运行时信息资产安全分级管理制度.docx

XXX信息安全有限公司运行时信息资产安全分级管理制度文件编号：一、运行时可导致信息资产安全风险的因素分类及责任部门1、一级风险：直接导致服务器运行中断，介质损坏，信息资产大范围损坏的风险，造成严重经济损失。由系统服务部承担安全管理责任。主要原因有： 设备断电 存储介质故障感染病毒2、二级风险：直接导致信息资产被非法拷贝传播，信息系统停止运行等重大故障，造成较大的经济损失。由系统服务部和各使用部门和研发部门共同承担安全管理责任。主要原因有： 软件、系统、平台、数据库管理员密码泄露，非法登录，运行数据被修改。 程序入侵 系统运行配置文件非法拷贝传播，使安全管控配置数据外泄。 代码BUG和溢出漏洞 外部攻击3、三级风险：导致系统运行结果数据错误或业务数据被非法复制传播，造成一定的经济损失。由系统维护部承担安全管理责任。主要原因有： 业务管理员误操作 系统管理员误操作 操作人员帐号口令被窃。二、各部门管理职责：1、系统服务部：1）须保证服务器配置了防火墙，只允许信息系统运行的最小资源开放。2）须保证网络通畅、高效，有良好的系统运行环境。3）对一级风险：a.房保证电源可靠性，双回供电或服务器增加UPS不间断电源。b.执行变更管理流程前，对运行数据进行安全备份。c.安装有效的防病毒软件，每周一次更新病毒库，在有严重病毒传播警告时，及时更新病毒库。4）对二级风险：a.内部和外部网路及软硬件的弱点扫描至少每季度进行一次，在网络发生重大变更后，在应用程序和软件发布前、安装、升级后也需执行一次扫描检查。b.网站应采取有效的数据保护、防钓鱼攻击等方面的安全防控措施，定期开展计算机病毒木马查杀、漏洞扫描、渗透性测试等。c.须保证系统管理员密码符合访问控制程序中口令使用规定。须保证系统管理员密码安全可靠保存。d.每天须监控网络流量数据，发现流量异常，即刻查明原因。按信息安全事件管理程序的要求执行相关事件处理流程。保证即时发现外部攻击风险，采取适当措施应对，将损失降到最低。2、研发部：1）敏感数据加密传输：制定加密方案，传输方式。2）对二级风险：a.对所开发程序提交测试部进行系统性测试,对测试出的问题进行处理解决,减少程序BUG的产生。b.对可能有安全隐患的程序代码进行溢出漏洞测试，保证代码的可用性、可靠性。3、各业务部门为应对三级风险，各业务相关部门应做到：1）对业务系统权限进行严格管理。严格执行访问控制程序中权限管理的规定和管理流程。2）对帐号密码须严格执行访问控制程序中口令使用规定。3）业务人员操作应严格执行相关业务流程，避免误操作发生。见讯鸟流程操作规范和其他业务流程操作规范。三、运营时资产使用监管单位：系统服务部四、管理制度引用文件：1、讯鸟流程操作规范2、访问控制制度3、信息安全事件管理制度本制度相关修改及解释权属于研发服务体系文档编号（由总裁办填写）F4-B-研发服务体系-001-V1.0密级内部公开文档发布级别公司级文档发布及实行范围研发服务体系制度试行日期（可选）制度执行日期文档起草人签字：文档修订人：签字：修订说明：备注：文档负责人：签字：文档审批信息安全管理者代表签字：文档审批人签字：