《信息安全管理规范.docx》由会员分享,可在线阅读,更多相关《信息安全管理规范.docx(5页珍藏版)》请在三一办公上搜索。
1、信息安全管理规范文件编号:1目的本策略的目的是规范XXX软件XXXX运维项目运行和客户服务过程中的信息安全性,包含公司及客户信息的保密性、可用性和完整性。2范围本策略适用于公司运作所覆盖的信息安全的范围。针对不同的用户,本规范可以部分删减或增加,以符合级别协议要求为准绳。系统范围:XXX软件XXXX运维项目、数据库系统、中间件、操作系统、CRM设施范围:服务器、网络设备、个人计算机、办公设施人员安全:一线支持数据范围:客户信息、CRM数据、XXX软件XXXX运维项目数据文件范围:各种操作规范、纸质的记录表等3访问控制策略公司采取强访问控制策略,即规定“除非得到明确的许可,否则一切访问都是禁止的
2、工权限配置应遵守“最小范围”原则,每个岗位得到的授权应仅限于其工作需要;当员工岗位发生变化时,权限配置人员应重新评审并及时更新权限配置情况;权限配置人员应至少每季度作对由本人负责的权限分配情况进行一次评审;员工不能滥用其获得的权限做有损公司利益的事或做出与其岗位要求不一致的操作,也不能试图访问未获得许可的信息。4系统使用策略XXX软件XXXX运维项目和CRM系统应能根据处理信息的不同安全等级而提供相应的保护,并制定访问控制列表。XXX软件XXXX运维项目和CRM系统应能根据不同的使用人提供权限区分功能;新增的信息系统应充分考虑与现有系统的兼容性和扩展性;XXX软件XXXX运维项目和CRM系统应
3、满足现行的各种安全标准和详尽的日志功能;5电子邮件网络管理员为公司人员分配邮件帐号和权限;员工只应使用公司规定的邮件系统,禁止私设邮件系统;禁止利用个人邮箱处理公司事务;在发送邮件前应该审查拼写和语法,检查发送地址是否正确;在公司应尽量减少私人邮件的使用;通过电子邮件在发送敏感及密级信息时必须进行加密;在对发件人和附件标识不明确的情况下禁止打开附件;禁止通过邮件发送秘级标识“绝密”、“机密”类的相关文档;附件信息如有加密或需要口令时,不得在邮件正文内发送相关密钥或相关口令信息;不应该给任何人发送垃圾邮件:不应该给任何人发送骚扰或恐怖邮件;不应该发送任何含有非法或不道德内容的邮件;对外单位发送电
4、子邮件时,文档的格式应转换为Pdf格式;员工收发电子邮件时,应使用公司规定的病毒扫描软件进行扫描;员工应自行定期对重要的邮件信息进行备份;公司可考虑对进出邮件进行备份、监控、过滤和收发控制处理;员工离职时网管应及时将其邮件帐号注销。6口令管理策略口令的强度最少6位,应由数字、大小写字母和特殊字符等组成;员工不能将口令写到公开可视的地方,口令不能保存在电子文档中。员工在取得应用系统的初始口令后必须进行更改,并且至少每半年修改一次口令。员工必须维护好自己所掌握的口令,严禁有意或无意的掌握他人口令。禁止任何员工试图猜测他人的口令或通过他人的口令登录系统。禁止使用无口令账户。7备份策略管理人员对XXX
5、软件XXXX运维项目数据库每天进行全局备份,存放于服务器,每月一次刻盘备份。技术部人员对CRM系统数据库每周至少进行一次手动全局备份。8保密策略对从事客户服务的人员需要与公司签订个人保密协议,不得向第三方透露在合作期间和知晓客户的商业秘密及属于第三方但对方负有保密义务的信息。商业秘密包括技术秘密和经营秘密,其中技术秘密包括不限于工作进度、技术方案、工程设计、制造方法、技术指标、计算机软件、数据库、研究开发记录、技术报告、检测报告、实验结果、图纸、样品、模型、操作手册、技术文档、相关的函电等。经营的秘密包括但不限于双方洽谈的情况、签署的任何文件,包括合同、协议、备忘录、订单等文件中所包含的一切信
6、息、客户名单、行销计划、采购资料、定价政策、财务资料、进货渠道、法律事务信息、人力资源信息等。未经对方书面同意,不得在双方合作目的之外使用或向第三方透露对方的任何商业秘密,不管这些商业秘密是口头的或是书面的,还是以磁盘、胶片或电子件的形式存在的。当客户提出收回包含商业秘密的有关资料时,应将有关资料及其复制件还给对方,或应客户的要求将这些资料及其复制件销毁。在客户公司内活动时,应听从接待人员的安排和引导。未经客户允许不得进入对方办公室等工作环境,不与客户开发人员进行私下交流。9桌面清理和清除屏幕策略文件及信息载体在不使用时,特别是在工作时间以外,应存入相应的上锁的文件柜或其它安全性高的环境中,保
7、持桌面清洁有序。敏感或重要信息在不使用时,应放入文件保密柜。纸质资料使用完毕后应及时归档。个人计算机在无人值守时不应处于登录状态。计算机或服务器在不使用时,应采用键盘锁、屏幕保护、口令或其它控制加以保护;对信件收发点、传真机、更印机、打印机进行保护;打印完敏感信息后,应立即清除打印机中的资料。在使用匏印机后,需确认包印件数量。打印或复印残损纸件需按照信息密级处理。10防病毒策略所有计算机应安装防病毒软件。要时常获取病毒信息,努力收集关于新型病毒的信息。要使病毒代码文件时常保持最新的状态。通过USB介质等可移动式媒体进行文件传递时,要进行病毒检查。通过电子邮件进行文件传递时要进行病毒检查。通过互
8、联网等网络下载文件时要进行病毒检查。发现病毒时的处置:1)当发现病毒时,要立即将网线从计算机上拔下,防止受害的蔓延。随后与相关人员取得联系,听取适当的指示。当在接受委托的软件开发业务环境中发现病毒时,还要与客户取得联系,由相关人员与客户彼此进行密切联系。2)要获取最新的病毒信息,给与适当的指示。此外,要根据需要与公司外有关组织进行联系。3)当来自公司外的邮件等中混入病毒时,在与相关人员协商的基础上,将其通知给该企业。11软件安装列表编号软件名称版本号用途1腾讯通RTX8.0.293.201公司日常交流2WPSOffice6.5.0.1966办公软件3卡巴斯基7.0/9.0.0.463杀毒软件4
9、腾讯QQ2009SP4(1060)公司人员、客户交流5360安全卫士5.2.0.1020保护电脑安全6世界之窗2.4.1.4浏览器7搜狗输入法4.2.3.2812输入法8鲁大师2.38.9.828硬件温度监控9迅雷5.9.6.1018下载上传工具10Windows优化大师7.97.9.706系统垃圾清理11有道桌面词典2.1.11.0中英文翻译12新锐易制毒系统5.0.0.3新锐软件13易制毒系统CRM新锐软件14VPN新锐软件15MicrosoftOffice2003/2007办公软件16Winrar3.80压缩软件17HPLaserJet打印18阿里旺旺(淘宝版)公司人员、客户交流19暴风
10、影音播放培训等视屏文件20AdobeReader9.10PDF阅读器21坐席电话接听用户电话22ACDSee3.1处理图片23金山词霸翻译软件24FlashFXP5.0下载上传工具25winscp3.0下载上传工具26tomcat6.0开发工具27Oracle11G11G数据库28智能五笔输入法29Nod323.0杀毒软件30SQL数据库操作31Photoshop9.0图片编辑32ReaIVNC4远程协助33傲游浏览器2网页浏览器34PowerCHM建立知识库35QQ拼音输入法输入法36Webex录制和播放器3.0网络会议软件37无线宽带客户端V2.0.0网络38ESETNOD32Antivirus4428杀毒软件39飞鸽下载上传工具12相关文件服务承诺服务级别协议文档说明本文档为客户服务信息安全管理规范.13附加说明本程序归口部门:技术部本程序起草部门:技术部本程序起草人:本程序审核人:本程序批准人:14文件历史记录日期版次修订说明修订者
