版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、I 目录 一、一、 物理访问制度 ISMS-3001.1 1.1. 目的 .1 2.2. 范围 .1 3.3. 职责 .1 4.4. 员工外出管理 .1 5.5. 来宾出入管理规定 .1 6.6. 相关记录无 .2 二、二、 外部相关方信息安全管理规程 ISMS-3002.2 1.1. 目的 .2 2.2. 范围 .2 3.3. 职责 .2 4.4. 管理规定 .2 三、三、 与政府相关资质申报及年审规定 ISMS-3003.3 1.1. 目的: .3 2.2. 职责: .3 3.3. 技术部相关管理要求: .3 4.4. 相关资质申报年审管理要求 .3 四、四、 信息系统容量规划及验收管理制
2、度 ISMS-3004.4 1.1. 目的 .4 2.2. 范围 .4 3.3. 职责 .4 4.4. 内容 .4 五、五、 信息资产密级管理规定 ISMS-3005.4 1.1. 目的 .5 2.2. 范围 .5 3.3. 保密信息定义 .5 4.4. 秘密等级区分 .5 5.5. 信息的分类 .5 II 6.6. 保密文件的标识 .5 7.7. 传送 .6 8.8. 其它 .6 六、六、 信息系统设备管理规定 ISMS-3006.6 1.1. 目的和范围 .7 2.2. 引用文件 .7 3.3. 职责 .7 4.4. 设备管理流程 .7 5.5. 实施策略 .10 6.6. 相关记录 .1
3、0 七、七、 机房管理规定 ISMS-3007.10 1.1. 目的和范围 .10 2.2. 引用文件 .11 3.3. 职责和权限 .11 4.4. 机房出入制度 .11 5.5. 机房环境管理 .11 6.6. 机房设备管理 .12 7.7. 相关记录 .12 八、八、 笔记本电脑管理规定 ISMS-3008.13 1.1. 目的 .13 2.2. 引用文件 .13 3.3. 职责和权限 .13 4.4. 笔记本电脑使用规定 .13 5.5. 安全配置规定 .14 6.6. 外部人员使用笔记本的规定 .14 7.7. 客户现场管理规定 .15 8.8. 实施策略 .15 9.9. 相关记录
4、 .15 九、九、 介质管理规定 ISMS-3009.15 1.1. 目的和范围 .15 2.2. 引用文件 .15 III 3.3. 职责和权限 .16 4.4. 介质管理 .16 5.5. 实施策略 .18 6.6. 相关记录 .18 十、十、 变更管理规定 ISMS-3010.18 1.1. 目的 .18 2.2. 引用文件 .18 3.3. 职责和权限 .19 4.4. 变更步骤管理 .19 5.5. 程序 .19 十一、十一、 第三方服务管理规定 ISMS-3011.21 1.1. 目的和范围 .21 2.2. 引用文件 .21 3.3. 职责和权限 .21 4.4. 第三方服务管理
5、规定 .21 5.5. 实施策略 .22 十二、十二、 数据备份管理规定 ISMS-3012.23 1.1. 目的和范围 .23 2.2. 引用文件 .23 3.3. 职责和权限 .23 4.4. 备份管理 .23 5.5. 备份的验证 .24 十三、十三、 邮件管理规定 ISMS-3013.25 1.1. 目的和范围 .25 2.2. 引用文件 .25 3.3. 职责和权限 .25 4.4. 电子邮件的帐户管理 .25 5.5. 电子邮件使用规定 .26 6.6. 邮件使用规定 .26 7.7. 实施策略 .27 8.8. 相关记录 .27 IV 十四、十四、 软件管理规定 ISMS-301
6、4.27 1.1. 目的和范围 .27 2.2. 引用文件 .27 3.3. 职责与权限 .27 4.4. 软件管理 .28 5.5. 审核、批准、发布 .28 6.6. 软件归档和存放 .28 7.7. 软件使用 .29 8.8. 修订与升级 .29 9.9. 软件作废 .29 10.10. 实施策略 .29 11.11. 相关记录 .30 十五、十五、 系统监控管理规定 ISMS-3015.30 1.1. 目的 .30 2.2. 引用文件 .30 3.3. 职责 .30 4.4. 系统监控管理 .30 十六、十六、 补丁管理规定 ISMS-3016.31 1.1. 目的 .31 2.2.
7、引用文件 .31 3.3. 职责与权限 .31 4.4. 补丁管理规定 .31 5.5. 其他补丁: .32 6.6. 实施策略 .32 7.7. 相关记录 .33 十七、十七、 信息系统审核规范 ISMS-3017.33 1.1. 目的和范围 .33 2.2. 术语和定义 .33 3.3. 引用文件 .33 4.4. 职责和权限 .34 5.5. 活动描述 .34 V 6.6. 审核注意事项: .35 十八、十八、 基础设施及服务器网络管理制度 ISMS-3018.35 1.1. 机房安全管理程序 .35 2.2. 重要信息备份管理程序 .38 3.3. 目的 .39 4.4. 机房设备维护
8、管理制度 .41 十九、十九、 信息系统安全应急预案 ISMS-3019.42 1.1. 电力系统故障的应急处理 .42 2.2. 消防系统应急处理 .42 3.3. 网络信息系统故障的应急处理 .43 4.4. 网站与应用系统应急处理 .43 5.5. 黑客入侵的应急处理 .44 6.6. 大规模病毒(含恶意软件)攻击的应急处理 .44 二十、二十、 终端计算机使用管理制度 ISMS-3020.45 1.1. 计算机使用管理 .45 2.2. 存储介质的管理 .47 3.3. 办公软件使用管理规定 .48 二十一、二十一、 信息安全管理规范和操作指南 ISMS-3021.51 1.1. 总则
9、 .51 2.2. 物理安全 .52 3.3. 计算机的物理安全管理 .52 4.4. 紧急情况 .52 5.5. 网络系统安全管理 .52 6.6. 网络安全检测。 .53 7.7. 信息系统安全管理 .53 8.8. 信息系统的内部管理 .54 9.9. 密码管理 .55 1 一、一、 物理访问制度 ISMS-3001 1. 1. 目的 为了保障公司办公区域资讯信息安全和员工人身及财物安全,防止公司 财产流失,特制定本制度。 2. 2. 范围 本制度适用于公司员工外出及外来人员进入公司出入管理。 3. 3. 职责 公司设立接待人员,负责来访人员登记管理。 4. 4. 员工外出管理 员工因工
10、作需要外出,需向相应上一级主管作出事由说明,经批准后方可 外出。 到客户现场提供服务或工作的人员,需带公司胸卡。 5. 5. 来宾出入管理规定 (1)凡是来宾访客(包括外包协作厂商、客户及政府等来访人员)进入 公司内时,一律须出示其有效证件,说明来访事由,经被访人同意后,方可 允许相关人员进入办公区。 (2)团体来宾参观时,在得到总经理或副总的许可后,须由相关人员陪 同方可进入。 (3)员工亲友私事来访时,除特殊紧急事故,经其部门主管核准外,不 得在上班时间内会客,亲友须于会客区内等候至下班时会见。 (4)公司内部核心区域出入管理规定 1)敏感区域 公司敏感区域主要为内部机房和经理室.公司安装
11、监控器;实施办公区域 24 小时监控. 2)如需进入上述敏感区域,需经管理者代表/总经理同意,否则不得进入。 2 相关文件物理访问控制程序 6. 6. 相关记录无 二、二、 外部相关方信息安全管理规程 ISMS-3002 1. 1. 目的 为确保被外部相关方访问、处理、共享、管理的组织信息及信息处理设 施的安全,特制定本管理规定。 2. 2. 范围 本管理规定适用于公司外部相关方(包括顾客.供方.第三方)管理。 3. 3. 职责 技术部系统管理员负责制定本规定并负责执行。 4. 4. 管理规定 (1)第三方物理访问须经公司被访问部门的授权,具体执行访客管理制 度. (2)公司与顾客需明确规定信
12、息安全要求,公司规定在与客户签订合同 中需规定必要的安全要求。 (3)服务器访问权需由技术部统一授权给用户,一个用户给予惟一账号, 口令自行保管. (4)本公司公网接入服务提供方等为外包过程,此类外包服务商应由技术 部组织签订服务协议/合同,并应收集其相关资质,经公司评估成为合格供方 后方可与之进行经济来往. (5)采购供方或任何其它相关方人员现场访问公司现场时,需由技术部接 待,需要涉及到公司重要应用软件、重要设施及重要数据的访问时,必须由技 术部人员授权方可使用或查阅,涉及到资料复制名外借时,公司重要数据和文 件需征得总经理同意. (6)服务合同1 年注意更新。 3 三、三、 与政府相关资
13、质申报及年审规定 ISMS-3003 1. 1. 目的: 为公司对外与政府相关部门的相关业务联系提供指导; 2. 2. 职责: 技术部负责各项政府项目的申报。 财务部负责报税和营业执照年审。 3. 3. 技术部相关管理要求: (1)申报相关流程; 由技术部按各政府部门项目申报的要求下载相关表格,并按要求组织填 报. (2)申报涉及到相关经营数据的审核 相关经营数据在上报给政府部门前,先由核对数据,再交由综合部,审 核通过后由总经理盖公司公章。 (3)技术部申报材料的备份管理 所有上报给政府部门的文件数据都备份一份,由技术部资质人员整理归 档保存在办公室档案室中,并记录档案文件编号。 (4)材料
14、保密要求 所有档案文件材料由技术部专员负责看管,其他人员如要查阅,需先向 技术申请,获得总经理批准认可后,到存放档案的办公室中查阅相关文件, 档案文件不允许带出办公室。 4. 4. 相关资质申报年审管理要求 (1)报税管理要求 用政府财税处相关报税软件,在线填写企业经营数据,完成后由软件系 统上报。 (2)营业执照管理要求 接到政府相关部门通知后,持企业营业执照到指定政府办事处办理营业 执照年审手续。 4 四、四、 信息系统容量规划及验收管理制度 ISMS-3004 1. 1. 目的 针对已确定的服务级别目标和业务需求来设计、维持相应的技术部服务 能力,从而确保实际的技术部服务能够满足服务要求
15、。 2. 2. 范围 适用于公司所有硬件、软件、外围设备、人力资源容量管理。 3. 3. 职责 技术部负责确定、评估容量需求。 4. 4. 内容 (1)容量管理包括:服务器,重要网络设备:LAN、WAN、防火墙、路由器 等;所有外围设备:存储设备、打印机等;所有软件:操作系统、网络、内 部开发的软件包和购买的软件包;人力资源:要维持有足够技能的人员。 (2)对于每一个新的和正在进行的活动来说,公司管理层应识别容量要 求。 (3)公司管理层每年应在管理评审时评审系统容量的可用性和效率。公 司管理层应特别关注与订货交货周期或高成本相关的所有资源,并监视关键 系统资源的利用,识别和避免潜在的瓶颈及对
16、关键员工的依赖。 (4)技术部应根据业务规划、预测、趋势或业务需求,定期预测施加于综 合部系统上的未来的业务负荷以及组织信息处理能力,以适当的成本和风险 按时获得所需的容量, 五、五、 信息资产密级管理规定 ISMS-3005 5 1. 1. 目的 确保公司营运利益,并防止与公司营运相关的保密信息泄漏。 2. 2. 范围 本办法适用于公司所有员工。 3. 3. 保密信息定义 保密信息指与公司营运相关且列入机密等级管理的相关信息。 4. 4. 秘密等级区分 机密等级分为秘密、内控、公开三类,区分标准如下: (1)秘密:凡该信息泄漏后,足以严重损害本公司益或有于竞争对 手的。 (2)内控:凡该信息
17、泄漏后,虽致直接影响本公司益,但可能使本 公司经营管理因而造成困扰,需限制其阅读对象的。 (3)内控:凡该信息泄漏后,虽致直接影响本公司益,但可能使本 公司经营管理因而造成困扰,需限制其阅读对象的。 (4)公开:指可对社会公开的信息,公用的信息处理设备和系统资源. 5. 5. 信息的分类 (1)信息资产的分类可参见附件信息分类表。如未列入分类表的信 息资产,可依照下面的原则进行判断: (2)秘密,由信息保管单位主管判定,且至少须为部门以上主管。 (3)内控,由保密信息保管单位自行判定。 6. 6. 保密文件的标识 (1)文件类的信息在判定等级后,加盖印章于文件及附件各页右上角或 其它明显处。如
18、页数太多,得酌情抽页盖骑缝章。但绝密级信息应予编码管 控。 (2)非文件类的保密信息,包括档案、电子邮件、投影片等,于判定等 6 级后,应于资料传送显示前告知使用人或相关人员该项信息的密级。 (3)印章由技术部统一刻制,发放给各个部门使用。 7. 7. 传送 (1)内部传送 (2)秘密、内控:保密信息保管单位应将印刷形式保密信息密封后注明 机密等级,再装入传递袋中发送收件人;软件形式定稿和完整信息以电子邮 件方式传递时应加密;内控信息可加密。 (3)外部传送:印刷形式保密信息于外部传送时应以挂号函件或其它适 当方式寄送收件人。任何软件形式的机密等级信息于公司外系统、或于公司 外使用环境情况下,
19、非经加密均得以电子邮件方式传递,以避免遭拦截转 送。 (4)其它未判定为任一机密等级但仍具有敏感性或半成品性质的信息于 传送前可应视情况加密。 8. 8. 其它 (1)保密信息得用于公司以外的公开活动(如演讲、授课、一般资料 调查、出版发行等),如须于前述活动使用,应准用第五条的规定,并经管 理者代表核准。 (2)保密信息应由管代/相关负责人妥善保管,并善尽管理保护职责。 (3)离职员工应缴出其所持归公司所有的一切资料及其任何形式复印件、 副本,并确定确实归还全部所持公司文件。 (4)新进人员于入职当天即应签署员工保密合约,在新进人员签署上述 文件时,综合部应对合约书上有关企业保密信息等有关条
20、文详加说明与解释, 务必使新进人员充分了解并遵守企业保密信息有关事项。 (5)保管人员判定保密信息无继续保存的必要时,可经各判定主管的上 一级主管核准后销毁。绝密信息、机密信息无保存必要时,应将正本连同复 印的保密信息,由原保管单位统一收回销毁。 (6)本办法经总经理核准后公告实施,修订时亦同。 7 六、六、 信息系统设备管理规定 ISMS-3006 1. 1. 目的和范围 本程序是对信息资产分类中物理资产下的硬件设备的规划、购置、安装、 验收、使用、维护、处置等各阶段进行有效控制,在保证设备安全的前提下 最大限度发挥设备的效能,同时减少由于设备入网造成安全安全风险。 2. 2. 引用文件 (
21、1)下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注 日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不 适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡 是不注日期的引用文件,其最新版本适用于本标准。 (2)ISO/IEC27001:2005 信息技术-安全技术-信息安全管理体系要求 (3)ISO/IEC27002:2005 信息技术-安全技术-信息安全管理实施细则 (4)介质管理规定 (5)笔记本电脑管理规定 (6)机房管理规定 3. 3. 职责 1)技术部:负责信息设备的规划、安装、验收、使用、维护、处置。信 息设备指公司综合部建设方面所需的硬
22、件设备。负责重大设备或新类设备的 安全评估、风险分析和安全验收。 4. 4. 设备管理流程 (1)设备入网 1)需按设备本身提供的“设备安全操作说明书”进行正确操作和使用, 设备在日常使用过程中应注意安全; 2)系统工程师应查找有关的风险评估报告,确定准备入网的设备是否已 做过风险评估。 8 3)如果没有类似的设备做过风险分析和处置计划,则应按风险评估的要 求,通知信息安全管理小组进行。 4)如果做过风险分析和处置计划,则应按照相关的处置计划和实施要求, 制定设备入网计划。 5)系统工程师对计划入网的设备在独立的测试环境中进行测试,测试通 过后提交综合部审批。 6)技术部批准入网申请后,由系统
23、工程师组织设备入网。 7)设备入网应按照处置计划和入网计划对设备进行安全加固。 8)对入网系统进行一段时间的监控,以观察入网是否生效。如果发现问 题,要及时进行处理,必要时要寻求供应商的协助。监控一段时间后,设备担 当组织人员进行验收,并通知信息安全管理小组对系统进行安全检测。 (2)设备安置与保护 (3)信息设备安装管理 1)技术部对信息设备安全的安置与保护工作,包括对温度、湿度的监测 和日常的巡检等,详见机房管理规定。 2)信息安全设备的安置应按照设备制造商的说明,安置工作由专业人员 进行。 3)信息安全设备安置要选择能够避免或减少未授权访问的物理场所,应 采取措施以减小潜在的物理威胁的风
24、险。 4)重要系统使用的信息设备安置在专用的机房内。 5)安置在室外的信息设备要注意防盗、防雨、防雷、防尘、防腐蚀等工 作。 6)确保消防设备充足并随时可用,定期进行消防演练。 (4)支持性设施安置管理 1)技术部负责信息安全设备支持性设施的管理工作,包括提供、维护、 维修等。 2)对支持关键业务操作的信息设备,使用不间断电源(UPS)。UPS 设 备要定期地检查,详见机房管理规定。 3)应急电源开关应位于设备房间应急出口附近,以便紧急情况时快速切 断电源。万一主电源出现故障时要提供应急照明。 9 4)技术部要确保通风和空调系统等运行良好,对其运行情况可进行定期 检查。 (5)线缆安全 1)公
25、司网络系统进入信息设备的电源和电信线路布在地板上,要建有冗 余线路或留有可替换线路,以保障线路的可用性。 2)电缆要避开公众区域,铺设电缆要有线槽保护,以避免未授权窃听或 损坏的危害。为了防止干扰,电源电缆要与通信电缆分开布线。 3)要采取切实有效的措施防范鼠患,防止电缆被鼠噬。 4)电缆要使用牢固、清晰、可识别的标记,使用文件化配线列表减少布 线失误的可能性,以使失误最小化,详见机房管理规定。 (6)设备移动 1)在公司物理环境以外严禁放置服务器、交换机、电脑等信息设备。 2)公司原则上禁止机房设备移出公司物理环境。如确因工作需要,如展 会、维修等,需将公司的服务器、交换机、路由器等信息设备
26、移到办公地点 外使用,需经研发主管批准后才能移出公司的物理环境。 3)如需要供应商将设备移出公司物理环境进行维修时,在设备移出前, 设备管理人员要将设备中敏感信息从设备中删除或确保维护人员对其不可访 问或获取。 4)离开建筑物的信息设备和移动介质在公共场所要有专人看护和保管, 不允许无人值守,适当时,还要施加其它措施进行控制,例如上锁,以防止 损坏、盗窃等事件发生。 5)笔记本在公司办公场所以外使用,依笔记本电脑管理规定。 (7)维护、保养 1)机器设备日常维护由设备使用者在日常使用时进行,维护项目限于查 看设备外观有无明显损坏、是否正常工作、是否通电正常等内容。 2)定期维护由技术部专业工程
27、师或供应商进行,定期维护根据不同设备 决定不同的维护周期,从一周一次到半年一次不等,定期维护项目包括软硬 件更换、性能检查、性能调优等。 3)定期维护和年底维护后,要将维护项目、维护过程、维护人员、维护 结果等内容详细记录在设备维护记录中。 10 (8)设备处置 1)设备的处置由设备使用部门提出,经经总经理批准后,对设备进行处 理; 2)信息设备在处置过程中须考虑信息安全。 3)设备报废前设备管理责任人要负责删除所有信息,对包含敏感信息的 设备要对其信息载体在物理上应予以销毁,或者采用使原始信息不可获取的 技术将其安全地重写,如消磁。 4)信息设备的报废工作由综合部负责,需要填写废弃介质处置记
28、录,经 总经理批准后,才能进行报废。 5)对于因闲置、人员离辞或设备换代等原因不再使用的信息设备,特别 是个人电脑,在设备归仓前,要采用信息不可获取的技术将其敏感信息、工 作信息和个人信息删除。以确保在设备重用时,重用者不会获得与其工作无 关的内容。 6)对试用设备和测试设备(无论是自有的还是供应商的)中的信息在试 用和测试后,由试用或测试人员立即清除,防止重要信息泄露。 7)废弃介质处理方法参见介质管理规定 5. 5. 实施策略 (1)设备管理规定涉及到包括设备维护记录共 1 个表单。 (2)对设备的定期维护等内容详细填写设备维护记录。 6. 6. 相关记录 本程序发生的记录汇总表 表 6-
29、1 ISMS 文件日常应用表格 表号记录编号记录名称 保管 场所 保存 期限 保存形 式 备注 表 A.1 ISMS-3009-01 设备维护记录表技术部1 年电子 七、七、 机房管理规定 ISMS-3007 11 1. 1. 目的和范围 为科学、有效地管理机房,促进各信息系统在机房安全的、稳定的、高 效的运行,特制定本规定。 2. 2. 引用文件 (1)下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注 日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不 适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡 是不注日期的引用文件,其最新版本适用于本标准。
30、 (2)ISO/IEC27001:2005 信息技术-安全技术-信息安全管理体系要求 (3)ISO/IEC27002:2005 信息技术-安全技术-信息安全管理实施细 (4)设备管理规定 (5)访问控制程序 3. 3. 职责和权限 技术部:负责责机房的日常检查、维护和管理工作,及当发生紧急事件 时,按应急预案进行相应的处置。 4. 4. 机房出入制度 (1)机房的进出由技术部严格管理。机房的钥匙保存技术部。如需进入 机房,必须得到技术部的授权,在技术部领取钥匙后方可进入。 (2)未经许可不准携带任何磁带(盘)、磁介质和资料进入机房。经特 许携带的,必须由专人陪同方可进入。 (3)未经许可不允许
31、使用摄影、录像、笔记、或其它音像记录设备等。 5. 5. 机房环境管理 (1)技术部对机房环境每半月进行一次检查,对发现的问题要及时解决。 填写机房巡检记录表。 (2)机房内要保持设备无尘、布线整齐、物品就位、资料齐全。 (3)机房内严禁堆放与工作无关的其它物品及纸质物品。做好消防灭火 设备检查工作 12 (4)机房内禁止饮食、吸烟、打闹、大声喧哗,机房内不得会客、闲谈。 (5)机房内备有温度计和湿度计,温度保持在 18-25,湿度保持在 40%-60%。温度计和湿度计应每年作一次检测。 (6)机房接地系统要符合相应的技术标准,各个设备交流工作电源应有 工作接地,机柜应有效接地。 (7)机房配
32、电柜要有防雷设施,进出机房的电缆应有防雷措施。 (8)机房用电要使用独立的电线,专用变压器、电源稳压器等。 (9)机房的环境应达到机房建设的设计要求。 6. 6. 机房设备管理 (1)机房要有完整的网络拓扑图、物理拓扑图。 (2)机房内的所有设备应贴有设备标签,并注明设备的主要参数。 (3)主机系统和网络设备的各类接线的两端应设置标签,网络接口侧应 注明连接的设备。 (4)对主要网络设备如核心路由器、交换机、防火墙、IDS 等设备的配 置文件每 6 个月进行进行一次评审。 (5)对机房的主机设备及智能网络交换装置应严格管理,做好事故预想, 制定周密的故障应急措施。 (6)严禁擅自在运行的小型机
33、、交换机、路由器等设备上进行开发、维 护、调试或学习培训等工作。 (7)实施策略 1)机房管理规定涉及的机房巡检记录表共 1 个表单。 7. 7. 相关记录 本程序发生的记录汇总表 13 表 7-1 ISMS 文件日常应用表格 表号记录编号记录名称 保管 场所 保存 期限 保存形式备注 表 A.1 ISMS-3021-01 机房巡检记录表信息安全小组1 年纸质 八、八、 笔记本电脑管理规定 ISMS-3008 1. 1. 目的 建立笔记本电脑设备的使用规定及其与互联网的连接制度,这些规定是 保持信息资源保密性、完整性和可用性所必需的。为加强业务笔记本电脑设 备的合理利用与笔记本电脑设备信息安全
34、管理,特制定该管理规定。适用所 有业务部门员工和需在业务部门办公室工作的人员。 2. 2. 引用文件 (1).下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注 日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不 适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡 是不注日期的引用文件,其最新版本适用于本标准。 (2).ISO/IEC27001:2005 信息技术-安全技术-信息安全管理体系要求 (3).ISO/IEC27002:2005 信息技术-安全技术-信息安全管理实施细则 (4).防范病毒及恶意软件管理规定 3. 3. 职责和权限 (1)总经理:
35、负责笔记本电脑申请的审批 (2)技术部:负责笔记本电脑的发放管理 (3)使用人员:负责便携计算机的日常使用保养和维护。 4. 4. 笔记本电脑使用规定 (1)公司所有笔记本电脑由使用人员自行保管负责,若是公司统一配置的 14 在辞职时应到综合部办理电脑交接手续,并在离职交接清单中作好备注。 (2)技术部授权使用的笔记本电脑未经部门经理同意严格禁止带出公司。 (3)未经许可,员工不得携带个人笔记本电脑设备进入公司办公场所。 (4)笔记本电脑设备必须有严格的口令访问控制措施,口令设置需满足 公司安全策略要求。 (5)对无人看守的笔记本电脑设备必须实施物理保护,必须放在带锁的 办公室、抽屉或文件柜里
36、; (6)笔记本电脑设备丢失或被窃后应及时报告给部门经理和技术部。 (7)除自然损坏外,凡人为损坏(如撞坏、跌坏、电源插错烧坏等)由 本人负责修好,费用由个人承担。 (8)便携机中除工作所需的软件外,不导入其他与工作无关的软件。特 别要保证便携机不带病毒。 5. 5. 安全配置规定 (1)授权使用的笔记本电脑设备必须安装公司安全策略规定的防病毒软 件; (2)笔记本电脑设备每月进行一次病毒软件和操作系统补丁检查和评审, 由电脑使用人员自行负责. (3)笔记本电脑设备若支持内置的硬盘加密措施,应启用该措施,以免 电脑或硬盘丢失后造成数据泄密。 (4)公司采用相关产品和方法对笔记本数据进行加密处理
37、和使用,防止 信息泄密。 (5)公司采用相关产品和方法对笔记本进行监控 (6)公司内部未经授权禁止开启无线网卡功能。禁止使用公司外部的未 设安全机制的无线网络,系统管理员要每月扫描一次公司能接受到的外部不 安全网络。 (7)公司的无线网络仅供授权的技术支持人员使用,其他未经技术部授 15 权禁止便携机连入使用。 6. 6. 外部人员使用笔记本的规定 (1)外部人员使用的笔记本电脑只能连接到公共上网区,通过独立于公 司内部的专用网络上网。出于安全考虑,一般不予考虑客人接入公司内部网 络。 (2)外部人员接待负责人需提前通知技术部该外部人员笔记本电脑使用 的地点,便于技术部配置相关网络。 (3)若
38、外部人员需要在业务办公地点长期工作(指超过 2 周时间),需 经技术部经理批准。 7. 7. 客户现场管理规定 (1)在客户现场进行开发及维护等工作时,在遵守本公司管理规定时, 同时要遵守客户的管理方面相关规定。 (2)如在客户现场工作时需要使用笔记本,相关部门人员应尽量使用本 部门公共笔记本,并进行登记。 (3)在客户现场使用笔记本工作时,必须注意信息的保密,防止笔记本 内信息泄露。 (4)笔记本内新产生的数据应及时在客户备份系统或公司备份系统上进 行备份,防止数据丢失。 8. 8. 实施策略 自行保管负责; 无线网络加密上网; 9. 9. 相关记录 无 16 九、九、 介质管理规定 ISM
39、S-3009 1. 1. 目的和范围 任何信息设备,如:计算机、交换机、打印机、传真机、复印机等,都 需要介质进行存储,当存储设备或可移动介质需要转移或销毁时,如果处理 不当,很容易造成信息泄漏。因此,必须按规定执行处置。适用于移动存储 设备/介质在本公司办公场所及房机内的使用管理。 2. 2. 引用文件 (1)下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注 日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不 适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡 是不注日期的引用文件,其最新版本适用于本标准。 (2)ISO/IEC27001:2005
40、信息技术-安全技术-信息安全管理体系要求 (3)ISO/IEC27002:2005 信息技术-安全技术-信息安全管理实施细则 3. 3. 职责和权限 (1)综合部 负责对公司各类的可移动介质和存储介质的发放、使用、处置的进行管 理。 (2)介质使用部门和使用者 (3)由部门负责管理的介质,由该部门领导指定专人负责保管。个人使 用的介质由本人负责保管。 4. 4. 介质管理 (1)介质分类 1)技术部对公司使用的介质,进行介质分类,制定介质管理分类表。 2)介质分为一般介质和可移动介质,一般介质包括:计算机存储介质, 可移动介质是指 U 盘、移动硬盘、数码相机、光盘、光盘刻录机、PDA、带 US
41、B 接口的 MP3/MP4 播放器等。 17 (2)介质使用管理 1)一般情况下公司禁止使用可移动介质。 2)确因工作需要使用移动介质,须经本部门领导批准后方可到技术部领 用。 3)技术部负责可移动介质的发放,并填写可移动介质授权使用表。 4)授权用户要注意保护自己所属可移动介质不被盗取。 5)授权用户要注意保护自己所属可移动介质不被盗取。保管时要放置于 安全的区域内,如带锁的柜子; 6)非本公司工作人员禁止在内部网络设备上使用可移动介质。 7)各使用人必须每月一次对自己使用的移动介质进行病毒扫描。 8)使用可移动介质保存公司秘密数据时,移动介质必须采用必要的加密 措施,防止信息泄露,有条件时
42、使用带有加密功能的可移动介质设备。 9)用户在将可移动介质带离公司后,要为其上所有信息资源的安全负责, 做好安全保护工作。一旦遗失,立刻上报技术部进行登记。 10)光盘的刻录: a)带有公司标志的光盘,只能刻录公司自己的程序软件,不得刻录例如 操作系统、数据库等软件。 b)公司销售时,必须刻录光盘时,由技术部专门负责人进行刻录,其他 人员不得随意刻录光盘。 (3)客户现场使用规定 1)必须严格将笔记本病毒防火墙升级到最新。 2)能使用客户提供的 U 盘、移动硬盘的,使用客户提供的设备。 3)必须使用自己的 U 盘、移动硬盘在客户计算机上使用的,必须先对 U 盘、移动硬盘进行病毒扫描,保证提供给客户的设备中不包含病毒。 (4)介质处置 1)技术部对介质分类表内的介质的废弃进行统一管理,对废弃的介质采 用恰当的介质处置方法。 2)计算机硬盘、U 盘、可移动硬盘、光盘、数码存储介质等报废时必须 粉碎处理。 3)对废弃的可移动介质在可移动介质授权使用表中跟踪填写废弃记 18 录。 4)对废弃的一般介质处理填写废弃介质处置记录 5)介质的销毁方式一般分为一般格式化、低级格式化、专业软件重写、 物理粉碎。 6)对无敏感信息的介质作一般格式化即可,在保证质量的基础上重新分 配和使
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 烟花爆竹备考选它刷题省心通过率高
- 2026javasql面试题及答案
- 2026linuxcc 面试题及答案
- 2026年全科医师转岗培训理论知识题库及答案
- 小学一年级数学《4.2 数的顺序》教学设计
- 初中音乐七年级《青春舞曲》单元整体教学设计
- 2026年继续教育医院感染管理与防控试题及答案
- 2026年化工防火防爆管理员试题及答案
- 2026年湖北高考语文真题试卷带答案
- 2026年高考数学高频错题试题及纠错答案
- 2024年初中生物会考知识点汇编
- T-EJCCCSE 197-2025 系统窗施工技术规范
- 2025年高职院校基建处招聘面试实战模拟题集
- 施工单位竣工验收汇报总结
- 消防卷闸门拆除方案(3篇)
- 2025年汾酒集团笔试题及答案
- 2025年重庆高一康德期末语文试卷及答案
- 肢体离断伤的急救处理
- 种植牙合同协议书范本
- 中医规培面试题库及答案
- CRH5动车组转向架
评论
0/150
提交评论