《完整版信息安全手册》由会员分享,可在线阅读,更多相关《完整版信息安全手册(53页珍藏版)》请在金锄头文库上搜索。
1、XXXXXXXX 有限公司信息安全管理手册文件密级:内部公开目录1目的52范围53总体安全目标54信息安全55信息安全组织55.1信息安全组织55.2信息安全职责65.3信息安全操作流程 76信息资产分类与控制86.1信息资产所有人责任 86.1.1信息资产分类 86.1.2信息资产密级96.2信息资产的标识和处理 97人员的安全管理107.1聘用条款和保密协议 107.1.1聘用条款中员工的信息安全责任 107.1.2商业秘密117.2人员背景审查127.2.1审查流程137.2.2员工背景调查表137.3员工培训147.3.1培训周期 147.3.2培训效果检查147.4人员离职157.4
2、.1离职人员信息交接流程 157.5违规处理157.5.1信息安全违规级别 157.5.2信息安全违规处理流程 167.5.3违规事件处理流程图 178物理安全策略178.1场地安全178.1.1 FBI受控区域的划分 188.1.1.1受控区域级别划分 188.1.1.2重要区域及受控区域管理责任划分 188.1.1.3物理隔离 188.1.2出入控制198.1.3名词解释198.1.4人员管理 198.1.4.1 人员进出管理流程 198.1.4.1.1公司员工 198.1.4.1.2来访人员 208.1.5卡证管理规定 238.1.5.1卡证分类238.1.5.2卡证申请238.1.5.
3、3卡证权限管理248.2设备安全248.2.1设备安全规定248.2.2设备进出管理流程 268.2.2.1设备进场268.2.2.2设备出场 278.2.3BBB办公设备进出管理流程 288.2.3.1设备进场288.2.3.2设备出场298.2.4特殊存储设备介质管理规定 308.2.5 FBI场地设备加封规定 318.2.6 FBI场地设备报修处理流程 319 IT安全管理319.1网络安全管理规定 319.2系统安全管理规定 329.3病毒处理管理流程 329.4权限管理339.4.1权限管理规定339.4.2配置管理规定339.4.3员工权限矩阵图 359.5数据传输规定 369.6
4、业务连续性369.7 FBI机房、实验室管理 379.7.1门禁系统管理规定 379.7.2服务器管理规定 379.7.3网络管理规定 389.7.4监控管理规定 389.7.5其它管理规定3810信息安全事件和风险处理 3910.1信息安全事件调查流程 3910.1.1信息安全事件的分类 3910.1.2信息安全事件的分级 3910.1.3安全事件调查流程 4010.1.3.1 一级安全事件处理流程 4010.1.3.2二级安全事件处理流程 4110.1.3.3三级安全事件处理流程 4210.1.4信息安全事件的统计分析和审计 4211检查、监控和审计 4311.1检查规定4311.2 监控
5、4311.2.1视频监控4311.2.2系统、网络监控 4411.3 审计4611.3.1审计规定4611.3.2审计内容 4612奖励与处罚4612.1 奖励4612.1.1奖励等级4712.2 处罚4712.2.1处罚等级47一级处罚47常见一级处罚47二级处罚48常见二级处罚 48三级处罚48常见三级处罚48四级处罚49常见四级处罚49#未经许可,不得扩散1目的为了规范和明确 XXXXXXXX 有限公司业务发展的信息安全管理方面的总体要求,特制定本规定。 确保我司BBB项目符合BBB信息安全管理要求;有效保护双方利益和和信息资产安全,特制定此规定。2范围本规定适用于 XXXXXXXX 有
6、限公司各部门及全体员工。3总体安全目标建立符合要求的信息安全管理体系,确保离岸外包项目运作中的信息安全,防止公司及客户的技术 秘密、商业秘密的泄露,保障公司外包业务的顺利发展。4信息安全信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因 而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不被中断。5信息安全组织5.1信息安全组织为了响应公司外包业务的离岸政策、适应外包业务发展方向、使业务能够顺利回迁,建立符合公司 及客户要求的信息安全管理体系,保证业务离岸后的顺利开展,本着尊重知识产权、维护公司、客户的 商业利益、为客户的业务开展提供最安全的保障服务。经公
7、司研究决定成立信息安全管理组,各地域或 场地可参照成立信息安全小组。信息安全专员HR关键岗位审查员IT专员IT安全管理员行政助理 机要员服务器管理员 系统安全管理员网络管理员 网络安全管理员桌面支持工程师PC安全管理员PMO经理信息安全主任5.2信息安全职责信息安全主任:根据公司信息安全要求及业务发展需求,对信息安全相关事务进行支持、决策,确 保外包项目的信息安全,对所承接的BBB外包服务业务的信息安全负责。信息安全专员:建立信息安全组织,作为信息安全管理人员负责建立和维护ISMS (InformationSecurity Man ageme nt System信息安全管理体系)负责组织信息安
8、全管理规定、标准和流程的制定、推行、检查和安全事件调查工作。机要员:主要负责执行信息安全制度中规定的及信息安全专员的指令,一个地域只有一个机要员,通常重要区域的钥匙、密码、门禁卡由其负责保管,所有物品出入FBI场地必须由机要员进行确认检查,并做好相关的记录。安全岗:执行信息安全制度中规定的及信息安全专员的指令,根据信息安全制度的相关规定,执 行检查、登记出入 FBI场地人员及携带的物品,负责维护责任区域的安全。当有人员及人员携带物品强 行出入FBI场地的时候,安全岗人员必须立即制止。IT专员:主要负责执行信息安全制度中规定的及信息安全专员的指令,协助信息安全机要员做好 信息安全方面的技术工作,
9、FBI场地的机房网络、内外邮箱的设置,设备出场的数据处理,进场设备的存储、端口的处理,信息安全技术工作方面的改进、优化。卡证专员:主要执行规范公司员工及外来人员的出入卡证发放和门禁系统授权管理工作。根据信息 安全制度的相关规定,结合卡证管理流程及权限,对卡证管理实行员工工卡、临时工卡、来宾卡的识别、 确认、登记、门禁授权、编码、归类、注销等管理流程工作的实现。部门执行主任:主要负责本部门下属的各项目组在FBI场地信息安全管理工作,并任命项目组中的具体信息安全执行负责人,配合信息安全管理工作组的工作做好日常的信息安全管理及定期信息安全的 检查、监控和审计工作。对部门下属成员的信息安全违规、举报行
10、为执行信息安全管理工作组规定的奖 励和处罚。项目组信息安全员:主要负责本项目组内人员及设备的信息安全管理工作,配合信息安全管理工作 组的工作做好日常的信息安全管理及定期信息安全的检查、监控和审计工作。对部门下属成员的信息安 全违规、举报行为执行信息安全管理工作组规定的奖励和处罚。5.3信息安全操作流程分为:规划、执行、检查、改进四个阶段,每个阶段都有明确的参与和执行责任人。组织信息 安全需求和期望计划实方r jf4检改进Action 维护和 改进 ISMS-Check* 监控和评 审 ISMSDo-实 處和运作 ISMS1EISMS管理状态下的信息安全分别说明如下:规划:根据公司信息安全原则和
11、业务发展的需求,信息安全管理工作组全体成员讨论并制定详细的 管理流程。一般情况下由需求部门向信息安全专员提出需求,并由信息安全专员召集信息安全管理工作 组的机要员、IT专员及需求申请部门人员进行需求的讨论并给出解决方案,方案确定后由信息安全管理 工作组主任进行审核、签发。执行:所有签发的管理方案都必须严格执行起来,一般情况下由需求部门、个人向信息安全专员提 出申请,按照申请流程中规定进行操作,涉及到由申请者直接上级和部门领导审批同意,之后交由信息 安全专员进行审核。审核后由机要员、IT专员、卡证专员进行具体的操作和处理,安全岗执行人员要看到完整的流程审批以后才可以进行放行和记录。检查:信息安全
12、管理工作组全体成员定期会对FBI场地内的物理隔离、门禁权限、办公设备、机房设备、FBI实验室设备、监控记录及历史存档记录会同业务部门的信息安全执行主任进行检查和审计。并 将结果以报告的形式汇报给信息安全管理工作组主任。对发现信息安全方面的违规问题由信息安全专员 以书面的形式向分公司进行发文进行通报。改进:原有管理方案不能继续满足业务发展需求时,由业务部门向信息安全专员提出申请,信息安 全专员召集信息安全管理工作组的全体成员及需求部门进行管理方案的改进评审会议。在检查中发现有 信息安全漏洞的,由信息安全专员召集信息安全管理工作组的全体成员及需求部门进行管理方案的改进 评审。最终由信息安全主任进行
13、审核、签发。6信息资产分类与控制为了规范文档的保密制度,明确信息资产所有人责任、信息密级的划分,信息资产的识别。公司所 有文档,无论是电子件或纸件,必须标有文件密级。文档密级应出现在文档页眉的醒目位置,页脚应出 现未经许可,不得扩散”的字样。信息是一种资产,像其它重要的业务资产一样,对公司具有价值,因 此需要妥善保护。6.1信息资产管理6.1.1信息资产分类数据与文档:数据库和数据文件、系统文件、用户手册、培训材料、运行与支持程序、业务持续性 计划、应急安排。书面文件:合同、指南、企业文件、包含重要业务结果的文件。软件资产:应用软件、系统软件、开发工具和实用程序。物理资产:计算机、网络设备、磁
14、介质(磁盘与磁带)6.1.2信息资产密级秘密:是指一般的公司秘密,一旦泄露会使公司和客户的安全和利益受到一定的危害和损失。 内部公开:公司各部门、项目组内部员工不受限制查阅的信息,未经授权不得随意外传。6.2信息资产的标识和处理6.2.1落实资产责任:为公司的资产提供适当的保护,为所有信息财产确定所有人,并且为维护适当 的管理措施而分配责任。可以委派执行这些管理计划的责任。被提名的资产所有者应当承担保护资产的 责任。6.2.2控制措施一资产的清单:列出并维持一份与每个信息系统有关的所有重要资产的清单。在信息 安全体系范围内为资产编制清单是一项重要工作,每项资产都应该清晰定义,合理估价,在组织中明确 资产所有权关系,进行安全分类,并以文件方式详细记录在案。6.2.3具体措施包括:公司可根据业务运作流程和信息系统基础架构识别出信息资产,按照信息资产 所属系统或所在部门列出资产清单,将每项资产的名称、所处位置、价值、资产负责人等相关信息记录 在资产清单上;根据资产的相对价值大小来确定关键信息资产,并对其进行风险评估以确定适当的控制 措施;对每一项信息资产,组织的管理者应指定专人负责其使用和保护,防止资产被盗、丢失与滥用; 定期对信息资产进行清查盘点,确保资产账物相
