ISO27001：2013通信安全管理制度

XXXXXX软件有限公司人性化科技提升业绩

通信安全管理制度

目录

1. 目的和范围 (2)

2. 引用文件 (2)

3. 职责和权限 (2)

4. Internet访问控制 (2)

5. 网络隔离 (3)

6. 无线网络访问管理 (3)

7. 信息交流控制措施 (3)

1.目的和范围

通过控制网络访问权限以及公司与外部的信息传递，防止对办公网系统和应用系统的非法访问。

2.引用文件

1)下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的

引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用

于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是

不注日期的引用文件，其最新版本适用于本标准。

2)GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全

管理体系要求

3)GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全

管理实施细则

3.职责和权限

各部门必须遵照本管理规范实行对网络、口令和权限的管理，用户必须按照本管理规范访问公司办公网系统和应用系统。

4.Internet访问控制

1)所有员工在工作时间禁止利用公司网络和互联网专线访问违法网站及内

容。

2)客户及第三方人员不允许直接通过可访问公司资源的有线或无线网络访问

Internet，客户及第三方人员如需访问Internet应当在专设的隔离区进行。

5.网络隔离

1)公司与外部通过防火墙隔离，制定严格的VLAN划分，对公司内重要部门

的访问进行控制。

2)系统服务部制定VLAN访问控制说明。

3)对不同的应用系统的用户信息及其他信息进行网络隔离。

6.无线网络访问管理

服务部对无线网络进行密码控制管理；员工对密码的保密要求在《密码控制管理制度》文件里做详细规定。

7.信息交流控制措施

1)信息交流方式包括数据交流、电子邮件、电话、纸质文件、谈话、录音、

会议、传真、短信、IM工具等；

2)可交流的信息，须符合《信息资产分类分级管理制度》里的密级规定;

3)公司使用的信息交流设施在安全性上应符合国家信息安全相关法律法规、

上级主管机关以及本公司安全管理规定的要求；

4)对信息交流应作适当的防范，如不要暴露敏感信息，避免被通过电话偷听

或截取；

5)员工、合作方以及任何其他用户不得损害公司的利益，如诽谤、骚扰、假

冒、未经授权的采购等；

6)不得将敏感或关键信息放在打印设施上，如复印机、打印机和传真，防止

未经授权人员的访问；

7)在使用电子通信设施进行信息交流时，所考虑的控制包括：

保护以附件形式传输的电子信息的程序；