信息风险评估相关制度
信息安全管理相关制度
1 总则
第1条为规范信息安全管理工作,加强过程管理和基础设施管理的风险分析及防范,建立安全责任制,健全安全内控制度,保证信息系统的机密性、完整性、可用性,特制定本规定。
2 适用范围
第2条本规定适用于。
3 管理对象
第3条管理对象指组成计算机信息系统的系统、设备和数据等信息资产和人员的安全。主要范围包括:人员安全、物理环境安全、资产识别和分类、风险管理、物理和逻辑访问控制、系统操作与运行安全、网络通讯安全、信息加密与解密、应急与灾难恢复、软件研发与应用安全、机密资源管理、第三方与外包安全、法律和标准的符合性、项目与工程安全控制、安全检查与审计等。
4 第四章术语定义
DMZ:用于隔离内网和外网的区域,此区域不属于可信任的内网,也不是完全开放给因特网。容量:分为系统容量和环境容量两方面。系统容量包括CPU、内存、硬盘存储等。环境容量包括电力供应、湿度、温度、空气质量等。
安全制度:与信息安全相关的制度文档,包括安全管理办法、标准、指引和程序等。
安全边界:用以明确划分安全区域,如围墙、大厦接待处、网段等。
恶意软件:包括计算机病毒、网络蠕虫、木马、流氓软件、逻辑炸弹等。
备份周期:根据备份管理办法制定的备份循环的周期,一个备份周期的内容相当于一个完整的全备份。
系统工具:能够更改系统及应用配臵的程序被定义为系统工具,如系统管理、维护工具、调试程序等。
消息验证:一种检查传输的电子消息是否有非法变更或破坏的技术,它可以在硬件或软件上实施。
数字签名:一种保护电子文档真实性和完整性的方法。例如,在电子商务中可以使用它验证谁签署电子文档,并检查已签署文档的内容是否被更改。
信息处理设备:泛指处理信息的所有设备和信息系统,包括网络、服务器、个人电脑和笔记本电脑等。
不可抵赖性服务:用于解决交易纠纷中争议交易是否发生的机制。
电子化办公系统:包括电子邮件、KOA系统以及用于业务信息传送及共享的企业内部网。
5 安全制度方面
5.1 安全制度要求
5.1.1 本制度的诠释
第4条所有带有“必须”的条款都是强制性的。除非事先得到安全管理委员会的认可,否则都要坚决执行。其它的条款则是强烈建议的,只要实际可行就应该被采用。
第5条所有员工都受本制度的约束,各部门领导有责任确保其部门已实施足够的安全控制措施,以保护信息安全。
第6条各部门的领导有责任确保其部门的员工了解本安全管理制度、相关的标准和程序以及日常的信息安全管理。
第7条安全管理代表,或其指派的人员,将审核各部门安全控制措施实施的准确性和完整性,
此过程是公司例行内部审计的一部分。
5.1.2 制度发布
第8条所有制度在创建和更新后,必须经过相应管理层的审批。制度经批准之后必须通知所有相关人员。
5.1.3 制度复审
第9条当环境改变、技术更新或者业务本身发生变化时,必须对安全制度重新进行评审,并作出相应的修正,以确保能有效地保护公司的信息资产。
第10条安全管理委员会必须定期对本管理办法进行正式的复审,并根据复审所作的修正,指导相关员工采取相应的行动。
6 组织安全方面
6.1 组织内部安全
6.1.1 信息安全体系管理
第11条公司成立安全管理委员会,安全管理委员会是公司信息安全管理的最高决策机构,安全管理委员会的成员应包括总裁室主管IT领导、公司安全审计负责人、公司法律负责人等。
第12条信息安全管理代表由信息安全管理委员会指定,一般应包含稽核部IT稽核岗、信息管理部信息安全相关岗位及分公司IT岗。
第13条安全管理委员会通过清晰的方向、可见的承诺、详细的分工,积极地支持信息安全工作,主要包括以下几方面:
1)确定信息安全的目标符合公司的要求和相关制度,
2)阐明、复查和批准信息安全管理制度,
3)复查信息安全管理制度执行的有效性,
4)为信息安全的执行提供明确的指导和有效的支持,
5)提供信息安全体系运作所需要的资源
6)为信息安全在公司执行定义明确的角色和职责,
7)批准信息安全推广和培训的计划和程序,
8)确保信息安全控制措施在公司内被有效的执行。
第14条安全管理委员会需要对内部或外部信息安全专家的建议进行评估,并检查和调整建议在公司内执行的结果。
第15条必须举行信息安全管理会议,会议成员包括安全管理委员会、安全管理代表和其他相关的公司高层管理人员。
第16条信息安全管理会议必须每年定期举行,讨论和审批信息安全相关事宜,具体包括以下内容
1)复审本管理制度的有效性
2)复审技术变更带来的影响
3)复审安全风险
4)审批信息安全措施及程序
5)审批信息安全建议
6)确保任何新项目规划已考虑信息安全的需求
7)复审安全检查结果和安全事故报告
8)复审安全控制实施的效果和影响
9)宣导和推行公司高层对信息安全管理的指示
6.1.2 信息安全职责分配
第17条信息管理部门作为信息安全管理部门,负责信息安全管理策略制定及实施,其主要
职责:
(一)负责全公司信息安全管理和指导,
(二)牵头制订全公司信息安全体系规范、标准和检查指引,参与我司信息系统工程建设的安全规划,
(三)组织全公司安全检查,
(四)配合全公司安全审计工作的开展,
(五)牵头组织全公司安全管理培训,
(六)负责全公司安全方案的审核和安全产品的选型、购臵。
(七)依据本规定、安全规范、技术标准、操作手册实施各类安全策略。
(八)负责各类安全策略的日常维护和管理。
第18条各分公司信息管理部门作为信息安全管理部门,其主要职责:
(一)根据本规定、信息安全体系规范、标准和检查指引,组织建立安全管理流程、手册, (二)组织实施内部安全检查,
(三)组织安全培训,
(四)负责机密信息和机密资源的安全管理,
(五)负责安全技术产品的使用、维护、升级,
(六)配合安全审计工作的开展,
(七)定期上报本单位信息系统安全情况,反馈安全技术和管理的意见和建议。
(八)依据本规定、安全规范、技术标准、操作手册实施各类安全策略。
(九)负责各类安全策略的日常维护和管理。
6.1.3 信息处理设备的授权
第19条新设备的采购和设备部署的审批流程应该充分考虑信息安全的要求。
第20条新设备在部署和使用之前,必须明确其用途和使用范围,并获得安全管理委员会的批准。必须对新设备的硬件和软件系统进行详细检查,以确保它们的安全性和兼容性。
第21条除非获得安全管理委员会的授权,否则不允许使用私人的信息处理设备来处理公司业务信息或使用公司资源。
6.1.4 独立的信息安全审核
第22条必须对公司信息安全控制措施的实施情况进行独立地审核,确保公司的信息安全控制措施符合管理制度的要求。审核工作应由公司的审计部门或专门提供此类服务的第三方组织负责执行。负责安全审核的人员必须具备相应的技能和经验。
第23条独立的信息安全审核必须每年至少进行一次。
6.2 第三方访问的安全性
6.2.1 明确第三方访问的风险
第24条必须对第三方对公司信息或信息系统的访问进行风险评估,并进行严格控制,相关控制须考虑物理上和逻辑上访问的安全风险。只有在风险被消除或降低到可接受的水平时才允许其访问。
第25条第三方包括但不限于:
1) 硬件和软件厂商的支持人员和其他外包商
2) 监管机构、外部顾问、外部审计机构和合作伙伴
3) 临时员工、实习生
4) 清洁工和保安
5) 公司的客户
第26条第三方对公司信息或信息系统的访问类型包括但不限于:
1) 物理的访问,例如:访问公司大厦、职场、数据中心等,
2) 逻辑的访问,例如:访问公司的数据库、信息系统等,
3) 与第三方之间的网络连接,例如:固定的连接、临时的远程连接,
第27条第三方所有的访问申请都必须经过信息安全管理代表的审批,只提供其工作所须的最小权限和满足其工作所需的最少资源,并且需要定期对第三方的访问权限进行复查。第三方对重要信息系统或地点的访问和操作必须有相关人员陪同。
第28条公司负责与第三方沟通的人员必须在第三方接触公司信息或信息系统前,主动告知第三方的职责、义务和需要遵守的规定,第三方必须在清楚并同意后才能接触相应信息或信息系统。所有对第三方的安全要求必须包含在与其签订的合约中。
6.2.2 当与客户接触时强调信息安全
第29条必须在允许客户访问信息或信息系统前识别并告知其需要遵守的安全需求。采取相应的保护措施保护客户访问的信息或信息系统。
6.2.3 与第三方签订合约的安全要求
第30条与第三方合约中应包含必要的安全要求,如:访问、处理、管理公司信息或信息系统的安全要求。
7 信息资产与人员安全
7.1 资产责任
7.1.1 资产的清单
第31条应清楚识别所有的资产,所有与信息相关的重要资产都应该在资产清单中标出,并及时维护更新。这些资产包括但不限于?
1)信息:数据库和数据文件、系统文档、用户手册、培训材料、操作手册、业务连续性计划、系统恢复计划、备份信息和合同等。
2)软件:应用软件、系统软件、开发工具以及实用工具等。
3)实体:计算机设备,处理器、显示器、笔记本电脑、调制解调器等,、通讯设备,路由器、程控电话交换机、传真机等,、存储设备、磁介质,磁带和磁盘等,、其它技术设备,电源、空调器等,、机房等。
4)服务:通讯服务,专线,。
第32条资产清单必须每年至少审核一次。在购买新资产之前必须进行安全评估。资产交付后,资产清单必须更新。资产的风险评估必须每年至少一次,主要评估当前已部署安全控制措施的有效性。
第33条实体资产需要贴上适当的标签。
7.1.2 资产的管理权
第34条所有资产都应该被详细说明,必须指明具体的管理者。
管理者可以是个人,也可以是某个部门。管理者是部门的资产则由部门主管负责监护。
第35条资产管理者的职责是:
1)确定资产的保密等级分类和访问管理办法,
2)定期复查资产的分类和访问管理办法。
7.1.3 资产的合理使用
第36条必须识别信息和信息系统的使用准则,形成文件并实施。使用准则应包括:
1)使用范围
2)角色和权限
3)使用者应负的责任
4)与其他系统交互的要求
第37条所有访问信息或信息系统的员工、第三方必须清楚要访问资源的使用准则,并承担他们的责任。公司的所有信息处理设备,包括个人电脑,只能被使用于工作相关的活动,不得
用来炒股、玩游戏等。滥用信息处理设备的员工将受到纪律处分。
7.2 信息分类
7.2.1 信息分类原则
第38条所有信息都应该根据其敏感性、重要性以及业务所要求的访问限制进行分类和标识。第39条信息管理者负责信息的分类,并对其进行定期检查,以确保分类的正确。当信息被发布到公司外部,或者经过一段时间后信息的敏感度发生改变时,信息需要重新分类。
第40条信息的保密程度从高到低分为绝密、机密、秘密和非保密四种等级。以电子形式保存的信息或管理信息资产的系统,需根据信息的敏感度进行标识。含有不同分类信息的系统,必须按照其中的最高保密等级进行分类。
7.2.2 信息标记和处理
第41条必须建立相应的保密信息处理规范。对于不同的保密等级,应明确说明如下信息活动的处理要求:
1)复制
2)保存和保管,以物理或电子方式,
3)传送,以邮寄、传真或电子邮件的方式,
4)销毁
第42条电子文档和系统输出的信息,打印报表和磁带等,应带有适当的信息分类标记。对于打印报表,其保密等级应显示在每页的顶端或底部。
第43条将保密信息发送到公司以外时,负责传送信息的工作人员应在分发信息之前,先告知对方文档的保密等级及其相应的处理要求。
7.3 人员安全
7.3.1 信息安全意识、教育和培训
第44条所有公司员工和第三方人员必须接受包括安全性要求、信息处理设备的正确使用等内容的培训,并应该及时了解和学习公司对安全管理制度和标准的更新。
第45条应该至少每年向员工提供一次安全意识培训,其内容包括但不限于:
1)安全管理委员会下达的安全管理要求
2)信息保密的责任
3)一般性安全守则
4)信息分类
5)安全事故报告程序
6)电脑病毒爆发时的应对措施
7)灾难发生时的应对措施
第46条应该对系统管理员、开发人员进行安全技能方面的培训,至少每年一次。员工和第三方人员在开始工作后90天内,必须进行技术和安全方面的培训。
第47条灾难恢复演习应至少每年举行一次。
7.3.2 惩戒过程
第48条违反公司安全管理制度、标准和程序的员工将受到纪律处分。在对信息安全事件调查结束后,必须对事件中的相关人员根据公司的惩戒规定进行处罚。纪律处分包括但不限于:
1) 通报批评
2) 警告
3) 记过
4) 解除劳动合同
法律诉讼 5)
第49条当员工在接受可能涉及解除劳动合同和法律诉讼的违规调查时,其直接领导应暂停
受调查员工的工作职务和其访问权限,包括物理访问、系统应用访问和网络访问等。员工在接受调查时可以陈述观点,提出异议,并有进一步申诉的权力。
7.3.3 资产归还
第50条在终止雇佣、合同或协议时,所有员工及第三方人员必须归还所使用的全部公司资产。需要归还的资产包括但不限于:
1) 帐号和访问权限
2) 公司的电子或纸质文档
3) 公司购买的硬件和软件资产
4) 公司购买的其他设备
第51条如果在非公司资产上保存有公司的资产,必须在带出公司前归还或删除公司的资产。
7.3.4 删除访问权限
第52条在终止或变更雇佣、合同、协议时,必须删除所有员工及第三方人员对信息和信息系统的访问权限,或根据变更进行相应的调整。所有删除和调整操作必须在最后上班日之前完成。
第53条对于公用的资源,必须进行及时的调整,比如:公用的帐号必须立即更改密码。
第54条在已经确定员工或第三方终止或变更意向后,必须及时对他们的权限进行限制,只保留终止或变更所需要的权限。
8 物理和环境安全方面
8.1 安全区域
8.1.1 物理安全边界
第55条在公司的物理环境里,应该对需要保护的区域根据其重要性划分为不同的安全区域。特别是有重要设备的安全区域,比如机房,应该部署相应的物理安全控制。
第56条在大厦的统一入口处必须设立有专人值守的接待区域,在特别重要的安全区域也应该设立类似的接待区域。
第57条在非办公时间内,重要的安全区域必须安排保安定时巡视。任何时候,公司内必须至少有一位保安值班。保安值班表应最少每月调整一次。
8.1.2 安全区域访问控制
第58条在非办公时间,所有进入安全区域的入口都应该受到控制,比如上锁。任何时候,重要安全区域的所有出入口必须受到严格的访问控制,确保只有授权的员工才可以进入此区域。
第59条对于设有访问控制的安全区域,必须定期审核并及时更新其访问权限。所有员工都必须佩戴一个身份识别通行证,有责任确保通行证的安全并不得转借他人。员工离职时必须交还通行证,同时取消其所有访问权限。
第60条所有来宾的有关资料都必须详细记载在来宾进出登记表中,并向获准进入的来宾发放来宾通行证。同时,必须有相应的程序以确保回收所发放的来宾通行证。来宾进出登记表必须至少保留1年,记录内容应包括但不限于:
1)来宾姓名
2)来宾身份
3)来宾工作单位
4)来访事由
5)负责接待的员工
6)来宾通行证号码
7)进入的日期和时间
8)离开的日期和时间
8.1.3 办公场所和设施安全
第61条放臵敏感或重要设备的区域,例如机房,应尽量不引人注目,给外面的信息应尽量最少,不应该有明显的标志指明敏感区域的所在位臵和用途。这些区域还应该被给予相应的保护,保护措施包括但不限于:
1)所有出入口必须安装物理访问控制措施
2)使用来宾登记表以便记录来访信息
3)严禁吸烟
第62条必须对支持关键性业务活动的设备提供足够的物理访问控制。所有安全区域和出入口必须通过闭路电视进行监控。普通会议室或其它公众场合必须与安全区域隔离开来。无人值守的时候,办公区中的信息处理设备必须从物理上进行保护。门和窗户必须锁好。
8.1.4 防范外部和环境威胁
第63条办公场所和机房的设计和建设必须充分考虑火灾、洪水、地震、爆炸、骚乱等天灾或人为灾难,并采取额外的控制措施加以保护。
第64条机房必须增加额外的物理控制,选取的场地应尽量安全,并尽可能避免受到灾害的影响。机房必须有防火、防潮、防尘、防盗、防磁、防鼠等设施。
第65条机房建设必须符合国标GB2887-89《计算机场地技术条件》和GB9361-88《计算站场地安全要求》中的要求。
第66条机房的消防措施必须满足以下要求:
1) 必须安装消防设备,并定期检查。
2) 应该指定消防指挥员。
3) 机房内严禁存放易燃材料,每周例行检查一次。
4) 必须安装烟感及其他火警探测器和灭火装臵。应每季度定期检查这些装备,确保它们能有效运作。
5) 必须在明显位臵张贴火灾逃生路线图、灭火设备平面放臵图以及安全出口的位臵。
6) 安全出口必须有明显标识。
7) 应该训练员工熟悉使用消防设施。
8) 紧急事件发生时必须提供紧急照明。
9) 所有疏散路线都必须时刻保持通畅。
10)必须保证防火门在火灾发生时能够开启。
11)每年应至少举行一次火灾撤离演习,使工作人员熟知火灾撤离的过程。
8.1.5 在安全区域工作
第67条员工进入机房的访问授权,不能超过其工作所需的范围。必须定期检查访问权限的分配并及时更新。机房的访问权限应不同于进入大楼其它区域的权限。
第68条所有需要进入机房的来宾都必须提前申请。必须维护和及时更新来宾记录,以掌握来宾进入机房的详细情况。记录中应详细说明来宾的姓名、进入与离开的日期与时间,申请者以及进入的原因。机房来宾记录至少保存一年。来宾必须得到明确许可后,在专人陪同下才能进入机房。
第69条机房的保护应在专家的指导下进行,必须安装合适的安全防护和检测装臵。机房内严禁吸烟、饮食和拍摄。
8.1.6 机房操作日志
第70条必须记录机房管理员的操作行为,以便其行为可以追踪。操作记录必须备份和维护并妥善保管,防止被破坏。
第71条在机房值班人员交接时,上一班值班人员所遗留的问题以及从事的工作应明确交待给下一班,保证相关操作的延续性。
8.2 设备安全
8.2.1 设备的安置及保护
第72条必须对设备实施安全控制,以减少环境危害和非法的访问。应该考虑的因素包括但不限于:
1) 水、火
2) 烟雾、灰尘
3) 震动
4) 化学效应
5) 电源干扰、电磁辐射
第73条设备必须放臵在远离水灾的地方,并根据需要考虑安装漏水警报系统。
应急开关如电闸、煤气开关和水闸等都必须清楚地做好标识,并且能容易访问。
设备都应该装有合适的漏电保险丝或断路器进行保护。
放臵设备的区域必须满足厂商提供的设备环境要求。
设备的操作必须遵守厂商提供的操作规范。
通信线路和电缆必须从物理上进行保护。
8.2.2 支持设施
第74条支持设施能够支持物理场所、设备等的正常运作,比如:
电力设施、空调、排水设施、消防设施、静电保护设施等。
必须采取保护措施使设备免受电源故障或电力异常的破坏。
必须验证电力供应是否满足厂商设备对电源的要求。
每年应至少对支持设施进行一次安全检查。
工作环境中增加新设备时,必须对电力、空调、地板等支持设施的负荷进行审核。
必须设臵后备电源,例如不间断电源,UPS,或发电机。对需要配备后备电源的设备装臵进行审核,确保后备电源能够满足这些设备的正常工作。
每年必须至少对备用电源/进行一次测试。
应急电源开关应位于机房的紧急出口附近,以便紧急状况发生时可以迅速切断电源。
电缆应根据供电电压和频率的不同而相互隔离。
所有电缆都应带有标签,标签上的编码应记录归档。
电缆应从物理上加以保护。
8.2.3 设备维护
第75条所有生产设备必须有足够的维护保障,关键设备必须提供7x24的现场维护支持。所有生产设备必须定期进行预防性维护。只有经过批准的、受过专业培训的工作人员才能进行维护工作。设备的所有维护工作都应该记录归档。如果设备需要搬离安全区域进行修理,必须获得批准并卸载其存储介质。
第76条必须建立设备故障报告流程。对于需要进行重大维修的设备,流程还应该包含设备检修的报告,及换用备用设备的流程。
8.2.4 管辖区域外设备安全
第77条笔记本电脑用户必须保护好笔记本电脑的安全,防止笔记本电脑损坏或被偷窃。
第78条如果将设备带出公司,设备拥有者必须亲自或指定专人保护设备的安全。设备拥有者必须对设备在公司场所外的安全负责。
8.2.5 设备的安全处理或再利用
第79条再利用或报废之前,设备所含有的所有存储装臵,比如硬盘等,都必须通过严格检查,确保所有敏感数据和软件已被删除或改写,并且不可能被恢复。应该通过风险评估来决定是否彻底销毁、送修还是丢弃含有敏感数据的已损坏设备。
9 通信和操作管理方面
9.1 操作程序和职责
9.1.1 规范的操作程序
第80条必须为所有的业务系统建立操作程序,其内容包括但不限于:
1)系统重启、备份和恢复的措施
2)一般性错误处理的操作指南
3)技术支持人员的联系方法
4)与其它系统的依赖性和处理的优先级
5)硬件的配臵管理
第81条操作程序必须征得管理者的同意才能对其进行修改。操作程序必须及时更新,更新条件包括但不限于:
1)应用软件的变更
2)硬件配臵的变更
9.1.2 变更控制
第82条必须建立变更管理程序来控制系统的变更,所有变更都必须遵守变更管理程序的要求。程序内容包括但不限于?
1)识别和记录变更请求
2)评估变更的可行性、变更计划和可能带来的潜在影响
3)变更的测试
4)审批的流程
5)明确变更失败的恢复计划和责任人
6)变更的验收
第83条重要变更必须制定计划,并在测试环境下进行足够的测试后,才能在生产系统中实施。所有变更必须包括变更失败的应对措施和恢复计划。所有变更必须获得授权和批准,变更的申请和审批不得为同一个员工。对变更需要涉及的硬件、软件和信息等对象都应标识出来并进行相应评估。变更在实施前必须通知到相关人员。
第84条变更的实施应该安排在对业务影响最小的时间段进行,尽量减少对业务正常运营的影响。在生产系统安装或更新软件前,必须对系统进行备份。变更完成后,相关的文档,如系统需求文档、设计文档、操作手册、用户手册等,必须得到更新,旧的文档必须进行备份。第85条必须对变更进行复查,以确保变更没有对原来的系统环境造成破坏。必须完整记录整个变更过程,并将其妥善保管。变更的记录应至少每月复查一次。
9.1.3 职责分离
第86条系统管理员和系统开发人员的职责必须明确分开。同一处理过程中的重要任务不应该由同一个人来完成,以防止欺诈和误操作的发生。
第87条所有职责分离的控制必须记录归档,作为责任分工的依据。无法采取职责分离时,必须采取其它的控制,比如活动监控、审核跟踪评估以及管理监督等。
9.1.4 开发、测试和生产系统分离
第88条不应给开发人员提供超过其开发所需范围的权限。如果开发人员需要访问生产系统,必须经过运营人员的授权和管理。
第89条生产、测试和开发应分别使用不同的系统环境。开发人员不得在生产环境中更改编码或操作生产系统。不得在生产系统上擅自安装开发工具,比如编译程序及其他系统公用程序等,,并做好已有开发工具的访问控制。开发和测试环境使用的测试数据不能包含有敏感信息。
9.1.5 事件管理程序
第90条必须建立事件管理程序,并根据事件影响的严重程度制订其所属类别,同时说明相应的处理方法和负责人。必须根据事件的严重程度,定义响应的范围、时间和完成事件处理的时间。
第91条系统的修复必须得到系统管理者的批准方可执行。
第92条所有事件报告必须记录归档,并由部门主管或指定人员妥善保管。必须对事件的处理情况进行监控,对超时的处理提出改进建议并跟进改进效果。
9.2 第三方服务交付管理
9.2.1 服务交付
第93条第三方提供的服务必须满足安全管理制度的要求。第三方提供的服务必须满足公司业务连续性的要求。
第94条必须保留第三方提供的服务、报告和记录并定期评审,至少每半年一次。评审内容应包括:
1) 服务内容和质量是否满足合同要求,
2) 服务报告是否真实。
9.2.2 第三方服务的变更管理
第95条服务改变时,必须重新对服务是否满足安全管理办法进行评估。在服务变更时需要考虑:
1) 服务价格的增长,
2) 新的服务需求,
3) 公司信息安全管理制度的变化,
4) 公司在信息安全方面新的控制。
9.3 针对恶意软件的保护措施
9.3.1 对恶意软件的控制
第96条必须建立一套病毒防治体系,以便防止病毒对公司带来的影响。所有服务器、个人电脑和笔记本电脑都应该安装公司规定的防病毒软件,并及时更新防病毒软件。所有存进计算机的信息,例如接收到的邮件、下载的文件等,都必须经过病毒扫描。员工和第三方厂商从外界带来的存储介质在使用之前必须进行病毒扫描。
第97条所有员工都应该接受防病毒知识的培训和指导。
第98条公司内发现的病毒、计算机或应用程序的异常行为,都必须作为安全事件进行报告。第99条必须定期审核控制恶意软件措施的有效性。一旦发现感染病毒,必须立刻把机器从网络中断开。在病毒没有被彻底清除之前,严禁将其重新连接到网络上。
9.4 备份
9.4.1 信息备份
第100条所有服务器、个人电脑和笔记本电脑必须根据业务需求定期进行备份。系统在重大变更之前和之后必须进行备份。
第101条备份管理办法必须获得管理层的审批以确保符合业务需求。备份管理办法必须至少每季度进行一次复查,以确保没有发生未授权或意外的更改。
第102条应该保留多于1个备份周期的备份,但重要业务信息应至少保留3个备份周期的备份。备份资料和相应的恢复操作手册必须定期传送到异地进行保存。异地必须与主站点有一定的距离,以避免受主站点的灾难波及。
第103条必须对异地保存的备份信息实施安全保护措施,其保护标准应和主站点相一致。必须定期测试备份介质,确保其可用性。必须定期检查和测试恢复步骤,确保它们的有效性。备份系统必须进行监控,以确保其稳定性和可用性。
9.5 网络管理
9.5.1 网络控制
第104条网络管理和操作系统管理的职责应该彼此分离,并由不同的员工承担。必须明确定义网络管理的职责和义务。只有得到许可的员工才能够使用网络管理系统。
第105条必须建立相应的控制机制,保护路由表和防火墙安全管理办法等网络参数的完整性。保护通过公网传送敏感数据的机密性、完整性和可用性。
第106条进行网络协议兼容性的评估时应考虑将来新增网络设备的要求。任何准备接进网络的新设备,在进网前都必须通过协议兼容性的评估和安全检查。
第107条必须对网络进行监控和管理。所有网络故障都必须向上级报告。
第108条必须建立互联网的访问管理办法。除非得到授权,
否则禁止访问外部网络的服务。
9.6 介质的管理
9.6.1 可移动介质的管理
第109条可移动计算机存储介质,比如磁带、光盘等,必须有适当的访问控制。存储介质上必须设臵标签,以标识其类型和用途。标签应使用代码,以避免直接标识存储介质上的内容。标识用的代码需要记录并归档。
第110条必须建立和维护介质清单,并对介质的借用和归还进行记录。应确保备有足够的存储介质,以备使用。
第111条存放在存储介质内的绝密和机密信息必须受到妥善保护。
第112条存储介质的存放环境必须满足介质要求的环境条件,比如温度、湿度、空气质量等,。第113条备份介质必须存储在防火柜中。应该对介质的寿命进行管理,在介质寿命结束前一年,将信息拷贝到新的介质中。
9.6.2 介质的销毁
第114条应建立存储介质的报废规范,包括但不限于:
1)纸质文档
语音资料及其他录音带 2)
3)复写纸
4)磁带
5)磁盘
6)光存储介质
第115条所有不会被再利用的敏感文档都必须根据定义的信息密级采取适当的方式进行销毁。
第116条所有报废及过期的存储介质必须妥善销毁。
9.6.3 信息处理程序
第117条介质的信息分类,必须采用存放信息中的最高保密等级。
第118条应根据介质中信息的分类级别,采取相应措施来保护介质的输出环境。
9.6.4 系统文档的安全
第119条存取含有敏感信息的文档,必须获得相应文档管理者的批准。含有敏感信息的文档应保存在安全的地方,未经许可不得访问。含有敏感信息的文档通过内部网等提供访问的,应采用访问控制加以保护。
9.7 信息交换
9.7.1 信息交换管理办法和程序
第120条必须根据信息的类型和保密级别,定义信息在交换过程中应遵循的安全要求。
第121条所有员工和第三方人员都必须遵守公司的信息交换管理办法。
第122条未经许可,公司内部不允许安装、使用无线通信设备。
第123条使用加密技术保护信息的保密性、完整性和真实性。敏感信息带出公司必须获得直接领导或信息管理者的授权。
第124条必须建立控制机制来保护利用音频、传真和视频通信设备进行交换的信息。
第125条电话录音系统应该配臵密码,以防非法访问。
第126条在使用传真机中已存储的号码时,传真之前必须验证号码。
第127条移动通讯设备,比如手机,PDA等,不应存储公司敏感信息。
9.7.2 交换协议
第128条跟外界进行信息和软件交换必须签署协议,其内容必须包括:
1)发送方和接收方的责任
2)明确发送和接收的方式
3)制定信息封装和传输的技术标准
4)数据丢失的相关责任
5)声明信息的保密级别和保护要求
6)声明信息和软件的所有权、版权和其他相关因素
9.7.3 物理介质传输
第129条必须建立传输存储介质的安全标准。应使用可靠的传输工具或传递人,授权的传递人必须接受适当监管并进行其身份的检查。应确保敏感信息的机密性、完整性和可用性在传输全程中受到保护。
第130条存放介质的容器在运输过程前必须密封。信息分类不应该标识在容器的外面。包装应该非常结实,确保介质在运输过程中不受到损坏。
9.7.4 电子消息
第131条电子化办公系统必须建立相应的管理办法和控制机制,并阐明下列内容:
1)确定不能被共享的信息的类型或密级
2)系统用户的权限
3)系统的访问控制
4)与系统相关的备份管理办法
第132条除非获得安全管理委员会的授权,否则禁止使用公司以外的电子系统,比如BBS、MSN、QQ等,进行跟公司相关的活动。
第133条电子邮件内的信息必须根据其信息分类的安全要求去处理和保护。用于连接外网的邮件网关必须安装防病毒软件,检查进出的电子邮件。必须对Internet屏蔽邮件系统的内网IP地址。
第134条员工使用公司的邮件系统时只能进行与业务相关的活动。所有在公司的邮件系统上产生及存储的邮件都是公司资产。公司有权查看和监控所有邮件。
未经授权,严禁使用公司以外的邮箱处理公司业务。
所有对外发送的邮件都必须加上责任声明。
9.7.5 业务信息系统
第135条在业务系统进行信息共享时,必须保证信息的完整性、可用行和保密性。必须保证重要信息在交换过程中的保密性。
9.8 电子商务服务
9.8.1 电子商务
第136条必须采取适当措施,保证电子交易过程的机密性、完整性和可用性。
第137条电子商务的交易必须制定相关的交易声明,以明确注意事项和相关责任。在电子商务的协议中,必须明确欺诈行为和未能交付的责任。
第138条电子交易必须设臵并维护适当的访问控制。身份验证技术必须满足业务的实际要
求。
第139条必须保留并维护所有电子商务交易过程中的记录和日志。
第140条应该使用加密、电子证书、数字签名等技术保护电子商务安全。
9.8.2 在线交易
第141条必须保护在线交易信息,避免不完整的传输、路由错误、未授权的消息更改、未授权的信息信息泄漏、复制和回复。
第142条在线交易中必须使用数字证书保护交易安全。交易中必须使用加密技术对所有通信内容加密。在线交易必须使用安全的通讯协议。
第143条在线交易信息必须保存在公司内部的存储环境,存储环境不能被从Internet直接访问。
第144条在线交易必须遵守国家、地区和行业相关的法律法规。
9.8.3 公共信息
第145条必须确保公共信息系统中信息的完整性,并防止非授权的修改。
第146条信息的发布必须遵守国家法律法规的要求。通过信息发布系统向内部和公众发布的信息都必须经过公司相关部门的检查和审批。信息在发布之前必须经过核对,确认其正确性和完整性。必须对敏感信息的处理和存储过程进行保护。
9.9 监控
9.9.1 日志
第147条所有操作系统、应用系统都必须具有并启用日志记录功能。
第148条日志记录信息必须包括但不限于:
1)用户ID,
2)每项操作的日期和时间,至少要精确到秒,,
3)来源的标识或位臵,
4)成功的系统访问尝试,
5)失败或被拒绝的系统访问尝试,
第149条日志类型包括但不限于:
1)应用日志,
2)系统日志,
3)安全日志,
4)操作日志,
5)问题记录。
第150条必须确保日志记录功能在任何时候都能正常运行。应该有机制监控日志的容量变化,在容量耗尽之前发出报警信息。
第151条除非特别声明,所有日志都必须被分类为“机密”。日志应该定期复查,至少每月一次。
9.9.2 监控系统的使用
第152条不同的信息处理设备所要求的监控等级应该通过风险评估来决定,必须考虑下列要素:
1)系统的访问,
2)所有特权操作,
3)未授权的访问尝试,
4)系统警报或故障。
第153条应每天定时监控网络,包括网络性能和网络故障,,并根据产生的报告,对异常变化的网络流量,作进一步分析,以发现潜在的网络安全问题。
9.9.3 日志信息保护
第154条必须保证日志不能被修改或删除,所有对于日志文件的访问,如删除、写、读或添加,尝试都应该有相应记录。
第155条除非特别声明,日志必须至少保存1年。只有授权的员工才能访问并使用日志。必须采取控制措施保护日志的完整性。
9.9.4 管理员和操作员日志
第156条系统管理员和操作员的操作必须被记录日志。
第157条日志记录应包括重要的操作,例如与用户管理相关的操作,用户帐号的创建、删除、权限设臵、修改,、与财务相关的操作等。
第158条管理员和重要系统的操作员日志应该至少每周复查一次。对于重要的财务系统和业务系统每天都要复查。
9.9.5 故障日志
第159条必须启动故障日志功能。
第160条必须保证故障记录的跟进处理,确保问题得到完全解决,并且其纠正措施不会带来新的安全问题。所有故障记录都应该向上级汇报并记录归档。
第161条故障记录应妥善保管,防止被损坏,必要时应该进行备份。
9.9.6 时钟同步
第162条所有系统应该使用时钟同步服务,并使用同一时钟源。
第163条所有系统中的时间允许最多一分钟的偏差。
第164条对于不能进行时钟同步的系统,必须对时间进行每月一次的检查。
10 访问控制方面
10.1 访问控制要求
10.1.1 访问控制管理办法
第165条所有系统和应用都必须有访问控制列表,由系统管理者明确定义访问控制规则、用户和用户组的权限以及访问控制机制。访问控制列表应该进行周期性的检查以保证授权正确。
第166条访问权限必须根据工作完成的最少需求而定,不能超过其工作实际所需的范围。必须按照“除非明确允许,否则一律禁止”的原则来设臵访问控制规则。
第167条所有访问控制必须建立相应的审批程序,以确保访问授权的合理性和有效性。必须禁用或关闭任何具有越权访问的功能。员工的职责发生变化或离职时,其访问权限必须作相应调整或撤销。
第168条系统自带的默认帐号应该禁用或配臵密码进行保护。
10.2 用户访问管理
10.2.1 用户注册
第169条开放给用户访问的信息系统,必须建立正式的用户注册和注销程序。
第170条所有用户的注册都必须通过用户注册程序进行申请,并得到部门领导或其委托者的批准。系统管理者对用户具有最终的授权决定权。必须保留和维护所有用户的注册信息的正式用户记录。
第171条负责用户注册的管理员必须验证用户注册和注销请求的合法性。
第172条每个用户必须被分配唯一的帐号,不允许共享用户帐号。用户一旦发现其帐号异常,必须立即通知负责用户注册的管理员进行处理。如果用户帐号连续120天没有使用,必须禁用该帐号。
第173条帐号名不能透露用户的权限信息,比如管理员帐号不能带有Admin字样。
10.2.2 特权管理
第174条必须建立正式的授权程序,以确保授权得到严格的评估和审批,并保证没有与系统和应用的安全相违背。
第175条必须建立授权清单,记录和维护已分配的特权和其相对的用户信息。
10.2.3 用户密码管理
第176条只有在用户身份被确认后,才允许对忘记密码的用户提供临时密码。
第177条系统中统一管理帐号密码的模块保存的密码必须是加密的。
第178条密码必须保密,不得与他人分享、放在源代码内或写在没有保护的介质上,如纸张,。第179条必须强制用户在第一次登录时修改密码。
第180条系统应该设臵定期的密码修改管理办法,并限制至少最近3个旧密码的重用。
第181条系统必须启用登录失败的限制功能,如果连续10次登录失败,系统应该自动锁定相关帐号。
第182条在通过电话传送密码以前必须确认对方的身份。
第183条禁止帐号和密码被一起传送,例如用同一封邮件传送帐号和密码。
第184条所有系统都应该建立应急帐号,应急帐号资料必须放在密封的信封内妥善收藏,并控制好信封的存取。必须记录所有应急帐号的使用情况,包括相关的人、时间和原因等。应急帐号的密码在使用后必须立刻修改,然后把新的密码装到信封里。
10.2.4 用户访问权限的检查
185条必须半年对注册用户的访问权限和系统特权进行一次第
复查,关键系统必须每三个月复查一次。此过程应该包括但不限于:
1)确认用户权限的有效性和合理性
2)找出所有异常帐号,如长时间未使用和已离职人员的帐号等,,进行分析并采取相应措施
第186条必须对可疑的或不明确的访问权限进行调查,并作为安全事故进行报告。
10.3 用户的责任
10.3.1 密码的使用
第187条用户必须对其帐号的安全和使用负责,无论在何种情况下,用户都不应该泄漏其密码。用户不应该使用纸张或未受保护的电子形式保存密码。用户一旦怀疑其帐号密码可能受到损害,应该及时修改密码。
第188条用户在第一次使用帐号时,必须修改密码。用户必须至少每半年修改一次密码。特权帐号的密码必须至少每3个月修改一次。用于系统之间认证帐号的密码必须至少每半年修改一次。
第189条除非有技术限制,密码应该至少包含8个字符。此8个字符必须包含数字和字母。第190条用户不应使用容易被猜测的密码,例如字典中的单词、生日和电话号码等。前3次用过的密码不应该被重复使用。
第191条密码不应该被保存于自动登录过程中,例如IE中的帐号自动保存。
10.3.2 清除桌面及屏幕管理办法
192条所有服务器和个人电脑都必须启用带有口令保护的屏第
幕保护程序,激活等待时间应少于10分钟。
第193条无人使用时,服务器、个人电脑和复印机等必须保持注销状态。
第194条不能将机密和绝密信息资料遗留在桌面上,而应该根据信息的保密等级进行处理。195条必须为信件收发区域以及无人看管的传真机设臵适当第
的保护措施。
第196条打印完敏感信息之后,必须确认信息已从打印队列中清除。
10.4 网络访问控制
10.4.1 网络服务使用管理办法
第197条必须建立授权程序来管理网络服务的使用。
第198条应遵循业务要求中所说明的访问控制管理办法来限制访问。
第199条所有系统都必须设臵访问控制机制来防止未经授权的访问。
10.4.2 外部连接的用户认证
第200条对公司系统进行远程访问,必须建立适当的认证机制,采用的机制应通过风险评估来决定。
第201条通过拨号进行远程访问必须经过正式批准,并做好相关记录。
第202条用于远程访问的调制解调器平时必须保持关闭,只有在使用的时候才能打开。
第203条在公司外部进行远程办公,必须使用VPN进行连接。
第204条与外部合作伙伴进行信息交换,应该使用专线进行连接。
10.4.3 远程诊断和配置端口的保护
第205条在不使用的时候,诊断端口应该被禁用或通过恰当的安全机制进行保护。
第206条如果第三方需要访问诊断端口,必须签订正式的协议。
第207条对远程诊断端口的访问,必须建立正式的注册审批程序。访问者必须只被授予最小的访问权限来完成诊断任务,并且必须得到认证。
第208条所有远程的诊断访问必须事先申请并获得批准。
第209条在远程诊断会话期间,必须记录所有执行的活动信息,包括时间、执行者、执行动作和结果等。这些记录应该由系统管理员进行检查以确保访问者只执行了被授权的活动。
10.4.4 网络的划分
第210条必须将网络划分为不同的区域,以提供不同级别的安全保护,满足不同服务的安全需求。
第211条对于重要的网络区域必须设臵访问控制以隔离其他网络区域。
第212条应该使用风险评估来决定每个区域的安全级别。
第213条公司外部和内网之间应该建立一个DMZ。
10.4.5 网络连接的控制
第214条公司以外的网络连接,在建立连接前必须对外部的接入环境进行评估,满足公司管理办法后才能接入。
第215条所有网络端口必须进行限制,以防止非授权的电脑接入公司网络。限制要求至少应包括:
1)所有的端口默认都是关闭的,只有在经过正式批准后才能开通,
2)端口的关闭必须在员工离职和岗位变动流程中体现,
3)临时使用的端口或位臵变动,员工必须主动申请停用原有端口,开通新端口前必须先关闭原有端口。
第216条必须将网络接口和接入设备绑定,如果需要更换接入的设备,必须经过部门经理的审批。
第217条所有接入公司网络的主机必须经过公司的标准化安装。
第218条公司必须设立一个单独的网络区域供非公司标准化安装的电脑接入,此区域在网络上是完全封闭、独立的。
10.4.6 网络路由的控制
第219条路由访问控制列表必须基于适当的源地址和目标地址检查机制。所有对外提供网络服务的网络地址必须进行地址转换。
第220条所有重要服务器的管理端口必须通过指定的路径进行访问。
10.5 操作系统访问控制
10.5.1 用户识别和认证
第221条所有用户都应该被识别和认证。在每个系统上创建实名用户,系统登陆必须使用实名用户。如果因特殊原因不能使用实名用户登陆,必须经过安全管理委员会同意。
第222条用户认证失败信息中,应该不显示具体的失败原因。例如不能显示“帐号不存在”或“密码不正确”。
第223条如果由于业务要求需要使用共享用户帐号,那么此共享帐号应该得到正式的批准并明文归档。
第224条系统管理员和应用管理员必须使用不同的帐号。
第225条所有使用帐号密码进行认证的系统,在帐号密码传送过程中,应该采用加密保护措施防止泄漏。
10.5.2 密码管理系统
第226条系统应该强制用户在第一次成功登录后修改初始密码。修改密码时,系统必须提示用户确认新密码,以防止输入错误。不能明文显示输入的密码。
第227条密码文件应该与应用系统数据分开存储。密码处理时必须使用单向加密。当密码接近失效期或者已经过期时,系统应该提示或强制用户修改密码。
第228条所有默认的密码都应当在软件安装后立即更改。系统应该允许用户修改自己的密码。
第229条系统的密码管理办法必须满足如下要求:
1)密码长度至少8个字符,
2)启用密码复杂度要求,至少包括大写字母、小写字母、数字、特殊字符中的三种,
3)管理员帐号密码有效期是90天,
4)重要系统的用户帐号密码有效期是90天,
5)非重要系统的普通帐号密码有效期是180天,
6)记录的历史密码次数不少于5个,
7)帐号密码验证失败锁定阀值是10次,
8)帐号被锁定后必须由管理员解锁。
9)如果因系统自身的功能限制不能满足上述管理办法的要求,其设臵的密码管理办法必须经信息安全管理委员会审核同意。
10.5.3 系统工具的使用
第230条所有系统工具都应当被识别,不必要的工具必须从生产系统中删除。
10.5.4 终端超时终止
第231条连接到服务器的所有终端,在30分钟内没有活动,都应该被终止连接。
10.5.5 连接时间的限制
第232条对关键的信息系统,如前臵机、合作伙伴主机等,提供附加的安全保护,包括但不限于:
1,只允许在之前协商好的时间段内访问,如:每天6点—6点半,
2,只允许在正常的工作时间内访问,如:每周一至周五9点—17点,
3,远程诊断modem在不使用时必须处于关闭状态,在使用后必须立即关闭。
10.6 应用系统访问控制
10.6.1 信息访问限制
第233条应用系统应该控制用户的访问权限,如读写权限、删除权限以及执行权限。
第234条必须保证处理敏感信息的应用系统仅输出必需的信息到授权的终端,同时应对这些输出功能进行定期检查,保证不存在输出多余的信息。
10.6.2 敏感系统的隔离
第235条应当根据应用系统的敏感程度对系统进行适当的隔离保护,比如:
1)运行于指定的计算机上
2)仅与信任的应用系统共享资源
3,敏感系统的各个部分都应当以适当的方式进行保护。
10.7 移动计算和远程办公
10.7.1 移动计算
第236条移动设备,包括个人手持设备、笔记本电脑,和家庭办公个人电脑都应该受到保护以防未授权访问。
第237条进行移动和家庭办公的员工,应该对其使用的设备做好物理保护,防止丢失、偷窃和破坏等。存放在移动设备中的敏感信息必须做好保护,比如采用加密以防泄漏。
第238条移动设备用户必须做好防病毒工作。移动设备中的公司信息应该做好备份工作,防止丢失。
10.7.2 远程办公
第239条必须建立远程办公的使用标准和授权程序。
第240条远程办公的访问权限必须基于最小权限的原则进行分配,授权内容应该包括:
1)允许访问的系统和服务
2)允许进行的工作
3)访问时段
第241条远程办公的访问控制应该采用双重认证的方式。远程办公的信息在传输过程中必须加密。
第242条员工离职或不再使用远程办公时,必须取消其相关的远程办公访问权限。必须定期对远程办公实施审计和安全监控。
11 信息系统采购、开发和维护方面
11.1 系统安全需求
11.1.1 系统的安全需求分析与范围
第243条在系统开发的整个过程,特别是在系统需求阶段,都必须考虑安全需求,包括但不限于:
1)系统架构
2)用户认证
3)访问控制和授权
4)事务处理的机密性和完整性
5)日志记录功能
6)系统配臵
7)法律法规和兼容性要求
8)系统恢复
第244条在系统的需求和设计阶段,需要对系统进行安全方面的评审。
第245条应该在开发的整个周期对安全需求实施的正确性进行阶段性检查,以确保其对应的安全措施按照要求被定义、设计、部署和测试。
第246条在使用商业软件或软件包前,必须按照上述安全需求进行评估。对于软件的安全控制要求应该在评估之前定义好。
第247条软件必须通过用户的正式验收后才能投入生产。软件在正式使用前必须经过安全方面的测试,测试内容必须包括所有设计文档中的安全要求。
第248条为了对用户的操作进行检查和审计,系统必须提供日志记录功能。系统应提供只有日志审计人员可以访问的用来查看日志记录的审计接口。日志文件必须设臵严格的访问控制,包括系统管理员、日志审核员在内所有角色都只能有查看权限。
11.2 应用系统中的安全
11.2.1 数据输入的验证
第249条所有接受数据输入的入口必须有相应的验证处理,包括但不限于:
1)数据的长度
2)数据的类型
3)数据的范围
4)字符的限制
第250条根据业务需要,对于按照纸面信息输入的数据,系统应该提供“数据在输入被确认”之后才能提交的功能。
第251条系统应该对错误的输入数据提供有帮助的提示信息。必须对数据输入验证功能进行全面的测试,以保证其正确性和有效性。系统在使用过程中,应该明确定义参与数据输入各环节所有相关人员的职责。
11.2.2 内部处理的控制
第252条应用系统的设计应该考虑以下因素,防止正确输入的数据因错误处理或人为因素等遭到破坏:
1)程序应该有处理的校验机制
2)程序应该有相应的例外处理机制
3)对于有先后执行顺序的程序或程序模块,内部必须有执行顺序的限制机制
第253条控制措施的选择应根据应用的性质和数据受损对业务造成的影响而定,可选择的措施包括但不限于:
1)会话或批处理控制措施,在事务更新后协调相关数据文件的一致性
2)验证系统生成数据的正确性
3)检查数据完整性,特别是在计算机之间传输的数据
4)计算记录和文件的哈希值以便验证
5)确保程序以正确的顺序运行,在出现故障时终止,在问题解决前暂停处理
11.2.3 消息验证
第254条对需要确保消息内容完整性的应用,例如电子交易,应该使用消息验证。
第255条在采用消息验证之前,应该通过安全风险评估,以确定其是否能满足需要或采取其他更适合的解决方式。
11.2.4 数据输出的验证
第256条应该使用检查输出数据合理性的机制。应该使用确保数据被全部处理的机制。
第257条输出的数据应该含有相关标志,以便判断数据的状态,例如是否准确、是否完整等,。必须对数据输出验证功能进行全面的测试,以保证其正确性和有效性。
第258条系统在使用过程中,应该明确定义参与数据输出各环节所有相关人员的职责。11.3 加密控制
11.3.1 加密的使用管理办法
第259条敏感信息应该根据信息分类的要求采用加密措施进行保护。
第260条加密措施的采用不但要考虑到信息存储,也应该考虑到信息传输的要求。应该使用被公司认可的标准加密算法。
第261条未经安全管理委员会的同意,用户不能安装任何未经授权的加密软件。
第262条加密算法应该根据算法强度和密钥长度进行选择,以符合信息保护的要求。
第263条数字签名的使用必须符合国家电子签名法的相关规定。
11.3.2 密钥管理
第264条密钥管理系统应该包括以下活动:
1)密钥产生
2)密钥变更
3)密钥存储
4)密钥交换和分发
5)密钥注销
6)密钥恢复和备份
7)密钥销毁
11.4 系统文件的安全
11.4.1 生产系统的应用软件控制
第265条生产系统的应用软件更新必须由获得授权的管理员来执行。
第266条严禁在生产系统中保留应用软件的源代码。必须建立程序库统一保管和维护应用程序的可执行代码。
第267条在测试成功、用户验收完成或相关的程序库被更新前,严禁更新生产系统中的可执行代码。
第268条必须对程序库做好访问控制,并对程序库的更新进行日志记录。
第269条应用软件必须做好版本控制管理,每一个版本都必须有相应的备份。源代码的所有版本都必须保留,并标识版本号,每个版本之间的差异描述要文档化。
11.4.2 测试数据的保护
第270条测试系统应该参照生产系统的访问控制规则进行访问控制。
第271条每次从生产系统中复制数据到测试系统中必须获得授权,并做好记录。从生产系统中复制的数据必须经过处理,去掉有关财务和个人隐私的信息。
11.4.3 对程序源代码库的访问控制
第272条应该建立程序源代码库,并由指定人员进行统一管理。正在开发或修改的程序不应该保存在程序源代码库中。
第273条更新程序源代码库和向程序员提供程序源代码,应通过指定的程序源代码库管理员来执行,并且获得管理层的授权。程序源代码必须保存在安全的环境中。
第274条必须控制程序源代码库的访问,只提供工作需要的最小权限。程序源代码的访问必须做好相关记录。
第275条程序源代码必须做好版本控制管理,每一个版本都必须有相应的备份。
11.5 开发和维护过程中的安全
11.5.1 变更控制流程
第276条所有应用软件的变更必须获得批准。
第277条应用软件的变更需求应该由业务部门授权的资深人员提出。应用软件的变更不应破坏软件本身的可靠性和已有的控制措施。
第278条变更需求中应该包括对运行环境的要求,如硬件资源、软件资源等,。
第279条变更的设计方案必须通过正式的批准才能开始编码。变更在部署之前必须通过验收。
第280条变更的部署必须尽量减少对业务正常运行的影响。
第281条变更完成后,相关的文档,如系统需求文档、设计文档、操作手册、用户手册等,必须得到更新,旧的文档必须进行备份。
第282条必须维护所有软件更新的版本控制。必须维护所有变更需求的记录。
11.5.2 操作系统变更的技术检查
第283条操作系统变更之前必须进行评估,以确保应用程序的完整性和控制措施不会受到破坏。操作系统变更之前必须通知相关人员,以便他们有足够的时间去做相关的评估。
信息安全管理制度 目录 1.安全管理制度要求 1.1总则:为了切实有效的保证公司信息安全,提高信息系统为公司生产经营的服务能力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全进行管理,以确保网络与信息安全。 1.1.1建立文件化的安全管理制度,安全管理制度文件应包括: a)安全岗位管理制度; b)系统操作权限管理; c)安全培训制度; d)用户管理制度; e)新服务、新功能安全评估; f)用户投诉举报处理; g)信息发布审核、合法资质查验和公共信息巡查; h)个人电子信息安全保护; i)安全事件的监测、报告和应急处置制度; j)现行法律、法规、规章、标准和行政审批文件。 1.1.2安全管理制度应经过管理层批准,并向所有员工宣贯 2.机构要求 2.1 法律责任 2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。 2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。 3.人员安全管理 3.1 安全岗位管理制度 建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位管理制度应包括保密管理。 3.2 关键岗位人员 3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行,包括: 1.个人身份核查: 2.个人履历的核查: 3.学历、学位、专业资质证明: 4.从事关键岗位所必须的能力 3.2.2 应与关键岗位人员签订保密协议。 3.3 安全培训 建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员的信息安全意识,包括: 1.上岗前的培训; 2.安全制度及其修订后的培训; 3.法律、法规的发展保持同步的继续培训。 应严格规范人员离岗过程: a)及时终止离岗员工的所有访问权限; b)关键岗位人员须承诺调离后的保密义务后方可离开; c)配合公安机关工作的人员变动应通报公安机关。
信息安全管理制度 一、总则 为了加强公司内所有信息安全的管理,让大家充分运用计算机来提高工作效率, 特制定本制度。 二、计算机管理要求 1.IT管理员负责公司内所有计算机的管理,各部门应将计算机负责人名单报给 IT管理员,IT管理员(填写《计算机IP地址分配表》)进行备案管理。如有变更,应在变更计算机负责人一周内向IT管理员申请备案。 2.公司内所有的计算机应由各部门指定专人使用,每台计算机的使用人员均定为计算机的负责人,如果其他人要求上机(不包括IT管理员),应取得计算机负责人的同意,严禁让外来人员使用工作计算机,出现问题所带来的一切责任应由 计算机负责人承担。 3.计算机设备未经IT管理员批准同意,任何人不得随意拆卸更换;如果计算机出现故障,计算机负责人应及时向IT管理员报告,IT管理员查明故障原因,提出整改措施,如属个人原因,对计算机负责人做出处罚。 4.日常保养内容: A.计算机表面保持清洁 B.应经常对计算机硬盘进行整理,保持硬盘整洁性、完整性; C.下班不用时,应关闭主机电源。 5.计算机IP地址和密码由IT管理员指定发给各部门,不能擅自更换。计算机系统专用资料(软件盘、系统盘、驱动盘)应由专人进行保管,不得随意带出公司 或个人存放。 6.禁止将公司配发的计算机非工作原因私自带走或转借给他人,造成丢失或损坏的 要做相应赔偿,禁止计算机使用人员对硬盘格式化操作。
7.计算机的内部调用: A. IT管理员根据需要负责计算机在公司内的调用,并按要求组织计算机的迁移 或调换。 B. 计算机在公司内调用,IT管理员应做好调用记录,《调用记录单》经副总经理 签字认可后交IT管理员存档。 8.计算机报废: A. 计算机报废,由使用部门提出,IT管理员根据计算机的使用、升级情况,组 织鉴定,同意报废处理的,报部门经理批准后按《固定资产管理规定》到财 务部办理报废手续。 B. 报废的计算机残件由IT管理员回收,组织人员一次性处理。 C. 计算机报废的条件:1)主要部件严重损坏,无升级和维修价值;2)修理或 改装费用超过或接近同等效能价值的设备。 三、环境管理 1.计算机的使用环境应做到防尘、防潮、防干扰及安全接地。 2.应尽量保持计算机周围环境的整洁,不要将影响使用或清洁的用品放在计算机 周围。 3.服务器机房内应做到干净、整洁、物品摆放整齐;非主管维护人员不得擅自进 入。 四、软件管理和防护 1.职责: A. IT管理员负责软件的开发购买保管、安装、维护、删除及管理。 B. 计算机负责人负责软件的使用及日常维护。 2.使用管理: A. 计算机系统软件:要求IT管理员统一配装正版Windows专业版,办公常用办
从最开始接触风险评估理论到现在,已经有将近5个年头了,从最开始的膜拜捧为必杀技,然后是有一阵子怀疑甚至预弃之不用,到现在重拾之,尊之为做好安全的必备法宝,这么一段起起伏伏的心理历程。对风险的方法在一步步的加深,本文从风险评估工作最突出的问题:如何得到一致的、可比较的、可重复的风险评估结果,来加以分析讨论。 1. 风险评估的现状 风险理论也逐渐被广大信息安全专业人士所熟知,以风险驱动的方法去管理信息安全已经被大部分人所共知和接受,这几年国内等级保护的如火如荼的开展,风险评估工作是水涨船高,加之国内信息安全咨询和服务厂商和机构不遗余力的推动,风险评估实践也在不断的深入。当前的风险评估的方法主要参照两个标准,一个是国际标准《ISO13335信息安全风险管理指南》和国内标准《GB/T 20984-2007信息安全风险评估规范》,其本质上就是以信息资产为对象的定性的风险评估。基本方法是识别并评价组织/企业内部所要关注的信息系统、数据、人员、服务等保护对象,在参照当前流行的国际国内标准如ISO2700 2,COBIT,信息系统等级保护,识别出这些保护对象面临的威胁以及自身所存在的能被威胁利用的弱点,最后从可能性和影响程度这两个方面来评价信息资产的风险,综合后得到企业所面临的信息安全风险。这是大多数组织在做风险评估时使用的方法。当然也有少数的组织/企业开始在资产风险评估的基础上,在实践中摸索和开发出类似与流程风险评估等方法,补充完善了资产风险评估。 2. 风险评估的突出问题 信息安全领域的风险评估甚至风险管理的方法是借鉴了银行业成熟的风险管理方法,银行业业务风险管理的方法已经发展到相当成熟的地步,并且银行业也有非常丰富的基础数据支撑着风险分析方法的运用。但是,风险评估作为信息安全领域的新生事物,或者说舶来之物,尽管信息安全本身在国内开展也不过是10来年,风险评估作为先进思想也存在着类似“马列主义要与中国的实际国情结合走中国特色社会主义道路”的问题。风险评估的定量评估方法缺少必要的土壤,没有基础的、统计数据做支撑,定量风险评估寸步难移;而定性的风险评估其方法的本质是定性,所谓定性,则意味着估计、大概,不准确,其本质的缺陷给实践带来无穷的问题,重要问题之一就是投资回报问题,由于不能从财务的角度去评价一个/组风险所带来的可能损失,因此,也就没有办法得到投资回报率,尽管这是个问题,但是实践当中,一般大的企业都会有个基本的年度预算,IT/安全占企业年度预算的百分之多少,然后就是反正就这么些钱,按照风险从高到低或者再结合其他比如企业现有管理和技术水平,项目实施的难易度等情况综合考虑得到风险处理优先级,从高到低依次排序,钱到哪花完,风险处理今年就处理到哪。这方法到也比较具有实际价值,操作起来也容易,预算多的企业也不怕钱花不完,预算少的企业也有其对付办法,你领导就给这么些钱,哪些不能处理的风险反正我已经告诉你啦,要是万一出了事情你也怪不得我,没有出事情,等明年有钱了再接着处理。
网络信息安全管理制度 网络与信息的安全不仅关系到公司正常业务的开展,还将影响到国家的安全、社会的稳定。我公司将认真开展网络与信息安全工作,通过检查进一步明确安全责任,建立健全的管理制度,落实技术防范措施,保证必要的经费和条件,对有毒有害的信息进行过滤、对用户信息进行保密,确保网络与信息安全。 一、网站运行安全保障措施 1、网站服务器和其他计算机之间设置经公安部认证的防火墙,做好安全策略,拒绝外来的恶意攻击,保障网站正常运行。 2、在网站的服务器及工作站上均安装了正版的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。 3、做好日志的留存。网站具有保存60天以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、邮箱使用者和对应的IP地址情况等. 4、交互式栏目具备有IP地址、身份登记和识别确认功能,对没有合法手续和不具备条件的电子公告服务立即关闭。 5、网站信息服务系统建立双机热备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,保证备用系统能及时替换主系统提供服务。 6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。 7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。 8、网站提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。 9、公司机房按照电信机房标准建设,内有必备的独立UPS不间断电源、高灵敏度的烟雾探测系统和消防系统,定期进行电力、防火、防潮、防磁和防鼠检查。 二、信息安全保密管理制度 1、我公司建立了健全的信息安全保密管理制度,实现信息安全保密责任制,切实负起确保
信息安全管理办法 第一章总则 第一条为加强公司信息安全管理,推进信息安全体系建设,保障信息系统安全稳定运行,根据国家有关法律、法规和《公司信息化工作管理规定》,制定本办法。 第二条本办法所指的信息安全管理,是指计算机网络及信息系统(以下简称信息系统)的硬件、软件、数据及环境受到有效保护,信息系统的连续、稳定、安全运行得到可靠保障。 第三条公司信息安全管理坚持“谁主管谁负责、谁运行谁负责”的基本原则,各信息系统的主管部门、运营和使用单位各自履行相关的信息系统安全建设和管理的义务与责任。 第四条信息安全管理,包括管理组织与职责、信息安全目标与工作原则、信息安全工作基本要求、信息安全监控、信息安全风险评估、信息安全培训、信息安全检查与考核。 第五条本办法适用于公司总部、各企事业单位及其全体员工。 第二章信息安全管理组织与职责 第六条公司信息化工作领导小组是信息安全工作的最高决策机构,负责信息安全政策、制度和体系建设规划的审批,部署并协调信息安全体系建设,领导信息系统等级保护工作。 第七条公司建立和健全由总部、企事业单位以及信息技术支持单位三方面组成,协调一致、密切配合的信息安全组织和责任体系。各级信息安全组织均要明确主管领导,确定相关责任,设置相应岗位,配备必要人员。 第八条信息管理部是公司信息安全的归口管理部门,负责落实信息化工作领导小组的决策,实施公司信息安全建设与管理,确保重要信息系统的有效保护和安全运行。具体职责包括:组织制定和实施公司信息安全政策标准、管理制度和体系建设规划,组织实施信息安全项目和培训,组织信息安全工作的监督和检查。 第九条公司保密部门负责信息安全工作中有关保密工作的监督、检查和指导。
信息安全风险评估方 案
第一章网络安全现状与问题 1.1目前安全解决方案的盲目性 现在有很多公司提供各种各样的网络安全解决方案,包括加密、身份认证、防病毒、防黑客等各个方面,每种解决方案都强调所论述方面面临威胁的严重性,自己在此方面的卓越性,但对于用户来说这些方面是否真正是自己的薄弱之处,会造成多大的损失,如何评估,投入多大可以满足要求,对应这些问题应该采取什麽措施,这些用户真正关心的问题却很少有人提及。 1.2网络安全规划上的滞后 网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时,往往是头痛医头、脚痛医脚,面对层出不穷的安全问题,疲于奔命,再加上各种各样的安全产品与安全服务,使用户摸不着头脑,没有清晰的思路,其原因是由于没有一套完整的安全体系,不能从整体上有所把握。 在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下,安全规划显然未跟上网络管理方式发展的趋势。 第二章网络动态安全防范体系 用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象,它们过分强调了某个方面的重要性,而忽略了安全构件(产品)之间的关系。因此在客户化的、可操作的安全策略基础上,需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面,涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。 静态的安全产品不可能解决动态的安全问题,应该使之客户化、可定义、可管理。无论静态或动态(可管理)安全产品,简单的叠加并不是有效的防御措施,应该要求安全产品构件之间能够相互联动,以便实现安全资源的集中管理、统一审计、信息共享。 目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点,因此即使是多层面的安全防御体系,如果是静态的,也无法抵御来自外部
Through the joint creation of clear rules, the establishment of common values, strengthen the code of conduct in individual learning, realize the value contribution to the organization.公司信息安全管理制度正 式版
公司信息安全管理制度正式版 下载提示:此管理制度资料适用于通过共同创造,促进集体发展的明文规则,建立共同的价值观、培 养团队精神、加强个人学习方面的行为准则,实现对自我,对组织的价值贡献。文档可以直接使用, 也可根据实际需要修订后使用。 信息安全是指通过各种策略保证公司计算机设备、信息网络平台(内部网络系统及ERP、CRM、WMS、网站、企业邮箱等)、电子数据等的安全、稳定、正常,旨在规范与保护信息在传输、交换和存储、备份过程中的机密性、完整性和真实性。为加强公司信息安全的管理,预防信息安全事故的发生,特制定本管理制度。本制度适用于使用新合程计算机设备、信息系统、网络系统的所有人员。 1.计算机设备安全管理 1.1员工须使用公司提供的计算机设备
(特殊情况的,经批准许可的方能使用自已的计算机),不得私自调换或拆卸并保持清洁、安全、良好的计算机设备工作环境,禁止在计算机使用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 1.2严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件,当计算机出现硬件故障时应及时向信息技术部报告,不允许私自处理和维修。 1.3员工对所使用的计算机及相关设备的安全负责,如暂时离开座位时须锁定系统,移动介质自行安全保管。未经许可,不得私自使用他人计算机或相关设备,不得
公司IT信息安全管理制度4 富世康公司IT信息安全管理制度 第一条总则通过加强公司计算机系统、办公网络、服务器系统的管理,保证网络系统安全运行,保证公司机密文件的安全,保障服务器、数据库的安全运行。加强计算机使用人员的安全意识,确保计算机系统正常运转。 第二条范围 1、计算机网络系统由计算机硬件设备、软件及客户机的网络系统配置组成。 2、软件包括:服务器操作系统、SQL数据库、金蝶财务软件、浩龙餐饮管理软件、思迅商业管理软件、今目标办公自动化系统、微励系统及其它办公软件。 3、客户机的网络系统配置包括客户机在网络上的名称,IP 地址分配,用户登陆名称、用户密码、及Internet的配置等。 4、系统软件是指:操作系统(如WINDOWS XP、SERVER2008、WINDOWS7等)软件。 第三条职责 1、信息部为网络安全运行的管理部门,负责公司计算机网络系统、计算机系统、数据库系统的日常维护和管理。 2、负责系统软件的调研、采购定型、安装、升级、保管工作。
3、网络管理人员负责计算机网络系统、办公自动化系统、平台系统的安全运行;服务器安全运行和数据备份;Internet对外接口安全以及计算机系统防病毒管理;各种软件的用户密码及权限管理协助各部门进行数据备份和数据归档。 4、网络管理人员执行公司保密制度,严守公司商业机密。 5、员工执行计算机安全管理制度,遵守公司保密制度。 6、系统管理员的密码必须由网络管理部门相关人员掌握。 第三条管理办法 I、公司计算机使用管理制度 1、从事计算机网络信息活动时,必须遵守《计算机信息网络国际联网安全保护管理办法》的规定,应遵守国家法律、法规,加强信息安全教育。 2、计算机等硬件设备由公司统一配置并定位,任何部门和个人不得允许私自挪 用调换、外借和移动电脑。 3、电脑硬件及其配件添置应列出清单报审计部,在征得公司领导同意后,由信息部负责进行添置。 4、电脑操作应按规定的程序进行。 (1)电脑的开、关机应按按正常程序操作,因非法操作而使电脑不能正常使用的,修理费用由该部门负责;
信息安全管理制度 为加强公司各信息系统管理,保证信息系统安全,据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》,及上级信息管理部门相关规定和要求,结合公司实际,制定本制度。 本制度包括网络安全管理、信息系统安全保密制度、信息安全风险应急预案 网络安全管理制度 第一条公司网络的安全管理,应当保障网络系统设备和配套设施的安全,保障信息的安全,保障运行环境的安全。 第二条任何单位和个人不得从事下列危害公司网络安全的活动: 1、任何单位或者个人利用公司网络从事危害公司计算机网络及信息系统的安全。 2、对于公司网络主结点设备、光缆、网线布线设施,以任何理由破坏、挪用、改动。 3、未经允许,对信息网络功能进行删除、修改或增加。 4、未经允许,对计算机信息网络中的共享文件和存储、处理或传输的数据和应用程序进行删除、修改或增加。 5、故意制作、传播计算机病毒等破坏性程序。
6、利用公司网络,访问带有“黄、赌、毒”、反动言论内容的网站。 7、向其它非本单位用户透露公司网络登录用户名和密码。 8、其他危害信息网络安全的行为。 第三条各单位信息管理部门负责本单位网络的安全和信息安全工作,对本单位单位所属计算机网络的运行进行巡检,发现问题及时上报信息中心。 第四条连入公司网络的用户必须在其本机上安装防病毒软件,一经发现个人计算机由感染病毒等原因影响到整体网络安全,信息中心将立即停止该用户使用公司网络,待其计算机系统安全之后方予开通。 第五条严禁利用公司网络私自对外提供互联网络接入服务,一经发现立即停止该用户的使用权。 第六条对网络病毒或其他原因影响整体网络安全子网,信息中心对其提供指导,必要时可以中断其与骨干网连接,待子网恢复正常后再恢复连接。
鑫欧克公司信息安全管理制度 一、信息安全指导方针 保障信息安全,创造用户价值,切实推行安全管理,积极预防风险,完善控制措施,信息安全,人人有责,不断提高顾客满意度。 二、计算机设备管理制度 1、计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 2、非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由本单位相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准。 3、严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。三、操作员安全管理制度 (一)操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置; (二)系统管理操作代码的设置与管理
1、系统管理操作代码必须经过经营管理者授权取得; 2、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护; 3、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有其上级授权; 4、系统管理员不得使用他人操作代码进行业务操作; 5、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码; (三)一般操作代码的设置与管理 1、一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户一码设置。 2、操作员不得使用他人代码进行业务操作。 3、操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。 四、密码与权限管理制度 1、密码设置应具有安全性、保密性,不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日,重复、顺序、规律数字等容易猜测的数字和字符串; 2、密码应定期修改,间隔时间不得超过一个月,如发
**企业信息安全管理制度 第一条总则通过加强公司计算机系统、办公网络、服务器系统的管理,保证网络系统安全运行,保证公司机密文件的信息安全,保障服务器、数据库的安全运行。加强计算机办公人员的安全意识和团队合作精神,把各部门相关工作做好。 第二条范围 1、计算机网络系统由计算机硬件设备、软件及客户机的网络系统配置组成。 2、软件包括:服务器操作系统、数据库及应用软件、有关专业的网络应用软件等。 3、客户机的网络系统配置包括客户机在网络上的名称,IP地址分配,用户登陆名称、用户密码、及Internet的配置等。 4、系统软件是指:操作系统(如WINDOWS XP、WINDOWS7等)软件。 5、平台软件是指:鼎捷ERP、办公用软件(如OFFICE 2003)等平台软件。 6、专业软件是指:设计工作中使用的绘图软件(如Photoshop等)。 第三条职责 1、信息中心部门为网络安全运行的管理部门,负责公司计算机网络系统、计算机系统、数据库系统的日常维护和管理。 2、负责系统软件的调研、采购、安装、升级、保管工作。 3、网络管理人员负责计算机网络系统、办公自动化系统、平台系统的安全运行;服务器安全运行和数据备份;Internet对外接口安全以及计算机系统防病毒管理;各种软件的用户密码及权限管理协助各部门进行数据备份和数据归档。 4、网络管理人员执行公司保密制度,严守公司商业机密。 5、员工执行计算机安全管理制度,遵守公司保密制度。 6、系统管理员的密码必须由网络管理部门相关人员掌握。 第三条管理办法 I、公司电脑使用管理制度 1、从事计算机网络信息活动时,必须遵守《计算机信息网络国际联网安全保护管理办法》的规定,应遵守国家法律、法规,加强信息安全教育。
互联网企业网站信息安全管理制度全套 目录 信息发布登记制度 (1) 信息内容审核制度 (2) 信息监视、保存、清除和备份制度 (3) 病毒检测和网络安全漏洞检测制度 (5) 违法案件报告和协助查处制度 (6) 安全管理人员岗位工作职责 (7) 安全教育和培训制度 (8) 信息发布登记制度 1. 在信源接入时要落实安全保护技术措施,保障本网络的运行安全和信息安全; 2. 对以虚拟主机方式接入的单位,系统要做好用户权限设定工作,不能开放其信息目录以外的其他目录的操作
权限。 3. 对委托发布信息的单位和个人进行登记并存档。 4. 对信源单位提供的信息进行审核,不得有违犯《计算机信息网络国际联网安全保护管理办法》的内容出现。 5. 发现有违犯《计算机信息网络国际联网安全保护管理办法》情形的,应当保留有关原始记录,并在二十四小时内向当地公安机关报告。 信息内容审核制度 1、必须认真执行信息发布审核管理工作,杜绝违犯《计算机信息网络国际联网安全保护管理办法》的情形出现。 2、对在本网站发布信息的信源单位提供的信息进行认真检查,不得有危害国家安全、泄露国家秘密,侵犯国家的、社会的、集体的利益和公民的合法权益的内容出现。 3、对在BBS 公告板等发布公共言论的栏目建立完善的审核检查制度,并定时检查,防止违犯《计算机信息网络国际联网安全保护管理办法》的言论出现。 4、一旦在本信息港发现用户制作、复制、查阅和传
播下列信息的:( 1 ). 煽动抗拒、破坏宪法和法律、行政法规实施( 2 ) . 煽动颠覆国家政权,推翻社会主义制度(3). 煽动分裂国家、破坏国家统一(4). 煽动民族仇恨、民族歧视、破坏民族团结( 5) . 捏造或者歪曲事实、散布谣言,扰乱社会秩序( 6 ). 宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪( 7 ). 公然侮辱他人或者捏造事实诽谤他人( 8 ). 损害国家机关信誉( 9 ) . 其他违反宪法和法律、行政法规( 10) . 按照国家有关规定,删除本网络中含有上述内容的地址、目录或者关闭服务器。并保留原始记录,在二十四小时之内向当地公安机关报告。 信息监视、保存、清除和备份制度 为促进公司网站健康、安全,高效的应用和发展,维护国家和社会的稳定,杜绝各类违法、
第一章网络安全现状与问题 目前安全解决方案的盲目性 现在有很多公司提供各种各样的网络安全解决方案,包括加密、身份认证、防病毒、防黑客等各个方面,每种解决方案都强调所论述方面面临威胁的严重性,自己在此方面的卓越性,但对于用户来说这些方面是否真正是自己的薄弱之处,会造成多大的损失,如何评估,投入多大可以满足要求,对应这些问题应该采取什麽措施,这些用户真正关心的问题却很少有人提及。 网络安全规划上的滞后 网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时,往往是头痛医头、脚痛医脚,面对层出不穷的安全问题,疲于奔命,再加上各种各样的安全产品与安全服务,使用户摸不着头脑,没有清晰的思路,其原因是由于没有一套完整的安全体系,不能从整体上有所把握。 在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下,安全规划显然未跟上网络管理方式发展的趋势。 第二章网络动态安全防范体系 用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象,它们过分强调了某个方面的重要性,而忽略了安全构件(产品)之间的关系。因此在客户化的、可操作的安全策略基础上,需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面,涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。 静态的安全产品不可能解决动态的安全问题,应该使之客户化、可定义、可管理。无论静态或动态(可管理)安全产品,简单的叠加并不是有效的防御措施,应该要求安全产品构件之间能够相互联动,以便实现安全资源的集中管理、统一审计、信息共享。 目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点,因此即使是多层面的安全防御体系,如果是静态的,也无法抵御来自外部和内部的攻击,只有将众多的攻击手法进行搜集、归类、分析、消化、综合,将其体系化,才有可能使防御系统与之相匹配、相耦合,以自动适应攻击的变化,从而
集团it信息安全管理制度 总则 第一条、为加强公司网络管理,明确岗位职责,规范操作流程,维护网络正常运行,确保计算机信息系统的安全,现根据《中华人民共和国计算机信息系统安全保护条例》、《广东省计算机信息系统安全保护管理办法》等有关规定,结合本公司实际,特制订本制度。 第二条、IT信息系统是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 第三条、公司设立信息部,专门负责本公司范围内的IT信息系统安全管理工作。 第一章网络管理 第四条、遵守国家有关法律、法规,严格执行安全保密制度,不得利用网络从事危害国家安全、泄露国家秘密等违法犯罪活动,不得制作、浏览、复制、传播反动及色情信息,不得在网络上发布反动、非法和虚假的消息,不得在网络上漫骂攻击他人,不得在网上泄露他
人隐私。严禁通过网络进行任何黑客活动和性质类似的破坏活动,严格控制和防范计算机病毒的侵入。 第五条、各终端计算机入网,须填写《入网申请表》,经批准后由信息部统一办理入网对接,未进行安全配置、未装防火墙或杀毒软件的计算机,不得入网。各计算机终端用户应定期对计算机系统、杀毒软件等进行升级和更新,并定期进行病毒清查,不要下载和使用未经测试和来历不明的软件、不要打开来历不明的电子邮件、以及不要随意使用带毒U盘等介质。 第六条、上班时间不得查阅娱乐性内容,不得玩网络游戏和进行网络聊天,不得观看、下载大量消耗网络带宽的影视、音乐等多媒体信息。 第七条、禁止未授权用户接入公司计算机网络及访问网络中的资源,禁止所有用户使用迅雷、BT、电驴等占用大量带宽的下载工具。 第八条、禁止所有员工私自下载、安装与工作无关的软件、程序,如因此而感染病毒造成故障者,按相关处罚条例严厉处罚。 第九条、任何员工不得制造或者故意输入、传播计算机病毒和其他有害数据,不得利用非法手段复制、截收、篡改计算机信息系统中
刚泰集团信息安全管理制度 品牌信息部 2015.3.5 一、总则 通过加强集团计算机系统、办公网络、服务器系统的管理。保证网络系统安全运行,保证集团机密文件的安全,保障服务器、数据库的安全运行。加强计算机办公人员的安全意识和团队合作精神,把各部门相关工作做好。 二、范围 适用于集团所有员工。 三、职责 1、品牌信息部为网络安全运行的管理部门,负责公司计算机网络系统、计算 机系统、数据库系统的日常维护和管理。 2、系统管理员执行公司保密制度,严守公司商业机密。 3、员工执行计算机信息安全管理制度,遵守公司保密制度。 四、管理办法 I、计算机使用管理制度 1、计算机由集团品牌信息部统一配置并定位,未得允许任何部门和个人不得 私自拆装、挪用、调换、外借和移动计算机。 2、计算机的开、关机应按按正常程序操作,严禁直接的人为非法关机;主机 和键盘周边不要放置水杯等盛满液体的容器,以免损毁计算机。 3、所有计算机必须设置登陆密码,一般不要使用默认的administrator作为 登陆用户名,密码必须自身保管,严禁告诉他人,密码需要定期更换以确保安全。 4、计算机软件的安装与删除应在系统管理员的许可下进行,任何部门和个人 不得安装来历不明的软件,不得擅自修改、移动或删除计算机硬盘内的数据程序、防病毒软件、计算机文件和系统设置。
5、员工应采取措施做好电脑的防尘、防盗、防潮、防触电等工作。下雨打雷 天气注意关闭电源总闸或切断电源开关。 6、员工在长时间离开计算机时,要求关闭计算机或退出Windows用户桌面。 7、为文件资料安全起见,勿将重要文件保存在系统活动分区内如:C盘、我 的文档、桌面等;请将本人的重要文件存放在硬盘其它非活动分区(如:D、 E、F);并定期清理本人相关文件目录,及时把一些过期的、无用的文件 删除,以免占用硬盘空间。 8、计算机发生故障应尽快通知系统管理员及时解决,不允许私自打开计算机 主机箱操作,以免触电造成危险或损毁计算机硬件设备。 9、计算机出现重大故障,需要采购配件或较长时间维修时,系统管理员应准 备备用机器给员工使用,重要资料及时备份;如果硬盘未损坏,送修前应卸载硬盘妥善保管以确保数据安全。 10、禁止工作时间内在计算机上做与工作无关的事,如玩游戏、听音乐等。 11、员工不得利用公司邮件系统、微信、QQ等社交工具散播不利于公司言 论或刻意泄漏公司机密。 12、员工离职时,系统管理员应及时核对计算机硬件配置信息,并对离职人 员计算机中的公司资料信息备份刻盘。 II、计算机软件管理制度 1、办公类计算机软件由集团统一配置和采购,数量较大的软件项目采购应采 取招标或议标方式,并经集团决策层批准。 2、软件购置完毕后,品牌信息部做好验收工作后,应及时做好软件相关信息 的登记录入工作。 3、购置的软件技术资料应归档保管。 4、加强对计算机软件使用权限的管理。因业务需要开通使用权限,需经过相 关的领导批准和审核,有系统管理员设置相应权限。 5、软件一经安装使用,未经系统管理员的同意,任何人不得将其卸载或者删 除。
XXXXX公司 信息安全风险评估报告 历史版本编制、审核、批准、发布实施、分发信息记录表
一. 风险项目综述 1.企业名称: XXXXX公司 2.企业概况:XXXXX公司是一家致力于计算机软件产品的开发与销售、计算机信息系统集成及技术支持欢迎下载 2
3.ISMS方针:预防为主,共筑信息安全;完善管理,赢得顾客信赖。 4.ISMS范围:计算机应用软件开发,网络安全产品设计/开发,系统集成及服务的信息安全管理。 二. 风险评估目的 为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,进行本次风险评估。 三. 风险评估日期: 2017-9-10至2017-9-15 四. 评估小组成员 XXXXXXX。 五. 评估方法综述 1、首先由信息安全管理小组牵头组建风险评估小组; 2、通过咨询公司对风险评估小组进行相关培训; 3、根据我们的信息安全方针、范围制定信息安全风险管理程序,以这个程序作为我们风险评估的依据和方 法; 4、各部门识别所有的业务流程,并根据这些业务流程进行资产识别,对识别的资产进行打分形成重要资产 清单; 5、对每个重要资产进行威胁、脆弱性识别并打分,并以此得到资产的风险等级; 6、根据风险接受准则得出不可接受风险,并根据标准ISO27001:2013的附录A制定相关的风险控制措施; 7、对于可接受的剩余风险向公司领导汇报并得到批准。 六. 风险评估概况 欢迎下载 3
欢迎下载 4 如下: 1. 2017-9-10 ~ 2017-9-10,风险评估培训; 2. 2017-9-11 ~ 2017-9-11,公司评估小组制定《信息安全风险管理程序》,制定系统化的风险评估方法; 3. 2017-9-12 ~ 2017-9-12,本公司各部门识别本部门信息资产,并对信息资产进行等级评定,其中资产分为物理资产、软件资产、数据资产、文档资产、无形资产,服务资产等共六大类; 4. 2017-9-13 ~ 2017-9-13,本公司各部门编写风险评估表,识别信息资产的脆弱性和面临的威胁,评估潜在风险,并在ISMS 工作组内审核; 5. 2017-9-14 ~ 2017-9-14,本公司各部门实施人员、部门领导或其指定的代表人员一起审核风险评估表; 6. 2017-9-15 ~ 2017-9-15,各部门修订风险评估表,识别重大风险,制定控制措施;ISMS 工作组组织审核,并最终汇总形成本报告。 . 七. 风险评估结果统计 本次风险评估情况详见各部门“风险评估表”,其中共识别出资产190个,重要资产115个,信息安全风 险115个,不可接受风险42个.
信息安全管理制度 第一条信息安全是指通过各种计算机、网络(内部信息平台)和密码技术,保护信息在传输、交换和存储过程中的机密性、完整性和真实性。具体包括以下几个方面。 1、信息处理和传输系统的安全。系统管理员应对处理信息的系统进行详细的安全检查和定期维护,避免因为系统崩溃和损坏而对系统内存储、处理和传输的信息造成破坏和损失。 2、信息内容的安全。侧重于保护信息的机密性、完整性和真实性。系统管理员应对所负责系统的安全性进行评测,采取技术措施对所发现的漏洞进行补救,防止窃取、冒充信息等。 3、信息传播安全。要加强对信息的审查,防止和控制非法、有害的信息通过本委的信息网络(内部信息平台)系统传播,避免对国家利益、公共利益以及个人利益造成损害。 第二条涉及国家秘密信息的安全工作实行领导负责制。 第三条信息的内部管理 1、各科室(下属单位)在向委网络(内部信息平台)系统提交信息前要作好查毒、杀毒工作,确保信息文件无毒上载; 2、根据情况,采取网络(内部信息平台)病毒监测、查毒、杀毒等技术措施,提高网络(内部信息平台)的整体搞病毒能力;
3、各信息应用科室(单位)对本单位所负责的信息必须作好备份; 4、各科室(单位)应对本部门的信息进行审查,网站各栏目信息的负责科室(单位)必须对发布信息制定审查制度,对信息来源的合法性,发布范围,信息栏目维护的负责人等作出明确的规定。信息发布后还要随时检查信息的完整性、合法性;如发现被删改,应及时向信息安全协调科报告; 5、涉及国家秘密的信息的存储、传输等应指定专人负责,并严格按照国家有关保密的法律、法规执行; 6、涉及国家秘密信息,未经委信息安全分管领导批准不得在网络上发布和明码传输; 7、涉密文件不可放置个人计算机中,非涉密电子邮件的收发也要实行病毒查杀。 第四条信息加密 1、涉及国家秘密的信息,其电子文档资料应当在涉密介质中加密单独存储; 2、涉及国家和部门利益的敏感信息的电子文档资料应当在涉密介质中加密单独存储; 3、涉及社会安定的敏感信息的电子文档资料应当在涉密介质中加密单独存储;; 4、涉及国家秘密、国家与部门利益和社会安定的秘密信
等保测评之-信息安全管理制度
信息安全等级保护制度第三级要求 1 第三级基本要求 1.1技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G3) 本项要求包括: a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3) 本项要求包括: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安 装等过渡区域; d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。 1.1.1.3 防盗窃和防破坏(G3) 本项要求包括: a) 应将主要设备放置在机房内; b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记; c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d) 应对介质分类标识,存储在介质库或档案室中; e) 应利用光、电等技术设置机房防盗报警系统; f) 应对机房设置监控报警系统。
1.1.1.4 防雷击(G3) 本项要求包括: a) 机房建筑应设置避雷装置; b) 应设置防雷保安器,防止感应雷; c) 机房应设置交流电源地线。 7.1.1.5 防火(G3) 本项要求包括: a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料; c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮(G3) 本项要求包括: a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 1.1.1.7 防静电(G3) 本项要求包括: a) 主要设备应采用必要的接地防静电措施; b) 机房应采用防静电地板。 1.1.1.8 温湿度控制(G3) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 1.1.1.9 电力供应(A3) 本项要求包括:
XX公司信息安全管理制度(试行) 第一章总则 第一条为保证信息系统安全可靠稳定运行,降低或阻止人为或自然因素从物理层面对公司信息系统的保密性、完整性、可用性带来的安全威胁,结合公司实际,特制定本制度。 第二条本制度适用于XX公司以及所属单位的信息系统安全管理。 第二章职责 第三条相关部门、单位职责: 一、信息中心 (一)负责组织和协调XX公司的信息系统安全管理工作; (二)负责建立XX公司信息系统网络成员单位间的网络访问规则;对公司本部信息系统网络终端的网络准入进行管理; (三)负责对XX公司统一的两个互联网出口进行管理,配置防火墙等信息安全设备;会同保密处对公司本部互联网上网行为进行管理; (四)对XX公司统一建设的信息系统制定专项运维管理办法,明确信息系统安全管理要求,界定两级单位信息安全管理责任; (五)负责XX公司网络边界、网络拓扑等全局性的信息安全管理。 二、人力资源部 (一)负责人力资源安全相关管理工作。 (二)负责将信息安全策略培训纳入年度职工培训计划,并组织实施。 三、各部门 (一)负责本部门信息安全管理工作。 (二)配合和协助业务主管部门完善相关制度建设,落实日常管理工作。 四、所属各单位 (一)负责组织和协调本单位信息安全管理工作。 (二)对本单位建设的信息系统制定专项运维管理办法,明确信息系统安全管理要求,报XX公司信息中心备案。
第三章信息安全策略的基本要求 第四条信息系统安全管理应遵循以下八个原则: 一、主要领导人负责原则; 二、规范定级原则; 三、依法行政原则; 四、以人为本原则; 五、注重效费比原则; 六、全面防范、突出重点原则; 七、系统、动态原则; 八、特殊安全管理原则。 第五条公司保密委应根据业务需求和相关法律法规,组织制定公司信息安全策略,经主管领导审批发布后,对员工及相关方进行传达和培训。 第六条制定信息安全策略时应充分考虑信息系统安全策略的“七定”要求,即定方案、定岗、定位、定员、定目标、定制度、定工作流程。 第七条信息安全策略主要包括以下内容: 一、信息网络与信息系统必须在建设过程中进行安全风险评估,并根据评估结果制定安全策略; 二、对已投入运行且已建立安全体系的系统定期进行漏洞扫描,以便及时发现系统的安全漏洞; 三、对安全体系的各种日志(如入侵检测日志等)审计结果进行研究,以便及时发现系统的安全漏洞; 四、定期分析信息系统的安全风险及漏洞、分析当前黑客非常入侵的特点,及时调整安全策略; 五、制定人力资源、物理环境、访问控制、操作、备份、系统获取及维护、业务连续性等方面的安全策略,并实施。 第八条公司保密委每年应组织对信息安全策略的适应性、充分性和有效性进行评审,必要时组织修订;当公司的组织架构、生产经营模式等发生重大变化时也应进行评审和修订。 第九条根据“谁主管、谁负责”的原则,公司建立信息安全分级责任制,各层级落实信息系统安全责任。 第四章人力资源安全管理 第十条信息系统相关岗位设置应满足以下要求: 一、安全管理岗与其它任何岗位不得兼岗、混岗、代岗。 二、系统管理岗、网络管理岗与应用管理岗不得兼岗、混岗。 三、安全管理岗、系统管理岗、网络管理岗、应用管理岗、设备管