1、交运集团青岛温馨巴士有限公司信息安全管理体系(ISMS)及管理规定第一部分 信息安全管理体系(ISMS)1 ISMS产生的背景、特点和发展趋势1.1 ISMS标准产生的背景目前,我们虽处于和平年代,但全球经济一体化给世界各国带来的经济与挑战不可小觑。来自敌对国家、恐怖分子、内部人员、经济竞争者、黑客等方面的威胁,信息安全已上升为国家战略。它事关国家政治稳定、军事安全、社会安定、经济有序运行的全局性问题。只有在人员、服务、硬件、软件、数据与文件以及知识产权与专利这五大方面采取切实可行的控制措施,才能有效避免、控制、预防信息安全事件发声,切实把信息安全风险控制在可以接受的水平。1.2 ISMS标准
2、的由来1993年BS7799标准由英国贸易工业部立项BS7799-1:1999信息安全管理实施细则BS7799-2:2002信息安全管理实施规范ISO/IEC 27001:2005信息安全 安全技术 信息安全管理GB/T 22080-2008/ISO/IEC 27001:2005信息技术 安全技术 信息安全管理体系 要求1.3 ISMS标准的主要特点与质量、环境、能源、职业健康安全等管理体系高度兼容,即管理理念、管理模式、管理的预期结果基本一致。“向管理要效益”是该标准的精华。即并不需要组织投入大量的资源就能在信息安全事件的防范上起到“立竿见影”的效果。可借助质量管理的八项原则,PDCA,持续
3、改进。有133种控制目标和控制措施(ISMS标准的附录A)供组织选用。组织可因地制宜,在现有管理体系基础上,有机嵌入ISMS,以达到事半功倍的效果。1.4 ISMS标准的发展趋势ISMS标准既适用于新兴产业,又适用于传统产业;既适用于服务业,又适用于制造业。总之,只要有信息资产的组织,均可按GB/T22080-2008/ISO/IEC 27001:2005信息技术安全技术信息安全管理体系要求建立与保持ISMS。2 信息安全管理体系建立的意义和作用2.1 强化员工的信息安全意识,规范组织信息安全行为。2.2 确保组织的关键信息资产始终处于全面系统的受控保护状态,以保持组织的竞争优势。2.3 在信
4、息系统受到侵袭时,确保业务持续开展,并将损失降到最低程度。2.4 有效规避法律风险,确保组织切实履行社会责任。2.5 如果通过ISMS认证,表明该管理体系运行有效,证明组织有能力保证信息安全,提高组织的知名度与信任度。3 GB/T 22080-2008/ISO/IEC 27001:2005标准3.1 术语与定义3.1.1 资产对组织有价值的任何东西。信息对一个组织而言具有重要的价值,信息时可以通过多种媒体传递和存在。3.1.2 保密性信息不能被未被授权的个人、实体或者过程利用或知悉的特性。3.1.3 可用性根据授权实体的要求可访问和利用的特性。3.1.4 完整性保护资产的正确和完整的特性。保密
5、性、可用性和完整性是信息保护的核心,这三者缺一不可。3.1.5 信息安全保持信息的保密性、完整性、可用性;另外也可包括例如真实性、可核查行、不可否认性和可靠性等。3.1.6 信息安全事态系统、服务或网络的一种可识别的状态的发生。它可能对信息安全策略的违反或保护措施的失效,或是和安全关联的一个先前未知的状态。3.1.7 信息安全事件一个信息安全事件由单个的或一系列的有害或意外信息安全事态组成。它们具有损害业务运作和威胁信息安全的极大可能性。3.1.8 信息安全管理体系(ISMS)基本业务风险方法,建立、实施、运行、监视、评审、保持和改进信息安全的体系,是一个组织整个管理体系的一部分。管理体系也包
6、括组织结构、方针策略、规划活动、职责、实践、规程和资源。3.1.9 残余风险经过风险处置后遗留的风险。3.1.10 风险接受接受风险的决定。3.1.11 风险分析系统地使用信息来识别风险来源和估计风险。3.1.12 风险评估风险分析和风险评价的整个过程。3.1.13 风险评价将估计的风险与给定的风险准则加以比较,以确定风险严重性的过程。3.1.14 风险管理指导和控制一个组织相关风险的协调活动。3.1.15 风险处置选择并且执行措施来更改风险的过程。在ISMS标准中,术语“控制措施”被用作“措施”的同义词。3.1.16 适用性声明(SOA)描述与组织的信息安全管理体系相关的和适用的控制目标和控
7、制措施的文件。控制目标和控制措施是基于风险评估和风险处置过程的结果和结论、法律法规的要求、合同义务以及组织对于信息安全的业务要求。3.2 适用性声明(SOA)简介信息安全涉及的主要方面提供组织拟考虑控制目标和措施1.安全方针2个2.信息安全组织11个3.资产管理5个4.人力资源安全9个5.物理和环境安全13个6.通信和操作管理32个7.访问控制25个8.信息系统获取、开发和维护6个9.信息安全事件管理5个10.业务连续性管理5个11.符合性10个共计133个 3.3 组织需加强管理的信息资产3.3.1 硬件服务器、周边设备、PC计算机、访问控制终端、Hub、程控交换机、调制解调器、电话交换系统
8、、UPS、传真机、复印机、电话机/移动电话、移动介质(包括U盘、硬盘、磁盘、光盘、录音机、录像设备)。3.3.2 软件通用软件(正版/盗版(备份)应用软件(源代码保管)3.3.3 数据与文件(纸质/电子)组织中长期发展战略董事会会议纪要员工(骨干人员)数据库薪资(骨干人员)数据库公共关系数据库订单数据库投标书产品(工程)技术图纸供货商数据产品内控标准工艺技术文件客户数据库产品营销策略书产品生产计划书产品质量/成本文件销售发票/汇票/现金3.3.4 人员3.3.4.1 组织的高管3.3.4.2 有机会解除关键信息资产人员董事会秘书以及在领导身边的工作人员,如小车班司机,重要部门中层干部与技术、业
9、务人员、IT网管。3.3.4.3 外包服务人员保安、保洁、绿化、维修等人员以及方可(特别是竞争对手)3.3.4.4 外来实习人员3.3.5 知识产权与专利包括著作权(版权)和工业产权具体指组织的实用、新型产品发明与计算机软件开发和(或)应用以及组织自身商标实用这两大部分。3.4 标准要求简介3.4.1 ISMS标准发布与实施GB/T 22080-2008/ISO/IEC 27001:2005信息技术 安全技术 信息安全管理体系 要求于2008年6月19日由中华人民共和国国家质量监督检验检疫总局和中国国家标准化管理委员会发布,并于2008年11月1日实施。3.4.2 ISMS标准的适用范围ISM
10、S标准适用于所有类型的组织,包括商业企业、政府机构、非营利组织。3.4.3 ISMS标准的目次前言引言1范围2规范性引用文件3术语和定义4信息安全管理体系(ISMS)5管理职责6ISMS内部审核7ISMS的管理评审8ISMS改进附录A(规范性附录)控制目标和控制措施附录B(资料性附录)OECD原则和本标准附录C(资料性附录)GB/T1901-2000,GB/T2401-2004和本标准之间的对照参考文献3.4.4 应用于ISMS过程的PDCA模型输出输入质量管理体系持续改进管理职责产品实现资源管理测量、分析和改进产品顾客(和其他相关方)满意顾客(和其他相关方)要求3.4.5 PDCA方法论规划
11、(P)建立与管理风险和改进信息安全有关的ISMS方针、目标、过程和规程,以提供与组织总方针和总目标相一致的结果。实施(D)实施和运行ISMS方针、控制措施、过程和规程。检查(C)对照ISMS方针、目标和实践经验,评估并在适当时测量过程的执行情况,并将结果报告管理者以供评审。处置(A)基于ISMS内部审核和管理评审的结果或者其他相关信息,采取纠正和预防措施,以持续改进ISMS。3.4.6 ISMS标准要求简介a) 识别资产b) 识别威胁、脆弱性c) 风险评估d) 风险管理(控制与检查)e) 持续改进3.4.7 何谓威胁?何谓脆弱点(薄弱点)?威胁可能对资产或组织造成损害的事件的潜在原因。脆弱点(
12、薄弱点)资产或资产组中能被威胁利用的弱点。3.4.8 风险评估应关注的问题资产威胁脆弱点(薄弱点)人员硬件软件数据与文件知识产权与专利等未经授权的访问和应用恶意软件(有意或无意)软件故障信息发送路径重定向(第三方恶意进行)信息未经授权修改火灾盗窃非预期结果(误操作或故意所为)等物理保护措施的缺乏或不适当密码的错误选择和应用与外部网络的连接未被保护文件储存未被保护缺乏安全培训等3.4.9 制定控制目标,采取控制措施,防止信息安全事件的发生物理环境的安全性(物理层安全)如:门禁系统遭到破坏,非授权人员盗取组织核心机密信息。操作系统的安全性(系统层安全)如:病毒、黑客入侵,未安装正版防病毒软件或采取
13、其他有效措施,造成计算机、系统效率降低、死机、瘫痪等。3.4.10 风险评估程序按照组织业务运作流程进行资产识别,并根据评估原则对资产进行评价,建立风险测量的方法及风险等级评价原则,确定风险的大小和等级。3.4.11 主要的风险控制目标和控制措施3.4.11.1 物理环境的安全措施3.4.11.1.1 设置安全区域物理安全边界(门禁系统、人工接待台);物理进入控制、确保只有授权人员才可进入;办公室、房间和设施的安全;具有针对火灾、水灾、地震、爆炸、暴乱和其他形式的自燃或认为灾难的物理保护措施;设有安全工作指南;设置公共访问和装卸区域。3.4.11.1.2 设备安全对设备进行选址安置或保护;设有
14、UPS保护免受电力中断影响;保护电缆免受破坏;存储介质销毁或数据重写设备。3.4.11.1.3 操作系统、网络、应用的安全措施编制并保护文件化的操作程序;控制信息处理设施及系统的变更;设置职责分离;应分离开发、测试和运营设施,以降低不授权访问或对操作系统变更的风险。3.4.11.1.4 第三方服务交付管理目标:实施和保持符合第三方服务交付协议的信息安全和服务交付的适当水准。措施:策划管理要求,并监督、评审在第三方服务中的履约状况,定期评价与及时变更管理。3.4.11.1.5 网络安全管理目标:确保网络中信息的安全性并保护支持性的基础设施。措施:网络控制应充分管理和控制网络,以防止威胁的发生,维
15、护使用网络的系统和应用程序的安全,包括传输中的信息。网络服务安全应把信息安全性、服务级别以及所有网络服务的管理要求予以确定并包括在所有网络服务协议中,无论这些服务是有内部提供的还是外包的。3.4.11.1.6 介质处置控制目标:防止资产遭受未授权泄露、修改、移动或销毁以及业务活动的中断。控制措施:可移动介质的管理,应有适当的可移动介质的管理规程。介质的处置,不再需要的介质,应使用正式的规程可靠并安全地处置。信息处理规程,应建立信息的处理及存储规程,以防止信息的未授权的泄露或不当使用。系统文件安全,应保护系统文件以防止未授权的访问。4 信息安全管理体系认证步骤决策准备宣贯培训制定计划确定信息安全
16、方针和范围现状调查与风险评估明确信息安全结构及职责确定风险处理计划、准备控制概要制定业务可持续发展计划体系文件编写体系运行内部审核外部审核初访外部正式审核颁发证书体系持续运行老师总结,注意问题:向质量管理体系、方向、发展在资产、威胁、脆弱性、评估、识别中下功夫ISMS嵌入到管理体系中去建立实施、运行改进,与其它体系一脉相承第二部分 信息安全管理规定1 信息安全管理的组织、人员和制度1.1 组织管理信息安全管理组织主要包括:综合信息处、企业发展处、营销宣传中心、人力资源处、市场开发处、计划财务处、安全技术处和稽查管理处,信息安全问题由单位内部的各处控制和管理。组织根据自身业务特点和具体情况所制定
17、的信息安全管理办法和规范,必须符合国家信息安全相关法律、法规的规定。从单位自身微观的层次上体现了信息安全管理与国家的宏观的信息安全管理的一致和配合。1.2 人员管理1.2.1 管理目标人员的素质是提高信息安全性致关重要的因素。信息安全的人员管理中,人员因素是信息安全管理环节中最重要的一环,全面提高人员的技术水平、道德品质、政治觉悟和安全意识是信息安全的重要保障。人员的安全审查应该从安全意识、法律意识、安全技能等几方面进行,应试具有政治可靠、思想进步、作风正派、技术合格等基本素质,关键岗位人员的审查标准。1.2.2 管理措施1.2.2.1 离岗离职人员的管理第一条 工作人员离职之后仍对其在任职期
18、间接触、知悉的属于本单位或者虽属于第三方但本单位承诺或负有保密义务的秘密信息,承担如同任职期间一样的保密义务和不擅自使用的义务,直至该秘密信息成为公开信息,而无论离职人员因何种原因离职。第二条 离职人员因职务上的需要所持有或保管的一切记录着本单位秘密信息的文件、资料、图表、笔记、报告、信件、传真、磁带、磁盘、仪器以及其它任何形式的载体,均归本单位所有,而无论这些秘密信息有无商业上的价值。第三条 离职人员应当于离职时,或者于本单位提出请求时,返还全部属于本单位的财务,包括记载着本单位秘密信息的一切载体。若记录着秘密信息的载体是由离职人员自备的,则视为离职人员已同意将这些载体物的所有权转让给本单位
19、,本单位应该在离职人员返还这些载体时,给予离职人员相当于载体本身价值的经济补偿;但秘密信息可以从载体上消除或复制出来时,可以由本单位将秘密信息复制到本单位享有所有权的其他载体上,并把原载体上的秘密信息消除,此种情况下的离职人员无需将载体返还,本单位也无须给予离职人员经济补偿。第四条 离职人员离职时,应将工作时使用的电脑、U盘及其他一切存储设备中关于工作相关或与本单位有利益关系的信息、文件等内容交接给本单位相关人员,不得在离职后以任何形式带走相关信息。第五条 员工离职(包括岗位变动、解除劳动关系等)相关规定中应包括信息安全审查的相关内容,审查应包括以下方面:当员工发生岗位变动时,应按有关规定办理
20、离职手续。离职员工原岗位使用的各类信息系统用户是否已完成交接或被关闭。离职员工是否签署保密协议,若已签署保密协议应检查保密协议中的相关内容,向其重申权益及其应承担的保密义务。离职员工保管的工作资料、信息资产是否已经交回。离职员工使用的各类计算机及其他设备是否已全部交回。信息科技员工及关键岗位员工,应立即取消其原岗位的系统权限,及时更改相应系统的相关用户密码,确保密码、设备、资料及相关敏感信息等的移交。1.2.2.2 在岗在职人员的管理第一条 禁止利用计算机资源制造、传播违反国家法律法规的信息。第二条 掌握所在岗位需要的计算机信息安全知识;妥善保管计算机系统中的重要文件和数据;妥善保管身份认证凭
21、据(如用户账号、密码、数字证书等)。第三条 严禁自行更改所使用计算机系统的硬件配置;严禁在计算机设备上安装、使用非工作需要的软件或非授权的数据介质(如软盘、光盘、U盘和移动硬盘灯)。第四条 所有员工有义务和责任爱护并正确使用计算机;计算机必须安装防病毒软件,及时更新补丁,并定期检查更新情况;未经审批,计算机不得与外单位网络连接;禁止在非授权的情况下将计算机同时接入互联网和内部网络。第五条 离开工作座位时,必须将办公电脑启动屏幕保护程序或保持注销状态,并采用口令进行保护;非必要时,不能将计算机设备提供给他人使用(特别是非本单位人员);未经设备保管员同意,不能擅自使用他人计算机设备,禁止与他人的设
22、备互换使用。第六条 发现可以与计算机安全相关的事件时,有责任和义务及时报告;有责任和义务自觉接受信息中心部门在信息安全防范方面的管理、监督和检查。第七条 有义务参加信息安全教育和培训。1.2.2.3 员工招聘管理第一条 员工招聘过程中,与新员工签订的劳动合同或其他协议中应明确员工的信息安全责任,并应包括与信息安全相关的保密条款,如有需要,合同中应明确该责任在结束合同关系一段特定的时间内仍然有效。第二条 信息科技关键岗位人员的招聘,应明确该岗位在信息安全方面的要求,并对应聘人员的相关背景进行严格审查;相关岗位人员应签署专门的保密协议,如有需要,保密协议中应明确该责任在结束合同关系一段特定的时间内
23、仍然有效。1.2.2.4 员工信息安全教育与培训1.2.2.4.1 教育与培训的主要内容教育与培训的内容主要有三个方面:第一,基本安全教育及基本概念可能存在的威胁和风险、理解相关方针和规章制度、提高安全意识、掌握基本安全操作概念。第二,专业安全方面的培训及职业道德教育与岗位相关安全技术理论培训、岗位职能和操作技能培训。第三,安全的高级培训及国家和行业相关法律法规、全面的安全技术理论和知识、全面的安全管理理论、安全工程理论、关键岗位职能与责任的培训。1.2.2.4.2 教育与培训的主要措施第一条 为保障信息安全保障体系的完整、有效,应建立信息安全教育和培训制度,信息安全教育和培训应贯穿员工在工作
24、的全过程,包括:新员工入行教育和培训、岗前教育与培训和在岗教育和培训。对员工的信息安全教育与培训应保存相关记录。第二条 信息安全教育和培训应作为新员工入行教育和培训的重要内容,培训内容应包含但不限于:信息安全及保密管理的基本知识;员工信息安全管理的相关规定和要求;办公自动化系统、邮件系统、内部网络和桌面办公设备等计算机资源的正确使用和信息安全保护的基本要求;最新的信息安全总体策略;信息安全事件的报告流程。第三条 员工上岗前所在机构或部门的管理人员应向其申明本机构或部门的信息安全管理要求和责任。员工的岗前教育与培训应包括与本岗位密切相关的计算机安全管理要求培训,对本岗位中信息安全的关键控制点应着
25、重向员工申明。信息科技员工的岗前教育和培训中,还应包括职业道德、行为规范、奖惩措施、信息安全管理制度和规范等方面的教育和培训内容。第四条 在岗员工应定期接受信息安全教育,主动学习、掌握最新的信息安全管理制度和规范。在信息安全总体策略、相关管理制度和规范发生变化后,应及时向在岗员工发布;对在岗员工的信息安全基本要求、奖惩措施、信息安全事件报告流程等,应纳入员工守则或另行编制成册,及时向在岗员工发布。第五条 信息科技各相关部门应定期组织对部门内所有员工的信息安全教育和培训,教育和培训内容包括但不限于:及时向员工发布最新的信息安全管理策略、制度和规范,每年至少组织一次部门内的信息安全专题培训,及时向
26、员工通报典型的信息安全事件及处理情况等。1.3 制度管理1.3.1 物理环境安全管理规范包括安全域、门禁控制、监控与报警、电源和电缆管理、环境管理与维护、设备常规管理、变更管理、事故处理等。1.3.2 终端计算机安全使用规范包括安装防病毒软件、操作系统定期自动升级、密码保护、IE安全级别设置、邮件管理、重要文件备份等。1.3.3 防火墙系统管理规范包括明确岗位职责、防火墙的规划部署、配置测试;状态监控、日志分析、安全事件的响应处理等。2 数据与文件、以及知识产权与专利2.1 文件的处理程序2.1.1 签收与启封文件的收发由专人履行签收手续,其他人员不得随意签收和启封。如果标有具体人员亲收、亲拆
27、的公文、信函,除本人委托外,任何人不得启封,应原封不动交给亲收人或指定人员。办公室收到的各类公文及重要资料、刊物须及时交送有关领导和相关科(室),按有关程序和规定及时处理,防止耽搁、延误。2.1.2 登记登记文件必须将收发文时间、来文单位(发往单位)、文件字号、密级、标题、缓急程序、份数及处理时间、处理情况逐项登记清楚。登记文件应按来文单位类型分别登记,登记簿应装订成册,易于保存、查询,妥善保存5年后销毁。2.1.3 办理经办人员必须根据文件的内容和阅知的范围,及时、迅速传阅、办理,不得拖延,事后必须在办文单上签字或写明办理经过及结果,需向领导反馈情况的必须及时反馈。领导批示后的文件,应按领导
28、批示意见进行办理。2.1.4 传阅传阅文件应突出一个“快”,随时掌握文件的去向,避免文件漏传、误传和延误、遗失。a) 严格登记手续,文件传阅时应做好登记手续或请传阅者做好传阅签收。b) 文件传阅时,应设立必要的文件传阅夹和办文单,以便区别于其他材料和领导阅后签字、批示。要提醒传阅者不要随意抽取文件夹里的文件,以避免文件漏传。c) 文件传阅应在部内的办公室进行,不得将文件带到住所或公共场所阅处。d) 文件传阅必须根据规定的文件阅读范围进行传阅,应由专人按各领导的排序或主次先后递送。对传阅的文件应及时收回,重要文件应当天送达,当天收回。要避免文件在传阅对象之间发生相互传递的“横传”现象,以免传阅的
29、文件失去控制,造成文件积压、丢失和下落不明等情况。要加快文件传阅的速度,要尽量减少文件传阅时的停留时间,缩短文件传阅周期。2.2 文件的保管文件的保管、存放必须明确专人负责,并建立健全管理制度。第一条 对传阅好的文件、办理好的文件,应及时核对清点,并分门别类保管存放。第二条 文件借阅时,必须符合规定的文件阅知范围,办理借阅文件的登记手续,在规定的场所阅读。如遇特殊情况需要携带文件外出时,必须经研发中心负责人批准,并采取必要的保密措施。涉及密级的公文和内部重要资料,要注意保密。凡是有密级的文件,不得随意复印,确因工作需要必须经分管领导同意才可复印,其复印件按正式文件管理。第三条 文件的存放场所应
30、安全、保密,不得将文件随意放在办公桌面上或存放在玻璃橱和敞开式的橱柜中。关于文件的清退、销毁要建立定期的文件清理制度,定期做好文件的清退和销毁工作。清退和销毁文件,必须严格履行登记手续。文件销毁时需经分管领导批准同意。个人不得擅自销毁文件。2.3 文件的清退、销毁公司下发的文件清退单,认真核对应清退的文件,按时、如数将清退的文件送综合信息处并办理清退、注销手续。第一条 综合信息处的文件根据有关归档要求,要定期清理归档,并做好归档手续。第二条 对不需要归档的其他文件、资料及内部刊物,应按公司的规定进行清退、销毁。第三条 文件管理人员在工作调动、离职时,应先办理文件的移交手续,清退所持的全部文件,
31、方可办理调动、离职手续。任何个人不得私自带走文件或私自销毁文件。关于文件管理职责2.4 文件管理职责第一条 公司综合信息处是文件管理的职能部门,应加强对文件,特别是公司文件的管控严格执行有关规定和保密纪律,做到既充分发挥每份文件的作用,又严防失密、泄密现象的发生。第二条 综合信息处负责人应定期检查文件的收发、登记、传阅、保管和清退、销毁情况,加强文件管理和保密教育。第三条 综合信息处负责文件处理、保管的人员要增强责任性和保密意识,忠于职守,严格遵守有关规章制度和保密纪律,勤恳工作,确保文件正常运转,防止遗失。3 计算机硬件设备管理3.1 定义信息安全硬件设备的管理包括:服务器、周边设备、PC计
32、算机、访问控制终端、Hub、程控交换机、调制解调器、电话交换系统、UPS、传真机、复印机、电话机/移动电话、移动介质(包括U盘、硬盘、磁盘、光盘、录音机、录像设备)。3.2 管理规定3.2.1 计算机设备信息安全管理第一条 严禁私自打开机箱;严禁私自更换外设。如需更换外设及意见,需向战略管理处提出申请,由负责人员更换。非人为引起的硬件损坏,由公司战略管理处更换新的配件,如果是因人为引起的损坏,或丢失硬件及外设,需由使用人照价赔偿。第二条 禁止使用私人移动存储设备(如:U盘、存储卡、读卡器、移动硬盘、私人光盘、手机存储等一切存储设备),避免病毒的入侵及公司资料泄露。第三条 禁止私自安装与工作无关
33、的软件,杀毒软件不得随意更换,由网络管理者统一安装,并必须处于开机启动状态。第四条 计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品,保证计算机的散热风扇无阻。第五条 非本单位技术人员对我单位的设备、系统等进行维修时,必须由本单位相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准。第六条 严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。 第七条 严禁除本单位技术人员以外的人随意进
34、入机房,非本单位技术人员进入机房需填写进出记录,并由本单位技术人员现场全程监督(特殊情况除外)。第八条 本单位技术人员要做到定期养护工作,保证计算机的日常运作,并做好设备的登记台帐、登记卡片、使用情况记录、故障情况记录及故障处理情况记录。第九条 设备发生故障时,在购置合同的保修期内要做好修换处理,保修期外的设备,技术人员要及时做好设备的修理工作。第十条 设备到报废期,由使用单位提出报废申请报告并附设备故障记录报公司战略管理处,经公司战略处根据帐卡清点、核实、鉴定、审批后,报废计算机调回公司办公室,由公司办公室负责处理,并登记报废台帐。4 信息安全软件管理4.1 计算机软件信息安全管理第一条 计
35、算机开机密码设置应具有安全性、保密性,不能使用简单的数字和符号。开机密码应定期修改,如发现或怀疑密码遗失或泄漏应立即修改。密码遗失,应及时与技术人员联系。第二条 外接存储设备(移动硬盘、U盘等)时,应先进行查毒检查,防止感染木马病毒,资料泄露。第三条 严禁随意共享计算机内的信息资料,如有需求,要及时联系专业技术人员进行共享调配。第四条 计算机进行交接工作时,要做好详细的计算机资料交接工作,个人信息或非工作信息要在交接前进行拷贝或删除。第五条 禁止下载和安装与工作业务无关的软件和工具,禁止随意更换杀毒软件,禁止修改计算机内的相关配置(桌面、屏保、杀毒软件、Office等)。第六条 严禁使用公司电
36、脑打开危险性网站,或下载危险性软件程序等。第七条 禁止下载使用非装机时的视频软件及下载工具(优酷、土豆、快播、迅雷、电驴、QQ旋风等)。第八条 服务器、路由器等重要设备的用户密码由本单位技术人员设置和管理。并定期报送公司战略管理处备案。第九条 系统重置工作需得到使用人的同意,方可进行。系统重置需将所有办公软件安装齐全。4.2 OA办公平台信息安全管理第一条 公司各处室、个人的平台账户密码要定期更换,同时做好记录和备案工作,防止他人冒用本单位合法用户身份盗取、篡改、销毁企业涉密信息。第二条 新注册的平台账户必须更换其初始密码,密码设置应具有安全性、保密性,不应是名字、生日,重复、顺序、规律数字等
37、容易猜测的数字和字符串。第三条 公司有离岗离职人员调离岗位前一小时内,由其所在单位/部门负责人更改其单位/部门的平台用户密码,并将其个人账户收回并修改其密码,然后提报给战略管理处,上报给集团进行处理。如有重要文件信息,要及时进行备份。第四条 公司网管员调离岗位前一小时内由本单位/部门信息化负责人和接任人员监督检查并更换新的口令或建立新系统管理员账户,并注销原系统管理员的账户;厂方设备调试人员调试维护完成后一小时内,由系统管理员关闭或修改其所用账户和密码。第五条 平台账户密码应定期修改,间隔时间不得超过一个月,如发现或怀疑密码遗失或泄漏应立即修改,并在网管员处登记用户名、修改时间、修改人等内容。
38、第六条 普通用户调离岗位,系统管理员应及时将调离人员信息上报给集团,将其用户注销或修改到新岗位。5 信息安全管理服务5.1 定义信息安全服务是指适应整个安全管理的需要,为企业、政府提供全面或部分信息安全解决方案的服务。信息安全服务提供包含从高端的全面安全体系到细节的技术解决措施。5.1.2 管理要求信息安全要求建立一个24小时不间断反应。能够建立一个针对不同攻击的正确行动方案。能够保证及时、快速反应系统。能够提供规范和详细的对自身和对客户培训体系。贴近被服务体系和对客户零干扰目标。5.1.3 技术要求拥有一定的监控技术,能够方便、简单、易操作地安装到所有接入设备和系统中。监控设备不会影响和干扰已有的安全设备和软件的正常使用性能,并且不会引入新的安全隐患。监控设备应当具有升级能力,并且能够进行方便的升级。具有监控数据分析与处理技术。具有知识库或专家库支持应急事件决策技术。具有系统容灾与恢复的技术。5.1.4 高级要求先进原则:全面掌握和紧跟国际先进的信息安全管理和技术并有一套体系贯彻到服务系统中。全面原则:掌握了全国的国内信息安全的标准和政策并有足够力度体现到服务体系中。高手原则:有掌握最新的信息安全实践技术和防范技术,遇到特发情况能够解决问题的高手或专家存在。团队原则:团队有明确分工和侧重点,基本人员全部掌握一般的服务方法和解决普遍性问题。