企業(yè)信息安全管理?xiàng)l例

1、信息平安治理?xiàng)l例第一章信息平安概述1.1、公司信息平安治理體系信息是一個(gè)組織的血液,它的存在方式各異.可以是打印,手寫,也可以是電子,演示和口述的.當(dāng)今商業(yè)競(jìng)爭(zhēng)日趨劇烈,來(lái)源于不同渠道的威脅,威脅到信息的平安性.這些威脅可能來(lái)自內(nèi)部,外部,意外的,還可能是惡意的.隨著信息存儲(chǔ)、發(fā)送新技術(shù)的廣泛使用,信息平安面臨的威脅也越來(lái)越嚴(yán)重了.信息平安不是有一個(gè)終端防火墻,或者找一個(gè)24小時(shí)提供信息平安效勞的公司就可以到達(dá)的,它需要全面的綜合治理.信息平安管理體系的引入,可以協(xié)調(diào)各個(gè)方面的信息治理,使信息治理更為有效.信息平安治理體系是系統(tǒng)地對(duì)組織敏感信息進(jìn)行治理,涉及到人,程序和信息科技系統(tǒng).改善信息平

2、安水平的主要手段有：1平安方針：為信息平安提供治理指導(dǎo)和支持；2平安組織：在公司內(nèi)治理信息平安；3資產(chǎn)分類與治理：對(duì)公司的信息資產(chǎn)采取適當(dāng)?shù)谋Ｗo(hù)舉措；4人員平安：減少人為錯(cuò)誤、偷竊、欺詐或?yàn)E用信息及處理設(shè)施的5實(shí)體和環(huán)境平安：預(yù)防對(duì)商業(yè)場(chǎng)所及信息未授權(quán)的訪問(wèn)、損壞及干擾；6通訊與運(yùn)作治理：保證信息處理設(shè)施正確和平安運(yùn)行；7訪問(wèn)限制：妥善治理對(duì)信息的訪問(wèn)權(quán)限；8系統(tǒng)的獲得、開(kāi)發(fā)和維護(hù)：保證將平安納入信息系統(tǒng)的整個(gè)生命周期；9平安事件治理：保證平安事件發(fā)生后有正確的處理流程與報(bào)告方式；10商業(yè)活動(dòng)連續(xù)性治理：預(yù)防商業(yè)活動(dòng)的中斷,并保護(hù)關(guān)鍵的業(yè)務(wù)過(guò)程免受重大故障或?yàn)?zāi)害的影響；11符合法律：預(yù)防違反任

3、何刑法和民法、法律法規(guī)或者合同義務(wù)以及任何平安要求.1.2、信息平安建設(shè)的原那么1領(lǐng)導(dǎo)重視,全員參與；2信息平安不僅僅是IT部門的工作,它需要公司全體員工的共同參與；3技術(shù)不是絕對(duì)的；4信息平安治理遵循“七分治理,三分技術(shù)的治理原那么；5信息平安事件符合“二、八原那么；620%勺平安事件來(lái)自外部網(wǎng)絡(luò)攻擊,80%勺平安事件發(fā)生在公司內(nèi)部；7治理原那么：治理為主,技術(shù)為輔,內(nèi)外兼防,發(fā)現(xiàn)漏洞,消除隱患,保證平安.1.3、信息平安治理體系建設(shè)的目的1保證ERP系統(tǒng)的平安運(yùn)行,限制公司信息泄密風(fēng)險(xiǎn)；2提升企業(yè)員工對(duì)平安的熟悉和對(duì)平安治理的參與；3提升企業(yè)用戶及合作伙伴對(duì)企業(yè)的信心、信任、滿意程度；4提

4、升企業(yè)信息平安治理的質(zhì)量和水平；5使企業(yè)更有效地治理和處理信息平安事件；6遵守和通過(guò)相關(guān)法律法規(guī)的要求；7為將來(lái)企業(yè)充份利用電子商務(wù)打下重要的根底.第二章員工信息平安標(biāo)準(zhǔn)2.1、 適用范圍本標(biāo)準(zhǔn)規(guī)定了公司員工必須遵循的個(gè)人計(jì)算機(jī)和其他方面的安全要求,規(guī)定了員工保護(hù)公司涉密信息的責(zé)任,并列出了大量可能遇到的情況下的平安要求.本標(biāo)準(zhǔn)適用于公司所有員工,包括子公司的員工,以及其他經(jīng)授權(quán)使用公司內(nèi)部資源的人員.2.2、 計(jì)算機(jī)平安要求1計(jì)算機(jī)信息登記與使用維護(hù)：每臺(tái)由公司購(gòu)置的計(jì)算機(jī)的領(lǐng)用、使用人變更、配置變更、報(bào)廢等環(huán)節(jié)必須經(jīng)過(guò)IT部的登記,嚴(yán)禁私自變更使用人和增減配置；每位員工有責(zé)任保護(hù)公司的計(jì)算

5、機(jī)資源和設(shè)備,以及包含的信息.每位員工必須把自己的計(jì)算機(jī)名字設(shè)置成固定的格式,一律采用AD域名所屬地區(qū)編號(hào)組成；例如某臺(tái)計(jì)算機(jī)名為SSSS_100201SSSS為地區(qū)AD域名,100為地區(qū)編號(hào),201代表該地區(qū)第201個(gè)賬戶.2必須在所有個(gè)人計(jì)算機(jī)上激活以下平安限制：所有計(jì)算機(jī)包括便攜電腦與臺(tái)式機(jī)必須設(shè)有系統(tǒng)密碼；系統(tǒng)密碼應(yīng)當(dāng)符合一定程度的復(fù)雜性要求,并不定期更換密碼；存儲(chǔ)在個(gè)人計(jì)算機(jī)中的包含有公司涉密信息的文件,需要加密存放.3當(dāng)員工離開(kāi)辦公室或工作區(qū)域時(shí)：必須立即鎖定計(jì)算機(jī)或者激活帶密碼保護(hù)的屏幕保護(hù)程序；如果辦公室或者工作區(qū)域能上鎖,最后一個(gè)離開(kāi)的員工請(qǐng)鎖上辦公室或工作區(qū)域；妥善保管所有

6、包含公司涉密內(nèi)容的文件,如鎖進(jìn)文件柜.4防范計(jì)算機(jī)病毒和其他有害代碼：每位員工由公司配備的計(jì)算機(jī)上都必須安裝和運(yùn)行公司授權(quán)使用的防病毒軟件；員工必須開(kāi)啟防病毒軟件實(shí)時(shí)掃描保護(hù)功能,至少每周進(jìn)行一次全硬盤掃描,在網(wǎng)絡(luò)條件許可的情況下每天進(jìn)行一次病毒庫(kù)文件的更新；如果員工發(fā)現(xiàn)未能處理的病毒,應(yīng)立即斷開(kāi)局域網(wǎng)連接,以免病毒在局域網(wǎng)內(nèi)部交叉感染,并及時(shí)向公司IT部門匯報(bào).5軟件的使用：?jiǎn)T工不得私自在計(jì)算機(jī)上安裝公司禁止的軟件,公司禁止安裝的軟件包括但不限于：BT等P2P軟件、Sniffer等流量監(jiān)控軟件及黑客軟件、P2P終結(jié)者、網(wǎng)絡(luò)執(zhí)法官之類的網(wǎng)絡(luò)治理軟件；工作用計(jì)算機(jī)禁止安裝盜版殺毒軟件和盜版防火墻

7、軟件；公司員工的機(jī)器上必須安裝并開(kāi)啟功能的軟件有：金山企業(yè)版防病毒軟件、Office2021、360瀏覽器、IE8.0升級(jí)包、Winrar、固網(wǎng)打印效勞；如果由于使用未經(jīng)公司授權(quán)的且沒(méi)有許可的軟件造成公司損失,員工需要承當(dāng)全部責(zé)任.6文件的共享：?jiǎn)T工在使用文件共享時(shí),必須將其設(shè)置為受限共享；禁止使用基于互聯(lián)網(wǎng)的P2P軟件和共享效勞,如：BTeMule等;不得在計(jì)算機(jī)上配置匿名FTPTFTPHTTP或其他無(wú)需驗(yàn)證的效勞；例如：?jiǎn)T工不得在公司的計(jì)算機(jī)上私自架設(shè)匿名FTP未經(jīng)IT部門許可,不得在使用ERP系統(tǒng)的計(jì)算機(jī)上使用U盤或移動(dòng)硬盤.如因業(yè)務(wù)需要,必須要訪問(wèn)其他人的硬盤.當(dāng)定義共享權(quán)限時(shí),員工必

8、須設(shè)定用戶權(quán)限、設(shè)定訪問(wèn)密碼,并及時(shí)取消所定義的共享.7郵件的發(fā)送與接收：禁止使用公司的計(jì)算機(jī)散布、回復(fù)、轉(zhuǎn)發(fā)連鎖郵件、惡作劇郵件；禁止將涉及公司秘密的內(nèi)部郵件轉(zhuǎn)發(fā)到互聯(lián)網(wǎng)上.8公司涉密信息的保護(hù)：公司涉密信息包括但不限于公司數(shù)據(jù)庫(kù)中的秘密信息,與公司目前或未來(lái)產(chǎn)品、效勞或研究有關(guān)的公司技術(shù)或科技信息,業(yè)務(wù)或營(yíng)銷計(jì)算、營(yíng)銷收益或其他財(cái)務(wù)資料、人事資料,以及軟件等技術(shù)信息、經(jīng)營(yíng)信息等；公司的員工會(huì)接觸到公司的涉密信息.員工禁止在未經(jīng)公司授權(quán)的情況下泄漏這些信息,并且必須遵守公司為保護(hù)此信息而制定的各項(xiàng)標(biāo)準(zhǔn)和流程；每個(gè)員工只能接觸使用與本崗位工作相關(guān)的涉密信息,禁止從非正常途徑獲取公司或部門的涉密

9、信息；禁止非授權(quán)復(fù)制涉密信息；對(duì)公司文檔的保管、存檔、發(fā)送、刪除、銷毀、復(fù)制等必須遵守公司相關(guān)的文檔保密治理規(guī)定;禁止使用提供譯效勞的互聯(lián)網(wǎng)站來(lái)譯公司的涉密信息；公司涉密信息盡量預(yù)防通過(guò)互聯(lián)網(wǎng)傳送,但由于工作需要,需要通過(guò)電子郵件等方式發(fā)送公司涉密信息時(shí),可以采用Winrar加密壓縮的方式把涉密內(nèi)容作為附件發(fā)送,然后通過(guò)其他渠道告知對(duì)方加密密碼.9公司信箱的帳戶及密碼所有的密碼必須符合如下條件：至少8個(gè)字符長(zhǎng),并且包含英文、數(shù)字及特殊字符；禁止把用戶名用作密碼或其一局部；舊密碼中任何三個(gè)連續(xù)的字符盡量不要連續(xù)出現(xiàn)在新密碼中；公司要求員工至少每30天更換一次密碼.10內(nèi)部網(wǎng)絡(luò)使用規(guī)那么禁止在網(wǎng)絡(luò)

10、上偽裝為他人身份；不得私自安裝網(wǎng)絡(luò)治理軟件,監(jiān)控網(wǎng)絡(luò)流量或者阻礙他人使用網(wǎng)絡(luò)資源；不得對(duì)公司網(wǎng)絡(luò)或效勞器以及網(wǎng)絡(luò)中他人電腦運(yùn)行平安掃描程序或者惡意攻擊；未經(jīng)IT部允許,不得增加網(wǎng)絡(luò)設(shè)備到公司的網(wǎng)絡(luò)中,嚴(yán)禁私自購(gòu)置路由器、交換機(jī)接入公司網(wǎng)絡(luò)等行為；宿舍區(qū)電腦大局部屬于員工私人計(jì)算機(jī),禁止將公司數(shù)據(jù)及其他涉及到公司機(jī)密的電子文件傳入私人計(jì)算機(jī)中；第三章公司信息平安治理檢查執(zhí)行規(guī)定3.1 .檢查原那么根據(jù)違規(guī)行為的性質(zhì)、造成的后果及違規(guī)人的主觀意愿對(duì)違規(guī)行為進(jìn)行處分.對(duì)在公司信息平安治理制度和舉措上貫徹、監(jiān)控不力、權(quán)限審核不當(dāng),造成公司平安制度和舉措難以落實(shí),平安治理工作混亂的部門,部門負(fù)責(zé)人須承當(dāng)領(lǐng)導(dǎo)責(zé)任.對(duì)違反信息平安治理規(guī)定者,如其直接領(lǐng)導(dǎo)有明顯治理和指導(dǎo)不力的須承當(dāng)連帶責(zé)任.3.2 .檢查方式公司技術(shù)部門抽調(diào)網(wǎng)絡(luò)治理人員,不定期對(duì)公司所屬公司辦公電腦進(jìn)行抽查.分析信息平安日志文件,排查違規(guī)電腦,