《ISO22301业务连续性管理体系作业指导书汇编.docx》由会员分享,可在线阅读,更多相关《ISO22301业务连续性管理体系作业指导书汇编.docx(39页珍藏版)》请在优知文库上搜索。
1、文件管制一览表序号文件名称文件编号版本1访问控制策略0.02口令控制策略0.03清洁桌面和清屏策略0.04特权访问管理策略0.05电子邮件策略0.06病毒防范策略0.07网络访问策略0.08网络配置安全策略0.09设备及布缆安全策略0.010风险机会管理计划0.011业务连续性策略控制0.012业务连续性计划0.013消防安全管理制度0.0访问控制策略发布部门管理部生效时间2019年03月10日批准人文件编号002-009介绍应根据业务和安全要求,控制对信息和信息系统的访问。目的该策略的目的是为了控制对信息和信息系统的访问。适用范围该策略适用于进行信息和信息系统访问的所有人员。术语定义略访问控
2、制策略 公司内部可公开的信息不作特别限定,允许所有用户访问; 公司内部部分公开信息,根据业务需求访问,访问人员提出申请,经访问授权管理部门认可,访问授权实施部门实施后用户方可访问; 公司网络、信息系统根据业务需求访问,访问人员提出申请,认可,实施后用户方可访问; 管理部安全管理员按规定周期对访问授权进行检查和评审; 访问权限应及时撤销,如在申请访问时限结束时、员工聘用期限结束时、第三方服务协议中止时; 用户不得访问或尝试访问未经授权的网络、系统、文件和服务; 远程用户应该通过公司批准的连接方式; 在防火墙内部连接内部网络的计算机不允许连接INTERNET,除非获得管理部的批准; 用户不得以任何
3、方式私自安装路由器、交换机、代理服务器、无线网络访问点(包括软件和硬件)等: 在信息网、外联网安装新的服务(包括软件和硬件)必须获得管理部的批准; 用户不得私自撤除或更换网络设备。惩罚违背该策略可能导致:员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除;另外,这些人员还可能遭受信息资源访问权以及公民权的损失,甚至遭到法律起诉。引用标准略口令控制策略发布部门管理部生效时间2019年03月10日批准人文件编号002-001介绍用户授权是控制信息资源访问者的一种方式。对访问进行控制是任何信息资源所必须的。未经授权的人员访问到信息资源可能会引起信息保密性
4、、完整性共和可用性的丢失,导致收入、信誉的损失或经济困难。使用下列两个个要素可以鉴别用户,即: 你知道-口令识别号(PIN) 你持有-智能卡目的该策略的目的是为用户鉴别机制建立创造、分发、保护、终止以及收回的规则。适用范围该策略适用于任何信息资源的使用者。术语定义略口令控制策略 所用用户都必须拥有唯一的、专供其个人使用的用户帐号ID(用户ID); 所有用户不得使用他人的用户进行信息资源的访问; 所有口令,包括初始口令,都必须依据下列规则建立和执行:令必须定期更改;令必须符合信息中心规定的最小长度;令必须是字母、数字和字符的组合;令必须不能是可以轻易联想到的帐号所有者的特性:用户名、绰号、亲属的
5、姓名、生日等:令必须不能用字典中的单词或首字母缩写; 必须保存历史口令,以防止口令的重复使用。 用户的帐号口令必须不能泄露给任何人; 如果怀疑口令的安全性,应立即进行更改; 管理员不能为了使用信息资源规避口令; 用户不能通过自动登录的方式绕过口令登录程序; 计算机设备如果无人值守必须启动口令保护屏保或注销; 用户在首次登录时必须更改口令。惩罚违背该策略可能导致:员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除;另外,这些人员还可能遭受信息资源访问权以及公民权的损失,甚至遭到法律起诉。引用标准略清洁桌面和清屏策略发布部门管理部生效时间2019年03
6、月10日批准人文件编号002-002介绍应该实施清除桌面和清除屏幕方针,以降低对文件、介质以及信息处理设施未经授权访问或破坏的风险。目的该策略的目的是防止对信息和信息处理设施未经授权的用户访问、破坏或盗窃。适用范围该策略适用于公司所有员工。术语定义略清洁桌面和清屏策略 所有计算机终端必须设立登录口令,在人员离开时应该锁屏、注销或关机; 在结束工作时,必须关闭所有计算机终端,并且将个人桌面上所有记录有敏感信息的介质锁入文件柜; 计算机终端应设置屏幕密码保护,屏保时间不大于5分钟; 打印或复印公司秘密、机密信息时,打印或复印设备现场应有可靠人员,打印或更印完毕即从设备拿走。惩罚违背该策略可能导致:
7、员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除;另外,这些人员还可能遭受信息资源访问权以及公民权的损失,甚至遭到法律起诉。引用标准略特权访问管理策略发布部门管理部生效时间2019年03月10日批准人文件编号002-003介绍与普通用户相比,技术支持人员、安全管理员、系统管理员可能有特殊的访问账户权限要求。这些管理性的和特殊访问账户的访问等级比较高,因此对这些账户的批准、控制和监控对于整个安全程序极其重要。目的该策略的目的是为具有特殊访问权限的账号建立创建、使用、控制及其删除的规则。适用范围该策略适用于拥有、或者可能会需要信息资源特殊访问权限的所
8、有人员。术语定义略特权访问管理策略 在所有用户获得访问账号前,应签署一份不泄密协议; 所有管理性的/特殊访问账户的用户必须接受培训并获得授权; 每一个使用管理性的/特殊访问账号的个人都必须避免滥用权力,并且必须在管理部的指导下使用; 每一个使用管理性的/特殊访问账号的个人必须以最适宜所执行的工作的方式行使账号权力; 每一个管理性的/特殊访问账户必须满足口令策略的要求; 共有的管理性的/特殊访问账号的口令在人员离职或发生变更时必须更改; 当因内外部审核、软件开发、软件安装或其他规定需求而需要特殊访问账号时,账号:Q必须被授权:令创建的日期期限必须明确;令工作结束时必须删除。惩罚违背该策略可能导致
9、:员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除;另外,这些人员还可能遭受信息资源访问权以及公民权的损失,甚至遭到法律起诉。引用标准略电子邮件策略发布部门管理部生效时间2019年03月10日批准人文件编号002-004介绍信息资源是组织的资产,必须对其进行有效地管理,因而建立该策略是为r:令确保员工知晓在Email的过程中好的操作方法;令明确EnIaiI使用过程中的责任。目的为了建立某公司的Email使用规则,保证Email的合理发送、收取和存储。适用范围该策略适用于被批准的、能够通过Email发送、收取和存储信息的所有人员。术语定义略电子邮件
10、策略下列行为是策略所禁止的: 发送或者转发与工作业务无关的个人信息;令发送或者转发虚假、黄色、反动信息; 发送或者转发宣扬个人政治倾向或者宗教信仰;发送或者转发发送垃圾信息;令发送或者转发能够引起连锁发送的恐吓、祝贺等信息;令Email大小超过限制; 发送口令、密钥、信用卡等的敏感信息;令用个人信息处理设备收发公司内部Email;令用公司外部账号发送、转发、收取公司敏感信息;令在非授权情况下以公司的名义发表个人意见;令发送或者转发可能有计算机病毒的信息; 使用非授权的电子邮件收发软件;下列行为是策略所要求的:每位员工都有一个Email账号,账号密码必须符合口令策略的相关规定;令用Email经过
11、外部网络发送机密信息必须经过加密,加密必须符合加密策略的相关规定:令发送Email必须有清楚的主题;令Email的处理和存储必须符合信息的分类、标识和存储策略的相关规定;管理授权公司有权对职员的Email进行监视和记录;公司有权对Email的内容进行存储备份以用于法律目的;QEmail附件的加密及加密方法应该获得公司的批准,密码需要在公司备案;令公司内不允许对外部发送邮件,如需向外发送邮件需要填写申请单。惩罚违背该策略可能导致:员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除;另外,这些人员还可能遭受信息资源访问权以及公民权的损失,甚至遭到法律起
12、诉。引用标准略病毒防范策略发布部门管理部生效时间2019年03月10日批准人文件编号002-005介绍计算机安全事故的数量以及由业务中断服务恢复所导致的费用日益攀升。实施稳固的安全策略,防止对网络和计算机不必要的访问,较早的发现并减轻安全事故可以有效地降低风险以及安全事故造成的费用。目的该策略的目的是描述计算机病毒、蠕虫以及特洛伊木马防御、检测以及清除的要求。适用范围该策略适用于使用信息资源的所有人员。术语定义略病毒防范策略 所有连接到局域网的工作站必须使用资讯课批准的病毒保护软件和配置; 病毒保护软件必须不能被禁用或被绕过; 病毒保护软件的更改不能降低软件的有效性; 不能为了降低病毒保护软件
13、的自动更新频率而对其进行更改; 与局域网连接的每一个文件服务器必须使用安全信息管理小组批准的病毒保护软件,并要进行设置检测、清除可能感染共享文件的病毒; 每个电子邮件网关必须使用信息中心批准的电子邮件保护软件,并且必须符合信息中心规定的该软件的安装和使用准则; 由病毒保护软件不能自动清除并引起安全事故的病毒,必须向管理部报告。惩罚违背该策略可能导致:员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除;另外,这些人员还可能遭受信息资源访问权以及公民权的损失,甚至遭到法律起诉。引用标准略网络访问策略发布部门管理部生效时间2019年03月10日批准人文件
14、编号002-006介绍网络基础设施是提供给所有信息资源用户的中心设施。重要的是这些基础设施(包括电缆以及相关的设备)要持续不断的发展以满足需求,然而也要求同时高速发展网络技术以便将来提供功能更强大的用户服务。目的该策略的目的是建立网络基础设施的访问和使用规则。这些规则是保持信息完整性、可用性和保密性所必需的。适用范围该策略适用于访问任何信息资源的所有人。术语定义略网络访问策略 用户不可以以任何方式扩散或再次传播网络服务。未经管理部批准不可以安装路由器、交换机、集线器或者无线访问端口: 在未经管理部批准的情况下,用户不可以安装提供网络服务的硬件或软件; 需要网络连接的计算机系统必须符合信息服务规范; 用户不可以私自下载、安装或运行安全程序或应用程序,发现或揭露系统的安全薄弱点0例如,在以任何方式连接到互联网基础设施时,未经管理部