中国医药集团网络安全管理规范国药集团.docVIP

PAGE PAGE 20 中国医药集团网络安全管理规范 （V1.2） 中国医药集团总公司 2007年11月 目 录 TOC \o 1-2 \h \z \u 目 录 2 第一章 总则 4 1.1 范畴 4 1.2 目标 4 1.3 原则 4 1.4 制定与实施 5 第二章 安全组织结构 6 2.1安全组织结构建立原则 6 2.2 安全组织设置 6 2.3 安全组织职责 6 2.4 人员安全管理 9 第三章 基本安全管理制度 10 3.1 入网安全管理制度 10 3.2 操作安全管理制度 10 3.3 机房与设施安全管理制度 10 3.4 设备安全使用管理制度 11 3.5 应用系统安全管理 11 3.6 媒体/技术文档安全管理制度 11 第四章 用户权限管理 13 4.1 用户权限 13 4.2 用户登录管理 13 4.3 用户口令管理 14 第五章 运行安全 15 5.1 网络攻击防范 15 5.2 病毒防范 16 5.3 访问控制 16 5.4 行为审计 17 5.5异常流量监控 17 5.6 操作安全 18 5.7 IP地址管理制度 18 5.8 防火墙管理制度 19 第六章 安全事件的处理 20 6.1 安全事件的定义 20 6.2 安全事件的分类 20 6.3 安全事件的处理和流程 21 6.4 安全事件通报制度 23 第一章 总则 1.1 范畴 安全管理办法的范畴是运行维护过程中所涉及到的各种安全管理问题，主要包括人员、组织、技术、服务等方面的安全管理要求和规定。 本文所指的管理范围包括国药集团总公司和各分支机构的承载网络，同时包括其上承载的BI系统、BOA办公系统、编码系统、Email以及后续还要开发的HR系统和门户网站等各应用系统。 1.2 目标 安全管理的目标是在合理的安全成本基础上，实现网络运行安全（网络自身安全）和业务安全（为网上承载的业务提供安全保证），确保各类网元设备的正常运行，确保信息在网络上的安全存储传输以及信息内容的合法性。全网安全管理办法的目标主要就是为网络安全运行和业务安全提供管理上的保障，用科学规范的管理来配合先进的技术，以确保各项安全工作落到实处，真正保证网络安全。 安全管理办法将用于指导中国医药集团网络安全建设和管理，加强人员的安全管理，防止数据丢失、损坏、篡改、泄漏，提高网络及相关业务系统的安全性。 1.3 原则 安全管理工作的基本原则： 1.网络安全管理应以国家相关政策法规和条例为依据。 2.网络安全管理遵循统一规划、集中监控的原则。 中国医药集团总公司负责对网络安全管理工作进行统一规划，负责安全策略的制定和监督实施。 3.网络安全管理采用三级集中管理的方式。 由中国医药集团总公司负责对全网的网络安全进行统一规划管理，协调处理重大事件，由中国医药集团信息中心对骨干承载网的安全运营进行集中管理，由各分支机构负责对各分公司的安全运营进行集中管理。 4.网络安全管理工作应建立符合网络和业务发展要求的安全管理组织体系 和安全技术支援保障体系。 5.网络安全管理应建立并不断积累完善针对实际情况的各类安全管理章程 或规定，全面提高的网络安全管理水平。 1.4 制定与实施 本安全管理办法遵照我国信息安全的有关法律法规，并结合具体的情况，依 据中国医药集团公司颁布的各种服务管理规定和安全管理规定而制定。 第二章 安全组织结构 2.1安全组织结构建立原则 本章描述安全组织的建设，包括建立原则，组织设置，组织职责，针对人员的安全管理，和涉及应该指定的安全管理制度。 中国医药集团公司网络安全组织体系是中国医药集团公司安全体系的组织保障。应遵循中国医药集团公司相关的规章制度、维护规程，制定的安全管理制度和内部的法规政策，指导、监督、考核安全制度的执行，确保全网安全工作的有序进行。 采取中国医药集团总公司安全组织主管与各分支机构兼管相结合的组织建设原则。 2.2 安全组织设置 2.2.1 中国医药集团安全协调组织 1．中国医药集团公司安全主管人员 2．中国医药集团公司安全专家指导人员。 2.2.2 中国医药集团安全响应中心 1．中国医药集团公司安全主管人员 2．中国医药集团公司安全运营管理人员：由中国医药集团公司信息中心从事安全工作的管理和技术人员组成。 2.2.3 各分支机构安全组织 1) 各分支机构网络安全主管人员：由相关主管人员组成。 2) 各分支机构原则上不设置专职的安全管理机构，但应设立专（兼）职安全管理员，由从事安全工作的管理人员、技术人员或业务监管人员担任。 2.3 安