信息安全系统管理系统要求规范.docx

1、信息安全系统管理系统要求规范信息安全管理规范公司版本信息当前版本: 最新更新日期:最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史版本号更新日期修订作者主要修订摘要Table of Contents（目录）1.公司信息安全要求1.1信息安全方针拥有信息资产，积累、共享并保护信息资产是我们共同的责任。管理与技术并重，确保公司信息资产的安全，保障公司持续正常运营。履行对客户知识产权的保护承诺，保障客户信息资产的安全，满足并超越客户信息安全需求。1.2信息安全工作准则保护信息的机密性、完整性和可用性，即确保信息仅供给那些获得授权的人员使用、保护信息及信息处理方法的准确性和完整性、确

2、保获得授权的人员能及时可靠地使用信息及信息系统；公司通过建立有效的信息安全管理体系和必要的技术手段，保障信息资产的安全，降低信息安全风险；各级信息安全责任者负责所辖区域的信息安全，通过建立相关制度及有效的保护措施，确保公司的信息安全方针得到可靠实施；全体员工应只访问或使用获得授权的信息系统及其它信息资产，应按要求选择和保护口令；XX，任何人不得对公司信息资产进行复制、利用或用于其它目的；应及时检测病毒，防止恶意软件的攻击；公司拥有为保护信息安全而使用监控手段的权力,任何违反信息安全政策的员工都将受到相应处理；通过建立有效和高效的信息安全管理体系，定期评估信息安全风险，持续改进信息安全管理体系。

3、1.3职责全体员工应保护公司信息资产的安全。每个员工必须认识到信息资产的价值，负责保护好自己生成、管理或可触及的涉及的数据和信息。员工必须遵守信息标识与处理程序，了解信息的保密级别。对于不能确定是否为涉密信息的内容，必须征得相关管理部门的确认才可对外披露。员工必须遵守信息安全相关的各项制度和规定，保证的系统、网络、数据仅用于的各项工作相关的用途，不得滥用。1.4信息资产的分类规定 公司的信息资产分为电子数据、软件、硬件、实体信息、服务五大类。类别说明电子数据存在信息媒介上的各种数据资料，包括源代码、数据库数据等各种电子化的数据资料、项目文档、管理文档、运行管理规程、计划、报告、用户手册、作业指

4、导书等各种电子化的数据资料。软件包括系统软件、应用软件、共享软件系统软件：操作系统、语言包、工具软件、各种库等；应用软件：外部购买的应用软件，办公软件等；共享软件：各种共享源代码、共享可执行程序等。硬件网络设备：路由器、网关、交换机等计算机设备：大型机、服务器、工作站、台式计算机、移动计算机等存储设备：磁带机、磁盘阵列、工控机等移动存储设备：磁带、光盘、软盘、U盘、移动硬盘等传输线路：光纤、双绞线等基础保障设备：（UPS、变电设备等）、空调、保险柜、文件柜、门禁、消防设施等，如对基础设施使用属于租用形式，请将其识别到服务类别中。安全保障设备：硬件防火墙、入侵检测系统、身份验证等其他电子设备：打

5、印机、复印机、扫描仪、传真机等实体信息纸制的各种文件、合同、传真、会议纪要、财务报表、证书、电报、发展计划以及各类其他材质的证书奖牌等。服务通过各种协议方式固化下来的服务活动、如物业、第三方、供应商、提供检修服务的提供方等。1.5信息资产的分级（保密级别）规定信息资产分为：一般、内部公开、企业秘密、企业机密4个保密级别。保密级别名称说明1一般一般性信息，可以公开的信息、信息处理设备和系统资源。2内部公开非敏感但仅限公司内部使用的信息、信息处理设备和系统资源。3企业秘密敏感的信息、信息处理设备和系统资源，只给必须知道者。4企业机密敏感的信息、信息处理设备和系统资源，仅适用极少数必须知道的人。1.

6、6现行保密级别与原有保密级别对照表保密级别与公司原有的保密级别的对照表如下：现行的保密级别与之相当的原有保密级别一般一般内部公开秘密企业秘密机密企业机密绝密1.7信息标识与处置中的角色与职责角色职责责任人：信息资产的创建者，或者主要用户所在组织、单位或部门的负责人。信息资产责任人对所属信息资产负直接责任。理解和各种信息访问活动相关的安全风险；根据公司信息密级划分标准来确定所属信息资产的级别；根据公司相关策略确定并检查信息访问权限；针对所属信息资产提出恰当的保护措施。 保管者：受信息资产责任人委托，对信息资产进行日常的管理，维护已经建立的保护措施。资产保管者通常是公司或部门的IT管理者或者代表（

7、例如系统管理员）。 根据公司相关策略和信息资产责任人的要求，负责信息资产的维护操作和日常管理事务；负责具体设置信息访问权限；负责所管理的信息资产的安全控制；部署恰当的安全机制，进行备份和恢复操作；按照信息资产责任人的要求实施其他控制。用户：信息资产的使用者，除了公司内部员工，也可能是因为业务需要而访问公司信息的客户或第三方组织。向信息责任人申请信息访问；按照公司信息安全策略要求正当访问信息，禁止非授权访问；向相关组织报告隐患、故障或者违规事件。1.8信息资产标注管理规定（1）公司所属的各类信息资产，无论其存在形式是电子、纸质还是磁盘等，都应在显著位置标注其保密级别。（2）一般电子或纸质文档应在

8、该文档页眉的右上角或页脚上标注其保密级别或在文件封面打上保密章，磁盘等介质应在其表面非数据区予以标注其保密级别。（3）如果某存储介质中包含各个级别的信息，作为整体考虑，该存储介质的保密级别标注应以最高为准。（4）如果没有明显的保密级别标注，该信息资产以“一般”级别看待。（5）对于对外公开的信息，需要得到相关责任人的核准，并由对外信息发布部门统一处理。（6）如需在信息资产上表述保密声明，可采用以下两种表述方式：表述方式一：“保密声明：公司资产，注意保密。”表述方式二：“保密声明：本文档受国家相关法律和公司制度保护，不得擅自复制或扩散。”1.9允许的信息交换方式 公司允许的信息交换方式有：邮件、视

9、频、电话、网站内容发布、文件共享、传真、光盘、磁盘、磁带和纸张。1.10信息资产处理和保护要求对应表 企业机密企业秘密内部公开一般授权需得到责任人和公司管理层批准需得到相关责任人及部门领导批准需得到责任人批准无特别要求访问只能被得到授权的公司极少数核心人员访问只能被公司内部或外部得到明确授权的人员访问，访问者应该签署保密协议可以被公司内部或外部因为业务需要的人员访问任何公司员工或外部人员都可以访问存储电子类的应该加密存储在安全的计算机系统内；硬拷贝应该锁在安全的保险柜内；禁止以其他形式存储或显示电子类的应该妥善保存在设有安全控制的计算机系统内（建议进行信息加密）；硬拷贝应该妥善保管，严禁摆放在

10、桌面；使用白板展示后应立即擦除电子类的应该妥善保管，可以进行加密；纸质不应放在桌面以恰当方式保存，避免被非授权人员看到；存储有信息的介质避免丢失复制得到相关责任人及公司管理层批准；需要登记须经相关责任人批准，并让专人操作或监督实施，需要登记经相关责任人批准内部复制无限制打印禁止打印（或在授权情况下专人负责打印，不得打印到无人值守机）须经相关责任人许可，打印件标注密级并妥善管理，不得打印到无人值守机经相关责任人许可，打印件标注密级并妥善管理无限制，打印件标注密级邮件禁止邮件直接发送，经授权后做电子签名和加密控制，经安全的途径发送，保留记录须经相关责任人许可，邮件发送应做加密控制，保留记录经相关责

11、任人许可无限制传真禁止传真须经相关责任人许可后专人负责传真经相关责任人许可无限制快递经授权后采取妥善的保护措施，由专人快递经授权后，由签署了特定安全协议的专门的快递公司快递经授权后，由签署了特定安全协议的专门的快递公司快递无限制内部分发经相关责任人和公司管理层批准后，密封分发，或以允许的电子分发形式进行安全的分发经相关责任人批准后，密封分发，或以允许的电子分发形式进行安全的分发经授权后，以内部邮件形式发放，或直接进行硬拷贝分发无限制对外分发经相关责任人和公司管理层批准后分发，需要签署特定的保密协议，需要进行登记经相关责任人批准后分发，需签署保密协议，需要进行登记经授权后，以邮件或者快递方式分发

12、，建议签署保密协议经授权后，以允许的分发方式分发处理碎纸机；彻底销毁介质；电子记录定期消除；进行检查确认碎纸机；彻底销毁介质；电子记录定期消除；进行检查确认保存件标明作废；电子记录定期消除；介质销毁电子记录定期消除，介质销毁记录跟踪直接责任人应有收件人、复制者、保存者、浏览者、销毁者的日志记录跟踪文件复制、保存、浏览、销毁过程，应有记录无要求不建议跟踪1.11口令使用策略 全体员工在挑选和使用口令时，应：（1）保证口令的机密。（2）除非能安全保存，避免将口令记录在纸上。（3）只要有迹象表明系统或口令可能遭到破坏，应立即更改口令。（4）选用高质量的口令，最少要有6个字符，另外：A口令应由字母加数

13、字组成；B口令不应采用如姓名、电话号码、生日等容易猜出或破解的信息。（5）每三个月更改或根据访问次数更改口令（特别是特权用户），避免再次使用或循环使用旧口令。（6）首次登录时，应立即更改临时口令。（7）不得共享个人用户口令。1.12桌面、屏幕清空策略 为了降低在正常工作时间以外对信息进行XX访问所带来的风险、损失和损害，员工应：（1）在闲置或工作时间之外将纸张或计算机存储介质储存在合适的柜子或其它形式的安全设备中。（2）当办公室无人时将关键业务信息放置到安全地点（比如防火的保险箱或柜子中）。（3）在无人使用时，将个人计算机、计算机终端和打印机、复印机设为锁定状态。（4）为个人计算机、计算机终端

14、设定密码，同时设定屏保时间（=15分钟）。（5）在打印保密级别为企业机密、企业秘密的信息后，应立刻从打印机中清除相关痕迹，并有效保护打印出来的信息内容。1.13远程工作安全策略必须保护好远程工作场所防止盗窃设备和信息、XX公开信息、对公司内部系统进行远程非法访问或滥用设备等行为。员工应：（1）保障物理安全。（2）对家人和客人使用设备进行限制。如果必须要使用，应在旁边进行监督和控制，确保关键业务信息的安全。（3）远程工作活动结束时，权限以及设备及时收回。（4）网络远程登录终端的拨号密码即VPN帐号仅限本人使用，不允许他人使用。（5）进入公司或客户的信息系统工作完毕后，必须立即退出系统。1.14移动办公策略使用移动办公设备（如笔记本电脑）时，员工尤其应该注意保证业务信息不受损坏、非法访问或泄密：（1）移动办公设备需要带出公司工作场所时，应进行登记。（2）在公共场所使用移动办公设备时，必须注意防范被XX的人员窥视。（3）应实时更新用于防范恶意软件的程序。（4）应对信息进行方便快捷的备份。（5）备份的信息应该予以适当的保护以防信息被盗或丢失。（6）使用移动办公设备通过公共网对公司商务信息进行远程访问时必须进行身份识别和VPN访问控制。（7）防止移动办公设备被盗。（8