信息安全管理办法.doc

1、信息安全管理办法第一章 总则第一条 为保障公司信息安全，切实推行安全管理，积极预防风险，完善控制措施，制定本办法。第二条 本办法适用于公司各职能部门、分公司信息安全管理。第二章 主要内容及工作职责第三条信息安全管理的主要工作内容包括机房安全管理、网络安全管理、主机安全管理、应用安全管理、数据安全管理和管理安全工作。第四条 IT中心工作职责1、IT中心为公司信息安全管理主管部门。2、负责公司信息安全管理策略制订与落实。3、负责起草信息安全规章制度，承担信息安全保障建设、信息安全日常管理职能，提供信息安全技术保障。4、负责各中心、分公司、专（兼）职信息管理员信息安全指导、培训。第五条 各中心、分公

2、司1、指定专人担任专职或兼职信息管理员，负责协助IT中心开展信息安全实施工作，并提供部门内部技术支持和网络管理工作。2、负责落实相关信息安全管理工作在部门内的实施。3、负责业务操作层的相关信息安全保障。4、负责做好本部门人员的信息安全教育工作，提高人员的信息安全意识和技能水平。第三章 机房安全管理第六条 机房人员出入、巡检、操作和设备管理请参照机房安全管理规定。第四章 网络安全管理第七条 公司内部网络与互联网实行安全隔离，在网络边界处应部署防火墙或其他安全访问控制设备，制定访问控制规则。第八条 新增网络设备入网时，网络管理员应按照网络设备安全配置检查表 进行检查（见附录A），经信息安全管理员确

3、认所有检查项检查结果全部为“是”后允许网络设备进入网络运行。第九条网络新建或改造，在投入使用前，网络管理员须进行网络连通性、冗余性和传输速度等测试，信息安全管理员全程参与，确保网络系统安全。第十条当网络设备配置发生变更时，须及时对网络设备配置文件进行备份；网络设备配置每三个月进行全备份，网络设备配置文件由网络管理员保管。第十一条网络管理员应建立网络技术档案，技术文档包括拓扑结构（含分支网络）、网络设备配置等相关文档，网络技术文档由网络管理员保管。第五章 主机安全管理第十二条主机系统原则上仅开启必要的系统服务和功能，开启系统日志、安全日志。第十三条新增主机设备入网时，主机运行维护人员应按照主机设

4、备安全配置检查表进行检查（见附录B），经信息安全管理员确认所有检查项检查结果全部为“是”后允许主机设备进入网络运行。第十四条主机运行维护人员应及时更新软件版本和病毒库；信息安全管理员负责制订统一的病毒管理策略。第十五条主机运行维护人员每个月通过防病毒管理软件查看所有主机的防病毒软件运行状态，如有异常情况，主机运行维护人员需及时反馈给信息安全管理员进行处置。第六章 应用安全管理第十六条重要信息系统应用开发应建立开发测试环境，开发测试的环境必须与实际运行环境分开，信息系统开发、测试、修改工作不得在生产环境中进行。第十七条新建信息系统入网前，系统管理员须进行由信息安全管理员参加的系统测试，并出具包含

5、身份鉴别、访问控制、安全审计等内容的系统测试报告。第七章 数据安全管理第十八条公司每一位员工都有保守公司信息安全防止泄密的责任，任何人不得向公司以外的任何单位或个人泄露公司技术和商业机密，如因学术交流或论文发表涉及公司技术或商业机密，应提前向公司汇报，并在获得批准同意后，方能以认可的形式对外发布。第十九条定期对公司重要信息包括软件代码进行备份，备份完成后，做好登记工作。第二十条数据库管理员负责对重要信息系统的数据库每周进行全备份，并对备份数据的有效性进行检查。第二十一条存放备份数据的介质包括U盘、移动硬盘、光盘和纸质，所有备份介质必须明确标识备份内容和时间，并实行异地存放。第二十二条数据恢复前

6、，必须对原环境的数据进行备份，防止有用数据的丢失。数据恢复后，必须进行验证、确认，确保数据恢复的完整性和可用性。第二十三条数据清理前必须对数据进行备份，在确认备份正确后方可进行清理操作。数据清理的实施应避开业务高峰期避免对联机业务运行造成影响。第二十四条管理部门应对报废设备中存有的程序、数据资料进行备份后清除，并妥善处理废弃无用的资料和介质，防止泄密。第二十五条因审计、查询等管理需要拷贝系统原始数据的，需要经IT中心主管部门和业务主管部门同意后，并双方在场后，由系统管理员导出数据。第八章 密码与权限管理第二十六条信息系统的用户密码不少于8位，密码应至少在字母、数字、特殊字符这三类字符中任选两种

7、或两种以上混合使用，不得使用缺省口令、空口令、弱口令；根据管理需要开设用户，及时删除系统多余和过期的账户。第二十八条员工离职后，员工所属部门或人力资源部应在当天通知总部IT中心，及时关闭离职员工的OA账号和邮箱账号，并对员工的出入卡进行停卡处理。第九章 管理安全第二十九条 信息化设备安全管理1、严禁将公司配发给员工用于办公的计算机转借给非公司员工使用，严禁利用公司信息化设备资源为第三方从事兼职工作。2、员工须保管好个人帐户口令，未经许可员工之间不得私下互相转让、借用公司IT系统账号；员工完成信息系统的操作或离开工位时，须及时退出信息系统。3、员工个人终端必须设置系统登陆密码和屏幕保护密码。4、

8、员工个人终端必须安装公司统一采购的防病毒软件，不得私自卸载和停用，及时更新重要系统补丁及病毒库，并定期查杀病毒。5、员工发现计算机或信息受到安全威胁或者已经发生安全攻击事件，应立即通知信息安全管理员。第三十条 专业安全人员管理1、总部及各分公司IT中心应指定专人负责信息安全管理工作。2、总部IT中心的信息安全管理员负责协调信息安全管理工作，各分公司信息安全管理人员负责各自信息安全建设工作的实施，推动各自信息安全各项工作开展。3、信息安全管理人员在离岗时，应由IT中心负责人指派专人接任信息安全管理工作；接任信息安全管理人员应及时终止离岗人员的访问权限，并在交接后三个工作日内修改相关安全系统口令密

9、码。第三十一条 系统运维安全管理，参照荷马有限公司信息系统运维管理办法。第三十二条 信息安全事件预防和处理1、公司IT中心应制定信息系统应急预案和演练计划，并组织进行演练。2、总部及各分公司IT中心负责信息安全事件预防和处理工作。3、非重要信息系统整体瘫痪，系统管理员应及时组织人员进行系统恢复；重要信息系统整体瘫痪，系统管理员立即报IT中心负责人，并及时组织人员进行恢复，24小时内无法恢复的，需要通知各相关部门并报分管领导。4、系统恢复后，系统管理员应查明故障原因，制定改进措施并加以验证，向IT中心负责人提交事件书面报告。第十章 考核及其他第三十三条对违反信息安全管理规定，导致信息安全事件的，

10、或发生信息安全事件后未及时如实上报的，应当根据事件影响程度，追究相关部门领导责任并可对相关责任人员处以警告、记过、记大过处分，情节严重者将解除劳动合同并送公安机关处理。第三十四条本办法自公布之日起实施。附录A网络设备安全配置检查表 设备编号设备名称网络管理员信息安全管理员检查时间序号检查项检查结果备注1使用监控系统监控关键网络设备的运行状态；0是0否2设置网络设备的登录口令；0是0否3根据管理需要开设用户，无缺省口令、空口令、弱口令；0是0否4设置非法登录次数和登录连接超时时间；0是0否5仅采用ssh、https等加密协议方式对设备进行交互式管理；0是0否6对网络设备的远程管理的登录地址进行了

11、限制；0是0否7网络设备本地时间配置时间同步；0是0否8启用网络设备系统日志功能；0是0否附录B主机设备安全配置检查表设备编号设备名称主机运行维护人员信息安全管理员检查时间序号检查项检查结果备注1更改缺省管理员账号名称0是0否本项仅适用于windows操作系统2停用不必要的帐号0是0否3设置帐号口令认证，口令6位及以上且为字母、数字、特殊字符里的两种以上组合的复杂密码0是0否4操作系统设置登录失败锁定策略0是0否5操作系统设置远程登录超时0是0否6操作系统本地时间配置时间同步0是0否7没有安装与应用业务系统无关的系统软件0是0否8启用系统日志功能0是0否9安装公司统一的防病毒软件，并及时更新到最新版本0是0否本项仅适用于windows操作系统