计算机及信息系统安全保密策略

1XX技术股份有限公司计算机及信息系统安全保密策略1概述计算机及信息系统安全保密策略属于顶层的管理文档，是公司网络与信息安全保障工作的出发点和核心，是公司计算机与信息系统安全管理和技术措施实施的指导性文件。涉密计算机及信息系统安全策略文件是公司计算机和信息系统全体管理和使用人员必须遵循的信息安全行为准则，由公司信息安全管理部门制订及解释，由公司保密委员会审批发布，并由信息安全管理部门组织公司全体人员学习与贯彻。公司涉密计算机及信息系统涉及到存储、传输、处理国家秘密、公司商业秘密和业务关键信息，关系到公司的形象和公司业务的持续运行，必须保证其安全。因此，必须从技术、管理、运行等方面制定确保涉密计算机和信息系统持续可靠运行的安全策略，做好安全保障。本策略文件主要内容包括：人员安全、资产分类与控制、物理和环境安全、系统开发和维护、访问控制、个人计算机安全、风险管理、业务持续性管理与灾难恢复、计算机与网络运行管理、遵循性等十个方面。2适用范围2.1本策略所称的涉密计算机和信息系统指公司所有通过计算机及信息系统存贮、处理或传输的信息及存贮、处理或传输这些信息的硬件、软件及固件。2.2本策略适用于与公司涉密计算机及信息系统相关的所有部门及人员。3目标制定涉密计算机及信息系统安全策略的目标就是确保公司掌握的国家秘密、公司商业秘密和业务关键信息的安全性，并通过一系列预防措施将信息安全可能受到的危害降到最低。信息安全管理应在确保信息和计算机受到保护的同时，确保计算机和信息系统能够在允许的范围内正常运行使用。同时，本策略的目的也是让所有员工能够了解信息安全问题以及明确各自的信息安全职责，严格遵守本安全策略，并遵守国家相关的计算机或信息安全法律要求。4组织4.1保密委员会是计算机及信息系统安全管理的领导机关，负责领导信息安全管理2体系的建立和信息安全管理的实施，主要包括：提供清晰的指导方向，可见的管理支持，明确的信息安全职责授权；审查、批准信息安全策略和岗位职责；审查业务关键安全事件；批准增强信息安全保障能力的关键措施和机制；保证必要的资源分配，以实现数据有效性以及信息安全管理体系的持续发展。4.2信息安全管理部门具体负责建立和维持信息安全管理体系，协调相关活动，主要承担如下职责：调整并制定所有必要的信息安全管理规程、制度以及实施指南等；提议并配合执行信息安全相关的实施方法和程序，如风险评估、信息管理分层等；主动采取部门内的信息安全措施，如安全意识培训及教育等；配合执行新系统或服务的特殊信息安全措施；审查对信息安全策略的遵循性；配合并参与安全评估事项；根据信息安全管理体系的要求，定期向上级主管领导和保密委员会报告。5分层管理与控制5.1公司计算机及信息系统管理分为涉密计算机管理、内部网络（局域网）及计算机信息管理、互联网计算机信息管理三个管理层次。5.2涉密计算机只能处理涉及国家秘密的信息，实行物理隔离管理，只能由公司涉密人员使用，由公司保密员管理。涉密计算机信息数据必须被保护以防止被泄漏、破坏或修改。5.3内部网络（局域网）及计算机配置加密管理措施，与互联网隔离，配置保密管理措施，只能通过局域网传输、储存技术文档、软件等涉及公司商业机密信息。上述信息必须定期备份进行保护，以免破坏和非授权修改。5.4互联网计算机主要处理来自于外部资源的普通信息，配置上网行为管理措施，同样在信息安全防护上进行安全考虑。5.5上述计算机及信息系统根据分层次管理的要求应当依据其分类进行物理标记。6人员安全策略3为避免信息遭受人为过失、窃取、欺骗、滥用的风险，应当识别计算机及信息系统系统内部每项工作的信息安全职责并补充相关的程序文件。公司全体人员都应该了解计算机及系统的网络与信息安全需求，公司必须为全体人员提供足够的培训以达到该安全目的，并为他们提供报告安全事件和威胁的渠道。6.1工作定义及资源的安全工作人员从事或离开岗位时必须进行信息安全考虑，相关的安全事项必须包括在工作描述或合同中。包括：对涉及访问秘密或关键信息，或者访问处理这些信息的系统的工作人员应进行严格审查和挑选；对信息系统具有特殊访问权限的工作人员应该签署承诺，保证不会滥用权限；当工作人员离开公司时应该移交信息系统的访问权限，或工作人员在公司内部更换工作岗位时应该重新检查并调整其访问权限。6.2员工培训公司全体人员应了解计算机及信息系统的安全需求，并对如何安全地使用信息及相关系统和工具、信息安全策略和相关管理规定接受培训，熟悉信息安全的实施并加强安全意识。6.3事件报告必须建立有效的信息反馈渠道，以便于公司人员一旦发现安全威胁、事件和故障，能及时向有关领导报告。6.4信息处理设备可接受的使用策略公司禁止工作人员滥用计算机及信息系统的计算机资源，仅为工作人员提供工作所需的信息处理设备。公司所有人员对系统网络和计算资源的使用（包括访问互联网）都必须遵守计算机及信息系统的安全策略和标准及所有适用的法律。公司的计算机及信息系统应能防止使用人员连接到访问含有色情、种族歧视及其他不良内容的网站及某些非业务网站。包括但不限于以下例子是不可接受的使用行为：使用信息系统资源故意从事影响他人工作和生活的行为。工作人员通过信息系统的网络服务及设备传输、存储任何非法的、有威胁的、滥用的材料。任何工作人员使用信息系统的计算机工具、设备和互联网访问服务来从事用于4个人获益的商业活动（如炒股）。工作人员使用信息系统服务来参与任何政治或宗教活动。在没有信息安全管理部门的事先允许或审批的情况下，工作人员在使用的计算机中更改或安装任何类型的计算机软件和硬件。在没有信息安全管理部门的事先允许或审批的情况下，工作人员拷贝、安装、处理或使用任何未经许可的软件。6.5处理从互联网下载的软件和文件必须使用病毒检测软件对所有通过互联网（或任何其他公网）从信息系统之外的途径获得的软件和文件进行检查，同时，在获得这些软件和文件之前，信息安全管理部门必须研究和确认使用这些工具的必要性。6.6工作人员保密协议公司所有人员必须在开始工作前，亲自签订保密协议。6.7知识产权权利尊重互联网上他人的知识产权。公司工作人员在被雇佣期间使用公司系统资源开发或设计的产品，无论是以何种方式涉及业务、产品、技术、处理器、服务或研发的资产，都是公司的专有资产。7物理和环境安全策略计算机信息和其他用于存储、处理或传输信息的物理设施，例如硬件、磁介质、电缆等，对于物理破坏来说是易受攻击的，同时也不可能完全消除这些风险。因此，应该将这些信息及物理设施放置于适当的环境中并在物理上给予保护使之免受安全威胁和环境危害。7.1安全区域根据信息安全的分层管理，应将支持涉密信息或关键业务活动的信息技术设备放置在安全区域中。安全区域应当考虑物理安全边界控制及有适当的进出控制措施保护，安全区域防护等级应当与安全区域内的信息安全等级一致，安全区域的访问权限应该被严格控制。7.2设备安全对支持涉密信息或关键业务过程（包括备份设备和存储过程）的设备应该适当地在物理上进行保护以避免安全威胁和环境危险。包括：设备应该放置在合适的位置或加强保护，将被如水或火破坏、干扰或非授权访5问的风险降低到可接受的程度。对涉密信息或关键业务过程的设备应该进行保护，以免受电源故障或其他电力异常的损害。对计算机和设备环境应该进行监控，必要的话要检查环境的影响因素，如温度和湿度是否超过正常界限。对设备应该按照生产商的说明进行有序地维护。安全规程和控制措施应该覆盖该设备的安全性要求。设备包括存储介质在废弃使用之前，应该删除其上面的数据。7.3物理访问控制信息安全管理部门应建立访问控制程序，控制并限制所有对计算计及信息系统计算、存储和通讯系统设施的物理访问。应有合适的出入控制来保护安全场所，确保只允许授权的人员进入。必须仅限公司工作人员和技术维护人员访问公司办公场所、布线室、机房和计算基础设施。7.4建筑和环境的安全管理为确保计算机处理设施能正确的、连续的运行，应至少考虑及防范以下威胁：偷窃、火灾、温度、湿度、水、电力供应中断、爆炸物、吸烟、灰尘、振动、化学影响等。必须在安全区域建立环境状况监控机制，以监控厂商建议范围外的可能影响信息处理设施的环境状况。应在运营范围内配置灭火设备。定期测试、检查并维护环境监控警告机制，并至少每年操作一次灭火设备。7.5保密室、计算机房访问记录管理保密室、计算机房应设立物理访问记录，信息安全管理部门应定期检查物理访问记录本，以确保正确使用了这项控制。物理访问记录应至少保留12个月，以便协助事件调查。应经信息安全管理部门批准后才可以处置记录，并应用碎纸机处理。8计算机和网络运行管理策略计算机和信息系统所拥有的和使用的大多数信息都在计算机上进行处理和存储。为了保护这些信息，需要使用安全且受控的方式管理和操作这些计算机，使它们拥有充分的资源。由于公司计算机和信息系统采用三层管理模式，不排除联接到外部网络，计算机和信息系统的运行必须使用可控且安全的方式来管理，网络软件、数据和服务的完整性和可用性必须受到保护。68.1操作规程和职责应该制定管理和操作所有计算机和网络所必须的职责和规程，来指导正确的和安全的操作。这些规程包括：数据文件处理规程，包括验证网络传输的数据；对所有计划好的系统开发、维护和测试工作的变更管理规程；为意外事件准备的错误处理和意外事件处理规程；问题管理规程，包括记录所有网络问题和解决办法（包括怎样处理和谁处理）；事故管理规程；为所有新的或变更的硬件或软件，制定包括性能、可用性、可靠性、可控性、可恢复性和错误处理能力等方面的测试/评估规程；日常管理活动，例如启动和关闭规程，数据备份，设备维护，计算机和网络管理，安全方法或需求；当出现意外操作或技术难题时的技术支持合同。8.2操作变更控制对信息处理设施和系统控制不力是导致系统或安全故障的常见原因，所以应该控制对信息处理设施和系统的变动。应落实正式的管理责任和措施，确保对设备、软件或程序的所有变更得到满意的控制。8.3介质的处理和安全性应该对计算机介质进行控制，如果必要的话需要进行物理保护：可移动的计算机介质应该受控；应该制定并遵守处理包含机密或关键数据的介质的规程；与计算相关的介质应该在不再需要时被妥善废弃。8.4鉴别和网络安全鉴别和网络安全包括以下方面：网络访问控制应包括对人员的识别和鉴定；用户连接到网络的能力应受控，以支持业务应用的访问策略需求；专门的测试和监控设备应被安全保存，使用时要进行严格控制；通过网络监控设备访问网络应受到限制并进行适当授权；应配备专门设备自动检查所有网络数据传输是否完整和正确；应评估和说明使用外部网络服务所带来的安全风险；7根据不同的用户和不同的网络服务进行网络访问控制；对IP地址进行合理的分配；关闭或屏蔽所有不需要的网络服务；隐藏真实的网络拓扑结构；采用有效的口令保护机制，包括：规定口令的长度、有效期、口令规则或采用动态口令等方式，保障用户登录和口令的安全；应该严格控制可以对重要服务器、网络设备进行访问的登录终端或登录节点，并且进行完整的访问审计；严格设置对重要服务器、网络设备的访问权限；严格控制可以对重要服务器、网络设备进行访问的人员；保证重要设备的物理安全性，严格控制可以物理接触重要设备的人员，并且进行登记；对重要的管理工作站、服务器必须设置自动锁屏或在操作完成后，必须手工锁屏；严格限制进行远程访问的方式、用户和可以使用的网络资源；接受远程访问的服务器应该划分在一个独立的网络安全区域；安全隔离措施必须满足国家、行业的相关政策法规。个人终端用户（包括个人计算机）的鉴别，以及连接到所有办公自动化网络和服务的控制职责，由信息安全管理部门决定。8.5操作人员日志操作人员应保留日志记录。根据需要，日志记录应包括：系统及应用启动和结束时间；系统及应用错误和采取的纠正措施；所处理的数据文件和计算机输出；操作日志建立和维护的人员名单。8.6错误日志记录对错误及时报告并采取措施予以纠正。应记录报告的关