企业信息安全管理工作标准.docx
《企业信息安全管理工作标准.docx》由会员分享,可在线阅读,更多相关《企业信息安全管理工作标准.docx(12页珍藏版)》请在冰豆网上搜索。
企业信息安全管理工作标准
信息安全管理工作标准
一、范围
本标准参考国家信息安全保护的相关标准及规定,特制定公司信息安全保护的相关技术规范和管理要求。
本标准适用于公司以及公司下属城市事业部、控股公司,可作为各级信息安全职能部门制定、实施信息安全保护技术方案和日常信息安全管理的参考和指导依据。
公司及城市事业部、控股公司的信息安全保护工作除执行本标准外,还应符合国家信息安全等级保护相关标准及规定。
二、规范性引用文件
GB17859-1999计算机信息系统安全保护等级划分准则
GB/T25028-2010信息系统安全等级保护实施指南
GB/T22239-2008信息系统安全等级保护基本要求
三、术语和定义
VLAN(VirtualLocalAreaNetwork)虚拟局域网是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网。
ACL(AccessControlList,ACL)访问控制列表,是路由器和交换机接口的指令列表,用来控制端口进出的数据包。
桌面终端主要包括个人办公的台式机和笔记本。
四、信息安全保护基本规定
1.工作目标
构建一个全面、完整、高效的信息安全体系,进而提高公司信息系统的整体安全防护能力,保护商业秘密,为公司的经营管理及业务发展提供坚实的信息安全保障。
2.基本原则
2.1“分类保护,适度安全”原则
根据各业务系统的重要程度以及面临的风险大小等因素,划分各信息系统的安全保护类别,实施分类保护、合理投资、集中资源优先保护涉及核心业务、承载关键信息的重要系统。
2.2“内外并重”原则
信息安全工作需要做到内外并重,既要规范内部人员行为,又要防范外部威胁,加强访问控制,提升监控和审计能力。
2.3“技术与管理并重”原则
信息安全不是单纯的技术问题,需要在采用安全技术和产品的同时,重视信息安全管理,不断完善各类安全管理规章制度和操作规程,从而全面提高信息安全管理水平。
2.4“三同步”原则
信息安全建设应与业务系统同步设计、同步建设、同步运行,同时根据系统的应用类型、范围、企业依赖性等因素的变化进行动态调整。
3.信息安全保护对象
公司与公司下属城市事业部、控股公司的信息系统及与其所相关的信息资产均为信息安全保障体系的保护对象。
公司信息资产分为以下七类:
3.1物理环境
支撑信息系统的场所、所处的周边环境以及场所内保障计算机系统正常运行的设施,包括机房、门禁、监控、电源、空调等。
3.2人员资产
与信息系统相关的人员,包括公司与公司下属城市事业部、控股公司的信息化管理人员、网络管理员、系统管理员、信息系统使用人员以及第三方人员等。
3.3网络资产
构成信息系统网络传输环境的设备、软件和通信介质,包括路由器、交换机、防火墙、网络管理系统等硬件设备和软件系统。
3.4主机资产
信息系统中承载业务系统和软件的计算机系统、外围系统(不含网络设备)及其操作系统。
主机资产包括各类Unix或linux服务器、Windows服务器、工作站和桌面终端、磁盘阵列、备份设备等硬件及其操作系统。
3.5平台资产
支撑业务系统(包括生产系统和办公自动化等)的商业软件平台系统,包括各业务信息管理系统及相关的数据库、中间件、集成开发环境等。
3.6应用软件资产
为生产业务和管理应用而开发的各类应用软件及其提供的服务,包括办公工具软件、专业应用软件等。
3.7数据资产
计算机系统处理、存储和传输的数据对象,是信息系统的核心资产。
4.职责
4.1公司办公室
作为公司整体信息安全保护工作的归口管理部门,负责制定公司信息安全保护的管理办法和技术标准、对公司的信息资产进行妥善保护、指导公司下属城市事业部、控股公司信息安全保护工作的正常开展,同时监督检查各级企业的信息安全工作的开展落实情况,做好安全培训工作。
4.2公司下属城市事业部、控股公司信息化主管部门
负责参照本标准做好自身的信息资产的安全保护工作、指导检查下属单位或工程项目经理部的信息安全保护工作,并建立完善的信息化管理组织体系,做好安全培训工作。
4.3各级信息员
负责贯彻落实本标准对信息安全保障的规范及技术要求,做好自身负责的信息资产的安全保护工作,定期参加安全培训,提升安全意识和更新保护技能。
4.4信息资产使用人员
在信息资产的使用过程中,自觉严格参照本标准的规范执行,不进行违章操作,不越权使用数据,保护好自己的数据安全,预防商业机密泄漏。
五、信息系统安全类别划分
为对信息系统更有针对性的进行保护,公司各级信息系统应划分类别,实施分类保护。
根据系统承载业务在生产经营和管理中的重要程度、遭到破坏的信息系统对经营管理及经济利益的危害程度、破坏范围等因素,信息系统分为以下三类:
A类系统:
信息系统受到破坏后,不仅对企业整体造成损害,而且影响企业核心业务活动,妨碍公司整体生产经营活动,给公司造成经济损失,甚至造成不良社会影响。
B类系统:
信息系统受到破坏后,对公司多个部门或公司整体造成损害,影响公司多个部门的重要业务。
C类系统:
信息系统受到破坏后,对公司局部造成损害,影响公司局部业务活动。
六、A类系统
1.物理安全
物理环境是信息系统正常运转的外在基础保障,需要根据运行的信息系统安全类别,参照国家标准及规范进行建设并维护。
A类系统需要遵循以下技术要求:
1.1物理位置的选择
机房和办公场地应选择具有防震、防风和防雨等能力的建筑内。
1.2物理访问控制
本项要求包括:
(1)机房出入口应安排专人值守,控制、鉴别和记录进入的人员;
(2)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。
1.3防盗窃和防破坏
本项要求包括:
(1)应将主要设备放置在机房内;
(2)应将设备或主要部件进行固定,并设置明显的不易除去的标记;
(3)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;
(4)应对介质分类标识,存储在介质库或档案室中;
(5)主机房应安装必要的防盗报警及监控设施。
1.4防雷击
本项要求包括:
(1)机房建筑应设置避雷装置;
(2)机房应设置交流电源地线。
1.5防火
机房应设置灭火设备和火灾自动报警系统。
1.6防水和防潮
本项要求包括:
(1)水管安装不得穿过机房屋顶和活动地板下;
(2)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;
(3)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。
1.7防静电
关键设备应采用必要的接地防静电措施。
1.8温湿度控制
机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
1.9电力供应
本项要求包括:
(1)应在机房供电线路上配置稳压器和过电压防护设备;
(2)应提供短期的备用电力供应,至少满足关键设备在断电情况下仍能正常运行的要求。
1.10电磁防护
电源线和通信线缆应隔离铺设,避免互相干扰。
2.网络安全
2.1边界安全防护
(1)公司以及公司下属城市事业部
在网络边界处必须部署防火墙系统或安全网关隔离外部网络,同时部署流控或上网行为管理设备进行网络控制。
网络边界设备配置时尽量开放最少的端口,只对视频会议、接入网关等特殊应用nat全映射。
(2)工程项目经理部或其他人数较少的分支机构
应配备具备流控或上网行为管理功能的企业级网关或路由器,除视频会议、远程监控等特殊业务外,一般情况下禁止做端口映射。
2.2内网控制及防护
(1)网络设备安全防护
内网及边界网络设备不允许使用默认口令,设置口令必须符合安全的密码规范,至少8位且包含字母、符号、数字3种以上的字符,并且定期更换密码,统一管理。
(2)VLAN及ACL应用
内部网络中如果存在不同权限的用户,如工程项目经理部网络中有分包企业或监理单位等外部人员,需要采取VLAN隔离,并且根据不同权限设置访问控制策略(ACL),限制不同用户对相关信息资源的访问。
2.3WiFi网络安全
(1)企业网络中原则上不允许架设无密码的WiFi网络,如必须架设无密码公开WiFi,必须设置访问控制,不允许这些WiFi网络用户访问企业内网资源;
(2)WiFi网络应由信息化专业人员搭建,设置成WPA2模式的密码,有条件的情况下应部署WiFi网络用户审计系统。
2.4网络运维管理
(1)企业网络应由指定的网络管理员进行日常维护,若对防火墙策略或网络拓扑进行较大变更,则需要信息化部门主管的审批才能进行;
(2)网络运维过程中应注意保存配置初始化及变更记录等资料;
(3)应部署网络监控系统,对网络使用情况进行实时监控,保障重要信息系统的网络资源。
3.服务器安全
3.1操作系统安装原则
操作系统按照最小化原则进行安装,达到服务器运行的应用需求即可,不允许安装多余的软件及控件。
3.2系统身份鉴别配置
(1)服务器密码设置必须符合相关的安全规范,至少8位且包含字母、符号、数字3种以上的字符;
(2)设置账户锁定时间及锁定阀值对服务器登录进行保护。
3.3入侵及恶意代码防范
安装专门的入侵防火墙及恶意代码扫描工具,定期对服务器进行漏洞扫描。
3.4系统补丁更新
定期进行补丁更新,修补严重的系统漏洞,更新补丁前应注意数据备份,更新后如出现问题应当及时回退或者采取补救措施。
3.5服务器资源监控
(1)应有专人进行定期系统资源监控;
(2)有条件的应部署专业服务器监控软件,随时掌握服务器资源,保障业务系统运转正常。
3.6WEB网站服务器安全
公司对外宣传的WEB网站,为防止黑客入侵,可采用外包服务的方式,委托国内专业的大型网站服务商进行管理。
3.7数据备份
(1)应部署专业备份软件进行自动化管理,至少每天备份1次数据,备份方式须有2种以上,必要时应做到实时数据备份;
(2)运行环境恢复时间长、配置复杂的系统需要有备用机。
七、B类系统
1.物理安全
物理环境是信息系统正常运转的外在基础保障,需要根据运行的信息系统安全类别,参照国家标准及规范进行建设并维护。
B类系统需要遵循以下技术要求:
1.1物理访问控制
机房出入应安排专人负责,控制、鉴别和记录进入的人员。
1.2防盗窃和防破坏
本项要求包括:
(1)应将主要设备放置在机房内;
(2)应将设备或主要部件进行固定,并设置明显的不易除去的标记。
1.3防雷击
机房建筑应设置避雷装置。
1.4防火
机房应设置灭火设备。
1.5防水和防潮
本项要求包括:
(1)应对穿过机房墙壁和楼板的水管增加必要的保护措施;
(2)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。
1.6温湿度控制
机房应设置必要的温、湿度控制设施,使机房温、湿度的变化在设备运行所允许的范围之内。
1.7电力供应
应在机房供电线路上配置稳压器和过电压防护设备。
2.网络安全
2.1边界安全防护
(1)公司及公司下属城市事业部、控股公司
在网络边界处必须部署防火墙系统或安全网关隔离外部网络,同时部署流控或上网行为管理设备进行网络控制。
网络边界设备配置时尽量开放最少的端口,只对视频会议、接入网关等特殊应用nat全映射。
(2)工程项目经理部或其他人数较少的分支机构
应配备具备流控或上网行为管理功能的企业级网关或路由器,除视频会议、远程监控等特殊业务外,一般情况下禁止做端口映射。
2.2内网控制及防护
(1)网络设备安全防护
内网及边界网络设备不允许使用默认口令,设置口令必须使用复杂的密码规则,至少8位且包含字母、符号、数字3种以上的字符,并且定期更换密码,统一管理。
(2)VLAN及ACL应用
内部网络中如果存在不同权限的用户,如工程项目经理部网络中有分包企业或监理单位等外部人员
升级会员 