信息安全管理规范
发布时间:2020-09-09 来源: 演讲稿 点击:
信息安全管理规范
企业
版本信息 目前版本:
最新更新日期:
最新更新作者:
作者:
创建日期:
审批人:
审批日期:
修订历史 版本号 更新日期 修订作者 关键修订摘要
Table of Contents(目录)
1. 企业信息安全要求 ....................................................... 错误!未定义书签。
1.1
信息安全方针 ...................................................................... 错误!未定义书签。
1.2
信息安全工作准则 ............................................................... 错误!未定义书签。
1.3
职责 ..................................................................................... 错误!未定义书签。
1.4
信息资产分类要求 ............................................................... 错误!未定义书签。
1.5
信息资产分级(保密等级)要求 .......................................... 错误!未定义书签。
1.6
现行保密等级和原有保密等级对照表 ................................... 错误!未定义书签。
1.7
信息标识和处理中角色和职责 ............................................. 错误!未定义书签。
1.8
信息资产标注管理要求 ........................................................ 错误!未定义书签。
1.9
许可信息交换方法 ............................................................... 错误!未定义书签。
1.10
信息资产处理和保护要求对应表 ...................................... 错误!未定义书签。
1.11
口令使用策略 ................................................................... 错误!未定义书签。
1.12
桌面、屏幕清空策略 ........................................................ 错误!未定义书签。
1.13
远程工作安全策略 ............................................................ 错误!未定义书签。
1.14
移动办公策略 ................................................................... 错误!未定义书签。
1.15
介质申请、使用、挂失、报废要求 ................................... 错误!未定义书签。
1.16
信息安全事件管理步骤 ..................................................... 错误!未定义书签。
1.17
电子邮件安全使用规范 ..................................................... 错误!未定义书签。
1.18
设备报废信息安全要求 ..................................................... 错误!未定义书签。
1.19
用户注册和权限管理策略 ................................................. 错误!未定义书签。
1.20
用户口令管理 ................................................................... 错误!未定义书签。
1.21
终端网络接入准则 ............................................................ 错误!未定义书签。
1.22
终端使用安全准则 ............................................................ 错误!未定义书签。
1.23
出口防火墙日常管理要求 ................................................. 错误!未定义书签。
1.24
局域网日常管理要求 ........................................................ 错误!未定义书签。
1.25
集线器、交换机、无线AP日常管理要求 .......................... 错误!未定义书签。
1.26
网络专线日常管理要求 ..................................................... 错误!未定义书签。
1.27
信息安全惩戒 ................................................................... 错误!未定义书签。
2. 信息安全知识 .............................................................. 错误!未定义书签。
2.1
什么是信息? ...................................................................... 错误!未定义书签。
2.2
什么是信息安全? ............................................................... 错误!未定义书签。
2.3
信息安全三要素 ................................................................... 错误!未定义书签。
2.4
什么是信息安全管理体系? ................................................. 错误!未定义书签。
2.5
建立信息安全管理体系目标 ................................................. 错误!未定义书签。
2.6
信息安全管理PDCA模式 ..................................................... 错误!未定义书签。
2.7
安全管理-风险评定过程..................................................... 错误!未定义书签。
2.8
信息安全管理体系标准(ISO27001 标准家族)
................. 错误!未定义书签。
2.9
信息安全控制目标和控制方法 ............................................. 错误!未定义书签。
1. 企业信息安全要求 1.1 信息安全方针 ? 拥有信息资产,积累、共享并保护信息资产是我们共同责任。
? 管理和技术并重,确保企业信息资产安全,保障企业连续正常运行。
? 推行对用户知识产权保护承诺,保障用户信息资产安全,满足并超越用户信息安全需求。
1.2 信息安全工作准则 ? 保护信息机密性、完整性和可用性,即确保信息仅供给那些取得授权人员使用、保护信息及信息处理方法正确性和完整性、确保取得授权人员能立即可靠地使用信息及信息系统; ? 企业经过建立有效信息安全管理体系和必需技术手段,保障信息资产安全,降低信息安全风险; ? 各级信息安全责任者负责所辖区域信息安全,经过建立相关制度及有效保护方法,确保企业信息安全方针得到可靠实施; ? 全体职员应只访问或使用取得授权信息系统及其它信息资产,应按要求选择和保护口令; ? 未经授权,任何人不得对企业信息资产进行复制、利用或用于其它目标; ? 应立即检测病毒,预防恶意软件攻击; ? 企业拥有为保护信息安全而使用监控手段权力,任何违反信息安全政策职员全部将受到对应处理; ? 经过建立有效和高效信息安全管理体系,定时评定信息安全风险,连续改善信息安全管理体系。
1.3 职责 全体职员应保护企业信息资产安全。每个职员必需认识到信息资产价值,负责保护好自己生成、管理或可触及包含数据和信息。职员必需遵守《信息标
识和处理程序》,了解信息保密等级。对于不能确定是否为涉密信息内容,必需取得相关管理部门确实定才可对外披露。职员必需遵守信息安全相关各项制度和要求,确保系统、网络、数据仅用于各项工作相关用途,不得滥用。
1.4 信息资产分类要求
企业信息资产分为电子数据、软件、硬件、实体信息、服务五大类。
类别 说明 电子数据 存在信息媒介上多种数据资料,包含源代码、数据库数据等多种电子化数据资料、项目文档、管理文档、运行管理规程、计划、汇报、用户手册、作业指导书等多种电子化数据资料。
软件 包含系统软件、应用软件、共享软件 系统软件:操作系统、语言包、工具软件、多种库等; 应用软件:外部购置应用软件,办公软件等; 共享软件:多种共享源代码、共享可实施程序等。
硬件 网络设备:路由器、网关、交换机等 计算机设备:大型机、服务器、工作站、台式计算机、移动计算机等 存放设备:磁带机、磁盘阵列、工控机等 移动存放设备:磁带、光盘、软盘、U盘、移动硬盘等 传输线路:光纤、双绞线等 基础保障设备:(UPS、变电设备等)、空调、保险柜、文件柜、门禁、消防设施等,如对基础设施使用属于租用形式,请将其识别到服务类别中。
安全保障设备:硬件防火墙、入侵检测系统、身份验证等 其它电子设备:打印机、复印机、扫描仪、传真机等
实体信息 纸制多种文件、协议、传真、会议纪要、财务报表、证书、电报、发展计划和各类其它材质证书奖牌等。
服务 经过多种协议方法固化下来服务活动、如物业、第三方、供给商、提供检修服务提供方等。
1.5 信息资产分级(保密等级)要求 信息资产分为:通常、内部公开、企业秘密、企业机密 4 个保密等级。
保密等级 名称 说明 1 通常 通常性信息,能够公开信息、信息处理设备和系统资源。
2 内部公开 非敏感但仅限企业内部使用信息、信息处理设备和系统资源。
3 企业秘密 敏感信息、信息处理设备和系统资源,只给必需知道者。
4 企业机密 敏感信息、信息处理设备和系统资源,仅适用极少数必需知道人。
1.6 现行保密等级和原有保密等级对照表 保密等级和企业原有保密等级对照表以下:
现行保密等级 和之相当原有保密等级 通常 通常
内部公开 秘密 企业秘密 机密 企业机密 绝密
1.7 信息标识和处理中角色和职责 角色 职责 责任人:信息资产创建者,或关键用户所在组织、单位或部门责任人。信息资产责任人对所属信息资产负直接责任。
? 了解和多种信息访问活动相关安全风险; ? 依据企业信息密级划分标准来确定所属信息资产等级; ? 依据企业相关策略确定并检验信息访问权限; ? 针对所属信息资产提出合适保护方法。
保管者:受信息资产责任人委托,对信息资产进行日常管理,维护已经建立保护方法。资产保管者通常是企业或部门IT管理者或代表(比如系统管理员)。
? 依据企业相关策略和信息资产责任人要求,负责信息资产维护操作和日常管理事务; ? 负责具体设置信息访问权限; ? 负责所管理信息资产安全控制; ? 布署合适安全机制,进行备份和恢复操作; ? 根据信息资产责任人要求实施其它控制。
用户:信息资产使用者,除了企业内部职员,也可能是因为业务需要而访问企业信息用户或第三方组织。
? 向信息责任人申请信息访问; ? 根据企业信息安全策略要求正当访问信息,严禁非授权访问; ? 向相关组织汇报隐患、故障或违规事件。
1.8 信息资产标注管理要求 (1)
企业所属各类信息资产,不管其存在形式是电子、纸质还是磁盘等,全部应在显著位置标注其保密等级。
(2)
通常电子或纸质文档应在该文档页眉右上角或页脚上标注其保密等级或在文件封面打上保密章,磁盘等介质应在其表面非数据区给予标注其保密等级。
(3)
假如某存放介质中包含各个等级信息,作为整体考虑,该存放介质保密等级标注应以最高为准。
(4)
假如没有显著保密等级标注,该信息资产以“通常”等级看待。
(5)
对于对外公开信息,需要得到相关责任人核准,并由对外信息公布部门统一处理。
(6)
如需在信息资产上表述保密申明,可采取以下两种表述方法:
表述方法一:“保密申明:企业资产,注意保密。” 表述方法二:“保密申明:本文档受国家相关法律和企业制度保护,不得私自复制或扩散。”
1.9 许可信息交换方法
企业许可信息交换方法有:邮件、视频、电话、网站内容公布、文件共享、传真、光盘、磁盘、磁带和纸张。
1.10 信息资产处理和保护要求对应表
企业机密 企业秘密 内部公开 通常 授权 需得到责任人和企业管理层同意 需得到相关责任人及部门领导同意 需得到责任人同意 无尤其要求 访问 只能被得到授权企业极少数关键人员访问 只能被企业内部或外部得到明确授权人员访问,访问者应该签署保密协议 能够被企业内部或外部因为业务需要人员访问 任何企业职员或外部人员全部能够访问 存放 电子类应该加密存放在安全计算机系统内;硬拷贝应该锁在安全保险柜内;严禁以其它形式存放或显示 电子类应该妥善保留在设有安全控制计算机系统内(提议进行信息加密);硬拷贝应该妥善保管,严禁摆放在桌面;使用白板展示后应立即擦除 电子类应该妥善保管,能够进行加密;纸质不应放在桌面 以合适方法保留,避免被非授权人员看到;存放有信息介质避免丢失 复制 得到相关责任人及企业管理层同意;需要登记 须经相关责任人同意,并让专员操作或监督实施,需要登记 经相关责任人同意 内部复制无限制 打印 严禁打印(或在授权情况下专员负责打印,不得打印到无人值守机)
须经相关责任人许可,打印件标注密级并妥善管理,不得打印到无人值守机 经相关责任人许可,打印件标注密级并妥善管理 无限制,打印件标注密级 邮件 严禁邮件直接发送,经授权后做电子署名和加密控须经相关责任人许可,邮件发送应做加密控制,保留统计 经相关责任人许可 无限制
制,经安全路径发送,保留统计 传真 严禁传真 须经相关责任人许可后专员负责传真 经相关责任人许可 无限制 快递 经授权后采取妥善保护方法,由专员快递 经授权后,由签署了特定安全协议专门快递企业快递 经授权后,由签署了特定安全协议专门快递企业快递 无限制 内部分发 经相关责任人和企业管理层同意后,密封分发,或以许可电子分发形式进行安全分发 经相关责任人同意后,密封分发,或以许可电子分发形式进行安全分发 经授权后,以内部邮件形式发放,或直接进行硬拷贝分发 无限制 对外分发 经相关责任人和企业管理层同意后分发,需要签署特定保密协议,需要进行登记 经相关责任人同意后分发,需签署保密协议,需要进行登记 经授权后,以邮件或快递方法分发,提议签署保密协议 经授权后,以许可分发方法分发 处理 碎纸机;根本销毁介质;电子统计定时消除;进行检验确定 碎纸机;根本销毁介质;电子统计定时消除;进行检验确定 保留件标明作废;电子统计定时消除;介质销毁 电子统计定时消除,介质销毁 统计跟踪 直接责任人应有收件人、复制者、保留者、浏览者、销毁者日志统计 跟踪文件复制、保留、浏览、销毁过程,应有统计 无要求 不提议跟踪
1.11 口令使用策略
全体职员在挑选和使用口令时,应:
(1)
确保口令机密。
(2)
除非能安全保留,避免将口令统计在纸上。
(3)
只要有迹象表明系统或口令可能遭到破坏,应立即更改口令。
(4)
选择高质量口令,最少要有 6 个字符,另外:
A. 口令应由字母加数字组成; B. 口令不应采取如姓名、电话号码、生日等轻易猜出或破解信息。
(5)
每三个月更改或依据访问次数更改口令(尤其是特权用户),避免再次使用或循环使用旧口令。
(6)
首次登录时,应立即更改临时口令。
(7)
不得共享个人用户口令。
1.12 桌面、屏幕清空策略
为了降低在正常工作时间以外对信息进行未经授权访问所带来风险、损失和损害,职员应:
(1)
在闲置或工作时间之外将纸张或计算机存放介质储存在适宜柜子或其它形式安全设备中。
(2)
当办公室无人时将关键业务信息放置到安全地点(比如防火保险箱或柜子中)。
(3)
在无人使用时,将个人计算机、计算机终端和打印机、复印机设为锁定状态。
(4)
为个人计算机、计算机终端设定密码,同时设定屏保时间(<=15 分钟)。
(5)
在打印保密等级为企业机密、企业秘密信息后,应立即从打印机中清除相关痕迹,并有效保护打印出来信息内容。
1.13 远程工作安全策略 必需保护好远程工作场所预防偷窃设备和信息、未经授权公开信息、对企业内部系统进行远程非法访问或滥用设备等行为。职员应:
(1)
保障物理安全。
(2)
对家人和客人使用设备进行限制。假如必需要使用,应在旁边进行监督和控制,确保关键业务信息安全。
(3)
远程工作活动结束时,权限和设备立即收回。
(4)
网络远程登录终端拨号密码即 VPN 帐号仅限本人使用,不许可她人使用。
(5)
进入企业或用户信息系统工作完成后,必需立即退出系统。
1.14 移动办公策略 使用移动办公设备(如笔记本电脑)时,职员尤其应该注意确保业务信息不受损坏、非法访问或泄密:
(1)
移动办公设备需要带出企业工作场所时,应进行登记。
(2)
在公共场所使用移动办公设备时,必需注意防范被未经授权人员窥视。
(3)
应实时更新用于防范恶意软件程序。
(4)
应对信息进行方便快捷备份。
(5)
备份信息应该给予合适保护以防信息被盗或丢失。
(6)
使用移动办公设备经过公共网对企业商务信息进行远程访问时必需进行身份识别和 VPN 访问控制。
(7)
预防移动办公设备被盗。
(8)
预防保密等级为企业秘密级以上信息所在移动办公设备无人看管。
1.15 介质申请、使用、挂失、报废要求
(1)
介质申请:
序号 责任者 任务 相关文件或统计
1 资产管理员 根据企业固定资产或消耗资材申领方法向企业申领介质。
《 固定资产管理制度》 《 计算机维护消耗资材管理措施》 2 资产管理员 从企业领取介质并登记到《 介质记录表》中。
《 介质记录表》 3 资产管理员 如经过设备管理,需经过usb使用移动存放介质在中注册。
参见使用说明 4 资产管理员 在《 介质记录表》中登记发放时间,使用人等信息后发放介质。
《 介质记录表》
(2)
介质使用:
A. 如安装了设备,全部工作中使用 USB 存放介质全部应在中进行注册。
B. 假如确定介质中内容不再需要,应立即将其以可靠方法清除。
C. 假如数据需要保留,则使用人应该保留在有良好安全方法个人计算机和服务器上,而不应该放在计算机活动介质中。
D. 全部备份介质全部应存放在安全可靠地方,并符合生产厂家说明书安全要求。
(3)
介质挂失:
序号 责任者 任务 相关文件或统计 1 使用者 使用人立即向资产管理员申报挂失
2 资产管理员 假如是经过usb使用移动存放介质被挂失且在上注册过,则应在上进行注销。
3 资产管理员 在介质记录表中登记挂失 《介质记录表》
(4)
介质报废:
序号 责任者 任务 相关文件或统计 1 使用者 1)、书面文件用碎纸机粉碎 2)、其它介质报废,使用人向资产管理员申请介质报废。
2 资产管理员 假如是经过usb使用移动存放介质且在上注册过,则应在上进行注销。
3 资产管理员 根据企业固定资产和消耗资材报废步骤实施。
《 固定资产管理制度》 《 计算机维护消耗资材管理措施》 4 资产管理员 在介质清单中登记已报废 《 1 介质记录表》
1.16 信息安全事件管理步骤 (1)
发觉 A. 企业全体职员全部有责任和义务将已发觉或可疑事件、故障和微弱点立即汇报给相关部门或人员。
B. 任何企图阻拦、干扰、报复事件汇报者行为全部被视为违反企业策略。
(2)
汇报 A. 对于部门范围内信息安全事件,当事人可直接向部门责任人汇报,并根据本部门规范进行处理。事件处理者需填写附录中《 信息安全事件汇报处理统计单》,每个月将相关统计上交过程管理部。
B. 除部门内能够自行处理信息安全事件外,其它信息安全事件必需统
一上报给客服统计 。
(3)
响应 A. 客服对信息安全事件做出最初响应,将技术方面信息安全事件交给系统服务部组织处理,将管理方面信息安全事件交给过程管理部组织相关部门进行处理。
B. 需要做深入调查信息安全事件,当其影响范围包含整个企业或影响程度严重妨碍了企业正常运行时,汇报给信息安全管理委员会。
C. 事件响应及处理者在处理安全事件时应考虑以下优先次序:
? 保护人员生命和安全 ? 保护敏感设备和资料 ? 保护关键数据资源 ? 预防系统被损坏 ? 将企业遭受损失降至最小 D. 假如发生违法事件,事件相关包含部门要采集并保留有效证据,上交过程管理部汇报给企业最高管理者决议,由法务部向外部法律机构汇报。必需时,法务部能够寻求外部教授支持。
(4)
评价/调查 安全事件或故障发生以后,事件处理者要对事件或故障类型、严重程度、发生原因、性质、产生损失、责任人进行调查确定,形成事件或故障评价资料。
(5)
惩戒 A. 要依据事件严重程度、造成损失、产生原因对违规者进行教育或处罚。
B. 惩戒手段可包含通报批评、行政警告、经济处罚、调离岗位、依据协议给解聘,对于触犯刑律者可交司法机关处理。
C. 具体处罚标准参见《信息安全管理职责程序》。
(6)
公告 A. 事件调查结果要反馈给当事部门领导。
B. 当事部门可组织相关人员进行学习和培训。
1.17 电子邮件安全使用规范 (1)
企业电子邮件系统严禁用于创建和分发任何含有破坏性、歧视性信息,包含对种族、性别、残疾人、年纪、职业、性取向、宗教信仰、政治信念、国籍等方面攻击性语言。企业职员假如接收到任何含有这类信息邮件,应立即向主管领导进行汇报。
(2)
严禁使用企业帐号发送连锁信。严禁使用企业电子邮件帐号发送病毒或恶意代码警告邮件。这些规则也适适用于当企业职员接收到这类电子邮件并进行转发情况。
(3)
使用邮件软件用户端要立即升级,降低因为软件漏洞而受到外部攻击,避免所以而造成邮件丢失和系统中毒。
(4)
邮件必需有标题,尽可能以文本方法浏览邮件。
(5)
陌生人邮件附件尽可能不要打开,严禁撰写、发送、转发多种垃圾邮件,严禁在未经授权情况下利用她人计算机系统发送互联网电子邮件。
(6)
严禁使用工作邮箱从事任何非法活动及其和工作无关邮件。
(7)
为了确保邮件安全严禁使用自动转发功效。
(8)
企业业务信息邮件必需使用企业要求业务专用邮箱发送,除了业务相关邮件严禁使用业务邮箱发送其它邮件。
(9)
邮件必需专题明确,能够经过邮件专题判定业务类别。
(10)
做好邮件病毒防护工作。发送邮件应该注意邮件保密,避免泄漏企业机密。
(11)
全部职员全部要严格遵守《电子邮件安全使用规范》相关要求,职员之间应相互监督,立即阻止违反要求人员,对于使用企业邮箱传输反动言论、从事任何和法律或企业制度相违活感人员将禁用或注销其邮箱,并依据情节严重给对应处罚或提交司法机关处理。
1.18 设备报废信息安全要求 报废设备上交前,使用者自己负责将设备介质中信息进行备份,机电一体化产品事业部负责将设备介质中全部信息清除掉,以防信息泄漏。
1.19 用户注册和权限管理策略
对任何多用户使用信息系统和服务设施进行访问,应:
(1)
使用唯一用户名,方便将用户和其操作联络起来,使用户对其操作负责。只有因工作需要才许可使用组用户名。
(2)
添加新用户或用户权限变更时应有书面申请并经过审批。
(3)
系统管理员对新注册用户进行授权。
(4)
应统计全部注册用户。
(5)
用户因工作变更或离开组织时,应立即取消其访问权限。
(6)
系统权限管理责任人应定时组织检验并删除多出用户名和账户,并对用户访问权限进行定时评审或在变动后进行评审。
(7)
系统权限管理责任人需要严格控制特权分配和使用,要对特权分配和使用情况进行评审,确保没有非法授予用户特权,以确保对数据和信息服务访问进行了有效控制。
1.20 用户口令管理 在进行信息系统口令管理,应:
(1)
用户需要自己维护口令,系统仅在开始时提供一个安全临时口令,用户需要立即更改临时口令。用户忘记口令时,必需在对该用户进行合适身份核实后才能向其提供临时口令。
(2)
在向用户提供临时口令时必需确保其安全,避免使用第三方或无保护(明文)电子邮件,用户应对收到口令给予确定。
(3)
不许可在计算机系统上以无保护形式存放口令。
(4)
确保个人口令安全,确保工作组口令仅在本组组员间共享。
1.21 终端网络接入准则 企业网络覆盖范围内使用每台计算机,职员均应安装企业要求防毒软件 ,不得私自使用其它防毒软件。
1.22 终端使用安全准则 (1)
每台计算机应开启实时监控功效,定时进行计算机病毒检测,并立即对
防毒软件或病毒特征库进行升级更新。
(2)
每台计算机应定时连接企业网络并从病毒服务器取得防病毒软件最新定义码及扫描引擎。
(3)
为预防计算机使用人员私自卸载用户端及信息安全用户端,卸载密码和工具由系统服务事业部统一管理。
(4)
企业不定时组织相关部门对用户端及信息安全用户端安装情况进行抽查。抽查情况将通报各相关部门并列入年度绩效考评。
(5)
计算机使用人员在安装、使用用户端及信息安全用户端中碰到技术问题,可经过拨打用户服务热线寻求技术支持。
(6)
为预防恶意代码侵扰,每台计算机必需按《访问控制管理程序》第 5.2.1节要求设置管理员口令;网络共享文件必需设置密码和只读权限。
(7)
任何部门和个人不得制作、复制、传输计算机病毒,任何部门和个人负有清除或防治计算机病毒义务。
(8)
不使用来路不明或含有盗版软件软盘和光盘,不随意安装实施从网络上下载多种程序。当需要从计算机信息网络上下载程序、数据或购置、维修、借入计算机设备时,应该进行计算机病毒检测。
(9)
使用电子邮件,对来路不明邮件(尤其是含有附件邮件),收到后不要打开,直接删除并清空废件箱。
1.23 出口防火墙日常管理要求 (1)
为企业出口防火墙设置只读权限,便于监视进出本企业全部访问。
(2)
对防火墙接口 IP 地址、用户名、口令及配置文件信息进行严格管理。
(3)
除授权人员外,严禁任何人员物理接触防火墙;对防火墙远程管理仅限于指定 IP 地址、指定管理方法、指定用户、指定用户管理权限。
(4)
严禁连接企业网络任何单位和人员以任何形式对防火墙进行攻击。
(5)
集中搜集、存放防火墙报警日志,定时检验防火墙安全统计,优化防火墙访问规则,杜绝安全漏洞。
(6)
定时使用安全评定系统检验防火墙各项服务是否有漏洞。
(7)
部门如有企业出口防火墙变更需求,必需经过企业审批,立案在册,由系统服务部统一操作。
1.24 局域网日常管理要求 各部门不得将私自构建局域网接入企业网络。如需接入必需经过企业审批,立案在册,由系统服务部统一操作。
职员在办公区域只能经过企业内网联入互联网。
1.25 集线器、交换机、无线AP日常管理要求 (1)
各部门不得私自使用网络访问设备。
(2)
严禁使用路由器及无线路由设备。
(3)
如需使用集线器、交换机、无线 AP,必需经过企业审批,立案在册。
(4)
无线AP必需设置符合安全要求密码(具体要求参见管理文件《访问控制管理程序》中 5.2.1 要求),只有被授权人员方可使 用无线网络。
(5)
企业定时检验集线器、交换机、无线 AP 登记和使用情况。
1.26 网络专线日常管理要求 (1)
各部门不得私自搭建网络专线。如需使用网络专线必需经过企业审批,立案在册。
(2)
企业定时检验网络专线登记和使用情况。
1.27 信息安全惩戒 (1)
全体职员(含临时职员、派遣职员、实习职员、常驻外包职员)均应遵守全部和信息安全相关管理要求,不许可任何部门或人员有损害企业信息安全行为。
(2)
对违反信息安全管理要求,并造成严重后果部门或职员,由企业信息安全管理委员会授权实施惩戒。
(3)
惩戒手段包含通告、行政警告、经济处罚、调离岗位、依据协议给予解聘,对于触犯刑律者移交司法机关处理。
(4)
对于协议承包商和外部用户,假如违反了信息安全管理要求,企业信息安全委员会有权提议企业中止和她们协议和协议。
2. 信息安全知识 2.1 什么是信息? 是来自任何起源知识。
在ISO 27001 标准里:
? 信息是一个资产,就象其它关键企业资产一样, ? 信息资产对组织含有价值,所以需要受到妥善保护。
? 信息是有生命周期。
安全保护应兼顾到从其创建或诞生,到被使用或操作,到存放,再到被传输,直至其生命期结束而被销毁或丢弃。
2.2 什么是信息安全? 信息安全目标是,保护信息不受多种威胁,以确保业务连续,将企业损失降至最低,将投资收益和商业机会最大化。
信息安全任务是,要采取方法(技术手段及有效管理)让这些信息资产免遭威胁,或将威胁带来后果降到最低程度,以此维护组织正常运作。
2.3 信息安全三要素 ? 机密性 ? 完整性 ? 可用性 注:
1)、机密性:信息不可用或不被泄漏给未授权个人、实体或过程特征,确保只有取得授权使用者才能使用信息。
2)、完整性:保护资产正确和完整特征,确保信息在存放、使用、传输过程中不会被未授权用户篡改,同时还要预防授权用户对系统及信息进行不合适篡改,保持信息内、外部表示一致性。
3)、可用性:需要时,授权实体能够访问和使用特征,确保授权用户或实体对信息及资源正常使用不会被异常拒绝,许可其可靠而立即地访问信息及资源。
2.4 什么是信息安全管理体系? 信息安全管理体系是协调活动以指挥和控制:
? 一组被分配职责和权限及关系人和设备; ? 保护信息机密性、完整性和可用性; ? 另外,其它特征,如可判别性、可归责性、不可抵赖性和可靠性也能够考虑。
2.5 建立信息安全管理体系目标 ? 增强多种类型组织机构内部管理信心。
? 为多种类型组织机构开发、实施、衡量安全管理实践有效性提供了一个基础、依据。
? 为投资活动提供保障,预防多种安全事故发生。
2.6 信息安全管理PDCA模式
2.7 安全管理-风险评定过程
方针和步骤 管理和审核 数据隐私和完整性 性 授权 身份识别和判定 开启方案开启方案 实施标准,要干什么 你是谁,怎样证实 谁有权使用、查看、编辑 创建、删除、复制数据 谁发送、谁能够阅读 谁何时干了什么
2.8 信息安全管理体系标准(ISO27001 标准家族)
? ISO/IEC 27000—基础和术语。
? ISO/IEC 27001—信息安全管理体系要求,
已于 10 月 15 日正式公布(ISO/IEC 27001: )。
? ISO/IEC 27002—信息安全管理体系最好实践 由ISO/IEC 17799: 转换而来。
? ISO/IEC 27003—信息安全管理体系实施指南,正在开发。
? ISO/IEC 27004—信息安全管理度量和改善,正在开发。
? ISO/IEC 27005—信息安全风险管理指南
以 推出BS7799-3(基于ISO/IEC 13335-2)为蓝本。
Asset Identification
and Valuation
资产判别和评价 Identification of vulnerabilities 脆弱性判别 Identification of Threats 威胁判别 Evaluation of Impacts 冲击评定 Review of Existing Security Controls 现有安全控制方法审查 Identification of new Security Controls 新安全控制方法判别 Policy and Procedures 政策和程序 Implementation and Risk Reduction 实施和风险降低 Risk Acceptance (Residual Risk) 风险可接收度( 残余风险) Risk Assessment 风险评定 Business Risk 营运风险 Risk Management
Rating/ranking of Risks 风险分级
2.9 信息安全控制目标和控制方法
安全方针 信息安全组织 资产管理 人力资源 安全管理 物理和 环境安全 通讯及 操作安全 信息系统 获取、开发 和维护 访问控制 信息安全事故管理 业务连续性管理 符合性
热点文章阅读