信息安全政策方針案例_第1頁
信息安全政策方針案例_第2頁
信息安全政策方針案例_第3頁
信息安全政策方針案例_第4頁
信息安全政策方針案例_第5頁
已閱讀5頁,還剩60頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

64/65廣州xxx信息安全政策方針 歷史版本編寫、批準(zhǔn)、發(fā)布信息記錄表版本號創(chuàng)建人/創(chuàng)建日期批準(zhǔn)人/批準(zhǔn)日期生效日期V1.0//////////////////////////////文檔修改記錄序號修改章節(jié)文件更改通知單編號修改日期修改人批準(zhǔn)人

目錄TOC\o"1-3"\h\z第1章基本方針 4第2章對策方針 7第1節(jié) 信息安全管理體制 7第2節(jié) 信息資產(chǎn)的保護(hù)對策 8第3節(jié) 信息的管理 12第4節(jié) 信息設(shè)備、媒體的管理 14第5節(jié) 個人信息的管理 16第6節(jié) 信息系統(tǒng)的使用人員管理 17第7節(jié) 訪問控制 19第8節(jié) 系統(tǒng)管理員特權(quán) 20第9節(jié) 系統(tǒng)操作記錄 20第10節(jié) 可用性對策 21第11節(jié) 網(wǎng)絡(luò)安全 22第12節(jié) 互聯(lián)網(wǎng)和電子郵件的利用 24第13節(jié) 計(jì)算機(jī)病毒對策 25第14節(jié) 安全漏洞對策 26第15節(jié) 軟件的管理 28第16節(jié) 本單位信息系統(tǒng)的構(gòu)筑、運(yùn)用 28第17節(jié) 設(shè)備對策 30第18節(jié) 發(fā)生侵害信息安全時的對應(yīng) 30第19節(jié) 外包管理 32第20節(jié) 單位成員就職、辭職和人事變動時的措施 32第21節(jié) 信息安全的維持活動 34各種細(xì)則 35基本方針(目的)本信息安全政策之“基本方針”以及“對策方針”(以下稱“本政策”)闡明了廣州xxx(以下稱“本單位”)對信息資產(chǎn)管理和信息安全的觀點(diǎn),是針對信息安全對策的方針而制定的,以實(shí)現(xiàn)下述事項(xiàng)為目的。保護(hù)客戶以及本單位的知識產(chǎn)權(quán)(包括機(jī)密信息和私人信息)明確應(yīng)該保護(hù)的信息資產(chǎn)以及對策與信息安全相關(guān)的風(fēng)險管理以及安全等級的維持、均一化統(tǒng)一采取信息安全對策方面的判斷標(biāo)準(zhǔn)提高單位成員對信息安全的意識有法必依,照章行事(構(gòu)成)本政策由規(guī)定本單位信息安全方面的基本且一般性方向的“基本方針”以及按各條款規(guī)定具體性事項(xiàng)以及指標(biāo)的“對策方針”構(gòu)成?!皩Σ叻结槨笔潜締挝辉谛畔踩矫姹仨毷┬袑Σ叩臈l款中,所應(yīng)該施行事項(xiàng)或者應(yīng)該達(dá)到最低水平的指標(biāo),是基于以下構(gòu)想而制定的。從機(jī)密性、正確性、可用性的觀點(diǎn)出發(fā)對信息資產(chǎn)的重要程度設(shè)立各個條款,將其分別設(shè)定為與上述重要程度相應(yīng)的條款或指標(biāo)。對于信息資產(chǎn)的訪問權(quán)(含瀏覽、更改、程序的起動)僅根據(jù)業(yè)務(wù)需要授權(quán)。信息安全管理中,極力避免人員管理內(nèi)容,積極采用信息技術(shù),有組織地提高信息安全對策的可靠性為宗旨。(適用人員以及適用業(yè)務(wù))本政策適用于就職于本單位的所有雇員及派遣員工。外包對象,也必須遵守本政策。本政策中所提及的“外包對象”指:合作單位及其員工合同工(臨時工等)服務(wù)供應(yīng)商及其員工(信息資產(chǎn)的對象)本政策信息資產(chǎn)對象包含各種文檔以及數(shù)據(jù)等本單位的所有信息,此外還包括軟硬件以及各種數(shù)據(jù)文件等信息技術(shù)性信息資產(chǎn)。(經(jīng)營職責(zé))信息安全主管領(lǐng)導(dǎo)要在理解本政策宗旨以及內(nèi)容的基礎(chǔ)上,給予足夠的重視,在遵守其規(guī)定的同時,還要按照本政策采取與信息安全有關(guān)的對策措施。信息安全主管領(lǐng)導(dǎo)要努力確保本政策所規(guī)定的條款穩(wěn)定,不要隨意變更,此外,當(dāng)本政策所規(guī)定的條款存在不符合客觀實(shí)際情況等不妥善之處時,要爭取及時將其予以妥善修改。信息安全主管領(lǐng)導(dǎo)要率先推進(jìn)乃至實(shí)行基于本政策的信息安全對策。(單位成員的職責(zé))全體單位成員要在理解本政策的宗旨及內(nèi)容的基礎(chǔ)上給予足夠的重視,遵守其規(guī)定。全體單位成員要努力加深對信息安全的認(rèn)識和理解。(信息安全管理組織)為了進(jìn)行信息安全對策的起草提案以及維持管理,設(shè)置信息安全委員會(SM委員會),由信息安全主管領(lǐng)導(dǎo)指名任命信息安全委員會委員長(SM委員長)。各項(xiàng)目或各部的負(fù)責(zé)人(項(xiàng)目負(fù)責(zé)人、部長)要對各項(xiàng)目或各部遵守本政策以及有關(guān)規(guī)程進(jìn)行管理,同時還要實(shí)施和審核信息安全對策。實(shí)施時,要指定各項(xiàng)目以及各部的信息安全主管(SM)。被指定的信息安全主管(SM)以信息安全委員會(SM委員會)的一員從事活動。組織體系依據(jù)本政策末尾所記載的信息安全管理組織圖設(shè)立。(遵守法令等)除本政策以及有關(guān)規(guī)程外,當(dāng)法令、行政機(jī)構(gòu)、本行業(yè)團(tuán)體制定有關(guān)信息安全的指針中有與本單位的指針一致的話,必須遵守。對策方針信息安全管理體制(信息安全委員會委員長(SM委員長))信息安全委員會委員長(SM委員長)負(fù)責(zé)指揮、監(jiān)督信息安全對策的實(shí)施、維持。信息安全委員會委員長(SM委員長)設(shè)置信息安全委員會,指揮信息安全對策的實(shí)施。信息安全委員會委員長(SM委員長)向總經(jīng)理報(bào)告全單位的信息安全對策的實(shí)施情況。(信息安全委員會(SM委員會))信息安全委員會(SM委員會)由信息安全委員會委員長(SM委員長)設(shè)置,主管全單位信息安全對策推進(jìn)、維持管理有關(guān)業(yè)務(wù),執(zhí)行信息安全有關(guān)業(yè)務(wù)的具體業(yè)務(wù)。信息安全委員會(SM委員會)是各個項(xiàng)目和各部申報(bào)、申請、出現(xiàn)緊急情況時報(bào)告的主管部署,在單位內(nèi)起橫向管理的作用。信息安全委員會(SM委員會)向主管領(lǐng)導(dǎo)報(bào)告全單位信息安全對策的實(shí)施情況。但重要事項(xiàng)要向信息安全委員會提出提案。從信息安全委員會中選拔出以下負(fù)責(zé)人。各個負(fù)責(zé)人的作用如下:設(shè)施管理人員 對接受委托的開發(fā)環(huán)境等辦公場所和服務(wù)器機(jī)房的出入進(jìn)行管理。網(wǎng)絡(luò)管理人員 與網(wǎng)絡(luò)整體有關(guān)的管理。電腦、服務(wù)器管理人員 電腦和服務(wù)器安全對策的管理、設(shè)備管理。數(shù)據(jù)管理人員 測試數(shù)據(jù)和正式數(shù)據(jù)(書面、電子數(shù)據(jù))的拿入和拿出、保管和復(fù)制、廢棄、備份制作、開發(fā)文檔類的管理。(各個項(xiàng)目和各部的信息安全管理)各個項(xiàng)目和各部的項(xiàng)目負(fù)責(zé)人、部長作為各個項(xiàng)目和各部的信息安全對策負(fù)責(zé)人,實(shí)施信息安全對策的貫徹普及、維持管理。各個項(xiàng)目和各部的項(xiàng)目負(fù)責(zé)人、部長向信息安全委員會(SM委員會)報(bào)告各項(xiàng)目和各部信息安全對策的實(shí)施情況。各個項(xiàng)目和各部的項(xiàng)目負(fù)責(zé)人、部長為了在各項(xiàng)目或部內(nèi)貫徹信息安全對策,可以指定信息安全主管(SM)。信息安全主管(SM)對項(xiàng)目或部內(nèi)的信息安全對策實(shí)施提供支持,向項(xiàng)目負(fù)責(zé)人以及部長報(bào)告其實(shí)施情況。(教育負(fù)責(zé)部署)教育負(fù)責(zé)部署的任務(wù)是為提高單位成員的安全意識,徹底貫徹落實(shí)本政策,開展教育計(jì)劃的規(guī)劃、起草、實(shí)施。(其他組織部門)構(gòu)筑可與客戶、服務(wù)提供商、信息安全專業(yè)機(jī)構(gòu)等保持適當(dāng)聯(lián)系的信息安全有關(guān)體制。信息資產(chǎn)的保護(hù)對策(對來自單位外部組織信息的接收限制)除業(yè)務(wù)需要外,不擅自從客戶或交易對方等單位外部組織獲取重要信息。(根據(jù)重要度管理)對于本單位擁有的全部重要信息資產(chǎn)根據(jù)其重要度采取相應(yīng)的管理和對策。(重要度的定義)信息的重要度從機(jī)密性(Confidentiality)?完整性(Integrity)?可用性(Availability)的觀點(diǎn)來確定。此外,還規(guī)定:所謂機(jī)密性是指信息的隱匿性,只有正當(dāng)?shù)臋?quán)限人員才能參閱信息;所謂完整性是指信息正確且具有整合性,信息之間不存在矛盾;所謂可用性是指信息以及信息系統(tǒng)在需要時隨時可以提供。其各個等級定義如下:

保護(hù)信息資產(chǎn)的觀點(diǎn)等級定義機(jī)密性(Confidentiality)(非公開)4當(dāng)開示或泄漏給無瀏覽權(quán)限的人時,會極大地?fù)p害來自客戶的信賴,給本單位的經(jīng)營帶來巨大損害的信息,包括以下內(nèi)容:-客戶編制的開發(fā)規(guī)章類、規(guī)格書、設(shè)計(jì)書、操作手冊-客戶編制的程序源、軟件(提高開發(fā)效率的工具等)-客戶系統(tǒng)環(huán)境相關(guān)信息(網(wǎng)絡(luò)構(gòu)成圖等)-客戶(系統(tǒng))辦理的機(jī)密信息(含個人信息)-客戶企業(yè)的職工信息-與客戶企業(yè)的業(yè)務(wù)有關(guān)的現(xiàn)在或者未來的計(jì)劃、方針-含有由客戶提供的技術(shù)或?qū)I(yè)技能的信息3當(dāng)開示或泄漏給無瀏覽權(quán)限的人員時,有可能給本單位的經(jīng)營造成損害的信息,包括以下內(nèi)容:-外包單位職工的信息(含各個職工的技能信息)-與本單位經(jīng)營戰(zhàn)略有關(guān)的信息-本單位的財(cái)務(wù)、人事信息(含職工的評價信息)-與本單位系統(tǒng)有關(guān)的信息(含程序源、文檔、測試數(shù)據(jù)等)21、3、4以外的信息(公開)1已經(jīng)一般公開的信息保護(hù)信息資產(chǎn)的觀點(diǎn)等級定義完整性(Integrity)3當(dāng)信息被不當(dāng)篡改或者與實(shí)際不符時,會給本單位的經(jīng)營造成巨大損害的信息或者原本性高的信息,包括以下內(nèi)容:-接受客戶委托的業(yè)務(wù)而編制的程序源-接受客戶委托的業(yè)務(wù)而編制的規(guī)格書、設(shè)計(jì)書、操作手冊-關(guān)于客戶企業(yè)與本單位之間關(guān)系的信息(接受委托和委托關(guān)系、名稱、內(nèi)容)-與本單位經(jīng)營戰(zhàn)略有關(guān)的信息-本單位的財(cái)務(wù)、人事信息(含職工的評價信息)-本單位系統(tǒng)有關(guān)的信息(含程序源、文檔、測試數(shù)據(jù)等)2當(dāng)信息被不當(dāng)篡改或者與實(shí)際不符時,有可能給本單位的經(jīng)營造成損害的信息,包括以下的內(nèi)容:-外包單位職工信息(含各個職工的技能信息)12、3以外的信息保護(hù)信息資產(chǎn)的觀點(diǎn)等級定義可用性(Availability)3當(dāng)無法使用時,會給本單位的經(jīng)營或者客戶造成巨大損害,因此要求隨時可以使用的信息以及信息系統(tǒng)。2當(dāng)無法使用時,會給本單位造成損害,但允許在一定時間內(nèi)處于不能使用狀態(tài)的信息以及信息系統(tǒng),包括以下內(nèi)容:-電子郵件系統(tǒng)-客戶系統(tǒng)開發(fā)用服務(wù)器-文件共享服務(wù)器(源程序和文檔管理用服務(wù)器)12、3以外的信息以及信息系統(tǒng)(重要度的分類)徹底清查本單位所擁有的全部重要信息資產(chǎn),編制出目錄,根據(jù)重要度的定義進(jìn)行重要度分類。(重要度的指定和維持管理)對信息的重要度,要適時進(jìn)行重審。此外,當(dāng)對信息的重要度進(jìn)行變更時,要告知全體有關(guān)人員。

信息的管理(貼標(biāo)簽)當(dāng)發(fā)布含有重要度高(等級2、3、4)的信息文書、可攜帶媒體(軟磁盤、磁帶、CD-ROM等)時,要根據(jù)其機(jī)密度貼上適當(dāng)?shù)臉?biāo)簽。(保管)信息資產(chǎn)的保管要確定管理負(fù)責(zé)人,根據(jù)其重要度確定保管場所、有效期限(保管期限)、保管方法、保管媒體。特別是法定帳票或?qū)κ聵I(yè)維續(xù)不可缺少的信息、作為組織進(jìn)行的記錄、客戶寄存的信息資產(chǎn)要嚴(yán)加保護(hù),避免出現(xiàn)丟失/消失、損壞以及篡改等危險。此外,對于客戶寄存的信息不要用于其目的以外的用途。非公開信息不要放任不管,要進(jìn)行適當(dāng)?shù)墓芾?,做到不使其輕易地就能閱讀到。機(jī)密文件不要放在辦公桌上(鎖入柜子后回家)。離開位子時,應(yīng)鎖定計(jì)算機(jī),不要讓重要數(shù)據(jù)顯示在屏幕上,并且使用帶密碼的屏保。(復(fù)制、分發(fā))復(fù)制以及分發(fā)(包括從系統(tǒng)中下載)要控制在業(yè)務(wù)所需的最小限度范圍內(nèi)。復(fù)制、分發(fā)客戶寄存的信息資產(chǎn)時,原則上要事先征得客戶的許可。通過電子郵件的發(fā)送或經(jīng)由互聯(lián)網(wǎng)的文件傳送同樣如此。原則上嚴(yán)禁將重要信息帶到單位外。因業(yè)務(wù)需要不得不帶出時,要取得所屬項(xiàng)目的項(xiàng)目負(fù)責(zé)人或所屬部署負(fù)責(zé)人的同意。復(fù)制、分發(fā)重要信息時,要記錄管理所分發(fā)的范圍。關(guān)于客戶寄存的信息資產(chǎn),未經(jīng)客戶許可,嚴(yán)禁將其帶出客戶許可保管以外的場所。(授受)由于業(yè)務(wù)上的需要與單位外組織進(jìn)行信息授受時,要采取適當(dāng)?shù)谋Wo(hù)措施。(對交易對方明示)向交易對方或單位外組織明示信息時,要根據(jù)內(nèi)容的重要度對明示范圍、明示對象單位、明示期間、明示理由、明示狀況等進(jìn)行妥善管理。(對公眾的公開)向大眾媒體、大眾的問詢公開提供本單位的信息時,要向總經(jīng)理以及管理該信息的項(xiàng)目或者部署申報(bào)公開范圍、公開對象、公開期限、公開理由等并取得同意。此外,公開與有關(guān)客戶的信息時,要事先征得客戶的同意。總經(jīng)理以及信息安全委員會(SM委員會)要充分掌握公開狀況。公開信息時,要采取妥善的保護(hù)措施,避免被篡改等風(fēng)險。(向官方機(jī)構(gòu)的明示)當(dāng)收到官方機(jī)構(gòu)等明示信息的要求時,要確認(rèn)其根據(jù)的正當(dāng)性,對其妥當(dāng)性進(jìn)行判斷后方予以明示。(由單位進(jìn)行的信息閱覽)信息安全委員會委員長(SM委員長)認(rèn)為有必要時,對單位內(nèi)擁有的信息可以無事先通告進(jìn)行閱覽。但閱覽信息時,在注意隱私的同時,嚴(yán)禁用于閱讀以外的用途。(返還)客戶寄存的信息資產(chǎn)原則上要返還。此外,該信息資產(chǎn)的管理負(fù)責(zé)人要確認(rèn)已返還給客戶,并就此與客戶聯(lián)系。(廢棄)當(dāng)廢棄信息設(shè)備、媒體、紙張等時,要徹底抹消重要的數(shù)據(jù)或者被授予使用許可的軟件等,或者進(jìn)行粉碎處理、設(shè)備的粉碎等,使其變成難以讀取的狀態(tài)。(保密)與機(jī)密信息管理有關(guān)的詳細(xì)步驟另行在《保密規(guī)則》中規(guī)定。要根據(jù)該規(guī)則妥善管理與業(yè)務(wù)有關(guān)的信息。信息設(shè)備、媒體的管理(管理負(fù)責(zé)人)要明確信息設(shè)備的管理責(zé)任人,采取妥善的保護(hù)措施。(登記管理)關(guān)于信息設(shè)備,要對資產(chǎn)管理編號(或者租賃合同編號等)、引進(jìn)日、設(shè)置場所、負(fù)責(zé)人員等進(jìn)行底帳管理。(設(shè)置情況的監(jiān)查)要定期監(jiān)查信息設(shè)備是否有丟失或者是否設(shè)置有非法的信息設(shè)備(調(diào)制解調(diào)器等)。(設(shè)備的新追加、增設(shè))當(dāng)新追加或者增設(shè)信息設(shè)備時,要向信息安全委員會(SM委員會)報(bào)備。(向第三者的出借/返還)信息設(shè)備原則上不出借。當(dāng)業(yè)務(wù)上需要時,要向信息安全委員會(SM委員會)申報(bào)借出對方、借出對方負(fù)責(zé)人(主管人)、借出方負(fù)責(zé)人(主管人)、期限、理由、目的等并取得批準(zhǔn)。(移送)當(dāng)在網(wǎng)點(diǎn)之間移送收納有重要信息(定義之例:任何一個CIA即便只有一個也屬于1級)的信息設(shè)備或媒體時,要針對丟失、被盜、偷窺等采取妥善的保護(hù)措施。(設(shè)備的搬入/搬出)原則上嚴(yán)禁將信息設(shè)備搬入/搬出(包括可以存儲信息的手機(jī)或便攜式終端)。出于業(yè)務(wù)需要必須要搬入/搬出時,要向項(xiàng)目負(fù)責(zé)人、部長申報(bào)理由、信息設(shè)備名稱等并取得批準(zhǔn)。此外,在軟件接受委托開發(fā)業(yè)務(wù)的環(huán)境下,原則上未經(jīng)客戶許可嚴(yán)禁將信息設(shè)備搬入/搬出,不過因業(yè)務(wù)需要必須搬入時,要向項(xiàng)目負(fù)責(zé)人、部長申報(bào)并取得批準(zhǔn)。(1)設(shè)備的搬出當(dāng)要將保存有重要信息(任何一個CIA即便只有一個也是3級以上)的設(shè)備搬出時,必須施行用戶ID密碼認(rèn)證以及硬盤等外存裝置的加密,而且還要采取妥善的信息保護(hù)措施。在電車內(nèi)等公共場所中,要時刻注意周圍的情況,防止被偷窺。當(dāng)不攜帶或者不使用時,要存放在筆記本電腦存放架(設(shè)置在規(guī)定場所)上,搬出時要在搬出管理簿上進(jìn)行搬出登記。(2)設(shè)備的搬入搬入設(shè)備時,在接入單位內(nèi)網(wǎng)絡(luò)之前,先通過更新病毒碼文件或者補(bǔ)丁文件適用后的防毒軟件殺毒,確認(rèn)安全后再行接入。(明確運(yùn)用規(guī)則)關(guān)于共用的信息設(shè)備(含服務(wù)器),要規(guī)定明確的運(yùn)用規(guī)則,進(jìn)行妥善的保養(yǎng)管理。此外,要記錄運(yùn)用的作業(yè)履歷。(修理和保養(yǎng))進(jìn)行信息設(shè)備的修理時,要通過信息安全委員會(SM委員會)規(guī)定的管理部門/主管人員施行。當(dāng)因修理而需要搬運(yùn)時,要采取妥善的管理辦法(數(shù)據(jù)的刪除、抹消、蓋寫)。當(dāng)修理后返還時,要確認(rèn)是否存在故障、是否有信息欠缺、是否被裝入非法程序(包括病毒)。個人信息的管理(收集)只對業(yè)務(wù)上必需的最小限度的信息通過合法且公正的方法進(jìn)行收集,原則上在向本人說明使用目的后征得同意之后再行收集。(使用)嚴(yán)禁用于收集時之目的以外的用途。(明示、修改、刪除)個人信息的本人要求對自己的個人信息進(jìn)行明示、修改、刪除和停止利用時,在進(jìn)行嚴(yán)格的本人確認(rèn)后盡快予以施行。(對外委托)當(dāng)將與個人信息有關(guān)的處理對外委托時,要求施行與在本單位內(nèi)同等程度的管理。(接受外部的委托)當(dāng)接受外部委托進(jìn)行有關(guān)個人信息的處理時,要遵守委托方的個人信息管理準(zhǔn)則。

信息系統(tǒng)的使用人員管理(信息系統(tǒng)的使用原則)本單位向單位成員提供的信息系統(tǒng)(計(jì)算機(jī)、網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)等)原則上應(yīng)以業(yè)務(wù)目的使用。(使用人員認(rèn)證)訪問本單位信息系統(tǒng)時,要根據(jù)重要度編入適當(dāng)?shù)氖褂谜哒J(rèn)證體制。(ID管理)用戶ID必須給每個使用者分配一個ID,嚴(yán)禁共用ID。有必要設(shè)定業(yè)務(wù)代理時,重新發(fā)行代理人使用的ID,并對其賦予權(quán)限。但是,統(tǒng)籌部署(管理該系統(tǒng)有關(guān)安全方面的部署)批準(zhǔn)的情形不在此限。被賦予ID的人員要在被認(rèn)可的權(quán)限范圍內(nèi)使用,妥善地進(jìn)行管理。被賦予ID的人員要在被認(rèn)可的權(quán)限范圍內(nèi)進(jìn)行使用,對用自己的ID進(jìn)行的全部操作負(fù)有責(zé)任,不得將ID借給他人。用戶ID的發(fā)行必須按照信息安全委員會(SM委員會)批準(zhǔn)的正式登記步驟進(jìn)行管理。此外,對于ID發(fā)行的情況要進(jìn)行底帳管理。因退職等原因而不再使用的ID要盡快停止其利用。此外,長時間不使用的ID要暫時停止或者停止其利用。ID(含管理員ID)要定期地(或者隨時地)重審,核查是否存在業(yè)務(wù)上不必要的ID。(密碼管理)要對密碼的定期變更、使用難以推測的文字列、強(qiáng)制變更初始密碼、限制再次使用過去使用過的密碼、禁止使用密碼保存功能等進(jìn)行徹底地密碼管理。不要將密碼書寫在紙上張貼,或者把密碼告訴他人。輸入密碼時,務(wù)必由本人輸入。在設(shè)置密碼時,不能使用可以從名字等個人信息中破解出的密碼,或者英語單詞等。密碼應(yīng)為字母數(shù)字組合、大小寫組合,長度為8位以上,且每兩個月必須更新。

訪問控制(訪問控制)訪問權(quán)限要限定在業(yè)務(wù)需要范圍(閱覽、更新、執(zhí)行、刪除、生成、連接時間等)內(nèi)。訪問權(quán)限的設(shè)定要按照信息安全委員會(SM委員會)批準(zhǔn)的正式設(shè)定步驟進(jìn)行管理。此外,針對權(quán)限賦予的情況要進(jìn)行底帳管理。訪問權(quán)限(包括管理員特權(quán))要定期地(或者隨時地)進(jìn)行重審,核查是否授予了業(yè)務(wù)上不必要的訪問權(quán)限。(離開座位時以及無人終端的保護(hù))離開座位時或者為無人終端(服務(wù)器控制臺等)時,要注銷或者鎖定畫面。要設(shè)定在一定時間內(nèi)沒有訪問時,或者自動注銷,或者需要再次認(rèn)證的機(jī)制(帶密碼的屏幕保護(hù)程序等)。

系統(tǒng)管理員特權(quán)(系統(tǒng)管理員特權(quán))管理員特權(quán)的發(fā)行由信息安全委員會(SM委員會)進(jìn)行全權(quán)管理。因人事變動等原因而進(jìn)行管理員特權(quán)交接時,要變更ID或者密碼。將具有管理員特權(quán)的ID、密碼發(fā)行給單位外部的人員時,要以書面形式明示所許可的行為,對于保密以及禁止超越委托業(yè)務(wù)范圍的行為以及禁止泄露密碼要讓其提交誓約書。此外,在緊急情況下需要發(fā)行管理員特權(quán)時,在信息安全委員會(SM委員會)批準(zhǔn)的基礎(chǔ)上,限于在必要的期間內(nèi)發(fā)行暫用ID、密碼,或者設(shè)定臨時性的管理員特權(quán)。系統(tǒng)操作記錄(獲取日志的目的和必要性)為了迅速查明系統(tǒng)故障或者違章操作等原因,要對信息系統(tǒng)的利用人員、時間、利用內(nèi)容獲取相應(yīng)的日志。(獲取日志的項(xiàng)目)要根據(jù)信息的重要度以及系統(tǒng)環(huán)境(網(wǎng)絡(luò)環(huán)境和物理性環(huán)境等)相應(yīng)地確定獲取日志的項(xiàng)目。關(guān)于重要信息(機(jī)密等級4)的日志,原則上要獲取針對參閱、新建立、修改、刪除、打印操作成功以及失敗的日志。關(guān)于重要信息(機(jī)密等級3~2)的日志,原則上要獲取參閱成功的日志。根據(jù)信息安全委員會(SM委員會)的判斷,根據(jù)需要對上述以外的信息也要獲取日志。要獲取的日志作為可以與誘發(fā)該事象的使用者進(jìn)行對應(yīng)的內(nèi)容。(日志的保管與管理)獲取的日志數(shù)據(jù)要根據(jù)信息的重要度以及系統(tǒng)環(huán)境(網(wǎng)絡(luò)環(huán)境或物理性環(huán)境等),在適當(dāng)?shù)拿襟w(離線媒體等)上保管、管理適當(dāng)?shù)闹芷冢ㄖ辽?個月以上)。獲取的日志最好保存在離線媒體上。此外,與重要度高的信息(任一個CIA即便只有一個也為3級以上)有關(guān)的日志,最好收納在不能寫入的媒體(CD-R等)上。為了確保日志數(shù)據(jù)解析的容易度以及證跡性,獲取日志對象系統(tǒng)的時間要全部同步。(日志的監(jiān)查)信息安全委員會(SM委員會)要定期地對獲取的日志數(shù)據(jù)進(jìn)行監(jiān)查,調(diào)查是否存在違章操作。(日志的管理)日志數(shù)據(jù)要按信息資產(chǎn)對待,根據(jù)本政策采取妥善的對策。可用性對策(網(wǎng)絡(luò)構(gòu)成和運(yùn)用時的可用性對策)新構(gòu)筑、變更網(wǎng)絡(luò)時,在設(shè)計(jì)階段要對所設(shè)想到的高峰需求時的網(wǎng)絡(luò)性能必要條件進(jìn)行設(shè)定。為了業(yè)務(wù)服務(wù)的穩(wěn)定運(yùn)行以及早期發(fā)現(xiàn)故障,要根據(jù)重要度采用運(yùn)用狀態(tài)自動監(jiān)視系統(tǒng)。(冗長構(gòu)成)要根據(jù)可用性的重要度,采取冗長構(gòu)成、使障礙極小化構(gòu)成、代替方法等對策。對于重要信息(可用性等級3)的信息資產(chǎn),采用使障礙極小化構(gòu)成(設(shè)備的雙重化等)關(guān)于重要信息(可用性等級2)的信息資產(chǎn),采取進(jìn)行在線備份或者代替機(jī)的冷備份等可以迅速準(zhǔn)備代替方法的措施。關(guān)于重要信息(可用性等級1)的信息資產(chǎn),采取進(jìn)行離線備份等可以恢復(fù)到必要狀態(tài)的措施。(備份的獲?。χ匾畔⒁ㄆ讷@取備份。此外,進(jìn)行備份的信息要根據(jù)信息的重要度進(jìn)行妥善地保護(hù)。備份要根據(jù)構(gòu)成對象的信息的重要度確定時機(jī)、保管世代數(shù)、方法、保管期限、保管場所。(備份媒體的保管)備份媒體含有重要信息時,要保管在可以上鎖的場所等,進(jìn)行嚴(yán)格的管理。(保養(yǎng)和維護(hù))當(dāng)要求高度的可用性(3級)時,要根據(jù)容許停止時間,簽定設(shè)備、軟件的保養(yǎng)、維護(hù)合同。網(wǎng)絡(luò)安全(單位內(nèi)網(wǎng)絡(luò)的管理)對每個網(wǎng)絡(luò)設(shè)定必要的安全等級,不同等級的網(wǎng)絡(luò)彼此連接時,要根據(jù)需要設(shè)置防火墻,將通信控制在只容許必要最小限度的通信內(nèi)。尤其是在接受委托進(jìn)行軟件開發(fā)業(yè)務(wù)的開發(fā)環(huán)境中,原則上客戶的不同項(xiàng)目要采用分隔網(wǎng)絡(luò)環(huán)境的獨(dú)立LAN構(gòu)筑,嚴(yán)禁訪問與客戶達(dá)成協(xié)議以外的網(wǎng)絡(luò)環(huán)境。遠(yuǎn)程訪問本單位的單位內(nèi)網(wǎng)絡(luò)時,要使用嚴(yán)格的認(rèn)證方法(一次性密碼、呼叫回復(fù)、虛擬專用網(wǎng)絡(luò)等),必要時采用每次插入調(diào)制解調(diào)器電源等方式,徹底落實(shí)訪問管理。(與單位外組織之間的網(wǎng)絡(luò)連接)將本單位的網(wǎng)絡(luò)與單位外的網(wǎng)絡(luò)連接時(包括撥號連接),僅限于信息安全委員會(SM委員會)判斷為業(yè)務(wù)上需要的情況。將本單位的網(wǎng)絡(luò)與單位外的網(wǎng)絡(luò)連接時,尤其是與不特定多數(shù)連接的互聯(lián)網(wǎng)連接時,在連接界限處要設(shè)置由信息安全委員會(SM委員會)規(guī)定的防火墻,將通信控制在容許必要最小限度的通信內(nèi)。將本單位的網(wǎng)絡(luò)與單位外網(wǎng)絡(luò)連接時,要根據(jù)機(jī)密性的重要度探討妥善的防止信息泄露措施。對可以訪問單位外網(wǎng)絡(luò)的計(jì)算機(jī)要進(jìn)行底帳管理。要求所連接的單位外組織對其信息安全對策的情況進(jìn)行充分的說明。對于所連接的單位外組織不要進(jìn)行違章操作或訪問。要求所連接的單位外組織排除對本單位信息資產(chǎn)的違章或訪問。在重要的網(wǎng)絡(luò)中,要進(jìn)行故障監(jiān)測以及違法入侵監(jiān)視。(關(guān)于單位內(nèi)無線LAN的使用)關(guān)于單位內(nèi)無線局域網(wǎng)的使用,在施行了路由加密或?qū)尤朦c(diǎn)的訪問控制、變更接入點(diǎn)識別ID等妥善安全對策的基礎(chǔ)上,要征得信息安全委員會(SM委員會)的使用許可。此外,在安全對策方面,要考慮到發(fā)展趨向,進(jìn)行重審、變更。被批準(zhǔn)的接入點(diǎn)要由信息安全委員會(SM委員會)進(jìn)行底帳管理。(設(shè)定內(nèi)容以及設(shè)備的管理)要對防火墻和路由器的通信控制內(nèi)容進(jìn)行底帳管理。嚴(yán)格管理網(wǎng)絡(luò)設(shè)定信息。防火墻和路由器等重要的網(wǎng)絡(luò)設(shè)備要安裝在上鎖的區(qū)域。要確定網(wǎng)絡(luò)構(gòu)成的構(gòu)成變更步驟。(評估的實(shí)施)在與單位外的網(wǎng)絡(luò)連接點(diǎn)中,根據(jù)風(fēng)險評估的結(jié)果,確定是否需要定期地實(shí)施模擬入侵測試等安全機(jī)制的評估?;ヂ?lián)網(wǎng)和電子郵件的利用(利用互聯(lián)網(wǎng)的申請)當(dāng)業(yè)務(wù)上需要使用互聯(lián)網(wǎng)時,通過提交申請書,可許可單位成員利用互聯(lián)網(wǎng)。當(dāng)需要在單位以外的場所使用單位的郵件系統(tǒng)時,需填寫《設(shè)備領(lǐng)出單》申請開通VPN,并由相關(guān)領(lǐng)導(dǎo)批準(zhǔn)方可使用。(利用電子郵件的申請)當(dāng)業(yè)務(wù)上需要利用(單位外)電子郵件時,通過提交申請書,可許可單位成員利用(單位外)電子郵件。(電子郵件的發(fā)送內(nèi)容)關(guān)于發(fā)送內(nèi)容,要檢查是否含有機(jī)密信息,表現(xiàn)是否適當(dāng)。(嚴(yán)禁電子郵件的違法使用)不得故意違法使用電子郵件。此外,要充分考慮到電子郵件系統(tǒng)的特性和機(jī)制,在使用中要充分予以注意。例如,要注意以下幾點(diǎn):只使用管理員授予的郵件地址,禁止使用其他的郵件地址。禁止變更寄出用郵件地址向不相關(guān)多數(shù)人群發(fā)郵件等不適合公開收件人地址時,在BCC中指定地址。務(wù)必確認(rèn)郵件的收件人后再發(fā)送郵件的署名中不可包含多余的信息(尤其是嚴(yán)禁使用本單位名稱以外的單位名稱)嚴(yán)禁向外部服務(wù)提供商轉(zhuǎn)發(fā)郵件。嚴(yán)禁使用免費(fèi)郵箱,個人申請的服務(wù)提供商的郵箱等未經(jīng)單位許可的郵箱。原則上嚴(yán)禁使用在瀏覽器上可以收發(fā)郵件的WEB郵件(部分除外)對來源不明的郵件和內(nèi)容不確切的附件要加以注意不使用郵件軟件的預(yù)覽功能(將未讀郵件的最初幾行自動顯示的功能)包含重要信息的文件,必須使用加密的壓縮方式進(jìn)行發(fā)送。(獲取電子郵件使用日志)對于發(fā)往單位外的電子郵件,要獲取發(fā)件人、收件人、郵件名的日志,根據(jù)需要檢查該郵件內(nèi)容。此外,對于獲取的事實(shí)要使單位成員人人皆知。經(jīng)本單位設(shè)備處理的所有電子郵件短信歸本單位所有。只要信息安全委員會委員長(SM委員長)批準(zhǔn),有時可不經(jīng)本人同意,對無論是發(fā)往單位內(nèi)的、還是發(fā)往單位外的電子郵件,一律進(jìn)行使用日志的監(jiān)查。(獲取互聯(lián)網(wǎng)的使用日志)要獲取互聯(lián)網(wǎng)使用者和訪問目的地的日志,根據(jù)需要檢查其內(nèi)容。此外,獲取的事實(shí)要使單位成員人人皆知。根據(jù)需要,要設(shè)定限制令互聯(lián)網(wǎng)使用者無法瀏覽與業(yè)務(wù)無關(guān)的網(wǎng)站。計(jì)算機(jī)病毒對策(病毒對策的實(shí)施)單位成員使用的計(jì)算機(jī)中要使用信息安全委員會(SM委員會)指定的防病毒軟件。在互聯(lián)網(wǎng)的連接點(diǎn)以及進(jìn)行有可能感染病毒的文件的發(fā)送接收操作的單位外連接點(diǎn)中,在路由上要采用查毒網(wǎng)關(guān)。要時常獲取病毒信息,努力收集關(guān)于新型病毒的信息。要使病毒碼文件時常保持最新的狀態(tài)。(指南手冊的編制和教育)信息安全委員會(SM委員會)要事先編制感染病毒時的應(yīng)對指南手冊,令單位成員周知。(各種利用場合時的病毒檢查)通過USB記憶體等可拆卸式媒體進(jìn)行文件傳遞時,要進(jìn)行病毒檢查。通過電子郵件進(jìn)行文件傳遞時要進(jìn)行病毒檢查。通過互聯(lián)網(wǎng)等網(wǎng)絡(luò)下載文件時要進(jìn)行病毒檢查。(發(fā)現(xiàn)病毒時的處置)當(dāng)發(fā)現(xiàn)病毒時,要立即將網(wǎng)線從計(jì)算機(jī)上拔下,防止受害的蔓延。隨后與信息安全委員會取得聯(lián)系,聽取適當(dāng)?shù)闹甘?。?dāng)在接受委托的軟件開發(fā)業(yè)務(wù)環(huán)境中發(fā)現(xiàn)病毒時,還要與客戶取得聯(lián)系,由信息安全委員會(SM委員會)與客戶彼此進(jìn)行密切聯(lián)系。信息安全委員會(SM委員會)要獲取最新的病毒信息,給與適當(dāng)?shù)闹甘?。此外,要根?jù)需要與單位外有關(guān)組織進(jìn)行聯(lián)系。當(dāng)來自單位外的郵件等中混入病毒時,在與信息安全委員會協(xié)商的基礎(chǔ)上,將其通知給該企業(yè)。(對單位外組織的請求)對于文件傳遞較頻繁的單位外組織,要請求其實(shí)施防病毒對策。安全漏洞對策提高與信息安全有關(guān)的信息方面的意識,當(dāng)開發(fā)商發(fā)表針對安全漏洞的補(bǔ)丁程序時,除了因使用補(bǔ)丁程序會引起重大功能障礙(對軟件開發(fā)的影響等)外,要迅速地使用補(bǔ)丁程序。原則上可以連接到互聯(lián)網(wǎng)環(huán)境來實(shí)施最新的補(bǔ)丁程序適用。此外,不能連接互聯(lián)網(wǎng)的環(huán)境要考慮對軟件開發(fā)業(yè)務(wù)的影響以及由于不使用安全補(bǔ)丁而造成的風(fēng)險,探討使用時機(jī)。但是,客戶要求進(jìn)行適用時,原則上要盡快使用。

軟件的管理(軟件的引進(jìn)基準(zhǔn))要從與軟件的引進(jìn)有關(guān)的安全方面進(jìn)行評估并向信息安全委員會(SM委員會)報(bào)告。原則上嚴(yán)禁引進(jìn)業(yè)務(wù)上必要以外的軟件。關(guān)于接受委托進(jìn)行的軟件開發(fā)業(yè)務(wù)的開發(fā)環(huán)境,當(dāng)引進(jìn)業(yè)務(wù)上必要的軟件時,要與客戶聯(lián)系并征得同意。(軟件的安裝)軟件的安裝在按批準(zhǔn)的步驟進(jìn)行的同時,還要按照另行規(guī)定的規(guī)則實(shí)施相應(yīng)的安全設(shè)定。(使用許可管理和使用承諾)只引進(jìn)正式獲得使用許可的軟件。要充分理解并遵守軟件的使用承諾。(軟件的使用情況)對引進(jìn)的軟件要實(shí)行底帳管理。此外,最好根據(jù)需要,引進(jìn)收集軟件的安裝信息和設(shè)定信息的工具。(引進(jìn)后的運(yùn)用管理體制)要根據(jù)需要,明確要引進(jìn)軟件的維護(hù)和開發(fā)商的支援體制。(監(jiān)查)信息安全委員會與信息安全小組要定期監(jiān)查軟件是否得到妥善地引進(jìn)、使用。本單位信息系統(tǒng)的構(gòu)筑、運(yùn)用(確保各工序的信息安全)為了在采取信息安全對策時確保完善的體制、充分的預(yù)算和期間,從計(jì)劃階段開始就要進(jìn)行關(guān)于信息安全的討論。在設(shè)計(jì)、開發(fā)、測試、保養(yǎng)以及運(yùn)用的各個階段,要對安全功能的質(zhì)量進(jìn)行審評,并要得到信息安全委員會(SM委員會)的同意。(職務(wù)的分離)為了排除誤用和惡意的行為,要將系統(tǒng)構(gòu)筑業(yè)務(wù)(程序開發(fā)等)、系統(tǒng)運(yùn)用業(yè)務(wù)(正式作業(yè)的運(yùn)行等)、用戶業(yè)務(wù)(輸入數(shù)據(jù)的編制和變更、輸出數(shù)據(jù)的存取等)等權(quán)限進(jìn)行分離,編緝成彼此相互牽制的功能。因某種制約不能進(jìn)行職務(wù)分離時,要進(jìn)行行動監(jiān)視和獲取使用日志等。(環(huán)境的分離)除正式環(huán)境外還要備有另外的開發(fā)環(huán)境和測試環(huán)境,根據(jù)需要進(jìn)行充分的測試后再移行到正式環(huán)境。另外,正式環(huán)境、開發(fā)環(huán)境和測試環(huán)境之間的訪問要限定在必要的最小限度。對于新引進(jìn)的系統(tǒng),要對基于設(shè)計(jì)時的對策方針編入的所有的安全性功能進(jìn)行測試,取得信息安全委員會(SM委員會)的同意。另外,測試結(jié)果要用書面形式保存。(使用重要信息的測試)使用重要信息的測試,限定在本單位擁有的測試環(huán)境,測試結(jié)束后,要進(jìn)行數(shù)據(jù)刪除等適當(dāng)?shù)奶幚?。另外,使用重要信息要進(jìn)行記錄。實(shí)施使用重要信息的測試時,要采取數(shù)據(jù)偽裝等保護(hù)數(shù)據(jù)泄露對策。(變更與維持管理)關(guān)于平常及緊急情況時的構(gòu)成變更,要設(shè)定變更管理步驟。設(shè)備對策(安全區(qū)域的設(shè)置)本單位系統(tǒng)的主機(jī)原則上設(shè)置在符合有關(guān)機(jī)構(gòu)規(guī)定的安全基準(zhǔn)的數(shù)據(jù)中心或與之同等的設(shè)施內(nèi)。共享文件和各種服務(wù)器安裝在本單位建筑內(nèi)時,除業(yè)務(wù)上有要求的情況外,要設(shè)置在物理上安全的場所。特別是對于機(jī)密性高的信息資源要設(shè)置專用的區(qū)域。(軟件開發(fā)區(qū)域的設(shè)置)在接受委托進(jìn)行軟件開發(fā)業(yè)務(wù)的開發(fā)環(huán)境中,原則上要將每個客戶的項(xiàng)目進(jìn)行區(qū)域分隔,通過引進(jìn)出入室系統(tǒng)等,限定可以訪問的人員。(出入室管理)設(shè)置處理重要信息服務(wù)器的場所平時要上鎖,進(jìn)行出入室管理。能夠進(jìn)入設(shè)置處理重要信息服務(wù)器場所的人員必須獲得信息安全委員會(SM委員會)的批準(zhǔn)。出入需要進(jìn)行出入室管理房間時,要留取完善的記錄。并且要定期監(jiān)查其內(nèi)容,調(diào)查是否有過違法侵入。另外,記錄要保存一定的期間。發(fā)生侵害信息安全時的對應(yīng)(發(fā)生侵害信息安全時的報(bào)告和對應(yīng))發(fā)現(xiàn)信息安全方面受到侵害時(信息被盜和泄露、篡改、不能使用等)或有該方面嫌疑時,不論原因如何,要迅速向項(xiàng)目負(fù)責(zé)人和部長以及信息安全委員會(SM委員會)報(bào)告。在有可能影響波及到客戶的情況下,原則上要通過信息安全委員會委員長(SM委員長)與客戶聯(lián)系。另外,對報(bào)告內(nèi)容要進(jìn)行記錄。要明確報(bào)告途徑。另外,當(dāng)發(fā)生重大的信息安全侵害時,應(yīng)能夠上報(bào)到經(jīng)營層?;蛘呦蛳鄳?yīng)的主管部門報(bào)告。(

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論