ZHG-IT-BF-004-2013中化股份信息安全管理办法.docxVIP

中国中化股份有限公司质量管理体系文件文件编号ZHG-IT-BF-004-2013《中化股份信息安全管理办法》发布日期2013年3月15日文件类型规章制度中化股份信息安全管理办法目录总则机构与职责系统建设安全系统运维安全系统日志与安全文件附则总则为了加强中国中化股份有限公司（以下简称中化股份或公司）网络与信息系统（以下简称系统）的安全管理，降低信息安全风险，预防信息安全事件发生，保障系统稳定运行，特制定本办法。信息安全建设遵循“统一规划、统一标准、统一建设、统一管理；管理为主、技术为辅，内部为主、外援为辅”的原则。信息安全建设标准遵循公安部等部委颁布的信息系统安全等级保护国家标准，同时参照ISO27001等国际信息安全管理标准。信息安全管理包括但不限于系统建设安全管理、系统运维安全管理、网络安全管理、信息日志与安全文件管理。本办法适用于中化股份及其全资子公司。中化股份控股子公司（不含上市公司）应通过其公司章程或董事会决议等适当方式确认执行本办法，或依据本办法制定相应的管理办法。中化股份控股的上市公司参照本办法按照其章程办法的程序制定相应的管理办法。中化股份的参股公司可参照本办法执行。机构与职责公司保密委员会是公司信息安全的最高领导机构，负责对公司信息安全管理重大方针、实施策略做出决策与指导。公司信息技术部（以下简称信息技术部）负责落实公安部、国资委、公司信息化建设对信息安全的工作要求，组织各单位开展信息安全工作。工作职责包括：组织开展信息安全管理制度体系建设，确定信息安全管理与技术标准，建设信息安全基础架构。组织开展信息安全检查与评价工作，评估信息安全状况，提出整改意见。在发生信息安全事件时及时向公司保密委员会报告。各经营单位信息化建设责任部门负责落实公司信息安全建设规划和工作要求，工作职责包括：依据公司信息安全管理要求建立本单位信息安全管理细则和流程，加强信息安全管理，排查信息安全隐患，落实总部提出的信息安全整改意见。发生信息安全事件时及时向信息技术部报告。各单位信息化建设主管领导为本单位信息安全第一责任人，同时须指定一名信息安全管理员负责落实信息安全相关工作。系统建设安全系统建设安全管理包括在需求分析、方案评审、系统开发与测试、上线运行和系统验收等系统建设各环节需要落实的信息安全管理工作。需求分析阶段应确定应用系统的安全要求，新建系统应具有账号识别、用户认证、访问控制、日志审计和输入输出数据验证等信息安全功能。系统建设方案评审应包含信息安全解决方案的内容，包括用户识别及权限管理、数据存储与传输安全管理、敏感信息管理等，杜绝木马和后门程序。系统开发和测试阶段应对系统开发环境和测试环境实施分离，并设置独立的工作区域，根据应用系统的开发或测试要求进行网络访问和物理访问控制，确保数据的安全性。应对系统开发源代码和软件版本进行管控，用于开发的服务器、个人电脑须落实严格的安全防护措施。系统测试应包括功能测试、压力测试、渗透测试及信息安全评估。系统上线和验收应将WEB层、应用层、数据层服务器分开部署，放置到对应的安全区域内，在出现安全事件时能阻止不良影响扩散。系统建设合同应包括对第三方人员的信息安全责任和保密职责等要求。 系统运维安全系统运维安全管理是指在信息系统运维过程中有关加强信息安全防护的管理，包括但不限于信息资产管理、人员管理与安全培训、机房与办公场所管理、移动存储介质管理、系统输出信息发布管理、访问控制管理、数据备份管理、日志管理、设备配置变更管理、漏洞扫描与风险评估等。各单位应按系统重要性原则对信息资产进行分类，加强对重要信息资产的安全管控，编制和维护信息资产清单，落实信息资产管理责任人。各单位应规范员工从入职、在职到离职的信息安全管理，定期组织信息安全培训，提高全员信息安全责任意识。各单位应建立并落实机房与办公场所信息安全管理措施，防止未授权人员进入机房、办公场所，预防信息泄露。 在公司办公网等非涉密网络不得从事涉密信息编制工作，任何人禁止将涉密信息存储在非涉密存储介质上。各单位应建立系统访问安全控制策略，实现对网络设备、服务器、数据库、应用系统的安全访问。系统管理员应定期查看系统日志、安全日志、告警信息等，识别系统运行过程中存在的信息安全隐患和问题。各单位对重要应用系统、服务器、数据库和网络设备，应建立并执行配置变更管理流程，严格禁止未授权的配置变更。在系统运维中应加强对第三方人员的信息安全管理，运维服务合同应包括信息安全责任和保密职责等。系统日志与安全文件各单位应建立信息安全日志与文件记录，包括系统管理日志、系统安全日志、系统变更记录、安全事件报告记录、信息安全培训记录、信息安全评估报告等，并对这些日志与文件记录进行安全访问控制，确保文档安全。附则本办法由中化股份信息技术部负责解释。本办法自发布之日起施行。相关文件：中化