xxx信息安全管理制度.docx

xxx信息安全管理制度上海xxx电子商务有限公司信息安全管理制度目录第一章关于信息安全的总述(2)第二章信息安全管理的组织架构(3)第三章岗位和人员管理(3)第四章信息分级与管理(3)第五章信息安全管理准则(4)第六章信息安全风险评估和审计(8)第七章培训(9)第八章赏罚(9)第九章附则(9)第一章关于信息安全的总述第一条制度的目的为了维护公司信息的安全，确保公司不因信息安全问题遭受损失，根据公司章程及相关制度，特制定本制度。第二条信息安全的概念本制度所称的信息安全是指在信息的采集、产生、处理、传递、存储等经过中，做到下面工作：1确保信息保密，但在经过受权的人员需要得到信息时能够在能够控制的情况下获得信息；2保证信息完好和不被灭失，但在特定的情况下应当销毁一些不应保存的信息档案；3保证信息的可用性。第三条制度的任务通过对详细工作中关于信息安全管理的规定，提高全体员工的安全意识，加强公司经营经过中信息的安全保障，最终确保公司所有信息得到有效的安全管理，维护公司利益。第四条制度的地位本制度是公司各级组织制定信息安全的相关措施、标准、规范及施行细则都必须遵守的信息安全管理要求。第五条制度的适用范围全体员工均必须自觉维护公司信息的安全，遵守公司信息安全管理方面的相关规定。一切违背公司信息安全管理规定的组织和员人，均予以追查。第六条信息的概念本制度所称的信息是指一切与公司经营有关情况的反映或者固然与公司经营无关，但其产生或存储是发生在公司控制的介质中，它们所反映的情况包括公司的经营状况、财务状况、组织状况等一切内容，其存储的介质包括纸质文件、电子文件甚至是存在员工大脑中。详细来讲，包括但不限于下列类型：1、与公司业务相关的各个业务系统中的信息，如设计文档、源代码、可执行代码、配置、接口以及相应的数据库和数据库相关备份等；2、与公司业务相关的各种业务数据，如用户资料、经销商资料、合作伙伴信息、合同、各业务系统运行时数据、各类统计数据和报表、收入数据等；3、与公司内部管理相关的各类行政数据，如人事资料、人事组织构造等；4、与公司财务管理相关的财务类数据，如采购信息、资产信息、财务信息；5、其他如公司各分子公司和外地办事构造的数据；公司员工对内、对外进行各种书面的、口头的信息传播行为等。第七条信息安全工作的重要性信息安全管理是公司内部管理的一项重要及长期性的工作，其贯穿整个公司各项业务与各个工作岗位，各个中心和部门必须积极配合该项工作的开展。第二章信息安全管理的组织架构第八条公司最高管理层是公司信息安全管理工作的最高领导者，负责全面把握公司信息安全管理工作的方向。第九条公司CTO以及其领导的技术专家小组作为信息安全管理工作参谋小组，负责指导公司信息安全管理工作。第十条公司成立专门的信息安全管理工作小组，负责检查信息管理风险、制定安全管理规范、监督公司信息安全管理工作。第十一条公司人力资源部、法务部、支付运维部及技术专家小组作为信息安全管理辅助执行机构配合信息安全小组工作执行。第三章岗位和人员管理第十二条涉及到信息安全的岗位和人员的权责必须明晰明确，建立责任人机制，任何信息都有明确的责任人进行负责。第十三条加强对机要岗位人员的管理，严格控制机要岗位人员的人事变动，加强日常工作监管。第十四条定期对员工进行信息安全培训，确保员工了解信息安全存在的威胁和问题，在日常工作中切实遵守信息安全政策。第四章信息分级与管理第十五条信息分级根据信息的价值，或者信息在不安全情况下对公司及合作伙伴的直接或潜在影响。第十六条公司各类经营管理信息均属公司无形资产，都必须根据规定的分级方式进行分级，并明确标注。第十七条公司为每级信息制定最低安全操作原则，以指导各项详细操作手册的制定和详细信息操作。第十八条注：具体的信息分级标准，以及最低安全操作原则，见（信息分级和管理标准）。第五章信息安全管理准则第一节实体和环境安全第十九条关键或敏感信息的存放和处理设备需要放在安全的地方，并使用相应的安全防护设备和准入控制手段进行保护，确保这些信息或设备免受未经受权的访问、损害或者干扰。详细措施如下：1.存放或处理信息的设备，如服务器、存储设备等，应该放在公司内部机房或专业、可信的IDC机房内。2.存放公司重要信息的IT设备接入网络环境十分是接入公网环境必须经过严格的安全检查，配备符合安全要求的网络设备和安全防备设备，并采取有效的管理措施确保不被入侵或数据泄露。3.对于那些不能放在机房里，但又存放有关键或敏感信息的设备，如文件服务器，代码管理服务器等，必须放在有严格进出限制的房间里，不得放在公共办公区域。4.对于存放纸质文件的文件柜和文件室，必须有锁或其他安全控制装置，并指定专人负责文件取放。5.对于纸质文件或可移动存储介质，暂时不用时，需存放在适宜的加锁的柜子和/或其它形式的安全设备中，并且可移动存储介质上的重要文件需要加密保护。第二十条严格控制进出安全区域的人员，并使用必要的监控设备或手段监视人员在安全区域的行为。详细包括：1.安全区域是指为存放关键或敏感信息，以及信息处理设备，而划分出来有进入控制手段的区域。2.内部员工进入安全区域必须经过受权，并登记进入和离开时间。3.外来人员在安全区内工作，除需要经过受权外，必须在适当的监视下进行工作。4.人员随身携带物品或设备进出安全区域必须经过检查。第二十一条存放关键或敏感信息的介质或设备离开工作环境安全区域，运输、携带或在外部使用，需采取保护手段，防止信息窃取和损坏。第二十二条存放关键或敏感信息的介质或设备，假如不再使用或转作其他用处，应将其中的数据进行彻底销毁。应注意选择数据销毁手段，确保数据真正无法恢复。第二节操作管理第二十三条明确所有信息处理操作的流程，明确流程中每个环节的责任，确保信息处理经过安全无误。详细措施如下：1.信息处理经过或操作步骤应整理成正式文档，改动处理经过必须得到管理层受权，操作人员必须根据信息处理的规定程序操作；2.信息处理职责划分明晰，并通过访问控制、接触限制机制确定受权人员身份；3.定期检查人员权限列表。第二十四条信息系统必须建立具体的操作规范和要求，并对这些操作规范进行备案，进行定期检查，及时更新操作规范。第二十五条各信息管理部门应采取有效取防备措施防止和检测恶意软件的入侵信息系统或设备，防备措施必须由安全部门制定或经过安全部门审核。第二十六条根据信息使用特性建立备份策略和恢复流程，留存一个或多个数据备份，并演练数据恢复流程。第二十七条信息系统应记录操作日志、事件日志和错误日志，根据信息等级和类型制定日志信息的保存期限，并且在适当的时候可监视设备运行和操作环境情况。第三节访问控制第二十八条制定正式流程控制信息系统访问权限与服务使用权限的分配。这些流程应该涉及用户访问生命周期的各个阶段，从初期的新用户注册到用户因不再要求对信息系统和服务进行访问而最终取消注册，定期对用户访问权限进行检查。第二十九条公司统一建立员工的身份信息库，并为每位员工配备相应身份卡，所有信息必须使用实名访问，除非信息明确标注可被匿名访问或使用其他认证策略。对于纸质文档的借阅、复印等需用身份卡进行实名登记，对于信息系统的访问必须使用统一的用户实名认证。第三十条信息的逻辑访问权仅应授予合法用户，信息系统应该知足下面要求：1.根据已经确定的业务访问控制策略来控制信息系统功能的用户访问权；2.防止能够越过系统访问控制措施的实用程序和操作系统软件的非法访问；3.不妨害其它与之分享信息资源的系统的安全；4.仅能向信息所有者、其它指定的合法个人或定义的用户组提供信息访问。第四节系统开发和维护第三十一条新系统和改良系统在建设经过中都应该考虑信息安全的需求，并采取相应的防备措施，包括：1.系统包括基础设施、自主开发的业务应用程序和第三方开发的应用程序；2.涉及关键或敏感信息的基础设施和自主开发程序的安全设计方案必须经过信息安全管理组织审核；3.从外部采购商用软件或系统需要进行安全评估，需要到达公司信息安全要求。第三十二条系统开发经过的产物如设计文档，源代码，算法等应严格管理，确保无关人员无法接触，并可有效控制这些产物传播范围。第三十三条对于系统中不可避免需要暴露的敏感信息，必须采取有效措施确保信息不会被无关人员获取或者确保信息不可被非法使用。第三十四条系统开发经过必须有配套的项目管理工作，以保证相关项目中可能涉及到信息得到有效的管理。第三十五条系统维护必须做到权限明晰，系统中的重要数据必须指定专人负责数据管。第三十六条开发、测试和线上环境分开，重要系统的开发、测试和维护职责必须分离。系统开发或变更结束，开发团队应与维护团队进行正式的系统交接工作，并提供必要的技术文档。第五节信息流转、使用和发布第三十七条公司信息对外发布由公司负责公共关系及投资者关系的部门统一负责，所有员工应当严格遵守相关部门制定的信息发布政策。第三十八条采取有效措施保护通过网络传送的关键或敏感信息，详细措施如下：1、利用公共网络传送信息或进行交易处理，应评估可能的信息风险，确定信息传送的完好性、机密性、身份鉴别及不可否认性等安全需求，并针对数据传输、网络线路与设备、与外部的网络接口及路由器等事项，采取妥善适当的安全控管措施。2、开放外界连接的信息系统，应根据数据及系统重要性和价值，采用数据加密、身份鉴别、电子签名、防火墙及安全漏洞侦测等不同安全类型的技术或措施，防止数据及系统被侵入、毁坏、窜改、删除及未经受权的存取。与外界网络连接的接口，应使用防火墙及其他必要的安全设施，控管外界与公司内部网络的数据传输与资源存取。4、开放外界连接的信息系统，必要时应以代理服务器等方式提供外界存取数据，避免外界直接进入信息系统或数据库存取数据。5、存有关键或敏感信息的系统，应加强安全保护措施，防止关键或敏感信息遭不当或不法的窃取使用。6、内部员工之间或内部员工与外部人员发送关键或敏感的信息，必须使用公司信息安全管理组织指定的传送方式。第三十九条公司应采取有效措施保护通过邮件传送的关键或敏感数据，详细措施如下：1、机密性数据以外的敏感性数据及文件，如有电子传送的需要，各部门应是需要以适当的加密或电子签名等安全技术处理；2、机密数据原则上不建议使用电子邮件传送。假如业务性质特殊，必须利用电子邮件或其他电子方式传送机密性数据及文件，应采用公司认可的加密或电子签名等安全技术处理。第四十条机要信息通过网络传播必须加密，正文和密码必须采取两个以上的通路进行发送。第四十一条为了躲避转发带来的信息泄漏风险，机要信息从源到使用环境，禁止通过中间环节进行转发，特殊情况需要经过公司高层批准。第四十二条严格控制信息使用需求，涉及到关键或敏感的信息必须严格进行审批：1、对于各类信息的需求方必须明确，需求方的变化必须进行审核，机要信息需求方发生变化必须得到公司高层批准；2、信息的使用需求必须明确，使用需求发生变化必须进行审核，机要信息的使用需求发生变更必须得到公司高层批准。第四十三条信息使用者必须确保信息使用环境的安全，并在使用完毕后妥善处理信息视信息类型不同，采取归还、归档或者销毁等操作，在未经受权的情况下不得擅自传播信息。第四十四条管理信息流转和使用的组织应致力于实现信息流转的程序化和自动化，减少信息流转环节，以及不必要的人为接触，提高信息安全和工作效率。第六节安全事故和故障处理第四十五条各个信息系统必须建立事故和故障的应急处理预案，尽量降低事故和故障对公司经营的影响。第四十六条安全事故汇报，将影响安全的事故通过适当的管理渠道尽快向管理层汇报。第四十七条安全部门定期发布安全漏洞报告，列举安全漏洞和安全风险，以及能够采取的解决措施，相关部门积极配合改良。第四十八条安全事故发生后，回首事故处理经过，分析事故原因，从事故中汲取教训。第七节业务连续性管理第四十九条公司重要的业务，十分是重要的IT应用和信息管理系统，必须考虑怎样防止业务中断，保证重要业务流程不受重大故障和灾难的影响。第五十条重要IT系统需要制定和施行连续性计划，内容包括：1.确定并认可各项责任和应急程序；2.确定执行应急程序能够在规定时间内恢复IT系统；3.适当地对员工进行培训，让他们了解包括危机管理在内的应急程序；4.应急程序定期演练。第五十一条业务连续性计划需要定期进行检查、维护，甚至重新分析。第六章信息安全风险评估和审计第五十二条信息安全风险评估主要是为了发现公司信息管理的安全漏洞，评估信息安全风险对公司的影响以及提出相应改良的措施。第五十三条信息安全风险评估主要由公司的安全部门和信息安全管理组织承当，由其制定相关风险评估模型并定期对各系统和流程进行评估。第五十四条信息安全审计主要是为了审核各级组织和系统能否根据公司相关制度和流程进行信息安全管理。第五十五条公司根据相关内部审计制度建立信息安全审计制度，各系统和组织、个人必须严格根据安全审计规范执行相关工作，对于关键信息在其生命周期内都需要进行安全审计。第五十六条任何涉及到信息安全的各系统和组织必须严格根据公司信息安全审计制度建立详细的可审计机制，任何关键信息的安全管理经过必须是能够被审计的。第五十七条公司成立安全审计小组，定期审计各系统和组织的信息安全管理工作，各组织和个人必须积极配合公司信息安全审计工作。第七章培训第五十八条培训部对新入司员工进行信息安全培训，使新员工明确公司在信息安全方面的基本政策。第五十九条机要岗位员工上岗前必须接收机要岗位上岗培训或仪式，使机要岗位人员完全清楚公司机对要岗位的特殊安全要求。第六十条公司必须不间断地以各种形式进行全体员工的信息安全教育，不断强化全体员工的安全意识。第六十一条信息拥有组织有义务对信息管理和使用人员进行安全操作培训。第八章赏罚第六十二条对于任何违背信息安全管理相关原则和规定的组织和个体，公司根据员工手册将严厉追查其责任。第六十三条对于为公司信息安全管理做出突出奉献或者提出改良建议的组织和个体，公司将根据其作用进行适当的奖励。第九章附则第六十四条本制度由公司信息安全管理小组负责解释及公布信息安全相关的公司级制度，详细工作所涉及安全管理操作规范和施行细则，由相关职能部门制订后经信息安全管理小组审核，最终由信息安全管理小组公布施行。