網(wǎng)絡(luò)與信息安全管理辦法

--PAGE20-網(wǎng)絡(luò)與信息安全管理辦法第一章總則第一條【目的】為加強(qiáng)XXX公司（）管理責(zé)任，制定本辦法。第二條【適用范圍】本辦法適用于公司及所轄各分公司的網(wǎng)絡(luò)與信息安全管理工作。第二章機(jī)構(gòu)與職責(zé)第三條【組織機(jī)構(gòu)】（一副組長為公司網(wǎng)絡(luò)安全與信息化工作分管領(lǐng)導(dǎo)，成員為公司各部門、各分公司負(fù)責(zé)人。（二公室主任由信息化部主任兼任。（三機(jī)構(gòu)，配備專（兼）職網(wǎng)絡(luò)與信息安全管理人員。第四條【領(lǐng)導(dǎo)小組】公司網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組負(fù)責(zé)公司網(wǎng)絡(luò)與信息安全工作的組織、部署與落實(shí)情況的監(jiān)督，具體職責(zé)包括：（一全工作的目標(biāo)、原則及工作部署；（二生的重大變化，并進(jìn)行決策；（三）審查、協(xié)調(diào)網(wǎng)絡(luò)與信息安全事件的處理，并督導(dǎo)改進(jìn)措施的落實(shí)；第五條【信息化部】（一對(duì)具體落實(shí)情況進(jìn)行總結(jié)和匯報(bào)；（二保障與安全策略的一致性；（三（四本部信息系統(tǒng)安全等級(jí)保護(hù)相關(guān)工作；（五）負(fù)責(zé)公司網(wǎng)絡(luò)與信息系統(tǒng)安全事件應(yīng)急保障和恢復(fù)工作；第六條【其他部門】（一方人員進(jìn)行網(wǎng)絡(luò)與信息安全管理；（二信息系統(tǒng)的安全管理；落實(shí)本部門所承擔(dān)運(yùn)維信息系統(tǒng)的應(yīng)急預(yù)案，并負(fù)責(zé)具體應(yīng)急處置工作；（三第七條【網(wǎng)絡(luò)與信息安全管理員】（一）負(fù)責(zé)信息設(shè)備的統(tǒng)計(jì)、故障處理、賬號(hào)管理、策略配置、系統(tǒng)升級(jí)、日志管理和維護(hù)等工作；（二應(yīng)急響應(yīng)與處理；（三）負(fù)責(zé)制定信息安全設(shè)備、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)和數(shù)據(jù)庫等軟硬件的安全策略，并定期檢查分析信息安全策略的執(zhí)行情況；（四負(fù)責(zé)組織信息系統(tǒng)重大保障期間的信息安全檢查與監(jiān)控工（五）負(fù)責(zé)網(wǎng)絡(luò)拓?fù)?、網(wǎng)絡(luò)維護(hù)手冊(cè)等相關(guān)資料的編寫及更新；（六略的一致性；（七（八）負(fù)責(zé)機(jī)房的日常管理和維護(hù)，對(duì)機(jī)房人員、設(shè)備進(jìn)出進(jìn)行登記管理；第三章授權(quán)和審批管理第八條【審批事項(xiàng)與審批權(quán)限】（一息安全領(lǐng)導(dǎo)小組組長進(jìn)行審批。（二1.重要服務(wù)器、交換機(jī)、路由器、網(wǎng)絡(luò)安全設(shè)備的啟動(dòng)、關(guān)閉；系統(tǒng)用戶帳號(hào)的增加、刪除和權(quán)限修改。配置參數(shù)；2.設(shè)備硬件更換、網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整、網(wǎng)絡(luò)連接更改；4.應(yīng)用程序軟件包修改、產(chǎn)品版本升級(jí)。（三）以下變更事項(xiàng)由信息化部負(fù)責(zé)人進(jìn)行審批：1.系統(tǒng)數(shù)據(jù)庫修改；/新功能的開發(fā)；新技術(shù)的使用；組織策略和規(guī)程的更改；非機(jī)房管理人員及外部人員進(jìn)入機(jī)房；設(shè)備進(jìn)出機(jī)房；信息系統(tǒng)新增服務(wù)器或其他新設(shè)備接入；信息系統(tǒng)新增與公司其他系統(tǒng)或與外部單位系統(tǒng)連接；（四錄。（五時(shí)更新需授權(quán)和審批的項(xiàng)目、審批部門和審批人等信息。第九條【審批程序】審批流程須按照如下環(huán)節(jié)進(jìn)行：提出申請(qǐng)、相關(guān)負(fù)責(zé)人審批、審批通過、登記記錄、備案歸檔。第四章安全檢查和審核管理第十條【網(wǎng)絡(luò)與信息安全月度檢查】（一）檢查內(nèi)容包括：信息系統(tǒng)相關(guān)各類設(shè)備（備、安全設(shè)備等）的運(yùn)行情況；CPU使用情況、內(nèi)數(shù)據(jù)備份情況，備份系統(tǒng)和備份介質(zhì)的管理情況；安全設(shè)備事件記錄分析；安全設(shè)備內(nèi)核、補(bǔ)丁、規(guī)則庫、病毒庫更新狀況。信息系統(tǒng)日常運(yùn)維的自查情況；網(wǎng)絡(luò)安全策略的落實(shí)情況；信息系統(tǒng)的漏洞和風(fēng)險(xiǎn)情況；信息系統(tǒng)的數(shù)據(jù)備份情況。信息系統(tǒng)的用戶認(rèn)證訪問、權(quán)限和操作情況；信息系統(tǒng)各類操作的安全審計(jì)記錄情況；（二）1（三）檢查成果：形成檢查報(bào)告第十一條【網(wǎng)絡(luò)與信息安全季度檢查】（一）檢查內(nèi)容包括：國家相關(guān)法律法規(guī)和要求的符合情況；安全組織職責(zé)、安全管理制度的執(zhí)行情況；信息安全策略的全面落實(shí)情況；現(xiàn)有安全管理體系、安全技術(shù)措施的有效性；信息系統(tǒng)的整體安全風(fēng)險(xiǎn)情況；信息系統(tǒng)的自查情況。（二）1（三）檢查成果：形成檢查報(bào)告第五章人員行為管理第十二條內(nèi)部人員行為管理（一定員工的信息、信息資產(chǎn)的使用、管理和訪問權(quán)限。（二）員工在發(fā)生崗位變更后，應(yīng)根據(jù)崗位要求進(jìn)行信息、信息資產(chǎn)使用和訪問權(quán)限的變更，合理控制員工對(duì)于信息系統(tǒng)信息資源的訪問。第十三條【外部人員行為管理】（一）外部人員包括軟件開發(fā)商、產(chǎn)品供應(yīng)商、系統(tǒng)集成商、設(shè)備維護(hù)商、服務(wù)提供商、業(yè)務(wù)合作伙伴、臨時(shí)雇工、實(shí)習(xí)生等外來人員。外部人員分為臨時(shí)外部人員和非臨時(shí)外部人員。（二下內(nèi)容：外部人員物理訪問時(shí)對(duì)設(shè)備、資料的盜竊行為；外部人員的誤操作導(dǎo)致各種軟硬件故障；外部人員對(duì)資料、信息管理不當(dāng)導(dǎo)致敏感信息泄露；外部人員對(duì)計(jì)算機(jī)系統(tǒng)的濫用和非法訪問；外部人員給計(jì)算機(jī)系統(tǒng)、軟件留下后門；外部人員對(duì)計(jì)算機(jī)系統(tǒng)的惡意攻擊。（三）外部人員管理要求臨時(shí)外部人員進(jìn)入公司時(shí)，接待人必須全程陪同，告知有網(wǎng)絡(luò)設(shè)備。（見附件一）業(yè)務(wù)洽談和技術(shù)交流應(yīng)當(dāng)在會(huì)議室進(jìn)行，招標(biāo)、談判等正內(nèi)進(jìn)行。外部人員進(jìn)入機(jī)房等重要區(qū)域時(shí)，應(yīng)遵從《網(wǎng)絡(luò)機(jī)房管理制度》等相關(guān)規(guī)定。機(jī)房等關(guān)鍵區(qū)域攝影、拍照。外部人員如因業(yè)務(wù)需要查閱公司受控信息、資料或訪問公并詳細(xì)登記。（包括遠(yuǎn)程接入維護(hù)裝正版殺毒軟件，并定期進(jìn)行病毒庫升級(jí)。第六章辦公環(huán)境管理第十四條【管理要求】（一意識(shí)，嚴(yán)格控制辦公環(huán)境的訪問。（二問必須得到其使用者或管理者的授權(quán)。（三內(nèi)并加鎖。（四）各部門內(nèi)的復(fù)印機(jī)、傳真機(jī)、打印機(jī)使用后產(chǎn)生的內(nèi)部廢如有敏感信息要及時(shí)清除，防止被他人盜取信息。（五內(nèi)部IT設(shè)備、移動(dòng)硬盤、實(shí)體信息和軟件等帶離辦公區(qū)。（六）未經(jīng)批準(zhǔn)，外部人員不得使用集團(tuán)內(nèi)部信息處理設(shè)備，如因工作需要使用內(nèi)部設(shè)備，須經(jīng)過授權(quán)并對(duì)其訪問行為進(jìn)行監(jiān)控。（七關(guān)部門取得聯(lián)系，在維修的過程中應(yīng)有專人進(jìn)行監(jiān)督。（八受和積極配合主管部門對(duì)辦公區(qū)域的安全檢查。第七章信息資產(chǎn)安全管理第十五條【信息資產(chǎn)的分類與登記】（一資產(chǎn)清單，對(duì)于重要信息資產(chǎn)應(yīng)當(dāng)進(jìn)行標(biāo)識(shí)，信息資產(chǎn)分類如下：硬件資產(chǎn)：包括服務(wù)器、臺(tái)式計(jì)算機(jī)、筆記本計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)等形信息技術(shù)設(shè)備設(shè)施；應(yīng)用系統(tǒng)、應(yīng)用軟件、開發(fā)工具等計(jì)算機(jī)程序；理數(shù)據(jù)等數(shù)據(jù)信息。（二）信息系統(tǒng)所有的信息資產(chǎn)均應(yīng)指定相應(yīng)責(zé)任人，做到“責(zé)任落實(shí)到人”。（三）各部門負(fù)責(zé)本部門信息資產(chǎn)的使用、保管和維護(hù)。第十六條【硬件資產(chǎn)安全管理】（一確硬件資產(chǎn)責(zé)任人和使用范圍，并定期進(jìn)行資產(chǎn)清點(diǎn)。（二）硬件資產(chǎn)的信息安全管理包括購買、使用（重用、處置和報(bào)廢，即信息資產(chǎn)全生命周期的安全管理。（三）所有硬件設(shè)備采購、變更、廢棄時(shí)，信息資產(chǎn)管理員必須首先在資產(chǎn)清單上進(jìn)行記錄和描述。（四信息系統(tǒng)的應(yīng)用需求和信息安全管理要求。（五要求。（六（七）設(shè)備在到貨驗(yàn)收或配置之后，應(yīng)作出相應(yīng)的標(biāo)識(shí)，直接體現(xiàn)在設(shè)備上醒目的位置。標(biāo)識(shí)應(yīng)包括以下內(nèi)容：設(shè)備編號(hào)、設(shè)備使用部門、設(shè)備名稱、設(shè)備用途、設(shè)備供貨商及聯(lián)系方式。（八）硬件資產(chǎn)使用人在使用過程中應(yīng)確保硬件配置的完整性，不得私自更換硬件資產(chǎn)及相關(guān)配件。（九）應(yīng)遵照《網(wǎng)絡(luò)機(jī)房管理規(guī)定》要求，加強(qiáng)機(jī)房內(nèi)硬件資產(chǎn)的物理安全管理。（十）對(duì)于需要維修的硬件資產(chǎn)，由設(shè)備責(zé)任人提出申請(qǐng)，經(jīng)部門主管領(lǐng)導(dǎo)批準(zhǔn)后，方可將硬件資產(chǎn)送至相關(guān)單位進(jìn)行維修。（十一）存儲(chǔ)內(nèi)部信息的硬件資產(chǎn)在重用、維修和報(bào)廢前，應(yīng)確保所有存儲(chǔ)的敏感數(shù)據(jù)或授權(quán)軟件已經(jīng)被徹底清除并備份。（十二）門主管及網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組辦公室批準(zhǔn)后統(tǒng)一進(jìn)行報(bào)廢處理。第十七條【軟件資產(chǎn)安全管理】（一（二）應(yīng)購買正版商業(yè)軟件，在安裝軟件時(shí)要規(guī)定使用權(quán)限，防止非授權(quán)訪問。（三運(yùn)行穩(wěn)定，規(guī)范軟件升級(jí)管理工作。（四）軟件資產(chǎn)責(zé)任人應(yīng)加強(qiáng)對(duì)于應(yīng)用軟件保存、標(biāo)識(shí)、安裝、卸載和升級(jí)的統(tǒng)一管理。（五做好安全控制。（六與信息化分管領(lǐng)導(dǎo)的審核后統(tǒng)一取消和廢除。第十八條【數(shù)據(jù)資產(chǎn)安全管理】（一）信息系統(tǒng)數(shù)據(jù)資產(chǎn)根據(jù)其重要程度分為受控和公開數(shù)據(jù)，數(shù)據(jù)的創(chuàng)建者或管理者負(fù)責(zé)對(duì)數(shù)據(jù)資產(chǎn)的重要程度進(jìn)行標(biāo)識(shí)。受控?cái)?shù)據(jù)應(yīng)明確授權(quán)范圍，禁止非授權(quán)的用戶讀取受控?cái)?shù)據(jù)。（二作，確保信息系統(tǒng)的數(shù)據(jù)安全。（三）（四）數(shù)據(jù)文件或存儲(chǔ)重要數(shù)據(jù)文件的介質(zhì)因損壞需要修復(fù)時(shí)，數(shù)據(jù)資產(chǎn)使用人應(yīng)及時(shí)和部門主管進(jìn)行溝通，信息系統(tǒng)數(shù)據(jù)恢復(fù)應(yīng)經(jīng)過相關(guān)部門確認(rèn)后統(tǒng)一進(jìn)行數(shù)據(jù)修復(fù)和恢復(fù)。（五）敏感及受控?cái)?shù)據(jù)的刪除應(yīng)進(jìn)行記錄，數(shù)據(jù)的刪除或報(bào)廢，應(yīng)由數(shù)據(jù)資產(chǎn)使用人遵照本辦法第八章“存儲(chǔ)介質(zhì)安全管理規(guī)定”進(jìn)行處理。

第八章存儲(chǔ)介質(zhì)安全管理第十九條【介質(zhì)標(biāo)識(shí)】（一帶、磁盤、光盤、閃存等。（二重要業(yè)務(wù)數(shù)據(jù)、管理數(shù)據(jù)的各類磁盤、光盤和存儲(chǔ)系統(tǒng)等。（三）存儲(chǔ)介質(zhì)應(yīng)分類標(biāo)識(shí)，磁帶、磁盤或其它存儲(chǔ)介質(zhì)等應(yīng)使用不同的分類標(biāo)簽，并區(qū)分原件與拷貝件。第二十條【介質(zhì)存放】（一）存儲(chǔ)介質(zhì)保存環(huán)境應(yīng)保證具有足夠的防火、電力、空調(diào)、濕度及其他保護(hù)措施。（二安全級(jí)別的區(qū)域。（三（四儲(chǔ)介質(zhì)混放在一起。（五和管理方法與本地相同。第二十一條【介質(zhì)檢查】（一并記錄備案。（二要數(shù)據(jù)丟失。第二十二條【介質(zhì)訪問】（一磁盤和文檔庫等介質(zhì)的訪問必須做嚴(yán)格限制。（二）安裝和使用存儲(chǔ)設(shè)備時(shí)必須禁止非授權(quán)的訪問。（三禁員工、顧問和合作方等外部人員帶走。第二十三條【介質(zhì)數(shù)據(jù)管理】（一）重要介質(zhì)中的數(shù)據(jù)和軟件應(yīng)采取加密存儲(chǔ)。（二據(jù)恢復(fù)。（三（四感數(shù)據(jù)，防止內(nèi)部信息的泄漏。（五質(zhì)已清除敏感信息。第二十四條【介質(zhì)銷毀】（一）網(wǎng)絡(luò)與信息安全管理員應(yīng)對(duì)存儲(chǔ)介質(zhì)的銷毀做統(tǒng)一管理，并做集中報(bào)廢處置。（二含有硬拷貝形式的敏感信息存儲(chǔ)介質(zhì)的報(bào)廢處理方式為切碎或燒毀。

第九章網(wǎng)絡(luò)安全運(yùn)維管理第二十五條【網(wǎng)絡(luò)連接管理】（一）網(wǎng)絡(luò)整體的拓?fù)浣Y(jié)構(gòu)需進(jìn)行嚴(yán)格的規(guī)劃、設(shè)計(jì)和管理，一經(jīng)確定，不能輕易更改。（二開放端口需要經(jīng)過嚴(yán)格審批。（三及網(wǎng)絡(luò)與信息安全管理員需遵循以下原則進(jìn)行控制：接入設(shè)備自身具備良好的安全機(jī)制；不對(duì)信息系統(tǒng)造成不良影響；對(duì)設(shè)備的操作人員得到認(rèn)可。（四）網(wǎng)絡(luò)與信息安全管理員應(yīng)維護(hù)所有網(wǎng)絡(luò)設(shè)備的物理連接，控制和管理網(wǎng)絡(luò)接口的使用。（五在違反網(wǎng)絡(luò)安全策略的行為，發(fā)現(xiàn)問題應(yīng)及時(shí)上報(bào)。第二十六條【網(wǎng)絡(luò)安全配置】（一）網(wǎng)絡(luò)設(shè)備配置管理應(yīng)遵照以下安全原則：授予額外的權(quán)限。它無關(guān)的系統(tǒng)服務(wù)和網(wǎng)絡(luò)服務(wù)。（二（三戶或權(quán)限給無關(guān)人員。（四）用戶口令的設(shè)置須符合以下要求：8個(gè)字符；兩種；每半年至少修改一次密碼；5（五按需清理，確保日志時(shí)效性。（六限定遠(yuǎn)程登錄終端的IP第二十七條【日常安全維護(hù)】（一（二安全設(shè)備的型號(hào)、名稱以及與鏈路的連接情況等。（三并根據(jù)供應(yīng)商推薦的服務(wù)時(shí)間間隔對(duì)設(shè)備進(jìn)行檢查和維護(hù)。（四中的敏感信息進(jìn)行必要的處理。（五（見附表二（六了解系統(tǒng)資源的使用情況及通信情況，提出網(wǎng)絡(luò)優(yōu)化方案。（七更同時(shí)更新備份文件。（八）定期對(duì)日志文件進(jìn)行備份。日志文件保存時(shí)間應(yīng)在6個(gè)月以上，日志文件不得隨意修改。（九）網(wǎng)絡(luò)設(shè)備的軟件版本（IOS或VRP等）較低可能會(huì)帶來備份之用。

第十一章附則第二十八條本規(guī)定由信息化部負(fù)責(zé)解釋和修訂。第二十九條本規(guī)定自發(fā)布之日起執(zhí)行。第三十條附件附件一：外部人員保密協(xié)議（示例）附件二：網(wǎng)絡(luò)設(shè)備維修記錄單附件一：

外部人員保密協(xié)議（示例）本協(xié)議中涉及的項(xiàng)目是：涉及到的單位信息(信息系統(tǒng)、文檔、數(shù)據(jù)等)包括：為了保證XXX公司（以下簡稱“公司）的專有信息不被泄露人員(承諾) 所屬公承諾如下保密內(nèi)容：限于如下所列：工作秘密、技術(shù)秘密、通信或與其相關(guān)的其他信息；無論是書面的、口頭的、圖形的、電磁的或其它任何形式的信息，包括（但不限于）數(shù)據(jù)、模型、技術(shù)、方法和其它信息均為承諾保密的專有信息。/的任何人；不得為本合同規(guī)定目的之外的其他目的使用專有信息；例外情況必須以如下形式確定：獲得書面授權(quán)，承諾人可以披露的專有信息。通過其他途徑公開披露的專有信息。的信息；102專有信息的交回：當(dāng)公司 以書面形式要求承諾人交回專有信息時(shí)，承人應(yīng)當(dāng)立即交回所有書面的或其他有形的專有信息以及所有描述和概括該專有信息的文件。沒有公的書面許可承諾人不得丟棄和處理任何面的或其他有形的專有信息。否認(rèn)許可：除非公司明確地授權(quán)，承