216042014 信息安全管理制度.docx

《216042014 信息安全管理制度.docx》由会员分享，可在线阅读，更多相关《216042014 信息安全管理制度.docx（13页珍藏版）》请在第一文库网上搜索。

1、Q/DJSD-WYQ有限公司企业标准Q/DJSD-WYQ21604-2014代替Q/ZSD1-WYQ21104-2011信息安全管理201471-30发布2015-01-01实施XX有限公司发布目录前言21 范围32 规范性引用文件33 术语和定义34 职责45 管理内容与要求4本标准编制、修改所依据的规则为GB/T1.1-2009标准化工作导则第1部分：标准的结构和编写和Q/DJSD-WYQ20101.5标准化工作导则第5部分：管理标准编写规则。本标准代替原Q/ZSD1TYQ21104-2011信息安全管理，与Q/ZSD1-WYQ21104-2011相比，主要变化如下：一按XX公司关于企业标

2、准代号的最新规定，对本企业标准代号及正文中引用的相关企业标准代号进行了修改：一按公司最新组织机构调整情况，对原标准第4章“职责”和第5章“管理内容与要求”中的部门名称、职责等内容进行了修改；删除原标准中的“检查与考核”章节。本标准由XX有限公司标准化领导小组提出。本标准由XX有限公司标准化管理办公室归口。本标准起草单位：XX有限公司。本标准起草人：XX、XXoQ/DJSD-WYQ21604-2014历次版本发布情况如下：Q/ZSD1-WYQ21104-201Io信息安全管理规定1 范围本标准规定了XX有限公司（以下简称“公司”）信息安全管理的管理机构和职责、管理内容与要求等。本标准适用于公司信

3、息安全管理。2 规范性引用文件下列文件对于本标准的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本标准。凡不注日期的引用文件，其最新版本（包括所有的修改单）适用于本标准。GB2887计算站场地技术条件GB9361计算站场地安全要求GB17859计算机信息系统安全保护等级划分准则GB50173电子计算机机房设计规范Q/DJSD-WYQ213216S管理3 术语和定义下列术语和定义适用于本标准。3. 1信息安全指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。3.2信息安全分级信息安全分为A、B、C、

4、D四个等级： A级：高敏感信息，实行绝对强制保护； B级：敏感信息，实行强制保护； C级：内部管理信息，实行自主安全保护； D级：公共信息，实行一般安全保护。3.3计算机信息系统由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。3.4物理安全指保护计算机网络设施以及其他媒体免遭地震、水灾、火灾等环境事故与人为操作失误或错误,以及计算机犯罪行为而导致的破坏。4职责4.1 总经理工作部（以下简称“总经部”）职责4. 1.1是信息安全管理工作的归口管理部门，按照国家有关信息安全的法律、法规和本标准规定，开展信息安全管

5、理工作。4. 1.2组织并贯彻国家有关信息安全管理的法律、法规规定，负责公司信息安全工作的监督、检查、指导、协调和考核等工作。4. 1.3组织企业网络和信息安全实施计划等工作。4.1.4组织公司信息发布的安全等级界定，组织审查需要发布的信息，根据审查结果进行信息发布。4.1.5负责文字信息及磁介质资料信息管理。4.2生产部职责4.2.1负责贯彻国家有关信息安全管理的法律、法规规定，执行公司信息安全管理工作计划。4. 2.2负责本部门信息安全工作的监督、指导、检查和考核。4 .2.3参与公司信息发布的安全等级界定，参与需要发布的信息的审查工作。5 管理内容与要求5. 1基本原则5.1.1信息安全

6、管理实行“谁主管、谁负责、预防为主、综合治理、人员防范与技术防范相结合”的原则，逐级建立安全保障责任制，加强制度建设，逐步实现管理的科学化、规范化。5.1.2信息系统实行安全等级保护，信息系统的安全等级应根据信息的性质和重要程度，划分为A、B、C、D四级。5.1.3公司应建立健全信息安全管理组织机构，并根据GB17859计算机信息系统安全保护等级划分准则规定，对公司信息安全等级进行划分。5.2信息发布审核管理5.2.1发布的信息需总经部审核同意后及时发布。5.2.2信息发布申请部门应当确保发布信息准确、真实，符合国家有关法律、法规规定。5.2.3总经部应当对所发布的信息备案记录，以加强管理。5

7、.2.4总经部应当做好信息请求、处理、转发的备案工作。1.3 数据信息和资料信息的安全措施5. 3.1总经部负责文字信息及磁介质资料信息的安全管理工作。6. 3.2总经部建立信息设备管理及信息资料集中统一管理，并建立资料管理登记台账，详细记录信息资料的分类、名称、用途、借阅情况等，便于查找和使用。7. 3.3各项专业技术资料信息应集中统一保管，严格文件、资料借阅管理制度。8. 3.4生产部对各类应用系统和操作系统信息需用磁盘、光盘备份，对重要的可变数据信息应定时清理、备份，由档案室统一存档管理。9. 3.5对需要长期保存的数据信息磁盘、光盘，应在一年内进行转储，以防止数据失效造成损失。10.

8、3.6信息有关电子文件、数据要进行加密处理。为保密需要，应定期或不定期地更换不同保密方法或密码口令。11. 3.7对保密信息严加管理，不得遗失、私自传播。查询、打印有关保密信息资料需经总经部批准。12. 3.8存放备份数据信息的介质必须具有明确的标识。备份数据必须异地存放，并由总经部登记管理，档案室存档。13. 3.9对重要的业务应用系统、数据、信息和资料建立数据备份制度，并由总经部负责管理、异地保存。14. 3.10任何非应用性业务数据信息的使用及存放数据信息的设备或介质的调拨、转让、废弃或销毁必须公司审批同意，以保证备份数据安全完整。15. 3.11数据恢复，应按以下规定进行：a）数据恢复

9、前，须对原环境的数据进行备份，防止有用数据的丢失；b）数据恢复后，必须进行验证、确认，确保数据恢复的完整性和可用性。16. 3.12数据信息清理，应按以下规定进行：a）数据信息清理前必须对数据进行备份，在确认备份正确后方可进行清理操作；b）历次清理前的备份数据，要根据备份策略进行定期保存或永久保存，并确保可以随时使用；c）数据清理的实施应避开业务高峰期，避免对联机业务运行造成影响。17. 3.13需要长期保存的数据信息，由相关人员确认、信息管理人员制定转存方案，根据转存方案和查询使用方法要在介质有效期内进行转存，防止存储介质过期失效，通过有效的查询、使用方法保证数据的完整性和可用性。转存的数据

10、信息必须有详细的文档记录。18. 3.14技术人员在对信息设备、信息系统等进行维修、维护时，信息安全管理员应到现场进行全程监督。送修前，需将信息设备存储介质内应用软件和数据等涉经营管理的信息备份后删除，并进行登记。对修复的信息设备，设备维修人员应对设备进行验收、病毒检测和登记。19. 3.15对报废设备中存有的程序、数据信息资料进行备份后清除，并妥善处理废弃无用的资料信息和介质，防止泄密。20. 3.16涉密信息设备的维修和废弃，应按照保密资料处理办法执行，以确保秘密数据和信息不泄露。1.4 信息系统安全管理5. 4.1信息系统物理安全管理6. 4.1.1信息系统物理安全管理基本规定，包括：a

11、）信息系统的物理安全保障和系统所在环境的安全保护，应遵守GB50173电子计算机机房设计规范、GB2887计算站场地技术条件、GB9361计算站场地安全要求相关规定；b）网络设备、设施应配备相应的安全保障措施，包括防盗、防毁、防电磁干扰等应定期进行检查；c）对重要信息网络设备应配备专用电源或电源保护设备，以保证其正常、安全、稳定运行。7. 4.1.2客户机的物理安全管理，包括：a）客户机指信息网络系统的个人计算机、工作站、服务器、网络打印机及各种终端设备：b）使用人员应爱护客户机及与之相关的网络连接设备（包括网卡、网线、集线器、调制解调器等），按规程操作，不得对其实施人为损坏；c）客户机使用人

12、员不得擅自更改网络设置，杜绝一切影响网络正常运行的行为发生；d）在内外隔离的情况下，禁止将内外网客户机及其它设备交换使用，杜绝一切影响内网正常运行的行为发生；e）网络中的终端计算机在使用完毕后应及时关闭计算机和电源；D客户机使用人员不得利用客户机进行违法活动。5.4.1.3信息系统机房为长期不间断运行，应加强信息系统机房的安全管理，并做好防火、防盗、防病毒等安全工作，同时应要求公司所有员工严格遵守如下规定：a）工作人员要严格遵守操作规程，严禁违章作业；b）进入机房的工作人员，都必须严格执行机房的有关规定；c）工作人员，都必须严格遵守机房的安全、防火制度，严禁烟火；d）不准在机房内吸烟；e）未经

13、领导批准，严禁将照相机、摄像机和易燃、易爆物品带入机房：D外来实习或因工作需要进入信息系统机房人员，应经公司信息安全领导小组同意，办理机房准入手续，一般人员无故不得在机房长时间逗留；g）值班人员，要坚守工作岗位，不得擅离职守；h）在双休日、法定节假日期间，总经部应不定期检查信息系统的运行情况，如发现问题应及时解决，同时做好记录台账；i）机房内所有设备、仪器、仪表等物品要妥善保管，需信息管理人员批准、登记，方可向外移（带）设备及物品；j）值班人员应按Q/DJSDTYQ213216S管理规定，不得随意将杂物带入信息系统机房，不得在机房内进行其他非业务活动，定期进行卫生清扫，确保机房清洁、无杂物。5

14、.4.2信息系统网络安全管理5.4.2.1网络系统安全的内容包括以下五个方面：a）机密性：确保信息不暴露给未授权的实体或进程；b）完整性：未经授权的人不能修改数据，只有得到允许的人才能修改数据，并且能够分辨出被篡改的数据；c）可用性：得到授权的实体在合法的范围内可以随时随地访问数据，网络的攻击者不能阻碍网络资源的合法使用；d）可控性：可以控制授权范围内的信息流向和行为方式；e）可审查性：一旦出现安全问题，网络系统可以提供调查的依据和手段。5.4.2.2内部信息网络系统与外部公共信息网络系统必须物理隔离。5.4.2.3总经部应尽可能地改善网络系统的安全策略设置，尽量减少安全漏洞，关闭不使用的服务

15、,对不同级别的网络用户设置相应的资源访问权限。5.4.2.4总经部应当做好网络设备系统记录，定期检查，发现问题，及时解决。5.4.2.5重要的信息网络系统自运行开始，必须作好备份与恢复等应急措施，一旦系统出现问题能够及时恢复正常。5.4.2.6总经部负责网络系统的备份与恢复的技术规划、实施和操作，并作好详细记录。5.4.2.7总经部应定期或不定期对操作系统和数据库管理系统中的系统运行记录和数据库运行记录进行转储和保存，以便备查。5.4.2.8重要大型数据库应运行于专门的计算机服务器或工作站上，并异地备份。5.4.2.9网络安全检测，内容主要包括：a）总经部应当用网络安全检测工具对网络系统进行安全性分析，及时发现并修正存在的安全漏洞；b）总经部在系统检测完成后，应编写检测报告，需详细记叙检测的对象、手段、结果、建议和实施的补救措施与安全策略；c）检测报告存入系统档案。5.4.2.10网络反病毒。病毒的危害性巨大，对系统和信息的破坏程度具有不可测性，计算机用户和系统管理员应针对具体情况采取预防病毒技术、检测病毒技术