3人员安全评估与加固服务报告.docx
《3人员安全评估与加固服务报告.docx》由会员分享,可在线阅读,更多相关《3人员安全评估与加固服务报告.docx(10页珍藏版)》请在冰豆网上搜索。
3人员安全评估与加固服务报告
xxx
人员安全评估及加固服务报告
文档信息
文档名称
主机安全评估及加固服务报告
保密级别
文档版本编号
制作人
制作日期
复审人
复审日期
适用范围
分发控制
编号
读者
文档权限
与文档的主要关系
1
创建、修改、读取
负责编制、修改、审核
2
读取、审核
最终用户
版本控制
时间
版本
说明
修改人
V0.1
撰写文档
1
项目概述
1.1评估范围
本次对xxxxxx人力资源招聘、第三方人员管理、培训与考核进行评估。
2评估方法
通过采集信息与访谈形式,从管理角度和技术角度对业务安全进行评估。
3实施内容
3.1实施时间
3.2实施人员名单
名单
项目角色
联系方法
3.3人力资源评估内容
3.3.1人员招聘
人员招聘按照招聘计划,依照xxx相关流程,面向校园和社会开展招聘工作。
3.3.2人员筛选
Ø从候选简历中挑选出初步符合所招岗位的人员进行面试、笔试和复试
Ø对高端职位和关键性岗位的应聘者,审查其履历的真实性。
Ø察看申请人与原单位的解除劳动协议书。
Ø对身份、背景、专业资格和资质等进行审查,对其所具有的技术技能进行考核。
Ø对其身份进行确认。
3.3.3人员录用
Ø人员录用时签订劳动合同,对于可接触较多公司机密或更高级别信息资产或特殊工种的人员,需要签订保密协议的员工由本人与xxx签订保密协议。
Ø在新员工入职时,xxx会根据需要为相应员工配备必要的办公设备,包括电脑(笔记本或台式机),电话机,其它办公用品;经济信息中心为该员工所处部门、工作性质为其设置相应的办公网访问权限。
3.3.4人员转岗、离职
Ø当人员在本部门转岗时,首先应进行工作交接,并根据岗位需要分配权限,提交申请,批准后由质量部系统人员重新设定访问权限;当人员在不同部门转岗时,首先应进行工作交接,归还原部门信息资产,申请并撤消原所在部门权限;到新部门后重新领用,并根据新部门岗位需要,申请重新分配访问权限。
Ø人员离职时,应按照公司离职流程,由部门负责人及时经济信息中心相关系统管理员帐号、邮件。
Ø人员离职时应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。
Ø如果保留设备中的信息以留给新入职的员工使用,在设备重用时由重用人对设备中的信息进行确认。
信息处理方式包括:
信息删除、保留信息给他人使用、将信息拷备出来另行存储等。
Ø人员离职或转岗时必须进行工作交接,并填写《工作交接记录表》;经人事处,所属部门以及经济信息中心进行共同进行会签并填写《员工离职会签表》后方可离职。
3.4第三方人员管理评估内容
3.4.1定义
第三方是指所有进入xxx内部提供相关技术服务的非xxx人员(包括但不限于供应商、合作厂商、服务商)。
3.4.2职责
第三方管理部门或人员一般为xxx信息系统相关外包服务项目管理部门或人员,职责:
1)按照权限最小的原则,负责第三方权限的申请工作。
2)按照xxx的相关规定选择声誉良好,值得信赖的第三方服务商。
3)负责对第三方的信息安全培训以及第三方人员现场工作的管理。
4)负责在协议或合同谈判阶段,与第三方签订保密协议以及确定服务安全的要求。
5)根据合同或服务协议对第三方服务交付进行管理,保证服务交付质量。
随工人员负责临时第三方人员进入公司起至离开止的全程陪同。
3.4.3第三方选择要求
第三方选择基本要求
1)准确理解需求原则:
第三方必须对xxx信息系统外包服务的需求有深刻的理解,凡不能准确理解需求或与需求相背者不予选择;
2)技术能力:
要求第三方具备所需的技术能力、工作经验和专业知识,或者能够合理地预期第三方最终会得到这些技术能力、工作经验和专业知识;
3)管理水平:
第三方是否已经具备,或者能够合理地预期第三方最终能够开发出项目所需资源的管理能力;
4)财务能力:
第三方是否已经具备,或能否合理地预期第三方能够具备项目所需的财力资源和财务能力。
3.4.4资质要求
1)按国家、行业、公司明确规定的服务资质要求考查第三方,如规定缺失,则根据项目实际要求确定第三方资质要求;
2)按服务项目专业要求设定关键技术人员和管理人员的资质要求和具备相应资质的人员数量要求;
3.4.5第三方合同要求
第三方需要对敏感的信息资产进行访问时,要签订保密协议或正式的合同,合同中有关的安全要求符合xxx信息系统总体安全策略。
与第三方签署的合同中要考虑如下因素:
1)合同双方各自的相关责任;
2)明确对第三方的保密要求;
3)明确保护信息资产的内容和要求;
4)明确描述服务内容和服务标准;
5)人员的安全要求;
6)符合相关国家和地区的法律、法规要求;
7)明确对知识产权的归属及保护;
8)必须声明xxx所拥有的权力,包括:
监督、限制第三方活动的权力;对合同权责进行监理或指定第三方监理的权力;
9)软、硬件安装和维护方面的责任;
10)清晰具体的变更控制流程;
11)用于安全事故和安全违规事件的报告、通知和调查程序。
3.4.6第三方服务交付管理
服务质量要求
1)第三方必须依据合同或独立的服务协议中的关键指标提供服务;
2)在服务提供期间,xxx信息系统项目管理部门或人员应该经常对第三方的人员资质进行确认,保证服务期间服务人员的稳定性;
3)制定对第三方服务的评价指标和测量体系,以确保第三方服务提供的质量。
服务的改进
1)第三方在服务提供过程中,发现与服务的需求有较大差距时,双方必须对服务进行评估,如果是未达到服务合同或服务协议的要求,则责成第三方对服务进行改进;
2)如果第三方服务达到合同或服务协议的要求,但是还是不能满足服务的要求,则双方可以协商对合同或服务协议进行变更,提高关键指标以适应服务的要求。
3.4.7第三方出入管理
人员出入
1)第三方人员进入xxx各种场合禁止携带易燃、易爆物品,并在门卫处接受检查;
2)第三方人员进入xxx时,必须在门卫处出示有效证件,按门卫或接待处的要求登记相关信息;
3)临时来访第三方必须由接待人全程陪同,告知有关安全管理规定,不得任其自行走动和未经允许使用xxx计算机设备;
4)第三方人员进出机房等重要区域时,必须遵守该区域的进出管理规定;
5)临时第三方人员离开xxx时应由接待人陪送,接待人应在登记表上签名,并签署离开时间;接待人在无法陪送的情况下应委托本部门其他人陪送;
6)非临时第三方人员工作完成后,由所属项目管理部门或人员对第三方人员的工作进行安全检查和安全评估后方可离场。
3.4.8设备携入携出
1)第三方人员携带设备(如笔记本电脑、计算机及配件、网络设备等)进入,必须进行登记;携带设备离开,必须经过按照事先登记的内容进行检查;
2)第三方人员携带的维修配件必须在进入维修区域前向接待人员出示,并登记;
3)第三方人员将维修设备的损坏配件携出xxx信息系统的运行场所时,必须按照xxx设备维修规定中并在维护记录中登记;
4)第三方人员将好的配件换入维修设备时必须按照xxx设备维修规定中并在维护记录中登记。
3.4.9办公场所
1)业务洽谈和技术交流应当在接待室、会议室或培训教室内进行,招标、谈判等正式洽谈和重大项目的会谈应当在专门的会议室进行,不得在办公室内进行;
2)必须指定非临时第三方人员的办公区域,只允许第三方人员在指定区域范围内进行业务活动。
3.4.10第三方操作管理
8.1一般规定
1)第三方人员不得越权使用信息系统的任何功能;
2)第三方人员不得私自拷贝信息系统中的任何数据和程序;
3)第三方人员将信息系统的软硬件携入与携出所有信息系统的运行场所必须遵守相关的管理规定;
4)第三方人员不得私自将含有密钥的设备(或配件)携出信息系统的运行场所;
5)第三方人员使用信息系统的操作记录应进行登记(附录A第三方人员操作记录表);
6)未经允许,第三方不得使用任何信息系统。
3.4.11账号控制
1)第三方人员使用信息系统必须遵守《xxx(集团)企业信息系统帐号权限管理规定》;
2)第三方人员必须保证信息系统账号的安全,不能泄露给无关的第三方;
3)第三方人员在工作人员变动时,必须向所属管理部门或人员报告,由系统管理员对账号进行安全处理。
3.4.12密码控制
1)第三方人员必须保证密码不泄露,当不慎泄露密码时,应立即通知xxx信息系统相关管理人员;
2)服务提供的密码由相关系统管理员定期更换,更换后系统管理人员向第三方人员通知密码;
3)第三方密码管理必须遵守《xxx(集团)企业信息系统密码管理规定》。
3.5培训与考核评估内容
安全培训主要包括安全意识培训、安全技能培训以及专业技术培训。
安全意识培训会因不同的对象有所调整,建议全员参与,在某些情况下可以要求有关的第三方组织参加。
培训的内容可以包括:
1)对在职工进行必要的信息安全教育培训,让职工了解和掌握信息安全法律法规,加强全体职工的安全生产意识。
2)为提高公司员工的综合素质,公司采用各种方式对员工进行内部在职培训。
如举办安全知识讲座、安全知识竞赛、简报、发放宣传品等形式。
3)在公司内组织举办定期或不定期的业务学习班。
由专业人员对员工进行业务培训。
4)根据公司业务发展需要,对相关业务骨干人员组织送培,到相关业务单位进修及相关学院委托培养。
5)为强化在职培训效果,公司定期组织多种形式的培训考核。
安全技能培训主要是针对信息处理设备使用者或管理人员进行的,如系统安全配置,开发安全配置等IT安全技术相关内容。
专业技术培训是专门针对信息安全工作需要设立的,如ISO27001、CISSP等专业安全培训。
培训类型可采用内部培训或外部培训(聘请外部专家),由公司聘请专家顾问以及其他专业人员对员工进行培训。
信息安全培训应由安全管理员进行汇总登记(附录A信息安全培训汇总登记表)。
3.5.1安全意识培训
1)安全意识培训工作应当由经济信息中心负责组织和准备,在人事部门和业务部门的配合下开展。
2)全体员工应该参加关于信息安全方面的培训。
3)新进员工应当在入职后3个月内参加信息安全培训。
4)关键/敏感岗位的人员的变动应当开展相关的岗位培训。
5)对信息安全政策、制度、标准的重大调整、更新必须组织相关培训,保证所有员工及时了解、掌握变更内容。
6)用户在使用任何信息技术设施前(包括软件和硬件),必须接受完整的培训,特别是应当包括关于xxx各项使用规定。
3.5.2安全技能培训
1)经济信息中心负责组织培训工作,安全技能培训的教材、课程应当由安全管理员负责,保证所有需要参加培训的人员都能及时的参加必要的安全技能培训。
2)当系统的新建、升级对用户使用产生影响时,必须事先开展必要的针对用户的培训。
3.5.3专业安全技术培训
1)专业技术培训主要是针对技术人员开展的。
可以采用内部培训的方式由经验丰富的高级技术人员来传授知识,也可以请供应商或者其他第三方提供专业的培训,但外包培训应当尽可能避免接触xxx的敏感信息。
2)经济信息中心应派遣技术人员参加外部举办的安全相关训练、研讨会或产品展示会,及时掌握最新的安全技术。
3)技术人员可以提出申请,由相关部门审批后参加专业安全技术培训。
4评估结果
经评估人员安全基本符合xxx安全要求。
升级会员 