1.目的
为规范公司的电脑设置、IT权限,保护公司和客户机密资料,特制订此管理规范。
2.适用范围
适用于公司电脑、网络、人员、客户机密信息资料。
3.职责
3.1.IT部:
负责制定公司的信息安全策略,并定期对信息安全策略进行评价,以确保其适宜性;
4.策略的制定
4.1.信息安全策略的制定、评审:
4.1.1.IT部根据公司内部网络资讯规划的要求、国家信息安全法律法规要求及客户信息安全要
求定期制定信息安全策略;并确保信息安全策略的有效实施;
4.1.2.IT部每年需对信息安全策略进行评价,并填写《信息安全策略适用性评审列表》以确保
策略的适宜性,并将评价的结果纳入年度部门管理评审报告输入中;
4.2.信息安全策略集
信息安全策略是在信息安全现状调研的基础上,公司领导的认可,遵守国家的法律法规、政策和相关标准建立的通用行之有效的安全机制。
公司信息安全策略包括如下:
a)病毒防范策略
b)网络服务访问策略
c)备份策略
d)访问控制策略
e)密码策略
f)钥管理策略
g)账号管理策略
h)清洁桌面和锁屏策略
i)移动设备和远程工作策略
j)服务器加强策略
k)时间同步策略
l)电子邮件策略
m)日志和监视策略
n)网络与信息传输安全策略
o)设备安全策略
p)介质处理策略
q)第三方访问策略
s)计算机管理策略
t)打印、复印机管理策略
4.3.病毒防范策略
4.3.1.IT部负责统一部署防病毒工具的安装和升级工作,时发布计算机病毒疫情公告及防范措
施,处理网点和个人上报的病毒入侵事件,定期检查和督促网点的病毒防治工作;将重
大的病毒入侵事件及时向上级部门和安全机关报告。
4.3.2.IT部人员负责定期对自己管理的计算机系统进行升级、杀毒;对因计算机病毒引起的信
息系统故障,及时向人事部报告。
4.3.3.病毒防范基本要求:
a)任何部门和个人不得制作计算机病毒。
b)任何部门和个人不得有下列传播计算机病毒的行为:
c)故意输入计算机病毒,危害计算机信息系统安全;
d)向他人提供含有计算机病毒的文件、软件、媒体;
e)销售、出租、附赠含有计算机病毒的媒体;
f)其他传播计算机病毒的行为。
g)任何部门和个人不得发布虚假的计算机病毒疫情。
h)所有计算机设备应经办公室同意后接入相应的内部工作网或互联网,严禁私自接入。
i)内部工作网与互联网应进行物理隔绝。
j)所有工作用机必须由IT部统一管理,部署安装指定的防病毒软件,及时更新病毒库,对于未安装防病毒软件或安装其他防病毒软件而造成不良后果的,追究相关人员的责任。
k)所有员工在使用介质交换信息时,应认真进行病毒预检测。
l)未经IT部同意,严禁擅自在工作用机上从互联网下载、安装、使用各类文件或程序,对由此引起的计算机病毒感染,追究相关人员的责任。经同意下载的软件,使用前需认真进行杀毒。
m)禁止将与工作无关的数据存放在工作用机上,禁止在工作用机上进行与工作无关的计算机操作。
n)计算机使用人员应做好重要数据、文档的备份,防止因病毒或其他因素造成系统无法恢复而导致重要数据、文档的丢失。
o)对因计算机病毒引起的信息系统瘫痪、程序和数据严重破坏等重大事故,应及时向人事部报告、并保护现场,以便采取相应的措施。
4.3.4.IT部人员需定期查看防病毒系统中的扫描日志和病毒历史以及入侵监测日志,检查病毒
的感染和清除情况;根据查看到的防病毒监控日志和入侵监测日志制定安全策略;统一部
署防病毒软件客户端;负责受理网点计算机病毒上报工作;负责跟踪计算机病毒防治信
息,及时发布计算机病毒疫情公告及防范措施。
4.3.
5.病毒查杀:
a)各计算机使用单位发现病毒必须及时向IT部报告,并做好必要的协助工作,防止病毒疫情进
一步扩大。
b)发现的病毒包括计算机使用单位报告的病毒和防病毒系统监控发现的病毒。
c)当因病毒入侵导致无法正常运行或数据损失时,及时采取措施挽回损失;当防病毒系统本身受
到病毒入侵而不能正常工作时,负责恢复防病毒系统的正常运行;对于未能清除的病毒,应根据病毒的种类采取相应措施,尽快查找专杀工具,确保病毒不会发作和传播;对于防病毒软件不能查杀的病毒,应及时向上级汇报更新防病毒系统;定期整理病毒感染情况报告,并及时清理过期的日志信息。
4.4.网络服务访问策略
4.4.1.此策略为保障及加强公司运作时在使用互联网传输、处理信息时的安全。确保用户应只
能访问经过明确授权使用的服务,从而降低未授权和不安全连接对组织的影响。用于公
司办公场所内能使用互联网的区域及人员,同时也适用于公司员工使用公司移动计算机
在公司以外的地方使用互联网的范围。
4.4.2.基础要求:
a)对互联网资源的使用原则上采取明确规定的连接财务网、涉密计算机和部分指定用于处理商业
秘密、从事软件开发的计算机或虚拟机等设备不得上网的原则。
b)因工作需要而使用互联网的部门及个人应认识到,对互联网资源的使用取决于工作需要,公司
应根据岗位情况来限制对该资源的使用与否。
c)在使用互联网资源时使用者应有意识地保护公司信息资产,不能通过互联网从事任何有损公司
利益或违反法律法规的事宜,包括发布任何有损公司利益的信息。
4.4.3.惩处要求:
违背该策略可能导致:员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员
等继续工作的机会;另外,这些人员还可能遭受信息资源访问权以及公民权的损失,甚至
遭到法律起诉。
4.5.备份策略
4.5.1.根据公司业务需求,识别需要备份的数据信息。备份的信息应当包含但不限于操作系统、
数据库系统、系统软件、设备配置、网站内容等。此策略为保护信息资产可用性和恢复
性,确保公司数据信息安全可靠。适用于ISMS所覆盖的所有部门。
4.5.2.根据不同重要程度的数据信息,确定采取的备份手段,包括但不限于硬盘备份、冗余主
机备份、冗余网络设备和冗余链路。
4.5.3.确定数据的备份周期,根据数据的备份需要,确定增量备份、全备份的周期。
4.5.4.应按照计划实施备份,并确保备份实施成功,应保留备份记录以备审查。
4.5.5.每个月对服务器中用户存储的数据进行检查,确保与工作无关之数据不被存入服务器;
对于存放违规数据情况,行成报告并上报公司予以相应的处理。每三个月对存入于服务
器上的用户数据进行一次完全备份,每天进行一次差异备份,并在服务器上保留前一次
三个月的完整备份数据。数据库备份及数据存档保存期限所有数据库的备份每天进行一
次完整备份,并保留近三个月的备份。邮件系统数据的存档保存期限为两年。ERP系统
数据的存档永久保存,采取异地备份策略,每季度进行一次备份。
4.5.6.应对备份的数据定期进行数据恢复测试,以保证备份数据的可用性等。
4.6.访问控制策略
为了对公司资产范围内所有的操作系统、数据库系统、应用系统、开发测试系统及网络系统所提供的服务的访问进行合理控制,确保信息被合法使用,禁止非法使用,特制定本管理策略。
a)对于需要进行访问控制的操作系统、数据库系统、应用系统、开发测试系统及网络系统,要对
系统设置,保证在进入系统前必须执行登录操作,并且记录登录成功与失败的日志。
b)对于具有身份验证功能的系统程序,程序所属部门,应建立登录程序的用户,并对有权限的人
授权;对于没有用户验证功能的程序,要通过系统的访问权限控制对程序的访问。
c)研发网和测试网要实现物理隔离,核心设备要设置特别的物理访问控制,并建立访问日志。
d)对于信息资源的访问以目录或具体文件设置用户可用的最低权限,并通过属性权限与安全权限
控制用的户权限。
e)访问控制权限设置的基本规则是除明确允许执行情况外一般必须禁止。
f)访问控制的规则和权限应该符合公司业务要求,并记录在案。
g)对网络系统访问时,通过为用户注册唯一的ID来实现对用户的控制。
h)系统管理员必须确保用户的权限被限定在许可的范围内,同时能够访问到有权访问的信息。
i)用户必须使用符合安全要求的口令,并对口令做到保密。
j)系统管理员必须对分配的权限和口令做定期检查,防止权限被滥用。检查频率为每季度一次。
k)明确用户访问的权限与所担负的责任。
l)系统管理员必须保证网络服务可用,保证使用网络服务的权限得到合理的分配与控制。
m)系统管理员制定操作系统访问的规则,用户必须按相关规则访问操作系统。
n)对各部门使用的应用系统或测试系统,由该部门制定访问规定并按规定执行。
o)对信息处理设施的使用情况进行监控,及时发现问题并采取必要的安全措施。
4.7.密码策略
此策略为了更好的加强信息安全,防止网络、主机和系统的非授权访问,特制定密码管理策略,适用于的公司网络、计算机和系统的密码管理。IT部负责信息中心网络、主机和系统的密码管理。
a)IT部根据业务安全需要,可强制用户在登录时更改密码,当出现提示密码过期时,用户需自
行完成密码的修改,否则将无法登陆系统。
b)如业务需求对密码期限进行限制,防止密码过期,保证密码永久有效,或设定一定的期限,在
一定的期限内有效。
c)根据需要,可使某一账号暂时禁用。
d)设定规定登录次数,超过5次数,账号禁用。以防用户猜测密码,从技术上进行一定预防。
e)密码必须八位或以上字符,包含大小写、符号、数字三个或以上的组合,禁止使用易被猜测的
密码。每三个月对相关密码必须重新设定。
f)密码仅限于使用者掌握,未经许可不得将密码告知他人,否则由此产生的问题,由使用者负全
部责任。
g)禁止任何员工通过任何方式偷取和破解密码。
h)前后两次的密码不能相同或相似。
4.8.密钥管理策略
4.8.1.该策略的为是通过适当和有效使用加密,以保护信息的机密性、真实性和完整性,适用
于需要进行密码控制的信息系统以及使用密钥访问任何信息资源的所有人。
4.8.2.本策略要求贯穿密钥的整个生命周期,包括密钥的生成、存储、归档、检索、分发、回
收和销毁。组织间使用密码控制的管理方法,包括保护业务信息的一般原则。
4.8.3.所有密钥需免遭修改、丢失和毁坏。秘密和私有密钥需要防范非授权的泄露。用来生成、
存储和归档密钥的设备宜进行物理保护。
4.8.4.密钥管理系统宜基于已商定的标准、规程和安全方法,以便:
a)生成用于不同密码系统和不同应用的密钥;
b)生成和获得公开密钥证书;
c)分发密钥给预期用户,包括在收到密钥时要如何激活;
d)存储密钥,包括已授权用户如何访问密钥;
e)变更或更新密钥,包括要何时变更密钥和如何变更密钥的规则;
f)处理已损害的密钥;
g)撤销密钥,包括要如何撤消或解除激活的密钥,例如,当密钥已损害时或当用户离开
组织时(在这种情况下,密钥也要归档);
h)恢复已丢失或损坏的密钥;
i)备份或归档密钥;
j)销毁密钥;
k)记录和审核与密钥管理相关的活动。
4.8.
5.为了减少不恰当使用的可能性,宜规定密钥的激活日期和解除激活日期,以使它们只能
用于相关密钥管理策略定义的时间段。
4.8.6.除了安全地管理秘密和私有密钥外,还宜考虑公开密钥的真实性。这一鉴别过程可以由
证书认证机构正式颁发的公钥证书来完成,该认证机构宜是一个具有合适的控制措施和
规程以提供所需的信任度的公认组织。
4.8.7.密钥的管理对有效使用密码技术来说是必需的。GB/T 17901提供了更多密钥管理的信息。
4.9.账号管理策略
4.9.1.因业务发展内部员工大量使用基于操作系统的账号、基于数据库的账号和基于应用系统
的账号,大量账号和口令的使用导致管理极大的复杂化,为了保证各个系统的账号和口
令管理保持在一个一致的水平上,特制定本标准。
a)帐号:指在系统内设定的可以访问本系统内部资源的ID或其他许可形式。
b)管理员帐号:指在系统中具有较大的权限,对网络的运行和安全具有巨大影响的帐号,典型用
户为系统管理员。
c)超级管理员帐号:指对系统具有超级权限的帐号,包含但不限于UNIX的root用户,WINNT的
administrators组成员,数据库的DBA等用户。
d)公用帐号:指供一组人使用的帐号,其合法使用人限于一个组内。
e)匿名帐号:只供不确定人员使用的帐号,多用于通过INTERNET的访问
4.9.2.账号的申请原则:
a)只有授权用户才可以申请系统帐号;
b)任何系统的帐号设立必须按照规定的相应流程规定进行;
c)员工申请帐号前应该接受适当的培训,以确保能够正常的操作,避免对系统安全造成隐患;
d)帐号相应的权限应该以满足用户需要为原则,不得有与用户职责无关的权限;
e)对于确因工作需要而必须申请系统帐号的公司外部人员,根据《IT信息管理规范》相关流程
申请注册;
f)因业务需求需要申请公用账号的情况下公用帐号不得具有访问保密信息和对系统写的权限,公
用帐号应该设立责任人,负责帐号的正常使用及维护;
g)匿名帐号只被允许访问系统中可公开的且对公司有益的资源,不得访问任何内部公开及以上秘
密等级的资源;对匿名用户对系统的访问必须有详细的记录。
4.10.清洁桌面和锁屏策略
4.10.1.此策略的是防止对信息和信息处理设施未经授权的用户访问、破坏或盗窃。实施清除桌
面和清除屏幕方针,以降低对文件、介质以及信息处理设施未经授权访问或破坏的风险,
适用于公司所有电子设备;
a)含有涉密信息或重要信息的文件、记录、磁盘、光盘或以其他形式存储的媒体在人员离开
时,应锁入文件柜、保险柜等。
b)所有计算机终端必须设立登录口令,在人员离开时应该锁屏、注销和关机。
c)在结束工作时,必须关闭所有计算机终端,并且将个人桌面上所有记录有敏感信息的介质
锁入文件柜。
d)计算机终端应设置屏幕密码保护。
e)传真机由综合管理部负责管理,并落实到责任人。
f)打印或复印公司秘密、机密信息时,经公司审批后方可进行,打印复印由保密管理员监督
完成。
4.10.2.违背该策略可能导致:员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人
员等继续工作的机会;另外,这些人员还可能遭受信息资源访问权以及公民权的损失,
甚至遭到法律起诉。
4.11.移动设备和远程工作策略
4.11.1.该策略为确保远程工作及移动设备在使用过程中的信息安全,适用于公司移动设备和远
程工作的办公场景;移动设备是指我司员工正在使用的各类移动设备,包括笔记本电脑,
平板电脑,PDA,智能手机等。远程工作是使用通信技术手段使在组织场所外固定地点的
人员可以通过远程进入公司网络工作。
4.11.2.移动设备管理
a)移动设备持有人员应妥善保管该设备,严禁故意损毁、破坏。
b)移动设备持有人员应及时对移动设备的操作系统安全补丁进行升级无法处理时可联系IT
部同事协助处理,保证系统安全运行。
c)移动设备持有人员应设置登录口令(或称登录密码),并负责口令保密。便携式计算机应
设置带有密码的屏幕保护功能,离开锁定计算机。
d)严禁在移动设备上安装、运行与工作无关的应用软件和游戏,严禁使用移动设备从事与
工作无关的活动。
e)需在移动设备上安装管控软件,限定用户对移动设备进行系统还原及共享权限,默认开
通指定公司服务,禁止登陆私人邮箱,做工作无关的操作,禁止通过FTP,云盘等手段
上传文件等,限定移动存储介质的写入权限。
4.11.3.远程工作管理
a)员工使用移动设备在其他城市分公司或异地办公场所,通过VPN拨号方式远程接入公司内部网
络,远程访问的VPN数据需要进行加密处理,以实现安全的远程访问公司内部网络资源。
b)远程工作的方式必须获得保安部和IT部的批准,任何部门和个人不得私设可以远程访问的接
口。
c)远程工作应仅限于申请的设备和地点,VPN账户需绑定地址进行授权限制登录,严禁在公共计
算机设备(例如网吧)上进行。
d)远程工作人员范围仅限于工作需要的人员,内部远程工作人员必须获得部门负责人的授权,并
获得IT部的批准。
e)远程工作人员不得将远程工作身份识别信息和相关设备透漏、借用给其他人员,工作结束后应
该注销并断开远程连接。
f)远程工作的相关通信和设备必须接受信息安全管理小组的相关配置和监控。
g)远程工作的访问权限不允许超过该人员在公司内部网络的正常访问权限。
h)外部第三方需要连接本公司网路进行系统维护或故障诊断时,应经过信息安全保密小组的批
准,并由IT部人员监督执行。远程访问时应做好记录,维护结束后应立即断开连接。
4.12.服务器加强策略
4.12.1.此策略为了加强公司服务器的安全管理工作,保障信息系统安全、稳定运行,充分发挥
系统效用,适用于公司所有服务器;
a)系统应及时安装各种系统应用补丁及防毒软件,管理员应至少每周进行一次检测,并对服务器
时间进行检验,保证服务器时间准确。
b)系统的防病毒软件应24小时不间断的开启,任何人不得停止服务,并且要及时更新病毒库,
管理员至少2天手动检测一次病毒库,并设置杀毒软件每天22点整自动查杀。
c)除系统服务必须使用的端口,其他端口一律关闭停止服务。
d)服务器的口令必须符合密码复杂性,密码长度为12位以上,密码必须包含大写、小写、数字
及数字符号,具体要求可参考《公司电脑使用管理规范》。
e)密码的生存期限为30天,管理员必须在30天内更换一次密码,否则系统将禁止该管理员登陆。
f)服务器日常操作和维护由系统管理员负责,未经许可其他人不得对服务器进行任何操作。
g)如非管理员需要登录服务器调试等,必须要在管理员处出示具有相关领导批示的《服务器使用
申请表》。
h)操作人员必须在管理人员的陪同下进行相关操作。
i)如果要更新服务器的应用,必须提供程序测试报告,并且该程序经过测试可以上线试运行。
j)每次服务器进行数据操作及维护后,必须填写《服务器维护记录表》进行登记,用来备查。加强服务器检查。每月对数据存放硬盘空间、CPU使用、内存空间等环境进行检查。发现硬盘存储空间、CPU异常、内存异常等问题要及时处理,不能及时处理的问题应向领导及时报告,并采取积极措施尽快解决。
4.13.时间同步策略
4.13.1.此策略为保证公司网络中设备日志的准确及有效性,确保在网络运维中出现异常事件时
能够准确定位时间节点,特此指定本策略;适用于公司所有网络设备及计算机设备。
a)公司所有联网电脑的使用NTP时间服务器同步时间,未联网电脑需电脑负责人每月定期对时间
进行效验;
b)IT部对所有网络设备时钟进行检验,保证同步至NTP时间服务器,每月进行检验。
4.14.电子邮件策略
4.14.1.此策略为规范公司内部邮件系统的使用,充分发挥电子邮件系统的作用。为公司办公及
业务系统的安全可靠运行提供必要的保障,防止恶意程序和垃圾邮件的传输,确保电子
邮件的信息安全。适用于日常使用公司邮件系统进行邮件接收和发送的部门和人员。4.14.2.IT部责任:
4.14.2.1.邮件系统安装与设置、系统技术支持、系统运行监视。
4.14.2.2.维护邮件系统、保证服务器及邮件系统的正常运行、并及时处理并解决用户的问题。
4.14.2.3.遇到重大问题时,要负责向IT部领导报告。
4.14.2.4.IT部负责邮件帐号的开通、注销以及邮件系统日常管理等
4.14.3.邮箱使用人员负责:
4.14.3.1.邮件用户必须严格遵守国家有关保密法规法令,不得泄露国家及公司机密,不得侵
犯公司及其他员工的合法权益,不得从事违法犯罪活动。
4.14.3.2.邮箱需设置密码;邮箱的密码必须保证6位或以上,并且足够复杂(如字母和数字
混用,有大小写区别等);邮箱的密码使用期限为6个月,过期后用户需要更改密码。
4.14.3.3.邮箱密码必须严格保密,不得泄露。
4.14.3.4.普通员工发送和接收邮件的大小限制为15 M。
4.14.3.
5.定期清理个人的邮箱,防止邮箱爆满,影响正常通邮。员工的邮件应在本地PC机上
保存。
4.14.3.6.严禁以电子邮件工具破坏、干扰他人正常工作或无目的地乱发邮件;禁止传递游戏、
MP3等与办公无关的邮件。
4.14.3.7.凡是通过电子邮件在网上发送的文件,发件人应主动使用查病毒软件检查并确认安
全后方可发出,从而尽可能避免病毒通过网络扩散。
4.14.3.8.不得故意制作、传播计算机病毒等破坏性程序及其他危害电子邮件安全的活动。
4.14.4.服务要求:
4.14.4.1.禁止在邮件服务器上安装与邮件系统无关的软件。
4.14.4.2.对违反操作规定,影响办公应用或给邮件系统造成严重问题的管理员,人力资源部
给予警告等处罚。
4.14.4.3.邮件进出邮件服务器需经过邮件过滤和病毒扫描。
4.14.4.4.邮件系统应允许用户可自行更改密码。
4.14.4.
5.邮件服务器应纳入防火墙的管理,防火墙策略应只打开邮件服务必需的端口。
4.14.4.6.定期对邮件服务器进行安全扫描,保证邮件服务器及时更新。
4.14.4.7.保证现行的各项保护措施发挥作用,保证邮件服务器所采用的安全补丁的有效性。
4.14.4.8.应建立邮件服务器的日志文件记录机制,记录所有成功的和未成功的入侵行为以及
所有可疑行为。
4.14.4.9.应定期对邮件系统进行备份。
4.14.4.10.办公室负责邮件帐号的管理,在员工入职时开通邮件帐号;员工离职时应及时注销
离职员工的邮件帐号信息。
4.14.4.11.严禁利用电子邮件制作、复制和传播如下信息:
a)捏造或歪曲事实、散布谣言;
b)传播封建迷信或黄色淫秽等不健康的信息;
c)公然侮辱他人或捏造事实诽谤他人;
d)损害国家或公司信誉的信息;
e)其他违反宪法和法律、行政法规的信息。
f)对于违反邮件管理规定的人员,视情节轻重,分别给以批评、教育、警告处理。
4.1
5.日志和监视策略
4.1
5.1.此策略为了对公司内部服务器和网络设备运转状况进行监视,确保设备安全运转,且在
遇到故障时能通过查看设备的相关日志,分析问题原因和及时排除故障,适用于公司所
有电子设备。特制定本管理策略。
a)启用服务器和网络设备的日志记录功能,记录重要事件日志,包括人员登录信息和操作信息。
b)定期对服务器日志和网络设备日志进行检查,以便发现可疑的登录信息或操作信息。
c)日志检查应保留检查记录,未经授权不得删除日志信息。
d)制定对服务器进行定时系统检查的计划,检查内容应包括:硬件有无报错、系统存储空间、CPU
和内存利用率、中间件状态、数据库状态等。
e)制定对网络设备进行定时系统检查的计划,检查内容应包括:硬件有无报错、系统存储空间、
CPU和内存利用率、端口状态、路由表状态等。
f)若发现系统异常,应立即进行异常分析和处理,并保留异常分析和处理记录。
4.16.网络与信息传输安全策略
4.16.1.此策略为保证信息在计算机网络与信息传输过程中的信息安全,使业务服务数据有效安
全,特制定此策略,适用于公司整个计算机网络。
a)根据信息重要程度等因素,在公司内部网络中划分不同的子网或网段,并按照方便管理和
控制的原则为各子网、网段分配地址段。
b)重要网段与其他网段之间采取可靠的技术隔离手段。公司办公网和测试网采取物理隔离,
办公网和测试网内部网络采取逻辑隔离。
c)重要网段的网络接口设备通过网络地址转换(NAT)隐藏网络的内部信息,并提供严格的访
问控制策略。
d)网络设备的身份鉴别信息应采取具有防冒性的特点,并采用复杂度适度的口令并设定合理
的有效期。
e)使用网络设备对鉴别信息进行保护,避免明文传输。
f)在网络设备上使能流量抑制,用于控制广播、组播以及未知单播报文,防止这三类报文引
起广播风暴。
g)在业务终端与业务服务器之间进行路由控制建立安全的访问路径。
h)对于公司无线局域网络,接入设备应确保只有授权的设备才可以发送和接收相关的通信内
容。
i)对非授权设备私自连接到公司内部网络的行为进行有效阻断,对内部网络用户私自联到外
部网络的行为进行有效阻断。
j)使能边界设备的防攻击功能,对可预见的入侵行为和系统攻击进行检测,对网络设备的入侵行为和系统攻击进行阻断。
k)支持远程访问管理的网络设备、网络基础服务系统应采用安全的远程访问机制,远程访问管理功能默认设为关闭状态。开启对远程连接访问资源进行限制和检测功能,防止非授权的远程连接访问系统资源。员工通过互联网远程访问内部网必须通过安全的方式连接。
l)网络设备和网络基础服务系统应支持脆弱性修补和加固的功能,按企业统一加固升级策略进行维护。
4.17.设备安全策略
a)网络设备和服务器管理中使用的各种口令必须要有一定的复杂性、不可猜测性。
b)定期更换网络设备和服务器设备登录口令。
c)严格控制对网络设备和服务器的远程访问,只允许指定用户或指定网络地址对设备的访问。
d)关闭网络设备上不必要的服务。
e)所有用于外联接入的网络设备均须配置访问控制列表。
f)网络设备上禁止接入无关节点。定期检查路由器配置,删除多余信息,如路由信息、无关
节点信息等,确保没有无关节点接入。
g)确保网络设备和服务器物理安全,严禁任何人员对设备进行非授权访问,张贴警告标示及
设备标识卡需明确用途。
h)非相关人员对如对接口,电源等操作,违反以上要求需对违规操作者进行警告或处罚。
4.18.介质处理策略
4.18.1.此策略为防止对资产的未授权的泄漏、修改、移动和损坏,及对业务活动的干扰,适用
于公司所有存储介质的管理。
a)妥善保管移动介质,不得将载有重要信息的移动截至随意存放,未经安全责任人授权不得
带出相关区域。
b)如移动介质的内容不再需要应立即清除,对于备份和存放重要信息的应采取焚化或粉粹的
方法,或者将数据擦除供组织内其他应用使用。
c)3对长期需要保护的移动介质,应在介质老化前转储,防止介质失效造成的损失。
d)当处理大量移动介质时,宜考虑大量不敏感信息成为敏感信息的集聚效应。
e)要将所有介质存储在符合制造商说明书的安全、保密环境中。
f)移动介质的需进行登记,以减少数据丢失的机会。
4.19.第三方访问策略
4.19.1.此策略保证第三方访问组织访问公司内部信息处理设备和信息资产时的安全性及权限控
制。
4.19.1.1.若有业务上需要第三方的访问,应对此做出风险评估来确定访问可能带来的安全后
后果和对访问进行的控制需求。控制措施应经双方同意,并在合同中进行明确定义。
4.19.1.2.第三方访问的风险鉴别
(1) 访问类型
给予第三方访问的类型至关重要。比如,通过网络连接的访问风险与物理访问的风险有很
大区别。需要考虑的访问类型有:
a)物理访问,如访问办公室,计算机房,文件柜等
b)逻辑访问,如访问组织的数据库,信息系统等
(2) 访问原因
授权第三方访问有若干原因。例如,向组织提供服务却不在现场的第三方,就可以被授予
物理和逻辑访问权,如:
a)硬件和软件支持人员,他们需要有权访问系统级或低级的应用程序功能。
b)贸易伙伴或合资伙伴,他们之间需要交流信息,访问信息系统或共享数据库。
若没有充分的信息安全管理,允许第三方访问将给信息带来风险。因此,在业务上有与第
三方接触的需求时,则需进行风险评估,以确定具体的控制措施的要求。还要考虑所要进
行的访问类型、信息的价值、第三方使用的控制措施和访问给组织信息的安全可能带来的
后果。
(3) 现场承包方
按照合同规定,可以在现场滞留一段时间的第三方也有可能带来安全隐患。现场第三方的
例子有:
a)硬件和软件维护和支持人员
b)清洁人员、送餐人员、保安和其他的外包支持服务人员
c)学生和其他的短期临时工作人员
d)顾问
了解采取哪些控制措施来管理第三方对信息处理设备的访问是至关重要的。总的来说,在
与第三方所签的合同中应反映出所有的由第三方访问导致的安全需求或内部的控制措施。
例如:若对信息的保密性有特殊要求的时候,就要采用保密协议。
只有在实施了适当的控制措施并签订了涵盖连接和访问条件的合同之后,第三方方可访问
信息和信息处理设备。
(4)与第三方签约时的安全要求
涉及到第三方访问本组织信息处理设备的安排应基于正式的合同。该合同应包括或提到安
全要求,以保证遵守本组织安全方针和安全标准。合同应确保本组织和第三方之间没有误
会。各个组织应确保供应商的可靠性。合同中应该考虑如下条款:
a)信息安全的总体方针;
b)资产保护方面,包括:
1)保护组织资产(包括信息和软件在内)的程序;
2)确定资产是否受到危害的程序,如数据的丢失或篡改;
3)确保在合同截止时或合同执行期间某一双方同意的时间,归还或销毁信息的控制
措施;
4)完整性和可用性;
5)对复制和泄漏信息的限制;
c)对可用服务的描述;
d)服务的目标级和服务的不可接受级;
e)人员调整的规定;
f)协约方各自的责任;
g)法律方面的责任,如数据保护法规,如果合同涉及到其他国家的组织,还应特别考虑
不同国家法律体系的区别;
h)知识产权和版权转让(见控制措施遵从性)与合作成果保护;
4.20.变更管理安全策略
4.20.1.本策略为规范软件变更与维护管理,提高软件管理水平,优化软件变更与维护管理
流程,特制定本制度。本制度适用于应用系统已开发或采购完毕并正式上线、且由
软件开发组织移交给应用管理组织之后,所发生的生产应用系统(以下简称应用系
统)运行支持及系统变更工作。
4.20.2.系统变更工作可分为下面三类类型:功能完善维护、系统缺陷修改、统计报表生成。
功能完善维护指根据业务部门的需求,对系统进行的功能完善性或适应性维护;系
统缺陷修改指对一些系统功能或使用上的问题所进行的修复,这些问题是由于系统
设计和实现上的缺陷而引发的;统计报表生成指为了满足业务部门统计报表数据生
成的需要,而进行的不包含在应用系统功能之内的数据处理工作。
4.20.3.系统变更工作以任务形式由需求方(一般为业务部门)和维护方(一般为信息部门
的应用维护组织和软件开发组织,还包括合作厂商)协作完成。系统变更过程类似
软件开发,大致可分为四个阶段:任务提交和接受、任务实现、任务验收和程序下
发上线。
4.20.4.需求部门提出系统变更需求,并将变更需求整理成《系统变更申请表》,由部门负
责人审批后提交给系统管理员。
4.20.
5.IT部人员负责接受需求并上报给主管。开发主管分析需求,并提出系统变更建议。
开发主管根据变更建议审批《系统变更申请表》。
4.20.6.IT部根据自行开发、合作开发和外包开发的不同要求组织实现系统变更需求,将需
求提交至内部开发人员、合作开发商或外包开发商,产生供发布的程序。
4.20.7.实现过程应按照软件开发过程规定进行。系统变更过程应遵循软件开发过程相同的
正式、统一的编码标准,并经过测试和正式验收才能下发和上线。
4.20.8.业务部门的系统最终用户对系统程序变更进行测试,并撰写《用户测试报告》,提
交业务部门负责人和开发主管领导签字确认通过。
4.20.9.在系统变更完成后,IT部人员和业务部门的最终用户共同撰写《程序变更验收报
告》,经业务部门负责人签字验收后,报送IT部经理审批。
4.20.10.培训管理员负责对系统变更过程的文档进行归档管理,变更过程中涉及的所有文档
应至少保存两年。
4.20.11.对于紧急变更,需求部门可以通过电子邮件或传真等书面形式提出申请。
4.20.12.IT部根据重要性和紧迫性做判断,确定其优先级和影响程度,并进行相应处理。
4.20.13.紧急变更过程中应使用专设的系统用户账号,由专责部门或人员启动紧急修改变更
程序。项目管理办公室应对紧急变更的处理进行规范的文档记录。
4.20.14.在紧急事件处理完成后,必须在一周内补办正式、完整的文档,其中包括问题发现
人填写的紧急变更申请、问题发现人所在部门负责人对该申请的审批、项目管理人
员测试记录(包括签字确认测试结果)。
4.20.1
5.系统变更过程中,应采取各种措施保证维护环境程序代码访问权限受到良好控制。
这些措施包括:
a)通过系统用户的授权管理,确保只有特定人员能进行系统维护工作;
b)如果使用专用程序开发工具,只有授权人员才能使用程序开发工具(通过只有特定开发
人员拥有程序开发工具);
c)通过对源代码的访问控制,限制只有授权人员才能获得源代码以进行系统维护;
d)在进行自有系统的程序变更时,应建立版本控制制度确保每次在最新的代码基础上进行
更改,当多名程序员同时进行更改工作时,能够进行适当协调;
e)通过对系统日志的审阅,监督系统维护人员在系统中的操作,确认维护工作的授权;
f)在进行自有系统的程序变更时,应防止源代码在完成测试到正式上线之间的非授权修改。
4.20.16.系统变更过程中,采取各种措施保证生产系统应用程序访问权限受到良好控制。这些措
施包括:
a)通过生产环境的访问控制,限制对生产环境的访问;
b)通过物理隔离的手段,限制对生产环境的访问;
c)通过逻辑隔离的手段,限制对生产环境的访问;
d)对授权访问生产环境的人员进行详细记录,使用该记录对生产环境访问权限的检查,
确保只有经授权人员才能访问生产环境;
e)普通用户只能通过前台登录系统,不能通过后台(如使用生产环境操作系统的命令行)
进行操作;
f)信息技术人员不应该拥有前台应用程序的业务操作访问权限,更不应该在前台应用程
1、信息安全管理方针和策略 范围 公司依据ISO/IEC27001:2013信息安全管理体系标准的要求编制《信息安全管理手册》,并包括了风险评估及处置的要求。规定了公司的信息安全方针及管理目标,引用了信息安全管理体系的内容。 1.1规范性引用文件 下列参考文件的部分或整体在本文档中属于标准化引用,对于本文件的应用必不可少。凡是注日期的引用文件,只有引用的版本适用于本标准;凡是不注日期的引用文件,其最新版本(包括任何修改)适用于本标准。 ISO/IEC 27000,信息技术——安全技术——信息安全管理体系——概述和词汇。 1.2术语和定义 ISO/IEC 27000中的术语和定义适用于本文件。 1.3公司环境 1.3.1理解公司及其环境 公司确定与公司业务目标相关并影响实现信息安全管理体系预期结果的能力的外部和内部问题,需考虑: 明确外部状况: ?社会、文化、政治、法律法规、金融、技术、经济、自然和竞争环境,无论国际、国内、区域,还是本地的; ?影响组织目标的主要动力和趋势; ?与外部利益相关方的关系,外部利益相关方的观点和价值观。 明确内部状况: ?治理、组织结构、作用和责任; ?方针、目标,为实现方针和目标制定的战略; ?基于资源和知识理解的能力(如:资金、时间、人员、过程、系统和技术);
?与内部利益相关方的关系,内部利益相关方的观点和价值观; ?组织的文化; ?信息系统、信息流和决策过程(正式与非正式); ?组织所采用的标准、指南和模式; ?合同关系的形式与范围。 明确风险管理过程状况: ?确定风险管理活动的目标; ?确定风险管理过程的职责; ?确定所要开展的风险管理活动的范围以及深度、广度,包括具体的内涵和外延; ?以时间和地点,界定活动、过程、职能、项目、产品、服务或资产; ?界定组织特定项目、过程或活动与其他项目、过程或活动之间的关系; ?确定风险评价的方法; ?确定评价风险管理的绩效和有效性的方法; ?识别和规定所必须要做出的决策; ?确定所需的范围或框架性研究,它们的程度和目标,以及此种研究所需资源。 确定风险准则: ?可以出现的致因和后果的性质和类别,以及如何予以测量; ?可能性如何确定; ?可能性和(或)后果的时间范围; ?风险程度如何确定; ?利益相关方的观点; ?风险可接受或可容许的程度; ?多种风险的组合是否予以考虑,如果是,如何考虑及哪种风险组合宜予以考虑。 1.3.2理解相关方的需求和期望 信息安全管理小组应确定信息安全管理体系的相关方及其信息安全要求,相关的信息安全要求。对于利益相关方,可作为信息资产识别,并根据风险评估的结果,制定相应的控制措施,实施必要的管理。相关方的要求可包括法律法规要求和合同义务。
信息安全策略总纲 1.1.适用范围及依据 第一条XXXXXX信息系统包含非生产控制系统,非生产控制系统内包含生产管理系统、网站系统、管理信息系统三大类。本制度适用于XXXXXX所有信息系统。 第二条本制度根据《GB/T20269-2006 信息安全技术信息系统安全管理要求》、《GB/T20282-2006 信息安全技术信息系统安全工程管理要求》、《GB/T22239-2008 信息安全技术信息系统安全等级保护基本要求》等有关法律、标准、政策,管理规范而制定。 1.2.信息安全工作总体方针 第一条XXXXXX信息系统的安全保护管理工作总体方针是“保持适度安全;管理与技术并重;全方位实施,全员参与;分权制衡,最小特权;尽量采用成熟的技术” 。“预防为主”是信息安全保护管理工作的基本方针。 第二条《总纲》规定了XXXXXX信息系统安全管理的体系、策 略和具体制度,为信息化安全管理工作提供监督依据。 第三条XXXXXX信息系统安全管理体系是由信息安全策略总纲、安全管理制度、安全技术标准以及安全工作流程和操作规程组成的。 (一)《总纲》是信息安全各个方面所应遵守的原则方法和指导性策略文件。
(二)《总纲》是制定XXXXXX信息安全管理制度和规定的依据 (三)信息安全管理制度和规范规定了信息安全管理活动中各项管理内容。 (四)信息安全技术标准和规范是根据《总纲》中对信息安全方面相关的规定所引出的,其规定了信息安全中的各项技术要求。 (五)信息安全工作流程和操作规程详细规定了主要应用和事件处理的流程、步骤以及相关注意事项,并且作为具体工作时的具体依照。 1.3.系统总体安全策略 第一条XXXXXX信息系统总体安全保护策略是:系统基础资源和信息资源的价值大小、用户访问权限的大小、系统中各子系统重要程度的区别等就是级别的客观体现。信息安全保护必须符合客观存在和发展规律,其分级、分区域、分类和分阶段是做好信息安全保护的前提。 第二条XXXXXX信息系统的安全保护策略由XXXXXX信息技术科负责制定与更新。 第三条信息技术科根据信息系统的保护等级、安全保护需求和安全目标,结合XXXXXX自身的实际情况,依据国家、监管部门有关安全法规和标准,授权制定信息系统的安全保护实施细则和具体管理办法;并根据环境、系统和威胁变化情况,及时调整和制定新的实施细则和具体管理办法。
信息安全管理策略 一 总则 为满足??银行(以下简称“我行”)信息安全管理、信息安全保障和合规的需要,根据《??银行信息安全管理方针》,特制订本管理策略。目的是指导我行通过各项管理制度与措施,识别各方面的信息安全风险,并采取适当的补救措施,使风险水平降低到可以接受的程度。 二 安全制度管理策略 ?? 目的 使信息安全管理的发展方向和相关工作能够满足我行业务要求、国家法律和规定的要求。安全制度管理应建立一套完善的、能够满足以上要求的文档体系,并定期更新,发布到我行信息安全所有相关单位中。 ?? 策略一:建立和发布信息安全管理文档体系 ?策略目标: 使相关单位人员了解到信息安全管理文档的内容,安全工作有据可依。 ?策略内容: 建立我行信息安全管理文档体系,发布到相关单位。 ?策略描述: 根据《??银行信息安全管理方针》中的方针、原则和我行特点,制订出一套文档体系,包括信息安全策略、制度和实施指南等,通过培训、会议、办公系统或电子邮件等方式向相关单位发布。
总体发布范围包括与以上信息资产相关的我行所有部门、我行下属机构和关联公司,以及与我行有关的集成商、软件开发商、产品提供商、顾问、商业合作伙伴、临时工作人员和其他等第三方机构或人员。 ?? 策略二:更新安全制度 ?策略目标: 安全制度能够适应我行信息安全管理因各方面情况变化而产生的变化,在长期满足要求。 ?策略内容: 定期和不定期审阅和更新安全制度。 ?策略描述: 由相关团队定期进行安全制度的检查、更新,或在信息系统与相关环境发生显著变化时进行检查、更新。 三 信息安全组织管理策略 ?? 目的 通过建立与组织相关的以下二个安全策略,促进组织建立合理的信息安全管理组织结构与功能,以协调、监控安全目标的实现。与组织有关的策略分内部组织和外部组织两部分来描述。 ?? 策略一:在组织内建立信息安全管理架构 ?策略目标: 在组织内有效地管理信息安全。 ?策略内容: 我行应建立专门的信息安全组织体系,以管理信息安全事务,指导信息安全实践。 ?策略描述: 通过建立信息安全管理组织,启动和控制组织范围内的信息安全工作的实施,批准信息安全方针、确定安全工作分工和相应人员,以及协调和评审整个组织安全的实施。
1.总体目标 以满足业务运行要求,遵守行业规程,实施等级保护及风险管理,确保信息安全以及实现持续改进的目的等内容作为本单位信息安全工作的总体方针。以信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断为总体目标。 2.范围 本案适用于某单位信息安全整体工作。在全单位范围内给予执行,由某部门对该项工作的落实和执行进行监督,由某部门配合某部门对本案的有效性进行持续改进。 3.原则 以谁主管谁负责为原则(或者采用其他原则例如:“整体保护原则”、“适度保护的等级化原则”、“分域保护原则”、“动态保护原则”、“多级保护原则”、“深度保护原则”和“信息流向原则”等)。 4.策略框架 建立一套关于物理、主机、网络、应用、数据、建设和管理等六个方面的安全需求、控制措施及执行程序,并在关联制度文档中定义出相关的安全角色,并对其赋予管理职责。“以人为本”,通过对信息安全工作人员的安全意识培训等方法不断加强系统分布的合理性和有效性。 4.1物理方面 依据实际情况建立机房管理制度,明确机房的出入管理办法,机房介质存放方式,机房设备维护周期及维护方式,机房设备信息保密要求,机房温湿度控制
方式等等环境要求。通过明确机房责任人、建立机房管理相关办法、对维护和出入等过程建立记录等方式对机房安全进行保护。 4.2网络方面 从技术角度实现网络的合理分布、网络设备的实施监控、网络访问策略的统一规划、网络安全扫描以及对网络配置文件等必要信息进行定期备份。从管理角度明确网络各个区域的安全责任人,建立网络维护方面相关操作办法并由某人或某部门监督执行看,确保各信息系统网络运行情况稳定、可靠、正常的运行。 4.3主机方面 要求各类主机操作系统和数据库系统在满足各类业务系统的正常运行条件下,建立系统访问控制办法、划分系统使用权限、安装恶意代码防范软件并对恶意代码的检查过程进行记录。明确各类主机的责任人,对主机关键信息进行定期备份。 4.4应用方面 从技术角度实现应用系统的操作可控、访问可控、通信可控。从管理角度实现各类控制办法的有效执行,建立完善的维护操作规程以及明确定期备份内容。 4.5数据方面 对本单位或本部门的各类业务数据、设备配置信息、总体规划信息等等关键数据建立维护办法,并由某部门或某人监督、执行。通过汇报或存储方式实现关键数据的安全传输、存储和使用。 4.6建设和管理方面 4.6.1信息安全管理机制 成立信息安全管理主要机构或部门,设立安全主管等主要安全角色,依据信
公司信息安全策略管理制度(试行) 第一章总则 第一条为提高公司信息安全管理水平,建立、健全信息安全管理体系,贯彻执行GB/T 22080-2008《信息安全管理体系·要求》(idt ISO/IEC27001:2005),保障公司信息系统业务的正常进行,防止由于信息安全事件导致的公司损失,确保全体员工理解信息安全的重要性,执行信息安全管理体系文件的要求,特制定本制度。 第二条本制度是公司信息安全管理的纲领性文件,用于贯彻企业的信息安全管理方针、目标,是所有从事、涉及信息安全相关活动人员的行为准则,是向客户、向社会、向认证机构提供本公司信息安全管理保证能力的依据。 第三条运营改善部在得到两化融合管理委员会批准的前提下负责本制度的更改和建立,运营改善部定期对其适用性、持续性、有效性进行评审,汇总更改需求和建议并上报。 第四条本制度适用于公司所属各单位。 第二章职责分工 第五条公司信息安全管理工作由两化融合管理委员会指导和批准,委员会下设信息安全工作推进组,并设立信息安全顾问团。
第六条信息安全工作推进组由运营改善部信息安全专业人员和公司各部门主管任命的信息化专业员组成。 第七条信息安全顾问组由提供服务的外部安全产品公司或外聘的信息安全顾问组成。 第八条信息安全工作推进组职责 (一)建立信息安全管理方针、目标和策略; (二)评估信息安全顾问组意见的可用性; (三)确定公司信息资产风险准则和信息安全事件处置措施; (四)组织并确保全公司信息安全教育活动的落实; (五)监控公司的信息安全情况,监督检查信息安全活动的落实情况,并定期向两化融合管理委员会汇报; (六)向两化融管理委员会提出实现信息安全目标和符合信息安全方针的改进需要,推行各项信息安全策略要求和控制措施; (七)负责公司信息安全内部、外部评估的具体安排; (八)推进组中各部门安全专员负责对本部门信息资产进行汇总上报,负责本部门信息安全事件的应急处理,收集、上报与本部门相关的信息安全管理方面的要求,同时负责在本部门内传达、落实公司信息安全管理策略的要求。 第九条信息安全顾问组职责 (一)提供信息安全相关产品的使用帮助和更新;
发文单位:中国银行 文号:中银科[2002]38号 发布日期:2002-11-29 执行日期:2002-11-29 1.前言 随着信息技术的不断发展,金融信息安全与我国经济建设、社会安定和国家安全紧密相连。中国银行各项业务已经由传统手工处理转向高科技信息系统处理模式,信息技术已成为银行赖以发展的基础。中国银行信息系统是技术密集、资金密集、大型复杂的网络化的人机系统,其安全问题日益突出。 金融信息安全的风险来于管理层、技术层和操作层。银行信息系统所面临的主要威胁是: (1)人为的失误:计算机技术人员及业务人员在信息系统的设计、开发、安装、使用过程中,都有机会产生人为的错误或失误。 (2)欺诈行为:来自于银行内部员工或银行外部人员,欺骗性地修改或产生信息系统的数据,盗窃银行资金,进行金融犯罪。 (3)内部人员破坏行为:由于对工作不满或其他原因,有意在程序中设置“后门”或程序炸弹,并对设备、数据、系统进行故意破坏的行为。 (4)物理资源服务丧失:设备故障或物理环境发生意外灾难(电源断电、通讯中断、水灾、火灾、地震等)而产生系统宕机事件。 (5)黑客攻击:黑客通过非法手段访问或破坏银行信息系统。 (6)商业信息泄密:部分员工利用权限之便而造成信息系统数据的外泄。 (7)病毒(恶意程序)侵袭:指编制或者在计算机程序中插入破坏计算机功能或者毁坏系统数据的计算机指令或者程序代码。 (8)程序系统自身的缺陷:程序设计开发时,对系统的安全性考虑不足,留下安全隐患,这是一种来自系统自身的威胁。 随着全行信息大中心的相继建成,数据形成了高度集中,风险也随之高度集中,因此信息安全问题所形成的现代金融风险,使传统的金融风险内涵发生了根本性变化。中国银行信息系统的安全不但涉及国家和金融业的利益,而且还涉及到广大客户的利益,任何不安全因素都可能造成信息的丢失、资金财产的损失和金融市场的混乱,甚至影响到社会的稳定。由于信息系统存在着自然或人为等诸多因素的脆弱性和潜在风险,中国银行在信息化建设过程
* 主办部门:系统运维部 执笔人: 审核人: XXXXX 信息安全管理策略V0.1 XXX-XXX-XX-01001 2014年3月17日
[本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属XXXXX所有,受到有关产权及版权法保护。任何个人、机构未经XXXXX的书面授权许可,不得以任何方式复制或引用本文件的任何片断。] 文件版本信息 文件版本信息说明 记录本文件提交时当前有效的版本控制信息,当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于1.0 时,表示该版本文件为草案,仅可作为参照资料之目的。 阅送范围 内部发送部门:综合部、系统运维部
目录 第一章总则 (1) 第二章信息安全方针 (1) 第三章信息安全策略 (2) 第四章附则 (13)
第一章总则 第一条为规范XXXXX信息安全系统,确保业务系统安全、稳定和可靠的运行,提升服务质量,不断推动信息安全工作的健康发展。根据《中华人民共和国计算机信息系统安全保护条例》、《信息安全技术信息系统安全等级保护基本要求》 (GB/T22239-2008)、《金融行业信息系统信息安全等级保护实施指引》(JR/T 0071—2012)、《金融行业信息系统信息安全等级保护测评指南》(JR/T 0072—2012),并结合XXXXX实际情况,特制定本策略。 第二条本策略为XXXXX信息安全管理的纲领性文件,明确提出XXXXX在信息安全管理方面的工作要求,指导信息安全管理工作。为信息安全管理制度文件提供指引,其它信息安全相关文件在制定时不得违背本策略中的规定。 第三条网络与信息安全工作领导小组负责制定信息安全 管理策略。 第二章信息安全方针 第四条 XXXXX的信息安全方针为:安全第一、综合防范、预防为主、持续改进。 (一)安全第一:信息安全为业务的可靠开展提供基础保障。把信息安全作为信息系统建设和业务经营的首要任务;
信息安全策略
变更履历
*变化状态:C——创建,A——增加,M——修改,D——删除
目录 1. 目的和范围......................... 错误!未指定书签。 2. 术语和定义......................... 错误!未指定书签。 3. 引用文件........................... 错误!未指定书签。 4. 职责和权限......................... 错误!未指定书签。 5. 信息安全策略....................... 错误!未指定书签。 5.1. 信息系统安全组织............. 错误!未指定书签。 5.2. 资产管理..................... 错误!未指定书签。 5.3. 人员信息安全管理............. 错误!未指定书签。 5.4. 物理和环境安全............... 错误!未指定书签。 5.5. 通信和操作管理............... 错误!未指定书签。 5.6. 信息系统访问控制............. 错误!未指定书签。 5.7. 信息系统的获取、开发和维护安全错误!未指定书签。 5.8. 信息安全事故处理............. 错误!未指定书签。 5.9. 业务连续性管理............... 错误!未指定书签。 5.10. 符合性要求.................. 错误!未指定书签。1附件............................... 错误!未指定书签。
信息安全管理策略 一. 总则 为满足XX银行(以下简称“我行”)信息安全管理、信息安全保障和合规的需要,根据《XX银行信息安全管理方针》,特制订本管理策略。目的是指导我行通过各项管理制度与措施,识别各方面的信息安全风险,并采取适当的补救措施,使风险水平降低到可以接受的程度。 二. 安全制度管理策略 2.1 目的 使信息安全管理的发展方向和相关工作能够满足我行业务要求、国家法律和规定的要求。安全制度管理应建立一套完善的、能够满足以上要求的文档体系,并定期更新,发布到我行信息安全所有相关单位中。 2.2 策略一:建立和发布信息安全管理文档体系 策略目标: 使相关单位人员了解到信息安全管理文档的内容,安全工作有据可依。 策略内容: 建立我行信息安全管理文档体系,发布到相关单位。 策略描述: 根据《XX银行信息安全管理方针》中的方针、原则和我行特点,制订出一套文档体系,包括信息安全策略、制度和实施指南等,通过培训、会议、办公系统或电子邮件等方式向相关单位发布。
总体发布范围包括与以上信息资产相关的我行所有部门、我行下属机构和关联公司,以及与我行有关的集成商、软件开发商、产品提供商、顾问、商业合作伙伴、临时工作人员和其他等第三方机构或人员。 2.3 策略二:更新安全制度 策略目标: 安全制度能够适应我行信息安全管理因各方面情况变化而产生的变化,在长期满足要求。 策略内容: 定期和不定期审阅和更新安全制度。 策略描述: 由相关团队定期进行安全制度的检查、更新,或在信息系统与相关环境发生显著变化时进行检查、更新。 三. 信息安全组织管理策略 3.1 目的 通过建立与组织相关的以下二个安全策略,促进组织建立合理的信息安全管理组织结构与功能,以协调、监控安全目标的实现。与组织有关的策略分内部组织和外部组织两部分来描述。 3.2 策略一:在组织内建立信息安全管理架构 策略目标: 在组织内有效地管理信息安全。 策略内容: 我行应建立专门的信息安全组织体系,以管理信息安全事务,指导信息安全实践。 策略描述:
深圳市首品精密模型有限公司 信息安全方针信息安全策略管理制度 文件编号:ISMS-3012
变更履历
第一章总则 第一条为提高公司信息安全管理水平,建立、健全信息安全管理体系,贯彻执行 £027001:2013《信息技术安全技术信息安全管理体系?要求》,保障公司信息系统业务的正常进行,防止由于信息安全事件导致的公司损失,确保全体员工理解信息安全的重要性,执行信息安全管理体系文件的要求,特制定本制度。 第二条本制度是公司信息安全管理的纲领性文件,用于贯彻企业的信息安全管理方针、目标,是所有从事、涉及信息安全相关活动人员的行为准则,是向客户、向社会、向认证机构提供本公司信息安全管理保证能力的依据。 第三条信息部在得到信息安全委员会批准的前提下负责本制度的更改和建立,信息部定期对其适用性、持续性、有效性进行评审,汇总更改需求和建议并上报。 第四条本制度适用于公司所属各单位。 第二章职责分工 第五条公司信息安全管理工作由信息安全委员会指导和批准,委员会下设信息安全工作推进组,并设立信息安全顾问团。 第六条信息安全工作推进组由信息部信息安全专业人员和公司各部门主管任命的信息化专业员组成。 第七条信息安全顾问组由提供服务的外部安全产品公司或外聘的信息安全顾问组 成。 第八条信息安全工作推进组职责 (一)建立信息安全管理方针、目标和策略; (二)评估信息安全顾问组意见的可用性; (三)确定公司信息资产风险准则和信息安全事件处置措施; (四)组织并确保全公司信息安全教育活动的落实; (五)监控公司的信息安全情况,监督检查信息安全活动的落实情况,并定期向信 息安全委员会汇报; (六)向两化融管理委员会提出实现信息安全目标和符合信息安全方针的改进需 要,推行各项信息安全策略要求和控制措施; (七)负责公司信息安全内部、外部评估的具体安排;
企业信息安全管理复习纲要 填空题(1*20) 1.信息安全基本目标——机密性C、完整性I、可用性A 2.信息安全的成败取决于两个因素——技术和管理 3.从什么方面考虑信息安全——法律法规与合同要求、组织原则目标和业务需要、风险评 估的结果 4.安全管理模型PDCA是指——计划Plan(根据风险评估结果、法律法规要求、组织业务 运作自身需要来确定控制目标与控制措施)、实施Do(实施所选的安全控制措施)、检查Check(依据策略、程序、标准和法律法规,对安全措施的实施情况进行符合性检查)、措施Action(针对检查结果采取应对措施,改进安状况) 5.软件安全问题加剧的三个趋势——互联性、可扩展性、复杂性 6.漏洞分类——软件编写存在bug、跨站脚本、SQL注入 7.数据库的特点——多用户、高可用性、频繁更新、大文件、安全性与可靠性问题复杂 8.数据备份的类型——完全备份、差量备份、增量备份 9.数据库的备份——分为物理备份和逻辑备份两种,其中物理备份包括冷备份和热备份。 10.计算机系统安全级别分类依据——身份认证、访问控制、审计、备份 11.密码学发展大致分为三个阶段——古典密码时期、近代密码时期、现代密码时期 12.一个密码系统(体制)至少由——明文、密文、加密算法和解密算法、密钥五部分组成。 13.密码体制分类——对称密码体制、非对称密码体制 14.密码体制的有条件安全性——计算上的安全、有条件的安全、可证明的安全 15.对称密码算法的分类——序列密码、分组密码 16.分组密码的算法要求——分组长度足够大、密钥量足够大、密码变换足够复杂 17.认证一般分两种情形——身份认证、消息认证 18.访问控制包含3个要素——主体、客体、控制策略。 19.解决网络安全的主要技术——身份认证技术、访问控制技术、密码技术、病毒防治技术、 防火墙技术 选择题(2*5) 1.信息安全管理的关键——技术和产品是基础,管理才是关键(信息安全是个管理过程, 而不是技术过程) 2.不同数据类型的对比 3.风险管理是指导和控制一个组织相关风险的协调活动。
信息安全方针和信息安全目标 信息安全方针:信息安全人人有责 本公司信息安全管理方针包括内容如下: 一、信息安全管理机制 1.公司采用系统的方法,按照ISO/IEC 27001:2005建立信息安全管理体系,全面保护本公司的信息安全。 二、信息安全管理组织 2.公司总经理对信息安全工作全面负责,负责批准信息安全方针,确定信息安全要求,提供信息安全资源。 3.公司总经理任命管理者代表负责建立、实施、检查、改进信息安全管理体系,保证信息安全管理体系的持续适宜性和有效性。 4.在公司内部建立信息安全组织机构,信息安全管理委员会和信息安全协调机构,保证信息安全管理体系的有效运行。 5.与上级部门、地方政府、相关专业部门建立定期经常性的联系,了解安全要求和发展动态,获得对信息安全管理的支持。 三、人员安全 6.信息安全需要全体员工的参与和支持,全体员工都有保护信息安全的职责,在劳动合同、岗位职责中应包含对信息安全的要求。特殊岗位的人员应规定特别的安全责任。对岗位调动或离职人员,应及时调整安全职责和权限。 7.对本公司的相关方,要明确安全要求和安全职责。 8.定期对全体员工进行信息安全相关教育,包括:技能、职责和意识。以提高安
全意 9.全体员工及相关方人员必须履行安全职责,执行安全方针、程序和安全措施。 四、识别法律、法规、合同中的安全 10.及时识别顾客、合作方、相关方、法律法规对信息安全的要求,采取措施,保证满足安全要求。 五、风险评估 11.根据本公司业务信息安全的特点、法律法规要求,建立风险评估程序,确定风险接受准则。 12.采用先进的风险评估技术和软件,定期进行风险评估,以识别本公司风险的变化。本公司或环境发生重大变化时,随时评估。 13.应根据风险评估的结果,采取相应措施,降低风险。 六、报告安全事件 14.公司建立报告信息安全事件的渠道和相应的主管部门。 15.全体员工有报告信息安全隐患、威胁、薄弱点、事故的责任,一旦发现信息安全事件,应立即按照规定的途径进行报告。 16.接受信息安全事件报告的主管部门应记录所有报告,及时做出相应的处理,并向报告人员反馈处理结果。 七、监督检查 17.定期对信息安全进行监督检查,包括:日常检查、专项检查、技术性检查、内部审核等。
密级:敏感 文档编号:ISMS-A-01信息安全方针 版本号:V1.0 --------------------------------------------------------------------- 保密说明:。
修订页
目录 1.目的和使用范围 (4) 2.信息安全定义 (4) 3.信息安全方针 (4) 4.安全管理机构 (4) 5.职责 (5) 6.信息安全管理体系实施框架 (6) 7.重要原则、标准和符合性要求 (6) 8.评审 (7) 9.相关文件 (7)
1.目的和适用范围 信息安全管理体系方针指明了公司的信息安全目标和方向,并可以确保信息安全管理体系被充分理解和贯彻实施。为明确信息安全管理体系方针,特制定本文件。此外,本文件还描述了公司的信息安全管理体系的范围。 本文件适用于公司信息安全管理体系涉及的所有人员和组织的全部重要信息资产及过程。 2.信息安全定义 信息安全是指保证信息的保密性、完整性、可用性;另外也可包括诸如真实性、可核查性、不可否认性和可靠性等特性。 信息是对公司业务至关重要的一种资产,因此需要加以适当的保护。在业务环境互连日益增加的情况下这一点显得尤为重要。信息安全可防止信息受到各种威胁,以确保业务连续性,是业务风险最小化,投资回报和商业机遇最大化。 3.信息安全方针 公司信息安全方针为:全员参与、控制风险;积极预防、持续改进;客户信赖、永续经营。 4.安全管理机构 根据ISO/IEC 27001:2005的要求,为了确保信息安全工作有一个明确的方向和获得可见的管理者支持,公司设立以下不同级别的信息安全管理机构。 信息安全管理委员会 信息安全管理委员会是本公司信息安全管理工作的最高领导机构,承担以下方面的工作: 1)审批信息安全方针和总体职责; 2)审批信息安全的特殊方法和过程,如风险评估等; 3)审批加强信息安全的重大举措; 4)提供所需要的足够的资源; 5)协调本ISMS、公司质量管理体系和公司其他规章制度之间的关系。 信息安全委员会主席由总经理担任,常务副主席由公司总经理任命(管理者代表);信息安全管理委员会由相关部门的信息安全员组成。信息安全管理委员会主要工作为:在信息安全管理委员会主席/副主席的领导下,负责公司日常信息安全的管理与监督活动,并对相关部门提供指导和对需要培训的员工进行培训。 信息安全员 相关部门指定一位兼职的信息安全员,参与/配合信息安全委员会的活动,指导本部门信息安全管理并实施对其本部门的日常信息安全监视和检查工作。
信息安全工作总体方针 第一章总则 第一条为加强和规范省信息中心及直属直管各单位(以下简称“各单位”)信息系统安全工作,提高中心信息系统整体安全防护水平,实现信息安全的可控、能控、在控,依据国家有关法律、法规的要求,制定本文档。 第二条本文档的目的是为中心信息系统安全管理提供一个总体的策略性架构文件,该文件将指导中心信息系统的安全管理体系的建立。安全管理体系的建立是为中心信息系统的安全管理工作提供参照,以实现中心统一的安全策略管理,提高整体的网络与信息安全水平,确保安全控制措施落实到位,保障网络通信畅通和业务系统的正常运营。 第三条本文档适用于中心以中心下属各单位信息系统资产和信息技术人员的安全管理和指导,适用于指导中心信息系统安全策略的制定、安全方案的规划和安全建设的实施,适用于中心安全管理体系中安全管理措施的选择。 第四条本办法所称信息系统指中心一体化企业级信息系统,主要包括一体化企业级信息集成平台(以下简称“一体化平台”)和八大业务应用。 “一体化平台”包含信息网络、数据交换、数据中心、应用集成和企业门户;“业务应用”包含财务(资金)管理、营销管理、安全生产管理、协同办公、人力资源管理、物资管理、项目管理、综合管理业务应用。 第五条引用标准及参考文件 本文档的编制参照了以下国家、中心的标准和文件: (一)《中华人民共和国计算机信息系统安全保护条例》 (二)《关于信息安全等级保护建设的实施指导意见》(信息运安〔2009〕 27 号) (三)《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)(四)《信息安全技术信息系统安全管理要求》(GB/T 20269—2006) (五)《信息系统等级保护安全建设技术方案设计要求》(报批稿) (六)《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)
XX公司 信息安全总体方针和安全策略指引 第一章总则 第一条为了进一步深入贯彻落实国家政策文件要求,加强公司信息安全管理工作,切实提高公司信息系统安全保障能力,特制定本指引。第二条本指引适合于公司。 第三条公司信息安全管理遵循如下原则: (一) 主要领导负责原则:公司主要领导负责信息安全管理工作,统筹规划信息安全管理目标和策略,建立信息安全保障队伍并合理配置资源; (二) 全员参与原则:公司全员参与信息系统的安全管理工作,将信息安全与本职工作相结合,相互协同工作,认真落实信息安全管理要求,共同保障信息系统安全; (三) 合规性原则:信息安全管理制度遵循国际信息安全管理标准,以国家信息安全法律、法规、标准、规范为根本依据,全面符合相关主管部门和公司的各类要求。 (四) 监督制约原则:信息系统安全管理组织结构、组织职责、岗位职责、工作流程层面、执行层面建立相互监督制约机制,降低因缺乏约束而产生的安全风险。 (五) 规范化原则:通过建立规范化的工作流程,在执行层面对信息系统安全工作进行合理控制,降低由于工作随意性而产生的安全风
险,同时提升信息安全管理制度的可操作性。 (六) 持续改进原则:通过不断的持续改进,每年组织公司管理层对制度的全面性、适用性和有效性进行论证和审定,并进行版本修订。第四条本指引适用于公司全体人员。 第二章信息安全保障框架及目标 第五条参照国内外相关标准,并结合公司已有网络与信息安全体系建设的实际情况,最终形成依托于安全保护对象为基础,纵向建立安全管理体系、安全技术体系、安全运行体系和安全管理中心的“三个体系,一个中心,三重防护”的安全保障体系框架。 (一) “三个体系”:信息安全管理体系、信息安全技术体系和信息安全运行体系,把信息安全标准的控制点和公司实际情况相结合形成相适应的体系结构框架; (二) “一个中心”:信息安全管理中心,实现“自动、平台化”的安全工作管理、统一技术管理和安全运维管理; (三) “三重防护”:安全计算环境防护措施、安全区域边界防护措施和安全网络通信防护措施,把安全技术控制措施与安全保护对象相结合。 第六条公司安全保障框架: (一) 安全管理体系:信息安全管理体系重点落实安全管理制度、安全管理机构和人员安全管理的相关控制要求,并结合公司的实际情况形成符合行业和国家信息安全标准的信息安全管理体系框架。(二) 安全技术体系:通过安全技术在物理、网络、主机、应用和数
1.目的 为规范公司的电脑设置、IT权限,保护公司和客户机密资料,特制订此管理规范。 2.适用范围 适用于公司电脑、网络、人员、客户机密信息资料。 3.职责 3.1.IT部: 负责制定公司的信息安全策略,并定期对信息安全策略进行评价,以确保其适宜性; 4.策略的制定 4.1.信息安全策略的制定、评审: 4.1.1.IT部根据公司内部网络资讯规划的要求、国家信息安全法律法规要求及客户信息安全要 求定期制定信息安全策略;并确保信息安全策略的有效实施; 4.1.2.IT部每年需对信息安全策略进行评价,并填写《信息安全策略适用性评审列表》以确保 策略的适宜性,并将评价的结果纳入年度部门管理评审报告输入中; 4.2.信息安全策略集 信息安全策略是在信息安全现状调研的基础上,公司领导的认可,遵守国家的法律法规、政策和相关标准建立的通用行之有效的安全机制。 公司信息安全策略包括如下: a)病毒防范策略 b)网络服务访问策略 c)备份策略 d)访问控制策略 e)密码策略 f)钥管理策略 g)账号管理策略 h)清洁桌面和锁屏策略 i)移动设备和远程工作策略 j)服务器加强策略 k)时间同步策略 l)电子邮件策略 m)日志和监视策略 n)网络与信息传输安全策略 o)设备安全策略 p)介质处理策略 q)第三方访问策略
s)计算机管理策略 t)打印、复印机管理策略 4.3.病毒防范策略 4.3.1.IT部负责统一部署防病毒工具的安装和升级工作,时发布计算机病毒疫情公告及防范措 施,处理网点和个人上报的病毒入侵事件,定期检查和督促网点的病毒防治工作;将重 大的病毒入侵事件及时向上级部门和安全机关报告。 4.3.2.IT部人员负责定期对自己管理的计算机系统进行升级、杀毒;对因计算机病毒引起的信 息系统故障,及时向人事部报告。 4.3.3.病毒防范基本要求: a)任何部门和个人不得制作计算机病毒。 b)任何部门和个人不得有下列传播计算机病毒的行为: c)故意输入计算机病毒,危害计算机信息系统安全; d)向他人提供含有计算机病毒的文件、软件、媒体; e)销售、出租、附赠含有计算机病毒的媒体; f)其他传播计算机病毒的行为。 g)任何部门和个人不得发布虚假的计算机病毒疫情。 h)所有计算机设备应经办公室同意后接入相应的内部工作网或互联网,严禁私自接入。 i)内部工作网与互联网应进行物理隔绝。 j)所有工作用机必须由IT部统一管理,部署安装指定的防病毒软件,及时更新病毒库,对于未安装防病毒软件或安装其他防病毒软件而造成不良后果的,追究相关人员的责任。 k)所有员工在使用介质交换信息时,应认真进行病毒预检测。 l)未经IT部同意,严禁擅自在工作用机上从互联网下载、安装、使用各类文件或程序,对由此引起的计算机病毒感染,追究相关人员的责任。经同意下载的软件,使用前需认真进行杀毒。 m)禁止将与工作无关的数据存放在工作用机上,禁止在工作用机上进行与工作无关的计算机操作。 n)计算机使用人员应做好重要数据、文档的备份,防止因病毒或其他因素造成系统无法恢复而导致重要数据、文档的丢失。 o)对因计算机病毒引起的信息系统瘫痪、程序和数据严重破坏等重大事故,应及时向人事部报告、并保护现场,以便采取相应的措施。 4.3.4.IT部人员需定期查看防病毒系统中的扫描日志和病毒历史以及入侵监测日志,检查病毒 的感染和清除情况;根据查看到的防病毒监控日志和入侵监测日志制定安全策略;统一部 署防病毒软件客户端;负责受理网点计算机病毒上报工作;负责跟踪计算机病毒防治信 息,及时发布计算机病毒疫情公告及防范措施。
佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目 编写人员:黄世荣 编写日期:2015年12月7日 项目缩写: 文档版本:V1.0 修改记录: 时间:2015年12月
一、信息化建设引言 随着我国中小企业信息化的普及,信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面:信息化在中小企业的发展过程中,对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面,伴随着全球信息化和网络化进程的发展,与此相关的信息安全问题也日趋严重。 由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识,导致中小企业的信息安全面临着较大的风险,我国中小企业信息化进程已经步入普及阶段,解决我国中小企业的信息安全问题已经刻不容缓。 通过制定和实施企业信息安全管理体系能够规范企业员工的行为,保证各种技术手段的有效实施,从整体上统筹安排各种软硬件,保证信息安全体系协同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故发生后能够及时采取有效的措施,防止信息安全事故带来巨大的损失,而更重要的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。 信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的,由于新的威胁不断出现,信息安全管理是一个相对的、动态的过程,企业能做到的就是要不断改进自身的信息安全状态,将信息安全风险控制在企业可接受的范围之内,获得企业现有条件下和资源能力范围内最大程度的安全。 在信息安全管理领域,“三分技术,七分管理”的理念已经被广泛接受。结合ISO/IEC27001信息安全管理体系,提出一个适合我国中小企业的信息安全管理的模型,用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管理能力。 二、ISO27001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行(如下图所示)。首先,各个组织应该根据自身的状况来搭建适合自身业务发展和信息安全需求的ISO27001信息安全管理体系框架,并在正常的业务开展过程中具体
中国某某某某学校学生毕业设计(论文) 题目: 信息安全管理策略分析 姓名: 00000000 班级、学号 : 0000000000000 系 (部) : 经济管理系 专业 : 信息管理 指导教师 : 00000000000 开题时间 : 2008-11-1 完成时间 : 2009-11-4 2009年11月4日
目录
课题信息安全管理策略分析一、课题(论文)提纲
二、内容摘要
三、参考文献 信息安全管理策略分析 000000000
中文摘要:人们对信息的依赖日益增强,信息安全管理成了保障信息安全的关键。在信息安全保障的三大要素(人员、技术、管理)中,管理要素的地位和作用越来越受到重视。理解并重视管理对信息安全的关键作用,对于真正实现信息安全目标来说尤其重要。本文介绍了信息安全、信息安全管理的涵义及重要性,分析了信息安全管理的现状及存在的问题,并着重讨论了加强信息安全管理的策略。 关键词:信息安全;管理;现状;策略 0.引言 随着Intemet应用的不断深入和电子商务、电子政务的不断发展,人们在日常生活、经济、军事、科技与教育等各个领域,对信息和信息系统依赖日益增强。然而,安全一直是信息系统面临的严重问题。早期,信息安全关注于技术方面,但实践证明,信息安全只靠技术是远远不够了,信息安全绝对不仅仅是技术的问题,它的解决涉及到规章制度、组织运行、技术应用等方方面面,任何单方面安全的措施都不可能提供真正的全方位的安全,信息安全问题的解决更应该站在系统工程的角度来考虑。在这项系统工程中,信息安全管理占有重要的地位。 1.信息安全及信息安全管理概述 1.1信息安全概述 1.1.1信息安全的定义 信息安全是个古已有之的话题,长期以来,人们往往把信息理解为军事、政治、经济等社会生活中的情报,而信息安全也往往被理解为
陕西广电网络传媒股份有限公司 信息安全方针
文档信息
第一章总则 第一条为给信息安全工作提供清晰的指导方向,加强安全管理工作,保证业务系统的安全运营,特制定本方针。 第二条信息安全工作是企业运营与发展的基础和核心,是保证网络品质的基础,是保障客户利益的基础,也是国家安全的需要,因此必须重视网络与信息安全工作。 第三条信息安全是公司各部门所有员工共同分担的责任,与每一个员工的日常工作息息相关,所有员工必须提高认识,高度重视,从自己开始,坚持不懈地做好网络与信息安全工作。 第四条本方针适用于陕西广电网络传媒股份有限公司全体员工。 第二章安全目标 第五条陕西广电网络传媒股份有限公司的信息安全使命是: (一)保障业务正常和安全运行,保证业务连续性; (二)保护客户隐私,保护客户资料的机密性,维护客户的利益; (三)保护公司的商业机密和技术机密,维护公司的利益; 第六条陕西广电网络传媒股份有限公司的信息安全愿景是: 建立行业一流的信息安全保障体系。
第三章安全工作基本原则 第七条安全工作应遵循以下基本原则: (一)“分级保护”原则:应根据各业务系统的重要程度以及面临的风险大小等因素决定各类信息的安全保护级别,分级保护,合理投资。 (二)“同步规划、同步建设、同步运行”原则:安全建设应与业务系统同步规划、同步建设、同步运行,在任何一个环节的疏忽都可能给业务系统带来危害。 (三)“三分技术、七分管理”原则:网络与信息安全不是单纯的技术问题,需要在采用安全技术和产品的同时,重视安全管理,不断完善各类安全管理规章制度和操作规程,全面提高安全管理水平。 (四)“内外并重”原则:安全工作需要做到内外并重,在防范外部威胁的同时,加强规范内部人员行为和审计机制。 (五)“整体规划,分步实施”原则:需要对公司信息安全建设进行整体规划,分步实施,逐步建立完善的信息安全体系。 (六)“风险管理”原则:进行安全风险管理,确认可能影响信息系统的安全风险,并以较低的成本将其降低到可接受的水平。 (七)“适度安全”原则:没有绝对的安全,安全和易用性是矛盾的,需要做到适度安全,找到安全和易用性的平衡点。