《算法备案相关制度汇编》由会员分享,可在线阅读,更多相关《算法备案相关制度汇编(65页珍藏版)》请在金锄头文库上搜索。
1、算法备案相关制度汇编2024年目 录算法安全管理办法1信息系统安全检查管理办法6安全教育和培训管理办法10信息分类与标识管理办法13算法安全监测制度18算法安全自评估制度23恶意代码防范管理办法28信息系统与算法变更管理办法31数据备份与恢复管理办法41算法安全事件应急处理制度49算法违法违规处置制度582算法安全管理办法第一章总则第一条为规范XX集团公司信息系统与算法的技术管理和维护工作,确保系统安全运转和系统运行管理的及时、高效,规范系统操作,加强内部控制,最大程度地防范技术操作风险,特制定本管理办法。第二条本管理办法适用于XX创研中心安全部对信息系统与算法的安全管理。第二章系统安全管理第
2、三条禁用不必要的服务,尽量将系统中不用的服务、尤其是一些暂时不用的网络服务关闭,从而使系统遭受攻击的可能性降至最低。第四条系统遵循最小权限原则,系统只能授予应用程序和用户必要的权限,而不能授予额外的权限。第五条服务器需安装软件防火墙,由XX创研中心安全部统一部署,病毒库统一升级。第六条对于重要的数据进行加密。第七条安全性能评估,对于安全产品应选用经过国内、国外权威第三方认证的安全产品,系统管理员应随时保持警惕以预防攻击事件的发生或者将攻击的危害降至最低。第八条对系统漏洞情况每季度至少进行一次扫描,对漏洞风险持续跟踪,在经过充分的验证测试后对必要的漏洞开展修补工作,实施漏洞扫描或漏洞修补前,对可
3、能的风险进行评估和充分准备,选择恰当时间,并做好数据备份和回退方案,漏洞扫描或漏洞修补后应进行验证测试,以保证系统的正常运行,扫描后记录扫描情况,填写系统安全扫描情况记录表(附件1)。第九条持续跟踪厂商提供的系统升级更新情况,应在经过充分的测试评估后对必要的补丁进行及时更新,填写系统与网络设备补丁分析评估表(附件2),在安装系统补丁前对现有的重要文件进行备份,并对备份情况和系统升级情况进行记录,填写系统及网络设备升级记录表(附件3)。第十条至少每月对运行日志和审计数据进行分析。第三章系统访问控制要求第十一条用户或者应用程序访问系统资源时要求系统管理员通过设置必要的选项完成以下功能:(一)提供适
4、当的身份验证方法。(二)识别和验证身份。(三)记录成功和失败的系统访问(日志信息)。(四)据情况限制用户连接时间。第十二条登录程序应最大限度地减少公开的信息,以避免非法用户使用。登录程序应:(一)在登录过程未成功之前禁止显示系统或应用的标识。(二)显示一般性注意事项。提醒用户只有合法用户才能访问计算机。(三)登录期间禁止提供帮助消息。(四)只有所有输入数据完成后才能验证登录信息。(五)应限制允许登录的失败次数为3次。(六)限制登录程序允许的时间上限和下限。如果超过限制,则系统必须终止登录过程。(七)成功登录后,宜显示以下信息:1、以前成功登录的日期和时间。2、上次成功登录以来登录失败的详细情况
5、。第十三条登录超时要求(一)当系统超时未激活时,应能够自动锁住系统,防止非法访问,但不宜关闭应用或网络会话。(二)超时的时间设置取决于连接系统的重要程度、终端风险暴露程度以及终端上信息的业务价值。第四章用户账号安全第十四条用户身份识别和验证(一)信息系统与算法所有用户都应拥有个人专用的唯一标识符(用户ID)以便操作能够追溯到具体责任人。但是在认证和授权体系没有建立之前,特定操作系统内所有的用户必须有一个唯一的ID,并且该ID名称不能让人猜测到该用户的权限级别,如管理员、主管等。(二)对于每一个申请使用系统的用户,应要求填写系统账号申请表(附件4),并在表格中包含XX集团公司的密码安全政策规范,
6、明确违反该规范的后果和责任,同时要求用户签名以产生法律效力,并在系统账户登记表进行登记。(三)对于用户身份的验证,宜采用多种身份验证程序来加以证实。口令是一种很常见的身份识别和验证方法。采用加密方法和身份验证协议也可达到同样的效果。也可使用用户的内存标记或智能卡等进行身份识别和验证。也可使用基于个人唯一特点或特性的生物统计学身份验证技术来验证用户身份。将安全技术和安全机制结合起来可进行更为严格的身份验证。第十五条用户账号过期(一)设置用户账号的有效有效期为一年。(二)当某一个用户账号过期时,系统维修检查确认该用户账号所对应的员工是否还留在XX集团公司,如果不是则将该账号自动删除,否则继续激活该
7、用户账号。(三)如果用户账号过期了但是用户无法联系到,先将其用户账号锁住,等用户回来以后按需要激活。第十六条Guest账号(一)应禁止长期保留Guest账号。(二)当系统安装完成后必须视情况禁用Guest账号,当用户确实需要Guest账号进行临时的访问时,才可将Guest账号激活。(三)应确保Guest账号的口令安全。第十七条所有操作系统应禁止使用无口令的用户账号。第十八条除非有特殊的要求,不应有多个用户共享一个用户ID和口令,而应使用用户组的概念来代替。第十九条用户账号安全其它事项(一)用户账号重命名,也就是对默认的账号重命名。包括administrator、Guest以及其它一些在安装统计
8、时(如ISS)自动建立的账号。(二)建立伪管理员账号,如在系统中建立用户名为“administrator”的用户,并设定一个难以推测的口令,但是不赋予其真正的管理员权限。第五章文件系统安全第二十条文件系统的安全是指系统中所有文件的安全,包括所有操作系统管理的设备资源的安全问题,例如打印机。文件系统的安全是系统安全的最后防线,主要通过两种方式实现文件系统安全。(一)通过文件系统权限控制文件被恶意地址访问或者在任何未经适当授权的情况下被访问。(二)通过对文件进行适当地加密实现。信息系统安全检查管理办法第一章总则第八条为了加强和规范XX集团公司信息系统安全检查工作,保障相关信息系统安全运行,特制定本
9、管理办法。第九条信息系统安全检查依据国家有关法律法规、行业有关规章制度,单位信息系统安全相关规章制度。第十条信息系统安全检查对象为XX集团公司的信息系统与信息系统。第十一条信息技术工作检查可采取日常检查、组织自查、专项检查、年度检查等方式。年度检查对象包括所有相关部门,且每年不少于二次。第二章组织机构与职责第十二条XX创研中心安全部负责信息系统安全检查工作,根据当前现状明确检查重点,制定检查标准。第十三条XX创研中心安全部成立信息系统安全检查小组,具体负责信息系统安全检查工作的实施。第三章信息系统安全检查分类第十四条各部门及相关人员要配合各项信息系统安全检查工作,并按要求完成检查中发现问题项的
10、整改工作。第十五条XX集团公司的信息系统安全检查包括信息系统安全主管部门对XX集团公司进行的专项信息系统安全检查、信息系统安全认证机构对XX集团公司的信息系统安全外部审核、风险监管部门主导的信息系统安全内部审核和内部信息系统安全技术检查等。第四章信息系统安全检查内容第十六条计算机安全检查1.计算机应安装杀毒、防护等软件,及时更新系统,修复漏洞。2.非涉密计算机不得存储涉密文件、敏感信息。3.涉密计算机和安装了“三合一系统”的计算机必须按照相关规定严格管理,严禁违规外联。第十七条系统安全与设备管理的检查1.服务器(1)服务器应具有充分的可靠性和充足的容量。(2)服务器应具有一定的容错特性,宜采用
11、镜像、阵列、双机、群集等容错技术。(3)服务器有安全可靠的备份措施。2.工作站(1)工作站应具有良好的性能及可靠性。(2)除计算机机房外,一律使用无软驱或光驱等可卸存储装置的网络工作站。(3)重要工作站应有冗余备份。第十八条安全管理情况的检查1.建立由安全策略、管理制度、操作规程等构成的全面信息系统安全管理制度体系。2.严格按管理制度规定进行管理,按操作规程进行操作,并进行记录。第五章信息系统安全检查实施第十九条实施检查前,检查小组根据检查目的和被检查部门情况,确定检查范围、检查重点,制定检查工作计划,编制相应检查表格。第二十条组织进行自查时,被检查部门应如实填写自查表,对存在的问题隐瞒不报的
12、,将追究相关部门和个人责任。第二十一条进行现场检查时,检查小组应提前通知被检查部门,可根据需要要求被检查部门进行自查,以提高现场检查工作效率。每次检查前,检查小组应核查上次检查提出的整改意见是否落实,整改措施是否有效。第二十二条被检查部门应积极配合检查工作,按检查人员要求提供与检查工作相关的资料,并对所提供资料的真实性、完整性负责。第二十三条检查过程中应切实防范检查操作风险,不得对在线运行系统进行检查测试和网络扫描检测。因检查需要需使用辅助检测工具时,应经XX创研中心安全部负责人审批同意后方可使用。第二十四条检查过程中发现问题和安全隐患时,检查小组应及时与被检查部门沟通确认后,拟定整改建议。对
13、于随时可能引发事故的问题和安全隐患,应要求立即整改。第六章信息系统安全检查报告第二十五条检查工作结束后,检查小组应及时撰写检查报告上报智能创新与信息安全领导小组,根据批示意见对检查结果进行通报,对存在问题和安全隐患的部门下发整改意见书,要求限期完成整改工作。第二十六条检查小组应跟踪整改工作的落实情况,必要时可对整改工作落实情况进行确认检查。安全教育和培训管理办法第一章总则第一条为规范XX集团公司算法安全培训及教育工作,对干部职工进行有关算法安全管理的理论培训、安全管理制度教育、安全防范意识宣传和专门安全技术训练,确保XX集团公司算法安全策略、规章制度和技术规范的顺利执行,特制定本管理规定。第二
14、章算法安全培训要求第二条算法安全培训工作需要分层次、分阶段、循序渐进地进行,而且必须是能够覆盖全员的培训。第三条应制定完善的培训计划,计划应包含培训方式、培训类别、培训内容、培训费用等信息,并且需要相关领导对培训计划进行审批。第四条分层次培训是指对不同层次的人员,如对管理层、算法安全管理人员,算法安全联络员和普通干部开展有针对性和不同侧重点的培训。第五条分阶段是指在算法安全管理体系的建立、实施和保持的不同阶段,培训工作要有计划地分步实施;算法安全培训要采用内部和外部结合的方式进行。第六条管理层培训(一)管理层培训目标是明确建立算法安全体系的重要性,获得管理层的支持和承诺。(二)管理层培训方式可
15、以采用聘请外部算法安全培训、专业技术专家和咨询顾问以专题讲座、研讨会等形式。第七条算法安全管理人员培训(一)算法安全管理人员培训目标是理解及掌握算法安全原理和相关技术、强化算法安全意识、支撑算法安全体系的建立、实施和保持。(二)算法安全管理人员培训方式可以采用聘请外部算法安全专业资格授证培训、参加算法安全专业培训、自学算法安全管理理论及技术和内部学习研讨的方式。第八条算法安全联络员培训(一)算法安全联络员培训目标是掌握各系统相关专业安全技术,协助维护和保障系统正常、安全运行。(二)算法安全联络员培训方式可以采用外部和内部相结合的培训以及自学的方式。第九条普通干部培训(一)普通干部培训目标是了解相关算法安全制度和技术规范,并安全、高效地使用信息系统与算法。(二)普通干部培训方式应主要采取内部培训的方式。
