信息系統(tǒng)監(jiān)理安全管理辦法2

1、信息系統(tǒng)平安管理方法（V0.1）第一章 總則第一條 為加強和規(guī)范北京賽迪信息工程監(jiān)理有限公司信息系統(tǒng)平安工作，進一步推動信息系統(tǒng)平安監(jiān)理標準化工作，提高項目現(xiàn)場平安監(jiān)理和文明實施管理水平，依據(jù)計算機信息網(wǎng)絡國際聯(lián)網(wǎng)平安愛護管理方法(公安部令第33號)、中華人民共和國計算機信息系統(tǒng)平安愛護條例 （1994年國務院147號令）、計算機信息系統(tǒng)平安愛護等級劃分準則（GB 17859-1999）特制定本方法。其次條 本方法所稱信息系統(tǒng)指公司一體化企業(yè)級信息系統(tǒng)，主要包括信息工程管理與服務平臺項目（以下簡稱“云平臺”）和五大業(yè)務應用?！皹I(yè)務應用”包括電子政務、科研工程、通信工程、涉及國家隱私的信息系統(tǒng)、

2、工程管理和詢問等業(yè)務應用。第三條 本方法適用于公司總部、各分公司?，F(xiàn)場平安監(jiān)理和文明實施管理除應執(zhí)行本方法外，尚應符合國家、省現(xiàn)行有關(guān)法律、法規(guī)和標準的規(guī)定。當本方法高于國家現(xiàn)行相關(guān)標準時，以本方法為準。第四條 有關(guān)信息系統(tǒng)平安的基本概念、方針、原則和制度（一）有關(guān)平安的幾個基本概念 1、信息系統(tǒng)平安在信息系統(tǒng)工程中，信息平安涵蓋了人工和自動信息處理的平安。信息系統(tǒng)平安包括：軟件平安和硬件網(wǎng)絡平安兩部分。在信息系統(tǒng)平安定義中，人是指信息系統(tǒng)應用的主體，包括：各類用戶支持人員技術(shù)管理人員行政管理人員等 2、網(wǎng)絡指以計算機、網(wǎng)絡互連設備、傳輸介質(zhì)以及操作系統(tǒng)、通信協(xié)議和應用程序所構(gòu)成的物理和邏輯的

3、完整體系。 3、環(huán)境 是系統(tǒng)穩(wěn)定和牢靠運行所須要的保障體系，包括：建筑物機房電力保障與備份應急與復原體系等（二）平安生產(chǎn)的方針 平安生產(chǎn)的方針：平安第一，預防為主。 （三） 平安生產(chǎn)原則 “三同時”原則凡是我國境內(nèi)新建、改建、擴建的基本建設項目(工程）、技術(shù)改造項目（工程）和引進的建設項目，其勞動平安衛(wèi)生設施必需符合國家規(guī)定的標準，必需與主體工程同時設計、同時施工、同時投入生產(chǎn)和運用； “五同時”原則企業(yè)的生產(chǎn)組織及領(lǐng)導者在安排、布置、檢查、總結(jié)、評比生產(chǎn)的時候，同時安排、布置、檢查、總結(jié)、評比平安工作； “四不放過”原則在調(diào)查處理平安事故時，必需堅持事故緣由分析不清不放過，事故責任者和群眾沒

4、有受到教化不放過，沒有實行切實可行的防范措施不放過和事故責任者沒有被處理不放過的原則； “三個同步”原則平安生產(chǎn)與經(jīng)濟建設、企業(yè)深化改革、技術(shù)改造同步規(guī)劃、同步發(fā)展、同步實施的原則。 （四）平安生產(chǎn)制度 平安生產(chǎn)制度：平安生產(chǎn)責任制、平安教化制度、平安檢查制度和事故報告制度。 其次章 信息系統(tǒng)平安管理職責第五條 公司信息系統(tǒng)平安管理實行統(tǒng)一領(lǐng)導、分級管理。各部門主要負責人是本單位信息系統(tǒng)平安第一責任人，各部門信息平安管理領(lǐng)導小組負責本單位信息系統(tǒng)平安重大事項決策和協(xié)調(diào)工作。第六條 信息系統(tǒng)平安納入公司平安管理體系，實行專業(yè)管理、歸口監(jiān)督。公司工程技術(shù)支持與服務部是信息系統(tǒng)平安的管理部門，負責管

5、理各業(yè)務系統(tǒng)的平安保障工作。第七條 公司工程技術(shù)支持與服務部主要職責： （一）落實國家有關(guān)信息系統(tǒng)平安法規(guī)、方針、政策、標準和規(guī)范，聯(lián)系國家有關(guān)部門落實信息系統(tǒng)平安管理相關(guān)工作； （二）組織制定公司信息系統(tǒng)平安管理規(guī)章制度和標準規(guī)范； （三）指導、協(xié)調(diào)和檢查各部門信息系統(tǒng)平安工作，組織落實公司信息系統(tǒng)等級愛護制度，統(tǒng)籌開展公司信息系統(tǒng)風險評估和平安檢查工作； （四）在公司應急體系框架內(nèi)，負責公司信息系統(tǒng)應急管理相關(guān)工作； （五）開展涉密計算機網(wǎng)絡和系統(tǒng)立項、設計和建設，做好信息系統(tǒng)平安與保密檢查； （六）負責規(guī)范公司信息系統(tǒng)平安產(chǎn)品的測評和選型工作。第八條 各職能部門職責： （一）負責實行國家

6、有關(guān)信息系統(tǒng)平安法規(guī)、方針、政策、標準和規(guī)范，實行公司信息系統(tǒng)平安相關(guān)規(guī)章制度和技術(shù)標準，建立健全本單位信息系統(tǒng)平安標準制度和規(guī)范體系； （二）負責落實本單位范圍內(nèi)信息系統(tǒng)平安工作責任制； （三）在公司信息職能管理部門指導下，落實本單位信息系統(tǒng)等級愛護制度、信息系統(tǒng)風險評估和平安檢查等工作； （四）按公司信息系統(tǒng)應急體系要求建立本單位信息系統(tǒng)應急體系，組織本單位信息系統(tǒng)平安突發(fā)事務的應急處理； （五）負責明確本單位信息系統(tǒng)平安運行維護部門或機構(gòu)，落實信息系統(tǒng)平安運行維護日常工作，具體落實信息系統(tǒng)平安等級愛護和平安策略； （六）組織本單位信息系統(tǒng)平安的宣揚和培訓。第三章 管理措施第九條 不斷建立

7、健全信息系統(tǒng)平安管理制度體系，通過操作規(guī)程實現(xiàn)平安管理和操作人員的標準化作業(yè)；定期對信息系統(tǒng)平安管理制度進行檢查和審定，對存在不足或須要改進的平安管理制度剛好進行修訂。第十條 嚴格遵守“涉密不上網(wǎng)、上網(wǎng)不涉密”紀律，嚴禁將涉密計算機與互聯(lián)網(wǎng)和其他公共信息網(wǎng)絡連接，嚴禁在非涉密計算機和互聯(lián)網(wǎng)上存儲、處理國家隱私。嚴禁在信息外網(wǎng)計算機上存儲和處理涉及企業(yè)隱私的信息。嚴禁涉密移動存儲介質(zhì)在涉密計算機和非涉密計算機及互聯(lián)網(wǎng)上交叉運用。第十一條 嚴格信息系統(tǒng)平安工作人員錄用過程，審查其身份、背景、專業(yè)資格，關(guān)鍵崗位應簽署保密協(xié)議；剛好終止離崗員工的全部訪問權(quán)限；嚴特別部人員訪問程序，對允許訪問人員實行專

8、人全程陪伴或監(jiān)督，并登記備案。第十二條 嚴格依據(jù)國家有關(guān)部門要求，開展公司網(wǎng)絡與信息系統(tǒng)定級、審批、備案工作。針對確定的網(wǎng)絡與信息系統(tǒng)平安等級，要依據(jù)等級愛護有關(guān)要求，落實必要的管理和技術(shù)措施，嚴格執(zhí)行等級愛護制度。第十三條 新建信息系統(tǒng)涉及平安防護措施建設，應明確平安需求，確定平安等級，結(jié)合公司平安防護總體策略，進行平安防護方案設計；依據(jù)國家有關(guān)規(guī)定和堅持激勵運用國產(chǎn)化產(chǎn)品原則，開展平安產(chǎn)品選購，必要時開展產(chǎn)品預先選型測試；加強軟件開發(fā)管理，確保開發(fā)環(huán)境與實際運行環(huán)境平安隔離；托付有資質(zhì)的第三方測試單位對系統(tǒng)進行平安性測試，并出具平安性測試報告；對測試不符合要求的，在整改后要重新測試。系統(tǒng)試

9、運行前，要開展相關(guān)平安培訓。第十四條 加強信息系統(tǒng)運行維護全過程管理：（一）嚴格執(zhí)行信息機房管理有關(guān)規(guī)范，確保機房運行環(huán)境符合要求，嚴格機房出入管理。要編制信息系統(tǒng)資產(chǎn)清單，建立資產(chǎn)管理制度，依據(jù)資產(chǎn)重要程度對資產(chǎn)進行標識。（二）對信息系統(tǒng)軟硬件設備選型、選購、運用等實行規(guī)范化管理，建立相應操作規(guī)程，對終端計算機、工作站、便攜機、系統(tǒng)和網(wǎng)絡等設備實行標準化作業(yè)。強化存儲介質(zhì)存放、運用、維護和銷毀等各項措施。（三）依據(jù)最小服務配置和最小授權(quán)原則，對平安策略、平安配置、日志和操作等方面做出具體規(guī)定，明確各個角色的權(quán)限、責任和風險；具體記錄日常操作、運行維護記錄、參數(shù)設置和修改等內(nèi)容，嚴禁任何未經(jīng)授

10、權(quán)的操作；定期開展運行日志和審計數(shù)據(jù)分析工作，剛好發(fā)覺異樣行為。剛好依據(jù)須要進行軟件升級更新，并在更新前做好備份；定期進行漏洞掃描，剛好發(fā)覺平安漏洞并進行修補；剛好安裝補丁程序，在安裝補丁前做好測試和備份工作。（四）剛好升級防病毒軟件，加強全員防病毒、木馬的意識，不打開、閱讀來歷不明的郵件；要指定專人對網(wǎng)絡和主機進行惡意代碼檢測并做好記錄，定期開展分析；加強防惡意代碼軟件授權(quán)運用、惡意代碼庫升級等管理。（五）嚴格系統(tǒng)變更、系統(tǒng)重要操作、物理訪問和系統(tǒng)接入申報和審批程序，建立健全變更管理制度。保證全部與外部系統(tǒng)的連接均得到授權(quán)和批準，進行必要的平安隔離，配置嚴格的訪問限制策略，開展必要的平安評估

11、。（六）建立和執(zhí)行密碼運用管理制度，運用符合國家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品。（七）對信息網(wǎng)絡與系統(tǒng)運行狀況等進行監(jiān)測和報警；定期對監(jiān)測和報警記錄進行分析，依據(jù)須要實行必要的應對措施；應建立平安管理中心，對平安設備、惡意代碼、補丁升級、平安審計等平安設施進行集中管理。（八）嚴格依據(jù)有關(guān)信息系統(tǒng)事故調(diào)查規(guī)定，剛好報告信息系統(tǒng)事故狀況，仔細開展信息系統(tǒng)事故緣由分析，堅持“四不放過”原則，有效落實整改，確保類似事故不再發(fā)生。嚴格執(zhí)行有關(guān)公司網(wǎng)絡與信息系統(tǒng)平安運行狀況通報制度，做好定期、節(jié)假日和特別時期的網(wǎng)絡與信息系統(tǒng)平安運行狀況報送工作。第十五條 嚴格執(zhí)行公司有關(guān)信息系統(tǒng)平安風險評估管理規(guī)定，切實將

12、信息系統(tǒng)平安風險評估工作常態(tài)化和制度化，剛好落實整改，剛好消退信息系統(tǒng)平安隱患。依據(jù)國家和公司要求，定期開展信息系統(tǒng)平安檢查工作，做好特別時期平安檢查和平安保障工作。第十六條 不斷完善應急預案，加強培訓和演練，確保人力、設備等應急保障資源可用。第十七條 建立備份與復原管理相關(guān)平安管理制度，嚴格限制數(shù)據(jù)備份和復原過程，妥當保存?zhèn)浞萦涗?，定期?zhí)行復原程序。要切實依據(jù)須要開展業(yè)務應用容災系統(tǒng)建設。第十八條 切實加強網(wǎng)絡信任體系建設規(guī)劃工作，不斷完善公司平安認證系統(tǒng)相關(guān)技術(shù)標準和功能規(guī)范。強化信任體系應用工作，做好信息系統(tǒng)統(tǒng)一身份認證，以及重要信息的加密和簽名工作。第十九條 切實加強員工信息系統(tǒng)平安培

13、訓，提高全員信息系統(tǒng)平安意識；強化信息系統(tǒng)平安人員專業(yè)技能培訓，做到培訓工作有安排、有總結(jié)，培訓效果有評價。要對關(guān)鍵崗位人員進行全面、嚴格的平安審查和技能考核，對在信息系統(tǒng)平安工作中做出顯著成果的單位和人員應賜予嘉獎和表彰。對違反國家法律、法規(guī)和公司有關(guān)規(guī)定，造成肯定不良影響和后果的，要追究其責任。第四章 技術(shù)措施其次十條 依據(jù)國家和公司有關(guān)規(guī)定，對機房建筑設置符合要求的避雷裝置、滅火和火災自動報警系統(tǒng)；實行防雨水措施，防止雨水、水蒸氣結(jié)露和地下積水；設置溫、濕度自動調(diào)整設施，限制機房溫、濕度在設備運行所允許范圍之內(nèi)，保證雙路供電,電源線和通信電纜應隔離，避開相互干擾；采納接地方式防止外界電磁

14、干擾和設備寄生耦合干擾。其次十一條 加強網(wǎng)絡平安技術(shù)工作： （一）網(wǎng)絡核心交換機、路由器等網(wǎng)絡設備要冗余配置，合理安排網(wǎng)絡帶寬；建立業(yè)務終端與業(yè)務服務器之間的訪問限制；依據(jù)須要劃分不同子網(wǎng)；對重要網(wǎng)段實行網(wǎng)絡層地址與數(shù)據(jù)鏈路層地址綁定措施。 （二）采納防火墻或入侵防護設備（IPS）對內(nèi)網(wǎng)邊界實施訪問審查和限制；對進出網(wǎng)絡信息內(nèi)容實施過濾，對應用層常用協(xié)議吩咐進行限制，網(wǎng)關(guān)應限制網(wǎng)絡最大流量數(shù)及網(wǎng)絡連接數(shù)。嚴格撥號訪問限制措施。 （三）加強內(nèi)部用戶私自訪問外部網(wǎng)絡行為的檢測工作，要能夠剛好發(fā)覺，精確定位，有效阻斷；對重要網(wǎng)段，應采納入侵檢測系統(tǒng)進行監(jiān)控，對入侵事務剛好供應報警。其次十二條 加強系

15、統(tǒng)平安技術(shù)工作： （一）對操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶進行身份標識和鑒別，具有登錄失敗處理，限制非法登錄次數(shù)，設置連接超時功能；用戶訪問不得采納空賬號和空口令，口令要足夠強健，長度不得少于8位。 （二）嚴格限制匿名用戶的訪問權(quán)限；實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶訪問權(quán)限分別，對訪問權(quán)限一樣的用戶進行分組，訪問限制力度應達到主體為用戶級，客體為文件、數(shù)據(jù)庫表級。 （三）限制單個用戶的多重并發(fā)會話和最大并發(fā)連接數(shù)，限制單個用戶對系統(tǒng)資源、磁盤空間的最大或最小運用限度，當系統(tǒng)服務水平降低到預先規(guī)定的最小值時，應能檢測并報警。其次十三條 嚴格網(wǎng)絡、系統(tǒng)平安審計工作，平安審計系統(tǒng)應定期生成審計報表，自動進行備份，審計記錄應受到愛護，避開刪除、修改或破壞。其次十四條 重要和敏感信息實行