信息安全方針

1、陜西廣電網(wǎng)絡(luò)傳媒股份有限公司信息安全方針陜西廣電網(wǎng)絡(luò)SHAANXI BC&TV NETWORK INTERMEDIARY 8.丄TD文檔信息密級(jí)分類版本控制版本日期人員更新說明V1.02010-10-27文檔審核審核人職務(wù)審核日期文檔批準(zhǔn)批準(zhǔn)人職務(wù)批準(zhǔn)日期分發(fā)控制部門人員文檔權(quán)限復(fù)查計(jì)劃復(fù)查時(shí)間復(fù)查人員復(fù)查結(jié)果第一章 總則第一條 為給信息安全工作提供清晰的指導(dǎo)方向，加強(qiáng)安全管理工作，保 證業(yè)務(wù)系統(tǒng)的安全運(yùn)營(yíng)，特制定本方針。第二條 信息安全工作是企業(yè)運(yùn)營(yíng)與發(fā)展的基礎(chǔ)和核心， 是保證網(wǎng)絡(luò)品質(zhì) 的基礎(chǔ)， 是保障客戶利益的基礎(chǔ)， 也是國家安全的需要， 因此必須重視網(wǎng)絡(luò)與信 息安全工作。第三條 信息安全

2、是公司各部門所有員工共同分擔(dān)的責(zé)任， 與每一個(gè)員工 的日常工作息息相關(guān)，所有員工必須提高認(rèn)識(shí)，高度重視，從自己開始，堅(jiān)持不 懈地做好網(wǎng)絡(luò)與信息安全工作。第四條 本方針適用于陜西廣電網(wǎng)絡(luò)傳媒股份有限公司全體員工。第二章 安全目標(biāo)第五條 陜西廣電網(wǎng)絡(luò)傳媒股份有限公司的信息安全使命是：（ 一 ） 保障業(yè)務(wù)正常和安全運(yùn)行，保證業(yè)務(wù)連續(xù)性；（ 二 ） 保護(hù)客戶隱私，保護(hù)客戶資料的機(jī)密性，維護(hù)客戶的利益 ；（ 三 ） 保護(hù)公司的商業(yè)機(jī)密和技術(shù)機(jī)密，維護(hù)公司的利益； 第六條 陜西廣電網(wǎng)絡(luò)傳媒股份有限公司的信息安全愿景是： 建立行業(yè)一流的信息安全保障體系。第三章 安全工作基本原則第七條 安全工作應(yīng)遵循以下基本

3、原則：（ 一 ） “分級(jí)保護(hù)” 原則：應(yīng)根據(jù)各業(yè)務(wù)系統(tǒng)的重要程度以及面臨的風(fēng)險(xiǎn) 大小等因素決定各類信息的安全保護(hù)級(jí)別，分級(jí)保護(hù)，合理投資。（ 二 ）“同步規(guī)劃、同步建設(shè)、同步運(yùn)行”原則：安全建設(shè)應(yīng)與業(yè)務(wù)系統(tǒng)同步規(guī)劃、 同步建設(shè)、同步運(yùn)行，在任何一個(gè)環(huán)節(jié)的疏忽都可能給業(yè)務(wù)系統(tǒng)帶 來危害。（三） “三分技術(shù)、七分管理”原則：網(wǎng)絡(luò)與信息安全不是單純的技術(shù)問 題，需要在采用安全技術(shù)和產(chǎn)品的同時(shí)， 重視安全管理，不斷完善各類安全管理 規(guī)章制度和操作規(guī)程，全面提高安全管理水平。（四）“內(nèi)外并重”原則：安全工作需要做到內(nèi)外并重，在防范外部威脅 的同時(shí)，加強(qiáng)規(guī)范內(nèi)部人員行為和審計(jì)機(jī)制。（五）“整體規(guī)劃，分步實(shí)

4、施”原則：需要對(duì)公司信息安全建設(shè)進(jìn)行整體 規(guī)劃，分步實(shí)施，逐步建立完善的信息安全體系。（六）“風(fēng)險(xiǎn)管理”原則：進(jìn)行安全風(fēng)險(xiǎn)管理，確認(rèn)可能影響信息系統(tǒng)的 安全風(fēng)險(xiǎn)，并以較低的成本將其降低到可接受的水平。（七）“適度安全”原則：沒有絕對(duì)的安全，安全和易用性是矛盾的，需 要做到適度安全，找到安全和易用性的平衡點(diǎn)。第四章安全組織機(jī)構(gòu)職責(zé)信息安全領(lǐng)導(dǎo)小組組長(zhǎng)；髙層領(lǐng)導(dǎo)擔(dān)任成.員：信息安全主管、各部門主管蠶Q 卜信息安全工作小組組長(zhǎng)；信息安全主管成員；各部門安全管理員第八條 公司信息安全領(lǐng)導(dǎo)小組是由公司主管信息安全工作的高層領(lǐng)導(dǎo) 主持，由公司信息安全主管與各部門主管組成的公司信息安全工作常設(shè)領(lǐng)導(dǎo)組 織，是

5、公司信息安全工作的最高決策機(jī)構(gòu)和領(lǐng)導(dǎo)機(jī)構(gòu)， 全面負(fù)責(zé)公司信息安全各 項(xiàng)工作，其成員包括：公司信息安全主管、各部門主管。公司信息安全領(lǐng)導(dǎo)小組 的主要職責(zé)是：1、負(fù)責(zé)公司的整體信息安全管理工作，負(fù)責(zé)公司信息資產(chǎn)的安全。2、負(fù)責(zé)協(xié)調(diào)公司內(nèi)部信息安全工作，分配信息安全管理目標(biāo)、職責(zé)，并支持和推動(dòng)信息安全工作在本所范圍內(nèi)的實(shí)施。3、負(fù)責(zé)對(duì)與信息安全管理有關(guān)的重大事項(xiàng)進(jìn)行決策，包括信息安全組 織機(jī)構(gòu)調(diào)整、信息安全關(guān)鍵人事變動(dòng)、以及信息安全管理重大策略變更、 確認(rèn)可接受的風(fēng)險(xiǎn)和風(fēng)險(xiǎn)水平等。4、負(fù)責(zé)對(duì)信息安全管理進(jìn)行評(píng)審，審批和發(fā)布信息安全方針、信息安全規(guī)范及管理辦法以及與信息安全管理相關(guān)的重大事項(xiàng)。5、評(píng)審

6、與監(jiān)督重大信息安全事故的處理。第九條公司信息安全工作小組是公司信息安全工作的執(zhí)行機(jī)構(gòu)，由公司信息安全主管擔(dān)任組長(zhǎng)，成員包括各部門安全管理員。公司信息安全工作小組的 職責(zé)是：1、直接對(duì)信息安全管理領(lǐng)導(dǎo)小組負(fù)責(zé)，承擔(dān)信息安全的具體工作，協(xié) 助信息安全領(lǐng)導(dǎo)小組在信息安全事務(wù)上的決策。2、負(fù)責(zé)信息安全政策的貫徹與落實(shí)，負(fù)責(zé)信息安全管理體系的建立、實(shí)施和日常運(yùn)行，起草信息安全政策，確定信息安全管理標(biāo)準(zhǔn)，督促各 信息安全執(zhí)行部門對(duì)于信息安全政策、措施的實(shí)施。3、負(fù)責(zé)制定違反信息安全政策行為的標(biāo)準(zhǔn)，并協(xié)助公司人力資源部和 下屬單位對(duì)違反信息安全政策的人員和事件進(jìn)行確認(rèn)。4、負(fù)責(zé)信息安全事件的調(diào)查和記錄，對(duì)發(fā)

7、生的每一起信息安全事件進(jìn) 行調(diào)查，并將過程、原因和解決方法記錄在案。5、負(fù)責(zé)定期召開信息安全工作會(huì)議，定期總結(jié)信息安全事件記錄報(bào)告， 并向信息安全領(lǐng)導(dǎo)小組匯報(bào)。第十條 公司信息安全主管，由公司信息安全領(lǐng)導(dǎo)小組產(chǎn)生，具體負(fù) 責(zé)信息安全管理的各項(xiàng)工作，并直接向信息安全領(lǐng)導(dǎo)小組匯報(bào)工作。公司信 息安全主管的職責(zé)是：1、依照信息安全領(lǐng)導(dǎo)小組的統(tǒng)一部署，貫徹與協(xié)調(diào)落實(shí)公司的信息安 全管理措施、技術(shù)措施、過程和程序。2、協(xié)調(diào)各部門與外部組織間有關(guān)的信息安全工作，并督促各部門對(duì)于 信息安全管理措施、技術(shù)措施、過程和程序的實(shí)施和落實(shí)。3、依照信息安全風(fēng)險(xiǎn)評(píng)估和等級(jí)保護(hù)等相關(guān)標(biāo)準(zhǔn)的要求，組織各部門常態(tài)化地進(jìn)行信

8、息安全風(fēng)險(xiǎn)評(píng)估和等級(jí)保護(hù)工作。4、進(jìn)行信息安全事件的調(diào)查和記錄，對(duì)發(fā)生的每一起信息安全事件進(jìn)行調(diào)查，并將過程、原因和解決方法都記錄在案。5、定期召集信息安全工作會(huì)議，總結(jié)信息安全工作經(jīng)驗(yàn)，向信息安全 領(lǐng)導(dǎo)小組匯報(bào)信息安全管理工作。第十一條 公司各部門安全管理員，由公司各部門產(chǎn)生，具體負(fù)責(zé)部門 內(nèi)部信息安全管理的各項(xiàng)工作，并直接向信息安全主管匯報(bào)工作。公司各部 門安全管理員的職責(zé)是：1、根據(jù)公司信息安全工作小組的計(jì)劃和要求，組織協(xié)調(diào)落實(shí)本部門的 信息安全管理工作，整理、核查并歸檔本部門的信息安全記錄。2、在本部門內(nèi)宣傳落實(shí)信息安全管理體系各項(xiàng)方針、政策、規(guī)范、辦 法與細(xì)則等文件，提高本部門人員的

9、信息安全意識(shí)與技能。第五章 安全工作要求第十二條 公司和各部門必須建立和完善信息安全管理規(guī)章制度和操作程 序，規(guī)范和加強(qiáng)信息安全管理工作， 所有員工必須遵守與其相關(guān)的信息安全規(guī)章 制度。第十三條 加強(qiáng)內(nèi)部人員安全管理，依據(jù)最小特權(quán)原則清晰劃分崗位，在所 有崗位職責(zé)中明確信息安全責(zé)任， 要害工作崗位實(shí)現(xiàn)職責(zé)分離， 關(guān)鍵事務(wù)雙人臨 崗，重要崗位要有人員備份，定期進(jìn)行人員的安全審查。第十四條 所有員工都應(yīng)簽署保密協(xié)議，并接受信息安全教育培訓(xùn)，提高安 全意識(shí)，及時(shí)報(bào)告網(wǎng)絡(luò)與信息安全事件。第十五條 必須加強(qiáng)第三方訪問和外包服務(wù)的安全控制， 在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ) 上制定安全控制措施， 并與第三方公司和外包服務(wù)

10、公司簽署安全責(zé)任協(xié)議， 明確 其安全責(zé)任。第十六條 各部門必須加強(qiáng)信息資產(chǎn)管理，建立和維護(hù)信息資產(chǎn)清單，維護(hù) 最新的網(wǎng)絡(luò)拓?fù)鋱D，建立信息資產(chǎn)責(zé)任制，對(duì)信息資產(chǎn)進(jìn)行分類管理和貼標(biāo)簽。 第十七條 加強(qiáng)機(jī)房和辦公區(qū)域的安全管理， 為設(shè)備的正常運(yùn)行提供物理和 環(huán)境安全保障。第十八條 建立日常維護(hù)操作規(guī)程和變更控制規(guī)程，規(guī)范日常運(yùn)行維護(hù)操 作，嚴(yán)格控制和審批任何變更行為。第十九條 加強(qiáng)項(xiàng)目建設(shè)的安全管理，配套安全系統(tǒng)必須與業(yè)務(wù)系統(tǒng)“同步 規(guī)劃、同步建設(shè)、同步運(yùn)行”，加強(qiáng)安全規(guī)劃、安全審批、安全驗(yàn)收管理。第二十條 加強(qiáng)防范惡意軟件，所有Windows機(jī)器必須安裝網(wǎng)絡(luò)防病毒系統(tǒng)， 定期更新病毒特征代碼，及時(shí)

11、報(bào)告發(fā)現(xiàn)的病毒。第二十一條 按照補(bǔ)丁跟進(jìn)和發(fā)布、補(bǔ)丁獲取、補(bǔ)丁測(cè)試、補(bǔ)丁加載、補(bǔ) 丁驗(yàn)證、補(bǔ)丁歸檔這一流程進(jìn)行補(bǔ)丁安全管理。第二十二條 建立維護(hù)作業(yè)計(jì)劃，嚴(yán)格執(zhí)行維護(hù)作業(yè)計(jì)劃，加強(qiáng)對(duì)設(shè)備、 操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)的運(yùn)行監(jiān)控，編寫日常運(yùn)行維護(hù)報(bào)告。第二十三條 部署網(wǎng)絡(luò)層面和系統(tǒng)層面的訪問控制、安全審計(jì)以及安全監(jiān) 控技術(shù)措施，保障業(yè)務(wù)系統(tǒng)的安全運(yùn)行。第二十四條 增強(qiáng)主機(jī)系統(tǒng)的安全配置，定期進(jìn)行安全評(píng)估和安全加固。 第二十五條 制定各業(yè)務(wù)系統(tǒng)的應(yīng)急方案，定期更新、維護(hù)和測(cè)試，做好 數(shù)據(jù)備份工作，確保數(shù)據(jù)的及時(shí)恢復(fù)，保證數(shù)據(jù)的安全。第二十六條 加強(qiáng)用戶帳號(hào)和權(quán)限管理，按照最小特權(quán)原則為用戶分配權(quán) 限，避免出現(xiàn)共用帳號(hào)的情況。第二十七條 加強(qiáng)用戶口令的管理，口令長(zhǎng)度至少 8 位，并采用數(shù)字、字 母和特殊字符的組合，定期修改用戶口令。第二