信息安全管理制度 (4)

《信息安全管理制度 (4)》由會員分享，可在線閱讀，更多相關(guān)《信息安全管理制度 (4)（6頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、信息安全管理制度 (4) 信息安全管理制度 為了切實有效的確保公司信息安全，提升信息系統(tǒng)為公司生產(chǎn)經(jīng)營的服務(wù)能力，特制定交互式信息安全管理制度，設(shè)定管理部門及專業(yè)管理人員對公司整體信息安全進(jìn)行管理，以確保網(wǎng)絡(luò)與信息安全。 1.1.1建立文件化的安全管理制度，安全管理制度文件應(yīng)包括： a)安全崗位管理制度； b)系統(tǒng)操作權(quán)限管理； c)安全培訓(xùn)制度； d)用戶管理制度； e)新服務(wù)、新功能安全評估； f)用戶投訴舉報處理； g)信息公布審核、合法資質(zhì)查驗和公共信息巡查； h)個人電子信息安全保護(hù)； i)安全事件的監(jiān)測、報

2、告和應(yīng)急處置制度； j)現(xiàn)行法律、法規(guī)、規(guī)章、標(biāo)準(zhǔn)和行政審批文件。 1.1.2安全管理制度應(yīng)經(jīng)過管理層批準(zhǔn)，并向所有員工宣揚(yáng) 2.1.1互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)是一個能夠承當(dāng)法律責(zé)任的組織或個人。 2.1.2互聯(lián)網(wǎng)交互式服務(wù)提供者從事的信息服務(wù)有行政許可的應(yīng)取得相應(yīng)許可。 建立安全崗位管理制度，明確主辦人、主要負(fù)責(zé)人、安全責(zé)任人的使命：崗位管理制度應(yīng)包括保密管理。 3.2.1關(guān)鍵崗位人員任用之前的背景核查應(yīng)按照相關(guān)法律、法規(guī)、道德規(guī)范和對應(yīng)的業(yè)務(wù)要求來執(zhí)行，包括： 1.個人身份核查； 2.個人履歷的核查； 3.學(xué)歷、學(xué)位

3、、專業(yè)資質(zhì)證實； 4.從事關(guān)鍵崗位所必需的能力。 3.2.2應(yīng)與關(guān)鍵崗位人員簽訂保密協(xié)議。 建立安全培訓(xùn)制度，定期對所有工作人員進(jìn)行信息安全培訓(xùn)，提升全員的信息安全意識，包括： 1.上崗前的培訓(xùn)； 2.安全制度及其修訂后的培訓(xùn)； 3.法律、法規(guī)的發(fā)展堅持同步的持續(xù)培訓(xùn)。 應(yīng)嚴(yán)格規(guī)范人員離崗過程： a)及時終止離崗員工的所有訪問權(quán)限； b)關(guān)鍵崗位人員須承諾調(diào)離后的保密義務(wù)后方可離開； c)配合公安機(jī)關(guān)工作的人員變動應(yīng)通報公安機(jī)關(guān)。 建立包括物理的和邏輯的系統(tǒng)訪問權(quán)限管理制度。 按以下原則依據(jù)人員使命分配

4、不同的訪問權(quán)限： a)角色分開，如訪問請求、訪問授權(quán)、訪問管理； b)滿足工作必需要的最小權(quán)限； c)未通過明確同意，則一律禁止。 4.3特別權(quán)限限制和控制特別訪問權(quán)限的分配和使用： a)標(biāo)識出每個系統(tǒng)或程序的特別權(quán)限； b)按照“按必需使用〞、“一事一議〞的原則分配特別權(quán)限； c)記錄特別權(quán)限的授權(quán)與使用過程； d)特別訪問權(quán)限的分配必需要管理層的批準(zhǔn)。 注：特別權(quán)限是系統(tǒng)超級用戶、數(shù)據(jù)庫管理等系統(tǒng)管理權(quán)限。 定期對訪問權(quán)限進(jìn)行檢查，對特別訪問權(quán)限的授權(quán)狀況應(yīng)在更頻繁的時間間隔內(nèi)進(jìn)行檢查，如發(fā)現(xiàn)不恰當(dāng)?shù)臋?quán)限設(shè)置，應(yīng)及時予以調(diào)整。

5、 5網(wǎng)絡(luò)與主機(jī)系統(tǒng)的安全 應(yīng)維護(hù)使用的網(wǎng)絡(luò)與主機(jī)系統(tǒng)的安全，包括： a)實施計算機(jī)病毒等惡意代碼的預(yù)防、檢測和系統(tǒng)被破壞后的恢復(fù)措施； b)實施724h網(wǎng)絡(luò)入侵行為的預(yù)防、檢測與響應(yīng)措施； c)適用時，對重要文件的完整性進(jìn)行檢測，并具備文件完整性受到破壞后的恢復(fù)措施； d)對系統(tǒng)的脆弱性進(jìn)行評估，并采用適當(dāng)?shù)拇胧┨幚硐嚓P(guān)的風(fēng)險。注：系統(tǒng)脆弱性評估包括采納安全掃描、滲透測試等多種方式。 5.2.1應(yīng)建立備份策略，有足夠的備份設(shè)施，確保必要的信息和軟件在災(zāi)難或介質(zhì)故障時可以恢復(fù)。 5.2.2網(wǎng)絡(luò)基礎(chǔ)服務(wù)〔登錄、消息公布等〕應(yīng)具備容災(zāi)能力。

6、 5.3.1應(yīng)記選用戶活動、異常狀況、故障和安全事件的日志。 5.3.2審計日志內(nèi)容應(yīng)包括： a)用戶注冊相關(guān)信息，包括： 1)用戶唯一標(biāo)識； 2)用戶名稱及修改記錄； 3)身份信息，如姓名、證件類型、證件號碼等； 4)注冊時間、IP地址及端口號； 5)電子郵箱地址和于機(jī)號碼； 6)用戶備注信息； 7)用戶其他信息。 b)群組、頻道相關(guān)信息，包括： 1)創(chuàng)建時間、創(chuàng)建人、創(chuàng)建人IP地址及端口號； 2)刪除時間、刪除人、刪除人IP地址及端口號； 3)群組組織結(jié)構(gòu)； 4)群組成員列表。 c)用戶登錄信息，包括： 1)用戶唯一標(biāo)識；2)登錄時間；3)退出時間；4)IP地址及端口號。 d)用戶信息公布日志，包括： 1)用戶唯一標(biāo)識； 2)信息標(biāo)識； 3)信息公布時間； 4)IP地址及端口號； 5)信息標(biāo)題或