ISO27001信息安全管理制度汇编.docx
《ISO27001信息安全管理制度汇编.docx》由会员分享,可在线阅读,更多相关《ISO27001信息安全管理制度汇编.docx(37页珍藏版)》请在冰豆网上搜索。
ISO27001信息安全管理制度汇编
(很全面的体系文件,大公司审厂专用)
一、信息保密管理制度;5页
二、信息安全惩戒管理制度;7页
三、计算机及相关设备管理制度;4页
四、计算机安全管理制度4页
五、计算机帐号及密码管理制度4页
六、计算机病毒防治管理制度5页
七、供应商接待管理制度4页
八、供应商信息安全管理自检表16页
信息保密管理制度
第一条目的
为有效保护公司的设计成果等知识产权,防止公司的核心商业秘密泄露或被剽窃,防止不正当竞争,特制订本规定。
第二条信息保密范围
公司所有的不为公众所知悉、能为公司带来经济利益、具有实用性并经公司采取保密措施的技术信息和经营信息。
具体包括但不限于:
公司所有的产品规划、创意、设计方案、设计文件(含图纸及文档资料)、讨论结果结论;所有的资质认证的资料;所有的开发项目和进度;所有的技术资料和程序代码;所有的技术文档资料;所有的供应商资料;所有的采购数据;所有的客户资料及联络方式;所有的销售报表;所有的人事资料;所有的财务资料等。
其他所有与公司经营管理相关的商业、技术、管理资料等公司认为需要保密的信息。
信息保密规则
第三条各部门人员使用的所有办公用电脑,必须设置开机密码,密码除了使用人应牢记外,应向各部门经理上报备案。
电脑使用人员变更密码应及时向各部门经理报告。
第四条未经总经理(包括其授权人)或各部门经理批准,公司任何人不得开启其他员工电脑,不得查阅和拷贝其他员工电脑中的资料和信息。
第五条未经公司网管人员同意,公司任何人不得打开电脑机箱、拆卸、更换板(卡)。
第六条未经总经理(包括其授权人)或各部门经理批准,各部门员工不得将上述属公司商业秘密范围的资料设置为共享文件的形式。
第七条各部门日常联络工作文件通过内部邮件系统进行沟通传递,尽量避免打印及复印。
各电脑使用人员必须每半天接收一次内部邮件,并按信息级别由相应主管审批后方可以发布或传递。
邮件要定期进行备份。
第八条如因工作需要,确需刻录公司信息资料,必须经部门经理和管理部主管共同批准,否则一律不得刻录。
第九条办公电脑中的资料要定期整理、清理和备份。
各电脑使用人员应每周将本周重要工作文件整理备份一次。
第十条研发部与供应商的设计资料传递,由各设计小组长负责,普通设计人员不得使用外部邮件传递。
设计人员应将相关资料用内部邮件传给各设计小组长,由小组长审核后再转发相关供应商。
第十一条营销部、产品部或市场部收到客户的设计信息,原则上只能把该信息发送给项目负责人。
如确有需要,经部门经理发送给该项目的主要经办人。
收到设计信息的人员,不得以任何方式将客户的设计信息对外泄露,也不得转发给无关的技术人员。
第十二条新产品通过公司网站对外发布,应事先将该产品的功能、结构和技术性能等报总经理或其指定授权人批准,经批准后方可发布。
应避免信息泄露过早,造成他人的模仿或拷贝。
第十三条公司电脑网络管理人员可以使用各种办法(包括对公司服务器的搜索)对违反公司规定的行为进行监控。
如发现员工私自使用个人电子信箱发送属于公司保密范围的任何资料,有权进行制止和举报。
公司将根据奖惩管理办法对举报人给予奖励和表彰。
第十四条公司外人员需要动用我司电脑或查阅相关信息,必须有我司员工陪同。
凡涉及公司商业秘密的数据信息,一律不允许浏览。
也不得拷贝、打印、复制,特殊情况下需由部门主管签字确认后方可提供相关部分的数据。
对擅自提供信息者,一经发现,予以辞退并追究法律责任。
第十五条存放财务资料的电脑原则上不予联网,并应采取相关的技术限制和控制措施。
数据传递由专人使用U盘和专用信箱传递,避免信息不当扩散。
信息分级及传递规则
第十六条公司信息根据重要程度分为四级
绝密:
指极为重要的公司核心商业秘密,如被泄露会使公司利益遭受特别严重的损失。
主要指产品规划、创意、设计方案、产品设计文件(含图纸及文档资料)、客户资料及联络方式;销售报表;采购数据、产品数据;技术项目档案;重大项目资料、公司的核心技术程序、程序的源代码、外购的软件等;所有的人事资料;所有的财务资料;法律文件;股东会文件、董事会文件;公司各种规章制度等涉及公司运营的核心数据资料及档案。
此级别信息,只有得到涉秘信息部门或项目主管书面许可方可根据工作需要进行内部加密传递,且传递范围仅限于需求部门主管或项目的负责人,由部门主管或项目负责人根据业务需要进行分割、整理后传达给本部门的员工。
部门主管或项目负责人对接收的资料信息的安全和合理使用负责,因本人或本部门人员原因造成资料外泄,由部门主管首先负管理责任,同时追究直接责任人责任。
许可须采用邮件回复、签字审批(如果需要移交的资料比较多或比较重要,须填写《数据档案资料移交清册》,见附表一)等有文字记载的书面方式进行,未经批准不得向任何人泄露,未经批准擅自将此级别信息对外发布,按泄密处理,责任人和部门主管负连带责任。
机密:
指重要的公司秘密,如被泄露会使公司利益遭受严重损失。
主要指公司各种讨论、论证结论;资质认证资料;开发项目和进度等对公司经营有重大商业价值的信息;各个部门因工作关系,经部门经理审批可了解相关信息的内容,但严禁复制拷贝,需要复制拷贝须经总经理批准。
此级别信息经审批后可以在具有相关业务联系的经理层传递,不得发布给与业务无关的经理和普通职员,更不得对外泄露。
秘密:
指公司一般商业秘密,泄露会使公司的利益遭受损失。
主要指日常的部门内部讨论、论证结论;日常工作信息等。
此级别信息由部门经理决定发布范围,可以在具有相关业务联系的员工间传递,但不得发布给与业务无关的员工,更不得对外泄露。
普通非秘密类信息:
指内部非保密信息。
主要指各种管理公告、公示,对全体员工开放的各种信息。
此级别信息可以在公司范围内发布传递,但不得对外公布。
第十七条公司信息的传递统一用公司邮箱进行,在发送时应仔细核对收件人,需要审批的,得到批准方可发送。
上述涉密信息的存储、处理、传递、输出要遵守文件传递和档案管理制度,并标注相应的密级标识,受控传递、签阅。
第十八条部门间的信息传递统一由部门主管负责,各个部门的主管是涉秘信息发布与接收的唯一通道,除部门主管外任何人未经批准不得跨跃部门、跨跃职权发布、存储、保留涉秘信息,否则根据本规定进行处罚。
部门主管须按公司要求严格履行保密义务,严格按审批程序和谨慎原则处理涉秘资料,需要批准传递的涉秘文件资料,确因业务需要,可以观摩、演示,但得到批准前不得另外保存、复制、传播,否则按泄密处理。
第十九条任何人发现受控以外传递的涉秘信息,须在第一时间报告部门主管乃至总经理,并采取措施彻底清除已经传递出去的涉秘信息,销毁或回收全部受控以外的文件资料。
数据信息保护保全管理规则
第二十条宗旨:
公司的技术信息、经营信息和管理信息等是公司赖以生存和发展的根本,所有员工必须树立信息时代科技优先、信息为本的思想,严格保护公司的商业秘密。
第二十一条岗位责任:
各部门主管是本部门数据信息保全的第一责任人,如发生数据信息遗失、毁损、灭失、使用不当、泄密等问题,部门主管负首要管理责任。
网络管理员负责对公司电子数据信息进行备份,备份过程中不得查阅浏览与本职工作无关的信息内容,对于工作中知悉的相关商业秘密信息要严格保密。
数据管理专员负责收集和保管公司数据信息,各部门须全力配合,不得拒绝;数据保管专员必须于数据采集的当天将数据资料存放到指定的存放地点,不得私自留存、复制,同时要按照公司的档案管理制度做好数据信息的登记和备案(即详细登记数据资料的内容、采集时间、版本信息等),分类存放,以便于查阅。
第二十二条信息归档保存:
公司数据信息以“谁形成,谁负责归档”为原则。
各个部门根据本部门的业务情况建立全面的业务数据管理规范,部门主管对本部门的数据信息的归档及安全负全责。
各部门的数据信息应及时归档,并自行设专柜妥善保存。
密级为绝密的重要档案信息应在公司以外的专业保管场所由公司指定的专人负责存档及保管。
密级为机密级以上的数据信息,应由部门主管亲自归档及保管,以确保数据信息的安全。
其它密级的数据信息由部门主管根据数据的重要程度分级指派专人负责归档和保管,同时明确归档及保管人员的责任。
第二十三条各部门数据信息档案管理:
各部门须根据本部门特点,制定部门信息档案管理办法。
各部门要严格执行公司信息管理规定及本部门的信息档案管理办法,确保公司的全部信息档案体系能记录、有记录、可查考,为公司的快速发展提供安全、持续、高效的支持。
各部门应充分利用已有的信息档案体系提高决策的科学性,不断创新发展,积累越来越多的知识财富。
第二十四条数据信息的备份与移交:
绝密级信息,必须以可移动的存储方式进行数据备份。
每月的第3个工作日由各个部门指定的数据管理人员或部门主管将备份数据信息移交给公司指定数据管理专员。
存放于公司以外的安全场所,以确保公司数据资料的绝对安全,避免因火灾、盗抢及其他不可预料的以外给公司造成不可挽回的损失。
第二十五条信息封存要求:
部门主管须在封存的介质上加贴一次性封签,并在封签上签字同时签署封存日期。
无总经理批准任何人不得拆封,如遇特殊情况确需拆封检查,须由数据管理专员亲自执行,并在查验完毕后1小时内重新封存完整并在封签上签字确认,同时注明日期。
如需记载的事项较多,应以独立文本文件记录,并与数据信息一并归档保存。
第二十六条封存人对数据信息的完整性和安全性负责。
如果发现有重大的数据遗漏给与警告或1000元-10000以内罚款,并视情况减少,取消期权,股权。
第二十七条借数据备份之名盗取公司数据或恶意伪造编造数据,一经发现立即开除,取消期权,股权。
并保留追究一切责任和要求经济赔偿的权利。
第二十八条数据保管专员的权利与责任:
公司指定的数据保管专员,有权按公司规定搜集数据资料,各个部门主管须全力配合,不得以任何理由拒绝。
数据保管专员必须于数据采集的当天将数据资料存放到制定外部存放地点,不得私自留存、复制和发生任何泄密,否则承担给公司造成的经济损失,并视情节予以5000-100000元的罚款。
同时指定保管人员要按照公司的档案管理制度,做好数据资料的登记和记录,分类存放,详细登记数据资料的内容,采集时间,版本信息等以便于查阅。
责任与监管
第二十九条主管责任
技术总监和技术项目负责人,负责技术文档、源程序、开发文档以及技术相关档案的组织编写和文件归档,负责外购的技术开发应用软件的保管和应用,确保软件没有应用于公司以外的任何用途,负责对全部技术文档进行监察与监督,对技术资料的完整与安全负责;
产品部主管对产品规划、创意、设计方案、产品设计文件(含图纸及文档资料)等全部的产品设计文档和资料负责,组织编写建立归档,进行监察与监督,对本部门的资料完整与安全负责;
人力资源主管对全部的人事资料和档案负责,负责人事制度的建立健全和发布实施,签阅存档;
综合管理部主管对公司全部财务数据档案、公司行政档案、公司资质证书、公司印鉴等的完整和安全负责,同时负责建立健全公司行政办公管理制度,签阅存档。
市场部主管负责公司全部营销企划方案、营销计划规划及策划资料组织编写和归档,对本部门的文件资料的完整和安全负责;
项目主管负责所辖区域的客户资料的整理建档,对客户资料的完整和安全负责;
第三十条监管
对于公司的知识财产采取内部监督和外部监察双重手段进行监管,以确保公司的核心知识资产的安全。
首先,每个月部门主管要组织本部门进行自查,保证本月及以前月份备份数据的完整和准确;
第二,每个季度由综合管理部组织各个部门主管,由总经理统领进行交叉稽查;
第三,由总经理根据需要,聘请外部的顾问和专家进行外部独立稽查;
第三十一条责任承担
1)对于重要资料没有备份、备份不全或备份错误的,根据给公司造成的损失追究相应的责任。
2)违反“信息保密规则”,对相关责任人员予以警告或罚款,行政记过、记大过直至开除。
3)违反“信息分级及传递规则规则”,对相关责任人员予处警告或罚款,行政记过、记大过直至开除。
4)违反“数据信息保护保全管理规则”,因过失导致数据信息遗失、泄露,对责任人处以警告或1000元以下罚款;窃取公司商业秘密范围的数据信息或恶意伪造篡改数据的,一经发现立即予以辞退,取消全部股权期权奖金红利,除按劳动合同和竞业禁止约定处罚外,构成犯罪的报司法机关追究刑事责任。
5)违反本“信息管理保密暂行规定”,除给予警告、罚款、记过、记大过、辞退等行政处分外,如给公司造成经济损失,同时承担民事赔偿责任,部门主管有过失的负连带赔偿责任。
构成犯罪的,报送司法机关依法追究刑事责任。
第三十二条本制度由综合管理部解释、补充,经总经理批准颁布执行。
信息***
信息安全惩戒管理规定
A版
文件修订历史记录
版本
日期
修订者
修订描述
1.0
1目的
为对违反信息安全方针、体系文件要求、法律法规、合同要求的员工实施公正有效的奖惩,并作为对可能在其它情况下有意轻视信息安全程序的员工的威慑,强化全体员工的信息安全意识,有效防止信息安全事故的发生,特制定本规定。
2范围
本程序适用于***信息***对违反信息安全方针、体系文件要求、法律法规、合同要求的员工的奖惩及对信息安全做出贡献员工的奖励。
3相关文件
4职责
4.1各副总经理负责自己区域内的奖惩。
4.2管理者代表负责对IT方面信息安全事故的奖惩管理。
4.3信息安全管理委员会负责决定重大信息安全和事故的处罚。
4.4综合管理员负责***信息***内部泄密或信息泄漏的调查。
5程序
5.1计算机信息系统的安保
5.1.1在计算机信息系统安全保护工作中成绩显著的单位和个人,由市行、市行所辖各单位或公安机关给予表彰、奖励。
5.1.2存在计算机信息系统安全隐患的市行所辖单位,由市行或公安机关发出整改通知,限期整改。
因不及时整改而发生重大事故和案件的,由市行对该单位的主管负责人和直接负责人予以行政处分;构成违反治安管理或者违反计算机管理监察行为的,由公安机关依法予以处罚;构成犯罪的,由司法机关依法追究刑事责任。
注:
以上条款由***信息***计算机信息系统安全保护小组负责解释。
5.2计算机应用与管理违规行为处罚规定
5.2.1计算机应用、维护及操作人员违反规定对账务、信息进行处理的,给予经济处罚或者警告至降级处分;造成严重后果的,给予撤职至开除处分。
5.2.2违反规定,擅自编制、使用、修改业务应用程序、调整系统参数和业务数据的,给予主管人员和其他责任人员记过至撤职处分;造成严重后果的,给予主管人员和其他责任人员留用察看至开除处分。
5.2.3利用计算机进行违法违规活动或者为违法违规活动提供条件的,给予主管人员和其他责任人员记过撤职处分;造成严重后果的,给予留用至开除处分。
5.2.4违反规定,有下列危害***网络安全行为之一的,给予有关责任人员经济处罚或者警告至记过处分;造成严重后果的,给予记大过至开除处分:
(a)在生产经营用机上使用与业务无关的软件或者利用通讯手段非法侵入其他系统和网络的(含从***的一个业务系统进入另一个业务系统,从***以外的系统和设备侵入***业务网络系统,以及从***的业务网络系统进入***以外的网络系统);
(b)未经审批,私自使用***内部网络上的计算机拨号上国际互联网的;
(c)将非***计算机设备接入***网络系统的;
(d)私自卸载或屏蔽计算机安全软件的;
(e)私自修改计算机操作系统、网络系统安全设置的;
(f)未经审批,私自在***网络系统内开设游戏网站、论坛、聊天室等与工作无关的网络服务的;
(g)利用邮件系统传播损害***形象的邮件的。
5.2.5利用***的计算机设备和网络系统制造、传播计算机病毒,给予主管人员和其他责任人员记过至记大过处分;造成严重后果的,给予主管人员和其他责任人员降级至开除处分。
5.2.6计算机房值班人员擅自离岗的,给予经济处罚或者警告处分;造成严重后果的,给予记过至开除处分。
5.2.7系统管理和操作人员离开主机或者终端时没有按操作规程退出系统的,给予经济处罚或者警告至记过处分;造成严重后果的,给予记大过至开除处分。
5.2.8违反规定将属于***的计算机软件、文档、资料、客户信息等据为己有、复制或者借给外单位的,给予有关责任人员记过至撤职处分;造成严重后果的,给予留用察看至开除处分。
5.2.9未按规定进行数据备份、没有妥善保管备份数据或备分数据无效的,给予主管人员和其他责任人员经济处罚或者警告至记过处分;造成严重后果的,给予记大过至开除处分。
5.2.10在对面向客户的业务应用系统管理中,从事后台维护的技术人员,违反规定同时进行前台技术维护的,给予主管人员和其他责任人员记过至记大过处分;造成严重后果的,给予降级至开除处分。
5.2.11在核心业务系统、支付系统、国际业务系统、银行卡系统、网上银行系统及储蓄事后监督系统等面向客户的业务应用系统有关的各项业务操作过程中,技术人员代替业务人员操作,或业务员允许技术人员代替从事业务操作,给予主管人员和其他责任人员记过至开除处分。
5.2.12在电子银行业务中,有下列行为之一的,给予主管人员和其他责任人员警告至降级处分;造成严重后果的,给予撤职至开除处分:
(a)违反规定,套取客户用户名、口令等机密信息的;
(b)违反规定,复制、截留客户电子证书的;
(c)冒用客户名义,伪造相关资料,骗取电子证书的。
5.2.13伪造电子银行转账信息的,给予主管人员和其他责任人员警告至降级处分;造成严重后果的,给予撤职至开除处分。
5.3计算机信息类违规处罚
5.3.1信息***职工违规操作,给系统造成一定的影响,但没有影响业务正常运行或对业务造成轻微危害者,给当事人警告或严重警告、情节较重或严重者,视情节轻重给予当事人和主管领导200元以上1000元以下罚款。
5.3.2信息***职工违规操作导致系统发生问题,影响业务长时间正常运行,立即调离信息***,情节严重者,按照市行的有关规定处罚。
5.3.3支行系统员凡是不按要求管理,出现公网和内网混网现象,或其它安全问题,一经发现,除全行通报批评外,处以200元罚款,情节严重者,调离系统员岗位。
5.3.4市行机关和支行所有计算机使用用户,违规私自修改网络地址进入不该进入的业务网段、或使用内网主机进入internet网络者,若对系统和业务未造成影响,除全行通报批评外,处以当事人和相关责任人200元罚款,若对系统或业务造成影响着,视情节轻重,处以500以上10000元以下罚款。
5.3.5对全行所有营业网点每天晚间业务结束后,未做网点平账交易,除全行通报批评外,处以该网点200元罚款,该单位第二天必须向信息***出具事件说明报告。
5.3.6凡是利用非法手段窃取系统密钥,进入我行业务系统,盗取客户资料,向外界提供客户资料并造成客户损失或进入系统作案者,一经发现,立即开除行籍,情节严重者,送交司法机关处置。
5.4奖惩记录
5.4.1综合管理员根据***信息***奖惩管理规定,对奖惩的实施进行记录并形成《奖惩记录单》记录完毕后由综合管理员进行留存。
5.5证据的收集
5.5.1当信息安全事件涉及到诉讼(民事的或刑事的),需要进一步对个人或组织进行起诉时,应收集、保留和呈递证据,以使证据符合相关诉讼管辖权。
5.5.2证据在收集时不得侵犯个人权益,应在不侵犯个人权益时对证据进行收拾并且证实证据是否可在法庭上使用。
5.5.3应保证证据的质量和完备性,防止未被授权的篡改和泄漏。
5.5.4证据获得的保证:
***信息***应确保收集证据其信息系统符合任何公布的标准或实用规则来产生被容许的证据。
5.6证据的保存及提供
5.6.1提供证据的份量应符合任何适用的要求。
对该证据的存储和处理的整个时期内,应进行过程控制保证证据的质量和完备性。
5.6.2纸面文档证据的提供:
原物应被安全保存且带有下列信息的记录:
谁发现了这个文档,文档是在哪儿被发现的,文档是什么时候被发现的,谁来证明这个发现;任何调查应确保原物没有被篡改;
5.6.3对计算机介质上的信息:
任何可移动介质的镜像或拷贝(依赖于适用的要求)、硬盘或内存中的信息都应确保其可用性;拷贝过程中所有的行为日志都应保存下来,且应有证据证明该过程;原始的介质和日志(如果这一点不可能的话,那么至少有一个镜像或拷贝)应安全保存且不能改变
5.6.4任何法律取证工作应仅在证据材料的拷贝上进行。
所有证据材料的完整性应得到保护。
证据材料的拷贝必须在可信耐人员的监督下进行,什么时候在什么地方执行的拷贝过程,谁执行的拷贝活动,以及使用了哪种工具和程序,这些信息都应记录作为日志。
6记录
《奖惩记录单》
奖惩记录单
序号
区域/部门
奖惩人姓名
奖惩事项描述
奖惩人
签字确认
备注
计算机及相关设备安全管理制度
第1条所有设备在入网前,需由信息中心对设备的涉密情况、基本配置信息、用途、使用人、安装的软件、使用的端口和服务、MAC地址等登记备案并进行安全审核,合格后方可入网与处理重要信息。
第2条所有设备需按照相关安全管理要求进行安全设置,不能自行设置的可咨询信息中心。
第3条由信息中心的网络管理人员根据登记信息对计算机及相关设备进行网络配置(包括网络跳线、MAC地址与IP地址的绑定、VLAN配置等)。
第4条系统安全管理
1、严格执行用户权限分类分级控制原则;
2、严格执行权限最小化原则;
3、相同的访问权限执行一致的安全策略;
4、各设备的系统用户及密码应按照相关安全管理规定设置,并定期修改密码。
5、禁止一切没有限制的文件共享;
6、根据业务需要开启相应端口服务;
7、涉密计算机必须实行“专机专管、专机专用”;
8、严禁在连接财政内网的计算机上私自安装和使用MODEM、无线网卡、无线路由器等网络通讯设备。
对于违反规定的人员,发生安全事件由其承担全部责任并追究分管领导责任;
9、计算机必须按照标准格式(房间号-姓名简拼)命名,以方便对计算机进行定位。
10、计算机BIOS应设置口令,防止非法修改。
第5条计算机上网安全管理
1、连接财政专网的计算机禁止以双网卡、修改IP地址、切换信息点及拨号等方式访问INETRNET;
2、计算机必须通过在网络边界统一设置的方式访问INTERNET,严禁通过拨号等方式绕过代理服务器上网,严禁访问与工作无关的网站,坚决杜绝因访问不安全网站致使危险代码下载到计算机,危害系统和网络信息安全的现象发生;
3、涉密计算机及其网络系统必须与互联网实行严格的物理隔离,坚决杜绝“一机两用”现象。
第6条计算机外设安全管理
1、计算机外设包括软驱、光驱、存储介质(名手软盘、光盘、优盘、移动硬盘、MP3、磁带、存储卡、数码相机存储棒等)、调制解调器、红外设备、蓝牙设备、串口设备等。
计算机外设在未经安全审核的情况下一律禁止使用,以消除由此可能带来的安全隐患;
2、制作、收发、传递、使用、复制、保存和销毁涉密存储介质要按照相关保密管理规定进行,严禁自行处理;
3、涉密移动存储介质要统一购置、统一标识、严格登记、严格管理,不得在涉密信息系统和非涉密信息系统之间交叉使用,以免造成信息泄漏
升级会员 