网络与信息安全工作管理办法.doc

1、网络与信息安全工作管理办法世 茂 房 地 产 控 股 有 限 公 司资 讯 科 技 部内部资料，未经同意，请勿翻印版本 修订日期 修订人 审核人目 录第一节 安全组织原则 .3第二节 安全组织结构 .3第一节 概 述 .4第二节 安全规划与建设 .4第三节 物理安全管理 .5第四节 人员安全管理 .6第五节 安全培训 .7第六节 信息资产安全管理 .8第七节 安全运维管理 .10第八节 安全事件处理 .10第九节 应急计划 .11第十节 系统开发与维护 .11第十一节 符合性 .14第十二节 管理审计与评估 .14第十三节 奖惩 .15第一节 概 述 .16第二节 访问控制 .16第三节 身份

2、认证 .16第四节 冗余恢复 .17第五节 日志审计与响应 .17第六节 内容安全 .1854f5f25ac039826072c5de2077841749.pdf第 1 页 / 共 23 页第一章 总 则第一条 随着上海世茂投资管理有限公司（以下简称：上海世茂）信息系统规模越来越大，随之带来的安全问题也不断增多，为及时快速处理各种故障和安全事件，防范与化解安全风险，保障网络连续性以及高质量的服务水平，特制定上海世茂网络与信息安全工作管理办法 ，以下简称“本办法” 。第二条 本办法依据中华人民共和国计算机信息系统安全保护条例 ，参考ISO27001 信息安全管理体系规范 而制定。第三条 本办法的

3、适用范围包括上海世茂信息系统在规划、设计、开发、建设和运行维护过程中所涉及到的各种安全问题，包括组织管理、物理安全、操作系统安全、应用安全、数据安全、网络架构安全、安全事件处理。第四条 上海世茂网络与信息安全工作的管理原则1. 整体规划，分步实施：需要对网络与信息安全工作进行整体规划，分步实施，逐渐建立完善的网络与信息安全体系。2. 三同步原则：安全系统应与业务系统及网络同步规划、同步建设、同步运行。3. 适度安全：安全具有相对性和动态性的特点，必须做好安全建设的成本效益分析，在安全性和投入成本之间、安全性和易世茂房地产标准化文档54f5f25ac039826072c5de2077841749

4、.pdf第 2 页 / 共 23 页用性之间做好平衡工作。第五条 本办法中的安全是指信息系统的安全。第二章 安全组织管理第一节 安全组织原则第六条 上海世茂安全工作管理由信息化领导小组统一来制定。第二节 安全组织结构第七条 成立上海世茂网络与信息安全领导小组，全面负责上海世茂网络与信息安全各项工作。第八条 领导小组下设 IT 总监，贯彻“信息化领导小组”的安全管理决策，作为执行管理机构。资讯科技部作为信息安全工作的主要执行机构，负责信息安全日常工作，IT 总监下属包括应用和运维两个专业工作组。第三章 安全策略第九条 上海世茂安全策略体系是用于指导上海世茂的安全管理工作，明确信息安全的工作职责、

5、内容、方法和流程的一套文档，它覆盖了 IT 系统的整个生命周期，对系统和网络的规划、设计、建设、运维以及检查评估都提出了相应的安全要求。54f5f25ac039826072c5de2077841749.pdf第 3 页 / 共 23 页第十条 上海世茂安全策略由资讯科技部、各部门提出需求，由资讯科技部组织制定。第十一条 上海世茂的安全策略由上海世茂信息安全领导小组批准和发布，由资讯科技部组织宣传和培训，并监督各部门执行落实。第十二条 资讯科技部及各专业工作小组负责检查和考核策略的贯彻和实施，并建立安全策略违反报告制度。第十三条 资讯科技部建立安全策略定期审核更新的制度和机制，定期对安全策略的有

6、效性进行审核，并根据情况进行更新。第四章 安全管理制度第一节 概 述第十四条 为做好上海世茂网络与信息安全管理，必须做好安全规划和建设，完善物理环境安全，加强工作人员安全管理和教育，建立信息资产安全管理制度。完善安全运维、事件处理、应急响应等安全工作。第二节 安全规划与建设第十五条 上海世茂安全规划明确安全建设原则，为网络与信息安全建设明确建设方向和蓝图。第十六条 安全规划小组要根据上海世茂现有情况做好安全世茂房地产标准化文档54f5f25ac039826072c5de2077841749.pdf第 4 页 / 共 23 页规划工作，制定近期（12 年）总体安全规划和中长期（35 年）安全建设

7、目标，制定网络建设规划和人员计划，满足信息系统正常安全保障并适应未来的发展战略。第十七条 安全规划应考虑信息安全管理体系和安全技术架构的建设，根据网络发展规划适度超前建设，并考虑统一安全管理要求和统一安全技术基础设施。第十八条 应在上海世茂信息系统规划、设计、开发、实施、运维的整个生命周期中各个阶段充分考虑并实施安全控制措施。第十九条 在特殊情况下，应预先明确风险，并指出应采取的控制措施。第二十条 应对网络与系统建设过程中存在的安全风险进行严格的安全过程控制。第三节 物理安全管理第二十一条 物理安全管理的目标是通过加强工作环境安全，防止对上海世茂工作场所和信息资源的非法访问、破坏和干扰。第二十

8、二条 相关部门应按照上海世茂关于机房建设及管理等标准，对机房场地与设施进行安全建设，并进行分级、分区安全管理。机房安全建设和改造应通过资讯科技部的安全审批和验收，并建立、健全严格的机房安全管理制度。第二十三条 信息资产主管部门及使用部门必须保证关键或敏54f5f25ac039826072c5de2077841749.pdf第 5 页 / 共 23 页感的数据信息处理设备放置在安全的区域，并使用适当的物理防护设备和访问控制手段。第二十四条 应加强办公区的物理访问控制。第四节 人员安全管理第二十五条 信息安全管理人员应当政治过硬、业务素质高、遵纪守法、恪尽职守。第二十六条 应建立相应制度以及相应技

9、术手段加强对第三方人员的安全管理。第二十七条 违反国家法律、法规和行业规章受到处罚的人员，不得从事信息安全管理工作。第二十八条 信息安全管理人员调离岗位，必须办理调离手续，承诺其调离后的保密义务。第二十九条 信息安全岗位人员必须具备相应的资质并签定保密协议。信息安全管理人员应定期接受政治思想教育、职业道德教育和安全保密教育。第三十条 信息安全管理人员职责：(1) 负责计算机安全管理的日常工作；(2) 开展计算机安全检查工作，对要害岗位人员安全工作进行指导；世茂房地产标准化文档54f5f25ac039826072c5de2077841749.pdf第 6 页 / 共 23 页(3) 开展计算机安

10、全知识的培训和宣传工作；(4) 监控计算机安全总体状况，提出安全分析报告；了解行业动态，为改进和完善计算机安全管理工作，提出安全防范建议；(5) 及时向计算机安全工作领导小组和有关部门、单位报告计算机安全事件。第三十一条 信息安全管理人员发现本单位所使用信息系统中的重大安全隐患，有权向上级报告。第三十二条 信息安全管理人员发现系统操作人员使用不当，应及时建议有关单位、部门进行调整。第三十三条 信息安全管理人员必须严格遵守国家有关法律、法规和行业规章，严守国家、行业和岗位秘密。第三十四条 信息安全管理人员应定期参加下列计算机安全知识和技能的培训：(1) 计算机安全法律法规及行业规章制度的培训；(

11、2) 计算机安全基本知识的培训；(3) 计算机安全专项技能的培训。第五节 安全培训第三十五条 工作人员安全意识是安全管理工作开展的基础和54f5f25ac039826072c5de2077841749.pdf第 7 页 / 共 23 页前提，安全管理工作组应建立安全意识教育计划，通过持续的安全教育，提高人员安全意识。第三十六条 建立安全技术培训计划，通过各种培训方式，提高各级管理人员和专业人员安全技能，降低安全操作风险。第六节 信息资产安全管理（一）资产管理第三十七条 上海世茂信息资产包括所拥有各种信息及其载体，存在有形资产和无形资产，包括计算机设备、系统软件、应用软件、数据、文档等。第三十八

12、条 严格执行上海世茂设备管理部门有关设备管理的各项规章制度，对资讯科技部管理的设备进行编号、登记、建立完善、准确的台帐。第三十九条 每半年，对全局计算机网络设备进行一次全面检查和维护。每年末，资讯科技部对固定资产清查一次。第四十条 各级信息资产责任者必须严格遵守相关制度，保证信息资产的机密性、完整性和可用性。第四十一条 信息系统资产管理具体办法参见上海世茂信息资产安全管理办法 。（二）版权要求世茂房地产标准化文档54f5f25ac039826072c5de2077841749.pdf第 8 页 / 共 23 页第四十二条 上海世茂与计算机信息系统承建商签订建设合同时，承建商应当保证产品无侵犯他

13、人版权要求。第四十三条 承建商在计算机信息系统建设中使用第三方产品时，必须事先得到上海世茂资讯科技部认可并具有第三方产品书面授权。（三）安全专用产品第四十四条 本规定所称安全专用产品，是指用于保护计算机信息系统安全的专用软件、硬件产品。第四十五条 安全专用产品准入、选型、采购部署工作由资讯科技部统一组织实施。安全专用产品有下列情形之一的，取消其准入资格：(1) 安全专用产品的功能已发生变化，但未通过检测的;(2) 经使用发现有严重问题的;(3) 能提供良好售后服务的;(4) 国家有关部门取消其销售资格的。第四十六条 安全专用产品在使用中，系统管理员应监测生成的信息，对生成的信息应及时分析并作出分析报告；在监测中如发现重大问题，应立即采取相应控制措施并将有关情况逐级上报；安全专用产品使用中产生的重要报告应备份存档，并按密级资料管理方