企业信息安全的制度和组织安排.docx

企业信息安全的制度和组织安排 PAGE \* MERGEFORMAT 1 企业信息安全的制度和组织安排 IT项目组 2009年8月  目录 TOC \o 1-3 \h \z \u HYPERLINK \l _Toc243124628 1. 目的 PAGEREF _Toc243124628 \h 3 HYPERLINK \l _Toc243124629 2. 范围 PAGEREF _Toc243124629 \h 3 HYPERLINK \l _Toc243124630 3. 背景 PAGEREF _Toc243124630 \h 3 HYPERLINK \l _Toc243124631 4. 组织和职责 PAGEREF _Toc243124631 \h 4 HYPERLINK \l _Toc243124632 5. 制度 PAGEREF _Toc243124632 \h 7 HYPERLINK \l _Toc243124633 5.1. 访问控制 PAGEREF _Toc243124633 \h 7 HYPERLINK \l _Toc243124634 5.2. 主机安全 PAGEREF _Toc243124634 \h 7 HYPERLINK \l _Toc243124635 5.3. 主机安全与管理员职责管理 PAGEREF _Toc243124635 \h 9 HYPERLINK \l _Toc243124636 5.4. 应用系统管理员 PAGEREF _Toc243124636 \h 9 HYPERLINK \l _Toc243124637 5.5. 信息安全审计 PAGEREF _Toc243124637 \h 10 HYPERLINK \l _Toc243124638 5.6. 信息安全事件与责任 PAGEREF _Toc243124638 \h 10 HYPERLINK \l _Toc243124639 5.7. 信息系统安全建设 PAGEREF _Toc243124639 \h 11 HYPERLINK \l _Toc243124640 6. 说明 PAGEREF _Toc243124640 \h 15  目的 为信息系统集中管理确立相应的信息安全管理制度的原则，本文档目的并非编写完整的制度文档，而是说明这些制度的作用和控制机制和所依据的原则。以及对所需的组织和制度给出规划。 本文遵循ISSE（信息安全系统工程）的原则，对我所信息系统安全建设给出概要说明。 本文档作为《成都生物制品研究所信息系统规划》的附件，对其中的有关内容进行较详细的说明。 本文档主要供所领导及有关决策者阅读。 范围 本文关注信息安全范畴内的访问控制、安全审计、信息安全建设的基本要求等。其他内容（备份恢复、容灾、病毒防御等，在本文中有概要性说明）。 背景 成都生物制品研究所信息系统包含300多台电脑，以及近10台分布在4个以上不同科室的各种应用的服务器。部分有服务器的科室，有一个计算机系统管理员，兼做应用系统管理员，并同时从事该科室的业务工作。 成都生物制品研究所的信息中包括疫苗质量检定数据、科研资料、产品制造工艺和检验工艺、财务数据、人力资源数据等企业的机密。这些信息资源中可能直接或间接包含疫情信息，如果泄密，可能造成社会不安定。因此，可归属于国家信息安全等级保护管理规定的第三级，本所按照第三级保护的规定的主要要求进行信息安全保护。 成都生物制品研究所具有包括产品质量信息、设施监测数据、销售数据、原材料仓储和供应信息、成品仓储信息等受到法规管控的信息及处理这些信息的系统。法规对这些系统的要求的核心是保证数据真实、不被非法访问、不被篡改、高可用性（如果需要，即可获得）。法规要求这些系统有可审计的安全管理机制。 GAMP5指出，（对法规管控的系统）不应将系统维护支持（系统管理员）和业务操作员设置为同一人。即，将系统管理与业务操作分离，避免业务操作员以系统管理员身份对操作和数据进行篡改。GAMP5同时指出，业务负责人、系统负责人分别对系统的运行操作及数据、系统的功能负责，业务负责人指应用系统用户部门负责人，系统负责人通常为企业工程部负责人（GAMP4使用的“system owner”“platform owner”术语已分别改为“process owner”“system owner”）。 Windows操作系统自带的日志功能并不能简单地实现足够可靠可信的安全审计，并且不能阻止系统管理员删改日志，因而，仅仅依靠系统自带的审计功能将不能实现合规审计的要求。 组织和职责 完整的信息系统规划，不能没有组织规划。无论信息安全法规还是GAMP规范都要求信息系统需有组织地进行维护和管理。信息