信息安全管理规范0

电子类的应 该加密存储在 安全的计算机 系统内；硬拷 贝应该锁在安 全的保险柜 内；禁止以其 他形式存储或 显示
复 制
得到相关责 任人及公司管 理层批准；需 要登记
打 印
禁止打印 （或在授权情 况下专人负责
企业秘密
需得到相关 责任人及部门 领导批准
只能被公司 内部或外部得 到明确授权的 人员访问，访 问者应该签署 保密协议
8
1.7 信息标识与处置中的角色与职责 ........................
9
1.8 信息资产标注管理规定 ..............................
10
1.9 允许的信息交换方式 ................................
11
1.10 信息资产处理和保护要求对应表 .....................
1. 公司信息安全要求 . ....................................
5
1.1 信息安全方针 .......................................
5
1.2 信息安全工作准则 ...................................
--
WOR格D式 -- 可编辑
未经授权，任何人不得对公司信息资产进行复制、利用 或用于其它目的；
应及时检测病毒，防止恶意软件的攻击； 公司拥有为保护信息安全而使用监控手段的权力 反信息安全政策的员工都将受到相应处理；
, 任何违
通过建立有效和高效的信息安全管理体系，定期评估信 息安全风险，持续改进信息安全管理体系。
25
1.22 终端使用安全准则 .................................
25
1.23 出口防火墙的日常管理规定 .........................
26
--
WOR格D式 -- 可编辑
1.24 局域网的日常管理规定 .............................
包括系统软件、应用软件、共享软件 系统软件：操作系统、语言包、工具软件、各种 库等；
应用软件：外部购买的应用软件，办公软件等；
共享软件：各种共享源代码、共享可执行程序 等。
网络设备：路由器、网关、交换机等
计算机设备：大型机、服务器、工作站、台式计 算机、移动计算机等
存储设备：磁带机、磁盘阵列、工控机等
WOR格D式 -- 可编辑
根据公司相关策略和信息资产 责任人的要求，负责信息资产 的维护操作和日常管理事务； 负责具体设置信息访问权限； 负责所管理的信息资产的安全 控制； 部署恰当的安全机制，进行备 份和恢复操作； 按照信息资产责任人的要求实 施其他控制。
用户：信息资产的使用 者，除了公司内部员 工，也可能是因为业务 需要而访问公司信息的 客户或第三方组织。
电子类的应 该妥善保存在 设有安全控制 的计算机系统 内（建议进行 信息加密）； 硬拷贝应该妥 善保管，严禁 摆放在桌面； 使用白板展示 后应立即擦除
须经相关责 任人批准，并 让专人操作或 监督实施，需 要登记
须经相关责 任人许可，打 印件标注密级
--
内部公 开 需得到 责任人批 准 可以被 公司内部 或外部因 为业务需 要的人员 访问 电子类 的应该妥 善保管， 可以进行 加密；纸 质不应放 在桌面
向信息责任人申请信息访问； 按照公司信息安全策略要求正 当访问信息，禁止非授权访 问； 向相关组织报告隐患、故障或 者违规事件。
1.8 信息资产标注管理规定 （ 1） 公司所属的各类信息资产，无论其存在形式是电
子、纸质还是磁盘等，都应在显著位置标注其保密级 别。
--
WOR格D式 -- 可编辑
（ 2） 一般电子或纸质文档应在该文档页眉的右上角或 页脚上标注其保密级别或在文件封面打上保密章，磁 盘等介质应在其表面非数据区予以标注其保密级别。
1.9 允许的信息交换方式 公司允许的信息交换方式有：邮件、视频、电话、网
站内容发布、文件共享、传真、光盘、磁盘、磁带和纸 张。
--
WOR格D式 -- 可编辑
1.10 信 息资产处理和保护要求对应表
企业机密
授 权
访 问
需得到责任 人和公司管理 层批准
只能被得到 授权的公司极 少数核心人员 访问
存 储
1.3 职责 全体员工应保护公司信息资产的安全。每个员工必须认
识到信息资产的价值，负责保护好自己生成、管理或可触 及的涉及的数据和信息。员工必须遵守《信息标识与处理 程序》，了解信息的保密级别。对于不能确定是否为涉密 信息的内容，必须征得相关管理部门的确认才可对外披 露。员工必须遵守信息安全相关的各项制度和规定，保证 的系统、网络、数据仅用于的各项工作相关的用途，不得 滥用。
纸制的各种文件、合同、传真、会议纪要、财务 报表、证书、电报、发展计划以及各类其他材质的
--
服务
WOR格D式 -- 可编辑
证书奖牌等。
通过各种协议方式固化下来的服务活动、如物 业、第三方、供应商、提供检修服务的提供方等。
1.5 信息资产的分级（保密级别）规定 信息资产分为：一般、内部公开、企业秘密、企业机密
WOR格D式 -- 可编辑
信息安全管理规范
公司
--
当前版本 : 最新更新日期 : 最新更新作者 : 作者 : 创建日期 : 审批人 : 审批日期 :
WOR格D式 -- 可编辑
版本信息
修订历史
版本号 更新日期 修订作 主要修订摘要 者
--
WOR格D式 -- 可编辑
Table of Contents （目录）
（ 3） 如果某存储介质中包含各个级别的信息，作为整 体考虑，该存储介质的保密级别标注应以最高为准。
（ 4） 如果没有明显的保密级别标注，该信息资产以 “一般”级别看待。
（ 5） 对于对外公开的信息，需要得到相关责任人的核 准，并由对外信息发布部门统一处理。
（ 6） 如需在信息资产上表述保密声明，可采用以下两 种表述方式： 表述方式一：“保密声明：公司资产，注意保密。” 表述方式二：“保密声明：本文档受国家相关法律和 公司制度保护，不得擅自复制或扩散。”
移动存储设备：磁带、光盘、软盘、 硬盘等
U盘、移动
传输线路：光纤、双绞线等
基础保障设备：（ UPS、变电设备等）、空调、 保险柜、文件柜、门禁、消防设施等，如对基础设 施使用属于租用形式，请将其识别到服务类别中。
安全保障设备：硬件防火墙、入侵检测系统、身 份验证等
其他电子设备：打印机、复印机、扫描仪、传真 机等
1.6 现行保密级别与原有保密级别对照表 保密级别与公司原有的保密级别的对照表如下：
现行的保密级别
与之相当的原有保密
--
一般 内部公开 企业秘密 企业机密
WOR格D式 -- 可编辑
级别 一般 秘密 机密 绝密
1.7 信息标识与处置中的角色与职责
角色
职责
责任人：信息资产的创
理解和各种信息访问活动相关
1.14 移动办公策略 .....................................
16
1.15 介质的申请、使用、挂失、报废要求 .................
17
1.16 信息安全事件管理流程 .............................
19
1.17 电子邮件安全使用规范 .............................
1.2 信息安全工作准则 保护信息的机密性、完整性和可用性，即确保信息仅供 给那些获得授权的人员使用、保护信息及信息处理方法 的准确性和完整性、确保获得授权的人员能及时可靠地 使用信息及信息系统； 公司通过建立有效的信息安全管理体系和必要的技术手 段，保障信息资产的安全，降低信息安全风险； 各级信息安全责任者负责所辖区域的信息安全，通过建 立相关制度及有效的保护措施，确保公司的信息安全方 针得到可靠实施； 全体员工应只访问或使用获得授权的信息系统及其它信 息资产，应按要求选择和保护口令；
12
1.11 口令使用策略 .....................................
14
1.12 桌面、屏幕清空策略 ...............................
15
1.13 远程工作安全策略 .................................
15
1.4 信息资产的分类规定 公司的信息资产分为电子数据、软件、硬件、实体信
息、服务五大类。
--
WOR格D式 -- 可编辑
类别 电子数 据 软件
硬件
实体信 息
说明
存在信息媒介上的各种数据资料，包括源代码、 数据库数据等各种电子化的数据资料、项目文档、 管理文档、运行管理规程、计划、报告、用户手 册、作业指导书等各种电子化的数据资料。
经相关 责任人批 准
建者，或者主要用户所
的安全风险；
在组织、单位或部门的 负责人。信息资产责任
根据公司信息密级划分标准来 确定所属信息资产的级别；
人对所属信息资产负直 接责任。
根据公司相关策略确定并检查 信息访问权限；
针对所属信息资产提出恰当的 保护措施。
百度文库--
保管者：受信息资产 责任人委托，对信息 资产进行日常的管 理，维护已经建立的 保护措施。资产保管 者通常是公司或部门 的 IT 管理者或者代表 （ 例如 系 统管 理 员）。
33
2.8 信息安全管理体系标准（ ISO27001 标准家族） ..........
34
2.9 信息安全控制目标与控制措施 ........................
34
--
WOR格D式 -- 可编辑
1. 公司信息安全要求
1.1 信息安全方针 拥有信息资产，积累、共享并保护信息资产是我们共同 的责任。 管理与技术并重，确保公司信息资产的安全，保障公司 持续正常运营。 履行对客户知识产权的保护承诺，保障客户信息资产的 安全，满足并超越客户信息安全需求。
4 个保密级别。
保密级 名称 别
说明
1
一般
一般性信息，可以公开的信息、信息处
理设备和系统资源。
2
内部
非敏感但仅限公司内部使用的信息、信
公开 息处理设备和系统资源。
3
企业
敏感的信息、信息处理设备和系统资
秘密 源，只给必须知道者。
4
企业
敏感的信息、信息处理设备和系统资
机密 源，仅适用极少数必须知道的人。
27
1.25 集线器、交换机、无线 AP的日常管理规定 .............
27
1.26 网络专线的日常管理规定 ...........................
28
1.27 信息安全惩戒 .....................................
28
2. 信息安全知识 . .......................................
2.4 什么是信息安全管理体系？ ..........................
31
2.5 建立信息安全管理体系的目的 ........................
32
2.6 信息安全管理的 PDCA模式 ............................
33
2.7 安全管理－风险评估过程 ............................
22
1.18 设备报废信息安全要求 .............................
23
1.19 用户注册与权限管理策略 ...........................
23
1.20 用户口令管理 .....................................
24
1.21 终端网络接入准则 .................................
30
2.1 什么是信息？ ......................................
30
2.2 什么是信息安全？ ..................................
30
2.3 信息安全的三要素 ..................................
30
5
1.3 职责 ...............................................
6
1.4 信息资产的分类规定 .................................
6
1.5 信息资产的分级（保密级别）规定 . .....................
8
1.6 现行保密级别与原有保密级别对照表 . ...................