惠聚知行网络与安全信息化管理办法
(第八次修订)
第一章 总则
第一条:为了实施有效的信息安全管理,确定惠聚知行信息安全管理的目标、范围、原则、信息安全框架、管理办法等内容,惠聚知行按照国家相关标准,制定了信息安全方针策略与管理制度。信息安全方针策略指导信息安全风险管理、信息安全管理制度建设和执行信息安全管理制度建设和执行信息安全工作。
第二条:本管理办法根据《信息安全技术网络安全等级保护基本要求》、《信息安全技术信息系统安全管理要求》、《信息安全技术 信息系统安全工程管理要求》、《中华人民共和国网络安全法》《互联网信息服务管理办法》等有关法律、标准、政策、管理规范而制定。
第三条:本管理办法适用于惠聚知行计算机系统有限公司(以下简称“惠聚知行”)。
第二章 方针、目标、原则
第四条:惠聚知行计算机系统有限公司安全坚持“积极防御、及时发现、快速反应、确保恢复”的总体方针和“同步规划、同步建设、同步运行”的要求,实现信息系统安全可控、能控、在控。依照“分区、分级、分域”总体安全防护策略,执行信息系统安全等级保护制度,维护惠聚知行计算机系统有限公司信息安全,更好地服务事业发展大局。
第五条:信息系统安全总体目标是确保信息系统持续、稳定、可靠运行,确保信息内容的机密性、完整性、可用性,防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃,抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏,防止信息内容及数据丢失和失密,防止有害信息在网上传播,防止对外服务中断和由此造成的系统运行事故,通过建立健全各项信息安全管理制度、加强惠聚知行全体职工和信息系统使用、运维相关人员的信息安全培训和教育工作,制定合适的风险控制措施,有效控制信息系统面临的安全风险,保障惠聚知行信息系统的正常稳定运行。
第六条:信息安全工作的总体原则
(一)依法管理原则
信息安全管理工作主要体现为管理行为,应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理,应由授权者适时发布准确一致的有关信息,避免带来不良的社会影响。
(二)管理与技术并重原则
坚持积极防御和综合防范,全面提高信息系统安全防护能力,立足国情,采用管理与技术相结合,管理科学性和技术前瞻性结合的方法,保障信息系统的安全性达到所要求的目标。
(三)自保护和国家监管结合原则
对信息系统安全实行自保护和国家保护相结合。组织机构要对自己的信息系统安全保护负责,政府相关部门有责任对信息系统的安全进行指导、监督和检查,形成自管、自查、自评和国家监管相结合的管理模式,提高信息系统的安全保护能力和水平,保障国家信息安全。
(四)基于安全需求原则
组织机构应根据其信息系统担负的使命,积累的信息资产的重要性,可能受到的威胁及面临的风险分析安全需求,按照信息系统等级保护要求确定相应的信息系统安全保护等级,遵从相应等级的规范要求,从全局上恰当地平衡安全投入与效果。
(五)主要领导负责原则
惠聚知行总办应确立其组织统一的信息安全保障的宗旨和政策,负责提高员工的安全意识,组织有效安全保障队伍,调动并优化配置必要的资源,协调安全管理工作与各部门工作的关系,并确保其落实、有效。
(六)全员参与原则
信息系统所有相关人员应普遍参与信息系统的安全管理,并与相关方面协同、协调,共同保障信息系统安全。
(七)系统方法原则
按照系统工程的要求,识别和理解信息安全保障相互关联的层面和过程,采用管理和技术结合的方法,提高实现安全保障的目标的有效性和效率。
(八)持续改进原则
安全管理是一种动态反馈过程,贯穿整个安全管理的生存周期,随着安全需求和系统脆弱性的时空分布变化,威胁程度的提高,系统环境的变化以及对系统安全认识的深化等,应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级,维护和持续改进信息安全管理体系的有效性。
(九)分权和授权原则
对特定职能或责任领域的管理功能实施分离、独立审计等实行分权,避免权力过分集中所带来的隐患,以减小未授权的修改或滥用系统资源的机会。
任何实体(如用户、管理员、进程、应用或系统)仅享有该实体需要完成其任务所必须的权限,不应享有任何多余权限。
(十)选用成熟技术原则
成熟的技术具有较好的可靠性和稳定性,采用新技术时要重视其成熟的程度,并应首先局部试点然后逐步推广,以减少或避免可能出现的失误。
在规划和建设信息系统时,信息系统安全防护措施应按照“三同步”原则,与信息系统建设同步规划、同步建设、同步投入运行。
第三章 总体安全策略
第七条:总体安全保护策略是:信息安全保护必须符合客观存在和发展规律,其分级、分区域、分类和分阶段是做好信息安全保护的前提。
第八条:惠聚知行的安全保护策略由惠聚知行网络与安全信息化办公室(以下简称“网络与安全信息化办公室”)负责修订。
第九条:网络与安全信息化办公室根据信息系统的保护等级、安全保护需求和安全目标,结合惠聚知行自身的实际情况,依据国家有关信息安全法规和国家标准,制定信息系统的安全保护实施细则和具体管理办法;并根据环境、系统和威胁变化情况,及时调整和制定新的实施细则和具体管理办法。
第十条:信息系统安全等级的定级决定了系统方案的设计、实施、安全措施、运行维护等信息系统建设的各个环节。信息系统定级遵循“谁主管、谁定级,谁运维、谁定级”的原则。
第十一条:根据信息重要程度、系统重要性和安全策略将信息系统划分为不同的安全域,针对不同的安全域确定不同的信息安全保护等级,并进行相应的保护。
第十二条:惠聚知行的等级保护工作应从物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理十个部分展开建设,构成信息系统整体安全控制机制。
物理安全包括:物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等。
网络安全包括:结构安全、访问控制、安全审计、边界完整性检查、入侵防范、网络设备防护等。
主机安全包括:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制等。
应用安全包括:身份鉴别、访问控制、安全审计、通信完整性、通信保密性、软件容错、资源控制等。
数据安全及备份恢复包括:数据完整性、数据保密性、备份和恢复等。
第十三条:安全管理制度是信息系统安全策略、方针性文件,规定信息安全工作的总体目标、范围、原则和安全框架。
第十四条:安全管理机构明确不同安全组织、不同安全角色的定位、职责以及相互关系,强化信息安全的专业化管理,实现对安全风险的有效控制。
第十五条:人员安全管理从人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理等多个方面制定相应的管理制度和规定。
第十六条:系统建设管理根据系统等级、系统重要性和安全策略将信息系统划分为不同的安全域,针对不同的安全域确定不同的信息安全保护等级,并进行相应的保护。信息系统安全等级决定了系统方案的设计、实施、安全措施、运行维护等信息系统建设的各个环节。信息系统定级遵循“谁建设、谁定级,谁运维、谁定级”的原则。
第十七条:系统运维管理对环境、资产、介质、设备进行综合监控管理,对支撑重要信息系统的资源进行监控保护。确保密码、病毒、变更等事件要求按照定义好的安全管理策略措施。
第四章 网络与安全信息化办公室的职责
第十八条:网络与安全信息化办公室负责协调惠聚知行网络与信息安全保障体系建设。各部门、事业群、节点、信息汇聚节点、数据中心节点。
第十九条:由网络与安全信息化办公室下设:统一身份认证中心、邮局管理中心、网站管理中心、业务系统管理中心、惠聚知行网络安全管理中心。
第二十条:网络与安全信息化办公室负责网络与信息系统的日常管理和维护,保障网络与信息系统的正常运行;保存网络运行日志,配合调查取证;负责入网单位和个人办理入网登记手续。
第二十一条:惠聚知行网络安全管理中心负责对网络违规行为进行调查、取证、处理,根据相关证据及事态影响或破坏程度,对违规者按照有关规定进行处理。
第二十二条:网络与信息系统的主办单位承担安全监管责任, 包括内容安全监管、技术安全保障和监督检查等职责;网络与信息系统的使用单位和个人对系统操作与信息内容的安全监管承担直接责任。网络与信息系统通过外包服务方式进行维护的,网络与安全信息化办公室负责督促外包服务单位做好安全运维工作,网络与信息系统的安全监管责任主体仍为惠聚知行网络与安全信息化办公室。
第五章 本管理办法的制定与发布
第二十三条:网络与安全信息化办公室负责信息安全管理制度的起草和管理,并以文档形式表述,组织相关人员进行论证、监督检查和修订,经讨论通过后,由网络与安全信息化办公室进行发布。
第二十四条:信息系统建设部门在信息安全策略总纲的基础上,结合各自系统的特点,细化,编制符合各自系统的信息安全管理制度,并有效执行。
第六章 制度的评审和修订
第二十五条:由网络与安全信息化办公室负责文档的评审,对安全策略和制度的有效性进行程序化、周期性评审,并保留必要的评审记录和依据。
第二十六条:网络与安全信息化办公室负责每年定期组织对安全管理制度的执行情况进行检查。
第二十七条:结合上级主管部门每年定期对信息安全检查中发现的问题,对安全管理制度进行有针对性的修订与完善。
第二十八条:当发生重大安全事故、出现新的安全漏洞以及技术基础结构发生变更时,网络与安全信息化办公室要对本管理办法的实施细则进行修订,并对修订后的实施细则进行备案。