网络信息安全管理计划制度章程.doc

/* 目录 一、一、 物理访问制度 ISMS-3001..................................1 1.1. 目的 .................................................1 2.2. 范围 .................................................1 3.3. 职责 .................................................1 4.4. 员工外出管理 .........................................1 5.5. 来宾出入管理规定 .....................................1 6.6. 相关记录无 ...........................................2 二、二、 外部相关方信息安全管理规程 ISMS-3002....................2 1.1. 目的 .................................................2 2.2. 范围 .................................................2 3.3. 职责 .................................................2 4.4. 管理规定 .............................................2 三、三、 与政府相关资质申报及年审规定 ISMS-3003..................3 1.1. 目的: ................................................3 2.2. 职责: ................................................3 3.3. 技术部相关管理要求: ..................................3 4.4. 相关资质申报年审管理要求 .............................3 四、四、 信息系统容量规划及验收管理制度 ISMS-3004................4 1.1. 目的 .................................................4 2.2. 范围 .................................................4 3.3. 职责 .................................................4 4.4. 内容 .................................................4 五、五、 信息资产密级管理规定 ISMS-3005..........................4 1.1. 目的 .................................................5 2.2. 范围 .................................................5 3.3. 保密信息定义 .........................................5 4.4. 秘密等级区分 .........................................5 5.5. 信息的分类 ...........................................5 /* 6.6. 保密文件的标识 .......................................5 7.7. 传送 .................................................6 8.8. 其它 .................................................6 六、六、 信息系统设备管理规定 ISMS-3006..........................6 1.1. 目的和范围 ...........................................7 2.2. 引用文件 .............................................7 3.3. 职责 .................................................7 4.4. 设备管理流程 .........................................7 5.5. 实施策略 ............................................10 6.6. 相关记录 ............................................10 七、七、 机房管理规定 ISMS-3007.................................10 1.1. 目的和范围 ..........................................10 2.2. 引用文件 ............................................11 3.3. 职责和权限 ..........................................11 4.4. 机房出入制度 ........................................11 5.5. 机房环境管理 ........................................11 6.6. 机房设备管理 ........................................12 7.7. 相关记录 ............................................12 八、八、 笔记本电脑管理规定 ISMS-3008...........................13 1.1. 目的 ................................................13 2.2. 引用文件 ............................................13 3.3. 职责和权限 ..........................................13 4.4. 笔记本电脑使用规定 ..................................13 5.5. 安全配置规定 ........................................14 6.6. 外部人员使用笔记本的规定 ............................14 7.7. 客户现场管理规定 ....................................15 8.8. 实施策略 ............................................15 9.9. 相关记录 ............................................15 九、九、 介质管理规定 ISMS-3009.................................15 1.1. 目的和范围 ..........................................15 2.2. 引用文件 ............................................15 /* 3.3. 职责和权限 ..........................................16 4.4. 介质管理 ............................................16 5.5. 实施策略 ............................................18 6.6. 相关记录 ............................................18 十、十、 变更管理规定 ISMS-3010.................................18 1.1. 目的 ................................................18 2.2. 引用文件 ............................................18 3.3. 职责和权限 ..........................................19 4.4. 变更步骤管理 ........................................19 5.5. 程序 ................................................19 十一、十一、 第三方服务管理规定 ISMS-3011.........................21 1.1. 目的和范围 ..........................................21 2.2. 引用文件 ............................................21 3.3. 职责和权限 ..........................................21 4.4. 第三方服务管理规定 ..................................21 5.5. 实施策略 ............................................22 十二、十二、 数据备份管理规定 ISMS-3012...........................23 1.1. 目的和范围 ..........................................23 2.2. 引用文件 ............................................23 3.3. 职责和权限 ..........................................23 4.4. 备份管理 ............................................23 5.5. 备份的验证 ..........................................24 十三、十三、 邮件管理规定 ISMS-3013...............................25 1.1. 目的和范围 ..........................................25 2.2. 引用文件 ............................................25 3.3. 职责和权限 ..........................................25 4.4. 电子邮件的帐户管理 ..................................25 5.5. 电子邮件使用规定 ....................................26 6.6. 邮件使用规定 ........................................26 7.7. 实施策略 ............................................27 8.8. 相关记录 ............................................27 /* 十四、十四、 软件管理规定 ISMS-3014...............................27 1.1. 目的和范围 ..........................................27 2.2. 引用文件 ............................................27 3.3. 职责与权限 ..........................................27 4.4. 软件管理 ............................................28 5.5. 审核、批准、发布 ....................................28 6.6. 软件归档和存放 ......................................28 7.7. 软件使用 ............................................29 8.8. 修订与升级 ..........................................29 9.9. 软件作废 ............................................29 10.10. 实施策略 ...........................................29 11.11. 相关记录 ...........................................30 十五、十五、 系统监控管理规定 ISMS-3015...........................30 1.1. 目的 ................................................30 2.2. 引用文件 ............................................30 3.3. 职责 ................................................30 4.4. 系统监控管理 ........................................30 十六、十六、 补丁管理规定 ISMS-3016...............................31 1.1. 目的 ................................................31 2.2. 引用文件 ............................................31 3.3. 职责与权限 ..........................................31 4.4. 补丁管理规定 ........................................31 5.5. 其他补丁： ..........................................32 6.6. 实施策略 ............................................32 7.7. 相关记录 ............................................33 十七、十七、 信息系统审核规范 ISMS-3017...........................33 1.1. 目的和范围 ..........................................33 2.2. 术语和定义 ..........................................33 3.3. 引用文件 ............................................33 4.4. 职责和权限 ..........................................34 5.5. 活动描述 ............................................34 /* 6.6. 审核注意事项： ......................................35 十八、十八、 基础设施及服务器网络管理制度 ISMS-3018...............35 1.1. 机房安全管理程序 ....................................35 2.2. 重要信息备份管理程序 ................................38 3.3. 目的 ................................................39 4.4. 机房设备维护管理制度 ................................41 十九、十九、 信息系统安全应急预案 ISMS-3019.......................42 1.1. 电力系统故障的应急处理 ..............................42 2.2. 消防系统应急处理 ....................................42 3.3. 网络信息系统故障的应急处理 ..........................43 4.4. 网站与应用系统应急处理 ..............................43 5.5. 黑客入侵的应急处理 ..................................44 6.6. 大规模病毒（含恶意软件）攻击的应急处理 ..............44 二十、二十、 终端计算机使用管理制度 ISMS-3020.....................45 1.1. 计算机使用管理 ......................................45 2.2. 存储介质的管理 ......................................47 3.3. 办公软件使用管理规定 ................................48 二十一、二十一、 信息安全管理规范和操作指南 ISMS-3021...............51 1.1. 总则 ................................................51 2.2. 物理安全 ............................................52 3.3. 计算机的物理安全管理 ................................52 4.4. 紧急情况 ............................................52 5.5. 网络系统安全管理 ....................................52 6.6. 网络安全检测。 ......................................53 7.7. 信息系统安全管理 ....................................53 8.8. 信息系统的内部管理 ..................................54 9.9. 密码管理 ............................................55 /* 一、一、 物理访问制度 ISMS-3001 1. 1. 目的 为了保障公司办公区域资讯信息安全和员工人身及财物安全，防止公司 财产流失，特制定本制度。 2. 2. 范围 本制度适用于公司员工外出及外来人员进入公司出入管理。 3. 3. 职责 公司设立接待人员,负责来访人员登记管理。 4. 4. 员工外出管理 员工因工作需要外出,需向相应上一级主管作出事由说明,经批准后方可 外出。 到客户现场提供服务或工作的人员,需带公司胸卡。 5. 5. 来宾出入管理规定 (1)凡是来宾访客（包括外包协作厂商、客户及政府等来访人员）进入 公司内时，一律须出示其有效证件，说明来访事由，经被访人同意后，方可 允许相关人员进入办公区。 (2)团体来宾参观时，在得到总经理或副总的许可后，须由相关人员陪 同方可进入。 (3)员工亲友私事来访时，除特殊紧急事故，经其部门主管核准外，不 得在上班时间内会客，亲友须于会客区内等候至下班时会见。 (4)公司内部核心区域出入管理规定 1)敏感区域 公司敏感区域主要为内部机房和经理室.公司安装监控器;实施办公区域 24 小时监控. 2)如需进入上述敏感区域，需经管理者代表/总经理同意,否则不得进入。 /* 相关文件物理访问控制程序 6. 6. 相关记录无 二、二、 外部相关方信息安全管理规程 ISMS-3002 1. 1. 目的 为确保被外部相关方访问、处理、共享、管理的组织信息及信息处理设 施的安全，特制定本管理规定。 2. 2. 范围 本管理规定适用于公司外部相关方(包括顾客.供方.第三方)管理。 3. 3. 职责 技术部系统管理员负责制定本规定并负责执行。 4. 4. 管理规定 (1)第三方物理访问须经公司被访问部门的授权,具体执行《访客管理制 度》. (2)公司与顾客需明确规定信息安全要求，公司规定在与客户签订合同 中需规定必要的安全要求。 (3)服务器访问权需由技术部统一授权给用户,一个用户给予惟一账号, 口令自行保管. (4)本公司公网接入服务提供方等为外包过程,此类外包服务商应由技术 部组织签订服务协议/合同,并应收集其相关资质,经公司评估成为合格供方 后方可与之进行经济来往. (5)采购供方或任何其它相关方人员现场访问公司现场时,需由技术部接 待,需要涉及到公司重要应用软件、重要设施及重要数据的访问时,必须由技 术部人员授权方可使用或查阅,涉及到资料复制名外借时,公司重要数据和文 件需征得总经理同意. (6)《服务合同》1 年注意更新。 /* 三、三、 与政府相关资质申报及年审规定 ISMS-3003 1. 1. 目的: 为公司对外与政府相关部门的相关业务联系提供指导; 2. 2. 职责: 技术部负责各项政府项目的申报。 财务部负责报税和营业执照年审。 3. 3. 技术部相关管理要求: (1)申报相关流程; 由技术部按各政府部门项目申报的要求下载相关表格,并按要求组织填 报. (2)申报涉及到相关经营数据的审核 相关经营数据在上报给政府部门前，先由核对数据，再交由综合部，审 核通过后由总经理盖公司公章。 (3)技术部申报材料的备份管理 所有上报给政府部门的文件数据都备份一份，由技术部资质人员整理归 档保存在办公室档案室中，并记录档案文件编号。 (4)材料保密要求 所有档案文件材料由技术部专员负责看管，其他人员如要查阅，需先向 技术申请，获得总经理批准认可后，到存放档案的办公室中查阅相关文件， 档案文件不允许带出办公室。 4. 4. 相关资质申报年审管理要求 (1)报税管理要求 用政府财税处相关报税软件，在线填写企业经营数据，完成后由软件系 统上报。 (2)营业执照管理要求 接到政府相关部门通知后，持企业营业执照到指定政府办事处办理营业 执照年审手续。 /* 四、四、 信息系统容量规划及验收管理制度 ISMS-3004 1. 1. 目的 针对已确定的服务级别目标和业务需求来设计、维持相应的技术部服务 能力，从而确保实际的技术部服务能够满足服务要求。 2. 2. 范围 适用于公司所有硬件、软件、外围设备、人力资源容量管理。 3. 3. 职责 技术部负责确定、评估容量需求。 4. 4. 内容 (1)容量管理包括：服务器,重要网络设备：LAN、WAN、防火墙、路由器 等；所有外围设备：存储设备、打印机等；所有软件：操作系统、网络、内 部开发的软件包和购买的软件包；人力资源：要维持有足够技能的人员。 (2)对于每一个新的和正在进行的活动来说，公司管理层应识别容量要 求。 (3)公司管理层每年应在管理评审时评审系统容量的可用性和效率。公 司管理层应特别关注与订货交货周期或高成本相关的所有资源，并监视关键 系统资源的利用，识别和避免潜在的瓶颈及对关键员工的依赖。 (4)技术部应根据业务规划、预测、趋势或业务需求,定期预测施加于综 合部系统上的未来的业务负荷以及组织信息处理能力，以适当的成本和风险 按时获得所需的容量, 五、五、 信息资产密级管理规定 ISMS-3005 /* 1. 1. 目的 确保公司营运利益，并防止与公司营运相关的保密信息泄漏。 2. 2. 范围 本办法适用于公司所有员工。 3. 3. 保密信息定义 保密信息指与公司营运相关且列入机密等级管理的相关信息。 4. 4. 秘密等级区分 机密等级分为秘密、内控、公开三类，区分标准如下： (1)秘密：凡该信息泄漏后，足以严重损害本公司利益或有利于竞争对 手的。 (2)内控：凡该信息泄漏后，虽不致直接影响本公司利益，但可能使本 公司经营管理因而造成困扰，需限制其阅读对象的。 (3)内控：凡该信息泄漏后，虽不致直接影响本公司利益，但可能使本 公司经营管理因而造成困扰，需限制其阅读对象的。 (4)公开：指可对社会公开的信息，公用的信息处理设备和系统资源. 5. 5. 信息的分类 (1)信息资产的分类可参见附件＂信息分类表＂。如未列入分类表的信 息资产，可依照下面的原则进行判断： (2)秘密，由信息保管单位主管判定，且至少须为部门以上主管。 (3)内控，由保密信息保管单位自行判定。 6. 6. 保密文件的标识 (1)文件类的信息在判定等级后，加盖印章于文件及附件各页右上角或 其它明显处。如页数太多，得酌情抽页盖骑缝章。但绝密级信息应予编码管 控。 (2)非文件类的保密信息，包括档案、电子邮件、投影片等，于判定等 /* 级后，应于资料传送／显示前告知使用人或相关人员该项信息的密级。 (3)印章由技术部统一刻制，发放给各个部门使用。 7. 7. 传送 (1)内部传送 (2)秘密、内控：保密信息保管单位应将印刷形式保密信息密封后注明 机密等级，再装入传递袋中发送收件人;软件形式定稿和完整信息以电子邮 件方式传递时应加密;内控信息可不加密。 (3)外部传送：印刷形式保密信息于外部传送时应以挂号函件或其它适 当方式寄送收件人。任何软件形式的机密等级信息于公司外系统、或于公司 外使用环境情况下，非经加密均不得以电子邮件方式传递，以避免遭拦截转 送。 (4)其它未判定为任一机密等级但仍具有敏感性或半成品性质的信息于 传送前可应视情况加密。 8. 8. 其它 (1)保密信息不得用于公司以外的公开活动（如演讲、授课、一般资料 调查、出版发行等），如须于前述活动使用，应准用第五条的规定，并经管 理者代表核准。 (2)保密信息应由管代/相关负责人妥善保管，并善尽管理保护职责。 (3)离职员工应缴出其所持归公司所有的一切资料及其任何形式复印件、 副本，并确定确实归还全部所持公司文件。 (4)新进人员于入职当天即应签署员工保密合约，在新进人员签署上述 文件时，综合部应对合约书上有关企业保密信息等有关条文详加说明与解释， 务必使新进人员充分了解并遵守企业保密信息有关事项。 (5)保管人员判定保密信息无继续保存的必要时，可经各判定主管的上 一级主管核准后销毁。绝密信息、机密信息无保存必要时，应将正本连同复 印的保密信息，由原保管单位统一收回销毁。 (6)本办法经总经理核准后公告实施，修订时亦同。 /* 六、六、 信息系统设备管理规定 ISMS-3006 1. 1. 目的和范围 本程序是对信息资产分类中物理资产下的硬件设备的规划、购置、安装、 验收、使用、维护、处置等各阶段进行有效控制，在保证设备安全的前提下 最大限度发挥设备的效能，同时减少由于设备入网造成安全安全风险。 2. 2. 引用文件 (1)下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注 日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不 适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡 是不注日期的引用文件，其最新版本适用于本标准。 (2)ISO/IEC27001:2005 信息技术-安全技术-信息安全管理体系要求 (3)ISO/IEC27002:2005 信息技术-安全技术-信息安全管理实施细则 (4)介质管理规定 (5)笔记本电脑管理规定 (6)机房管理规定 3. 3. 职责 1)技术部:负责信息设备的规划、安装、验收、使用、维护、处置。信 息设备指公司综合部建设方面所需的硬件设备。负责重大设备或新类设备的 安全评估、风险分析和安全验收。 4. 4. 设备管理流程 (1)设备入网 1)需按设备本身提供的“设备安全操作说明书”进行正确操作和使用， 设备在日常使用过程中应注意安全； 2)系统工程师应查找有关的风险评估报告，确定准备入网的设备是否已 做过风险评估。 /* 3)如果没有类似的设备做过风险分析和处置计划，则应按风险评估的要 求，通知信息安全管理小组进行。 4)如果做过风险分析和处置计划，则应按照相关的处置计划和实施要求， 制定设备入网计划。 5)系统工程师对计划入网的设备在独立的测试环境中进行测试，测试通 过后提交综合部审批。 6)技术部批准入网申请后,由系统工程师组织设备入网。 7)设备入网应按照处置计划和入网计划对设备进行安全加固。 8)对入网系统进行一段时间的监控，以观察入网是否生效。如果发现问 题,要及时进行处理,必要时要寻求供应商的协助。监控一段时间后，设备担 当组织人员进行验收，并通知信息安全管理小组对系统进行安全检测。 (2)设备安置与保护 (3)信息设备安装管理 1)技术部对信息设备安全的安置与保护工作，包括对温度、湿度的监测 和日常的巡检等，详见《机房管理规定》。 2)信息安全设备的安置应按照设备制造商的说明，安置工作由专业人员 进行。 3)信息安全设备安置要选择能够避免或减少未授权访问的物理场所，应 采取措施以减小潜在的物理威胁的风险。 4)重要系统使用的信息设备安置在专用的机房内。 5)安置在室外的信息设备要注意防盗、防雨、防雷、防尘、防腐蚀等工 作。 6)确保消防设备充足并随时可用，定期进行消防演练。 (4)支持性设施安置管理 1)技术部负责信息安全设备支持性设施的管理工作，包括提供、维护、 维修等。 2)对支持关键业务操作的信息设备，使用不间断电源（UPS）。UPS 设 备要定期地检查，，详见《机房管理规定》。 3)应急电源开关应位于设备房间应急出口附近，以便紧急情况时快速切 断电源。万一主电源出现故障时要提供应急照明。 /* 4)技术部要确保通风和空调系统等运行良好，对其运行情况可进行定期 检查。 (5)线缆安全 1)公司网络系统进入信息设备的电源和电信线路布在地板上,要建有冗 余线路或留有可替换线路，以保障线路的可用性。 2)电缆要避开公众区域,铺设电缆要有线槽保护，以避免未授权窃听或 损坏的危害。为了防止干扰,电源电缆要与通信电缆分开布线。 3)要采取切实有效的措施防范鼠患，防止电缆被鼠噬。 4)电缆要使用牢固、清晰、可识别的标记,使用文件化配线列表减少布 线失误的可能性,以使失误最小化，详见《机房管理规定》。 (6)设备移动 1)在公司物理环境以外严禁放置服务器、交换机、电脑等信息设备。 2)公司原则上禁止机房设备移出公司物理环境。如确因工作需要，如展 会、维修等，需将公司的服务器、交换机、路由器等信息设备移到办公地点 外使用，需经研发主管批准后才能移出公司的物理环境。 3)如需要供应商将设备移出公司物理环境进行维修时，在设备移出前， 设备管理人员要将设备中敏感信息从设备中删除或确保维护人员对其不可访 问或获取。 4)离开建筑物的信息设备和移动介质在公共场所要有专人看护和保管， 不允许无人值守，适当时，还要施加其它措施进行控制，例如上锁，以防止 损坏、盗窃等事件发生。 5)笔记本在公司办公场所以外使用，依《笔记本电脑管理规定》。 (7)维护、保养 1)机器设备日常维护由设备使用者在日常使用时进行，维护项目限于查 看设备外观有无明显损坏、是否正常工作、是否通电正常等内容。 2)定期维护由技术部专业工程师或供应商进行，定期维护根据不同设备 决定不同的维护周期，从一周一次到半年一次不等，定期维护项目包括软硬 件更换、性能检查、性能调优等。 3)定期维护和年底维护后，要将维护项目、维护过程、维护人员、维护 结果等内容详细记录在《设备维护记录》中。 /* (8)设备处置 1)设备的处置由设备使用部门提出，经经总经理批准后，对设备进行处 理； 2)信息设备在处置过程中须考虑信息安全。 3)设备报废前设备管理责任人要负责删除所有信息，对包含敏感信息的 设备要对其信息载体在物理上应予以销毁，或者采用使原始信息不可获取的 技术将其安全地重写，如消磁。 4)信息设备的报废工作由综合部负责，需要填写《废弃介质处置记录》,经 总经理批准后，才能进行报废。 5)对于因闲置、人员离辞或设备换代等原因不再使用的信息设备，特别 是个人电脑，在设备归仓前，要采用信息不可获取的技术将其敏感信息、工 作信息和个人信息删除。以确保在设备重用时，重用者不会获得与其工作无 关的内容。 6)对试用设备和测试设备（无论是自有的还是供应商的）中的信息在试 用和测试后，由试用或测试人员立即清除，防止重要信息泄露。 7)废弃介质处理方法参见《介质管理规定》 5. 5. 实施策略 (1)设备管理规定涉及到包括《设备维护记录》共 1 个表单。 (2)对设备的定期维护等内容详细填写《设备维护记录》。 6. 6. 相关记录 本程序发生的记录汇总表 表 6-1 ISMS 文件日常应用表格 表号记录编号记录名称 保管 场所 保存 期限 保存形 式 备注 表 A.1 ISMS-3009-01 设备维护记录表技术部1 年电子 七、七、 机房管理规定 ISMS-3007 /* 1. 1. 目的和范围 为科学、有效地管理机房，促进各信息系统在机房安全的、稳定的、高 效的运行，特制定本规定。 2. 2. 引用文件 (1)下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注 日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不 适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡 是不注日期的引用文件，其最新版本适用于本标准。 (2)ISO/IEC27001:2005 信息技术-安全技术-信息安全管理体系要求 (3)ISO/IEC27002:2005 信息技术-安全技术-信息安全管理实施细 （4）设备管理规定 （5）访问控制程序 3. 3. 职责和权限 技术部：负责责机房的日常检查、维护和管理工作，及当发生紧急事件 时，按应急预案进行相应的处置。 4. 4. 机房出入制度 (1)机房的进出由技术部严格管理。机房的钥匙保存技术部。如需进入 机房，必须得到技术部的授权，在技术部领取钥匙后方可进入。 (2)未经许可不准携带任何磁带（盘）、磁介质和资料进入机房。经特 许携带的，必须由专人陪同方可进入。 (3)未经许可不允许使用摄影、录像、笔记、或其它音像记录设备等。 5. 5. 机房环境管理 (1)技术部对机房环境每半月进行一次检查，对发现的问题要及时解决。 填写《机房巡检记录表》。 (2)机房内要保持设备无尘、布线整齐、物品就位、资料齐全。 (3)机房内严禁堆放与工作无关的其它物品及纸质物品。做好消防灭火 设备检查工作 /* (4)机房内禁止饮食、吸烟、打闹、大声喧哗，机房内不得会客、闲谈。 (5)机房内备有温度计和湿度计，温度保持在 18℃-25℃，湿度保