当前位置:文档之家 › 计算机信息安全管理办法

计算机信息安全管理办法

  • 格式:pdf
  • 大小:185.47 KB
  • 文档页数:10

下载文档原格式

  / 10
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

计算机信息安全管理办法

第一章总则

第一条为加强公司计算机信息安全管理工作,规范操作流程,明确岗位职责,确保计算机信息系统的安全,根据《中华人民共和国保守国家秘密法》、《中华人民共和国计算机信息系统安全保护条例》等法律法规,结合公司实际工作需要,制订本办法。

第二条本办法所称的计算机系统是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统或者网络。计算机信息是指通过计算机系统产生的所有相关数据、文件及其它电子资料。

第三条计算机系统规划、设计、建设和维护应当同步落实相应的信息安全措施,使用符合国家有关规定、满足计算机系统安全保护需求的信息技术产品。

第四条对计算机系统中发生的案件和重大安全事故,当在二十四小时内上报上级公司,同时报告县级以上人民政府公安机关,并保留有关原始记录。

第五条本办法适用于公司

第二章机构与职责

第六条公司计算机信息安全管理工作实行领导负责制,由分管保密工作和信息化工作领导负责统筹计算机信息安全管理工作。

第七条公司系统及网络管理员和安全管理员岗位,两者不可兼任,其中安全管理员相应工作职责如下:

1) 网络及系统管理员负责计算机系统的信息安全系统建设与技术管理工作。

2) 安全管理员负责信息安全审计工作。

第三章物理安全管理

第九条机房应选择在具有防震、防风和防雨等能力的建筑内。

第十条机房应采取防电磁干扰措施,电源线和通信线缆应隔离,避免互相干扰,对重要设备和磁介质实施电磁屏蔽。

第十一条机房应采取防静电、防水的相关措施。

第十二条机房应安装门禁系统、防雷系统、监视系统、消防系统、报警系统。

第十三条计算机系统供电应与其他供电分开。供电线路应设置冗余或并行的电力电缆线路,应建立备用供电系统,以备常用供电系统停电时启用。

第十四条机房应配备UPS 设备,以保证机房设备的电源能在发生断电的情况下维持机房所有设备的电源供应。

第十五条定时检查机房环境温度、湿度情况,确保温度控制在18℃~23℃的范围内,湿度控制在35%~80%的范围内,以保证机房设备和系统的正常运行。

第十六条重要服务器及相关设备必须放置在机房内,并固定在机柜的相应位置。

第十七条应将通信线缆铺设在隐蔽处,不允许祼线部署。

第四章网络安全管理

第一节总体安全要求

第十八条应对计算机网络进行安全区域划分,不同安全区域具有不同安全等级,并采取相应的安全防护措施。一般情况下,可划为如下几个区域:

(一) 办公内网:由本单位局域网内的服务器、客户端及相关设备组成的网络区域;

(二) 业务外网:由供互联网访问的服务器及相关设备组成的网络区域;

(三) 业务专网:由集团公司及各级下属单位共同组成的通过专用VPN 系统相连接的广域网络;

(四) 公众外网:由访问互联网的客户端及相关设备组成的网络区域。第十九条应在不同网络安全区域之间采取安全隔离措施。

(一) 公众外网与其它区域物理隔离;

(二) 业务外网使用单独的通信线路。业务外网和办公内网、业务专网之间通过数据安全交换平台方式进行物理隔离,不允许业务外网与公众外网之间通过内部网络线路互联; (三) 业务专网和办公内网之间逻辑隔离;

(四) 业务外网和办公内网之间进行数据交换时必须采用符合国家安全要求的 CA数字证书。

第二十条网络设计应充分考虑系统冗余。其中关键的网络设备和系统必须设立冗余备用设备或系统,使本单位网络故障对业务造成的影响降到最低。

第二十一条未经许可,不得更改本单位安全区域内的重要配置。各单位应设计和绘制与当前运行情况相符的网络拓扑结构图,当网络拓扑结构发生改变时,应及时更新。

第二十二条公司的网络设备及带宽的性能应能满足本单位所需最大资源的要求,并通过流量分配措施对网络的各种应用合理分配相应的带

宽,以保证重要应用系统的正常访问。

第二十三条所有网络设备管理员帐号设置应满足安全性要求。

(一) 口令长度应设置在 8 位字符以上、复杂度为数字、字母、特殊字符的组合,并且定期更新;

(二) 当登录失败超过三次时结束会话连接并锁定账号30分钟以上,当网络登录连接超时自动退出。

第二十四条应对网络设备的管理员用户登录地址进行限制。

第二十五条对网络设备进行远程管理时,应保证鉴别信息通过加密协议(如 HTTPS 协议)传输。

第二十六条应对所有网络设备进行日志审计。

(一) 审计内容应包含事件的日期和时间、用户、事件类型、事件成功情况;

(二) 应使用日志审计工具设置特定事件报警及生成日志报表;

(三) 应做好网络设备日志的保存工作,保存期大于30天,保存的日志不可修改。

第二节办公内网安全管理

第二十七条应为服务器、财务客户端分别划分独立的子网,其它客户端应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素划分不同的子网。客户端的不同子网之间原则上不能互相访问。

第二十八条服务器与客户端之间应通过防火墙或ACL列表进行访问控制,确保客户端不能任意访问服务器的所有端口。

第二十九条应对重要子网采取防止 IP 地址欺骗措施。

第三节业务专网安全管理

第三十条业务专网采用统一的专用 VPN 系统组网。

(一) 办公内网采用硬件 VPN 方式接入业务专网;

(二) 移动办公用户采用 VPN 单机连接方式接入业务专网;

(三) VPN 连接必须采用安全的VPN 连接协议,办公内网VPN 互联必须采用硬件鉴权和口令双重认证。

第三十一条办公内网VPN 互联应配置双物理线路,以提高网络可靠性。

第四节业务外网管理

第三十二条在业务外网边界处应部署网络防火墙、入侵防御、防病毒网关等安全设备,并设置细致的安全访问策略,原则上禁止互联网自由访问业务外网。

第三十三条入侵防御应能检测各种已知的入侵行为,记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时

相关主题