信息安全管理辦法

1、信息安全管理辦法第一章 總則第一條 為保障公司信息安全， 切實(shí)推行安全管理， 積極 預(yù)防風(fēng)險(xiǎn)，完善控制措施，制定本辦法。第二條 本辦法適用于公司各職能部門、分公司信息安 全管理。第二章 主要內(nèi)容及工作職責(zé)第三條 信息安全管理的主要工作內(nèi)容包括機(jī)房安全管 理、網(wǎng)絡(luò)安全管理、主機(jī)安全管理、應(yīng)用安全管理、數(shù)據(jù)安 全管理和管理安全工作。第四條 IT 中心工作職責(zé)1、IT 中心為公司信息安全管理主管部門。2、負(fù)責(zé)公司信息安全管理策略制訂與落實(shí)。3、負(fù)責(zé)起草信息安全規(guī)章制度，承擔(dān)信息安全保障建 設(shè)、信息安全日常管理職能，提供信息安全技術(shù)保障。4、負(fù)責(zé)各中心、分公司、專（兼）職信息管理員信息 安全指導(dǎo)、培訓(xùn)

2、。第五條 各中心、分公司1、指定專人擔(dān)任專職或兼職信息管理員， 負(fù)責(zé)協(xié)助 IT 中心開展信息安全實(shí)施工作， 并提供部門內(nèi)部技術(shù)支持和 網(wǎng)絡(luò)管理工作。2、負(fù)責(zé)落實(shí)相關(guān)信息安全管理工作在部門內(nèi)的實(shí)施。3、負(fù)責(zé)業(yè)務(wù)操作層的相關(guān)信息安全保障。4、負(fù)責(zé)做好本部門人員的信息安全教育工作，提高人 員的信息安全意識(shí)和技能水平。第三章 機(jī)房安全管理第六條 機(jī)房人員出入、巡檢、操作和設(shè)備管理請(qǐng)參照 機(jī)房安全管理規(guī)定 。第四章 網(wǎng)絡(luò)安全管理第七條 公司內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)實(shí)行安全隔離，在網(wǎng)絡(luò) 邊界處應(yīng)部署防火墻或其他安全訪問控制設(shè)備，制定訪問控 制規(guī)則。第八條 新增網(wǎng)絡(luò)設(shè)備入網(wǎng)時(shí)，網(wǎng)絡(luò)管理員應(yīng)按照網(wǎng)絡(luò)設(shè)備安全配置檢查表

3、 進(jìn)行檢查（見附錄 A）,經(jīng)信息安 全管理員確認(rèn)所有檢查項(xiàng)檢查結(jié)果全部為 “是”后允許網(wǎng)絡(luò)設(shè) 備進(jìn)入網(wǎng)絡(luò)運(yùn)行。第九條 網(wǎng)絡(luò)新建或改造，在投入使用前，網(wǎng)絡(luò)管理員須 進(jìn)行網(wǎng)絡(luò)連通性、冗余性和傳輸速度等測(cè)試，信息安全管理 員全程參與，確保網(wǎng)絡(luò)系統(tǒng)安全。第十條 當(dāng)網(wǎng)絡(luò)設(shè)備配置發(fā)生變更時(shí)，須及時(shí)對(duì)網(wǎng)絡(luò)設(shè)備 配置文件進(jìn)行備份；網(wǎng)絡(luò)設(shè)備配置每三個(gè)月進(jìn)行全備份，網(wǎng) 絡(luò)設(shè)備配置文件由網(wǎng)絡(luò)管理員保管。第十一條 網(wǎng)絡(luò)管理員應(yīng)建立網(wǎng)絡(luò)技術(shù)檔案，技術(shù)文檔包 括拓?fù)浣Y(jié)構(gòu)（含分支網(wǎng)絡(luò)） 、網(wǎng)絡(luò)設(shè)備配置等相關(guān)文檔，網(wǎng)絡(luò)技術(shù)文檔由網(wǎng)絡(luò)管理員保管。第五章 主機(jī)安全管理第十二條 主機(jī)系統(tǒng)原則上僅開啟必要的系統(tǒng)服務(wù)和功 能，開啟系統(tǒng)

4、日志、安全日志。第十三條 新增主機(jī)設(shè)備入網(wǎng)時(shí)，主機(jī)運(yùn)行維護(hù)人員應(yīng)按照主機(jī)設(shè)備安全配置檢查表進(jìn)行檢查（見附錄 B）,經(jīng)信 息安全管理員確認(rèn)所有檢查項(xiàng)檢查結(jié)果全部為 “是 ”后允許主 機(jī)設(shè)備進(jìn)入網(wǎng)絡(luò)運(yùn)行。第十四條 主機(jī)運(yùn)行維護(hù)人員應(yīng)及時(shí)更新軟件版本和病 毒庫；信息安全管理員負(fù)責(zé)制訂統(tǒng)一的病毒管理策略。第十五條 主機(jī)運(yùn)行維護(hù)人員每個(gè)月通過防病毒管理軟 件查看所有主機(jī)的防病毒軟件運(yùn)行狀態(tài)，如有異常情況，主 機(jī)運(yùn)行維護(hù)人員需及時(shí)反饋給信息安全管理員進(jìn)行處置。第六章 應(yīng)用安全管理第十六條 重要信息系統(tǒng)應(yīng)用開發(fā)應(yīng)建立開發(fā)測(cè)試環(huán)境， 開發(fā)測(cè)試的環(huán)境必須與實(shí)際運(yùn)行環(huán)境分開，信息系統(tǒng)開發(fā)、 測(cè)試、修改工作不得在生

5、產(chǎn)環(huán)境中進(jìn)行。第十七條 新建信息系統(tǒng)入網(wǎng)前，系統(tǒng)管理員須進(jìn)行由信 息安全管理員參加的系統(tǒng)測(cè)試，并出具包含身份鑒別、訪問 控制、安全審計(jì)等內(nèi)容的系統(tǒng)測(cè)試報(bào)告。第七章 數(shù)據(jù)安全管理第十八條 公司每一位員工都有保守公司信息安全防止泄密的責(zé)任，任何人不得向公司以外的任何單位或個(gè)人泄露公司技術(shù)和商業(yè)機(jī)密，如因?qū)W術(shù)交流或論文發(fā)表涉及公司技 術(shù)或商業(yè)機(jī)密，應(yīng)提前向公司匯報(bào)，并在獲得批準(zhǔn)同意后， 方能以認(rèn)可的形式對(duì)外發(fā)布。第十九條 定期對(duì)公司重要信息包括軟件代碼進(jìn)行備份， 備份完成后，做好登記工作。第二十條 數(shù)據(jù)庫管理員負(fù)責(zé)對(duì)重要信息系統(tǒng)的數(shù)據(jù)庫 每周進(jìn)行全備份，并對(duì)備份數(shù)據(jù)的有效性進(jìn)行檢查。第二十一條 存放

6、備份數(shù)據(jù)的介質(zhì)包括 U 盤、移動(dòng)硬盤、 光盤和紙質(zhì)，所有備份介質(zhì)必須明確標(biāo)識(shí)備份內(nèi)容和時(shí)間， 并實(shí)行異地存放。第二十二條 數(shù)據(jù)恢復(fù)前，必須對(duì)原環(huán)境的數(shù)據(jù)進(jìn)行備 份，防止有用數(shù)據(jù)的丟失。數(shù)據(jù)恢復(fù)后，必須進(jìn)行驗(yàn)證、確 認(rèn)，確保數(shù)據(jù)恢復(fù)的完整性和可用性。第二十三條 數(shù)據(jù)清理前必須對(duì)數(shù)據(jù)進(jìn)行備份，在確認(rèn)備 份正確后方可進(jìn)行清理操作。數(shù)據(jù)清理的實(shí)施應(yīng)避開業(yè)務(wù)高 峰期避免對(duì)聯(lián)機(jī)業(yè)務(wù)運(yùn)行造成影響。第二十四條 管理部門應(yīng)對(duì)報(bào)廢設(shè)備中存有的程序、 數(shù)據(jù)資料進(jìn)行備份后清除，并妥善處理廢棄無用的資料和介質(zhì)，防 止泄密。第二十五條 因?qū)徲?jì)、查詢等管理需要拷貝系統(tǒng)原始數(shù)據(jù) 的，需要經(jīng) IT 中心主管部門和業(yè)務(wù)主管部門同

7、意后，并雙 方在場(chǎng)后，由系統(tǒng)管理員導(dǎo)出數(shù)據(jù)。第八章 密碼與權(quán)限管理第二十六條 信息系統(tǒng)的用戶密碼不少于 8 位，密碼應(yīng)至 少在字母、數(shù)字、特殊字符這三類字符中任選兩種或兩種以 上混合使用，不得使用缺省口令、空口令、弱口令；根據(jù)管 理需要開設(shè)用戶，及時(shí)刪除系統(tǒng)多余和過期的賬戶。第二十八條 員工離職后，員工所屬部門或人力資源部應(yīng) 在當(dāng)天通知總部IT中心，及時(shí)關(guān)閉離職員工的0A賬號(hào)和郵箱賬號(hào)，并對(duì)員工的出入卡進(jìn)行?？ㄌ幚怼５诰耪?管理安全第二十九條 信息化設(shè)備安全管理1、嚴(yán)禁將公司配發(fā)給員工用于辦公的計(jì)算機(jī)轉(zhuǎn)借給非 公司員工使用， 嚴(yán)禁利用公司信息化設(shè)備資源為第三方從 事兼職工作。2、員工須保管好個(gè)

8、人帳戶口令，未經(jīng)許可員工之間不 得私下互相轉(zhuǎn)讓、借用公司 IT 系統(tǒng)賬號(hào)；員工完成信息 系統(tǒng)的操作或離開工位時(shí)，須及時(shí)退出信息系統(tǒng)。3、員工個(gè)人終端必須設(shè)置系統(tǒng)登陸密碼和屏幕保護(hù)密 碼。4、員工個(gè)人終端必須安裝公司統(tǒng)一采購(gòu)的防病毒軟 件，不得私自卸載和停用， 及時(shí)更新重要系統(tǒng)補(bǔ)丁及病毒 庫，并定期查殺病毒。5、員工發(fā)現(xiàn)計(jì)算機(jī)或信息受到安全威脅或者已經(jīng)發(fā)生安全攻擊事件，應(yīng)立即通知信息安全管理員。第三十條 專業(yè)安全人員管理1、總部及各分公司 IT 中心應(yīng)指定專人負(fù)責(zé)信息安全 管理工作。2、總部 IT 中心的信息安全管理員負(fù)責(zé)協(xié)調(diào)信息安全 管理工作， 各分公司信息安全管理人員負(fù)責(zé)各自信息安全 建設(shè)工

9、作的實(shí)施，推動(dòng)各自信息安全各項(xiàng)工作開展。3、信息安全管理人員在離崗時(shí)，應(yīng)由IT 中心負(fù)責(zé)人指派專人接任信息安全管理工作； 接任信息安全管理人員 應(yīng)及時(shí)終止離崗人員的訪問權(quán)限， 并在交接后三個(gè)工作日 內(nèi)修改相關(guān)安全系統(tǒng)口令密碼。第三十一條 系統(tǒng)運(yùn)維安全管理，參照荷馬有限公司 信息系統(tǒng)運(yùn)維管理辦法 。第三十二條 信息安全事件預(yù)防和處理1、公司 IT 中心應(yīng)制定信息系統(tǒng)應(yīng)急預(yù)案和演練計(jì)劃， 并組織進(jìn)行演練。2、總部及各分公司 IT 中心負(fù)責(zé)信息安全事件預(yù)防和 處理工作。3、非重要信息系統(tǒng)整體癱瘓，系統(tǒng)管理員應(yīng)及時(shí)組織 人員進(jìn)行系統(tǒng)恢復(fù)； 重要信息系統(tǒng)整體癱瘓， 系統(tǒng)管理員 立即報(bào) IT 中心負(fù)責(zé)人，

10、并及時(shí)組織人員進(jìn)行恢復(fù)， 24 小 時(shí)內(nèi)無法恢復(fù)的，需要通知各相關(guān)部門并報(bào)分管領(lǐng)導(dǎo)。4、系統(tǒng)恢復(fù)后，系統(tǒng)管理員應(yīng)查明故障原因，制定改進(jìn)措施并加以驗(yàn)證，向IT中心負(fù)責(zé)人提交事件書面報(bào)告。第十章考核及其他第三十三條對(duì)違反信息安全管理規(guī)定，導(dǎo)致信息安全事件 的，或發(fā)生信息安全事件后未及時(shí)如實(shí)上報(bào)的，應(yīng)當(dāng)根據(jù)事件影響程度，追究相關(guān)部門領(lǐng)導(dǎo)責(zé)任并可對(duì)相關(guān)責(zé)任人 員處以警告、記過、記大過處分，情節(jié)嚴(yán)重者將解除勞動(dòng) 合同并送公安機(jī)關(guān)處理。第三十四條 本辦法自公布之日起實(shí)施。附錄A網(wǎng)絡(luò)設(shè)備安全配置檢查表設(shè)備編號(hào)設(shè)備名稱網(wǎng)絡(luò)管理員信息安全管理員檢查時(shí)間序號(hào)檢查項(xiàng)檢查結(jié)果備注1使用監(jiān)控系統(tǒng)監(jiān)控關(guān)鍵網(wǎng)絡(luò)設(shè)備的運(yùn)行狀態(tài)；是否2設(shè)置網(wǎng)絡(luò)設(shè)備的登錄口令；是否3根據(jù)管理需要開設(shè)用戶，無缺省口令、空口令、弱口令；是否4設(shè)置非法登錄次數(shù)和登錄連接超時(shí)時(shí)間；是否5僅采用ssh、https等加密協(xié)議方式對(duì)設(shè)備進(jìn) 行交互式管理；是否6對(duì)網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程管理的登錄地址進(jìn)行了限制；是否7網(wǎng)絡(luò)設(shè)備本地時(shí)間配置時(shí)間同步；是否8啟用網(wǎng)絡(luò)設(shè)備系統(tǒng)日志功能；是否附錄B主機(jī)設(shè)備安全配置檢查表設(shè)備編號(hào)設(shè)備名稱主機(jī)運(yùn)行維護(hù)人員信息安全管理員檢查時(shí)間序號(hào)檢查項(xiàng)檢查結(jié)果備注1更改缺省管理員賬號(hào)名稱是否本項(xiàng)僅適用于windows操作系統(tǒng)2停用不必要的帳號(hào)