信息安全管理制度講解學習

1、項目標號密級：絕密機密限制般草稿文檔：正式文檔：正式文檔修正：上海XXX電子商務有限公司信息安全管理制度目錄第一章關于信息安全的總述2第二章信息安全管理的組織架構 3第三章崗位和人員管理3第四章信息分級與管理3第五章信息安全管理準則4第六章信息安全風險評估和審計 9第七章培訓9第八章獎懲9第九章附則10第一章 關于信息安全的總述第一條 （制度的目的） 為了維護公司信息的安全， 確保公司不因信息安全問題遭受損失， 根據(jù) 公司章程及相關制度，特制定本制度 。第二條 （信息安全的概念）本制度所稱的信息安全是指在信息的收集、產(chǎn)生、處理、傳遞、存 儲等過程中，做到以下工作： 1）確保信息保密，但在經(jīng)過授

2、權的人員需要得到信息時 能夠在可以控制的情況下獲得信息； 2）保證信息完整和不被滅失，但在特定的情況下 應當銷毀一些不應保存的信息檔案； 3）保證信息的可用性。第三條 （制度的任務） 通過對具體工作中關于信息安全管理的規(guī)定， 提高全體員工的安全意識， 增強公司經(jīng)營過程中信息的安全保障， 最終確保公司所有信息得到有效的安全管理， 維 護公司利益。第四條 （制度的地位） 本制度是公司各級組織制定信息安全的相關措施、標準、 規(guī)范及實施細則都必須遵守的信息安全管理要求。第五條 （制度的適用范圍） 全體員工均必須自覺維護公司信息的安全， 遵守公司信息安全管理 方面的相關規(guī)定。一切違反公司信息安全管理規(guī)定

3、的組織和員人，均予以追究。第六條 （信息的概念） 本制度所稱的信息是指一切與公司經(jīng)營有關情況的反映 （或者雖然與公 司經(jīng)營無關， 但其產(chǎn)生或存儲是發(fā)生在公司控制的介質中） ，它們所反映的情況包括公 司的經(jīng)營狀況、財務狀況、組織狀況等一切內(nèi)容，其存儲的介質包括紙質文件、電子文 件甚至是存在員工大腦中。具體來說，包括但不限于下列類型：1、與公司業(yè)務相關的各個業(yè)務系統(tǒng)中的信息，如設計文檔、源代碼、可執(zhí)行代碼、配 置、接口以及相應的數(shù)據(jù)庫和數(shù)據(jù)庫相關備份等；2、與公司業(yè)務相關的各種業(yè)務數(shù)據(jù)， 如用戶資料、 經(jīng)銷商資料、 合作伙伴信息、 合同、 各業(yè)務系統(tǒng)運行時數(shù)據(jù)、各類統(tǒng)計數(shù)據(jù)和報表、收入數(shù)據(jù)等；3、

4、與公司內(nèi)部管理相關的各類行政數(shù)據(jù)，如人事資料、人事組織結構等；4、與公司財務管理相關的財務類數(shù)據(jù)，如采購信息、資產(chǎn)信息、財務信息；5、其他如公司各分子公司和外地辦事結構的數(shù)據(jù)； 公司員工對內(nèi)、 對外進行各種書面 的、口頭的信息傳播行為等。第七條 （信息安全工作的重要性）信息安全管理是公司內(nèi)部管理的一項重要及長期性的工作， 其貫穿整個公司各項業(yè)務與各個工作崗位， 各個中心和部門必須積極配合該項工作的開 展。第二章 信息安全管理的組織架構負責全面把握公司信息安全管第八條 公司最高管理層是公司信息安全管理工作的最高領導者， 理工作的方向。第九條公司CT（以及其領導的技術專家小組作為信息安全管理工作顧

5、問小組，負責指導公司信 息安全管理工作。第十條 公司成立專門的信息安全管理工作小組，負責檢查信息管理風險、制定安全管理規(guī)范、 監(jiān)督公司信息安全管理工作。第十一條 公司人力資源部、法務部、支付運維部及技術專家小組作為信息安全管理輔助執(zhí) 行機構配合信息安全小組工作執(zhí)行。第三章 崗位和人員管理第十二條 涉及到信息安全的崗位和人員的權責必須清晰明確，建立責任人機制，任何信息 都有明確的責任人進行負責。第十三條 加強對機要崗位人員的管理，嚴格控制機要崗位人員的人事變動，加強日常工作 監(jiān)管。第十四條 定期對員工進行信息安全培訓，確保員工了解信息安全存在的威脅和問題，在日 常工作中切實遵守信息安全政策。第四

6、章 信息分級與管理第十五條 信息分級依據(jù)信息的價值，或者信息在不安全情況下對公司及合作伙伴的直接或 潛在影響。第十六條 公司各類經(jīng)營管理信息均屬公司無形資產(chǎn)， 都必須按照規(guī)定的分級方式進行分級， 并明確標注。第十七條 公司為每級信息制定最低安全操作原則，以指導各項具體操作手冊的制定和具體 信息操作。第十八條 注：詳細的信息分級標準，以及最低安全操作原則，見信息分級和管理標準。第五章 信息安全管理準則第一節(jié) 實體和環(huán)境安全第十九條 關鍵或敏感信息的存放和處理設備需要放在安全的地方，并使用相應的安全防護 設備和準入控制手段進行保護， 確保這些信息或設備免受未經(jīng)授權的訪問、 損害或者干 擾。具體措施

7、如下：1. 存放或處理信息的設備，如服務器、存儲設備等，應該放在公司內(nèi)部機房或專業(yè)、 可信的IDC機房內(nèi)。2. 存放公司重要信息的 IT 設備接入網(wǎng)絡環(huán)境（特別是接入公網(wǎng)環(huán)境）必須經(jīng)過嚴格的 安全檢查， 配備符合安全要求的網(wǎng)絡設備和安全防范設備， 并采取有效的管理措施確保 不被入侵或數(shù)據(jù)泄露。3. 對于那些不能放在機房里，但又存放有關鍵或敏感信息的設備，如文件服務器，代 碼管理服務器等，必須放在有嚴格進出限制的房間里，不得放在公共辦公區(qū)域。4. 對于存放紙質文件的文件柜和文件室，必須有鎖或其他安全控制裝置，并指定專人 負責文件取放。5. 對于紙質文件或可移動存儲介質， 暫時不用時， 需存放在合

8、適的加鎖的柜子和 / 或其 它形式的安全設備中，并且可移動存儲介質上的重要文件需要加密保護。第二十條 嚴格控制進出安全區(qū)域的人員，并使用必要的監(jiān)控設備或手段監(jiān)視人員在安全區(qū) 域的行為。具體包括：1. 安全區(qū)域是指為存放關鍵或敏感信息，以及信息處理設備，而劃分出來有進入控制 手段的區(qū)域。2. 內(nèi)部員工進入安全區(qū)域必須經(jīng)過授權，并登記進入和離開時間。3. 外來人員在安全區(qū)內(nèi)工作，除需要經(jīng)過授權外，必須在適當?shù)谋O(jiān)視下進行工作。4. 人員隨身攜帶物品或設備進出安全區(qū)域必須經(jīng)過檢查。第二十一條 存放關鍵或敏感信息的介質或設備離開工作環(huán)境 （安全區(qū)域） ，運輸、 攜帶或在外 部使用，需采取保護手段，防止信

9、息竊取和損壞。第二十二條 存放關鍵或敏感信息的介質或設備，如果不再使用或轉作其他用途，應將其中的 數(shù)據(jù)進行徹底銷毀。應注意選擇數(shù)據(jù)銷毀手段，確保數(shù)據(jù)真正無法恢復。第二節(jié) 操作管理第二十三條 明確所有信息處理操作的流程，明確流程中每個環(huán)節(jié)的責任，確保信息處理過程 安全無誤。具體措施如下：1. 信息處理過程或操作步驟應整理成正式文檔，改動處理過程必須得到管理層授權， 操作人員必須按照信息處理的規(guī)定程序操作；2. 信息處理職責劃分清晰，并通過訪問控制、接觸限制機制確定授權人員身份；3. 定期檢查人員權限列表。第二十四條 信息系統(tǒng)必須建立詳細的操作規(guī)范和要求，并對這些操作規(guī)范進行備案，進行定 期檢查，

10、及時更新操作規(guī)范。第二十五條 各信息管理部門應采取有效取防范措施防止和檢測惡意軟件的入侵信息系統(tǒng)或設 備，防范措施必須由安全部門制定或經(jīng)過安全部門審核。第二十六條 根據(jù)信息使用特性建立備份策略和恢復流程，留存一個或多個數(shù)據(jù)備份，并演練 數(shù)據(jù)恢復流程。第二十七條 信息系統(tǒng)應記錄操作日志、事件日志和錯誤日志，根據(jù)信息等級和類型制定日志 信息的保存期限，并且在適當?shù)臅r候可監(jiān)視設備運行和操作環(huán)境情況。第三節(jié) 訪問控制第二十八條 制定正式流程控制信息系統(tǒng)訪問權限與服務使用權限的分配。這些流程應該涉及 用戶訪問生命周期的各個階段，從初期的新用戶注冊到用戶因不再要求對信息系統(tǒng)和服務進行 訪問而最終取消注冊，

11、定期對用戶訪問權限進行檢查。第二十九條 公司統(tǒng)一建立員工的身份信息庫，并為每位員工配備相應身份卡，所有信息必須 使用實名訪問， 除非信息明確標注可被匿名訪問或使用其他認證策略。 對于紙質文檔的 借閱、 復印等需用身份卡進行實名登記， 對于信息系統(tǒng)的訪問必須使用統(tǒng)一的用戶實名 認證。第三十條 信息的邏輯訪問權僅應授予合法用戶，信息系統(tǒng)應該滿足以下要求：1. 根據(jù)已經(jīng)確定的業(yè)務訪問控制策略來控制信息系統(tǒng)功能的用戶訪問權；2. 防止能夠越過系統(tǒng)訪問控制措施的實用程序和操作系統(tǒng)軟件的非法訪問；3. 不妨害其它與之共享信息資源的系統(tǒng)的安全；4. 僅能向信息所有者、其它指定的合法個人或定義的用戶組提供信息

12、訪問。第四節(jié) 系統(tǒng)開發(fā)和維護第三十一條 新系統(tǒng)和改進系統(tǒng)在建設過程中都應該考慮信息安全的需求，并采取相應的防范 措施，包括：1. 系統(tǒng)包括基礎設施、自主開發(fā)的業(yè)務應用程序和第三方開發(fā)的應用程序；2. 涉及關鍵或敏感信息的基礎設施和自主開發(fā)程序的安全設計方案必須經(jīng)過信息安全 管理組織審核；3. 從外部采購商用軟件或系統(tǒng)需要進行安全評估，需要達到公司信息安全要求。第三十二條 系統(tǒng)開發(fā)過程的產(chǎn)物（如設計文檔，源代碼，算法等）應嚴格管理，確保無關人 員無法接觸，并可有效控制這些產(chǎn)物傳播范圍。第三十三條 對于系統(tǒng)中不可避免需要暴露的敏感信息，必須采取有效措施確保信息不會被無 關人員獲取或者確保信息不可被

13、非法使用。第三十四條 系統(tǒng)開發(fā)過程必須有配套的項目管理工作，以保證相關項目中可能涉及到信息得 到有效的管理。第三十五條 系統(tǒng)維護必須做到權限清晰，系統(tǒng)中的重要數(shù)據(jù)必須指定專人負責數(shù)據(jù)管。第三十六條 開發(fā)、測試和線上環(huán)境分開，重要系統(tǒng)的開發(fā)、測試和維護職責必須分離。系統(tǒng) 開發(fā)或變更結束， 開發(fā)團隊應與維護團隊進行正式的系統(tǒng)交接工作， 并提供必要的技術 文檔。第五節(jié) 信息流轉、使用和發(fā)布第三十七條 公司信息對外發(fā)布由公司負責公共關系及投資者關系的部門統(tǒng)一負責，所有員工 應當嚴格遵守相關部門制定的信息發(fā)布政策。第三十八條 采取有效措施保護通過網(wǎng)絡傳送的關鍵或敏感信息，具體措施如下：1、利用公共網(wǎng)絡傳

14、送信息或進行交易處理， 應評估可能的信息風險， 確定信息傳送的 完整性、機密性、身份鑒別及不可否認性等安全需求，并針對數(shù)據(jù)傳輸、網(wǎng)絡線路與設 備、與外部的網(wǎng)絡接口及路由器等事項，采取妥善適當?shù)陌踩毓艽胧?、開放外界連接的信息系統(tǒng)，應根據(jù)數(shù)據(jù)及系統(tǒng)重要性和價值，采用數(shù)據(jù)加密、身份 鑒別、 電子簽名、 防火墻及安全漏洞偵測等不同安全類型的技術或措施， 防止數(shù)據(jù)及系 統(tǒng)被侵入、破壞、竄改、刪除及未經(jīng)授權的存取。與外界網(wǎng)絡連接的接口， 應使用防火墻及其他必要的安全設施， 控管外界與公司內(nèi)部網(wǎng) 絡的數(shù)據(jù)傳輸與資源存取。4、開放外界連接的信息系統(tǒng)， 必要時應以代理服務器等方式提供外界存取數(shù)據(jù)， 避免

15、外界直接進入信息系統(tǒng)或數(shù)據(jù)庫存取數(shù)據(jù)。5、存有關鍵或敏感信息的系統(tǒng)， 應加強安全保護措施， 防止關鍵或敏感信息遭不當或 不法的竊取使用。6、內(nèi)部員工之間或內(nèi)部員工與外部人員發(fā)送關鍵或敏感的信息，必須使用公司信息安全管理組織指定的傳送方式。第三十九條 公司應采取有效措施保護通過郵件傳送的關鍵或敏感數(shù)據(jù)，具體措施如下：1、 機密性數(shù)據(jù)以外的敏感性數(shù)據(jù)及文件， 如有電子傳送的需要， 各部門應是需要以適 當?shù)募用芑螂娮雍灻劝踩夹g處理；2、 機密數(shù)據(jù)原則上不建議使用電子郵件傳送。如果業(yè)務性質特殊， 必須利用電子郵件或其他電子方式傳送機密性數(shù)據(jù)及文件， 應采用公司認可的加密或電子簽名等安全技術 處理。

16、第四十條 機要信息通過網(wǎng)絡傳播必須加密， 正文和密碼必須采取兩個以上的通路進行發(fā)送。第四十一條 為了規(guī)避轉發(fā)帶來的信息泄漏風險，機要信息從源到使用環(huán)境，禁止通過中間環(huán) 節(jié)進行轉發(fā)，特殊情況需要經(jīng)過公司高層批準。第四十二條 嚴格控制信息使用需求，涉及到關鍵或敏感的信息必須嚴格進行審批：1、 對于各類信息的需求方必須明確， 需求方的變化必須進行審核， 機要信息需求方發(fā) 生變化必須得到公司高層批準；2、 信息的使用需求必須明確， 使用需求發(fā)生變化必須進行審核， 機要信息的使用需求 發(fā)生變更必須得到公司高層批準。第四十三條 信息使用者必須確保信息使用環(huán)境的安全，并在使用完畢后妥善處理信息（視信 息類型

17、不同，采取歸還、歸檔或者銷毀等操作） ，在未經(jīng)授權的情況下不得擅自傳播信息。第四十四條 管理信息流轉和使用的組織應致力于實現(xiàn)信息流轉的程序化和自動化，減少信息 流轉環(huán)節(jié)，以及不必要的人為接觸，提高信息安全和工作效率。第六節(jié) 安全事故和故障處理第四十五條 各個信息系統(tǒng)必須建立事故和故障的應急處理預案，盡量降低事故和故障對公司 經(jīng)營的影響。第四十六條第四十七條 安全事故匯報，將影響安全的事故通過適當?shù)墓芾砬辣M快向管理層匯報。第四十八條第四十九條 安全部門定期發(fā)布安全漏洞報告，列舉安全漏洞和安全風險，以及可以采取的解 決措施，相關部門積極配合改進。第五十條第五十一條 安全事故發(fā)生后，回顧事故處理過

18、程，分析事故原因，從事故中吸取教訓。第七節(jié) 業(yè)務連續(xù)性管理第五十二條 公司重要的業(yè)務， 特別是重要的 IT 應用和信息管理系統(tǒng)， 必須考慮如何防止業(yè)務 中斷，保證重要業(yè)務流程不受重大故障和災難的影響。第五十三條 重要 IT 系統(tǒng)需要制定和實施連續(xù)性計劃，內(nèi)容包括：1. 確定并認可各項責任和應急程序；2. 確定執(zhí)行應急程序可以在規(guī)定時間內(nèi)恢復IT 系統(tǒng)；3. 適當?shù)貙T工進行培訓，讓他們了解包括危機管理在內(nèi)的應急程序；4. 應急程序定期演練。第五十四條 業(yè)務連續(xù)性計劃需要定期進行檢查、維護，甚至重新分析。第六章信息安全風險評估和審計第五十五條第五十六條信息安全風險評估主要是為了發(fā)現(xiàn)公司信息管理的安全漏洞，評估信息安全風險 對公司的影響以及提出相應改進的措施。第五十七條信息安全風險評估主要由公司的安全部門和信息安全管理組織承擔，由其制定相 關風險評估模型并定期對各系統(tǒng)和流程進行評估。第五十八條第五十九條信息安全審計主要是為了審核各級組織和系統(tǒng)是否按照公司相關制度和流程進行 信息安全管