ISO27001:2013网络配置安全策略
ISO27001:2013网络设备安全配置管理程序
XXX科技有限公司
网络设备安全配置管理程序
编号:ISMS-B-24
版本号:V1.0
编制:日期:
审核:日期:
批准:日期:
受控状态
1 目的
为确保网络安全,依据安全策略,加强与信息相关网络设备的配置管理,特制定本程序。
2 范围
本程序适用于在组织内使用的所有主要网络设备的安全参数设置管理,包括:
a)防火墙设备及软硬件;
b)网关设备及软硬件;
c)网络交换机及HUB等。
3 职责
3.1 综合管理部
负责对组织内所有主要网络设备的配置和参数设定。
4 相关文件
《信息安全管理手册》
《信息系统访问与使用监控管理程序》
5 程序
5.1 网络设备安全配置策略
5.1.1 通用策略
网络设备的配置必须由IT人员实施。
设备系统日志的记录内容和保存期限应该符合《信息系统访问与使用监控管理程序》。
ISO27001-2013信息安全管理手册(GBT 22080-2016)
XXXX有限公司信息安全管理手册ISO27001:2013 编制:审核:批准:信息安全管理手册目录1. 概述 (4)1.1 目的 (4)1.2 适用范围 (4)1.3 颁布令 (4)1.4 授权书 (5)2. 依据文件和术语 (6)2.1 依据文件 (6)2.2 术语定义 (6)3. 裁剪说明 (7)4. 组织环境 (8)4.1 组织环境描述 (8)4.2 信息安全相关方的需求和期望 (11)4.3 信息安全管理体系范围的确定 (11)4.4 体系概述 (12)5. 领导力 (14)5.1 领导力和承诺 (14)5.2 信息安全方针和目标 (14)5.3 组织角色、职责和权限 (15)6. 策划 (17)6.1 风险评估和处置.............................. 错误!未定义书签。
6.2 目标实现过程 (18)7. 支持 (20)7.1 资源提供 (20)7.2 能力管理 (20)7.3 意识培训 (20)7.4 信息安全沟通管理 (20)7.5 文件记录管理 (21)8. 运行 (24)8.1 体系策划与运行 (24)8.2 风险评估 (24)8.3 风险处置 (24)9. 绩效评价 (26)9.1 监视、测量、分析和评价...................... 错误!未定义书签。
9.2 内部审核 (27)9.3 管理评审 (28)10. 改进........................................ 3010.1 不符合和纠正措施 2810.2 持续改进 (28)11. 信息安全总体控制 (31)A.5信息安全策略 (31)A.6信息安全组织 (31)A.7人力资源安全 (35)A.8资产管理 (35)A.9访问控制 (35)A.10密码控制 (36)A.11物理和环境安全 (36)A.12操作安全 (36)A.13通信安全 (37)A.14系统获取、开发和维护 (37)A.15供应商关系 (38)A.16信息安全事故 (38)A.17业务连续性管理的信息安全方面 (38)A.18符合性 (38)附件一:信息安全组织架构映射表 (40)附件二:信息安全职责分配表 (40)1.概述为提高服务质量,规范管理活动,保障系统安全运行,提升人员安全意识水平,XXXXXX软件有限公司(以下简称“公司”)依据信息安全管理标准《GB/T 22080-2016/ISO/IEC 27001:2013 信息技术安全技术信息安全管理体系要求》的相关要求,结合自身业务系统实际运行安全需求,已建立实施了一套科学有效的信息安全管理体系,并通过体系的有效运行,实现持续改进,达到动态系统、全员参与、制度化的、以预防为主的信息安全管理方式。
ISO270012013网站安全管理制度
网站安全管理制度第一章总则第一条网站是公司对外形象宣传的重要窗口,为充分利用现有的网络资源,实现网络信息工作的规范化和制度化管理,促进公司内及行业内信息的交流与共享,确保网站的正常运行, 更好的为公司提供信息交流平台及进行对外宣传,特制定本制度。
第二条网络信息工作以服务于公司宣传、搭建信息交流与沟通平台为中心,坚持统一领导、统筹规划、集中管理、分级负责的原则。
第二章网站管理第四条网站实行分级管理模式,公司技术研发部行使网站的管理及维护职能,设网站管理员;各部门为二级管理组织,设网管专员;综合部行使监督职能;网站制作方负责网站的技术支持,维护网站的稳定和安全。
第五条公司技术研发部具体负责网站的全面管理、更新内容上传、维护及网管专员培训的工作。
第六条技术研发部网络管理工作职责1、负责网站后续建设的规划与实施,把握网站的发展方向;2、负责拟定、报批网站使用维护、运行管理等各项制度;3、依据网站各项资源利用的统一规划,分派专人(网站管理员)负责网站资源的分配以及信息发布工作的执行与监督;4、负责制定网站管理和安全工作制度的制定、完善及落实,定期检查安全工作落实情况。
5、技术研发部全面负责网站的建设、日常管理和维护及网管专员的培训工作,牵头组织网站各项业务工作的开展6、建立信息发布日志,网站管理员负责记录每次信息发布时间,做好发布信息审批表及原始资料的归档工作;7、应负责监督网站管理与维护状况并及时组织相关网管专员集中学习。
第七条网管专员职责1、应对网站管理与维护及时提出合理化建议和意见,并按照技术研发部所要求的时间内及时、积极提交有关最新信息;2、负责与部门有关的二级网页更新内容并根据栏目设置和技术研发部的需求,在规定的时间内向技术研发部提供与本部门业务有关的文件、法规及相关资料的电子文档,对所提供的材料要确保及时性、准确性、权威性。
凡各公司领导签发的信息原则上随到随传,以保证公司各项制度、政策以及新闻的快捷传播;3、网管专员务必要在技术研发部所规定时间前将信息采集并加以修正.4、网管专员每天对网站内容进行审查,确定更新工作落实情况;5、网管专员对网站互动性栏目,应建立监管制度,确保网站内容积极、健康。
ISO27001:2013信息安全设备设施管理规范
信息安全设备设施管理规范
1适用与目的
本程序适用于公司与IT相关各类信息处理设施(包括各类软件、硬件、服务、传输线路)的引进、实施、维护等事宜的管理。
本程序通过对技术选型、验收、实施、维护等过程中相关控制的明确规定来确保引进的信息处理设施的保密性、完整性和可用性。
2信息处理设施的分类
2.1研发控制系统、数据存储控制系统及其子系统设备,包括位于机房的服务器和位于使用区域的使用控制系统终端设备。
2.2业务管理系统、财务管理系统,包括位于机房的服务器和位于使用区域的终端设备。
2.3办公用计算机设备,包括所有办公室、会议室内的计算机、打印机,域控制服务器,DNS服务器、Email服务器等。
2.4网络设备,包括交换机、路由器、防火墙等。
2.5其它办公设备,包括电话设备、复印机、传真机等。
3职责
3.1DXC主要负责全公司与IT相关各类信息处理设施及其服务的引进。
包括制作技术规格书、进行技术选型、安装和验收等。
DXC同时负责全公司网络设备、研发控制系统、业务管理系统、财务管理系统日常管理与维护。
3.2各部负责项目实施过程中设备及软件系统的管理制度的执行与维护。
3.3DXC负责后勤系统设备及网络系统、电话/网络通讯与办公系统的管理与维护。
ISO27001-2013 信息技术--安全技术--信息安全管理体系--要求 中文版(正式发布版)
ISO27001-2013 信息技术--安全技术--信息安全管理体系--要求中文版(正式发布版)ISO 27001.2013 信息技术--安全技术--信息安全管理体系--要求中文版(正式发布版)1.背景和目的该标准详细规定了建立、实施、操作、监控、审查、维护和持续改进信息安全管理体系(ISMS)的要求。
它旨在确保组织合理评估信息安全风险,并采取适当的安全措施来保护机密性、完整性和可用性。
2.规范性引用文件本标准适用于以下引用文档:- ISO/IEC 27000.2018 信息技术-安全技术-信息安全管理体系-概述和词汇- ISO/IEC 27002.2013 信息技术-安全技术-信息安全管理实施指南- ISO/IEC 27003.2017 信息技术-安全技术-信息安全管理系统实施指南3.术语和定义以下术语和定义适用于本标准:- 组织:指定了ISMS的范围并对其进行实施、操作、监控、审查、维护和持续改进的实体。
- 高层管理:按照组织的要求,履行其职权和责任的最高级别管理职位。
- ISMS:信息安全管理体系。
4.理解组织和其上下文组织应确定和理解其内外部各方的需求和期望,以及相关方和利益相关者,以确保ISMS的有效性。
5.领导的承诺高层管理应明确表达对ISMS的支持和承诺,确保其适当实施和维护,并提供资源以满足ISMS的要求。
6.政策组织应制定和实施信息安全政策,为ISMS提供框架和方向,并与组织的活动和风险管理策略保持一致。
7.组织内部的风险评估组织应在ISMS实施之前进行风险评估,以确保全面了解和评估信息资产相关的威胁和风险。
8.管理资源组织应为ISMS指定适当的资源,包括人员、设备和财务资源,以确保其有效实施、操作、监控、审查和持续改进。
9.专门支持组织应为ISMS提供必要的支持,包括培训、意识和沟通,以确保员工的积极参与和遵守ISMS的要求。
10.安全风险管理组织应基于风险评估结果,采取适当的措施来管理和缓解信息安全风险,确保信息资产的安全性。
ISO270012013信息备份安全策略
受信息资源访问权以及公民权的损失,甚至遭到法律起诉。
引用标准
略
第1页共1页
信息备份安全策略
发布部门
技术部
生效时间
2015年02月01日
批准人
文件编号
XXXX-A-03-02
介绍
电子备份是一项必需的业务要求,能使数据和应用程序在发生意想不到的事件时 得以恢复,这些事件包括:自然灾害、系统磁盘故障、间谍活动、数据输入错误 或系统操作错误等。
目的
该策略的目的是设置电子信息的备份和存储职责。
适用范围
该策略适用于组织中负责信息资源安装和支持的所有人员,以及负责信息资源安 全的人员和数据所有者。
术语定义
略
信息 备份 安全 策略
信息备份周期和方式必须ห้องสมุดไป่ตู้据信息的重要性以及数据所有者确定的可接受风 险确定;
第三方提供的场所外备份存储必须达到信息存储的最高等级;
场所外备份存储区的物理访问控制的实施必须满足并超过原系统的物理访问 控制,另外备份介质必须依据信息存储的最高安全等级进行保护;
必须建立并实施对电子信息备份成功与否的验证过程;
必须对场所外备份存储第三方每年进行评审;
为了容易识别介质和/或关联系统,备份介质至少应该被标注下列信息:
系统名;
创建日期;
敏感度分级[以相应的电子记录保持法规为基础];
包含的信息。
惩罚
违背该策略可能导致:员工以及临时工被解雇、合冋方或顾问的雇佣关系终止、
ISO27001--信息安全策略
ISO27001--信息安全策略信息安全策略1.目的本文档旨在确立公司的信息安全策略,以保护公司的信息资产免受未经授权的访问、使用、泄露、破坏等风险。
2.范围该策略适用于公司的所有信息系统、网络、设备和人员,包括全职、兼职、临时员工、实生、合同工等。
3.职责与权限公司的信息安全由全体员工共同负责,但具体职责和权限如下:高层管理人员负责制定和审批信息安全政策,指导和监督信息安全工作。
信息安全管理员负责制定和实施信息安全管理制度,管理信息安全事件和漏洞。
各部门负责制定和执行本部门的信息安全管理制度,保障本部门的信息安全。
全体员工应当积极参与信息安全工作,遵守公司的信息安全规定,及时报告信息安全事件和漏洞。
4.相关文件公司的信息安全管理制度包括以下文件:信息安全政策信息安全管理手册信息安全事件管理办法信息安全培训计划5.术语定义信息资产:指公司拥有的任何形式的信息,包括但不限于文档、数据、软件、硬件、网络和设备。
信息安全:指保护信息资产免受未经授权的访问、使用、泄露、破坏等风险的措施和方法。
信息安全事件:指可能导致信息资产受到损失或泄露的事件,包括但不限于黑客攻击、病毒感染、数据丢失等。
信息安全漏洞:指可能导致信息资产受到损失或泄露的系统漏洞、软件漏洞、人员漏洞等。
6.信息安全策略公司的信息安全策略包括以下方面:确立信息安全管理制度,包括信息安全政策、信息安全管理手册等文件。
确保信息资产的机密性、完整性和可用性,采取相应的技术和管理措施。
加强对信息安全事件和漏洞的管理和应对,及时发现、报告和处理问题。
加强员工的信息安全意识和培训,提高员工的信息安全素质。
定期评估和改进信息安全管理制度和措施,确保其有效性和适应性。
6.1 信息安全组织策略信息安全组织策略是确保组织内部信息安全的基础。
该策略应该明确规定信息安全管理的组织结构、职责和权限,确保信息安全管理工作的顺利实施。
同时,该策略还应该制定信息安全管理的标准和规范,确保信息安全管理工作的合规性和规范性。
ISO27001:2013信息安全管理体系全套程序00可移动代码防范策略
发布部门
xx
生效时间
2009年7月1日
批准人
xx
文件编号
JSWLS/IS-10-2009
介绍
未经授权的移动代码危害信息系统,应实施对恶意代码的监测、预防和恢复控制,以及适当的用户意识培训。
目的
该策略的目的是阻止和发现未经授权的移动代码的引入,实施对恶意代码的监测、预防和恢复控制。
适用范围
该策略适用于使用信息资源的所有人员。
内容
禁止使用未经授权的软件。
防范经过外部网络或任何其它媒介引入文件和软件相关的风险,并采取适当的预防措施。
安装并定期升级防病毒的检测软件和修复软件,定期扫描计算机和存储介质,检测应包括:
*对存储媒体,以及通过网络接收的文档进行恶意代码检测;
*通过邮件服务器对电子邮件附件及下载文件进行恶意代码检测;
*检查பைடு நூலகம்页中的恶意代码。
部门负责恶意代码防护、使用培训、病毒袭击和恢复报告。
为从恶意代码攻击中恢复,需要制定适当的业务持续性计划。包括所有必要的数据、软件备份以及恢复安排。
实施信息搜集程序,定期搜集信息,例如提供恶意代码信息的邮件列表和/或网站。
部门应制定并实施文件化的程序,验证所有与恶意软件相关的信息并且确保警报公告的内容准确详实。管理员应当确保使用合格的信息资源,防止引入真正的恶意代码。所有用户应有防欺骗的意识,并知道收到欺骗信件时如何处置。
ISO27001-2013信息安全连续性管理实施计划
目录1.目的 (4)2.适用范围 (4)2.1前提条件1: (4)2.2前提条件2: (4)3.定义 (4)3.1信息安全连续性管理计划: (4)3.2最大容忍中断时间: (4)3.3关键功能目标恢复时间: (4)3.4全部功能目标恢复时间: (4)3.5小规模灾难或故障: (4)3.6大规模灾难或故障: (4)4.规程 (5)4.1核心及支持性信息安全单元定义 (5)4.2信息安全连续性管理目标 (5)4.3信息安全连续性恢复顺序 ...................................................................... 错误!未定义书签。
4.4信息安全分类及灾难恢复指标 (5)4.5重大灾难、故障应急程序及计划 (5)4.6重大灾难、故障应急程序及计划演练计划 (6)5.引用文件 (6)6.记录 (6)1. 目的确保核心信息安全及支持性信息安全的连续运作,减少各种安全风险可能带来的损失。
2. 适用范围本计划适用于公司在以下前提条件下的信息安全连续性管理:2.1 前提条件1:公司不在同一时间内遭受同样大规模的破坏2.2 前提条件2:公司雇用关系、现金流、供应商关系、客户关系、政府关系、投资关系、合作伙伴关系没有受到重大影响3. 定义3.1 信息安全连续性管理计划:为预防信息安全风险、意外灾难可能带来的损失,有效保障公司核心信息安全及支持性的正常运作,而预先制订的一系列管理计划,包括:信息安全连续性管理目标、信息安全恢复指标、以及各类灾难、故障的应急和恢复程序。
3.2 最大容忍中断时间:指信息安全能容忍在没有正常支撑工具(如信息安全记录、信息系统、通信电话等)支撑的最大工作时间(不包括休息时间)。
3.3 关键功能目标恢复时间:指从灾难发生开始到信息安全关键功能(指核心信息安全功能,例如:客户要求的开发活动、支持开发活动必须的信息安全记录、信息系统、通信电话)得到恢复的时间。
ISO27001:2013网络安全管理制度
网络安全管理制度为保证公司局域网能够安全可靠地运行,充分发挥信息服务方面的重要作用,更好地为员工提供服务。
现制定并发布《网络安全管理制度》。
1、所有网络设备(包括光纤、路由器、交换机、集线器等)均归系统集成部管辖,其安装、维护等操作由系统集成部工作人员进行。
其他任何人不得破坏或擅自维修。
2、所有计算机网络部分的扩展必须经过系统集成部实施或批准实施,未经许可任何部门不得私自连接交换机、集线器等网络设备,不得私自接入网络。
系统集成部有权拆除用户私自接入的网络线路并进行处罚措施。
3、各部门的联网工作必须事先报经系统集成部,由系统集成部做网络实施方案。
4、公司局域网的网络配置由系统集成部统一规划管理,其他任何人不得私自更改网络配置。
5、接入公司局域网的客户端计算机的网络配置由系统集成部部署的DHCP服务器统一管理分配,包括:用户计算机的IP地址、网关、DNS和WINS服务器地址等信息。
未经许可,任何人不得使用静态网络配置。
6、任何接入公司局域网的客户端计算机不得安装配置DHCP服务。
一经发现,将给予通报并交有关部门严肃处理。
7、网络安全:严格执行国家《网络安全管理制度》。
对在公司局域网上从事任何有悖网络法规活动者,将视其情节轻重交有关部门或公安机关处理。
8、公司员工具有信息保密的义务。
任何人不得利用计算机网络泄漏公司机密、技术资料和其它保密资料。
9、任何人不得在局域网络和互联网上发布有损公司形象和员工声誉的信息,不得扫描、攻击他人计算机,不得盗用、窃取他人资料、信息等。
10、为了避免或减少计算机病毒对系统、数据造成的影响,接入公司局域网的所有用户必须遵循以下规定:1)不得制作计算机病毒;不得故意传播计算机病毒,危害计算机信息系统安全;不得向他人提供含有计算机病毒的文件、软件、媒体等。
2)采取有效的计算机病毒安全技术防治措施。
建议客户端计算机安装使用瑞星杀毒软件和360安全卫士对病毒和木马进行查杀。
3)及时更新新版本杀病毒软件,检测、清除计算机中的病毒。
ISO27001:2013信息安全管理体系 全套程序 37操作系统访问策略
发布部门
技术部
生效时间
2009年7月1日
批准人
张德
介绍
这里的操作系统是指安装在硬件设备上运行的系统,对操作系统的访问控制是指在登录操作系统时的访问权限控制。
目的
该策略的目的是建立操作系统的访问策略,用于控制人员对安装在硬件设施上的操作系统的访问权限,避免不必要的信息泄露。
适用范围
该策略适用于各个部门操作系统的所有人。
内容
各个部门使用的操作系统要有明确的记录表单和负责人名单,当操作系统的负责人变更时要满足相应的变更流程,更新相关的表单。
要对操作系统的访问权限定义与职位相挂钩的清单,如主管职位的具有该部门全部操作系统访问权限,员工级别的访问权限是自己对应账号的访问权限。
明确操作系统中的盘符访问权限和软件控制权限,如哪些盘符是不能访问或不能修改的,哪些软件是不能删除的,是否有安装软件的权限等。
明确规定当对新进人员操作系统的账号分配流程。
ISO27001:2013源代码安全管理规范
ISO27001:2013源代码安全管理规范XXXXXX软件有限公司人性化科技提升业绩源代码安全管理规范目录一、管理目标 (4)1、保证源代码和开发文档的完整性。
(4)2、规范源代码的授权获取、复制、传播。
(4)3、提高技术人员及管理人员对源代码及开发文档损伤、丢失、被恶意获取、复制、传播的风险安全防范意识。
(4)4、管控项目程序开发过程中存在的相关安全风险。
(4)二、定性指标 (4)1、源代码库必须包括工作库、受控库、项目库和产品库。
(4)2、保证开发人员工作目录及其代码与工作库保存的版本相一致。
(4)3、开发人员要遵守修改过程完成后立即入库的原则。
(4)4、有完善的检查机制。
(4)5、有完善的备份机制。
(4)6、有生成版本的规则。
(4)7、生成的版本要进行完整性和可用性测试。
(4)8、对开发人员和管理人员要有源代码安全管理培训 (4)9、对开发人员和管理人员访问代码要有相应的权限管理 (4)10、源代码保存服务器要有安全权限控制。
(4)11、控制开发环境网络访问权限。
(4)三、管理策略 (4)1、建立管理组织结构 (4)2、制定管理规范 (4)3、制定评审标准 (5)4、执行管理监督 (5)四、组织结构 (5)1、源代码的管理相关方 (5)2、组织职责 (5)3、与职能机构的协同管理 (8)4、应维护与特定相关方、其他专业安全论坛和专业协会的适当联系。
(8)五、管理制度(见文档《源代码安全管理制度.docx》) (8)六、管理流程 (8)1、服务器部署流程 (8)2、源代码管理软件配置流程 (9)3、源代码创建修改流程 (9)4、版本控制流程 (10)5、源代码测试流程(组件测试) (11)6、组件发布流程 (11)7、软件发布流程 (12)8、项目人员获取版本流程 (12)9、外部借阅流程 (12)10、源代码目录工作状态安全监控流程 (13)11、源代码目录和项目权限安全监控流程 (13)12、与源代码相关人员离职审查流程 (13)七、表单 (14)1、见B07离职交接表单 (14)2、见B09《重要应用系统权限评审表》 (14)3、见(B09)《重要服务器-应用系统清单》 (14)4、外部借阅审批表 (14)5、软件获取申请表 (14)6、信息安全规范检查记录表 (15)。
ISMS-27001-2013信息技术安全技术信息安全管理体系要求标准解读
PART 03
标准正文
标准正文
4.组织环境
4.1 理解组织及其环境
• 组织应确定与其意图相关的并影响其实现信息安全管理体系预期结果的能力 的外部和内部事项。
•1) 应用信息安全风险评估过程来识别信息安全管理体系范围内的信息丧失保密性、完整性和可用性 有关的风险;(CIA) •2) 识别风险责任人。(资产归属)
6.1 应对风险和机会的措施
• 6.1.2 信息安全风险评估 • d) 分析信息安全风险:
• 1) 评估6.1.2.c) 1) 中所识别的风险发生后将导致的潜在影响;(资产脆弱性被威胁利用后的严重 性)
标准正文
5.领导
5.1 领导和承诺
• 最高管理者应通过以下活动,证实对信息安全管理体系的领导和承诺:
• a) 确保建立了信息安全策略和信息安全目标,并与组织战略方向一致; • b) 确保将信息安全管理体系要求整合到组织的业务过程中; • c) 确保信息安全管理体系所需资源可用; • d) 沟通有效的信息安全管理及符合信息安全管理体系要求的重要性; • e) 确保信息安全管理体系达到预期结果; • f)指导并支持相关人员为信息安全管理体系的有效性做出贡献; • g) 促进持续改进; • h) 支持其他相关管理角色在其职责范围内展现他们的领导力。
完整性 准确和完备的特性。
术语
文件化信息 组织需要控制和维护的信息及其载体。
术语
外部环境
组织寻求实现其目标的外部环境。 注外部环境可以包括如下方面: 文化、社会、政治、法律、法规、金融、技术、经济、自然和竞争环境,无论是国际的、 国家的、地区的或地方的; 影响组织目标的关键驱动力和趋势; 与外部利益相关方的关系及其认知和价值观。
ISO27001:2013信息安全管理手册和程序文件
编写委员会信息安全管理手册GLSC2020第A/0版编写:审核:批准:受控状态:XXX网络科技有限公司发布时间:2020年9月1日实施时间:2020年9月1日01目录02修订页03颁布令为提高我公司的信息安全管理水平,保障公司和客户信息安全,依据GB/T 2 2080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》结合本公司实际,特制定信息安全管理手册(以下简称“管理手册”)A/0版。
《管理手册》阐述了公司信息安全管理,并对公司管理体系提出了具体要求,引用了文件化程序,是公司管理体系的法规性文件,它是指导公司建立并实施管理体系的纲领和行动准则,也是公司对所有社会、客户的承诺。
《管理手册》是由公司管理者代表负责组织编写,经公司总经理审核批准实施。
《管理手册》A/0版于2020年9月1日发布,并自颁布日起实施。
本公司全体员工务必认真学习,并严格贯彻执行,确保公司信息安全管理体系运行有效,实现信息安全管理目标,促使公司信息安全管理工作得到持续改进和不断发展。
在贯彻《管理手册》中,如发现问题,请及时反馈,以利于进一步修改完善。
授权综合部为本《管理手册》A/0版的管理部门。
XXX网络科技有限公司总经理:2020年9月1日04任命书为了贯彻执行GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》,加强对管理体系运作的领导,特任命gary为本公司的信息安全管理者代表。
除履行原有职责外,还具有以下的职责和权限如下:(1)确保信息安全管理体系的建立、实施、保持和更新;进行资产识别和风险评估。
(2)向最高管理者报告管理体系的有效性和适宜性,并作为评审依据用于体系的改进;(3)负责与信息安全管理体系有关的协调和联络工作;(4)负责确保管理手册的宣传贯彻工作;(5)负责管理体系运行及持续改进活动的日常督导;(6)负责加强对员工的思想教育和业务、技术培训,提高员工信息安全风险意识;(7)主持公司内部审核活动,任命内部审核人员;(8)代表公司就公司管理体系有关事宜与外部进行联络。
ISO27001:2013信息安全管理体系全套程序便携式计算机安全策略
生效时间
2009年7月1日
批准人
xx
文件编号
JSWLS/IS-04-2009
介绍
便携式计算机设备的功能和应用越来越广泛。其小巧的“体型”和强大的功能使人们期望其替代传统的桌面设备。然而,这些设备的便携式特性也会给使用他们的组织增加安全暴露。
目的
该策略的目的是建立移动计算机设备的使用规则及其与互联网的连接规则。这些规则是保持信息保密性、完整性和可用性所必需的。
适用范围
该策略适用于使用便携式计算机访问信息资源的所有人。
内容
便携式计算机需要外带时,应由相关人员提出书面申请,经由部门主管人员和总经理批准后,方可到财务部借用。
只有被批准的便携式计算机设备才能用来访问信息资源;
便携式计算机设备必须有口令保护;
数据不应存储在便携式计算机设备中。但是,在无可选择的区域存储的情况下,可以存储,但必须使用被认可的加密技术进行加密;
不使用便携式计算机设备通过无线方式传输数据,除非使用经认可的无线传输协议;
所有远程访问(拨入服务)必须通过被认可的拨号池或者互联网服务提供商;
需要连接互联网的计算机设备必须符合信息服务标准,并获得部门书面批准;
对无人看守的便携式计算机设备必须实施物理保护,必须放在带锁的办公室、抽屉或文件柜里,或者锁在桌子或柜子上。
ISO27001:2013设备及布缆安全策略
在未经事先授权的情况下,不允许让设备、信息或软件离开办公场所;
应明确识别有权允许资产移动,离开办公场所的雇员、承包方人员和第三方人员;
应设置设备移动的时间限制,并在返还时执行符合性检查;
若需要并合适,要对设备作出移出记录,当返回时,要作出送回记录;
应执行检测未授权资产移动的抽查,以检测未授权的记录装置、武器等等,防止他们进入办公场所。这样的抽查应按照相关规章制度执行。应让每个人都知道将进行抽查,并且只能在法律法规要求的适当授权下执行检查。
惩罚
违背该方针可能导致:员工被解雇、合同方或顾问的雇佣关系终止、实习人员失去继续工作的机会、员工受到经济性惩罚等;另外,这些人员的信息资源访问权以及公民权可能受到侵害,甚至遭到法律起诉。
引用标准
略
*使用可替换的路由选择和/或传输介质,以提供适当的安全措施;
*使用纤维光缆;
*使用电磁防辐射装置保护电缆;
*对于电缆连接的未授权装置要主动实施技术清除、物理检查;
*控制对配线盘和电缆室的访问;
设备维护方针
要按照供应商推荐的服务时间间隔和规范对设备进行维护;
只有已授权的维护人员才可对设备进行修理和服务;
网为了防止干扰,电源电缆要与通信电缆分开;
使用清晰的可识别的电缆和设备记号,以使处理失误最小化,例如,错误网络电缆的意外配线;
用文件化配线列表减少失误的可能性;
对于敏感的或关键的系统,更进一步的控制考虑应包括:
*在检查点和终接点处安装铠装电缆管道和上锁的房间或盒子;
离开建筑物的设备和介质在公共场所不应无人看管。在旅行时便携式计算机要作为手提行李携带,若可能宜伪装起来;
制造商的设备保护说明要始终加以遵守,例如,防止暴露于强电磁场内;
ISO27001:2013信息安全管理体系 全套程序 01互联网使用策略
该策略的目的是规范互联网以及公司内部网络的使用,确保信息资源不会被泄漏、篡改和破坏。
适用范围
该策略适用于有权访问任何信息资源而又可以访问互联网以及公司内部网络的所有人员。
内容
提供给授权使用者的互联网浏览软件只能用于业务和研发;
所有用于访问互联网的软件必须都经过批准,并且必须结合卖方提供的安全补丁;
通过外部网络传送的所有敏感资料都必须经过加密;
文档和文件的发送或接受必须以不引起法律责任或业务阻碍的方式进行;
使用互联网应遵循法律法规要求,并不得利用国际联网危害国家安全、泄露国家秘密,不得损害国家、社会、集体的利益和公民的合法权益,不得从事违法犯罪活动。
从互联网下载的所有文件必须通过经过批准的病毒检测软件进行病毒扫描;
用于互联网访问的所有软件都应该使用防火墙进行配置;
访问的所有站点都必须符合信息资源使用策略;
所有Web站点上的内容都必须符合信息资源使用策略;
禁止通过Web站点访问带有攻击性或骚扰性的资料;
互联网不可以用于个人私利;
在不能确保资料只被授权的人员或组织使用时,数据不能通过Web站点获取;
互联网使用策略
发布部门
技术部
生效时间
2009年7月1日
批准人
张德洲
文件பைடு நூலகம்号
JSWLS/IS-01-2009
介绍
互联网是传播和获取信息的重要途径。而信息是组织的重要资产。因此,建立该策略能够:
确保互联网的使用符合相应的、与信息资源管理相关的法令、规章及要求;
建立谨慎的、合理的互联网使用惯例;
向使用互联网或者企业内部网络的员工告知其应负的责任。
ISO27001:2013信息安全管理体系 全套程序 35网络连接控制策略
该策略的目的是建立网络访问和使用规则。
适用范围
该策略适用于访问任何信息资源的所有人。
内容
只允许用户访问安全公布的网址;
用户不可以私自下载、安装或运行软件或应用程序,发现或揭露系统的安全薄弱点。
不允许用户以任何方式更换网络硬件。
公共文件服务器应建立相应权限的用户并设置密码,个人使用离开时,应断开连接。
网络连接控制策略
发布部门
技术部(运维组)
生效时间
2009年7月1日
批准人
张德洲
文件编号
JSWLS/IS-65-2009
介绍
自有计算机网络以来,网络安全就成为网络使用者不得不面对的问题。随着网络应用的飞速发展、Internet应用的日益广泛,计算机网络安全问题变得尤为突出这使人们对信息安全问题更加关注,建立完善的网络安全方案、保护核心资源已迫在眉睫。
未经技术部(运维组)允许,不得使用各类下载软件。
各类HUB,集线器等设备,不得随意连接或移动,未经允许。不得自组简易局域网
可无线上网的设备,不得随便接入不安全的网络,不可私自架设无线网络
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
在未经技术部批准的情况下,用户不得安装网络硬件或软件提供网络服务;
不允许用户以任何方式更换网络硬件。
惩罚Байду номын сангаас
违背该策略可能导致:员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除;另外,这些人员还可能遭受信息资源访问权以及公民权的损失,甚至遭到法律起诉。
引用标准
所有网络连接设备必须按照改为:技术部批准的规范进行配置;
所有连接到网络的硬件必须服从技术部的管理和监控标准;
在没有技术部批准的情况下,不能对活动的网络管理设备的配置进行更改;
网络基础设施支持一系列合理定义的、被认可的网络协议。使用任何未经认可的协议都必须经过技术部的批准;
支持协议的网络地址由技术部集中分配、注册和管理;
网络基础设施与外部第三方网络的所有连接都由技术部负责。这包括与外部电话网络的连接;
技术部的防火墙必须按照防火墙实施规范文件进行安装和配置;
在未获得技术部书面授权的情况下,部门不得使用防火墙;
用户不可以以任何方式扩散或再次传播网络服务。这就意味着未经技术部批准你不可以安装路由器、交换机、集线器或者无线访问端口;
网络配置安全策略
发布部门
技术部
生效时间
2015年02月01日
批准人
文件编号
XXXX-A-03-15
介绍
网络基础设施是提供给所有信息资源用户的中心设施。重要的是这些基础设施(包括电缆以及相关的设备,如路由器、交换机)要持续不断的发展以满足用户需求,然而也要求同时高速发展网络技术以便将来提供功能更强大的用户服务。
目的
该策略的目的是为网络基础设施的维护、扩展以及使用建立规则。该规则是保持信息完整性、可用性和保密性所必需的。
适用范围
该策略适用于访问信息资源的所有人。
术语定义
略
网络
配置
安全
策略
技术部拥有网络基础设施并对其负责,而且还要对基础设施的发展和增加进行管理;
为了提供稳固的网络基础设施,所有电缆必须由技术部或被认可的合同方安装;