文档介绍:集团公司网络与信息安全管理办法
集团公司网络与信息安全治理方法
第一章 总 则
第一条 为标准×集团有限公司(以下简称“×”)网络与信息安岗位的应要求员工签署保密协议。
第七条 集团公司本部各部门及各单位应定期组织开展内部员工信息安全教育或培训,提升全员的信息安全意识,确保信息安全目标的实现。
第八条 集团公司本部各部门及各单位应加强外来人员的信息安全治理,防范外来人员带来安全风险,标准外来人员在×进展的网络与信息安全相关的使用及操作行为。
第四章 信息系统物理和环境安全治理
第九条 信息系统物理安全是指为了保证信息系统安全牢靠运行,不致受到人为或自然因素的危害,而对计算机设备、设施(包括机房建筑、供电、空调)、环境、系统等实行适当的安全措施。
第十条 信息化主责部门应实行切实可行的物理防护手段或技术措施对物理周边、物理入口、办公及生产区域等进展安全掌握,防止无关人员未授权物理访问、损坏和干扰。
第十一条 信息化主责部门应加强对机房及配线间的安全治理:
一、外来人员需经授权,并由工作人员伴随方可进入机房,并做好出入登记。
二、工作人员必需严格根据规定操作,未经批准不得超越自己职权范围以外的操作;操作完毕时,必需退出已进入的操作界面;最终离开工作区域的人员应将门关闭。
三、非授权人员严禁操作机房UPS、专用空调、监控、消防及供配电设备设施。
四、未经授权,任何人员不得拷贝数据。
五、严禁将易燃、易爆、强磁性等危急物品带入机房。
六、发生意外状况应马上实行应急措施,并准时向有关部门和领导报告。
第五章 信息系统资产治理
第十二条 信息化主责部门应对信息化设备、根底设施等相关资产建立台帐清单,并定期对其进展盘点清查。
第十三条 设备使用人应对信息化设备、根底设施等相关资产进展标识。标识应张贴在明显位置,做到信息完整、字迹清楚,并做好防脱落防护工作。
第十四条 信息化主责部门应对主机进展掌握治理,利用高可用技术保证关键业务系统不连续运行,各类设备在选购时应明确效劳响应时间、备品备件、现场效劳等方面的要求,核心设备响应时间一般不超过4小时。
第十五条 各相关部门应加强信息设备安装、调试、维护、修理、报废等环节的治理工作,防止因设备丧失、损坏、失窃以及资产报废处置不当引起的信息泄露。
第六章 信息系统访问掌握及操作安全治理
第十六条 信息系统在建立过程中,应开展信息系统安全爱护等级定级、备案、建立、整改、测评等工作,保障系统建立符合国家等级爱护政策要求。
第十七条 系统运行安全按粒度从粗到细分为四个层次:系统级安全、资源访问安全、功能性安全、数据域安全。