《网络信息安全管理制度.doc》由会员分享,可在线阅读,更多相关《网络信息安全管理制度.doc(63页珍藏版)》请在金锄头文库上搜索。
1、目录一、 物理访问制度ISMS-300111. 目的12. 范围13. 职责14. 员工外出管理15. 来宾出入管理规定16. 相关记录无2二、 外部相关方信息安全管理规程ISMS-300221. 目的22. 范围23. 职责24. 管理规定2三、 与政府相关资质申报及年审规定ISMS-300331. 目的:32. 职责:33. 技术部相关管理要求:34. 相关资质申报年审管理要求3四、 信息系统容量规划及验收管理制度ISMS-300441. 目的42. 范围43. 职责44. 内容4五、 信息资产密级管理规定ISMS-300541. 目的52. 范围53. 保密信息定义54. 秘密等级区分5
2、5. 信息的分类56. 保密文件的标识57. 传送68. 其它6六、 信息系统设备管理规定ISMS-300661. 目的和范围72. 引用文件73. 职责74. 设备管理流程75. 实施策略106. 相关记录10七、 机房管理规定ISMS-3007101. 目的和范围102. 引用文件113. 职责和权限114. 机房出入制度115. 机房环境管理116. 机房设备管理127. 相关记录12八、 笔记本电脑管理规定ISMS-3008131. 目的132. 引用文件133. 职责和权限134. 笔记本电脑使用规定135. 安全配置规定146. 外部人员使用笔记本的规定147. 客户现场管理规定1
3、58. 实施策略159. 相关记录15九、 介质管理规定ISMS-3009151. 目的和范围152. 引用文件153. 职责和权限164. 介质管理165. 实施策略186. 相关记录18十、 变更管理规定ISMS-3010181. 目的182. 引用文件183. 职责和权限194. 变更步骤管理195. 程序19十一、 第三方服务管理规定ISMS-3011211. 目的和范围212. 引用文件213. 职责和权限214. 第三方服务管理规定215. 实施策略22十二、 数据备份管理规定ISMS-3012231. 目的和范围232. 引用文件233. 职责和权限234. 备份管理235. 备
4、份的验证24十三、 邮件管理规定ISMS-3013251. 目的和范围252. 引用文件253. 职责和权限254. 电子邮件的帐户管理255. 电子邮件使用规定266. 邮件使用规定267. 实施策略278. 相关记录27十四、 软件管理规定ISMS-3014271. 目的和范围272. 引用文件273. 职责与权限274. 软件管理285. 审核、批准、发布286. 软件归档和存放287. 软件使用298. 修订与升级299. 软件作废2910. 实施策略2911. 相关记录30十五、 系统监控管理规定ISMS-3015301. 目的302. 引用文件303. 职责304. 系统监控管理3
5、0十六、 补丁管理规定ISMS-3016311. 目的312. 引用文件313. 职责与权限314. 补丁管理规定315. 其他补丁:326. 实施策略327. 相关记录33十七、 信息系统审核规范ISMS-3017331. 目的和范围332. 术语和定义333. 引用文件334. 职责和权限345. 活动描述346. 审核注意事项:35十八、 基础设施及服务器网络管理制度ISMS-3018351. 机房安全管理程序352. 重要信息备份管理程序383. 目的394. 机房设备维护管理制度41十九、 信息系统安全应急预案ISMS-3019421. 电力系统故障的应急处理422. 消防系统应急处
6、理423. 网络信息系统故障的应急处理434. 网站与应用系统应急处理435. 黑客入侵的应急处理446. 大规模病毒(含恶意软件)攻击的应急处理44二十、 终端计算机使用管理制度ISMS-3020451. 计算机使用管理452. 存储介质的管理473. 办公软件使用管理规定48二十一、 信息安全管理规范和操作指南ISMS-3021511. 总则512. 物理安全523. 计算机的物理安全管理524. 紧急情况525. 网络系统安全管理526. 网络安全检测。537. 信息系统安全管理538. 信息系统的内部管理549. 密码管理55V一、 物理访问制度ISMS-30011. 目的为了保障公司
7、办公区域资讯信息安全和员工人身及财物安全,防止公司财产流失,特制定本制度。2. 范围本制度适用于公司员工外出及外来人员进入公司出入管理。3. 职责公司设立接待人员,负责来访人员登记管理。4. 员工外出管理员工因工作需要外出,需向相应上一级主管作出事由说明,经批准后方可外出。到客户现场提供服务或工作的人员,需带公司胸卡。5. 来宾出入管理规定(1)凡是来宾访客(包括外包协作厂商、客户及政府等来访人员)进入公司内时,一律须出示其有效证件,说明来访事由,经被访人同意后,方可允许相关人员进入办公区。(2)团体来宾参观时,在得到总经理或副总的许可后,须由相关人员陪同方可进入。(3)员工亲友私事来访时,除
8、特殊紧急事故,经其部门主管核准外,不得在上班时间内会客,亲友须于会客区内等候至下班时会见。(4)公司内部核心区域出入管理规定1)敏感区域公司敏感区域主要为内部机房和经理室.公司安装监控器;实施办公区域24小时监控.2)如需进入上述敏感区域,需经管理者代表/总经理同意,否则不得进入。l相关文件物理访问控制程序6. 相关记录无二、 外部相关方信息安全管理规程ISMS-30021. 目的为确保被外部相关方访问、处理、共享、管理的组织信息及信息处理设施的安全,特制定本管理规定。2. 范围本管理规定适用于公司外部相关方(包括顾客.供方.第三方)管理。3. 职责技术部系统管理员负责制定本规定并负责执行。4
9、. 管理规定(1)第三方物理访问须经公司被访问部门的授权,具体执行访客管理制度.(2)公司与顾客需明确规定信息安全要求,公司规定在与客户签订合同中需规定必要的安全要求。(3)服务器访问权需由技术部统一授权给用户,一个用户给予惟一账号,口令自行保管.(4)本公司公网接入服务提供方等为外包过程,此类外包服务商应由技术部组织签订服务协议/合同,并应收集其相关资质,经公司评估成为合格供方后方可与之进行经济来往.(5)采购供方或任何其它相关方人员现场访问公司现场时,需由技术部接待,需要涉及到公司重要应用软件、重要设施及重要数据的访问时,必须由技术部人员授权方可使用或查阅,涉及到资料复制名外借时,公司重要
10、数据和文件需征得总经理同意.(6)服务合同1年注意更新。三、 与政府相关资质申报及年审规定ISMS-30031. 目的:为公司对外与政府相关部门的相关业务联系提供指导;2. 职责:技术部负责各项政府项目的申报。财务部负责报税和营业执照年审。3. 技术部相关管理要求:(1)申报相关流程;由技术部按各政府部门项目申报的要求下载相关表格,并按要求组织填报.(2)申报涉及到相关经营数据的审核相关经营数据在上报给政府部门前,先由核对数据,再交由综合部,审核通过后由总经理盖公司公章。(3)技术部申报材料的备份管理所有上报给政府部门的文件数据都备份一份,由技术部资质人员整理归档保存在办公室档案室中,并记录档
11、案文件编号。(4)材料保密要求所有档案文件材料由技术部专员负责看管,其他人员如要查阅,需先向技术申请,获得总经理批准认可后,到存放档案的办公室中查阅相关文件,档案文件不允许带出办公室。4. 相关资质申报年审管理要求(1)报税管理要求用政府财税处相关报税软件,在线填写企业经营数据,完成后由软件系统上报。(2)营业执照管理要求接到政府相关部门通知后,持企业营业执照到指定政府办事处办理营业执照年审手续。四、 信息系统容量规划及验收管理制度ISMS-30041. 目的针对已确定的服务级别目标和业务需求来设计、维持相应的技术部服务能力,从而确保实际的技术部服务能够满足服务要求。2. 范围适用于公司所有硬
12、件、软件、外围设备、人力资源容量管理。3. 职责技术部负责确定、评估容量需求。4. 内容(1)容量管理包括:服务器,重要网络设备:LAN、WAN、防火墙、路由器等;所有外围设备:存储设备、打印机等;所有软件:操作系统、网络、内部开发的软件包和购买的软件包;人力资源:要维持有足够技能的人员。(2)对于每一个新的和正在进行的活动来说,公司管理层应识别容量要求。(3)公司管理层每年应在管理评审时评审系统容量的可用性和效率。公司管理层应特别关注与订货交货周期或高成本相关的所有资源,并监视关键系统资源的利用,识别和避免潜在的瓶颈及对关键员工的依赖。(4)技术部应根据业务规划、预测、趋势或业务需求,定期预
13、测施加于综合部系统上的未来的业务负荷以及组织信息处理能力,以适当的成本和风险按时获得所需的容量,五、 信息资产密级管理规定ISMS-30051. 目的确保公司营运利益,并防止与公司营运相关的保密信息泄漏。2. 范围本办法适用于公司所有员工。3. 保密信息定义保密信息指与公司营运相关且列入机密等级管理的相关信息。4. 秘密等级区分机密等级分为秘密、内控、公开三类,区分标准如下:(1)秘密:凡该信息泄漏后,足以严重损害本公司益或有于竞争对手的。(2)内控:凡该信息泄漏后,虽致直接影响本公司益,但可能使本公司经营管理因而造成困扰,需限制其阅读对象的。(3)内控:凡该信息泄漏后,虽致直接影响本公司益,
14、但可能使本公司经营管理因而造成困扰,需限制其阅读对象的。(4)公开:指可对社会公开的信息,公用的信息处理设备和系统资源.5. 信息的分类(1)信息资产的分类可参见附件信息分类表。如未列入分类表的信息资产,可依照下面的原则进行判断:(2)秘密,由信息保管单位主管判定,且至少须为部门以上主管。(3)内控,由保密信息保管单位自行判定。6. 保密文件的标识(1)文件类的信息在判定等级后,加盖印章于文件及附件各页右上角或其它明显处。如页数太多,得酌情抽页盖骑缝章。但绝密级信息应予编码管控。(2)非文件类的保密信息,包括档案、电子邮件、投影片等,于判定等级后,应于资料传送显示前告知使用人或相关人员该项信息的密级。(3)印章由技术部统一刻制,发放给各个部门使用。7. 传送(1)内部传送(2)秘密、内控:保密信息保管单位应将印刷形式保密信息密封后注明机密等级,再装入传递袋中发送收件人;软件形式定稿和完整信息