您好,欢迎来到九壹网。
科技 教育 生活 旅游 时尚 美容 美食 健康 体育 游戏 汽车 家电
搜索
您的当前位置:首页网络信息安全管理制度

网络信息安全管理制度

来源:九壹网
目录

一、 物理访问制度ISMS-3001

1. 目的

为了保障公司办公区域资讯信息安全和员工人身及财物安全,防止公司财产流失,特制定本制度。

2. 范围

本制度适用于公司员工外出及外来人员进入公司出入管理。 3. 职责

公司设立接待人员,负责来访人员登记管理。 4. 员工外出管理

员工因工作需要外出,需向相应上一级主管作出事由说明,经批准后方可外出。

到客户现场提供服务或工作的人员,需带公司胸卡。 5. 来宾出入管理规定

(1)凡是来宾访客(包括外包协作厂商、客户及等来访人员)进入公司内时,一律须出示其有效证件,说明来访事由,经被访人同意后,方可允许相关人员进入办公区。

(2)团体来宾参观时,在得到总经理或副总的许可后,须由相关人员陪同方可进入。

(3)员工亲友私事来访时,除特殊紧急事故,经其部门主管核准外,不得在上班时间内会客,亲友须于会客区内等候至下班时会见。

(4)公司内部核心区域出入管理规定 1)敏感区域

公司敏感区域主要为内部机房和经理室.公司安装监控器;实施办公区域24小时监控.

2)如需进入上述敏感区域,需经管理者代表/总经理同意,否则不得进入。 相关文件物理访问控制程序

6. 相关记录无

二、 外部相关方信息安全管理规程ISMS-3002

1. 目的

为确保被外部相关方访问、处理、共享、管理的组织信息及信息处理设施的安全,特制定本管理规定。

2. 范围

本管理规定适用于公司外部相关方(包括顾客.供方.第三方)管理。 3. 职责

技术部系统管理员负责制定本规定并负责执行。 4. 管理规定

(1)第三方物理访问须经公司被访问部门的授权,具体执行《访客管理制度》.

(2)公司与顾客需明确规定信息安全要求,公司规定在与客户签订合同中需规定必要的安全要求。

(3)服务器访问权需由技术部统一授权给用户,一个用户给予惟一账号,口令自行保管.

(4)本公司公网接入服务提供方等为外包过程,此类外包服务商应由技术部组织签订服务协议/合同,并应收集其相关资质,经公司评估成为合格供方后方可与之进行经济来往.

(5)采购供方或任何其它相关方人员现场访问公司现场时,需由技术部接待,需要涉及到公司重要应用软件、重要设施及重要数据的访问时,必须由技术部人员授权方可使用或查阅,涉及到资料复制名外借时,公司重要数据和文件需征得总经理同意.

(6)《服务合同》1年注意更新。

三、 与相关资质申报及年审规定ISMS-3003

1. 目的:

为公司对外与相关部门的相关业务联系提供指导; 2. 职责:

技术部负责各项项目的申报。 财务部负责报税和营业执照年审。 3. 技术部相关管理要求: (1)申报相关流程;

由技术部按各部门项目申报的要求下载相关表格,并按要求组织填报.

(2)申报涉及到相关经营数据的审核

相关经营数据在上报给部门前,先由核对数据,再交由综合部,审核通过后由总经理盖公司公章。

(3)技术部申报材料的备份管理

所有上报给部门的文件数据都备份一份,由技术部资质人员整理归档保存在办公室档案室中,并记录档案文件编号。

(4)材料保密要求

所有档案文件材料由技术部专员负责看管,其他人员如要查阅,需先向技术申请,获得总经理批准认可后,到存放档案的办公室中查阅相关文件,档案文件不允许带出办公室。

4. 相关资质申报年审管理要求 (1)报税管理要求

用财税处相关报税软件,在线填写企业经营数据,完成后由软件系统上报。

(2)营业执照管理要求

接到相关部门通知后,持企业营业执照到指定办事处办理营业执照年审手续。

四、 信息系统容量规划及验收管理制度ISMS-3004

1. 目的

针对已确定的服务级别目标和业务需求来设计、维持相应的技术部服务能力,从而确保实际的技术部服务能够满足服务要求。

2. 范围

适用于公司所有硬件、软件、外围设备、人力资源容量管理。 3. 职责

技术部负责确定、评估容量需求。 4. 内容

(1)容量管理包括:服务器,重要网络设备:LAN、WAN、防火墙、路由器等;所有外围设备:存储设备、打印机等;所有软件:操作系统、网络、内部开发的软件包和购买的软件包;人力资源:要维持有足够技能的人员。

(2)对于每一个新的和正在进行的活动来说,公司管理层应识别容量要求。

(3)公司管理层每年应在管理评审时评审系统容量的可用性和效率。公司管理层应特别关注与订货交货周期或高成本相关的所有资源,并监视关键系统资源的利用,识别和避免潜在的瓶颈及对关键员工的依赖。

(4)技术部应根据业务规划、预测、趋势或业务需求,定期预测施加于综合部系统上的未来的业务负荷以及组织信息处理能力,以适当的成本和风险按时获得所需的容量,

五、 信息资产密级管理规定ISMS-3005

1. 目的

确保公司营运利益,并防止与公司营运相关的保密信息泄漏。 2. 范围

本办法适用于公司所有员工。 3. 保密信息定义

保密信息指与公司营运相关且列入机密等级管理的相关信息。 4. 秘密等级区分

机密等级分为秘密、内控、公开三类,区分标准如下:

(1)秘密:凡该信息泄漏后,足以严重损害本公司利益或有利于竞争对手的。

(2)内控:凡该信息泄漏后,虽不致直接影响本公司利益,但可能使本公司经营管理因而造成困扰,需其阅读对象的。

(3)内控:凡该信息泄漏后,虽不致直接影响本公司利益,但可能使本公司经营管理因而造成困扰,需其阅读对象的。

(4)公开:指可对社会公开的信息,公用的信息处理设备和系统资源. 5. 信息的分类

(1)信息资产的分类可参见附件"信息分类表"。如未列入分类表的信息资产,可依照下面的原则进行判断:

(2)秘密,由信息保管单位主管判定,且至少须为部门以上主管。 (3)内控,由保密信息保管单位自行判定。 6. 保密文件的标识

(1)文件类的信息在判定等级后,加盖印章于文件及附件各页右上角或其它明显处。如页数太多,得酌情抽页盖骑缝章。但绝密级信息应予编码管控。

(2)非文件类的保密信息,包括档案、电子邮件、投影片等,于判定等级后,应于资料传送/显示前告知使用人或相关人员该项信息的密级。

(3)印章由技术部统一刻制,发放给各个部门使用。 7. 传送 (1)内部传送

(2)秘密、内控:保密信息保管单位应将印刷形式保密信息密封后注明机密等级,再装入传递袋中发送收件人;软件形式定稿和完整信息以电子邮件方式传递时应加密;内控信息可不加密。

(3)外部传送:印刷形式保密信息于外部传送时应以挂号函件或其它适当

方式寄送收件人。任何软件形式的机密等级信息于公司外系统、或于公司外使用环境情况下,非经加密均不得以电子邮件方式传递,以避免遭拦截转送。

(4)其它未判定为任一机密等级但仍具有敏感性或半成品性质的信息于传送前可应视情况加密。

8. 其它

(1)保密信息不得用于公司以外的公开活动(如演讲、授课、一般资料调查、出版发行等),如须于前述活动使用,应准用第五条的规定,并经管理者代表核准。

(2)保密信息应由管代/相关负责人妥善保管,并善尽管理保护职责。 (3)离职员工应缴出其所持归公司所有的一切资料及其任何形式复印件、副本,并确定确实归还全部所持公司文件。

(4)新进人员于入职当天即应签署员工保密合约,在新进人员签署上述文件时,综合部应对合约书上有关企业保密信息等有关条文详加说明与解释,务必使新进人员充分了解并遵守企业保密信息有关事项。

(5)保管人员判定保密信息无继续保存的必要时,可经各判定主管的上一级主管核准后销毁。绝密信息、机密信息无保存必要时,应将正本连同复印的保密信息,由原保管单位统一收回销毁。

(6)本办法经总经理核准后公告实施,修订时亦同。

六、 信息系统设备管理规定ISMS-3006

1. 目的和范围

本程序是对信息资产分类中物理资产下的硬件设备的规划、购置、安装、验收、使用、维护、处置等各阶段进行有效控制,在保证设备安全的前提下最大限度发挥设备的效能,同时减少由于设备入网造成安全安全风险。

2. 引用文件

(1)下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡

是不注日期的引用文件,其最新版本适用于本标准。

(2)ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求 (3)ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细则 (4)介质管理规定 (5)笔记本电脑管理规定 (6)机房管理规定 3. 职责

1)技术部:负责信息设备的规划、安装、验收、使用、维护、处置。信息设备指公司综合部建设方面所需的硬件设备。负责重大设备或新类设备的安全评估、风险分析和安全验收。

4. 设备管理流程 (1)设备入网

1)需按设备本身提供的“设备安全操作说明书”进行正确操作和使用,设备在日常使用过程中应注意安全;

2)系统工程师应查找有关的风险评估报告,确定准备入网的设备是否已做过风险评估。

3)如果没有类似的设备做过风险分析和处置计划,则应按风险评估的要求,通知信息安全管理小组进行。

4)如果做过风险分析和处置计划,则应按照相关的处置计划和实施要求,制定设备入网计划。

5)系统工程师对计划入网的设备在的测试环境中进行测试,测试通过后提交综合部审批。

6)技术部批准入网申请后,由系统工程师组织设备入网。 7)设备入网应按照处置计划和入网计划对设备进行安全加固。 8)对入网系统进行一段时间的监控,以观察入网是否生效。如果发现问题,要及时进行处理,必要时要寻求供应商的协助。监控一段时间后,设备担当组织人员进行验收,并通知信息安全管理小组对系统进行安全检测。

(2)设备安置与保护

(3)信息设备安装管理

1)技术部对信息设备安全的安置与保护工作,包括对温度、湿度的监测和日常的巡检等,详见《机房管理规定》。

2)信息安全设备的安置应按照设备制造商的说明,安置工作由专业人员进行。

3)信息安全设备安置要选择能够避免或减少未授权访问的物理场所,应采取措施以减小潜在的物理威胁的风险。

4)重要系统使用的信息设备安置在专用的机房内。

5)安置在室外的信息设备要注意防盗、防雨、防雷、防尘、防腐蚀等工作。

6)确保消防设备充足并随时可用,定期进行消防演练。 (4)支持性设施安置管理

1)技术部负责信息安全设备支持性设施的管理工作,包括提供、维护、维修等。

2)对支持关键业务操作的信息设备,使用不间断电源(UPS)。UPS设备要定期地检查,,详见《机房管理规定》。

3)应急电源开关应位于设备房间应急出口附近,以便紧急情况时快速切断电源。万一主电源出现故障时要提供应急照明。

4)技术部要确保通风和空调系统等运行良好,对其运行情况可进行定期检查。

(5)线缆安全

1)公司网络系统进入信息设备的电源和电信线路布在地板上,要建有冗余线路或留有可替换线路,以保障线路的可用性。

2)电缆要避开公众区域,铺设电缆要有线槽保护,以避免未授权窃听或损坏的危害。为了防止干扰,电源电缆要与通信电缆分开布线。

3)要采取切实有效的措施防范鼠患,防止电缆被鼠噬。

4)电缆要使用牢固、清晰、可识别的标记,使用文件化配线列表减少布线失误的可能性,以使失误最小化,详见《机房管理规定》。

(6)设备移动

1)在公司物理环境以外严禁放置服务器、交换机、电脑等信息设备。

2)公司原则上禁止机房设备移出公司物理环境。如确因工作需要,如展会、维修等,需将公司的服务器、交换机、路由器等信息设备移到办公地点外使用,需经研发主管批准后才能移出公司的物理环境。

3)如需要供应商将设备移出公司物理环境进行维修时,在设备移出前,设备管理人员要将设备中敏感信息从设备中删除或确保维护人员对其不可访问或获取。

4)离开建筑物的信息设备和移动介质在公共场所要有专人看护和保管,不允许无人值守,适当时,还要施加其它措施进行控制,例如上锁,以防止损坏、盗窃等事件发生。

5)笔记本在公司办公场所以外使用,依《笔记本电脑管理规定》。 (7)维护、保养

1)机器设备日常维护由设备使用者在日常使用时进行,维护项目限于查看设备外观有无明显损坏、是否正常工作、是否通电正常等内容。

2)定期维护由技术部专业工程师或供应商进行,定期维护根据不同设备决定不同的维护周期,从一周一次到半年一次不等,定期维护项目包括软硬件更换、性能检查、性能调优等。

3)定期维护和年底维护后,要将维护项目、维护过程、维护人员、维护结果等内容详细记录在《设备维护记录》中。

(8)设备处置

1)设备的处置由设备使用部门提出,经经总经理批准后,对设备进行处理;

2)信息设备在处置过程中须考虑信息安全。

3)设备报废前设备管理责任人要负责删除所有信息,对包含敏感信息的设备要对其信息载体在物理上应予以销毁,或者采用使原始信息不可获取的技术将其安全地重写,如消磁。

4)信息设备的报废工作由综合部负责,需要填写《废弃介质处置记录》,经总经理批准后,才能进行报废。

5)对于因闲置、人员离辞或设备换代等原因不再使用的信息设备,特别是个人电脑,在设备归仓前,要采用信息不可获取的技术将其敏感信息、工作信息和个人信息删除。以确保在设备重用时,重用者不会获得与其工作无

关的内容。

6)对试用设备和测试设备(无论是自有的还是供应商的)中的信息在试用和测试后,由试用或测试人员立即清除,防止重要信息泄露。

7)废弃介质处理方法参见《介质管理规定》 5. 实施策略

(1)设备管理规定涉及到包括《设备维护记录》共1个表单。 (2)对设备的定期维护等内容详细填写《设备维护记录》。 6. 相关记录

本程序发生的记录汇总表 表6-1 ISMS文件日常应用表格

表号 表A.1 记录编号 ISMS-3009-01 记录名称 设备维护记录表 保管 场所 技术部 保存期限 1年 保存形式 电子 备注 七、 机房管理规定ISMS-3007

1. 目的和范围

为科学、有效地管理机房,促进各信息系统在机房安全的、稳定的、高效的运行,特制定本规定。

2. 引用文件

(1)下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。

(2)ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求 (3)ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细 (4)设备管理规定 (5)访问控制程序

3. 职责和权限

技术部:负责责机房的日常检查、维护和管理工作,及当发生紧急事件时,按应急预案进行相应的处置。

4. 机房出入制度

(1)机房的进出由技术部严格管理。机房的钥匙保存技术部。如需进入机房,必须得到技术部的授权,在技术部领取钥匙后方可进入。

(2)未经许可不准携带任何磁带(盘)、磁介质和资料进入机房。经特许携带的,必须由专人陪同方可进入。

(3)未经许可不允许使用摄影、录像、笔记、或其它音像记录设备等。 5. 机房环境管理

(1)技术部对机房环境每半月进行一次检查,对发现的问题要及时解决。填写《机房巡检记录表》。

(2)机房内要保持设备无尘、布线整齐、物品就位、资料齐全。 (3)机房内严禁堆放与工作无关的其它物品及纸质物品。做好消防灭火设备检查工作

(4)机房内禁止饮食、吸烟、打闹、大声喧哗,机房内不得会客、闲谈。 (5)机房内备有温度计和湿度计,温度保持在18℃-25℃,湿度保持在40%-60%。温度计和湿度计应每年作一次检测。

(6)机房接地系统要符合相应的技术标准,各个设备交流工作电源应有工作接地,机柜应有效接地。。

(7)机房配电柜要有防雷设施,进出机房的电缆应有防雷措施。 (8)机房用电要使用的电线,专用变压器、电源稳压器等。 (9)机房的环境应达到机房建设的设计要求。 6. 机房设备管理

(1)机房要有完整的网络拓扑图、物理拓扑图。

(2)机房内的所有设备应贴有设备标签,并注明设备的主要参数。 (3)主机系统和网络设备的各类接线的两端应设置标签,网络接口侧应注明连接的设备。

(4)对主要网络设备如核心路由器、交换机、防火墙、IDS等设备的配置文件每6个月进行进行一次评审。

(5)对机房的主机设备及智能网络交换装置应严格管理,做好事故预想,制定周密的故障应急措施。

(6)严禁擅自在运行的小型机、交换机、路由器等设备上进行开发、维护、调试或学习培训等工作。

(7)实施策略

1)机房管理规定涉及的《机房巡检记录表》共1个表单。 7. 相关记录

本程序发生的记录汇总表 表7-1 ISMS文件日常应用表格

表号 表A.1 记录编号 ISMS-3021-01 记录名称 机房巡检记录表 保管 场所 信息安全小组 保存保存形式 期限 1年 纸质 备注 八、 笔记本电脑管理规定ISMS-3008

1. 目的

建立笔记本电脑设备的使用规定及其与互联网的连接制度,这些规定是保持信息资源保密性、完整性和可用性所必需的。为加强业务笔记本电脑设备的合理利用与笔记本电脑设备信息安全管理,特制定该管理规定。适用所有业务部门员工和需在业务部门办公室工作的人员。

2. 引用文件

(1).下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。

(2).ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求 (3).ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细则 (4).防范病毒及恶意软件管理规定 3. 职责和权限

(1)总经理:负责笔记本电脑申请的审批 (2)技术部:负责笔记本电脑的发放管理

(3)使用人员:负责便携计算机的日常使用保养和维护。 4. 笔记本电脑使用规定

(1)公司所有笔记本电脑由使用人员自行保管负责,若是公司统一配置的在辞职时应到综合部办理电脑交接手续,并在《离职交接清单》中作好备注。

(2)技术部授权使用的笔记本电脑未经部门经理同意严格禁止带出公司。 (3)未经许可,员工不得携带个人笔记本电脑设备进入公司办公场所。 (4)笔记本电脑设备必须有严格的口令访问控制措施,口令设置需满足公司安全策略要求。

(5)对无人看守的笔记本电脑设备必须实施物理保护,必须放在带锁的办公室、抽屉或文件柜里;

(6)笔记本电脑设备丢失或被窃后应及时报告给部门经理和技术部。 (7)除自然损坏外,凡人为损坏(如撞坏、跌坏、电源插错烧坏等)由本人负责修好,费用由个人承担。

(8)便携机中除工作所需的软件外,不导入其他与工作无关的软件。特别要保证便携机不带病毒。

5. 安全配置规定

(1)授权使用的笔记本电脑设备必须安装公司安全策略规定的防病毒软件;

(2)笔记本电脑设备每月进行一次病毒软件和操作系统补丁检查和评审,由电脑使用人员自行负责.

(3)笔记本电脑设备若支持内置的硬盘加密措施,应启用该措施,以免电脑或硬盘丢失后造成数据泄密。

(4)公司采用相关产品和方法对笔记本数据进行加密处理和使用,防止信息泄密。

(5)公司采用相关产品和方法对笔记本进行监控

(6)公司内部未经授权禁止开启无线网卡功能。禁止使用公司外部的未设安全机制的无线网络,系统管理员要每月扫描一次公司能接受到的外部不安全网络。

(7)公司的无线网络仅供授权的技术支持人员使用,其他未经技术部授权禁止便携机连入使用。

6. 外部人员使用笔记本的规定

(1)外部人员使用的笔记本电脑只能连接到公共上网区,通过于公司内部的专用网络上网。出于安全考虑,一般不予考虑客人接入公司内部网络。

(2)外部人员接待负责人需提前通知技术部该外部人员笔记本电脑使用的地点,便于技术部配置相关网络。

(3)若外部人员需要在业务办公地点长期工作(指超过2周时间),需经技术部经理批准。

7. 客户现场管理规定

(1)在客户现场进行开发及维护等工作时,在遵守本公司管理规定时,同时要遵守客户的管理方面相关规定。

(2)如在客户现场工作时需要使用笔记本,相关部门人员应尽量使用本部门公共笔记本,并进行登记。

(3)在客户现场使用笔记本工作时,必须注意信息的保密,防止笔记本内信息泄露。

(4)笔记本内新产生的数据应及时在客户备份系统或公司备份系统上进行备份,防止数据丢失。

8. 实施策略 自行保管负责; 无线网络加密上网;

9. 相关记录 无

九、 介质管理规定ISMS-3009

1. 目的和范围

任何信息设备,如:计算机、交换机、打印机、传真机、复印机等,都需要介质进行存储,当存储设备或可移动介质需要转移或销毁时,如果处理不当,很容易造成信息泄漏。因此,必须按规定执行处置。适用于移动存储设备/介质在本公司办公场所及房机内的使用管理。

2. 引用文件

(1)下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。

(2)ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求 (3)ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细则 3. 职责和权限 (1)综合部

负责对公司各类的可移动介质和存储介质的发放、使用、处置的进行管理。

(2)介质使用部门和使用者

(3)由部门负责管理的介质,由该部门领导指定专人负责保管。个人使用的介质由本人负责保管。

4. 介质管理 (1)介质分类

1)技术部对公司使用的介质,进行介质分类,制定《介质管理分类表》。 2)介质分为一般介质和可移动介质,一般介质包括:计算机存储介质,

可移动介质是指U盘、移动硬盘、数码相机、光盘、光盘刻录机、PDA、带USB接口的MP3/MP4播放器等。

(2)介质使用管理

1)一般情况下公司禁止使用可移动介质。

2)确因工作需要使用移动介质,须经本部门领导批准后方可到技术部领用。

3)技术部负责可移动介质的发放,并填写《可移动介质授权使用表》。 4)授权用户要注意保护自己所属可移动介质不被盗取。

5)授权用户要注意保护自己所属可移动介质不被盗取。保管时要放置于安全的区域内,如带锁的柜子;

6)非本公司工作人员禁止在内部网络设备上使用可移动介质。 7)各使用人必须每月一次对自己使用的移动介质进行病毒扫描。 8)使用可移动介质保存公司秘密数据时,移动介质必须采用必要的加密措施,防止信息泄露,有条件时使用带有加密功能的可移动介质设备。

9)用户在将可移动介质带离公司后,要为其上所有信息资源的安全负责,做好安全保护工作。一旦遗失,立刻上报技术部进行登记。

10)光盘的刻录:

a)带有公司标志的光盘,只能刻录公司自己的程序软件,不得刻录例如操作系统、数据库等软件。

b)公司销售时,必须刻录光盘时,由技术部专门负责人进行刻录,其他人员不得随意刻录光盘。

(3)客户现场使用规定

1)必须严格将笔记本病毒防火墙升级到最新。

2)能使用客户提供的U盘、移动硬盘的,使用客户提供的设备。 3)必须使用自己的U盘、移动硬盘在客户计算机上使用的,必须先对U盘、移动硬盘进行病毒扫描,保证提供给客户的设备中不包含病毒。

(4)介质处置

1)技术部对介质分类表内的介质的废弃进行统一管理,对废弃的介质采用恰当的介质处置方法。

2)计算机硬盘、U盘、可移动硬盘、光盘、数码存储介质等报废时必须

粉碎处理。

3)对废弃的可移动介质在《可移动介质授权使用表》中跟踪填写废弃记录。

4)对废弃的一般介质处理填写《废弃介质处置记录》

5)介质的销毁方式一般分为一般格式化、低级格式化、专业软件重写、物理粉碎。

6)对无敏感信息的介质作一般格式化即可,在保证质量的基础上重新分配和使用。

7)介质中保存有敏感信息的存储介质应当得到安全的存放和处置。对于含有敏感信息的介质应采用低级格式化或专业软件重写,反复次数为三次,才能重新分配和使用。

8)保存有敏感信息的存储介质废弃时,要进行粉碎处理。 5. 实施策略

(1)介质管理规定涉及的《介质管理表》中包括《介质管理分类表》、《可移动介质授权使用表》、《废弃介质处置记录》。

(2)技术部制定《介质管理分类表》。

(3)技术部负责可移动介质的发放,并填写《可移动介质授权使用表》。 (4)对废弃的可移动介质在《可移动介质授权使用表》中跟踪填写废弃记录。

(5)对废弃的一般介质处理填写《废弃介质处置记录》 6. 相关记录

本程序发生的记录汇总表 表9-1 ISMS文件日常应用表格

表号 记录编号 记录名称 介质管理分类表 可移动介质授权使用表 废弃介质处置记录 保管 场所 技术部 技术部 技术部 保存期限 3年 3年 3年 保存形式 电子 纸质 电子 备注 表A.1 ISMS-3012-01 表A.2 ISMS-3012-02 表A.3 ISMS-3012-03 十、 变更管理规定ISMS-3010

1. 目的

对信息处理设施和系统的变更缺乏控制是系统故障或安全失误的常见原因,为规范本公司信息系统的变更,降低因信息系统变更带来的风险,特制定本程序。

2. 引用文件

(1)下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。

(2)ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求 (3)ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细则 3. 职责和权限

(1)技术部:技术部是公司信息系统变更的归口管理部门,负责批准变更的计划、实施、恢复,总体评价变更影响,决策管理;并实施变更。

(2)其他各部门:负责分管的各自工作系统的计划申请和总体评价变更影响。

4. 变更步骤管理

变更申请---变更审批----变更处理. 5. 程序 (1)变更分类

1)技术部设备变更:包括系统中服务器、网络设备、传输线路及计算机终端的新增、减少及其设备本身的变化(包括设备的报废);

2)操作系统软件变更:包括新安装、补丁、版本升级及更换(如打ZLJY2补丁);

3)开发软件包的变更。

(2)技术部设备变更控制

软件设备(包括传输线路)的变更需求由技术部门根据组织业务发展的需要提出,填写《变更申请审批处理表》,经技术部门经理批准后予以实施。

(3)操作系统软件变更

当软件厂商发布操作系统或应用软件的更新补丁或版本时,技术部人员负责分析更新内容对公司现有业务及工作的影响,技术部人员可以先选一台测试机安装最新补丁,在未发现对工作业务产生重要负面影响的前提下,为使用该操作系统或应用软件的用户安装补丁。

(4)软件的变更控制

当客户重新对项目的某一或某些模块进行重要要求时,项目组负责跟踪客户的新要求,进行业务及可以行性分析,组织有关人员进行方案评审,考虑系统改造对现有业务的影响,并制定有效的风险控制措施,方案在评审通过后,修改《需求开发说明书》,针对发生变更的模块,修改相应的详细设计书,数据库说明书,源程序。并对整个项目重新进行测试。

在软件正式变更前,项目组应考虑以下方面的安全要求: 1)变更对目前业务的影响; 2)变更对现有软件的影响; 3)变更实施前应进行安全测试; 4)不成功的变更恢复措施。

在变更实施前,由技术部门填写《变更申请审批处理表》,明确变更的原因、变更范围、变更影响的分析及对策(包括不成功变更的恢复措施),经技术部人员批准后予以实施。

(5)变更实施的安全要求

在变更实施之前,必要时,将重要的数据、系统软件进行备份,以便变更不成功之后的恢复。

在变更实施之前,必要时,应和相关部门协商,以便确定适当的变更时间,尽可能的将对业务的影响减至最低。

(6)变更验收与记录

当变更成功提交后,需由用户进行验收,确认其是否已完成用户所提的要求,达到预期的效果,并记录此次变更操作。

(7)设备报废

设备报废应得到综合部批准后实施。报废设备中存有敏感信息,必须予以清除.

(8)变更后软件备份要求

当变更完成后,需将此次所运行的软件进行备份,包括其相关资料,以便再一次变更以及资料查询;如果此次变更涉及到一些资料文件,则这些资料文件也必须做相应的变更并存档。

(9)变更不成功的恢复措施

取消所做变更,从备份资料中获得原始软件资料,重新运行,恢复原始状态。

根据变更操作记录,查找变更失败原因,以便再次做变更操作时避免同样的错误发生。

十一、 第三方服务管理规定ISMS-3011

1. 目的和范围

对第三方提供的服务进行规范,减少由于服务不规范带来的信息安全方面的风险。

2. 引用文件

(1)下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。

(2)ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求 (3)ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细则 3. 职责和权限

(1)技术部:是信息安全方面的第三方服务的归口管理部门,负责对信息安全方面的第三方服务的定期监控和评审。

(2)技术部:是日常行政管理方面的第三方服务的归口管理部门,负责对

行政方面的第三方服务的定期监控和评审。负责第三方服务合同中条款的审核。

4. 第三方服务管理规定

(1)技术部汇总各部门的资产识别表,整理出公司的《第三方服务汇总表》,明确需要按本规定进行管理的第三方服务项目和其中重要的第三方服务。

(2)将设备、网络、系统、软件、信息安全、保安、保洁等事项进行外包时,重要的第三方服务必须签订要与第三方服务提供方签署《服务合同》,能接触到公司敏感信息资产的服务项目的服务合同中应包含第三方保密要求的内容。

(3)所有的第三方服务的提供方需提供服务人员的姓名、联系方式等信息,技术部汇总《第三方服务厂商联系表》

(4)重要的第三方服务人员服务时相关的原始服务单据由归口管理部门负责验收签字并保存好相关服务记录。

(5)对服务提供方技术人员在现场处理需要设备入网时,必须经技术部门领导同意后方可入网。

(6)对第三方提供服务的能力进行评定,必要时通过招投标,确定合格第三方。

(7)要确保第三方保持充分的提供服务的能力,即便发生重大的服务故障或灾难也能保持服务的连贯性。

(8)每次第三方服务完成时指定专人按照服务合同要求对服务内容和质量进行记录和评审,并在相关服务原始记录中作好验收签字确认。

(9)第三方服务归口管理部门应每年对服务提供商进行定期评审,以确认是否继续列为合格服务商。

(10)当服务提供方发生变更时,进行服务提供方变更登记,并进行服务、现有状态的评估。对变更后的服务提供方进行服务评估。

5. 实施策略

(1)第三方服务管理规定中涉及的《第三方服务管理总表》包括《第三方

服务汇总表》、《第三方服务厂商联系表》共2个表单。

(2)技术部整理出公司的《第三方服务汇总表》

(3)重要的第三方服务必须签订要与第三方服务提供方签署《服务合同》,能接触到公司敏感信息资产的服务项目的服务合同中应包含第三方保密要求的内容。

(4)技术部汇总《第三方服务厂商联系表》。

(5)第三方服务归口管理部门应每年对服务提供商进行定期评审,必要时调整服务供方.

(6).相关记录

本程序发生的记录汇总表

表11-1 ISMS文件日常应用格式汇总

表号 表A.1 表A.2 表A.3 记录编号 ISMS-3014-01 记录名称 第三方服务汇总表 服务合同 第三方服务厂商联系表 保管 场所 技术部 技术部 技术部 保存期限 3年 3年 3年 保存形式 电子 纸质 电子 备注 ISMS-3014-02 十二、 数据备份管理规定ISMS-3012

1. 目的和范围

为确保数据的完整性及有效性,以便在发生信息安全事故时能够准确及时的恢复数据,避免业务的中断,特制定本规定。

2. 引用文件

(1).下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡

是不注日期的引用文件,其最新版本适用于本标准。

(2)ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求 (3)ISO/IEC17799:2005信息技术-安全技术-信息安全管理实施细则 (4)系统维护与监控管理规定 3. 职责和权限

技术部负责公司内部系统运营相关数据的备份管理控制. 技术部负责本公司软件开发所需相关数据的备份管理控制.

其它各个部门根据自己部门的业务特点,建立各自的备份策略进行备份。 4. 备份管理 备份策略

(1)公司各部门根据数据重要程度和工作需要提出需要备份的数据。 (2)信息安全小组根据各制定《备份策略明细表》,明确各项备份数据备份的详细策略。

(3)信息安全小组每半年对备份策略进行评审,确定是否满足各部门备份要求。

(4)建立备份环境,安装调试备份软件。

(5)应建立备份拷贝的准确完整的记录和文件化的恢复程序;

(6)备份的程度(例如全部备份或部分备份)和频率应反映组织的业务要求、涉及信息的安全要求和信息对组织持续运作的关键度;

(7)备份要存储在一个远程地点,有足够距离,以避免主办公场所灾难时受到损坏;

(8)若可行,要定期测试备份介质,以确保当需要应急使用时可以依靠这些备份介质;

(9)恢复程序应定期检查和测试,以确保他们有效,并能在操作程序恢复所分配的时间内完成;

(10)在保密性十分重要的情况下,备份应通过加密方法进行保护 5. 备份的验证

(1)备份负责人根据《备份策略明细表》,检查备份的工作是否按照备份

策略实际的进行了。如果未按照备份策略进行备份,备份负责人指令备份人重新进行备份。

(2)备份负责人根据实际需要,确定哪些非常重要的数据需要做恢复测试,需要恢复测试数据的恢复测试频率,对备份数据进行定期验证。

(3)备份数据的管理

1)备份目录应进行严格的权限管控,无关人员禁止访问备份目录。 2)如无特殊声明,备份数据永久保存。如需废弃,需经备份负责人批准后,删除备份数据。

(4)相关记录

本程序发生的记录汇总表

表12-1 ISMS文件日常应用格式汇总

表号 表A.1 表A.2 表A.3 记录编号 ISMS-3015-01 ISMS-3015-02 ISMS-3015-03 记录名称 备份策略明细表 备份策略检查表 备份数据恢复测试记录表 保管 场所 技术部 技术部 技术部 保存期限 三年 三年 三年 保存形式 电子 电子 电子 备注 十三、 邮件管理规定ISMS-3013

1. 目的和范围

为保证公司的业务的信息安全,必须对其进行有效的管理,确保公司员工对邮件的合理使用,更好地促进内部并与第三方进行相关工作信息的交流,适用于公司业务中被批准、能够通过Email发送、收取和存储信息的所有人。每个业务的邮件使用者都应该遵守该规章制度。

2. 引用文件

(1)下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。

(2)ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求

(3)ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细则 3. 职责和权限

(1)技术部:负责电子邮件系统的规划、建设和日常运行维护;负责邮件的用户名及密码的分配和管理;如有必要,负责邮件的归档,过滤及监控等工作。

(2)使用人员:申请公司的邮箱,按照公司的规定使用邮箱。 4. 电子邮件的帐户管理 (1)帐户申请:

公司邮箱:工作人员正式入职以后须向技术部申请邮件账号。 5. 电子邮件使用规定 (1)明确禁止的行为

在未授权的情况下发送公司机密文件、项目文档或程序代码等未授权的信息;

(2)发送或者群发与工作无关的邮件或垃圾邮件及个人信息; (3)发送或者转发虚假、黄色、反动信息; (4)发送或者转发宣扬个人政治倾向或者宗教信仰;

(5)利用电子邮件服务传输任何骚扰性的、中伤他人的、恐吓性的、庸俗、淫秽以及其他违反国家规定内容的信息资料;

(6)在非授权情况下以公司的名义发表或群发个人意见;

(7)利用电子邮件服务散布电脑病毒、木马程序、干扰网络上其他使用者或破坏网络系统的正常运行。

6. 邮件使用规定

(1)除非特别批准,使用白名单发送邮件的收件人地址。

(2)邮件系统为公司因工作需要而对外联系所用,用户必须以本人的真实身份使用用于办公用途的电子邮箱,禁止以他人名义滥发邮件或盗用他人邮箱。

(3)邮箱用户的登录密码,用户必须严格保密,不得泄露。如将其借予他

人使用,由此造成的一切安全后果由邮件帐号所有人承担。

(4)用户不得将电子邮件地址用于非工作目的(特别是以娱乐、购物、交友等为目的身份注册)。

(5)Email账号密码必须符合口令策略的相关规定;

(6)未经授权任何人不得尝试以他人帐户口令进行登录,阅读他人邮件内容。

(7)在对外联系中,应注意安全保密,用Email发送机密信息必须符合公司的相关规定;

(8)因工作需要而传递公司或项目保密文件时,经批准后,可通过加密渠道传递;

(9)通过E-MAIL发送机密附件时,如有必要,附件必须加密;

(10)请尽量压缩传送的文件,勿发送超过2M的附件,以免影响系统性能; (11)对外联系时请注意通信礼仪,保持公司良好的形象;

(12)使用防病毒工具的E-MAIL保护功能,并经常查毒,有异常应及时通知管理员;

(13)发送Email必须有清楚的主题,发送前再次确认收件人列表内的人员都是必需的和正确的;

(14)用户不要阅读和传播来历不明的邮件及附件,提高对于邮件病毒的防范意识,避免传递病毒邮件。

(15)工作人员离职必须向技术部申请邮箱收回。并做后期处理。 7. 实施策略

不得用个人邮箱发机密文件; 8. 相关记录 无

十四、 软件管理规定ISMS-3014

1. 目的和范围

本标准规定了公司软件资产的收集、发放、管理、使用、更改、修订、

备份等过程的控制要求

2. 引用文件

(1)下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。

(2)ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求 (3)ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细则 (4)补丁管理规定 3. 职责与权限 技术部:

是软件资产(非自行开发软件)的归口管理部门。负责软件的购置、维护、作废及各部门软件资料、介质的收集、统计、归档、存放和发放使用。

技术部是公司自行开发软件的归口管理部门。 4. 软件管理 (1)收集

对公司信息系统涉及的软件资产进行收集整理、分类归档,填写《信息资产识别表》中“软件和系统”类资产。公司内软件来源主要有以下几个方面:

(2)已有商业软件购买。 (3)技术部开发内部使用软件。 (4)免费软件的下载。

(5)识别出资产识别表中重要的软件和应用系统。 5. 审核、批准、发布

(1)新的软件使用前填写《新软件和系统登记表》,每季度根据此表内容对《信息资产识别表》里的软件和系统资产进行更新。

(2)新的软件由技术部进行测试或使用检验,测试应当包括可用性、安全

性,对其它系统影响和用户友好性,测试应当在与应用系统隔离的系统中进行。

(3)新的软件测试或使用检验合格后,经相关部门领导审核并批准后提交技术部发布。

6. 软件归档和存放

(1)所有软件收集后统一登记,包括软件的开发厂家,软件数量,软件版本,许可证编号等。

(2)软件登记好后统一存放于指定位置。磁盘文件存放于指定存储空间中,由专人负责整理,各软件建立的文件夹,标识明确清晰,并做好软件的备份工作。光盘统一存放入文件柜中,并有明显易辨认的标识,便于整理和取用。

7. 软件使用

(1)技术部统一负责软件的发放及安装,做到及时升级和故障排除。 (2)各部门负责软件的使用,如有问题及时反馈给技术部。

(3)未经许可,任何人不得将内部使用的软件外带、传播、贩卖,不得将软件用于任何违法或非正当用途。

(4)软件使用过程中应加强保护,保持软件完整、可用,不受病毒侵害。 (5)制作《授权使用软件列表》,禁止使用未经授权的软件和未经授权的系统实用工具软件。

(6)对光盘介质类软件要考虑使用刻录的副本,原光盘进行存档处理。 8. 修订与升级

(1)各部门和技术部应根据软件的使用情况,提出软件的修订意见,相关部门领导批准后,形成统一的修订意见,由综合部负责实施。

(2)软件的升级/补丁按《补丁管理规定》进行。 9. 软件作废

(1)修订软件批准生效后,原软件应予以作废。软件使用部门接到新版本软件后,从新版本软件实施之日起,原软件作废。填写《作废软件登记表》。

每季度根据此表内容对《信息资产识别表》里的软件和系统资产进行更新。

(2)应当保留原软件的以前版本作为应急之用,包括所有需要的信息和参数、程序、具体配置,以及用于数据保留存档的支持软件。

(3)原软件作废版本的光盘应有明确标识,并与其他在用光盘分开存放,电子文件应予以回收,避免引起作废软件的非预期使用。

10. 实施策略

(1)软件管理规定涉及的《授权使用软件列表》表单。

(2)收集整理、分类归档,填写《信息资产识别表》中“软件和系统”类资产。

(3)软件作废由技术部批准;并更新软件清单。

(4)综合部制作《授权使用软件列表》,禁止使用未经授权的软件和未经授权的系统实用工具软件.

11. 相关记录 本程序发生的记录表 表14-1 ISMS文件日常应用表

表号 表A.1 记录编号 ISMS-3017-01 记录名称 授权使用软件列表 保管 场所 综合部 保存期限 3年 保存形式 电子 备注 十五、 系统监控管理规定ISMS-3015

1. 目的

了解服务器的运行状态,检测未经授权的信息处理活动,为安全事故提供证据,确保业务系统的稳定性、可靠性、安全性。

2. 引用文件

(1)下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是

不注日期的引用文件,其最新版本适用于本标准。

(2)ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求 (3)ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细则 (4)机房管理规定 3. 职责

技术部负责公司网络和系统访问活动的监控管理。 4. 系统监控管理 (1)日志的分类

1)需监控的日志包括但不仅限于以下类型:

2)服务器日志:系统日志,应用程序日志和安全日志。 3)防火墙日志 4)视频监控系统的记录 5)网管软件的监控记录 6)管理员和系统操作员记录 7)故障日志

十六、 补丁管理规定ISMS-3016

1. 目的

为规范公司操作系统及其他网络设备的安全补丁管理操作流程,保护信息系统安全,特制定本规定。

2. 引用文件

(1)下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。

(2)ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求 (3)ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细则

3. 职责与权限

技术部:负责操作系统及网络设备安全补丁管理工作,包括补丁公告、补丁评估和补丁列表的维护工作:

(1)负责应用系统和数据库系统相关安全补丁。

(2)负责WINDOWS平台相关安全补丁(包括Office等MICROSOFT颁布的补丁)。

(3)负责网络设备相关安全补丁。 (4)负责安全产品相关安全补丁。 4. 补丁管理规定 Windows操作系统补丁:

(1)公司重要服务器的补丁由技术部下载、测试及安装。综合部的开发服务器,由技术部进行补丁的下载、测试及安装。

(2)技术部在发现windows操作系统发布新补丁后,在公司的公共平台上发出补丁更新通告,各部门的负责人统一安排部门进行补丁升级。

(3)技术部每季度对补丁更新情况进行抽查。 5. 其他补丁:

(1)技术部制定《补丁管理策略明细表》,评审并明确需要进行补丁管理的补丁类型。

(2)评审并明确需要进行补丁测试的补丁类型。

(3)对重要服务器进行评审,得出在升级系统补丁前应进行测评的服务器列表,填写《重要服务器补丁测试记录表》

(4)对需要手工下载管理的补丁类型,需要检查补丁的来源是可靠的,如果可能,在收到补丁包后,用防病毒软件检查。

(5)服务器在安装补丁应采用手工升级,并延迟补丁发布后一星期,避免最新补丁本身问题给服务器带来的风险。

(6)当供应商发布紧急的非常规的安全补丁时,系统管理员备份好系统后,必须立即进行响应。

(7)对重要服务器的补丁每季度进行一次检查。并填写《重要服务器补丁

检查表》.

(8)重要网络设备的补丁每季度进行一次检查。并填写《网络设备补丁检查表》.

6. 实施策略

(1)补丁管理规定中涉及到的表单包括《补丁管理策略明细表》、《重要服务器补丁检查表》、《重要服务器补丁测试记录》、《网络设备补丁检查表》4个表单。

(2)技术部制定《补丁管理策略明细表》

(3)技术部对重要服务器在升级系统补丁前应进行测评,填写《重要服务器补丁测试记录表》

(4)技术部对重要服务器/网络设备的补丁每季度进行一次检查。并填写《重要服务器补丁检查表》和《网络设备补丁检查表》.

7. 相关记录

本程序发生的记录汇总表 表16-1 ISMS文件日常应用表

表号 记录编号 记录名称 补丁管理策略明细表 重要服务器补丁测试记录表 重要服务器补丁检查表 网络设备补丁检查表 保管 场所 综合部 综合部 综合部 综合部 保存期限 3年 3年 3年 3年 保存形式 电子 电子 纸质 纸质 备注 表A.1 ISMS-3019-01 表A.2 ISMS-3019-02 表A.3 ISMS-3019-03 表A.4 ISMS-3019-04 十七、 信息系统审核规范ISMS-3017

1. 目的和范围

确保本公司制定的信息安全策略和规定能够定期评审和正确执行。 2. 术语和定义

ISO/IEC27001:2005《信息技术-安全技术-信息安全管理体系要求》 ISO/IEC27002:2005《信息技术-安全技术-信息安全管理实施细则》规定

的术语适用于本标准。

3. 引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。

ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求 ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细则 合规性管理程序 补丁管理规定 4. 职责和权限

(1)制定信息系统安全审核策略 (2)对信息系统进行定期审核 5. 活动描述

(1)技术部根据公司情况,制定出公司在用户管理、权限管理、漏洞扫描、渗透测试等方面的审核策略,必要时填写《信息系统定期评审策略明细表》

(2)管理人员应确保在其职责范围内的所有安全程序被正确地执行,以确保符合安全策略及标准。

(3)管理人员应对自己职责范围内的信息处理是否符合合适的安全策略、标准和任何其它安全要求进行定期评审。

(4)信息系统应被定期检查是否符合安全实施标准。

(5)任何技术符合性检查应仅由有能力的、已授权的人员来完成,或在他们的监督下完成。

(6)涉及对运行系统检查的审核要求和活动,应谨慎地加以规划并取得批准,以便最小化造成业务过程中断的风险。

(7)漏洞扫描管理:

1)管理员应定期进行漏洞扫描,客户端和服务器可考虑使用奇虎360工具进行漏洞扫描。

2)根据漏洞扫描结果,管理员应及时根据《补丁管理规定》及时修补系统漏洞。

3)渗透测试管理:

4)技术符合性检查应由有经验的系统工程师手动执行(如需要,利用合适的软件工具支持),或者由技术专家用自动工具来执行,此工具可生成供后续解释的技术报告。

5)如果使用渗透测试或脆弱性评估,则应格外小心,因为这些活动可能导致系统安全的损害。这样的测试应预先计划,形成文件,且重复执行。

6. 审核注意事项:

(1)应与合适的管理者商定审核要求; (2)应商定和控制检查范围;

(3)检查应限于对软件和数据的只读访问;

(4)非只读的访问应仅用于对系统文件的单独拷贝,当审核完成时,应擦除这些拷贝,或者按照审核文件要求,具有保留这些文件的义务,则要给予适当的保护;

(5)应明确地识别和提供执行检查所需的资源; (6)应识别和商定特定的或另外的处理要求;

(7)应监视和记录所有访问,以产生参照踪迹;对关键数据或系统,应考虑使用时间戳参照踪迹;

(8)应将所有的程序、要求和职责形成文件; (9)执行审核的人员应于审核活动。 相关记录

表17-1 信息系统定期评审表

序号 A.1 记录编号 ISMS-3020-01 报告/记录名称 信息系统定期评审明细表 保管场所 技术部 期限 3年 保存形式 电子文档 备注 十八、 基础设施及服务器网络管理制度ISMS-3018

1. 机房安全管理程序

(1)总则

1)为加强信息机房(计算机房)及其设备安全管理,预防信息设备事故发生,根据国家法律、法规及行业安全管理要求,制定本规定。

2)信息机房是指公司为保证信息化管理工作需要,专门用于存放提供电子信息服务、信息储存设备、服务器、电脑、交换机、备用电源等信息设备的场所。

3)信息机房安全工作坚持“安全第一、预防为主”的方针,贯彻执行“谁主管,谁负责”的原则。

(2)职责

1)技术部主要负责人公司信息中心机房安全管理第一责任人,并对公司信息设备安全工作进行指导和监督。

2)公司技术部应落实安全管理责任,指定专人负责机房安全管理工作,并对机房管理人员进行必要的安全知识培训,使其具备机房安全管理的能力。

3)信息机房管理人员定期检查机房设备及线路,安全管理人员定期检查消防器材、火灾自动报警、火灾自动灭火系统等消防设施,保证其状态良好。

4)信息机房钥匙应由机房管理人员保管,非信息中心工作人员未经许可不得擅自入内。

(3)安全管理

1)信息机房建设应符合《计算机场地安全要求》,满足以下消防要求: 机房环境应避开易发生火灾危险程度高的区域,

机房的工作间与设备间应作分隔,具有良好的人机工作环境,保障工作人员的安全与健康;

机房应安装空调设备;

机房禁止使用水、干粉或泡沫等易产生二次破坏的灭火剂; 机房应有防火、防潮、防尘、防雷、防静电、防鼠等措施; 机房面积大于10平米以上应配置应急照明装置和安全出口指示灯; 机房应配备实时监视摄像设备,并与所在区域的视频控制系统对接; (2)其他安全法规要求。

机房内温度应控制在20℃~25℃之间,湿度应控制在25%~60%之间。 信息机房内面积大于10平米以上应配置足够的二氧化碳灭火器,信息机

房除配置灭火器外,还应安装火灾自动报警系统和气体自动灭火系统。

信息机房应有可靠的供电系统,应有单独的配电柜。

信息机房应配备不间断电源设备,其容量应保证机房设备和关键作业设备在断电情况下,能够持续供电1小时以上。

电源变压器一类的用电设备(如充电器、调制解调器电源、录音机电源、录音电话电源等),在通电状态下不得直接放置在地毯或其它易燃物品上,以免发生火灾事故。——信息机房内各类通讯线路和设备应有的直流地、交流工作地和防雷保护地,定期检测接地良好性,并增加相应的防雷设施。

(3)病毒防治管理

计算机必须安装经过保密部门许可的查、杀毒软件。 每周升级和查、杀计算机病毒软件的病毒样本,确保病毒样本始终处于最新版本。

每周对计算机病毒进行一次查、杀检查。

计算机应信息入口,如软盘、光盘、U盘、移动硬盘等的使用。 对必须使用的外来介质(磁盘、光盘、U盘、移动硬盘等)必须先进行计算机病毒的查、杀处理,然后方可使用。

对于因未经许可而擅自使用外来介质导致严重后果的,要严格追究使用人员的责任。

(4)故障应急处置

技术部网络管理员/系统管理员在接到信息设备故障报告后,根据信息设备故障现象和系统警告信息等内容对故障性质进行初步诊断,确定下一步故障排除方向。

软件故障处理中网络管理员或系统管理员针对故障的原因进行软件调整,修复信息设备系统。对于应用软件功能性问题,则取得应用软件开发商的技术支持进行故障排除。

硬件故障处理中网络管理员/或系统管理员对设备硬件损坏引发的故障,联系设备供应商或指定维修站进行维修。

网络管理员/系统管理员在故障修复之前,对于信息设备内的重要参数信息及文件资料要做好备份工作。在故障修复之后要使信息设备工作状态还原至故障发生之前。

系统管理员/网络管理员必须详细记录信息设备故障处理的过程。 (5)设备管理

1)未经管理人员允许,非专业维护人员不得拆装计算机及相关设备,涉及电工作业的维修应由电工进行。

2)管理人员应按说明书要求对机房设备进行使用、保养和维护,禁止带电状态下进行设备维修。

3)信息机房内不得擅自使用功率超过500W的临时用电设备(如电炉、电暖器、电熨斗、电吹风等),以免导致电源负荷超载而跳闸。

2. 重要信息备份管理程序 (1)目的

为确保所有重要业务数据和软件能在灾难之后或存储媒体损坏之后得以恢复,保证信息处理及生产数据的完整性与可用性,特制定本程序。

(2)范围

本程序适用于本公司重要数据(Exchange、OA、TUS)及软件的备份管理。 (3)职责

1)技术部负责全公司信息备份工作的技术指导及公司各部门重要信息资产的数据和软件进行备份。

2)各部门负责对本部门维护的不适合公司自动备份系统执行的重要信息资产的数据和软件进行备份。

(4)程序

1)各部门应对重要信息资产清单确定的重要业务数据、操作系统、应用系统、数据库等其他重要信息进行备份。

2)信息备份的安全要求包括:

根据风险评估的结果,明确备份周期和备份套数; 3)对备份媒体进行标识; 4)备份媒体存放于适宜的环境。

5)财务重要数据采用文件加密和RAR加密的方式保存。

6)各部门根据风险评估的结果,制定《重要信息备份周期一览表》,在其中明确规定备份周期、备份方式、备份媒体及备份负责人。

7)《重要信息备份周期一览表》经部门负责人批准后予以实施;对于人工备份应填写《数据/软件备份记录》,自动备份的应在备份软件系统中保留备份日志,信息备份的记录应予以保存。

8)当软件发生更改时,应进行备份,并保障当前使用软件版本的唯一性。 9)各部门应采取适宜的方法对备份信息媒体进行标识,防止备份信息的误用,标识的内容包括:

备份信息的名称; 备份的日期; 版本号;

必要时,备份/还原工具

10)数据备份媒体应保存在适宜的环境并专人管理;涉及企业秘密的备份媒体应按照《秘密文书管理规程》进行标注,只有授权的人员才可以访问,并保存在上锁的文件柜或其他安全储存场所。

11)备份信息用于恢复的目的时应由本部门负责人进行审批,并填写《数据/软件备份恢复审批表》,根据信息备份的方法是由公司备份系统自动执行的还是手工备份的来决定由综合部或本部门经过授权的人员进行备份的恢复。

12)记录保存期限

《重要信息备份周期一览表》1年 《数据/软件备份记录》1年 《数据软件备份恢复审批表》1年 3邮件安全管理 3. 目的

(1)随着公司信息化建设的发展及互联网络的普及,电子邮件已逐步成为广大员工在工作中进行信息交流和业务往来的主要工具。为加强企业形象宣传,规范公司电子邮件的使用管理,确保公司邮件传输的可靠性、安全性和应用水平,提高公司整个网络的运行效率,以维持邮件服务器的正常运转,特制定本管理制度。

(2)范围

本制度适用于公司内所有使用公司邮件系统的员工。 (3)内容 使用管理

1)公司员工以电子邮件对外联系业务时必须使用公司提供的电子邮箱,公司对员工邮箱进行统一规划和管理。职员名片及公司其它对外宣传资料上都统一标注以公司域名为后缀的邮件地址,不得标注其它的邮箱。

2)公司员工应根据工作需要,依照公司技术部的电子邮箱申请流程,申请开通电子邮件服务。

3)公司各级员工应根据岗位需求,在获得相关领导批准后,方可向技术部申请开通特定邮件组群的收发权限,并在调离该岗位或离职时,由HR通过电子流程通知技术部注销此权限。

4)每封电子邮件在对外发送时其附件大小不能超过50MB,从外部接收的邮件其附件大小不能超过50MB,否则将无法正常收发,或导致公司邮件网络堵塞、瘫痪。

5)不要打开一些不知名的、或有可疑的邮件,这样有可能造成病毒入侵公司网络,给公司造成直接的经济损失。

6)严禁使用电子邮件群发与工作无关或带有娱乐性质的邮件。如确实需要在公司内召集、组织集体娱乐活动譬如球赛、集体出游等等,请将该邮件发送技术部负责人,由其负责群发。

7)严禁跨部门或全公司群发邮件,以免干扰其他部门的正常工作秩序。 8)严禁使用电子邮件群发供应简历邮件,类似“请给某某推荐工作”,除非是给HR推荐工作。征求简历邮件,允许在内部群发。

9)员工收到公司群发的邮件后,严禁全部答复该邮件组群,以免给其他人员的工作造成干扰。

(4)责任说明

1)员工应及时修改初始密码,并对邮箱帐号和密码的安全负责。员工不得自行把自己的邮箱帐号提供给他人使用,须经常改变邮箱密码以防邮箱被他人盗用。若发现有任何非法使用自己的帐号或存在安全漏洞的情况,应立即通知技术部门妥善处理。

2)员工的电子邮箱只限工作交流使用,严禁传播中伤他人的、辱骂性的、

恐吓性的,以及淫秽、反动等违犯国家法律法规的内容。

3)严禁员工利用工作之便,向内外部无关人员发送涉及岗位或公司机密的信息资料

4)违纪处理

任何违犯上述规定的行为,视为破坏公司正常的工作秩序,一经发现并核实,第一次将给予200元经济处罚;第二次将给予500元经济处罚,并按《员工手册》中的A类违纪处理。

4. 机房设备维护管理制度

(1)为妥善保证网络工作的良好运行,特制定此机房设备维护管理制度。 (2)信息网络机房为用于放置、操作信息网络设备的专用房间;机房设备的管理由系统管理员负责。

(3)信息网络机房内须保持清洁、肃静、设备整齐有序;严禁在机房内吸烟、不准在计算机及工作台附近放置可能危及设备安全的物品。

(4)信息网络机房是重点防火防盗单位,必须设置专用灭火器具,并定期检查。机房管理人员为机房的安全、卫生负责人,负责机房的防火、防水、防盗等安全消防工作和日常卫生管理工作。

(5)信息网络机房内各种仪器设备由机房管理人员集中管理,耗材使用要严格登记,禁止用机房设施做与本职工作无关的事,外出时须做好交接工作。认真做好机房内各类记录介质的保管工作,落实专人收集、保管,信息载体必须安全存放、保管、防止丢失或失效。机房资料外借必须经批准并履行手续,作废资料严禁外泄

(6)信息网络机房管理人员使用服务器、交换机、UPS、空调及其它仪器设备,必须严格遵守操作规程,必须先经检查确认正常后再按顺序依次开机;结束操作必须检查确认正常关机并切断电源后方可离开。因操作不当造成仪器设备损坏,由当事人负责赔偿。

(7)信息网络机房设备应由专业人员操作、使用,禁止非专业人员操作、使用。对各种设备应按规范要求操作、保养。发现故障,应及时报请维修,以免影响工作。机房工作人员对机房存在的隐患及设备故障要及时报告,并与有关部门及时联系处理。非常情况下应立即采取应急措施并保护现场。

(8)外单位人员因工作需要进入机房时,必须由相关部门办理审批手续。进入机房后听从工作人员的指挥,未经许可,不得乱动机房内设施。外来人员参观机房,须有指定人员陪同。操作人员按陪同人员要求可以在电脑演示、咨询;对参观人员不合理要求,陪同人员应婉拒,其他人员不得擅自操作。中心机房处理秘密事务时,不得接待参观人员或靠近观看。

(9)信息网络机房的温度和湿度均保持在正常的指标内。

十九、 信息系统安全应急预案ISMS-3019

为全面加强公司信息系统安全管理,应对信息安全突发事件的发生,提高对安全事件的应急处置能力,保证网络与信息安全指挥协调工作迅速、高效、有序地进行,满足突发情况下信息系统安全稳定、持续运行,根据国家和省有关规定,制定本预案。

1. 电力系统故障的应急处理

(1).报告,任何单位和人员发现本单位电力系统出现异常情况时,都应及时向技术部报告。

(2).联系,技术部负责人或值班人员及时联系物业,并联系相关系统管理员确定紧急停机方案和计划。

(3).监控,技术部负责人或值班人员实时监控UPS电量消耗情况,并按计划当电量低于预定阈值时通知相关系统管理员进行停机操作。

(4).恢复,当电力供应恢复后,通知相关信息负责人,按规定的开发流程恢复停机系统。

2. 消防系统应急处理 (1).报告和简单处理

当出现火情、火灾时,发现人员应在最短时间内报告。若火情严重时,应迅速拨打119电话报警,并尽可能采取一些简单可行的方法作初步处理,如:使用周围的灭火器、水源(在允许用水灭火的场合)或采用其他灭火措施、手段。进展情况随时向有关领导报告。

(2).灭火

计算中心机房出现火情并且无法进行局部处理时,机房管理人员在紧急报告有关领导的同时,应立即疏散场地以内的工作人员。在自动灭火系统未启动时,按下紧急启动按钮。

3. 网络信息系统故障的应急处理 (1).报告和简单处理

网络设备、网络应用系统故障应由发现人及时通知技术部,技术部在收到发现人通知或系统自动通知后应立即检查故障,进行初步故障定位。如果网络、应用系统出现比较严重的问题,对网络业务的正常运行造成较大的影响,需立即向有关领导报告。

(2).故障判断与排除

对简单故障,运维人员应迅速排除故障,解决问题并记录。如果需要更换设备,应上报有关领导,经批准后马上更换故障设备,尽快恢复网络、应用系统运行。运维人员判断无法及时修理时,应立即通知相关的系统运行服务提供商,在最短的时间内安排修理或更换系统。

(3).网络线路故障排除

如发现属外部线路的问题,应与线路服务提供商联系,敦促对方尽快恢复故障线路。

(4).启用备份线路、设备、系统(如果存在的话),迅速恢复相关的应用。

4. 网站与应用系统应急处理 (1).报告和简单处理

发现对站不能正常打开或网站内容被恶意篡改时,任何人员都有义务向技术部报告。技术部在收到报告后应立即组织应急响应,联合相关部门进行故障排查。

(2).处理

先由技术部查看网络连接情况,若不是网络故障,则继续检查其它硬件或系统软件故障,必要时立即联系应用软件供应商或研发部门会诊。

(3).恢复使用

待故障处理完成并经过测试后,恢复系统的正常运行。 5. 黑客入侵的应急处理 (1).报告和简单处理

发现网络上有黑客攻击行为,任何人员都有义务向技术部报告。技术部在收到报告或检测到攻击行为后应立即启动应急响应,切断受攻击计算机与网络的连接,停止一切操作、保护现场,并上报有关领导。

(2).处理

对于黑客攻击,由技术部组织应急响应专家小组查找入侵踪迹,分析入侵方式和原因。由安全管理员根据对入侵事件的分析,组织相关人员对内部网计算机整改,防止黑客用同样的手段再次入侵其他系统。紧急情况下专家小组有权在未经领导审批进行应急处理,但应做好记录,保护现场,进行日志收集等工作。

(3).恢复

专家小组检查确定无安全隐患后,才可将受攻击计算机重新连接网络,或启用备份计算机或服务器来恢复应用。

如果能追查到攻击者的相关信息,可以对其发出警告,必要时可以采取进一步的行动,乃至采取法律手段。根据破坏程度,经有关领导同意后,上报门。

若系统已被黑客破坏,无法恢复,应将受黑客攻击的计算机上的重要数据备份到其他存储介质,确保计算机内重要的数据不丢失。如果数据无法恢复,经有关领导同意后,可与国家指定的部门联系,由他们来协助恢复。

6. 大规模病毒(含恶意软件)攻击的应急处理 (1).报告和简单处理

发现网络上有大规模病毒攻击的行为,任何人员都有义务向综合部报告。由技术部组织应急响应,切断受攻击计算机与网络的连接,停止一切操作、保护现场,立即上报有关领导。

(2).已知病毒的处理和恢复

使用最新版本杀毒软件对染毒计算机进行全面杀毒,并对染毒计算机系

统进行漏洞修补。技术部或系统管理员确定没有病毒和安全漏洞后,再连接网络恢复使用。

(3).未知病毒的处理和恢复

观察防火墙、交换机及网管软件根据监视窗口的链路状态,由此判断感染病毒或恶意程序的客户端、服务器所连接的交换机。打开该交换机的端口流量分析窗口,根据流量判断感染病毒或恶意程序的客户端所科交换机端口。关闭该交换机端口,隔离该工作站、服务器,阻断与局域网的连接。根据端口状态功能,查看感染病毒或恶意程序的终端或服务器的IP地址。根据IP地址信息找到该工作站的具体位置,对该工作站进行病毒或恶意程序清除工作。

根据对于未知病毒,应首先尝试手工杀毒处理,若系统已被病毒破坏,无法恢复,应将感染病毒的计算机上的硬盘加挂到其他机器上处理,将重要数据备份到其他存储介质,尽最大努力保护、保留感染计算机内重要的数据,同时防止病毒感染其他计算机。如果数据无法恢复,经有关领导同意后,可与反病毒厂商联系,由他们来协助恢复。

附件一:信息系统安全应急处理单 附件二:供应商紧急联络人列表

二十、 终端计算机使用管理制度ISMS-3020

1. 计算机使用管理 (1)目的:

满足员工的个性化需求,鼓励员工自备笔记本电脑进行移动办公。 (2)适用范围 适用岗位 部门适用岗位

总部所有M1及以上管理人员。

董事长、总经理、副总经理、综合经理、业务经理、技术经理、各部门员工等。

以上岗位,如公司已配备电脑且能满足办公需求,不再享受此。

(3)补贴方式及金额、周期

补贴形式:现金,按月随工资一并发放,需按照规定缴纳个税。 补贴标准(含维修费) 人员:100元/月

补贴周期:补贴周期为12个月,自申请审批通过后起算。满12个月后通过复检可继续下一周期的补贴发放。若此期间调岗,补贴标准在一个补贴周期内保持不变。

特别说明:补贴标准公司每年核定一次,一经确定在补贴周期内不变。 (4)权益归属

所有权:员工所购买的电脑归个人所有。

使用权:公司支付补贴,使用权归公司所有。享受补贴的员工所购电脑必须用于日常办公。由任何原因导致补贴终止时,公司终止使用权。如继续使用时,必须经技术部审核。

管理权:管理权归公司所有。员工自购办公用机必须服从公司的相关规定。如不服从公司管理规定,公司随时终止补贴,所造成一切损失由员工本人承担。

员工在职期间必须遵守公司技术部相关管理规定,提供的操作系统及所有安装的软件必须为正版,因操作系统、软件版权及类型不符合要求者,不予进行补助。由于版权所造成的任何法律纠纷,公司不承担任何法律责任。

公司为自备电脑提供必要的技术支持和日常软件维护,但电脑使用中所产生的硬件升级费用及维修费用由个人承担;因自备电脑不符合工作需要,或频繁维修而严重影响工作累计3次(含)以上,经技术部确认后停发补贴。升级维修后需重新提交申请。

如有必要,公司有权对电脑中与公司有关的数据进行备份,员工必须给予配合,否则公司有权取消并全额追索已发放补贴,从工资中扣除。

公司有权在工作期间抽查员工使用的电脑是否与办理补贴时的型号一致。如不一致,公司将停止发放补贴。

如果因个人原因导致电脑丢失或数据窃取,给公司造成了严重损失,后果由个人承担。

(5)技术要求

个人所备笔记本电脑必须满足工作要求,并经技术部确认。 (6)申请流程

首次申请需在OA的HRM模块中填写《自备电脑补贴申请单》并启动流程,经部门负责人审批后会由技术部联系您进行首次检验。

测试通过后,签署书面协议并在规定时间内提交给综合部。如未按时间提交书面协议的,公司有权终止发送补助。

不享有自备机补助的岗位,各一级组织负责人视特殊情况享有额外批准权限。

第一次补贴即将结束时,系统会自动提前一个月给您发送提醒邮件,您需再次在HRM模块中填写《自备电脑补贴申请单》并启动流程,此时无需部门负责人审批,技术部人员会主动联系您进行复测。

(7)测试及年检

测试:由技术部内部综合部主管现场测试或通过远程访问进行测试。 年检:补贴周期即将满1年时,员工会收到系统自动发送的提醒邮件,应主动在HRM模块中提交《自备机补贴申请单》并启动流程,配合技术部进行复检,通过后可继续下一周期的补贴发放;如未年检或未通过,停止发放。

2. 存储介质的管理

(1)存储介质是指硬盘、光盘、软盘、移动硬盘及U盘等。

(2)各部门负责人负责本部门的介质存储管理工作,使用人员负责存储介质的使用和管理。

(3)存有涉密信息的存储介质不得接入或安装在连接国际互联网的计算机上,不得转借他人,不得带出办公场所,下班后应存放在本部门带锁柜中,由于工作需要借出或带出办公场所,须经部门负责人批准。

(4)个人使用的U盘等存储介质,一般不得存储工作信息,因工作需要必须使用的,须经部门负责人批准,使用后要及时消除。

(5)工作需要借用存储介质存储工作信息的,须经部门负责人批准,归还前必须清除存储的涉密信息,并将使用的设备格式化。

(6)禁止将移动存储介质外接,禁止通过移动存储介质将工作信息拷贝在家用电脑或外单位电脑上。

(7)存储介质的维修,按计算机维修管理制度办理,对淘汰或报废的存储介质应有使用者提出,由主管领导批准后,叫技术部负责定点销毁。

3. 办公软件使用管理规定 (1)目的

制订本规定是为了:提供软件集中采购、授权、注册及使用的指导原则; 减少公司总费用支出;

确保公司避免会给业务、声誉带来严重损害的法律和经济惩罚; 提高公司员工的知识产权保护意识; (2)适用范围:

本管理制度适用于北京华麒通信科技股份有限公司所有员工。 (3)公司技术部标准 标准-个人计算机 标准-Office系统 (4)职责

1)公司技术部主任

负责审核,批准技术部管理规章和相关工作流程,并决定对特殊情况采取的对应措施。

2)内部技术部网管

制订,修改技术部规章和相关工作流程,并对技术部进行总体协调和管理

3)公司软件管理/使用规定 4)软件采购规定

公司所有软件必须由公司统一采购,禁止员工私自购买。

所有软件购买申请须经部门主管和技术部门审批。技术部门负责审核软件是否符合公司软件标准。关于公司标准软件,请阅附件《公司办公用机标准软件列表》,对于某些特殊应用软件,技术部门推荐下列采购原则:

易于学习和使用 具有良好费效比

高效,必需且具有技术先进性

软件供应商能提供必要的技术支持 5)软件管理规定

技术部门对公司软件实行集中管理,并将其作为公司资产管理的一部分。为了确保公司拥有足够的软件许可证,有必要实施下列措施:

技术部门将进行必要的文件备份并保存相关信息,例如许可证,序列号和注册信息等等。

各部门有义务协助技术部门建立其拥有软件的详细目录。 技术部门和各部门主管有责任监督并辅导员工正确使用软件。 6)软件使用规定

软件供应商授权使用的软件属于公司所有,但除备份目的之外,公司无权对其进行复制。

7)每位员工应遵守如下规定:

办公用机器的软件系统安装、配置由技术部门统一按照公司标准办公用机软件环境安装,员工自己除特殊情况外不得私自安装操作系统及应用软件。

使用软件仅为工作和专业需要,严禁转借他人作私人用途

谨记软件的开发者对其产品拥有知识产权,不论软件以何方式得到,如未经厂商和发行人明确同意,不得私自使用,否则构成违法行为。

使用软件必须遵守软件许可协议。不得对受着作权保护的软件进行复制并使用其非法拷贝。

任何对软件的不正当使用例如攻击和黑客行为将由技术部门并根据公司有关规定进行处罚

如果发现或怀疑有不恰当使用软件的行为,应立即向公司技术部门报告。 免费软件是指能在Internet得到的,可免费使用的软件,共享软件是指处在试用阶段,用户只须支付初期使用费的软件,为了避免技术风险和商务纠纷,免费和共享软件必须与其他第三方软件一起置于正规采购流程管理之下。经认证的免费和共享软件通过技术部审核可以安装在公司的设备上,并且由合适的技术人员进行安装。

为了防止不恰当的使用行为,公司内部技术部保留监视、关闭信息接入的权利

8)处罚:

凡是私自安装未经技术部审核私自安装软件,经证实给公司及公司信息系统带来危害的,技术部将给予通报批评。

凡是私自安装未经技术部审核私自安装软件,经证实造成公司信息系统重大安全事故的,发现一次进行警告,3次以上通报批评,若造成严重事故,将根据事故影响面处以500元以上罚款。

9)公司标准软件列表

软件名称 MicrosoftWindows7Professional MicrosoftOffice2007或Office2010/2013 用友财务软件 mapinfo 成捷讯绘图软件 成捷讯概预算软件 许可 Standard Standard Standard Standard Standard Standard 10)公司技术部资源申请流程 图20-1 IT资源申请流程图

11)技术部资源申请表

二十一、 信息安全管理规范和操作指南ISMS-3021

1. 总则

(1)为了保证公司信息网络系统的安全,根据有关计算机、网络和信息安全的相关法律、法规和安全规定,结合公司信息网络系统建设的实际情况,特制定本规定。

(2)本规定所指的信息网络系统,是指由计算机(包括相关和配套设备)为终端设备,利用计算机、通信、网络等技术进行信息采集、处理、存储和传输的设备、技术、管理的组合。

(3)本规定适用于公司接入到公司网络系统的单机和局域网系统。 信息网络系统安全的含义是通过各种计算机、网络、密码技术和信息安全技术,在实现网络系统安全的基础上,保护信息在传输、交换和存储过程中的机密性、完整性和真实性。

2. 物理安全

(1)物理安全是指保护计算机网络设施以及其他媒体免遭地震、水灾、火

灾等环境事故与人为操作失误或错误,以及计算机犯罪行为而导致的破坏。

网络设备、设施应配备相应的安全保障措施,包括防盗、防毁、防电磁干扰等,并定期或不定期地进行检查。

(2)对重要网络设备配备专用电源或电源保护设备,保证其正常运行。 3. 计算机的物理安全管理

(1)计算机指所有连接到公司信息网络系统的个人计算机、工作站、服务器、网络打印机及各种终端设备;

(2)使用人员应爱护计算机及与之相关的网络连接设备(包括网卡、网线、集线器、路由器等),按规定操作,不得对其实施人为损坏;

(3)计算机使用人员不得擅自更改网络设置,杜绝一切影响网络正常运行的行为发生;

(4)网络中的终端计算机在使用完毕后应及时关闭计算机和电源; (5)客户机使用人员不得利用计算机进行违法活动。 4. 紧急情况

(1).火灾发生:切断电源,迅速报警,根据火情,选择正确的灭火方式灭火;

(2)水灾发生:切断电源,迅速报告有关部门,尽可能地弄清水灾原因,采取关闭阀门、排水、堵漏、防洪等措施;

(3)地震发生:切断电源,避免引发短路和火灾; 5. 网络系统安全管理

(1)网络系统安全的内涵包括四个方面:

1)机密性:确保信息不暴露给未授权的实体或进程;

2)完整性:未经授权的人不能修改数据,只有得到允许的人才能修改数据,并且能够分辨出被篡改的数据。

3)可用性:得到授权的实体在合法的范围内可以随时随地访问数据,网络的攻击者不能阻碍网络资源的合法使用。

4)可控性:可以控制授权范围内的信息流向和行为方式。可审查性:一旦出现安全问题,网络系统可以提供调查的依据和手段。接入Internet公共

信息网的重要信息网络系统须安装防火墙或其他安全设备。入网的安全设备必须具有国家保密局、、中国国家信息安全测评认证中心的技术鉴定、销售许可和产品评测等资质,并符合国家的相关规定。

6. 网络安全检测。

(1)为使网络长期保持较高的安全水平,网络管理员应当用网络安全检测工具对网络系统进行安全性分析,及时发现并修正存在的安全漏洞。网络管理员在系统检测完成后,应编写检测报告,需详细记叙检测的对象、手段、结果、建议和实施的补救措施与安全策略。检测报告存入系统档案。

网络反病毒。病毒的危害性巨大,对系统和信息的破坏程度具有不可测性,计算机用户和系统管理员应针对具体情况采取预防病毒技术、检测病毒技术和杀毒技术。

7. 信息系统安全管理

(1)信息安全是指通过各种计算机、网络和密码技术,保护信息在传输、交换和存储过程中的机密性、完整性和真实性。具体包括以下几个方面。

1)信息处理和传输系统的安全

系统管理员应对处理信息的系统进行详细的安全检查和定期维护,避免因为系统崩溃和损坏而对系统内存储、处理和传输的信息造成破坏和损失。

2)信息内容的安全

侧重于保护信息的机密性、完整性和真实性。系统管理员应对所负责系统的安全性进行评测,采取技术措施对所发现的漏洞进行补救,防止窃取、冒充信息等。

3)信息传播安全

要加强对信息的审查,防止和控制非法、有害的信息通过我司的信息网络系统传播,避免对国家利益、公共利益以及个人利益造成损害。

涉及商业机密文件必须采用RMS权限管理服务进行文件保护,以免外泄。 8. 信息系统的内部管理

(1)各部门向网络系统提交信息前要作好查毒、杀毒工作,确保信息文件无毒上载;

(2)根据情况,采取网络病毒监测、查毒、杀毒等技术措施,提高网络的整体抗病毒能力;部门负责的重要信息必须作好备份;

(3)网站和栏目信息的负责部门必须对所发布信息制定审查制度,对信息来源的合法性,发布范围,信息栏目维护的负责人等做出明确的规定。信息发布后还要随时检查信息的完整性、合法性;如发现被删改,应及时报告综合部;

(4)涉及商业秘密的信息的存储、传输等应指定专人负责,并严格按照国家有关保密的法律、法规执行;

(5)涉及商业机密的项目招标、投标标注等信息,未经所属单位安全主管负责人的批准不得在网络上发布和明码传输;

(6)个人计算机中的涉密文件不可设置为共享,个人电子邮件的收发要实行病毒查杀。

(7)信息加密

1).涉及商业秘密的信息,其电子文档资料须加密存储;

2).涉及公司和部门利益的敏感信息的电子文档资料应当加密存储; 3).涉及社会安定的敏感信息的电子文档资料应当加密存储; 4).涉及公司秘密、与部门利益和社会安定的秘密信息和敏感信息在传输过程中视情况及国家的有关规定采用文件加密传输或链路传输加密。

(8)公司内任何组织和个人不得从事以下活动: 1).利用信息网络系统制作、传播、复制有害信息; 2).入侵他人计算机;

3).未经允许使用他人在信息网络系统中未公开的信息;

4).未经授权对信息网络系统中存储、处理或传输的信息(包括系统文件和应用程序)进行增加、修改、复制和删除等;

5).未经授权查阅他人邮件; 6).盗用他人名义发送电子邮件; 7).故意干扰网络的畅通运行;

8).从事其他危害信息网络系统安全的活动。 9. 密码管理

(1).具有密码功能的计算机、网络设备等系统处理公司秘密信息,必须使用密码对用户的身份进行验证和确认。对于重要网络系统,各部门要有一个负责人,负责日常的密码管理工作。

(2).负责人负责给新增加的员工分配初始密码;指导员工正确使用密码;检查员工使用密码情况;帮助员工开启被锁定的密码,对非法操作及时查明原因;解决密码使用过程中出现的问题;协助员工保护公司秘密不受侵害;定期向主管领导汇报密码使用情况和需要解决的问题。

(3).定期更换密码。密码的最长使用时间不能超过三个月,在涉密较多、人员复杂、保密条件较差的地方应尽可能缩短密码的使用时间。当密码使用期满时,应更换新的密码。

(4)负责人必须有能力更改密码。当密码使用期满、被其他人知悉或认为密码不安全或失效时,最终员工可使用公司邮箱给系统管理员提交密码重置申请,非公司邮箱提交的申请不予进行处理。

(5).系统管理员重置密码后,最终员工首次登陆必须要进行修改密码,不得使用前三次使用过的密码。

(6).对密码数据库的访问和存取必须加以控制,以防止密码被非法修改或泄露。

(7).当系统提供的访问和存取控制机制不够完善时或机制虽然完善,但可能出现系统转储等情况时,应对存储的密码加密。

密码的等级应当符合以下要求:

1).初始密码应当由系统管理员集中产生供用户使用,并有密码更换记录,不得由员工产生;

2).密码的复杂性要求密码长度不得小于8个字符,要包含大写、小写、特殊字符、阿拉伯数字中的任意三种,密码更换周期不得长于三个月;

3).密码必须加密存储,并且保证密码存放载体的物理安全; 员工应记住自己的密码,不应把它记载在不保密的媒介物上,严禁张贴密码。

恶意软件管理

4).公司所有联网计算机必须安装防病毒软件,安装后不得自行关闭和卸载,对擅自卸载或不按规定使用防病毒软件的人员,如造成损失,应承担相

应的责任;

5).由于特殊原因不能安装防病毒客户端软件的电脑,须记录相关原因。 技术部负责对所有客户端的杀毒软件进行管理和监控,全体人员必须服从和配合。在正常运行过程中,不得随意关闭或退出。若因特殊情况需临时暂停客户端运行者,应经技术部同意方可执行;

6).如发现病毒,相关使用人应立即上报,及时联系技术部人员对感染机器进行有效的隔离,清除病毒的后检查其最近使用过的软盘、光盘和移动存储设备,以免漏杀,未清除病毒的计算机不得入网;

7).对因病毒引起的计算机信息系统瘫痪,程序和数据严重破坏等重大事故应及时采取隔离措施,并及时公司技术部报告;

8).不得向他人提供含有计算机病毒的文件、软件、媒体。禁止在计算机上装载与工作无关的软件,特别是游戏软件、盗版软件等;

9).禁止从Internet网络随意上下载程序、数据,以及外来程序和文档。如确实需要,应当先进行病毒检测后使用。在网上发布的文件文档,发件人应主动用查病毒软件检查并确认安全后方可发出,收件人发现病毒,应立即杀毒,并通知发件人;

10).不得打开可疑的或陌生人发送来的邮件及附件,必要时直接删除;对认定为清除不了含有病毒的文件,技术部有权直接删除,以防病毒扩散、蔓延。

外来的软盘、光盘和移动存储设备等应先进行杀毒检查后使用。当在光盘、U盘、移动存设备上发现病毒后应立即报告技术部,并及时加以标识,不得在其他计算机上再使用,避免病毒的传播;

11).除打印机可以共享外,服务器与工作站的硬盘尽量不设置为共享,文件目录一般不进行网络共享。特殊情况需进行目录共享的必须设定密码,一旦使用完毕后必须立即关闭共享,或加强对该机器的病毒检查;

12).对购置、维修、借入的计算机及其他网络存储设备,应当及时进行病毒检测;

13).对于关键部门的关键数据要经常进行备份,且异地存放,以备数据破坏后恢复。

因篇幅问题不能全部显示,请点此查看更多更全内容

查看全文

Copyright © 2019- 91gzw.com 版权所有 湘ICP备2023023988号-2

违法及侵权请联系:TEL:199 18 7713 E-MAIL:2724546146@qq.com

本站由北京市万商天勤律师事务所王兴未律师提供法律服务