信息安全管理制度講解學(xué)習(xí)

1、項目標(biāo)號密級：絕密機密限制般草稿文檔：正式文檔：正式文檔修正：上海XXX電子商務(wù)有限公司信息安全管理制度目錄第一章關(guān)于信息安全的總述2第二章信息安全管理的組織架構(gòu) 3第三章崗位和人員管理3第四章信息分級與管理3第五章信息安全管理準(zhǔn)則4第六章信息安全風(fēng)險評估和審計 9第七章培訓(xùn)9第八章獎懲9第九章附則10第一章 關(guān)于信息安全的總述第一條 （制度的目的） 為了維護公司信息的安全， 確保公司不因信息安全問題遭受損失， 根據(jù) 公司章程及相關(guān)制度，特制定本制度 。第二條 （信息安全的概念）本制度所稱的信息安全是指在信息的收集、產(chǎn)生、處理、傳遞、存 儲等過程中，做到以下工作： 1）確保信息保密，但在經(jīng)過授

2、權(quán)的人員需要得到信息時 能夠在可以控制的情況下獲得信息； 2）保證信息完整和不被滅失，但在特定的情況下 應(yīng)當(dāng)銷毀一些不應(yīng)保存的信息檔案； 3）保證信息的可用性。第三條 （制度的任務(wù)） 通過對具體工作中關(guān)于信息安全管理的規(guī)定， 提高全體員工的安全意識， 增強公司經(jīng)營過程中信息的安全保障， 最終確保公司所有信息得到有效的安全管理， 維 護公司利益。第四條 （制度的地位） 本制度是公司各級組織制定信息安全的相關(guān)措施、標(biāo)準(zhǔn)、 規(guī)范及實施細(xì)則都必須遵守的信息安全管理要求。第五條 （制度的適用范圍） 全體員工均必須自覺維護公司信息的安全， 遵守公司信息安全管理 方面的相關(guān)規(guī)定。一切違反公司信息安全管理規(guī)定

3、的組織和員人，均予以追究。第六條 （信息的概念） 本制度所稱的信息是指一切與公司經(jīng)營有關(guān)情況的反映 （或者雖然與公 司經(jīng)營無關(guān)， 但其產(chǎn)生或存儲是發(fā)生在公司控制的介質(zhì)中） ，它們所反映的情況包括公 司的經(jīng)營狀況、財務(wù)狀況、組織狀況等一切內(nèi)容，其存儲的介質(zhì)包括紙質(zhì)文件、電子文 件甚至是存在員工大腦中。具體來說，包括但不限于下列類型：1、與公司業(yè)務(wù)相關(guān)的各個業(yè)務(wù)系統(tǒng)中的信息，如設(shè)計文檔、源代碼、可執(zhí)行代碼、配 置、接口以及相應(yīng)的數(shù)據(jù)庫和數(shù)據(jù)庫相關(guān)備份等；2、與公司業(yè)務(wù)相關(guān)的各種業(yè)務(wù)數(shù)據(jù)， 如用戶資料、 經(jīng)銷商資料、 合作伙伴信息、 合同、 各業(yè)務(wù)系統(tǒng)運行時數(shù)據(jù)、各類統(tǒng)計數(shù)據(jù)和報表、收入數(shù)據(jù)等；3、

4、與公司內(nèi)部管理相關(guān)的各類行政數(shù)據(jù)，如人事資料、人事組織結(jié)構(gòu)等；4、與公司財務(wù)管理相關(guān)的財務(wù)類數(shù)據(jù)，如采購信息、資產(chǎn)信息、財務(wù)信息；5、其他如公司各分子公司和外地辦事結(jié)構(gòu)的數(shù)據(jù)； 公司員工對內(nèi)、 對外進(jìn)行各種書面 的、口頭的信息傳播行為等。第七條 （信息安全工作的重要性）信息安全管理是公司內(nèi)部管理的一項重要及長期性的工作， 其貫穿整個公司各項業(yè)務(wù)與各個工作崗位， 各個中心和部門必須積極配合該項工作的開 展。第二章 信息安全管理的組織架構(gòu)負(fù)責(zé)全面把握公司信息安全管第八條 公司最高管理層是公司信息安全管理工作的最高領(lǐng)導(dǎo)者， 理工作的方向。第九條公司CT（以及其領(lǐng)導(dǎo)的技術(shù)專家小組作為信息安全管理工作顧

5、問小組，負(fù)責(zé)指導(dǎo)公司信 息安全管理工作。第十條 公司成立專門的信息安全管理工作小組，負(fù)責(zé)檢查信息管理風(fēng)險、制定安全管理規(guī)范、 監(jiān)督公司信息安全管理工作。第十一條 公司人力資源部、法務(wù)部、支付運維部及技術(shù)專家小組作為信息安全管理輔助執(zhí) 行機構(gòu)配合信息安全小組工作執(zhí)行。第三章 崗位和人員管理第十二條 涉及到信息安全的崗位和人員的權(quán)責(zé)必須清晰明確，建立責(zé)任人機制，任何信息 都有明確的責(zé)任人進(jìn)行負(fù)責(zé)。第十三條 加強對機要崗位人員的管理，嚴(yán)格控制機要崗位人員的人事變動，加強日常工作 監(jiān)管。第十四條 定期對員工進(jìn)行信息安全培訓(xùn)，確保員工了解信息安全存在的威脅和問題，在日 常工作中切實遵守信息安全政策。第四

6、章 信息分級與管理第十五條 信息分級依據(jù)信息的價值，或者信息在不安全情況下對公司及合作伙伴的直接或 潛在影響。第十六條 公司各類經(jīng)營管理信息均屬公司無形資產(chǎn)， 都必須按照規(guī)定的分級方式進(jìn)行分級， 并明確標(biāo)注。第十七條 公司為每級信息制定最低安全操作原則，以指導(dǎo)各項具體操作手冊的制定和具體 信息操作。第十八條 注：詳細(xì)的信息分級標(biāo)準(zhǔn)，以及最低安全操作原則，見信息分級和管理標(biāo)準(zhǔn)。第五章 信息安全管理準(zhǔn)則第一節(jié) 實體和環(huán)境安全第十九條 關(guān)鍵或敏感信息的存放和處理設(shè)備需要放在安全的地方，并使用相應(yīng)的安全防護 設(shè)備和準(zhǔn)入控制手段進(jìn)行保護， 確保這些信息或設(shè)備免受未經(jīng)授權(quán)的訪問、 損害或者干 擾。具體措施

7、如下：1. 存放或處理信息的設(shè)備，如服務(wù)器、存儲設(shè)備等，應(yīng)該放在公司內(nèi)部機房或?qū)I(yè)、 可信的IDC機房內(nèi)。2. 存放公司重要信息的 IT 設(shè)備接入網(wǎng)絡(luò)環(huán)境（特別是接入公網(wǎng)環(huán)境）必須經(jīng)過嚴(yán)格的 安全檢查， 配備符合安全要求的網(wǎng)絡(luò)設(shè)備和安全防范設(shè)備， 并采取有效的管理措施確保 不被入侵或數(shù)據(jù)泄露。3. 對于那些不能放在機房里，但又存放有關(guān)鍵或敏感信息的設(shè)備，如文件服務(wù)器，代 碼管理服務(wù)器等，必須放在有嚴(yán)格進(jìn)出限制的房間里，不得放在公共辦公區(qū)域。4. 對于存放紙質(zhì)文件的文件柜和文件室，必須有鎖或其他安全控制裝置，并指定專人 負(fù)責(zé)文件取放。5. 對于紙質(zhì)文件或可移動存儲介質(zhì)， 暫時不用時， 需存放在合

8、適的加鎖的柜子和 / 或其 它形式的安全設(shè)備中，并且可移動存儲介質(zhì)上的重要文件需要加密保護。第二十條 嚴(yán)格控制進(jìn)出安全區(qū)域的人員，并使用必要的監(jiān)控設(shè)備或手段監(jiān)視人員在安全區(qū) 域的行為。具體包括：1. 安全區(qū)域是指為存放關(guān)鍵或敏感信息，以及信息處理設(shè)備，而劃分出來有進(jìn)入控制 手段的區(qū)域。2. 內(nèi)部員工進(jìn)入安全區(qū)域必須經(jīng)過授權(quán)，并登記進(jìn)入和離開時間。3. 外來人員在安全區(qū)內(nèi)工作，除需要經(jīng)過授權(quán)外，必須在適當(dāng)?shù)谋O(jiān)視下進(jìn)行工作。4. 人員隨身攜帶物品或設(shè)備進(jìn)出安全區(qū)域必須經(jīng)過檢查。第二十一條 存放關(guān)鍵或敏感信息的介質(zhì)或設(shè)備離開工作環(huán)境 （安全區(qū)域） ，運輸、 攜帶或在外 部使用，需采取保護手段，防止信

9、息竊取和損壞。第二十二條 存放關(guān)鍵或敏感信息的介質(zhì)或設(shè)備，如果不再使用或轉(zhuǎn)作其他用途，應(yīng)將其中的 數(shù)據(jù)進(jìn)行徹底銷毀。應(yīng)注意選擇數(shù)據(jù)銷毀手段，確保數(shù)據(jù)真正無法恢復(fù)。第二節(jié) 操作管理第二十三條 明確所有信息處理操作的流程，明確流程中每個環(huán)節(jié)的責(zé)任，確保信息處理過程 安全無誤。具體措施如下：1. 信息處理過程或操作步驟應(yīng)整理成正式文檔，改動處理過程必須得到管理層授權(quán)， 操作人員必須按照信息處理的規(guī)定程序操作；2. 信息處理職責(zé)劃分清晰，并通過訪問控制、接觸限制機制確定授權(quán)人員身份；3. 定期檢查人員權(quán)限列表。第二十四條 信息系統(tǒng)必須建立詳細(xì)的操作規(guī)范和要求，并對這些操作規(guī)范進(jìn)行備案，進(jìn)行定 期檢查，

10、及時更新操作規(guī)范。第二十五條 各信息管理部門應(yīng)采取有效取防范措施防止和檢測惡意軟件的入侵信息系統(tǒng)或設(shè) 備，防范措施必須由安全部門制定或經(jīng)過安全部門審核。第二十六條 根據(jù)信息使用特性建立備份策略和恢復(fù)流程，留存一個或多個數(shù)據(jù)備份，并演練 數(shù)據(jù)恢復(fù)流程。第二十七條 信息系統(tǒng)應(yīng)記錄操作日志、事件日志和錯誤日志，根據(jù)信息等級和類型制定日志 信息的保存期限，并且在適當(dāng)?shù)臅r候可監(jiān)視設(shè)備運行和操作環(huán)境情況。第三節(jié) 訪問控制第二十八條 制定正式流程控制信息系統(tǒng)訪問權(quán)限與服務(wù)使用權(quán)限的分配。這些流程應(yīng)該涉及 用戶訪問生命周期的各個階段，從初期的新用戶注冊到用戶因不再要求對信息系統(tǒng)和服務(wù)進(jìn)行 訪問而最終取消注冊，

11、定期對用戶訪問權(quán)限進(jìn)行檢查。第二十九條 公司統(tǒng)一建立員工的身份信息庫，并為每位員工配備相應(yīng)身份卡，所有信息必須 使用實名訪問， 除非信息明確標(biāo)注可被匿名訪問或使用其他認(rèn)證策略。 對于紙質(zhì)文檔的 借閱、 復(fù)印等需用身份卡進(jìn)行實名登記， 對于信息系統(tǒng)的訪問必須使用統(tǒng)一的用戶實名 認(rèn)證。第三十條 信息的邏輯訪問權(quán)僅應(yīng)授予合法用戶，信息系統(tǒng)應(yīng)該滿足以下要求：1. 根據(jù)已經(jīng)確定的業(yè)務(wù)訪問控制策略來控制信息系統(tǒng)功能的用戶訪問權(quán)；2. 防止能夠越過系統(tǒng)訪問控制措施的實用程序和操作系統(tǒng)軟件的非法訪問；3. 不妨害其它與之共享信息資源的系統(tǒng)的安全；4. 僅能向信息所有者、其它指定的合法個人或定義的用戶組提供信息

12、訪問。第四節(jié) 系統(tǒng)開發(fā)和維護第三十一條 新系統(tǒng)和改進(jìn)系統(tǒng)在建設(shè)過程中都應(yīng)該考慮信息安全的需求，并采取相應(yīng)的防范 措施，包括：1. 系統(tǒng)包括基礎(chǔ)設(shè)施、自主開發(fā)的業(yè)務(wù)應(yīng)用程序和第三方開發(fā)的應(yīng)用程序；2. 涉及關(guān)鍵或敏感信息的基礎(chǔ)設(shè)施和自主開發(fā)程序的安全設(shè)計方案必須經(jīng)過信息安全 管理組織審核；3. 從外部采購商用軟件或系統(tǒng)需要進(jìn)行安全評估，需要達(dá)到公司信息安全要求。第三十二條 系統(tǒng)開發(fā)過程的產(chǎn)物（如設(shè)計文檔，源代碼，算法等）應(yīng)嚴(yán)格管理，確保無關(guān)人 員無法接觸，并可有效控制這些產(chǎn)物傳播范圍。第三十三條 對于系統(tǒng)中不可避免需要暴露的敏感信息，必須采取有效措施確保信息不會被無 關(guān)人員獲取或者確保信息不可被

13、非法使用。第三十四條 系統(tǒng)開發(fā)過程必須有配套的項目管理工作，以保證相關(guān)項目中可能涉及到信息得 到有效的管理。第三十五條 系統(tǒng)維護必須做到權(quán)限清晰，系統(tǒng)中的重要數(shù)據(jù)必須指定專人負(fù)責(zé)數(shù)據(jù)管。第三十六條 開發(fā)、測試和線上環(huán)境分開，重要系統(tǒng)的開發(fā)、測試和維護職責(zé)必須分離。系統(tǒng) 開發(fā)或變更結(jié)束， 開發(fā)團隊?wèi)?yīng)與維護團隊進(jìn)行正式的系統(tǒng)交接工作， 并提供必要的技術(shù) 文檔。第五節(jié) 信息流轉(zhuǎn)、使用和發(fā)布第三十七條 公司信息對外發(fā)布由公司負(fù)責(zé)公共關(guān)系及投資者關(guān)系的部門統(tǒng)一負(fù)責(zé)，所有員工 應(yīng)當(dāng)嚴(yán)格遵守相關(guān)部門制定的信息發(fā)布政策。第三十八條 采取有效措施保護通過網(wǎng)絡(luò)傳送的關(guān)鍵或敏感信息，具體措施如下：1、利用公共網(wǎng)絡(luò)傳

14、送信息或進(jìn)行交易處理， 應(yīng)評估可能的信息風(fēng)險， 確定信息傳送的 完整性、機密性、身份鑒別及不可否認(rèn)性等安全需求，并針對數(shù)據(jù)傳輸、網(wǎng)絡(luò)線路與設(shè) 備、與外部的網(wǎng)絡(luò)接口及路由器等事項，采取妥善適當(dāng)?shù)陌踩毓艽胧?、開放外界連接的信息系統(tǒng)，應(yīng)根據(jù)數(shù)據(jù)及系統(tǒng)重要性和價值，采用數(shù)據(jù)加密、身份 鑒別、 電子簽名、 防火墻及安全漏洞偵測等不同安全類型的技術(shù)或措施， 防止數(shù)據(jù)及系 統(tǒng)被侵入、破壞、竄改、刪除及未經(jīng)授權(quán)的存取。與外界網(wǎng)絡(luò)連接的接口， 應(yīng)使用防火墻及其他必要的安全設(shè)施， 控管外界與公司內(nèi)部網(wǎng) 絡(luò)的數(shù)據(jù)傳輸與資源存取。4、開放外界連接的信息系統(tǒng)， 必要時應(yīng)以代理服務(wù)器等方式提供外界存取數(shù)據(jù)， 避免

15、外界直接進(jìn)入信息系統(tǒng)或數(shù)據(jù)庫存取數(shù)據(jù)。5、存有關(guān)鍵或敏感信息的系統(tǒng)， 應(yīng)加強安全保護措施， 防止關(guān)鍵或敏感信息遭不當(dāng)或 不法的竊取使用。6、內(nèi)部員工之間或內(nèi)部員工與外部人員發(fā)送關(guān)鍵或敏感的信息，必須使用公司信息安全管理組織指定的傳送方式。第三十九條 公司應(yīng)采取有效措施保護通過郵件傳送的關(guān)鍵或敏感數(shù)據(jù)，具體措施如下：1、 機密性數(shù)據(jù)以外的敏感性數(shù)據(jù)及文件， 如有電子傳送的需要， 各部門應(yīng)是需要以適 當(dāng)?shù)募用芑螂娮雍灻劝踩夹g(shù)處理；2、 機密數(shù)據(jù)原則上不建議使用電子郵件傳送。如果業(yè)務(wù)性質(zhì)特殊， 必須利用電子郵件或其他電子方式傳送機密性數(shù)據(jù)及文件， 應(yīng)采用公司認(rèn)可的加密或電子簽名等安全技術(shù) 處理。

16、第四十條 機要信息通過網(wǎng)絡(luò)傳播必須加密， 正文和密碼必須采取兩個以上的通路進(jìn)行發(fā)送。第四十一條 為了規(guī)避轉(zhuǎn)發(fā)帶來的信息泄漏風(fēng)險，機要信息從源到使用環(huán)境，禁止通過中間環(huán) 節(jié)進(jìn)行轉(zhuǎn)發(fā)，特殊情況需要經(jīng)過公司高層批準(zhǔn)。第四十二條 嚴(yán)格控制信息使用需求，涉及到關(guān)鍵或敏感的信息必須嚴(yán)格進(jìn)行審批：1、 對于各類信息的需求方必須明確， 需求方的變化必須進(jìn)行審核， 機要信息需求方發(fā) 生變化必須得到公司高層批準(zhǔn)；2、 信息的使用需求必須明確， 使用需求發(fā)生變化必須進(jìn)行審核， 機要信息的使用需求 發(fā)生變更必須得到公司高層批準(zhǔn)。第四十三條 信息使用者必須確保信息使用環(huán)境的安全，并在使用完畢后妥善處理信息（視信 息類型

17、不同，采取歸還、歸檔或者銷毀等操作） ，在未經(jīng)授權(quán)的情況下不得擅自傳播信息。第四十四條 管理信息流轉(zhuǎn)和使用的組織應(yīng)致力于實現(xiàn)信息流轉(zhuǎn)的程序化和自動化，減少信息 流轉(zhuǎn)環(huán)節(jié)，以及不必要的人為接觸，提高信息安全和工作效率。第六節(jié) 安全事故和故障處理第四十五條 各個信息系統(tǒng)必須建立事故和故障的應(yīng)急處理預(yù)案，盡量降低事故和故障對公司 經(jīng)營的影響。第四十六條第四十七條 安全事故匯報，將影響安全的事故通過適當(dāng)?shù)墓芾砬辣M快向管理層匯報。第四十八條第四十九條 安全部門定期發(fā)布安全漏洞報告，列舉安全漏洞和安全風(fēng)險，以及可以采取的解 決措施，相關(guān)部門積極配合改進(jìn)。第五十條第五十一條 安全事故發(fā)生后，回顧事故處理過

18、程，分析事故原因，從事故中吸取教訓(xùn)。第七節(jié) 業(yè)務(wù)連續(xù)性管理第五十二條 公司重要的業(yè)務(wù)， 特別是重要的 IT 應(yīng)用和信息管理系統(tǒng)， 必須考慮如何防止業(yè)務(wù) 中斷，保證重要業(yè)務(wù)流程不受重大故障和災(zāi)難的影響。第五十三條 重要 IT 系統(tǒng)需要制定和實施連續(xù)性計劃，內(nèi)容包括：1. 確定并認(rèn)可各項責(zé)任和應(yīng)急程序；2. 確定執(zhí)行應(yīng)急程序可以在規(guī)定時間內(nèi)恢復(fù)IT 系統(tǒng)；3. 適當(dāng)?shù)貙T工進(jìn)行培訓(xùn)，讓他們了解包括危機管理在內(nèi)的應(yīng)急程序；4. 應(yīng)急程序定期演練。第五十四條 業(yè)務(wù)連續(xù)性計劃需要定期進(jìn)行檢查、維護，甚至重新分析。第六章信息安全風(fēng)險評估和審計第五十五條第五十六條信息安全風(fēng)險評估主要是為了發(fā)現(xiàn)公司信息管理的安全漏洞，評估信息安全風(fēng)險 對公司的影響以及提出相應(yīng)改進(jìn)的措施。第五十七條信息安全風(fēng)險評估主要由公司的安全部門和信息安全管理組織承擔(dān)，由其制定相 關(guān)風(fēng)險評估模型并定期對各系統(tǒng)和流程進(jìn)行評估。第五十八條第五十九條信息安全審計主要是為了審核各級組織和系統(tǒng)是否按照公司相關(guān)制度和流程進(jìn)行 信息安全管