《信息安全管理制度2068123459.doc》由会员分享,可在线阅读,更多相关《信息安全管理制度2068123459.doc(58页珍藏版)》请在三一办公上搜索。
1、大庆市华拓数码科技有限公司文件名称信息安全管理制度文件编号WLB-XXAQGL-04-V1.0文件密级秘密制 修 订 记 录版本号制修订日期制修订者制 修 订 摘 要V0.12011.2.19李钦草稿V1.02011.5.11李钦修改完善,申请发布文件编制单位意见审核签字校对签字管理者代表签发1、 前言 1.1目的为了保证我公司信息及我公司提供服务的客户的信息安全,避免信息遭丢失、破坏、泄漏、非授权访问等情况的发生,特制定本制度。1.2适用范围适用于本公司所有项目组和职能部门。1.3相关文件1. 参考文件:计算机使用管理规定、物理访问控制程序、用户访问控制程序。2. 关联文件:无 3. 相关记
2、录:无。角色名称职责网络部1. 组织对该文件的使用进行正式培训。行政部2. 在文件发布时,对文件版式、文字进行核准。网络部3. 负责本文件的编写、修订、报批。技术总监4. 负责此文件的审核。管理者代表5. 对该文件进行全面负责,如同意则代表该文件可以发布。1.4责任矩阵1.5解释与维护 本文件由网络部负责培训、解释与维护。2、 总则1网络与信息安全的基本概念网络与信息安全主要包括下列三个基本属性:l 机密性(Confidentiality):确保网络设施和信息资源只允许被授权人员访问。根据信息的重要性和保密要求,可以分为不同密级,并具有时效性。l 完整性(Integrity):确保网络设施和信
3、息及其处理的准确性和完整性。l 可用性(Availability):确保被授权用户能够在需要时获取网络与信息资产。需要特别指出的是,网络安全与信息安全(包括但不限于内容安全)是一体的,不可分割的。2网络与信息安全的重要性和普遍性网络与信息都是资产,具有不可或缺的重要价值。无论对企业、国家还是个人,保证其安全性是十分重要的。网络与信息安全工作是企业运营与发展的基础和核心;是保证网络品质的基础;也是保障企业和客户利益的基础。因此华拓数码的网络与信息安全是企业和客户安全的需要。网络与信息安全工作无所不在,分散在每一个部门,每一个岗位,甚至是每一个合作伙伴;同时,网络与信息安全是华拓数码所有员工共同分
4、担的责任,与每一个员工每一天的日常工作息息相关。华拓数码所有员工必须统一思想,提高认识,高度重视,从自己开始,坚持不懈地做好网络与信息安全工作。3华拓数码网络与信息安全体系与安全策略华拓数码网络与信息安全体系是由两部分组成的。一部分是一系列安全策略和技术管理规范(第一、二层),另一部分是实施层面的工作流程和记录文档(第三层)。信息安全管理制度(以下简称总纲)根据公司信息安全方针而制定,位于安全体系的第一层。它主要阐述安全的必要性、基本原则及宏观策略。具有高度的概括性,涵盖了技术和管理两个方面,对华拓数码各方面的安全工作具有通用性。安全体系的第二层是一系列的技术规范和管理规定,是对总纲的分解和进
5、一步阐述,侧重于共性问题、操作实施和管理考核,提出具体的要求,对安全工作具有实际的指导作用。安全体系的第三层是操作层面,它根据第一层和第二层的要求,结合具体的网络和应用环境,制订具体实施的细则、流程等,具备最直观的可操作性。安全体系也包含了实施层面的工作流程,结合三层安全策略,进行具体实施和检查考核,同时遵循动态管理和闭环管理的原则,通过定期的评估不断修改完善。安全策略是在公司内部,指导如何对网络与信息资产进行管理、保护和分配的规则和指示。华拓数码必须制订并实施统一的网络与信息安全策略,明确安全管理的方向、目标和范围。安全策略必须得到管理层的批准和支持。安全策略应被定期评审和修订,以确保其持续
6、适宜性,特别是在组织结构或技术基础改变、出现新的漏洞和威胁、发生重大安全事件时。华拓数码的安全策略是由安全体系三个层面的多个子策略组成的,具有分层结构的完整体系,包含了从宏观到微观,从原则方向到具体措施等多方面的内容。安全策略用来指导全网的网络与信息安全工作。4安全需求的来源确立安全需求是建立完整的安全体系的首要工作。华拓数码的安全需求主要源自下述三个方面:系统化的安全评估。结合经验教训和技术发展,通过安全评估分析公司网络和信息资产所面临的威胁,存在的薄弱点和安全事件发生的可能性,并估计可能对公司造成的各种直接的和潜在的影响。华拓数码及其合作伙伴、承包商、服务提供商必需遵守的法律法规、行政条例
7、和合同约束,以及公司对客户的服务承诺。公司运营管理的目标与策略。下图说明了安全需求、风险评估和安全措施三者的关系。5安全风险的评估安全风险评估可以应用于整个公司或某些部分,也可应用于单个网络信息系统、特定系统组件或服务。安全风险评估应着重于:l 安全事件可能对华拓数码造成的损失,以及所产生的直接和潜在的影响。l 综合考虑所有风险,以及目前已实施的控制措施,判断此类安全事件发生的实际可能性。l 从安全角度,对公司现有的管理制度和流程本身的合理性与完备程度进行评估。安全风险评估应本着可行、实际和有效的原则,通过标准统一的评估程序和方法,量化安全风险,确定安全风险的危险级别,从而采取合理措施防范或降
8、低安全风险。需要特别指出的是:为适应业务发展的变化,应对新出现的威胁和漏洞,评估现有控制措施的有效性及合理性,必须周期性地进行安全风险评估并调整控制措施,且应在不同的层面进行,为高风险领域优先分配资金、人力等资源。6安全措施的选择原则l 有效性。安全措施的实施必须能够确保风险被降低到可以接受的水平,达到期望的安全目标。l 可行性。安全措施必须在技术上是可操作的,可以实现的。某些安全措施不具备通用性,需要因地制宜的考虑具体实施环境。l 实际性。应从管理、财务等非技术因素详细分析待实施的安全措施,综合比较实施成本与由此减少的潜在损失,非经济因素也应考虑在内。公司应在遵循以上原则的基础上,根据网络与
9、信息资产面临风险的大小,区分轻重缓急,实施相应的安全控制措施。7安全工作的起点根据一般性规律和业界的实际经验,网络与信息安全工作的开展可以从以下几个方面着手:l 法律方面:数据保护以及个人隐私保护、公司记录保护和知识产权保护等。l 业界惯例:安全策略制订、安全职责划分、安全教育与培训、安全事件响应和业务连续性管理等。需要指出的是,上述内容不能取代根据安全风险评估选择控制措施的基本原则。任何控制措施的选取都应当依据实际面临的具体风险来确定。8关键性的成功因素为了确保网络与信息安全工作的顺利实施,下列因素至关重要:l 公司管理层的高度重视、明确支持和承诺;l 安全工作组织与人员的落实;l 安全策略
10、、目标和措施应与公司经营目标一致;l 安全工作的具体实施必须同公司的企业文化相兼容;l 深刻理解安全需求、风险评估及风险管理;l 在全体员工中建立网络与信息安全无处不在的安全理念;l 向所有员工和第三方( 包括承包商、合作伙伴、客户等)分发网络与信息安全指南,并提供相应的培训和教育。9安全标准综述本标准依据国际规范,参考业界的成熟经验,结合华拓数码的实际情况,制定并描述了网络与信息安全管理必须遵守的基本原则和要求,将安全工作要点归结到以下六个方面:1网络与信息资产管理公司必须建立详细准确的网络与信息资产清单和严格的资产责任制度。每一项资产都应当指定“责任人”,分配其相应的安全管理职权,并由其承
11、担相应的安全责任。“责任人”可以将具体的工作职责委派给“维护人”,但“责任人”仍必须承担资产安全的最终责任。根据网络与信息资产的敏感度和重要性,必须对其进行分类和标注,并采取相应的管理措施。2物理与环境安全公司的关键或敏感的网络与信息处理设施应被放置在安全区域内,由指定的安全边界予以保护。根据不同的安全需求等级,公司应划分不同的安全区域,例如:机房、办公区和第三方接入区。针对不同的安全区域,公司应采取不同等级的安全防护和访问控制措施,阻止非法访问、破坏和干扰。工程施工期间也应遵守相关规定,加强安全区域的保护。公司必须制定清理办公环境及合理使用计算机设备的规定。网络与信息处理设施的处置与转移应遵
12、守相应的安全要求。3通信与运营管理安全公司应建立网络与信息处理设施的管理和操作的职责及流程,并尽可能地实现职责分离。开发、调测和运营环境应保持相对隔离。公司应做好系统容量的监视和规划。配套安全系统应与业务系统“同步规划、同步建设、同步运行”。新建或扩容系统的审批应包含安全内容,并在交付使用前做好测试和验收工作。涉及安全方面的审批工作应由安全机构人员负责。公司应加强防范意识,采取有效措施,预防和控制恶意软件。公司应建立严格的软件管理制度,及时加载安全补丁,定期进行系统安全漏洞评估,并执行系统加固解决方案。公司应当制定备份制度,执行备份策略,并定期演练数据恢复过程。记录操作和故障日志。公司必须采取
13、多种控制措施,保护网络设备及其信息的安全,尤其是网络边界和与公共网络交换的信息。可采取的控制措施如:访问控制技术、加密技术、网管技术、安全设备、安全协议等。公司应制定信息存储介质的管理制度和处置流程。应特别加强对可移动存储介质和系统文档的管理。公司在与其它组织交换信息和软件时,应遵从相应的法律或合同规定,采取必要的控制措施。公司应制定相应的程序和标准,以保护传送过程中的信息和媒介安全,尤其要考虑电子商务、电子邮件等应用的安全控制需求。公司还应制定信息发布管理规定。4访问控制公司应基于业务和安全需求,制定访问控制策略,并明确用户职责,加强用户访问控制管理。公司应加强对移动办公和远程办公的管理。公
14、司应加强对网络系统、操作系统、应用系统的访问控制,如在公司网络边界设置合适的接口,采取有效的用户和设备验证机制,控制用户访问,隔离敏感信息。同时应监控对系统的访问和使用,记录并审查事件日志。5安全事件响应与业务连续性公司必须贯彻“积极预防、及时发现、快速反应与确保恢复”的方针,建立安全事件响应流程和奖惩机制。如有必要,应尽快收集相关证据。公司应实施业务连续性管理,通过分析安全事件对业务系统的影响,制定并实施应急方案,并定期更新、维护和测试。6安全审计网络与信息系统的设计、操作、使用和管理必须遵从国家法律、信息产业部相关管理条例以及合同规定的安全要求。安全审计应遵循独立原则,定期检查网络与信息系
15、统安全,检验安全政策和技术规范的执行情况。应采取有效的控制措施保护网络与信息系统及审计工具,使安全审计的效果最大化,影响最小化。3、 正文3.1 网络与信息资产管理3.1.1 网络与信息资产责任制度1资产清单公司各部门应编制并保留各自责任范围内的各套网络与信息系统的重要资产清单,明确每件资产的责任人和安全保护级别,同时还应当确定其当前位置。公司网络部组织汇总、保留全公司完整的资产清单。网络与信息资产例如:l 硬件和设施:计算机设备、数据网络通信设备(路由器、交换机等);磁性媒介(磁带和磁盘等)、其它技术设备(电源以及空调装置等)等;l 文档和数据:客户图像和结果、技术文档、配置数据、拓扑图等;
16、l 软件和系统:应用软件、系统软件以及开发工具等;l 人力资源:与信息安全体系相关的各部门人员等;l 服务:电力、互联网、专线等;需要特别指出的是,在确定资产清单中各项资产的安全保护等级时,必须依据该资产的相对价值,尤其要根据该资产所在系统的服务对象、所处地点、承载业务等方面的不同,分为不同的安全保护级别,采取不同的安全保护措施。2资产责任制度网络与信息都是资产,是企业运营与发展的基础和核心,具有不可或缺的重要价值。华拓数码必须建立严格的资产责任制度,以有效保护网络与信息资产。资产责任制度的要点如下:l 公司必须为网络与信息资产建立详细清单,并维护其准确性与完整性。具体可以按照网络与信息资产所
17、属系统或所在部门列出,并给出诸如资产名称、所处位置、资产责任人、资产分类及重要性级别等相关信息。l 公司应根据资产的相对价值大小来确定其重要性,即根据资产受威胁所产生的实际影响和其本身的价值来综合评价。l “谁主管,谁负责”。公司拥有的每项网络与信息资产,必须根据资产归属确定“责任人”,分配其相应的安全管理职权,并由其承担相应的安全责任。资产“责任人”可以将具体的安全职责委派给“维护人”,但“责任人”仍须承担资产安全的最终责任。l 任何对网络与信息资产的变更、访问必须在获得资产责任人的批准后进行。l 维护人应根据与资产责任人达成一致的维护要求,保证所维护网络与信息资产的机密性、完整性和可用性。
18、l 定期对网络与信息资产进行清查盘点,确保资产帐物相符和完好无损。l 未经管理人员批准,任何人都不得将公司资产用于私人目的,公司有权对有意误用者进行纪律惩戒。在资产责任制度中,可对资产责任人、资产维护人等的职责和权利作如下细化:3责任人的职责和权限网络与信息资产的责任人是指负责管理网络与信息资产并落实相应安全措施的个人或部门。l 所有网络与信息资产都必须指定责任人。l 责任人及其领导负责进行风险分析,根据信息保密标准分类确定、鉴别并记录其所拥有的网络与信息资产的安全级别。该级别至少每年评审一次。l 责任人必须贯彻、落实恰当的安全控制措施,确保只有在工作必须的情况下才能使用相关资产。l 责任人可
19、以为由其负责的资产指派维护人,或自己担当此任。l 责任人可基于工作相关性分配访问权,并与维护人共同负责保证网络与信息资产的可用性。l 责任人必须至少每年审查一次其资产的访问权限。评审流程必须记录在案,并保留到下一次审查结束之前。需要特别指出的是,数据责任人是一种职能角色,负责管理控制特定数据的访问权限及与安全相关的问题。数据责任人可以将自己负责的数据的所有权授予其它个人,但让与此类权力决不意味着能够免除数据责任人对数据的责任。例如:人事信息数据被应用系统调用,提供用户查询。数据的责任人是人力资源部,其它人无权修改。4维护人的职责和权限网络与信息资产的维护人是指支持并维护网络与信息资产的人员。l
20、 维护人可以根据所保管的信息的保密类别来确定相应的实物资产的安全管理流程,以确保网络与信息资产责任人所要求的机密性、完整性和可用性。l 责任人应确保适当的安全措施到位,并可以适度向下委派。如若需要,可以确定备用联络人。维护人必须保留责任人的名单。l 维护人必须通知责任人其所应承担的安全职责。l 未经责任人许可,维护人不得重新划分信息的类别。3.1.2 资产安全等级及相应的安全要求公司应确定网络与信息资产的相对价值和重要性,并明确相应的安全保护级别。资产分类时的注意事项如下:l 资产责任人负责指定资产级别并定期评审;l 资产的级别不是一成不变的,而是随着分类政策的变化而变化的;l 必须综合考虑资
21、产分类方式的利弊,避免过度复杂的划分模式导致使用不便和成本升高。1信息的安全等级、标注及处置信息能够以众多形式存在,如:语音、书面、电子文档等。不论信息以何种形式存在,也不论以何种方式被共享或存储,信息始终应当得到妥善保护。信息具有不同的敏感度和重要性,应从其机密性、完整性和可用性等安全属性对其进行分级,反映不同的保护要求、优先级和程度。公司应明确规定信息处于不同载体的标注方法。信息的密级必须被明确标注。根据存储和输出方式的不同,可以采用物理标签、电子标记等方法。信息的存储介质必须以物理标签形式标明其密级。当信息以可视方式输出(如:打印、屏幕显示等)时,必须以可视的方式显示其密级。需要注意的是
22、,其它机构可能对相同或类似的信息分级标志作了不同的定义,在使用中应特别注意。处置是对实物形式和电子形式的信息资产进行以下类型的信息处理活动:l 复制;l 存储;l 通过邮寄、传真或电子邮件等方式进行传输;l 通过口头对话方式进行传播,包括电话、语音邮件、应答设备等等;l 销毁。公司应明确规定不同密级的信息,在处置过程中需要采取的相应控制和保护措施。华拓数码的信息分级、标注和处置情况见下表。信息密级说明分级职责控制要求使用说明一般信息由公司各部门创建拥有、无需分级的信息,如:公司刊物,网页等创建者防止非法修改使用者: 所有对此类信息具有合法业务需求的人员。 标记: 无特殊要求,电子邮件必须标记“
23、华拓数码一般性商业信息”。处置:无特殊预防措施。分发:采用任何适用的方式。销毁:无特殊要求。内部信息能够因己方的损失使竞争对手获益的信息,如:电话簿或者内部备忘录创建者 防止非法修改; 必须建立独立的用户账户 和密码; 基于读写访问的必要性原则予以批准使用者:任何需要知道的人员。标记:在第一页标记“仅供华拓数码内部使用”。处置:控制。分发:经过批准的电子邮件或者电子文件传输系统。销毁: 所采用的销毁手段必须确保相应信息不被非华拓数码员工获得。机密信息对公司具有重大价值的信息,如:财务报表创建者的直接主管 同“内部信息”控制要求 必须创建审计跟踪纪录,并保护、归档至少一年 笔记本电脑、移动硬盘中
24、的秘密信息必须加密存储使用者:“必须知道”的人员,需要签署保密协议。标记:在每一页都标记“华拓数码机密信息”。处置:专人保管或者锁闭。分发:经过批准的电子邮件或者具有访问控制的电子文件传输系统。销毁: 粉碎或者置于安全的文档容器内。绝密信息从本质上讲最敏感的信息(比如商业机密和软硬件设计等等)部门主管或更高级别人员 同“机密信息”控制要求 需要明文规定,纪录所有访问历史,并加密存储使用者:“必须知道”的人员,需要签署保密协议;授权访问至少由公司级别的分管领导决定。标记:在每一页标记“华拓数码绝密信息”。 处置:专人保管或者锁闭,不得复制。分发: 具有访问控制和加密的安全的电子系统。销毁:返回给
25、创建者。2网络信息系统安全等级根据网络信息系统的安全属性和服务对象、所处地点、承载业务等不同,可分为不同安全等级,采取不同的安全措施。实物、软件类资产是根据其所处网络信息系统的不同而具有不同的安全等级,不再对具体资产进行分级。网络信息系统的安全等级可按如下原则进行分类:l 从公司客户的角度来衡量业务系统故障所造成的影响。l 经济损失:可以根据影响营业收入的程度或者无法满足财务目标来评估业务系统的重要性。l 法律影响:可以根据法律、合同、政府的监管要求来评估业务系统的重要性。l 由于信息资产损失而导致的公司形象受损也应被评估。此类损失能够严重影响公司的声誉和股东的信心。重大损失可能导致整个公司或
26、者业务部门无法正常运转。根据以上原则,华拓数码的业务和支撑网络可分为关键系统和一般系统两个安全等级。如果实际情况需要,也可进一步细分。在资产清单中应标明具体资产归属的网络信息系统及其安全等级,同时,对于实物资产还应在物理实体上进行标注。3.2 物理及环境安全管理物理与环境安全是保护网络基础设施、信息系统及存储媒介免受非法的物理访问、自然灾害和环境危害。3.2.1安全区域安全区域是需要被保护的生产和办公场所,和放置网络与信息处理设施的物理区域。例如:办公室、机房、生产区等。公司应根据安全评估的结果,通过建立安全区域并实施相应的控制措施,对网络与信息处理设施进行全面的物理保护。公司应根据不同的安全
27、保护需要,划分不同的安全区域,实施不同等级的安全管理。例如:核心生产区域、内部办公区域、第三方接入访问区域、公共/会客区域等。需要特别指出的是,工程施工期间也应遵守相关规定,加强安全区域的保护。1安全边界安全区域的物理保护可以通过在其周围设置若干物理关卡来实现。安全边界是指那些可以建立这种关卡的实物,例如:墙壁、门禁、接待处等。安全边界的位置和强度取决于风险评估的结果。以下是建立安全边界的指导原则:a) 安全边界应被明确规定。b) 安全边界在物理上应该非常坚固。c) 应设立人工接待处或采取其它限制物理出入的措施,控制安全区域的进出。d) 访问安全区域应仅限于经过授权的人员。e) 必要时,安全边
28、界应延伸至整个物理空间,以防止非授权访问及环境污染(例如火灾、水灾等)。f) 安全边界上的所有应急通道出入口都应关闭,并设置报警装置。2出入控制无论内部员工还是第三方人员,只有经过授权的人员才可以进入安全区域。公司应实施以下措施对安全区域的出入进行控制:a) 安全区域的访问者应办理出入手续并接受监督或检查,应记录其进入和离开的日期和时间。访问者的访问目的必须经过批准,并只允许访问经授权的目标。访问者应被告知该区域的安全要求及有关应急程序。b) 重要的安全区域应仅限于授权人员访问,并使用身份识别技术(例如门禁卡、个人识别码等)对所有访问活动进行授权和验证。所有访问活动的审计跟踪记录应被安全地保管
29、。c) 所有内部员工都应佩戴明显的、可视的身份识别证明,并应主动向那些无公司员工陪伴的陌生人和未佩戴可视标志的人员提出质疑。d) 安全区域的访问权应被定期审查和更新。e) 行政办公室负责外来人员来访的登记、接待及访客卡的发放,并负责通知相关部门接待引领外来人员办理具体事宜。f) 人力资源部负责对内部员工及经授权长期访问的第三方的门禁卡的发放与回收。g) 网络部负责访问权限的设置与解除;定期对访问权限的评审、门禁监控系统的维护。h) 基于与公司其它部门的业务联系而产生的第三方的访问,相关部门人员在接到行政办公室通知后,到公司指定区域带领第三方进入办公区域,并有专人陪同。3物理保护安全区域的选择和
30、设计应考虑火灾、洪水、雷击、爆炸、骚乱及其它形式的自然或人为灾害导致的破坏,还应考虑相关的卫生、安全条例标准及周边的任何安全威胁。公司应实施以下措施对安全区域进行物理保护:a) 重要的网络与信息处理设施(例如:通信网设备、支撑设备等)应置于公众无法进入的场所。b) 建筑物应不引人注目,并尽量减少其用途的标示。建筑物内外不应设置明显的表明信息处理活动的标志。c) 办公设备,如复印机、传真机等,应放置在合适的安全区域内,避免无关人员接触,减少信息的泄露。d) 无人值守时,门窗都应关闭,底层窗户应考虑设置外部防护。e) 应按照专业标准安装并定期测试防盗入侵检测系统、防火探测警报系统、电视监视系统等安
31、全设施。未被使用区域的告警装置也应开启。f) 公司管理的网络与信息处理设施应与第三方管理的设备实现物理分离。g) 记录重要网络与信息处理设施所在位置等信息的通信录和内部电话簿不应被公众接触到。h) 危险或易燃物品应安全存放,与安全区域保持一定的安全距离。一般情况下,在安全区域内不得存放大量的、短期内不使用的材料和物品。i) 备用设备和备份媒介应安置在与主场所保持安全距离的区域内,以防主场所发生灾难时可能造成的破坏。j) 为保证公司信息安全,各项目生产场所应设置门禁以限制外来人员进入,设置录像监控系统对场所内的活动进行监控、记录,以便随时调取查证。4安全区域工作规章制度公司应制订安全区域工作规章
32、制度,对在安全区域内工作的人员及被授权进入安全区域的其它人员加强管理。工作规章制度应考虑不同安全区域的特点,可采取以下控制措施:a) 明确基本安全原则;b) 落实安全区域内资产保护的责任;c) 出于安全原因和防止恶意破坏,安全区域内应避免不受监督的工作;d) 未使用的安全区域应采取物理方式锁闭,并定期检查;e) 第三方支持人员应仅在需要时才能进入安全区,使用信息处理设施。这种访问必须经过授权并受到相应的限制,同时应接受监督;f) 安全区域内,具有不同安全要求的区域之间需要设置额外的安全边界,以控制物理访问;g) 除非经过授权,否则不允许使用摄影、摄像、音频、视频及其它记录设备;h) 明确紧急情
33、况下的处理措施,例如火灾等;i) 工作人员应仅在“需要知道”时才了解安全区域的存在或者发生的活动。5送货、装卸区与设备的隔离当物品被运送或卸载到重要安全区域时,物品和搬运人员都有可能对该区域内的重要网络与信息资产产生威胁。因此,在可行的情况下,公司应将送货、装卸区和网络与信息处理设施隔离,并对物品和搬运人员进行严格控制。公司应根据风险评估结果确定区域隔离的安全要求,并采取以下控制措施:a) 从建筑物外部进入送货、装卸区的人员应经过授权和身份确认;b) 送货、装卸区的设计应使搬运人员没有机会接触其它区域;c) 送货、装卸区的外门应在内门打开时紧闭;d) 物品从送货、装卸区转移到使用地点前应进行检
34、查,防止潜在的危险;e) 进出的物品都应进行登记。6.机房管理 a) 进入主机房至少应当有两人在场,并登记“机房访问登记表”,记录出入机房时间、人员。 b) IT部门人员进入机房必须经领导许可,其他人员进入机房必须经IT部门领导许可,并有有关人员陪同。值班人员必须如实记录来访人员名单、进出机房时间、来访内容等。非IT部门工作人员原则上不得进入中心对系统进行操作。如遇特殊情况必须操作时,经IT部门负责人批准同意后有关人员监督下进行。对操作内容进行记录,由操作人和监督人签字后备查。 c) 保持机房整齐清洁,工作人员进入机房必须更换拖鞋,各种机器设备按维护计划定期进行检查、维护、保养。 d) 机房内
35、严禁吸烟、吃东西、会客、聊天等。不得进行与业务无关的活动。严禁携带液体和食品进入机房,严禁携带与上机无关的物品,特别是易燃、易爆、有腐蚀等危险品进入机房。 e) 机房工作人员严禁违章操作,严禁私自将外来软件带入机房使用。 f) 严禁在通电的情况下拆卸,移动计算机等设备和部件。 g) 定期检查机房消防设备器材。 h) 主机设备主要包括服务器和业务操作用PC机等。在计算机机房中要保持恒温、恒湿、电压稳定,做好静电防护和防尘等项工作,保证主机系统的平稳运行,及时发现和排除主机故障,根据业务应用要求及运行操作规范,确保业务系统的正常工作。 i) 定期对空调系统的运行状况进行检查,并做好记录,发现问题及
36、时报告行政部给予检修,保证机房空调的正常运行。 j) 计算机机房后备电源(UPS)除了定期检查外,每年必须充放电一次到两次。3.2.2设备安全保护网络与信息处理设备是降低数据遭受非授权访问的风险和保护数据不受破坏及丢失的必要措施。1设备安置及物理保护为降低环境因素带来的风险,并减小非法访问的概率,公司应妥当安置设备,并采取以下控制措施:a) 设备布局应尽量减少对工作区的不必要的访问;b) 重要的网络与信息处理设施的放置应尽量降低使用中的过失风险; c) 需要特殊保护的设备应与其它设备隔离,以降低整个区域内所需的安全保护级别;d) 采取相应的控制措施,尽量降低环境因素带来的潜在威胁。例如:盗窃、
37、火灾、爆炸、烟雾、水、灰尘、震动、化学作用、电力故障、电磁辐射等;e) 禁止在网络与信息处理设施附近的进餐、饮水及抽烟等活动;f) 监控有可能对信息处理设施造成不良影响的环境条件。例如:温湿度;g) 特殊环境下的设备,应考虑采用特殊的保护方法。例如:在工业环境里,采用防爆灯罩、键盘隔膜等;h) 应考虑邻近场所发生的灾难造成的影响。例如:附近大楼的火灾、屋顶漏水、地板渗水、街道上的爆炸等。2电源保护可靠的电力供应是保证网络与信息处理设施可用性的必要条件。公司应采取以下措施确保供电安全:a) 电源必须符合公司和设备制造商的技术规范;b) 采用多路供电、配备UPS、备用发电机等方法,避免电源单点故障
38、;c) 定期维护和检查供电设备,UPS应有充足容量,发电机应配备充足的燃料;d) 机房的紧急出口处必须安装联动的应急开关,以便在发生紧急情况时能够迅速断电;e) 配备应急照明设备;f) 所有建筑和外部通信线路都应安装雷电防护装置;g) 已知的停电计划应提前通知有关部门,防止无准备的断电造成不必要的损失。3线缆安全通信电缆和电力电缆被损坏或信息被截获,会破坏网络与信息资产的机密性和可用性。公司应采取以下控制措施对线缆进行保护:a) 电力缆和通信缆应尽可能隐藏于地下,并尽量采取充分的备用保护措施;b) 线缆布放应使用电缆管道或避免线路经过公共区域;c) 电力电缆应与通信电缆分离,避免互相干扰;d)
39、 对于重要的网络与信息处理设施,应根据风险评估的结果采取更进一步的控制措施。例如:将线缆检查点、接头等放在带有加强保护装置的导线槽、房间、箱子内;采用备用线路或传输媒介;定期扫描连接至缆线的非法设备,或对传输数据进行加密。e) 定期对电缆线路进行维护、检查和测试,及时发现故障隐患。4.计算机设备管理a) 计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 b) 非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由本单位相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准。 c)
40、严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应及时向网络部报告,不允许私自处理或找非本单位技术人员进行维修及操作。5工作区域外设备的安全工作区域外的设备一般是指带离工作区域的信息处理设备,如笔记本电脑、测试仪表、移动硬盘等。公司应根据工作区域外设备的安全风险,制订相应的保护措施,应至少达到工作区域内相同用途设备的安全保护级别。以下是基本的指导原则:a) 无论设备所有权归属,任何在工作区域外使用信息处理设备的行为,都应经过管理层授权许可;b) 在公共场所使用的公司设备和存储媒介均不得无人看管;c) 始终严格遵守设备制造
41、商有关设备保护的要求;d) 通过风险评估确定家庭办公的控制措施;e) 采用合适的物理防护装置;f) 加强监控,定期巡检。6设备处置与重用的安全在对信息处理设备处置或重用时,公司应在风险评估的基础上,实施审批手续,决定信息处理设备的处置方法销毁、报废或利旧,并采取适当的方法将其内存储的敏感信息与授权软件清除,而不能仅采用标准删除功能。例如:报废计算机的硬盘必须被格式化。需要注意的是,如果设备本身的原理、结构、工艺等属于公司的专有技术秘密,则应在处置时考虑保密问题。3.2.3存储媒介的安全1可移动存储媒介的管理公司应制定有效管理可移动存储媒介的规定,如移动硬盘、磁带、磁盘、卡带以及纸质文件等等。以
42、下是基本的控制措施:a) 包含重要、敏感或关键信息的移动式存储设备不得无人值守,以免被盗。例如:物理方式锁闭。b) 删除可重复使用的存储媒介中不再需要的信息。c) 任何存储媒介带入和带出公司都需经过授权,并保留相应记录,方便审计跟踪。d) 所有存储媒介都应遵照其制造商的规范保存。2存储媒介的处置为最大限度地降低信息泄露的风险,公司应制定存储媒介的安全处置流程,规定不同类型媒介的处置方法、审批程序和处置记录等安全要求,其中处置方法应与信息分级相一致。以下是一些基本的控制措施:a) 包含敏感信息的媒介应被安全地处置,如粉碎、焚毁,或清空其中的数据,以便重用。 b) 以下给出了需要安全处置的媒介种类
43、: 纸质文档; 语音或其录音; 复写纸; 输出报告; 一次性打印机色带; 磁带; 可以移动的磁盘或卡带; 光存储介质(所有形式的媒介,包括制造商的软件发布媒介); 程序列表; 测试数据; 系统文档。 c) 当无法确认媒介中的信息级别,或确认信息级别的代价较高时,应统一按最严格的方式处理所有媒介。 d) 当公司需要外界提供的媒介收集和处置服务时,应挑选合适的承包商,并采取有效控制措施,如签署保密协议、抽查等。e) 敏感媒介的处置过程应当记录在案,以便审计跟踪。 在收集、处置媒介时,应综合考虑相关信息,以确定这种效应可能导致大量并未分级的信息变得比少量分级信息更为敏感。 3信息处置程序华拓数码必须
44、确立信息处置和存储程序,以便有效保护此类信息,避免非法泄露或者误用。应当根据信息在文档、计算系统、网络、移动计算、移动通信、邮件、语音邮件、语音通信、多媒体、邮局/邮政设施、传真机和其它敏感项目(比如语音中的空白校验)中的级别制定相应的处置程序。应当考虑下列控制程序:a) 处置和标记所有媒介;b) 设置非授权人员的访问限制;c) 保持授权访问数据人员的正式记录;d) 确保输入数据的完整性、确保正确的处理过程,以及确保输出验证;e) 根据敏感程度相匹配的级别,保护准备输出的假脱机数据;f) 在符合制造商规范的环境中保存媒介;g) 将数据的分发限制在最小范围内;h) 清楚标记所有数据拷贝,以便引起
45、合法接收人的注意;i) 定期检查分发清单以及合法接收人名单。4系统文档的安全系统文档可能包含一系列敏感信息,比如应用流程、程序、数据结构、授权流程的说明。应当考虑下列控制程序,避免系统非法访问。a) 应当安全保存系统文档。b) 系统文档的访问列表应控制在最小范围,并由应用责任人授权。c) 保存在公共网络的系统文档或者通过公共网络提供的系统文档应当得到有效的保护。3.2.4通用控制措施1屏幕与桌面的清理在不使用信息资产时,做好屏幕和桌面的清理工作,可以有效防止信息的未授权访问,是保护信息资产,防止其泄露、丢失、破坏的一种重要措施。例如:清理信息处理设施屏幕;清洁桌面的纸张文件和可移动存储媒介。公
46、司制订的屏幕与桌面的清理要求,应与信息分级原则相一致,并考虑公司文化等因素。以下是基本的指导原则:a) 纸质文件和计算机设备在不使用时,特别是在工作时间以外,应保存在锁闭柜子内或其它形式的保险装置内;b) 机密和绝密信息在不使用时,特别是办公室无人时,必须予以锁闭(最好是防火的保险柜或文件柜);c) 个人电脑、计算机终端在无人看管时,不得处于登录状态;在不使用时,必须通过键盘锁定、密码或其它控制措施予以保护;d) 在信件收发处,无人看管的传真机应予以保护;e) 复印机、扫描仪在工作时间以外,应被锁闭或采用其它方式保护,以防非授权使用;f) 在打印、复印、扫描机密或绝密信息时,必须有人值守,并应在完成后立即从设备中清除。2资产的移动控制公司应对重要资产建立资产移动(包括公司内部移动和离开公司范围)的审批程序,并定期抽查。员工借用的公司资产,必须在离职时完好归还。第三方带入工作区域的资产应履行登记手续,以便离开时方便带回。3.3通信和运营管理的安全3.3.1操作流程与职责
