当前位置: 首页 > >

企业信息安全管理规范

发布时间:

企业信息安全管理规范
1 目的: 为保障信息设备正常运行、规范文件存储、保证数据安全、信息系统设备安全;
2 范围: 信息设备安全、应用系统安全、数据数据安全、用户信息安全、权限对照表、用户授权申请、用户培训。
3 作业内容: 3.1 信息设备安全 3.1.1 定义:信息设备安全指的是计算机、服务器、路由器、交换机、视讯等相关 IT 类硬件设 备的物理安全。 3.1.2 机房应选择在具有防震、防风和防雨等能力的建筑内。 3.1.3 机房应采取防电磁干扰措施,电源线和通信线缆应隔离,避免互相干扰,对重要设备和磁 介质实施电磁屏蔽。 3.1.4 机房应采取防静电、防水的相关措施。 3.1.5 机房应安装门禁、防雷、监视、消防、报警设施。 3.1.6 计算机系统供电应与其他供电分开。供电线路应设置冗余或并行的电力电缆线路,应建立 备用供电系统,以备常用供电系统停电时启用。 3.1.7 机房应配备 UPS 设备,以保证机房设备的电源能在发生断电的情况下维持机房所有设备 的电源供应。 3.1.8 定时检查机房环境温度、湿度情况,确保温度控制在 15℃~30℃的范围内,湿度控制在 35%~65%的范围内,以保证机房设备和系统的正常运行。 3.1.9 重要服务器及相关设备必须放置在机房内,并固定在机柜的相应位置。 3.1.10 应将通信线缆铺设在隐蔽处,不允许祼线部署。 3.1.11 信息设备安全机房设施,IT 部安排经授权人员专人管理,并设定电子门禁管制,未经授 权人员不可进入。外来人员进出机房应办理登记手续,并由专业管理人员陪同。 3.1.12 未经许可,任何人不得擅自拆卸、搬移、更换主机及网络设备的部件; 3.1.13 使用者电脑由用户管理。 3.1 应用系统安全 3.1.1 定义:应用系统安全指的是服务器、客户端操作系统、软件应用系统,如:Windows 操作 系统、server2003/08 系统,ERP、门禁、考勤、电话计费系统等。 3.1.2 应在主机操作系统中安装防病毒系统,并定期对服务器主机进行恶意代码查杀,及实时更 新病毒库。

企业信息和技术安全工作指引

1/4

3.1.3 防病毒系统应具有全方位网络恶意代码防护能力、集中管理与监控功能和系统自动更新功 能,而且系统必须具有较好的兼容性,不能影响各应用系统的正常运行。
3.1.4 设定指定邮箱接收防病毒系统自动更新信息及查杀病毒信息,并定时每周/每月检查系统 运行状态,查看日志记录,并予以分析处理。
3.1.5 所有主机应通过补丁服务器进行补丁统一自动分发。 3.2 网络安全
3.2.1 总体安全要求 3.2.1.1 应对计算机网络进行安全区域划分,不同安全区域具有不同安全等级,并采取相应 的安全防护措施。一般情况下,可划为如下几个区域: ? 办公内网:由本单位局域网内的服务器、客户端及相关设备组成的网络区域; ? 业务专网: 由集团公司及各级下属单位共同组成的通过专用 VPN 系统相连 接的广域网络; 3.2.1.2 应在不同网络安全区域之间采取安全隔离措施。 ? 业务专网和办公内网之间物理隔离; 3.2.1.3 未经许可,不得更改本单位安全区域内的重要配置。各单位应设计和绘制与当前运 行情况相符的网络*私峁雇迹蓖缤*私峁狗⑸谋涫保笆备隆 3.2.1.4 公司的网络设备及带宽的性能应能满足本单位所需最大资源的要求,并通过流量分 配措施对网络的各种应用合理分配相应的带宽,以保证重要应用系统的正常访问。 3.2.1.5 所有网络设备管理员帐号设置应满足安全性要求。 ? 口令长度应设置在 8 位字符以上、复杂度为数字、字母、特殊字符的组合,并 且定期更新; ? 当登录失败超过三次时结束会话连接并锁定账号 30 分钟以上,当网络登录连接 超时自动退出。 3.2.1.6 应对所有网络设备进行日志审计。 ? 审计内容应包含事件的日期和时间、用户、事件类型、事件成功情况; ? 应使用日志审计工具设置特定事件报警及生成日志报表; ? 应做好网络设备日志的保存工作,保存期大于 30 天,保存的日志不可修改。
3.2.2 业务专网安全管理 3.2.2.1 业务专网采用统一的专用 VPN 系统组网。 ? (办公内网采用硬件 VPN 方式接入业务专网; ? 移动办公用户采用 VPN 单机连接方式接入业务专网; ? VPN 连接必须采用安全的 VPN 连接协议,办公内网 VPN 互联必须采用硬件鉴 权和口令双重认证。

企业信息和技术安全工作指引

2/4

3.2.2.2 办公内网 VPN 互联应配置双物理线路,以提高网络可靠性。 3.3 数据安全及保密管理
3.3.1 数据库安全 3.3.1.1 数据库系统的管理员口令应设置为长度在 8 位字符以上、复杂性为数字、字母、特 殊字符的组合,并且定期更新。 3.3.1.2 对于数据库系统应有严格的资源访问控制策略,访问控制细粒度应达到数据库表级。 3.3.1.3 应严格限制数据库系统的默认用户访问权限,及时删除不必要的临时账号和测试账 号等。
3.3.2 数据备份 3.3.2.1 制定重要数据的备份与恢复方案,并建立相应的备份与恢复系统,要求如下: ? IT 授权人员每天将船务、报关、财务等重要资料进行备份,以防遗失。 ? IT 部每周将船务、报关、业务、财务等重要备份资料进行刻录光盘或硬盘备份,以防备 份数据恢复失败而存取不到相关资料。备份数据应定期每周提供一份至香港总部。 ? 任何未经授权许可人员不得随意将数据备份至其它电脑。 ? 所有资料数据不得存入电脑系统盘,以防遗失。相关人员在进行数据编辑处理时,应及 时存盘,公司电脑统一设定为每 15 分钟会自动存盘一次。
3.3.3 保密管理 3.3.3.1 公司保密的信息资*ǖ幌抻冢 ? 公司董事局资料,重大会议记录、纪要,保密期限内的重要决定事项;仅限经理级 及以上人员阅览。 ? 公司的年度工作总结,财务预算决算报告,缴纳税款、营业报表和各种综合统计报 表;仅限财务人员、公司高层阅览。 ? 公司有关销售业务资料;仅限业务部人员、公司高层阅览。 ? 货源信息和对供应商调研资料;仅限采购人员、授权人员及公司高层人员阅览。 ? 公司开发设计资料(包括技术图纸),技术资料和生产情况,公司新的样板,样板单, 公司规定的敏感产品等;仅限设计开发流程人员、QE 人员、业务主管、公司高层阅 览。 ? 客户提供的一切文件、重要信息资料等;限对口部门阅览。 ? 公司的安全防范状况及存在问题;仅限安全办、经理级人员阅览。 ? 公司员工违法违纪的检举、投诉、调查材料,发生案件、事故的调查登记资料;限行 政管理人员阅览。 ? 公司、法人代表的印章、营业执照、财务印章、合同协议;限指定人员阅览。 ? 其它由公司定义的商业及技术、安全机密.

企业信息和技术安全工作指引

3/4

3.3.3.2 公司的保密制度 ? 保密范畴内的文件、传真、邮件的收发登记、签收、催办、清退、借阅、归档由指 定人员处理; ? 凡涉及公司、客户机密文件资料的报废处理,必须由专人首先碎纸,不准未经碎纸丢 弃处理; ? 公司员工本人工作所持有的各种文件、资料、电子文档(磁碟,光盘等),当本人 离开办公室外出时,须存放入文件柜或抽屉,不准随意乱放,未经批准,不能复制抄 录或携带外出; ? 未经公司领导批准,不得向外界提供公司及客户的任何保密资料; ? 妥善保管好各种财务账册、公司证照、印章。
3.3.3.3 公司的保密措施 ? 公司与重要岗位人员签订《保密协议》,使公司的资*踩芊杀;ぃ ? 公司采购资料上锁、权限管制、定期检讨等措施确保资料及信息外泄、遗失、失窃 等; ? 公司中层以上领导,要自觉带头遵守保密制度。相关人员按公司要求签订“保密协 议”; ? 公司各部门要运用各种形式经常对所属员工进行保密教育,增强保密观念; ? 全体员工自觉遵守保密基本准则,做到:不该说的机密,绝对不说,不该看的机密,绝 对不看(含超越自己职责、业务范围的文件、资料、电子文档); ? 公司员工依照公司规定,保守公司秘密。发现他人泄密,应及时举报,同时公司应 立即采取补救措施,避免或减轻损害后果;对泄密或非法获取公司秘密的行为及时 检举投诉的,按照有关规定给予奖励; ? 对员工因不遵守公司规定,造成泄密事件,依照有关法规及公司的相关制度,按厂规 处理。严重者依法追究刑事责任。

企业信息和技术安全工作指引

4/4




友情链接: