1、Shim9網絡與信息安全工作管理辦法世茂房地產控股有限公司資訊科技部內部資料，未經同意，請勿翻印版本修訂日期修訂人審核人第一節安全組織原則3第二節安全組織結構3第一節概述4第二節安全規劃與建設4第三節物理安全管理5第四節人員安全管理6第五節安全培訓7第六節信息資產安全管理8第七節安全運維管理10第八節安全事件處理10第九節應急計劃11第十節系統開發與維護11第十一節符合性14第十二節管理審計與評估14第十三節獎懲15第一節概述15第二節訪問控制16第三節身份認證16第四節冗余恢復17第五節日志審計與響應17第六節內容安全18GS-1-005.世茂集團網絡與信息安全工作管理辦法第一章總則第一條隨

2、著上海世茂投資管理有限公司（以下簡稱：上海世茂）信息系統規模越來越大，隨之帶來的安全問題也不斷增多，為及時快速處理各種故障和安全事件，防范與化解安全風險，保障網絡連續性以及高質量的服務水平，特制定上海世茂網絡與信息安全工作管理辦法，以下簡稱“本辦法”。第二條本辦法依據中華人民共和國計算機信息系統安全保護條例，參考ISO27001信息安全管理體系規范而制定。第三條本辦法的適用范圍包括上海世茂信息系統在規劃、設計、開發、建設和運行維護過程中所涉及到的各種安全問題，包括組織管理、物理安全、操作系統安全、應用安全、數據安全、網絡架構安全、安全事件處理。第四條上海世茂網絡與信息安全工作的管理原則1. 整

3、體規劃，分步實施：需要對網絡與信息安全工作進行整體規劃，分步實施，逐漸建立完善的網絡與信息安全體系。2. 三同步原則：安全系統應與業務系統及網絡同步規劃、同步建設、同步運行。3. 適度安全：安全具有相對性和動態性的特點，必須做好安全建設的成本效益分析，在安全性和投入成本之間、安全性和易用性之間做好平衡工作。第五條本辦法中的安全是指信息系統的安全第二章安全組織管理第一節安全組織原則第六條上海世茂安全工作管理由信息化領導小組統一來制定。第二節安全組織結構第七條成立上海世茂網絡與信息安全領導小組，全面負責上海世茂網絡與信息安全各項工作。第八條領導小組下設IT總監，貫徹“信息化領導小組”的安全管理決策

4、，作為執行管理機構。資訊科技部作為信息安全工作的主要執行機構，負責信息安全日常工作，IT總監下屬包括應用和運維兩個專業工作組。第三章安全策略第九條上海世茂安全策略體系是用于指導上海世茂的安全管理工作，明確信息安全的工作職責、內容、方法和流程的一套文檔，它覆蓋了IT系統的整個生命周期，對系統和網絡的規劃、設計、建設、運維以及檢查評估都提出了相應的安全要求。第十條上海世茂安全策略由資訊科技部、各部門提出需求，由資訊科技部組織制定。第十一條上海世茂的安全策略由上海世茂信息安全領導小組批準和發布，由資訊科技部組織宣傳和培訓，并監督各部門執行落實。第十二條資訊科技部及各專業工作小組負責檢查和考核策略的貫

5、徹和實施，并建立安全策略違反報告制度。第十三條資訊科技部建立安全策略定期審核更新的制度和機制，定期對安全策略的有效性進行審核，并根據情況進行更新。第四章安全管理制度第一節概述第十四條為做好上海世茂網絡與信息安全管理，必須做好安全規劃和建設，完善物理環境安全，加強工作人員安全管理和教育，建立信息資產安全管理制度。完善安全運維、事件處理、應急響應等安全工作。第二節安全規劃與建設第十五條上海世茂安全規劃明確安全建設原則，為網絡與信息安全建設明確建設方向和藍圖。第十六條安全規劃小組要根據上海世茂現有情況做好安全規劃工作，制定近期（12年）總體安全規劃和中長期（35年）安全建設目標，制定網絡建設規劃和人

6、員計劃，滿足信息系統正常安全保障并適應未來的發展戰略。第十七條安全規劃應考慮信息安全管理體系和安全技術架構的建設，根據網絡發展規劃適度超前建設，并考慮統一安全管理要求和統一安全技術基礎設施。第十八條應在上海世茂信息系統規劃、設計、開發、實施、運維的整個生命周期中各個階段充分考慮并實施安全控制措施。第十九條在特殊情況下，應預先明確風險，并指出應采取的控制措施。第二十條應對網絡與系統建設過程中存在的安全風險進行嚴格的安全過程控制。第三節物理安全管理第二十一條物理安全管理的目標是通過加強工作環境安全，防止對上海世茂工作場所和信息資源的非法訪問、破壞和干擾。第二十二條相關部門應按照上海世茂關于機房建設

7、及管理等標準，對機房場地與設施進行安全建設，并進行分級、分區安全管理,機房安全建設和改造應通過資訊科技部的安全審批和驗收，并建立、健全嚴格的機房安全管理制度。第二十三條信息資產主管部門及使用部門必須保證關鍵或敏感的數據信息處理設備放置在安全的區域，并使用適當的物理防護設備和訪問控制手段。第二十四條應加強辦公區的物理訪問控制。第四節人員安全管理第二十五條信息安全管理人員應當政治過硬、業務素質高、遵紀守法、恪盡職守。第二十六條應建立相應制度以及相應技術手段加強對第三方人員的安全管理。第二十七條違反國家法律、法規和行業規章受到處罰的人員，不得從事信息安全管理工作。第二十八條信息安全管理人員調離崗位，

8、必須辦理調離手續，承諾其調離后的保密義務。第二十九條信息安全崗位人員必須具備相應的資質并簽定保密協議。信息安全管理人員應定期接受政治思想教育、職業道德教育和安全保密教育。第三十條信息安全管理人員職責：(1)負責計算機安全管理的日常工作；(2)開展計算機安全檢查工作，對要害崗位人員安全工作進行指導;(3)開展計算機安全知識的培訓和宣傳工作；(4)監控計算機安全總體狀況，提出安全分析報告；了解行業動態，為改進和完善計算機安全管理工作，提出安全防范建議；(5)及時向計算機安全工作領導小組和有關部門、單位報告計算機安全事件。第三十一條信息安全管理人員發現本單位所使用信息系統中的重大安全隱患，有權向上級

9、報告。第三十二條信息安全管理人員發現系統操作人員使用不當，應及時建議有關單位、部門進行調整。第三十三條信息安全管理人員必須嚴格遵守國家有關法律、法規和行業規章，嚴守國家、行業和崗位秘密。第三十四條信息安全管理人員應定期參加下列計算機安全知識和技能的培訓：(1)計算機安全法律法規及行業規章制度的培訓；(2)計算機安全基本知識的培訓；(3)計算機安全專項技能的培訓。第五節安全培訓第三十五條工作人員安全意識是安全管理工作開展的基礎和前提，安全管理工作組應建立安全意識教育計劃，通過持續的安全教育，提高人員安全意識。第三十六條建立安全技術培訓計劃，通過各種培訓方式，提高各級管理人員和專業人員安全技能，降

10、低安全操作風險。第六節信息資產安全管理（一）資產管理第三十七條上海世茂信息資產包括所擁有各種信息及其載體，存在有形資產和無形資產，包括計算機設備、系統軟件、應用軟件、數據、文檔等。第三十八條嚴格執行上海世茂設備管理部門有關設備管理的各項規章制度，對資訊科技部管理的設備進行編號、登記、建立完善、準確的臺帳。第三十九條每半年，對全局計算機網絡設備進行一次全面檢查和維護。每年末，資訊科技部對固定資產清查一次。第四十條各級信息資產責任者必須嚴格遵守相關制度，保證信息資產的機密性、完整性和可用性。第四十一條信息系統資產管理具體辦法參見上海世茂信息資產安全管理辦法。（二）版權要求第四十二條上海世茂與計算機

11、信息系統承建商簽訂建設合同時，承建商應當保證產品無侵犯他人版權要求。第四十三條承建商在計算機信息系統建設中使用第三方產品時，必須事先得到上海世茂資訊科技部認可并具有第三方產品書面授權。(三)安全專用產品第四十四條本規定所稱安全專用產品，是指用于保護計算機信息系統安全的專用軟件、硬件產品。第四十五條安全專用產品準入、選型、采購部署工作由資訊科技部統一組織實施。安全專用產品有下列情形之一的，取消其準入資格：(1)安全專用產品的功能已發生變化，但未通過檢測的；(2)經使用發現有嚴重問題的；(3)能提供良好售后服務的；(4)國家有關部門取消其銷售資格的。第四十六條安全專用產品在使用中，系統管理員應監測

12、生成的信息，對生成的信息應及時分析并作出分析報告；在監測中如發現重大問題，應立即采取相應控制措施并將有關情況逐級上報；安全專用產品使用中產生的重要報告應備份存檔，并按密級資料管理方式履行有關手續。第七節安全運維管理第四十七條安全維護管理的目標是通過建立和執行對網絡和操作系統的安全維護流程和安全維護作業計劃，來保障提供高質量的信息系統服務能力和通信能力。第四十八條安全維護工作主要包括硬件入網管理、病毒防范管理、密碼管理、系統和數據備份、日志管理和審計、軟件版本管理和補丁加載。第四十九條網絡、主機的相關人員、維護計劃配置應隨網絡調整進行更新。第八節安全事件處理第五十條安全事件處理的原則是“積極預防

13、、及時發現、快速響應、確?；謴汀?。第五十一條系統宕機引起相關部門無法進行業務操作，非法侵入、破壞計算機信息系統，利用計算機實施詐騙、盜竊、貪污、挪用公款的計算機犯罪案件，以及造成不良社會影響的計算機安全事故，屬于信息安全事故。第五十二條各相關部門根據要求建立詳細的安全事件響應機制，規定在安全事件的發現、上報、分析、處理、總結和獎懲階段的相關責任和程序，最大限度地減少安全事件造成的損害。第五十三條對安全事件做好記錄和存檔工作，記錄內容包括事件的起因、處理過程、處理結果、建議改進的安全對策等。第九節應急計劃第五十四條針對不同的安全事件，必須制定相應的應急計劃，內容至少包括計劃的準備、演練、實施、系

14、統恢復方案四個組成部分，各部門應定期上報應急計劃內容。第五十五條通過應急計劃的演練測試檢查應急計劃的有效性和資源的可用性，并根據演練結果進行應急計劃的調整。第十節系統開發與維護（一）承建商管理第五十六條資訊科技部是全局計算機信息系統承建商管理的第一責任人。第五十七條計算機信息系統承建商必須遵守上海世茂信息安全管理制度，必須簽署保密協議；在提供優質的開發、維護服務的同時,不得擅自修改正式生產系統中的數據。（二）計算機信息系統建設第五十八條計算機信息系統的規劃和建設應同步做好系統安全保護工作，以確保系統安全目標的實現。重要計算機信息系統立項的安全管理實行審批制度。對初審合格的項目申報材料，應進行安

15、全性專項審查，提出審查意見后由資訊科技部最后審批。對沒有通過安全管理審查的項目，不得予以立項。第五十九條計算機信息系統的開發必須符合軟件工程規范，并在軟件開發的各階段按照安全管理目標進行管理和實施。計算機信息系統的開發人員或參加開發的協作單位應經過嚴格資格審查，并簽訂保密協議書，承諾其負有的安全保密責任和義務。計算機信息系統的開發環境和現場應當與生產環境和現場隔離。計算機信息系統開發完成后，開發人員或參加開發的外部單位應及時移交程序源代碼及其相關技術文檔。第六十條計算機信息系統投入運行前，應向資訊科技部系統管理員提交性能測試報告；系統管理員對性能測試報告進行初步審查；初審合格后，安排生產環境部

16、署。（三）計算機信息系統運行第六十一條計算機信息系統的使用部門應當嚴格用戶和密碼（口令）的管理，業務操作員應嚴格按照操作培訓要求進行操作，保證系統安全運行；對計算機信息系統在運行過程中出現的異?，F象，有責任向部門領導和資訊科技部報告。第六十二條計算機信息系統應定期進行數據備份，對備份介質應按有關規定指定專人妥善保管。重要計算機信息系統應當制定應急計劃，保證業務的不間斷運行。第六十三條系統管理員應合理配置操作系統、數據庫管理系統所提供的安全審計功能，以達到相應安全等級標準，應及時安裝正式發布的系統補丁，修補系統存在的安全漏洞；并屏蔽與應用系統無關的所有網絡功能，防止非法用戶的侵入；第六十四條系統

17、管理員不得泄露操作系統、數據庫的系統管理員帳號、密碼。聯網設備的IP地址及網絡參數，必須按照網絡管理規范及其業務應用范圍進行設置，非系統管理人員不得修改。第六十五條系統管理員應對重要業務的計算機信息系統進行日常巡檢，監測系統運行日志，掌握系統運行狀況；發現系統運行異常應及時通報主管領導。（四）上線管理第六十六條計算機信息系統正式使用前必須經過系統使用部門的整體功能測試和性能測試（對原有系統的功能升級必須經過系統操作員的功能認可），才能在正式生產環境部署。（五）驗收管理第六十七條必須經過資訊科技部評估，需要簽訂合同獨立開發的業務軟件系統必須進行系統驗收；第六十八條需要驗收的系統必須經項目管理與咨

18、詢公司審核項目文檔以及上海世茂資訊科技部負責人審核確認后進行。（六）需求數據變更第六十九條業務操作員對已經上線運行的信息系統提出需求修改要求以及數據變更要求時，系統開發員需要準確紀錄需求，并整理為需求確認單或數據確認單。第七十條系統開發員對業務操作員簽字確認后的需求確認單、數據確認單進行系統處理，處理后的結果由業務操作員進行確認。第十一節符合性（一）正版軟件第七十一條資訊科技部是全局推進使用正版化軟件工作的第一責任人。第七十二條公司內軟件正版化工作實行使用責任制。各部門的主要負責人是本推進使用正版軟件工作的第一責任人，對本部門使用非正版軟件、損害公司形象的，承擔領導責任。軟件正版化工作列入各部

19、門年終考核。（二）性能要求第七十三條業務應用軟件開發類項目正式上線前必須進行性能測試，達到性能測試要求后部署正式環境；第十二節管理審計與評估第七十四條安全管理審計是參照一定的安全標準對運維過程和信息系統本身進行安全評價的過程。此過程重點關注運維管理工作是否有效地保護了信息系統的安全。第七十五條風險評估主要依靠技術手段評估特定的內外威脅可能對信息系統造成的損失，此工作主要關注信息系統本身存在哪些漏洞、面臨哪些威脅、可能遭到什么樣的損害。第七十六條上海世茂資訊科技部應制定安全巡檢機制，每半年組織一次安全管理內部審計，發現在安全運維管理方面存在的問題；并定期（間隔最長不超過半年）對網絡與信息系統進行

20、風險評估，并對評估出來的問題和隱患進行及時整改。第七十七條各部門根據實際情況對所轄系統不定期進行安全自評估。第十三節獎懲第七十八條執行上海世茂計算機信息系統安全管理體系，計算機安全管理工作成績突出的部門與個人，由資訊科技部報領導小組后，對其進行通報表彰，并給予一定形式的獎勵。第七十九條違反上海世茂計算機信息系統安全管理體系，造成重大安全事故或計算機犯罪的，根據有關部門法律法規，追究其主管領導、相關部門及其他直接責任人的責任。第八十條違反上海世茂計算機信息系統安全管理體系的單位與個人，由資訊科技部報領導小組后，通報批評。第五章安全技術體系第一節概述第八十一條為切實防范網絡攻擊、保護上海世茂網絡和

21、信息安全，解決網絡中存在的各種安全問題，需要運用訪問控制、身份認證、冗余恢復、審計響應、內容安全等多種安全技術構建上海世茂安全技術體系。第二節訪問控制第八十二條訪問控制的目標是通過設定對計算機資源（包括信息、網絡、系統、數據庫、應用等）的訪問策略，實現授權用戶通過正確的方式訪問資源，阻止未授權用戶有意或無意獲得訪問權限。第八十三條設定訪問控制策略的原則是“除明確允許執行情況外必須禁止”。第八十四條安全域劃分是對系統實施分級安全保護的前題條件，安全管理工作組必須要對網絡劃分安全域，明確網絡邊界和保護等級，實現網絡之間的有效隔離和訪問控制。第八十五條在網絡、系統和應用層面制定訪問控制和權限管理策略

22、，并加強人員管理，保證安全有效的訪問控制。第三節身份認證第八十六條加強面向網絡和信息系統用戶的管理，包括用戶身份管理、帳號和口令管理、權限管理、認證和授權。第八十七條用戶帳戶的設定應符合“職責分離”的原則。第八十八條對于重要系統應采用雙因素或多因素認證機制。第八十九條定期審計身份鑒別，對發現的異常進行及時處理，對累積性事件進行必要的趨勢分析。第四節冗余恢復第九十條冗余恢復主要是針對網絡、操作系統、應用系統以及數據可能發生的異常情況，為保障信息系統連續性所做的準備和防范措施。第九十一條應根據系統的重要程度，制定數據與軟件的備份策略，明確備份周期和方法，并提供充足的備份設施，并定期進行備份數據恢復

23、演練。第九十二條系統內重要主機、支持重要應用的網絡設備應有冗余設置，應采用技術措施保證服務器出現故障經更換或修復后，能夠自動安裝操作系統、應用軟件，并恢復數據。第五節日志審計與響應第九十三條日志審計是對主機、網絡的運行狀況，尤其是資源的訪問情況進行記錄、檢查、監控以及完整性檢查等；響應主要指對網絡安全問題的實時檢測、告警和處理。第九十四條系統內重要主機上應部署日志審計產品并定期進行漏洞掃描。第九十五條重要的信息系統應部署入侵檢測設備，并配備相應的告警和處理機制。第六節內容安全第九十六條內容安全指防止傳輸和存儲的數據（信息）泄漏、甄別應用和數據的合法性。包括加密、防病毒、垃圾郵件過濾網關、內容過

24、濾等產品。第九十七條應部署覆蓋全網的多級防病毒系統，并定期進行病毒庫升級。第六章安全檢查第九十八條為提高各部門人員及管理人員安全意識，不斷促進安全防范及管理工作深入進行，信息安全委員會應制定對安全管理工作的檢查和考核制度并組織和執行安全檢查工作。第九十九條安全檢查的內容至少要包括安全組織、安全規劃建設、信息資產管理、人員安全、安全培訓、物理環境安全、安全運維、安全事件處理、設備配置安全、應急計劃、入網安全、管理審計與評估、軟件版權、訪問控制、身份認證、冗余恢復、日志審計與響應、內容安全等方面。第一百條應將安全工作逐步納入到工作人員的績效考核體系中。第一章檢查內容第一節組織結構第一條檢查安全組織

25、機構建設情況:1. 安全組織；2. 專（兼）職安全管理員；3. 人員變動情況。第二條檢查人員管理情況：1. 健全的網絡與信息安全管理制度;2. 網絡與信息安全學習、培訓I;3. 重要崗位安全管理。第二節機房檢查第三條檢查機房環境：1. 外部供電系統；2. 內部供電系統；3. 應急照明；4. 主機房環境溫度、濕度控制；5. 防火系統；6. 場地監控；7. 門禁保安；8. 緊急聯絡；9. 接地系統；10. 防盜設施；11. 靜電防護措施；12. 防電磁干擾措施；13. 防雷裝置。第四條檢查機房的日常管理：1. 工作交接手續；2. 各類數據和存儲介質管理；3. 過期報表和作廢文檔的銷毀；4. 硬件設

26、備的管理和維護；5. 各種設施有效性的定期檢查；6. 機房工程改變、維修操作、設備的調出的審批。第五條檢查生產管理制度：1. 機房操作員、系統管理員崗位職責；2. 機房出入管理制度；3. 機房場地、設施及設備管理制度；4. 進出機房人員登記簿；5. 系統運行日志；6. 設備維護登記簿。第三節網絡系統檢查第六條檢查網絡建設：1. 上海世茂集團網絡規劃、設計、改造過程中的安全考慮；2. 網絡建成后的安全評審；3. 設備備份和線路備份；4. 網絡設計、實施階段文檔；5. 文檔（包括：網絡設計方案、網絡拓撲結構圖、網絡配置參數、IP地址分配方案等）的保管。第七條檢查網絡安全規定：1. 網絡的管理和維護工作；2. 辦公網等內部網絡與互聯網之間的安全隔離措施；3. 專線連接中防火墻等安全措施；4. 撥號連接中防火墻、身份認證和回撥等安全措施；5. 網絡中身份認證、加密、訪問控制、數字簽名、事件審計等安全技術和措施；6. 互聯網上網管理辦法或規定；7. 對撥號上互聯網的計算機和調制解調器的登記記錄。第八條檢查網絡運維：1. 重要網絡設備口令的管理；2. 口令的定期更換；3. 網絡實時監控和事件報警響應機制；4. 專人定期或不定期監測網絡設備性能參數和網絡運行狀況；5. 對涉及網絡配置的增、刪、修改等操作的審批手續和配置更改記錄；6. 備機、備件及備用線路的定期檢測和維護。第四