《PC桌面标准化说明(DOC93页).docx》由会员分享,可在线阅读,更多相关《PC桌面标准化说明(DOC93页).docx(91页珍藏版)》请在三一办公上搜索。
1、东方中安信息技术有限公司PC机系统及桌面标准化说明(初稿)发布时间:2018.4发布部门:版本号:批准人:目录一、统一电脑设置:8二、标准电脑软件安装及配置:8三、信息资产分类分级管理程序91.目的和范围92.引用文件93.职责和权限104.信息资产的分类分级105.信息分级标识126.公司秘密信息使用管理137.保密原则19四、访问控制制度221.目的和范围222.引用文件223.职责和权限224.用户管理225.权限管理236.操作系统访问控制247.应用系统访问控制258.网络和网络服务访问控制259.网络隔离2610.网络设备2611.信息交流控制措施2612.远程访问管理2713.无
2、线网络访问管理2814.笔记本使用及安全配置规定2815.外部人员使用笔记本的规定2916.服务器安全控制2917.实施策略2918.相关记录29五、密码控制管理制度311.目的和范围312.引用文件313.职责和权限314.密码控制32六、操作安全管理36补丁管理361.总则362.适用范围363.职责分工364.补丁管理375.附则39防范病毒及恶意软件管理规定401.目的和范围402.引用文件403.职责和权限404.病毒防治管理415.恶意软件管理416.实施策略427.相关记录42软件管理规定44目的和范围441.引用文件442.职责和权限443.软件管理444.软件使用475相关记
3、录47数据备份管理规定491.目的和范围492.引用文件493.职责和权限494.备份管理49系统监控管理规定521.目的522.引用文件523.职责和权限524.系统监控管理525.相关记录54七、通信安全55通信安全管理规定551.目标552.引用文件553.职责和权限554.Internet访问控制555.网络隔离566.无线网络访问管理567.信息交流控制措施56电子邮件管理规定591.目标592.总则593.管理权限和职责594.邮箱管理流程595.邮箱使用60信息安全交流控制制度621.目标622.总则623.信息传输安全控制措施624.信息传输协议625.定期评审63八、信息安全
4、事件管理制度651.目的和范围652.引用文件653.职责和权限654.信息安全异常现象665.信息安全事件686.安全事故处理流程:817.信息安全事件的紧急处置和业务恢复818.信息安全事件证据的收集829.信息安全事件和信息安全异常现象的报告和反馈8310.改进和预防工作8411.实施策略8412.支持文件8513.相关记录85九、业务连续性管理制度871.目的和范围872.引用文件873.职责和权限874.业务连续性管理流程885.制定应急预案906.演练与维护917.相关记录92PC桌面标准化说明一、统一电脑设置:1、 为规范公司的电脑配置与管理,提高工作效率,从而更好地为办公服务。
5、2、 计算机机器名称的统一规范化命名,便于通过计算机识别设备所在区域和用户例:东方中安-Jason3、 WINDOWS操作系统安装公司采购的正版系统,开启自动更新功能的实现,使每台能够上网的机器都能及时从互联网上下载最新补丁程序,有效防范病毒等恶性事件的发生。4、 取消域用户的本地系统管理员权限(设为Power Users),防止用户擅自安装非法软件和更改系统配置5、 按新的密码规则修改本地Administrator的密码(新员工PC机初始密码:000000)二、标准电脑软件安装及配置: 常规系统及软件1、Windows 10系统及语言包2、赛门铁克杀毒软件及病毒库数据更新(病毒库每周更新一次
6、)3、Altiris(硬件资产管理)4、Office 2016 中小企业版5、工具软件:WinRAR (可以安装,但不是标准软件)6、Adobe Reader7、其他需要安装的软件需和上级部门主管批准针对任何游戏软件及非工作需要的软件,均应立即卸载并删除如果电脑有问题,请先排除故障后再做以下操作。三、信息资产分类分级管理程序1. 目的和范围为降低公司重要资产因遗失、损坏、篡改、外泄等事件带来的潜在风险,这些风险将对公司的信誉、经营活动、经济利益等造成较大或重大损失,需要规范信息资产保护方法和管理要求,特制订本管理制度。本规定适用于本公司信息资产的安全管理,适用对象为本公司员工和所有外来人员。特
7、殊岗位或特殊人员,另有规定的从其规定。公司信息资产是指一切关系公司安全和利益,在保护期内只限一定范围内人员知悉、操作、维护的事物、文档、项目、数据等资源。2. 引用文件1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。2) GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求3) GB/T 22081-2016/ISO/IEC 27002:2013
8、 信息技术-安全技术-信息安全管理实施细则4) 备份管理规定5) 访问控制程序6) 文件控制程序3. 职责和权限本管理规定作为全公司范围信息类资产的最低管理要求,各部门或各项目组,均可以根据客户要求,添加补充策略,并在本部门、本项目组内实施,与本规定一起,作为信息安全管理的工作指南。1) 信息安全管理领导人组:是本公司信息资产安全管理工作的最高领导组织,总体负责信息资产的安全。2) 信息安全管理工作小组:负责具体的协调组织实施及解释答疑等工作。3) 各部门经理:作为本部门信息资产安全管理的最高责任者,有责任和权限保证本部门信息资产的安全。4) 各信息的所有者:负责各信息资产的标识、分发和传递的
9、控制;5) 员工:应当熟悉本管理规定的内容,包括信息资产标识办法和使用管理规定,并切实贯彻到日常工作中。4. 信息资产的分类分级4.1信息资产的分类公司信息资产分为:硬件资产、软件资产、数据资产、人员资产、外包服务资产、无形资产、文档资产、环境资产、第三方服务资产等。区分标准如下: 1) 硬件资产:日常工作、公司运作或系统运行所依赖的可见电子设备、设施和工具。主要包括:l 办公类用品,如桌椅、纸张等。l 计算机及配件、辅助设备类,如服务器、台式机、笔记本电脑、移动存储、打印机等。l 网络设备,如网络交换机等。l 其他设备,不属于上述3类的设备设施,如饮水机等。2) 软件资产:依赖电子计算设备运
10、行的非硬件资产。如:操作系统、杀毒软件、源代码、组件、程序、业务系统或平台等。3) 数据资产:计算机软件运行时依赖的原始数据、配置数据,运行时产生的动态数据、结果数据以及能够给公司经济效益、信息安全带来潜在影响的所有数据,这些数据如遗失、非法复制传播、损坏等从经济或安全上可能给公司造成损害。如客户信息数据、系统配置数据、系统登录帐号密码、业务运行数据、电话号码资源等。4.2信息资产的分级管理信息资产的分级管理制度引用如下文件:1) 硬件资产分级管理制度2) 软件资产分级管理制度3) 数据资产分级管理制度4) 人员资产分级管理制度5) 外包服务资产分级管理制度6) 无形资产分级管理制度7) 文档
11、资产分级管理制度8) 环境资产分级管理制度9) 第三方服务资产分级管理制度4.3信息资产分类指导公司各部门依据分类定义和示例,对部门资产识别表中的各类资产进行分级,并报请本部门经理审核确认。公司一级、公司二级信息资产需要报信息安全管理工作小组汇总、审核后,请公司总经理确认审批。资产识别表需详细登记所有信息资产,并确定其分级和管理责任人。5. 信息分级标识5.1分级标识编号硬件资产(H-hard):H1、H2.分别代表一级硬件资产,二级硬件资产.等。软件资产(S-soft):S1、S2.分别代表一级软件资产、二级软件资产.等。数据资产(D-data):D1、D2.分别代表一级数据资产、二级数据资
12、产.等。人员资产(P-person):P1、P2.分别代表一级人员资产、二级人员资产.等。外包服务资产(T-team):T1、T2.分别代表一级外包服务资产、二级外包服务资产.等。无形资产(N-none):N1、N2.分别代表一级无形资产、二级无形资产.等。文档资产(F-file):F1、F2.分别代表一级文档资产、二级文档资产.等。环境资产(E-environmen):E1、E2.分别代表一级环境资产、二级环境资产.等。第三方服务资产(TS-third service):TS1、TS2.分别代表一级第三方服务资产、二级第三方服务资产.等。5.2公司绝密、机密信息定义标记为一级和二级的文档及敏
13、感类的信息称为公司机密信息,三类信息为秘密信息,四类为可内部公开的信息,五类为可公开的信息。绝密信息,除文档资产外,不包含在其他信息资产的分级定义序列中,绝密信息一般由公司最高管理层负责管理和保密义务。5.3各密级知晓范围1) 公司绝密级:高层管理级人员及与公司绝密内容有直接关系的工作人员,对其他任何人都需要保密。掌握核心公司绝密的关键岗位人员的变更、离职须经总经理同意。2) 公司机密级:部门经理级及以上的管理人员以及与公司机密内容有直接关系的工作人员,允许知晓与本工作相关的公司机密事项,对非相关人员需要保密。3) 公司秘密级:部门骨干管理人员以及与公司秘密内容有直接关系的工作人员,允许知晓与
14、本工作相关的公司秘密事项,但对其他部门应保密。4) 内部公开:公司内部所有人员,允许知晓在公司内部范围内属于公开的信息,但未授权不得对公司以外人员泄露公司的内部公开信息。5) 公开:公司外面所有人员,允许知晓由公司内的授权人员宣布可公开的信息。可公开的文档必须转成PDF文档后,或使用其他方法变成只读不可修改的文档后再行发布。5.4分级标识编号可作为分级标识使用1) 公司固定资产硬件设备必须标记分级标识编号。2) 作为电子文件时必须在文件的第一页的显著位置标识分级。3) 对于纸质文档,使用公司统一刻制的分级标识图章进行标识,对于“公司绝密”文档在需要时,通过骑缝章或每页敲章的方式进行“绝密”标识
15、。使用信封等封装时,还需要在封装上标记“绝密”标识及分级标识。对于模板文档,其标识的分级是指填写内容后的分级,而非空白时的分级。4) 如果使用光盘/磁带/软盘等介质,需要直接在介质表面上标识分级。5) 需要提交给客户的信息资产(例如:项目开发成果物),必须有分级标识。6) 对于应用系统中的显示画面、数据表单或打印输出等内容,必须有分级标识。6. 公司秘密信息使用管理6.1涉密信息的保管1) 公司绝密、公司机密信息:应该保管在一般人员无法随便进入的有安全保障的房间,比如:总裁办公室、各部门主管办公室、财务室、机房等。电子文档必须有可靠的备份机制;除非特别批准公司绝密信息不应保管在个人用计算机上。
16、纸质文件以及电子存储介质(例如:移动硬盘/U盘/光盘/软盘等)应该保存在加锁的文件柜或保险柜内。l 在不使用或处于目光所及范围之外时,应将资料存放在锁闭的档案柜、桌式书架或书柜内;l 在携带至办公室以外的地方时,应将资料存放在随身携带的锁闭的箱包或手提箱内。2) 其它涉密信息:也应该保存在安全的工作区域内。电子文档也必须有可靠的备份机制。纸质文档以及电子存储介质应存放于书柜、档案柜或桌式书架柜内,以防被非公司人员意外看到或获得。a) 技术成果l 技术转让、技术入股、技术引进等途径获取公司秘密的过程中,根据合同或协议中规定提供的公司秘密,承办人应采取保密措施,保证不泄漏公司秘密。获取的公司秘密应
17、及时移交财务部归档,不得个人保存。b) 工作成果物:l 每个人的工作成果物(工作成果物指需要向客户或上级或组织提交的工作的结果)应该及时保存到指定场所。电子文档应该保存到公用机器上的指定位置,从而得到可靠的备份和访问控制,对于纸质文档和电子介质应该保存到指定文件柜内(除非被批准,不得保存在个人文件柜内),并做好清晰标示,从而保证他们的可用性。员工在公司任职期间的工作成果归公司所有,并按保密协议及本制度进行管理;c) 客户信息l 在公司日常业务(包括营销等相关活动)中接触到客户的信息以及客户提供的信息同样应该作为公司的涉密信息实施管理和控制。重要信息应该被指定为公司绝密,其余都按照“公司秘密”密
18、级来对待。l 特别是客户真实数据,属于“公司机密”,除非得到客户明确授权,不得使用;使用时必须按照严格的流程和管理规定(事先备份等),不得在其它任何场合使用或透露相关信息。6.2涉密信息的访问限制1) 日常工作中需使用含公司绝密、公司机密性数据的设备,或需处理公司绝密、公司机密性数据的员工,须根据公司相关要求签订知识产权及保密协议;2) 本公司委外开发或加工的外包合同/协议中须包含所涉及信息资产的保密条款,必要时,须与相关人员签署保密协议;3) 涉密信息的访问范围应限制在满足需要的最小限度。4) 公司绝密信息应该存放在非相关部门员工无法访问的独立的VLAN内,存放“公司绝密”信息的个人用计算机
19、应该安装防火墙,保证其他机器无法主动访问,通过网络共享目录不允许存放“公司绝密”信息;存放涉密信息的计算机的用户密码必须得到严格控制和有效管理;“内部公开”及以上信息未经授权,严禁以任何方式向公司以外人员泄露。5) “公司绝密”信息由公司领导、信息安全主管部门和相关应用部门协商确定访问权限,由信息安全主管部门委托人员(一般是总裁办管理)具体控制。“公司机密”和“公司秘密”信息由各部门,各项目组的负责人确定访问权限,由他们或委托可靠相关人员进行访问权限的具体控制措施。6) 为了保证涉密信息安全,全体员工必须严格遵守访问控制管理程序中所具体规定的各项控制策略。6.3涉密信息的使用1) 不得使用任何
20、手段主动获取与工作职责无关的涉密信息。2) 不得以任何工作需要以外的目的复制、复印、摘抄涉密信息,未经管理者许可,禁止复制、复印“公司机密”以上级别信息。3) 因工作需要将涉密信息复制到非相关设备或公用设备中时,必须在使用完毕后,立即删除作业遗留的涉密信息。因工作需要复印的涉密信息,使用完毕后,按照涉密信息废弃处置方法处置。4) 涉密信息的使用必须严格限制在工作必须的物理和人员范围内,除非工作需要并得到批准,不得把存放涉密信息的设备和存储介质以及含有涉密信息的纸质文档带出公司。“公司绝密”信息的使用必要时可以通过签名登记的方式加以控制。5) 因工作需要,需要对敏感的涉密信息共享时,必须对涉密信
21、息进行加密处理。6) 不在有非相关人员在场的情况下谈论/使用涉密信息。包括:和客户接触时避免涉密信息的泄露,制作提供给客户的资料文件时原则上使用PDF格式,并需要注意涉密信息的保护。不能在公共场所或者敞开办公室、没有良好隔音的会议室谈论公司绝密信息。7) 使用纸质文件是,要注意:l “公司机密”以上级别信息的纸件不得重复使用,含其它涉密信息的纸件文件也不得跨项目使用;l 下班后应清理桌面,将含有重要涉密信息的纸质文件放入文件柜;l 发出打印命令后,及时去取打印文件,保证打印机处无遗留纸质文件。打印“公司绝密”信息时,尽量使用非公用打印机;l 复印完毕后注意检查,保证复印机处无遗留纸质文件。复印
22、“公司绝密”信息时,尽量在人少时段;l 传真完毕后注意检查,保证传真机处无遗留纸质文件。对于外来的传真,应该马上收取,再通知或送达收件人。l 对于涉密的技术文件的发放和回收,参考文件控制程序。8) 计算机数据安全管理:l 在从事涉及保密信息的工作时,不得离开计算机,使之处于无人照看状态;l 人员因故离开座位时,必须退出系统或使用屏幕密码保护,防止账号被盗用或数据被窃取。下班或因公外出离开办公室前,必须关闭计算机设备并将桌面收拾干净,避免保密信息失窃或系统被侵入;l 保管好所有的数据存储设备,并作适当标识;l 公司绝密或公司机密性数据如需通过电子邮件传送,应经加密处理后传送;l 公司绝密或公司机
23、密性数据,不得存放于无账号权限、密码限定的信息系统中。6.4涉密信息发送1) 任何涉密信息的发送,都必须保证收件人的合法性;“内部公开”信息未经许可,严禁发送给公司以外人员;“公司秘密”,“公司机密”“公司绝密”只发给管理者授权的收件人。2) 涉密信息传送后,必须通过e-Mail/MSN/电话等手段,获得对方的确认或主动向对方确认。3) 在公司内部传送纸质数据时,委托他人传送时,必须加以封装;“公司绝密”信息传送时必须保证直接交给收件人本人;其他涉密信息传送时,尽量直接交给收件人,如果放置在收件人坐席上必须将传送的背面朝上,并且事后要和收件人确认。4) 利用电子手段传送数据时,“公司绝密”信息
24、必须使用加密手段,而且密码不得同时发送;在可能的条件下,鼓励所有涉密信息都采用加密手段传送。“公司绝密”信息除非特别需要必须使用公司的网络服务传送;所有涉密信息都应该尽量避免使用公司外部电子信箱以及MSN/QQ/Skype/公用FTP/网络存储空间等手段来进行传送。必须利用最新的防病毒库对收发的文件进行病毒检查。5) 利用传真进行涉密信息传送时,不得委托非相关人员代为传送;传送时必须始终等待在侧;传送完毕后立刻回收;不特别必要,不利用传真方式进行“公司绝密”信息的传送;收发“公司绝密”信息时,应事先和对方联系,保证传真不经过其他人手。6) 利用快递/邮寄手段进行涉密信息传送时:对传送的信息必须
25、加以封装;不特别必要,“公司绝密”信息的传送不利用快递/邮寄手段进行,而应尽量利用公司内部人员以专程的形式来进行传送工作;传送“公司绝密”信息时,应事先和对方联系;在确认收到时,还必须确认封装没有损坏;非收件人不得随便拆阅。6.5涉密信息的废弃处置1) 过期或作废的涉密文件需要废弃处置处理时,首先需得到批准。2) “公司绝密”信息的废弃处置要得到公司总经理书面批准,并指定可解除该信息人员实施或全程监督实施。其它涉密信息的废弃处置要得到相关部门,相关工作组的负责人的批准,并指定人员实施。3) 公司绝密数据必须退回资料来源处,或者在经资料来源处授权情况下,将其存放在安全的文件贮存处或加以销毁;电子
26、档案必须采用总裁办许可使用的专用销毁文件的计算机磁盘工具予以消除,必须保留销毁文件的记录。4) “公司机密”和“公司秘密”信息,进行处理时,纸质文件要通过专门设备彻底粉碎;电子档案必须采用行政部许可使用的专用销毁文件的计算机磁盘工具予以消除,必须保留销毁文件的记录。5) 客户方面特别提出要求时,按照客户要求的方法实施。6) 个人工作中使用的纸质文档不得随意丢弃或作其它用途,废弃后要及时粉碎处理;电子文档需要及时整理和清除。7) 对一级硬件信息资产进行专人监督物理破坏。7. 保密原则1) 所有公司员工都有义务和责任保守公司公司秘密。l 严格遵守公司关于保密方面的各项政策和制度规定;l 保护并按照
27、规定的方式处理包含公司保密信息的各种记录、草稿、文本副本、打印机色带和图表;l 不在公司以外公共场合及同亲友及家人谈论公司的业务情况及保密信息;l 在向非公司员工发表演讲、宣传时不得援引保密信息;l 未经资料来源处授权,不得复制或复印任何公司保密数据资料;l 未经必要的审批手续,不得将公司保密数据资料从公司带出;l 不得使用规定以外的其它方式,用电子手段传送或调用保密数据材料;l 论文发表前,要经过部门领导和信息安全工作小组审核;2) 员工必须具有保密意识,必须做到不该问的绝对不问,不该说的绝对不说,不该看的绝对不看。未经领导批准,不准开展本岗位外的业务活动,不准串岗。3) 在日常工作中,全体
28、人员都应该按照“知所必需”的原则,获得完成其工作职责所必需的最小范围的涉密信息和最小的逻辑访问权限,并且以尽量安全的方式在最小范围内使用。4) 对公司公司秘密的知晓范围执行压缩控制的原则,员工只在管辖范围内根据工作需要知晓相关的公司公司秘密。5) 公司鼓励员工在一定的程度上使用常识性的办法来保护公司涉密信息,如果员工不知道某项资产的密级,默认情况下至少按“公司秘密”的密级来对待。6) 对于研发进行中的项目,除公司统一制定的产品目标对客户进行宣传以外,公司任何员工均需对公司正在研发的项目内容、项目进度等信息进行保密,尤其是器件供应商,与竞争对手关系密切的客户等。7) 对于公司的商务信息仅限市场人
29、员、商务人员及其管理人员知悉。不同市场区域之间的信息,原则上也要求保密。8) 对外交往与合作中如需要提供公司的公司秘密事项,应先由部门经理批准,特殊情况须经公司相关领导审核、公司总经理批准。9) 因工作需要知悉非本职范围内的公司公司秘密的,须经相关领导批准,公司秘密级信息由部门经理批准,公司机密级信息由分管副总批准,公司绝密级信息由公司总经理批准;10) 公司员工发现公司公司秘密已经泄露或可能泄露时,应立即采取补救措施并及时报告上级主管,上级主管须立即做出相应处理。文档编号(由总裁办填写)密级内部公开文档发布级别公司级文档发布及实行范围全员制度试行日期(可选)制度执行日期文档起草人签字: 日期
30、: 文档修订人:签字:日期:修订说明:备注:文档负责人:签字:日期:文档审批信息安全管理者代表签字: 日期:文档审批人签字: 日期:四、访问控制制度1. 目的和范围通过控制用户权限正确管理用户,实现控制办公网系统和应用系统访问权限与访问权限的分配,防止对办公网系统和应用系统的非法访问,防止非法操作,保证生产系统的可用性、完整性、保密性,以及规范服务器的访问。本访问控制制度适用于系统维护部以及其他拥有系统权限的管理部门。2. 引用文件7) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究
31、是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。8) GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求9) GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则3. 职责和权限各部门必须遵照本管理规范实行对用户、口令和权限的管理,用户必须按照本管理规范访问公司办公网系统和应用系统。4. 用户管理4.1用户注册1) 只有授权用户才可以申请系统账号,账号相应的权限应该以满足用户需要为原则,不得有与用户职责无关的权限。2) 一人一账号,以便将用户与其操
32、作联系起来,使用户对其操作负责,禁止多人使用同一个账号。3) 用户因工作变更或离职时,管理员要及时取消或者锁定其所有账号,对于无法锁定或者删除的用户账号采用更改口令等相应的措施规避该风险。4) 管理员应每季度检查并取消多余的用户账号。4.2用户口令管理和使用 引用文件:密码控制管理制度5. 权限管理5.1用户权限管理原则1) 所有的重要服务器应用系统要有明确的用户清单及权限清单,每季度进行一次权限评审。2) 重要设备的操作系统、数据库、重要应用程序相关的特殊访问权限的分配需进行严格管理。3) 对一般用户只拥有在注册时所审批的权限。4) 每个人分配的权限以完成相应工作最低标准为准。服务器日志的安
33、全审查职责与日常工作权限责任分割。5) 新账号开通时提供给他们一个安全的临时登录密码,并在首次使用时强制改变。6) 为防止未授权的更改或误用信息或服务的机会,按以下要求进行职责分配:a) 系统管理职责与操作职责分离;b) 信息安全审核具有独立性。5.2用户访问权限设置步骤1) 权限设置:对信息的访问权限进行设置,添加该用户的相应访问权,设置权限,要再次确认,以保证权限设置正确。2) 定期检查用户账户:管理员每季度对应用系统进行一次权限评审。3) 取消访问权:离开公司应立即取消或禁用其账号及所有权限,将其所拥有的信息备份保存,或转换接替者为持有人。用户的岗位发生变化时,要对其访问权限重新授权。6
34、. 操作系统访问控制6.1安全登录制度1) UNIX、LINUX系统使用SSH登录系统。2) 进入操作系统必须执行登录操作,禁止将系统设定为自动登录。3) 记录登录成功与失败的日志。4) 日常非系统管理操作时,只能以普通用户登录。5) 启用操作系统的口令管理策略(如口令至少8位,字母数字组合等),保证用户口令的安全性。6.2会话超时与联机时间的限定1) 重要服务器应设置会话超时限制,不活动会话应在一个设定的休止期5分钟后关闭。2) 应考虑对敏感的计算机应用程序,特别是安装在高风险位置的应用程序,使用连机时间的控制措施。这种限制的示例包括:l 使用预先定义的时间间隔,如对批量文件传输,或定期的短
35、期交互会话等情况使用指定的时间间隔;l 如果没有超时或延时操作的要求,则将连机时间限于正常办公时间;7. 应用系统访问控制1) 根据重要服务器-应用系统清单,填写重要应用系统权限评审表,每季度评审一次。2) 各应用系统必须确定相应的系统管理员、数据库管理员和应用管理员。3) 应用系统的用户访问控制,用户的申请应填写相关系统的申请表,须经过应用系统的归口主管部门审核同意,由系统管理员授权并登记备案后,方可使用相应的应用系统。4) 如果发生人员岗位变动,业务部门信息安全主管通知部门信息安全员与相关应用系统管理员联系,告知系统管理员具体的人员变动情况,便于系统管理员及时调整岗位变动人员的系统访问权限
36、。5) 应用系统的用户必须遵守各应用系统的相关管理规定,必须服从应用系统的管理部门的检查监督和管理。禁止员工未经授权使用系统实用工具。6) 应用系统用户必须严格执行保密制度。对各自的用户帐号负责,不得转借他人使用。7) 重要应用系统用户清单及权限必须进行定期评审。8. 网络和网络服务访问控制1) 所有员工在工作时间禁止利用公司网络和互联网专线访问违法网站及内容。2) 客户及第三方人员不允许直接通过可访问公司资源的有线或无线网络访问Internet,客户及第三方人员如需访问Internet应当在专设的隔离区进行。3) 员工须通过VPN访问公司相关网络和网络服务。4) 需要访问各种网络服务的用户须
37、向本部门主管申请VPN帐号,由本部门主管通过邮件提交VPN帐号管理员,由VPN帐号管理员为其分配密钥和帐号。9. 网络隔离1) 公司与外部通过防火墙隔离,制定严格的VLAN划分,对公司内重要部门的访问进行控制。2) 运行中心制定VLAN访问控制说明。10. 网络设备1) 网络设备配置管理员帐号由系统服务部指定专人统一管理,保存帐号及密码的电子文件需加密保存,并存放在可靠的安全环境下。2) 系统管理员密码须符合服务器安全控制的密码安全规定;3) 管理人员不得向任何非授权人员泄露网络设备的管理员帐号及密码。11. 信息交流控制措施1) 信息交流方式包括数据交流、电子邮件、电话、纸质文件、谈话、录音
38、、 会议、传真、短信、IM工具等;2) 可交流的信息,须符合信息资产分类分级管理制度里的密级规定;3) 公司使用的信息交流设施在安全性上应符合国家信息安全相关法律法规、上级主管机关以及本公司安全管理规定的要求;4) 不能在公共场所或者敞开的办公室、没有屋顶防护的会议室谈论机密信息;5) 对信息交流应作适当的防范,如不要暴露敏感信息,避免被通过电话偷听或截取;6) 员工、合作方以及任何其他用户不得损害公司的利益,如诽谤、骚扰、假冒、未经授权的采购等;7) 不得将敏感或关键信息放在打印设施上,如复印机、打印机和传真,防止未经授权人员的访问;8) 在使用电子通信设施进行信息交流时,所考虑的控制包括:
39、 l 防止交流的信息被截取、备份、修改、误传以及破坏; l 保护以附件形式传输的电子信息的程序; l 有业务信件和消息的保持和处置原则,要符合相关的国家或地方法规;9) 使用传真的人员注意下列问题:l 未经授权对内部存储的信息进行访问,获取信息;l 故意的或无意的程序设定,向特定的号码发送信息; l 向错误的号码发送文件和信息,或者拨号错误或者使用的存储在机器中的号码是错误的。12. 远程访问管理12.1远程接入的用户认证1) 凡是接入公司的远程用户的访问必须通过VPN并经过认证方可接入。2) 认证用户必须使用8位以上复杂密码。3) 任何远程接入用户不得将自己的用户名、密码提供给任何人,包括同
40、事,家人。4) 所有远程接入用户的客户端或个人电脑必须安装防病毒软件并且病毒库升级到最新。12.2远程接入的审计远程接入用户的操作必须要经过接入设备的审计。应记录相关日志,对用户行为监控。13. 无线网络访问管理1) 行政部应协同系统服务部对无线网络进行授权管理;对需要使用无线网络的设备,通过绑定其MAC地址授权访问,其他人员不允许通过公司无线网络上网。2) 如有已授权访问的设备,取消授权,应即时对其MAC地址解绑。14. 笔记本使用及安全配置规定1) 笔记本电脑设备必须有严格的口令访问控制措施,口令设置需满足公司安全策略要求。2) 对无人看守的笔记本电脑设备必须实施物理保护,必须放在带锁的办
41、公室、抽屉或文件柜里。3) 重要业务笔记本电脑设备丢失或被窃后应及时报告给部门经理和行政部。4) 凡带出公司使用而遗失、被偷盗等均由个人负全责赔偿。5) 除自然损坏外,凡人为损坏(如撞坏、跌坏、电源插错烧坏等)由本人负责修好,费用由个人承担。6) 笔记本电脑中除工作所需的软件外,不得安装与工作无关的软件。7) 授权使用的笔记本电脑设备必须安装公司要求的防病毒软件。8) 各部门对笔记本电脑设备定期进行一次病毒软件和操作系统补丁自检,行政部进行不定期抽查。9) 笔记本电脑外出时禁止托运,必须随身携带。10) 笔记本电脑上的重要资料应即时做好备份,防止意外丢失。备份的设备或介质应符合信息资产分类分级
42、管理制度中的保护要求。15. 外部人员使用笔记本的规定1) 出于安全考虑,一般不予考虑来访人员接入公司内部网络。16. 服务器安全控制 引用文件:讯鸟服务器安全管理规范17. 实施策略1) 访问控制制度涉及的包括重要服务器-应用系统清单重要应用系统权限评审表。2) 用户申请权限时,填写相关系统的申请表。3) 每季度评审并填写重要应用系统权限评审表。18. 相关记录序号记录名称保存期限保存形式备注1重要服务器-应用系统清单三年电子2重要应用系统权限评审表三年电子文档编号(由总裁办填写)密级内部公开文档发布级别公司级文档发布及实行范围全员制度试行日期(可选)制度执行日期文档起草人签字: 日期:文档
43、修订人签字:日期:修订说明合并网络、网络服务;增加了通过VPN访问描述,增强了控制策略。备注:文档负责人:签字:日期:文档审批信息安全管理者代表签字: 日期:文档审批人签字: 日期:五、密码控制管理制度1. 目的和范围为确保安全成为所开发的信息系统一个有机组成部分,保证开发过程安全,特制定本制度。适用于本公司所有信息系统的开发活动,信息系统内在安全性的管理。本制度作为软件开发项目管理规定的补充,而不是作为软件开发项目管理的整体规范。2. 引用文件1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,
44、鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。2) GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求3) GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则3. 职责和权限开发部门:确保适当和有效地使用密码技术以保护信息的保密性、真实性和(或)完整性。4. 密码控制4.1使用密码控制的策略1) 控制描述应开发和实施使用密码控制措施来保护信息的策略。2) 实施指南制定密码策略时,应考虑下列(但不仅限于)内容:l 组织间使用密码控制的管理方法,包括保护业务信息的一般原则;l 使用加密技术保护通过可移动介质、设备或者通过通信线路传输的敏感信息;l 基于风险评估,应确定需要的保护级别,并考虑需要的加密算法的类型、强度和质量;l 加密可能带来不利影响。由于某些控制措施依赖于内容检查(例如病毒检测等),要求数据处于未加密状态。 3) 用户口令管理a. 初始密码在创建用户时设定,初次登录时操作系统或者管理员必须强制修改密码,不能使用缺省设置的密码。初始密码样本:orient11b. 用户忘记口令时,管理员必须在对该用户进行适当的身份识别后才能向其提供临时口令。c. 在向用户提供临时口令时,必须采用
