网络与信息安全工作管理办法.doc
精品文档
网络与信息安全工作管理办法
世茂房地产控股有限公司
资讯科技部
内部资料,未经同意,请勿翻印
版本修订日期修订人审核人
目录
第一节安全组织原则 (3)
第二节安全组织结构 (3)
第一节概述 (4)
第二节安全规划与建设 (4)
第三节物理安全管理 (5)
第四节人员安全管理 (6)
第五节安全培训 (7)
第六节信息资产安全管理 (8)
第七节安全运维管理 (10)
第八节安全事件处理 (10)
第九节应急计划 (11)
第十节系统开发与维护 (11)
第十一节符合性 (14)
第十二节管理审计与评估 (14)
第十三节奖惩 (15)
第一节概述 (15)
第二节访问控制 (16)
第三节身份认证 (16)
第四节冗余恢复 (17)
第五节日志审计与响应 (17)
第六节内容安全 (18)
第一章总则
第一条随着上海世茂投资管理有限公司(以下简称:上海
世茂)信息系统规模越来越大,随之带来的安全问题也不断增多,为及时快速处理各种故障和安全事件,防范与化解安全风险,保障网络连续性以及高质量的服务水平,特制定《上海世茂网络与信息安全工作管理办法》,以下简称“本办法” 。
第二条本办法依据《中华人民共和国计算机信息系统安全
保护条例》,参考《 ISO27001 信息安全管理体系规范》而制定。
第三条本办法的适用范围包括上海世茂信息系统在规划、
设计、开发、建设和运行维护过程中所涉及到的各种安全问题,包括
组织管理、物理安全、操作系统安全、应用安全、数据安全、网络架
构安全、安全事件处理。
第四条上海世茂网络与信息安全工作的管理原则
1.整体规划,分步实施:需要对网络与信息安全工作进行整体规划,分步实施,逐渐建立完善的网络与信息安全体系。
2.三同步原则:安全系统应与业务系统及网络同步规划、同步建设、同步运行。
3.适度安全:安全具有相对性和动态性的特点,必须做好安全建设的成本效益分析,在安全性和投入成本之间、安全性和易用性
之间做好平衡工作。
第五条本办法中的安全是指信息系统的安全。
第二章安全组织管理
第一节安全组织原则第六条上海世茂安全工作管理由信息化领导小组统一来
制定。
第二节安全组织结构第七条成立上海世茂网络与信息安全领导小组,全面负责
上海世茂网络与信息安全各项工作。
第八条领导小组下设 IT 总监,贯彻“信息化领导小组” 的
安全管理决策,作为执行管理机构。资讯科技部作为信息安全工作的主要执行机构,负责信息安全日常工作,IT 总监下属包括应用和运维两个专业工作组。
第三章安全策略第九条上海世茂安全策略体系是用于指导上海世茂的安
全管理工作,明确信息安全的工作职责、内容、方法和流程的一套文档,它覆盖了 IT 系统的整个生命周期,对系统和网络的规划、设计、建设、运维以及检查评估都提出了相应的安全要求。
第十条上海世茂安全策略由资讯科技部、各部门提出需求,由资讯科技部组织制定。
第十一条上海世茂的安全策略由上海世茂信息安全领导小
组批准和发布,由资讯科技部组织宣传和培训,并监督各部门执行落实。
第十二条资讯科技部及各专业工作小组负责检查和考核策略的贯彻和实施,并建立安全策略违反报告制度。
第十三条资讯科技部建立安全策略定期审核更新的制度和机制,定期对安全策略的有效性进行审核,并根据情况进行更新。
第四章安全管理制度
第一节概述
第十四条为做好上海世茂网络与信息安全管理,必须做好安全规划和建设,完善物理环境安全,加强工作人员安全管理和教育,建
立信息资产安全管理制度。完善安全运维、事件处理、应急响应等安
全工作。
第二节安全规划与建设
第十五条上海世茂安全规划明确安全建设原则,为网络与信息安全建设明确建设方向和蓝图。
第十六条安全规划小组要根据上海世茂现有情况做好安全
规划工作,制定近期( 1~2 年)总体安全规划和中长期( 3~5 年)安全建设目标,制定网络建设规划和人员计划,满足信息系统正常安全保障并适应未来的发展战略。
第十七条安全规划应考虑信息安全管理体系和安全技术架
构的建设,根据网络发展规划适度超前建设,并考虑统一安全管理要求和统一安全技术基础设施。
第十八条应在上海世茂信息系统规划、设计、开发、实施、运
维的整个生命周期中各个阶段充分考虑并实施安全控制措施。
第十九条在特殊情况下,应预先明确风险,并指出应采取的控
制措施。
第二十条应对网络与系统建设过程中存在的安全风险进行严
格的安全过程控制。
第三节物理安全管理
第二十一条物理安全管理的目标是通过加强工作环境安全,防止
对上海世茂工作场所和信息资源的非法访问、破坏和干扰。
第二十二条相关部门应按照上海世茂关于机房建设及管理等
标准,对机房场地与设施进行安全建设,并进行分级、分区安全管理。机房安全建设和改造应通过资讯科技部的安全审批和验收,并建立、健全严格的机房安全管理制度。
第二十三条信息资产主管部门及使用部门必须保证关键或敏
感的数据信息处理设备放置在安全的区域,并使用适当的物理防护设备和访问控制手段。
第二十四条应加强办公区的物理访问控制。
第四节人员安全管理
第二十五条信息安全管理人员应当政治过硬、业务素质高、遵纪守法、恪尽职守。
第二十六条应建立相应制度以及相应技术手段加强对第三方
人员的安全管理。
第二十七条违反国家法律、法规和行业规章受到处罚的人员,不得从事信息安全管理工作。
第二十八条信息安全管理人员调离岗位,必须办理调离手续,承诺其调离后的保密义务。
第二十九条信息安全岗位人员必须具备相应的资质并签定保
密协议。信息安全管理人员应定期接受政治思想教育、职业道德教育和安全保密教育。
第三十条信息安全管理人员职责:
(1)负责计算机安全管理的日常工作;
(2)开展计算机安全检查工作,对要害岗位人员安全工作进行指导;
(3)开展计算机安全知识的培训和宣传工作;
(4)监控计算机安全总体状况,提出安全分析报告;
了解行业动态,为改进和完善计算机安全管理工作,提出安全防范建议;
(5)及时向计算机安全工作领导小组和有关部门、单位报告
计算机安全事件。
第三十一条信息安全管理人员发现本单位所使用信息系统中
的重大安全隐患,有权向上级报告。
第三十二条信息安全管理人员发现系统操作人员使用不当,应
及时建议有关单位、部门进行调整。
第三十三条信息安全管理人员必须严格遵守国家有关法律、法
规和行业规章,严守国家、行业和岗位秘密。
第三十四条信息安全管理人员应定期参加下列计算机安全知
识和技能的培训:
(1)计算机安全法律法规及行业规章制度的培训;
(2)计算机安全基本知识的培训;
(3)计算机安全专项技能的培训。
第五节安全培训
第三十五条工作人员安全意识是安全管理工作开展的基础和
前提,安全管理工作组应建立安全意识教育计划,通过持续的安全教育,提高人员安全意识。
第三十六条建立安全技术培训计划,通过各种培训方式,提高
各级管理人员和专业人员安全技能,降低安全操作风险。
第六节信息资产安全管理
(一)资产管理
第三十七条上海世茂信息资产包括所拥有各种信息及其载体,
存在有形资产和无形资产,包括计算机设备、系统软件、应用软件、
数据、文档等。
第三十八条严格执行上海世茂设备管理部门有关设备管理的
各项规章制度,对资讯科技部管理的设备进行编号、登记、建立完善、准确的台帐。
第三十九条每半年,对全局计算机网络设备进行一次全面检查
和维护。每年末,资讯科技部对固定资产清查一次。
第四十条各级信息资产责任者必须严格遵守相关制度,保证信
息资产的机密性、完整性和可用性。
第四十一条信息系统资产管理具体办法参见《上海世茂信息资
产安全管理办法》。
(二)版权要求
第四十二条上海世茂与计算机信息系统承建商签订建设合同
时,承建商应当保证产品无侵犯他人版权要求。
第四十三条承建商在计算机信息系统建设中使用第三方产品
时,必须事先得到上海世茂资讯科技部认可并具有第三方产品书面
授权。
(三)安全专用产品
第四十四条本规定所称安全专用产品,是指用于保护计算机信
息系统安全的专用软件、硬件产品。
第四十五条安全专用产品准入、选型、采购部署工作由资讯科技部统一组织实施。安全专用产品有下列情形之一的,取消其准入资格:
(1) 安全专用产品的功能已发生变化,但未通过检测的;
(2)经使用发现有严重问题的 ;
(3)能提供良好售后服务的 ;
(4)国家有关部门取消其销售资格的。
第四十六条安全专用产品在使用中,系统管理员应监测生成的信息,对生成的信息应及时分析并作出分析报告;在监测中如发现重大问题,应立即采取相应控制措施并将有关情况逐级上报;安全专用产品使用中产生的重要报告应备份存档,并按密级资料管理方式履行
有关手续。
第七节安全运维管理
第四十七条安全维护管理的目标是通过建立和执行对网络和操作系统的安全维护流程和安全维护作业计划,来保障提供高质量的信息系统服务能力和通信能力。
第四十八条安全维护工作主要包括硬件入网管理、病毒防范管理、密码管理、系统和数据备份、日志管理和审计、软件版本管理和补丁加载。
第四十九条网络、主机的相关人员、维护计划配置应随网络调整进行更新。
第八节安全事件处理
第五十条安全事件处理的原则是“积极预防、及时发现、快速响应、确保恢复”。
第五十一条系统宕机引起相关部门无法进行业务操作,非法侵入、破坏计算机信息系统,利用计算机实施诈骗、盗窃、贪污、挪用公款的计算机犯罪案件,以及造成不良社会影响的计算机安全事故,属于信息安全事故。
第五十二条各相关部门根据要求建立详细的安全事件响应机制,规定在安全事件的发现、上报、分析、处理、总结和奖惩阶段的相关责任和程序,最大限度地减少安全事件造成的损害。
第五十三条对安全事件做好记录和存档工作,记录内容包括事
件的起因、处理过程、处理结果、建议改进的安全对策等。
第九节应急计划
第五十四条针对不同的安全事件,必须制定相应的应急计划,内容至少包括计划的准备、演练、实施、系统恢复方案四个组成部分,各部门应定期上报应急计划内容。
第五十五条通过应急计划的演练测试检查应急计划的有效性和
资源的可用性,并根据演练结果进行应急计划的调整。
第十节系统开发与维护
(一)承建商管理
第五十六条资讯科技部是全局计算机信息系统承建商管理的第
一责任人。
第五十七条计算机信息系统承建商必须遵守上海世茂信息安全
管理制度,必须签署保密协议;在提供优质的开发、维护服务的同时,不得擅自修改正式生产系统中的数据。
(二)计算机信息系统建设
第五十八条计算机信息系统的规划和建设应同步做好系统安全保护工作,以确保系统安全目标的实现。重要计算机信息系统立项的安全管理实行审批制度。对初审合格的项目申报材料,应进行安全性专项审查,提出审查意见后由资讯科技部最后审批。对没有通过安全
管理审查的项目,不得予以立项。
第五十九条计算机信息系统的开发必须符合软件工程规范,并在软件开发的各阶段按照安全管理目标进行管理和实施。计算机信息系统的开发人员或参加开发的协作单位应经过严格资格审查,并签订保密协议书,承诺其负有的安全保密责任和义务。计算机信息系统的开发环境和现场应当与生产环境和现场隔离。计算机信息系统开发完成后,开发人员或参加开发的外部单位应及时移交程序源代码及其相关技术文档。
第六十条计算机信息系统投入运行前,应向资讯科技部系统管
理员提交性能测试报告;系统管理员对性能测试报告进行初步审查;
初审合格后,安排生产环境部署。
(三)计算机信息系统运行
第六十一条计算机信息系统的使用部门应当严格用户和密码
(口令)的管理,业务操作员应严格按照操作培训要求进行操作,
保证系统安全运行;对计算机信息系统在运行过程中出现的异常现
象,有责任向部门领导和资讯科技部报告。
第六十二条计算机信息系统应定期进行数据备份,对备份介质应按有关规定指定专人妥善保管。重要计算机信息系统应当制定应急计划,保证业务的不间断运行。
第六十三条系统管理员应合理配置操作系统、数据库管理系统所提供的安全审计功能,以达到相应安全等级标准,应及时安装正式
发布的系统补丁,修补系统存在的安全漏洞;并屏蔽与应用系统无关的所有网络功能,防止非法用户的侵入;
第六十四条系统管理员不得泄露操作系统、数据库的系统管理员
帐号、密码。联网设备的 IP 地址及网络参数,必须按照网络管理规范
及其业务应用范围进行设置,非系统管理人员不得修改。
第六十五条系统管理员应对重要业务的计算机信息系统进行日
常巡检,监测系统运行日志,掌握系统运行状况;发现系统运行异常
应及时通报主管领导。
(四)上线管理
第六十六条计算机信息系统正式使用前必须经过系统使用部门的整体功能测试和性能测试(对原有系统的功能升级必须经过系统操作员的功能认可),才能在正式生产环境部署。
(五)验收管理
第六十七条必须经过资讯科技部评估,需要签订合同独立开发
的业务软件系统必须进行系统验收;
第六十八条需要验收的系统必须经项目管理与咨询公司审核项
目文档以及上海世茂资讯科技部负责人审核确认后进行。
(六)需求数据变更
第六十九条业务操作员对已经上线运行的信息系统提出需求修
改要求以及数据变更要求时,系统开发员需要准确纪录需求,并整理为《需求确认单》或《数据确认单》。
第七十条系统开发员对业务操作员签字确认后的《需求确认单》、《数据确认单》进行系统处理,处理后的结果由业务操作员进行确认。
第十一节符合性
(一)正版软件
第七十一条资讯科技部是全局推进使用正版化软件工作的第一责任人。
第七十二条公司内软件正版化工作实行使用责任制。各部门的主要负责人是本推进使用正版软件工作的第一责任人,对本部门使用非正版软件、损害公司形象的,承担领导责任。软件正版化工作列入各部门年终考核。
(二)性能要求
第七十三条业务应用软件开发类项目正式上线前必须进行性能
测试,达到性能测试要求后部署正式环境;
第十二节管理审计与评估
第七十四条安全管理审计是参照一定的安全标准对运维过程和信息系统本身进行安全评价的过程。此过程重点关注运维管理工作是否有效地保护了信息系统的安全。
第七十五条风险评估主要依靠技术手段评估特定的内外威胁可能对信息系统造成的损失,此工作主要关注信息系统本身存在哪些漏
洞、面临哪些威胁、可能遭到什么样的损害。
第七十六条上海世茂资讯科技部应制定安全巡检机制,每半年组织一次安全管理内部审计,发现在安全运维管理方面存在的问题;
并定期(间隔最长不超过半年)对网络与信息系统进行风险评估,并
对评估出来的问题和隐患进行及时整改。
第七十七条各部门根据实际情况对所辖系统不定期进行安全自评估。
第十三节奖惩
第七十八条执行上海世茂计算机信息系统安全管理体系,计算机安全管理工作成绩突出的部门与个人,由资讯科技部报领导小组
后,对其进行通报表彰,并给予一定形式的奖励。
第七十九条违反上海世茂计算机信息系统安全管理体系,造成重大安全事故或计算机犯罪的,根据有关部门法律法规,追究其主管领导、相关部门及其他直接责任人的责任。
第八十条违反上海世茂计算机信息系统安全管理体系的单位与个人,由资讯科技部报领导小组后,通报批评。
第五章安全技术体系
第一节概述
第八十一条为切实防范网络攻击、保护上海世茂网络和信息安
全,解决网络中存在的各种安全问题,需要运用访问控制、身份认证、冗余恢复、审计响应、内容安全等多种安全技术构建上海世茂安全技术体系。
第二节访问控制
第八十二条访问控制的目标是通过设定对计算机资源(包括信息、网络、系统、数据库、应用等)的访问策略,实现授权用户通过
正确的方式访问资源,阻止未授权用户有意或无意获得访问权限。
第八十三条设定访问控制策略的原则是“除明确允许执行情况
外必须禁止”。
第八十四条安全域划分是对系统实施分级安全保护的前题条
件,安全管理工作组必须要对网络划分安全域,明确网络边界和保护
等级,实现网络之间的有效隔离和访问控制。
第八十五条在网络、系统和应用层面制定访问控制和权限管理
策略,并加强人员管理,保证安全有效的访问控制。
第三节身份认证
第八十六条加强面向网络和信息系统用户的管理,包括用户身
份管理、帐号和口令管理、权限管理、认证和授权。
第八十七条用户帐户的设定应符合“职责分离”的原则。
第八十八条对于重要系统应采用双因素或多因素认证机制。
第八十九条定期审计身份鉴别,对发现的异常进行及时处理,
对累积性事件进行必要的趋势分析。
第四节冗余恢复
第九十条冗余恢复主要是针对网络、操作系统、应用系统以及数据可能发生的异常情况,为保障信息系统连续性所做的准备和防范措施。
第九十一条应根据系统的重要程度,制定数据与软件的备份策略,明确备份周期和方法,并提供充足的备份设施,并定期进行备份数据恢复演练。
第九十二条系统内重要主机、支持重要应用的网络设备应有冗
余设置,应采用技术措施保证服务器出现故障经更换或修复后,能够自动安装操作系统、应用软件,并恢复数据。
第五节日志审计与响应
第九十三条日志审计是对主机、网络的运行状况,尤其是资源
的访问情况进行记录、检查、监控以及完整性检查等;响应主要指对
网络安全问题的实时检测、告警和处理。
第九十四条系统内重要主机上应部署日志审计产品并定期进行
漏洞扫描。
第九十五条重要的信息系统应部署入侵检测设备,并配备相应
的告警和处理机制。
第六节内容安全
第九十六条内容安全指防止传输和存储的数据(信息)泄漏、
甄别应用和数据的合法性。包括加密、防病毒、垃圾邮件过滤网关、
内容过滤等产品。
第九十七条应部署覆盖全网的多级防病毒系统,并定期进行病
毒库升级。
第六章安全检查
第九十八条为提高各部门人员及管理人员安全意识,不断促进安全防范及管理工作深入进行,信息安全委员会应制定对安全管理工作的检查和考核制度并组织和执行安全检查工作。
第九十九条安全检查的内容至少要包括安全组织、安全规划建
设、信息资产管理、人员安全、安全培训、物理环境安全、安全运维、安全事件处理、设备配置安全、应急计划、入网安全、管理审计与评
估、软件版权、访问控制、身份认证、冗余恢复、日志审计与响应、
内容安全等方面。
第一百条应将安全工作逐步纳入到工作人员的绩效考核体系中。
第一章检查内容
第一节组织结构
第一条检查安全组织机构建设情况:
1.安全组织;
2.专(兼)职安全管理员;
3.人员变动情况。
第二条检查人员管理情况:
1.健全的网络与信息安全管理制度;
2.网络与信息安全学习、培训;
3.重要岗位安全管理。
第二节机房检查
第三条检查机房环境:
1.外部供电系统;
2.内部供电系统;
3.应急照明;
4.主机房环境温度、湿度控制;
5.防火系统;
6.场地监控;
7.门禁保安;
8.紧急联络;
9.接地系统;
10.防盗设施;
11.静电防护措施;
12.防电磁干扰措施;
13.防雷装置。