信息安全管理办法百度呕心沥血整理版.docx
《信息安全管理办法百度呕心沥血整理版.docx》由会员分享,可在线阅读,更多相关《信息安全管理办法百度呕心沥血整理版.docx(10页珍藏版)》请在冰点文库上搜索。
信息安全管理办法XX呕心沥血整理版
XX金融公司信息安全管理办法
第一章总则
第一条根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本管理办法。
第二条信息安全是指通过各种计算机、网络(内部信息平台)和密码技术,保护信息在传输、交换和存储过程中的机密性、完整性和真实性.具体包括以下几个方面。
(一)信息处理和传输系统的安全。
系统管理员应对处理信息的系统进行详细的安全检查和定期维护,避免因为系统崩溃和损坏而对系统内存储、处理和传输的信息造成破坏和损失。
(二)信息内容的安全。
侧重于保护信息的机密性、完整性和真实性。
系统管理员应对所负责系统的安全性进行评测,采取技术措施对所发现的漏洞进行补救,防止窃取、冒充信息等。
(三)信息传播安全.要加强对信息的审查,防止和控制非法、有害的信息通过本公司的信息网络(内部信息平台)系统传播,避免对国家利益、公司利益以及个人利益造成损害。
第二章职责权限
第三条信息安全管理实施工作责任制和责任追究制,由XX金融公司(以下简称“公司")成立信息安全领导小组,由CIO担任领导小组组长,负责本公司信息安全工作的策略,重点,制度和措施,对本单位的信息安全工作负领导责任;由信息技术部负责人担任信息安全实施小组组长,成员包括部门信息安全管理员,负责信息安全保护工作的具体实施,对本单位的信息安全负直接管理责任.
第四条信息安全实施小组对本公司的服务器,网络,信息系统具有审核和管理权,负责本公司信息系统的规划,建设,应用开发,运行维护与用户管理。
第三章主要风险
第五条公司存在如下风险:
(一)来自公司外的风险
1.病毒和木马风险。
互联网上不同类型的病毒和木马,在感染公司用户电脑后,会篡改电脑系统文件,使系统文件损坏,导致用户电脑最终彻底崩溃,严重影响员工的工作效率;有些木马在用户访问网络的时候,不小心被植入电脑中,轻则丢失工作文件,重则泄露机密信息.
2.不法分子等黑客风险。
计算机网络的飞速发展也导致一些不法分子利用网络行窃、行骗等,如果是信息技术部、结算部和财务部电脑若被黑客植入后门,留下监视类木马查件,将有可能造成重要数据被拷贝泄露、财务网银密码被窃取。
还可能使服务器资源耗尽,最终彻底崩溃,同时整个网络彻底瘫痪。
(二)来自公司内的风险
1。
文件的传输风险。
员工将公司重要文件以QQ、MSN发送出去,造成公司信息资源的外泄,危害公司生存发展。
2。
文件的打印风险。
员工将公司技术资料或商业信息打印到纸张带出公司,公司信息资料外泄。
3。
文件的传真风险。
员工将纸质重要资料或技术图纸传真出去,以及将其他单位传真给公司的技术文件和重要资料带走,造成公司信息外泄。
4。
存储设备的风险。
员工通过光盘或移动硬盘等存储介质将文件资料拷贝出公司,或员工私自拆开电脑机箱,将硬盘偷偷带出公司,造成公司信息泄露。
5.上网行为风险.员工在电脑上访问不良网站,造成电脑及公司网络的破坏,导致电脑系统崩溃。
6。
用户密码风险。
主要包括用户密码和管理员密码.用户的开机密码、业务系统登陆密码被他人掌握,此用户权限内的信息资料和业务数据被窃取;管理员密码被不法分子窃取,破坏应用系统的正常运行.
7。
机房设备风险。
主要包括服务器、UPS电源、网络交换机、电话交换机、光端机等。
这些风险来自自然灾害导致的机房设施损坏及业务中断。
8。
办公/区域风险.主要包括办公区域敏感信息的安全.员工在办公区域随意堆放本部门的重要文件或是在办公区域毫不避嫌谈论工作内容,可能会泄露部门工作机密,甚至是公司机密.
为了保证公司信息的安全保密,公司所有人员必须严格遵守公司信息安全管理办法,以此为基础,从各个层面杜绝信息安全隐患。
第四章风险防范措施
第六条信息安全防范措施
(一)计算机设备安全管理。
1。
公司所有人员应保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。
2。
严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。
任何人不允许私自拆卸计算机组件,计算机出现故障时应及时向信息管理部报告,不允许私自处理和维修。
3。
发现由以下等个人原因造成硬件的损坏或丢失的,其损失由当事人如数赔偿:
违章作业;保管不当;擅自安装、使用硬件和电气装置。
公司每位员工对自己的工作电脑既有使用的权利又有保护的义务.任何的硬件损坏必须给出损坏报告,说明损坏原因,不得擅自更换。
公司会视实际情况进行处理。
4。
下班后所有不再使用的计算机,应关闭主机电源,以防止意外,对于共同使用的计算机,原则上由最后一个退出系统的使用人员关机,并关闭电源。
外人未经公司领导批准不得操作公司计算机设备。
(二)部门资料安全管理
1。
外接存储设备安全管理
信息技术部使用技术手段禁止所有人员以个人介质光盘、U盘、移动硬盘等存储设备拷贝公司的文件资料并带出公司。
若因出差等原因需要拷贝文件资料到存储设备中,需要经过加密机来进行拷贝.为确保硬盘的安全,严禁任何人私自拆开电脑机箱,将用户主机贴上封条标签,除信息技术部人员外,任何人不得私自拆开机箱,若信息技术部进行电脑硬件故障排查时,拆除封条标签后,在故障排查结束及时更换新的封条标签。
信息技术部将定期检查,若发现有封条拆开痕迹,将查看视频监控记录,追查相关人责任。
2。
文件传真安全管理.
人员对外发送涉密传真,必须经上级核实后,统一在规定部门登记,由规定部门通过加密机发送,禁止个人在未经许可的情况下对外发送涉密传真文件,一经发现,所有后果将由个人承担.在对内传真文件时,应即刻通知传真接收人接收并取走传真件,在传真结束时,应马上取走传真原件.若因传真时没有取走传真件,导致传真件丢失,造成本部门信息外泄,则由本人承担一切后果。
3。
文件打印安全管理.
所有人员不得私自将公司文件打印带出公司,一经发现,严肃处理。
若在上班时间,打印工作文件时,需要即刻在打印机处等候文件的打印,文件打印完成后马上取走,若因文件打印时有其他紧急事件,应该通知本部门人员代为领取打印文件。
禁止一切打印后未及时取走打印文件的行为,一经发现,将对本人警告,若因打印后,文件丢失,造成信息资料外泄,则由本人承担相关责任。
4。
文件的存储安全管理。
所有部门人员应定时清理计算机中的文件,清除不需要的垃圾文件,将重要的文件和工作资料保存在特定的文件夹里,每月末应将电脑中的文件资料做一次备份,将文件资料备份到部门专用U盘或移动硬盘上,确保个人工作资料的文件归档,在电脑突发性故障或硬盘损坏时,能够及时恢复最近的工作资料;电脑桌面上的文件应每周末拷贝到非系统盘符中或不要在桌面存放任何工作性文件资料。
若因个人原因未执行备份,造成数据资料丢失时,将由本人承担相关后果.若员工离职,在办完离职手续后,所在部门负责人应联系信息技术部协助将此员工工作资料拷贝到部门U盘或移动硬盘上,若没有执行此安全过程,离职员工损失的文件资料由该部门承担.
5.办公区域的安全管理。
所有部门人员每天下班时应保证办公桌的整洁,将部门重要文件资料存放在个人抽屉柜中,并检查确保办公桌上没有存放重要文件或其他有可能泄露本部门工作内容的信息源。
若因资料没有存放好,被他人取走,造成的后果将由本人承担。
(三)帐号密码安全管理
使用者须妥善保管好自己的帐户和密码。
严防被窃取而导致泄密。
核心业务系统及OA帐户及密码由经营办管理员设置后通知员工,员工及时修改密码后牢记。
所有员工必须在所使用的计算机中设置开机密码和屏幕保护密码.为了保护公司的信息资产,设置密码时应注意:
密码至少有8个字符长;密码必须包含以下任一部分:
字母A—Z或a-z,数字0—9,特殊字符,例如$,—等。
1.电脑密码管理:
每个员工管理自己电脑的登录密码,周期性的及时更改自己的电脑登录密码。
2。
应用系统密码管理:
所有核心业务系统用户及OA用户都将分配到一个帐号密码,帐号是不变的,用户可以更改自己的系统密码,密码尽可能设置为高安全性的复杂密码,严禁用户将密码设置为如123456等傻瓜式密码,若密码设置过于简单,被其他用户非法登陆后,在核心业务系统中将会非法编制篡改单据,在OA中非法冒用流程管理权限,若产生此情况,将会导致严重的后果;严禁将核心业务系统帐号或OA帐号密码透露给他人,让他人代己做核心业务系统单据或办理OA流程;员工调离岗位或离职,所在部门负责人应及时通知信管部注销该员工的应用系统帐户。
若因以上原因造成的信息安全后果将由本人承担。
3.采用用户身份认证系统:
对核心业务系统采取USBKEY认证技术,并选择其中一种技术与公司现有的静态密码技术相结合,USBKEY采用USB密钥,存储特定的加密算法,只有将USB钥匙接上电脑,与电脑中存储的认证软件验证通过后,才能进入.我们通过(动态+静态)混合身份认证,或(硬件+软件)混合身份认证,保证服务器的登陆基于网内的行为、网外的行为都是安全的。
(四)杀毒软件安全管理
用户使用的杀毒软件和防火墙已经设置好自动调度更新和病毒库升级,每日定时杀毒,使用者也应经常手动扫描杀毒。
(五)各类软件安全管理
软件原始盘片应交信息技术部保管,软、硬件设备的原始资料(软盘、光盘、说明书及保修卡、许可证协议等)交信息技术部保管。
保管应做到防水、防磁、防火、防盗。
使用者必需的操作守册由使用者长借、保管.
(六)邮件安全管理
所有因公对外联系的电子邮件一律通过公司邮箱在自己的办公电脑上进行收发。
(七)日常工作信息安全
1.员工应对在自己公司电脑内公司机密信息的安全负责,当需暂时离开座位时必须立即启动屏幕保护程序并带有密码。
2。
员工有责任正确地保护分配给本人的所有计算机帐户。
3。
各部门经理及人事部应及时向信息技术部提供本部门及公司员工的人事及职位变动信息。
4。
每台公司电脑内必须安装反病毒软件并启动实时扫描程序.信息技术部可以提供最新杀毒软件.
5。
不得安装有可能危及公司计算机网络的任何软件,若实在有需要进行软件测试的必须将计算机脱离公司计算机网络进行单机操作.
6。
任何对公司内部计算机网络的黑客行为是绝对禁止的,一经查实将按公司有关规定严肃处理。
第七条信息技术部的安全措施如下:
(一)计算机网络设备安全管理
公司所有计算机及网络设备统一归信息技术部管理。
本办法所涉及产品的界定:
1.计算机是指为公司内部员工使用的PC机(包括CPU、硬盘、内存、机箱、显示器、主板、网卡、显卡、显示器、光驱、键盘和鼠标。
2。
网络设备是指公司内部使用的服务器、网络交换机、路由器、集线器、以及网络接入设备等。
3。
计算机其他配件是指公司备用的光驱、软驱等。
4。
附带软件包括计算机驱动盘、系统安装盘、程序安装盘等。
5。
包括计算机及耗材的采购计划、故障维修等项工作。
在员工电脑各组件老化或损坏,严重影响工作效率时,所在部门可申请以旧换新或报废处理。
若需要报废,按照规定办法执行,各部门不得擅自处理破旧的电脑或电子设备.报废的电脑硬盘必须消磁处理.
(二)公司所有输入输出设备统一归信息技术部管理
输入输出设备包括扫描仪,传真机,打印机.使用者在使用此相关设备遇到问题可寻信息技术部帮助.在使用设备过程中遇到故障要及时向信息技术部反映,以便信息技术部及时查找原因,解决故障。
(三)公司视频会议设备和视频监控设备统一由信息技术部管理
1。
视频会议设备包括视频会议服务器、视频会议终端、SONY摄像头、会议话筒、电视、投影仪以及键盘、接收器、遥控器和线材部分。
信息管理部负责以上设备的维护管理工作包括视频会议的搭建。
2.视频监控设备包括监控服务器、监控系统以及各路视频采集器。
信息管理部负责各路视频的监控以及备份和维护工作。
(四)核心业务系统、OA帐户安全管理
系统管理帐号的设置与管理
1。
核心业务系统、OA系统管理帐号必须经过主管领导授权取得。
2。
核心业务系统管理员负责核心业务系统帐套环境生成、维护,负责一般操作帐号的生成和维护,负责故障恢复等管理及维护;OA系统由集团数据中心统一管理、流程的建设和优化。
3。
核心业务系统、OA系统管理员对业务系统进行数据整理、故障恢复等操作,必须有相关部门的签字和领导的审批授权。
4.核心业务系统、OA操作用户需要增加或修改权限需要填写核心业务系统/OA用户权限申请表,并经过本部门负责人签字后交由信息技术部作权限相关处理。
5。
系统管理员不得使用他人帐号进行业务操作。
6。
系统管理员调离岗位或离职,信息技术部负责人应及时注销其帐号并生成新的系统管理员帐号。
(五)密码安全管理
1。
终端计算机密码安全管理:
电脑终端密码由用户自行管理,在用户人员变动或电脑更换时,系统管理员及时收回并更换密码。
2。
应用服务器密码安全管理:
包括核心业务系统服务器、OA服务器、域服务器、邮箱服务器。
信息技术部为确保服务器置于外网相对安全,针对每个服务器创建一个复杂的、不同的密码,并每年更换一次新密码.制成密码登记文件,并提交给部门负责人。
3.防火墙/路由器密码安全管理:
防火墙和路由器的密码和服务器管理方法一样,设置成不同的、复杂的密码,并每年更换一次,将密码登记到《网络设备密码登记文件》中,并提交给部门负责人。
4。
核心业务系统/OA系统密码安全管理:
核心业务系统/OA系统密码分为管理员密码和操作用户密码。
系统管理员登录密码由核心业务系统/OA管理员掌管,为保证系统安全需要定期更改时,及时上报部门负责人。
操作用户密码由核心业务系统/OA管理员在创建帐户时初始生成,信息技术部发放帐号密码后,由用户本人修改密码,并自行保管好自己的密码,如特殊原因忘记密码时,由核心业务系统/OA管理员帮其初始化密码.
信息技术部应将所有的服务器和网络设备设置不同的密码,所有的密码仅限于信息技术部内部人员掌握,不得向其他部门人员透露,在特殊情况下,需要供应商做远程调试时,方可透漏相关设备密码,在调试结束后,应尽快更改密码。
并通知部门内其他人员。
由于服务器及网络设备均置于公网上,容易受到不法分子攻击,因此,需要定期更改密码,且密码复杂性尽可能设置高.
(六)数据备份安全管理
定期备份核心业务系统服务器、OA服务器、邮箱服务器。
数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。
历次清理前的备份数据要根据备份策略进行定期保存或永久保存,并确保可以随时使用.数据清理的实施应避开公司网络应用高峰,避免对各部门工作造成影响。
(七)信息资料安全管理,在条件允许的范围内要求使用如下系统管理
1。
加密系统管理;使用的是文档加密系统,对常用办公软件office、pdf、AutoCAD文件加密,公司内部的此类文件被带出公司后,显示在其他的电脑上均为乱码,保证了各个部门在未授权的情况无法将公司的文件资料泄露出去.
2。
监控软件管理:
监控软件在很大程度上起到威慑作用,监控软件能够记录所有用户在个人电脑上的一举一动,通过实时屏幕监控、屏幕录象、插入存储设备报警、网页及程序过滤等功能及时抓出威胁公司信息安全的元凶.
3.打印控制软件管理:
打印控制软件应用后,员工的打印需要在管理员审核通过后方能打印,若管理员审核到某员工的打印内容涉及本公司信息安全,拒绝员工的打印。
在审核通过、打印完成后,管理员可随时调出以前的打印记录,保证了及时信息安全责任追究。
4。
设备送外维修,须经设备管理部门负责人批准。
送修前,需将设备存储介质内应用软件和数据备份后删除,并进行登记.对修复的设备,设备维修人员应对设备进行验收、病毒检测和登记。
5.信息技术部对报废设备中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用的资料和介质,防止泄密。
6.信息技术部负责计算机病毒的防治工作,建立公司的计算机病毒防治管理制度,经常进行计算机病毒检查,发现病毒及时清除.
7。
用户计算机未经信息技术部允许不准安装其它软件、不准使用来历不明的载体(包括软盘、光盘、移动硬盘等)。
(八)机房安全管理
严格按照《计算机机房管理制度》执行。
第八条构建信息安全,必须做到管理、技术两者双管齐下
(一)加强管理,综合防范。
安全体系是一个整体的、系统的工程,不是简单的“技术积木"。
它是技术、管理的有机结合体。
管理者必须以预防为主、综合管理、人员防范和技术防范相结合,逐级建立多层次的安全防护体系,综全防范实现分级阻止违规行为,实现一体化的安全系统.
(二)完善制度,强化培训.完善的信息安全管理制度是行业信息系统安全运行的基础保证。
为系统资源规定明确使用的权限,对员工按其职责划定必要的最小授权范围,明确安全责任.确保安全措施落实、有效,加强员工的信息安全教育和培训,强化安全意识和法治观念。
提高员工的职业道德和信息化应用水平。
第五章附则
第九条本办法由公司信息技术部解释。
第十条本办法自发文之日起实施.
升级会员 