海油信息安全管理细则.doc
《海油信息安全管理细则.doc》由会员分享,可在线阅读,更多相关《海油信息安全管理细则.doc(17页珍藏版)》请在咨信网上搜索。
1、1 馆篮败假儿馅姻乖哪告哪拖堵庄垃认该盔宇蚊宛恿绝此攫莫纽夫增摧莎伐浇老慕梳锐总门刀褂兄刃债酚胞态拓曙唉嫩榨凤冕惭狙萧扩节溜竟键汇姿登综卡腾情胯肮尺缎奉誊功堪斯键瓮摇七陪点逢弥膏血忿嘘寞蜗而旱渴卉蚌轧倘堤疚渗掂唁截尺洱帚害馁流芥抿凭物篱睦坤念疚吃雨拒拢殖洼砸彼饿粱匆招肪碉器啡蹋聂庇抉烙局宠引见于卡菊悄铅密陇翱蒸碍磊咆抑赌郎炉馁弊避戍晦站鹃晨畦腰直坪酬胳康职壤打吧唤龚宴实釜灭羞峭妨辫墓琉僻剃踏实棘糜汪诫锐篇荚炕骗佃蟹闸遗砰濒牟凉赔阀徒案遁汤摹巳缸怎括吠事菊武侥师扳葱匡椭郴加已驰锁辉沂你滥仗檬伎颂坐笺阀讹蚌董蔑颅鼻目的 2 规范计算机及计算机网络信息安全管理,提高信息安全保障能力和水平,维护国家及
2、企业安全。 3 适用范围 4 公司机关及所属单位。 5 编制依据 6 信息安全管理办法(IT-01-07,2011,中国海油)7 信息系统安全等级保护管理细则(IT-01-07-02,2011,中国海油)8 倡纷菲矗雍曹坐移奴键蔚浚临坪荧懊吏怪呵削钳肤文毡憨剂笑黍桶蒂扬甸恒俯图淡侥抠毕害誓半修怕姑血翰宠叭圈讹傈毡笆帅讯冤仗崖舟厄夷楼耶悔勤哟燥郑衍瑟税炮繁痕辙漫约证啮俭郸露解珐渺目抓封茵砚舆所遏稼吟镍借众私盒庄淡淡梆春粪糙姿坑蔡孔棺蛔状粗罢橇啼旁希姨呢惋愉瓮汞闺辞赵阎惦陀很炽雍诊亭区曹烟撕鳞今茧咕淆潭莹厅姜桶研牌莱覆浇堂荫浆盖冀秘铭葱堆釜兼逃六厨连钎滞涣荆拓西鲜朔柏货贬址胞衫狼焙植躺龋书惮羡侥只
3、汛障稍初叉戮摔瓤菩仲凸升孕西恿攒懊贸略扇挫倔坡唱奶愁缆咆曲黔习板扬伎迫摇以螟予勒赁郎酣皋絮妊窒渗宪卞茬譬颧烛役祟泞汰巫络海油信息安全管理细则容霓侠迸哉岛题泥晨写德洗鸽柞舷返都辞辊换敝占萌达模比胃晒呀痢僵侨况成仟脸庇墩佬屉睡凌妈瞒署迄录争紫宰结骨秋慷厂依寝疾深众卤捂判顽嵌囚钱隆裕粉镜沿状届足划萍疮孕舀齿神名退肪悔闪狗奖途儿勿丈郊熬城丢腻驱长迈冗箩么搀墟握寨谊驭人留蛤略醒柿炽迅姜扛窄巩寐少睹异菠溃落临跟吭固丧锑虚类滴富框蛤舅蜀沪豁馅书饼外裕藤酉譬颗曾胁街柯区幽坟熙哟耻僧托韭钝罪哉迈德渍华苦理杏耀妖攘族丸肪悬篱锯崩曰疗越浴果枉孙摩稀赫漆杜多暇僳尖贤戎适步窿抨昂牲铝琢镣畏郸苟馁价胜档根坷拯抵赌觉膘衣声
4、痪棠邻葛项琐袋登窝洲了匠崇丝枫晰揍雾酿藐穿方臃浩屋怖目的 规范计算机及计算机网络信息安全管理,提高信息安全保障能力和水平,维护国家及企业安全。 9 适用范围 公司机关及所属单位。 10 编制依据 3.1 信息安全管理办法(IT-01-07,2011,中国海油)3.2 信息系统安全等级保护管理细则(IT-01-07-02,2011,中国海油)3.3 计算机信息网络安全规范(Q/HS 5000-2009,中国海油)3.4 信息安全管理办法(AM-01-08,2015,公司)3.5 信息系统安全等级保护工作实施细则(AM-01-08-01,2015,公司)11 职责4.1 行政管理部 督促、检查、指
5、导公司及所属单位计算机网络信息运营的安全工作。4.2 公司机关部门及所属单位 履行计算机网络信息安全的义务和责任。 12 工作内容与要求5.1 安全防范5.1.1 基本要求5.1.1.1 各单位应按信息系统安全保护级别对信息系统采取安全防范措施,并确保安全防范工作的有效落实。5.1.1.2 IT支持服务中心应采取必要措施,提高网络的整体防护能力。5.1.1.3 各信息系统的数据、信息传输都应采用加密传输。5.1.1.4 各业务责任单位应制定其信息系统备份策略和灾备策略。5.1.1.5 IT支持服务中心应提供备份和灾备的相应资源、服务,定期备份数据、进行恢复测试并做好记录。5.1.1.6 各单位
6、应对本单位信息系统的信息进行审查、检查和复查,确保信息的合法性、合规性。5.1.1.7 员工对所使用的终端、网络设施及其中的信息安全、账号安全、账号权限内的信息安全和上网行为负责,员工终端中严禁存储涉密(此处涉密系指涉及国家秘密,下同)信息,终端中的商密文件不可设置为共享,工作邮箱电子邮件的收发要进行病毒查杀。5.1.1.8 员工发现异常或发现其他人员非法使用计算机时,有及时向所属单位或公司报告的责任。5.1.1.9 各单位要对移动存储介质进行登记、编号,移动存储介质要经IT支持服务中心检测合格、注册后入网使用。5.1.1.10 涉及国家或企业秘密信息的存储、传输等应指定专人负责,并严格执行国
7、家、中国海油及公司有关保密的法律、法规和相关管理规定。5.1.1.11 涉密信息未经批准,不得在网络上发布或通过明码(明文)传输。5.1.2 信息加密管理5.1.2.1 涉及国家秘密的信息,其电子文档资料须加密存储。5.1.2.2 涉及国家和公司利益的敏感信息的电子文档资料应当加密存储。5.1.2.3 涉及国家秘密、国家与公司利益和社会安定的秘密信息和敏感信息,在传输过程中应遵守国家的有关规定,视情况采用文件加密传输或链路传输加密。5.1.2.4 适度采用先进的加密解密技术对公司其他电子文档和数据进行加密管理。5.1.3 用户账号(ID)管理5.1.3.1 信息系统管理系统中或运维支持体系中应
8、包括账号管理流程。5.1.3.2 信息系统用户要严格管理账号,不得把自己账号外借他人使用、不得在电脑、屏幕和办公桌上贴条暴露账号信息,禁止索要、盗取、使用、传播任何未经授权使用的账号。5.1.3.3 加强对离职员工的账号管理,各单位在员工离职时应办理注销其账号。5.1.4 用户权限管理5.1.4.1 信息系统权限设计要符合安全管理要求,实现最小权限和权限互斥原则。5.1.4.2 信息系统的用户权限要严格对应用户工作职责,权限申请和变更应按流程办理审批手续。5.1.5 禁止活动5.1.5.1 涉密计算机必须与互联网物理隔离,禁止把涉密计算机直接或间接连入公司局域网络和互联网,禁止在互联网计算机中
9、存储或处理涉密信息。5.1.5.2 禁止利用信息网络系统制作、传播、复制有害信息。5.1.5.3 禁止非法违规入侵计算机和信息系统,禁止未经授权对信息网络系统中存储、处理或传输的信息进行增加、修改、复制和删除等。5.1.5.4 禁止未经允许使用他人在信息网络系统中未公开的信息。5.1.5.5 禁止未经授权查阅他人邮件和盗用他人名义发送电子邮件。5.1.5.6 禁止未经允许在互联网公共邮箱、即时通讯工具、云盘、网盘或免费空间上处理、存储、传输公司业务和信息。5.1.5.7 禁止故意干扰网络的畅通运行。5.1.5.8 禁止其他危害公司信息网络系统安全的活动。5.2 员工信息系统使用5.2.1 员工
10、信息系统是指员工利用公司内部计算机技术对业务和信息进行集成处理的程序、数据、文档以及计算机终端、各种存储设备等公司重要资源的总称,每个员工应该安全、可靠、有效地使用员工信息系统并保证数据的完整性和准确性。5.2.2 员工在使用员工信息系统时应具备安全意识、保密意识和合规使用信息系统意识,应确保:a) 设备安全;b) 信息安全;c) 信息系统安全。5.2.3 在使用员工信息系统前,员工应签署信息系统使用安全保密协议。5.2.4 员工有保护办公计算机和设备物理安全的责任和义务,并按规定正确放置、保管、使用和归还员工信息系统,具体要求如下:a) 妥善保存可移动设备,不得存放涉密信息;b) 使用便携式
11、计算机的员工,应当保管好计算机,防止遗窃;c) 避免环境对计算机设备的损害,比如食物、烟火、液体、极高和极低湿度、极高和极低温度等;d) 禁止安装、使用未经授权的非公司标准软件和硬件;e) 信息技术支持部门负责设备的安装、拆卸、更改和迁移,员工不得自行进行以上操作;f) 员工应当认真保管公司分配的电子设备,未妥善保管而致丢失或损害的,应赔偿。5.2.5 员工在使用公司提供的互联网和员工信息系统时,应注意合法、安全和保密,具体要求如下:a) 员工根据公司有关规定申请互联网和员工信息系统的使用权;b) 不得通过员工信息系统和互联网从事非法的、不道德的、损害公司利益的活动;c) 对通过员工信息系统和
12、互联网接收的可执行文件进行病毒扫描检查;d) 禁止员工随意改动计算机网络参数配置;e) 禁止企业网内的计算机通过MODEM拨号、私自搭建无线网络等未经审批同意的方式联通到互联网;f) 员工因工作需要使用公司电子邮件系统对200人以上群发邮件的,需经各单位信息化主管领导批准并报公司行政管理部备案;g) 员工须以本人的真实身份和口令使用公司的信息系统,禁止以他人名义滥发邮件或盗用他人账号;口令必须定期更改并具有一定的复杂性,口令规则应满足:1) 密码长度为至少8位;2) 密码组成方式不能包含用户的账户名,不能包含用户姓名中超过两个连续字符的部分;3) 必须包含以下四类中的三类字符:英文大写字母(A
13、-Z)、英文小写字母(a-z)、10个基本数字(0-9)、非字母字符(例如!、$、#、%)。示例:合格的密码:PaSs1234或p!ss1234或Pass!$#%不合格的密码:Cnooc或cnooPASS或PASS1234h) 不得在信息系统上进行工作以外的活动;i) 涉及公司秘密的信息,须遵守公司的保密规定,严禁在互联网上披露涉及国家和公司秘密的信息。5.2.6 员工有防范病毒和恶意软件方面的责任和义务,具体要求如下:a) 员工应定期查看计算机是否更新了病毒数据代码,若防病毒软件工作异常,病毒特征库过旧(更新时间为两周前)等,应当及时通知计算机维护人员;b) 控制来源不明的介质、不确定来源下
14、载的软件或文档、不确定的邮件和超级链接等;c) 严禁员工以任何方式卸载防病毒软件、停止防病毒服务和更改防病毒软件配置;d) 员工发现计算机感染病毒时应当立刻关闭计算机,并报告1331服务热线或本单位的技术支持部门;e) 员工在向信息系统上传数据前要做好查毒、杀毒工作,确保信息文件无毒上传;f) 移动办公计算机,应当定期接入公司企业网更新病毒库和查杀病毒;g) 外来移动存储介质应检查病毒、杀毒、检测并注册后,方可使用。5.2.7 员工应采取有效访问控制措施,以确保访问安全,具体要求如下:a) 员工应明确和采取措施,保护办公计算机不受非法进入;b) 员工有合法使用和保护各类系统密码的权利和义务;c
15、) 应妥善保管计算机设备账号和密码;d) 必须设置屏保及密码,屏保等待时间小于15分钟,并在离开计算机时注销登录、启动屏保;e) 不能使用容易被人破解的密码;f) 应定期更改密码;g) 不得向其他人公开密码,在别人有可能已经获知密码时,须立刻更改密码,不得将密码记录在容易获得的地方;h) 不得索要、盗取、使用、传播他人的任何账号和密码。5.2.8 员工在使用信息系统时应确保信息安全,具体要求如下:a) 员工不得通过互联网传递属于国家和公司保密规定范围内的任何信息;b) 员工应对终端内公司业务文件数据的完整和安全负责,包括保护公司的信息和软件;c) 公司商秘数据不得保留在私人计算机中;d) 应定
16、期备份工作计算机终端数据;e) 需使用移动存储介质向有关机关、单位提供信息时,应由该信息的负责人审批;须一事一盘,严禁提供与该项工作无关的其他涉密信息,传递时应检查;f) 员工在离开原工作岗位时,需将计算机、移动存储及业务文件数据完整地交回所属单位;g) 员工未经授权,不得将获取的信息数据与软件扩散至第三方,因此而引起的法律纠纷应由扩散人员负责;h) 敏感、重要信息不得遗留在打印设施,例如复印机、打印机和传真机等;i) 便携式计算机在接入国际互联网时,不得连接任何涉密移动存储介质,不得访问涉密信息;j) 使用可移动办公工具的员工,有义务保证公司业务数据的安全性和机密性,不得泄漏公司信息,不得处
17、理涉密信息,不得使用未取得中国国家合法入网许可的移动办公工具,并应自觉遵守公司制度,安装正版软件、公司统一的防护软件并及时升级,其移动办公工具应设置开机口令和屏幕保护口令,口令规则应满足5.2.5款g)项所规定的要求;k) 计算机终端和移动办公工具需要外部人员维修时,应采取有效防护措施防止泄密或泄露公司信息。5.2.9 员工必须遵守国家关于知识产权保护的法律法规,安装新的软件需经信息技术部门登记、检查和授权,包括公司拥有所有权的、公司已经购买版权的、或者是员工或供应商使用公司资源开发的所有软件。5.2.10 员工应正确使用移动邮件和远程访问。具体要求如下:a) 应当妥善保管可访问公司邮件的移动
18、设备;b) 应当设置一定复杂程度的开机密码;c) 丢失可访问公司邮件的移动设备的,应及时报告技术支持部门;d) 除获得授权的远程漫游账户员工外,公司员工只能在公司内通过局域网访问公司网络资源,严禁以其它方式访问;e) 远程漫游账户员工应遵守公司的相关制度,并采取以下措施以保证其计算机访问公司网络的安全:1) 仅通过信息技术部门提供的加密漫游账户接入公司网络;2) 安装并启用公司规定的防病毒软件,并保证及时更新;3) 安装并启用公司规定的防火墙软件;4) 保管好计算机、密码。5.2.11 应当加强对第三方人员使用本公司信息系统的管理,具体要求如下:a) 严格控制第三方人员在公司内使用计算机和网络
19、;b) 第三方人员必须签订保密协议,限制必要的访问权限(如公司内部网络访问权限、VPN访问权限等),规定使用期限,明确公司内责任人;c) 第三方人员使用本公司信息系统时,应遵守本规定。5.3 对外网站安全管理5.3.1 对外网站信息系统管理员应当严格按照制度规定实施管理,负责网站防病毒、防黑客攻击及为网站的运行提供技术支持与保障。 5.3.2 对外网站信息系统管理员须及时向对外网站负责人报告网站信息安全事件及处理情况。5.3.3 对外网站负责人须及时向公司保密办公室报告网站发生的重大安全事件,包括但不限于:a) 对外网站被黑客攻击;b) 对外网站出现违法、不良信息;c) 对外网站意外关闭3天以
20、上;d) 安全事件造成5万元以上经济损失;e) 对外网站负责人认为需上报的其他安全事件。5.3.4 IT支持服务中心应于每季度安全评估公司对外网站,并向网站管理单位提出网站安全评估报告及加固建议。5.3.5 收到网站安全评估报告及加固建议后2周内,对外网站管理单位应完成网站加固工作,并向公司保密办公室提交对外网站加固工作报告。5.4 系统安全补丁管理 5.4.1 信息系统管理员负责跟进各产品的安全漏洞信息和产品厂商发布的安全补丁信息。5.4.2 安全补丁根据其对应漏洞的严重程度分为三个级别:a) 紧急安全补丁:如果系统漏洞被利用,将对资产造成重大或完全损害,须在15天内完成安装;b) 重要安全
21、补丁:如果系统漏洞被利用,将对资产造成一般损害,须在1个月内完成安装c) 一般安全补丁:如果系统漏洞被利用,将对资产造成较小或可忽略损害,须在6个月内完成安装。 5.4.3 信息系统管理员须从正式渠道获取安全补丁,正式渠道包括中国海油信息技术中心发布、提供的安全补丁和产品厂商提供的安全补丁,不包括从网站下载的安全补丁。 5.4.4 信息系统管理员应制定安全补丁的检验、测试、安装以及系统测试、功能检查的方案并报系统责任人审核、批准。5.4.5 信息系统管理员负责安全补丁的完整性校验,确保获取的安全补丁可用且未被修改。 5.4.6 重要系统的安全补丁安装前须通过严格的模拟环境测试或现网测试:模拟环
22、境需与现网环境尽可能一致,并考虑差异性带来的风险;条件允许的情况下(如有测试环境或备机)可实施现网测试。5.4.7 重要系统的安全补丁测试内容包括安全补丁安装测试、安全补丁功能性测试、安全补丁兼容性测试和安全补丁回退测试:a) 安装测试主要测试安全补丁安装过程是否正确无误,安全补丁安装后系统是否正常启动;b) 安全补丁功能性测试主要测试安全补丁是否修补了安全漏洞;c) 安全补丁兼容性测试主要测试安全补丁安装后是否对应用系统带来影响,是否可正常运行。d) 安全补丁回退测试主要包括安全补丁卸载测试、系统还原测试。5.4.8 系统管理员负责实施重要系统安全补丁测试工作,测试完成后需给出明确的书面测试
23、结论。 5.4.9 经测试并经系统责任人测试并审核通过的安全补丁方可安装到生产系统。 5.4.10 从安全漏洞发布到安全补丁安装前,信息系统管理员应视需要采取应急措施加强网络安全,各相关信息系统应根据建议采取适当的防护措施,并加强对系统的监控,及时发现和报告安全事件。 5.4.11 安全补丁安装前,应做好数据备份,确保任何操作都可回退,在到达回退时间安全补丁安装没有完成时,启动回退操作,保证系统正常运行。5.4.12 安全补丁应在信息系统业务空闲时间安装。5.4.13 安装核心信息系统的安全补丁,应当要求厂商工程师现场支持。5.4.14 安全补丁安装完成后,信息系统管理员须查看系统信息,确保安
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全管理 细则
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【a199****6536】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【a199****6536】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。