網(wǎng)絡(luò)數(shù)據(jù)和信息安全管理規(guī)范

XXXX有限公司

WHB-08

網(wǎng)絡(luò)數(shù)據(jù)和信息安全管理規(guī)范

版本號:

A/0

編制人：

XXX

審核人：

XXX

批準人：

XXX

20XX年X月X日發(fā)布

20XX年X月X日實施

目的計算機網(wǎng)絡(luò)為公司局域網(wǎng)提供網(wǎng)絡(luò)基礎(chǔ)平臺服務(wù)和互聯(lián)網(wǎng)接入服務(wù)。為保證公司計算機信息及網(wǎng)絡(luò)能夠安全可靠的運行，充分發(fā)揮信息服務(wù)方面的重要作用，更好的為公司運營提供服務(wù)，依據(jù)國家有關(guān)法律、法規(guī)的規(guī)定，結(jié)合公司實際情況制定本規(guī)定。

術(shù)語

本規(guī)范中的名詞術(shù)語（比如“計算機信息安全”等）符合國家以及行業(yè)的相關(guān)規(guī)定。

計算機信息安全是指防止信息財產(chǎn)被故意的或偶然的非授權(quán)泄露、更改、破壞或使信息被非法系統(tǒng)辨識，控制。即確保信息的完整性、保密性、可用性和可控性。包括操作系統(tǒng)安全、數(shù)據(jù)庫安全、病毒防護、訪問權(quán)限控制、加密與鑒別等七個方面。

狹義上的計算機信息安全，是指防止有害信息在計算機網(wǎng)絡(luò)上的傳播和擴散，防止計算機網(wǎng)絡(luò)上處理、傳輸、存儲的數(shù)據(jù)資料的失竊和毀壞，防止內(nèi)部人員利用計算機網(wǎng)絡(luò)制作、傳播有害信息和進行其他違法犯罪活動。

網(wǎng)絡(luò)安全，是指保護計算機網(wǎng)絡(luò)的正常運行，防止網(wǎng)絡(luò)被入侵、攻擊等，保證合法用戶對網(wǎng)絡(luò)資源的正常訪問和對網(wǎng)絡(luò)服務(wù)的正常使用。

計算機及網(wǎng)絡(luò)安全員，是指從事的保障計算機信息及網(wǎng)絡(luò)安全工作的人員。

普通用戶，是指除了計算機及網(wǎng)絡(luò)安全員之外的所有在物理或者邏輯上能夠訪問到互聯(lián)網(wǎng)、企業(yè)計算機網(wǎng)及各應(yīng)用系統(tǒng)的公司內(nèi)部員工。

主機系統(tǒng)，指包含服務(wù)器、工作站、個人計算機在內(nèi)的所有計算機系統(tǒng)。本規(guī)定所稱的重要主機系統(tǒng)指生產(chǎn)、辦公用的Web服務(wù)器、Email服務(wù)器、DNS服務(wù)器、OA服務(wù)器、企業(yè)運營管理支撐系統(tǒng)服務(wù)器、文件服務(wù)器、各主機系統(tǒng)等。

網(wǎng)絡(luò)服務(wù)，包含通過開放端口提供的網(wǎng)絡(luò)服務(wù)，如WWW、Email、FTP、Telnet、DNS等。

有害信息，參見國家現(xiàn)在法律法規(guī)的定義。

重大計算機信息安全事件，是指公司對外網(wǎng)站（電子公告板等）上出現(xiàn)有害信息；有害信息通過Email及其他途徑大面積傳播或已造成較大社會影響；計算機病毒的蔓延；重要文件、數(shù)據(jù)、資料被刪除、篡改、竊?。挥砂踩珕栴}引起的系統(tǒng)崩潰、網(wǎng)絡(luò)部分或全部癱瘓、網(wǎng)絡(luò)服務(wù)部分或全部中斷；系統(tǒng)被入侵；頁面被非法替換或者修改；主機房及設(shè)備被人為破壞；重要計算機設(shè)備被盜竊等事件。

組織架構(gòu)及職責(zé)分工

公司設(shè)立計算機信息及網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，作為公司計算機信息安全工作的領(lǐng)導(dǎo)機構(gòu)，統(tǒng)一歸口負責(zé)外部部門（政府和其他部門）有關(guān)計算機信息安全工作和特定事件的處理。

計算機信息及網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組負責(zé)領(lǐng)導(dǎo)、檢查、督促、制定信息安全策略、規(guī)章制度和措施，加強計算機信息安全工作的管理和指導(dǎo)，落實國家有關(guān)計算機信息安全的法律、法規(guī)和上級有關(guān)規(guī)定，保障公司的計算機信息的安全。

計算機信息及網(wǎng)絡(luò)安全工作實行“誰主管，誰負責(zé)”的原則，各部門負責(zé)人對本部門計算機信息及網(wǎng)絡(luò)安全負直接責(zé)任。

各部門必須配備由計算機技術(shù)人員擔(dān)任本部門的計算機及網(wǎng)絡(luò)安全員，并報公司計算機信息及網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組備案。各部門計算機及網(wǎng)絡(luò)安全員負責(zé)本部門計算機信息及網(wǎng)絡(luò)安全的技術(shù)規(guī)劃和安全措施的具體實施和落實。

相關(guān)崗位信息安全職責(zé)：

1）負責(zé)本部門計算機信息及網(wǎng)絡(luò)安全工作的具體實施，及時掌握和處理有關(guān)信息安全問題。

2）定期或不定期檢測本部門計算機信息及網(wǎng)絡(luò)安全情況，發(fā)現(xiàn)安全漏洞和隱患及時報告，并提出整改意見、建議和技術(shù)措施。

3）指導(dǎo)和監(jiān)督、檢查本部門員工在計算機信息安全防護、數(shù)據(jù)保護及賬號、口令設(shè)置使用的情況。

4）發(fā)現(xiàn)計算機信息安全問題，及時處理，保護現(xiàn)場，追查原因，并報部門計算機信息安全領(lǐng)導(dǎo)小組。

5）定期分析計算機安全系統(tǒng)日志，并作相應(yīng)處理。

6）驗證本部門重要數(shù)據(jù)保護對象的安全控制方法和措施的有效性，對于不符合安全控制要求的提出技術(shù)整改措施，對本部門的數(shù)據(jù)備份策略進行驗證并實施。

7）負責(zé)所管理的計算機主機系統(tǒng)及網(wǎng)絡(luò)設(shè)備的安全管理和安全設(shè)置工作。

8）負責(zé)所管理計算機主機系統(tǒng)和網(wǎng)絡(luò)設(shè)備的用戶賬號及授權(quán)管理。

9）定期分析操作系統(tǒng)日志,定期或不定期檢查系統(tǒng)進程，在發(fā)現(xiàn)異常的系統(tǒng)進程或者系統(tǒng)進程數(shù)量的異常變化要及時進行處理。

10）負責(zé)指導(dǎo)并督促用戶設(shè)置高安全性的賬號口令和安全日志。

11）進行計算機信息安全事件的排除和修復(fù)，包括操作系統(tǒng)、應(yīng)用系統(tǒng)、文件的恢復(fù)以及安全漏洞的修補。

12）在正常的系統(tǒng)升級后，對系統(tǒng)重新進行安全設(shè)置，并對系統(tǒng)進行技術(shù)安全檢查。

13）根據(jù)上級和本級計算機信息安全領(lǐng)導(dǎo)的要求，按照規(guī)定的流程進行系統(tǒng)升級或安全補丁程序的安裝。

14）管理本部門的計算機網(wǎng)絡(luò)服務(wù)和相應(yīng)端口，并進行登記備案和實施技術(shù)安全管理。

15）根據(jù)數(shù)據(jù)備份策略，完成所管理系統(tǒng)數(shù)據(jù)的備份、備份介質(zhì)保管、數(shù)據(jù)恢復(fù)工作。

1）自覺遵守計算機信息及網(wǎng)絡(luò)安全的法律、法規(guī)和規(guī)定。

2）負責(zé)所使用個人計算機設(shè)備及數(shù)據(jù)和業(yè)務(wù)系統(tǒng)賬號的安全。

3）發(fā)現(xiàn)本部門計算機網(wǎng)存在的安全隱患及安全事件，及時報告部門計算機管理部門。

4）不得擅自安裝、維護公司所有網(wǎng)絡(luò)設(shè)備（包括路由器、交換機、集線器、光纖、網(wǎng)線），不得私自接入網(wǎng)絡(luò)。

各部門應(yīng)保持計算機及網(wǎng)絡(luò)安全員的相對穩(wěn)定，并加強對計算機及網(wǎng)絡(luò)安全員的教育和技術(shù)培訓(xùn)。在計算機及網(wǎng)絡(luò)安全員調(diào)動、離職或者其他原因離開原崗位時，應(yīng)將其涉及的用戶賬號和權(quán)限及時進行變更或注銷。

系統(tǒng)安全規(guī)定

公司計算機機房由計算機管理部門負責(zé)管理，并建立出入登記和審批制度。攜帶計算機設(shè)備及磁盤等存儲介質(zhì)進、出主機房，應(yīng)經(jīng)主管部門同意，并由機房管理人員進行核查登記。

各部門計算機管理部門應(yīng)指定專人負責(zé)本部門計算機設(shè)備的管理，做好計算機設(shè)備的增添、維修、調(diào)撥等的審核與管理。計算機設(shè)備維修特別是需離場維修或承包給企業(yè)外部人員維護、維修時，應(yīng)核實該設(shè)備中是否存儲有涉及企業(yè)秘密、不宜公開的內(nèi)部資料和賬號、密碼等，如有應(yīng)采取拆卸硬盤、有效刪除有關(guān)資料等有效措施，防止泄密。

使用、操作計算機設(shè)備時，應(yīng)遵循以下安全要求：

1）保管好自己使用或所負責(zé)保管計算機設(shè)備的賬號、口令，并不定期更換口令，不得轉(zhuǎn)借、轉(zhuǎn)讓賬號。

2）不安裝和使用來歷不明、沒有版權(quán)的軟件，對于外來的軟件、數(shù)據(jù)文件等，必須先經(jīng)病毒檢測，確認無感染、攜帶病毒后方可使用。

3）不在個人使用的計算機上安裝與工作無關(guān)的軟件。

4）不擅自更改設(shè)備的IP地址及網(wǎng)絡(luò)拓撲結(jié)構(gòu)及軟、硬件配置。

5）在存儲有重要數(shù)據(jù)的計算機上，應(yīng)設(shè)置開機密碼、屏幕保護密碼。

6）在個人計算機上安裝防病毒軟件，并開啟實時病毒監(jiān)測功能，及時升級病毒庫和軟件。

7）非經(jīng)計算機管理部門的有效許可，不得對網(wǎng)絡(luò)進行安全（漏洞）掃描和對賬號、口令及數(shù)據(jù)包進行偵聽；不得利用網(wǎng)絡(luò)服務(wù)實施網(wǎng)絡(luò)攻擊、散布病毒和發(fā)布有害信息。在網(wǎng)絡(luò)設(shè)備及主機系統(tǒng)進行操作還應(yīng)該遵循有關(guān)網(wǎng)絡(luò)安全規(guī)定。

賬號管理安全

賬號的設(shè)置必須遵循“唯一性、必要性、最小授權(quán)”的原則。

唯一性原則是指每個賬號對應(yīng)一個用戶，不允許多人共同擁有同一賬號。

必要性原則是指賬號的建立和分配應(yīng)根據(jù)工作的必要性進行分配，不能根據(jù)個人需要、職位進行分配，禁止與所管理主機系統(tǒng)無關(guān)的人員在系統(tǒng)上擁有用戶賬號，要根據(jù)工作變動及時關(guān)閉不需要的系統(tǒng)賬號。

最小授權(quán)原則是指對賬號的權(quán)限應(yīng)進行嚴格限制，其權(quán)限不能大于其工作、業(yè)務(wù)需要。超出正常權(quán)限范圍的，要經(jīng)主管領(lǐng)導(dǎo)審批。

系統(tǒng)中所有的用戶（包括超級權(quán)限用戶和普通用戶）必須登記備案，并定期審閱。

嚴禁用戶將自己所擁有的用戶賬號轉(zhuǎn)借他人使用。

員工發(fā)生工作變動，必須重新審核其賬號的必要性和權(quán)限，及時取消非必要的賬號和調(diào)整賬號權(quán)限；如員工離開本部門，須立即取消其賬號。

在本部門每個應(yīng)用系統(tǒng)、網(wǎng)絡(luò)工程驗收后，應(yīng)立即刪除系統(tǒng)中所有的測試賬號和臨時賬號，對需要保留的賬號口令重新進行設(shè)置。

系統(tǒng)管理員必須定期對系統(tǒng)上的賬號及使用情況進行審核，發(fā)現(xiàn)可疑用戶賬號時及時核實并作相應(yīng)的處理，對長期不用的用戶賬號進行鎖定。

一般情況下不允許外部人員直接進入主機系統(tǒng)進行操作。在特殊情況下（如系統(tǒng)維修、升級等）外部人員需要進入系統(tǒng)操作，必須由系統(tǒng)管理員進行登錄，并對操作過程進行記錄備案。禁止將系統(tǒng)用戶及口令直接交給外部人員。

口令安全管理

口令的選取、組成、長度、修改周期應(yīng)符合安全規(guī)定。禁止使用名字、姓氏、電話號碼、生日等容易猜測的字符串作為口令，也不要使用單個單詞作為口令，在口令組成上必須包含大小寫字母、數(shù)字、標點等不同的字符組合，口令長度要求在8位以上。

重要的主機系統(tǒng)，要求至少每個月修改口令，對于管理用的工作站和個人計算機，要求至少每兩個月修改口令。

重要的主機系統(tǒng)應(yīng)逐步采用一次性口令及其它可靠的身份認證技術(shù)。

本地保存的用戶口令應(yīng)加密存放，防止用戶口令泄密。

軟件安全管理：

不安裝和使用來歷不明、沒有版權(quán)的軟件。

不得在重要的主機系統(tǒng)上安裝測試版的軟件。

開發(fā)、修改應(yīng)用系統(tǒng)時，要充分考慮系統(tǒng)安全和數(shù)據(jù)安全，從數(shù)據(jù)的采集、傳輸、處理、存貯，訪問控制等方面進行論證，測試、驗收時也必須進行相應(yīng)的安全性能測試、驗收。

操作系統(tǒng)和應(yīng)用軟件應(yīng)根據(jù)其本身存在的安全漏洞及時進行必須的安全設(shè)置、升級和打安全補丁。

個人計算機上不得安裝與工作無關(guān)的軟件。在服務(wù)器系統(tǒng)上禁止安裝與服務(wù)器所提供服務(wù)和應(yīng)用無關(guān)的其它軟件。

系統(tǒng)設(shè)備和應(yīng)用軟件的登錄提示應(yīng)對可能的攻擊嘗試、非授權(quán)訪問提出警告。

主機系統(tǒng)的服務(wù)器、工作站所使用的操作系統(tǒng)必須進行登記。登記記錄上應(yīng)該標明廠家、操作系統(tǒng)版本、已安裝的補丁程序號、安裝和升級的時間等內(nèi)容，并進行存檔保存。

重要的主機系統(tǒng)在系統(tǒng)啟用、重新安裝或者升級時應(yīng)建立系統(tǒng)鏡像，在發(fā)生網(wǎng)絡(luò)安全問題時利用系統(tǒng)鏡像對系統(tǒng)進行完整性檢查。

服務(wù)器、網(wǎng)絡(luò)設(shè)備、計算機安全系統(tǒng)（如防火墻、入侵檢測系統(tǒng)等）等應(yīng)具備日志功能并必須啟用。網(wǎng)絡(luò)信息安全管理員要定期分析網(wǎng)絡(luò)安全系統(tǒng)和操作系統(tǒng)日志，在發(fā)現(xiàn)系統(tǒng)遭受攻擊或者攻擊嘗試時采取安全措施進行保護，對網(wǎng)絡(luò)攻擊或者攻擊嘗試進行定位、跟蹤并發(fā)出警告，并向網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組報告。系統(tǒng)日志必須保存三個月以上。

新建計算機網(wǎng)絡(luò)、應(yīng)用系統(tǒng)必須同時進行網(wǎng)絡(luò)信息安全的設(shè)計。

互聯(lián)網(wǎng)信息安全

公司對外網(wǎng)站、需定期做安全檢查，并設(shè)置好相關(guān)的信息發(fā)布、管理權(quán)限，防止有害信息傳播。

各部門搭建的電子郵件系統(tǒng)，禁止開啟匿名轉(zhuǎn)發(fā)功能，并應(yīng)按有關(guān)規(guī)定從技術(shù)、管理上采取有效措施過濾垃圾電子郵件及有害信息。

數(shù)據(jù)安全

需要保護的重要數(shù)據(jù)至少包括：

1）重要文件、資料、圖紙（電子版）。

2）財會系統(tǒng)數(shù)據(jù)庫。

3）重要主機系統(tǒng)的系統(tǒng)數(shù)據(jù)。

4）其他重要數(shù)據(jù)。

各部門計算機管理部門應(yīng)制定數(shù)據(jù)備份策略及重要數(shù)據(jù)災(zāi)難恢復(fù)計劃，及時做好數(shù)據(jù)備份及恢復(fù)。

對數(shù)據(jù)備份必須有明確的記錄，在記錄中標明備份內(nèi)容、備份時間，備份操作人員等信息。對于重要數(shù)據(jù)的備份必須異地存放，并做好相關(guān)的異地備份記錄。

各部門必須每年至少進行一次數(shù)據(jù)備份策略的有效性的驗證，對數(shù)據(jù)恢復(fù)過程進行試驗，確保在發(fā)生安全問題時能夠從數(shù)據(jù)備份中進行恢復(fù)。

各部門計算機管理部門應(yīng)對所管理系統(tǒng)上存儲的數(shù)據(jù)進行登記備案，登記的內(nèi)容主要包括：需要保護的數(shù)據(jù)、存儲的位置、存儲的形式、安全控制的方法和措施、負責(zé)安全管理和日常備份的人員、可以訪問數(shù)據(jù)的用戶、訪問的方式以及權(quán)限。

涉及企業(yè)秘密及具有高保密性要求（如口令文件）的數(shù)據(jù)在傳輸、存貯時應(yīng)加密。

禁止在沒有采用安全保護機制的計算機上存儲重要數(shù)據(jù)，在存儲重要數(shù)據(jù)的計算機至少應(yīng)該有開機口令、登錄口令、數(shù)據(jù)庫口令、屏幕保護等防護措施。禁止在個人計算機上存放重要數(shù)據(jù)。

不得以軟盤或者筆記本電腦等形式將重要數(shù)據(jù)帶出系統(tǒng)。如確實必需，須將數(shù)據(jù)用安全可靠的加密手段加密存儲，并將存儲的軟盤或筆記本電腦比照密級文件管理。

安全管理

各部門必須對本部門的計算機信息及網(wǎng)絡(luò)安全進行經(jīng)常性的檢查、檢測：

1）系統(tǒng)安全檢查應(yīng)每月檢查、檢測一次；

2）計算機病毒防治應(yīng)每月至少全面檢查一次；

3）數(shù)據(jù)備份應(yīng)每月檢查一次。

檢查發(fā)現(xiàn)計算機信息及網(wǎng)絡(luò)安全隱患，應(yīng)組織安全隱患整治，不能馬上整治的，應(yīng)采取有效措施預(yù)防網(wǎng)絡(luò)信息安全事件和案件的發(fā)生。

發(fā)生計算機信息及網(wǎng)絡(luò)安全事件，應(yīng)馬上組織人員妥善處理，防止擴散影響。觸犯刑律的，應(yīng)保存證據(jù)，報告公安機關(guān)，并配合查處。

發(fā)生重大計算機信息及網(wǎng)絡(luò)安全事件須在24小時內(nèi)上報。

各部門應(yīng)對用戶及本部門員工進行網(wǎng)絡(luò)信息安全宣傳，宣傳有關(guān)國家法律、法規(guī)和網(wǎng)絡(luò)信息安全知識，加強用戶的法律意識和安全意識，不得從事任何危害網(wǎng)絡(luò)信息安全的行為。

顧客網(wǎng)絡(luò)信息安全

維護人員不得將顧客系統(tǒng)的密碼泄露給他人。

維護人員因工作原因進入顧客系統(tǒng)是，不得復(fù)制、刪除、修改顧客信息。

進入顧客系統(tǒng)應(yīng)使用專用計算機，該計算機應(yīng)每周進行殺毒，以防將病毒傳入顧客系統(tǒng)。

維護人員的客戶端應(yīng)及時升級或更新，確保其與顧客系統(tǒng)的版本保持一致。

文檔內(nèi)容僅供參考