企业网络信息安全管理制度.docx
《企业网络信息安全管理制度.docx》由会员分享,可在线阅读,更多相关《企业网络信息安全管理制度.docx(10页珍藏版)》请在冰豆网上搜索。
企业网络信息安全管理制度
XXXXXXXXXXXXXXXXX有限公司
网络信息安全管理制度
文档信息
文档名称:
XXXXXXXXXXXXXXXXX有限公司网络信息安全管理制度
文档密级
内部公开
文档编号:
02
文档类型:
制度
当前版本:
V1.0
起草日期:
2018年9月20日
生效周期:
发布日期
发布之日起
生效日期:
发布之日起
控制信息
编辑修改
编辑者
日期
版本
说明
Xxxxxx
2020-07-01
1.0
网络安全
文档评审
审核者
审核日期
说明
文档发布
发布者
发布日期
发布范围
XXXXXXXXXXXXXXXXX有限公司
网络信息安全管理制度
第一章总则
第一条为进一步推进信息化建设,加强网络安全管理能力,统一XXXXXXXXXXXXXXXXX有限公司(以下简称“本企业”)网络安全管理规范和流程,提升企业网络安全保障意识和能力,依据《中国人民共和国网络安全法》、《网络安全等级保护基本要求》等有关政策法规,依据集团公司《网络安全和信息化管理办法》的总体要求,结合企业实际安全情况,制定本制度。
第二条本制度是对集团公司《网络安全和信息化管理办法》的细化和落地,信息安全总体方针、策略遵从《网络安全和信息化管理办法》的规定执行。
第三条本制度适用于指导开展网络安全管理工作,规范网络安全管理方面的各项管理活动、管理过程。
本企业信息系统均应遵循本规定开展安全管理工作。
第二章组织机构及其职责
第四条在集团公司网信领导小组和集团公司网信办指导下,根据《网络安全和信息化管理办法》“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则开展网络安全工作,企业负责人对企业网络安全工作负主体责任。
第五条技术部门承担网络安全职能,部门负责人对网络安全工作负主要责任,网络安全职能如下:
(一)贯彻落实集团公司网信领导小组有关网络安全和信息化的重大战略决策和工作要求;
(二)负责网络安全工作的开展,包括网络安全培训计划与开展、员工网络安全意识宣贯、网络安全制度落地执行、系统安全建设管理、系统安全运维管理等各项工作;
(三)根据企业自身网络安全特点,制定网络安全管理流程;
(四)负责定期组织召开内部、外部网络安全工作会议;
(五)负责信息系统等级保护定级、备案、安全建设整改工作;
(六)开展等级保护测评工作,应对监管部门安全检查;
(七)负责网络安全事件的应急处置,重要安全事件的上报,负责配合集团公司网信办进行安全事件处置、取证、回溯和事后的加固分析工作;
(八)及时向集团公司网信办报告网络安全工作。
包括:
网络安全工作计划、网络安全重点工作进度、网络安全重大事项、网络安全重要政策和制度措施和网络安全工作年度总结;
(九)其他网络安全工作。
第六条网络安全职能部门应设置安全管理员岗位,信息系统管理部门应设置系统管理员及应用管理员岗位。
安全管理员岗位人员名单应上报集团公司网信办备案。
第七条人员岗位职责如下:
(一)安全管理员:
Ø负责网络信息安全管理制度的落地、执行;
Ø负责对系统进行恶意代码检查、安全漏洞检测和安全配置核查;
Ø负责对信息系统进行安全检查,排查相关网络安全隐患;
Ø负责信息系统安全事件处理和恢复;负责协助集团公司网信办对网络安全事件进行应急处置和取证分析;
Ø其他网络安全工作。
(二)系统管理员:
Ø负责操作系统、数据库的日常管理与维护;
Ø负责操作系统、数据库帐号和权限管理;
Ø负责操作系统、数据库的补丁升级、安全配置加固和备份;
Ø负责操作系统、数据库故障的处理。
(三)应用管理员:
Ø负责应用系统日常管理与维护;
Ø配合安全管理员,在应用系统设计、测试、部署、运行过程中,对应用系统进行安全把控、测试、配置、加固;
Ø负责应用系统帐号和权限管理;
Ø负责应用系统故障的处理。
第三章人员安全管理
第八条企业人员录用需签署保密协议。
对于网络安全相关岗位人员的录用,应严格考察该人员的业务技术水平和相关资质认证。
第九条企业内部人员在变换岗位时,信息系统管理部门负责更换关联访问权限,如有必要,修改保密协议。
第十条人员离职时,应及时移交相关工作,上交计算机等软、硬件资产,办理完成离职人员移交手续后方能批准离职。
第十一条人事部门和员工所在部门要做好人员离职的教育工作,告知其离职后,不得向第三方泄露其在任职期内所获得机密信息。
员工离职后如发生泄密情况,应承担由此涉及的法律责任。
第十二条系统管理员、应用管理员或安全管理员离职时,网络安全职能部门应组织统一修改所有系统、应用等相关密码,重点核查VPN、对外提供服务系统中离职人员账号是否清除。
安全管理员离职或更换时,网络安全职能部门应上报集团公司网信办备案。
第十三条定期对各部门人员进行网络安全意识培训,对网络安全重要岗位进行网络安全技能培训并定期考核。
第十四条信息系统管理部门因工作需要引入第三方人员,并从事信息化或网络安全工作的,需报备安全管理员。
第十五条第三方人员应严格遵循集团公司及企业相关的安全管理规定开展服务工作,对应的信息系统管理部门负责对第三方人员工作进行安全监督,第三方人员如果出现违规安全事件,则由对应信息系统管理部门承担安全风险责任。
第十六条原则上不允许第三方人员访问集团公司内部网络。
如因工作需要访问内部网络,应通过网络安全职能部门的授权许可并登记。
第三方人员离场或服务结束后,应及时清除第三方人员的访问账户和权限。
第四章安全建设管理
第十七条信息系统安全建设在系统定级、备案、安全规划设计、安全实施、测试验收、交付上线等环节,应严格遵循集团公司《网络安全和信息化管理办法》:
(一)信息系统管理部门在系统建设前,应对系统服务的对象、系统业务信息和系统服务的连续性要求进行充分评估,并报网络安全职能部门确定信息系统安全保护等级,安全管理员负责系统定级备案工作;
(二)应根据系统的安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施,并在系统设计方案中加入对系统的安全保护要求、策略和措施等内容,安全管理员应将安全设计方案报集团公司网信办,集团公司网信办组织专家评审通过后,方可建设实施;
(三)设备采购方面,应按照国家相关设备采购要求开展设备采购工作,参照建设方案对主流网络安全设备进行比对和筛选。
严禁采购和使用未经国家网络安全测评机构和公安部认可的网络安全设备;
(四)设备上线前,安全管理员应对设备开展安全检查和加固工作,包括安全性检查、安全配置加固,安全补丁更新、安全策略库升级等工作内容,避免设备使用中引入安全漏洞隐患,其他运维人员配合安全管理员工作;
(五)信息系统在实施前应制定实施计划,实施计划应包括负责部门、工程负责人、施工单位情况和工程实施方案等内容;
(六)定制、合作和独立开发系统时,其参与人员应经过资格审查,并签订保密协议书,承担相应的安全保密责任和义务。
外包软件安装之前,应进行恶意代码检测。
如果开发方能够提供源代码,还需进行代码审查;
(七)应按照工程实施方案的要求对工程实施过程进行进度和质量控制,并按照实施方案形成的阶段性工程报告等文档。
第十八条信息系统验收前,信息系统管理部门应提前告知安全管理员,并及时开展网络安全相关测试工作,根据发现的安全问题要求服务商整改并复测。
网络安全测试不通过的,原则上不予验收。
第十九条信息系统验收时,需要项目建设部门、信息系统管理部门、网络安全职能部门组成验收组,对项目进行验收。
项目验收内容应至少包括系统备案证明、安全测试报告、系统培训记录及文档、资产交付清单、系统设计文档、安全设计文档、系统建设文档、系统运维手册、用户使用手册。
第二十条所有通过验收并正式上线的信息系统,主管部门应将相关安全文档资料应进行完整归档,由安全管理员统一归档并报集团公司网信办备案。
第五章安全运维管理
第二十一条办公环境安全管理要求如下:
(一)办公区域内部使用的电脑必须安装病毒防护软件。
各使用人员在计算机上使用移动介质以及在互联网上接收文件或邮件之前,先进行病毒检查。
未经业务部许可,不得安装任何其他软件。
(二)员工办公桌面上禁止存放包含敏感信息的纸质文档,在办公环境中处理敏感信息时应防止信息泄密,处理完成后注意清理和检查工作。
(三)员工离开座位前应确保终端计算机处于安全状态,防止非授权人员操作。
禁止私人移动存储设备接入工作计算机,禁止任何形式复制、拷贝工作数据用于其他用途。
第二十二条信息系统是指支持企业业务运行的计算机软件系统,信息系统在本制度中指完成某一业务运行的应用软件、中间件、数据库和操作系统集合。
信息系统管理部门承担信息系统的安全管理责任。
第二十三条信息系统安全管理要求如下:
(一)编制并保存信息系统的《信息资产清单》,清单中应包括资产分类、资产责任部门、资产等级和所处位置等内容,如信息资产变动应及时更新表单。
资产清单报备集团公司网信办。
(二)对信息资产进行统一管理,对于信息数据资产的访问,根据数据资产等级以及数据资产提供服务的不同,设置不同的访问权限,避免非授权访问,企业内部应全部使用正版软件;
(三)在使用或管理硬件资产时,要注意硬件资产的安全性、机密性、完整性,防止信息载体的毁坏和信息的泄密,防止信息处理设施的滥用;硬件资产如需报废时,应向主管部门提出报废申请,经批准后报废;
(四)定期对本单位信息资产进行盘点;
(五)应根据安全加固基线对信息系统进行安全加固;
(六)应记录和保存信息系统基本配置信息,包括各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等;
(七)定期对信息系统的配置、日志信息进行备份保存,日志应转发到审计系统保存,保存至少6个月的相关安全日志;
(八)应根据账号管理原则对用户分配账号和权限,密码设置应遵循密码策略,账号密码的发放必须严格保密,应修改原始密码;
(九)信息系统普通用户账号原则上每年更换一次,管理类账号每半年更换一次;
(十)员工岗位调整、离岗、离职时,所属部门领导应及时通知系统管理员和应用管理员删除离职人员的账号及权限,详细要求参照人员安全管理规定;
(十一)应定期检查用户的账号及其权限,及时根据用户的安全责任和工作要求对用户身份和相应的权限进行变更;
(十二)定期对信息系统进行安全巡检,安全巡检记录进行存档,对发现的安全隐患上报安全管理员,并负责协调、组织、跟进、监督安全隐患处置工作。
第二十四条恶意代码防范管理要求如下:
(一)所有终端及服务器操作系统必须安装正版防病毒软件并实时运行,及时更新防病毒软件和病毒特征库;
(二)禁止外部计算机和存储设备接入本单位网络,接入内部网络之前应进行病毒检查;
(三)定期对网络和主机进行恶意代码检测,对主机防病毒产品截获的危险病毒或恶意代码进行及时分析处理,必要时上报集团公司网信办。
第二十五条备份恢复安全管理要求如下:
(一)信息系统的备份应包括配置备份、日志备份和数据库备份,备份周期为每周至少一次全备份。
(二)系统管理员和应用管理员应定期检查备份数据,确认备份有效性,定期进行恢复性测试并进行记录归档。
第二十六条变更管理要求如下:
(一)变更管理是指各类硬件设备的改动、添加、更换,或者各类软件系统的重要升级。
(二)系统变更可能影响网络安全的,需要报备安全管理员,重要信息基础设施变更时,安全管理员必须向集团公司网信办提出书面变更申请,经批准后方可进行;
(三)信息系统进行升级、变更等重大操作前,对系统数据和业务数据要进行完整备份。
要制定详细的计划、流程和回退方案。
发生问题后,要立即用备份数据恢复系统运行,尽量保持业务的连续性、完整性;
(四)运维部门执行变更操作前应通知相关人员做好准备,变更操作过程中必须按规定进行详细登记和记录,对各类软件、现场资料、档案等进行整理存档;
(五)涉及设备更换时,应对被更换设备进行检查处理。
如需保存历史数据,按数据备份管理要求执行;如需清除或销毁,由技术部门实施不可恢复性消除或物理销毁。
第二十七条安全管理员每半年对网络安全运维工作进行安全检查,检查内容包括但不限于信息系统安全运维工作、安全配置情况、安全加固工作、日常巡检工作、安全备份及恢复、其他安全管理工作的落实情况;安全检查中发现的问题,应立即要求相关问题责任人进行整改,并对整改结果进行验证;安全检查完成后,安全检查相关文档上报集团公司网信办。
第六章安全事件管理
第二十八条安全管理员制定安全事件应急预案,预案应包含常规网络安全攻击、设备故障及自然灾害的处置方法和流程、相关部门和应急人员,并定期培训。
第二十九条安全事件管理及应急响应要求如下:
(一)企业所有部门发现网络安全事件,均应第一时间通知安全管理员。
安全管理员第一时间上报集团公司网信办。
(二)集团公司网信办判断网络安全事件类型和级别,并组织相关人员进行应急处置。
(三)安全管理员应组织企业相关人员,配合集团公司网信办进行安全事件处置、分析、取证,并生成安全事件处置报告;
(四)安全管理员应根据事件发生原因,发现的安全问题组织相关人员及时进行安全整改,并将整改结果上报集团公司网信办。
第三十条对安全事件整改不力的,网络安全职能部门将对相关责任人进行约谈,如仍未按要求进行整改,将在全企业范围内对相关责任部门、责任人进行通报批评,并对相关系统采取停止服务等处置措施。
第七章处罚措施
第三十一条有下列情形之一的,网络安全职能部门将在全企业范围内对相关责任部门、直接责任人进行通报批评,造成严重影响的,将按照《XXXXXXXXX公司管理章程》及《集团公司集团公司奖励处罚规定》提出处罚建议并报企业负责人决定。
造成严重后果或损失的,按国家相关法律法规进行处理:
(一)入侵应用软件系统的;
(二)非法删除、修改、增加、干扰信息系统的功能、数据、程序,造成严重后果的;
(三)制造、传播计算机病毒等破坏性程序,影响信息系统正常运行的;
(四)发现信息系统存在安全隐患或者对发生的安全事件,瞒报、缓报、处置不当或不采取措施,造成严重后果的;
(五)泄露信息系统安全防护技术、方法、措施、安全产品性能、效果和应用范围,造成后果的;
(六)泄露工作数据,造成不良影响或严重后果的;
(七)使用已经禁用或者不符合规定的软硬件系统、安全产品,造成严重安全隐患的;
(八)引发其他安全事件,危害信息系统安全的。
第八章附则
第三十二条本制度适用于XXXXXXXXXXXXXXXXX有限公司。
第三十三条本制度由技术部负责解释。
第三十四条本制度正式发布之日起执行。
附录
1.账号权限管理原则:
(一)最小权限原则:
系统只能授予应用程序和用户必要的权限,而不能授予额外的权限。
(二)最少服务原则:
在保证系统和应用运行正常的前提下,关闭其它无关的系统服务和网络服务。
(三)各类系统应依据“权限分离”的原则分配相应的管理权限,各类管理人员只能进行职责权限下的管理维护操作,不得越权访问。
(四)为各类用户分配的权限以满足其所在岗位最低工作要求为准。
(五)严禁将工作账号及密码泄露给非本单位的人员。
2.密码复杂度要求:
(一)用户密码基本安全要求由密码长度、密码复杂度、密码最长有效期组成:
(二)密码最小长度:
8位;
(三)密码复杂度:
至少包括数字、大小写字母及特殊字符的三种(动态密码除外);
(四)密码最长有效期限:
普通账户365天,管理账户180天。
3.数据备份方式:
(一)数据备份采用全备份、增量备份、差量备份相结合的备份方式;
(二)全备份是指对应用系统和数据库的数据文件进行完整备份;
(三)增量备份是指对上次备份后发生变动或新产生的数据文件进行备份;
(四)差量备份是指对上次完全备份后发生变动或新产生的数据文件进行备份;
(五)每日工作完成或加班完成后进行文件备份工作,备份位置为本机备份和网络备份;
4.网络安全事件分类:
(一)网络安全事件是指由于自然、人为、软硬件本身缺陷或故障等原因,对信息系统造成危害,并可能发生对本企业造成负面影响的事件。
(二)网络安全事件分为网络攻击事件、设备设施故障、灾害性事件和其他网络安全事件等4个基本分类,每个基本分类分别包括若干个子类。
(三)网络攻击事件是指通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷对信息系统实施攻击,并造成信息系统异常或对信息系统当前运行造成潜在危害的网络安全事件,网络攻击事件包括如下事件:
Ø拒绝服务攻击事件;
Ø后门攻击事件;
Ø漏洞攻击事件;
Ø其他网络攻击事件。
(四)设备设施故障事件是指由于信息系统自身故障或外围保障设施故障导致的网络安全事件,以及人为的有意或无意的破坏导致的网络安全事件。
设备设施故障事件包括如下事件:
Ø软硬件自身故障;
Ø外围保障设施故障;
Ø人为破坏事件;
Ø其它设备设施故障。
(五)灾害性事件是指由于不可抗力对信息系统造成物理破坏导致的网络安全事件。
灾害性事件包括如下事件:
水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的网络安全事件。
5.网络安全事件分级:
(一)对网络安全事件的分级主要考虑三个要素:
信息系统的重要程度、系统损失和集团公司会影响。
(二)根据网络安全事件的分级考虑要素,将网络安全事件划分为三个级别:
重大安全事件、较大安全事件和一般安全事件。
Ø重大安全事件:
指能够导致严重影响或破坏的网络安全事件,包括以下情况:
会使本企业信息系统遭受严重的系统损失,产生的影响会威胁到集团公司会稳定和公共秩序,严重损害本企业利益;
Ø较大安全事件:
指能够导致较严重影响或破坏的网络安全事件,包括以下情况:
会使信息系统遭受遭受严重的系统损失,造成集团公司会影响,损害中心利益;
Ø一般安全事件:
指能够导致一般影响或破坏的网络安全事件,包括以下情况:
会使信息系统遭受一般的系统损失,损害员工和部门利益。
升级会员 