（精选）信息安全管理制度.docx

《（精选）信息安全管理制度.docx》由会员分享，可在线阅读，更多相关《（精选）信息安全管理制度.docx（52页珍藏版）》请在第一文库网上搜索。

1、大庆市华拓数码科技有限公司文件名称信息安全管理制度文件编号WLB-XXAQGL-04-V1. 0文件密级秘密制修订记录版本号制修订日期制修订者制修订摘要V0. 12011.2. 19李钦草稿VI. 02011.5. 11李钦修改完善，申请发布文件编制单位意见审核签字校对签字管理者代表签发1、 前言1.1 目的为了保证我公司信息及我公司提供服务的客户的信息安全，避免信息遭丢失、破坏、泄漏、非授权访问等情况的发生，特制定本制度。L2适用范围适用于本公司所有项目组和职能部门。L3相关文件1 .参考文件：计算机使用管理规定、物理访问控制程序、用户访问控制程序。2 .关联文件：无3 .相关记录：无。L4

2、责任矩阵角色名称职责网络部1.组织对该文件的使用进行正式培训。行政部2.在文件发布时，对文件版式、文字进行核准。网络部3.负责本文件的编写、修订、报批。技术总监4.负责此文件的审核。管理者代表5.对该文件进行全面负责，如同意则代表该文件可以发布。1.5解释与维护本文件由网络部负责培训、解释与维护。1 .网络与信息安全的基本概念网络与信息安全主要包括下列三个基本属性： 机密性（Confidentiality）：确保网络设施和信息资源只允许被授权人员访问。根据信息的重要性和保密要求，可以分为不同密级，并具有时效性。 完整性（Integrity）：确保网络设施和信息及其处理的准确性和完整性。 可用性

3、（Availability）：确保被授权用户能够在需要时获取网络与信息资产。需要特别指出的是，网络安全与信息安全（包括但不限于内容安全）是一体的，不可分割的。2 .网络与信息安全的重要性和普遍性网络与信息都是资产，具有不可或缺的重要价值。无论对企业、国家还是个人，保证其安全性是十分重要的。网络与信息安全工作是企业运营与发展的基础和核心；是保证网络品质的基础；也是保障企业和客户利益的基础。因此华拓数码的网络与信息安全是企业和客户安全的需要。网络与信息安全工作无所不在，分散在每一个部门，每一个岗位，甚至是每一个合作伙伴；同时，网络与信息安全是华拓数码所有员工共同分担的责任，与每一个员工每一天的日常

4、工作息息相关。华拓数码所有员工必须统一思想，提高认识，高度重视，从自己开始，坚持不懈地做好网络与信息安全工作。3 .华拓数码网络与信息安全体系与安全策略华拓数码网络与信息安全体系是由两部分组成的。一部分是一系列安全策略和技术管理规范（第一、二层），另一部分是实施层面的工作流程和记录文档（第三层）。信息安全管理制度（以下简称总纲）根据公司信息安全方针而制定，位于安全体系的第一层。它主要阐述安全的必要性、基本原则及宏观策略。具有高度的概括性，涵盖了技术和管理两个方面，对华拓数码各方面的安全工作具有通用性。安全体系的第二层是一系列的技术规范和管理规定，是对总纲的分解和进一步阐述，侧重于共性问题、操作

5、实施和管理考核，提出具体的要求，对安全工作具有实际的指导作用。安全体系的第三层是操作层面，它根据第一层和第二层的要求，结合具体的网络和应用环境，制订具体实施的细则、流程等，具备最直观的可操作性。安全体系也包含了实施层面的工作流程，结合三层安全策略，进行具体实施和检查考核，同时遵循动态管理和闭环管理的原则，通过定期的评估不断修改完善。安全策略是在公司内部，指导如何对网络与信息资产进行管理、保护和分配的规则和指示。华拓数码必须制订并实施统一的网络与信息安全策略，明确安全管理的方向、目标和范围。安全策略必须得到管理层的批准和支持。安全策略应被定期评审和修订，以确保其持续适宜性，特别是在组织结构或技术

6、基础改变、出现新的漏洞和威胁、发生重大安全事件时。华拓数码的安全策略是由安全体系三个层面的多个子策略组成的，具有分层结构的完整体系，包含了从宏观到微观，从原则方向到具体措施等多方面的内容。安全策略用来指导全网的网络与信息安全工作。4 .安全需求的来源确立安全需求是建立完整的安全体系的首要工作。华拓数码的安全需求主要源自下述三个方面： 系统化的安全评估。结合经验教训和技术发展，通过安全评估分析公司网络和信息资产所面临的威胁，存在的薄弱点和安全事件发生的可能性，并估计可能对公司造成的各种直接的和潜在的影响。 华拓数码及其合作伙伴、承包商、服务提供商必需遵守的法律法规、行政条例和合同约束，以及公司对

7、客户的服务承诺。 公司运营管理的目标与策略。下图说明了安全需求、风险评估和安全措施三者的关系。5 .安全风险的评估安全风险评估可以应用于整个公司或某些部分，也可应用于单个网络信息系统、特定系统组件或服务。安全风险评估应着重于： 安全事件可能对华拓数码造成的损失，以及所产生的直接和潜在的影响。 综合考虑所有风险，以及目前已实施的控制措施，判断此类安全事件发生的实际可能性。 从安全角度，对公司现有的管理制度和流程本身的合理性与完备程度进行评估。安全风险评估应本着可行、实际和有效的原则，通过标准统一的评估程序和方法，量化安全风险，确定安全风险的危险级别，从而采取合理措施防范或降低安全风险。需要特别指

8、出的是：为适应业务发展的变化，应对新出现的威胁和漏洞，评估现有控制措施的有效性及合理性，必须周期性地进行安全风险评估并调整控制措施，且应在不同的层面进行，为高风险领域优先分配资金、人力等资源。6 .安全措施的选择原则 有效性。安全措施的实施必须能够确保风险被降低到可以接受的水平，达到期望的安全目标。 可行性。安全措施必须在技术上是可操作的，可以实现的。某些安全措施不具备通用性，需要因地制宜的考虑具体实施环境。 实际性。应从管理、财务等非技术因素详细分析待实施的安全措施，综合比较实施成本与由此减少的潜在损失，非经济因素也应考虑在内。公司应在遵循以上原则的基础上，根据网络与信息资产面临风险的大小，

9、区分轻重缓急，实施相应的安全控制措施。7 .安全工作的起点根据一般性规律和业界的实际经验，网络与信息安全工作的开展可以从以下几个方面着手： 法律方面：数据保护以及个人隐私保护、公司记录保护和知识产权保护等。 业界惯例：安全策略制订、安全职责划分、安全教育与培训、安全事件响应和业务连续性管理等。需要指出的是，上述内容不能取代根据安全风险评估选择控制措施的基本原则。任何控制措施的选取都应当依据实际面临的具体风险来确定。8 .关键性的成功因素为了确保网络与信息安全工作的顺利实施，下列因素至关重要： 公司管理层的高度重视、明确支持和承诺； 安全工作组织与人员的落实； 安全策略、目标和措施应与公司经营目

10、标一致； 安全工作的具体实施必须同公司的企业文化相兼容； 深刻理解安全需求、风险评估及风险管理； 在全体员工中建立网络与信息安全无处不在的安全理念； 向所有员工和第三方（包括承包商、合作伙伴、客户等）分发网络与信息安全指南，并提供相应的培训和教育。 .安全标准综述本标准依据国际规范，参考业界的成熟经验，结合华拓数码的实际情况，制定并描述了网络与信息安全管理必须遵守的基本原则和要求，将安全工作要点归结到以下六个方面：1网络与信息资产管理公司必须建立详细准确的网络与信息资产清单和严格的资产责任制度。每一项资产都应当指定“责任人”，分配其相应的安全管理职权，并由其承担相应的安全责任。“责任人”可以将

11、具体的工作职责委派给“维护人”，但“责任人”仍必须承担资产安全的最终责任。根据网络与信息资产的敏感度和重要性，必须对其进行分类和标注，并采取相应的管理措施。2物理与环境安全公司的关键或敏感的网络与信息处理设施应被放置在安全区域内，由指定的安全边界予以保护。根据不同的安全需求等级，公司应划分不同的安全区域，例如：机房、办公区和第三方接入区。针对不同的安全区域，公司应采取不同等级的安全防护和访问控制措施，阻止非法访问、破坏和干扰。工程施工期间也应遵守相关规定，加强安全区域的保护。公司必须制定清理办公环境及合理使用计算机设备的规定。网络与信息处理设施的处置与转移应遵守相应的安全要求。3通信与运营管理

12、安全公司应建立网络与信息处理设施的管理和操作的职责及流程，并尽可能地实现职责分离。开发、调测和运营环境应保持相对隔离。公司应做好系统容量的监视和规划。配套安全系统应与业务系统“同步规划、同步建设、同步运行新建或扩容系统的审批应包含安全内容，并在交付使用前做好测试和验收工作。涉及安全方面的审批工作应由安全机构人员负责。公司应加强防范意识，采取有效措施，预防和控制恶意软件。公司应建立严格的软件管理制度，及时加载安全补丁，定期进行系统安全漏洞评估，并执行系统加固解决方案。公司应当制定备份制度，执行备份策略，并定期演练数据恢复过程。记录操作和故障日志。公司必须采取多种控制措施，保护网络设备及其信息的安

13、全，尤其是网络边界和与公共网络交换的信息。可采取的控制措施如：访问控制技术、加密技术、网管技术、安全设备、安全协议等。公司应制定信息存储介质的管理制度和处置流程。应特别加强对可移动存储介质和系统文档的管理。公司在与其它组织交换信息和软件时，应遵从相应的法律或合同规定，采取必要的控制措施。公司应制定相应的程序和标准，以保护传送过程中的信息和媒介安全，尤其要考虑电子商务、电子邮件等应用的安全控制需求。公司还应制定信息发布管理规定。4访问控制公司应基于业务和安全需求，制定访问控制策略，并明确用户职责，加强用户访问控制管理。公司应加强对移动办公和远程办公的管理。公司应加强对网络系统、操作系统、应用系统

14、的访问控制，如在公司网络边界设置合适的接口，采取有效的用户和设备验证机制，控制用户访问，隔离敏感信息。同时应监控对系统的访问和使用，记录并审查事件日志。5安全事件响应与业务连续性公司必须贯彻“积极预防、及时发现、快速反应与确保恢复”的方针，建立安全事件响应流程和奖惩机制。如有必要，应尽快收集相关证据。公司应实施业务连续性管理，通过分析安全事件对业务系统的影响，制定并实施应急方案，并定期更新、维护和测试。6安全审计网络与信息系统的设计、操作、使用和管理必须遵从国家法律、信息产业部相关管理条例以及合同规定的安全要求。安全审计应遵循独立原则，定期检查网络与信息系统安全，检验安全政策和技术规范的执行情况。应采取有效的控制措施保护网络与信息系统及审计工具，使安全审计的效果最大化，影响最小化。3、 正文3.1 网络与信息资产管理3. 1. 1网络与信息资产责任制度1 .资产清单公司各部门应编制并保留各自责任范围内的各套网络与信息系统的重要资产清单，明确每件资产的责任人和安全保护级别，同时还应当确定其当前位置。公司网络部组织汇总、保留全公司完整的资产清单。网络与信息资产例如： 硬件和设施：计算机设备、数据网络通信设备（路由器、交换机等）；磁性媒介（磁带和磁盘等）、其它技术设备（电源以及空调装置等）等； 文档和数据：客户图像和结果、技术文档、配置数据、拓扑图