信息安全管理

文件编号: OP-ITSM-020 1.01.0简介简介 文件名称: 信息安全管理规范 版本:1.0 为明确及落实「信息安全管理流程」的要求，清晰日常工作中的信息安全管理 要求及措施，减少因信息安全做成的风险和业务损失。 2.02.0适用范围适用范围 3.03.0相关流程相关流程 4.04.0定义定义 4.14.1术语表术语表 信息安全管理流程(OP-ITSM-015) 变更管理流程(OP-ITSM-010) 事件和服务请求管理流程(OP-ITSM-007) 此流程适用IT服务管理手册中定义的服务范围。 适用参考「信息安全管理流程」中定义的明细管理范围。 1 / 39 术语术语 保密协议 员工 资产 说明说明 保密协议是资方和劳方的双方行为，是通过合同约定劳方保密义务 的手段，违反保密协议需要承担违约责任。 信息技术部有雇佣合同的同事及临时工。 对集团有价值的有形或无形物品， 例如可见的各类设备或不可见 的系统数据。 泛指放置运行硬体设备的环境。包括为保证环境条件达成所设置的 机房环境 UPS 、空调、配电系统、消防设备等设施。 机房区域 机房区域分为设备区域及控制区域， 设备区域指伺服器、网络设 备等安装及提供服务的物理区域、控制区域是指KVM 控制区域。 包括网络主机、网络设备及其相关配套的设备、设施(含网络线路) 电脑网络 及相关软体等组成的架构。 操作系统 是管理电脑硬体与软体资源的电脑程式，同时也是电脑系统的核心 与基石。 操作系统或伺服器平台，如：Windows 操作系统 的Administrator账 初始管理员账号 数据库普通用户 4.24.2角色职责表角色职责表 角色角色 部门主管 职责职责 按本规范要求，保管初始管理员账号。 按本规范要求，对各管理员的角色进行合适的授权。 按「信息安全管理流程」要求，依本规范要求进行对执行情况及 流程经理效果、记录进行核查或审计。 按本规范要求，对相关记录进行审核。 5.05.0内容内容 号， SQL Server伺服器 sa 帐号等。但不包括Domino。 指数据库系统中除初始管理员账号和数据库管理员外的其它账号。 2 / 39 5.15.1规范说明规范说明 5.25.2信息安全规范总则信息安全规范总则 5.2.1组织管理 部门相应的职能小组负责按信息安全流程要求制定工作手则及 指引。 每个信息安全领域每年最少一次对领域内的管理、技术进行工 作检讨。 5.2.2授权管理 因日常管理工作要求，部门遵循分层授权体系进行角色、分工 管理。 5.2.3账户管理 5.2.3.1 员工有责任保障自己所拥有帐号安全，不得将自己所拥有帐 号转借给他人使用。 5.2.3.2 员工不得以任何方式泄露自己的帐号、密码。一旦发生泄密 事件，须立即通知上司或相关管理小组并安排更换密码。 5.2.3.3 帐号/ 密码不可交由非指定授权人员使用，使用完毕应尽快登 出。 5.2.3.4 员工在需要在自己不拥有帐号的系统进行操作时，应向相关 的服务负责人进行帐号的申请。 5.2.3.5 员工不得以任何方式获取(或企图获取)他人账户。 5.2.3.6 初始管理员账号仅供处理系统设定及授权用途，基于安全理 由， 除系统不支持多帐号管理情况外， 此帐户将由部门主管 统一保存， 并只可于有需要时使用。 5.2.3.7 所有的管理员账户应尽量避免共用，可行下均需有独立的管 理员账户。 因适用范围及管理要求，本规范分成 8个不同领域明确信息安全要求。 3 / 39 5.2.3.8 管理员权限账户管理 管理员权限应及时跟进权限分配表并至少每年进行一次 检查。 不得擅自更改或任意开放权限。 若拥有管理权的人不在﹐需要有一个应急安排。 5.2.3.9 所有申请的账户，要明确需要的权限，确保不需要的权限不 要授予。 5.2.4密码管理 5.2.4.1 员工应做好自己所拥有的账户密码的保密，并根据相关管理 要求，定期或不定期更换修改密码，密码的设置上要符合保 密性要求。 5.2.4.2 密码设定要求 强密码强密码定义为密码长度至少为八个字元。 需由大写英 文, 小写英文, 数字及符号4项中的其中3项组成。 中等复杂密码中等复杂密码：密码长度至少为八个字元。 需由大写 英文， 小写英文， 数字及符号4项中的其中2项组成。 禁止设定使用者帐号、姓名、生日、身份证号码、电话 号码或单位代名等与个人或单位相关的信息作为密码。 5.2.4.3 密码策略 更换密码的间隔时间最长不得超过1年。 所有管理员权限的帐号密码均需使用强密码(包括但不 限于初始管理员账号、伺服器管理员账号等)。 初始管理员账号及各管理员账户均有独立的管理员密 码，不可重复。 对于临时短期授权使用的初始管理员密码，使用完成后 需立即回收并及时调整密码。 如需长期使用初始管理员账号，需由部门主管授权批签 4 / 39 形成记录后方可使用，相关密码每次调整后必须同步通 报部门主管。 5.2.5监视管理 时钟设备应设定自动时钟同步或至少每年进行一次的时钟校验，时 钟误差不应当超10分钟。 5.3人员管理(行政工作) 本段落的编写目的是为了定义了人员管理规范， 减少由于人员的疏忽或 固意而做成的信息资产毁坏或外泄机会， 降低相关风险造成的业务损 失。 5.3.1责任要求 员工必须遵照安全管理规范，防止信息安全管理存在问题。 员工发现有其他人违反本规范， 有义务通知流程经理或部门主 管。 发现并报告安全事件﹑软件故障和安全薄弱点是员工应尽的 义务。 任何影响到他人正常使用集团系统和网络的行为都是不允许 的。 当发现任何安全漏洞后，员工禁止用任何方式来利用它。 公司有权要求承担关键性任务的员工与公司签订额外保密协 议。 如有需要，应定期按地区法规发出“电脑软件版权合法使用提 示“通告， 提醒集团用户合法使用软件版权 5 / 39 如发现用户非法安装盗版软件或核准软件清单以外的软件， 信 息技术部需立即删除，然后向用户及其部门主管发出 “非法安 装软件通知书“， 并要求用户于7天内直接以书面形式向集团总 经理解释安装原因同时将副本抄送信息技术部存档。 如用户未 有于指定日期前发出解释书，信息技术部应发出 “非法安装软 件跟进通知书“，跟进通知书除发送至用户外，副本会抄送至 其主管及集团总经理。 相关的用户通知书及解释书会存放于信 息技术部中央文件库内。 对出现的违规员工，公司有权视具体情况对当事人进行处理， 处理方式包括警告﹑调离岗位﹑辞退﹑送司法机关等。 5.3.2安全保密制度 安全保密协议是任何能访问敏感信息的员工、能接触关键资料的 合约供应商人员需要在访问信息处理设施前，均需签署的承诺。 顾佣条款或保密协议或合同内条件应澄清和说明以下具体内容： 保密的内容和范围； 双方的义务； 员工的法律职责和权利，例如关于版权法、资料保护法等； 如果员工或合约供应商人员无视安全要求所产生的违约责 任及可能需要采取的措拖； 在顾用期员工应承担的责任结束后持续的时间参照保密协 议。 基本保密义务： 应当遵守的保密制度， 妥善保管其所保存的公司秘密资料， 不得刺探与本职工作、本身业务无关的秘密，不得泄露公 司的技术秘密。 非经公司书面同意，不得利用公司的商