还剩5页未读,继续阅读
文本内容:
信息系统安全规范第一条为加强商贸有限公司(以下简称〃公司〃)办公计算机信息系统安全管理,依据《中华人民共和国保守国家秘密法》、《中华人民共和国保守国家秘密法实施条例》、《中华人民共和国计算机信息系统安全保护条例》、《信息系统安全等级保护基本要求》和《中央企业商业秘密信息系统安全技术指引》制定本规范第二条本规范是对公司信息内外网办公用台式机、笔记本等办公计算机及其外设信息安全管理的职责及管理要求做出的具体要求(-)信息内外网办公计算机分别运行于信息内网和信息外网;
(二)信息内网定位为公司信息业务应用承载网络和内部办公网络;
(三)信息外网定位为对外业务应用网络和访问互联网用户终端网络;
(四)公司信息内外网执行等级防护、分区分域、逻辑强隔离、双网双机策略第三条本规范适用于公司及所属各单位第四条公司办公计算机信息安全管理遵循“涉密不上网、上网不涉密”的原则严禁将涉及国家秘密的计算机、存储设备与信息内外网和其他公共信息网络连接,严禁在信息内网办公计算机上处理、存储国家秘密信息,严禁在信息外网办公计算机上处理、存储涉及国家秘密和企业秘密信息,严禁信息内网和信息外网办公计算机交叉使用第五条信息安全管理体系及职责-公司信息安全工作实行统一领导、分级管理,信息安全纳入公司安全管理体系,实行专业管理、归口监督公司分管信息化负责人是本单位信息安全第一责任人,各部门、各单位领导负责本部门信息安全重大事项决策二公司发展策划部是公司信息安全工作的归口管理部门,负责公司软件系统、广域网、本部局域网的安全保障工作,安全职责包括
1.落实国家和上级单位有关信息安全法规、方针、政策、标准和规范,组织制定公司信息安全管理标准规范;
2.负责公司信息安全管理工作,统筹开展公司软件系统风险评估和安全检查工作;
3.组织开展信息安全保密检查;
4.做好公司信息安全培训工作
5.贯彻集团公司信息安全工作要求,建立信息安全工作体系,落实信息安全工作责任制
6.参与制定信息安全管理规章制度和标准规范,组织制定落实信息安全管理细则或运行规程;
7.负责公司软件系统安全运行保障工作,落实公司信息安全防护各项工作要求,组织开展日常督查工作
8.做好公司软件系统安全防范技术措施和应急预案,并组织演练
9.落实软件系统防攻击、防病毒、防泄密、防系统崩溃、防违规外联技术措施,完善信息安全设备的配置和信息安全管控手段
(三)公司信息化工作小组是公司信息安全工作监督、技术督查单位,安全职责包括
1.负责软件系统事件的调查和处理;
2.负责公司软件系统安全全过程监督检查;
3.负责监督公司软件系统应急管理工作落实;
4.负责统计公司软件系统安全事故
5.负责落实公司信息安全技术督查规章制度和工作要求,具体执行信息安全技术督查工作
6.具体负责公司信息安全年度督查、专项督查,监督各部门、各单位日常督查工作情况,及时发现隐患提出防护方案,并监督整改
7.负责公司信息安全技术督查工作的汇总、统计、分析和上报第六条网络与信息系统应急事件处置
(一)为正确、高效和快速处置网络与信息系统突发事件,最大限度地减少网络与信息系统突发事件对公司生产、经营、管理造成的损失,完善公司网络与信息系统应急保障体系和应急响应机制,成立网络与信息系统事件处置领导小组及设置办公室
(二)网络与信息系统事件处置坚持统一领导,分级负责;基础保障,技术支撑;预防为主,常备不懈;考虑全局,突出重点;快速响应,协同应对的工作原则三当发生网络与信息系统突发事件时,根据突发事件严重程度,由公司应急领导小组研究决定启动公司网络与信息系统事件处置领导小组及其办公室
1.网络与信息系统事件处置领导小组作为公司网络与信息系统应急工作的指挥机构,负责全面领导和指挥决策公司网络与信息系统应急工作中的重大问题组长由公司分管信息工作的领导担任,成员由公司综合部、财物资产部、人力资源部、安监部、物资经营部、发展策划部等部门负责人组成公司网络与信息系统事件处置领导小组办公室设在发展策划部,领导小组办公室负责人由发展策划部负责人担任,成员由综合部、财务资产部、人力资源部、安监部、物资经营部、发展策划部等部门派人组成
2.公司网络与信息系统事件处置领导小组及办公室职责1公司网络与信息系统事件处置领导小组职责
①接受集团科信部、集团安监部等上级主管部门的领导;
②根据公司应急处置工作的需要,向集团公司有关职能部门提出援助请求;
③指挥、协调网络与信息系统突发事件的抢险救援、恢复重建工作,执行公司相关决策和部署;2公司网络与信息系统事件处置领导小组办公室职责
①落实网络与信息系统处置领导小组下达的各项任务;
②协调公司各专业部门开展应急处置工作;
③负责与集团公司主管部门沟通,汇报相关应急工作;
④开展信息搜集、统计汇总及上报工作;3公司相关部门职责
①综合部负责网络与信息系统失泄密事件处置,负责失泄密事件应急处置中与集团办公室协调
②安监部负责应急处置过程中的安全监督管理工作
③物资经营部负责网络与信息系统应急物资招标采购工作
④发展策划部:落实公司网络与信息系统突发事件处置领导小组各项指示要求,牵头组建公司网络与信息系统突发事件处置领导小组办公室,组织开展应急值班,接收、分析、报送和发布事件信息,提出应急处置建议,并负责网络与信息系统恢复、抢修的组织、协调工作
⑤其他相关部门协助开展相关信息系统应急处置工作,完成公司网络与信息系统事件处置领导小组交办的各项工作第七条办公计算机要按照国家信息安全等级保护的要求实行分类分级管理,根据确定的等级,实施必要的安全防护措施信息内网办公计算机部署于信息内网桌面终端安全域,信息外网办公计算机部署于信息外网桌面终端安全域,桌面终端安全域要采取安全准入管理、访问控制、入侵监测、病毒防护、恶意代码过滤、补丁管理、事件审计、桌面资产管理、保密检测、数据保护与监控等措施进行安全防护第八条加强办公计算机信息安全管理一办公计算机、外设及软件安装情况要登记备案并定期进行核查,信息内外网办公计算机要明显标识;
(二)严禁办公计算机“一机两用”(同一台计算机既上信息内网,又上信息外网或互联网);
(三)办公计算机不得安装、运行、使用与工作无关的软件,不得安装盗版软件;
(四)办公计算机要妥善保管,严禁将办公计算机带到与工作无关的场所;
(五)禁止开展移动协同办公业务;
(六)信息内网办公计算机不能配置、使用无线上网卡等无线设备,严禁通过电话拨号、无线等各种方式与信息外网和互联网络互联,应对信息内网办公计算机违规外连情况进行监控;
(七)公司办公区域内信息外网办公计算机应通过本单位统一互联网出口接入互联网;严禁将公司办公区域内信息外网办公计算机作为无线共享网络节点,为其它网络设备提供接入互联网服务,如通过随身WIFI等为手机等移动设备提供接入互联网服务;
(八)定期对办公计算机企业防病毒软件、木马防范软件的升级和使用情况进行检查,不得随意卸载统一安装的防病毒(木马欺件;
(九)定期对办公计算机补丁更新情况进行检查,确保补丁更新及时;
(十)定期检查办公计算机是否安装盗版办公软件;
(十一)定期对办公计算机及应用系统口令设置情况进行检查,避免空口令,弱口令;
(十二)采取数据保护与监管措施对存储于信息内网办公计算机的企业秘密信息、敏感信息进行加解密保护、水印保护、文件权限控制和外发控制,同时对文件的生成、存储、操作、传输、外发等各环节进行监管;
(十三)采用保密检查工具定期对办公计算机和邮件收发中的信息是否涉及国家秘密和企业秘密的情况进行检查;
(十四)加强数据接口规范,严禁修改、替换或阻拦防病毒(木马1桌面终端管理等报送监控数据接口程序第九条加强对办公计算机使用人员的管理,开展经常性的信息安全教育培训,提高办公计算机使用人员的信息安全意识与技能第十条加强外来人员和第三方人员对办公计算机使用的管理,对外来人员和第三方人员使用办公计算机进行审批,加强外来人员和第三方人员使用办公计算机的监督与审计第十一条办公计算机及外设的使用人员离岗离职,人员所在原部门不得对其办公计算机及外设擅自进行处理,要及时报运行维护部门对存储的企业秘密信息、敏感信息进行清理后清退至固定资产管理部门,并取消离岗离职人员办公计算机及应用系统的访问权限第十二条加强安全移动存储介质管理(-)公司安全移动存储介质主要用于涉及公司企业秘密信息的存储和内部传递,也可用于信息内网非涉密信息与外部计算机的交互,不得用于涉及国家秘密信息的存储和传递;
(二)安全移动存储介质的申请、注册及策略变更应由人员所在部门负责人进行审核后交由发展策划部办理相关手续
(三)禁止将安全移动存储介质中涉及公司企业秘密的信息拷贝到信息外网或外部存储设备;应定期对安全移动存储介质进行清理、核对;第十三条本规范由公司发展策划部负责解释第十四条本规范自颁发之日起执行。