信息安全策略模板27001文档格式.docx
《信息安全策略模板27001文档格式.docx》由会员分享,可在线阅读,更多相关《信息安全策略模板27001文档格式.docx(22页珍藏版)》请在冰豆网上搜索。
2.术语和定义
1)解释
信息安全
是指保护信息资产免受多种安全威胁,保证业务连续性,将安全事件造成的损失降至最小,同时最大限度地获得投资回报和商业机遇。
可用性
确保经过授权的用户在需要时可以访问信息并使用相关信息资产。
保密性
确保只有经过授权的人才能访问信息。
完整性
保护信息和信息的处理方法准确而完整。
保密信息
安全规章定义的密级信息。
正确使用和管理IT信息资源并保护这些资源使得它们拥有更好的保密性、完整性、可用性的策略。
风险评估
评估信息安全漏洞对信息处理设备带来的威胁和影响及其发生的可能性。
风险管理
以可以接受的成本,确认、控制、排除可能影响信息系统的安全风险或将其带来的危害最小化的过程。
计算机机房
装有计算机主机、服务器和相关设备的,除了安装和维护的情况外,不允许人员在里边工作的专用房间。
员工
在系统内工作的正式员工、雇佣的临时工作人员。
用户
被授权能使用IT系统的人员。
信息资产
与信息系统相关联的信息、信息的处理设备和服务。
信息资产责任人
是指对某项信息资产安全负责的人员。
合作单位
是指与有业务往来的单位,包括承包商、服务提供商、设备厂商、外包服务商、贸易伙伴等。
第三方访问
指非本单位的人员对信息系统的访问。
IT外包服务
是指企业战略性选择外部专业技术和服务资源,以替代内部部门和人员来承担企业IT系统或系统之上的业务流程的运营、维护和支持的IT服务。
安全事件
利用信息系统的安全漏洞,对信息资产的保密性、完整性和可用性造成危害的事件。
故障
是指信息的处理、传输设备运行出现意外障碍,以至影响信息系统正常运转的事件。
安全审计
通过将所选类型的事件记录在服务器或工作站的安全日志中用来跟踪用户活动的过程。
超时设置
用户如果超过特定的时限没有进行动作,就触发其他事件(如断开连接、锁定用户等)。
2)词语使用
必须
表示强制性的要求。
应当
好的做法所要达到的要求,条件允许就要实施。
可以
表示希望达到的要求。
3.引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
1)ISO/IEC27001:
2005信息技术-安全技术-信息安全管理体系要求
2)ISO/IEC17799:
2005信息技术-安全技术-信息安全管理实施细则
4.职责和权限
信息安全管控委员会:
负责对信息安全策略进行编写、评审,监督和检查公司全体员工执行情况。
5.信息安全策略
目标:
为信息安全提供管理指导和支持,并与业务要求和相关的法律法规保持一致。
1)策略下发
本策略必须得到管理层批准,并向所有员工和相关第三方公布传达,全体人员必须履行相关的义务,享受相应的权利,承担相关的责任。
2)策略维护
本策略通过以下方式进行文档的维护工作:
必须每年按照《风险评估管理程序》进行例行的风险评估,如遇以下情况必须及时进行风险评估:
a)发生重大安全事故
b)组织或技术基础结构发生重大变更
c)安全管理小组认为应当进行风险评估的
d)其他应当进行安全风险评估的情形
风险评估之后根据需要进行安全策略条目修订,并在内公布传达。
3)策略评审
每年必须参照《管理评审程序》执行公司管理评审。
4)适用范围
适用范围是指本策略使用和涵盖的对象,包括现有的业务系统、硬件资产、软件资产、信息、通用服务、物理安全区域等。
对于即将投入使用和今后规划的信息系统项目也必须参照本策略执行。
5.1.信息系统安全组织
在组织内部管理信息安全,保持可被外部组织访问、处理、沟通或管理的信息及信息处理设备的安全。
1)内部组织
●公司的管理层对信息安全承担最终责任。
管理者职责参见《信息安全管理手册》。
●公司的信息系统安全管理工作采取信息安全管控委员会统一管理方式,其他相关部门配合执行。
公司的内部信息安全组织包括信息安全管理小组,小组的人员组成以及相关职责参见《公司信息安全组织结构图》。
●各个部门之间必须紧密配合共同进行信息安全系统的维护和建设。
相关部门岗位的分工与责任参见《信息安全管理手册》。
●任何新的信息系统处理设施必须经过管理授权的过程。
并更新至《信息资产列表》。
●信息系统内的每个重要的资产需要明确所有者、使用人员。
参见《信息资产列表》。
●凡是涉及重要信息、机密信息(相关定义参见《信息资产鉴别和分类管理办法》等信息的处理,相关的工作岗位员工以及第三方都必须签署保密协议。
●应当与政府机构保持必要的联系共同协调信息安全相关问题。
这些部门包括执法部门、消防部门、上级监管部门、电信供应商等提供公共服务的部门。
●应当与相关信息安全团体保持联系,以取得信息安全上必要的支持。
这些团体包括外部安全咨询商、独立的安全技术专家等。
●信息安全管理小组每年至少进行一次信息安全风险评估工作(参照《风险评估和风险管理程序》,并对安全策略进行复审。
信息安全领导小组每年对风险评估结果和安全策略的修改进行审批。
●每年或者发生重大信息安全变化时必须参照《内部审核管理程序》执行公司内部审核。
2)外部组织
a)第三方访问是指非人员对信息系统的访问。
第三方至少包含如下人员:
Ø
硬件及软件技术支持、维护人员;
项目现场实施人员;
外单位参观人员;
合作单位人员;
客户;
清洁人员、送餐人员、快递、保安以及其它外包的支持服务人员;
b)第三方的访问类型包括物理访问和逻辑访问。
物理访问:
重点考虑安全要求较高区域的访问,包括计算机机房、重要办公区域和存放重要物品区域等;
逻辑访问:
◆主机系统
◆网络系统
◆数据库系统
◆应用系统
c)第三方访问需要进行以下的风险评估后方可对访问进行授权。
被访问资产是否会损坏或者带来安全隐患;
客户是否与有商业利益冲突;
是否已经完成了相关的权限设定,对访问加以控制;
是否有过违反安全规定的记录;
是否与法律法规有冲突,是否会涉及知识产权纠纷;
d)第三方进行访问之前必须经过被访问系统的安全责任人的审核批准,包括物理访问的区域和逻辑访问的权限。
(详见《办公室基础设备和工作环境控制程序》)
e)对于第三方参与的项目或提供的服务,必须在合同中明确规定人员的安全责任,必要时应当签署保密协议。
f)第三方必须遵守的信息安全策略以及《第三方和外包管理规定》,留对第三方的工作进行审核的权利。
5.2.资产管理
通过及时更新的信息资产目录对信息资产进行适当的保护。
1)资产责任
a)所有的信息资产必须登记入册,对于有形资产必须进行标识,同时资产信息应当及时更新。
每项信息资产在登记入册及更新时必须指定信息资产的安全责任人,信息资产的安全责任人必须负责该信息资产的安全。
b)所有员工和第三方都必须遵守关于信息设备安全管理的规定,以保护信息处理设备(包括移动设备和在非公共地点使用的设备)的安全。
2)信息分类
a)必须明确确认每项信息资产及其责任人和安全分类,信息资产包括业务过程、硬件和设施资产、软件和系统资产、文档和数据信息资产、人员资产、服务和其他资产。
(详见《信息资产列表》)。
b)必须建立信息资产管理登记制度,至少详细记录信息资产的分类、名称、用途、资产所有者、使用人员等,便于查找和使用。
信息资产应当标明适用范围。
(详见《IT设备管理规定》)。
c)应当在每个有形信息资产上进行标识。
d)当信息资产进行拷贝、存储、传输(如邮递、传真、电子邮件以及语音传输(包括电话、语音邮件、应答机)等)或者销毁等信息处理时,应当参照《信息资产鉴别和分类管理办法》或者制定妥善的处理步骤并执行。
e)对重要的资料档案要妥善保管,以防丢失泄密,其废弃的打印纸及磁介质等,应按有关规定进行处理。
5.3.人员信息安全管理
确保所有的员工、合同方和第三方用户了解信息安全威胁和相关事宜、明确并履行信息安全责任和义务,并在日常工作中支持的信息安全方针,减少人为错误的风险,减少盗窃、滥用或设施误用的风险。
1)人员雇佣
a)员工必须了解相关的信息安全责任,必须遵守《职务说明书》。
b)对第三方访问人员和临时性员工,必须遵守《第三方和外包管理规定》。
c)涉及重要信息系统管理的员工、合同方及第三方应当进行相关技术背景调查和能力考评;
d)涉及重要信息系统管理的员工、合同方及第三方应在合同中明确其信息安全责任并签署保密协议;
e)重要岗位的人员在录用时应做重要岗位背景调查。
2)雇佣中
a)管理层必须要求所有的员工、合同方及第三方用户执行信息安全的相关规定;
b)应当设定信息安全的相关奖励措施,任何违反信息安全策略的行为都将收到惩戒,具体执行办法参见《信息安全奖惩规定》;
c)将信息安全培训加入员工培训中,培训材料应当包括下列内容:
信息安全策略
信息安全制度
相关奖惩办法
d)应当按下列群体进行不同类型的信息安全培训:
全体员工
需要遵守信息安全策略、规章制度和各项操作流程的第三方人员
e)信息安全培训必须至少每年举行一次,让不同部门的人员能受到适当的信息安全培训。
必须参加计算机信息安全培训的人员包括:
计算机信息系统使用单位的安全管理责任人;
重点单位或核心计算机信息系统的维护和管理人员;
其他从事计算机信息系统安全保护工作的人员;
能够接触到敏感数据或机密信息的关键用户。
3)人员信息安全管理原则
a)员工录用时,人事部门或调入部门必须及时书面通知信息技术部门添加相关的口令、帐号及权限等并备案。
b)员工在岗位变动时,必须移交调出岗位的相关资料和有关文档,检查并归还在借出的重要信息。
人事部门或调入部门必须及时书面通知信息技术部门修改和删除相关的口令、帐号及权限等。
c)员工在调离时必须进行信息安全检查。
调离人员必须移交全部资料和有关文档,删除自己的文件、帐号,检查并归还在借出的保密信息。
由人事部门书面通知信息技术部门删除相关的口令、帐号、权限等信息。
d)必须每半年进行用户帐户使用情况的评审,凡是半年及半年以上未使用的帐号经相关部门确认后删除。
如有特殊情况,必须事先得到部门经理及安全责任人的批准。
e)对第三方访问人员和临时性员工,也必须执行相关规定。
5.4.物理和环境安全
1)安全区域
防止对工作场所和信息的非法访问、破坏和干扰。
a)必须明确划分安全区域。
安全区域至少包括各计算机机房、IT部门、财务、人事等部门。
所有可以进出安全区域的门必须能防止XX的访问,如使用控制装置、栅栏、监控和报警装备、锁等。
b)无人值守的门和窗户必须上锁,对于直接与外部相连的安全区域的窗户必须考虑窗户的外部保护;
c)安全边界的所有门均应被监视并经过检验,它和墙一起按照合适的地方、国内和国际标准建立所需的抵抗程度;
他们应用故障保护方式按照局部放火规则来运行。
d)应按照地方、国内和国际标准建立适当的入侵检测体系,并定期检测以覆盖所有的外部门窗;
要一直对空闲区域发出警报;
其他区域要提供掩护方法,例如计算机室或通信室;
e)安全区域必须配备充足的安全设备,例如热敏和烟气探测器、火警系统、灭火设备,并对设备定期检查。
f)安全区域进出控制采用合适的电子卡或磁卡,并能双向控制。
g)对安全区域的访问必须进行记录和控制,以确保只有经过授权的人员才可以访问。
对机房的访问管理参见《机房安全管理规定》,其它区域可参照执行。
h)重要设备必须放在安全区域内进行保护,禁止在公共办公区域防止重要的信息处理设施;
i)应当控制外来人员对公共办公区域的访问,第三方访问规定参见《第三方和外包管理规定》
j)关键和敏感设施应当存放在与公共办公区域相对隔离的场地,并应设计并实施保护。
k)危险或易燃物品应当摆放在离安全区域安全距离之外,机房应当参见《机房安全管理规定》中的要求执行值班或巡检工作任务。
l)备份介质应当和主场地有一段的安全距离,要考虑信息设备面临的可能的安全威胁,参考《业务连续性管理程序》的内容制定对应的业务连续性计划,并要定期演练。
m)人员离开安全区域时应当及时上锁。
n)除非经过主管部门领导授权,在安全区域不允许使用图象、视频、音频或其它记录设备。
o)外部人员访问安全区域时应当由员工陪同,并填写《机房出入登记表》,对访问时间、操作内容等加以记录。
p)出入机房的设备必须填写《机房设备出入登记表》。
2)设备安全
防止资产的丢失、损坏或被盗,以及对组织业务活动的干扰。
a)计算机机房必须提供环境保障,机房建设必须遵照相关的机房建设规范进行。
如中华人民共和国国家标准GB50174《电子计算机机房设计规范》,必须提供:
稳定的电源供给
可靠的空气质量控制(温度,湿度,污染度)
防火,防水,防高温,放雷
b)应尽量减少对机房不必要的访问,在机房内工作必须遵守《机房安全管理规定》。
c)各计算机机房是重要的信息处理场所,必须严格执行有关安全保密制度和规定,并防止重要信息的泄露,保证业务数据、信息、资料的准确、安全可靠。
d)计算机机房应列为公司重点防火部位,按照规定配备足够数量的消防器材,并定期检查更换。
机房工作人员要熟悉机房消防用品的存放位置及使用方法,必须掌握防火设施的使用方法和步骤;
要熟悉设备电源和照明用电以及其它电气设备总开关位置,掌握切断电源的方法和步骤。
在遇到突发紧急情况时,必须以保护人身安全为首要目标。
e)定期对机房供电线路及照明器具进行检查,防止因线路老化短路造成火灾。
f)应当按照设备维护要求的时间间隔和规范,对设备进行维护。
g)第三方支持和维护人员对重要设备技术支持前,必须经过安全责任人的授权或审批。
并且在对重要设备现场实施过程中必须有相关人员全程陪同,详细规定参见《第三方和外包管理规定》。
h)设备的安全与重用应当按规定的操作程序来处理,特别是包含重要信息的存储设备,应按照相关规定,以确定是否销毁、修理或弃用该设备。
对弃置的存储有敏感信息的存储设备,必须将其销毁,或重写数据,而不能只是使用标准的删除功能进行数据删除。
详细规定参见《移动存储介质使用规定》。
i)当员工离开时,对于载有重要信息的纸张和可移动的存储介质,应当妥善保管。
j)远程办公人员有责任保护移动设备的安全,未经批准,不得在公共场所访问内部网络。
k)未经信息安全责任人授权,不允许将载有重要信息的设备、信息或软件带离工作场所。
机房内设备的出入必须填写《机房出入登记表》。
5.5.通信和操作管理
1)操作程序和责任
确保信息处理设施的正确和安全操作
a)对于日常维护工作必须按照规定的系统操作流程进行,操作流程应当指明具体执行每个作业的说明。
操作流程必须成文,并只有经授权才可以修改。
b)必须建立并执行信息处理设备和信息系统变更管理流程(具体参照《变更管理流程》),形成文档备案。
c)处理敏感信息资产时,可以考虑分离职责,如果不实施分离,则应当对处理操作予以记录,并定期进行监督。
d)应当分离开发、测试与运营环境,敏感数据不可拷贝到测试环境中,测试完成后应当及时清理测试环境。
2)第三方服务交付管理
实施并保持信息安全的适当水平,确保第三方交付的服务符合协议要求。
a)应当确保第三方实施、运行并保持第三方服务交付协议中包括商定的安全布置、服务定义和交付等级。
应定期审核第三方的服务提交的报告和检查对协议的符合度。
重要的第三方服务必须签订服务合同和第三方保密协议。
b)应当在第三方服务协议中包含服务变更管理的内容。
变更内容包括但不限于:
任何新应用、系统、服务的开发
对现有应用、系统、服务的更改或更新
与信息安全有关的新的控制措施
网络环境或其它新技术的使用
开发环境或物理环境的变更
供应商的变更
3)系统策划与验收
最小化系统失效的风险
a)应为系统的性能和容量要求做预先的规划和准备,应反映对未来容量需求的推测,以减少系统过载的风险。
b)应建立新信息系统、系统升级和新版本的验收准则,验收前应当完成设计审核、缺陷分析及安全测试。
必须将验收标准写入到项目合同中。
4)防范恶意和移动代码
保护软件和信息的完整性。
a)所有服务器和个人计算机都必须激活防病毒软件,必须及时更新防病毒代码库。
详细规定参见《防病毒管理程序》。
b)系统内的服务器和个人计算机必须使用可信来源的软件,应对软件进行病毒检测后统一保存。
c)员工应当到指定的空间下载软件,不得私自安装授权使用软件列表之外的软件。
d)必须对所有的电子邮件附件进行病毒扫描,也不要随意打开来历不明的邮件附件。
e)应当开展对一般员工的预防病毒培训。
员工一旦发现或怀疑有PC或服务器被病毒感染,必须马上断开网络并进行全盘扫描,,必须立即通知技术部门。
5)备份
保持信息和信息处理设施的完整性和可用性。
a)管理员应当对重要的应用系统、操作系统、配置文件及日志等制订备份策略,并要定期对备份数据进行测试。
如果是涉密信息,必须对备份信息实施加密。
b)所有员工要定期对个人电脑上的重要数据进行备份,以减少不必要的损失。
c)备份应当存储在与主设备有足够距离的地点,该地点应安全可靠,应同主设备场地使用同等的安全等级。
6)网络安全管理
确保网络中的信息和支持性基础设施得到保护。
a)应当对重要的线路、网络设备采用冗余措施,以维持关键服务的可用性。
b)网络管理员应当参照《访问控制程序》对网络和网络服务进行充分的管理和控制,并采用网管工具对通讯线路、网络设备、网络流量进行实时的监控和预警。
c)处理敏感信息的计算机应当与局域网物理隔离,应当采用适当的加密技术。
7)介质处理
防止对资产的未授权泄露、修改、移动或损坏,及对业务活动的的干扰。
a)应当妥善记录移动介质。
不得将载有重要信息的存储介质随意存放,未经安全责任人授权,不得带出办公地点。
b)如果介质上的内容不再需要,应当立即清除。
对于备份或存放有重要信息或软件的存储介质,在销毁时,应当进行格式化或重写数据,避免不必要的泄露。
c)存放业务应用系统及重要信息的介质,严禁外借,确因工作需要,须报请部门领导批准。
d)对需要长期保存的介质,必须在介质老化前进行转储,以防止因介质失效造成损失。
e)应限制只有系统管理员才可访问系统文档。
应对的所有信息数据分类标识,建立信息处置、存储、分发的规程。
8)信息交换
应保持组织内部或组织与外部组织之间交换信息和软件的安全。
a)应当依据《信息资产鉴别和分类管理办法》、《信息安全交流控制程序》,保护信息在发布、交换时的安全。
b)员工必须遵守国家有关信息管理的法规,不得利用网络危害国家安全、泄露国家秘密,不得违反中华人民共和国现行法律和法规,不得侵犯国家社会集体的和公民的合法权益。
c)敏感信息应当通过专用的线路传输。
未经安全责任人授权,员工不得与外部联网的计算机信息系统传输涉及重要信息的文件。
d)员工不得利用网络对他人进行侮辱、诽谤、骚扰;
不得侵害他人合法权益;
不得侵犯他人的名誉权,肖像权、姓名权等人身权利;
不得侵犯他人的商誉、商标、版权、专利、专有技术等各种知识产权。
e)在通过邮政等物理传输方式传输时,应保护包含重要信息的介质的安全。
f)应控制并记录允许操作业务系统的用户名单,未经安全责任人授权,不得随意变更访问限制和共享信息。
9)监视和审计
检测XX的信息处理活动。
a)公司制定《IT设备设施维护管理程序》、《信息安全技术检查管理规定》对信息系统活动进行监控。
b)应当使用监视程序以确保用户只执行被明确授权的活动,审计内容应细化到个人而不是共享帐号。
审计至少包括用户ID、系统日志、操作记录等。
c)可以实施安全产品或调整配置,以记录和审计用户活动、系统、安全产品和信息安全事件产生的日志,并按照约定的期限保留,以支持将来的调查和访问控制监视。
d)可以在内网中配置日志服务器,专门收集主机、网络设备、安全产品的日志,以避免日志被破坏或覆盖。
e)应在网络中配置时钟服务器,被审计的信息设备应同时钟服务器的时间保持同步,以避免审计上的漏洞。
5.6.信息系统访问控制
1)访问控制的业务要求
控制对信息的访问。
a)应当明确规定每个用户以及相应用户组在各个系统中访问控制规则与权限,每半年要评审用户和访问权限的设置,详细规定参见《访问控制程序》。
2)用户访问管理
确保授权用户的访问,并预防信息系统的非授权访问。
a)禁止用户帐号共享,普通用户不能在一个系统上拥有多个帐号,系统管理员不能在一个系统上拥有多个相同角色的帐号。
每个用户应当在不同的信息系统上遵循统一的命名方式且使用相同的用户帐号,统一的命名方式应当参考域(邮箱)帐号命名规则。
详细规定参见《公司邮箱管理办法》
b)所有对信息系统的访问必须遵照《访问控制程序》。
除非员工获得该流程规定的相关部门授权,否则不准在网络上给外单位和个人开户,也不准外单