信息安全规章制度

信息安全规章制度、海隆海工信息安全工作中的信息安全管理无论工作是什么类型，在其工作中都需要处理信息安全问题。信息安全需整合到公司的管理方法中，以确保将识别并处理信息安全风险作为工作的一部分。这通常可应用于所有的工作，无论其特性是什么，例如海隆106船施工工程、IT、设施管理和其他支持过程等方面的工作。实施过程：公司配备有专门的文档管理员，对所有工作中的文件进行统一管理。我们会在服务器上建立专门的共享文件夹，并设置相关人员对此文件夹获得的各种对应的权限。每天都会对工作中的文件进行备份处理，对某些重要的文件进行加密处理。移动设备的管理确保远程工作和使用移动设备的安全。宜采用书面的管理方法和支持性安全措施来管理由于使用移动设备带来的风险。实施过程：对所有移动设备都应该加入域账号，所有人员都应该对电脑设置相应的账号和密码。所有移动设备都应该按公司要求和员工的需求安装软件，员工个人不能安装无用的软件。所有移动设备都应该安装杀毒软件和防火墙等防范措施。应该对员工进行移动设备出差时需要注意事项的培训。移动设备的信息都应该定期做相应的备份。所有移动设备都应该安装监控软件，并能够远程控制关闭软件，删除文件或者锁定这些设备。远程工作用书面的文件管理和支持性安全措施来保护在远程工作场地访问、处理或存储的信息。确保远程工作和使用移动设备时的信息安全。实施过程：在远程工作中所有人员必须使用公司提供的移动设备，不得在私人的设备上存储公司信息。我们在服务器上设置有相应的账号密码，用来进行远程的访问链接。在远程工作中，不得随意把自己设备的账号密码告诉他人，也不得随意让他人使用自己的设备。公司所有移动设备都安装有杀毒软件和防火墙，员工不得私自更改设置或删除。在远程工作结束后，应将公司的远程设备归还，服务器也会删除其相对应的账号密码。二、海隆海工资产管理资产清单宜识别与信息和信息处理设施的资产，编制并维护这些资产的清单。公司宜识别与信息生命周期有关的资产，并将其重要性形成文件。信息的生命周期宜包括创建、处理、存储、传输、删除和销毁。文件宜以专用清单进行维护，适当时，或以现有清单进行维护。资产清单宜是准确的、最新的，并与其它清单保持一致和匹配。实施过程：应该对公司所有资产做好表格，所有资产都有详细的清单。对所有资产清单都及时更新，并保证资产清单都是最新和正确的。资产所有权已批准对资产生命周期具有管理职责的部门和个人，有资格被指定为资产所有者。通常要实施确保及时分配资产所有权的过程。宜当资产被创建或资产转移至组织时分配所有权。资产所有者宜负责在整个资产生命周期内对资产进行适当管理。实施过程：所有资产都应该列入清单中。所有资产都应该登记有使用人的信息，使用人应当保护好这些公司的资产。资产的可接受使用使用或访问公司信息资产的雇员，应该对公司信息相关的资产的信息安全要求做相应的培训。他们宜对其所有信息处理资源的使用行为负责，这种使用不能超出其职责的范围。实施过程：应该对文件等信息资产做过相对应的权限设置。应对公司雇员做相关的公司信息资产安全培训。资产的归还终止过程应有书面的文件，以包括归还所有先前发放的公司拥有或交托的物理和电子资产。当一个雇员或第三方人员拥有的知识对正在进行的操作具有重要意义时，此信息应当形成文件并转移给公司。在终止的离职通知期内，公司应控制已终止的雇员复制有关信息（例如知识产权）。实施过程：在员工离职时，都必须把所有原公司资产转交给公司。公司所有重要文件上都应做过文件加密，已防止员工离职后私自把这些信息随意复制带走。员工离职后，应对其邮箱中的所有邮件做备份、删除并注销其邮箱账号等处理。可移动介质的管理防止存储在介质上的信息遭受未授权泄露、修改、移动或销毁。实施过程：所有重要资料都会做加密处理，并在需要复制出去的时候进行授权。服务器中的重要资料都做过权限的设置。复制出去的加密文件可以设置其打开次数或有效时间，以防止信息泄露。重要数据做过多份备份，都存储在不同的移动硬盘中，防止数据损坏或者丢失。三、访问控制访问控制策略访问控制策略宜建立、形成文件，并基于业务和信息安全要求进行评审。资产所有者宜为特定用户角色访问其资产确定适当的访问控制规则、访问权限和限制，反映相关信息安全风险的控制措施要具备足够的细节和严格性。访问控制包括逻辑的和物理的它们宜一起考虑。宜给用户和服务提供商提供一份访问控制要满足的业务要求的清晰说明。实施过程：目前公司对于服务器建立了各部门的公共文件夹，用于存放个部门的信息。对公司所有人员都建立了对应的账号密码，并设置了访问的权限。在实际使用过程中，会更新实际情况对人员或公共文件夹的权限做出相应的调整。对于离职的人员及时的删除其访问权限的账号。网络和网络服务的访问用户宜仅能访问已获专门授权使用的网络和网络服务。宜制定关于使用网络和网络服务的策略。实施过程：1、船上路由器做了绑定物理地址和IP的设定，只允许特定的人员访问外网。船上的餐厅设置了无线路由器，对此路由器进行了流量、人员数量、时间段等设定，这样就能很好的控制船上人员的上网。3、对于服务器的AMOS做过REMOTEAPP设置，这样员工出差时候也可以随时访问AMOS进行查看、审批等操作。公司和船都对路由器进行过设置，可以随时查看所有人员使用网络的状态信息。用户访问管理确保授权用户访问系统和服务，并防止未授权的访问。宜实施正式的用户注册及注销规程，使访问权限得以分配。实施过程：每个用户访问服务器共享盘等网络都使用的唯一的账号信息，这样员工在访问时进行的任何操作都是有记录可以查询的。2、员工离职后会立即删除其ID号。3、定期我们会检查服务器中是否存在多余的ID号，并撤销这些ID。4、我们会定期对服务器账号做检查，保证分配给所有员工的ID都是唯一的，权限等也都设置正确。用户访问开通宜实施正式的用户访问开通过程，以分配或撤销所有系统和服务所有用户类型的访问权限。分配或撤销授予用户ID的访问权限的开通过程。实施过程：新员工入职后都会按职位给予账号和相应的访问权限。对于员工职位或者部门有变更的都回发出邮件，我们会根据邮件中的信息做出对应的调整变更。特殊访问权限管理宜限制和控制特殊访问权限的分配及使用。宜采取相关控制策略通过正式的授权过程控制特殊访问权限的分配。实施过程：1、对很多系统和程序（例如邮箱，OA系统，AMOS系统等）相关的特殊访问权限和所需要分配的用户，都需要通过流程申请授权后才能分配特殊账号和权限。在申请的流程未走完之前，是不会授予特殊访问的账号和权限的。对于特殊账号会定期实施评审和维护，对账号的期限、权限等信息做到和他们的责任相一致。用户秘密鉴别信息管理宜通过正式的管理过程控制秘密鉴别信息的分配。实施过程：用户需要维护自己的秘密鉴别信息，在建立账号时会给他们提供一个临时的密码，并强制要求其在首次使用时变更。秘密鉴别信息或者临时的秘密鉴别信息对个人来说都是唯一的，不可猜测的。用户访问权限的复查资产所有者宜定期复查用户的访问权限。实施过程：定期在任何变更之后（例如员工离职，升职，降职等）后进行权限的复查。在公司期间员工变更部门后，应复查和重新分配用户的访问权限对于各种特殊访问权限我们会更加频繁的进行复查。用户职责使用户承担保护鉴别信息的责任。宜要求用户在使用秘密鉴别信息时，遵循组织的实践。实施过程：员工必须保密秘密鉴别信息，确保不透入给任何人，包括授权人。避免保留秘密鉴别信息的记录（例如在纸上、系统文件中、手机文件中等）每当觉得自己的秘密鉴别信息不安全时，应立即更改秘密鉴别信息。秘密鉴别信息应该便于记忆，不要使用别人容易猜测或者获得的信息（例如生日，姓名拼音，电话号码，连续的数字或字母等）在初次登入后立即更换临时的口令，不要共享个人的秘密鉴别信息。系统和应用访问控制防止对系统和应用的未授权访问。宜依照访问控制策略限制对信息和应用系统功能的访问。实施过程：在服务器建立了共享文件夹，并按照账号设置了各种权限。可以控制用户的访问权限，如读，写，删除，执行等操作。控制了其他应用程序的访问权限。四、密码学密码控制恰当和有效的利用密码学保护信息的保密性、真实性或完整性。宜开发和实施使用密码控制措施来保护信息的策略。实施过程：1、共享盘，邮箱，系统，OA等都设置了相应的初始密码。根据资料需要的保护级别，我们对重要的资料还进行了文件加密。我们设置有专门的人员来管理加密文件，实行对重要资料加密或解密操作。使用密码技术后可以提供一个事态行为发生的证据。使用了密码技术后我们可以对请求访问的人员和资源的用户以及与系统用户有交互的其他系统进行身份的鉴别。五、物理和环境安全安全区域防止对组织场所和信息的未授权物理访问、损坏和干扰。宜由适合的入口控制所保护，以确保只有授权的人员才允许访问。实施过程每台服务器均有独立可上锁机柜，并且放置于独立房间内，服务器平时也都设置在锁屏状态。用于放置服务器的独立房间房门常锁，相应钥匙由管理人员保管。服务器间不处于办公室中或周围明显位置。进出服务器间需相应人员/管理人员授权，未取得授权不得进入。办公室所有人员都有指纹录入，进入办公室都需要指纹开门，下班后办公室都锁门。登船设有专门的登船口，所有上下船人员都需做记录，登记上下船的时间和日期等信息。船上所有重要房间都配有钥匙，有管理人员进行保管。设备保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断。包含储存介质的设备的所有项目宜进行验证，以确保在处置之前，任何敏感信息和注册软件已被删除或安全地写覆盖。实施过程1、每台服务器均配有UPS不间断电源。电源、通信分别布缆，大部分位于墙内和地下，并使用接线盒连接。船上每层都有上锁的电缆、通信设备间，网线的交换器都有专门的上锁盒子保护。管理人员定时检查和维护硬件设备、备份等，并做相应记录。各计算机归还管理人员后均检查、清空储存介质内资料并将系统恢复至初始状态。当各设备空闲或无人使用时，会自动锁定，再进入需对应密码，否则不能进入系统。桌面等明显处不存放重要或敏感信息，共享中的敏感信息也都做过加密保护措施。当人员离开办公室时，都会将敏感或者业务关键信息锁起来。六、操作安全操作规程和职责确保正确、安全的操作信息处理设施。操作规程宜形成文件并对所有需要的用户可用。实施过程通过制定规章制度约束用户的操作，电脑系统和各种软件都按规定来安装使用。通过设置相应权限来控制用户对敏感信息的操作。定期对文件、系统等做相应的备份处理，以便在出现异常或误操作后恢复。定时清理过时、无用数据，保障正常储存空间。测试与运行环境相独立，不影响敏感数据。恶意软件防护确保对信息和信息处理设施进行恶意软件防护。实施恶意软件的检测、预防和恢复的控制措施，以及适当的提高用户安全意识。防范恶意软件宜基于恶意代码检测、修复软件、安全意识、适当的系统访问和变更管理控制措施。实施过程限制用户从不明途径下载、复制文件和程序。各计算机安装防火墙与杀毒软件，并定期更新。定期备份系统和数据，以便从恶意软件的攻击中恢复系统和数据。在进行下载数据、复制文件、安装软件等操作时进行安全性扫描。备份为了防止数据丢失，按照已设的备份策略，定期备份和测试信息、软件及系统镜像。提供足够的备份设施，以确保所有必要的信息和软件能在灾难或介质故障后进行恢复。实施过程建立备份策略，以定义组织信息、软件和系统备份的要求。服务器等储存重要数据、信息设备设置定时自动备份与不定时手动备份，备份资料分别保存。服务器在微软云服务器中也定期做过相应的系统和数据备份，防止发生意外时恢复。以数据资料有效期限来设定备份内容保存周期，确保备份工作的进行。敏感数据的备份都是通过加密方式进行保护的。日志和监视记录事态和生成证据。产生记录用户活动、异常情况、故障和信息安全事态的事态日志，并保持定期评审。实施过程1、对员工电脑都安装有监控软件，对所有员工对应的ID,系统活动内容，备份，网络IP地址等都会产生相应的记录。对员工电脑会定期抽查系统日志和电脑操作的记录等信息。记录日志的设施和日志信息加以保护,以防止篡改和未授权的访问。各设备上的时间需同步,以保证日志的可靠性。运行软件的控制确保运行系统的完整性。防止系统、软件漏洞被利用。实施过程运行软件、应用和程序库的安装、更新应由相应管理人员来完成。相应管理人员应负责软件、应用的更新、升级和维护。规定允许安装和禁止安装的软件类型。七、通信安全网络安全管理确保网络中信息的安全性并保护支持性信息处理设施。管理和控制网络，以保护系统中信息和应用程序的安全。实施过程实施控制措施，以确保网络上的信息安全、防止未授权访问所连接的服务。建立网络设备使用的管理制度，专员定期保养各网络设备。设置相应权限控制内、外网的登录与连接；将内网、外网从逻辑上、部分物理上进行隔绝，确保不会被越权访问。对网络进行监控，发现非正常的访问可以立即限