文件编码:CCRC-ISV-C01:2018
信息安全服务规范
2018-05-25发布 2018-06-01实施
中国网络安全审查技术与认证中心发布
目录
1. 适用范围 (1)
2. 规范性引用文件 (1)
3. 术语与定义 (1)
3.1. 信息安全服务 (1)
3.2. 信息安全风险评估 (1)
3.3. 信息安全应急处理 (1)
3.4. 信息系统安全集成 (1)
3.5. 信息系统灾难备份与恢复 (1)
3.6. 软件安全开发 (2)
3.7. 信息系统安全运维 (2)
3.8. 网络安全审计 .................................................................................. 错误!未定义书签。
3.9. 工业控制系统安全 (2)
4. 通用评价要求 (2)
4.1. 三级评价要求 (2)
4.1.1. 法律地位要求 (2)
4.1.2. 财务资信要求 (2)
4.1.3. 办公场所要求 (2)
4.1.4. 人员能力要求 (3)
4.1.5. 业绩要求 (3)
4.1.6. 服务管理要求 (3)
4.1.7. 服务技术要求 (3)
4.2. 二级评价要求 (3)
4.2.1. 法律地位要求 (4)
4.2.2. 财务资信要求 (4)
4.2.3. 办公场所要求 (4)
4.2.4. 人员能力要求 (4)
4.2.5. 业绩要求 (4)
4.2.6. 服务管理要求 (4)
4.2.7. 技术工具要求 (5)
4.2.8. 服务技术要求 (5)
4.3. 一级评价要求 (5)
4.3.1. 法律地位要求 (5)
4.3.2. 财务资信要求 (5)
4.3.3. 办公场所要求 (5)
4.3.4. 人员素质与资质要求 (6)
4.3.5. 业绩要求 (6)
4.3.6. 服务管理要求 (6)
4.3.7. 技术工具要求 (7)
4.3.8. 服务技术要求 (7)
5. 专业评价要求 (7)
5.1. 风险评估服务资质专业评价要求 (7)
5.2. 安全集成服务资质专业评价要求 (7)
5.3. 应急处理服务资质专业评价要求 (7)
5.4. 灾难备份与恢复服务资质专业评价要求 (7)
5.5. 软件安全开发服务资质专业评价要求 (7)
5.6. 安全运维服务资质专业评价要求 (7)
5.7. 网络安全审计服务资质专业评价要求 (7)
5.8. 工业控制系统安全服务资质专业评价要求 (7)
附录A(规范性附录):信息安全风险评估服务资质专业评价要求 (8)
附录B(规范性附录):信息系统安全集成服务资质专业评价要求 (11)
附录C(规范性附录):信息安全应急处理服务资质专业评价要求 (14)
附录D(规范性附录):信息系统灾难备份与恢复服务资质专业评价要求 (18)
附录E(规范性附录):软件安全开发服务资质专业评价要求 (22)
附录F(规范性附录):安全运维服务资质专业评价要求 (26)
附录G(规范性附录):网络安全审计服务资质专业评价要求 (29)
附录H(规范性附录):工业控制系统安全服务资质专业评价要求 (35)
附录I:信息安全服务人员能力要求 (41)
附录J: 参考文献 (64)
1.适用范围
本规范规定了信息安全服务提供者(以下简称服务提供者)在提供服务时应具备的服务安全通用要求和专业服务能力要求。
本规范可作为第三方认证机构对服务提供者的评价依据,也可作为服务提供者开展自我评价的依据,同时,可为政府及有关社会组织选择服务提供者提供参考。
2.规范性引用文件
本规范未引用其他标准和文件。
3.术语与定义
3.1.信息安全服务
由供应商、组织机构或人员执行的一个安全过程或任务。
(ISO/IEC TR 15443-1:2005《信息技术 安全技术 信息技术安全保障框架 第一部分:总揽和框架》)
3.2.信息安全风险评估
对特定威胁利用单个或一组资产脆弱性的可能性以及由此可能给组织带来的损害进行识别、分析和评价的过程。
3.3.信息安全应急处理
为应对信息系统运行过程中突发/重大信息安全事件的发生所做的准备,在事件发生时,按照既定的程序对事件进行处理,以及在事件发生后所采取措施的过程。
3.4.信息系统安全集成
按照信息系统建设的安全需求,采用信息系统安全工程的方法和理论,将安全单元、产品部件进行集成的行为或活动。
3.5.信息系统灾难备份与恢复
将信息系统的数据、数据处理系统、网络系统、基础设施、专业技术支持能力和运行管理能力进行备份,并在灾难发生时,将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态、将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态的过程。
注:信息系统灾难备份与恢复分为资源服务类(A类)、技术服务类(B类)两个类别。
资源服务类(A类),指灾难备份资源服务提供方需具备灾备中心场地资源、基础设施、运维管理等能力。
技术服务类(B类),指灾难备份技术服务提供方实施灾备技术服务时具备灾备方案设计、系统建设与管理、预案制定与演练等能力。
3.6.软件安全开发
为解决软件产品的漏洞问题,而将安全活动集成到系统开发和软件质量保证活动中,在软件开发的每个关键点嵌入安全要素,通过安全需求分析、安全设计、安全编码、安全测试等专业手段,解决各阶段可能出现的安全问题,有效减少软件产品潜在的漏洞数量提高软件产品安全质量的活动。
3.7.信息系统安全运维
从面向业务的运维服务出发,依据安全需求对信息系统进行安全运维准备、安全运维实施,并对实施安全运维服务的有效性进行评审,从而进行持续性改进,全过程、全生命周期地为信息系统运行提供安全保障的过程。
3.8.网络安全审计
网络安全审计是指网络安全审计机构对被审计方所属的计算机信息系统的安全性、可靠性和经济性进行检查、监督,通过获取审计证据并对其进行客观评价所开展的系统的、独立的、形成文件的活动。
3.9.工业控制系统安全
工业控制系统安全服务围绕提升工业控制系统的高可用性和业务连续性,提升功能安全、物理安全和信息安全的保障能力为目标,涉及工业控制系统设计、建设、运维和技改各个阶段,主要包括系统集成、系统运维、应急处理、风险评估等工业控制系统安全服务,形成系统的、独立的、形成文件的过程。
4.通用评价要求
通用评价要求适用于风险评估、安全集成、应急处理、灾难备份与恢复、软件安全开发、安全运维、网络安全审计、工业控制系统安全服务等类别的信息安全服务认证评价,均分为三个级别,其中一级最高。
4.1.三级评价要求
4.1.1.法律地位要求
a)在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。
b)遵循国家相关法律法规、标准要求,无违法违规记录,资信状况良好。
4.1.2.财务资信要求
组织经营状况正常,建立财务管理制度,可为安全服务提供必要的财务支持。
4.1.3.办公场所要求
拥有长期固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。
4.1.4.人员能力要求
a)组织负责人拥有2年以上信息技术领域管理经历。
b)技术负责人具备信息安全服务(与申报类别一致)管理能力,经评价合格(与申报类别一
致),评价要求见附录I。
c)项目负责人、项目工程师具备信息安全服务(与申报类别一致)技术能力,经评价合格,
评价要求见附录I。
4.1.
5.业绩要求
a)从事信息安全服务(与申报类别一致)4个月以上。
b)(监督审核时)近1年内签订并完成至少1个信息安全服务(与申报类别一致)项目。
4.1.6.服务管理要求
a)建立并运行人员管理程序,识别安全服务人员的服务能力要求,明确安全服务人员的岗位
职责、技术能力要求,并通过评价证明其能够胜任其承担的职责。
b)制定服务人员能力培养计划,包括网络与信息安全相关的技术、技能、管理、意识等内容,
并执行计划,确保服务人员持续胜任其承担的职责。
c)建立并运行文档管理程序,包括组织管理、服务过程管理、质量管理等内容,明确项目产
生、发布、保存、传输、使用(包括交付和内部使用)、废弃等环节的文档控制。
d)建立并运行项目管理程序,明确服务项目的组织、计划、实施、风险控制、交付等环节的
操作规程,提供项目风险管理记录。
e)建立并运行保密管理程序,明确岗位保密责任,签订保密协议,并能够适时对相关人员进
行保密教育。
f)建立与运行供应商管理程序,确保其供应商满足服务安全要求(仅适用于安全集成、安全
运维、灾难备份与恢复方向)。
g)建立合同管理程序,制定统一合同模板,按照合同约定实施信息安全服务项目。按照客户
要求,对于接触到的客户敏感信息和知识产权信息予以保护,并确保服务方人员了解客户的相关要求。
4.1.7.服务技术要求
a)建立信息安全服务(与申报类别一致)要求的流程,并按照流程实施。
b)制定信息安全服务(与申报类别一致)要求的规范标准,并按照规范实施。
4.2.二级评价要求
申请方可根据条件直接申请,或获得三级资质一年以上可提出二级申请,服务管理程序文件需建立、发布并运行半年以上。
4.2.1.法律地位要求
a)在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。
b)遵循国家相关法律法规、标准要求,无违法违规记录,资信状况良好。
4.2.2.财务资信要求
组织经营状况正常,制定并执行财务管理制度,可为服务提供必要的财务支持。
4.2.3.办公场所要求
拥有长期固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。
4.2.4.人员能力要求
a)组织负责人拥有3年以上信息技术领域管理经历。
b)技术负责人具备信息安全服务(与申报类别一致)管理能力,经评价合格(与申报类别一
致),评价要求见附录I。
c)项目负责人、项目工程师具备信息安全服务(与申报类别一致)技术能力,经评价合格(与
申报类别一致),评价要求见附录I。
4.2.
5.业绩要求
a)从事信息安全服务(与申报类别一致)3年以上,或取得信息安全服务(与申报类别一致)
三级资质1年以上。
b)近三年内签订并完成至少6个信息安全服务(与申报类别一致)项目。
4.2.6.服务管理要求
a)建立并运行人员管理程序,识别安全服务人员的服务能力要求,明确安全服务人员的岗位
职责、技术能力要求,并通过评价证明其能够胜任其承担的职责。
b)制定服务人员能力培养计划,包括网络与信息安全相关的技术、管理、意识等内容,并执
行计划,确保服务人员持续胜任其承担的职责。
c)建立并运行文档管理程序,包括组织管理、服务过程管理、质量管理等内容,明确产生、
发布、保存、传输、使用(包括交付和内部使用)、废弃等环节的文档控制。配备档案室
及高安全性的文件服务器。
d)建立并运行项目管理程序,明确服务项目的组织、计划、实施、风险控制、交付等环节的
操作规程。
e)建立并运行保密管理程序,明确岗位保密责任,签订保密协议,并能够适时对相关人员进
行保密教育。
f)建立与运行供应商管理程序,明确供应和(或)外包过程中的风险,对供应商和(或)承
包方的服务基本资格、服务过程控制、服务质量、服务交付等进行识别,确保其供应商或承包方满足服务安全要求(仅适用于安全集成、安全运维、灾难备份与恢复方向、工业控制系统安全方向)。
g)建立合同管理程序,制定统一合同模板,按照合同约定实施信息安全服务项目。按照客户
要求,对于接触到的客户敏感信息和知识产权信息予以保护,并确保服务方人员了解客户的相关要求。
h)参照国际或国内标准,建立业务范围覆盖信息安全服务(与申报类别一致)的质量管理体
系,并有效运行半年以上。
i)参照国际或国内标准,建立业务范围覆盖信息安全服务(与申报类别一致)的信息安全管
理体系或信息技术服务管理体系,并有效运行半年以上。
4.2.7.技术工具要求
a)具备独立的测试环境及必要的软、硬件设备,用于技术培训和模拟测试。
b)具备承担信息安全服务(与申报类别一致)项目所需的安全工具,并对工具进行管理和版
本控制。
4.2.8.服务技术要求
a)建立信息安全服务(与申报类别一致)要求的流程,并按照流程实施。
b)制定信息安全服务(与申报类别一致)要求的规范标准,并按照规范实施。
4.3.一级评价要求
申请方须获得二级资质一年以上可提出相同类别的一级申请,且服务管理程序文件需建立、发布并运行一年以上。
4.3.1.法律地位要求
a)在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。
b)遵循国家相关法律法规、标准要求,无违法违规记录,资信状况良好。
4.3.2.财务资信要求
组织经营状况正常,具有财务管理制度,可为服务提供必要的财务支持。
4.3.3.办公场所要求
拥有长期固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。
4.3.4.人员素质与资质要求
a)组织负责人拥有4年以上信息技术领域管理经历。
b)技术负责人具备信息安全服务(与申报类别一致)管理能力,经评价合格(与申报类别一
致),评价要求见附录I。
c)项目负责人、项目工程师具备信息安全服务(与申报类别一致)技术能力,经评价合格(与
申报类别一致),评价要求见附录I。
4.3.
5.业绩要求
a)从事信息安全服务(与申报类别一致)5年以上。
b)近三年内签订并完成至少10个信息安全服务(与申报类别一致)项目。
4.3.6.服务管理要求
a)建立并运行人员管理程序,识别安全服务人员的服务能力要求,明确安全服务人员的岗位
职责、技术能力要求,并通过评价证明其能够胜任其承担的职责。
b)制定服务人员能力培养计划,包括网络与信息安全相关的技术、管理、意识等内容,并执
行计划,确保服务人员持续胜任其承担的职责。
c)建立并运行文档管理程序,包括组织管理、服务过程管理、质量管理等内容,明确产生、
发布、保存、传输、使用(包括交付和内部使用)、废弃等环节的控制。配备档案室及高安全性的文件服务器,至少近两年的项目在文件管理系统中进行管理。
d)建立并运行项目管理程序,明确服务项目的组织、计划、实施、风险控制、交付等环节的
操作规程。
e)建立并运行保密管理程序,明确岗位保密责任,签订保密协议,并能够适时对相关人员进
行保密教育。
f)建立与运行供应商管理程序,明确供应商和(或)外包过程中的风险,对供应商和(或)
承包方的服务基本资格、人员、服务过程控制、服务质量、服务交付、服务安全性等进行识别,确保其供应商或承包方满足服务安全要求(仅适用于安全集成、安全运维、灾难备份与恢复、工业控制系统安全方向)。
g)建立合同管理程序,制定统一合同模板,按照合同约定实施信息安全服务项目。按照客户
要求,对于接触到的客户敏感信息和知识产权信息予以保护,并确保服务方人员了解客户的相关要求。
h)参照国际或国内标准,建立业务范围覆盖信息安全服务(与申报类别一致)的质量管理体
系,并有效运行一年以上。
i)参照国际或国内标准,建立业务范围覆盖信息安全服务(与申报类别一致)的信息安全管
理体系或信息技术服务管理体系,并有效运行一年以上。
j)建立信息安全服务目录,签订服务级别协议。
4.3.7.技术工具要求
a)具备独立的测试环境及必要的软、硬件设备,用于技术培训和模拟测试。
b)具备承担信息安全服务(与申报类别一致)项目所需的安全工具,并对工具进行管理和版
本控制。
4.3.8.服务技术要求
a)建立信息安全服务(与申报类别一致)要求的流程,并按照流程实施。
b)制定信息安全服务(与申报类别一致)要求的规范标准,并按照规范实施。
5.专业评价要求
5.1.风险评估服务资质专业评价要求
风险评估服务资质专业评价要求参见附录A。
5.2.安全集成服务资质专业评价要求
安全集成服务资质专业评价要求参见附录B。
5.3.应急处理服务资质专业评价要求
应急处理服务资质专业评价要求参见附录C。
5.4.灾难备份与恢复服务资质专业评价要求
灾难备份与恢复服务资质专业评价要求参见附录D。
5.5.软件安全开发服务资质专业评价要求
软件安全开发服务资质专业评价要求参见附录E。
5.6.安全运维服务资质专业评价要求
安全运维服务资质专业评价要求参见附录F。
5.7.网络安全审计服务资质专业评价要求
网络安全审计服务资质专业评价要求参见附录G。
5.8.工业控制系统安全服务资质专业评价要求
工业控制系统安全服务资质专业评价要求参见附录H。
附录A(规范性附录): 信息安全风险评估服务资质专业评价要求
信息安全风险评估服务资质专业评价要求针对评估准备、风险识别、风险分析、风险处置四个过程进行,项目实施过程应形成文件,具体分级要求如下:
A1 三级要求
申请三级资质认证的单位,至少有1个完成的风险评估项目,该系统的用户数在1,000以上;具备从管理或(和)技术层面对脆弱性进行识别的能力;具备跟踪信息安全漏洞的能力。
A1.1准备阶段
A1.1.1服务方案制定
a)编制风险评估方案、风险评估模板,并在项目实施过程中按照模板实施。
b)应为风险评估实施活动提供总体计划或方案,方案应包含风险评价准则。
A1.1.2人员和工具准备
a)应组建评估团队。风险评估实施团队应由管理层、相关业务骨干、IT技术人员等组成。
b)应根据评估的需求准备必要的工具。
c)应对评估团队实施风险评估前进行安全教育和技术培训。
A1.2风险识别阶段
A1.2.1资产识别
a)参考国家或国际标准,对资产进行分类。
b)识别重要信息资产,形成资产清单。
c)对已识别的重要资产,分析资产的保密性、完整性和可用性等安全属性的等级要求。
d)对资产根据其在保密性、完整性和可用性上的等级分析结果,经过综合评定进行赋值。 A1.2.2脆弱性识别
a)应对已识别资产的安全管理或技术脆弱性利用适当的工具进行核查,并形成安全管理或技
术脆弱性列表。
b)应对脆弱性进行赋值。
A1.2.3威胁识别
a)应参考国家或国际标准,对威胁进行分类;
b)应识别所评估信息资产存在的潜在威胁;
c)应识别威胁利用脆弱性的可能性;
d)应分析威胁利用脆弱性对组织可能造成的影响。
A1.2.4已有安全措施确认
a)应识别组织已采取的安全措施;
b)应评价已采取的安全措施的有效性。
A1.3风险分析阶段
A1.3.1风险分析模型建立
a)应构建风险分析模型。
b)应根据风险分析模型对已识别的重要资产的威胁、脆弱性及安全措施进行分析。
c)应根据分析模型确定的方法计算出风险值。
A1.3.2风险评价
应根据风险评价准则确定风险等级。
A1.3.3风险评估报告
a)应向客户提供风险评估报告。
b)报告应包括但不限于评估过程、评估方法、评估结果、处置建议等内容。
A2 二级要求
组织申报二级资质,除满足三级能力要求外,还应满足以下要求:
申请二级资质认证的单位,针对多种类型组织,多行业组织,至少完成一个风险评估项目,该系统的用户数在10,000以上;具备从管理和技术层面对脆弱性进行识别的能力;具备跟踪、验证信息安全漏洞的能力。
A2.1准备阶段
A2.1.1服务方案制定
a)应进行充分的系统调研,形成调研报告。
b)宜根据风险评估目标以及调研结果,确定评估依据和评估方法。
c)应形成较为完整的风险评估实施方案。
A2.1.2 人员和工具管理
需采取相关措施,保障工具自身的安全性、适用性。
A2.2风险识别阶段
A2.2.1威胁识别
应识别出组织和信息系统中潜在的对组织和信息系统造成影响的威胁。
A2.3风险分析阶段
A2.3.1风险分析模型建立
构建风险分析模型应将资产、威胁、脆弱性三个基本要素及每个要素各自的属性进行关联。 A2.3.2风险计算方法确定
在风险计算时应根据实际情况选择定性计算方法或定量计算方法。
A2.3.3风险评价
应对不同等级的安全风险进行统计、评价,形成最终的总体安全评价。
A2.3.4风险评估报告
a)风险评估报告中应对本次评估建立的风险分析模型进行说明,并应阐明本次评估采用的风
险计算方法及风险评价方法。
b)风险评估报告中应对计算分析出的风险给予比较详细的说明。
A2.4风险处置阶段
A2.4.1风险处置原则确定
应协助被评估组织确定风险处置原则,以及风险处置原则适用的范围和例外情况。
A2.4.2安全整改建议
对组织不可接受的风险提出风险处置措施。
A3一级要求
组织申报一级资质,除满足二级要求外,还应满足以下要求:
申请一级资质认证的单位,能够在全国范围内,针对5个(含)以上行业开展风险评估服务;至少完成两个风险评估项目,该系统的用户数在100,000以上;具备从业务、管理和技术层面对脆弱性进行识别的能力;具备跟踪、验证、挖掘信息安全漏洞的能力。
A3.1 准备阶段
A3.1.1人员和工具管理
需采取相关措施, 保障工具管理的规范性。
A3.2风险识别阶段
A3.2.1资产识别
a)识别信息系统处理的业务功能,重点识别出关键业务功能和关键业务流程。
b)根据业务特点和业务流程识别出关键数据和关键服务。
c)识别处理数据和提供服务所需的关键系统单元和关键系统组件。
A3.2.2威胁识别
采用多种方法进行威胁调查。
A3.3风险处置阶段
A3.3.1组织评审会
a)协助被评估组织召开评审会。
b)依据最终的评审意见进行相应的整改,形成最终的整改材料。
A3.3.2残余风险处置
a)对组织提出完整的风险处置方案。
b)必要时,对残余风险进行再评估。
附录B(规范性附录): 信息系统安全集成服务资质专业评价要求
信息系统安全集成服务资质专业评价要求针对集成准备、方案设计、建设实施、安全保障四个过程进行,具体分级要求如下:
B1三级要求
B1.1集成准备阶段
B1.1.1需求调研与分析
a)调研客户背景信息,采集系统建设需求和建设目标,明确系统功能、性能及安全性要求。
b)基于系统建设需求,提出产品选型方案和建设预算。
c)结合系统建设和安全需求,与客户、设计、开发等人员充分沟通,达成共识并形成记录。 B1.2方案设计阶段
a)根据系统建设安全需求,编制安全集成技术方案。
b)依据技术方案,编制安全集成实施方案,明确项目人员、进度、质量、沟通、风险等方面
的要求。
c)结合技术方案和实施方案,与客户进行沟通,获得客户认可。
B1.3建设实施阶段
B1.3.1实施集成
a)依据已确认的安全集成项目技术方案和实施方案,按照时间和质量要求进行系统建设。
b)项目实施人员按时提交施工记录和工程日志,及时向项目经理汇报项目进度。
c)建立安全集成项目协调机制,明确责任人,畅通信息沟通渠道,保障各相关方在项目实施
过程中能够有效充分的沟通。
B1.4安全保障阶段
B1.4.1系统测试
a)依据项目技术方案和测试计划,对系统进行联调和系统测试,完整记录测试过程相关信息。
b)对于新建系统重点测试系统的功能、性能和安全性等;对于系统改造或升级项目,还需进
行兼容性测试。
B1.4.2系统试运行
a)为测试系统运行的可靠性和稳定性,系统初验后需进行试运行,并记录系统运行状况。
b)基于系统运行相关记录,及时对系统设备进行调整和维护。
B1.4.3验收
a)根据合同约定,向客户提交完整的项目资料及交付物,并提出终验申请。
b)根据合同约定,配合组织项目验收,出具项目验收报告。
B1.4.4运行维护
根据合同约定,向客户提供维保服务,并形成维保记录。
B2 二级要求
组织申报二级资质,除满足三级能力要求外,还应满足以下要求:
B2.1集成准备阶段
B2.1.1需求调研与分析
a)准确识别和综合分析系统在信息安全特性方面相适应的安全需求。
b)基于客户需求和投入能力,开展需求分析,编制需求分析报告。
B2.2方案设计阶段
a)结合需求分析和客户在保障系统安全方面的投入能力,提出系统建设安全设计说明书,明
确系统架构、产品选型、产品功能、性能及配置等参数。
b)组织客户及相关技术专家对技术方案和实施方案进行论证,确认是否满足系统功能、性能
和安全性要求。
c)结合技术方案,对项目组及第三方配合人员进行业务和技能培训。
B2.3建设实施阶段
B2.3.1实施集成
a)产品、设备安装调试过程中,应完整妥善记录相关信息。
b)项目建设施工完成后,需向客户提交完工报告。
c)项目实施完成后,相关过程记录及时归档,并统一保管。
B2.4安全保障阶段
B2.4.1系统测试
a)系统测试完成后,制定系统测试报告,并提交客户。
b)结合项目需要提出初验申请,组织客户及相关方对项目进行初验,并提交初验报告。
B2.4.2系统试运行
a)系统试运行周期至少一个月。
b)试运行结束后,项目组制定系统试运行报告,并提交客户。
B2.4.3运行维护
建立客户满意度调查机制,并对调查结果进行分析。
B3一级要求
组织申报一级资质,除满足二级要求外,还应满足以下要求:
B3.1集成准备阶段
B3.1.1需求调研与分析
协助客户有效识别系统建设过程中的政策、法律和约束条件,有效规避商业风险和泄密事件。 B3.2方案设计阶段
a)结合项目需要,编制安全集成项目施工手册和作业指导书。
b)对于新建系统,建设实施过程应重点关注信息系统的功能、性能和安全性等方面要求。对
于系统改造,还应考虑改造前技术测试验证及在实施失败后的回退措施。技术测试验证需
要考虑新旧系统的兼容问题,包括网络兼容、系统兼容、应用兼容等。
c)基于安全集成项目需求和进度计划,编制信息安全产品和工具定制开发计划。
B3.3建设实施阶段
B3.3.1实施集成
a)建立项目变更管理程序,对项目实施过程中方案、资源变更进行有效控制,完整记录变更
过程。
b)制定项目应急处置方案和恢复策略,对项目过程中的应急事件及时进行响应。
B3.3.2监督管理
定期对项目实施情况进行评审,采取适当措施,控制项目风险。
B3.4安全保障阶段
B3.4.1系统测试
基于建设系统的安全要求,制定系统安全性测试方案,模拟攻击场景,对系统安全性进行测试。 B3.4.2系统试运行
a)制定系统试运行计划,建立应急响应服务保障团队,及时应对突发事件。
b)综合分析系统运行状态,建立系统运行策略和安全指南,并对相关产品和设备设施进行配
置管理。
c)提供三个月以上的试运行记录和报告。
B3.4.3运行维护
建立维保流程,制定维保方案,并按方案实施维保。
附录C(规范性附录): 信息安全应急处理服务资质专业评价要求
信息安全应急处理服务资质专业评价要求针对准备、检测、抑制、根除、恢复、总结六个过程进行,具体分级要求如下:
C1 三级要求
C1.1准备阶段
组织申报三级资质,应具有处理一般信息安全事件的能力(注:参考国家标准GB/Z 20985-2007 《信息安全事件分类分级指南》,或参考组织所提供应急处理服务的对象所处的行业对信息安全事件的等级划分标准,主要考察有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件几类),具体见以下要求:
a)明确客户的应急需求。
b)了解客户应急预案的内容。
c)向客户提供应急处理服务流程。
d)可提供本地2小时应急响应服务能力。
e)配备有处理网络或信息安全事件的工具包,包括常用的系统命令、工具软件等。
f)工具包应定期更新。
g)配备应急处理服务人员。
h)对在应急处理服务过程中可能会采取的操作、处理等行为,获得用户的书面授权。
C1.2检测阶段
a)确定检测对象及范围。
b)对发生异常的系统进行信息的收集与分析,判断是否真正发生了安全事件。
c)与客户共同确定应急处理方案。
d)应急处理方案应明确检测范围与检测行为规范,其检测范围应仅限于客户已授权的与安全
事件相关的数据,对客户的机密性数据信息未经授权不得访问。
e)与客户充分沟通,并预测应急处理方案可能造成的影响。
f)检测工作应在客户的监督与配合下完成。
C1.3抑制阶段
a)与客户充分沟通,使其了解所面临的首要问题及抑制处理的目的。
b)在采取抑制措施之前,应告知客户可能存在的风险。
c)严格执行抑制处理方案中规定的内容,如有必要更改,须获得客户的书面授权。
d)抑制措施应能够限制受攻击的范围,抑制潜在的或进一步的攻击和破坏行为。
C1.4根除阶段
a)协助客户检查所有受影响的系统,提出根除的方案建议,并协助客户进行具体实施。
b)应明确告知客户所采取的根除措施可能带来的风险。
c)找出导致网络或信息安全事件发生的原因,并予以彻底消除。
C1.5恢复阶段
a)告知客户网络或信息安全事件的恢复方法及可能存在的风险。
b)(如需重建系统时适用该条款)对于不能彻底恢复配置和彻底清除系统上的恶意文件,或
不能肯定系统经过根除处理后是否可恢复正常时,应选择重建系统。
c)(如需重建系统时适用该条款)应协助客户按照系统的初始化安全策略恢复系统。
d)(如需重建系统时适用该条款)应协助客户验证恢复后的系统是否运行正常,并确认与原
有系统配置保持一致。
e)(如需重建系统时适用该条款)在帮助客户重建系统前需进行全面的数据备份,备份的数
据要确保是没有被攻击者改变过的数据。
f)(不需重建系统时适用该条款)应建立重建系统的应急工作流程及规范,并开展重建系统
的应急演练工作。
C1.6总结阶段
a)应保存完整的网络或信息安全事件处理记录,并对事件处理过程进行总结和分析。
b)提供网络或信息安全事件处理报告。
c)提供网络或信息安全方面的建议和意见,必要时指导和协助客户实施。
C2 二级要求
组织申报二级资质,除满足三级要求外,还应满足具有处理较大信息安全事件的能力(注:参考国家标准GB/Z 20985-2007 《信息安全事件分类分级指南》,或参考组织所提供应急处理服务的对象所处的行业对信息安全事件的等级划分标准,主要考察有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件几类),具体见以下要求:
C2.1准备阶段
a)在客户应急需求基础上制定应急服务方案。
b)应急服务方案应涉及客户应急预案的启动与执行。
c)若客户未建立应急预案,可协助客户建立。
d)可提供本地1小时、外地8小时应急响应服务能力。
e)网络与信息安全事件工具包中应配备专业技术检测设备。
f)对工具包实行制度化管理。
C2.2检测阶段
a)建立有针对常规应用系统、安全设备、常见网络与信息安全事件的检测技术规范。
b)协助客户确定安全事件等级。
c)应急处理方案应包含对安全事件的抑制、根除和恢复的详细处理步骤。
d)应急处理方案应包含实施方案失败的应变和回退措施。
C2.5恢复阶段
a)与客户共同制定系统恢复方案,根据实际情况协助客户选择合理的恢复方法。
b)(如需重建系统时适用该条款)帮助客户为重建后的系统建立系统快照。
C2.6总结阶段
a)网络与信息安全事件处理记录应具备可追溯性。
b)提供详实的网络与信息安全事件处理报告,完整展现应急处理服务的整个过程。
C3 一级要求
组织申报一级资质,除满足二级要求外,还应满足具有处理重大及特别重大信息安全事件的能力(注:参考国家标准GB/Z 20985-2007 《信息安全事件分类分级指南》,或参考组织所提供应急处理服务的对象所处的行业对信息安全事件的等级划分标准,主要考察有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件几类。监审时,如无处理重大及特别重大安全事件的服务项目案例,也可查验相关的应急演练记录,或说明所提供应急保障服务的系统的重要程度),具体见以下要求:
C3.1准备阶段
a)建立有体系化的应急处理服务流程。
b)可提供本地7*24小时、外地4小时应急响应服务能力。
c)与客户之间建立安全保密的信息传输渠道。
d)具有自主开发专业检测工具的能力。
C3.2检测阶段
a)建立有完善的检测技术规范及具有对高技术入侵的检测技术能力。
b)具有挖掘系统设备及业务系统安全漏洞的能力。
c)对确认的安全事件启动安全事件管理程序。
d)应急处理方案中应对可能造成的影响进行分析,包括社会影响。
C3.3抑制阶段
应使用可信的工具进行安全事件的抑制处理,不得使用受害系统已有的不可信文件。 C3.4根除阶段
应使用可信的工具进行安全事件的根除处理,不得使用受害系统已有的不可信文件。 C3.5恢复阶段
(如需重建系统时适用该条款)帮助客户对重建后的系统进行全面的安全加固。
C3.6总结阶段
a)对网络与信息安全事件进行总结和分析后,针对典型案例存入事件知识库。
b)提供关闭安全事件管理程序。
c)告知客户所发事件可能涉及到的法律诉讼方面的法律要求或影响。
信息工作管理制度 第一章总则 第一条为了加强信息管理,规范信息安全操作行为,提高信息安全保障能力和水平,维护信息安全,促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等规定,以《环境信息网络管理维护规范》(环保部制定)等标准为基本管理操作准则,制订本管理制度。 第二条本制度适用范围为信息与监控中心,其他单位可参照执行。 第二章岗位管理 第三条业务信息工作人员(包括监控与信息中心技术人员及机关业务系统管理人员)、机房运维人员(包括外包机构人员),应遵循《环境信息网络管理维护规范》等规定。 第四条机房运维人员根据运维合同规定由机房管理部门对其实行管理。 第五条信息工作人员岗位设置为系统管理员、业务管理员、网络管理员、安全管理员、安全审计员。 人员岗位及职责 (一)系统管理员 系统管理员是从事服务器及存储设备运行管理的人
员,业务上应具备熟练掌握操作系统、熟练操作服务器和存储设备的能力。 1、负责指定的服务器、存储等设备的资料登记、软件保管及设备报修。 2、配合完成指定的业务软件运行环境的建立,正式运行后的服务器系统软硬件操作的监管,执行中心的备份策略。 3、在所负责的的服务器、存储设备发生硬件故障时,及时组织有关人员恢复系统的运行,针对系统事故找到系统事故原因。 4、负责指定的服务器操作系统的管理口令修改。 5、负责制定、执行服务器及存储设备故障应急预案。 (二)业务管理员(业务联系人) 业务管理员是部署在应用服务器上的操作系统及业务系统运行管理的人员,业务上应具备业务系统安装及基本调试操作的能力(业务软件厂家负责培训),业务系统及部署操作系统故障分析的能力,预防系统风险的能力。 1、负责维护业务系统的运行及业务系统的安装环境。 2、负责制定、执行业务系统及其数据的备份计划。 3、负责业务数据的数据备份及数据恢复。 4、负责制定执行本业务系统的故障应急预案。 (三)网络管理员
信息安全管理规范 第一章总则 第一条为规范企业信息系统及所承担维护服务的用户信息系统的信息安全管理,促进信息安全管理工作体系化、规范化,提高信息系统和网络服务质量,提高信息系统管理人员、维护人员以及使用人员的整体安全素质和水平,特制定本管理规范。本管理规范目标是为公司信息安全管理提供清晰的策略方向,阐明信息安全建设和管理的重要原则,阐明信息安全的所需支持和承诺。 第二条本规范是指导公司信息安全工作的基本依据,信息安全相关人员必须认真执行本规程,并根据工作实际情况,制定并遵守相应的安全标准、流程和安全制度实施细则,做好安全维护管理工作。 第三条信息安全是公司及所承担的用户信息系统系统运维服务工作的重要内容。公司管理层非常重视,大力支持信息安全工作,并给予所需的人力物力资源。 第四条本规范的适用范围包括所有与公司信息系统及本公司所承担维护服务的各方面相关联的人员,它适用于本公司全部员工,集成商,软件开发商,产品提供商,商务伙伴和使用公司信息系统的其他第三方。 第五条本规范适用于公司所承担服务支撑的外部各单位的信息系统的安全工作范围。 第六条本规范主要依据国际标准ISO17799,并遵照我国信息安全有关法律法规、电信行业规范和相关标准。 第二章安全管理的主要原则 第七条管理与技术并重的原则:信息安全不是单纯的技术问题,在采用安全技术和产品的同时,应重视管理,不断积累完善各个信息安全管理章程与规定,全面提高信息安全管理水平。
第八条全过程原则:信息安全是一个系统工程,应将它落实在系统建设、运行、维护、管理的全过程中,安全系统应遵循与信息系统同步规划、同步建设、同步运行的原则,在任何一个环节的疏忽都可能给信息系统带来危害。 第九条风险管理和风险控制原则:应进行安全风险管理和风险控制,以可以接受的成本或最小成本,确认、控制、排除可能影响公司信息系统的安全风险,并将其带来的危害最小化。 第十条分级保护原则:应根据信息资产的重要程度以及面临的风险大小等因素决定各类信息资产的安全保护级别。制订各类网络系统和信息资产的安全保护等级表,在表中明确资产类别,同时确定对何种资产应达到何种级别的安全。 第十一条统一规划、分级管理实施原则:信息安全管理遵循统一规划、分级管理的原则。信息安全领导小组负责对公司各项信息安全管理工作进行统一规划,负责信息安全管理办法的制定和监督实施。各级部门在信息安全领导小组指导与监督下,负责具体实施。 第十二条平衡原则:在公司信息安全管理过程中,应在安全性与投入成本、安全性和操作便利性之间找到最佳的平衡点。 第十三条动态管理原则:在公司信息安全管理过程中,应遵循动态管理原则,要针对信息系统环境的变动情况及时调整管理办法。 第三章安全组织和职责 第十四条建立和健全信息安全组织,设立由高层领导组成的信息安全领导小组,对于信息安全方面的重大问题做出决策,协调信息安全相关各部门之间的关系,并支持和推动信息安全工作在整个信息系统范围内的实施。 第十五条公司应设置相应的信息安全管理机构,负责信息系统的信息安全管理工作,配备专职安全管理员,由安全管理员具体执行本公司信息安全方面的相关工作。 第十六条公司信息系统的安全管理机构职责如下: 根据本规范制定信息系统的信息安全管理制度、标准规范和执行程序;
信息安全管理规范公司
版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要
Table of Contents(目录) 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级(保密级别)规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息? (21) 2.2什么是信息安全? (21)
信息安全管理部 信息安全事件管理规范 V1.0
文档信息: 文档修改历史: 评审人员:
信息安全事件管理规范 年07月 1.0 目的 明确规定“信息安全事件”的范围和处理流程,以便及时地对信息安全事件做出响应,启动适当的事件防护措施来预防和降低事件影响,并能从事件影响中快速恢复; 2.0 适用范围 本制度适用于在信息安全部负责管理的所有信息资产上发生的对业务产生影响的异常事件的处理及后续响应流程。 3.0 相关角色和职责 ●信息安全总监:负责制定《信息安全事件管理规范》,并督促制度的落实和执行; ●信息安全部经理: ?负责《信息安全事件管理规范》中各项流程制度的日常督促执行; ?负责对各类信息安全事件进行第一时间响应,区分信息安全事件的类别及后续 处理流程; ?负责跟踪各类信息安全事件的后续处理,确保公司能从中汲取教训,不再发生 类似问题; ●信息安全事件发起人:在具体工作中发现异常后应及时上报,并协助完成后续处理 工作。 4.0 信息资产 信息安全管理部负责以下信息资产的安全运行: ●机房环境、硬件设备正常运行: ?互联机房; ?北京办公室机房; ?上海办公室机房; ?机房内的所有硬件设备,包括网络设备、服务器和其它设备; ●办公室网络环境正常运行 ?互联机房内网/外网环境; ?北京办公室内网/外网环境; ?上海办公室内网/外网环境; ●机房内系统工作正常; ?服务器操作系统工作正常 ?应用系统工作正常 ●机房内设备中存放的各类业务信息安全 以上信息资产出现异常情况时,均属于信息安全事件处理的范畴。 5.0 信息安全事件分级、分类
对信息安全事件分级、分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等信息安全应急响应工作的必要条件。 5.1 信息安全事件分级 根据信息安全事件所涉及的信息密级、对业务所造成的影响和相关的资产损失等要素,对信息安全事件分为以下几个级别: 1级:本级信息安全事件对公司业务造成了重大影响,例如机密数据丢失,重大考试项目考中异常等; 2级:本级信息安全事件对公司业务造成了一定影响,例如短时间的设备宕机、大规模的网站异常造成客户投拆等; 3级:本级及息安全事件指己发现的可能对公司业务造成重要影响的潜在风险事件,例如在日常维护工作中发现的各类异常事件等; 1级的信息安全事件又称为重大安全事件。 与“信息安全事件”分级相关联的名词解释: ●常规工作:指影响超出单点范围,可能/己经造成了部门/小组级的工作异常,但未造成 实质性损害的信息事件; 5.2 信息安全事件分类 对信息安全事件分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等响应工作的重要依据。信息安全事件可分为: ●环境灾害: ?自然/人为灾害:水灾、火灾、地震、恐怖袭击、战争等; ?外围保障设施故障: ◆机房电力故障: 由于供电线路、供电设备出现故障或供电调配的原因而导 致的信息安全事件 ◆外围网络故障:由于外围网络传输信道出现故障而导致业务系统无法对外 正常服务 ◆其它外围保障设施故障:例如拖管机房的服务器、服务器故障等; ●常规事故: ?软硬件自身故障: ◆软件自身故障:由于软件设计存在漏洞或软件系统运行环境发生变化等原 因而导致软件运行不正常的信息安全事件 ◆硬件自身故障:由于硬件设计不合理、硬件自然老化失效等原因引起硬件 设备故障而导致信息系统不能正常运行的信息安全事件 ?无意事故: ◆硬件设备、软件遗失;与业务系统正常运行和使用相关的硬件设备和软件 遗失而导致的信息安全事件 ◆数据遗失:系统中的重要数据遗失 ◆误操作破坏硬件;
文件编码:CCRC-ISV-C01:2018 信息安全服务规范 2018-05-25发布 2018-06-01实施 中国网络安全审查技术与认证中心发布
目录 1. 适用范围 (1) 2. 规范性引用文件 (1) 3. 术语与定义 (1) 3.1. 信息安全服务 (1) 3.2. 信息安全风险评估 (1) 3.3. 信息安全应急处理 (1) 3.4. 信息系统安全集成 (1) 3.5. 信息系统灾难备份与恢复 (1) 3.6. 软件安全开发 (2) 3.7. 信息系统安全运维 (2) 3.8. 网络安全审计 .................................................................................. 错误!未定义书签。 3.9. 工业控制系统安全 (2) 4. 通用评价要求 (2) 4.1. 三级评价要求 (2) 4.1.1. 法律地位要求 (2) 4.1.2. 财务资信要求 (2) 4.1.3. 办公场所要求 (2) 4.1.4. 人员能力要求 (3) 4.1.5. 业绩要求 (3) 4.1.6. 服务管理要求 (3) 4.1.7. 服务技术要求 (3) 4.2. 二级评价要求 (3) 4.2.1. 法律地位要求 (4) 4.2.2. 财务资信要求 (4) 4.2.3. 办公场所要求 (4) 4.2.4. 人员能力要求 (4) 4.2.5. 业绩要求 (4) 4.2.6. 服务管理要求 (4) 4.2.7. 技术工具要求 (5) 4.2.8. 服务技术要求 (5) 4.3. 一级评价要求 (5) 4.3.1. 法律地位要求 (5) 4.3.2. 财务资信要求 (5)
信息安全管理规范及保密制度(通用版) ****年**月**日*****部制定 第一章总则 第1条为明确岗位职责,规范操作流程,确保公司信息资产的安全,特制订本制度。 第2条本制度适用于公司所有员工。 第二章电子邮件管理制度 第3条行政人力部必须在员工入职三天内,向员工分配企业邮箱的个人用户名和密码。 第4条公司邮箱账户限本人使用,禁止将本人账户转借或借用他人账户。员工必须及时修改初始密码,并且在使用中定期(最多3个月)修改邮箱的密码,以防他人利用。密码至少为8位,且需是字母、数字、特殊符号等至少两个的组合。因邮箱密码泄露造成的损失,由用户自行承担责任。 第5条员工的对外往来的公务邮件,原则上必须使用公司统一后缀的邮箱;对外往来的私人邮件则不允许使用公司统一后缀的邮箱。禁止非工作用途将邮箱账户公布在外部INTERNET网上。公务用邮件时,必须使用含有以下字样的个人签名: 声明:您有义务对本邮件内容进行保密,未经书面允许不可私自复制、转发、散布。 第6条收到危害社会安定的邮件,应及时删除,严禁转发或点击相应链接,若因此造成不良影响或损失的,由用户个人承担责任,管理员发现类似现象的有权封锁相
关邮件账户。发现邮件感染病毒,立刻将计算机断开公司网络,并使用相应软件进行杀毒。 第7条发送带有公司涉密信息的邮件,发件人必须先经部门领导同意, (若是绝密级别,需经公司领导同意),并将涉密信息加密处理后方可发送;否则视情节严重程度予以处理。 第8条员工离职时,根据需要交由部门专人监管一个月,后由行政人 力部注销。 第9条违反以上电子邮件管理规定,视情节轻重,最低经济处罚50元,并交行政人力部处理;情节特别严重的将移交国家司法机关,追究法律责任。 第三章数据安全管理制度 第10条为保证存储商业机密的计算机、文件、光盘等不会轻易泄露,公司对涉及技术及商业机密的文件、光盘等实行专人管理、借阅登记的制度;同时储存涉及技术及商业机密的计算机均应进行CMOS加密及屏幕保护加密。此两项密码除使用者本人拥有外,应向本部门经理备份,不得泄密给其它部门或个人。离开原工作岗位的员工由所在部门负责人将其所有工作资料收回并保存。如有因密码泄露而导致严重后果者,其行为等同于故意泄密,公司将按照人力资源奖惩制度予以严肃查处。 第11条计算机终端用户务必将重要数据存放在计算机硬盘中除系统盘以外的的硬盘分区。计算机系统发生故障时,应及时与管理员联系并采取保护数据安全的措施。 第12条计算机终端用户未做好备份前不得删除任何硬盘数据,对重要的数据应保存双份,存放在不同位置,并进行定期检查,防止数据丢失。
信息安全管理规定建议文件编码(GHTU-UITID-GGBKT-POIU-WUUI-8968)
信息安全管理制度 1.总则:为了切实有效的保证公司信息系统安全,提高信息系统为公司生产经营的服务能力,特制定信息系统相关管理制度,设定管理部门及专业管理人员对公司整体信息系统进行管理,以保证公司信息系统的正常运行。 2.范围 计算机网络系统由基础线路、计算机硬件设备、软件及各种终端设备的网络系统配置组成。 软件包括:PC操作系统、数据库及应用软件、有关专业的网络应用软件等。 终端机的网络系统配置包括终端机在网络上的名称,IP地址分配,用户登录名称、用户密码、U8设置、OA地址设置及Internet的配置等。 系统软件是指: 操作系统(如 WINDOWS XP等)软件。 平台软件是指:设计平台工具(如AUTOCAD等)、办公用软件(如OFFICE)等平台软件。 管理软件是指:生产和财务管理用软件(如用友U8软件)。 基础线路是指:联系整个信息系统的所有基础线路,包括公司内部的局域网线路及相关管路。 3.职责
公司设立信息管理部门,直接隶属于分管生产副总经理,设部门经理一名。信息管理部门为网络安全运行的归口部门,负责计算机网络系统的日常维护和管理。 负责系统软件的调研、采购、安装、升级、保管工作。 负责软件有效版本的管理。 信息管理部门为计算机系统、网络、数据库安全管理的归口管理部门。信息管理人员负责计算机网络、办公自动化、生产经营各类应用软件的安全运行;服务器安全运行和数据备份;internet对外接口安全以及计算机系统防病毒管理;各种软件的用户密码及权限管理;协助职能科室进行数据备份和数据归档(如财务、生产、设计、采购、销售等)。 信息管理人员执行企业保密制度,严守企业商业机密。 员工执行计算机安全管理制度,遵守企业保密制度。 系统管理员的密码必须由信息管理部门相关人员掌握。 负责公司网络系统基础线路的实施及维护。 4.管理 网络系统维护 4.1.1 系统管理员每日定时对机房内的网络服务器、各类生产经营应用的数据库服务器及相关网络设备进行日常巡视,并填写《网络运行日志》〔附录A〕记录各类设备的运行状况及相关事件。 4.1.2 对于系统和网络出现的异常现象信息管理部应及时组织相关人员进行分析,制定处理方案,采取积极措施,并如实将异常现象记录在
网络数据和信息安全管 理规范 IMB standardization office【IMB 5AB- IMBK 08- IMB 2C】
X X X X有限公司 WHB-08 网络数据和信息安全管理规范 版本号: A/0 编制人: XXX 审核人: XXX 批准人: XXX 20XX年X月X日发布 20XX年X月X日实施
目的 计算机网络为公司局域网提供网络基础平台服务和互联网接入服务。为保证公司计算机信息及网络能够安全可靠的运行,充分发挥信息服务方面的重要作用,更好的为公司运营提供服务,依据国家有关法律、法规的规定,结合公司实际情况制定本规定。 术语 本规范中的名词术语(比如“计算机信息安全”等)符合国家以及行业的相关规定。 计算机信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法系统辨识,控制。即确保信息的完整性、保密性、可用性和可控性。包括操作系统安全、数据库安全、病毒防护、访问权限控制、加密与鉴别等七个方面。 狭义上的计算机信息安全,是指防止有害信息在计算机网络上的传播和扩散,防止计算机网络上处理、传输、存储的数据资料的失窃和毁坏,防止内部人员利用计算机网络制作、传播有害信息和进行其他违法犯罪活动。 网络安全,是指保护计算机网络的正常运行,防止网络被入侵、攻击等,保证合法用户对网络资源的正常访问和对网络服务的正常使用。 计算机及网络安全员,是指从事的保障计算机信息及网络安全工作的人员。 普通用户,是指除了计算机及网络安全员之外的所有在物理或者逻辑上能够访问到互联网、企业计算机网及各应用系统的公司内部员工。 主机系统,指包含服务器、工作站、个人计算机在内的所有计算机系统。本规定所称的重要主机系统指生产、办公用的Web服务器、Email服务器、DNS服务器、OA服务器、企业运营管理支撑系统服务器、文件服务器、各主机系统等。 网络服务,包含通过开放端口提供的网络服务,如WWW、Email、FTP、Telnet、DNS等。有害信息,参见国家现在法律法规的定义。
XXXX信息中心 终端信息安全管理规定 信息中心 年月
XXXX信息中心 终端信息安全管理规定 注:XXXX代表单位名称,XX代表单位简称,xxxx代表系统名称,**代表部门名称。 第一章总则 第一条为规范XXXX信息中心(以下简称“中心”)员工在使用计算机终端过程中的行为,提高计算机终端的安全性,确保员工安全使用计算机终端,特制定本规定。 第二条本规定适用于在XX使用计算机终端的所有员工,包括内部终端和外部终端,信息中心及其他部门员工。 第三条本规定所指的计算机终端包括员工在XX网络中用于办公用途的台式计算机、便携式计算机。 第二章台式计算机安全管理 第一节硬件使用相关规定 第四条台式计算机由XX(单位简称)**(部门名称)部门统一配发,员工领到台式计算机后,应妥善保管台式计算机的主机、显示器以及附带的所有附件(包括各种线缆、 光盘、说明书等)。 第五条质保期内员工不得自行拆卸台式计算机,以免影响台式计算机厂商的售后服务。第六条未经许可,严禁将非XX配发的台式计算机接入XX局域网。 第七条未经员工所在部门批准,员工不得自行变更台式计算机的硬件配置。 第八条因工作岗位变动不再需要使用台式计算机时,应及时办理资产转移或清退手续。台式计算机做资产转移或清退时,应删除机内的敏感和重要数据。 第二节系统使用相关规定 第九条台式计算机的IP地址由XX统一分配,员工不得自行变更,否则会造成台式计算机无法正常连接网络。 第十条各部门应记录和管理IP地址相关的设备使用情况,对打印机、复印机等设备应及
时记录设备使用情况。 第十一条接收来自外部的软件或资料时,应首先进行防病毒处理。 第十二条禁止在没有采用安全保护机制的台式计算机上存储重要数据,在存储重要数据的台式计算机至少应该有开机口令、登录口令、数据库口令、屏幕保护等防护 措施。 第十三条员工应设置台式计算机的开机密码,有关密码设置按照《帐号口令权限安全管理规定》执行。 第十四条员工离开自己台式计算机时,应将台式计算机屏幕锁定;员工完成应用系统的操作或离开工位时,应及时退出系统。 第十五条所有的台式计算机系统设备必须有一个台式计算机可读的设备属性标签,以便于查询和统计。 第十六条存放台式计算机系统设备的区域必须保持适当的工作温度和湿度,相关要求参见产品说明。 第十七条必须明确所有台式计算机的使用者,台式计算机上不得放盛有饮料等液体的容器。 第十八条根据信息安全管理员的通知进行所使用台式计算机的病毒防治产品的升级版本检查,是否升级完成。 第十九条定期对所使用台式计算机进行病毒的检测和清除。如果发现病毒,将检测和清除的结果报安全管理员进行备案。 第二十条对于外来的(例如从网络上下载)程序和文档,在运行或打开前必须进行计算机病毒的检测和清除。 第二十一条对于电子邮件附件所带的程序和文档在确认来自可信的发件人之前不得运行或打开,并且在运行或打开前必须进行计算机病毒的检测和清除。 第二十二条不得进行计算机病毒的制作和传播。 第三章便携式计算机安全管理 第二十三条便携式计算机的硬件使用、系统使用安全管理规定参照台式计算机相关条款执行。
信息安全管理制度 目录 1.安全管理制度要求 1.1总则:为了切实有效的保证公司信息安全,提高信息系统为公司生产经营的服务能力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全进行管理,以确保网络与信息安全。 1.1.1建立文件化的安全管理制度,安全管理制度文件应包括: a)安全岗位管理制度; b)系统操作权限管理; c)安全培训制度; d)用户管理制度; e)新服务、新功能安全评估; f)用户投诉举报处理; g)信息发布审核、合法资质查验和公共信息巡查; h)个人电子信息安全保护; i)安全事件的监测、报告和应急处置制度; j)现行法律、法规、规章、标准和行政审批文件。 1.1.2安全管理制度应经过管理层批准,并向所有员工宣贯 2.机构要求 2.1 法律责任 2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。 2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。 3.人员安全管理 3.1 安全岗位管理制度 建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位管理制度应包括保密管理。 3.2 关键岗位人员 3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行,包括: 1.个人身份核查: 2.个人履历的核查: 3.学历、学位、专业资质证明: 4.从事关键岗位所必须的能力 3.2.2 应与关键岗位人员签订保密协议。 3.3 安全培训 建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员的信息安全意识,包括: 1.上岗前的培训; 2.安全制度及其修订后的培训; 3.法律、法规的发展保持同步的继续培训。 应严格规范人员离岗过程: a)及时终止离岗员工的所有访问权限; b)关键岗位人员须承诺调离后的保密义务后方可离开; c)配合公安机关工作的人员变动应通报公安机关。
信息安全管理系统的规范 第二部分:信息安全管理系统的规范 1 1. 范围 BS 7799的这个部分指明了对建立、实现和文档化信息安全管理系统(ISMSs)的需求。它指明了将要按照个别机构的需要而实现的安全控制的需求。 注:第一部分给出了对最佳惯例的推荐建议,这些惯例支持该规范中的需求。BS 7799的这个部分的条款4给出的那些控制目标和控制来自于BS 7799-1:1999并与改部分的内容保持一致。 2. 术语与定义 为了BS 7799的这个部分,BS 7799-1给出的定义适用于该部分,并有以下专用术语: 2.1 适用性说明 适用于机构的安全要求的目标和控制的批评。 3.信息安全管理系统的要求 3.1概要 机构应建立及维护一个信息安全管理系统,目的是保护信息资产,订立机构的风险管理办法、安全控制目标及安全控制,以及达到什么程度的保障。 3.2建立一个管理框架 以下的步骤是用来找出及记录安全控制目标及安全控制的(参看图一): a) 应定义信息安全策略; b) 应定义信息安全管理系统的范围,定义范围可以是机构的特征、位置、资产及 技术;
c) 应进行合适的风险评估。风险评估应确认对资产的安全威胁、漏洞及对机构的 冲击,从而定出风险的严重程度; d) 根据机构的信息安全策略及所要求达到的保障程度定出要管理的风险; e) 从以下第四条款选出机构要实现的安全控制目标及要实施的安全控制; f) 应准备一份适用性声明书,说明选出哪些安全控制目标及安全控制以及选择的 原因。 以上步骤应定期重复,确定系统的适用性。 2 3.3实施 选出的安全控制目标及安全控制应由机构有效地执行,实施控制的执行程序是否有效应根据4.10.2的规定进行检查。 3.4文档 信息安全管理系统的说明文档应包括以下信息: a) 按照3.2所定的步骤实现的证据; b) 管理架构的总结,其中包括信息安全策略、在适用性声明书所提及的安全控制 目标和已经实现的安全控制; c) 为了实现3.3所指定的控制而采用的程序;这些程序应该刻画责任以及相关行 动; d) 覆盖该ISMS中的管理和操作的程序,这些程序应该指出有哪些责任及其有关
信息安全管理规范及保密制度(通用版) ****年**月**日 *****部制定 第一章总则 第1条为明确岗位职责,规范操作流程,确保公司信息资产的安全,特制订本制度。 第2条本制度适用于公司所有员工。 第二章电子邮件管理制度 第3条行政人力部必须在员工入职三天内,向员工分配企业邮箱的个人用户名和密码。 第4条公司邮箱账户限本人使用,禁止将本人账户转借或借用他人账户。员工必须及时修改初始密码,并且在使用中定期(最多3个月)修改邮箱的密码,以防他人利用。密码至少为8位,且需是字母、数字、特殊符号等至少两个的组合。因邮箱密码泄露造成的损失,由用户自行承担责任。 第5条员工的对外往来的公务邮件,原则上必须使用公司统一后缀的邮箱;对外往来的私人邮件则不允许使用公司统一后缀的邮箱。禁止非工作用途将邮箱账户公布在外部INTERNET网上。公务用邮件时,必须使用含有以下字样的个人签名: 声明:您有义务对本邮件内容进行保密,未经书面允许不可私自复制、转发、散布。 第6条收到危害社会安定的邮件,应及时删除,严禁转发或点击相应链接,若因此造成不良影响或损失的,由用户个人承担责任,管理员发现类似现象的有权封锁相关邮件账户。发现邮件感染病毒,立刻将计算机断开公司网络,并使用相应软件进行杀毒。 第7条发送带有公司涉密信息的邮件,发件人必须先经部门领导同意,(若是绝密级别,需经公司领导同意),并将涉密信息加密处理后方可发送;否则视情节严重程度予以处理。 第8条员工离职时,根据需要交由部门专人监管一个月,后由行政人
力部注销。 第9条违反以上电子邮件管理规定,视情节轻重,最低经济处罚50元,并交行政人力部处理;情节特别严重的将移交国家司法机关,追究法律责任。 第三章数据安全管理制度 第10条为保证存储商业机密的计算机、文件、光盘等不会轻易泄露,公司对涉及技术及商业机密的文件、光盘等实行专人管理、借阅登记的制度;同时储存涉及技术及商业机密的计算机均应进行CMOS加密及屏幕保护加密。此两项密码除使用者本人拥有外,应向本部门经理备份,不得泄密给其它部门或个人。离开原工作岗位的员工由所在部门负责人将其所有工作资料收回并保存。如有因密码泄露而导致严重后果者,其行为等同于故意泄密,公司将按照人力资源奖惩制度予以严肃查处。 第11条计算机终端用户务必将重要数据存放在计算机硬盘中除系统盘以外的的硬盘分区。计算机系统发生故障时,应及时与管理员联系并采取保护数据安全的措施。 第12条计算机终端用户未做好备份前不得删除任何硬盘数据,对重要的数据应保存双份,存放在不同位置,并进行定期检查,防止数据丢失。 第13条计算机、服务器或存储设备,停止使用或使用前须进行低级格式化。第四章网络安全管理 第14条未进行安全配置、未装防火墙或杀毒软件的计算机终端,不得连接公司网络和服务器。公司员工应定期对所配备的计算机终端的操作系统、杀毒软件进行升级、更新,并定期进行病毒查杀。 第15条计算机终端用户应使用开机密码,屏保密码等。并定期更改。员工应妥善保管所掌握的各类办公账号和密码,严禁随意向他人泄露、借用自己的账号密码。 第16条 IP地址为计算机网络的重要资源,公司员工应在管理员的规划下使用这些资源,不得擅自更改。对于影响网络安全的系统服务,员工应在管理员的知道下使用,禁止随意开启关闭计算机中的系统服务,保证计算机的网络畅通运行。 第17条禁止未授权用户接入公司网络及访问网络中的资源。
安全管理控制规范 第一章总则 第 1 条为了明确岗位职责,规范操作流程,确保公司信息资产的安全,特制订本规范。 第 2 条本规范适用于公司所有员工。 第二章电子邮件管理规范 第 1 条行政人事部必须在员工入职三天内,将入职员工资料提交IT运维部主管,由IT运维部主管向员工分配企业邮箱的个人用户名和密码,并告知使用方法。 第 2 条公司邮箱账户限本人使用,禁止将本人账户转借或借用他人账户。员工必须及时修改初始密码,并且在使用中定期修改邮箱的密码,以防他人利用。密码至少为8 位,且需是字母、数字、特殊符号等至少两个的组合。因邮箱密码泄露造成的损失,由用户自行承担责任。 第 3 条员工的对外往来的公务邮件,原则上必须使用公司统一后缀的邮箱;对外往来的私人邮件则不允许使用公司统一后缀的邮箱。禁止非工作用途将邮箱账户公布在外部 INTERNET网上。公务用邮件时,必须使用含有以下字样的个人签名: 声明:您有义务对本邮件内容进行保密,未经书面允许不可私自复制、转发、散布。 第 4 条收到危害社会安定的邮件,应及时删除,严禁转发或点击相应链接,若因此造成不良影响或损失的,由用户个人承担责任,管理员发现类似现象的有权封锁相关邮件账户。发现邮件感染病毒,立刻将计算机断开公司网络,并使用相应软件进行杀毒。 第 5 条发送带有公司涉密信息的邮件,发件人必须先经部门领导同意,(若是绝密级别,需经公司领导同意),并将涉密信息加密处理后方可发送;否则视情节严重程度予以处理。 第 6 条员工离职时,根据需要交由部门专人监管一个月,后由IT运维部主管注销。 第 7 条违反以上电子邮件管理规定,视情节轻重,最低经济处罚50 元,并交行政人事部处理;情节特别严重的将移交国家司法机关,追究法律责任。 第三章数据安全管理规范 第 1 条为保证存储商业机密的计算机、文件、光盘等不会轻易泄露,公司对涉及技术及商业机密的文件、光盘等实行专人管理、借阅登记的规范;同时储存涉及技术及商业机密的计算机均应进行 CMOS加密及屏幕保护加密。此两项密码除使用者本人拥有外,应向本部门经理备份,不得泄密给其它部门或个人。离开原工作岗位的员工由所在部门负责人将其所有工作资料收回并保存。如有因密码泄露而导致严重后果者,其行为等同于故意泄密,公司将按照人力资源奖惩规范予以严肃查处。 第 2 条计算机终端用户务必将重要数据存放在计算机硬盘中除系统盘以外的的硬盘分区。计算机系统发生故障时,应及时与管理员联系并采取保护数据安全的措施。 第 3 条计算机终端用户未做好备份前不得删除任何硬盘数据,对重要的数据应保存双份,存放在不同位置,并进行定期检查,防止数据丢失。 第 4 条计算机、服务器或存储设备,停止使用或使用前须进行低级格式化。 第 5 条 IT 管理人员严禁利用自己的账号权限,查看其它员工的邮箱内容,盗取或传播邮件内容。造成严重后果的,由公司根据国家法律追究相关责任。 第 6 条服务器运维人员严禁利用职责便利,私自拷贝并传播给公司外部人员或不相关人员。造成严重后果的,由公司根据国家法律追究相关责任。
信息安全管理制度规范 目录 1信息安全规范 (2)
1.1总则 (2) 1.2环境管理 (2) 1.3资产管理 (4) 1.4介质管理 (4) 1.5设备管理 (5) 1.5.1总则 (5) 1.5.2系统主机维护管理办法 (5) 1.5.3涉密计算机安全管理办法 (8) 1.6系统安全管理 (8) 1.7恶意代码防范管理 (9) 1.8变更管理 (9) 1.9安全事件处置 (10) 1.10监控管理和安全管理中心 (10) 1.11数据安全管理 (10) 1.12网络安全管理 (11) 1.13操作管理 (13) 1.14安全审计管理办法 (14) 1.15信息系统应急预案 (14) 1.16附表................................................................................................................... 错误!未定义书签。
1信息安全规范 1.1总则 第1条为明确岗位职责,规范操作流程,确保公司信息系统的安全,根据《中华人民共和国计算机信息系统安全保护条例》等有关规定,结合公司实际,特制订本制度。 第2条信息系统是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 第3条信息安全系统遵循安全性、可行性、效率性、可承担性的设计原则,将从物理安全、网络安全、支撑层系统安全、应用层系统安全、数据及资料安全几方面进行部署实施。 1.2环境管理 第1条信息机房由客户安排指定,但应该满足如下的要求: 1、物理位置的选择(G3) 2、防雷击(G3) 3、防火(G3)
信息安全管理制度网络安全设备配置 规范
网络安全设备配置规范 XXX 1月
文档信息 修订记录 文档审核/审批(此文档需如下审核) 文档分发(此文档将分发至如下各人)
网络安全设备配置规范 1防火墙 1.1防火墙配置规范 1.要求管理员分级,包括超级管理员、安全管理员、日志管理员 等,并定义相应的职责,维护相应的文档和记录。 2.防火墙管理人员应定期接受培训。 3.对防火墙管理的限制,包括,关闭telnet、http、ping、snmp 等,以及使用SSH而不是telnet远程管理防火墙。 4.账号管理是否安全,设置了哪些口令和帐户策略,员工辞职, 如何进行口令变更? 1.2变化控制 1.防火墙配置文件是否备份?如何进行配置同步? 2.改变防火墙缺省配置。 3.是否有适当的防火墙维护控制程序? 4.加固防火墙操作系统,并使用防火墙软件的最新稳定版本或补 丁,确保补丁的来源可靠。 5.是否对防火墙进行脆弱性评估/测试?(随机和定期测试)
1.3规则检查 1.防火墙访问控制规则集是否和防火墙策略一致?应该确保访问 控制规则集依从防火墙策略,如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等,以满足用户安全需求,实现安全目标。 2.防火墙访问控制规则是否有次序性?是否将常见的访问控制规 则放在前面以增加防火墙的性能?评估防火墙规则次序的有效性。 防火墙访问控制规则集的一般次序为: ?反电子欺骗的过滤(如,阻断私有地址、从外口出现的内 部地址) ?用户允许规则(如,允许HTTP到公网Web服务器) ?管理允许规则 ?拒绝并报警(如,向管理员报警可疑通信) ?拒绝并记录(如,记录用于分析的其它通信) 防火墙是在第一次匹配的基础上运行,因此,按照上述的次序配置防火墙,对于确保排除可疑通信是很重要的。 3.防火墙访问控制规则中是否有保护防火墙自身安全的规则 4.防火墙是否配置成能抵抗DoS/DDoS攻击? 5.防火墙是否阻断下述欺骗、私有(RFC1918)和非法的地址 ?标准的不可路由地址(255.255.255.255、127.0.0.0) ?私有(RFC1918)地址(10.0.0.0 –10.255.255.255、
企业信息安全管理规范 1目的: 为保障信息设备正常运行、规范文件存储、保证数据安全、信息系统设备安全; 2范围: 信息设备安全、应用系统安全、数据数据安全、用户信息安全、权限对照表、用户授权申请、用户培训。3作业内容: 3.1信息设备安全 3.1.1定义:信息设备安全指的是计算机、服务器、路由器、交换机、视讯等相关IT类硬件设 备的物理安全。 3.1.2机房应选择在具有防震、防风和防雨等能力的建筑内。 3.1.3机房应采取防电磁干扰措施,电源线和通信线缆应隔离,避免互相干扰,对重要设备和磁 介质实施电磁屏蔽。 3.1.4机房应采取防静电、防水的相关措施。 3.1.5机房应安装门禁、防雷、监视、消防、报警设施。 3.1.6计算机系统供电应与其他供电分开。供电线路应设置冗余或并行的电力电缆线路,应建立 备用供电系统,以备常用供电系统停电时启用。 3.1.7机房应配备 UPS 设备,以保证机房设备的电源能在发生断电的情况下维持机房所有设备 的电源供应。 3.1.8定时检查机房环境温度、湿度情况,确保温度控制在 15℃~30℃的范围内,湿度控制在 35%~65%的范围内,以保证机房设备和系统的正常运行。 3.1.9重要服务器及相关设备必须放置在机房内,并固定在机柜的相应位置。 3.1.10应将通信线缆铺设在隐蔽处,不允许祼线部署。 3.1.11信息设备安全机房设施,IT部安排经授权人员专人管理,并设定电子门禁管制,未经授 权人员不可进入。外来人员进出机房应办理登记手续,并由专业管理人员陪同。 3.1.12未经许可,任何人不得擅自拆卸、搬移、更换主机及网络设备的部件; 3.1.13使用者电脑由用户管理。 3.1应用系统安全 3.1.1定义:应用系统安全指的是服务器、客户端操作系统、软件应用系统,如:Windows操作 系统、server2003/08系统,ERP、门禁、考勤、电话计费系统等。 3.1.2应在主机操作系统中安装防病毒系统,并定期对服务器主机进行恶意代码查杀,及实时更 新病毒库。
信息安全管理制度 目????录?? 1.安全管理制度要求? 1.1总则:为了切实有效的保证公司信息安全,提高信息系统为公司生产经营的服务能力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全进行管理,以确保网络与信息安全。? 1.1.1建立文件化的安全管理制度,安全管理制度文件应包括: a)安全岗位管理制度;? b)系统操作权限管理;? c)安全培训制度;? d)用户管理制度;? e)新服务、新功能安全评估;? f)用户投诉举报处理;? g)信息发布审核、合法资质查验和公共信息巡查;? h)个人电子信息安全保护;? i)安全事件的监测、报告和应急处置制度; ?j)现行法律、法规、规章、标准和行政审批文件。? 1.1.2安全管理制度应经过管理层批准,并向所有员工宣贯?? 2.机构要求? 2.1??法律责任? 2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。? 2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。?? 3.人员安全管理? 3.1??安全岗位管理制度?? 建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位管理制度应包括保密管理。? 3.2??关键岗位人员? 3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行,包括:?1.个人身份核查:?2.个人履历的核查:? 3.学历、学位、专业资质证明: 4.从事关键岗位所必须的能力? 3.2.2?应与关键岗位人员签订保密协议。? 3.3??安全培训? 建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员的信息安全意识,包括:? 1.上岗前的培训;? 2.安全制度及其修订后的培训;? 3.法律、法规的发展保持同步的继续培训。? 应严格规范人员离岗过程: a)及时终止离岗员工的所有访问权限; b)关键岗位人员须承诺调离后的保密义务后方可离开; c)配合公安机关工作的人员变动应通报公安机关。? 3.4??人员离岗?
竭诚为您提供优质文档/双击可除信息安全管理控制规范 篇一:信息安全管理规范 1.0目的 为了预防和遏制公司网络各类信息安全事件的发生,及时处理网络出现的各类信息安全事件,减轻和消除突发事件造成的经济损失和社会影响,确保移动通信网络畅通与信息安全,营造良好的网络竞争环境,有效进行公司内部网络信息技术安全整体控制,特制定本规范。 2.0适用范围 本管理规范适用于四川移动所属系统及网络的信息安 全管理及公司内部信息技术整体的控制。 3.0信息安全组织机构及职责: 根据集团公司关于信息安全组织的指导意见,为保证信息安全工作的有效组织与指挥,四川移动通信有限责任公司建立了网络与信息安全工作管理领导小组,由公司分管网络的副总经理任组长,网络部分管信息安全副总经理任副组长,由省公司网络部归口进行职能管理,省公司各网络生产维护部门设置信息安全管理及技术人员,负责信息安全管理工作,
省监控中心设置安全监控人员,各市州分公司及生产中心设置专职或兼职信息安全管理员,各系统维护班组负责系统信息安全负责全省各系统及网络的信息安全管理协调工作。 3.1.1网络与信息安全工作管理组组长职责: 负责公司与相关领导之间的联系,跟踪重大网络信息安全事件的处理过程,并负责与政府相关应急部门联络,汇报情况。3.1.2网络与信息安全工作管理组副组长职责:负责牵头制定网络信息安全相关管理规范,负责网络信息安全工作的安排与落实,协调网络信息安全事件的解决。 3.1.3省网络部信息安全职能管理职责: 省公司网络部设置信息安全管理员,负责组织贯彻和落实各项安全管理要求,制定安全工作计划;制订和审核网络与信息安全管理制度、相关工作流程及技术方案;组织检查和考核网络及信息安全工作的实施情况;定期组织对安全管理工作进行审计和评估;组织制定安全应急预案和应急演练,针对重大安全事件,组织实施应急处理 工作及后续的整改工作;汇总和分析安全事件情况和相关安全状况信息;组织安全教育和培训。 3.1.4信息安全技术管理职责: 各分公司、省网络部、省生产中心设置信息安全技术管理员,根据有限公司及省公司制定的技术规范和有关技术要求,制定实施细则。对各类网络、业务系统和支撑系统提出