信息安全規(guī)章制度

精選資料精選資料可修改編輯可修改編輯信息安全規(guī)章制度一、海隆海工信息安全1、 工作中的信息安全管理無論工作是什么類型，在其工作中都需要處理信息安全問題。106、設(shè)施管理和其他支持過程等方面的工作。實施過程：1、公司配備有專門的文檔管理員，對所有工作中的文件進行統(tǒng)一管理。2、我們會在服務(wù)器上建立專門的共享文件夾，并設(shè)置相關(guān)人員對此文件夾獲得的各種對應(yīng)的權(quán)限。3、每天都會對工作中的文件進行備份處理，對某些重要的文件進行加密處理。2、 移動設(shè)備的管理確保遠程工作和使用移動設(shè)備的安全。宜采用書面的管理方法和支持性安全措施來管理由于使用移動設(shè)備帶來的風(fēng)險。實施過程：1、對所有移動設(shè)備都應(yīng)該加入域賬號，所有人員都應(yīng)該對電腦設(shè)置相應(yīng)的賬號和密碼。2、所有移動設(shè)備都應(yīng)該按公司要求和員工的需求安裝軟件，員工個人不能安裝無用的軟件。3、所有移動設(shè)備都應(yīng)該安裝殺毒軟件和防火墻等防范措施。4、應(yīng)該對員工進行移動設(shè)備出差時需要注意事項的培訓(xùn)。5、移動設(shè)備的信息都應(yīng)該定期做相應(yīng)的備份。6、所有移動設(shè)備都應(yīng)該安裝監(jiān)控軟件，并能夠遠程控制關(guān)閉軟件，刪除文件或者鎖定這些設(shè)備。3、 遠程工作用書面的文件管理和支持性安全措施來保護在遠程工作場地訪問、處理或存儲的信息。確保遠程工作和使用移動設(shè)備時的信息安全。實施過程：1、在遠程工作中所有人員必須使用公司提供的移動設(shè)備，不得在私人的設(shè)備上存儲公司信息。2、我們在服務(wù)器上設(shè)置有相應(yīng)的賬號密碼，用來進行遠程的訪問鏈接。3、在遠程工作中，不得隨意把自己設(shè)備的賬號密碼告訴他人，也不得隨意讓他人使用自己的設(shè)備。4、公司所有移動設(shè)備都安裝有殺毒軟件和防火墻，員工不得私自更改設(shè)置或刪除。5、在遠程工作結(jié)束后，應(yīng)將公司的遠程設(shè)備歸還，服務(wù)器也會刪除其相對應(yīng)的賬號密碼。二、海隆海工資產(chǎn)管理1、資產(chǎn)清單宜識別與信息和信息處理設(shè)施的資產(chǎn)，編制并維護這些資產(chǎn)的清單。公司宜識別與信息生命周期有關(guān)的資產(chǎn)，并將其重要性形成文件。信息的生命周期宜包括創(chuàng)建、處產(chǎn)清單宜是準確的、最新的，并與其它清單保持一致和匹配。實施過程：1、應(yīng)該對公司所有資產(chǎn)做好表格，所有資產(chǎn)都有詳細的清單。2、對所有資產(chǎn)清單都及時更新，并保證資產(chǎn)清單都是最新和正確的。2、資產(chǎn)所有權(quán)及時分配資產(chǎn)所有權(quán)的過程。宜當(dāng)資產(chǎn)被創(chuàng)建或資產(chǎn)轉(zhuǎn)移至組織時分配所有權(quán)。資產(chǎn)所有者宜負責(zé)在整個資產(chǎn)生命周期內(nèi)對資產(chǎn)進行適當(dāng)管理。實施過程：1、所有資產(chǎn)都應(yīng)該列入清單中。2、所有資產(chǎn)都應(yīng)該登記有使用人的信息，使用人應(yīng)當(dāng)保護好這些公司的資產(chǎn)。3、資產(chǎn)的可接受使用宜對其所有信息處理資源的使用行為負責(zé)，這種使用不能超出其職責(zé)的范圍。實施過程：1、應(yīng)該對文件等信息資產(chǎn)做過相對應(yīng)的權(quán)限設(shè)置。2、應(yīng)對公司雇員做相關(guān)的公司信息資產(chǎn)安全培訓(xùn)。4、資產(chǎn)的歸還雇員或第三方人員擁有的知識對正在進行的操作具有重要意義時，此信息應(yīng)當(dāng)形成文件并轉(zhuǎn)移給公司。在終止的離職通知期內(nèi)，公司應(yīng)控制已終止的雇員復(fù)制有關(guān)信息（例如知識產(chǎn)權(quán)）。實施過程：1、在員工離職時，都必須把所有原公司資產(chǎn)轉(zhuǎn)交給公司。2、公司所有重要文件上都應(yīng)做過文件加密，已防止員工離職后私自把這些信息隨意復(fù)制帶走。3、員工離職后，應(yīng)對其郵箱中的所有郵件做備份、刪除并注銷其郵箱賬號等處理。5、可移動介質(zhì)的管理防止存儲在介質(zhì)上的信息遭受未授權(quán)泄露、修改、移動或銷毀。實施過程：1、所有重要資料都會做加密處理，并在需要復(fù)制出去的時候進行授權(quán)。2、服務(wù)器中的重要資料都做過權(quán)限的設(shè)置。3、復(fù)制出去的加密文件可以設(shè)置其打開次數(shù)或有效時間，以防止信息泄露。4、重要數(shù)據(jù)做過多份備份，都存儲在不同的移動硬盤中，防止數(shù)據(jù)損壞或者丟失。三、訪問控制1、訪問控制策略訪問控制策略宜建立、形成文件，并基于業(yè)務(wù)和信息安全要求進行評審。資產(chǎn)所有者宜為特定用戶角色訪問其資產(chǎn)確定適當(dāng)?shù)脑L問控制規(guī)則、訪問權(quán)限和限制，反映相關(guān)信宜給用戶和服務(wù)提供商提供一份訪問控制要滿足的業(yè)務(wù)要求的清晰說明。實施過程：1、目前公司對于服務(wù)器建立了各部門的公共文件夾，用于存放個部門的信息。2、對公司所有人員都建立了對應(yīng)的賬號密碼，并設(shè)置了訪問的權(quán)限。3、在實際使用過程中，會更新實際情況對人員或公共文件夾的權(quán)限做出相應(yīng)的調(diào)整。4、對于離職的人員及時的刪除其訪問權(quán)限的賬號。2、網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問用戶宜僅能訪問已獲專門授權(quán)使用的網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)。宜制定關(guān)于使用網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的策略。實施過程：1、船上路由器做了綁定物理地址和IP的設(shè)定，只允許特定的人員訪問外網(wǎng)。2、船上的餐廳設(shè)置了無線路由器，對此路由器進行了流量、人員數(shù)量、時間段等設(shè)定，這樣就能很好的控制船上人員的上網(wǎng)。3、對于服務(wù)器的AMOS做過REMOTEAPP設(shè)置，這樣員工出差時候也可以隨時訪問AMOS進行查看、審批等操作。4、公司和船都對路由器進行過設(shè)置，可以隨時查看所有人員使用網(wǎng)絡(luò)的狀態(tài)信息。3、用戶訪問管理確保授權(quán)用戶訪問系統(tǒng)和服務(wù)，并防止未授權(quán)的訪問。宜實施正式的用戶注冊及注銷規(guī)程，使訪問權(quán)限得以分配。實施過程：1、每個用戶訪問服務(wù)器共享盤等網(wǎng)絡(luò)都使用的唯一的賬號信息，這樣員工在訪問時進行的任何操作都是有記錄可以查詢的。2、員工離職后會立即刪除其ID號。3、定期我們會檢查服務(wù)器中是否存在多余的ID號，并撤銷這些ID。4、我們會定期對服務(wù)器賬號做檢查，保證分配給所有員工的ID都是唯一的，權(quán)限等也都設(shè)置正確。4、用戶訪問開通宜實施正式的用戶訪問開通過程，以分配或撤銷所有系統(tǒng)和服務(wù)所有用戶類型的訪問權(quán)限。分配或撤銷授予用戶ID的訪問權(quán)限的開通過程。實施過程：1、新員工入職后都會按職位給予賬號和相應(yīng)的訪問權(quán)限。2、對于員工職位或者部門有變更的都回發(fā)出郵件，我們會根據(jù)郵件中的信息做出對應(yīng)的調(diào)整變更。5、特殊訪問權(quán)限管理宜限制和控制特殊訪問權(quán)限的分配及使用。宜采取相關(guān)控制策略通過正式的授權(quán)過程控制特殊訪問權(quán)限的分配。實施過程：1、對很多系統(tǒng)和程序（例如郵箱，OA系統(tǒng)，AMOS系統(tǒng)等）相關(guān)的特殊訪問權(quán)限和所需要分配的用戶，都需要通過流