信息安全管理規(guī)范

　企業(yè)

　版本信息 目前版本:

　 最新更新日期:

　最新更新作者:

　 作者:

　 創(chuàng)建日期:

　 審批人:

　 審批日期:

　修訂歷史 版本號 更新日期 修訂作者 關(guān)鍵修訂摘要

　Table of Contents（目錄）

　1. 企業(yè)信息安全要求 ....................................................... 錯誤!未定義書簽。

　1.1

　信息安全方針 ...................................................................... 錯誤!未定義書簽。

　1.2

　信息安全工作準(zhǔn)則 ............................................................... 錯誤!未定義書簽。

　1.3

　職責(zé) ..................................................................................... 錯誤!未定義書簽。

　1.4

　信息資產(chǎn)分類要求 ............................................................... 錯誤!未定義書簽。

　1.5

　信息資產(chǎn)分級（保密等級）要求 .......................................... 錯誤!未定義書簽。

　1.6

　現(xiàn)行保密等級和原有保密等級對照表 ................................... 錯誤!未定義書簽。

　1.7

　信息標(biāo)識和處理中角色和職責(zé) ............................................. 錯誤!未定義書簽。

　1.8

　信息資產(chǎn)標(biāo)注管理要求 ........................................................ 錯誤!未定義書簽。

　1.9

　許可信息交換方法 ............................................................... 錯誤!未定義書簽。

　1.10

　信息資產(chǎn)處理和保護(hù)要求對應(yīng)表 ...................................... 錯誤!未定義書簽。

　1.11

　口令使用策略 ................................................................... 錯誤!未定義書簽。

　1.12

　桌面、屏幕清空策略 ........................................................ 錯誤!未定義書簽。

　1.13

　遠(yuǎn)程工作安全策略 ............................................................ 錯誤!未定義書簽。

　1.14

　移動辦公策略 ................................................................... 錯誤!未定義書簽。

　1.15

　介質(zhì)申請、使用、掛失、報廢要求 ................................... 錯誤!未定義書簽。

　1.16

　信息安全事件管理步驟 ..................................................... 錯誤!未定義書簽。

　1.17

　電子郵件安全使用規(guī)范 ..................................................... 錯誤!未定義書簽。

　1.18

　設(shè)備報廢信息安全要求 ..................................................... 錯誤!未定義書簽。

　1.19

　用戶注冊和權(quán)限管理策略 ................................................. 錯誤!未定義書簽。

　1.20

　用戶口令管理 ................................................................... 錯誤!未定義書簽。

　1.21

　終端網(wǎng)絡(luò)接入準(zhǔn)則 ............................................................ 錯誤!未定義書簽。

　1.22

　終端使用安全準(zhǔn)則 ............................................................ 錯誤!未定義書簽。

　1.23

　出口防火墻日常管理要求 ................................................. 錯誤!未定義書簽。

　1.24

　局域網(wǎng)日常管理要求 ........................................................ 錯誤!未定義書簽。

　1.25

　集線器、交換機(jī)、無線AP日常管理要求 .......................... 錯誤!未定義書簽。

　1.26

　網(wǎng)絡(luò)專線日常管理要求 ..................................................... 錯誤!未定義書簽。

　1.27

　信息安全懲戒 ................................................................... 錯誤!未定義書簽。

　2. 信息安全知識 .............................................................. 錯誤!未定義書簽。

　2.1

　什么是信息？ ...................................................................... 錯誤!未定義書簽。

　2.2

　什么是信息安全？ ............................................................... 錯誤!未定義書簽。

　2.3

　信息安全三要素 ................................................................... 錯誤!未定義書簽。

　2.4

　什么是信息安全管理體系？ ................................................. 錯誤!未定義書簽。

　2.5

　建立信息安全管理體系目標(biāo) ................................................. 錯誤!未定義書簽。

　2.6

　信息安全管理PDCA模式 ..................................................... 錯誤!未定義書簽。

　2.7

　安全管理－風(fēng)險評定過程..................................................... 錯誤!未定義書簽。

　2.8

　信息安全管理體系標(biāo)準(zhǔn)（ISO27001 標(biāo)準(zhǔn)家族）

　................. 錯誤!未定義書簽。

　2.9

　信息安全控制目標(biāo)和控制方法 ............................................. 錯誤!未定義書簽。

　1. 企業(yè)信息安全要求 1.1 信息安全方針 ? 擁有信息資產(chǎn)，積累、共享并保護(hù)信息資產(chǎn)是我們共同責(zé)任。

　? 管理和技術(shù)并重，確保企業(yè)信息資產(chǎn)安全，保障企業(yè)連續(xù)正常運(yùn)行。

　? 推行對用戶知識產(chǎn)權(quán)保護(hù)承諾，保障用戶信息資產(chǎn)安全，滿足并超越用戶信息安全需求。

　1.2 信息安全工作準(zhǔn)則 ? 保護(hù)信息機(jī)密性、完整性和可用性，即確保信息僅供給那些取得授權(quán)人員使用、保護(hù)信息及信息處理方法正確性和完整性、確保取得授權(quán)人員能立即可靠地使用信息及信息系統(tǒng)； ? 企業(yè)經(jīng)過建立有效信息安全管理體系和必需技術(shù)手段，保障信息資產(chǎn)安全，降低信息安全風(fēng)險； ? 各級信息安全責(zé)任者負(fù)責(zé)所轄區(qū)域信息安全，經(jīng)過建立相關(guān)制度及有效保護(hù)方法，確保企業(yè)信息安全方針得到可靠實(shí)施； ? 全體職員應(yīng)只訪問或使用取得授權(quán)信息系統(tǒng)及其它信息資產(chǎn)，應(yīng)按要求選擇和保護(hù)口令； ? 未經(jīng)授權(quán)，任何人不得對企業(yè)信息資產(chǎn)進(jìn)行復(fù)制、利用或用于其它目標(biāo)； ? 應(yīng)立即檢測病毒，預(yù)防惡意軟件攻擊； ? 企業(yè)擁有為保護(hù)信息安全而使用監(jiān)控手段權(quán)力,任何違反信息安全政策職員全部將受到對應(yīng)處理； ? 經(jīng)過建立有效和高效信息安全管理體系，定時評定信息安全風(fēng)險，連續(xù)改善信息安全管理體系。

　1.3 職責(zé) 全體職員應(yīng)保護(hù)企業(yè)信息資產(chǎn)安全。每個職員必需認(rèn)識到信息資產(chǎn)價值，負(fù)責(zé)保護(hù)好自己生成、管理或可觸及包含數(shù)據(jù)和信息。職員必需遵守《信息標(biāo)

　識和處理程序》，了解信息保密等級。對于不能確定是否為涉密信息內(nèi)容，必需取得相關(guān)管理部門確實(shí)定才可對外披露。職員必需遵守信息安全相關(guān)各項(xiàng)制度和要求，確保系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)僅用于各項(xiàng)工作相關(guān)用途，不得濫用。

　1.4 信息資產(chǎn)分類要求

　企業(yè)信息資產(chǎn)分為電子數(shù)據(jù)、軟件、硬件、實(shí)體信息、服務(wù)五大類。

　類別 說明 電子數(shù)據(jù) 存在信息媒介上多種數(shù)據(jù)資料，包含源代碼、數(shù)據(jù)庫數(shù)據(jù)等多種電子化數(shù)據(jù)資料、項(xiàng)目文檔、管理文檔、運(yùn)行管理規(guī)程、計劃、匯報、用戶手冊、作業(yè)指導(dǎo)書等多種電子化數(shù)據(jù)資料。

　軟件 包含系統(tǒng)軟件、應(yīng)用軟件、共享軟件 系統(tǒng)軟件：操作系統(tǒng)、語言包、工具軟件、多種庫等； 應(yīng)用軟件：外部購置應(yīng)用軟件，辦公軟件等； 共享軟件：多種共享源代碼、共享可實(shí)施程序等。

　硬件 網(wǎng)絡(luò)設(shè)備：路由器、網(wǎng)關(guān)、交換機(jī)等 計算機(jī)設(shè)備：大型機(jī)、服務(wù)器、工作站、臺式計算機(jī)、移動計算機(jī)等 存放設(shè)備：磁帶機(jī)、磁盤陣列、工控機(jī)等 移動存放設(shè)備：磁帶、光盤、軟盤、U盤、移動硬盤等 傳輸線路：光纖、雙絞線等 基礎(chǔ)保障設(shè)備：（UPS、變電設(shè)備等）、空調(diào)、保險柜、文件柜、門禁、消防設(shè)施等，如對基礎(chǔ)設(shè)施使用屬于租用形式，請將其識別到服務(wù)類別中。

　安全保障設(shè)備：硬件防火墻、入侵檢測系統(tǒng)、身份驗(yàn)證等 其它電子設(shè)備：打印機(jī)、復(fù)印機(jī)、掃描儀、傳真機(jī)等

　實(shí)體信息 紙制多種文件、協(xié)議、傳真、會議紀(jì)要、財務(wù)報表、證書、電報、發(fā)展計劃和各類其它材質(zhì)證書獎牌等。

　服務(wù) 經(jīng)過多種協(xié)議方法固化下來服務(wù)活動、如物業(yè)、第三方、供給商、提供檢修服務(wù)提供方等。

　1.5 信息資產(chǎn)分級（保密等級）要求 信息資產(chǎn)分為：通常、內(nèi)部公開、企業(yè)秘密、企業(yè)機(jī)密 4 個保密等級。

　保密等級 名稱 說明 1 通常 通常性信息，能夠公開信息、信息處理設(shè)備和系統(tǒng)資源。

　2 內(nèi)部公開 非敏感但僅限企業(yè)內(nèi)部使用信息、信息處理設(shè)備和系統(tǒng)資源。

　3 企業(yè)秘密 敏感信息、信息處理設(shè)備和系統(tǒng)資源，只給必需知道者。

　4 企業(yè)機(jī)密 敏感信息、信息處理設(shè)備和系統(tǒng)資源，僅適用極少數(shù)必需知道人。

　1.6 現(xiàn)行保密等級和原有保密等級對照表 保密等級和企業(yè)原有保密等級對照表以下：

　現(xiàn)行保密等級 和之相當(dāng)原有保密等級 通常 通常

　內(nèi)部公開 秘密 企業(yè)秘密 機(jī)密 企業(yè)機(jī)密 絕密

　1.7 信息標(biāo)識和處理中角色和職責(zé) 角色 職責(zé) 責(zé)任人：信息資產(chǎn)創(chuàng)建者，或關(guān)鍵用戶所在組織、單位或部門責(zé)任人。信息資產(chǎn)責(zé)任人對所屬信息資產(chǎn)負(fù)直接責(zé)任。

　? 了解和多種信息訪問活動相關(guān)安全風(fēng)險； ? 依據(jù)企業(yè)信息密級劃分標(biāo)準(zhǔn)來確定所屬信息資產(chǎn)等級； ? 依據(jù)企業(yè)相關(guān)策略確定并檢驗(yàn)信息訪問權(quán)限； ? 針對所屬信息資產(chǎn)提出合適保護(hù)方法。

　保管者：受信息資產(chǎn)責(zé)任人委托，對信息資產(chǎn)進(jìn)行日常管理，維護(hù)已經(jīng)建立保護(hù)方法。資產(chǎn)保管者通常是企業(yè)或部門IT管理者或代表（比如系統(tǒng)管理員）。

　? 依據(jù)企業(yè)相關(guān)策略和信息資產(chǎn)責(zé)任人要求，負(fù)責(zé)信息資產(chǎn)維護(hù)操作和日常管理事務(wù)； ? 負(fù)責(zé)具體設(shè)置信息訪問權(quán)限； ? 負(fù)責(zé)所管理信息資產(chǎn)安全控制； ? 布署合適安全機(jī)制，進(jìn)行備份和恢復(fù)操作； ? 根據(jù)信息資產(chǎn)責(zé)任人要求實(shí)施其它控制。

　用戶：信息資產(chǎn)使用者，除了企業(yè)內(nèi)部職員，也可能是因?yàn)闃I(yè)務(wù)需要而訪問企業(yè)信息用戶或第三方組織。

　? 向信息責(zé)任人申請信息訪問； ? 根據(jù)企業(yè)信息安全策略要求正當(dāng)訪問信息，嚴(yán)禁非授權(quán)訪問； ? 向相關(guān)組織匯報隱患、故障或違規(guī)事件。

　1.8 信息資產(chǎn)標(biāo)注管理要求 （1）

　企業(yè)所屬各類信息資產(chǎn)，不管其存在形式是電子、紙質(zhì)還是磁盤等，全部應(yīng)在顯著位置標(biāo)注其保密等級。

�。�2）

　通常電子或紙質(zhì)文檔應(yīng)在該文檔頁眉右上角或頁腳上標(biāo)注其保密等級或在文件封面打上保密章，磁盤等介質(zhì)應(yīng)在其表面非數(shù)據(jù)區(qū)給予標(biāo)注其保密等級。

�。�3）

　假如某存放介質(zhì)中包含各個等級信息，作為整體考慮，該存放介質(zhì)保密等級標(biāo)注應(yīng)以最高為準(zhǔn)。

�。�4）

　假如沒有顯著保密等級標(biāo)注，該信息資產(chǎn)以“通常”等級看待。

　（5）

　對于對外公開信息，需要得到相關(guān)責(zé)任人核準(zhǔn)，并由對外信息公布部門統(tǒng)一處理。

�。�6）

　如需在信息資產(chǎn)上表述保密申明，可采取以下兩種表述方法：

　表述方法一：“保密申明：企業(yè)資產(chǎn)，注意保密。” 表述方法二：“保密申明：本文檔受國家相關(guān)法律和企業(yè)制度保護(hù)，不得私自復(fù)制或擴(kuò)散。”

　1.9 許可信息交換方法

　企業(yè)許可信息交換方法有：郵件、視頻、電話、網(wǎng)站內(nèi)容公布、文件共享、傳真、光盤、磁盤、磁帶和紙張。

　1.10 信息資產(chǎn)處理和保護(hù)要求對應(yīng)表

　企業(yè)機(jī)密 企業(yè)秘密 內(nèi)部公開 通常 授權(quán) 需得到責(zé)任人和企業(yè)管理層同意 需得到相關(guān)責(zé)任人及部門領(lǐng)導(dǎo)同意 需得到責(zé)任人同意 無尤其要求 訪問 只能被得到授權(quán)企業(yè)極少數(shù)關(guān)鍵人員訪問 只能被企業(yè)內(nèi)部或外部得到明確授權(quán)人員訪問，訪問者應(yīng)該簽署保密協(xié)議 能夠被企業(yè)內(nèi)部或外部因?yàn)闃I(yè)務(wù)需要人員訪問 任何企業(yè)職員或外部人員全部能夠訪問 存放 電子類應(yīng)該加密存放在安全計算機(jī)系統(tǒng)內(nèi)；硬拷貝應(yīng)該鎖在安全保險柜內(nèi)；嚴(yán)禁以其它形式存放或顯示 電子類應(yīng)該妥善保留在設(shè)有安全控制計算機(jī)系統(tǒng)內(nèi)（提議進(jìn)行信息加密）；硬拷貝應(yīng)該妥善保管，嚴(yán)禁擺放在桌面；使用白板展示后應(yīng)立即擦除 電子類應(yīng)該妥善保管，能夠進(jìn)行加密；紙質(zhì)不應(yīng)放在桌面 以合適方法保留，避免被非授權(quán)人員看到；存放有信息介質(zhì)避免丟失 復(fù)制 得到相關(guān)責(zé)任人及企業(yè)管理層同意；需要登記 須經(jīng)相關(guān)責(zé)任人同意，并讓專員操作或監(jiān)督實(shí)施，需要登記 經(jīng)相關(guān)責(zé)任人同意 內(nèi)部復(fù)制無限制 打印 嚴(yán)禁打印（或在授權(quán)情況下專員負(fù)責(zé)打印，不得打印到無人值守機(jī)）

　須經(jīng)相關(guān)責(zé)任人許可，打印件標(biāo)注密級并妥善管理，不得打印到無人值守機(jī) 經(jīng)相關(guān)責(zé)任人許可，打印件標(biāo)注密級并妥善管理 無限制，打印件標(biāo)注密級 郵件 嚴(yán)禁郵件直接發(fā)送，經(jīng)授權(quán)后做電子署名和加密控須經(jīng)相關(guān)責(zé)任人許可，郵件發(fā)送應(yīng)做加密控制，保留統(tǒng)計 經(jīng)相關(guān)責(zé)任人許可 無限制

　制，經(jīng)安全路徑發(fā)送，保留統(tǒng)計 傳真 嚴(yán)禁傳真 須經(jīng)相關(guān)責(zé)任人許可后專員負(fù)責(zé)傳真 經(jīng)相關(guān)責(zé)任人許可 無限制 快遞 經(jīng)授權(quán)后采取妥善保護(hù)方法，由專員快遞 經(jīng)授權(quán)后，由簽署了特定安全協(xié)議專門快遞企業(yè)快遞 經(jīng)授權(quán)后，由簽署了特定安全協(xié)議專門快遞企業(yè)快遞 無限制 內(nèi)部分發(fā) 經(jīng)相關(guān)責(zé)任人和企業(yè)管理層同意后，密封分發(fā)，或以許可電子分發(fā)形式進(jìn)行安全分發(fā) 經(jīng)相關(guān)責(zé)任人同意后，密封分發(fā)，或以許可電子分發(fā)形式進(jìn)行安全分發(fā) 經(jīng)授權(quán)后，以內(nèi)部郵件形式發(fā)放，或直接進(jìn)行硬拷貝分發(fā) 無限制 對外分發(fā) 經(jīng)相關(guān)責(zé)任人和企業(yè)管理層同意后分發(fā)，需要簽署特定保密協(xié)議，需要進(jìn)行登記 經(jīng)相關(guān)責(zé)任人同意后分發(fā)，需簽署保密協(xié)議，需要進(jìn)行登記 經(jīng)授權(quán)后，以郵件或快遞方法分發(fā)，提議簽署保密協(xié)議 經(jīng)授權(quán)后，以許可分發(fā)方法分發(fā) 處理 碎紙機(jī)；根本銷毀介質(zhì)；電子統(tǒng)計定時消除；進(jìn)行檢驗(yàn)確定 碎紙機(jī)；根本銷毀介質(zhì)；電子統(tǒng)計定時消除；進(jìn)行檢驗(yàn)確定 保留件標(biāo)明作廢；電子統(tǒng)計定時消除；介質(zhì)銷毀 電子統(tǒng)計定時消除，介質(zhì)銷毀 統(tǒng)計跟蹤 直接責(zé)任人應(yīng)有收件人、復(fù)制者、保留者、瀏覽者、銷毀者日志統(tǒng)計 跟蹤文件復(fù)制、保留、瀏覽、銷毀過程，應(yīng)有統(tǒng)計 無要求 不提議跟蹤

　1.11 口令使用策略

　全體職員在挑選和使用口令時，應(yīng)：

　（1）

　確�？诹顧C(jī)密。

�。�2）

　除非能安全保留，避免將口令統(tǒng)計在紙上。

　（3）

　只要有跡象表明系統(tǒng)或口令可能遭到破壞，應(yīng)立即更改口令。

�。�4）

　選擇高質(zhì)量口令，最少要有 6 個字符，另外：

　A． 口令應(yīng)由字母加數(shù)字組成； B． 口令不應(yīng)采取如姓名、電話號碼、生日等輕易猜出或破解信息。

�。�5）

　每三個月更改或依據(jù)訪問次數(shù)更改口令（尤其是特權(quán)用戶），避免再次使用或循環(huán)使用舊口令。

　（6）

　首次登錄時，應(yīng)立即更改臨時口令。

�。�7）

　不得共享個人用戶口令。

　1.12 桌面、屏幕清空策略

　為了降低在正常工作時間以外對信息進(jìn)行未經(jīng)授權(quán)訪問所帶來風(fēng)險、損失和損害，職員應(yīng)：

　（1）

　在閑置或工作時間之外將紙張或計算機(jī)存放介質(zhì)儲存在適宜柜子或其它形式安全設(shè)備中。

�。�2）

　當(dāng)辦公室無人時將關(guān)鍵業(yè)務(wù)信息放置到安全地點(diǎn)（比如防火保險箱或柜子中）。

　（3）

　在無人使用時，將個人計算機(jī)、計算機(jī)終端和打印機(jī)、復(fù)印機(jī)設(shè)為鎖定狀態(tài)。

�。�4）

　為個人計算機(jī)、計算機(jī)終端設(shè)定密碼，同時設(shè)定屏保時間（<=15 分鐘）。

　（5）

　在打印保密等級為企業(yè)機(jī)密、企業(yè)秘密信息后，應(yīng)立即從打印機(jī)中清除相關(guān)痕跡，并有效保護(hù)打印出來信息內(nèi)容。

　1.13 遠(yuǎn)程工作安全策略 必需保護(hù)好遠(yuǎn)程工作場所預(yù)防偷竊設(shè)備和信息、未經(jīng)授權(quán)公開信息、對企業(yè)內(nèi)部系統(tǒng)進(jìn)行遠(yuǎn)程非法訪問或?yàn)E用設(shè)備等行為。職員應(yīng)：

�。�1）

　保障物理安全。

　（2）

　對家人和客人使用設(shè)備進(jìn)行限制。假如必需要使用，應(yīng)在旁邊進(jìn)行監(jiān)督和控制，確保關(guān)鍵業(yè)務(wù)信息安全。

　（3）

　遠(yuǎn)程工作活動結(jié)束時，權(quán)限和設(shè)備立即收回。

�。�4）

　網(wǎng)絡(luò)遠(yuǎn)程登錄終端撥號密碼即 VPN 帳號僅限本人使用，不許可她人使用。

�。�5）

　進(jìn)入企業(yè)或用戶信息系統(tǒng)工作完成后，必需立即退出系統(tǒng)。

　1.14 移動辦公策略 使用移動辦公設(shè)備（如筆記本電腦）時，職員尤其應(yīng)該注意確保業(yè)務(wù)信息不受損壞、非法訪問或泄密：

�。�1）

　移動辦公設(shè)備需要帶出企業(yè)工作場所時，應(yīng)進(jìn)行登記。

�。�2）

　在公共場所使用移動辦公設(shè)備時，必需注意防范被未經(jīng)授權(quán)人員窺視。

　（3）

　應(yīng)實(shí)時更新用于防范惡意軟件程序。

　（4）

　應(yīng)對信息進(jìn)行方便快捷備份。

�。�5）

　備份信息應(yīng)該給予合適保護(hù)以防信息被盜或丟失。

�。�6）

　使用移動辦公設(shè)備經(jīng)過公共網(wǎng)對企業(yè)商務(wù)信息進(jìn)行遠(yuǎn)程訪問時必需進(jìn)行身份識別和 VPN 訪問控制。

�。�7）

　預(yù)防移動辦公設(shè)備被盜。

�。�8）

　預(yù)防保密等級為企業(yè)秘密級以上信息所在移動辦公設(shè)備無人看管。

　1.15 介質(zhì)申請、使用、掛失、報廢要求

　 （1）

　介質(zhì)申請：

　序號 責(zé)任者 任務(wù) 相關(guān)文件或統(tǒng)計

　1 資產(chǎn)管理員 根據(jù)企業(yè)固定資產(chǎn)或消耗資材申領(lǐng)方法向企業(yè)申領(lǐng)介質(zhì)。

　《 固定資產(chǎn)管理制度》 《 計算機(jī)維護(hù)消耗資材管理措施》 2 資產(chǎn)管理員 從企業(yè)領(lǐng)取介質(zhì)并登記到《 介質(zhì)記錄表》中。

　《 介質(zhì)記錄表》 3 資產(chǎn)管理員 如經(jīng)過設(shè)備管理，需經(jīng)過usb使用移動存放介質(zhì)在中注冊。

　參見使用說明 4 資產(chǎn)管理員 在《 介質(zhì)記錄表》中登記發(fā)放時間，使用人等信息后發(fā)放介質(zhì)。

　《 介質(zhì)記錄表》

�。�2）

　介質(zhì)使用：

　A． 如安裝了設(shè)備，全部工作中使用 USB 存放介質(zhì)全部應(yīng)在中進(jìn)行注冊。

　B． 假如確定介質(zhì)中內(nèi)容不再需要，應(yīng)立即將其以可靠方法清除。

　C． 假如數(shù)據(jù)需要保留，則使用人應(yīng)該保留在有良好安全方法個人計算機(jī)和服務(wù)器上，而不應(yīng)該放在計算機(jī)活動介質(zhì)中。

　D． 全部備份介質(zhì)全部應(yīng)存放在安全可靠地方，并符合生產(chǎn)廠家說明書安全要求。

�。�3）

　介質(zhì)掛失：

　序號 責(zé)任者 任務(wù) 相關(guān)文件或統(tǒng)計 1 使用者 使用人立即向資產(chǎn)管理員申報掛失

　2 資產(chǎn)管理員 假如是經(jīng)過usb使用移動存放介質(zhì)被掛失且在上注冊過，則應(yīng)在上進(jìn)行注銷。

　3 資產(chǎn)管理員 在介質(zhì)記錄表中登記掛失 《介質(zhì)記錄表》

　 （4）

　介質(zhì)報廢：

　序號 責(zé)任者 任務(wù) 相關(guān)文件或統(tǒng)計 1 使用者 1）、書面文件用碎紙機(jī)粉碎 2）、其它介質(zhì)報廢，使用人向資產(chǎn)管理員申請介質(zhì)報廢。

　2 資產(chǎn)管理員 假如是經(jīng)過usb使用移動存放介質(zhì)且在上注冊過，則應(yīng)在上進(jìn)行注銷。

　3 資產(chǎn)管理員 根據(jù)企業(yè)固定資產(chǎn)和消耗資材報廢步驟實(shí)施。

　《 固定資產(chǎn)管理制度》 《 計算機(jī)維護(hù)消耗資材管理措施》 4 資產(chǎn)管理員 在介質(zhì)清單中登記已報廢 《 1 介質(zhì)記錄表》

　1.16 信息安全事件管理步驟 （1）

　發(fā)覺 A． 企業(yè)全體職員全部有責(zé)任和義務(wù)將已發(fā)覺或可疑事件、故障和微弱點(diǎn)立即匯報給相關(guān)部門或人員。

　B． 任何企圖阻攔、干擾、報復(fù)事件匯報者行為全部被視為違反企業(yè)策略。

�。�2）

　匯報 A． 對于部門范圍內(nèi)信息安全事件，當(dāng)事人可直接向部門責(zé)任人匯報，并根據(jù)本部門規(guī)范進(jìn)行處理。事件處理者需填寫附錄中《 信息安全事件匯報處理統(tǒng)計單》，每個月將相關(guān)統(tǒng)計上交過程管理部。

　B． 除部門內(nèi)能夠自行處理信息安全事件外，其它信息安全事件必需統(tǒng)

　一上報給客服統(tǒng)計 。

　（3）

　響應(yīng) A． 客服對信息安全事件做出最初響應(yīng)，將技術(shù)方面信息安全事件交給系統(tǒng)服務(wù)部組織處理，將管理方面信息安全事件交給過程管理部組織相關(guān)部門進(jìn)行處理。

　B． 需要做深入調(diào)查信息安全事件，當(dāng)其影響范圍包含整個企業(yè)或影響程度嚴(yán)重妨礙了企業(yè)正常運(yùn)行時，匯報給信息安全管理委員會。

　C． 事件響應(yīng)及處理者在處理安全事件時應(yīng)考慮以下優(yōu)先次序：

　? 保護(hù)人員生命和安全 ? 保護(hù)敏感設(shè)備和資料 ? 保護(hù)關(guān)鍵數(shù)據(jù)資源 ? 預(yù)防系統(tǒng)被損壞 ? 將企業(yè)遭受損失降至最小 D． 假如發(fā)生違法事件，事件相關(guān)包含部門要采集并保留有效證據(jù)，上交過程管理部匯報給企業(yè)最高管理者決議，由法務(wù)部向外部法律機(jī)構(gòu)匯報。必需時，法務(wù)部能夠?qū)で笸獠拷淌谥С帧?/p>

�。�4）

　評價/調(diào)查 安全事件或故障發(fā)生以后，事件處理者要對事件或故障類型、嚴(yán)重程度、發(fā)生原因、性質(zhì)、產(chǎn)生損失、責(zé)任人進(jìn)行調(diào)查確定，形成事件或故障評價資料。

　（5）

　懲戒 A． 要依據(jù)事件嚴(yán)重程度、造成損失、產(chǎn)生原因?qū)�違規(guī)者進(jìn)行教育或處罰。

　B． 懲戒手段可包含通報批評、行政警告、經(jīng)濟(jì)處罰、調(diào)離崗位、依據(jù)協(xié)議給解聘，對于觸犯刑律者可交司法機(jī)關(guān)處理。

　C． 具體處罰標(biāo)準(zhǔn)參見《信息安全管理職責(zé)程序》。

　（6）

　公告 A． 事件調(diào)查結(jié)果要反饋給當(dāng)事部門領(lǐng)導(dǎo)。

　B． 當(dāng)事部門可組織相關(guān)人員進(jìn)行學(xué)習(xí)和培訓(xùn)。

　1.17 電子郵件安全使用規(guī)范 （1）

　企業(yè)電子郵件系統(tǒng)嚴(yán)禁用于創(chuàng)建和分發(fā)任何含有破壞性、歧視性信息，包含對種族、性別、殘疾人、年紀(jì)、職業(yè)、性取向、宗教信仰、政治信念、國籍等方面攻擊性語言。企業(yè)職員假如接收到任何含有這類信息郵件，應(yīng)立即向主管領(lǐng)導(dǎo)進(jìn)行匯報。

�。�2）

　嚴(yán)禁使用企業(yè)帳號發(fā)送連鎖信。嚴(yán)禁使用企業(yè)電子郵件帳號發(fā)送病毒或惡意代碼警告郵件。這些規(guī)則也適適用于當(dāng)企業(yè)職員接收到這類電子郵件并進(jìn)行轉(zhuǎn)發(fā)情況。

　（3）

　使用郵件軟件用戶端要立即升級，降低因?yàn)檐浖�漏洞而受到外部攻擊，避免所以而造成郵件丟失和系統(tǒng)中毒。

�。�4）

　郵件必需有標(biāo)題，盡可能以文本方法瀏覽郵件。

�。�5）

　陌生人郵件附件盡可能不要打開，嚴(yán)禁撰寫、發(fā)送、轉(zhuǎn)發(fā)多種垃圾郵件，嚴(yán)禁在未經(jīng)授權(quán)情況下利用她人計算機(jī)系統(tǒng)發(fā)送互聯(lián)網(wǎng)電子郵件。

　（6）

　嚴(yán)禁使用工作郵箱從事任何非法活動及其和工作無關(guān)郵件。

�。�7）

　為了確保郵件安全嚴(yán)禁使用自動轉(zhuǎn)發(fā)功效。

�。�8）

　企業(yè)業(yè)務(wù)信息郵件必需使用企業(yè)要求業(yè)務(wù)專用郵箱發(fā)送，除了業(yè)務(wù)相關(guān)郵件嚴(yán)禁使用業(yè)務(wù)郵箱發(fā)送其它郵件。

�。�9）

　郵件必需專題明確，能夠經(jīng)過郵件專題判定業(yè)務(wù)類別。

�。�10）

　做好郵件病毒防護(hù)工作。發(fā)送郵件應(yīng)該注意郵件保密，避免泄漏企業(yè)機(jī)密。

　（11）

　全部職員全部要嚴(yán)格遵守《電子郵件安全使用規(guī)范》相關(guān)要求，職員之間應(yīng)相互監(jiān)督，立即阻止違反要求人員，對于使用企業(yè)郵箱傳輸反動言論、從事任何和法律或企業(yè)制度相違活感人員將禁用或注銷其郵箱，并依據(jù)情節(jié)嚴(yán)重給對應(yīng)處罰或提交司法機(jī)關(guān)處理。

　1.18 設(shè)備報廢信息安全要求 報廢設(shè)備上交前，使用者自己負(fù)責(zé)將設(shè)備介質(zhì)中信息進(jìn)行備份，機(jī)電一體化產(chǎn)品事業(yè)部負(fù)責(zé)將設(shè)備介質(zhì)中全部信息清除掉，以防信息泄漏。

　1.19 用戶注冊和權(quán)限管理策略

　對任何多用戶使用信息系統(tǒng)和服務(wù)設(shè)施進(jìn)行訪問，應(yīng)：

　（1）

　使用唯一用戶名，方便將用戶和其操作聯(lián)絡(luò)起來，使用戶對其操作負(fù)責(zé)。只有因工作需要才許可使用組用戶名。

�。�2）

　添加新用戶或用戶權(quán)限變更時應(yīng)有書面申請并經(jīng)過審批。

　（3）

　系統(tǒng)管理員對新注冊用戶進(jìn)行授權(quán)。

　（4）

　應(yīng)統(tǒng)計全部注冊用戶。

　（5）

　用戶因工作變更或離開組織時，應(yīng)立即取消其訪問權(quán)限。

�。�6）

　系統(tǒng)權(quán)限管理責(zé)任人應(yīng)定時組織檢驗(yàn)并刪除多出用戶名和賬戶，并對用戶訪問權(quán)限進(jìn)行定時評審或在變動后進(jìn)行評審。

　（7）

　系統(tǒng)權(quán)限管理責(zé)任人需要嚴(yán)格控制特權(quán)分配和使用，要對特權(quán)分配和使用情況進(jìn)行評審，確保沒有非法授予用戶特權(quán)，以確保對數(shù)據(jù)和信息服務(wù)訪問進(jìn)行了有效控制。

　1.20 用戶口令管理 在進(jìn)行信息系統(tǒng)口令管理，應(yīng)：

�。�1）

　用戶需要自己維護(hù)口令，系統(tǒng)僅在開始時提供一個安全臨時口令，用戶需要立即更改臨時口令。用戶忘記口令時，必需在對該用戶進(jìn)行合適身份核實(shí)后才能向其提供臨時口令。

�。�2）

　在向用戶提供臨時口令時必需確保其安全，避免使用第三方或無保護(hù)（明文）電子郵件，用戶應(yīng)對收到口令給予確定。

　（3）

　不許可在計算機(jī)系統(tǒng)上以無保護(hù)形式存放口令。

　（4）

　確保個人口令安全，確保工作組口令僅在本組組員間共享。

　1.21 終端網(wǎng)絡(luò)接入準(zhǔn)則 企業(yè)網(wǎng)絡(luò)覆蓋范圍內(nèi)使用每臺計算機(jī)，職員均應(yīng)安裝企業(yè)要求防毒軟件 ，不得私自使用其它防毒軟件。

　1.22 終端使用安全準(zhǔn)則 （1）

　每臺計算機(jī)應(yīng)開啟實(shí)時監(jiān)控功效，定時進(jìn)行計算機(jī)病毒檢測，并立即對

　防毒軟件或病毒特征庫進(jìn)行升級更新。

�。�2）

　每臺計算機(jī)應(yīng)定時連接企業(yè)網(wǎng)絡(luò)并從病毒服務(wù)器取得防病毒軟件最新定義碼及掃描引擎。

�。�3）

　為預(yù)防計算機(jī)使用人員私自卸載用戶端及信息安全用戶端，卸載密碼和工具由系統(tǒng)服務(wù)事業(yè)部統(tǒng)一管理。

�。�4）

　企業(yè)不定時組織相關(guān)部門對用戶端及信息安全用戶端安裝情況進(jìn)行抽查。抽查情況將通報各相關(guān)部門并列入年度績效考評。

�。�5）

　計算機(jī)使用人員在安裝、使用用戶端及信息安全用戶端中碰到技術(shù)問題，可經(jīng)過撥打用戶服務(wù)熱線尋求技術(shù)支持。

�。�6）

　為預(yù)防惡意代碼侵?jǐn)_，每臺計算機(jī)必需按《訪問控制管理程序》第 5.2.1節(jié)要求設(shè)置管理員口令；網(wǎng)絡(luò)共享文件必需設(shè)置密碼和只讀權(quán)限。

�。�7）

　任何部門和個人不得制作、復(fù)制、傳輸計算機(jī)病毒，任何部門和個人負(fù)有清除或防治計算機(jī)病毒義務(wù)。

�。�8）

　不使用來路不明或含有盜版軟件軟盤和光盤，不隨意安裝實(shí)施從網(wǎng)絡(luò)上下載多種程序。當(dāng)需要從計算機(jī)信息網(wǎng)絡(luò)上下載程序、數(shù)據(jù)或購置、維修、借入計算機(jī)設(shè)備時，應(yīng)該進(jìn)行計算機(jī)病毒檢測。

�。�9）

　使用電子郵件，對來路不明郵件（尤其是含有附件郵件），收到后不要打開，直接刪除并清空廢件箱。

　1.23 出口防火墻日常管理要求 （1）

　為企業(yè)出口防火墻設(shè)置只讀權(quán)限，便于監(jiān)視進(jìn)出本企業(yè)全部訪問。

�。�2）

　對防火墻接口 IP 地址、用戶名、口令及配置文件信息進(jìn)行嚴(yán)格管理。

　（3）

　除授權(quán)人員外，嚴(yán)禁任何人員物理接觸防火墻；對防火墻遠(yuǎn)程管理僅限于指定 IP 地址、指定管理方法、指定用戶、指定用戶管理權(quán)限。

�。�4）

　嚴(yán)禁連接企業(yè)網(wǎng)絡(luò)任何單位和人員以任何形式對防火墻進(jìn)行攻擊。

　（5）

　集中搜集、存放防火墻報警日志，定時檢驗(yàn)防火墻安全統(tǒng)計，優(yōu)化防火墻訪問規(guī)則，杜絕安全漏洞。

�。�6）

　定時使用安全評定系統(tǒng)檢驗(yàn)防火墻各項(xiàng)服務(wù)是否有漏洞。

�。�7）

　部門如有企業(yè)出口防火墻變更需求，必需經(jīng)過企業(yè)審批，立案在冊，由系統(tǒng)服務(wù)部統(tǒng)一操作。

　1.24 局域網(wǎng)日常管理要求 各部門不得將私自構(gòu)建局域網(wǎng)接入企業(yè)網(wǎng)絡(luò)。如需接入必需經(jīng)過企業(yè)審批，立案在冊，由系統(tǒng)服務(wù)部統(tǒng)一操作。

　職員在辦公區(qū)域只能經(jīng)過企業(yè)內(nèi)網(wǎng)聯(lián)入互聯(lián)網(wǎng)。

　1.25 集線器、交換機(jī)、無線AP日常管理要求 （1）

　各部門不得私自使用網(wǎng)絡(luò)訪問設(shè)備。

　（2）

　嚴(yán)禁使用路由器及無線路由設(shè)備。

�。�3）

　如需使用集線器、交換機(jī)、無線 AP，必需經(jīng)過企業(yè)審批，立案在冊。

�。�4）

　無線AP必需設(shè)置符合安全要求密碼（具體要求參見管理文件《訪問控制管理程序》中 5.2.1 要求），只有被授權(quán)人員方可使 用無線網(wǎng)絡(luò)。

�。�5）

　企業(yè)定時檢驗(yàn)集線器、交換機(jī)、無線 AP 登記和使用情況。

　1.26 網(wǎng)絡(luò)專線日常管理要求 （1）

　各部門不得私自搭建網(wǎng)絡(luò)專線。如需使用網(wǎng)絡(luò)專線必需經(jīng)過企業(yè)審批，立案在冊。

�。�2）

　企業(yè)定時檢驗(yàn)網(wǎng)絡(luò)專線登記和使用情況。

　1.27 信息安全懲戒 （1）

　全體職員（含臨時職員、派遣職員、實(shí)習(xí)職員、常駐外包職員）均應(yīng)遵守全部和信息安全相關(guān)管理要求，不許可任何部門或人員有損害企業(yè)信息安全行為。

　（2）

　對違反信息安全管理要求，并造成嚴(yán)重后果部門或職員，由企業(yè)信息安全管理委員會授權(quán)實(shí)施懲戒。

　（3）

　懲戒手段包含通告、行政警告、經(jīng)濟(jì)處罰、調(diào)離崗位、依據(jù)協(xié)議給予解聘，對于觸犯刑律者移交司法機(jī)關(guān)處理。

　（4）

　對于協(xié)議承包商和外部用戶，假如違反了信息安全管理要求，企業(yè)信息安全委員會有權(quán)提議企業(yè)中止和她們協(xié)議和協(xié)議。

　2. 信息安全知識 2.1 什么是信息？ 是來自任何起源知識。

　在ISO 27001 標(biāo)準(zhǔn)里：

　? 信息是一個資產(chǎn)，就象其它關(guān)鍵企業(yè)資產(chǎn)一樣， ? 信息資產(chǎn)對組織含有價值，所以需要受到妥善保護(hù)。

　? 信息是有生命周期。

　安全保護(hù)應(yīng)兼顧到從其創(chuàng)建或誕生，到被使用或操作，到存放，再到被傳輸，直至其生命期結(jié)束而被銷毀或丟棄。

　2.2 什么是信息安全？ 信息安全目標(biāo)是，保護(hù)信息不受多種威脅，以確保業(yè)務(wù)連續(xù)，將企業(yè)損失降至最低，將投資收益和商業(yè)機(jī)會最大化。

　信息安全任務(wù)是，要采取方法（技術(shù)手段及有效管理）讓這些信息資產(chǎn)免遭威脅，或?qū)⑼�脅帶來后果降到最低程度，以此維護(hù)組織正常運(yùn)作。

　2.3 信息安全三要素 ? 機(jī)密性 ? 完整性 ? 可用性 注：

　1）、機(jī)密性：信息不可用或不被泄漏給未授權(quán)個人、實(shí)體或過程特征，確保只有取得授權(quán)使用者才能使用信息。

　2）、完整性：保護(hù)資產(chǎn)正確和完整特征，確保信息在存放、使用、傳輸過程中不會被未授權(quán)用戶篡改，同時還要預(yù)防授權(quán)用戶對系統(tǒng)及信息進(jìn)行不合適篡改，保持信息內(nèi)、外部表示一致性。

　3）、可用性：需要時，授權(quán)實(shí)體能夠訪問和使用特征，確保授權(quán)用戶或?qū)嶓w對信息及資源正常使用不會被異常拒絕，許可其可靠而立即地訪問信息及資源。

　2.4 什么是信息安全管理體系？ 信息安全管理體系是協(xié)調(diào)活動以指揮和控制：

　? 一組被分配職責(zé)和權(quán)限及關(guān)系人和設(shè)備； ? 保護(hù)信息機(jī)密性、完整性和可用性； ? 另外，其它特征，如可判別性、可歸責(zé)性、不可抵賴性和可靠性也能夠考慮。

　2.5 建立信息安全管理體系目標(biāo) ? 增強(qiáng)多種類型組織機(jī)構(gòu)內(nèi)部管理信心。

　? 為多種類型組織機(jī)構(gòu)開發(fā)、實(shí)施、衡量安全管理實(shí)踐有效性提供了一個基礎(chǔ)、依據(jù)。

　? 為投資活動提供保障，預(yù)防多種安全事故發(fā)生。

　2.6 信息安全管理PDCA模式

　 2.7 安全管理－風(fēng)險評定過程

　方針和步驟 管理和審核 數(shù)據(jù)隱私和完整性 性 授權(quán) 身份識別和判定 開啟方案開啟方案 實(shí)施標(biāo)準(zhǔn)，要干什么 你是誰，怎樣證實(shí) 誰有權(quán)使用、查看、編輯 創(chuàng)建、刪除、復(fù)制數(shù)據(jù) 誰發(fā)送、誰能夠閱讀 誰何時干了什么

　 2.8 信息安全管理體系標(biāo)準(zhǔn)（ISO27001 標(biāo)準(zhǔn)家族）

　? ISO/IEC 27000—基礎(chǔ)和術(shù)語。

　? ISO/IEC 27001—信息安全管理體系要求，

　 已于 10 月 15 日正式公布（ISO/IEC 27001: ）。

　? ISO/IEC 27002—信息安全管理體系最好實(shí)踐 由ISO/IEC 17799: 轉(zhuǎn)換而來。

　? ISO/IEC 27003—信息安全管理體系實(shí)施指南，正在開發(fā)。

　? ISO/IEC 27004—信息安全管理度量和改善，正在開發(fā)。

　? ISO/IEC 27005—信息安全風(fēng)險管理指南

　 以 推出BS7799-3（基于ISO/IEC 13335-2）為藍(lán)本。

　Asset Identification

　and Valuation

　資產(chǎn)判別和評價 Identification of vulnerabilities 脆弱性判別 Identification of Threats 威脅判別 Evaluation of Impacts 沖擊評定 Review of Existing Security Controls 現(xiàn)有安全控制方法審查 Identification of new Security Controls 新安全控制方法判別 Policy and Procedures 政策和程序 Implementation and Risk Reduction 實(shí)施和風(fēng)險降低 Risk Acceptance (Residual Risk) 風(fēng)險可接收度( 殘余風(fēng)險) Risk Assessment 風(fēng)險評定 Business Risk 營運(yùn)風(fēng)險 Risk Management

　Rating/ranking of Risks 風(fēng)險分級

　2.9 信息安全控制目標(biāo)和控制方法

　安全方針 信息安全組織 資產(chǎn)管理 人力資源 安全管理 物理和 環(huán)境安全 通訊及 操作安全 信息系統(tǒng) 獲取、開發(fā) 和維護(hù) 訪問控制 信息安全事故管理 業(yè)務(wù)連續(xù)性管理 符合性

相關(guān)熱詞搜索：信息安全 管理規(guī)范