《网络与信息系统-安全管理办法(精品文档)》由会员分享,可在线阅读,更多相关《网络与信息系统-安全管理办法(精品文档)(12页珍藏版)》请在金锄头文库上搜索。
1、网络与信息系统安全管理办法第一章总则第一条为加强和规范XXXXXXX有限公司(以下简称“公司”)网络与信息系统安全工作,切实提高防攻击、防篡改、防病毒、防瘫痪、防窃密能力,实现网络与信息系统安全的可控、能控、在控,依据中华人民共和国国家安全法、中华人民共和国网络安全法等国家有关法律、法规、规定及公司有关制度,制定本办法。第二条本办法所称网络与信息系统是指公司生产所需的计算机网络环境和计算机设备,软件程序、代码和数据。第三条本办法适用于公司网络与信息系统安全管理工作。第四条网络与信息系统安全防护目标是保障开发生产系统环境和网络的安全,保障系统及通信、网络的安全,落实信息系统生命周期全过程安全管理
2、,实现信息安全可控、能控、在控。防范对公司外部对内部信息系统的恶意攻击及侵害,抵御内外部有组织的攻击。第五条公司网络与信息系统安全工作策略坚持“物理隔离,加密存储,准入备案”原则。物理隔离是指信息内外网间不存在任何物理信息链路连接,针对信息内网进行全封闭管理,严控信息内网的网络结构与物理边界,仅可在公司集中办公区域内通过专用网线接入已备案网络终端设备。加密存储是指在非信息内网工作环境下,所有生产业务相关系统运行环境、数据文件和业务文档必须经过加密才能临时保存到个人终端存储设备中,禁止免密访问、传输和存储该终端设备在接入信息内网或离线断网情况下,可解密访问,禁止免密访问、传输和存储。准入备案指对
3、所有接入公司网络的各类网络、应用、系统、终端、设备进行准入及备案管理。第六条将网络与信息系统安全纳入信息化日常工作中,将网络与信息系统安全纳入公司生产质量管理体系中,将网络与信息系统安全融入公司安全生产中。第二章职责分工第七条公司信息安全工作实行统一管理,遵循“专职监管、用者负责”的原则,谁主管谁负责;谁运行谁负责;谁使用谁负责,管业务必须管安全,严格落实网络与信息系统安全责任。第八条各部门主要负责人是网络与信息系统安全第一责任人。公司信息化安全小组负责公司网整体络信息安全管理办法和措施的制定与发布,总体协调领导和监督相在管理措施的执行,定期评估安全风险,优化各项管理办法与措施。公司网络安全管
4、理专员负责公司基础网络与信息系统防护。项目组负责各自生产环境与业务数据的信息安全防护。所有员工负责执行公司网络与信息系统安全工作,落实项目中敏感数据权益所有者的其它安全管理要求。第九条公司信息化安全小组主要职责如下:(一)落实国家有关网络与信息系统安全法规、方针、政策、标准和规范,联系国家有关部门落实相关安全工作。组织制定公司网络与信息系统安全管理标准规范和规章制度,并督促执行。(二)负责公司网络与信息系统安全体系规划设计、架构管控、总体安全防护方案制订、核心安全防护措施部署和策略优化配置并组织实施。(三)负责信息安全技术督查,组织开展公司信息安全技术督查工作。(四)协助开展网络与信息系统事件
5、的调查处理,组织制定、落实网络与信息系统反事故措施。(五)负责信息安全态势跟踪、事件监测与分析、信息安全通报。第十条网络安全管理专员主要职责如下:(一)牵头开展本专业信息系统信息安全防护工作,依据公司总体安全策略组织制定相关系统信息安全防护方案,经公司信息化安全小组审批后执行。(二)负责公司网络与信息系统基础设施的安全管理。(三)负责公司信息通信安全研究,期跟踪公司及外部信息安全重大事件和典型事件,分析事件成因、问题,以及对公司信息安全工作的启示和举措,提供信息安全专业技术支撑;负责公司信息通信系统和设备的安全测试工作。(四)负责信息通信系统和设备的缺陷分析、安全设计的符合性审查以及状态评价;
6、负责执行信息通信安全技术督查及专项检查。(五)负责新技术、新应用、新业务信息安全情况分析:不定期跟踪新技术、新应用、新业务在公司的开展情况,分析其中信息安全情况,并提出相关建议。(六)负责公司员工安全管理办法宣传,以及相关技能培训。第十一条项目组主要职责如下:(一)落实业务软件生产环境的信息安全保护工作,配合开展安全测评、风险评估和隐患排查治理、信息安全通报等工作。(二)项目建设过程中贯彻公司和客户对信息安全相关要求。(三)按照公司网络与信息系统应急管理要求建立项目生产环境和业务数据应急处理预案,组织突发事件的应急处理。第十二条员工主要职责如下:(一)负责贯彻落实国家有关网络与信息系统安全法规
7、、方针、政策、标准和规范,贯彻落实公司网络与信息系统安全相关标准规范和规章制度。(二)负责个人使用的信息通信系统、设备和终端的安全运维和应急处置工作。(三)协助信息安全专员开展事件监测与分析、信息安全通报。第三章管理要求第十三条按照公司制度标准体系建设工作要求和统一制定、发布与组织实施信息通信安全管理制度,实现全职责、全业务、全流程覆盖。第十四条加强员工信息安全管理,严格人员录用过程,与关键岗位员工签订保密协议,明确信息安全保密的内容和职责;切实加强员工信息安全培训工作,提高全员安全意识;及时终止离岗员工的所有访问权限。第十五条加强对临时来访人员和常驻外包服务人员的信息安全管理。加强外来人员的
8、出入登记和接待管理,严格控制外来人员活动区域。外来人员进入机房等重要区域,应办理审批登记手续并由相关管理人员全程陪同,相关操作必须有审计及监控。第十六条网络与信息系统安全管理工作机制如下:(一)遵循“统一指挥、密切配合、职责明确、响应及时”的协同原则,做好公司信息安全内、外部协同机制的落实工作。(二)积极主动开展安全事故原因分析,做好事故调查工作,切实进行信息安全风险评估工作,及时落实整改,消除安全隐患。(三)坚持“安全第一、预防为主”的方针,建立和优化安全事件的应急预案,加强应急演练工作,做好应急保障工作。(四)落实健全网络与信息系统安全准入工作,加强对接入公司网络的各类系统、终端、设备的准
9、入及备案管理,强化备案信息与上下线相关运行安全工作的准入联动工作。(五)持续强化信息安全等级保护工作管理,做好系统等级保护定级、备案、建设、测评与整改工作。(六)开展信息技术供应链安全管理工作,开展信息技术软硬件设备和服务供应商安全管理、软硬件设备选型和安全测试工作,逐步实现核心运行系统的国产化。对涉及的信息安全软硬件产品和密码产品要坚持国产化原则,信息安全核心防护产品以自主研发为主。管理信息系统软硬件产品逐步采用全国产化产品。及时开展各种软硬件漏洞检测及修复。(七)建立信息安全综合评价体系,加强信息安全监督及考核评价,将网络与信息系统安全落实情况纳入各级单位信息化水平评价。第十七条加强通信网
10、的安全管理,健全针对各类网络在线监测和安全预警能力,做好对光缆、网络交换设备、物理区域与人员的安全访问管理。通信设备、线路等应采用冗余保障、网络优化、设备网管防护等措施提高可用性。第十八条加强信息安全备案准入工作。对生产设备、人个终端设备、业务软件与数据建立安全备案,严格各类信息资产安全备案作为入网的必要条件。加强安全备案数据质量的治理工作,确保填报信息完整、准确及更新及时,对于未备案的业务系统、网络专线,一经发现立即关停,按照公司有关要求进行追责及处置。第十九条微博微信等新业务安全管理要求如下:(一)强化对企业官方微博微信、Wi-Fi网络、其他新业务的安全备案准入与管理,加强微博微信开设、使
11、用的安全管理,加强信息外网无线Wi-Fi网络的审批、备案与使用管理。(二)加强官方微博微信的开设与管理,加强对本单位官方微博微信所发布的内容审查与核实。()信息外网使用Wi-Fi要严格落实审核批准与备案工作,要加强Wi-Fi组网的网络准入、安全审计、用户身份认证方面的安全防护技术手段。(四)未经公司审批许可,不得使用私人互联网服务发布和存储公司生产相关业务数据,如出于工作需要,需先对原始数据进行加密打包处理,禁止在非公司受控网络暴露任何生产业务原始信息。第二十条接入安全管理要求如下:(一)加强互联网接入以及互联网出口归集统一管理,公司统一对各类办公网络的互联网出口进行严格管控、合并、统一设置和
12、集中监控。禁止私自改变公司网络结构,禁止私自搭建难通信子网、路由代理、DNS、DHCP等公共服务,禁止接入未经受权的网络服务。(二)加强公司终端设备接入安全管理,并严格按照总体防护要求采取相应防护措施。针对接入公司网内的个人终端,如在外出工干需要接入第三方网络,须将终端上的生产环境和数据存储加密隐蔽,严禁暴露在不可信网络中。第二十一条开发安全管理要求如下:(一)严格遵循信息系统开发管理要求,加强对项目开发环境及测试环境的安全管理,严格执行项目服务器资源的申请和登记管理,确保与其它办公环境的安全隔离。(二)加强信息系统开发过程中代码编写的规范性,应采用公司统一开发平台进行开发,并严格按照公司统一
13、安全编程规范进行代码编写,定期进行代码审核,并组织代码安全自测。(三)加强代码安全管理,确保开发过程中代码安全保密。落实源代码补丁漏洞工作,及时对代码漏洞进行反馈及整改。(四)规范外部软件及插件的使用,应使用主流的、成熟的外部软件及插件,避免采用非商用且无安全保证的外部软件及插件。集成外部软件及插件包括开源组件时,应重视接口交互的安全,充分考虑异常的处理。第二十二条运维安全管理要求如下:(一)建立网络与信息系统资产安全管理制度,加强资产的新增、验收、盘点、维护、报废等各环节管理。编制资产清单,根据资产重要程度对资产进行标识。加强对资产、风险分析及漏洞关联管理。(二)加强机房出入管理,禁止非公司
14、授权进入,出入机房需进行登记。(三)加强信息通信设备安全管理。加强设备基线策略管理以及优化部署,安装指南或操作票中,应制定安全策略配置管理要求和技术标准,规范上线、运行软硬件设备信息安全策略以及安全配置。(四)规范账号权限管理。各类超级用户账号禁止由非运维安全员掌握。临时账号应设定使用时限,员工离职、离岗时,信息系统的访问权限应同步收回。应定期(半年)对信息系统用户权限进行审核、清理,删除废旧账号、无用账号,及时调整可能导致安全问题的权限分配数据。(五)规范账号口令管理,口令必须具有一定强度、长度和复杂度,长度不得小于8位字符串,要求是字母和数字或特殊字符的混合,用户名和口令禁止相同。定期更换
15、口令,更换周期不超过6个月,重要系统口令更换周期不超过3个月,最近使用的4个口令不可重复。(六)强化公司统一漏洞及补丁工作。统一补丁下载、安装情况的监管。加强各种典型漏洞、补丁的测试验证及整改工作。(七)加强恶意代码及病毒防范管理,加强对特种木马的监测。确保个人终端防病毒软件统一安装,严格要求内网病毒库的升级频率,加强病毒监测、预警、分析及通报力度。(八)不得通过互联网或信息外网远程运维方式进行设备和系统的维护及技术支持工作。(九)规范运维操作预案工作,建立工作票和操作票制度。加强网络与信息系统检修过程安全管理,预防网络与信息系统损坏和事故发生。(+)明确备份及恢复策略,严格控制数据备份和恢复
16、过程。公司生产环境和数据每年集中备分一次,保留至少两份副本以上,副本须异地由专员保管,需获公司授权才可恢复备份数据。保管专员每年需测试存储设备和备份数据的可读性。(十一)涉及敏感信息的系统运行环境和数据库应部署于信息内网,对含有重要地理信息、客户信息等的安全存储和安全传输需采用公司统一的管理措施。第二十三条运行情况通报管理要求如下:(一)加强国公司网络与信息系统安全运行管理,规范完善公司网络与信息系统安全运行情况通报工作,切实落实上情下达、下情上达、协调和服务保障的任务。(二)所有员工一旦发现信息网络和系统故障和瘫痪,信息系统数据丢失和信息泄密,信息系统受到病毒感染和恶意渗透、攻击,有害信息在网站传播等信息安全事件,须立即向公司安全专员或公司信息化安全小组通报,报送要求如下:(1)公司
