欢迎来到天天文库
浏览记录
ID:27229588
大小:297.50 KB
页数:36页
时间:2018-12-02
《信息安全策略》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、信息安全策略文档编号编制审核批准发布日期备注本公司对本文件资料享受著作权及其它专属权利,未经书面许可,不得将该等文件资料(其全部或任何部分)披露予任何第三方,或进行修改后使用。目录1.信息资源保密策略32.网络访问策略4第36页共36页3.访问控制策略54.物理访问策略65.供应商访问策略86.雇员访问策略107.设备及布缆安全策略118.变更管理安全策略149.病毒防范策略1610.可移动代码防范策略1711.信息备份安全策略1812.网络配置安全策略1913.信息交换策略2014.运输中物理介质安全策略2115.电子邮件策略2216.信息安全监控策略2317.特权访问管理策略2518.口令
2、控制策略2619.清洁桌面和清屏策略2820.互联网使用策略2921.便携式计算机安全策略3122.事件管理策略3223.个人信息使用策略3324.业务信息系统使用策略3425.远程工作策略3526.安全开发策略36第36页共36页1信息资源保密策略发布部门信息安全小组生效时间2016年11月01日介绍保密策略是用于为信息资源用户建立限制和期望的机制。内部用户不期望信息资源保密。外部用户期望信息资源拥有完整的保密性,除了在发生可疑的破坏行为的情况下。目的该策略的目的是明确的沟通信息资源用户的信息服务保密期望。适用范围该策略适用于使用信息资源的所有人员。术语定义略信息资源保密策略n在公司内部保存
3、和控制的电子文件应该公开,并且可以被信息服务人员访问;n为了管理系统并加强安全,信息技术部小组可以记录、评审,同时也可以使用其信息资源系统中存储和传递的任何信息。为了达到此目的,信息技术部小组还可以捕获任何用户活动,如拨号号码以及访问的网站;n为了商业目的,第三方将信息委托给公司内部保管,那么信息技术部小组的所有工作人员都必须尽最大的努力保护这些信息的保密性和安全性。对这些第三方来说最重要的就是个人消费者,因此消费者的账户数据应该保密,并且对这些数据的访问也应该依据商业需求进行严格限制;n用户必须向适当的管理者报告公司内部计算机安全的任何薄弱点,可能的误用事故或者相应授权协议的违背情况;n在未
4、经授权或获得明确同意的情况下,用户不可以尝试访问公司内部系统中包含的任何数据或程序。惩罚违背该策略可能导致:员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除;另外,这些人员还可能遭受信息资源访问权以及公民权的损失,甚至遭到法律起诉。引用标准略第36页共36页2网络访问策略发布部门信息安全小组生效时间2016年11月01日介绍网络基础设施是提供给所有信息资源用户的中心设施。重要的是这些基础设施(包括电缆以及相关的设备)要持续不断的发展以满足需求,然而也要求同时高速发展网络技术部以便将来提供功能更强大的用户服务。目的该策略的目的是建立网络基础设施的访
5、问和使用规则。这些规则是保持信息完整性、可用性和保密性所必需的。适用范围该策略适用于访问任何信息资源的所有人。术语定义略网络访问策略n用户不可以以任何方式扩散或再次传播网络服务。未经信息安全小组批准不可以安装路由器、交换机、集线器或者无线访问端口;n在未经信息安全小组批准的情况下,用户不可以安装提供网络服务的硬件或软件;n需要网络连接的计算机系统必须符合信息服务规范;n用户不可以私自下载、安装或运行安全程序或应用程序,发现或揭露系统的安全薄弱点。例如,在以任何方式连接到互联网基础设施时,未经信息安全小组批准用户不可以运行口令破解程序、监听器、网络绘图工具、或端口扫描工具;n不允许用户以任何方式
6、更换网络硬件;n在局域网上进行文件共享时必须指定访问权限,机密信息严禁使用everyone权限。n任何员工在访问网络资源时必须使用专属于自己的帐号ID,不得使用他人的帐号访问网络资源。n网络分为办公网络和生产环境网络,办公网络又分为日常办公网络和专门远程访问网络n生产环境网络必须使用vpn由专人专机访问,必须要提前向上级领导申请报告n不得从生产环境下载拷贝等操作n只能从公司指定办公网络(公司专门的网络通道)访问远程的服务器n修改远程服务器的内容必须要提前申请报告,且要有详细的操作步骤惩罚违背该策略可能导致:员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学
7、生被开除;另外,这些人员还可能遭受信息资源访问权以及公民权的损失,甚至遭到法律起诉。引用标准略第36页共36页3.访问控制策略发布部门信息安全小组生效时间2016年11月01日介绍应根据业务和安全要求,控制对信息和信息系统的访问。目的该策略的目的是为了控制对信息和信息系统的访问。适用范围该策略适用于进行信息和信息系统访问的所有人员。术语定义略访问控制策略n公司内部可公开的信息不作特别限定,允许所有
此文档下载收益归作者所有