信息安全制度（一）.pdf

信息安全制度 1 总则 第1条 为规范信息安全管理工作，加强过程管理和基础设施管 理的风险分析及防范，建立安全责任制，健全安全内控制度，保证信 息系统的机密性、完整性、可用性，特制定本规定。 2 适用范围 第2条 本规定适用于。 3 管理对象 第3条 管理对象指组成计算机信息系统的系统、设备和数据等 信息资产和人员的安全。主要范围包括：人员安全、物理环境安全、 资产识别和分类、风险管理、物理和逻辑访问控制、系统操作与运行 安全、网络通讯安全、信息加密与解密、应急与灾难恢复、软件研发 与应用安全、机密资源管理、第三方与外包安全、法律和标准的符合 性、项目与工程安全控制、安全检查与审计等。 4 第四章术语定义 DMZ：用于隔离内网和外网的区域，此区域不属于可信任的内 网，也不是完全开放给因特网。 1 容量：分为系统容量和环境容量两方面。系统容量包括 CPU、 内存、硬盘存储等。环境容量包括电力供应、湿度、温度、空气质量 等。 安全制度：与信息安全相关的制度文档，包括安全管理办法、标 准、指引和程序等。 安全边界：用以明确划分安全区域，如围墙、大厦接待处、网段 等。 恶意软件：包括计算机病毒、网络蠕虫、木马、流氓软件、逻辑 炸弹等。 备份周期：根据备份管理办法制定的备份循环的周期，一个备份 周期的内容相当于一个完整的全备份。 系统工具：能够更改系统及应用配置的程序被定义为系统工具， 如系统管理、维护工具、调试程序等。 消息验证：一种检查传输的电子消息是否有非法变更或破坏的技 术，它可以在硬件或软件上实施。 数字签名：一种保护电子文档真实性和完整性的方法。例如，在 电子商务中可以使用它验证谁签署电子文档，并检查已签署文档的内 容是否被更改。 信息处理设备：泛指处理信息的所有设备和信息系统，包括网络、 服务器、个人电脑和笔记本电脑等。 不可抵赖性服务：用于解决交易纠纷中争议交易是否发生的机 制。 2 电子化办公系统：包括电子邮件、KOA 系统以及用于业务信息 传送及共享的企业内部网。 5 安全制度方面 5.1 安全制度要求 5.1.1 本制度的诠释 第4条 所有带有“必须”的条款都是强制性的。除非事先得到 安全管理委员会的认可，否则都要坚决执行。其它的条款则是强烈建 议的，只要实际可行就应该被采用。 第5条 所有员工都受本制度的约束，各部门领导有责任确保其 部门已实施足够的安全控制措施，以保护信息安全。 第6条 各部门的领导有责任确保其部门的员工了解本安全管 理制度、相关的标准和程序以及日常的信息安全管理。 第7条 安全管理代表 （或其指派的人员）将审核各部门安全控 制措施实施的准确性和完整性，此过程是公司例行内部审计的一部 分。 5.1.2 制度发布 第8条 所有制度在创建和更新后，必须经过相应管理层的审 批。制度经批准之后必须通知所有相关人员。 3 5.1.3 制度复审 第9条 当环境改变、技术更新或者业务本身发生变化时，必须 对安全制度重新进行评审，并作出相应的修正，以确保能有效地保护 公司的信息资产。 第10条 安全管理委员会必须定期对本管理办法进行正式的复 审，并根据复审所作的修正，指导相关员工采取相应的行动。 6 组织安全方面 6.1 组织内部安全 6.1.1 信息安全体系管理 第11条 公司成立安全管理委员会，安全管理委员会是公司信 息安全管理的最高决策机构，安全管理委员会的成员应包括总裁室主 管 IT 领导、公司安全审计负责人、公司法律负责人等。 第12条 信息安全管理代表由信息安全管理委员会指定，一般 应包含稽核部 IT 稽核岗、信息管理部信息安全相关岗位及分公司 IT 岗。 第13条