信息安全指南征求意见稿2017v1.2.docxVIP

超图软件信息安全 第 PAGE ii页/总 NUMPAGES 10页 北京市朝阳区酒仙桥北路甲10号电子城IT产业园107楼7层, 邮编：100015 电话: +86-10- 传真: +86-10-信息安全指南 V2017A1 （征求意见稿） 北京超图软件股份有限公司 2017.07  超图软件信息安全指南 文件状态： [ ] 草稿 [ ] 正式发布 [√] 正在修改 文件编号 起草部门 信息中心 审批部门 生效日期 2017年7月 密 级 内部公开 发放范围 超图软件 北京超图软件股份有限公司 内部保密文件 仅限内部使用 信息安全指南 本文档只限在北京超图所属和所辖公司内部使用 修订历史记录 版本（倒序） 日期 修订说明 修改部门/作者  目的 为保证公司信息安全，防止信息遭到无意损坏，恶意破坏、窃取，指导员工规范化使用信息系统，提高员工的安全意识，掌握信息安全管理方法，识别信息系统风险，信息泄露采取的应对措施，明确信息安全管理者的相关职责，特制订本信息安全指南。 各部门应在信息安全指南的基础上，制定相关的信息安全操作手册，并定期检查落实。 适用范围 本指南的“信息”包含但不限于计算机和网络设备、数据存储介质、网络、个人电脑及数据。 本指南适用于超图软件股份有限公司全体员工，以及协作单位人员。 信息安全目标 业务系统可用性 保证业务系统正常运行，避免各种非故意的错误与损坏。 网络的可用性 确保网络7*24小时不中断运行，不可抗因素除外。 主机系统的可用性 确保系统7*24小时不中断运行，不可抗因素除外。 应用系统的可用性 确保系统7*24小时不中断运行，不可抗因素除外。 信息泄密次数 保证各种需要保密的资料（包括电子文档、磁带等）不被泄密，确保绝密、机密信息不泄漏给非授权人员，信息泄密次数：0次/年 安全事件发生次数： 一级安全事件目标值:0次/年 ，二级安全事件目标值：小于5次/年 新员工信息安全培训考核合格率 考核合格人数/培训人数=100% 信息安全工作任务 信息安全建设的根本目标是建立健全信息安全保障体系，全面提高信息安全保障能力、做到积极防御、综合防范，确保基础网络、公司信息系统核心业务系统和重要信息内容的安全，促进公司信息化健康发展。具体包括: 建立持续安全的安全体系，提交年度、半年度安全报告； 保障信息系统正常运行，建立定期检查与预警机制； 保护网络和数据的安全使用，完善数据的管理，备份和使用制度； 及时清除各种安全隐患，建立在线监测系统和整改制度； 确保信息使用、数据管理和知识产权的合法合规。 信息安全组织 信息安全由公司信息中心负责总体管理，组织日常的信息安全管理及定期信息安全的检查、监控和审计工作，对公司员工的信息安全行为进行奖励和处罚。各部门经理为本部门的信息安全负责人。 信息安全风险识别 来自企业外的风险 网络中断； 云服务不可用； 网络入侵、密码丢失； 病毒、木马风险。 来自企业内的风险 办公区域风险。不得在公共区域存放涉密介质、合同、客户信息、项目文件等数字和纸质材料，不得允许外部人员接入公司内部网络，不得私自设置有线和无线网络设备，包括但不限于WIFI路由器，私有网络。 机房设备风险。主要包括服务器、 UPS电源、网络交换机、电话交换机、光端机等。这些设备应具备防盗、防雷、防火、防水等措施。 存储设备的风险。包括机房存储、个人存储和移动存储，应确保存储设备的物理安全和可访问，使用移动存储介质，应确保不丢失、不损坏、不被非授权访问，应确保非涉密介质不存储涉密信息、敏感信息，使用完毕应及时删除。 上网行为风险。不得在办公网络上访问与工作无关的网站，不得在办公设备安装与工作无关的软件，不得在办公网络安装带有病毒的软件和插件，发现病毒或木马程序时应及时上报并予以清除。 用户密码风险。员工应设置安全的系统密码，并定期进行修改，不应将密码告诉他人或记录在公开位置，以防止系统密码被他人掌握，从而窃取用户权限内的信息资料和业务数据。管理员的密码应设置较高的安全级别，由专人进行管理。 文件的传输风险。重要文件应进行压缩加密以后进行传送，密码应具有一定复杂度且不少于11位，并采用与数据文件不同途径发送。敏感数据使用完毕，应及时删除并清空回收站。不得访问非授权文档，不得传播未公开文档。 信息安全管理及风险处置 信息安全管理策略 各相关部门根据本信息安全指南的要求编制信息安全手册，让信息安全工作有据可依，根据实际工作各方面情况变化，不定期更新信息安全手册； 建立定期报告机制，重要部门应提交年度、半年度安全报告； 建立信息设备定期检查与预警机制； 完善系统数据的管理、备份和