信息安全管理規(guī)范

1、公司精選信息安全管理規(guī)范版本信息當(dāng)前版本：最新更新日期：最新更新作者：作者：創(chuàng)建日期：審批人：審批日期：修訂歷史版本號(hào)更新日期修訂作者主要修訂摘要精選Table of Contents（目錄） TOC o 1-5 h z HYPERLINK l bookmark4 o Current Document 公司信息安全要求 5 HYPERLINK l bookmark6 o Current Document 信息安全方針 5 HYPERLINK l bookmark8 o Current Document 信息安全工作準(zhǔn)則 5 HYPERLINK l bookmark10 o Current Do

2、cument 職責(zé) 6 HYPERLINK l bookmark12 o Current Document 信息資產(chǎn)的分類規(guī)定 6 HYPERLINK l bookmark14 o Current Document 信息資產(chǎn)的分級(jí)（保密級(jí)別）規(guī)定 7 HYPERLINK l bookmark16 o Current Document 現(xiàn)行保密級(jí)別與原有保密級(jí)別對(duì)照表 8 HYPERLINK l bookmark18 o Current Document 信息標(biāo)識(shí)與處置中的角色與職責(zé) 8 HYPERLINK l bookmark20 o Current Document 信息資產(chǎn)標(biāo)注管理規(guī)定 9

3、 HYPERLINK l bookmark22 o Current Document 允許的信息交換方式 10 HYPERLINK l bookmark24 o Current Document 信息資產(chǎn)處理和保護(hù)要求對(duì)應(yīng)表 10 HYPERLINK l bookmark26 o Current Document 口令使用策略 13 HYPERLINK l bookmark28 o Current Document 桌面、屏幕清空策略 13 HYPERLINK l bookmark30 o Current Document 遠(yuǎn)程工作安全策略 14 HYPERLINK l bookmark32

4、o Current Document 移動(dòng)辦公策略 14 HYPERLINK l bookmark34 o Current Document 介質(zhì)的申請(qǐng)、使用、掛失、報(bào)廢要求 15 HYPERLINK l bookmark36 o Current Document 信息安全事件管理流程 17 HYPERLINK l bookmark38 o Current Document 電子郵件安全使用規(guī)范 19 HYPERLINK l bookmark40 o Current Document 設(shè)備報(bào)廢信息安全要求 20 HYPERLINK l bookmark42 o Current Document

5、 用戶注冊(cè)與權(quán)限管理策略 20 HYPERLINK l bookmark44 o Current Document 用戶口令管理 21 HYPERLINK l bookmark46 o Current Document 終端網(wǎng)絡(luò)接入準(zhǔn)則 22 HYPERLINK l bookmark48 o Current Document 終端使用安全準(zhǔn)則 22 HYPERLINK l bookmark50 o Current Document 出口防火墻的日常管理規(guī)定 23 HYPERLINK l bookmark52 o Current Document 局域網(wǎng)的日常管理規(guī)定 23 HYPERLINK

6、l bookmark54 o Current Document 集線器、交換機(jī)、無線 AP的日常管理規(guī)定 23精選 TOC o 1-5 h z HYPERLINK l bookmark56 o Current Document 網(wǎng)絡(luò)專線的日常管理規(guī)定 24 HYPERLINK l bookmark58 o Current Document 信息安全懲戒 24 HYPERLINK l bookmark60 o Current Document 信息安全知識(shí) 25 HYPERLINK l bookmark62 o Current Document 什么是信息？ 25 HYPERLINK l boo

7、kmark64 o Current Document 什么是信息安全？ 25 HYPERLINK l bookmark66 o Current Document 信息安全的三要素 25 HYPERLINK l bookmark68 o Current Document 什么是信息安全管理體系？ 26 HYPERLINK l bookmark70 o Current Document 建立信息安全管理體系的目的 27 HYPERLINK l bookmark72 o Current Document 信息安全管理的PDCA模式 28 HYPERLINK l bookmark74 o Curren

8、t Document 安全管理風(fēng)險(xiǎn)評(píng)估過程 28 HYPERLINK l bookmark76 o Current Document 信息安全管理體系標(biāo)準(zhǔn)（ISO27001標(biāo)準(zhǔn)家族）29 HYPERLINK l bookmark78 o Current Document 信息安全控制目標(biāo)與控制措施 30精選.公司信息安全要求信息安全方針擁有信息資產(chǎn)，積累、共享并保護(hù)信息資產(chǎn)是我們共同的責(zé)任。管理與技術(shù)并重，確保公司信息資產(chǎn)的安全，保障公司持續(xù)正常運(yùn)營。履行對(duì)客戶知識(shí)產(chǎn)權(quán)的保護(hù)承諾，保障客戶信息資產(chǎn)的安全，滿足并超越客戶信息安全需求。信息安全工作準(zhǔn)則保護(hù)信息的機(jī)密性、完整性和可用性，即確保信息僅

9、供給那些獲得授權(quán)的人員使用、保護(hù)信息及信息處理方法的準(zhǔn)確性和完整性、確保獲得授權(quán)的人員能及時(shí)可靠地使用信息及信息系統(tǒng)；公司通過建立有效的信息安全管理體系和必要的技術(shù)手段，保障信息資產(chǎn)的安全，降低信息安全風(fēng)險(xiǎn)；各級(jí)信息安全責(zé)任者負(fù)責(zé)所轄區(qū)域的信息安全，通過建立相關(guān)制度及有效的保護(hù)措施，確保公司的信息安全方針得到可靠實(shí)施；全體員工應(yīng)只訪問或使用獲得授權(quán)的信息系統(tǒng)及其它信息資產(chǎn)，應(yīng)按要求選擇和保護(hù)口令；未經(jīng)授權(quán)，任何人不得對(duì)公司信息資產(chǎn)進(jìn)行復(fù)制、利用或用于其它目的；應(yīng)及時(shí)檢測(cè)病毒，防止惡意軟件的攻擊；公司擁有為保護(hù)信息安全而使用監(jiān)控手段的權(quán)力，任何違反信息安全政策的員工都將受到相應(yīng)處理;精選通過建立

10、有效和高效的信息安全管理體系，定期評(píng)估信息安全風(fēng)險(xiǎn)，持續(xù)改進(jìn)信息安全管理體系。職責(zé)全體員工應(yīng)保護(hù)公司信息資產(chǎn)的安全。每個(gè)員工必須認(rèn)識(shí)到信息資產(chǎn)的價(jià) 值，負(fù)責(zé)保護(hù)好自己生成、管理或可觸及的涉及的數(shù)據(jù)和信息。員工必須遵守 信息標(biāo)識(shí)與處理程序，了解信息的保密級(jí)別。對(duì)于不能確定是否為涉密信 息的內(nèi)容，必須征得相關(guān)管理部門的確認(rèn)才可對(duì)外披露。員工必須遵守信息安 全相關(guān)的各項(xiàng)制度和規(guī)定，保證的系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)僅用于的各項(xiàng)工作相關(guān)的 用途，不得濫用。信息資產(chǎn)的分類規(guī)定公司的信息資產(chǎn)分為電子數(shù)據(jù)、軟件、硬件、實(shí)體信息、服務(wù)五大類類別說明電子數(shù)據(jù)存在信息媒介上的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫數(shù)據(jù)等各 種電子化

11、的數(shù)據(jù)資料、項(xiàng)目文檔、管理文檔、運(yùn)行管理規(guī)程、計(jì) 戈h報(bào)告、用戶手冊(cè)、作業(yè)指導(dǎo)書等各種電子化的數(shù)據(jù)資料。軟件包括系統(tǒng)軟件、應(yīng)用軟件、共享軟件系統(tǒng)軟件：操作系統(tǒng)、語言包、工具軟件、各種庫等；應(yīng)用軟件：外部購買的應(yīng)用軟件，辦公軟件等；精選共享軟件：各種共享源代碼、共享可執(zhí)行程序等。硬件網(wǎng)絡(luò)設(shè)備：路由器、網(wǎng)關(guān)、交換機(jī)等計(jì)算機(jī)設(shè)備：大型機(jī)、服務(wù)器、工作站、臺(tái)式計(jì)算機(jī)、移動(dòng)計(jì)算 機(jī)等存儲(chǔ)設(shè)備：磁帶機(jī)、磁盤陣列、工控機(jī)等移動(dòng)存儲(chǔ)設(shè)備：磁帶、光盤、軟盤、 U盤、移動(dòng)硬盤等傳輸線路：光纖、雙絞線等基礎(chǔ)保障設(shè)備：（UPS、變電設(shè)備等）、空調(diào)、保險(xiǎn)柜、文件 柜、門禁、消防設(shè)施等，如對(duì)基礎(chǔ)設(shè)施使用屬于租用形式，請(qǐng)將

12、其 識(shí)別到服務(wù)類別中。安全保障設(shè)備：硬件防火墻、入侵檢測(cè)系統(tǒng)、身份驗(yàn)證等其他電子設(shè)備：打印機(jī)、復(fù)印機(jī)、掃描儀、傳真機(jī)等實(shí)體信息紙制的各種文件、合同、傳真、會(huì)議紀(jì)要、財(cái)務(wù)報(bào)表、證書、電 報(bào)、發(fā)展計(jì)劃以及各類其他材質(zhì)的證書獎(jiǎng)牌等。服務(wù)通過各種協(xié)議方式固化下來的服務(wù)活動(dòng)、如物業(yè)、第三方、供應(yīng) 商、提供檢修服務(wù)的提供方等。信息資產(chǎn)的分級(jí)（保密級(jí)別）規(guī)定信息資產(chǎn)分為：一般、內(nèi)部公開、企業(yè)秘密、企業(yè)機(jī)密 4個(gè)保密級(jí)別。保密級(jí)別名稱說明1一般性信息，可以公開的信息、信息處理設(shè)備和系統(tǒng) 資源。2內(nèi)部公非敏感但僅限公司內(nèi)部使用的信息、信息處理設(shè)備和開系統(tǒng)資源。精選3企業(yè)秘密敏感的信息、信息處理設(shè)備和系統(tǒng)資源，只

13、給必須知 iKo4企業(yè)機(jī) 密敏感的信息、信息處理設(shè)備和系統(tǒng)資源，僅適用極少 數(shù)必須知道的人。現(xiàn)行保密級(jí)別與原有保密級(jí)別對(duì)照表保密級(jí)別與公司原有的保密級(jí)別的對(duì)照表如下：現(xiàn)行的保密級(jí)別與之相當(dāng)?shù)脑斜Ｃ芗?jí)別內(nèi)部公開秘密企業(yè)秘密機(jī)密企業(yè)機(jī)密絕密信息標(biāo)識(shí)與處置中的角色與職責(zé)角色職責(zé)責(zé)任人：信息資產(chǎn)的創(chuàng)建者，或者主要用戶所在組織、單位或部門的負(fù)責(zé)人。信息資產(chǎn)責(zé)理解和各種信息訪問活動(dòng)相關(guān)的安全風(fēng)險(xiǎn)；根據(jù)公司信息密級(jí)劃分標(biāo)準(zhǔn)來確定所屬信息資產(chǎn)的級(jí)別；精選任人對(duì)所屬信息資產(chǎn)負(fù)直接責(zé)任。根據(jù)公司相關(guān)策略確定并檢查信息訪問權(quán)限；針對(duì)所屬信息資產(chǎn)提出恰當(dāng)?shù)谋Ｗo(hù)措施。保管者：受信息資產(chǎn)責(zé)任人 委托，對(duì)信息資產(chǎn)進(jìn)行日常

14、 的管理，維護(hù)已經(jīng)建立的保 護(hù)措施。資產(chǎn)保管者通常是 公司或吾B門的IT管理者或者 代表(例如系統(tǒng)管理員)。根據(jù)公司相關(guān)策略和信息資產(chǎn)責(zé)任人的要 求，負(fù)責(zé)信息資產(chǎn)的維護(hù)操作和日常管理 事務(wù)；負(fù)責(zé)具體設(shè)置信息訪問權(quán)限；負(fù)責(zé)所管理的信息資產(chǎn)的安全控制；部署恰當(dāng)?shù)陌踩珯C(jī)制，進(jìn)行備份和恢復(fù)操 作；按照信息資產(chǎn)責(zé)任人的要求實(shí)施其他控制。用戶：信息資產(chǎn)的使用者，除 了公司內(nèi)部員工，也可能是因 為業(yè)務(wù)需要向訪問公司信息的 客戶或第二方組織。向信息責(zé)任人申請(qǐng)信息訪問；按照公司信息安全策略要求正當(dāng)訪問信 息，禁止非授權(quán)訪問；向相關(guān)組織報(bào)告隱患、故障或者違規(guī)事 件。信息資產(chǎn)標(biāo)注管理規(guī)定(1)公司所屬的各類信息資產(chǎn)

15、，無論其存在形式是電子、紙質(zhì)還是磁盤等,精選都應(yīng)在顯著位置標(biāo)注其保密級(jí)別(2) 一般電子或紙質(zhì)文檔應(yīng)在該文檔頁眉的右上角或頁腳上標(biāo)注其保密級(jí)別或在文件封面打上保密章，磁盤等介質(zhì)應(yīng)在其表面非數(shù)據(jù)區(qū)予以標(biāo)注其 保密級(jí)別。(3)如果某存儲(chǔ)介質(zhì)中包含各個(gè)級(jí)別的信息，作為整體考慮，該存儲(chǔ)介質(zhì)的保密級(jí)別標(biāo)注應(yīng)以最高為準(zhǔn)。(4)如果沒有明顯的保密級(jí)別標(biāo)注，該信息資產(chǎn)以“一般”級(jí)別看待。(5)對(duì)于對(duì)外公開的信息，需要得到相關(guān)責(zé)任人的核準(zhǔn)，并由對(duì)外信息發(fā)布部門統(tǒng)一處理。(6)如需在信息資產(chǎn)上表述保密聲明，可采用以下兩種表述方式：表述方式一：“保密聲明：公司資產(chǎn)，注意保密。”表述方式二：“保密聲明：本文檔受國家相

16、關(guān)法律和公司制度保護(hù)，不 得擅自復(fù)制或擴(kuò)散?！痹试S的信息交換方式公司允許的信息交換方式有：郵件、視頻、電話、網(wǎng)站內(nèi)容發(fā)布、文件共 享、傳真、光盤、磁盤、磁帶和紙張。信息資產(chǎn)處理和保護(hù)要求對(duì)應(yīng)表精選企業(yè)機(jī)密企業(yè)秘密內(nèi)部公開授 權(quán)需得到責(zé)任人和 公司管理層批準(zhǔn)需得到相關(guān)責(zé)任 人及部門領(lǐng)導(dǎo)批準(zhǔn)需得到責(zé)任人批準(zhǔn)無特別 要求訪問只能被得到授權(quán) 的公司極少數(shù)核心 人員訪問只能被公司內(nèi)部 或外部得到明確授 權(quán)的人員訪問，訪 問者應(yīng)該簽署保密 協(xié)議可以被公 司內(nèi)部或外 部因?yàn)闃I(yè)務(wù) 需要的人員 訪問任何公 司員工或 外部人員 都可以訪 問存儲(chǔ)電子類的應(yīng)該加 密存儲(chǔ)在安全的計(jì) 算機(jī)系統(tǒng)內(nèi)；硬拷 貝應(yīng)該鎖在安全的

17、保險(xiǎn)柜內(nèi)；禁止以 其他形式存儲(chǔ)或顯 示電子類的應(yīng)該妥 善保存在設(shè)有安全 控制的計(jì)算機(jī)系統(tǒng) 內(nèi)（建議進(jìn)行信息 加密）；硬拷貝應(yīng) 該妥善保管，嚴(yán)禁 擺放在桌間；使用 白板展示后應(yīng)立即 擦除電子類的 應(yīng)該妥善保 管，可以進(jìn) 行加密；紙 質(zhì)不應(yīng)放在 桌間以恰當(dāng) 方式保 存，避免 被非授權(quán) 人員看 至存儲(chǔ) 有信息的 介質(zhì)避免 丟失復(fù) 制得到相關(guān)責(zé)任人 及公司管理層批 準(zhǔn)；需要登記須經(jīng)相關(guān)責(zé)任人 批準(zhǔn)，并讓專人操 作或監(jiān)督實(shí)施，需 要登記經(jīng)相關(guān)責(zé)任人批準(zhǔn)內(nèi)部復(fù) 制無限制打印禁止打印（或在 授權(quán)情況卜專人負(fù) 責(zé)打印，不得打印 到無人值守機(jī)）須經(jīng)相關(guān)責(zé)任人 許可，打印件標(biāo)注 密級(jí)并妥善管理， 不得打印到無人值

18、 守機(jī)經(jīng)相關(guān)責(zé) 任人許可， 打印件標(biāo)注 密級(jí)并妥善 管理無限 制，打印 件標(biāo)注密 級(jí)郵件禁止郵件直接發(fā) 送，經(jīng)授權(quán)后做電 子簽名和加密控 制，經(jīng)安全的途徑 發(fā)送，保留記錄須經(jīng)相關(guān)責(zé)任人 許可，郵件發(fā)送應(yīng) 做加密控制，保留 記錄經(jīng)相關(guān)責(zé)任人許可無限制精選傳真禁止傳真須經(jīng)相關(guān)責(zé)任人 許可后專人負(fù)責(zé)傳 真經(jīng)相關(guān)責(zé) 任人許可無限制快 遞經(jīng)授權(quán)后采取妥 善的保護(hù)措施，由 專人快遞經(jīng)授權(quán)后，由簽 署了特定安全協(xié)議 的專門的快遞公司 快遞經(jīng)授權(quán) 后，由簽署 了特定安全 協(xié)議的專門 的快遞公司 快遞無限制內(nèi)部分發(fā)經(jīng)相關(guān)責(zé)任人和 公司管理層批準(zhǔn) 后，密封分發(fā)，或 以允許的電子分發(fā) 形式進(jìn)行安全的分 發(fā)經(jīng)相關(guān)責(zé)任

19、人批 準(zhǔn)后，密封分發(fā)， 或以允許的電子分 發(fā)形式進(jìn)行安全的 分發(fā)經(jīng)授權(quán) 后，以內(nèi)部 郵件形式發(fā) 放，或直接 進(jìn)行硬拷貝 分發(fā)無限制對(duì)外分 發(fā)經(jīng)相關(guān)責(zé)任人和 公司管理層批準(zhǔn)后 分發(fā)，需要簽署特 定的保密協(xié)議，需 要進(jìn)行登記經(jīng)相關(guān)責(zé)任人批 準(zhǔn)后分發(fā)，需簽署 保密協(xié)議，需要進(jìn) 行登記經(jīng)授權(quán) 后，以郵件 或者快遞方 式分發(fā)，建 議簽署保密 協(xié)議經(jīng)授權(quán) 后，以允 許的分發(fā) 方式分發(fā)處理碎紙機(jī)；徹底銷 毀介質(zhì)；電子記錄 定期消除；進(jìn)行檢 查確認(rèn)碎紙機(jī)；徹底銷 毀介質(zhì)；電子記錄 定期消除；進(jìn)行檢 查確認(rèn)保存件標(biāo) 明作廢；電 子記錄定期 消除；介質(zhì) 銷毀電子記 錄定期消 除，介質(zhì) 銷毀記錄跟 蹤直接責(zé)任人應(yīng)啟

20、收件人、復(fù)制者、保存者、瀏覽者、 銷毀者的日志記錄跟蹤文件復(fù)制、 保存、瀏覽、銷毀 過程，應(yīng)后記錄無要求不建議 跟蹤精選口令使用策略全體員工在挑選和使用口令時(shí)，應(yīng)：(1)保證口令的機(jī)密。(2)除非能安全保存，避免將口令記錄在紙上。(3)只要有跡象表明系統(tǒng)或口令可能遭到破壞，應(yīng)立即更改口令。(4)選用高質(zhì)量的口令，最少要有 6個(gè)字符，另外：口令應(yīng)由字母加數(shù)字組成；口令不應(yīng)采用如姓名、電話號(hào)碼、生日等容易猜出或破解的信息。(5)每三個(gè)月更改或根據(jù)訪問次數(shù)更改口令(特別是特權(quán)用戶)，避免再次使用或循環(huán)使用舊口令。(6)首次登錄時(shí)，應(yīng)立即更改臨時(shí)口令。(7)不得共享個(gè)人用戶口令。桌面、屏幕清空策略為了

21、降低在正常工作時(shí)間以外對(duì)信息進(jìn)行未經(jīng)授權(quán)訪問所帶來的風(fēng)險(xiǎn)、損 失和損害，員工應(yīng)：(1)在閑置或工作時(shí)間之外將紙張或計(jì)算機(jī)存儲(chǔ)介質(zhì)儲(chǔ)存在合適的柜子或其 它形式的安全設(shè)備中。(2)當(dāng)辦公室無人時(shí)將關(guān)鍵業(yè)務(wù)信息放置到安全地點(diǎn)(比如防火的保險(xiǎn)箱或 柜子中)。精選(3)在無人使用時(shí)，將個(gè)人計(jì)算機(jī)、計(jì)算機(jī)終端和打印機(jī)、復(fù)印機(jī)設(shè)為鎖定狀態(tài)。(4)為個(gè)人計(jì)算機(jī)、計(jì)算機(jī)終端設(shè)定密碼，同時(shí)設(shè)定屏保時(shí)間(=15分鐘)。(5)在打印保密級(jí)別為企業(yè)機(jī)密、企業(yè)秘密的信息后，應(yīng)立刻從打印機(jī)中清 除相關(guān)痕跡，并有效保護(hù)打印出來的信息內(nèi)容。遠(yuǎn)程工作安全策略必須保護(hù)好遠(yuǎn)程工作場(chǎng)所防止盜竊設(shè)備和信息、未經(jīng)授權(quán)公開信息、對(duì)公司內(nèi)部系

22、統(tǒng)進(jìn)行遠(yuǎn)程非法訪問或?yàn)E用設(shè)備等行為。員工應(yīng)：(1)保障物理安全。(2)對(duì)家人和客人使用設(shè)備進(jìn)行限制。如果必須要使用，應(yīng)在旁邊進(jìn)行監(jiān)督和控制，確保關(guān)鍵業(yè)務(wù)信息的安全。(3)遠(yuǎn)程工作活動(dòng)結(jié)束時(shí)，權(quán)限以及設(shè)備及時(shí)收回。(4)網(wǎng)絡(luò)遠(yuǎn)程登錄終端的撥號(hào)密碼即 VPN帳號(hào)僅限本人使用，不允許他人使 用。(5)進(jìn)入公司或客戶的信息系統(tǒng)工作完畢后，必須立即退出系統(tǒng)。1.14移動(dòng)辦公策略使用移動(dòng)辦公設(shè)備(如筆記本電腦)時(shí)，員工尤其應(yīng)該注意保證業(yè)務(wù)信息不受損壞、非法訪問或泄密：精選(1)移動(dòng)辦公設(shè)備需要帶出公司工作場(chǎng)所時(shí)，應(yīng)進(jìn)行登記。(2)在公共場(chǎng)所使用移動(dòng)辦公設(shè)備時(shí)，必須注意防范被未經(jīng)授權(quán)的人員窺視(3)應(yīng)實(shí)時(shí)更

23、新用于防范惡意軟件的程序。(4)應(yīng)對(duì)信息進(jìn)行方便快捷的備份。(5)備份的信息應(yīng)該予以適當(dāng)?shù)谋Ｗo(hù)以防信息被盜或丟失。(6)使用移動(dòng)辦公設(shè)備通過公共網(wǎng)對(duì)公司商務(wù)信息進(jìn)行遠(yuǎn)程訪問時(shí)必須進(jìn)行身份識(shí)別和VPN訪問控制。(7)防止移動(dòng)辦公設(shè)備被盜。(8)防止保密級(jí)別為企業(yè)秘密級(jí)以上的信息所在的移動(dòng)辦公設(shè)備無人看管。1.15介質(zhì)的申請(qǐng)、使用、桂失、報(bào)廢要求(1)介質(zhì)的申請(qǐng):廳P責(zé)任者任務(wù)相關(guān)文件或記錄1資產(chǎn)管理員按照公司的固定資產(chǎn)或 消耗資材申領(lǐng)方式向公 司申領(lǐng)介質(zhì)。固定資產(chǎn)管理制度計(jì)算機(jī)維護(hù)消耗資材管理辦法2資產(chǎn)管理員從公司領(lǐng)取介質(zhì)并登記 到介質(zhì)登記表中。介質(zhì)登記表3資產(chǎn)管理員如通過設(shè)備管理，需通 過us

24、b使用的移動(dòng)存儲(chǔ) 介質(zhì)在中注冊(cè)。參見使用說明精選4資產(chǎn)管理員在介質(zhì)登記表中登 記發(fā)放時(shí)間，使用人等 缶息后發(fā)放介質(zhì)。介質(zhì)登記表(2)介質(zhì)的使用:A.如安裝了設(shè)備，所有工作中使用的 USB存儲(chǔ)介質(zhì)都應(yīng)在中進(jìn)行注冊(cè)B.如果確認(rèn)介質(zhì)中的內(nèi)容不再需要，應(yīng)立即將其以可靠方式消除。C.如果數(shù)據(jù)需要保存，則使用人應(yīng)該保存在有良好安全措施的個(gè)人計(jì)算機(jī)和服務(wù)器上，而不應(yīng)該放在計(jì)算機(jī)活動(dòng)介質(zhì)中。D,所有的備份介質(zhì)都應(yīng)存放在安全可靠的地方，并符合生產(chǎn)廠家說明書的安全要求。(3)介質(zhì)的掛失：廳P責(zé)任者任務(wù)相關(guān)文件或記錄1使用者使用人立即向資產(chǎn)管理員申報(bào)掛失2資產(chǎn)管理員如果是通過usb使用的移動(dòng)存儲(chǔ)介 質(zhì)被掛失且在上注

25、冊(cè)過，則應(yīng)在上 進(jìn)行注銷。3資產(chǎn)管理 員在介質(zhì)登記表中登記掛失介質(zhì)登記表(4)介質(zhì)的報(bào)廢:廳P責(zé)任者任務(wù)相關(guān)文件或記錄精選1使用者1)、書回義件用碎紙機(jī)粉碎2)、其他介質(zhì)報(bào)廢，使用人向 資產(chǎn)管理員申請(qǐng)介質(zhì)報(bào)廢。2資產(chǎn)管理 員如果是通過usb使用的移動(dòng)存 儲(chǔ)介質(zhì)且在上注冊(cè)過，則應(yīng)在上進(jìn) 行注銷。3資產(chǎn)管理 員按照公司的固定資產(chǎn)和消耗資 材的報(bào)廢流程實(shí)施。固定資產(chǎn)管理制 度計(jì)算機(jī)維護(hù)消耗 資材管理辦法4資產(chǎn)管理 員在介質(zhì)清單中登記已報(bào)廢1介質(zhì)登記表信息安全事件管理流程(1)發(fā)現(xiàn)公司全體員工都有責(zé)任和義務(wù)將已發(fā)現(xiàn)的或可疑的事件、故障和薄弱點(diǎn)及時(shí)報(bào)告給相關(guān)部門或人員。任何企圖阻攔、干擾、報(bào)復(fù)事件報(bào)告者

26、的行為都被視為違反公司策略。(2)報(bào)告A. 對(duì)于部門范圍內(nèi)的信息安全事件，當(dāng)事人可直接向部門負(fù)責(zé)人報(bào)告，并按照本部門規(guī)范進(jìn)行處理。事件處理者需填寫附錄中的信息安全事件報(bào)告處理記錄單，每月將相關(guān)記錄上交過程管理部。B .除部門內(nèi)可以自行處理的信息安全事件外，其余信息安全事件必須精選統(tǒng)一上報(bào)給客服記錄(3)響應(yīng)A . 客服對(duì)信息安全事件做出最初響應(yīng)，將技術(shù)方面的信息安全事件交 給系統(tǒng)服務(wù)部組織處理，將管理方面的信息安全事件交給過程管理 部組織相關(guān)部門進(jìn)行處理。B . 需要做進(jìn)一步調(diào)查的信息安全事件，當(dāng)其影響范圍涉及整個(gè)公司或 影響程度嚴(yán)重妨礙了公司的正常運(yùn)營時(shí)，報(bào)告給信息安全管理委員 會(huì)。事件響應(yīng)

27、及處理者在處理安全事件時(shí)應(yīng)考慮以下優(yōu)先次序：保護(hù)人員的生命與安全保護(hù)敏感的設(shè)備和資料保護(hù)重要的數(shù)據(jù)資源防止系統(tǒng)被損壞將公司遭受的損失降至最小D.如果發(fā)生違法事件，事件相關(guān)涉及部門要采集并保存有效證據(jù)，上 交過程管理部報(bào)告給公司最高管理者決策，由法務(wù)部向外部法律機(jī) 構(gòu)報(bào)告。必要時(shí)，法務(wù)部可以尋求外部專家的支持。(4)評(píng)價(jià)/調(diào)查安全事件或故障發(fā)生之后，事件處理者要對(duì)事件或故障的類型、嚴(yán)重程 度、發(fā)生的原因、性質(zhì)、產(chǎn)生的損失、責(zé)任人進(jìn)行調(diào)查確認(rèn)，形成事件或故障 評(píng)價(jià)資料。(5)懲戒精選要根據(jù)事件的嚴(yán)重程度、造成的損失、產(chǎn)生的原因?qū)`規(guī)者進(jìn)行 教育或者處罰。懲戒手段可包括通報(bào)批評(píng)、行政警告、經(jīng)濟(jì)處罰、

28、調(diào)離崗位、依 據(jù)合同給予辭退，對(duì)于觸犯刑律者可交司法機(jī)關(guān)處理。具體處罰標(biāo)準(zhǔn)參見信息安全管理職責(zé)程序。(6 )公告A .事件的調(diào)查結(jié)果要反饋給當(dāng)事部門領(lǐng)導(dǎo)。B .當(dāng)事部門可組織相關(guān)的人員進(jìn)行學(xué)習(xí)和培訓(xùn)。電子郵件安全使用規(guī)范(1)公司電子郵件系統(tǒng)禁止用于創(chuàng)建與分發(fā)任何含有破壞性、歧視性的信息, 包括對(duì)種族、性別、殘疾人、年齡、職業(yè)、性取向、宗教信仰、政治信 念、國籍等方面的攻擊性語言。公司的員工如果接收到任何含有此類信 息的郵件，應(yīng)立即向主管領(lǐng)導(dǎo)進(jìn)行匯報(bào)。(2)禁止使用公司帳號(hào)發(fā)送連鎖信。禁止使用公司電子郵件帳號(hào)發(fā)送病毒或 惡意代碼警告郵件。這些規(guī)則也適用于當(dāng)公司員工接收到這類電子郵件 并進(jìn)行轉(zhuǎn)發(fā)

29、的情況。(3 )使用的郵件軟件客戶端要及時(shí)升級(jí)，減少由于軟件的漏洞而受到外部攻 擊，避免因此而導(dǎo)致的郵件丟失和系統(tǒng)中毒。(4 )郵件必須有標(biāo)題，盡量以文本方式瀏覽郵件。(5 )陌生人的郵件附件盡量不要打開，禁止撰寫、發(fā)送、轉(zhuǎn)發(fā)各種垃圾郵件,精選 禁止在未經(jīng)授權(quán)的情況下利用他人的計(jì)算機(jī)系統(tǒng)發(fā)送互聯(lián)網(wǎng)電子郵件。(6)禁止使用工作郵箱從事任何非法活動(dòng)及其與工作無關(guān)的郵件。(7)為了保證郵件安全禁止使用自動(dòng)轉(zhuǎn)發(fā)功能。(8)公司業(yè)務(wù)信息郵件必須使用公司規(guī)定的業(yè)務(wù)專用郵箱發(fā)送，除了業(yè)務(wù)相 關(guān)郵件禁止使用業(yè)務(wù)郵箱發(fā)送其他郵件。(9)郵件必須主題明確，能夠通過郵件主題判斷業(yè)務(wù)類別。(10)做好郵件的病毒防護(hù)工

30、作。發(fā)送郵件應(yīng)該注意郵件的保密，避免泄漏公司機(jī)密。(11 )所有員工都要嚴(yán)格遵守電子郵件安全使用規(guī)范的相關(guān)規(guī)定，員工之間應(yīng)互相監(jiān)督，及時(shí)制止違反規(guī)定的人員，對(duì)于使用公司郵箱傳 播反動(dòng)言論、從事任何與法律或公司制度相違活動(dòng)的人員將禁用或者注 銷其郵箱，并根據(jù)情節(jié)嚴(yán)重給予相應(yīng)處罰或提交司法機(jī)關(guān)處理。設(shè)備報(bào)廢信息安全要求報(bào)廢設(shè)備上交前，使用者自己負(fù)責(zé)將設(shè)備介質(zhì)中的信息進(jìn)行備份，機(jī)電一 體化產(chǎn)品事業(yè)部負(fù)責(zé)將設(shè)備介質(zhì)中的所有信息清除掉，以防信息泄漏。用戶注冊(cè)與權(quán)限管理策略對(duì)任何多用戶使用的信息系統(tǒng)和服務(wù)設(shè)施進(jìn)行訪問，應(yīng)：(1)使用唯一的用戶名，以便將用戶與其操作聯(lián)系起來，使用戶對(duì)其操作負(fù)精選責(zé)。只有因工

31、作需要才允許使用組用戶名(2)添加新用戶或用戶權(quán)限變更時(shí)應(yīng)有書面申請(qǐng)并經(jīng)過審批。(3)系統(tǒng)管理員對(duì)新注冊(cè)用戶進(jìn)行授權(quán)。(4)應(yīng)記錄所有注冊(cè)用戶。(5)用戶因工作變更或離開組織時(shí)，應(yīng)立即取消其訪問權(quán)限。(6)系統(tǒng)權(quán)限管理的責(zé)任人應(yīng)定期組織檢查并刪除多余的用戶名和賬戶，并 對(duì)用戶的訪問權(quán)限進(jìn)行定期評(píng)審或在變動(dòng)后進(jìn)行評(píng)審。(7)系統(tǒng)權(quán)限管理的責(zé)任人需要嚴(yán)格控制特權(quán)的分配和使用，要對(duì)特權(quán)的分 配和使用情況進(jìn)行評(píng)審，確保沒有非法授予用戶特權(quán)，以保證對(duì)數(shù)據(jù)和 信息服務(wù)的訪問進(jìn)行了有效的控制。用戶口令管理在進(jìn)行信息系統(tǒng)的口令管理，應(yīng)：(1)用戶需要自己維護(hù)口令，系統(tǒng)僅在開始時(shí)提供一個(gè)安全的臨時(shí)口令，用 戶需

32、要立即更改臨時(shí)口令。用戶忘記口令時(shí)，必須在對(duì)該用戶進(jìn)行適當(dāng) 的身份核實(shí)后才能向其提供臨時(shí)口令。(2)在向用戶提供臨時(shí)口令時(shí)必須確保其安全，避免使用第三方或無保護(hù)的 (明文)電子郵件，用戶應(yīng)對(duì)收到的口令予以確認(rèn)。(3)不允許在計(jì)算機(jī)系統(tǒng)上以無保護(hù)的形式存儲(chǔ)口令。(4)保證個(gè)人口令安全，確保工作組口令僅在本組成員間共享。精選終端網(wǎng)絡(luò)接入準(zhǔn)則公司網(wǎng)絡(luò)覆蓋范圍內(nèi)使用的每臺(tái)計(jì)算機(jī)，員工均應(yīng)安裝公司規(guī)定的防毒軟件，不得私自使用其他防毒軟件。終端使用安全準(zhǔn)則(1)每臺(tái)計(jì)算機(jī)應(yīng)開啟實(shí)時(shí)監(jiān)控功能，定期進(jìn)行計(jì)算機(jī)病毒檢測(cè)，并及時(shí)對(duì) 防毒軟件或病毒特征庫進(jìn)行升級(jí)更新。(2)每臺(tái)計(jì)算機(jī)應(yīng)定期連接公司網(wǎng)絡(luò)并從病毒服務(wù)器

33、獲得防病毒軟件的最新 定義碼及掃描引擎。(3)為防止計(jì)算機(jī)使用人員私自卸載客戶端及信息安全客戶端，卸載密碼和 工具由系統(tǒng)服務(wù)事業(yè)部統(tǒng)一管理。(4)公司不定期組織相關(guān)部門對(duì)客戶端及信息安全客戶端安裝情況進(jìn)行抽查。 抽查情況將通報(bào)各相關(guān)部門并列入年度的績效考核。(5)計(jì)算機(jī)使用人員在安裝、使用客戶端及信息安全客戶端中遇到技術(shù)問題， 可通過撥打客戶服務(wù)熱線尋求技術(shù)支持。(6)為防止惡意代碼的侵?jǐn)_，每臺(tái)計(jì)算機(jī)必須按訪問控制管理程序第5.2.1節(jié)的要求設(shè)置管理員口令；網(wǎng)絡(luò)共享文件必須設(shè)置密碼和只讀權(quán)限(7)任何部門和個(gè)人不得制作、復(fù)制、傳播計(jì)算機(jī)病毒，任何部門和個(gè)人負(fù) 有清除或防治計(jì)算機(jī)病毒的義務(wù)。(8

34、)不使用來路不明或含有盜版軟件的軟盤與光盤，不隨意安裝執(zhí)行從網(wǎng)絡(luò) 上下載的各種程序。當(dāng)需要從計(jì)算機(jī)信息網(wǎng)絡(luò)上下載程序、數(shù)據(jù)或者購 置、維修、借入計(jì)算機(jī)設(shè)備時(shí)，應(yīng)當(dāng)進(jìn)行計(jì)算機(jī)病毒檢測(cè)。精選(9)使用電子郵件，對(duì)來路不明的郵件(特別是含有附件的郵件)，收到后不要打開，直接刪除并清空廢件箱。出口防火墻的日常管理規(guī)定(1)為公司的出口防火墻設(shè)置只讀權(quán)限，便于監(jiān)視進(jìn)出本公司的所有訪問。(2)對(duì)防火墻的接口 IP地址、用戶名、口令及配置文件信息進(jìn)行嚴(yán)格管理(3)除授權(quán)人員外，禁止任何人員物理接觸防火墻；對(duì)防火墻的遠(yuǎn)程管理僅 限于指定IP地址、指定管理方式、指定用戶、指定用戶的管理權(quán)限。(4)嚴(yán)禁連接公司網(wǎng)

35、絡(luò)的任何單位和人員以任何形式對(duì)防火墻進(jìn)行攻擊。(5)集中收集、存儲(chǔ)防火墻報(bào)警日志，定期檢查防火墻安全記錄，優(yōu)化防火 墻訪問規(guī)則，杜絕安全漏洞。(6)定期使用安全評(píng)估系統(tǒng)檢查防火墻的各項(xiàng)服務(wù)是否有漏洞。(7)部門如有公司出口防火墻的變更需求，必須通過公司審批，備案在冊(cè)， 由系統(tǒng)服務(wù)部統(tǒng)一操作。局域網(wǎng)的日常管理規(guī)定各部門不得將私自構(gòu)建的局域網(wǎng)接入公司網(wǎng)絡(luò)。如需接入必須通過公司審 批，備案在冊(cè)，由系統(tǒng)服務(wù)部統(tǒng)一操作。員工在辦公區(qū)域只能通過公司內(nèi)網(wǎng)聯(lián)入互聯(lián)網(wǎng)。集線器、交換機(jī)、無線 AP的日常管理規(guī)定(1)各部門不得私自使用網(wǎng)絡(luò)訪問設(shè)備。精選(2)禁止使用路由器及無線路由設(shè)備。(3 )如需使用集線器、交

36、換機(jī)、無線 AP,必須通過公司審批，備案在冊(cè)。(4 )無線AP必須設(shè)置符合安全要求的密碼(具體要求參見管理文件訪問控 制管理程序中5.2.1的要求)，只有被授權(quán)人員方可使 用無線網(wǎng)絡(luò)(5 )公司定期檢查集線器、交換機(jī)、無線 AP的登記和使用情況。網(wǎng)絡(luò)專線的日常管理規(guī)定(1)各部門不得私自搭建網(wǎng)絡(luò)專線。如需使用網(wǎng)絡(luò)專線必須通過公司審批， 備案在冊(cè)。(2)公司定期檢查網(wǎng)絡(luò)專線的登記和使用情況。信息安全懲戒(1)全體員工(含臨時(shí)員工、派遣員工、實(shí)習(xí)員工、常駐外包員工)均應(yīng)遵 守所有與信息安全相關(guān)的管理規(guī)定，不允許任何部門或人員有損害公司 信息安全的行為。(2)對(duì)違反信息安全管理規(guī)定，并造成嚴(yán)重后果的

37、部門或員工，由公司信息 安全管理委員會(huì)授權(quán)實(shí)施懲戒。(3 )懲戒手段包括通告、行政警告、經(jīng)濟(jì)處罰、調(diào)離崗位、依據(jù)合同予以辭 退，對(duì)于觸犯刑律者移交司法機(jī)關(guān)處理。(4 )對(duì)于的合同承包商和外部用戶，如果違反了信息安全管理規(guī)定，公司信 息安全委員會(huì)有權(quán)建議公司中止與他們的合同和協(xié)議。精選上海*電子科技有限公司2.信息安全知識(shí)什么是信息？是來自任何來源的知識(shí)。在ISO 27001的標(biāo)準(zhǔn)里：? 信息是一種資產(chǎn)，就象其它重要的企業(yè)資產(chǎn)一樣，? 信息資產(chǎn)對(duì)組織具有價(jià)值，因而需要受到妥善的保護(hù)。? 信息是有生命周期的。安全保護(hù)應(yīng)兼顧到從其創(chuàng)建或誕生，到被使用或操作，到存儲(chǔ)，再到被傳遞，直至其 生命期結(jié)束而被

38、銷毀或丟棄。什么是信息安全？信息安全的目的是，保護(hù)信息不受各種威脅，以確保業(yè)務(wù)連續(xù)，將企業(yè)損失降至最 低，將投資收益與商業(yè)機(jī)會(huì)最大化。信息安全的任務(wù)是，要采取措施（技術(shù)手段及有效管理）讓這些信息資產(chǎn)免遭威脅, 或者將威脅帶來的后果降到最低程度，以此維護(hù)組織的正常運(yùn)作。信息安全的三要素機(jī)密性完整性 可用性 注：1）、機(jī)密性：信息不可用或不被泄漏給未授權(quán)的個(gè)人、實(shí)體或過程的特性，確保只 有獲得授權(quán)的使用者才能使用信息。2）、完整性：保護(hù)資產(chǎn)的精確與完整的特性，確保信息在存儲(chǔ)、使用、傳輸?shù)倪^程 中不會(huì)被未授權(quán)用戶篡改，同時(shí)還要防止授權(quán)用戶對(duì)系統(tǒng)及信息進(jìn)行不恰當(dāng)?shù)拇?改，保持信息內(nèi)、外部表示的一致性。3）、可用性：需要時(shí)，授權(quán)實(shí)體可以訪問和使用的特性，確保授權(quán)用戶或?qū)嶓w對(duì)信 息及資源的正常使用不會(huì)被異常拒絕，允許其可靠而及時(shí)地訪問信息及資源。什么是信息安全管理體系？信息安全管理體系是協(xié)調(diào)的活動(dòng)以指揮和控制：一組被分配職責(zé)和權(quán)限及關(guān)系的人和設(shè)備；保護(hù)信息的機(jī)密性、完