信息安全管理规范.doc
《信息安全管理规范.doc》由会员分享,可在线阅读,更多相关《信息安全管理规范.doc(30页珍藏版)》请在咨信网上搜索。
1、信息安全管理规范公司版本信息当前版本: 最新更新日期:最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史版本号更新日期修订作者主要修订摘要Table of Contents(目录)1.公司信息安全要求51.1信息安全方针51.2信息安全工作准则51.3职责61.4信息资产的分类规定61.5信息资产的分级(保密级别)规定71.6现行保密级别与原有保密级别对照表81.7信息标识与处置中的角色与职责81.8信息资产标注管理规定91.9允许的信息交换方式101.10信息资产处理和保护要求对应表101.11口令使用策略121.12桌面、屏幕清空策略131.13远程工作安全策略141.14
2、移动办公策略141.15介质的申请、使用、挂失、报废要求151.16信息安全事件管理流程171.17电子邮件安全使用规范191.18设备报废信息安全要求201.19用户注册与权限管理策略201.20用户口令管理211.21终端网络接入准则211.22终端使用安全准则221.23出口防火墙的日常管理规定231.24局域网的日常管理规定231.25集线器、交换机、无线AP的日常管理规定231.26网络专线的日常管理规定241.27信息安全惩戒242.信息安全知识252.1什么是信息?252.2什么是信息安全?252.3信息安全的三要素252.4什么是信息安全管理体系?262.5建立信息安全管理体系
3、的目的272.6信息安全管理的PDCA模式282.7安全管理风险评估过程282.8信息安全管理体系标准(ISO27001标准家族)292.9信息安全控制目标与控制措施301. 公司信息安全要求1.1 信息安全方针n 拥有信息资产,积累、共享并保护信息资产是我们共同的责任。n 管理与技术并重,确保公司信息资产的安全,保障公司持续正常运营。n 履行对客户知识产权的保护承诺,保障客户信息资产的安全,满足并超越客户信息安全需求。1.2 信息安全工作准则n 保护信息的机密性、完整性和可用性,即确保信息仅供给那些获得授权的人员使用、保护信息及信息处理方法的准确性和完整性、确保获得授权的人员能及时可靠地使用
4、信息及信息系统;n 公司通过建立有效的信息安全管理体系和必要的技术手段,保障信息资产的安全,降低信息安全风险;n 各级信息安全责任者负责所辖区域的信息安全,通过建立相关制度及有效的保护措施,确保公司的信息安全方针得到可靠实施;n 全体员工应只访问或使用获得授权的信息系统及其它信息资产,应按要求选择和保护口令;n 未经授权,任何人不得对公司信息资产进行复制、利用或用于其它目的;n 应及时检测病毒,防止恶意软件的攻击;n 公司拥有为保护信息安全而使用监控手段的权力,任何违反信息安全政策的员工都将受到相应处理;n 通过建立有效和高效的信息安全管理体系,定期评估信息安全风险,持续改进信息安全管理体系。
5、1.3 职责全体员工应保护公司信息资产的安全。每个员工必须认识到信息资产的价值,负责保护好自己生成、管理或可触及的涉及的数据和信息。员工必须遵守信息标识与处理程序,了解信息的保密级别。对于不能确定是否为涉密信息的内容,必须征得相关管理部门的确认才可对外披露。员工必须遵守信息安全相关的各项制度和规定,保证的系统、网络、数据仅用于的各项工作相关的用途,不得滥用。1.4 信息资产的分类规定 公司的信息资产分为电子数据、软件、硬件、实体信息、服务五大类。类别说明电子数据存在信息媒介上的各种数据资料,包括源代码、数据库数据等各种电子化的数据资料、项目文档、管理文档、运行管理规程、计划、报告、用户手册、作
6、业指导书等各种电子化的数据资料。软件包括系统软件、应用软件、共享软件系统软件:操作系统、语言包、工具软件、各种库等;应用软件:外部购买的应用软件,办公软件等;共享软件:各种共享源代码、共享可执行程序等。硬件网络设备:路由器、网关、交换机等计算机设备:大型机、服务器、工作站、台式计算机、移动计算机等存储设备:磁带机、磁盘阵列、工控机等移动存储设备:磁带、光盘、软盘、U盘、移动硬盘等传输线路:光纤、双绞线等基础保障设备:(UPS、变电设备等)、空调、保险柜、文件柜、门禁、消防设施等,如对基础设施使用属于租用形式,请将其识别到服务类别中。安全保障设备:硬件防火墙、入侵检测系统、身份验证等其他电子设备
7、:打印机、复印机、扫描仪、传真机等实体信息纸制的各种文件、合同、传真、会议纪要、财务报表、证书、电报、发展计划以及各类其他材质的证书奖牌等。服务通过各种协议方式固化下来的服务活动、如物业、第三方、供应商、提供检修服务的提供方等。1.5 信息资产的分级(保密级别)规定信息资产分为:一般、内部公开、企业秘密、企业机密4个保密级别。保密级别名称说明1一般一般性信息,可以公开的信息、信息处理设备和系统资源。2内部公开非敏感但仅限公司内部使用的信息、信息处理设备和系统资源。3企业秘密敏感的信息、信息处理设备和系统资源,只给必须知道者。4企业机密敏感的信息、信息处理设备和系统资源,仅适用极少数必须知道的人
8、。1.6 现行保密级别与原有保密级别对照表保密级别与公司原有的保密级别的对照表如下:现行的保密级别与之相当的原有保密级别一般一般内部公开秘密企业秘密机密企业机密绝密1.7 信息标识与处置中的角色与职责角色职责责任人:信息资产的创建者,或者主要用户所在组织、单位或部门的负责人。信息资产责任人对所属信息资产负直接责任。n 理解和各种信息访问活动相关的安全风险;n 根据公司信息密级划分标准来确定所属信息资产的级别;n 根据公司相关策略确定并检查信息访问权限;n 针对所属信息资产提出恰当的保护措施。 保管者:受信息资产责任人委托,对信息资产进行日常的管理,维护已经建立的保护措施。资产保管者通常是公司或
9、部门的IT管理者或者代表(例如系统管理员)。 n 根据公司相关策略和信息资产责任人的要求,负责信息资产的维护操作和日常管理事务;n 负责具体设置信息访问权限;n 负责所管理的信息资产的安全控制;n 部署恰当的安全机制,进行备份和恢复操作;n 按照信息资产责任人的要求实施其他控制。用户:信息资产的使用者,除了公司内部员工,也可能是因为业务需要而访问公司信息的客户或第三方组织。n 向信息责任人申请信息访问;n 按照公司信息安全策略要求正当访问信息,禁止非授权访问;n 向相关组织报告隐患、故障或者违规事件。1.8 信息资产标注管理规定(1) 公司所属的各类信息资产,无论其存在形式是电子、纸质还是磁盘
10、等,都应在显著位置标注其保密级别。(2) 一般电子或纸质文档应在该文档页眉的右上角或页脚上标注其保密级别或在文件封面打上保密章,磁盘等介质应在其表面非数据区予以标注其保密级别。(3) 如果某存储介质中包含各个级别的信息,作为整体考虑,该存储介质的保密级别标注应以最高为准。(4) 如果没有明显的保密级别标注,该信息资产以“一般”级别看待。(5) 对于对外公开的信息,需要得到相关责任人的核准,并由对外信息发布部门统一处理。(6) 如需在信息资产上表述保密声明,可采用以下两种表述方式:表述方式一:“保密声明:公司资产,注意保密。”表述方式二:“保密声明:本文档受国家相关法律和公司制度保护,不得擅自复
11、制或扩散。”1.9 允许的信息交换方式 公司允许的信息交换方式有:邮件、视频、电话、网站内容发布、文件共享、传真、光盘、磁盘、磁带和纸张。1.10 信息资产处理和保护要求对应表 企业机密企业秘密内部公开一般授权需得到责任人和公司管理层批准需得到相关责任人及部门领导批准需得到责任人批准无特别要求访问只能被得到授权的公司极少数核心人员访问只能被公司内部或外部得到明确授权的人员访问,访问者应该签署保密协议可以被公司内部或外部因为业务需要的人员访问任何公司员工或外部人员都可以访问存储电子类的应该加密存储在安全的计算机系统内;硬拷贝应该锁在安全的保险柜内;禁止以其他形式存储或显示电子类的应该妥善保存在设
12、有安全控制的计算机系统内(建议进行信息加密);硬拷贝应该妥善保管,严禁摆放在桌面;使用白板展示后应立即擦除电子类的应该妥善保管,可以进行加密;纸质不应放在桌面以恰当方式保存,避免被非授权人员看到;存储有信息的介质避免丢失复制得到相关责任人及公司管理层批准;需要登记须经相关责任人批准,并让专人操作或监督实施,需要登记经相关责任人批准内部复制无限制打印禁止打印(或在授权情况下专人负责打印,不得打印到无人值守机)须经相关责任人许可,打印件标注密级并妥善管理,不得打印到无人值守机经相关责任人许可,打印件标注密级并妥善管理无限制,打印件标注密级邮件禁止邮件直接发送,经授权后做电子签名和加密控制,经安全的
13、途径发送,保留记录须经相关责任人许可,邮件发送应做加密控制,保留记录经相关责任人许可无限制传真禁止传真须经相关责任人许可后专人负责传真经相关责任人许可无限制快递经授权后采取妥善的保护措施,由专人快递经授权后,由签署了特定安全协议的专门的快递公司快递经授权后,由签署了特定安全协议的专门的快递公司快递无限制内部分发经相关责任人和公司管理层批准后,密封分发,或以允许的电子分发形式进行安全的分发经相关责任人批准后,密封分发,或以允许的电子分发形式进行安全的分发经授权后,以内部邮件形式发放,或直接进行硬拷贝分发无限制对外分发经相关责任人和公司管理层批准后分发,需要签署特定的保密协议,需要进行登记经相关责
14、任人批准后分发,需签署保密协议,需要进行登记经授权后,以邮件或者快递方式分发,建议签署保密协议经授权后,以允许的分发方式分发处理碎纸机;彻底销毁介质;电子记录定期消除;进行检查确认碎纸机;彻底销毁介质;电子记录定期消除;进行检查确认保存件标明作废;电子记录定期消除;介质销毁电子记录定期消除,介质销毁记录跟踪直接责任人应有收件人、复制者、保存者、浏览者、销毁者的日志记录跟踪文件复制、保存、浏览、销毁过程,应有记录无要求不建议跟踪1.11 口令使用策略 全体员工在挑选和使用口令时,应:(1) 保证口令的机密。(2) 除非能安全保存,避免将口令记录在纸上。(3) 只要有迹象表明系统或口令可能遭到破坏
15、,应立即更改口令。(4) 选用高质量的口令,最少要有6个字符,另外:A 口令应由字母加数字组成;B 口令不应采用如姓名、电话号码、生日等容易猜出或破解的信息。(5) 每三个月更改或根据访问次数更改口令(特别是特权用户),避免再次使用或循环使用旧口令。(6) 首次登录时,应立即更改临时口令。(7) 不得共享个人用户口令。1.12 桌面、屏幕清空策略 为了降低在正常工作时间以外对信息进行未经授权访问所带来的风险、损失和损害,员工应:(1) 在闲置或工作时间之外将纸张或计算机存储介质储存在合适的柜子或其它形式的安全设备中。(2) 当办公室无人时将关键业务信息放置到安全地点(比如防火的保险箱或柜子中)
16、。(3) 在无人使用时,将个人计算机、计算机终端和打印机、复印机设为锁定状态。(4) 为个人计算机、计算机终端设定密码,同时设定屏保时间(=15分钟)。(5) 在打印保密级别为企业机密、企业秘密的信息后,应立刻从打印机中清除相关痕迹,并有效保护打印出来的信息内容。1.13 远程工作安全策略必须保护好远程工作场所防止盗窃设备和信息、未经授权公开信息、对公司内部系统进行远程非法访问或滥用设备等行为。员工应:(1) 保障物理安全。(2) 对家人和客人使用设备进行限制。如果必须要使用,应在旁边进行监督和控制,确保关键业务信息的安全。(3) 远程工作活动结束时,权限以及设备及时收回。(4) 网络远程登录
17、终端的拨号密码即VPN帐号仅限本人使用,不允许他人使用。(5) 进入公司或客户的信息系统工作完毕后,必须立即退出系统。1.14 移动办公策略使用移动办公设备(如笔记本电脑)时,员工尤其应该注意保证业务信息不受损坏、非法访问或泄密:(1) 移动办公设备需要带出公司工作场所时,应进行登记。(2) 在公共场所使用移动办公设备时,必须注意防范被未经授权的人员窥视。(3) 应实时更新用于防范恶意软件的程序。(4) 应对信息进行方便快捷的备份。(5) 备份的信息应该予以适当的保护以防信息被盗或丢失。(6) 使用移动办公设备通过公共网对公司商务信息进行远程访问时必须进行身份识别和VPN访问控制。(7) 防止
18、移动办公设备被盗。(8) 防止保密级别为企业秘密级以上的信息所在的移动办公设备无人看管。1.15 介质的申请、使用、挂失、报废要求 (1) 介质的申请:序号责任者任务相关文件或记录1资产管理员按照公司的固定资产或消耗资材申领方式向公司申领介质。 固定资产管理制度 计算机维护消耗资材管理办法2资产管理员从公司领取介质并登记到 介质登记表中。 介质登记表3资产管理员如通过设备管理,需通过usb使用的移动存储介质在中注册。参见使用说明4资产管理员在 介质登记表中登记发放时间,使用人等信息后发放介质。 介质登记表(2) 介质的使用:A 如安装了设备,所有工作中使用的USB存储介质都应在中进行注册。B
19、如果确认介质中的内容不再需要,应立即将其以可靠方式清除。C 如果数据需要保存,则使用人应该保存在有良好安全措施的个人计算机和服务器上,而不应该放在计算机活动介质中。D 所有的备份介质都应存放在安全可靠的地方,并符合生产厂家说明书的安全要求。(3) 介质的挂失:序号责任者任务相关文件或记录1使用者使用人立即向资产管理员申报挂失2资产管理员如果是通过usb使用的移动存储介质被挂失且在上注册过,则应在上进行注销。3资产管理员在介质登记表中登记挂失介质登记表(4) 介质的报废:序号责任者任务相关文件或记录1使用者1)、书面文件用碎纸机粉碎2)、其他介质报废,使用人向资产管理员申请介质报废。2资产管理员
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全管理 规范
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【a199****6536】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【a199****6536】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。