收藏
下载资源

信息安全策略

上传人:s9****2 文档编号:487854927 上传时间:2023-04-30 格式:DOC 页数:35 大小:294.50KB
返回 下载 相关 举报
信息安全策略_第1页
第1页 / 共35页
信息安全策略_第2页
第2页 / 共35页
信息安全策略_第3页
第3页 / 共35页
信息安全策略_第4页
第4页 / 共35页
信息安全策略_第5页
第5页 / 共35页
点击查看更多>>
资源描述

《信息安全策略》由会员分享,可在线阅读,更多相关《信息安全策略(35页珍藏版)》请在金锄头文库上搜索。

1、信息安全方略文档编号编制审核批准发布日期备注我司对本文献资料享有著作权及其他专属权利,未经书面许可,不得将该等文献资料(其所有或任何部分)披露予任何第三方,或进行修改后使用。目录1信息资源保密方略32.网络访问方略43.访问控制方略4.物理访问方略6供应商访问方略6.雇员访问方略10.设备及布缆安全方略18.变更管理安全方略149病毒防备方略1610可移动代码防备方略111信息备份安全方略12.网络配备安全方略191信息互换方略2014.运送中物理介质安全方略2115.电子邮件方略2216信息安全监控方略2317.特权访问管理方略251.口令控制方略19.清洁桌面和清屏方略280互联网使用方略

2、2921.便携式计算机安全方略312.事件管理方略322个人信息使用方略334业务信息系统使用方略342.远程工作方略3526.安全开发方略36信息资源保密方略发布部门信息安全小组生效时间11月1日简介保密方略是用于为信息资源顾客建立限制和盼望的机制。内部顾客不盼望信息资源保密。外部顾客盼望信息资源拥有完整的保密性,除了在发生可疑的破坏行为的状况下。目的该方略的目的是明确的沟通信息资源顾客的信息服务保密盼望。合用范畴该方略合用于使用信息资源的所有人员。术语定义略信息资源保密方略n 在公司内部保存和控制的电子文献应当公开,并且可以被信息服务人员访问;n 为了管理系统并加强安全,信息 技术部小组可

3、以记录、评审,同步也可以使用其信息资源系统中存储和传递的任何信息。为了达到此目的,信息 技术部小组还可以捕获任何顾客活动,如拨号号码以及访问的网站;n 为了商业目的,第三方将信息委托给公司内部保管,那么信息 技术部小组的所有工作人员都必须尽最大的努力保护这些信息的保密性和安全性。对这些第三方来说最重要的就是个人消费者,因此消费者的账户数据应当保密,并且对这些数据的访问也应当根据商业需求进行严格限制;n 顾客必须向合适的管理者报告公司内部计算机安全的任何单薄点,也许的误用事故或者相应授权合同的违背状况;n 在未经授权或获得明确批准的状况下,顾客不可以尝试访问公司内部系统中涉及的任何数据或程序。惩

4、罚违背该方略也许导致:员工以及临时工被解雇、合同方或顾问的雇佣关系终结、实习人员和志愿者失去继续工作的机会、学生被开除;此外, 这些人员还也许遭受信息资源访问权以及公民权的损失,甚至遭到法律起诉。引用原则略2网络访问方略发布部门信息安全小组生效时间1月01日简介网络基本设施是提供应所有信息资源顾客的中心设施。重要的是这些基本设施(涉及电缆以及有关的设备)要持续不断的发展以满足需求,然而也规定同步高速发展网络 技术部以便将来提供功能更强大的顾客服务。目 的该方略的目的是建立网络基本设施的访问和使用规则。这些规则是保持信息完整性、可用性和保密性所必需的。合用范畴该方略合用于访问任何信息资源的所有人

5、。术语定义略网络访问方略n 顾客不可以以任何方式扩散或再次传播网络服务。未经信息安全小组批准不可以安装路由器、互换机、集线器或者无线访问端口;n 在未经信息安全小组批准的状况下,顾客不可以安装提供网络服务的硬件或软件;n 需要网络连接的计算机系统必须符合信息服务规范;n 顾客不可以擅自下载、安装或运营安全程序或应用程序,发现或揭发系统的安全单薄点。例如,在以任何方式连接到互联网基本设施时,未经信息安全小组批准顾客不可以运营口令破解程序、监听器、网络绘图工具、或端口扫描工具;n 不容许顾客以任何方式更换网络硬件;n 在局域网上进行文献共享时必须指定访问权限,机密信息严禁使用everne权限。n

6、任何员工在访问网络资源时必须使用专属于自己的帐号ID,不得使用她人的帐号访问网络资源。n 网络分为办公网络和生产环境网络,办公网络又分为平常办公网络和专门远程访问网络n 生产环境网络必须使用pn由专人专机访问,必须要提前向上级领导申请报告n 不得从生产环境下载拷贝等操作n 只能从公司指定办公网络(公司专门的网络通道)访问远程的服务器n 修改远程服务器的内容必须要提前申请报告,且要有具体的操作环节惩罚违背该方略也许导致:员工以及临时工被解雇、合同方或顾问的雇佣关系终结、实习人员和志愿者失去继续工作的机会、学生被开除;此外, 这些人员还也许遭受信息资源访问权以及公民权的损失,甚至遭到法律起诉。引用

7、原则略.访问控制方略发布部门信息安全小组生效时间11月01日简介应根据业务和安全规定,控制对信息和信息系统的访问。目 的该方略的目的是为了控制对信息和信息系统的访问。合用范畴该方略合用于进行信息和信息系统访问的所有人员。术语定义略访问控制方略n 公司内部可公开的信息不作特别限定,容许所有顾客访问;n 公司内部分公开信息,根据业务需求访问,访问人员提出申请,经访问授权管理部门承认,访问授权实行部门实行后顾客方可访问;n 公司网络、信息系统根据业务需求访问,访问人员提出申请,经信息安全小组承认,实行后顾客方可访问;n 信息安全小组安全管理员按规定周期对访问授权进行检查和评审;n 访问权限应及时撤销

8、,如在申请访问时限结束时、员工聘任期限结束时、第三方服务合同中断时;n 顾客不得访问或尝试访问未经授权的网络、系统、文献和服务;n 远程顾客应当通过公司批准的连接方式;n 在防火墙内部连接内部网络的计算机不容许连接ITERN ,除非获得信息安全小组的批准;n 顾客不得以任何方式擅自安装路由器、互换机、代理服务器、无线网络访问点( 涉及软件和硬件 ) 等;n 在信息网、外联网安装新的服务 ( 涉及软件和硬件)必须获得信息安全小组的批准;n 顾客不得擅自撤除或更换网络设备。惩罚违背该方略也许导致:员工以及临时工被解雇、合同方或顾问的雇佣关系终结、实习人员和志愿者失去继续工作的机会、学生被开除;此外

9、, 这些人员还也许遭受信息资源访问权以及公民权的损失,甚至遭到法律起诉。引用原则略4. 物理访问方略发布部门信息安全小组生效时间11月0日简介 技术部支持人员、安全管理员、IT管理员以及其她人员也许因工作需要访问信息资源物理设施。对信息资源设施物理访问的批准、控制以及监控对于全局的安全是极其重要的。目 的该方略的目的是为信息资源设施物理访问的批准、控制、监控和删除建立规则。合用范畴该方略合用于组织中负责信息资源安装和支持的所有人员,负责信息资源安全的人员以及数据的所有者。术语定义略物理访问方略n 所有物理安全系统必须符合相应的法规,但不仅限于建设法规以及消防法规;n 对所有受限制的信息资源设施

10、的物理访问必须形成文献并进行控制;n 所有信息资源设施必须根据其功能的核心限度或重要限度进行物理保护;n 对信息资源设施的访问必须只授权给因职责需要访问设施的支持人员和合同方;n 授权使用卡和/或钥匙访问信息资源设施的过程中必须涉及设施负责人的批准;n 拥有信息资源设施访问权的每一种人员都必须接受设施应急程序培训,并且必须签订相应的访问和不泄密合同;n 访问祈求必须发自相应的数据/系统所有者;n 访问卡和/或钥匙不可以与她人共享或借给她人;n 访问卡和/或钥匙不需要时必须退还给信息资源设施负责人。在退还的过程中,卡不可以再分派给另一种人;n 访问卡和或钥匙丢失或被盗必须向信息资源设施的负责人报

11、告;n 卡和/或钥匙上除了退回的地址外不可以有标志性信息;n 所有容许来宾访问的信息资源设施都必须使用签字出/入记录来追踪来宾的访问;n 信息资源设施的持卡访问记录以及来宾记录必须保存,并根据被保护信息资源的核心限度定期评审;n 在持卡和/或钥匙的人员发生变化或离职时,信息资源设施的负责人必须删除其访问权限;n 在信息资源设施的持卡访问区,来宾必须由专人陪伴;n 信息资源设施的负责人必须定期评审访问记录以及来宾记录,并要对异常访问进行调查;n 信息资源设施的负责人必须定期评审卡和/或钥匙访问权,并删除不再需要访问的人员的权限;n 对限制访问的房间和场合必须进行标记,但是描述其重要性的信息应尽量

12、少。惩罚违背该方略也许导致:员工以及临时工被解雇、合同方或顾问的雇佣关系终结、实习人员和志愿者失去继续工作的机会、学生被开除;此外, 这些人员还也许遭受信息资源访问权以及公民权的损失,甚至遭到法律起诉。引用原则略5. 供应商访问方略发布部门信息安全小组生效时间 1月01日简介供应商在支持硬件和软件管理以及客户运作方面有重要作用。供应商可以远程对数据和审核日记进行评审、备份和修改,她们可以纠正软件和操作系统中的问题,可以监控并调节系统性能,可以监控硬件性能和错误,可以修改周遭系统,并重新设立警告极限。由供应商设立的限制和控制可以消除或减少收入、信誉损失或遭破坏的风险。目的该方略的目的是为减缓供应

13、商访问组织资产带来的风险。合用范畴该方略合用于所有需要访问组织的供应商。术语定义略第三方访问策略n 供应商必须遵守相应的方略、操作原则以及合同,涉及但不仅限于: 安全方略; 保密方略; 审核方略; 信息资源使用方略。n 供应商合同和合同必须规定: 供应商应当访问的信息; 供应商如何保护信息; 合同结束时供应商所拥有的信息返回、消灭或处置措施; 供应商只能使用用于商业合同目的的信息和信息资源; 在合同期间供应商所获得的任何信息都不能用于供应商自己的目的或泄漏给她人。 n 应当向信息安全小组提供与供应商的合同要点。合同要点能保证供应商符合方略的规定 ;n 为供应商分派类型,如IT基本组件运维服务、

14、系统维护服务、网络维护服务等;n 需定义不同类型供应商可以访问的信息类型,以及如何进行监视和工作访问的权限;n 供应商访问信息的人员范畴仅限于工作需要的人员,授权需获得信息安全小组的批准;n 供应商权限人员不得将已授权的身份辨认信息和有关设备透露、借用给其她人员,工作结束后应当立即注销访问权限及清空资料;n 针对与供应商人员交互的组织人员开展意识培训,培训内容波及基于供应商类型和 供应商访问组织系统及信息级别的参与规则和行为;n 如适合可与供应商就关系中的信息安全签订保密或互换合同;n 每一种供应商必须提供在为合同工作的所有员工清单。员工发生变更时必须在 24 小时之内更新并提供;n 每一种在组织场合内工作的供应商员工都必须佩带身份辨认卡。当合同结束时,此卡应当归还;n 可以访问机密信息资源的每一种供应商员工都不能解决这些信息;n 供应商员工应当直接向恰当的人员直接报告所有安全事故;n 如果供应商参与安全事故管理,那么必须在合同中明确规定其职责;n 供应商必须遵守所有合用的更改控制过程和程序;n 定期进行的工作任务和时间必须在合

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 解决方案

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号