网络与信息安全工作管理办法

网络与信息安全工作管理办法世茂房地产控股有限公司资讯科技部内部资料，未经同意，请勿翻印版本修订日期修订人审核人目录第一节安全组织原则......................................................................................................................3第二节安全组织结构......................................................................................................................3第一节概述..................................................................................................................................4第二节安全规划与建设..................................................................................................................4第三节物理安全管理......................................................................................................................5第四节人员安全管理......................................................................................................................6第五节安全培训..............................................................................................................................7第六节信息资产安全管理.............................................................................................................8第七节安全运维管理....................................................................................................................10第八节安全事件处理....................................................................................................................10第九节应急计划............................................................................................................................11第十节系统开发与维护................................................................................................................11第十一节符合性............................................................................................................................14第十二节管理审计与评估...........................................................................................................14第十三节奖惩................................................................................................................................15第一节概述................................................................................................................................16第二节访问控制............................................................................................................................16第三节身份认证............................................................................................................................16第四节冗余恢复............................................................................................................................17第五节日志审计与响应................................................................................................................17第六节内容安全............................................................................................................................18文档1第1页/共23页第一章总则第一条随着上海世茂投资管理有限公司（以下简称：上海世茂）信息系统规模越来越大，随之带来的安全问题也不断增多，为及时快速处理各种故障和安全事件，防范与化解安全风险，保障网络连续性以及高质量的服务水平，特制定《上海世茂网络与信息安全工作管理办法》，以下简称“本办法”。第二条本办法依据《中华人民共和国计算机信息系统安全保护条例》，参考《ISO27001信息安全管理体系规范》而制定。第三条本办法的适用范围包括上海世茂信息系统在规划、设计、开发、建设和运行维护过程中所涉及到的各种安全问题，包括组织管理、物理安全、操作系统安全、应用安全、数据安全、网络架构安全、安全事件处理。第四条上海世茂网络与信息安全工作的管理原则1.整体规划，分步实施：需要对网络与信息安全工作进行整体规划，分步实施，逐渐建立完善的网络与信息安全体系。2.三同步原则：安全系统应与业务系统及网络同步规划、同步建设、同步运行。3.适度安全：安全具有相对性和动态性的特点，必须做好安全建设的成本效益分析，在安全性和投入成本之间、安全性和易用性世茂房地产标准化文档文档1第2页/共23页之间做好平衡工作。第五条本办法中的安全是指信息系统的安全。第二章安全组织管理第一节安全组织原则第六条上海世茂安全工作管理由信息化领导小组统一来制定。第二节安全组织结构第七条成立上海世茂网络与信息安全领导小组，全面负责上海世茂网络与信息安全各项工作。第八条领导小组下设IT总监，贯彻“信息化领导小组”的安全管理决策，作为执行管理机构。资讯科技部作为信息安全工作的主要执行机构，负责信息安全日常工作，IT总监下属包括应用和运维两个专业工作组。第三章安全策略第九条上海世茂安全策略体系是用于指导上海世茂的安全管理工作，明确信息安全的工作职责、内容、方法和流程的一套文档，它覆盖了IT系统的整个生命周期，对系统和网络的规划、设计、建设、运维以及检查评估都提出了相应的安全要求。文档1第3页/共23页第十条上海世茂安全策略由资讯科技部、各部门提出需求，由资讯科技部组织制定。第十一条上海世茂的安全策略由上海世茂信息安全领导小组批准和发布，由资讯科技部组织宣传和培训，并监督各部门执行落实。第十二条资讯科技部及各专业工作小组负责检查和考核策略的贯彻和实施，并建立安全策略违反报告制度。第十三条资讯科技部建立安全策略定期审核更新的制度和机制，定期对安全策略的有效性进行审核，并根据情况进行更新。第四章安全管理制度第一节概述第十四条为做好上海世茂网络与信息安全管理，必须做好安全规划和建设，完善物理环境安全，加强工作人员安全管理和教育，建立信息资产安全管理制度。完善安全运维、事件处理、应急响应等安全工作。第二节安全规划与建设第十五条上海世茂安全规划明确安全建设原则，为网络与信息安全建设明确建设方向和蓝图。第十六条安全规划小组要根据上海世茂现有情况做好安全世茂房地产标准化文档文档1第4页/共23页规划工作，制定近期（1～2年）总体安全规划和中长期（3～5年）安全建设目标，制定网络建设规划和人员计划，满足信息系统正常安全保障并适应未来的发展战略。第十七条安全规划应考虑信息安全管理体系和安全技术架构的建设，根据网络发展规划适度超前建设，并考虑统一安全管理要求和统一安全技术基础设施。第十八条应在上海世茂信息系统规划、设计、开发、实施、运维的整个生命周期中各个阶段充分考虑并实施安全控制措施。第十九条在特殊情况下，应预先明确风险，并指出应采取的控制措施。第二十条应对网络与系统建设过程中存在的安全风险进行严格的安全过程控制。第三节物理安全管理第二十一条物理安全管理的目标是通过加强工作环境安全，防止对上海世茂工作场所和信息资源的非法访问、破坏和干扰。第二十二条相关部门应按照上海世茂关于机房建设及管理等标准，对机房场地与设施进行安全建设，并进行分级、分区安全管理。机房安全建设和改造应通过资讯科技部的安全审批和验收，并建立、健全严格的机房安全管理制度。第二十三条信息资产主管部门及使用部门必须保证关键或敏文档1第5页/共23页感的数据信息处理设备放置在安全的区域，并使用适当的物理防护设备和访问控制手段。第二十四条应加强办公区的物理访问控制。第四节人员安全管理第二十五条信息安全管理人员应当政治过硬、业务素质高、遵纪守法、恪尽职守。第二十六条应建立相应制度以及相应技术手段加强对第三方人员的安全管理。第二十七条违反国家法律、法规和行业规章受到处罚的人员，不得从事信息安全管理工作。第二十八条信息安全管理人员调离岗位，必须办理调离手续，承诺其调离后的保密义务。第二十九条信息安全岗位人员必须具备相应的资质并签定保密协议。信息安全管理人员应定期接受政治思想教育、职业道德教育和安全保密教育。第三十条信息安全管理人员职责：(1)负责计算机安全管理的日常工作；(2)开展计算机安全检查工作，对要害岗位人员安全工作进行指导；世茂房地产标准化文档文档1第6页/共23页(3)开展计算机安全知识的培训和宣传工作；(4)监控计算机安全总体状况，提出安全分析报告；了解行业动态，为改进和完善计算机安全管理工作，提出安全防范建议；(5)及时向计算机安全工作领导小组和有关部门、单位报告计算机安全事件。第三十一条信息安全管理人员发现本单位所使用信息系统中的重大安全隐患，有权向上级报告。第三十二条信息安全管