信息安全管理规范.docx
《信息安全管理规范.docx》由会员分享,可在线阅读,更多相关《信息安全管理规范.docx(38页珍藏版)》请在冰豆网上搜索。
信息安全管理规范
信息安全管理规范
公司
版本信息
当前版本:
最新更新日期:
最新更新作者:
作者:
创建日期:
审批人:
审批日期:
修订历史
版本号更新日期修订作者主要修订摘要
TableofContents(目录)
1.公司信息安全要求5
1.1信息安全方针5
1.2信息安全工作准则5
1.3职责6
1.4信息资产的分类规定6
1.5信息资产的分级(保密级别)规定7
1.6现行保密级别与原有保密级别对照表8
1.7信息标识与处置中的角色与职责8
1.8信息资产标注管理规定9
1.9允许的信息交换方式10
1.10信息资产处理和保护要求对应表10
1.11口令使用策略12
1.12桌面、屏幕清空策略13
1.13远程工作安全策略14
1.14移动办公策略14
1.15介质的申请、使用、挂失、报废要求15
1.16信息安全事件管理流程17
1.17电子邮件安全使用规范19
1.18设备报废信息安全要求20
1.19用户注册与权限管理策略20
1.20用户口令管理21
1.21终端网络接入准则21
1.22终端使用安全准则21
1.23出口防火墙的日常管理规定22
1.24局域网的日常管理规定23
1.25集线器、交换机、无线AP的日常管理规定23
1.26网络专线的日常管理规定23
1.27信息安全惩戒24
2.信息安全知识25
2.1什么是信息?
25
2.2什么是信息安全?
25
2.3信息安全的三要素25
2.4什么是信息安全管理体系?
26
2.5建立信息安全管理体系的目的27
2.6信息安全管理的PDCA模式28
2.7安全管理-风险评估过程28
2.8信息安全管理体系标准(ISO27001标准家族)29
2.9信息安全控制目标与控制措施30
1.公司信息安全要求
1.1信息安全方针
拥有信息资产,积累、共享并保护信息资产是我们共同的责任。
管理与技术并重,确保公司信息资产的安全,保障公司持续正常运营。
履行对客户知识产权的保护承诺,保障客户信息资产的安全,满足并超越
客户信息安全需求。
1.2信息安全工作准则
保护信息的机密性、完整性和可用性,即确保信息仅供给那些获得授权的
人员使用、保护信息及信息处理方法的准确性和完整性、确保获得授权的
人员能及时可靠地使用信息及信息系统;
公司通过建立有效的信息安全管理体系和必要的技术手段,保障信息资产
的安全,降低信息安全风险;
各级信息安全责任者负责所辖区域的信息安全,通过建立相关制度及有效
的保护措施,确保公司的信息安全方针得到可靠实施;
全体员工应只访问或使用获得授权的信息系统及其它信息资产,应按要求
选择和保护口令;
XX,任何人不得对公司信息资产进行复制、利用或用于其它目的;
应及时检测病毒,防止恶意软件的攻击;
公司拥有为保护信息安全而使用监控手段的权力,任何违反信息安全政策的
员工都将受到相应处理;
通过建立有效和高效的信息安全管理体系,定期评估信息安全风险,持续
改进信息安全管理体系。
1.3职责
全体员工应保护公司信息资产的安全。
每个员工必须认识到信息资产的价
值,负责保护好自己生成、管理或可触及的涉及的数据和信息。
员工必须遵守
《信息标识与处理程序》,了解信息的保密级别。
对于不能确定是否为涉密信
息的内容,必须征得相关管理部门的确认才可对外披露。
员工必须遵守信息安
全相关的各项制度和规定,保证的系统、网络、数据仅用于的各项工作相关的
用途,不得滥用。
1.4信息资产的分类规定
公司的信息资产分为电子数据、软件、硬件、实体信息、服务五大类。
类别
说明
电子数据
存在信息媒介上的各种数据资料,包括源代码、数据库数据等各种电子化的数据资料、项目文档、管理文档、运行管理规程、计划、报告、用户手册、作业指导书等各种电子化的数据资料。
软件
包括系统软件、应用软件、共享软件
系统软件:
操作系统、语言包、工具软件、各种库等;
应用软件:
外部购买的应用软件,办公软件等;
共享软件:
各种共享源代码、共享可执行程序等。
硬件网络设备:
路由器、网关、交换机等
计算机设备:
大型机、服务器、工作站、台式计算机、移动计算机等
存储设备:
磁带机、磁盘阵列、工控机等
移动存储设备:
磁带、光盘、软盘、U盘、移动硬盘等
传输线路:
光纤、双绞线等
基础保障设备:
(UPS、变电设备等)、空调、保险柜、文件柜、门禁、消防设施等,如对基础设施使用属于租用形式,请将其识别到服务类别中。
安全保障设备:
硬件防火墙、入侵检测系统、身份验证等
其他电子设备:
打印机、复印机、扫描仪、传真机等
实体信息纸制的各种文件、合同、传真、会议纪要、财务报表、证书、电
报、发展计划以及各类其他材质的证书奖牌等。
服务通过各种协议方式固化下来的服务活动、如物业、第三方、供应
商、提供检修服务的提供方等。
1.5信息资产的分级(保密级别)规定
信息资产分为:
一般、内部公开、企业秘密、企业机密4个保密级别。
保密级别
名称
说明
1
一般
一般性信息,可以公开的信息、信息处理设备和系统
资源。
2
内部公
非敏感但仅限公司内部使用的信息、信息处理设备和
开
系统资源。
3企业秘敏感的信息、信息处理设备和系统资源,只给必须知
密道者。
4企业机敏感的信息、信息处理设备和系统资源,仅适用极少
密数必须知道的人。
1.6现行保密级别与原有保密级别对照表
保密级别与公司原有的保密级别的对照表如下:
现行的保密级别与之相当的原有保密级别
一般一般
内部公开秘密
企业秘密机密
企业机密绝密
1.7信息标识与处置中的角色与职责
角色职责
责任人:
信息资产的创建者,理解和各种信息访问活动相关的安全风
或者主要用户所在组织、单位险;
或部门的负责人。
信息资产责根据公司信息密级划分标准来确定所属信
任人对所属信息资产负直接责息资产的级别;
任。
根据公司相关策略确定并检查信息访问权
限;
针对所属信息资产提出恰当的保护措施。
保管者:
受信息资产责任人根据公司相关策略和信息资产责任人的要
委托,对信息资产进行日常求,负责信息资产的维护操作和日常管理
的管理,维护已经建立的保事务;
护措施。
资产保管者通常是负责具体设置信息访问权限;
公司或部门的IT管理者或者负责所管理的信息资产的安全控制;
代表(例如系统管理员)。
部署恰当的安全机制,进行备份和恢复操
作;
按照信息资产责任人的要求实施其他控
制。
用户:
信息资产的使用者,除向信息责任人申请信息访问;
了公司内部员工,也可能是因按照公司信息安全策略要求正当访问信
为业务需要而访问公司信息的息,禁止非授权访问;
客户或第三方组织。
向相关组织报告隐患、故障或者违规事
件。
1.8信息资产标注管理规定
(1)公司所属的各类信息资产,无论其存在形式是电子、纸质还是磁盘等,都应在显著位置标注其保密级别。
(2)一般电子或纸质文档应在该文档页眉的右上角或页脚上标注其保密级别
或在文件封面打上保密章,磁盘等介质应在其表面非数据区予以标注其
保密级别。
(3)如果某存储介质中包含各个级别的信息,作为整体考虑,该存储介质的保密级别标注应以最高为准。
(4)如果没有明显的保密级别标注,该信息资产以“一般”级别看待。
(5)对于对外公开的信息,需要得到相关责任人的核准,并由对外信息发布
部门统一处理。
(6)如需在信息资产上表述保密声明,可采用以下两种表述方式:
表述方式一:
“保密声明:
公司资产,注意保密。
”
表述方式二:
“保密声明:
本文档受国家相关法律和公司制度保护,不
得擅自复制或扩散。
”
1.9允许的信息交换方式
公司允许的信息交换方式有:
邮件、视频、电话、网站内容发布、文件共
享、传真、光盘、磁盘、磁带和纸张。
1.10信息资产处理和保护要求对应表
企业机密
企业秘密
内部公开
一般
授
需得到责任人和
需得到相关责任
需得到责
无特别
权
公司管理层批准
人及部门领导批准
只能被得到授权
只能被公司内部
访
的公司极少数核心
或外部得到明确授
人员访问
权的人员访问,访
问
问者应该签署保密
协议
电子类的应该加
电子类的应该妥
密存储在安全的计
善保存在设有安全
算机系统内;硬拷
控制的计算机系统
存
贝应该锁在安全的
内(建议进行信息
保险柜内;禁止以
加密);硬拷贝应
储
其他形式存储或显
该妥善保管,严禁
示
摆放在桌面;使用
白板展示后应立即
擦除
得到相关责任人
须经相关责任人
复
及公司管理层批
批准,并让专人操
制
准;需要登记
作或监督实施,需
要登记
禁止打印(或在
须经相关责任人
打
授权情况下专人负
许可,打印件标注
责打印,不得打印
密级并妥善管理,
印
到无人值守机)
不得打印到无人值
守机
禁止邮件直接发
须经相关责任人
邮
送,经授权后做电
许可,邮件发送应
子签名和加密控
做加密控制,保留
件
制,经安全的途径
记录
发送,保留记录
传
禁止传真
须经相关责任人
许可后专人负责传
真
真
快
经授权后采取妥
经授权后,由签
任人批准要求
可以被公任何公
司内部或外司员工或
部因为业务外部人员
需要的人员都可以访
访问问
电子类的以恰当
应该妥善保方式保
管,可以进存,避免
行加密;纸被非授权
质不应放在人员看
桌面到;存储
有信息的
介质避免
丢失
经相关责内部复
任人批准制无限制
经相关责无限
任人许可,制,打印
打印件标注件标注密
密级并妥善级
管理
经相关责无限制
任人许可
经相关责
升级会员 