使用瑞承app
立即打开
平台制度
网站安全管理规定
第一章 总则
第一条 为规范瑞承网站信息系统建设、运维、使用的安全管理,降低系统运行安全风险、数据泄漏等风险,特制定本制度。
第二章 术语和缩略语
第二条 本制度所称信息系统,是指支撑公司业务和公司运营,其信息安全和服务质量关系公司权益的信息系统,包括面向客户业务处理、业务运营管理、账务管理和涉及风险管理、运维管理等的管理类信息系统。
第三条 本制度所称数据,是指公司业务开展、运营管理所收集或产生的数据,包括但不限于公司人事数据、财务数据、业务经营数据、客户数据、运营管理数据等。
第四条 本制度所称计算机设备,是指公司采购的服务器、网络设备、网络安全设备、终端PC设备、移动终端设备、存储设备、存储介质等具有一定数据存储、处理功能的IT类设备。
第五条 本制度所称系统建设,是指工程类的系统建设项目和自行开发类的系统软件项目。信息系统建设过程主要分为需求分析、方案设计、工程(开发)实施、测试验收、系统交付(系统上线)五个阶段。
第六条 本制度所称系统运维,是指为保证系统稳定运行,满足公司业务开展、运营管理需求,进行的一系列对系统硬件、软件、文件、数据等操作行为。
第三章 数据安全
第七条 禁止在未获得授权审批的情况下查询、修改、删除、下载系统中的数据。任何对系统数据的访问行为均应是处理业务必需或岗位职责所需,且对数据的访问应使用公司指定的工具或系统平台。
第八条 在未经过审批的情况下,禁止将数据以任何形式传输给其他人员、部门乃至公司外部。
第九条 应严格按照公司数据安全策略、制度和流程收集、存储、处理和使用数据。
第四章 计算机设备安全管理
第十条 应按公司制度要求申领、使用和维护计算机设备,禁止冒领、滥用或擅自使用他人名下设备。
第十一条 针对有固定存放位置的计算机设备,禁止擅自挪动设备位置。若经过授权临时改变设备位置,应在使用后,将设备归还原处。
第十二条 应按设备操作手册使用和维护设备,禁止将设备挪作他用,如未按照操作规程进行操作或维护不当,造成计算机设备损坏的,按损坏部件的原价(扣除折旧)进行赔偿或者赔偿相应的部件。
第十三条 计算机设备在使用过程中,若有故障或损坏,使用者需及时报告设备维护管理人员进行处理,维修处理前不得开启或私自拆卸设备。
第十四条 设备发生故障后,应由技术部专业人员对设备进行检测及维修,若设备需外部送修,在送修前应将设备存储介质拆除,避免敏感信息泄漏。设备送修应进行送修登记。
第十五条 员工临时申领或登记在员工个人名下的计算机设备,在使用完后或员工转岗、离职时,应将设备归还至设备发放部门。
第十六条 计算机设备的报废处理必须按照技术部要求进行处置,任何部门或个人禁止擅自通过报废、变卖、第三方回收等方式处置对计算机设备。
第五章 系统建设安全管理
第十七条 信息系统建设应采取项目管理的方式,遵循标准的项目管理要求,规范信息系统建设过程。
第十八条 需求分析阶段,信息系统安全部或业务部门根据业务发展战略和业务重要性提出系统安全需求,系统安全需求包括但不限于对业务数据的保护要求和业务连续性需求。
第十九条 方案设计阶段,应进行系统安全架构设计和安全功能设计。安全架构设计和安全功能设计应能满足信息系统业务需求、信息系统安全需求。
第二十条 工程(开发)实施阶段,应对实施过程的控制方法、人员行为准则、代码编写安全规范进行规定,落实所设计的业务功能、安全功能;实施过程中还应对实施时间、实施进度、实施质量、源代码的保护等方面进行把控。
第二十一条 测试验收阶段,应建立独立的测试环境,在进行系统功能测试和性能测试过程中,还要进行全面的安全性测试,确保系统安全实现满足系统安全需求。必要时,可委托公正的第三方测试单位对系统进行安全性测试,并出具安全性测试报告。
第二十二条 系统交付(系统上线)阶段,应明确系统上线各环节中的信息安全,采取针对性安全措施,确保系统安全性和数据安全性。
第二十三条 系统级别定级为等级保护三级的系统,应每年对信息系统进行一次等级测评,发现不符合相应等级保护标准要求的应及时进行整改。
第六章 系统运维安全管理
第二十四条 应根据业务要求、IT运行管理要求对系统进行运维操作,系统运维操作应仅由经过授权的系统运维岗位执行。
第二十五条 任何对系统的运维操作行为均应按照系统运维操作手册之行,禁止执行非授权指令或操作。系统运维操作应在指定时间执行。
第二十六条 系统运维人员的账号和权限应按系统账号和权限管理制度进行申请,禁止擅自创建、分配具有系统运维权限的账号给非授权人员。
第二十七条 应通过堡垒机对生产区计算机设备、系统软件、数据等的访问和操作,禁止绕过堡垒机或通过服务器跳转访问和操作运维对象。
第二十八条 应将运维操作行为记录日志,应设置专用的日志服务器或系统存放日志,禁止运维人员修改、删除日志。日志保存期限应满足IT运维、安全审计、风险管理、内控合规、监管合规等要求。
第七章 附则
第二十九条 本规范由本公司负责制定、解释和修订。
第三十条 本规范自发布之日起生效。
第一条 为规范瑞承网站信息系统建设、运维、使用的安全管理,降低系统运行安全风险、数据泄漏等风险,特制定本制度。
第二章 术语和缩略语
第二条 本制度所称信息系统,是指支撑公司业务和公司运营,其信息安全和服务质量关系公司权益的信息系统,包括面向客户业务处理、业务运营管理、账务管理和涉及风险管理、运维管理等的管理类信息系统。
第三条 本制度所称数据,是指公司业务开展、运营管理所收集或产生的数据,包括但不限于公司人事数据、财务数据、业务经营数据、客户数据、运营管理数据等。
第四条 本制度所称计算机设备,是指公司采购的服务器、网络设备、网络安全设备、终端PC设备、移动终端设备、存储设备、存储介质等具有一定数据存储、处理功能的IT类设备。
第五条 本制度所称系统建设,是指工程类的系统建设项目和自行开发类的系统软件项目。信息系统建设过程主要分为需求分析、方案设计、工程(开发)实施、测试验收、系统交付(系统上线)五个阶段。
第六条 本制度所称系统运维,是指为保证系统稳定运行,满足公司业务开展、运营管理需求,进行的一系列对系统硬件、软件、文件、数据等操作行为。
第三章 数据安全
第七条 禁止在未获得授权审批的情况下查询、修改、删除、下载系统中的数据。任何对系统数据的访问行为均应是处理业务必需或岗位职责所需,且对数据的访问应使用公司指定的工具或系统平台。
第八条 在未经过审批的情况下,禁止将数据以任何形式传输给其他人员、部门乃至公司外部。
第九条 应严格按照公司数据安全策略、制度和流程收集、存储、处理和使用数据。
第四章 计算机设备安全管理
第十条 应按公司制度要求申领、使用和维护计算机设备,禁止冒领、滥用或擅自使用他人名下设备。
第十一条 针对有固定存放位置的计算机设备,禁止擅自挪动设备位置。若经过授权临时改变设备位置,应在使用后,将设备归还原处。
第十二条 应按设备操作手册使用和维护设备,禁止将设备挪作他用,如未按照操作规程进行操作或维护不当,造成计算机设备损坏的,按损坏部件的原价(扣除折旧)进行赔偿或者赔偿相应的部件。
第十三条 计算机设备在使用过程中,若有故障或损坏,使用者需及时报告设备维护管理人员进行处理,维修处理前不得开启或私自拆卸设备。
第十四条 设备发生故障后,应由技术部专业人员对设备进行检测及维修,若设备需外部送修,在送修前应将设备存储介质拆除,避免敏感信息泄漏。设备送修应进行送修登记。
第十五条 员工临时申领或登记在员工个人名下的计算机设备,在使用完后或员工转岗、离职时,应将设备归还至设备发放部门。
第十六条 计算机设备的报废处理必须按照技术部要求进行处置,任何部门或个人禁止擅自通过报废、变卖、第三方回收等方式处置对计算机设备。
第五章 系统建设安全管理
第十七条 信息系统建设应采取项目管理的方式,遵循标准的项目管理要求,规范信息系统建设过程。
第十八条 需求分析阶段,信息系统安全部或业务部门根据业务发展战略和业务重要性提出系统安全需求,系统安全需求包括但不限于对业务数据的保护要求和业务连续性需求。
第十九条 方案设计阶段,应进行系统安全架构设计和安全功能设计。安全架构设计和安全功能设计应能满足信息系统业务需求、信息系统安全需求。
第二十条 工程(开发)实施阶段,应对实施过程的控制方法、人员行为准则、代码编写安全规范进行规定,落实所设计的业务功能、安全功能;实施过程中还应对实施时间、实施进度、实施质量、源代码的保护等方面进行把控。
第二十一条 测试验收阶段,应建立独立的测试环境,在进行系统功能测试和性能测试过程中,还要进行全面的安全性测试,确保系统安全实现满足系统安全需求。必要时,可委托公正的第三方测试单位对系统进行安全性测试,并出具安全性测试报告。
第二十二条 系统交付(系统上线)阶段,应明确系统上线各环节中的信息安全,采取针对性安全措施,确保系统安全性和数据安全性。
第二十三条 系统级别定级为等级保护三级的系统,应每年对信息系统进行一次等级测评,发现不符合相应等级保护标准要求的应及时进行整改。
第六章 系统运维安全管理
第二十四条 应根据业务要求、IT运行管理要求对系统进行运维操作,系统运维操作应仅由经过授权的系统运维岗位执行。
第二十五条 任何对系统的运维操作行为均应按照系统运维操作手册之行,禁止执行非授权指令或操作。系统运维操作应在指定时间执行。
第二十六条 系统运维人员的账号和权限应按系统账号和权限管理制度进行申请,禁止擅自创建、分配具有系统运维权限的账号给非授权人员。
第二十七条 应通过堡垒机对生产区计算机设备、系统软件、数据等的访问和操作,禁止绕过堡垒机或通过服务器跳转访问和操作运维对象。
第二十八条 应将运维操作行为记录日志,应设置专用的日志服务器或系统存放日志,禁止运维人员修改、删除日志。日志保存期限应满足IT运维、安全审计、风险管理、内控合规、监管合规等要求。
第七章 附则
第二十九条 本规范由本公司负责制定、解释和修订。
第三十条 本规范自发布之日起生效。
下载瑞承
取消
瑞承