《网络信息安全管理制度.doc》由会员分享,可在线阅读,更多相关《网络信息安全管理制度.doc(59页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精品文档,仅供学习与交流,如有侵权请联系网站删除目录一、 物理访问制度ISMS-300111. 目的12. 范围13. 职责14. 员工外出管理15. 来宾出入管理规定16. 相关记录无2二、 外部相关方信息安全管理规程ISMS-300221. 目的22. 范围23. 职责24. 管理规定2三、 与政府相关资质申报及年审规定ISMS-300331. 目的:32. 职责:33. 技术部相关管理要求:34. 相关资质申报年审管理要求3四、 信息系统容量规划及验收管理制度ISMS-300441. 目的42. 范围43. 职责44. 内容4五、 信息资产密级管理规定ISMS-300541. 目的52.
2、 范围53. 保密信息定义54. 秘密等级区分55. 信息的分类56. 保密文件的标识57. 传送68. 其它6六、 信息系统设备管理规定ISMS-300661. 目的和范围72. 引用文件73. 职责74. 设备管理流程75. 实施策略106. 相关记录10七、 机房管理规定ISMS-3007101. 目的和范围102. 引用文件113. 职责和权限114. 机房出入制度115. 机房环境管理116. 机房设备管理127. 相关记录12八、 笔记本电脑管理规定ISMS-3008131. 目的132. 引用文件133. 职责和权限134. 笔记本电脑使用规定135. 安全配置规定146. 外部
3、人员使用笔记本的规定147. 客户现场管理规定158. 实施策略159. 相关记录15九、 介质管理规定ISMS-3009151. 目的和范围152. 引用文件153. 职责和权限164. 介质管理165. 实施策略186. 相关记录18十、 变更管理规定ISMS-3010181. 目的182. 引用文件183. 职责和权限194. 变更步骤管理195. 程序19十一、 第三方服务管理规定ISMS-3011211. 目的和范围212. 引用文件213. 职责和权限214. 第三方服务管理规定215. 实施策略22十二、 数据备份管理规定ISMS-3012231. 目的和范围232. 引用文件2
4、33. 职责和权限234. 备份管理235. 备份的验证24十三、 邮件管理规定ISMS-3013251. 目的和范围252. 引用文件253. 职责和权限254. 电子邮件的帐户管理255. 电子邮件使用规定266. 邮件使用规定267. 实施策略278. 相关记录27十四、 软件管理规定ISMS-3014271. 目的和范围272. 引用文件273. 职责与权限274. 软件管理285. 审核、批准、发布286. 软件归档和存放287. 软件使用298. 修订与升级299. 软件作废2910. 实施策略2911. 相关记录30十五、 系统监控管理规定ISMS-3015301. 目的302.
5、 引用文件303. 职责304. 系统监控管理30十六、 补丁管理规定ISMS-3016311. 目的312. 引用文件313. 职责与权限314. 补丁管理规定315. 其他补丁:326. 实施策略327. 相关记录33十七、 信息系统审核规范ISMS-3017331. 目的和范围332. 术语和定义333. 引用文件334. 职责和权限345. 活动描述346. 审核注意事项:35十八、 基础设施及服务器网络管理制度ISMS-3018351. 机房安全管理程序352. 重要信息备份管理程序383. 目的394. 机房设备维护管理制度41十九、 信息系统安全应急预案ISMS-3019421.
6、 电力系统故障的应急处理422. 消防系统应急处理423. 网络信息系统故障的应急处理434. 网站与应用系统应急处理435. 黑客入侵的应急处理446. 大规模病毒(含恶意软件)攻击的应急处理44二十、 终端计算机使用管理制度ISMS-3020451. 计算机使用管理452. 存储介质的管理473. 办公软件使用管理规定48二十一、 信息安全管理规范和操作指南ISMS-3021511. 总则512. 物理安全523. 计算机的物理安全管理524. 紧急情况525. 网络系统安全管理526. 网络安全检测。537. 信息系统安全管理538. 信息系统的内部管理549. 密码管理55【精品文档】
7、第 54 页一、 物理访问制度ISMS-30011. 目的为了保障公司办公区域资讯信息安全和员工人身及财物安全,防止公司财产流失,特制定本制度。2. 范围本制度适用于公司员工外出及外来人员进入公司出入管理。3. 职责公司设立接待人员,负责来访人员登记管理。4. 员工外出管理员工因工作需要外出,需向相应上一级主管作出事由说明,经批准后方可外出。到客户现场提供服务或工作的人员,需带公司胸卡。5. 来宾出入管理规定(1)凡是来宾访客(包括外包协作厂商、客户及政府等来访人员)进入公司内时,一律须出示其有效证件,说明来访事由,经被访人同意后,方可允许相关人员进入办公区。(2)团体来宾参观时,在得到总经理
8、或副总的许可后,须由相关人员陪同方可进入。(3)员工亲友私事来访时,除特殊紧急事故,经其部门主管核准外,不得在上班时间内会客,亲友须于会客区内等候至下班时会见。(4)公司内部核心区域出入管理规定1)敏感区域公司敏感区域主要为内部机房和经理室.公司安装监控器;实施办公区域24小时监控.2)如需进入上述敏感区域,需经管理者代表/总经理同意,否则不得进入。l相关文件物理访问控制程序6. 相关记录无二、 外部相关方信息安全管理规程ISMS-30021. 目的为确保被外部相关方访问、处理、共享、管理的组织信息及信息处理设施的安全,特制定本管理规定。2. 范围本管理规定适用于公司外部相关方(包括顾客.供方
9、.第三方)管理。3. 职责技术部系统管理员负责制定本规定并负责执行。4. 管理规定(1)第三方物理访问须经公司被访问部门的授权,具体执行访客管理制度.(2)公司与顾客需明确规定信息安全要求,公司规定在与客户签订合同中需规定必要的安全要求。(3)服务器访问权需由技术部统一授权给用户,一个用户给予惟一账号,口令自行保管.(4)本公司公网接入服务提供方等为外包过程,此类外包服务商应由技术部组织签订服务协议/合同,并应收集其相关资质,经公司评估成为合格供方后方可与之进行经济来往.(5)采购供方或任何其它相关方人员现场访问公司现场时,需由技术部接待,需要涉及到公司重要应用软件、重要设施及重要数据的访问时
10、,必须由技术部人员授权方可使用或查阅,涉及到资料复制名外借时,公司重要数据和文件需征得总经理同意.(6)服务合同1年注意更新。三、 与政府相关资质申报及年审规定ISMS-30031. 目的:为公司对外与政府相关部门的相关业务联系提供指导;2. 职责:技术部负责各项政府项目的申报。财务部负责报税和营业执照年审。3. 技术部相关管理要求:(1)申报相关流程;由技术部按各政府部门项目申报的要求下载相关表格,并按要求组织填报.(2)申报涉及到相关经营数据的审核相关经营数据在上报给政府部门前,先由核对数据,再交由综合部,审核通过后由总经理盖公司公章。(3)技术部申报材料的备份管理所有上报给政府部门的文件
11、数据都备份一份,由技术部资质人员整理归档保存在办公室档案室中,并记录档案文件编号。(4)材料保密要求所有档案文件材料由技术部专员负责看管,其他人员如要查阅,需先向技术申请,获得总经理批准认可后,到存放档案的办公室中查阅相关文件,档案文件不允许带出办公室。4. 相关资质申报年审管理要求(1)报税管理要求用政府财税处相关报税软件,在线填写企业经营数据,完成后由软件系统上报。(2)营业执照管理要求接到政府相关部门通知后,持企业营业执照到指定政府办事处办理营业执照年审手续。四、 信息系统容量规划及验收管理制度ISMS-30041. 目的针对已确定的服务级别目标和业务需求来设计、维持相应的技术部服务能力
12、,从而确保实际的技术部服务能够满足服务要求。2. 范围适用于公司所有硬件、软件、外围设备、人力资源容量管理。3. 职责技术部负责确定、评估容量需求。4. 内容(1)容量管理包括:服务器,重要网络设备:LAN、WAN、防火墙、路由器等;所有外围设备:存储设备、打印机等;所有软件:操作系统、网络、内部开发的软件包和购买的软件包;人力资源:要维持有足够技能的人员。(2)对于每一个新的和正在进行的活动来说,公司管理层应识别容量要求。(3)公司管理层每年应在管理评审时评审系统容量的可用性和效率。公司管理层应特别关注与订货交货周期或高成本相关的所有资源,并监视关键系统资源的利用,识别和避免潜在的瓶颈及对关
13、键员工的依赖。(4)技术部应根据业务规划、预测、趋势或业务需求,定期预测施加于综合部系统上的未来的业务负荷以及组织信息处理能力,以适当的成本和风险按时获得所需的容量,五、 信息资产密级管理规定ISMS-30051. 目的确保公司营运利益,并防止与公司营运相关的保密信息泄漏。2. 范围本办法适用于公司所有员工。3. 保密信息定义保密信息指与公司营运相关且列入机密等级管理的相关信息。4. 秘密等级区分机密等级分为秘密、内控、公开三类,区分标准如下:(1)秘密:凡该信息泄漏后,足以严重损害本公司益或有于竞争对手的。(2)内控:凡该信息泄漏后,虽致直接影响本公司益,但可能使本公司经营管理因而造成困扰,
14、需限制其阅读对象的。(3)内控:凡该信息泄漏后,虽致直接影响本公司益,但可能使本公司经营管理因而造成困扰,需限制其阅读对象的。(4)公开:指可对社会公开的信息,公用的信息处理设备和系统资源.5. 信息的分类(1)信息资产的分类可参见附件信息分类表。如未列入分类表的信息资产,可依照下面的原则进行判断:(2)秘密,由信息保管单位主管判定,且至少须为部门以上主管。(3)内控,由保密信息保管单位自行判定。6. 保密文件的标识(1)文件类的信息在判定等级后,加盖印章于文件及附件各页右上角或其它明显处。如页数太多,得酌情抽页盖骑缝章。但绝密级信息应予编码管控。(2)非文件类的保密信息,包括档案、电子邮件、
15、投影片等,于判定等级后,应于资料传送显示前告知使用人或相关人员该项信息的密级。(3)印章由技术部统一刻制,发放给各个部门使用。7. 传送(1)内部传送(2)秘密、内控:保密信息保管单位应将印刷形式保密信息密封后注明机密等级,再装入传递袋中发送收件人;软件形式定稿和完整信息以电子邮件方式传递时应加密;内控信息可加密。(3)外部传送:印刷形式保密信息于外部传送时应以挂号函件或其它适当方式寄送收件人。任何软件形式的机密等级信息于公司外系统、或于公司外使用环境情况下,非经加密均得以电子邮件方式传递,以避免遭拦截转送。(4)其它未判定为任一机密等级但仍具有敏感性或半成品性质的信息于传送前可应视情况加密。
16、8. 其它(1)保密信息得用于公司以外的公开活动(如演讲、授课、一般资料调查、出版发行等),如须于前述活动使用,应准用第五条的规定,并经管理者代表核准。(2)保密信息应由管代/相关负责人妥善保管,并善尽管理保护职责。(3)离职员工应缴出其所持归公司所有的一切资料及其任何形式复印件、副本,并确定确实归还全部所持公司文件。(4)新进人员于入职当天即应签署员工保密合约,在新进人员签署上述文件时,综合部应对合约书上有关企业保密信息等有关条文详加说明与解释,务必使新进人员充分了解并遵守企业保密信息有关事项。(5)保管人员判定保密信息无继续保存的必要时,可经各判定主管的上一级主管核准后销毁。绝密信息、机密
17、信息无保存必要时,应将正本连同复印的保密信息,由原保管单位统一收回销毁。(6)本办法经总经理核准后公告实施,修订时亦同。六、 信息系统设备管理规定ISMS-30061. 目的和范围本程序是对信息资产分类中物理资产下的硬件设备的规划、购置、安装、验收、使用、维护、处置等各阶段进行有效控制,在保证设备安全的前提下最大限度发挥设备的效能,同时减少由于设备入网造成安全安全风险。2. 引用文件(1)下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文
18、件,其最新版本适用于本标准。(2)ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求(3)ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细则(4)介质管理规定(5)笔记本电脑管理规定(6)机房管理规定3. 职责1)技术部:负责信息设备的规划、安装、验收、使用、维护、处置。信息设备指公司综合部建设方面所需的硬件设备。负责重大设备或新类设备的安全评估、风险分析和安全验收。4. 设备管理流程(1)设备入网1)需按设备本身提供的“设备安全操作说明书”进行正确操作和使用,设备在日常使用过程中应注意安全;2)系统工程师应查找有关的风险评估报告,确定准备入网的
19、设备是否已做过风险评估。3)如果没有类似的设备做过风险分析和处置计划,则应按风险评估的要求,通知信息安全管理小组进行。4)如果做过风险分析和处置计划,则应按照相关的处置计划和实施要求,制定设备入网计划。5)系统工程师对计划入网的设备在独立的测试环境中进行测试,测试通过后提交综合部审批。6)技术部批准入网申请后,由系统工程师组织设备入网。7)设备入网应按照处置计划和入网计划对设备进行安全加固。8)对入网系统进行一段时间的监控,以观察入网是否生效。如果发现问题,要及时进行处理,必要时要寻求供应商的协助。监控一段时间后,设备担当组织人员进行验收,并通知信息安全管理小组对系统进行安全检测。(2)设备安
20、置与保护(3)信息设备安装管理1)技术部对信息设备安全的安置与保护工作,包括对温度、湿度的监测和日常的巡检等,详见机房管理规定。2)信息安全设备的安置应按照设备制造商的说明,安置工作由专业人员进行。3)信息安全设备安置要选择能够避免或减少未授权访问的物理场所,应采取措施以减小潜在的物理威胁的风险。4)重要系统使用的信息设备安置在专用的机房内。5)安置在室外的信息设备要注意防盗、防雨、防雷、防尘、防腐蚀等工作。6)确保消防设备充足并随时可用,定期进行消防演练。(4)支持性设施安置管理1)技术部负责信息安全设备支持性设施的管理工作,包括提供、维护、维修等。2)对支持关键业务操作的信息设备,使用不间
21、断电源(UPS)。UPS设备要定期地检查,详见机房管理规定。3)应急电源开关应位于设备房间应急出口附近,以便紧急情况时快速切断电源。万一主电源出现故障时要提供应急照明。4)技术部要确保通风和空调系统等运行良好,对其运行情况可进行定期检查。(5)线缆安全1)公司网络系统进入信息设备的电源和电信线路布在地板上,要建有冗余线路或留有可替换线路,以保障线路的可用性。2)电缆要避开公众区域,铺设电缆要有线槽保护,以避免未授权窃听或损坏的危害。为了防止干扰,电源电缆要与通信电缆分开布线。3)要采取切实有效的措施防范鼠患,防止电缆被鼠噬。4)电缆要使用牢固、清晰、可识别的标记,使用文件化配线列表减少布线失误
22、的可能性,以使失误最小化,详见机房管理规定。(6)设备移动1)在公司物理环境以外严禁放置服务器、交换机、电脑等信息设备。2)公司原则上禁止机房设备移出公司物理环境。如确因工作需要,如展会、维修等,需将公司的服务器、交换机、路由器等信息设备移到办公地点外使用,需经研发主管批准后才能移出公司的物理环境。3)如需要供应商将设备移出公司物理环境进行维修时,在设备移出前,设备管理人员要将设备中敏感信息从设备中删除或确保维护人员对其不可访问或获取。4)离开建筑物的信息设备和移动介质在公共场所要有专人看护和保管,不允许无人值守,适当时,还要施加其它措施进行控制,例如上锁,以防止损坏、盗窃等事件发生。5)笔记
23、本在公司办公场所以外使用,依笔记本电脑管理规定。(7)维护、保养1)机器设备日常维护由设备使用者在日常使用时进行,维护项目限于查看设备外观有无明显损坏、是否正常工作、是否通电正常等内容。2)定期维护由技术部专业工程师或供应商进行,定期维护根据不同设备决定不同的维护周期,从一周一次到半年一次不等,定期维护项目包括软硬件更换、性能检查、性能调优等。3)定期维护和年底维护后,要将维护项目、维护过程、维护人员、维护结果等内容详细记录在设备维护记录中。(8)设备处置1)设备的处置由设备使用部门提出,经经总经理批准后,对设备进行处理;2)信息设备在处置过程中须考虑信息安全。3)设备报废前设备管理责任人要负
24、责删除所有信息,对包含敏感信息的设备要对其信息载体在物理上应予以销毁,或者采用使原始信息不可获取的技术将其安全地重写,如消磁。4)信息设备的报废工作由综合部负责,需要填写废弃介质处置记录,经总经理批准后,才能进行报废。5)对于因闲置、人员离辞或设备换代等原因不再使用的信息设备,特别是个人电脑,在设备归仓前,要采用信息不可获取的技术将其敏感信息、工作信息和个人信息删除。以确保在设备重用时,重用者不会获得与其工作无关的内容。6)对试用设备和测试设备(无论是自有的还是供应商的)中的信息在试用和测试后,由试用或测试人员立即清除,防止重要信息泄露。7)废弃介质处理方法参见介质管理规定5. 实施策略(1)
25、设备管理规定涉及到包括设备维护记录共1个表单。(2)对设备的定期维护等内容详细填写设备维护记录。6. 相关记录本程序发生的记录汇总表表6-1 ISMS文件日常应用表格表号记录编号记录名称保管场所保存期限保存形式备注表A.1ISMS-3009-01设备维护记录表技术部1年电子七、 机房管理规定ISMS-30071. 目的和范围为科学、有效地管理机房,促进各信息系统在机房安全的、稳定的、高效的运行,特制定本规定。2. 引用文件(1)下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用
26、这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。(2)ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求(3)ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细(4)设备管理规定(5)访问控制程序3. 职责和权限技术部:负责责机房的日常检查、维护和管理工作,及当发生紧急事件时,按应急预案进行相应的处置。4. 机房出入制度(1)机房的进出由技术部严格管理。机房的钥匙保存技术部。如需进入机房,必须得到技术部的授权,在技术部领取钥匙后方可进入。(2)未经许可不准携带任何磁带(盘)、磁介质和资料进入机房。经特许携带的,必须由专人陪同方可
27、进入。(3)未经许可不允许使用摄影、录像、笔记、或其它音像记录设备等。5. 机房环境管理(1)技术部对机房环境每半月进行一次检查,对发现的问题要及时解决。填写机房巡检记录表。(2)机房内要保持设备无尘、布线整齐、物品就位、资料齐全。(3)机房内严禁堆放与工作无关的其它物品及纸质物品。做好消防灭火设备检查工作(4)机房内禁止饮食、吸烟、打闹、大声喧哗,机房内不得会客、闲谈。(5)机房内备有温度计和湿度计,温度保持在18-25,湿度保持在40%-60%。温度计和湿度计应每年作一次检测。(6)机房接地系统要符合相应的技术标准,各个设备交流工作电源应有工作接地,机柜应有效接地。(7)机房配电柜要有防雷
28、设施,进出机房的电缆应有防雷措施。(8)机房用电要使用独立的电线,专用变压器、电源稳压器等。(9)机房的环境应达到机房建设的设计要求。6. 机房设备管理(1)机房要有完整的网络拓扑图、物理拓扑图。(2)机房内的所有设备应贴有设备标签,并注明设备的主要参数。(3)主机系统和网络设备的各类接线的两端应设置标签,网络接口侧应注明连接的设备。(4)对主要网络设备如核心路由器、交换机、防火墙、IDS等设备的配置文件每6个月进行进行一次评审。(5)对机房的主机设备及智能网络交换装置应严格管理,做好事故预想,制定周密的故障应急措施。(6)严禁擅自在运行的小型机、交换机、路由器等设备上进行开发、维护、调试或学
29、习培训等工作。(7)实施策略1)机房管理规定涉及的机房巡检记录表共1个表单。7. 相关记录本程序发生的记录汇总表表7-1 ISMS文件日常应用表格表号记录编号记录名称保管场所保存期限保存形式备注表A.1ISMS-3021-01机房巡检记录表信息安全小组1年纸质八、 笔记本电脑管理规定ISMS-30081. 目的建立笔记本电脑设备的使用规定及其与互联网的连接制度,这些规定是保持信息资源保密性、完整性和可用性所必需的。为加强业务笔记本电脑设备的合理利用与笔记本电脑设备信息安全管理,特制定该管理规定。适用所有业务部门员工和需在业务部门办公室工作的人员。2. 引用文件(1).下列文件中的条款通过本规定
30、的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。(2).ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求(3).ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细则(4).防范病毒及恶意软件管理规定3. 职责和权限(1)总经理:负责笔记本电脑申请的审批(2)技术部:负责笔记本电脑的发放管理(3)使用人员:负责便携计算机的日常使用保养和维护。4. 笔记本电脑使用规定(1)公司所有笔记本电脑
31、由使用人员自行保管负责,若是公司统一配置的在辞职时应到综合部办理电脑交接手续,并在离职交接清单中作好备注。(2)技术部授权使用的笔记本电脑未经部门经理同意严格禁止带出公司。(3)未经许可,员工不得携带个人笔记本电脑设备进入公司办公场所。(4)笔记本电脑设备必须有严格的口令访问控制措施,口令设置需满足公司安全策略要求。(5)对无人看守的笔记本电脑设备必须实施物理保护,必须放在带锁的办公室、抽屉或文件柜里;(6)笔记本电脑设备丢失或被窃后应及时报告给部门经理和技术部。(7)除自然损坏外,凡人为损坏(如撞坏、跌坏、电源插错烧坏等)由本人负责修好,费用由个人承担。(8)便携机中除工作所需的软件外,不导
32、入其他与工作无关的软件。特别要保证便携机不带病毒。5. 安全配置规定(1)授权使用的笔记本电脑设备必须安装公司安全策略规定的防病毒软件;(2)笔记本电脑设备每月进行一次病毒软件和操作系统补丁检查和评审,由电脑使用人员自行负责.(3)笔记本电脑设备若支持内置的硬盘加密措施,应启用该措施,以免电脑或硬盘丢失后造成数据泄密。(4)公司采用相关产品和方法对笔记本数据进行加密处理和使用,防止信息泄密。(5)公司采用相关产品和方法对笔记本进行监控(6)公司内部未经授权禁止开启无线网卡功能。禁止使用公司外部的未设安全机制的无线网络,系统管理员要每月扫描一次公司能接受到的外部不安全网络。(7)公司的无线网络仅
33、供授权的技术支持人员使用,其他未经技术部授权禁止便携机连入使用。6. 外部人员使用笔记本的规定(1)外部人员使用的笔记本电脑只能连接到公共上网区,通过独立于公司内部的专用网络上网。出于安全考虑,一般不予考虑客人接入公司内部网络。(2)外部人员接待负责人需提前通知技术部该外部人员笔记本电脑使用的地点,便于技术部配置相关网络。(3)若外部人员需要在业务办公地点长期工作(指超过2周时间),需经技术部经理批准。7. 客户现场管理规定(1)在客户现场进行开发及维护等工作时,在遵守本公司管理规定时,同时要遵守客户的管理方面相关规定。(2)如在客户现场工作时需要使用笔记本,相关部门人员应尽量使用本部门公共笔
34、记本,并进行登记。(3)在客户现场使用笔记本工作时,必须注意信息的保密,防止笔记本内信息泄露。(4)笔记本内新产生的数据应及时在客户备份系统或公司备份系统上进行备份,防止数据丢失。8. 实施策略自行保管负责;无线网络加密上网;9. 相关记录无九、 介质管理规定ISMS-30091. 目的和范围任何信息设备,如:计算机、交换机、打印机、传真机、复印机等,都需要介质进行存储,当存储设备或可移动介质需要转移或销毁时,如果处理不当,很容易造成信息泄漏。因此,必须按规定执行处置。适用于移动存储设备/介质在本公司办公场所及房机内的使用管理。2. 引用文件(1)下列文件中的条款通过本规定的引用而成为本规定的
35、条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。(2)ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求(3)ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细则3. 职责和权限(1)综合部负责对公司各类的可移动介质和存储介质的发放、使用、处置的进行管理。(2)介质使用部门和使用者(3)由部门负责管理的介质,由该部门领导指定专人负责保管。个人使用的介质由本人负责保管。4. 介质管理(1)介质分类1)技术部对公
36、司使用的介质,进行介质分类,制定介质管理分类表。2)介质分为一般介质和可移动介质,一般介质包括:计算机存储介质,可移动介质是指U盘、移动硬盘、数码相机、光盘、光盘刻录机、PDA、带USB接口的MP3/MP4播放器等。(2)介质使用管理1)一般情况下公司禁止使用可移动介质。2)确因工作需要使用移动介质,须经本部门领导批准后方可到技术部领用。3)技术部负责可移动介质的发放,并填写可移动介质授权使用表。4)授权用户要注意保护自己所属可移动介质不被盗取。5)授权用户要注意保护自己所属可移动介质不被盗取。保管时要放置于安全的区域内,如带锁的柜子;6)非本公司工作人员禁止在内部网络设备上使用可移动介质。7
37、)各使用人必须每月一次对自己使用的移动介质进行病毒扫描。8)使用可移动介质保存公司秘密数据时,移动介质必须采用必要的加密措施,防止信息泄露,有条件时使用带有加密功能的可移动介质设备。9)用户在将可移动介质带离公司后,要为其上所有信息资源的安全负责,做好安全保护工作。一旦遗失,立刻上报技术部进行登记。10)光盘的刻录:a)带有公司标志的光盘,只能刻录公司自己的程序软件,不得刻录例如操作系统、数据库等软件。b)公司销售时,必须刻录光盘时,由技术部专门负责人进行刻录,其他人员不得随意刻录光盘。(3)客户现场使用规定1)必须严格将笔记本病毒防火墙升级到最新。2)能使用客户提供的U盘、移动硬盘的,使用客
38、户提供的设备。3)必须使用自己的U盘、移动硬盘在客户计算机上使用的,必须先对U盘、移动硬盘进行病毒扫描,保证提供给客户的设备中不包含病毒。(4)介质处置1)技术部对介质分类表内的介质的废弃进行统一管理,对废弃的介质采用恰当的介质处置方法。2)计算机硬盘、U盘、可移动硬盘、光盘、数码存储介质等报废时必须粉碎处理。3)对废弃的可移动介质在可移动介质授权使用表中跟踪填写废弃记录。4)对废弃的一般介质处理填写废弃介质处置记录5)介质的销毁方式一般分为一般格式化、低级格式化、专业软件重写、物理粉碎。6)对无敏感信息的介质作一般格式化即可,在保证质量的基础上重新分配和使用。7)介质中保存有敏感信息的存储介
39、质应当得到安全的存放和处置。对于含有敏感信息的介质应采用低级格式化或专业软件重写,反复次数为三次,才能重新分配和使用。8)保存有敏感信息的存储介质废弃时,要进行粉碎处理。5. 实施策略(1)介质管理规定涉及的介质管理表中包括介质管理分类表、可移动介质授权使用表、废弃介质处置记录。(2)技术部制定介质管理分类表。(3)技术部负责可移动介质的发放,并填写可移动介质授权使用表。(4)对废弃的可移动介质在可移动介质授权使用表中跟踪填写废弃记录。(5)对废弃的一般介质处理填写废弃介质处置记录6. 相关记录本程序发生的记录汇总表表9-1 ISMS文件日常应用表格表号记录编号记录名称保管场所保存期限保存形式
40、备注表A.1ISMS-3012-01介质管理分类表技术部3年电子表A.2ISMS-3012-02可移动介质授权使用表技术部3年纸质表A.3ISMS-3012-03废弃介质处置记录技术部3年电子十、 变更管理规定ISMS-30101. 目的对信息处理设施和系统的变更缺乏控制是系统故障或安全失误的常见原因,为规范本公司信息系统的变更,降低因信息系统变更带来的风险,特制定本程序。2. 引用文件(1)下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引
41、用文件,其最新版本适用于本标准。(2)ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求(3)ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细则3. 职责和权限(1)技术部:技术部是公司信息系统变更的归口管理部门,负责批准变更的计划、实施、恢复,总体评价变更影响,决策管理;并实施变更。(2)其他各部门:负责分管的各自工作系统的计划申请和总体评价变更影响。4. 变更步骤管理变更申请-变更审批-变更处理.5. 程序(1)变更分类1)技术部设备变更:包括系统中服务器、网络设备、传输线路及计算机终端的新增、减少及其设备本身的变化(包括设备的报废);2)操
42、作系统软件变更:包括新安装、补丁、版本升级及更换(如打ZLJY2补丁);3)开发软件包的变更。(2)技术部设备变更控制软件设备(包括传输线路)的变更需求由技术部门根据组织业务发展的需要提出,填写变更申请审批处理表,经技术部门经理批准后予以实施。(3)操作系统软件变更当软件厂商发布操作系统或应用软件的更新补丁或版本时,技术部人员负责分析更新内容对公司现有业务及工作的影响,技术部人员可以先选一台测试机安装最新补丁,在未发现对工作业务产生重要负面影响的前提下,为使用该操作系统或应用软件的用户安装补丁。(4)软件的变更控制当客户重新对项目的某一或某些模块进行重要要求时,项目组负责跟踪客户的新要求,进行
43、业务及可以行性分析,组织有关人员进行方案评审,考虑系统改造对现有业务的影响,并制定有效的风险控制措施,方案在评审通过后,修改需求开发说明书,针对发生变更的模块,修改相应的详细设计书,数据库说明书,源程序。并对整个项目重新进行测试。在软件正式变更前,项目组应考虑以下方面的安全要求:1)变更对目前业务的影响;2)变更对现有软件的影响;3)变更实施前应进行安全测试;4)不成功的变更恢复措施。在变更实施前,由技术部门填写变更申请审批处理表,明确变更的原因、变更范围、变更影响的分析及对策(包括不成功变更的恢复措施),经技术部人员批准后予以实施。(5)变更实施的安全要求在变更实施之前,必要时,将重要的数据
44、、系统软件进行备份,以便变更不成功之后的恢复。在变更实施之前,必要时,应和相关部门协商,以便确定适当的变更时间,尽可能的将对业务的影响减至最低。(6)变更验收与记录当变更成功提交后,需由用户进行验收,确认其是否已完成用户所提的要求,达到预期的效果,并记录此次变更操作。(7)设备报废设备报废应得到综合部批准后实施。报废设备中存有敏感信息,必须予以清除.(8)变更后软件备份要求当变更完成后,需将此次所运行的软件进行备份,包括其相关资料,以便再一次变更以及资料查询;如果此次变更涉及到一些资料文件,则这些资料文件也必须做相应的变更并存档。(9)变更不成功的恢复措施取消所做变更,从备份资料中获得原始软件资料,重新运行,恢复原始状态。根据变更操作记录,查找变更失败原因,以便再次做变更操作时避免同样的错误发生。十一、 第三方服务管理规定ISMS-30111. 目的和范围对第三方提供的服务进行规范,减少由于服务不规范带来的信息安全方面的风险。2. 引用文件(1)下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的