ISO27001个人电脑和存储设备分类分级管理规定.docx
《ISO27001个人电脑和存储设备分类分级管理规定.docx》由会员分享,可在线阅读,更多相关《ISO27001个人电脑和存储设备分类分级管理规定.docx(7页珍藏版)》请在冰豆网上搜索。
ISO27001个人电脑和存储设备分类分级管理规定
个人电脑和存储设备分类分级管理规定
目录
目标2
适用范围2
一、设备分类2
二、设备分级2
1、笔记本电脑分类3
2、设备分级3
3、人个电脑和存储设备管理规定4
4、个人电脑的运行配置的更新5
6、数据保密和安全管理6
7、日常管理6
8、领取流程7
9、维护、维修与赔偿7
10、归还8
11、注意事项9
目标
个人电脑和存储设备目前已经成为员工办公的主要设备,需要对这些设备进行分级,根据不同权限,规范各类设备的使用,以提高公司对这些设备使用的信息安全管理水平。
适用范围
本规定适用于所有员工。
一、设备分类
个人电脑和存储设备在硬件管理大类里同属于三级硬件包括台式机、笔记本、手机、移动存储等办公终端或存储设备,标记为H3(见《硬件资产分级管理制度》),按照其上存储的或操作的信息重要性和安全级别的不同,可以划分了一至五级,标记为M1~M5(当设备没有存放或操作任何信息资产时,标记为M5)。
为了便于识别不同设备的风险,将上述设备分为以下细类并给予相应的标记。
1、台式机和固定存储:
指不可移动的个人电脑和存储设备。
标记为FX(固定)。
2、移动机:
指笔记本、手机移动设备。
标记为MP(移动个人)。
3、可读写的移动存储:
指所有可读写的移动存储,包括优盘、移动硬盘、可读写的光盘等。
标记为MW(移动可写)
4、只读移动存储:
一旦写入即不可擦除的移动设备,如只读光盘等。
标记为MR(移动只读)。
5、其他硬件设备:
除H3类硬件设备外,其他固定设备包括服务器、网络交换机(H1、H2、H4)等,标记缺省为FX(即可以不作标记)。
二、设备分级
1、笔记本电脑分类
1)自备笔记本电脑
为了方便员工高效工作,公司允许员工自备笔记本电脑办公。
2)公司配备笔记本电脑
对于符合以下条件的员工可以向公司提出申请配备笔记本电脑:
●经理级别以上管理人员。
●经常需要在公司办公地点以外使用电脑的员工。
符合以上条件者,个人递交申请后,公司可为其配备笔记本电脑。
如以上条件不符但确因工作需要,须经部门负责人审核,总经理批准,才能配置。
2、设备分级
1)一级机密个人电脑或存储设备
操作或存储公司一级信息资产的个人电脑或存储设备。
台式机或固定存储设备标记为H3M1-FX,移动机标记为H3M1-MP,可读写移动存储标记为H3M1-MW,只读移动存储标记为H3M1-MR。
2)二级秘密个人电脑或存储设备
操作或存储公司二级信息资产的个人电脑或存储设备。
台式机或固定存储设备标记为H3M2-FX,移动机标记为H3M2-MP,可读写移动存储标记为H3M2-MW,只读移动存储标记为H3M2-MR。
3)三级可内部公开的个人电脑或存储设备
操作或存储公司三级以下可内部公开信息资产的个人电脑或存储设备。
标记为台式机或固定存储设备标记为H3M3-FX,移动机标记为H3M3-MP,可读写移动存储标记为H3M3-MW,只读移动存储标记为H3M3-MR。
4)其他级别的设备
一般情况下,公司只标记1~3级设备,如有必要标记其他级别的设备,按上述原则依次类推。
5)其他硬件设备,如服务器、网络交换机(H1、H2、H4)等,可参考上述H3类设备操作或存储信息的规则,统一标记安全等级。
3、人个电脑和存储设备管理规定
1)未经许可,个人笔记本电脑,不得作为一级二级笔记本电脑使用。
2)经审查符合公司信息安全管理规定的人个电脑和存储设备,才可许可作为一级二级设备使用。
3)一级二级个人电脑的USB接口应被管制,禁止一级二级个人电脑使用移动存储介质。
如需开放需向部门领导申请开通并记录。
4)个人电脑设备必须有严格的口令访问控制措施,口令设置需满足公司安全策略要求,正在工作的个人电脑长时间离开,要设置屏保,输入口令才能解锁,如无特殊需要,自动屏保不得超过5分钟。
5)对无人看守的移动设备必须实施物理保护,必须放在带锁的办公室、抽屉或文件柜里。
6)凡公司配备的移动设备带出公司使用而遗失、被偷盗等均由个人负全责赔偿。
7)凡公司配备的移动设备除自然损坏外,凡人为损坏(如撞坏、跌坏、电源插错烧坏等)由本人负责修好,费用由个人承担。
8)一级二级人个电脑和存储设备中除工作所需的软件外,不导入其他与工作无关的软件。
9)一级二级人个电脑和存储设备丢失或被窃后应及时报告给部门经理和行政部。
10)授权使用的人个电脑必须安装公司要求的防病毒软件。
11)各部门对标记为一级的笔人个电脑和存储设备,每两周对其上的一级二级数据文件、文档资料、程序文件、系统文件进行一次查杀病毒自检和操作系统补丁自检。
行政部进行不定期抽查。
12)各部门对标记为二级的人个电脑和存储设备,每两周对其上的数据文件、文档资料、程序文件、系统文件进行一次查杀病毒自检和操作系统补丁自检。
行政部进行不定期抽查。
13)各部门对标记为三级以上的人个电脑和存储设备,每季度对其上的数据文件、文档资料、程序文件、系统文件进行一次查杀病毒自检和操作系统补丁自检。
行政部进行不定期抽查。
14)移动设备外出时禁止托运,必须随身携带。
15)笔记本电脑上的重要资料应即时做好备份,防止意外丢失。
备份的设备或介质应符合《信息资产分类分级管理制度》中的保护要求。
4、个人电脑的运行配置的更新
1)电脑硬件配置应当根据配备个人电脑人员的工作需求而定,工作处理数据量较大的技术人员可配置运行速度较快、内存和硬盘相对较大的电脑。
2)个人电脑的配置品牌、硬件配置标准根据公司推荐的品牌,原则上不允许采购指定品牌以外的电脑。
3)公司配备的个人电脑达到规定使用年限或超过使用年限的电脑列入更新计划。
5、职责
1)行政部负责人个电脑和存储设备的日常管理、监督和协调使用;
2)系统服务管理员负责日常使用的性能检测、维修鉴定和相应的技术支持;
3)使用部门及个人负责维护、日常保养及保管。
4)各使用部门负责人个电脑和存储设备上信息的安全管理。
6、数据保密和安全管理
1)电脑使用人必须采取加密等措施,自觉保守公司商业秘密,未经许可,不得擅自将公司生产、经营数据、经营政策、管理制度、财务数据、技术设计等涉及公司生产、经营管理的数据向外界泄露,否则公司将按照有关规定追究使用人相应的责任,造成严重后果及触犯法律的按照国家相关法律法规移交司法机关进行处理。
2)个人使用的工作用个人电脑内公司的重要资料、经营数据和管理文件应每月备份一次,采用公司指定移动硬盘进行机外备份,个人本电脑内保存的资料应当定期进行清理,及时删除不再使用的公司重要资料。
如公司定期检查未执行备份的,处罚200元/次。
3)个人电脑发生丢失或损毁应及时向公司书面报告,并采取必要措施进行应急处理,以减少损失。
公司保留追究由于使用人遗失电脑导致公司资料泄密的相应责任。
7、日常管理
1)公司所购置的笔记本电脑作为公司的固定资产,由行政部进行统一管理。
使用人按规范办理领用手续,管理和维护责任落实到使用者个人。
2)因离职或达到年限升级淘汰的,但在其它岗位仍能继续使用的,由行政部进行调配,使用年限续计,直至彻底报废。
8、领取流程
领取时,使用人须检查、核对笔记本电脑及其所有配件物品无任何问题后,办理领用登记手续《办公电脑领用登记表》、《新员工入职手续办理清单》。
9、维护、维修与赔偿
1)使用人要爱护笔记本电脑,保持电脑清洁。
2)公司将定期和不定期安排专人检查设备的使用情况。
3)使用人如遇技术或操作不当而出现的问题,应及时找系统服务部技术人员寻求帮助,不得私自隐瞒或调试。
4)在使用期间电脑出现故障时,使用人应及时通知行政部同时亲自将电脑交回公司报修,填写《固定资产维修审批单》,由行政部负责联系厂家进行责任鉴定及维修事宜。
修复后通知使用者领取。
5)当笔记本电脑配件更换或升级时,固定资产管理员须更新固定资产清单内容,确保清单与笔记本电脑的最新同步。
6)电脑发生故障,可由公司统一维修,非人为因素造成的维修费,在保修期内由供应厂商承担,超过保修期的可由公司报销。
属于操作不当或管理不善等个人原因造成故障或损坏,由使用者承担责任及维修费用。
7)使用人必须正确使用并妥善保管笔记本电脑及配件,若因使用或保管不当造成电脑及配件受损、损毁、遗失等,由使用者书面申报行政部门(丢失声明)并按购买价格进行全额赔偿,由财务从使用人工资中扣除。
10、归还
1)凡属于下列情况的使用人要将笔记本电脑交回行政部
A.如笔记本电脑使用人经人事变动,不再担任现职工作,变动后的新岗位不需要再使用笔记本电脑的;
B.如使用人辞职或解聘,请在办理人事关系前归还笔记本电脑,否则不予办理离职手续。
2)流程及要求
A.使用人亲自携带笔记本电脑到行政部办理归还手续,经相关技术人员检查鉴定机器是否完好,配件是否齐全,确认无误后,在《岗位调动交接清单》/《离职手续办理清单》上签字确认归还内容。
B.使用人需亲自完成归还工作,如发现问题则按合同履行。
3)使用人不再使用配置笔记本电脑的,也可选择折价购买。
购买笔记本电脑的折价比例如下所述:
使用年限不满一年,按笔记本电脑原价的90%收取;
使用年限满一年不满两年,按笔记本电脑原价的80%收取;
使用年限满两年不满三年,按笔记本电脑原价的50%收取
使用年限满三年不满四年,按笔记本电脑原价的20%收取;
使用年限满四年不满五年,按笔记本电脑原价的5%收取;
使用年限五年以上,不再收取费用。
4)如使用者选择按折旧价购买归个人所有,必须将个人笔记本电脑内与公司相关的全部资料拷贝到公司指定的电脑或其他存储器中,有密码的应解除密码,并将个人笔记本电脑中公司相关的资料全部删除。
5)购置指定品牌以外的笔记本电脑,申请需得到总经理签批,购置实际价格与配置标准价格之间的差价由申请人自负。
该笔记本电脑使用人不再使用的,必须折价购买,折价收取金额按配置标准价格的使用年限对应的折价比例收取。
11、注意事项
1)笔记本电脑原则上只保证厂家提供的配置,严禁新增其它设备。
2)切勿用手触摸或按压笔记本电脑显示屏,在维护笔记本电脑及相关外设的清洁前请先关机。
本制度相关修改及解释权属于行政部
文档编号(由总经办填写)
F4-C-行政部-004-V1.2
密级
内部公开
文档发布级别
公司级
文档发布及实行范围
全员
制度试行日期(可选)
制度执行日期
2017/07/01
文档起草人
签字:
日期:
2017/07/01
文档修订人:
签字:
日期:
2017/07/01
修订说明:
备注:
文档负责人:
签字:
日期:
2017/07/01
文档审批
信息安全管理者代表
签字:
日期:
2017/07/01
行政部
签字:
日期:
2017/07/01
文档审批人
签字:
日期:
2017/07/01
升级会员 