信息安全系统管理系统要求规范
信息安全管理规范公司
版本信息
当前版本:
最新更新日期:
最新更新作者:
作者:
创建日期:
审批人:
审批日期:
修订历史
版本号更新日期修订作者主要修订摘要
Table of Contents(目录)
1. 公司信息安全要求 (5)
1.1信息安全方针 (5)
1.2信息安全工作准则 (5)
1.3职责 (6)
1.4信息资产的分类规定 (6)
1.5信息资产的分级(保密级别)规定 (7)
1.6现行保密级别与原有保密级别对照表 (7)
1.7信息标识与处置中的角色与职责 (8)
1.8信息资产标注管理规定 (9)
1.9允许的信息交换方式 (9)
1.10信息资产处理和保护要求对应表 (9)
1.11口令使用策略 (11)
1.12桌面、屏幕清空策略 (11)
1.13远程工作安全策略 (12)
1.14移动办公策略 (12)
1.15介质的申请、使用、挂失、报废要求 (13)
1.16信息安全事件管理流程 (14)
1.17电子邮件安全使用规范 (16)
1.18设备报废信息安全要求 (17)
1.19用户注册与权限管理策略 (17)
1.20用户口令管理 (18)
1.21终端网络接入准则 (18)
1.22终端使用安全准则 (18)
1.23出口防火墙的日常管理规定 (19)
1.24局域网的日常管理规定 (19)
1.25集线器、交换机、无线AP的日常管理规定 (19)
1.26网络专线的日常管理规定 (20)
1.27信息安全惩戒 (20)
2. 信息安全知识 (21)
2.1什么是信息? (21)
2.2什么是信息安全? (21)
2.3信息安全的三要素 (21)
2.4什么是信息安全管理体系? (22)
2.5建立信息安全管理体系的目的 (22)
2.6信息安全管理的PDCA模式 (23)
2.7安全管理-风险评估过程 (23)
2.8信息安全管理体系标准(ISO27001标准家族) (24)
2.9信息安全控制目标与控制措施 (25)
1.公司信息安全要求
1.1信息安全方针
?拥有信息资产,积累、共享并保护信息资产是我们共同的责任。
?管理与技术并重,确保公司信息资产的安全,保障公司持续正常运营。
?履行对客户知识产权的保护承诺,保障客户信息资产的安全,满足并超越
客户信息安全需求。
1.2信息安全工作准则
?保护信息的机密性、完整性和可用性,即确保信息仅供给那些获得授权的
人员使用、保护信息及信息处理方法的准确性和完整性、确保获得授权的人员能及时可靠地使用信息及信息系统;
?公司通过建立有效的信息安全管理体系和必要的技术手段,保障信息资产
的安全,降低信息安全风险;
?各级信息安全责任者负责所辖区域的信息安全,通过建立相关制度及有效
的保护措施,确保公司的信息安全方针得到可靠实施;
?全体员工应只访问或使用获得授权的信息系统及其它信息资产,应按要求
选择和保护口令;
?未经授权,任何人不得对公司信息资产进行复制、利用或用于其它目的;
?应及时检测病毒,防止恶意软件的攻击;
?公司拥有为保护信息安全而使用监控手段的权力,任何违反信息安全政策的
员工都将受到相应处理;
?通过建立有效和高效的信息安全管理体系,定期评估信息安全风险,持续
改进信息安全管理体系。
1.3职责
全体员工应保护公司信息资产的安全。每个员工必须认识到信息资产的价
值,负责保护好自己生成、管理或可触及的涉及的数据和信息。员工必须遵守
《信息标识与处理程序》,了解信息的保密级别。对于不能确定是否为涉密信
息的内容,必须征得相关管理部门的确认才可对外披露。员工必须遵守信息安
全相关的各项制度和规定,保证的系统、网络、数据仅用于的各项工作相关的
用途,不得滥用。
1.4信息资产的分类规定
公司的信息资产分为电子数据、软件、硬件、实体信息、服务五大类。
类别说明
电子数据存在信息媒介上的各种数据资料,包括源代码、数据库数据等各种电子化的数据资料、项目文档、管理文档、运行管理规程、计
划、报告、用户手册、作业指导书等各种电子化的数据资料。
软件包括系统软件、应用软件、共享软件
系统软件:操作系统、语言包、工具软件、各种库等;
应用软件:外部购买的应用软件,办公软件等;
共享软件:各种共享源代码、共享可执行程序等。
硬件网络设备:路由器、网关、交换机等
计算机设备:大型机、服务器、工作站、台式计算机、移动计算机等
存储设备:磁带机、磁盘阵列、工控机等
移动存储设备:磁带、光盘、软盘、U盘、移动硬盘等
传输线路:光纤、双绞线等
基础保障设备:(UPS、变电设备等)、空调、保险柜、文件柜、门禁、消防设施等,如对基础设施使用属于租用形式,请将其
识别到服务类别中。
安全保障设备:硬件防火墙、入侵检测系统、身份验证等
其他电子设备:打印机、复印机、扫描仪、传真机等
实体信息纸制的各种文件、合同、传真、会议纪要、财务报表、证书、电报、发展计划以及各类其他材质的证书奖牌等。
服务通过各种协议方式固化下来的服务活动、如物业、第三方、供应商、提供检修服务的提供方等。
1.5信息资产的分级(保密级别)规定
信息资产分为:一般、内部公开、企业秘密、企业机密4个保密级别。
保密级别名称说明
1 一般一般性信息,可以公开的信息、信息处理设备和系统
资源。
2 内部公
开
非敏感但仅限公司内部使用的信息、信息处理设备和系统资源。
3 企业秘
密
敏感的信息、信息处理设备和系统资源,只给必须知道者。
4 企业机
密
敏感的信息、信息处理设备和系统资源,仅适用极少数必须知道的人。
1.6现行保密级别与原有保密级别对照表
保密级别与公司原有的保密级别的对照表如下:
现行的保密级别与之相当的原有保密级别
一般一般
内部公开秘密
企业秘密机密
企业机密绝密
1.7信息标识与处置中的角色与职责
角色职责
责任人:信息资产的创建者,或者主要用户所在组织、单位或部门的负责人。信息资产责任人对所属信息资产负直接责任。?理解和各种信息访问活动相关的安全风
险;
?根据公司信息密级划分标准来确定所属信
息资产的级别;
?根据公司相关策略确定并检查信息访问权
限;
?针对所属信息资产提出恰当的保护措施。
保管者:受信息资产责任人委托,对信息资产进行日常的管理,维护已经建立的保护措施。资产保管者通常是公司或部门的IT管理者或者代表(例如系统管理员)。?根据公司相关策略和信息资产责任人的要
求,负责信息资产的维护操作和日常管理事务;
?负责具体设置信息访问权限;
?负责所管理的信息资产的安全控制;
?部署恰当的安全机制,进行备份和恢复操
作;
?按照信息资产责任人的要求实施其他控
制。
用户:信息资产的使用者,除了公司内部员工,也可能是因为业务需要而访问公司信息的客户或第三方组织。?向信息责任人申请信息访问;
?按照公司信息安全策略要求正当访问信
息,禁止非授权访问;
?向相关组织报告隐患、故障或者违规事
件。
1.8信息资产标注管理规定
(1)公司所属的各类信息资产,无论其存在形式是电子、纸质还是磁盘等,都应在显著位置标注其保密级别。
(2)一般电子或纸质文档应在该文档页眉的右上角或页脚上标注其保密级别或在文件封面打上保密章,磁盘等介质应在其表面非数据区予以标注其保密级别。
(3)如果某存储介质中包含各个级别的信息,作为整体考虑,该存储介质的保密级别标注应以最高为准。
(4)如果没有明显的保密级别标注,该信息资产以“一般”级别看待。(5)对于对外公开的信息,需要得到相关责任人的核准,并由对外信息发布部门统一处理。
(6)如需在信息资产上表述保密声明,可采用以下两种表述方式:表述方式一:“保密声明:公司资产,注意保密。”
表述方式二:“保密声明:本文档受国家相关法律和公司制度保护,不
得擅自复制或扩散。”
1.9允许的信息交换方式
公司允许的信息交换方式有:邮件、视频、电话、网站内容发布、文件共享、传真、光盘、磁盘、磁带和纸张。
1.10信息资产处理和保护要求对应表
企业机密企业秘密内部公开一般
授权
需得到责任人和
公司管理层批准
需得到相关责任
人及部门领导批准
需得到责
任人批准
无特别
要求
访只能被得到授权只能被公司内部可以被公任何公
问的公司极少数核心
人员访问或外部得到明确授
权的人员访问,访
问者应该签署保密
协议
司内部或外
部因为业务
需要的人员
访问
司员工或
外部人员
都可以访
问
存储
电子类的应该加
密存储在安全的计
算机系统内;硬拷
贝应该锁在安全的
保险柜内;禁止以
其他形式存储或显
示
电子类的应该妥
善保存在设有安全
控制的计算机系统
内(建议进行信息
加密);硬拷贝应
该妥善保管,严禁
摆放在桌面;使用
白板展示后应立即
擦除
电子类的
应该妥善保
管,可以进
行加密;纸
质不应放在
桌面
以恰当
方式保
存,避免
被非授权
人员看
到;存储
有信息的
介质避免
丢失
复制
得到相关责任人
及公司管理层批
准;需要登记
须经相关责任人
批准,并让专人操
作或监督实施,需
要登记
经相关责
任人批准
内部复
制无限制
打印
禁止打印(或在
授权情况下专人负
责打印,不得打印
到无人值守机)
须经相关责任人
许可,打印件标注
密级并妥善管理,
不得打印到无人值
守机
经相关责
任人许可,
打印件标注
密级并妥善
管理
无限
制,打印
件标注密
级
邮件
禁止邮件直接发
送,经授权后做电
子签名和加密控
制,经安全的途径
发送,保留记录
须经相关责任人
许可,邮件发送应
做加密控制,保留
记录
经相关责
任人许可
无限制
传真禁止传真须经相关责任人
许可后专人负责传
真
经相关责
任人许可
无限制
快递
经授权后采取妥
善的保护措施,由
专人快递
经授权后,由签
署了特定安全协议
的专门的快递公司
快递
经授权
后,由签署
了特定安全
协议的专门
的快递公司
快递
无限制
内部分发
经相关责任人和
公司管理层批准
后,密封分发,或
以允许的电子分发
形式进行安全的分
发
经相关责任人批
准后,密封分发,
或以允许的电子分
发形式进行安全的
分发
经授权
后,以内部
邮件形式发
放,或直接
进行硬拷贝
分发
无限制
对外分经相关责任人和经相关责任人批经授权经授权
发公司管理层批准后
分发,需要签署特
定的保密协议,需
要进行登记准后分发,需签署
保密协议,需要进
行登记
后,以邮件
或者快递方
式分发,建
议签署保密
协议
后,以允
许的分发
方式分发
处理
碎纸机;彻底销
毁介质;电子记录
定期消除;进行检
查确认
碎纸机;彻底销
毁介质;电子记录
定期消除;进行检
查确认
保存件标
明作废;电
子记录定期
消除;介质
销毁
电子记
录定期消
除,介质
销毁
记录跟踪
直接责任人应有
收件人、复制者、
保存者、浏览者、
销毁者的日志记录
跟踪文件复制、
保存、浏览、销毁
过程,应有记录
无要求不建议
跟踪
1.11口令使用策略
全体员工在挑选和使用口令时,应:
(1)保证口令的机密。
(2)除非能安全保存,避免将口令记录在纸上。
(3)只要有迹象表明系统或口令可能遭到破坏,应立即更改口令。
(4)选用高质量的口令,最少要有6个字符,另外:
A.口令应由字母加数字组成;
B.口令不应采用如姓名、电话号码、生日等容易猜出或破解的信息。
(5)每三个月更改或根据访问次数更改口令(特别是特权用户),避免再次使用或循环使用旧口令。
(6)首次登录时,应立即更改临时口令。
(7)不得共享个人用户口令。
1.12桌面、屏幕清空策略
为了降低在正常工作时间以外对信息进行未经授权访问所带来的风险、损失和损害,员工应:
(1)在闲置或工作时间之外将纸张或计算机存储介质储存在合适的柜子或其它形式的安全设备中。
(2)当办公室无人时将关键业务信息放置到安全地点(比如防火的保险箱或柜子中)。
(3)在无人使用时,将个人计算机、计算机终端和打印机、复印机设为锁定状态。
(4)为个人计算机、计算机终端设定密码,同时设定屏保时间(<=15分钟)。(5)在打印保密级别为企业机密、企业秘密的信息后,应立刻从打印机中清除相关痕迹,并有效保护打印出来的信息内容。
1.13远程工作安全策略
必须保护好远程工作场所防止盗窃设备和信息、未经授权公开信息、对公
司内部系统进行远程非法访问或滥用设备等行为。员工应:
(1)保障物理安全。
(2)对家人和客人使用设备进行限制。如果必须要使用,应在旁边进行监督和控制,确保关键业务信息的安全。
(3)远程工作活动结束时,权限以及设备及时收回。
(4)网络远程登录终端的拨号密码即VPN帐号仅限本人使用,不允许他人使用。
(5)进入公司或客户的信息系统工作完毕后,必须立即退出系统。
1.14移动办公策略
使用移动办公设备(如笔记本电脑)时,员工尤其应该注意保证业务信息
不受损坏、非法访问或泄密:
(1)移动办公设备需要带出公司工作场所时,应进行登记。
(2)在公共场所使用移动办公设备时,必须注意防范被未经授权的人员窥视。(3)应实时更新用于防范恶意软件的程序。
(4)应对信息进行方便快捷的备份。
(5)备份的信息应该予以适当的保护以防信息被盗或丢失。
(6)使用移动办公设备通过公共网对公司商务信息进行远程访问时必须进行身份识别和VPN访问控制。
(7)防止移动办公设备被盗。
(8)防止保密级别为企业秘密级以上的信息所在的移动办公设备无人看管。
1.15介质的申请、使用、挂失、报废要求
(1)介质的申请:
序号责任者任务相关文件或记录
1 资产管理员按照公司的固定资产或
消耗资材申领方式向公
司申领介质。《固定资产管理制度》
《计算机维护消耗资材管理办法》
2 资产管理员从公司领取介质并登记
到《介质登记表》中。
《介质登记表》
3 资产管理员如通过设备管理,需通
过usb使用的移动存储介
质在中注册。
参见使用说明
4 资产管理员在《介质登记表》中登
记发放时间,使用人等
信息后发放介质。
《介质登记表》
(2)介质的使用:
A.如安装了设备,所有工作中使用的USB存储介质都应在中进行注册。
B.如果确认介质中的内容不再需要,应立即将其以可靠方式清除。
C.如果数据需要保存,则使用人应该保存在有良好安全措施的个人计算机和服务器上,而不应该放在计算机活动介质中。
D.所有的备份介质都应存放在安全可靠的地方,并符合生产厂家说明书的安全要求。
(3)介质的挂失:
序号责任者任务相关文件或记录
1 使用者使用人立即向资产管理员申报挂失
2 资产管理员如果是通过usb使用的移动存储介
质被挂失且在上注册过,则应在上
进行注销。
3 资产管理
员
在介质登记表中登记挂失《介质登记表》
(4)介质的报废:
序号责任者任务相关文件或记录
1 使用者1)、书面文件用碎纸机粉碎
2)、其他介质报废,使用人向
资产管理员申请介质报废。
2 资产管理
员
如果是通过usb使用的移动存储介质且在上注册过,则应在上进行注销。
3 资产管理
员
按照公司的固定资产和消耗资
材的报废流程实施。
《固定资产管理制
度》
《计算机维护消耗
资材管理办法》
4 资产管理
员
在介质清单中登记已报废《 1介质登记表》
1.16信息安全事件管理流程
(1)发现
A.公司全体员工都有责任和义务将已发现的或可疑的事件、故障和薄
弱点及时报告给相关部门或人员。
B.任何企图阻拦、干扰、报复事件报告者的行为都被视为违反公司策略。
(2)报告
A.对于部门范围内的信息安全事件,当事人可直接向部门负责人报告,并按照本部门规范进行处理。事件处理者需填写附录中的《信息
安全事件报告处理记录单》,每月将相关记录上交过程管理部。
B.除部门内可以自行处理的信息安全事件外,其余信息安全事件必须统一上报给客服记录。
(3)响应
A.客服对信息安全事件做出最初响应,将技术方面的信息安全事件交给系统服务部组织处理,将管理方面的信息安全事件交给过程管理
部组织相关部门进行处理。
B.需要做进一步调查的信息安全事件,当其影响范围涉及整个公司或影响程度严重妨碍了公司的正常运营时,报告给信息安全管理委员
会。
C.事件响应及处理者在处理安全事件时应考虑以下优先次序:
?保护人员的生命与安全
?保护敏感的设备和资料
?保护重要的数据资源
?防止系统被损坏
?将公司遭受的损失降至最小
D.如果发生违法事件,事件相关涉及部门要采集并保存有效证据,上交过程管理部报告给公司最高管理者决策,由法务部向外部法律机
构报告。必要时,法务部可以寻求外部专家的支持。
(4)评价/调查
安全事件或故障发生之后,事件处理者要对事件或故障的类型、严重程
度、发生的原因、性质、产生的损失、责任人进行调查确认,形成事件或故障
评价资料。
(5)惩戒
A.要根据事件的严重程度、造成的损失、产生的原因对违规者进行教育或者处罚。
B.惩戒手段可包括通报批评、行政警告、经济处罚、调离岗位、依据合同给予辞退,对于触犯刑律者可交司法机关处理。
C.具体处罚标准参见《信息安全管理职责程序》。
(6)公告
A.事件的调查结果要反馈给当事部门领导。
B.当事部门可组织相关的人员进行学习和培训。
1.17电子邮件安全使用规范
(1)公司电子邮件系统禁止用于创建与分发任何含有破坏性、歧视性的信息,包括对种族、性别、残疾人、年龄、职业、性取向、宗教信仰、政治信
念、国籍等方面的攻击性语言。公司的员工如果接收到任何含有此类信
息的邮件,应立即向主管领导进行汇报。
(2)禁止使用公司帐号发送连锁信。禁止使用公司电子邮件帐号发送病毒或恶意代码警告邮件。这些规则也适用于当公司员工接收到这类电子邮件
并进行转发的情况。
(3)使用的邮件软件客户端要及时升级,减少由于软件的漏洞而受到外部攻击,避免因此而导致的邮件丢失和系统中毒。
(4)邮件必须有标题,尽量以文本方式浏览邮件。
(5)陌生人的邮件附件尽量不要打开,禁止撰写、发送、转发各种垃圾邮件,禁止在未经授权的情况下利用他人的计算机系统发送互联网电子邮件。(6)禁止使用工作邮箱从事任何非法活动及其与工作无关的邮件。
(7)为了保证邮件安全禁止使用自动转发功能。
(8)公司业务信息邮件必须使用公司规定的业务专用邮箱发送,除了业务相关邮件禁止使用业务邮箱发送其他邮件。
(9)邮件必须主题明确,能够通过邮件主题判断业务类别。
(10)做好邮件的病毒防护工作。发送邮件应该注意邮件的保密,避免泄漏公司机密。
(11)所有员工都要严格遵守《电子邮件安全使用规范》的相关规定,员工之间应互相监督,及时制止违反规定的人员,对于使用公司邮箱传播反动言论、从事任何与法律或公司制度相违活动的人员将禁用或者注销其邮箱,并根据情节严重给予相应处罚或提交司法机关处理。
1.18设备报废信息安全要求
报废设备上交前,使用者自己负责将设备介质中的信息进行备份,机电一体化产品事业部负责将设备介质中的所有信息清除掉,以防信息泄漏。
1.19用户注册与权限管理策略
对任何多用户使用的信息系统和服务设施进行访问,应:
(1)使用唯一的用户名,以便将用户与其操作联系起来,使用户对其操作负责。只有因工作需要才允许使用组用户名。
(2)添加新用户或用户权限变更时应有书面申请并经过审批。
(3)系统管理员对新注册用户进行授权。
(4)应记录所有注册用户。
(5)用户因工作变更或离开组织时,应立即取消其访问权限。
(6)系统权限管理的责任人应定期组织检查并删除多余的用户名和账户,并对用户的访问权限进行定期评审或在变动后进行评审。
(7)系统权限管理的责任人需要严格控制特权的分配和使用,要对特权的分配和使用情况进行评审,确保没有非法授予用户特权,以保证对数据和信息服务的访问进行了有效的控制。
1.20用户口令管理
在进行信息系统的口令管理,应:
(1)用户需要自己维护口令,系统仅在开始时提供一个安全的临时口令,用户需要立即更改临时口令。用户忘记口令时,必须在对该用户进行适当
的身份核实后才能向其提供临时口令。
(2)在向用户提供临时口令时必须确保其安全,避免使用第三方或无保护的(明文)电子邮件,用户应对收到的口令予以确认。
(3)不允许在计算机系统上以无保护的形式存储口令。
(4)保证个人口令安全,确保工作组口令仅在本组成员间共享。
1.21终端网络接入准则
公司网络覆盖范围内使用的每台计算机,员工均应安装公司规定的防毒软件,不得私自使用其他防毒软件。
1.22终端使用安全准则
(1)每台计算机应开启实时监控功能,定期进行计算机病毒检测,并及时对防毒软件或病毒特征库进行升级更新。
(2)每台计算机应定期连接公司网络并从病毒服务器获得防病毒软件的最新定义码及扫描引擎。
(3)为防止计算机使用人员私自卸载客户端及信息安全客户端,卸载密码和工具由系统服务事业部统一管理。
(4)公司不定期组织相关部门对客户端及信息安全客户端安装情况进行抽查。
抽查情况将通报各相关部门并列入年度的绩效考核。
(5)计算机使用人员在安装、使用客户端及信息安全客户端中遇到技术问题,可通过拨打客户服务热线寻求技术支持。
(6)为防止恶意代码的侵扰,每台计算机必须按《访问控制管理程序》第
5.2.1节的要求设置管理员口令;网络共享文件必须设置密码和只读权
限。
(7)任何部门和个人不得制作、复制、传播计算机病毒,任何部门和个人负有清除或防治计算机病毒的义务。
(8)不使用来路不明或含有盗版软件的软盘与光盘,不随意安装执行从网络上下载的各种程序。当需要从计算机信息网络上下载程序、数据或者购置、维修、借入计算机设备时,应当进行计算机病毒检测。
(9)使用电子邮件,对来路不明的邮件(特别是含有附件的邮件),收到后不要打开,直接删除并清空废件箱。
1.23出口防火墙的日常管理规定
(1)为公司的出口防火墙设置只读权限,便于监视进出本公司的所有访问。(2)对防火墙的接口IP地址、用户名、口令及配置文件信息进行严格管理。(3)除授权人员外,禁止任何人员物理接触防火墙;对防火墙的远程管理仅限于指定IP地址、指定管理方式、指定用户、指定用户的管理权限。(4)严禁连接公司网络的任何单位和人员以任何形式对防火墙进行攻击。(5)集中收集、存储防火墙报警日志,定期检查防火墙安全记录,优化防火墙访问规则,杜绝安全漏洞。
(6)定期使用安全评估系统检查防火墙的各项服务是否有漏洞。
(7)部门如有公司出口防火墙的变更需求,必须通过公司审批,备案在册,由系统服务部统一操作。
1.24局域网的日常管理规定
各部门不得将私自构建的局域网接入公司网络。如需接入必须通过公司审批,备案在册,由系统服务部统一操作。
员工在办公区域只能通过公司内网联入互联网。
1.25集线器、交换机、无线AP的日常管理规定
(1)各部门不得私自使用网络访问设备。
(2)禁止使用路由器及无线路由设备。
(3)如需使用集线器、交换机、无线AP,必须通过公司审批,备案在册。(4)无线AP必须设置符合安全要求的密码(具体要求参见管理文件《访问控制管理程序》中5.2.1的要求),只有被授权人员方可使用无线网络。(5)公司定期检查集线器、交换机、无线AP的登记和使用情况。
1.26网络专线的日常管理规定
(1)各部门不得私自搭建网络专线。如需使用网络专线必须通过公司审批,备案在册。
(2)公司定期检查网络专线的登记和使用情况。
1.27信息安全惩戒
(1)全体员工(含临时员工、派遣员工、实习员工、常驻外包员工)均应遵守所有与信息安全相关的管理规定,不允许任何部门或人员有损害公司信息安全的行为。
(2)对违反信息安全管理规定,并造成严重后果的部门或员工,由公司信息安全管理委员会授权实施惩戒。
(3)惩戒手段包括通告、行政警告、经济处罚、调离岗位、依据合同予以辞退,对于触犯刑律者移交司法机关处理。
(4)对于的合同承包商和外部用户,如果违反了信息安全管理规定,公司信息安全委员会有权建议公司中止与他们的合同和协议。
信息安全管理规定
信息安全管理规定 1目的 在遵循集团《计算机信息安全管理制度》原则基础上,为确保公司网络平台、信息系统的正常运行及信息系统中的信息数据安全,防止泄密,针对公司实际情况,制定本管理规定。 2范围 本办法适用于公司全体员工。 3术语定义 3.1 计算机信息:是指存储在计算机相关设备上的应用系统(软件)、数据、文档、图纸等含有一定意义的计算机信息资料。 3.2 内部网络:是指园区网络及通过专线与园区互联的其他园区、驻外机构网络(以下简称内网)。 3.3 外部网络:是指互联网或除互联网和公司内网之外的第三方专网(以下简称外网)。 3.4 VPN:虚拟专用网络(Virtual Private Network,简称VPN),是指在公共网络上建立专用网络的技术,属于远程访问技术,就是利用公网链路架设的虚拟私有网络。 4职责 4.1信息化管理部门:公司信息化管理部门,负责计算机信息安全日常工作,事业部接入级网络交换设备的管理工作,及时向总部信息化管理部门、督察部门报告重大计算机信息安全隐患和计算机信息安全事件。 4.2 计算机用户:负责本人领用的办公计算机的日常保养、正常操作及安全管理,负责所接触计算机信息的保密性、可用性和完整性;及时向信息化管理部门报告计算机信息安全隐患和计算机信息安全事件。涉密信息的起草人必须按公司《保密制度》相关规定提出信息密级的定级申请。 5内容与要求 5.1 账号和密码安全管理 5.1.1 信息系统用户账号须严格按照业务信息系统要求进行设置,原则上不得设置成共用账号,以确保使用人与账号的唯一性。 5.1.2 员工申请信息系统账号权限时,所在部门的负责人应严格审核,控制授予满足其工作需要的最小权限;员工岗位或工作内容发生变化后应及时提出申请权限变更,应用系统管理员应及时变更异动员工的权限,冻结离职员工的账号。 5.1.3计算机用户应妥善保管好自己的系统账号密码或身份认证设备,如发现遗失或被盗,应立即向信息化管理部门报告,信息化管理部门应及时处理,确保账号使用的合法性。
XX公司信息安全管理制度
信息安全管理制度 信息安全是指通过各种策略保证公司计算机设备、信息网络平台(内部网络系统及ERP、CRM、WMS、网站、企业邮箱等)、电子数据等的安全、稳定、正常,旨在规范与保护信息在传输、交换和 存储、备份过程中的机密性、完整性和真实性。为加强公司信息安全的管理,预防信息安全事故的发生,特制定本管理制度。本制度适用于使用新合程计算机设备、信息系统、网络系统的所有人员。 1.计算机设备安全管理 1.1员工须使用公司提供的计算机设备(特殊情况的,经批准许可的方能使用自已的计算机),不 得私自调换或拆卸并保持清洁、安全、良好的计算机设备工作环境,禁止在计算机使用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 1.2严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件,当计算机出现硬件故障时应及时向信息技术部报告,不允许私自处理和维修。 1.3员工对所使用的计算机及相关设备的安全负责,如暂时离开座位时须锁定系统,移动介质自行安全保管。未经许可,不得私自使用他人计算机或相关设备,不得私自将计算机等设备带离公司。 1.4因工作需要借用公司公共笔记本的,实行“谁借用、谁管理”的原则,切实做到为工作所用,使用结束后应及时还回公司。 2.电子资料文件安全管理。 2.1文件存储 重要的文件和工作资料不允许保存在C盘(含桌面),同时定期做好相应备份,以防丢失;不进行与工作无关的下载、游戏等行为,定期查杀病毒与清理垃圾文件;拷贝至公共计算机上使用的相关资料,使用完毕须注意删除;各部门自行负责对存放在公司文件服务器P盘的资料进行审核与安全管理;若因个人原因造成数据资料泄密、丢失的,将由其本人承担相关后果。 2.2文件加密
企业信息安全规范
信息安全管理规范 第一章总则 第一条为规范企业信息系统及所承担维护服务的用户信息系统的信息安全管理,促进信息安全管理工作体系化、规范化,提高信息系统和网络服务质量,提高信息系统管理人员、维护人员以及使用人员的整体安全素质和水平,特制定本管理规范。本管理规范目标是为公司信息安全管理提供清晰的策略方向,阐明信息安全建设和管理的重要原则,阐明信息安全的所需支持和承诺。 第二条本规范是指导公司信息安全工作的基本依据,信息安全相关人员必须认真执行本规程,并根据工作实际情况,制定并遵守相应的安全标准、流程和安全制度实施细则,做好安全维护管理工作。 第三条信息安全是公司及所承担的用户信息系统系统运维服务工作的重要内容。公司管理层非常重视,大力支持信息安全工作,并给予所需的人力物力资源。 第四条本规范的适用范围包括所有与公司信息系统及本公司所承担维护服务的各方面相关联的人员,它适用于本公司全部员工,集成商,软件开发商,产品提供商,商务伙伴和使用公司信息系统的其他第三方。 第五条本规范适用于公司所承担服务支撑的外部各单位的信息系统的安全工作范围。 第六条本规范主要依据国际标准ISO17799,并遵照我国信息安全有关法律法规、电信行业规范和相关标准。 第二章安全管理的主要原则 第七条管理与技术并重的原则:信息安全不是单纯的技术问题,在采用安全技术和产品的同时,应重视管理,不断积累完善各个信息安全管理章程与规定,全面提高信息安全管理水平。
第八条全过程原则:信息安全是一个系统工程,应将它落实在系统建设、运行、维护、管理的全过程中,安全系统应遵循与信息系统同步规划、同步建设、同步运行的原则,在任何一个环节的疏忽都可能给信息系统带来危害。 第九条风险管理和风险控制原则:应进行安全风险管理和风险控制,以可以接受的成本或最小成本,确认、控制、排除可能影响公司信息系统的安全风险,并将其带来的危害最小化。 第十条分级保护原则:应根据信息资产的重要程度以及面临的风险大小等因素决定各类信息资产的安全保护级别。制订各类网络系统和信息资产的安全保护等级表,在表中明确资产类别,同时确定对何种资产应达到何种级别的安全。 第十一条统一规划、分级管理实施原则:信息安全管理遵循统一规划、分级管理的原则。信息安全领导小组负责对公司各项信息安全管理工作进行统一规划,负责信息安全管理办法的制定和监督实施。各级部门在信息安全领导小组指导与监督下,负责具体实施。 第十二条平衡原则:在公司信息安全管理过程中,应在安全性与投入成本、安全性和操作便利性之间找到最佳的平衡点。 第十三条动态管理原则:在公司信息安全管理过程中,应遵循动态管理原则,要针对信息系统环境的变动情况及时调整管理办法。 第三章安全组织和职责 第十四条建立和健全信息安全组织,设立由高层领导组成的信息安全领导小组,对于信息安全方面的重大问题做出决策,协调信息安全相关各部门之间的关系,并支持和推动信息安全工作在整个信息系统范围内的实施。 第十五条公司应设置相应的信息安全管理机构,负责信息系统的信息安全管理工作,配备专职安全管理员,由安全管理员具体执行本公司信息安全方面的相关工作。 第十六条公司信息系统的安全管理机构职责如下: 根据本规范制定信息系统的信息安全管理制度、标准规范和执行程序;
公司信息安全管理制度(修订版)
信息安全管理制度 一、总则 为了加强公司内所有信息安全的管理,让大家充分运用计算机来提高工作效率, 特制定本制度。 二、计算机管理要求 1.IT管理员负责公司内所有计算机的管理,各部门应将计算机负责人名单报给 IT管理员,IT管理员(填写《计算机IP地址分配表》)进行备案管理。如有变更,应在变更计算机负责人一周内向IT管理员申请备案。 2.公司内所有的计算机应由各部门指定专人使用,每台计算机的使用人员均定为计算机的负责人,如果其他人要求上机(不包括IT管理员),应取得计算机负责人的同意,严禁让外来人员使用工作计算机,出现问题所带来的一切责任应由 计算机负责人承担。 3.计算机设备未经IT管理员批准同意,任何人不得随意拆卸更换;如果计算机出现故障,计算机负责人应及时向IT管理员报告,IT管理员查明故障原因,提出整改措施,如属个人原因,对计算机负责人做出处罚。 4.日常保养内容: A.计算机表面保持清洁 B.应经常对计算机硬盘进行整理,保持硬盘整洁性、完整性; C.下班不用时,应关闭主机电源。 5.计算机IP地址和密码由IT管理员指定发给各部门,不能擅自更换。计算机系统专用资料(软件盘、系统盘、驱动盘)应由专人进行保管,不得随意带出公司 或个人存放。 6.禁止将公司配发的计算机非工作原因私自带走或转借给他人,造成丢失或损坏的 要做相应赔偿,禁止计算机使用人员对硬盘格式化操作。
7.计算机的内部调用: A. IT管理员根据需要负责计算机在公司内的调用,并按要求组织计算机的迁移 或调换。 B. 计算机在公司内调用,IT管理员应做好调用记录,《调用记录单》经副总经理 签字认可后交IT管理员存档。 8.计算机报废: A. 计算机报废,由使用部门提出,IT管理员根据计算机的使用、升级情况,组 织鉴定,同意报废处理的,报部门经理批准后按《固定资产管理规定》到财 务部办理报废手续。 B. 报废的计算机残件由IT管理员回收,组织人员一次性处理。 C. 计算机报废的条件:1)主要部件严重损坏,无升级和维修价值;2)修理或 改装费用超过或接近同等效能价值的设备。 三、环境管理 1.计算机的使用环境应做到防尘、防潮、防干扰及安全接地。 2.应尽量保持计算机周围环境的整洁,不要将影响使用或清洁的用品放在计算机 周围。 3.服务器机房内应做到干净、整洁、物品摆放整齐;非主管维护人员不得擅自进 入。 四、软件管理和防护 1.职责: A. IT管理员负责软件的开发购买保管、安装、维护、删除及管理。 B. 计算机负责人负责软件的使用及日常维护。 2.使用管理: A. 计算机系统软件:要求IT管理员统一配装正版Windows专业版,办公常用办
信息安全管理体系建设
a* ILIMOOH 佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目 时间:2015年12月
信息化建设引言 随着我国中小企业信息化的普及,信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面:信息化在中小企业的发展程中,对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面伴随着全球信息化和网络化进程的发展,与此相关的信息安全问题也日趋严 重。 由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识,导致中小企业的信息安全面临着较大的风险,我国中企业信息化进程已经步入普及阶段,解决我国中小企业的信息安全问题已经不容缓。 通过制定和实施企业信息安全管理体系能够规范企业员工的行为,保证各种技术手段的有效实施,从整体上统筹安排各种软硬件,保证信息安全体系同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故生后能够及时采取有效的措施,防止信息安全事故带来巨大的损失,而更重的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。 信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的,由 新的威胁不断出现,信息安全管理是一个相对的、动态的过程,企业能做到的 就是要不断改进自身的信息安全状态,将信息安全风险控制在企业可接受的围之内,获得企业现有条件下和资源能力范围内最大程度的安全。 在信息安全管理领域,三分技术,七分管理”的理念已经被广泛接受。结合 ISO/IEC27001信息安全管理体系,提出一个适合我国中小企业的信息安全管理的模型,用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管 理能力。 IS027001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行(如下
ISMS手册信息安全管理体系手册
ISMS 手册-信息安全管理体系手册7 信息安全管理IT 服务管理体系手册 发布令 本公司按照ISO20000:2005 《信息技术服务管理—规范》和ISO27001 :2005 《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT 服务管理体系手册》,建立与本公司业务相一致的信息安全与IT 服务管理体系, 现予以颁布实施。 本手册是公司法规性文件,用于贯彻公司信息安全管理方针和目标,贯彻IT 服务管理理念方针和服务目标。为实现信息安全管理与IT 服务管理,开展持续改进 服务质量,不断提高客户满意度活动,加强信息安全建设的纲领性文件和行动准 则。是全体员工必须遵守的原则性规范。体现公司对社会的承诺,通过有效的PDCA 活动向顾客提供满足要求的信息安全管理和IT 服务。 本手册符合有关信息安全法律法规要求以及ISO20000:2005 《信息技术服务 管理—规范》、ISO27001 :2005 《信息安全管理体系要求》和公司实际情况。为能更好的贯彻公司管理层在信息安全与IT 服务管理方面的策略和方针,根据 ISO20000:2005 《信息技术服务管理—规范》和ISO27001 :2005 《信息安全管理体系要求》的要求任命XXXXX 为管理者代表,作为本公司组织和实施“信息安全管理与IT 服务管理体系”的负责人。直接向公司管理层报告。 全体员工必须严格按照《信息安全管理&IT 服务管理体系手册》要求,自觉遵守本手册各项要求,努力实现公司的信息安全与IT 服务的方针和目标。 管理者代表职责:
a)建立服务管理计划; b)向组织传达满足服务管理目标和持续改进的重要性; e)确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源,如招聘合适的人员,管理人员的更新; 1.确保按照ISO207001:2005 标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;按照ISO/IEC20000 《信息技术服务管理-规范》的要求,组织相关资源,建立、实施和保持IT 服务管理体系,不断改进IT 服务管理体系,确保其有效性、适宜性和符合性。 2.负责与信息安全管理体系有关的协调和联络工作;向公司管理层报告 IT 服务管理体系的业绩,如:服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。 3.确保在整个组织内提高信息安全风险的意识; 4.审核风险评估报告、风险处理计划; 5.批准发布程序文件; 6.主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告; 向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情况、内外部审核情况。 7.推动公司各部门领导,积极组织全体员工,通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度,以及为达到公司服 务管理目标所应做出的贡献。 总经理:
信息安全管理系统的规范
信息安全管理系统的规范 第二部分:信息安全管理系统的规范 1 1. 范围 BS 7799的这个部分指明了对建立、实现和文档化信息安全管理系统(ISMSs)的需求。它指明了将要按照个别机构的需要而实现的安全控制的需求。 注:第一部分给出了对最佳惯例的推荐建议,这些惯例支持该规范中的需求。BS 7799的这个部分的条款4给出的那些控制目标和控制来自于BS 7799-1:1999并与改部分的内容保持一致。 2. 术语与定义 为了BS 7799的这个部分,BS 7799-1给出的定义适用于该部分,并有以下专用术语: 2.1 适用性说明 适用于机构的安全要求的目标和控制的批评。 3.信息安全管理系统的要求 3.1概要 机构应建立及维护一个信息安全管理系统,目的是保护信息资产,订立机构的风险管理办法、安全控制目标及安全控制,以及达到什么程度的保障。 3.2建立一个管理框架 以下的步骤是用来找出及记录安全控制目标及安全控制的(参看图一): a) 应定义信息安全策略; b) 应定义信息安全管理系统的范围,定义范围可以是机构的特征、位置、资产及 技术;
c) 应进行合适的风险评估。风险评估应确认对资产的安全威胁、漏洞及对机构的 冲击,从而定出风险的严重程度; d) 根据机构的信息安全策略及所要求达到的保障程度定出要管理的风险; e) 从以下第四条款选出机构要实现的安全控制目标及要实施的安全控制; f) 应准备一份适用性声明书,说明选出哪些安全控制目标及安全控制以及选择的 原因。 以上步骤应定期重复,确定系统的适用性。 2 3.3实施 选出的安全控制目标及安全控制应由机构有效地执行,实施控制的执行程序是否有效应根据4.10.2的规定进行检查。 3.4文档 信息安全管理系统的说明文档应包括以下信息: a) 按照3.2所定的步骤实现的证据; b) 管理架构的总结,其中包括信息安全策略、在适用性声明书所提及的安全控制 目标和已经实现的安全控制; c) 为了实现3.3所指定的控制而采用的程序;这些程序应该刻画责任以及相关行 动; d) 覆盖该ISMS中的管理和操作的程序,这些程序应该指出有哪些责任及其有关
ISO27001信息安全管理体系标准中文版
ISO标准——IEC 27001:2005 信息安全管理体系—— 规范与使用指南 Reference number ISO/IEC 27001:2005(E)
0简介 0.1总则 本国际标准的目的是提供建立、实施、运作、监控、评审、维护和改进信息安全管理体系(ISMS)的模型。采用ISMS应是一个组织的战略决定。组织ISMS的设计和实施受业务需求和目标、安全需求、应用的过程及组织的规模、结构的影响。上述因素和他们的支持系统预计会随事件而变化。希望根据组织的需要去扩充ISMS的实施,如,简单的环境是用简单的ISMS解决方案。 本国际标准可以用于内部、外部评估其符合性。 0.2过程方法 本国际标准鼓励采用过程的方法建立、实施、运作、监控、评审、维护和改进一个组织的ISMS的有效性。 一个组织必须识别和管理许多活动使其有效地运行。通过利用资源和管理,将输入转换为输出的活动,可以被认为是一个过程。通常,一个过程的输出直接形成了下一个过程的输入。 组织内过程体系的应用,连同这些过程的识别和相互作用及管理,可以称之这“过程的方法”。 在本国际标准中,信息安全管理的过程方法鼓励用户强调以下方面的重要性: a)了解组织信息安全需求和建立信息安 全策略和目标的需求; b)在组织的整体业务风险框架下,通过 实施及运作控制措施管理组织的信息 安全风险; c)监控和评审ISMS的执行和有效性; d)基于客观测量的持续改进。 本国际标准采用了“计划-实施-检查-改进”(PDCA)模型去构架全部ISMS流程。图1显示ISMS如何输入相关方的信息安全需求和期望,经过必要的处理,产生满足需求和期望的产品信息安全输出,图1阐明与条款4、5、6、7、8相关。 采用PDCA模型将影响OECD《信息系统和网络的安全治理》(2002)中陈述的原则,0 Introduction 0.1 General This International Standard has been prepared to provide a model for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an Information Security Management System (ISMS). The adoption of an ISMS should be a strategic decision for an organization. The design and implementation of an organization’s ISMS is influenced by their needs and objectives, security requirements, the processes employed and the size and structure of the organization. These and their supporting systems are expected to change over time. It is expected that an ISMS implementation will be scaled in accordance with the needs of the organization, e.g. a simple situation requires a simple ISMS solution. This International Standard can be used in order to assess conformance by interested internal and external parties. 0.2 Process approach This International Standard adopts a process approach for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an organization's ISMS. An organization needs to identify and manage many activities in order to function effectively. Any activity using resources and managed in order to enable the transformation of inputs into outputs can be considered to be a process. Often the output from one process directly forms the input to the next process. The application of a system of processes within an organization, together with the identification and interactions of these processes, and their management, can be referred to as a “process approach”. The process approach for information security management presented in this International Standard encourages its users to emphasize the importance of: a) understanding an organization’s information security requirements and the need to establish policy and objectives for information security; b) implementing and operating controls to manage an organization's information security risks in the context of the organization’s overall business risks; c) monitoring and reviewing the performance and effectiveness of the ISMS; and d) continual improvement based on objective measurement. This International Standard adopts the "Plan-Do-Check-Act" (PDCA) model, which is applied to structure all ISMS processes. Figure 1 illustrates how an ISMS takes as input the information security requirements and expectations of the interested parties and through the necessary actions and processes produces information security outcomes that meets those requirements and expectations. Figure 1 also illustrates the links in the processes presented in Clauses 4, 5, 6, 7 and 8. The adoption of the PDCA model will also reflect the principles as set out in the
信息安全系统管理系统要求规范
信息安全管理规范公司
版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要
Table of Contents(目录) 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级(保密级别)规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息? (21) 2.2什么是信息安全? (21)
网络数据和信息安全管理规范
网络数据和信息安全管 理规范 IMB standardization office【IMB 5AB- IMBK 08- IMB 2C】
X X X X有限公司 WHB-08 网络数据和信息安全管理规范 版本号: A/0 编制人: XXX 审核人: XXX 批准人: XXX 20XX年X月X日发布 20XX年X月X日实施
目的 计算机网络为公司局域网提供网络基础平台服务和互联网接入服务。为保证公司计算机信息及网络能够安全可靠的运行,充分发挥信息服务方面的重要作用,更好的为公司运营提供服务,依据国家有关法律、法规的规定,结合公司实际情况制定本规定。 术语 本规范中的名词术语(比如“计算机信息安全”等)符合国家以及行业的相关规定。 计算机信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法系统辨识,控制。即确保信息的完整性、保密性、可用性和可控性。包括操作系统安全、数据库安全、病毒防护、访问权限控制、加密与鉴别等七个方面。 狭义上的计算机信息安全,是指防止有害信息在计算机网络上的传播和扩散,防止计算机网络上处理、传输、存储的数据资料的失窃和毁坏,防止内部人员利用计算机网络制作、传播有害信息和进行其他违法犯罪活动。 网络安全,是指保护计算机网络的正常运行,防止网络被入侵、攻击等,保证合法用户对网络资源的正常访问和对网络服务的正常使用。 计算机及网络安全员,是指从事的保障计算机信息及网络安全工作的人员。 普通用户,是指除了计算机及网络安全员之外的所有在物理或者逻辑上能够访问到互联网、企业计算机网及各应用系统的公司内部员工。 主机系统,指包含服务器、工作站、个人计算机在内的所有计算机系统。本规定所称的重要主机系统指生产、办公用的Web服务器、Email服务器、DNS服务器、OA服务器、企业运营管理支撑系统服务器、文件服务器、各主机系统等。 网络服务,包含通过开放端口提供的网络服务,如WWW、Email、FTP、Telnet、DNS等。有害信息,参见国家现在法律法规的定义。
企业信息安全保密管理办法
企业信息安全保密管理办法 1.目的作用 企业内部的“信息流”与企业的“人流”、“物流”、“资金流”,均为支持企业生存与发展的最基本条件。可见信息与人、财、物都是企业的财富,但信息又是一种无形的资产,客观上使人们利用过程中带来安全管理上的困难。为了保护公司的利益不受侵害,需要加强对信息的保密管理,使公司所拥有的信息在经营活动中充分利用,为公司带来最大的效益,特制定本制度。 2.管理职责 由于企业的信息贯穿在企业经营活动的全过程和各个环节,所以信息的保密管理,除了领导重视而且需全员参与,各个职能部门人员都要严格遵守公司信息保密制度,公司督察部具体负责对各部门执行情况的检查和考核。 3.公司文件资料的形成过程保密规定 拟稿过程 拟稿是文件、资料保密工作的开始,对有保密要求的文件、资料,在拟稿过程应按以下规定办理: 初稿形成后,要根据文稿内容确定密级和保密期限,在编文号时应具体标明。 草稿纸及废纸不得乱丢,如无保留价值应及时销毁。 文件、资料形成前的讨论稿、征求意见稿、审议稿等,必须同定稿一样对待,按保密原则和要求管理。 印制过程 秘密文件、资料,应由公司机要打字员打印,并应注意以下几点:要严格按照主管领导审定的份数印制,不得擅自多印多留。 要严格控制印制工程中的接触人员。 打印过程形成的底稿、清样、废页要妥善处理,即使监销。 复制过程 复制过程是按照规定的阅读范围扩大文件、资料发行数量,要求如下:复制秘密文件、资料要建立严格的审批、登记制度。 复制件与正本文件、资料同等密级对待和管理。 严禁复制国家各种秘密文稿和国家领导人的内部讲话。
绝密文件、资料、未经原发文机关批准不得自行复制。 4.公司文件资料传递、阅办过程保密规定 收发过程 收进文件时要核对收件单位或收件人,检查信件封口是否被开启。 收文启封后,要清点份数,按不同类别和密级,分别进行编号、登记、加盖收文章。 发文时要按照文件、资料的类别和文号及顺序号登记清楚去向,并填写好发文通知单,封面要编号并加盖密级章。 收发文件、资料都要建立登记制度和严格实行签收手续。 递送过程 企业内部建有文件、资料交换站的,可通过交换站进行,一律直送直取。 递送外地文件、资料,要通过机要交通或派专人递送。 凡携带秘密文件、资料外出,一般要有两人以上同行,必须装在可靠的文件包或箱内,做到文件不离人。 递送的秘密文件、资料,一律要包装密封,并标明密级。 阅办过程 呈送领导人批示的文件、资料、应进行登记。领导人批示后,要及时退还或由经管文件部门当日收回。 领导人之间不得横向传批文件、不得把文件直接交承办单位(人)。凡需有关部门(人)承办的文件、资料,一律由文件经管部门办理。 绝密文件、资料,一般不传阅,应在特别设立的阅文室内阅读。 秘密文件、资料,不得长时间在个人手中保留,更不能带回家或公共场所。 要控制文件、资料阅读范围,无关人员不能看文件、资料。 5.公司文件资料归档、保管过程中的保密规定 归档过程 秘密文件、资料在归档时,要在卷宗的扉页标明原定密级,并以文件资料中最高密级为准。 不宜于保留不属于企业留存的“三密”文件、资料,要及时清理上交或登记销毁,防止失散。 有密级的档案,要按保密文件、资料管理办法进行管理。 保密过程
ISO 270001 信息安全管理体系标准业务
一、信息安全管理体系标准业务介绍 1、背景介绍 信息作为组织的重要资产,需要得到妥善保护。但随着信息技术的高速发展,特别是Internet的问世及网上交易的启用,许多信息安全的问题也纷纷出现:系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。安全问题所带来的损失远大于交易的帐面损失,它可分为三类,包括直接损失、间接损失和法律损失: ·直接损失:丢失订单,减少直接收入,损失生产率; ·间接损失:恢复成本,竞争力受损,品牌、声誉受损,负面的公众影响,失去未来的业务机会,影响股票市值或政治声誉; ·法律损失:法律、法规的制裁,带来相关联的诉讼或追索等。 所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏和泄露,已成为当前企业迫切需要解决的问题。 俗话说“三分技术七分管理”。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以,我们需要一个系统的、整体规划的信息安全管理体系,从预防控制的角度出发,保障组织的信息系统与业务之安全与正常运作。
2、标准发展 目前,在信息安全管理体系方面,ISO27001:2005――信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。标准适用于各种性质、各种规模的组织,如政府、银行、电讯、研究机构、外包服务企业、软件服务企业等。 2008年6月,ISO27001同等转换成国内标准GB/T22080-2008,并在2008年11月1日正式实施。 经过多年的发展,信息安全管理体系国际标准已经出版了一系列的标准,其中ISO/IEC27001是可用于认证的标准,其他标准可为实施信息安全管理的组织提供实施的指南。目前各标准的现行状态如下表1: 表1 ISO27000标准族现行状态
信息安全管理规范完整篇.doc
信息安全管理规范1 1.0目的 为了预防和遏制公司网络各类信息安全事件的发生,及时处理网络出现的各类信息安全事件,减轻和消除突发事件造成的经济损失和社会影响,确保移动通信网络畅通与信息安全,营造良好的网络竞争环境,有效进行公司内部网络信息技术安全整体控制,特制定本规范。 2.0 适用范围 本管理规范适用于四川移动所属系统及网络的信息安全管理及公司内部信息技术整体的控制。 3.0 信息安全组织机构及职责: 根据集团公司关于信息安全组织的指导意见,为保证信息安全工作的有效组织与指挥,四川移动通信有限责任公司建立了网络与信息安全工作管理领导小组,由公司分管网络的副总经理任组长,网络部分管信息安全副总经理任副组长,由省公司网络部归口进行职能管理,省公司各网络生产维护部门设置信息安全管理及技术人员,负责信息安全管理工作,省监控中心设置安全监控人员,各市州分公司及生产中心设置专职或兼职信息安全管理员,各系统维护班组负责系统信息安全负责全省各系统及网络的信息安全管理协调工作。 3.1.1网络与信息安全工作管理组组长职责: 负责公司与相关领导之间的联系,跟踪重大网络信息安全事
件的处理过程,并负责与政府相关应急部门联络,汇报情况。 3.1.2网络与信息安全工作管理组副组长职责: 负责牵头制定网络信息安全相关管理规范,负责网络信息安全工作的安排与落实,协调网络信息安全事件的解决。 3.1.3省网络部信息安全职能管理职责: 省公司网络部设置信息安全管理员,负责组织贯彻和落实各项安全管理要求,制定安全工作计划;制订和审核网络与信息安全管理制度、相关工作流程及技术方案;组织检查和考核网络及信息安全工作的实施情况;定期组织对安全管理工作进行审计和评估;组织制定安全应急预案和应急演练,针对重大安全事件,组织实施应急处理 工作及后续的整改工作;汇总和分析安全事件情况和相关安全状况信息;组织安全教育和培训。 3.1.4信息安全技术管理职责: 各分公司、省网络部、省生产中心设置信息安全技术管理员,根据有限公司及省公司制定的技术规范和有关技术要求,制定实施细则。对各类网络、业务系统和支撑系统提出相应安全技术要求,牵头对各类网络和系统实施安全技术评估和工作;发布安全漏洞和安全威胁预警信息,并细化制定相应的技术解决方案;协助制定网络与信息安全的应急预案,参与应急演练;针对重大安全事件,组织实施应急处理,并定期对各类安全事件进行技术分析。
信息安全管理体系建设
佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目 编写人员:黄世荣 编写日期:2015年12月7日 项目缩写: 文档版本:V1.0 修改记录: 时间:2015年12月
一、信息化建设引言 随着我国中小企业信息化的普及,信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面:信息化在中小企业的发展过程中,对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面,伴随着全球信息化和网络化进程的发展,与此相关的信息安全问题也日趋严重。 由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识,导致中小企业的信息安全面临着较大的风险,我国中小企业信息化进程已经步入普及阶段,解决我国中小企业的信息安全问题已经刻不容缓。 通过制定和实施企业信息安全管理体系能够规范企业员工的行为,保证各种技术手段的有效实施,从整体上统筹安排各种软硬件,保证信息安全体系协同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故发生后能够及时采取有效的措施,防止信息安全事故带来巨大的损失,而更重要的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。 信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的,由于新的威胁不断出现,信息安全管理是一个相对的、动态的过程,企业能做到的就是要不断改进自身的信息安全状态,将信息安全风险控制在企业可接受的范围之内,获得企业现有条件下和资源能力范围内最大程度的安全。 在信息安全管理领域,“三分技术,七分管理”的理念已经被广泛接受。结合ISO/IEC27001信息安全管理体系,提出一个适合我国中小企业的信息安全管理的模型,用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管理能力。 二、ISO27001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行(如下图所示)。首先,各个组织应该根据自身的状况来搭建适合自身业务发展和信息安全需求的ISO27001信息安全管理体系框架,并在正常的业务开展过程中具体
电信公司信息安全管理八项制度
关于下发《**电信公司信息安全管理八项制度 (试行)》的通知 县级分公司、公司各部门: 根据中电信黑[2011] 793 号《黑龙江电信信息安全管理八项制度(试行)》,制定了《**电信公司信息安全管理八项制度(试行)》,请认真遵照执行。并将执行过程中出现的新情况,新问题及时反馈至运行维护部。 各相关职能部门要按照本制度规范尽快落实本部门的信息安全工作及责任人。 附件 1:**电信公司业务经营、合作的信息安全评估保障制度 附件 2:**电信公司违法违规信息应急处置流程 附件 3:**电信公司信息安全工作(资金、人员)保障制度
附件 4:**电信公司信息安全管理考核和奖惩制度附件 5:**电信公司信息安全技术保障制度 附件 6:**电信公司信息安全事件报告制度 附件 7:**电信公司信息安全事件应急处置制度附件 8:**电信公司信息安全组织机构管理制度
附件 1: **电信公司基础业务经营、合作的 信息安全评估保障制度 一、公司产品内容上线前应当由专人对相关内容的合法合规性进行审核,做到先审后发,产品中未通过审核的相关内容不得上线运营。需要审核的产品内容包括但不仅限于各产品中以公司名义对外发布的以及客户通过公司自营网站对外发布的图片、文字、流媒体等信息内容。 二、公司自营网站、自营业务业务板块或栏目新增、变更,须经各级公司部门负责人同意,报公司分管领导审批。 三、与合作方(含代收费)进行业务合作前,各部门业务运营部门(中心)应当严格审核其电信业务经营许可证或备案许可证、营业执照等经营资质材料,对其身份信息当面核验、留存有效证件复印件并报公司信息安全业务管理部门复核。在签订合作协议时,必须要求合作方签订《信息安全承诺书》,明确其负责合作涉及业务的信息安全,约定信息安全考核制度和违法违规处罚标准。 四、合作业务涉及合作方需进行 IP 地址和域名备案的, 在业务开通前,必须要求合作方出具 IP 地址和域名已经备案 的书面证明函件。
ISO27001-2013信息安全管理体系要求.
目录 前言 (3 0 引言 (4 0.1 总则 (4 0.2 与其他管理系统标准的兼容性 (4 1. 范围 (5 2 规范性引用文件 (5 3 术语和定义 (5 4 组织景况 (5 4.1 了解组织及其景况 (5 4.2 了解相关利益方的需求和期望 (5 4.3 确立信息安全管理体系的范围 (6 4.4 信息安全管理体系 (6 5 领导 (6 5.1 领导和承诺 (6 5.2 方针 (6 5.3 组织的角色,职责和权限 (7 6. 计划 (7 6.1 应对风险和机遇的行为 (7
6.2 信息安全目标及达成目标的计划 (9 7 支持 (9 7.1 资源 (9 7.2 权限 (9 7.3 意识 (10 7.4 沟通 (10 7.5 记录信息 (10 8 操作 (11 8.1 操作的计划和控制措施 (11 8.2 信息安全风险评估 (11 8.3 信息安全风险处置 (11 9 性能评价 (12 9.1监测、测量、分析和评价 (12 9.2 内部审核 (12 9.3 管理评审 (12 10 改进 (13 10.1 不符合和纠正措施 (13 10.2 持续改进 (14 附录A(规范参考控制目标和控制措施 (15
参考文献 (28 前言 0 引言 0.1 总则 本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。采用信息安全管理体系是组织的一项战略性决策。组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。 信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并给相关方建立风险得到充分管理的信心。 重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制措施的设计中要考虑到信息安全。信息安全管理体系的实施要与组织的需要相符合。 本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。 本标准中表述要求的顺序不反映各要求的重要性或实施顺序。条款编号仅为方便引用。 ISO/IEC 27000参考信息安全管理体系标准族(包括ISO/IEC 27003[2]、ISO/IEC 27004[3]、ISO/IEC 27005[4]及相关术语和定义,给出了信息安全管理体系的概述和词汇。 0.2 与其他管理体系标准的兼容性