企業(yè)信息安全

..

.頁(yè)腳

信息安全管理規(guī)

第一章總則

第一條為規(guī)企業(yè)信息系統(tǒng)及所承擔(dān)維護(hù)服務(wù)的用戶(hù)信息系統(tǒng)的信息安全管

理，促進(jìn)信息安全管理工作體系化、規(guī)化，提高信息系統(tǒng)和網(wǎng)絡(luò)服務(wù)質(zhì)量，提高

信息系統(tǒng)管理人員、維護(hù)人員以及使用人員的整體安全素質(zhì)和水平，特制定本管

理規(guī)。本管理規(guī)目標(biāo)是為公司信息安全管理提供清晰的策略方向，闡明信息安全

建設(shè)和管理的重要原則，闡明信息安全的所需支持和承諾。

第二條本規(guī)是指導(dǎo)公司信息安全工作的基本依據(jù)，信息安全相關(guān)人員必須

認(rèn)真執(zhí)行本規(guī)程，并根據(jù)工作實(shí)際情況，制定并遵守相應(yīng)的安全標(biāo)準(zhǔn)、流程和安

全制度實(shí)施細(xì)則，做好安全維護(hù)管理工作。

第三條信息安全是公司及所承擔(dān)的用戶(hù)信息系統(tǒng)系統(tǒng)運(yùn)維服務(wù)工作的重要

容。公司管理層非常重視，大力支持信息安全工作，并給予所需的人力物力資源。

第四條本規(guī)的適用圍包括所有與公司信息系統(tǒng)及本公司所承擔(dān)維護(hù)服務(wù)的

各方面相關(guān)聯(lián)的人員，它適用于本公司全部員工，集成商，軟件開(kāi)發(fā)商，產(chǎn)品提

供商，商務(wù)伙伴和使用公司信息系統(tǒng)的其他第三方。

第五條本規(guī)適用于公司所承擔(dān)服務(wù)支撐的外部各單位的信息系統(tǒng)的安全工

作圍。

第六條本規(guī)主要依據(jù)國(guó)際標(biāo)準(zhǔn)ISO17799,并遵照我國(guó)信息安全有關(guān)法律法

規(guī)、電信行業(yè)規(guī)和相關(guān)標(biāo)準(zhǔn)。

第二章安全管理的主要原則

第七條管理與技術(shù)并重的原則：信息安全不是單純的技術(shù)問(wèn)題，在采用安

全技術(shù)和產(chǎn)品的同時(shí)，應(yīng)重視管理，不斷積累完善各個(gè)信息安全管理章程與規(guī)定，

全面提高信息安全管理水平。

第八條全過(guò)程原則：信息安全是一個(gè)系統(tǒng)工程，應(yīng)將它落實(shí)在系統(tǒng)建設(shè)、

..

.頁(yè)腳

運(yùn)行、維護(hù)、管理的全過(guò)程中，安全系統(tǒng)應(yīng)遵循與信息系統(tǒng)同步規(guī)劃、同步建設(shè)、

同步運(yùn)行的原則，在任何一個(gè)環(huán)節(jié)的疏忽都可能給信息系統(tǒng)帶來(lái)危害。

第九條風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)控制原則：應(yīng)進(jìn)行安全風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)控制，以可

以接受的成本或最小成本，確認(rèn)、控制、排除可能影響公司信息系統(tǒng)的安全風(fēng)險(xiǎn)，

并將其帶來(lái)的危害最小化。

第十條分級(jí)保護(hù)原則：應(yīng)根據(jù)信息資產(chǎn)的重要程度以及面臨的風(fēng)險(xiǎn)大小等

因素決定各類(lèi)信息資產(chǎn)的安全保護(hù)級(jí)別。制訂各類(lèi)網(wǎng)絡(luò)系統(tǒng)和信息資產(chǎn)的安全保

護(hù)等級(jí)表，在表中明確資產(chǎn)類(lèi)別，同時(shí)確定對(duì)何種資產(chǎn)應(yīng)達(dá)到何種級(jí)別的安全。

第十一條統(tǒng)一規(guī)劃、分級(jí)管理實(shí)施原則：信息安全管理遵循統(tǒng)一規(guī)劃、分

級(jí)管理的原則。信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)對(duì)公司各項(xiàng)信息安全管理工作進(jìn)行統(tǒng)一規(guī)

劃，負(fù)責(zé)信息安全管理辦法的制定和監(jiān)督實(shí)施。各級(jí)部門(mén)在信息安全領(lǐng)導(dǎo)小組指

導(dǎo)與監(jiān)督下，負(fù)責(zé)具體實(shí)施。

第十二條平衡原則：在公司信息安全管理過(guò)程中，應(yīng)在安全性與投入成本、

安全性和操作便利性之間找到最佳的平衡點(diǎn)。

第十三條動(dòng)態(tài)管理原則：在公司信息安全管理過(guò)程中，應(yīng)遵循動(dòng)態(tài)管理原

則，要針對(duì)信息系統(tǒng)環(huán)境的變動(dòng)情況及時(shí)調(diào)整管理辦法。

第三章安全組織和職責(zé)

第十四條建立和健全信息安全組織，設(shè)立由高層領(lǐng)導(dǎo)組成的信息安全領(lǐng)導(dǎo)

小組，對(duì)于信息安全方面的重大問(wèn)題做出決策，協(xié)調(diào)信息安全相關(guān)各部門(mén)之間的

關(guān)系，并支持和推動(dòng)信息安全工作在整個(gè)信息系統(tǒng)圍的實(shí)施。

第十五條公司應(yīng)設(shè)置相應(yīng)的信息安全管理機(jī)構(gòu)，負(fù)責(zé)信息系統(tǒng)的信息安全

管理工作，配備專(zhuān)職安全管理員，由安全管理員具體執(zhí)行本公司信息安全方面的

相關(guān)工作。

第十六條公司信息系統(tǒng)的安全管理機(jī)構(gòu)職責(zé)如下：

?根據(jù)本規(guī)制定信息系統(tǒng)的信息安全管理制度、標(biāo)準(zhǔn)規(guī)和執(zhí)行程序；

?監(jiān)督和指導(dǎo)信息安全工作的貫徹和實(shí)施；

..

.頁(yè)腳

?考核和檢查信息系統(tǒng)的信息安全工作情況，定期進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，并

對(duì)出現(xiàn)的安全問(wèn)題提出解決方案；

?負(fù)責(zé)安全管理員的選用和監(jiān)督；

?參與信息系統(tǒng)相關(guān)的新工程建設(shè)和新業(yè)務(wù)開(kāi)展的方案論證，并提出相應(yīng)

的安全方面的建議；

?在信息系統(tǒng)相關(guān)的工程驗(yàn)收時(shí)，對(duì)信息安全方面的驗(yàn)收測(cè)試方案進(jìn)行審

查并參與驗(yàn)收。

第四章安全運(yùn)作管理

第十七條信息資產(chǎn)鑒別和分類(lèi)是整個(gè)公司信息安全管理的基礎(chǔ)，這樣才能

夠真正知道要保護(hù)的對(duì)象。

第十八條制定信息資產(chǎn)鑒別和分類(lèi)制度，鑒別信息資產(chǎn)的價(jià)值和等級(jí)，維

護(hù)包含所有信息資產(chǎn)的清單。

第十九條建立信息分類(lèi)方法和制度，根據(jù)程度和商業(yè)重要程度對(duì)數(shù)據(jù)和信

息進(jìn)行分類(lèi)。

第二十條安全運(yùn)作管理是整個(gè)信息安全工作的日常體現(xiàn)和執(zhí)行環(huán)節(jié)。應(yīng)該

在本信息安全策略的指導(dǎo)下，制定并遵照安全維護(hù)的操作流程，實(shí)施信息安全運(yùn)

作。

第二十一條定期進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，通過(guò)對(duì)安全管理策略、信息系統(tǒng)結(jié)構(gòu)、

網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)庫(kù)、業(yè)務(wù)應(yīng)用等方面進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，確定所存在的安全隱

患和安全風(fēng)險(xiǎn)，了解安全現(xiàn)狀以及如何解決這些問(wèn)題的方法。

第二十二條進(jìn)行物理安全和環(huán)境安全的管理，建立機(jī)房管理制度。

第二十三條對(duì)于公司及所承擔(dān)維護(hù)服務(wù)的用戶(hù)信息系統(tǒng)中重要業(yè)務(wù)系統(tǒng)、服

務(wù)器和網(wǎng)絡(luò)設(shè)備，制定安全配置標(biāo)準(zhǔn)和規(guī)定來(lái)規(guī)的安全配置管理工作，建立配置

更改管理制度，并進(jìn)行定期的審計(jì)和檢查。

第二十四條對(duì)于外包開(kāi)發(fā)的業(yè)務(wù)系統(tǒng)軟件，應(yīng)制定業(yè)務(wù)軟件安全標(biāo)準(zhǔn)來(lái)進(jìn)行

..

.頁(yè)腳

規(guī)，要求有完善的鑒別和認(rèn)證、訪(fǎng)問(wèn)控制和日志審計(jì)功能，數(shù)據(jù)驗(yàn)證功能，杜絕

木馬和后門(mén)。建立源代碼控制和軟件版本控制機(jī)制。

第二十五條建立第三方安全管理的規(guī)和制度，并要求其嚴(yán)格遵守。嚴(yán)格控制

第三方對(duì)信息系統(tǒng)的訪(fǎng)問(wèn)，并在合同中規(guī)定其安全責(zé)任和安全控制要求，以維護(hù)

第三方訪(fǎng)問(wèn)的安全性。

第二十六條應(yīng)該實(shí)施業(yè)務(wù)連續(xù)性管理程序，預(yù)防和恢復(fù)控制相結(jié)合，將災(zāi)難

和安全故障（可能是由于自然災(zāi)害、事故、設(shè)備故障和蓄意破壞等引起）造成的

影響降低到可以接受的水平，以防止業(yè)務(wù)活動(dòng)中斷，保證重要業(yè)務(wù)流程不受重大

故障和災(zāi)難的影響。

第二十七條應(yīng)該分析災(zāi)難、安全故障和服務(wù)損失的后果。應(yīng)該制定和實(shí)施應(yīng)

急計(jì)劃，確保能夠在要求的時(shí)間恢復(fù)業(yè)務(wù)流程。應(yīng)該維護(hù)和執(zhí)行此類(lèi)計(jì)劃，使之

成為其它所有管理程序的一部分。

第二十八條對(duì)于意外、災(zāi)難和入侵的處理，建立包含事件鑒別、事件恢復(fù)、

犯罪取證、攻擊者追蹤的安全事件緊急響應(yīng)機(jī)制，制定并遵照正確的安全事件處

理流程，盡量減小安全事件造成的損失，監(jiān)督此類(lèi)事件并從中總結(jié)經(jīng)驗(yàn)。

第二十九條制定并實(shí)施安全培訓(xùn)和教育計(jì)劃，進(jìn)行安全意識(shí)、技能和安全制

度培訓(xùn)。

第三十條對(duì)于員工違反安全策略和安全流程，制定相應(yīng)的紀(jì)律處分規(guī)定進(jìn)

行處罰。

第五章信息安全技術(shù)體系建設(shè)

第三十一條各類(lèi)企業(yè)信息系統(tǒng)應(yīng)加強(qiáng)信息安全技術(shù)體系建設(shè)，應(yīng)該包含鑒別

認(rèn)證，訪(fǎng)問(wèn)控制，審計(jì)和跟蹤，響應(yīng)和恢復(fù)，容安全等五個(gè)方面的安全技術(shù)要素。

第三十二條建立鑒別和認(rèn)證的標(biāo)準(zhǔn)和機(jī)制，建立用戶(hù)和口令管理的標(biāo)準(zhǔn)和制

度。

第三十三條建立完善的網(wǎng)絡(luò)和系統(tǒng)的訪(fǎng)問(wèn)控制標(biāo)準(zhǔn)和機(jī)制，加強(qiáng)權(quán)限管理，

進(jìn)行網(wǎng)絡(luò)分段與網(wǎng)段隔離，嚴(yán)格控制互聯(lián)網(wǎng)出入口，嚴(yán)格管理遠(yuǎn)程訪(fǎng)問(wèn)和遠(yuǎn)程工

..

.頁(yè)腳

作。

第三十四條建立有效的審計(jì)和跟蹤機(jī)制，建立日志存儲(chǔ)、管理和分析機(jī)制，

提高對(duì)安全事件的審計(jì)和事后追查能力。

第三十五條建立響應(yīng)和恢復(fù)的標(biāo)準(zhǔn)和機(jī)制，建立有效的機(jī)制和技術(shù)手段來(lái)發(fā)

現(xiàn)、監(jiān)控、分析和處理安全事件和安全違背行為。

第三十六條建立容安全的標(biāo)準(zhǔn)和機(jī)制，保護(hù)軟件和信息的完整性。建立針對(duì)

惡意代碼和病毒的預(yù)防和查殺措施，建立并遵守軟件管理策略。

第六章維護(hù)與解釋

第三十七條本規(guī)由公司信息化工作領(lǐng)導(dǎo)小組每年審查一次，根據(jù)審查結(jié)果由

科技信息部進(jìn)行修訂，修訂后重新頒布執(zhí)行。

第三十八條本規(guī)的解釋權(quán)歸公司技術(shù)服務(wù)工程中心。

第三十九條本規(guī)自簽發(fā)之日起生效。