信息安全策略.docx

信息安全策略.docx

《信息安全策略.docx》由会员分享，可在线阅读，更多相关《信息安全策略.docx（38页珍藏版）》请在冰豆网上搜索。

信息安全策略

信息安全策略

信息安全策略

文档编号

编制

审核

批准

发布日期

备注

本公司对本文件资料享受著作权及其它专属权利，未经书面许可，不得将该等文件资料（其全部或任何部分）披露予任何第三方，或进行修改后使用。

1信息资源保密策略

发布部门

信息安全小组

生效时间

2016年11月01日

介绍

保密策略是用于为信息资源用户建立限制和期望的机制。

内部用户不期望信息资源保密。

外部用户期望信息资源拥有完整的保密性，除了在发生可疑的破坏行为的情况下。

目的

该策略的目的是明确的沟通信息资源用户的信息服务保密期望。

适用范围

该策略适用于使用信息资源的所有人员。

术语定义

略

信息

资源

保密

策略

⏹在公司内部保存和控制的电子文件应该公开，并且可以被信息服务人员访问；

⏹为了管理系统并加强安全，信息技术部小组可以记录、评审，同时也可以使用其信息资源系统中存储和传递的任何信息。

为了达到此目的，信息技术部小组还可以捕获任何用户活动，如拨号号码以及访问的网站；

⏹为了商业目的，第三方将信息委托给公司内部保管，那么信息技术部小组的所有工作人员都必须尽最大的努力保护这些信息的保密性和安全性。

对这些第三方来说最重要的就是个人消费者，因此消费者的账户数据应该保密，并且对这些数据的访问也应该依据商业需求进行严格限制；

⏹用户必须向适当的管理者报告公司内部计算机安全的任何薄弱点，可能的误用事故或者相应授权协议的违背情况；

⏹在XX或获得明确同意的情况下，用户不可以尝试访问公司内部系统中包含的任何数据或程序。

惩罚

违背该策略可能导致：

员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除；另外，这些人员还可能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉。

引用标准

略

2网络访问策略

发布部门

信息安全小组

生效时间

2016年11月01日

介绍

网络基础设施是提供给所有信息资源用户的中心设施。

重要的是这些基础设施（包括电缆以及相关的设备）要持续不断的发展以满足需求，然而也要求同时高速发展网络技术部以便将来提供功能更强大的用户服务。

目的

该策略的目的是建立网络基础设施的访问和使用规则。

这些规则是保持信息完整性、可用性和保密性所必需的。

适用范围

该策略适用于访问任何信息资源的所有人。

术语定义

略

网络

访问

策略

⏹用户不可以以任何方式扩散或再次传播网络服务。

未经信息安全小组批准不可以安装路由器、交换机、集线器或者无线访问端口；

⏹在未经信息安全小组批准的情况下，用户不可以安装提供网络服务的硬件或软件；

⏹需要网络连接的计算机系统必须符合信息服务规范；

⏹用户不可以私自下载、安装或运行安全程序或应用程序，发现或揭露系统的安全薄弱点。

例如，在以任何方式连接到互联网基础设施时，未经信息安全小组批准用户不可以运行口令破解程序、监听器、网络绘图工具、或端口扫描工具；

⏹不允许用户以任何方式更换网络硬件；

⏹在局域网上进行文件共享时必须指定访问权限，机密信息严禁使用everyone权限。

⏹任何员工在访问网络资源时必须使用专属于自己的帐号ID，不得使用他人的帐号访问网络资源。

⏹网络分为办公网络和生产环境网络，办公网络又分为日常办公网络和专门远程访问网络

⏹生产环境网络必须使用vpn由专人专机访问，必须要提前向上级领导申请报告

⏹不得从生产环境下载拷贝等操作

⏹只能从公司指定办公网络（公司专门的网络通道）访问远程的服务器

⏹修改远程服务器的内容必须要提前申请报告，且要有详细的操作步骤

惩罚

违背该策略可能导致：

员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除；另外，这些人员还可能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉。

引用标准

略

3.访问控制策略

发布部门

信息安全小组

生效时间

2016年11月01日

介绍

应根据业务和安全要求，控制对信息和信息系统的访问。

目的

该策略的目的是为了控制对信息和信息系统的访问。

适用范围

该策略适用于进行信息和信息系统访问的所有人员。

术语定义

略

访问

控制

策略

⏹公司内部可公开的信息不作特别限定，允许所有用户访问；

⏹公司内部分公开信息，根据业务需求访问，访问人员提出申请，经访问授权管理部门认可，访问授权实施部门实施后用户方可访问；

⏹公司网络、信息系统根据业务需求访问，访问人员提出申请，经信息安全小组认可，实施后用户方可访问；

⏹信息安全小组安全管理员按规定周期对访问授权进行检查和评审；

⏹访问权限应及时撤销，如在申请访问时限结束时、员工聘用期限结束时、第三方服务协议中止时；

⏹用户不得访问或尝试访问XX的网络、系统、文件和服务；

⏹远程用户应该通过公司批准的连接方式；

⏹在防火墙内部连接内部网络的计算机不允许连接INTERNET，除非获得信息安全小组的批准；

⏹用户不得以任何方式私自安装路由器、交换机、代理服务器、无线网络访问点（包括软件和硬件）等；

⏹在信息网、外联网安装新的服务（包括软件和硬件）必须获得信息安全小组的批准；

⏹用户不得私自撤除或更换网络设备。

惩罚

违背该策略可能导致：

员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除；另外，这些人员还可能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉。

引用标准

略

4.物理访问策略

发布部门

信息安全小组

生效时间

2016年11月01日

介绍

技术部支持人员、安全管理员、IT管理员以及其他人员可能因工作需要访问信息资源物理设施。

对信息资源设施物理访问的批准、控制以及监控对于全局的安全是极其重要的。

目的

该策略的目的是为信息资源设施物理访问的批准、控制、监控和删除建立规则。

适用范围

该策略适用于组织中负责信息资源安装和支持的所有人员，负责信息资源安全的人员以及数据的所有者。

术语定义

略

物理

访问

策略

⏹所有物理安全系统必须符合相应的法规，但不仅限于建设法规以及消防法规；

⏹对所有受限制的信息资源设施的物理访问必须形成文件并进行控制；

⏹所有信息资源设施必须依据其功能的关键程度或重要程度进行物理保护；

⏹对信息资源设施的访问必须只授权给因职责需要访问设施的支持人员和合同方；

⏹授权使用卡和/或钥匙访问信息资源设施的过程中必须包括设施负责人的批准；

⏹拥有信息资源设施访问权的每一个人员都必须接受设施应急程序培训，并且必须签署相应的访问和不泄密协议；

⏹访问请求必须发自相应的数据/系统所有者；

⏹访问卡和/或钥匙不可以与他人共享或借给他人；

⏹访问卡和/或钥匙不需要时必须退还给信息资源设施负责人。

在退还的过程中，卡不可以再分配给另一个人；

⏹访问卡和/或钥匙丢失或被盗必须向信息资源设施的负责人报告；

⏹卡和/或钥匙上除了退回的地址外不可以有标志性信息；

⏹所有允许来宾访问的信息资源设施都必须使用签字出/入记录来追踪来宾的访问；

⏹信息资源设施的持卡访问记录以及来宾记录必须保存，并依据被保护信息资源的关键程度定期评审；

⏹在持卡和/或钥匙的人员发生变化或离职时，信息资源设施的负责人必须删除其访问权限；

⏹在信息资源设施的持卡访问区，来宾必须由专人陪同；

⏹信息资源设施的负责人必须定期评审访问记录以及来宾记录，并要对异常访问进行调查；

⏹信息资源设施的负责人必须定期评审卡和/或钥匙访问权，并删除不再需要访问的人员的权限；

⏹对限制访问的房间和场所必须进行标记，但是描述其重要性的信息应尽可能少。

惩罚

违背该策略可能导致：

员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除；另外，这些人员还可能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉。

引用标准

略

5.供应商访问策略

发布部门

信息安全小组

生效时间

2016年11月01日

介绍

供应商在支持硬件和软件管理以及客户运作方面有重要作用。

供应商可以远程对数据和审核日志进行评审、备份和修改，他们可以纠正软件和操作系统中的问题，可以监控并调整系统性能，可以监控硬件性能和错误，可以修改周遭系统，并重新设置警告极限。

由供应商设置的限制和控制可以消除或降低收入、信誉损失或遭破坏的风险。

目的

该策略的目的是为减缓供应商访问组织资产带来的风险。

适用范围

该策略适用于所有需要访问组织的供应商。

术语定义

略

第三

方访

问策

略

⏹供应商必须遵守相应的策略、操作标准以及协议，包括但不仅限于：

✧安全策略；

✧保密策略；

✧审核策略；

✧信息资源使用策略。

⏹供应商协议和合同必须规定：

✧供应商应该访问的信息；

✧供应商怎样保护信息；

✧合同结束时供应商所拥有的信息返回、毁灭或处置方法；

✧供应商只能使用用于商业协议目的的信息和信息资源；

✧在合同期间供应商所获得的任何信息都不能用于供应商自己的目的或泄漏给他人。

⏹应该向信息安全小组提供与供应商的合同要点。

合同要点能确保供应商符合策略的要求；

⏹为供应商分配类型，如IT基础组件运维服务、系统维护服务、网络维护服务等；

⏹需定义不同类型供应商可以访问的信息类型，以及如何进行监视和工作访问的权限；

⏹供应商访问信息的人员范围仅限于工作需要的人员，授权需获得信息安全小组的批准；

⏹供应商权限人员不得将已授权的身份识别信息和相关设备透露、借用给其他人员，工作结束后应该立即注销访问权限及清空资料；

⏹针对与供应商人员交互的组织人员开展意识培训，培训内容涉及基于供应商类型和供应商访问组织系统及信息级别的参与规则和行为；

⏹如适合可与供应商就关系中的信息安全签署保密或交换协议；

⏹每一个供应商必须提供在为合同工作的所有员工清单。

员工发生变更时必须在24小时之内更新并提供；

⏹每一个在组织场所内工作的供应商员工都必须佩带身份识别卡。

当合同结束时，此卡应该归还；

⏹可以访问机密信息资源的每一个供应商员工都不能处理这些信息；

⏹供应商员工应该直接向恰当的人员直接报告所有安全事故；

⏹如果供应商参与安全事故管理，那么必须在合同中明确规定其职责；

⏹供应商必须遵守所有适用的更改控制过程和程序；

⏹定期进行的工作任务和时间必须在合同中规定。

规定条件之外的工作必须由相应的管理者书面批准；

⏹必须对供应商访问进行唯一标识，并且对其进行的口令管理必须符合口令实施规范和特殊访问实施规范。

供应商主要的工作活动必须形成日志并且在管理者需要的时候可以访问。

日志的内容包括但不仅限于：

人员变化、口令变化、项目进度重要事件、启动和结束时；

⏹当供应商员工离职时，供应商必须确保所有机密信息在24小时内被收回或销毁；

⏹在合同或邀请结束时，供应商应该将所有信息返回或销毁，并在24小时内提交一份返回或销毁的书面证明；

⏹在合同或邀请结束时，供应商必须立即交出所有身份识别卡、访问卡以及设备和供应品。

由供应商保留的设备和/或供应品必须被管理者书面授权；

⏹要求供应商必须遵守所有规定和审核要求，包括对供应商工作的审核；

⏹在提供服务时，供应商使用的所有软件必须进行相应的清点并许可。

惩罚

违背该策略可能导致：

员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除；另外，这些人员还可能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉。

引用标准

略

6.雇员访问策略

发布部门

信息安全小组

生效时间

2016年11月01日

介绍

雇员工作在信息安全区域，工作中需要使用公司的各种信息处理设施，需要访问公司的各种信息资产，因此每一个雇员有义务和责任保护好公司信息资产的安全。

目的

本策略未访问本公司信息资源的全体雇员，这种访问是出于业务需要的，涉及物理和行政安全管理需求的网络连接、雇员的职责及信息保护的准则。

适用范围

该策略适用于公司的任何雇员，雇员对信息资源的访问，包括信息处理设施设备和技术部资源。

术语定义

略

雇员

访问

策略

⏹雇员必须遵守相应的策略、操作标准以及协议，包括但不仅限于：

✧《信息资源保密策略》；

✧《病毒防范策略》；

✧《可移动代码防范策略》；

✧《信息交换策略》；

✧《清洁桌面和清屏策略》；

✧《网络访问策略》；

✧《便携式计算机安全策略》；

✧《互联网使用策略》；

✧《电子邮件策略》。

⏹雇员在意识到有安全事件发生时应该第一时间向上层领导报告；

⏹雇员应该直接向恰当的人员直接报告所有安全事故；

⏹雇员必须遵守所有适用的变更管理程序；

⏹当雇员离职时，必须确保所有机密信息在24小时内被收回或销毁；

⏹在合同结束时，雇员应该将所有信息返回或销毁，并在24小时内提交一份返回或销毁的书面证明，并由资产责任人签字认可；

⏹在合同结束时，雇员必须立即交出所有身份识别卡、访问卡以及设备和供应品。

由雇员保管的设备和/或供应品的回收必须由资产责任人签字认可；

⏹要求雇员必须遵守所有规定和审核要求。

惩罚

违背该方针可能导致：

员工被解雇、合同方或顾问的雇佣关系终止、实习人员失去继续工作的机会、员工受到经济性惩罚等；另外，这些人员的信息资源访问权以及公民权可能受到侵害，甚至遭到法律起诉。

引用标准

略

7.设备及布缆安全策略

发布部门

信息安全小组

生效时间

2016年11月01日

介绍

网络基础设施是向所有信息资源用户提供服务的中心设施。

这些基础设施（包括电源馈送和数据传输的电缆以及相关的设备）需要持续不断的发展以满足用户需求，然而同时也要求网络技术部高速发展以便将来能够提供功能更强大的用户服务。

目的

⏹该方针的目的保护设备免受物理的和环境的威胁，减少未授权访问信息的风险。

防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断；

⏹为了安置或保护设备，以减少由环境威胁和危险所造成的各种风险以及未授权访问的机会；

⏹为了保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断，应有足够的支持性设施（供电、供水、通风和空调等）来支持系统；

⏹为了保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听或损坏，电源馈送和数据通讯的电缆必须确保安全；

⏹为了确保设备持续的可用性和完整性，设备应予以正确地维护；

⏹为了对组织非现场设备采取安全措施，要考虑工作在组织场所以外的不同风险；

⏹为了确保涉密信息不泄露，在存储介质销毁之前，任何机密信息和注册软件已被删除或安全重写；

⏹为了确保涉密信息不泄露，设备、信息或软件在授权之前不应带出组织场所。

适用范围

该方针适用于网络设备设施的建设和维护人员。

术语定义

略

设备

及布

缆安

全策

略

⏹设备安置和保护方针

✧设备应进行适当安置，以尽量减少不必要的对工作区域的访问；

✧应把处理机密数据的信息处理设施放在适当的限制观测的位置，以减少在其使用期间信息被窥视的风险，还应保护储存设施以防止未授权访问；

✧要求专门保护的部件要予以隔离，以降低所要求的总体保护等级；

✧应采取控制措施以减小潜在的物理威胁的风险，例如偷窃、火灾、爆炸、烟雾、水（或供水故障）、尘埃、振动、化学影响、电源干扰、通信干扰、电磁辐射和故意破坏；

✧对于可能对信息处理设施运行状态产生负面影响的环境条件（例如温度和湿度）要予以监视；

✧所有建筑物都应采用避雷保护；

✧应保护处理机密信息的设备，以减少由于辐射而导致信息泄露的风险；

⏹支持性设施方针

✧支持性设施应定期检查并适当的测试以确保他们的功能，减少由于他们的故障或失效带来的风险。

应按照设备制造商的说明提供合适的供电；

✧对支持关键业务操作的设备，必须使用支持有序关机或连续运行的不间断电源（UPS）；

✧电源应急计划要包括UPS故障时要采取的措施。

UPS设备和发电机要定期地检查，以确保它们拥有足够能力，并按照制造商的建议予以测试；

⏹布缆安全方针：

✧进入信息处理设施的电源和通信线路宜在地下，若可能，或提供足够的可替换的保护；

✧网络布缆要免受未授权窃听或损坏，例如，利用电缆管道或使路由避开公众区域；

✧为了防止干扰，电源电缆要与通信电缆分开；

✧使用清晰的可识别的电缆和设备记号，以使处理失误最小化，例如，错误网络电缆的意外配线；

✧用文件化配线列表减少失误的可能性；

✧对于机密的或关键的系统，更进一步的控制考虑应包括：

*在检查点和终接点处安装铠装电缆管道和上锁的房间或盒子；

*使用可替换的路由选择和/或传输介质，以提供适当的安全措施；

*使用纤维光缆；

*使用电磁防辐射装置保护电缆；

*对于电缆连接的未授权装置要主动实施技术部清除、物理检查；

*控制对配线盘和电缆室的访问；

⏹设备维护方针

✧要按照供应商推荐的服务时间间隔和规范对设备进行维护；

✧只有已授权的维护人员才可对设备进行修理和服务；

✧要保存所有可疑的或实际的故障以及所有预防和纠正维护的记录；

✧当对设备安排维护时，应实施适当的控制，要考虑维护是由场所内部人员执行还是由外部人员执行；当需要时，机密信息需要从设备中删除或者维护人员应该是足够可靠的；

✧应遵守由保险策略所施加的所有要求。

⏹组织场所外的设备安全方针

✧无论责任人是谁，在组织场所外使用任何信息处理设备都要通过管理者授权；

✧离开建筑物的设备和介质在公共场所不应无人看管。

在旅行时便携式计算机要作为手提行李携带，若可能宜伪装起来；

✧制造商的设备保护说明要始终加以遵守，例如，防止暴露于强电磁场内；

✧家庭工作的控制措施应根据风险评估确定，当适合时，要施加合适的控制措施，例如，可上锁的存档柜、清理桌面策略、对计算机的访问控制以及与办公室的安全通信；

✧足够的安全保障掩蔽物宜到位，以保护离开办公场所的设备。

安全风险在不同场所可能有显著不同，例如，损坏、盗窃和截取，要考虑确定最合适的控制措施。

⏹设备的安全处置和再利用方针

✧包含机密信息的设备在物理上应予以摧毁，或者采用使原始信息不可获取的技术部破坏、删除、覆盖信息，而不能采用标准的删除或格式化功能；

✧包含机密信息的已损坏的设备可能需要实施风险评估，以确定这些设备是否要进行销毁、而不是送去修理或丢弃。

⏹资产移动方针

✧在未经事先授权的情况下，不允许让设备、信息或软件离开办公场所；

✧应明确识别有权允许资产移动，离开办公场所的雇员、承包方人员和供应商人员；

✧应设置设备移动的时间限制，并在返还时执行符合性检查；

✧若需要并合适，要对设备作出移出记录，当返回时，要作出送回记录；

✧应执行检测未授权资产移动的抽查，以检测未授权的记录装置，防止他们进入办公场所。

这样的抽查应按照相关规章制度执行。

应让每个人都知道将进行抽查，并且只能在法律法规要求的适当授权下执行检查。

惩罚

违背该方针可能导致：

员工被解雇、合同方或顾问的雇佣关系终止、实习人员失去继续工作的机会、员工受到经济性惩罚等；另外，这些人员的信息资源访问权以及公民权可能受到侵害，甚至遭到法律起诉。

引用标准

略

8.变更管理安全策略

发布部门

信息安全小组

生效时间

2016年11月01日

介绍

信息资源基础设施正在逐步扩大并且越来越复杂。

越来越多的人依赖网络、更多的客户服务机构、未升级和扩展的管理系统以及更多应用程序。

由于信息资源基础设施之间的互相依赖程度越来越高，因此有必要加强变更管理过程。

有时每一个信息资源组成部分需要暂停运行，按计划进行升级、维护或调整，另外也可能由于为计划的升级、维护或调整而导致暂停运行。

管理这些变更是提供坚固的、有价值的信息资源基础设施的关键组成部分。

目的

该策略的目的是以一种合理的、可预知的方式管理变更，以便员工和客户能进行相应的计划。

变更需要事先严格计划、仔细监控并要进行追踪评价，以降低对用户群的负面影响，增加信息资源的价值。

适用范围

该策略适用于安装、操作或维护信息资源的所有人员。

术语定义

略

变更

管理

安全

策略

⏹对信息资源的每一次变更，如操作系统、计算机硬件、网络以及应用程序都要服从变更管理策略，并且必须遵守变更管理程序；

⏹所有影响计算机环境设备的变更（如空调、水、热、管道、电）需要向变更管理过程的领导者报告，并与之协调处理；

⏹无论是事先有计划的变更还是事先无计划的变更必须都提交书面的变更申请；

⏹所有事先有计划的变更申请必须按照变更管理程序的规定提交，以便信息安全小组有足够的时间评审申请，确定并重新评审潜在的失败，并决定申请被批准还是延期执行；

⏹每一个事先计划的变更申请在执行前必须受到信息安全小组的正式批准；

⏹指定的信息安全小组领导在下列情况下有权拒绝任何申请：

不充分的策划、不充分的删除计划、变更的时间等会对关键的业务过程造成负面影响，或者会造成没有充分的资源可用；

⏹在变更管理程序实施前，必须完成对所有客户的通知；

⏹每一次变更必须进行变更评审，无论是计划还是未计划的，成功的还是失败的；

⏹所有变更必须保留变更管理日志，必须保留的日志包括但不限于下列内容：

✧变更的提交和执行日期；

✧所有者和保管者信息；

✧变更的特性；

✧成功或失败的标志。

⏹所有信息系统必须遵照上述规定进行信息资源的变更。

惩罚

违背该策略可能导致：

员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除；另外，这些人员还可能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉。

引用标准

略

9.病毒防范策略

发布部门

信息安全小组

生效时间

2016年11月01日

介绍

计算机安全事故的数量以及由业务中断服务恢复所导致的费用日益攀升。

实施稳固的安全策略，防止对网络和计算机不必要的访问，较早的发现并减轻安全事故可以有效地降低风险以及安全事故造成的费用。

目的

该策略的目的是描述计算机病毒、蠕虫以及特洛伊木马防御、检测以及清除的要求。

适用范围

该策略适用于使用信息资源的所有人员。

术语定义

略

病毒

防范

策略

⏹所有连接到局域网的工作站必须使用信息安全小组批准的病毒保护软件和配置；

⏹病毒保护软件必须不能被禁用或被绕过；

⏹病毒保护软件的更改不能降低软件的有效性；

⏹不能为了降低病毒保护软件的自动更新频率而对其进行更改；

⏹与局域网连接的每一个文件服务器必须使用信息安全小组批准的病毒保护软件，并要进行设置检测、清除可能感染共享文件的病毒；

⏹由病毒保护软件不能自动清除并引起安全事故的病毒，必须向信息安全小组报告。

惩罚

违背该策略可能导致：

员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除；另外，这些人员还可能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉。

引用标准

略

10.可移动代码防范策略

发布部门

信息安全小组

生效时间

2016年11月01日

介绍

XX的移动代码危害信息系统，应实施对恶意代码的监测、预防和恢复控制，以及适当的用户