信息安全系统管理系统要求规范

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

信息安全管理规范公司

版本信息

修订历史

Table of Contents(目录)

1. 公司信息安全要求 (5)

1.1信息安全方针 (5)

1.2信息安全工作准则 (5)

1.3职责 (6)

1.4信息资产的分类规定 (6)

1.5信息资产的分级(保密级别)规定 (7)

1.6现行保密级别与原有保密级别对照表 (7)

1.7信息标识与处置中的角色与职责 (8)

1.8信息资产标注管理规定 (9)

1.9允许的信息交换方式 (9)

1.10信息资产处理和保护要求对应表 (9)

1.11口令使用策略 (11)

1.12桌面、屏幕清空策略 (11)

1.13远程工作安全策略 (12)

1.14移动办公策略 (12)

1.15介质的申请、使用、挂失、报废要求 (13)

1.16信息安全事件管理流程 (14)

1.17电子邮件安全使用规范 (16)

1.18设备报废信息安全要求 (17)

1.19用户注册与权限管理策略 (17)

1.20用户口令管理 (18)

1.21终端网络接入准则 (18)

1.22终端使用安全准则 (18)

1.23出口防火墙的日常管理规定 (19)

1.24局域网的日常管理规定 (19)

1.25集线器、交换机、无线AP的日常管理规定 (19)

1.26网络专线的日常管理规定 (20)

1.27信息安全惩戒 (20)

2. 信息安全知识 (21)

2.1什么是信息? (21)

2.2什么是信息安全? (21)

2.3信息安全的三要素 (21)

2.4什么是信息安全管理体系? (22)

2.5建立信息安全管理体系的目的 (22)

2.6信息安全管理的PDCA模式 (23)

2.7安全管理-风险评估过程 (23)

2.8信息安全管理体系标准(ISO27001标准家族) (24)

2.9信息安全控制目标与控制措施 (25)

1. 公司信息安全要求

1.1 信息安全方针

⏹拥有信息资产,积累、共享并保护信息资产是我们共同的责任。

⏹管理与技术并重,确保公司信息资产的安全,保障公司持续正常运营。

⏹履行对客户知识产权的保护承诺,保障客户信息资产的安全,满足并超越

客户信息安全需求。

1.2 信息安全工作准则

⏹保护信息的机密性、完整性和可用性,即确保信息仅供给那些获得授权的

人员使用、保护信息及信息处理方法的准确性和完整性、确保获得授权的人员能及时可靠地使用信息及信息系统;

⏹公司通过建立有效的信息安全管理体系和必要的技术手段,保障信息资产

的安全,降低信息安全风险;

⏹各级信息安全责任者负责所辖区域的信息安全,通过建立相关制度及有效

的保护措施,确保公司的信息安全方针得到可靠实施;

⏹全体员工应只访问或使用获得授权的信息系统及其它信息资产,应按要求

选择和保护口令;

⏹未经授权,任何人不得对公司信息资产进行复制、利用或用于其它目的;

⏹应及时检测病毒,防止恶意软件的攻击;

⏹公司拥有为保护信息安全而使用监控手段的权力,任何违反信息安全政策的

员工都将受到相应处理;

⏹通过建立有效和高效的信息安全管理体系,定期评估信息安全风险,持续

改进信息安全管理体系。

1.3 职责

全体员工应保护公司信息资产的安全。每个员工必须认识到信息资产的价值,负责保护好自己生成、管理或可触及的涉及的数据和信息。员工必须遵守《信息标识与处理程序》,了解信息的保密级别。对于不能确定是否为涉密信息的内容,必须征得相关管理部门的确认才可对外披露。员工必须遵守信息安全相关的各项制度和规定,保证的系统、网络、数据仅用于的各项工作相关的用途,不得滥用。

1.4 信息资产的分类规定

公司的信息资产分为电子数据、软件、硬件、实体信息、服务五大类。

1.5 信息资产的分级(保密级别)规定

信息资产分为:一般、内部公开、企业秘密、企业机密4个保密级别。

1.6 现行保密级别与原有保密级别对照表

保密级别与公司原有的保密级别的对照表如下:

1.7 信息标识与处置中的角色与职责

1.8 信息资产标注管理规定

(1)公司所属的各类信息资产,无论其存在形式是电子、纸质还是磁盘等,都应在显著位置标注其保密级别。

(2)一般电子或纸质文档应在该文档页眉的右上角或页脚上标注其保密级别或在文件封面打上保密章,磁盘等介质应在其表面非数据区予以标注其保密级别。

(3)如果某存储介质中包含各个级别的信息,作为整体考虑,该存储介质的保密级别标注应以最高为准。

(4)如果没有明显的保密级别标注,该信息资产以“一般”级别看待。(5)对于对外公开的信息,需要得到相关责任人的核准,并由对外信息发布部门统一处理。

(6)如需在信息资产上表述保密声明,可采用以下两种表述方式:表述方式一:“保密声明:公司资产,注意保密。”

表述方式二:“保密声明:本文档受国家相关法律和公司制度保护,不

得擅自复制或扩散。”

1.9 允许的信息交换方式

公司允许的信息交换方式有:邮件、视频、电话、网站内容发布、文件共享、传真、光盘、磁盘、磁带和纸张。

1.10 信息资产处理和保护要求对应表

1.11 口令使用策略

全体员工在挑选和使用口令时,应:

(1)保证口令的机密。

(2)除非能安全保存,避免将口令记录在纸上。

(3)只要有迹象表明系统或口令可能遭到破坏,应立即更改口令。

(4)选用高质量的口令,最少要有6个字符,另外:

A.口令应由字母加数字组成;

B.口令不应采用如姓名、电话号码、生日等容易猜出或破解的信息。

(5)每三个月更改或根据访问次数更改口令(特别是特权用户),避免再次使用或循环使用旧口令。

(6)首次登录时,应立即更改临时口令。

(7)不得共享个人用户口令。

1.12 桌面、屏幕清空策略

为了降低在正常工作时间以外对信息进行未经授权访问所带来的风险、损失和损害,员工应:

相关文档
最新文档