S0012CN 个人设备安全策略

本文档版权归属快钱支付清算信息有限公司所有。未经书面许可，任何单位或个人不得以任何形式摘抄、复制本文档的任意部分或全部，并以任何形式传播。快钱支付清算信息有限公司系统运营部安全中心编制____________________________个人设备安全策略____________________________Version1.2StatusReleasedOwnerCEOClassification99billconfidentialIDS0012CNLastMod.Date2009-4-2第2页共10页目录目录..........................................................................................................2文档信息表.......................................................................................................31.个人设备信息安全.....................................................................................51.1.文档目的...........................................................................................51.2.读者范围...........................................................................................52.安全目标...................................................................................................63.责任..........................................................................................................63.1.个人设备的提供................................................................................63.2.个人责任...........................................................................................64.一般步骤...................................................................................................74.1.建议和支持.......................................................................................74.2.应急响应...........................................................................................75.安全控制...................................................................................................85.1.毁坏和丢失.......................................................................................85.2.物理访问...........................................................................................85.3.逻辑访问...........................................................................................85.4.基本配置...........................................................................................95.5.软件使用...........................................................................................95.5.1.强制安装软件..........................................................................................95.5.2.禁止软件..................................................................................................95.5.3.更新和补丁..............................................................................................95.6.文件加密系统..................................................................................105.7.通信安全.........................................................................................105.8.备份................................................................................................105.9.清除................................................................................................10第3页共10页文档信息表文档基本信息文档名称架构安全策略保密级别机密文档版本号S0011CN制作人制作日期2009-2-4复审人Oliver复审日期扩散范围扩散批准人文档修订信息版本修正章节日期作者变更记录1.0ALL2009-2-4刘锦祥文档创建1.1ALL2009-4-2Oliver文档发布1.2ALL2010-2-25赵海锋文档格式调整本文档为99bill机密性文档。该分类级别针对高度敏感信息。标记为“99bill机密”的信息访问仅限于需要获取该信息的员工。标识为“99bill机密”的文件不可以在未签署保密协议（NDA）情况下给到外部人员。访问存放在中央IT系统中的“99bill机密”文档必须受控。任何人获得标识为“99bill机密”的文档，必须采取保护措施确保信息不被任何非授权用户获取。第4页共10页相关文档EncryptionPolicyS0014ENSecurityofInfrastructureS0011ENPhysicalandOfficeSecurityS0013ENCorrectiveandPreventiveActionsQ0105ENSoftwareUsageS1007EN第5页共10页1.个人设备信息安全1.1.文档目的本指引针对分配给99bill员工的信息和通讯系统设备提出相关安全规定。个人办公设备是99BILL提供给员工或者其他方处理、通讯和存储99bill或者99bill客户的相关信息的物理资产，且员工具有这些设备的控制权。个人办公设备在本文档中主要指笔记本电脑和PC机。同时本文档也广泛适用于外部存储介质例如USB硬盘、CD、外置硬盘和其他个人设备例如PDA或智能电话。本文档定义了个人设备的安全规定，特别是在保护的安全环境之外的时候；本文档也定义了在有可能遭受威胁的环境下所要求的安全控制措施从而实现这些设备的有效防护。1.2.读者范围本文档涉及99bill所有员工以及使用99bill设备的外部人员。第6页共10页2.安全目标快钱员工在个人办公设备存储和处理的数据通常包括如下“重要数据”：私有和机密的客户信息；私有和机密的公司信息；用于安全控制的安全数据，例如key，密码，证书等；用于部署设备及其应用的数据，例如许可密钥、软件镜像等。下列条款提供安全基准的简要说明：存放在个人办公设备数据必须防止破坏数据机密性，例如非授权用户物理访问包括破坏性攻击；存放在个人办公设备数据必须防止破坏数据可用性，例如物理性地丢失设备、被偷窃、出现故障等；存放在个人办公设备数据必须防止破坏数据完整性，例如通过不安全的通信和恶意的软件；存放在个人办公设备数据必须防止数据滥用，例如感染病毒、蠕虫或者被安装恶意软件。3.责任3.1.个人设备的提供快钱发给员工的个人使用设备都应该明确的被理解为快钱保持所有权，快钱有权在任何时候且无需通知持有人的情况下收回。快钱提供的个人使用设备只被允许用于商业用途。3.2.个人责任雇员有责任保护个人办公设备在他们使用时候的安全，因此应该执行和维护所有合适的安全措施。雇员有责任保护所有在其个人办公设备上存储和处理的信息。第7页共10页4.一般步骤4.1.建议和支持99bill支持雇员选择、安装和维护合适的安全访问控制措施。99bill提供必要的技术和组织方式来实施适当的个人办公设备安全防护。4.2.应急响应一旦影响到个人办公设备或者存放在上面的数据的事故发生时，应当执行一般性的事故处理流程，详见《Q0105EN纠正性和预防性行为》。第8页共10页5.安全控制5.1.毁坏和丢失个人办公设备应该在安全环境之外被恰当的保护来防止毁坏、偷窃和丢失。在差旅、客户环境或家中，只有完全是工作所必须的设备才能够被携带。5.2.物理访问个人办公设备应该防止被未授权用户物理访问，特别在离开99BILL办公环境中使用时。个人办公设备在公共地方或者其他可能有未授权访问登录的地方应该不离开携带者的视线，例如车上，公共交通工具、会议场地或者家里。如果无法避免，合适的安全措施必须采用，例如锁在安全的柜子中。有价值的东西应该保持“不可见”，从而避免引起偷窃。5.3.逻辑访问必须采用适当的安全机制，实现访问控制的级别，达到存储在个人办公设备信息类别的不同访问控制级别要求。在可能情况下，应当强制使用下列安全措施：启动密码/PIN；设备离开视线时使用屏幕保护锁定屏幕；加密“机密“级别和更高级别信息，如果这些信息存放在便携设备或者介质；或者在公共网络通道中传输（推荐内部信息使用加密）；给使用便携式存储设备设密码；安装个人防火墙在笔记本电脑（参见“强制使用软件”）；使用防间谍软件；使用非特权用户。第9页共10页5.4.基本配置对于每种不同的个人办公设备，应提供推荐的配置指定可用的硬件、软件和服务。然而，每个99bill员工在遵守许可规定的情况下，可以更改他们的个人办公设备的配置。此外更改不应该影响和同事及客户合作方的通讯，同时也不应该导致99bill额外的开销。99bill保留禁止使用特殊产品的权利。5.5.软件使用5.5.1.强制安装软件某些软件组件必须被安装，更新到最新版本，并保持任何时刻都启用该功能。详见《S1007ENSoftwareUsage》中的“MandatorySoft