收藏
下载资源

信息安全策略教材

上传人:F****n 文档编号:94631063 上传时间:2019-08-09 格式:DOC 页数:36 大小:295KB
返回 下载 相关 举报
信息安全策略教材_第1页
第1页 / 共36页
信息安全策略教材_第2页
第2页 / 共36页
信息安全策略教材_第3页
第3页 / 共36页
信息安全策略教材_第4页
第4页 / 共36页
信息安全策略教材_第5页
第5页 / 共36页
点击查看更多>>
资源描述

《信息安全策略教材》由会员分享,可在线阅读,更多相关《信息安全策略教材(36页珍藏版)》请在金锄头文库上搜索。

1、第 1 页 共 36 页 信息安全策略信息安全策略 文档编号编制审核批准发布日期备注 本公司对本文件资料享受著作权及其它专属权利,未经书面许可,不得将该等文件资料(其全部或 任何部分)披露予任何第三方,或进行修改后使用。 目录 1.信息资源保密策略3 2.网络访问策略4 第 2 页 共 36 页 3.访问控制策略5 4.物理访问策略6 5.供应商访问策略8 6.雇员访问策略10 7.设备及布缆安全策略11 8.变更管理安全策略14 9.病毒防范策略16 10.可移动代码防范策略17 11.信息备份安全策略18 12.网络配置安全策略19 13.信息交换策略20 14.运输中物理介质安全策略21

2、 15.电子邮件策略22 16.信息安全监控策略23 17.特权访问管理策略25 18.口令控制策略26 19.清洁桌面和清屏策略28 20.互联网使用策略29 21.便携式计算机安全策略31 22.事件管理策略32 23.个人信息使用策略33 24.业务信息系统使用策略34 25.远程工作策略35 26.安全开发策略36 第 3 页 共 36 页 1 信息资源保密策略 发布部门信息安全小组生效时间2016 年 11 月 01 日 介绍 保密策略是用于为信息资源用户建立限制和期望的机制。内部用户不期望信息资源保 密。外部用户期望信息资源拥有完整的保密性,除了在发生可疑的破坏行为的情况下。 目

3、的该策略的目的是明确的沟通信息资源用户的信息服务保密期望。 适用范围该策略适用于使用信息资源的所有人员。 术语定义略 信息 资源 保密 策略 在公司内部保存和控制的电子文件应该公开,并且可以被信息服务人员访问; 为了管理系统并加强安全,信息 技术部小组可以记录、评审,同时也可以使用 其信息资源系统中存储和传递的任何信息。为了达到此目的,信息 技术部小组 还可以捕获任何用户活动,如拨号号码以及访问的网站; 为了商业目的,第三方将信息委托给公司内部保管,那么信息 技术部小组的所 有工作人员都必须尽最大的努力保护这些信息的保密性和安全性。对这些第三方 来说最重要的就是个人消费者,因此消费者的账户数据

4、应该保密,并且对这些数 据的访问也应该依据商业需求进行严格限制; 用户必须向适当的管理者报告公司内部计算机安全的任何薄弱点,可能的误用事 故或者相应授权协议的违背情况; 在未经授权或获得明确同意的情况下,用户不可以尝试访问公司内部系统中包含 的任何数据或程序。 惩罚 违背该策略可能导致:员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习 人员和志愿者失去继续工作的机会、学生被开除;另外, 这些人员还可能遭受信息 资源访问权以及公民权的损失,甚至遭到法律起诉。 引用标准略 第 4 页 共 36 页 2 网络访问策略 发布部门信息安全小组生效时间2016 年 11 月 01 日 介绍 网络基础

5、设施是提供给所有信息资源用户的中心设施。重要的是这些基础设施(包括 电缆以及相关的设备)要持续不断的发展以满足需求,然而也要求同时高速发展网络 技术部以便将来提供功能更强大的用户服务。 目 的 该策略的目的是建立网络基础设施的访问和使用规则。这些规则是保持信息完整性、 可用性和保密性所必需的。 适用范围该策略适用于访问任何信息资源的所有人。 术语定义略 网络 访问 策略 用户不可以以任何方式扩散或再次传播网络服务。未经信息安全小组批准不可以 安装路由器、交换机、集线器或者无线访问端口; 在未经信息安全小组批准的情况下,用户不可以安装提供网络服务的硬件或软件; 需要网络连接的计算机系统必须符合信

6、息服务规范; 用户不可以私自下载、安装或运行安全程序或应用程序,发现或揭露系统的安全 薄弱点。例如,在以任何方式连接到互联网基础设施时,未经信息安全小组批准 用户不可以运行口令破解程序、监听器、网络绘图工具、或端口扫描工具; 不允许用户以任何方式更换网络硬件; 在局域网上进行文件共享时必须指定访问权限,机密信息严禁使用 everyone 权 限。 任何员工在访问网络资源时必须使用专属于自己的帐号 ID,不得使用他人的帐 号访问网络资源。 网络分为办公网络和生产环境网络,办公网络又分为日常办公网络和专门远程访 问网络 生产环境网络必须使用 vpn 由专人专机访问,必须要提前向上级领导申请报告 不

7、得从生产环境下载拷贝等操作 只能从公司指定办公网络(公司专门的网络通道)访问远程的服务器 修改远程服务器的内容必须要提前申请报告,且要有详细的操作步骤 惩罚 违背该策略可能导致:员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习 人员和志愿者失去继续工作的机会、学生被开除;另外, 这些人员还可能遭受信息 资源访问权以及公民权的损失,甚至遭到法律起诉。 第 5 页 共 36 页 引用标准略 3.访问控制策略 发布部门信息安全小组生效时间2016 年 11 月 01 日 介绍应根据业务和安全要求,控制对信息和信息系统的访问。 目 的该策略的目的是为了控制对信息和信息系统的访问。 适用范围该策略

8、适用于进行信息和信息系统访问的所有人员。 术语定义略 访问 控制 策略 公司内部可公开的信息不作特别限定,允许所有用户访问; 公司内部分公开信息,根据业务需求访问,访问人员提出申请,经访问授权管理 部门认可,访问授权实施部门实施后用户方可访问; 公司网络、信息系统根据业务需求访问,访问人员提出申请,经信息安全小组认 可,实施后用户方可访问; 信息安全小组安全管理员按规定周期对访问授权进行检查和评审; 访问权限应及时撤销,如在申请访问时限结束时、员工聘用期限结束时、第三方 服务协议中止时; 用户不得访问或尝试访问未经授权的网络、系统、文件和服务; 远程用户应该通过公司批准的连接方式; 在防火墙内

9、部连接内部网络的计算机不允许连接 INTERNET ,除非获得信息安 全小组的批准; 用户不得以任何方式私自安装路由器、交换机、代理服务器、无线网络访问点 ( 包括软件和硬件 ) 等; 在信息网、外联网安装新的服务 ( 包括软件和硬件 ) 必须获得信息安全小组的 批准; 用户不得私自撤除或更换网络设备。 惩罚 违背该策略可能导致:员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习 人员和志愿者失去继续工作的机会、学生被开除;另外, 这些人员还可能遭受信息 资源访问权以及公民权的损失,甚至遭到法律起诉。 引用标准略 第 6 页 共 36 页 4. 物理访问策略 发布部门信息安全小组生效时间2

10、016 年 11 月 01 日 介绍 技术部支持人员、安全管理员、IT 管理员以及其他人员可能因工作需要访问信息资 源物理设施。对信息资源设施物理访问的批准、控制以及监控对于全局的安全是极其 重要的。 目 的该策略的目的是为信息资源设施物理访问的批准、控制、监控和删除建立规则。 适用范围 该策略适用于组织中负责信息资源安装和支持的所有人员,负责信息资源安全的人员 以及数据的所有者。 术语定义略 物理 访问 策略 所有物理安全系统必须符合相应的法规,但不仅限于建设法规以及消防法规; 对所有受限制的信息资源设施的物理访问必须形成文件并进行控制; 所有信息资源设施必须依据其功能的关键程度或重要程度进

11、行物理保护; 对信息资源设施的访问必须只授权给因职责需要访问设施的支持人员和合同方; 授权使用卡和/或钥匙访问信息资源设施的过程中必须包括设施负责人的批准; 拥有信息资源设施访问权的每一个人员都必须接受设施应急程序培训,并且必须 签署相应的访问和不泄密协议; 访问请求必须发自相应的数据/系统所有者; 访问卡和/或钥匙不可以与他人共享或借给他人; 访问卡和/或钥匙不需要时必须退还给信息资源设施负责人。在退还的过程中, 卡不可以再分配给另一个人; 访问卡和/或钥匙丢失或被盗必须向信息资源设施的负责人报告; 卡和/或钥匙上除了退回的地址外不可以有标志性信息; 所有允许来宾访问的信息资源设施都必须使用

12、签字出/入记录来追踪来宾的访问; 信息资源设施的持卡访问记录以及来宾记录必须保存,并依据被保护信息资源的 关键程度定期评审; 在持卡和/或钥匙的人员发生变化或离职时,信息资源设施的负责人必须删除其 访问权限; 在信息资源设施的持卡访问区,来宾必须由专人陪同; 信息资源设施的负责人必须定期评审访问记录以及来宾记录,并要对异常访问进 行调查; 第 7 页 共 36 页 信息资源设施的负责人必须定期评审卡和/或钥匙访问权,并删除不再需要访问 的人员的权限; 对限制访问的房间和场所必须进行标记,但是描述其重要性的信息应尽可能少。 惩罚 违背该策略可能导致:员工以及临时工被解雇、合同方或顾问的雇佣关系终

13、止、实习 人员和志愿者失去继续工作的机会、学生被开除;另外, 这些人员还可能遭受信息 资源访问权以及公民权的损失,甚至遭到法律起诉。 引用标准略 第 8 页 共 36 页 5. 供应商访问策略 发布部门信息安全小组生效时间 2016 年 11 月 01 日 介绍 供应商在支持硬件和软件管理以及客户运作方面有重要作用。供应商可以远程对 数 据和审核日志进行评审、备份和修改,他们可以纠正软件和操作系统中的问题,可以 监控并调整系统性能,可以监控硬件性能和错误,可以修改周遭系统,并重新设置警 告极限。由供应商设置的限制和控制可以消除或降低收入、信誉损失或遭破坏的风险。 目 的该策略的目的是为减缓供应

14、商访问组织资产带来的风险。 适用范围该策略适用于所有需要访问组织的供应商。 术语定义略 第三 方访 问策 略 供应商必须遵守相应的策略、操作标准以及协议,包括但不仅限于: 安全策略; 保密策略; 审核策略; 信息资源使用策略。 供应商协议和合同必须规定: 供应商应该访问的信息; 供应商怎样保护信息; 合同结束时供应商所拥有的信息返回、毁灭或处置方法; 供应商只能使用用于商业协议目的的信息和信息资源; 在合同期间供应商所获得的任何信息都不能用于供应商自己的目的或泄漏给 他人。 应该向信息安全小组提供与供应商的合同要点。合同要点能确保供应商符合策略 的要求 ; 为供应商分配类型,如 IT 基础组件

15、运维服务、系统维护服务、网络维护服务等; 需定义不同类型供应商可以访问的信息类型,以及如何进行监视和工作访问的权 限; 供应商访问信息的人员范围仅限于工作需要的人员,授权需获得信息安全小组的 批准; 供应商权限人员不得将已授权的身份识别信息和相关设备透露、借用给其他人员, 第 9 页 共 36 页 工作结束后应该立即注销访问权限及清空资料; 针对与供应商人员交互的组织人员开展意识培训,培训内容涉及基于供应商类型 和 供应商访问组织系统及信息级别的参与规则和行为; 如适合可与供应商就关系中的信息安全签署保密或交换协议; 每一个供应商必须提供在为合同工作的所有员工清单。员工发生变更时必须在 24

16、小时之内更新并提供; 每一个在组织场所内工作的供应商员工都必须佩带身份识别卡。当合同结束时, 此卡应该归还; 可以访问机密信息资源的每一个供应商员工都不能处理这些信息; 供应商员工应该直接向恰当的人员直接报告所有安全事故; 如果供应商参与安全事故管理,那么必须在合同中明确规定其职责; 供应商必须遵守所有适用的更改控制过程和程序; 定期进行的工作任务和时间必须在合同中规定。规定条件之外的工作必须由相应 的管理者书面批准; 必须对供应商访问进行唯一标识,并且对其进行的口令管理必须符合口令实施规 范和特殊访问实施规范。供应商主要的工作活动必须形成日志并且在管理者需要 的时候可以访问。日志的内容包括但不仅限于:人员变化、口令变化、项目进度 重要事件、启动和结束时; 当供应商员工离职时,供应商必须确保所有机密信息在 24 小时内被收回或销毁; 在合同或邀请结束时,供应商应该将所有信息返回或销毁,并在 24 小时内提 交一份返回或销毁的书面证明; 在

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 事务文书

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号