文档介绍：网络与信息安全工作管理办法
世茂房地产控股有限公司
资讯科技部
内部资料,未经同意,请勿翻印
版本
修订日期
修订人
审核人
目录
第一节 安全组织原则 3
第二节 安全组织结构 3
第一节 概述 4
第二节 安全规划与建设 4
第三节 物理安全管理 5
第四节 人员安全管理 6
第五节 安全培训 7
第六节 信息资产安全管理 8
第七节 安全运维管理 10
第八节 安全事件处理 10
第九节 应急计划 11
第十节 系统开发与维护 11
第十一节 符合性 14
第十二节 管理审计与评估 14
第十三节 奖惩 15
第一节 概述 16
第二节 访问控制 16
第三节 身份认证 16
第四节 冗余恢复 17
第五节 日志审计与响应 17
第六节 内容安全 18
总则
随着上海世茂投资管理有限公司(以下简称:上海世茂)信息系统规模越来越大,随之带来的安全问题也不断增多,为及时快速处理各种故障和安全事件,防范与化解安全风险,保障网络连续性以及高质量的服务水平,特制定《上海世茂网络与信息安全工作管理办法》,以下简称“本办法”。
本办法依据《中华人民共和国计算机信息系统安全保护条例》,参考《ISO27001信息安全管理体系规范》而制定。
本办法的适用范围包括上海世茂信息系统在规划、设计、开发、建设和运行维护过程中所涉及到的各种安全问题,包括组织管理、物理安全、操作系统安全、应用安全、数据安全、网络架构安全、安全事件处理。
上海世茂网络与信息安全工作的管理原则
整体规划,分步实施:需要对网络与信息安全工作进行整体规划,分步实施,逐渐建立完善的网络与信息安全体系。
三同步原则:安全系统应与业务系统及网络同步规划、同步建设、同步运行。
适度安全:安全具有相对性和动态性的特点,必须做好安全建设的成本效益分析,在安全性和投入成本之间、安全性和易用性之间做好平衡工作。
本办法中的安全是指信息系统的安全。
安全组织管理
安全组织原则
上海世茂安全工作管理由信息化领导小组统一来制定。
安全组织结构
成立上海世茂网络与信息安全领导小组,全面负责上海世茂网络与信息安全各项工作。
领导小组下设IT总监,贯彻“信息化领导小组”的安全管理决策,作为执行管理机构。资讯科技部作为信息安全工作的主要执行机构,负责信息安全日常工作,IT总监下属包括应用和运维两个专业工作组。
安全策略
上海世茂安全策略体系是用于指导上海世茂的安全管理工作,明确信息安全的工作职责、内容、方法和流程的一套文档,它覆盖了IT系统的整个生命周期,对系统和网络的规划、设计、建设、运维以及检查评估都提出了相应的安全要求。
上海世茂安全策略由资讯科技部、各部门提出需求,由资讯科技部组织制定。
上海世茂的安全策略由上海世茂信息安全领导小组批准和发布,由资讯科技部组织宣传和培训,并监督各部门执行落实。
资讯科技部及各专业工作小组负责检查和考核策略的贯彻和实施,并建立安全策略违反报告制度。
资讯科技部建立安全策略定期审核更新的制度和机制,定期对安全策略的有效性进行审核,并根据情况进行更新。
安全管理制度
概述
为做好上海世茂网络与信息安全管理,必须做好安全规划和建设,完善物理环境安全,加强工作人员安全管理和教育,建立信息资产安全管理制度。完善安全运维、事件处理、应急响应等安全工作。
安全规划与建设
上海世茂安全规划明确安全建设原则,为网络与信息安全建设明确建设方向和蓝图。
安全规划小组要根据上海世茂现有情况做好安全规划工作,制定近期(
1~2年)总体安全规划和中长期(3~5年)安全建设目标,制定网络建设规划和人员计划,满足信息系统正常安全保障并适应未来的发展战略。
安全规划应考虑信息安全管理体系和安全技术架构的建设,根据网络发展规划适度超前建设,并考虑统一安全管理要求和统一安全技术基础设施。
应在上海世茂信息系统规划、设计、开发、实施、运维的整个生命周期中各个阶段充分考虑并实施安全控制措施。
在特殊情况下,应预先明确风险,并指出应采取的控制措施。
应对网络与系统建设过程中存在的安全风险进行严格的安全过程控制。
物理安全管理
物理安全管理的目标是通过加强工作环境安全,防止对上海世茂工作场所和信息资源的非法访问、破坏和干扰。
相关部门应按照上海世茂关于机房建设及管理等标准,对机房场地与设施进行安全建设,并进行分级、分区安全管理。机房安全建设和改造应通过资讯科技部的安全审批和验收,并建立、健全严格的机房安全管理制度。
信息资产主管部门及使用部门必须保证关键或敏感的数据信息处理设备放置在安全的区域,并使用适当的物理防护设备和访问控制手段。
应加强办公区的物理访问控制。
人员安全管理