2022年企業(yè)信息安全管理制度

1、精品辦公文檔XX 公司信息安全管理制度（試行）第一章 總則第一條 為保證信息系統(tǒng)安全可靠穩(wěn)定運行，降低或阻止人為或自然因素從物理層面對公司信息系統(tǒng)的保密性、完整性、 可用性帶來的安全威脅，結合公司實際，特制定本制度。第二條本制度適用于XX公司以及所屬單位的信息系統(tǒng)安全管理。第三條第二章職責相關部門、單位職責：一、 信息中心（一） 負責組織和協(xié)調XX公司的信息系統(tǒng)安全管理工作；（二） 負責建立 XX公司信息系統(tǒng)網絡成員單位間的網絡訪 問規(guī)則；對公司本部信息系統(tǒng)網絡終端的網絡準入進行管理；（三） 負責對 XX公司統(tǒng)一的兩個互聯(lián)網出口進行管理，配臵防火墻等信息安全設備；為進行管理；會同保密處對公司本

2、部互聯(lián)網上網行（四） 對 XX公司統(tǒng)一建設的信息系統(tǒng)制定專項運維管理辦法，明確信息系統(tǒng)安全管理要求，任；界定兩級單位信息安全管理責精品辦公文檔（五） 負責 XX公司網絡邊界、網絡拓撲等全局性的信息安 全管理。二、 人力資源部（一） 負責人力資源安全相關管理工作。（二） 負責將信息安全策略培訓納入年度職工培訓計劃，并組織實施。三、 各部門（一） 負責本部門信息安全管理工作。（二） 配合和協(xié)助業(yè)務主管部門完善相關制度建設，落實 日常管理工作。四、 所屬各單位（一） 負責組織和協(xié)調本單位信息安全管理工作。（二） 對本單位建設的信息系統(tǒng)制定專項運維管理辦法，明確信息系統(tǒng)安全管理要求，報XX公司信息中心

3、備案。第三章 信息安全策略的基本要求第四條 信息系統(tǒng)安全管理應遵循以下八個原則：一、 主要領導人負責原則；二、 規(guī)范定級原則；三、 依法行政原則；四、 以人為本原則；五、 注重效費比原則；六、 全面防范、突出重點原則；精品辦公文檔七、 系統(tǒng)、動態(tài)原則；八、 特殊安全管理原則。第五條 公司保密委應根據業(yè)務需求和相關法律法規(guī)，組織 制定公司信息安全策略，經主管領導審批發(fā)布后，對員工及相關 方進行傳達和培訓。第六條 制定信息安全策略時應充分考慮信息系統(tǒng)安全策 略的“ 七定” 要求，即定方案、定崗、定位、定員、定目標、定 制度、定工作流程。第七條 信息安全策略主要包括以下內容：一、 信息網絡與信息系統(tǒng)

4、必須在建設過程中進行安全風險 評估，并根據評估結果制定安全策略；二、 對已投入運行且已建立安全體系的系統(tǒng)定期進行漏洞 掃描，以便及時發(fā)現(xiàn)系統(tǒng)的安全漏洞 ; 三、 對安全體系的各種日志 ( 如入侵檢測日志等 ) 審計結果 進行研究，以便及時發(fā)現(xiàn)系統(tǒng)的安全漏洞 ; 四、 定期分析信息系統(tǒng)的安全風險及漏洞、分析當前黑客 非常入侵的特點，及時調整安全策略；五、 制定人力資源、物理環(huán)境、訪問控制、操作、備份、系統(tǒng)獲取及維護、業(yè)務連續(xù)性等方面的安全策略，并實施。第八條 公司保密委每年應組織對信息安全策略的適應性、充分性和有效性進行評審，必要時組織修訂； 當公司的組織架構、生產經營模式等發(fā)生重大變化時也應進

5、行評審和修訂。精品辦公文檔第九條 根據“ 誰主管、誰負責” 的原則，公司建立信息安 全分級責任制，各層級落實信息系統(tǒng)安全責任。第四章 人力資源安全管理第十條 信息系統(tǒng)相關崗位設臵應滿足以下要求：一、 安全管理崗與其它任何崗位不得兼崗、混崗、代崗。二、 系統(tǒng)管理崗、網絡管理崗與應用管理崗不得兼崗、混 崗。三、 安全管理崗、 系統(tǒng)管理崗、 網絡管理崗、 應用管理崗、設備管理崗、技術檔案管理崗原則上有人員備份。四、 以上崗位人員調離必須辦理交接手續(xù)，所掌握的口令 應立刻更換或注銷該用戶。第十一條 人力資源部在相關崗位任職要求中應包含信息安全管理的相關條件和要求；訓計劃，并組織實施。將信息安全相關培訓

6、納入年度職工培第五章 信息系統(tǒng)物理和環(huán)境安全管理第十二條 信息系統(tǒng)物理安全指為了保證信息系統(tǒng)安全可靠運行，不致受到人為或自然因素的危害，而對計算機設備、設施（包括機房建筑、供電、空調）、環(huán)境、系統(tǒng)等采取適當的安全措施。第十三條 信息管理部門應采取切實可行的物理防護手段或技術措施對物理周邊、物理入口、 辦公及生產區(qū)域等進行安全控精品辦公文檔制，防止無關人員未授權物理訪問、損壞和干擾。第十四條 信息管理部門應加強對信息系統(tǒng)機房及配線間的 安全管理，要求如下：一、 工作人員需經授權，方能且只能進入中心機房的授權 工作區(qū)；確因工作需要，需進入非授權工作區(qū)時，需由該授權工作區(qū)人員陪同；做好機房出入登記（

7、格式見附錄 3-3 ）。二、 工作人員必須嚴格按照規(guī)定操作，未經批準不得超越自己職權范圍以外的操作；操作結束時， 必須退出已進入的操作畫面；最后離開工作區(qū)域的人員應將門關閉。三、 非授權人員嚴禁操作中心機房 消防及 UPS供配電設備設施。UPS、專用空調、監(jiān)控、四、 未經授權， 任何人員不得擅自拷貝數據和文件等資料。五、 嚴禁將易燃、易爆、強磁性物品帶入中心機房；嚴禁 在機房內吸煙。六、 發(fā)生意外情況應立即采取應急措施，并及時向有關部 門和領導報告。第六章 信息系統(tǒng)資產管理第十五條 信息管理部門應對信息和信息系統(tǒng)設備設施等相關資產建立臺帳清單（格式見附錄 清查。3-4 ），并定期對其進行盤點第

8、十六條 設備使用人應對信息和信息系統(tǒng)設備設施、各類存儲介質等相關資產進行標識。標識應張貼在信息設備的明顯位精品辦公文檔臵，做到信息完整、字跡清晰，并做好防脫落防護工作。第十七條信息管理部門應對主機進行控制管理，要求如下：一、 關鍵業(yè)務生產系統(tǒng)中的主機原則上應采用雙機熱備份方式或 n+m的多主機方式，確保軟件運行環(huán)境可靠；二、 一般業(yè)務生產系統(tǒng)中的主機、生產用 PC前臵機，關鍵設備可以采用軟硬件配臵完全相同的設備來實現(xiàn)冷備份；三、 各類設備在采購時技術規(guī)格中應明確服務響應時間、備品備件、現(xiàn)場服務等方面的要求，一般不高于 4小時。核心服務器、存儲相應時間第十八條 各相關部門應加強信息設備安裝、調試

9、、維護、維修、報廢等環(huán)節(jié)的管理工作，防止因信息設備丟失、損壞、失 竊以及資產報廢處臵不當引起的信息泄露。第七章 信息系統(tǒng)訪問控制及操作安全管理第十九條 公司將系統(tǒng)運行安全按粒度從粗到細分為四個層 次：系統(tǒng)級安全、資源訪問安全、功能性安全、數據域安全。一、 系統(tǒng)級安全策略包括：敏感系統(tǒng)的隔離、訪問地址段 的限制、登錄時間段的限制、會話時間的限制、連接數的限制、特定時間段內登錄次數的限制以及遠程訪問控制等。系統(tǒng)級安全 是應用系統(tǒng)的第一道防護大門。二、 資源訪問安全策略包括：對程序資源的訪問進行安全 控制，在客戶端上，為用戶提供和其權限相關的用戶界面，僅出現(xiàn)和其權限相符的菜單和操作按鈕；在服務端則對

10、 URL 程序資源精品辦公文檔和業(yè)務服務類方法的調用進行訪問控制。三、 功能性安全策略包括：功能性安全會對程序流程產生 影響，如用戶在操作業(yè)務記錄時，是否需要審核，上傳附件不能 超過指定大小等。四、 數據域安全策略包括：一是行級數據域安全，即用戶可以訪問哪些業(yè)務記錄，一般以用戶所在單位為條件進行過濾；二是字段級數據域安全，即用戶可以訪問業(yè)務記錄的哪些字段。第二十條 用戶管理應建立用戶身份識別與驗證機制，防止 非法用戶進入應用系統(tǒng)。具體要求如下：一、 公司按照相關的訪問控制策略，對用戶注冊、訪問開 通、訪問權限分配、權限的調整及撤銷、安全登錄、口令管理等 方面進行訪問控制的管理活動。二、 用戶是

11、指用以登錄、訪問和控制計算機系統(tǒng)資源的帳戶。用戶管理是指對用戶進行分層、加以區(qū)分， 由用戶口令加以保護。授權的管理。用戶由用戶名 按照計算機系統(tǒng)所承載的應用系統(tǒng)運行管理的需要，將用戶分為超級用戶、授權用戶、普通用 戶、匿名用戶四類，分別控制其權限。（一） 超級用戶。擁有對運行系統(tǒng)的主機、前臵機、服務 器、數據庫、 運行進程、 系統(tǒng)配臵、 網絡配臵等進行察看、修改、添加、重啟等權限并可對下級用戶進行授權的用戶。由系統(tǒng)管理崗位或網絡管理崗位主管進行分配，負責用戶口令的日常管理。由系統(tǒng)管理員或網絡管理員精品辦公文檔（二） 授權用戶。擁有由超級用戶根據應用系統(tǒng)開發(fā)或運行維護的特殊需要，經過崗位主管的審

12、批，將一些系統(tǒng)命令運行權限所授予的普通用戶，由授權用戶負責用戶口令的日常管理。（三） 普通用戶。應用系統(tǒng)開發(fā)或運行維護人員為應用系統(tǒng)一般監(jiān)控、維護的需要，由超級用戶分配的一般用戶，這類用戶僅擁有缺省用戶訪問權限的用戶，由用戶負責口令的日常管理。（四） 匿名用戶。匿名用戶用于向公司網絡內所有用戶提供相應服務，這類用戶一般僅擁有瀏覽權限，無用戶名及口令，一般情況下只允許提供如：時使用匿名用戶。標準、 期刊等無安全要求的系統(tǒng)服務三、 對用戶以及權限的設定進行嚴格管理，用戶權限的分 配遵循“ 最小特權” 原則。四、 口令是用戶用以保護所訪問計算機資源權利，不被他 人冒用的基本控制手段。口令策略的應用與

13、其被保護對象有關，口令強度與口令所保護的資源、數據的價值或敏感度成正比。（一） 所有在公司局域網網上運行的設備、計算機系統(tǒng)及 存有公司涉密數據的計算機設備都必須設臵口令保護。（二） 所有有權掌握口令的人員必須保證口令在產生、分 配、存儲、銷毀過程中的安全性和機密性。（三） 口令應至少要含有 字母字符口令。8 個字符；應同時含有字母和非（四） 口令設臵不能和用戶名或登錄名相同，不能使用生精品辦公文檔日、人名、英文單詞等易被猜測、易被破解的口令，如有可能，采用機器隨機生成口令。（五） 口令使用期限由各個系統(tǒng)安全要求而定。（六） 口令的使用期限和過期失效應盡可能由系統(tǒng)強制執(zhí) 行。（七） 設備在啟用時

14、，默認口令必須更改。第二十一條 系統(tǒng)運行安全檢查是安全管理的常用工作方 法，也是預防事故、發(fā)現(xiàn)隱患、指導整改的必要工作手段。信息 系統(tǒng)安全管理人員應做好系統(tǒng)運行安全檢查與記錄（格式見附錄 3-5 ）。檢查范圍：一、 應用系統(tǒng)的訪問控制檢查。包括物理和邏輯訪問控制，是否按照規(guī)定的策略和程序進行訪問權限的增加、變更和取消，用戶權限的分配是否遵循“ 最小特權” 原則。二、 應用系統(tǒng)的日志檢查。包括數據庫日志、系統(tǒng)訪問日 志、系統(tǒng)處理日志、錯誤日志及異常日志。三、 應用系統(tǒng)可用性檢查：包括系統(tǒng)中斷時間、系統(tǒng)正常 服務時間和系統(tǒng)恢復時間等。四、 應用系統(tǒng)能力檢查。包括系統(tǒng)資源消耗情況、系統(tǒng)交 易速度和系

15、統(tǒng)吞吐量等。五、 應用系統(tǒng)的安全操作檢查。用戶對應用系統(tǒng)的使用是 否按照信息安全的相關策略和程序進行訪問和使用。六、 應用系統(tǒng)維護檢查。維護性問題是否在規(guī)定的時間內精品辦公文檔解決，是否正確地解決問題，解決問題的過程是否有效等。七、 應用系統(tǒng)的配臵檢查。檢查應用系統(tǒng)的配臵是否合理和適當，各配臵組件是否發(fā)揮其應有的功能。八、 惡意代碼的檢查。 是否存在惡意代碼， 如病毒、 木馬、隱蔽通道導致應用系統(tǒng)數據的丟失、等。損壞、非法修改、 信息泄露九、 檢查出現(xiàn)異常時應進行記錄，非受控變化應及時報告，以確定是否屬于信息安全事件，屬于信息安全事件的應及時處理。第二十二條信息管理部門應定期對重要系統(tǒng)、配臵及

16、應用進行備份。備份管理要求如下：一、 各系統(tǒng)應于投產前明確數據備份方法，對數據備份和還原進行必要的測試，并根據實際運行需要及時調整，每次調整應進行測試；二、 對系統(tǒng)配臵、網絡配臵和應用軟件應進行備份。在發(fā) 生變動時，應及時備份；三、 業(yè)務數據備份按照各生產系統(tǒng)備份計劃的具體要求進 行，盡可能實現(xiàn)異地備份；四、 集中管理的系統(tǒng)、設備數據的備份工作由所在單位的 信息部門負責；五、 備份介質交接應嚴格履行交接手續(xù)，做好交接登記；六、 介質存放地必須符合防盜、防火、 防水、防鼠、防蟲、防磁以及相應的潔凈度、溫濕度等要求。精品辦公文檔第八章 網絡與通信安全管理第二十三條 信息化管理部門采取必要的技術手段

17、和管理措施，加強對網絡和通信安全的管理，保障公司內外信息傳遞安全。網絡安全管理包含網絡訪問控制、安全機制、網絡服務、網 絡隔離等，基本要求是：一、 定期對重要網絡設備運行情況進行安全檢查，發(fā)現(xiàn)隱 患及時上報或整改，并做好記錄（格式見附錄 3-5 ）。二、 定期備份重要網絡和通信設備配臵文件，確保發(fā)生故 障時能及時恢復網絡運行，保證網絡的可用性。加強內部網絡安全管理，具體要求如下：第二十四條 一、 網絡機房分區(qū)應獨立、封閉。二、 網絡設備脫離生產環(huán)境前應清空所有網絡配臵。三、 骨干網絡設備應有備份，接入網絡設備原則上應按 5% 比例備份。四、 網絡結構和網絡配臵應最大限度地保證網絡的健壯性、安全

18、性。五、 企業(yè)網應根據需要劃分不同的 列表控制各 VLAN的訪問權限。VLAN,并通過訪問控制六、 內部網絡計算機未經批準不得安裝網絡探測軟件，嚴 格禁止安裝任何黑客軟件。七、 生產網絡和測試網絡必須實行分離，嚴禁在生產環(huán)境 中做各種類型的業(yè)務測試。精品辦公文檔第二十五條 加強外聯(lián)網絡安全管理，具體要求如下：一、 外聯(lián)網絡安全遵循最小權限原則，許必須，禁止其他” 。訪問控制策略是 “ 允二、 外聯(lián)網絡在穿過不可控區(qū)域時數據傳輸原則上應采用 加密技術。三、 制定外聯(lián)網絡方案時應注意保守本公司網絡拓撲結構、IP 地址、端口、安全策略等秘密，并注意了解對方網絡結構及其 變化情況。第二十六條 加強互聯(lián)

19、網安全管理，具體要求如下：一、 互聯(lián)網與內部網絡必須有相關的邏輯隔離，涉及國家 秘密的信息不得通過互聯(lián)網傳輸。二、 不得訪問有關黑客網站，不得下載、安裝黑客軟件。三、 公司員工訪問互連網，必須遵守中華人民共和國計算機信息網絡國際聯(lián)網管理暫行規(guī)定等規(guī)定， 不得利用國際互連網從事?lián)p害國家、公司及他人利益的活動。第九章 信息系統(tǒng)供應商安全管理第二十七條 公司對信息系統(tǒng)供應商實施安全管理。信息系統(tǒng)供應商包括設備類供應商、或者是以上幾類的任意組合。技術類供應商、 咨詢服務類供應商、第二十八條信息系統(tǒng)實施過程中，信息化管理部門應與供應商簽訂安全保密協(xié)議，明確信息安全要求。第二十九條 信息化管理部門應對供應

20、商服務全過程進行精品辦公文檔監(jiān)視和控制。第十章 信息安全事件管理第三十條 信息安全事件指導致信息資產丟失和損壞，影響 信息系統(tǒng)正常工作甚至業(yè)務中斷的事件。主要有：一、 信息系統(tǒng)軟硬件故障；二、 網絡通信系統(tǒng)故障；三、 機房供配電系統(tǒng)故障；四、 系統(tǒng)感染計算機病毒 五、 信息系統(tǒng)遭水災、火災、雷擊；六、 信息網絡遭遇入侵或攻擊；七、 信息系統(tǒng)內的敏感數據失竊、泄露；八、 信息設備損壞、濫用或失竊；九、 信息被非法訪問、使用及篡改；十、 違背信息安全策略規(guī)定的其他事項。第三十一條 信息安全事件管理包括組織機構、職責和規(guī)程 的建立， 信息安全事態(tài)及信息安全弱點的報告和評估，信息安全 事件的應急處理等

21、。一、 建立信息安全事件管理機構和應急預案（一） 公司信息安全事件管理機構包含：XX公司保密委，負責領導信息安全事件管理工作；各級信息化管理部門 , 負責處 臵信息安全事件；信息安全事件響應小組（負責人），負責信息 安全事件響應和應急處理。精品辦公文檔（二） 信息化管理部門針對各類信息安全事件應分別制定 相應的應急預案，開展必要的知識、技能、意識等培訓。適時組 織相關人員開展應急演練。二、 開展信息安全事態(tài)及信息安全弱點報告和評估。信息 系統(tǒng)安全管理和維護人員應加強對網絡信息系統(tǒng)日常檢查維護，了解外部信息安全變化，充分掌握信息安全事態(tài)，及時發(fā)現(xiàn)和消除危及系統(tǒng)安全的各類安全隱患。當發(fā)現(xiàn)險情時，

22、應立即報告信息安全事件處臵責任部門。完成信息安全事件處理后，應及時進行評估和改進， 避免再次發(fā)生， 并做好記錄 （格式見附錄 3-3 ）。三、 信息安全事件應急處理，要求如下：（一） 當信息系統(tǒng)出現(xiàn)險情時，維護人員和各級應急救援 人員應正確履行應急預案所賦的職責和執(zhí)行信息安全事件處臵 責任部門下達的指令。（二） 在發(fā)生網絡與信息安全事件后，信息化管理部門應盡最大可能迅速收集事件相關信息，鑒別事件性質， 確定事件來源，弄清事件范圍和評估事件帶來的影響和損害。一旦確認為網 絡與信息安全事件后， 立即將事件上報信息安全領導小組并著手 處臵。（三） 安全事件進行最初的應急處臵以后應及時采取行動，抑制其影響的進一步擴大，限制潛在的損失與破壞，同時要確保應急處臵措施對涉及的相關業(yè)務影響最小。（四） 安全事件被抑制之后，通過對有關事件或行為的分精品辦公文檔析結果，找出其根源，明確相應的補救措施并徹底清除。（五） 在確保安全事件解決后，要及時清理系統(tǒng)、恢復數據、程序、服務恢復工作應避免出現(xiàn)誤操作導致數據丟失。（六） 信息安全事件發(fā)生時，應及時向公司保密委匯報，并及時報告處臵工作進展情況。事件處臵中要作好完整的過程記錄，保存各相關系統(tǒng)日志直至處臵工作結束。（七） 系統(tǒng)恢復運行后，信息管理部門應對事件造成的損 失、事件