1、完整版)信息安全管理制度信息安全管理制度 目录 1.1总则:为了切实有效的确保公司信息安全,提升信息系统为公司生产经营的服务能力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全进行管理,以确保网络与信息安全。 1.1.1建立文件化的安全管理制度,安全管理制度文件应包括: a)安全岗位管理制度; b)系统操作权限管理; c)安全培训制度; d)用户管理制度; e)新服务、新功能安全评估; f)用户投诉举报处理; g)信息公布审核、合法资质查验和公共信息巡查; h)个人电子信息安全保护; i)安全事件的监测、报告和应急处置制度; j)现行法律、法规、规章、标准和行政审
2、批文件。 1.1.2安全管理制度应经过管理层批准,并向所有员工宣贯 2.1.1互联网交互式服务提供者应是一个能够承当法律责任的组织或个人。 2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。 建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的使命:岗位管理制度应包括保密管理。 3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行,包括:1.个人身份核查:2.个人履历的核查: 3.学历、学位、专业资质证实: 3.2.2应与关键岗位人员签订保密协议。 建立安全培训制度,定期对所有工作人员进行信息安全培训,提升全员的信息安全意识
3、包括: 1.上岗前的培训; 2.安全制度及其修订后的培训; 3.法律、法规的发展坚持同步的持续培训。 应严格规范人员离岗过程: a)及时终止离岗员工的所有访问权限; b)关键岗位人员须承诺调离后的保密义务后方可离开; c)配合公安机关工作的人员变动应通报公安机关。 应严格规范人员离岗过程: a)及时终止离岗员工的所有访问权限; b)关键岗位人员须承诺调离后的保密义务后方可离开; c)配合公安机关工作的人员变动应通报公安机关。 建立包括物理的和逻辑的系统访问权限管理制度。 按以下原则依据人员使命分配不同的访问权限: a)角色分开,如访问请求、访问授权、访问管理; b)满足工作必须要的最小权限;
4、 c)未通过明确同意,则一律禁止。 4.3特别权限限制和控制特别访问权限的分配和使用: a)标识出每个系统或程序的特别权限; b)按照“按必须使用、“一事一议的原则分配特别权限; c)记录特别权限的授权与使用过程; d)特别访问权限的分配必须要管理层的批准。 注:特别权限是系统超级用户、数据库管理等系统管理权限。 定期对访问权限进行检查,对特别访问权限的授权状况应在更频繁的时间间隔内进行检查,如发现不恰当的权限设置,应及时予以调整。 5网络与主机系统的安全 应维护使用的网络与主机系统的安全,包括: a)实施计算机病毒等恶意代码的预防、检测和系统被破坏后的恢复措施; b) 实施724h网络入侵行
5、为的预防、检测与响应措施; c)适用时,对重要文件的完整性进行检测,并具备文件完整性受到破坏后的恢复措施; d)对系统的脆弱性进行评估,并采用适当的措施处理相关的风险。注:系统脆弱性评估包括采纳安全扫描、渗透测试等多种方式。 应建立备份策略,有足够的备份设施,确保必要的信息和软件在灾难或介质故障时可以恢复。 5.2.2网络基础服务登录、消息公布等应具备容灾能力。 5.3.1应记选用户活动、异常状况、故障和安全事件的日志。 5.3.2审计日志内容应包括: a)用户注册相关信息,包括: 1)用户唯一标识; 2)用户名称及修改记录; 3)身份信息,如姓名、证件类型、证件号码等; 4)注册时间、IP地址及端口号; 5)电子邮箱地址和于机号码; 6)用户备注信息; 7)用户其他信息。 b)群组、频道相关信息,包括: 1)创建时间、创建人、创建人IP地址及端口号; 2)删除时间、删除人、删除人IP地址及端口号; 3)群组组织结构; 4)群组成员列表。 c)用户登录信息,包括: 1)用户唯一标识;2)登录时间;3)退出时间;4)IP地址及端口号。 d)用户信息公布日志,包括:1)用户唯一标识;2)信息标识;3)信息公布时间;4)IP地址及端口号;5)信息标题或