- 目錄
-
第1篇 27001信息安全管理體系審核員工作職責(zé)與職位要求
職位描述:
1.按照公司派遣計(jì)劃(app)要求,對(duì)指定申請(qǐng)組織進(jìn)行相應(yīng)領(lǐng)域(目前:質(zhì)量、環(huán)境、職業(yè)健康安全、信息安全、ec9000、13485、hse、食品安全、危害分析與關(guān)鍵控制點(diǎn)、資產(chǎn)管理體系、道路交通安全管理體系、服務(wù)認(rèn)證、產(chǎn)品認(rèn)證)標(biāo)準(zhǔn)規(guī)范進(jìn)行第三方現(xiàn)場(chǎng)合格評(píng)定活動(dòng);
2.定期參加公司組織的遠(yuǎn)程、面授培訓(xùn)及考試,積極提升自身的能力水平;
3.遵守公司的管理制度,按照規(guī)定流程執(zhí)行審核活動(dòng)的前期、現(xiàn)場(chǎng)、后期綜合程序;
4.遵守國(guó)家認(rèn)證認(rèn)可等行業(yè)主管單位的規(guī)定要求。
職位要求:
1. 年齡不限;
2.須取得中國(guó)認(rèn)證認(rèn)可協(xié)會(huì)(ccaa)頒發(fā)的國(guó)家注冊(cè)審核員,檢查員或?qū)彶閱T資格或已通過(guò)相應(yīng)領(lǐng)域的ccaa國(guó)家注冊(cè)審核員考試(基礎(chǔ)知識(shí)審核知識(shí))。
3.具有良好的責(zé)任心;
4.專職優(yōu)先。
5.待遇從優(yōu),工資底薪人天費(fèi)用組長(zhǎng)費(fèi)(適用時(shí))見(jiàn)證費(fèi)(適用時(shí))社保
6.從業(yè)4年以上,或能力優(yōu)秀者可以適當(dāng)交流調(diào)整底薪待遇。
7.專職應(yīng)履行不少于20個(gè)審核人日要求,或季度60個(gè)人日要求。
第2篇 人員離崗離職信息安全管理規(guī)定
為規(guī)范本單位計(jì)算機(jī)信息安全工作,更好的服務(wù)于本單位信息化建設(shè)需要,特制定本規(guī)定:
第一條為保證本單位的計(jì)算機(jī)與網(wǎng)絡(luò)信息安全,適應(yīng)信息安全等方面的需要,防止計(jì)算機(jī)網(wǎng)絡(luò)失密泄密事件發(fā)生,特制定本制度;
第二條工作人員離職之后仍對(duì)其在任職期間接觸、知悉的屬于本單位或者雖屬于第三方但本單位承諾或負(fù)有保密義務(wù)的秘密信息,承擔(dān)如同任職期間一樣的保密義務(wù)和不擅自使用的義務(wù),直至該秘密信息成為公開(kāi)信息,而無(wú)論離職人員因何種原因離職。
第三條離職人員因職務(wù)上的需要所持有或保管的一切記錄著本單位秘密信息的文件、資料、圖表、筆記、報(bào)告、信件、傳真、磁帶、磁盤(pán)、儀器以及其他任何形式的載體,均歸本單位所有,而無(wú)論這些秘密信息有無(wú)商業(yè)上的價(jià)值。
第四條離職人員應(yīng)當(dāng)于離職時(shí),或者于本單位提出請(qǐng)求時(shí),返還全部屬于本單位的財(cái)物,包括記載著本單位秘密信息的一切載體。若記錄著秘密信息的載體是由離職人員自備的,則視為離職人員已同意將這些載體物的所有權(quán)轉(zhuǎn)讓給本單位,本單位應(yīng)當(dāng)在離職人員返還這些載體時(shí),給予離職人員相當(dāng)于載體本身價(jià)值的經(jīng)濟(jì)補(bǔ)償;但秘密信息可以從載體上消除或復(fù)制出來(lái)時(shí),可以由本單位將秘密信息復(fù)制到本單位享有所有權(quán)的其他載體上,并把原載體上的秘密信息消除,此種情況下離職人員無(wú)須將載體返還,本單位也無(wú)須給予離職人員經(jīng)濟(jì)補(bǔ)償。
第五條離職人員離職時(shí),應(yīng)將工作時(shí)使用的電腦、u盤(pán)及其他一切存儲(chǔ)設(shè)備中關(guān)于工作相關(guān)或與本單位有利益關(guān)系的信息、文件等內(nèi)容交接給本單位相關(guān)人員,不得在離職后以任何形式帶走相關(guān)信息。
___________
年月日
第3篇 公司信息安全管理檢查執(zhí)行規(guī)定
1.檢查原則
根據(jù)違規(guī)行為的性質(zhì)、造成的后果及違規(guī)人的主觀意愿對(duì)違規(guī)行為進(jìn)行處罰。對(duì)在公司信息安全管理制度和措施上貫徹、監(jiān)控不力、權(quán)限審核不當(dāng),造成公司安全制度和措施難以落實(shí),安全管理工作混亂的部門(mén),部門(mén)負(fù)責(zé)人須承擔(dān)領(lǐng)導(dǎo)責(zé)任。對(duì)違反信息安全管理規(guī)定者,如其直接領(lǐng)導(dǎo)有明顯管理和指導(dǎo)不力的須承擔(dān)連帶責(zé)任。
2.檢查方式
公司技術(shù)部門(mén)抽調(diào)網(wǎng)絡(luò)管理人員,不定期對(duì)公司所屬公司辦公電腦進(jìn)行抽查。分析信息安全日志文件,排查違規(guī)電腦,追究相關(guān)當(dāng)事人。
3.檢查結(jié)果
對(duì)于故意盜竊、泄露公司保密信息的,或故意違反信息安全管理規(guī)定,性質(zhì)特別嚴(yán)重造成重大損失的,給予罰款、降薪、降職、辭退、直至開(kāi)除的處理,并賠償公司損失。對(duì)于觸犯國(guó)家法律的,移交國(guó)家司法機(jī)關(guān)依法處理。對(duì)違反公司信息安全制度規(guī)定,性質(zhì)較輕,在公司內(nèi)部系統(tǒng)給予點(diǎn)名通報(bào)批評(píng),并記錄在案,責(zé)令限期改正。
第4篇 網(wǎng)絡(luò)信息安全管理組織機(jī)構(gòu)設(shè)置工作職責(zé)
1:總則
1.1為規(guī)范北京愛(ài)迪通聯(lián)科技有限公司(以下簡(jiǎn)稱“公司”)信息安全管理工作,建立自上而下的信息安全工作管理體系,需建立健全相應(yīng)的組織管理體系,以推動(dòng)信息安全工作的開(kāi)展。
2:范圍
本管理辦法適用于公司的信息安全組織機(jī)構(gòu)和重要崗位的管理。
3:規(guī)范性引用文件
下列文件中的條款通過(guò)本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡注明日期的應(yīng)用文件,其隨后的所有的修改單或修訂版均不適用于本標(biāo)準(zhǔn)(不包括勘誤、通知單),然而,鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可以使用這些文件的最新版本。凡未注日期的引用文件,其最新版本適用于本標(biāo)準(zhǔn)
《信息安全技術(shù) 信息系統(tǒng)安全保障評(píng)估框架》(gb/t 20274.1-2006)
《信息安全技術(shù) 信息系統(tǒng)安全管理要求》(gb/t 20269-2006)
《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(gb/t 22239-2008)
4:組織機(jī)構(gòu)
4.1 公司成立信息安全領(lǐng)導(dǎo)小組,是信息安全的最高決策機(jī)構(gòu),下設(shè)辦公室,負(fù)責(zé)信息安全領(lǐng)導(dǎo)小組的日常事務(wù)。
4.2 信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)研究重大事件,落實(shí)方針政策和制定總體策略等。職責(zé)主要包括:
根據(jù)國(guó)家和行業(yè)有關(guān)信息安全的策略、法律和法規(guī),批準(zhǔn)公司信息安全總體策略規(guī)劃、管理規(guī)范和技術(shù)標(biāo)準(zhǔn);
確定公司信息安全各有關(guān)部門(mén)工作職責(zé),知道、監(jiān)督信息安全工作。
4.3 信息安全領(lǐng)導(dǎo)小組下設(shè)兩個(gè)工作組:信息安全工作組、應(yīng)急處理工作組。組長(zhǎng)均由公司負(fù)責(zé)人擔(dān)任。
4.4信息安全工作組的主要職責(zé)包括:
4.4.1 貫徹執(zhí)行公司信息安全領(lǐng)導(dǎo)小組的決議,協(xié)調(diào)和規(guī)范公司信息安全工作;
4.4.2 根據(jù)信息安全領(lǐng)導(dǎo)小組的工作部署,對(duì)信息安全工作進(jìn)行具體安排、落實(shí);
4.4.3 組織對(duì)重大的信息安全工作制度和技術(shù)操作策略進(jìn)行審查,擬定信息安全總體策略規(guī)劃,并監(jiān)督執(zhí)行;
4.4.4 負(fù)責(zé)協(xié)調(diào)、督促各職能部門(mén)和有關(guān)單位的信息安全工作,參與信息系統(tǒng)工程建設(shè)中的安全規(guī)劃,監(jiān)督安全措施的執(zhí)行;
4.4.5 組織信息安全工作檢查,分析信息安全總體狀況,提出分析報(bào)告和安全風(fēng)險(xiǎn)的防范對(duì)策;
4.4.6 負(fù)責(zé)接收各單位的緊急信息安全事件報(bào)告,組織進(jìn)行時(shí)間調(diào)查,分析原因、涉及范圍,并評(píng)估安全事件的嚴(yán)重程度,提出信息安全時(shí)間防范措施;
4.4.7 及時(shí)向信息安全工作領(lǐng)導(dǎo)小組和上級(jí)有關(guān)部門(mén)、單位報(bào)告信息安全時(shí)間。
4.4.8 跟蹤先進(jìn)的信息安全技術(shù),組織信息安全知識(shí)的培訓(xùn)和宣傳工作。
4.5應(yīng)急處理工作組的主要職責(zé)包括:
4.5.1 審定公司網(wǎng)絡(luò)與信息系統(tǒng)的安全應(yīng)急策略及應(yīng)急預(yù)案;
4.5.2 決定相應(yīng)應(yīng)急預(yù)案的啟動(dòng),負(fù)責(zé)現(xiàn)場(chǎng)指揮,并組織相關(guān)人員排除故障,恢復(fù)系統(tǒng);
4.5.3 每年組織對(duì)信息安全應(yīng)急策略和應(yīng)急預(yù)案進(jìn)行測(cè)試和演練。
4.6 公司應(yīng)指定分管信息的領(lǐng)導(dǎo)負(fù)責(zé)本單位信息安全管理,并配備信息安全技術(shù)人員,有條件的應(yīng)設(shè)置信息安全工作小組或辦公室,對(duì)公司信息安全領(lǐng)導(dǎo)小組和工作小組負(fù)責(zé),落實(shí)本單位信息安全工作和應(yīng)急處理工作。
5: 關(guān)鍵崗位
5.1 設(shè)置信息系統(tǒng)的關(guān)鍵崗位并加強(qiáng)管理,配備系統(tǒng)管理員、網(wǎng)絡(luò)管理員、應(yīng)用開(kāi)發(fā)管理員、安全審計(jì)員、安全保密管理員要求無(wú)人各自獨(dú)立。要害崗位人員必須嚴(yán)格遵守保密法規(guī)和有關(guān)信息安全的管理規(guī)定。
5.2 系統(tǒng)管理員主要職責(zé)有:
5.2.1負(fù)責(zé)系統(tǒng)的運(yùn)行管理,實(shí)施系統(tǒng)安全運(yùn)行細(xì)則;
5.2.2嚴(yán)格用戶權(quán)限管理,維護(hù)系統(tǒng)安全正常運(yùn)行;
5.2.3認(rèn)真記錄系統(tǒng)安全事項(xiàng),及時(shí)向信息安全人員報(bào)告安全事件;
5.2.4對(duì)進(jìn)行系統(tǒng)操作的其他人員予以安全監(jiān)督。
5.3網(wǎng)絡(luò)管理員的主要職責(zé)有:
5.3.1負(fù)責(zé)網(wǎng)絡(luò)的運(yùn)行管理,實(shí)施網(wǎng)絡(luò)安全策略和安全云心細(xì)則;
5.3.2安全配置網(wǎng)絡(luò)參數(shù),嚴(yán)格控制網(wǎng)絡(luò)用戶訪問(wèn)權(quán)限,維護(hù)網(wǎng)絡(luò)安全正常運(yùn)行;
5.3.3監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)端口、網(wǎng)絡(luò)物理線路,防范黑客入侵,及時(shí)向信息安全人員報(bào)告安全事件;
5.3.4對(duì)操作網(wǎng)絡(luò)管理功能的其他人員進(jìn)行安全監(jiān)督。
5.4應(yīng)用開(kāi)發(fā)管理員主要職責(zé)有:
5.4.1負(fù)責(zé)在系統(tǒng)開(kāi)發(fā)建設(shè)中,嚴(yán)格執(zhí)行系統(tǒng)安全策略,保證系統(tǒng)安全功能的準(zhǔn)確實(shí)現(xiàn);
5.4.2系統(tǒng)投產(chǎn)運(yùn)行前,完整移交系統(tǒng)相關(guān)的安全策略等資料;
5.4.3不得對(duì)系統(tǒng)設(shè)置“后門(mén)”;
5.4.4對(duì)系統(tǒng)核心技術(shù)保密等。
5.5安全審計(jì)員負(fù)責(zé)對(duì)設(shè)計(jì)系統(tǒng)安全的事件和各類操作人員的行為進(jìn)行審計(jì)和監(jiān)督,主要職能包括:
5.5.1按操作員證書(shū)號(hào)進(jìn)行審計(jì);
5.5.2按操作時(shí)間審計(jì);
5.5.3按操作類型審計(jì);
5.5.4事件類型進(jìn)行審計(jì);
5.5.5日志管理等。
5.6安全保密管理員負(fù)責(zé)日常安全保密管理活動(dòng),主要職責(zé)有:
5.6.1監(jiān)視全網(wǎng)運(yùn)行和安全告警信息
5.6.2網(wǎng)絡(luò)審計(jì)信息的常規(guī)分析
5.6.3安全設(shè)備的常規(guī)設(shè)置和維護(hù)
5.6.4執(zhí)行應(yīng)急中心指定的具體安全策略
5.6.5向應(yīng)急管理機(jī)構(gòu)和領(lǐng)導(dǎo)機(jī)構(gòu)報(bào)告重大的網(wǎng)絡(luò)安全時(shí)間等。
6 附則
6.1本辦法由公司科技部負(fù)責(zé)解釋。
6.2本辦法自發(fā)布之日起實(shí)施。
第5篇 保密和信息安全管理規(guī)定
為了防止信息和技術(shù)的泄密,導(dǎo)致嚴(yán)重災(zāi)難的發(fā)生,特制訂本規(guī)定:
一、公司秘密包括:
1、公司股東、董事會(huì)資料,會(huì)議記錄、紀(jì)要,保密期限內(nèi)的重要決定事項(xiàng);
2、公司的年度工作總結(jié),財(cái)務(wù)預(yù)算決算報(bào)告,繳納稅款、營(yíng)銷報(bào)表和各種綜合統(tǒng)計(jì)報(bào)表;
3、公司業(yè)務(wù)資料,貨源情報(bào)和對(duì)供應(yīng)商調(diào)研資料;
4、公司開(kāi)發(fā)設(shè)計(jì)資料、技術(shù)資料和生產(chǎn)情況;
5、客戶提供的一切文件、資料等;
6、公司各部門(mén)人員編制、調(diào)整、未公布的計(jì)劃,員工福利待遇資料;
7、公司的安全防范狀況及存在問(wèn)題;
8、公司員工違法違紀(jì)的檢舉、投訴、調(diào)查材料,發(fā)生案件、事故的調(diào)查登記資料;
9、公司、法人代表的印章、營(yíng)業(yè)執(zhí)照、財(cái)務(wù)印章、合同協(xié)議。
二、公司的保密制度:
1、文件、傳真、郵件的收發(fā)登記、簽收、催辦、清退、借閱、歸檔由指定人員處理;
2、凡涉及公司內(nèi)部秘密的文件資料的報(bào)廢處理,必須首先碎紙,不準(zhǔn)未經(jīng)碎紙丟棄處理;
3、公司員工本人工作所持有的各種文件、資料、電子文檔(便攜設(shè)備,光盤(pán)等),當(dāng)本人離開(kāi)辦公室外出時(shí),須存放入文件柜或抽屜,不準(zhǔn)隨意亂放,未經(jīng)批準(zhǔn),不能復(fù)制抄錄或攜帶外出;
4、未經(jīng)公司領(lǐng)導(dǎo)批準(zhǔn),不得向外界提供公司的任何保密資料;
5、未經(jīng)公司領(lǐng)導(dǎo)批準(zhǔn),不得向外界提供客戶的任何資料;
6、妥善保管好各種財(cái)務(wù)賬冊(cè)、公司證照、印章。
三、電腦保密措施:
1、不要將機(jī)密文件及可能是受保護(hù)文件隨意存放,文件的存放在分類分目錄存放于指定位置;
2、未經(jīng)領(lǐng)導(dǎo)許可,不要打開(kāi)或嘗試打開(kāi)他人文件,以避免泄密或文件的損壞;
3、對(duì)不明來(lái)歷的郵件或文件不要查看或嘗試打開(kāi),以避免計(jì)算機(jī)中病毒,并盡快請(qǐng)電腦室人員來(lái)檢查。
4、在一些郵件中的附件中,如果有可疑附件時(shí),請(qǐng)先用殺毒軟件詳細(xì)查殺后再使用,或請(qǐng)電腦室人員處理。
5、不要隨便嘗試不明的或不熟悉的計(jì)算機(jī)操作步驟。遇到計(jì)算機(jī)發(fā)生異常而自己無(wú)法解決時(shí),就立即通知電腦部門(mén)外,請(qǐng)專業(yè)人員解決;
6、不要隨便安裝或使用不明來(lái)源的軟件或程序。不要隨便運(yùn)行或刪除電腦上的文件或程序。
7、收到無(wú)意義的郵件后,應(yīng)及時(shí)清除,不要蓄意或惡意地回寄這些郵件。
8、不向他人披露使用密碼,防止他人接觸計(jì)算機(jī)系統(tǒng)造成意外。
9、定期更換密碼,如發(fā)現(xiàn)密碼已泄漏,就盡快更換。公司規(guī)定是三個(gè)月一換。it部門(mén)負(fù)責(zé)監(jiān)督。定期用殺毒程序掃描計(jì)算機(jī)系統(tǒng)。對(duì)于新的軟件、檔案或電子郵件,應(yīng)選用殺毒軟件掃描,檢查是否帶有病毒、有害的程序編碼,進(jìn)行適當(dāng)?shù)奶幚砗蟛趴砷_(kāi)啟使用。
10、先以加密技術(shù)保護(hù)敏感的數(shù)據(jù)文件,然后才通過(guò)公司網(wǎng)絡(luò)及互聯(lián)網(wǎng)進(jìn)行傳送。在適當(dāng)?shù)那闆r下,利用數(shù)定證書(shū)為信息及數(shù)據(jù)加密或加上數(shù)字簽名。
11、對(duì)于不熟的人員,請(qǐng)不要讓其隨意使用你的計(jì)算機(jī)。
12、不要隨意將公司或個(gè)人的文件發(fā)送給他人,或打開(kāi)給他人查看或使用。
13、在計(jì)算機(jī)使用或管理上如有任何疑問(wèn),請(qǐng)?jiān)儐?wèn)電腦室人員。
四、公司的保密措施:
1、公司中層以上領(lǐng)導(dǎo),要自覺(jué)帶頭遵守保密制度。
2、公司各部門(mén)要運(yùn)用各種形式經(jīng)常對(duì)所屬員工進(jìn)行保密教育增強(qiáng)保密觀念。
3、全體員工自覺(jué)遵守保密基本準(zhǔn)則,做到:不該說(shuō)的機(jī)密,絕對(duì)不說(shuō),不該看的機(jī)密,絕對(duì)不看(含超越自己職責(zé)、業(yè)務(wù)范圍的文件、資料、電子文檔)。
4、對(duì)員工因不遵守公司規(guī)定,造成泄密事件,依照有關(guān)法規(guī)及公司的獎(jiǎng)懲規(guī)定,給予紀(jì)律制裁.解雇,直至追究刑事責(zé)任。
第6篇 海港工程建設(shè)項(xiàng)目信息安全管理對(duì)策探析
海港工程就是在港口、碼頭、堤壩等建造于入??诤徒痈浇墓こ淘O(shè)施,以及一些相關(guān)的配套設(shè)施,比如裝卸設(shè)施、進(jìn)港航道、水上導(dǎo)航設(shè)施等。海港工程項(xiàng)目的建設(shè),能夠更加良好地利用河、海、江、湖等水體資源。為了提高海港工程的建設(shè)質(zhì)量,增強(qiáng)海港工程的建設(shè)管理,一定要采取保證信息安全的措施。本文將從移動(dòng)存儲(chǔ)設(shè)備管理、紙質(zhì)文檔資料管理、辦公設(shè)備和工地設(shè)備管理三個(gè)方面介紹海港工程當(dāng)中保證信息安全的具體對(duì)策。
信息技術(shù)的發(fā)展對(duì)人類社會(huì)的影響是多種多樣的,體現(xiàn)在各個(gè)行業(yè)和各個(gè)領(lǐng)域。對(duì)于海港工程的建設(shè)來(lái)說(shuō),信息安全是極為重要的。信息安全包括信息的保密性、真實(shí)性、完整性、安全性等等。實(shí)行信息安全管理,能夠防止建設(shè)項(xiàng)目和建設(shè)單位的機(jī)密發(fā)生泄漏,提高海港工程的建設(shè)效率和建設(shè)質(zhì)量,讓企業(yè)收獲更多的經(jīng)濟(jì)效益。對(duì)于現(xiàn)代的工程建設(shè)來(lái)說(shuō),各種資料、數(shù)據(jù)信息的載體已經(jīng)從紙張向移動(dòng)存儲(chǔ)設(shè)備轉(zhuǎn)移。各種病毒、木馬程序和間諜軟件給信息安全帶來(lái)嚴(yán)重的威脅。為了保護(hù)海港工程中的重要信息,必須要采取針對(duì)性的對(duì)策和措施。
一、對(duì)移動(dòng)存儲(chǔ)設(shè)備的管理
(一)限制外接。在海港工程各種數(shù)據(jù)和資料的傳遞過(guò)程中,需要通過(guò)外接設(shè)備或者網(wǎng)絡(luò)接口來(lái)進(jìn)行[1]。在這一過(guò)程當(dāng)中,很容易被黑客攻擊,對(duì)系統(tǒng)進(jìn)行入侵,竊取海港工程的重要信息和資料。所以在傳輸信息和資料時(shí),要嚴(yán)格限制外接設(shè)備與網(wǎng)絡(luò)接口的使用。一方面,要對(duì)打印機(jī)、刻錄機(jī)、光驅(qū)、軟驅(qū)等常用的外接設(shè)備的使用作出限制,實(shí)行集中管理與統(tǒng)一使用。這些設(shè)備只能用于海港工程的信息傳輸,不得用于其他用途,對(duì)于用不到的設(shè)備要及時(shí)封禁。平時(shí)要有專門(mén)的設(shè)備管理人員將設(shè)備進(jìn)行編號(hào),分別進(jìn)行保管,使用時(shí)要提前申請(qǐng),用完后要及時(shí)交還。另一方面,要限制內(nèi)部人員的行為,不得將外接設(shè)備和網(wǎng)絡(luò)接口用于私人目的,不得私自以打印、刻錄的形式竊取工程信息,不得違反外接設(shè)備和網(wǎng)絡(luò)接口的使用規(guī)范。
(二)刻錄和打印。除了加強(qiáng)對(duì)外接設(shè)備和網(wǎng)絡(luò)接口進(jìn)行管理,防止在數(shù)據(jù)傳輸過(guò)程中發(fā)生資料泄露之外,還要加強(qiáng)對(duì)內(nèi)部網(wǎng)絡(luò)非法打印、光盤(pán)刻錄等行為的打擊[2]。如果由于工作需要進(jìn)行光盤(pán)刻錄行為,必須要向信息管理部門(mén)提出申請(qǐng),經(jīng)過(guò)審批以后方可進(jìn)行。光盤(pán)刻錄要到專門(mén)部門(mén)當(dāng)中去進(jìn)行,并且由相關(guān)部門(mén)全程跟蹤光盤(pán)的流向,避免用于私人目的。對(duì)于打印的安全管理,首先要屏蔽用戶主機(jī)的打印接口,防止用戶私自打印。如果需要打印,要向信息管理中心發(fā)送申請(qǐng),取得許可之后,到打印部門(mén)進(jìn)行打印。在打印的時(shí)候,要保證資料從電腦傳輸?shù)酱蛴C(jī)的過(guò)程中不會(huì)被截取,打印之后的文件不得隨意閱讀或者拿走。信息管理部門(mén)要根據(jù)文件的價(jià)值劃分文件的保密級(jí)別,分別制定打印規(guī)范條款,實(shí)行信息的精細(xì)化管理。
(三)存儲(chǔ)設(shè)備。在海港工程項(xiàng)目的建設(shè)過(guò)程中,很多施工單位和部門(mén)之間都需要通過(guò)軟盤(pán)、磁盤(pán)、光盤(pán)來(lái)傳遞信息。一旦這些載體丟失、被盜、發(fā)生損壞,都容易造成信息泄露事故,給企業(yè)造成經(jīng)濟(jì)損失,甚至泄露企業(yè)和國(guó)家機(jī)密。廢棄的軟盤(pán)、磁盤(pán)、光盤(pán)等存儲(chǔ)設(shè)備仍然具有一些磁力特性,一旦發(fā)生永久性的磁化反映,就容易造成內(nèi)部存儲(chǔ)信息的泄露[3]。所以,海港工程的信息管理中心要控制廢棄存儲(chǔ)設(shè)備的流通范圍,將不再使用的存儲(chǔ)設(shè)備交給保密機(jī)構(gòu)進(jìn)行統(tǒng)一的脫密和銷毀,還要做好登記和記錄。
二、對(duì)紙質(zhì)文檔資料的管理
雖然海港工程的建設(shè)已經(jīng)加大了對(duì)移動(dòng)存儲(chǔ)設(shè)備的依賴程度,但是仍然需要大量的紙質(zhì)文檔來(lái)記錄、保存、傳輸各種機(jī)密信息。為了確保海港工程建設(shè)的信息安全,要采取必要的措施對(duì)紙質(zhì)文檔資料進(jìn)行管理。首先,要制定紙質(zhì)文檔資料的保密條例,防止文檔的非法閱讀、非法調(diào)用和非法復(fù)印。其次,在制作紙質(zhì)文檔和紙質(zhì)文件的時(shí)候,草稿紙、復(fù)寫(xiě)紙、計(jì)算機(jī)表格、演算紙等制作過(guò)程中的廢棄用具也不能隨意丟棄,要嚴(yán)格按照保密條例的規(guī)定進(jìn)行銷毀,避免資料泄露。最后,對(duì)于文檔資料的傳閱范圍和傳閱步驟也要進(jìn)行嚴(yán)格規(guī)定。同時(shí),對(duì)于各種公共媒體上的報(bào)道,也要進(jìn)行審核,避免涉密信息被公諸于眾。
三、對(duì)辦公設(shè)備和工地設(shè)備的管理
(一)辦公設(shè)備的管理。海港工程的信息管理部門(mén)要將辦公所用的電腦設(shè)備劃分為涉密計(jì)算機(jī)和非涉密計(jì)算機(jī)。涉密計(jì)算機(jī)必須要進(jìn)行登記,按照編號(hào)分配人員進(jìn)行專門(mén)管理。而非涉密計(jì)算機(jī)嚴(yán)禁儲(chǔ)存涉密信息。信息安全管理要綜合從信息技術(shù)、安全管理策略、安全管理措施等多個(gè)角度來(lái)考慮信息管理體制背后所隱藏的風(fēng)險(xiǎn)。信息管理部門(mén)需要通過(guò)網(wǎng)絡(luò)軟件監(jiān)控各個(gè)計(jì)算機(jī)的工作狀況,尤其是涉密計(jì)算機(jī)的工作狀況,審核項(xiàng)目?jī)?nèi)部網(wǎng)絡(luò)和項(xiàng)目?jī)?nèi)外網(wǎng)絡(luò)間的數(shù)據(jù)傳輸、信息交流。另外,信息管理軟件還要記錄各個(gè)工作人員和用戶的操作情況,在發(fā)生風(fēng)險(xiǎn)的時(shí)候發(fā)出警報(bào)信號(hào),在發(fā)生非法操作的時(shí)候能夠留下記錄,以便工作人員尋求證據(jù)。
(二)工地設(shè)備的管理。由于信息技術(shù)的發(fā)達(dá),信息傳輸手段變得多樣化,所以信息發(fā)生泄露的可能性也增大,給信息安全管理帶來(lái)了難度。對(duì)此,海港工程的信息管理部門(mén)需要提高警惕,防止落入信息系統(tǒng)、設(shè)備、部件當(dāng)中一些人為設(shè)置的陷阱。比如,一些從境外引入的信息產(chǎn)品和施工設(shè)備,都可能存在“陷阱”,在使用過(guò)程中發(fā)生信息泄露。這就需要在施工之前對(duì)設(shè)備進(jìn)行嚴(yán)格的技術(shù)審查和安全審查,并且為這種“陷阱”制定應(yīng)急處理方案。另外,在海港工程的建設(shè)過(guò)程中,要采取必要的措施保護(hù)項(xiàng)目?jī)?nèi)部的通訊。比如對(duì)通信信號(hào)進(jìn)行加密,或者是對(duì)外部信號(hào)進(jìn)行屏蔽等。
四、結(jié)論
海港工程的建設(shè),能夠更好地利用我國(guó)的水體資源,促進(jìn)沿海地區(qū)的經(jīng)濟(jì)發(fā)展。我國(guó)的工程建設(shè)已經(jīng)出現(xiàn)了信息化的趨勢(shì),資料、數(shù)據(jù)、信息的存儲(chǔ)和傳輸已經(jīng)開(kāi)始從紙張形式轉(zhuǎn)變成電子形式。為了保護(hù)企業(yè)和國(guó)家的機(jī)密,提高海港工程的建設(shè)效率和建設(shè)質(zhì)量,必須加強(qiáng)對(duì)海港工程的信息安全管理。對(duì)此,要成立專門(mén)的信息管理部門(mén),加強(qiáng)對(duì)移動(dòng)存儲(chǔ)設(shè)備、紙質(zhì)文檔資料、辦公設(shè)備和工地設(shè)備的管理,制定信息安全管理的規(guī)章制度和具體措施。
第7篇 學(xué)校網(wǎng)絡(luò)信息安全管理應(yīng)急預(yù)案
為確保網(wǎng)絡(luò)正常使用,充分發(fā)揮網(wǎng)絡(luò)在信息時(shí)代的作用,促進(jìn)教育信息化健康發(fā)展,根據(jù)國(guó)務(wù)院《互聯(lián)網(wǎng)信息服務(wù)管理辦法》和有關(guān)規(guī)定,特制訂本預(yù)案,妥善處理危害網(wǎng)絡(luò)與信息安全的突發(fā)事件,最大限度地遏制突發(fā)事件的影響和有害信息的擴(kuò)散。
一、危害網(wǎng)絡(luò)與信息安全突發(fā)事件的應(yīng)急響應(yīng)
1.如在局域網(wǎng)內(nèi)發(fā)現(xiàn)病毒、木馬、黑客入侵等
網(wǎng)絡(luò)管理中心應(yīng)立即切斷局域網(wǎng)與外部的網(wǎng)絡(luò)連接。如有必要,斷開(kāi)局內(nèi)各電腦的連接,防止外串和互串。
2.突發(fā)事件發(fā)生在校園網(wǎng)內(nèi)或具有外部ip地址的服務(wù)器上的,學(xué)校應(yīng)立即切斷與外部的網(wǎng)絡(luò)連接,如有必要,斷開(kāi)校內(nèi)各節(jié)點(diǎn)的連接;突發(fā)事件發(fā)生在校外租用空間上的,立即與出租商聯(lián)系,關(guān)閉租用空間。
3.如在外部可訪問(wèn)的網(wǎng)站、郵件等服務(wù)器上發(fā)現(xiàn)有害信息或數(shù)據(jù)被篡改,要立即切斷服務(wù)器的網(wǎng)絡(luò)連接,使得外部不可訪問(wèn)。防止有害信息的擴(kuò)散。
4.采取相應(yīng)的措施,徹底清除。如發(fā)現(xiàn)有害信息,在保留有關(guān)記錄后及時(shí)刪除,(情況嚴(yán)重的)報(bào)告市教育局和公安部門(mén)。
5.在確保安全問(wèn)題解決后,方可恢復(fù)網(wǎng)絡(luò)(網(wǎng)站)的使用。
二、保障措施
1.加強(qiáng)領(lǐng)導(dǎo),健全機(jī)構(gòu),落實(shí)網(wǎng)絡(luò)與信息安全責(zé)任制。建立由主管領(lǐng)導(dǎo)負(fù)責(zé)的網(wǎng)絡(luò)與信息安全管理領(lǐng)導(dǎo)小組,并設(shè)立安全專管員。明確工作職責(zé),落實(shí)安全責(zé)任制;bbs、聊天室等交互性欄目要設(shè)有防范措施和專人管理。
2.局內(nèi)網(wǎng)絡(luò)由網(wǎng)管中心統(tǒng)一管理維護(hù),其他人不得私自拆修設(shè)備,擅接終端設(shè)備。
3.加強(qiáng)安全教育,增強(qiáng)安全意識(shí),樹(shù)立網(wǎng)絡(luò)與信息安全人人有責(zé)的觀念。安全意識(shí)淡薄是造成網(wǎng)絡(luò)安全事件的主要原因,各校要加強(qiáng)對(duì)教師、學(xué)生的網(wǎng)絡(luò)安全教育,增強(qiáng)網(wǎng)絡(luò)安全意識(shí),將網(wǎng)絡(luò)安全意識(shí)與政治意識(shí)、責(zé)任意識(shí)、保密意識(shí)聯(lián)系起來(lái)。特別要指導(dǎo)學(xué)生提高他們識(shí)別有害信息的能力,引導(dǎo)他們正健康用網(wǎng)。
4.不得關(guān)閉或取消防火墻。保管好防火墻系統(tǒng)管理密碼。每臺(tái)電腦安裝殺毒軟件,并及時(shí)更新病毒代碼。
第8篇 網(wǎng)絡(luò)與信息安全管理組織機(jī)構(gòu)設(shè)置及工作職責(zé)
1:總則
1.1為規(guī)范北京愛(ài)迪通聯(lián)科技有限公司(以下簡(jiǎn)稱“公司”)信息安全管理工作,建立自上而下的信息安全工作管理體系,需建立健全相應(yīng)的組織管理體系,以推動(dòng)信息安全工作的開(kāi)展。
2:范圍
本管理辦法適用于公司的信息安全組織機(jī)構(gòu)和重要崗位的管理。
3:規(guī)范性引用文件
下列文件中的條款通過(guò)本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡注明日期的應(yīng)用文件,其隨后的所有的修改單或修訂版均不適用于本標(biāo)準(zhǔn)(不包括勘誤、通知單),然而,鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可以使用這些文件的最新版本。凡未注日期的引用文件,其最新版本適用于本標(biāo)準(zhǔn)
《信息安全技術(shù) 信息系統(tǒng)安全保障評(píng)估框架》(gb/t 20274.1-2006)
《信息安全技術(shù) 信息系統(tǒng)安全管理要求》(gb/t 20269-2006)
《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(gb/t 22239-2008)
4:組織機(jī)構(gòu)
4.1 公司成立信息安全領(lǐng)導(dǎo)小組,是信息安全的最高決策機(jī)構(gòu),下設(shè)辦公室,負(fù)責(zé)信息安全領(lǐng)導(dǎo)小組的日常事務(wù)。
4.2 信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)研究重大事件,落實(shí)方針政策和制定總體策略等。職責(zé)主要包括:
根據(jù)國(guó)家和行業(yè)有關(guān)信息安全的策略、法律和法規(guī),批準(zhǔn)公司信息安全總體策略規(guī)劃、管理規(guī)范和技術(shù)標(biāo)準(zhǔn);
確定公司信息安全各有關(guān)部門(mén)工作職責(zé),知道、監(jiān)督信息安全工作。
4.3 信息安全領(lǐng)導(dǎo)小組下設(shè)兩個(gè)工作組:信息安全工作組、應(yīng)急處理工作組。組長(zhǎng)均由公司負(fù)責(zé)人擔(dān)任。
4.4信息安全工作組的主要職責(zé)包括:
4.4.1 貫徹執(zhí)行公司信息安全領(lǐng)導(dǎo)小組的決議,協(xié)調(diào)和規(guī)范公司信息安全工作;
4.4.2 根據(jù)信息安全領(lǐng)導(dǎo)小組的工作部署,對(duì)信息安全工作進(jìn)行具體安排、落實(shí);
4.4.3 組織對(duì)重大的信息安全工作制度和技術(shù)操作策略進(jìn)行審查,擬定信息安全總體策略規(guī)劃,并監(jiān)督執(zhí)行;
4.4.4 負(fù)責(zé)協(xié)調(diào)、督促各職能部門(mén)和有關(guān)單位的信息安全工作,參與信息系統(tǒng)工程建設(shè)中的安全規(guī)劃,監(jiān)督安全措施的執(zhí)行;
4.4.5 組織信息安全工作檢查,分析信息安全總體狀況,提出分析報(bào)告和安全風(fēng)險(xiǎn)的防范對(duì)策;
4.4.6 負(fù)責(zé)接收各單位的緊急信息安全事件報(bào)告,組織進(jìn)行時(shí)間調(diào)查,分析原因、涉及范圍,并評(píng)估安全事件的嚴(yán)重程度,提出信息安全時(shí)間防范措施;
4.4.7 及時(shí)向信息安全工作領(lǐng)導(dǎo)小組和上級(jí)有關(guān)部門(mén)、單位報(bào)告信息安全時(shí)間。
4.4.8 跟蹤先進(jìn)的信息安全技術(shù),組織信息安全知識(shí)的培訓(xùn)和宣傳工作。
4.5應(yīng)急處理工作組的主要職責(zé)包括:
4.5.1 審定公司網(wǎng)絡(luò)與信息系統(tǒng)的安全應(yīng)急策略及應(yīng)急預(yù)案;
4.5.2 決定相應(yīng)應(yīng)急預(yù)案的啟動(dòng),負(fù)責(zé)現(xiàn)場(chǎng)指揮,并組織相關(guān)人員排除故障,恢復(fù)系統(tǒng);
4.5.3 每年組織對(duì)信息安全應(yīng)急策略和應(yīng)急預(yù)案進(jìn)行測(cè)試和演練。
4.6 公司應(yīng)指定分管信息的領(lǐng)導(dǎo)負(fù)責(zé)本單位信息安全管理,并配備信息安全技術(shù)人員,有條件的應(yīng)設(shè)置信息安全工作小組或辦公室,對(duì)公司信息安全領(lǐng)導(dǎo)小組和工作小組負(fù)責(zé),落實(shí)本單位信息安全工作和應(yīng)急處理工作。
5: 關(guān)鍵崗位
5.1 設(shè)置信息系統(tǒng)的關(guān)鍵崗位并加強(qiáng)管理,配備系統(tǒng)管理員、網(wǎng)絡(luò)管理員、應(yīng)用開(kāi)發(fā)管理員、安全審計(jì)員、安全保密管理員要求無(wú)人各自獨(dú)立。要害崗位人員必須嚴(yán)格遵守保密法規(guī)和有關(guān)信息安全的管理規(guī)定。
5.2 系統(tǒng)管理員主要職責(zé)有:
5.2.1負(fù)責(zé)系統(tǒng)的運(yùn)行管理,實(shí)施系統(tǒng)安全運(yùn)行細(xì)則;
5.2.2嚴(yán)格用戶權(quán)限管理,維護(hù)系統(tǒng)安全正常運(yùn)行;
5.2.3認(rèn)真記錄系統(tǒng)安全事項(xiàng),及時(shí)向信息安全人員報(bào)告安全事件;
5.2.4對(duì)進(jìn)行系統(tǒng)操作的其他人員予以安全監(jiān)督。
5.3網(wǎng)絡(luò)管理員的主要職責(zé)有:
5.3.1負(fù)責(zé)網(wǎng)絡(luò)的運(yùn)行管理,實(shí)施網(wǎng)絡(luò)安全策略和安全云心細(xì)則;
5.3.2安全配置網(wǎng)絡(luò)參數(shù),嚴(yán)格控制網(wǎng)絡(luò)用戶訪問(wèn)權(quán)限,維護(hù)網(wǎng)絡(luò)安全正常運(yùn)行;
5.3.3監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)端口、網(wǎng)絡(luò)物理線路,防范黑客入侵,及時(shí)向信息安全人員報(bào)告安全事件;
5.3.4對(duì)操作網(wǎng)絡(luò)管理功能的其他人員進(jìn)行安全監(jiān)督。
5.4應(yīng)用開(kāi)發(fā)管理員主要職責(zé)有:
5.4.1負(fù)責(zé)在系統(tǒng)開(kāi)發(fā)建設(shè)中,嚴(yán)格執(zhí)行系統(tǒng)安全策略,保證系統(tǒng)安全功能的準(zhǔn)確實(shí)現(xiàn);
5.4.2系統(tǒng)投產(chǎn)運(yùn)行前,完整移交系統(tǒng)相關(guān)的安全策略等資料;
5.4.3不得對(duì)系統(tǒng)設(shè)置“后門(mén)”;
5.4.4對(duì)系統(tǒng)核心技術(shù)保密等。
5.5安全審計(jì)員負(fù)責(zé)對(duì)設(shè)計(jì)系統(tǒng)安全的事件和各類操作人員的行為進(jìn)行審計(jì)和監(jiān)督,主要職能包括:
5.5.1按操作員證書(shū)號(hào)進(jìn)行審計(jì);
5.5.2按操作時(shí)間審計(jì);
5.5.3按操作類型審計(jì);
5.5.4事件類型進(jìn)行審計(jì);
5.5.5日志管理等。
5.6安全保密管理員負(fù)責(zé)日常安全保密管理活動(dòng),主要職責(zé)有:
5.6.1監(jiān)視全網(wǎng)運(yùn)行和安全告警信息
5.6.2網(wǎng)絡(luò)審計(jì)信息的常規(guī)分析
5.6.3安全設(shè)備的常規(guī)設(shè)置和維護(hù)
5.6.4執(zhí)行應(yīng)急中心指定的具體安全策略
5.6.5向應(yīng)急管理機(jī)構(gòu)和領(lǐng)導(dǎo)機(jī)構(gòu)報(bào)告重大的網(wǎng)絡(luò)安全時(shí)間等。
6 附則
6.1本辦法由公司科技部負(fù)責(zé)解釋。
6.2本辦法自發(fā)布之日起實(shí)施。
第9篇 iso27000信息安全管理體系審核員工作職責(zé)與職位要求
職位描述:
工作職責(zé):
1.執(zhí)行公司安排的審核任務(wù),及時(shí)向相關(guān)人員反饋審核工作中出現(xiàn)的各種問(wèn)題,并積極配合解決問(wèn)題;
2.在審核工作中堅(jiān)持審核原則,遵守審核員的行為規(guī)范和公司的各項(xiàng)規(guī)定,注意自己的言行,維護(hù)公司利益和形象;
3.及時(shí)完成審核資料的準(zhǔn)備、與客戶在審核前的溝通、督促客戶整改不符合項(xiàng)、根據(jù)認(rèn)證決定工作人員的意見(jiàn)修改和完善審核資料等工作;
4.及時(shí)完成公司安排的技術(shù)文件的編制工作;
5.積極參加公司安排的現(xiàn)場(chǎng)見(jiàn)證工作;
6.在審核中了解客戶需求并向相關(guān)部門(mén)反饋;
7.積極參加公司安排的有關(guān)培訓(xùn)工作;
8.提供與審核相關(guān)的工作及公司其他各項(xiàng)工作的建議;
9.主動(dòng)學(xué)習(xí),持續(xù)提高自身的專業(yè)素質(zhì)和審核技能,為受審核方提供有價(jià)值的意見(jiàn)和建議,不斷提升審核工作質(zhì)量。
職位要求:
1.本科及以上學(xué)歷;
2.具備信息安全、密碼學(xué)、計(jì)算機(jī)科學(xué)與技術(shù)、計(jì)算機(jī)應(yīng)用、電子信息科學(xué)與技術(shù)、電子信息技術(shù)應(yīng)用、人工智能、計(jì)算數(shù)學(xué)與應(yīng)用數(shù)學(xué)、自動(dòng)化、通信、電氣等相關(guān)的專業(yè)學(xué)歷;
3.已獲得信息安全領(lǐng)域?qū)I(yè)注冊(cè)資格;
4.至少2年與信息安全有關(guān)的管理、技術(shù)研究與開(kāi)發(fā)服務(wù)、測(cè)評(píng)、教學(xué)、標(biāo)準(zhǔn)制定等工作;
5.國(guó)家管理體系審核員注冊(cè)準(zhǔn)則中規(guī)定的各級(jí)別審核員應(yīng)具備的知識(shí)、技能和個(gè)人素質(zhì);
6.尊重和維護(hù)公司的形象、聲譽(yù)和利益;
7.自我激勵(lì),自我完善,具有良好的溝通能力及較強(qiáng)的團(tuán)隊(duì)協(xié)作精神;
8.能滿足經(jīng)常性出差需要。
第10篇 數(shù)據(jù)中心信息安全管理及管控要求
隨著在世界范圍內(nèi),信息化水平的不斷發(fā)展,數(shù)據(jù)中心的信息安全逐漸成為人們關(guān)注的焦點(diǎn),世界范圍內(nèi)的各個(gè)機(jī)構(gòu)、組織、個(gè)人都在探尋如何保障信息安全的問(wèn)題。英國(guó)、美國(guó)、挪威、瑞典、芬蘭、澳大利亞等國(guó)均制定了有關(guān)信息安全的本國(guó)標(biāo)準(zhǔn),國(guó)際標(biāo)準(zhǔn)化組織(iso)也發(fā)布了iso17799、iso13335、iso15408等與信息安全相關(guān)的國(guó)際標(biāo)準(zhǔn)及技術(shù)報(bào)告。目前,在信息安全管理方面,英國(guó)標(biāo)準(zhǔn)iso27000:2005已經(jīng)成為世界上應(yīng)用最廣泛與典型的信息安全管理標(biāo)準(zhǔn),它是在bsi/disc的bdd/2信息安全管理委員會(huì)指導(dǎo)下制定完成。
iso27001標(biāo)準(zhǔn)于1993年由英國(guó)貿(mào)易工業(yè)部立項(xiàng),于1995年英國(guó)首次出版bs 7799-1:1995《信息安全管理實(shí)施細(xì)則》,它提供了一套綜合的、由信息安全最佳慣例組成的實(shí)施規(guī)則,其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的唯一參考基準(zhǔn),并且適用于大、中、小組織。1998年英國(guó)公布標(biāo)準(zhǔn)的第二部分《信息安全管理體系規(guī)范》,它規(guī)定信息安全管理體系要求與信息安全控制要求,它是一個(gè)組織的全面或部分信息安全管理體系評(píng)估的基礎(chǔ),它可以作為一個(gè)正式認(rèn)證方案的根據(jù)。iso27000-1與iso27000-2經(jīng)過(guò)修訂于1999年重新予以發(fā)布,1999版考慮了信息處理技術(shù),尤其是在網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的近期發(fā)展,同時(shí)還非常強(qiáng)調(diào)了商務(wù)涉及的信息安全及信息安全的責(zé)任。2000年12月,iso27000-1:1999《信息安全管理實(shí)施細(xì)則》通過(guò)了國(guó)際標(biāo)準(zhǔn)化組織iso的認(rèn)可,正式成為國(guó)際標(biāo)準(zhǔn)iso/iec17799-1:2000《信息技術(shù)-信息安全管理實(shí)施細(xì)則》。2002年9月5日,iso27000-2:2002草案經(jīng)過(guò)廣泛的討論之后,終于發(fā)布成為正式標(biāo)準(zhǔn),同時(shí)iso27000-2:1999被廢止?,F(xiàn)在,iso27000:2005標(biāo)準(zhǔn)已得到了很多國(guó)家的認(rèn)可,是國(guó)際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)。許多國(guó)家的政府機(jī)構(gòu)、銀行、證券、保險(xiǎn)公司、電信運(yùn)營(yíng)商、網(wǎng)絡(luò)公司及許多跨國(guó)公司已采用了此標(biāo)準(zhǔn)對(duì)信息安全進(jìn)行系統(tǒng)的管理,數(shù)據(jù)中心(idc)應(yīng)逐步建立并完善標(biāo)準(zhǔn)化的信息安全管理體系。
一、 數(shù)據(jù)中心信息安全管理總體要求
1、信息安全管理架構(gòu)與人員能力要求
1.1信息安全管理架構(gòu)
idc在當(dāng)前管理組織架構(gòu)基礎(chǔ)上,建立信息安全管理委員會(huì),涵蓋信息安全管理、應(yīng)急響應(yīng)、審計(jì)、技術(shù)實(shí)施等不同職責(zé),并保證職責(zé)清晰與分離,并形成文件。
1.2人員能力
具備標(biāo)準(zhǔn)化 信息安全管理體系內(nèi)部審核員、cisp(certified information security professional,國(guó)家注冊(cè)信息安全專家)等相關(guān)資質(zhì)人員。5星級(jí)idc至少應(yīng)具備一名合格的標(biāo)準(zhǔn)化信息安全管理內(nèi)部審核員、一名標(biāo)準(zhǔn)化 主任審核員。4星級(jí)idc至少應(yīng)至少具備一名合格的標(biāo)準(zhǔn)化信息安全管理內(nèi)部審核員
2、信息安全管理體系文件要求,根據(jù)idc業(yè)務(wù)目標(biāo)與當(dāng)前實(shí)際情況,建立完善而分層次的idc信息安全管理體系及相應(yīng)的文檔,包含但不限于如下方面:
2.1信息安全管理體系方針文件
包括idc信息安全管理體系的范圍,信息安全的目標(biāo)框架、信息安全工作的總方向和原則,并考慮idc業(yè)務(wù)需求、國(guó)家法律法規(guī)的要求、客戶以及合同要求。
2.2風(fēng)險(xiǎn)評(píng)估
內(nèi)容包括如下流程:識(shí)別idc業(yè)務(wù)范圍內(nèi)的信息資產(chǎn)及其責(zé)任人;識(shí)別資產(chǎn)所面臨的威脅;識(shí)別可能被威脅利用的脆弱點(diǎn);識(shí)別資產(chǎn)保密性、完整性和可用性的喪失對(duì)idc業(yè)務(wù)造成的影響;評(píng)估由主要威脅和脆弱點(diǎn)導(dǎo)致的idc業(yè)務(wù)安全破壞的現(xiàn)實(shí)可能性、對(duì)資產(chǎn)的影響和當(dāng)前所實(shí)施的控制措施;對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)級(jí)。
2.3風(fēng)險(xiǎn)處理
內(nèi)容包括:與idc管理層確定接受風(fēng)險(xiǎn)的準(zhǔn)則,確定可接受的風(fēng)險(xiǎn)級(jí)別等;建立可續(xù)的風(fēng)險(xiǎn)處理策略:采用適當(dāng)?shù)目刂拼胧⒔邮茱L(fēng)險(xiǎn)、避免風(fēng)險(xiǎn)或轉(zhuǎn)移風(fēng)險(xiǎn);控制目標(biāo)和控制措施的選擇和實(shí)施,需滿足風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過(guò)程中所識(shí)別的安全要求,并在滿足法律法規(guī)、客戶和合同要求的基礎(chǔ)上達(dá)到最佳成本效益。
2.4文件與記錄控制
明確文件制定、發(fā)布、批準(zhǔn)、評(píng)審、更新的流程;確保文件的更改和現(xiàn)行修訂狀態(tài)的標(biāo)識(shí)、版本控制、識(shí)別、訪問(wèn)控制有完善的流程;并對(duì)文件資料的傳輸、貯存和最終銷毀明確做出規(guī)范。
記錄控制內(nèi)容包括:保留信息安全管理體系運(yùn)行過(guò)程執(zhí)行的記錄和所有發(fā)生的與信息安全有關(guān)的重大安全事件的記錄;記錄的標(biāo)識(shí)、貯存、保護(hù)、檢索、保存期限和處置所需的控制措施應(yīng)形成文件并實(shí)施。
2.5內(nèi)部審核
idc按照計(jì)劃的時(shí)間間隔進(jìn)行內(nèi)部isms審核,以確定idc的信息安全管理的控制目標(biāo)、控制措施、過(guò)程和程序符標(biāo)準(zhǔn)化標(biāo)準(zhǔn)和相關(guān)法律法規(guī)的要求并得到有效地實(shí)施和保持。五星級(jí)idc應(yīng)至少每年1次對(duì)信息安全管理進(jìn)行內(nèi)部審核。四星級(jí)idc應(yīng)至少每年1次對(duì)信息安全管理進(jìn)行內(nèi)部審核。
2.6糾正與預(yù)防措施
idc建立流程,以消除與信息安全管理要求不符合的原因及潛在原因,以防止其發(fā)生,并形成文件的糾正措施與預(yù)防措施程序無(wú)
2.7控制措施有效性的測(cè)量
定義如何測(cè)量所選控制措施的有效性;規(guī)定如何使用這些測(cè)量措施,對(duì)控制措施的有效性進(jìn)行測(cè)量(或評(píng)估)。
2.8管理評(píng)審
idc管理層按計(jì)劃的時(shí)間間隔評(píng)審內(nèi)部信息安全管理體系,以確保其持續(xù)的適宜性、充分性和有效性,最終符合idc業(yè)務(wù)要求。
五星級(jí)idc管理層應(yīng)至少每年1次對(duì)idc的信息安全管理體系進(jìn)行評(píng)審四星級(jí)idc管理層應(yīng)至少每年1次對(duì)idc的信息安全管理體系進(jìn)行評(píng)審。
2.9適用性聲明
適用性聲明必須至少包括以下3項(xiàng)內(nèi)容: idc所選擇的控制目標(biāo)和控制措施,及其選擇的理由;當(dāng)前idc實(shí)施的控制目標(biāo)和控制措施;標(biāo)準(zhǔn)化附錄a中任何控制目標(biāo)和控制措施的刪減,以及刪減的正當(dāng)性理由。
2.10業(yè)務(wù)連續(xù)性
過(guò)業(yè)務(wù)影響分析,確定idc業(yè)務(wù)中哪些是關(guān)鍵的業(yè)務(wù)進(jìn)程,分出緊急先后次序; 確定可以導(dǎo)致業(yè)務(wù)中斷的主要災(zāi)難和安全失效、確定它們的影響程度和恢復(fù)時(shí)間; 進(jìn)行業(yè)務(wù)影響分析,確定恢復(fù)業(yè)務(wù)所需要的資源和成本,決定對(duì)哪些項(xiàng)目制作業(yè)務(wù)連續(xù)性計(jì)劃(bcp)/災(zāi)難恢復(fù)計(jì)劃(drp)。
2.11其它相關(guān)程序
另外,還應(yīng)建立包括物理與環(huán)境安全、信息設(shè)備管理、新設(shè)施管理、業(yè)務(wù)連續(xù)性管理、災(zāi)難恢復(fù)、人員管理、第三方和外包管理、信息資產(chǎn)管理、工作環(huán)境安全管理、介質(zhì)處理與安全、系統(tǒng)開(kāi)發(fā)與維護(hù)、法律符合性管理、文件及材料控制、安全事件處理等相關(guān)流程與制度。
二、信息安全管控要求
1、安全方針
信息安全方針文件與評(píng)審建立idc信息安全方針文件需得到管理層批準(zhǔn)、發(fā)布并傳達(dá)給所有員工和外部相關(guān)方。
至少每年一次或當(dāng)重大變化發(fā)生時(shí)進(jìn)行信息安全方針評(píng)審。
2、信息安全組織
2.1 內(nèi)部組織
2.1.1信息安全協(xié)調(diào)、職責(zé)與授權(quán)
信息安全管理委員會(huì)包含idc相關(guān)的不同部門(mén)的代表;所有的信息安全職責(zé)有明確成文的規(guī)定;對(duì)新信息處理設(shè)施,要有管理授權(quán)過(guò)程。
2.1.2保密協(xié)議
idc所有員工須簽署保密協(xié)議,保密內(nèi)容涵蓋idc內(nèi)部敏感信息;保密協(xié)議條款每年至少評(píng)審一次。
2.1.3權(quán)威部門(mén)與利益相關(guān)團(tuán)體的聯(lián)系
與相關(guān)權(quán)威部門(mén)(包括,公安部門(mén)、消防部門(mén)和監(jiān)管部門(mén))建立溝通管道;與安全專家組、專業(yè)協(xié)會(huì)等相關(guān)團(tuán)體進(jìn)行溝通。
2.1.4獨(dú)立評(píng)審
參考“信息安全管理體系要求”第5和第8條關(guān)于管理評(píng)審、內(nèi)部審核的要求,進(jìn)行獨(dú)立的評(píng)審。
審核員不能審核評(píng)審自己的工作;評(píng)審結(jié)果交管理層審閱。
2.2 外方管理
2.2.1外部第三方的相關(guān)風(fēng)險(xiǎn)的識(shí)別
將外部第三方(設(shè)備維護(hù)商、服務(wù)商、顧問(wèn)、外包方臨時(shí)人員、實(shí)習(xí)學(xué)生等)對(duì)idc信息處理設(shè)施或信息納入風(fēng)險(xiǎn)評(píng)估過(guò)程,考慮內(nèi)容應(yīng)包括:需要訪問(wèn)的信息處理設(shè)施、訪問(wèn)類型(物理、邏輯、網(wǎng)絡(luò))、涉及信息的價(jià)值和敏感性,及對(duì)業(yè)務(wù)運(yùn)行的關(guān)鍵程度、訪問(wèn)控制等相關(guān)因素。
建立外部第三方信息安全管理相關(guān)管理制度與流程。
2.2.2客戶有關(guān)的安全問(wèn)題
針對(duì)客戶信息資產(chǎn)的保護(hù),根據(jù)合同以及相關(guān)法律、法規(guī)要求,進(jìn)行恰當(dāng)?shù)谋Wo(hù)。
2.2.3處理第三方協(xié)議中的安全問(wèn)題
涉及訪問(wèn)、處理、交流(或管理)idc及idc客戶的信息或信息處理設(shè)施的第三方協(xié)議,需涵蓋所有相關(guān)的安全要求。
3、信息資產(chǎn)管理
3.1 資產(chǎn)管理職責(zé)
3.1.1資產(chǎn)清單與責(zé)任人
idc對(duì)所有信息資產(chǎn)度進(jìn)行識(shí)別,將所有重要資產(chǎn)都進(jìn)行登記、建立清單文件并加以維護(hù)。
idc中所有信息和信息處理設(shè)施相關(guān)重要資產(chǎn)需指定責(zé)任人。
3.1.2資產(chǎn)使用
指定信息與信息處理設(shè)施使用相關(guān)規(guī)則,形成了文件并加以實(shí)施。
3.2 信息資產(chǎn)分類
3.2.1資產(chǎn)分類管理
根據(jù)信息資產(chǎn)對(duì)idc業(yè)務(wù)的價(jià)值、法律要求、敏感性和關(guān)鍵性進(jìn)行分類,建立一個(gè)信息分類指南。
信息分類指南應(yīng)涵蓋外來(lái)的信息資產(chǎn),尤其是來(lái)自客戶的信息資產(chǎn)。
3.2.2信息的標(biāo)記和處理
按照idc所采納的分類指南建立和實(shí)施一組合適的信息標(biāo)記和處理程序。
4、人力資源安全
這里的人員包括idc雇員、承包方人員和第三方等相關(guān)人員。
4.1信息安全角色與職責(zé)
人員職責(zé)說(shuō)明體現(xiàn)信息安全相關(guān)角色和要求。
4.2背景調(diào)查
人員任職前根據(jù)職責(zé)要求和崗位對(duì)信息安全的要求,采取必要的背景驗(yàn)證。
4.3雇用的條款和條件
人員雇傭后,應(yīng)簽署必要的合同,明確雇傭的條件和條款,并包含信息安全相關(guān)要求。
4.4信息安全意識(shí)、教育和培訓(xùn)
入職新員工培訓(xùn)應(yīng)包含idc信息安全相關(guān)內(nèi)容。
至少每年一次對(duì)人員進(jìn)行信息安全意識(shí)培訓(xùn)。
4.5安全違紀(jì)處理
針對(duì)安全違規(guī)的人員,建立正式的紀(jì)律處理程序。
4.6雇傭的終止與變更
idc應(yīng)清晰規(guī)定和分配雇用終止或雇用變更的職責(zé);雇傭協(xié)議終止于變更時(shí),及時(shí)收回相關(guān)信息資產(chǎn),并調(diào)整或撤銷相關(guān)訪問(wèn)控制權(quán)限。
5、物理與環(huán)境安全
5.1 安全區(qū)域
5.1.1邊界安全與出入口控制
根據(jù)邊界內(nèi)資產(chǎn)的安全要求和風(fēng)險(xiǎn)評(píng)估的結(jié)果對(duì)idc物理區(qū)域進(jìn)行分區(qū)、分級(jí)管理,不同區(qū)域邊界與出入口需建立卡控制的入口或有人管理的接待臺(tái)。
入侵檢測(cè)與報(bào)警系統(tǒng)覆蓋所有門(mén)窗和出入口,并定期檢測(cè)入侵檢測(cè)系統(tǒng)的有效性。
機(jī)房大樓應(yīng)有7×24小時(shí)的專業(yè)保安人員,出入大樓需登記或持有通行卡。
機(jī)房安全出口不少于兩個(gè),且要保持暢通,不可放置雜物。
5星級(jí)idc:出入記錄至少保存6個(gè)月,視頻監(jiān)控至少保存1個(gè)月。
4星級(jí)idc:出入記錄至少保存6個(gè)月,視頻監(jiān)控至少保存1個(gè)月。
5.1.2 idc機(jī)房環(huán)境安全
記錄訪問(wèn)者進(jìn)入和離開(kāi)idc的日期和時(shí)間,所有的訪問(wèn)者要需要經(jīng)過(guò)授權(quán)。
建立訪客控制程序,對(duì)服務(wù)商等外部人員實(shí)現(xiàn)有效管控。
所有員工、服務(wù)商人員和第三方人員以及所有訪問(wèn)者進(jìn)入idc要佩帶某種形式的可視標(biāo)識(shí),已實(shí)現(xiàn)明顯的區(qū)分。外部人員進(jìn)入idc后,需全程監(jiān)控。
5.1.3防范外部威脅和環(huán)境威脅
idc對(duì)火災(zāi)、洪水、地震、爆炸、社會(huì)動(dòng)蕩和其他形式的自然或人為災(zāi)難引起的破壞建立足夠的防范控制措施;危險(xiǎn)或易燃材料應(yīng)在遠(yuǎn)離idc存放;備份設(shè)備和備份介質(zhì)的存放地點(diǎn)應(yīng)與idc超過(guò)10公里的距離。
機(jī)房?jī)?nèi)應(yīng)嚴(yán)格執(zhí)行消防安全規(guī)定,所有門(mén)窗、地板、窗簾、飾物、桌椅、柜子等材料、設(shè)施都應(yīng)采用防火材料。
5.1.4公共訪問(wèn)區(qū)和交接區(qū)
為了避免未授權(quán)訪問(wèn),訪問(wèn)點(diǎn)(如交接區(qū)和未授權(quán)人員可以進(jìn)入的其它地點(diǎn))需進(jìn)行適當(dāng)?shù)陌踩刂?設(shè)備貨物交接區(qū)要與信息處理設(shè)施隔開(kāi)。
5.2 設(shè)備安全
5.2.1設(shè)備安全
設(shè)備盡量安置在可減少未授權(quán)訪問(wèn)的適當(dāng)?shù)攸c(diǎn);對(duì)于處理敏感數(shù)據(jù)的信息處理設(shè)施,盡量安置在可限制觀測(cè)的位置;對(duì)于需要特殊保護(hù)的設(shè)備,要進(jìn)行適當(dāng)隔離;對(duì)信息處理設(shè)施的運(yùn)行有負(fù)面影響的環(huán)境條件(包括溫度和濕度),要進(jìn)行實(shí)時(shí)進(jìn)行監(jiān)視。
5.2.2支持性設(shè)備安全
支持性設(shè)施(例如電、供水、排污、加熱/通風(fēng)和空調(diào)等)應(yīng)定期檢查并適當(dāng)?shù)臏y(cè)試以確保他們的功能,減少由于他們的故障或失效帶來(lái)的風(fēng)險(xiǎn)。
實(shí)現(xiàn)多路供電,以避免供電的單一故障點(diǎn)。
5.2.3線纜安全
應(yīng)保證傳輸數(shù)據(jù)或支持信息服務(wù)的電源布纜和通信布纜免受竊聽(tīng)或損壞。
電源電纜要與通信電纜分開(kāi);各種線纜能通過(guò)標(biāo)識(shí)加以區(qū)分,并對(duì)線纜的訪問(wèn)加以必要的訪問(wèn)控制。
線纜標(biāo)簽必須采用防水標(biāo)簽紙和標(biāo)簽打印機(jī)進(jìn)行正反面打印(或者打印兩張進(jìn)行粘貼),標(biāo)簽長(zhǎng)度應(yīng)保證至少能夠纏繞電纜一圈或一圈半,打印字符必須清晰可見(jiàn),打印內(nèi)容應(yīng)簡(jiǎn)潔明了,容易理解。標(biāo)簽的標(biāo)示必須清晰、簡(jiǎn)潔、準(zhǔn)確、統(tǒng)一,標(biāo)簽打印應(yīng)當(dāng)前后和上下排對(duì)齊。
5.2.4設(shè)備維護(hù)
設(shè)備需按照供應(yīng)商推薦的服務(wù)時(shí)間間隔和說(shuō)明書(shū),進(jìn)行正確維護(hù);設(shè)備維護(hù)由已授權(quán)人員執(zhí)行,并保存維護(hù)記錄1年。
5.2.5組織場(chǎng)所外的設(shè)備安全
應(yīng)對(duì)組織場(chǎng)所的設(shè)備采取安全措施,要考慮工作在組織場(chǎng)所以外的不同風(fēng)險(xiǎn)。
5.2.6設(shè)備的安全處置或再利用
包含儲(chǔ)存介質(zhì)的設(shè)備的所有項(xiàng)目應(yīng)進(jìn)行檢查,以確保在銷毀之前,任何敏感信息和注冊(cè)軟件已被刪除或安全重寫(xiě)。
5.2.7資產(chǎn)的移動(dòng)
設(shè)備、信息或軟件在授權(quán)之前不應(yīng)帶出組織場(chǎng)所,設(shè)置設(shè)備移動(dòng)的時(shí)間限制,并在返還時(shí)執(zhí)行符合性檢查;對(duì)設(shè)備做出移出記錄,當(dāng)返回時(shí),要做出送回記錄。
6、通信和操作管理
6.1 運(yùn)行程序和職責(zé)
6.1.1運(yùn)行操作程序文件化
運(yùn)行操作程序文件化并加以保持,并方便相關(guān)使用人員的訪問(wèn)。
6.1.2變更管理
對(duì)信息處理設(shè)施和系統(tǒng)的變更是否受控,并考慮:重大變更的標(biāo)識(shí)和記錄;變更的策劃和測(cè)試;對(duì)這種變更的潛在影響的評(píng)估,包括安全影響;對(duì)建議變更的正式批準(zhǔn)程序;向所有有關(guān)人員傳達(dá)變更細(xì)節(jié);返回程序,包括從不成功變更和未預(yù)料事態(tài)中退出和恢復(fù)的程序與職責(zé)。
6.1.3職責(zé)分離
各類責(zé)任及職責(zé)范圍應(yīng)加以分割,以降低未授權(quán)或無(wú)意識(shí)的修改或者不當(dāng)使用組織資產(chǎn)的機(jī)會(huì)。
6.1.4開(kāi)發(fā)設(shè)施、測(cè)試設(shè)施和運(yùn)行設(shè)施的分離
開(kāi)發(fā)、測(cè)試和運(yùn)行設(shè)施應(yīng)分離,以減少未授權(quán)訪問(wèn)或改變運(yùn)行系統(tǒng)的風(fēng)險(xiǎn)。
6.2 第三方服務(wù)交付管理
6.2.1服務(wù)交付
應(yīng)確保第三方實(shí)施、運(yùn)行和保持包含在第三方服務(wù)交付協(xié)議中的安全控制措施、服務(wù)定義和交付水準(zhǔn)。
idc應(yīng)確保第三方保持足夠的服務(wù)能力和可使用的計(jì)劃以確保商定的服務(wù)在大的服務(wù)故障或?yàn)?zāi)難后繼續(xù)得以保持。
6.2.2第三方服務(wù)的監(jiān)視和評(píng)審
應(yīng)定期監(jiān)視和評(píng)審由第三方提供的服務(wù)、報(bào)告和記錄,審核也應(yīng)定期執(zhí)行,并留下記錄。
6.2.3第三方服務(wù)的變更管理
應(yīng)管理服務(wù)提供的變更,包括保持和改進(jìn)現(xiàn)有的信息安全方針策略、程序和控制措施,要考慮業(yè)務(wù)系統(tǒng)和涉及過(guò)程的關(guān)鍵程度及風(fēng)險(xiǎn)的再評(píng)估
6.3系統(tǒng)規(guī)劃和驗(yàn)收
6.3.1容量管理
idc各系統(tǒng)資源的使用應(yīng)加以監(jiān)視、調(diào)整,并做出對(duì)于未來(lái)容量要求的預(yù)測(cè),以確保擁有所需的系統(tǒng)性能。
系統(tǒng)硬件系統(tǒng)環(huán)境的功能、性能和容量要滿足idc業(yè)務(wù)處理的和存貯設(shè)備的平均使用率宜控制在75%以內(nèi)。
網(wǎng)絡(luò)設(shè)備的處理器和內(nèi)存的平均使用率應(yīng)控制在75%以內(nèi)。
6.3.2系統(tǒng)驗(yàn)收
建立對(duì)新信息系統(tǒng)、升級(jí)及新版本的驗(yàn)收準(zhǔn)則,并且在開(kāi)發(fā)中和驗(yàn)收前對(duì)系統(tǒng)進(jìn)行適當(dāng)?shù)臏y(cè)試。
6.4防范惡意代碼和移動(dòng)代碼
6.4.1對(duì)惡意代碼的控制措施
實(shí)施惡意代碼的監(jiān)測(cè)、預(yù)防和恢復(fù)的控制措施,以及適當(dāng)?shù)奶岣哂脩舭踩庾R(shí)的程序
6.4.2對(duì)移動(dòng)代碼的控制措施
當(dāng)授權(quán)使用移動(dòng)代碼時(shí),其配置確保授權(quán)的移動(dòng)代碼按照清晰定義的安全策略運(yùn)行,應(yīng)阻止執(zhí)行未授權(quán)的移動(dòng)代碼。
6.5 備份
6.5.1備份
應(yīng)按照客戶的要求以及已設(shè)的備份策略,定期備份和測(cè)試信息和軟件。各個(gè)系統(tǒng)的備份安排應(yīng)定期測(cè)試以確保他們滿足業(yè)務(wù)連續(xù)性計(jì)劃的要求。對(duì)于重要的系統(tǒng),備份安排應(yīng)包括在發(fā)生災(zāi)難時(shí)恢復(fù)整個(gè)系統(tǒng)所必需的所有系統(tǒng)信息、應(yīng)用和數(shù)據(jù)。
應(yīng)確定最重要業(yè)務(wù)信息的保存周期以及對(duì)要永久保存的檔案拷貝的任何要求。
6.6 網(wǎng)絡(luò)安全管理
6.6.1網(wǎng)絡(luò)控制
為了防止使用網(wǎng)絡(luò)時(shí)發(fā)生的威脅和維護(hù)系統(tǒng)與應(yīng)用程序的安全,網(wǎng)絡(luò)要充分受控;網(wǎng)絡(luò)的運(yùn)行職責(zé)與計(jì)算機(jī)系統(tǒng)的運(yùn)行職責(zé)實(shí)現(xiàn)分離;敏感信息在公用網(wǎng)絡(luò)上傳輸時(shí),考慮足夠的加密和訪問(wèn)控制措施。
6.6.2網(wǎng)絡(luò)服務(wù)的安全
網(wǎng)絡(luò)服務(wù)(包括接入服務(wù)、私有網(wǎng)絡(luò)服務(wù)、增值網(wǎng)絡(luò)和受控的網(wǎng)絡(luò)安全解決方案,例如防火墻和入侵檢測(cè)系統(tǒng)等)應(yīng)根據(jù)安全需求,考慮如下安全控制措施:為網(wǎng)絡(luò)服務(wù)應(yīng)用的安全技術(shù),例如認(rèn)證、加密和網(wǎng)絡(luò)連接控制;按照安全和網(wǎng)絡(luò)連接規(guī)則,網(wǎng)絡(luò)服務(wù)的安全連接需要的技術(shù)參數(shù);若需要,網(wǎng)絡(luò)服務(wù)使用程序,以限制對(duì)網(wǎng)絡(luò)服務(wù)或應(yīng)用的訪問(wèn)。
6.7 介質(zhì)管理
6.7 .1可移動(dòng)介質(zhì)的管理
建立適當(dāng)?shù)目梢苿?dòng)介質(zhì)的管理程序,規(guī)范可移動(dòng)介質(zhì)的管理。
可移動(dòng)介質(zhì)包括磁帶、磁盤(pán)、閃盤(pán)、可移動(dòng)硬件驅(qū)動(dòng)器、cd、dvd和打印的介質(zhì)
6.7 .2介質(zhì)的處置
不再需要的介質(zhì),應(yīng)使用正式的程序可靠并安全地處置。保持審計(jì)蹤跡,保留敏感信息的處置記錄。
6.7 .3信息處理程序
建立信息的處理及存儲(chǔ)程序,以防止信息的未授權(quán)的泄漏或不當(dāng)使用。
包含信息的介質(zhì)在組織的物理邊界以外運(yùn)送時(shí),應(yīng)防止未授權(quán)的訪問(wèn)、不當(dāng)使用或毀壞。
6.8 信息交換
6.8.1信息交換策略和程序
為了保護(hù)通過(guò)使用各種類型的通信設(shè)施進(jìn)行信息交換,是否有正式的信息交換方針、程序和控制措施。
6.8.2外方信息交換協(xié)議
在組織和外方之間進(jìn)行信息/軟件交換時(shí),是否有交換協(xié)議。
6.8.3電子郵件、應(yīng)用系統(tǒng)的信息交換與共享
建立適當(dāng)?shù)目刂拼胧?保護(hù)電子郵件的安全;為了保護(hù)相互連接的業(yè)務(wù)信息系統(tǒng)的信息,開(kāi)發(fā)與實(shí)施相關(guān)的方針和程序。
6.9 監(jiān)控
6.9.1審計(jì)日志
審計(jì)日志需記錄用戶活動(dòng)、異常事件和信息安全事件;為了幫助未來(lái)的調(diào)查和訪問(wèn)控制監(jiān)視,審計(jì)日志至少應(yīng)保存1年。
6.9.2監(jiān)視系統(tǒng)的使用
應(yīng)建立必要的信息處理設(shè)施的監(jiān)視使用程序,監(jiān)視活動(dòng)的結(jié)果應(yīng)定期評(píng)審。
6.9.3日志信息的保護(hù)
記錄日志的設(shè)施和日志信息應(yīng)加以保護(hù),以防止篡改和未授權(quán)的訪問(wèn)。
6.9.4管理員和操作員日志
系統(tǒng)管理員和系統(tǒng)操作員活動(dòng)應(yīng)記入日志。系統(tǒng)管理員與系統(tǒng)操作員無(wú)權(quán)更改或刪除日志。
6.9.5故障日志
與信息處理或通信系統(tǒng)的問(wèn)題有關(guān)的用戶或系統(tǒng)程序所報(bào)告的故障要加以記錄、分析,并采取適當(dāng)?shù)拇胧?/p>
6.9.6時(shí)鐘同步
一個(gè)安全域內(nèi)的所有相關(guān)信息處理設(shè)施的時(shí)鐘應(yīng)使用已設(shè)的精確時(shí)間源進(jìn)行同步。
5星級(jí)idc各計(jì)算機(jī)系統(tǒng)的時(shí)鐘與標(biāo)準(zhǔn)時(shí)間的誤差不超過(guò)10秒。
4星級(jí)idc各計(jì)算機(jī)系統(tǒng)的時(shí)鐘與標(biāo)準(zhǔn)時(shí)間的誤差不超過(guò)25秒。
7、訪問(wèn)控制
7.1用戶訪問(wèn)管理
應(yīng)有正式的用戶注冊(cè)及注銷程序,來(lái)授權(quán)和撤銷對(duì)所有信息系統(tǒng)及服務(wù)的訪問(wèn)。
應(yīng)限制和控制特殊權(quán)限的分配及使用;應(yīng)通過(guò)正式的管理過(guò)程控制口令的分配,確保口令安全;管理層應(yīng)定期使用正式過(guò)程對(duì)用戶的訪問(wèn)權(quán)進(jìn)行復(fù)查。
7.2用戶職責(zé)
建立指導(dǎo)用戶選擇和使用口令的指南規(guī)定,使用戶在選擇及使用口令時(shí),遵循良好的安全習(xí)慣。
用戶應(yīng)確保無(wú)人值守的用戶設(shè)備有適當(dāng)?shù)谋Wo(hù),防止未授權(quán)的訪問(wèn)。
建立清空桌面和屏幕策略,采取清空桌面上文件、可移動(dòng)存儲(chǔ)介質(zhì)的策略和清空信息處理設(shè)施屏幕的策略,idc并定期組織檢查效果。
7.3網(wǎng)絡(luò)訪問(wèn)控制
建立訪問(wèn)控制策略,確保用戶應(yīng)僅能訪問(wèn)已獲專門(mén)授權(quán)使用的服務(wù)。
應(yīng)使用安全地鑒別方法以控制遠(yuǎn)程用戶的訪問(wèn),例如口令+證書(shū)。
對(duì)于診斷和配置端口的物理和邏輯訪問(wèn)應(yīng)加以控制,防止未授權(quán)訪問(wèn)。
根據(jù)安全要求,應(yīng)在網(wǎng)絡(luò)中劃分安全域,以隔離信息服務(wù)、用戶及信息系統(tǒng);對(duì)于共享的網(wǎng)絡(luò),特別是越過(guò)組織邊界的網(wǎng)絡(luò),用戶的聯(lián)網(wǎng)能力應(yīng)按照訪問(wèn)控制策略和業(yè)務(wù)應(yīng)用要求加以限制,并建立適當(dāng)?shù)穆酚煽刂拼胧?/p>
7.4操作系統(tǒng)訪問(wèn)控制
建立一個(gè)操作系統(tǒng)安全登錄程序,防止未授權(quán)訪問(wèn);所有用戶應(yīng)有唯一的、專供其個(gè)人使用的標(biāo)識(shí)符(用戶id),應(yīng)選擇一種適當(dāng)?shù)蔫b別技術(shù)證實(shí)用戶所宣稱的身份。
可能超越系統(tǒng)和應(yīng)用程序控制的管理工具的使用應(yīng)加以限制并嚴(yán)格控制。
不活動(dòng)會(huì)話應(yīng)在一個(gè)設(shè)定的休止期后關(guān)閉;使用聯(lián)機(jī)時(shí)間的限制,為高風(fēng)險(xiǎn)應(yīng)用程序提供額外的安全。
7.5應(yīng)用和信息訪問(wèn)控制
用戶和支持人員對(duì)信息和應(yīng)用系統(tǒng)功能的訪問(wèn)應(yīng)依照已確定的訪問(wèn)控制策略加以限制。
敏感系統(tǒng)應(yīng)考慮系統(tǒng)隔離,使用專用的(或孤立的)計(jì)算機(jī)環(huán)境。
7.6移動(dòng)計(jì)算和遠(yuǎn)程工作
應(yīng)有正式策略并且采用適當(dāng)?shù)陌踩胧?以防范使用移動(dòng)計(jì)算和通信設(shè)施時(shí)所造成的風(fēng)險(xiǎn)。
通過(guò)網(wǎng)絡(luò)遠(yuǎn)程訪問(wèn)idc,需在通過(guò)授權(quán)的情況下對(duì)用戶進(jìn)行認(rèn)證并對(duì)通信內(nèi)容進(jìn)行加密。
8、信息系統(tǒng)獲取、開(kāi)發(fā)和維護(hù)
8.1安全需求分析和說(shuō)明
在新的信息系統(tǒng)或增強(qiáng)已有信息系統(tǒng)的業(yè)務(wù)需求陳述中,應(yīng)規(guī)定對(duì)安全控制措施的要求。
8.2信息處理控制
輸入應(yīng)用系統(tǒng)的數(shù)據(jù)應(yīng)加以驗(yàn)證,以確保數(shù)據(jù)是正確且恰當(dāng)?shù)摹?/p>
驗(yàn)證檢查應(yīng)整合到應(yīng)用中,以檢查由于處理的錯(cuò)誤或故意的行為造成的信息的訛誤。
通過(guò)控制措施,確保信息在處理過(guò)程中的完整性,并對(duì)處理結(jié)果進(jìn)行驗(yàn)證。
8.3密碼控制
應(yīng)開(kāi)發(fā)和實(shí)施使用密碼控制措施來(lái)保護(hù)信息的策略,并保證密鑰的安全使用。
8.4系統(tǒng)文件的安全
應(yīng)有程序來(lái)控制在運(yùn)行系統(tǒng)上安裝軟件;試數(shù)據(jù)應(yīng)認(rèn)真地加以選擇、保護(hù)和控制;應(yīng)限制訪問(wèn)程序源代碼。
8.5開(kāi)發(fā)過(guò)程和支持過(guò)程中的安全
建立變更控制程序控制變更的實(shí)施;當(dāng)操作系統(tǒng)發(fā)生變更后,應(yīng)對(duì)業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行評(píng)審和測(cè)試,以確保對(duì)組織的運(yùn)行和安全沒(méi)有負(fù)面影響。
idc應(yīng)管理和監(jiān)視外包軟件的開(kāi)發(fā)。
8.6技術(shù)脆弱性管理
應(yīng)及時(shí)得到現(xiàn)用信息系統(tǒng)技術(shù)脆弱性的信息,評(píng)價(jià)組織對(duì)這些脆弱性的暴露程度,并采取適當(dāng)?shù)拇胧﹣?lái)處理相關(guān)的風(fēng)險(xiǎn)。
9、信息安全事件管理
9.1報(bào)告信息安全事態(tài)和弱點(diǎn)
建立正式的idc信息安全事件報(bào)告程序,并形成文件。
建立適當(dāng)?shù)某绦?保證信息安全事態(tài)應(yīng)該盡可能快地通過(guò)適當(dāng)?shù)墓芾砬肋M(jìn)行報(bào)告,要求員工、承包方人員和第三方人員記錄并報(bào)告他們觀察到的或懷疑的任何系統(tǒng)或服務(wù)的安全弱點(diǎn)。
9.2職責(zé)和程序
應(yīng)建立管理職責(zé)和架構(gòu),以確保能對(duì)信息安全事件做出快速、有效和有序的響應(yīng)。
9.3對(duì)信息安全事件的總結(jié)和證據(jù)的收集
建立一套機(jī)制量化和監(jiān)視信息安全事件的類型、數(shù)量和代價(jià),并且當(dāng)一個(gè)信息安全事件涉及到訴訟(民事的或刑事的),需要進(jìn)一步對(duì)個(gè)人或組織進(jìn)行起訴時(shí),應(yīng)收集、保留和呈遞證據(jù),以使證據(jù)符合相關(guān)訴訟管轄權(quán)。
10、業(yè)務(wù)連續(xù)性管理
10.1業(yè)務(wù)連續(xù)性計(jì)劃
建立和維持一個(gè)用于整個(gè)組織的業(yè)務(wù)連續(xù)性計(jì)劃,通過(guò)使用預(yù)防和恢復(fù)控制措施,將對(duì)組織的影響減少到最低,并從信息資產(chǎn)的損失中恢復(fù)到可接受的程度。
10.2業(yè)務(wù)連續(xù)性和風(fēng)險(xiǎn)評(píng)估
通過(guò)恰當(dāng)?shù)某绦?識(shí)別能引起idc業(yè)務(wù)過(guò)程中斷的事態(tài)(例如,設(shè)備故障、人為錯(cuò)誤、盜竊、火災(zāi)、自然災(zāi)害和恐怖行為等),這種中斷發(fā)生的概率和影響,以及它們對(duì)信息安全所造成的后果。
業(yè)務(wù)資源與過(guò)程責(zé)任人參與業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)評(píng)估。
10.3制定和實(shí)施包括信息安全的連續(xù)性計(jì)劃
建立業(yè)務(wù)運(yùn)行恢復(fù)計(jì)劃,以使關(guān)鍵業(yè)務(wù)過(guò)程在中斷或發(fā)生故障后,能在規(guī)定的水準(zhǔn)與規(guī)定的時(shí)間范圍恢復(fù)運(yùn)行
10.4測(cè)試、維護(hù)和再評(píng)估業(yè)務(wù)連續(xù)性計(jì)劃
業(yè)務(wù)連續(xù)性計(jì)劃應(yīng)定期測(cè)試和更新,以確保其及時(shí)性和有效性。
定期測(cè)試及更新業(yè)務(wù)連續(xù)性計(jì)劃(bcp)/災(zāi)難恢復(fù)計(jì)劃(drp),并對(duì)員工進(jìn)行培訓(xùn);定期對(duì)idc的風(fēng)險(xiǎn)進(jìn)行審核和管理評(píng)審,及時(shí)發(fā)現(xiàn)潛在的災(zāi)難和安全失效。
5星級(jí)idc:至少每年一次測(cè)試及更新;bcp/drp,并對(duì)員工進(jìn)行培訓(xùn); 至少每年一次對(duì)idc的風(fēng)險(xiǎn)進(jìn)行審核和管理評(píng)審,及時(shí)發(fā)現(xiàn)潛在的災(zāi)難和安全失效。
4星級(jí)idc:至少每年一次測(cè)試及更新;bcp/drp,并對(duì)員工進(jìn)行培訓(xùn);至少每年一次對(duì)idc的風(fēng)險(xiǎn)進(jìn)行審核和管理評(píng)審,及時(shí)發(fā)現(xiàn)潛在的災(zāi)難和安全失效。
11、符合性
11.1可用法律、法規(guī)的識(shí)別
idc所有相關(guān)的法令、法規(guī)和合同要求,以及為滿足這些要求組織所采用的方法,應(yīng)加以明確地定義、收集和跟蹤,并形成文件并保持更新。
11.2知識(shí)產(chǎn)權(quán)
應(yīng)實(shí)施適當(dāng)?shù)某绦?以確保在使用具有知識(shí)產(chǎn)權(quán)的材料和具有所有權(quán)的軟件產(chǎn)品時(shí),符合法律、法規(guī)和合同的要求。
11.3保護(hù)組織的記錄
應(yīng)防止重要的記錄遺失、毀壞和偽造,以滿足法令、法規(guī)、合同和業(yè)務(wù)的要求。
11.4技術(shù)符合性檢查
定期地對(duì)信息系統(tǒng)進(jìn)行安全實(shí)施標(biāo)準(zhǔn)符合檢查,由具有勝任能力的已授權(quán)的人員執(zhí)行,或在他們的監(jiān)督下執(zhí)行。
11.5數(shù)據(jù)保護(hù)和個(gè)人信息的隱私
應(yīng)依照相關(guān)的法律、法規(guī)和合同條款的要求,確保數(shù)據(jù)保護(hù)和隱私。
第11篇 信息安全管理辦法
第一章??? 總則
第一條 為加強(qiáng)邵陽(yáng)市農(nóng)村商業(yè)銀行(以下簡(jiǎn)稱農(nóng)商行)信息系統(tǒng)信息安全、硬件設(shè)備、安全運(yùn)行、故障申報(bào)、日常檢查、網(wǎng)絡(luò)安全等管理,防范和化解信息系統(tǒng)的運(yùn)行風(fēng)險(xiǎn),杜絕各類事故和案件的發(fā)生,根據(jù)《湖南省農(nóng)村信用社信息安全管理辦法》、《中華人民共和國(guó)信息系統(tǒng)安全保護(hù)條例》、《金融機(jī)構(gòu)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作暫行規(guī)定》、《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》等規(guī)定,結(jié)合我農(nóng)商行實(shí)際情況,特制定本辦法。
第二條 本辦法適用所有使用邵陽(yáng)市農(nóng)商行網(wǎng)絡(luò)或信息資源的其他外部機(jī)構(gòu)和個(gè)人,包括農(nóng)商行轄內(nèi)網(wǎng)點(diǎn)所有員工,包括在編合同制員工、經(jīng)批準(zhǔn)在崗的短期合同制員工。
第三條 信息系統(tǒng)信息安全工作堅(jiān)持以預(yù)防為主、綜合治理、人員防范與技術(shù)防范相結(jié)合和的原則、按照“誰(shuí)主管誰(shuí)負(fù)責(zé),誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé),誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則,逐級(jí)落實(shí)單位與個(gè)人信息安全責(zé)任制。
第四條 信息系統(tǒng)系統(tǒng)信息安全管理員,應(yīng)當(dāng)保障信息系統(tǒng)及配套設(shè)備的安全、運(yùn)行環(huán)境的安全和信息的安全。
第五條 任何個(gè)人不得利用信息系統(tǒng)從事危害國(guó)家利益和集體利益的活動(dòng)、不得危害計(jì)算機(jī)信息系統(tǒng)的安全。
第二章 組織保障
第六條 農(nóng)商行設(shè)立科技信息部,由科技信息部歸口管理信息安全工作,并明確其信息安全管理職責(zé)。
第七條 根據(jù)省聯(lián)社要求,農(nóng)商行成立由農(nóng)商行領(lǐng)導(dǎo)和各職能部門(mén)主要負(fù)責(zé)人組成信息安全工作領(lǐng)導(dǎo)小組,領(lǐng)導(dǎo)小組辦公室設(shè)農(nóng)商行科技信息部,負(fù)責(zé)協(xié)調(diào)轄內(nèi)信息安全管理工作,決定轄內(nèi)信息安全重大事宜。 第八條 農(nóng)商行科技信息部門(mén)設(shè)立信息安全崗位,配備專職信息安全管理人員。負(fù)責(zé)邵陽(yáng)農(nóng)商行信息安全管理,建立完善信息安全管理辦法,并組織實(shí)施;對(duì)農(nóng)商行信息安全管理工作進(jìn)行指導(dǎo)和檢查督促。
第九條 農(nóng)商行各支行及各職能部門(mén)主要負(fù)責(zé)人為本部門(mén)信息安全第一責(zé)任人,同時(shí)均應(yīng)指定至少一名部門(mén)信息安全員,具體負(fù)責(zé)本部門(mén)的信息安全管理,協(xié)同科技信息部開(kāi)展信息安全管理工作。
第三章??? 人員管理
農(nóng)商行工作人員根據(jù)不同的崗位或工作范圍,履行相應(yīng)的信息安全保障職責(zé)??萍夹畔⒉繛檗r(nóng)商行信息安全保護(hù)專職部門(mén),設(shè)信息安全管理員、系統(tǒng)維護(hù)管理員、技術(shù)維護(hù)員等崗位負(fù)責(zé)全轄信息系統(tǒng)安全運(yùn)行。各部門(mén)及支行要設(shè)立信息系統(tǒng)安全管理領(lǐng)導(dǎo)小組,設(shè)立部門(mén)信息安全員。
第一節(jié) 信息安全管理人員
第十條 農(nóng)商行選派政治思想過(guò)硬、具有較高計(jì)算機(jī)水平的人員從事信息安全管理工作。凡是因違反國(guó)家法律法規(guī)和湖南省農(nóng)村信用社有關(guān)規(guī)定受到過(guò)處罰或處分的人員,不得從事此項(xiàng)工作。
第十一條 信息安全管理人員應(yīng)具有從事金融機(jī)構(gòu)計(jì)算機(jī)工作三年以上經(jīng)歷,具有本科以上學(xué)歷。
第十二條 信息安全管理人員必須應(yīng)經(jīng)過(guò)省聯(lián)社組織的專業(yè)培訓(xùn)與審核,培訓(xùn)與審核合格后方可上崗。上崗后,每年至少參加一次信息安全專業(yè)培訓(xùn)。 第十三條 農(nóng)商行信息安全管理人員在如下職責(zé)范圍內(nèi)開(kāi)展本單位信息安全管理工作: (一)組織落實(shí)上級(jí)信息安全管理規(guī)定,制定信息安全管理辦法,協(xié)調(diào)部門(mén)計(jì)算機(jī)安全員工作,監(jiān)督檢查信息安全保障工作。 (二)審核信息化建設(shè)項(xiàng)目中的安全方案,組織實(shí)施信息安全保障項(xiàng)目建設(shè),維護(hù)、管理信息安全專用設(shè)施。 (三)檢測(cè)網(wǎng)絡(luò)和信息系統(tǒng)的安全運(yùn)行狀況,檢查運(yùn)行操作、備份、機(jī)房環(huán)境與文檔等安全管理情況,發(fā)現(xiàn)問(wèn)題,及時(shí)通報(bào)和預(yù)警,并提出整改意見(jiàn)。統(tǒng)計(jì)分析和協(xié)調(diào)處置信息安全事件。 (四)定期組織信息安全宣傳教育活動(dòng),開(kāi)展信息安全檢查、評(píng)估與培訓(xùn)工作。 第十四條 信息安全管理人員在履行職責(zé)時(shí),確因工作需要查詢相關(guān)涉密信息,須經(jīng)本部門(mén)負(fù)責(zé)人同意后向本單位保密主管部門(mén)提交申請(qǐng),獲得批準(zhǔn)后方可查詢。 第十五條 信息安全管理人員實(shí)行備案管理辦法。信息安全管理人員的配備和變更情況應(yīng)及時(shí)報(bào)上一級(jí)科技信息部備案。
第十六條 信息安全管理人員調(diào)離崗位,必須嚴(yán)格辦理調(diào)離手續(xù),承諾其調(diào)離后的保密義務(wù)。涉及農(nóng)村信用社業(yè)務(wù)核心技術(shù)的計(jì)算機(jī)安全人員調(diào)離單位,必須進(jìn)行離崗審計(jì),并在規(guī)定的脫密期后,方可調(diào)離。
第二節(jié) 部門(mén)信息安全員
第十七條 各部門(mén)和各級(jí)支行應(yīng)指派素質(zhì)好、較熟悉計(jì)算機(jī)知識(shí)的人員擔(dān)任部門(mén)信息安全員,并報(bào)農(nóng)商行科技信息部備案。如有變更應(yīng)做好交接工作,并及時(shí)通報(bào)科技信息部。 第十八條 部門(mén)信息安全員配合農(nóng)商行信息安全管理人員工作,并參加各項(xiàng)信息安全技能培訓(xùn)。 第十九條 部門(mén)信息安全員在如下職責(zé)范圍內(nèi)開(kāi)展工作: (一)負(fù)責(zé)本部門(mén)計(jì)算機(jī)病毒防治工作,監(jiān)督檢查本部門(mén)客戶端安全管理情況。 (二)負(fù)責(zé)提出本部門(mén)信息安全保障需求,及時(shí)與農(nóng)商行信息安全管理人員溝通信息安全信息。 (三)負(fù)責(zé)本部門(mén)國(guó)際互聯(lián)網(wǎng)使用和接入安全管理,組織開(kāi)展本部門(mén)信息安全自查,協(xié)助科技信息部完成對(duì)本部門(mén)的信息安全檢查工作。
第三節(jié) 技術(shù)支持人員
第二十條 本辦法所稱技術(shù)支持人員,是指參與邵陽(yáng)農(nóng)商行網(wǎng)絡(luò)、信息系統(tǒng)、機(jī)房環(huán)境等建設(shè)、運(yùn)行、維護(hù)的內(nèi)部技術(shù)支持人員和外包服務(wù)人員。 第二十一條 農(nóng)商行內(nèi)部技術(shù)支持人員在履行網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)和日常運(yùn)行維護(hù)職責(zé)過(guò)程中,應(yīng)承擔(dān)如下安全義務(wù): (一)不得對(duì)外泄露或引用工作中觸及的任何敏感信息。嚴(yán)格權(quán)限訪問(wèn),未經(jīng)批準(zhǔn)不得擅自改變系統(tǒng)設(shè)置或修改系統(tǒng)生成的任何業(yè)務(wù)數(shù)據(jù)。 (二)主動(dòng)檢查和監(jiān)控生產(chǎn)系統(tǒng)安全運(yùn)行狀況,發(fā)現(xiàn)安全隱患或故障及時(shí)報(bào)告本部門(mén)主管領(lǐng)導(dǎo),并及時(shí)響應(yīng)、處置。 (三)嚴(yán)格操作管理、測(cè)試管理、應(yīng)急管理、配置管理、變更管理、檔案管理等工作辦法,做好數(shù)據(jù)備份工作。 第二十二條 外部技術(shù)支持人員應(yīng)嚴(yán)格履行外包服務(wù)合同(協(xié)議)的各項(xiàng)安全承諾。提供技術(shù)服務(wù)期間,嚴(yán)格遵守湖南省農(nóng)村信用社相關(guān)安全規(guī)定與操作規(guī)程,關(guān)鍵操作應(yīng)經(jīng)授權(quán),并有農(nóng)商行內(nèi)部員工在場(chǎng)。不得拷貝或帶走任何配置參數(shù)信息或業(yè)務(wù)數(shù)據(jù),不得對(duì)外泄露或引用任何工作信息。
第四節(jié) 業(yè)務(wù)系統(tǒng)操作人員
第二十三條 本辦法所稱業(yè)務(wù)系統(tǒng)操作人員是指直接操作業(yè)務(wù)系統(tǒng)進(jìn)行業(yè)務(wù)處理的業(yè)務(wù)工作人員。 第二十四條 業(yè)務(wù)系統(tǒng)操作人員應(yīng)承擔(dān)如下安全義務(wù): (一)嚴(yán)格規(guī)程操作,防止誤操作。定期修改操作密碼并妥善保管,按需、適時(shí)進(jìn)行必要的數(shù)據(jù)備份。 (二)發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)出現(xiàn)異常及時(shí)報(bào)告科技信息部。 (三)不得在操作終端上安裝與業(yè)務(wù)系統(tǒng)無(wú)關(guān)的軟件和硬件,不得擅自修改業(yè)務(wù)系統(tǒng)及其運(yùn)行環(huán)境參數(shù)設(shè)置。 第二十五條 業(yè)務(wù)系統(tǒng)操作應(yīng)按照“權(quán)限分散、不得交叉任職”原則,嚴(yán)格進(jìn)行操作角色劃分和授權(quán)管理。技術(shù)支持人員不得兼任業(yè)務(wù)系統(tǒng)操作人員。
第五節(jié) 一般計(jì)算機(jī)用戶
第二十六條 本辦法所稱一般計(jì)算機(jī)用戶是指使用計(jì)算機(jī)設(shè)備的所有人員。 第二十七條 一般計(jì)算機(jī)用戶應(yīng)承擔(dān)如下安全義務(wù): (一)及時(shí)更新所用計(jì)算機(jī)的病毒防治軟件和安裝補(bǔ)丁程序,自覺(jué)接受本部門(mén)信息安全員的指導(dǎo)與管理。 (二)不得安裝與辦公和業(yè)務(wù)處理無(wú)關(guān)的其他計(jì)算機(jī)軟件和硬件,不得修改系統(tǒng)和網(wǎng)絡(luò)配置參數(shù)。 (三)未經(jīng)科技信息部檢測(cè)和授權(quán),不得將接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)的所用計(jì)算機(jī)轉(zhuǎn)接入國(guó)際互聯(lián)網(wǎng);不得將便攜式計(jì)算機(jī)接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò);不得隨意將個(gè)人計(jì)算機(jī)帶入機(jī)房或私自拷貝任何信息。
第六節(jié) 信息系統(tǒng)要害崗位人員
第二十八條 本辦法所稱信息系統(tǒng)要害崗位人員,是指與重要信息系統(tǒng)直接相關(guān)的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、系統(tǒng)開(kāi)發(fā)人員、系統(tǒng)維護(hù)員等內(nèi)部技術(shù)支持人員和重要業(yè)務(wù)操作等崗位人員。
第二十九條 本辦法所稱重要信息系統(tǒng)是指湖南省農(nóng)村信用社面向客戶的業(yè)務(wù)處理類、渠道類和涉及客戶風(fēng)險(xiǎn)管理等業(yè)務(wù)的管理類信息系統(tǒng),以及支撐系統(tǒng)運(yùn)行的機(jī)房和網(wǎng)絡(luò)等基礎(chǔ)設(shè)施。
第三十條 要害崗位人員上崗前必須經(jīng)農(nóng)商行人事部門(mén)進(jìn)行政治素質(zhì)審查,技術(shù)部門(mén)進(jìn)行業(yè)務(wù)技能考核,合格者方可上崗。
第三十一條 要害崗位人員上崗必須實(shí)行“權(quán)限分散、不得交叉覆蓋”的原則,按照“必需知道”和“最小授權(quán)”原則,嚴(yán)格設(shè)定各用戶的操作權(quán)限。
第三十二條 對(duì)要害崗位人員應(yīng)實(shí)行年度強(qiáng)制休假辦法和定期考查辦法,并進(jìn)行必要的安全教育和培訓(xùn)。
第三十三條 要害崗位人員調(diào)離崗位,必須嚴(yán)格辦理調(diào)離手續(xù),承諾其調(diào)離后的保密義務(wù)。涉及信用社業(yè)務(wù)保密信息的要害崗位人員調(diào)離單位,必須進(jìn)行離崗審計(jì),在規(guī)定的脫密期后,方可調(diào)離。
第三十四條 要害崗位人員離崗后,必須即刻更換操作密碼或注銷用戶。
第三十五條 系統(tǒng)管理員安全責(zé)任
(一)負(fù)責(zé)系統(tǒng)的運(yùn)行管理,實(shí)施系統(tǒng)安全運(yùn)行細(xì)則;
(二)嚴(yán)格用戶權(quán)限管理,維護(hù)系統(tǒng)安全正常運(yùn)行;
(三)認(rèn)真記錄系統(tǒng)安全事項(xiàng),及時(shí)向計(jì)算機(jī)安全人員報(bào)告安全事件;
(四)對(duì)進(jìn)行系統(tǒng)操作的其他人員予以安全監(jiān)督。
第三十六條 系統(tǒng)開(kāi)發(fā)員安全責(zé)任
(一)系統(tǒng)開(kāi)發(fā)建設(shè)中,應(yīng)嚴(yán)格執(zhí)行系統(tǒng)安全策略,保證系統(tǒng)安全功能的準(zhǔn)確實(shí)現(xiàn);
(二)系統(tǒng)投產(chǎn)運(yùn)行前,應(yīng)完整移交系統(tǒng)源代碼和相關(guān)涉密資料;
(三)不得對(duì)系統(tǒng)設(shè)置后門(mén);
(四)對(duì)系統(tǒng)核心技術(shù)保密。
第三十七條 系統(tǒng)維護(hù)員安全責(zé)任
(一)負(fù)責(zé)系統(tǒng)維護(hù),及時(shí)解除系統(tǒng)故障,確保系統(tǒng)正常運(yùn)行;
(二)不得擅自改變系統(tǒng)參數(shù)配置;
(三)不得安裝與系統(tǒng)無(wú)關(guān)的其他計(jì)算機(jī)程序;
(四)維護(hù)過(guò)程中,發(fā)現(xiàn)安全漏洞應(yīng)及時(shí)報(bào)告計(jì)算機(jī)安全人員。
第三十八條 各要害崗位人員必須嚴(yán)格遵守保密法規(guī)和有關(guān)信息安全管理規(guī)定。
第四章 機(jī)房環(huán)境和設(shè)備資產(chǎn)管理
第一節(jié) 機(jī)房環(huán)境安全管理
第三十九條 本辦法所稱機(jī)房是指信息系統(tǒng)等主要設(shè)備放置、運(yùn)行場(chǎng)所以及供配電、通信、空調(diào)、消防、監(jiān)控等配套環(huán)境設(shè)施。 第四十條 農(nóng)商行機(jī)房的規(guī)劃、建設(shè)、改造、運(yùn)行、維護(hù)由科技信息部負(fù)責(zé)。 第四十一條 農(nóng)商行機(jī)房應(yīng)符合國(guó)家計(jì)算機(jī)機(jī)房有關(guān)標(biāo)準(zhǔn)、監(jiān)管部門(mén)有關(guān)要求和省聯(lián)社有關(guān)規(guī)定,滿足下列基本安全要求:
(一)機(jī)房周圍100米內(nèi)不得存在危險(xiǎn)建筑物,如加油站、煤氣站等。
(二)機(jī)房應(yīng)配備防電磁干擾、防電磁泄漏、防靜電、防水、防盜、防鼠害等設(shè)施。
(三)機(jī)房應(yīng)安裝門(mén)禁系統(tǒng)、防雷系統(tǒng)、監(jiān)視系統(tǒng)、消防系統(tǒng)、報(bào)警系統(tǒng)。
(四)機(jī)房應(yīng)設(shè)專用的供電系統(tǒng),配備必要的ups和發(fā)電機(jī)。
第四十二條 機(jī)房建設(shè)、改造的方案應(yīng)報(bào)上市網(wǎng)絡(luò)中心備案。必要時(shí),由市網(wǎng)絡(luò)中心會(huì)同財(cái)務(wù)、保衛(wèi)等部門(mén)進(jìn)行審核。 第四十三條 機(jī)房建設(shè)或改造應(yīng)選擇具有國(guó)家建筑裝修裝飾工程專業(yè)承包三級(jí)以上資質(zhì)、兩年以上從事計(jì)算機(jī)機(jī)房設(shè)計(jì)與施工經(jīng)驗(yàn)的專業(yè)化公司。重要機(jī)房建設(shè)或改造工程應(yīng)引入監(jiān)理辦法。
第四十四條 計(jì)算機(jī)機(jī)房實(shí)行分區(qū)管理原則。核心區(qū)實(shí)行24小時(shí)連續(xù)監(jiān)控,生產(chǎn)區(qū)實(shí)行工作時(shí)間連續(xù)監(jiān)控,輔助區(qū)實(shí)施聯(lián)動(dòng)監(jiān)控。
第四十五條 監(jiān)控設(shè)備的安裝應(yīng)符合安全保密原則,確保監(jiān)控的安全規(guī)范運(yùn)作,防止監(jiān)控信息的泄密。
第四十六條 農(nóng)商行機(jī)房應(yīng)建立機(jī)房設(shè)施與場(chǎng)地環(huán)境集中監(jiān)控系統(tǒng),對(duì)機(jī)房空調(diào)、消防、不間斷電源(ups)、供配電、門(mén)禁系統(tǒng)等重要設(shè)施實(shí)行全面監(jiān)控,通過(guò)技術(shù)和管理手段,確保計(jì)算機(jī)機(jī)房及配套設(shè)施安全。 第四十七條 農(nóng)商行機(jī)房投入使用前,應(yīng)經(jīng)過(guò)當(dāng)?shù)毓蚕啦块T(mén)的消防驗(yàn)收和本單位科技、保衛(wèi)部門(mén)組織的驗(yàn)收,并出具明確結(jié)論的驗(yàn)收?qǐng)?bào)告。未經(jīng)驗(yàn)收或驗(yàn)收不合格的機(jī)房均不得投入使用。 第四十八條 農(nóng)商行建立健全機(jī)房管理辦法,并指派專人擔(dān)任機(jī)房管理員,落實(shí)機(jī)房安全責(zé)任制。機(jī)房管理員應(yīng)經(jīng)過(guò)相關(guān)專業(yè)培訓(xùn),熟知機(jī)房各類設(shè)備的分布和操作要領(lǐng),定期巡查機(jī)房,發(fā)現(xiàn)問(wèn)題及時(shí)報(bào)告。
第四十九條 機(jī)房管理員負(fù)責(zé)妥善保管機(jī)房建設(shè)或改造的所有文檔、圖紙以及機(jī)房運(yùn)行記錄等有關(guān)資料,并隨時(shí)提供調(diào)閱。
第五十條 農(nóng)商行加強(qiáng)出入機(jī)房人員管理。禁止未經(jīng)批準(zhǔn)的外部人員進(jìn)入機(jī)房。非機(jī)房工作人員進(jìn)出機(jī)房須經(jīng)主管部門(mén)領(lǐng)導(dǎo)批準(zhǔn),并辦理登記手續(xù),由專人陪同。
第五十一條 建立機(jī)房定期維修保養(yǎng)辦法。易受季節(jié)、溫度等環(huán)境因素影響的設(shè)備、已逾保修期的設(shè)備、近期維修過(guò)的設(shè)備等應(yīng)成為保養(yǎng)的重點(diǎn)。
第五十二條 向社會(huì)提供公眾服務(wù)的柜面和核心業(yè)務(wù)處理環(huán)境應(yīng)嚴(yán)格出入安全管理,應(yīng)安裝門(mén)禁、防入侵報(bào)警、視頻監(jiān)視錄像系統(tǒng),實(shí)行定時(shí)錄像監(jiān)控,并適當(dāng)配置自動(dòng)監(jiān)控報(bào)警功能。 第五十三條 所有門(mén)禁、防入侵報(bào)警、視頻監(jiān)視錄像系統(tǒng)的信息資料由專人保管,至少保存三個(gè)月。
第二節(jié) 設(shè)備資產(chǎn)管理
第五十四條 農(nóng)商行科技信息部建立完備的計(jì)算機(jī)設(shè)備登記辦法,嚴(yán)格資產(chǎn)管理,明確計(jì)算機(jī)設(shè)備使用者或管理者及其安全責(zé)任。 第五十五條 農(nóng)商行科技信息部根據(jù)計(jì)算機(jī)設(shè)備重要程度采取不同的安全保護(hù)措施,制定完善的訪問(wèn)控制策略,防止未經(jīng)授權(quán)使用設(shè)備或信息。有特殊安全要求的計(jì)算機(jī)設(shè)備應(yīng)放置在機(jī)房的特殊功能區(qū),必要時(shí),單獨(dú)建立門(mén)禁與監(jiān)控系統(tǒng),或配備防電磁泄露的屏蔽裝置等。
第五章 網(wǎng)絡(luò)安全管理
第一節(jié) 網(wǎng)絡(luò)規(guī)劃建設(shè)安全管理
第五十六條 省聯(lián)社信息科技部負(fù)責(zé)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全的統(tǒng)一規(guī)劃、建設(shè)部署、策略配置和網(wǎng)絡(luò)資源(網(wǎng)絡(luò)設(shè)備、通訊線路、ip地址和域名等)分配。 第五十七條 農(nóng)商行科技信息部按照省聯(lián)社信息科技部的統(tǒng)一規(guī)劃和總體部署,組織實(shí)施網(wǎng)絡(luò)建設(shè)、改造工程。農(nóng)商行局域網(wǎng)的建設(shè)與改造方案應(yīng)報(bào)上一級(jí)科技信息部審核、備案,投產(chǎn)前應(yīng)通過(guò)本單位組織的安全測(cè)試。 第五十八條 農(nóng)商行的網(wǎng)絡(luò)建設(shè)和改造應(yīng)符合如下基本安全要求: (一)符合湖南省農(nóng)村信用社網(wǎng)絡(luò)安全管理要求,使用內(nèi)容過(guò)濾、身份認(rèn)證、防火墻、病毒防范、入侵檢測(cè)、漏洞掃描、數(shù)據(jù)加密等技術(shù)手段,有效降低外部攻擊、信息泄漏等風(fēng)險(xiǎn),保障網(wǎng)絡(luò)傳輸與應(yīng)用安全。 (二)具備必要的網(wǎng)絡(luò)監(jiān)測(cè)、跟蹤和審計(jì)等管理功能。 (三)根據(jù)信息安全級(jí)別,將網(wǎng)絡(luò)劃分為不同的邏輯安全域。針對(duì)不同的網(wǎng)絡(luò)安全域,采取必要和有效的安全控制措施。
第二節(jié) 網(wǎng)絡(luò)運(yùn)行安全管理
第五十九條 農(nóng)商行科技信息部建立健全網(wǎng)絡(luò)安全運(yùn)行辦法,配備網(wǎng)絡(luò)管理員。網(wǎng)絡(luò)管理員負(fù)責(zé)日常監(jiān)測(cè)和檢查網(wǎng)絡(luò)安全運(yùn)行狀況,管理網(wǎng)絡(luò)資源及其配置信息,建立健全網(wǎng)絡(luò)運(yùn)行維護(hù)檔案,及時(shí)發(fā)現(xiàn)和解決網(wǎng)絡(luò)異常情況。
(一)負(fù)責(zé)網(wǎng)絡(luò)的運(yùn)行管理,實(shí)施網(wǎng)絡(luò)安全策略和安全運(yùn)行細(xì)則;
(二)安全配置網(wǎng)絡(luò)參數(shù),嚴(yán)格控制網(wǎng)絡(luò)用戶訪問(wèn)權(quán)限,維護(hù)網(wǎng)絡(luò)安全正常運(yùn)行;
(三)監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)端口、網(wǎng)絡(luò)物理線路,防范黑客入侵,及時(shí)向計(jì)算機(jī)安全人員報(bào)告安全事件;
(四)對(duì)操作網(wǎng)絡(luò)管理功能的其他人員進(jìn)行安全監(jiān)督。
第六十條 網(wǎng)絡(luò)管理員定期參加網(wǎng)絡(luò)安全技術(shù)培訓(xùn),具備一定的非法入侵、病毒蔓延等網(wǎng)絡(luò)安全威脅的應(yīng)對(duì)技能,緊急情況下,經(jīng)本部門(mén)主管領(lǐng)導(dǎo)授權(quán)后可采取“先斷網(wǎng)、后處理”的緊急應(yīng)對(duì)措施。
第六十一條 農(nóng)商行科技信息部嚴(yán)格網(wǎng)絡(luò)接入管理。任何設(shè)備接入網(wǎng)絡(luò)前,接入方案、設(shè)備的安全性等應(yīng)經(jīng)過(guò)審核與必要的檢測(cè),審核(檢測(cè))通過(guò)后方可接入并分配相應(yīng)的網(wǎng)絡(luò)資源。 第六十二條 農(nóng)商行科技信息部嚴(yán)格網(wǎng)絡(luò)變更管理。網(wǎng)絡(luò)管理員在調(diào)整網(wǎng)絡(luò)重要參數(shù)配置和服務(wù)端口前,應(yīng)書(shū)面請(qǐng)示本部門(mén)主管領(lǐng)導(dǎo),變更信息應(yīng)做好記錄。實(shí)施有可能影響網(wǎng)絡(luò)正常運(yùn)行的重大網(wǎng)絡(luò)變更,應(yīng)提前通知所有使用部門(mén)并安排在節(jié)假日進(jìn)行,同時(shí)做好配置參數(shù)的備份和應(yīng)急恢復(fù)準(zhǔn)備。 第六十三條 農(nóng)商行嚴(yán)格遠(yuǎn)程訪問(wèn)控制。確因工作需要進(jìn)行遠(yuǎn)程訪問(wèn)的部門(mén)和人員應(yīng)向科技信息部提出書(shū)面申請(qǐng),并采取相應(yīng)的安全防護(hù)措施。 第六十四條 信息安全管理人員經(jīng)本部門(mén)主管領(lǐng)導(dǎo)批準(zhǔn),有權(quán)對(duì)本單位或轄內(nèi)網(wǎng)絡(luò)進(jìn)行安全檢測(cè)、掃描和評(píng)估。檢測(cè)、掃描和評(píng)估結(jié)果屬敏感信息,不得向外界提供。未經(jīng)省聯(lián)社信息科技部授權(quán),任何外部單位與人員不得檢測(cè)、掃描湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)。 第六十五條 農(nóng)商行應(yīng)以不影響業(yè)務(wù)的正常網(wǎng)絡(luò)傳輸為原則,合理控制多媒體網(wǎng)絡(luò)應(yīng)用規(guī)模和范圍。未經(jīng)省聯(lián)社信息科技部批準(zhǔn),不得在湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)上提供跨轄區(qū)視頻點(diǎn)播等嚴(yán)重占用網(wǎng)絡(luò)資源的多媒體網(wǎng)絡(luò)應(yīng)用。
第三節(jié) 網(wǎng)間互聯(lián)安全管理
第六十六條 本辦法所稱網(wǎng)間互聯(lián)是指為滿足邵陽(yáng)市農(nóng)村商業(yè)銀行與其他外部機(jī)構(gòu)信息交換或信息共享需求實(shí)施的機(jī)構(gòu)間網(wǎng)絡(luò)互聯(lián)。 第六十七條 網(wǎng)間互聯(lián)由省聯(lián)社信息科技部統(tǒng)一規(guī)劃,按照相關(guān)標(biāo)準(zhǔn)組織實(shí)施。未經(jīng)省聯(lián)社信息科技部核準(zhǔn),任何單位不得自行與外部機(jī)構(gòu)實(shí)施網(wǎng)間互聯(lián)。
第六十八條 經(jīng)批準(zhǔn)與其他業(yè)務(wù)相關(guān)機(jī)構(gòu)進(jìn)行網(wǎng)絡(luò)連接,應(yīng)采用必要的技術(shù)隔離保護(hù)措施,對(duì)聯(lián)網(wǎng)使用的用戶必須采用一人一帳戶的訪問(wèn)控制。
第四節(jié) 接入國(guó)際互聯(lián)網(wǎng)管理
第六十九條 邵陽(yáng)市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡(luò)與國(guó)際互聯(lián)網(wǎng)實(shí)行物理隔離。所有接入邵陽(yáng)市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡(luò)或存儲(chǔ)有敏感工作信息的計(jì)算機(jī),不得直接或間接接入國(guó)際互聯(lián)網(wǎng)。 第七十條 計(jì)算機(jī)接入國(guó)際互聯(lián)網(wǎng)應(yīng)通過(guò)本單位保密主管部門(mén)批準(zhǔn),并確保安裝有湖南省農(nóng)村信用社選定的防病毒軟件和最新補(bǔ)丁程序??萍夹畔⒉繎{相關(guān)批準(zhǔn)證明實(shí)施聯(lián)網(wǎng),并做好備案。曾接入邵陽(yáng)市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)需改接入國(guó)際互聯(lián)網(wǎng)前應(yīng)重新辦理以上審批手續(xù),科技信息部確保該計(jì)算機(jī)已刪除敏感工作信息后方可實(shí)施接入。 第七十一條 未經(jīng)科技信息部安全檢測(cè),曾接入國(guó)際互聯(lián)網(wǎng)的計(jì)算機(jī)不得直接接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)。從國(guó)際互聯(lián)網(wǎng)下載的任何信息,未經(jīng)病毒檢測(cè)不得在內(nèi)部網(wǎng)絡(luò)上使用。 第七十二條 使用國(guó)際互聯(lián)網(wǎng)的所有用戶應(yīng)遵守國(guó)家有關(guān)法律法規(guī)和湖南省農(nóng)村信用社相關(guān)管理規(guī)定,不得從事任何違法違規(guī)活動(dòng)。
第六章 信息系統(tǒng)安全管理
第七十三條 本辦法所指的信息系統(tǒng)是邵陽(yáng)市農(nóng)村商業(yè)銀行業(yè)務(wù)處理系統(tǒng)、管理信息系統(tǒng)和日常辦公自動(dòng)化系統(tǒng)等,包括數(shù)據(jù)庫(kù)、軟件和硬件支撐環(huán)境等。
第一節(jié) 信息系統(tǒng)規(guī)劃與立項(xiàng)
第七十四條 信息系統(tǒng)建設(shè)項(xiàng)目應(yīng)在規(guī)劃與立項(xiàng)階段同步考慮安全問(wèn)題,建設(shè)方案應(yīng)滿足邵陽(yáng)市農(nóng)村商業(yè)銀行信息安全保障總體規(guī)劃的相關(guān)要求。項(xiàng)目技術(shù)方案應(yīng)包括以下基本安全內(nèi)容: (一)業(yè)務(wù)需求部門(mén)提出的安全需求。 (二)安全需求分析和實(shí)現(xiàn)。 (三)運(yùn)行平臺(tái)的安全策略與設(shè)計(jì)。
第七十五條 信息系統(tǒng)應(yīng)采取與業(yè)務(wù)安全等級(jí)要求相應(yīng)的安全機(jī)制,在安全防護(hù)方面應(yīng)符合下列基本安全要求:
(一)采取必要的技術(shù)手段,建立嚴(yán)密的安全管理控制機(jī)制,保證數(shù)據(jù)信息在處理、存儲(chǔ)和傳輸過(guò)程中的完整性和安全性,防止數(shù)據(jù)信息被非法使用、修改和復(fù)制;
(二)提供完整的數(shù)據(jù)備份和恢復(fù)功能,能方便地根據(jù)系統(tǒng)和數(shù)據(jù)的備份介質(zhì)進(jìn)行災(zāi)難恢復(fù);
(三)具有嚴(yán)格的用戶和密碼管理,能對(duì)不同級(jí)別的用戶進(jìn)行有限授權(quán),特別應(yīng)嚴(yán)格限制和分流特權(quán)用戶的權(quán)限,防止非法用戶的侵入和破壞;
(四)重要信息系統(tǒng)應(yīng)設(shè)置審計(jì)監(jiān)控程序,具有身份識(shí)別和實(shí)體認(rèn)證功能。能夠自動(dòng)記錄操作人員的重要操作,具有防止抵賴機(jī)制;
(五)涉密信息系統(tǒng)的安全設(shè)計(jì)應(yīng)符合涉密信息保密管理的有關(guān)規(guī)定。
第七十六條 農(nóng)商行科技信息部負(fù)責(zé)對(duì)項(xiàng)目技術(shù)方案進(jìn)行安全專項(xiàng)審查并提出審查意見(jiàn),未通過(guò)安全審核的項(xiàng)目不得予以立項(xiàng)。
第二節(jié) 信息系統(tǒng)開(kāi)發(fā)與集成
第七十七條 信息系統(tǒng)開(kāi)發(fā)應(yīng)符合軟件工程規(guī)范,依據(jù)安全需求進(jìn)行安全設(shè)計(jì),保證安全功能的完整、準(zhǔn)確實(shí)現(xiàn)。
第七十八條 信息系統(tǒng)開(kāi)發(fā)單位應(yīng)在完成開(kāi)發(fā)任務(wù)后將程序源代碼及其相關(guān)技術(shù)文檔全部移交邵陽(yáng)市農(nóng)村商業(yè)銀行科技信息部。外部開(kāi)發(fā)單位還應(yīng)與邵陽(yáng)市農(nóng)村商業(yè)銀行簽署相關(guān)知識(shí)產(chǎn)權(quán)保護(hù)協(xié)議和保密協(xié)議,不得將信息系統(tǒng)采用的關(guān)鍵安全技術(shù)措施和核心安全功能設(shè)計(jì)對(duì)外公開(kāi)。 第七十九條 信息系統(tǒng)的開(kāi)發(fā)人員不能兼任信息系統(tǒng)管理員或業(yè)務(wù)系統(tǒng)操作人員,不得在程序代碼中植入后門(mén)和惡意代碼程序。
第八十條 信息系統(tǒng)開(kāi)發(fā)、測(cè)試和程序的修改工作不得在生產(chǎn)環(huán)境中進(jìn)行。 第八十一條 涉密信息系統(tǒng)集成應(yīng)選擇具有國(guó)家相關(guān)部門(mén)頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書(shū)的單位或企業(yè),并簽訂嚴(yán)格的保密協(xié)議。
第三節(jié) 信息系統(tǒng)上線與運(yùn)行
第八十二條 農(nóng)商行信息系統(tǒng)上線運(yùn)行實(shí)行安全審查辦法,未通過(guò)安全審查的任何新建或改造信息系統(tǒng)不得投產(chǎn)運(yùn)行。具體要求如下: (一)項(xiàng)目承擔(dān)單位(部門(mén))應(yīng)組織制定安全測(cè)試方案,進(jìn)行系統(tǒng)上線前的自測(cè)試并形成測(cè)試報(bào)告,報(bào)科技信息部審查。 (二)科技信息部應(yīng)提出明確的測(cè)試方案和測(cè)試報(bào)告審查意見(jiàn)。必要時(shí),可組織專家評(píng)審或?qū)嵤┬畔⑾到y(tǒng)漏洞掃描檢測(cè)。
(三)信息系統(tǒng)建設(shè)牽頭業(yè)務(wù)部門(mén)應(yīng)在信息系統(tǒng)投產(chǎn)運(yùn)行前同步制定相關(guān)安全操作規(guī)定,報(bào)科技信息部備案。
第八十三條 信息系統(tǒng)投入運(yùn)行前,應(yīng)向省聯(lián)社科技部和市網(wǎng)絡(luò)中心提出安全評(píng)估和審批申請(qǐng),并報(bào)送下列材料:
(一)系統(tǒng)的用途、總體結(jié)構(gòu)及軟硬件配置等基本情況;
(二)關(guān)于系統(tǒng)安全需求、安全策略、安全性指標(biāo)、安全保護(hù)措施以及安全功能設(shè)計(jì)等情況的說(shuō)明;
(三)系統(tǒng)安全性測(cè)試提綱和測(cè)試報(bào)告;
(四)信息系統(tǒng)安全評(píng)估和審批報(bào)告書(shū)。
第八十四條 科技信息部應(yīng)當(dāng)對(duì)報(bào)送的書(shū)面材料進(jìn)行初步審查。委托相關(guān)權(quán)威機(jī)構(gòu)組建由相關(guān)業(yè)務(wù)和技術(shù)專家組成的安全評(píng)估委員會(huì)或安全評(píng)估專家組,對(duì)信息系統(tǒng)進(jìn)行安全性測(cè)試、認(rèn)證。
第八十五條 對(duì)信息系統(tǒng)的安全評(píng)估應(yīng)當(dāng)包括以下內(nèi)容:
(一)系統(tǒng)的安全策略;
(二)系統(tǒng)安全措施;
(三)系統(tǒng)安全功能的實(shí)現(xiàn)程度;
(四)系統(tǒng)運(yùn)行的穩(wěn)定性、可靠性;
(五)系統(tǒng)運(yùn)行平臺(tái)的安全可靠性。
第八十六條 安全評(píng)估委員會(huì)或安全評(píng)估專家組應(yīng)對(duì)測(cè)試、認(rèn)證的信息系統(tǒng)提出安全評(píng)估報(bào)告,并出具信息系統(tǒng)安全評(píng)估和審批報(bào)告書(shū)。
第八十七條 信息系統(tǒng)運(yùn)行平臺(tái)應(yīng)符合以下安全管理要求:
(一)合理配置操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)所提供的安全審計(jì)功能,以達(dá)到相應(yīng)安全等級(jí)標(biāo)準(zhǔn)。
(二)屏蔽與應(yīng)用系統(tǒng)無(wú)關(guān)的所有網(wǎng)絡(luò)功能,防止非法用戶的侵入。
(三)按照網(wǎng)絡(luò)管理規(guī)范及其業(yè)務(wù)應(yīng)用范圍設(shè)置聯(lián)網(wǎng)設(shè)備的ip地址及網(wǎng)絡(luò)參數(shù)。
(四)及時(shí)安裝正式發(fā)布的系統(tǒng)補(bǔ)丁,修補(bǔ)系統(tǒng)存在的安全漏洞。
第八十八條 農(nóng)商行科技信息部明確系統(tǒng)管理員(系統(tǒng)維護(hù)員),具體負(fù)責(zé)信息系統(tǒng)的日常運(yùn)行管理,監(jiān)測(cè)系統(tǒng)運(yùn)行日志,掌握系統(tǒng)運(yùn)行狀況,并建立重要信息系統(tǒng)運(yùn)行維護(hù)檔案,詳細(xì)記錄系統(tǒng)變更及操作過(guò)程。重要業(yè)務(wù)系統(tǒng)的系統(tǒng)設(shè)置要求雙人在場(chǎng)。
第八十九條 系統(tǒng)管理員不得兼任業(yè)務(wù)操作人員,不得安裝與系統(tǒng)無(wú)關(guān)的其他計(jì)算機(jī)程序;維護(hù)過(guò)程中,發(fā)現(xiàn)安全漏洞應(yīng)及時(shí)報(bào)告計(jì)算機(jī)安全人員。
第九十條 系統(tǒng)管理員確需對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行維護(hù)性操作的,應(yīng)征得業(yè)務(wù)部門(mén)同意并在業(yè)務(wù)操作人員在場(chǎng)的情況下進(jìn)行,并詳細(xì)記錄維護(hù)內(nèi)容、人員、時(shí)間等信息。
第九十一條 未經(jīng)業(yè)務(wù)主管部門(mén)領(lǐng)導(dǎo)書(shū)面批準(zhǔn),其他任何人不得擅自使用業(yè)務(wù)操作人員用機(jī),不得擅自設(shè)置、分配、使用、修改、刪除操作員代碼、口令和業(yè)務(wù)數(shù)據(jù),不得擅自改變用戶權(quán)限。
第四節(jié) 業(yè)務(wù)操作
第九十二條 業(yè)務(wù)部門(mén)負(fù)責(zé)信息系統(tǒng)業(yè)務(wù)操作用戶和權(quán)限設(shè)定,科技信息部根據(jù)-授權(quán)進(jìn)行相關(guān)設(shè)定操作。 第九十三條 業(yè)務(wù)操作人員應(yīng)嚴(yán)格按照安全操作規(guī)程進(jìn)行業(yè)務(wù)操作和必要的數(shù)據(jù)備份,并配合科技信息部保障信息安全。一旦發(fā)現(xiàn)信息系統(tǒng)運(yùn)行異常及時(shí)向本部門(mén)領(lǐng)導(dǎo)和科技信息部報(bào)告。 第九十四條 業(yè)務(wù)操作人員應(yīng)設(shè)置本人口令密碼,并嚴(yán)格保密,防止口令密碼泄漏。嚴(yán)禁向其他任何人泄露本人口令密碼。 第九十五條 凡是能夠執(zhí)行錄入、復(fù)核辦法的信息系統(tǒng),業(yè)務(wù)操作人員不得一人兼錄入、復(fù)核兩職。未經(jīng)業(yè)務(wù)部門(mén)主管領(lǐng)導(dǎo)批準(zhǔn),不得代崗、兼崗。 第九十六條 業(yè)務(wù)操作人員離開(kāi)操作用機(jī)時(shí),應(yīng)按序退出信息系統(tǒng),回到操作系統(tǒng)初始狀態(tài),防止業(yè)務(wù)數(shù)據(jù)被復(fù)制、修改、刪除以及誤操作。
第五節(jié) 信息系統(tǒng)廢止
第九十七條 實(shí)行信息系統(tǒng)廢止申報(bào)、備案辦法。使用信息系統(tǒng)的業(yè)務(wù)部門(mén)根據(jù)需要向科技信息部提出廢止申請(qǐng),由科技信息部組織進(jìn)行安全檢查后予以廢止,同時(shí)備案。 第九十八條 對(duì)已經(jīng)廢止的信息系統(tǒng)軟件和數(shù)據(jù)備份介質(zhì),科技信息部按業(yè)務(wù)規(guī)定在一定期限內(nèi)妥善保存。超過(guò)保存期限后需要銷毀的,應(yīng)在本單位保密主管部門(mén)監(jiān)督下予以不可恢復(fù)性銷毀。
第七章 客戶端安全管理
第九十九條 本辦法所稱客戶端是指邵陽(yáng)市農(nóng)村商業(yè)銀行計(jì)算機(jī)用戶、網(wǎng)絡(luò)與信息系統(tǒng)所使用的終端設(shè)備,包括臺(tái)式個(gè)人計(jì)算機(jī)(pc)、便攜式計(jì)算機(jī)、柜員終端、自動(dòng)柜員機(jī)(atm)、存折打印機(jī)、讀卡器、銷售終端(pos)和個(gè)人數(shù)字助理(pda)等。 第一百條 農(nóng)商行應(yīng)建立完善的客戶端管理辦法,記錄所有客戶端設(shè)備信息和軟件配置信息,采用桌面終端安全管理軟件集中實(shí)現(xiàn)桌面終端安全策略。 第一百零一條 客戶端應(yīng)安裝和使用正版軟件,不得安裝和使用盜版軟件,不得安裝和使用與工作無(wú)關(guān)的軟件。 第一百零二條 客戶端應(yīng)統(tǒng)一安裝病毒防治軟件,設(shè)置用戶密碼和屏幕保護(hù)口令等安全防護(hù)措施,確保安裝最新的病毒特征碼和必要的補(bǔ)丁程序。 第一百零三條 確因工作需要經(jīng)授權(quán)可遠(yuǎn)程接入內(nèi)部網(wǎng)絡(luò)的用戶,應(yīng)嚴(yán)格保存其身份認(rèn)證介質(zhì)及口令密碼,不得轉(zhuǎn)借其他人使用。
第八章 信息安全專用產(chǎn)品與服務(wù)管理
第一節(jié) 資質(zhì)審查與選型購(gòu)置
第一百零四條 本辦法所稱信息安全專用產(chǎn)品,是指邵陽(yáng)市農(nóng)村商業(yè)銀行安裝使用的專用安全軟件、硬件產(chǎn)品。本辦法所稱信息安全服務(wù),是指邵陽(yáng)市農(nóng)村商業(yè)銀行向社會(huì)購(gòu)買的專業(yè)化安全服務(wù)。 第一百零五條 省聯(lián)社信息科技部負(fù)責(zé)信息安全服務(wù)提供商的資質(zhì)審查和信息安全專用產(chǎn)品的選型,農(nóng)商行在選型范圍內(nèi)按規(guī)定選購(gòu)。 第一百零六條 農(nóng)商行購(gòu)置掃描、檢測(cè)類信息安全專用產(chǎn)品應(yīng)報(bào)省聯(lián)社信息科技部批準(zhǔn),省聯(lián)社信息科技部應(yīng)進(jìn)行登記備案。
第二節(jié) 使用管理
第一百零七條 農(nóng)商行科技信息部建立信息安全專用產(chǎn)品登記使用辦法,建立信息安全類固定資產(chǎn)使用登記簿并由專人負(fù)責(zé)管理。掃描、檢測(cè)類信息安全專用產(chǎn)品僅限于本單位信息安全管理人員使用。 第一百零八條 農(nóng)商行科技信息部隨時(shí)檢查各類信息安全專用產(chǎn)品使用情況,認(rèn)真查看相關(guān)日志和報(bào)表信息并定期匯總分析。如發(fā)現(xiàn)重大問(wèn)題,立即采取控制措施并按規(guī)定程序報(bào)告。 第一百零九條 各類信息安全專用產(chǎn)品在使用中產(chǎn)生的日志和報(bào)表信息屬于重要技術(shù)資料,應(yīng)備份存檔至少三個(gè)月。 第一百一十條 農(nóng)商行科技信息部及時(shí)升級(jí)維護(hù)信息安全專用產(chǎn)品,凡因超過(guò)使用期限的或不能繼續(xù)使用的信息安全專用產(chǎn)品,按照固定資產(chǎn)報(bào)廢審批程序處理。 第一百一十一條 防火墻、入侵檢測(cè)等安全專用產(chǎn)品原則上應(yīng)在本地配置。如需要進(jìn)行遠(yuǎn)程配置,由科技信息部或經(jīng)科技信息部授權(quán)在可信網(wǎng)絡(luò)內(nèi)并采取了必要的安全控制措施后進(jìn)行操作。
第九章 數(shù)據(jù)、文檔與密碼管理
第一節(jié) 數(shù)據(jù)安全
第一百一十二條 本辦法中所稱的數(shù)據(jù)是指以電子形式存儲(chǔ)的邵陽(yáng)市農(nóng)村商業(yè)銀行業(yè)務(wù)數(shù)據(jù)、客戶信息、系統(tǒng)運(yùn)行日志、故障維護(hù)日志以及其他內(nèi)部資料。
第一百一十三條? 農(nóng)商行應(yīng)建立和實(shí)施信息分類及保護(hù)體系,明確科技信息分類、定密、解密、備份、調(diào)用、保管、運(yùn)輸?shù)确矫娴墓ぷ髁鞒毯凸芾硪蟆? 第一百一十四條 農(nóng)商行業(yè)務(wù)部門(mén)負(fù)責(zé)提出數(shù)據(jù)在輸入、處理、輸出等不同狀態(tài)下的安全需求,科技信息部負(fù)責(zé)審核安全需求并提供一定的技術(shù)實(shí)現(xiàn)手段。
第一百一十五條 農(nóng)商行應(yīng)制定數(shù)據(jù)管理辦法和數(shù)據(jù)處理的流程和審批手續(xù),加強(qiáng)數(shù)據(jù)的保密管理。 第一百一十六條 農(nóng)商行業(yè)務(wù)部門(mén)應(yīng)嚴(yán)格管理業(yè)務(wù)數(shù)據(jù)的增加、修改、刪除等變更操作,適時(shí)進(jìn)行業(yè)務(wù)數(shù)據(jù)有效性檢查,按照既定備份策略執(zhí)行數(shù)據(jù)備份任務(wù),并定期測(cè)試備份數(shù)據(jù)的有效性和預(yù)演數(shù)據(jù)恢復(fù)流程。 第一百一十七條 農(nóng)商行科技信息部系統(tǒng)管理員(網(wǎng)絡(luò)管理員)負(fù)責(zé)定期導(dǎo)出重要信息系統(tǒng)和網(wǎng)絡(luò)日志文件并明確標(biāo)識(shí)存儲(chǔ)內(nèi)容、時(shí)間、密級(jí)等信息。日志文件應(yīng)至少保留一年,妥善保管。 第一百一十八條 農(nóng)商行業(yè)務(wù)部門(mén)應(yīng)明確規(guī)定備份數(shù)據(jù)的保存時(shí)限和密級(jí),建立備份數(shù)據(jù)調(diào)閱、銷毀審批登記辦法,并根據(jù)數(shù)據(jù)重要性級(jí)別分類采取相應(yīng)的安全銷毀措施。 第一百一十九條 所有數(shù)據(jù)備份介質(zhì)應(yīng)注意防磁、防潮、防塵、防高溫、防擠壓存放。恢復(fù)及使用備份數(shù)據(jù)時(shí)需要提供相關(guān)口令密碼的,應(yīng)把口令密碼密封后與數(shù)據(jù)備份介質(zhì)一并妥善保管。
第一百二十條 農(nóng)商行應(yīng)制定客戶信息管理辦法和流程,嚴(yán)格管理客戶信息的采集、處理、存儲(chǔ)、傳輸、分發(fā)、備份、恢復(fù)、清理和銷毀。不得非法買賣、泄露客戶個(gè)人信息,包括客戶基本信息及存貸款與征信等業(yè)務(wù)信息。禁止通過(guò)互聯(lián)網(wǎng)傳輸客戶資料和交易數(shù)據(jù)信息。
第二節(jié) 技術(shù)文檔
第一百二十一條 本辦法所稱技術(shù)文檔是邵陽(yáng)市農(nóng)村商業(yè)銀行網(wǎng)絡(luò)、信息系統(tǒng)和機(jī)房環(huán)境等建設(shè)與運(yùn)行維護(hù)過(guò)程中形成的各種紙質(zhì)技術(shù)資料,包括文檔、電子文檔、視頻和音頻文件等。包括系統(tǒng)與網(wǎng)絡(luò)設(shè)計(jì)文檔、參數(shù)配置文檔、軟件開(kāi)發(fā)文檔及其源程序等。 第一百二十二條 農(nóng)商行科技信息部負(fù)責(zé)將技術(shù)文檔統(tǒng)一歸檔,嚴(yán)格管理,并實(shí)行借閱登記辦法。未經(jīng)科技信息部領(lǐng)導(dǎo)批準(zhǔn),任何人不得將技術(shù)文檔轉(zhuǎn)借、復(fù)制和對(duì)外公布。
第三節(jié) 存儲(chǔ)介質(zhì)
第一百二十三條 農(nóng)商行應(yīng)建立健全磁帶、光盤(pán)、移動(dòng)存儲(chǔ)介質(zhì)、已打印文檔等存儲(chǔ)介質(zhì)管理流程。已存儲(chǔ)信息的存儲(chǔ)介質(zhì)應(yīng)保存在安全的物理環(huán)境中并有明晰的標(biāo)識(shí),統(tǒng)一編號(hào),并標(biāo)明信息生成或備份日期、密級(jí)及保密期限。重要信息系統(tǒng)備份介質(zhì)應(yīng)按規(guī)定異地存放。 第一百二十四條 農(nóng)商行應(yīng)做好存儲(chǔ)介質(zhì)在物理傳輸過(guò)程中的安全控制,應(yīng)選擇可靠的傳遞方式和防盜控制措施。重要信息的存取需要授權(quán)和記錄。 第一百二十五條 農(nóng)商行應(yīng)制定移動(dòng)存儲(chǔ)設(shè)備(u盤(pán)、移動(dòng)硬盤(pán)等)管理辦法,加強(qiáng)移動(dòng)存儲(chǔ)設(shè)備在生產(chǎn)環(huán)境中的管理和使用。禁止內(nèi)網(wǎng)移動(dòng)存儲(chǔ)設(shè)備在外網(wǎng)使用,禁止外網(wǎng)移動(dòng)存儲(chǔ)設(shè)備在內(nèi)網(wǎng)系統(tǒng)中使用。 第一百二十六條 農(nóng)商行應(yīng)建立存儲(chǔ)介質(zhì)銷毀辦法,對(duì)載有敏感信息的存儲(chǔ)介質(zhì)應(yīng)采用焚燒或粉碎等方式進(jìn)行處置并做好記錄。
第四節(jié) 口令密碼
第一百二十七條 農(nóng)商行信息系統(tǒng)要害崗位人員均須設(shè)置用戶口令密碼,并獨(dú)享使用,不得泄露,且至少每三個(gè)月更換一次。口令密碼的強(qiáng)度應(yīng)滿足不同安全性要求,不得設(shè)置過(guò)于簡(jiǎn)單的弱口令密碼。 第一百二十八條 敏感信息系統(tǒng)和設(shè)備的口令密碼設(shè)置應(yīng)在安全的環(huán)境下進(jìn)行,必要時(shí)應(yīng)將口令密碼筆錄、密封交主管部門(mén)保管,并確保記錄載體的安全。未經(jīng)主管部門(mén)領(lǐng)導(dǎo)許可,任何人不得擅自拆閱密封的口令密碼。拆閱后的口令密碼使用后應(yīng)立即更改并再次密封存放。 第一百二十九條 農(nóng)商行應(yīng)根據(jù)實(shí)際情況在一定時(shí)限內(nèi)妥善保存重要信息系統(tǒng)升級(jí)改造前的口令密碼。
第五節(jié) 密碼技術(shù)應(yīng)用管理
第一百三十條 農(nóng)商行涉密網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)嚴(yán)格按照國(guó)家密碼政策規(guī)定,采用相應(yīng)的加密措施。非涉密網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)依據(jù)湖南省農(nóng)村信用社實(shí)際需求和統(tǒng)一安全策略,合理選擇加密措施。 第一百三十一條 農(nóng)商行選用的密碼產(chǎn)品和加密算法應(yīng)符合國(guó)家相關(guān)密碼管理政策規(guī)定,密碼產(chǎn)品自身的物理和邏輯安全性應(yīng)符合湖南省農(nóng)村信用社的相關(guān)安全要求。 第一百三十二條 農(nóng)商行應(yīng)建立嚴(yán)格的密鑰管理體制,密鑰管理人員必須是本單位在編的正式員工,并逐級(jí)進(jìn)行備案,規(guī)范管理密鑰產(chǎn)生、存儲(chǔ)、分發(fā)、使用、廢除、歸檔、銷毀等過(guò)程。 第一百三十三條 農(nóng)商行應(yīng)在安全環(huán)境中進(jìn)行關(guān)鍵密鑰的備份工作,并確保密鑰副本的物理安全,且須設(shè)置遇緊急情況下密鑰自動(dòng)銷毀功能。 第一百三十四條 各類密鑰應(yīng)定期更換,對(duì)已泄露或懷疑泄露的密鑰應(yīng)及時(shí)廢除,過(guò)期密鑰應(yīng)安全歸檔或定期銷毀。
第十章 第三方訪問(wèn)和外包安全管理
第一節(jié) 第三方訪問(wèn)控制
第一百三十五條 本辦法所稱第三方訪問(wèn)是指邵陽(yáng)市農(nóng)村商業(yè)銀行之外的單位和個(gè)人物理訪問(wèn)邵陽(yáng)市農(nóng)村商業(yè)銀行計(jì)算機(jī)房或者通過(guò)網(wǎng)絡(luò)連接邏輯訪問(wèn)邵陽(yáng)市農(nóng)村商業(yè)銀行數(shù)據(jù)庫(kù)和信息系統(tǒng)等活動(dòng)。 第一百三十六條 農(nóng)商行保密工作委員會(huì)負(fù)責(zé)涉密信息系統(tǒng)和網(wǎng)絡(luò)相關(guān)的第三方訪問(wèn)授權(quán)審批,農(nóng)商行科技信息部負(fù)責(zé)非涉密信息系統(tǒng)和網(wǎng)絡(luò)相關(guān)的第三方訪問(wèn)授權(quán)審批。未經(jīng)邵陽(yáng)市農(nóng)村商業(yè)銀行授權(quán)的任何第三方訪問(wèn)均視為非法入侵行為。 第一百三十七條 允許被第三方訪問(wèn)的邵陽(yáng)市農(nóng)村商業(yè)銀行信息系統(tǒng)和資源應(yīng)建立存取控制機(jī)制、認(rèn)證機(jī)制,列明所有用戶名單及其權(quán)限,嚴(yán)格監(jiān)督第三方訪問(wèn)活動(dòng)。 第一百三十八條 獲得第三方訪問(wèn)授權(quán)的所有單位和個(gè)人應(yīng)與湖南省農(nóng)村信用社簽訂安全保密協(xié)議,不得進(jìn)行未授權(quán)的修改、增加、刪除數(shù)據(jù)操作,不得復(fù)制和泄露湖南省農(nóng)村信用社任何信息。
第二節(jié) 外包安全管理
第一百三十九條 本辦法所稱外包服務(wù)是指由邵陽(yáng)市農(nóng)村商業(yè)銀行之外的其他社會(huì)廠商為邵陽(yáng)市農(nóng)村商業(yè)銀行信息系統(tǒng)、網(wǎng)絡(luò)或桌面環(huán)境提供全面或部分的開(kāi)發(fā)、維護(hù)技術(shù)支持、咨詢等服務(wù)。
第一百四十條 信息科技外包服務(wù)應(yīng)按照《湖南省農(nóng)村信用社信息科技外包管理暫行辦法》簽訂正式的外包服務(wù)協(xié)議,協(xié)議應(yīng)明確約定外包服務(wù)商的安全義務(wù)。
第一百四十一條 經(jīng)本單位科技信息部領(lǐng)導(dǎo)批準(zhǔn),外包服務(wù)提供商可提供上門(mén)維護(hù)服務(wù)并由邵陽(yáng)市農(nóng)村商業(yè)銀行科技人員在場(chǎng)準(zhǔn)確記錄所有技術(shù)配置變更信息。外包服務(wù)提供商不得查看、復(fù)制涉密信息或?qū)⑸婷芙橘|(zhì)帶離湖南省農(nóng)村信用社。 第一百四十二條 計(jì)算機(jī)設(shè)備確需送外單位維修時(shí),科技信息部應(yīng)徹底清除所存工作信息,必要時(shí)應(yīng)與設(shè)備維修廠商簽訂保密協(xié)議。與密碼設(shè)備配套使用的計(jì)算機(jī)設(shè)備送修前必須請(qǐng)生產(chǎn)設(shè)備的科研單位拆除與密碼有關(guān)的硬件,并徹底清除與密碼有關(guān)的軟件和信息。
第十一章 災(zāi)難備份與應(yīng)急管理
第一節(jié) 災(zāi)難備份管理
第一百四十三條 災(zāi)難備份是指利用技術(shù)、管理手段以及相關(guān)資源,確保已有業(yè)務(wù)數(shù)據(jù)和信息系統(tǒng)在地震、水災(zāi)、火災(zāi)、戰(zhàn)爭(zhēng)、恐怖襲擊、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障、人為破壞等無(wú)法預(yù)料的突發(fā)事件(以下稱“災(zāi)難”)發(fā)生后在規(guī)定的時(shí)間內(nèi)可以恢復(fù)和繼續(xù)運(yùn)營(yíng)的有序管理過(guò)程。 第一百四十四條 科技信息部按照“統(tǒng)籌安排、資源共享、平戰(zhàn)結(jié)合”的原則,負(fù)責(zé)邵陽(yáng)市農(nóng)村商業(yè)銀行重要信息系統(tǒng)災(zāi)難備份的統(tǒng)一規(guī)劃、實(shí)施和管理。 第一百四十五條 農(nóng)商行相關(guān)業(yè)務(wù)部門(mén)負(fù)責(zé)提出業(yè)務(wù)系統(tǒng)災(zāi)難備份需求,明確可容忍的業(yè)務(wù)中斷時(shí)間(恢復(fù)時(shí)間目標(biāo)rto)和數(shù)據(jù)丟失量(恢復(fù)點(diǎn)目標(biāo)rpo)。省聯(lián)社信息科技部據(jù)此確定災(zāi)難備份等級(jí)和備份方案。 第一百四十六條 農(nóng)商行應(yīng)建立健全災(zāi)難恢復(fù)計(jì)劃,定期開(kāi)展災(zāi)難恢復(fù)培訓(xùn)。在條件許可的情況下,由省聯(lián)社信息科技部統(tǒng)一部署,重要信息系統(tǒng)至少每年進(jìn)行一次災(zāi)難恢復(fù)演練,包括異地備份站點(diǎn)切換演練和本地系統(tǒng)災(zāi)難恢復(fù)演練。
第二節(jié) 應(yīng)急管理
第一百四十七條 應(yīng)急預(yù)案是針對(duì)可能發(fā)生的意外事件并可能導(dǎo)致業(yè)務(wù)差錯(cuò)和停頓,甚至系統(tǒng)混亂、崩潰等災(zāi)難而采取的應(yīng)對(duì)策略、措施的有機(jī)集合。 第一百四十八條 在信息系統(tǒng)推廣應(yīng)用方案中應(yīng)同時(shí)設(shè)計(jì)應(yīng)急備份策略,同步實(shí)施備份方案。 第一百四十九條 農(nóng)商行應(yīng)制定和不斷完善網(wǎng)絡(luò)、信息系統(tǒng)和機(jī)房環(huán)境等應(yīng)急預(yù)案。預(yù)案的編制工作由科技信息部和相關(guān)業(yè)務(wù)部門(mén)共同完成。 第一百五十條 應(yīng)急預(yù)案應(yīng)包括以下基本內(nèi)容: (一)總則(目標(biāo)、原則、適用范圍、預(yù)案調(diào)用關(guān)系等)。 (二)應(yīng)急組織機(jī)構(gòu)。 (三)預(yù)警響應(yīng)機(jī)制(報(bào)告、評(píng)估、預(yù)案啟動(dòng)等)。 (四)各類危機(jī)處置流程。 (五)應(yīng)急資源保障。 (六)事后處理流程。 (七)預(yù)案管理與維護(hù)(生效、演練、維護(hù)等)。 第一百五十一條 農(nóng)商行應(yīng)定期組織應(yīng)急預(yù)案的演練,并指定專人管理和維護(hù)應(yīng)急預(yù)案,根據(jù)人員、信息資源等變動(dòng)情況以及演練情況適時(shí)予以更新和完善,確保應(yīng)急預(yù)案的有效性和災(zāi)難發(fā)生時(shí)的可獲取性。 第一百五十二條 農(nóng)商行信息安全工作領(lǐng)導(dǎo)小組統(tǒng)一負(fù)責(zé)各業(yè)務(wù)系統(tǒng)的應(yīng)急協(xié)調(diào)與指揮,決定重大事宜(決定應(yīng)急預(yù)案的啟動(dòng)、災(zāi)難宣告、預(yù)警相關(guān)單位等)和調(diào)動(dòng)應(yīng)急資源。 第一百五十三條 農(nóng)商行應(yīng)按照湖南省農(nóng)村信用社信息安全事件報(bào)告辦法進(jìn)行信息通報(bào),一般信息安全事件應(yīng)逐級(jí)通報(bào),發(fā)生因人為、自然原因造成信息系統(tǒng)癱瘓以及利用計(jì)算機(jī)實(shí)施犯罪等影響和損失較大的信息安全事件(下稱“重大信息安全事件”)應(yīng)直接報(bào)省聯(lián)社信息科技部。
第一百五十四條 重大信息安全事件發(fā)生后,農(nóng)商行相關(guān)人員應(yīng)注意保護(hù)事件現(xiàn)場(chǎng),采取必要的控制措施,調(diào)查事件原因,并及時(shí)報(bào)告本單位主管領(lǐng)導(dǎo)。
第一百五十五條 農(nóng)商行應(yīng)在重大信息安全事件發(fā)生后的兩小時(shí)內(nèi)按規(guī)定程序報(bào)上一級(jí)科技信息部。 ??? 第一百五十六條 農(nóng)商行辦公室負(fù)責(zé)統(tǒng)一向社會(huì)發(fā)布應(yīng)急事件公告,其他任何單位或個(gè)人不得向社會(huì)發(fā)布應(yīng)急事件公告。
第十二章 安全檢查評(píng)估與培訓(xùn)
第一節(jié) 監(jiān)測(cè)檢查
第一百五十七條 農(nóng)商行科技信息部應(yīng)整合和利用現(xiàn)有網(wǎng)絡(luò)管理系統(tǒng)、計(jì)算機(jī)資源監(jiān)控系統(tǒng)、專用安全監(jiān)控系統(tǒng)以及相關(guān)設(shè)備與系統(tǒng)的運(yùn)行日志等監(jiān)控資源,加強(qiáng)對(duì)網(wǎng)絡(luò)、重要信息系統(tǒng)和機(jī)房環(huán)境等設(shè)施的安全運(yùn)行監(jiān)測(cè)。 第一百五十八條 農(nóng)商行科技信息部應(yīng)建立運(yùn)行監(jiān)測(cè)周報(bào)、月報(bào)或季報(bào)辦法,報(bào)送本單位信息安全工作領(lǐng)導(dǎo)小組和上一級(jí)科技信息部,抄送相關(guān)業(yè)務(wù)部門(mén)。 第一百五十九條 農(nóng)商行要及時(shí)預(yù)警、響應(yīng)和處置運(yùn)行監(jiān)測(cè)中發(fā)現(xiàn)的問(wèn)題,發(fā)現(xiàn)重大隱患和運(yùn)行事故應(yīng)及時(shí)協(xié)調(diào)解決,并報(bào)上一級(jí)單位相關(guān)部門(mén)。
第一百六十條 農(nóng)商行科技信息部應(yīng)至少每年組織一次本單位或轄內(nèi)的信息安全專項(xiàng)檢查,安全檢查方式可以是自查、互查或上級(jí)檢查多種方式。 第一百六十一條 農(nóng)商行在開(kāi)展安全檢查前應(yīng)以安全管理辦法為依據(jù)制訂詳細(xì)的檢查方案和計(jì)劃,確保檢查工作的可操作性和規(guī)范性。安全檢查完成后應(yīng)及時(shí)形成檢查報(bào)告,經(jīng)本單位主管領(lǐng)導(dǎo)批準(zhǔn)后將檢查整改報(bào)告盡快送達(dá)被檢查單位。要求限期整改的,需要對(duì)相關(guān)整改情況進(jìn)行后續(xù)跟蹤。 第一百六十二條 農(nóng)商行參加檢查的人員對(duì)檢查中的涉密信息負(fù)有保密責(zé)任。所有檢查報(bào)告和資料應(yīng)作為湖南省農(nóng)村信用社內(nèi)部材料妥善保管,不得向外界泄露。 第一百六十三條 農(nóng)商行應(yīng)將每次安全檢查報(bào)告和整改落實(shí)情況整理匯總后報(bào)上一級(jí)科技信息部備案。
第二節(jié) 評(píng)估審計(jì)
第一百六十四條 農(nóng)商行科技信息部可采用自評(píng)估、檢查評(píng)估和委托評(píng)估等方式,每年至少組織一次對(duì)本單位或轄內(nèi)重要信息系統(tǒng)的安全評(píng)估。
第一百六十五條 安全評(píng)估應(yīng)在不影響信息系統(tǒng)正常運(yùn)行的情況下進(jìn)行。評(píng)估開(kāi)始前,應(yīng)制定評(píng)估方案并進(jìn)行必要的培訓(xùn)。評(píng)估結(jié)束后,形成評(píng)估報(bào)告,提出整改意見(jiàn)報(bào)本單位科技信息部主管領(lǐng)導(dǎo)。 第一百六十六條 農(nóng)商行如聘請(qǐng)第三方機(jī)構(gòu)進(jìn)行安全評(píng)估,報(bào)省聯(lián)社信息科技部批準(zhǔn),并與第三方評(píng)估機(jī)構(gòu)簽訂安全保密協(xié)議后方可進(jìn)行。本單位信息安全管理人員全程參與評(píng)估過(guò)程并實(shí)施監(jiān)督。 第一百六十七條 農(nóng)商行妥善保管信息安全評(píng)估報(bào)告,未經(jīng)授權(quán)不得對(duì)外透露評(píng)估信息。
第一百六十八條 農(nóng)商行定期對(duì)重要信息系統(tǒng)進(jìn)行安全等級(jí)保護(hù)測(cè)評(píng)。開(kāi)展等保測(cè)評(píng)工作應(yīng)遵循《金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)測(cè)評(píng)指南》和《金融行業(yè)信息安全等級(jí)保護(hù)測(cè)評(píng)服務(wù)安全指引》的有關(guān)規(guī)定,確保測(cè)評(píng)有效和測(cè)評(píng)安全。
第一百六十九條 農(nóng)商行科技信息部在支持與配合內(nèi)審部門(mén)開(kāi)展信息安全工作審計(jì)的同時(shí),應(yīng)適時(shí)開(kāi)展本單位和轄內(nèi)的信息系統(tǒng)日常運(yùn)行管理和信息安全事件全過(guò)程的技術(shù)審計(jì),發(fā)現(xiàn)問(wèn)題及時(shí)報(bào)本單位或上一級(jí)單位主管領(lǐng)導(dǎo)。 第一百七十條 農(nóng)商行應(yīng)做好操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)等審計(jì)功能配置管理,并完整保留相關(guān)日志記錄。
第三節(jié) 安全培訓(xùn)
第一百七十一條 農(nóng)商行應(yīng)至少每年對(duì)信息安全管理人員進(jìn)行一次專業(yè)培訓(xùn),不斷提高信息安全管理人員專業(yè)技能和管理水平。
第一百七十二條 農(nóng)商行應(yīng)開(kāi)展全員信息安全教育,對(duì)本單位全體正式和非正式員工進(jìn)行必要的培訓(xùn),提高全體員工信息安全意識(shí),使全體員工充分了解其職責(zé)范圍內(nèi)的信息保護(hù)流程及違反規(guī)定的后果。
第十三章 獎(jiǎng)勵(lì)與處罰
第一百七十三條 農(nóng)商行將本單位和轄內(nèi)信息安全管理工作納入年度考評(píng),對(duì)表現(xiàn)突出的單位和個(gè)人應(yīng)進(jìn)行通報(bào)表彰并給予一定形式的獎(jiǎng)勵(lì)。 第一百七十四條 對(duì)于違反本辦法,造成重大信息安全事件的單位及個(gè)人,要給予通報(bào)批評(píng);情節(jié)嚴(yán)重的,依據(jù)相關(guān)法律法規(guī),追究其主管領(lǐng)導(dǎo)、相關(guān)部門(mén)負(fù)責(zé)人及直接責(zé)任人的責(zé)任;構(gòu)成犯罪的,依法追究刑事責(zé)任。
第十四章 附 則
第一百七十五條 之前發(fā)布的其他信息安全管理辦法有關(guān)規(guī)定條款如與本辦法不一致的,按本辦法執(zhí)行。
第一百七十六條 本辦法由邵陽(yáng)市農(nóng)村商業(yè)銀行負(fù)責(zé)解釋。
?
第一章??? 總則
第一條 為加強(qiáng)邵陽(yáng)市農(nóng)村商業(yè)銀行(以下簡(jiǎn)稱農(nóng)商行)信息系統(tǒng)信息安全、硬件設(shè)備、安全運(yùn)行、故障申報(bào)、日常檢查、網(wǎng)絡(luò)安全等管理,防范和化解信息系統(tǒng)的運(yùn)行風(fēng)險(xiǎn),杜絕各類事故和案件的發(fā)生,根據(jù)《湖南省農(nóng)村信用社信息安全管理辦法》、《中華人民共和國(guó)信息系統(tǒng)安全保護(hù)條例》、《金融機(jī)構(gòu)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作暫行規(guī)定》、《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》等規(guī)定,結(jié)合我農(nóng)商行實(shí)際情況,特制定本辦法。
第二條 本辦法適用所有使用邵陽(yáng)市農(nóng)商行網(wǎng)絡(luò)或信息資源的其他外部機(jī)構(gòu)和個(gè)人,包括農(nóng)商行轄內(nèi)網(wǎng)點(diǎn)所有員工,包括在編合同制員工、經(jīng)批準(zhǔn)在崗的短期合同制員工。
第三條 信息系統(tǒng)信息安全工作堅(jiān)持以預(yù)防為主、綜合治理、人員防范與技術(shù)防范相結(jié)合和的原則、按照“誰(shuí)主管誰(shuí)負(fù)責(zé),誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé),誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則,逐級(jí)落實(shí)單位與個(gè)人信息安全責(zé)任制。
第四條 信息系統(tǒng)系統(tǒng)信息安全管理員,應(yīng)當(dāng)保障信息系統(tǒng)及配套設(shè)備的安全、運(yùn)行環(huán)境的安全和信息的安全。
第五條 任何個(gè)人不得利用信息系統(tǒng)從事危害國(guó)家利益和集體利益的活動(dòng)、不得危害計(jì)算機(jī)信息系統(tǒng)的安全。
第二章 組織保障
第六條 農(nóng)商行設(shè)立科技信息部,由科技信息部歸口管理信息安全工作,并明確其信息安全管理職責(zé)。
第七條 根據(jù)省聯(lián)社要求,農(nóng)商行成立由農(nóng)商行領(lǐng)導(dǎo)和各職能部門(mén)主要負(fù)責(zé)人組成信息安全工作領(lǐng)導(dǎo)小組,領(lǐng)導(dǎo)小組辦公室設(shè)農(nóng)商行科技信息部,負(fù)責(zé)協(xié)調(diào)轄內(nèi)信息安全管理工作,決定轄內(nèi)信息安全重大事宜。 第八條 農(nóng)商行科技信息部門(mén)設(shè)立信息安全崗位,配備專職信息安全管理人員。負(fù)責(zé)邵陽(yáng)農(nóng)商行信息安全管理,建立完善信息安全管理辦法,并組織實(shí)施;對(duì)農(nóng)商行信息安全管理工作進(jìn)行指導(dǎo)和檢查督促。
第九條 農(nóng)商行各支行及各職能部門(mén)主要負(fù)責(zé)人為本部門(mén)信息安全第一責(zé)任人,同時(shí)均應(yīng)指定至少一名部門(mén)信息安全員,具體負(fù)責(zé)本部門(mén)的信息安全管理,協(xié)同科技信息部開(kāi)展信息安全管理工作。
第三章??? 人員管理
農(nóng)商行工作人員根據(jù)不同的崗位或工作范圍,履行相應(yīng)的信息安全保障職責(zé)。科技信息部為農(nóng)商行信息安全保護(hù)專職部門(mén),設(shè)信息安全管理員、系統(tǒng)維護(hù)管理員、技術(shù)維護(hù)員等崗位負(fù)責(zé)全轄信息系統(tǒng)安全運(yùn)行。各部門(mén)及支行要設(shè)立信息系統(tǒng)安全管理領(lǐng)導(dǎo)小組,設(shè)立部門(mén)信息安全員。
第一節(jié) 信息安全管理人員
第十條 農(nóng)商行選派政治思想過(guò)硬、具有較高計(jì)算機(jī)水平的人員從事信息安全管理工作。凡是因違反國(guó)家法律法規(guī)和湖南省農(nóng)村信用社有關(guān)規(guī)定受到過(guò)處罰或處分的人員,不得從事此項(xiàng)工作。
第十一條 信息安全管理人員應(yīng)具有從事金融機(jī)構(gòu)計(jì)算機(jī)工作三年以上經(jīng)歷,具有本科以上學(xué)歷。
第十二條 信息安全管理人員必須應(yīng)經(jīng)過(guò)省聯(lián)社組織的專業(yè)培訓(xùn)與審核,培訓(xùn)與審核合格后方可上崗。上崗后,每年至少參加一次信息安全專業(yè)培訓(xùn)。 第十三條 農(nóng)商行信息安全管理人員在如下職責(zé)范圍內(nèi)開(kāi)展本單位信息安全管理工作: (一)組織落實(shí)上級(jí)信息安全管理規(guī)定,制定信息安全管理辦法,協(xié)調(diào)部門(mén)計(jì)算機(jī)安全員工作,監(jiān)督檢查信息安全保障工作。 (二)審核信息化建設(shè)項(xiàng)目中的安全方案,組織實(shí)施信息安全保障項(xiàng)目建設(shè),維護(hù)、管理信息安全專用設(shè)施。 (三)檢測(cè)網(wǎng)絡(luò)和信息系統(tǒng)的安全運(yùn)行狀況,檢查運(yùn)行操作、備份、機(jī)房環(huán)境與文檔等安全管理情況,發(fā)現(xiàn)問(wèn)題,及時(shí)通報(bào)和預(yù)警,并提出整改意見(jiàn)。統(tǒng)計(jì)分析和協(xié)調(diào)處置信息安全事件。 (四)定期組織信息安全宣傳教育活動(dòng),開(kāi)展信息安全檢查、評(píng)估與培訓(xùn)工作。 第十四條 信息安全管理人員在履行職責(zé)時(shí),確因工作需要查詢相關(guān)涉密信息,須經(jīng)本部門(mén)負(fù)責(zé)人同意后向本單位保密主管部門(mén)提交申請(qǐng),獲得批準(zhǔn)后方可查詢。 第十五條 信息安全管理人員實(shí)行備案管理辦法。信息安全管理人員的配備和變更情況應(yīng)及時(shí)報(bào)上一級(jí)科技信息部備案。
第十六條 信息安全管理人員調(diào)離崗位,必須嚴(yán)格辦理調(diào)離手續(xù),承諾其調(diào)離后的保密義務(wù)。涉及農(nóng)村信用社業(yè)務(wù)核心技術(shù)的計(jì)算機(jī)安全人員調(diào)離單位,必須進(jìn)行離崗審計(jì),并在規(guī)定的脫密期后,方可調(diào)離。
第二節(jié) 部門(mén)信息安全員
第十七條 各部門(mén)和各級(jí)支行應(yīng)指派素質(zhì)好、較熟悉計(jì)算機(jī)知識(shí)的人員擔(dān)任部門(mén)信息安全員,并報(bào)農(nóng)商行科技信息部備案。如有變更應(yīng)做好交接工作,并及時(shí)通報(bào)科技信息部。 第十八條 部門(mén)信息安全員配合農(nóng)商行信息安全管理人員工作,并參加各項(xiàng)信息安全技能培訓(xùn)。 第十九條 部門(mén)信息安全員在如下職責(zé)范圍內(nèi)開(kāi)展工作: (一)負(fù)責(zé)本部門(mén)計(jì)算機(jī)病毒防治工作,監(jiān)督檢查本部門(mén)客戶端安全管理情況。 (二)負(fù)責(zé)提出本部門(mén)信息安全保障需求,及時(shí)與農(nóng)商行信息安全管理人員溝通信息安全信息。 (三)負(fù)責(zé)本部門(mén)國(guó)際互聯(lián)網(wǎng)使用和接入安全管理,組織開(kāi)展本部門(mén)信息安全自查,協(xié)助科技信息部完成對(duì)本部門(mén)的信息安全檢查工作。
第三節(jié) 技術(shù)支持人員
第二十條 本辦法所稱技術(shù)支持人員,是指參與邵陽(yáng)農(nóng)商行網(wǎng)絡(luò)、信息系統(tǒng)、機(jī)房環(huán)境等建設(shè)、運(yùn)行、維護(hù)的內(nèi)部技術(shù)支持人員和外包服務(wù)人員。 第二十一條 農(nóng)商行內(nèi)部技術(shù)支持人員在履行網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)和日常運(yùn)行維護(hù)職責(zé)過(guò)程中,應(yīng)承擔(dān)如下安全義務(wù): (一)不得對(duì)外泄露或引用工作中觸及的任何敏感信息。嚴(yán)格權(quán)限訪問(wèn),未經(jīng)批準(zhǔn)不得擅自改變系統(tǒng)設(shè)置或修改系統(tǒng)生成的任何業(yè)務(wù)數(shù)據(jù)。 (二)主動(dòng)檢查和監(jiān)控生產(chǎn)系統(tǒng)安全運(yùn)行狀況,發(fā)現(xiàn)安全隱患或故障及時(shí)報(bào)告本部門(mén)主管領(lǐng)導(dǎo),并及時(shí)響應(yīng)、處置。 (三)嚴(yán)格操作管理、測(cè)試管理、應(yīng)急管理、配置管理、變更管理、檔案管理等工作辦法,做好數(shù)據(jù)備份工作。 第二十二條 外部技術(shù)支持人員應(yīng)嚴(yán)格履行外包服務(wù)合同(協(xié)議)的各項(xiàng)安全承諾。提供技術(shù)服務(wù)期間,嚴(yán)格遵守湖南省農(nóng)村信用社相關(guān)安全規(guī)定與操作規(guī)程,關(guān)鍵操作應(yīng)經(jīng)授權(quán),并有農(nóng)商行內(nèi)部員工在場(chǎng)。不得拷貝或帶走任何配置參數(shù)信息或業(yè)務(wù)數(shù)據(jù),不得對(duì)外泄露或引用任何工作信息。
第四節(jié) 業(yè)務(wù)系統(tǒng)操作人員
第二十三條 本辦法所稱業(yè)務(wù)系統(tǒng)操作人員是指直接操作業(yè)務(wù)系統(tǒng)進(jìn)行業(yè)務(wù)處理的業(yè)務(wù)工作人員。 第二十四條 業(yè)務(wù)系統(tǒng)操作人員應(yīng)承擔(dān)如下安全義務(wù): (一)嚴(yán)格規(guī)程操作,防止誤操作。定期修改操作密碼并妥善保管,按需、適時(shí)進(jìn)行必要的數(shù)據(jù)備份。 (二)發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)出現(xiàn)異常及時(shí)報(bào)告科技信息部。 (三)不得在操作終端上安裝與業(yè)務(wù)系統(tǒng)無(wú)關(guān)的軟件和硬件,不得擅自修改業(yè)務(wù)系統(tǒng)及其運(yùn)行環(huán)境參數(shù)設(shè)置。 第二十五條 業(yè)務(wù)系統(tǒng)操作應(yīng)按照“權(quán)限分散、不得交叉任職”原則,嚴(yán)格進(jìn)行操作角色劃分和授權(quán)管理。技術(shù)支持人員不得兼任業(yè)務(wù)系統(tǒng)操作人員。
第五節(jié) 一般計(jì)算機(jī)用戶
第二十六條 本辦法所稱一般計(jì)算機(jī)用戶是指使用計(jì)算機(jī)設(shè)備的所有人員。 第二十七條 一般計(jì)算機(jī)用戶應(yīng)承擔(dān)如下安全義務(wù): (一)及時(shí)更新所用計(jì)算機(jī)的病毒防治軟件和安裝補(bǔ)丁程序,自覺(jué)接受本部門(mén)信息安全員的指導(dǎo)與管理。 (二)不得安裝與辦公和業(yè)務(wù)處理無(wú)關(guān)的其他計(jì)算機(jī)軟件和硬件,不得修改系統(tǒng)和網(wǎng)絡(luò)配置參數(shù)。 (三)未經(jīng)科技信息部檢測(cè)和授權(quán),不得將接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)的所用計(jì)算機(jī)轉(zhuǎn)接入國(guó)際互聯(lián)網(wǎng);不得將便攜式計(jì)算機(jī)接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò);不得隨意將個(gè)人計(jì)算機(jī)帶入機(jī)房或私自拷貝任何信息。
第六節(jié) 信息系統(tǒng)要害崗位人員
第二十八條 本辦法所稱信息系統(tǒng)要害崗位人員,是指與重要信息系統(tǒng)直接相關(guān)的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、系統(tǒng)開(kāi)發(fā)人員、系統(tǒng)維護(hù)員等內(nèi)部技術(shù)支持人員和重要業(yè)務(wù)操作等崗位人員。
第二十九條 本辦法所稱重要信息系統(tǒng)是指湖南省農(nóng)村信用社面向客戶的業(yè)務(wù)處理類、渠道類和涉及客戶風(fēng)險(xiǎn)管理等業(yè)務(wù)的管理類信息系統(tǒng),以及支撐系統(tǒng)運(yùn)行的機(jī)房和網(wǎng)絡(luò)等基礎(chǔ)設(shè)施。
第三十條 要害崗位人員上崗前必須經(jīng)農(nóng)商行人事部門(mén)進(jìn)行政治素質(zhì)審查,技術(shù)部門(mén)進(jìn)行業(yè)務(wù)技能考核,合格者方可上崗。
第三十一條 要害崗位人員上崗必須實(shí)行“權(quán)限分散、不得交叉覆蓋”的原則,按照“必需知道”和“最小授權(quán)”原則,嚴(yán)格設(shè)定各用戶的操作權(quán)限。
第三十二條 對(duì)要害崗位人員應(yīng)實(shí)行年度強(qiáng)制休假辦法和定期考查辦法,并進(jìn)行必要的安全教育和培訓(xùn)。
第三十三條 要害崗位人員調(diào)離崗位,必須嚴(yán)格辦理調(diào)離手續(xù),承諾其調(diào)離后的保密義務(wù)。涉及信用社業(yè)務(wù)保密信息的要害崗位人員調(diào)離單位,必須進(jìn)行離崗審計(jì),在規(guī)定的脫密期后,方可調(diào)離。
第三十四條 要害崗位人員離崗后,必須即刻更換操作密碼或注銷用戶。
第三十五條 系統(tǒng)管理員安全責(zé)任
(一)負(fù)責(zé)系統(tǒng)的運(yùn)行管理,實(shí)施系統(tǒng)安全運(yùn)行細(xì)則;
(二)嚴(yán)格用戶權(quán)限管理,維護(hù)系統(tǒng)安全正常運(yùn)行;
(三)認(rèn)真記錄系統(tǒng)安全事項(xiàng),及時(shí)向計(jì)算機(jī)安全人員報(bào)告安全事件;
(四)對(duì)進(jìn)行系統(tǒng)操作的其他人員予以安全監(jiān)督。
第三十六條 系統(tǒng)開(kāi)發(fā)員安全責(zé)任
(一)系統(tǒng)開(kāi)發(fā)建設(shè)中,應(yīng)嚴(yán)格執(zhí)行系統(tǒng)安全策略,保證系統(tǒng)安全功能的準(zhǔn)確實(shí)現(xiàn);
(二)系統(tǒng)投產(chǎn)運(yùn)行前,應(yīng)完整移交系統(tǒng)源代碼和相關(guān)涉密資料;
(三)不得對(duì)系統(tǒng)設(shè)置后門(mén);
(四)對(duì)系統(tǒng)核心技術(shù)保密。
第三十七條 系統(tǒng)維護(hù)員安全責(zé)任
(一)負(fù)責(zé)系統(tǒng)維護(hù),及時(shí)解除系統(tǒng)故障,確保系統(tǒng)正常運(yùn)行;
(二)不得擅自改變系統(tǒng)參數(shù)配置;
(三)不得安裝與系統(tǒng)無(wú)關(guān)的其他計(jì)算機(jī)程序;
(四)維護(hù)過(guò)程中,發(fā)現(xiàn)安全漏洞應(yīng)及時(shí)報(bào)告計(jì)算機(jī)安全人員。
第三十八條 各要害崗位人員必須嚴(yán)格遵守保密法規(guī)和有關(guān)信息安全管理規(guī)定。
第四章 機(jī)房環(huán)境和設(shè)備資產(chǎn)管理
第一節(jié) 機(jī)房環(huán)境安全管理
第三十九條 本辦法所稱機(jī)房是指信息系統(tǒng)等主要設(shè)備放置、運(yùn)行場(chǎng)所以及供配電、通信、空調(diào)、消防、監(jiān)控等配套環(huán)境設(shè)施。 第四十條 農(nóng)商行機(jī)房的規(guī)劃、建設(shè)、改造、運(yùn)行、維護(hù)由科技信息部負(fù)責(zé)。 第四十一條 農(nóng)商行機(jī)房應(yīng)符合國(guó)家計(jì)算機(jī)機(jī)房有關(guān)標(biāo)準(zhǔn)、監(jiān)管部門(mén)有關(guān)要求和省聯(lián)社有關(guān)規(guī)定,滿足下列基本安全要求:
(一)機(jī)房周圍100米內(nèi)不得存在危險(xiǎn)建筑物,如加油站、煤氣站等。
(二)機(jī)房應(yīng)配備防電磁干擾、防電磁泄漏、防靜電、防水、防盜、防鼠害等設(shè)施。
(三)機(jī)房應(yīng)安裝門(mén)禁系統(tǒng)、防雷系統(tǒng)、監(jiān)視系統(tǒng)、消防系統(tǒng)、報(bào)警系統(tǒng)。
(四)機(jī)房應(yīng)設(shè)專用的供電系統(tǒng),配備必要的ups和發(fā)電機(jī)。
第四十二條 機(jī)房建設(shè)、改造的方案應(yīng)報(bào)上市網(wǎng)絡(luò)中心備案。必要時(shí),由市網(wǎng)絡(luò)中心會(huì)同財(cái)務(wù)、保衛(wèi)等部門(mén)進(jìn)行審核。 第四十三條 機(jī)房建設(shè)或改造應(yīng)選擇具有國(guó)家建筑裝修裝飾工程專業(yè)承包三級(jí)以上資質(zhì)、兩年以上從事計(jì)算機(jī)機(jī)房設(shè)計(jì)與施工經(jīng)驗(yàn)的專業(yè)化公司。重要機(jī)房建設(shè)或改造工程應(yīng)引入監(jiān)理辦法。
第四十四條 計(jì)算機(jī)機(jī)房實(shí)行分區(qū)管理原則。核心區(qū)實(shí)行24小時(shí)連續(xù)監(jiān)控,生產(chǎn)區(qū)實(shí)行工作時(shí)間連續(xù)監(jiān)控,輔助區(qū)實(shí)施聯(lián)動(dòng)監(jiān)控。
第四十五條 監(jiān)控設(shè)備的安裝應(yīng)符合安全保密原則,確保監(jiān)控的安全規(guī)范運(yùn)作,防止監(jiān)控信息的泄密。
第四十六條 農(nóng)商行機(jī)房應(yīng)建立機(jī)房設(shè)施與場(chǎng)地環(huán)境集中監(jiān)控系統(tǒng),對(duì)機(jī)房空調(diào)、消防、不間斷電源(ups)、供配電、門(mén)禁系統(tǒng)等重要設(shè)施實(shí)行全面監(jiān)控,通過(guò)技術(shù)和管理手段,確保計(jì)算機(jī)機(jī)房及配套設(shè)施安全。 第四十七條 農(nóng)商行機(jī)房投入使用前,應(yīng)經(jīng)過(guò)當(dāng)?shù)毓蚕啦块T(mén)的消防驗(yàn)收和本單位科技、保衛(wèi)部門(mén)組織的驗(yàn)收,并出具明確結(jié)論的驗(yàn)收?qǐng)?bào)告。未經(jīng)驗(yàn)收或驗(yàn)收不合格的機(jī)房均不得投入使用。 第四十八條 農(nóng)商行建立健全機(jī)房管理辦法,并指派專人擔(dān)任機(jī)房管理員,落實(shí)機(jī)房安全責(zé)任制。機(jī)房管理員應(yīng)經(jīng)過(guò)相關(guān)專業(yè)培訓(xùn),熟知機(jī)房各類設(shè)備的分布和操作要領(lǐng),定期巡查機(jī)房,發(fā)現(xiàn)問(wèn)題及時(shí)報(bào)告。
第四十九條 機(jī)房管理員負(fù)責(zé)妥善保管機(jī)房建設(shè)或改造的所有文檔、圖紙以及機(jī)房運(yùn)行記錄等有關(guān)資料,并隨時(shí)提供調(diào)閱。
第五十條 農(nóng)商行加強(qiáng)出入機(jī)房人員管理。禁止未經(jīng)批準(zhǔn)的外部人員進(jìn)入機(jī)房。非機(jī)房工作人員進(jìn)出機(jī)房須經(jīng)主管部門(mén)領(lǐng)導(dǎo)批準(zhǔn),并辦理登記手續(xù),由專人陪同。
第五十一條 建立機(jī)房定期維修保養(yǎng)辦法。易受季節(jié)、溫度等環(huán)境因素影響的設(shè)備、已逾保修期的設(shè)備、近期維修過(guò)的設(shè)備等應(yīng)成為保養(yǎng)的重點(diǎn)。
第五十二條 向社會(huì)提供公眾服務(wù)的柜面和核心業(yè)務(wù)處理環(huán)境應(yīng)嚴(yán)格出入安全管理,應(yīng)安裝門(mén)禁、防入侵報(bào)警、視頻監(jiān)視錄像系統(tǒng),實(shí)行定時(shí)錄像監(jiān)控,并適當(dāng)配置自動(dòng)監(jiān)控報(bào)警功能。 第五十三條 所有門(mén)禁、防入侵報(bào)警、視頻監(jiān)視錄像系統(tǒng)的信息資料由專人保管,至少保存三個(gè)月。
第二節(jié) 設(shè)備資產(chǎn)管理
第五十四條 農(nóng)商行科技信息部建立完備的計(jì)算機(jī)設(shè)備登記辦法,嚴(yán)格資產(chǎn)管理,明確計(jì)算機(jī)設(shè)備使用者或管理者及其安全責(zé)任。 第五十五條 農(nóng)商行科技信息部根據(jù)計(jì)算機(jī)設(shè)備重要程度采取不同的安全保護(hù)措施,制定完善的訪問(wèn)控制策略,防止未經(jīng)授權(quán)使用設(shè)備或信息。有特殊安全要求的計(jì)算機(jī)設(shè)備應(yīng)放置在機(jī)房的特殊功能區(qū),必要時(shí),單獨(dú)建立門(mén)禁與監(jiān)控系統(tǒng),或配備防電磁泄露的屏蔽裝置等。
第五章 網(wǎng)絡(luò)安全管理
第一節(jié) 網(wǎng)絡(luò)規(guī)劃建設(shè)安全管理
第五十六條 省聯(lián)社信息科技部負(fù)責(zé)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全的統(tǒng)一規(guī)劃、建設(shè)部署、策略配置和網(wǎng)絡(luò)資源(網(wǎng)絡(luò)設(shè)備、通訊線路、ip地址和域名等)分配。 第五十七條 農(nóng)商行科技信息部按照省聯(lián)社信息科技部的統(tǒng)一規(guī)劃和總體部署,組織實(shí)施網(wǎng)絡(luò)建設(shè)、改造工程。農(nóng)商行局域網(wǎng)的建設(shè)與改造方案應(yīng)報(bào)上一級(jí)科技信息部審核、備案,投產(chǎn)前應(yīng)通過(guò)本單位組織的安全測(cè)試。 第五十八條 農(nóng)商行的網(wǎng)絡(luò)建設(shè)和改造應(yīng)符合如下基本安全要求: (一)符合湖南省農(nóng)村信用社網(wǎng)絡(luò)安全管理要求,使用內(nèi)容過(guò)濾、身份認(rèn)證、防火墻、病毒防范、入侵檢測(cè)、漏洞掃描、數(shù)據(jù)加密等技術(shù)手段,有效降低外部攻擊、信息泄漏等風(fēng)險(xiǎn),保障網(wǎng)絡(luò)傳輸與應(yīng)用安全。 (二)具備必要的網(wǎng)絡(luò)監(jiān)測(cè)、跟蹤和審計(jì)等管理功能。 (三)根據(jù)信息安全級(jí)別,將網(wǎng)絡(luò)劃分為不同的邏輯安全域。針對(duì)不同的網(wǎng)絡(luò)安全域,采取必要和有效的安全控制措施。
第二節(jié) 網(wǎng)絡(luò)運(yùn)行安全管理
第五十九條 農(nóng)商行科技信息部建立健全網(wǎng)絡(luò)安全運(yùn)行辦法,配備網(wǎng)絡(luò)管理員。網(wǎng)絡(luò)管理員負(fù)責(zé)日常監(jiān)測(cè)和檢查網(wǎng)絡(luò)安全運(yùn)行狀況,管理網(wǎng)絡(luò)資源及其配置信息,建立健全網(wǎng)絡(luò)運(yùn)行維護(hù)檔案,及時(shí)發(fā)現(xiàn)和解決網(wǎng)絡(luò)異常情況。
(一)負(fù)責(zé)網(wǎng)絡(luò)的運(yùn)行管理,實(shí)施網(wǎng)絡(luò)安全策略和安全運(yùn)行細(xì)則;
(二)安全配置網(wǎng)絡(luò)參數(shù),嚴(yán)格控制網(wǎng)絡(luò)用戶訪問(wèn)權(quán)限,維護(hù)網(wǎng)絡(luò)安全正常運(yùn)行;
(三)監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)端口、網(wǎng)絡(luò)物理線路,防范黑客入侵,及時(shí)向計(jì)算機(jī)安全人員報(bào)告安全事件;
(四)對(duì)操作網(wǎng)絡(luò)管理功能的其他人員進(jìn)行安全監(jiān)督。
第六十條 網(wǎng)絡(luò)管理員定期參加網(wǎng)絡(luò)安全技術(shù)培訓(xùn),具備一定的非法入侵、病毒蔓延等網(wǎng)絡(luò)安全威脅的應(yīng)對(duì)技能,緊急情況下,經(jīng)本部門(mén)主管領(lǐng)導(dǎo)授權(quán)后可采取“先斷網(wǎng)、后處理”的緊急應(yīng)對(duì)措施。
第六十一條 農(nóng)商行科技信息部嚴(yán)格網(wǎng)絡(luò)接入管理。任何設(shè)備接入網(wǎng)絡(luò)前,接入方案、設(shè)備的安全性等應(yīng)經(jīng)過(guò)審核與必要的檢測(cè),審核(檢測(cè))通過(guò)后方可接入并分配相應(yīng)的網(wǎng)絡(luò)資源。 第六十二條 農(nóng)商行科技信息部嚴(yán)格網(wǎng)絡(luò)變更管理。網(wǎng)絡(luò)管理員在調(diào)整網(wǎng)絡(luò)重要參數(shù)配置和服務(wù)端口前,應(yīng)書(shū)面請(qǐng)示本部門(mén)主管領(lǐng)導(dǎo),變更信息應(yīng)做好記錄。實(shí)施有可能影響網(wǎng)絡(luò)正常運(yùn)行的重大網(wǎng)絡(luò)變更,應(yīng)提前通知所有使用部門(mén)并安排在節(jié)假日進(jìn)行,同時(shí)做好配置參數(shù)的備份和應(yīng)急恢復(fù)準(zhǔn)備。 第六十三條 農(nóng)商行嚴(yán)格遠(yuǎn)程訪問(wèn)控制。確因工作需要進(jìn)行遠(yuǎn)程訪問(wèn)的部門(mén)和人員應(yīng)向科技信息部提出書(shū)面申請(qǐng),并采取相應(yīng)的安全防護(hù)措施。 第六十四條 信息安全管理人員經(jīng)本部門(mén)主管領(lǐng)導(dǎo)批準(zhǔn),有權(quán)對(duì)本單位或轄內(nèi)網(wǎng)絡(luò)進(jìn)行安全檢測(cè)、掃描和評(píng)估。檢測(cè)、掃描和評(píng)估結(jié)果屬敏感信息,不得向外界提供。未經(jīng)省聯(lián)社信息科技部授權(quán),任何外部單位與人員不得檢測(cè)、掃描湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)。 第六十五條 農(nóng)商行應(yīng)以不影響業(yè)務(wù)的正常網(wǎng)絡(luò)傳輸為原則,合理控制多媒體網(wǎng)絡(luò)應(yīng)用規(guī)模和范圍。未經(jīng)省聯(lián)社信息科技部批準(zhǔn),不得在湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)上提供跨轄區(qū)視頻點(diǎn)播等嚴(yán)重占用網(wǎng)絡(luò)資源的多媒體網(wǎng)絡(luò)應(yīng)用。
第三節(jié) 網(wǎng)間互聯(lián)安全管理
第六十六條 本辦法所稱網(wǎng)間互聯(lián)是指為滿足邵陽(yáng)市農(nóng)村商業(yè)銀行與其他外部機(jī)構(gòu)信息交換或信息共享需求實(shí)施的機(jī)構(gòu)間網(wǎng)絡(luò)互聯(lián)。 第六十七條 網(wǎng)間互聯(lián)由省聯(lián)社信息科技部統(tǒng)一規(guī)劃,按照相關(guān)標(biāo)準(zhǔn)組織實(shí)施。未經(jīng)省聯(lián)社信息科技部核準(zhǔn),任何單位不得自行與外部機(jī)構(gòu)實(shí)施網(wǎng)間互聯(lián)。
第六十八條 經(jīng)批準(zhǔn)與其他業(yè)務(wù)相關(guān)機(jī)構(gòu)進(jìn)行網(wǎng)絡(luò)連接,應(yīng)采用必要的技術(shù)隔離保護(hù)措施,對(duì)聯(lián)網(wǎng)使用的用戶必須采用一人一帳戶的訪問(wèn)控制。
第四節(jié) 接入國(guó)際互聯(lián)網(wǎng)管理
第六十九條 邵陽(yáng)市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡(luò)與國(guó)際互聯(lián)網(wǎng)實(shí)行物理隔離。所有接入邵陽(yáng)市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡(luò)或存儲(chǔ)有敏感工作信息的計(jì)算機(jī),不得直接或間接接入國(guó)際互聯(lián)網(wǎng)。 第七十條 計(jì)算機(jī)接入國(guó)際互聯(lián)網(wǎng)應(yīng)通過(guò)本單位保密主管部門(mén)批準(zhǔn),并確保安裝有湖南省農(nóng)村信用社選定的防病毒軟件和最新補(bǔ)丁程序??萍夹畔⒉繎{相關(guān)批準(zhǔn)證明實(shí)施聯(lián)網(wǎng),并做好備案。曾接入邵陽(yáng)市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)需改接入國(guó)際互聯(lián)網(wǎng)前應(yīng)重新辦理以上審批手續(xù),科技信息部確保該計(jì)算機(jī)已刪除敏感工作信息后方可實(shí)施接入。 第七十一條 未經(jīng)科技信息部安全檢測(cè),曾接入國(guó)際互聯(lián)網(wǎng)的計(jì)算機(jī)不得直接接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)。從國(guó)際互聯(lián)網(wǎng)下載的任何信息,未經(jīng)病毒檢測(cè)不得在內(nèi)部網(wǎng)絡(luò)上使用。 第七十二條 使用國(guó)際互聯(lián)網(wǎng)的所有用戶應(yīng)遵守國(guó)家有關(guān)法律法規(guī)和湖南省農(nóng)村信用社相關(guān)管理規(guī)定,不得從事任何違法違規(guī)活動(dòng)。
第六章 信息系統(tǒng)安全管理
第七十三條 本辦法所指的信息系統(tǒng)是邵陽(yáng)市農(nóng)村商業(yè)銀行業(yè)務(wù)處理系統(tǒng)、管理信息系統(tǒng)和日常辦公自動(dòng)化系統(tǒng)等,包括數(shù)據(jù)庫(kù)、軟件和硬件支撐環(huán)境等。
第一節(jié) 信息系統(tǒng)規(guī)劃與立項(xiàng)
第七十四條 信息系統(tǒng)建設(shè)項(xiàng)目應(yīng)在規(guī)劃與立項(xiàng)階段同步考慮安全問(wèn)題,建設(shè)方案應(yīng)滿足邵陽(yáng)市農(nóng)村商業(yè)銀行信息安全保障總體規(guī)劃的相關(guān)要求。項(xiàng)目技術(shù)方案應(yīng)包括以下基本安全內(nèi)容: (一)業(yè)務(wù)需求部門(mén)提出的安全需求。 (二)安全需求分析和實(shí)現(xiàn)。 (三)運(yùn)行平臺(tái)的安全策略與設(shè)計(jì)。
第七十五條 信息系統(tǒng)應(yīng)采取與業(yè)務(wù)安全等級(jí)要求相應(yīng)的安全機(jī)制,在安全防護(hù)方面應(yīng)符合下列基本安全要求:
(一)采取必要的技術(shù)手段,建立嚴(yán)密的安全管理控制機(jī)制,保證數(shù)據(jù)信息在處理、存儲(chǔ)和傳輸過(guò)程中的完整性和安全性,防止數(shù)據(jù)信息被非法使用、修改和復(fù)制;
(二)提供完整的數(shù)據(jù)備份和恢復(fù)功能,能方便地根據(jù)系統(tǒng)和數(shù)據(jù)的備份介質(zhì)進(jìn)行災(zāi)難恢復(fù);
(三)具有嚴(yán)格的用戶和密碼管理,能對(duì)不同級(jí)別的用戶進(jìn)行有限授權(quán),特別應(yīng)嚴(yán)格限制和分流特權(quán)用戶的權(quán)限,防止非法用戶的侵入和破壞;
(四)重要信息系統(tǒng)應(yīng)設(shè)置審計(jì)監(jiān)控程序,具有身份識(shí)別和實(shí)體認(rèn)證功能。能夠自動(dòng)記錄操作人員的重要操作,具有防止抵賴機(jī)制;
(五)涉密信息系統(tǒng)的安全設(shè)計(jì)應(yīng)符合涉密信息保密管理的有關(guān)規(guī)定。
第七十六條 農(nóng)商行科技信息部負(fù)責(zé)對(duì)項(xiàng)目技術(shù)方案進(jìn)行安全專項(xiàng)審查并提出審查意見(jiàn),未通過(guò)安全審核的項(xiàng)目不得予以立項(xiàng)。
第二節(jié) 信息系統(tǒng)開(kāi)發(fā)與集成
第七十七條 信息系統(tǒng)開(kāi)發(fā)應(yīng)符合軟件工程規(guī)范,依據(jù)安全需求進(jìn)行安全設(shè)計(jì),保證安全功能的完整、準(zhǔn)確實(shí)現(xiàn)。
第七十八條 信息系統(tǒng)開(kāi)發(fā)單位應(yīng)在完成開(kāi)發(fā)任務(wù)后將程序源代碼及其相關(guān)技術(shù)文檔全部移交邵陽(yáng)市農(nóng)村商業(yè)銀行科技信息部。外部開(kāi)發(fā)單位還應(yīng)與邵陽(yáng)市農(nóng)村商業(yè)銀行簽署相關(guān)知識(shí)產(chǎn)權(quán)保護(hù)協(xié)議和保密協(xié)議,不得將信息系統(tǒng)采用的關(guān)鍵安全技術(shù)措施和核心安全功能設(shè)計(jì)對(duì)外公開(kāi)。 第七十九條 信息系統(tǒng)的開(kāi)發(fā)人員不能兼任信息系統(tǒng)管理員或業(yè)務(wù)系統(tǒng)操作人員,不得在程序代碼中植入后門(mén)和惡意代碼程序。
第八十條 信息系統(tǒng)開(kāi)發(fā)、測(cè)試和程序的修改工作不得在生產(chǎn)環(huán)境中進(jìn)行。 第八十一條 涉密信息系統(tǒng)集成應(yīng)選擇具有國(guó)家相關(guān)部門(mén)頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書(shū)的單位或企業(yè),并簽訂嚴(yán)格的保密協(xié)議。
第三節(jié) 信息系統(tǒng)上線與運(yùn)行
第八十二條 農(nóng)商行信息系統(tǒng)上線運(yùn)行實(shí)行安全審查辦法,未通過(guò)安全審查的任何新建或改造信息系統(tǒng)不得投產(chǎn)運(yùn)行。具體要求如下: (一)項(xiàng)目承擔(dān)單位(部門(mén))應(yīng)組織制定安全測(cè)試方案,進(jìn)行系統(tǒng)上線前的自測(cè)試并形成測(cè)試報(bào)告,報(bào)科技信息部審查。 (二)科技信息部應(yīng)提出明確的測(cè)試方案和測(cè)試報(bào)告審查意見(jiàn)。必要時(shí),可組織專家評(píng)審或?qū)嵤┬畔⑾到y(tǒng)漏洞掃描檢測(cè)。
(三)信息系統(tǒng)建設(shè)牽頭業(yè)務(wù)部門(mén)應(yīng)在信息系統(tǒng)投產(chǎn)運(yùn)行前同步制定相關(guān)安全操作規(guī)定,報(bào)科技信息部備案。
第八十三條 信息系統(tǒng)投入運(yùn)行前,應(yīng)向省聯(lián)社科技部和市網(wǎng)絡(luò)中心提出安全評(píng)估和審批申請(qǐng),并報(bào)送下列材料:
(一)系統(tǒng)的用途、總體結(jié)構(gòu)及軟硬件配置等基本情況;
(二)關(guān)于系統(tǒng)安全需求、安全策略、安全性指標(biāo)、安全保護(hù)措施以及安全功能設(shè)計(jì)等情況的說(shuō)明;
(三)系統(tǒng)安全性測(cè)試提綱和測(cè)試報(bào)告;
(四)信息系統(tǒng)安全評(píng)估和審批報(bào)告書(shū)。
第八十四條 科技信息部應(yīng)當(dāng)對(duì)報(bào)送的書(shū)面材料進(jìn)行初步審查。委托相關(guān)權(quán)威機(jī)構(gòu)組建由相關(guān)業(yè)務(wù)和技術(shù)專家組成的安全評(píng)估委員會(huì)或安全評(píng)估專家組,對(duì)信息系統(tǒng)進(jìn)行安全性測(cè)試、認(rèn)證。
第八十五條 對(duì)信息系統(tǒng)的安全評(píng)估應(yīng)當(dāng)包括以下內(nèi)容:
(一)系統(tǒng)的安全策略;
(二)系統(tǒng)安全措施;
(三)系統(tǒng)安全功能的實(shí)現(xiàn)程度;
(四)系統(tǒng)運(yùn)行的穩(wěn)定性、可靠性;
(五)系統(tǒng)運(yùn)行平臺(tái)的安全可靠性。
第八十六條 安全評(píng)估委員會(huì)或安全評(píng)估專家組應(yīng)對(duì)測(cè)試、認(rèn)證的信息系統(tǒng)提出安全評(píng)估報(bào)告,并出具信息系統(tǒng)安全評(píng)估和審批報(bào)告書(shū)。
第八十七條 信息系統(tǒng)運(yùn)行平臺(tái)應(yīng)符合以下安全管理要求:
(一)合理配置操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)所提供的安全審計(jì)功能,以達(dá)到相應(yīng)安全等級(jí)標(biāo)準(zhǔn)。
(二)屏蔽與應(yīng)用系統(tǒng)無(wú)關(guān)的所有網(wǎng)絡(luò)功能,防止非法用戶的侵入。
(三)按照網(wǎng)絡(luò)管理規(guī)范及其業(yè)務(wù)應(yīng)用范圍設(shè)置聯(lián)網(wǎng)設(shè)備的ip地址及網(wǎng)絡(luò)參數(shù)。
(四)及時(shí)安裝正式發(fā)布的系統(tǒng)補(bǔ)丁,修補(bǔ)系統(tǒng)存在的安全漏洞。
第八十八條 農(nóng)商行科技信息部明確系統(tǒng)管理員(系統(tǒng)維護(hù)員),具體負(fù)責(zé)信息系統(tǒng)的日常運(yùn)行管理,監(jiān)測(cè)系統(tǒng)運(yùn)行日志,掌握系統(tǒng)運(yùn)行狀況,并建立重要信息系統(tǒng)運(yùn)行維護(hù)檔案,詳細(xì)記錄系統(tǒng)變更及操作過(guò)程。重要業(yè)務(wù)系統(tǒng)的系統(tǒng)設(shè)置要求雙人在場(chǎng)。
第八十九條 系統(tǒng)管理員不得兼任業(yè)務(wù)操作人員,不得安裝與系統(tǒng)無(wú)關(guān)的其他計(jì)算機(jī)程序;維護(hù)過(guò)程中,發(fā)現(xiàn)安全漏洞應(yīng)及時(shí)報(bào)告計(jì)算機(jī)安全人員。
第九十條 系統(tǒng)管理員確需對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行維護(hù)性操作的,應(yīng)征得業(yè)務(wù)部門(mén)同意并在業(yè)務(wù)操作人員在場(chǎng)的情況下進(jìn)行,并詳細(xì)記錄維護(hù)內(nèi)容、人員、時(shí)間等信息。
第九十一條 未經(jīng)業(yè)務(wù)主管部門(mén)領(lǐng)導(dǎo)書(shū)面批準(zhǔn),其他任何人不得擅自使用業(yè)務(wù)操作人員用機(jī),不得擅自設(shè)置、分配、使用、修改、刪除操作員代碼、口令和業(yè)務(wù)數(shù)據(jù),不得擅自改變用戶權(quán)限。
第四節(jié) 業(yè)務(wù)操作
第九十二條 業(yè)務(wù)部門(mén)負(fù)責(zé)信息系統(tǒng)業(yè)務(wù)操作用戶和權(quán)限設(shè)定,科技信息部根據(jù)-授權(quán)進(jìn)行相關(guān)設(shè)定操作。 第九十三條 業(yè)務(wù)操作人員應(yīng)嚴(yán)格按照安全操作規(guī)程進(jìn)行業(yè)務(wù)操作和必要的數(shù)據(jù)備份,并配合科技信息部保障信息安全。一旦發(fā)現(xiàn)信息系統(tǒng)運(yùn)行異常及時(shí)向本部門(mén)領(lǐng)導(dǎo)和科技信息部報(bào)告。 第九十四條 業(yè)務(wù)操作人員應(yīng)設(shè)置本人口令密碼,并嚴(yán)格保密,防止口令密碼泄漏。嚴(yán)禁向其他任何人泄露本人口令密碼。 第九十五條 凡是能夠執(zhí)行錄入、復(fù)核辦法的信息系統(tǒng),業(yè)務(wù)操作人員不得一人兼錄入、復(fù)核兩職。未經(jīng)業(yè)務(wù)部門(mén)主管領(lǐng)導(dǎo)批準(zhǔn),不得代崗、兼崗。 第九十六條 業(yè)務(wù)操作人員離開(kāi)操作用機(jī)時(shí),應(yīng)按序退出信息系統(tǒng),回到操作系統(tǒng)初始狀態(tài),防止業(yè)務(wù)數(shù)據(jù)被復(fù)制、修改、刪除以及誤操作。
第五節(jié) 信息系統(tǒng)廢止
第九十七條 實(shí)行信息系統(tǒng)廢止申報(bào)、備案辦法。使用信息系統(tǒng)的業(yè)務(wù)部門(mén)根據(jù)需要向科技信息部提出廢止申請(qǐng),由科技信息部組織進(jìn)行安全檢查后予以廢止,同時(shí)備案。 第九十八條 對(duì)已經(jīng)廢止的信息系統(tǒng)軟件和數(shù)據(jù)備份介質(zhì),科技信息部按業(yè)務(wù)規(guī)定在一定期限內(nèi)妥善保存。超過(guò)保存期限后需要銷毀的,應(yīng)在本單位保密主管部門(mén)監(jiān)督下予以不可恢復(fù)性銷毀。
第七章 客戶端安全管理
第九十九條 本辦法所稱客戶端是指邵陽(yáng)市農(nóng)村商業(yè)銀行計(jì)算機(jī)用戶、網(wǎng)絡(luò)與信息系統(tǒng)所使用的終端設(shè)備,包括臺(tái)式個(gè)人計(jì)算機(jī)(pc)、便攜式計(jì)算機(jī)、柜員終端、自動(dòng)柜員機(jī)(atm)、存折打印機(jī)、讀卡器、銷售終端(pos)和個(gè)人數(shù)字助理(pda)等。 第一百條 農(nóng)商行應(yīng)建立完善的客戶端管理辦法,記錄所有客戶端設(shè)備信息和軟件配置信息,采用桌面終端安全管理軟件集中實(shí)現(xiàn)桌面終端安全策略。 第一百零一條 客戶端應(yīng)安裝和使用正版軟件,不得安裝和使用盜版軟件,不得安裝和使用與工作無(wú)關(guān)的軟件。 第一百零二條 客戶端應(yīng)統(tǒng)一安裝病毒防治軟件,設(shè)置用戶密碼和屏幕保護(hù)口令等安全防護(hù)措施,確保安裝最新的病毒特征碼和必要的補(bǔ)丁程序。 第一百零三條 確因工作需要經(jīng)授權(quán)可遠(yuǎn)程接入內(nèi)部網(wǎng)絡(luò)的用戶,應(yīng)嚴(yán)格保存其身份認(rèn)證介質(zhì)及口令密碼,不得轉(zhuǎn)借其他人使用。
第八章 信息安全專用產(chǎn)品與服務(wù)管理
第一節(jié) 資質(zhì)審查與選型購(gòu)置
第一百零四條 本辦法所稱信息安全專用產(chǎn)品,是指邵陽(yáng)市農(nóng)村商業(yè)銀行安裝使用的專用安全軟件、硬件產(chǎn)品。本辦法所稱信息安全服務(wù),是指邵陽(yáng)市農(nóng)村商業(yè)銀行向社會(huì)購(gòu)買的專業(yè)化安全服務(wù)。 第一百零五條 省聯(lián)社信息科技部負(fù)責(zé)信息安全服務(wù)提供商的資質(zhì)審查和信息安全專用產(chǎn)品的選型,農(nóng)商行在選型范圍內(nèi)按規(guī)定選購(gòu)。 第一百零六條 農(nóng)商行購(gòu)置掃描、檢測(cè)類信息安全專用產(chǎn)品應(yīng)報(bào)省聯(lián)社信息科技部批準(zhǔn),省聯(lián)社信息科技部應(yīng)進(jìn)行登記備案。
第二節(jié) 使用管理
第一百零七條 農(nóng)商行科技信息部建立信息安全專用產(chǎn)品登記使用辦法,建立信息安全類固定資產(chǎn)使用登記簿并由專人負(fù)責(zé)管理。掃描、檢測(cè)類信息安全專用產(chǎn)品僅限于本單位信息安全管理人員使用。 第一百零八條 農(nóng)商行科技信息部隨時(shí)檢查各類信息安全專用產(chǎn)品使用情況,認(rèn)真查看相關(guān)日志和報(bào)表信息并定期匯總分析。如發(fā)現(xiàn)重大問(wèn)題,立即采取控制措施并按規(guī)定程序報(bào)告。 第一百零九條 各類信息安全專用產(chǎn)品在使用中產(chǎn)生的日志和報(bào)表信息屬于重要技術(shù)資料,應(yīng)備份存檔至少三個(gè)月。 第一百一十條 農(nóng)商行科技信息部及時(shí)升級(jí)維護(hù)信息安全專用產(chǎn)品,凡因超過(guò)使用期限的或不能繼續(xù)使用的信息安全專用產(chǎn)品,按照固定資產(chǎn)報(bào)廢審批程序處理。 第一百一十一條 防火墻、入侵檢測(cè)等安全專用產(chǎn)品原則上應(yīng)在本地配置。如需要進(jìn)行遠(yuǎn)程配置,由科技信息部或經(jīng)科技信息部授權(quán)在可信網(wǎng)絡(luò)內(nèi)并采取了必要的安全控制措施后進(jìn)行操作。
第九章 數(shù)據(jù)、文檔與密碼管理
第一節(jié) 數(shù)據(jù)安全
第一百一十二條 本辦法中所稱的數(shù)據(jù)是指以電子形式存儲(chǔ)的邵陽(yáng)市農(nóng)村商業(yè)銀行業(yè)務(wù)數(shù)據(jù)、客戶信息、系統(tǒng)運(yùn)行日志、故障維護(hù)日志以及其他內(nèi)部資料。
第一百一十三條?農(nóng)商行應(yīng)建立和實(shí)施信息分類及保護(hù)體系,明確科技信息分類、定密、解密、備份、調(diào)用、保管、運(yùn)輸?shù)确矫娴墓ぷ髁鞒毯凸芾硪蟆? 第一百一十四條 農(nóng)商行業(yè)務(wù)部門(mén)負(fù)責(zé)提出數(shù)據(jù)在輸入、處理、輸出等不同狀態(tài)下的安全需求,科技信息部負(fù)責(zé)審核安全需求并提供一定的技術(shù)實(shí)現(xiàn)手段。
第一百一十五條 農(nóng)商行應(yīng)制定數(shù)據(jù)管理辦法和數(shù)據(jù)處理的流程和審批手續(xù),加強(qiáng)數(shù)據(jù)的保密管理。 第一百一十六條 農(nóng)商行業(yè)務(wù)部門(mén)應(yīng)嚴(yán)格管理業(yè)務(wù)數(shù)據(jù)的增加、修改、刪除等變更操作,適時(shí)進(jìn)行業(yè)務(wù)數(shù)據(jù)有效性檢查,按照既定備份策略執(zhí)行數(shù)據(jù)備份任務(wù),并定期測(cè)試備份數(shù)據(jù)的有效性和預(yù)演數(shù)據(jù)恢復(fù)流程。 第一百一十七條 農(nóng)商行科技信息部系統(tǒng)管理員(網(wǎng)絡(luò)管理員)負(fù)責(zé)定期導(dǎo)出重要信息系統(tǒng)和網(wǎng)絡(luò)日志文件并明確標(biāo)識(shí)存儲(chǔ)內(nèi)容、時(shí)間、密級(jí)等信息。日志文件應(yīng)至少保留一年,妥善保管。 第一百一十八條 農(nóng)商行業(yè)務(wù)部門(mén)應(yīng)明確規(guī)定備份數(shù)據(jù)的保存時(shí)限和密級(jí),建立備份數(shù)據(jù)調(diào)閱、銷毀審批登記辦法,并根據(jù)數(shù)據(jù)重要性級(jí)別分類采取相應(yīng)的安全銷毀措施。 第一百一十九條 所有數(shù)據(jù)備份介質(zhì)應(yīng)注意防磁、防潮、防塵、防高溫、防擠壓存放?;謴?fù)及使用備份數(shù)據(jù)時(shí)需要提供相關(guān)口令密碼的,應(yīng)把口令密碼密封后與數(shù)據(jù)備份介質(zhì)一并妥善保管。
第一百二十條 農(nóng)商行應(yīng)制定客戶信息管理辦法和流程,嚴(yán)格管理客戶信息的采集、處理、存儲(chǔ)、傳輸、分發(fā)、備份、恢復(fù)、清理和銷毀。不得非法買賣、泄露客戶個(gè)人信息,包括客戶基本信息及存貸款與征信等業(yè)務(wù)信息。禁止通過(guò)互聯(lián)網(wǎng)傳輸客戶資料和交易數(shù)據(jù)信息。
第二節(jié) 技術(shù)文檔
第一百二十一條 本辦法所稱技術(shù)文檔是邵陽(yáng)市農(nóng)村商業(yè)銀行網(wǎng)絡(luò)、信息系統(tǒng)和機(jī)房環(huán)境等建設(shè)與運(yùn)行維護(hù)過(guò)程中形成的各種紙質(zhì)技術(shù)資料,包括文檔、電子文檔、視頻和音頻文件等。包括系統(tǒng)與網(wǎng)絡(luò)設(shè)計(jì)文檔、參數(shù)配置文檔、軟件開(kāi)發(fā)文檔及其源程序等。 第一百二十二條 農(nóng)商行科技信息部負(fù)責(zé)將技術(shù)文檔統(tǒng)一歸檔,嚴(yán)格管理,并實(shí)行借閱登記辦法。未經(jīng)科技信息部領(lǐng)導(dǎo)批準(zhǔn),任何人不得將技術(shù)文檔轉(zhuǎn)借、復(fù)制和對(duì)外公布。
第三節(jié) 存儲(chǔ)介質(zhì)
第一百二十三條 農(nóng)商行應(yīng)建立健全磁帶、光盤(pán)、移動(dòng)存儲(chǔ)介質(zhì)、已打印文檔等存儲(chǔ)介質(zhì)管理流程。已存儲(chǔ)信息的存儲(chǔ)介質(zhì)應(yīng)保存在安全的物理環(huán)境中并有明晰的標(biāo)識(shí),統(tǒng)一編號(hào),并標(biāo)明信息生成或備份日期、密級(jí)及保密期限。重要信息系統(tǒng)備份介質(zhì)應(yīng)按規(guī)定異地存放。 第一百二十四條 農(nóng)商行應(yīng)做好存儲(chǔ)介質(zhì)在物理傳輸過(guò)程中的安全控制,應(yīng)選擇可靠的傳遞方式和防盜控制措施。重要信息的存取需要授權(quán)和記錄。 第一百二十五條 農(nóng)商行應(yīng)制定移動(dòng)存儲(chǔ)設(shè)備(u盤(pán)、移動(dòng)硬盤(pán)等)管理辦法,加強(qiáng)移動(dòng)存儲(chǔ)設(shè)備在生產(chǎn)環(huán)境中的管理和使用。禁止內(nèi)網(wǎng)移動(dòng)存儲(chǔ)設(shè)備在外網(wǎng)使用,禁止外網(wǎng)移動(dòng)存儲(chǔ)設(shè)備在內(nèi)網(wǎng)系統(tǒng)中使用。 第一百二十六條 農(nóng)商行應(yīng)建立存儲(chǔ)介質(zhì)銷毀辦法,對(duì)載有敏感信息的存儲(chǔ)介質(zhì)應(yīng)采用焚燒或粉碎等方式進(jìn)行處置并做好記錄。
第四節(jié) 口令密碼
第一百二十七條 農(nóng)商行信息系統(tǒng)要害崗位人員均須設(shè)置用戶口令密碼,并獨(dú)享使用,不得泄露,且至少每三個(gè)月更換一次。口令密碼的強(qiáng)度應(yīng)滿足不同安全性要求,不得設(shè)置過(guò)于簡(jiǎn)單的弱口令密碼。 第一百二十八條 敏感信息系統(tǒng)和設(shè)備的口令密碼設(shè)置應(yīng)在安全的環(huán)境下進(jìn)行,必要時(shí)應(yīng)將口令密碼筆錄、密封交主管部門(mén)保管,并確保記錄載體的安全。未經(jīng)主管部門(mén)領(lǐng)導(dǎo)許可,任何人不得擅自拆閱密封的口令密碼。拆閱后的口令密碼使用后應(yīng)立即更改并再次密封存放。 第一百二十九條 農(nóng)商行應(yīng)根據(jù)實(shí)際情況在一定時(shí)限內(nèi)妥善保存重要信息系統(tǒng)升級(jí)改造前的口令密碼。
第五節(jié) 密碼技術(shù)應(yīng)用管理
第一百三十條 農(nóng)商行涉密網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)嚴(yán)格按照國(guó)家密碼政策規(guī)定,采用相應(yīng)的加密措施。非涉密網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)依據(jù)湖南省農(nóng)村信用社實(shí)際需求和統(tǒng)一安全策略,合理選擇加密措施。 第一百三十一條 農(nóng)商行選用的密碼產(chǎn)品和加密算法應(yīng)符合國(guó)家相關(guān)密碼管理政策規(guī)定,密碼產(chǎn)品自身的物理和邏輯安全性應(yīng)符合湖南省農(nóng)村信用社的相關(guān)安全要求。 第一百三十二條 農(nóng)商行應(yīng)建立嚴(yán)格的密鑰管理體制,密鑰管理人員必須是本單位在編的正式員工,并逐級(jí)進(jìn)行備案,規(guī)范管理密鑰產(chǎn)生、存儲(chǔ)、分發(fā)、使用、廢除、歸檔、銷毀等過(guò)程。 第一百三十三條 農(nóng)商行應(yīng)在安全環(huán)境中進(jìn)行關(guān)鍵密鑰的備份工作,并確保密鑰副本的物理安全,且須設(shè)置遇緊急情況下密鑰自動(dòng)銷毀功能。 第一百三十四條 各類密鑰應(yīng)定期更換,對(duì)已泄露或懷疑泄露的密鑰應(yīng)及時(shí)廢除,過(guò)期密鑰應(yīng)安全歸檔或定期銷毀。
第十章 第三方訪問(wèn)和外包安全管理
第一節(jié) 第三方訪問(wèn)控制
第一百三十五條 本辦法所稱第三方訪問(wèn)是指邵陽(yáng)市農(nóng)村商業(yè)銀行之外的單位和個(gè)人物理訪問(wèn)邵陽(yáng)市農(nóng)村商業(yè)銀行計(jì)算機(jī)房或者通過(guò)網(wǎng)絡(luò)連接邏輯訪問(wèn)邵陽(yáng)市農(nóng)村商業(yè)銀行數(shù)據(jù)庫(kù)和信息系統(tǒng)等活動(dòng)。 第一百三十六條 農(nóng)商行保密工作委員會(huì)負(fù)責(zé)涉密信息系統(tǒng)和網(wǎng)絡(luò)相關(guān)的第三方訪問(wèn)授權(quán)審批,農(nóng)商行科技信息部負(fù)責(zé)非涉密信息系統(tǒng)和網(wǎng)絡(luò)相關(guān)的第三方訪問(wèn)授權(quán)審批。未經(jīng)邵陽(yáng)市農(nóng)村商業(yè)銀行授權(quán)的任何第三方訪問(wèn)均視為非法入侵行為。 第一百三十七條 允許被第三方訪問(wèn)的邵陽(yáng)市農(nóng)村商業(yè)銀行信息系統(tǒng)和資源應(yīng)建立存取控制機(jī)制、認(rèn)證機(jī)制,列明所有用戶名單及其權(quán)限,嚴(yán)格監(jiān)督第三方訪問(wèn)活動(dòng)。 第一百三十八條 獲得第三方訪問(wèn)授權(quán)的所有單位和個(gè)人應(yīng)與湖南省農(nóng)村信用社簽訂安全保密協(xié)議,不得進(jìn)行未授權(quán)的修改、增加、刪除數(shù)據(jù)操作,不得復(fù)制和泄露湖南省農(nóng)村信用社任何信息。
第二節(jié) 外包安全管理
第一百三十九條 本辦法所稱外包服務(wù)是指由邵陽(yáng)市農(nóng)村商業(yè)銀行之外的其他社會(huì)廠商為邵陽(yáng)市農(nóng)村商業(yè)銀行信息系統(tǒng)、網(wǎng)絡(luò)或桌面環(huán)境提供全面或部分的開(kāi)發(fā)、維護(hù)技術(shù)支持、咨詢等服務(wù)。
第一百四十條 信息科技外包服務(wù)應(yīng)按照《湖南省農(nóng)村信用社信息科技外包管理暫行辦法》簽訂正式的外包服務(wù)協(xié)議,協(xié)議應(yīng)明確約定外包服務(wù)商的安全義務(wù)。
第一百四十一條 經(jīng)本單位科技信息部領(lǐng)導(dǎo)批準(zhǔn),外包服務(wù)提供商可提供上門(mén)維護(hù)服務(wù)并由邵陽(yáng)市農(nóng)村商業(yè)銀行科技人員在場(chǎng)準(zhǔn)確記錄所有技術(shù)配置變更信息。外包服務(wù)提供商不得查看、復(fù)制涉密信息或?qū)⑸婷芙橘|(zhì)帶離湖南省農(nóng)村信用社。 第一百四十二條 計(jì)算機(jī)設(shè)備確需送外單位維修時(shí),科技信息部應(yīng)徹底清除所存工作信息,必要時(shí)應(yīng)與設(shè)備維修廠商簽訂保密協(xié)議。與密碼設(shè)備配套使用的計(jì)算機(jī)設(shè)備送修前必須請(qǐng)生產(chǎn)設(shè)備的科研單位拆除與密碼有關(guān)的硬件,并徹底清除與密碼有關(guān)的軟件和信息。
第十一章 災(zāi)難備份與應(yīng)急管理
第一節(jié) 災(zāi)難備份管理
第一百四十三條 災(zāi)難備份是指利用技術(shù)、管理手段以及相關(guān)資源,確保已有業(yè)務(wù)數(shù)據(jù)和信息系統(tǒng)在地震、水災(zāi)、火災(zāi)、戰(zhàn)爭(zhēng)、恐怖襲擊、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障、人為破壞等無(wú)法預(yù)料的突發(fā)事件(以下稱“災(zāi)難”)發(fā)生后在規(guī)定的時(shí)間內(nèi)可以恢復(fù)和繼續(xù)運(yùn)營(yíng)的有序管理過(guò)程。 第一百四十四條 科技信息部按照“統(tǒng)籌安排、資源共享、平戰(zhàn)結(jié)合”的原則,負(fù)責(zé)邵陽(yáng)市農(nóng)村商業(yè)銀行重要信息系統(tǒng)災(zāi)難備份的統(tǒng)一規(guī)劃、實(shí)施和管理。 第一百四十五條 農(nóng)商行相關(guān)業(yè)務(wù)部門(mén)負(fù)責(zé)提出業(yè)務(wù)系統(tǒng)災(zāi)難備份需求,明確可容忍的業(yè)務(wù)中斷時(shí)間(恢復(fù)時(shí)間目標(biāo)rto)和數(shù)據(jù)丟失量(恢復(fù)點(diǎn)目標(biāo)rpo)。省聯(lián)社信息科技部據(jù)此確定災(zāi)難備份等級(jí)和備份方案。 第一百四十六條 農(nóng)商行應(yīng)建立健全災(zāi)難恢復(fù)計(jì)劃,定期開(kāi)展災(zāi)難恢復(fù)培訓(xùn)。在條件許可的情況下,由省聯(lián)社信息科技部統(tǒng)一部署,重要信息系統(tǒng)至少每年進(jìn)行一次災(zāi)難恢復(fù)演練,包括異地備份站點(diǎn)切換演練和本地系統(tǒng)災(zāi)難恢復(fù)演練。
第二節(jié) 應(yīng)急管理
第一百四十七條 應(yīng)急預(yù)案是針對(duì)可能發(fā)生的意外事件并可能導(dǎo)致業(yè)務(wù)差錯(cuò)和停頓,甚至系統(tǒng)混亂、崩潰等災(zāi)難而采取的應(yīng)對(duì)策略、措施的有機(jī)集合。 第一百四十八條 在信息系統(tǒng)推廣應(yīng)用方案中應(yīng)同時(shí)設(shè)計(jì)應(yīng)急備份策略,同步實(shí)施備份方案。 第一百四十九條 農(nóng)商行應(yīng)制定和不斷完善網(wǎng)絡(luò)、信息系統(tǒng)和機(jī)房環(huán)境等應(yīng)急預(yù)案。預(yù)案的編制工作由科技信息部和相關(guān)業(yè)務(wù)部門(mén)共同完成。 第一百五十條 應(yīng)急預(yù)案應(yīng)包括以下基本內(nèi)容: (一)總則(目標(biāo)、原則、適用范圍、預(yù)案調(diào)用關(guān)系等)。 (二)應(yīng)急組織機(jī)構(gòu)。 (三)預(yù)警響應(yīng)機(jī)制(報(bào)告、評(píng)估、預(yù)案啟動(dòng)等)。 (四)各類危機(jī)處置流程。 (五)應(yīng)急資源保障。 (六)事后處理流程。 (七)預(yù)案管理與維護(hù)(生效、演練、維護(hù)等)。 第一百五十一條 農(nóng)商行應(yīng)定期組織應(yīng)急預(yù)案的演練,并指定專人管理和維護(hù)應(yīng)急預(yù)案,根據(jù)人員、信息資源等變動(dòng)情況以及演練情況適時(shí)予以更新和完善,確保應(yīng)急預(yù)案的有效性和災(zāi)難發(fā)生時(shí)的可獲取性。 第一百五十二條 農(nóng)商行信息安全工作領(lǐng)導(dǎo)小組統(tǒng)一負(fù)責(zé)各業(yè)務(wù)系統(tǒng)的應(yīng)急協(xié)調(diào)與指揮,決定重大事宜(決定應(yīng)急預(yù)案的啟動(dòng)、災(zāi)難宣告、預(yù)警相關(guān)單位等)和調(diào)動(dòng)應(yīng)急資源。 第一百五十三條 農(nóng)商行應(yīng)按照湖南省農(nóng)村信用社信息安全事件報(bào)告辦法進(jìn)行信息通報(bào),一般信息安全事件應(yīng)逐級(jí)通報(bào),發(fā)生因人為、自然原因造成信息系統(tǒng)癱瘓以及利用計(jì)算機(jī)實(shí)施犯罪等影響和損失較大的信息安全事件(下稱“重大信息安全事件”)應(yīng)直接報(bào)省聯(lián)社信息科技部。
第一百五十四條 重大信息安全事件發(fā)生后,農(nóng)商行相關(guān)人員應(yīng)注意保護(hù)事件現(xiàn)場(chǎng),采取必要的控制措施,調(diào)查事件原因,并及時(shí)報(bào)告本單位主管領(lǐng)導(dǎo)。
第一百五十五條 農(nóng)商行應(yīng)在重大信息安全事件發(fā)生后的兩小時(shí)內(nèi)按規(guī)定程序報(bào)上一級(jí)科技信息部。??? 第一百五十六條 農(nóng)商行辦公室負(fù)責(zé)統(tǒng)一向社會(huì)發(fā)布應(yīng)急事件公告,其他任何單位或個(gè)人不得向社會(huì)發(fā)布應(yīng)急事件公告。
第十二章 安全檢查評(píng)估與培訓(xùn)
第一節(jié) 監(jiān)測(cè)檢查
第一百五十七條 農(nóng)商行科技信息部應(yīng)整合和利用現(xiàn)有網(wǎng)絡(luò)管理系統(tǒng)、計(jì)算機(jī)資源監(jiān)控系統(tǒng)、專用安全監(jiān)控系統(tǒng)以及相關(guān)設(shè)備與系統(tǒng)的運(yùn)行日志等監(jiān)控資源,加強(qiáng)對(duì)網(wǎng)絡(luò)、重要信息系統(tǒng)和機(jī)房環(huán)境等設(shè)施的安全運(yùn)行監(jiān)測(cè)。 第一百五十八條 農(nóng)商行科技信息部應(yīng)建立運(yùn)行監(jiān)測(cè)周報(bào)、月報(bào)或季報(bào)辦法,報(bào)送本單位信息安全工作領(lǐng)導(dǎo)小組和上一級(jí)科技信息部,抄送相關(guān)業(yè)務(wù)部門(mén)。 第一百五十九條 農(nóng)商行要及時(shí)預(yù)警、響應(yīng)和處置運(yùn)行監(jiān)測(cè)中發(fā)現(xiàn)的問(wèn)題,發(fā)現(xiàn)重大隱患和運(yùn)行事故應(yīng)及時(shí)協(xié)調(diào)解決,并報(bào)上一級(jí)單位相關(guān)部門(mén)。
第一百六十條 農(nóng)商行科技信息部應(yīng)至少每年組織一次本單位或轄內(nèi)的信息安全專項(xiàng)檢查,安全檢查方式可以是自查、互查或上級(jí)檢查多種方式。 第一百六十一條 農(nóng)商行在開(kāi)展安全檢查前應(yīng)以安全管理辦法為依據(jù)制訂詳細(xì)的檢查方案和計(jì)劃,確保檢查工作的可操作性和規(guī)范性。安全檢查完成后應(yīng)及時(shí)形成檢查報(bào)告,經(jīng)本單位主管領(lǐng)導(dǎo)批準(zhǔn)后將檢查整改報(bào)告盡快送達(dá)被檢查單位。要求限期整改的,需要對(duì)相關(guān)整改情況進(jìn)行后續(xù)跟蹤。 第一百六十二條 農(nóng)商行參加檢查的人員對(duì)檢查中的涉密信息負(fù)有保密責(zé)任。所有檢查報(bào)告和資料應(yīng)作為湖南省農(nóng)村信用社內(nèi)部材料妥善保管,不得向外界泄露。 第一百六十三條 農(nóng)商行應(yīng)將每次安全檢查報(bào)告和整改落實(shí)情況整理匯總后報(bào)上一級(jí)科技信息部備案。
第二節(jié) 評(píng)估審計(jì)
第一百六十四條 農(nóng)商行科技信息部可采用自評(píng)估、檢查評(píng)估和委托評(píng)估等方式,每年至少組織一次對(duì)本單位或轄內(nèi)重要信息系統(tǒng)的安全評(píng)估。
第一百六十五條 安全評(píng)估應(yīng)在不影響信息系統(tǒng)正常運(yùn)行的情況下進(jìn)行。評(píng)估開(kāi)始前,應(yīng)制定評(píng)估方案并進(jìn)行必要的培訓(xùn)。評(píng)估結(jié)束后,形成評(píng)估報(bào)告,提出整改意見(jiàn)報(bào)本單位科技信息部主管領(lǐng)導(dǎo)。 第一百六十六條 農(nóng)商行如聘請(qǐng)第三方機(jī)構(gòu)進(jìn)行安全評(píng)估,報(bào)省聯(lián)社信息科技部批準(zhǔn),并與第三方評(píng)估機(jī)構(gòu)簽訂安全保密協(xié)議后方可進(jìn)行。本單位信息安全管理人員全程參與評(píng)估過(guò)程并實(shí)施監(jiān)督。 第一百六十七條 農(nóng)商行妥善保管信息安全評(píng)估報(bào)告,未經(jīng)授權(quán)不得對(duì)外透露評(píng)估信息。
第一百六十八條 農(nóng)商行定期對(duì)重要信息系統(tǒng)進(jìn)行安全等級(jí)保護(hù)測(cè)評(píng)。開(kāi)展等保測(cè)評(píng)工作應(yīng)遵循《金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)測(cè)評(píng)指南》和《金融行業(yè)信息安全等級(jí)保護(hù)測(cè)評(píng)服務(wù)安全指引》的有關(guān)規(guī)定,確保測(cè)評(píng)有效和測(cè)評(píng)安全。
第一百六十九條 農(nóng)商行科技信息部在支持與配合內(nèi)審部門(mén)開(kāi)展信息安全工作審計(jì)的同時(shí),應(yīng)適時(shí)開(kāi)展本單位和轄內(nèi)的信息系統(tǒng)日常運(yùn)行管理和信息安全事件全過(guò)程的技術(shù)審計(jì),發(fā)現(xiàn)問(wèn)題及時(shí)報(bào)本單位或上一級(jí)單位主管領(lǐng)導(dǎo)。 第一百七十條 農(nóng)商行應(yīng)做好操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)等審計(jì)功能配置管理,并完整保留相關(guān)日志記錄。
第三節(jié) 安全培訓(xùn)
第一百七十一條 農(nóng)商行應(yīng)至少每年對(duì)信息安全管理人員進(jìn)行一次專業(yè)培訓(xùn),不斷提高信息安全管理人員專業(yè)技能和管理水平。
第一百七十二條 農(nóng)商行應(yīng)開(kāi)展全員信息安全教育,對(duì)本單位全體正式和非正式員工進(jìn)行必要的培訓(xùn),提高全體員工信息安全意識(shí),使全體員工充分了解其職責(zé)范圍內(nèi)的信息保護(hù)流程及違反規(guī)定的后果。
第十三章 獎(jiǎng)勵(lì)與處罰
第一百七十三條 農(nóng)商行將本單位和轄內(nèi)信息安全管理工作納入年度考評(píng),對(duì)表現(xiàn)突出的單位和個(gè)人應(yīng)進(jìn)行通報(bào)表彰并給予一定形式的獎(jiǎng)勵(lì)。 第一百七十四條 對(duì)于違反本辦法,造成重大信息安全事件的單位及個(gè)人,要給予通報(bào)批評(píng);情節(jié)嚴(yán)重的,依據(jù)相關(guān)法律法規(guī),追究其主管領(lǐng)導(dǎo)、相關(guān)部門(mén)負(fù)責(zé)人及直接責(zé)任人的責(zé)任;構(gòu)成犯罪的,依法追究刑事責(zé)任。
第十四章 附 則
第一百七十五條 之前發(fā)布的其他信息安全管理辦法有關(guān)規(guī)定條款如與本辦法不一致的,按本辦法執(zhí)行。
第一百七十六條 本辦法由邵陽(yáng)市農(nóng)村商業(yè)銀行負(fù)責(zé)解釋。
第12篇 創(chuàng)新信息安全管理
上世紀(jì)90年代以來(lái),嘉興電力局逐步建立了辦公自動(dòng)化(oa)、sap系統(tǒng)、營(yíng)銷管理、95598客戶服務(wù)、負(fù)荷管理、pi數(shù)據(jù)庫(kù)等諸多信息系統(tǒng),企業(yè)信息化在安全生產(chǎn)、經(jīng)營(yíng)管理、優(yōu)質(zhì)服務(wù)中發(fā)揮了極其重要的作用。與此同時(shí),信息安全的籬笆墻也越扎越緊,有效地防范了外部的攻擊和內(nèi)部管理失控帶來(lái)的種種威脅。因此嘉興電力局先后被中電聯(lián)授予“信息化先進(jìn)單位”、“信息化標(biāo)桿企業(yè)”等光榮稱號(hào)。2006年貫徹iso/iec27001:2005信息安全管理標(biāo)準(zhǔn),獲得了挪威船級(jí)社dnv公司認(rèn)證證書(shū)。
運(yùn)用系統(tǒng)的思想和方法,查找信息安全管理的“短板”
管理思想和方法落后。過(guò)去基本上是參照電網(wǎng)安全管理的一些傳統(tǒng)做法,沒(méi)有體現(xiàn)信息化特點(diǎn)和要求,這樣就越來(lái)越不適應(yīng)信息系統(tǒng)的快速發(fā)展和變革。
管理對(duì)象不夠全面。以往只考慮硬件、軟件,忽視了人、數(shù)據(jù)和文檔、服務(wù)、無(wú)形資產(chǎn)等重要對(duì)象,對(duì)外來(lái)人員也缺乏有效的識(shí)別管理。
管理制度不夠系統(tǒng)。以前雖然制訂了不少制度和標(biāo)準(zhǔn),但隨著信息化的發(fā)展,這些制度逐漸變得與現(xiàn)實(shí)要求不相適應(yīng)。就事論事的管理方式必然會(huì)產(chǎn)生安全管理的盲區(qū),有些制度內(nèi)容重復(fù)、交叉、不一致,有些制度不切合實(shí)際,往往束之高閣。
風(fēng)險(xiǎn)評(píng)估不夠科學(xué)。以往的信息風(fēng)險(xiǎn)評(píng)估就事論事,不夠系統(tǒng),主觀性過(guò)強(qiáng),缺乏綜合平衡,抓不住重點(diǎn),易過(guò)度保護(hù),或產(chǎn)生管理死角,事后控制多,事前預(yù)控少,不能涵蓋信息系統(tǒng)的生命周期。
上述情形是企業(yè)在信息化建設(shè)中普遍感覺(jué)到比較迷茫的問(wèn)題,隨著科學(xué)技術(shù)的進(jìn)步,企業(yè)信息運(yùn)行管理模式也發(fā)生了巨大的變化,為企業(yè)采用先進(jìn)管理方式、建立信息安全管理體系打下了扎實(shí)的基礎(chǔ)。為此,嘉興電力局根據(jù)國(guó)際上信息安全管理的最佳實(shí)踐,結(jié)合供電企業(yè)的實(shí)際,從信息安全風(fēng)險(xiǎn)評(píng)估管理人手,貫徹iso/iec27001:2005信息安全管理標(biāo)準(zhǔn),建立了信息安全管理體系。通過(guò)體系有效運(yùn)作,達(dá)到了供電企業(yè)信息安全管理“預(yù)控、能控、可控、在控”的目的。
從資產(chǎn)識(shí)別入手,搞好信息安全風(fēng)險(xiǎn)評(píng)估
嘉興電力局按《信息安全風(fēng)險(xiǎn)評(píng)估控制程序》,對(duì)所有的資產(chǎn)進(jìn)行了列表識(shí)別,并識(shí)別了資產(chǎn)的所有者。這些資產(chǎn)包括硬件與設(shè)施、軟件與系統(tǒng)、數(shù)據(jù)與文檔、服務(wù)及人力資源。對(duì)每一項(xiàng)資產(chǎn)按自身價(jià)值、信息分類、保密性、完整性、法律法規(guī)符合性要求進(jìn)行了量化賦值。在風(fēng)險(xiǎn)評(píng)估中,共識(shí)別資產(chǎn)2810項(xiàng),其中確定的重要資產(chǎn)總數(shù)為312項(xiàng),形成了《重要資產(chǎn)清單》。
圖1重要信息資產(chǎn)按部門(mén)分布圖
對(duì)重要的信息資產(chǎn),由資產(chǎn)的所有者(歸口管理部門(mén))對(duì)其可能遭受的威脅及自身的薄弱點(diǎn)進(jìn)行識(shí)別,并對(duì)威脅利用薄弱點(diǎn)發(fā)生安全事件的可能性以及潛在影響進(jìn)行了賦值分析,確定風(fēng)險(xiǎn)等級(jí)和可接受程度,形成了《重要資產(chǎn)風(fēng)險(xiǎn)評(píng)估表》。針對(duì)每一項(xiàng)威脅、薄弱點(diǎn),對(duì)資產(chǎn)造成的影響,考慮現(xiàn)有的控制措施,判定措施失效發(fā)生的可能性,計(jì)算風(fēng)險(xiǎn)等級(jí),判斷風(fēng)險(xiǎn)為可接受的還是需要處理的。根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果,形成風(fēng)險(xiǎn)處理計(jì)劃。對(duì)于信息安全風(fēng)險(xiǎn),應(yīng)考慮控制措施與費(fèi)用的平衡原則,選用適當(dāng)?shù)拇胧?,確定是接受風(fēng)險(xiǎn)、避免風(fēng)險(xiǎn),還是轉(zhuǎn)移風(fēng)險(xiǎn)。
嘉興電力局經(jīng)過(guò)風(fēng)險(xiǎn)評(píng)估,確定了不可接受風(fēng)險(xiǎn)84項(xiàng),其中硬件和設(shè)施52項(xiàng),軟件和系統(tǒng)0項(xiàng),文檔和數(shù)據(jù)8項(xiàng),服務(wù)0項(xiàng),人力資源24項(xiàng)。
圖2各類不可接受風(fēng)險(xiǎn)按系統(tǒng)分布圖
根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果,對(duì)可接受風(fēng)險(xiǎn),保持原有的控制措施,同時(shí)按iso/iec17799:2005《信息技術(shù)—安全技術(shù)—信息安全管理實(shí)施細(xì)則》和系統(tǒng)應(yīng)用的要求,對(duì)控制措施進(jìn)行完善。針對(duì)不可接受風(fēng)險(xiǎn),由各部門(mén)制定相應(yīng)的安全控制措施。制定控制措施需要考慮風(fēng)險(xiǎn)評(píng)估的結(jié)果、管理與技術(shù)上的可行性、法律法規(guī)的要求,以期達(dá)到風(fēng)險(xiǎn)降低的目的??刂拼胧┑膶?shí)施將從避免風(fēng)險(xiǎn)、降低風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)等方面,將風(fēng)險(xiǎn)降低到可接受的水平。
按照iso標(biāo)準(zhǔn)要求,建立信息安全管理體系
嘉興電力局在涉及生產(chǎn)、經(jīng)營(yíng)、服務(wù)和日常管理活動(dòng)的信息系統(tǒng),按iso/iec27001:2005《信息技術(shù)—安全技術(shù)—信息安全管理體系要求》規(guī)定,參照iso/iecl7799:2005《信息技術(shù)·安全技術(shù)—信息安全管理實(shí)施細(xì)則》,建立信息安全管理體系,簡(jiǎn)稱isms。
確定信息安全管理體系覆蓋范圍,主要是根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)分布情況,涉及電力生產(chǎn)、營(yíng)銷、服務(wù)和日常管理的40個(gè)重要信息系統(tǒng)。信息安全管理的方針是:“全面、完整、務(wù)實(shí)、有效”。
為實(shí)現(xiàn)信息安全管理體系方針,該局承諾:在各層次建立完整的信息安全管理組織機(jī)構(gòu),確定信息安全目標(biāo)和控制措施,明確信息安全的管理職責(zé),識(shí)別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求;定期進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估,采取糾正預(yù)防措施,保證體系的持續(xù)有效性,采用先進(jìn)有效的設(shè)施和技術(shù),處理、傳遞、儲(chǔ)存和保護(hù)各類信息,實(shí)現(xiàn)信息共享;對(duì)全體員工進(jìn)行持續(xù)的信息安全教育和培訓(xùn),不斷增強(qiáng)員工的信息安全意識(shí)和能力;制定并保持完善的業(yè)務(wù)連續(xù)性計(jì)劃,實(shí)現(xiàn)可持續(xù)發(fā)展。按照信息安全管理方針的要求,制定的信息安全管理目標(biāo)是:2級(jí)以上信息安全事件為零,不發(fā)生信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密;不發(fā)生導(dǎo)致供電中斷的信息事故;減少涉密有關(guān)的法律風(fēng)險(xiǎn)。
嘉興電力局根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果、企業(yè)的系統(tǒng)現(xiàn)狀和管理現(xiàn)狀,按照iso/iec27001:2005標(biāo)準(zhǔn)要求,整合原有的企業(yè)信息安全管理標(biāo)準(zhǔn)、規(guī)章制度,形成了科學(xué)、嚴(yán)密的信息安全管理體系文件框架,包括信息安全管理手冊(cè);《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》、《業(yè)務(wù)持續(xù)性管理程序》等53個(gè)程序文件,制定了16個(gè)支撐性作業(yè)文件。
運(yùn)用過(guò)程方法,實(shí)施信息安全管理體系
在信息安全管理過(guò)程中,重點(diǎn)是抓好人員安全、風(fēng)險(xiǎn)評(píng)估、信息安全事件、保持業(yè)務(wù)持續(xù)性等重要環(huán)節(jié),采取明確職責(zé)、動(dòng)態(tài)檢查、嚴(yán)格考核等措施,使信息安全走上常態(tài)管理之路。
圖3信息安全管理體系實(shí)施過(guò)程
重視信息系統(tǒng)安全管理。因?yàn)樾畔⑾到y(tǒng)支撐著企業(yè)的各項(xiàng)業(yè)務(wù),信息安全管理體系實(shí)施涵蓋信息系統(tǒng)的生命周期,表現(xiàn)在信息系統(tǒng)的軟(硬)件購(gòu)置、設(shè)備安裝、軟件開(kāi)發(fā)和系統(tǒng)測(cè)試、上線、系統(tǒng)(權(quán)限)變更等方面,嚴(yán)格執(zhí)行體系的相關(guān)控制程序。
強(qiáng)化人員安全管理。在勞動(dòng)合同、崗位說(shuō)明書(shū)中,明確員工信息安全職責(zé)。特殊崗位的人員規(guī)定特別的安全責(zé)任,對(duì)信息關(guān)鍵崗位實(shí)行備案制度。對(duì)崗位調(diào)動(dòng)或離職人員,及時(shí)調(diào)整安全職責(zé)和權(quán)限。定期對(duì)員工進(jìn)行信息安全教育和技能培訓(xùn)、比武、考試。
重視相關(guān)方管理。對(duì)軟硬件供應(yīng)商、服務(wù)商、保衛(wèi)、消防、保潔等人員,明確安全要求和安全職責(zé)。簽訂保密協(xié)議、辦理入網(wǎng)申請(qǐng)、進(jìn)行入網(wǎng)教育等。識(shí)別客戶、合作方、相關(guān)方、法律法規(guī)對(duì)信息安全的要求,采取措施,保證滿足安全要求。
建立信息安全的常態(tài)管理機(jī)制。對(duì)企業(yè)技術(shù)、業(yè)務(wù)目標(biāo)和過(guò)程、已識(shí)別的威脅、實(shí)施控制的有效性、外部事件變更情況應(yīng)及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估。定期對(duì)信息安全進(jìn)行定期或不定期的監(jiān)督檢查,包括日常檢查、專項(xiàng)檢查、技術(shù)性檢查、內(nèi)部審核等。嘉興電力局2006年內(nèi)審發(fā)現(xiàn)了57個(gè)不符合項(xiàng),及時(shí)進(jìn)行糾正,解決了用戶權(quán)限、a/b崗、第三方訪問(wèn)、機(jī)房管理等一些重點(diǎn)問(wèn)題,從而保證了信息安全管理的質(zhì)量,有效地防范了信息安全事件和事故的發(fā)生。
第13篇 信息安全管理規(guī)范和操作指南
1. 總則
(1)為了保證公司信息網(wǎng)絡(luò)系統(tǒng)的安全,根據(jù)有關(guān)計(jì)算機(jī)、網(wǎng)絡(luò)和信息安全的相關(guān)法律、法規(guī)和安全規(guī)定,結(jié)合公司信息網(wǎng)絡(luò)系統(tǒng)建設(shè)的實(shí)際情況,特制定本規(guī)定。
(2)本規(guī)定所指的信息網(wǎng)絡(luò)系統(tǒng),是指由計(jì)算機(jī)(包括相關(guān)和配套設(shè)備)為終端設(shè)備,利用計(jì)算機(jī)、通信、網(wǎng)絡(luò)等技術(shù)進(jìn)行信息采集、處理、存儲(chǔ)和傳輸?shù)脑O(shè)備、技術(shù)、管理的組合。
(3)本規(guī)定適用于公司接入到公司網(wǎng)絡(luò)系統(tǒng)的單機(jī)和局域網(wǎng)系統(tǒng)。
信息網(wǎng)絡(luò)系統(tǒng)安全的含義是通過(guò)各種計(jì)算機(jī)、網(wǎng)絡(luò)、密碼技術(shù)和信息安全技術(shù),在實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)安全的基礎(chǔ)上,保護(hù)信息在傳輸、交換和存儲(chǔ)過(guò)程中的機(jī)密性、完整性和真實(shí)性。
2. 物理安全
(1)物理安全是指保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故與人為操作失誤或錯(cuò)誤,以及計(jì)算機(jī)犯罪行為而導(dǎo)致的破壞。
網(wǎng)絡(luò)設(shè)備、設(shè)施應(yīng)配備相應(yīng)的安全保障措施,包括防盜、防毀、防電磁干擾等,并定期或不定期地進(jìn)行檢查。
(2)對(duì)重要網(wǎng)絡(luò)設(shè)備配備專用電源或電源保護(hù)設(shè)備,保證其正常運(yùn)行。
3. 計(jì)算機(jī)的物理安全管理
(1)計(jì)算機(jī)指所有連接到公司信息網(wǎng)絡(luò)系統(tǒng)的個(gè)人計(jì)算機(jī)、工作站、服務(wù)器、網(wǎng)絡(luò)打印機(jī)及各種終端設(shè)備;
(2)使用人員應(yīng)愛(ài)護(hù)計(jì)算機(jī)及與之相關(guān)的網(wǎng)絡(luò)連接設(shè)備(包括網(wǎng)卡、網(wǎng)線、集線器、路由器等),按規(guī)定操作,不得對(duì)其實(shí)施人為損壞;
(3)計(jì)算機(jī)使用人員不得擅自更改網(wǎng)絡(luò)設(shè)置,杜絕一切影響網(wǎng)絡(luò)正常運(yùn)行的行為發(fā)生;
(4)網(wǎng)絡(luò)中的終端計(jì)算機(jī)在使用完畢后應(yīng)及時(shí)關(guān)閉計(jì)算機(jī)和電源;
(5)客戶機(jī)使用人員不得利用計(jì)算機(jī)進(jìn)行違法活動(dòng)。
4. 緊急情況
(1).火災(zāi)發(fā)生:切斷電源,迅速報(bào)警,根據(jù)火情,選擇正確的滅火方式滅火;
(2)水災(zāi)發(fā)生:切斷電源,迅速報(bào)告有關(guān)部門(mén),盡可能地弄清水災(zāi)原因,采取關(guān)閉閥門(mén)、排水、堵漏、防洪等措施;
(3)地震發(fā)生:切斷電源,避免引發(fā)短路和火災(zāi);
5. 網(wǎng)絡(luò)系統(tǒng)安全管理
(1)網(wǎng)絡(luò)系統(tǒng)安全的內(nèi)涵包括四個(gè)方面:
1)機(jī)密性:確保信息不暴露給未授權(quán)的實(shí)體或進(jìn)程;
2)完整性:未經(jīng)授權(quán)的人不能修改數(shù)據(jù),只有得到允許的人才能修改數(shù)據(jù),并且能夠分辨出被篡改的數(shù)據(jù)。
3)可用性:得到授權(quán)的實(shí)體在合法的范圍內(nèi)可以隨時(shí)隨地訪問(wèn)數(shù)據(jù),網(wǎng)絡(luò)的攻擊者不能阻礙網(wǎng)絡(luò)資源的合法使用。
4)可控性:可以控制授權(quán)范圍內(nèi)的信息流向和行為方式??蓪彶樾裕阂坏┏霈F(xiàn)安全問(wèn)題,網(wǎng)絡(luò)系統(tǒng)可以提供調(diào)查的依據(jù)和手段。接入internet公共信息網(wǎng)的重要信息網(wǎng)絡(luò)系統(tǒng)須安裝防火墻或其他安全設(shè)備。入網(wǎng)的安全設(shè)備必須具有國(guó)家保密局、公安部、中國(guó)國(guó)家信息安全測(cè)評(píng)認(rèn)證中心的技術(shù)鑒定、銷售許可和產(chǎn)品評(píng)測(cè)等資質(zhì),并符合國(guó)家的相關(guān)規(guī)定。
6. 網(wǎng)絡(luò)安全檢測(cè)。
(1)為使網(wǎng)絡(luò)長(zhǎng)期保持較高的安全水平,網(wǎng)絡(luò)管理員應(yīng)當(dāng)用網(wǎng)絡(luò)安全檢測(cè)工具對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性分析,及時(shí)發(fā)現(xiàn)并修正存在的安全漏洞。網(wǎng)絡(luò)管理員在系統(tǒng)檢測(cè)完成后,應(yīng)編寫(xiě)檢測(cè)報(bào)告,需詳細(xì)記敘檢測(cè)的對(duì)象、手段、結(jié)果、建議和實(shí)施的補(bǔ)救措施與安全策略。檢測(cè)報(bào)告存入系統(tǒng)檔案。
網(wǎng)絡(luò)反病毒。病毒的危害性巨大,對(duì)系統(tǒng)和信息的破壞程度具有不可測(cè)性,計(jì)算機(jī)用戶和系統(tǒng)管理員應(yīng)針對(duì)具體情況采取預(yù)防病毒技術(shù)、檢測(cè)病毒技術(shù)和殺毒技術(shù)。
7. 信息系統(tǒng)安全管理
(1)信息安全是指通過(guò)各種計(jì)算機(jī)、網(wǎng)絡(luò)和密碼技術(shù),保護(hù)信息在傳輸、交換和存儲(chǔ)過(guò)程中的機(jī)密性、完整性和真實(shí)性。具體包括以下幾個(gè)方面。
1)信息處理和傳輸系統(tǒng)的安全
系統(tǒng)管理員應(yīng)對(duì)處理信息的系統(tǒng)進(jìn)行詳細(xì)的安全檢查和定期維護(hù),避免因?yàn)橄到y(tǒng)崩潰和損壞而對(duì)系統(tǒng)內(nèi)存儲(chǔ)、處理和傳輸?shù)男畔⒃斐善茐暮蛽p失。
2)信息內(nèi)容的安全
側(cè)重于保護(hù)信息的機(jī)密性、完整性和真實(shí)性。系統(tǒng)管理員應(yīng)對(duì)所負(fù)責(zé)系統(tǒng)的安全性進(jìn)行評(píng)測(cè),采取技術(shù)措施對(duì)所發(fā)現(xiàn)的漏洞進(jìn)行補(bǔ)救,防止竊取、冒充信息等。
3)信息傳播安全
要加強(qiáng)對(duì)信息的審查,防止和控制非法、有害的信息通過(guò)我司的信息網(wǎng)絡(luò)系統(tǒng)傳播,避免對(duì)國(guó)家利益、公共利益以及個(gè)人利益造成損害。
涉及商業(yè)機(jī)密文件必須采用rms權(quán)限管理服務(wù)進(jìn)行文件保護(hù),以免外泄。
8. 信息系統(tǒng)的內(nèi)部管理
(1)各部門(mén)向網(wǎng)絡(luò)系統(tǒng)提交信息前要作好查毒、殺毒工作,確保信息文件無(wú)毒上載;
(2)根據(jù)情況,采取網(wǎng)絡(luò)病毒監(jiān)測(cè)、查毒、殺毒等技術(shù)措施,提高網(wǎng)絡(luò)的整體抗病毒能力;部門(mén)負(fù)責(zé)的重要信息必須作好備份;
(3)網(wǎng)站和欄目信息的負(fù)責(zé)部門(mén)必須對(duì)所發(fā)布信息制定審查制度,對(duì)信息來(lái)源的合法性,發(fā)布范圍,信息欄目維護(hù)的負(fù)責(zé)人等做出明確的規(guī)定。信息發(fā)布后還要隨時(shí)檢查信息的完整性、合法性;如發(fā)現(xiàn)被刪改,應(yīng)及時(shí)報(bào)告綜合部;
(4)涉及商業(yè)秘密的信息的存儲(chǔ)、傳輸?shù)葢?yīng)指定專人負(fù)責(zé),并嚴(yán)格按照國(guó)家有關(guān)保密的法律、法規(guī)執(zhí)行;
(5)涉及商業(yè)機(jī)密的項(xiàng)目招標(biāo)、投標(biāo)標(biāo)注等信息,未經(jīng)所屬單位安全主管負(fù)責(zé)人的批準(zhǔn)不得在網(wǎng)絡(luò)上發(fā)布和明碼傳輸;
(6)個(gè)人計(jì)算機(jī)中的涉密文件不可設(shè)置為共享,個(gè)人電子郵件的收發(fā)要實(shí)行病毒查殺。
(7)信息加密
1).涉及商業(yè)秘密的信息,其電子文檔資料須加密存儲(chǔ);
2).涉及公司和部門(mén)利益的敏感信息的電子文檔資料應(yīng)當(dāng)加密存儲(chǔ);
3).涉及社會(huì)安定的敏感信息的電子文檔資料應(yīng)當(dāng)加密存儲(chǔ);
4).涉及公司秘密、與部門(mén)利益和社會(huì)安定的秘密信息和敏感信息在傳輸過(guò)程中視情況及國(guó)家的有關(guān)規(guī)定采用文件加密傳輸或鏈路傳輸加密。
(8)公司內(nèi)任何組織和個(gè)人不得從事以下活動(dòng):
1).利用信息網(wǎng)絡(luò)系統(tǒng)制作、傳播、復(fù)制有害信息;
2).入侵他人計(jì)算機(jī);
3).未經(jīng)允許使用他人在信息網(wǎng)絡(luò)系統(tǒng)中未公開(kāi)的信息;
4).未經(jīng)授權(quán)對(duì)信息網(wǎng)絡(luò)系統(tǒng)中存儲(chǔ)、處理或傳輸?shù)男畔ⅲòㄏ到y(tǒng)文件和應(yīng)用程序)進(jìn)行增加、修改、復(fù)制和刪除等;
5).未經(jīng)授權(quán)查閱他人郵件;
6).盜用他人名義發(fā)送電子郵件;
7).故意干擾網(wǎng)絡(luò)的暢通運(yùn)行;
8).從事其他危害信息網(wǎng)絡(luò)系統(tǒng)安全的活動(dòng)。
9. 密碼管理
(1).具有密碼功能的計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備等系統(tǒng)處理公司秘密信息,必須使用密碼對(duì)用戶的身份進(jìn)行驗(yàn)證和確認(rèn)。對(duì)于重要網(wǎng)絡(luò)系統(tǒng),各部門(mén)要有一個(gè)負(fù)責(zé)人,負(fù)責(zé)日常的密碼管理工作。
(2).負(fù)責(zé)人負(fù)責(zé)給新增加的員工分配初始密碼;指導(dǎo)員工正確使用密碼;檢查員工使用密碼情況;幫助員工開(kāi)啟被鎖定的密碼,對(duì)非法操作及時(shí)查明原因;解決密碼使用過(guò)程中出現(xiàn)的問(wèn)題;協(xié)助員工保護(hù)公司秘密不受侵害;定期向主管領(lǐng)導(dǎo)匯報(bào)密碼使用情況和需要解決的問(wèn)題。
(3).定期更換密碼。密碼的最長(zhǎng)使用時(shí)間不能超過(guò)三個(gè)月,在涉密較多、人員復(fù)雜、保密條件較差的地方應(yīng)盡可能縮短密碼的使用時(shí)間。當(dāng)密碼使用期滿時(shí),應(yīng)更換新的密碼。
(4)負(fù)責(zé)人必須有能力更改密碼。當(dāng)密碼使用期滿、被其他人知悉或認(rèn)為密碼不安全或失效時(shí),最終員工可使用公司郵箱給系統(tǒng)管理員提交密碼重置申請(qǐng),非公司郵箱提交的申請(qǐng)不予進(jìn)行處理。
(5).系統(tǒng)管理員重置密碼后,最終員工首次登陸必須要進(jìn)行修改密碼,不得使用前三次使用過(guò)的密碼。
(6).對(duì)密碼數(shù)據(jù)庫(kù)的訪問(wèn)和存取必須加以控制,以防止密碼被非法修改或泄露。
(7).當(dāng)系統(tǒng)提供的訪問(wèn)和存取控制機(jī)制不夠完善時(shí)或機(jī)制雖然完善,但可能出現(xiàn)系統(tǒng)轉(zhuǎn)儲(chǔ)等情況時(shí),應(yīng)對(duì)存儲(chǔ)的密碼加密。
密碼的等級(jí)應(yīng)當(dāng)符合以下要求:
1).初始密碼應(yīng)當(dāng)由系統(tǒng)管理員集中產(chǎn)生供用戶使用,并有密碼更換記錄,不得由員工產(chǎn)生;
2).密碼的復(fù)雜性要求密碼長(zhǎng)度不得小于8個(gè)字符,要包含大寫(xiě)、小寫(xiě)、特殊字符、阿拉伯?dāng)?shù)字中的任意三種,密碼更換周期不得長(zhǎng)于三個(gè)月;
3).密碼必須加密存儲(chǔ),并且保證密碼存放載體的物理安全;
員工應(yīng)記住自己的密碼,不應(yīng)把它記載在不保密的媒介物上,嚴(yán)禁張貼密碼。
惡意軟件管理
4).公司所有聯(lián)網(wǎng)計(jì)算機(jī)必須安裝防病毒軟件,安裝后不得自行關(guān)閉和卸載,對(duì)擅自卸載或不按規(guī)定使用防病毒軟件的人員,如造成損失,應(yīng)承擔(dān)相應(yīng)的責(zé)任;
5).由于特殊原因不能安裝防病毒客戶端軟件的電腦,須記錄相關(guān)原因。
技術(shù)部負(fù)責(zé)對(duì)所有客戶端的殺毒軟件進(jìn)行管理和監(jiān)控,全體人員必須服從和配合。在正常運(yùn)行過(guò)程中,不得隨意關(guān)閉或退出。若因特殊情況需臨時(shí)暫??蛻舳诉\(yùn)行者,應(yīng)經(jīng)技術(shù)部同意方可執(zhí)行;
6).如發(fā)現(xiàn)病毒,相關(guān)使用人應(yīng)立即上報(bào),及時(shí)聯(lián)系技術(shù)部人員對(duì)感染機(jī)器進(jìn)行有效的隔離,清除病毒的后檢查其最近使用過(guò)的軟盤(pán)、光盤(pán)和移動(dòng)存儲(chǔ)設(shè)備,以免漏殺,未清除病毒的計(jì)算機(jī)不得入網(wǎng);
7).對(duì)因病毒引起的計(jì)算機(jī)信息系統(tǒng)癱瘓,程序和數(shù)據(jù)嚴(yán)重破壞等重大事故應(yīng)及時(shí)采取隔離措施,并及時(shí)公司技術(shù)部報(bào)告;
8).不得向他人提供含有計(jì)算機(jī)病毒的文件、軟件、媒體。禁止在計(jì)算機(jī)上裝載與工作無(wú)關(guān)的軟件,特別是游戲軟件、盜版軟件等;
9).禁止從internet網(wǎng)絡(luò)隨意上下載程序、數(shù)據(jù),以及外來(lái)程序和文檔。如確實(shí)需要,應(yīng)當(dāng)先進(jìn)行病毒檢測(cè)后使用。在網(wǎng)上發(fā)布的文件文檔,發(fā)件人應(yīng)主動(dòng)用查病毒軟件檢查并確認(rèn)安全后方可發(fā)出,收件人發(fā)現(xiàn)病毒,應(yīng)立即殺毒,并通知發(fā)件人;
10).不得打開(kāi)可疑的或陌生人發(fā)送來(lái)的郵件及附件,必要時(shí)直接刪除;對(duì)認(rèn)定為清除不了含有病毒的文件,技術(shù)部有權(quán)直接刪除,以防病毒擴(kuò)散、蔓延。
外來(lái)的軟盤(pán)、光盤(pán)和移動(dòng)存儲(chǔ)設(shè)備等應(yīng)先進(jìn)行殺毒檢查后使用。當(dāng)在光盤(pán)、u盤(pán)、移動(dòng)存設(shè)備上發(fā)現(xiàn)病毒后應(yīng)立即報(bào)告技術(shù)部,并及時(shí)加以標(biāo)識(shí),不得在其他計(jì)算機(jī)上再使用,避免病毒的傳播;
11).除打印機(jī)可以共享外,服務(wù)器與工作站的硬盤(pán)盡量不設(shè)置為共享,文件目錄一般不進(jìn)行網(wǎng)絡(luò)共享。特殊情況需進(jìn)行目錄共享的必須設(shè)定密碼,一旦使用完畢后必須立即關(guān)閉共享,或加強(qiáng)對(duì)該機(jī)器的病毒檢查;
12).對(duì)購(gòu)置、維修、借入的計(jì)算機(jī)及其他網(wǎng)絡(luò)存儲(chǔ)設(shè)備,應(yīng)當(dāng)及時(shí)進(jìn)行病毒檢測(cè);
13).對(duì)于關(guān)鍵部門(mén)的關(guān)鍵數(shù)據(jù)要經(jīng)常進(jìn)行備份,且異地存放,以備數(shù)據(jù)破壞后恢復(fù)。
第14篇 信息技術(shù)有限公司人員信息安全管理規(guī)定
____信息技術(shù)有限公司人員信息安全管理規(guī)定
____信息技術(shù)有限公司
人員信息安全管理規(guī)定
第一章總則
第一條本規(guī)定旨在加強(qiáng)____信息技術(shù)有限公司的人員信息安全管理,要求公司員工知曉和理解公司信息安全管理相關(guān)規(guī)
定,承擔(dān)并切實(shí)履行本崗位相應(yīng)的信息安全職責(zé)。
本規(guī)定
中還明確了員工入職、轉(zhuǎn)崗、離職各環(huán)節(jié)的信息安全具體
管理要求,確保公司人員信息安全策略目標(biāo)的實(shí)現(xiàn)。
第二條本規(guī)定適用于____信息技術(shù)有限公司員工信息安全管理相關(guān)的活動(dòng)。
第二章內(nèi)外部人員管理
第三條本規(guī)定中所指“人員”不僅包括____信息技術(shù)有限公司人力資源管理部門(mén)編制內(nèi)的正式員工,也包括借調(diào)、輪崗、派
遣的內(nèi)部人員,其工作內(nèi)容和性質(zhì)與人力資源管理部門(mén)編
制內(nèi)正式員工一致,包括研發(fā)人員、咨詢?nèi)藛T、運(yùn)維支持
人員、技術(shù)支持人員等。
所有人員的信息安全管理應(yīng)嚴(yán)格
遵照本規(guī)定執(zhí)行,并根據(jù)本規(guī)定的各項(xiàng)要求進(jìn)行管理和考
核。
第四條為_(kāi)___信息技術(shù)有限公司提供服務(wù)的外部服務(wù)提供商及合作方的人員視為“第三方人員”,其人員信息安全管理的具
體要求見(jiàn)《____信息技術(shù)有限公司第三方信息安全管理規(guī)
定》。
2 / 5第三章人員招聘入職管理
第五條各部門(mén)應(yīng)遵循____信息技術(shù)有限公司信息安全管理策略,按照安全管理各項(xiàng)制度的要求,根據(jù)本部門(mén)已規(guī)劃和上報(bào)
的崗位設(shè)置情況,明確各崗位信息安全職責(zé)具體要求。
第六條對(duì)于重要崗位或敏感崗位需要進(jìn)行人員的背景調(diào)查時(shí),人力資源管理部門(mén)可以采用電話、電子郵件、紙質(zhì)材料、公
函或其它方式,調(diào)查記錄應(yīng)妥善保存。
背景調(diào)查通常包含
以下內(nèi)容:
(一)學(xué)歷和工作經(jīng)歷
(二)犯罪記錄
(三)競(jìng)業(yè)禁止
第七條在新員工的勞動(dòng)合同中應(yīng)明確規(guī)定員工需承擔(dān)的包括保密要求在內(nèi)的信息安全責(zé)任;也可根據(jù)實(shí)際情況簽訂單獨(dú)
的保密協(xié)議。
第四章人員在職與轉(zhuǎn)崗管理
第八條員工在職期間,必須遵守公司信息安全相關(guān)管理規(guī)定,履行合同、保密協(xié)議所規(guī)定的信息安全職責(zé),發(fā)現(xiàn)信息安全
事件及時(shí)報(bào)告,并配合公司相關(guān)部門(mén)和人員進(jìn)行事件的處
理。
第九條為保證員工能夠充分履行信息安全職責(zé),各部門(mén)應(yīng)積極開(kāi)展提高員工信息安全意識(shí)與技能的各項(xiàng)培訓(xùn),并對(duì)培訓(xùn)效
果進(jìn)行回顧。
3. / 5第十條各部門(mén)應(yīng)對(duì)重要崗位或敏感崗位采取崗位輪換措施,也可采取強(qiáng)制休假等管理措施。
此外,重要崗位應(yīng)設(shè)置a/b
角以實(shí)現(xiàn)人員備份和互相監(jiān)督。
第十一條員工辦理調(diào)動(dòng)手續(xù)過(guò)程中,相關(guān)部門(mén)應(yīng)及時(shí)處理該員工在各信息系統(tǒng)內(nèi)的個(gè)人賬號(hào)(包括帳號(hào)和權(quán)限的調(diào)整、變
更等),風(fēng)險(xiǎn)控制與信息安全部對(duì)帳號(hào)和權(quán)限處理情況進(jìn)
行審核與檢查。
第十二條對(duì)員工在職期間違反公司信息安全管理制度的行為,各部門(mén)應(yīng)進(jìn)行處理。
第五章人員離職安全管理
第十三條員工離職時(shí),人員所在部門(mén)應(yīng)依照該員工簽署的保密協(xié)議,審核其脫密期,并明確告知其在離職后的信息安全保
密責(zé)任。
第十四條員工離職時(shí)應(yīng)列出信息資產(chǎn)交接清單,及時(shí)交還公司相關(guān)信息資產(chǎn)和物品,并由歸還資產(chǎn)的接收部門(mén)進(jìn)行審核和
確認(rèn)。
第十五條員工辦理離職手續(xù)過(guò)程中,相關(guān)部門(mén)應(yīng)及時(shí)處理該員工在各信息系統(tǒng)內(nèi)的個(gè)人賬號(hào)(包括帳號(hào)禁用、刪除等),
信息技術(shù)中心對(duì)帳號(hào)和權(quán)限處理情況進(jìn)行抽查。
審查內(nèi)容
通常包括:
(一)公司資產(chǎn)(辦公電腦等)已交回。
(二)e_mail郵箱功能已刪除或禁用。
4 / 5
第15篇 區(qū)二中網(wǎng)絡(luò)與信息安全管理應(yīng)急預(yù)案
二中網(wǎng)絡(luò)與信息安全管理應(yīng)急預(yù)案
為確保網(wǎng)絡(luò)正常使用,充分發(fā)揮網(wǎng)絡(luò)在信息時(shí)代的作用,促進(jìn)教育信息化健康發(fā)展,根據(jù)國(guó)務(wù)院《互聯(lián)網(wǎng)信息服務(wù)管理辦法》和有關(guān)規(guī)定,特制訂本預(yù)案,妥善處理危害網(wǎng)絡(luò)與信息安全的突發(fā)事件,最大限度地遏制突發(fā)事件的影響和有害信息的擴(kuò)散。
一、危害網(wǎng)絡(luò)與信息安全突發(fā)事件的應(yīng)急響應(yīng)
1.如在局域網(wǎng)內(nèi)發(fā)現(xiàn)病毒、木馬、黑客入侵等
網(wǎng)絡(luò)管理中心應(yīng)立即切斷局域網(wǎng)與外部的網(wǎng)絡(luò)連接。如有必要,斷開(kāi)局內(nèi)各電腦的連接,防止外串和互串。
2.突發(fā)事件發(fā)生在校園網(wǎng)內(nèi)或具有外部ip地址的服務(wù)器上的,學(xué)校應(yīng)立即切斷與外部的網(wǎng)絡(luò)連接,如有必要,斷開(kāi)校內(nèi)各節(jié)點(diǎn)的連接;突發(fā)事件發(fā)生在校外租用空間上的,立即與出租商聯(lián)系,關(guān)閉租用空間。
3.如在外部可訪問(wèn)的網(wǎng)站、郵件等服務(wù)器上發(fā)現(xiàn)有害信息或數(shù)據(jù)被篡改,要立即切斷服務(wù)器的網(wǎng)絡(luò)連接,使得外部不可訪問(wèn)。防止有害信息的擴(kuò)散。
4.采取相應(yīng)的措施,徹底清除。如發(fā)現(xiàn)有害信息,在保留有關(guān)記錄后及時(shí)刪除,(情況嚴(yán)重的)報(bào)告市教育局和公安部門(mén)。
5.在確保安全問(wèn)題解決后,方可恢復(fù)網(wǎng)絡(luò)(網(wǎng)站)的使用。
二、保障措施
1.加強(qiáng)領(lǐng)導(dǎo),健全機(jī)構(gòu),落實(shí)網(wǎng)絡(luò)與信息安全責(zé)任制。建立由主管領(lǐng)導(dǎo)負(fù)責(zé)的網(wǎng)絡(luò)與信息安全管理領(lǐng)導(dǎo)小組,并設(shè)立安全專管員。明確工作職責(zé),落實(shí)安全責(zé)任制;bbs、聊天室等交互性欄目要設(shè)有防范措施和專人管理。
2.局內(nèi)網(wǎng)絡(luò)由網(wǎng)管中心統(tǒng)一管理維護(hù),其他人不得私自拆修設(shè)備,擅接終端設(shè)備。
3.加強(qiáng)安全教育,增強(qiáng)安全意識(shí),樹(shù)立網(wǎng)絡(luò)與信息安全人人有責(zé)的觀念。安全意識(shí)淡薄是造成網(wǎng)絡(luò)安全事件的主要原因,各校要加強(qiáng)對(duì)教師、學(xué)生的網(wǎng)絡(luò)安全教育,增強(qiáng)網(wǎng)絡(luò)安全意識(shí),將網(wǎng)絡(luò)安全意識(shí)與政治意識(shí)、責(zé)任意識(shí)、保密意識(shí)聯(lián)系起來(lái)。特別要指導(dǎo)學(xué)生提高他們識(shí)別有害信息的能力,引導(dǎo)他們正健康用網(wǎng)。
4.不得關(guān)閉或取消防火墻。保管好防火墻系統(tǒng)管理密碼。每臺(tái)電腦安裝殺毒軟件,并及時(shí)更新病毒代碼。