核心資產(chǎn)安全管理制度

1、xxx通信有限責(zé)任公司 核心資產(chǎn)安全管理制度xxx通信有限責(zé)任公司2004年1月目錄目錄 3一、硬件安全管理 4二、軟件安全管理 7三、數(shù)據(jù)安全管理10一、硬件安全管理1 .設(shè)備選型1）業(yè)務(wù)系統(tǒng)設(shè)備的選型與采購(gòu)由信息中心統(tǒng)一歸口管理。2）設(shè)備選型的原則是在滿足工作需要的前提下， 保證所選產(chǎn)品的 先進(jìn)性和實(shí)用性，避免過(guò)早被淘汰，但也不要搞超前消費(fèi)而造 成資金的浪費(fèi)。3）選用或購(gòu)置涉密設(shè)備時(shí)應(yīng)符合有關(guān)規(guī)定，確保這些設(shè)備的可靠 性。2 .設(shè)備購(gòu)置與安裝1）對(duì)大宗采購(gòu)的設(shè)備要在國(guó)內(nèi)和國(guó)際廠商間進(jìn)行招標(biāo)， 并根據(jù)廠 商的產(chǎn)品性能、質(zhì)量、價(jià)格和售后服務(wù)等指標(biāo)做出優(yōu)化選擇， 實(shí)行集中采購(gòu)。2）下屬機(jī)構(gòu)購(gòu)置的

2、設(shè)備，都要填寫購(gòu)置申請(qǐng)表上報(bào)信息中心， 經(jīng) 信息中心和其他相關(guān)部門審批后由信息中心負(fù)責(zé)購(gòu)置。3）新購(gòu)置的網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)安全產(chǎn)品應(yīng)經(jīng)過(guò)安全檢測(cè)和實(shí)際測(cè) 試，測(cè)試合格后方能投入使用。4）復(fù)雜的設(shè)備由廠商或集成商負(fù)責(zé)安裝調(diào)試， 保證設(shè)備的可靠運(yùn) 行。5）關(guān)鍵的設(shè)備由信息技術(shù)人員經(jīng)過(guò)培訓(xùn)進(jìn)行安裝。3 .設(shè)備登記與使用1）建立設(shè)備登記檔案，詳細(xì)記錄每臺(tái)設(shè)備的名稱、規(guī)格、配置、 裝載軟件、單價(jià)、購(gòu)入日期、供貨商、存放地點(diǎn)、使用部門、 耐用年限等參數(shù)，關(guān)鍵設(shè)備應(yīng)建立維護(hù)檔案。2）設(shè)備應(yīng)由網(wǎng)管人員登記網(wǎng)絡(luò)拓?fù)鋱D，所有帶網(wǎng)卡的設(shè)備都應(yīng)登 記網(wǎng)卡號(hào)，嚴(yán)格限定相應(yīng)的網(wǎng)絡(luò)權(quán)限。3）所有設(shè)備都應(yīng)粘貼印有其設(shè)備編號(hào)、名稱

3、、類別、使用部門的 標(biāo)簽，并填寫一式兩份的固定資產(chǎn)登記卡， 一份交使用部門的 行政秘書或各單位的管理部門保管，另一份留信息中心保管。4）各部門及個(gè)人領(lǐng)用的設(shè)備應(yīng)實(shí)行個(gè)人負(fù)責(zé)制， 每臺(tái)設(shè)備有專人 負(fù)責(zé)管理和使用，不得隨意轉(zhuǎn)借，更不得交給無(wú)關(guān)人員使用。5）各部門間設(shè)備的調(diào)撥由調(diào)入部門填寫設(shè)備調(diào)入申請(qǐng)單，由調(diào)入部門、調(diào)出部門及相關(guān)部門負(fù)責(zé)人簽字同意后方可進(jìn)行調(diào)撥。6）對(duì)于不再需要或長(zhǎng)期閑置的設(shè)備，各部門應(yīng)及時(shí)歸還給資產(chǎn)管 理部門，以充分發(fā)揮設(shè)備的使用價(jià)值。4 .設(shè)備維護(hù)1）遵守定期維護(hù)檢查制度，對(duì)關(guān)鍵設(shè)備的維護(hù)與維修要建立詳細(xì) 的維護(hù)檔案，凡因疏于保養(yǎng)而造成的設(shè)備損壞或工作延誤將追 究當(dāng)事人的責(zé)任。

4、2）建立設(shè)備管理維護(hù)記錄，實(shí)行維護(hù)記錄制度。對(duì)故障發(fā)生的時(shí) 間、表現(xiàn)、采取的解決措施、結(jié)果及軟硬件的升級(jí)情況等進(jìn)行詳細(xì)記錄，并由系統(tǒng)管理員予以簽字，以便今后解決故障。3）建立相關(guān)電子設(shè)備的維護(hù)和維修手冊(cè)， 詳細(xì)記錄各廠商的聯(lián)系 電話、服務(wù)熱線等信息。4）設(shè)備自然使用損壞后，當(dāng)事人需填寫故障維修申請(qǐng)單報(bào)信息中 心，由信息中心指派專人檢查損壞情況后進(jìn)行維修，對(duì)無(wú)法當(dāng)時(shí)維修好的設(shè)備聯(lián)系廠商或維修單位進(jìn)行修理。5）非信息中心指定維護(hù)人員不得私自拆卸電子設(shè)備、不得維修設(shè)備或更換零件，凡因此而造成的設(shè)備損壞或配件丟失由當(dāng)事人 負(fù)責(zé)賠償。6）系統(tǒng)設(shè)備的擴(kuò)容和升級(jí)應(yīng)由信息中心考察必要性和可行性，經(jīng)領(lǐng)導(dǎo)批準(zhǔn)后，

5、統(tǒng)一安排購(gòu)買配件和實(shí)施升級(jí)。任何人不得自行 聯(lián)系設(shè)備升級(jí)。5 .設(shè)備報(bào)廢1）長(zhǎng)期閑置或不再使用的設(shè)備可向信息中心提出調(diào)撥或報(bào)廢申 請(qǐng)，由信息中心根據(jù)設(shè)備的完好率、 使用年限等因數(shù)決定進(jìn)行 調(diào)撥或報(bào)廢。2）對(duì)各部門內(nèi)確無(wú)使用價(jià)值的設(shè)備的報(bào)廢申請(qǐng)，由信息中心核準(zhǔn)后報(bào)領(lǐng)導(dǎo)批準(zhǔn)，并由財(cái)務(wù)部備案。3）由于使用人員重大責(zé)任事故而造成的部門內(nèi)的設(shè)備報(bào)廢，必須追究當(dāng)事人的責(zé)任，經(jīng)領(lǐng)導(dǎo)批準(zhǔn)后，再作報(bào)廢處理，并由財(cái)務(wù) 部備案。4）各分支機(jī)構(gòu)大額設(shè)備（單件購(gòu)買價(jià)超過(guò)五萬(wàn)）的調(diào)撥和報(bào)廢工作 原則上采用各單位提申請(qǐng)，信息中心審核批準(zhǔn)的方式。5）設(shè)備報(bào)廢依據(jù)財(cái)務(wù)管理辦法和有關(guān)規(guī)定執(zhí)行，對(duì)報(bào)廢設(shè)備上保 存的存貯介質(zhì)要進(jìn)行清

6、除，防止泄密。二、軟件安全管理1 .軟件的選型1）應(yīng)用軟件在開發(fā)或購(gòu)買之前應(yīng)正式立項(xiàng)， 成立由技術(shù)人員、業(yè) 務(wù)人員和管理人員共同組成的項(xiàng)目小組并建立軟件質(zhì)量保證 體系。2）選用的軟件必須是正版軟件。2 .軟件安全檢測(cè)審查1）軟件在正式使用之前應(yīng)進(jìn)行必要的安全功能檢測(cè)，保證業(yè)務(wù)能 正常安全可靠的運(yùn)行。不得建立無(wú)關(guān)的用戶，測(cè)試用戶在完成 測(cè)試后必須加以限制或刪除。2）應(yīng)用軟件在正式投入使用前必須經(jīng)過(guò)內(nèi)部評(píng)審，確認(rèn)系統(tǒng)功 能、測(cè)試結(jié)果和試運(yùn)行結(jié)果均滿足設(shè)計(jì)要求，技術(shù)文檔齊全， 并經(jīng)分管領(lǐng)導(dǎo)批準(zhǔn)。3）重要的業(yè)務(wù)應(yīng)用系統(tǒng)應(yīng)具有如下安全特性：4）自動(dòng)記錄全部操作過(guò)程；5）關(guān)鍵數(shù)據(jù)不得以明碼存放；6）無(wú)法繞

7、過(guò)應(yīng)用界面直接查看或操作數(shù)據(jù)庫(kù)；7）系統(tǒng)管理與業(yè)務(wù)操作權(quán)限嚴(yán)格分開；8）防止異常中斷后非法進(jìn)入系統(tǒng)；9)提供超時(shí)鍵盤鎖定功能;10) 業(yè)務(wù)數(shù)據(jù)在通信網(wǎng)絡(luò)上以加密方式傳輸；11) 應(yīng)存儲(chǔ)一年以上完整的系統(tǒng)運(yùn)行記錄；12) 提供系統(tǒng)運(yùn)行狀態(tài)監(jiān)控模塊；13) 提供數(shù)據(jù)接口，滿足稽核、審計(jì)及技術(shù)監(jiān)控的要求；14) 其它有助于控制業(yè)務(wù)操作風(fēng)險(xiǎn)的功能特性。15) 系統(tǒng)軟件應(yīng)具備如下安全功能：16) 身份驗(yàn)證功能，防止非法用戶隨意進(jìn)入系統(tǒng)；17) 訪問控制功能，防止系統(tǒng)中出現(xiàn)越權(quán)訪問；18) 故障恢復(fù)功能，能夠自動(dòng)或在人工干預(yù)下從故障狀態(tài)恢復(fù) 到正常狀態(tài)而不致造成系統(tǒng)混亂和數(shù)據(jù)丟失；19) 安全保護(hù)功能，對(duì)

8、信息的交換、傳輸、存儲(chǔ)提供安全保護(hù);20) 安全審計(jì)功能，便于應(yīng)用系統(tǒng)建立訪問用戶資源的審計(jì)記 錄；21) 分權(quán)制約功能，支持對(duì)操作員和管理員的權(quán)限分離與相互 制約。22) 系統(tǒng)軟件應(yīng)達(dá)到相應(yīng)的安全級(jí)別才能投入正常使用。23) 數(shù)據(jù)庫(kù)管理軟件除上述功能要求外，還應(yīng)具有數(shù)據(jù)庫(kù)的安 全性、完整性、一致性及可恢復(fù)性保障機(jī)制。24) 應(yīng)用軟件應(yīng)具備基本的訪問控制和安全審計(jì)功能。3 .軟件系統(tǒng)開發(fā)1)根據(jù)應(yīng)用系統(tǒng)對(duì)安全的要求，同步進(jìn)行安全保密設(shè)計(jì)。2）軟件開發(fā)過(guò)程應(yīng)符合GB/T8566-1995信息技術(shù)軟件生存期過(guò)程。3）開發(fā)維護(hù)人員與操作人員必須實(shí)行崗位分離，開發(fā)環(huán)境和現(xiàn)場(chǎng) 必須與生產(chǎn)環(huán)境和現(xiàn)場(chǎng)隔離。

9、4）軟件設(shè)計(jì)方案、數(shù)據(jù)結(jié)構(gòu)、加密算法、源代碼等技術(shù)資料嚴(yán)禁 流入生產(chǎn)現(xiàn)場(chǎng)、散失和外泄。5）開發(fā)的軟件應(yīng)遵循上述2.2中的安全特性和功能。4 .軟件使用與維護(hù)1）應(yīng)規(guī)定軟件的使用范圍和使用權(quán)限。2）嚴(yán)禁擅自使用外來(lái)的磁盤、磁帶和光盤。如工作需要，必須在 確保無(wú)計(jì)算機(jī)病毒、計(jì)算機(jī)系統(tǒng)工作安全的情況下，經(jīng)信息中 心批準(zhǔn)，并做好登記后方可使用。3）軟件使用人員應(yīng)經(jīng)過(guò)適當(dāng)?shù)牟僮髋嘤?xùn)和安全教育。4）信息技術(shù)人員不得擅自進(jìn)行軟件維護(hù)和系統(tǒng)參數(shù)調(diào)整。5）應(yīng)采取有效措施，防止對(duì)應(yīng)用軟件的非法修改。6）設(shè)專人負(fù)責(zé)業(yè)務(wù)軟件的版本升級(jí)，及時(shí)為軟件缺陷打補(bǔ)丁。5 .軟件安全跟蹤與報(bào)告1）設(shè)專人負(fù)責(zé)跟蹤系統(tǒng)軟件的安全補(bǔ)丁

10、，及時(shí)彌補(bǔ)安全漏洞。2）關(guān)鍵的業(yè)務(wù)系統(tǒng)軟件和應(yīng)用軟件必須啟用其自身的安全審計(jì) 留痕功能，便于系統(tǒng)建立訪問用戶資源的審計(jì)記錄。3）專人負(fù)責(zé)定期檢查和跟蹤審計(jì)日志， 及時(shí)發(fā)現(xiàn)問題，并生成日 志分析報(bào)告。4）定期對(duì)系統(tǒng)產(chǎn)生的日志進(jìn)行轉(zhuǎn)存和清除。三、數(shù)據(jù)安全管理1 .數(shù)據(jù)保密性管理1）對(duì)系統(tǒng)數(shù)據(jù)實(shí)施嚴(yán)格的安全與保密管理，防止系統(tǒng)數(shù)據(jù)的非法 生成、變更、泄露、丟失與破壞。2）關(guān)鍵業(yè)務(wù)數(shù)據(jù)不得泄露，禁止外傳。3）重要數(shù)據(jù)的處理過(guò)程中，被批準(zhǔn)使用數(shù)據(jù)人員以外的其它人員 不應(yīng)進(jìn)入機(jī)房工作；處理結(jié)束后，應(yīng)清除不能帶走的本作業(yè)數(shù) 據(jù)；妥善處理打印結(jié)果，任何記有重要信息的廢棄物在處理前 應(yīng)進(jìn)行粉碎。4）各業(yè)務(wù)數(shù)據(jù)僅

11、用于明確規(guī)定的目的，未經(jīng)批準(zhǔn)不得它用。5）無(wú)正當(dāng)理由和有關(guān)批準(zhǔn)手續(xù)，不得查閱客戶資料；經(jīng)正式批件 查閱數(shù)據(jù)時(shí)必須登記，并由查閱人簽字。6）涉密數(shù)據(jù)不得以明碼形式存儲(chǔ)和傳輸。7）根據(jù)數(shù)據(jù)的保密規(guī)定和用途，確定數(shù)據(jù)使用人員的存取權(quán)限、 存取方式和審批手續(xù)。8）在數(shù)據(jù)的傳輸過(guò)程中采用各種加密手段進(jìn)行保障，如利用 SSL、PGP等技術(shù)手段。9）未經(jīng)允許，不準(zhǔn)將機(jī)房設(shè)備、維護(hù)用品、軟盤、資料等私自帶 出機(jī)房，如有特殊情況，需經(jīng)負(fù)責(zé)人同意并進(jìn)行登記后方可帶 出。2.數(shù)據(jù)訪問控制管理1）設(shè)置系統(tǒng)管理員崗位，對(duì)系統(tǒng)數(shù)據(jù)實(shí)行專人管理。2）設(shè)置數(shù)據(jù)庫(kù)管理員崗位，對(duì)業(yè)務(wù)數(shù)據(jù)實(shí)行專人管理。3）數(shù)據(jù)庫(kù)管理系統(tǒng)的口令必須

12、由專人掌管，并定期更換。禁止同一人掌管操作系統(tǒng)口令和數(shù)據(jù)庫(kù)管理系統(tǒng)口令。4）重要數(shù)據(jù)的處理過(guò)程中，被批準(zhǔn)使用數(shù)據(jù)人員以外的其它人員 不應(yīng)進(jìn)入機(jī)房工作。處理結(jié)束后，應(yīng)清除不能帶走的本作業(yè)數(shù) 據(jù)。應(yīng)妥善處理打印結(jié)果，任何記有重要信息的廢棄物在處理 前應(yīng)進(jìn)行粉碎。5）對(duì)數(shù)據(jù)的備份、恢復(fù)、轉(zhuǎn)出、轉(zhuǎn)入的權(quán)限都應(yīng)嚴(yán)加控制。嚴(yán)禁 未經(jīng)授權(quán)將財(cái)務(wù)數(shù)據(jù)等拷貝出系統(tǒng)，轉(zhuǎn)給無(wú)關(guān)的人員或單位； 嚴(yán)禁未經(jīng)授權(quán)進(jìn)行數(shù)據(jù)恢復(fù)或轉(zhuǎn)入操作。6）采用實(shí)時(shí)監(jiān)控機(jī)制，及時(shí)發(fā)現(xiàn)不良信息或破壞性數(shù)據(jù)， 對(duì)其采 取封堵、清除等相應(yīng)安全控制措施。7）對(duì)監(jiān)控或檢測(cè)到的可疑數(shù)據(jù)采用跟蹤機(jī)制，并對(duì)其進(jìn)行可控性 操作，以便發(fā)現(xiàn)其最終企圖。3.數(shù)據(jù)備

13、份管理1）每個(gè)工作日結(jié)束后必須制作數(shù)據(jù)的備份并異地存放，保證系統(tǒng)發(fā)生故障時(shí)能夠快速恢復(fù)。2）關(guān)鍵業(yè)務(wù)數(shù)據(jù)必須定期、完整、真實(shí)、準(zhǔn)確地轉(zhuǎn)儲(chǔ)到不可更改 的介質(zhì)上，并要求集中和異地保存，保存期限至少 15年。3）備份的數(shù)據(jù)必須指定專人負(fù)責(zé)保管，由營(yíng)業(yè)部計(jì)算機(jī)信息技術(shù)人員按規(guī)定的方法同數(shù)據(jù)保管員進(jìn)行數(shù)據(jù)的交接。交接后的備 份數(shù)據(jù)應(yīng)在指定的數(shù)據(jù)保管室或指定的場(chǎng)所保管。4）數(shù)據(jù)保管員必須對(duì)備份數(shù)據(jù)進(jìn)行規(guī)范的登記管理。5）備份數(shù)據(jù)不得更改。6）備份數(shù)據(jù)保管地點(diǎn)應(yīng)有防火、防熱、防潮、防塵、防磁、防盜 設(shè)施。5 .數(shù)據(jù)存儲(chǔ)管理1）設(shè)專人負(fù)責(zé)數(shù)據(jù)存儲(chǔ)設(shè)備的使用和安全， 包括磁盤陣列、磁帶、 光盤等的安全。2）采用專門的數(shù)據(jù)備份和容災(zāi)安全解決方案及存儲(chǔ)設(shè)備。3）備份數(shù)據(jù)