《信息安全管理体系程序全套.docx》由会员分享,可在线阅读,更多相关《信息安全管理体系程序全套.docx(19页珍藏版)》请在课桌文档上搜索。
1、信息安全管理体系程序全套Ol互联网使用策略互联网使用策略发生效时间布部门批文件编号准人介互联网是传播和获取信息的重要途径。而信息是组绍织的重要资产。因此,建立该策略能够:I确保互联网的使用符合相应的、与信息资源管理相关的法令、规章及要求;I建立谨慎的、合理的互联网使用惯例;I向使用互联网或者企业内部网络的员工告知其应负的责任。目该策略的目的是规范互联网以及公司内部网络的使的用,确保信息资源不会被泄漏、篡改和破坏。适该策略适用于有权访问任何信息资源而又可以访问用互联网以及公司内部网络的所有人员。范围内I提供给授权使用者的互联网浏览软件只能用于业容务和研发;I所有用于访问互联网的软件必须都经过批准
2、,并且必须结合卖方提供的安全补丁;I从互联网下载的所有文件必须通过经过批准的病毒检测软件进行病毒扫描;I用于互联网访问的所有软件都应该使用防火墙进行配置;I访问的所有站点都必须符合信息资源使用策略;I所有Web站点上的内容都必须符合信息资源使用策略;I禁止通过Web站点访问带有攻击性或骚扰性的资I互联网不可以用于个人私利;I在不能确保资料只被授权的人员或组织使用时,数据不能通过Web站点获取;I通过外部网络传送的所有敏感资料都必须经过加密;I文档和文件的发送或接受必须以不引起法律责任或业务阻碍的方式进行;I使用互联网应遵循法律法规要求,并不得利用国际联网危害国家安全、泄露国家秘密,不得损害国家
3、、社会、集体的利益和公民的合法权益,不得从事违法犯罪活动。02病毒防范策略03变更管理安全策略04便携式计算机安全策略05安全培训策略06软件注册策略入侵检测策略发生效时间布部门批文件编号准人介入侵检测策略在实施和加强组织安全策略方面有重绍要作用。由于信息系统复杂程度越来越高,因此必须开发有效的安全系统。随着分布式系统引入的薄弱点数量的增长,系统和网络安全必须加以保证。入侵检测系统可以提供一些保证。目在保护信息资源方面,入侵检测主要有以下两项重的要作用:I反馈器:能够提供对安全系统其他组成部分有效的信息。如果有功能强大且有效的入侵检测系统,那么检测出的入侵行为就能为其他防御工作提供信号;I触发
4、器:是一种有效的机制,能够确定何时对入侵事件启动计划的响应措施。适该策略适用于负责新信息资源安装、现有信息资源用运作的所有人员以及负责信息资源安全的人员。范围内I在所有主机和服务器系统都必须启动操作系统、用容户账号以及应用软件的审核记录过程;I任何防火墙以及其他网络访问控制系统的警报和警示功能必须启动;I任何防火墙以及其他网络访问控制系统的审核日志必须启动;I网络访问控制系统的审核日志都必须由系统管理员监控并评审;I防火墙以及其他网络边界访问控制系统的系统完整性检查必需按照规定的周期进行;I内部受保护的服务器以及主机和网络的审核日志必须每周进行一次评审。系统管理员应该按照科技信息部的需要定期提
5、供审核日志;I用作入侵工具的主机应该定期检查;I所有问题报告都应该被评审,判断其是否预示着入侵事件;I所有可疑的和/或经证实的任何成功的和/或尝试性的入侵行为都必须立刻按照事故管理策略的要求进行报告;I应该培训用户如何报告系统性能的异常情况。08清洁桌面和清屏策略09口令策略10可移动代码防范策略19生产管理程序31员工培训控制程序32员工聘用控制程序33远程工作控制程序34重要信息备份控制程序35电子邮件控制程序36信息安全奖惩管理程序37容量管理控制程序38适用性声明指南39适用性声明40各部门信息安全管理职责各部门信息安全管理职责1总经理(1)负责组织建立公司信息安全管理体系。(2)负责
6、制定、发布公司信息安全方针。(3)负责组织各部门定期评审、更新公司信息安全方针。(4)负责向公司员工和外部提出信息安全管理承诺。(5)负责实施公司信息安全资源的配置。(6)负责公司信息安全管理体系评审工作。(7)负责组织公司信息安全管理体系持续改进工作。(8)负责公司信息安全管理体系内部协调工作。(9)负责公司各部门信息安全管理职责的审批工作。(10)负责组织公司信息安全管理体系符合安全策略和标准。(11)负责组建公司信息安全管理委员会。(12)负责任命公司信息安全管理者代表。(1)协助总经理建立公司信息安全管理体系。(2)协助总经理制定、发布公司信息安全方针。(3)协助总经理组织各部门定期评
7、审、更新公司信息安全方针。(4)协助总经理向公司员工和外部提出信息安全管理承诺。(5)协助总经理实施公司信息安全资源的配置。(6)协助总经理公司信息安全管理体系评审工作。(7)协助总经理组织公司信息安全管理体系持续改进工作。(8)协助总经理公司信息安全管理体系内部协调工作。(9)协助总经理公司各部门信息安全管理职责的审批工作。(10)协助总经理组织公司信息安全管理体系符合安全策略和标准。(11)负责主持公司信息安全管理体系内部审核工作。3信息安全管理委员会(1)负责实施公司信息安全管理体系风险评估。(2)负责根据风险评估制定相关措施。(3)负责建立公司适用性声明。(4)负责指导公司信息安全管理
8、体系运行。(5)负责检查改进公司信息安全管理体系。(6)负责对公司残余风险进行评估。(7)配合开展公司信息安全管理体系内部审核和管理评审工作。4办公室(1)负责公司信息安全管理体系文件控制工作。(2)负责与外部各方相关信息安全风险的识别。(3)负责处理公司与第三方协议中涉及的安全问题。(4)负责建立公司信息资产清单。(5)负责公司物理安全周边的管理工作。(6)负责公司物理入口控制。(7)负责公司办公室、房间和设施的安全保护工作。(8)负责公司外部和环境威胁的安全防护。(9)负责公司在安全区域工作的管理。(10)负责公司公共访问交接区安全管理工作。(11)负责公司支持性设施管理工作。(12)负责
9、公司布缆安全控制工作。(13)负责公司信息资产带出公司的管理工作。(14)负责公司计算机软件服务交付管理工作。(15)负责对第三方服务的监视和评审工作。(16)负责第三方服务的变更管理工作。(17)负责公司访问控制策略的建立和实施。(18)负责公司计算机清空桌面和清屏管理工作。(19)负责公司远程工作的控制。(20)负责报告公司信息安全事件。(21)负责报告公司信息安全弱点。(22)负责建立公司信息安全处理职责和规程。(23)负责对公司信息安全事件进行总结。(24)负责收集公司信息安全事件的证据。(25)负责对公司滥用信息处理设施行为进行控制。5人力资源部(1)负责公司员工信息安全意识、能力和
10、培训工作。(2)负责公司信息安全纠正措施的控制。(3)负责公司信息安全预防措施的控制。(4)负责建立公司信息分类指南,并组织对信息分类进行标识。(5)负责对公司员工任用之前进行信息安全管理和控制。(6)负责公司员工违反信息安全管理的处理控制。(7)负责对公司员工任用中止或变更的控制。(8)负责对公司信息设备的安全处置或再利用控制。(9)负责建立信息处理规程。(10)负责对公司电子消息发送进行控制。(11)负责对公司业务信息系统进行控制。(12)负责公司用户注册管理。(13)负责公司用户口令管理。(14)负责公司用户访问权的复查工作。(15)负责公司口令使用控制。(16)负责公司远程工作的控制。
11、(17)负责公司数据保护和个人隐私的管理。(18)负责公司员工滥用信息处理设施的控制。6财务部(1)负责公司信息安全管理体系记录的控制。(2)负责公司与相关方保密性协议的签订工作。(3)负责处理与第三方协议中涉及的安全问题。(4)负责公司可接受的资产使用控制。(5)负责公司信息分类指南的编制,并负责对信息分类进行标识。(6)负责公司外的信息设施安全控制。(7)负责公司财务信息的备份控制。(8)负责建立公司信息处理规程。(9)负责公司敏感信息系统的控制。(10)负责公司笔记本办公实施有效安全管理。7技术部(1)负责策划、建立、实施、改进公司的信息安全管理体系。(2)配合营销中心开展信息安全管理体
12、系培训工作。(3)配合执行公司信息安全方针,并定期配合开展信息安全方针的评审工作。(4)配合开展公司信息安全管理体系内部协调工作。(5)负责公司新的信息处理设施授权控制。(6)负责与特定利益集团的联系控制。(7)负责公司与外部各方风险的识别工作。(8)负责公司信息资产清单的建立工作。(9)负责公司信息资产责任人的确定工作。(10)负责资产的可接受使用的控制。(11)负责公司信息分类指南的编制,并负责对信息分类进行标识。(12)配合开展公司员工信息安全管理体系意识、能力和培训工作。(13)负责公司信息设备的安全管理工作。(14)负责公司信息设备的操作规程和职责的建立工作。(15)负责公司第三方服
13、务交付管理工作。(16)负责公司信息系统规划和验收控制。(17)负责公司防范恶意和移动代码控制。(18)负责公司信息备份控制。(19)负责公司网络安全管理工作。(20)负责建立公司信息处理规程。(21)负责公司信息系统文件安全的管理。(22)负责公司业务信息系统管理。(23)负责公司公共可用信息管理。(24)负责公司信息系统的监视控制。(25)负责建立公司访问控制策略。(26)负责公司使用网络服务策略的建立。(27)负责公司网络访问控制工作。(28)负责公司操作系统访问控制。(29)负责公司信息访问限制管理工作。(30)负责公司信息系统获取、开发和维护控制。(31)负责公司业务连续性管理控制。
14、(32)负责公司知识产权管理控制。(33)负责保护公司信息安全管理体系记录。(34)负责公司密码控制措施的规则制定。(35)负责公司技术性核查工作的控制。(36)负责公司信息系统审计控制工作。8市场部(1)负责处理与顾客有关的安全问题。(2)负责公司信息分类指南的编制,并负责对信息分类进行标识。(3)配合建立公司信息处理规程。(4)负责公司运输中物理介质的管理。9客户服务部(1)负责处理与顾客有关的安全问题。(2)负责公司信息分类指南的编制,并负责对信息分类进行标识。(3)负责与客户有关的信息备份控制。(4)配合建立公司信息处理规程。(5)负责公司无人值守的用户设备管理。(6)配合开展公司业务
15、连续性管理。10公共关系发展部(1)负责与公司政府部门的联系控制。(2)负责公司信息安全可用法律法规的识别控制和合规性评价。11营销中心(1)负责组织公司员工信息安全管理培训工作。(2)负责组织公司信息安全管理体系内部审核工作。(3)负责组织公司信息安全管理体系管理评审工作。(4)负责处理第三方协议中涉及的安全问题。(5)负责公司可移动介质的管理和处置工作。(6)负责对本部门笔记本电脑进行管理。(7)负责保证公司信息安全管理体系符合安全策略和标准。12服务外包办公室(1)负责建立公司信息交换策略和规程。(2)负责编制公司信息交换协议。41信息安全管理岗位任职要求61用户口令设置和分配设置策略6
16、2无人值守控制设备策略63信息系统网络拓扑图64网络隔离控制策略65网络连接控制策略66网络路由控制策略网络路由控制策略发生效时间布部门批文件编号准人介路由器是互联网络中必不可少的网络设备之一,路绍由器是一种连接多个网络或网段的网络设备,它能将不同网络或网段之间的数据信息进行翻译“,以使它们能够相互读懂对方的数据,从而构成一个更大的网络。目该策略的目的是为路由的管理、维护、扩展以及使的用建立的规则。适该策略适用于访问信息资源的所有人。用范围内I信息管理人员管理网络路由并对其负责,而且还要容对基础设施的发展和增加进行管理I为了提供稳固的网络基础设施,所有电缆必须由技术部(运维组)或被认可的合同方
17、安装I所有网络连接设备必须按照技术部批准的规范进行配置I所有连接到网络的硬件必须服从技术部管理和监控I在没有技术部(运维组)批准的情况下,不能连接网络路由,更不能对活动的网络路由的配置进行更改;I网络路由与外部第三方网络的所有连接都由技术部负责。I未经技术部(运维组)批准,用户不可以安装路由器、交换机、集线器或者无线访问端口;I技术部(运维组)对网络路由建立管理用户,设置密码,并建立相应权限。I信息管理人员每天对网络路由进行运行情况进行检查,并使用数据控制软件对端口数据进行监控,分析,以便于提前发现问题。67操作系统访问策略68敏感系统隔离策略69程序源代码保密策略70信息安全事件处理职责信息
18、安全事件处理职责发生效时间布部门批文件编号准人介信息安全事件处理职责是对在信息安全管理和监督绍过程中出现事故时对相关负责人的责任和权限进行一定程度的界定,以加强信息的安全系数。办公室接到报告以后,应立即进行迅速、有序的反应,确保采取一致和有效的方法对信息安全事件进行管理。目该职责的目的是确保信息安全的管理和监督。适该职责适用于被授权管理和监督信息访问的所有工用作人员。范围内I该职责适用于管理和监督信息安全的工作人员;容I各个信息管理系统使用者,在使用过程中如果发现软硬件故障、事件,应该向该系统归口管理部门和办公室报告;I发生火灾应立即向办公室报告,启动消防应急预案;I涉及企业秘密、机密及绝密泄
19、露、丢失应向办公室报告;I发生重大信息安全事件,事件受理部门应向管理者代表和总经理报告;I事件处理部门接到报告以后,应立即进行迅速、有效和有序的响应,报告者应保护好故障、事件的现场,并采取适当的应急措施,防止事态的进一步扩大;I信息安全事件发生时,必须按照先处理事件再追究责任的原则处理事件。I对在信息安全使用过程中可能发生的隐患,相关负责人必须定期进行监督检查,否则发生基本事件(完全可以避免但因为不够重视而发生的事件),相关负责人必须承担首要责任。I被授权负责人有权按照信息安全使用流程处理日常事务。I信息安全受到危险或者已发生事件后,必须对原有信息使用权限等进行重新设置密码、权限等安全工作。I当信息安全事件涉及到诉讼(民事的或刑事的),需要进一步对个人或组织进行起诉时,办公室需收集、保留和呈递证据,以使证据符合相关诉讼管辖权。
