网络安全管理办法

2023-11-06

第一章 总则

第一条 为加强和规范XX公司(以下简称XX公司XX公司汽金”)网络安全建设与管理,推进网络安全体系建设,有效控制和防范信息安全风险,保障信息系统安全稳定运行和信息安全工作合规性,根据国家有关法律法规和行业标准结合XX公司XX公司汽金实际情况,制定本制度。

第二条 网络安全是指通过采取必要措施,防范对我司网络、系统、基础架构等攻击、入侵、干扰、破坏和非法使用以及意外事故、使网络、系统等处于稳定可靠运行的状态,同时通过对人员的管理,共同保障我司数据的完整性、保密性、可用性。

公司网络安全管理按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的基本原则,逐级落实部门和个人网络安全责任。

第三条 本制度适用于公司所有系统、网络的管理以及所有员工。

第二章 网络安全组织与职责

第四条 XX公司XX公司汽金设立网络安全领导小组,组长由公司董事长、副董事长担任组长,作为公司网络安全第一责任人,负责对网络工作提供政策支持和资源保障,健全和落实可追溯的安全责任体系。

公司总经理、执行副总经理人担任网络安全领导小组副组长,作为公司网络安全直接责任人,负责网络安全工作的具体部署、督促、总结、考核和奖惩。

运营部总监及副总监、销售市场部总监及副总监、信贷风险部总监及副总监、财务部总监及副总监担任网络安全领导小组成员。其小组职责为:

(一)贯彻落实国家、监管机构和股东方相关网络安全的政策、法律、法规和工作要求。

(二)统筹协调信息安全的相关重大课题,审议信息安全战略规划、年度工作计划以及业务连续性相关等重要议题。

(三)组织审定网络安全相关规则制度

(四)完成国家、监管机构和股东方的其他要求。

第五条 网络安全领导小组下设的网络安全牵头部门,设在运营部,运营部总监、运营部副总监作为网络安全实施责任人,负责牵头、统筹、组织公司网络安全工作的贯彻落实。

第六条 落实网络安全工作责任制,各部门(销售市场部、信贷风险部、财务部、运营部)的正副总监、直属科(办公室、人力资源科、风险及持续控制科、内部审计科、公关宣传科、客户满意度管理科、法务及合规科)的科经理(含副职)是本部门/科室的网络安全第一责任人,负责组织本部门/科室的网络安全工作的贯彻落实,包括:

(一)遵守各项网络安全制度、行为规范

(二)参与、配合各项网络安全保障、处置工作,做好本部门/科室所辖信息资产的网络安全管理工作

(三)主动、及时报告网络安全事件,并配合开展事件处置工作

(四)履行公司其他制度规定的各部门/科室网络安全职责。

(五)贯彻落实员工网络安全规范

第七条 设立网络安全工作联络组,网络安全牵头部门的联络人设在信息安全部门,由信息安全部门组织建立各部门/科室网络安全窗口人,各窗口人协助部门责任人及时有效处理本部门网络安全工作。具体职责是:

(一)协助部门负责人在部门内协调开展网络安全相关制度的差异化分析,向信息安全部门反馈差异分析结果,并督促部门内部完成相关整改措施。

(二)协助完成本部门内的网络安全相关意识培训,协助提升部门负责人和部门员工的安全意识。

(三)协助部门负责人根据网络安全要求完成账号权限和系统角色功能核查、信息分类分级等各项工作。

(四)协助部门负责人对网络安全制度的执行情况,以及配合信息安全部门信息科技部门的监督检查。

(五)协助部门负责人开展业务连续性日常管理工作。

(六)其他兼职网络安全相关职能。

第八条 网络安全领导小组会议原则上由运营部负责人或其指定人员定期向领导小组汇报信息安全战略、规划相关议题。汇报方式可以是OA、邮件或会议方式。如是会议方式可与其他会议套开。

第九条 运营部信息安全部门定期组织对各部门/科室网络安全工作责任制进行检查和考核,检查批次一年不低于一次

第三章 网络安全计划

第十条 以保护公司信息资产的机密性、完整性和可用性,保障业务持续发展为目标,信息安全部门应制定年度工作计划,落实各项网络安全管理工作。信息安全部门负责持续维护本部门安全管理制度、信息安全要求、信息安全工作计划,每年对其合理性和适用性进行论证和审定。

第四章 网络安全工作要求

第十一条 信息安全部门负责根据国家及行业主管部门,参考股东方的要求建立与维护信息安全日常管理制度,包括信息安全意识教育、信息系统安全评估、业务连续性管理、网络安全等级保护等制度。公司各部门应针对本部门员工和外部人员(劳务派遣、外部供应商人员、实习生等),加强信息安全意识宣贯,提升员工信息安全意识和防范信息安全风险的能力。

第十二条 信息系统开发与维护中的信息安全管理,公司各部门应加强信息系统全生命周期的安全管控,明确信息系统在规划、建设、运维等全生命周期的安全要求,以保障数据在信息系统内的保密性、完整性、可用性。

(一)在系统前期规划过程中,需求部门应确定信息系统的安全等级,考虑信息系统相关应用安全控制要求,确定信息系统的关键安全需求,具体系统定级、需求指南等工作要求请按照《XX公司应用系统安全需求功能设计手册》执行。

(二)系统建设过程中,各部门应强化安全开发与测试管理,包括对开发人员规范使用代码,减少出现因代码编写不规范导致的漏洞;开发和测试环境应隔离,且测试环境和开发环境应保持一致,最大程度实现安全需求;加强代码存储和访问控制以及开发测试过程中的安全管控等。

(三)信息系统上线过程中,各部门在新建系统和有重大变更的信息系统在上线前应完成风险评估,并形成风险评估报告。信息系统上线前应提供明确的权限矩阵,要求权限矩阵包含清晰的角色与功能的对应关系,需清楚说明系统有多少个角色,每个角色包含哪些功能。同时需确保信息系统已满足相应部署环境的安全要求及相应安全技术实施到位,比如部署的服务器、中间件等无安全漏洞,已纳入公司监控范围,及信息系统已完成必要的功能测试、安全测试等,应避免信息系统“带病”上线。原则上禁止直接在生产环境开展测试工作,相关测试工作应在测试环境中进行,且测试环境应与生产环境保持一致,包括但不限于应用版本的一致性、系统配置参数一致性等。

(四)信息系统运行过程中,应制定并按照相应安全运维流程执行,明确系统运维职责,确保运维工作持续有效。如出现安全漏洞、生产故障等,应及时开展恢复工作,保障系统安全。

(五)原则上严禁直接将生产数据导入测试环境进行测试。如确需,须说明必要性并获得科经理以上审批和信息安全部门的审核后才能执行。

(六)严禁在测试环境中使用真实的客户数据、密码、生产密钥等敏感信息。如确需,须说明必要性并获得科经理以上审批和信息安全部门的审核后才能执行。

第十三条 信息安全资产管理,公司各部门应开展信息资产分类分级工作,明确信息资产的责任人,对不同信息资产采取相应的安全管控措施。具体信息资产分类分级工作要求见第八章。涉及客户个人信息的采集、处理、存储、传输、分发、备份、恢复、清理和销毁等要求应参照《个人信息保护管理细则》执行。

第十四条 员工信息安全管理

(一)员工录用方面,人力资源科应对关键岗位在入职前开展背景调查及资质审查,关键岗位包括但不限于网络安全管理、征信信息及信息科技相关的岗位。

(二)员工工作过程中,各部门应对内部员工和供应商人员开展安全意识教育并告知相关信息安全责任,如人员违反公司相关规定,须按照公司相关制度进行处罚。

(三)员工离职或调岗时,各部门应主动、及时收回相关设备并申请删除相关账号权限,才能执行离职和调岗流程。

(四)人力资源科应与正式员工及实习生签订保密协议,员工在工作过程中应严格遵守公司相关保密要求,具体要求应参照办公室《保密工作管理细则》。

第十五条 物理与环境安全管理

(一)办公环境安全管理,员工进出办公区域应随手关门,并防止非我司员工尾随进入;离开工位时应及时对办公电脑锁屏,未经审批不得带外部人员进入我司敏感区域,比如机房、IT监控室等,其他办公环境的日常管理与维护工作,应参考办公室制定的办公环境管理相关流程手册执行。

(二)机房安全管理,信息科技部门应加强机房的日常管理与维护工作,做好进出机房审批登记工作,制定机房管理相关流程手册。

十六 安全设备和介质管理

(一)新设备或服务器连入我司网络前,应确保其没有安全漏洞,防止“带病运行”。

(二)设备、服务器或移动介质在报废或重用前,应由信息科技部门进行检查,并确保设备或服务器内的数据或授权软件已被删除或被安全重写。

(三)将移动介质接入我司终端电脑前,建议对移动介质进行病毒扫描;严禁使用移动介质存储股东方、公司和客户的信息。

(四)在传输、处理、存储涉密信息时,应采取加密技术防范出现泄露和被篡改的风险,加密技术需确保使用符合国家要求的加密技术和加密设备、管理和使用密码设备的人员需经过专业的培训和严格审查、密码强度需满足信息机密性的要求、严格管理密码和证书的生产、使用等生命周期保障密码和相关证书的有效性。

(五)对于接入监管机构(银保监会及其派出机构、中国人民银行总行及其派出机构)网络的专用终端或设备,在接入需明确专用终端或设备的使用责任人,使用责任人要做到专机专用,禁止直接或间接接入互联网,不得使用未经信息科技部门备案的移动介质接入专用终端或设备。信息科技部门要确保所有的专用终端或设备安装病毒系统,及时风险病毒库,定期进行全盘查杀;建立专用终端或设备的清单台账,加强对专用终端或设备的监控要求。

十七 系统安全管理

(一)应部署系统层面的访问控制、安全审计以及安全监控技术措施,保障系统安全。

(二)加强信息系统的安全漏洞管理,定期开展安全测试和渗透测试,及时正确的修补安全漏洞,避免因漏洞产生的安全风险。具体于要求可按照《XX公司信息系统安全测试和生产变更评审管理手册》执行。

(三)建立完善有效的安全监控和预警体系,监控重要网络和核心业务系统,及时发现安全隐患。

(四)加强日志管理,确保重要系统的主机设备及网络设备所产生的系统日志、应用日志、异常事件日志已记录,并保证日志内容应至少保存一年,保持默认开启日志功能。系统日志应记录不成功的登录、重要系统文件的访问、对用户账户的修改、客户敏感信息访问或下载等有关重要事项。对于手动或自动监控系统出现的任何异常事件,应定期汇报监控情况。

(五)建立信息系统数据备份与恢复机制,定期检查信息系统的备份计划的执行状况,并进行备份数据的有效性验证,确保信息系统连续可用。

(六)规范日常维护操作规程和变更控制规程,加强日常运行维护操作,执行变更操作流程应按照《IT生产系统变更管理流程手册》执行。

(七)信息系统外包商安全管理,加强对外包商第三方访问和外包服务的安全管控,定期开展对外包商人员的安全意识培训,与外包商签订安全责任协议和保密协议,明确其安全责任,并要求外包商需及时、主动上报信息系统的安全隐患情况,并及时修复。

第十八条 通信和网络安全管理

(一)应严格区分不同业务的网络区域,并设置访问控制策略,重要网络区域(比如互联网可访问区域)与其他网络区域采用可靠的技术隔离手段。

(二)应采用适当的安全手段对网络边界进行管理和控制,以保护不同网络内的信息。

(三)禁止私搭私建和未经授权使用WIFI网络,应对提供访客访问的WIFI网络与内部网络实施严格隔离。

(四)关键网络节点处采取入侵防范措施,检测、防止、限制从外部和内部发起的网络攻击行为。

(五)在公司内部以及与外部机构之间使用适当的安全传输协议以保护各种类通信设施信息交换过程中数据的保密性及完整性。

十九 信息安全管理的业务连续性

(一)各部门应配合信息安全部门开展业务影响分析和风险评估工作。

(二)重要业务和重要信息系统须制定专项应急预案,定期开展应急预案的演练工作,并根据演练情况修订应急预案,原则上每年至少开展一次应急演练。如演练改进涉及技术架构调整、较大资源投入等情况,则向业务;连续性管理委员会汇报并获得确认。

(三)发生危害网络安全的事件时,应立即启动应急预案,采取相应的补充措施,并向信息安全部门报告。

第二十条 信息安全常规审核要求

(一)原则上禁止开展以下活动:提取非脱敏数据、开通USB端口、开通访问或申请上传文件至网关代理策略禁用的网站(比如网盘等)、开通非正式员工(实习生、外包人员)的邮箱外发权限、安装非IT白名单内软件、办公终端存储个人敏感信息、提取生产数据直接导入测试环境等。

(二)如因开展业务确需开展上述活动,需求部门应在IT服务台发起申请,申请内容需写明具体需求的业务必要性和开展该项活动的风险管控措施,同时知悉并承担相关风险,经部门科经理(含)以上审批后并经过信息安全部门的审核,由信息科技部门根据审批结果进行处理,并对权限及策略定期复核,向需求部门确认其必要性,及时清除非必要或有效期外的权限并回收相应资源。

第五章 用户身份访问管理要求

第二十一条 本章要求适用于XX公司XX公司汽金所有信息系统、基础架构等用户账号申请、访问权限等管理。

第二十二条 信息系统等账号访问权限应遵守职责分离的原则,应避免出现不相容业务的用户申请相关的权限,具体职责分离规则由各部门按照业务实际情况制定。

二十三 公司新建或存量的信息系统或应用系统在项目立项前应明确系统/应用所有者。如信息系统或应用系统主要由某个部/科/室使用,则由该部门总监及副总监,或直属二总科的科经理担任系统/应用所有者;如系统/应用由多个部门共同使用,系统/应用内使用最多角色的部门总监及副总监,或直属二总的科经理为该系统/应用所有者

第二十四条 系统/应用所有者负责定义系统身份角色的特殊权限,审批系统/应用内普通用户和管理员的特殊权限请求,并制定信息系统或应用系统的角色-权限对应策略。

第二十五条 公司所有新建与存量需要登录的信息系统或应用系统在上线前应指定角色所有者,原则上系统/应用所有者担任角色所有者,也可由系统/应用所有者委派适当的人担任角色所有者。为提高管理效率,原则上每个部门的角色所有者不超过2人。

第二十六条 角色所有者负责定义角色对应的系统功能,确保角色间的职责分离,并复核身份权限和审批用户身份权限请求;评估角色是否具有访问客户敏感信息的权限,并向信息科技部门IT运维室提出账号实名制管理要求,由信息科技部门IT运维室统一管理实名制账号。

第二十七条 用户管理员由系统/应用所有者指定人员担任,负责分配系统/应用的账号,确保人员与账号权限符合权限最小原则,维护用户身份目录,包括增删减等。为提高管理效率,原则上每个部门的用户管理员不超过2人。

第二十八条 应用系统管理员由信息科技部门应用运维团队担任,负责维护系统/应用的正常运行,具体职责以《IT应用系统维护管理流程手册》为准。

第二十九条 账号及权限申请、删除、变更等流程参照信息科技部门的《用户身份访问管理流程手册》要求执行。

第三十条 账号与权限管理基本原则主要包括以下四点:

(一)用户对系统的访问必须选择与访问信息的敏感等级相匹配的认证机制,并且确保其在信息系统内的活动只限于相关业务正常开展所要求的最低限度,遵循 职责分离”、“必需知道”和“最小授权”原则。

(二)账号和权限申请应在公司身份认证平台(IAM)或JIRA中正式记录,并经过申请人的直属经理、科经理和应用/系统的所有者的审批。

(三)用户账号名应落实实名制要求,且账号不能重复使用,每个账号都需有一个责任人,不能共用,禁止使用公共账号

(四)账号身份目录需明确账号有效性及其所有者信息,且该账号目录需保持与系统的最新状态一致。

第三十一条 原则上不允许存在特权账号及额外权限,如确因业务需要,需开通特权账号及额外权限,应说明充分的开通理由,并经申请人直属经理、角色所有者审批,且设置账号和权限的有效期,每次申请的有效期最长不超过3个月。

第三十二条 账号有效期,请按照以下四点要求执行:

(一)非正式员工申请内部系统账号,需标明账号使用有效期,并经我司联系人的直属经理进行审批,账号有效期一般不超过6个月。

(二)非正式员工的用户账号,应由该人员对应的管理部门每隔90个自然日进行审阅,并确认是否需要继续保留该用户账号,如已离职应提交IT服务台进行清理账号,如仍在职请选择续期保留账号。

(三)应在信息系统内设置对于超过180天未登录的账号进行锁定处理,所有停用账号超过180天将会被自动清理。如需重新启用账号,请联系IT服务台进行恢复申请。

(四)正式员工账号默认其有效期在任职期间有效。

(五)正式员工、非正式员工、第三方人员等在离职或调岗前应及时向信息科技部门申请删除所有系统账号。上述人员所在部门有义务监督离职或调岗人员删除账号。

第三十三条 密码策略是由一个操作系统关于密码或用户账户的属性强制执行的一个策略。相关要求如下:

(一)明文密码不能出现在任何源代码、程序或者设定中。

(二)密码不能分享、不能写下,如有需要,可将密码写入文档并对文档进行加密保存,或将密码保存到安全的特权账号管理系统中。

(三)及时修改默认密码,并使用严格的密码策略,包括但不限于基础架构、个人终端、生产及测试环境的应用系统及操作系统。对于重要信息系统(例如等级保护三级)需使用强认证方式(例如多因素认证)。

第三十四条 公司新增的信息系统应接入身份认证平台(IAM)进行统一管理,存量的系统应制定逐步接入IAM平台的计划,系统/应用所有者评估确认无法接入IAM的信息系统,系统/应用所有者应参照本章节制定安全措施。

第八章 信息资产分类分级要求

第四十四条 本章节主要用于明确信息资产的保障责任和指引各部门开展信息资产分类分级保护工作。

第四十五条 本管理办法指引所称的信息资产是指任何对组织有价值的东西,可以多种形式存在。本指引内信息资产主要分为硬件资产、软件资产、数据资产以及文档资产等四大类。

第四十六条 各部门(部/科/室)的职责主要是:

1)各部门负责人是本部门/科/室所辖信息资产的第一负责人,对信息资产的准确性、完整性、安全性负责。

2)负责本部门的信息资产的管理工作,包括指定对接人配合信息安全部门开展信息资产分类分级、资产使用和保护、部门负责人确认信息资产分类分级结果等工作,同时负责妥善保管本部门的信息资产工作过程材料。

第四十七条 信息安全部门的职责主要是:

1)负责拟定信息资产分类分级标准和保护管控措施。

2)牵头组织各部门定期开展所辖信息资产的分类分级工作,并提供分类分级建议。

第四十八条 硬件资产是指公司运行或系统运行所依赖的可见的电子设备、设施和工具。比如:

)计算机及配件、辅助设备类:各类服务器、台式机、笔记本电脑、移动存储、打印机等。

)网络及安全设备:路由器、交换机、路由器、交换机等。

)其他设备:投影仪、UPS等

第四十九条 软件资产是指依赖电子计算设备运行的软件信息系统资产,比如业务系统或平台、操作系统等。

第五十条 数据资产是指任何以电子或其他方式对信息的记录; 数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等,具体标准见:《XX公司数据分类分级管理细则》。

第五十一条 文档资产是指包含业务相关纸质版的各种文件,例如纸质版财务报告、审计报告、发展计划等。

第五十二条 参照通用信息安全风险评估相关准则,从保密性、完整性、可用性等三个特性对信息资产评估赋值,并确定资产价值。根据资产价值的不同,对资产进行等级划分,同时结合公司现有制度进行分级和保护。

第五十三条 信息安全部门按需组织各部门开展信息资产分类分级工作,主要工作流程如下:

1)信息安全部门向各部门发起信息分类分级工作通知,并制定分类分级表。

2)各部门负责人应指定对接人根据分类分级表要求,新建、更新、完善本部门的信息资产表,并按时反馈给信息安全部门

3)信息安全部门收集各部门填写的分类分级表,并进行复核,如有信息安全建议将反馈给相关部门。

4)信息安全部门通过邮件方式或其他方式向各部门负责人确认信息资产分类分级结果,部门负责人应按时回复并承诺按照本指引的要求保护信息资产。

5)信息安全部门将确认后的信息分类分级表汇总并存档。

第五十四条 各部门应根据信息资产的等级情况,对信息资产进行等级标记,并根据不同等级开展保护措施。

第九章 供应链安全管理要求

第五十五条 本章节的供应链安全主要是针对软件供应链风险提出安全管理要求,供应链中涉及的供应商准入、管理、采购等管理要求请参照《采购管理制度》《GS-L3-ITPG-004信息科技外包管理流程手册》相关要求执行。

第五十六条 软件供应链风险管理从需求阶段、设计阶段、编码阶段、发布阶段、运营阶段、停用下线阶段等六个过程提出管理要求。

第五十七条 需求阶段的管理要求:

(一)明确软件产品的安全研发规范,对供应商人员或我司开发人员开展代码安全规范培训。

(二)明确软件组件的选型要求,关于软件产品的安全标准和相关要求,可参照现有制度《应用系统安全需求功能设计手册》执行。

(三)应谨慎评估软件供应商能力,包括但不限于财务能力、技术能力、质量承诺、软件交付、应急响应能力、服务能力、内部软件安全管理能力等,以确保供应商的稳定性。

第五十八条 设计阶段的管理要求:

(一)应构建详细的软件组件使用清单,包括但不限于开源组件、第三方组件、关键程序等。

(二)规范软件版本管理。

第六十七条 编码阶段的管理要求:

(一)严格按照安全代码规范进行安全编码,禁止使用已知存在漏洞的软件组件。

(二)开展代码安全审查,对于存在问题的代码应及时修正。有条件的情况下建议采用软件成分分析技术(SCA)对开源组件及依赖组件进行评估。

(三)其他要求按照现有制度《IT 开发编码管理流程手册》执行。

第五十九条 发布阶段的管理要求,按照现有制度《生产系统变更管理流程手册》《信息系统安全测试和生产变更评审管理手册》执行。

第六十条 运营阶段的管理要求:

(一)联动软件供应商,建立软件组件应急处置机制,

(二)关注主流安全平台发布的漏洞预警信息,定期评估并维护软件组件使用清单,有效帮助漏洞的排查工作。

(三)监控维护等要求,按照现有制度《应用系统运维管理流程手册》执行。

第六十一条 停用下线阶段的管理要求:

(一)应在系统下线前应及时删除开源组件等软件组件,以免系统资源被复用时直接启用组件。

(二)其他要求,按照现有制度《IT应用系统运维管理流程手册》相关要求执行。

第十章 合作方数据安全管理要求

第六十二条 本章节的合作方指通过业务合作、提供产品或服务或提供技术支持和数据服务等,并可能接触到我司数据或与我司有数据线上/线下数据交互的外部机构,可以是合作伙伴、外包商、供应商等,但不包括监管机构、股东方等机构。

第六十 业务需求部门是合作范围内数据安全管理的主要责任部门,负责监督合作方对合作范围内数据的安全管理,梳理并形成合作方清单并定期维护,合作方清单应该包括合作业务、合作业务窗口人、业务涉及的数据范围、数据传输方式(系统对接、邮件、纸质等)、合作方存储数据的系统或其他方式、合作方联系人等信息。

第六十 应通过合同等形式,明确双方的数据安全保护责任和义务,可根据实际合作业务明确具体条款,包含但不限于下述内容:明确接触或处理数据的系统平台范围、合作方接触数据的人员和访问权限、合作方使用数据范围和用途(应符合合作业务的最小原则)、合作方在管理和技术层面对数据安全责任以及保障措施、合作结束后数据删除要求、合作方违约责任和处罚等。

第六十五条 涉及到个人信息和重要数据时,建议定期对合作方使用数据和保护数据工作进行现场或非现场的安全检查或评估,确保合作方对数据安全保障能力,保存检查或评估记录,及时发现存在的安全风险,并督促整改。

第十一章 附则

第六十六条 本办法由运营部信息安全部门负责起草、修订和解释。

第六十七条 本办法附件可独立于主体文件,在不与主体文件相矛盾的情况下可根据实际需要调整,调整结果以运营部总监及副总监审批意见为准。附件包括:

(一)员工网络安全行为规范

(二)网络安全责任制考核细则

第六十八条 本办法自发布之日起实施。原《信息安全管理办法V1.0版本,自本办法发布之日起作废。



阅读0
分享