还剩39页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
信息安全管理制度提示新建时可以基于策略模板来快速定义您需要的箫略出施择策略模板]内容安全*)
二、互寐网访问制度申请互联网访问终端安全要求需要互联网访问的所有计算机必须符合终端标准化要求,终端必须通过域控进行统一管理,必须安装统一安全管理软件(桌面管理软件、防病毒软件等)并且定期更新需要互联网访问的所有计算机操作系统必须保持补丁更新.需要互联网访问的所有计算机必须安装符合标准软件清单中的软件,不得安装与工作无关的软件、严禁安装盗版软件2互联网访问管理基本原则互联网访问人员必须遵守国家的法律法规相关规章制度要求在利用互联网资源时,应该遵守社会道德和公共秩序,不得通过互联网从事危害公共安全、损害公众利益、侵害他人正当权益、窃取或者泄露他人秘密以及有损道德规范的活动,也不得通过互联网查阅、复制或者在网上发布、传播含有上述内容的信息在使用互联网的过程中必须接受国家安全机关、公安机关、保密机关、上级网络管理单位依照有关法律、法规和管理规定进行管理和监督互联网访问行为管理1对于接入互联网的员工,禁止工作时间浏览与工作无关的网站,禁止在任何时间浏览不健康的网站,禁止下载、安装具有破坏性的程序或代码2禁止私自在计算机上安装任何非本部门部署的安全防护软件如防火墙、病毒防护、入侵检测、防木马、防间谍、注册表修改等软件;3部门成员不得利用国际互联网危害安全,泄漏秘密,不得侵犯社会、集团的利益和公民的合法权益,不得从事违法犯罪活动;4所有计算机不得安装或下载股票软件进行炒股,不得安装游戏软件等与工作无关的软件,严禁进行与工作无关的操作,严禁上班时间非工作原因浏览互联网5禁止在互联网访问含有下列内容的信息反对宪法所规定的基本原则的;危害国家安全,泄露国家机密,颠覆国家政权,破坏国家统一的;损害国家荣誉和利益的;煽动民族仇恨、民族歧视,破坏民族团结的;破坏国家宗教政策,宣扬邪教和封建迷信的;散布谣言,扰乱社会秩序,破坏社会稳定的;散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;侮辱或者诽谤他人,侵害他人合法权益的;含有法律、行政法规禁止的其他内容的;6禁止打开不明来历、来意的电子邮件,应立即删除该邮件;7禁止私自将外单位的计算机连入网络
三、研发信息安全制度开发中软件和源代码的安全管理.除因工作需要外,禁止任何人持有、复制项目软件源代码,禁止任何人外借或对外复制项目属软件源代码.信息系统开发所使用的操作系统、数据库、开发工具软件等必须是授权使用的软件,严禁使用非授权软件.信息系统采用的关键技术措施和核心安全功能设计应严格控制发放范围,对于自行编制的加密算法应采用二次加密控制并由不同人员分别编程实现对重要的秘密资源如源程序、目标码等应严格设置访问权限控制.对应用系统的编译过程进行严格监督,确保经正确编译的软件版本最终生成运行代码,并保证运行代码的完整性、安全性.严格控制软件版本的管理,确保信息系统开发过程源代码和执行代码的一致性和正确性.开发人员只允许访问测试环境,并且仅能在安全测评的环节中访问生产环境,避免数据的泄露
四、云平台运维制度1目的XXX公司所使用公有云包括阿里云和华为云阿里云和华为云作为laas平台为公司提供基础设备服务,即服务器、数据库、网络、存储和安全服务等,为公司停车业务平台提供硬件基础为规范系统的公有云资源管理,明确工作职责,从而保证单位停车业务系统稳定、可靠地运行2适用范围部门对公有云实行统一管理、归口负责的管理原则技术研发部负责华为云和阿里云账号及资源维护管理工作3职责技术研发部是公有云管理执行部门,其职责是
1、负责对所有省级阿里云账号和各地市及国运华为云账号进行账号维护管理,应设置云运维管理员若干名,由XXX部门负责
2、负责对所有阿里云和华为云根据所涉及业务进行IAM子账号划分并对其进行分发、监督、管理.负责对各个云资源账号中所有安全相关资源进行监督管理,如安全组、堡垒机、云防火墙等安全服务.负责公有云账号安全巡检,并建立云资源安全运行台账;.建立云资源台账,每月对所有已有资源进行统计汇总,并记录每一笔资源续费记录;4公有云账号管理部门设置华为云资源账号总管理员,由技术研发部负责人担任总管理员拥有最高权限,可以通过一个手机号认证的总账号登录所有子账号,并可以对所有云资源进行概览、编辑等设置权限管理员,由信息运维组运维副组长担任,可通过不同的账号登录每一个云资源账号的总账号,拥有账号的所有权限,负责规划、定制所有IAM子账号及其所属项目划分,做好IAM子账号划分后分发给各家厂商,通过IAM子账号登录管理相应项目资源注二十大之后将所有IAM子账号回收,由信息运维组统一规划账密后交由软件组分发使用,同时需建立账号分发台账,由信息运维组存档管理设置资源管理员,通过权限管理员发放的总IAM账号登录云资源账号,对所有云资源进行管控运维,同时对现有云资源进行汇总统计形成月报表和云资源台账,及时记录每笔新续费云资源,形成云资源续费记录;5安全服务管理根据部门网络安全需要和业务平台运行需要,所有云资源需申购配套安全服务按公司要求,在新建账号并申购云资源后,由云资源运维管理员配置相应安全服务,待业务项目人员将业务程序部署完成后,运维管理人员应督促项目人员将有关业务程序与相关安全服务绑定,保证业务运行在安全可靠的软硬件环境下对于业务平台安全组,根据公司网络安全要求,需对其开放端口做出严格规定,IAM收回安全组权限,如需开放端口,需填端口开放使用表,由安全运维小组审核后予以开通以此来保证主机安全防护杜绝严重漏洞的出现定期对平台服务器进行漏扫,对于高危漏洞须当日内修复,中危漏洞三日内修复6安全巡检管理云运维管理员应对所有云资源账号进行安全巡检,由XXX部门人员担任运维管理员,巡检周期为每周一次以上,巡检内容包括但不限于主机安全组合规检查、端口暴露、漏洞扫描等已购安全服务所包含安全内容若发现异常情况,云运维管理员应及时采取相关措施进行处置;或报告有关部门,并跟踪处置结果,直至异常情况排除
五、电子文档安全制度.电子文档是指在计算机系统中生成、存储、处理的单位内部的文件、图纸、程序、数据、声像资料等.电子文档的级别按其所属项目的最高密级界定,其生成者应按密级级别界定要求标定其密级,并将文件存储在规定的目录和指定的加密移动硬盘中.工作人员应根据各自工作范围在涉密计算机系统中创建“A级文件”、“B级文件”、“C级文件”三个目录,将系统中的电子文档分别存储在相应的目录中,根据密级使用专用加密软件进行不同加密方式暂时保存,电子文档形成完整文件后,应立即转移到涉密专用移动硬盘进行存储、备份,并将涉密文件夹使用专用工具清除制作处理涉密信息时,严禁使用“我的文档”和剪贴板处理涉密信息,设置关机时自动清理缓存秘密信息的计算机不得直接接入互联网.电子文档要有密级标识,电子文档的密级标识不能与文档的正文分离,一般标注于正文前面.某项工作任务结束,所有电子文档必须及时、完整、真实、准确地备份到不可更改的介质上,并由技术部指定专人集中保存,然后使用专用工具从计算机上将涉密信息彻底清除.涉密业务部门自用信息资料要定期做好备份,备份介质必须标明备份日期、备份内容以及相应密级,严格控制知悉此备份的人数做好登记后放进保密柜保存.对备份电子文档进行规范的登记管理备份介质必须采用经授权使用的加密工具和加密移动硬盘或其他介质.对涉密文档借阅和资料的备份数量严加控制未经许可严禁私自复制、转储和借阅对存储涉密信息的磁介质应当根据有关规定确定密级及保密期限,并视同纸制文件,分密级管理,严格执行借阅、使用、保管及销毁制度.备份文件和资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施,并进行异地备份.部门产生的商业秘密、内部事项、尚未发表的知识产权成果、委托方及合作伙伴商业秘密信息的文件、资料和其他物品,须按规定标明密级和保密期限.公开出版发行的书刊、简报、音像制品、电子出版物和用于公开交流的学术论文、图文资料以及公开发布的信息(包括在非保密网上发布的信息)不得涉及秘密信息
六、信息系统安全管理制度信息系统安全包括软件安全和硬件网络安全两部分技术部人员必须采取有效的方法和技术,防止信息系统数据的丢失、破坏和失密;硬件破坏、失效等灾难性故障对系统用户的访问模块、访问权限由使用单位负责人提出,交信息安全领导小组办公室核准后,由技术部人员给予配置并存档,以后变更必须报批后才能更改,技术部做好变更日志存档系统管理人员应熟悉并严格监督数据库使用权限、用户密码使用情况,定期更换用户口令或密码网络管理员、系统管理员、操作员调离岗位后一小时内系统管理分管领导监督检查更换新的密码;厂方调试人员调试维护完成后一小时内,由系统管理员关闭或修改其所用帐号和密码技术部人员要主动对网络系统实行监控、查询,及时对故障进行有效隔离、排除和恢复工作,以防灾难性网络风暴发生网络系统所有设备的配置、安装、调试必须由技术部人负责,其他人员不得随意拆卸和移动上网操作人员必须严格遵守计算机及其他相关设备的操作规程禁止其他人员进行与系统操作无关的工作严禁自行安装软件,特别是游戏软件,禁止在工作用电脑上打游戏所有进入网络的软盘、光盘、U盘等其他存贮介质,必须经过计算机中心负责人同意并查毒,未经查毒的存贮介质绝对禁止上网使用,对造成“病毒”蔓延的有关人员,将对照《计算机信息系统处罚条例》进行相应的经济和行政处罚在部门还没有有效解决网络安全(未安装防火墙、高端杀毒软件、入侵检测系统和堡垒主机)的情况下,内外网独立运行,所有终端内外网不能混接,严禁外网用户通过U盘等存贮介质拷贝文件到内网终端内网用户所有文件传递,一律通过网上办公系统和FTP服务器专门的上载、下载区进行,不得利用软盘、光盘和U盘等存贮介质进行拷贝保持计算机硬件网络设备清洁卫生,做好防尘、防水、防静电、防磁、防辐射、防鼠等安全工作技术部人员有权监督和制止一切违反安全管理的行为
七、信息系统密码管理规定.各岗位操作权限要严格按岗位职责设置,各岗位操作必须使用密码对用户的身份进行验证,防止对系统资源的未经授权的存取访问.主机系统、存储系统、数据库系统、核心应用中间件系统和关键网络及安全设备(如路由器、防火墙等)的口令必须由专人掌管,并要求定期更换按分别管理、共同负责的原则,由不同人员掌握服务器操作系统、数据库管理系统、中间件系统和关键网络、安全管理系统密码.在线运行的系统或设备,不允许使用初始密码或默认密码一般系统密码长度不得小于6位,重要系统密码不得少于8位,并且必须由字母、数字和特殊符号组成,具有一定的复杂性.定期更换口令口令的最长使用时间不能超过半年,人员复杂、保密条件较差的应尽可能缩短口令的使用时间当口令使用期满时应更换新的口令.用户应记住自己的口令,不应把它记载在不保密的媒介物上或告知他人,严禁将口令贴在终端上
八、信息系统数据备份与恢复管理规定数据备份方式.数据备份应根据系统情况和备份内容,采用不同的备份方式:1完全备份对备份的内容进行整体备份2增量备份仅备份相对于上一次备份后新增加和修改过的数据3差分备份仅备份相对于上一次完全备份之后新增加和修改过的数据4按需备份仅备份应用系统需要的部分数据.为确保所备份的内容可再现系统的运行环境,数据备份内容应目录第一章总则3第二章信息安全管理机构及其职责3第三章人员管理4第四章网络信息安全管理6
一、内部局域网使用制度6
二、互联网访问制度10
三、研发信息安全制度12
四、云平台运维制度13
五、电子文档安全制度15
六、信息系统安全管理制度17
七、信息系统密码管理规定18
八、信息系统数据备份与恢复管理规定19第五章硬件设备安全22
一、设备安全管理制度22
二、便携机安全制度22
三、办公设备安全制度24
四、介质安全管理制度25
五、中心机房安全管理制度27
六、超融合服务器管理制度30第六章有关应急预案31
一、机房漏水应急预案31
二、设备发生被盗或人为损害事件应急预案31
三、机房长时间停电应急预案31
四、通信网络故障应急预案32
五、不良信息和网络病毒事件应急预案32
六、服务器软件系统故障应急预案32
七、黑客攻击事件应急预案32
八、核心设备硬件故障应急预案33第七章网络信息安全表格34
一、设备安全管理相关表格34
二、介质安全管理相关表格35
三、中心机房安全管理控制相关表格37
四、云平台相关表格40包括所有关键业务数据.备份数据可选择硬盘、光盘、磁带等存储介质,要确保备份数据的可恢复性存储介质应存放在远离磁性、辐射性的安全环境2数据备份与恢复的管理.应建立健全数据备份与恢复的管理制度,明确备份与恢复的工作流程,完善数据备份与恢复的技术措施,采取有效的安全运行技术方案,保证数据安全.应根据各种数据的重要性及其容量,制订数据备份与恢复策略:确定应用系统的备份内容、备份的方式、备份存储介质、备份周期和保留周期等内容.各办公终端数据备份由该办公终端使用者负责,定期使用备份介质进行数据备份.建立备份文件档案及档案库,详细记录备份数据的信息要做好数据备份的文卷管理,所有备份应有明确标识,包括卷包、运行环境、备份人.数据备份至少应保留两份拷贝,一份在现办公地址保存,以保证数据的正常快速恢复和数据查询,另一份异地保存,避免灾难发生后数据无法恢复.定期对长期保存的备份进行校验,以防止在需要时备份不可用的情况发生校验应使用专业的校验工具进行.对备份磁带要进行有效安全的保护应随时将磁带库上锁,同时,在可能的情况下防止非相关人员接触备份系统应该严密保存备份系统管理者的口令,以防止有人无意或恶意对备份系统进行破坏.异常事件发生后,应做到认真分析事件发生的原因,形成事件分析报告;依据分析报告,制订恢复计划;对现有的数据作相应的备份,以防止在恢复的过程中发生更进一步的错误;同时与有关部门进行沟通和通知有关部门进行恢复前的准备工作.恢复计划应包括恢复的内容、恢复的时间、恢复的操作步骤、恢复对应用造成的影响等因素此计划应得到主管负责同志批准.进行恢复操作前,备份系统管理者与相应系统管理者应再次确认恢复计划的可行性及造成的后果,确认无误后进入到实际的恢复操作进行恢复操作时应将每一步的执行过程记录下来恢复操作后必须测试数据恢复的结果;对恢复后的系统进行相应备份;将执行恢复操作的操作及管理者、恢复操作的时间、过程、完成的状况等情况形成恢复操作报告;同时通知相应部门恢复有关的应用.事件分析报告、恢复计划、恢复操作报告应编号存档.对关键业务系统,定期进行数据库恢复演习第五章硬件设备安全
一、设备安全管理制度1职责技术部负责编制、修改本程序文件,按照相关法律法规对设备进行管理,同时负责设备的选型采购,建账立卡,建档等;负责设备的使用,维修管理环节的监督检查指导技术部需设置1名设备管理员,负责施工现场的设备管理及参与选型,负责各项管理制度和技术措施的具体落实;监督本单位设备的安全使用,维修、保养和管理等工作2设备的标识机房设备与多媒体设备进行统一编号,除设备型号、购买日期、承载业务进行标志外,还需要对该设备的重要程度、运行状态、责任人进行直观标识;设备主体及附属设备或由数个部分组成的设备,均编同一号码;
二、便携机安全制度1措施方法.便携式计算机使用部门为安全保密直接责任部门,使用人为安全保密直接责任人.便携式计算机在使用时须做到专机专用、专人负责,由XXX公司技术部授权后使用.处理涉及单位秘密信息的便携式计算机为涉密便携式计算机须按照涉密计算机管理规定严格管理,并按其所涉及的秘密等级进行统一密级标识,不得降低级别使用.涉密便携式计算机实行申报登记制度拟用于处理单位秘密信息的便携式计算机必须进行申报登记凡未进行申报登记的便携式计算机均属非涉密计算机,严禁用于处理单位秘密信息申报登记涉密便携式计算机,报技术部审批,方可启用.涉密便携式计算机必须设置开机密码,口令长度不少于8位口令一般应是大小写与英文字母、数字和字符中两者以上的组合,更换周期不得长于一个月.涉密便携计算机使用时必须设置屏幕保护密码,设置时间为一分钟.涉密便携式计算机内不能存储涉密信息,处理涉密信息应直接在移动存储介质中加密处理,严禁使用涉密便携式计算机上国际互联网或其它公共信息网.涉密便携计算机不得开通无线网络设备,确实需要使用无线网络的,经技术部批准后,采取相应密级的无线加密方式进行通信控制.接入国际互联网的便携式计算机,必须与涉密计算机实行严格的物理隔离,并要做到专机专用,不得处理或存储任何涉密信息,不得连接任何涉密移动存储介质,不得单位涉密信息网.在便携式涉密计算机、涉密移动存储介质上处理的各类涉密信息(文档、图表、数据等)应在电子文档首页左上角标注密级标识标注密级标识影响程序正常运行的应在文件或文件名称后标注.严禁在涉密便携计算机中安装使用与工作无关的执行程序不得安装QQ等即时通讯软件.使用涉密便携式计算机(含打印机等外部设备)处理涉密信息时必须使用隔离保护插座供电.涉密便携式计算机因使用人员岗位变动、到期更换、使用期满等原因交回时,原使用人员应使用专用清除工具将便携式计算机内所有信息清除干净,交由技术部对便携式计算机进行检查、确认后妥善保管或重新分配
三、办公设备安全制度.打印机、复印机、扫描仪、光盘刻录机管理技术部的打印机、复印机、扫描仪和光盘刻录机均应由技术部统一编号备案,涉密办公设备应根据相应级别进行标识网络共享打印机不得打印涉密文件和资料,经常处理密级文档的打印机、复印机应配置碎纸机,打印、复印的废页应及时销毁.普通电话、无线电话(手机)、对讲机、传真机管理承担秘密任务的单位,一律禁止使用子母电话机禁止使用普通电话、无线电话(手机)谈论涉密内容重要涉密会议等涉密场所禁止携带手机,其场所应采取电磁干扰防护措施在涉密场所使用对讲机应采用密语传真机分为密码传真机和普通传真机密码传真机设在XXX公司技术部指定位置并采取严格保密措施,各单位普通传真机必须落实保密责任人涉密信息必须通过密码传真机传递,严禁使用普通传真机传递涉密事项涉密传真机应尽量使用国产品牌,必须杜绝联网.录音机、无线话筒涉密会议禁止录音,确因工作需要录音的应事先征得会议主持人的同意严禁在涉密会议上使用无线话筒
四、介质安全管理制度1存储介质使用前部门存储介质要进行编号,介质使用前,必须由技术部建立《存储介质台账》,对介质进行注册授权使用,并由唯一持有人管理,严格控制使用范围,确保未授权存储介质在本单位计算机上无法使用未授权的个人计算机和移动介质不得带入工作场所2存储介质的使用由责任持有人向技术部申请,填写《存储介质使用申请表》,办理领发登记、备案手续,并及时汇报使用情况对重要介质中的数据和软件应采取加密存储,并根据所承载数据和软件的重要程度对介质进行分类和标识管理因工作需要必须带出工作区的,需到经相关部门向技术部提出申请,经技术部批准方可实施,返回后按规定保管严禁携带存储介质游览、参观、探亲、访友和出入公共场所复制存储介质时须经相关部门向技术部申请,按批准数量和制定方法实施,复制前详细填写《存储介质复制情况登记表》,注明复制内容、使用范围、复制数量及发放登记,复制介质要赋予不同编号,进行相应标识,按照正本介质同等管理因工作需要使用涉密移动存储介质向有关单位提供信息的,应由有关部门向技术部申报,批准后方可实施,提供信息时必须一事一盘(可用光盘)严禁提供与该项工作无关的其他信息,传递时应进行检查
(3)存储介质的保管存储介质的保管环境应做好防潮防尘防磁,存储介质及存储介质有关文档由技术部授权专人进行保管,保管员需每天检查存储环境,严格做好相关记录,并每半年对介质的有效性进行检测,并向技术部汇报存储介质使用情况,如遇特殊情况第一时间向技术部报告并及时采取应对措施
(4)存储介质的维修存储介质发生故障需要维修时,应由责任持有人填写《介质维修申请表》,经相关部门向技术部申请批准后,在保证信息完整安全的情况下,由技术部指定专人维修确需外送维修的要经相关部门向技术部申请,批准后送具有相关资质的维修单位维修,维修时要由单位指定人员和责任持有人同时在场监督,并详细填写《介质维修登记表》
(5)存储介质的报废不再使用的存储介质或报废的存储介质,删除介质内的数据,由技术部指定专人集中销毁,并做好登记
五、中心机房安全管理制度1机房设备管理机房设备是指在机房内运行的服务器、PC机、路由器、交换机、加密机、防火墙等网络和系统设备,以及UPS、机柜、空调、消防器材等设施制定机房设备维护计划,对设备维护的项目、步骤、周期、责任人等进行明确的规定严格按照设备维护计划进行设备的保养和维护做好设备维护记录提供机房设备的技术支持,定期对计算机设备的接地系统、避雷系统、供配电系统、及运行情况进行监测、检查和记录,及时掌握设备的运行状况建立机房运行设备维护档案,详细记录设备的基本情况、故障现象、故障分析、维修过程、处理结果等内容各个机房应设立统一格式的设备运行管理台账台账内容应包括设备购置日期、名称、型号、配置、序列号;操作系统和数据库版本;设备用途和状态;技术支持单位、联系人、联系方式等当机房设备发生变化时,机房管理员应及时记载、更新设备台账的有关信息,并及时备案,动态反映机房设备实际情况机房设备是单位重要的信息化资源,对于进入和离开机房的设备需要经机房技术部门审批并做好设备出入机房登记任何单位、个人不得外借、出租,不得用于单位规定以外的、或与单位经营管理无关的用途为了提高资源利用率,各机房的闲置设备,可由技术部视实际情况,建议在系统内调剂使用需要调剂设备时,技术部应书面建议设备使用单位、部门,由设备使用单位、部门按单位规定的权限办理内部调拨手续,经批准后方可进行设备调剂因设备性能无法满足运行需求,或超过使用期限,需更新、报废时,机房管理员应按单位固定资产管理的有关规定办理更新、报废手续未经批准,任何单位、个人不得处置、出售机房设备为防止信息泄密,更新、报废的机房设备在实物处置前,机房管理员应对被处置设备进行检查,对可能造成信息泄密的部件如硬盘、磁盘阵列等,进行信息清除,并作物理破坏;对可利用的部件,应先行拆卸,分类保存备用2机房出入管理机房是网络和系统设备运行区域,是单位计算机信息系统的重要节点,除机房管理员、信息系统维护人员和有关维护维修人员,其它人员未经批准一律不得擅自进入机房出入实行登记制度各机房应设立机房出入登记簿,详细记载人员出入情况维护人员因维护需进入机房的,应事先向机房管理员申请,说明事由和工作内容,并在出入登记簿上登记签字,经机房管理分管领导签字同意后方可进入机房外来维护人员在机房工作期间,机房管理员或系统管理员必须全程监督,记录维护人员的维护操作,检查确认维护结果未经许可,任何人不得参观机房,不得对机房进行拍照、摄像确因工作需要须参观机房的,应向信息部门书面申请,经信息部门负责人审批后方可进入3机房环境管理机房环境应保持整洁,设备摆放规范有序,温度、湿度适宜,设备无尘,无鼠害不得在机房堆放无关物品;严禁将水、食物带入机房;不得在机房接待访客,聚众聊天机房门窗应密封良好,平时必须关闭,工作人员进入机房时应穿上鞋套,防止空气或外来粉尘污染机房管理员应每日清洁机房环境;无人值守的机房每周一次清洁机房环境每月不少于一次全面打扫卫生,保持机房环境和设备的整洁维护维修人员在机房实施维护后,机房管理员或系统管理员应进行清场,并对机房设备和环境进行检查,及时清洁环境或相关设备4机房巡检机房管理员应例行机房环境及设备巡检,每日两次,上班后、下班前各一次;平时无人值守的机房,应每周巡检一次巡检结果和异常情况处置,机房管理员应以电子文档形式记录在案巡检时应检查机房温度、湿度,设备的工作状态,机房环境是否正常若发现异常情况,机房管理员应及时采取相关措施进行处置;或报告有关部门,并跟踪处置结果,直至异常情况排除5机房安全管理机房内电器线路布线应符合相关规范,严禁私接、乱拉电线,防第一章总则第一条为规范XXX公司技术研发部(以下简称“部门”或“本部门”)信息安全建设和网络运行管理水平,保障部门内部信息系统系统稳定、高效、安全地运行制定本制度第二条本部门的信息安全规划与建设、信息安全人员管理、机房网络安全管理、系统建设与维护管理、设备管理、备份管理等均适用本办法第三条任何组织或个人,不得利用部门信息从事危害国家利益、集体利益和公民合法利益的活动第二章信息安全管理机构及其职责第四条信息安全小组作为公司信息安全系统规划、建设和管理的专门部门,对部门信息安全工作实行归口管理,主要职责包括:
(一)负责部门信息安全系统总体规划设计并组织实施;
(二)负责机房、网络系统日常管理和安全维护行为;
(三)负责制定信息安全系统管理工作的各项规章制度;
(四)保障部门内部各信息系统的安全运行;
(五)审核部门信息安全工作人员的任职资格;
(六)负责信息安全工作人员的培训和考核;
(七)负责计算机硬件与软件的选型;(A)审核计算机硬件设备的购置、报损、报废;
(九)负责部门计算机软件系统的开发与购置;(+)负责部门重要业务系统及业务数据的备份管理;
(十一)负责部门信息安全文档资料的管理;止因电器线路短路引起失火机房内严禁使用明火,严禁使用各类取暖器,严禁携入、存放易燃、易爆物品机房应配置相应的灭火器材,并定期检查,保持有效机房大门门锁应坚固可靠,机房内设置门禁系统机房因改造、维修等需动火的,施工技术部门应按单位有关规定,办理动火申请,经批准并落实现场防火措施、监护人员后,方可实施动火
六、超融合服务器管理制度设置超融合服务区管理员,建立超融合服务器台账,记录服务器中所有虚拟机资源的创建时间、虚拟机规格、IP地址及其创建原因,确保能精准管控到服务器中所有的虚拟资源建立虚拟机创建记录表记录每次新增服务器的申请人和用途,并经申请人书面签字留档超融合管理员应例行超融合巡检,一周三次,周
一、周
三、周五各一次;对服务器中各软硬件模块的诊断结果进行记录,同时对服务器所有核心、内存及硬盘存储余量进行统计,若发现异常情况,管理员应及时采取相关措施进行处置或报告有关部门,并跟踪处置结果,直至异常情况排除第六章有关应急预案一>机房漏水应急预案⑴发生机房漏水时,第一目击者应立即通知技术部,接报后应立即前往事发地⑵若空调系统出现渗漏水,应立即通知大厦工程部进行处理,并及时清除机房积水⑶若墙体或窗户渗漏水,应立即采取有效措施确保机房安全,同时通知大厦物业管理处及工程部,及时清除积水,维修墙体或窗户,消除渗漏水隐患
二、设备发生被盗或人为损害事件应急预案⑴发生设备被盗或人为损害设备情况时,使用者或管理者应立即报告技术部,同时保护好现场⑵接报后,通知安保部门、技术部,一同核实审定现场情况,清点被盗物资或盘查人为损害情况,做好必要的影像记录和文字记录⑶事发部门和当事人应当积极配合相关部门进行调查⑷技术部、事发单位及时恢复设备正常运行,并对事件进行调查
三、机房长时间停电应急预案⑴接到长时间停电通知后,应及时部署应对具体措施,要求用户在停电前停止业务、保存数据⑵及时与大厦工程部联系,启动备用发电设备,保证信息系统正常运行
四、通信网络故障应急预案⑴发生通信线路中断、路由故障、流量异常、域名系统故障后,操作员应及时通知技术部⑵应及时查清通信网络故障位置,隔离故障区域,并通知相关通信网络运营商查清原因;同时及时组织相关技术人员检测故障区域,逐步恢复故障区与服务器的网络联接,恢复通信网络,保证正常运转
五、不良信息和网络病毒事件应急预案⑴发现不良信息或网络病毒时,信息系统管理员应立即断开网线终止不良信息或网络病毒传播⑵技术部采取隔离网络等措施,及时杀毒或清除不良信息,并追查不良信息来源
六、服务器软件系统故障应急预案⑴发生服务器软件系统故障后,立即组织人员检查出现故障的原因并尽快排除⑵如遇重大故障不能解决时,应立即联系软件开发单位或设备供应单位共同查找原因,了解故障程度,着手抢修⑶如果超过2个小时还未修复完毕,严重影响了业务工作的正常进行,应通知相关业务单位采用其他方式尽力完成业务工作,待系统修复后输入业务系统并做解释工作4如遇数据库损坏等重大事故时,应小心将备份文件还原,避免重要数据的丢失
七、黑客攻击事件应急预案⑴当发现网络被非法入侵、网页内容被篡改,应用服务器上的数据被非法拷贝、修改、删除,或通过入侵检测系统发现有黑客正在进行攻击时,使用者或管理者应断开网络
(2)接报告后,立即指令技术部核实情况,关闭服务器或系统,修改防火墙和路由器的过滤规则,封锁或删除被攻破的登陆帐号,阻断可疑用户进入网络的通道⑶技术部应及时清理系统,恢复数据、程序,恢复系统和网络正常
八、核心设备硬件故障应急预案⑴发生核心设备硬件故障后,技术部应及时组织查找、确定故障设备及故障原因,进行先期处置⑵若故障设备在短时间内无法修复,技术部应启动备份设备,保持系统正常运行;将故障设备脱离网络,进行故障排除工作⑶技术部应在故障排除后,在网络空闲时期,替换备用设备;若故障仍然存在,立即联系相关厂商,认真填写设备故障报告第七章网络信息安全表格
一、设备安全管理相关表格计算机信息系统安全专用产品台账
二、介质安全管理相关表格存储介质台账存储介质使用申请表存储介质复制情况登记表介质维修申请表
三、中心机房安全管理控制相关表格机房设备运行台账机房出入登记簿机房巡检表
(十二)负责对部门内部的信息安全系统、网络运行、安全、服务质量进行定期或不定期的专项检查,对优秀的部门进行表扬不力的部门进行通报;
(十三)完整、准确地记录信息系统的运行日志,记录发生异常时的现象、时间、处理方式等内容并妥善保存有关原始资料,发生技术事故按规定上报相关领导;
(十四)与上级对口的管理部门、通信公司及相关单位保持良好的沟通,确保部门内部信息技术系统的高效、先进和稳定;
(十五)公司授权的其它管理职能第三章人员管理第五条公司信息安全人员应具备以下条件
(一)遵纪守法,服从领导,遵守公司的规章制度;
(二)工作作风严谨,品行良好,正直诚实,具有良好的职业道德、工作责任心和服务意识;
(三)具有扎实的信息系统专业基础知识和较强的再学习能力;
(四)具有丰富的专业技术工作经验,良好的心理素质和快速反应能力,能应付突发事件并及时予以处理
(五)无不良品行记录第六条信息安全人员的聘用、调离和解聘
(一)拟聘信息安全人员必须经由技术研发部配合综合办公室统一进行的专业技术考核,合格后方可考虑录用;
(二)信息技术人员经业务培训合格后方可上岗;
(三)信息技术人员离岗时(包含不限于调离、解聘、辞职等情形,下同),必须按照公司规定妥善办理离任手续,以保证信息
四、云平台相关表格云资源台账系统系统运行的连续性和安全性被调离人员,必须配合公司做好有关交接工作在移交工作没有完成前,不准擅自离岗;
(四)在对信息技术人员作出离岗决定时必须同时取消离岗人员所有系统权限;
(五)重要岗位的信息技术人员离岗时,在办理离任手续时须由技术部研发会同法务部对离岗人员进行信息安全专项审计,只有在审计合格后方准离岗;
(六)离岗人员应对公司资料保密,如泄密造成损失要追究责任;
(七)对在特殊情况下离岗人员,必须在离岗决定通知本人的同时立即上交相关证件,退还全部技术资料,更换口令进行上述工作时须由技术研发部、稽核法务部、综合办公室派人陪同和监督完成上述工作后,离岗人员必须立即离岗,不得拖延;
(八)信息技术人员辞职必须提前一个月提出申请,在办理完毕离任手续获得批准后才允许离岗第四章网络信息安全管理
一、内部局域网使用制度
1.1公司内网规划1网络拓扑依据现网情况VLAN划分内部局域网使用规则1根据VLAN规定访问权限为了实现部门内部网络划分和规范管理,通过划分VLAN来规定不同用户的访问权限具体规定如下VLAN1OVLAN11VLAN15作为公司的无线网络专用端口其中VLAN10作为无线网络和无线万网络设备的管理端口,与部门其他VLAN之间互通,有权限访问内网;VLAN11作为部门员工日常WiFi提供网络,仅供内部员工使用,有权限访问内网,需要将mac地址ip绑定;VLAN15作为访客无线网络提供,需访客通过微信或手机号认证即可上网,且访客不可访问部门内部网络,且对访客上网发布内容进行敏感词拦截以及非法URL限制VLAN20作为部门内线电话专用端口,公司所有IP电话通过一个POE交换机汇聚到中心机房电话服务器,内部员工可实现同一局域网内通过IP话机无延迟通话VLAN70作为多媒体音视频分布式系统专用端口,公司的会议室
一、中控大厅和贵宾接待室所有音视频及分布式设备通过各自的交换机连接形成局域网,由中心机房分布式管理系统控制VLAN90作为部门内部普通员工上网用端口,可访问部门内部网络,但没有访问中心机房服务器的权限,同时对员工上网发布内容进行敏感词拦截以及非法URL限制;VLAN95作为技术研发部专用端口,可访问网络架构中所有VLAN或端口,以此来实现对所有设备的管理和运维;VLAN300作为中心机房超融合服务器内部端口,可用作服务区管理端口,为服务器内部创建的虚拟机分发网络地址;VLAN150作为业务虚拟机专用端口,为方便划分广播域,所创建业务相关虚拟机统一使用VLAN1502根据角色设定根据网络使用角色的属性对其权限进行划分如下部门常规上网,即普通员工日常办公网络需求,有线网络用户使用VLAN90无线网络用户使用VLAN11外部访客上网,使用VLAN15技术研发部研发人员,除日常上网外,有权限访问业务服务器同时有外部网络访问业务服务器需求,可通过向网络运维管理云申请开通相应外网端口部门设置网络安全管理员和运维人员,作为公司信息网络安全的日常维护人员,有以下责任和权限负责对公司网络进行规划和权限划分,即VLAN划分、ip地址划分、IP地址与mac地址绑定;负责内线电话维护;负责系统集成维护,包括分布式系统和会议系统等;负责网络设备维护,包括防火墙、上网行为管理和交换机等;负责机房维护和管理;负责超融合服务器管理,包括内部资源分配和监管内部局域网访问制度1内网访问网络权限为确认部门网络信息安全,创建一个绿色、安全的网络环境,对部门网络上网做一下要求联网计算机实行MAC地址于IP地址绑定一对一责任制,初次联网计算机使用人信息上网行为管理员给予登记计算机使用人调整或调机时使用人需要告知上网行为管理员,上网行为管理员对计算机使用人信息给予更改,及时更新严禁在网上共享和泄露部门战略计划、经营数据、业务资料、技术资料等部门机密严禁在网络上制作和传播敏感信息,严禁浏览非法网站,并在上网行为管理配置相应策略,进行监控和阻隔设置部门办公软件白名单,只允许安装与办公有关的白名单内软件2公网访问内网权限为确保部门内部网络安全,预防外部恶意攻击,确保部门信息安全,对外部网络访问内网作出以下规定如下图所示,防火墙基础配置为不允许任何外部网络进行访问修改安全策略defaultThisisthedefaultrule-NONE-清选择或输;<标銮源安全区域:any;目的安全区域:any;源地址州区:any;目的地址/地区:any;VLANID:any;用户:any;接入方式any:终端设备:any;服务any;应用:any;URL分类:any;时间段:any;记录流里日志NONE;命中同域流里:禁用:记录策略命中日志:禁用:记录会话日志:禁用;如有内部业务服务器需要放通部分策略,需向运维管理员通过邮件提出申请,明确业务服务器IP地址和需要开放的端口,运维管理员审批同意后,进行公网映射和安全策略为其开放专属通道如下图为技术部VPN所用策略常规设置名称描述策略组标签106vpr|*一NONE一▼请选择或输入标筌源与目的由源安全区域目的安全区域源地址/地区
⑦目的地址/地区
⑦VLANIDany▼侈选]修选]1-4094trust▼anyX□106X请输入VLANID用户与服务©用户
⑦接入方式
⑦终端设备
⑦“务
⑦应用anyX修选]侈选]anyXanyX£1194XanyX策略如果配置应用,会自动开启SAi只别功能功能开£后,会导致设备性能降低URL分类时间段anyX修选]any▼动作设置动作®允许O禁止购置日期名称型号配置列序号操作系统版本备途状设用和态术持位技支单系联人联系万式编号使用部门型号序列号使用范责任人在用状态备注编号使用部门型号序列号使用范围责任人编号复制内容复制数量序列号使用范发放登记备注编号故障原因报修人员维修厂家责任使用人报修时间备注购置日期名称型号配置列序号操作系统版本备途状设用和态术持位技支单系联人联系万式序号日期单位姓名联系方式事由进入时间离开时间息陪人签奈信部同员学领导审批机房巡检表巡检项系统运行状态温度℃湿度%叫故障记录服务器系统正常口异常口空调系统正常口异常口网络系统正常口异常目消防系统正常口异常口供配电系统正常口异常口入户配电箱正常口异常口巡检时间巡检人区域及场景部署情况现有云资源统计资源使用情况未使用云资源到期时间云资源费用(元)云资源类数量单位数量用途数量序号VLAN名称适用范围1VLAN10VLAN11VLAN15无线网络2VLAN20内网电话3VLAN70分布式4VLAN90办公网络5VLAN95技术研发部办公网6VLAN300虚拟机使用7VLAN100管理网络8VLAN150技术部业务虚拟机。