企业信息安全管理工作标准Word文件下载.docx

1、1.工作目标构建一个全面、完整、高效的信息安全体系，进而提高公司信息系统的整体安全防护能力，保护商业秘密，为公司的经营管理及业务发展提供坚实的信息安全保障。2.基本原则2.1“分类保护，适度安全”原则根据各业务系统的重要程度以及面临的风险大小等因素，划分各信息系统的安全保护类别，实施分类保护、合理投资、集中资源优先保护涉及核心业务、承载关键信息的重要系统。2.2“内外并重”原则信息安全工作需要做到内外并重，既要规范内部人员行为，又要防范外部威胁，加强访问控制，提升监控和审计能力。 2.3“技术与管理并重”原则信息安全不是单纯的技术问题，需要在采用安全技术和产品的同时，重视信息安全管理，不断完善

2、各类安全管理规章制度和操作规程，从而全面提高信息安全管理水平。 2.4“三同步”原则信息安全建设应与业务系统同步设计、同步建设、同步运行，同时根据系统的应用类型、范围、企业依赖性等因素的变化进行动态调整。3.信息安全保护对象公司与公司下属城市事业部、控股公司的信息系统及与其所相关的信息资产均为信息安全保障体系的保护对象。公司信息资产分为以下七类：3.1物理环境支撑信息系统的场所、所处的周边环境以及场所内保障计算机系统正常运行的设施，包括机房、门禁、监控、电源、空调等。3.2人员资产与信息系统相关的人员，包括公司与公司下属城市事业部、控股公司的信息化管理人员、网络管理员、系统管理员、信息系统使用

3、人员以及第三方人员等。3.3网络资产构成信息系统网络传输环境的设备、软件和通信介质，包括路由器、交换机、防火墙、网络管理系统等硬件设备和软件系统。3.4主机资产信息系统中承载业务系统和软件的计算机系统、外围系统（不含网络设备）及其操作系统。主机资产包括各类Unix或linux服务器、Windows服务器、工作站和桌面终端、磁盘阵列、备份设备等硬件及其操作系统。3.5平台资产支撑业务系统（包括生产系统和办公自动化等）的商业软件平台系统，包括各业务信息管理系统及相关的数据库、中间件、集成开发环境等。3.6应用软件资产为生产业务和管理应用而开发的各类应用软件及其提供的服务，包括办公工具软件、专业应用

4、软件等。3.7数据资产计算机系统处理、存储和传输的数据对象，是信息系统的核心资产。4.职责4.1公司办公室作为公司整体信息安全保护工作的归口管理部门，负责制定公司信息安全保护的管理办法和技术标准、对公司的信息资产进行妥善保护、指导公司下属城市事业部、控股公司信息安全保护工作的正常开展，同时监督检查各级企业的信息安全工作的开展落实情况，做好安全培训工作。4.2公司下属城市事业部、控股公司信息化主管部门负责参照本标准做好自身的信息资产的安全保护工作、指导检查下属单位或工程项目经理部的信息安全保护工作，并建立完善的信息化管理组织体系，做好安全培训工作。4.3各级信息员负责贯彻落实本标准对信息安全保障

5、的规范及技术要求，做好自身负责的信息资产的安全保护工作，定期参加安全培训，提升安全意识和更新保护技能。4.4信息资产使用人员在信息资产的使用过程中，自觉严格参照本标准的规范执行，不进行违章操作，不越权使用数据，保护好自己的数据安全，预防商业机密泄漏。五、信息系统安全类别划分为对信息系统更有针对性的进行保护，公司各级信息系统应划分类别，实施分类保护。根据系统承载业务在生产经营和管理中的重要程度、遭到破坏的信息系统对经营管理及经济利益的危害程度、破坏范围等因素，信息系统分为以下三类：A类系统：信息系统受到破坏后，不仅对企业整体造成损害，而且影响企业核心业务活动，妨碍公司整体生产经营活动，给公司造成

6、经济损失，甚至造成不良社会影响。B类系统：信息系统受到破坏后，对公司多个部门或公司整体造成损害，影响公司多个部门的重要业务。C类系统：信息系统受到破坏后，对公司局部造成损害，影响公司局部业务活动。六、A类系统1.物理安全物理环境是信息系统正常运转的外在基础保障，需要根据运行的信息系统安全类别，参照国家标准及规范进行建设并维护。A类系统需要遵循以下技术要求：1.1物理位置的选择机房和办公场地应选择具有防震、防风和防雨等能力的建筑内。1.2物理访问控制本项要求包括：（1）机房出入口应安排专人值守，控制、鉴别和记录进入的人员；（2）需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围。1

7、.3防盗窃和防破坏（1）应将主要设备放置在机房内；（2）应将设备或主要部件进行固定，并设置明显的不易除去的标记；（3）应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；（4）应对介质分类标识，存储在介质库或档案室中；（5）主机房应安装必要的防盗报警及监控设施。1.4防雷击（1）机房建筑应设置避雷装置；（2）机房应设置交流电源地线。1.5防火机房应设置灭火设备和火灾自动报警系统。1.6防水和防潮（1）水管安装不得穿过机房屋顶和活动地板下；（2）应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；（3）应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。1.7防静电关键设备应采用必要的接地防静电措施。

8、1.8温湿度控制机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。1.9电力供应（1）应在机房供电线路上配置稳压器和过电压防护设备；（2）应提供短期的备用电力供应，至少满足关键设备在断电情况下仍能正常运行的要求。1.10电磁防护电源线和通信线缆应隔离铺设，避免互相干扰。2.网络安全2.1边界安全防护（1）公司以及公司下属城市事业部在网络边界处必须部署防火墙系统或安全网关隔离外部网络，同时部署流控或上网行为管理设备进行网络控制。网络边界设备配置时尽量开放最少的端口，只对视频会议、接入网关等特殊应用nat全映射。（2）工程项目经理部或其他人数较少的分支机构应配备具备流

9、控或上网行为管理功能的企业级网关或路由器，除视频会议、远程监控等特殊业务外，一般情况下禁止做端口映射。2.2内网控制及防护（1）网络设备安全防护内网及边界网络设备不允许使用默认口令，设置口令必须符合安全的密码规范，至少8位且包含字母、符号、数字3种以上的字符，并且定期更换密码，统一管理。（2）VLAN及ACL应用内部网络中如果存在不同权限的用户，如工程项目经理部网络中有分包企业或监理单位等外部人员，需要采取VLAN隔离，并且根据不同权限设置访问控制策略（ACL），限制不同用户对相关信息资源的访问。2.3WiFi网络安全（1）企业网络中原则上不允许架设无密码的WiFi网络，如必须架设无密码公开W

10、iFi，必须设置访问控制，不允许这些WiFi网络用户访问企业内网资源；（2）WiFi网络应由信息化专业人员搭建，设置成WPA2模式的密码，有条件的情况下应部署WiFi网络用户审计系统。2.4网络运维管理（1）企业网络应由指定的网络管理员进行日常维护，若对防火墙策略或网络拓扑进行较大变更，则需要信息化部门主管的审批才能进行；（2）网络运维过程中应注意保存配置初始化及变更记录等资料；（3）应部署网络监控系统，对网络使用情况进行实时监控，保障重要信息系统的网络资源。3.服务器安全3.1操作系统安装原则操作系统按照最小化原则进行安装，达到服务器运行的应用需求即可，不允许安装多余的软件及控件。3.2系统

11、身份鉴别配置（1）服务器密码设置必须符合相关的安全规范，至少8位且包含字母、符号、数字3种以上的字符；（2）设置账户锁定时间及锁定阀值对服务器登录进行保护。3.3入侵及恶意代码防范安装专门的入侵防火墙及恶意代码扫描工具，定期对服务器进行漏洞扫描。3.4系统补丁更新定期进行补丁更新，修补严重的系统漏洞，更新补丁前应注意数据备份，更新后如出现问题应当及时回退或者采取补救措施。3.5服务器资源监控（1）应有专人进行定期系统资源监控；（2）有条件的应部署专业服务器监控软件，随时掌握服务器资源，保障业务系统运转正常。3.6 WEB网站服务器安全公司对外宣传的WEB网站，为防止黑客入侵，可采用外包服务的方

12、式，委托国内专业的大型网站服务商进行管理。3.7数据备份（1）应部署专业备份软件进行自动化管理，至少每天备份1次数据，备份方式须有2种以上，必要时应做到实时数据备份；（2）运行环境恢复时间长、配置复杂的系统需要有备用机。七、B类系统B类系统需要遵循以下技术要求：1.1物理访问控制机房出入应安排专人负责，控制、鉴别和记录进入的人员。1.2防盗窃和防破坏（2）应将设备或主要部件进行固定，并设置明显的不易除去的标记。1.3防雷击机房建筑应设置避雷装置。1.4防火机房应设置灭火设备。1.5防水和防潮（1）应对穿过机房墙壁和楼板的水管增加必要的保护措施；（2）应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。1.6温湿度控制机房应设置必要的温、湿度控制设施，使机房温、湿度的变化在设备运行所允许的范围之内。1.7电力供应应在机房供电线路上配置稳压器和过电压防护设备。（1）公司及公司下属城市事业部、控股公司内网及边界网络设备不允许使用默认口令，设置口令必须使用复杂的密码规则，至少8位且包含字母、符号、数字3种以上的字符，并且定期更换密码，统一管理。内部网络中如果存在不同权限的用户，如工程项目经理部网络中有分包企业或监理单位等外部人员