TITLE三二一（北京）科技有限企業信息安全方略8月版本控制版本修改時間修改內容修改人員審核人員V1.0-08-25新增陳達隆吳為問總則為了建立、健全三二一（北京）科技有限企業的信息安全管理制度，按照有關的國標，確定信息安全方針和目的，對信息安全風險進行有效管理，保證全體員工理解并遵照信息安全管理制度的有關規定執行，改善信息安全管理制度的有效性，特制定信息安全方略文檔。本文檔合用于三二一（北京）科技有限企業信息安全管理活動。信息安全范圍信息安全方略波及的范圍包括：企業全體員工。企業所有業務系統。企業既有信息資產，包括與上述業務系統有關的數據、硬件、軟件、服務及文檔等。企業辦公場所和上述信息資產所處的物理位置。信息安全總體目的通過建立健全企業各項信息安全管理制度、加強企業員工的信息安全培訓和教育工作，制定適合企業的風險控制措施，有效控制信息系統面臨的安全風險，保障信息系統的正常穩定運行。信息安全方針企業主管領導定期組織有關人員召開信息安全會議，對有關的信息安全重大問題做出決策。清晰識別所有資產，實行等級標識，對資產進行分級、分類管理，并編制和維護所有重要資產的清單。綜合使用訪問控制、監測、審計和身份鑒別等措施來保證數據、網絡、信息資源的安全，并加強對外單位人員訪問信息系統的控制，減少系統被非法入侵的風險。啟動服務器操作系統、網絡設備、安全設備、應用軟件的曰志功能，定期進行審計并作對應的記錄。明確全體員工的信息安全責任，所有員工必須接受信息安全教育培訓，提高信息安全意識。針對不一樣崗位，制定不一樣等級培訓計劃，并定期對各個崗位人員進行安全技能及安全認知考核。建立安全事件匯報、事故應答和分類機制，確定匯報可疑的和發生的信息安全事故的流程，并使所有的員工和有關方都能理解和執行事故處理流程，同步妥善保留安全事件的有關記錄與證據。對顧客權限和口令進行嚴格管理，防止對信息系統的非法訪問。制定完善的數據備份方略，對重要數據進行備份。數據備份定期進行還原測試，備份介質與原信息所在場所應保持安全距離。與外單位的外包（服務）協議應明確規定協議參與方的安全規定、安全責任和安全規定等有關安全內容，并采用對應措施嚴格保證對協議安全內容的執行。在開發新業務系統時，應充足考慮有關的安全需求，并嚴格控制對項目有關文獻和源代碼等敏感數據的訪問。定期對信息系統進行風險評估，并根據風險評估的成果采用對應措施進行風險控制。上述方針由信息安全管理委員會同意公布，并定期評審其合用性和充足性，必要時予以修訂。信息安全職責信息安全管理委員會負責同意信息安全方略文獻并且保證本文獻被企業的各部門執行，同步負責對三二一（北京）科技有限企業信息系統信息安全面的指導方向、安全建設等重大問題做出決策，協調各個部門之間的安全協同工作，支持和推進信息安全工作在整個企業范圍內的實行。信息技術部負責詳細執行安全管理方略文獻的建立、實行、運作、監控、評審、維護和改善工作。三二一（北京）科技有限企業所有員工有責任理解自身在信息系統信息安全面的責任并認真執行。信息安全管理原則信息安全管理工作實行“積極防備、突出重點、職責到位、保障業務”和“誰主管、誰負責”的管理原則。信息安全方略安全管理制度方略由企業統一制定信息安全工作的總體方針和安全方略，闡明安全工作的總體目的、范圍、原則和安全框架，形成由安全方略、管理制度、操作規程等構成的全面的信息安全管理制度體系。信息技術部負責安全管理制度的制定，安全管理制度應具有統一的格式和版本控制，同步并組織有關人員對制定的安全管理制度進行論證和審定，并通過臍橙金融網絡借貸信息中介平臺進行公布。信息安全管理委員會負責定期組織有關部門和有關人員對安全管理制度體系的合理性和合用性進行審定，對存在局限性或需要改善的安全管理制度進行修訂。安全管理機構方略成立信息安全管理委員會，全面負責信息安全工作。信息技術部作為信息安全管理工作的職能部門，并設置安全管理專人，并設置應用系統管理員、數據庫管理員、網絡管理員等崗位，并定義各崗位的職責。關鍵事務崗位應配置AB角。針對系統變更、重要操作、物理訪問和系統接入等事項建立審批程序，按照審批程序執行審批過程，對重要活動建立逐層審批制度，并定期審查審批事項，及時更新需授權和審批的項目、審批部門和審批人等信息，并記錄審批過程并保留審批文檔。加強組織內部的合作與溝通，定期召開協調會議，共同協作處理信息安全問題，并加強外聯單位合作與溝通，并制定外聯單位聯絡列表。制定安全審核和安全檢查制度，規范安全審核和安全檢查工作，定期按照程序進行安全審核和安全檢查活動。人員安全方略人力行政部負責員工錄取，嚴格規范人員錄取過程，對被錄取人的身份、背景、專業資格和資質等進行審查，對其所具有的技術技能進行考核，并簽訂保密協議。員工應根據崗位職責規定嚴格履行其安全角色和職責，重要包括：保護資產免受未授權的訪問、泄漏、修改、銷毀或干擾，執行特定的安全過程或活動，匯報安全事件或其他風險。安全角色和職責必須清晰的傳達給所有員工，保證他們能清晰各自的安全責任。定期對各個崗位的人員進行安全技能及安全認知的考核，對關鍵崗位的人員要進行全面、嚴格的安全審查和技能考核。外單位人員在訪問企業信息處理設施前必須簽訂保密協議，保密協議內容包括外單位人員訪問信息資產的權利、承擔的安全責任、違反職責要承擔的後果等。負責接待人員或部門要保證外單位人員理解保密協議的條款和內容，并同意協議規定的權利和責任。企業重要領導承擔管理職責，保證所有員工和外單位人員能按照安全方針、方略和程序進行平常工作。管理職責包括使所有員工和外單位人員清晰理解各自的安全角色和安全職責、提高他們的安全意識和安全技能等。定期對所有員工進行安全培訓，培訓內容包括安全方針、方略、程序、信息處理設施對的使用措施、安全意識等。根據人員的安全角色和職責制定不一樣的培訓計劃，保證所有員工和外單位人員能認識到信息安全問題和信息安全事件，并能按照各自的安全角色履行安全職責。制定正式的紀律處理過程，來嚴厲處理安全違規的員工，并威懾其他員工，防止他們違反安全方略、程序和其他安全違規。紀律處理要對的、公平，要根據違規的性質、重要性和對業務的影響等原因區別看待。當員工離職或調離其他崗位、外單位人員協議期滿時，立即終止本來的安全角色和安全職責，并告知中心所有員工，使所有員工能及時清晰人員的變化。當員工離職或調離其他崗位、外單位人員協議期滿時，及時償還其使用的所有資產，如設備、軟件、文獻、訪問卡、電子資料等，防止對資產的非授權使用，及時刪除其對信息和信息處理設施的訪問權限。系統建設方略信息技術部負責對信息系統的安全建設進行總體規劃，制定近期和遠期的安全建設工作計劃；信息技術部根據信息系統的等級劃分狀況，統一考慮安全保障體系的總體安全方略、安全技術框架、安全管理方略、總體建設規劃和詳細設計方案，并形成配套文獻。應組織有關部門和有關安全技術專家對總體安全方略、安全技術框架、安全管理方略、總體建設規劃、詳細設計方案等有關配套文獻的合理性和對的性進行論證和審定，并且通過同意後，才能正式實行。信息技術部負責安全產品的采購，保證安全產品采購和使用符合國家的有關規定，而密碼產品采購和使用符合國家密碼主管部門的規定，在采購前應預先對產品進行選型測試，確定產品的候選范圍，并定期審定和更新候選產品名單。業務系統的開發、測試和運行設施要分離并進行控制，控制措施包括敏感數據不能拷貝到測試系統環境中、嚴禁開發和測試人員訪問運行系統及其信息等，以減少對運行設施及其信息的未授權訪問和帶來的潛在風險。定期根據外包服務協議中的安全規定，監視、評審由外單位提供的服務、匯報和記錄，監督協議規定的信息安全條款和條件的嚴格執行。監視、評審內容包括監視服務執行效率，評審服務匯報，審查外包服務的安全事件、操作問題、故障、失誤追蹤和破壞的記錄。授權信息技術部負責工程實行過程的管理，工程實行前應制定詳細的工程實行方案控制實行過程，并規定工程實行單位能正式地執行安全工程過程，并制定工程實行方面的管理制度，明確闡明實行過程的控制措施和人員行為準則。新業務系統或升級版本在正式上線前，要進行合適的測試，并根據驗收規定和原則進行正式的驗收，以證明所有驗收準則完全被滿足。系統建設完畢後應制定詳細的系統交付清單，并根據交付清單對所交接的設備、軟件和文檔等進行清點；應提供系統建設過程中的文檔和指導顧客進行系統運行維護的文檔，同步對負責系統運行維護的技術人員進行對應的技能培訓。信息技術部負責等級測評的管理，并在系統運行過程中，對信息系統應每年進行一次等級測評，應選擇具有國家有關技術資質和安全資質的測評單位，發現不符合對應等級保護原則規定的及時整改；同步在系統發生變更時及時對系統進行等級測評，發現級別發生變化的及時調整級別并進行安全改造，發現不符合對應等級保護原則規定的及時整改。在選擇安全服務商時應符合國家的有關規定，并與選定的安全服務商簽訂與安全有關的協議，明確約定有關責任，同步保證選定的安全服務商提供技術培訓和服務承諾，必要的與其簽訂服務協議。系統運維方略所有的資產要指定專人責任，并對負責人賦予對應的職責，保證所有資產都可以核查。根據資產的重要性、業務價值、依賴程度，對所有資產進行分類、分級，編制資產的清單。對資產清單妥善保管，并在資產變更時及時更新清單，保證可以對資產進行有效的保護。應對磁帶、磁盤、閃盤、可移動硬件驅動器、CD、DVD、打印媒體等進行有效的管理，防止非授權的使用和破壞。對可移動存儲介質的管理包括所有介質應存儲在符合制造商闡明的安全、保密環境中，使用介質要進行授權、登記并追蹤審計等。應對不再需要的介質進行安全處置，減少介質敏感信息泄漏給未授權人員的風險。應對信息系統有關的多種設備（包括備份和冗余設備）、線路等指定專門的部門或人員定期進行維護管理。應建立配套設施、軟硬件維護方面的管理制度，對其維護進行有效的管理，包括明確維護人員的責任、涉外維修和服務的審批、維修過程的監督控制等，應保證信息處理設備必須通過審批才能帶離機房或辦公地點。重要的紙質文檔應實行借閱登記制度，未經信息技術部領導同意，任何人不得將技術文檔轉借、復制或對外公開;重要的電子文檔應建立OA等電子化辦公審批平臺進行管理。應對通信線路、主機、網絡設備和應用軟件的運行狀況、網絡流量、顧客行為等進行監測和報警，形成記錄并妥善保留；同步組織有關人員定期對監測和報警記錄進行分析、評審，發現可疑行為，形成分析匯報，并采用必要的應對措施。應指定專人對網絡和主機進行惡意代碼檢測并保留檢測記錄；定期檢查信息系統內多種產品的惡意代碼庫的升級狀況并進行記錄，對主機防病毒產品、防病毒網關和郵件防病毒網關上截獲的危險病毒或惡意代碼進行及時分析處理，并形成書面的報表和總結匯報。應建立對所有密鑰的產生、分發和接受、使用、存儲、更新、銷毀等方面進行管理的制度，密鑰管理人員必須是本機構在編的正式員工。應建立變更管理制度，系統發生變更前，制定變更方案，同步向主管領導申請，變更和變更方案通過評審、審批後方可實行變更，并在實行後將變更狀況向有關人員通告。遵照信息安全事故匯報機制，匯報也許對中心的信息資產安全導致影響的不一樣種類的安全事故和弱點，并保證所有的員工、協議方和外單位人員都遵守執行這套匯報程序。對安全事故進行分類和分級，及時對信息安全事故的類型、頻率和影響等進行評估，并采用合適措施防止事故再次發生。應建立有效的技術保障機制，保證在安全事件處置過程中不會因技術能力缺乏而導致處置中斷或延長應急處置時間。應建立應急預案，在統一的應急預案框架下制定不一樣事件的應急預案，應急預案框架應包括啟動應急預案的條件、應急處理流程、系統恢復流程、事後教育和培訓等內容；同步應從人力、設備、技術和財務等方面保證應急預案的執行有足夠的資源保障。物理安全方略運行維護部負責機房安全，并配置機房安全管理人員，對機房的出入、服務器的開機或關機等工作進行管理；應定期對機房供配電、空調、溫濕度控制等設施進行維護管理。應建立機房安全管理制度，對有關機房物理訪問，物品帶進、帶出機房和機房環境安全等方面的管理作出規定。在機房內設置安全防盜報警裝置和監控系統來實現防盜、防毀、保障設備的安全。按照有關設計規范和技術規定，在機房設計和建設中做好靜電防護設施、防雷裝置和接地保護系統。必須建立警報系統，在發現私自進入受控區域時發出警報。對于重要的數據要進行備份，備份數據的寄存位置應符合GBJ45-82中規定的一級耐火等級，符合防火、防高溫、防水、防震等規定；定期對備份數據進行檢查，保證其可用性。對于辦公環境，應加強企業人員的保密性管理，工作人員調離辦公室應立即交還該辦公室鑰匙、不在辦公區接待來訪人員、離開電腦時應鎖屏、在辦公桌面不得擺放具有企業客戶數據等敏感信息的文獻。主機安全方略應指定專人對系統進行管理，劃分系統管理員角色，明確各個角色的權限、責任和風險，權限設定應當遵照最小授權原則；并建立系統安全管理制度，對系統安全方略、安全配置、曰志管理和平常操作流程等方面作出詳細規定；同步根據操作手冊對系統進行維護，詳細記錄操作曰志，包括重要的平常操作、運行維護記錄、參數的設置和修改等內容，嚴禁進行未經授權的操作。應提高全體顧客的防病毒意識，安裝防病毒軟件，及時告知防病毒軟件版本，在讀取移動存儲設備上的數據以及網絡上接受文獻或郵件之前，先進行病毒檢查，對外來計算機或存儲設備接入網絡系統之前也應進行病毒檢查。當因內外部審核、軟件開發、軟件安裝或其他規定需求而需要特殊的訪問賬號時，賬號必須被授權；創立的曰期期限必須明確；工作結束時此賬號必須刪除。所有賬號都必須使用分派的顧客進行唯一性標識。應指派專人負責刪除個人賬號；必須將修改顧客賬號有關信息的過程文獻化；必須定期評審既有賬號的有效性，并將此過程文獻化。操作系統應遵照最小安裝的原則，僅安裝需要的組件和應用程序，并通過設置升級服務器等方式保持系統補丁及時得到更新。應定期的對服務器和重要客戶端上的每個操作系統顧客和數據庫顧客進行審計，審計內容包括重要顧客行為、系統資源的異常使用和重要系統命令的使用等系統內重要的安全有關事件。在訪問操作系統過程中，對于不活動的會話必須設定在一種不活動周期後關閉，以防止未授權人員訪問和拒絕服務襲擊。記錄系統管理員和系統操作員的操作曰志，并定期評審這些曰志信息。系統管理員和系統操作員的曰志應包括事件發生的時間，波及的帳號和管理員或操作員，事件或故障的信息內容等信息。網絡安全方略應建立網絡安全管理制度，對網絡安全配置、曰志保留時間、安全方略、升級與打補丁、口令更新周期等方面作出規定；同步應指定專人對網絡進行管理，負責運行曰志、網絡監控記錄的平常維護和報警信息分析和處理工作；應實現設備的最小服務配置，并對配置文獻進行定期離線備份；應定期對網絡系統進行漏洞掃描，對發現的網絡系統安全漏洞進行及時的修補；應根據廠家提供的軟件升級版本對網絡設備進行更新，并在更新前對既有的重要文獻進行備份。應保證所有與外部系統的連接均得到授權和同意；并根據安全方略容許或者拒絕便攜式和移動式設備的網絡接入；同步定期檢查違反規定撥號上網或其他違反網絡安全方略的行為。計算機設備假如無人值守必須啟動