企业信息安全综合管理办法

企业信息安全管理办法（讨论稿）一、总则保障信息安全，切实推行安全管理，积极预防风险，完善控制措施。本办法适用于公司所有在职员工。二、定义信息化设备：通指公司配发给每一位员工的，用于从事信息化工作的硬件设备，以及支撑公司正常运作的网络和服务器设备等，主要包括：台式计算机、笔记本电脑、服务器、网络交换机、防火墙、路由器以及各类软件应用平台和软件开发环境等。信息化主管部门：由公司委托对公司所有信息化系统、安全、人力实施管理的部门。三、信息化设备管理3.1严禁将公司配发给员工用于办公的计算机转借给非公司员工使用，严禁将公司配发的笔记本电脑带回家使用，严禁利用公司信息化设备资源为第三方从事兼职工作。3.2公司所有硬件服务器统一放置在机房内，由公司指定的信息主管部门承担管理职责，由专人负责服务器杀毒、升级、备份。3.3非本单位技术人员对我单位的设备、系统等进行维修、维护时，必须由本单位相关技术人员现场全程监督。计算机设备送外维修，必须经过部门负责人批准，并登记备案。3.4严格遵守计算机设备使用及安全操作规程和正确的使用方法。任何人不允许私自处理或找非本单位技术人员对信息化设备进行维修及操作，不得擅自拆卸、更换或破坏信息化设备及其部件。3.5计算机的使用部门和个人要保持清洁、安全、良好的计算机设备工作环境，禁止在计算机应用环境中放置易燃易爆、强腐蚀、强磁性等有害计算机设备安全的物品。3.6原则上公司所有终端电脑、服务器都必须设定开机登录密码和屏幕保护密码，对于交换机、防火墙、路由器等网络设备也必须设置管理密码。3.7公司所有终端电脑、服务器都必须安装正版杀病毒软件，系统管理员必须对服务器进行定期杀毒、病毒库升级、补丁修复。四、系统管理员安全管理4.1公司所有服务器，由公司指定的信息化主管部门实施统一、集中管理。4.2系统管理员管理权限必须经过公司管理层授权取得。4.3各部门拥有各类服务器的使用权，核心业务部门还拥有相应服务器的管理权，核心业务部门拥有服务器的管理权由公司批准后授予。4.4系统管理员负责各服务器的操作系统环境生成、维护，负责常规用户的运维和管理。4.5系统管理员对业务系统进行数据整理、备份、故障恢复等操作，必须有其上级授权，在完成备份后交由公司指定的备份管理部门保存,并做好备份管理登记。4.6系统管理员调离岗位，上级管理者或负责人应及时注销其管理密码并生成新的管理密码。五、密码与权限管理5.1密码设置应具有安全性、保密性，不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码，也是保护用户自身权益的控制代码。密码设置不应是名字、生日、重复、顺序、规律数字等容易猜测的数字和字符串；5.2密码应每月定期修改，如发现或怀疑密码遗失或泄漏应立即修改，并在设置在机房的密码管理登记薄上记录用户名、修改时间、修改人等内容。5.3服务器、防火墙、路由器、交换机等重要设备的管理密码由信息主管部门指定专人（不参与系统开发和维护的人员）设置和管理，并由密码设置人员将密码装入密码信封，在启封出加盖个人名章或签字后交给密码管理人员存档并登记。如遇特殊情况需要启用封存的密码，必须经过相关部门负责人同意，由密码使用人员向密码管理人员索取，使用完毕后，须立即更改并封存，同时在：“密码管理登记薄”中登记。有关密码授权工作人员调离岗位，有关部门负责人须指定专人接替并对密码立即修改或用户删除同时在“密码管理登记薄”中登记。六、信息安全管理6.1公司每一位员工都有保守公司信息安全放置泄密的责任，任何人不得向工地以外的任何单位或个人泄露公司技术和商业机密，如因学术交流或论文发表涉及公司技术或商业机密，应提前向公司汇报，并在获得批准同意后，方能以认可的形式对外发布。6.2定期对公司重要信息包括软件代码进行备份，管理人员实施备份操作是，必须有两人在场，备份完成后，立即交由备份管理部门封存保管。6.3存放备份数据的介质包括U盘、移动硬盘、光盘和纸质，所有备份介质必须明确标识备份内容和时间，并实行异地存放。6.4计算机重要信息资料和数据存储介质的存放、运输安全和保密由公司指定的备份管理部门专人负责，保证存储介质的物理安全。6.5任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让废弃或销毁必须严格按照程序进行逐级审批，以保证备份数据安全完整。6.6数据恢复前，必须对原环境的数据进行备份，防止有用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行，出现问题时由技术部门进行现场技术支持。数据恢复后，必须进行验证、确认，确保数据恢复的完整性和可用性。6.7数据清理前必须对数据进行备份，在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或则永久保存，并确保口语随时使用。数据清理的实施应避开业务高峰期避免对联机业务运行造成影响。6.8需要长期保存的数据，数据管理部门须与相关部门指定转存方案，根据转存方案的查询使用方法要在介质有效期内进行转存，防止存储介质过期失效，通过有效的查询、使用方法保证数据的完整性和可用性。转存的数据必须有详细的文档记录。6.9非本单位技术人员对本公司的设备、系统等进行维修、维护时，必须由本公司相关技术人员现场全程监督。计算机设备送外维修，须经设备管理机构负责人批准。送修前，需将设备存储介质内的应用软件和数据等涉经营管理的闲心备份后删除，并进行登记。对修复的设备，设备维修人员对应设备进行验收、病毒检测和登记。6.10管理部门应对报废设备中存有的程序、数据资料进行备份后清楚，并妥善处理废弃无用的资料和介质，防止泄密。6.11信息主管部门须指定专人负责计算机病毒的防范工作，建立本单位的计算机病毒防治管理制度，经常进行计算机病毒检查，发现病毒及时清除。7、机房安全管理7.1进入信息机房的授权只能限制在公司指定的信息主管部门的系统管理人员和直属上级领导，以及由公司批准进入实施系统施工及运维的技术人员，其他任何人，未经允许，不得进入。7.2机房实行门禁管理，进入机房时，应当有两人在场，并登记“机房出入管理登记薄”，记录出入机房时间、人员和操作等内容。7.3系统施工及运维人员进入机房必须经信息管理部门负责人许可，其他人员进入机房必须经公司领导许可，并由有关人员陪同。机房人员出入登记表必须如实记录来访人员名单、进入机房时间、来访内容等。非信息部门工作人员原则上不得进入中心对系统进行操作。如遇特殊情况必须操作时，经主管部门负责人批准同意后在相关人员陪同情况下进行。对操作内容进行记录，由操作人和监督人签字后备案。中心机房实行严格门禁管理制，及时发现和排除主机故障，根据业务应用要求及运行操作规范，确保业务系统的正常工作。实行机房定期例行检查制度，并就机房设备运行及其他情况做好值日记录。7.4保持机房整齐清洁，各种中心设备按维护计划定期进行保养。计算机机房中保持恒温、恒湿、电压稳定，做好静电防御和防尘等项工作，保证主机系统的平稳运行，定期对机房空调运行的湿度/温度进行测试。并做好记录，通过实际测量各项参数发现问题及时解决，保证机房空调的正常运行。7.5机房内严禁吸烟、吃东西、会客、聊天等。不得进行与业务无关的活动。严禁携带液体和食品进入机房，严禁携带易燃、易爆、有腐蚀等危险品进入机房。7.6机房管理人员严禁违章操作，严禁私自将外来软件带入机房使用。7.7严禁在通电的情况下拆卸，移动机房内等相关设备的部件及网络。7.8定期检查机房消防设备器材，做好检查登记，在机房值日记录上并做书面登记。7.9机房内不准随意放置储蓄介质和有关业务保密数据资料，对废弃储蓄介质和业务保密资料要及时销毁（碎纸），不得做普通垃圾处理。严禁机房内的设备、储蓄介质、资料、工具等私自出借或带出。7.10机房应配备后备电源（UPS），每年必须对UPS电源电池深充放电两次。八、代码管理8.1源代码日常管理流程源代码管理是技术研发过程的日常管理，主要包括源代码提交、源代码审阅、异常协调等几个环节。源代码结构设定源代码结构是指源代码在版本管理服务器上存放的文件夹结构。源代码结构的设定由项目实施负责人决定。源代码结构设定有几项基本要求：必须设置文档文件夹：每一个独立项目或子项目源代码文件内，至少设定一个docs或doc文件夹以存放仅与该项目相关技术文档和参考资料；必须考虑支持库：源代码结构中，应考虑具体项目所引用的非标第三方支持库或框架的存放位置；必须可以直接编译：源代码结构必须是可直接编译结构。即任何一台新装计算机，在安装了必要的开发环境软件以后，通过从版本管理服务器上签出整套源代码后，应该可以直接完成编译。17:00提交17:00提交是指项目实施期间，所有参与开发的技术人员，每日17:00必须将当日所编制的源码或技术文档提交至版本管理服务器。源代码及技术文档提交有如下几项要求：任何一次提交都必须对所提交内容进行注释；提交注释必须包含的信息项包括：所属模块或功能（必须与项目实施进度计划一致）、性质（正常开发、修改BUG、扩展功能）、状态（编码中（进度百分比）、调试通过、独测通过、联测通过）、更新说明（本次提交所涉及修改部分的简要说明）。提交注释必须以下图示例格式为准。所提交源码必须是编译无错版本。17:30审阅17:30审阅是指项目实施负责人，每日下班前审阅版本服务器上所有下属技术人员所提交的源代码和技术文档。源代码审阅有以下几点审阅标准：下属技术人员必须全员按时提交；所有提交必须附有符合要求的提交注释；各人所提交的内容必须与既定的项目实施进度计划安排一致；审阅过程中，凡不符合上述任一条标准的，则表示当日源码提交出现异常。项目实施负责人应立即进行协调，未按时提交者督促其即刻提交；没有附提交注释或注释不符合要求者，补充提交注释；提交内容与既定项目实施进度计划安排不一致者，要进行沟通和协调，保证参与实施人员的每日工作均按既定计划分步实施。进度计划更新项目实施负责人，通过17:30审阅和必要的简短沟通，确认各在执行子任务的真实进度，并以此为准更新进度计划文档。版本库布局版本库按项目布局，每一个项目建立一个独立的版本库，项目版本库下设置trunk和branches两个文件夹，分别用于存放原始项目资料和起源于原始项目的分支项目。每一个项目分支都应该有含义明确的命名，并以分支名称在branches文件夹下建立子文件夹。分支文件夹的结构与trunk文件夹结构一致。trunk文件夹下设置working和locked两个文件夹，其中working为工作文件夹，参与项目的开发人员有改写权限。locked文件夹为定版文件夹，项目开发人员无权访问，项目实施负责人有改写权限。品监部有签出权限。working文件夹下设置docs和projects两个文件夹，其中docs文件夹存放项目相关设计文档，projects文件夹存放各子项目工程文件夹。docs和projects文件夹以下子文件夹结构不做限定，但对于C/S类项目建议在projects文件夹下设置server和client两个文件夹，分别存放服务端子项目资料和客户端子项目资料。项目定版项目定版是指项目研发实施到某个进度计划中设定的里程碑状态或其他特定状态时，整体提交的一个阶段性版本。一些既定的定版包括：系统联机调试定版、内测定版、演示定版、实测定版、发布定版、升级定版。对于项目定版有如下要求：项目所有子项目、子模块源码均编译无错；编译所成系统可联机运行；所有技术文档与实现源码一致；项目定版由项目实施负责人组织实施，实施过程在源代码库上面体现为：working文件夹下最新版本的源码和文档被一次性完整的提交到locked文件夹。项目定版操作建议：将locked文件夹检出(Checkout)一个副本到本地文件夹；将working\docs和working\projects两个文件夹导出(Export)到locked副本文件夹，覆盖locked文件夹下的原文件；提交(Commit)locked文件夹；项目定版提交必须附提交注释，注释内容必须包含的项目包括：定版目的（联机调试、内测、演示、实测、发布、升级）、版本特性。其中