您的位置:360文档中心› 信息安全政策

信息安全政策

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

信息安全政策

二零零六年四月一日伯东贸易(深圳)有限公司

目录

1.信息安全政策 (1)

1.1制定信息安全政策之目的 (1)

1.2本政策之保护范围 (1)

1.3受保护信息之范围 (1)

1.3.1受保护信息范围之判断 (1)

1.3.2不论董事及员工的判断如何而必须受保护的信息 (2)

1.4信息安全政策之应用 (3)

2.关于信息安全之章程 (3)

2.1道德守则 (3)

2.2信息安全政策 (3)

2.3信息安全指南 (3)

3.信息安全管理系统 (3)

3.1信息安全管理主管 (3)

3.1.1职位描述 (4)

3.1.2职责 (4)

3.2信息安全管理系统 (4)

3.2.1信息安全管理负责人的职责 (4)

4.办公室之出入管理 (5)

4.1办公室之出入管理 (5)

4.1.1出入证之发出和使用 (5)

4.1.2出入管理之区域范围分类 (5)

4.1.3出入限制 (5)

4.2出入证/ 密码于合同解除后之注销 (6)

5.办公室内之信息安全 (6)

5.1营业区域范围内之信息安全管理 (6)

5.1.1电脑设备之信息安全管理 (6)

5.1.2重要档案之信息安全管理 (7)

5.1.3重要设施之展示 (7)

5.2公共区域内之信息安全管理 (7)

5.2.1会议室内之安全管理 (7)

5.2.2走廊内之安全管理 (7)

5.3办公室范围以外之信息安全 (7)

6.信息系统之存取权限管理 (8)

6.1存取权限之管理 (8)

6.1.1发出登入名称 (8)

6.1.2存取权限之制定 (9)

6.1.3密码之管理 (9)

6.2登入名称于合同解除后之注销 (9)

7.信息工具之使用及处理 (9)

7.1信息工具之使用及处理 (10)

7.1.1利用电子存储介质接收及传送 (10)

7.1.2通过互联网接收及传送 (10)

7.1.3收集及递送服务之接收 (10)

7.1.4信息工具之修理及再用 (10)

7.1.5信息工具之丢弃 (11)

8.外包业务的外聘服务提供者之管理 (11)

8.1对外包业务的服务提供者之了解 (11)

8.1.1对外包业务之了解 (11)

8.2合同之制订 (12)

8.2.1基本外包业务合同之订立 (12)

8.2.2个别外包业务合同之订立 (12)

8.2.3再外包通知 (12)

8.2.4保密合同 (12)

8.2.5外包业务的服务提供者之信息系统管理情况 (12)

8.2.6借调合同 (12)

8.3检验与接收 (12)

8.4合同之届满 (12)

部网络连接时之信息安全 (13)

当与外部

9.当与外

9.1当外部网络被允许与公司的网络连接时 (13)

9.2当公司的网络连接到外部网络时 (13)

9.3透过互联网之网络连接 (13)

10.互联网公用范围之信息安全 (14)

10.1给用户的通知 (14)

10.2互联网网站之运作 (14)

11.系统开发及运作上之信息安全 (15)

11.1系统环境 (15)

11.1.1开发、测试及生产环境之分隔 (15)

11.1.2变更之管理 (15)

11.2监察及其他 (15)

11.2.1监察 (15)

11.2.2系统记录 (16)

11.3设备 (16)

11.3.1电源之管理 (16)

11.3.2网络设备之管理 (16)

11.3.3重要服务器 (16)

11.4其他 (17)

12.对非授权存取及电脑病毒之应对措施 (17)

12.1对违法或不当电脑软件之应对措施 (17)

12.2对电脑病毒之应对措施 (17)

12.3对非授权存取之应对措施 (17)

13.关于信息安全之教育 (18)

13.1员工之教育 (18)

13.2外部员工之信息安全教育 (18)

14.应急计划 (18)

15.违反信息安全政策等之记录报告 (19)

15.1报告违反信息安全政策的情况或问题识别 (20)

15.2对违反信息安全政策情况之分析及有关措施 (20)

16.一致性 (20)

16.1受法律规章管限 (20)

16.2确保信息安全的充分性 (20)

16.2.1各业务单位个别检查之执行 (20)

16.2.2信息安全管理主管之检讨 (20)

17.纪律处分 (20)

/修订 (20)

本政策之变更/

18.本政策之变更

19.实施日期 (21)

1. 信息安全政策

1.1 制定信息安全政策之目的

在公司内,我们会处理大量的信息,亦因业务需求提供各类信息。故此,我们作为信息提供者必须认清社会责任并采取正当程序,以合理地处理信息。为了与客户建立互信以及保障公司及其员工,保护和管理信息资产是重要而又必须的。

因此,本公司制订了一套关于信息安全整体政策的内部规则,定为《信息安全政策》(以下简称为“政策”)。

本公司的信息资产用户应承认信息安全的重要性,并遵守本《信息安全政策》。

1.2 本政策之保护范围

本政策旨在保护“信息”及“信息工具”。

(1) 信息= 有价值的、重要的无形资产

例如:想法、专业知识技术、源程式、档案、数据等

(2) 信息工具= 存储及传送信息的有形或无形资产

例如:服务器、客户、应用程式、电邮、电子存储介质、网络、纸张、人员、邮寄物

件等

(3) 信息资产= “信息”+“信息工具”

1.3 受保护信息之范围

董事和员工原则上应根据信息资产在被侵害或可能被侵害的情况下的损失程度,来决定公司内受保护信息的范围。

然而不论董事和员工的判断如何,本政策对于必须遵照执行的最低限度信息保障有明文规定。

1.3.1 受保护信息范围之判断

根据本政策内的规定,信息并非受到相同程度的保护。董事和员工拥有依据个人对信息的重要性以及对“机密性”、“完整性”和“可用性”于被侵害或可能被侵害时的损害程度的考虑,而作出的独立判断以保护信息的权利及责任。

机密性= 只有被授权的人员可以存取信息

泄漏信息为对机密性的一种侵害。

相关文档
最新文档