安徽瑞林精科股份有限公司信息安全方针策略

信息安全方针策略

第一章 总则

第一条 为加强和规范公司及各部门信息系统安全工作，提高公司信息系统整体安全防护水平，实现信息安全的可控、能控、在控，依据国家有关法律、法规的要求，特制定本方针。

第二条为公司信息系统安全管理提供一个总体的策略性架构文件，该文件将指导公司信息系统的安全管理体系的建立。安全管理体系的建立是为公司信息系统的安全管理工作提供参照，以实现公司统一的安全策略管理，提高整体的网络与信息安全水平，确保安全控制措施落实到位，保障网络通信畅通和信息系统的正常运营。

第三条 本文件涵盖安全管理机构、人员安全管理、系统建设安全管理、系统运维安全管理、安全技术、业务运作安全管理等方面内容，适用于公司各部门信息系统资产和信息技术人员的安全管理和指导，适用于指导公司信息系统安全策略的制定、安全方案的规划和安全建设的实施，适用于公司安全管理体系中安全管理措施的选择。

第四条 引用标准及参考文件

本文档的编制参照了以下国家的标准和文件：

（一）《中华人民共和国计算机信息系统安全保护条例》

（二）《关于信息安全等级保护建设的实施指导意见》（信息运安〔2009〕27 号）

（三）《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239-2008）

（四）《信息安全技术 信息系统安全管理要求》（GB/T 20269—2006）

（五）《信息系统等级保护 安全建设技术方案设计要求》（报批稿）

（六）《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）

（七）《征信机构信息安全规范》（JR/T 0117-2014）（以下简称：“征信规范”）

第二章 方针、目标和原则

第五条 公司信息系统安全坚持“安全第一、预防为主，管理和技术并重，综合防范”的总体方针，实现信息系统安全可控、能控、在控。依照“分区、分级、分域”总体安全防护策略，执行信息系统安全等级保护制度。管理信息网络分为统内网和外网，实现“双机双网”，内网定位为承载涉密数据，外网定位为对外业务网络和访问互联网用户终端网络。内、外网之间实施强逻辑隔离的措施。

第六条 信息系统安全总体目标是确保信息系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性，防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃，抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏，防止信息内容及数据丢失和失密，防止有害信息在网上传播，防止公司对外服务中断和由此造成的系统运行事故。

第七条 信息安全工作的总体原则

（1）基于安全需求原则

公司精益发展部需要根据信息系统担负的使命，积累的信息资产的重要性，可能受到的威胁及面临的风险分析安全需求，遵从信息系统等级保护的规范要求，恰当地平衡安全投入与效果；

（2）主要领导负责原则

网络与信息安全领导小组确立公司信息安全保障的宗旨和政策，负责提高员工的安全意识，组织有效安全保障队伍，调动并优化配置必要的资源，协调安全管理工作与各部门工作的关系，并确保其落实、有效；

（3）全员参与原则

信息系统所有相关人员需要普遍参与信息系统的安全管理，并与相关方面协同、协调，共同保障信息系统安全；

（4）系统方法原则

按照系统工程的要求，识别和理解信息安全保障相互关联的层面和过程，采用管理和技术结合的方法，提高实现安全保障的目标的有效性和效率；

（5）持续改进原则

随着安全需求和系统脆弱性的时空分布变化，威胁程度的提高，系统环境的变化以及对系统安全认识的深化等，及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级，维护和持续改进信息安全管理体系的有效性；

（6）依法管理原则

保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理，需要由授权者适时发布准确一致的有关信息，避免带来不良的社会影响；

（7）分权和授权原则

对特定职能或责任领域的管理功能实施分离、独立审计等实行分权。任何实体（如用户、管理员、进程、应用或系统）仅享有该实体需要完成其任务所必须的权限；

（8）选用成熟技术原则

成熟的技术具有较好的可靠性和稳定性，采用新技术时要重视其成熟的程度，并首先试点然后逐步推广；

（9）分级保护原则

按等级划分标准确定信息系统的安全保护等级，实行分级保护；

（10）管理与技术并重原则

采用管理与技术相结合，管理科学性和技术前瞻性结合的方法，保障信息系统的安全性达到所要求的目标；

（11）自主保护和国家监管结合原则

公司在政府相关部门对信息系统的安全进行指导、监督和检查下，形成自管、自查、自评和国家监管相结合的管理模式，提高信息系统的安全保护能力和水平，保障国家信息安全。

第八条 在规划和建设信息系统时，信息系统安全防护措施应按照“三同步”原则，与信息系统建设同步规划、同步建设、同步投入运行。

第三章 安全管理

一、内部管理制度

第九条 根据本文件中征信系统建设管理及运维管理的条例，落实对机房管理、资产安全、设备管理、网络安全和系统安全等方面的信息安全管理。

第十条 对数据的存储、访问、使用、展示、备份与恢复、传输及样本数据处理等需要符合数据管理制度。

第十一条 需要根据重大事项报告和处置管理制度，有效避免和及时报告事故造成的危害。对重大信息安全事故及时向中国人民银行及其派出机构报告。

第十二条 根据信息安全检查制度，定期或根据需要（如可能存在安全隐患时）不定期开展安全自查工作。

第十三条 根据信息安全内部审计制度，每两年1次（根据实际情况可增加），对可能带来信息安全风险的因素进行审计和评估。系统中的审计记录保存半年（根据实际情况可大于半年），纸质版审计记录保存三年（根据实际情况可大于三年）。

二、安全管理机构

第十四条 信息技术部在网络与信息安全领导小组管理下，负责信息安全管理工作。

第十五条 安全主管、信息安全管理员等各岗位需要履行岗位职责，遵守各自审批权限。各部门、各岗位之间，与同业机构、监管部门需要加强合作和沟通。

第十六条 加强安全主管、信息安全管理员、技术支持人员、业务操作人员、一般计算机用户等人员的安全管理，根据不同岗位的职责，对人员录用、离岗、考核和培训等工作进行规范。

三、系统建设管理

第十七条 安全产品、密码产品的采购和使用需要符合国家密码主管部门的规定，并指定专门部门负责采购。

第十八条 指定专门人员负责工程实施过程管理，控制工程实施过程。软件开发需要开发测试环境与实际运行环境物理分开，软件设计相关文档交由专人保管。外包软件开发的部分，要求开发单位提供软件源代码，并进行“后门”检测。

第十九条 征信系统测试验收需要包括安全性测试，对测试验收过程中形成的测试报告需要进行审定，签字确定。征信系统交付时需要制定交付清单，并进行设备、软件和文档清点。需要对系统运行维护技术人员进行技能培训。

第二十条 将系统等级及相关材料报中国人民银行及其派出机构备案。

第二十一条 征信系统上线运行前，进行安全规范测评。运行过程中，每两年对系统进行一次安全规范测评，测评报告报中国人民银行及其派出机构。

第二十二条 外包及安全服务商提供服务时，需要签订与安全相关的协议，明确约定相关责任。涉及敏感操作（如输入用户口令等）由xx公司人员进行操作。外包服务方需要遵守xx公司相关安全规定与操作规程，不得查看、复制或带离任何敏感信息。

四、系统运维管理

第二十三条 在读取移动存储设备上的数据、网络上接收文件或邮件之前，和外来计算机或存储设备接入网络系统之前需要进行病毒检查。

第二十四条 每半年修改一次密码，包括网络设备用户密码、操作系统用户密码、数据库用户密码和应用程序用户密码等。网络设备、操作系统、数据库和应用程序的超级管理员用户密码要纸质密封交专人保管。密码设置规则需要符合征信规范中相关要求。

第二十五条 征信系统发生变更前，需要经过审批，在做好征信数据的备份和恢复工作基础上，方可实施变更，并在实施后向相关人员通告。

第二十六条 安全事件处置和应急管理需符合安全事件报告和处置管理制度，重大事项处置和应急管理需符合重大事项报告和处置管理制度。

第四章 安全技术

第二十七条 为保障通信网络安全，征信系统面向互联网时，需使用强壮的加密算法和安全协议保证信息传输的机密性和完整性。征信系统服务器需使用安全的协议和强壮的加密算法进行安全、可靠的身份认证。

第二十八条 服务器端物理安全

（1）机房和办公场地选择在具有防震、防风和防雨等能力的建筑内。

（2）需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围。

（3）主机房应安装必要的防盗报警设施和监控报警系统。应将通信线缆铺设在隐蔽处，可铺设在地下或管道中。

（4）防雷击、防火、防水防潮、防静电。

（5）设置温、湿度自动调节设施。

（6）在机房供电线路上配置稳压器和过电压防护设备，提供短期的备用电力供应。

（7）电源线和通信线缆隔离铺设，避免互相干扰。

第二十九条 服务器端网络安全

（1）保证接入网络的带宽满足业务高峰期需要。

（2）根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段。

（3）按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问。

（4）对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。

（5）监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等。

（6）对登录网络设备的用户进行身份鉴别，限制非法登录次数，当网络登录连接超时自动退出。

（7）对网络设备进行远程管理时，防止信息在网络传输过程中被窃听。

第三十条 服务器端主机安全

（1）对登录操作系统和数据库的用户进行身份鉴别。

（2）根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限。实行操作系统和数据库系统特权用户的权限分离。

（3）对服务器上的每个操作系统用户和数据库用户进行安全审计，包括用户权限、重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全操作。保护审计记录。

（4）操作系统遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。

（5）通过设定终端接入方式、网络地址范围等条件限制终端登录。设置登录终端的操作超时锁定。限制单个用户对系统资源的使用限度。对重要服务器进行监视，包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况。

第三十一条 服务器端应用安全

（1）对登录用户进行身份标识和鉴别。

（2）依据安全策略控制用户对文件、数据库表等客体的访问。授予不同账户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系。

（3）对用户权限及应用系统重要安全事件进行审计，保证无法删除、修改或覆盖审计记录。

（4）采用校验码技术保证通信过程中数据的完整性。

（5）在通信双方建立连接之前，应用系统利用密码技术进行会话初始化验证，对通信过程中的敏感信息字段进行加密。

（6）通过数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求。在故障发生时，应用系统应能够继续提供一部分功能，确保能够实施必要的措施。

（7）当应用系统通信双方中的一方在一段时间内未作任何响应时，另一方能够自动结束会话。

第三十二条 数据安全及备份恢复策略

（1）检测数据在传输、存储过程中的破坏并做恢复。

（2）征信系统采用加密或其他有效措施实现系统管理数据和鉴别信息传输、保存中的保密性。

（3）提供本地数据备份与恢复功能，增量数据备份至少每天一次，完全数据备份至少每周一次，备份介质场外存放。

（4）提供关键网络设备、通信线路和数据处理系统的硬件冗余，保证系统的可用性。

第五章 业务运作

第三十三条 根据外部机构接入征信系统管理办法，对申请接入征信系统的外部机构进行综合评估，确认符合条件并测试通过后方可接入征信系统生产环境。

第三十四条 根据外部机构从征信系统注销管理办法，对信息提供者、信息使用者的注销申请进行审核，审核通过后再进行注销操作。对停止经营活动且营业执照等已注销，但是不主动申请从征信系统注销的机构，经核实后发起主动注销操作。

第三十五条 根据征信系统内部用户管理制度对各类内部用户的申请、创建、变更、终止及用户操作等行为进行规范。根据征信系统外部用户管理制度对各类外部用户的操作进行规范。对异常操作行为进行监控，必要时采取措施暂停违规用户权限。

第三十六条 通过接口和非接口规范方式进行信息采集时，采集的范围、内容、方式和频次、报文接收与反馈、审核、意外事件处理需要符合规定。

第三十七条 对征信信息进行整理加工，形成信用报告、信用评分、信用评级等征信产品时，不得擅自更改原始数据。同时需要对信息加工所采用的方法和模型作出说明。

第三十八条 征信系统需要保存原始报文文件、反馈文件、信息查询文件等对外交互过程中产生的信息文件及相应日志信息，并防止数据泄露。对征信系统采集的个人不良信息应当按照法律法规规定的期限进行保存，并确保个人不良信息去标识化处理。

第三十九条 对查询用户输入的查询条件设置校验规则，进行有效性检查。记录查询用户所属机构、查询用户、查询时间、查询原因、被查询对象等信息。批量查询请求需要填写请求文件，征信系统记录并审核后通过可靠方式反馈结果。信息使用者发生异常查询的，公司采取暂停查询权限等紧急措施，并及时核查异常查询产生的原因。

第四十条 异议申请与受理、内外部核查、异议信息更正等事项需要符合异议处理制度。

第四十一条 公司生产数据库、备份数据库设在中国境内。在中国境内进行信息整理、保存和加工等活动。向境外组织和个人提供信息时，遵守法律法规和中国人民银行的有关规定。

第四十二条 使用个人信息进行理论研究、模型设计、产品开发时，研究成果披露、发表或传播时，需要保证个人身份信息不被识别。

第四十三条 定期检查征信系统的安全建设和运行情况，保障征信系统安全运行和信用信息合规使用。发生或者有可能发生重大信息泄露事件时，立即采取必要措施，避免损害扩大，并向中国人民银行及其派出机构报告。

第六章 附则

第四十四条 本办法由精益发展部负责解释并督促执行。

第四十五条 各部门可根据本办法制定实施细则，报公司备案。

第四十六条 本办法自印发之日起执行。

安徽瑞林精科股份公司

                              2021年6月12日