《信息安全管理控制程序.docx》由会员分享,可在线阅读,更多相关《信息安全管理控制程序.docx(10页珍藏版)》请在优知文库上搜索。
1、信息安全管理控制程序1.2.目的范围3.1. 保密制度33.2. 保密措施33.3. 人员要求44.计算机安全管理44.4. 软件安装54.5. 硬件维护54.6. 计算机管理考核54.7. 网络维护64.8. 安全过程管理65.1.运维信息安全管理过程事件和风险的识别65.2.运维信息安全管理过程风险的评估75.2.1.计算方法95.2.2.风险等级95.2.3.不可接受风险的确定95.3.运维信息安全管理过程风险的处置95.4.运维信息安全管理过程的改进101 .目的为了防止信息和技术的泄密,导致严重灾难的发生,特制订以下安全规定。2 .范围信息安全范围包括:a)公司股东、董事会资料、会议
2、记录、纪要、保密期限内的重要决定事项;b)公司的年度工作总结,财务预算决算报告,缴纳税款,营销报表和各种统计报表;C)公司有关销售业务资料,货源情报和对供应商调研资料;d)公司开发设计资料,技术资料和生产情况;e)客户提供的一切文件、样板等;f)公司各部门人员编制、调整、未公布的计划、员工福利待遇资料、员工手册;g)公司的安全防范状况及存在问题;h)公司员工违法违纪检举、投诉、调查资料、发生案件、事故的调查登记资料;j)公司、法人代表印章、营业执照、财务印章、合同协议。3 .保密制度3.1. 保密制度a)文件、传真邮件的收发登记、签发、催办、清退、借阅、归档有指定人员处理;b)凡涉及公司内部秘
3、密的文件资料的报废处理,必须首先碎纸,不准未经碎纸丢弃处理:C)公司员工本人工作所持有的各种文件、资料、电子文档(磁碟,光盘等)当本人离开办公室外出时,必须存放于文件柜或抽屉,不准随意乱放,未经批准,不能复制抄录或携带外出;d)未经公司领导批准,不得对外界提供公司的任何保密资料;e)未经公司领导批准,不得向外界提供客户的任何资料;f)妥善保管好各种财务账册、公司证照、印章。3.2. 保密措施a)不要将机密文件及可能受保护文件随意存放,文件的存放分类分目录存放与指定位置;b)未经领导及他人许可,不要打开或尝试打开他人的文件,以避免泄密或文件的损坏;C)对不明来历的邮件或文件不要查看或尝试打开以避
4、免计算机中病毒或木马,并尽快请电脑上人员来检查;d)在一些邮件中,如果出现一些附加名是EXE,COM等可执行的附件或是其它可疑附件时,请先用杀毒软件详细查杀后再使用,或请电脑室人员处理;e)不要随便尝试不明的或不熟悉的计算机操作步骤,遇到计算机发生异常而自己无法解决时,立即通知专业人员解决;f)不要随便安装或使用来源不明的软件和程序,不要随便允行或删除电脑上的文件或程序,不要随便更改计算机参数等;g)收到无意义的邮件后,应及时清除,不要蓄意或恶意回复这些文件;h)不向他人披露使用的密码防止他人接触计算机系统造成意外;i)定期更换密码,如发现密码已泄密,就尽快更换,预设的密码及由别人提供的密码应
5、立即更改,定期用杀毒程序扫描计算机系统,对于新的软件、档案或电子邮件,应选用杀毒软件扫描,检查是否带有病毒,有害的程序编码,进行适当的处理后才可开启使用;j)现已加密技术保护敏感的数据文件,然后才通过公司的网络及互联网进行传送,在适当的情况下,利用数字证书为信息及数据加密或加上数字签名;k)关闭电子邮件所备有自动处理电子邮件附件功能,关闭电子邮件应用系统或其它应用软件中可自动处理的功能,以防电脑病毒入侵;D对于不熟悉的人员请不要让其随意使用你的计算机,如非要使用,应有人仔仔其身旁监督:m)不要随意将公司或个人文件发送给他人或打开给他人查看或使用;n)在计算机使用或管理上如有任何疑问,请询问电脑
6、室人员。3.3. 人员要求a)公司中层以上领导,要自觉遵守保密制度;b)公司各部门要运用各种形式经常对所属员工进行保密教育,增强保密观念;C)全体员工自觉遵守保密基本准则,做到:不该说的机密,坚决不说,不该看的机密坚决不看(含超越自己职责、业务范围的文件、资料、电子文档);d)对员工依照公司本规定,保守公司秘密,发现他人泄密,立即采取补救措施,避免或减轻损害后果的,对泄密或者非法获取公司秘密的行为及时检举投诉的,按照有关规定给予奖励;e)对员工因不遵守公司规定,造成泄密事件,依照有关法规及公司的奖惩规定,给予纪律制裁、解雇、直至追究刑事责任。4 .计算机安全管理4.1. 适用范围涉及组织范围内
7、的计算机设备。4.2. 安全要求a)一般工作计算机不安装软驱和光驱,如有安装软驱和光驱的计算机,每次使用磁盘都要使用杀毒软件检查;b)对于联网的计算器,任何人未经批准的情况下,不得向计算机内考入软件或文档;C)数据的备份由相关专业负责人管理时,备份用的软盘由专业负责人提供;d)软盘光盘等在使用前,必须确保无病毒;e)计算机一经发现病毒,应立即通知电脑室专业人员处理;f)工操作员在离开前应退出系统并关机;g)任何人未经操作员同意,不得使用他人的计算机。4.3. 监督措施a)由专业人员负责所有计算机的检测和清理工作;b)由智能制造部的专业人员根据上述作业计划进行检测;c)由经理负责对防范措施的落实
8、情况进行监督。4.4. 软件安装对于尚未联网的计算机,其软件的安装由智能制造部负责,任何计算机按装软件时,由相关人员提出书面报告,经经理同意后,由智能制造部负责安装,软件出现异常时,应通知智能制造部专业人员处理,所有计算机不得安装游戏人件,数据的备份由相关专业负责人管理,备份用的软盘由专业负责人提供。4.5. 硬件维护硬件维护人员在拆卸计算机时,必须采取必要的防静电措施,硬件维护人员在作业完成后或准备离去时,必需将所拆卸的设备复原:要求个专业负责人认真落实所辖计算机及配套设备的使用的保养责任,要求个专业负责人采取必要措施,确保所用的计算机及外设始终处于整洁和良好的状态,所有带锁的计算机,再使用
9、完毕或离去前必须上锁,对于关键的计算机设备应配备必要的断电保护电源。各单位所辖计算机的使用、清洗和保养工作,由相应的专业负责人负责,各专业负责人必须经常检查所辖计算机及外设的状况,及时发现和解决问题。4.6. 计算机管理考核由于计算机设备已逐步成为我们工作中必不可少的重要工作,因此决定将计算机的管理纳入对各专业负责任的考核范围,并将严格实行。a)凡是发现以下情况的,根据实际情况追究当事人及其直接领导的责任:D计算机感染病毒;2)私自安装和使用未经许可的软件;3)计算机具有密码功能却未使用;4)离开计算机确未退出系统或关机;5)擅自使用他人计算机或外设造成不良影响或损失;6)没有及时检查或清洁计
10、算机及相关外设。b)凡发现由于以下作业而造成硬件的损坏或丢失的,其损失由当事人负责:1)违章作业;2)保管不当擅自安装、使用硬件和电气装置。C)员工的电子邮件可能会给企业网络带来好几种漏洞,例如收到不请自来的邮件却亳无警惕的打开其附件,或是未对附件文件扫描是否有病揖藏匿其中便直接开启文件等等,此外企业若不主动将新的病毒库派送到员工的的计算机上,那么就算员工每次都很谨慎扫描文件,确定没有病毒后才打开文件,仍然又被病毒感染的危险,更有甚者若是放人不当的电子邮件、色情或其它具有攻击性的内容在办公室到处流窗,企业更有可能会面临法律上的种种问题;d)密码是大部分企业的主要弱点,因为人们为了节省时间,常常
11、会共享或选择简单的密码,密码若不够复杂,便很容易被别人猜测到并用来取得机密资料,其实网络安全的弱点还在于不是只有使用者而已,若态度不够谨慎,只要稍微运用一下手腕便可让他们吐露出来,例如通过电话或电子邮件假装一下,通常就能把员工的密码骗到手;e)全不知道如何防范各式各样的安全漏洞,例如通过社交手段套取等等,便会使得企业门户大开,人员受到各种攻击,未受到正确训练或不满意工作的员工更可能把企业独家或敏感资料泄露给竞争对手等不应该接触的这些资料的人;f)企业应决定由谁负责主导政策的制定与执行,行政事业部则应在员工的新进训练时以书面告知公司的政策,待员工同意后要求其签名确认以了解并愿意遵守公司相关规定,
12、之后必须严格执行规定,绝对不能例外。公司制定的政策内,应明确制定违反规定的处罚细则。-般而言,安全系统与网络管理人员应该建构安全防护机制,成立紧急应变小组以应对可能发生的漏洞,并与行政事业部密切合作,随时报告可疑的状况。4.8. 网络维护a)设立网际网络使用规范,让员工了解公司对员工个人使用电子邮件与计算机的规定,此外,明确网络使用规范可提而IT人员设定与监视网络安全方案的效率;b)采集能够扫描邮件是否含有不适当内容的技术,并记录违反公司管制规定的网络行为。法律专家认为,监视员工的电子邮件与网络行为在公司而对法律诉讼时,有利于保护公司本身,因此企业应当设立使用规范,并采用内容监视机制,保护员工
13、不受任何骚扰;C)训练员工了解如何应该及时下载最新的防毒更新资料,如何辨认电脑是否有可能中毒,并教导员工如何开启档案之前扫描档案是否有毒;d)修补软件的漏洞,降低病毒透过网面或电子邮件渗入企业网络的机会;e)制定密码使用规范,要求员工经常更改密码,并教育员工防范社交欺骗;f)审查每个员工是否需接触机密资料,并严格限制机密资料,并严格限制机密资料只开于工作上绝对需要的员工使用;g)警告员工下载免费软件等各种程序可能引起的危险。5 .运维信息安全过程管理5.1. 运维信息安全管理过程事件和风险的识别运营部应在运维管理过程中,针对客户的特点识别与运维管理过程中相关的一切风险和事件,风险分类和来源包括
14、但不限于以下几个方面:软件、硬件、人员、文档、数据、知识产权等。对于识别出来的风险,应记录到风险识别清单中。运维项目中的信息安全事件识别和处置过程应记录在信息安全事件管理记录单中。运营部指定专人每个月进行一次信息安全事件记录过程检查。信息资产的密级分为:绝密、机密、秘密、敏感和一般共5类:a) “绝密”:按中华人民共和国保守国家秘密法中指定的秘密和不可对外公开、若泄露或被篡改会对本组织的生产经营造成特别严重损害的事项;b) “机密”:是指不可对外公开、若泄露或被篡改会对本组织的业务造成严重损害,或者由于业务上的需要仅限有关人员知道的事项:c) “秘密”:是指不可对外公开、若泄露或被篡改会对本组
15、织的业务造成损害,或者由于业务上的需要仅限有关人员知道的事项;d) “敏感”:是指为了日常的业务能顺利进行而向组织内部员工公开、但不可向组织以外人员随意公开的事项;e) “一般”是指可向组织以外人员随意公开的事项。5.2. 运维信息安全管理过程风险的评估应对所有的运维管理过程中的风险进行风险评估,评估应考虑威肋、脆弱性、威胁事件发生的可能性和威胁事件发生后对运维管理过程造成的影响程度及已经采取的措施等方面因素。首先识别威肋,:威胁是对组织及其资产构成潜在破坏的可能性因素,造成威胁的因素可分为人为因素和环境因素。威胁作用形式可以是对信息系统直接或间接的攻击,例如非授权的泄露、篡改、删除等,在保密性、完整性或可用性等方面造成损害;也可能是偶发的、或蓄意的事件。威胁可基于表现形式分类。例如可分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、网络攻击、黑客攻击技术、物理攻击、泄密信息、篡改、抵赖等。运维管理过程中根据资产本身所处的环境条件,识别每个资产所面临的威胁。第二识别脆弱性:脆弱性是对一个或多个资产弱点的总称。脆弱性是资产本身存在的,如果没有相应的威胁发生,单纯的脆弱性本身不会对资产造成损害。而且