公司信息安全管理制度(公司信息安全管理制度范本)
公司信息安全管理制度
第一章 總則
第一節(jié) 為保證信息系統(tǒng)安全可靠穩(wěn)定運行,降低或阻止人為或自然因素從物理層面對公司信息系統(tǒng)的保密性、完整性、可用性帶來的安全威脅,結(jié)合公司實際,特制定本制度。
第二節(jié) 本制度適用于XX公司以及所屬各部門的信息系統(tǒng)安全管理。
第二章 職責(zé)
第三節(jié) 相關(guān)部門職責(zé)
一、信息中心
(一)負(fù)責(zé)組織和協(xié)調(diào)XX公司的信息系統(tǒng)安全管理工作;
(二)負(fù)責(zé)建立XX公司信息系統(tǒng)網(wǎng)絡(luò)成員單位間的網(wǎng)絡(luò)訪問規(guī)則;對公司本部信息系統(tǒng)網(wǎng)絡(luò)終端的網(wǎng)絡(luò)準(zhǔn)入進(jìn)行管理;
(三)負(fù)責(zé)對XX公司互聯(lián)網(wǎng)接口進(jìn)行管理,配置防火墻等信息安全設(shè)備;會同審計部對公司本部互聯(lián)網(wǎng)上網(wǎng)行為進(jìn)行管理并審計;
(四)根據(jù)《XX公司信息安全事件專項應(yīng)急預(yù)案》,對XX公司統(tǒng)一建設(shè)的信息系統(tǒng)制定專項運維管理辦法,明確信息系統(tǒng)安全管理要求,界定兩級單位信息安全管理責(zé)任;
(五)負(fù)責(zé)XX公司網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)拓?fù)?/span>、網(wǎng)絡(luò)設(shè)備等全局性的信息安全管理。
二、各部門
(一)負(fù)責(zé)組織和協(xié)調(diào)本部門信息安全管理工作。
(二)配合和協(xié)助業(yè)務(wù)主管部門完善相關(guān)制度建設(shè),落實日常管理工作。
第三章 信息安全策略的基本要求
第四節(jié) 信息系統(tǒng)安全管理應(yīng)遵循以下原則:
一、規(guī)范定級原則;
二、依法行政原則;
三、以人為本原則;
四、注重效費比原則;
五、全面防范、突出重點原則;
六、系統(tǒng)、動態(tài)原則;
七、特殊安全管理原則。
第五節(jié) 信息中心應(yīng)根據(jù)業(yè)務(wù)需求和相關(guān)法律法規(guī),組織制定公司信息安全策略,經(jīng)主管領(lǐng)導(dǎo)審批發(fā)布后,對員工及相關(guān)方進(jìn)行傳達(dá)和培訓(xùn)。
第六節(jié) 制定信息安全策略時應(yīng)充分考慮信息系統(tǒng)安全策略的“七定”要求,即定方案、定崗、定位、定員、定目標(biāo)、定制度、定工作流程。
第七節(jié) 信息安全策略主要包括以下內(nèi)容:
一、信息網(wǎng)絡(luò)與信息系統(tǒng)必須在建設(shè)過程中進(jìn)行安全風(fēng)險評估,并根據(jù)評估結(jié)果制定安全策略;
二、對已投入運行且已建立安全體系的系統(tǒng)定期進(jìn)行漏洞掃描,以便及時發(fā)現(xiàn)系統(tǒng)的安全漏洞;
三、對安全體系的各種日志(如入侵檢測日志等)審計結(jié)果進(jìn)行研究,以便及時發(fā)現(xiàn)系統(tǒng)的安全漏洞;
四、定期分析信息系統(tǒng)的安全風(fēng)險及漏洞、分析當(dāng)前系統(tǒng)非常規(guī)登錄的特點,及時調(diào)整安全策略;
五、制定人力資源、物理環(huán)境、訪問控制、操作、備份、系統(tǒng)獲取及維護、業(yè)務(wù)連續(xù)性等方面的安全策略,并實施。
第八節(jié) 公司審計部每年應(yīng)組織對信息安全策略的適應(yīng)性、充分性和有效性進(jìn)行評審,必要時組織修訂;當(dāng)公司的組織架構(gòu)、生產(chǎn)經(jīng)營模式等發(fā)生重大變化時也應(yīng)進(jìn)行評審和修訂。
第九節(jié) 根據(jù)“誰主管、誰負(fù)責(zé)”的原則,公司建立信息安全分級責(zé)任制,各層級落實信息系統(tǒng)安全責(zé)任。
第四章 人力資源安全管理
第十節(jié) 信息系統(tǒng)相關(guān)崗位設(shè)置應(yīng)滿足以下要求:
一、安全管理崗與其它任何崗位不得兼崗、混崗、代崗。
二、系統(tǒng)管理崗、網(wǎng)絡(luò)管理崗與應(yīng)用管理崗不得兼崗、混崗。
三、安全管理崗、系統(tǒng)管理崗、網(wǎng)絡(luò)管理崗、應(yīng)用管理崗、設(shè)備管理崗、技術(shù)檔案管理崗原則上有人員備份。
四、以上崗位人員調(diào)離必須辦理交接手續(xù),所掌握的口令應(yīng)立刻更換或注銷該用戶。
第十一節(jié) 人力資源部在相關(guān)崗位任職要求中應(yīng)包含信息安全管理的相關(guān)文件和要求;將信息安全相關(guān)培訓(xùn)納入年度員工培訓(xùn)計劃,并組織實施。
第五章 信息系統(tǒng)物理和環(huán)境安全管理
第十二節(jié) 信息系統(tǒng)物理安全指為了保證信息系統(tǒng)安全可靠運行,不致受到人為或自然因素的危害,而對計算機設(shè)備、設(shè)施(包括機房建筑、供電、空調(diào))、環(huán)境、系統(tǒng)等采取適當(dāng)?shù)陌踩胧?/p>
第十三節(jié) 信息管理部門應(yīng)采取切實可行的物理防護手段或技術(shù)措施對物理周邊、物理入口、辦公及生產(chǎn)區(qū)域等進(jìn)行安全控制,防止無關(guān)人員未授權(quán)物理訪問、損壞和干擾。
第十四節(jié) 針對于公司辦公電腦系統(tǒng),信息管理部門或?qū)徲嫴棵恐苤形缁蛳掳嗪髸欢〞r的抽查各部門的人員不在崗,辦公電腦密碼鎖屏狀態(tài)的檢查。如發(fā)現(xiàn)員工離開工位,辦公電腦未密碼鎖屏狀態(tài),審計部將會對當(dāng)事員工的行為進(jìn)行一次警告、二次納入員工信用管理。
第十五節(jié) 信息管理部門應(yīng)加強對信息系統(tǒng)機房及配線間的安全管理,要求如下:
一、根據(jù)《XX機房管理制度》工作人員需經(jīng)授權(quán),方能且只能進(jìn)入中心機房的授權(quán)工作區(qū);確因工作需要,需進(jìn)入非授權(quán)工作區(qū)時,需由該授權(quán)工作區(qū)人員陪同;做好機房出入登記。
二、工作人員必須嚴(yán)格按照規(guī)定操作,未經(jīng)批準(zhǔn)不得超越自己職權(quán)范圍以外的操作;操作結(jié)束時,必須退出已進(jìn)入的操作畫面;最后離開工作區(qū)域的人員應(yīng)將門禁關(guān)閉。
三、非授權(quán)人員嚴(yán)禁操作中心機房UPS、專用空調(diào)、監(jiān)控安防、門禁、消防及UPS供配電設(shè)備設(shè)施。
四、未經(jīng)授權(quán),任何人員不得擅自拷貝數(shù)據(jù)和文件等資料。
五、嚴(yán)禁將易燃、易爆、強磁性物品帶入中心機房;嚴(yán)禁在機房內(nèi)吸煙。
六、發(fā)生意外情況應(yīng)立即采取應(yīng)急措施,并及時向信息中心和直接領(lǐng)導(dǎo)報告。
第六章 信息系統(tǒng)資產(chǎn)管理
第十六節(jié) 信息管理部門應(yīng)對信息和信息系統(tǒng)設(shè)備設(shè)施等相關(guān)資產(chǎn)建立臺帳清單,并定期對其進(jìn)行盤點清查,資產(chǎn)錄入到“XX-ITLL管理系統(tǒng)”進(jìn)行資產(chǎn)管理CMDB配置。
第十七節(jié) 設(shè)備使用人應(yīng)對信息和信息系統(tǒng)設(shè)備設(shè)施、各類存儲介質(zhì)等相關(guān)資產(chǎn)進(jìn)行標(biāo)識。標(biāo)識應(yīng)張貼在信息設(shè)備的明顯位置,做到信息完整、字跡清晰,并做好防脫落防護工作。
第十八節(jié) 信息管理部門應(yīng)對主機進(jìn)行控制管理,要求如下:一、關(guān)鍵業(yè)務(wù)生產(chǎn)系統(tǒng)中的主機原則上應(yīng)采用雙機熱備份方式或其他備份處理方式,確保軟件運行環(huán)境可靠;
二、一般業(yè)務(wù)生產(chǎn)系統(tǒng)中的主機、生產(chǎn)用PC前置機,關(guān)鍵設(shè)備可以采用軟硬件配置完全相同的設(shè)備來實現(xiàn)冷備份;
三、各類設(shè)備在采購時技術(shù)規(guī)格中應(yīng)明確服務(wù)響應(yīng)時間、備品備件、現(xiàn)場服務(wù)等方面的要求,核心服務(wù)器、存儲相應(yīng)時間一般不高于4小時。
第十九節(jié) 各相關(guān)部門應(yīng)加強信息設(shè)備安裝、調(diào)試、維護、維修、報廢等環(huán)節(jié)的管理工作,防止因信息設(shè)備丟失、損壞、失竊以及資產(chǎn)報廢處置不當(dāng)引起的信息泄露。
第七章 信息系統(tǒng)訪問控制及操作安全管理
第二十節(jié) 公司將系統(tǒng)運行安全按粒度從粗到細(xì)分為四個層次:系統(tǒng)級安全、資源訪問安全、功能性安全、數(shù)據(jù)域安全。
一、系統(tǒng)級安全策略包括:敏感系統(tǒng)的隔離、訪問地址段的限制、登錄時間段的限制、會話時間的限制、連接數(shù)的限制、特定時間段內(nèi)登錄次數(shù)的限制以及遠(yuǎn)程訪問控制等。系統(tǒng)級安全是應(yīng)用系統(tǒng)的第一道防護大門。
二、資源訪問安全策略包括:對程序資源的訪問進(jìn)行安全控制,在客戶端上,為用戶提供和其權(quán)限相關(guān)的用戶界面,僅出現(xiàn)和其權(quán)限相符的菜單和操作按鈕;在服務(wù)端則對URL程序資源和業(yè)務(wù)服務(wù)類方法的調(diào)用進(jìn)行訪問控制。
三、功能性安全策略包括:功能性安全會對程序流程產(chǎn)生影響,如用戶在操作業(yè)務(wù)記錄時,是否需要審核,上傳附件不能超過指定大小等。
四、數(shù)據(jù)域安全策略包括:一是行級數(shù)據(jù)域安全,即用戶可以訪問哪些業(yè)務(wù)記錄,一般以用戶所在單位為節(jié)件進(jìn)行過濾;二是字段級數(shù)據(jù)域安全,即用戶可以訪問業(yè)務(wù)記錄的哪些字段。
第二十一節(jié) 根據(jù)《運維管理員安全管理制度》用戶管理應(yīng)建立用戶身份識別與驗證機制,防止非法用戶進(jìn)入應(yīng)用系統(tǒng)。具體要求如下:
一、公司按照相關(guān)的訪問控制策略,對用戶注冊、訪問開通、訪問權(quán)限分配、權(quán)限的調(diào)整及撤銷、安全登錄、口令管理等方面進(jìn)行訪問控制的管理活動。
二、用戶是指用以登錄、訪問和控制計算機系統(tǒng)資源的帳戶。用戶管理是指對用戶進(jìn)行分層、授權(quán)的管理。用戶由用戶名加以區(qū)分,由用戶口令加以保護。按照計算機系統(tǒng)所承載的應(yīng)用系統(tǒng)運行管理的需要,將用戶分為超級用戶、授權(quán)用戶、普通用戶、匿名用戶四類,分別控制其權(quán)限。
(一)超級用戶。擁有對運行系統(tǒng)的主機、前置機、服務(wù)器、數(shù)據(jù)庫、運行進(jìn)程、系統(tǒng)配置、網(wǎng)絡(luò)配置等進(jìn)行察看、修改、添加、重啟等權(quán)限并可對下級用戶進(jìn)行授權(quán)的用戶。由系統(tǒng)管理崗位或網(wǎng)絡(luò)管理崗位主管進(jìn)行分配,由系統(tǒng)管理員或網(wǎng)絡(luò)管理員負(fù)責(zé)用戶口令的日常管理。
(二)授權(quán)用戶。擁有由超級用戶根據(jù)應(yīng)用系統(tǒng)開發(fā)或運行維護的特殊需要,經(jīng)過崗位主管的審批,將一些系統(tǒng)命令運行權(quán)限所授予的普通用戶,由授權(quán)用戶負(fù)責(zé)用戶口令的日常管理。
(三)普通用戶。應(yīng)用系統(tǒng)開發(fā)或運行維護人員為應(yīng)用系統(tǒng)一般監(jiān)控、維護的需要,由超級用戶分配的一般用戶,這類用戶僅擁有缺省用戶訪問權(quán)限的用戶,由用戶負(fù)責(zé)口令的日常管理。
(四)匿名用戶。匿名用戶用于向公司網(wǎng)絡(luò)內(nèi)所有用戶提供相應(yīng)服務(wù),這類用戶一般僅擁有瀏覽權(quán)限,無用戶名及口令,一般情況下只允許提供如:標(biāo)準(zhǔn)、期刊等無安全要求的系統(tǒng)服務(wù)時使用匿名用戶。
三、對用戶以及權(quán)限的設(shè)定進(jìn)行嚴(yán)格管理,用戶權(quán)限的分配遵循“最小特權(quán)”原則。
四、口令是用戶用以保護所訪問計算機資源權(quán)利,不被他人冒用的基本控制手段。口令策略的應(yīng)用與其被保護對象有關(guān),口令強度與口令所保護的資源、數(shù)據(jù)的價值或敏感度成正比。
(一)所有在公司局域網(wǎng)上運行的設(shè)備、計算機系統(tǒng)及存有公司涉密數(shù)據(jù)的計算機設(shè)備都必須設(shè)置口令保護。
(二)所有有權(quán)掌握口令的人員必須保證口令在產(chǎn)生、分配、存儲、銷毀過程中的安全性和機密性。
(三)口令應(yīng)至少要含有8個字符;應(yīng)同時含有字母和非字母字符口令。
(四)口令設(shè)置不能和用戶名或登錄名相同,不能使用生日、人名、英文單詞等易被猜測、易被破解的口令,如有可能,采用機器隨機生成口令。
(五)口令使用期限由各個系統(tǒng)安全要求而定。
(六)口令的使用期限和過期失效應(yīng)盡可能由系統(tǒng)強制執(zhí)行。
(七)設(shè)備在啟用時,默認(rèn)口令必須更改。
第二十二節(jié) 根據(jù)《XX機房管理制度》系統(tǒng)運行安全檢查是安全管理的常用工作方法,也是預(yù)防事故、發(fā)現(xiàn)隱患、指導(dǎo)整改的必要工作手段。信息系統(tǒng)安全管理人員應(yīng)做好系統(tǒng)運行安全檢查與記錄。檢查范圍:
一、應(yīng)用系統(tǒng)的訪問控制檢查。包括物理和邏輯訪問控制,是否按照規(guī)定的策略和程序進(jìn)行訪問權(quán)限的增加、變更和取消,用戶權(quán)限的分配是否遵循“最小特權(quán)”原則。
二、應(yīng)用系統(tǒng)的日志檢查。包括數(shù)據(jù)庫日志、系統(tǒng)訪問日志、系統(tǒng)處理日志、錯誤日志及異常日志。
三、應(yīng)用系統(tǒng)可用性檢查:包括系統(tǒng)中斷時間、系統(tǒng)正常服務(wù)時間和系統(tǒng)恢復(fù)時間等。
四、應(yīng)用系統(tǒng)能力檢查。包括系統(tǒng)資源消耗情況、系統(tǒng)交易速度和系統(tǒng)吞吐量等。
五、應(yīng)用系統(tǒng)的安全操作檢查。用戶對應(yīng)用系統(tǒng)的使用是否按照信息安全的相關(guān)策略和程序進(jìn)行訪問和使用。
六、應(yīng)用系統(tǒng)維護檢查。維護性問題是否在規(guī)定的時間內(nèi)。
解決,是否正確地解決問題,解決問題的過程是否有效等。
七、應(yīng)用系統(tǒng)的配置檢查。檢查應(yīng)用系統(tǒng)的配置是否合理。和適當(dāng),各配置組件是否發(fā)揮其應(yīng)有的功能。
八、惡意代碼的檢查。是否存在惡意代碼,如病毒、木馬、隱蔽通道導(dǎo)致應(yīng)用系統(tǒng)數(shù)據(jù)的丟失、損壞、非法修改、信息泄露等。
九、檢查出現(xiàn)異常時應(yīng)進(jìn)行記錄,非受控變化應(yīng)及時報告,以確定是否屬于信息安全事件,屬于信息安全事件的應(yīng)及時處理。
第二十三節(jié) 信息管理部門應(yīng)定期對重要系統(tǒng)、配置及應(yīng)用進(jìn)行備份。備份管理要求如下:
一、各系統(tǒng)應(yīng)于投產(chǎn)前明確數(shù)據(jù)備份方法,對數(shù)據(jù)備份和還原進(jìn)行必要的測試,并根據(jù)實際運行需要及時調(diào)整,每次調(diào)整應(yīng)進(jìn)行測試;
二、對系統(tǒng)配置、網(wǎng)絡(luò)配置和應(yīng)用軟件應(yīng)進(jìn)行備份。在發(fā)生變動時,應(yīng)及時備份;
三、業(yè)務(wù)數(shù)據(jù)備份按照各生產(chǎn)系統(tǒng)備份計劃的具體要求進(jìn)行,盡可能實現(xiàn)異地備份;
四、集中管理的系統(tǒng)、設(shè)備數(shù)據(jù)的備份工作由所在單位的信息部門負(fù)責(zé);
五、備份介質(zhì)交接應(yīng)嚴(yán)格履行交接手續(xù),做好交接登記;
六、介質(zhì)存放地必須符合防盜、防火、防水、防鼠、防蟲、防磁以及相應(yīng)的潔凈度、溫濕度等要求。
第八章 網(wǎng)絡(luò)與通信安全管理
第二十四節(jié) 信息化管理部門采取必要的技術(shù)手段和管理措施,加強對網(wǎng)絡(luò)和通信安全的管理,保障公司內(nèi)外信息傳遞安全。網(wǎng)絡(luò)安全管理包含網(wǎng)絡(luò)訪問控制、安全機制、網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)隔離等,基本要求是:
一、定期對重要網(wǎng)絡(luò)設(shè)備運行情況進(jìn)行安全檢查,發(fā)現(xiàn)隱患及時上報或整改,并做好記錄巡檢。
二、定期備份重要網(wǎng)絡(luò)和通信設(shè)備配置文件,確保發(fā)生故障時能及時恢復(fù)網(wǎng)絡(luò)運行,保證網(wǎng)絡(luò)的可用性。
第二十五節(jié) 加強內(nèi)部網(wǎng)絡(luò)安全管理,具體要求如下:
一、網(wǎng)絡(luò)機房分區(qū)應(yīng)獨立、封閉。
二、網(wǎng)絡(luò)設(shè)備脫離生產(chǎn)環(huán)境前應(yīng)清空所有網(wǎng)絡(luò)配置。
三、骨干網(wǎng)絡(luò)設(shè)備應(yīng)有備份,接入網(wǎng)絡(luò)設(shè)備原則上應(yīng)按5%比例備份。
四、網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)配置應(yīng)最大限度地保證網(wǎng)絡(luò)的健壯性、安全性。
五、企業(yè)網(wǎng)應(yīng)根據(jù)需要劃分不同的VLAN,并通過訪問控制列表控制各VLAN的訪問權(quán)限。
六、內(nèi)部網(wǎng)絡(luò)計算機未經(jīng)批準(zhǔn)不得安裝網(wǎng)絡(luò)探測軟件,嚴(yán)格禁止安裝任何黑客軟件。
七、生產(chǎn)網(wǎng)絡(luò)和測試網(wǎng)絡(luò)必須實行分離,嚴(yán)禁在生產(chǎn)環(huán)境中做各種類型的業(yè)務(wù)測試。
第二十六節(jié) 加強外聯(lián)網(wǎng)絡(luò)安全管理,具體要求如下:
一、外聯(lián)網(wǎng)絡(luò)安全遵循最小權(quán)限原則,訪問控制策略是“允許必須,禁止其他”。
二、外聯(lián)網(wǎng)絡(luò)在穿過不可控區(qū)域時數(shù)據(jù)傳輸原則上應(yīng)采用加密技術(shù)。
三、制定外聯(lián)網(wǎng)絡(luò)方案時應(yīng)注意保守本公司網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、IP地址、端口、安全策略等秘密,并注意了解對方網(wǎng)絡(luò)結(jié)構(gòu)及其變化情況。
第二十七節(jié) 加強互聯(lián)網(wǎng)安全管理,具體要求如下:
一、互聯(lián)網(wǎng)與內(nèi)部網(wǎng)絡(luò)必須有相關(guān)的邏輯隔離,涉及國家秘密的信息不得通過互聯(lián)網(wǎng)傳輸。
二、不得訪問有關(guān)黑客網(wǎng)站,不得下載、安裝黑客軟件。
三、公司員工訪問互連網(wǎng),必須遵守《中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》等規(guī)定,不得利用國際互連網(wǎng)從事?lián)p害國家、公司及他人利益的活動。
第九章 信息系統(tǒng)供應(yīng)商安全管理
第二十八節(jié) 公司對信息系統(tǒng)供應(yīng)商實施安全管理。信息系統(tǒng)供應(yīng)商包括設(shè)備類供應(yīng)商、技術(shù)類供應(yīng)商、咨詢服務(wù)類供應(yīng)商、或者是以上幾類的任意組合。
第二十九節(jié) 信息系統(tǒng)實施過程中,信息化管理部門應(yīng)與供應(yīng)商簽訂安全保密協(xié)議,明確信息安全要求。
第三十節(jié) 信息化管理部門應(yīng)對供應(yīng)商服務(wù)全過程進(jìn)行監(jiān)視和控制。
第十章 信息安全事件管理
第三十一節(jié) 根據(jù)《XX公司信息安全事件專項應(yīng)急預(yù)案》,信息安全事件指導(dǎo)致信息資產(chǎn)丟失和損壞,影響信息系統(tǒng)正常工作甚至業(yè)務(wù)中斷的事件。主要有:
一、信息系統(tǒng)軟硬件故障;
二、網(wǎng)絡(luò)通信系統(tǒng)故障;
三、機房供配電系統(tǒng)故障;
四、系統(tǒng)感染計算機病毒;
五、信息系統(tǒng)遭水災(zāi)、火災(zāi)、雷擊;
六、信息網(wǎng)絡(luò)遭遇入侵或攻擊;
七、信息系統(tǒng)內(nèi)的敏感數(shù)據(jù)失竊、泄露;
八、信息設(shè)備損壞、濫用或失竊;
九、信息被非法訪問、使用及篡改;
十、違背信息安全策略規(guī)定的其他事項。
第三十二節(jié) 信息安全事件管理包括組織機構(gòu)、職責(zé)和規(guī)程的建立,信息安全事態(tài)及信息安全弱點的報告和評估,信息安全事件的應(yīng)急處理等。
一、建立信息安全事件管理機構(gòu)和應(yīng)急預(yù)案
(一)公司信息安全事件管理機構(gòu)包含:XX公司審計部,負(fù)責(zé)領(lǐng)導(dǎo)信息安全事件管理工作;各級信息化管理部門,負(fù)責(zé)處置信息安全事件;信息安全事件響應(yīng)小組(負(fù)責(zé)人),負(fù)責(zé)信息安全事件響應(yīng)和應(yīng)急處理。
(二)信息化管理部門針對各類信息安全事件應(yīng)分別制定相應(yīng)的應(yīng)急預(yù)案,開展必要的知識、技能、意識等培訓(xùn)。適時組織相關(guān)人員開展應(yīng)急演練。
二、開展信息安全事態(tài)及信息安全弱點報告和評估。信息系統(tǒng)安全管理和維護人員應(yīng)加強對網(wǎng)絡(luò)信息系統(tǒng)日常檢查維護,了解外部信息安全變化,充分掌握信息安全事態(tài),及時發(fā)現(xiàn)和消除危及系統(tǒng)安全的各類安全隱患。當(dāng)發(fā)現(xiàn)險情時,應(yīng)立即報告信息安全事件處置責(zé)任部門。完成信息安全事件處理后,應(yīng)及時進(jìn)行評估和改進(jìn),避免再次發(fā)生,并做好記錄。
三、信息安全事件應(yīng)急處理,要求如下:
(一)當(dāng)信息系統(tǒng)出現(xiàn)險情時,維護人員和各級應(yīng)急救援人員應(yīng)正確履行應(yīng)急預(yù)案所賦的職責(zé)和執(zhí)行信息安全事件處置責(zé)任部門下達(dá)的指令。
(二)在發(fā)生網(wǎng)絡(luò)與信息安全事件后,信息化管理部門應(yīng)盡最大可能迅速收集事件相關(guān)信息,鑒別事件性質(zhì),確定事件來源,弄清事件范圍和評估事件帶來的影響和損害。一旦確認(rèn)為網(wǎng)絡(luò)與信息安全事件后,立即將事件上報信息安全領(lǐng)導(dǎo)小組并著手處置。
(三)安全事件進(jìn)行最初的應(yīng)急處置以后應(yīng)及時采取行動,抑制其影響的進(jìn)一步擴大,限制潛在的損失與破壞,同時要確保應(yīng)急處置措施對涉及的相關(guān)業(yè)務(wù)影響最小。
(四)安全事件被抑制之后,通過對有關(guān)事件或行為的分析結(jié)果,找出其根源,明確相應(yīng)的補救措施并徹底清除。
(五)在確保安全事件解決后,要及時清理系統(tǒng)、恢復(fù)數(shù)據(jù)、程序、服務(wù)恢復(fù)工作應(yīng)避免出現(xiàn)誤操作導(dǎo)致數(shù)據(jù)丟失。
(六)信息安全事件發(fā)生時,應(yīng)及時向公司審計部匯報,并及時報告處置工作進(jìn)展情況。事件處置中要作好完整的過程記錄,保存各相關(guān)系統(tǒng)日志直至處置工作結(jié)束。
(七)系統(tǒng)恢復(fù)運行后,信息管理部門應(yīng)對事件造成的損失、事件處理流程和應(yīng)急預(yù)案進(jìn)行評估。對響應(yīng)流程、預(yù)案提出修改意見、總結(jié)事件處理的經(jīng)驗和教訓(xùn),撰寫“信息安全事件處理報告”。同時確定是否需要上報該事件及其處理過程,需要上報的應(yīng)及時準(zhǔn)備相關(guān)材料,屬于重大事件或存在違法犯罪行為的第一時間向公安機關(guān)網(wǎng)絡(luò)監(jiān)察部門報案。
第十一章 附則
第三十三節(jié) 本文件所引用的文件見附錄1。
第三十四節(jié) 本文件由信息中心負(fù)責(zé)解釋。
第三十五節(jié) 本文件自下發(fā)之日起執(zhí)行。
附錄1
序號 | 文件名稱 | 發(fā)布單位 |
1 | 《XX公司信息安全事件專項應(yīng)急預(yù)案》 | 信息中心 |
2 | 《XX機房管理制度》 | 信息中心 |
3 | 《運維管理員安全管理制度》 | 信息中心 |