业务平台安全管理制度
—数据安全管理规范
XXXXXXXXXXX公司网络运行维护事业部
目录
一. 概述 (1)
二. 数据信息安全管理制度 (2)
2.1数据信息安全存储要求 (2)
2.2数据信息传输安全要求 (2)
2.3数据信息安全等级变更要求 (3)
2.4数据信息安全管理职责 (3)
三. 数据信息重要性评估 (5)
3.1数据信息分级原则 (5)
3.2数据信息分级 (5)
四. 数据信息完整性安全规范 (7)
五. 数据信息保密性安全规范 (8)
5.1密码安全 (8)
5.2密钥安全 (9)
六. 数据信息备份与恢复 (11)
6.1数据信息备份要求 (11)
6.1.1 备份要求 (11)
6.1.2 备份执行与记录 (11)
6.2备份恢复管理 (12)
一. 概述
数据信息安全,顾名思义就是要保护数据信息免受威胁的影响,从而确保业务平台的连续性,缩减业务平台有可能面临的风险,为整个业务平台部门的长期正常运行提供强有力的保障。
为加强数据信息的安全管理,保证数据信息的可用性、完整性、机密性,特制定本规范。
二. 数据信息安全管理制度
2.1 数据信息安全存储要求
数据信息存储介质包括:纸质文档、语音或其录音、输出报告、硬盘、磁带、光存储介质。
存储介质管理须符合以下规定:
◆包含重要、敏感或关键数据信息的移动式存储介质须专人值守。
◆删除可重复使用存储介质上的机密及绝密数据时,为了避免在可移动介质上遗留信
息,应该对介质进行消磁或彻底的格式化,或者使用专用的工具在存储区域填入无
用的信息进行覆盖。
◆任何存储媒介入库或出库需经过授权,并保留相应记录,方便审计跟踪。
2.2 数据信息传输安全要求
◆在对数据信息进行传输时,应该在风险评估的基础上采用合理的加密技术,选择和
应用加密技术时,应符合以下规范:
?必须符合国家有关加密技术的法律法规;
?根据风险评估确定保护级别,并以此确定加密算法的类型、属性,以及所用密
钥的长度;
?听取专家的建议,确定合适的保护级别,选择能够提供所需保护的合适的工具。
◆机密和绝密信息在存储和传输时必须加密,加密方式可以分为:对称加密和不对称
加密。
◆机密和绝密数据的传输过程中必须使用数字签名以确保信息的不可否认性,使用数
字签名时应符合以下规范:
?充分保护私钥的机密性,防止窃取者伪造密钥持有人的签名。
?采取保护公钥完整性的安全措施,例如使用公钥证书;
?确定签名算法的类型、属性以及所用密钥长度;
?用于数字签名的密钥应不同于用来加密内容的密钥。
2.3 数据信息安全等级变更要求
数据信息安全等级经常需要变更.一般地,数据信息安全等级变更需要由数据资产的所有者进行,然后改变相应的分类并告知信息安全负责人进行备案.。对于数据信息的安全等级,应每年进行评审,只要实际情况允许,就进行数据信息安全等级递减,这样可以降低数据防护的成本,并增加数据访问的方便性。
2.4 数据信息安全管理职责
数据信息涉及各类人员的职责如下:
◆拥有者:拥有数据的所有权;拥有对数据的处置权利;对数据进行分类与分级;指
定数据资产的管理者/维护人;
◆管理者:被授权管理相关数据资产;负责数据的日常维护和管理;
访问者:在授权的范围内访问所需数据;确保访问对象的机密性、完整性、可用性等;
三. 数据信息重要性评估
3.1 数据信息分级原则
分级合理性
数据信息和处理数据信息分级的系统输应当仔细考虑分级范畴的数量以及使用这种分级所带来的好处。过于复杂的分级规划可能很累赘,而且使用和执行起来也不经济实用。
分级周期性
数据信息的分级具有一定的保密期限.对于任何数据信息的分级都不一定自始至终固定不变,可按照一些预定的策略发生改变。如果把安全保护的分级划定得过高就会导致不必要的业务开支。
3.2 数据信息分级
数据信息应按照价值、法律要求及对组织的敏感程度和关键程度进行分级,分级等级如下:
信息安全管理规定 1目的 在遵循集团《计算机信息安全管理制度》原则基础上,为确保公司网络平台、信息系统的正常运行及信息系统中的信息数据安全,防止泄密,针对公司实际情况,制定本管理规定。 2范围 本办法适用于公司全体员工。 3术语定义 3.1 计算机信息:是指存储在计算机相关设备上的应用系统(软件)、数据、文档、图纸等含有一定意义的计算机信息资料。 3.2 内部网络:是指园区网络及通过专线与园区互联的其他园区、驻外机构网络(以下简称内网)。 3.3 外部网络:是指互联网或除互联网和公司内网之外的第三方专网(以下简称外网)。 3.4 VPN:虚拟专用网络(Virtual Private Network,简称VPN),是指在公共网络上建立专用网络的技术,属于远程访问技术,就是利用公网链路架设的虚拟私有网络。 4职责 4.1信息化管理部门:公司信息化管理部门,负责计算机信息安全日常工作,事业部接入级网络交换设备的管理工作,及时向总部信息化管理部门、督察部门报告重大计算机信息安全隐患和计算机信息安全事件。 4.2 计算机用户:负责本人领用的办公计算机的日常保养、正常操作及安全管理,负责所接触计算机信息的保密性、可用性和完整性;及时向信息化管理部门报告计算机信息安全隐患和计算机信息安全事件。涉密信息的起草人必须按公司《保密制度》相关规定提出信息密级的定级申请。 5内容与要求 5.1 账号和密码安全管理 5.1.1 信息系统用户账号须严格按照业务信息系统要求进行设置,原则上不得设置成共用账号,以确保使用人与账号的唯一性。 5.1.2 员工申请信息系统账号权限时,所在部门的负责人应严格审核,控制授予满足其工作需要的最小权限;员工岗位或工作内容发生变化后应及时提出申请权限变更,应用系统管理员应及时变更异动员工的权限,冻结离职员工的账号。 5.1.3计算机用户应妥善保管好自己的系统账号密码或身份认证设备,如发现遗失或被盗,应立即向信息化管理部门报告,信息化管理部门应及时处理,确保账号使用的合法性。
信息工作管理制度 第一章总则 第一条为了加强信息管理,规范信息安全操作行为,提高信息安全保障能力和水平,维护信息安全,促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等规定,以《环境信息网络管理维护规范》(环保部制定)等标准为基本管理操作准则,制订本管理制度。 第二条本制度适用范围为信息与监控中心,其他单位可参照执行。 第二章岗位管理 第三条业务信息工作人员(包括监控与信息中心技术人员及机关业务系统管理人员)、机房运维人员(包括外包机构人员),应遵循《环境信息网络管理维护规范》等规定。 第四条机房运维人员根据运维合同规定由机房管理部门对其实行管理。 第五条信息工作人员岗位设置为系统管理员、业务管理员、网络管理员、安全管理员、安全审计员。 人员岗位及职责 (一)系统管理员 系统管理员是从事服务器及存储设备运行管理的人
员,业务上应具备熟练掌握操作系统、熟练操作服务器和存储设备的能力。 1、负责指定的服务器、存储等设备的资料登记、软件保管及设备报修。 2、配合完成指定的业务软件运行环境的建立,正式运行后的服务器系统软硬件操作的监管,执行中心的备份策略。 3、在所负责的的服务器、存储设备发生硬件故障时,及时组织有关人员恢复系统的运行,针对系统事故找到系统事故原因。 4、负责指定的服务器操作系统的管理口令修改。 5、负责制定、执行服务器及存储设备故障应急预案。 (二)业务管理员(业务联系人) 业务管理员是部署在应用服务器上的操作系统及业务系统运行管理的人员,业务上应具备业务系统安装及基本调试操作的能力(业务软件厂家负责培训),业务系统及部署操作系统故障分析的能力,预防系统风险的能力。 1、负责维护业务系统的运行及业务系统的安装环境。 2、负责制定、执行业务系统及其数据的备份计划。 3、负责业务数据的数据备份及数据恢复。 4、负责制定执行本业务系统的故障应急预案。 (三)网络管理员
数据安全管理办法解读 第一章总则 第一条为了维护国家安全、社会公共利益,保护公民、法人和其他组织在网络空间的合法权益,保障个人信息和重要数据安全,根据《中华人民共和国网络安全法》等法律法规,制定本办法。 第二条在中华人民共和国境内利用网络开展数据收集、存储、传输、处理、使用等活动(以下简称数据活动),以及数据安全的保护和监督管理,适用本办法。纯粹家庭和个人事务除外。 法律、行政法规另有规定的,从其规定。 第三条国家坚持保障数据安全与发展并重,鼓励研发数据安全保护技术,积极推进数据资源开发利用,保障数据依法有序自由流动。 第四条国家采取措施,监测、防御、处置来源于中华人民共和国境内外的数据安全风险和威胁,保护数据免受泄露、窃取、篡改、毁损、非法使用等,依法惩治危害数据安全的违法犯罪活动。 第五条在中央网络安全和信息化委员会领导下,国家网信部门统筹协调、指导监督个人信息和重要数据安全保护工作。 地(市)及以上网信部门依据职责指导监督本行政区内个人信息和重要数据安全保护工作。
第六条网络运营者应当按照有关法律、行政法规的规定,参照国家网络安全标准,履行数据安全保护义务,建立数据安全管理责任和评价考核制度,制定数据安全计划,实施数据安全技术防护,开展数据安全风险评估,制定网络安全事件应急预案,及时处置安全事件,组织数据安全教育、培训。 第二章数据收集 第七条网络运营者通过网站、应用程序等产品收集使用个人信息,应当分别制定并公开收集使用规则。收集使用规则可以包含在网站、应用程序等产品的隐私政策中,也可以其他形式提供给用户。 第八条收集使用规则应当明确具体、简单通俗、易于访问,突出以下内容:(一)网络运营者基本信息; (二)网络运营者主要负责人、数据安全责任人的姓名及联系方式; (三)收集使用个人信息的目的、种类、数量、频度、方式、范围等; (四)个人信息保存地点、期限及到期后的处理方式; (五)向他人提供个人信息的规则,如果向他人提供的; (六)个人信息安全保护策略等相关信息; (七)个人信息主体撤销同意,以及查询、更正、删除个人信息的途径和方法; (八)投诉、举报渠道和方法等; (九)法律、行政法规规定的其他内容。
信息安全管理规范 第一章总则 第一条为规范企业信息系统及所承担维护服务的用户信息系统的信息安全管理,促进信息安全管理工作体系化、规范化,提高信息系统和网络服务质量,提高信息系统管理人员、维护人员以及使用人员的整体安全素质和水平,特制定本管理规范。本管理规范目标是为公司信息安全管理提供清晰的策略方向,阐明信息安全建设和管理的重要原则,阐明信息安全的所需支持和承诺。 第二条本规范是指导公司信息安全工作的基本依据,信息安全相关人员必须认真执行本规程,并根据工作实际情况,制定并遵守相应的安全标准、流程和安全制度实施细则,做好安全维护管理工作。 第三条信息安全是公司及所承担的用户信息系统系统运维服务工作的重要内容。公司管理层非常重视,大力支持信息安全工作,并给予所需的人力物力资源。 第四条本规范的适用范围包括所有与公司信息系统及本公司所承担维护服务的各方面相关联的人员,它适用于本公司全部员工,集成商,软件开发商,产品提供商,商务伙伴和使用公司信息系统的其他第三方。 第五条本规范适用于公司所承担服务支撑的外部各单位的信息系统的安全工作范围。 第六条本规范主要依据国际标准ISO17799,并遵照我国信息安全有关法律法规、电信行业规范和相关标准。 第二章安全管理的主要原则 第七条管理与技术并重的原则:信息安全不是单纯的技术问题,在采用安全技术和产品的同时,应重视管理,不断积累完善各个信息安全管理章程与规定,全面提高信息安全管理水平。
第八条全过程原则:信息安全是一个系统工程,应将它落实在系统建设、运行、维护、管理的全过程中,安全系统应遵循与信息系统同步规划、同步建设、同步运行的原则,在任何一个环节的疏忽都可能给信息系统带来危害。 第九条风险管理和风险控制原则:应进行安全风险管理和风险控制,以可以接受的成本或最小成本,确认、控制、排除可能影响公司信息系统的安全风险,并将其带来的危害最小化。 第十条分级保护原则:应根据信息资产的重要程度以及面临的风险大小等因素决定各类信息资产的安全保护级别。制订各类网络系统和信息资产的安全保护等级表,在表中明确资产类别,同时确定对何种资产应达到何种级别的安全。 第十一条统一规划、分级管理实施原则:信息安全管理遵循统一规划、分级管理的原则。信息安全领导小组负责对公司各项信息安全管理工作进行统一规划,负责信息安全管理办法的制定和监督实施。各级部门在信息安全领导小组指导与监督下,负责具体实施。 第十二条平衡原则:在公司信息安全管理过程中,应在安全性与投入成本、安全性和操作便利性之间找到最佳的平衡点。 第十三条动态管理原则:在公司信息安全管理过程中,应遵循动态管理原则,要针对信息系统环境的变动情况及时调整管理办法。 第三章安全组织和职责 第十四条建立和健全信息安全组织,设立由高层领导组成的信息安全领导小组,对于信息安全方面的重大问题做出决策,协调信息安全相关各部门之间的关系,并支持和推动信息安全工作在整个信息系统范围内的实施。 第十五条公司应设置相应的信息安全管理机构,负责信息系统的信息安全管理工作,配备专职安全管理员,由安全管理员具体执行本公司信息安全方面的相关工作。 第十六条公司信息系统的安全管理机构职责如下: 根据本规范制定信息系统的信息安全管理制度、标准规范和执行程序;
大数据安全运维服务 服务方式及内容: 以驻场服务的方式派驻技术人员在客户现场提供服务,以规范化的安全运维工作流程和标准规范为基础,帮助用户从安全防护及检测、事件响应和安全改进三方面控制安全风险,积极开展落实日常安全工作。 一、安全防护运维服务 1.1安全设备巡检 信息系统运行过程中,可能面临安全产品运行异常、安全事件的发生等情况,为有效应对这些情况的出现需要开展长期的安全产品运行监测工作,以及时发现并按照流程有效处理。定期对用户已有安全设备的规则库、策略库和日志进行巡检,出具巡检分析对比报告,提供相关的策略优化建议等。 1.2策略配置 通过全面落实安全策略、合理配置安全产品防护规则,对来自各网络区域的网络攻击行为进行防护规则库升级 1.3产品升级设及策略备份 定期对安全设备的软件版本、特征库进行升级,确保安全设备的安全稳定运行的同时,也确保安全设备规则的最新。 1.4信息安全预警通告 信息安全预警通告服务通过收集最新的信息安全咨询,为用户提供全面、准确的信息安全预警通告服务 1.5漏洞扫描 定期对用户的服务器、网络设备、数据库和应用进行扫描,发现信息系统中存在的安全隐患,并提供相关的解决方案,协助用户对漏洞进行修补。 二、安全事件响应服务 2.1、安全事件处置 配合客户对日常安全运维中发现的各类安全事件进行处置,对客户单位的各类信息安全相关工作提供安全技术支持等。 2.2、重要时期保障 根据客户提出的重要时期保障工作要求,确认工作内容,并详细了解客户现
场环境,为保障工作做准备。加强驻场和二线人力保障。 2.3安全应急演练 配合用户开展应急演练工作,通过应急演练工作验证应急流程的经济性、合理性和可操作性,评估各方面人员应对安全突发事件的组织指挥能力和应急处置能力,提高应急人员应急工作熟练程度,提升全员安全意识 三、协助落实安全工作 3.1协助安全检查 协助制定安全自查计划并开展自查工作,在安全自查和安全整改以及国家相关部门的信息安全检查期间提供全过程的技术支持,帮助客户全面掌握信息安全现状,及时发现安全问题并进行完善性修复,切实提高信息安全保障水平,顺利通过安全检查工作。 3.2协助处置通报 在接到主管单位的内部通报后,驻场人员对通报内容进行分析,以通报内容为线索,对全厅网络进行检查,追溯溯源,通报的内容包括但不限于: 1. 信息安全事件 2. 病毒通报 3. 漏洞通报 4. 其他安全工作 3.3其他定制化的安全服务 根据用户自身的需求,配合用户完成相关定制化的服务 2018年3月20日
信息安全管理系统的规范 第二部分:信息安全管理系统的规范 1 1. 范围 BS 7799的这个部分指明了对建立、实现和文档化信息安全管理系统(ISMSs)的需求。它指明了将要按照个别机构的需要而实现的安全控制的需求。 注:第一部分给出了对最佳惯例的推荐建议,这些惯例支持该规范中的需求。BS 7799的这个部分的条款4给出的那些控制目标和控制来自于BS 7799-1:1999并与改部分的内容保持一致。 2. 术语与定义 为了BS 7799的这个部分,BS 7799-1给出的定义适用于该部分,并有以下专用术语: 2.1 适用性说明 适用于机构的安全要求的目标和控制的批评。 3.信息安全管理系统的要求 3.1概要 机构应建立及维护一个信息安全管理系统,目的是保护信息资产,订立机构的风险管理办法、安全控制目标及安全控制,以及达到什么程度的保障。 3.2建立一个管理框架 以下的步骤是用来找出及记录安全控制目标及安全控制的(参看图一): a) 应定义信息安全策略; b) 应定义信息安全管理系统的范围,定义范围可以是机构的特征、位置、资产及 技术;
c) 应进行合适的风险评估。风险评估应确认对资产的安全威胁、漏洞及对机构的 冲击,从而定出风险的严重程度; d) 根据机构的信息安全策略及所要求达到的保障程度定出要管理的风险; e) 从以下第四条款选出机构要实现的安全控制目标及要实施的安全控制; f) 应准备一份适用性声明书,说明选出哪些安全控制目标及安全控制以及选择的 原因。 以上步骤应定期重复,确定系统的适用性。 2 3.3实施 选出的安全控制目标及安全控制应由机构有效地执行,实施控制的执行程序是否有效应根据4.10.2的规定进行检查。 3.4文档 信息安全管理系统的说明文档应包括以下信息: a) 按照3.2所定的步骤实现的证据; b) 管理架构的总结,其中包括信息安全策略、在适用性声明书所提及的安全控制 目标和已经实现的安全控制; c) 为了实现3.3所指定的控制而采用的程序;这些程序应该刻画责任以及相关行 动; d) 覆盖该ISMS中的管理和操作的程序,这些程序应该指出有哪些责任及其有关
信息安全管理规范公司
版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要
Table of Contents(目录) 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级(保密级别)规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息? (21) 2.2什么是信息安全? (21)
网络数据和信息安全管 理规范 IMB standardization office【IMB 5AB- IMBK 08- IMB 2C】
X X X X有限公司 WHB-08 网络数据和信息安全管理规范 版本号: A/0 编制人: XXX 审核人: XXX 批准人: XXX 20XX年X月X日发布 20XX年X月X日实施
目的 计算机网络为公司局域网提供网络基础平台服务和互联网接入服务。为保证公司计算机信息及网络能够安全可靠的运行,充分发挥信息服务方面的重要作用,更好的为公司运营提供服务,依据国家有关法律、法规的规定,结合公司实际情况制定本规定。 术语 本规范中的名词术语(比如“计算机信息安全”等)符合国家以及行业的相关规定。 计算机信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法系统辨识,控制。即确保信息的完整性、保密性、可用性和可控性。包括操作系统安全、数据库安全、病毒防护、访问权限控制、加密与鉴别等七个方面。 狭义上的计算机信息安全,是指防止有害信息在计算机网络上的传播和扩散,防止计算机网络上处理、传输、存储的数据资料的失窃和毁坏,防止内部人员利用计算机网络制作、传播有害信息和进行其他违法犯罪活动。 网络安全,是指保护计算机网络的正常运行,防止网络被入侵、攻击等,保证合法用户对网络资源的正常访问和对网络服务的正常使用。 计算机及网络安全员,是指从事的保障计算机信息及网络安全工作的人员。 普通用户,是指除了计算机及网络安全员之外的所有在物理或者逻辑上能够访问到互联网、企业计算机网及各应用系统的公司内部员工。 主机系统,指包含服务器、工作站、个人计算机在内的所有计算机系统。本规定所称的重要主机系统指生产、办公用的Web服务器、Email服务器、DNS服务器、OA服务器、企业运营管理支撑系统服务器、文件服务器、各主机系统等。 网络服务,包含通过开放端口提供的网络服务,如WWW、Email、FTP、Telnet、DNS等。有害信息,参见国家现在法律法规的定义。
信息安全管理部 信息安全事件管理规范 V1.0
文档信息: 文档修改历史: 评审人员:
信息安全事件管理规范 年07月 1.0 目的 明确规定“信息安全事件”的范围和处理流程,以便及时地对信息安全事件做出响应,启动适当的事件防护措施来预防和降低事件影响,并能从事件影响中快速恢复; 2.0 适用范围 本制度适用于在信息安全部负责管理的所有信息资产上发生的对业务产生影响的异常事件的处理及后续响应流程。 3.0 相关角色和职责 ●信息安全总监:负责制定《信息安全事件管理规范》,并督促制度的落实和执行; ●信息安全部经理: ?负责《信息安全事件管理规范》中各项流程制度的日常督促执行; ?负责对各类信息安全事件进行第一时间响应,区分信息安全事件的类别及后续 处理流程; ?负责跟踪各类信息安全事件的后续处理,确保公司能从中汲取教训,不再发生 类似问题; ●信息安全事件发起人:在具体工作中发现异常后应及时上报,并协助完成后续处理 工作。 4.0 信息资产 信息安全管理部负责以下信息资产的安全运行: ●机房环境、硬件设备正常运行: ?互联机房; ?北京办公室机房; ?上海办公室机房; ?机房内的所有硬件设备,包括网络设备、服务器和其它设备; ●办公室网络环境正常运行 ?互联机房内网/外网环境; ?北京办公室内网/外网环境; ?上海办公室内网/外网环境; ●机房内系统工作正常; ?服务器操作系统工作正常 ?应用系统工作正常 ●机房内设备中存放的各类业务信息安全 以上信息资产出现异常情况时,均属于信息安全事件处理的范畴。 5.0 信息安全事件分级、分类
对信息安全事件分级、分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等信息安全应急响应工作的必要条件。 5.1 信息安全事件分级 根据信息安全事件所涉及的信息密级、对业务所造成的影响和相关的资产损失等要素,对信息安全事件分为以下几个级别: 1级:本级信息安全事件对公司业务造成了重大影响,例如机密数据丢失,重大考试项目考中异常等; 2级:本级信息安全事件对公司业务造成了一定影响,例如短时间的设备宕机、大规模的网站异常造成客户投拆等; 3级:本级及息安全事件指己发现的可能对公司业务造成重要影响的潜在风险事件,例如在日常维护工作中发现的各类异常事件等; 1级的信息安全事件又称为重大安全事件。 与“信息安全事件”分级相关联的名词解释: ●常规工作:指影响超出单点范围,可能/己经造成了部门/小组级的工作异常,但未造成 实质性损害的信息事件; 5.2 信息安全事件分类 对信息安全事件分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等响应工作的重要依据。信息安全事件可分为: ●环境灾害: ?自然/人为灾害:水灾、火灾、地震、恐怖袭击、战争等; ?外围保障设施故障: ◆机房电力故障: 由于供电线路、供电设备出现故障或供电调配的原因而导 致的信息安全事件 ◆外围网络故障:由于外围网络传输信道出现故障而导致业务系统无法对外 正常服务 ◆其它外围保障设施故障:例如拖管机房的服务器、服务器故障等; ●常规事故: ?软硬件自身故障: ◆软件自身故障:由于软件设计存在漏洞或软件系统运行环境发生变化等原 因而导致软件运行不正常的信息安全事件 ◆硬件自身故障:由于硬件设计不合理、硬件自然老化失效等原因引起硬件 设备故障而导致信息系统不能正常运行的信息安全事件 ?无意事故: ◆硬件设备、软件遗失;与业务系统正常运行和使用相关的硬件设备和软件 遗失而导致的信息安全事件 ◆数据遗失:系统中的重要数据遗失 ◆误操作破坏硬件;
信息安全管理规范1 1.0目的 为了预防和遏制公司网络各类信息安全事件的发生,及时处理网络出现的各类信息安全事件,减轻和消除突发事件造成的经济损失和社会影响,确保移动通信网络畅通与信息安全,营造良好的网络竞争环境,有效进行公司内部网络信息技术安全整体控制,特制定本规范。 2.0 适用范围 本管理规范适用于四川移动所属系统及网络的信息安全管理及公司内部信息技术整体的控制。 3.0 信息安全组织机构及职责: 根据集团公司关于信息安全组织的指导意见,为保证信息安全工作的有效组织与指挥,四川移动通信有限责任公司建立了网络与信息安全工作管理领导小组,由公司分管网络的副总经理任组长,网络部分管信息安全副总经理任副组长,由省公司网络部归口进行职能管理,省公司各网络生产维护部门设置信息安全管理及技术人员,负责信息安全管理工作,省监控中心设置安全监控人员,各市州分公司及生产中心设置专职或兼职信息安全管理员,各系统维护班组负责系统信息安全负责全省各系统及网络的信息安全管理协调工作。 3.1.1网络与信息安全工作管理组组长职责: 负责公司与相关领导之间的联系,跟踪重大网络信息安全事
件的处理过程,并负责与政府相关应急部门联络,汇报情况。 3.1.2网络与信息安全工作管理组副组长职责: 负责牵头制定网络信息安全相关管理规范,负责网络信息安全工作的安排与落实,协调网络信息安全事件的解决。 3.1.3省网络部信息安全职能管理职责: 省公司网络部设置信息安全管理员,负责组织贯彻和落实各项安全管理要求,制定安全工作计划;制订和审核网络与信息安全管理制度、相关工作流程及技术方案;组织检查和考核网络及信息安全工作的实施情况;定期组织对安全管理工作进行审计和评估;组织制定安全应急预案和应急演练,针对重大安全事件,组织实施应急处理 工作及后续的整改工作;汇总和分析安全事件情况和相关安全状况信息;组织安全教育和培训。 3.1.4信息安全技术管理职责: 各分公司、省网络部、省生产中心设置信息安全技术管理员,根据有限公司及省公司制定的技术规范和有关技术要求,制定实施细则。对各类网络、业务系统和支撑系统提出相应安全技术要求,牵头对各类网络和系统实施安全技术评估和工作;发布安全漏洞和安全威胁预警信息,并细化制定相应的技术解决方案;协助制定网络与信息安全的应急预案,参与应急演练;针对重大安全事件,组织实施应急处理,并定期对各类安全事件进行技术分析。
文件编码:CCRC-ISV-C01:2018 信息安全服务规范 2018-05-25发布 2018-06-01实施 中国网络安全审查技术与认证中心发布
目录 1. 适用范围 (1) 2. 规范性引用文件 (1) 3. 术语与定义 (1) 3.1. 信息安全服务 (1) 3.2. 信息安全风险评估 (1) 3.3. 信息安全应急处理 (1) 3.4. 信息系统安全集成 (1) 3.5. 信息系统灾难备份与恢复 (1) 3.6. 软件安全开发 (2) 3.7. 信息系统安全运维 (2) 3.8. 网络安全审计 .................................................................................. 错误!未定义书签。 3.9. 工业控制系统安全 (2) 4. 通用评价要求 (2) 4.1. 三级评价要求 (2) 4.1.1. 法律地位要求 (2) 4.1.2. 财务资信要求 (2) 4.1.3. 办公场所要求 (2) 4.1.4. 人员能力要求 (3) 4.1.5. 业绩要求 (3) 4.1.6. 服务管理要求 (3) 4.1.7. 服务技术要求 (3) 4.2. 二级评价要求 (3) 4.2.1. 法律地位要求 (4) 4.2.2. 财务资信要求 (4) 4.2.3. 办公场所要求 (4) 4.2.4. 人员能力要求 (4) 4.2.5. 业绩要求 (4) 4.2.6. 服务管理要求 (4) 4.2.7. 技术工具要求 (5) 4.2.8. 服务技术要求 (5) 4.3. 一级评价要求 (5) 4.3.1. 法律地位要求 (5) 4.3.2. 财务资信要求 (5)
附件1 大数据标准体系 序号一级分类二级分类国家标准编号标准名称状态 1 基础标准总则信息技术大数据标准化指南暂时空缺 2 术语信息技术大数据术语已申报 3 参考模型信息技术大数据参考模型已申报 4 数据处理数据整理GB/T 18142-2000 信息技术数据元素值格式记法已发布 5 GB/T 18391.1-2009 信息技术元数据注册系统(MDR)第1部分:框架已发布 6 GB/T 18391.2-2009 信息技术元数据注册系统(MDR)第2部分:分类已发布 7 GB/T 18391.3-2009 信息技术元数据注册系统(MDR)第3部分:注册系统元模型与基本属性已发布 8 GB/T 18391.4-2009 信息技术元数据注册系统(MDR)第4部分:数据定义的形成已发布 9 GB/T 18391.5-2009 信息技术元数据注册系统(MDR)第5部分:命名和标识原则已发布 10 GB/T 18391.6-2009 信息技术元数据注册系统(MDR)第6部分:注册已发布 11 GB/T 21025-2007 XML使用指南已发布 12 GB/T 23824.1-2009 信息技术实现元数据注册系统内容一致性的规程第1 部分:数据元已发布 13 GB/T 23824.3-2009 信息技术实现元数据注册系统内容一致性的规程第3 部分:值域已发布 14 20051294-T-339 信息技术元模型互操作性框架第1部分:参考模型已报批 15 20051295-T-339 信息技术元模型互操作性框架第2部分:核心模型已报批 16 20051296-T-339 信息技术元模型互操作性框架第3部分:本体注册的元模型已报批 17 20051297-T-339 信息技术元模型互操作性框架第4部分:模型映射的元模型已报批 18 20080046-T-469 信息技术元数据模块(MM) 第1 部分:框架已报批
信息安全管理规公司
版本信息 修订历史
Table of Contents(目录) 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级(级别)规定 (7) 1.6现行级别与原有级别对照表 (8) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (10) 1.10信息资产处理和保护要求对应表 (10) 1.11口令使用策略 (12) 1.12桌面、屏幕清空策略 (13) 1.13远程工作安全策略 (14) 1.14移动办公策略 (14) 1.15介质的申请、使用、挂失、报废要求 (15) 1.16信息安全事件管理流程 (17) 1.17电子安全使用规 (19) 1.18设备报废信息安全要求 (20) 1.19用户注册与权限管理策略 (20) 1.20用户口令管理 (21) 1.21终端网络接入准则 (21) 1.22终端使用安全准则 (22) 1.23出口防火墙的日常管理规定 (23) 1.24局域网的日常管理规定 (23) 1.25集线器、交换机、无线AP的日常管理规定 (23) 1.26网络专线的日常管理规定 (24) 1.27信息安全惩戒 (24) 2. 信息安全知识 (25) 2.1什么是信息? (25) 2.2什么是信息安全? (25) 2.3信息安全的三要素 (25)
2.4什么是信息安全管理体系? (26) 2.5建立信息安全管理体系的目的 (27) 2.6信息安全管理的PDCA模式 (28) 2.7安全管理-风险评估过程 (28) 2.8信息安全管理体系标准(ISO27001标准家族) (29) 2.9信息安全控制目标与控制措施 (30)
信息安全管理规范及保密制度(通用版) ****年**月**日*****部制定 第一章总则 第1条为明确岗位职责,规范操作流程,确保公司信息资产的安全,特制订本制度。 第2条本制度适用于公司所有员工。 第二章电子邮件管理制度 第3条行政人力部必须在员工入职三天内,向员工分配企业邮箱的个人用户名和密码。 第4条公司邮箱账户限本人使用,禁止将本人账户转借或借用他人账户。员工必须及时修改初始密码,并且在使用中定期(最多3个月)修改邮箱的密码,以防他人利用。密码至少为8位,且需是字母、数字、特殊符号等至少两个的组合。因邮箱密码泄露造成的损失,由用户自行承担责任。 第5条员工的对外往来的公务邮件,原则上必须使用公司统一后缀的邮箱;对外往来的私人邮件则不允许使用公司统一后缀的邮箱。禁止非工作用途将邮箱账户公布在外部INTERNET网上。公务用邮件时,必须使用含有以下字样的个人签名: 声明:您有义务对本邮件内容进行保密,未经书面允许不可私自复制、转发、散布。 第6条收到危害社会安定的邮件,应及时删除,严禁转发或点击相应链接,若因此造成不良影响或损失的,由用户个人承担责任,管理员发现类似现象的有权封锁相
关邮件账户。发现邮件感染病毒,立刻将计算机断开公司网络,并使用相应软件进行杀毒。 第7条发送带有公司涉密信息的邮件,发件人必须先经部门领导同意, (若是绝密级别,需经公司领导同意),并将涉密信息加密处理后方可发送;否则视情节严重程度予以处理。 第8条员工离职时,根据需要交由部门专人监管一个月,后由行政人 力部注销。 第9条违反以上电子邮件管理规定,视情节轻重,最低经济处罚50元,并交行政人力部处理;情节特别严重的将移交国家司法机关,追究法律责任。 第三章数据安全管理制度 第10条为保证存储商业机密的计算机、文件、光盘等不会轻易泄露,公司对涉及技术及商业机密的文件、光盘等实行专人管理、借阅登记的制度;同时储存涉及技术及商业机密的计算机均应进行CMOS加密及屏幕保护加密。此两项密码除使用者本人拥有外,应向本部门经理备份,不得泄密给其它部门或个人。离开原工作岗位的员工由所在部门负责人将其所有工作资料收回并保存。如有因密码泄露而导致严重后果者,其行为等同于故意泄密,公司将按照人力资源奖惩制度予以严肃查处。 第11条计算机终端用户务必将重要数据存放在计算机硬盘中除系统盘以外的的硬盘分区。计算机系统发生故障时,应及时与管理员联系并采取保护数据安全的措施。 第12条计算机终端用户未做好备份前不得删除任何硬盘数据,对重要的数据应保存双份,存放在不同位置,并进行定期检查,防止数据丢失。
信息安全管理制度 信息安全是指通过各种策略保证公司计算机设备、信息网络平台(内部网络系统及ERP、CRM、WMS、网站、企业邮箱等)、电子数据等的安全、稳定、正常,旨在规范与保护信息在传输、交换和存储、备份过程中的机密性、完整性和真实性。为加强公司信息安全的管理,预防信息安全事故的发生,特制定本管理制度。本制度适用于使用新合程计算机设备、信息系统、网络系统的所有人员。 1.计算机设备安全管理 1.1员工须使用公司提供的计算机设备(特殊情况的,经批准许可的方能使用自已的计算机),不得私自调换或拆卸并保持清洁、安全、良好的计算机设备工作环境,禁止在计算机使用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 1.2严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件,当计算机出现硬件故障时应及时向信息技术部报告,不允许私自处理和维修。 1.3员工对所使用的计算机及相关设备的安全负责,如暂时离开座位时须锁定系统,移动介质自行安全保管。未经许可,不得私自使用他人计算机或相关设备,不得私自将计算机等设备带离公司。
1.4因工作需要借用公司公共笔记本的,实行“谁借用、谁管理”的原则,切实做到为工作所用,使用结束后应及时还回公司。 2.电子资料文件安全管理。 2.1文件存储 重要的文件和工作资料不允许保存在C盘(含桌面),同时定期做好相应备份,以防丢失;不进行与工作无关的下载、游戏等行为,定期查杀病毒与清理垃圾文件;拷贝至公共计算机上使用的相关资料,使用完毕须注意删除;各部门自行负责对存放在公司文件服务器P盘的资料进行审核与安全管理;若因个人原因造成数据资料泄密、丢失的,将由其本人承担相关后果。 2.2文件加密 涉及公司机密或重要的信息文件,所有人员需进行必要加密并妥善保管;若因保管不 善,导致公司信息资料的外泄及其他损失,将由其本人承担一切责任。 2.3文件移动
信息安全管理规定建议文件编码(GHTU-UITID-GGBKT-POIU-WUUI-8968)
信息安全管理制度 1.总则:为了切实有效的保证公司信息系统安全,提高信息系统为公司生产经营的服务能力,特制定信息系统相关管理制度,设定管理部门及专业管理人员对公司整体信息系统进行管理,以保证公司信息系统的正常运行。 2.范围 计算机网络系统由基础线路、计算机硬件设备、软件及各种终端设备的网络系统配置组成。 软件包括:PC操作系统、数据库及应用软件、有关专业的网络应用软件等。 终端机的网络系统配置包括终端机在网络上的名称,IP地址分配,用户登录名称、用户密码、U8设置、OA地址设置及Internet的配置等。 系统软件是指: 操作系统(如 WINDOWS XP等)软件。 平台软件是指:设计平台工具(如AUTOCAD等)、办公用软件(如OFFICE)等平台软件。 管理软件是指:生产和财务管理用软件(如用友U8软件)。 基础线路是指:联系整个信息系统的所有基础线路,包括公司内部的局域网线路及相关管路。 3.职责
公司设立信息管理部门,直接隶属于分管生产副总经理,设部门经理一名。信息管理部门为网络安全运行的归口部门,负责计算机网络系统的日常维护和管理。 负责系统软件的调研、采购、安装、升级、保管工作。 负责软件有效版本的管理。 信息管理部门为计算机系统、网络、数据库安全管理的归口管理部门。信息管理人员负责计算机网络、办公自动化、生产经营各类应用软件的安全运行;服务器安全运行和数据备份;internet对外接口安全以及计算机系统防病毒管理;各种软件的用户密码及权限管理;协助职能科室进行数据备份和数据归档(如财务、生产、设计、采购、销售等)。 信息管理人员执行企业保密制度,严守企业商业机密。 员工执行计算机安全管理制度,遵守企业保密制度。 系统管理员的密码必须由信息管理部门相关人员掌握。 负责公司网络系统基础线路的实施及维护。 4.管理 网络系统维护 4.1.1 系统管理员每日定时对机房内的网络服务器、各类生产经营应用的数据库服务器及相关网络设备进行日常巡视,并填写《网络运行日志》〔附录A〕记录各类设备的运行状况及相关事件。 4.1.2 对于系统和网络出现的异常现象信息管理部应及时组织相关人员进行分析,制定处理方案,采取积极措施,并如实将异常现象记录在
附件 1 大数据标准体系 序号一级分类二级分类国家标准编号标准名称状态 1总则信息技术大数据标准化指南暂时空缺2基础标准术语信息技术大数据术语已申报3参考模型信息技术大数据参考模型已申报4GB/T 18142-2000信息技术数据元素值格式记法已发布5GB/T 18391.1-2009信息技术元数据注册系统(MDR) 第 1 部分:框架已发布6GB/T 18391.2-2009信息技术元数据注册系统(MDR) 第 2 部分:分类已发布7数据处理数据整理GB/T 18391.3-2009信息技术元数据注册系统(MDR) 第 3 部分:注册系统元模型与基本属性已发布8GB/T 18391.4-2009信息技术元数据注册系统(MDR) 第 4 部分:数据定义的形成已发布9GB/T 18391.5-2009信息技术元数据注册系统(MDR) 第 5 部分:命名和标识原则已发布10GB/T 18391.6-2009信息技术元数据注册系统(MDR) 第 6 部分:注册已发布
11GB/T 21025-2007XML 使用指南已发布12GB/T 23824.1-2009信息技术实现元数据注册系统内容一致性的规程第 1 部分:数据元已发布13GB/T 23824.3-2009信息技术实现元数据注册系统内容一致性的规程第 3 部分:值域已发布1420051294-T-339信息技术元模型互操作性框架第1部分:参考模型已报批1520051295-T-339信息技术元模型互操作性框架第2部分:核心模型已报批1620051296-T-339信息技术元模型互操作性框架第3部分:本体注册的元模型已报批1720051297-T-339信息技术元模型互操作性框架第4部分:模型映射的元模型已报批1820080046-T-469信息技术元数据模块 (MM) 第 1部分 :框架已报批1920080044-T-469信息技术技术标准及规范文件的元数据已报批2020080045-T-469信息技术通用逻辑基于逻辑的语系的框架已报批2120080485-T-469跨平台的元数据检索、提取与汇交协议已报批22信息技术异构媒体数据统一语义描述已申报23数据分析信息技术大数据分析总体技术要求暂时空缺
信息安全管理办法 第一章总则 第一条为保障公司信息安全,切实推行安全管理,积极预防风险,完善控制措施,制定本办法。 第二条本办法适用于公司各职能部门、分公司信息安全管 理。 第二章主要内容及工作职责 第三条信息安全管理的主要工作内容包括机房安全管 理、网络安全管理、主机安全管理、应用安全管理、数据安全管理和管理安全工作。 条IT中心工作职责 1、IT中心为公司信息安全管理主管部门。 2、负责公司信息安全管理策略制订与落实。 3、负责起草信息安全规章制度,承担信息安全保障建设、信 息安全日常管理职能,提供信息安全技术保障。 4、负责各中心、分公司、专(兼)职信息管理员信息安全指 导、培训。 第五条各中心、分公司 1、指定专人担任专职或兼职信息管理员,负责协助IT 中心 开展信息安全实施工作,并提供部门内部技术支持和网络管理工作。 2、负责落实相关信息安全管理工作在部门内的实施。
3、负责业务操作层的相关信息安全保障。 4、负责做好本部门人员的信息安全教育工作,提高人员的 信息安全意识和技能水平。 第三章机房安全管理 第六条机房人员出入、巡检、操作和设备管理请参照《机房安全管理规定》。 第四章网络安全管理 第七条公司内部网络与互联网实行安全隔离,在网络边界处应部署防火墙或其他安全访问控制设备,制定访问控制规则。 第八条新增网络设备入网时,网络管理员应按照《网络设备安全配置检查表》进行检查(见附录A),经信息安全管理员确认所有检查项检查结果全部为“是"后允许网络设备进入网络运行。 第九条网络新建或改造,在投入使用前,网络管理员须进行网络连通性、冗余性和传输速度等测试,信息安全管理员全程参与,确保网络系统安全。 第十条当网络设备配置发生变更时,须及时对网络设备配置文件进行备份;网络设备配置每三个月进行全备份,网络设备配置文件由网络管理员保管。 第十一条网络管理员应建立网络技术档案,技术文档包 括拓扑结构(含分支网络)、网络设备配置等相关文档,网络技术文档由网络管理员保管。 第五章主机安全管理
信息安全管理操作规范(初稿) 一、目的 为了保护圆融光电公司的自主知识产权,保证圆融光电公司所有数据的安全、信息系统和计算机本身的稳定以及规范管理员工的行为操作,特制定本操作规范。 二、定义 1.信息系统:指网络系统、软件及软件系统、硬件及服务器等,不包括公司内生产专用设 备自带的控制系统 2.信息安全:指物理安全、数据安全、信息系统安全; 3.合同方:是指与圆融光电公司签订相关合作合同的外部单位或组织; 4.外来信息化设备:非圆融光电公司(资产的信息化设备,如供应商及员工个人的笔记本 电脑、台式电脑等。 三、范围 1.适用范围:圆融光电公司所有部门; 2.网络组成部分包括下述内容: 2.1.可以输出话音和电子信息的所有电缆; 2.2.可以控制话音通讯和电子信息通讯的,以及所有可用于控制信息流的计算机; 2.3.所有计算机部件,包括(但不仅限于)--显示器、机箱、存储计算机、调制解调器、内 存芯片、键盘、鼠标、网卡和电缆; 2.4.所有计算机软件; 2.5.所有输出计算机,包括便携式计算机、台式机及图形工作站、打印机和传真机; 四、职责 1.信息部: 1.1.负责圆融光电公司信息网络的整体安全体系设计及需求分析、整体网络安全项目实施、 策略部署及信息安全项目相关文件的归档管理; 1.2.负责圆融光电公司信息安全相关制度及流程的建设; 1.3.负责对计算机信息系统安全保密方面的薄弱环节进行评估,并提出整改措施。 2.圆融光电公司各部门 2.1.将信息安全作为工作的一部分,纳入年度及月度工作中; 2.2.负责执行公司相关信息安全制度及流程;
2.3.负责配合完成各项信息安全建设工作。 五、内容 1.信息机房管理 1.1.日常管理 工作人员应认真阅读机房管理条例,执行机房的各项规章制度和管理办法; 定期检查安全保障计算机,确保其处于正常工作状态; 建立并严格执行机房管理制度,无关人员未经安全责任人批准严禁进出机房; 注意安全用电,任何人启动计算机前应检查通电情况,若有不正常现象应立即通知管理 人员; 使用计算机应按其性能正规操作,严禁用湿物接触电源、电器、以免发生意外; 经常检查门窗、插销、门锁是否完好,发现问题及时处理,做好防盗工作; 加强计算机的安全防范工作,保持室内清洁、干燥、空气疏通、安全用电、注意防火、 防盗、防尘; 保持机房安静,严禁在机房内大声喧哗、吵闹; 对出现意外、设备及安全事故的,按公司《安全生产管理手册》中相应规定执行; 2.用户操作安全管理 本规定是对网络用户在使用企业信息网络时需要遵守的安全规范进行定义。 2.1.操作人员不得利用国际互联网从事危害国家安全、泄露国家秘密、泄漏公司秘密等违法 犯罪活动; 2.2.严格遵守上机操作规范,不得携带非法、盗版及未经网络管理人员许可的光盘及各种软 件上机使用; 2.3.进入互联网后,上网人员应遵守国家有关法律和公司保密管理制度: 不得擅自进入未经许可的计算机系统或改动他人信息; 不得在网络上散发恶意信息、冒用他人名义发送信息、侵犯他人隐私; 不得制作、传播计算机病毒及从事其他侵犯网络和他人合法权益的活动; 不得浏览、发布、拷贝有关淫秽、迷信、反动等不健康的内容或无故向他人发送恶意的 挑衅性的邮件和商业广告;由此造成的一切法律责任均由用户本人负责; 2.4.所有的网络维护操作,包括对桌面系统配置的修改,都只能由信息部相关技术工程师执行,其他各部门员工或合同方,都不允许修改系统及公司提供其使用的工作站;下列行为是违规的,且被认为是对系统修改的行为: