终端安全管理规范
目 录
1 目的
2 适用范围
3 职责与分工
4 定义
5 管理职责
6 网络接入管理
7 信息系统终端安全管理
8 办公终端运行管理
9 移动设备安全管理
10 办公软件管理
11 信息安全管理
12 附则
终端安全管理规范
1 目的
为了规范XXXX股份有限公司(以下简称“XXXX”)信息系统终端、办公终端、移动设备的使用,保障管理信息系统稳定运行,提升信息安全管理水平,特制定本规范。
2 适用范围
本规范适用于XXXX及所属企业使用信息系统终端、办公终端、移动设备的所有人员;
3 职责与分工
a) 信息化安全工作领导小组
信息化安全工作领导小组是XXXX信息安全工作的领导机构及信息安全监管机构,主要职责包括:
(1) 负责批准本规范,检查并监督本规范执行情况,协调解决相关问题;
(2) 指导、协调和检查各单位信息安全工作。
b) 信息安全管理单位
信息安全管理单位为领导小组下设办公室,日常办事机构,主要职责包括:
(1) 负责编制和维护本规范,监督和检查本规范执行情况;
(2) 负责牵头组织落实本规范。
c) 信息安全保障单位
信息安全保障单位包括各信息系统建设部门、运行维护及保障部门,主要职责包括:
(1) 负责执行本规范,组织开展各信息系统的信息安全保障工作;
(2) 负责终端软硬件安装、终端安全策略制定、终端网络接入审核、终端安全检查及日常监控、终端日常维护及技术支持等工作。
d) 信息通报工作联系人
(1) 负责落实和执行本规范;
(2) 负责部门终端的信息安全管理工作。
e) 资产管理员
(1) 负责落实和执行本规范;
(2) 负责部门终端的资产管理工作。
f) 终端所属部门
(1) 负责本部门终端的物理安全和信息安全;
(2) 负责本部门与终端安全有关的安全策略的落实与执行。
4 定义
信息系统终端,是指包括:生产系统、办公系统、门户系统、财务系统、资产系统等,用于支撑XXXX日常管理的计算机信息系统设备;
办公终端,是指包括:电脑、打印机、扫描仪等,用于日常办公的信息通信等设备;
移动设备,是指包括:智能手机、移动电话、平板电脑等,用于日常办公的信息通信等设备;
办公软件,是指包括:办公自动化、电子文档阅读和编辑等用于日常办公的计算机软件。
5 管理职责
a) 信息安全保障单位在信息安全管理单位的指导下,进行终端信息安全管理的规则制定、实施指导、监督检查和技术支持服务等工作;
b) 终端的资产管理和信息安全管理工作由所属部门负责,所属部门的资产管理员和信息通报工作联系人负责落实和执行有关规定;
c) 终端所属部门应确定终端的资产所有者、资产管理责任人、信息安全管理责任人及使用人;
d) 分配给员工个人使用的终端,其资产所有者、资产管理责任人、使用者及系统管理员为此员工;其信息安全管理责任人为此员工。员工在领用办公终端时,须阅读本规范;
e) 各部门配备的公用终端和外部人员领用的终端,其资产所有者、资产管理责任人及系统管理员为此部门的资产管理员;其信息安全管理责任人为此资产管理员;
f) 外部人员自带的终端设备,其资产所有者、资产管理责任人、使用者及系统管理员为外部人员本人,其信息安全管理责任人为信息通报工作联系人。
6 网络接入管理
a) XXXX的生产网、办公网需要进行网络隔离。对终端设备需要采取接入控制措施,以限制系统风险在网内的任意扩散,从而有效控制安全事件和安全风险的传播;
b) 各单位采购终端设备应是当前主流配置,应配备正版操作系统;
c) 终端设备接入XXXX网络,应向信息安全保障单位申请,审核通过后,由信息安全保障单位负责终端设备统一接入;
d) 各类终端设备的网络接入和物理安全必须符合下列要求:
(一) 信息安全保障单位为每台终端设备分配唯一的网络接入端口和IP地址,终端设备不得以各种方式接入未分配给该电脑的网络接入端口和IP地址;
(二) 终端设备网络设置由信息安全保障单位负责,用户不得擅自改变终端设备的机器名、工作组名、IP地址网络设置;
(三) 对于除生产网以外的终端设备,通过接入认证控制措施,对终端设备网络接入的合法性进行控制;
(四) 终端设备必须粘贴相应的明显的信息资产标识后,才被允许接入XXXX网络;
(五) 对于专门加工处理保密类数据的专用业务操作终端需粘贴相应的信息资产标识。
e) 外来人员自带终端设备的安全管理,应依据《外部合作伙伴信息安全管理规范》执行;
f) 生产系统终端设备安装位置调整时,应及时向信息安全保障单位提出变更申请。用户擅自调整电脑安装位置,一经发现将断开网络连接,提交变更申请后恢复接入。
7 信息系统终端安全管理
a) 生产网终端设备原则上不允许使用移动介质;
b) 信息安全保障单位应记录和管理终端设备的IP地址使用情况;
c) 接受来自外部的软件或资料时,应首先进行防病毒处理;
d) 禁止在没有采用安全保护机制的系统终端上存储重要数据,在存储重要数据的系统终端至少应该有开机口令、登录口令、数据库口令、屏幕保护等防护措施;
e) 员工完成应用系统的操作时,应及时退出系统,并将屏幕锁定;
f) 不得进行计算机病毒的制作和传播。
8 办公终端运行管理
a) 信息安全保障单位为办公终端提供统一维护,信息安全保障单位应设立故障受理电话,安排专人为用户提供及时、高效的维护服务;
b) 任何人不得利用办公终端从事任何与工作无关的事情,亦不得在办公终端中安装与办公无关的软件;
c) 禁止通过邮件、微信、QQ等通讯工具或U盘等移动介质对外传播XXXX涉密文件;
d) 用户禁止浏览任何不健康的网站和下载不健康的网上信息。对于来路不明的邮件,不得随意打开,应当予以删除处理;
e) 用户禁止在办公终端上进行WIFI共享,禁止擅自增加网络设备,禁止将办公电脑接入生产网,不应在办公电脑上设置文件共享;
f) 用户应定期对终端中的文件、邮件、数据等进行整理和备份,并及时清理过期资料,释放系统存储空间,使终端处于良好的运行状态;
g) 用户下班后或长时间离开电脑,应关闭电脑电源和插线排;
h) 办公终端使用中发生故障或其他异常现象,用户应及时通知信息安全保障单位,由信息安全保障单位统一安排维修。不得私自联系他人处理,由此造成的一切后果将由当事人承担;
i) 办公终端原包装中的配件、光盘、软件使用许可证书、保修卡等随机附带资料,使用者应妥善保管,以备维修时使用。
9 移动设备安全管理
a) 移动设备的管理责任人必须将其置于有物理保护的场所或容器里,特别是在出差时放置在饭店房间、会议中心、汽车或其它交通工具等情况下,以防止丢失、损坏和被盗;
b) 生产网上使用的移动设备不得带出XXXX使用;
c) 如需携带移动设备进入机房,需遵守《机房安全管理规范》里的相关规定。
10 办公软件管理
a) 信息安全保障单位负责统筹管理各类软件的使用需求,并负责软件的统一采购、管理及维护;
b) 用户应加强版权意识,不得安装有法律风险的软件或具有以下行为:
(一)复制或者部分复制著作权人的软件的;
(二)向公众发行、出租、通过信息网络传播著作权人的软件的;
(三)故意避开或者破坏著作权人为保护其软件著作权而采取的技术措施的;
(四)故意删除或者改变软件权利管理电子信息的;
(五)转让或者许可他人行使著作权人的软件著作权的。
c) 用户不得向任何外部单位或个人提供XXXX购买的正版软件。因向其他单位或个人提供XXXX购买的正版软件而造成版权纠纷的,应追究当事人的相关责任。
11 信息安全管理
a) 驻场外包服务商或外部协作单位接入办公网的,应签订相关保密协议方可接入;
b) 终端由信息安全保障单位统一安装防病毒软件,不得随意卸载网络杀毒软件和其他系统安全管理软件。操作系统应及时更新最新的补丁;
c) 用户应对操作系统、各管理信息系统的用户账号设置强口令,严禁设置弱口令,口令应包含:字母、数字或特殊字符,不得少于8位。口令由用户自行保管、定期更换;
d) 终端在日常使用中,用户应设置屏幕保护密码,暂时离开办公位置,应立即退出已登录的、正在使用的管理信息系统。任何人未经授权,不得使用他人的终端设备;
e) 终端设备上发现病毒、木马软件等恶意软件,或出现疑似网络安全事件时,需立即断开网络连接,必要时可关机处理;或与本部门信息通报工作联系人联系,由其进行评估与处理,也可直接与信息安全保障单位联系;
f) 用户使用不当导致的病毒感染及传播,信息安全管理单位将视情节的严重性,追究相关当事人的责任;
g) 接入终端设备使用者不得制作、复制、发布、传播含有下列内容的信息:
(一)反对宪法所确定的基本原则的;
(二)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
(三)损害国家荣誉和利益的;
(四)煽动民族仇恨、民族歧视,破坏民族团结的;
(五)破坏国家宗教政策,宣扬邪教和封建迷信的;
(六)散布谣言,扰乱社会秩序,破坏社会稳定的;
(七)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;
(八)侮辱或者诽谤他人,侵害他人合法权益的;
(九)含有法律、行政法规禁止的其他内容的;
(十)含有其他违反XXXX规定的内容。
h) 对于接入生产网终端设备,需采取有效措施,以保护终端设备中敏感数据的安全,使敏感信息不被泄露、窃取、篡改和破坏;
i) 办公终端不得启用任何未经许可的网络协议,不得随意更改办公终端的IP地址,不得在XXXX办公场所内私自拨号上网;
j) 终端设备必须启用安全策略,进行安全设置,关闭不必要的应用服务,禁用或删除不必要的帐户,及时更新安全补丁,及时升级防病毒软件,及时更新防病毒库,强化网络浏览器的安全配置等操作;
k) 各单位的公用终端只限本单位的员工使用,其他人员(特别是外部人员)未经允许不得使用;内部人员不得在公用终端上处理敏感信息。通过公用网络打印机打印的资料,应立即从打印机上取走;
l) 与终端设备有关的移动介质的管理规定,可参见《移动介质管理规范》。
12 附则
a) 各单位可根据本规范制定实施细则,并报XXXX信息安全管理单位备案;
b) 本规范由XXXX信息安全管理单位负责解释,自下发之日起执行。
