《信息安全系统管理系统要求规范.docx》由会员分享,可在线阅读,更多相关《信息安全系统管理系统要求规范.docx(26页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息安全系统管理系统要求规范当前位置:文档视界信息安全系统管理系统要求规范信息安全系统管理系统要求规范版本信息当前版本:最新更新日期:最新更新作者:作者:创立日期:审批人:审批日期:修订历史版本号更新日期修订作者主要修订摘要TableofContents目录1.公司信息安全要求(5)1.1信息安全方针(5)1.2信息安全工作准则(5)1.3职责(6)1.4信息资产的分类规定(6)1.5信息资产的分级保密级别规定(7)1.6现行保密级别与原有保密级别对照表(7)1.7信息标识与处置中的角色与职责(8)1.8信息资产标注管理规定(9)1.9允许的信息交换方式(9)1.10信息资产处理和保护要求对应
2、表(9)1.11口令使用策略(11)1.12桌面、屏幕清空策略(11)1.13远程工作安全策略(12)1.14移动办公策略(12)1.15介质的申请、使用、挂失、报废要求(13)1.16信息安全事件管理流程(14)1.17电子邮件安全使用规范(16)1.18设备报废信息安全要求(17)1.19用户注册与权限管理策略(17)1.20用户口令管理(18)1.21终端网络接入准则(18)1.22终端使用安全准则(18)1.23出口防火墙的日常管理规定(19)1.24局域网的日常管理规定(19)1.25集线器、交换机、无线AP的日常管理规定(19)1.26网络专线的日常管理规定(20)1.27信息安全
3、惩戒(20)2.信息安全知识(21)2.1什么是信息?(21)2.2什么是信息安全?(21)2.3信息安全的三要素(21)2.4什么是信息安全管理体系?(22)2.5建立信息安全管理体系的目的(22)2.6信息安全管理的PDCA形式(23)2.7安全管理风险评估经过(23)2.8信息安全管理体系标准ISO27001标准家族(24)2.9信息安全控制目的与控制措施(25)1.公司信息安全要求1.1信息安全方针?拥有信息资产,积累、分享并保护信息资产是我们共同的责任。?管理与技术并重,确保公司信息资产的安全,保障公司持续正常运营。?履行对客户知识产权的保护承诺,保障客户信息资产的安全,知足并超越客
4、户信息安全需求。1.2信息安全工作准则?保护信息的机密性、完好性和可用性,即确保信息仅供应那些获得受权的人员使用、保护信息及信息处理方法的准确性和完好性、确保获得受权的人员能及时可靠地使用信息及信息系统;?公司通过建立有效的信息安全管理体系和必要的技术手段,保障信息资产的安全,降低信息安全风险;?各级信息安全责任者负责所辖区域的信息安全,通过建立相关制度及有效的保护措施,确保公司的信息安全方针得到可靠施行;?全体员工应只访问或使用获得受权的信息系统及其它信息资产,应按要求选择和保护口令;?未经受权,任何人不得对公司信息资产进行复制、利用或用于其它目的;?应及时检测病毒,防止恶意软件的攻击;?公
5、司拥有为保护信息安全而使用监控手段的权利,任何违背信息安全政策的员工都将遭到相应处理;?通过建立有效和高效的信息安全管理体系,定期评估信息安全风险,持续改良信息安全管理体系。1.3职责全体员工应保护公司信息资产的安全。每个员工必须认识到信息资产的价值,负责保护好本人生成、管理或可触及的涉及的数据和信息。员工必须遵守(信息标识与处理程序),了解信息的保密级别。对于不能确定能否为涉密信息的内容,必须征得相关管理部门确实认才可对外披露。员工必须遵守信息安全相关的各项制度和规定,保证的系统、网络、数据仅用于的各项工作相关的用处,不得滥用。1.4信息资产的分类规定公司的信息资产分为电子数据、软件、硬件、
6、实体信息、服务五大类。类别讲明电子数据存在信息媒介上的各种数据资料,包括源代码、数据库数据等各种电子化的数据资料、项目文档、管理文档、运行管理规程、计划、报告、用户手册、作业指导书等各种电子化的数据资料。软件包括系统软件、应用软件、分享软件系统软件:操作系统、语言包、工具软件、各种库等;应用软件:外部购买的应用软件,办公软件等;分享软件:各种分享源代码、分享可执行程序等。硬件网络设备:路由器、网关、交换机等计算机设备:大型机、服务器、工作站、台式计算机、移动计算机等存储设备:磁带机、磁盘阵列、工控机等移动存储设备:磁带、光盘、软盘、U盘、移动硬盘等传输线路:光纤、双绞线等基础保障设备:UPS、
7、变电设备等、空调、保险柜、文件柜、门禁、消防设施等,如对基础设施使用属于租用形式,请将其识别到服务类别中。安全保障设备:硬件防火墙、入侵检测系统、身份验证等其他电子设备:打印机、复印机、扫描仪、传真机等实体信息纸制的各种文件、合同、传真、会议纪要、财务报表、证书、电报、发展计划以及各类其他材质的证书奖牌等。服务通过各种协议方式固化下来的服务活动、如物业、第三方、供给商、提供检修服务的提供方等。1.5信息资产的分级保密级别规定信息资产分为:一般、内部公开、企业机密、企业机密4个保密级别。保密级别名称讲明1一般一般性信息,能够公开的信息、信息处理设备和系统资源。2内部公开非敏感但仅限公司内部使用的
8、信息、信息处理设备和系统资源。3企业秘密敏感的信息、信息处理设备和系统资源,只给必须知道者。4企业机密敏感的信息、信息处理设备和系统资源,仅适用极少数必须知道的人。1.6现行保密级别与原有保密级别对照表保密级别与公司原有的保密级别的对照表如下:现行的保密级别与之相当的原有保密级别一般一般内部公开机密企业机密机密企业机密绝密1.7信息标识与处置中的角色与职责角色职责责任人:信息资产的创立者,或者主要用户所在组织、单位或部门的负责人。信息资产责任人对所属信息资产负直接责任。?理解和各种信息访问活动相关的安全风险;?根据公司信息密级划分标准来确定所属信息资产的级别;?根据公司相关策略确定并检查信息访
9、问权限;?针对所属信息资产提出恰当的保护措施。保管者:受信息资产责任人委托,对信息资产进行日常的管理,维护已经建立的保护措施。资产保管者通常是公司或部门的IT管理者或者代表例如系统管理员。?根据公司相关策略和信息资产责任人的要求,负责信息资产的维护操作和日常管理事务;?负责详细设置信息访问权限;?负责所管理的信息资产的安全控制;?部署恰当的安全机制,进行备份和恢复操作;?根据信息资产责任人的要务实施其他控制。用户:信息资产的使用者,除了公司内部员工,可以能是由于业务需要而访问公司信息的客户或第三方组织。?向信息责任人申请信息访问;?根据公司信息安全策略要求正当访问信息,禁止非受权访问;?向相关
10、组织报告隐患、故障或者违规事件。1.8信息资产标注管理规定1公司所属的各类信息资产,无论其存在形式是电子、纸质还是磁盘等,都应在显著位置标注其保密级别。2一般电子或纸质文档应在该文档页眉的右上角或页脚上标注其保密级别或在文件封面打上保密章,磁盘等介质应在其外表非数据区予以标注其保密级别。3假如某存储介质中包含各个级别的信息,作为整体考虑,该存储介质的保密级别标注应以最高为准。4假如没有明显的保密级别标注,该信息资产以“一般级别看待。5对于对外公开的信息,需要得到相关责任人的核准,并由对外信息发布部门统一处理。6如需在信息资产上表述保密声明,可采用下面两种表述方式:表述方式一:“保密声明:公司资
11、产,注意保密。表述方式二:“保密声明:本文档受国家相关法律和公司制度保护,不得擅自复制或扩散。1.9允许的信息交换方式公司允许的信息交换方式有:邮件、视频、电话、网站内容发布、文件分享、传真、光盘、磁盘、磁带和纸张。1.10信息资产处理和保护要求对应表企业机密企业机密内部公开一般受权需得到责任人和公司管理层批准需得到相关责任人及部门领导批准需得到责任人批准无十分要求访只能被得到受权只能被公司内部能够被公任何公问的公司极少数核心人员访问或外部得到明确授权的人员访问,访问者应该签署保密协议司内部或外部由于业务需要的人员访问司员工或外部人员都能够访问存储电子类的应该加密存储在安全的计算机系统内;硬拷
12、贝应该锁在安全的保险柜内;禁止以其他形式存储或显示电子类的应该妥善保存在设有安全控制的计算机系统内建议进行信息加密;硬拷贝应该妥善保管,严禁摆放在桌面;使用白板展示后应立即擦除电子类的应该妥善保管,能够进行加密;纸质不应放在桌面以恰当方式保存,避免被非受权人员看到;存储有信息的介质避免丢失复制得到相关责任人及公司管理层批准;需要登记须经相关责任人批准,并让专人操作或监督施行,需要登记经相关责任人批准内部复制无限制打印禁止打印或在受权情况下专人负责打印,不得打印到无人值守机须经相关责任人许可,打印件标注密级并妥善管理,不得打印到无人值守机经相关责任人许可,打印件标注密级并妥善管理无限制,打印件标
13、注密级邮件禁止邮件直接发送,经受权后做电子签名和加密控制,经安全的途径发送,保留记录须经相关责任人许可,邮件发送应做加密控制,保留记录经相关责任人许可无限制传真禁止传真须经相关责任人许可后专人负责传真经相关责任人许可无限制快递经受权后采取妥善的保护措施,由专人快递经受权后,由签署了特定安全协议的专门的快递公司快递经受权后,由签署了特定安全协议的专门的快递公司快递无限制内部分发经相关责任人和公司管理层批准后,密封分发,或以允许的电子分发形式进行安全的分发经相关责任人批准后,密封分发,或以允许的电子分发形式进行安全的分发经受权后,以内部邮件形式发放,或直接进行硬拷贝分发无限制对外分经相关责任人和经
14、相关责任人批经受权经受权发公司管理层批准后分发,需要签署特定的保密协议,需要进行登记准后分发,需签署保密协议,需要进行登记后,以邮件或者快递方式分发,建议签署保密协议后,以允许的分发方式分发处理碎纸机;彻底销毁介质;电子记录定期消除;进行检查确认碎纸机;彻底销毁介质;电子记录定期消除;进行检查确认保存件标明作废;电子记录定期消除;介质销毁电子记录定期消除,介质销毁记录跟踪直接责任人应有收件人、复制者、保存者、阅读者、销毁者的日志记录跟踪文件复制、保存、阅读、销毁经过,应有记录无要求不建议跟踪1.11口令使用策略全体员工在挑选和使用口令时,应:1保证口令的机密。2除非能安全保存,避免将口令记录在纸上。3只要有迹象表明系统或口令可能遭到毁坏,应立即更改口令。4选用高质量的口令,最少要有6个字符,另外:A口令应由字母加数字组成;B口令不应采用如姓名、电话号码、生日等容易猜出或破解的信息。5每三个月更改或根据访问次数更改口令十分是特权用户,避免再次使用或循环使用旧口令。6初次登录时,应立即更改临时口令。7不得分享个人用户口令。1.12桌面、屏幕清空策略为了降低在正常工作时间以外对信息进行未经受权访问所带来的风险、损失和损害,员工应: