信息安全管理規(guī)范

精品文檔精心整理精品文檔可編輯的精品文檔精品文檔可編輯的精品文檔信息安全管理規(guī)范目錄：1、信息安全管理規(guī)范2、信息安全管理規(guī)范信息安全管理規(guī)范公司

版本信息當前版本:最新更新日期:最新更新作者:作者:創(chuàng)建日期:審批人:審批日期:修訂歷史版本號更新日期修訂作者主要修訂摘要TableofContents（目錄）1. 公司信息安全要求 51.1 信息安全方針 51.2 信息安全工作準則 51.3 職責 61.4 信息資產(chǎn)的分類規(guī)定 61.5 信息資產(chǎn)的分級（保密級別）規(guī)定 71.6 現(xiàn)行保密級別與原有保密級別對照表 81.7 信息標識與處置中的角色與職責 81.8 信息資產(chǎn)標注管理規(guī)定 91.9 允許的信息交換方式 101.10 信息資產(chǎn)處理和保護要求對應表 101.11 口令使用策略 121.12 桌面、屏幕清空策略 131.13 遠程工作安全策略 141.14 移動辦公策略 141.15 介質(zhì)的申請、使用、掛失、報廢要求 151.16 信息安全事件管理流程 171.17 電子郵件安全使用規(guī)范 191.18 設(shè)備報廢信息安全要求 201.19 用戶注冊與權(quán)限管理策略 201.20 用戶口令管理 211.21 終端網(wǎng)絡接入準則 211.22 終端使用安全準則 221.23 出口防火墻的日常管理規(guī)定 231.24 局域網(wǎng)的日常管理規(guī)定 231.25 集線器、交換機、無線AP的日常管理規(guī)定 231.26 網(wǎng)絡專線的日常管理規(guī)定 241.27 信息安全懲戒 242. 信息安全知識 252.1 什么是信息？ 252.2 什么是信息安全？ 252.3 信息安全的三要素 252.4 什么是信息安全管理體系？ 262.5 建立信息安全管理體系的目的 272.6 信息安全管理的PDCA模式 282.7 安全管理－風險評估過程 282.8 信息安全管理體系標準（ISO27001標準家族） 292.9 信息安全控制目標與控制措施 30

公司信息安全要求信息安全方針擁有信息資產(chǎn)，積累、共享并保護信息資產(chǎn)是我們共同的責任。管理與技術(shù)并重，確保公司信息資產(chǎn)的安全，保障公司持續(xù)正常運營。履行對客戶知識產(chǎn)權(quán)的保護承諾，保障客戶信息資產(chǎn)的安全，滿足并超越客戶信息安全需求。信息安全工作準則保護信息的機密性、完整性和可用性，即確保信息僅供給那些獲得授權(quán)的人員使用、保護信息及信息處理方法的準確性和完整性、確保獲得授權(quán)的人員能及時可靠地使用信息及信息系統(tǒng)；公司通過建立有效的信息安全管理體系和必要的技術(shù)手段，保障信息資產(chǎn)的安全，降低信息安全風險；各級信息安全責任者負責所轄區(qū)域的信息安全，通過建立相關(guān)制度及有效的保護措施，確保公司的信息安全方針得到可靠實施；全體員工應只訪問或使用獲得授權(quán)的信息系統(tǒng)及其它信息資產(chǎn)，應按要求選擇和保護口令；未經(jīng)授權(quán)，任何人不得對公司信息資產(chǎn)進行復制、利用或用于其它目的；應及時檢測病毒，防止惡意軟件的攻擊；公司擁有為保護信息安全而使用監(jiān)控手段的權(quán)力,任何違反信息安全政策的員工都將受到相應處理；通過建立有效和高效的信息安全管理體系，定期評估信息安全風險，持續(xù)改進信息安全管理體系。職責全體員工應保護公司信息資產(chǎn)的安全。每個員工必須認識到信息資產(chǎn)的價值，負責保護好自己生成、管理或可觸及的涉及的數(shù)據(jù)和信息。員工必須遵守《信息標識與處理程序》，了解信息的保密級別。對于不能確定是否為涉密信息的內(nèi)容，必須征得相關(guān)管理部門的確認才可對外披露。員工必須遵守信息安全相關(guān)的各項制度和規(guī)定，保證的系統(tǒng)、網(wǎng)絡、數(shù)據(jù)僅用于的各項工作相關(guān)的用途，不得濫用。信息資產(chǎn)的分類規(guī)定公司的信息資產(chǎn)分為電子數(shù)據(jù)、軟件、硬件、實體信息、服務五大類。類別說明電子數(shù)據(jù)存在信息媒介上的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫數(shù)據(jù)等各種電子化的數(shù)據(jù)資料、項目文檔、管理文檔、運行管理規(guī)程、計劃、報告、用戶手冊、作業(yè)指導書等各種電子化的數(shù)據(jù)資料。軟件包括系統(tǒng)軟件、應用軟件、共享軟件系統(tǒng)軟件：操作系統(tǒng)、語言包、工具軟件、各種庫等；應用軟件：外部購買的應用軟件，辦公軟件等；共享軟件：各種共享源代碼、共享可執(zhí)行程序等。硬件網(wǎng)絡設(shè)備：路由器、網(wǎng)關(guān)、交換機等計算機設(shè)備：大型機、服務器、工作站、臺式計算機、移動計算機等存儲設(shè)備：磁帶機、磁盤陣列、工控機等移動存儲設(shè)備：磁帶、光盤、軟盤、U盤、移動硬盤等傳輸線路：光纖、雙絞線等基礎(chǔ)保障設(shè)備：（UPS、變電設(shè)備等）、空調(diào)、保險柜、文件柜、門禁、消防設(shè)施等，如對基礎(chǔ)設(shè)施使用屬于租用形式，請將其識別到服務類別中。安全保障設(shè)備：硬件防火墻、入侵檢測系統(tǒng)、身份驗證等其他電子設(shè)備：打印機、復印機、掃描儀、傳真機等實體信息紙制的各種文件、合同、傳真、會議紀要、財務報表、證書、電報、發(fā)展計劃以及各類其他材質(zhì)的證書獎牌等。服務通過各種協(xié)議方式固化下來的服務活動、如物業(yè)、第三方、供應商、提供檢修服務的提供方等。信息資產(chǎn)的分級（保密級別）規(guī)定信息資產(chǎn)分為：一般、內(nèi)部公開、企業(yè)秘密、企業(yè)機密4個保密級別。保密級別名稱說明1一般一般性信息，可以公開的信息、信息處理設(shè)備和系統(tǒng)資源。2內(nèi)部公開非敏感但僅限公司內(nèi)部使用的信息、信息處理設(shè)備和系統(tǒng)資源。3企業(yè)秘密敏感的信息、信息處理設(shè)備和系統(tǒng)資源，只給必須知道者。4企業(yè)機密敏感的信息、信息處理設(shè)備和系統(tǒng)資源，僅適用極少數(shù)必須知道的人?，F(xiàn)行保密級別與原有保密級別對照表保密級別與公司原有的保密級別的對照表如下：現(xiàn)行的保密級別與之相當?shù)脑斜Ｃ芗墑e一般一般內(nèi)部公開秘密企業(yè)秘密機密企業(yè)機密絕密信息標識與處置中的角色與職責角色職責責任人：信息資產(chǎn)的創(chuàng)建者，或者主要用戶所在組織、單位或部門的負責人。信息資產(chǎn)責任人對所屬信息資產(chǎn)負直接責任。理解和各種信息訪問活動相關(guān)的安全風險；根據(jù)公司信息密級劃分標準來確定所屬信息資產(chǎn)的級別；根據(jù)公司相關(guān)策略確定并檢查信息訪問權(quán)限；針對所屬信息資產(chǎn)提出恰當?shù)谋Ｗo措施。保管者：受信息資產(chǎn)責任人委托，對信息資產(chǎn)進行日常的管理，維護已經(jīng)建立的保護措施。資產(chǎn)保管者通常是公司或部門的IT管理者或者代表（例如系統(tǒng)管理員）。根據(jù)公司相關(guān)策略和信息資產(chǎn)責任人的要求，負責信息資產(chǎn)的維護操作和日常管理事務；負責具體設(shè)置信息訪問權(quán)限；負責所管理的信息資產(chǎn)的安全控制；部署恰當?shù)陌踩珯C制，進行備份和恢復操作；按照信息資產(chǎn)責任人的要求實施其他控制。用戶：信息資產(chǎn)的使用者，除了公司內(nèi)部員工，也可能是因為業(yè)務需要而訪問公司信息的客戶或第三方組織。向信息責任人申請信息訪問；按照公司信息安全策略要求正當訪問信息，禁止非授權(quán)訪問；向相關(guān)組織報告隱患、故障或者違規(guī)事件。信息資產(chǎn)標注管理規(guī)定公司所屬的各類信息資產(chǎn)，無論其存在形式是電子、紙質(zhì)還是磁盤等，都應在顯著位置標注其保密級別。一般電子或紙質(zhì)文檔應在該文檔頁眉的右上角或頁腳上標注其保密級別或在文件封面打上保密章，磁盤等介質(zhì)應在其表面非數(shù)據(jù)區(qū)予以標注其保密級別。如果某存儲介質(zhì)中包含各個級別的信息，作為整體考慮，該存儲介質(zhì)的保密級別標注應以最高為準。如果沒有明顯的保密級別標注，該信息資產(chǎn)以“一般”級別看待。對于對外公開的信息，需要得到相關(guān)責任人的核準，并由對外信息發(fā)布部門統(tǒng)一處理。如需在信息資產(chǎn)上表述保密聲明，可采用以下兩種表述方式：表述方式一：“保密聲明：公司資產(chǎn)，注意保密。”表述方式二：“保密聲明：本文檔受國家相關(guān)法律和公司制度保護，不得擅自復制或擴散?！痹试S的信息交換方式公司允許的信息交換方式有：郵件、視頻、電話、網(wǎng)站內(nèi)容發(fā)布、文件共享、傳真、光盤、磁盤、磁帶和紙張。信息資產(chǎn)處理和保護要求對應表企業(yè)機密企業(yè)秘密內(nèi)部公開一般授權(quán)需得到責任人和公司管理層批準需得到相關(guān)責任人及部門領(lǐng)導批準需得到責任人批準無特別要求訪問只能被得到授權(quán)的公司極少數(shù)核心人員訪問只能被公司內(nèi)部或外部得到明確授權(quán)的人員訪問，訪問者應該簽署保密協(xié)議可以被公司內(nèi)部或外部因為業(yè)務需要的人員訪問任何公司員工或外部人員都可以訪問存儲電子類的應該加密存儲在安全的計算機系統(tǒng)內(nèi)；硬拷貝應該鎖在安全的保險柜內(nèi)；禁止以其他形式存儲或顯示電子類的應該妥善保存在設(shè)有安全控制的計算機系統(tǒng)內(nèi)（建議進行信息加密）；硬拷貝應該妥善保管，嚴禁擺放在桌面；使用白板展示后應立即擦除電子類的應該妥善保管，可以進行加密；紙質(zhì)不應放在桌面以恰當方式保存，避免被非授權(quán)人員看到；存儲有信息的介質(zhì)避免丟失復制得到相關(guān)責任人及公司管理層批準；需要登記須經(jīng)相關(guān)責任人批準，并讓專人操作或監(jiān)督實施，需要登記經(jīng)相關(guān)責任人批準內(nèi)部復制無限制打印禁止打印（或在授權(quán)情況下專人負責打印，不得打印到無人值守機）須經(jīng)相關(guān)責任人許可，打印件標注密級并妥善管理，不得打印到無人值守機經(jīng)相關(guān)責任人許可，打印件標注密級并妥善管理無限制，打印件標注密級郵件禁止郵件直接發(fā)送，經(jīng)授權(quán)后做電子簽名和加密控制，經(jīng)安全的途徑發(fā)送，保留記錄須經(jīng)相關(guān)責任人許可，郵件發(fā)送應做加密控制，保留記錄經(jīng)相關(guān)責任人許可無限制傳真禁止傳真須經(jīng)相關(guān)責任人許可后專人負責傳真經(jīng)相關(guān)責任人許可無限制快遞經(jīng)授權(quán)后采取妥善的保護措施，由專人快遞經(jīng)授權(quán)后，由簽署了特定安全協(xié)議的專門的快遞公司快遞經(jīng)授權(quán)后，由簽署了特定安全協(xié)議的專門的快遞公司快遞無限制內(nèi)部分發(fā)經(jīng)相關(guān)責任人和公司管理層批準后，密封分發(fā)，或以允許的電子分發(fā)形式進行安全的分發(fā)經(jīng)相關(guān)責任人批準后，密封分發(fā)，或以允許的電子分發(fā)形式進行安全的分發(fā)經(jīng)授權(quán)后，以內(nèi)部郵件形式發(fā)放，或直接進行硬拷貝分發(fā)無限制對外分發(fā)經(jīng)相關(guān)責任人和公司管理層批準后分發(fā)，需要簽署特定的保密協(xié)議，需要進行登記經(jīng)相關(guān)責任人批準后分發(fā)，需簽署保密協(xié)議，需要進行登記經(jīng)授權(quán)后，以郵件或者快遞方式分發(fā)，建議簽署保密協(xié)議經(jīng)授權(quán)后，以允許的分發(fā)方式分發(fā)處理碎紙機；徹底銷毀介質(zhì)；電子記錄定期消除；進行檢查確認碎紙機；徹底銷毀介質(zhì)；電子記錄定期消除；進行檢查確認保存件標明作廢；電子記錄定期消除；介質(zhì)銷毀電子記錄定期消除，介質(zhì)銷毀記錄跟蹤直接責任人應有收件人、復制者、保存者、瀏覽者、銷毀者的日志記錄跟蹤文件復制、保存、瀏覽、銷毀過程，應有記錄無要求不建議跟蹤口令使用策略全體員工在挑選和使用口令時，應：保證口令的機密。除非能安全保存，避免將口令記錄在紙上。只要有跡象表明系統(tǒng)或口令可能遭到破壞，應立即更改口令。選用高質(zhì)量的口令，最少要有6個字符，另外：口令應由字母加數(shù)字組成；口令不應采用如姓名、電話號碼、生日等容易猜出或破解的信息。每三個月更改或根據(jù)訪問次數(shù)更改口令（特別是特權(quán)用戶），避免再次使用或循環(huán)使用舊口令。首次登錄時，應立即更改臨時口令。不得共享個人用戶口令。桌面、屏幕清空策略為了降低在正常工作時間以外對信息進行未經(jīng)授權(quán)訪問所帶來的風險、損失和損害，員工應：在閑置或工作時間之外將紙張或計算機存儲介質(zhì)儲存在合適的柜子或其它形式的安全設(shè)備中。當辦公室無人時將關(guān)鍵業(yè)務信息放置到安全地點（比如防火的保險箱或柜子中）。在無人使用時，將個人計算機、計算機終端和打印機、復印機設(shè)為鎖定狀態(tài)。為個人計算機、計算機終端設(shè)定密碼，同時設(shè)定屏保時間（<=15分鐘）。在打印保密級別為企業(yè)機密、企業(yè)秘密的信息后，應立刻從打印機中清除相關(guān)痕跡，并有效保護打印出來的信息內(nèi)容。遠程工作安全策略必須保護好遠程工作場所防止盜竊設(shè)備和信息、未經(jīng)授權(quán)公開信息、對公司內(nèi)部系統(tǒng)進行遠程非法訪問或濫用設(shè)備等行為。員工應：保障物理安全。對家人和客人使用設(shè)備進行限制。如果必須要使用，應在旁邊進行監(jiān)督和控制，確保關(guān)鍵業(yè)務信息的安全。遠程工作活動結(jié)束時，權(quán)限以及設(shè)備及時收回。網(wǎng)絡遠程登錄終端的撥號密碼即VPN帳號僅限本人使用，不允許他人使用。進入公司或客戶的信息系統(tǒng)工作完畢后，必須立即退出系統(tǒng)。移動辦公策略使用移動辦公設(shè)備（如筆記本電腦）時，員工尤其應該注意保證業(yè)務信息不受損壞、非法訪問或泄密：移動辦公設(shè)備需要帶出公司工作場所時，應進行登記。在公共場所使用移動辦公設(shè)備時，必須注意防范被未經(jīng)授權(quán)的人員窺視。應實時更新用于防范惡意軟件的程序。應對信息進行方便快捷的備份。備份的信息應該予以適當?shù)谋Ｗo以防信息被盜或丟失。使用移動辦公設(shè)備通過公共網(wǎng)對公司商務信息進行遠程訪問時必須進行身份識別和VPN訪問控制。防止移動辦公設(shè)備被盜。防止保密級別為企業(yè)秘密級以上的信息所在的移動辦公設(shè)備無人看管。介質(zhì)的申請、使用、掛失、報廢要求介質(zhì)的申請：序號責任者任務相關(guān)文件或記錄1資產(chǎn)管理員按照公司的固定資產(chǎn)或消耗資材申領(lǐng)方式向公司申領(lǐng)介質(zhì)?！豆潭ㄙY產(chǎn)管理制度》《計算機維護消耗資材管理辦法》2資產(chǎn)管理員從公司領(lǐng)取介質(zhì)并登記到《介質(zhì)登記表》中?！督橘|(zhì)登記表》3資產(chǎn)管理員如通過設(shè)備管理，需通過usb使用的移動存儲介質(zhì)在中注冊。參見使用說明4資產(chǎn)管理員在《介質(zhì)登記表》中登記發(fā)放時間，使用人等信息后發(fā)放介質(zhì)?！督橘|(zhì)登記表》介質(zhì)的使用：如安裝了設(shè)備，所有工作中使用的USB存儲介質(zhì)都應在中進行注冊。如果確認介質(zhì)中的內(nèi)容不再需要，應立即將其以可靠方式清除。如果數(shù)據(jù)需要保存，則使用人應該保存在有良好安全措施的個人計算機和服務器上，而不應該放在計算機活動介質(zhì)中。所有的備份介質(zhì)都應存放在安全可靠的地方，并符合生產(chǎn)廠家說明書的安全要求。介質(zhì)的掛失：序號責任者任務相關(guān)文件或記錄1使用者使用人立即向資產(chǎn)管理員申報掛失2資產(chǎn)管理員如果是通過usb使用的移動存儲介質(zhì)被掛失且在上注冊過，則應在上進行注銷。3資產(chǎn)管理員在介質(zhì)登記表中登記掛失《介質(zhì)登記表》介質(zhì)的報廢：序號責任者任務相關(guān)文件或記錄1使用者1）、書面文件用碎紙機粉碎2）、其他介質(zhì)報廢，使用人向資產(chǎn)管理員申請介質(zhì)報廢。2資產(chǎn)管理員如果是通過usb使用的移動存儲介質(zhì)且在上注冊過，則應在上進行注銷。3資產(chǎn)管理員按照公司的固定資產(chǎn)和消耗資材的報廢流程實施?！豆潭ㄙY產(chǎn)管理制度》《計算機維護消耗資材管理辦法》4資產(chǎn)管理員在介質(zhì)清單中登記已報廢《1介質(zhì)登記表》信息安全事件管理流程發(fā)現(xiàn)公司全體員工都有責任和義務將已發(fā)現(xiàn)的或可疑的事件、故障和薄弱點及時報告給相關(guān)部門或人員。任何企圖阻攔、干擾、報復事件報告者的行為都被視為違反公司策略。報告對于部門范圍內(nèi)的信息安全事件，當事人可直接向部門負責人報告，并按照本部門規(guī)范進行處理。事件處理者需填寫附錄中的《信息安全事件報告處理記錄單》，每月將相關(guān)記錄上交過程管理部。除部門內(nèi)可以自行處理的信息安全事件外，其余信息安全事件必須統(tǒng)一上報給客服記錄。響應客服對信息安全事件做出最初響應，將技術(shù)方面的信息安全事件交給系統(tǒng)服務部組織處理，將管理方面的信息安全事件交給過程管理部組織相關(guān)部門進行處理。需要做進一步調(diào)查的信息安全事件，當其影響范圍涉及整個公司或影響程度嚴重妨礙了公司的正常運營時，報告給信息安全管理委員會。事件響應及處理者在處理安全事件時應考慮以下優(yōu)先次序：保護人員的生命與安全保護敏感的設(shè)備和資料保護重要的數(shù)據(jù)資源防止系統(tǒng)被損壞將公司遭受的損失降至最小如果發(fā)生違法事件，事件相關(guān)涉及部門要采集并保存有效證據(jù)，上交過程管理部報告給公司最高管理者決策，由法務部向外部法律機構(gòu)報告。必要時，法務部可以尋求外部專家的支持。評價/調(diào)查安全事件或故障發(fā)生之后，事件處理者要對事件或故障的類型、嚴重程度、發(fā)生的原因、性質(zhì)、產(chǎn)生的損失、責任人進行調(diào)查確認，形成事件或故障評價資料。懲戒要根據(jù)事件的嚴重程度、造成的損失、產(chǎn)生的原因?qū)`規(guī)者進行教育或者處罰。懲戒手段可包括通報批評、行政警告、經(jīng)濟處罰、調(diào)離崗位、依據(jù)合同給予辭退，對于觸犯刑律者可交司法機關(guān)處理。具體處罰標準參見《信息安全管理職責程序》。公告事件的調(diào)查結(jié)果要反饋給當事部門領(lǐng)導。當事部門可組織相關(guān)的人員進行學習和培訓。電子郵件安全使用規(guī)范公司電子郵件系統(tǒng)禁止用于創(chuàng)建與分發(fā)任何含有破壞性、歧視性的信息，包括對種族、性別、殘疾人、年齡、職業(yè)、性取向、宗教信仰、政治信念、國籍等方面的攻擊性語言。公司的員工如果接收到任何含有此類信息的郵件，應立即向主管領(lǐng)導進行匯報。禁止使用公司帳號發(fā)送連鎖信。禁止使用公司電子郵件帳號發(fā)送病毒或惡意代碼警告郵件。這些規(guī)則也適用于當公司員工接收到這類電子郵件并進行轉(zhuǎn)發(fā)的情況。使用的郵件軟件客戶端要及時升級，減少由于軟件的漏洞而受到外部攻擊，避免因此而導致的郵件丟失和系統(tǒng)中毒。郵件必須有標題，盡量以文本方式瀏覽郵件。陌生人的郵件附件盡量不要打開，禁止撰寫、發(fā)送、轉(zhuǎn)發(fā)各種垃圾郵件，禁止在未經(jīng)授權(quán)的情況下利用他人的計算機系統(tǒng)發(fā)送互聯(lián)網(wǎng)電子郵件。禁止使用工作郵箱從事任何非法活動及其與工作無關(guān)的郵件。為了保證郵件安全禁止使用自動轉(zhuǎn)發(fā)功能。公司業(yè)務信息郵件必須使用公司規(guī)定的業(yè)務專用郵箱發(fā)送，除了業(yè)務相關(guān)郵件禁止使用業(yè)務郵箱發(fā)送其他郵件。郵件必須主題明確，能夠通過郵件主題判斷業(yè)務類別。做好郵件的病毒防護工作。發(fā)送郵件應該注意郵件的保密，避免泄漏公司機密。所有員工都要嚴格遵守《電子郵件安全使用規(guī)范》的相關(guān)規(guī)定，員工之間應互相監(jiān)督，及時制止違反規(guī)定的人員，對于使用公司郵箱傳播反動言論、從事任何與法律或公司制度相違活動的人員將禁用或者注銷其郵箱，并根據(jù)情節(jié)嚴重給予相應處罰或提交司法機關(guān)處理。設(shè)備報廢信息安全要求報廢設(shè)備上交前，使用者自己負責將設(shè)備介質(zhì)中的信息進行備份，機電一體化產(chǎn)品事業(yè)部負責將設(shè)備介質(zhì)中的所有信息清除掉，以防信息泄漏。用戶注冊與權(quán)限管理策略對任何多用戶使用的信息系統(tǒng)和服務設(shè)施進行訪問，應：使用唯一的用戶名，以便將用戶與其操作聯(lián)系起來，使用戶對其操作負責。只有因工作需要才允許使用組用戶名。添加新用戶或用戶權(quán)限變更時應有書面申請并經(jīng)過審批。系統(tǒng)管理員對新注冊用戶進行授權(quán)。應記錄所有注冊用戶。用戶因工作變更或離開組織時，應立即取消其訪問權(quán)限。系統(tǒng)權(quán)限管理的責任人應定期組織檢查并刪除多余的用戶名和賬戶，并對用戶的訪問權(quán)限進行定期評審或在變動后進行評審。系統(tǒng)權(quán)限管理的責任人需要嚴格控制特權(quán)的分配和使用，要對特權(quán)的分配和使用情況進行評審，確保沒有非法授予用戶特權(quán)，以保證對數(shù)據(jù)和信息服務的訪問進行了有效的控制。用戶口令管理在進行信息系統(tǒng)的口令管理，應：用戶需要自己維護口令，系統(tǒng)僅在開始時提供一個安全的臨時口令，用戶需要立即更改臨時口令。用戶忘記口令時，必須在對該用戶進行適當?shù)纳矸莺藢嵑蟛拍芟蚱涮峁┡R時口令。在向用戶提供臨時口令時必須確保其安全，避免使用第三方或無保護的（明文）電子郵件，用戶應對收到的口令予以確認。不允許在計算機系統(tǒng)上以無保護的形式存儲口令。保證個人口令安全，確保工作組口令僅在本組成員間共享。終端網(wǎng)絡接入準則公司網(wǎng)絡覆蓋范圍內(nèi)使用的每臺計算機，員工均應安裝公司規(guī)定的防毒軟件，不得私自使用其他防毒軟件。終端使用安全準則每臺計算機應開啟實時監(jiān)控功能，定期進行計算機病毒檢測，并及時對防毒軟件或病毒特征庫進行升級更新。每臺計算機應定期連接公司網(wǎng)絡并從病毒服務器獲得防病毒軟件的最新定義碼及掃描引擎。為防止計算機使用人員私自卸載客戶端及信息安全客戶端，卸載密碼和工具由系統(tǒng)服務事業(yè)部統(tǒng)一管理。公司不定期組織相關(guān)部門對客戶端及信息安全客戶端安裝情況進行抽查。抽查情況將通報各相關(guān)部門并列入年度的績效考核。計算機使用人員在安裝、使用客戶端及信息安全客戶端中遇到技術(shù)問題，可通過撥打客戶服務熱線尋求技術(shù)支持。為防止惡意代碼的侵擾，每臺計算機必須按《訪問控制管理程序》第5.2.1節(jié)的要求設(shè)置管理員口令；網(wǎng)絡共享文件必須設(shè)置密碼和只讀權(quán)限。任何部門和個人不得制作、復制、傳播計算機病毒，任何部門和個人負有清除或防治計算機病毒的義務。不使用來路不明或含有盜版軟件的軟盤與光盤，不隨意安裝執(zhí)行從網(wǎng)絡上下載的各種程序。當需要從計算機信息網(wǎng)絡上下載程序、數(shù)據(jù)或者購置、維修、借入計算機設(shè)備時，應當進行計算機病毒檢測。使用電子郵件，對來路不明的郵件（特別是含有附件的郵件），收到后不要打開，直接刪除并清空廢件箱。出口防火墻的日常管理規(guī)定為公司的出口防火墻設(shè)置只讀權(quán)限，便于監(jiān)視進出本公司的所有訪問。對防火墻的接口IP地址、用戶名、口令及配置文件信息進行嚴格管理。除授權(quán)人員外，禁止任何人員物理接觸防火墻；對防火墻的遠程管理僅限于指定IP地址、指定管理方式、指定用戶、指定用戶的管理權(quán)限。嚴禁連接公司網(wǎng)絡的任何單位和人員以任何形式對防火墻進行攻擊。集中收集、存儲防火墻報警日志，定期檢查防火墻安全記錄，優(yōu)化防火墻訪問規(guī)則，杜絕安全漏洞。定期使用安全評估系統(tǒng)檢查防火墻的各項服務是否有漏洞。部門如有公司出口防火墻的變更需求，必須通過公司審批，備案在冊，由系統(tǒng)服務部統(tǒng)一操作。局域網(wǎng)的日常管理規(guī)定各部門不得將私自構(gòu)建的局域網(wǎng)接入公司網(wǎng)絡。如需接入必須通過公司審批，備案在冊，由系統(tǒng)服務部統(tǒng)一操作。員工在辦公區(qū)域只能通過公司內(nèi)網(wǎng)聯(lián)入互聯(lián)網(wǎng)。集線器、交換機、無線AP的日常管理規(guī)定各部門不得私自使用網(wǎng)絡訪問設(shè)備。禁止使用路由器及無線路由設(shè)備。如需使用集線器、交換機、無線AP，必須通過公司審批，備案在冊。無線AP必須設(shè)置符合安全要求的密碼（具體要求參見管理文件《訪問控制管理程序》中5.2.1的要求），只有被授權(quán)人員方可使用無線網(wǎng)絡。公司定期檢查集線器、交換機、無線AP的登記和使用情況。網(wǎng)絡專線的日常管理規(guī)定各部門不得私自搭建網(wǎng)絡專線。如需使用網(wǎng)絡專線必須通過公司審批，備案在冊。公司定期檢查網(wǎng)絡專線的登記和使用情況。信息安全懲戒全體員工（含臨時員工、派遣員工、實習員工、常駐外包員工）均應遵守所有與信息安全相關(guān)的管理規(guī)定，不允許任何部門或人員有損害公司信息安全的行為。對違反信息安全管理規(guī)定，并造成嚴重后果的部門或員工，由公司信息安全管理委員會授權(quán)實施懲戒。懲戒手段包括通告、行政警告、經(jīng)濟處罰、調(diào)離崗位、依據(jù)合同予以辭退，對于觸犯刑律者移交司法機關(guān)處理。對于的合同承包商和外部用戶，如果違反了信息安全管理規(guī)定，公司信息安全委員會有權(quán)建議公司中止與他們的合同和協(xié)議。精品文檔精心整理精品文檔可編輯的精品文檔精品文檔精心整理信息安全知識什么是信息？是來自任何來源的知識。在ISO27001的標準里：信息是一種資產(chǎn)，就象其它重要的企業(yè)資產(chǎn)一樣，信息資產(chǎn)對組織具有價值，因而需要受到妥善的保護。信息是有生命周期的。安全保護應兼顧到從其創(chuàng)建或誕生，到被使用或操作，到存儲，再到被傳遞，直至其生命期結(jié)束而被銷毀或丟棄。什么是信息安全？信息安全的目的是，保護信息不受各種威脅，以確保業(yè)務連續(xù)，將企業(yè)損失降至最低，將投資收益與商業(yè)機會最大化。信息安全的任務是，要采取措施（技術(shù)手段及有效管理）讓這些信息資產(chǎn)免遭威脅，或者將威脅帶來的后果降到最低程度，以此維護組織的正常運作。信息安全的三要素機密性完整性可用性注：1）、機密性：信息不可用或不被泄漏給未授權(quán)的個人、實體或過程的特性，確保只有獲得授權(quán)的使用者才能使用信息。2）、完整性：保護資產(chǎn)的精確與完整的特性，確保信息在存儲、使用、傳輸?shù)倪^程中不會被未授權(quán)用戶篡改，同時還要防止授權(quán)用戶對系統(tǒng)及信息進行不恰當?shù)拇鄹?，保持信息?nèi)、外部表示的一致性。3）、可用性：需要時，授權(quán)實體可以訪問和使用的特性，確保授權(quán)用戶或?qū)嶓w對信息及資源的正常使用不會被異常拒絕，允許其可靠而及時地訪問信息及資源。什么是信息安全管理體系？信息安全管理體系是協(xié)調(diào)的活動以指揮和控制：一組被分配職責和權(quán)限及關(guān)系的人和設(shè)備；保護信息的機密性、完整性和可用性；此外，其他的特性，如可鑒別性、可歸責性、不可抵賴性和可靠性也可以考慮。建立信息安全管理體系的目的增強各種類型的組織機構(gòu)內(nèi)部管理的信心。為各種類型的組織機構(gòu)開發(fā)、實施、衡量安全管理實踐的有效性提供了一個基礎(chǔ)、依據(jù)。為投資活動提供保障，防止各種安全事故的發(fā)生。方針與流程管理和審核方針與流程管理和審核數(shù)據(jù)隱私和完整性授權(quán)身份識別與鑒定啟動方案實施原則，要干什么你是誰，如何證明誰有權(quán)使用、查看、編輯創(chuàng)建、刪除、復制數(shù)據(jù)誰發(fā)送的、誰可以閱讀誰何時干了什么信息安全管理的PDCA模式安全管理－風險評估過程AssetIdentificationandValuation資產(chǎn)鑒別與評價AssetIdentificationandValuation資產(chǎn)鑒別與評價Identificationofvulnerabilities

脆弱性的鑒別IdentificationofThreats

威脅的鑒別EvaluationofImpacts

沖擊的評估ReviewofExistingSecurityControls

現(xiàn)有的安全控制措施審查IdentificationofnewSecurityControls

新安全控制措施的鑒別PolicyandProcedures

政策與程序ImplementationandRiskReduction

實施與風險降低RiskAcceptance(ResidualRisk)

風險可接受度(殘余風險)RiskAssessment

風險評估BusinessRisk

營運風險RiskManagementRating/rankingofRisks

風險的分級信息安全管理體系標準（ISO27001標準家族）ISO/IEC27000—基礎(chǔ)和術(shù)語。ISO/IEC27001—信息安全管理體系要求，已于2005年10月15日正式發(fā)布（ISO/IEC27001:2005）。ISO/IEC27002—信息安全管理體系最佳實踐由ISO/IEC17799:2005轉(zhuǎn)換而來。ISO/IEC27003—信息安全管理體系實施指南，正在開發(fā)。ISO/IEC27004—信息安全管理度量和改進，正在開發(fā)。ISO/IEC27005—信息安全風險管理指南以2006年推出的BS7799-3（基于ISO/IEC13335-2）為藍本。信息安全控制目標與控制措施安全方針信息安全組織資產(chǎn)管理人力資源安全管理物理與環(huán)境安全通訊及操作安全信息系統(tǒng)的獲取、開發(fā)和維護訪問控制信息安全事故管理業(yè)務連續(xù)性管理符合性精品文檔精心整理精品文檔可編輯的精品文檔精品文檔精心整理精品文檔可編輯的精品文檔信息安全管理規(guī)范公司

版本信息當前版本:最新更新日期:最新更新作者:作者:創(chuàng)建日期:審批人:審批日期:修訂歷史版本號更新日期修訂作者主要修訂摘要TableofContents（目錄）1. 公司信息安全要求 51.1 信息安全方針 51.2 信息安全工作準則 51.3 職責 61.4 信息資產(chǎn)的分類規(guī)定 61.5 信息資產(chǎn)的分級（保密級別）規(guī)定 71.6 現(xiàn)行保密級別與原有保密級別對照表 81.7 信息標識與處置中的角色與職責 81.8 信息資產(chǎn)標注管理規(guī)定 91.9 允許的信息交換方式 101.10 信息資產(chǎn)處理和保護要求對應表 101.11 口令使用策略 121.12 桌面、屏幕清空策略 131.13 遠程工作安全策略 141.14 移動辦公策略 141.15 介質(zhì)的申請、使用、掛失、報廢要求 151.16 信息安全事件管理流程 171.17 電子郵件安全使用規(guī)范 191.18 設(shè)備報廢信息安全要求 201.19 用戶注冊與權(quán)限管理策略 201.20 用戶口令管理 211.21 終端網(wǎng)絡接入準則 211.22 終端使用安全準則 221.23 出口防火墻的日常管理規(guī)定 231.24 局域網(wǎng)的日常管理規(guī)定 231.25 集線器、交換機、無線AP的日常管理規(guī)定 231.26 網(wǎng)絡專線的日常管理規(guī)定 241.27 信息安全懲戒 242. 信息安全知識 252.1 什么是信息？ 252.2 什么是信息安全？ 252.3 信息安全的三要素 252.4 什么是信息安全管理體系？ 262.5 建立信息安全管理體系的目的 272.6 信息安全管理的PDCA模式 282.7 安全管理－風險評估過程 282.8 信息安全管理體系標準（ISO27001標準家族） 292.9 信息安全控制目標與控制措施 30

公司信息安全要求信息安全方針擁有信息資產(chǎn)，積累、共享并保護信息資產(chǎn)是我們共同的責任。管理與技術(shù)并重，確保公司信息資產(chǎn)的安全，保障公司持續(xù)正常運營。履行對客戶知識產(chǎn)權(quán)的保護承諾，保障客戶信息資產(chǎn)的安全，滿足并超越客戶信息安全需求。信息安全工作準則保護信息的機密性、完整性和可用性，即確保信息僅供給那些獲得授權(quán)的人員使用、保護信息及信息處理方法的準確性和完整性、確保獲得授權(quán)的人員能及時可靠地使用信息及信息系統(tǒng)；公司通過建立有效的信息安全管理體系和必要的技術(shù)手段，保障信息資產(chǎn)的安全，降低信息安全風險；各級信息安全責任者負責所轄區(qū)域的信息安全，通過建立相關(guān)制度及有效的保護措施，確保公司的信息安全方針得到可靠實施；全體員工應只訪問或使用獲得授權(quán)的信息系統(tǒng)及其它信息資產(chǎn)，應按要求選擇和保護口令；未經(jīng)授權(quán)，任何人不得對公司信息資產(chǎn)進行復制、利用或用于其它目的；應及時檢測病毒，防止惡意軟件的攻擊；公司擁有為保護信息安全而使用監(jiān)控手段的權(quán)力,任何違反信息安全政策的員工都將受到相應處理；通過建立有效和高效的信息安全管理體系，定期評估信息安全風險，持續(xù)改進信息安全管理體系。職責全體員工應保護公司信息資產(chǎn)的安全。每個員工必須認識到信息資產(chǎn)的價值，負責保護好自己生成、管理或可觸及的涉及的數(shù)據(jù)和信息。員工必須遵守《信息標識與處理程序》，了解信息的保密級別。對于不能確定是否為涉密信息的內(nèi)容，必須征得相關(guān)管理部門的確認才可對外披露。員工必須遵守信息安全相關(guān)的各項制度和規(guī)定，保證的系統(tǒng)、網(wǎng)絡、數(shù)據(jù)僅用于的各項工作相關(guān)的用途，不得濫用。信息資產(chǎn)的分類規(guī)定公司的信息資產(chǎn)分為電子數(shù)據(jù)、軟件、硬件、實體信息、服務五大類。類別說明電子數(shù)據(jù)存在信息媒介上的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫數(shù)據(jù)等各種電子化的數(shù)據(jù)資料、項目文檔、管理文檔、運行管理規(guī)程、計劃、報告、用戶手冊、作業(yè)指導書等各種電子化的數(shù)據(jù)資料。軟件包括系統(tǒng)軟件、應用軟件、共享軟件系統(tǒng)軟件：操作系統(tǒng)、語言包、工具軟件、各種庫等；應用軟件：外部購買的應用軟件，辦公軟件等；共享軟件：各種共享源代碼、共享可執(zhí)行程序等。硬件網(wǎng)絡設(shè)備：路由器、網(wǎng)關(guān)、交換機等計算機設(shè)備：大型機、服務器、工作站、臺式計算機、移動計算機等存儲設(shè)備：磁帶機、磁盤陣列、工控機等移動存儲設(shè)備：磁帶、光盤、軟盤、U盤、移動硬盤等傳輸線路：光纖、雙絞線等基礎(chǔ)保障設(shè)備：（UPS、變電設(shè)備等）、空調(diào)、保險柜、文件柜、門禁、消防設(shè)施等，如對基礎(chǔ)設(shè)施使用屬于租用形式，請將其識別到服務類別中。安全保障設(shè)備：硬件防火墻、入侵檢測系統(tǒng)、身份驗證等其他電子設(shè)備：打印機、復印機、掃描儀、傳真機等實體信息紙制的各種文件、合同、傳真、會議紀要、財務報表、證書、電報、發(fā)展計劃以及各類其他材質(zhì)的證書獎牌等。服務通過各種協(xié)議方式固化下來的服務活動、如物業(yè)、第三方、供應商、提供檢修服務的提供方等。信息資產(chǎn)的分級（保密級別）規(guī)定信息資產(chǎn)分為：一般、內(nèi)部公開、企業(yè)秘密、企業(yè)機密4個保密級別。保密級別名稱說明1一般一般性信息，可以公開的信息、信息處理設(shè)備和系統(tǒng)資源。2內(nèi)部公開非敏感但僅限公司內(nèi)部使用的信息、信息處理設(shè)備和系統(tǒng)資源。3企業(yè)秘密敏感的信息、信息處理設(shè)備和系統(tǒng)資源，只給必須知道者。4企業(yè)機密敏感的信息、信息處理設(shè)備和系統(tǒng)資源，僅適用極少數(shù)必須知道的人?，F(xiàn)行保密級別與原有保密級別對照表保密級別與公司原有的保密級別的對照表如下：現(xiàn)行的保密級別與之相當?shù)脑斜Ｃ芗墑e一般一般內(nèi)部公開秘密企業(yè)秘密機密企業(yè)機密絕密信息標識與處置中的角色與職責角色職責責任人：信息資產(chǎn)的創(chuàng)建者，或者主要用戶所在組織、單位或部門的負責人。信息資產(chǎn)責任人對所屬信息資產(chǎn)負直接責任。理解和各種信息訪問活動相關(guān)的安全風險；根據(jù)公司信息密級劃分標準來確定所屬信息資產(chǎn)的級別；根據(jù)公司相關(guān)策略確定并檢查信息訪問權(quán)限；針對所屬信息資產(chǎn)提出恰當?shù)谋Ｗo措施。保管者：受信息資產(chǎn)責任人委托，對信息資產(chǎn)進行日常的管理，維護已經(jīng)建立的保護措施。資產(chǎn)保管者通常是公司或部門的IT管理者或者代表（例如系統(tǒng)管理員）。根據(jù)公司相關(guān)策略和信息資產(chǎn)責任人的要求，負責信息資產(chǎn)的維護操作和日常管理事務；負責具體設(shè)置信息訪問權(quán)限；負責所管理的信息資產(chǎn)的安全控制；部署恰當?shù)陌踩珯C制，進行備份和恢復操作；按照信息資產(chǎn)責任人的要求實施其他控制。用戶：信息資產(chǎn)的使用者，除了公司內(nèi)部員工，也可能是因為業(yè)務需要而訪問公司信息的客戶或第三方組織。向信息責任人申請信息訪問；按照公司信息安全策略要求正當訪問信息，禁止非授權(quán)訪問；向相關(guān)組織報告隱患、故障或者違規(guī)事件。信息資產(chǎn)標注管理規(guī)定公司所屬的各類信息資產(chǎn)，無論其存在形式是電子、紙質(zhì)還是磁盤等，都應在顯著位置標注其保密級別。一般電子或紙質(zhì)文檔應在該文檔頁眉的右上角或頁腳上標注其保密級別或在文件封面打上保密章，磁盤等介質(zhì)應在其表面非數(shù)據(jù)區(qū)予以標注其保密級別。如果某存儲介質(zhì)中包含各個級別的信息，作為整體考慮，該存儲介質(zhì)的保密級別標注應以最高為準。如果沒有明顯的保密級別標注，該信息資產(chǎn)以“一般”級別看待。對于對外公開的信息，需要得到相關(guān)責任人的核準，并由對外信息發(fā)布部門統(tǒng)一處理。如需在信息資產(chǎn)上表述保密聲明，可采用以下兩種表述方式：表述方式一：“保密聲明：公司資產(chǎn)，注意保密?！北硎龇绞蕉骸氨Ｃ苈暶鳎罕疚臋n受國家相關(guān)法律和公司制度保護，不得擅自復制或擴散。”允許的信息交換方式公司允許的信息交換方式有：郵件、視頻、電話、網(wǎng)站內(nèi)容發(fā)布、文件共享、傳真、光盤、磁盤、磁帶和紙張。信息資產(chǎn)處理和保護要求對應表企業(yè)機密企業(yè)秘密內(nèi)部公開一般授權(quán)需得到責任人和公司管理層批準需得到相關(guān)責任人及部門領(lǐng)導批準需得到責任人批準無特別要求訪問只能被得到授權(quán)的公司極少數(shù)核心人員訪問只能被公司內(nèi)部或外部得到明確授權(quán)的人員訪問，訪問者應該簽署保密協(xié)議可以被公司內(nèi)部或外部因為業(yè)務需要的人員訪問任何公司員工或外部人員都可以訪問存儲電子類的應該加密存儲在安全的計算機系統(tǒng)內(nèi)；硬拷貝應該鎖在安全的保險柜內(nèi)；禁止以其他形式存儲或顯示電子類的應該妥善保存在設(shè)有安全控制的計算機系統(tǒng)內(nèi)（建議進行信息加密）；硬拷貝應該妥善保管，嚴禁擺放在桌面；使用白板展示后應立即擦除電子類的應該妥善保管，可以進行加密；紙質(zhì)不應放在桌面以恰當方式保存，避免被非授權(quán)人員看到；存儲有信息的介質(zhì)避免丟失復制得到相關(guān)責任人及公司管理層批準；需要登記須經(jīng)相關(guān)責任人批準，并讓專人操作或監(jiān)督實施，需要登記經(jīng)相關(guān)責任人批準內(nèi)部復制無限制打印禁止打印（或在授權(quán)情況下專人負責打印，不得打印到無人值守機）須經(jīng)相關(guān)責任人許可，打印件標注密級并妥善管理，不得打印到無人值守機經(jīng)相關(guān)責任人許可，打印件標注密級并妥善管理無限制，打印件標注密級郵件禁止郵件直接發(fā)送，經(jīng)授權(quán)后做電子簽名和加密控制，經(jīng)安全的途徑發(fā)送，保留記錄須經(jīng)相關(guān)責任人許可，郵件發(fā)送應做加密控制，保留記錄經(jīng)相關(guān)責任人許可無限制傳真禁止傳真須經(jīng)相關(guān)責任人許可后專人負責傳真經(jīng)相關(guān)責任人許可無限制快遞經(jīng)授權(quán)后采取妥善的保護措施，由專人快遞經(jīng)授權(quán)后，由簽署了特定安全協(xié)議的專門的快遞公司快遞經(jīng)授權(quán)后，由簽署了特定安全協(xié)議的專門的快遞公司快遞無限制內(nèi)部分發(fā)經(jīng)相關(guān)責任人和公司管理層批準后，密封分發(fā)，或以允許的電子分發(fā)形式進行安全的分發(fā)經(jīng)相關(guān)責任人批準后，密封分發(fā)，或以允許的電子分發(fā)形式進行安全的分發(fā)經(jīng)授權(quán)后，以內(nèi)部郵件形式發(fā)放，或直接進行硬拷貝分發(fā)無限制對外分發(fā)經(jīng)相關(guān)責任人和公司管理層批準后分發(fā)，需要簽署特定的保密協(xié)議，需要進行登記經(jīng)相關(guān)責任人批準后分發(fā)，需簽署保密協(xié)議，需要進行登記經(jīng)授權(quán)后，以郵件或者快遞方式分發(fā)，建議簽署保密協(xié)議經(jīng)授權(quán)后，以允許的分發(fā)方式分發(fā)處理碎紙機；徹底銷毀介質(zhì)；電子記錄定期消除；進行檢查確認碎紙機；徹底銷毀介質(zhì)；電子記錄定期消除；進行檢查確認保存件標明作廢；電子記錄定期消除；介質(zhì)銷毀電子記錄定期消除，介質(zhì)銷毀記錄跟蹤直接責任人應有收件人、復制者、保存者、瀏覽者、銷毀者的日志記錄跟蹤文件復制、保存、瀏覽、銷毀過程，應有記錄無要求不建議跟蹤口令使用策略全體員工在挑選和使用口令時，應：保證口令的機密。除非能安全保存，避免將口令記錄在紙上。只要有跡象表明系統(tǒng)或口令可能遭到破壞，應立即更改口令。選用高質(zhì)量的口令，最少要有6個字符，另外：口令應由字母加數(shù)字組成；口令不應采用如姓名、電話號碼、生日等容易猜出或破解的信息。每三個月更改或根據(jù)訪問次數(shù)更改口令（特別是特權(quán)用戶），避免再次使用或循環(huán)使用舊口令。首次登錄時，應立即更改臨時口令。不得共享個人用戶口令。桌面、屏幕清空策略為了降低在正常工作時間以外對信息進行未經(jīng)授權(quán)訪問所帶來的風險、損失和損害，員工應：在閑置或工作時間之外將紙張或計算機存儲介質(zhì)儲存在合適的柜子或其它形式的安全設(shè)備中。當辦公室無人時將關(guān)鍵業(yè)務信息放置到安全地點（比如防火的保險箱或柜子中）。在無人使用時，將個人計算機、計算機終端和打印機、復印機設(shè)為鎖定狀態(tài)。為個人計算機、計算機終端設(shè)定密碼，同時設(shè)定屏保時間（<=15分鐘）。在打印保密級別為企業(yè)機密、企業(yè)秘密的信息后，應立刻從打印機中清除相關(guān)痕跡，并有效保護打印出來的信息內(nèi)容。遠程工作安全策略必須保護好遠程工作場所防止盜竊設(shè)備和信息、未經(jīng)授權(quán)公開信息、對公司內(nèi)部系統(tǒng)進行遠程非法訪問或濫用設(shè)備等行為。員工應：保障物理安全。對家人和客人使用設(shè)備進行限制。如果必須要使用，應在旁邊進行監(jiān)督和控制，確保關(guān)鍵業(yè)務信息的安全。遠程工作活動結(jié)束時，權(quán)限以及設(shè)備及時收回。網(wǎng)絡遠程登錄終端的撥號密碼即VPN帳號僅限本人使用，不允許他人使用。進入公司或客戶的信息系統(tǒng)工作完畢后，必須立即退出系統(tǒng)。移動辦公策略使用移動辦公設(shè)備（如筆記本電腦）時，員工尤其應該注意保證業(yè)務信息不受損壞、非法訪問或泄密：移動辦公設(shè)備需要帶出公司工作場所時，應進行登記。在公共場所使用移動辦公設(shè)備時，必須注意防范被未經(jīng)授權(quán)的人員窺視。應實時更新用于防范惡意軟件的程序。應對信息進行方便快捷的備份。備份的信息應該予以適當?shù)谋Ｗo以防信息被盜或丟失。使用移動辦公設(shè)備通過公共網(wǎng)對公司商務信息進行遠程訪問時必須進行身份識別和VPN訪問控制。防止移動辦公設(shè)備被盜。防止保密級別為企業(yè)秘密級以上的信息所在的移動辦公設(shè)備無人看管。介質(zhì)的申請、使用、掛失、報廢要求介質(zhì)的申請：序號責任者任務相關(guān)文件或記錄1資產(chǎn)管理員按照公司的固定資產(chǎn)或消耗資材申領(lǐng)方式向公司申領(lǐng)介質(zhì)?！豆潭ㄙY產(chǎn)管理制度》《計算機維護消耗資材管理辦法》2資產(chǎn)管理員從公司領(lǐng)取介質(zhì)并登記到《介質(zhì)登記表》中?！督橘|(zhì)登記表》3資產(chǎn)管理員如通過設(shè)備管理，需通過usb使用的移動存儲介質(zhì)在中注冊。參見使用說明4資產(chǎn)管理員在《介質(zhì)登記表》中登記發(fā)放時間，使用人等信息后發(fā)放介質(zhì)。《介質(zhì)登記表》介質(zhì)的使用：如安裝了設(shè)備，所有工作中使用的USB存儲介質(zhì)都應在中進行注冊。如果確認介質(zhì)中的內(nèi)容不再需要，應立即將其以可靠方式清除。如果數(shù)據(jù)需要保存，則使用人應該保存在有良好安全措施的個人計算機和服務器上，而不應該放在計算機活動介質(zhì)中。所有的備份介質(zhì)都應存放在安全可靠的地方，并符合生產(chǎn)廠家說明書的安全要求。介質(zhì)的掛失：序號責任者任務相關(guān)文件或記錄1使用者使用人立即向資產(chǎn)管理員申報掛失2資產(chǎn)管理員如果是通過usb使用的移動存儲介質(zhì)被掛失且在上注冊過，則應在上進行注銷。3資產(chǎn)管理員在介質(zhì)登記表中登記掛失《介質(zhì)登記表》介質(zhì)的報廢：序號責任者任務相關(guān)文件或記錄1使用者1）、書面文件用碎紙機粉碎2）、其他介質(zhì)報廢，使用人向資產(chǎn)管理員申請介質(zhì)報廢。2資產(chǎn)管理員如果是通過usb使用的移動存儲介質(zhì)且在上注冊過，則應在上進行注銷。3資產(chǎn)管理員按照公司的固定資產(chǎn)和消耗資材的報廢流程實施?！豆潭ㄙY產(chǎn)管理制度》《計算機維護消耗資材管理辦法》4資產(chǎn)管理員在介質(zhì)清單中登記已報廢《1介質(zhì)登記表》信息安全事件管理流程發(fā)現(xiàn)公司全體員工都有責任和義務將已發(fā)現(xiàn)的或可疑的事件、故障和薄弱點及時報告給相關(guān)部門或人員。任何企圖阻攔、干擾、報復事件報告者的行為都被視為違反公司策略。報告對于部門范圍內(nèi)的信息安全事件，當事人可直接向部門負責人報告，并按照本部門規(guī)范進行處理。事件處理者需填寫附錄中的《信息安全事件報告處理記錄單》，每月將相關(guān)記錄上交過程管理部。除部門內(nèi)可以自行處理的信息安全事件外，其余信息安全事件必須統(tǒng)一上報給客服記錄。響應客服對信息安全事件做出最初響應，將技術(shù)方面的信息安全事件交給系統(tǒng)服務部組織處理，將管理方面的信息安全事件交給過程管理部組織相關(guān)部門進行處理。需要做進一步調(diào)查的信息安全事件，當其影響范圍涉及整個公司或影響程度嚴重妨礙了公司的正常運營時，報告給信息安全管理委員會。事件響應及處理者在處理安全事件時應考慮以下優(yōu)先次序：保護人員的生命與安全保護敏感的設(shè)備和資料保護重要的數(shù)據(jù)資源防止系統(tǒng)被損壞將公司遭受的損失降至最小如果發(fā)生違法事件，事件相關(guān)涉及部門要采集并保存有效證據(jù)，上交過程管理部報告給公司最高管理者決策，由法務部向外部法律機構(gòu)報告。必要時，法務部可以尋求外部專家的支持。評價/調(diào)查安全事件或故障發(fā)生之后，事件處理者要對事件或故障的類型、嚴重程度、發(fā)生的原因、性質(zhì)、產(chǎn)生的損失、責任人進行調(diào)查確認，形成事件或故障評價資料。懲戒要根據(jù)事件的嚴重程度、造成的損失、產(chǎn)生的原因?qū)`規(guī)者進行教育或者處罰。懲戒手段可包括通報批評、行政警告、經(jīng)濟處罰、調(diào)離崗位、依據(jù)合同給予辭退，對于觸犯刑律者可交司法機關(guān)處理。具體處罰標準參見《信息安全管理職責程序》。公告事件的調(diào)查結(jié)果要反饋給當事部門領(lǐng)導。當事部門可組織相關(guān)的人員進行學習和培訓。電子郵件安全使用規(guī)范公司電子郵件系統(tǒng)禁止用于創(chuàng)建與分發(fā)任何含有破壞性、歧視性的信息，包括對種族、性別、殘疾人、年齡、職業(yè)、性取向、宗教信仰、政治信念、國籍等方面的攻擊性語言。公司的員工如果接收到任何含有此類信息的郵件，應立即向主管領(lǐng)導進行匯報。禁止使用公司帳號發(fā)送連鎖信。禁止使用公司電子郵件帳號發(fā)送病毒或惡意代碼警告郵件。這些規(guī)則也適用于當公司員工接收到這類電子郵件并進行轉(zhuǎn)發(fā)的情況。使用的郵件軟件客戶端要及時升級，減少由于軟件的漏洞而受到外部攻擊，避免因此而導致的郵件丟失和系統(tǒng)中毒。郵件必須有標題，盡量以文本方式瀏覽郵件。陌生人的郵件附件盡量不要打開，禁止撰寫、發(fā)送、轉(zhuǎn)發(fā)各種垃圾郵件，禁止在未經(jīng)授權(quán)的情況下利用他人的計算機系統(tǒng)發(fā)送互聯(lián)網(wǎng)電子郵件。禁止使用工作郵箱從事任何非法活動及其與工作無關(guān)的郵件。為了保證郵件安全禁止使用自動轉(zhuǎn)發(fā)功能。公司業(yè)務信息郵件必須使用公司規(guī)定的業(yè)務專用郵箱發(fā)送，除了業(yè)務相關(guān)郵件禁止使用業(yè)務郵箱發(fā)送其他郵件。郵件必須主題明確，能夠通過郵件主題判斷業(yè)務類別。做好郵件的病毒防護工作。發(fā)送郵件應該注意郵件的保密，避免泄漏公司機密。所有員工都要嚴格遵守《電子郵件安全使用規(guī)范》的相關(guān)規(guī)定，員工之間應互相監(jiān)督，及時制止違反規(guī)定的人員，對于使用公司郵箱傳播反動言論、從事任何與法律或公司制度相違活動的人員將禁用或者注銷其郵箱，并根據(jù)情節(jié)嚴重給予相應處罰或提交司法機關(guān)處理。設(shè)備報廢信息安全要求報廢設(shè)備上交前，使用者自己負責將設(shè)備介質(zhì)中的信息進行備份，機電一體化產(chǎn)品事業(yè)部負責將設(shè)備介質(zhì)中的所有信息清除掉，以防信息泄漏。用戶注冊與權(quán)限管理策略對任何多用戶使用的信息系統(tǒng)和服務設(shè)施進行訪問，應：使用唯一的用戶名，以便將用戶與其操作聯(lián)系起來，使用戶對其操作負責。只有因工作需要才允許使用組用戶名。添加新用戶或用戶權(quán)限變更時應有書面申請并經(jīng)過審批。系統(tǒng)管理員對新注冊用戶進行授權(quán)。應記錄所有注冊用戶。用戶因工作變更或離開組織時，應立即取消其訪問權(quán)限。系統(tǒng)權(quán)限管理的責任人應定期組織檢查并刪除多余的用戶名和賬戶，并對用戶的訪問權(quán)限進行定期評審或在變動后進行評審。系統(tǒng)權(quán)限管理的責任人需要嚴格控制特權(quán)的分配和使用，要對特權(quán)的分配和使用情況進行評審，確保沒有非法授予用戶特權(quán)，以保證對數(shù)據(jù)和信息服務的訪問進行了有效的控制。用戶口令管理在進行信息系統(tǒng)的口令管理，應：用戶需要自己維護口令，系統(tǒng)僅在開始時提供一個安全的臨時口令，用戶需要立即更改臨時口令。用戶忘記口令時，必須在對該用戶進行適當?shù)纳矸莺藢嵑蟛拍芟蚱涮峁┡R時口令。在向用戶提供臨時口令時必須確保其安全，避免使用第三方或無保護的（明文）電子郵件，用戶應對收到的口令予以確認。不允許在計算機系統(tǒng)上以無保護的形式存儲口令。保證個人口令安全，確保工作組口令僅在本組成員間共享。終端網(wǎng)絡接入準則公司網(wǎng)絡覆蓋范圍內(nèi)使用的每臺計算機，員工均應安裝公司規(guī)定的防毒軟件，不得私自使用其他防毒軟件。終端使用安全準則每臺計算機應開啟實時監(jiān)控功能，定期進行計算機病毒檢測，并及時對防毒軟件或病毒特征庫進行升級更新。每臺計算機應定期連接公司網(wǎng)絡并從病毒服務器獲得防病毒軟件的最新定義碼及掃描引擎。為防止計算機使用人員私自卸載客戶端及信息安全客戶端，卸載密碼和工具由系統(tǒng)服務事業(yè)部統(tǒng)一管理。公司不定期組織相關(guān)部門對客戶端及信息安全客戶端安裝情況進行抽查。抽查情況將通報各相關(guān)部門并列入年度的績效考核。計算機使用人員在安裝、使用客戶端及信息安全客戶端中遇到技術(shù)問題，可通過撥打客戶服務熱線尋求技術(shù)支持。為防止惡意代碼的侵擾，每臺計算機必須按《訪問控制管理程序》第5.2.1節(jié)的要求設(shè)置管理員口令；網(wǎng)絡共享文件必須設(shè)置密碼和只讀權(quán)限。任何部門和個人不得制作、復制、傳播計算機病毒，任何部門和個人負有清除或防治計算機病毒的義務。不使用來路不明或含有盜版軟件的軟盤與光盤，不隨意安裝執(zhí)行從網(wǎng)絡上下載的各種程序。當需要從計算機信息網(wǎng)絡上下載程序、數(shù)據(jù)或者購置、維修、借入計算機設(shè)備時，應當進行計算機病毒檢測。使用電子郵件，對來路不明的郵件（特別是含有附件的郵件），收到后不要打開，直接刪除并清空廢件箱。出口防火墻的日常管理規(guī)定為公司的出口防火墻設(shè)置只讀權(quán)限，便于監(jiān)視進出本公司的所有訪問。對防火墻的接口IP地址、用戶名、口令及配置文件信息進行嚴格管理。除授權(quán)人員外，禁止任何人員物理接觸防火墻；對防火墻的遠程管理僅限于指定IP地址、指定管理方式、指定用戶、指定用戶的管理權(quán)限。嚴禁連接公司網(wǎng)絡的任何單位和人員以任何形式對防火墻進行攻擊。集中收集、存儲防火墻報警日志，定期檢查防火墻安全記錄，優(yōu)化防火墻訪問規(guī)則，杜絕安全漏洞。定期使用安全評估系統(tǒng)檢查防火墻的各項服務是否有漏洞。部門如有公司出口防火墻的變更需求，必須通過公司審批，備案在冊，由系統(tǒng)服務部統(tǒng)一操作。局域網(wǎng)的日常管理規(guī)定各部門不得將私自構(gòu)建的局域網(wǎng)接入公司網(wǎng)絡。如需接入必須通過公司審批，備案在冊，由系統(tǒng)服務部統(tǒng)一操作。員工在辦公區(qū)域只能通過公司內(nèi)網(wǎng)聯(lián)入互聯(lián)網(wǎng)。集線器、交換機、無線AP的日常管理規(guī)定各部門不得私自