《公司信息网络安全管理制度.docx》由会员分享,可在线阅读,更多相关《公司信息网络安全管理制度.docx(3页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、公司信息网络安全管理制度(一)网络安全规划系统运维管理部门在网络系统规划、升级、改造建设过程中,应组织相关人 员对网络建设方案进行评审,使方案满足网络安全管理要求。(二)网络接入控制1 .各科室对涉及到网络变更方面的需求(如网络结构变更、终端网络需求变 更(如Hub的接入)、非常规性网络访问(如外来人员临时性访问), 需向系统运维管理部门提出书面申请,系统运维管理部门对变更申请进行 评审通过后,方可进行操作;2 .无线网络由系统运维管理部门进行统一部署和管理,如其他部门(单位) 需要接入无线网络或部署无线网络设备时,需向系统运维管理部门提出申 请,经审批后方可接入。3 .系统运维管理部门负责网
2、络与其他外部单位网络的安全防护,在网络边界 处采取安全措施进行有效隔离防护,并对违规行为进行检查和阻断;4 .系统运维管理部门负责网络的VLAN和安全域划分,不同业务应用系统尽 量安排在不通的安全域中,各VLAN和安全域间应采取有效的访问控制措 施;5 .系统运维管理部门对网络设备、网络设备之间的连接线缆进行标识,重要 网络端口也须进行详细标识。(三)网络安全审计1 .系统运维管理部门采取开启网络设备日志,记录与网络安全相关的操作与 活动,并定期对记录进行评审,将评审结果进行记录。2 .日志保存时间应至少保证在一个月以上。3 .系统运维管理部门在网络关键位置采取网络审计手段,对网络访问操作行
3、为进行记录,定期对记录进行评审,将评审结果进行记录。(四)网络设备管理1 .系统运维管理部门制定网络备份策略(如网络配置备份、硬件备份),并做好相应备案;2 .系统运维管理部门每月对网络配置、网络设备日志进行备份,并做好备份 记录;3 .系统运维管理部门做好网络配置、网络设备日志及网络设备备件的保存与 管理,保证备份的安全性;4 .系统运维管理部门定期对配置备份及设备备件进行测试,保证其可用性, 并对测试结果进行记录;5 .根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的 重要文件进行备份;6 .建立日志服务器,保存日志时间要求超过6个月;7 .定期对设备口令进行更新。(五)网
4、络安全检查8 .系统运维管理部门制定详细的网络检查项目,负责进行网络系统运行的日 常检查工作,将检查结果进行记录。检查内容参考安全检查表。9 .系统运维管理部门定期对网络设备配置进行检查和评估,确保网络配置与 安全策略保持一致,并对检查结果进行记录。10 .定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修 补。(六)网络访问控制1 .系统运维管理部门制定网络访问控制策略,并做好相应备案。2 .访问控制策略内容应包括:根据业务、管理等情况,对不同的部门接入进行划分;明确各部门只能访问被允许访问的网络和网络服务;规定各部门访问网络和网络服务使用的手段(如,拨号、VPN等)。3 .系
5、统运维管理部门制定远程设备维护的管理职责与制度,交信息安全管理 小组备案,以保证远程维护人员的操作符合信息安全管理策略,防止由于 疏忽、密码账户泄漏造成未授权访问连接网络设备与服务器。4 .系统运维管理部门应确保维护厂商的远程维护连接只允许访问指定的设备 和服务,由系统运维部门负责审批、开启和关闭,保持每次远程连接记录 备查,并对远程访问帐号定期进行审核。5 .系统运维管理部门对远程诊断和配置端口采取技术手段与管理措施进行保 护,如无必要,禁止使用远程诊断和配置端口。6 .系统运维管理部门应对远程用户进行身份鉴别(如回拨程序、证书、密 钥、口令等),若系统的远程访问无法提供用户鉴别措施时,禁止使用远 程访问功能。(七)网络服务安全1.系统运维管理部门在制定的所有网络服务协议中,必须包括网络的安全特 性、服务级别以及所有网络服务的管理要求等内容。在网络服务过程中,系统运维管理部门应根据网络服务协议中规定的安全条款、安全特性、 服务级别管理等要求对服务提供商的服务进行定期评审和监督。
限制150内