《信息安全策略讲义课件》由会员分享,可在线阅读,更多相关《信息安全策略讲义课件(92页珍藏版)》请在金锄头文库上搜索。
1、 ISMS 保密等级内控文档名称信息安全策策略文档编号ISMS/Sinnosooft-h-004-220088发布组织Sinossoftt信息安安全工作作小组发布日期 20088年1月1日 执行日期 20008年1月1日版 本 号号A1.0信息安全策策略批准人签字字审核人签字字制订人签字字日期: 220088/1 /1日期:20008/1 /1日期:20008/1 /1南京擎天科科技有限限公司Nanjiing Sinnosooft Tecchnoologgy CCo., Lttd.变更履历序号版本编号或或更改记记录编号号变化 状态态 *简要说明(变更内内容、变变更位置置、变更更原因和和变更范范
2、围)变更日期变更人审核人批准人批准日期1A1.0C创建,全页页。2008/ 1/1 许明星 茅建平 汪晓刚2008/1 /1 *变化状态态:C创建建,A增加加,M修改改,D删除除目 录1.文档档介绍51.1.文档目目的51.2.文档范范围51.3.参考信信息52.术语语和定义义62.1.解释62.2.词语使使用73.Siinossoftt信息系系统安全全策略73.1.策略下下发73.2.策略维维护73.3.策略评评审83.4.适用范范围84.Siinossoftt信息系系统安全全组织84.1.内部组组织84.2.外部组组织95.Siinossoftt资产管管理105.1.资产责责任115.2.
3、信息分分类116.Siinossoftt人员信信息安全全管理116.1.人员雇雇佣126.2.雇佣中中126.3.人员信信息安全全管理原原则137.物理理和环境境安全147.1.安全区区域147.2.设备安安全158.Siinossoftt通信和和操作管管理218.1.操作程程序和责责任218.2.第三方方服务交交付管理理238.3.系统策策划与验验收258.4.防范恶恶意和移移动代码码278.5.备份288.6.网络安安全管理理288.7.介质处处理298.8.信息交交换318.9.监视和和审计339.Siinossoftt信息系系统访问问控制369.1.访问控控制的业业务要求求369.2.
4、用户访访问管理理379.3.用户责责任409.4.网络访访问控制制419.5.操作系系统访问问控制439.6.应用程程序和信信息访问问控制459.7.移动计计算和远远程工作作4610.信信息系统统的获取取、开发发和维护护安全4710.1.信息系系统的安安全要求求4710.2.应用系系统的正正确处理理4710.3.加密控控制4710.4.系统文文件安全全4810.5.开发和和支持过过程安全全4910.6.技术漏漏洞管理理4911.信信息安全全事故处处理5011.1.报告信信息安全全事故和和弱点5011.2.信息安安全事故故管理和和改进5012.业业务连续续性管理理5112.1.业务连连续性管管理
5、中的的信息安安全5113.符符合性要要求5313.1.遵守法法律法规规的要求求5313.2.安全策策略和技技术一致致性检查查5813.3.信息系系统审计计考虑因因素59 3rd Floor, No.50 Building, No.168 Longpan Zhong Road, Nanjing, P.R.China 3/601. 文档介绍1.1. 文档目的本文档制定定了Siinossoftt的信息息系统安安全策略略,作为为Sinnosooft信信息安全全的基本本标准,是是所有安安全行为为的指导导方针,同同时也是是建立完完整的安安全管理理体系最最根本的的基础。信息安全策策略是在在Sinnosoof
6、t信信息安全全现状调调研的基基础上,根根据ISSO2770011的最佳佳实践,结结合Siinossoftt现有规规章制度度制定而而成的信信息安全全方针和和策略文文档。本本文档遵遵守政府府制定的的相关法法律、法法规、政政策和标标准。本本安全策策略得到到Sinnosooft领导导的认可可,并在在Sinnosooft内内强制实实施。建立信息安安全策略略目的概概括如下下: 在Sinoosofft内部部建立一一套通用用的、行行之有效效的安全全机制; 在Sinoosofft的员员工中树树立起安安全责任任感; 在Sinoosofft中增增强信息息资产可可用性、完完整性和和保密性性; 在Sinoosofft中
7、提提高全体体员工的的信息安安全意识识和信息息安全知知识水平平。1.2. 文档范围本安全策略略适用于于Sinnosooft全全体员工工。本安全策略略由Siinossoftt行政管理理部负责解解释,自自发布之之日起执执行。1.3. 参考信息 安全战略和和体系架架构设计计 信息安全手手册 公司程序文文件 公司管理办办法 3rd Floor, No.50 Building, No.168 Longpan Zhong Road, Nanjing, P.R.China 5/60 ISMS 2. 术语和定义义2.1. 解释信息安全是指保护信信息资产产免受多多种安全全威胁,保保证业务务连续性性,将安安全事件件
8、造成的的损失降降至最小小,同时时最大限限度地获获得投资资回报和和商业机机遇。可用性确保经过授授权的用用户在需需要时可可以访问问信息并并使用相相关信息息资产。保密性确保只有经经过授权权的人才才能访问问信息。完整性保护信息和和信息的的处理方方法准确确而完整整。保密信息Sinossoftt安全规规章定义义的密级级信息。信息安全策策略正确使用和和管理IIT信息息资源并并保护这这些资源源使得它它们拥有有更好的的保密性性、完整整性、可可用性的的策略。风险评估评估信息安安全漏洞洞对信息息处理设设备带来来的威胁胁和影响响及其发发生的可可能性。风险管理以可以接受受的成本本,确认认、控制制、排除除可能影影响信息息
9、系统的的安全风风险或将将其带来来的危害害最小化化的过程程。计算机机房房装有计算机机主机、服服务器和和相关设设备的,除除了安装装和维护护的情况况外,不不允许人人员在里里边工作作的专用用房间。员工在Sinoosofft系统统内工作作的正式式员工、雇雇佣的临临时工作作人员。用户被授权能使使用ITT系统的的人员。信息资产与信息系统统相关联联的信息息、信息息的处理理设备和和服务。信息资产责责任人是指对某项项信息资资产安全全负责的的人员。合作单位是指与Siinossoftt有业务务往来的的单位,包包括承包包商、服服务提供供商、设设备厂商商、外包包服务商商、贸易易伙伴等等。第三方访问问指非本单位位的人员员对
10、信息息系统的的访问。安全事件利用信息系系统的安安全漏洞洞,对信信息资产产的保密密性、完完整性和和可用性性造成危危害的事事件。故障是指信息的的处理、传传输设备备运行出出现意外外障碍,以以至影响响信息系系统正常常运转的的事件。安全审计通过将所选选类型的的事件记记录在服服务器或或工作站站的安全全日志中中用来跟跟踪用户户活动的的过程。超时设置用户如果超超过特定定的时限限没有进进行动作作,就触触发其他他事件(如如断开连连接、锁锁定用户户等)。2.2. 词语使用必须表示强制性性的要求求。应当好的做法所所要达到到的要求求,条件件允许就就要实施施。可以表示希望达达到的要要求。3. Sinossoftt信息系系
11、统安全全策略目标:为信信息安全全提供管管理指导导和支持持,并与与业务要要求和相相关的法法律法规规保持一一致。3.1. 策略下发第1条 本策略必须须得到SSinoosofft管理理层批准准,并向向Sinnosooft所所有员工工和相关关第三方方公布传传达,全全体人员员必须履履行相关关的义务务,享受受相应的的权利,承承担相关关的责任任。3.2. 策略维护本策略通过过以下方方式进行行文档的的维护工工作:第2条 必须每年按按照信信息安全全风险评评估管理理程序进进行例行行的风险险评估,如如遇以下下情况必必须及时时进行风风险评估估: 发生重大安安全事故故 组织或技术术基础结结构发生生重大变更更 安全管理小小组认为为应当进进行风险险评估的的 其他应当进进行安全全风险评评估的情情形第3条 风险评估之之后根据据需要进进行安全全策略条条目修订订,并在在Sinnosooft内内公布传传达。3.3. 策略评审第4条 每年必须参参照信信息安全全管理评评审程序序执行行公司管管理评审审。3.4. 适用范围第5条 适用范围是是指本策策略使用用和涵盖盖的对象象,包括括Sinnosooft现现有的业业务系统统、硬件件资产、软软件资产产、信息息、通用用服务、物物理安全全区域等等。对于于即将投投入使用用和今后后规划的的信息系系统项目目也必须须参
