信息管理制度第一条信息安全管理—、目的1、明确信息安全管理范围及管理职责,使网络安全管理法律规范化、制度化确保网络安全稳定运行,确保网络信息安全可靠。二、网络及信息安全三、网络规划设计1、原则上网络按功能和业务划分为管理网络、生产网络、办公网络、访客网络,网络间须进行隔离。2、管理网络及 VPN 网络须向集团信息技术部申请 IP 地址段,集团信息技术部分配后进行架设部署。四、网络设备选择及使用1、设备需求及关键技术指标由 SPV 公司提出,集团信息技术部复核确认后由集团信息技术部统一进行设备选型、比价、采购,预算及费用由 SPV 公司承担。2、基于强化安全管理的原因,网络内禁止使用个人/家用级设备,如:无线路由器、非网管交换机等。1、入网设备必须关闭自动向厂商提交信息的功能。2、除访客网络外,无线网络必须使用用户识别方式进行身份验证。五、安全控制1、网络间如需网络间互相通讯的,管理员同意后经过防火墙等安全设备过滤,以白名单方式对指定流量放行。2、严禁设备厂家不经批准,通过技术手段对设备进行远程控制/猎取数据/远程维护。六、管理维护1、网络建设完成后,SPV 公司运维人员须向集团信息技术部提交相关验收资料。2、每月进行一次所有设备运行配置备份,提交集团信息技术部。3、严禁泄露设备登录密码及各级操作密码。七、病毒防治管理1、严禁在生产网络、办公网络的计算机上安装非集团、SPV公司正式购买的或未经集团、SPV 公司书面批准的任何软件。2、做好生产网络、办公网络的病毒查杀工作。必须按实际情况,安装正版的杀毒软件。定期更新病毒特征库以及病毒扫描。3、网内各设备、计算机需定期安装最新的安全更新/漏洞补丁,以降低安全风险。八、数据备份还原1、SPV 公司对自建系统、文件共享服务器等每月至少进行一次完整数据备份,所有备份保留时间由 SPV 公司自行定义。共用的集团系统由集团信息技术部进行备份。2、SPV 公司自建系统每年至少进行一次灾难还原演练,查漏补缺,以降低风险。九、信息保密(一)权限控制1、遵循最低权限原则,避开给用户过高的访问控制权限。2、涉密数据控制访问人员数量,严禁多人共同使用同一账号。(二)备份管理L 备份数据不得与生产环境数据存放于同一介质,防止出现因为介质故障、损坏、丢失等情况下发生数据丢失。2、备份数据由专人负责管理维护,避开非授权人员访问。(三)介质管理L 存储过涉密数据的介质在处理/废弃之前,须确保原存储的数...
