参考模版,仅供参考
说明:本文为多合一,不分开阐述,blog也有部分程序文件的单一版。
概述
为明确xxxxx限公司(以下简称“xxx”)信息安全管理工作总体要求,提高信息安全风险防范水平,保障公司信息安全管理工作顺利开展,根据国家《网络安全法》和银监会《商业银行信息科技风险管理指引》(银监发〔2009〕19号)及相关法律法规的要求,结合公司实际,特制定本办法。安全总体原则
信息安全总体策略应符合公司总体发展战略规划要求,合理平衡安全、成本和效益之间的关系。信息安全配套设施应与信息科技和业务发展同步规划、同步建设、同步投入使用。公司信息安全总体策略应遵循以下原则:
(一)全员参与原则。
(二)持续改进原则。
(三)分权和授权相结合原则。
(四)选用成熟技术原则。
(五)预防为主,纵深防御原则。
(六)全面防范与重点保护相结合原则。
(七)标准化与合规性相结合原则。
3.组织设计原则
公司应建立全面覆盖的信息安全管理制度,明确安全活动中的工作职责,保障公司相关信息及设备的安全。信息安全管理组织设计原则如下:
公司依据自身业务范围、应用服务、系统规模的特点,建立合理的信息安全管理组织架构。
公司各级信息安全管理组织应配备与业务和系统规模相匹配的人员和资源。
公司信息安全管理组织应与中国银行保险监督管理委员会、中国人民银行等行业监管机构建立畅通的沟通和联系机制,以随时获取监管政策与动态。公司应与外部组织及安全机构建立合作和联动机制。
公司信息安全管理原则
信息安全组负责对公司信息安全进行方向性指导,对信息安全建设等重大问题进行决策。
技术安全小组统筹公司各部门、营销中心共同开展信息安全管理工作。
- 资产安全
信息资产指在生产、经营和管理过程中所需要的设备,以及所产生的有用的数据,包括信息系统相关资料和各信息处理设备。技术安全小组应对所有信息资产进行识别、梳理和管理,建立资产清单和资产管理系统。
技术安全小组应开展信息资产风险评估,识别和评估信息资产面临的风险,并根据风险发生概率及可能的影响程度采取适当的风险缓解措施。
技术安全小组作为公司信息资产牵头管理单位,主要职责包括:
明确信息资产的管理者和使用者,明确各类信息资产的责任人。
按照信息资产的安全属性对公司信息资产进行分类和标识,实施信息资产分级保护策略,以保证信息资产的保密性、完整性及可用性。
实行信息资产访问控制策略,建立身份鉴别和访问授权机制。
技术安全小组应定期对信息资产管理进行审核,包括资产的类别、标识、密级、所有权、面临的风险和控制措施的效果等。
技术安全小组应有效识别、管理外部组织对信息资产访问的风险。 - 人员安全
公司应对所有员工及合作方人员进行安全管理,明确各环节中的安全控制措施。
公司在各类人员任用或使用前实施的安全控制包括:
签署保密协议。
所有员工及合作方人员均应在开展工作前了解、学习公司的安全管理规定。
公司在人员任用或使用中的安全控制措施包括:
明确各级人员信息安全管理职责。
制定明确的罚则,对违反公司信息安全策略、管理办法及相关规定的员工或合作单位进行相应的处罚。
公司在人员任用或使用的中止、变更或终止时实施的安全控制措施:
及时终止或撤销其原岗位职权。
收回所使用的相关物品与信息资产。
停用或删除该员工的所有信息资产账号和授权,并确保相关信息资产的完整性和可用性。
用人部门应对新入职员工开展入职培训,培训内容主要包括公司各类规章制度和纪律,使其了解工作内容、建立信息安全意识。
6.物理安全
公司信息系统物理环境安全管理的目标是保护计算机设备及信息系统的物理环境免遭自然灾害和其他形式的破坏。
公司办公区域划分安全区域和普通区域。安全区域指涉及公司数据、设备等信息资产的重要网络区域或物理区域。针对不同的安全区域,应采取不同等级的安全防护和访问控制措施,防止非法访问、破坏和干扰。所有人员进入安全区域均应经过授权。
公司对基础设施、机房环境状况和安防系统状况进行每天24小时实时监测,监测记录保存时间不少于6个月,满足故障诊断、事后审计的需要。
公司通信线路、供电、机房专用空调等基础设施应具备冗余能力,配备不间断电源及应急发电设施,防止设备因电力中断导致的系统中断。
- 网络与通讯安全管理
技术安全小组应对网络与通讯安全进行管理,确保操作安全。
梳理权限,降低人员未授权访问的风险。
系统建设前应先进行系统规划,预测系统容量需求,避免或减少系统过载风险。
监测信息系统运行,及时发现未经授权的信息处理活动,并定期组织审查。
应将系统开发设施、测试设施和运营设施进行分离,以降低对信息系统非授权修改的风险。
对信息系统及基础设施的变更过程进行安全控制,防范变更风险及可能带来的消极影响。
针对网络配置及运行日志等制定相应的信息存储与备份策略,并定期进行恢复测试。
在网络通讯的过程中需要保证信息的完整性、机密性。
技术安全小组应对网络进行安全管控,采取访问控制技术、加密技术、入侵检测技术等多种控制措施,保护网络环境中信息的安全。
技术安全小组应加强对网络运营商的管理,确保其严格按照合同约定的方式为公司提供稳定的、安全的网络接入服务。
技术安全小组应牵头从技术和管理层面加强VPN和无线网络使用过程中的安全管控,降低通过外部网络对公司网络进行非授权访问的风险。
技术安全小组应定期检测公司员工办公电子邮箱中各类电子邮件的附件及下载内容是否含有恶意代码,应对网络实施监控,关注异常事件和流量,查明疑似病毒事件。
技术安全小组应加强信息系统(包括生产网、测试网和办公网内的所有信息系统)的防病毒管理,并针对防病毒系统进行检测、监控、维护、版本升级和病毒代码库更新等。
技术安全小组应采取必要的安全控制措施保障公司与合作方之间信息交换的安全。
建立有效的授权,提供合法的信息交换流程,。
当需要通过物理介质(包括纸质、磁盘、光盘等介质)传输信息时,应确保信息介质免受破坏、未授权访问等威胁。
当使用网络进行信息交换时,应保护信息免受篡改、泄露等威胁。
在与业务合作方交换信息和软件时,应遵从相应的法律或合同规定。 - 访问控制管理
技术安全小组应采取以下方法保障应用系统、操作系统、网络系统、数据库访问控制的安全。
在业务需求或工作需要的范围内,授予用户最小的访问权限。
分离工作职责,以降低未授权访问、无意识修改或滥用信息系统和数据的可能性。
(1)当用户没有明确标明权限配置,则默认用户不能访问未经授权的信息系统和数据。
(2)通过在访问控制管理流程中保留相关记录,审查跟踪其工作过程和结果。
技术安全小组应明确用户在访问信息系统及基础设施时的责任和义务,对用户在账户注册、账户使用、账户撤销等的权限进行严格管理。
技术安全小组应进行网络(包括生产网、开发测试网、办公网)访问控制,确保已授权用户才可访问网络,禁止未授权的网络访问。
建立完善网络访问身份识别机制。
对于公司网络中安全级别高的区域应采取严格的访问控制措施。
加强对无线网络接入的管理,非必要,应限制无线网的使用;如需使用无线网络的,应按照本办法要求严格控制使用人员、设备及时间。
技术安全小组应对访问操作系统的用户进行鉴别,确保用户使用安全登录程序,防止对操作系统的未授权访问。
业务安全小组应严格控制用户和管理人员对信息系统的访问权限,禁止对信息系统的未授权访问。 - 开发安全
技术安全小组应加强信息系统开发、维护过程中信息安全的管理与控制,防范发生信息系统风险。
技术安全小组应在满足业务需求且保证开发安全的前提下建立完善信息系统开发安全规范。
安全需求应作为信息系统总体需求的组成部分同时规划。
在系统设计阶段,将安全控制措施作为信息系统的组成部分同时设计。
在系统编码及测试阶段,对项目和支持环境进行严格的信息安全控制。
在系统上线阶段,需对上线系统进行安全检测。
在系统维护阶段,应及时识别信息系统的技术脆弱点,并针对脆弱点进行安全加固。
应确保开发环境、测试环境和生产运行环境具备隔离措施,应限制或禁止开发、测试人员访问生产环境。
技术安全小组应建立信息系统漏洞维护机制,及时获取信息系统漏洞,并进行跟踪和处理。 - 密码密钥安全
技术安全小组应牵头公司各部门、营销中心制定严格的密码安全使用规则,在开展密码安全管理工作过程中,应遵循国家的法律法规、行业监管及相关标准的密码安全管控要求,并明确密码强度及更新频率,主动执行各项密码安全管理要求,明确要求全体员工及合作方人员不得将个人密码共享给他人。
业务安全小组应对信息系统中的密钥严格控制,保证密钥不会遭到泄露、篡改等威胁。
公司密钥资源相关涉密人员离岗、转岗时应做好工作交接,离职时应由交接人员对原密钥进行更新、更换。
规范密钥及密码的操作与监督、寄送与保管、记录与更新等生命周期全过程的管理。
桌面终端安全管理
技术安全小组应牵头建立生产终端安全管理体系,确保生产终端设备的安全性。
未经审批,禁止外部设备接入生产终端;
在各生产终端部署统一的防病毒软件并及时更新病毒库;
采用技术手段防止非授权应用软件的安装;
确保所有生产终端设备无法在非监控状态下接入网络。
技术安全小组应对终端设备进行安全管控,定期对公司生产终端设备(包括台式个人计算机(PC)、便携式计算机和个人数字助理(PDA)等)进行安全检查。 - 移动存储设备安全
技术安全小组应加强对因公使用移动存储设备的控制和保护,防止其承载的信息遭泄漏、篡改、丢失或破坏,影响业务活动安全。
移动存储设备应安全存放,实行“谁使用、谁主管、谁负责”的原则。
移动存储设备停止使用的,由使用人交技术安全小组集中进行数据安全销毁或管理。
除上述管理规定外,技术安全小组还应制定生产网、测试网和办公网等网络环境下移动存储设备使用规定,并通过安全桌面系统实现对移动存储设备的管控。
生产网内禁止使用任何移动存储设备下载复制文件。
开发、测试网内使用移动存储设备的,应当采用只读模式。
办公网内允许使用授权的移动存储设备进行信息的读写。 - 信息安全事件管理
技术安全小组应规范信息安全事件监控、发现、报告、分析、处理、总结的管理流程,建立评价和问责机制,保证安全事件和安全风险快速有效处理。
技术安全小组根据系统重要性以及安全事件对系统的影响程度,对安全事件进行分级,明确处理时限,并制定相应的应急预案。
技术安全小组应牵头在信息安全事件处理后进行总结,从技术和管理层面对安全事件进行分析,并制定整改措施。对于因个人违规行为导致的安全事件,应确定责任人,按照公司现行《员工违规行为管理办法》等相关规定追究责任。
技术安全小组应建立统一、正式的信息安全事件逐级报告机制,明确信息安全事件的报告方式、报告范围及报告内容要求。 - 合作方安全管理
合作方主要指与公司合作的供应商、代维服务商、合作厂商以及其他来访人员等。
公司应加强对合作方的安全管理,按照“必需”和“最小授权”原则进行授权。原则上合作方禁止进入公司的等安全区域,确需进入的,应当按公司规定流程履行审批手续,并严格监控其活动。
各部门、营销中心在对外签订的协议或合同中涉及公司保密信息的,在合同条款中应明确:
保密信息的类型;
信息保护方式;
信息和信息资源使用目的;
信息使用禁止条款。
在合作项目场地内合作方应当遵守公司的网络安全管理、密码技术管理、安全审计管理、资产安全管理等相关安全策略和安全制度,应与公司签署《保密协议》。
禁止合作方访问合同规定之外的信息和数据。
在合同或服务结束时,应当收缴所有由公司发放的身份识别卡、访问卡、账号以及设备,删除涉及公司信息的数据。 - 数据安全管理
数据信息的来源和获取应当符合国家规定和监管机构的要求。
技术安全小组应当对数据进行分级分类保护,针对不同级别的数据实行不同安全防护措施,并对已分级分类的数据进行标识。
技术安全小组应严格管理客户信息等敏感数据的采集、处理、存贮、传输、分发、备份、恢复、清理和销毁。
以载体为标准可将公司存储的数据分为纸质数据和电子数据。纸质数据应由专人管理,并指定专门的地点存放。电子数据应当采用访问控制、加密等方式进行管控。
技术安全小组应当对数据的访问和使用做好权限管控、审查。 - 备份管理
技术安全小组应当对公司关键业务系统及数据制定相应的备份方案。备份方案主要包括备份内容、方式、时间周期以及备份执行人员和责任人员等内容。重要的数据需要考虑异地备份或多节点备份。
技术安全小组需对备份方案的执行过程进行管理,确保备份定期执行。
技术安全小组需定期对备份内容执行恢复测试,确保备份的可用性。
技术安全小组需明确备份介质的管理规范,确保备份介质的安全保存和使用。 - 变更安全管理
技术安全小组需针对信息系统、网络设备、服务器等事项的变更流程进行管理,明确相关人员在变更过程中的责任和职责。
技术安全小组应根据公司业务发展实际情况及发展规划建立变更分类分级标准。
变更应当明确变更目标、分析变更风险、制定变更计划、回退计划、变更实施计划。重大变更完成后应当进行评审和测试,确保系统运行安全。
技术安全小组对变更进行管控,减少对业务的影响。变更流程需有明确的发起者、审核者、执行者。变更需经过审核通过才可实施。 - 运维安全管理
技术安全小组应根据本办法要求制定安全运维工作规范。
物理环境状态,包括温湿度指标、设备告警、视频监控复审等。
网络运行状态,包括设备运行状态、日志审计、登录信息、告警信息、版本信息等。
(1)主机运行状态,包括系统负载、日志告警、补丁修复等。
(2)应用系统运行状态,包括运行状态、日志告警、补丁修复等。
技术安全小组需定期梳理和维护公司信息资产,定期执行信息资产脆弱性扫描及基线检查。 - 安全审计
公司定期对业务系统、网络、服务器等涉及业务生产行为的操作日志进行审计,审计活动应当尽量减少对系统运行的影响。
各业务系统应开启日志审计功能,记录用户活动和相关操作人员的行为。
公司应制定相关策略和流程,管理所有生产系统的日志,以支持有效的审核、安全取证分析和预防欺诈。日志可以在软件的不同层次以及不同的计算机和网络设备上完成,日志划分为两大类:
交易日志。交易日志由应用软件和数据库管理系统产生,内容包括用户登录尝试、数据修改、错误信息等。交易日志应按照国家现行会计准则要求予以保存。
系统日志。系统日志由操作系统、数据库管理系统、防火墻、入侵检测系统和路由器等生成,内容包括管理登录尝试、系统事件、网络事件、错误信息等。
日志需要有正确的时间戳和明确的保存周期,系统日志保存期限按系统的风险等级确定,但不能少于一年,日志通过外置存储进行保存和管理,应当设置访问权限。
公司应保证交易日志和系统日志中存储的信息或字段能够满足内部控制、解决系统故障和审计需要;技术安全小组应采取适当措施保证所有日志同步计时,并确保其完整性。
技术安全小组负责公司信息安全相关的内、外部审计工作。 - 业务连续性管理
公司应根据自身业务的性质、规模和复杂程度制定适当的业务连续性规划,以确保在出现意外事件时,系统仍能持续运行并提供服务;同时,应当定期对规划进行更新和演练,以保证其有效性。
公司应评估因意外事件导致业务运行中断的可能性及其影响,包括评估可能由下述原因导致的破坏:
内外部资源的故障或缺失(如人员、系统或其他资产)。
信息丢失或受损。
信息安全事件(如DDOS攻击、病毒、信息泄漏等)。
公司应采取系统恢复和双机热备处理等措施降低业务中断的可能性,并通过应急安排等方式降低意外事件对业务运行的影响。
公司应建立维持其运营连续性策略的文档,并制定对策略的充分性和有效性进行检查和沟通的计划,其中包括:
规范的业务连续性计划,制定降低短期、中期和长期中断对业务造成不良影响的预案,包括但不限于:
资源需求(如人员、系统和其他资产)以及获取资源的方式。
运行恢复的优先顺序。
与公司各部门及外部相关各方的沟通预案。
更新实施业务连续性计划的流程及相关联系信息。
验证受中断影响的信息完整性的步骤。
当公司的业务或风险状况发生变化时,对本条(1)到(3)进行审核并升级。 - 合规性管理
公司的信息安全策略应符合国家的法律法规、行业监管及相关标准的要求。
公司定期开展信息安全合规方面的检查工作,对信息安全政策、管理办法以及相关标准的落实情况进行检验,及时发现信息安全管理工作中存在的问题和隐患,督促落实预防措施,有效防范、控制和降低各类安全风险。
除技术安全小组组织的信息安全检查之外,各部门、营销中心应结合实际情况组织安全自查,及时发现安全隐患并整改。 - 信息安全法律法规
公司应当根据监管机构及相关法律法规的要求,制定相应的信息安全保护管理办法,保证公司各类信息安全。 - 附 则
本办法由公司技术安全小组负责制定、解释。
本办法自印发之日起正式施行。