信息安全制度管理办法.docx

信息安全管理规定 （规定目的）为建立深圳前海风豹互联网科技有限公司信息安全管理体系，在信息系统规划、建设、运维、使用的全过程中加强安全管理，根据国家安全法、信息安全等级保护、风险评估标准要求及信息安全管理体系标准（ \o ISO27001 ISO27001)制定本规定。 （管理对象）本规定及依据本规定制定的信息系统安全技术规范、安全操作规程适用于深圳前海风豹互联网科技有限公司规划、建设、运维、使用和安全管理的信息系统。互联网接入区、生产网络，办公网络等信息系统参照执行，另有规定的应当从其规定。 （管理原则）信息系统安全管理工作遵循“同步规划、同步建设、同步运维、同步使用”的原则，各部门在信息系统规划、建设、运维、使用的全生命周期内，应贯彻落实本规定的要求，履行好安全职责。 管理体系 制度体系 （建设安全）各部门应当在信息系统建设过程中，按照深圳前海风豹互联网科技有限公司《信息系统建设管理》及相关安全技术规范，做好安全需求分析、规范代码开发和上线安全检查等工作。信息系统运维部提供技术支持。 （运维安全）各部门在日常运维工作中，应当按照《信息系统运维管理规定》及相关安全技术规范的要求，做好机房安全管理、网络安全管理，主机安全管理、数据库管理、应用安全管理等。其中，深圳前海风豹互联网科技有限公司防火墙、上网检测设备、网页防篡改设备、防病毒服务器、补丁升级服务器等运维服务部负责管理及配置；深圳前海风豹互联网科技有限公司Waf防护、安全扫描工具、日志集中管理服务器、互联网域名、IP及端口等由信息系统运维部安全员负责管理及配置。 （使用安全）深圳前海风豹互联网科技有限公司所有人员应当按照《工作环境管理规定》的要求，安全使用计算机、信息系统。 （数据安全）各部门应加强数据安全管理，按照深圳前海风豹互联网科技有限公司《设备安全配置管理规定》的要求，做好数据访问、备份、传输、存储等工作，防止数据丢失、泄漏、损毁，确保数据安全。 管理操作规程和技术规范 （安全基线规范）信息系统运维服务部安全员负责制定《深圳前海风豹互联网科技有限公司信息系统安全配置基线规范》，涵盖深圳前海风豹互联网科技有限公司常用的网络设备、主机、数据库、应用软件等安全配置要求，以减少系统运维安全风险。规范每年至少更新一次。 （代码编写安全规范）信息系统运维服务部安全员负责制定《深圳前海风豹互联网科技有限公司信息系统代码编写安全规范》，涵盖应用数据输入输出验证、访问控制、会话管理等，以减少系统开发编码安全风险。规范每年至少更新一次。 （应用安全技术规范和安全测试规范）信息系统运维服务部安全员负责制定《深圳前海风豹互联网科技有限公司信息系统应用安全技术规范》和《深圳前海风豹互联网科技有限公司信息系统应用安全测试规范》，涵盖身份认证、权限管理、数据有效性、系统容错等方面，用于加强应用安全设计和安全测试，规范每年至少更新一次。 （口令安全规范）信息系统运维服务部安全员负责制定《深圳前海风豹互联网科技有限公司口令安全配置规范》，涵盖口令安全长度、复杂度要求、口令更新周期、弱口令规则、弱口令字典列表等方面，用于规范深圳前海风豹互联网科技有限公司信息系统口令设置，规范每年至少更新一次。 （安全扫描和渗透测试操作规程）信息系统运维服务部安全员负责制定《安全扫描和渗透测试操作规程》，用于规范信息系统的安全扫描和渗透测试工作。 （风险评估和信息安全自查操作规程）信息系统运维服务部安全员负责制定《风险评估和信息安全自查操作规程》，用于规范信息系统的风险评估和信息安全检查工作。 安全保障 系统上线安全检测 （上线检测任务）各部门新建系统上线前、已有系统重大变更前或系统对互联网开放访问前，应当按照《信息系统上线管理办法》及相关安全技术规范的要求，向信息系统运维部申请开展安全检测。 （检测内容及方案）系统上线安全检测内容包漏洞扫描、渗透测试、安全配置检查、源代码审计、移动APP安全检测等。 （前置安全加固）系统建设主办部门在提交安全检测申请前，应按照深圳前海风豹互联网科技有限公司信息系统安全配置规范，对待上线系统的网络、主机、中间件、应用程序、数据库、移动APP等设备进行安全配置加固。 （安全检测材料）系统建设主办部门提交安全检测申请时，还应向信息系统运维部提交系统相关材料，包括安全检测申请表、系统部署示意图、系统简要说明文档等。信息系统运维部应妥善保存安全检测申请材料。 （检测通过标准）上线检测通过标准原则上为漏洞扫描无高风险漏洞、安全测试无高风险项和安全配置和核查无不符合项。 （后续关联处理）系统如需开放互联网访问，系统建设主办部门应当按照深圳前海风豹互联网科技有限公司《互联网域名IP及端口管理规范》向信息系统运维部申请互联网访问所需资源，包括域名、互联网IP地址、端口等。 互联网安全防护