信息安全系統(tǒng)管理系統(tǒng)要求規(guī)范

1、實用標(biāo)準(zhǔn)文檔大全公司信息安全管理規(guī)范版本信息當(dāng)前版本：最新更新日期：最新更新作者：作者：創(chuàng)建日期：審批人：審批日期：修訂歷史版本號更新日期修訂作者主要修訂摘要Table of Con te nts （目錄）1. 公司信息安全要求51.1 信息安全方針 51.2 信息安全工作準(zhǔn)則 51.3 職責(zé) 61.4 信息資產(chǎn)的分類規(guī)定 61.5 信息資產(chǎn)的分級（保密級別）規(guī)定 71.6 現(xiàn)行保密級別與原有保密級別對照表 71.7 信息標(biāo)識與處置中的角色與職責(zé) 81.8 信息資產(chǎn)標(biāo)注管理規(guī)定 91.9 允許的信息交換方式 91.10 信息資產(chǎn)處理和保護(hù)要求對應(yīng)表 91.11 口令使用策略 111.12 桌面

2、、屏幕清空策略 111.13 遠(yuǎn)程工作安全策略 121.14 移動辦公策略 121.15 介質(zhì)的申請、使用、掛失、報廢要求 131.16 信息安全事件管理流程 141.17 電子郵件安全使用規(guī)范 161.18 設(shè)備報廢信息安全要求 171.19 用戶注冊與權(quán)限管理策略 171.20 用戶口令管理 181.21 終端網(wǎng)絡(luò)接入準(zhǔn)則 181.22 終端使用安全準(zhǔn)則 181.23 出口防火墻的日常管理規(guī)定 191.24 局域網(wǎng)的日常管理規(guī)定 191.25 集線器、交換機(jī)、無線 AFP勺日常管理規(guī)定 191.26 網(wǎng)絡(luò)專線的日常管理規(guī)定 201.27 信息安全懲戒 202. 信息安全知識212.1 什么

3、是信息？ 212.2 什么是信息安全？ 212.3 信息安全的三要素 212.4 什么是信息安全管理體系？ 222.5 建立信息安全管理體系的目的 222.6 信息安全管理的PDC模式 232.7 安全管理風(fēng)險評估過程 232.8 信息安全管理體系標(biāo)準(zhǔn)（IS027001標(biāo)準(zhǔn)家族） 242.9 信息安全控制目標(biāo)與控制措施 251.公司信息安全要求1.1信息安全方針擁有信息資產(chǎn)，積累、共享并保護(hù)信息資產(chǎn)是我們共同的責(zé)任。 管理與技術(shù)并重，確保公司信息資產(chǎn)的安全，保障公司持續(xù)正常運營。 履行對客戶知識產(chǎn)權(quán)的保護(hù)承諾，保障客戶信息資產(chǎn)的安全，滿足并超越 客戶信息安全需求。1.2信息安全工作準(zhǔn)則保護(hù)信息

4、的機(jī)密性、完整性和可用性，即確保信息僅供給那些獲得授權(quán)的 人員使用、保護(hù)信息及信息處理方法的準(zhǔn)確性和完整性、確保獲得授權(quán)的 人員能及時可靠地使用信息及信息系統(tǒng)；公司通過建立有效的信息安全管理體系和必要的技術(shù)手段，保障信息資產(chǎn) 的安全，降低信息安全風(fēng)險；各級信息安全責(zé)任者負(fù)責(zé)所轄區(qū)域的信息安全，通過建立相關(guān)制度及有效 的保護(hù)措施，確保公司的信息安全方針得到可靠實施；全體員工應(yīng)只訪問或使用獲得授權(quán)的信息系統(tǒng)及其它信息資產(chǎn)，應(yīng)按要求選擇和保護(hù)口令；未經(jīng)授權(quán)，任何人不得對公司信息資產(chǎn)進(jìn)行復(fù)制、利用或用于其它目的；應(yīng)及時檢測病毒，防止惡意軟件的攻擊；公司擁有為保護(hù)信息安全而使用監(jiān)控手段的權(quán)力，任何違反信

5、息安全政策的員工都將受到相應(yīng)處理；通過建立有效和高效的信息安全管理體系，定期評估信息安全風(fēng)險，持續(xù)改進(jìn)信息安全管理體系。1.3職責(zé)全體員工應(yīng)保護(hù)公司信息資產(chǎn)的安全。每個員工必須認(rèn)識到信息資產(chǎn)的價 值，負(fù)責(zé)保護(hù)好自己生成、管理或可觸及的涉及的數(shù)據(jù)和信息。員工必須遵守 信息標(biāo)識與處理程序，了解信息的保密級別。對于不能確定是否為涉密信 息的內(nèi)容，必須征得相關(guān)管理部門的確認(rèn)才可對外披露。員工必須遵守信息安 全相關(guān)的各項制度和規(guī)定，保證的系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)僅用于的各項工作相關(guān)的 用途，不得濫用。1.4信息資產(chǎn)的分類規(guī)定公司的信息資產(chǎn)分為電子數(shù)據(jù)、軟件、硬件、實體信息、服務(wù)五大類類別說明電子數(shù)據(jù)存在信息媒介

6、上的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫數(shù)據(jù)等各 種電子化的數(shù)據(jù)資料、項目文檔、管理文檔、運行管理規(guī)程、計 戈V、報告、用戶手冊、作業(yè)指導(dǎo)書等各種電子化的數(shù)據(jù)資料。軟件包括系統(tǒng)軟件、應(yīng)用軟件、共享軟件系統(tǒng)軟件：操作系統(tǒng)、語言包、工具軟件、各種庫等； 應(yīng)用軟件：外部購買的應(yīng)用軟件，辦公軟件等； 共享軟件：各種共享源代碼、共享可執(zhí)行程序等。硬件網(wǎng)絡(luò)設(shè)備：路由器、網(wǎng)關(guān)、交換機(jī)等計算機(jī)設(shè)備：大型機(jī)、服務(wù)器、工作站、臺式計算機(jī)、移動計算 機(jī)等存儲設(shè)備：磁帶機(jī)、磁盤陣列、工控機(jī)等移動存儲設(shè)備：磁帶、光盤、軟盤、U盤、移動硬盤等傳輸線路：光纖、雙絞線等基礎(chǔ)保障設(shè)備：（UPS變電設(shè)備等）、空調(diào)、保險柜、文件 柜、

7、門禁、消防設(shè)施等，如對基礎(chǔ)設(shè)施使用屬于租用形式，請將其 識別到服務(wù)類別中。安全保障設(shè)備：硬件防火墻、入侵檢測系統(tǒng)、身份驗證等其他電子設(shè)備：打印機(jī)、復(fù)印機(jī)、掃描儀、傳真機(jī)等實體信息紙制的各種文件、合同、傳真、會議紀(jì)要、財務(wù)報表、證書、電 報、發(fā)展計劃以及各類其他材質(zhì)的證書獎牌等。服務(wù)通過各種協(xié)議方式固化下來的服務(wù)活動、如物業(yè)、第三方、供應(yīng) 商、提供檢修服務(wù)的提供方等。1.5信息資產(chǎn)的分級（保密級別）規(guī)定信息資產(chǎn)分為：一般、內(nèi)部公開、企業(yè)秘密、企業(yè)機(jī)密 4個保密級別。保密級別名稱說明1一般一般性信息，可以公開的信息、信息處理設(shè)備和系統(tǒng) 資源。2內(nèi)部公開非敏感但僅限公司內(nèi)部使用的信息、信息處理設(shè)備和

8、 系統(tǒng)資源。3企業(yè)秘 密敏感的信息、信息處理設(shè)備和系統(tǒng)資源，只給必須知 道者。4企業(yè)機(jī) 密敏感的信息、信息處理設(shè)備和系統(tǒng)資源，僅適用極少 數(shù)必須知道的人。1.6現(xiàn)行保密級別與原有保密級別對照表保密級別與公司原有的保密級別的對照表如下：現(xiàn)行的保密級別與之相當(dāng)?shù)脑斜Ｃ芗墑e一般一般內(nèi)部公開秘密企業(yè)秘密機(jī)密企業(yè)機(jī)密絕密1.7信息標(biāo)識與處置中的角色與職責(zé)角色職責(zé)責(zé)任人：信息資產(chǎn)的創(chuàng)建者，或者主要用戶所在組織、單位 或部門的負(fù)責(zé)人。信息資產(chǎn)責(zé) 任人對所屬信息資產(chǎn)負(fù)直接責(zé) 任。理解和各種信息訪問活動相關(guān)的安全風(fēng)險；根據(jù)公司信息密級劃分標(biāo)準(zhǔn)來確定所屬信 息資產(chǎn)的級別；根據(jù)公司相關(guān)策略確定并檢查信息訪冋權(quán)限；

9、針對所屬信息資產(chǎn)提出恰當(dāng)?shù)谋Ｗo(hù)措施。保官者：受信息資產(chǎn)責(zé)任人 委托，對信息資產(chǎn)進(jìn)行日常 的管理，維護(hù)已經(jīng)建立的保 護(hù)措施。資產(chǎn)保管者通常是 公司或部門的IT管理者或者 代表（例如系統(tǒng)管理員）。根據(jù)公司相關(guān)策略和信息資產(chǎn)責(zé)任人的要 求，負(fù)責(zé)信息資產(chǎn)的維護(hù)操作和日常管理 事務(wù)；負(fù)責(zé)具體設(shè)置信息訪問權(quán)限；負(fù)責(zé)所管理的信息資產(chǎn)的安全控制； 部署恰當(dāng)?shù)陌踩珯C(jī)制，進(jìn)行備份和恢復(fù)操 作；按照信息資產(chǎn)責(zé)任人的要求實施其他控 制。用戶：信息資產(chǎn)的使用者，除 了公司內(nèi)部員工，也可能是因 為業(yè)務(wù)需要而訪問公司信息的 客戶或第二方組織。向信息責(zé)任人申請信息訪問；按照公司信息安全策略要求正當(dāng)訪問信 息，禁止非授權(quán)訪問；

10、向相關(guān)組織報告隱患、故障或者違規(guī)事 件。1.8信息資產(chǎn)標(biāo)注管理規(guī)定（1）公司所屬的各類信息資產(chǎn)，無論其存在形式是電子、紙質(zhì)還是磁盤等， 都應(yīng)在顯著位置標(biāo)注其保密級別。（2）一般電子或紙質(zhì)文檔應(yīng)在該文檔頁眉的右上角或頁腳上標(biāo)注其保密級別 或在文件封面打上保密章，磁盤等介質(zhì)應(yīng)在其表面非數(shù)據(jù)區(qū)予以標(biāo)注其 保密級別。（3）如果某存儲介質(zhì)中包含各個級別的信息，作為整體考慮，該存儲介質(zhì)的 保密級別標(biāo)注應(yīng)以最高為準(zhǔn)。（4）如果沒有明顯的保密級別標(biāo)注，該信息資產(chǎn)以“一般”級別看待。（5）對于對外公開的信息，需要得到相關(guān)責(zé)任人的核準(zhǔn)，并由對外信息發(fā)布 部門統(tǒng)一處理。（6）如需在信息資產(chǎn)上表述保密聲明，可采用以下

11、兩種表述方式：表述方式一：“保密聲明：公司資產(chǎn)，注意保密?！北硎龇绞蕉骸氨Ｃ苈暶鳎罕疚臋n受國家相關(guān)法律和公司制度保護(hù)，不 得擅自復(fù)制或擴(kuò)散。”1.9允許的信息交換方式公司允許的信息交換方式有：郵件、視頻、電話、網(wǎng)站內(nèi)容發(fā)布、文件共 享、傳真、光盤、磁盤、磁帶和紙張。1.10信息資產(chǎn)處理和保護(hù)要求對應(yīng)表企業(yè)機(jī)密企業(yè)秘密內(nèi)部公開一般授權(quán)需得到責(zé)任人和 公司管理層批準(zhǔn)需得到相關(guān)責(zé)任 人及部門領(lǐng)導(dǎo)批準(zhǔn)需得到責(zé)任人批準(zhǔn)無特別要求訪只能被得到授權(quán)只能被公司內(nèi)部可以被公任何公問的公司極少數(shù)核心 人員訪問或外部得到明確授 權(quán)的人員訪問，訪 問者應(yīng)該簽署保密 協(xié)議司內(nèi)部或外 部因為業(yè)務(wù) 需要的人員 訪問司員工

12、或 外部人員 都可以訪 問存儲電子類的應(yīng)該加 密存儲在安全的計 算機(jī)系統(tǒng)內(nèi)；硬拷 貝應(yīng)該鎖在安全的 保險柜內(nèi)；禁止以 其他形式存儲或顯 示電子類的應(yīng)該妥 善保存在設(shè)有安全 控制的計算機(jī)系統(tǒng) 內(nèi)（建議進(jìn)行信息 加密）；硬拷貝應(yīng) 該妥善保管，嚴(yán)禁 擺放在桌面；使用 白板展示后應(yīng)立即 擦除電子類的 應(yīng)該妥善保 管，可以進(jìn) 行加密；紙 質(zhì)不應(yīng)放在 桌面以恰當(dāng) 方式保 存，避免 被非授權(quán) 人員看 到；存儲 有信息的 介質(zhì)避免 丟失復(fù)制得到相關(guān)責(zé)任人 及公司管理層批 準(zhǔn)；需要登記須經(jīng)相關(guān)責(zé)任人 批準(zhǔn)，并讓專人操 作或監(jiān)督實施，需 要登記經(jīng)相關(guān)責(zé)任人批準(zhǔn)內(nèi)部復(fù) 制無限制打印禁止打?。ɑ蛟?授權(quán)情況下專人負(fù)

13、責(zé)打印，不得打印 到無人值守機(jī)）須經(jīng)相關(guān)責(zé)任人 許可，打印件標(biāo)注 密級并妥善管理， 不得打印到無人值 守機(jī)經(jīng)相關(guān)責(zé) 任人許可， 打印件標(biāo)注 密級并妥善 管理無限 制，打印 件標(biāo)注密 級郵件禁止郵件直接發(fā) 送，經(jīng)授權(quán)后做電 子簽名和加密控 制，經(jīng)安全的途徑 發(fā)送，保留記錄須經(jīng)相關(guān)責(zé)任人 許可，郵件發(fā)送應(yīng) 做加密控制，保留 記錄經(jīng)相關(guān)責(zé) 任人許可無限制傳直/、禁止傳真須經(jīng)相關(guān)責(zé)任人 許可后專人負(fù)責(zé)傳 真經(jīng)相關(guān)責(zé) 任人許可無限制快遞經(jīng)授權(quán)后采取妥 善的保護(hù)措施，由 專人快遞經(jīng)授權(quán)后，由簽 署了特定安全協(xié)議 的專門的快遞公司 快遞經(jīng)授權(quán) 后，由簽署 了特定安全 協(xié)議的專門 的快遞公司 快遞無限制內(nèi)部分

14、 發(fā)經(jīng)相關(guān)責(zé)任人和 公司管理層批準(zhǔn) 后，密封分發(fā)，或 以允許的電子分發(fā) 形式進(jìn)行安全的分 發(fā)經(jīng)相關(guān)責(zé)任人批 準(zhǔn)后，密圭寸分發(fā)， 或以允許的電子分 發(fā)形式進(jìn)行安全的 分發(fā)經(jīng)授權(quán) 后，以內(nèi)部 郵件形式發(fā) 放，或直接 進(jìn)行硬拷貝 分發(fā)無限制對外分經(jīng)相關(guān)責(zé)任人和經(jīng)相關(guān)責(zé)任人批經(jīng)授權(quán)經(jīng)授權(quán)發(fā)公司管理層批準(zhǔn)后 分發(fā)，需要簽署特 定的保密協(xié)議，需 要進(jìn)行登記準(zhǔn)后分發(fā)，需簽署 保密協(xié)議，需要進(jìn) 行登記后，以郵件 或者快遞方 式分發(fā)，建 議簽署保密 協(xié)議后，以允 許的分發(fā) 方式分發(fā)處理碎紙機(jī)；徹底銷 毀介質(zhì)；電子記錄 定期消除；進(jìn)行檢 查確認(rèn)碎紙機(jī)；徹底銷 毀介質(zhì)；電子記錄 定期消除；進(jìn)行檢 查確認(rèn)保存件標(biāo) 明

15、作廢；電 子記錄定期 消除；介質(zhì) 銷毀電子記 錄定期消 除，介質(zhì) 銷毀記錄跟蹤直接責(zé)任人應(yīng)有 收件人、復(fù)制者、 保存者、瀏覽者、 銷毀者的日志記錄跟蹤文件復(fù)制、 保存、瀏覽、銷毀 過程，應(yīng)有記錄無要求不建議跟蹤1.11 口令使用策略全體員工在挑選和使用口令時，應(yīng):(1) 保證口令的機(jī)密。(2) 除非能安全保存，避免將口令記錄在紙上。(3) 只要有跡象表明系統(tǒng)或口令可能遭到破壞，應(yīng)立即更改口令。(4) 選用高質(zhì)量的口令，最少要有 6個字符，另外：A. 口令應(yīng)由字母加數(shù)字組成；B. 口令不應(yīng)采用如姓名、電話號碼、生日等容易猜出或破解的信息。(5) 每三個月更改或根據(jù)訪問次數(shù)更改口令(特別是特權(quán)用戶

16、)，避免再次 使用或循環(huán)使用舊口令。(6) 首次登錄時，應(yīng)立即更改臨時口令。(7) 不得共享個人用戶口令。1.12桌面、屏幕清空策略為了降低在正常工作時間以外對信息進(jìn)行未經(jīng)授權(quán)訪問所帶來的風(fēng)險、損失和損害，員工應(yīng)：（1）在閑置或工作時間之外將紙張或計算機(jī)存儲介質(zhì)儲存在合適的柜子或其 它形式的安全設(shè)備中。（2）當(dāng)辦公室無人時將關(guān)鍵業(yè)務(wù)信息放置到安全地點（比如防火的保險箱或 柜子中）。（3）在無人使用時，將個人計算機(jī)、計算機(jī)終端和打印機(jī)、復(fù)印機(jī)設(shè)為鎖定 狀態(tài)。（4）為個人計算機(jī)、計算機(jī)終端設(shè)定密碼，同時設(shè)定屏保時間（=15分鐘）（5）在打印保密級別為企業(yè)機(jī)密、企業(yè)秘密的信息后，應(yīng)立刻從打印機(jī)中清

17、除相關(guān)痕跡，并有效保護(hù)打印出來的信息內(nèi)容。1.13遠(yuǎn)程工作安全策略必須保護(hù)好遠(yuǎn)程工作場所防止盜竊設(shè)備和信息、未經(jīng)授權(quán)公開信息、對公司內(nèi)部系統(tǒng)進(jìn)行遠(yuǎn)程非法訪問或濫用設(shè)備等行為。員工應(yīng)：（1）保障物理安全。（2）對家人和客人使用設(shè)備進(jìn)行限制。如果必須要使用，應(yīng)在旁邊進(jìn)行監(jiān)督 和控制，確保關(guān)鍵業(yè)務(wù)信息的安全。（3）遠(yuǎn)程工作活動結(jié)束時，權(quán)限以及設(shè)備及時收回。（4）網(wǎng)絡(luò)遠(yuǎn)程登錄終端的撥號密碼即 VPN帳號僅限本人使用，不允許他人使 用。（5）進(jìn)入公司或客戶的信息系統(tǒng)工作完畢后，必須立即退出系統(tǒng)。1.14移動辦公策略使用移動辦公設(shè)備（如筆記本電腦）時，員工尤其應(yīng)該注意保證業(yè)務(wù)信息 不受損壞、非法訪問或泄密

18、：（1）移動辦公設(shè)備需要帶出公司工作場所時，應(yīng)進(jìn)行登記。（2）在公共場所使用移動辦公設(shè)備時，必須注意防范被未經(jīng)授權(quán)的人員窺視。（3）應(yīng)實時更新用于防范惡意軟件的程序。(4) 應(yīng)對信息進(jìn)行方便快捷的備份。(5) 備份的信息應(yīng)該予以適當(dāng)?shù)谋Ｗo(hù)以防信息被盜或丟失。(6) 使用移動辦公設(shè)備通過公共網(wǎng)對公司商務(wù)信息進(jìn)行遠(yuǎn)程訪問時必須進(jìn)行 身份識別和VPN訪問控制。(7) 防止移動辦公設(shè)備被盜。(8) 防止保密級別為企業(yè)秘密級以上的信息所在的移動辦公設(shè)備無人看管。1.15介質(zhì)的申請、使用、掛失、報廢要求(1) 介質(zhì)的申請:序號責(zé)任者任務(wù)相關(guān)文件或記錄1資產(chǎn)管理員按照公司的固定資產(chǎn)或 消耗資材申領(lǐng)方式向公

19、司申領(lǐng)介質(zhì)。固定資產(chǎn)管理制度計算機(jī)維護(hù)消耗資材管 理辦法2資產(chǎn)管理員從公司領(lǐng)取介質(zhì)并登記 到介質(zhì)登記表中。介質(zhì)登記表3資產(chǎn)管理員如通過設(shè)備管理，需通 過usb使用的移動存儲介 質(zhì)在中注冊。參見使用說明4資產(chǎn)管理員在介質(zhì)登記表中登 記發(fā)放時間，使用人等 信息后發(fā)放介質(zhì)。介質(zhì)登記表(2) 介質(zhì)的使用：A. 如安裝了設(shè)備，所有工作中使用的 USB存儲介質(zhì)都應(yīng)在中進(jìn)行注冊B. 如果確認(rèn)介質(zhì)中的內(nèi)容不再需要，應(yīng)立即將其以可靠方式清除。C. 如果數(shù)據(jù)需要保存，則使用人應(yīng)該保存在有良好安全措施的個人計算機(jī)和服務(wù)器上，而不應(yīng)該放在計算機(jī)活動介質(zhì)中。D. 所有的備份介質(zhì)都應(yīng)存放在安全可靠的地方，并符合生產(chǎn)廠家說

20、明 書的安全要求。(3) 介質(zhì)的掛失：序號責(zé)任者任務(wù)相關(guān)文件或記錄1使用者使用人立即向資產(chǎn)管理員申報掛失2資產(chǎn)管理員如果是通過usb使用的移動存儲介 質(zhì)被掛失且在上注冊過，則應(yīng)在上 進(jìn)行注銷。3資產(chǎn)管理 員在介質(zhì)登記表中登記掛失介質(zhì)登記表(4)介質(zhì)的報廢:序號責(zé)任者任務(wù)相關(guān)文件或記錄1使用者1) 、書面文件用碎紙機(jī)粉碎2) 、其他介質(zhì)報廢，使用人向 資產(chǎn)管理員申請介質(zhì)報廢。2資產(chǎn)管理 員如果是通過usb使用的移動存儲 介質(zhì)且在上注冊過，則應(yīng)在上進(jìn)行 注銷。3資產(chǎn)管理 員按照公司的固定資產(chǎn)和消耗資 材的報廢流程實施。固定資產(chǎn)管理制 度計算機(jī)維護(hù)消耗 資材管理辦法4資產(chǎn)管理 員在介質(zhì)清單中登記已報

21、廢1介質(zhì)登記表1.16信息安全事件管理流程(1)發(fā)現(xiàn)A. 公司全體員工都有責(zé)任和義務(wù)將已發(fā)現(xiàn)的或可疑的事件、故障和薄B.弱點及時報告給相關(guān)部門或人員。任何企圖阻攔、干擾、報復(fù)事件報告者的行為都被視為違反公司策 略。(2)報告A.對于部門范圍內(nèi)的信息安全事件，當(dāng)事人可直接向部門負(fù)責(zé)人報告， 并按照本部門規(guī)范進(jìn)行處理。事件處理者需填寫附錄中的信息安全事件報告處理記錄單，每月將相關(guān)記錄上交過程管理部。B.除部門內(nèi)可以自行處理的信息安全事件外，其余信息安全事件必須 統(tǒng)一上報給客服記錄。(3)響應(yīng)A.客服對信息安全事件做出最初響應(yīng)，將技術(shù)方面的信息安全事件交 給系統(tǒng)服務(wù)部組織處理，將管理方面的信息安全事

22、件交給過程管理 部組織相關(guān)部門進(jìn)行處理。B.需要做進(jìn)一步調(diào)查的信息安全事件，當(dāng)其影響范圍涉及整個公司或 影響程度嚴(yán)重妨礙了公司的正常運營時，報告給信息安全管理委員 會。C.事件響應(yīng)及處理者在處理安全事件時應(yīng)考慮以下優(yōu)先次序：保護(hù)人員的生命與安全保護(hù)敏感的設(shè)備和資料保護(hù)重要的數(shù)據(jù)資源防止系統(tǒng)被損壞將公司遭受的損失降至最小D.如果發(fā)生違法事件，事件相關(guān)涉及部門要米集并保存有效證據(jù)，上交過程管理部報告給公司最高管理者決策，由法務(wù)部向外部法律機(jī)構(gòu)報告。必要時，法務(wù)部可以尋求外部專家的支持。(4)評價/調(diào)查安全事件或故障發(fā)生之后，事件處理者要對事件或故障的類型、嚴(yán)重程 度、發(fā)生的原因、性質(zhì)、產(chǎn)生的損失、

23、責(zé)任人進(jìn)行調(diào)查確認(rèn)，形成事件或故障 評價資料。（5）懲戒A. 要根據(jù)事件的嚴(yán)重程度、造成的損失、產(chǎn)生的原因?qū)`規(guī)者進(jìn)行 教育或者處罰。B. 懲戒手段可包括通報批評、行政警告、經(jīng)濟(jì)處罰、調(diào)離崗位、依 據(jù)合同給予辭退，對于觸犯刑律者可交司法機(jī)關(guān)處理。C. 具體處罰標(biāo)準(zhǔn)參見信息安全管理職責(zé)程序。（6）公告A. 事件的調(diào)查結(jié)果要反饋給當(dāng)事部門領(lǐng)導(dǎo)。B. 當(dāng)事部門可組織相關(guān)的人員進(jìn)行學(xué)習(xí)和培訓(xùn)。1.17電子郵件安全使用規(guī)范（1）公司電子郵件系統(tǒng)禁止用于創(chuàng)建與分發(fā)任何含有破壞性、歧視性的信息, 包括對種族、性別、殘疾人、年齡、職業(yè)、性取向、宗教信仰、政治信 念、國籍等方面的攻擊性語言。公司的員工如果接收到

24、任何含有此類信 息的郵件，應(yīng)立即向主管領(lǐng)導(dǎo)進(jìn)行匯報。（2）禁止使用公司帳號發(fā)送連鎖信。禁止使用公司電子郵件帳號發(fā)送病毒或 惡意代碼警告郵件。這些規(guī)則也適用于當(dāng)公司員工接收到這類電子郵件 并進(jìn)行轉(zhuǎn)發(fā)的情況。（3）使用的郵件軟件客戶端要及時升級，減少由于軟件的漏洞而受到外部攻 擊，避免因此而導(dǎo)致的郵件丟失和系統(tǒng)中毒。（4）郵件必須有標(biāo)題，盡量以文本方式瀏覽郵件。（5）陌生人的郵件附件盡量不要打開，禁止撰寫、發(fā)送、轉(zhuǎn)發(fā)各種垃圾郵件, 禁止在未經(jīng)授權(quán)的情況下利用他人的計算機(jī)系統(tǒng)發(fā)送互聯(lián)網(wǎng)電子郵件。（6）禁止使用工作郵箱從事任何非法活動及其與工作無關(guān)的郵件。（7）為了保證郵件安全禁止使用自動轉(zhuǎn)發(fā)功能。（

25、8）公司業(yè)務(wù)信息郵件必須使用公司規(guī)定的業(yè)務(wù)專用郵箱發(fā)送，除了業(yè)務(wù)相 關(guān)郵件禁止使用業(yè)務(wù)郵箱發(fā)送其他郵件。（9）由M牛必須主題明確，能夠通過郵件主題判斷業(yè)務(wù)類別。（10）做好郵件的病毒防護(hù)工作。發(fā)送郵件應(yīng)該注意郵件的保密，避免泄漏公 司機(jī)密。（11）所有員工都要嚴(yán)格遵守電子郵件安全使用規(guī)范的相關(guān)規(guī)定，員工之 間應(yīng)互相監(jiān)督，及時制止違反規(guī)定的人員，對于使用公司郵箱傳播反動 言論、從事任何與法律或公司制度相違活動的人員將禁用或者注銷其郵 箱，并根據(jù)情節(jié)嚴(yán)重給予相應(yīng)處罰或提交司法機(jī)關(guān)處理。1.18設(shè)備報廢信息安全要求報廢設(shè)備上交前，使用者自己負(fù)責(zé)將設(shè)備介質(zhì)中的信息進(jìn)行備份，機(jī)電一體化產(chǎn)品事業(yè)部負(fù)責(zé)將設(shè)

26、備介質(zhì)中的所有信息清除掉，以防信息泄漏。1.19用戶注冊與權(quán)限管理策略對任何多用戶使用的信息系統(tǒng)和服務(wù)設(shè)施進(jìn)行訪問，應(yīng)：（1）使用唯一的用戶名，以便將用戶與其操作聯(lián)系起來，使用戶對其操作負(fù) 責(zé)。只有因工作需要才允許使用組用戶名。（2）添加新用戶或用戶權(quán)限變更時應(yīng)有書面申請并經(jīng)過審批。（3）系統(tǒng)管理員對新注冊用戶進(jìn)行授權(quán)。（4）應(yīng)記錄所有注冊用戶。（5）用戶因工作變更或離開組織時，應(yīng)立即取消其訪問權(quán)限。（6）系統(tǒng)權(quán)限管理的責(zé)任人應(yīng)定期組織檢查并刪除多余的用戶名和賬戶，并 對用戶的訪問權(quán)限進(jìn)行定期評審或在變動后進(jìn)行評審。（7）系統(tǒng)權(quán)限管理的責(zé)任人需要嚴(yán)格控制特權(quán)的分配和使用，要對特權(quán)的分 配和使用

27、情況進(jìn)行評審，確保沒有非法授予用戶特權(quán)，以保證對數(shù)據(jù)和 信息服務(wù)的訪問進(jìn)行了有效的控制。1.20用戶口令管理在進(jìn)行信息系統(tǒng)的口令管理，應(yīng)：（1）用戶需要自己維護(hù)口令，系統(tǒng)僅在開始時提供一個安全的臨時口令，用 戶需要立即更改臨時口令。用戶忘記口令時，必須在對該用戶進(jìn)行適當(dāng) 的身份核實后才能向其提供臨時口令。（2）在向用戶提供臨時口令時必須確保其安全，避免使用第三方或無保護(hù)的（明文）電子郵件，用戶應(yīng)對收到的口令予以確認(rèn)。（3）不允許在計算機(jī)系統(tǒng)上以無保護(hù)的形式存儲口令。（4）保證個人口令安全，確保工作組口令僅在本組成員間共享。1.21終端網(wǎng)絡(luò)接入準(zhǔn)則公司網(wǎng)絡(luò)覆蓋范圍內(nèi)使用的每臺計算機(jī)，員工均應(yīng)安裝

28、公司規(guī)定的防毒軟 件，不得私自使用其他防毒軟件。1.22終端使用安全準(zhǔn)則（1）每臺計算機(jī)應(yīng)開啟實時監(jiān)控功能，定期進(jìn)行計算機(jī)病毒檢測，并及時對 防毒軟件或病毒特征庫進(jìn)行升級更新。（2）每臺計算機(jī)應(yīng)定期連接公司網(wǎng)絡(luò)并從病毒服務(wù)器獲得防病毒軟件的最新 定義碼及掃描引擎。（3）為防止計算機(jī)使用人員私自卸載客戶端及信息安全客戶端，卸載密碼和 工具由系統(tǒng)服務(wù)事業(yè)部統(tǒng)一管理。（4）公司不定期組織相關(guān)部門對客戶端及信息安全客戶端安裝情況進(jìn)行抽查。 抽查情況將通報各相關(guān)部門并列入年度的績效考核。（5）計算機(jī)使用人員在安裝、使用客戶端及信息安全客戶端中遇到技術(shù)問題, 可通過撥打客戶服務(wù)熱線尋求技術(shù)支持。（6）為防

29、止惡意代碼的侵?jǐn)_，每臺計算機(jī)必須按訪問控制管理程序第 5.2.1節(jié)的要求設(shè)置管理員口令；網(wǎng)絡(luò)共享文件必須設(shè)置密碼和只讀權(quán) 限。（7）任何部門和個人不得制作、復(fù)制、傳播計算機(jī)病毒，任何部門和個人負(fù) 有清除或防治計算機(jī)病毒的義務(wù)。（8）不使用來路不明或含有盜版軟件的軟盤與光盤，不隨意安裝執(zhí)行從網(wǎng)絡(luò) 上下載的各種程序。當(dāng)需要從計算機(jī)信息網(wǎng)絡(luò)上下載程序、數(shù)據(jù)或者購 置、維修、借入計算機(jī)設(shè)備時，應(yīng)當(dāng)進(jìn)行計算機(jī)病毒檢測。（9）使用電子郵件，對來路不明的郵件（特別是含有附件的郵件），收到后 不要打開，直接刪除并清空廢件箱。1.23出口防火墻的日常管理規(guī)定（1）為公司的出口防火墻設(shè)置只讀權(quán)限，便于監(jiān)視進(jìn)出本公

30、司的所有訪問。（2） 對防火墻的接口 IP地址、用戶名、口令及配置文件信息進(jìn)行嚴(yán)格管理（3）除授權(quán)人員外，禁止任何人員物理接觸防火墻；對防火墻的遠(yuǎn)程管理僅 限于指定IP地址、指定管理方式、指定用戶、指定用戶的管理權(quán)限。（4）嚴(yán)禁連接公司網(wǎng)絡(luò)的任何單位和人員以任何形式對防火墻進(jìn)行攻擊。（5）集中收集、存儲防火墻報警日志，定期檢查防火墻安全記錄，優(yōu)化防火 墻訪問規(guī)則，杜絕安全漏洞。（6）定期使用安全評估系統(tǒng)檢查防火墻的各項服務(wù)是否有漏洞。（7）部門如有公司出口防火墻的變更需求，必須通過公司審批，備案在冊， 由系統(tǒng)服務(wù)部統(tǒng)一操作。1.24局域網(wǎng)的日常管理規(guī)定各部門不得將私自構(gòu)建的局域網(wǎng)接入公司網(wǎng)絡(luò)。

31、如需接入必須通過公司審 批，備案在冊，由系統(tǒng)服務(wù)部統(tǒng)一操作。員工在辦公區(qū)域只能通過公司內(nèi)網(wǎng)聯(lián)入互聯(lián)網(wǎng)。1.25集線器、交換機(jī)、無線 AR的日常管理規(guī)定（1）各部門不得私自使用網(wǎng)絡(luò)訪問設(shè)備。（2）禁止使用路由器及無線路由設(shè)備。（3） 如需使用集線器、交換機(jī)、無線 AP,必須通過公司審批，備案在冊。（4）無線AP必須設(shè)置符合安全要求的密碼（具體要求參見管理文件訪問控 制管理程序中521的要求），只有被授權(quán)人員方可使 用無線網(wǎng)絡(luò)（5）公司定期檢查集線器、交換機(jī)、無線 AP的登記和使用情況。1.26網(wǎng)絡(luò)專線的日常管理規(guī)定（1）各部門不得私自搭建網(wǎng)絡(luò)專線。如需使用網(wǎng)絡(luò)專線必須通過公司審批， 備案在冊。（

32、2）公司定期檢查網(wǎng)絡(luò)專線的登記和使用情況。1.27信息安全懲戒（1）全體員工（含臨時員工、派遣員工、實習(xí)員工、常駐外包員工）均應(yīng)遵 守所有與信息安全相關(guān)的管理規(guī)定，不允許任何部門或人員有損害公司 信息安全的行為。（2）對違反信息安全管理規(guī)定，并造成嚴(yán)重后果的部門或員工，由公司信息 安全管理委員會授權(quán)實施懲戒。（3）懲戒手段包括通告、行政警告、經(jīng)濟(jì)處罰、調(diào)離崗位、依據(jù)合同予以辭 退，對于觸犯刑律者移交司法機(jī)關(guān)處理。（4）對于的合同承包商和外部用戶，如果違反了信息安全管理規(guī)定，公司信 息安全委員會有權(quán)建議公司中止與他們的合同和協(xié)議。實用標(biāo)準(zhǔn)2.信息安全知識2.1什么是信息？是來自任何來源的知識。在ISO 27001的標(biāo)準(zhǔn)里：信息是一種資產(chǎn)，就象其它重要的企業(yè)資產(chǎn)一樣， 信息資產(chǎn)對組織具有價值，因而需要受到妥善的保護(hù)。信息是有生命周期的。安全保護(hù)應(yīng)兼顧到從其創(chuàng)建或誕生，到被使用或操作，到存儲，再到被傳遞，直至其 生命期結(jié)束而被銷毀或丟棄。2.2什么是信息安全？信息安全的目的是，保護(hù)信息不受各種威脅，以確保業(yè)務(wù)連續(xù)，將企業(yè)損失