信息安全管理制度規(guī)范內(nèi)部公布日期2023年8月1.1總則……………錯誤!未定義書簽。1.2環(huán)境管理………1.3資產(chǎn)管理………1.4介質(zhì)管理………1.5設(shè)備管理………1.6系統(tǒng)安全管理…………………錯誤!未定義書簽。1.7惡意代碼防備管理…………1.8變更管理……1.9安全事件處置…………………錯誤!未定義書簽。1.10監(jiān)控管理和安全1.11數(shù)據(jù)安全管理…………………錯誤!未定義書簽。1.12網(wǎng)絡(luò)安全管理……1.13操作管理………………………錯誤!未定義書簽。1.14安全審計管理措施……………錯誤!未定義書簽。1.15信息系統(tǒng)應(yīng)急預(yù)第1條為明確崗位職責(zé)，規(guī)范操作流程，保證企業(yè)信息系統(tǒng)的安全，根據(jù)《中華人民共和國計算機(jī)第2條信息系統(tǒng)是指由計算機(jī)及其有關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的，按照一定的應(yīng)用第3條信息安全系統(tǒng)遵照安全性、可行性、效率性、可承擔(dān)性的設(shè)計原則，將從物理安全、網(wǎng)絡(luò)安12機(jī)房場地應(yīng)防止設(shè)在建筑物的高層或地下室，以及用水設(shè)備的123231主機(jī)房盡量避開水源，與主機(jī)房無關(guān)的給排水管道不得穿過主機(jī)房，與主機(jī)房有關(guān)的給排水管道必須有可靠的防滲漏措施；2應(yīng)采用措施防止雨水通過機(jī)房窗戶、屋頂和墻壁滲透。121應(yīng)采用接地方式防止外界電磁干擾和設(shè)備寄231機(jī)房各出入口應(yīng)安排專人值守或配置電子門別和記錄進(jìn)入的人員。2需進(jìn)入機(jī)房的來訪人員應(yīng)通過申請和審批流程，并限制和監(jiān)控3應(yīng)對機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間應(yīng)用物理方式隔斷，在重要區(qū)域前設(shè)置交付或安裝等過渡區(qū)域；4重要區(qū)域應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員。1234第3條出入機(jī)房要有登記記錄。非機(jī)房工作人員不得進(jìn)入機(jī)房。外來人員進(jìn)機(jī)房參觀需經(jīng)保密辦同第4條進(jìn)入機(jī)房人員不得攜帶任何易燃、易爆、腐蝕性、強(qiáng)電磁、輻射性、流體物質(zhì)、食品等對設(shè)第5條機(jī)房內(nèi)應(yīng)按規(guī)定配置足夠量的消防器材，并做到三定(定位寄存、定期檢查、定期更換)。加強(qiáng)防火安全知識教育，做到會使用消防器材。加強(qiáng)電源管理，嚴(yán)禁亂接電線和違章用電。發(fā)第7條每天上班前和下班后對機(jī)房做平常巡檢，檢查機(jī)房環(huán)境、電源、設(shè)備等并做好對應(yīng)記錄(見第3條根據(jù)資產(chǎn)的重要程度對資產(chǎn)進(jìn)行標(biāo)識管理。第4條對信息分類與標(biāo)識措施作出規(guī)定，并對信息的使用、傳播和存儲等進(jìn)行規(guī)范第4條對介質(zhì)在物理傳播過程中的人員選擇、打包、交付等狀況進(jìn)行控制，對介質(zhì)歸檔和查詢等進(jìn)第5條對存儲介質(zhì)的使用過程、送出維修以及銷毀等進(jìn)行嚴(yán)格的管理，對帶出工作環(huán)境的存儲介質(zhì)進(jìn)行內(nèi)容加密和監(jiān)控管理，對送出維修或銷毀的介質(zhì)應(yīng)首先清除介質(zhì)中的敏感數(shù)據(jù)，對保密第6條根據(jù)數(shù)據(jù)備份的需要對某些介質(zhì)實行異地存儲，存儲地的環(huán)境規(guī)定和管理措施應(yīng)與當(dāng)?shù)叵嗨频?條對重要數(shù)據(jù)或軟件采用加密介質(zhì)存儲，并根據(jù)所承載數(shù)據(jù)和軟件的重要程度對介質(zhì)進(jìn)行分類第4條對終端計算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進(jìn)行規(guī)范化管理，按操作規(guī)程實現(xiàn)重要設(shè)備(包括備份和冗余設(shè)備)的啟動/停止、加電/斷電等操作第2條根據(jù)系統(tǒng)設(shè)計方案和應(yīng)用系統(tǒng)運(yùn)行規(guī)定進(jìn)行主機(jī)系統(tǒng)安裝、調(diào)試，建立系統(tǒng)管理員賬戶，設(shè)置管理員密碼，建立顧客賬戶，設(shè)置系統(tǒng)方略、顧客訪問權(quán)利和資源訪問權(quán)限，并根據(jù)安全第3條建立系統(tǒng)設(shè)備檔案(見表二)、包括系統(tǒng)主機(jī)詳細(xì)的技術(shù)參數(shù)，如：品牌、型號、購置日期、序列號、硬件配置信息、軟件配置信息、網(wǎng)絡(luò)配置信息、系統(tǒng)配置信息，妥善保管系統(tǒng)主機(jī)第5條每周通過系統(tǒng)性能分析軟件對系統(tǒng)主機(jī)進(jìn)行運(yùn)行性能分析，并做詳細(xì)記錄(見表四),根據(jù)分第6條每周對系統(tǒng)日志、系統(tǒng)方略、系統(tǒng)數(shù)據(jù)進(jìn)行備份，做詳細(xì)記錄(見表四)。第7條每天檢查系統(tǒng)主機(jī)各硬件設(shè)備與否正常運(yùn)行，并做詳細(xì)記錄(見表五)。第8條每天檢查系統(tǒng)主機(jī)各應(yīng)用服務(wù)系統(tǒng)與否運(yùn)行正常，并做詳細(xì)記錄(見表五)。第10條在系統(tǒng)主機(jī)發(fā)生故障時應(yīng)及時告知顧客，用最短的時間處理故障，保證系統(tǒng)主機(jī)盡快正常運(yùn)行，并對系統(tǒng)故障狀況做詳細(xì)記錄(見表六)。12操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理顧客身份鑒別信息應(yīng)不易被冒足規(guī)定并定期更換?？诹铋L度不得不大于8位，且為字母、數(shù)字或特殊字符的3啟用登錄失敗處理功能，可采用結(jié)束會話、限制非法登錄次數(shù)和自動退出等措4當(dāng)對服務(wù)器進(jìn)行遠(yuǎn)程管理時，采用必要措施，防止鑒別信息在網(wǎng)絡(luò)傳播過程中5為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不一樣顧客分派不一樣的顧客名，保證顧客名具有1啟用訪問控制功能，根據(jù)安全方略控制顧客對2根據(jù)管理顧客的角色分派權(quán)限，實現(xiàn)管理顧客的權(quán)限分離34限制默認(rèn)帳戶的訪問權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳51保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)顧客的鑒別信息所在的存儲給其他顧客前得到完全清除，無論這些信息是寄存在硬盤上還是在內(nèi)存中。2保證系統(tǒng)內(nèi)的文獻(xiàn)、目錄和數(shù)據(jù)庫記錄等資源所在的存1操作系統(tǒng)應(yīng)遵照最小安裝的原則，僅安裝必要的組件和應(yīng)升級服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時得到更新，補(bǔ)丁2可以檢測到對重要服務(wù)器進(jìn)行入侵的行為，可以記錄型、襲擊的目的、襲擊的時間，并在發(fā)生嚴(yán)重入侵事件3可以對重要程序的完整性進(jìn)行檢測，并具有完整1在本機(jī)安裝防惡意代碼軟件或獨(dú)立布署惡意代碼防護(hù)設(shè)備，并及時更新防惡意2支持防惡意代碼的統(tǒng)一管理。3主機(jī)防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不一樣的惡意1通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限23根據(jù)需要限制單個顧客對系統(tǒng)資源的最大或最4對重要服務(wù)器進(jìn)行監(jiān)視，包括監(jiān)視服務(wù)器的CPU、硬盤、5可以對系統(tǒng)的服務(wù)水平減少到預(yù)先規(guī)定的最小值進(jìn)行第2條根據(jù)網(wǎng)絡(luò)系統(tǒng)安全設(shè)計規(guī)定制定、第3條每日對涉密計算機(jī)進(jìn)行安全審計，及時處理安全問題，并做詳細(xì)記錄(見表十八),遇有重大第4條涉密計算機(jī)的新增、變更、淘汰需經(jīng)保密部門審批，審批通過后由安全保密管理員統(tǒng)一進(jìn)行操作，并做詳細(xì)記錄(見表十八)。第5條新增涉密計算機(jī)聯(lián)入涉密網(wǎng)絡(luò)，需經(jīng)保密辦審批，由安全保密管理員統(tǒng)一進(jìn)行操作，并做詳細(xì)記錄(見表十八)。1啟用訪問控制功能，根據(jù)安全方略控制顧客對2根據(jù)管理顧客的角色分派權(quán)限，實現(xiàn)管理顧客的權(quán)限分離34限制默認(rèn)帳戶的訪問權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些56對重要信息資源設(shè)置敏感標(biāo)識，系統(tǒng)不支持設(shè)置敏感標(biāo)識7根據(jù)安全方略嚴(yán)格控制顧客對有敏感標(biāo)識重要信息第2條定期進(jìn)行漏洞掃描，對發(fā)現(xiàn)的系統(tǒng)安全漏洞及時進(jìn)行修補(bǔ)。第3條安裝系統(tǒng)的最新補(bǔ)丁程序，在安裝系統(tǒng)補(bǔ)丁前，首先在測試環(huán)境中測試通過，并對重要文獻(xiàn)第4條根據(jù)操作手冊對系統(tǒng)進(jìn)行維護(hù)，詳細(xì)記錄操作日志，包括重要的平常操作、運(yùn)行維護(hù)記錄、第5條定期對運(yùn)行日志和審計數(shù)據(jù)進(jìn)行分析，以便及時發(fā)現(xiàn)第7條根據(jù)信息系統(tǒng)的設(shè)計規(guī)定及實行細(xì)則安裝、調(diào)試、配置信息設(shè)置管理員密碼，密碼規(guī)定由數(shù)字和字母構(gòu)成，辨別大小寫，密碼長度不得低于8位。數(shù)據(jù)文獻(xiàn)存貯目錄，在信息系統(tǒng)配置信息發(fā)生變化時及時更新記錄(見表三)。第9條每周對信息系統(tǒng)系統(tǒng)數(shù)據(jù)、顧客ID文獻(xiàn)、系統(tǒng)日志進(jìn)行備份，并做詳細(xì)記錄(見表四),備第10條當(dāng)信息系統(tǒng)顧客發(fā)生增長、減少、變更時，新建顧客帳戶，新建顧客郵箱，需經(jīng)保密單位審批，并填寫系統(tǒng)顧客申請單或系統(tǒng)顧客變更申請單(見表七),審批通過后，由系統(tǒng)管理員進(jìn)第12條每天檢查信息系統(tǒng)各項應(yīng)用功能與否運(yùn)行正常，并做詳細(xì)記錄(見表五)。第13條在信息系統(tǒng)發(fā)生故障時，應(yīng)及時告知顧客，并用最短的時間處理故障，保證信息系統(tǒng)盡快正常運(yùn)行，并對系統(tǒng)故障狀況做詳細(xì)記錄(見表六)。第1條通過培訓(xùn)及標(biāo)識提高所有顧客的防病毒意識，及時告知防病毒軟件版本，在讀取移動存儲設(shè)備上的數(shù)據(jù)以及網(wǎng)絡(luò)上接受文獻(xiàn)或郵件之前，先進(jìn)行病毒檢查，對外來計算機(jī)或存儲設(shè)備接第3條定期檢查信息系統(tǒng)內(nèi)多種產(chǎn)品的惡意代碼庫的升級狀況并進(jìn)行記錄，對主機(jī)防病毒產(chǎn)品、防病毒網(wǎng)關(guān)和郵件防病毒網(wǎng)關(guān)上截獲的危險病毒或惡意代碼進(jìn)行及時分析處理，并形成報表和第2條建立變更管理制度，系統(tǒng)發(fā)生變更前，向主管領(lǐng)導(dǎo)申請，變更和變更方案通過評審、審批后第4條建立中斷變更并從失敗變更中恢復(fù)的文獻(xiàn)化程序，明確過程控制措施和人員職責(zé)，必要時對第2條制定安全事件匯報和處置管理制度，明確安全事件的類型，規(guī)定安全事件的現(xiàn)場處理、事件第3條根據(jù)國家有關(guān)管理部門對計算機(jī)安全事件等級劃分措施和安全事件對本系統(tǒng)產(chǎn)生的影響，對第4條制定安全事件匯報和響應(yīng)處理程序，確定事件的匯報流程，響應(yīng)和處置的范圍、程度，以及第6條對導(dǎo)致系統(tǒng)中斷和導(dǎo)致信息泄密的安全事件應(yīng)采用不一樣的處理程序和匯報第1條對通信線路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行狀況、網(wǎng)絡(luò)流量、顧客行為等進(jìn)行監(jiān)測和報第2條信息安全專人組織有關(guān)人員定期對監(jiān)測和報警記錄進(jìn)行分析、評審，發(fā)現(xiàn)可疑行為，形成分第1條凡波及企業(yè)機(jī)密的數(shù)據(jù)或文獻(xiàn)，非工作需要不得以任何形式轉(zhuǎn)移，更不得透露給他人。離開第2條計算機(jī)終端顧客務(wù)必將重要數(shù)據(jù)寄存在計算機(jī)硬盤中除系統(tǒng)盤分區(qū)(操作系統(tǒng)所在的硬盤分第3條計算機(jī)終端顧客未做好備份前不得刪除任何硬盤數(shù)據(jù)。對重要的數(shù)據(jù)應(yīng)準(zhǔn)備雙份，寄存在不一樣的地點；對采用磁性介質(zhì)或光盤保留的數(shù)據(jù)，應(yīng)做好防磁、防火、防潮和防塵工作，并據(jù)傳播保密性；1提供數(shù)據(jù)當(dāng)?shù)貍浞菖c恢復(fù)功能，對重要信息進(jìn)行備份，數(shù)據(jù)備份至少每天一次，已經(jīng)有數(shù)據(jù)備份可完全恢復(fù)至備份執(zhí)可恢復(fù)性進(jìn)行定期演習(xí)，備份介質(zhì)場外寄存。(增強(qiáng))2提供異地數(shù)據(jù)備份功能，運(yùn)用通信網(wǎng)絡(luò)將關(guān)鍵用場地；3應(yīng)提供重要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系第1條信息安全專人對網(wǎng)絡(luò)進(jìn)行管理，負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的平常維護(hù)和報警信息分析和第5條保證所有與企業(yè)外部網(wǎng)絡(luò)的連接均得到授權(quán)和同意。第6條根據(jù)安全方略容許或者拒絕便攜式和移動式設(shè)備的網(wǎng)第7條未進(jìn)行安全配置、未裝防火墻或殺毒軟件的計算機(jī)終端，不得連接企業(yè)網(wǎng)絡(luò)和服務(wù)器。企業(yè)員工應(yīng)定期對所配置的計算機(jī)終端的操作系統(tǒng)、殺毒軟件等進(jìn)行升級和更新，并定期進(jìn)行病第8條計算機(jī)終端顧客應(yīng)使用復(fù)雜密碼，并定期更改。企業(yè)員工應(yīng)妥善保管根據(jù)職責(zé)權(quán)限所掌握的第9條IP地址為計算機(jī)網(wǎng)絡(luò)的重要資源，企業(yè)員工應(yīng)在信息專人的規(guī)劃下使用這些資源，不得私自更改。對于影響網(wǎng)絡(luò)的系統(tǒng)服務(wù)，企業(yè)員工應(yīng)在信息專人的指導(dǎo)下使用，嚴(yán)禁隨意啟動、關(guān)11.1網(wǎng)絡(luò)系統(tǒng)運(yùn)行維護(hù)管理措施第2條根據(jù)網(wǎng)絡(luò)系統(tǒng)設(shè)計方案和實行細(xì)則安裝、調(diào)試、配置網(wǎng)絡(luò)系統(tǒng)，包括互換機(jī)配置、路由器配第3條建立系統(tǒng)設(shè)備檔案(見表二),包括互換機(jī)、路由器的品牌、型號、序列號、購置日期、硬件配置信息，詳細(xì)記錄綜合布線系統(tǒng)信息配置表，互換機(jī)系統(tǒng)配置，路由器系統(tǒng)配置，網(wǎng)絡(luò)拓第4條每天檢查網(wǎng)絡(luò)系統(tǒng)設(shè)備(互換機(jī)、路由器)與否正常運(yùn)行。第5條每周對網(wǎng)絡(luò)系統(tǒng)設(shè)備(互換機(jī)、路由器)進(jìn)行清潔。第9條當(dāng)網(wǎng)絡(luò)系統(tǒng)發(fā)生故障時，應(yīng)及時告知顧客，并在最短的時間內(nèi)處理問題，保證網(wǎng)絡(luò)系統(tǒng)盡快正常運(yùn)行，并對系統(tǒng)故障狀況作詳細(xì)記錄(見表六)。第2條根據(jù)網(wǎng)絡(luò)系統(tǒng)安全設(shè)計規(guī)定安裝、配置瑞星網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)，包括服務(wù)器端系統(tǒng)配置和客第3條每日監(jiān)測防病毒系統(tǒng)的系統(tǒng)日志，檢測與否有病毒入侵、安全隱患等，對所發(fā)現(xiàn)的問題進(jìn)行及時處理，并做詳細(xì)記錄(見表八)。第4條每周登陸防病毒企業(yè)網(wǎng)站，下載最新的升級文獻(xiàn)，對第6條每日瀏覽國家計算機(jī)病毒應(yīng)急處理中心網(wǎng)站，理解最新病毒信息公布狀況，及時向顧客公布第2條根據(jù)網(wǎng)絡(luò)信息系統(tǒng)的安全設(shè)計規(guī)定及主機(jī)審計系統(tǒng)數(shù)據(jù)的分析成果，制定、配置、修改、刪除主機(jī)審計系統(tǒng)的各項管理方略，并做記錄(見表十一)。第3條根據(jù)網(wǎng)絡(luò)信息系統(tǒng)的安全設(shè)計規(guī)定制定、配置、修改、刪除網(wǎng)絡(luò)安全評估分析系統(tǒng)的各項管理方略，并做記錄(見表十一)。第4條根據(jù)網(wǎng)絡(luò)信息系統(tǒng)的安全設(shè)計規(guī)定制定、配置、修改、刪除入侵檢測系統(tǒng)的各項管理方略，并做記錄(見表十一)。第5條根據(jù)網(wǎng)絡(luò)信息系統(tǒng)的安全設(shè)計規(guī)定制定、配置、修改、刪除、內(nèi)網(wǎng)主機(jī)安全監(jiān)控與審計系統(tǒng)的各項管理方略，并做記錄(見表十一)。第6條每周對網(wǎng)絡(luò)信息系統(tǒng)安全管理方略進(jìn)行數(shù)據(jù)備份，并作詳細(xì)記錄(見表十二)。第7條網(wǎng)絡(luò)信息安全技術(shù)防護(hù)系統(tǒng)(主機(jī)審計系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)、內(nèi)網(wǎng)主機(jī)安全監(jiān)控與審計系統(tǒng))由網(wǎng)絡(luò)安全保密管理員統(tǒng)一負(fù)責(zé)安裝和卸載。第1條網(wǎng)絡(luò)信息系統(tǒng)安全檢查由安全保密第2條每天根據(jù)入侵檢測系統(tǒng)的系統(tǒng)方略檢測、審計系統(tǒng)日志，檢查與否有網(wǎng)絡(luò)襲擊、異常操作、不正常數(shù)據(jù)流量等，對異常狀況做及時處理，遇有重大安全問題上報保密辦，并做詳細(xì)記錄第3條每周登陸入侵檢測系統(tǒng)產(chǎn)品網(wǎng)站，下載最新升級文