《信息系统监理安全管理办法.docx》由会员分享,可在线阅读,更多相关《信息系统监理安全管理办法.docx(10页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息系统安全治理方法V0。1第一章 总则第一条 为加强和标准北京赛迪信息工程监理信息系统安全工作,进一步推动信息系统安全监理标准化工作,提高工程现场安全监理和文明实施治理水平,依据计算机信息网络国际联网安全保护治理方法公安部令第 33 号)、中华人民共和国计算机信息系统安全保护条例 1994 年国务院 147 号令、计算机信息系统安全保护等级划分准则GB 17859-1999)特制定本方法。其次条 本方法所称信息系统指公司一体化企业级信息系统,主要包括信息工程治理与效劳平台工程以下简称“云平台”和五大业务应用.“业务应用”包括电子政务、科研工程、通信工程、涉及国家隐秘的信息系统、工程治理和询问
2、等业务应用。第三条 本方法适用于公司总部、各分公司.现场安全监理和文明实施治理除应执行本方法外,尚应符合国家、省现行有关法律、法规和标准的规定 .当本方法高于国家现行相关标准时,以本方法为准。第四条 有关信息系统安全的根本概念、方针、原则和制度一)有关安全的几个根本概念1、信息系统安全在信息系统工程中,信息安全涵盖了人工和自动信息处理的安全。信息系统安全包括:软件安全和硬件网络安全两局部.在信息系统安全定义中,人是指信息系统应用的主体,包括:l 各类用户l 支持人员l 技术治理人员l 行政治理人员等2、网络指以计算机、网络互连设备、传输介质以及操作系统、通信协议和应用程序所构成的物理和规律的完
3、整体系。3、环境是系统稳定和牢靠运行所需要的保障体系,包括:l 建筑物l 机房l 电力l 保障与备份l 应急与恢复体系等(二安全生产的方针安全生产的方针:安全第一,预防为主。(三 安全生产原则“三同时”原则但凡我国境内建、改建、扩建的根本建设工程工程、技术改造工程工程和引进的建设工程,其劳动安全卫生设施必需符合国家规定的标准,必需与主体工程同时设计、同时施工、同时投入生产和使用;“五同时”原则-企业的生产组织及领导者在打算、布置、检查、总结、评比生产的时候,同时打算、布置、检查、总结、评比安全工作;“四不放过”原则在调查处理安全事故时,必需坚持事故缘由分析不清不放过,事故责任者和群众没有受到教
4、育不放过,没有实行切实可行的防范措施不放过和事故责任者没有被处理不放过的原则;“三个同步“原则安全生产与经济建设、企业深化改革、技术改造同步规划、同步进展、同步实施的原则。(四安全生产制度安全生产制度:安全生产责任制、安全教育制度、安全检查制度和事故报告制度。其次章 信息系统安全治理职责第五条 公司信息系统安全治理实行统一领导、分级治理。各部门主要负责人是本单位信息系统安全第一责任人,各部门信息安全治理领导小组负责本单位信息系统安全重大事项决策和协调工作。第六条 信息系统安全纳入公司安全治理体系,实行专业治理、归口监视.公司工程技术支持与效劳部是信息系统安全的治理部门,负责治理各业务系统的安全
5、保障工作。第七条 公司工程技术支持与效劳部主要职责:(一)落实国家有关信息系统安全法规、方针、政策、标准和标准,联系国家有关部门落实信息系统安全治理相关工作;二组织制定公司信息系统安全治理规章制度和标准标准;(三指导、协调和检查各部门信息系统安全工作,组织落实公司信息系统等级保护制度,统筹开展公司信息系统风险评估和安全检查工作;四在公司应急体系框架内,负责公司信息系统应急治理相关工作;(五开展涉密计算机网络和系统立项、设计和建设,做好信息系统安全与保密检查;六)负责标准公司信息系统安全产品的测评和选型工作. 第八条 各职能部门职责:一)负责贯彻落实国家有关信息系统安全法规、方针、政策、标准和标
6、准, 贯彻落实公司信息系统安全相关规章制度和技术标准 ,建立健全本单位信息系统安全标准制度和标准体系;二)负责落实本单位范围内信息系统安全工作责任制;三在公司信息职能治理部门指导下,落实本单位信息系统等级保护制度、信息系统风险评估和安全检查等工作;四按公司信息系统应急体系要求建立本单位信息系统应急体系,组织本单位信息系统安全突发大事的应急处理;五负责明确本单位信息系统安全运行维护部门或机构,落实信息系统安全运行维护日常工作,具体落实信息系统安全等级保护和安全策略;(六组织本单位信息系统安全的宣传和培训。第三章 治理措施第九条 不断建立健全信息系统安全治理制度体系,通过操作规程实现安全治理和操作
7、人员的标准化作业;定期对信息系统安全治理制度进展检查和审定,对存在缺乏或需要改进的安全治理制度准时进展修订。第十条 严格遵守“涉密不上网、上网不涉密”纪律,严禁将涉密计算机与互联网和其他公共信息网络连接,严禁在非涉密计算机和互联网上存储、处理国家隐秘。严禁在信息外网计算机上存储和处理涉及企业隐秘的信息。严禁涉密移动存储介质在涉密计算机和非涉密计算机及互联网上穿插使用。第十一条 严格信息系统安全工作人员录用过程,审查其身份、背景、专业资格, 关键岗位应签署保密协议;准时终止离岗员工的全部访问权限;严格外部人员访问程序,对允许访问人员实行专人全程伴随或监视,并登记备案.第十二条 严格依据国家有关部
8、门要求,开展公司网络与信息系统定级、审批、备案工作。针对确定的网络与信息系统安全等级,要依据等级保护有关要求 ,落实必要的治理和技术措施,严格执行等级保护制度。第十三条 建信息系统涉及安全防护措施建设,应明确安全需求,确定安全等级, 结合公司安全防护总体策略,进展安全防护方案设计;依据国家有关规定和坚持鼓舞使用国产化产品原则,开展安全产品选购,必要时开展产品预先选型测试; 加强软件开发治理,确保开发环境与实际运行环境安全隔离;托付有资质的第三方测试单位对系统进展安全性测试,并出具安全性测试报告;对测试不符合要求的,在整改后要重测试。系统试运行前,要开展相关安全培训。第十四条 加强信息系统运行维
9、护全过程治理:(一严格执行信息机房治理有关标准,确保机房运行环境符合要求,严格机房出入治理。要编制信息系统资产清单,建立资产治理制度,依据资产重要程度对资产进展标识.二)对信息系统软硬件设备选型、选购、使用等实行标准化治理,建立相应操作规程,对终端计算机、工作站、便携机、系统和网络等设备实行标准化作业. 强化存储介质存放、使用、维护和销毁等各项措施。三依据最小效劳配置和最小授权原则,对安全策略、安全配置、日志和操作等方面做出具体规定,明确各个角色的权限、责任和风险;具体记录日常操作、运行维护记录、参数设置和修改等内容,严禁任何未经授权的操作;定期开展运行日志和审计数据分析工作,准时觉察特别行为
10、。准时依据需要进展软件升级更,并在更前做好备份;定期进展漏洞扫描,准时觉察安全漏洞并进展修补; 准时安装补丁程序,在安装补丁前做好测试和备份工作。四)准时升级防病毒软件,加强全员防病毒、木马的意识,不翻开、阅读来历不明的邮件;要指定专人对网络和主机进展恶意代码检测并做好记录,定期开展分析;加强防恶意代码软件授权使用、恶意代码库升级等治理。(五严格系统变更、系统重要操作、物理访问和系统接入申报和审批程序, 建立健全变更治理制度。保证全部与外部系统的连接均得到授权和批准 ,进展必要的安全隔离,配置严格的访问把握策略,开展必要的安全评估。六)建立和执行密码使用治理制度,使用符合国家密码治理规定的密码
11、技术和产品。七对信息网络与系统运行状况等进展监测和报警;定期对监测和报警记录进展分析,依据需要实行必要的应对措施;应建立安全治理中心,对安全设备、恶意代码、补丁升级、安全审计等安全设施进展集中治理。八严格依据有关信息系统事故调查规定,准时报告信息系统事故状况, 认真开展信息系统事故缘由分析,坚持“四不放过“原则,有效落实整改,确保类似事故不再发生。严格执行有关公司网络与信息系统安全运行状况通报制度 , 做好定期、节假日和特别时期的网络与信息系统安全运行状况报送工作。第十五条 严格执行公司有关信息系统安全风险评估治理规定 ,切实将信息系统安全风险评估工作常态化和制度化,准时落实整改,准时消退信息
12、系统安全隐患。依据国家和公司要求,定期开展信息系统安全检查工作,做好特别时期安全检查和安全保障工作。第十六条 不断完善应急预案,加强培训和演练,确保人力、设备等应急保障资源可用。第十七条 建立备份与恢复治理相关安全治理制度,严格把握数据备份和恢复过程,妥当保存备份记录,定期执行恢复程序.要切实依据需要开展业务应用容灾系统建设。第十八条 切实加强网络信任体系建设规划工作,不断完善公司安全认证系统相关技术标准和功能标准。强化信任体系应用工作 ,做好信息系统统一身份认证, 以及重要信息的加密和签名工作。第十九条 切实加强员工信息系统安全培训,提高全员信息系统安全意识;强化信息系统安全人员专业技能培训
13、,做到培训工作有打算、有总结,培训效果有评价. 要对关键岗位人员进展全面、严格的安全审查和技能考核,对在信息系统安全工作中做出显著成绩的单位和人员应赐予嘉奖和表彰。对违反国家法律、法规和公司有关规定,造成确定不良影响和后果的,要追究其责任。第四章 技术措施其次十条 依据国家和公司有关规定,对机房建筑设置符合要求的避雷装置、灭火和火灾自动报警系统;实行防雨水措施,防止雨水、水蒸气结露和地下积水; 设置温、湿度自动调整设施,把握机房温、湿度在设备运行所允许范围之内,保证双路供电,电源线和通信电缆应隔离,避开相互干扰;承受接地方式防止外界电磁干扰和设备寄生耦合干扰。其次十一条 加强网络安全技术工作:
14、一网络核心交换机、路由器等网络设备要冗余配置,合理安排网络带宽; 建立业务终端与业务效劳器之间的访问把握;依据需要划分不同子网 ;对重要网段实行网络层地址与数据链路层地址绑定措施。二承受防火墙或入侵防护设备 IPS)对内网边界实施访问审查和把握; 对进出网络信息内容实施过滤,对应用层常用协议命令进展把握 ,网关应限制网络最大流量数及网络连接数。严格拨号访问把握措施。三加强内部用户私自访问外部网络行为的检测工作,要能够准时觉察, 准确定位,有效阻断;对重要网段,应承受入侵检测系统进展监控,对入侵大事准时供给报警。其次十二条 加强系统安全技术工作:一对操作系统和数据库系统用户进展身份标识和鉴别,具
15、有登录失败处理,限制非法登录次数,设置连接超时功能;用户访问不得承受空账号和空口令, 口令要足够强健,长度不得少于 8 位.(二)严格限制匿名用户的访问权限;实现操作系统和数据库系统特权用户访问权限分别,对访问权限全都的用户进展分组,访问把握力度应到达主体为用户级, 客体为文件、数据库表级。三把握单个用户的多重并发会话和最大并发连接数,限制单个用户对系统资源、磁盘空间的最大或最小使用限度,当系统效劳水平降低到预先规定的最小值时,应能检测并报警。其次十三条 严格网络、系统安全审计工作,安全审计系统应定期生成审计报表, 自动进展备份,审计记录应受到保护,避开删除、修改或破坏。其次十四条 重要和敏感信息实行加密传输和存储;对重要信息实行自动、定期备份;对门户网站页面,要具有防篡改机制和措施。其次十五条 严格用户帐号及口令治理,使用强健简洁口令,定期更换口令,杜绝使用空口令;定期开展用户终端计算机数据备份工作,准时安装系统补丁程序, 准时更杀病毒程序,加强移动存储介质治理。第五章 附则其次十六条 本方法由北京赛迪信息工程监理负责解释并催促执行。其次十七条 各分公司、各单位可依据本方法制定实施细则,报北京赛迪信息工程监理备案。第三十六条 本方法自印发之日起执行。