信息安全策略

第1页共36页信息安全策略文档编号编制审核批准发布日期备注本公司对本文件资料享受著作权及其它专属权利，未经书面许可，不得将该等文件资料（其全部或任何部分）披露予任何第三方，或进行修改后使用。目录1.信息资源保密策略32.网络访问策略4第2页共36页3.访问控制策略54.物理访问策略65.供应商访问策略86.雇员访问策略107.设备及布缆安全策略118.变更管理安全策略149.病毒防范策略1610.可移动代码防范策略1711.信息备份安全策略1812.网络配置安全策略1913.信息交换策略2014.运输中物理介质安全策略2115.电子邮件策略2216.信息安全监控策略2317.特权访问管理策略2518.口令控制策略2619.清洁桌面和清屏策略2820.互联网使用策略2921.便携式计算机安全策略3122.事件管理策略3223.个人信息使用策略3324.业务信息系统使用策略3425.远程工作策略3526.安全开发策略36第3页共36页1信息资源保密策略发布部门信息安全小组生效时间2016年11月01日介绍保密策略是用于为信息资源用户建立限制和期望的机制。内部用户不期望信息资源保密。外部用户期望信息资源拥有完整的保密性，除了在发生可疑的破坏行为的情况下。目的该策略的目的是明确的沟通信息资源用户的信息服务保密期望。适用范围该策略适用于使用信息资源的所有人员。术语定义略信息资源保密策略在公司内部保存和控制的电子文件应该公开，并且可以被信息服务人员访问；为了管理系统并加强安全，信息技术部小组可以记录、评审，同时也可以使用其信息资源系统中存储和传递的任何信息。为了达到此目的，信息技术部小组还可以捕获任何用户活动，如拨号号码以及访问的网站；为了商业目的，第三方将信息委托给公司内部保管，那么信息技术部小组的所有工作人员都必须尽最大的努力保护这些信息的保密性和安全性。对这些第三方来说最重要的就是个人消费者，因此消费者的账户数据应该保密，并且对这些数据的访问也应该依据商业需求进行严格限制；用户必须向适当的管理者报告公司内部计算机安全的任何薄弱点，可能的误用事故或者相应授权协议的违背情况；在未经授权或获得明确同意的情况下，用户不可以尝试访问公司内部系统中包含的任何数据或程序。惩罚违背该策略可能导致：员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除；另外，这些人员还可能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉。引用标准略第4页共36页2网络访问策略发布部门信息安全小组生效时间2016年11月01日介绍网络基础设施是提供给所有信息资源用户的中心设施。重要的是这些基础设施（包括电缆以及相关的设备）要持续不断的发展以满足需求，然而也要求同时高速发展网络技术部以便将来提供功能更强大的用户服务。目的该策略的目的是建立网络基础设施的访问和使用规则。这些规则是保持信息完整性、可用性和保密性所必需的。适用范围该策略适用于访问任何信息资源的所有人。术语定义略网络访问策略用户不可以以任何方式扩散或再次传播网络服务。未经信息安全小组批准不可以安装路由器、交换机、集线器或者无线访问端口；在未经信息安全小组批准的情况下，用户不可以安装提供网络服务的硬件或软件；需要网络连接的计算机系统必须符合信息服务规范；用户不可以私自下载、安装或运行安全程序或应用程序，发现或揭露系统的安全薄弱点。例如，在以任何方式连接到互联网基础设施时，未经信息安全小组批准用户不可以运行口令破解程序、监听器、网络绘图工具、或端口扫描工具；不允许用户以任何方式更换网络硬件；在局域网上进行文件共享时必须指定访问权限，机密信息严禁使用everyone权限。任何员工在访问网络资源时必须使用专属于自己的帐号ID，不得使用他人的帐号访问网络资源。网络分为办公网络和生产环境网络，办公网络又分为日常办公网络和专门远程访问网络生产环境网络必须使用vpn由专人专机访问，必须要提前向上级领导申请报告不得从生产环境下载拷贝等操作只能从公司指定办公网络（公司专门的网络通道）访问远程的服务器修改远程服务器的内容必须要提前申请报告，且要有详细的操作步骤惩罚违背该策略可能导致：员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除；另外，这些人员还可能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉。引用标准略第5页共36页3.访问控制策略发布部门信息安全小组生效时间2016年11月01日介绍应根据业务和安全要求，控制对信息和信息系统的访问。目的该策略的目的是为了控制对信息和信息系统的访问。适用范围该策略适用于进行信息和信息系统访问的所有人员。术语定义略访问控制策略公司内部可公开的信息不作特别限定，允许所有用户访问；公司内部分公开信息，根据业务需求访问，访问人员提出申请，经访问授权管理部门认可，访问授权实施部门实施后用户方可访问；公司网络、信息系统根据业务需求访问，访问人员提出申请，经信息安全小组认可，实施后用户方可访问；信息安全小组安全管理员按规定周期对访问授权进行检查和评审；访问权限应及时撤销，如在申请访问时限结束时、员工聘用期限结束时、第三方服务协议中止时；用户不得访问或尝试访问未经授权的网络、系统、文件和服务；远程用户应该通过公司批准的连接方式；在防火墙内部连接内部网络的计算机不允许连接INTERNET，除非获得信息安全小组的批准；用户不得以任何方式私自安装路由器、交换机、代理服务器、无线网络访问点(包括软件和硬件)等；在信息网、外联网安装新的服务(包括软件和硬件)必须获得信息安全小组的批准；用户不得私自撤除或更换网络设备。惩罚违背该策略可能导致：员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除；另外，这些人员还可能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉。引用标准略第6页共36页4.物理访问策略发布部门信息安全小组生效时间2016年11月01日介绍技术部支持人员、安全管理员、IT管理员以及其他人员可能因工作需要访问信息资源物理设施。对信息资源设施物理访问的批准、控制以及监控对于全局的安全是极其重要的。目的该策略的目的是为信息资源设施物理访问的批准、控制、监控和删除建立规则。适用范围该策略适用于组织中负责信息资源安装和支持的所有人员，负责信息资源安全的人员以及数据的所有者。术语定义略物理访问策略所有物理安全系统必须符合相应的法规，但不仅限于建设法规以及消防法规；对所有受限制的信息资源设施的物理访问必须形成文件并进行控制；所有信息资源设施必须依据其功能的关键程度或重要程度进行物理保护；对信息资源设施的访问必须只授权给因职责需要访问设施的支持人员和合同方；授权使用卡和/或钥匙访问信息资源设施的过程中必须包括设施负责人的批准；拥有信息资源设施访问权的每一个人员都必须接受设施应急程序培训，并且必须签署相应的访问和不泄密协议；访问请求必须发自相应的数据/系统所有者；访问卡和/或钥匙不可以与他人共享或借给他人；访问卡和/或钥匙不需要时必须退还给信息资源设施负责人。在退还的过程中，卡不可以再分配给另一个人；访问卡和/或钥匙丢失或被盗必须向信息资源设施的负责人报告；卡和/或钥匙上除了退回的地址外不可以有标志性信息；所有允许来宾访问的信息资源设施都必须使用签字出/入记录来追踪来宾的访问；信息资源设施的持卡访问记录以及来宾记录必须保存，并依据被保护信息资源的关键程度定期评审；在持卡和/或钥匙的人员发生变化或离职时，信息资源设施的负责人必须删除其访问权限；在信息资源设施的持卡访问区，来宾必须由专人陪同；信息资源设施的负责人必须定期评审访问记录以及来宾记录，并要对异常访问进行调查；信息资源设施的负责人必须定期评审卡和/或钥匙访问权，并删除不再需要访问的第7页共36页人员的权限；对限制访问的房间和场所必须进行标记，但是描述其重要性的信息应尽可能少。惩罚违背该策略可能导致：员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除；另外，这些人员还可能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉。引用标准略第8页共36页5.供应商访问策略发布部门信息安全小组生效时间2016年11月01日介绍供应商在支持硬件和软件管理以及客户运作方面有重要作用。供应商可以远程对数据和审核日志进行评审、备份和修改，他们可以纠正软件和操作系统中的问题，可以监控并调整系统性能，可以监控硬件性能和错误，可以修改周遭系统，并重新设置警告极限。由供应商设置的限制和控制可以消除或降低收入、信誉损失或遭破坏的风险。目的该策略的目的是为减缓供应商访问组织资产带来的风险。适用范围该策略适用于所有需要访问组织的供应商。术语定义略第三方访问策略供应商必须遵守相应的策略、操作标准以及协议，包括但不仅限于：安全策略；保密策略；审核策略；信息资源使用策略。供应商协议和合同必须规定：供应商应该访问的信息；供应商怎样保护信息；合同结束时供应商所拥有的信息返回、毁灭或处置方法；供应商只能使用用于商业协议目的的信息和信息资源；在合同期间供应商所获得的任何信息都不能用于供应商自己的目的或泄漏给他人。应该向信息安全小组提供与供应商的合同要点。合同要点能确保供应商符合策略的要求；为供应商分配类型，如IT基础组件运维服务、系统维护服务、网络维护服务等；需定义不同类型供应商可以访问的信息类型，以及如何进行监视和工作访问的权限；供应商访问信息的人员范围仅限于工作需要的人员，授权需获得信息安全小组的批准；供应商权限人员不得将已授权的身份识别信息和相关设备透露、借用给其他人员，工作结束后应该立即注销访问权限及清空资料；针对与供应商人员交互的组织人员开展意识培训，培训内容涉及基于供应商类型第9页共36页和供应商访问组织系统及信息级别的参与规则和行为；如适合可与供应商就关系中的信息安全签署保密或交换协议；每一个供应商必须提供在为合同工作的所有员工清单。员工发生变更时必须在24小时之内更新并提供；每一个在组织场所内工作的供应商员工都必须佩带身份识别卡。当合同结束时，此卡应该归还；可以访问机密信息资源的每一个供应商员工都不能处理这些信息；供应商员工应该直接向恰当的人员直接报告所有安全事故；如果供应商参与安全事故管理，那么必须在合同中明确规定其职责；供应商必须遵守所有适用的更改控制过程和程序；定期进行的工作任务和时间必须在合同中规定。规定条件之外的工作必须由相应的管理者书面批准；必须对供应商访问进行唯一标识，并且对其进行的口令管理必须符合口令实施规范和特殊访问实施规范。供应商主要的工作活动必须形成日志并且在管理者需要的时候可以访问。日志的内容包括但不仅限于：人员变化、口令变化、项目进度重要事件、启动和结束时；当供应商员工离职时，供应商必须确保所有机密信息在24小时内被收回或销毁；在合同或邀请结束时，供应商应该将所有信息返回或销毁，并在24小时内提交一份返回或销毁的书面证明；在合同或邀请结束时，供应商必须立即交出所有身份识别卡、访问卡以及设备和供应品。由供应商保留的设备和/或供应品必须被管理者书面授权；要求供应商必须遵守所有规定和审核要求，包括对供应商工作的审核；在提供服务时，供应商使用的所有软件必须进行相应的清点并许可。惩罚违背该策略可能导致：员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除；另外，这些人员还可能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉。引用标准略第10页共36页6.雇员访问策略发布部门信息安全小组生效时间2016年11月01日介绍雇员工作在信息安全区域，工作中需要使用公司的各种信息处理设施，需要访问公司的各种信息资产，因此每一个雇员有义务和责任保护好公司信息资产的安全。目的本策略未访问本