信息安全策略

1、（北京）科技有限公司信息安全策略2016年8月版本控制版本修改時間修改內容修改人員審核人員V1.02016-08-25新增陳達隆吳為問第一章總則第一條為了建立、健全三二一（北京）科技有限公司的信息安全管理制度，按照相關的國家標準，確定信息安全方針和目標，對信息安全風險進行有效管理，確保全體員工理解并遵照信息安全管理制度的相關規(guī)定執(zhí)行，改進信息安全管理制度的有效性，特制定信息安全策略文檔。第二條本文檔適用于三二一（北京）科技有限公司信息安全管理活動。第二章信息安全范圍第三條信息安全策略涉及的范圍包括：（一）公司全體員工。（二）公司所有業(yè)務系統。（三）公司現有信息資產，包括與上述業(yè)務系統相關的數據

2、、硬件、軟件、服務及文檔等。（四）公司辦公場所和上述信息資產所處的物理位置。第三章信息安全總體目標第四條通過建立健全公司各項信息安全管理制度、加強公司員工的信息安全培訓和教育工作，制定適合公司的風險控制措施，有效控制信息系統面臨的安全風險，保障信息系統的正常穩(wěn)定運行。第四章信息安全方針第五條公司主管領導定期組織相關人員召開信息安全會議，對有關的信息安全重大問題做出決策。第六條清晰識別所有資產，實施等級標記，對資產進行分級、分類管理，并編制和維護所有重要資產的清單。第七條綜合使用訪問控制、監(jiān)測、審計和身份鑒別等方法來保證數據、網絡、信息資源的安全，并加強對外單位人員訪問信息系統的控制，降低系統被

3、非法入侵的風險。第八條啟動服務器操作系統、網絡設備、安全設備、應用軟件的日志功能，定期進行審計并作相應的記錄。第九條明確全體員工的信息安全責任，所有員工必須接受信息安全教育培訓，提高信息安全意識。針對不同崗位，制定不同等級培訓計劃，并定期對各個崗位人員進行安全技能及安全認知考核。第十條建立安全事件報告、事故應答和分類機制，確定報告可疑的和發(fā)生的信息安全事故的流程，并使所有的員工和相關方都能理解和執(zhí)行事故處理流程，同時妥善保存安全事件的相關記錄與證據。第十一條對用戶權限和口令進行嚴格管理，防止對信息系統的非法訪問。第十二條制定完善的數據備份策略，對重要數據進行備份。數據備份定期進行還原測試，備份

4、介質與原信息所在場所應保持安全距離。第十三條與外單位的外包（服務）合同應明確規(guī)定合同參與方的安全要求、安全責任和安全規(guī)定等相關安全內容，并采取相應措施嚴格保證對協議安全內容的執(zhí)行。第十四條在開發(fā)新業(yè)務系統時，應充分考慮相關的安全需求，并嚴格控制對項目相關文件和源代碼等敏感數據的訪問。第十五條定期對信息系統進行風險評估，并根據風險評估的結果采取相應措施進行風險控制。第十六條上述方針由信息安全管理委員會批準發(fā)布，并定期評審其適用性和充分性，必要時予以修訂。第五章信息安全職責第十七條信息安全管理委員會負責批準信息安全策略文件并且保證本文件被公司的各部門執(zhí)行，同時負責對三二一（北京）科技有限公司信息系

5、統信息安全方面的指導方向、安全建設等重大問題做出決策，協調各個部門之間的安全協同工作，支持和推動信息安全工作在整個公司范圍內的實施。第十八條信息技術部負責具體執(zhí)行安全管理策略文件的建立、實施、運作、監(jiān)控、評審、維護和改進工作。第十九條三二一（北京）科技有限公司所有員工有責任了解自身在信息系統信息安全方面的責任并認真執(zhí)行。第六章信息安全管理原則第二十條信息安全管理工作實行“積極防范、突出重點、職責到位、保障業(yè)務”和“誰主管、誰負責”的管理原則。第七章信息安全策略一、安全管理制度策略第二十一條由公司統一制定信息安全工作的總體方針和安全策略，說明安全工作的總體目標、范圍、原則和安全框架，形成由安全策

6、略、管理制度、操作規(guī)程等構成的全面的信息安全管理制度體系。第二十二條信息技術部負責安全管理制度的制定，安全管理制度應具有統一的格式和版本控制，同時并組織相關人員對制定的安全管理制度進行論證和審定，并通過臍橙金融網絡借貸信息中介平臺進行發(fā)布。第二十三條信息安全管理委員會負責定期組織相關部門和相關人員對安全管理制度體系的合理性和適用性進行審定，對存在不足或需要改進的安全管理制度進行修訂。二、安全管理機構策略第二十四條成立信息安全管理委員會，全面負責信息安全工作。第二十五條信息技術部作為信息安全管理工作的職能部門，并設立安全管理專員，并設立應用系統管理員、數據庫管理員、網絡管理員等崗位，并定義各崗位

7、的職責。第二十六條關鍵事務崗位應配備AB角。第二十七條針對系統變更、重要操作、物理訪問和系統接入等事項建立審批程序，按照審批程序執(zhí)行審批過程，對重要活動建立逐級審批制度，并定期審查審批事項，及時更新需授權和審批的項目、審批部門和審批人等信息，并記錄審批過程并保存審批文檔。第二十八條加強組織內部的合作與溝通，定期召開協調會議，共同協作處理信息安全問題，并加強外聯單位合作與溝通，并制定外聯單位聯系列表。第二十九條制定安全審核和安全檢查制度，規(guī)范安全審核和安全檢查工作，定期按照程序進行安全審核和安全檢查活動。三、人員安全策略第三十條人力行政部負責員工錄用，嚴格規(guī)范人員錄用過程，對被錄用人的身份、背景

8、、專業(yè)資格和資質等進行審查，對其所具有的技術技能進行考核，并簽署保密協議。第三十一條員工應根據崗位職責要求嚴格履行其安全角色和職責，主要包括：保護資產免受未授權的訪問、泄漏、修改、銷毀或干擾，執(zhí)行特定的安全過程或活動，報告安全事件或其他風險。安全角色和職責必須清晰的傳達給所有員工，確保他們能清楚各自的安全責任。第三十二條定期對各個崗位的人員進行安全技能及安全認知的考核，對關鍵崗位的人員要進行全面、嚴格的安全審查和技能考核。第三十三條外單位人員在訪問公司信息處理設施前必須簽署保密協議，保密協議內容包括外單位人員訪問信息資產的權利、承擔的安全責任、違反職責要承擔的后果等。負責接待人員或部門要保證外

9、單位人員了解保密協議的條款和內容，并同意協議規(guī)定的權利和責任第三十四條公司主要領導承擔管理職責，保證所有員工和外單位人員能按照安全方針、策略和程序進行日常工作。管理職責包括使所有員工和外單位人員清晰了解各自的安全角色和安全職責、提高他們的安全意識和安全技能等。第三十五條定期對所有員工進行安全培訓，培訓內容包括安全方針、策略、程序、信息處理設施正確使用方法、安全意識等。根據人員的安全角色和職責制定不同的培訓計劃，保證所有員工和外單位人員能認識到信息安全問題和信息安全事件，并能按照各自的安全角色履行安全職責。第三十六條制定正式的紀律處理過程，來嚴肅處理安全違規(guī)的員工，并威懾其他員工，防止他們違反安

10、全策略、程序和其他安全違規(guī)。紀律處理要正確、公平，要根據違規(guī)的性質、重要性和對業(yè)務的影響等因素區(qū)別對待。第三十七條當員工離職或調離其他崗位、外單位人員合同期滿時，立即終止原來的安全角色和安全職責，并通知中心所有員工，使所有員工能及時清楚人員的變化。第三十八條當員工離職或調離其他崗位、外單位人員合同期滿時，及時歸還其使用的所有資產，如設備、軟件、文件、訪問卡、電子資料等，防止對資產的非授權使用，及時刪除其對信息和信息處理設施的訪問權限。四、系統建設策略第三十九條信息技術部負責對信息系統的安全建設進行總體規(guī)劃，制定近期和遠期的安全建設工作計劃；信息技術部根據信息系統的等級劃分情況，統一考慮安全保障

11、體系的總體安全策略、安全技術框架、安全管理策略、總體建設規(guī)劃和詳細設計方案，并形成配套文件。第四十條應組織相關部門和有關安全技術專家對總體安全策略、安全技術框架、安全管理策略、總體建設規(guī)劃、詳細設計方案等相關配套文件的合理性和正確性進行論證和審定，并且經過批準后，才能正式實施。第四十一條信息技術部負責安全產品的采購，確保安全產品采購和使用符合國家的有關規(guī)定，而密碼產品采購和使用符合國家密碼主管部門的要求，在采購前應預先對產品進行選型測試，確定產品的候選范圍，并定期審定和更新候選產品名單。第四十二條業(yè)務系統的開發(fā)、測試和運行設施要分離并進行控制，控制措施包括敏感數據不能拷貝到測試系統環(huán)境中、禁止

12、開發(fā)和測試人員訪問運行系統及其信息等，以減少對運行設施及其信息的未授權訪問和帶來的潛在風險。第四十三條定期根據外包服務協議中的安全要求，監(jiān)視、評審由外單位提供的服務、報告和記錄，監(jiān)督協議規(guī)定的信息安全條款和條件的嚴格執(zhí)行。監(jiān)視、評審內容包括監(jiān)視服務執(zhí)行效率，評審服務報告，審查外包服務的安全事件、操作問題、故障、失誤追蹤和破壞的記錄。第四十四條授權信息技術部負責工程實施過程的管理，工程實施前應制定詳細的工程實施方案控制實施過程，并要求工程實施單位能正式地執(zhí)行安全工程過程，并制定工程實施方面的管理制度，明確說明實施過程的控制方法和人員行為準則。第四十五條新業(yè)務系統或升級版本在正式上線前，要進行合適

13、的測試，并根據驗收要求和標準進行正式的驗收，以證實全部驗收準則完全被滿足。第四十六條系統建設完成后應制定詳細的系統交付清單，并根據交付清單對所交接的設備、軟件和文檔等進行清點；應提供系統建設過程中的文檔和指導用戶進行系統運行維護的文檔，同時對負責系統運行維護的技術人員進行相應的技能培訓。第四十七條信息技術部負責等級測評的管理，并在系統運行過程中，對信息系統應每年進行一次等級測評，應選擇具有國家相關技術資質和安全資質的測評單位，發(fā)現不符合相應等級保護標準要求的及時整改；同時在系統發(fā)生變更時及時對系統進行等級測評，發(fā)現級別發(fā)生變化的及時調整級別并進行安全改造，發(fā)現不符合相應等級保護標準要求的及時整

14、改。第四十八條在選擇安全服務商時應符合國家的有關規(guī)定，并與選定的安全服務商簽訂與安全相關的協議，明確約定相關責任，同時確保選定的安全服務商提供技術培訓和服務承諾，必要的與其簽訂服務合同。五、系統運維策略第四十九條所有的資產要指定專人責任，并對責任人賦予相應的職責，確保所有資產都可以核查。第五十條根據資產的重要性、業(yè)務價值、依賴程度，對所有資產進行分類、分級，編制資產的清單。對資產清單妥善保管，并在資產變更時及時更新清單，確?？梢詫Y產進行有效的保護。第五十一條應對磁帶、磁盤、閃盤、可移動硬件驅動器、CDDVD打印媒體等進行有效的管理，防止非授權的使用和破壞。對可移動存儲介質的管理包括所有介質應

15、存儲在符合制造商說明的安全、保密環(huán)境中，使用介質要進行授權、登記并追蹤審計等。第五十二條應對不再需要的介質進行安全處置，降低介質敏感信息泄漏給未授權人員的風險。第五十三條應對信息系統相關的各種設備（包括備份和冗余設備）、線路等指定專門的部門或人員定期進行維護管理。第五十四條應建立配套設施、軟硬件維護方面的管理制度，對其維護進行有效的管理，包括明確維護人員的責任、涉外維修和服務的審批、維修過程的監(jiān)督控制等，應確保信息處理設備必須經過審批才能帶離機房或辦公地點。第五十五條重要的紙質文檔應實行借閱登記制度，未經信息技術部領導批準，任何人不得將技術文檔轉借、復制或對外公開；重要的電子文檔應建立OA等電

16、子化辦公審批平臺進行管理。第五十六條應對通信線路、主機、網絡設備和應用軟件的運行狀況、網絡流量、用戶行為等進行監(jiān)測和報警，形成記錄并妥善保存；同時組織相關人員定期對監(jiān)測和報警記錄進行分析、評審，發(fā)現可疑行為，形成分析報告，并采取必要的應對措施。第五十七條應指定專人對網絡和主機進行惡意代碼檢測并保存檢測記錄；定期檢查信息系統內各種產品的惡意代碼庫的升級情況并進行記錄，對主機防病毒產品、防病毒網關和郵件防病毒網關上截獲的危險病毒或惡意代碼進行及時分析處理，并形成書面的報表和總結匯報。第五十八條應建立對所有密鑰的產生、分發(fā)和接收、使用、存儲、更新、銷毀等方面進行管理的制度，密鑰管理人員必須是本機構在

17、編的正式員工。第五十九條應建立變更管理制度，系統發(fā)生變更前，制定變更方案，同時向主管領導申請，變更和變更方案經過評審、審批后方可實施變更，并在實施后將變更情況向相關人員通告。第六十條遵照信息安全事故報告機制，報告可能對中心的信息資產安全造成影響的不同種類的安全事故和弱點，并確保所有的員工、合同方和外單位人員都遵守執(zhí)行這套報告程序。第六十一條對安全事故進行分類和分級，及時對信息安全事故的類型、頻率和影響等進行評估，并采取適當措施防止事故再次發(fā)生。第六十二條應建立有效的技術保障機制，確保在安全事件處置過程中不會因技術能力缺乏而導致處置中斷或延長應急處置時間。第六十三條應建立應急預案，在統一的應急預

18、案框架下制定不同事件的應急預案，應急預案框架應包括啟動應急預案的條件、應急處理流程、系統恢復流程、事后教育和培訓等內容；同時應從人力、設備、技術和財務等方面確保應急預案的執(zhí)行有足夠的資源保障。六、物理安全策略第六十四條運營維護部負責機房安全，并配備機房安全管理人員，對機房的出入、服務器的開機或關機等工作進行管理；應定期對機房供配電、空調、溫濕度控制等設施進行維護管理。第六十五條應建立機房安全管理制度，對有關機房物理訪問，物品帶進、帶出機房和機房環(huán)境安全等方面的管理作出規(guī)定。第六十六條在機房內設置安全防盜報警裝置和監(jiān)控系統來實現防盜、防毀、保障設備的安全。第六十七條按照相關設計規(guī)范和技術要求，在

19、機房設計和建設中做好靜電防護設施、防雷裝置和接地保護系統。第六十八條必須建立警報系統，在發(fā)現擅自進入受控區(qū)域時發(fā)出警報。第六十九條對于重要的數據要進行備份，備份數據的存放位置應符合GBJ45-82中規(guī)定的一級耐火等級，符合防火、防高溫、防水、防震等要求；定期對備份數據進行檢查，保證其可用性。第七十條對于辦公環(huán)境，應加強公司人員的保密性管理，工作人員調離辦公室應立即交還該辦公室鑰匙、不在辦公區(qū)接待來訪人員、離開電腦時應鎖屏、在辦公桌面不得擺放含有公司客戶數據等敏感信息的文件。七、主機安全策略第七十一條應指定專人對系統進行管理，劃分系統管理員角色,明確各個角色的權限、責任和風險，權限設定應當遵循最

20、小授權原則；并建立系統安全管理制度，對系統安全策略、安全配置、日志管理和日常操作流程等方面作出具體規(guī)定；同時依據操作手冊對系統進行維護，詳細記錄操作日志，包括重要的日常操作、運行維護記錄、參數的設置和修改等內容，嚴禁進行未經授權的操作。第七十二條應提高全體用戶的防病毒意識，安裝防病毒軟件，及時告知防病毒軟件版本，在讀取移動存儲設備上的數據以及網絡上接收文件或郵件之前，先進行病毒檢查，對外來計算機或存儲設備接入網絡系統之前也應進行病毒檢查。第七十三條當因內外部審核、軟件開發(fā)、軟件安裝或其他規(guī)定需求而需要特殊的訪問賬號時，賬號必須被授權；創(chuàng)建的日期期限必須明確；工作結束時此賬號必須刪除。第七十四條

21、所有賬號都必須使用分配的用戶進行唯一性標識。第七十五條應指派專人負責刪除個人賬號；必須將修改用戶賬號相關信息的過程文件化；必須定期評審現有賬號的有效性，并將此過程文件化。第七十六條操作系統應遵循最小安裝的原則，僅安裝需要的組件和應用程序，并通過設置升級服務器等方式保持系統補丁及時得到更新。第七十七條應定期的對服務器和重要客戶端上的每個操作系統用戶和數據庫用戶進行審計，審計內容包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等系統內重要的安全相關事件。第七十八條在訪問操作系統過程中，對于不活動的會話必須設定在一個不活動周期后關閉，以防止未授權人員訪問和拒絕服務攻擊。第七十九條記錄系統管理

22、員和系統操作員的操作日志，并定期評審這些日志信息。系統管理員和系統操作員的日志應包括事件發(fā)生的時間，涉及的帳號和管理員或操作員，事件或故障的信息內容等信息。八、網絡安全策略第八十條應建立網絡安全管理制度，對網絡安全配置、日志保存時間、安全策略、升級與打補丁、口令更新周期等方面作出規(guī)定；同時應指定專人對網絡進行管理，負責運行日志、網絡監(jiān)控記錄的日常維護和報警信息分析和處理工作；應實現設備的最小服務配置，并對配置文件進行定期離線備份；第八十一條應定期對網絡系統進行漏洞掃描，對發(fā)現的網絡系統安全漏洞進行及時的修補；應根據廠家提供的軟件升級版本對網絡設備進行更新，并在更新前對現有的重要文件進行備份。第八十二條應保證所有與外部系統的連接均得到授權和批準；并依據安全策略允許或者拒絕便攜式和移動式設備的網絡接入；同時定期檢查違反規(guī)定撥號上網或其他違反網絡安全策略的行為。第八十三條計算機設備如果無人值守必須啟動口令保護（屏?；蜃N）。第八十四條網絡基礎設施支持一系列合理定義的、被認可的