信息安全管理体系信息系统安全管理制度.docxVIP

PAGE1

信息安全管理体系信息系统安全管理制度

目录

TOC\h\z\u第一章 总则 1

第二章 信息系统安全管理 1

第三章 数据中心机房安全管理 2

第四章 网络安全管理 2

第五章 系统安全管理 3

第六章 应用安全管理 3

第七章 数据安全管理 3

第八章 信息系统建设安全管理 4

第九章 信息系统变更安全管理 4

第十章 信息系统运维安全管理 4

第十一章 信息系统安全事件管理 5

第十二章 信息安全检查与审计管理 5

第十三章 信息系统风险评估管理 5

第十四章 信息系统安全应急预案 5

第十五章 突发业务高可用性管理 6

第十六章 信息系统安全值守巡检规范 6

第十七章 附则 6

总则

为加强信息系统安全管理，保证信息系统的安全、可靠运行，提高服务质量，特制定本制度。

信息系统安全管理是保障网络质量，保护客户利益的基础，因此必须重视信息系统安全工作。

信息系统安全管理是集团各部门所有员工共同分担的责任，与每一位员工的日常工作息息相关，所有员工必须提高认识，高度重视，从自己开始，坚持不懈地做好信息系统安全工作。

信息系统安全管理

信息系统安全管理分为数据中心机房管理制度，网络安全管理制度，系统安全管理制度，应用安全管理制度，数据安全管理制度，信息系统变更安全管理制度，信息系统运维安全管理制度，信息系统安全事件管理制度，信息安全检查与审计管理制度，信息系统风险评估管理制度，信息系统建设安全管理制度，信息系统安全应急预案，业务连续性和灾难恢复管理制度，信息系统安全值守巡检规范共计14项制度，其结构与关系如下：

数据中心机房安全管理

数据中心机房是集团业务系统的信息化支撑平台，机房内信息处理设备的安全、稳定运行直接影响着集团各业务系统的正常运行，为防范机房可能发生的安全事故，保证机房内设备处于最佳运行状态，使其运行服务质量能够满足集团业务使用的需求，需对机房实施安全管理。

数据中心机房安全管理的设备包括所有支持集团信息化业务的机房信息处理设备，包括服务器、网络设备、安全设备以及提供这些设备良好稳定运行的物理环境支撑设备，如空调、UPS等。

数据中心机房安全管理的内容包括机房出入管理，机房操作管理和机房设备管理。

网络安全管理

为了加强集团网络安全管理工作,保障集团信息系统网络在安全、可控状态下运行，建立健全信息系统相关网络操作手册，提高网络通信质量，优化网络结构，需实施网络安全管理。

网络安全管理的内容是对集团业务相关网络架构安全设计、网络安全策略的制定、网络设备的安全配置、网络运维安全进行统一规范和管理。

系统安全管理

为了加强集团的系统安全管理,保障集团业务相关服务器操作系统在安全、可控状态下运行，建立健全业务相关服务器操作系统的操作手册，需实施系统安全管理。

系统安全管理的内容是对集团业务相关服务器操作系统安全配置、系统运维安全进行统一规范和管理。

应用安全管理

为规范集团业务系统、管理系统的应用安全，保障集团应用系统安全稳定运行，需实施应用安全管理。

应用安全管理的内容应包括从身份鉴别，WEB页面安全，访问控制，安全审计，剩余信息保护，资源控制，应用容错，报文完整性，报文必威体育官网网址性，抗抵赖，编码安全和电子认证应用等。

数据安全管理

数据的安全管理是集团业务系统数据正常提供服务的重要保证。为加强数据的安全管理，提信息系统数据的可用性、完整性及必威体育官网网址性，需实施数据安全管理。

数据安全管理涉及的内容有数据分级、数据传输安全、数据存储安全、数据变更安全、数据访问安全、数据备份安全、数据恢复安全、数据销毁安全以及密码密钥安全。

信息系统建设安全管理

为加快集团信息系统安全建设步伐，规范信息系统建设的安全管理，实现安全建设应与业务系统“同步规划、同步建设、同步运行”的安全工作原则，需实施信息系统建设安全管理。

信息系统建设安全管理适用于对集团信息系统建设过程中的各阶段进行安全规范和管理，保证集团信息系统建设安全、可控。

信息系统建设安全管理的内容是对信息系统的研发、测试以及上线安全进行统一规范和管理。

信息系统变更安全管理

为保证集团信息系统安全稳定运行，规范集团信息系统变更管理，提高变更的效率和质量，减少或避免变更对业务系统的影响，需实施信息系统变更安全管理。

变更管理是指对信息系统的增补或修改的管理。变更行为包括但不限于硬件设备、系统软件、应用软件、网络架构、账号权限以及配置变更。

变更管理的内容是对变更分类、变更管理流程安全进行统一规范和管理。

信息系统运维安全管理

为了加强集团信息系统的运行维护安全管理，建立和健全信息系统相关操作手册，提高系统运行维护质量，减少人为造成的操作不当，保障信息系统稳定可靠