企业信息安全管理规范

企业信息和技术安全工作指引1/4企业信息安全管理规范1目的：为保障信息设备正常运行、规范文件存储、保证数据安全、信息系统设备安全；2范围：信息设备安全、应用系统安全、数据数据安全、用户信息安全、权限对照表、用户授权申请、用户培训。3作业内容：3.1信息设备安全3.1.1定义：信息设备安全指的是计算机、服务器、路由器、交换机、视讯等相关IT类硬件设备的物理安全。3.1.2机房应选择在具有防震、防风和防雨等能力的建筑内。3.1.3机房应采取防电磁干扰措施，电源线和通信线缆应隔离，避免互相干扰，对重要设备和磁介质实施电磁屏蔽。3.1.4机房应采取防静电、防水的相关措施。3.1.5机房应安装门禁、防雷、监视、消防、报警设施。3.1.6计算机系统供电应与其他供电分开。供电线路应设置冗余或并行的电力电缆线路，应建立备用供电系统，以备常用供电系统停电时启用。3.1.7机房应配备UPS设备，以保证机房设备的电源能在发生断电的情况下维持机房所有设备的电源供应。3.1.8定时检查机房环境温度、湿度情况，确保温度控制在15℃~30℃的范围内，湿度控制在35%~65%的范围内，以保证机房设备和系统的正常运行。3.1.9重要服务器及相关设备必须放置在机房内，并固定在机柜的相应位置。3.1.10应将通信线缆铺设在隐蔽处，不允许祼线部署。3.1.11信息设备安全机房设施，IT部安排经授权人员专人管理，并设定电子门禁管制，未经授权人员不可进入。外来人员进出机房应办理登记手续，并由专业管理人员陪同。3.1.12未经许可，任何人不得擅自拆卸、搬移、更换主机及网络设备的部件；3.1.13使用者电脑由用户管理。3.1应用系统安全3.1.1定义：应用系统安全指的是服务器、客户端操作系统、软件应用系统，如：Windows操作系统、server2003/08系统，ERP、门禁、考勤、电话计费系统等。3.1.2应在主机操作系统中安装防病毒系统，并定期对服务器主机进行恶意代码查杀，及实时更新病毒库。企业信息和技术安全工作指引2/43.1.3防病毒系统应具有全方位网络恶意代码防护能力、集中管理与监控功能和系统自动更新功能，而且系统必须具有较好的兼容性，不能影响各应用系统的正常运行。3.1.4设定指定邮箱接收防病毒系统自动更新信息及查杀病毒信息，并定时每周/每月检查系统运行状态，查看日志记录，并予以分析处理。3.1.5所有主机应通过补丁服务器进行补丁统一自动分发。3.2网络安全3.2.1总体安全要求3.2.1.1应对计算机网络进行安全区域划分，不同安全区域具有不同安全等级，并采取相应的安全防护措施。一般情况下，可划为如下几个区域：办公内网：由本单位局域网内的服务器、客户端及相关设备组成的网络区域；业务专网：由集团公司及各级下属单位共同组成的通过专用VPN系统相连接的广域网络；3.2.1.2应在不同网络安全区域之间采取安全隔离措施。业务专网和办公内网之间物理隔离；3.2.1.3未经许可，不得更改本单位安全区域内的重要配置。各单位应设计和绘制与当前运行情况相符的网络拓扑结构图，当网络拓扑结构发生改变时，应及时更新。3.2.1.4公司的网络设备及带宽的性能应能满足本单位所需最大资源的要求，并通过流量分配措施对网络的各种应用合理分配相应的带宽，以保证重要应用系统的正常访问。3.2.1.5所有网络设备管理员帐号设置应满足安全性要求。口令长度应设置在8位字符以上、复杂度为数字、字母、特殊字符的组合，并且定期更新；当登录失败超过三次时结束会话连接并锁定账号30分钟以上，当网络登录连接超时自动退出。3.2.1.6应对所有网络设备进行日志审计。审计内容应包含事件的日期和时间、用户、事件类型、事件成功情况；应使用日志审计工具设置特定事件报警及生成日志报表；应做好网络设备日志的保存工作，保存期大于30天，保存的日志不可修改。3.2.2业务专网安全管理3.2.2.1业务专网采用统一的专用VPN系统组网。(办公内网采用硬件VPN方式接入业务专网；移动办公用户采用VPN单机连接方式接入业务专网；VPN连接必须采用安全的VPN连接协议，办公内网VPN互联必须采用硬件鉴权和口令双重认证。企业信息和技术安全工作指引3/43.2.2.2办公内网VPN互联应配置双物理线路，以提高网络可靠性。3.3数据安全及保密管理3.3.1数据库安全3.3.1.1数据库系统的管理员口令应设置为长度在8位字符以上、复杂性为数字、字母、特殊字符的组合，并且定期更新。3.3.1.2对于数据库系统应有严格的资源访问控制策略，访问控制细粒度应达到数据库表级。3.3.1.3应严格限制数据库系统的默认用户访问权限，及时删除不必要的临时账号和测试账号等。3.3.2数据备份3.3.2.1制定重要数据的备份与恢复方案，并建立相应的备份与恢复系统，要求如下：IT授权人员每天将船务、报关、财务等重要资料进行备份，以防遗失。IT部每周将船务、报关、业务、财务等重要备份资料进行刻录光盘或硬盘备份，以防备份数据恢复失败而存取不到相关资料。备份数据应定期每周提供一份至香港总部。任何未经授权许可人员不得随意将数据备份至其它电脑。所有资料数据不得存入电脑系统盘，以防遗失。相关人员在进行数据编辑处理时，应及时存盘，公司电脑统一设定为每15分钟会自动存盘一次。3.3.3保密管理3.3.3.1公司保密的信息资料包括但不限于：公司董事局资料，重大会议记录、纪要，保密期限内的重要决定事项；仅限经理级及以上人员阅览。公司的年度工作总结，财务预算决算报告，缴纳税款、营业报表和各种综合统计报表；仅限财务人员、公司高层阅览。公司有关销售业务资料；仅限业务部人员、公司高层阅览。货源信息和对供应商调研资料；仅限采购人员、授权人员及公司高层人员阅览。公司开发设计资料(包括技术图纸)，技术资料和生产情况,公司新的样板，样板单，公司规定的敏感产品等；仅限设计开发流程人员、QE人员、业务主管、公司高层阅览。客户提供的一切文件、重要信息资料等；限对口部门阅览。公司的安全防范状况及存在问题；仅限安全办、经理级人员阅览。公司员工违法违纪的检举、投诉、调查材料,发生案件、事故的调查登记资料；限行政管理人员阅览。公司、法人代表的印章、营业执照、财务印章、合同协议；限指定人员阅览。其它由公司定义的商业及技术、安全机密.企业信息和技术安全工作指引4/43.3.3.2公司的保密制度保密范畴内的文件、传真、邮件的收发登记、签收、催办、清退、借阅、归档由指定人员处理；凡涉及公司、客户机密文件资料的报废处理,必须由专人首先碎纸,不准未经碎纸丢弃处理；公司员工本人工作所持有的各种文件、资料、电子文档（磁碟，光盘等），当本人离开办公室外出时,须存放入文件柜或抽屉，不准随意乱放，未经批准，不能复制抄录或携带外出；未经公司领导批准,不得向外界提供公司及客户的任何保密资料；妥善保管好各种财务账册、公司证照、印章。3.3.3.3公司的保密措施公司与重要岗位人员签订《保密协议》，使公司的资料安全受法律保护；公司采购资料上锁、权限管制、定期检讨等措施确保资料及信息外泄、遗失、失窃等；公司中层以上领导,要自觉带头遵守保密制度。相关人员按公司要求签订“保密协议”；公司各部门要运用各种形式经常对所属员工进行保密教育,增强保密观念；全体员工自觉遵守保密基本准则,做到:不该说的机密，绝对不说,不该看的机密,绝对不看（含超越自己职责、业务范围的文件、资料、电子文档）；公司员工依照公司规定，保守公司秘密。发现他人泄密，应及时举报，同时公司应立即采取补救措施，避免或减轻损害后果；对泄密或非法获取公司秘密的行为及时检举投诉的，按照有关规定给予奖励；对员工因不遵守公司规定，造成泄密事件，依照有关法规及公司的相关制度,按厂规处理。严重者依法追究刑事责任。