华数传媒信息安全管理条例第一章 总 则第一节 编制说明第一条 为了加强信息安全管理,保障各种信息资产的机密性、完整性和可用性,特制定《信息安全管理制度》(以下简称“本制度”)第二条 本制度是信息安全管理的总原则第三条 本制度的解释和修改权属于华数数字电视IT管理部第二节 适用范围第四条 本制度适用于对公司信息资产各要素(包括:人员、数据、网络、终端等)的安全管理,部门人员在涉及到信息安全时应遵照执行第三节 依据标准和参考文献第五条 本制度依据标准和参考文献包括:1、《计算机信息系统安全保护等级划分准则》(GB17859)2、《信息安全管理体系标准》(BS7799/ISO17799)3、《信息技术安全管理指南》(ISO13335)4、《信息技术安全性通用评估准则》(ISO15408/GB18336)5、《计算机信息系统安全保护条例》(国务院令第147号)6、《计算机信息网络国际联网安全保护管理办法》7、《计算机信息系统国际联网保密管理规定》8、《计算机病毒防治管理办法》(公安部令第51号令)9、《计算机场地安全要求》(GB9361-88)10、《BM21-2000涉及国家秘密的计算机信息系统保密技术要求》第四节 名词解释第六条 本制度使用以下定义:(1) 信息安全:指信息的机密性、完整性和可用性的保持。
机密性:确保只有那些被授予特定权限的人才能够访问到信息完整性:要保证信息和处理方法的正确性和完整性可用性:确保那些已被授权的用户在他们需要的时候,确实可以访问得到所需信息2) 信息安全管理:规定机制,使信息安全得以执行 (3) 设备:包括服务器、存储设备、终端、网络设备、安全设备等4) 风险评估:对信息、信息处理设施、信息处理过程和信息系统管理所受威胁、系统弱点保护不当等风险因素的发生可能性和后果影响的资产价值评估5) 资产:指被组织赋予了价值,组织需要保护的有用资源6) 信息资产:信息资产包含但不限于:Ø 数据与文档:数据库和数据文件、系统文件、用户手册、培训材料、运行与支持程序、业务持续性计划、应急安排;Ø 软件资产:应用软件、系统软件、开发工具和实用程序;Ø 物理资产:计算机、通讯设备、磁介质(磁盘与磁带)Ø 人员:员工、客户等;Ø 服务:计算和通讯服务;(7) 内部计算机网络:指公司业务系统网、OA办公网等在内的全部内部网络8) 安全事件:任何已经发生的或可能发生导致信息安全受到损害的行为,或是违反安全程序的行为9) 访问控制:防止对资源的未授权使用,包括防止以未授权方式使用某一资源。
10) 核心系统:维持正常生产所必须的实时性系统平台的经营业务数据11) 重要系统:除核心系统外,维持经营管理所必须的系统平台和包含有公司内部经营管理信息的系统平台第五节 制度概述第七条 制度概述:第一章 总则:定义了本制度的适用范围、依据标准和参考文献、名词解释、责任要求以及制度执行;第二章 安全组织和人员职责描述:定义了信息安全的组织机构和岗位安全管理方面的相关要求;第三章 资产安全管理: 定义了信息资产的分类及安全管理方面的相关要求;第四章 用户帐号和口令安全管理:定义了用户设置帐号、口令和权限的安全要求;第五章 通用平台安全管理:定义了主机设备、存储设备、网络设备和系统软件等的安全管理要求;第六章 网络安全管理:定义了网络安全管理方面的相关要求;第七章 数据安全管理:定义了数据的传递、存储、备份及恢复的相关安全要求;第八章 保密安全管理:定义了涉密信息、涉密网络以及涉密人员的安全保密要求;第九章 防病毒安全管理:定义了管理员及员工的防病毒安全要求;第十章 电子邮件安全管理:定义了电子邮件安全管理方面的相关要求;第十一章 终端用户安全管理:定义了对终端的安全管理以及终端用户的行为要求;第十二章 安装及升级安全管理:定义了所有的信息设备、软件在进行系统安装及升级时的安全要求;第十三章 应急安全管理:定义了因安全事件而引起重大信息灾害后,为尽可能减少系统损失而采取的应急处理要求;第十四章 安全培训:定义了对人员进行安全培训的相关要求。
第六节 责任要求第八条 公司所有员工必须遵守本制度的规定,如由于未遵循本制度导致出现安全问题,相关部门和人员负有责任第七节 制度执行第九条 本制度是信息安全管理的基础性文件,公司人员的实施细则不能违反本制度第十条 本制度自下发之日起正式执行第二章 安全组织和人员职责描述第一节 组织结构第十一条 信息安全实施统一领导、专业分工负责的原则信息安全采用二级管理体制,分为:部门经理负责全部门总体的信息安全指导和运行管理各小组主管负责本组内的信息安全指导、运行和运行管理部门经理各小组主管第十二条 信息安全工作组信息安全工作组是部门信息安全工作的具体执行单位,负责具体的安全规划、建设、运行和管理的组织信息安全工作组由部门经理牵头,各小组主管人员参加组成信息安全工作组主要职能有:(1) 信息安全工作组负责部门信息安全策略的管理、系统配置的管理、安全事件的审计和安全事故的处理; (2) 按照部门规定进行信息系统的运行监视、安全审核,根据安全状况调整部门内信息系统的统一安全策略;(3) 安全事件发生后,信息安全工作组协调应急响应组决定是否启动应急流程;(4) 组织编制修订信息安全相关制度、规范和流程;(5) 监督信息安全相关制度、规范和流程的执行;(6) 组织部门的信息安全培训;第二节 信息安全工作组成员职责第十三条 信息安全工作组组长职责信息安全工作组组长具体负责信息安全工作组的管理工作,;组织信息安全工作组制订、修改安全策略;审核检查安全策略的执行情况;全面负责部门内的信息安全管理和信息安全运行。
第三节 信息安全运行紧密相关人员安全职责第十四条 网络管理员安全职责(1) 负责防病毒管理、防火墙系统管理、入侵检测管理、安全漏洞扫描管理等;(2) 参与网络系统安全策略、计划和事件处理程序的制定;(3) 承担网络安全事件的处理;(4) 参与网络安全建设方案制定;(5) 负责网络设备操作系统升级、补丁;(6) 负责网络日常监控、优化和安全加固;(7) 负责网络设备操作系统和配置数据备份第十五条 数据库系统管理员安全职责(1) 参与数据库系统安全策略、计划和事件处理程序的制定;(2) 承担数据库系统安全事件的处理;(3) 负责数据库系统升级、补丁和和安全加固;(4) 负责数据库系统的日常安全监控、配置和数据备份;(5) 负责数据库系统权限和口令管理第十六条 操作系统管理员安全职责(1) 参与操作系统系统安全策略、计划和事件处理程序的制定;(2) 承担操作系统系统安全事件的处理;(3) 负责操作系统系统的升级、补丁和安全加固;(4) 负责操作系统的日常安全监控和操作系统和文件系统的备份;(5) 负责操作系统权限和口令管理第十七条 业务系统管理员的安全职责(1) 参与应用系统安全策略、计划和事件处理程序的制定;(2) 承担应用系统安全事件的处理;(3) 负责应用系统的安全加固;(4) 负责应用系统的日常安全监控和数据备份;(5) 负责应用系统帐号权限和口令管理;(6) 负责应用系统在操作系统和数据库中帐号及该帐号下数据安全。
第十八条 资产管理员的安全职责(1) 按照资产存放环境要求存放相关物资和资料;(2) 根据信息资产的分类分级标识的要求进行资产、资料的标识;(3) 根据资产的信息安全等级进行物资的入库、出库、销毁,资料的保管、借阅、销毁;(4) 资产管理员应特别注意以下内容的安全管理:系统备份、数据备份载体及相应文档管理;业务数据、经营数据、运行数据的载体及相应文档的管理;软件资料管理(包括软件开发的源代码、软件设计说明书、使用说明书、许可证等);硬件随机文档;系统设计方案、工程施工过程文档、系统运行维护文档、招投标过程文档;其它文档管理(包括各种规章制度、收发文、工作日志归档、设备清单、合同)等等第四节 信息系统安全分工第十九条 公司各信息系统内,应有恰当的职责分离制度若无法成立职责分离制度时,则应建立适当的监管机制,以监督个人的表现与其矛盾的角色第二十条 系统职责分工明细表应详尽描述系统中各角色所对应具体人员以及组织领导关系,明确权责关系在人员角色变动时,需有正式文档进行变更记录第三章 资产安全管理第一节 信息资产的分类分级第二十一条 为了保证信息资产得到适当的保护,应该对信息分类分级,指明其保护级别;第二十二条 将信息资产分为不同的安全防护等级,有助于“应级而异”地规划、设计、实施相关的信息资产安全管理和保护措施,从而更有效地保障信息资产的机密性、完整性和可用性;第二十三条 数据在信息资产中占有非常重要的地位,通常作为企业知识产权、竞争优势、商业秘密的载体。
属于需要重点评估、保护的对象;第二十四条 信息资产的归属类别不是固定不变的,应定期审查,更新其归属类别第二节 信息资产的标识第二十五条 对所有识别出并进行分类的信息资产,应当建立资产目录并进行标识,标识方法可采用有形标签和电子标签;第二十六条 对信息资产进行标识时,均应同时标识该信息资产的名称、分类、责任人、安全级别等信息;第二十七条 数据分类标签的对象包括各种存储介质、磁带、软盘以及其他介质,所有印刷的、手写的敏感信息都需要考虑在恰当的位置放置标签;第二十八条 装订的硬拷贝信息资料需要在开启前页、标题页和尾页上放置安全级别标签;第二十九条 对与无法采用物理标签的信息资产(如电子文档),可采用电子标签的标识方法第三节 信息资产的管理第三十条 信息资产的存放(1) 物理资产的存放地点应通风良好,温湿度适宜并有消防安全设施;(2) 对于存放有特殊要求信息资产应存放在其所需的存放环境中,以防数据丢失;(3) 定期进行资产存放环境的检查和清洁,对不符合存放要求的情况应作出整改第三十一条 信息资产的管理责任制(1) 建立信息资产与管理人员对应列表,确保每项信息资产都由专人负责,明确安全责任; (2) 信息资产的管理人、安全等级等信息资产重要状态变更,需要及时改变相应标识并同时通知相关的人员;(3) 电子数据、纸质文档等信息资产必须经过信息安全工作组进行安全等级确认,在确认之前不得将信息资产暴露于与确认的安全等级无关的人员。
第三十二条 信息资产的档案(1) 对于每项信息资产都应该建立资产管理档案,详细记录资产的配置信息和变更信息;(2) 软件资产应妥善保管相关介质和文档,通过光盘刻录的方式进行备份所有产品介质和相关文档统一由资产管理员保管并记录于资产清单中,相关系统管理员单独保存一份备份介质所有商业软件到货后应在一周内通过合适的渠道确认、注册License,软件License维护由相应管理员负责,并报送资产管理员;(3) 在信息资产管理档案的基础上进行信息资产的分配,调拨和在用信息资产设备的维护管理;(4) 资产管理档案应及时更新,使信息资产管理档案与实际情况相符合第三十三条 信息资产的淘汰(1) 建立信息资产的淘汰制度;(2) 硬件和系统软件淘汰首先要考虑是否可以利旧作为他用;(3) 对已损坏且无法修复的硬件资产可按固资管理规定进行报废处理;(4) 软件不再使用并经过正式的声明后,可以从系统中删除该软件,其相关的数据应予以归档并保留三个月,特殊情况下可以保留更长时间;(5) 淘汰或废弃存有电子数据的硬盘、软盘、光盘等存储介质以及打印有用户数据、经营数据、财务数据、运营数据等的纸质文档需要进行安全销毁。
第四节 信息资产的审计和执行第三十四条 各小组主管及信息资产管理员应当对本部门各类信息资产进行有效监督和管理,对违反管理规定的行为要及时指正,对严重违反者要立即上报;第三十五条 信息安全工作组应当定期/不定期组织对各个小组的信息资产的安全状态进行审计,对违反管理规定的情况要通报批评;第三十六条 对严重违反规定,可能或者己经造成重大损失的情况要立即汇报部门经理第四章 用户帐号与口令安全管理第一节 口令设置原则第三十七条 口令中至少应包括以下三种:数字、大写字母、小写字母以及特殊字符(特殊符号举例如下:!@#$%^&*()_+|~-=\`{}[]:”;’<>?,./);第三十八条 口令长度不应小于8位;第三十九条 口令避免以下选择:(1) 亲戚、朋友、同事、单位等的名字,生日、车牌号、电话号码;(2) 一串相同的数字或字母;(3) 明显的键盘序列;(4) 所有上面情况的逆序或前后加一个数字;(5) 常见的词语或字典词语第二节 用户新增、注销管理第四十条 新增用户:必须由申请小组提出正式申请,需填写相关信息:使用者的姓名、联系电话、职责(岗位)、MAC地址、使用时间、申请使用的系统范围和权限等信息。
由部门经理审批后移交给信息安全工作组,审核后,下发至相应的管理员,管理员根据申请的内容进行赋权;操作完成后,系统管理员通过邮件或其他安全方式通知相关人员或部门第四十一条 注销用户:由于人事变动,帐号的使用者发生岗位变动或者离职,人事部门发报人事变更讯息,通知至系统管理员所在小组由系统管理员提出正式申请经系统所在部门经理审批后,立即进行相应的权限变动或帐号回收,严格防止由于岗位变动,帐号、权限没有进行变更的情况第三节 帐号配置与管理第四十二条 帐号权限在建立/更新/取消时,用户应填写系统帐号权限申请单(参见附件二)来申请;该表单应由系统拥有者来审批和签署第四十三条 系统管理员负责对应用系统、网络、服务器或其他信息设备的用户帐号、权限进行管理对用户帐号和权限进行登记备案,至少每半年审核一次用户帐号的使用情况,对长期未使用的或过期的帐号进行清理;第四十四条 在系统上线运行前,系统管理员必须重新配置或更改厂商在开发、测试阶段设置的应用系统、网络、服务器或其他信息设备的系统口令、用户帐号及口令,更改数据库内置帐号的口令;第四十五条 如果必须给予第三方人员(如厂商支持工程师)帐号口令,或当外包方人员申请开通系统帐号时,须事先与系统拥有部门签订保密协议,按照普通用户新增、注销管理规定执行。
系统管理员必须予以登记并纳入统一管理,同时对帐号安全负有责任;第四十六条 帐号配置不允许由系统管理员外其他任何用户操作,也不能在系统管理员使用的终端之外进行安装;第四十七条 系统管理员给新增用户分配帐号必须设置口令,并限定有效期必须强制新用户在第一次登陆时更改口令;第四十八条 系统管理员必须有能力更改口令,帮助用户开启被锁定的口令,对非法操作及时查明原因;解决口令使用过程中出现的问题;定期向小组主管和信息安全工作组汇报帐号、口令使用情况和需要解决的问题;第四十九条 重大操作后、口令使用期满、被其他人知悉或认为口令不保密时,系统管理员应按照口令更改流程变换口令口令更换操作应在保密条件下进行;第五十条 业务系统管理员在配置应用系统用户帐号时,必须采用加密口令格式,在登陆输入口令过程中不能以任何方式显示口令;第五十一条 信息安全工作组应每三个月对系统用户和管理员的帐号、访问权限和相应的访问及操作日志进行审核,形成相应的检查记录报告,由系统拥有者或部门经理签字确认;对于涉及重要数据的账号和权限应提交系统拥有者审核确认第五十二条 临时帐号的申请单应独立存档并由第三者(非批准人)作至少每月进行一次检查;在使用期满时,系统管理员应审核临时帐号操作日志记录并形成相应的检查记录报告,由系统拥有者或信息安全经理签字确认。
第五十三条 严禁多人和多系统共用帐号每个操作用户必须有且只有一个专用帐号; 第五十四条 口令在数据库中的存放和通过网络传输不应采用明码方式,对口令的访问和存取必须加以控制,以防止口令被非法修改或泄露;第五十五条 具有口令功能的计算机、网络设备等系统处理公司秘密信息,必须使用口令对用户进行身份验证和确认第四节 权限设置及变更管理第五十六条 对系统、网络、数据库、信息的访问采用分级管理,根据人员职责设定权限;第五十七条 仅有操作系统管理员及DBA拥有数据库的写权限;应用系统管理员只能拥有相关数据库的读权限;超级用户权限只允许操作系统及数据库管理员使用,其他用户需要使用超级权限时需提出申请,经审批后,由数据库管理员作一次性授权,并在数据库管理员监督下操作;第五十八条 员工只能拥有本岗位内的权限,且采取最低可用原则配置;如因工作需要另外增加岗位外权限的,需要领导审批;经使用员工所在小组主管和信息安全工作组同意后方可增加,增加后要保留操作日志和审批记录;第五十九条 系统管理员对到期的使用授权负责收回;第六十条 在权限建立/更新/取消时,用户应填写系统权限申请单来申请权限该表单应由系统拥有者来审批和签署。
操作人员在完成操作后需在《系统帐号权限申请表》中进行情况说明并有第三者进行确认第五节 帐号、口令使用管理第六十一条 用户使用系统时,必须使用帐号以及口令进行登陆,方可进行操作第六十二条 禁止使用系统内置帐号进行应用系统数据的维护工作严禁使用数据库内置帐号的口令进行数据库管理;第六十三条 重要的设备、系统的管理员帐号口令在每次修改之后必须备案;第六十四条 口令必须定期修改,口令使用周期不能超过3个月,在涉密较多、人员复杂、保密条件较差的地方应尽可能缩短口令的使用时间;第六十五条 用户应记住自己的帐号、口令,不允许记载在不保密的媒介物或贴在终端上同时,避免泄漏口令,不要将口令告诉其他人如果发现口令泄漏,应立即通知系统管理员及时更改;第六十六条 用户通过公网连接到公司内部网站时,需注意帐号、口令的保密,避免在公共场所泄漏帐号、口令;第六十七条 企业内用户口令不应当用作其他非企业应用的口令,如公网邮箱口令等 第五章 通用平台安全管理第六十八条 通用平台安全管理指系统中使用的主机设备、存储设备、网络设备和系统软件等的安全管理:原则如下:(1) 系统管理员至少要至三个月对涉及通用平台配置的增、删、修改等操作的配置更改记录进行审计;(2) 重要资源的访问控制策略至少要每六个月审计一次。
3) 如果在上述审计和检查工作中发现有安全事故,应遵照安全事故处理流程进行处理4) 各小组主管要对所有审计和检查工作情况记录登记第六章 网络安全管理第一节 基础管理第六十九条 网络结构管理(1) OA办公网网络整体的拓扑结构需进行严格的规划、设计和管理,一经确定,不能轻易更改;(2) 如因业务需要,确需对网络的整体拓扑结构进行调整和改变,需按照相应的运维管理制度上报;(3) 网络结构要按照分层网络设计的原则来进行规划,合理清晰的层次划分和设计,可以保证网络系统骨干稳定可靠、接入安全、便于扩充和管理、易于故障隔离和排除第七十条 网络配置管理(1) 所有的网络配置工作都要有文档记录,网络设备的配置文件需要定期备份;(2) 按照最小服务原则为每台基础网络设备进行安全配置;(3) 网络需保持持续不断的运行,维护工作要在用户使用量小的时候进行第七十一条 网络互连(1) 网络按访问控制策略划分不同的逻辑区域;(2) 公司内部不同业务的计算机网络之间的互连原则:Ø 互连点上必须实施安全措施,如安装防火墙等;Ø 网络之间互连点采取集中原则,并考虑安全冗余;(3) 公司内部计算机网络和第三方网络之间的互连原则:Ø 网络之间互连点采取集中原则,并考虑安全冗余;Ø 互连点上必须实施安全措施,如安装防火墙、实施入侵检测等;Ø 网络互连点及安全设备必须纳入到网管体系的监控。
Ø 在公司内部计算机网络内必须设置接口机或代理服务器,用于与第三方网络连接,禁止生产用的主机、服务器与第三方网络直接连接;Ø 与第三方网络的连接中,在互连点上的防火墙上应该进行IP地址转换,保护公司内部接口机或代理服务器真实的IP地址;Ø 在防火墙上实施策略控制,严格限制访问的地址和端口4) 内部计算机网络与互联网之间的互连原则:Ø 禁止计费网络与互联网之间直接连接;Ø 严格控制公司内部的计算机网络与互联网连接,由于业务需要,必须进行连接的,必须实施严格的安全措施,如安装防火墙、实施入侵检测等;Ø 遵循公司内部计算机网络和第三方网络之间的互连原则第七十二条 终端的接入管理(1) 只有遵循本制度第十一章《终端用户安全管理》的计算机终端方能接入公司内部计算机网络;(2) 外单位人员一般不允许接入公司内部网,如因维护需要确需连入网络,必须履行审批手续,并在相关人员随工的情况下方可接入;(3) 确需通过网络进行远程访问的,必须履行审批手续,在固定时间,通过身份验证后接入对连接时间、事由都要有详细记录第二节 运行管理第七十三条 网络监控管理(1) 网络管理小组负责网管系统和网络安全的建设和维护,以实现对网元以及网络安全情况的实时监控和管理,确保整个网络安全、稳定运行;(2) 各级网络管理部门可使用入侵检测、漏洞扫描等设备和技术定期对网络安全情况进行监控和分析,对于监控到的异常行为要有及时、有效的处理机制;(3) 网络管理员负责网络设备的日常检查,监测网络设备性能参数和网络运行状况;对关键设备要做到每日检查,发现问题应迅速解决,全部管理工作应保留记录;(4) 定期或不定期对备件及备用线路进行检测和维护;(5) 网络安全监控设备的运行不能影响网络的正常使用;(6) 各级网络管理部门要对所有在线网络设备运行情况记录登记,并定期向上级上报网络运行状况报告。
第七十四条 网络审计管理(1) 系统管理员至少要每三个月对涉及网络配置的增、删、修改等操作的配置更改记录进行审计;(2) 安全监督员至少要每三个月对系统用户和管理员的访问权限进行审查;(3) 建立统一的时钟服务器,保证日志信息的准确性;(4) 重要资源的访问控制策略至少要每六个月审计一次5) 如果在上述审计和检查工作中发现有安全事故,应遵照安全事故处理流程进行处理第七章 数据安全管理第一节 数据安全范围第七十五条 数据安全范围是指公司所有数据对象及其存在形式(如文本、程序、系统数据)等等;需要保护的重要数据包括:运营支撑数据、业务支撑数据和管理支撑数据第二节 数据管理通则第七十六条 数据的访问范围和权限设置必须由系统或业务系统管理员集中控制,并可以控制授权范围内的信息流向和行为方式第七十七条 数据访问采用分级管理,数据的操作必须经过严格的身份鉴别与权限控制,确保数据访问遵循最小授权原则关键业务数据和用户帐号信息必须实行专人管理;第七十八条 数据的更改应严格遵循相关管理办法及操作规范执行应采取有效措施防止系统数据的非法生成、变更、泄漏、丢失与破坏第七十九条 严禁通过系统管理员帐号直接对系统中存储、处理或传输的业务数据信息进行增加、修改、复制和删除等;第八十条 重要数据的更改必须两人负责,一人操作,一人审核,防止使用过程中产生误操作或被非法篡改;第八十一条 应用软件必须确保各处理环节数据输入、输出的平衡,并进行必要的稽核; 第八十二条 应用软件对重要数据应进行传输加密和完整性校验处理;第八十三条 网络管理员应定期改善网络系统的安全策略设置,尽量减少安全漏洞;第八十四条 对外提供系统业务数据的统计必须参照数据提取流程进行审批,并签订保密协议,保障数据信息的使用范围可控制;第八十五条 系统管理员必须定期对系统数据的处理和传输进行详细的安全检查和维护,避免因为系统崩溃和损坏而对系统内的信息造成破坏和损失;第八十六条 数据安全保密管理应严格执行第八章《保密安全管理》的规定。
第三节 存储、备份与恢复第八十七条 数据备份应保证及时、完整、真实、准确地转储到不可更改的介质上,并规定保存期限;第八十八条 备份介质应采用性能可靠、不易损坏的介质,如磁带、光盘等,并采取防盗、防毁、防电磁干扰等措施,保障数据安全; 第八十九条 备份介质应注明数据的来源、备份日期、恢复步骤等信息,并于安全环境保管;第1条 备份数据(包括系统、网络配置文件、应用软件和应用数据信息)应专人统一管理要建立备份介质保管登记制度,由专人负责严防业务数据泄密或丢失第2条 备份数据尽量做到异地、异人保存;第3条 根据系统特点制定详细的备份恢复方案重要系统自运行开始必须作好备份与恢复等应急措施,一旦系统出现问题能够及时恢复正常;第4条 定期对备份数据的可用性进行检查要保证备份数据是可读的,经常对备份介质进行测试;第5条 备份数据应做到定期全备份和增量备份备份内容包括系统备份和数据备份两部分系统常规备份至少每月一次,关键业务数据备份至少每天一次;第6条 系统进行升级前必须进行系统的完整备份;第7条 网络设备和主机的配置信息在每次更新后及时备份,更新前的备份按需要保存一定时间;第8条 备份完成后要认真填写备份日志;第9条 当发现数据丢失后,应保护好现场,停止任何操作,立即通知系统管理员,由系统管理员采取相应恢复措施;第10条 如系统管理员不能恢复数据,视数据的重要程度,通知相关领导和信息安全工作组,并联系第三方工程师解决;第11条 备份数据的恢复需经主管人员签字认可后,方可进行;第12条 对存储有涉密数据的设备故障,需交外单位人员修理时,本单位必须派专人在场监督;第13条 过期的备份数据应经主管人员认可后,方可销毁。
第八章 保密安全管理第一节 涉密数据安全管理第九十条 数据密级分类原则数据密级根据其内容重要性的不同,划分为:机密、秘密、内部、公共四个级别其中,机密、秘密、内部数据属于涉密信息1) 机密数据机密数据是指那些具有最高安全级别,对企业正常经营、管理和安全运行起到至关重要作用,一旦被非法访问或篡改,会导致灾难性的影响,并且这种影响在短时期内是不可恢复的;或者会严重影响公司业务发展,使公司在市场竞争中非常被动的关键数据2) 秘密数据秘密数据是指那些必须在企业内使用,并且有严格访问控制的信息任何对秘密数据的非法访问、修改或删除会严重影响企业内计算机系统的安全,但这种影响是可以在短时期内恢复的;或者会对公司业务拓展产生不利影响但通过努力可以逐渐扭转的数据3) 内部数据内部数据通常是指那些只供公司内部使用的信息资料,任何对内部数据的非法访问、修改或删除可能会对企业安全造成一定的影响,但不可能是严重的或不可恢复的4) 公共数据公共数据是指可以公共访问和对外发布的信息,并且公共数据可以自由散布而不会产生任何安全问题第九十一条 涉密数据密级确认(1) 根据公司有关的保密文件,确定需要保密的信息内容、划分编发等级、明确信息提供范围。
对于未明确密级但内容涉密的信息,要根据有关的保密规定,确定编发级别;对有涉密嫌疑又来源不明的信息不予编发;(2) 数据的管理者应确保这些数据被恰当的分类,并确保原创人或其他员工理解他们的责任;(3) 保密文件由拟制人根据文件密级不同,提交不同级别的领导进行密级确认,保密数据由业务系统管理员根据数据密级不同,做好数据密级分类记录,提交不同级别的领导进行密级确认,数据密级分类记录表可参考附件三,在确认之前不得将文件内容透露给与确认密级无关的人;(4) 密级确认的具体权限为:Ø 机密数据由公司一级部门以上的高层领导确认;Ø 秘密数据由公司二级部门以上的领导确认;Ø 内部数据由各部门经理确认;Ø 公共数据由发文单位根据需要进行确认5) 对涉密数据的密级,每年需要评审,密级变化后应改变文档的分类标签同时通知相关的人员;(6) 所有的涉密数据都有一段密级保持时间第九十二条 涉密数据的获取(1) 必须首先经过申请批准,才能查询和阅读文档、数据,查阅权限申请流程:Ø 机密数据:公司总经理及一级部门以上领导及其签字批准的人员;Ø 秘密数据:部门经理以上领导及其签字批准的人员;Ø 内部数据:部门副经理以上领导及其签字批准的人员。
2) 严禁复制机密数据申请复制秘密数据必须由一级部门、部门经理以上领导批准,申请复制内部数据由部门副经理、三级部门主管签字批准;(3) 信息使用、加工处理部门及网络管理部门,不得通过不正当的手段,超越权限查看、使用、复制保密信息,也不能擅自降低保密级别,把涉密信息作为非涉密信息传播4) 管理者负责从那些不再需要的员工手中取回任何公司涉密数据;第九十三条 涉密数据的传递涉密数据的传递必须经过审批并采用适当的方式进行传递;文档的密级必须清楚地标识在各种电子信息文档的每一页上,或每个电子文件的开始;如果不能标识,原创人必须告知所有接受者数据的密级;涉密数据的披露或分发应当有所记录,涉密数据的分发必须发至收件人 本人,并由收件人签收;在对外合作中,如确实需向合作方提供公司涉密数据的,必须按密级由相应领导书面批准,并在提供前与之签订保密协议;内部公共数据可以按部门分发或在公司内部公告栏内张贴,也可以在公司内部计算机网络上发布;机密、秘密数据严禁在计算机网络上发布、公开和传送,内部数据如需在网络上传送,应得到相应领导的批准;计算机信息系统处理、传递、储存涉密信息的文件、资料特别是涉及国家秘密信息的文件、资料时,公司应采用相应的防范措施,以从物理上、逻辑上确保重要数据存储和传输的安全性。
通常会考虑采用数据加密、安全密钥或侵入监测系统加以监控涉密数据保管、存档要加强对计算机介质(软盘、磁带、光盘、磁卡等)的管理,对储存有秘密文件、资料的计算机等设备要有专人或兼职人员操作,采取必要的防范措施,严格对涉密存储介质的管理,建立规范的管理制度,存储有涉密内容的介质一律不得进入互联网络使用;机密、秘密数据由数据的签收人和签发人亲自保管内部数据由收件人本人或本部门专人保管,内部公共数据一般由各部门专人保管;涉密数据的查阅和复制应当在文件保管人处进行登记,以备核查;如涉密数据的保管人不慎将文件丢失,应立即向相应的领导汇报情况,尽快挽回损失,减小影响;公司机密以及行政机密、内部数据在文件管理部门存档;各部门机密、秘密数据在部门内存档;在文档和程序中注明版权(非授权批准)不允许传递(卖)给第三方;时效性特别强的信息的处理不能通过EMAIL、电话等等,除非这些信息己经公开发布;在日常工作时间之外,含有涉密数据的必须加密,除非特别授权;在无人照看的场所应保护敏感信息(锁在柜中、如果离开时间超过30分钟房间应上锁);在个人计算机上的涉密数据存储,必须加设访问口令;计算机存储介质不再用于涉密数据存储时,必须要进行消磁或者重新格式化;系统内涉密数据数据不再有效时,应由数据使用部门提出正式申请,系统拥有者或信息安全经理签字审批后,由系统管理员立即进行彻底删除,并由第三者进行确认。
不要在PC或者个人工作台上保留涉密数据(除非信息安全组批准并实施了控制方法);执行公司或行业的其它信息保密制度第二节 涉密网络安全管理第九十四条 凡本部门使用互联网络的人员,必须有一位主管分管并指定专人负责本单位或本部门网络节点内安全保密工作,经常进行监督、检查,处理本单位涉及网络安全保密的有关事宜,并协助主管部门开展安全保密工作的检查指导;第九十五条 计算机网络用户的口令和采取的安全措施,属于秘密级事项;有调阅机密内容权限的用户口令和网络系统级口令及安全措施属于机密事项,不能转告非授权用户;第九十六条 不得在网上擅自连接各类网络设备所有网络设备的增减与变动,其技术方案必须经过审批,并在华数数字电视IT管理部技术人员的监督下执行;第九十七条 各部门需要安装主机、服务器等设备时,必须预先报系统主管部门核准,并由其进行安全和技术审核,分配网络地址和设置安全措施后,方可实施安装;第九十八条 各单位需要通过互联网与外单位进行信息(含数据)交换,应经过公司提供的统一网络信道进出由于特殊原因个别部门要求建立独立的网络信息通道时,应事先报部门经理批准并经系统主管部门进行内部技术安全审查;第九十九条 对预先未经安全技术审核、批准,而私自接入或使用网络设备的单位以及进行其他违章操作的单位,一经发现,即停止该单位的入网资格,并拆除私自联入的设备。
造成损失的,要追究责任;第一百条 凡属公司涉密文件、资料一律不得输入计算机互联网络,本单位、本部门科学研究方面的文件、资料、成果,如属国家秘密范围,不得进入互联网络;第一百〇一条 必须做好涉密数据的保管工作,管好秘密源头第三节 涉密人员安全管理第一百〇二条 必须签订保密协议,保密协议应包括:1.保密的内容和范围2.保密的期限3.双方的义务4.违约责任第一百〇三条 基本保密义务:应当遵守组织的保密制度,妥善保管其所保存的组织秘密资料,不得刺探与本职工作、本身业务无关的公司秘密,不得泄露公司的技术秘密;非经公司书面同意,不得利用公司的商业秘密进行生产、经营和兼职活动,不得利用公司的商业秘密组建新的企业;如果发现公司秘密被泄露,应当采取有效措施防止泄密扩大,并及时告知公司;无论是在职还是离职,不得披露、使用或者允许他人使用公司的商业秘密,不得利用公司的商业秘密从事兼职活动,不得利用公司的商业秘密到其他单位任职;员工离职时,应当将所持有的秘密资料如数归还公司,不得保留拷贝;员工离职后在约定期限内不得泄露原公司机密 第九章 防病毒安全管理第一节 建立病毒预警机制第一百〇四条 制定防病毒的管理制度和操作指南;第一百〇五条 设立专门的管理员负责防病毒的管理工作;第一百〇六条 管理员要及时了解防杀计算机病毒厂商公布的计算机病毒情报,关注新产生的、传播面广的计算机病毒,并知道它们的发作特征和存在形态,及时发现计算机系统出现的异常是否与新的计算机病毒有关;第一百〇七条 管理员要及时了解操作系统厂商所发布的漏洞情况,对于很可能被病毒利用的远程控制的漏洞要及时提醒用户安装相关补丁;第一百〇八条 对有严重破坏力的计算机病毒的爆发日期或爆发条件,及时通知所有相关人员进行相应防范。
第一百〇九条 如遇病毒安全事故,则按照信息安全事件响应第二节 防病毒软件的安装使用第一百一十条 防病毒软件的部署:应在全网范围内建立多层次的防病毒体系,要使用国家规定的、服务技术支持优秀、具有计算机使用系统安全专用产品销售许可证的网络防病毒产品IT管理部负责对公司防病毒软件的部署应该做到统一规划,统一部署,统一管理1) 在Internet出口处部署网关型防病毒软件,重点要对进入网络的SMTP邮件进行实时病毒过滤;(2) 在群件系统上部署群件防病毒软件,对邮件、文档等进行实时的病毒过滤,防止计算机病毒通过群件服务器扩散、传播;(3) 在所有的Windows服务器与客户端中部署病毒实时监控软件;(4) 服务器和客户端的防病毒系统必须能够统一管理,可以统一升级、杀毒、监控第一百一十一条 防病毒软件的安装:(1) 对新购进的计算机及设备,在安装完操作系统后,要在第一时间内安装防病毒软件;(2) 没有安装防病毒软件的Windows系统不得接入到生产网络中;(3) 防病毒软件的类型遵循统一规划,不得私自安装其他类型的软件第一百一十二条 防病毒软件的升级:(1) 病毒特征库至少要做到每天自动升级检查,自动部署;(2) 对病毒特征库的升级情况应该进行手工检查,将当前版本与软件厂商在网站上公布的版本进行比较。
应该每周检查一次;(3) 一旦出现传播速度快,威胁大的新病毒,应该立即进行手工升级第一百一十三条 防病毒软件的维护:(1) 防病毒系统管理员负责软件的总体维护,定期(每天)检查防病毒服务器端软件的运转情况,如有异常及时处理;(2) 各个服务器系统的管理员有责任维护本机防病毒系统的正常运转,也需要定期对防病毒软件的升级情况进行监控如果遇到问题或者病毒报警,与防病毒管理员共同解决第三节 防范病毒措施第一百一十四条 公司要求所有服务器及个人电脑均安装防病毒软件,并至少实现由防病毒软件的服务器端强制所有终端联网后可以自动实时更新病毒库第一百一十五条 操作系统和重要应用的管理员帐号的口令应该具备一定的复杂度,防止被病毒利用,口令设置遵循本制度第四章《用户帐号与口令安全管理》;第一百一十六条 关键服务器要尽量做到专机专用,不应该开启任何网络共享;第一百一十七条 对共享的网络文件服务器,应特别加以维护,控制读写权限,尽量不在服务器上远程运行软件程序;第一百一十八条 对于出现的最新病毒,在厂家没有发布特征库解决方案之前,要根据病毒自身特点在网关处进行内容过滤;第一百一十九条 在网络设备上关闭病毒的常用端口;第一百二十条 IE安全级别设置在中以上,对ActiveX控件要确认安全后才可打开;第一百二十一条 建立网内防病毒技术支持系统,使用电话、邮件等手段对用户在防病毒方面进行技术支持。
第四节 病毒处理第一百二十二条 隔离受感染主机: 当出现计算机病毒传染迹象时,立即隔离被感染的系统和网络,并进行处理,原则上不应带“毒”继续运行;第一百二十三条 确定病毒种类特征: 采用多种手段确定病毒的类型和传播途径,如查看防病毒软件的报警信息、搜索互联网相关信息、和防病毒厂商沟通等途径对于未知病毒,可以尽快提交给有关部门或厂商;第一百二十四条 防止扩散: 如果出现大面积传播的趋势,要根据病毒的传播形式,采取网络访问控制、内容过滤等手段控制病毒的扩散;第一百二十五条 查杀病毒: 尽量使用专杀工具对病毒进行查杀,杀毒完成后,重启计算机,再次用最新升级的防病毒软件检查系统中是否还存在该病毒,如是系统漏洞应及时打上相应补丁,并确定被感染破坏的数据是否确实完全恢复;第一百二十六条 如果重要数据文件被感染,无法修复,可以请数据恢复的专业人员进行处理第四节 员工防病毒安全管理第一百二十七条 重视管理员发布的病毒和补丁通告,提高病毒的防范意识,及时安装操作系统补丁;第一百二十八条 只有安装了防病毒软件的计算机系统才能够接入公司内部计算机网络,防病毒软件必须选择公司统一指定的类型;第一百二十九条 用户有协助管理员维护本机系统防病毒软件的义务,如果防病毒软件出现工作异常,病毒特征库过旧(更新时间为两周前)等问题,应该及时通知管理员进行维护;第一百三十条 严禁用户以任何方式卸载防病毒软件和停止防病毒服务;第一百三十一条 软盘、光盘等移动媒体,以及外来的系统和软件,下载软件等,要先进行计算机病毒检查,确认无计算机病毒后才可以使用;严禁使用未经清查的、来历不明的软盘、光盘等;第一百三十二条 不要阅读和传播来历不明的邮件,用邮件客户端收取邮件时设置默认为文本方式;第一百三十三条 如果发现本机有感染病毒的迹象,应立刻通知系统管理员,必要时拔掉网线。
第一百三十四条 定期对所有重要敏感数据进行备份;第一百三十五条 用户有义务为自己的电脑设置帐户口令,口令长度8位以上,不得设置简单口令,口令设置遵循本制度第四章《用户帐号与口令安全管理》;第一百三十六条 定期对自己的电脑进行杀毒和漏洞扫描; 第十章 电子邮件安全管理第一节 电子邮件服务安全管理第一百三十七条 邮件帐号管理(1) 帐号口令的设置原则遵循本制度第四章《用户帐号与口令安全管理》;(2) 如果确认某个帐号的活动已经威胁到整个系统的安全,应立即禁用此帐号,并第一时间通知用户;(3) 网络应能控制用户登录入邮件系统次数,应对所有用户的访问进行审计,如果多次输入口令不正确,则认为是非法用户的入侵,应给出报警信息;(4) 建立口令管理制度做到口令专管专用、定期更改,失密后立即报告;(5) 系统管理员在应用户要求并且由部门接口人确认后由部门接口人送邮件至IT管理部后,可以修改用户口令;(6) 离职员工在离职日起必须对其持有的公司内部员工邮件帐号进行删除;(7) 禁止匿名发送邮件,必须做身份认证第一百三十八条 容量限制(1) 限制用户邮箱的总容量对用户的邮箱应根据系统容量及需求设置相应的容量限制;(2) 限制邮件传输容量Ø 对传输邮件的大小应做相应的限定。
如果由于用户发送的邮件超过规定限额,造成网络拥塞,邮件服务器瘫痪等问题,系统管理员将限制该用户的邮箱只能收,不能发,或者关闭该用户的邮箱,直到该用户重新申请邮箱为止需紧急发送并超过限定大小的,请以网站下载、FTP或其它方式替代;Ø 为了避免邮件服务器资源被过量使用,坚决杜绝大规模群组发送邮件;如确有需要,应分批发送通知、公告一类的内容应尽量通过应用中的公告牌发布第一百三十九条 隐私保护不得违法公开、编辑或透露用户的邮件内容第二节 电子邮件用户使用安全第一百四十条 电子邮件内容(1) 禁止利用电子邮件服务发送连环邮件、分发垃圾邮件;(2) 禁止传输任何骚扰性的、中伤他人的、恐吓性的、庸俗、淫秽以及其他违反国家和公司规定内容的信息资料;(3) 禁止散布电脑病毒、木马程序、干扰网络上其他使用者及破坏网络节点的软硬件系统,或其它类似情形第一百四十一条 电子邮件操作(1) 用户必须以本人的真实身份使用用于办公用途的电子邮件,禁止以他人名义滥发邮件或盗用他人邮箱未经授权任何人不得以他人帐户口令进行登录,阅读他人邮件内容;(2) 邮箱用户的登录密码(用户口令),必须严格保密,不得泄露,用户使用完邮件系统后,必须立即退出登录,以防他人冒名使用。
用户必须使用本人的邮件帐号口令访问系统如将其借予他人使用,由此造成的一切安全后果由邮件帐号所有人承担;(3) 用户若发现任何非法使用该用户帐号或其它系统安全漏洞情况,须立即通告系统管理员;(4) 不要阅读和传播来历不明的邮件及附件,提高对于病毒邮件的防范意识,避免传递病毒邮件,具体措施遵循本制度第九章《防病毒安全管理》;(5) 用户不得将公司提供的电子邮件地址用于非工作目的(特别是以娱乐、购物、交友等为目的身份注册),如果受到大量垃圾邮件的困扰应该通知系统管理员;(6) 邮件用户必须经常清理各自的邮箱,防止邮箱超限用户要保留的邮件要及时拷贝到本地计算机上保留;(7) 邮件系统管理员必须遵守有关法律规定和职业道德规范,维护企业、用户个人的隐私与安全 第十一章 终端用户安全管理第一节 终端安全管理第一百四十二条 根据终端用途的不同,将终端分为:普通办公终端、营业终端和系统维护终端三大类对终端管理要求如下:(1) 发现终端运行异常,及时与终端维护部门或单位联系,非专业管理人员不得擅自拆开终端调换设备配件;(2) 外来人员携带电脑需要接入公司内部计算机网络的,必须征得相关部门负责人允许方可接入,并且要在相关人员随工的情况下完成操作;(3) 新购终端入网前要进行病毒扫描并统一部署安全软件;(4) 系统维护终端只能用来进行系统维护管理和优化操作,不得接入互联网。
5) 禁止营业终端接入互联网第二节 终端用户帐户与口令管理第一百四十三条 终端用户要严格遵循本制度第四章《用户帐号与口令安全管理》中的有关规定,定期更换口令,并尽量避免口令泄露,否则按照安全事件的严重程度追究相应人员的责任第三节 终端用户行为规范第一百四十四条 未经授权严禁使用他人帐号口令进行系统操作;第一百四十五条 不得随意将终端设备提供给他人使用,长时间离开时,应将终端置于锁定状态或关机;第一百四十六条 不得利用终端安装或使用嗅探、扫描、攻击等各类黑客软件进行信息窃取或攻击他人或其他系统;第一百四十七条 禁止利用终端从事危害国家安全、泄漏国家秘密等违法犯罪活动,禁止编制、运行、传播危害网络安全的软件,禁止制作、查阅、复制和传播妨碍社会治安的信息和淫秽色情等信息;第一百四十八条 禁止利用终端进行大量占用网络资源的操作,以免造成整体网络处理性能的下降;第一百四十九条 禁止用户随意改动自己的网络参数配置,包括IP地址、网关、子网掩码、DNS等;第一百五十条 禁止用户采用任何工具私自修改网卡的MAC地址第四节 终端用户防病毒安全管理第一百五十一条 终端用户必须提高病毒的防范意识,严格遵循本制度第九章《防病毒安全管理》中的规定,统一部署杀毒软件,及时更新病毒库。
第五节 终端用户电子邮件安全管理第一百五十二条 终端用户在使用终端进行邮件收发时,须遵循本制度第十章《电子邮件安全管理》中的相关规定第十二章 安装及升级安全管理第一节 软件安装安全管理第一百五十三条 所有新的应用系统软件或者软件增强部分功能必须在用户需求说明中详细定义,并提交给业务系统管理员审核;第一百五十四条 所有的应用软件包必须与公司首选并且认证过的计算机系统平台保持兼容;第一百五十五条 为了遵守法规和取得卖方的各方面支持,软件必须附带包括各种条款的最终用户授权协议;第一百五十六条 新软件和升级软件在实施前必须搭建测试环境进行功能、性能和兼容性测试测试前应提供测试方案,测试后提供详细的测试报告第一百五十七条 公司应有明确规定各类服务器设备、终端安装的软件,禁止安装盗版软件和非认可软件;第一百五十八条 对于公司设备及所安装的软件及LICENSE应有清晰的记录;第一百五十九条 对于非规定范围内的软件安装前应由系统维护人员进行评估和记录,并交由信息安全经理审核批准后,方可认为为认可软件,进入系统使用第一百六十条 制定所有设备(含终端设备)所安装软件至少定期(6个月)和不定期检查流程,并进行结果通报;检查内容包括设备型号、具体配置、安装的软件名称、用途、许可证号等。
第二节 主机设备安装安全管理第一百六十一条 每个操作系统必须要有系统加固手册,信息安全工作组应对每一平台(如Linux, Solaris, Windows, HPUX, AIX等)的加固方式进行评估系统的加固手册应至少包括如下内容:(1) 关闭不必要的服务;(2) 对系统中的密码设置需要有如下限制,主要包括密码长度不能少于8位;应该有数字﹑字母和特殊字母三种组成;密码的有效期最长为三个月,密码输入错误10次以上,用户账号应该被锁定;(3) 系统管理员可以锁定账号和为用户账号进行解锁;。
