信息系统监理安全管理办法

1、信息系统安全管理办法（V0.1）第一章总则第一条 为加强和规范北京赛迪信息工程监理有限公司信息系统安全工作，进一 步推进信息系统安全监理标准化工作，提高项目现场安全监理和文明实施管理水 平，根据计算机信息网络国际联网安全保护管理办法（公安部令第33号）、中 华人民共和国计算机信息系统安全保护条例（1994年国务院147号令）、计 算机信息系统安全保护等级划分准则（GB 178591999）特制定本办法。第二条 本办法所称信息系统指公司一体化企业级信息系统，主要包括信息工程 管理与服务平台项目（以下简称“云平台）和五大业务应用.“业务应用”包括 电子政务、科研工程、通信工程、涉及国家秘密的信息系统、工程管理和咨询等 业务应用。第三条 本办法适用于公司总部、各分公司。现场安全监理和文明实施管理除应 执行本办法外，尚应符合国家、省现行有关法律、法规和标准的规定.当本办法 高于国家现行相关标准时，以本办法为准。第四条有关信息系统安全的基本概念、方针、原则和制度（一）有关安全的几个基本概念1、信息系统安全在信息系统工程中，信息安全涵盖了人工和自动信息处理的安全.信息系统 安全包括:软件安全和硬件

2、网络安全两部分。在信息系统安全定义中，人是指信息系统应用的主体,包括:各类用户支持人员 技术管理人员行政管理人员等2、网络指以计算机、网络互连设备、传输介质以及操作系统、通信协议和应用程序 所构成的物理和逻辑的完整体系。3、环境是系统稳定和可靠运行所需要的保障体系，包括：建筑物机房 电力保障与备份应急与恢复体系等（二）安全生产的方针安全生产的方针：安全第一，预防为主.（三）安全生产原则“三同时”原则一凡是我国境内新建、改建、扩建的基本建设项目（工程）、 技术改造项目（工程）和引进的建设项目，其劳动安全卫生设施必须符合国家规 定的标准，必须与主体工程同时设计、同时施工、同时投入生产和使用;“五同时”原则一企业的生产组织及领导者在计划、布置、检查、总结、评 比生产的时候，同时计划、布置、检查、总结、评比安全工作；“四不放过”原则-在调查处理安全事故时，必须坚持事故原因分析不清不放 过，事故责任者和群众没有受到教育不放过，没有采取切实可行的防范措施不放 过和事故责任者没有被处理不放过的原则；“三个同步”原则一安全生产与经济建设、企业深化改革、技术改造同步规 划、同步发展、同步实施的原则。（四

3、）安全生产制度安全生产制度：安全生产责任制、安全教育制度、安全检查制度和事故报告 制度.第二章信息系统安全管理职责第五条 公司信息系统安全管理实行统一领导、分级管理。各部门主要负责人是 本单位信息系统安全第一责任人，各部门信息安全管理领导小组负责本单位信息 系统安全重大事项决策和协调工作。第六条信息系统安全纳入公司安全管理体系，实行专业管理、归口监督。公司 工程技术支持与服务部是信息系统安全的管理部门，负责管理各业务系统的安全 保障工作。第七条 公司工程技术支持与服务部主要职责：（一）落实国家有关信息系统安全法规、方针、政策、标准和规芯联系国家有关部门落实信息系统安全管理相关工作;（二）组织制定公司信息系统安全管理规章制度和标准规范；（三）指导、协调和检查各部门信息系统安全工作，组织落实公司信息系统等级 保护制度，统筹开展公司信息系统风险评估和安全检查工作；（四）在公司应急体系框架内，负责公司信息系统应急管理相关工作；（五）开展涉密计算机网络和系统立项、设计和建设，做好信息系统安全与保 密检查；（六）负责规范公司信息系统安全产品的测评和选型工作。第八条各职能部门职责：（一）负责贯彻落实

4、国家有关信息系统安全法规、方针、政策、标准和规范， 贯彻落实公司信息系统安全相关规章制度和技术标准，建立健全本单位信息系统 安全标准制度和规范体系；（二）负责落实本单位范围内信息系统安全工作责任制；（三）在公司信息职能管理部门指导下，落实本单位信息系统等级保护制度、 信息系统风险评估和安全检查等工作；（四）按公司信息系统应急体系要求建立本单位信息系统应急体系，组织本 单位信息系统安全突发事件的应急处理；（五）负责明确本单位信息系统安全运行维护部门或机构，落实信息系统安全 运行维护日常工作，具体落实信息系统安全等级保护和安全策略；第三章管理措施第九条 不断建立健全信息系统安全管理制度体系，通过操作规程实现安全管理 和操作人员的标准化作业；定期对信息系统安全管理制度进行检查和审定，对存 在不足或需要改进的安全管理制度及时进行修订。第十条严格遵守“涉密不上网、上网不涉密”纪律，严禁将涉密计算机与互联 网和其他公共信息网络连接，严禁在非涉密计算机和互联网上存储、处理国家秘 密.严禁在信息外网计算机上存储和处理涉及企业秘密的信息.严禁涉密移动存储 介质在涉密计算机和非涉密计算机及互联网上交叉使用

5、。第十一条严格信息系统安全工作人员录用过程，审查其身份、背景、专业资格， 关键岗位应签署保密协议；及时终止离岗员工的所有访问权限；严格外部人员访 问程序，对允许访问人员实行专人全程陪同或监督，并登记备案。第十二条 严格按照国家有关部门要求，开展公司网络与信息系统定级、审批、备 案工作.针对确定的网络与信息系统安全等级，要根据等级保护有关要求，落实 必要的管理和技术措施，严格执行等级保护制度.第十三条 新建信息系统涉及安全防护措施建设，应明确安全需求，确定安全等 级，结合公司安全防护总体策略，进行安全防护方案设计；根据国家有关规定和 坚持鼓励使用国产化产品原则，开展安全产品采购，必要时开展产品预先选型测 试;加强软件开发管理，确保开发环境与实际运行环境安全隔离;委托有资质的第 三方测试单位对系统进行安全性测试，并出具安全性测试报告；对测试不符合要 求的，在整改后要重新测试。系统试运行前，要开展相关安全培训.第十四条 加强信息系统运行维护全过程管理:（一）严格执行信息机房管理有关规范,确保机房运行环境符合要求，严格 机房出入管理.要编制信息系统资产清单，建立资产管理制度，根据资产重要程 度

6、对资产进行标识。（二）对信息系统软硬件设备选型、采购、使用等实行规范化管理，建立相 应操作规程,对终端计算机、工作站、便携机、系统和网络等设备实行标准化作 业.强化存储介质存放、使用、维护和销毁等各项措施。（三）按照最小服务配置和最小授权原则，对安全策略、安全配置、日志和操 作等方面做出具体规定，明确各个角色的权限、责任和风险；详细记录日常操作、 运行维护记录、参数设置和修改等内容，严禁任何未经才受权的操作；定期开展运 行日志和审计数据分析工作，及时发现异常行为.及时根据需要进行软件升级更 新，并在更新前做好备份；定期进行漏洞扫描，及时发现安全漏洞并进行修补； 及时安装补丁程序，在安装补丁前做好测试和备份工作.（四）及时升级防病毒软件，加强全员防病毒、木马的意识，不打开、阅读 来历不明的邮件；要指定专人对网络和主机进行恶意代码检测并做好记录，定期 开展分析;加强防恶意代码软件才受权使用、恶意代码库升级等管理。（五）严格系统变更、系统重要操作、物理访问和系统接入申报和审批程序， 建立健全变更管理制度。保证所有与外部系统的连接均得到授权和批准，进行必 要的安全隔离，配置严格的访问控制策略，

7、开展必要的安全评估.（六）建立和执行密码使用管理制度，使用符合国家密码管理规定的密码技术和产品.（七）对信息网络与系统运行状况等进行监测和报警；定期对监测和报警记 录进行分析，根据需要采取必要的应对措施；应建立安全管理中心，对安全设备、 恶意代码、补丁升级、安全审计等安全设施进行集中管理。（八）严格按照有关信息系统事故调查规定，及时报告信息系统事故情况， 认真开展信息系统事故原因分析，坚持“四不放过”原则，有效落实整改，确保类 似事故不再发生.严格执行有关公司网络与信息系统安全运行情况通报制度，做 好定期、节假日和特殊时期的网络与信息系统安全运行情况报送工作。第十五条 严格执行公司有关信息系统安全风险评估管理规定，切实将信息系统 安全风险评估工作常态化和制度化，及时落实整改,及时消除信息系统安全隐患。 根据国家和公司要求，定期开展信息系统安全检查工作，做好特殊时期安全检查 和安全保障工作。第十六条不断完善应急预案，加强培训和演练，确保人力、设备等应急保障资 源可用.第十七条建立备份与恢复管理相关安全管理制度，严格控制数据备份和恢复过 程，妥善保存备份记录，定期执行恢复程序.要切实根据需

8、要开展业务应用容灾系 统建设。第十八条切实加强网络信任体系建设规划工作，不断完善公司安全认证系统才目 关技术标准和功能规范。强化信任体系应用工作，做好信息系统统一身份认证， 以及重要信息的加密和签名工作.第十九条切实加强员工信息系统安全培训，提高全员信息系统安全意识；强化 信息系统安全人员专业技能培训，做到培训工作有计划、有总结，培训效果有评 价。要对关键岗位人员进行全面、严格的安全审查和技能考核，对在信息系统安 全工作中做出显著成绩的单位和人员应给予奖励和表彰。对违反国家法律、法规 和公司有关规定，造成一定不良影响和后果的，要追究其责任。第四章技术措施第二十条根据国家和公司有关规定，对机房建筑设置符合要求的避雷装置、灭火 和火灾自动报警系统;采取防雨水措施，防止雨水、水蒸气结露和地下积水;设置 温、湿度自动调节设施，控制机房温、湿度在设备运行所允许范围之内，保证双 路供电，电源线和通信电缆应隔离，避免互相干扰;采用接地方式防止外界电磁干 扰和设备寄生耦合干扰。第二十一条 加强网络安全技术工作：（一）网络核心交换机、路由器等网络设备要冗余配置，合理分配网络带宽； 建立业务终端与业务服务

9、器之间的访问控制；根据需要划分不同子网；对重要网 段采取网络层地址与数据链路层地址绑定措施.（二）采用防火墙或入侵防护设备（IPS）对内网边界实施访问审查和控制； 对进出网络信息内容实施过滤，对应用层常用协议命令进行控制，网关应限制网 络最大流量数及网络连接数.严格拨号访问控制措施。（三）加强内部用户私自访问外部网络行为的检测工作，要能够及时发现， 准确定位，有效阻断;对重要网段，应采用入侵检测系统进行监控，对入侵事件及时 提供报警.第二十二条 加强系统安全技术工作：（一）对操作系统和数据库系统用户进行身份标识和鉴别，具有登录失败处 理，限制非法登录次数，设置连接超时功能；用户访问不得采用空账号和空口令， 口令要足够强健,长度不得少于8位。（二）严格限制匿名用户的访问权限；实现操作系统和数据库系统特权用户访 问权限分离，对访问权限一致的用户进行分组，访问控制力度应达到主体为用户 级，客体为文件、数据库表级。（三）控制单个用户的多重并发会话和最大并发连接数，限制单个用户对系 统资源、磁盘空间的最大或最小使用限度，当系统服务水平降低到预先规定的最 小值时，应能检测并报警。第二十三条严格网络、系统安全审计工作，安全审计系统应定期生成审计报表 自动进行备份，审计记录应受到保护，避免删除、修改或破坏。第二十四条 重要和敏感信息实行加密传输和存储;对重要信息实行自动、定期备 份；对门户网站页面,要具有防篡改机制和措施。第二十五条严格用户帐号及口令管理，使用强健复杂口令，定期更换口令，杜 绝使用空口令;定期开展用户终端计算机数据备份工作，及时安装系统补丁程序， 及时更新杀病毒程序，加强移动存储介质管理.第五章附则第二十六条 本办法由北京赛迪信息工程监理有限公司负责解释并督促执行。第二十七条 各分公司、各单位可根据本办法制定实施细则,报北京赛迪信息工程 监理有限公司备案。第三

《信息系统监理安全管理办法》由会员大米分享，可在线阅读，更多相关《信息系统监理安全管理办法》请在金锄头文库上搜索。