信息安全服务规范标准-安全运维

当前版本：最新更新日期：最新更新作者：创建日期：审批人：审批日期：版本号更新日期修订作者主要修订摘要 1.信息安全方针 52.信息安全工作准则 53.职责 64.信息资产的分类规定 65.信息资产的分级(保密级别)规定 76.现行保密级别与原有保密级别对照表 7 88.信息资产标注管理规定 9 910.信息资产处理和保护要求对应表 12.桌面、屏幕清空策略 13.远程工作安全策略 14.移动办公策略 15.介质的申请、使用、挂失、报废要求 16.信息安全事件管理流程 18.设备报废信息安全要求 19.用户注册与权限管理策略 21.终端网络接入准则 22.终端使用安全准则 23.出口防火墙的日常管理规定 25.集线器、交换机、无线AP的日常管理规定 26.网络专线的日常管理规定 27.信息安全惩戒 履行对客户知识产权的保护承诺，保障客户信息资产的安全，满足并超越保护信息的机密性、完整性和可用性，即确保信息仅供给那些获得授权的人员使用、保护信息及信息处理方法的准确性和完整性、确保获得授权的公司通过建立有效的信息安全管理体系和必要的技术手段，保障信息资产各级信息安全责任者负责所辖区域的信息安全，通过建立相关制度及有效全体员工应只访问或使用获得授权的信息系统及其它信息资产，应按要求通过建立有效和高效的信息安全管理体系，定期评估信息安全风险，持续《信息标识与处理程序》,了解信息的保密级别。对于不能确定是否为涉密信类别电子数据存在信息媒介上的各种数据资料，包括源代码、数据库数据等各种电子化的数据资料、项目文档、管理文档、运行管理规程、计划、报告、用户手册、作业指导书等各种电子化的数据资料。软件包括系统软件、应用软件、共享软件系统软件：操作系统、语言包、工具软件、各种库等；应用软件：外部购买的应用软件，办公软件等；共享软件：各种共享源代码、共享可执行程序等。网络设备：路由器、网关、交换机等计算机设备：大型机、服务器、工作站、台式计算机、移动计算机等存储设备：磁带机、磁盘阵列、工控机等移动存储设备：磁带、光盘、软盘、U盘、移动硬盘等传输线路：光纤、双绞线等基础保障设备：(UPS、变电设备等)、空调、保险柜、文件柜、门禁、消防设施等，如对基础设施使用属于租用形式，请将其识别到服务类别中。安全保障设备：硬件防火墙、入侵检测系统、身份验证等其他电子设备：打印机、复印机、扫描仪、传真机等实体信息纸制的各种文件、合同、传真、会议纪要、财务报表、证书、电报、发展计划以及各类其他材质的证书奖牌等。通过各种协议方式固化下来的服务活动、如物业、第三方、供应商、提供检修服务的提供方等。5.信息资产的分级(保密级别)规定保密级别名称1一般一般性信息，可以公开的信息、信息处理设备和系统资2内部公开非敏感但仅限公司内部使用的信息、信息处理设备和系统3企业秘密敏感的信息、信息处理设备和系统资源，只给必须知道4企业机密敏感的信息、信息处理设备和系统资源，仅适用极少数必须知道的人。现行的保密级别与之相当的原有保密级别一般一般内部公开秘密企业秘密机密企业机密绝密角色职责责任人：信息资产的创建者，或者主要用户所在组织、单位或部门的负责人。信息资产责任人对所属信息资产负直接责任。理解和各种信息访问活动相关的安全风根据公司信息密级划分标准来确定所属信息资产的级别；针对所属信息资产提出恰当的保护措施。保管者：受信息资产责任人委托，对信息资产进行日常的管理，维护已经建立的保护措施。资产保管者通常是公司或部门的IT管理者或者代表(例如系统管理员)。根据公司相关策略和信息资产责任人的要负责具体设置信息访问权限；负责所管理的信息资产的安全控制；部署恰当的安全机制，进行备份和恢复操按照信息资产责任人的要求实施其他控用户：信息资产的使用者，除了公司内部员工，也可能是因为业务需要而访问公司信息的客户或第三方组织。向信息责任人申请信息访问；按照公司信息安全策略要求正当访问信息，禁止非授权访问；向相关组织报告隐患、故障或者违规事(1)公司所属的各类信息资产，无论其存在形式是电子、纸质还是磁盘等，(2)一般电子或纸质文档应在该文档页眉的右上角或页脚上标注其保密级别或在文件封面打上保密章，磁盘等介质应在其表面非数据区予以标注其(3)如果某存储介质中包含各个级别的信息，作为整体考虑，该存储介质的(4)如果没有明显的保密级别标注，该信息资产以"一般"级别看待。(5)对于对外公开的信息，需要得到相关责任人的核准，并由对外信息发布表述方式一：“保密声明：公司资产，注意保密。”得擅自复制或扩散。"企业机密企业秘密内部公开一般需得到责任人和公司管理层批准需得到相关责任人及部门领导批准需得到责无特别要求访问只能被得到授权的公司极少数核心人员访问只能被公司内部或外部得到明确授权的人员访问，访问者应该签署保密协议可以被公司内部或外部因为业务需要的人员访问任何公司员工或外部人员都可以访问电子类的应该加密存储在安全的计算机系统内；硬拷贝应该锁在安全的保险柜内；禁止以其他形式存储或显示电子类的应该妥善保存在设有安全内(建议进行信息该妥善保管，严禁摆放在桌面；使用白板展示后应立即电子类的管，可以进行加密；纸质不应放在桌面以恰当人员看到；存储有信息的丢失复制得到相关责任人准；需要登记须经相关责任人批准，并让专人操作或监督实施，需要登记经相关责任人批准内部复制无限制打印禁止打印(或在授权情况下专人负责打印，不得打印到无人值守机)须经相关责任人许可，打印件标注密级并妥善管理，不得打印到无人值守机经相关责任人许可，打印件标注密级并妥善管理无限制，打印件标注密级邮件送，经授权后做电子签名和加密控制，经安全的途径发送，保留记录须经相关责任人许可，邮件发送应做加密控制，保留记录经相关责任人许可无限制须经相关责任人许可后专人负责传真经相关责任人许可无限制快递经授权后采取妥善的保护措施，由专人快递经授权后，由签署了特定安全协议的递经授权后，由签署了特定安全协议的专门的快递公司快递无限制内部分发经相关责任人和公司管理层批准后，密封分发，或以允经相关责任人批准后，密封分发，或以允许的电子分经授权后，以内部邮件形式发无限制发形式进行安全的分发进行硬拷贝分发发经相关责任人和公司管理层批准后分发，需要签署特定的保密协议，需要经相关责任人批准后分发，需签署行登记经授权后，以邮件或者快递方式分发，建议签署保密协议经授权后，以允许的分发方式分发处理介质；电子记录定期消除；进行检查确认碎纸机；彻底销毁介质；电子记录定期消除；进行检查确认明作废；电子记录定期消除；介质销毁电子记录定期消除，介质销毁踪直接责任人应有收存者、浏览者、销毁者的日志记录跟踪文件复制、保存、浏览、销毁过程，应有记录无要求不建议全体员工在挑选和使用口令时，应：(1)保证口令的机密。(2)除非能安全保存，避免将口令记录在纸上。(3)只要有迹象表明系统或口令可能遭到破坏，应立即更改口令。(4)选用高质量的口令，最少要有6个字符，另外：A.口令应由字母加数字组成；B.口令不应采用如姓名、电话号码、生日等容易猜出或破解的信息。(5)每三个月更改或根据访问次数更改口令(特别是特权用户),避免再次使用或循环使用旧口令。(6)首次登录时，应立即更改临时口令。(7)不得共享个人用户口令。12.桌面、屏幕清空策略子中)。13.远程工作安全策略使用移动办公设备(如笔记本电脑)时，员工尤其应该注意保证业务信息(2)在公共场所使用移动办公设备时，必须注意防范被未经授权的人员窥视。(6)使用移动办公设备通过公共网对公司商务信息进行远程访问时必须进行序号责任者1资产管理员按照公司的固定资产或消耗资材申领方式向公司申领介质。《固定资产管理制度》《计算机维护消耗资材管理办法》2资产管理员从公司领取介质并登记到《介质登记表》中。《介质登记表》3资产管理员如通过设备管理，需通质在中注册。参见使用说明4资产管理员信息后发放介质。《介质登记表》A.如安装了设备，所有工作中使用的USB存储介质都应C.如果数据需要保存，则使用人应该保存在有良好安全措施的个人计D.所有的备份介质都应存放在安全可靠的地方，并符合生产厂家说明序号责任者相关文件或记录1使用者使用人立即向资产管理员申报挂失2资产管理员如果是通过usb使用的移动存储介质被挂失且在上注册过，则应在上进行注销。3资产管理员在介质登记表中登记挂失《介质登记表》序号责任者相关文件或记录1使用者1)书面文件用碎纸机粉碎2)其他介质报废，使用人向资产管理员申请介质报废。2资产管理员如果是通过usb使用的移动存储介质且在上注册过，则应在上进行注3资产管理员按照公司的固定资产和消耗资材的报废流程实施。《固定资产管理制《计算机维护消耗资材管理办法》4资产管理员《1介质登记表》16.信息安全事件管理流程A.公司全体员工都有责任和义务将已发现的或可疑的事件、故障和薄B.任何企图阻拦、干扰、报复事件报告者的行为都被视为违反公司策全事件报告处理记录单》,每月将相关记录上交过程管理部。B.除部门内可以自行处理的信息安全事件外，其余信息安全事件统一上报给客服记录。A.客服对信息安全事件做出最初响应，将技术方面的信息安全事件交B.需要做进一步调查的信息安全事件，当其影响范围涉及整个公司或保护人员的生命与安全D.如果发生违法事件，事件相关涉及部门要采集并保存有效证据，上A.要根据事件的严重程度、造成的损失、产生的原因对违规者进行B.惩戒手段可包括通报批评、行政警告、经济处罚、调离岗位、依(1)公司电子邮件系统禁止用于创建与分发任何含有破坏性、歧视性的信息，包括对种族、性别、残疾人、年龄、职业、性取向、宗教信仰、政治信念、国籍等方面的攻击性语言。公司的员工如果接收到任何含有此类信(2)禁止使用公司帐号发送连锁信。禁止使用公司电子邮件帐号发送病毒或恶意代码警告邮件。这些规则也适用于当公司员工接收到这类电子邮件(3)使用的邮件软件客户端要及时升级，减少由于软件的漏洞而受到外部攻(5)陌生人的邮件附件尽量不要打开，禁止撰写、发送、转发各种垃圾邮件，(8)公司业务信息邮件必须使用公司规定的业务专用邮箱发送，除了业务相(10)做好邮件的病毒防护工作。发送邮件应该注意邮件的保密，避免泄漏公应互相监督，及时制止违反规定的人员，对于使用公司邮箱传播反动言论、从事任何与法律或公司制度相违活动的人员将禁用或者注销其邮箱，18.设备报废信息安全要求19.用户注册与权限管理策略(1)使用唯一的用户名，以便将用户与其操作联系起来，使用户对其操作负(6)系统权限管理的责任人应定期组织检查并删除多余的用户名和账户，并(7)系统权限管理的责任人需要严格控制特权的分配和使用，要对特权的分配和使用情况进行评审，确保没有非法授予用户特权，以保证对数据和20.用户口令管理(1)用户需要自己维护口令，系统仅在开始时提供一个安全的临时口令，用户需要立即更改临时口令。用户忘记口令时，必须在对该用户进行适当(2)在向用户提供临时口令时必须确保其安全，避免使用第三方或无保护的(明文)电子邮件，用户应对收到的口令予以确认。21.终端网络接入准则件，不得私自使用其他防毒软件。22.终端使用安全准则(1)每台计算机应开启实时监控功能，定期进行计算机病毒检测，并及时对(2)每台计算机应定期连接公司网络并从病毒服务器获得防病毒软件的最新(3)为防止计算机使用人员私自卸载客户端及信息安全客户端，卸载密码和(4)公司不定期组织相关部门对客户端及信息安全客户端安装情况进行抽查。(5)计算机使用人员在安装、使用客户端及信息安全客户端中遇到技术问题，(6)为防止恶意代码的侵扰，每台计算机必须按《访问控制管理程序》第5.