最新网络与信息安全工作管理办法.docx-得力文库

资源描述

《最新网络与信息安全工作管理办法.docx》由会员分享，可在线阅读，更多相关《最新网络与信息安全工作管理办法.docx（104页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、网络与信息安全工作管理办法(可以直接使用，可编辑优秀版资料，欢迎下载）网络与信息安全工作管理办法世茂房地产控股资讯科技部内部资料，未经同意，请勿翻印版本修订日期修订人审核人目录第一节安全组织原则3第二节安全组织结构3第一节概述4第二节安全规划与建设4第三节物理安全管理5第四节人员安全管理6第五节安全培训7第六节信息资产安全管理8第七节安全运维管理10第八节安全事件处理10第九节应急计划11第十节系统开发与维护11第十一节符合性14第十二节管理审计与评估14第十三节奖惩15第一节概述16第二节访问控制16第三节身份认证16第四节冗余恢复17第五节日志审计与响应17第六节内容安全18第一章

2、总则第一条随着上海世茂投资管理（以下简称:上海世茂）信息系统规模越来越大，随之带来的安全问题也不断增多，为及时快速处理各种故障和安全事件，防范与化解安全风险,保障网络连续性以及高质量的服务水平，特制定上海世茂网络与信息安全工作管理办法，以下简称“本办法。第二条本办法依据中华人民共和国计算机信息系统安全保护条例，参考ISO27001信息安全管理体系规范而制定。第三条本办法的适用范围包括上海世茂信息系统在规划、设计、开发、建设和运行维护过程中所涉及到的各种安全问题，包括组织管理、物理安全、操作系统安全、应用安全、数据安全、网络架构安全、安全事件处理.第四条上海世茂网络与信息安全工作的管

3、理原则1. 整体规划，分步实施：需要对网络与信息安全工作进行整体规划，分步实施,逐渐建立完善的网络与信息安全体系。2. 三同步原则：安全系统应与业务系统及网络同步规划、同步建设、同步运行.3. 适度安全：安全具有相对性和动态性的特点，必须做好安全建设的成本效益分析，在安全性和投入成本之间、安全性和易用性之间做好平衡工作.第五条本办法中的安全是指信息系统的安全.第二章安全组织管理第一节安全组织原则第六条上海世茂安全工作管理由信息化领导小组统一来制定。第二节安全组织结构第七条成立上海世茂网络与信息安全领导小组,全面负责上海世茂网络与信息安全各项工作。第八条领导小组下设IT总监，贯彻“

4、信息化领导小组”的安全管理决策，作为执行管理机构。资讯科技部作为信息安全工作的主要执行机构,负责信息安全日常工作，IT总监下属包括应用和运维两个专业工作组。第三章安全策略第九条上海世茂安全策略体系是用于指导上海世茂的安全管理工作，明确信息安全的工作职责、内容、方法和流程的一套文档,它覆盖了IT系统的整个生命周期，对系统和网络的规划、设计、建设、运维以及检查评估都提出了相应的安全要求。第十条上海世茂安全策略由资讯科技部、各部门提出需求，由资讯科技部组织制定。第十一条上海世茂的安全策略由上海世茂信息安全领导小组批准和发布，由资讯科技部组织宣传和培训,并监督各部门执行落实。第十二条资讯科技

5、部及各专业工作小组负责检查和考核策略的贯彻和实施，并建立安全策略违反报告制度。第十三条资讯科技部建立安全策略定期审核更新的制度和机制，定期对安全策略的有效性进行审核，并根据情况进行更新.第四章安全管理制度第一节概述第十四条为做好上海世茂网络与信息安全管理,必须做好安全规划和建设，完善物理环境安全，加强工作人员安全管理和教育,建立信息资产安全管理制度。完善安全运维、事件处理、应急响应等安全工作。第二节安全规划与建设第十五条上海世茂安全规划明确安全建设原则，为网络与信息安全建设明确建设方向和蓝图。第十六条安全规划小组要根据上海世茂现有情况做好安全规划工作，制定近期（12年）总体安全

6、规划和中长期（35年）安全建设目标，制定网络建设规划和人员计划,满足信息系统正常安全保障并适应未来的发展战略。第十七条安全规划应考虑信息安全管理体系和安全技术架构的建设，根据网络发展规划适度超前建设，并考虑统一安全管理要求和统一安全技术基础设施。第十八条应在上海世茂信息系统规划、设计、开发、实施、运维的整个生命周期中各个阶段充分考虑并实施安全控制措施。第十九条在特殊情况下，应预先明确风险，并指出应采取的控制措施.第二十条应对网络与系统建设过程中存在的安全风险进行严格的安全过程控制。第三节物理安全管理第二十一条物理安全管理的目标是通过加强工作环境安全,防止对上海世茂工作场所和信息资源

7、的非法访问、破坏和干扰。第二十二条相关部门应按照上海世茂关于机房建设及管理等标准，对机房场地与设施进行安全建设，并进行分级、分区安全管理。机房安全建设和改造应通过资讯科技部的安全审批和验收,并建立、健全严格的机房安全管理制度.第二十三条信息资产主管部门及使用部门必须保证关键或敏感的数据信息处理设备放置在安全的区域，并使用适当的物理防护设备和访问控制手段。第二十四条应加强办公区的物理访问控制。第四节人员安全管理第二十五条信息安全管理人员应当政治过硬、业务素质高、遵纪守法、恪尽职守.第二十六条应建立相应制度以及相应技术手段加强对第三方人员的安全管理。第二十七条违反国家法律、法规和行业

8、规章受到处罚的人员,不得从事信息安全管理工作。第二十八条信息安全管理人员调离岗位，必须办理调离手续,承诺其调离后的保密义务。第二十九条信息安全岗位人员必须具备相应的资质并签定保密协议.信息安全管理人员应定期接受政治思想教育、职业道德教育和安全保密教育。第三十条信息安全管理人员职责：（1) 负责计算机安全管理的日常工作；（2）开展计算机安全检查工作，对要害岗位人员安全工作进行指导;(3) 开展计算机安全知识的培训和宣传工作；（4) 监控计算机安全总体状况，提出安全分析报告；了解行业动态,为改进和完善计算机安全管理工作，提出安全防范建议；(5）及时向计算机安全工作领导小组和有关部门、单位

9、报告计算机安全事件。第三十一条信息安全管理人员发现本单位所使用信息系统中的重大安全隐患，有权向上级报告。第三十二条信息安全管理人员发现系统操作人员使用不当，应及时建议有关单位、部门进行调整.第三十三条信息安全管理人员必须严格遵守国家有关法律、法规和行业规章，严守国家、行业和岗位秘密。第三十四条信息安全管理人员应定期参加下列计算机安全知识和技能的培训:(1) 计算机安全法律法规及行业规章制度的培训；(2）计算机安全基本知识的培训；(3）计算机安全专项技能的培训。第五节安全培训第三十五条工作人员安全意识是安全管理工作开展的基础和前提，安全管理工作组应建立安全意识教育计划，通过持续的

10、安全教育,提高人员安全意识。第三十六条建立安全技术培训计划，通过各种培训方式，提高各级管理人员和专业人员安全技能，降低安全操作风险。第六节信息资产安全管理（一）资产管理第三十七条上海世茂信息资产包括所拥有各种信息及其载体，存在有形资产和无形资产，包括计算机设备、系统软件、应用软件、数据、文档等。第三十八条严格执行上海世茂设备管理部门有关设备管理的各项规章制度，对资讯科技部管理的设备进行编号、登记、建立完善、准确的台帐.第三十九条每半年,对全局计算机网络设备进行一次全面检查和维护。每年末，资讯科技部对固定资产清查一次。第四十条各级信息资产责任者必须严格遵守相关制度,保证信息资产的机密

11、性、完整性和可用性.第四十一条信息系统资产管理具体办法参见上海世茂信息资产安全管理办法。（二）版权要求第四十二条上海世茂与计算机信息系统承建商签订建设合同时，承建商应当保证产品无侵犯他人版权要求。第四十三条承建商在计算机信息系统建设中使用第三方产品时，必须事先得到上海世茂资讯科技部认可并具有第三方产品书面授权。（三）安全专用产品第四十四条本规定所称安全专用产品，是指用于保护计算机信息系统安全的专用软件、硬件产品。第四十五条安全专用产品准入、选型、采购部署工作由资讯科技部统一组织实施。安全专用产品有下列情形之一的,取消其准入资格：（1) 安全专用产品的功能已发生变化，但未通过检测的；（

12、2）经使用发现有严重问题的;(3）能提供良好售后服务的；（4) 国家有关部门取消其销售资格的。第四十六条安全专用产品在使用中，系统管理员应监测生成的信息，对生成的信息应及时分析并作出分析报告；在监测中如发现重大问题，应立即采取相应控制措施并将有关情况逐级上报;安全专用产品使用中产生的重要报告应备份存档，并按密级资料管理方式履行有关手续。第七节安全运维管理第四十七条安全维护管理的目标是通过建立和执行对网络和操作系统的安全维护流程和安全维护作业计划，来保障提供高质量的信息系统服务能力和通信能力。第四十八条安全维护工作主要包括硬件入网管理、病毒防范管理、密码管理、系统和数据备份、日志管理

13、和审计、软件版本管理和补丁加载。第四十九条网络、主机的相关人员、维护计划配置应随网络调整进行更新。第八节安全事件处理第五十条安全事件处理的原则是“积极预防、及时发现、快速响应、确保恢复”。第五十一条系统宕机引起相关部门无法进行业务操作,非法侵入、破坏计算机信息系统，利用计算机实施诈骗、盗窃、贪污、挪用公款的计算机犯罪案件，以及造成不良社会影响的计算机安全事故，属于信息安全事故。第五十二条各相关部门根据要求建立详细的安全事件响应机制,规定在安全事件的发现、上报、分析、处理、总结和奖惩阶段的相关责任和程序,最大限度地减少安全事件造成的损害.第五十三条对安全事件做好记录和存档工作，记录

14、内容包括事件的起因、处理过程、处理结果、建议改进的安全对策等。第九节应急计划第五十四条针对不同的安全事件，必须制定相应的应急计划，内容至少包括计划的准备、演练、实施、系统恢复方案四个组成部分，各部门应定期上报应急计划内容。第五十五条通过应急计划的演练测试检查应急计划的有效性和资源的可用性,并根据演练结果进行应急计划的调整。第十节系统开发与维护（一）承建商管理第五十六条资讯科技部是全局计算机信息系统承建商管理的第一责任人。第五十七条计算机信息系统承建商必须遵守上海世茂信息安全管理制度,必须签署保密协议；在提供优质的开发、维护服务的同时，不得擅自修改正式生产系统中的数据。(二）计算机信

15、息系统建设第五十八条计算机信息系统的规划和建设应同步做好系统安全保护工作，以确保系统安全目标的实现。重要计算机信息系统立项的安全管理实行审批制度。对初审合格的项目申报材料,应进行安全性专项审查，提出审查意见后由资讯科技部最后审批。对没有通过安全管理审查的项目，不得予以立项。第五十九条计算机信息系统的开发必须符合软件工程规范，并在软件开发的各阶段按照安全管理目标进行管理和实施.计算机信息系统的开发人员或参加开发的协作单位应经过严格资格审查，并签订保密协议书，承诺其负有的安全保密责任和义务.计算机信息系统的开发环境和现场应当与生产环境和现场隔离。计算机信息系统开发完成后，开发人员或参加开发的外

16、部单位应及时移交程序源代码及其相关技术文档。第六十条计算机信息系统投入运行前，应向资讯科技部系统管理员提交性能测试报告；系统管理员对性能测试报告进行初步审查；初审合格后,安排生产环境部署.（三)计算机信息系统运行第六十一条计算机信息系统的使用部门应当严格用户和密码(口令）的管理,业务操作员应严格按照操作培训要求进行操作,保证系统安全运行;对计算机信息系统在运行过程中出现的异常现象，有责任向部门领导和资讯科技部报告。第六十二条计算机信息系统应定期进行数据备份，对备份介质应按有关规定指定专人妥善保管。重要计算机信息系统应当制定应急计划，保证业务的不间断运行.第六十三条系统管理员应合理配置操

17、作系统、数据库管理系统所提供的安全审计功能，以达到相应安全等级标准,应及时安装正式发布的系统补丁，修补系统存在的安全漏洞；并屏蔽与应用系统无关的所有网络功能，防止非法用户的侵入;第六十四条系统管理员不得泄露操作系统、数据库的系统管理员帐号、密码.联网设备的IP地址及网络参数,必须按照网络管理规范及其业务应用范围进行设置，非系统管理人员不得修改。第六十五条系统管理员应对重要业务的计算机信息系统进行日常巡检,监测系统运行日志，掌握系统运行状况；发现系统运行异常应及时通报主管领导.(四）上线管理第六十六条计算机信息系统正式使用前必须经过系统使用部门的整体功能测试和性能测试（对原有系统的功能升级

18、必须经过系统操作员的功能认可），才能在正式生产环境部署。（五）验收管理第六十七条必须经过资讯科技部评估,需要签订合同独立开发的业务软件系统必须进行系统验收；第六十八条需要验收的系统必须经项目管理与咨询公司审核项目文档以及上海世茂资讯科技部负责人审核确认后进行。（六)需求数据变更第六十九条业务操作员对已经上线运行的信息系统提出需求修改要求以及数据变更要求时，系统开发员需要准确纪录需求，并整理为需求确认单或数据确认单。第七十条系统开发员对业务操作员签字确认后的需求确认单、数据确认单进行系统处理,处理后的结果由业务操作员进行确认。第十一节符合性（一）正版软件第七十一条资讯科技部是全局推进

19、使用正版化软件工作的第一责任人。第七十二条公司内软件正版化工作实行使用责任制。各部门的主要负责人是本推进使用正版软件工作的第一责任人，对本部门使用非正版软件、损害公司形象的,承担领导责任。软件正版化工作列入各部门年终考核。（二）性能要求第七十三条业务应用软件开发类项目正式上线前必须进行性能测试，达到性能测试要求后部署正式环境；第十二节管理审计与评估第七十四条安全管理审计是参照一定的安全标准对运维过程和信息系统本身进行安全评价的过程。此过程重点关注运维管理工作是否有效地保护了信息系统的安全。第七十五条风险评估主要依靠技术手段评估特定的内外威胁可能对信息系统造成的损失，此工作主要关注信息

20、系统本身存在哪些漏洞、面临哪些威胁、可能遭到什么样的损害。第七十六条上海世茂资讯科技部应制定安全巡检机制，每半年组织一次安全管理内部审计，发现在安全运维管理方面存在的问题；并定期(间隔最长不超过半年）对网络与信息系统进行风险评估，并对评估出来的问题和隐患进行及时整改。第七十七条各部门根据实际情况对所辖系统不定期进行安全自评估。第十三节奖惩第七十八条执行上海世茂计算机信息系统安全管理体系，计算机安全管理工作成绩突出的部门与个人,由资讯科技部报领导小组后，对其进行通报表彰，并给予一定形式的奖励。第七十九条违反上海世茂计算机信息系统安全管理体系，造成重大安全事故或计算机犯罪的，根据有关部门

21、法律法规，追究其主管领导、相关部门及其他直接责任人的责任.第八十条违反上海世茂计算机信息系统安全管理体系的单位与个人，由资讯科技部报领导小组后，通报批评。第五章安全技术体系第一节概述第八十一条为切实防范网络攻击、保护上海世茂网络和信息安全,解决网络中存在的各种安全问题,需要运用访问控制、身份认证、冗余恢复、审计响应、内容安全等多种安全技术构建上海世茂安全技术体系.第二节访问控制第八十二条访问控制的目标是通过设定对计算机资源（包括信息、网络、系统、数据库、应用等）的访问策略,实现授权用户通过正确的方式访问资源，阻止未授权用户有意或无意获得访问权限。第八十三条设定访问控制策略的原则

22、是“除明确允许执行情况外必须禁止”。第八十四条安全域划分是对系统实施分级安全保护的前题条件,安全管理工作组必须要对网络划分安全域，明确网络边界和保护等级，实现网络之间的有效隔离和访问控制。第八十五条在网络、系统和应用层面制定访问控制和权限管理策略,并加强人员管理，保证安全有效的访问控制.第三节身份认证第八十六条加强面向网络和信息系统用户的管理，包括用户身份管理、帐号和口令管理、权限管理、认证和授权。第八十七条用户帐户的设定应符合“职责分离的原则。第八十八条对于重要系统应采用双因素或多因素认证机制。第八十九条定期审计身份鉴别，对发现的异常进行及时处理，对累积性事件进行必要的趋势分析

23、.第四节冗余恢复第九十条冗余恢复主要是针对网络、操作系统、应用系统以及数据可能发生的异常情况，为保障信息系统连续性所做的准备和防范措施。第九十一条应根据系统的重要程度,制定数据与软件的备份策略,明确备份周期和方法,并提供充足的备份设施，并定期进行备份数据恢复演练.第九十二条系统内重要主机、支持重要应用的网络设备应有冗余设置,应采用技术措施保证服务器出现故障经更换或修复后,能够自动安装操作系统、应用软件,并恢复数据。第五节日志审计与响应第九十三条日志审计是对主机、网络的运行状况，尤其是资源的访问情况进行记录、检查、监控以及完整性检查等；响应主要指对网络安全问题的实时检测、告警和处理。

24、第九十四条系统内重要主机上应部署日志审计产品并定期进行漏洞扫描。第九十五条重要的信息系统应部署入侵检测设备，并配备相应的告警和处理机制。第六节内容安全第九十六条内容安全指防止传输和存储的数据（信息）泄漏、甄别应用和数据的合法性.包括加密、防病毒、垃圾邮件过滤网关、内容过滤等产品。第九十七条应部署覆盖全网的多级防病毒系统,并定期进行病毒库升级。第六章安全检查第九十八条为提高各部门人员及管理人员安全意识，不断促进安全防范及管理工作深入进行，信息安全委员会应制定对安全管理工作的检查和考核制度并组织和执行安全检查工作。第九十九条安全检查的内容至少要包括安全组织、安全规划建设、信息资产管

25、理、人员安全、安全培训、物理环境安全、安全运维、安全事件处理、设备配置安全、应急计划、入网安全、管理审计与评估、软件版权、访问控制、身份认证、冗余恢复、日志审计与响应、内容安全等方面。第一百条应将安全工作逐步纳入到工作人员的绩效考核体系中。第一章检查内容第一节组织结构第一条检查安全组织机构建设情况：1. 安全组织；2。专(兼）职安全管理员；3. 人员变动情况。第二条检查人员管理情况：1. 健全的网络与信息安全管理制度;2。网络与信息安全学习、培训；3。重要岗位安全管理。第二节机房检查第三条检查机房环境：1. 外部供电系统；2. 内部供电系统;3. 应急照明；4. 主机房环境温度、湿

26、度控制；5。防火系统;6。场地监控；7。门禁保安；8。紧急联络；9。接地系统;10. 防盗设施;11。静电防护措施；12. 防电磁干扰措施;13. 防雷装置。第四条检查机房的日常管理：1. 工作交接手续;2. 各类数据和存储介质管理；3。过期报表和作废文档的销毁；4。硬件设备的管理和维护；5。各种设施有效性的定期检查；6。机房工程改变、维修操作、设备的调出的审批。第五条检查生产管理制度:1。机房操作员、系统管理员岗位职责；2。机房出入管理制度；3. 机房场地、设施及设备管理制度；4。进出机房人员登记簿；5。系统运行日志；6. 设备维护登记簿。第三节网络系统检查第六

27、条检查网络建设：1。上海世茂集团网络规划、设计、改造过程中的安全考虑；2。网络建成后的安全评审;3。设备备份和线路备份；4。网络设计、实施阶段文档;5。文档（包括：网络设计方案、网络拓扑结构图、网络配置参数、IP地址分配方案等)的保管。第七条检查网络安全规定：1。网络的管理和维护工作;2。办公网等内部网络与互联网之间的安全隔离措施；3。专线连接中防火墙等安全措施；4. 拨号连接中防火墙、身份认证和回拨等安全措施；5。网络中身份认证、加密、访问控制、数字签名、事件审计等安全技术和措施；6. 互联网上网管理办法或规定；7. 对拨号上互联网的计算机和调制解调器的登记记录。第八条检查

28、网络运维：1. 重要网络设备口令的管理；2. 口令的定期更换；3。网络实时监控和事件报警响应机制；4。专人定期或不定期监测网络设备性能参数和网络运行状况；5。对涉及网络配置的增、删、修改等操作的审批手续和配置更改记录；6。备机、备件及备用线路的定期检测和维护。第四节主机设备检查第九条检查主机设备管理：1. 主机设备是否按有关的技术条例进行验收；2. 设备岗位职责；3. 主机设备值班、管理、维修、运行管理记录登记、运行监控操作规程及应急措施；4. 主机应急操作规程。第十条检查主机设备维护：1。主机设备故障报告的查看；2. 存储设备报告的定期查看；3. 监控操作员、管理员岗位职责；4。

29、故障报告和值班日志。第五节应用系统检查第十一条检查对应用系统的操作：1。应用系统的操作运行中的分权制约;2。操作员处理数据的操作规程；3. 操作员密码管理。第十二条检查对应用系统的维护:1。各应用系统的维护人员以及备份;2. 维护人员变更时,维护部门的交接；3. 应用系统的维护、修改、测试和应用有无相应报告以及记录；4. 应用系统维护过程中版本管理。第六节数据备份检查第十三条检查备份情况：1. 数据备份和恢复规程；2。备份介质的存放与管理；3. 备份数据有效性的定期检查；4. 系统中关键设备的备份.第七节文档管理检查第十四条检查档案管理情况：1。是否设立技术档案存储室；2。

30、技术档案存储室的安全措施；3。专职或兼职技术档案存储室管理人员；4。技术档案管理办法和技术档案借阅制度。第十五条检查档案使用情况：1。技术档案入库、转储、使用、销毁登记记录；2. 技术档案的分类、编制目录、造册登记；3。对磁介质技术档案的定期转储;4。定期对技术档案的检查、清理、统计、核对；5. 失效技术档案的销毁登记、审批、销毁、监销程序。第八节安全事件检查第十六条检查安全事件处理：1. 安全事件处理制度；2. 安全事件的现场记录；3。安全事件的处理报告(原因、类型、范围、威胁级别和危害性等）；4。安全事件的处罚;5。安全事件通报情况；6。安全应急计划；7。定期的应急演

31、练.第七章文档声明第一百一条为了确保可用性和可操作性，需要对本文档定期进行审查，对发生变更的进行更新。第一百二条本文档需要每年审查一次,根据审查结果进行修订并重新颁布执行。第一百三条本文档的解释权归上海世茂资讯科技部.第一百四条本文档自签发之日起生效。目录一、物理访问制度ISMS300111。目的12. 范围13. 职责14。员工外出管理15. 来宾出入管理规定16。相关记录无2二、外部相关方信息安全管理规程ISMS-300221. 目的22。范围23. 职责24。管理规定2三、与政府相关资质申报及年审规定ISMS300331。目的：32. 职责：33。技术部相关

32、管理要求：34。相关资质申报年审管理要求3四、信息系统容量规划及验收管理制度ISMS300441。目的42. 范围43. 职责44. 内容4五、信息资产密级管理规定ISMS-300541。目的52。范围53. 保密信息定义54。秘密等级区分55。信息的分类56. 保密文件的标识57. 传送68. 其它6六、信息系统设备管理规定ISMS-300661. 目的和范围72. 引用文件73. 职责74。设备管理流程75. 实施策略106. 相关记录10七、机房管理规定ISMS3007101。目的和范围102. 引用文件113. 职责和权限114。机房出入制度115. 机房环境

33、管理116. 机房设备管理127. 相关记录12八、笔记本电脑管理规定ISMS-3008131. 目的132. 引用文件133。职责和权限134。笔记本电脑使用规定135. 安全配置规定146。外部人员使用笔记本的规定147. 客户现场管理规定158。实施策略159. 相关记录15九、介质管理规定ISMS3009151. 目的和范围152. 引用文件153. 职责和权限164。介质管理165。实施策略186。相关记录18十、变更管理规定ISMS-3010181. 目的182。引用文件183。职责和权限194. 变更步骤管理195. 程序19十一、第三方服务管理规定IS

34、MS3011211。目的和范围212。引用文件213. 职责和权限214。第三方服务管理规定215。实施策略22十二、数据备份管理规定ISMS-3012231. 目的和范围232. 引用文件233。职责和权限234. 备份管理235。备份的验证24十三、邮件管理规定ISMS-3013251. 目的和范围252. 引用文件253。职责和权限254. 电子邮件的帐户管理255。电子邮件使用规定266. 邮件使用规定267。实施策略278. 相关记录27十四、软件管理规定ISMS3014271. 目的和范围272。引用文件273. 职责与权限274。软件管理285. 审核

35、、批准、发布286. 软件归档和存放287。软件使用298。修订与升级299。软件作废2910. 实施策略2911。相关记录30十五、系统监控管理规定ISMS3015301. 目的302。引用文件303。职责304. 系统监控管理30十六、补丁管理规定ISMS-3016311。目的312。引用文件313。职责与权限314. 补丁管理规定315. 其他补丁：326。实施策略327. 相关记录33十七、信息系统审核规范ISMS-3017331。目的和范围332。术语和定义333。引用文件334。职责和权限345. 活动描述346。审核注意事项：35十八、基础设

36、施及服务器网络管理制度ISMS-3018351。机房安全管理程序352. 重要信息备份管理程序383。目的394。机房设备维护管理制度41十九、信息系统安全应急预案ISMS3019421. 电力系统故障的应急处理422。消防系统应急处理423. 网络信息系统故障的应急处理434. 网站与应用系统应急处理435。黑客入侵的应急处理446。大规模病毒（含恶意软件)攻击的应急处理44二十、终端计算机使用管理制度ISMS-3020451。计算机使用管理452. 存储介质的管理473。办公软件使用管理规定48二十一、信息安全管理规范和操作指南ISMS-3021511. 总则512.

37、物理安全523。计算机的物理安全管理524。紧急情况525. 网络系统安全管理526. 网络安全检测.537。信息系统安全管理538。信息系统的内部管理549. 密码管理55物理访问制度ISMS30011. 目的为了保障公司办公区域资讯信息安全和员工人身及财物安全,防止公司财产流失，特制定本制度.2. 范围本制度适用于公司员工外出及外来人员进入公司出入管理。3. 职责公司设立接待人员,负责来访人员登记管理。4. 员工外出管理员工因工作需要外出，需向相应上一级主管作出事由说明，经批准后方可外出.到客户现场提供服务或工作的人员，需带公司胸卡。5. 来宾出入管理规定（1）凡是来宾访客（包括

38、外包协作厂商、客户及政府等来访人员）进入公司内时，一律须出示其有效证件，说明来访事由，经被访人同意后，方可允许相关人员进入办公区。（2)团体来宾参观时，在得到总经理或副总的许可后，须由相关人员陪同方可进入。(3）员工亲友私事来访时，除特殊紧急事故，经其部门主管核准外，不得在上班时间内会客,亲友须于会客区内等候至下班时会见。（4)公司内部核心区域出入管理规定1)敏感区域公司敏感区域主要为内部机房和经理室。公司安装监控器；实施办公区域24小时监控.2）如需进入上述敏感区域，需经管理者代表/总经理同意，否则不得进入。l相关文件物理访问控制程序6. 相关记录无外部相关方信息安全管理规程ISMS-300

39、27. 目的为确保被外部相关方访问、处理、共享、管理的组织信息及信息处理设施的安全,特制定本管理规定。8. 范围本管理规定适用于公司外部相关方（包括顾客.供方。第三方)管理。9. 职责技术部系统管理员负责制定本规定并负责执行。10. 管理规定(1）第三方物理访问须经公司被访问部门的授权,具体执行访客管理制度。（2)公司与顾客需明确规定信息安全要求，公司规定在与客户签订合同中需规定必要的安全要求。（3)服务器访问权需由技术部统一授权给用户,一个用户给予惟一账号，口令自行保管.（4)本公司公网接入服务提供方等为外包过程，此类外包服务商应由技术部组织签订服务协议/合同，并应收集其相关资质,经公司评估

40、成为合格供方后方可与之进行经济来往。(5)采购供方或任何其它相关方人员现场访问公司现场时,需由技术部接待，需要涉及到公司重要应用软件、重要设施及重要数据的访问时,必须由技术部人员授权方可使用或查阅,涉及到资料复制名外借时,公司重要数据和文件需征得总经理同意。(6）服务合同1年注意更新。与政府相关资质申报及年审规定ISMS-300311. 目的:为公司对外与政府相关部门的相关业务联系提供指导；12. 职责:技术部负责各项政府项目的申报。财务部负责报税和营业执照年审。13. 技术部相关管理要求:(1）申报相关流程；由技术部按各政府部门项目申报的要求下载相关表格，并按要求组织填报。（2)申报涉及到相

41、关经营数据的审核相关经营数据在上报给政府部门前，先由核对数据，再交由综合部，审核通过后由总经理盖公司公章。（3）技术部申报材料的备份管理所有上报给政府部门的文件数据都备份一份，由技术部资质人员整理归档保存在办公室档案室中，并记录档案文件编号。（4）材料保密要求所有档案文件材料由技术部专员负责看管，其他人员如要查阅，需先向技术申请，获得总经理批准认可后，到存放档案的办公室中查阅相关文件,档案文件不允许带出办公室。14. 相关资质申报年审管理要求(1)报税管理要求用政府财税处相关报税软件，在线填写企业经营数据,完成后由软件系统上报。(2）营业执照管理要求接到政府相关部门通知后，持企业营业执照到指定

42、政府办事处办理营业执照年审手续。信息系统容量规划及验收管理制度ISMS-300415. 目的针对已确定的服务级别目标和业务需求来设计、维持相应的技术部服务能力,从而确保实际的技术部服务能够满足服务要求。16. 范围适用于公司所有硬件、软件、外围设备、人力资源容量管理。17. 职责技术部负责确定、评估容量需求。18. 内容（1)容量管理包括：服务器，重要网络设备：LAN、WAN、防火墙、路由器等；所有外围设备：存储设备、打印机等;所有软件：操作系统、网络、内部开发的软件包和购买的软件包；人力资源：要维持有足够技能的人员。（2)对于每一个新的和正在进行的活动来说，公司管理层应识别容量要求。（3）公

43、司管理层每年应在管理评审时评审系统容量的可用性和效率.公司管理层应特别关注与订货交货周期或高成本相关的所有资源，并监视关键系统资源的利用,识别和避免潜在的瓶颈及对关键员工的依赖。（4）技术部应根据业务规划、预测、趋势或业务需求，定期预测施加于综合部系统上的未来的业务负荷以及组织信息处理能力，以适当的成本和风险按时获得所需的容量,信息资产密级管理规定ISMS300519. 目的确保公司营运利益，并防止与公司营运相关的保密信息泄漏。20. 范围本办法适用于公司所有员工。21. 保密信息定义保密信息指与公司营运相关且列入机密等级管理的相关信息.22. 秘密等级区分机密等级分为秘密、内控、公开三类,区

44、分标准如下：(1)秘密:凡该信息泄漏后，足以严重损害本公司益或有于竞争对手的。(2）内控：凡该信息泄漏后,虽致直接影响本公司益，但可能使本公司经营管理因而造成困扰，需限制其阅读对象的。（3)内控:凡该信息泄漏后，虽致直接影响本公司益,但可能使本公司经营管理因而造成困扰,需限制其阅读对象的。(4）公开：指可对社会公开的信息，公用的信息处理设备和系统资源.23. 信息的分类（1）信息资产的分类可参见附件信息分类表。如未列入分类表的信息资产，可依照下面的原则进行判断:(2)秘密，由信息保管单位主管判定，且至少须为部门以上主管。(3)内控,由保密信息保管单位自行判定。24. 保密文件的标识(1)文件类的信息在判定等级后，加盖印章于文件及附件各页右上角或其它明显处。如页数太多，得酌情抽页盖骑缝章。但绝密级信息应予编码管控。(2)非文件类的保密信息，包括档案、电子邮件、投影片等，于判定等级后，应于资料传送显示前告知使用人或相关人员该项信息的密级。(3）印章由技术部统一刻制，发放给各个部门使用。25. 传送（1）内部传送（2）秘密、内控：保密信息保管单位应将印刷形式保密信息密封后注明机密等级，再装入传递袋中发送收件人；软件形式定稿和完整信息以电子邮件方式传递时应加密；内控信息可加密.（3）外部

展开阅读全文