通信安全管理程序（ISO27001-2013）

訪問控制程序ISMS-B-12第頁通信安全管理程序目錄TOC\o"1-3"\h\z72901.目的和范圍 284132.引用文件 2123653.職責(zé)和權(quán)限 2152004.Internet訪問控制 21155.網(wǎng)絡(luò)隔離 318026.無線網(wǎng)絡(luò)訪問管理 360847.信息交流控制措施 3

目的和范圍通過控制網(wǎng)絡(luò)訪問權(quán)限以及公司與外部的信息傳遞，防止對辦公網(wǎng)系統(tǒng)和應(yīng)用系統(tǒng)的非法訪問。引用文件下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。GB/T22080-2016/ISO/IEC27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系要求GB/T22081-2016/ISO/IEC27002:2013信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則職責(zé)和權(quán)限各部門必須遵照本管理規(guī)范實(shí)行對網(wǎng)絡(luò)、口令和權(quán)限的管理，用戶必須按照本管理規(guī)范訪問公司辦公網(wǎng)系統(tǒng)和應(yīng)用系統(tǒng)。Internet訪問控制所有員工在工作時間禁止利用公司網(wǎng)絡(luò)和互聯(lián)網(wǎng)專線訪問違法網(wǎng)站及內(nèi)容?？蛻艏暗谌饺藛T不允許直接通過可訪問公司資源的有線或無線網(wǎng)絡(luò)訪問Internet，客戶及第三方人員如需訪問Internet應(yīng)當(dāng)在專設(shè)的隔離區(qū)進(jìn)行。網(wǎng)絡(luò)隔離公司與外部通過防火墻隔離，制定嚴(yán)格的VLAN劃分，對公司內(nèi)重要部門的訪問進(jìn)行控制。系統(tǒng)服務(wù)部制定VLAN訪問控制說明。對不同的應(yīng)用系統(tǒng)的用戶信息及其他信息進(jìn)行網(wǎng)絡(luò)隔離。無線網(wǎng)絡(luò)訪問管理服務(wù)部對無線網(wǎng)絡(luò)進(jìn)行密碼控制管理；員工對密碼的保密要求在《密碼控制管理制度》文件里做詳細(xì)規(guī)定。信息交流控制措施信息交流方式包括數(shù)據(jù)交流、電子郵件、電話、紙質(zhì)文件、談話、錄音、會議、傳真、短信、IM工具等；可交流的信息，須符合《信息資產(chǎn)分類分級管理制度》里的密級規(guī)定;公司使用的信息交流設(shè)施在安全性上應(yīng)符合國家信息安全相關(guān)法律法規(guī)、上級主管機(jī)關(guān)以及本公司安全管理規(guī)定的要求；對信息交流應(yīng)作適當(dāng)?shù)姆婪?，如不要暴露敏感信息，避免被通過電話偷聽或截??；員工、合作方以及任何其他用戶不得損害公司的利益，如誹謗、騷擾、假冒、未經(jīng)授權(quán)的采購等；不得將敏感或關(guān)鍵信息放在打印設(shè)施上，如復(fù)印機(jī)、打印機(jī)和傳真，防止未經(jīng)授權(quán)人員的訪問；在使用電子通信設(shè)施進(jìn)行信息交流時，所考慮的控制包括：保護(hù)以附件形式傳輸?shù)碾娮有畔⒌某绦?；有業(yè)務(wù)信件和消息的保持和處置原則，要符合相關(guān)的國家或地方法規(guī)；在對外聯(lián)系中，應(yīng)注意安全保密，用Email發(fā)送機(jī)密信息必須符合公司的相關(guān)規(guī)定；因工作需要而傳遞公司或項(xiàng)目保密文件時，經(jīng)批準(zhǔn)后，可通過加密渠道傳遞；通過E-MAIL發(fā)送機(jī)密附件時，如有必要，附件必須加密，密碼通過其他方式告知對方。使用傳真的人員注意下列問題：故意的或