《信息安全手册》由会员分享,可在线阅读,更多相关《信息安全手册(48页珍藏版)》请在金锄头文库上搜索。
1、 文件密级:内部公开XXXXXXXX有限公司信息安全管理手册目录1 目的32 范围33 总体安全目标34 信息安全35 信息安全组织35.1 信息安全组织35.2 信息安全职责35.3 信息安全操作流程36 信息资产分类与控制36.1 信息资产所有人责任36.1.1 信息资产分类36.1.2 信息资产密级36.2 信息资产的标识和处理37 人员的安全管理37.1 聘用条款和保密协议37.1.1聘用条款中员工的信息安全责任37.1.2商业秘密37.2 人员背景审查37.2.1 审查流程37.2.2 员工背景调查表37.3 员工培训37.3.1 培训周期37.3.2 培训效果检查37.4 人员离职
2、37.4.1离职人员信息交接流程37.5 违规处理37.5.1信息安全违规级别37.5.2信息安全违规处理流程37.5.3违规事件处理流程图38 物理安全策略38.1场地安全38.1.1 FBI受控区域的划分38.1.1.1受控区域级别划分38.1.1.2 重要区域及受控区域管理责任划分38.1.1.3 物理隔离38.1.2出入控制38.1.3名词解释38.1.4人员管理38.1.4.1人员进出管理流程38.1.4.1.1公司员工38.1.4.1.2来访人员38.1.5 卡证管理规定38.1.5.1卡证分类38.1.5.2卡证申请38.1.5.3卡证权限管理38.2设备安全38.2.1设备安全
3、规定38.2.2设备进出管理流程38.2.2.1设备进场38.2.2.2 设备出场38.2.3BBB办公设备进出管理流程38.2.3.1设备进场38.2.3.2设备出场38.2.4特殊存储设备介质管理规定38.2.5 FBI场地设备加封规定38.2.6 FBI场地设备报修处理流程39 IT安全管理39.1网络安全管理规定39.2系统安全管理规定39.3病毒处理管理流程39.4权限管理39.4.1权限管理规定39.4.2配置管理规定39.4.3员工权限矩阵图39.5数据传输规定39.6业务连续性39.7 FBI机房、实验室管理39.7.1门禁系统管理规定39.7.2服务器管理规定39.7.3网络
4、管理规定39.7.4监控管理规定39.7.5其它管理规定310信息安全事件和风险处理310.1信息安全事件调查流程310.1.1信息安全事件的分类310.1.2信息安全事件的分级310.1.3安全事件调查流程310.1.3.1 一级安全事件处理流程310.1.3.2 二级安全事件处理流程310.1.3.3 三级安全事件处理流程310.1.4 信息安全事件的统计分析和审计311检查、监控和审计311.1检查规定311.2监控311.2.1视频监控311.2.2系统、网络监控311.3审计311.3.1审计规定311.3.2审计内容312奖励与处罚312.1奖励312.1.1奖励等级312.2处罚
5、312.2.1处罚等级3一级处罚3常见一级处罚3二级处罚3常见二级处罚3三级处罚3常见三级处罚3四级处罚3常见四级处罚31 目的为了规范和明确XXXXXXXX有限公司业务发展的信息安全管理方面的总体要求,特制定本规定。确保我司BBB项目符合BBB信息安全管理要求;有效保护双方利益和和信息资产安全,特制定此规定。2 范围本规定适用于XXXXXXXX有限公司各部门及全体员工。3 总体安全目标建立符合要求的信息安全管理体系,确保离岸外包项目运作中的信息安全,防止公司及客户的技术秘密、商业秘密的泄露,保障公司外包业务的顺利发展。4 信息安全信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受
6、偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不被中断。5 信息安全组织5.1 信息安全组织为了响应公司外包业务的离岸政策、适应外包业务发展方向、使业务能够顺利回迁,建立符合公司及客户要求的信息安全管理体系,保证业务离岸后的顺利开展,本着尊重知识产权、维护公司、客户的商业利益、为客户的业务开展提供最安全的保障服务。经公司研究决定成立信息安全管理组,各地域或场地可参照成立信息安全小组。5.2 信息安全职责信息安全主任:根据公司信息安全要求及业务发展需求,对信息安全相关事务进行支持、决策,确保外包项目的信息安全,对所承接的BBB外包服务业务的信息安全负责。信息安全专员
7、:建立信息安全组织,作为信息安全管理人员负责建立和维护ISMS(Information Security Management System信息安全管理体系)负责组织信息安全管理规定、标准和流程的制定、推行、检查和安全事件调查工作。机要员:主要负责执行信息安全制度中规定的及信息安全专员的指令,一个地域只有一个机要员,通常重要区域的钥匙、密码、门禁卡由其负责保管,所有物品出入FBI场地必须由机要员进行确认检查,并做好相关的记录。安全岗:执行信息安全制度中规定的及信息安全专员的指令,根据信息安全制度的相关规定,执行检查、登记出入FBI场地人员及携带的物品,负责维护责任区域的安全。当有人员及人员携带
8、物品强行出入FBI场地的时候,安全岗人员必须立即制止。IT专员:主要负责执行信息安全制度中规定的及信息安全专员的指令,协助信息安全机要员做好信息安全方面的技术工作,FBI场地的机房网络、内外邮箱的设置,设备出场的数据处理,进场设备的存储、端口的处理,信息安全技术工作方面的改进、优化。卡证专员:主要执行规范公司员工及外来人员的出入卡证发放和门禁系统授权管理工作。根据信息安全制度的相关规定,结合卡证管理流程及权限,对卡证管理实行员工工卡、临时工卡、来宾卡的识别、确认、登记、门禁授权、编码、归类、注销等管理流程工作的实现。部门执行主任:主要负责本部门下属的各项目组在FBI场地信息安全管理工作,并任命
9、项目组中的具体信息安全执行负责人,配合信息安全管理工作组的工作做好日常的信息安全管理及定期信息安全的检查、监控和审计工作。对部门下属成员的信息安全违规、举报行为执行信息安全管理工作组规定的奖励和处罚。项目组信息安全员:主要负责本项目组内人员及设备的信息安全管理工作,配合信息安全管理工作组的工作做好日常的信息安全管理及定期信息安全的检查、监控和审计工作。对部门下属成员的信息安全违规、举报行为执行信息安全管理工作组规定的奖励和处罚。5.3 信息安全操作流程分为:规划、执行、检查、改进四个阶段,每个阶段都有明确的参与和执行责任人。分别说明如下:规划:根据公司信息安全原则和业务发展的需求,信息安全管理
10、工作组全体成员讨论并制定详细的管理流程。一般情况下由需求部门向信息安全专员提出需求,并由信息安全专员召集信息安全管理工作组的机要员、IT专员及需求申请部门人员进行需求的讨论并给出解决方案,方案确定后由信息安全管理工作组主任进行审核、签发。执行:所有签发的管理方案都必须严格执行起来,一般情况下由需求部门、个人向信息安全专员提出申请,按照申请流程中规定进行操作,涉及到由申请者直接上级和部门领导审批同意,之后交由信息安全专员进行审核。审核后由机要员、IT专员、卡证专员进行具体的操作和处理,安全岗执行人员要看到完整的流程审批以后才可以进行放行和记录。检查:信息安全管理工作组全体成员定期会对FBI场地内
11、的物理隔离、门禁权限、办公设备、机房设备、FBI实验室设备、监控记录及历史存档记录会同业务部门的信息安全执行主任进行检查和审计。并将结果以报告的形式汇报给信息安全管理工作组主任。对发现信息安全方面的违规问题由信息安全专员以书面的形式向分公司进行发文进行通报。改进:原有管理方案不能继续满足业务发展需求时,由业务部门向信息安全专员提出申请,信息安全专员召集信息安全管理工作组的全体成员及需求部门进行管理方案的改进评审会议。在检查中发现有信息安全漏洞的,由信息安全专员召集信息安全管理工作组的全体成员及需求部门进行管理方案的改进评审。最终由信息安全主任进行审核、签发。6 信息资产分类与控制为了规范文档的
12、保密制度,明确信息资产所有人责任、信息密级的划分,信息资产的识别。公司所有文档,无论是电子件或纸件,必须标有文件密级。文档密级应出现在文档页眉的醒目位置,页脚应出现未经许可,不得扩散 的字样。信息是一种资产,像其它重要的业务资产一样,对公司具有价值,因此需要妥善保护。6.1 信息资产管理6.1.1 信息资产分类数据与文档:数据库和数据文件、系统文件、用户手册、培训材料、运行与支持程序、业务持续性计划、应急安排。书面文件:合同、指南、企业文件、包含重要业务结果的文件。软件资产:应用软件、系统软件、开发工具和实用程序。物理资产:计算机、网络设备、磁介质(磁盘与磁带)6.1.2 信息资产密级秘密:是
13、指一般的公司秘密,一旦泄露会使公司和客户的安全和利益受到一定的危害和损失。 内部公开:公司各部门、项目组内部员工不受限制查阅的信息,未经授权不得随意外传。6.2 信息资产的标识和处理6.2.1落实资产责任:为公司的资产提供适当的保护,为所有信息财产确定所有人,并且为维护适当的管理措施而分配责任。可以委派执行这些管理计划的责任。被提名的资产所有者应当承担保护资产的责任。6.2.2 控制措施资产的清单:列出并维持一份与每个信息系统有关的所有重要资产的清单。在信息安全体系范围内为资产编制清单是一项重要工作,每项资产都应该清晰定义,合理估价,在组织中明确资产所有权关系,进行安全分类,并以文件方式详细记
14、录在案。6.2.3 具体措施包括:公司可根据业务运作流程和信息系统基础架构识别出信息资产,按照信息资产所属系统或所在部门列出资产清单,将每项资产的名称、所处位置、价值、资产负责人等相关信息记录在资产清单上;根据资产的相对价值大小来确定关键信息资产,并对其进行风险评估以确定适当的控制措施;对每一项信息资产,组织的管理者应指定专人负责其使用和保护,防止资产被盗、丢失与滥用;定期对信息资产进行清查盘点,确保资产账物相符和完好无损。 6.2.4 信息的分类:确保信息资产得到适当程度的保护应当将信息分类,指出其安全保护的具体要求、优先级和保护程度。不同信息有不同的敏感性和重要性。有的信息资产可能需要额外
15、保护或者特殊处理。应当采用信息分类系统来定义适当的安全保护等级范围,并传达特殊处理措施的需要。6.2.5 控制措施信息资产分类原则:信息的分类及相关的保护控制,应适合于公司运营对于信息分享或限制的需要,以及这些需要对企业营运所带来的影响。信息的分类和相关保护措施应当综合考虑到信息共享和信息限制的业务需要,还要考虑对业务的影响,例如对信息未经授权的访问或者对信息的破坏。一般说来,信息分类是一种处理和保护该信息的简捷方法。信息分类时要注意以下几点:信息的分类等级要合理、信息的保密期限、谁对信息的分类负责。6.2.6 控制措施信息的标识与处理:应当制定信息标识及处理的程序,以符合公司所采用的分类法则。为信息标识和处理定义一个符合组织分类
