信息安全制度Word文档下载推荐.docx
《信息安全制度Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《信息安全制度Word文档下载推荐.docx(35页珍藏版)》请在冰豆网上搜索。
5.1.1本制度的诠释
第4条所有带有“必须”的条款都是强制性的。
除非事先得到安全管理委员会的认可,否则都要坚决执行。
其它的条款则是强烈建议的,只要实际可行就应该被采用。
第5条所有员工都受本制度的约束,各部门领导有责任确保其部门已实施足够的安全控制措施,以保护信息安全。
第6条各部门的领导有责任确保其部门的员工了解本安全管理制度、相关的标准和程序以与日常的信息安全管理。
第7条安全管理代表(或其指派的人员)将审核各部门安全控制措施实施的准确性和完整性,此过程是公司例行内部审计的一部分。
5.1.2制度发布
第8条所有制度在创建和更新后,必须经过相应管理层的审批。
制度经批准之后必须通知所有相关人员。
5.1.3制度复审
第9条当环境改变、技术更新或者业务本身发生变化时,必须对安全制度重新进行评审,并作出相应的修正,以确保能有效地保护公司的信息资产。
第10条安全管理委员会必须定期对本管理办法进行正式的复审,并根据复审所作的修正,指导相关员工采取相应的行动。
6组织安全方面
6.1组织内部安全
6.1.1信息安全体系管理
第11条公司成立安全管理委员会,安全管理委员会是公司信息安全管理的最高决策机构,安全管理委员会的成员应包括总裁室主管领导、公司安全审计负责人、公司法律负责人等。
第12条信息安全管理代表由信息安全管理委员会指定,一般应包含稽核部稽核岗、信息管理部信息安全相关岗位与分公司岗。
第13条安全管理委员会通过清晰的方向、可见的承诺、详细的分工,积极地支持信息安全工作,主要包括以下几方面:
1)确定信息安全的目标符合公司的要求和相关制度;
2)阐明、复查和批准信息安全管理制度;
3)复查信息安全管理制度执行的有效性;
4)为信息安全的执行提供明确的指导和有效的支持;
5)提供信息安全体系运作所需要的资源
6)为信息安全在公司执行定义明确的角色和职责;
7)批准信息安全推广和培训的计划和程序;
8)确保信息安全控制措施在公司内被有效的执行。
第14条安全管理委员会需要对内部或外部信息安全专家的建议进行评估,并检查和调整建议在公司内执行的结果。
第15条必须举行信息安全管理会议,会议成员包括安全管理委员会、安全管理代表和其他相关的公司高层管理人员。
第16条信息安全管理会议必须每年定期举行,讨论和审批信息安全相关事宜,具体包括以下内容
1)复审本管理制度的有效性
2)复审技术变更带来的影响
3)复审安全风险
4)审批信息安全措施与程序
5)审批信息安全建议
6)确保任何新项目规划已考虑信息安全的需求
7)复审安全检查结果和安全事故报告
8)复审安全控制实施的效果和影响
9)宣导和推行公司高层对信息安全管理的指示
6.1.2信息安全职责分配
第17条信息管理部门作为信息安全管理部门,负责信息安全管理策略制定与实施,其主要职责:
(一)负责全公司信息安全管理和指导;
(二)牵头制订全公司信息安全体系规范、标准和检查指引,参与我司信息系统工程建设的安全规划;
(三)组织全公司安全检查;
(四)配合全公司安全审计工作的开展;
(五)牵头组织全公司安全管理培训;
(六)负责全公司安全方案的审核和安全产品的选型、购置。
(七)依据本规定、安全规范、技术标准、操作手册实施各类安全策略。
(八)负责各类安全策略的日常维护和管理。
第18条各分公司信息管理部门作为信息安全管理部门,其主要职责:
(一)根据本规定、信息安全体系规范、标准和检查指引,组织建立安全管理流程、手册;
(二)组织实施内部安全检查;
(三)组织安全培训;
(四)负责机密信息和机密资源的安全管理;
(五)负责安全技术产品的使用、维护、升级;
(六)配合安全审计工作的开展;
(七)定期上报本单位信息系统安全情况,反馈安全技术和管理的意见和建议。
(八)依据本规定、安全规范、技术标准、操作手册实施各类安全策略。
(九)负责各类安全策略的日常维护和管理。
6.1.3信息处理设备的授权
第19条新设备的采购和设备部署的审批流程应该充分考虑信息安全的要求。
第20条新设备在部署和使用之前,必须明确其用途和使用范围,并获得安全管理委员会的批准。
必须对新设备的硬件和软件系统进行详细检查,以确保它们的安全性和兼容性。
第21条除非获得安全管理委员会的授权,否则不允许使用私人的信息处理设备来处理公司业务信息或使用公司资源。
6.1.4独立的信息安全审核
第22条必须对公司信息安全控制措施的实施情况进行独立地审核,确保公司的信息安全控制措施符合管理制度的要求。
审核工作应由公司的审计部门或专门提供此类服务的第三方组织负责执行。
负责安全审核的人员必须具备相应的技能和经验。
第23条独立的信息安全审核必须每年至少进行一次。
6.2第三方访问的安全性
6.2.1明确第三方访问的风险
第24条必须对第三方对公司信息或信息系统的访问进行风险评估,并进行严格控制,相关控制须考虑物理上和逻辑上访问的安全风险。
只有在风险被消除或降低到可接受的水平时才允许其访问。
第25条第三方包括但不限于:
1)硬件和软件厂商的支持人员和其他外包商
2)监管机构、外部顾问、外部审计机构和合作伙伴
3)临时员工、实习生
4)清洁工和保安
5)公司的客户
第26条第三方对公司信息或信息系统的访问类型包括但不限于:
1)物理的访问,例如:
访问公司大厦、职场、数据中心等;
2)逻辑的访问,例如:
访问公司的数据库、信息系统等;
3)与第三方之间的网络连接,例如:
固定的连接、临时的远程连接;
第27条第三方所有的访问申请都必须经过信息安全管理代表的审批,只提供其工作所须的最小权限和满足其工作所需的最少资源,并且需要定期对第三方的访问权限进行复查。
第三方对重要信息系统或地点的访问和操作必须有相关人员陪同。
第28条公司负责与第三方沟通的人员必须在第三方接触公司信息或信息系统前,主动告知第三方的职责、义务和需要遵守的规定,第三方必须在清楚并同意后才能接触相应信息或信息系统。
所有对第三方的安全要求必须包含在与其签订的合约中。
6.2.2当与客户接触时强调信息安全
第29条必须在允许客户访问信息或信息系统前识别并告知其需要遵守的安全需求。
采取相应的保护措施保护客户访问的信息或信息系统。
6.2.3与第三方签订合约的安全要求
第30条与第三方合约中应包含必要的安全要求,如:
访问、处理、管理公司信息或信息系统的安全要求。
7信息资产与人员安全
7.1资产责任
7.1.1资产的清单
第31条应清楚识别所有的资产,所有与信息相关的重要资产都应该在资产清单中标出,并与时维护更新。
这些资产包括但不限于∶
1)信息:
数据库和数据文件、系统文档、用户手册、培训材料、操作手册、业务连续性计划、系统恢复计划、备份信息和合同等。
2)软件:
应用软件、系统软件、开发工具以与实用工具等。
3)实体:
计算机设备(处理器、显示器、笔记本电脑、调制解调器等)、通讯设备(路由器、程控电话交换机、传真机等)、存储设备、磁介质(磁带和磁盘等)、其它技术设备(电源、空调器等)、机房等。
4)服务:
通讯服务(专线)。
第32条资产清单必须每年至少审核一次。
在购买新资产之前必须进行安全评估。
资产交付后,资产清单必须更新。
资产的风险评估必须每年至少一次,主要评估当前已部署安全控制措施的有效性。
第33条实体资产需要贴上适当的标签。
7.1.2资产的管理权
第34条所有资产都应该被详细说明,必须指明具体的管理者。
管理者可以是个人,也可以是某个部门。
管理者是部门的资产则由部门主管负责监护。
第35条资产管理者的职责是:
1)确定资产的保密等级分类和访问管理办法;
2)定期复查资产的分类和访问管理办法。
7.1.3资产的合理使用
第36条必须识别信息和信息系统的使用准则,形成文件并实施。
使用准则应包括:
1)使用范围
2)角色和权限
3)使用者应负的责任
4)与其他系统交互的要求
第37条所有访问信息或信息系统的员工、第三方必须清楚要访问资源的使用准则,并承担他们的责任。
公司的所有信息处理设备(包括个人电脑)只能被使用于工作相关的活动,不得用来炒股、玩游戏等。
滥用信息处理设备的员工将受到纪律处分。
7.2信息分类
7.2.1信息分类原则
第38条所有信息都应该根据其敏感性、重要性以与业务所要求的访问限制进行分类和标识。
第39条信息管理者负责信息的分类,并对其进行定期检查,以确保分类的正确。
当信息被发布到公司外部,或者经过一段时间后信息的敏感度发生改变时,信息需要重新分类。
第40条信息的保密程度从高到低分为绝密、机密、秘密和非保密四种等级。
以电子形式保存的信息或管理信息资产的系统,需根据信息的敏感度进行标识。
含有不同分类信息的系统,必须按照其中的最高保密等级进行分类。
7.2.2信息标记和处理
第41条必须建立相应的保密信息处理规范。
对于不同的保密等级,应明确说明如下信息活动的处理要求:
1)复制
2)保存和保管(以物理或电子方式)
3)传送(以邮寄、传真或电子邮件的方式)
4)销毁
第42条电子文档和系统输出的信息(打印报表和磁带等)应带有适当的信息分类标记。
对于打印报表,其保密等级应显示在每页的顶端或底部。
第43条将保密信息发送到公司以外时,负责传送信息的工作人员应在分发信息之前,先告知对方文档的保密等级与其相应的处理要求。
7.3人员安全
7.3.1信息安全意识、教育和培训
第44条所有公司员工和第三方人员必须接受包括安全性要求、信息处理设备的正确使用等内容的培训,并应该与时了解和学习公司对安全管理制度和标准的更新。
第45条应该至少每年向员工提供一次安全意识培训,其内容包括但不限于:
1)安全管理委员会下达的安全管理要求
2)信息保密的责任
3)一般性安全守则
4)信息分类
5)安全事故报告程序
6)电脑病毒爆发时的应对措施
7)灾难发生时的应对措施
第46条应该对系统管理员、开发人员进行安全技能方面的培训,至少每年一次。
员工和第三方人员在开始工作后90天内,必须进行技术和安全方面的培训。
第47条灾难恢复演习应至少每年举行一次。
7.3.2惩戒过程
第48条违反公司安全管理制度、标准和程序的员工将受到纪律处分。
在对信息安全事件调查结束后,必须对事件中的相关人员根据公司的惩戒规定进行处罚。
纪律处分包括但不限于:
1)通报批评
2)警告
3)记过
4)解除劳动合同
5)法律诉讼
第49条当员工在接受可能涉与解除劳动合同和法律诉讼的违规调查时,其直接领导应暂停受调查员工的工作职务和其访问权限,包括物理访问、系统应用访问和网络访问等。
员工在接受调查时可以陈述观点,提出异议,并有进一步申诉的权力。
7.3.3资产归还
第50条在终止雇佣、合同或协议时,所有员工与第三方人员必须归还所使用的全部公司资产。
需要归还的资产包括但不限于:
1)帐号和访问权限
2)公司的电子或纸质文档
3)公司购买的硬件和软件资产
4)公司购买的其他设备
第51条如果在非公司资产上保存有公司的资产,必须在带出公司前归还或删除公司的资产。
7.3.4删除访问权限
第52条在终止或变更雇佣、合同、协议时,必须删除所有员工与第三方人员对信息和信息系统的访问权限,或根据变更进行相应的调整。
所有删除和调整操作必须在最后上班日之前完成。
第53条对于公用的资源,必须进行与时的调整,比如:
公用的帐号必须立即更改密码。
第54条在已经确定员工或第三方终止或变更意向后,必须与时对他们的权限进行限制,只保留终止或变更所需要的权限。
8物理和环境安全方面
8.1安全区域
8.1.1物理安全边界
第55条在公司的物理环境里,应该对需要保护的区域根据其重要性划分为不同的安全区域。
特别是有重要设备的安全区域(比如机房)应该部署相应的物理安全控制。
第56条在大厦的统一入口处必须设立有专人值守的接待区域,在特别重要的安全区域也应该设立类似的接待区域。
第57条在非办公时间内,重要的安全区域必须安排保安定时巡视。
任何时候,公司内必须至少有一位保安值班。
保安值班表应最少每月调整一次。
8.1.2安全区域访问控制
第58条在非办公时间,所有进入安全区域的入口都应该受到控制,比如上锁。
任何时候,重要安全区域的所有出入口必须受到严格的访问控制,确保只有授权的员工才可以进入此区域。
第59条对于设有访问控制的安全区域,必须定期审核并与时更新其访问权限。
所有员工都必须佩戴一个身份识别通行证,有责任确保通行证的安全并不得转借他人。
员工离职时必须交还通行证,同时取消其所有访问权限。
第60条所有来宾的有关资料都必须详细记载在来宾进出登记表中,并向获准进入的来宾发放来宾通行证。
同时,必须有相应的程序以确保回收所发放的来宾通行证。
来宾进出登记表必须至少保留1年,记录内容应包括但不限于:
1)来宾姓名
2)来宾身份
3)来宾工作单位
4)来访事由
5)负责接待的员工
6)来宾通行证号码
7)进入的日期和时间
8)离开的日期和时间
8.1.3办公场所和设施安全
第61条放置敏感或重要设备的区域(例如机房)应尽量不引人注目,给外面的信息应尽量最少,不应该有明显的标志指明敏感区域的所在位置和用途。
这些区域还应该被给予相应的保护,保护措施包括但不限于:
1)所有出入口必须安装物理访问控制措施
2)使用来宾登记表以便记录来访信息
3)严禁吸烟
第62条必须对支持关键性业务活动的设备提供足够的物理访问控制。
所有安全区域和出入口必须通过闭路电视进行监控。
普通会议室或其它公众场合必须与安全区域隔离开来。
无人值守的时候,办公区中的信息处理设备必须从物理上进行保护。
门和窗户必须锁好。
8.1.4防范外部和环境威胁
第63条办公场所和机房的设计和建设必须充分考虑火灾、洪水、地震、爆炸、骚乱等天灾或人为灾难,并采取额外的控制措施加以保护。
第64条机房必须增加额外的物理控制,选取的场地应尽量安全,并尽可能避免受到灾害的影响。
机房必须有防火、防潮、防尘、防盗、防磁、防鼠等设施。
第65条机房建设必须符合国标2887-89《计算机场地技术条件》和9361-88《计算站场地安全要求》中的要求。
第66条机房的消防措施必须满足以下要求:
1)必须安装消防设备,并定期检查。
2)应该指定消防指挥员。
3)机房内严禁存放易燃材料,每周例行检查一次。
4)必须安装烟感与其他火警探测器和灭火装置。
应每季度定期检查这些装备,确保它们能有效运作。
5)必须在明显位置张贴火灾逃生路线图、灭火设备平面放置图以与安全出口的位置。
6)安全出口必须有明显标识。
7)应该训练员工熟悉使用消防设施。
8)紧急事件发生时必须提供紧急照明。
9)所有疏散路线都必须时刻保持通畅。
10)必须保证防火门在火灾发生时能够开启。
11)每年应至少举行一次火灾撤离演习,使工作人员熟知火灾撤离的过程。
8.1.5在安全区域工作
第67条员工进入机房的访问授权,不能超过其工作所需的范围。
必须定期检查访问权限的分配并与时更新。
机房的访问权限应不同于进入大楼其它区域的权限。
第68条所有需要进入机房的来宾都必须提前申请。
必须维护和与时更新来宾记录,以掌握来宾进入机房的详细情况。
记录中应详细说明来宾的姓名、进入与离开的日期与时间,申请者以与进入的原因。
机房来宾记录至少保存一年。
来宾必须得到明确许可后,在专人陪同下才能进入机房。
第69条机房的保护应在专家的指导下进行,必须安装合适的安全防护和检测装置。
机房内严禁吸烟、饮食和拍摄。
8.1.6机房操作日志
第70条必须记录机房管理员的操作行为,以便其行为可以追踪。
操作记录必须备份和维护并妥善保管,防止被破坏。
第71条在机房值班人员交接时,上一班值班人员所遗留的问题以与从事的工作应明确交待给下一班,保证相关操作的延续性。
8.2设备安全
8.2.1设备的安置与保护
第72条必须对设备实施安全控制,以减少环境危害和非法的访问。
应该考虑的因素包括但不限于:
1)水、火
2)烟雾、灰尘
3)震动
4)化学效应
5)电源干扰、电磁辐射
第73条设备必须放置在远离水灾的地方,并根据需要考虑安装漏水警报系统。
应急开关如电闸、煤气开关和水闸等都必须清楚地做好标识,并且能容易访问。
设备都应该装有合适的漏电保险丝或断路器进行保护。
放置设备的区域必须满足厂商提供的设备环境要求。
设备的操作必须遵守厂商提供的操作规范。
通信线路和电缆必须从物理上进行保护。
8.2.2支持设施
第74条支持设施能够支持物理场所、设备等的正常运作,比如:
电力设施、空调、排水设施、消防设施、静电保护设施等。
必须采取保护措施使设备免受电源故障或电力异常的破坏。
必须验证电力供应是否满足厂商设备对电源的要求。
每年应至少对支持设施进行一次安全检查。
工作环境中增加新设备时,必须对电力、空调、地板等支持设施的负荷进行审核。
必须设置后备电源,例如不间断电源()或发电机。
对需要配备后备电源的设备装置进行审核,确保后备电源能够满足这些设备的正常工作。
每年必须至少对备用电源/进行一次测试。
应急电源开关应位于机房的紧急出口附近,以便紧急状况发生时可以迅速切断电源。
电缆应根据供电电压和频率的不同而相互隔离。
所有电缆都应带有标签,标签上的编码应记录归档。
电缆应从物理上加以保护。
8.2.3设备维护
第75条所有生产设备必须有足够的维护保障,关键设备必须提供7x24的现场维护支持。
所有生产设备必须定期进行预防性维护。
只有经过批准的、受过专业培训的工作人员才能进行维护工作。
设备的所有维护工作都应该记录归档。
如果设备需要搬离安全区域进行修理,必须获得批准并卸载其存储介质。
第76条必须建立设备故障报告流程。
对于需要进行重大维修的设备,流程还应该包含设备检修的报告,与换用备用设备的流程。
8.2.4管辖区域外设备安全
第77条笔记本电脑用户必须保护好笔记本电脑的安全,防止笔记本电脑损坏或被偷窃。
第78条如果将设备带出公司,设备拥有者必须亲自或指定专人保护设备的安全。
设备拥有者必须对设备在公司场所外的安全负责。
8.2.5设备的安全处理或再利用
第79条再利用或报废之前,设备所含有的所有存储装置(比如硬盘等)都必须通过严格检查,确保所有敏感数据和软件已被删除或改写,并且不可能被恢复。
应该通过风险评估来决定是否彻底销毁、送修还是丢弃含有敏感数据的已损坏设备。
9通信和操作管理方面
9.1操作程序和职责
9.1.1规范的操作程序
第80条必须为所有的业务系统建立操作程序,其内容包括但不限于:
1)系统重启、备份和恢复的措施
2)一般性错误处理的操作指南
3)技术支持人员的联系方法
4)与其它系统的依赖性和处理的优先级
5)硬件的配置管理
第81条操作程序必须征得管理者的同意才能对其进行修改。
操作程序必须与时更新,更新条件包括但不限于:
1)应用软件的变更
2)硬件配置的变更
9.1.2变更控制
第82条必须建立变更管理程序来控制系统的变更,所有变更都必须遵守变更管理程序的要求。
程序内容包括但不限于∶
1)识别和记录变更请求
2)评估变更的可行性、变更计划和可能带来的潜在影响
3)变更的测试
4)审批的流程
5)明确变更失败的恢复计划和责任人
6)变更的验收
第83条重要变更必须制定计划,并在测试环境下进行足够的测试后,才能在生产系统中实施。
所有变更必须包括变更失败的应对措施和恢复计划。
所有变更必须获得授权和批准,变更的申请和审批不得为同一个员工。
对变更需要涉与的硬件、软件和信息等对象都应标识出来并进行相应评估。
变更在实施前必须通知到相关人员。
第84条变更的实施应该安排在对业务影响最小的时间段进行,尽量减少对业务正常运营的影响。
在生产系统安装或更新软件前,必须对系统进行备份。
变更完成后,相关的文档(如系统需求文档、设计文档、操作手册、用户手册等)必须得到更新,旧的文档必须进行备份。
第85条必须对变更进行复查,以确保变更没有对原来的系统环境造成破坏。
必须完整记录整个变更过程,并将其妥善保管。
变更的记录应至少每月复查一次。
9.1.3职责分离
第86条系统管理员和系统开发人员的职责必须明确分开。
同一处理过程中的重要任务不应该由同一个人来完成,以防止欺诈和误操作的发生。
第87条所有职责分离的控制必须记录归档,作为责任分工的依据。
无法采取职责分离时,必须采取其它的控制,比如活动监控、审核跟踪评估以与管理监督等。
9.1.4开发、测试和生产系统分离
第88条不应给开发人员提供超过其开发所需范围的权限。
如果开发人员需要访问生产系统,必须经过运营人员的授权和管理。
第89条生产、测试和开发应分别使用不同的系统环境。
开发人员不得在生产环境中更改编码或操作生产系统。
不得在生产系统上擅自安装开发工具(比如编译程序与其他系统公用程序等),并做好已有开发工具的访问控制。
开发和测试环境使用的测试数据不能包含有敏感信息。
9.1.5事件管理程序
第90条必须建立事件管理程序,并根据事件影响的严重程度制订其所属类别,同时说明相应的处理方法和负责人。
必须根据事件的严重程度,定义响应的范围、时间和完成事件处理的时间。
第91条系统的修复必须得到系统管理者的批准方可执行。
第92条所有事
升级会员 