第一篇：希望云安全殺防管中小企業(yè)信息安全

希望云安全殺防管中小企業(yè)信息安全

“3?15”雖然已經(jīng)過(guò)去，但圍繞其展開(kāi)的話題還在繼續(xù)。人們也追逐互聯(lián)網(wǎng)改變世界的同時(shí)，信息安全卻面臨“深淵”.對(duì)于個(gè)人來(lái)講，信息泄露可能只是被垃圾短信、騷擾電話、詐騙信息等屢次騷擾而已，只要自己“免疫力”足夠強(qiáng)，基本不會(huì)遭受太大的損失。然而信息安全如果威脅企業(yè)，那可就關(guān)乎“存亡”了。2011年2月，納斯達(dá)克丟失數(shù)以千計(jì)的公司記錄，據(jù)稱罪犯可能通過(guò)電郵而獲得了相關(guān)信息。根據(jù)英特爾調(diào)查，46%的企業(yè)存在漏洞，有遭受攻擊的風(fēng)險(xiǎn)。因此，企業(yè)加強(qiáng)網(wǎng)絡(luò)安全防護(hù)成為迫切需要。目前，中國(guó)企業(yè)采用的網(wǎng)絡(luò)安全防護(hù)產(chǎn)品以國(guó)外殺毒軟件為主，購(gòu)買(mǎi)殺毒軟件對(duì)大型企業(yè)來(lái)說(shuō)只是“小菜一碟”,但對(duì)于國(guó)內(nèi)數(shù)千萬(wàn)的中小企業(yè)來(lái)說(shuō)，網(wǎng)絡(luò)安全防護(hù)軟件似乎可望而不可及。但事實(shí)上，這些企業(yè)由于IT投資規(guī)模小、專業(yè)人員不足、更易受到各種網(wǎng)絡(luò)信息安全威脅。

作為基于邁克菲(McAfee)國(guó)外成功運(yùn)營(yíng)10年的“云技術(shù)”部署推出的首款針對(duì)企業(yè)用戶的SaaS殺毒產(chǎn)品，希望云安全依承了McAfee穩(wěn)居榜首的強(qiáng)病毒查殺能力，讓企業(yè)用戶在享受世界級(jí)殺毒軟件的同時(shí)，又不會(huì)花1分錢(qián)的費(fèi)用，為國(guó)內(nèi)中小企業(yè)一解燃眉之急。

希望云安全為國(guó)內(nèi)中小企業(yè)提供具有前瞻性的集“殺、防、管”于一體的安全管理解決方案，并通過(guò)云實(shí)現(xiàn)安全中心的集中管理。主要包括的功能有：病毒和間諜軟件防護(hù)、桌面保護(hù)、防火墻保護(hù)、瀏覽器保護(hù)、Web 過(guò)濾等，幫助各種規(guī)模的企業(yè)防范惡意軟件和層出不窮的網(wǎng)絡(luò)威脅，通過(guò)實(shí)時(shí)監(jiān)控與分析，降低企業(yè)在安全方面面臨的隱患。

值得一提的是，針對(duì)中小企業(yè)數(shù)量眾多地域分散，希望云安全改變傳統(tǒng)服務(wù)渠道方式，搭建了云安全服務(wù)平臺(tái)，通過(guò)互聯(lián)網(wǎng)的方式向中小企業(yè)提供免費(fèi)企業(yè)版殺毒軟件和服務(wù)，從而使得免費(fèi)企業(yè)版殺毒軟件和服務(wù)真正覆蓋到了廣大的中小企業(yè)。

第二篇：中小企業(yè)信息安全整體方案

中小企業(yè)信息安全整體方案

【摘 要】在飛速發(fā)展的互聯(lián)網(wǎng)時(shí)代，企業(yè)的信息安全尤為重要，短時(shí)間的網(wǎng)絡(luò)中斷或者部分的信息泄露，就會(huì)給企業(yè)造成巨大的損失。為避免信息安全問(wèn)題的發(fā)生，我們應(yīng)該從企業(yè)需求分析，考慮多方面的防護(hù)，根據(jù)需求采取各種措施，設(shè)計(jì)多種解決方案，從軟件到硬件對(duì)企業(yè)的信息化網(wǎng)絡(luò)進(jìn)行防護(hù)，杜絕或減少信息化安全給企業(yè)帶來(lái)的損失。

【關(guān)鍵詞】信息安全； 網(wǎng)絡(luò)安全；安全防護(hù)；

前言

在日常的企業(yè)辦公中，總部和各分公司以及出差的員工都需要實(shí)時(shí)地進(jìn)行資源共享和信息傳輸，企業(yè)和企業(yè)之間的業(yè)務(wù)來(lái)往也是非常依賴于網(wǎng)絡(luò)。但是由于互聯(lián)網(wǎng)的通信協(xié)議原始設(shè)計(jì)的局限性和互聯(lián)網(wǎng)的開(kāi)放性，信息采用明文傳輸，導(dǎo)致互聯(lián)網(wǎng)的安全性問(wèn)題越來(lái)越嚴(yán)重，網(wǎng)絡(luò)攻擊、非法訪問(wèn)、竊取信息等不斷發(fā)生，給企業(yè)的正常運(yùn)行帶來(lái)嚴(yán)重的安全隱患，有時(shí)會(huì)造成巨大的損失。網(wǎng)絡(luò)攻擊，會(huì)造成企業(yè)的服務(wù)器癱瘓； 信息竊取，會(huì)造成企業(yè)的商業(yè)機(jī)密泄漏，內(nèi)部服務(wù)器被非法訪問(wèn)，會(huì)破壞傳輸信息的完整性或者被假冒；網(wǎng)絡(luò)病毒，會(huì)造成整個(gè)公司的服務(wù)器被病毒感染，使得公司網(wǎng)絡(luò)陷入癱瘓，造成公司系統(tǒng)的崩潰。目前的現(xiàn)狀是信息和網(wǎng)絡(luò)技術(shù)發(fā)展迅速，信息的安全技術(shù)相對(duì)滯后，用戶在引入安全設(shè)備和系統(tǒng)時(shí)，有些是缺乏培訓(xùn)和學(xué)習(xí)，有些是對(duì)信息安全的重要性與技術(shù)認(rèn)識(shí)不足，最終致使安全設(shè)備系統(tǒng)沒(méi)有能夠使其發(fā)揮最大的作用。比如對(duì)某些通信和操作需要限制，管理員沒(méi)有意識(shí)到或是為了方便，設(shè)置成全開(kāi)放狀態(tài)等等，造成了網(wǎng)絡(luò)漏洞。

1.企業(yè)安全需求分析

根據(jù)企業(yè)網(wǎng)絡(luò)現(xiàn)狀及發(fā)展趨勢(shì)，對(duì)信息的保護(hù)方式進(jìn)行安全需求分析主要從以下幾個(gè)方面進(jìn)行考慮

1.1網(wǎng)絡(luò)傳輸保護(hù)：主要是數(shù)據(jù)加密，防竊聽(tīng)保護(hù)。

1.2密碼賬戶信息保護(hù)：對(duì)網(wǎng)絡(luò)銀行和客戶信息進(jìn)行保護(hù)，防止泄露。

1.3網(wǎng)絡(luò)的病毒防護(hù)：采用網(wǎng)絡(luò)防病毒系統(tǒng)，對(duì)網(wǎng)內(nèi)一些可能攜帶病毒的設(shè)備定期進(jìn)行防護(hù)與查殺。

1.4侵檢測(cè)系統(tǒng)：廣域網(wǎng)接入部分設(shè)置入侵檢測(cè)系統(tǒng)。

1.5系統(tǒng)漏洞的分析：安裝漏洞分析軟件和設(shè)備。

2.具體措施

2.1重要數(shù)據(jù)備份：重要數(shù)據(jù)信息一定做到定期備份

2.2網(wǎng)絡(luò)安全結(jié)構(gòu)可伸縮性：安全設(shè)備的可伸縮性，能根據(jù)需要隨時(shí)進(jìn)行功能、規(guī)模的擴(kuò)展。

2.3安全審計(jì)：主要包括內(nèi)容審計(jì)和網(wǎng)絡(luò)通信審計(jì)

2.4網(wǎng)絡(luò)設(shè)備防雷：埋設(shè)地線，做好防雷設(shè)施布控。

2.5重要信息點(diǎn)的防電磁泄露：安裝好屏蔽設(shè)施設(shè)備，3.安全解決方案

3.1物理安全和運(yùn)行安全

企業(yè)網(wǎng)絡(luò)系統(tǒng)的物理安全要求是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)和雷擊等環(huán)境事故，以及人為操作失誤或錯(cuò)誤，及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過(guò)程。企業(yè)的運(yùn)行安全即計(jì)算機(jī)與網(wǎng)絡(luò)設(shè)備運(yùn)行過(guò)程中的系統(tǒng)安全，是指對(duì)網(wǎng)絡(luò)與信息系統(tǒng)的運(yùn)行過(guò)程和運(yùn)行狀態(tài)的保護(hù)。主要的保護(hù)方式有風(fēng)險(xiǎn)分析與漏洞掃描、防火墻與物理隔離、病毒防治、訪問(wèn)控制、安全審計(jì)、源路由過(guò)濾、數(shù)據(jù)備份、入侵檢測(cè)等。

3.2選擇和購(gòu)買(mǎi)安全硬件和軟件產(chǎn)品

3.2.1硬件產(chǎn)品主要是防火墻的選購(gòu)。

對(duì)于防火墻的選購(gòu)要具備明確防火墻保護(hù)對(duì)象和需求的安全等級(jí)、根據(jù)安全級(jí)別確定防火墻的安全標(biāo)準(zhǔn)、選用功能適中且能擴(kuò)展和安全有保障的防火墻、能滿足不同平臺(tái)需求，并可集成于網(wǎng)絡(luò)設(shè)備中、應(yīng)能提供良好地售后服務(wù)的產(chǎn)品等要求。

3.2.2軟件產(chǎn)品主要是殺毒軟件的選擇。

本方案中在選擇殺毒軟件時(shí)應(yīng)當(dāng)注意幾個(gè)方面的要求：具有優(yōu)秀的病毒防治技術(shù)、程序內(nèi)核安全可靠、有對(duì)付國(guó)產(chǎn)和國(guó)外病毒的能力、系統(tǒng)資源占用低，性能優(yōu)越、易管理和使用、集成度高、可調(diào)控系統(tǒng)資源的占用率、有便捷的網(wǎng)絡(luò)化自動(dòng)升級(jí)等優(yōu)點(diǎn)。

3.2.3網(wǎng)絡(luò)規(guī)劃與子網(wǎng)劃分組網(wǎng)規(guī)則。

規(guī)劃網(wǎng)絡(luò)要規(guī)劃到未來(lái)的三到六年。并且在未來(lái)，企業(yè)的電腦會(huì)不斷增加。比較環(huán)形、星形、總線形三種基本拓?fù)浣Y(jié)構(gòu)，星形連接在用戶接入網(wǎng)絡(luò)時(shí)具有更大的靈活性。當(dāng)系統(tǒng)不斷發(fā)展或系統(tǒng)發(fā)生重大變化時(shí)，這種優(yōu)點(diǎn)將變得更加突出，所以選擇星形網(wǎng)絡(luò)最好。

3.2.4網(wǎng)絡(luò)隔離與訪問(wèn)控制。

網(wǎng)絡(luò)安全是一個(gè)綜合的系統(tǒng)工程，是由許多因素決定的，僅僅采用高檔的安全產(chǎn)品并不能解決全部問(wèn)題，對(duì)安全設(shè)備的管理要求也是非常高的。如果安全產(chǎn)品在管理上是各自管理，很容易因?yàn)槟硞€(gè)設(shè)備的設(shè)置不當(dāng)，造成整個(gè)網(wǎng)絡(luò)出現(xiàn)重大安全隱患。技術(shù)員不夠?qū)I(yè)，上述現(xiàn)象就會(huì)更加容易出現(xiàn)；具體企業(yè)的維護(hù)人員的水平也有差異，配置的差異容易造成錯(cuò)誤進(jìn)而使網(wǎng)絡(luò)中斷。所以，選擇安全設(shè)備就應(yīng)當(dāng)盡量選擇可以進(jìn)行網(wǎng)絡(luò)化集中管理的設(shè)備，這樣集成化管理的設(shè)備由少量的專業(yè)人員對(duì)其進(jìn)行管理、配置，會(huì)成倍的提高整體網(wǎng)絡(luò)的安全性和穩(wěn)定性。

3.2.5操作系統(tǒng)安全增強(qiáng)。

企業(yè)各級(jí)網(wǎng)絡(luò)系統(tǒng)平臺(tái)的安全主要是指操作系統(tǒng)的安全。由于目前主要的操作系統(tǒng)平臺(tái)是建立在國(guó)外產(chǎn)品的基礎(chǔ)上，因而存在很大的安全隱患，因此要加強(qiáng)對(duì)系統(tǒng)后門(mén)程序的管理，對(duì)一些可能被利用的后門(mén)程序要及時(shí)進(jìn)行系統(tǒng)的補(bǔ)丁升級(jí)。

3.2.6應(yīng)用系統(tǒng)安全。

企業(yè)應(yīng)用的系統(tǒng)安全，首先包括用戶進(jìn)入系統(tǒng)的身份鑒別與控制，使用網(wǎng)絡(luò)各種資源的權(quán)限管理和訪問(wèn)控制，涉及到安全相關(guān)的操作一定要進(jìn)行審計(jì)等。用戶按等級(jí)分類，分為各級(jí)管理員用戶和各類業(yè)務(wù)用戶。數(shù)據(jù)庫(kù)系統(tǒng)、E-MAIL服務(wù)、WWW服務(wù)、VPN、FTP和TELNET應(yīng)用中服務(wù)器系統(tǒng)自身的安全非常重要，這些系統(tǒng)提供安全的服務(wù)也非常重要。本方案中，應(yīng)用漏洞掃描設(shè)備對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行定期掃描，對(duì)存在的網(wǎng)絡(luò)漏洞、系統(tǒng)漏洞、操作系統(tǒng)漏洞、應(yīng)用程序漏洞、等進(jìn)行探測(cè)、掃描，發(fā)現(xiàn)漏洞及時(shí)告警，自動(dòng)提供解決措施或給出參考意見(jiàn)，及時(shí)提醒網(wǎng)絡(luò)安全管理員作好相應(yīng)調(diào)整。

3.2.7重點(diǎn)主機(jī)防護(hù)。

為重點(diǎn)主機(jī)，堡壘機(jī)建立主機(jī)防御系統(tǒng)，對(duì)于一些重要的資源，我們可以采用主機(jī)入侵防御系統(tǒng)這種功能限定不同應(yīng)用程序的訪問(wèn)權(quán)限，只允許已知的合法的應(yīng)用程序訪問(wèn)這些資源。

3.2.8連接與傳輸安全。

由于企業(yè)中心內(nèi)部網(wǎng)絡(luò)存在兩套網(wǎng)絡(luò)系統(tǒng)，其中一套為企業(yè)對(duì)內(nèi)網(wǎng)，內(nèi)網(wǎng)主要運(yùn)行的是內(nèi)部辦公、業(yè)務(wù)系統(tǒng)，生產(chǎn)系統(tǒng)等；另一套是外網(wǎng)與INTERNET相連，通常是通過(guò)寬帶接入，與企業(yè)系統(tǒng)內(nèi)部的上、下級(jí)機(jī)構(gòu)網(wǎng)絡(luò)相連?？缭絀NTERNET通過(guò)公共線路建立的企業(yè)集團(tuán)內(nèi)部局域網(wǎng)，通過(guò)網(wǎng)絡(luò)進(jìn)行信息共享、數(shù)據(jù)交換。INTERNET本身就缺乏有效的安全保護(hù)，信息傳輸過(guò)程中如果不采取相應(yīng)的安全措施，非常容易受到網(wǎng)絡(luò)上其他主機(jī)的監(jiān)聽(tīng)而造成重要信息的泄密或被非法篡改的嚴(yán)重后果。所以在每一級(jí)的中心網(wǎng)絡(luò)安裝一臺(tái)VPN設(shè)備和一臺(tái)VPN認(rèn)證服務(wù)器（VPN-CA），在所屬的直屬單位的網(wǎng)絡(luò)接入處安裝一臺(tái)VPN設(shè)備，由上級(jí)的VPN認(rèn)證服務(wù)器通過(guò)網(wǎng)絡(luò)對(duì)下一級(jí)的VPN設(shè)備進(jìn)行集中統(tǒng)一的網(wǎng)絡(luò)化管理。這樣就能有效地避免數(shù)據(jù)傳輸過(guò)程中面臨的安全威脅。

4.結(jié)束語(yǔ)

企業(yè)信息的安全非常重要，要從管理層到具體實(shí)施層抓起，提高防范意識(shí)，讓?xiě)?yīng)用人員重視信息安全問(wèn)題。從而避免信息安全帶來(lái)的問(wèn)題。為公司避免不必要的損失。

第三篇：如何實(shí)現(xiàn)中小企業(yè)信息安全三步走

如何實(shí)現(xiàn)中小企業(yè)信息安全三步走

對(duì)此筆者的感想是，在理論上思科公司是可以不使用殺毒軟件、打補(bǔ)丁的方法，用更先進(jìn)的措施辦法來(lái)解決病毒等威脅攻擊的。但我也想用個(gè)現(xiàn)實(shí)的例子說(shuō)明一下：晉惠帝御宴，方食肉脯，東撫奏旱荒，饑民多餓死。帝曰：“饑民無(wú)谷食，便食這肉脯，也可充腹，何致餓死?”這其實(shí)和思科首席安全官的話語(yǔ)有很大程度的相似。

那么，企業(yè)究竟應(yīng)該如何保證企業(yè)網(wǎng)絡(luò)的安全呢?筆者認(rèn)為應(yīng)該從以下幾步開(kāi)始。

第一步：確定安全策略

首先弄清楚所要保護(hù)的對(duì)象。公司是否在運(yùn)行著文件服務(wù)器、郵件服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器?辦公系統(tǒng)有多少客戶端、業(yè)務(wù)網(wǎng)段有多少客戶端、公司的核心數(shù)據(jù)有多少，存儲(chǔ)在哪里?目前亞洲地區(qū)仍有相當(dāng)多的公司，手工將關(guān)鍵數(shù)據(jù)存儲(chǔ)在工作簿或賬簿上。如果貴公司的計(jì)算機(jī)通常只是用來(lái)文字處理，或者是玩游戲，那數(shù)據(jù)可能根本不值得去保護(hù)。然而，如果貴公司保存有大量的敏感信息，例如信用卡號(hào)碼或者財(cái)務(wù)往來(lái)交易事項(xiàng)，那么貴公司所需要的安全等級(jí)將會(huì)很高。

一般企業(yè)網(wǎng)絡(luò)的應(yīng)用系統(tǒng)，主要有Web、E-mail、OA、MIS、財(cái)務(wù)系統(tǒng)、人事系統(tǒng)等。而且隨著企業(yè)的發(fā)展，網(wǎng)絡(luò)體系結(jié)構(gòu)也會(huì)變得越來(lái)越復(fù)雜，應(yīng)用系統(tǒng)也會(huì)越來(lái)越多。從整個(gè)網(wǎng)絡(luò)系統(tǒng)的管理上來(lái)看，既有內(nèi)部用戶，也有外部用戶，因此，整個(gè)企業(yè)的網(wǎng)絡(luò)系統(tǒng)存在以下兩個(gè)方面的安全問(wèn)題：

1.Internet的安全性：目前互聯(lián)網(wǎng)應(yīng)用越來(lái)越廣泛，黑客與病毒無(wú)孔不入，這極大地影響了Internet的可靠性和安全性，保護(hù)Internet、加強(qiáng)網(wǎng)絡(luò)安全建設(shè)已經(jīng)迫在眉捷。

2.企業(yè)內(nèi)網(wǎng)的安全性：企業(yè)內(nèi)部的網(wǎng)絡(luò)安全同樣需要重視，存在的安全隱患主要有未授權(quán)的訪問(wèn)、破壞數(shù)據(jù)完整性、拒絕服務(wù)攻擊、計(jì)算機(jī)病毒傳播、缺乏完整的安全策略、缺乏監(jiān)控和防范技術(shù)手段、缺乏有效的手段來(lái)評(píng)估網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)的安全性、缺乏自動(dòng)化的集中數(shù)據(jù)備份及災(zāi)難恢復(fù)措施等。

第二步：弄清自身需求

要搞清楚，每年預(yù)算多少經(jīng)費(fèi)用于支付安全策略?可以購(gòu)買(mǎi)什么?是一個(gè)入門(mén)級(jí)常用的防火墻還是一個(gè)擁有多種特性的綜合網(wǎng)關(guān)UTM產(chǎn)品?企業(yè)局域網(wǎng)客戶端的安全需求是什么?有多少臺(tái)嚴(yán)格涉密的機(jī)器?此外，很重要的一步便是在功能性和安全性方面做出選擇。貴公司網(wǎng)絡(luò)必須提供的服務(wù)有哪些：郵件、網(wǎng)頁(yè)還是數(shù)據(jù)庫(kù)?該網(wǎng)絡(luò)真的需要即時(shí)消息么?某些情況下，貴公司擁有什么并不重要，重要的是怎么利用它。相對(duì)于將整個(gè)預(yù)算花在一個(gè)“花架子”似的防火墻上，實(shí)現(xiàn)多層防御是一個(gè)很不錯(cuò)的策略。盡管如此，我們還是有必要去查看一下整個(gè)網(wǎng)絡(luò)，并弄清楚如何劃分才會(huì)最佳。

針對(duì)網(wǎng)絡(luò)受到非法攻擊以及病毒爆發(fā)，網(wǎng)絡(luò)管理員還需做好準(zhǔn)備工作：目前的設(shè)備能夠做好足夠的日志么?路由器、防火墻或者系統(tǒng)日志服務(wù)器能夠告訴我們非法侵入的時(shí)間和手段嗎?是否有一個(gè)適當(dāng)位置可以用來(lái)恢復(fù)?如果受到攻擊的服務(wù)器需要擦除并重新配置，能盡可能減少關(guān)鍵數(shù)據(jù)的流失，并快速實(shí)現(xiàn)么？

因此，筆者認(rèn)為，企業(yè)的安全需要可以歸納為以下幾點(diǎn)。

1.基本安全需求

保護(hù)企業(yè)網(wǎng)絡(luò)中設(shè)備的正常運(yùn)行，維護(hù)主要業(yè)務(wù)系統(tǒng)的安全，是企業(yè)網(wǎng)絡(luò)的基本安全需求。針對(duì)企業(yè)網(wǎng)絡(luò)的運(yùn)行環(huán)境，主要包括：網(wǎng)絡(luò)正常運(yùn)行、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)部署、數(shù)據(jù)庫(kù)及其他服務(wù)器資料不被竊取、保護(hù)用戶賬號(hào)口令等個(gè)人資料不被泄露、對(duì)用戶賬號(hào)和口令進(jìn)行集中管理、對(duì)授權(quán)的個(gè)人限制訪問(wèn)功能、分配個(gè)人操作等級(jí)、進(jìn)行用戶身份認(rèn)證、服務(wù)器、PC機(jī)和Internet/Intranet網(wǎng)關(guān)的防病毒保證、提供靈活高效且安全的內(nèi)外通信服務(wù)、保證撥號(hào)用戶的上網(wǎng)安全等。

2.關(guān)鍵業(yè)務(wù)系統(tǒng)的安全需求

關(guān)鍵業(yè)務(wù)系統(tǒng)是企業(yè)網(wǎng)絡(luò)應(yīng)用的核心。關(guān)鍵業(yè)務(wù)系統(tǒng)應(yīng)該具有最高的網(wǎng)絡(luò)安全措施，其安全需求主要包括：訪問(wèn)控制，確保業(yè)務(wù)系統(tǒng)不被非法訪問(wèn);數(shù)據(jù)安全，保證數(shù)據(jù)庫(kù)軟硬系統(tǒng)的整體安全性和可靠性，保證數(shù)據(jù)不被來(lái)自網(wǎng)絡(luò)內(nèi)部其他子系統(tǒng)(子網(wǎng)段)的破壞;安全預(yù)警，對(duì)于試圖破壞關(guān)鍵業(yè)務(wù)系統(tǒng)的惡意行為能夠及時(shí)發(fā)現(xiàn)、記錄和跟蹤，提供非法攻擊的犯罪證據(jù);系統(tǒng)服務(wù)器、客戶機(jī)以及電子郵件系統(tǒng)的綜合防病毒措施等。

第三步：制定解決方案

前兩步是不可或缺的部分，不了解自身狀況就無(wú)法制定因地制宜的解決方案。解決方案是指定給有具體需求的單位，有大眾性，但無(wú)通用性。調(diào)查顯示：近60%的企業(yè)面臨著以防護(hù)病毒和惡意行為為主的信息安全需求。

那么，下一步，就是采用何種解決方案的問(wèn)題。針對(duì)防毒解決方案，筆者推薦瑞星公司的幾款產(chǎn)品：瑞星網(wǎng)絡(luò)版殺毒軟件企業(yè)版、瑞星防毒墻、瑞星網(wǎng)絡(luò)安全預(yù)警系統(tǒng)。

這是企業(yè)整體防毒解決方案，主要是為了以下幾個(gè)目的。

1.網(wǎng)絡(luò)邊緣防護(hù)

防毒墻可以根據(jù)用戶的不同需要，具備針對(duì)HTTP、FTP、SMTP和POP3協(xié)議內(nèi)容檢查、清除病毒的能力，同時(shí)通過(guò)實(shí)施安全策略可以在網(wǎng)絡(luò)環(huán)境中的內(nèi)外網(wǎng)之間建立一道功能強(qiáng)大的防火墻體系，不但可以保護(hù)內(nèi)部資源不受外部網(wǎng)絡(luò)的侵犯，同時(shí)可以阻止內(nèi)部用戶對(duì)外部不良資源的濫用。

2.內(nèi)部網(wǎng)絡(luò)行為監(jiān)控和規(guī)范

網(wǎng)絡(luò)安全預(yù)警系統(tǒng)可對(duì)HTTP、SMTP、POP3和基于HTTP協(xié)議的其他應(yīng)用協(xié)議具有100%的記錄能力，企業(yè)內(nèi)部用戶上網(wǎng)信息識(shí)別粒度達(dá)到每一個(gè) URL請(qǐng)求和每一個(gè)URL請(qǐng)求的回應(yīng)。通過(guò)對(duì)網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)行為的監(jiān)控可以規(guī)范網(wǎng)絡(luò)內(nèi)部的上網(wǎng)行為，提高工作效率，同時(shí)避免企業(yè)內(nèi)部產(chǎn)生網(wǎng)絡(luò)安全隱患。

3.計(jì)算機(jī)病毒的監(jiān)控和清除

網(wǎng)絡(luò)殺毒軟件是一個(gè)專門(mén)針對(duì)網(wǎng)絡(luò)病毒傳播特點(diǎn)開(kāi)發(fā)的網(wǎng)絡(luò)防病毒軟件，可以實(shí)現(xiàn)防病毒體系的統(tǒng)一、集中管理，實(shí)時(shí)掌握了解當(dāng)前網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)病毒事件，并實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)內(nèi)的所有計(jì)算機(jī)遠(yuǎn)程反病毒策略設(shè)置和安全操作。

4.用控制臺(tái)和Web方式管理

通過(guò)這兩種方式管理員可以靈活、簡(jiǎn)便地根據(jù)自身實(shí)際情況設(shè)置、修改安全策略，及時(shí)掌握了解網(wǎng)絡(luò)當(dāng)前的運(yùn)行基本信息。

5.可進(jìn)行日志分析和報(bào)表統(tǒng)計(jì)

這些日志記錄包括事件名稱、描述和相應(yīng)的主機(jī)IP地址等相關(guān)信息。此外，報(bào)表系統(tǒng)可以自動(dòng)生成各種形式的攻擊統(tǒng)計(jì)報(bào)表，形式包括日?qǐng)?bào)表、月報(bào)表、年報(bào)表等，通過(guò)來(lái)源分析、目標(biāo)分析、類別分析等多種分析方式，以直觀、清晰的方式從總體上分析網(wǎng)絡(luò)上發(fā)生的各種事件，有助于管理人員提高網(wǎng)絡(luò)的安全管理。

6.功能模塊化組合

企業(yè)可以根據(jù)自身企業(yè)的實(shí)際情況選擇不同的產(chǎn)品構(gòu)建不同安全級(jí)別的網(wǎng)絡(luò)，產(chǎn)品選擇組合方便、靈活，既有獨(dú)立性又有整體性。

從上面可以看出，只要在網(wǎng)關(guān)處安裝防毒墻產(chǎn)品、在網(wǎng)絡(luò)內(nèi)部安裝安全預(yù)警系統(tǒng)、在郵件系統(tǒng)上安裝郵件防病毒系統(tǒng)、在整個(gè)網(wǎng)絡(luò)中安裝網(wǎng)絡(luò)版殺毒軟件，就能有效解決企業(yè)網(wǎng)絡(luò)的信息安全問(wèn)題。

第四篇：企業(yè)信息安全保密制度

企業(yè)集 團(tuán) 管 理 制 度

信息安全保密制度

（2016初稿）/ 9

上海企業(yè)經(jīng)營(yíng)管理股份有限公司

信息安全保密制度 第一章 總 則

第一條 根據(jù)國(guó)家相關(guān)規(guī)定，結(jié)合《企業(yè)知識(shí)產(chǎn)權(quán)管理規(guī)范》及具體情況，為保障公司整體利益和長(zhǎng)遠(yuǎn)利益，使公司長(zhǎng)期、穩(wěn)定、高效地發(fā)展，適應(yīng)激烈的市場(chǎng)競(jìng)爭(zhēng)，特制定本制度。

第二條 本規(guī)定是安全保密、知識(shí)產(chǎn)權(quán)及專利保護(hù)工作的依據(jù)和準(zhǔn)則。各部室要把安全保密工作列入工作規(guī)劃，使安全工作落到實(shí)處。

第三條 公司秘密是關(guān)系公司權(quán)力和利益，依照程序只允許特定時(shí)空范圍的人員知悉的事項(xiàng)，包括但不限于技術(shù)專利、財(cái)務(wù)、人事和其他商業(yè)機(jī)密。技術(shù)秘密是指能為公司帶來(lái)經(jīng)濟(jì)利益、具有實(shí)用性的技術(shù)信息、設(shè)計(jì)方案等，包括但不限于：技術(shù)信息、工程設(shè)計(jì)、科研專利、知識(shí)產(chǎn)權(quán)等等。財(cái)務(wù)秘密包括但不限于公司經(jīng)營(yíng)的財(cái)務(wù)、資產(chǎn)及相關(guān)統(tǒng)計(jì)數(shù)字。人事秘密主要是與公司人力資源現(xiàn)狀、招聘計(jì)劃、員工隱私、勞資狀況等相關(guān)的信息。包括但不限于：人事檔案、合同、協(xié)議、職員工資性收入、招聘計(jì)劃等。日常秘密主要包括不限于：日常文件文檔、資料等。商業(yè)秘密包括但不限于：客戶名單、定價(jià)政策、財(cái)務(wù)資料、進(jìn)貨渠道，等等。

第四條 公司所有職員、外派人員都有保守公司秘密的義務(wù)。接觸到公司秘密的高級(jí)員工，如：管理人員、技術(shù)人員、財(cái)務(wù)人員、秘書(shū)等負(fù)有特別的保秘責(zé)任。

第五條 保密工作實(shí)行安全、便利可行、積極預(yù)防的工作方針。保密范圍和密級(jí)確定： / 9

第六條 公司秘密包括本制度第三條規(guī)定的及下列秘密事項(xiàng)：(一)公司重大決策中的秘密事項(xiàng)；

(二)公司尚未付諸實(shí)施的經(jīng)營(yíng)戰(zhàn)略、方向、規(guī)劃及決策等；(三)公司內(nèi)部掌握的合同、協(xié)議、意見(jiàn)書(shū)及可行性報(bào)告；(四)公司財(cái)務(wù)預(yù)決算報(bào)告及各類財(cái)務(wù)報(bào)表、統(tǒng)計(jì)報(bào)表；(五)公司職員人事檔案，工資性、勞務(wù)性收入及資料；(六)公司科研專有技術(shù)、專利、知識(shí)產(chǎn)權(quán)、工程設(shè)計(jì)、等等；(七)其他經(jīng)公司確定應(yīng)當(dāng)保密的事項(xiàng)。

第七條 公司秘密的密級(jí)分為“絕密”、“機(jī)密”、“秘密”三級(jí)。

絕密是最重要的公司秘密，泄露會(huì)使公司權(quán)益和利益遭受特別嚴(yán)重?fù)p害;機(jī)密是重要的公司秘密，泄露會(huì)使公司權(quán)益和利益遭受到嚴(yán)重?fù)p害;秘密是一般的公司秘密，泄露會(huì)使公司權(quán)力和利益遭受損害。

第八條 秘級(jí)的確定：

(一)公司經(jīng)營(yíng)發(fā)展中，直接影響公司權(quán)益和利益的重要決策文件、技術(shù)資料、技術(shù)專利等為絕密級(jí);(二)公司的規(guī)劃、財(cái)務(wù)報(bào)表、統(tǒng)計(jì)資料、重要會(huì)議記錄、公司經(jīng)營(yíng)情況為機(jī)密級(jí);(三)公司人事檔案、合同、協(xié)議、職員工資性收入、尚未進(jìn)入市場(chǎng)或尚未公開(kāi)的各類信息為秘密級(jí)。

第九條 秘密級(jí)別由董事會(huì)秘書(shū)辦公室依據(jù)第七條確定，并確定保密期限：分永久、長(zhǎng)期、短期，一般與密級(jí)相對(duì)應(yīng)，特殊情況外標(biāo)明。保密期限屆滿，自行解密。/ 9

第十條 發(fā)現(xiàn)已經(jīng)或者可能泄露秘密時(shí)，應(yīng)立即采取補(bǔ)救措施并報(bào)告主管部室或公司領(lǐng)導(dǎo)；主管部室或領(lǐng)導(dǎo)接到報(bào)告，應(yīng)及時(shí)處理。

第十一條 本制度規(guī)定的泄密是指下列行為之一：(一)使秘密被不應(yīng)知悉者知悉的;(二)使秘密超出接觸限定范圍，而不能證明未被不應(yīng)知悉者知悉的。

第二章 日常保密管理規(guī)定

第十二條 日常保密包括但不限于文印文檔、資料、人事及其他保密事項(xiàng)等。辦公室為日常保密工作管理部室。辦公室主要保密職責(zé)：

(一)根據(jù)法律及上級(jí)公司規(guī)定，結(jié)合公司實(shí)際制定安全保密管理規(guī)定，并監(jiān)督實(shí)施；

(二)負(fù)責(zé)組織宣傳安全保密管理規(guī)定、制度，組織培訓(xùn)學(xué)習(xí)公司有關(guān)保密安全條例；

(三)制定并落實(shí)人事、檔案保密管理措施；

(四)配合其他部室完成技術(shù)、財(cái)務(wù)、商業(yè)等保密的管理、監(jiān)督和檢查工作；(五)嚴(yán)格機(jī)要、文印人員、招聘選拔；

(六)對(duì)安全保密突發(fā)事件應(yīng)急處理，日常安全保密工作的監(jiān)督；協(xié)助公司領(lǐng)導(dǎo)完成保密工作檢查、獎(jiǎng)懲及與之相關(guān)的活動(dòng)等；

(七)承辦上級(jí)領(lǐng)導(dǎo)交辦的其他保密事項(xiàng)。

第十三條 日常保密工作，各部室、各崗位應(yīng)做到：

(一)領(lǐng)導(dǎo)干部、部室負(fù)責(zé)人、專業(yè)組長(zhǎng)：增強(qiáng)保密意識(shí)、以身作則，模范遵守保密規(guī)定，落實(shí)保密責(zé)任。做到：不泄露知悉的公司秘密；不在無(wú)保密保障的/ 9

場(chǎng)所閱辦秘密文件、資料；不在家屬、親友、熟人和其他無(wú)關(guān)人員面前談?wù)摴久孛苁马?xiàng)；不攜帶秘密文件、資料參加社交活動(dòng)；不在出訪、考察等外事活動(dòng)中攜帶秘密文件、資料；閱辦完秘密文件及時(shí)清退、歸檔；審校、簽發(fā)文件及稿件時(shí)，要把好定密關(guān)；下級(jí)發(fā)生泄密問(wèn)題后，及時(shí)上報(bào)、設(shè)法補(bǔ)救，不掩蓋包庇。

(二)員工應(yīng)做到：不該說(shuō)的秘密不說(shuō)；不該問(wèn)的秘密不問(wèn)；不該看的秘密不看；不該記錄的秘密不記錄；不在非保密本上記錄秘密；不在公共場(chǎng)所和家屬、子女、親友面前談?wù)摴久孛苁马?xiàng)；不在不利于保密的地方存放秘密文件、資料；不攜帶秘密材料游覽、參觀、探親、訪友和出入公共場(chǎng)所；不在私人交往中泄露公司秘密。日常保密措施：

第十四條 健全收發(fā)文制度，各部室要有專人負(fù)責(zé)文件、設(shè)計(jì)圖紙、技術(shù)檔案等機(jī)密文件的管理和清退工作，發(fā)現(xiàn)秘級(jí)文件資料丟失、被竊、泄密時(shí)，須立即報(bào)告，及時(shí)追查、力挽損失。

第十五條 檔案管理按照質(zhì)量管理體系文件中有關(guān)規(guī)定執(zhí)行。

第十六條 有秘密內(nèi)容的會(huì)議或活動(dòng)，主辦部門(mén)應(yīng)采取措施：

(一)選擇具備保密條件的會(huì)議場(chǎng)所，嚴(yán)禁使用無(wú)線話筒傳達(dá)密件或向室外擴(kuò)音；

(二)根據(jù)需要，限定參會(huì)人員的范圍，指定參會(huì)人員;(三)依照規(guī)定使用會(huì)議設(shè)備和管理會(huì)議文件；

(四)規(guī)定不準(zhǔn)記錄的會(huì)議內(nèi)容，不得記錄，不攜帶錄音機(jī)進(jìn)入會(huì)場(chǎng)錄音；不以任何形式對(duì)外泄露會(huì)議秘密內(nèi)容，會(huì)議結(jié)束后，要對(duì)會(huì)議場(chǎng)所進(jìn)行保密檢查；/ 9

嚴(yán)禁濫印、復(fù)印會(huì)議秘密文件資料，確需要復(fù)制的須經(jīng)批準(zhǔn)。

第十七條 文印崗人員應(yīng)該做到：

(一)復(fù)印的秘密文件：需經(jīng)批準(zhǔn)后才能復(fù)??；嚴(yán)格控制份數(shù)，復(fù)印件要按原件一樣管理；

(二)嚴(yán)格保管承印的秘密文稿、資料及有秘密內(nèi)容的磁盤(pán)、錄音筆等；對(duì)會(huì)議記錄和有關(guān)文件、資料嚴(yán)加保管，及時(shí)立卷歸檔；

(三)嚴(yán)格遵守保密紀(jì)律，打印、復(fù)印涉密文稿的內(nèi)容不得傳播，不得讓無(wú)關(guān)人員閱看，不私自多印留存；

(四)打印的密件廢頁(yè)、圖紙廢頁(yè)、蠟紙應(yīng)及時(shí)處理，不讓無(wú)關(guān)人員閱看；發(fā)現(xiàn)密件丟失或下落不明，要立即報(bào)告，并抓緊查找，采取補(bǔ)救措施。定期檢查、清理、清退、銷毀文件；嚴(yán)防將秘密文件、資料和文件底稿隨同舊報(bào)紙等出售。

第十八條 對(duì)于密級(jí)文件、資料設(shè)計(jì)圖紙、方案、技術(shù)標(biāo)準(zhǔn)和其他物品，須采取保密措施：

(一)非經(jīng)批準(zhǔn)，不得復(fù)制和摘抄;收發(fā)、傳遞和外出攜帶，由指定人員擔(dān)任，并采取必要的安全措施；

(二)在設(shè)備完善的保險(xiǎn)裝置中保存；

(三)如有與質(zhì)量管理體系中規(guī)定相左之處，以后者為準(zhǔn)。第十九條 如有必要公司應(yīng)與相關(guān)人員簽訂《保密合同》。

第三章 商業(yè)保密管理規(guī)定

第二十條 商業(yè)保密包括但不限于：客戶信息、采購(gòu)資料、定價(jià)政策、財(cái)務(wù)資料、進(jìn)貨渠道、投標(biāo)信息、經(jīng)營(yíng)策略等。

第二十一條 市場(chǎng)部為商業(yè)保密的主管部門(mén)，辦公室及其他部門(mén)配合市場(chǎng)部/ 9

完成商業(yè)保密管理。市場(chǎng)部主要保密職責(zé)：

(一)制定商業(yè)保密管理有關(guān)規(guī)范、制度，并組織實(shí)施、監(jiān)督；(二)組織宣傳、培訓(xùn)商業(yè)管理規(guī)定；

(三)負(fù)責(zé)本部門(mén)保密管理工作，監(jiān)督其他部門(mén)管理工作；(四)負(fù)責(zé)商業(yè)泄密事件的應(yīng)急、調(diào)查、處理、處罰工作；

第二十二條 涉及公司商業(yè)秘密的合作、代理、交易合同或協(xié)議，依據(jù)情況設(shè)置相關(guān)“保密條款”，限制對(duì)方行為。

第二十三條 市場(chǎng)部有關(guān)人員不可將商業(yè)秘密透露給任何第三方或用于合同目的以外的用途，離職、辭職時(shí)，要及時(shí)交出相關(guān)資料，同時(shí)不得泄露公司經(jīng)營(yíng)秘密；不可在對(duì)外接受訪問(wèn)或者與任何第三方交流時(shí)泄露秘密內(nèi)容。

第四章 財(cái)務(wù)保密管理規(guī)定

第二十四條 財(cái)務(wù)保密工作包括但不限于資產(chǎn)、財(cái)務(wù)統(tǒng)計(jì)數(shù)字及工資及其他報(bào)表的保密。

第二十五條 財(cái)務(wù)部為財(cái)務(wù)保密的歸主管部門(mén)，市場(chǎng)部、辦公室及其他部門(mén)配合財(cái)務(wù)部落實(shí)財(cái)務(wù)保密工作。財(cái)務(wù)部主要保密職責(zé)：

(一)根據(jù)法律及上級(jí)單位規(guī)定，結(jié)合實(shí)際制定財(cái)務(wù)保密規(guī)范；(二)組織本部門(mén)員工學(xué)習(xí)并執(zhí)行財(cái)務(wù)保密制度的有關(guān)規(guī)定；(三)負(fù)責(zé)組織宣傳保密、安全管理規(guī)定、規(guī)范，組織培訓(xùn)學(xué)習(xí)公司有關(guān)保密安全規(guī)定；

(四)負(fù)責(zé)本部門(mén)保密管理工作，監(jiān)督其他部門(mén)管理工作； / 9

(五)負(fù)責(zé)財(cái)務(wù)泄密事件的應(yīng)急、調(diào)查、處理、處罰工作；

第五章 計(jì)算機(jī)與互聯(lián)網(wǎng)信息保密管理規(guī)定

第二十六條 IT部要健全各項(xiàng)信息保密管理制度，強(qiáng)化機(jī)房計(jì)算機(jī)的應(yīng)用管理。凡秘密數(shù)據(jù)的傳輸和存貯均應(yīng)采取相應(yīng)的保密措施，錄有文件的存貯設(shè)備要妥善保管，嚴(yán)防丟失。

(一)保障公司計(jì)算機(jī)及其相關(guān)的配套設(shè)備、設(shè)施的安全，保障信息的安全，保障計(jì)算機(jī)功能的正常發(fā)揮，維護(hù)計(jì)算機(jī)信息系統(tǒng)的安全性。應(yīng)及時(shí)發(fā)現(xiàn)安全隱患，及時(shí)提出解決方案，及時(shí)處理解決問(wèn)題；

(二)新用戶登記時(shí)，應(yīng)認(rèn)真核實(shí)其身份，并詳細(xì)記錄用戶的相關(guān)信息。員工不允許將公司“用戶信息和網(wǎng)絡(luò)密碼”告知非本公司人員。員工離開(kāi)本公司，IT部應(yīng)注銷該員工的所有用戶信息；

(三)對(duì)于安全性較高的信息，需要嚴(yán)格管理。無(wú)論是紙張形式還是電子形式，均要落實(shí)到責(zé)任人。嚴(yán)禁將工作中的數(shù)據(jù)文檔帶離。

(四)企業(yè)研發(fā)的各辦公系統(tǒng)的數(shù)據(jù)內(nèi)容要嚴(yán)格把關(guān)；IT部要將審核后的內(nèi)容準(zhǔn)確、安全、即時(shí)地上傳至托管服務(wù)器。

(五)加強(qiáng)計(jì)算機(jī)系統(tǒng)的保密安全管理。對(duì)涉密與非保密計(jì)算機(jī)予以明確區(qū)分，涉密機(jī)必須完全與局域網(wǎng)脫離連接，并禁止上因特網(wǎng)以防泄密。并采取身份認(rèn)證、存儲(chǔ)傳輸加密、配置防視頻泄密干擾器等措施加強(qiáng)保密防范。

第二十七條 屬于公司秘密的信息、資料和其它物品的制作、收發(fā)、傳遞、使用、復(fù)制、摘抄、保存和銷毀，由辦公室或主管領(lǐng)導(dǎo)委托專人執(zhí)行；采用電腦技術(shù)存取、處理、傳遞的公司秘密由IT部門(mén)負(fù)責(zé)保密。/ 9

第二十八條 計(jì)算機(jī)房?jī)?nèi)，禁止無(wú)關(guān)人員逗留、參觀，嚴(yán)禁會(huì)客。

第六章 罰則 和 獎(jiǎng)則

第二十九條 公司對(duì)在安全保密工作中做出突出成績(jī)的個(gè)人和部室給予獎(jiǎng)勵(lì)。

第三十條 對(duì)未按本《規(guī)定》進(jìn)行管理或管理不善造成秘密泄漏的，除對(duì)直接責(zé)任者按規(guī)定給予相應(yīng)處理外，還將追究所屬部室主要負(fù)責(zé)人的責(zé)任，并對(duì)直接責(zé)任者和所屬部室給予相應(yīng)的經(jīng)濟(jì)處罰。

第三十一條 對(duì)無(wú)視本《規(guī)定》，以謀取個(gè)人或小集團(tuán)利益為目、蓄意泄漏秘密的，造成重大損失和嚴(yán)重后果的，將依《中華人民共和國(guó)刑法》追究法律責(zé)任。

第三十二條 保密管理人員因玩忽職守使秘密泄漏造成經(jīng)濟(jì)損失，削弱競(jìng)爭(zhēng)能力的，視情節(jié)輕重給予不同程度的行政處分和經(jīng)濟(jì)處罰，明知故犯者加重處罰。對(duì)違反本《規(guī)定》，使單位秘密泄露，造成直接或間接經(jīng)濟(jì)損失的，由公司保衛(wèi)部及所屬管理部門(mén)負(fù)責(zé)調(diào)查核實(shí)，并提出處理意見(jiàn)，報(bào)公司領(lǐng)導(dǎo)批準(zhǔn)后執(zhí)行。

第七章 附 則

第三十三條 本《規(guī)定》自發(fā)布之日起執(zhí)行。第三十四條 本規(guī)定的解釋權(quán)屬于本公司保衛(wèi)部。/ 9

第五篇：企業(yè)信息安全管理辦法

信息安全管理辦法

第一章 總則

第一條

為加強(qiáng)公司信息安全管理，推進(jìn)信息安全體系建設(shè)，保障信息系統(tǒng)安全穩(wěn)定運(yùn)行，根據(jù)國(guó)家有關(guān)法律、法規(guī)和《公司信息化工作管理規(guī)定》，制定本辦法。

第二條

本辦法所指的信息安全管理，是指計(jì)算機(jī)網(wǎng)絡(luò)及信息系統(tǒng)（以下簡(jiǎn)稱信息系統(tǒng)）的硬件、軟件、數(shù)據(jù)及環(huán)境受到有效保護(hù)，信息系統(tǒng)的連續(xù)、穩(wěn)定、安全運(yùn)行得到可靠保障。

第三條

公司信息安全管理堅(jiān)持“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)”的基本原則，各信息系統(tǒng)的主管部門(mén)、運(yùn)營(yíng)和使用單位各自履行相關(guān)的信息系統(tǒng)安全建設(shè)和管理的義務(wù)與責(zé)任。

第四條

信息安全管理，包括管理組織與職責(zé)、信息安全目標(biāo)與工作原則、信息安全工作基本要求、信息安全監(jiān)控、信息安全風(fēng)險(xiǎn)評(píng)估、信息安全培訓(xùn)、信息安全檢查與考核。

第五條

本辦法適用于公司總部、各企事業(yè)單位及其全體員工。

第二章 信息安全管理組織與職責(zé)

第六條

公司信息化工作領(lǐng)導(dǎo)小組是信息安全工作的最高決策機(jī)構(gòu)，負(fù)責(zé)信息安全政策、制度和體系建設(shè)規(guī)劃的審批，部署并協(xié)調(diào)信息安全體系建設(shè)，領(lǐng)導(dǎo)信息系統(tǒng)等級(jí)保護(hù)工作。

第七條

公司建立和健全由總部、企事業(yè)單位以及信息技術(shù)支持單位三方面組成，協(xié)調(diào)一致、密切配合的信息安全組織和責(zé)任體系。各級(jí)信息安全組織均要明確主管領(lǐng)導(dǎo)，確定相關(guān)責(zé)任，設(shè)置相應(yīng)崗位，配備必要人員。

第八條

信息管理部是公司信息安全的歸口管理部門(mén)，負(fù)責(zé)落實(shí)信息化工作領(lǐng)導(dǎo)小組的決策，實(shí)施公司信息安全建設(shè)與管理，確保重要信息系統(tǒng)的有效保護(hù)和安全運(yùn)行。具體職責(zé)包括：組織制定和實(shí)施公司信息安全政策標(biāo)準(zhǔn)、管理制度和體系建設(shè)規(guī)劃，組織實(shí)施信息安全項(xiàng)目和培訓(xùn)，組織信息安全工作的監(jiān)督和檢查。

第九條

公司保密部門(mén)負(fù)責(zé)信息安全工作中有關(guān)保密工作的監(jiān)督、檢查和指導(dǎo)。

第十條

企事業(yè)單位信息部門(mén)負(fù)責(zé)本單位信息安全的管理，具體職責(zé)包括：在本單位宣傳和貫徹執(zhí)行信息安全政

策與標(biāo)準(zhǔn)，確保本單位信息系統(tǒng)的安全運(yùn)行，實(shí)施本單位信息安全項(xiàng)目和培訓(xùn)，追蹤和查處本單位信息安全違規(guī)行為，組織本單位信息安全工作檢查，完成公司部署的信息安全工作。

第十一條

技術(shù)支持單位在信息管理部的領(lǐng)導(dǎo)下，承擔(dān)所負(fù)責(zé)的信息系統(tǒng)和所在區(qū)域的信息安全管理任務(wù)，主要包括：在所維護(hù)系統(tǒng)和本區(qū)域內(nèi)宣傳和貫徹信息安全政策與標(biāo)準(zhǔn)，確保所負(fù)責(zé)信息系統(tǒng)的安全運(yùn)行。

第十二條

各級(jí)信息管理部門(mén)設(shè)立信息安全管理和技術(shù)崗位，包括信息安全、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)、操作系統(tǒng)、網(wǎng)絡(luò)負(fù)責(zé)人和管理員，重要崗位可設(shè)置兩個(gè)員工互為備份。

第十三條

信息安全崗位的設(shè)立應(yīng)遵循職責(zé)分離的要求，包括：制度監(jiān)督者與執(zhí)行者分離，信息系統(tǒng)授權(quán)者與操作者分離，應(yīng)用系統(tǒng)管理員與數(shù)據(jù)庫(kù)管理員分離，程序開(kāi)發(fā)人員不應(yīng)具備對(duì)生產(chǎn)環(huán)境的訪問(wèn)權(quán)限。

第十四條

公司員工必須嚴(yán)格遵守公司信息安全政策、管理制度、技術(shù)標(biāo)準(zhǔn)和信息系統(tǒng)控制要求，承擔(dān)相關(guān)安全義務(wù)和責(zé)任，并及時(shí)報(bào)告信息安全事件。

第三章 信息安全目標(biāo)與工作原則

第十五條

信息安全工作的總體目標(biāo)是：實(shí)施信息系統(tǒng)安全等級(jí)保護(hù)，建立和健全先進(jìn)實(shí)用、完整可靠的信息安全體系，保證系統(tǒng)和信息的完整性、真實(shí)性、可用性、保密性和可控性，保障信息化建設(shè)和應(yīng)用，支撐公司業(yè)務(wù)持續(xù)、穩(wěn)定、健康發(fā)展。

第十六條

信息安全體系建設(shè)必須堅(jiān)持以下原則： 堅(jiān)持統(tǒng)一。信息安全體系必須統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一設(shè)計(jì)、統(tǒng)一投資、統(tǒng)一建設(shè)、統(tǒng)一管理。

保障應(yīng)用。保障網(wǎng)絡(luò)和信息系統(tǒng)，特別是全局網(wǎng)絡(luò)和重要業(yè)務(wù)信息系統(tǒng)不間斷穩(wěn)定運(yùn)行及其信息的安全，實(shí)現(xiàn)以應(yīng)用促安全，以安全保應(yīng)用。

符合法規(guī)。信息安全體系要滿足法律法規(guī)要求，包括國(guó)家對(duì)信息系統(tǒng)等級(jí)保護(hù)、企業(yè)內(nèi)部控制要求，積極采用法律法規(guī)允許的、成熟的先進(jìn)技術(shù)和專業(yè)安全服務(wù)。

綜合防范。管理與技術(shù)并重，相互補(bǔ)充。從組織與流程、制度與人員、場(chǎng)地與環(huán)境、網(wǎng)絡(luò)與系統(tǒng)、數(shù)據(jù)與應(yīng)用等多方面著手，在系統(tǒng)設(shè)計(jì)、建設(shè)和運(yùn)維的多環(huán)節(jié)進(jìn)行綜合防范。

集中共享。建立集中、統(tǒng)一的信息安全技術(shù)服務(wù)平臺(tái)和

集中專業(yè)化的信息安全隊(duì)伍。

第四章 信息安全工作基本要求

第十七條

根據(jù)公司信息安全專項(xiàng)規(guī)劃和總體方案，分層次建立以安全組織體系為核心、安全管理體系為保障、安全技術(shù)體系為支撐的全面信息安全體系，并保持三個(gè)體系穩(wěn)定、均衡發(fā)展。

第十八條

建立全面的信息安全管理體系：

制定并實(shí)施統(tǒng)一的信息安全策略、管理制度和技術(shù)標(biāo)準(zhǔn)。

實(shí)行信息系統(tǒng)資產(chǎn)管理責(zé)任制，保護(hù)信息系統(tǒng)，特別是核心信息系統(tǒng)的設(shè)備、軟件、數(shù)據(jù)和技術(shù)文檔的安全。

建立信息系統(tǒng)物理環(huán)境、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)等各層面的安全管理流程，實(shí)現(xiàn)對(duì)信息系統(tǒng)全生命周期的安全管理。

實(shí)現(xiàn)對(duì)信息系統(tǒng)的安全風(fēng)險(xiǎn)管理，及時(shí)發(fā)現(xiàn)和防范安全隱患。

第十九條

建立有效的信息安全技術(shù)體系：

強(qiáng)化網(wǎng)絡(luò)、桌面和應(yīng)用系統(tǒng)安全防護(hù)體系，按照自主定級(jí)、自主保護(hù)的原則，評(píng)估確定各信息系統(tǒng)保護(hù)等級(jí)并實(shí)施

相應(yīng)的保護(hù)措施。

建立統(tǒng)一的網(wǎng)絡(luò)安全信任體系，加強(qiáng)網(wǎng)絡(luò)實(shí)體身份管理與認(rèn)證，為網(wǎng)絡(luò)和信息系統(tǒng)安全運(yùn)行提供信任基礎(chǔ)。

建立完善有效的安全監(jiān)控和預(yù)警體系，監(jiān)控重要網(wǎng)絡(luò)和核心業(yè)務(wù)系統(tǒng)，及時(shí)發(fā)現(xiàn)安全隱患。

建立全面有效的應(yīng)急響應(yīng)體系，制定并落實(shí)完整、規(guī)范的應(yīng)急處理和響應(yīng)流程，完善信息安全報(bào)告、處理機(jī)制。

建立包括同城和異地容災(zāi)備份中心的信息系統(tǒng)災(zāi)難恢復(fù)體系，定期進(jìn)行災(zāi)難恢復(fù)的測(cè)試和演練，確保災(zāi)難發(fā)生后能夠充分發(fā)揮備份的效能，降低造成的影響和損失。

第五章 信息安全監(jiān)控

第二十條

信息安全監(jiān)控的目的是對(duì)威脅系統(tǒng)、數(shù)據(jù)庫(kù)及網(wǎng)絡(luò)安全的因素進(jìn)行有效控制，防止由于技術(shù)或人為因素導(dǎo)致的異常和損失，同時(shí)為其他安全措施的設(shè)計(jì)和實(shí)施提供可靠依據(jù)。安全監(jiān)控的結(jié)果要保存一年以上。

第二十一條

信息系統(tǒng)的運(yùn)行和維護(hù)單位，在國(guó)家法律和公司有關(guān)規(guī)定許可的范圍內(nèi)，具體進(jìn)行規(guī)范、合理、有效的信息安全監(jiān)控。使用公司網(wǎng)絡(luò)及應(yīng)用系統(tǒng)的用戶有義務(wù)接受

必要的監(jiān)控。監(jiān)控不能影響、泄漏不涉及安全問(wèn)題的網(wǎng)上行為和個(gè)人隱私的內(nèi)容。

第二十二條

各級(jí)信息部門(mén)負(fù)責(zé)制定和實(shí)施信息安全監(jiān)控計(jì)劃，包括日常監(jiān)控、應(yīng)急處理和定期匯報(bào)。

第二十三條

日常監(jiān)控分為實(shí)時(shí)監(jiān)控和定期檢查，包括應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)、操作系統(tǒng)、網(wǎng)絡(luò)、物理環(huán)境以及外部人員對(duì)信息系統(tǒng)訪問(wèn)的實(shí)時(shí)監(jiān)控與定期檢查。監(jiān)控及檢查結(jié)果要存檔備查，異常情況須及時(shí)向有關(guān)負(fù)責(zé)人匯報(bào)。

第二十四條

各級(jí)信息部門(mén)應(yīng)對(duì)網(wǎng)絡(luò)及重要信息系統(tǒng)制定詳細(xì)的應(yīng)急處理預(yù)案。應(yīng)急處理按照預(yù)案進(jìn)行，并至少每年組織一次相關(guān)崗位人員進(jìn)行應(yīng)急預(yù)案演練。

第二十五條

各級(jí)信息部門(mén)編制、上報(bào)信息安全月報(bào)和年報(bào)，及時(shí)向主管領(lǐng)導(dǎo)和上級(jí)部門(mén)匯報(bào)重大信息安全風(fēng)險(xiǎn)和事件。

第六章 信息安全風(fēng)險(xiǎn)評(píng)估

第二十六條

信息管理部負(fù)責(zé)組織建立風(fēng)險(xiǎn)評(píng)估規(guī)范及實(shí)施團(tuán)隊(duì)，定期或在重大、特殊事件發(fā)生時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估。

第二十七條

風(fēng)險(xiǎn)評(píng)估包括范圍確定、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析和控制措施，確保信息安全，滿足應(yīng)用和業(yè)務(wù)需要。

評(píng)估范圍可包括管理組織、流程、政策與標(biāo)準(zhǔn)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)、操作系統(tǒng)、網(wǎng)絡(luò)、物理環(huán)境，應(yīng)涵蓋公司內(nèi)部關(guān)鍵控制點(diǎn)。

風(fēng)險(xiǎn)識(shí)別包括識(shí)別風(fēng)險(xiǎn)類型和風(fēng)險(xiǎn)事件，形成風(fēng)險(xiǎn)列表，更新信息風(fēng)險(xiǎn)數(shù)據(jù)庫(kù)。

風(fēng)險(xiǎn)分析包括信息資產(chǎn)分類、風(fēng)險(xiǎn)發(fā)生概率和影響程度分析，并確定風(fēng)險(xiǎn)等級(jí)，形成風(fēng)險(xiǎn)評(píng)估報(bào)告。

控制措施包括安全管理策略和風(fēng)險(xiǎn)控制措施，形成風(fēng)險(xiǎn)控制報(bào)告。

第二十八條

信息管理部將風(fēng)險(xiǎn)評(píng)估和控制報(bào)告上報(bào)信息主管領(lǐng)導(dǎo)審批。根據(jù)領(lǐng)導(dǎo)審批意見(jiàn)，落實(shí)控制措施。

第七章 信息安全培訓(xùn)

第二十九條

信息管理部負(fù)責(zé)制定公司信息安全培訓(xùn)計(jì)劃，組織、實(shí)施信息安全管理和技術(shù)培訓(xùn)。各級(jí)信息部門(mén)負(fù)責(zé)相應(yīng)層級(jí)的信息安全培訓(xùn)，培訓(xùn)計(jì)劃報(bào)信息管理部備案。

第三十條

信息管理部及各企事業(yè)單位信息部門(mén)對(duì)應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)、操作系統(tǒng)和網(wǎng)絡(luò)管理員、開(kāi)發(fā)人員進(jìn)行信息安全技術(shù)培訓(xùn)，提高信息安全管理和維護(hù)水平。

第三十一條

信息管理部及各企事業(yè)單位信息部門(mén)分層次、分類型對(duì)員工進(jìn)行信息安全培訓(xùn)，包括針對(duì)業(yè)務(wù)和技術(shù)管理人員進(jìn)行管理層面的信息安全管理培訓(xùn)，針對(duì)從事日常業(yè)務(wù)處理人員進(jìn)行操作層面基本安全知識(shí)培訓(xùn)。

第三十二條

員工上崗前，應(yīng)進(jìn)行崗位信息安全培訓(xùn)，并簽署信息安全保密協(xié)議。在崗位發(fā)生變動(dòng)時(shí)，及時(shí)調(diào)整信息系統(tǒng)操作權(quán)限。

第三十三條

信息安全政策與標(biāo)準(zhǔn)發(fā)生重大調(diào)整、新建和升級(jí)的信息系統(tǒng)投入使用前，開(kāi)展必要的安全培訓(xùn)，明確相關(guān)調(diào)整和變更所帶來(lái)的信息安全權(quán)限和責(zé)任的變化。

第八章 信息安全檢查與考核

第三十四條

信息管理部定期進(jìn)行信息安全檢查與考核，包括信息安全政策與標(biāo)準(zhǔn)的培訓(xùn)與執(zhí)行情況、重大信息安全事件及整改措施落實(shí)情況、現(xiàn)有信息安全措施的有效性、信息安全技術(shù)指標(biāo)完成情況。

第三十五條

各企事業(yè)單位信息部門(mén)按照本辦法和《公司信息系統(tǒng)運(yùn)行維護(hù)管理辦法》進(jìn)行信息安全自我考核，信息管理部進(jìn)行綜合評(píng)價(jià)，形成考核報(bào)告，報(bào)信息主管領(lǐng)導(dǎo)。

第三十六條

對(duì)于不執(zhí)行本辦法造成嚴(yán)重后果的，應(yīng)追究相關(guān)部門(mén)和個(gè)人責(zé)任。

第九章 附則

第三十七條

各企事業(yè)單位可參照本管理辦法制定相應(yīng)的實(shí)施細(xì)則。

第三十八條 第三十九條

本辦法由公司信息管理部負(fù)責(zé)解釋。本辦法自印發(fā)之日起施行。