还剩23页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
xx煤业信息安全管理办法(试行)第一章总则第一条为加强集团信息安全管理,确保信息化建设快速、协调、有序、安全发展,根据国家有关法律法规以及《中平能化集团信息化管理办法》(中平〔2009〕337号)等规定,特制定本办法第二条本办法适用于集团各职能部室,直属和特设机构、专业化公司、事业部、区域公司及其所属各单位第二章管理范围第三条本办法所称信息安全主要指网络安全、环境安全、应用系统安全、数据安全、终端安全、操作安全、网络信息发布安全以及__信息化安全等第三章__机构和工作机制第四条集团信息化__小组办公室(以下简称集团信息办)负责按信息安全__管理流程(详见附件1)监督、检查、指导集团整体信息安全管理工作,查处危害集团信息安全的__;集团党委宣传部负责网络信息发布管理工作,对集团及所属各单位的__设立及网络信息实施管理职能;计算机通讯分公司为技术管理部门,负责执行整体安全防范策略第四章网络安全管理第五条集团及各单位网络要按照《集团网络建设技术规范》建设,集团骨干网络覆盖单位必须通过集团统一出口接入互联网,以发挥集团网络整体安全策略的作用,保障应用系统的无障碍运行环境各机关处室和基层单位在进行互联网接入工作时,应遵循以下原则
(一)具备集团网络接入条件的,必须通过集团统一出口接入,不允许以其他任何形式接入互联网络
(二)暂时不具备接入条件的,向集团信息办递交情况说明及接入申请,经集团信息办审核批准后,可通过其他方式接入互联网络
(三)已经接入集团网络但仍然私自接入其他网络出口的,一经发现,立刻中断其网络出口,并上报集团信息化__小组,根据影响程度,做出相应处罚第六条建立集团专用网络和涉密网络申报备案机制集团级涉密网络和专用网络由集团相关处室信息化主管部门申报至集团信息办备案;单位级涉密网络和专用网络由各单位业务主管部门申报至单位信息办备案(备案表详见附件2)第七条涉密网络和专用网络不得以任何方式接入或连通其他网络,涉密信息不得在网络中传输与存储;如因特殊需要,必须接入其他网络的,应上报集团信息办审批通过后进行接入第八条无线网络作为办公网络的有效延伸,在集团日常办公中起到越来越大的作用为了加强集团无线网络安全的管理,保障信息系统安全、稳定运行,无线设备接入集团办公网络时,应遵循以下原则
(1)集团信息办负责集团整体无线网络安全的日常管理和监督工作;计算机通讯分公司负责机关各处室无线网络的开通及安全管理工作,基层各单位信息办负责本单位无线网络的开通及安全管理工作
(2)计算机通讯分公司和基层各单位每月5日前将上月的无线设备使用情况上报至集团信息办登记备案(备案表详见附件3)
(3)无线网络设备要定期更改__,至少每月变更一次,并做好变更记录
(4)由于无线网络使用不当导致信息安全__的,将按照《集团信息安全__管理流程》有关规定处理第五章环境安全管理第九条集团信息机房及各单位信息机房要按照《集团机房建设技术规范》建设,应遵循统一建设、统一管理的原则各级信息办作为主要责任部门,应保证信息机房的各项指标符合集团信息办发布的各项标准,并制定完善的机房管理制度第十条各级业务系统要做到集中管理集团级业务系统应统一放置在集团数据中心(集团信息机房),由计算机通讯分公司负责日常维护;单位级业务系统应统一放置在各单位数据中心(单位信息机房),由各单位信息管理部门负责日常维护第十一条外部人员未经允许不得随意出入信息机房,进入信息机房的人员和进行的操作必须记录在案并留存90天以上,以备检查或追溯需要查询的操作第六章应用系统安全管理第十二条本办法所指应用系统特指集团及下属单位利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台包括集团各职能部室、各事业部、各基层单位应用于经营管理、安全生产、日常办公、工程设计、监测监控等各个领域运行的计算机信息系统(包括MIS系统、办公自动化系统、CAD、CAM、CRM、SCM、MRP、ERP、电子商务、__系统、组态以及其它业务应用系统)第十三条建立应用系统申报备案机制集团级应用系统由集团相关处室信息化部门申报至集团信息办备案;单位级应用系统由各单位业务主管部门申报至本单位信息化主管部门备案(备案表详见附件4)第十四条由外部单位参与__、改造的业务系统,业务主管部门需要与__单位签订保密协议第十五条应用系统主管部门或单位对应用系统的使用负责,要配备专职或__的系统管理人员,并授权其进行系统设置、变更等操作,统一分配系统用户和管理用户权限第十六条任何单位或个人未经系统主管人员批准,不得对应用程序进行修改或删除不得向非工作需要的人员泄露应用系统的系统环境、系统设置和用户__等信息第十七条应用系统主管部门要建立系统级操作运行记录,应保存90天以上时段的日志,以备检查或追溯需要查询的操作第十八条集团级应用系统和各单位使用的重要业务系统,必须建立灾难备份系统和应用系统安全应急预案,明确应急预案的激活条件和处理流程,按季度检查灾难备份系统的运行情况,并__模拟演练第__条建立应用系统安全评估机制各业务主管部门按季度对所负责的应用系统进行安全评估,对应用系统的合规性进行检查;集团信息办每年对集团级业务系统和各单位使用的重要业务系统进行应用系统审计和风险评估第__条集团信息办有权根据系统安全状况对运行中的设备或系统采取必要的强制管理措施,包括更改或限制服务器端口、限制网络带宽、中断网络连接、关闭停止运行等第七章数据安全管理第__一条数据是集团重要的资源,必须按照数据集中的要求,坚持技术与管理并重,确保集团信息系统数据的完整性、及时性和安全性第__二条业务主管部门对系统数据的真实性、准确性、及时性和完整性负责第__三条业务主管部门应指定专(兼)职人员,负责数据库的日常管理,做好数据库系统及其承载信息的安全保密工作集团级业务系统的数据库由计算机通讯分公司集中维护;各单位负责的应用系统数据库,由各单位自行维护,亦可委托计算机通讯分公司维护,不得委托外部维护第__四条数据库专(兼)职管理人员应当接受集团认可的专门培训并备案管理,要管理好数据库相关的系统文件、存储介质和数据资料,未经批准不得以任何形式将资料、介质带出机房或办公室第__五条数据库系统__使用必须采取相应的技术措施,如不使用操作系统的共享服务,限制数据库服务器与前台服务器非业务通信等,防止病毒破坏和渗透攻击第__六条计算机通讯分公司负责保障集团数据中心数据库服务器、存储和备份设备的正常运行需要集团统一存储和备份的数据,由所属业务部门根据不同类型数据量、更新频率、重要程度、保存时间,制定相应操作规范、备份和恢复方案经集团信息办审批后,由计算机通讯分公司根据委托或合同内容提供相应的数据存储备份服务和技术支持第__七条关键业务数据必须采用“双备份”原则,即除数据中心存储设备备份外,应用管理该数据库的业务部门,要指定专人用不可更改介质作另行备份,以保证数据的安全完整,便于追溯系统历史操作和严重灾难恢复第__八条所有数据的输出必须经主管业务__批准,任何单位和个人,不得对应用系统中处理或存储的数据进行修改或删除,不得将数据__、打印、转借和删改第__九条对不执行数据安全管理规定,造成数据设备损坏、数据严重破坏、数据资料丢失和泄密的,要追究相关__和当事人的责任第八章终端安全管理第三十条终端用户不得从事危害计算机网络安全的行为;严禁扫描访问非授权网络;不得非法对计算机网络资源进行删除、修改或增加;不得制作、传播计算机病毒等破坏性程序;远程办公用户必须妥善保存网络登录帐号和__,不得交由他人使用第三十一条接入集团办公网络的电脑终端,在日常办公使用中必须遵循以下原则
(1)必须__杀毒软件
(2)禁用GUEST账号、Internet来宾账号等默认或不必要的账号;删除不必要的账号;更改默认___账号名称;账户锁定3次错误登录;账户锁定时间大于20分钟;复位账户锁定计数20分钟
(3)必须设定登录__登录__长度最小值6位,必须包含数字、字母,__最长留存期90天,强制__历史5次
(4)设置屏幕保护时间小于3分钟,并设定屏幕保护恢复时使用__保护第三十二条内网各网络终端要求IP地址绑定__C地址或固定IP地址,并详细记录IP地址分配情况通过代理接入网络的单位必须保留网内用户上网日志60天,以备追查非法网络访问行为和定位网络故障第九章操作安全管理第三十三条业务主管部门要定期检查应用系统的运行情况,按照设备维护或系统运行要求进行必要处理,并及时填写系统维护记录,留存操作人员姓名、时间、内容、故障现象、处理手段等相关文档第三十四条应用系统___应严格按照设定的权限操作,严禁越权操作,操作员应做好操作记录,并对自己用户名下的所有操作负责第三十五条系统__完成后必须立即更改初始__,使用的__长度最小为6位,__必须包含字母、数字,__最长留存期90天,强制__历史5次应用系统登录用户名和超级用户__,必须妥善保管不得泄漏集团级业务系统和各单位的重要系统必须做到__分段持有,操作时__持有人必须同时在场系统管理人员如有变动必须立即更改__第十章网络信息发布安全管理第三十六条凡涉及网络信息发布安全管理的,按照集团《关于加强网络信息管理的规定(暂行)》(平煤发〔2008〕5号)执行第十一章__信息化安全管理第三十七条为了防止数据丢失和未经授权访问所带来的业务风险,集团信息办统一管理集团__信息化平台,具体负责统__台对外接口,与运营商洽谈系统及网络对接事宜各机关处室和基层单位不得以任何形式私自建设__信息化平台第三十八条集团__信息化平台建成之后,交由计算机通讯分公司运营计算机通讯分公司在日常维护工作当中必须做到以下几点
(一)指定专职人员负责集团__信息化平台的日常管理,做好平台及其承载信息的安全保密工作
(二)确保网络的安全性和可靠性,建立完善的网络日常监测及故障处理机制
(三)定期检查__信息化平台的运行情况,按照设备维护或系统运行要求进行必要处理,并及时填写维护记录
(四)系统___应严格按照设定的权限操作,严禁越权操作,操作员应做好操作记录,并对自己用户名下的所有操作负责
(五)制定完善的操作规范和定期备份制度,并报集团信息办备案系统___要按照制度要求定期进行数据备份,并做好备份执行记录第三__条通过运营商网络访问和操作集团__信息化平台的用户,应采用可靠的安全接入方式,具体技术方案由集团信息办审批,由计算机通讯分公司负责实施并监督执行第十二章信息安全监督机制第四十条集团信息办负责集团整体信息安全的监督和考核工作;各单位信息办负责本单位内部的信息安全管理工作第四十一条集团信息办按月对集团下属各单位的信息安全管理工作进行抽查,每年进行一次全面检查检查结果上报至集团信息化__小组,作为当年“信息化评先”的重要依据第四十二条在集团信息办检查过程中,发现重大信息安全漏洞的,集团信息办有权根据信息安全状况采取必要的强制管理措施,包括更改或限制集团级应用系统访问端口、中断网络连接、关闭停止运行等;存在重大安全漏洞的,集团信息办有权上报至集团信息安全__小组,并对相关责任部门做出相应处罚第十三章附则第四十三条本办法解释权归集团信息化__小组此前印发的有关信息化文件与本办法冲突的,以此办法为准第四十四条本办法自文件印发之日起执行附件1.集团信息安全__管理流程2.集团涉密网络和专用网络登记备案表3.无线设备登记备案表4.集团应用系统登记备案表附件1集团信息安全__管理流程
一、目的为建立集团信息安全__报告、反应与处理机制,减少信息安全__所造成的损失,采取有效的纠正与预防措施,特制定本管理流程
二、范围本管理流程适用于机关各处室及基层各单位的信息安全__管理
三、职责
(一)集团信息办
1.负责__制定集团信息安全__处理制度;
2.负责对信息安全__进行调查取证,提出处理措施及纠正预防措施;
3.负责对机关各处室和基层各单位提交信息真实性进行督查
(二)机关各处室和基层各单位
1.积极预防信息安全__的发生,建立《信息安全事故应急预案》;
2.及时准确的报告信息安全__,配合集团信息办进行信息安全__的调查取证和处理工作;
3.提交《信息安全__月度报告》
四、流程
(一)信息安全__定义与分类
1.信息安全__定义由于自然或者人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或对社会造成负面影响的__信息安全__包括
(1)各单位管理的___、电视网、传输线路涉及的硬件、软件、数据因非法攻击或病毒入侵等造成系统不能正常运行的信息安全__;
(2)软件__和运维业务;
(3)项目施工业务;
(4)其它相关业务(含公司经营、商务、技术等)因信息泄露或丢失引起的信息安全__
2.信息安全__分类信息安全__分为有害程序__、网络攻击__、信息破坏__、信息内容安全__、设备设施故障、灾害性__和其他信息安全__等7个基本分类
3.信息安全__分级根据信息安全__危害程度,主要分为
(1)一般信息安全__
①由于信息安全隐患或系统遭受入侵、尝试性入侵但未造成不良后果的网络通信或系统业务运行中出现的一般故障;
②利用本网发起的对其它网络的攻击;
③环网单链运行;
④用户从集团网络出口发布的非法信息,当公安部门追查时能够定位
(2)严重信息安全__
①各单位负责运维的___、电视网、传输线路由于中断或间断影响全局业务2小时以内,影响局部业务8小时以内;
②应用系统出现问题影响集团级业务4小时以内,影响本单位业务12小时以内,但并未造成业务系统数据损坏;或者业务系统数据部分损坏、丢失,可以通过备份进行恢复(例如,某服务器被入侵后,业务数据被删除,被删除数据有备份等);
③各单位__的二级单位应用系统源代码泄露或丢失;
④用户从集团网络出口发布的非法信息,当公安部门追查时无法定位;
⑤各单位的经营、商务、技术等机密信息泄露或丢失;
(3)信息安全事故
①各单位负责运维的___、通信网、电视网、传输线路由于中断或间断影响全局业务2小时以上,影响本单位业务8小时以上;
②电视网的信源攻击;
③应用系统出现问题影响集团级业务4小时以上,影响本单位业务12小时以上;或者业务系统数据损坏、丢失且无法恢复;
④集团公司__的集团级应用系统源代码泄露或丢失;
⑤集团公司的经营、商务、技术等绝密信息泄露或丢失,并对集团公司造成重大影响
(二)流程说明机关各处室和基层各单位如果发现信息安全__,应该向本单位信息化主管部门报告,如果信息安全__会影响或已经影响业务运行,必须立即报告本单位信息化主管__,并采取必要措施,保证对业务的影响降至最低;如果信息安全__为严重级别,各单位信息化主管部门应向集团信息办报告;如果信息安全__定性为信息安全事故时,应首先启动信息安全事故应急预案,然后上报集团信息办和集团信息化__小组;各级信息安全__的处理,最终要形成《信息安全__调查处理报告》主要包括如下内容信息安全__的描述、故障原因分析、影响状况、主要处理过程与结果、纠正措施等各单位信息化主管部门在每月5日之前对上月信息安全__进行__,填写《信息安全__月度报告》报集团信息办
(三)__的响应集团信息办接到报告以后,应立即进行迅速、有效和有序的响应,包括采取以下适当措施
1.报告者应保护好故障、__的现场,并采取适当的应急措施,防止事态的进一步扩大;
2.按照有关的__处理文件(程序、作业手册)排除故障,恢复系统或服务,必要时,启动业务持续性管理计划
(四)__调查处理与纠正措施各单位故障处理部门应对故障原因进行分析,必要时,采取纠正措施,故障的原因及采取措施的结果予以记录对于信息安全__,在故障排除或采取必要措施后,集团信息办会同__责任部门,对__的原因、类型、损失、责任进行鉴定,形成《信息安全__调查处理报告》;对于信息安全事故的处理意见应上报集团信息化__小组讨论通过集团信息办要求__责任部门制定纠正措施并实施,实施结果记录在《信息安全__调查处理报告》由集团信息办对实施情况进行跟踪验证验证结果记入《信息安全__调查处理报告》
五、相关表格表格1信息安全__调查处理报告__名称报告部门报告人发生地点____发生时间年月日时分__级别□一般□严重□事故公司信息安全__类别□有害程序__□网络攻击__□信息破坏__□信息内容安全__□设备设施故障□灾害性__□其他信息安全__信息安全__完整描述(含故障原因)本次信息安全__的事后影响状况__后果□业务中断□系统破坏□数据破坏□其他影响范围从影响的单位、用户数方面描述针对此类__采取的纠正措施(可增页)本次信息安全__的主要处理过程与结果(必要时可附文字、__等材料)(可增页)业务部门责任人各单位信息化主管部门负责人集团信息办表格2信息安全__月度报告(年月)单位名称信息化主管部门负责人本月信息安全__情况简述本月信息安全__发生次数一般________次严重________次安全事故______次信息安全__的发现和处理过程可采用后附文档方式本月新出现的信息安全__及主要描述(如果有新出现的信息安全__发生需填写此栏)本月信息安全工作遇到的主要问题和处理情况采取的安全措施和建议____填报日期信息化主管部门负责人签字附件2集团涉密网络和专用网络登记备案表单位名称信息化主管部门申报人 __方式 网络名称网络种类业务主管部门业务负责人网络用途备注 备注网络种类分专用网络和涉密网络两种;附件3无线设备登记备案表年月单位申报部门申报人申报日期设备1设备品牌 设备型号 设备管理__ WAN口地址 SSID 加密机制 LAN口地址 申请部门 责任人 设备2设备品牌 设备型号 设备管理__ WAN口地址 SSID 加密机制 LAN口地址 申请部门 责任人 设备3设备品牌 设备型号 设备管理__ WAN口地址 SSID 加密机制 LAN口地址 申请部门 责任人 设备4设备品牌 设备型号 设备管理__ WAN口地址 SSID 加密机制 LAN口地址 申请部门 责任人 设备5设备品牌 设备型号 设备管理__ WAN口地址 SSID 加密机制 LAN口地址 申请部门 责任人 备注可根据设备数量增加表格数量无线设备管理人申报部门__附件4集团应用系统登记备案表单位名称信息化主管部门申报人__方式申报时间应用系统名称是否接入互联网业务主管部门业务负责人系统用途备注 xx煤业综合办2013年4月18日印发校对人杨静谊平禹煤电公司办公室2013年5月9日印发校对人张会金打印人李璐PAGE。