信息安全管理办法.docx

《信息安全管理办法.docx》由会员分享，可在线阅读，更多相关《信息安全管理办法.docx（7页珍藏版）》请在优知文库上搜索。

1、基型设施运维部负责识别信息系统安全需求，*科技部门组织确定系统安全保护等级，分析应用系统面临的安全风睑，充分考虑客户体验、企业级安全架构等，明确在身份认证、加解密、访问控制、数据安全保护等方面的安全措施,定义安全需求，提出安全组件服务。7.1 应急预案规范应急管理，以快速恢复信息系统为原则制定应急预案，建立并实施应急演练计划，建立支持服务连续性的技术应急保障体系.应急预案应明确应急处首组织、应急流程、应急所需资源及应急处宜措施。应急场景应包括人为失误、外部冲击、系统失效等内容；应急演练分为桌面演练和实战演练.桌面演练每年覆盖所有应急管理对象一次.实战演练每年覆盖网络系统、机房、存储系统等重要基

2、础设施信息系统一次;制定基础设施运维各专业联动应急预案,并保证应急预案的可操作性和有效性；当系统升级、网络改造、设备更新、配置参数调整等变更或重检、演练发现预案内容存在问题时，及时更新应急预案.7.2 应急处置记录应急处置中所有相关的信息和处理过程，并由专人存档保管.8.1 设备管理规范基础设施硬件设备管理，明确硬件设备的采购、存放、申请、发放、维护、维修和报废各个环节的安全控制要求.8.2 设备维修对于计算机设备，外部维修人员在我司进行现场维修时，必须有公司内部人员在场，且不允许外部维修人员私自豆制此计算机设备内的任何信息；监督外包现场维修的人员应接受过相关技术培训。当外部维修人员以远程登录

3、方式对计算机设备进行诊断、维护、维修时，须对诊断、维护、维修全过程进行记录.8.3 设备退出建立计算机设备退出机制，明确退出条件，及时启动退出程序，对非健康状态或废弃的资产进行强制退出.规范退出流程,明确退出申请、退出准备、退出实施和退出跟踪等环节的安全控制要求，妥善管理退出过程的风唆，确保信息资产安全退出.明确退出触发条件，触发条件包括信息系统的退出、资产达到服务期限、资产报废、资产提坏、资产性能不能满足运维需求等；定期对系统网络设备健康状态进行评估,防止处于不健康状态的资产引发安全问题，建立非健康状态资产的强制退出机制；综合评估资产退出可能带来的风睑,确保在风睑可控的前提下进行退出工作.9

4、.1 终端准入接入我司网络的所有Windows操作系统的计算机设备，应安装公司统一的终端安全客户端.桌面办公终端实施统一的安全准入控制，只有满足我司终端安全策略的设备，方可接入我司网络。9.2 终端补丁管理安装终端操作系统后，培打已知的系统补丁，关闭与办公和运维应用无关的系统务.终端用户使用过程中严禁卸载终端安全客户端，保障自动及时增打安全补丁.9.3 终端防病毒*科技部门在公司范围组织建立了统一的防病毒策略并部署统一指定的防病毒产品，阻止来自内外部的病毒传播和感染我司终端.终端用户应定期使用我司终端安全客户端自动更新病毒库并查杀病毒。9.4 移动存储介质管理T*科技部门建立了移动存储介质统一

5、管理机制和使用策略，监控并记录向移动存储介质拷贝行为，分析发现违规.内部终端上使用的移动存储介质应使用终端安全客户端注册.终端安全客户端自动对外来移动存储介质进行病毒查杀，一旦发现病毒，应将病毒完全清除后方可继续使用.10.1 内部网络内部网络是指我司完全掌控的网络。非我司计算机设备接入我司网络系统必须向基的设施运维部安全组提出申请，经科技部门批准，并按照我司的规定安装终端安全客户端等软件；对于移动办公服务，开通除OA、NOTES.企业信息网站、专用共享文件夹之外的其他系统访问，必须须向基地设施运维部安全组提出申请，经*科技部门和所申请使用系统的主管部门批准，方可接入使用；对为解决紧急生产问邈

6、,翕外包人员远程接入我司内部网络或自行操作行内计算机的行为，必须履行审批手续，记录操作活动.10.2 外部网络外部网络是指不受我司完全控制的网络，包括外联网和互联网：信息系统与互联网的连接应从公司内部统一接入,禁止通过私自搭建互联网专线方式接入；禁止信息系统私自跨系统设百代理提供上网功能；禁止信息系统处理涉密信息的计算机访问互联网；禁止接入内网的计算机通过WIF1.无线网卡等方式访问互联网；禁止将涉密信息系统接入互联网等公共信息网络,禁止在涉密计算机与非涉密计算机之间交叉使用U盘等移动存储设备，禁止在没有防护措施的情况下将公共信息网络上的;拷贝到涉密计算机，禁止涉密计算机、涉密移动存储设备与非涉密计算机、非涉密移动存储设备混用，禁止使用具备无线互联功能的设备处理涉密信息。明确系统安全保护机制，明确系统安全配重及加固策略，建立信息系统安全配置基线.信息系统上线前按系统安全配置基线进行标准配置，关闭无关系缴艮务；对于应用系统服务器，在厂商发布补丁后，由数据平台维护部门组织系统的补丁升级；在业界已有硬件平台的微码成功升级事例的情况下,根据必要性组织硬件平台微码升级.