安徽瑞林精科股份有限公司信息安全方針策略

信息安全方針策略

第一章 總則

第一條 為加強和規范公司及各部門信息系統安全工作，提高公司信息系統整體安全防護水平，實現信息安全的可控、能控、在控，依據國家有關法律、法規的要求，特制定本方針。

第二條為公司信息系統安全管理提供一個總體的策略性架構文件，該文件將指導公司信息系統的安全管理體系的建立。安全管理體系的建立是為公司信息系統的安全管理工作提供參照，以實現公司統一的安全策略管理，提高整體的網絡與信息安全水平，確保安全控制措施落實到位，保障網絡通信暢通和信息系統的正常運營。

第三條 本文件涵蓋安全管理機構、人員安全管理、系統建設安全管理、系統運維安全管理、安全技術、業務運作安全管理等方面內容，適用于公司各部門信息系統資產和信息技術人員的安全管理和指導，適用于指導公司信息系統安全策略的制定、安全方案的規劃和安全建設的實施，適用于公司安全管理體系中安全管理措施的選擇。

第四條 引用標準及參考文件

本文檔的編制參照了以下國家的標準和文件：

（一）《中華人民共和國計算機信息系統安全保護條例》

（二）《關于信息安全等級保護建設的實施指導意見》（信息運安〔2009〕27 號）

（三）《信息安全技術 信息系統安全等級保護基本要求》（GB/T 22239-2008）

（四）《信息安全技術 信息系統安全管理要求》（GB/T 20269—2006）

（五）《信息系統等級保護 安全建設技術方案設計要求》（報批稿）

（六）《關于開展信息安全等級保護安全建設整改工作的指導意見》（公信安[2009]1429號）

（七）《征信機構信息安全規范》（JR/T 0117-2014）（以下簡稱：“征信規范”）

第二章 方針、目標和原則

第五條 公司信息系統安全堅持“安全第一、預防為主，管理和技術并重，綜合防范”的總體方針，實現信息系統安全可控、能控、在控。依照“分區、分級、分域”總體安全防護策略，執行信息系統安全等級保護制度。管理信息網絡分為統內網和外網，實現“雙機雙網”，內網定位為承載涉密數據，外網定位為對外業務網絡和訪問互聯網用戶終端網絡。內、外網之間實施強邏輯隔離的措施。

第六條 信息系統安全總體目標是確保信息系統持續、穩定、可靠運行和確保信息內容的機密性、完整性、可用性，防止因信息系統本身故障導致信息系統不能正常使用和系統崩潰，抵御黑客、病毒、惡意代碼等對信息系統發起的各類攻擊和破壞，防止信息內容及數據丟失和失密，防止有害信息在網上傳播，防止公司對外服務中斷和由此造成的系統運行事故。

第七條 信息安全工作的總體原則

（1）基于安全需求原則

公司精益發展部需要根據信息系統擔負的使命，積累的信息資產的重要性，可能受到的威脅及面臨的風險分析安全需求，遵從信息系統等級保護的規范要求，恰當地平衡安全投入與效果；

（2）主要領導負責原則

網絡與信息安全領導小組確立公司信息安全保障的宗旨和政策，負責提高員工的安全意識，組織有效安全保障隊伍，調動并優化配置必要的資源，協調安全管理工作與各部門工作的關系，并確保其落實、有效；

（3）全員參與原則

信息系統所有相關人員需要普遍參與信息系統的安全管理，并與相關方面協同、協調，共同保障信息系統安全；

（4）系統方法原則

按照系統工程的要求，識別和理解信息安全保障相互關聯的層面和過程，采用管理和技術結合的方法，提高實現安全保障的目標的有效性和效率；

（5）持續改進原則

隨著安全需求和系統脆弱性的時空分布變化，威脅程度的提高，系統環境的變化以及對系統安全認識的深化等，及時地將現有的安全策略、風險接受程度和保護措施進行復查、修改、調整以至提升安全管理等級，維護和持續改進信息安全管理體系的有效性；

（6）依法管理原則

保證信息系統安全管理主體合法、管理行為合法、管理內容合法、管理程序合法。對安全事件的處理，需要由授權者適時發布準確一致的有關信息，避免帶來不良的社會影響；

（7）分權和授權原則

對特定職能或責任領域的管理功能實施分離、獨立審計等實行分權。任何實體（如用戶、管理員、進程、應用或系統）僅享有該實體需要完成其任務所必須的權限；

（8）選用成熟技術原則

成熟的技術具有較好的可靠性和穩定性，采用新技術時要重視其成熟的程度，并首先試點然后逐步推廣；

（9）分級保護原則

按等級劃分標準確定信息系統的安全保護等級，實行分級保護；

（10）管理與技術并重原則

采用管理與技術相結合，管理科學性和技術前瞻性結合的方法，保障信息系統的安全性達到所要求的目標；

（11）自主保護和國家監管結合原則

公司在政府相關部門對信息系統的安全進行指導、監督和檢查下，形成自管、自查、自評和國家監管相結合的管理模式，提高信息系統的安全保護能力和水平，保障國家信息安全。

第八條 在規劃和建設信息系統時，信息系統安全防護措施應按照“三同步”原則，與信息系統建設同步規劃、同步建設、同步投入運行。

第三章 安全管理

一、內部管理制度

第九條 根據本文件中征信系統建設管理及運維管理的條例，落實對機房管理、資產安全、設備管理、網絡安全和系統安全等方面的信息安全管理。

第十條 對數據的存儲、訪問、使用、展示、備份與恢復、傳輸及樣本數據處理等需要符合數據管理制度。

第十一條 需要根據重大事項報告和處置管理制度，有效避免和及時報告事故造成的危害。對重大信息安全事故及時向中國人民銀行及其派出機構報告。

第十二條 根據信息安全檢查制度，定期或根據需要（如可能存在安全隱患時）不定期開展安全自查工作。

第十三條 根據信息安全內部審計制度，每兩年1次（根據實際情況可增加），對可能帶來信息安全風險的因素進行審計和評估。系統中的審計記錄保存半年（根據實際情況可大于半年），紙質版審計記錄保存三年（根據實際情況可大于三年）。

二、安全管理機構

第十四條 信息技術部在網絡與信息安全領導小組管理下，負責信息安全管理工作。

第十五條 安全主管、信息安全管理員等各崗位需要履行崗位職責，遵守各自審批權限。各部門、各崗位之間，與同業機構、監管部門需要加強合作和溝通。

第十六條 加強安全主管、信息安全管理員、技術支持人員、業務操作人員、一般計算機用戶等人員的安全管理，根據不同崗位的職責，對人員錄用、離崗、考核和培訓等工作進行規范。

三、系統建設管理

第十七條 安全產品、密碼產品的采購和使用需要符合國家密碼主管部門的規定，并指定專門部門負責采購。

第十八條 指定專門人員負責工程實施過程管理，控制工程實施過程。軟件開發需要開發測試環境與實際運行環境物理分開，軟件設計相關文檔交由專人保管。外包軟件開發的部分，要求開發單位提供軟件源代碼，并進行“后門”檢測。

第十九條 征信系統測試驗收需要包括安全性測試，對測試驗收過程中形成的測試報告需要進行審定，簽字確定。征信系統交付時需要制定交付清單，并進行設備、軟件和文檔清點。需要對系統運行維護技術人員進行技能培訓。

第二十條 將系統等級及相關材料報中國人民銀行及其派出機構備案。

第二十一條 征信系統上線運行前，進行安全規范測評。運行過程中，每兩年對系統進行一次安全規范測評，測評報告報中國人民銀行及其派出機構。

第二十二條 外包及安全服務商提供服務時，需要簽訂與安全相關的協議，明確約定相關責任。涉及敏感操作（如輸入用戶口令等）由xx公司人員進行操作。外包服務方需要遵守xx公司相關安全規定與操作規程，不得查看、復制或帶離任何敏感信息。

四、系統運維管理

第二十三條 在讀取移動存儲設備上的數據、網絡上接收文件或郵件之前，和外來計算機或存儲設備接入網絡系統之前需要進行病毒檢查。

第二十四條 每半年修改一次密碼，包括網絡設備用戶密碼、操作系統用戶密碼、數據庫用戶密碼和應用程序用戶密碼等。網絡設備、操作系統、數據庫和應用程序的超級管理員用戶密碼要紙質密封交專人保管。密碼設置規則需要符合征信規范中相關要求。

第二十五條 征信系統發生變更前，需要經過審批，在做好征信數據的備份和恢復工作基礎上，方可實施變更，并在實施后向相關人員通告。

第二十六條 安全事件處置和應急管理需符合安全事件報告和處置管理制度，重大事項處置和應急管理需符合重大事項報告和處置管理制度。

第四章 安全技術

第二十七條 為保障通信網絡安全，征信系統面向互聯網時，需使用強壯的加密算法和安全協議保證信息傳輸的機密性和完整性。征信系統服務器需使用安全的協議和強壯的加密算法進行安全、可靠的身份認證。

第二十八條 服務器端物理安全

（1）機房和辦公場地選擇在具有防震、防風和防雨等能力的建筑內。

（2）需進入機房的來訪人員應經過申請和審批流程，并限制和監控其活動范圍。

（3）主機房應安裝必要的防盜報警設施和監控報警系統。應將通信線纜鋪設在隱蔽處，可鋪設在地下或管道中。

（4）防雷擊、防火、防水防潮、防靜電。

（5）設置溫、濕度自動調節設施。

（6）在機房供電線路上配置穩壓器和過電壓防護設備，提供短期的備用電力供應。

（7）電源線和通信線纜隔離鋪設，避免互相干擾。

第二十九條 服務器端網絡安全

（1）保證接入網絡的帶寬滿足業務高峰期需要。

（2）根據各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網或網段。

（3）按用戶和系統之間的允許訪問規則，決定允許或拒絕用戶對受控系統進行資源訪問。

（4）對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄。

（5）監視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP 碎片攻擊和網絡蠕蟲攻擊等。

（6）對登錄網絡設備的用戶進行身份鑒別，限制非法登錄次數，當網絡登錄連接超時自動退出。

（7）對網絡設備進行遠程管理時，防止信息在網絡傳輸過程中被竊聽。

第三十條 服務器端主機安全

（1）對登錄操作系統和數據庫的用戶進行身份鑒別。

（2）根據管理用戶的角色分配權限，實現管理用戶的權限分離，僅授予管理用戶所需的最小權限。實行操作系統和數據庫系統特權用戶的權限分離。

（3）對服務器上的每個操作系統用戶和數據庫用戶進行安全審計，包括用戶權限、重要用戶行為、系統資源的異常使用和重要系統命令的使用等系統內重要的安全操作。保護審計記錄。

（4）操作系統遵循最小安裝的原則，僅安裝需要的組件和應用程序，并通過設置升級服務器等方式保持系統補丁及時得到更新。

（5）通過設定終端接入方式、網絡地址范圍等條件限制終端登錄。設置登錄終端的操作超時鎖定。限制單個用戶對系統資源的使用限度。對重要服務器進行監視，包括監視服務器的CPU、硬盤、內存、網絡等資源的使用情況。

第三十一條 服務器端應用安全

（1）對登錄用戶進行身份標識和鑒別。

（2）依據安全策略控制用戶對文件、數據庫表等客體的訪問。授予不同賬戶為完成各自承擔任務所需的最小權限，并在它們之間形成相互制約的關系。

（3）對用戶權限及應用系統重要安全事件進行審計，保證無法刪除、修改或覆蓋審計記錄。

（4）采用校驗碼技術保證通信過程中數據的完整性。

（5）在通信雙方建立連接之前，應用系統利用密碼技術進行會話初始化驗證，對通信過程中的敏感信息字段進行加密。

（6）通過數據有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的數據格式或長度符合系統設定要求。在故障發生時，應用系統應能夠繼續提供一部分功能，確保能夠實施必要的措施。

（7）當應用系統通信雙方中的一方在一段時間內未作任何響應時，另一方能夠自動結束會話。

第三十二條 數據安全及備份恢復策略

（1）檢測數據在傳輸、存儲過程中的破壞并做恢復。

（2）征信系統采用加密或其他有效措施實現系統管理數據和鑒別信息傳輸、保存中的保密性。

（3）提供本地數據備份與恢復功能，增量數據備份至少每天一次，完全數據備份至少每周一次，備份介質場外存放。

（4）提供關鍵網絡設備、通信線路和數據處理系統的硬件冗余，保證系統的可用性。

第五章 業務運作

第三十三條 根據外部機構接入征信系統管理辦法，對申請接入征信系統的外部機構進行綜合評估，確認符合條件并測試通過后方可接入征信系統生產環境。

第三十四條 根據外部機構從征信系統注銷管理辦法，對信息提供者、信息使用者的注銷申請進行審核，審核通過后再進行注銷操作。對停止經營活動且營業執照等已注銷，但是不主動申請從征信系統注銷的機構，經核實后發起主動注銷操作。

第三十五條 根據征信系統內部用戶管理制度對各類內部用戶的申請、創建、變更、終止及用戶操作等行為進行規范。根據征信系統外部用戶管理制度對各類外部用戶的操作進行規范。對異常操作行為進行監控，必要時采取措施暫停違規用戶權限。

第三十六條 通過接口和非接口規范方式進行信息采集時，采集的范圍、內容、方式和頻次、報文接收與反饋、審核、意外事件處理需要符合規定。

第三十七條 對征信信息進行整理加工，形成信用報告、信用評分、信用評級等征信產品時，不得擅自更改原始數據。同時需要對信息加工所采用的方法和模型作出說明。

第三十八條 征信系統需要保存原始報文文件、反饋文件、信息查詢文件等對外交互過程中產生的信息文件及相應日志信息，并防止數據泄露。對征信系統采集的個人不良信息應當按照法律法規規定的期限進行保存，并確保個人不良信息去標識化處理。

第三十九條 對查詢用戶輸入的查詢條件設置校驗規則，進行有效性檢查。記錄查詢用戶所屬機構、查詢用戶、查詢時間、查詢原因、被查詢對象等信息。批量查詢請求需要填寫請求文件，征信系統記錄并審核后通過可靠方式反饋結果。信息使用者發生異常查詢的，公司采取暫停查詢權限等緊急措施，并及時核查異常查詢產生的原因。

第四十條 異議申請與受理、內外部核查、異議信息更正等事項需要符合異議處理制度。

第四十一條 公司生產數據庫、備份數據庫設在中國境內。在中國境內進行信息整理、保存和加工等活動。向境外組織和個人提供信息時，遵守法律法規和中國人民銀行的有關規定。

第四十二條 使用個人信息進行理論研究、模型設計、產品開發時，研究成果披露、發表或傳播時，需要保證個人身份信息不被識別。

第四十三條 定期檢查征信系統的安全建設和運行情況，保障征信系統安全運行和信用信息合規使用。發生或者有可能發生重大信息泄露事件時，立即采取必要措施，避免損害擴大，并向中國人民銀行及其派出機構報告。

第六章 附則

第四十四條 本辦法由精益發展部負責解釋并督促執行。

第四十五條 各部門可根據本辦法制定實施細則，報公司備案。

第四十六條 本辦法自印發之日起執行。

安徽瑞林精科股份公司

                              2021年6月12日