《信息安全管理制度 (2)》由會(huì)員分享���,可在線閱讀����,更多相關(guān)《信息安全管理制度 (2)(11頁(yè)珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索����。
1、信息安全管理制度 (2)
上海xxx電子商務(wù)
信息安全管理制度
目錄
第一章關(guān)于信息安全的總述 (2)
第二章信息安全管理的組織架構(gòu) (3)
第三章崗位和人員管理 (3)
第四章信息分級(jí)與管理 (3)
第五章信息安全管理準(zhǔn)則 (4)
第六章信息安全風(fēng)險(xiǎn)評(píng)估和審計(jì) (8)
第七章培訓(xùn) (9)
第八章獎(jiǎng)懲 (9)
第九章附則 (9)
第一章關(guān)于信息安全的總述
第一條〔制度的目的〕為了維護(hù)公司信息的安全����,確保公司不因信息安全問題遭受損失,依據(jù)公司章程及相關(guān)制度�����,特制定本制度���。
第二條〔信息安全的概念〕本制度所稱的信
2��、息安全是指在信息的收集���、產(chǎn)生、處理�、傳遞�、存儲(chǔ)等過程中��,做到以下工作:1〕確保信息保密���,但在經(jīng)過授權(quán)的人員必需要得到信息時(shí)能夠在可以控制的狀況下獲得信息����;
2〕確保信息完整和不被滅失�,但在特定的狀況下應(yīng)當(dāng)銷毀一些不應(yīng)儲(chǔ)存的信息檔案;3〕確保信息的可
用性�。
第三條〔制度的任務(wù)〕通過對(duì)具體工作中關(guān)于信息安全管理的規(guī)定,提升全體員工的安全意識(shí)�,加強(qiáng)公司經(jīng)營(yíng)過程中信息的安全確保,最終確保公司所有信息得到有效的安全管理��,維護(hù)公司利益��。
第四條〔制度的地位〕本制度是公司各級(jí)組織制定信息安全的相關(guān)措施�����、標(biāo)準(zhǔn)���、規(guī)范及實(shí)施細(xì)則都必需遵守的信息安全管理要求����。
第五條〔制度的適用范圍
3、〕全體員工均必需自覺維護(hù)公司信息的安全�����,遵守公司信息安全管理方面的相關(guān)規(guī)定�。
一切違反公司信息安全管理規(guī)定的組織和員人���,均予以追究���。
第六條〔信息的概念〕本制度所稱的信息是指一切與公司經(jīng)營(yíng)有關(guān)狀況的反映〔或者雖然與公司經(jīng)營(yíng)無(wú)關(guān),但其產(chǎn)生或存儲(chǔ)是發(fā)生在公司控制的介質(zhì)中〕�,它們所反映的狀況包括公司的經(jīng)營(yíng)狀況、財(cái)務(wù)狀況��、組織狀況等一切內(nèi)容�����,其存儲(chǔ)的介質(zhì)包括紙質(zhì)文件�、電子文件甚至是存在員工大腦中。具體來說�,包括但不限于以下類型:
1����、與公司業(yè)務(wù)相關(guān)的各個(gè)業(yè)務(wù)系統(tǒng)中的信息����,如制定文檔、源代碼���、可執(zhí)行代碼���、配置、接口以及相應(yīng)的
數(shù)據(jù)庫(kù)和數(shù)據(jù)庫(kù)相關(guān)備份等���;
2����、與公司業(yè)務(wù)相關(guān)的
4�、各種業(yè)務(wù)數(shù)據(jù),如用戶資料����、經(jīng)銷商資料、合作伙伴信息、合同�����、各業(yè)務(wù)系統(tǒng)運(yùn)行時(shí)
數(shù)據(jù)���、各類統(tǒng)計(jì)數(shù)據(jù)和報(bào)表����、收入數(shù)據(jù)等��;
3����、與公司內(nèi)部管理相關(guān)的各類行政數(shù)據(jù)�,如人事資料、人事組織結(jié)構(gòu)等�����;
4���、與公司財(cái)務(wù)管理相關(guān)的財(cái)務(wù)類數(shù)據(jù)����,如采購(gòu)信息、資產(chǎn)信息�����、財(cái)務(wù)信息���;
5�、其他如公司各分子公司和外地辦事結(jié)構(gòu)的數(shù)據(jù)����;公司員工對(duì)內(nèi)、對(duì)外進(jìn)行各種書面的���、口頭的信息傳播
行為等���。
第七條〔信息安全工作的重要性〕信息安全管理是公司內(nèi)部管理的一項(xiàng)重要及長(zhǎng)期性的工作,其貫穿整個(gè)公司各項(xiàng)業(yè)務(wù)與各個(gè)工作崗位��,各個(gè)中心和部門必需積極配合該項(xiàng)工作的展開�。
第二章信息安全管理的組織架構(gòu)
5、 第八條公司最高管理層是公司信息安全管理工作的最高領(lǐng)導(dǎo)者����,負(fù)責(zé)全面把握公司信息安全管理工作的方向���。第九條公司CTO以及其領(lǐng)導(dǎo)的技術(shù)專家小組作為信息安全管理工作顧問小組,負(fù)責(zé)指導(dǎo)公司信息安全管理工作�����。
第十條公司成立專門的信息安全管理工作小組����,負(fù)責(zé)檢查信息管理風(fēng)險(xiǎn)、制定安全管理規(guī)范�����、監(jiān)督公司信息安全管理工作����。
第十一條公司人力資源部���、法務(wù)部����、支付運(yùn)維部及技術(shù)專家小組作為信息安全管理輔助執(zhí)行機(jī)構(gòu)配合信息安全小組工作執(zhí)行。
第三章崗位和人員管理
第十二條涉及到信息安全的崗位和人員的權(quán)責(zé)必需清楚明確��,建立責(zé)任人機(jī)制��,任何信息都有明確的責(zé)任人進(jìn)行負(fù)責(zé)����。
第十三條強(qiáng)化對(duì)機(jī)要崗
6、位人員的管理�,嚴(yán)格控制機(jī)要崗位人員的人事變動(dòng),強(qiáng)化日常工作監(jiān)管�。
第十四條定期對(duì)員工進(jìn)行信息安全培訓(xùn),確保員工了解信息安全存在的威脅和問題�����,在日常工作中切實(shí)遵守信息
安全政策����。
第四章信息分級(jí)與管理
第十五條信息分級(jí)依據(jù)信息的價(jià)值,或者信息在不安全狀況下對(duì)公司及合作伙伴的直接或潛在影響�����。
第十六條公司各類經(jīng)營(yíng)管理信息均屬公司無(wú)形資產(chǎn)���,都必需按照規(guī)定的分級(jí)方式進(jìn)行分級(jí)�,并明確標(biāo)注。
第十七條公司為每級(jí)信息制定最低安全操作原則����,以指導(dǎo)各項(xiàng)具體操作手冊(cè)的制定和具體信息操作。
第十八條注:具體的信息分級(jí)標(biāo)準(zhǔn)���,以及最低安全操作原則��,見《信息分級(jí)和管理標(biāo)準(zhǔn)》�����。
7����、 第五章信息安全管理準(zhǔn)則
第一節(jié)實(shí)體和環(huán)境安全
第十九條關(guān)鍵或敏感信息的存放和處理設(shè)備必需要放在安全的地方��,并使用相應(yīng)的安全防護(hù)設(shè)備和準(zhǔn)入控制手段進(jìn)行保護(hù)����,確保這些信息或設(shè)備免受未通過授權(quán)的訪問�����、損害或者干擾。具體措施如下:
1. 存放或處理信息的設(shè)備��,如服務(wù)器�����、存儲(chǔ)設(shè)備等�,應(yīng)該放在公司內(nèi)部機(jī)房或?qū)I(yè)、可信的IDC機(jī)房?jī)?nèi)����。
2. 存放公司重要信息的IT設(shè)備接入網(wǎng)絡(luò)環(huán)境〔特別是接入公網(wǎng)環(huán)境〕必需經(jīng)過嚴(yán)格的安全檢查,配備符合安
全要求的網(wǎng)絡(luò)設(shè)備和安全防范設(shè)備��,并采用有效的管理措施確保不被入侵或數(shù)據(jù)泄露�����。
3. 關(guān)于那些不能放在機(jī)房里����,但又存放有關(guān)鍵或敏感信息的
8、設(shè)備��,如文件服務(wù)器,代碼管理服務(wù)器等�,必需
放在有嚴(yán)格進(jìn)出限制的房間里,不得放在公共辦公區(qū)域����。
4. 關(guān)于存放紙質(zhì)文件的文件柜和文件室,必需有鎖或其他安全控制裝置�,并指定專人負(fù)責(zé)文件取放。
5. 關(guān)于紙質(zhì)文件或可移動(dòng)存儲(chǔ)介質(zhì)����,暫時(shí)不用時(shí),必需存放在合適的加鎖的柜子和/或其它形式的安全設(shè)備中��,
并且可移動(dòng)存儲(chǔ)介質(zhì)上的重要文件必需要加密保護(hù)��。
第二十條嚴(yán)格控制進(jìn)出安全區(qū)域的人員�,并使用必要的監(jiān)控設(shè)備或手段監(jiān)視人員在安全區(qū)域的行為。具體包括:
1. 安全區(qū)域是指為存放關(guān)鍵或敏感信息��,以及信息處理設(shè)備,而劃分出來有進(jìn)入控制手段的區(qū)域�。
2. 內(nèi)部員工進(jìn)入安全區(qū)
9��、域必需經(jīng)過授權(quán)���,并登記進(jìn)入和離開時(shí)間�����。
3. 外來人員在安全區(qū)內(nèi)工作,除必需要經(jīng)過授權(quán)外����,必需在適當(dāng)?shù)谋O(jiān)視下進(jìn)行工作�。
4. 人員隨身攜帶物品或設(shè)備進(jìn)出安全區(qū)域必需經(jīng)過檢查���。
第二十一條存放關(guān)鍵或敏感信息的介質(zhì)或設(shè)備離開工作環(huán)境〔安全區(qū)域〕,運(yùn)輸���、攜帶或在外部使用����,必需采用保護(hù)手段���,防止信息竊取和損壞�。
第二十二條存放關(guān)鍵或敏感信息的介質(zhì)或設(shè)備�����,如果不再使用或轉(zhuǎn)作其他用途,應(yīng)將其中的數(shù)據(jù)進(jìn)行徹底銷毀���。
應(yīng)注意選擇數(shù)據(jù)銷毀手段,確保數(shù)據(jù)真正無(wú)法恢復(fù)���。
第二節(jié)操作管理
第二十三條明確所有信息處理操作的流程,明確流程中每個(gè)環(huán)節(jié)的責(zé)任���,確保信息處理過程安全無(wú)誤
10�����、���。具體措施如下:
1. 信息處理過程或操作步驟應(yīng)整理成正式文檔��,改動(dòng)處理過程必需得到管理層授權(quán)��,操作人員必需按照信息
處理的規(guī)定程序操作;
2. 信息處理使命劃分清楚���,并通過訪問控制��、接觸限制機(jī)制確定授權(quán)人員身份�;
3. 定期檢查人員權(quán)限列表�����。
第二十四條信息系統(tǒng)必需建立具體的操作規(guī)范和要求,并對(duì)這些操作規(guī)范進(jìn)行備案,進(jìn)行定期檢查����,及時(shí)更新操作規(guī)范���。
第二十五條各信息管理部門應(yīng)采用有效取防范措施防止和檢測(cè)惡意軟件的入侵信息系統(tǒng)或設(shè)備��,防范措施必需由安全部門制定或經(jīng)過安全部門審核�����。
第二十六條依據(jù)信息使用特性建立備份策略和恢復(fù)流程���,留存一個(gè)或多個(gè)數(shù)據(jù)備份
11、�,并演練數(shù)據(jù)恢復(fù)流程。第二十七條信息系統(tǒng)應(yīng)記錄操作日志��、事件日志和錯(cuò)誤日志��,依據(jù)信息等級(jí)和類型制定日志信息的儲(chǔ)存期限��,并且在適當(dāng)?shù)臅r(shí)候可監(jiān)視設(shè)備運(yùn)行和操作環(huán)境狀況�。
第三節(jié)訪問控制
第二十八條制定正式流程控制信息系統(tǒng)訪問權(quán)限與服務(wù)使用權(quán)限的分配���。這些流程應(yīng)該涉及用戶訪問生命周期的各個(gè)階段,從初期的新用戶注冊(cè)到用戶因不再要求對(duì)信息系統(tǒng)和服務(wù)進(jìn)行訪問而最終取消注冊(cè)��,定期對(duì)用戶訪問權(quán)限進(jìn)行檢查�。
第二十九條公司統(tǒng)一建立員工的身份信息庫(kù),并為每位員工配備相應(yīng)身份卡�����,所有信息必需使用實(shí)名訪問�,除非信息明確標(biāo)注可被匿名訪問或使用其他認(rèn)證策略���。關(guān)于紙質(zhì)文檔的借閱�����、復(fù)印等必需用身份卡進(jìn)行實(shí)名
12、登記�����,關(guān)于信息系統(tǒng)的訪問必需使用統(tǒng)一的用戶實(shí)名認(rèn)證。
第三十條信息的邏輯訪問權(quán)僅應(yīng)授予合法用戶�,信息系統(tǒng)應(yīng)該滿足以下要求:
1. 依據(jù)已經(jīng)確定的業(yè)務(wù)訪問控制策略來控制信息系統(tǒng)功能的用戶訪問權(quán);
2. 防止能夠越過系統(tǒng)訪問控制措施的有用程序和操作系統(tǒng)軟件的非法訪問��;
3. 無(wú)妨害其它與之共享信息資源的系統(tǒng)的安全��;
4. 僅能向信息所有者����、其它指定的合法個(gè)人或定義的用戶組提供信息訪問。
第四節(jié)系統(tǒng)開發(fā)和維護(hù)
第三十一條新系統(tǒng)和改善系統(tǒng)在建設(shè)過程中都應(yīng)該合計(jì)信息安全的必需求���,并采用相應(yīng)的防范措施,包括:
1. 系統(tǒng)包括基礎(chǔ)設(shè)施����、自主開發(fā)的業(yè)務(wù)應(yīng)用程序和
13、第三方開發(fā)的應(yīng)用程序�;
2. 涉及關(guān)鍵或敏感信息的基礎(chǔ)設(shè)施和自主開發(fā)程序的安全制定方案必需經(jīng)過信息安全管理組織審核����;
3. 從外部采購(gòu)商用軟件或系統(tǒng)必需要進(jìn)行安全評(píng)估����,必需要達(dá)到公司信息安全要求。
第三十二條系統(tǒng)開發(fā)過程的產(chǎn)物〔如制定文檔�,源代碼,算法等〕應(yīng)嚴(yán)格管理����,確保無(wú)關(guān)人員無(wú)法接觸,并可有效控制這些產(chǎn)物傳播范圍���。
第三十三條關(guān)于系統(tǒng)中不可避免必需要暴露的敏感信息,必需采用有效措施確保信息不會(huì)被無(wú)關(guān)人員獲取或者確保信息不可被非法使用�����。
第三十四條系統(tǒng)開發(fā)過程必需有配套的項(xiàng)目管理工作�����,以確保相關(guān)項(xiàng)目中可能涉及到信息得到有效的管理�。
第三十五條系統(tǒng)維護(hù)必需做
14�����、到權(quán)限清楚�,系統(tǒng)中的重要數(shù)據(jù)必需指定專人負(fù)責(zé)數(shù)據(jù)管����。
第三十六條開發(fā)、測(cè)試和線上環(huán)境分開��,重要系統(tǒng)的開發(fā)���、測(cè)試和維護(hù)使命必需分開����。系統(tǒng)開發(fā)或變更結(jié)束�,
開發(fā)團(tuán)隊(duì)?wèi)?yīng)與維護(hù)團(tuán)隊(duì)進(jìn)行正式的系統(tǒng)交接工作,并提供必要的技術(shù)文檔�����。
第五節(jié)信息流轉(zhuǎn)���、使用和公布
第三十七條公司信息對(duì)外公布由公司負(fù)責(zé)公共關(guān)系及投資者關(guān)系的部門統(tǒng)一負(fù)責(zé)����,所有員工應(yīng)當(dāng)嚴(yán)格遵守相關(guān)部門制定的信息公布政策。
第三十八條采用有效措施保護(hù)通過網(wǎng)絡(luò)傳送的關(guān)鍵或敏感信息�����,具體措施如下:
1��、利用公共網(wǎng)絡(luò)傳送信息或進(jìn)行交易處理���,應(yīng)評(píng)估可能的信息風(fēng)險(xiǎn)����,確定信息傳送的完整性�、機(jī)密性、身
份鑒別及不可否認(rèn)性等
15�、安全必需求����,并針對(duì)數(shù)據(jù)傳輸、網(wǎng)絡(luò)線路與設(shè)備���、與外部的網(wǎng)絡(luò)接口及路由器等事項(xiàng)�,采用妥善適當(dāng)?shù)陌踩毓艽胧?
2、開放外界連接的信息系統(tǒng)����,應(yīng)依據(jù)數(shù)據(jù)及系統(tǒng)重要性和價(jià)值,采納數(shù)據(jù)加密�����、身份鑒別����、電子簽名、防
火墻及安全漏洞偵測(cè)等不同安全類型的技術(shù)或措施���,防止數(shù)據(jù)及系統(tǒng)被侵入��、破壞����、竄改����、刪除及未通過授權(quán)的存取。
與外界網(wǎng)絡(luò)連接的接口�����,應(yīng)使用防火墻及其他必要的安全設(shè)施,控管外界與公司內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)傳輸與資源存取�����。
4�����、開放外界連接的信息系統(tǒng)��,必要時(shí)應(yīng)以代理服務(wù)器等方式提供外界存取數(shù)據(jù)��,避免外界直接進(jìn)入信息系
統(tǒng)或數(shù)據(jù)庫(kù)存取數(shù)據(jù)�。
5、存有關(guān)鍵或敏感信息的系統(tǒng)��,應(yīng)強(qiáng)化
16�����、安全保護(hù)措施�����,防止關(guān)鍵或敏感信息遭不當(dāng)或不法的竊取使用����。
6、內(nèi)部員工之間或內(nèi)部員工與外部人員發(fā)送關(guān)鍵或敏感的信息��,必需使用公司信息安全管理組織指定的傳
送方式���。
第三十九條公司應(yīng)采用有效措施保護(hù)通過郵件傳送的關(guān)鍵或敏感數(shù)據(jù)���,具體措施如下:
1、機(jī)密性數(shù)據(jù)以外的敏感性數(shù)據(jù)及文件�����,如有電子傳送的必需要��,各部門應(yīng)是必需要以適當(dāng)?shù)募用芑螂娮雍灻?
等安全技術(shù)處理����;
2、機(jī)密數(shù)據(jù)原則上不建議使用電子郵件傳送����。如果業(yè)務(wù)性質(zhì)特別��,必需利用電子郵件或其他電子方式傳送
機(jī)密性數(shù)據(jù)及文件��,應(yīng)采納公司認(rèn)可的加密或電子簽名等安全技術(shù)處理�����。
第四十條機(jī)要信息通過網(wǎng)絡(luò)傳播必
17���、需加密,正文和密碼必需采用兩個(gè)以上的通路進(jìn)行發(fā)送�����。
第四十一條為了規(guī)避轉(zhuǎn)發(fā)帶來的信息泄漏風(fēng)險(xiǎn)��,機(jī)要信息從源到使用環(huán)境����,禁止通過中間環(huán)節(jié)進(jìn)行轉(zhuǎn)發(fā),特別狀況必需要經(jīng)過公司高層批準(zhǔn)�����。
第四十二條嚴(yán)格控制信息使用必需求,涉及到關(guān)鍵或敏感的信息必需嚴(yán)格進(jìn)行審批:
1���、關(guān)于各類信息的必需求方必需明確,必需求方的變化必需進(jìn)行審核���,機(jī)要信息必需求方發(fā)生變化必需得到公司
高層批準(zhǔn)����;
2���、信息的使用必需求必需明確���,使用必需求發(fā)生變化必需進(jìn)行審核,機(jī)要信息的使用必需求發(fā)生變更必需得到公
司高層批準(zhǔn)��。
第四十三條信息使用者必需確保信息使用環(huán)境的安全�,并在使用完畢后妥善處理信息〔視信息類型不同,采用歸還�、歸檔或者銷毀等操作〕,在未通過授權(quán)的狀況下不得擅自傳播信息��。
第四十四條管理信息流轉(zhuǎn)和使用的組織應(yīng)致力于實(shí)現(xiàn)信息流轉(zhuǎn)的程序化和自動(dòng)化��,減少信息流轉(zhuǎn)環(huán)節(jié),以及不必要的人為接觸�,提升信息安全和工作效率。
信息安全管理制度 (2)
