网络信息安全管理制度.doc

目录 一 一 物理访问制度 ISMS 3001 1 1 1 目的 1 2 2 范围 1 3 3 职责 1 4 4 员工外出管理 1 5 5 来宾出入管理规定 1 6 6 相关记录无 2 二 二 外部相关方信息安全管理规程 ISMS 3002 2 1 1 目的 2 2 2 范围 2 3 3 职责 2 4 4 管理规定 2 三 三 与政府相关资质申报及年审规定 ISMS 3003 3 1 1 目的 3 2 2 职责 3 3 3 技术部相关管理要求 3 4 4 相关资质申报年审管理要求 3 四 四 信息系统容量规划及验收管理制度 ISMS 3004 4 1 1 目的 4 2 2 范围 4 3 3 职责 4 4 4 内容 4 五 五 信息资产密级管理规定 ISMS 3005 4 1 1 目的 5 2 2 范围 5 3 3 保密信息定义 5 4 4 秘密等级区分 5 5 5 信息的分类 5 6 6 保密文件的标识 5 7 7 传送 6 8 8 其它 6 六 六 信息系统设备管理规定 ISMS 3006 6 1 1 目的和范围 7 2 2 引用文件 7 3 3 职责 7 4 4 设备管理流程 7 5 5 实施策略 10 6 6 相关记录 10 七 七 机房管理规定 ISMS 3007 10 1 1 目的和范围 10 2 2 引用文件 11 3 3 职责和权限 11 4 4 机房出入制度 11 5 5 机房环境管理 11 6 6 机房设备管理 12 7 7 相关记录 12 八 八 笔记本电脑管理规定 ISMS 3008 13 1 1 目的 13 2 2 引用文件 13 3 3 职责和权限 13 4 4 笔记本电脑使用规定 13 5 5 安全配置规定 14 6 6 外部人员使用笔记本的规定 14 7 7 客户现场管理规定 15 8 8 实施策略 15 9 9 相关记录 15 九 九 介质管理规定 ISMS 3009 15 1 1 目的和范围 15 2 2 引用文件 15 3 3 职责和权限 16 4 4 介质管理 16 5 5 实施策略 18 6 6 相关记录 18 十 十 变更管理规定 ISMS 3010 18 1 1 目的 18 2 2 引用文件 18 3 3 职责和权限 19 4 4 变更步骤管理 19 5 5 程序 19 十一 十一 第三方服务管理规定 ISMS 3011 21 1 1 目的和范围 21 2 2 引用文件 21 3 3 职责和权限 21 4 4 第三方服务管理规定 21 5 5 实施策略 22 十二 十二 数据备份管理规定 ISMS 3012 23 1 1 目的和范围 23 2 2 引用文件 23 3 3 职责和权限 23 4 4 备份管理 23 5 5 备份的验证 24 十三 十三 邮件管理规定 ISMS 3013 25 1 1 目的和范围 25 2 2 引用文件 25 3 3 职责和权限 25 4 4 电子邮件的帐户管理 25 5 5 电子邮件使用规定 26 6 6 邮件使用规定 26 7 7 实施策略 27 8 8 相关记录 27 十四 十四 软件管理规定 ISMS 3014 27 1 1 目的和范围 27 2 2 引用文件 27 3 3 职责与权限 27 4 4 软件管理 28 5 5 审核 批准 发布 28 6 6 软件归档和存放 28 7 7 软件使用 29 8 8 修订与升级 29 9 9 软件作废 29 10 10 实施策略 29 11 11 相关记录 30 十五 十五 系统监控管理规定 ISMS 3015 30 1 1 目的 30 2 2 引用文件 30 3 3 职责 30 4 4 系统监控管理 30 十六 十六 补丁管理规定 ISMS 3016 31 1 1 目的 31 2 2 引用文件 31 3 3 职责与权限 31 4 4 补丁管理规定 31 5 5 其他补丁 32 6 6 实施策略 32 7 7 相关记录 33 十七 十七 信息系统审核规范 ISMS 3017 33 1 1 目的和范围 33 2 2 术语和定义 33 3 3 引用文件 33 4 4 职责和权限 34 5 5 活动描述 34 6 6 审核注意事项 35 十八 十八 基础设施及服务器网络管理制度 ISMS 3018 35 1 1 机房安全管理程序 35 2 2 重要信息备份管理程序 38 3 3 目的 39 4 4 机房设备维护管理制度 41 十九 十九 信息系统安全应急预案 ISMS 3019 42 1 1 电力系统故障的应急处理 42 2 2 消防系统应急处理 42 3 3 网络信息系统故障的应急处理 43 4 4 网站与应用系统应急处理 43 5 5 黑客入侵的应急处理 44 6 6 大规模病毒 含恶意软件 攻击的应急处理 44 二十 二十 终端计算机使用管理制度 ISMS 3020 45 1 1 计算机使用管理 45 2 2 存储介质的管理 47 3 3 办公软件使用管理规定 48 二十一 二十一 信息安全管理规范和操作指南 ISMS 3021 51 1 1 总则 51 2 2 物理安全 52 3 3 计算机的物理安全管理 52 4 4 紧急情况 52 5 5 网络系统安全管理 52 6 6 网络安全检测 53 7 7 信息系统安全管理 53 8 8 信息系统的内部管理 54 9 9 密码管理 55 可编辑 word 文档 一 一 物理访问制度 ISMS 3001 1 1 目的 为了保障公司办公区域资讯信息安全和员工人身及财物安全 防止公司 财产流失 特制定本制度 2 2 范围 本制度适用于公司员工外出及外来人员进入公司出入管理 3 3 职责 公司设立接待人员 负责来访人员登记管理 4 4 员工外出管理 员工因工作需要外出 需向相应上一级主管作出事由说明 经批准后方可 外出 到客户现场提供服务或工作的人员 需带公司胸卡 5 5 来宾出入管理规定 1 凡是来宾访客 包括外包协作厂商 客户及政府等来访人员 进入 公司内时 一律须出示其有效证件 说明来访事由 经被访人同意后 方可 允许相关人员进入办公区 2 团体来宾参观时 在得到总经理或副总的许可后 须由相关人员陪 同方可进入 3 员工亲友私事来访时 除特殊紧急事故 经其部门主管核准外 不 得在上班时间内会客 亲友须于会客区内等候至下班时会见 4 公司内部核心区域出入管理规定 1 敏感区域 公司敏感区域主要为内部机房和经理室 公司安装监控器 实施办公区域 24 小时监控 2 如需进入上述敏感区域 需经管理者代表 总经理同意 否则不得进入 可编辑 word 文档 相关文件物理访问控制程序 6 6 相关记录无 二 二 外部相关方信息安全管理规程 ISMS 3002 1 1 目的 为确保被外部相关方访问 处理 共享 管理的组织信息及信息处理设 施的安全 特制定本管理规定 2 2 范围 本管理规定适用于公司外部相关方 包括顾客 供方 第三方 管理 3 3 职责 技术部系统管理员负责制定本规定并负责执行 4 4 管理规定 1 第三方物理访问须经公司被访问部门的授权 具体执行 访客管理制 度 2 公司与顾客需明确规定信息安全要求 公司规定在与客户签订合同 中需规定必要的安全要求 3 服务器访问权需由技术部统一授权给用户 一个用户给予惟一账号 口令自行保管 4 本公司公网接入服务提供方等为外包过程 此类外包服务商应由技术 部组织签订服务协议 合同 并应收集其相关资质 经公司评估成为合格供方 后方可与之进行经济来往 5 采购供方或任何其它相关方人员现场访问公司现场时 需由技术部接 待 需要涉及到公司重要应用软件 重要设施及重要数据的访问时 必须由技 术部人员授权方可使用或查阅 涉及到资料复制名外借时 公司重要数据和文 件需征得总经理同意 6 服务合同 1 年注意更新 可编辑 word 文档 三 三 与政府相关资质申报及年审规定 ISMS 3003 1 1 目的 为公司对外与政府相关部门的相关业务联系提供指导 2 2 职责 技术部负责各项政府项目的申报 财务部负责报税和营业执照年审 3 3 技术部相关管理要求 1 申报相关流程 由技术部按各政府部门项目申报的要求下载相关表格 并按要求组织填 报 2 申报涉及到相关经营数据的审核 相关经营数据在上报给政府部门前 先由核对数据 再交由综合部 审 核通过后由总经理盖公司公章 3 技术部申报材料的备份管理 所有上报给政府部门的文件数据都备份一份 由技术部资质人员整理归 档保存在办公室档案室中 并记录档案文件编号 4 材料保密要求 所有档案文件材料由技术部专员负责看管 其他人员如要查阅 需先向 技术申请 获得总经理批准认可后 到存放档案的办公室中查阅相关文件 档案文件不允许带出办公室 4 4 相关资质申报年审管理要求 1 报税管理要求 用政府财税处相关报税软件 在线填写企业经营数据 完成后由软件系 统上报 2 营业执照管理要求 接到政府相关部门通知后 持企业营业执照到指定政府办事处办理营业 执照年审手续 可编辑 word 文档 四 四 信息系统容量规划及验收管理制度 ISMS 3004 1 1 目的 针对已确定的服务级别目标和业务需求来设计 维持相应的技术部服务 能力 从而确保实际的技术部服务能够满足服务要求 2 2 范围 适用于公司所有硬件 软件 外围设备 人力资源容量管理 3 3 职责 技术部负责确定 评估容量需求 4 4 内容 1 容量管理包括 服务器 重要网络设备 LAN WAN 防火墙 路由器 等 所有外围设备 存储设备 打印机等 所有软件 操作系统 网络 内 部开发的软件包和购买的软件包 人力资源 要维持有足够技能的人员 2 对于每一个新的和正在进行的活动来说 公司管理层应识别容量要 求 3 公司管理层每年应在管理评审时评审系统容量的可用性和效率 公 司管理层应特别关注与订货交货周期或高成本相关的所有资源 并监视关键 系统资源的利用 识别和避免潜在的瓶颈及对关键员工的依赖 4 技术部应根据业务规划 预测 趋势或业务需求 定期预测施加于综 合部系统上的未来的业务负荷以及组织信息处理能力 以适当的成本和风险 按时获得所需的容量 五 五 信息资产密级管理规定 ISMS 3005 可编辑 word 文档 1 1 目的 确保公司营运利益 并防止与公司营运相关的保密信息泄漏 2 2 范围 本办法适用于公司所有员工 3 3 保密信息定义 保密信息指与公司营运相关且列入机密等级管理的相关信息 4 4 秘密等级区分 机密等级分为秘密 内控 公开三类 区分标准如下 1 秘密 凡该信息泄漏后 足以严重损害本公司 益或有 于竞争对 手的 2 内控 凡该信息泄漏后 虽 致直接影响本公司 益 但可能使本 公司经营管理因而造成困扰 需限制其阅读对象的 3 内控 凡该信息泄漏后 虽 致直接影响本公司 益 但可能使本 公司经营管理因而造成困扰 需限制其阅读对象的 4 公开 指可对社会公开的信息 公用的信息处理设备和系统资源 5 5 信息的分类 1 信息资产的分类可参见附件 信息分类表 如未列入分类表的信 息资产 可依照下面的原则进行判断 2 秘密 由信息保管单位主管判定 且至少须为部门以上主管 3 内控 由保密信息保管单位自行判定 6 6 保密文件的标识 1 文件类的信息在判定等级后 加盖印章于文件及附件各页右上角或 其它明显处 如页数太多 得酌情抽页盖骑缝章 但绝密级信息应予编码管 控 2 非文件类的保密信息 包括档案 电子邮件 投影片等 于判定等 可编辑 word 文档 级后 应于资料传送 显示前告知使用人或相关人员该项信息的密级 3 印章由技术部统一刻制 发放给各个部门使用 7 7 传送 1 内部传送 2 秘密 内控 保密信息保管单位应将印刷形式保密信息密封后注明 机密等级 再装入传递袋中发送收件人 软件形式定稿和完整信息以电子邮 件方式传递时应加密 内控信息可 加密 3 外部传送 印刷形式保密信息于外部传送时应以挂号函件或其它适 当方式寄送收件人 任何软件形式的机密等级信息于公司外系统 或于公司 外使用环境情况下 非经加密均 得以电子邮件方式传递 以避免遭拦截转 送 4 其它未判定为任一机密等级但仍具有敏感性或半成品性质的信息于 传送前可应视情况加密 8 8 其它 1 保密信息 得用于公司以外的公开活动 如演讲 授课 一般资料 调查 出版发行等 如须于前述活动使用 应准用第五条的规定 并经管 理者代表核准 2 保密信息应由管代 相关负责人妥善保管 并善尽管理保护职责 3 离职员工应缴出其所持归公司所有的一切资料及其任何形式复印件 副本 并确定确实归还全部所持公司文件 4 新进人员于入职当天即应签署员工保密合约 在新进人员签署上述 文件时 综合部应对合约书上有关企业保密信息等有关条文详加说明与解释 务必使新进人员充分了解并遵守企业保密信息有关事项 5 保管人员判定保密信息无继续保存的必要时 可经各判定主管的上 一级主管核准后销毁 绝密信息 机密信息无保存必要时 应将正本连同复 印的保密信息 由原保管单位统一收回销毁 6 本办法经总经理核准后公告实施 修订时亦同 可编辑 word 文档 六 六 信息系统设备管理规定 ISMS 3006 1 1 目的和范围 本程序是对信息资产分类中物理资产下的硬件设备的规划 购置 安装 验收 使用 维护 处置等各阶段进行有效控制 在保证设备安全的前提下 最大限度发挥设备的效能 同时减少由于设备入网造成安全安全风险 2 2 引用文件 1 下列文件中的条款通过本规定的引用而成为本规定的条款 凡是注 日期的引用文件 其随后所有的修改单 不包括勘误的内容 或修订版均不 适用于本标准 然而 鼓励各部门研究是否可使用这些文件的最新版本 凡 是不注日期的引用文件 其最新版本适用于本标准 2 ISO IEC27001 2005 信息技术 安全技术 信息安全管理体系要求 3 ISO IEC27002 2005 信息技术 安全技术 信息安全管理实施细则 4 介质管理规定 5 笔记本电脑管理规定 6 机房管理规定 3 3 职责 1 技术部 负责信息设备的规划 安装 验收 使用 维护 处置 信 息设备指公司综合部建设方面所需的硬件设备 负责重大设备或新类设备的 安全评估 风险分析和安全验收 4 4 设备管理流程 1 设备入网 1 需按设备本身提供的 设备安全操作说明书 进行正确操作和使用 设备在日常使用过程中应注意安全 2 系统工程师应查找有关的风险评估报告 确定准备入网的设备是否已 做过风险评估 可编辑 word 文档 3 如果没有类似的设备做过风险分析和处置计划 则应按风险评估的要 求 通知信息安全管理小组进行 4 如果做过风险分析和处置计划 则应按照相关的处置计划和实施要求 制定设备入网计划 5 系统工程师对计划入网的设备在独立的测试环境中进行测试 测试通 过后提交综合部审批 6 技术部批准入网申请后 由系统工程师组织设备入网 7 设备入网应按照处置计划和入网计划对设备进行安全加固 8 对入网系统进行一段时间的监控 以观察入网是否生效 如果发现问 题 要及时进行处理 必要时要寻求供应商的协助 监控一段时间后 设备担 当组织人员进行验收 并通知信息安全管理小组对系统进行安全检测 2 设备安置与保护 3 信息设备安装管理 1 技术部对信息设备安全的安置与保护工作 包括对温度 湿度的监测 和日常的巡检等 详见 机房管理规定 2 信息安全设备的安置应按照设备制造商的说明 安置工作由专业人员 进行 3 信息安全设备安置要选择能够避免或减少未授权访问的物理场所 应 采取措施以减小潜在的物理威胁的风险 4 重要系统使用的信息设备安置在专用的机房内 5 安置在室外的信息设备要注意防盗 防雨 防雷 防尘 防腐蚀等工 作 6 确保消防设备充足并随时可用 定期进行消防演练 4 支持性设施安置管理 1 技术部负责信息安全设备支持性设施的管理工作 包括提供 维护 维修等 2 对支持关键业务操作的信息设备 使用不间断电源 UPS UPS 设 备要定期地检查 详见 机房管理规定 3 应急电源开关应位于设备房间应急出口附近 以便紧急情况时快速切 断电源 万一主电源出现故障时要提供应急照明 可编辑 word 文档 4 技术部要确保通风和空调系统等运行良好 对其运行情况可进行定期 检查 5 线缆安全 1 公司网络系统进入信息设备的电源和电信线路布在地板上 要建有冗 余线路或留有可替换线路 以保障线路的可用性 2 电缆要避开公众区域 铺设电缆要有线槽保护 以避免未授权窃听或 损坏的危害 为了防止干扰 电源电缆要与通信电缆分开布线 3 要采取切实有效的措施防范鼠患 防止电缆被鼠噬 4 电缆要使用牢固 清晰 可识别的标记 使用文件化配线列表减少布 线失误的可能性 以使失误最小化 详见 机房管理规定 6 设备移动 1 在公司物理环境以外严禁放置服务器 交换机 电脑等信息设备 2 公司原则上禁止机房设备移出公司物理环境 如确因工作需要 如展 会 维修等 需将公司的服务器 交换机 路由器等信息设备移到办公地点 外使用 需经研发主管批准后才能移出公司的物理环境 3 如需要供应商将设备移出公司物理环境进行维修时 在设备移出前 设备管理人员要将设备中敏感信息从设备中删除或确保维护人员对其不可访 问或获取 4 离开建筑物的信息设备和移动介质在公共场所要有专人看护和保管 不允许无人值守 适当时 还要施加其它措施进行控制 例如上锁 以防止 损坏 盗窃等事件发生 5 笔记本在公司办公场所以外使用 依 笔记本电脑管理规定 7 维护 保养 1 机器设备日常维护由设备使用者在日常使用时进行 维护项目限于查 看设备外观有无明显损坏 是否正常工作 是否通电正常等内容 2 定期维护由技术部专业工程师或供应商进行 定期维护根据不同设备 决定不同的维护周期 从一周一次到半年一次不等 定期维护项目包括软硬 件更换 性能检查 性能调优等 3 定期维护和年底维护后 要将维护项目 维护过程 维护人员 维护 结果等内容详细记录在 设备维护记录 中 可编辑 word 文档 8 设备处置 1 设备的处置由设备使用部门提出 经经总经理批准后 对设备进行处 理 2 信息设备在处置过程中须考虑信息安全 3 设备报废前设备管理责任人要负责删除所有信息 对包含敏感信息的 设备要对其信息载体在物理上应予以销毁 或者采用使原始信息不可获取的 技术将其安全地重写 如消磁 4 信息设备的报废工作由综合部负责 需要填写 废弃介质处置记录 经 总经理批准后 才能进行报废 5 对于因闲置 人员离辞或设备换代等原因不再使用的信息设备 特别 是个人电脑 在设备归仓前 要采用信息不可获取的技术将其敏感信息 工 作信息和个人信息删除 以确保在设备重用时 重用者不会获得与其工作无 关的内容 6 对试用设备和测试设备 无论是自有的还是供应商的 中的信息在试 用和测试后 由试用或测试人员立即清除 防止重要信息泄露 7 废弃介质处理方法参见 介质管理规定 5 5 实施策略 1 设备管理规定涉及到包括 设备维护记录 共 1 个表单 2 对设备的定期维护等内容详细填写 设备维护记录 6 6 相关记录 本程序发生的记录汇总表 表 6 1 ISMS 文件日常应用表格 表号记录编号记录名称 保管 场所 保存 期限 保存形 式 备注 表 A 1 ISMS 3009 01 设备维护记录表技术部1 年电子 七 七 机房管理规定 ISMS 3007 可编辑 word 文档 1 1 目的和范围 为科学 有效地管理机房 促进各信息系统在机房安全的 稳定的 高 效的运行 特制定本规定 2 2 引用文件 1 下列文件中的条款通过本规定的引用而成为本规定的条款 凡是注 日期的引用文件 其随后所有的修改单 不包括勘误的内容 或修订版均不 适用于本标准 然而 鼓励各部门研究是否可使用这些文件的最新版本 凡 是不注日期的引用文件 其最新版本适用于本标准 2 ISO IEC27001 2005 信息技术 安全技术 信息安全管理体系要求 3 ISO IEC27002 2005 信息技术 安全技术 信息安全管理实施细 4 设备管理规定 5 访问控制程序 3 3 职责和权限 技术部 负责责机房的日常检查 维护和管理工作 及当发生紧急事件 时 按应急预案进行相应的处置 4 4 机房出入制度 1 机房的进出由技术部严格管理 机房的钥匙保存技术部 如需进入 机房 必须得到技术部的授权 在技术部领取钥匙后方可进入 2 未经许可不准携带任何磁带 盘 磁介质和资料进入机房 经特 许携带的 必须由专人陪同方可进入 3 未经许可不允许使用摄影 录像 笔记 或其它音像记录设备等 5 5 机房环境管理 1 技术部对机房环境每半月进行一次检查 对发现的问题要及时解决 填写 机房巡检记录表 2 机房内要保持设备无尘 布线整齐 物品就位 资料齐全 3 机房内严禁堆放与工作无关的其它物品及纸质物品 做好消防灭火 设备检查工作 可编辑 word 文档 4 机房内禁止饮食 吸烟 打闹 大声喧哗 机房内不得会客 闲谈 5 机房内备有温度计和湿度计 温度保持在 18 25 湿度保持在 40 60 温度计和湿度计应每年作一次检测 6 机房接地系统要符合相应的技术标准 各个设备交流工作电源应有 工作接地 机柜应有效接地 7 机房配电柜要有防雷设施 进出机房的电缆应有防雷措施 8 机房用电要使用独立的电线 专用变压器 电源稳压器等 9 机房的环境应达到机房建设的设计要求 6 6 机房设备管理 1 机房要有完整的网络拓扑图 物理拓扑图 2 机房内的所有设备应贴有设备标签 并注明设备的主要参数 3 主机系统和网络设备的各类接线的两端应设置标签 网络接口侧应 注明连接的设备 4 对主要网络设备如核心路由器 交换机 防火墙 IDS 等设备的配 置文件每 6 个月进行进行一次评审 5 对机房的主机设备及智能网络交换装置应严格管理 做好事故预想 制定周密的故障应急措施 6 严禁擅自在运行的小型机 交换机 路由器等设备上进行开发 维 护 调试或学习培训等工作 7 实施策略 1 机房管理规定涉及的 机房巡检记录表 共 1 个表单 7 7 相关记录 本程序发生的记录汇总表 可编辑 word 文档 表 7 1 ISMS 文件日常应用表格 表号记录编号记录名称 保管 场所 保存 期限 保存形式备注 表 A 1 ISMS 3021 01 机房巡检记录表信息安全小组1 年纸质 八 八 笔记本电脑管理规定 ISMS 3008 1 1 目的 建立笔记本电脑设备的使用规定及其与互联网的连接制度 这些规定是 保持信息资源保密性 完整性和可用性所必需的 为加强业务笔记本电脑设 备的合理利用与笔记本电脑设备信息安全管理 特制定该管理规定 适用所 有业务部门员工和需在业务部门办公室工作的人员 2 2 引用文件 1 下列文件中的条款通过本规定的引用而成为本规定的条款 凡是注 日期的引用文件 其随后所有的修改单 不包括勘误的内容 或修订版均不 适用于本标准 然而 鼓励各部门研究是否可使用这些文件的最新版本 凡 是不注日期的引用文件 其最新版本适用于本标准 2 ISO IEC27001 2005 信息技术 安全技术 信息安全管理体系要求 3 ISO IEC27002 2005 信息技术 安全技术 信息安全管理实施细则 4 防范病毒及恶意软件管理规定 3 3 职责和权限 1 总经理 负责笔记本电脑申请的审批 2 技术部 负责笔记本电脑的发放管理 3 使用人员 负责便携计算机的日常使用保养和维护 4 4 笔记本电脑使用规定 1 公司所有笔记本电脑由使用人员自行保管负责 若是公司统一配置的 可编辑 word 文档 在辞职时应到综合部办理电脑交接手续 并在 离职交接清单 中作好备注 2 技术部授权使用的笔记本电脑未经部门经理同意严格禁止带出公司 3 未经许可 员工不得携带个人笔记本电脑设备进入公司办公场所 4 笔记本电脑设备必须有严格的口令访问控制措施 口令设置需满足 公司安全策略要求 5 对无人看守的笔记本电脑设备必须实施物理保护 必须放在带锁的 办公室 抽屉或文件柜里 6 笔记本电脑设备丢失或被窃后应及时报告给部门经理和技术部 7 除自然损坏外 凡人为损坏 如撞坏 跌坏 电源插错烧坏等 由 本人负责修好 费用由个人承担 8 便携机中除工作所需的软件外 不导入其他与工作无关的软件 特 别要保证便携机不带病毒 5 5 安全配置规定 1 授权使用的笔记本电脑设备必须安装公司安全策略规定的防病毒软 件 2 笔记本电脑设备每月进行一次病毒软件和操作系统补丁检查和评审 由电脑使用人员自行负责 3 笔记本电脑设备若支持内置的硬盘加密措施 应启用该措施 以免 电脑或硬盘丢失后造成数据泄密 4 公司采用相关产品和方法对笔记本数据进行加密处理和使用 防止 信息泄密 5 公司采用相关产品和方法对笔记本进行监控 6 公司内部未经授权禁止开启无线网卡功能 禁止使用公司外部的未 设安全机制的无线网络 系统管理员要每月扫描一次公司能接受到的外部不 安全网络 7 公司的无线网络仅供授权的技术支持人员使用 其他未经技术部授 可编辑 word 文档 权禁止便携机连入使用 6 6 外部人员使用笔记本的规定 1 外部人员使用的笔记本电脑只能连接到公共上网区 通过独立于公 司内部的专用网络上网 出于安全考虑 一般不予考虑客人接入公司内部网 络 2 外部人员接待负责人需提前通知技术部该外部人员笔记本电脑使用 的地点 便于技术部配置相关网络 3 若外部人员需要在业务办公地点长期工作 指超过 2 周时间 需 经技术部经理批准 7 7 客户现场管理规定 1 在客户现场进行开发及维护等工作时 在遵守本公司管理规定时 同时要遵守客户的管理方面相关规定 2 如在客户现场工作时需要使用笔记本 相关部门人员应尽量使用本 部门公共笔记本 并进行登记 3 在客户现场使用笔记本工作时 必须注意信息的保密 防止笔记本 内信息泄露 4 笔记本内新产生的数据应及时在客户备份系统或公司备份系统上进 行备份 防止数据丢失 8 8 实施策略 自行保管负责 无线网络加密上网 9 9 相关记录 无 可编辑 word 文档 九 九 介质管理规定 ISMS 3009 1 1 目的和范围 任何信息设备 如 计算机 交换机 打印机 传真机 复印机等 都 需要介质进行存储 当存储设备或可移动介质需要转移或销毁时 如果处理 不当 很容易造成信息泄漏 因此 必须按规定执行处置 适用于移动存储 设备 介质在本公司办公场所及房机内的使用管理 2 2 引用文件 1 下列文件中的条款通过本规定的引用而成为本规定的条款 凡是注 日期的引用文件 其随后所有的修改单 不包括勘误的内容 或修订版均不 适用于本标准 然而 鼓励各部门研究是否可使用这些文件的最新版本 凡 是不注日期的引用文件 其最新版本适用于本标准 2 ISO IEC27001 2005 信息技术 安全技术 信息安全管理体系要求 3 ISO IEC27002 2005 信息技术 安全技术 信息安全管理实施细则 3 3 职责和权限 1 综合部 负责对公司各类的可移动介质和存储介质的发放 使用 处置的进行管 理 2 介质使用部门和使用者 3 由部门负责管理的介质 由该部门领导指定专人负责保管 个人使 用的介质由本人负责保管 4 4 介质管理 1 介质分类 1 技术部对公司使用的介质 进行介质分类 制定 介质管理分类表 2 介质分为一般介质和可移动介质 一般介质包括 计算机存储介质 可移动介质是指 U 盘 移动硬盘 数码相机 光盘 光盘刻录机 PDA 带 USB 接口的 MP3 MP4 播放器等 可编辑 word 文档 2 介质使用管理 1 一般情况下公司禁止使用可移动介质 2 确因工作需要使用移动介质 须经本部门领导批准后方可到技术部领 用 3 技术部负责可移动介质的发放 并填写 可移动介质授权使用表 4 授权用户要注意保护自己所属可移动介质不被盗取 5 授权用户要注意保护自己所属可移动介质不被盗取 保管时要放置于 安全的区域内 如带锁的柜子 6 非本公司工作人员禁止在内部网络设备上使用可移动介质 7 各使用人必须每月一次对自己使用的移动介质进行病毒扫描 8 使用可移动介质保存公司秘密数据时 移动介质必须采用必要的加密 措施 防止信息泄露 有条件时使用带有加密功能的可移动介质设备 9 用户在将可移动介质带离公司后 要为其上所有信息资源的安全负责 做好安全保护工作 一旦遗失 立刻上报技术部进行登记 10 光盘的刻录 a 带有公司标志的光盘 只能刻录公司自己的程序软件 不得刻录例如 操作系统 数据库等软件 b 公司销售时 必须刻录光盘时 由技术部专门负责人进行刻录 其他 人员不得随意刻录光盘 3 客户现场使用规定 1 必须严格将笔记本病毒防火墙升级到最新 2 能使用客户提供的 U 盘 移动硬盘的 使用客户提供的设备 3 必须使用自己的 U 盘 移动硬盘在客户计算机上使用的 必须先对 U 盘 移动硬盘进行病毒扫描 保证提供给客户的设备中不包含病毒 4 介质处置 1 技术部对介质分类表内的介质的废弃进行统一管理 对废弃的介质采 用恰当的介质处置方法 2 计算机硬盘 U 盘 可移动硬盘 光盘 数码存储介质等报废时必须 粉碎处理 3 对废弃的可移动介质在 可移动介质授权使用表 中跟踪填写废弃记 可编辑 word 文档 录 4 对废弃的一般介质处理填写 废弃介质处置记录 5 介质的销毁方式一般分为一般格式化 低级格式化 专业软件重写 物理粉碎 6 对无敏感信息的介质作一般格式化即可 在保证质量的基础上重新分 配和使用 7 介质中保存有敏感信息的存储介质应当得到安全的存放和处置 对于 含有敏感信息的介质应采用低级格式化或专业软件重写 反复次数为三次 才能重新分配和使用 8 保存有敏感信息的存储介质废弃时 要进行粉碎处理 5 5 实施策略 1 介质管理规定涉及的 介质管理表 中包括 介质管理分类表 可移动介质授权使用表 废弃介质处置记录 2 技术部制定 介质管理分类表 3 技术部负责可移动介质的发放 并填写 可移动介质授权使用表 4 对废弃的可移动介质在 可移动介质授权使用表 中跟踪填写废弃 记录 5 对废弃的一般介质处理填写 废弃介质处置记录 6 6 相关记录 本程序发生的记录汇总表 表 9 1 ISMS 文件日常应用表格 表号记录编号记录名称 保管 场所 保存 期限 保存形 式 备注 表 A 1 ISMS 3012 01 介质管理分类表技术部3 年电子 表 A 2 ISMS 3012 02 可移动介质授权使用表技术部3 年纸质 表 A 3 ISMS 3012 03 废弃介质处置记录技术部3 年电子 可编辑 word 文档 十 十 变更管理规定 ISMS 3010 1 1 目的 对信息处理设施和系统的变更缺乏控制是系统故障或安全失误的常见原 因 为规范本公司信息系统的变更 降低因信息系统变更带来的风险 特制 定本程序 2 2 引用文件 1 下列文件中的条款通过本规定的引用而成为本规定的条款 凡是注 日期的引用文件 其随后所有的修改单 不包括勘误的内容 或修订版均不 适用于本标准 然而 鼓励各部门研究是否可使用这些文件的最新版本 凡 是不注日期的引用文件 其最新版本适用于本标准 2 ISO IEC27001 2005 信息技术 安全技术 信息安全管理体系要求 3 ISO IEC27002 2005 信息技术 安全技术 信息安全管理实施细则 3 3 职责和权限 1 技术部 技术部是公司信息系统变更的归口管理部门 负责批准变 更的计划 实施 恢复 总体评价变更影响 决策管理 并实施变更 2 其他各部门 负责分管的各自工作系统的计划申请和总体评价变更 影响 4 4 变更步骤管理 变更申请 变更审批 变更处理 5 5 程序 1 变更分类 1 技术部设备变更 包括系统中服务器 网络设备 传输线路及计算机 终端的新增 减少及其设备本身的变化 包括设备的报废 2 操作系统软件变更 包括新安装 补丁 版本升级及更换 如打 ZLJY2 补丁 3 开发软件包的变更 可编辑 word 文档 2 技术部设备变更控制 软件设备 包括传输线路 的变更需求由技术部门根据组织业务发展的 需要提出 填写 变更申请审批处理表 经技术部门经理批准后予以实施 3 操作系统软件变更 当软件厂商发布操作系统或应用软件的更新补丁或版本时 技术部人员 负责分析更新内容对公司现有业务及工作的影响 技术部人员可以先选一台 测试机安装最新补丁 在未发现对工作业务产生重要负面影响的前提下 为 使用该操作系统或应用软件的用户安装补丁 4 软件的变更控制 当客户重新对项目的某一或某些模块进行重要要求时 项目组负责跟踪 客户的新要求 进行业务及可以行性分析 组织有关人员进行方案评审 考 虑系统改造对现有业务的影响 并制定有效的风险控制措施 方案在评审通 过后 修改 需求开发说明书 针对发生变更的模块 修改相应的详细设 计书 数据库说明书 源程序 并对整个项目重新进行测试 在软件正式变更前 项目组应考虑以下方面的安全要求 1 变更对目前业务的影响 2 变更对现有软件的影响 3 变更实施前应进行安全测试 4 不成功的变更恢复措施 在变更实施前 由技术部门填写 变更申请审批处理表 明确变更的 原因 变更范围 变更影响的分析及对策 包括不成功变更的恢复措施 经技术部人员批准后予以实施 5 变更实施的安全要求 在变更实施之前 必要时 将重要的数据 系统软件进行备份 以便变 更不成功之后的恢复 在变更实施之前 必要时 应和相关部门协商 以便确定适当的变更时 间 尽可能的将对业务的影响减至最低 6 变更验收与记录 当变更成功提交后 需由用户进行验收 确认其是否已完成用户所提的 可编辑 word 文档 要求 达到预期的效果 并记录此次变更操作 7 设备报废 设备报废应得到综合部批准后实施 报废设备中存有敏感信息 必须予 以清除 8 变更后软件备份要求 当变更完成后 需将此次所运行的软件进行备份 包括其相关资料 以 便再一次变更以及资料查询 如果此次变更涉及到一些资料文件 则这些资 料文件也必须做相应的变更并存档 9 变更不成功的恢复措施 取消所做变更 从备份资料中获得原始软件资料 重新运行 恢复原始 状态 根据变更操作记录 查找变更失败原因 以便再次做变更操作时避免同 样的错误发生 十一 十一 第三方服务管理规定 ISMS 3011 1 1 目的和范围 对第三方提供的服务进行规范 减少由于服务不规范带来的信息安全方 面的风险 2 2 引用文件 1 下列文件中的条款通过本规定的引用而成为本规定的条款 凡是注 日期的引用文件 其随后所有的修改单 不包括勘误的内容 或修订版均不 适用于本标准 然而 鼓励各部门研究是否可使用这些文件的最新版本 凡 是不注日期的引用文件 其最新版本适用于本标准 2 ISO IEC27001 2005 信息技术 安全技术 信息安全管理体系要求 3 ISO IEC27002 2005 信息技术 安全技术 信息安全管理实施细则 3 3 职责和权限 1 技术部 是信息安全方面的第三方服务的归口管理部门 负责对信 可编辑 word 文档 息安全方面的第三方服务的定期监控和评审 2 技术部 是日常行政管理方面的第三方服务的归口管理部门 负责 对行政方面的第三方服务的定期监控和评审 负责第三方服务合同中条款的 审核 4 4 第三方服务管理规定 1 技术部汇总各部门的资产识别表 整理出公司的 第三方服务汇总 表 明确需要按本规定进行管理的第三方服务项目和其中重要的第三方服 务 2 将设备 网络 系统 软件 信息安全 保安 保洁等事项进行外 包时 重要的第三方服务必须签订要与第三方服务提供方签署 服务合同 能接触到公司敏感信息资产的服务项目的服务合同中应包含第三方保密要求 的内容 3 所有的第三方服务的提供方需提供服务人员的姓名 联系方式等信 息 技术部汇总 第三方服务厂商联系表 4 重要的第三方服务人员服务时相关的原始服务单据由归口管理部门 负责验收签字并保存好相关服务记录 5 对服务提供方技术人员在现场处理需要设备入网时 必须经技术部 门领导同意后方可入网 6 对第三方提供服务的能力进行评定 必要时通过招投标 确定合格 第三方 7 要确保第三方保持充分的提供服务的能力 即便发生重大的服务故 障或灾难也能保持服务的连贯性 8 每次第三方服务完成时指定专人按照服务合同要求对服务内容和质 量进行记录和评审 并在相关服务原始记录中作好验收签字确认 9 第三方服务归口管理部门应每年对服务提供商进行定期评审 以确 认是否继续列为合格服务商 10 当服务提供方发生变更时 进行服务提供方变更登记 并进行服务 现有状态的评估 对变更后的服务提供方进行服务评估 5 5 实施策略 可编辑 word 文档 1 第三方服务管理规定中涉及的 第三方服务管理总表 包括 第三 方服务汇总表 第三方服务厂商联系表 共 2 个表单 2 技术部整理出公司的 第三方服务汇总表 3 重要的第三方服务必须签订要与第三方服务提供方签署 服务合同 能接触到公司敏感信息资产的服务项目的服务合同中应包含第三方保密要 求的内容 4 技术部汇总 第三方服务厂商联系表 5 第三方服务归口管理部门应每年对服务提供商进行定期评审 必要时 调整服务供方 6 相关记录 本程序发生的记录汇总表 表 11 1 ISMS 文件日常应用格式汇总 表号记录编号记录名称 保管 场所 保存 期限 保存形 式 备注 表 A 1 ISMS 3014 01 第三方服务汇总表技术部3 年电子 表 A 2服务合同技术部3 年纸质 表 A 3 ISMS 3014 02 第三方服务厂商联系 表 技术部3 年电子 十二 十二 数据备份管理规定 ISMS 3012 1 1 目的和范围 为确保数据的完整性及有效性 以便在发生信息安全事故时能够准确及 时的恢复数据 避免业务的中断 特制定本规定 2 2 引用文件 1 下列文件中的条款通过本规定的引用而成为本规定的条款 凡是注 日期的引用文件 其随后所有的修改单 不包括勘误的内容 或修订版均不 可编辑 word 文档 适用于本标准 然而 鼓励各部门研究是否可使用这些文件的最新版本 凡 是不注日期的引用文件 其最新版本适用于本标准 2 ISO IEC27001 2005 信息技术 安全技术 信息安全管理体系要求 3 ISO IEC17799 2005 信息技术 安全技术 信息安全管理实施细则 4 系统维护与监控管理规定 3 3 职责和权限 技术部负责公司内部系统运营相关数据的备份管理控制 技术部负责本公司软件开发所需相关数据的备份管理控制 其它各个部门根据自己部门的业务特点 建立各自的备份策略进行备份 4 4 备份管理 备份策略 1 公司各部门根据数据重要程度和工作需要提出需要备份的数据 2 信息安全小组根据各制定 备份策略明细表 明确各项备份数据 备份的详细策略 3 信息安全小组每半年对备份策略进行评审 确定是否满足各部门备 份要求 4 建立备份环境 安装调试备份软件 5 应建立备份拷贝的准确完整的记录和文件化的恢复程序 6 备份的程度 例如全部备份或部分备份 和频率应反映组织的业务 要求 涉及信息的安全要求和信息对组织持续运作的关键度 7 备份要存储在一个远程地点 有足够距离 以避免主办公场所灾难 时受到损坏 8 若可行 要定期测试备份介质 以确保当需要应急使用时可以依靠 这些备份介质 9 恢复程序应定期检查和测试 以确保他们有效 并能在操作程序恢 复所分配的时间内完成 10 在保密性十分重要的情况下 备份应通过加密方法进行保护 可编辑 word 文档 5 5 备份的验证 1 备份负责人根据 备份策略明细表 检查备份的工作是否按照备 份策略实际的进行了 如果未按照备份策略进行备份 备份负责人指令备份 人重新进行备份 2 备份负责人根据实际需要 确定哪些非常重要的数据需要做恢复测 试 需要恢复测试数据的恢复测试频率 对备份数据进行定期验证 3 备份数据的管理 1 备份目录应进行严格的权限管控 无关人员禁止访问备份目录 2 如无特殊声明 备份数据永久保存 如需废弃 需经备份负责人批准 后 删除备份数据 4 相关记录 本程序发生的记录汇总表 表 12 1 ISMS 文件日常应用格式汇总 表号记录编号记录名称 保管 场所 保存 期限 保存形 式 备注 表 A 1 ISMS 3015 01 备份策略明细表技术部三年电子 表 A 2 ISMS 3015 02 备份策略检查表技术部三年电子 表 A 3 ISMS 3015 03 备份数据恢复测试记录 表 技术部三年电子 十三 十三 邮件管理规定 ISMS 3013 1 1 目的和范围 为保证公司的业务的信息安全 必须对其进行有效的管理 确保公司员 工对邮件的合理使用 更好地促进内部并与第三方进行相关工作信息的交流 适用于公司业务中被批准 能够通过 Email 发送 收取和存储信息的所有人 每个业务的邮件使用者都应该遵守该规章制度 2 2 引用文件 1 下列文件中的条款通过本规定的引用而成为本规定的条款 凡是注 日期的引用文件 其随后所有的修改单 不包括勘误的内容 或修订版均不 适用于本标准 然而 鼓励各部门研究是否可使用这些文件的最新版本 凡 可编辑 word 文档 是不注日期的引用文件 其最新版本适用于本标准 2 ISO IEC27001 2005 信息技术 安全技术 信息安全管理体系要求 3 ISO IEC27002 2005 信息技术 安全技术 信息安全管理实施细则 3 3 职责和权限 1 技术部 负责电子邮件系统的规划 建设和日常运行维护 负责邮 件的用户名及密码的分配和管理 如有必要 负责邮件的归档 过滤及监控 等工作 2 使用人员 申请公司的邮箱 按照公司的规定使用邮箱 4 4 电子邮件的帐户管理 1 帐户申请 公司邮箱 工作人员正式入职以后须向技术部申请邮件账号 5 5 电子邮件使用规定 1 明确禁止的行为 在未授权的情况下发送公司机密文件 项目文档或程序代码等未授权的 信息 2 发送或者群发与工作无关的邮件或垃圾邮件及个人信息 3 发送或者转发虚假 黄色 反动信息 4 发送或者转发宣扬个人政治倾向或者宗教信仰 5 利用电子邮件服务传输任何骚扰性的 中伤他人的 恐吓性的 庸 俗 淫秽以及其他违反国家规定内容的信息资料 6 在非授权情况下以公司的名义发表或群发个人意见 7 利用电子邮件服务散布电脑病毒 木马程序 干扰网络上其他使用 者或破坏网络系统的正常运行 6 6 邮件使用规定 1 除非特别批准 使用白名单限制发送邮件的收件人地址 2 邮件系统为公司因工作需要而对外联系所用 用户必须以本人的真 实身份使用用于办公用途的电子邮箱 禁止以他人名义滥发邮件或盗用他人 可编辑 word 文档 邮箱 3 邮箱用户的登录密码 用户必须严格保密 不得泄露 如将其借予 他人使用 由此造成的一切安全后果由邮件帐号所有人承担 4 用户不得将电子邮件地址用于非工作目的 特别是以娱乐 购物 交 友等为目的身份注册 5 Email 账号密码必须符合口令策略的相关规定 6 未经授权任何人不得尝试以他人帐户口令进行登录 阅读他人邮件 内容 7 在对外联系中 应