ISO27001信息安全全套策略文件.doc
《ISO27001信息安全全套策略文件.doc》由会员分享,可在线阅读,更多相关《ISO27001信息安全全套策略文件.doc(27页珍藏版)》请在冰豆网上搜索。
ISO27001信息安全全套策略文件
目录:
信息备份安全策略
发布部门
信息安全小组
生效时间
2021-08-19
批准人
XX
文件编号
ISMS-C-01
介绍
电子备份是一项必需的业务要求,能使数据和应用程序在发生意想不到的事件时得以恢复,这些事件包括:
自然灾害、系统磁盘故障、间谍活动、数据输入错误或系统操作错误等。
目的
该策略的目的是设置电子信息的备份和存储职责。
适用范围
该策略适用于组织中负责信息资源安装和支持的所有人员,以及负责信息资源安全的人员和数据所有者。
术语定义
略
信息
备份
安全
策略
n信息备份周期和方式必须依据信息的重要性以及数据所有者确定的可接受风险确定;
n场所外备份存储区的物理访问控制的实施必须满足并超过原系统的物理访问控制,另外备份介质必须依据信息存储的最高安全等级进行保护;
n必须建立并实施对电子信息备份成功与否的验证过程;
n为了容易识别介质和/或关联系统,备份介质至少应该被标注下列信息:
²系统名;
²创建日期;
²敏感度分级[以相应的电子记录保持法规为基础];
²包含的信息。
惩罚
违背该策略可能导致:
员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除;另外,这些人员还可能遭受信息资源访问权以及公民权的损失,甚至遭到法律起诉。
引用标准
略
信息安全监控策略
发布部门
信息安全小组
生效时间
2021-08-19
批准人
XX
文件编号
ISMS-C-02
介绍
信息安全监控是确保安全实践和控制被恰当执行和有效实施的一种方法,监控活动包括对下列内容的评审:
²防火墙日志
²用户帐户日志
²网络扫描日志
²应用程序日志
²数据备份和恢复日志
²其他类型的日志以及出错日志.
目的
该策略是为了确保信息资源控制措施被适当、有效地实施并且不被忽视。
安全监控的其中一个好处就是较早的发现破坏行为或新的薄弱点。
这样会有助于在破坏发生前阻止破坏行为或薄弱点,最起码能够减小潜在的影响。
其他好处包括:
审核符合性、服务层监控、业绩测量、划定责任以及容量策划。
适用范围
适用于负责信息资源安全、现有信息资源的操作以及负责信息资源安全的所有人员。
术语定义
略
信息
安全
监控
策略
n自动检测工具会对检测到的破坏行为或薄弱点利用进行实时通知。
在可能的地方可以开发安全底线和工具,监控:
²互联网通信
²电子邮件通信
²局域网通信、协议以及设备清单
²操作系统安全参数
n在检查破坏行为以及薄弱点被利用情况时可以使用下列文件:
²防火墙日志
²用户帐户日志
²网络扫描日志
²系统出错日志
²应用程序日志
²数据备份和恢复日志
n下列内容应该由负责的人员每年至少检查一次:
²口令的难猜测程度
²未经授权的网络设备
²未经授权的个人网络服务器
²未受保护的共享设备
²未经授权使用的调制解调器
²操作系统和软件许可
n发现的任何问题都应该向总经理办公室报告,进行进一步的调查。
惩罚
违背该策略可能导致:
员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会。
另外,这些人员还可能遭受信息资源访问权以及公民权的损失,甚至遭到法律起诉。
引用标准
略
信息资源保密策略
发布部门
信息安全小组
生效时间
2021-08-19
批准人
XX
文件编号
ISMS-C-03
介绍
保密策略是用于为信息资源用户建立限制和期望的机制。
内部用户不期望信息资源保密。
外部用户期望信息资源拥有完整的保密性,除了在发生可疑的破坏行为的情况下。
目的
该策略的目的是明确的沟通信息资源用户的信息服务保密期望。
适用范围
该策略适用于使用信息资源的所有人员。
术语定义
略
信息
资源
保密
策略
n在公司内部保存和控制的电子文件应该公开,并且可以被信息服务人员访问;
n为了管理系统并加强安全,信息安全小组可以记录、评审,同时也可以使用其信息资源系统中存储和传递的任何信息。
n用户必须向适当的管理者报告公司内部计算机安全的任何薄弱点,可能的误用事故或者相应授权协议的违背情况;
n在未经授权或获得明确同意的情况下,用户不可以尝试访问公司内部系统中包含的任何数据或程序。
惩罚
违背该策略可能导致:
员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除;另外,这些人员还可能遭受信息资源访问权以及公民权的损失,甚至遭到法律起诉。
引用标准
略
变更管理安全策略
发布部门
信息安全小组
生效时间
2021-08-19
批准人
XX
文件编号
ISMS-C-04
介绍
信息资源基础设施正在逐步扩大并且越来越复杂。
越来越多的人依赖网络、更多的客户服务机构、未升级和扩展的管理系统以及更多应用程序。
由于信息资源基础设施之间的互相依赖程度越来越高,因此有必要加强变更管理过程。
有时每一个信息资源组成部分需要暂停运行,按计划进行升级、维护或调整,另外也可能由于为计划的升级、维护或调整而导致暂停运行。
管理这些变更是提供坚固的、有价值的信息资源基础设施的关键组成部分。
目的
该策略的目的是以一种合理的、可预知的方式管理变更,以便员工和客户能进行相应的计划。
变更需要事先严格计划、仔细监控并要进行追踪评价,以降低对用户群的负面影响,增加信息资源的价值。
适用范围
该策略适用于安装、操作或维护信息资源的所有人员。
术语定义
略
变更
管理
安全
策略
n对信息资源的每一次变更,如操作系统、计算机硬件、网络以及应用程序都要服从变更管理策略,并且必须遵守变更管理程序;
n所有影响计算机环境设备的变更(如空调、水、热、管道、电)需要向变更管理过程的领导者报告,并与之协调处理;
n无论是事先有计划的变更还是事先无计划的变更必须都提交书面的变更申请;
n所有事先有计划的变更申请必须按照变更管理程序的规定提交,以便变更管理委员会有足够的时间评审申请,确定并重新评审潜在的失败,并决定申请被批准还是延期执行;
n每一个事先计划的变更申请在执行前必须受到变更管理委员会的正式批准;
n指定的变更管理委员领导在下列情况下有权拒绝任何申请:
不充分的策划、不充分的删除计划、变更的时间等会对关键的业务过程造成负面影响,或者会造成没有充分的资源可用;
n在变更管理程序实施前,必须完成对所有客户的通知;
n每一次变更必须进行变更评审,无论是计划还是未计划的,成功的还是失败的;
n所有变更必须保留变更管理日志,必须保留的日志包括但不限于下列内容:
²变更的提交和执行日期;所有者和保管者信息;变更的特性;
²成功或失败的标志。
n所有信息系统必须遵照上述规定进行信息资源的变更。
惩罚
违背该策略可能导致:
员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除;另外,这些人员还可能遭受信息资源访问权以及公民权的损失,甚至遭到法律起诉。
引用标准
略
口令控制策略
发布部门
信息安全小组
生效时间
2021-08-19
批准人
XX
文件编号
ISMS-C-05
介绍
n用户授权是控制信息资源访问者的一种方式。
对访问进行控制是任何信息资源所必须的。
未经授权的人员访问到信息资源可能会引起信息保密性、完整性共和可用性的丢失,导致收入、信誉的损失或经济困难。
目的
该策略的目的是为用户鉴别机制建立创造、分发、保护、终止以及收回的规则。
适用范围
该策略适用于任何信息资源的使用者。
术语定义
略
口令
控制
策略
n所用用户都必须拥有唯一的、专供其个人使用的用户帐号ID(用户ID);
n所有用户不得使用他人的用户进行信息资源的访问;
n所有口令,包括初始口令,都必须依据总经理办公室规定的下列规则建立和执行:
²所有活动帐号都必须有口令保护;
²必须定期更改口令;
²口令输入时不应将口令的明文显示出来,应该采取掩盖措施;
²必须符合信息中心规定的最小长度;口令必须至少要含有6个字符,系统管理员口令至少要含有8个字符。
²必须是字母、数字和字符的组合;
²口令不能和用户名或登录名相同;
²必须不能是可以轻易联想到的帐号所有者的特性:
用户名、绰号、亲属的姓名、生日等;
²必须不能用字典中的单词或首字母缩写;
²必须保存历史口令,以防止口令的重复使用。
n用户的帐号口令必须不能泄露给任何人;
n如果怀疑口令的安全性,应立即进行更改;
n管理员不能为了使用信息资源规避口令;
n用户不能通过自动登录的方式绕过口令登录程序;
n计算机设备如果无人值守必须启动口令保护屏保或注销;
n用户在首次登录时必须更改口令。
惩罚
违背该策略可能导致:
员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除;另外,这些人员还可能遭受信息资源访问权以及公民权的损失,甚至遭到法律起诉。
引用标准
略
可移动代码防范策略
发布部门
信息安全小组
生效时间
2021-08-19
批准人
XX
文件编号
ISMS-C-06
介绍
未经授权的移动代码危害信息系统,应实施对恶意代码的监测、预防和恢复控制,以及适当的用户意识培训。
目的
该策略的目的阻止和发现未经授权的移动代码的引入,实施对恶意代码的监测、预防和恢复控制。
适用范围
该策略适用于使用信息资源的所有人员。
术语定义
略
可移
动代
码防
范策
略
n禁止使用未经信息安全管理小组授权安装的软件。
n防范经过外部网络或任何其它媒介引入文件和软件相关的风险,并采取适当的预防措施。
n定期对支持关键业务过程的系统中的软件和数据进行评审;无论出现任何未经验收的文件或者未经授权的修改,都要进行正式调查。
n安装并定期升级防病毒的检测软件和修复软件,定期扫描计算机和存储介质,检测应包括:
²在使用前,对存储媒体,以及通过网络接收的文档进行恶意代码检测;
²在使用前,通过邮件服务器对电子邮件附件及下载文件进行恶意代码检测;
n人事行政部负责恶意代码防护、使用培训、病毒袭击和恢复报告。
n为从恶意代码攻击中恢复,需要制定适当的业务持续性计划。
包括所有必要的数据、软件备份以及恢复安排。
n人事行政部应制定并实施文件化的程序,验证所有与恶意软件相关的信息并且确保警报公告的内容准确详实。
管理员应当确保使用合格的信息资源,防止引入真正的恶意代码。
所有用户应有防欺骗的意识,并知道收到欺骗信息时如何处置。
惩罚
违背该策略可能导致:
员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除;另外,这些人员还可能遭受信息资源访问权以及公民权的损失,甚至遭到法律起诉。
引用标准
略
清洁桌面和清屏策略
发布部门
信息安全小组
生效时间
2021-08-19
批准人
XX
文件编号
ISMS-C-07
介绍
应该实施清除桌面和清除屏幕方针,以降低对文件、介质以及信息处理设施未经授权访问或破坏的风险。
目的
该策略的目的是防止对信息和信息处理设施未经授权的用户访问、破坏或盗窃。
适用范围
该策略适用于公司所有员工。
术语定义
略
清洁
桌面
和清
屏策
略
n含有涉密信息或重要信息的文件、记录、磁盘、光盘或以其它形式存贮的媒体在人员离开时,应锁入文件柜、保险柜等;
n所有计算机终端必须设立登录口令,在人员离开时应该锁屏、注销或关机;
n在结束工作时,必须关闭所有计算机终端,并且将个人桌面上所有记录有敏感信息的介质锁入文件柜;
n计算机终端应设置屏幕密码保护,屏保时间不大于5分钟;
n传真机由各使用部门负责管理,并落实责任人。
n打印或复印公司秘密、机密信息时,打印或复印设备现场应有可靠人员,打印或复印完毕即从设备拿走。
惩罚
违背该策略可能导致:
员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除;另外,这些人员还可能遭受信息资源访问权以及公民权的损失,甚至遭到法律起诉。
引用标准
略
物理访问策略
发布部门
信息安全小组
生效时间
2021-08-19
批准人
XX
文件编号
ISMS-C-08
介绍
技术支持人员、安全管理员、系统管理员以及其他人员可能因工作需要访问信息资源物理设施。
对信息资源设施物理访问的批准、控制以及监控对于全局的安全是极其重要的。
目的
该策略的目的是为信息资源设施物理访问的批准、控制、监控和删除建立规则。
适用范围
该策略适用于组织中负责信息资源安装和支持的所有人员,负责信息资源安全的人员以及数据的所有者。
术语定义
略
物理
访问
策略
n所有物理安全系统必须符合相应的法规,但不仅限于建设法规以及消防法规;
n对所有受限制的信息资源设施的物理访问必须形成文件并进行控制;
n所有信息资源设施必须依据其功能的关键程度或重要程度进行物理保护;
n对信息资源设施的访问必须只授权给因职责需要访问设施的支持人员和合同方;
n授权使用卡和/或钥匙访问信息资源设施的过程中必须包括设施负责人的批准;
n拥有信息资源设施访问权的每一个人员都必须接受设施应急程序培训,并且必须签署相应的访问和不泄密协议;
n访问请求必须发自相应的数据/系统所有者;
n访问卡和/或钥匙不可以与他人共享或借给他人;
n访问卡和/或钥匙不需要时必须退还给信息资源设施负责人。
在退还的过程中,卡不可以再分配给另一个人;
n访问卡和/或钥匙丢失或被盗必须向信息资源设施的负责人报告;
n卡和/或钥匙上除了退回的地址外不可以有标志性信息;
n所有允许来宾访问的信息资源设施都必须使用签字出/入记录来追踪来宾的访问;
n信息资源设施的持卡访问记录以及来宾记录必须保存,并依据被保护信息资源的关键程度定期评审;
n在持卡和/或钥匙的人员发生变化或离职时,信息资源设施的负责人必须删除其访问权限;
n在信息资源设施的持卡访问区,来宾必须由专人陪同;
n信息资源设施的负责人必须定期评审访问记录以及来宾记录,并要对异常访问进行调查;
n信息资源设施的负责人必须定期评审卡和/或钥匙访问权,并删除不再需要访问的人员的权限;
n对限制访问的房间和场所必须进行标记,但是描述其重要性的信息应尽可能少。
惩罚
违背该策略可能导致:
员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除;另外,这些人员还可能遭受信息资源访问权以及公民权的损失,甚至遭到法律起诉。
引用标准
略
特权访问管理策略
发布部门
信息安全小组
生效时间
2021-08-19
批准人
XX
文件编号
ISMS-C-09
介绍
与普通用户相比,技术支持人员、安全管理员、系统管理员可能有特殊的访问账户权限要求。
这些管理性的和特殊访问账户的访问等级比较高,因此对这些账户的批准、控制和监控对于整个安全程序极其重要。
目的
该策略的目的是为具有特殊访问权限的账号建立创建、使用、控制及其删除的规则。
适用范围
该策略适用于拥有、或者可能会需要信息资源特殊访问权限的所有人员。
术语定义
略
特权
访问
管理
策略
n在所有用户获得访问账号前,应签署一份不泄密协议;
n所有管理性的/特殊访问账户的用户必须接受培训并获得授权;
n每一个使用管理性的/特殊访问账号的个人都必须避免滥用权力,并且必须在总经理办公室人员的指导下使用;
n每一个使用管理性的/特殊访问账号的个人必须以最适宜所执行的工作的方式行使账号权力;
n每一个管理性的/特殊访问账户必须满足口令策略的要求;
n共有的管理性的/特殊访问账号的口令在人员离职或发生变更时必须更改;
n当因内外部审核、软件开发、软件安装或其他规定需求而需要特殊访问账号时,账号:
²必须被授权;
²创建的日期期限必须明确;
²工作结束时必须删除。
惩罚
违背该策略可能导致:
员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除;另外,这些人员还可能遭受信息资源访问权以及公民权的损失,甚至遭到法律起诉。
引用标准
略
电子邮件策略
发布部门
信息安全小组
生效时间
2021-08-19
批准人
XX
文件编号
ISMS-C-10
介绍
信息资源是组织的资产,必须对其进行有效地管理,因而建立该策略是为了:
²确保员工知晓在Email的过程中好的操作方法;
²明确Email使用过程中的责任。
目的
为了建立本公司的Email使用规则,保证Email的合理发送、收取和存储。
适用范围
该策略适用于被批准的、能够通过Email发送、收取和存储信息的所有人员。
术语定义
略
电子
邮件
策略
n下列行为是策略所禁止的:
²发送或者转发与工作业务无关的个人信息;
²发送或者转发虚假、黄色、反动信息;
²发送或者转发宣扬个人政治倾向或者宗教信仰;
²发送或者转发发送垃圾信息;
²发送或者转发能够引起连锁发送的恐吓、祝贺等信息;
²Email大小超过限制;
²发送口令、密钥、信用卡等的敏感信息;
²用个人信息处理设备收发公司内部Email;
²用公司外部账号发送、转发、收取公司敏感信息;
²在非授权情况下以公司的名义发表个人意见;
²发送或者转发可能有计算机病毒的信息;
²使用非授权的电子邮件收发软件;
n下列行为是策略所要求的:
²每位员工都有一个Email账号,账号密码必须符合口令策略的相关规定;
²用Email经过外部网络发送机密信息必须经过加密,加密必须符合加密策略的相关规定;
²发送Email必须有清楚的主题;
²Email的处理和存储必须符合信息的分类、标识和存储策略的相关规定;
n管理授权
²公司有权对职员的Email进行监视和记录;
²公司有权对Email的内容进行存储备份以用于法律目的;
²Email附件的加密及加密方法应该获得公司的批准;
惩罚
违背该策略可能导致:
员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除;另外,这些人员还可能遭受信息资源访问权以及公民权的损失,甚至遭到法律起诉。
引用标准
略
病毒防范策略
发布部门
信息安全小组
生效时间
2021-08-19
批准人
XX
文件编号
ISMS-C-11
介绍
计算机安全事故的数量以及由业务中断服务恢复所导致的费用日益攀升。
实施稳固的安全策略,防止对网络和计算机不必要的访问,较早的发现并减轻安全事故可以有效地降低风险以及安全事故造成的费用。
目的
该策略的目的是描述计算机病毒、蠕虫以及特洛伊木马防御、检测以及清除的要求。
适用范围
该策略适用于使用信息资源的所有人员。
术语定义
略
病毒
防范
策略
n所有连接到局域网的工作站必须使用总经理办公室批准的病毒保护软件和配置;
n病毒保护软件必须不能被禁用或被绕过;
n病毒保护软件的更改不能降低软件的有效性;
n不能为了降低病毒保护软件的自动更新频率而对其进行更改;
n与局域网连接的每一个文件服务器必须使用总经理办公室批准的病毒保护软件,并要进行设置检测、清除可能感染共享文件的病毒;
n由病毒保护软件不能自动清除并引起安全事故的病毒,必须向人事行政部网络管理员报告。
惩罚
违背该策略可能导致:
员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除;另外,这些人员还可能遭受信息资源访问权以及公民权的损失,甚至遭到法律起诉。
引用标准
略
第三方访问策略
发布部门
信息安全小组
生效时间
2021-08-19
批准人
XX
文件编号
ISMS-C-12
介绍
第三方在支持硬件和软件管理以及客户运作方面有重要作用。
第三方可以远程对数据和审核日志进行评审、备份和修改,他们可以纠正软件和操作系统中的问题,可以监控并调整系统性能,可以监控硬件性能和错误,可以修改周遭系统,并重新设置警告极限。
由第三方设置的限制和控制可以消除或降低收入、信誉损失或遭破坏的风险。
目的
该策略的目的是为第三方访问信息资源以及支持性服务(A/C,UPS,PDU,火灾控制等)、第三方职责以及信息保护建立准则。
适用范围
该策略适用于负责新的信息资源安装以及现有信息资源操作和保持的所有人员,以及可以批准第三方因保养、监控以及故障处理目的而访问信息资源的人员。
术语定义
略
第三
方访
问策
略
n第三方必须遵守相应的策略、操作标准以及协议,包括但不仅限于:
²安全策略;
²保密策略;
²审核策略;
²软件注册策略;
²信息资源使用策略。
n第三方协议和合同必须规定:
²第三方应该访问的信息;
²第三方怎样保护信息;
²合同结束时第三方所拥有的信息返回、毁灭或处置方法;
²第三方只能使用用于商业协议目的的信息和信息资源;
²在合同期间第三方所获得的任何信息都不能用于第三方自己的目的或泄漏给他人。
n应该向总经理办公室提供与第三方的合同要点。
合同要点能确保第三方符合策略的要求;
n每一个第三方必须提供在为合同工作的所有员工清单。
员工发生变更时必须在24小时之内更新并提供;
n每一个在组织场所内工作的第三方员工都必须佩带身份识别卡。
当合同结束时,此卡应该归还;
n可以访问敏感信息资源的每一个第三方员工都不能处理这些信息;
n第三方员工应该直接向恰当的人员直接报告所有安全事故;
n如果第三方参与安全事故管理,那么必须在合同中明确规定其职责;
n第三方必须遵守所有适用的更改控制过程和程序;
n定期进行的工作任务必须在合同中规定。
规定条件之外的工作必须由相应的管理者书面批准;(第三方是配合组织项目进度来完成的)。
n必须对第三方访问进行唯一标识,并且对其进行的口令管理必须符合口令实施规范和特殊访问实施规范。
第三方主要的工作活动必须形成日志并且在管理者需要的时候可以访问。
日志的内容包括但不仅限于:
人员变化、口令变化、项目进度重要事件、启动和结束时;
n当第三方相关员工离职时,第三方必须确保所有敏感信息在24小时内被收回或销毁;
n在合同或邀请结束时,第三方应该将所有信息返回或销毁,并在24小时内提交一份返回或销毁的书面证明;
n在合同或邀请结束时,第三方必须立即交出所有身份识别卡、访问卡以及设备和供应品。
由第三方保留的设备和/或供应品必须被管理者书面授权;
n要求第三方必须遵守所有规定和审核要求,包括对第三方工作的审核;
n在提供服务时,第三方使用的所有软件必须进行相应的清点并许可。
惩罚
违背该策略可能导致:
员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去
升级会员 