网络数信息安全理规范
XXXX限公司
WHB08
网络数信息安全理规范
版号 A0
编制: XXX
审核: XXX
批准: XXX
20XX年X月X日发布 20XX年X月X日实施
目
计算机网络公司局域网提供网络基础台服务互联网接入服务保证公司计算机信息网络够安全运行充分发挥信息服务方面重作更公司运营提供服务国家关法律法规规定结合公司实际情况制定规定
术语
规范中名词术语(计算机信息安全等)符合国家行业相关规定
计算机信息安全指防止信息财产意偶然非授权泄露更改破坏信息非法系统辨识控制确保信息完整性保密性性控性包括操作系统安全数库安全病毒防护访问权限控制加密鉴等七方面
狭义计算机信息安全指防止害信息计算机网络传播扩散防止计算机网络处理传输存储数资料失窃毁坏防止部员利计算机网络制作传播害信息进行违法犯罪活动
网络安全指保护计算机网络正常运行防止网络入侵攻击等保证合法户网络资源正常访问网络服务正常
计算机网络安全员指事保障计算机信息网络安全工作员
普通户指计算机网络安全员外物理者逻辑够访问互联网企业计算机网应系统公司部员工
机系统指包含服务器工作站计算机计算机系统规定称重机系统指生产办公Web服务器Email服务器DNS服务器OA服务器企业运营理支撑系统服务器文件服务器机系统等
网络服务包含通开放端口提供网络服务WWWEmailFTPTelnetDNS等
害信息参见国家现法律法规定义
重计算机信息安全事件指公司外网站(电子公告板等)出现害信息害信息通Email途径面积传播已造成较社会影响计算机病毒蔓延重文件数资料删篡改窃取安全问题引起系统崩溃网络部分全部瘫痪网络服务部分全部中断系统入侵页面非法换者修改机房设备破坏重计算机设备盗窃等事件
组织架构职责分工
公司设立计算机信息网络安全领导组作公司计算机信息安全工作领导机构统口负责外部部门(政府部门)关计算机信息安全工作特定事件处理
计算机信息网络安全领导组负责领导检查督促制定信息安全策略规章制度措施加强计算机信息安全工作理指导落实国家关计算机信息安全法律法规级关规定保障公司计算机信息安全
计算机信息网络安全工作实行谁谁负责原部门负责部门计算机信息网络安全负直接责
部门必须配备计算机技术员担部门计算机网络安全员报公司计算机信息网络安全领导组备案部门计算机网络安全员负责部门计算机信息网络安全技术规划安全措施具体实施落实
相关岗位信息安全职责:
1)负责部门计算机信息网络安全工作具体实施时掌握处理关信息安全问题
2)定期定期检测部门计算机信息网络安全情况发现安全漏洞隐患时报告提出整改意见建议技术措施
3)指导监督检查部门员工计算机信息安全防护数保护账号口令设置情况
4)发现计算机信息安全问题时处理保护现场追查原报部门计算机信息安全领导组
5)定期分析计算机安全系统日志作相应处理
6)验证部门重数保护象安全控制方法措施效性符合安全控制求提出技术整改措施部门数备份策略进行验证实施
7)负责理计算机机系统网络设备安全理安全设置工作
8)负责理计算机机系统网络设备户账号授权理
9)定期分析操作系统日志定期定期检查系统进程发现异常系统进程者系统进程数量异常变化时进行处理
10)负责指导督促户设置高安全性账号口令安全日志
11)进行计算机信息安全事件排修复包括操作系统应系统文件恢复安全漏洞修补
12)正常系统升级系统重新进行安全设置系统进行技术安全检查
13)根级级计算机信息安全领导求规定流程进行系统升级安全补丁程序安装
14)理部门计算机网络服务相应端口进行登记备案实施技术安全理
15)根数备份策略完成理系统数备份备份介质保数恢复工作
1)觉遵守计算机信息网络安全法律法规规定
2)负责计算机设备数业务系统账号安全
3)发现部门计算机网存安全隐患安全事件时报告部门计算机理部门
4)擅安装维护公司网络设备(包括路器交换机集线器光纤网线)私接入网络
部门应保持计算机网络安全员相稳定加强计算机网络安全员教育技术培训计算机网络安全员调动离职者原离开原岗位时应涉户账号权限时进行变更注销
系统安全规定
公司计算机机房计算机理部门负责理建立出入登记审批制度携带计算机设备磁盘等存储介质进出机房应部门意机房理员进行核查登记
部门计算机理部门应指定专负责部门计算机设备理做计算机设备增添维修调拨等审核理计算机设备维修特需离场维修承包企业外部员维护维修时应核实该设备中否存储涉企业秘密宜公开部资料账号密码等应采取拆卸硬盘效删关资料等效措施防止泄密
操作计算机设备时应遵循安全求:
1)保负责保计算机设备账号口令定期更换口令转转账号
2)安装历明没版权软件外软件数文件等必须先病毒检测确认感染携带病毒方
3)计算机安装工作关软件
4)擅更改设备IP址网络拓扑结构软硬件配置
5)存储重数计算机应设置开机密码屏幕保护密码
6)计算机安装防病毒软件开启实时病毒监测功时升级病毒库软件
7)非计算机理部门效许网络进行安全(漏洞)扫描账号口令数包进行侦听利网络服务实施网络攻击散布病毒发布害信息网络设备机系统进行操作应该遵循关网络安全规定
账号理安全
账号设置必须遵循唯性必性授权原
唯性原指账号应户允许拥账号
必性原指账号建立分配应根工作必性进行分配根需职位进行分配禁止理机系统关员系统拥户账号根工作变动时关闭需系统账号
授权原指账号权限应进行严格限制权限工作业务需超出正常权限范围领导审批
系统中户(包括超级权限户普通户)必须登记备案定期审阅
严禁户拥户账号转
员工发生工作变动必须重新审核账号必性权限时取消非必账号调整账号权限员工离开部门须立取消账号
部门应系统网络工程验收应立删系统中测试账号时账号需保留账号口令重新进行设置
系统理员必须定期系统账号情况进行审核发现疑户账号时时核实作相应处理长期户账号进行锁定
般情况允许外部员直接进入机系统进行操作特殊情况(系统维修升级等)外部员需进入系统操作必须系统理员进行登录操作程进行记录备案禁止系统户口令直接交外部员
口令安全理
口令选取组成长度修改周期应符合安全规定禁止名字姓氏电话号码生日等容易猜测字符串作口令单单词作口令口令组成必须包含写字母数字标点等字符组合口令长度求8位
重机系统求少月修改口令理工作站计算机求少两月修改口令
重机系统应逐步采次性口令身份认证技术
保存户口令应加密存放防止户口令泄密
软件安全理:
安装历明没版权软件
重机系统安装测试版软件
开发修改应系统时充分考虑系统安全数安全数采集传输处理存贮访问控制等方面进行证测试验收时必须进行相应安全性测试验收
操作系统应软件应根身存安全漏洞时进行必须安全设置升级安全补丁
计算机安装工作关软件服务器系统禁止安装服务器提供服务应关软件
系统设备应软件登录提示应攻击尝试非授权访问提出警告
机系统服务器工作站操作系统必须进行登记登记记录应该标明厂家操作系统版已安装补丁程序号安装升级时间等容进行存档保存
重机系统系统启重新安装者升级时应建立系统镜发生网络安全问题时利系统镜系统进行完整性检查
服务器网络设备计算机安全系统(防火墙入侵检测系统等)等应具备日志功必须启网络信息安全理员定期分析网络安全系统操作系统日志发现系统遭受攻击者攻击尝试时采取安全措施进行保护网络攻击者攻击尝试进行定位踪发出警告网络信息安全领导组报告系统日志必须保存三月
新建计算机网络应系统必须时进行网络信息安全设计
互联网信息安全
公司外网站需定期做安全检查设置相关信息发布理权限防止害信息传播
部门搭建电子邮件系统禁止开启匿名转发功应关规定技术理采取效措施滤垃圾电子邮件害信息
数安全
需保护重数少包括:
1)重文件资料图纸(电子版)
2)财会系统数库
3)重机系统系统数
4)重数
部门计算机理部门应制定数备份策略重数灾难恢复计划时做数备份恢复
数备份必须明确记录记录中标明备份容备份时间备份操作员等信息重数备份必须异存放做相关异备份记录
部门必须年少进行次数备份策略效性验证数恢复程进行试验确保发生安全问题时够数备份中进行恢复
部门计算机理部门应理系统存储数进行登记备案登记容包括:需保护数存储位置存储形式安全控制方法措施负责安全理日常备份员访问数户访问方式权限
涉企业秘密具高保密性求(口令文件)数传输存贮时应加密
禁止没采安全保护机制计算机存储重数存储重数计算机少应该开机口令登录口令数库口令屏幕保护等防护措施禁止计算机存放重数
软盘者笔记电脑等形式重数带出系统确实必需须数安全加密手段加密存储存储软盘笔记电脑密级文件理
安全理
部门必须部门计算机信息网络安全进行常性检查检测:
1)系统安全检查应月检查检测次
2)计算机病毒防治应月少全面检查次
3)数备份应月检查次
检查发现计算机信息网络安全隐患应组织安全隐患整治马整治应采取效措施预防网络信息安全事件案件发生
发生计算机信息网络安全事件应马组织员妥善处理防止扩散影响触犯刑律应保存证报告公安机关配合查处
发生重计算机信息网络安全事件须24时报
部门应户部门员工进行网络信息安全宣传宣传关国家法律法规网络信息安全知识加强户法律意识安全意识事危害网络信息安全行
顾客网络信息安全
维护员顾客系统密码泄露
维护员工作原进入顾客系统复制删修改顾客信息
进入顾客系统应专计算机该计算机应周进行杀毒防病毒传入顾客系统
维护员客户端应时升级更新确保顾客系统版保持致
文档容仅供参考
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档
网络数信息安全理规范
XXXX限公司
WHB08
网络数信息安全理规范
版号 A0
编制: XXX
审核: XXX
批准: XXX
20XX年X月X日发布 20XX年X月X日实施
目
计算机网络公司局域网提供网络基础台服务互联网接入服务保证公司计算机信息网络够安全运行充分发挥信息服务方面重作更公司运营提供服务国家关法律法规规定结合公司实际情况制定规定
术语
规范中名词术语(计算机信息安全等)符合国家行业相关规定
计算机信息安全指防止信息财产意偶然非授权泄露更改破坏信息非法系统辨识控制确保信息完整性保密性性控性包括操作系统安全数库安全病毒防护访问权限控制加密鉴等七方面
狭义计算机信息安全指防止害信息计算机网络传播扩散防止计算机网络处理传输存储数资料失窃毁坏防止部员利计算机网络制作传播害信息进行违法犯罪活动
网络安全指保护计算机网络正常运行防止网络入侵攻击等保证合法户网络资源正常访问网络服务正常
计算机网络安全员指事保障计算机信息网络安全工作员
普通户指计算机网络安全员外物理者逻辑够访问互联网企业计算机网应系统公司部员工
机系统指包含服务器工作站计算机计算机系统规定称重机系统指生产办公Web服务器Email服务器DNS服务器OA服务器企业运营理支撑系统服务器文件服务器机系统等
网络服务包含通开放端口提供网络服务WWWEmailFTPTelnetDNS等
害信息参见国家现法律法规定义
重计算机信息安全事件指公司外网站(电子公告板等)出现害信息害信息通Email途径面积传播已造成较社会影响计算机病毒蔓延重文件数资料删篡改窃取安全问题引起系统崩溃网络部分全部瘫痪网络服务部分全部中断系统入侵页面非法换者修改机房设备破坏重计算机设备盗窃等事件
组织架构职责分工
公司设立计算机信息网络安全领导组作公司计算机信息安全工作领导机构统口负责外部部门(政府部门)关计算机信息安全工作特定事件处理
计算机信息网络安全领导组负责领导检查督促制定信息安全策略规章制度措施加强计算机信息安全工作理指导落实国家关计算机信息安全法律法规级关规定保障公司计算机信息安全
计算机信息网络安全工作实行谁谁负责原部门负责部门计算机信息网络安全负直接责
部门必须配备计算机技术员担部门计算机网络安全员报公司计算机信息网络安全领导组备案部门计算机网络安全员负责部门计算机信息网络安全技术规划安全措施具体实施落实
相关岗位信息安全职责:
1)负责部门计算机信息网络安全工作具体实施时掌握处理关信息安全问题
2)定期定期检测部门计算机信息网络安全情况发现安全漏洞隐患时报告提出整改意见建议技术措施
3)指导监督检查部门员工计算机信息安全防护数保护账号口令设置情况
4)发现计算机信息安全问题时处理保护现场追查原报部门计算机信息安全领导组
5)定期分析计算机安全系统日志作相应处理
6)验证部门重数保护象安全控制方法措施效性符合安全控制求提出技术整改措施部门数备份策略进行验证实施
7)负责理计算机机系统网络设备安全理安全设置工作
8)负责理计算机机系统网络设备户账号授权理
9)定期分析操作系统日志定期定期检查系统进程发现异常系统进程者系统进程数量异常变化时进行处理
10)负责指导督促户设置高安全性账号口令安全日志
11)进行计算机信息安全事件排修复包括操作系统应系统文件恢复安全漏洞修补
12)正常系统升级系统重新进行安全设置系统进行技术安全检查
13)根级级计算机信息安全领导求规定流程进行系统升级安全补丁程序安装
14)理部门计算机网络服务相应端口进行登记备案实施技术安全理
15)根数备份策略完成理系统数备份备份介质保数恢复工作
1)觉遵守计算机信息网络安全法律法规规定
2)负责计算机设备数业务系统账号安全
3)发现部门计算机网存安全隐患安全事件时报告部门计算机理部门
4)擅安装维护公司网络设备(包括路器交换机集线器光纤网线)私接入网络
部门应保持计算机网络安全员相稳定加强计算机网络安全员教育技术培训计算机网络安全员调动离职者原离开原岗位时应涉户账号权限时进行变更注销
系统安全规定
公司计算机机房计算机理部门负责理建立出入登记审批制度携带计算机设备磁盘等存储介质进出机房应部门意机房理员进行核查登记
部门计算机理部门应指定专负责部门计算机设备理做计算机设备增添维修调拨等审核理计算机设备维修特需离场维修承包企业外部员维护维修时应核实该设备中否存储涉企业秘密宜公开部资料账号密码等应采取拆卸硬盘效删关资料等效措施防止泄密
操作计算机设备时应遵循安全求:
1)保负责保计算机设备账号口令定期更换口令转转账号
2)安装历明没版权软件外软件数文件等必须先病毒检测确认感染携带病毒方
3)计算机安装工作关软件
4)擅更改设备IP址网络拓扑结构软硬件配置
5)存储重数计算机应设置开机密码屏幕保护密码
6)计算机安装防病毒软件开启实时病毒监测功时升级病毒库软件
7)非计算机理部门效许网络进行安全(漏洞)扫描账号口令数包进行侦听利网络服务实施网络攻击散布病毒发布害信息网络设备机系统进行操作应该遵循关网络安全规定
账号理安全
账号设置必须遵循唯性必性授权原
唯性原指账号应户允许拥账号
必性原指账号建立分配应根工作必性进行分配根需职位进行分配禁止理机系统关员系统拥户账号根工作变动时关闭需系统账号
授权原指账号权限应进行严格限制权限工作业务需超出正常权限范围领导审批
系统中户(包括超级权限户普通户)必须登记备案定期审阅
严禁户拥户账号转
员工发生工作变动必须重新审核账号必性权限时取消非必账号调整账号权限员工离开部门须立取消账号
部门应系统网络工程验收应立删系统中测试账号时账号需保留账号口令重新进行设置
系统理员必须定期系统账号情况进行审核发现疑户账号时时核实作相应处理长期户账号进行锁定
般情况允许外部员直接进入机系统进行操作特殊情况(系统维修升级等)外部员需进入系统操作必须系统理员进行登录操作程进行记录备案禁止系统户口令直接交外部员
口令安全理
口令选取组成长度修改周期应符合安全规定禁止名字姓氏电话号码生日等容易猜测字符串作口令单单词作口令口令组成必须包含写字母数字标点等字符组合口令长度求8位
重机系统求少月修改口令理工作站计算机求少两月修改口令
重机系统应逐步采次性口令身份认证技术
保存户口令应加密存放防止户口令泄密
软件安全理:
安装历明没版权软件
重机系统安装测试版软件
开发修改应系统时充分考虑系统安全数安全数采集传输处理存贮访问控制等方面进行证测试验收时必须进行相应安全性测试验收
操作系统应软件应根身存安全漏洞时进行必须安全设置升级安全补丁
计算机安装工作关软件服务器系统禁止安装服务器提供服务应关软件
系统设备应软件登录提示应攻击尝试非授权访问提出警告
机系统服务器工作站操作系统必须进行登记登记记录应该标明厂家操作系统版已安装补丁程序号安装升级时间等容进行存档保存
重机系统系统启重新安装者升级时应建立系统镜发生网络安全问题时利系统镜系统进行完整性检查
服务器网络设备计算机安全系统(防火墙入侵检测系统等)等应具备日志功必须启网络信息安全理员定期分析网络安全系统操作系统日志发现系统遭受攻击者攻击尝试时采取安全措施进行保护网络攻击者攻击尝试进行定位踪发出警告网络信息安全领导组报告系统日志必须保存三月
新建计算机网络应系统必须时进行网络信息安全设计
互联网信息安全
公司外网站需定期做安全检查设置相关信息发布理权限防止害信息传播
部门搭建电子邮件系统禁止开启匿名转发功应关规定技术理采取效措施滤垃圾电子邮件害信息
数安全
需保护重数少包括:
1)重文件资料图纸(电子版)
2)财会系统数库
3)重机系统系统数
4)重数
部门计算机理部门应制定数备份策略重数灾难恢复计划时做数备份恢复
数备份必须明确记录记录中标明备份容备份时间备份操作员等信息重数备份必须异存放做相关异备份记录
部门必须年少进行次数备份策略效性验证数恢复程进行试验确保发生安全问题时够数备份中进行恢复
部门计算机理部门应理系统存储数进行登记备案登记容包括:需保护数存储位置存储形式安全控制方法措施负责安全理日常备份员访问数户访问方式权限
涉企业秘密具高保密性求(口令文件)数传输存贮时应加密
禁止没采安全保护机制计算机存储重数存储重数计算机少应该开机口令登录口令数库口令屏幕保护等防护措施禁止计算机存放重数
软盘者笔记电脑等形式重数带出系统确实必需须数安全加密手段加密存储存储软盘笔记电脑密级文件理
安全理
部门必须部门计算机信息网络安全进行常性检查检测:
1)系统安全检查应月检查检测次
2)计算机病毒防治应月少全面检查次
3)数备份应月检查次
检查发现计算机信息网络安全隐患应组织安全隐患整治马整治应采取效措施预防网络信息安全事件案件发生
发生计算机信息网络安全事件应马组织员妥善处理防止扩散影响触犯刑律应保存证报告公安机关配合查处
发生重计算机信息网络安全事件须24时报
部门应户部门员工进行网络信息安全宣传宣传关国家法律法规网络信息安全知识加强户法律意识安全意识事危害网络信息安全行
顾客网络信息安全
维护员顾客系统密码泄露
维护员工作原进入顾客系统复制删修改顾客信息
进入顾客系统应专计算机该计算机应周进行杀毒防病毒传入顾客系统
维护员客户端应时升级更新确保顾客系统版保持致
文档容仅供参考
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档