企业信息安全管理工作标准.docx
《企业信息安全管理工作标准.docx》由会员分享,可在线阅读,更多相关《企业信息安全管理工作标准.docx(16页珍藏版)》请在咨信网上搜索。
1、信息安全管理工作标准一、范围本标准参考国家信息安全保护的相关标准及规定,特制定公司信息安全保护的相关技术规范和管理要求。本标准适用于公司以及公司下属城市事业部、控股公司,可作为各级信息安全职能部门制定、实施信息安全保护技术方案和日常信息安全管理的参考和指导依据。公司及城市事业部、控股公司的信息安全保护工作除执行本标准外,还应符合国家信息安全等级保护相关标准及规定。二、规范性引用文件GB 17859-1999 计算机信息系统安全保护等级划分准则GB/T 25028-2010 信息系统安全等级保护实施指南GB/T 22239-2008 信息系统安全等级保护基本要求三、术语和定义VLAN(Virtu
2、al Local Area Network)虚拟局域网是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网。ACL(Access Control List,ACL)访问控制列表,是路由器和交换机接口的指令列表,用来控制端口进出的数据包。桌面终端主要包括个人办公的台式机和笔记本。四、信息安全保护基本规定1.工作目标构建一个全面、完整、高效的信息安全体系,进而提高公司信息系统的整体安全防护能力,保护商业秘密,为公司的经营管理及业务发展提供坚实的信息安全保障。2.基本原则2.1“分类
3、保护,适度安全”原则根据各业务系统的重要程度以及面临的风险大小等因素,划分各信息系统的安全保护类别,实施分类保护、合理投资、集中资源优先保护涉及核心业务、承载关键信息的重要系统。2.2“内外并重”原则信息安全工作需要做到内外并重,既要规范内部人员行为,又要防范外部威胁,加强访问控制,提升监控和审计能力。 l2.3“技术与管理并重”原则信息安全不是单纯的技术问题,需要在采用安全技术和产品的同时,重视信息安全管理,不断完善各类安全管理规章制度和操作规程,从而全面提高信息安全管理水平。 2.4“三同步”原则信息安全建设应与业务系统同步设计、同步建设、同步运行,同时根据系统的应用类型、范围、企业依赖性
4、等因素的变化进行动态调整。 3.信息安全保护对象公司与公司下属城市事业部、控股公司的信息系统及与其所相关的信息资产均为信息安全保障体系的保护对象。公司信息资产分为以下七类:3.1物理环境支撑信息系统的场所、所处的周边环境以及场所内保障计算机系统正常运行的设施,包括机房、门禁、监控、电源、空调等。3.2人员资产与信息系统相关的人员,包括公司与公司下属城市事业部、控股公司的信息化管理人员、网络管理员、系统管理员、信息系统使用人员以及第三方人员等。 3.3网络资产构成信息系统网络传输环境的设备、软件和通信介质,包括路由器、交换机、防火墙、网络管理系统等硬件设备和软件系统。 3.4主机资产信息系统中承
5、载业务系统和软件的计算机系统、外围系统(不含网络设备)及其操作系统。主机资产包括各类Unix或linux服务器、Windows服务器、工作站和桌面终端、磁盘阵列、备份设备等硬件及其操作系统。 3.5平台资产支撑业务系统(包括生产系统和办公自动化等)的商业软件平台系统,包括各业务信息管理系统及相关的数据库、中间件、集成开发环境等。 3.6应用软件资产为生产业务和管理应用而开发的各类应用软件及其提供的服务,包括办公工具软件、专业应用软件等。 3.7数据资产计算机系统处理、存储和传输的数据对象,是信息系统的核心资产。4.职责4.1公司办公室作为公司整体信息安全保护工作的归口管理部门,负责制定公司信息
6、安全保护的管理办法和技术标准、对公司的信息资产进行妥善保护、指导公司下属城市事业部、控股公司信息安全保护工作的正常开展,同时监督检查各级企业的信息安全工作的开展落实情况,做好安全培训工作。4.2公司下属城市事业部、控股公司信息化主管部门负责参照本标准做好自身的信息资产的安全保护工作、指导检查下属单位或工程项目经理部的信息安全保护工作,并建立完善的信息化管理组织体系,做好安全培训工作。4.3各级信息员负责贯彻落实本标准对信息安全保障的规范及技术要求,做好自身负责的信息资产的安全保护工作,定期参加安全培训,提升安全意识和更新保护技能。4.4信息资产使用人员在信息资产的使用过程中,自觉严格参照本标准
7、的规范执行,不进行违章操作,不越权使用数据,保护好自己的数据安全,预防商业机密泄漏。五、信息系统安全类别划分为对信息系统更有针对性的进行保护,公司各级信息系统应划分类别,实施分类保护。根据系统承载业务在生产经营和管理中的重要程度、遭到破坏的信息系统对经营管理及经济利益的危害程度、破坏范围等因素,信息系统分为以下三类:A类系统:信息系统受到破坏后,不仅对企业整体造成损害,而且影响企业核心业务活动,妨碍公司整体生产经营活动,给公司造成经济损失,甚至造成不良社会影响。B类系统:信息系统受到破坏后,对公司多个部门或公司整体造成损害,影响公司多个部门的重要业务。C类系统:信息系统受到破坏后,对公司局部造
8、成损害,影响公司局部业务活动。六、A类系统1.物理安全物理环境是信息系统正常运转的外在基础保障,需要根据运行的信息系统安全类别,参照国家标准及规范进行建设并维护。A类系统需要遵循以下技术要求:1.1物理位置的选择机房和办公场地应选择具有防震、防风和防雨等能力的建筑内。1.2物理访问控制本项要求包括:(1)机房出入口应安排专人值守,控制、鉴别和记录进入的人员;(2)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。1.3防盗窃和防破坏本项要求包括:(1)应将主要设备放置在机房内;(2)应将设备或主要部件进行固定,并设置明显的不易除去的标记;(3)应将通信线缆铺设在隐蔽处,可铺设在
9、地下或管道中;(4)应对介质分类标识,存储在介质库或档案室中;(5)主机房应安装必要的防盗报警及监控设施。1.4防雷击本项要求包括:(1)机房建筑应设置避雷装置;(2)机房应设置交流电源地线。1.5防火机房应设置灭火设备和火灾自动报警系统。1.6防水和防潮本项要求包括:(1)水管安装不得穿过机房屋顶和活动地板下;(2)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;(3)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。1.7防静电关键设备应采用必要的接地防静电措施。1.8温湿度控制机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。1.9电力供应本项要求包括:
10、(1)应在机房供电线路上配置稳压器和过电压防护设备;(2)应提供短期的备用电力供应,至少满足关键设备在断电情况下仍能正常运行的要求。1.10电磁防护电源线和通信线缆应隔离铺设,避免互相干扰。2.网络安全2.1边界安全防护(1) 公司以及公司下属城市事业部在网络边界处必须部署防火墙系统或安全网关隔离外部网络,同时部署流控或上网行为管理设备进行网络控制。网络边界设备配置时尽量开放最少的端口,只对视频会议、接入网关等特殊应用nat全映射。(2)工程项目经理部或其他人数较少的分支机构应配备具备流控或上网行为管理功能的企业级网关或路由器,除视频会议、远程监控等特殊业务外,一般情况下禁止做端口映射。2.2
11、内网控制及防护(1)网络设备安全防护内网及边界网络设备不允许使用默认口令,设置口令必须符合安全的密码规范,至少8位且包含字母、符号、数字3种以上的字符,并且定期更换密码,统一管理。(2)VLAN及ACL应用内部网络中如果存在不同权限的用户,如工程项目经理部网络中有分包企业或监理单位等外部人员,需要采取VLAN隔离,并且根据不同权限设置访问控制策略(ACL),限制不同用户对相关信息资源的访问。2.3WiFi网络安全(1)企业网络中原则上不允许架设无密码的WiFi网络,如必须架设无密码公开WiFi,必须设置访问控制,不允许这些WiFi网络用户访问企业内网资源;(2)WiFi网络应由信息化专业人员搭
12、建,设置成WPA2模式的密码,有条件的情况下应部署WiFi网络用户审计系统。2.4网络运维管理(1)企业网络应由指定的网络管理员进行日常维护,若对防火墙策略或网络拓扑进行较大变更,则需要信息化部门主管的审批才能进行;(2)网络运维过程中应注意保存配置初始化及变更记录等资料;(3)应部署网络监控系统,对网络使用情况进行实时监控,保障重要信息系统的网络资源。3.服务器安全3.1操作系统安装原则操作系统按照最小化原则进行安装,达到服务器运行的应用需求即可,不允许安装多余的软件及控件。3.2系统身份鉴别配置(1)服务器密码设置必须符合相关的安全规范,至少8位且包含字母、符号、数字3种以上的字符;(2)
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 企业信息 安全管理 工作 标准
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【w****g】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【w****g】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。