信息安全策略剖析.docx

信息安全策略剖析.docx

《信息安全策略剖析.docx》由会员分享，可在线阅读，更多相关《信息安全策略剖析.docx（49页珍藏版）》请在冰豆网上搜索。

信息安全策略剖析

信息安全策略

3

文档编号

编制

审核

批准

发布日期

备注

本公司对本文件资料享受著作权及其它专属权利，未经书面许可，不得将该等文件资料（其全部或任何部分）披露予任何第三方，或进行修改后使用。

3.

访问控制策略

5

4.

物理访问策略

6

5.

供应商访问策略

8

6.

雇员访问策略

10

7.

设备及布缆安全策略

11

8.

变更管理安全策略

14

9.

病毒防范策略

16

10.

可移动代码防范策略

17

11.

信息备份安全策略

18

12.

网络配置安全策略

19

13.

信息交换策略

20

14.

运输中物理介质安全策略

21

15.

电子邮件策略

22

16.

信息安全监控策略

23

17.

特权访问管理策略

25

18.

口令控制策略

26

19.

清洁桌面和清屏策略

28

20.

互联网使用策略

29

21.

便携式计算机安全策略

31

22.

事件管理策略

32

23.

个人信息使用策略

33

24.

业务信息系统使用策略

34

25.

远程工作策略

35

26.

安全开发策略

36

1信息资源保密策略

发布部门

信息安全小组生效时间2016年11月01日

介绍

保密策略是用于为信息资源用户建立限制和期望的机制。

内部用户不期望信息资源保密。

外部用户期望信息资源拥有完整的保密性，除了在发生可疑的破坏行为的情况下。

目的

该策略的目的是明确的沟通信息资源用户的信息服务保密期望。

适用范围

该策略适用于使用信息资源的所有人员。

术语定义

略

信息资源保密策略

在公司内部保存和控制的电子文件应该公开，并且可以被信息服务人员访问；

为了管理系统并加强安全，信息技术部小组可以记录、评审，冋时也可以使用其信息资源系统中存储和传递的任何信息。

为了达到此目的，信息技术部小组还可以捕获任何用户活动，如拨号号码以及访问的网站；

为了商业目的，第三方将信息委托给公司内部保管，那么信息技术部小组的所有

工作人员都必须尽最大的努力保护这些信息的保密性和安全性。

对这些第三方来说最重要的就是个人消费者，因此消费者的账户数据应该保密，并且对这些数据

的访冋也应该依据商业需求进行严格限制；

用户必须向适当的管理者报告公司内部计算机安全的任何薄弱点，可能的误用事

故或者相应授权协议的违背情况；

在XX或获得明确冋意的情况下，用户不可以尝试访问公司内部系统中包含

的任何数据或程序。

惩罚

违背该策略可能导致：

员工以及临时工被解雇、合冋方或顾问的雇佣关系终止、实习

人员和志愿者失去继续工作的机会、学生被开除；另外，这些人员还可能遭受信息资

源访问权以及公民权的损失，甚至遭到法律起诉。

引用标准

略

2网络访问策略

发布部门

信息安全小组生效时间2016年11月01日

介绍

网络基础设施是提供给所有信息资源用户的中心设施。

重要的是这些基础设施（包括电缆以及相关的设备）要持续不断的发展以满足需求，然而也要求冋时高速发展网络技术部以便将来提供功能更强大的用户服务。

目的

该策略的目的是建立网络基础设施的访问和使用规则。

这些规则是保持信息完整性、可用性和保密性所必需的。

适用范围

该策略适用于访问任何信息资源的所有人。

术语定义

略

网络

访问

策略

用户不可以以任何方式扩散或再次传播网络服务。

未经信息安全小组批准不可以安装路由器、交换机、集线器或者无线访问端口；

在未经信息安全小组批准的情况下，用户不可以安装提供网络服务的硬件或软件；

需要网络连接的计算机系统必须符合信息服务规范；

用户不可以私自下载、安装或运行安全程序或应用程序，发现或揭露系统的安全薄弱点。

例如，在以任何方式连接到互联网基础设施时，未经信息安全小组批准用户不可以运行口令破解程序、监听器、网络绘图工具、或端口扫描工具；不允许用户以任何方式更换网络硬件；

在局域网上进行文件共享时必须指定访冋权限，机密信息严禁使用everyone权

限。

任何员工在访问网络资源时必须使用专属于自己的帐号ID,不得使用他人的帐号

访问网络资源。

网络分为办公网络和生产环境网络，办公网络又分为日常办公网络和专门远程访问网络

生产环境网络必须使用vpn由专人专机访冋，必须要提前向上级领导申请报告不得从生产环境下载拷贝等操作

只能从公司指定办公网络（公司专门的网络通道）访问远程的服务器修改远程服务器的内容必须要提前申请报告，且要有详细的操作步骤

惩罚

违背该策略可能导致：

员工以及临时工被解雇、合冋方或顾问的雇佣关系终止、实习

人员和志愿者失去继续工作的机会、学生被开除；另外，这些人员还可能遭受信息资

源访问权以及公民权的损失，甚至遭到法律起诉。

引用标准

略

3.访问控制策略

发布部门

信息安全小组

生效时间

2016年11月01日

介绍

应根据业务和安全要求，控制对信息和信息系统的访问。

目的

该策略的目的是为了控制对信息和信息系统的访问。

适用范围

该策略适用于进行信息和信息系统访问的所有人员。

术语定义

略

访问

控制

策略

公司内部可公开的信息不作特别限定，允许所有用户访问；

公司内部分公开信息，根据业务需求访问，访问人员提出申请，经访问授权管理

部门认可，访问授权实施部门实施后用户方可访问；

公司网络、信息系统根据业务需求访问，访问人员提出申请，经信息安全小组认

可，实施后用户方可访冋；

信息安全小组安全管理员按规定周期对访问授权进行检查和评审；

访问权限应及时撤销，如在申请访问时限结束时、员工聘用期限结束时、第三方

服务协议中止时；

用户不得访问或尝试访问XX的网络、系统、文件和服务；

远程用户应该通过公司批准的连接方式；

在防火墙内部连接内部网络的计算机不允许连接INTERNET,除非获得信息安全

小组的批准；

用户不得以任何方式私自安装路由器、交换机、代理服务器、无线网络访问点（包

括软件和硬件）等；

在信息网、外联网安装新的服务（包括软件和硬件）必须获得信息安全小组的

批准；

用户不得私自撤除或更换网络设备。

惩罚

违背该策略可能导致：

员工以及临时工被解雇、合冋方或顾问的雇佣关系终止、实习

人员和志愿者失去继续工作的机会、学生被开除；另外，这些人员还可能遭受信息资

源访问权以及公民权的损失，甚至遭到法律起诉。

引用标准

略

4.物理访问策略

发布部门

信息安全小组生效时间2016年11月01日

介绍

技术部支持人员、安全管理员、IT管理员以及其他人员可能因工作需要访问信息资源物理设施。

对信息资源设施物理访问的批准、控制以及监控对于全局的安全是极其重要的。

目的

该策略的目的是为信息资源设施物理访问的批准、控制、监控和删除建立规则。

适用范围

该策略适用于组织中负责信息资源安装和支持的所有人员，负责信息资源安全的人员以及数据的所有者。

术语定义

略

物理

访问

策略

所有物理安全系统必须符合相应的法规，但不仅限于建设法规以及消防法规；对所有受限制的信息资源设施的物理访问必须形成文件并进行控制；所有信息资源设施必须依据其功能的关键程度或重要程度进行物理保护；对信息资源设施的访问必须只授权给因职责需要访问设施的支持人员和合同方；授权使用卡和/或钥匙访问信息资源设施的过程中必须包括设施负责人的批准；拥有信息资源设施访问权的每一个人员都必须接受设施应急程序培训，并且必须签署相应的访问和不泄密协议；访问请求必须发自相应的数据/系统所有者；访问卡和/或钥匙不可以与他人共享或借给他人；访问卡和/或钥匙不需要时必须退还给信息资源设施负责人。

在退还的过程中，卡

不可以再分配给另一个人；

访问卡和/或钥匙丢失或被盗必须向信息资源设施的负责人报告；卡和/或钥匙上除了退回的地址外不可以有标志性信息；

所有允许来宾访问的信息资源设施都必须使用签字出/入记录来追踪来宾的访问；

信息资源设施的持卡访问记录以及来宾记录必须保存，并依据被保护信息资源的关键程度定期评审；

在持卡和/或钥匙的人员发生变化或离职时，信息资源设施的负责人必须删除其访

问权限；

在信息资源设施的持卡访问区，来宾必须由专人陪同；信息资源设施的负责人必须定期评审访问记录以及来宾记录，并要对异常访问进行调查；

信息资源设施的负责人必须定期评审卡和/或钥匙访问权，并删除不再需要访问的

人员的权限；

对限制访问的房间和场所必须进行标记，但是描述其重要性的信息应尽可能少。

惩罚

违背该策略可能导致：

员工以及临时工被解雇、合冋方或顾问的雇佣关系终止、实习

人员和志愿者失去继续工作的机会、学生被开除；另外，这些人员还可能遭受信息资

源访问权以及公民权的损失，甚至遭到法律起诉。

引用标准

略

5.供应商访问策略

发布部门

信息安全小组生效时间2016年11月01日

介绍

供应商在支持硬件和软件管理以及客户运作方面有重要作用。

供应商可以远程对数据

和审核日志进行评审、备份和修改，他们可以纠正软件和操作系统中的问题，可以监控并调整系统性能，可以监控硬件性能和错误，可以修改周遭系统，并重新设置警告极限。

由供应商设置的限制和控制可以消除或降低收入、信誉损失或遭破坏的风险。

目的

该策略的目的是为减缓供应商访问组织资产带来的风险。

适用范围

该策略适用于所有需要访问组织的供应商。

术语定义

略

第三

方访问策略

供应商必须遵守相应的策略、操作标准以及协议，包括但不仅限于：

安全策略；

保密策略；

审核策略；

信息资源使用策略。

供应商协议和合同必须规定：

供应商应该访冋的信息；

供应商怎样保护信息；

合冋结束时供应商所拥有的信息返回、毁灭或处置方法；

供应商只能使用用于商业协议目的的信息和信息资源；

在合冋期间供应商所获得的任何信息都不能用于供应商自己的目的或泄漏给他人。

应该向信息安全小组提供与供应商的合同要点。

合同要点能确保供应商符合策略的要求；

为供应商分配类型，如IT基础组件运维服务、系统维护服务、网络维护服务等；

需定义不冋类型供应商可以访问的信息类型，以及如何进行监视和工作访问的权

限；

供应商访问信息的人员范围仅限于工作需要的人员，授权需获得信息安全小组的

批准；

供应商权限人员不得将已授权的身份识别信息和相关设备透露、借用给其他人员，

工作结束后应该立即注销访问权限及清空资料；

针对与供应商人员交互的组织人员开展意识培训，培训内容涉及基于供应商类型

和供应商访冋组织系统及信息级别的参与规则和行为；如适合可与供应商就关系中的信息安全签署保密或交换协议；每一个供应商必须提供在为合冋工作的所有员工清单。

员工发生变更时必须在24小时之内更新并提供；

每一个在组织场所内工作的供应商员工都必须佩带身份识别卡。

当合冋结束时，此卡应该归还；

可以访问机密信息资源的每一个供应商员工都不能处理这些信息；供应商员工应该直接向恰当的人员直接报告所有安全事故；如果供应商参与安全事故管理，那么必须在合冋中明确规定其职责；供应商必须遵守所有适用的更改控制过程和程序；

定期进行的工作任务和时间必须在合同中规定。

规定条件之外的工作必须由相应的管理者书面批准；

必须对供应商访问进行唯一标识，并且对其进行的口令管理必须符合口令实施规范和特殊访问实施规范。

供应商主要的工作活