内网信息系统操作规范V20.docx

海关信息系统操作手册一、信息系统安全操作方针：控制风险、保障安全、遵纪守法、积极预防、全面管理。二、信息系统安全操作目标：1、预防信息安全事故，保证组织业务的连续性，使组织的重要信息资产受到与其价值相符的保护，包括防范： 客户与公司重要的商业秘密信息的泄漏、丢失、篡改和不可用； 客户与公司重要业务所依赖的信息系统因故障、遭受病毒或攻击而中断。2、保持组织良好的竞争力和成功运作的状态，提高在公众中的形象和声誉，最大限度的增加投资回报和商业机会，增强客户、合作伙伴等相关方的信任和信心。三、信息系统操作数据安全保护：信息安全防护信息内网防护重点防止敏感信息泄漏防止业务数据丢失防止人员误操作防止病毒木马感染防止有害信息传播信息外网防护重点防止信息网络瘫痪防止黑客渗透入侵防止网页非法篡改防止恶意木马植入防止应用系统遭到破坏引用: .(GB/T25069-2010)信息安全技术;2、国家电网信息安全手册。1、客户环境信息系统操作问题:1、敏感信息获取与保存:敏感信息获取渠道保存方式传播方式传播范围安全动作禁止动作1、客户日常IT环境产生或者工作所需主动收集的信息涉及密码与关键信息部分文档加密处理互联网、硬件介质公司内部1、重要密码或者IP等加密保存；2、分类保存重要数据与普通数据；1、禁止主动在生产环境收集非工作相关相关信息；2、禁止大量相关客户相关信息出现在U盘；2、客户主动交付关键信息进行文档加密处理硬件介质公司内部及时删除传播介质中关键数据；禁止打印、复印或者照相保存：3、客户实体敏感信息，例如红头文件或者传真文件等禁止保存禁止传播禁止传播不主动接触：1、禁止复印或者照相保存；2、禁止讨论相关话题。2、重要系统操作机制1）客户网络环境维护，只采取查看与记录的方式；2）操作设置前需要获得客户完全授权；3）操作涉及内容与风险应详尽表达重要部分采用书面表达；4）重要操作出具回退机制与应急预案。2、客户端信息安全：1、办公设备信息安全1）计算机相关重要口令要满足强口令（8位以上、含有大小写字符、含特殊字符，含有数字）并妥善记忆；2）离开办公电脑，要锁定或关闭计算机；3）公用电脑设备不允许处理敏感信息；4）定期对内外网办公计算机企业防病毒软件、木马防范软件的升级和使用情况进行检查，确保不被病毒、木马感染，不得随意卸载统一安装的防病毒（木马）软件；5）定期备份重要数据；6）项目相关电脑不得安装与项目无关程序。7）要对管理网、运行网等办公计算机、外设及软件安装情况进行登记备案，定期核查；办公计算机不得安装、运行、使用与工作无关的软件，不得安装盗版软件：8）严禁管理网、运行网等办公计算机“一机两用”（同一台计算机既上管理网，又上运行网或互联网）。内外网办公计算机要进行明显标识；9）管理网、运行网等办公计算机不能配置、使用无线上网卡等无线设备，严禁通过电话拨号、无线等各种方式与信息外网和互联网络互联；10）定期对内外网办公计算机补丁更新情况进行检查，确保补丁更新及时；11）定期对内外网办公计算机及应用系统口令设置情况进行检查,避免空口令,弱口令；12）采取措施对信息外网办公计算机的互联网访问情况进行记录，记录要可追溯，并保存六个月以上；13）严禁私自修改计算机外设的配置属性参数，如需修改要报知相关部门，按照相关流程进行维护；14）计算机外设的存储部件要定期进行检查和清除；15）计算机外设要统一管理，统一登记和配置属性参数；16）加强对办公计算机使用人员的管理，开展经常性的信息安全和保密教育培训，提高办公计算机使用人员的信息安全和保密意识与技能；17）办公计算机使用人员离岗离职,有关部门要及时报运行维护部门对其办公计算机进行涉及企业秘密信息的清理，并取消其办公计算机及应用系统的访问权限。18）未经授权，员工禁止以任何方式提供或泄漏于任何第三方（包括公司内部其它员工及公司外部人员）有关公司所有计算机及其软件使用管理等信息（包括计算机数量、品牌、软件套数、名称、使用状况等）。19）违反本规定泄露公司企业秘密的办公计算机使用人员，情节较轻的由本单位予以批评教育，情节严重的按公司相关规定进行处理。2、物理安全1）机房等关键办公场所不能随意带与本项目无关人员进出；2）机房等关键办公场所钥匙与门卡妥善保管，不可外借非本项目其他成员；3）个人办公设备与其他介质，不可以随意外借他人使用；4）严禁使用手机谈论设计国家秘密、公司企业秘密的事项；5）严禁在手机上存储、处理涉及国家秘密、公司企业秘密的信息；3、网络安全1）未经授权严禁在服务器与办公电脑上使用实时通讯（如MSN,QQ等），点对点通讯（如BT下载，P2P技术等），互联网远程软件，短信息等应用服务，如有特殊需求，需项目申请，核准后方可开通；2）3389端口（mstsc）、139端口（IPC$等）、135端口（RPC）高危网络端口与应用需要申请后开启；3）无线网络服务需向相关管理部门提出申请，严禁私自架设无线网络设备；4）未经客户允许,任何人不得擅自修改本局域网内的网络拓扑结构、网络设备布置、服务器、路由器配置参数等相关设定；5）非管理人员不得擅自修改未经许可的计算机网络参数连入局域网。