SCN个人设备安全策略Word格式.docx

1、Last Mod. Date2009-4-2文档信息表文档基本信息文档名称架构安全策略保密级别机密文档版本号S0011CN制作人制作日期2009-2-4复审人Oliver复审日期扩散范围扩散批准人文档修订信息版本修正章节日期作者变更记录ALL刘锦祥文档创建文档发布2010-2-25赵海锋文档格式调整本文档为99bill机密性文档。该分类级别针对高度敏感信息。 标记为“99bill机密”的信息访问仅限于需要获取该信息的员工。标识为“99bill机密”的文件不可以在未签署保密协议（NDA）情况下给到外部人员。访问存放在中央IT系统中的“99bill机密”文档必须受控。任何人获得标识为“99bill

2、机密”的文档，必须采取保护措施确保信息不被任何非授权用户获取。相关文档Encryption PolicyS0014ENSecurity of InfrastructureS0011ENPhysical and Office SecurityS0013ENCorrective and Preventive ActionsQ0105ENSoftware UsageS1007EN1. 个人设备信息安全1.1. 文档目的本指引针对分配给99bill员工的信息和通讯系统设备提出相关安全规定。个人办公设备是99BILL提供给员工或者其他方处理、通讯和存储99bill或者99bill客户的相关信息的物理资产

3、，且员工具有这些设备的控制权。个人办公设备在本文档中主要指笔记本电脑和PC机。同时本文档也广泛适用于外部存储介质例如USB硬盘、CD、外置硬盘和其他个人设备例如PDA或智能电话。本文档定义了个人设备的安全规定，特别是在保护的安全环境之外的时候；本文档也定义了在有可能遭受威胁的环境下所要求的安全控制措施从而实现这些设备的有效防护。1.2. 读者范围本文档涉及99bill所有员工以及使用99bill设备的外部人员。2. 安全目标快钱员工在个人办公设备存储和处理的数据通常包括如下“重要数据”： 私有和机密的客户信息； 私有和机密的公司信息； 用于安全控制的安全数据，例如key，密码，证书等； 用于部

4、署设备及其应用的数据，例如许可密钥、软件镜像等。下列条款提供安全基准的简要说明： 存放在个人办公设备数据必须防止破坏数据机密性，例如非授权用户物理访问包括破坏性攻击； 存放在个人办公设备数据必须防止破坏数据可用性，例如物理性地丢失设备、被偷窃、出现故障等； 存放在个人办公设备数据必须防止破坏数据完整性，例如通过不安全的通信和恶意的软件； 存放在个人办公设备数据必须防止数据滥用，例如感染病毒、蠕虫或者被安装恶意软件。3. 责任3.1. 个人设备的提供快钱发给员工的个人使用设备都应该明确的被理解为快钱保持所有权，快钱有权在任何时候且无需通知持有人的情况下收回。快钱提供的个人使用设备只被允许用于商业

5、用途。3.2. 个人责任雇员有责任保护个人办公设备在他们使用时候的安全，因此应该执行和维护所有合适的安全措施。雇员有责任保护所有在其个人办公设备上存储和处理的信息。4. 一般步骤4.1. 建议和支持99bill支持雇员选择、安装和维护合适的安全访问控制措施。99bill提供必要的技术和组织方式来实施适当的个人办公设备安全防护。4.2. 应急响应一旦影响到个人办公设备或者存放在上面的数据的事故发生时，应当执行一般性的事故处理流程，详见Q0105EN纠正性和预防性行为。 5. 安全控制5.1. 毁坏和丢失个人办公设备应该在安全环境之外被恰当的保护来防止毁坏、偷窃和丢失。在差旅、客户环境或家中，只有

6、完全是工作所必须的设备才能够被携带。5.2. 物理访问个人办公设备应该防止被未授权用户物理访问，特别在离开99BILL办公环境中使用时。个人办公设备在公共地方或者其他可能有未授权访问登录的地方应该不离开携带者的视线，例如车上，公共交通工具、会议场地或者家里。如果无法避免，合适的安全措施必须采用，例如锁在安全的柜子中。有价值的东西应该保持“不可见”，从而避免引起偷窃。5.3. 逻辑访问必须采用适当的安全机制，实现访问控制的级别，达到存储在个人办公设备信息类别的不同访问控制级别要求。在可能情况下，应当强制使用下列安全措施： 启动密码/PIN； 设备离开视线时使用屏幕保护锁定屏幕； 加密“机密“级别

7、和更高级别信息，如果这些信息存放在便携设备或者介质； 或者在公共网络通道中传输（推荐内部信息使用加密）； 给使用便携式存储设备设密码； 安装个人防火墙在笔记本电脑（参见“强制使用软件”）； 使用防间谍软件； 使用非特权用户。5.4. 基本配置对于每种不同的个人办公设备，应提供推荐的配置指定可用的硬件、软件和服务。然而，每个99bill员工在遵守许可规定的情况下，可以更改他们的个人办公设备的配置。此外更改不应该影响和同事及客户合作方的通讯，同时也不应该导致99bill额外的开销。99bill保留禁止使用特殊产品的权利。5.5. 软件使用5.5.1. 强制安装软件某些软件组件必须被安装，更新到最新

8、版本，并保持任何时刻都启用该功能。详见S1007EN Software Usage中的“Mandatory Software”。5.5.2. 禁止软件此外，有些软件必须不能在99bill所拥有的计算机资源或者99bill内部网络中进行安装，详细列表在S1007EN Software Usage 的“Prohibited Software”.中查看。在某些特殊环境下可能必须使用禁止的软件，例如由于某些客户的需要，这样的情况，使用必须得到管理层的明确同意。5.5.3. 更新和补丁文档“S1007EN Software Usage”说明了使用强制安装软件的特定版本要求，包括软件强制补丁和更新，此文档

9、由IT管理部两月更新一次，每个雇员需要查看此文档的变更，如果需要则更新所有个人设备。所有可用的安全补丁应该立即安装除非IT部门说明的特殊进程。这也包括在“软件使用”说明文档中未提及的软件。防病毒软件的病毒代码库更新应至少每周一次。防间谍软件代码库应该保持周期性更新。其他补丁和更新文件一旦满足要求则立刻安装。如果没有已知的安全问题，推荐至少保持每6个月更新一次，除非某些特殊的原因强制使用老版本。5.6. 文件加密系统与客户相关的信息应该存放在加密环境中（例如文件系统、驱动设备、目录）。详见S0014EN Encryption Policy。5.7. 通信安全在潜在威胁环境下的通讯传输的信息应该被

10、保护： 连接外部网络的时候，个人防火墙必须确保处于启用状态； 外部网络连接到99bill内部系统时，应使用VPN连接。当使用VPN连接时，默认所有网络流量应通过VPN连接； 机密信息应该在被加密的状态下在可能有潜在威胁的环境中传输（邮件、即时消息、VOIP等），详见99bill加密策略； 无线网络服务比如蓝牙和红外设备应该默认处于关闭状态，需要时临时开启。5.8. 备份所有雇员都必须确保个人办公设备及其上存储的数据的不可用不会影响业务流程。在此处“不可用”指“对99bill不可用”。5.9. 清除所有标识为内部或者更高安全级别的数据应该在设备归还公司前从设备中安全删除。具体细节参见S0013 Physical and Office Security Policy章中的“Secure Disposal”章节。