网络与信息安全工作管理办法.docx
- 文档编号:2415674
- 上传时间:2022-10-29
- 格式:DOCX
- 页数:14
- 大小:77.42KB
网络与信息安全工作管理办法.docx
《网络与信息安全工作管理办法.docx》由会员分享,可在线阅读,更多相关《网络与信息安全工作管理办法.docx(14页珍藏版)》请在冰豆网上搜索。
网络与信息安全工作管理办法
网络与信息安全工作管理办法
世茂房地产控股有限公司
资讯科技部
内部资料,未经同意,请勿翻印
版本
修订日期
修订人
审核人
第一章总则
第一条随着上海世茂投资管理有限公司(以下简称:
上海世茂)信息系统规模越来越大,随之带来的安全问题也不断增多,为及时快速处理各种故障和安全事件,防范与化解安全风险,保障网络连续性以及高质量的服务水平,特制定《上海世茂网络与信息安全工作管理办法》,以下简称“本办法”。
第二条本办法依据《中华人民共和国计算机信息系统安全保护条例》,参考《ISO27001信息安全管理体系规范》而制定。
第三条本办法的适用范围包括上海世茂信息系统在规划、设计、开发、建设和运行维护过程中所涉及到的各种安全问题,包括组织管理、物理安全、操作系统安全、应用安全、数据安全、网络架构安全、安全事件处理。
第四条上海世茂网络与信息安全工作的管理原则
1.整体规划,分步实施:
需要对网络与信息安全工作进行整体规划,分步实施,逐渐建立完善的网络与信息安全体系。
2.三同步原则:
安全系统应与业务系统及网络同步规划、同步建设、同步运行。
3.适度安全:
安全具有相对性和动态性的特点,必须做好安全建设的成本效益分析,在安全性和投入成本之间、安全性和易用性之间做好平衡工作。
第五条本办法中的安全是指信息系统的安全。
第二章安全组织管理
第一节安全组织原则
第六条上海世茂安全工作管理由信息化领导小组统一来制定。
第二节安全组织结构
第七条成立上海世茂网络与信息安全领导小组,全面负责上海世茂网络与信息安全各项工作。
第八条领导小组下设IT总监,贯彻“信息化领导小组”的安全管理决策,作为执行管理机构。
资讯科技部作为信息安全工作的主要执行机构,负责信息安全日常工作,IT总监下属包括应用和运维两个专业工作组。
第三章安全策略
第九条上海世茂安全策略体系是用于指导上海世茂的安全管理工作,明确信息安全的工作职责、内容、方法和流程的一套文档,它覆盖了IT系统的整个生命周期,对系统和网络的规划、设计、建设、运维以及检查评估都提出了相应的安全要求。
第一十条上海世茂安全策略由资讯科技部、各部门提出需求,由资讯科技部组织制定。
第一十一条上海世茂的安全策略由上海世茂信息安全领导小组批准和发布,由资讯科技部组织宣传和培训,并监督各部门执行落实。
第一十二条资讯科技部及各专业工作小组负责检查和考核策略的贯彻和实施,并建立安全策略违反报告制度。
第一十三条资讯科技部建立安全策略定期审核更新的制度和机制,定期对安全策略的有效性进行审核,并根据情况进行更新。
第四章安全管理制度
第一节概述
第一十四条为做好上海世茂网络与信息安全管理,必须做好安全规划和建设,完善物理环境安全,加强工作人员安全管理和教育,建立信息资产安全管理制度。
完善安全运维、事件处理、应急响应等安全工作。
第二节安全规划与建设
第一十五条上海世茂安全规划明确安全建设原则,为网络与信息安全建设明确建设方向和蓝图。
第一十六条安全规划小组要根据上海世茂现有情况做好安全规划工作,制定近期(1~2年)总体安全规划和中长期(3~5年)安全建设目标,制定网络建设规划和人员计划,满足信息系统正常安全保障并适应未来的发展战略。
第一十七条安全规划应考虑信息安全管理体系和安全技术架构的建设,根据网络发展规划适度超前建设,并考虑统一安全管理要求和统一安全技术基础设施。
第一十八条应在上海世茂信息系统规划、设计、开发、实施、运维的整个生命周期中各个阶段充分考虑并实施安全控制措施。
第一十九条在特殊情况下,应预先明确风险,并指出应采取的控制措施。
第二十条应对网络与系统建设过程中存在的安全风险进行严格的安全过程控制。
第三节物理安全管理
第二十一条物理安全管理的目标是通过加强工作环境安全,防止对上海世茂工作场所和信息资源的非法访问、破坏和干扰。
第二十二条相关部门应按照上海世茂关于机房建设及管理等标准,对机房场地与设施进行安全建设,并进行分级、分区安全管理。
机房安全建设和改造应通过资讯科技部的安全审批和验收,并建立、健全严格的机房安全管理制度。
第二十三条信息资产主管部门及使用部门必须保证关键或敏感的数据信息处理设备放置在安全的区域,并使用适当的物理防护设备和访问控制手段。
第二十四条应加强办公区的物理访问控制。
第四节人员安全管理
第二十五条信息安全管理人员应当政治过硬、业务素质高、遵纪守法、恪尽职守。
第二十六条应建立相应制度以及相应技术手段加强对第三方人员的安全管理。
第二十七条违反国家法律、法规和行业规章受到处罚的人员,不得从事信息安全管理工作。
第二十八条信息安全管理人员调离岗位,必须办理调离手续,承诺其调离后的保密义务。
第二十九条信息安全岗位人员必须具备相应的资质并签定保密协议。
信息安全管理人员应定期接受政治思想教育、职业道德教育和安全保密教育。
第三十条信息安全管理人员职责:
(1)负责计算机安全管理的日常工作;
(2)开展计算机安全检查工作,对要害岗位人员安全工作进行指导;
(3)开展计算机安全知识的培训和宣传工作;
(4)监控计算机安全总体状况,提出安全分析报告;
了解行业动态,为改进和完善计算机安全管理工作,提出安全防范建议;
(5)及时向计算机安全工作领导小组和有关部门、单位报告计算机安全事件。
第三十一条信息安全管理人员发现本单位所使用信息系统中的重大安全隐患,有权向上级报告。
第三十二条信息安全管理人员发现系统操作人员使用不当,应及时建议有关单位、部门进行调整。
第三十三条信息安全管理人员必须严格遵守国家有关法律、法规和行业规章,严守国家、行业和岗位秘密。
第三十四条信息安全管理人员应定期参加下列计算机安全知识和技能的培训:
(1)计算机安全法律法规及行业规章制度的培训;
(2)计算机安全基本知识的培训;
(3)计算机安全专项技能的培训。
第五节安全培训
第三十五条工作人员安全意识是安全管理工作开展的基础和前提,安全管理工作组应建立安全意识教育计划,通过持续的安全教育,提高人员安全意识。
第三十六条建立安全技术培训计划,通过各种培训方式,提高各级管理人员和专业人员安全技能,降低安全操作风险。
第六节信息资产安全管理
(一)资产管理
第三十七条上海世茂信息资产包括所拥有各种信息及其载体,存在有形资产和无形资产,包括计算机设备、系统软件、应用软件、数据、文档等。
第三十八条严格执行上海世茂设备管理部门有关设备管理的各项规章制度,对资讯科技部管理的设备进行编号、登记、建立完善、准确的台帐。
第三十九条每半年,对全局计算机网络设备进行一次全面检查和维护。
每年末,资讯科技部对固定资产清查一次。
第四十条各级信息资产责任者必须严格遵守相关制度,保证信息资产的机密性、完整性和可用性。
第四十一条信息系统资产管理具体办法参见《上海世茂信息资产安全管理办法》。
(二)版权要求
第四十二条上海世茂与计算机信息系统承建商签订建设合同时,承建商应当保证产品无侵犯他人版权要求。
第四十三条承建商在计算机信息系统建设中使用第三方产品时,必须事先得到上海世茂资讯科技部认可并具有第三方产品书面授权。
(三)安全专用产品
第四十四条本规定所称安全专用产品,是指用于保护计算机信息系统安全的专用软件、硬件产品。
第四十五条安全专用产品准入、选型、采购部署工作由资讯科技部统一组织实施。
安全专用产品有下列情形之一的,取消其准入资格:
(1)安全专用产品的功能已发生变化,但未通过检测的;
(2)经使用发现有严重问题的;
(3)能提供良好售后服务的;
(4)国家有关部门取消其销售资格的。
第四十六条安全专用产品在使用中,系统管理员应监测生成的信息,对生成的信息应及时分析并作出分析报告;在监测中如发现重大问题,应立即采取相应控制措施并将有关情况逐级上报;安全专用产品使用中产生的重要报告应备份存档,并按密级资料管理方式履行有关手续。
第七节安全运维管理
第四十七条安全维护管理的目标是通过建立和执行对网络和操作系统的安全维护流程和安全维护作业计划,来保障提供高质量的信息系统服务能力和通信能力。
第四十八条安全维护工作主要包括硬件入网管理、病毒防范管理、密码管理、系统和数据备份、日志管理和审计、软件版本管理和补丁加载。
第四十九条网络、主机的相关人员、维护计划配置应随网络调整进行更新。
第八节安全事件处理
第五十条安全事件处理的原则是“积极预防、及时发现、快速响应、确保恢复”。
第五十一条系统宕机引起相关部门无法进行业务操作,非法侵入、破坏计算机信息系统,利用计算机实施诈骗、盗窃、贪污、挪用公款的计算机犯罪案件,以及造成不良社会影响的计算机安全事故,属于信息安全事故。
第五十二条各相关部门根据要求建立详细的安全事件响应机制,规定在安全事件的发现、上报、分析、处理、总结和奖惩阶段的相关责任和程序,最大限度地减少安全事件造成的损害。
第五十三条对安全事件做好记录和存档工作,记录内容包括事件的起因、处理过程、处理结果、建议改进的安全对策等。
第九节应急计划
第五十四条针对不同的安全事件,必须制定相应的应急计划,内容至少包括计划的准备、演练、实施、系统恢复方案四个组成部分,各部门应定期上报应急计划内容。
第五十五条通过应急计划的演练测试检查应急计划的有效性和资源的可用性,并根据演练结果进行应急计划的调整。
第一十节系统开发与维护
(一)承建商管理
第五十六条资讯科技部是全局计算机信息系统承建商管理的第一责任人。
第五十七条计算机信息系统承建商必须遵守上海世茂信息安全管理制度,必须签署保密协议;在提供优质的开发、维护服务的同时,不得擅自修改正式生产系统中的数据。
(二)计算机信息系统建设
第五十八条计算机信息系统的规划和建设应同步做好系统安全保护工作,以确保系统安全目标的实现。
重要计算机信息系统立项的安全管理实行审批制度。
对初审合格的项目申报材料,应进行安全性专项审查,提出审查意见后由资讯科技部最后审批。
对没有通过安全管理审查的项目,不得予以立项。
第五十九条计算机信息系统的开发必须符合软件工程规范,并在软件开发的各阶段按照安全管理目标进行管理和实施。
计算机信息系统的开发人员或参加开发的协作单位应经过严格资格审查,并签订保密协议书,承诺其负有的安全保密责任和义务。
计算机信息系统的开发环境和现场应当与生产环境和现场隔离。
计算机信息系统开发完成后,开发人员或参加开发的外部单位应及时移交程序源代码及其相关技术文档。
第六十条计算机信息系统投入运行前,应向资讯科技部系统管理员提交性能测试报告;系统管理员对性能测试报告进行初步审查;初审合格后,安排生产环境部署。
(三)计算机信息系统运行
第六十一条计算机信息系统的使用部门应当严格用户和密码(口令)的管理,业务操作员应严格按照操作培训要求进行操作,保证系统安全运行;对计算机信息系统在运行过程中出现的异常现象,有责任向部门领导和资讯科技部报告。
第六十二条计算机信息系统应定期进行数据备份,对备份介质应按有关规定指定专人妥善保管。
重要计算机信息系统应当制定应急计划,保证业务的不间断运行。
第六十三条系统管理员应合理配置操作系统、数据库管理系统所提供的安全审计功能,以达到相应安全等级标准,应及时安装正式发布的系统补丁,修补系统存在的安全漏洞;并屏蔽与应用系统无关的所有网络功能,防止非法用户的侵入;
第六十四条系统管理员不得泄露操作系统、数据库的系统管理员帐号、密
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 信息 安全 工作 管理办法