信息安全管理體系信息系統(tǒng)安全管理制度

第一章 總則 1第二章 信息系統(tǒng)安全管理 1第三章 數(shù)據(jù)中心機(jī)房安全管理 2第四章 網(wǎng)絡(luò)安全管理 2第五章 系統(tǒng)安全管理 3第六章 應(yīng)用安全管理 3第七章 數(shù)據(jù)安全管理 3第八章 信息系統(tǒng)建設(shè)安全管理 4第九章 信息系統(tǒng)變更安全管理 4第十章 信息系統(tǒng)運(yùn)維安全管理 4第十一章 信息系統(tǒng)安全事件管理 5第十二章 信息安全檢查與審計(jì)管理 5第十三章 信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估管理 5第十四章 信息系統(tǒng)安全應(yīng)急預(yù)案 5第十五章 突發(fā)業(yè)務(wù)高可用性管理 6第十六章 信息系統(tǒng)安全值守巡檢規(guī)范 6第十七章 附則 6總則為加強(qiáng)信息系統(tǒng)安全管理，保證信息系統(tǒng)的安全、可靠運(yùn)行，提高服務(wù)質(zhì)量，特制定本制度。信息系統(tǒng)安全管理是保障網(wǎng)絡(luò)質(zhì)量，保護(hù)客戶利益的基礎(chǔ)，因此必須重視信息系統(tǒng)安全工作。信息系統(tǒng)安全管理是集團(tuán)各部門所有員工共同分擔(dān)的責(zé)任，與每一位員工的日常工作息息相關(guān)，所有員工必須提高認(rèn)識(shí)，高度重視，從自己開始，堅(jiān)持不懈地做好信息系統(tǒng)安全工作。信息系統(tǒng)安全管理信息系統(tǒng)安全管理分為數(shù)據(jù)中心機(jī)房管理制度，網(wǎng)絡(luò)安全管理制度，系統(tǒng)安全管理制度，應(yīng)用安全管理制度，數(shù)據(jù)安全管理制度，信息系統(tǒng)變更安全管理制度，信息系統(tǒng)運(yùn)維安全管理制度，信息系統(tǒng)安全事件管理制度，信息安全檢查與審計(jì)管理制度，信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估管理制度，信息系統(tǒng)建設(shè)安全管理制度，信息系統(tǒng)安全應(yīng)急預(yù)案，業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)管理制度，信息系統(tǒng)安全值守巡檢規(guī)范共計(jì)14項(xiàng)制度，其結(jié)構(gòu)與關(guān)系如下：數(shù)據(jù)中心機(jī)房安全管理數(shù)據(jù)中心機(jī)房是集團(tuán)業(yè)務(wù)系統(tǒng)的信息化支撐平臺(tái)，機(jī)房?jī)?nèi)信息處理設(shè)備的安全、穩(wěn)定運(yùn)行直接影響著集團(tuán)各業(yè)務(wù)系統(tǒng)的正常運(yùn)行，為防范機(jī)房可能發(fā)生的安全事故，保證機(jī)房?jī)?nèi)設(shè)備處于最佳運(yùn)行狀態(tài)，使其運(yùn)行服務(wù)質(zhì)量能夠滿足集團(tuán)業(yè)務(wù)使用的需求，需對(duì)機(jī)房實(shí)施安全管理。數(shù)據(jù)中心機(jī)房安全管理的設(shè)備包括所有支持集團(tuán)信息化業(yè)務(wù)的機(jī)房信息處理設(shè)備，包括服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備以及提供這些設(shè)備良好穩(wěn)定運(yùn)行的物理環(huán)境支撐設(shè)備，如空調(diào)、UPS等。數(shù)據(jù)中心機(jī)房安全管理的內(nèi)容包括機(jī)房出入管理，機(jī)房操作管理和機(jī)房設(shè)備管理。網(wǎng)絡(luò)安全管理為了加強(qiáng)集團(tuán)網(wǎng)絡(luò)安全管理工作,保障集團(tuán)信息系統(tǒng)網(wǎng)絡(luò)在安全、可控狀態(tài)下運(yùn)行，建立健全信息系統(tǒng)相關(guān)網(wǎng)絡(luò)操作手冊(cè)，提高網(wǎng)絡(luò)通信質(zhì)量，優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)，需實(shí)施網(wǎng)絡(luò)安全管理。網(wǎng)絡(luò)安全管理的內(nèi)容是對(duì)集團(tuán)業(yè)務(wù)相關(guān)網(wǎng)絡(luò)架構(gòu)安全設(shè)計(jì)、網(wǎng)絡(luò)安全策略的制定、網(wǎng)絡(luò)設(shè)備的安全配置、網(wǎng)絡(luò)運(yùn)維安全進(jìn)行統(tǒng)一規(guī)范和管理。系統(tǒng)安全管理為了加強(qiáng)集團(tuán)的系統(tǒng)安全管理,保障集團(tuán)業(yè)務(wù)相關(guān)服務(wù)器操作系統(tǒng)在安全、可控狀態(tài)下運(yùn)行，建立健全業(yè)務(wù)相關(guān)服務(wù)器操作系統(tǒng)的操作手冊(cè)，需實(shí)施系統(tǒng)安全管理。系統(tǒng)安全管理的內(nèi)容是對(duì)集團(tuán)業(yè)務(wù)相關(guān)服務(wù)器操作系統(tǒng)安全配置、系統(tǒng)運(yùn)維安全進(jìn)行統(tǒng)一規(guī)范和管理。應(yīng)用安全管理為規(guī)范集團(tuán)業(yè)務(wù)系統(tǒng)、管理系統(tǒng)的應(yīng)用安全，保障集團(tuán)應(yīng)用系統(tǒng)安全穩(wěn)定運(yùn)行，需實(shí)施應(yīng)用安全管理。應(yīng)用安全管理的內(nèi)容應(yīng)包括從身份鑒別，WEB頁面安全，訪問控制，安全審計(jì)，剩余信息保護(hù)，資源控制，應(yīng)用容錯(cuò)，報(bào)文完整性，報(bào)文保密性，抗抵賴，編碼安全和電子認(rèn)證應(yīng)用等。數(shù)據(jù)安全管理數(shù)據(jù)的安全管理是集團(tuán)業(yè)務(wù)系統(tǒng)數(shù)據(jù)正常提供服務(wù)的重要保證。為加強(qiáng)數(shù)據(jù)的安全管理，提信息系統(tǒng)數(shù)據(jù)的可用性、完整性及保密性，需實(shí)施數(shù)據(jù)安全管理。數(shù)據(jù)安全管理涉及的內(nèi)容有數(shù)據(jù)分級(jí)、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)變更安全、數(shù)據(jù)訪問安全、數(shù)據(jù)備份安全、數(shù)據(jù)恢復(fù)安全、數(shù)據(jù)銷毀安全以及密碼密鑰安全。信息系統(tǒng)建設(shè)安全管理為加快集團(tuán)信息系統(tǒng)安全建設(shè)步伐，規(guī)范信息系統(tǒng)建設(shè)的安全管理，實(shí)現(xiàn)安全建設(shè)應(yīng)與業(yè)務(wù)系統(tǒng)“同步規(guī)劃、同步建設(shè)、同步運(yùn)行”的安全工作原則，需實(shí)施信息系統(tǒng)建設(shè)安全管理。信息系統(tǒng)建設(shè)安全管理適用于對(duì)集團(tuán)信息系統(tǒng)建設(shè)過程中的各階段進(jìn)行安全規(guī)范和管理，保證集團(tuán)信息系統(tǒng)建設(shè)安全、可控。信息系統(tǒng)建設(shè)安全管理的內(nèi)容是對(duì)信息系統(tǒng)的研發(fā)、測(cè)試以及上線安全進(jìn)行統(tǒng)一規(guī)范和管理。信息系統(tǒng)變更安全管理為保證集團(tuán)信息系統(tǒng)安全穩(wěn)定運(yùn)行，規(guī)范集團(tuán)信息系統(tǒng)變更管理，提高變更的效率和質(zhì)量，減少或避免變更對(duì)業(yè)務(wù)系統(tǒng)的影響，需實(shí)施信息系統(tǒng)變更安全管理。變更管理是指對(duì)信息系統(tǒng)的增補(bǔ)或修改的管理。變更行為包括但不限于硬件設(shè)備、系統(tǒng)軟件、應(yīng)用軟件、網(wǎng)絡(luò)架構(gòu)、賬號(hào)權(quán)限以及配置變更。變更管理的內(nèi)容是對(duì)變更分類、變更管理流程安全進(jìn)行統(tǒng)一規(guī)范和管理。信息系統(tǒng)運(yùn)維安全管理為了加強(qiáng)集團(tuán)信息系統(tǒng)的運(yùn)行維護(hù)安全管理，建立和健全信息系統(tǒng)相關(guān)操作手冊(cè)，提高系統(tǒng)運(yùn)行維護(hù)質(zhì)量，減少人為造成的操作不當(dāng)，保障信息系統(tǒng)穩(wěn)定可靠的運(yùn)行，需實(shí)施信息系統(tǒng)運(yùn)維安全管理。網(wǎng)絡(luò)運(yùn)營(yíng)中心負(fù)責(zé)集團(tuán)信息系統(tǒng)的日常安全運(yùn)行維護(hù)工作，并負(fù)責(zé)制定詳細(xì)的信息系統(tǒng)運(yùn)行維護(hù)的操作手冊(cè)。信息系統(tǒng)運(yùn)維安全管理包括日常巡檢管理，信息系統(tǒng)賬號(hào)管理，安全監(jiān)控與入侵防范管理及惡意代碼防范等。信息系統(tǒng)安全事件管理為加強(qiáng)集團(tuán)信息系統(tǒng)安全事件的快速應(yīng)對(duì)能力，保障集團(tuán)信息系統(tǒng)的業(yè)務(wù)連續(xù)性，需實(shí)施信息系統(tǒng)安全事件管理。信息系統(tǒng)安全事件管理的內(nèi)容包括安全事件的定義，安全事件的分級(jí)和安全事件的處理。信息安全檢查與審計(jì)管理為了能夠及時(shí)發(fā)現(xiàn)和掌握集團(tuán)信息系統(tǒng)目前存在的安全問題及安全風(fēng)險(xiǎn)，制定安全解決方案，保障信息系統(tǒng)安全穩(wěn)定運(yùn)行，需實(shí)施信息安全檢查與審計(jì)管理。信息安全檢查與審計(jì)工作是由網(wǎng)絡(luò)運(yùn)營(yíng)中心信息安全部具體實(shí)施，其他業(yè)務(wù)相關(guān)部門協(xié)助實(shí)施的一項(xiàng)安全工作，信息安全檢查與審計(jì)工作必須嚴(yán)格遵循本制度。信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估管理風(fēng)險(xiǎn)評(píng)估的目的在于分析集團(tuán)信息系統(tǒng)及其所依托的網(wǎng)絡(luò)環(huán)境的安全狀況，全面了解和掌握信息系統(tǒng)面臨的信息安全威脅和風(fēng)險(xiǎn)，為制定信息系統(tǒng)的安全規(guī)劃，開展安全建設(shè)提供依據(jù)和決策建議。風(fēng)險(xiǎn)評(píng)估的范圍包括集團(tuán)擁有的所有信息資產(chǎn)。風(fēng)險(xiǎn)評(píng)估的具體對(duì)象包括機(jī)房、服務(wù)器、網(wǎng)絡(luò)、應(yīng)用系統(tǒng)和管理制度。信息系統(tǒng)安全應(yīng)急預(yù)案為提高集團(tuán)信息系統(tǒng)突發(fā)事件的應(yīng)急處理能力，形成科學(xué)、有效、反應(yīng)迅速的應(yīng)急工作機(jī)制，保障信息系統(tǒng)的正常運(yùn)轉(zhuǎn)，最大限度的減少非計(jì)劃停機(jī)時(shí)間，減小突發(fā)事件對(duì)工作的影響，需建立信息系統(tǒng)安全應(yīng)急預(yù)案。信息系統(tǒng)安全應(yīng)急預(yù)案的目的是對(duì)集團(tuán)信息系統(tǒng)突發(fā)事件應(yīng)急處理進(jìn)行統(tǒng)一規(guī)范和管理。突發(fā)業(yè)務(wù)高可用性管理為保障集團(tuán)業(yè)務(wù)系統(tǒng)在各種突發(fā)情況下能夠向客戶提供連續(xù)不間斷服務(wù)，防止業(yè)務(wù)中斷對(duì)客戶造成嚴(yán)重影響，保護(hù)關(guān)鍵業(yè)務(wù)過程免受重大失效或?yàn)?zāi)難的影響，確保災(zāi)難發(fā)生時(shí)能夠及時(shí)進(jìn)行數(shù)據(jù)恢復(fù)，需實(shí)施突發(fā)業(yè)務(wù)高可用性管理。信息系統(tǒng)安全值守巡檢規(guī)范為規(guī)范集團(tuán)信息化支撐設(shè)備或軟件的安全巡檢維護(hù)工作，保證信息系統(tǒng)安全穩(wěn)定運(yùn)行，最大限度的