信息安全管理Word下载.docx

1、操作系统是管理电脑硬体与软体资源的电脑程式，同时也是电脑系统的核心与基石。初始管理员账号操作系统或伺服器平台，如：Windows 操作系统 的Administrator账号， SQL Server 伺服器 sa 帐号等。但不包括Domino。数据库普通用户指数据库系统中除初始管理员账号和数据库管理员外的其它账号。 4.2 角色职责表角色职责部门主管按本规范要求，保管初始管理员账号。按本规范要求，对各管理员的角色进行合适的授权。流程经理按信息安全管理流程要求，依本规范要求进行对执行情况及效果、记录进行核查或审计。按本规范要求，对相关记录进行审核。5.0 内容 5.1 规范说明 因适用范围及管理要

2、求，本规范分成 8个不同领域明确信息安全要求。 5.2 信息安全规范总则 5.2.1 组织管理部门相应的职能小组负责按信息安全流程要求制定工作手则及指引。每个信息安全领域每年最少一次对领域内的管理、技术进行工作检讨。 5.2.2 授权管理因日常管理工作要求，部门遵循分层授权体系进行角色、分工管理。 5.2.3 账户管理 5.2.3.1 员工有责任保障自己所拥有帐号安全，不得将自己所拥有帐号转借给他人使用。 5.2.3.2 员工不得以任何方式泄露自己的帐号、密码。一旦发生泄密事件，须立即通知上司或相关管理小组并安排更换密码。 5.2.3.3 帐号/密码不可交由非指定授权人员使用，使用完毕应尽快登

3、出。 5.2.3.4 员工在需要在自己不拥有帐号的系统进行操作时，应向相关的服务负责人进行帐号的申请。5.2.3.5 员工不得以任何方式获取（或企图获取）他人账户。 5.2.3.6 初始管理员账号仅供处理系统设定及授权用途，基于安全理由， 除系统不支持多帐号管理情况外，此帐户将由部门主管统一保存， 并只可于有需要时使用。 5.2.3.7 所有的管理员账户应尽量避免共用，可行下均需有独立的管理员账户。 5.2.3.8 管理员权限账户管理管理员权限应及时跟进权限分配表并至少每年进行一次检查。不得擅自更改或任意开放权限。若拥有管理权的人不在需要有一个应急安排。 5.2.3.9 所有申请的账户，要明确

4、需要的权限，确保不需要的权限不要授予。5.2.4 密码管理 5.2.4.1 员工应做好自己所拥有的账户密码的保密，并根据相关管理要求，定期或不定期更换修改密码，密码的设置上要符合保密性要求。 5.2.4.2 密码设定要求强密码定义为密码长度至少为八个字元。 需由大写英文, 小写英文, 数字及符号4项中的其中3项组成。中等复杂密码：密码长度至少为八个字元。 需由大写英文， 小写英文， 数字及符号4项中的其中2项组成。禁止设定使用者帐号、姓名、生日、身份证号码、电话号码或单位代名等与个人或单位相关的信息作为密码。 5.2.4.3 密码策略更换密码的间隔时间最长不得超过1年。所有管理员权限的帐号密码

5、均需使用强密码（包括但不限于初始管理员账号、伺服器管理员账号等）。初始管理员账号及各管理员账户均有独立的管理员密码，不可重复。对于临时短期授权使用的初始管理员密码，使用完成后需立即回收并及时调整密码。如需长期使用初始管理员账号，需由部门主管授权批签形成记录后方可使用，相关密码每次调整后必须同步通报部门主管。5.2.5 监视管理 时钟设备应设定自动时钟同步或至少每年进行一次的时钟校验，时钟误差不应当超10分钟。5.3 人员管理（行政工作） 本段落的编写目的是为了定义了人员管理规范， 减少由于人员的疏忽或固意而做成的信息资产毁坏或外泄机会， 降低相关风险造成的业务损失。 5.3.1 责任要求员工必

6、须遵照安全管理规范，防止信息安全管理存在问题。员工发现有其他人违反本规范，有义务通知流程经理或部门主管。发现并报告安全事件软件故障和安全薄弱点是员工应尽的义务。任何影响到他人正常使用集团系统和网络的行为都是不允许的。当发现任何安全漏洞后，员工禁止用任何方式来利用它。公司有权要求承担关键性任务的员工与公司签订额外保密协议。如有需要，应定期按地区法规发出电脑软件版权合法使用提示通告， 提醒集团用户合法使用软件版权如发现用户非法安装盗版软件或核准软件清单以外的软件，信息技术部需立即删除，然后向用户及其部门主管发出非法安装软件通知书，并要求用户于7天内直接以书面形式向集团总经理解释安装原因同时将副本抄

7、送信息技术部存档。如用户未有于指定日期前发出解释书，信息技术部应发出非法安装软件跟进通知书，跟进通知书除发送至用户外，副本会抄送至其主管及集团总经理。相关的用户通知书及解释书会存放于信息技术部中央文件库内。 对出现的违规员工，公司有权视具体情况对当事人进行处理，处理方式包括警告调离岗位辞退送司法机关等。 5.3.2 安全保密制度安全保密协议是任何能访问敏感信息的员工、能接触关键资料的合约供应商人员需要在访问信息处理设施前，均需签署的承诺。 顾佣条款或保密协议或合同内条件应澄清和说明以下具体内容：保密的内容和范围；双方的义务；员工的法律职责和权利，例如关于版权法、资料保护法等；如果员工或合约供应

8、商人员无视安全要求所产生的违约责任及可能需要采取的措拖；在顾用期员工应承担的责任结束后持续的时间参照保密协议。基本保密义务：应当遵守的保密制度，妥善保管其所保存的公司秘密资料，不得刺探与本职工作、本身业务无关的秘密，不得泄露公司的技术秘密。非经公司书面同意，不得利用公司的商业秘密进行生产、经营和兼职活动，不得利用公司的商业秘密组建新的企业。如果发现公司秘密被泄露，应当采取有效措施防止泄密扩大，并及时上报公司。无论是在职还是离职，不得披露、使用或者允许他人使用公司的商业秘密，不得利用公司的商业秘密从事兼职活动，不得利用公司的商业秘密到其他单位任职。员工离职时，应当将所持有的秘密资料全部归还集团，

9、不得保留拷贝。所有管理文件系统帐户及密码网络资源状况系统（含软件）资源状况商务文件（如内外合约）均属受保护范畴，接触相关内容的员工不得在未经许可的情况下，有意或无意对外泄露（含无了解需要的部门和人员）。 5.3.3 人员聘用 5.3.3.1一般要求员工必须学习并遵守公司信息安全管理体系所有要求内容。员工应自觉遵守职业道德，有高度的责任心并自觉维护公司的利益，不能利用电脑私自收集、泄漏企业机密信息。 5.3.3.2人员筛选在对应聘人员进行筛选的过程中，对求职者的背景调查应该符合相关的法律法规以及道德准则的要求，并根据不同职位的业务需求、所接触的信息情况、以及可能由此引发的风险做不同程度的调查，包

10、括工作经历、犯罪记录或不良工作记录。审查应包括以下内容：对应聘人员简历的完整性和准确性进行查证。对应聘人员声明的学术和专业资格进行查证。5.3.3.3员工入职安全管理员工入职必须签订保密协议。在员工的入职培训内容中应该包括信息安全管理规范的培训。 5.3.4 工作期间 5.3.4.1管理职责在正式投入工作、获准访问敏感信息或信息系统之前，直属上司/各系统管理员应再次向其明确和细化其岗位所承担的信息安全责任和相关要求，确保所有的员工了解并遵从：了解本人在被授权访问的敏感信息或信息系统中应承担的安全角色和职责。对于他们在公司内的角色和职责的相关安全问题的意识程度达到一定级别。禁止在工作要求以外的情

11、况下对于敏感信息作私人查询。遵守顾佣及部门的条款和条件，包括的信息安全方针要求。 当顾佣或合同变化，保密协议需要重新审视（如合同到期、员工调职或工作范围发生重大变化）。 5.3.4.2个人电脑安全管理职责执行管理制度要求的软体使用规范，不安装和运行在网路上下载的不可信应用程式，以防止被安装电脑木马程式、网路窃听程式或者感染电脑病毒。未经批准不应使用未经公司许可的软体，特别是没有正式版权的软体。不得私自编制与其工作职责不相符的软体。若发现有擅自改变预先安装的软体、安装与工作无关的软体、安装非法使用的软体等情况，将按照规定向集团总经理通报。做好使用的电脑安全保护工作，防止电脑被网路攻击者攻破而成为

12、进入内部网路的跳板。禁止电脑上开放具有“写”许可权的共用目录，如果实在有必要，可临时开放，但要设置共用的密码，并在使用完之后立刻取消共用。长时间离开公司办工区域前有责任确认个人电脑及负责范围内的用电设备处于关闭状态。设置萤幕保护，养成离开坐位前锁定萤幕的习惯。不得私自开启电脑主机壳，如需拆主机壳，应当向当地系统管理组提出申请。不得私自重装个人电脑的系统。使用印表机列印文档时，列印完成后立即从印表机上取回文档，防止文档信息泄漏。内部重要文件、资料的销毁，应全部送入碎纸机，不得任意丢弃。5.3.4.3电脑病毒的预防职责保证电脑防毒软件正常运作， 不得私自缷载、关闭防毒软件。禁止安装使用自行从网上下

13、载的软体，对于外来的程式和文档，在运行或打开前必须进行电脑病毒的检测和清除。对于电子邮件附件所带的程式和文档在确认来自可信的寄件者之前不得运行或打开，并且在运行或打开前必须进行电脑病毒的检测和清除。在收到来自公司内部其他同事发来的含有病毒的邮件，除进行杀毒外，还应及时通知对方杀毒。发现有防毒软体查杀不彻底的病毒时，应立即关闭电源并联系当地系统管理组进行处理。不得进行电脑病毒的制作和传播。5.3.4.4在公司内部活动职责进入部门办公区的人员都应佩戴指定证件。一旦发现任何未佩戴证件的人员，应立即向行政组报告。 指定的证件包括：职员证或访客临时出入证。访客临时出入证在客人进入公司时由公司保安发放，离

14、开公司时收回。如需在部门办公区域存放敏感文件，该文件必须加锁保存，一般性文件如合同、投标档等必须归档由行政组保存。在使用各类移动存储介质进行资料转移或传递时须防止资料泄密或丢失。 5.3.4.5 员工安全培训为确保员工意识到信息安全威胁和隐患，并在他们正常工作时遵守公司的信息安全性原则，部门需要提供必要的信息安全教育与培训。根据工作岗位对从业者的能力需求、从业者本身的实际能力以及从业者所面临信息安全风险，确定培训内容。也就是说培训应考虑不同层次的职责、能力、文化程度以及所面临的风险。5.3.4.6 员工惩罚机制为保证员工严格执行各项安全要求，应对违规者进行惩罚。根据员工违反安全管理规范的程度实

15、施以下惩罚措施，惩罚的手段可包括：行政警告。调离岗位。根据合同予以辞退。触犯刑律者移交司法机关。 5.3.5 离职或转岗 5.3.5.1终止职责 离职或转岗前，直属上司/各系统管理员应重申其离职后一段时间内仍须遵守的安全条款，如在保密协议签订的相关内容以及可能由此引发的法律责任。对于公司辞退员工，必须在第一时间完成交接工作，通知其辞退后，所有的工作交接内容必须有专人陪同。应注意防止员工离职或转岗前蓄意破坏及盗取资料等行为的发生。 5.3.5.2归还资产员工离职或转岗前，应归还所持有的公司信息资产。归还的内容包括：归还所有的物理安全设备，包括笔记本、门禁卡、钥匙和证件等。归还所有工作资料，包括纸

16、介质和电子介质。若员工已购买了公司的设备，或在工作中使用了个人设备，应确保其存储的公司相关信息被正确返还，同时在设备上永久擦除。 5.3.5.3撤销存取权限员工离职或转岗时，应收回所有的密码，并确认密码的正确性。员工离职或转岗时，应立刻删除相关账户或更改所有此人员曾掌握过的密码或金钥。员工离职或转岗后，应移除员工对信息系统的存取权限，撤销或更改员工使用过的密码或金钥，例如停用个人帐号、调整所在组的帐号等。员工离职后，应立即删除相关生物识别的存取权限。5.4 机房管理 本段落的编写目的是为了规范机房环境和活动管理的安全要求， 有效控制安全风险， 保障各业务系统访问的可用性、 安全性及完整性，减少

17、资产被破坏或盗窃对集团做成损失的风险。 5.4.1 一般要求受保护的信息处理设备，例如是伺服器、存储等重要设备，必需放入受保护区域或机房。机房的钥匙需安排专人管理。禁止允许或默许未登记或XX人员进入机房。禁止在XX下擅自处理故障。禁止在机房进行任何无关工作的行为。禁止任何XX人仕于机房内拍照或录像。除在供应商的认可及指导下、 禁止非电力技术人员接触供电相关设备和线路。禁止在非授权及无机房运维人员监视的情况下进入设备区接触任何设备。当发现机房内来访者有不恰当行为，任何人都有权提出质疑并向上级报告。禁止携带易燃易爆品进入机房。禁止堆放备件、杂物等于非指定位置。每天对机房进行巡检,并记录于 机房运行

18、巡检记录表。 5.4.2 环境要求5.4.2.1温湿度机房范围应尽量保持恒温恒湿， 温度可按季节及外间室温调整为 20C-23C +2C 之间。 相对湿度应维持在45%至65%之间；5.4.2.2防尘严禁在机房内堆放产生尘埃及废物的设备。5.4.2.3消防机房应常备灭火器并摆放于指定位置，且通知相关同事；灭火器设备必须是乎合国家或国际标准的产品。选用灭火器时，必须注意选用二氧化碳或气体灭火器，禁止使用水、干粉或泡沫等容易产生二次破坏的灭火剂。核心机房需设置乎合标准的火灾自动报警及FM200自动灭火系统。机房内的消防设施每半年最少检查一次，保持处于正常状态。易燃物品，如使用的纸、磁带、废弃物等，

19、应放入有防火盖的金属器皿或防火柜内。5.4.2.4防水若机房有给排水管道，则必须做到不渗、不漏。如发现机房内水管有渗漏情况， 必需安排紧急处理。如机房立于用水设备下层，其顶上必须设置防水层，并设漏水检查装置。5.4.2.5静电防护机房内的地面、工作台面及座椅套材料等应是导静电的，且应进行静电接地。所有导体须保证可靠接地，不得有对地绝缘的独立导体。静电接地的连接线应有足够的可靠性，导电性能也应长期稳定。在易生静电的地方，可配备静电消除剂和静电消除器。5.4.2.6防雷击机房必须有有效的防雷设计、防雷施工。 防雷内容可包括设备防雷、线路（电力线及信号线）防雷及防雷接地。必需使用经国家或国际认可的防

20、雷产品。5.4.2.7鼠害在易受鼠害的场所，机房内的电缆和电线上应涂上驱鼠药剂。如有需要,机房内应设置捕鼠或驱鼠装置。5.4.2.8卫生机房内应保持整洁，不可堆积杂物、易燃物品。机房内严禁抽烟及饮食。5.4.2.9供配电应有可靠的供电线路，其电源设备应稳定可靠。非机房运维设备， 其电力负荷不得由电脑主机电源或 UPS 系统供电。UPS 系统应是可联网运作，提供顺序自动关闭伺服器功能。5.4.2.10其它机房内的各种线（电源线、信号线、网线等）应分别铺设。机房内的网线应有明确的标号。机房内有合适亮度的照明， 及应急照明。机房内应配接至少一部电话。应视具体情况设置监视设备，及时发现异常状态。根据不

21、同的使用目的，应选择配备以下监视设备：- 自动火灾报警器- 漏水传感器- 温湿度传感器- 监视摄像机5.4.3机房进出管理本地系统管理组主管按需要签署及核查机房运维授权表，授权指定有需要运维人员的机房，并通知部门主管。非预授权员工进出机房时，必须在人员出入登记表内登记后才能进出机房。对于未有提供任何保密承诺的系统维护厂商，维护人员进入机房前除在人员出入登记表内登记外， 需于现场签署临时保密声明，经相关机房运维经理确认及核准后才能进出机房。系统维护厂商维护人员进行现场维护时， 过程中需全程由系统管理组人员监视。5.4.4 物品进出机房管理机房设备需进入机房安装前必须提前至少2个工作日通知，分配好

22、相关资源（IP，网路埠，具体安装位置，电源插座等）并填写仪器进入机房审批表，经系统管理组主管审批后方可进入。系统管理组需负责机房内各类记录、介质的保管、收集，资讯载体必须安全存放、保管，防止丢失或损坏。机房物品包含当前正在运行设备和备件设备、线缆、测试仪器等一切跟机房运行维护相关设备、资料、仪器、工具。 对这些物品的进出流向必须做好登记备案。对正在运行的设备需要更换拆除并运离机房时，需要填写物品出入登记表后，方可关闭设备搬离机房。 5.4.5 空调管理规范空调过滤网需定期清洁并登记相关记录。对设备的设定及操作作按照机房环境要求进行。5.4.6 消防安全机房及周边地区严禁烟火，禁止明火作业以及使

23、用电热器具。在发生零星火灾而火警铃未有响起的时候， 可以试使用机房内指定灭火筒进行扑救。火警铃响时在机房内作业的所有人员必须在30秒内撤离现场，保证个人人身安全后立即向系统管理组主管汇报情况。5.4.7 电源使用安全改动电力线路工作必需由电力技术人员进行。5.4.8 门禁系统故障或断电时的处置机房门禁系统若因故障或断电无法使用时，系统管理组应纪录无法使用的开始与结束时间，并采取人工手段保护机房安全，必要时应寻求保安部门协助。5.4.9 共用机房管理对于跟其他部门共用的机房， 需要有明确的权责分工协议。系统管理组需每季度最少对相关机房作出视察。5.4.10 记录检查系统管理组应按月向信息安全流程

24、经理提交机房运行巡检记录表,人员出入登记表，流程经理有权要求系统管理组提供门禁出入日志（如有）为作核对， 于检视完成后若发现有异常应立即向部门主管通报并作后续处理。5.5 网络管理 本段落的编写目的是规范网络设备管理以及网络访问行为，以确保资讯与网络的访问与许可权能适当的授权、配置及维持，避免未获授权的资源访问，并确保使用手提电脑与远端存取时的资讯安全。 5.5.1 一般要求应加强网络基础设施和网络设备的物理安全，防止自然或人为的破坏。用户对资讯的访问，其管理的要求于下列各章节进行约定，用户仅限于访问授权范围内的资讯、服务与设备，不得作XX的访问。对于网络架构（信息安全管理流程定义的范围）的变

25、动， 必需通过变更管理流程提出申请。所有的网络的重要参数与设定，均由系统管理组负责按 配置管理流程设定与处理。 5.5.2 网络管理规定网络构建规定以TCP/IP 协议为基础， 信息安全管理流程所定义的网络范围内可使用固定IP或自动绑定。网络设计应考虑容错与备份。网络线路应提防XX的接驳或改动。系统管理组每季最少对线路巡视一次，及时发现环境或线路故障隐患。网络设备密码应尽量使用强密码， 如设备存在多层管理机制，各层密码必需独立设置，要求为网络设备配置密码增强式加密与启用密码加密。未经系统管理组许可网络中电脑禁止- a. 通过Modem、3G上网卡或其他非集团提供方式连接互联网服务- b. 通过

26、电信服务提供商提供的其他宽带ADSLISDN 等互联网服务- c. 于本地开放 ftp、web、pop3、smtp 等类服务5.5.3 网络地图管理规定旭日集团网络地图由系统管理组专人绘制。网络地图须清晰反映:- a. 主要设备位置分布- b. 网络节点- c. 网络IP 分配及地域/部门对照关系- d. 网络拓朴结构及各设备连接关系- e. 地图时间及责任人。网络地图需随网络变动及时更新， 并按配置管理要求存档。集团网络地图实行严格保密管理，不得有意或无意对外泄露。系统管理组组员可因应工作需要保存本地域的精简版本网络地图。完整的网络地地图须征得系统管理组主管及部门主管授权并有系统管理组人员陪

27、同方可查阅， 网络地图禁止带离。 5.5.4 防火墙管理通用规定应该在内网与外网间使用防火墙设备隔离，使互联网与内部网之间建立起一个安全闸道，保证内部网络隐藏在公共网络之后，防止非法的使用者对内部网络的攻击和资料的非法窃取修改。在相对独立的网络区域或与风险区域间，需采用防火墙网络安全模型。任何关键性的伺服器，都必须放在防火墙之后。为隐藏内部地址，并克服IP地址可能的数量限制，规定采用静态模式，即建立对外公开IP 地址和内部真正IP 地址之间的映射。尽量保持规则集简洁和简短，以减少犯错机会和提高运转效率。对于按顺序方式检查信息包的防火墙系统，应将较特殊的规则放在前面，较普通的规则放在后面，以防止

28、防火墙的配置错误。 5.5.5 防火墙设定与使用要求正确划分网络风险区域安全区域和非军事区域（DMZ）三类区域的应用，控制好各区间的访问授权。一般无需重启的版本升级容许通过得到本地系统组主管批签的服务请求处理，涉及停机的版本必需按变更管理流程处理。为确保防火墙遵循安全策略，每次策略更改后均需确保所作更改生效。为防止各类网络攻击，在包处理中心，应设置有效的防入侵策略。充分利用防火墙管理软件，设置站点和端口过滤（永久性及临时性过滤），未经明确允许的协议和埠会被防火墙禁止。为保护内部网络，需建立网络地址转换（NAT）体系，尽可能对外网隐藏内部网络的资讯。在防火墙上对ip位址进行过滤，仅仅对内部合法存在的ip位址可通过防火墙出到外网，禁止内部网以任何形式直接接入Internet。在防火墙设备上,仅允许内部网对Internet开通必要的业务。在防火墙上对个别通讯连接埠进行过滤，保证非授权使用者不能通过 telnetsnmp 等进入网络对设备进行管理和资料的读写。防火墙策略内的用户及参数调整可按事件和服务请求管理流程使用服务请求申请调整，