信息安全作业规范
7.1.關鍵崗位信息安全保密要求
员工信息安全规范
编号:SM-ZD-46667 员工信息安全规范 Through the process agreement to achieve a unified action policy for different people, so as to coordinate action, reduce blindness, and make the work orderly. 编制:____________________ 审核:____________________ 批准:____________________ 本文档下载后可任意修改
员工信息安全规范 简介:该制度资料适用于公司或组织通过程序化、标准化的流程约定,达成上下级或不同的人员之间形成统一的行动方针,从而协调行动,增强主动性,减少盲目性,使工作有条不紊地进行。文档可直接下载或修改,使用时请详细阅读内容。 1、适用范围 本标准规定了公司员工必须遵循的个人计算机和其他方面的安全要求,规定了员工保护公司涉密信息的责任,并列出了大量可能遇到的情况下的安全要求。 本标准适用于公司所有员工,包括子公司的员工,以及其他经授权使用公司内部资源的人员。 2、计算机安全要求 1)计算机信息登记与使用维护: 每台由公司购买的计算机的领用、使用人变更、配置变更、报废等环节必须经过IT部的登记,严禁私自变更使用人和增减配置; 每位员工有责任保护公司的计算机资源和设备,以及包含的信息。 每位员工必须把自己的计算机名字设置成固定的格式,一律采用AD域名_所属地区编号组成;
例如某台计算机名为SSSS_100201,SSSS为地区AD 域名,100为地区编号,201代表该地区第201个账户。 2)必须在所有个人计算机上激活下列安全控制: 所有计算机(包括便携电脑与台式机)必须设有系统密码;系统密码应当符合一定程度的复杂性要求,并不定期更换密码;存储在个人计算机中的包含有公司涉密信息的文件,需要加密存放。 3)当员工离开办公室或工作区域时: 必须立即锁定计算机或者激活带密码保护的屏幕保护程序; 如果办公室或者工作区域能上锁,最后一个离开的员工请锁上办公室或工作区域; 妥善保管所有包含公司涉密内容的文件,如锁进文件柜。 4)防范计算机病毒和其他有害代码: 每位员工由公司配备的计算机上都必须安装和运行公司授权使用的防病毒软件; 员工必须开启防病毒软件实时扫描保护功能,至少每周进行一次全硬盘扫描,在网络条件许可的情况下每天进行一
信息安全管理制度..
信息工作管理制度 第一章总则 第一条为了加强信息管理,规范信息安全操作行为,提高信息安全保障能力和水平,维护信息安全,促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等规定,以《环境信息网络管理维护规范》(环保部制定)等标准为基本管理操作准则,制订本管理制度。 第二条本制度适用范围为信息与监控中心,其他单位可参照执行。 第二章岗位管理 第三条业务信息工作人员(包括监控与信息中心技术人员及机关业务系统管理人员)、机房运维人员(包括外包机构人员),应遵循《环境信息网络管理维护规范》等规定。 第四条机房运维人员根据运维合同规定由机房管理部门对其实行管理。 第五条信息工作人员岗位设置为系统管理员、业务管理员、网络管理员、安全管理员、安全审计员。 人员岗位及职责 (一)系统管理员 系统管理员是从事服务器及存储设备运行管理的人
员,业务上应具备熟练掌握操作系统、熟练操作服务器和存储设备的能力。 1、负责指定的服务器、存储等设备的资料登记、软件保管及设备报修。 2、配合完成指定的业务软件运行环境的建立,正式运行后的服务器系统软硬件操作的监管,执行中心的备份策略。 3、在所负责的的服务器、存储设备发生硬件故障时,及时组织有关人员恢复系统的运行,针对系统事故找到系统事故原因。 4、负责指定的服务器操作系统的管理口令修改。 5、负责制定、执行服务器及存储设备故障应急预案。 (二)业务管理员(业务联系人) 业务管理员是部署在应用服务器上的操作系统及业务系统运行管理的人员,业务上应具备业务系统安装及基本调试操作的能力(业务软件厂家负责培训),业务系统及部署操作系统故障分析的能力,预防系统风险的能力。 1、负责维护业务系统的运行及业务系统的安装环境。 2、负责制定、执行业务系统及其数据的备份计划。 3、负责业务数据的数据备份及数据恢复。 4、负责制定执行本业务系统的故障应急预案。 (三)网络管理员
网络信息安全需求分析.
网络信息安全需求分析 随着医院信息化建设步伐的不断加快,信息网络技术在医疗行业的应用日趋广泛,这些先进的技术给医院的管理带来了前所未有的便利,也提升了医院的管理质量和服务水平,同时医疗业务对行业信息和数据的依赖程度也越来越高,也带来了不可忽视的网络系统安全问题,本文主要从网络系统的硬件、软件及对应用系统中数据的保护,不受破坏、更改、泄露,系统连续可靠、正常地运行,网络服务不中断等方面探讨医院网络信息安全的需求。 医疗业务对行业信息和数据的依赖程度越来越高,带来了不可忽视的网络系统安全问题,现分析如下: 一、网络安全建设内容 在医院信息网络建设中,网络安全体系是确保其安全可靠运行的重要支柱,能否有效地保护信息资源,保护信息化健康、有序、可持续地发展,是关系到医院计算机网络建设成败的关键。 ①保障网络信息安全,要防止来自外部的恶意攻击和内部的恶意破坏。 ②运用网络的安全策略,实行统一的身份认证和基于角色的访问控制。 ③医院计算机网络提供统一的证书管理、证书查询验证服务及网络环境的安全。 ④建立和完善统一的授权服务体系,实现灵活有效的授权管理,解决复杂的权限访问控制问题。 ⑤通过日志系统对用户的操作进行记录。 二、网络安全体系建设 网络安全体系建设应从多个层次完整地、全方位地对医院的信息网络及应用情况进行分析,所制定的安全机制基本包括了对各种安全隐患的考虑,从而保护关键业务系统的正常运行,控制内网用户接入,避免患者电子信息以及医院重要数据的泄密。如图1。 2.1 物理设备安全需求 即使应用了功能最强大的安全软件,如果没有注意物理安全,会大大地破坏系统安全的整体性,攻击者会通过物理接触系统来达到破坏的目的,因此,物理安全是安全策略中最为关键的一步。 ①设备和操作系统都提供了通过物理接触绕过现有密码的功能。 ②机房内各服务器和网络设备均放置在上锁的机柜中,钥匙专人负责保管,同时要在中心机房安装视频监视设备进行监控。 ③网络整体要部署防雷系统,机房要有防静电地板,配线间注意散热且定期进
GBT 35273-2017-信息安全技术-个人信息安全规范
《信息安全技术个人信息安全规范》第六点“个人信息的保存”,对个人信息控制者对个人信息的保存提出具体要求,包括以下内容: 6.1 个人信息保存时间最小化 对个人信息控制者的要求包括: a) 个人信息保存期限应为实现目的所必需的最短时间; b) 超出上述个人信息保存期限后,应对个人信息进行删除或匿名化处理。 6.2 去标识化处理 收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将去标识化后的数据与可用于恢复识别个人的信息分开存储,并确保在后续的个人信息处理中不重新识别个人。 6.3 个人敏感信息的传输和存储 对个人信息控制者的要求包括: a) 传输和存储个人敏感信息时,应采用加密等安全措施; b) 存储个人生物识别信息时,应采用技术措施处理后再进行存储,例如仅存储个人生物识别信息的摘要。 6.4 个人信息控制者停止运营 当个人信息控制者停止运营其产品或服务时,应: a) 及时停止继续收集个人信息的活动; b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体; c) 对其所持有的个人信息进行删除或匿名化处理。 《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”,对个人信息控制者处理个人信息安全事件的方式方法提出具体要求,包括以下内容:9.1 安全事件应急处置和报告 对个人信息控制者的要求包括: a) 应制定个人信息安全事件应急预案; b) 应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程; c) 发生个人信息安全事件后,个人信息控制者应根据应急响应预案进行以下处置: 1) 记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门; 2) 评估事件可能造成的影响,并采取必要措施控制事态,消除隐患; 3) 按《国家网络安全事件应急预案》的有关规定及时上报,报告内容包括但不限于:涉及个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响,已采取或将要采取的处置措施,事件处置相关人员的联系方式; 4) 按照本标准9.2的要求实施安全事件的告知。 d) 根据相关法律法规变化情况,以及事件处置情况,及时更新应急预案。 9.2 安全事件告知 对个人信息控制者的要求包括: a) 应及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体。难以逐一告知个人信息主体时,应采取合理、有效的方式发布与公众有关的警示信息; b) 告知内容应包括但不限于:
企业信息安全规范
信息安全管理规范 第一章总则 第一条为规范企业信息系统及所承担维护服务的用户信息系统的信息安全管理,促进信息安全管理工作体系化、规范化,提高信息系统和网络服务质量,提高信息系统管理人员、维护人员以及使用人员的整体安全素质和水平,特制定本管理规范。本管理规范目标是为公司信息安全管理提供清晰的策略方向,阐明信息安全建设和管理的重要原则,阐明信息安全的所需支持和承诺。 第二条本规范是指导公司信息安全工作的基本依据,信息安全相关人员必须认真执行本规程,并根据工作实际情况,制定并遵守相应的安全标准、流程和安全制度实施细则,做好安全维护管理工作。 第三条信息安全是公司及所承担的用户信息系统系统运维服务工作的重要内容。公司管理层非常重视,大力支持信息安全工作,并给予所需的人力物力资源。 第四条本规范的适用范围包括所有与公司信息系统及本公司所承担维护服务的各方面相关联的人员,它适用于本公司全部员工,集成商,软件开发商,产品提供商,商务伙伴和使用公司信息系统的其他第三方。 第五条本规范适用于公司所承担服务支撑的外部各单位的信息系统的安全工作范围。 第六条本规范主要依据国际标准ISO17799,并遵照我国信息安全有关法律法规、电信行业规范和相关标准。 第二章安全管理的主要原则 第七条管理与技术并重的原则:信息安全不是单纯的技术问题,在采用安全技术和产品的同时,应重视管理,不断积累完善各个信息安全管理章程与规定,全面提高信息安全管理水平。
第八条全过程原则:信息安全是一个系统工程,应将它落实在系统建设、运行、维护、管理的全过程中,安全系统应遵循与信息系统同步规划、同步建设、同步运行的原则,在任何一个环节的疏忽都可能给信息系统带来危害。 第九条风险管理和风险控制原则:应进行安全风险管理和风险控制,以可以接受的成本或最小成本,确认、控制、排除可能影响公司信息系统的安全风险,并将其带来的危害最小化。 第十条分级保护原则:应根据信息资产的重要程度以及面临的风险大小等因素决定各类信息资产的安全保护级别。制订各类网络系统和信息资产的安全保护等级表,在表中明确资产类别,同时确定对何种资产应达到何种级别的安全。 第十一条统一规划、分级管理实施原则:信息安全管理遵循统一规划、分级管理的原则。信息安全领导小组负责对公司各项信息安全管理工作进行统一规划,负责信息安全管理办法的制定和监督实施。各级部门在信息安全领导小组指导与监督下,负责具体实施。 第十二条平衡原则:在公司信息安全管理过程中,应在安全性与投入成本、安全性和操作便利性之间找到最佳的平衡点。 第十三条动态管理原则:在公司信息安全管理过程中,应遵循动态管理原则,要针对信息系统环境的变动情况及时调整管理办法。 第三章安全组织和职责 第十四条建立和健全信息安全组织,设立由高层领导组成的信息安全领导小组,对于信息安全方面的重大问题做出决策,协调信息安全相关各部门之间的关系,并支持和推动信息安全工作在整个信息系统范围内的实施。 第十五条公司应设置相应的信息安全管理机构,负责信息系统的信息安全管理工作,配备专职安全管理员,由安全管理员具体执行本公司信息安全方面的相关工作。 第十六条公司信息系统的安全管理机构职责如下: 根据本规范制定信息系统的信息安全管理制度、标准规范和执行程序;
信息安全等级保护管理办法(公通字〔2007〕43号)
信息安全等级保护管理办法(公通字[2007]43号) 作者 : 来源 : 公安部、国家保密局、国家密码管理局、 字体:大中小国务院信息工作办公室时间:2007-06-22 第一章总则 第一条为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。 第二条国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。 第三条公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 第四条信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。 第二章等级划分与保护 第六条国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第七条信息系统的安全保护等级分为以下五级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
信息安全奖惩管理规定1
1. 目的: 明确个人在信息保护管理的纪律和奖惩办法,确保员工遵守良好的行为规范,降低由于不良行为而导致信息安全事件给公司带来的威胁。 2. 适用范围: 本规范适用于卓翼科技股份有限公司所有员工在信息安全保护方面的奖惩。 3. 职责: 3.1信息安全处:负责对违规现象进行调查、取证。 3.2各部门:负责配合信息安全处的调查和取证,并对违规现象进行确认。 3.3信息安全管理委员会:负责对严重违规现象进行进一步的审查,提出纪律惩处意见。 3.4资讯部分管副总:负责纪律惩处意见的审批。 3.5人力资源部:负责执行纪律惩处措施并备案。 3.6法务部:负责本规定的法律事务的处理。 4. 名词解释:无 5. 工作内容: 5.1纪律惩处范围 5.1.1所有违反信息安全基本规章制度和部门管理细则的行为。 5.1.2 造成重大信息安全事件的行为。 5.1.3违反国家信息安全法律法规的行为。 5.1.4其它和信息安全有关对公司业务发展或公司声誉造成恶劣影响或重大损失的行为。 5.2 纪律惩处的种类和办法。 5.2.1惩处的种类和办法。 5.2.1.1警告、记过、开除,并扣除相应的绩效分数。 5.2.1.2信息安全扣分达到两分当年考绩不能评优,不能加薪、晋级。 5.2.1.3部门员工信息安全接连出现问题或信息安全问题严重,部门主管负连带责任。 5.2.1.4在以上的纪律处罚外,将保留同时追究经济损失等民事责任的权利。 5.2.1.5构成刑事犯罪的,移交司法机关进行处理。 5.2.2员工有且不限于下列行为之一,但未造成重大影响的视情节轻重,给予书面警告: 5.2.2.1离开座位后未立即锁定计算机。
解析新版《个人信息安全规范》中的个人信息保护负责人制度
解析新版《个人信息安全规范》中的个人信息保护负责人制度 2020-08-03 《网络安全法》出台后,特别是2018年5月1日《信息安全技术 个人信息安全规范》(“旧版规范”)生效以来,不少企业已经搭建起个人信息保护制度框架。数据合规体系是动态的有机体,需要静态的制度框架,更需要合规人员的动态推动,将制度融入商业决策与交易中。即将于2020年10月1日生效的《信息安全技术 个人信息安全规范》(“新版规范”或“《安全规范》”)针对个人信息保护负责人的规定,较旧版规范而言更为具体且务实。 一、为什么要建立个人信息保护负责人制度 个人信息保护负责人是指全面实施统筹组织公司个人信息保护工作、对个人信息安全负直接责任的公司人员。设立个人信息保护负责人对企业落地数据合规制度至关重要。具体而言,科学有效的个人信息保护负责人制度既可提高企业法律风险防御能力,亦可增强其核心竞争力。 (一)提高企业风险防御能力 个人信息保护不力会给企业带来巨大损失:政府调查与处罚轻则迫使企业整改、重则颠覆既有商业模式、甚至导致企业与主要负责人承担刑事责任;个人信息安全事件如果不能及时、妥善处理,企业所面对的信任危机可能比处罚带来的社会影响更为深远;广大民众不断觉醒的个人信息保护意识更是促使企业时刻不得松懈。个人信息保护负责人既可以帮助企业在日常工作中未雨绸缪又可能在危机事件中力挽狂澜,提高企业防御风险的综合能力。 2017年3月,有消费者认为其个人信息遭到泄露而将某航空公司起诉至法院。法院综合认定被告存在泄露个人信息的高度可能,同时认为法律对经营者采取技术措施和其他必要措施保护消费者个人信息施以强制规定。但是,被告未能证明其已履行法定的个人信息保护义务。[1]2019年12月,同一家航空公司因类似事由被起诉,但法院认为被告在自身掌握信息阶段不存在泄露个人信息的事实。原因在于,航空公司不仅对可查看订单信息的管理系统进行数据脱敏设置,还建立起严密的数据安全管理制度、就数据存储安全进行专门认证、与专业第三方进行合作。[2] 根据公开信息,前述航空公司于2018年任命首席数据官,全面负责企业的数据保护与合规运营工作。该航空公司也由此成为国内首家设立数据保护官的企业。[3]虽然任命首席数据官与两份截然相反的判决没有直接关系,但从判决书中航空公司的举证来看,其在一两年间确实就个人信息保护采取了系列技术措施与组织措施,而任命首席数据官不仅是一种合规宣示,对于推动保护措施的落地显然也至关重要。 (二)增强企业核心竞争力 中国企业传统上将法律合规定位为后台支持部门,该等定位在业务拓展特别是开发海外市场时的局限性日益凸显。有能力的个人信息保护负责人有助于树立良好的企业形象,在与监管机构、合作伙伴、甚至竞争对手打交道的过程中,给人以专业、可信的印象,对于增强企业核心竞争力大有脾益。 如何在各国纷繁复杂的法律规定下实现合规,需要个人信息保护负责人的统筹规划。对敏感个人数据加紧审查的国际趋势,尤其是中美经贸摩擦下的监管升级,[4]更是要求企业出海前审慎开展
信息安全系统管理系统要求规范
信息安全管理规范公司
版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要
Table of Contents(目录) 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级(保密级别)规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息? (21) 2.2什么是信息安全? (21)
ISO27001-2013信息安全管理体系要求.
目录 前言 (3 0 引言 (4 0.1 总则 (4 0.2 与其他管理系统标准的兼容性 (4 1. 范围 (5 2 规范性引用文件 (5 3 术语和定义 (5 4 组织景况 (5 4.1 了解组织及其景况 (5 4.2 了解相关利益方的需求和期望 (5 4.3 确立信息安全管理体系的范围 (6 4.4 信息安全管理体系 (6 5 领导 (6 5.1 领导和承诺 (6 5.2 方针 (6 5.3 组织的角色,职责和权限 (7 6. 计划 (7 6.1 应对风险和机遇的行为 (7
6.2 信息安全目标及达成目标的计划 (9 7 支持 (9 7.1 资源 (9 7.2 权限 (9 7.3 意识 (10 7.4 沟通 (10 7.5 记录信息 (10 8 操作 (11 8.1 操作的计划和控制措施 (11 8.2 信息安全风险评估 (11 8.3 信息安全风险处置 (11 9 性能评价 (12 9.1监测、测量、分析和评价 (12 9.2 内部审核 (12 9.3 管理评审 (12 10 改进 (13 10.1 不符合和纠正措施 (13 10.2 持续改进 (14 附录A(规范参考控制目标和控制措施 (15
参考文献 (28 前言 0 引言 0.1 总则 本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。采用信息安全管理体系是组织的一项战略性决策。组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。 信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并给相关方建立风险得到充分管理的信心。 重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制措施的设计中要考虑到信息安全。信息安全管理体系的实施要与组织的需要相符合。 本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。 本标准中表述要求的顺序不反映各要求的重要性或实施顺序。条款编号仅为方便引用。 ISO/IEC 27000参考信息安全管理体系标准族(包括ISO/IEC 27003[2]、ISO/IEC 27004[3]、ISO/IEC 27005[4]及相关术语和定义,给出了信息安全管理体系的概述和词汇。 0.2 与其他管理体系标准的兼容性
信息安全风险评估需求方案完整版
信息安全风险评估需求 方案 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】
信息安全风险评估需求方案 一、项目背景 多年来,天津市财政局(地方税务局)在加快信息化建设和信息系统开发应用的同时,高度重视信息安全工作,采取了很多防范措施,取得了较好的工作效果,但同新形势、新任务的要求相比,还存在有许多不相适应的地方。2009年,国家税务总局和市政府分别对我局信息系统安全情况进行了抽查,在充分肯定成绩的同时,也指出了我局在信息安全方面存在的问题。通过抽查所暴露的这些问题,给我们敲响了警钟,也对我局信息安全工作提出了新的更高的要求。 因此,天津市财政局(地方税务局)在对现有信息安全资源进行整合、整改的同时,按照国家税务总局信息安全管理规定,结合本单位实际情况确定实施信息安全评估、安全加固、应急响应、安全咨询、安全事件通告、安全巡检、安全值守、安全培训、应急演练服务等工作内容(以下简称“安全风险评估”),形成安全规划、实施、检查、处置四位一体的长效机制。 二、项目目标 通过开展信息“安全风险评估”, 完善安全管理机制;通过安全服务的引入,进一步建立健全财税系统安全管理策略,实现安全风险的可知、可控和可管理;通过建立财税系统信息安全风险评估机制,实现财税系统信息安全风险的动态跟踪分析,为财税系统信息安全整体规划提供科学的决策依据,进一步加强财税内部网络的
整体安全防护能力,全面提升我局信息系统整体安全防范能力,极大提高财税系统网络与信息安全管理水平;通过深入挖掘网络与信息系统存在的脆弱点,并以业务系统为关键要素,对现有的信息安全管理制度和技术措施的有效性进行评估,不断增强系统的网络和信息系统抵御风险安全风险能力,促进我局安全管理水平的提高,增强信息安全风险管理意识,培养信息安全专业人才,为财税系统各项业务提供安全可靠的支撑平台。 三、项目需求 (一)服务要求 1基本要求 “安全风险评估服务”全过程要求有据可依,并在产品使用有据可查,并保持项目之后的持续改进。针对用户单位网络中的IT 设备及应用软件,需要有软件产品识别所有设备及其安全配置,或以其他方式收集、保存设备明细及安全配置,进行资产收集作为建立信息安全体系的基础。安全评估的过程及结果要求通过软件或其他形式进行展示。对于风险的处理包括:协助用户制定安全加固方案、在工程建设及日常运维中提供安全值守、咨询及支持服务,通过安全产品解决已知的安全风险。在日常安全管理方面提供安全支持服务,并根据国家及行业标准制定信息安全管理体系,针对安全管理员提供安全培训,遇有可能的安全事件发生时,提供应急的安全分析、紧急响应服务。
员工信息安全规范(正式)
编订:__________________ 单位:__________________ 时间:__________________ 员工信息安全规范(正式) Standardize The Management Mechanism To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑
文件编号:KG-AO-3205-69 员工信息安全规范(正式) 使用备注:本文档可用在日常工作场景,通过对管理机制、管理原则、管理方法以及管理机构进行设置固定的规范,从而使得组织内人员按照既定标准、规范的要求进行操作,使日常工作或活动达到预期的水平。下载后就可自由编辑。 1、适用范围 本标准规定了公司员工必须遵循的个人计算机和其他方面的安全要求,规定了员工保护公司涉密信息的责任,并列出了大量可能遇到的情况下的安全要求。 本标准适用于公司所有员工,包括子公司的员工,以及其他经授权使用公司内部资源的人员。 2、计算机安全要求 1)计算机信息登记与使用维护: 每台由公司购买的计算机的领用、使用人变更、配置变更、报废等环节必须经过IT部的登记,严禁私自变更使用人和增减配置; 每位员工有责任保护公司的计算机资源和设备,以及包含的信息。 每位员工必须把自己的计算机名字设置成固定的
格式,一律采用AD域名_所属地区编号组成; 例如某台计算机名为SSSS_100201,SSSS为地区AD域名,100为地区编号,201代表该地区第201个账户。 2)必须在所有个人计算机上激活下列安全控制:所有计算机(包括便携电脑与台式机)必须设有系统密码;系统密码应当符合一定程度的复杂性要求,并不定期更换密码;存储在个人计算机中的包含有公司涉密信息的文件,需要加密存放。 3)当员工离开办公室或工作区域时: 必须立即锁定计算机或者激活带密码保护的屏幕保护程序; 如果办公室或者工作区域能上锁,最后一个离开的员工请锁上办公室或工作区域; 妥善保管所有包含公司涉密内容的文件,如锁进文件柜。 4)防范计算机病毒和其他有害代码: 每位员工由公司配备的计算机上都必须安装和运
信息安全事件管理规范
信息安全管理部 信息安全事件管理规范 V1.0
文档信息: 文档修改历史: 评审人员:
信息安全事件管理规范 年07月 1.0 目的 明确规定“信息安全事件”的范围和处理流程,以便及时地对信息安全事件做出响应,启动适当的事件防护措施来预防和降低事件影响,并能从事件影响中快速恢复; 2.0 适用范围 本制度适用于在信息安全部负责管理的所有信息资产上发生的对业务产生影响的异常事件的处理及后续响应流程。 3.0 相关角色和职责 ●信息安全总监:负责制定《信息安全事件管理规范》,并督促制度的落实和执行; ●信息安全部经理: ?负责《信息安全事件管理规范》中各项流程制度的日常督促执行; ?负责对各类信息安全事件进行第一时间响应,区分信息安全事件的类别及后续 处理流程; ?负责跟踪各类信息安全事件的后续处理,确保公司能从中汲取教训,不再发生 类似问题; ●信息安全事件发起人:在具体工作中发现异常后应及时上报,并协助完成后续处理 工作。 4.0 信息资产 信息安全管理部负责以下信息资产的安全运行: ●机房环境、硬件设备正常运行: ?互联机房; ?北京办公室机房; ?上海办公室机房; ?机房内的所有硬件设备,包括网络设备、服务器和其它设备; ●办公室网络环境正常运行 ?互联机房内网/外网环境; ?北京办公室内网/外网环境; ?上海办公室内网/外网环境; ●机房内系统工作正常; ?服务器操作系统工作正常 ?应用系统工作正常 ●机房内设备中存放的各类业务信息安全 以上信息资产出现异常情况时,均属于信息安全事件处理的范畴。 5.0 信息安全事件分级、分类
对信息安全事件分级、分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等信息安全应急响应工作的必要条件。 5.1 信息安全事件分级 根据信息安全事件所涉及的信息密级、对业务所造成的影响和相关的资产损失等要素,对信息安全事件分为以下几个级别: 1级:本级信息安全事件对公司业务造成了重大影响,例如机密数据丢失,重大考试项目考中异常等; 2级:本级信息安全事件对公司业务造成了一定影响,例如短时间的设备宕机、大规模的网站异常造成客户投拆等; 3级:本级及息安全事件指己发现的可能对公司业务造成重要影响的潜在风险事件,例如在日常维护工作中发现的各类异常事件等; 1级的信息安全事件又称为重大安全事件。 与“信息安全事件”分级相关联的名词解释: ●常规工作:指影响超出单点范围,可能/己经造成了部门/小组级的工作异常,但未造成 实质性损害的信息事件; 5.2 信息安全事件分类 对信息安全事件分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等响应工作的重要依据。信息安全事件可分为: ●环境灾害: ?自然/人为灾害:水灾、火灾、地震、恐怖袭击、战争等; ?外围保障设施故障: ◆机房电力故障: 由于供电线路、供电设备出现故障或供电调配的原因而导 致的信息安全事件 ◆外围网络故障:由于外围网络传输信道出现故障而导致业务系统无法对外 正常服务 ◆其它外围保障设施故障:例如拖管机房的服务器、服务器故障等; ●常规事故: ?软硬件自身故障: ◆软件自身故障:由于软件设计存在漏洞或软件系统运行环境发生变化等原 因而导致软件运行不正常的信息安全事件 ◆硬件自身故障:由于硬件设计不合理、硬件自然老化失效等原因引起硬件 设备故障而导致信息系统不能正常运行的信息安全事件 ?无意事故: ◆硬件设备、软件遗失;与业务系统正常运行和使用相关的硬件设备和软件 遗失而导致的信息安全事件 ◆数据遗失:系统中的重要数据遗失 ◆误操作破坏硬件;
征信机构信息安全规范
征信机构信息安全规范 一、总则 1.1标准适用范围 标准规定了不同安全保护等级征信系统的安全要求,包括安全管理、安全技术和业务运作三个方面。 标准适用于征信机构信息系统的建设、运行和维护,也可作为各单位开展安全检查和内部审计的安全依据。接入征信机构信息系统的信息提供者、信息使用者也可以参照与本机构有关条款执行,标准还可作为专业检测机构开展检测、认证的依据。 1.2相关定义 (一)征信系统:征信机构与信息提供者协议约定,或者通过互联网、政府信息公开等渠道,对分散在社会各领域的企业和个人信用信息,进行采集、整理、保存和加工而形成的信用信息数据库及相关系统。 (二)敏感信息:影响征信系统安全的密码、密钥以及业务敏感数据等信息。 1、密码包括但不限与查询密码、登录密码、证书的PIN等。 2、密钥包括但不限与用于确保通讯安全、报告完整性的密
钥。 3、业务敏感数据包括但不限于信息主体的身份信息、婚姻状况以及银行账户信息等涉及个人隐私的数据。 (三)客户端程序:征信机构开发的、通过浏览器访问征信系统并为征信系统其他功能(如数据采集)的程序,并提供必需功能的组件,包括但不限于:可执行文件、控件、浏览器插件、静态链接库、动态链接库等(不包括IE等通用浏览器);或信息提供者、信息使用者以独立开发的软件接入征信系统的客户端程序。 (四)通讯网络:通讯网络指的是由客户端、服务器以及相关网络基础设施组建的网络连接。征信系统通过互联玩或网络专线等方式与信息提供者、信息使用者相连,征信系统安全设计应在考虑建设成本、网络便利性等因素的同时,采取必要的技术防护措施,有效应对网络通讯安全威胁。(五)服务器端:服务器端指用于提供征信系统核心业务处理和应用服务的服务器设备及安装的相关软件程序,征信机构应充分利用有效的物理安全技术、网络安全技术、主机安全技术、应用安全技术及数据安全与备份恢复技术等,在外部威胁和受保护的资源间建立多道严密的安全防线。 1.3总体要求 本标准从安全管理、安全技术和业务运作三个方面提出征信
GBT35273-2020《信息安全技术个人信息安全规范》变化分析
GB/T 35273-2020《信息安全技术个人信息安全规范》变化分析 2020年3月6日,国家正式发布GB/T35273-2020《信息安全技术个人信息安全规范》,此标准是在2017年发布的《个人信息安全规范》的基础上经多次修订、并将于2020年10月1日正式实施。 《个人信息安全规范》共分为十个章节,其中包括范围,规范性引用文件,术语和定义,个人信息安全基本原则,个人信息的收集,个人信息的保存,个人信息的使用,个人信息的委托处理、共享、转让、公开披露,个人信息安全事件处置以及组织的管理要求。 核心变化概述 GB/T 35273-2020《信息安全技术个人信息安全规范》,与GB/T 35273-2017相
比,主要变化在于: 一、增加了“多项业务功能的自主选择”、“用户画像的使用限制”、“个性化展示的使用”、“基于不同业务目的所收集个人信息的汇聚融合”、“第三方接入管理”、“个人信息安全工程”、“个人信息处理活动记录”等。 二、修改了“征得授权同意的例外”、“明确责任部门与人员”、“实现个人信息主体自主意愿的方法”等。
逐条变化 安言咨询在2020版规范发布之初,即组织内部专业人员对2017年规范及2020版规范进行差异对比,形成《个人信息安全规范差异对比》,如下图,如有需要,请关注公众号并在后台留下您的邮箱,我们会在3月20日前逐一发送。 《个人信息安全规范差异对比》样例 《个人信息安全规范差异对比》样例 总结 《个人信息安全规范》其内容的丰富和可操作性在起草之初就引起实务界的瞩目,成为企业在个人信息保护实践中的重要指引以及相关监管机构执法的参照。 2020版相比2017年版更加贴近行业实践,增强了企业合规工作的可操作性。内
CCRC-ISV-C01:2018信息安全服务规范
文件编码:CCRC-ISV-C01:2018 信息安全服务规范 2018-05-25发布 2018-06-01实施 中国网络安全审查技术与认证中心发布
目录 1. 适用范围 (1) 2. 规范性引用文件 (1) 3. 术语与定义 (1) 3.1. 信息安全服务 (1) 3.2. 信息安全风险评估 (1) 3.3. 信息安全应急处理 (1) 3.4. 信息系统安全集成 (1) 3.5. 信息系统灾难备份与恢复 (1) 3.6. 软件安全开发 (2) 3.7. 信息系统安全运维 (2) 3.8. 网络安全审计 .................................................................................. 错误!未定义书签。 3.9. 工业控制系统安全 (2) 4. 通用评价要求 (2) 4.1. 三级评价要求 (2) 4.1.1. 法律地位要求 (2) 4.1.2. 财务资信要求 (2) 4.1.3. 办公场所要求 (2) 4.1.4. 人员能力要求 (3) 4.1.5. 业绩要求 (3) 4.1.6. 服务管理要求 (3) 4.1.7. 服务技术要求 (3) 4.2. 二级评价要求 (3) 4.2.1. 法律地位要求 (4) 4.2.2. 财务资信要求 (4) 4.2.3. 办公场所要求 (4) 4.2.4. 人员能力要求 (4) 4.2.5. 业绩要求 (4) 4.2.6. 服务管理要求 (4) 4.2.7. 技术工具要求 (5) 4.2.8. 服务技术要求 (5) 4.3. 一级评价要求 (5) 4.3.1. 法律地位要求 (5) 4.3.2. 财务资信要求 (5)
IT信息安全规范
宁波奥比特灌溉设备有限公司制定部门:IT部版次:01 文件名称:信息安全管理规定编订日期:2011年3月10日 页次:1 生效日期:2011年3月10日 1.0 目的 为了工厂内部资料及数据安全,对计算机使用及监控信息管理,特制订本规则。 2.0 适用范围 适用于公司所有人员,特别是计算机使用者及管理者。 3.0 主管部门 3.1 IT部负责制定此规定。 3.2 其它各部门配合该办法的实施。 4.0细则 4.1计算机使用员工 4.1.1.所有对公司计算机使用员工,必须严格按照IT部对各软件设置规范正确使用,遇到异常第一时间向IT部反应,以方便IT部迅速做出判断,尽快使问题得到解决。 4.1.2 对公司内部资料,包括各种表格/文档/员工信息/工程图等严禁带出厂外,一经发现从严查办,造成公司重大损失的将交与公安机关追究其法律责任. 4.1.3 公司各计算机,打印机,复印机,传真机等办公设备均属公司财产,严禁任何人员对其造成人为损坏或带出厂区使用,所有非正常使用或故意损坏的,按照公司采购价将给予赔偿,并交于行政人事部分给予处分。 4.1.4 对于公司监控系统是为了对整个厂区财产安全实施的一项电子监视措施,对所有人员人身安全及公司财产保护提供电子依据,除行政及IT技术外其它人不得擅自查看。 4.2 IT管理人员 4.2.1 保持良好职业道德,保证公司信息不泄露,及制定相应措施保证公司内部资料及数据信息安全,定期对各数据进入备份及加密,对各硬件设备定期维护,保证设备高效有序使用。 4.2.2 对各监控设备每隔一月做检查,包括对监控探头镜片清洁,线路检查,监控机维护,保证各探头收到有效数据,并成功保存。 4.2.3 各PC系统账号密码每42天提醒修改一次,对于不能按正常设置做出修改的,在服务器域中进行查看调整。 4.2.4 263企业邮箱设置为30天更改一次密码,如遇outlook出现密码验证错误时,及时进入后台管理系统进行调整。 4.2.5针对入职及离职人员PC账号邮箱账号,在离职或入职三天内作出禁用或建立新账号操作,以保证资料安全或快速进入工作。 4.2.6 对于网络外来入侵,公司Symantec设置为每周周六AM 3:00进行全部扫描,一旦发现不正常程序将对其先隔离再删除处理。
智慧医疗建设信息安全需求分析
智慧医疗建设信息安全需求分析 1、存在多个层面的严重的“孤岛”和“烟囱’现象 (1)各领域之间如医疗和公共卫生、医院和社区之间信息不通。 公共卫生服务与医疗服务之间密不可分。利用信息技术整合公共卫生与医院以及基层医疗的服务,防控结合,可以大幅度提高综合防治的效果。 (2)同一领域的不同机构之间如不同医院之间信息不通。 同一机构内不同科室之间信息不通:少数机构的同一科室同一岗位甚至同一个人使用几个不同的系统,信息不通。大量的“孤岛”和“烟囱”必然造成大量的重复操作:信息不能共享、互操作性无从谈起:不能充分发挥信息的作用和体现信息化建设的意义:区域卫生信息化就要解决这个问题,这将牵涉到与信息化建设有关的几乎所有方面的因素。 2、一线应用的不足之处 (1)基层医疗机构信息系统应用不够全面。 大部分基层医疗机构(含城市社区和农村乡镇卫生院)只有最基本的收费系统。基本上尚未建立起以公共卫生、医疗服务、药品管理和医保报销一体化的基层医疗卫生信息系统。基层医疗服务机构作为落实国家医改政策和公共卫生服务项目最前端,其信息化程度将直接影响区域卫生整体效果以及医疗服务的可及性和公共卫生均等性。 (2)公共卫生领域应用面窄。 卫生部直报系统虽然能满足卫生部信息采集要求,但相关数据不能落地用于指导本市的公共卫生事件处置和管理,急需将这些数据落地并管理以有效应对和处置我市突发公共卫生事件。 3、数据的再利用不能满足卫生健康发展的需要 部分省市医疗卫生信息应用层次和水平较低,缺乏对于数据的深加工,数据的整理与分析,最终支持决策的功能。卫生管理仍然仅依赖于卫生统计制度,数据的采集虽然实现网上直报,但数据的真实性仍然靠上报单位的自律保证,而临
解读国标GBT 35273-2017《信息安全技术个人信息安全规范》
解读国标GBT 35273-2017《信息安全技术个人信息安全规范》 发布时间:2018-01-28浏览:578 按照国家标准化管理委员会2017年第32号中国国家标准公告,全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》于2017年12月29日正式发布,将于2018年5月1日实施。 本文重点提炼个人信息的保存、个人信息安处理以及组织的管理要求等方面内容,解读国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》。 一、《信息安全技术个人信息安全规范》第六点“个人信息的保存”,对个人信息控制者对个人信息的保存提出具体要求,包括以下内容: 6.1 个人信息保存时间最小化 对个人信息控制者的要求包括: a) 个人信息保存期限应为实现目的所必需的最短时间; b) 超出上述个人信息保存期限后,应对个人信息进行删除或匿名化处理。 6.2 去标识化处理 收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将去标识化后的数据与可用于恢复识别个人的信息分开存储,并确保在后续的个人信息处理中不重新识别个人。 6.3 个人敏感信息的传输和存储 对个人信息控制者的要求包括: a) 传输和存储个人敏感信息时,应采用加密等安全措施; b) 存储个人生物识别信息时,应采用技术措施处理后再进行存储,例如仅存储个人生物识别信息的摘要。 6.4 个人信息控制者停止运营 当个人信息控制者停止运营其产品或服务时,应: a) 及时停止继续收集个人信息的活动; b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体; c) 对其所持有的个人信息进行删除或匿名化处理。 二、《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”,对个人信息控制者处理个人信息安全事件的方式方法提出具体要求,包括以下内容: 9.1 安全事件应急处置和报告 对个人信息控制者的要求包括: a) 应制定个人信息安全事件应急预案; b) 应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程; c) 发生个人信息安全事件后,个人信息控制者应根据应急响应预案进行以下处置: 1) 记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门; 2) 评估事件可能造成的影响,并采取必要措施控制事态,消除隐患; 3) 按《国家网络安全事件应急预案》的有关规定及时上报,报告内容包括但不限于:涉及个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响,已采取或