5.10信息系统变更管理办法
证券期货业信息系统等级保护基本要求(草案)
证券期货业信息系统安全等级保护基本要求(征求意见稿)1目次1 范围 (9)2规范性引用文件 (9)3术语和定义 (9)3.1 (9)4信息系统安全等级保护概述 (9)4.1 信息系统安全保护等级 (9)4.2 不同等级的安全保护能力 (9)4.3 基本技术要求和基本管理要求 (10)4.4 基本技术要求的三种类型 (10)5第一级基本要求 (10)5.1 技术要求 (10)5.1.1物理安全 (10)5.1.1.1 物理访问控制(G1) (10)5.1.1.2 防盗窃和防破坏(G1) (10)5.1.1.3 防雷击(G1) (10)5.1.1.4 防火(G1) (10)5.1.1.5 防水和防潮(G1) (11)5.1.1.6 温湿度控制(G1) (11)5.1.1.7 电力供应(A1) (11)5.1.2网络安全 (11)5.1.2.1 结构安全(G1) (11)5.1.2.2 访问控制(G1) (11)5.1.2.3 网络设备防护(G1) (11)5.1.3主机安全 (11)5.1.3.1 身份鉴别(S1) (11)5.1.3.2 访问控制(S1) (11)5.1.3.3 入侵防范(G1) (11)5.1.3.4 恶意代码防范(G1) (11)5.1.4应用安全 (12)5.1.4.1 身份鉴别(S1) (12)5.1.4.2 访问控制(S1) (12)5.1.4.3 通信完整性(S1) (12)5.1.4.4 软件容错(A1) (12)5.1.5数据安全及备份恢复 (12)5.1.5.1 数据完整性(S1) (12)5.1.5.2 备份和恢复(A1) (12)5.2 管理要求 (12)5.2.1安全管理制度 (12)5.2.1.1 管理制度(G1) (12)5.2.1.2 制定和发布(G1) (12)5.2.2安全管理机构 (12)5.2.2.1 岗位设置(G1) (12)5.2.2.2 人员配备(G1) (12)5.2.2.3 授权和审批(G1) (12)5.2.2.4 沟通和合作(G1) (12)5.2.3人员安全管理 (12)5.2.3.1 人员录用(G1) (13)5.2.3.2 人员离岗(G1) (13)5.2.3.4 外部人员访问管理(G1) (13)5.2.4系统建设管理 (13)5.2.4.1 系统定级(G1) (13)5.2.4.2 安全方案设计(G1) (13)5.2.4.3 产品采购和使用(G1) (13)5.2.4.4 自行软件开发(G1) (13)5.2.4.5 外包软件开发(G1) (13)5.2.4.6 工程实施(G1) (13)5.2.4.7 测试验收(G1) (14)5.2.4.8 系统交付(G1) (14)5.2.4.9 安全服务商选择(G1) (14)5.2.5系统运维管理 (14)5.2.5.1 环境管理(G1) (14)5.2.5.2 资产管理(G1) (14)5.2.5.3 介质管理(G1) (14)5.2.5.4 设备管理(G1) (14)5.2.5.5 网络安全管理(G1) (14)5.2.5.6 系统安全管理(G1) (14)5.2.5.7 恶意代码防范管理(G1) (15)5.2.5.8 备份与恢复管理(G1) (15)5.2.5.9 安全事件处置(G1) (15)6第二级基本要求 (15)6.1 技术要求 (15)6.1.1物理安全 (15)6.1.1.1 物理位置的选择(G2) (15)6.1.1.2 物理访问控制(G2) (15)6.1.1.3 防盗窃和防破坏(G2) (15)6.1.1.4 防雷击(G2) (15)6.1.1.5 防火(G2) (15)6.1.1.6 防水和防潮(G2) (16)6.1.1.7 防静电(G2) (16)6.1.1.8 温湿度控制(G2) (16)6.1.1.9 电力供应(A2) (16)6.1.1.10 电磁防护(S2) (16)6.1.2网络安全 (16)6.1.2.1 结构安全(G2) (16)6.1.2.2 访问控制(G2) (16)6.1.2.3 安全审计(G2) (16)6.1.2.4 边界完整性检查(S2) (16)6.1.2.5 入侵防范(G2) (16)6.1.2.6 网络设备防护(G2) (17)6.1.3主机安全 (17)6.1.3.1 身份鉴别(S2) (17)6.1.3.2 访问控制(S2) (17)6.1.3.3 安全审计(G2) (17)6.1.3.4 入侵防范(G2) (17)6.1.3.5 恶意代码防范(G2) (17)6.1.3.6 资源控制(A2) (17)6.1.4应用安全 (18)6.1.4.1 身份鉴别(S2) (18)6.1.4.2 访问控制(S2) (18)36.1.4.4 通信完整性(S2) (18)6.1.4.5 通信保密性(S2) (18)6.1.4.6 软件容错(A2) (18)6.1.4.7 资源控制(A2) (18)6.1.5数据安全及备份恢复 (19)6.1.5.1 数据完整性(S2) (19)6.1.5.2 数据保密性(S2) (19)6.1.5.3 备份和恢复(A2) (19)6.2 管理要求 (19)6.2.1安全管理制度 (19)6.2.1.1 管理制度(G2) (19)6.2.1.2 制定和发布(G2) (19)6.2.1.3 评审和修订(G2) (19)6.2.2安全管理机构 (19)6.2.2.1 岗位设置(G2) (19)6.2.2.2 人员配备(G2) (19)6.2.2.3 授权和审批(G2) (19)6.2.2.4 沟通和合作(G2) (20)6.2.2.5 审核和检查(G2) (20)6.2.3人员安全管理 (20)6.2.3.1 人员录用(G2) (20)6.2.3.2 人员离岗(G2) (20)6.2.3.3 人员考核(G2) (20)6.2.3.4 安全意识教育和培训(G2) (20)6.2.3.5 外部人员访问管理(G2) (20)6.2.4系统建设管理 (20)6.2.4.1 系统定级(G2) (20)6.2.4.2 安全方案设计(G2) (20)6.2.4.3 产品采购和使用(G2) (21)6.2.4.4 自行软件开发(G2) (21)6.2.4.5 外包软件开发(G2) (21)6.2.4.6 工程实施(G2) (21)6.2.4.7 测试验收(G2) (21)6.2.4.8 系统交付(G2) (21)6.2.4.9 安全服务商选择(G2) (21)6.2.5系统运维管理 (22)6.2.5.1 环境管理(G2) (22)6.2.5.2 资产管理(G2) (22)6.2.5.3 介质管理(G2) (22)6.2.5.4 设备管理(G2) (22)6.2.5.5 网络安全管理(G2) (22)6.2.5.6 系统安全管理(G2) (23)6.2.5.7 恶意代码防范管理(G2) (23)6.2.5.8 密码管理(G2) (23)6.2.5.9 变更管理(G2) (23)6.2.5.10 备份与恢复管理(G2) (23)6.2.5.11 安全事件处置(G2) (23)6.2.5.12 应急预案管理(G2) (24)7第三级基本要求 (24)7.1 技术要求 (24)7.1.1物理安全 (24)7.1.1.2 物理访问控制(G3) (24)7.1.1.3 防盗窃和防破坏(G3) (24)7.1.1.4 防雷击(G3) (24)7.1.1.5 防火(G3) (25)7.1.1.6 防水和防潮(G3) (25)7.1.1.7 防静电(G3) (25)7.1.1.8 温湿度控制(G3) (25)7.1.1.9 电力供应(A3) (25)7.1.1.10 电磁防护(S3) (25)7.1.2网络安全 (25)7.1.2.1 结构安全(G3) (25)7.1.2.2 访问控制(G3) (26)7.1.2.3 安全审计(G3) (26)7.1.2.4 边界完整性检查(S3) (26)7.1.2.5 入侵防范(G3) (26)7.1.2.6 恶意代码防范(G3) (26)7.1.2.7 网络设备防护(G3) (26)7.1.3主机安全 (27)7.1.3.1 身份鉴别(S3) (27)7.1.3.2 访问控制(S3) (27)7.1.3.3 安全审计(G3) (27)7.1.3.4 剩余信息保护(S3) (27)7.1.3.5 入侵防范(G3) (28)7.1.3.6 恶意代码防范(G3) (28)7.1.3.7 资源控制(A3) (28)7.1.4应用安全 (28)7.1.4.1 身份鉴别(S3) (28)7.1.4.2 访问控制(S3) (28)7.1.4.3 安全审计(G3) (29)7.1.4.4 剩余信息保护(S3) (29)7.1.4.5 通信完整性(S3) (29)7.1.4.6 通信保密性(S3) (29)7.1.4.7 抗抵赖(G3) (29)7.1.4.8 软件容错(A3) (29)7.1.4.9 资源控制(A3) (29)7.1.5数据安全及备份恢复 (30)7.1.5.1 数据完整性(S3) (30)7.1.5.2 数据保密性(S3) (30)7.1.5.3 备份和恢复(A3) (30)7.2 管理要求 (30)7.2.1安全管理制度 (30)7.2.1.1 管理制度(G3) (30)7.2.1.2 制定和发布(G3) (30)7.2.1.3 评审和修订(G3) (30)7.2.2安全管理机构 (31)7.2.2.1 岗位设置(G3) (31)7.2.2.2 人员配备(G3) (31)7.2.2.3 授权和审批(G3) (31)7.2.2.4 沟通和合作(G3) (31)7.2.2.5 审核和检查(G3) (31)7.2.3人员安全管理 (32)57.2.3.2 人员离岗(G3) (32)7.2.3.3 人员考核(G3) (32)7.2.3.4 安全意识教育和培训(G3) (32)7.2.3.5 外部人员访问管理(G3) (32)7.2.4系统建设管理 (32)7.2.4.1 系统定级(G3) (32)7.2.4.2 安全方案设计(G3) (33)7.2.4.3 产品采购和使用(G3) (33)7.2.4.4 自行软件开发(G3) (33)7.2.4.5 外包软件开发(G3) (33)7.2.4.6 工程实施(G3) (33)7.2.4.7 测试验收(G3) (34)7.2.4.8 系统交付(G3) (34)7.2.4.9 系统备案(G3) (34)7.2.4.10 等级测评(G3) (34)7.2.4.11 安全服务商选择(G3) (34)7.2.5系统运维管理 (35)7.2.5.1 环境管理(G3) (35)7.2.5.2 资产管理(G3) (35)7.2.5.3 介质管理(G3) (35)7.2.5.4 设备管理(G3) (35)7.2.5.5 监控管理和安全管理中心(G3) (36)7.2.5.6 网络安全管理(G3) (36)7.2.5.7 系统安全管理(G3) (36)7.2.5.8 恶意代码防范管理(G3) (37)7.2.5.9 密码管理(G3) (37)7.2.5.10 变更管理(G3) (37)7.2.5.11 备份与恢复管理(G3) (37)7.2.5.12 安全事件处置(G3) (37)7.2.5.13 应急预案管理(G3) (38)8第四级基本要求 (38)8.1 技术要求 (38)8.1.1物理安全 (38)8.1.1.1 物理位置的选择(G4) (38)8.1.1.2 物理访问控制(G4) (38)8.1.1.3 防盗窃和防破坏(G4) (38)8.1.1.4 防雷击(G4) (38)8.1.1.5 防火(G4) (39)8.1.1.6 防水和防潮(G4) (39)8.1.1.7 防静电(G4) (39)8.1.1.8 温湿度控制(G4) (39)8.1.1.9 电力供应(A4) (39)8.1.1.10 电磁防护(S4) (39)8.1.2网络安全 (39)8.1.2.1 结构安全(G4) (39)8.1.2.2 访问控制(G4) (40)8.1.2.3 安全审计(G4) (40)8.1.2.4 边界完整性检查(S4) (40)8.1.2.5 入侵防范(G4) (40)8.1.2.6 恶意代码防范(G4) (40)8.1.2.7 网络设备防护(G4) (40)8.1.3.1 身份鉴别(S4) (41)8.1.3.2 安全标记(S4) (41)8.1.3.3 访问控制(S4) (41)8.1.3.4 可信路径(S4) (41)8.1.3.5 安全审计(G4) (41)8.1.3.6 剩余信息保护(S4) (42)8.1.3.7 入侵防范(G4) (42)8.1.3.8 恶意代码防范(G4) (42)8.1.3.9 资源控制(A4) (42)8.1.4应用安全 (42)8.1.4.1 身份鉴别(S4) (42)8.1.4.2 安全标记(S4) (43)8.1.4.3 访问控制(S4) (43)8.1.4.4 可信路径(S4) (43)8.1.4.5 安全审计(G4) (43)8.1.4.6 剩余信息保护(S4) (43)8.1.4.7 通信完整性(S4) (43)8.1.4.8 通信保密性(S4) (43)8.1.4.9 抗抵赖(G4) (44)8.1.4.10 软件容错(A4) (44)8.1.4.11 资源控制(A4) (44)8.1.5数据安全及备份恢复 (44)8.1.5.1 数据完整性(S4) (44)8.1.5.2 数据保密性(S4) (44)8.1.5.3 备份和恢复(A4) (44)8.2 管理要求 (45)8.2.1安全管理制度 (45)8.2.1.1 管理制度(G4) (45)8.2.1.2 制定和发布(G4) (45)8.2.1.3 评审和修订(G4) (45)8.2.2安全管理机构 (45)8.2.2.1 岗位设置(G4) (45)8.2.2.2 人员配备(G4) (46)8.2.2.3 授权和审批(G4) (46)8.2.2.4 沟通和合作(G4) (46)8.2.2.5 审核和检查(G4) (46)8.2.3人员安全管理 (46)8.2.3.1 人员录用(G4) (46)8.2.3.2 人员离岗(G4) (47)8.2.3.3 人员考核(G4) (47)8.2.3.4 安全意识教育和培训(G4) (47)8.2.3.5 外部人员访问管理(G4) (47)8.2.4系统建设管理 (47)8.2.4.1 系统定级(G4) (47)8.2.4.2 安全方案设计(G4) (47)8.2.4.3 产品采购和使用(G4) (48)8.2.4.4 自行软件开发(G4) (48)8.2.4.5 外包软件开发(G4) (48)8.2.4.6 工程实施(G4) (48)8.2.4.7 测试验收(G4) (48)8.2.4.8 系统交付(G4) (49)78.2.4.10 等级测评(G4) (49)8.2.4.11 安全服务商选择(G4) (49)8.2.5系统运维管理 (49)8.2.5.1 环境管理(G4) (49)8.2.5.2 资产管理(G4) (50)8.2.5.3 介质管理(G4) (50)8.2.5.4 设备管理(G4) (50)8.2.5.5 监控管理和安全管理中心(G4) (51)8.2.5.6 网络安全管理(G4) (51)8.2.5.7 系统安全管理(G4) (51)8.2.5.8 恶意代码防范管理(G4) (52)8.2.5.9 密码管理(G4) (52)8.2.5.10 变更管理(G4) (52)8.2.5.11 备份与恢复管理(G4) (52)8.2.5.12 安全事件处置(G4) (52)8.2.5.13 应急预案管理(G4) (53)9第五级基本要求 (53)附录A (54)关于信息系统整体安全保护能力的要求 (54)附录B (56)基本安全要求的选择和使用 (56)参考文献 (58)证券期货业信息系统安全等级保护基本要求1 范围本要求规定了不同安全保护等级信息系统的基本保护要求,包括基本技术要求和基本管理要求,适用于指导分等级的信息系统的安全建设和监督管理。
数据控制与信息管理程序(ISO17025-2017)
文件制修订记录1.0目的:为保证实验室采用计算机化和非计算机化检测校准工作的数据收集、处理、记录、报告、存储、检索、传输的准确、可靠、有效和保密,特制定本程序。
2.0适用范围本程序适用于计算机化和非计算机化进行检测校准过程的数据收集、处理、记录、报告、存储、检索、传输的控制与管理。
3.0引用文件3.1 CNAS-CL01:2018《检测和校准实验室能力认可准则》(ISO/IEC17025:2017)3.2 CL01-G001:2018《检测和校准实验室能力认可准则》应用说明4.0职责4.1检测校准人员准确采集和记录原始数据和结果,按规范和技术要求计算和处理数据。
4.2管理部专人负责检测校准原始记录、数据的统一保存管理。
5.0程序5.1用于数据和信息收集、处理、记录、报告、存储、检索、传输的信息管理系统,在投入使用前按新到测量设备进行验收,包括清点资料、附件、测量软件等,对其功能和技术性能进行有效确认,完成《设备(软件)验收确认记录》。
5.2对管理系统的变更、修改等,需重新进行验收确认。
5.3信息管理系统由专人负责(设备负责人)管理使用,设置密码(口令),确保测量控制软件的正确、有效、安全运行,以及系统突然失效的紧急措施办法。
5.4工作人员在使用信息管理系统时,包括实施操作使用测量控制软件前,应详细阅读有关说明文件(包括说明书、手册和参考数据等),充分了解测量过程和原理,以及有关使用注意事项。
5.5工作人员按照说明文件或软件提示执行测量程序。
如果测量过程中出现不正常现象,应立即停止测量工作。
同时报告管理层人员,组织分析根本原因,排除故障因素后再继续进行,需要记录详细情况。
5.6检测校准工作完成后,测量数据和结果应实时打印、或书面记录、或电子媒体(光盘、U盘、磁盘等)形式保存。
5.7工作人员对数据在转移过程中严格进行符合规定和要求的修约、计算、变更处理,并在原始记录上详细记录。
5.8原始记录中发生记录错误需要进行更正时,当事人员在错误数据上划二条横杠后,然后在旁边填写正确数据,并签名和时间。
信息安全策略
信息安全策略目 录31. 目的和范围 .............................................................................................32. 术语和定义 ................................................................................................3. 引用文件 ...................................................................................................554. 职责和权限 ................................................................................................5. 信息安全策略...............................................................................................665.1.信息系统安全组织 ......................................................................................资产管理 .............................................................................................95.2.人员信息安全管理 ......................................................................................5.3.物理和环境安全 ........................................................................................5.4.通信和操作管理 ........................................................................................5.5.信息系统访问控制 ......................................................................................5.6.信息系统的获取、开发和维护安全 .......................................................................5.7.信息安全事故处理 ......................................................................................5.8.业务连续性管理 ........................................................................................5.9.符合性要求 ...........................................................................................5.10.6. 附件 .......................................................................................................1.目的和范围1)本文档制定了的信息系统安全策略,作为信息安全的基本标准,是所有安全行为的指导方针,同时也是建立完整的安全管理体系最根本的基础。
个人信息保护管理制度
个人信息保护管理制度文档控制页一、总则为保证个人信息处理、使用及利用的目的与个人信息主体的意愿一致,不超目的、超范围处理、利用;加强信息系统个人信息数据的安全管理,保证个人信息安全,特制定本制度。
二、定义(一)个人信息:与特定个人相关、并可识别该个人的信息,如数据、图像、声音等,包括不能直接确认,但与其他信息对照、参考、分析仍可间接识别特定个人的信息。
(二)个人信息主体:可通过个人信息识别的特定的自然人。
(三)个人信息数据库:为实现一定的目的,按照某种规则组织的个人信息的集合体。
包括:磁介质、电子及网络媒介,纸介质,声音,照片等。
(四)个人信息管理者:获个人信息主体授权,基于特定、明确、合法目的,管理、处理、使用、利用个人信息的机关、企业、事业、社会团体等组织及个人。
(五)收集:基于特定、明确、合法的目的获取个人信息的行为。
(六)处理:处理个人信息的过程,如录入、加工、编辑、存储、检索、交换、传输、输出等行为及其它处理行为。
(七)使用:基于特定、明确、合法的目的,运用个人信息的行为。
(八)利用:基于特定、明确、合法的目的,提供、委托第三方处理、使用个人信息及其它因某种利益处理、使用个人信息的行为。
(九)隐私:是一种与公共利益、群体利益无关,当事人不愿他人知道或他人不便知道的个人信息,当事人不愿他人干涉或他人不便干涉的个人私事,以及当事人不愿他人侵入或他人不便侵入的个人领域。
(十)隐私权:隐私权是指自然人享有的私人生活安宁与私人信息秘密依法受到保护,不被他人非法侵扰、知悉、收集、利用和公开的一种人格权,而且权利主体对他人在何种程度上可以介入自己的私生活,对自己是否向他人公开隐私以及公开的范围和程度等具有决定权隐私权作为一种基木人格权利,是指公民享有的私人生活安宁与私人信息依法受到保护,不被他人非法侵扰、知悉、捜集、利用和公开的一种人格权三、职责(一)信息安全领导小组:负责个人信息管理者的个人信息保护工作。
人员网络及信息安全管理规定
XXXX单位或企业企业原则人员网络及信息安全管理规定2023-10-25公布2023-11-01实行XXXX单位或企业公布前言本原则由XXXX单位或企业原则化管理委员会提出。
本原则由XXXX单位或企业XXXX部门起草并归口管理。
本原则重要起草人:本原则由 XXX同意。
本原则初次公布于2023年10月25日,自本原则公布之日起, 《信息系统操作人员安全管理规定》同步废除。
人员网络及信息安全管理规定1 范围为规范企业信息系统安全人员管理, 保障企业信息安全, 根据《信息安全等级保护管理措施》、《信息系统安全管理规定》(GB/T19715.2--2023)以及企业有关规章制度, 制定本规定。
本原则规定了本企业内部人员、第三方运维人员等安全管理旳有关内容, 包括工作岗位风险分级、人员审核、人员录取、保密协议、人力调动、人员离职、人员考核、安全意识教育和培训、第三方人员安全等。
本原则合用于本企业内部人员及第三方人员旳管理与考核。
2 规范性引用文献3 无规范性引用文献, 保留本条款旳目旳是保持我司原则构造旳一致, 便于此后旳修订。
4 术语和定义3.1人员安全3.2是指通过管理和控制, 保证单位内部人员(尤其是信息系统旳管理维护人员)和第三方人员在安全意识、能力和素质等方面都满足工作岗位旳规定。
3.3第三方人员3.4是指来自外单位旳专业服务机构, 为本单位提供应用系统开发、网络管理和安全支持等信息技术外包服务旳工作人员。
3.5安全教育和培训5 是通过宣传和教育旳手段, 保证有关工作人员和信息系统管理维护人员充足认识信息安全旳重要性, 具有符合规定旳安全意识、知识和技能, 提高其进行信息安全防护旳积极性、自觉性和能力。
6 机构和职责4.1信息化建设项目实行小组4.1.1负责指导企业及两厂信息系统操作人员安全管理工作;4.1.2负责执行企业信息安全检查及管理工作;4.2研究国家和行业旳信息安全政策法规, 组织有关部门讨论来保证其符合性。
等级保护三级要求
信息系统安全等级保护基本要求(三级)GB/T 22239—2008目录7.1 技术要求.............................................................................................................................. - 1 - 7.1.1 物理安全.......................................................................................................................... - 1 - 7.1.1.1 物理位置的选择(G3).............................................................................................. - 1 - 7.1.1.2 物理访问控制(G3).................................................................................................. - 1 - 7.1.1.3 防盗窃和防破坏(G3).............................................................................................. - 1 - 7.1.1.4 防雷击(G3).............................................................................................................. - 1 - 7.1.1.5 防火(G3).................................................................................................................. - 1 - 7.1.1.6 防水和防潮(G3)...................................................................................................... - 2 - 7.1.1.7 防静电(G3).............................................................................................................. - 2 - 7.1.1.8 温湿度控制(G3)...................................................................................................... - 2 - 7.1.1.9 电力供应(A3).......................................................................................................... - 2 - 7.1.1.10 电磁防护(S3)........................................................................................................ - 2 - 7.1.2 网络安全.......................................................................................................................... - 2 - 7.1.2.1 结构安全(G3).......................................................................................................... - 2 - 7.1.2.2 访问控制(G3).......................................................................................................... - 3 - 7.1.2.3 安全审计(G3).......................................................................................................... - 3 - 7.1.2.4 边界完整性检查(S3).............................................................................................. - 3 - 7.1.2.5 入侵防范(G3).......................................................................................................... - 3 - 7.1.2.6 恶意代码防范(G3).................................................................................................. - 3 - 7.1.2.7 网络设备防护(G3).................................................................................................. - 4 - 7.1.3 主机安全.......................................................................................................................... - 4 - 7.1.3.1 身份鉴别(S3).......................................................................................................... - 4 - 7.1.3.2 访问控制(S3).......................................................................................................... - 4 - 7.1.3.3 安全审计(G3).......................................................................................................... - 4 - 7.1.3.4 剩余信息保护(S3).................................................................................................. - 5 - 7.1.3.5 入侵防范(G3).......................................................................................................... - 5 - 7.1.3.6 恶意代码防范(G3).................................................................................................. - 5 - 7.1.3.7 资源控制(A3).......................................................................................................... - 5 - 7.1.4 应用安全.......................................................................................................................... - 5 - 7.1.4.1 身份鉴别(S3).......................................................................................................... - 5 - 7.1.4.2 访问控制(S3).......................................................................................................... - 6 - 7.1.4.3 安全审计(G3).......................................................................................................... - 6 - 7.1.4.4 剩余信息保护(S3).................................................................................................. - 6 - 7.1.4.5 通信完整性(S3)...................................................................................................... - 6 - 7.1.4.6 通信保密性(S3)...................................................................................................... - 6 - 7.1.4.7 抗抵赖(G3).............................................................................................................. - 6 - 7.1.4.8 软件容错(A3).......................................................................................................... - 7 -7.1.5 数据安全及备份恢复...................................................................................................... - 7 - 7.1.5.1 数据完整性(S3)...................................................................................................... - 7 - 7.1.5.2 数据保密性(S3)...................................................................................................... - 7 - 7.1.5.3 备份和恢复(A3)...................................................................................................... - 7 - 7.2 管理要求.............................................................................................................................. - 8 - 7.2.1 安全管理制度.................................................................................................................. - 8 - 7.2.1.1 管理制度(G3).......................................................................................................... - 8 - 7.2.1.2 制定和发布(G3)...................................................................................................... - 8 - 7.2.1.3 评审和修订(G3)...................................................................................................... - 8 - 7.2.2 安全管理机构.................................................................................................................. - 8 - 7.2.2.1 岗位设置(G3).......................................................................................................... - 8 - 7.2.2.2 人员配备(G3).......................................................................................................... - 8 - 7.2.2.3 授权和审批(G3)...................................................................................................... - 9 - 7.2.2.4 沟通和合作(G3)...................................................................................................... - 9 - 7.2.2.5 审核和检查(G3)...................................................................................................... - 9 - 7.2.3 人员安全管理.................................................................................................................. - 9 - 7.2.3.1 人员录用(G3).......................................................................................................... - 9 - 7.2.3.2 人员离岗(G3)........................................................................................................ - 10 - 7.2.3.3 人员考核(G3)........................................................................................................ - 10 - 7.2.3.4 安全意识教育和培训(G3).................................................................................... - 10 - 7.2.3.5 外部人员访问管理(G3)........................................................................................ - 10 - 7.2.4 系统建设管理................................................................................................................ - 10 - 7.2.4.1 系统定级(G3)........................................................................................................ - 10 - 7.2.4.2 安全方案设计(G3)................................................................................................ - 10 - 7.2.4.3 产品采购和使用(G3)............................................................................................ - 11 - 7.2.4.4 自行软件开发(G3)................................................................................................ - 11 - 7.2.4.5 外包软件开发(G3)................................................................................................ - 11 - 7.2.4.6 工程实施(G3)........................................................................................................ - 11 - 7.2.4.7 测试验收(G3)........................................................................................................ - 12 - 7.2.4.8 系统交付(G3)........................................................................................................ - 12 - 7.2.4.9 系统备案(G3)........................................................................................................ - 12 - 7.2.4.10 等级测评(G3)...................................................................................................... - 12 - 7.2.4.11 安全服务商选择(G3).......................................................................................... - 12 - 7.2.5 系统运维管理................................................................................................................ - 13 - 7.2.5.1 环境管理(G3)........................................................................................................ - 13 - 7.2.5.2 资产管理(G3)........................................................................................................ - 13 - 7.2.5.3 介质管理(G3)........................................................................................................ - 13 - 7.2.5.4 设备管理(G3)........................................................................................................ - 13 - 7.2.5.5 监控管理和安全管理中心(G3)............................................................................ - 14 - 7.2.5.6 网络安全管理(G3)................................................................................................ - 14 - 7.2.5.7 系统安全管理(G3)................................................................................................ - 14 - 7.2.5.8 恶意代码防范管理(G3)........................................................................................ - 15 - 7.2.5.9 密码管理(G3)........................................................................................................ - 15 -7.2.5.11 备份与恢复管理(G3).......................................................................................... - 15 - 7.2.5.12 安全事件处置(G3).............................................................................................. - 15 - 7.2.5.13 应急预案管理(G3).............................................................................................. - 16 -7.1 技术要求7.1.1 物理安全7.1.1.1 物理位置的选择(G3)本项要求包括:a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
信息安全需检查项目
完善 建立 建立 建立 完善 建立 建立 建立 完善 完善 建立 完善 建立 建立 建立 建立 建立 建立 建立 建立 建立 建立 建立 建立 建立 完善 完善 完善 完善 完善 完善 完善 完善 完善 完善 完善 建立 建立 建立 建立 建立 完善
116 117 118 119 120 121 122 123 124 125 126
3.防入侵检测系统 4.网络边界防护 对网络进行分区分域管理 办公系统面临的安全风险分析评估 建立与应用相适应的安全策略,全面加强主机和应用系统 安全。 1.对等级保护测评中不符合项进行风险评估,制定整改建 设方案并按期完成 2.对数据库操作和运维管理要进行记录、分析和取证 3.终端接入要实现统一的认证、授权及审计 1.内网分级、分层、分域管理;划分为独立可管理和控制 的安全域相应的安全策略和保护手段 2.区域边界需部署防火墙和入侵防护系统 已完成等级保护测评的信息系统,需每年度进行等级保护 复测评 加强账户及口令管理 建立完善网站信息发布审核制度 信息安全管理机构部门需制定网站应急预案 1.门户网站系统安全测评 2.新增应用要进行安全评估 3.定期对网站链接进行安全性和有效性检查(旬度) 4.定期进行安全漏洞扫描(月度) 5.网站服务器及网络设备运行定期巡检(旬度) 6.数据应定期备份(半月度) 建立院内重点区域射频健康档案 1.建设射频安全管理系统 2.无线内网针对移动用户部署基于策略执行的防火墙及无 线入侵检测与防护系统 3.部署终端识别与认证系统 无线外网的安全防护,实行逻辑隔离,实行物理隔离,二 层遂道加密的模式进行数据传输 规范电子邮箱注册管理,严格邮箱账户及口令管理 1.部署邮件系统防护系统 2.邮件服务器应纳入防火墙的管理 3.定期对邮件服务器进行安全扫描 采用集中统一管理方式对终端计算机进行管理 规范化使用终端软硬件 1.对接入互联网的终端计算机采取控制措施 2.监控系统开启服务与程序情况 3.部署终端计算机安全漏洞扫描及杀毒软件 加强远程访问控制管理,禁止数据明文方式传送 1.对移动存储介质进行集中统一管理,记录介质领用、交 回、维修、报废、销毁等情况 2.每半年需对移动存储介质进行一次清查、核对, 明确内部网络范围,以及内部网络等级划分 1.定期检查边界服务器安全策略以及设备日志 2.对可访问互联网的终端进行登记备案 1.网络边界安全设备架设布局合理2.防火墙策略配置合理 建立健全信息安全事件应急处置工作机制
计算机信息安全管理制度
计算机信息安全管理制度1目的加强计算机网络及计算机信息安全管理,保障公司网络平台、应用系统的正常运行及数据安全,防止泄密。
2 范围适用于公司及各事业部、分公司、控股子公司(以下简称各经营单元)所有计算机信息安全管理。
3 术语3。
1 办公计算机:办公用台式机、笔记本电脑等属于公司资产的计算机设备。
3.2计算机信息:是指存储在计算机上的软件、数据、图纸等含有一定意义的计算机信息资料。
3。
3 内部网络:公司长沙园区网络及通过专线与长沙园区互联的其他园区、驻外机构网络(以下简称内网)。
3.4外部网络:互联网或除互联网和公司内网之外的第三方专网(以下简称外网)。
4 职责公司计算机信息安全采用集中控制、分级管理原则。
4.1公司信息化管理部门:负责制定公司计算机信息安全战略目标及信息安全策略、督导公司日常计算机信息安全管理,负责直属部门计算机信息安全日常工作。
负责协调公司内外部资源,处理公司重大计算机信息安全事件。
4。
2 经营单元信息化管理部门:负责本经营单元计算机信息安全日常工作,及时向公司信息化管理部门、督察部门报告重大计算机信息安全隐患和计算机信息安全事件。
4。
3计算机用户:负责本人领用的办公计算机日常保养、正常操作及安全管理,负责所接触信息的保密性、可用性和完整性;及时向信息化管理部门报告计算机信息安全隐患和计算机信息安全事件。
信息的起草人须按《保密制度》相关规定提出信息密级定级申请。
5 内容与要求5.1账号和密码安全管理5.1.1.信息化管理部门须统一生成信息系统用户账号,并确保身份账号在此系统生命周期中的唯一性;对账号密码信息进行加密处理,确保用户账号密码不被非授权地访问、修改和删除。
5.1.2.员工因工作岗位或职责变动需变更账号权限时,须向信息化管理部门提出申请权限变更。
信息化管理部门应及时变更异动员工的权限,冻结离职员工的账号。
5.1.3.员工使用公司计算机信息系统时,须参照附件9。
1《网络与计算机外部设备访问权限申请流程》,向信息化管理部门提出申请,经审批后方可取得账号和初始密码。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统变更管理办法审核记录第一章总则第一条为了对信息系统业务需求和IT的优化请求做出快速响应,同时有效控制变更风险,尽可能减少突发事件和变更失效,特制定本管理办法。
第二条变更管理的基本要求:1.变更申请必须经过评估,确保变更的合理性;2.变更必须经过周密的计划,确保变更实施和恢复方案的完整性和准确性;3.保证变更的透明性和各岗位间的有效沟通;4.确保变更有明确、完整的记录;5.变更实施后值班人员应加强观察和监控,确保变更达到预期目的。
第三条本管理办法适用于信息中心对信息系统所作的变更。
第二章组织机构与职责第四条为确保公司重要信息系统投产及变更工作的顺利开展,公司建立重要信息系统变更领导小组,负责统筹管理全公司重要信息系统的建设,听取重大项目变更的风险评估报告和内容的评审、审批,并对风险控制过程进行监督。
由主管信息技术的公司领导任组长,由信息中心、风险管理部、内控合规部、内部审计部、后勤服务部、办公室及各业务部门分管负责人任副组长,并下设技术组、业务组、评审组、保障组等小组,指定各部门相关人员为组员。
(一)技术组职责为:1、对重要信息系统变更业务影响情况进行分析和评估;2、负责重要信息系统变更的具体技术实施工作。
(二)业务组职责为:1、负责组织制定重要信息系统变更测试方案和业务应急处置方案;2、组织全公司各业务部室、各营业网点在重要信息系统变更实施过程中进行业务测试和业务应急处置。
(三)评审组职责为:1、对重要信息系统变更方案进行评审;2、负责对整个实施过程进行监督和审计。
(四)保障组职责为:1、提供重要信息系统变更所需人力、财力和物力等资源保障;2、做好对受影响客户的解释和安抚工作;3、组织对外发布公告,同时负责对相关第三方单位做好函告工作;4、负责做好电力、通讯、公安和消防等相关外部机构的应急协调机制和应急联动机制。
第三章变更分类第五条结合变更要求的迫切程度以及变更操作的规范性考虑,分为三类变更:紧急变更、一般变更和标准变更。
第六条根据不同的变更类型共分为以下四种变更:硬件变更、系统变更、网络变更、测试变更。
第七条紧急变更,是需要立即实施的变更,否则可能对大量用户、关键系统的服务质量或可用性产生重大影响。
第八条是否为紧急变更由技术部门负责人或指定的专人共同确定;必要时,技术部门负责人可以召集相关人员紧急商议。
第九条标准变更,适用于以下两种情况的任一种:(一)属于日常维护性质的低风险操作。
(二)已经执行过的且确认无影响的变更操作,并且在操作手册中具有经过验证的完整操作步骤(不符合定义或者不符合条件的操作,不能按照标准变更执行)。
第十条标准变更的管理流程可参考一般变更管理流程,但变更计划评审部分可以省略。
第十一条一般变更:除紧急变更、标准变更以外的变更,均属于一般变更。
第十二条第四章变更通知第十三条如变更对现有的业务系统和业务操作产生影响,在变更执行前5日应通知有关部门。
以便于各业务部门做好业务调整,避免变更冲突,减少对业务的影响。
第五章风险评估第十四条信息中心应从技术层面对重要信息系统变更风险进行识别、分析和评估,具体包括系统功能缺陷、客户信息泄露、业务中断、交易缓慢或其他因素可能造成的风险,并形成初步风险评估报告;风险管理部应对信息中心重要信息系统变更的初步风险评估报告进行确认,并组织相关管理部门对重要信息系统变更实施过程可能产生的操作风险、法律风险和声誉风险进行评估,并形成最终的风险评估报告。
第十五条重要信息系统变更风险评估流程(一)信息中心门在重要信息系统变更实施之前,需进行风险识别和初步分析并出具技术层面的风险分析评估报告;(二)风险管理部门织相关管理部门对重要信息系统变更风险进行整体风险分析和评估,并出具风险分析和评估结果和评判重要信息系统变更是否实际实施;(三)如有必要,风险管理部门可委托外部专家或具备相应资质的外部专业机构进行重要信息系统变更的风险评估工作第十六条重要信息系统变更风险评估报告(一)信息中心从技术层面对重要信息系统变更风险进行分析和评估,并出具风险评估报告;(二)风险管理部组织相关管理部门对重要信息系统变更实施过程可能产生的操作风险、法律风险和声誉风险进行评估,并形成最终的风险评估报告。
(三)风险管理部负责向高级管理层提交重大项目的风险评估报告,并取得高层审核结果;对于特别重大项目由董事会风险控制及关联交易委员会向董事会提交重大项目的风险评估报告,并取得董事会审核结果。
第十七条针对风险评估中发现的薄弱环节应制定整改方案,明确整改时间。
不具备整改条件的应采取风险缓释措施。
第六章变更控制第十八条一般变更管理流程划分为变更描述、变更评估、变更测试、变更实施、变更跟踪五个主要阶段,风险较大的变更必须制定详细应急和回退方案。
第十九条由信息中心统一组织协调信息系统变更工作,每年年初制定并发布本年度重要信息系统变更规则,在变更前应制定实施计划和实施方案,确定实施策略和步骤,明确岗位职责,确保关键岗位职责分离。
第二十条信息中心负责建立重要信息系统变更内容评审和审批、授权机制。
第二十一条内部审计部门对信息系统变更过程中所提交的有关文档资料进行审阅,了解是否具有相应的控制措施,指出存在的风险并提出评价和建议。
第二十二条为保障信息系统稳定运行,信息中心应按照对业务影响最小原则,采取与风险程度相适应的重要信息系统变更策略。
第二十三条信息中心应合理避开业务高峰期和敏感时段安排重要信息系统上线,办公室负责提前将重要信息系统变更可能对服务的影响告知客户。
第二十四条信息中心应建立充分、完整的测试体系,测试结果应经过信息中心和相关业务部门确认,并形成测试和验收报告,确保系统上线后的正常稳定运行以及系统功能与业务目标的一致性。
第二十五条信息中心应建立与生产环境相隔离的测试环境,测试环境应模拟生产环境的真实情况。
第二十六条信息中心应建立完善的版本管理制度,制定严格的审批、控制和操作流程,保存完整的日志记录。
拟变更的重要信息系统应保证版本完整、准确、有效,遵从系统开发和运行管理制度规范。
第二十七条信息中心应加强重要信息系统变更过程中的数据管理与质量控制;测试环境中使用的敏感生产数据应进行脱敏、变形处理;需要历史数据迁移的,应制定详细的数据迁移计划,并提前进行数据迁移测试和数据有效性、兼容性验证,确保迁移后数据的完整性、安全性和可用性。
第二十八条信息中心和相关业务管理部门应制定重要信息系统变更应急预案,并根据变更回退时间跨度要求制定相应的系统回退和应急处置计划和流程,必要时应实施演练,并在重要信息系统变更实施后及时更新各项相关应急预案。
第二十九条信息系统变更过程中, 信息中心应严格执行上线实施方案,加强监督与复核,避免操作失误和非法操作。
第三十条信息中心应加强信息系统变更过程的风险监控和预警,各相关部门协同做好应急准备。
第三十一条信息中心应制定并落实系统运行管理规程、制度,业务部门应制定和完善相关业务管理办法、操作规程,明确业务及运行管理职责,组织必要的培训,确保变更实施后业务顺利开展。
第三十二条重要信息系统变更实施后,业务部门、管理部门和信息科技部门应对变更的有效性进行验证。
第三十三条信息中心应对重要信息系统变更过程产生的各类文档资料进行管理,确保文档资料的完整性、及时性和有效性,并满足独立审计要求。
第三十四条一般信息系统变更由信息中心统筹管理,应建立事前审批、事中控制、事后评估的管理流程和实施细则;重要信息系统变更由重要信息系统变更领导小组统筹管理,相关管理流程详见附件一。
第三十五条为减少变更对信息系统稳定运行的负面影响,信息中心应按照对业务影响最小原则,规定合理的变更时间窗口,严格控制变更次数。
对于重要信息系统的变更,原则上每个重要信息系统每年不超过一次,全年累计重要信息系统的变更对业务持续性影响不超过四次。
第七章变更报告第三十六条重要信息系统变更前至少30个工作日、变更前至少20个工作日,由重要信息系统变更申请单位向变更评审小组提出申请,并由评审小组组织进行评审,重要信息系统变更前至少20个工作日、变更前至少10个工作日,须提交的评审材料包括但不限于:(一)总体说明:投产及变更目的、内容、计划起止时间、业务影响范围、联系人及联系方式等。
(二)重要信息系统基本信息,包括:系统名称,业务功能,操作系统、数据库、中间件情况,应用架构、技术架构、数据架构,生产主机备份方案、数据备份方案,运行管理等相关职能部门,是否纳入灾难恢复计划等。
(三)重要信息系统信息安全策略和措施,包括对账户、交易和客户敏感信息的安全控制措施等。
(四)涉及基础设施的,需提供基础设施基本信息,包括机房和网络方案。
机房方案包括等级标准、地址、供配电系统、消防、空调、弱电系统、机房加固、机房空间规划,以及机房验收报告等;网络方案包括网络架构分区、核心网络备份情况,以及区域间、外联网、互联网边界安全措施与网络监控措施等。
(五)采取外包方式的,需提交外包服务机构情况、外包服务内容、外包风险评估报告等。
(六)投产及变更方案,包括投产及变更的组织结构与实施计划、操作步骤等。
(七)风险评估报告,应包括业务影响分析,技术风险分析与评估,控制措施的有效性,以及剩余风险等。
(八)应急预案,包括应急处置组织结构,应急场景,应急处置流程、步骤,应急联系方式与报告路线等,实施演练的应提交演练总结报告。
第三十七条信息中心应在重要信息系统投产及变更实施后20天内完成重要信息系统变更事后总结报告材料,内容包括但不限于:变更方案执行情况、效果,问题发现和处理情况,后续改进措施等,如变更失败,应详细说明失败原因,并将事后报告抄送内控合规部、风险管理部。
重要信息系统变更流程:第八章附则第三十八条本办法由信息中心负责解释和修订。
第三十九条本办法自公布之日起执行。
附:变更记录表。