中国医药集团网络安全管理规范-国药集团.docxVIP

中国医药集团网络安全管理规范 (V1.2) 中国医药集团总公司 2007年11月 目录 TOC \o 1-5 \h \z \o Current Document 目录 2 \o Current Document 第一章总则 4 \o Current Document 1.1范畴 4 \o Current Document 目标 4 \o Current Document 1.3原则 4 \o Current Document 1.4制定与实施 5 \o Current Document 第二章安全组织结构 6 \o Current Document 2.1安全组织结构建立原则 6 \o Current Document 2.2安全组织设置 6 \o Current Document 安全组织职责 6 \o Current Document 2.4人员安全管理 9 \o Current Document 第三章基本安全管理制度 10 \o Current Document 3.1入网安全管理制度 10 \o Current Document 3.2操作安全管理制度 10 \o Current Document 3.3机房与设施安全管理制度 10 \o Current Document 3.4设备安全使用管理制度 11 \o Current Document 3.5应用系统安全管理 11 \o Current Document 3.6媒体/技术文档安全管理制度 11 \o Current Document 第四章用户权限管理 13 \o Current Document 4.1用户权限 13 \o Current Document 4.2用户登录管理 13 \o Current Document 4.3用户口令管理 14 \o Current Document 第五章运行安全 15 \o Current Document 5.1网络攻击防范 15 \o Current Document 5.2病毒防范 16 \o Current Document 5.3访问控制 16 \o Current Document 行为审计 17 \o Current Document 5.5异常流量监控 17 \o Current Document 5.6操作安全 18 \o Current Document 5.7 IP地址管理制度 18 \o Current Document 5.8防火墙管理制度 19 \o Current Document 第六章安全事件的处理 20 \o Current Document 6.1安全事件的定义 20 \o Current Document 6.2安全事件的分类 20 \o Current Document 6.3安全事件的处理和流程 21 \o Current Document 6.4安全事件通报制度 23 第一章总则 1.1范畴 安全管理办法的范畴是运行维护过程中所涉及到的各种安全管理问题， 主要 包括人员、组织、技术、服务等方面的安全管理要求和规定。 本文所指的管理范围包括国药集团总公司和各分支机构的承载网络， 同时包 括其上承载的BI系统、BOA、公系统、编码系统、Email以及后续还要开发的HR 系统和门户网站等各应用系统。 1.2目标 安全管理的目标是在合理的安全成本基础上， 实现网络运行安全（网络自身 安全）和业务安全（为网上承载的业务提供安全保证），确保各类网元设备的正 常运行，确保信息在网络上的安全存储传输以及信息内容的合法性。 全网安全管 理办法的目标主要就是为网络安全运行和业务安全提供管理上的保障， 用科学规 范的管理来配合先进的技术，以确保各项安全工作落到实处，真正保证网络安全。 安全管理办法将用于指导中国医药集团网络安全建设和管理， 加强人员的安 全管理，防止数据丢失、损坏、篡改、泄漏，提高网络及相关业务系统的安全性。 1.3原则 安全管理工作的基本原则： 网络安全管理应以国家相关政策法规和条例为依据。 网络安全管理遵循统一规划、集中监控的原则。 中国医药集团总公司负责对网络安全管理工作进行统一规划， 负责安全策略 的制定和监督实施。 网络安全管理采用三级集中管理的方式。 由中国医药集团总公司负责对全网的网络安全进行统一规划管理， 协调处理 重大事件，由中国医药集团信息中心对骨十承载网的安全运营进行集中管理， 由 各分支机构负责对各分公司的安全运营进行集中