信息安全管理体系汇编
网络运营中心监制
目录
信息安全工作指导方针
I
信息安全工作流程图
II
信息安全工作示意图
III
信息安全管理体系框架
IV
信息安全工作总体方针
1
第一章
总则
1
第二章
总体安全方针
1
第三章
总体安全目标
1
第四章
安全工作原则
1
第五章
安全工作要求
2
第六章
安全组织保障
3
第七章
附则
4
架构与安全委员会章程
5
第一章
总则
5
第二章
组织结构
5
第三章
架构与安全委员会
6
第四章
信息安全实施小组
7
第五章
例会制度
9
第六章
附则
10
附件
11
附件
1
:架构与安全委员会名单
11
附件
2
:架构与安全委员会例会纪要
12
信息系统安全管理制度
13
第一章
总则
13
第二章
信息系统安全管理
13
第三章
数据中心机房安全管理
14
第四章
网络安全管理
14
第五章
系统安全管理
15
第六章
应用安全管理
15
第七章
数据安全管理
15
第八章
信息系统建设安全管理
15
第九章
信息系统变更安全管理
16
第十章
信息系统运维安全管理
16
第十一章
信息系统安全事件管理
16
第十二章
信息安全检查与审计管理
17
第十三章
信息系统风险评估管理
17
第十四章
信息系统安全应急预案
17
第十五章
业务连续性与灾难恢复管理
17
第十六章
信息系统安全值守巡检规范
18
第十七章
附则
18
信息系统日常安全管理规范
19
第一章
总则
19
第二章
信息系统日常管理
19
第三章
人员安全管理
20
第四章
第三方人员安全管理制度
20
第五章
信息资产安全管理制度
20
第六章
办公设备安全管理制度
20
第七章
桌面终端安全管理
21
第八章
介质安全管理
21
第九章
附则
21
数据中心机房管理制度
22
第一章
总则
22
第二章
机房出入管理
22
第三章
机房操作管理
24
第四章
机房设备管理
24
第五章
附则
25
附件
26
附件
1
:机房人员、设备进出申请表
26
附件
2
:数据中心维护工作登记表
27
网络安全管理制度
29
第一章
总
则
29
第二章
管理职责
29
第三章
网络架构安全
29
第四章
网络配置安全
30
第五章
网络运维安全
31
第六章
附
则
34
系统安全管理制度
35
第一章
总
则
35
第二章
管理职责
35
第三章
系统配置安全
35
第四章
系统运维安全
36
第五章
附
则
37
应用安全管理制度
38
第一章
总
则
38
第二章
身份鉴别
38
第三章
WEB
页面安全
39
第四章
访问控制
39
第五章
安全审计
39
第六章
过期信息、文档处理
40
第七章
资源控制
40
第八章
应用容错
40
第九章
报文完整性
41
第十章
报文保密性
41
第十一章
抗抵赖
41
第十二章
编码安全
41
第十三章
电子认证应用
41
第十四章
附
则
42
数据安全管理制度
43
第一章
总则
43
第二章
数据分级
43
第三章
数据传输安全
44
第四章
数据存储安全
44
第五章
数据变更安全
45
第六章
数据访问安全
46
第七章
数据备份安全
46
第八章
数据恢复安全
47
第九章
数据销毁安全
48
第十章
密码和密钥安全
48
第十一章
附则
50
附件
51
附件
1
:备份记录
51
附件
2
:备份计划表
52
附件
3
:备份数据可用性测试申请表
53
附件
4
:备份数据可用性测试记录
54
附件
5
:数据恢复申请表
55
业务系统建设安全管理制度
56
第一章
总
则
56
第二章
总体安全要求
56
第三章
业务系统研发、测试
56
第四章
业务系统上线
57
第五章
附
则
58
附件
59
附件
1
:新业务上线申请表
59
信息系统变更安全管理制度
60
第一章
总
则
60
第二章
变更分类
60
第三章
变更管理流程
60
第四章
附
则
63
附件
64
附件
1
:变更申请表
64
附件
2
:变更记录表
65
信息系统运维安全管理制度
66
第一章
总
则
66
第二章
日常巡检
66
第三章
信息系统运维账号管理
67
第四章
安全监控与入侵防范管理
69
第五章
恶意代码防范
69
第六章
附
则
70
附件
71
附件
1
:信息系统运维账号申请表
71
信息系统安全事件管理制度
72
第一章
总
则
72
第二章
安全事件定义
72
第三章
安全事件分级
76
第四章
安全事件处理
78
第五章
附
则
79
附件
80
附件
1
:故障记录登记表
80
附件
2
:故障记录汇总审批表
81
信息安全检查与审计管理制度
82
第一章
总
则
82
第二章
安全检查与审计内容
82
第三章
全面安全检查与审计流程
84
第四章
附
则
86
突发业务高可用性管理制度
87
第一章
总则
87
第二章
管理职责
87
第三章
技术保障
87
第四章
突发业务高可用性管理
88
第五章
附则
90
附件
92
附件
1
:
突发业务高可用性影响分析报告
92
附件
2
:
突发业务高可用性实施计划
93
附件
3
:突发业务高可用性实施计划测试报告
94
附件
4
:突发业务高可用性实施计划评审报告
错误!未定义书签。
信息系统安全应急预案
95
第一章
总
则
95
第二章
组织和职责
95
第三章
事件分类
95
第四章
机房故障应急预案
96
第五章
业务系统故障应急预案
97
第六章
应急处理保障
98
第七章
应急处理培训及演练
98
第八章
附
则
98
信息系统风险评估管理规范
99
第一章
总则
99
第二章
风险的概念
99
第三章
风险评估职责
100
第四章
风险评估过程
100
第五章
附则
103
信息系统安全值守巡检规范
104
第一章
总
则
104
第二章
组织和职责
104
第三章
机房安全值守
104
第四章
办公室安全值守
105
第五章
附
则
106
人员安全管理制度
107
第一章
总
则
107
第二章
人员录用
107
第三章
人员调
/
离岗
108
第四章
信息安全意识教育
108
第五章
人员考核
108
第六章
附
则
109
附件
110
附件
1
:保密协议书
110
附件
2
:培训记录单
115
第三方人员安全管理制度
116
第一章
总则
116
第二章
第三方人员安全管理
116
第三章
第三方人员安全操作
116
第四章
附则
117
附件
118
附件
1
:第三方人员访问申请流程
118
附件
2
:第三方人员入网申请表
119
信息资产安全管理制度
120
第一章
总
则
120
第二章
信息资产分类
120
第三章
信息资产分级
120
第四章
信息资产管理
121
第五章
信息资产盘点
122
第六章
附
则
122
附件
123
附件
1
:信息资产保密性赋值定义
123
附件
2
:信息资产完整性赋值定义
124
附件
3
:信息资产可用性赋值定义
125
附件
4
:信息资产清单
126
办公设备安全管理制度
127
第一章
总则
127
第二章
管理职责
127
第三章
设备申请采购管理
127
第四章
设备使用维护管理
128
第五章
设备维修报废管理
131
第六章
附则
131
附件
132
附件
1
:办公设备申请采购工作流程
132
附件
2
:办公设备领用工作流程
133
附件
3
:办公设备调拨工作流程
134
附件
4
:办公设备维修报废流程
135
附件
5
:办公设备领用单
136
附件
6
:办公设备调拨申请表
137
附件
7
:办公设备送外维修申请表
138
桌面终端安全管理制度
139
第一章
总则
139
第二章
员工桌面终端安全要求
139
第三章
桌面终端初始配置
140
第四章
桌面终端接入网络
140
第五章
桌面终端日常使用
141
第六章
桌面终端连接互连网
143
第七章
桌面终端维修报废
144
第八章
附则
144
介质安全管理制度
145
第一章
总
则
145
第二章
介质保管
145
第三章
介质使用与维护
145
第四章
介质维修与销毁
146
第五章
附
则
147
附件
148
附件
1
:介质目录清单
148
附件
2
:介质申请表
149
附件
3
:介质送外维修申请表
150
附件
4
:介质移交单
151
附件
5
:介质销毁清单
152
附件
6
:保密介质销毁申请表
153
信息安全工作指导方针
信息安全工作流程图
信息安全工作示意图
信息安全管理体系框架
信息安全工作总体方针
总则
为给集团信息安全工作提供清晰的指导方向,加强信息安全管理,保证业务系统的安全运行,提高服务质量,特制定本方针。
信息安全工作是集团运营发展的基础,是保障网络质量,保护客户利益的基础,因此必须重视信息安全工作。
信息安全是集团各部门所有员工共同分担的责任,与每一位员工的日常工作息息相关,所有员工必须提高认识,高度重视,从自己开始,坚持不懈地做好信息安全工作。
本方针适用于集团全体员工。
总体安全方针
集团
信息安全应坚持“
信息
安全
与业务并重,安全
管理
与
技术并重”的总体方针,实现信息系统安全
可查、
可
视
、
可
控。依照“分区、分级、分域”的总体安全防护策略,执行信息系统安全
防护
。
总体安全目标
集团的信息安全目标是:
保障信息系统安全稳定运行,保证业务连续性;
保护客户隐私,保障客户资料的机密性,维护客户的利益;
保护
集团
的商业机密和技术机密,维护集团的利益;
建立集团的信息安全体系,确保信息
资产的
安全可靠
。
安全工作原则
安全工作应遵循以下基本原则:
“分级保护”原则:应根据各业务系统的重要程度以及面临的风险大小等因素决定各类信息的安全保护级别,分级保护,合理投资。
“同步规划、同步建设、同步运行”原则:安全建设应与业务系统同步规划、同步建设、同步运行,在任何一个环节的疏忽都可能给业务系统带来危害。
“三分技术、七分管理
”
原则:信息安全不是单纯的技术问题,需要在采用安全技术和产品的同时,重视安全管理,不断完善各类安全管理规章制度和操作规程,全面提高安全管理水平。
“内外并重”原则:安全工作需要做到内外并重,在防范外部威胁的同时,加强规范内部人员行为和审计机制。
“整体规划,分步实施”原则:需要对集团信息安全建设进行整体规划,分步实施,逐步建立完善的信息安全体系。
“风险管理”原则:进行安全风险管理,确认可能影响信息系统的安全风险,并以较低的成本将其降低到可接受的水平。
“适度安全”原则:没有绝对的安全,安全和易用性是矛盾的,需要做到适度安全,找到安全和易用性的平衡点。
安全工作要求
集团必须建立和完善信息安全管理规章制度和操作程序,规范和加强信息安全管理工作,所有员工都必须遵守与其相关的信息安全规章制度。
加强内部人员安全管理,依据最小特权原则清晰划分岗位,在所有岗位职责中明确信息安全责任,要害工作岗位实现职责分离,关键事务双人临岗,重要岗位要有人员备份。
各部门必须加强信息资产管理,建立和维护信息资产清单,建立信息资产责任制,对信息资产进行分类管理和贴标签。
加强系统建设的安全管理,配套安全系统必须与业务系统“同步规划、同步建设、同步运行”,加强安全规划、安全审批、安全验收管理。
建立维护作业计划,严格执行维护作业计划,加强对网络设备、操作系统、数据库、应用系统的运行监控,编写日常运行维护报告。
部署网络层面和系统层面的访问控制、安全审计以及安全监控技术措施,保障业务系统的安全运行。
建立日常维护操作手册和变更控制流程,规范日常运行维护操作,严格控制和审批任何变更行为,加强机房和办公区域的安全管理,为业务系统的正常运行提供物理和环境安全保障。
增强主机系统的安全配置,定期进行安全评估和安全加固,加强防范恶意软件,定期更新病毒特征代码,及时报告发现的病毒。所有Windows操作
系统的电脑
必须及时进行补丁升级。
制定各业务系统的应急方案,定期更新、维护和测试,做好数据备份工作,确保出现故障时数据能够及时恢复,保证数据的安全。
加强用户账号和权限管理,按照最小特权原则为用户分配权限,避免出现共用账号的情况。
加强用户口令的管理,口令长度至少8位,并采用数字、字母和特殊字符的组合,定期修改用户口令。
加强应用系统的安全管理,包括软件开发安全管理、投产测试和上线安全管理、应用软件版本和配置管理,加强外包开发的业务系统软件的安全管理。
加强第三方访问和外包服务的安全控制,在风险评估的基础上制定安全控制措施,并与第三方集团和外包服务集团签署安全责任协议,明确其安全责任。
所有员工都应签署保密协议,并接受信息安全教育培训,提高安全意识,及时报告信息安全事件。
安全组织保障
架构与安全委员会是集团管理委员会领导下的IT服务管理的安全监督机构,下设信息安全实施小组
,全面负责集团信息安全的各项工作。
架构与安全委员会负责集团信息安全相关的技术指导和管理工作,定期
向
管理委员会
汇报
集团网络
与信息安全现状
;负责根据
集团的
智慧大北农
平台
战略建立网络与信息
安全管理
体系工作规划。
信息安全实施小组由
信息安全部、网络运维部、技术中心安全相关人员以及外部组织技术人员组成,
是集团信息安全的具体实施组织,信息
安全部
负责根据
架构与安全委员会
的各项决策提出具体解决方案并组织实行,
制定并落实
集团的信息安全管理
体系
规范
,并为委员会决策提供真实、有效的信息安全数据。
小组其他部门
负责配合信息安全部完成委员会
各项
信息安全决策的
具体落实
。
附则
本方针的制定和修改需要经架构与安全委员会成员讨论通过后,管理委员会批准之日起生效。
本方针解释权属架构与安全委员会。
架构与安全委员会章程
总则
为了加强集团信息安全保障能力,建立健全集团的安全管理体系,提高整体的网络与信息安全水平,
保证网络通信畅通和
业务
系统的正常运营,提高网络服务质量,
经集团批准设立架构与安全委员会。
架构与安全委员会(以下简称“委员会”)是集团管理委员会领导下的IT服务管理的安全监督机构,负责集团信息安全相关的技术指导和管理工作,定期
向
管理委员会
汇报
集团网络与信息安全
现状
;负责根据
集团的
智慧大北农
平台
战略建立网络与信息安全
管理
体系工作规划。
委员会的宗旨
是
集中
团队
力量
,
落实
集团信息化发展战略,
建立统一的IT管理体系
,
规范
IT管理
制度,合理配置IT资源,优化IT体系结构,更好地为集团业务
发展
服务。
组织结构
委员会下设信息安全实施小组,由网络运营中心、技术中心、外部组织等安全相关人员组成,是集团信息安全的具体实施组织,负责信息系统日常的运维安全和安全管理体系的具体落实。
委员会成员由集团管理委员会指派,每届任期为1年。详细人员名单见附件一。
信息安全实施小组组织架构如下图所示:
架构与安全委员会
架构与安全委员会职责如下:
负责集团信息安全相关的技术指导和管理工作,定期
向集团
管理委员会
汇报
集团网络与信息安全
现状
;
负责根据
集团的
智慧大北农
平台
战略
,
制定网络与信息安全体系
的
发展规划,并
根据规划的内容向集团管理委员会提
交
安全建议和方案
;
根据国家信息安全管理的相关法律法规和制度,建立和健全集团的信息安全管理体系;
根据
集团信息安全管理体系
要求
,
组织落实信息安全管理制度规范,
并定期评审制度规范的落实情况
;
根据
集团信息安全管理体系
要求
,
定期组织
开展信息系统
安全检查
,
及时预见潜在的重大信息安全风险并向集团管理委员会提交防范建议;
负责集团重点网络与信息安全项目的审议与决策;
负责
集团信息安全相关问题的对
内
及对外
的协调工作。协调内部实施小组各
部门成员
处理集团信息安全工作中的各项安全事件
和
安全问题,
在遭遇重大安全事件
内部
无法解决时
协调
外部
技术人员协助
处理问题
;
负责定期组织技术人员
进行信息安全方面的培训和学习
。
信息安全
实施小组
信息安全实施小组是
集团信息安全的具体实施组织,下设的信息
安全部
是集团信息安全实际管理执行部门,小组其他部门人员
负责配合信息安全部完成委员会
各项
信息安全决策的
具体落实。
信息安全实施小组职责如下:
负责
集团信息安全工作的具体实施落实;
负责制定并不断
改进集团的信息安全管理
体系制度
规范,
提交给委员会
进行审核;
负责落实
集团的信息安全管理体系制度规范
,
并针对落实过程中出现的
不合理之处
及时
修订
安全管理体系制度规范;
负责
落实集团的信息安全
检查
工作,
实施内部安全检查审计
或协助第三方人员
实施安全评估工作
;
负责
协助第三方人员实施
重大
网络
与
安全项目
,
保障项目
顺利
实施;
负责制定集团
信息系统日常
安全运行维护的工作流程
和操作手册,
监控
信息系统日常的安全
运行
,保障信息系统安全稳定运行;
负责
集团信息安全事件
的
应急响应
处理
;
负责
定期
参与
集团
组织
的
技术培训和
信息安全培训。
实施小组各成员工作职责如下:
网络安全工程师工作职责:
负责集团信息安全技术及管理体系的规划设计、实施;
负责集团信息安全管理体系具体安全管理制度流程的制定、维护、更新;
负责定期开展
内部的信息安全
检查及审计
工作,
配合
第三方人员
实施外部安全评估;
负责集团新上线业务的安全检测;
负责业务相关安全设备的配置维护、更新,梳理业务系统访问关系,制定访问控制规则;
负责日常的网络设备、服务器、数据库、应用中间件、应用系统等的安全检查与安全日志审计,及时发现安全问题及攻击事件,排除安全隐患;
负责监控业务网站
的安全
状态
,
处理集团信息安全事件;
负责定期开展信息安全教育培训,提高内部人员的安全意识;
负责定期提交集团信息安全工作报告。
网络工程师工作职责:
负责网络基础架构的方案设计、实施;
负责各业务平台省级运营商骨干网的架构设计、实施;
负责各业务平台、各数据中心相关网络的实施、优化;
负责业务相关网络设备的配置维护、变更;
负责制定集团网络设备的安全操作手册;
负责堡垒主机的账号权限管理;
负责业务相关网络的监控、维护和故障处理,并定期提交工作报告;
负责定期检查网络设备日志,排除安全隐患;
协助网络安全工程师处理集团信息安全事件,配合集团各项信息安全工作实施。
网络管理员工作职责:
负责集团办公网络的监控、维护和故障处理,并定期提交工作报告;
负责集团网络会议、视频会议的网络部署、监控和故障处理;
负责集团总部办公区网络、员工终端PC、固定电话等的部署、维护和故障处理;
协助网络工程师进行业务相关网络的监控、维护和故障处理;
协助网络安全工程师处理集团信息安全事件,配合集团各项信息安全工作实施。
系统工程师安全工作职责:
负责业务相关服务器操作系统的安装和账号管理;
负责业务相关服务器操作系统的配置维护、软件安装和补丁升级;
负责制定集团服务器操作系统的安全操作手册;
负责业务相关服务器操作系统的运行监控、维护和故障处理;
负责定期检查服务器日志,排除安全隐患;
协助网络安全工程师处理集团信息安全事件,配合集团各项信息安全工作实施。
数据库工程师安全工作职责:
负责业务相关数据库的安装、配置和补丁升级;
负责制定集团数据库的安全操作手册;
负责业务相关数据库的运行监控、维护和故障处理;
负责定期检查数据库日志,排除安全隐患;
协助网络安全工程师处理集团信息安全事件,配合集团各项信息安全工作实施。
研发工程师安全工作职责:
负责按照应用安全编码规范编写各业务系统的代码;
协助网络安全工程师处理集团信息安全事件,配合集团各项信息安全工作实施。
例会制度
委员会
要定期组织例会,
听取
和
讨论集团
的信息安全发展状况,当出现
如下情况时需及时组织发起会议:
集团网络与信息安全
的
发展规划的制定;
集团信息安全
管理规范
及制度的颁布;
集团重点网络与信息安全项目方案
的部署;
集团网络与信息安全项目涉及的重大更新;
集团网络与信息安全评估的总结汇报
;
其他重要的网络与信息安全技术投入。
委员会成员必须全体参加例会,会议要形成会议记录并留档。
会议议题要清晰,需提前发布会议目的,各成员须
提前就议题内容进行
资料的
准备
及
方案的整理,
以便提升会议效率。
附则
本章程的制定和修改需要经架构与安全委员会成员讨论通过后,管理委员会批准之日起生效。
本章程解释权属架构与安全委员会。
附件
附件1:架构与安全委员会名单
委员会成员:孙 安、李玉福、薛素金、赵万冬、张传民、刘东栋、陈健源
附件
2:架构与安全委员会例会纪要
农信集团架构与安全委员会例会纪要
会议时间
会议地点
参会人员
会议议题
会议纪要
会议结果
信息系统安全管理制度
总则
为加强信息系统安全管理,保证
信息
系统的安全、可靠运行,提高服务质量,特制定本
制度
。
信息系统安全
管理
是保障网络质量,保护客户利益的基础,因此必须重视信息系统安全工作。
信息系统安全管理是集团各部门所有员工共同分担的责任,与每一位员工的日常工作息息相关,所有员工必须提高认识,高度重视,从自己开始,坚持不懈地做好信息系统安全工作。
信息系统
安全管理
信息系统安全管理分为数据中心机房管理制度,网络安全管理制度,系统安全管理制度,应用安全管理制度,数据安全管理制度,信息系统变更安全管理制度,信息系统运维安全管理制度,信息系统安全事件管理制度,信息安全检查与审计管理制度,信息系统风险评估管理制度,信息系统建设安全管理制度,信息系统安全应急预案,业务连续性和灾难恢复管理制度,信息系统安全值守巡检规范共计14项制度,其结构与关系如下:
数据中心机房安全管理
数据中心机房是集团业务系统的信息化支撑平台,机房内信息处理
设备
的安全、稳定运行直接影响着集团各业务系统的正常运行,为防范机房可能发生的安全事故,保证机房内设备处于最佳运行状态,使其运行服务质量能够满足集团业务使用的需求,需对机房实施安全管理。
数据中心机房安全管理的
设备
包括
所有支持集团信息化业务的机房信息处理设备,包括服务器、网络设备、安全设备以及
提供
这些设备
良好
稳定
运行
的物理环境支撑设备,如空调、
UPS等
。
数据中心机房安全管理的内容包括机房出入管理
,
机房操作管理和机房设备管理
。
网络安全管理
为了加强集团网络安全管理工作,保障集团信息系统网络在安全、可控状态下运行,建立健全信息系统相关网络操作手册,提高网络通信质量,优化网络结构,需实施网络安全管理
。
网络安全管理的内容是对集团业务相关网络架构安全设计、网络安全策略的制定、网络设备的安全配置、网络运维安全进行统一规范和管理。
系统安全管理
为了加强集团的系统安全管理,保障集团业务相关服务器操作系统在安全、可控状态下运行,建立健全业务相关服务器操作系统的操作手册,需实施系统安全管理
。
系统安全管理的
内容
是对集团业务相关服务器操作系统安全配置、系统运维安全进行统一规范和管理。
应用安全管理
为规范集团业务系统、管理系统的应用安全,保障集团应用系统安全稳定运行,需实施应用安全管理。
应用安全管理的内容应包括
从身份鉴别,WEB页面安全,访问控制,安全审计,剩余信息保护,资源控制,应用容错
,
报文
完整
性,报文保密性,抗抵赖,编码安全
和
电子认证应用
等
。
数据安全管理
数据的安全管理是集团业务系统数据正常提供服务的重要保证。为加强数据的安全管理,提信息系统数据的可用性、完整性及保密性,需实施数据安全管理。
数据安全管理涉及
的内容有
数据分级、数据传输安全、数据存储安全、数据变更安全、数据访问安全、数...
信息安全管理体系制度汇编164页.docx
