企業(yè)信息安全規(guī)范

1、企業(yè)信息安全規(guī)范企業(yè)信息安全規(guī)范企業(yè)信息安全規(guī)范資料僅供參考文件編號(hào)：2022年4月企業(yè)信息安全規(guī)范版本號(hào)： A修改號(hào)： 1頁(yè) 次： 1.0 審 核： 批 準(zhǔn): 發(fā)布日期： 信息安全管理規(guī)范第一章 總則為規(guī)范企業(yè)信息系統(tǒng)及所承擔(dān)維護(hù)服務(wù)的用戶信息系統(tǒng)的信息安全管理，促進(jìn)信息安全管理工作體系化、規(guī)范化，提高信息系統(tǒng)和網(wǎng)絡(luò)服務(wù)質(zhì)量，提高信息系統(tǒng)管理人員、維護(hù)人員以及使用人員的整體安全素質(zhì)和水平，特制定本管理規(guī)范。本管理規(guī)范目標(biāo)是為公司信息安全管理提供清晰的策略方向，闡明信息安全建設(shè)和管理的重要原則，闡明信息安全的所需支持和承諾。本規(guī)范是指導(dǎo)公司信息安全工作的基本依據(jù)，信息安全相關(guān)人員必須認(rèn)真執(zhí)行本

2、規(guī)程，并根據(jù)工作實(shí)際情況，制定并遵守相應(yīng)的安全標(biāo)準(zhǔn)、流程和安全制度實(shí)施細(xì)則，做好安全維護(hù)管理工作。信息安全是公司及所承擔(dān)的用戶信息系統(tǒng)系統(tǒng)運(yùn)維服務(wù)工作的重要內(nèi)容。公司管理層非常重視，大力支持信息安全工作，并給予所需的人力物力資源。本規(guī)范的適用范圍包括所有與公司信息系統(tǒng)及本公司所承擔(dān)維護(hù)服務(wù)的各方面相關(guān)聯(lián)的人員，它適用于本公司全部員工，集成商，軟件開(kāi)發(fā)商，產(chǎn)品提供商，商務(wù)伙伴和使用公司信息系統(tǒng)的其他第三方。本規(guī)范適用于公司所承擔(dān)服務(wù)支撐的外部各單位的信息系統(tǒng)的安全工作范圍。本規(guī)范主要依據(jù)國(guó)際標(biāo)準(zhǔn)ISO17799,并遵照我國(guó)信息安全有關(guān)法律法規(guī)、電信行業(yè)規(guī)范和相關(guān)標(biāo)準(zhǔn)。第二章 安全管理的主要原則管

3、理與技術(shù)并重的原則：信息安全不是單純的技術(shù)問(wèn)題，在采用安全技術(shù)和產(chǎn)品的同時(shí)，應(yīng)重視管理，不斷積累完善各個(gè)信息安全管理章程與規(guī)定，全面提高信息安全管理水平。全過(guò)程原則：信息安全是一個(gè)系統(tǒng)工程，應(yīng)將它落實(shí)在系統(tǒng)建設(shè)、運(yùn)行、維護(hù)、管理的全過(guò)程中，安全系統(tǒng)應(yīng)遵循與信息系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行的原則，在任何一個(gè)環(huán)節(jié)的疏忽都可能給信息系統(tǒng)帶來(lái)危害。風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)控制原則：應(yīng)進(jìn)行安全風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)控制，以可以接受的成本或最小成本，確認(rèn)、控制、排除可能影響公司信息系統(tǒng)的安全風(fēng)險(xiǎn)，并將其帶來(lái)的危害最小化。分級(jí)保護(hù)原則：應(yīng)根據(jù)信息資產(chǎn)的重要程度以及面臨的風(fēng)險(xiǎn)大小等因素決定各類(lèi)信息資產(chǎn)的安全保護(hù)級(jí)別。制訂各

4、類(lèi)網(wǎng)絡(luò)系統(tǒng)和信息資產(chǎn)的安全保護(hù)等級(jí)表，在表中明確資產(chǎn)類(lèi)別，同時(shí)確定對(duì)何種資產(chǎn)應(yīng)達(dá)到何種級(jí)別的安全。統(tǒng)一規(guī)劃、分級(jí)管理實(shí)施原則：信息安全管理遵循統(tǒng)一規(guī)劃、分級(jí)管理的原則。信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)對(duì)公司各項(xiàng)信息安全管理工作進(jìn)行統(tǒng)一規(guī)劃，負(fù)責(zé)信息安全管理辦法的制定和監(jiān)督實(shí)施。各級(jí)部門(mén)在信息安全領(lǐng)導(dǎo)小組指導(dǎo)與監(jiān)督下，負(fù)責(zé)具體實(shí)施。平衡原則：在公司信息安全管理過(guò)程中，應(yīng)在安全性與投入成本、安全性和操作便利性之間找到最佳的平衡點(diǎn)。動(dòng)態(tài)管理原則：在公司信息安全管理過(guò)程中，應(yīng)遵循動(dòng)態(tài)管理原則，要針對(duì)信息系統(tǒng)環(huán)境的變動(dòng)情況及時(shí)調(diào)整管理辦法。第三章 安全組織和職責(zé)建立和健全信息安全組織，設(shè)立由高層領(lǐng)導(dǎo)組成的信息安全領(lǐng)

5、導(dǎo)小組，對(duì)于信息安全方面的重大問(wèn)題做出決策，協(xié)調(diào)信息安全相關(guān)各部門(mén)之間的關(guān)系，并支持和推動(dòng)信息安全工作在整個(gè)信息系統(tǒng)范圍內(nèi)的實(shí)施。公司應(yīng)設(shè)置相應(yīng)的信息安全管理機(jī)構(gòu)，負(fù)責(zé)信息系統(tǒng)的信息安全管理工作，配備專職安全管理員，由安全管理員具體執(zhí)行本公司信息安全方面的相關(guān)工作。公司信息系統(tǒng)的安全管理機(jī)構(gòu)職責(zé)如下：根據(jù)本規(guī)范制定信息系統(tǒng)的信息安全管理制度、標(biāo)準(zhǔn)規(guī)范和執(zhí)行程序；監(jiān)督和指導(dǎo)信息安全工作的貫徹和實(shí)施；考核和檢查信息系統(tǒng)的信息安全工作情況，定期進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，并對(duì)出現(xiàn)的安全問(wèn)題提出解決方案；負(fù)責(zé)安全管理員的選用和監(jiān)督；參與信息系統(tǒng)相關(guān)的新工程建設(shè)和新業(yè)務(wù)開(kāi)展的方案論證，并提出相應(yīng)的安全方面的建議；

6、在信息系統(tǒng)相關(guān)的工程驗(yàn)收時(shí)，對(duì)信息安全方面的驗(yàn)收測(cè)試方案進(jìn)行審查并參與驗(yàn)收。第四章 安全運(yùn)作管理信息資產(chǎn)鑒別和分類(lèi)是整個(gè)公司信息安全管理的基礎(chǔ)，這樣才能夠真正知道要保護(hù)的對(duì)象。制定信息資產(chǎn)鑒別和分類(lèi)制度，鑒別信息資產(chǎn)的價(jià)值和等級(jí)，維護(hù)包含所有信息資產(chǎn)的清單。建立機(jī)密信息分類(lèi)方法和制度，根據(jù)機(jī)密程度和商業(yè)重要程度對(duì)數(shù)據(jù)和信息進(jìn)行分類(lèi)。安全運(yùn)作管理是整個(gè)信息安全工作的日常體現(xiàn)和執(zhí)行環(huán)節(jié)。應(yīng)該在本信息安全策略的指導(dǎo)下，制定并遵照安全維護(hù)的操作流程，實(shí)施信息安全運(yùn)作。定期進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，通過(guò)對(duì)安全管理策略、信息系統(tǒng)結(jié)構(gòu)、網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)庫(kù)、業(yè)務(wù)應(yīng)用等方面進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，確定所存在的安全隱患和安全風(fēng)

7、險(xiǎn)，了解安全現(xiàn)狀以及如何解決這些問(wèn)題的方法。進(jìn)行物理安全和環(huán)境安全的管理，建立機(jī)房管理制度。對(duì)于公司及所承擔(dān)維護(hù)服務(wù)的用戶信息系統(tǒng)中重要業(yè)務(wù)系統(tǒng)、服務(wù)器和網(wǎng)絡(luò)設(shè)備，制定安全配置標(biāo)準(zhǔn)和規(guī)定來(lái)規(guī)范的安全配置管理工作，建立配置更改管理制度，并進(jìn)行定期的審計(jì)和檢查。對(duì)于外包開(kāi)發(fā)的業(yè)務(wù)系統(tǒng)軟件，應(yīng)制定業(yè)務(wù)軟件安全標(biāo)準(zhǔn)來(lái)進(jìn)行規(guī)范，要求有完善的鑒別和認(rèn)證、訪問(wèn)控制和日志審計(jì)功能，數(shù)據(jù)驗(yàn)證功能，杜絕木馬和后門(mén)。建立源代碼控制和軟件版本控制機(jī)制。建立第三方安全管理的規(guī)范和制度，并要求其嚴(yán)格遵守。嚴(yán)格控制第三方對(duì)信息系統(tǒng)的訪問(wèn)，并在合同中規(guī)定其安全責(zé)任和安全控制要求，以維護(hù)第三方訪問(wèn)的安全性。應(yīng)該實(shí)施業(yè)務(wù)連續(xù)性管

8、理程序，預(yù)防和恢復(fù)控制相結(jié)合，將災(zāi)難和安全故障（可能是由于自然災(zāi)害、事故、設(shè)備故障和蓄意破壞等引起）造成的影響降低到可以接受的水平，以防止業(yè)務(wù)活動(dòng)中斷，保證重要業(yè)務(wù)流程不受重大故障和災(zāi)難的影響。應(yīng)該分析災(zāi)難、安全故障和服務(wù)損失的后果。應(yīng)該制定和實(shí)施應(yīng)急計(jì)劃，確保能夠在要求的時(shí)間內(nèi)恢復(fù)業(yè)務(wù)流程。應(yīng)該維護(hù)和執(zhí)行此類(lèi)計(jì)劃，使之成為其它所有管理程序的一部分。對(duì)于意外、災(zāi)難和入侵的處理，建立包含事件鑒別、事件恢復(fù)、犯罪取證、攻擊者追蹤的安全事件緊急響應(yīng)機(jī)制，制定并遵照正確的安全事件處理流程，盡量減小安全事件造成的損失，監(jiān)督此類(lèi)事件并從中總結(jié)經(jīng)驗(yàn)。制定并實(shí)施安全培訓(xùn)和教育計(jì)劃，進(jìn)行安全意識(shí)、技能和安全制度

9、培訓(xùn)。對(duì)于員工違反安全策略和安全流程，制定相應(yīng)的紀(jì)律處分規(guī)定進(jìn)行處罰。第五章 信息安全技術(shù)體系建設(shè)各類(lèi)企業(yè)信息系統(tǒng)應(yīng)加強(qiáng)信息安全技術(shù)體系建設(shè)，應(yīng)該包含鑒別認(rèn)證，訪問(wèn)控制，審計(jì)和跟蹤，響應(yīng)和恢復(fù)，內(nèi)容安全等五個(gè)方面的安全技術(shù)要素。建立鑒別和認(rèn)證的標(biāo)準(zhǔn)和機(jī)制，建立用戶和口令管理的標(biāo)準(zhǔn)和制度。建立完善的網(wǎng)絡(luò)和系統(tǒng)的訪問(wèn)控制標(biāo)準(zhǔn)和機(jī)制，加強(qiáng)權(quán)限管理，進(jìn)行網(wǎng)絡(luò)分段與網(wǎng)段隔離，嚴(yán)格控制互聯(lián)網(wǎng)出入口，嚴(yán)格管理遠(yuǎn)程訪問(wèn)和遠(yuǎn)程工作。建立有效的審計(jì)和跟蹤機(jī)制，建立日志存儲(chǔ)、管理和分析機(jī)制，提高對(duì)安全事件的審計(jì)和事后追查能力。建立響應(yīng)和恢復(fù)的標(biāo)準(zhǔn)和機(jī)制，建立有效的機(jī)制和技術(shù)手段來(lái)發(fā)現(xiàn)、監(jiān)控、分析和處理安全事件和安全違背行為。建立內(nèi)容