信息安全基本知识

信息安全基本知识

安全体系：

安全方针：积极防范、突出重点、科学管理、持续改进

工作要求：归口管理、控制源头、逐级负责、确保安全

运行模式：“策划—实施—检查—改进（PDCA）”

组织机构：信息安全委员会（领导机构）、信息安全管理办公室（执行机构）

技术等级：内部公开、技术Ⅲ级、技术Ⅱ级、技术Ⅰ级（由低到高）；内部文件按项目管控要求定级，外来文件按客户要求定级；流程：项目单位申请—信息安全办公室初审—信息安全委员会审定

管理期限：技术Ⅰ级>=20年，技术Ⅱ级>=10年，技术Ⅲ级>=5年，内部公开>=1年

电脑管理：

系统密码：密码>=8位、修改< 6 个月、自动屏保< 10分钟，不外借不扩散

密码组成：大小字母、特殊符号、数字任意三种以上组合

软件使用：软件用正版，安装杀毒软件并设置为定期杀毒，开启防火墙，U盘和下载的软件使用前先杀毒设备转用：服务器、电脑、存储介质停止使用或转作它用，必须低级格式化

文件控制：

文件管控：设计文件、工艺文件、质量体系类文件已经进入PDM系统管控

文件使用：各部门文控才有权从PDM系统签收、导出、下载、打印、分发，加盖“PDM受控章”为有效版本，其余途径获取均是不受控文件

文件管理：建立好文件接收、分发、使用、回收等台账管理

关岗键位：

定级要求：以项定级、以级定人；

人员等级：技术Ⅲ级岗位、技术Ⅱ级岗位、技术Ⅰ级岗位

部门申请(关键岗位人员审查审批表)--总经办信用审查(信用审查表)--信息安全办公室审查--信息安全委员会批准

信用等级：A优秀、B良好、C一般、D差

保密协议：劳动合同（普通员工），保密协议（关键岗位），专项保密协议（按项目）

离岗离职：清退信息资产，离职审计(《员工离职信息安全审计控制表》)

外网访问：原则上不许可，特殊情况需审批(填写《互联网申请表》，信息安全办公室同意，公司审批)

邮件收发：使用公司邮箱

电脑要求：技术Ⅱ级及以上，不用笔记本电脑，台式机加锁，物理手段禁USB

存储介质：技术Ⅰ、Ⅱ级不许，技术Ⅲ级受控（技术Ⅰ、Ⅱ级禁用移动介质，技术Ⅲ级使用受控介质)

开机密码：技术Ⅰ级>=10位，技术Ⅱ级>=8位, 技术Ⅲ级无要求

系统密码：技术Ⅰ级>=10位，技术Ⅱ级>=8位,技术Ⅲ级>=8位

客户专区：

公司为保护客户权益，划分了专区管理；专区内禁止直接出现客户名称，禁止拍照、录像，禁止非授权人员进入，禁止客户竞争对手参观、进入；进入专区必须佩带身份卡，非授权人员禁止进入

服务器管理：

账号与分类：管理员最多2人，独立账号和密码，密码长度超10位，更改周期小6月，权限清单需备案日常管理：每周查看日志和升级病毒库，定期杀毒，巡查服务器做记录（《服务器巡查记录表》）

故障处理：规划部负责网络与硬件故障，科技管理部负责软件故障；故障恢复需填《服务器恢复记录表》

机房要求：

保持10 ～ 20℃温度，做好非管理员出入登记，定期巡检填写记录（《机房巡检记录表》）

公共盘：

公共盘设立要备案（信息安全管理办公室备案）；

必须设置访问权限，权限设立要信息安全主管、业务主管批准；建立权限清单并备案信息安全办公室