信息安全管理策略
信息安全管理策略
一. 总则
为满足XX银行(以下简称“我行”)信息安全管理、信息安全保障和合规的需要,根据《XX 银行信息安全管理方针》,特制订本管理策略。目的是指导我行通过各项管理制度与措施,识别各方面的信息安全风险,并采取适当的补救措施,使风险水平降低到可以接受的程度。
二. 安全制度管理策略
2.1 目的
使信息安全管理的发展方向和相关工作能够满足我行业务要求、国家法律和规定的要求。安全制度管理应建立一套完善的、能够满足以上要求的文档体系,并定期更新,发布到我行信息安全所有相关单位中。
2.2 策略一:建立和发布信息安全管理文档体系
策略目标:
使相关单位人员了解到信息安全管理文档的内容,安全工作有据可依。
策略内容:
建立我行信息安全管理文档体系,发布到相关单位。
策略描述:
根据《XX银行信息安全管理方针》中的方针、原则和我行特点,制订出一套文档体系,包括信息安全策略、制度和实施指南等,通过培训、会议、办公系统或电子邮件等方式向相关单位发布。
总体发布范围包括与以上信息资产相关的我行所有部门、我行下属机构和关联公司,以及与我行有关的集成商、软件开发商、产品提供商、顾问、商业合作伙伴、临时工作人员和其他等第三方机构或人员。
2.3 策略二:更新安全制度
策略目标:
安全制度能够适应我行信息安全管理因各方面情况变化而产生的变化,在长期满足要求。
策略内容:
定期和不定期审阅和更新安全制度。
策略描述:
由相关团队定期进行安全制度的检查、更新,或在信息系统与相关环境发生显著变化时进行检查、更新。
三. 信息安全组织管理策略
3.1 目的
通过建立与组织相关的以下二个安全策略,促进组织建立合理的信息安全管理组织结构与功能,以协调、监控安全目标的实现。与组织有关的策略分内部组织和外部组织两部分来描述。
3.2 策略一:在组织内建立信息安全管理架构
策略目标:
在组织内有效地管理信息安全。
策略内容:
我行应建立专门的信息安全组织体系,以管理信息安全事务,指导信息安全实践。
策略描述:
通过建立信息安全管理组织,启动和控制组织范围内的信息安全工作的实施,批准信息安全方针、确定安全工作分工和相应人员,以及协调和评审整个组织安全的实施。
根据需要,还可以建立与外部安全专家或组织(包括相关权威人士)的联系,以便跟踪行业趋势、各类标准和评估方法;当处理信息安全事故时,提供合适的联系人和联系方式,以快速及时地对安全事件进行响应;鼓励采用多学科方法来解决信息安全问题。
3.3 策略二:管理外部组织对信息资产的访问
策略目标:
确保被外部组织访问的信息资产得到了安全保护。
策略内容:
组织的信息处理设施和信息资产的安全不应由于客户、第三方的访问或引入外部各方的产品或服务而降低,任何外部各方对组织信息处理设施的访问、对信息资产的处理和通信,都应采取有效的措施进行安全控制。
策略说明:
任何一个组织都不避免与外界有业务往来与信息沟通,经常需要向外部用户开放其信息和信息处理设施,因此,需要对外部访问者给组织信息资产带来的安全风险进行评估,根据风险水平,确定所需的控制。必要时,需要与外部组织与个人签订协议,并向其声明组织的信息安全方针与策略。
四. 资产管理策略
4.1 目的
组织要有效地控制安全风险,首先要识别信息资产,并进行科学而有效的分类,然后在各个管理层面对资产落实责任,采用恰当的控制措施对信息资产进行风险管理,本章通过以下二个策略实施对信息资产的有效管理。
4.2 策略一:为信息资产建立问责制
策略目标:
对组织的信息资产建立责任,为实施适当保护奠定基础。
策略内容:
应当对所有信息资产进行识别、建立资产清单和使用规则,明确定义信息资产责任人及其职责,为信息资产建立问责制。
策略说明:
对于我行的所有资产要标识出责任人,通常可定义出信息资产的所有者、管理者和使用者,并明确不同责任主体的职责。对信息资产的安全控制可以由信息资产所有者委派具体的管理者来承担,但所有者和使用者仍对资产承担适当保护的责任。
4.3 策略二:对信息资产进行分类
策略目标:
通过对信息资产的分类,明确其可以得到适当程度的保护。
策略内容:
应按照信息资产的价值、法律要求及对我行的敏感程度和关键程度进行分类和进行标识。
策略描述:
信息的分类及相关保护控制要考虑到共享或限制信息的业务需求以及与这种需求相关的业务影响。确定资产的类别,进行必要的标识,对其进行周期性评审,确保其与组织的内外环境的变化相适应,这些都应是资产所有者的职责。
我行的信息资产分类可以从机密性、完整性、可用性等三方面进行评估,其保护级别也根据这三个方面得出。
五. 人员安全管理策略
5.1 目的
本节通过建立四个具体策略,以明确组织内与人员任用相关的安全控制,以便对人力资源进行有效的安全管理,包括内部员工及与组织相关的外部人员的任用前、任用中、任用后相关的安全职责、行为规范。
5.2 策略一:人员任用前的管理
策略目标:
在对人员正式任用前,要明确新员工、合同方人员和第三方与其岗位角色相匹配的安全责任,并进行相关背景调查,以减少对信息资产非授权使用和滥用的风险。
策略内容:
确保人员的安全职责已于任用前通过适当的协议及岗位说明书加以明确说明,并对新员工、合同方的有关背景进行验证检查,对第三方的访问权限加以明确声明和严格管理。
策略说明:
在新员工及其他外部人员正式进入组织前,就明确其安全职责、强调安全责任、进行背景调查,这在信息安全管理中具有重要的意义。通过对所有应聘者、合同方人员进行必要筛选,对第三方用户加以限制,可以为组织的信息安全把好第一道关。员工、合同方人员和信息处理设施的第三方人员根据其安全角色和职责,要签署相关协议,以明确声明其对信息安全的职责。
我行的第三方人员主要有:借调或借用外部人员、软件开发人员以及其他外部服务人员等。
5.3 策略二:人员任用中的管理
策略目标:
落实信息安全管理职责,确保我行的员工在整个任用期内的行为都符合信息安全政策的要求。
策略内容:
应通过建立管理职责、必要的培训和奖惩措施,使所有的员工、合同方人员和第三方人员了解工作中面临的信息安全风险、相关责任和义务,并在日常工作中遵循组织的信息安全政策的要求。
策略说明:
如果员工、合同方人员和第三方人员没有意识到他们工作中应当承担的安全职责,他们可能会有意或无意地对组织的信息安全造成破坏,因此,需要在信息安全管理职责方面,对员工加以有效的限制和必要的激励,并持续进行信息安全教育与培训,可以减少信息安全事故的发生。
5.4 策略三:任用的中止与变更
策略目标:
当任用关系中止或职责发生变化时,要建立规范的程序,确保冻结或取消员工、合同方人员和第三方人员所拥有的、与其目前职责不相符的对我行信息资产的使用权。
策略内容:
从我行退出的员工、合同方人员和第三方人员要归还其所使用的设备,并删除他们对我行信息及信息系统的所有使用权;对于职责发生变化的员工、合同方人员和第三方人员,按照“最小授权”原则,要对其所拥有的信息资产访问权做相应的变更。
策略说明:
信息资产总是与特定的使用主体相关,当使用主体的职责发生变化时,与其职责相关的访问权限应当及时做出相应变化。
在实施此策略时,负责信息安全的管理人员需要与负责人力资源的管理人员要协作与沟通,共同负责对员工及合同方人员的任用终止处理;对于合同方的终止职责处理,要与合同方代表进行协作,其他情况下的用户可能由他们的来处理。
当资产的访问权和使用权发生变更及我行人员及运行发生变化时,要及时通知各相关方。
六. 物理与环境安全管理策略
6.1 目的
本章的以下二个策略主要是保护我行的信息、信息系统和基础设施等免受非法的物理访问、自然灾害和环境危害。
6.2 策略一:建立物理安全区域
策略目标:
防止对我行的工作场所和信息的非授权物理访问、损坏和干扰。
策略内容:
重要的或敏感的信息处理设施要放置在安全区域内,建立适当的安全屏障和入口控制,在物理上避免非授权访问、干扰;同时,需要建立必要的措施防止自然灾害和人为破坏造成的损失。
策略说明:
可以通过在我行边界和信息处理设施周围设置一个或多个物理屏障来实现对安全区域的物理保护;安全区域应由适合的入口控制所保护,以确保只有授权的人员才允许访问;为重要的工作区域、公共访问区、货物交接区的安全工作建立规范与指南。
还应采取措施防止火灾、洪水、地震、爆炸、社会动荡和其他形式的自然灾难或人为灾难带来的破坏。
6.3 策略二:保证设备安全
策略目标:
应保护设备免受物理的和环境的威胁。
策略内容:
防止设备的丢失、损坏、失窃或危及资产安全以及造成我行活动的中断。
策略说明:
对设备(包括离开我行使用和财产移动)的保护是减少未授权访问信息的风险和防止丢失或损坏所必需的,还应当考虑设备安放位置和报废处置方法的安全性。同时,还需要专门的控制用来防止物理威胁以及保护支持性设施(例如电、供水、排污、加热/通风和空调),及考虑采取措施保证电源布缆和通信布缆免受窃听或损坏。
七. 通信与运营管理策略
7.1 目的
本章通过建立以下九个策略,确保我行对通信和操作过程进行有效的安全管理,通过促进我行建立信息处理设施的管理职责,开发适当的操作和事故处理程序,以降低非授权使用和滥用系统的风险,总体目标是确保员工能正确、安全地操作信息处理设施。
7.2 策略一:建立操作职责和程序
策略目标:
确保正确、安全的操作信息处理设施。
策略内容:
应当为所有的信息处理设施建立必要的管理和操作的职责及程序。
策略说明:
与信息处理和通信设施相关的系统活动应具备形成文件的程序,例如计算机启动和关机程序、备份、设备维护、介质处理、计算机机房、邮件处置管理和物理安全等;对信息处理设施和系统的变更应加以控制;应实施责任分割,以减少疏忽或故意误用系统的风险;为了减少意外变更或未授权访问运行软件和业务数据的风险,应分离开发、测试和运行设施。
7.3 策略二:管理第三方服务
策略目标:
在符合双方商定的协议下,保证第三方在实施服务过程中,保持信息安全和服务交付的适当水平。
策略内容:
我行应检查第三方服务协议的实施,监视协议执行的符合性,并管理服务变更,以确保交付的服务满足与第三方商定的所有要求。
策略说明:
第三方交付的服务应包括商定的安全计划、服务定义和服务管理各方面;我行应当定期监督、检查和审核第三方提供的服务、报告和记录,对服务变更进行有效管理;我行还应当确保第三方保持足够的服务能力和可用性计划,以确保商定的服务在大的服务故障或灾难后继续得以保持。
7.4 策略三:系统规划和验收
策略目标:
将系统失效的风险降至最小。
策略内容:
为确保足够能力和资源的可用性,以提供所需的系统性能,需要预先对系统进行规划和准备工作;应做出对于未来容量需求的预测,以减少系统过载的风险;新系统的运行要求应在验收和使用之前建立、形成文件并进行测试。
策略说明:
对于每一个新的和正在进行的信息处理活动都应识别容量要求,确保在必要时及时改进系统的可用性和效率。对系统未来容量的推测应考虑新业务、系统要求以及我行信息当前处理能力及未来发展的趋势。
管理人员要确保验收新系统的要求和准则被明确地定义,形成文件并经过测试。新信息系统升级和新版本只有在获得正式验收后,才能作为产品。
7.5 策略四:防范恶意和移动代码
策略目标:
保护软件和信息的完整性。
策略内容:
我行应采取预防措施,以防范和检测恶意代码和未授权的移动代码引入到我行的信息处理设施中来。
策略说明:
软件和信息处理设施易感染恶意代码(例如计算机病毒、网络蠕虫、特洛伊木马和逻辑炸弹),要让用户了解恶意代码的危险。管理人员要实施适当的控制措施,以防范、检测并删除恶意代码。
7.6 策略五:备份
策略目标:
保持信息和信息处理设施的完整性及可用性。
策略内容:
应按照已设的备份策略,定期对我行的重要信息和软件进行备份,并定期进行恢复测试。
策略说明:
应提供足够的备份设施,以确保所有必要的信息和软件能在灾难或介质故障后进行恢复。为使备份和恢复过程更容易,备份可安排为自动进行;各个系统的备份计划应定期测试以确保他们满足业务连续性计划的要求;对于重要的系统,备份计划应包括在发生灾难时恢复整个系统所必需的所有系统信息、应用和数据;应确定最重要业务信息的保存周期以及对要永久保存的档案拷贝的任何要求。
7.7 策略六:网络安全管理
策略目标:
确保网络中的信息和支持性基础设施得到保护。
策略内容:
应对我行的网络进行充分的管理和控制,以防范非法访问网络信息与非授权连接网络服务,保护信息与信息服务的安全。
策略说明:
加强网络管理与控制,以防范威胁、保持使用网络的系统和应用程序的安全,包括信息传输;应识别所有网络服务的安全特性、服务等级和管理要求,并包含在网络服务协议中,无论这种服务是由内部提供的还是外包的。
7.8 策略七:对存储介质的处理
策略目标:
防止由于对存储介质管理不当,造成未授权泄漏、修改、移动或损坏,并对业务活动造成不利影响。
策略内容:
我行应当对存储介质的使用、移动、保管及处置等操作进行有效管理。
策略说明:
存储介质包括硬盘、磁带、闪盘、可移动硬件驱动器、CD、DVD和打印的介质。为使存储介质中的数据和系统文件免遭未授权泄露、修改和破坏,应建立适当的使用、保存、删除和销毁的操作策略和相关程序。
7.9 策略八:信息交换
策略目标:
保护在我行内及与外部团体进行信息和软件交换的安全。
策略内容:
我行内及我行与外部团队的信息和软件的交换应当基于正式的交换策略,采取必要的安全控制措施,按照交换协议执行,同时还应服从任何相关法律法规的要求。
策略说明:
如果在使用信息交换设施时缺乏安全意识、必要的策略和安全控制措施,可能会造成重要信息的泄露;如果通信设施失灵、过载或中断,则可能中断业务运行并损坏信息;如果上述通信设施被未授权用户所访问,也可能损害信息。因此,要建立策略和程序,以保护信息交换过程中信息和包含信息的物理介质的安全。
7.10 策略九:系统监测
策略目标:
检测未经授权的信息处理活动。
策略内容:
应对信息系统进行监测,记录信息安全事件,并使用操作员日志和故障日志以确保识别出信息系统的问题。
策略说明:
应建立监测信息处理系统使用的策略与程序,定期评审监测活动的结果;通过系统操作日志、错误日志记录系统操作者的活动和系统出现错误的情况,以监测安全事件;我行的监测和日志记录活动应遵守所有相关法律的要求,并要防止对日志的非授权变更和删除。
八. 访问控制管理策略
8.1 目的
访问控制是对主体访问客体的权限或能力的一种限制,分为物理访问控制逻辑访问控制。物理访问控制在“物理与环境安全策略”一章中已有涉及,在这里的访问控制主要是指逻辑访问控制。在网络广泛互联的今天,采用技术与管理手段建立逻辑访问控制己是保障信息安全的重要手段,本章通过建立以下八个策略,以推动我行对访问控制的有效安全管理。
8.2 策略一:根据业务要求进行访问控制
策略目标:
建立必要的规则,控制用户对信息的访问。
策略内容:
应在我行业务和安全要求的基础上,控制对信息、信息处理设施和业务过程的访问。
策略说明:
我行需要将满足业务需要的访问控制规则向用户和服务提供者明确地加以说明;我行应清晰地叙述每个用户或一组用户的访问控制规则和权利,应当把逻辑访问控制和物理访问控制综合起来考虑;访问控制规则应由正式的程序支持,并清晰地定义职责和范围。
8.3 策略二:用户访问管理
策略目标:
确保只有授权用户才能访问系统,预防对信息系统的非授权访问。
策略内容:
应建立正式的程序,来控制对信息系统和服务的用户访问权的分配。
策略说明:
访问控制程序应涵盖用户访问生命周期内的各个阶段,从新用户初始注册、日常使用,到不再需要访问信息系统和服务时的用户帐号的最终撤销;应特别注意对特权用户的分配加以控制,因为特权用户可以修改或绕过系统的控制措施。
8.4 策略三:用户职责
策略目标:
防止未授权用户对信息和信息处理设施的访问和其他危害的行为。
策略内容:
应使用户认知其维护有效的访问控制的职责,特别是关于口令使用和无人值守的用户设备保护方面的职责。
策略说明:
已授权用户的合作对实现有效的安全十分重要,首先应要求用户在选择及使用口令和保护无人值守的用户设备方面,遵循良好的安全习惯;实施桌面清空和屏幕清空策略以降低未授权访问或破坏纸、介质和信息处理设施的风险。
8.5 策略四:网络访问控制
策略目标:
防止对网络服务的非授权访问。
策略内容:
对内部和外部网络服务的访问均应加以控制,以确保我行内部网络与外部网络之间的接口进行有效的控制或隔离;对网络环境中用户和设备身份应用了合适的鉴别机制;用户对我行信息服务的访问已根据控制规则和业务要求进行了限制。
策略说明:
与网络服务的未授权和不安全连接可以影响整个组织。对于敏感或关键业务应用的网络连接或与高风险位置的用户的网络连接而言,采取严格的控制措施就显得特别重要。
控制大型网络的安全的有效方法是将该网络分成独立的逻辑网络域,将网络隔离成若干域的准则应基于风险评估和每个域内的不同访问控制策略和访问要求,还要考虑到相关成本和加入适合的网络路由或网关技术的性能影响。
由于无线网的边界很难定义,非授权访问的风险较高,我行应特别加强对无线网的管理,需要考虑限制使用无线网,或将无线网与内部和专用网络进行隔离。
8.6 策略五:操作系统访问控制
策略目标:
防止对操作系统的非授权访问。
策略内容:
应启用安全措施限制授权用户对操作系统的访问,这些措施包括但不限于:按照已定义的访问控制策略鉴别授权用户;记录成功和失败的系统鉴别企图;记录专用系统特殊权限的使用;当违反系统安全策略时发布警报;提供合适的身份鉴别手段;必要时,限制用户的连接次数。
策略说明:
一般而言,目前的各种操作系统都加强了访问控制的功能,我行应当尽量启用操作系统提供的访问控制功能。只有当操作系统访问控制功能不能满足业务需要时,才寻求专门访问控制解决方案。
8.7 策略六:应用系统和信息访问控制
策略目标:
防止对应用系统和信息的非授权访问。
策略内容:
对应用软件和信息的逻辑访问只限于已授权的用户,应用系统的措施包括但不限于:按照定义的访问控制策略,控制用户访问信息和应用系统功能;防止能够越过系统控制或应用控制的任何实用程序、操作系统软件和恶意软件进行未授权访问;不损坏共享信息资源的其他系统的安全;
策略说明:
应根据规定的访问控制策略,限制用户和支持人员对信息和应用系统功能的访问。对访问的限制应基于各个业务应用要求,访问控制策略也应与我行的访问策略一致。对敏感应用系统,可以考虑在独立的计算环境中运行。
8.8 策略七:移动计算和远程工作
策略目标:
在使用移动计算和远程工作设施时,确保信息的安全。
策略内容:
当我行需要使用移动计算和远程工作时,应建立必要保护措施,以避免非保护的环境中的工作风险。
策略说明:
当使用移动计算和通信设施时,例如,笔记本电脑、掌上机、智能卡和移动电话,应特别小心确保业务信息不被泄露。移动计算的保护措施有物理保护、访问控制、密码技术、备份和病毒预防的要求。对远程工作场地的合适保护应到位,以防止偷窃设备和信息、未授权泄露信息、未授权远程访问我行内部系统或滥用设施等。
九. 系统开发与维护管理策略
9.1 目的
本章的六个安全策略旨在确定我行获取、开发、维护信息系统所应遵守的关键控制点。
在信息系统获取和开发过程中就需要加强对信息安全的管理与控制,只有集成在软件开发过程中的安全措施,才能真正起到预防与控制风险的作用,而且在软件开发生命周期中,越早引入控制措施,将来运行与维护费用就越少。
9.2 策略一:确定信息系统的安全需求
策略目标:
确保将安全作为信息系统建设的重要组成部分。
策略内容:
应用系统的所有安全需求都需要在项目需求分析阶段被确认,并且作为一个信息系统的总体构架的重要组成部分,要得到对其合理性的证明、并获得用户认可,同时要记录在案。
策略说明:
信息系统安全包括基础架构软件、外购业务应用软件和用户自主开发的软件的安全,信息系统的安全控制应该在系统开发设计阶段予以实现,要确保安全性已构成信息系统的一部分,我行应该在信息系统开发前,或在项目开始阶段,识别所有的安全要求,并作为系统设计不可缺少的一部分,进行确认与调整。
9.3 策略二:在应用中建立安全措施
策略目标:
避免应用系统在运行过程中发生故障,并防止在应用软件系统中的用户数据的丢失、改动或者滥用。
策略内容:
应当把适当的技术控制措施、查验追踪和活动日志等控制手段设计到应用软件系统中。这些措施应当包括对输入数据、内部处理和输出数据的检验。
策略说明:
要保证应用系统的安全,需要在软件开发过程中,集成适当的安全控制技术措施,而且要在应用系统需求和应用系统设计中进行明确的表达。信息安全管理人员或IT审计人员需要在需求评审阶段,着重检查必要的输入、处理和输出控制措施是否集成在系统中。
9.4 策略三:实施密码控制
策略目标:
保护信息的保密性、完整性和有效性。
策略内容:
对于面临非授权访问威胁的信息,当其它管理措施无法对其进行有效保护时,应当用密码系统和密码技术进行保护。
策略说明:
为防止我行敏感信息的泄露,可以利用加密技术对其进行处理后进行存储与传输;为防止重要信息被篡改或伪造,可以利用加密的办法对信息的完整性进行鉴别;在电子商务过程中,可以通过加密技术的应用(如数字签名)进行交易双方身份真实性认证,并防止抵赖行为的发生。
9.5 策略四:保护系统文件的安全
策略目标:
为确保IT项目和支持行为以安全的方式进行,应当控制对系统文件的访问。
策略内容:
应当维护系统文件中信息的完整性,这是应用程序系统、用户及开发人员的共同责任。
策略说明:
系统文件是一种全局文件,可视为所有用户程序所用的文件(另一种解释是一种仅供操作系统访问的文件)。系统文件面临的典型威胁是使用错误的程序版本,从而导致数据的错误处理与数据破坏,以及由于测试目的使用操作数据而导致的信息泄露。因此要采取措施保护系统文件的安全。
9.6 策略五:保证开发和支持过程的安全
策略目标:
维护应用程序系统中的软件和信息的安全。
策略内容:
我行应当对项目和支持环境进行严格控制,即对应用系统、操作系统及软件包的更改及软件外包活动进行安全控制。
策略说明:
在应用系统的开发与维护过程中,应用程序的未授权修改、未进行评审的操作系统的更改、未加限制的软件包的更改等都会给我行的应用系统带来安全风险。所以要对应用软件开发与支持过程中的安全加以控制。
9.7 策略六:对技术脆弱性进行管理
策略目标:
减少由利用公开的技术脆弱点带来的风险。
策略内容:
应及时获得我行所使用的信息系统的技术脆弱点的信息,评估我行对此类技术脆弱点的保护,并采取适当的措施。
策略说明:
技术脆弱点管理应该以一种有效的、系统的、可反复的方式连同可确保其有效性的措施来实施。这些考虑应包括在用操作系统和任何其它的应用。
十. 信息安全事故管理策略
10.1 目的
安全事故就是能导致资产丢失与损害的任何事件,为把信息安全事件的损害降到最低的程度,追踪并从事件中吸取教训,我行应明确有关事故、故障和薄弱点的部门,并根据安全事件与故障的反应过程建立一个报告、反应、评价和惩戒的机制。
通过以下二个策略的建立,促进我行有效地对信息安全事件进行管理。
10.2 策略一:报告信息安全事件和系统弱点
策略目标:
确保与信息系统有关的安全事件和系统弱点能得到及时报告,以便采取必要的纠正措施。
策略内容:
我行应建立有正式的报告信息安全事件和系统弱点的程序,并让所有的员工、合同方人员和第三方人员加以了解和执行。
策略说明:
我行通过建立正式的信息安全事件报告程序,在收到信息安全事件和系统弱点报告后,可立即着手采取相应措施对安全事件进行响应。报告程序应建立报告信息安全事件的联系点,使我行内的每个人都知道这个联系点,并确保该联系点持续可用,并能提供充分且及时的响应。
10.3 策略二:信息安全事件管理和改进
策略目标:
确保使用持续有效的方法管理信息安全事件。
策略内容:
一旦信息安全事件和弱点报告上来,应该立即明确责任,按照规程进行有效处理;我行还应建立能够量化和监控信息安全事件的类型、数量、成本的机制。
策略说明:
应当应用一个连续性的改进过程,对信息安全事件进行响应、监视、评估和总体管理。从对信息安全事件评估中获取的信息,应该用来识别再发生的事件和重大影响的事件。如果需要证据的话,则应该搜集证据以满足法律的要求。
十一. 业务连续性管理策略
11.1 目的
制定和实施一个完整的业务持续计划应从理解自身业务的开始,进行业务影响分析和风险评估,在此基础上由管理高层形成本我行的业务持续战略方针,然后规划业务持续计划,进行计划的测试与实施,最后进行计划的维护与更新,并通过审计保证计划不断改进和完善。本策略的制定旨在促进我行建立业务连续性计划,实现业务连续性管理。
11.2 策略一:建立业务连续性管理程序
策略目标:
保护我行的关键业务流程不会因信息系统重大失效或自然灾害的影响而造成中断。
策略内容:
应当执行业务连续性管理程序,通过预防性和恢复性措施的结合,把灾难或者安全事故所导致的破坏减少到一个可以接受的水平。
策略说明:
我行应建立业务连续性管理过程,通过风险评估识别我行的关键业务活动,并实施适当的计划,以恢复与抵消非正常中断的后果。业务连续性计划的范围应包括整个业务过程,不仅仅是IT方面的服务。
十二. 合规性策略
12.1 目的
我行识别出己有的法律、法规并遵守及应用,可以更可靠、更有效地保护信息安全。我行在建立信息安全体系时,除了要遵守我行内的方针、策略、制度、操作指南的要求以外,还要服从国家的法律、法规要求,遵守行业规范,符合相关技术标准的要求,及考虑信息审核时对信息安全的影响等因素,这些都可以称为信息安全的符合性要求,这种要求往往是强制性的。本章三个策略的建立旨在促进我行的合规性要求。
12.2 策略一:与法律法规要求的符合性
策略目标:
我行应避免违反法律、法规、规章、合同的要求和其他的安全要求
策略内容:
信息系统的设计、运行、使用和管理要符合法律、法规及合同的要求。
策略说明:
对每一个信息系统和我行而言,所有相关的法律、法规和合同要求,以及为满足这些要求我行所采用的方法,应加以明白地定义、形成文件并保持更新。特定的法律要求方面的建议应从我行的法律顾问或者合格的法律从业人员处获得。
12.3 策略二:符合安全政策和标准以及技术符合性
策略目标:
确保系统符合我行的安全策略及标准。
策略内容:
我行应定期对信息系统的安全进行合规性评审和技术评审,判断其是否符合适用的安全政策、实施标准和文件化的安全控制措施。
策略说明:
管理人员应对自己职责范围内的信息处理是否符合合适的安全策略、标准和任何其它安全要求进行定期评审。评审结果和管理人员采取的纠正措施应被记录,且这些记录应予以维护。
技术符合性检查应由有经验的系统工程师手动执行(如需要,利用合适的软件工具支持),或者由技术专家用自动工具来执行,此工具可生成供后续解释的技术报告。
12.4 策略三:信息系统审核考虑
策略目标:
将信息系统审核过程的有效性最大化,干扰最小化。
策略内容:
在系统审核期间,为保护审核工具的完整性和防止滥用审核工具,需要建立必要的控制措施。
策略说明:
涉及对运行系统检查的审核要求和活动,应谨慎地加以规划并取得批准,以便最小化造成业务过程中断的风险。
信息系统审核工具,如软件或数据文件,应与开发和运行系统分开,并且不能保存在磁带库或用户区域内,除非给予合适级别的附加保护。
如果审核涉及到第三方,则可能存在审核工具被这些第三方滥用,以及信息被第三方我行访问的风险。应采取措施应对任何后果,如立即改变泄露给审核人员的口令。
信息安全管理系统
信息安全管理系统 一、产品聚焦 1、随着企业信息化进程的不断推进,信息安全问题日益凸显。信息技术水平不断在提升的同时,为何信息泄露,信息安全事件仍然时有发生 2、对于信息安全事件为何我们不能更多的在“事前”及时的发现并控制,而是在“事后”进行补救 3、信息安全管理工作“三分技术、七分管理”的原因何在 4、信息安全管理工作种类繁多,安全管理人员疲于应付,是否有合适的管理手段对其归类,有的放矢,加强针对性、提升工作效率是否需要有持续提升信息安全意识和增强知识学习的管理体系 二、产品简介 该产品通过与企业信息安全管理的现状紧密结合,融合国际主流及先进的风险管理方法、工具、设计理念,有效结合国内外对信息安全管理工作提出的相关安全标准体系要求,通过建立企业信息安全风险全生命周期、全面风险来源、全目标管理的全方位风险管理模型,以监测预警防风险、风险流程查隐患、风险应对控事态、监督评价促改进、保障体系提意识,保证信息安全风险管理在企业的落地生效。 三、产品特点 1、业务的无缝集成 无缝集成企业终端防护类安全系统、边界防护类安全系统、系统防护类安全系统、数据防护类安全系统、综合监管类安全管理系统以及相关的基础认证和授权平台等,实现对信息安全事件引发因素的全面监测和智能分析,有的放矢的对信息安全工作进行管理。 2、“上医未病,自律慎独”的风险管理体系 目标鲜明、方法合理、注重实效,为企业信息化进程保驾护航。基于企业现有管理制度和安全防御体系构建,实现系统的行之有效、行之有依。 3、合理的改进咨询建议 通过系统建设对企业信息安全管理现状进行梳理和分析,提供合理有效的改进咨询建议。 4、创新实用的管理工具 蝴蝶结模型、风险矩阵、风险热图等主流风险管理模型的实用化创新应用;德尔菲打分法、层次分析法、灰色评价法等科学分析方法的灵活嵌入;正态分布、泊松分布等概率模型的预测分析,致力于提升风险管理工作的精细度和准确度。 5、预置的信息安全风险事件库 由信息安全及风险管理专家组成的专家团队结合国内外的相关信息安全管理标准梳理的风险事件库基础信息,可在系统建设初期提供有力的业务数据支持。 6、持续渐进的信息安全知识管理 信息安全风险知识管理不仅仅是信息安全相关知识的积累和技术的提升、还在于信息安全管理意识的提升,通过信息安全知识管理体系的建立,提升全员的信息安全管理意识,并提供最新的信息安全知识储备。 四、应用效果 对信息安全风险管理全过程的数据、重点关注的风险主题进行全方位的数据分析,采用科学合理的数据分析模型,以灵活多样化的图表进行展现以辅助决策。 五、产品功能 1、目标管理 维护企业信息安全战略目标、不同层级风险管理目标、目标预警指标、目标风险等。以目标为龙头开展企业信息安全风险管理工作。 2、风险识别 利用层次分析法逐层分析,识别企业信息安全工作中包含的资产、资产脆弱性和面临的威胁,全面辨识风险源并制定相应的防控措施,并针对风险事件制定缓解措施。 3、风险评估 创新利用科学合理的风险评估方法对威胁发生概率、严重程度进行评估,量化风险指数,借助评估工具得出防范风险优先级并对风险分布进行展示。 4、监测预警 依托企业现有的信息安全防范体系架构,设置风险监控点,以风险管理视角对各重要的信息安全指标进行实时的数据监控,发挥信息系统“摄像头”的职能,针对信息安全关注的重大风险进行实时预警提示,确保风险的提前警示和预先处理。
完整版ISO27001信息安全管理手册
信息安全管理手册iso27001 信息安全管理手册V1.0 版本号:
信息安全管理手册iso27001 录目 1 ................................................................ 颁布令 01 2 ...................................................... 管理者代表授权书 02 3 ............................................................. 企业概况 03 3 .................................................. 信息安全管理方针目标 04 6 ............................................................ 手册的管理05 7 ......................................................... 信息安全管理手册7 (1) 范围 7 ............................................................. 1.1 总则7 ............................................................. 1.2 应用8 (2) 规范性引用文件 8 ........................................................... 3 术语和定义.8 ........................................................... 3.1 本公司 8 ......................................................... 3.2 信息系统 8 ....................................................... 3.3 计算机病毒 8 ..................................................... 信息安全事件3.4 8 ........................................................... 相关方3.5 9 . ..................................................... 4 信息安全管理体系9 ............................................................. 4.1 概述9 ....................................... 4.2 建立和管理信息安全管理体系 15 ........................................................ 4.3 文件要求18 ............................................................ 管理职
2018最新ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范)
最新ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范)
信息安全管理体系程序文件目录
信息安全管理体系作业文件目录
1 适用 本程序适用于公司信息安全事故、薄弱点、故障和风险处置的管理。 2 目的 为建立一个适当信息安全事故、薄弱点、故障风险处置的报告、反应与处理机制,减少信息安全事故和故障所造成的损失,采取有效的纠正与预防措施,正确处置已经评价出的风险,特制定本程序。 3 职责 3.1 各系统归口管理部门主管相关的安全风险的调查、处理及纠正措施管理。 3.2 各系统使用人员负责相关系统安全事故、薄弱点、故障和风险的评价、处置报告。 4 程序 4.1 信息安全事故定义与分类: 4.1.1 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,均为信息安全事故: a) 企业秘密、机密及国家秘密泄露或丢失; b) 服务器停运4 小时以上; c) 造成信息资产损失的火灾、洪水、雷击等灾害; d) 损失在十万元以上的故障/事件。 4.1.2 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,属于重大信息安全事故: a) 企业机密及国家秘密泄露; b) 服务器停运8 小时以上; c) 造成机房设备毁灭的火灾、洪水、雷击等灾害; d) 损失在一百万元以上的故障/事件。 4.1.3 信息安全事件包括: a) 未产生恶劣影响的服务、设备或者实施的遗失; b) 未产生事故的系统故障或超载; c) 未产生不良结果的人为误操作; d) 未产生恶劣影响的物理进入的违规
信息安全管理系统的规范
信息安全管理系统的规范 第二部分:信息安全管理系统的规范 1 1. 范围 BS 7799的这个部分指明了对建立、实现和文档化信息安全管理系统(ISMSs)的需求。它指明了将要按照个别机构的需要而实现的安全控制的需求。 注:第一部分给出了对最佳惯例的推荐建议,这些惯例支持该规范中的需求。BS 7799的这个部分的条款4给出的那些控制目标和控制来自于BS 7799-1:1999并与改部分的内容保持一致。 2. 术语与定义 为了BS 7799的这个部分,BS 7799-1给出的定义适用于该部分,并有以下专用术语: 2.1 适用性说明 适用于机构的安全要求的目标和控制的批评。 3.信息安全管理系统的要求 3.1概要 机构应建立及维护一个信息安全管理系统,目的是保护信息资产,订立机构的风险管理办法、安全控制目标及安全控制,以及达到什么程度的保障。 3.2建立一个管理框架 以下的步骤是用来找出及记录安全控制目标及安全控制的(参看图一): a) 应定义信息安全策略; b) 应定义信息安全管理系统的范围,定义范围可以是机构的特征、位置、资产及 技术;
c) 应进行合适的风险评估。风险评估应确认对资产的安全威胁、漏洞及对机构的 冲击,从而定出风险的严重程度; d) 根据机构的信息安全策略及所要求达到的保障程度定出要管理的风险; e) 从以下第四条款选出机构要实现的安全控制目标及要实施的安全控制; f) 应准备一份适用性声明书,说明选出哪些安全控制目标及安全控制以及选择的 原因。 以上步骤应定期重复,确定系统的适用性。 2 3.3实施 选出的安全控制目标及安全控制应由机构有效地执行,实施控制的执行程序是否有效应根据4.10.2的规定进行检查。 3.4文档 信息安全管理系统的说明文档应包括以下信息: a) 按照3.2所定的步骤实现的证据; b) 管理架构的总结,其中包括信息安全策略、在适用性声明书所提及的安全控制 目标和已经实现的安全控制; c) 为了实现3.3所指定的控制而采用的程序;这些程序应该刻画责任以及相关行 动; d) 覆盖该ISMS中的管理和操作的程序,这些程序应该指出有哪些责任及其有关
十八、信息安全管理制度
十八、信息安全管理制度 一、计算机安全管理 1、医院计算机操作人员必须按照计算机正确的使用方法操作计算机系统。严禁暴力使用计算机或蓄意破坏计算机软硬件。 2、未经许可,不得擅自拆装计算机硬件系统,若须拆装,则通知信息科技术人员进行。 3、计算机的软件安装和卸载工作必须由信息科技术人员进行。 4、计算机的使用必须由其合法授权者使用,未经授权不得使用。 5、医院计算机仅限于医院内部工作使用,原则上不许接入互联网。因工作需要接入互联网的,需书面向医务科提出申请,经签字批准后交信息科负责接入。接入互联网的计算机必须安装正版的反病毒软件。并保证反病毒软件实时升级。 6、医院任何科室如发现或怀疑有计算机病毒侵入,应立即断开网络,同时通知信息科技术人员负责处理。信息科应采取措施清除,并向主管院领导报告备案。 7、医院计算机内不得安装游戏、即时通讯等与工作无关的软件,尽量不在院内计算机上使用来历不明的移动存储工具。
二、网络使用人员行为规范 1、不得在医院网络中制作、复制、查阅和传播国家法律、法规所禁止的信息。 2、不得在医院网络中进行国家相关法律法规所禁止的活动。 3、未经允许,不得擅自修改计算机中与网络有关的设置。 4、未经允许,不得私自添加、删除与医院网络有关的软件。 5、未经允许,不得进入医院网络或者使用医院网络资源。 6、未经允许,不得对医院网络功能进行删除、修改或者增加。 7、未经允许,不得对医院网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加。 8、不得故意制作、传播计算机病毒等破坏性程序。 9、不得进行其他危害医院网络安全及正常运行的活动。 三、网络硬件的管理 网络硬件包括服务器、路由器、交换机、通信线路、不间断供电设备、机柜、配线架、信息点模块等提供网络服务的设施及设备。 1、各职能部门、各科室应妥善保管安置在本部门的网络设备、设施及通信。 2、不得破坏网络设备、设施及通信线路。由于事故原因造
ISMS手册信息安全管理体系手册
ISMS 手册-信息安全管理体系手册7 信息安全管理IT 服务管理体系手册 发布令 本公司按照ISO20000:2005 《信息技术服务管理—规范》和ISO27001 :2005 《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT 服务管理体系手册》,建立与本公司业务相一致的信息安全与IT 服务管理体系, 现予以颁布实施。 本手册是公司法规性文件,用于贯彻公司信息安全管理方针和目标,贯彻IT 服务管理理念方针和服务目标。为实现信息安全管理与IT 服务管理,开展持续改进 服务质量,不断提高客户满意度活动,加强信息安全建设的纲领性文件和行动准 则。是全体员工必须遵守的原则性规范。体现公司对社会的承诺,通过有效的PDCA 活动向顾客提供满足要求的信息安全管理和IT 服务。 本手册符合有关信息安全法律法规要求以及ISO20000:2005 《信息技术服务 管理—规范》、ISO27001 :2005 《信息安全管理体系要求》和公司实际情况。为能更好的贯彻公司管理层在信息安全与IT 服务管理方面的策略和方针,根据 ISO20000:2005 《信息技术服务管理—规范》和ISO27001 :2005 《信息安全管理体系要求》的要求任命XXXXX 为管理者代表,作为本公司组织和实施“信息安全管理与IT 服务管理体系”的负责人。直接向公司管理层报告。 全体员工必须严格按照《信息安全管理&IT 服务管理体系手册》要求,自觉遵守本手册各项要求,努力实现公司的信息安全与IT 服务的方针和目标。 管理者代表职责:
a)建立服务管理计划; b)向组织传达满足服务管理目标和持续改进的重要性; e)确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源,如招聘合适的人员,管理人员的更新; 1.确保按照ISO207001:2005 标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;按照ISO/IEC20000 《信息技术服务管理-规范》的要求,组织相关资源,建立、实施和保持IT 服务管理体系,不断改进IT 服务管理体系,确保其有效性、适宜性和符合性。 2.负责与信息安全管理体系有关的协调和联络工作;向公司管理层报告 IT 服务管理体系的业绩,如:服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。 3.确保在整个组织内提高信息安全风险的意识; 4.审核风险评估报告、风险处理计划; 5.批准发布程序文件; 6.主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告; 向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情况、内外部审核情况。 7.推动公司各部门领导,积极组织全体员工,通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度,以及为达到公司服 务管理目标所应做出的贡献。 总经理:
【精品推荐】ISO27001信息安全管理体系全套文件
目录 前言 (3 0 引言 (4 0.1 总则 (4 0.2 与其他管理系统标准的兼容性 (4 1. 范围 (5 2 规范性引用文件 (5 3 术语和定义 (5 4 组织景况 (5 4.1 了解组织及其景况 (5 4.2 了解相关利益方的需求和期望 (5 4.3 确立信息安全管理体系的范围 (6 4.4 信息安全管理体系 (6 5 领导 (6 5.1 领导和承诺 (6 5.2 方针 (6 5.3 组织的角色,职责和权限 (7 6. 计划 (7 6.1 应对风险和机遇的行为 (7
6.2 信息安全目标及达成目标的计划 (9 7 支持 (9 7.1 资源 (9 7.2 权限 (9 7.3 意识 (10 7.4 沟通 (10 7.5 记录信息 (10 8 操作 (11 8.1 操作的计划和控制措施 (11 8.2 信息安全风险评估 (11 8.3 信息安全风险处置 (11 9 性能评价 (12 9.1监测、测量、分析和评价 (12 9.2 内部审核 (12 9.3 管理评审 (12 10 改进 (13 10.1 不符合和纠正措施 (13 10.2 持续改进 (14 附录A(规范参考控制目标和控制措施 (15
参考文献 (28 前言 0 引言 0.1 总则 本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。采用信息安全管理体系是组织的一项战略性决策。组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。 信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并给相关方建立风险得到充分管理的信心。 重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制措施的设计中要考虑到信息安全。信息安全管理体系的实施要与组织的需要相符合。 本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。 本标准中表述要求的顺序不反映各要求的重要性或实施顺序。条款编号仅为方便引用。 ISO/IEC 27000参考信息安全管理体系标准族(包括ISO/IEC 27003[2]、ISO/IEC 27004[3]、ISO/IEC 27005[4]及相关术语和定义,给出了信息安全管理体系的概述和词汇。 0.2 与其他管理体系标准的兼容性
企业信息安全管理办法
信息安全管理办法 第一章总则 第一条为加强公司信息安全管理,推进信息安全体系建设,保障信息系统安全稳定运行,根据国家有关法律、法规和《公司信息化工作管理规定》,制定本办法。 第二条本办法所指的信息安全管理,是指计算机网络及信息系统(以下简称信息系统)的硬件、软件、数据及环境受到有效保护,信息系统的连续、稳定、安全运行得到可靠保障。 第三条公司信息安全管理坚持“谁主管谁负责、谁运行谁负责”的基本原则,各信息系统的主管部门、运营和使用单位各自履行相关的信息系统安全建设和管理的义务与责任。 第四条信息安全管理,包括管理组织与职责、信息安全目标与工作原则、信息安全工作基本要求、信息安全监控、信息安全风险评估、信息安全培训、信息安全检查与考核。 第五条本办法适用于公司总部、各企事业单位及其全体员工。 第二章信息安全管理组织与职责 第六条公司信息化工作领导小组是信息安全工作的最高决策机构,负责信息安全政策、制度和体系建设规划的审批,部署并协调信息安全体系建设,领导信息系统等级保护工作。 第七条公司建立和健全由总部、企事业单位以及信息技术支持单位三方面组成,协调一致、密切配合的信息安全组织和责任体系。各级信息安全组织均要明确主管领导,确定相关责任,设置相应岗位,配备必要人员。 第八条信息管理部是公司信息安全的归口管理部门,负责落实信息化工作领导小组的决策,实施公司信息安全建设与管理,确保重要信息系统的有效保护和安全运行。具体职责包括:组织制定和实施公司信息安全政策标准、管理制度和体系建设规划,组织实施信息安全项目和培训,组织信息安全工作的监督和检查。 第九条公司保密部门负责信息安全工作中有关保密工作的监督、检查和指导。
工业控制系统信息安全管理制度(修订版)
工业控制系统信息安全管理制度 1 适用范围 为了规范公司工业控制系统的使用和操作,防止发生人为或意外损坏系统事故以及误操作引起的设备停运,保证工控系统的稳定运行,特制定本制度。 本制度适用于DCS及DEH系统以及辅控网DCS。 2 计算机使用管理 2.1 工程师站严格按照权限进行操作,无关人员不准使用。 2.2 工程师站、操作员站等人机接口系统应分级授权使用。严禁非授权人员使用工程师站的系统组态功能,工程师站用户的权限可以实施逻辑修改和系统管理工作;操作员站用户权限,查看运行状态画面,实施监控。 2.3 每三个月更改一次口令,同时检查每一级用户口令的权限设置应正确。口令字长应大于6个字符并由字母数字混合组成。修改后的口令应填写《DCS系统机器密码记录》,妥善保管。 2.4 计算机在使用过程中发生异常情况,立即停止当前操作,通知集控室负责人和相关维修人员。如服务器发生故障,按各《信息系统故障应急预案》操作,维修人员记录《软件故障处理和修改记录》。 2.5 使用工程师站计算机后,需详细填写《工程师站出入及机器使用记录》后方可离开。 3 软件保护 3.1 严禁在计算机控制系统中使用其他无关软件。除非软件升级或补丁的需要,严禁在计算机控制系统中使用U盘、光盘等。 3.2 禁止向DCS网络中连接系统外接计算机、手机。
3.3 在连接到DCS中的计算机上进行操作时,使用的可读写存储介质必须是固定的一个设备,并且在每次使用前对其进行格式化处理,然后才可以接入以上计算机。 4 软件的修改、保存及维护 4.1 更新、升级计算机系统软件、应用软件或下载数据,其存储介质须是本计算机控制系统专用存储介质,不允许与其他计算机系统交换使用。 4.2进行计算机软件、系统组态、设定值等修改工作,必须严格执行相关审批手续后方可工作,同时填写《组态及参数修改记录》,并及时做好修改后的数据备份工作。 5 软件和数据库备份 5.1 计算机控制系统的软件和数据库、历史数据应定期进行备份,完全备份间隔三个月一次,系统备份必须使用专用的U盘备份,并且由系统管理员进行相关操作。 5.2 对系统软件(包括操作系统和应用软件)的任何修改,包括版本升级和安装补丁,都应及时进行备份。 5.3备份结束后,在备份件上正确标明备份内容、对象,并做好记录,填写《DCS系统备份记录》。 5.4 DCS中各系统的备份必须由系统管理员定期手动进行,具体要求同上。 有限公司 2017年1月 1日
最新ISO27001:2013信息安全管理体系一整套程序文件(共41个程序184页)
XXXXXXXXX有限责任公司 信息安全管理体系 程序文件 编号:XXXX-B-01~XXXX-B-41 (符合ISO/IEC 27001-2013标准) 拟编:信息安全小组日期:2015年02月01日 审核:管代日期:2015年02月01日 批准:批准人名日期:2015年02月01日 发放编号: 01 受控状态:受控 2015年2月1日发布2015年2月1日实施
[XXXX-B-01]信息安全风险管理程序[XXXX-B-02]文件控制程序 [XXXX-B-03]记录控制程序 [XXXX-B-04]纠正措施控制程序 [XXXX-B-05]预防措施控制程序 [XXXX-B-06]内部审核管理程序 [XXXX-B-07]管理评审程序 [XXXX-B-08]监视和测量管理程序 A6[XXXX-B-09]远程工作管理程序 A7[XXXX-B-10]人力资源管理程序 A8[XXXX-B-11]商业秘密管理程序 A8[XXXX-B-12]信息分类管理程序 A8[XXXX-B-13]计算机管理程序 A8[XXXX-B-14]可移动介质管理程序 A9[XXXX-B-15]用户访问管理程序 A9[XXXX-B-16]信息系统访问与监控管理程序A9[XXXX-B-17]信息系统应用管理程序 A10[XXXX-B-18]账号密码控制程序 A11[XXXX-B-19]安全区域管理程序 A12.1.2[XXXX-B-20]变更管理程序 A12.1.3[XXXX-B-21]容量管理程序 A12.2.1[XXXX-B-22]恶意软件管理程序 A12.3[XXXX-B-23]重要信息备份管理程序 A12.6[XXXX-B-24]技术薄弱点管理程序 A13[XXXX-B-25]电子邮件管理程序
企业信息安全系统管理系统问题研究
实用标准文档录目 I要 ............................................................................................................... 摘....................................................................................................... 1 一、绪论....................................................................... 1 .(一)研究背景和意义....................................................................................... 1 研究背景 1........................................................................................ 3 研究意义 2............................................................................. 4 (二)国外研究综述....................................................................................... 4 国外研究1.2.国研究 . (4) 二、企业信息安全管理现状 (5) 三、企业信息安全管理存在的问题及原因分析 (6) (一)存在问题 (6) 1.企业信息安全意识淡薄 (6) 2.信息安全技术不够先进 (7) 3.企业信息安全相关法律法规不够完善 (7) (二)原因分析 (7) 1.需要提升企业信息安全意识 (7) 2.需要提升信息安全技术 (8) 3.需要落实现有企业信息安全相关法律法规 (8)
信息安全系统管理系统要求规范
信息安全管理规范公司
版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要
Table of Contents(目录) 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级(保密级别)规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息? (21) 2.2什么是信息安全? (21)
公司信息安全管理制度
鑫欧克公司信息安全管理制度 一、信息安全指导方针 保障信息安全,创造用户价值,切实推行安全管理,积极预防风险,完善控制措施,信息安全,人人有责,不断提高顾客满意度。 二、计算机设备管理制度 1、计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 2、非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由本单位相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准。 3、严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。三、操作员安全管理制度 (一)操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置; (二)系统管理操作代码的设置与管理
1、系统管理操作代码必须经过经营管理者授权取得; 2、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护; 3、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有其上级授权; 4、系统管理员不得使用他人操作代码进行业务操作; 5、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码; (三)一般操作代码的设置与管理 1、一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户一码设置。 2、操作员不得使用他人代码进行业务操作。 3、操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。 四、密码与权限管理制度 1、密码设置应具有安全性、保密性,不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日,重复、顺序、规律数字等容易猜测的数字和字符串; 2、密码应定期修改,间隔时间不得超过一个月,如发
信息安全管理体系建设
a* ILIMOOH 佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目 时间:2015年12月
信息化建设引言 随着我国中小企业信息化的普及,信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面:信息化在中小企业的发展程中,对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面伴随着全球信息化和网络化进程的发展,与此相关的信息安全问题也日趋严 重。 由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识,导致中小企业的信息安全面临着较大的风险,我国中企业信息化进程已经步入普及阶段,解决我国中小企业的信息安全问题已经不容缓。 通过制定和实施企业信息安全管理体系能够规范企业员工的行为,保证各种技术手段的有效实施,从整体上统筹安排各种软硬件,保证信息安全体系同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故生后能够及时采取有效的措施,防止信息安全事故带来巨大的损失,而更重的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。 信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的,由 新的威胁不断出现,信息安全管理是一个相对的、动态的过程,企业能做到的 就是要不断改进自身的信息安全状态,将信息安全风险控制在企业可接受的围之内,获得企业现有条件下和资源能力范围内最大程度的安全。 在信息安全管理领域,三分技术,七分管理”的理念已经被广泛接受。结合 ISO/IEC27001信息安全管理体系,提出一个适合我国中小企业的信息安全管理的模型,用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管 理能力。 IS027001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行(如下
公司信息安全管理制度
公司信息安全管理制度 一、信息安全指导方针 保障信息安全,创造用户价值,切实推行安全管理,积极预防风险,完善控制措施,信息安全,人人有责,不断提高顾客满意度。 二、计算机设备管理制度 1、计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 2、非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由本单位相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准。 3、严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。 三、操作员安全管理制度 (一)操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置; (二)系统管理操作代码的设置与管理
1、系统管理操作代码必须经过经营管理者授权取得; 2、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护; 3、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有其上级授权; 4、系统管理员不得使用他人操作代码进行业务操作; 5、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码; (三)一般操作代码的设置与管理 1、一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户一码设置。 2、操作员不得使用他人代码进行业务操作。 3、操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。 四、密码与权限管理制度 1、密码设置应具有安全性、保密性,不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日,重复、顺序、规律数字等容易猜测的数字和字符串; 2、密码应定期修改,间隔时间不得超过一个月,如发现或怀
互联网企业网站信息安全管理制度全套
互联网企业网站信息安全管理制度全套 目录 信息发布登记制度 (1) 信息内容审核制度 (2) 信息监视、保存、清除和备份制度 (3) 病毒检测和网络安全漏洞检测制度 (5) 违法案件报告和协助查处制度 (6) 安全管理人员岗位工作职责 (7) 安全教育和培训制度 (8) 信息发布登记制度 1. 在信源接入时要落实安全保护技术措施,保障本网络的运行安全和信息安全; 2. 对以虚拟主机方式接入的单位,系统要做好用户权限设定工作,不能开放其信息目录以外的其他目录的操作
权限。 3. 对委托发布信息的单位和个人进行登记并存档。 4. 对信源单位提供的信息进行审核,不得有违犯《计算机信息网络国际联网安全保护管理办法》的内容出现。 5. 发现有违犯《计算机信息网络国际联网安全保护管理办法》情形的,应当保留有关原始记录,并在二十四小时内向当地公安机关报告。 信息内容审核制度 1、必须认真执行信息发布审核管理工作,杜绝违犯《计算机信息网络国际联网安全保护管理办法》的情形出现。 2、对在本网站发布信息的信源单位提供的信息进行认真检查,不得有危害国家安全、泄露国家秘密,侵犯国家的、社会的、集体的利益和公民的合法权益的内容出现。 3、对在BBS 公告板等发布公共言论的栏目建立完善的审核检查制度,并定时检查,防止违犯《计算机信息网络国际联网安全保护管理办法》的言论出现。 4、一旦在本信息港发现用户制作、复制、查阅和传
播下列信息的:( 1 ). 煽动抗拒、破坏宪法和法律、行政法规实施( 2 ) . 煽动颠覆国家政权,推翻社会主义制度(3). 煽动分裂国家、破坏国家统一(4). 煽动民族仇恨、民族歧视、破坏民族团结( 5) . 捏造或者歪曲事实、散布谣言,扰乱社会秩序( 6 ). 宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪( 7 ). 公然侮辱他人或者捏造事实诽谤他人( 8 ). 损害国家机关信誉( 9 ) . 其他违反宪法和法律、行政法规( 10) . 按照国家有关规定,删除本网络中含有上述内容的地址、目录或者关闭服务器。并保留原始记录,在二十四小时之内向当地公安机关报告。 信息监视、保存、清除和备份制度 为促进公司网站健康、安全,高效的应用和发展,维护国家和社会的稳定,杜绝各类违法、
信息管理与信息安全管理程序.docx
. . 1目的 明确公司信息化及信息资源管理要求,对内外部信息及信息系统进行有效管理,以确保各部门( 单位 ) 和岗位能及时、安全地识别、获取并有效运用、保存所需信息。 2适用范围 适用于公司信息化管理及信息收集、整理、转换、传输、利用与发布管理。 3术语和定义 3.1信息 有意义的数据、消息。公司的信息包括管理体系所涉及的质量、环境、职业健康安全、测量、标准 化、内部控制、三基等和生产经营管理中所有信息。 3.2企业信息化 建立先进的管理理念,应用先进的计算机网络技术,整合、提升企业现有的生产、经营、设计、制 造、管理方式,及时为企业各级人员的决策提供准确而有效的数据信息,以便对需求做出迅速的反应, 其本质是加强企业的“核心竞争力” 。 3.3信息披露 指公司以报告、报道、网络等形式,向总部、地方政府报告或向社会公众公开披露生产经营管理相 关信息的过程。 3.4 ERP 企业资源规划 3.5 MES 制造执行系统 3.6LIMS 实验室信息管理系统 3.7IT 信息技术 4职责 4.1信息化工作领导小组负责对公司信息化管理工作进行指导和监督、检查,对重大问题进行决策, 定期听取有关信息化管理的工作汇报,协调解决信息化过程中存在的有关问题。 4.2 ERP支持中心负责公司ERP系统运行、维护管理,每月召开ERP例会,分析总结系统运行情况, 协调处理有关问题,及时向总部支持中心上报月报、年报。 4.3信息中心是公司信息化工作的归口管理部门,主要职责: a) 负责制定并组织实施本程序及配套规章制度,对各部门( 单位 ) 信息化工作进行业务指导和督促; b)负责信息化建设管理,组织进行信息技术项目前期管理,编制信息建设专业发展规划并组织实施; c) 负责统一规划、组织、整合和管理公司信息资源系统,为各部门( 单位 ) 信息采集、整理、汇总和 发布等环节提供技术支持;对Internet用户、电子邮箱进行设置管理;统一管理分公司互联网出口; d) 负责计算机网络系统、信息门户和各类信息应用系统的安全运行和维护及计算机基础设施、计算
系统与信息安全管理
一、资源界定 1、业务系统信息安全包括托管在联通机房的所有服务器、网络线 路、网络设备、安装在服务器上的操作系统、业务系统、应用系 统、软件、网络设备上的OS、配置等软硬件设施。 2、任何人未经允许不得对业务系统所包含的软硬件进行包括访问, 探测,利用,更改等操作。 二、网络管理 1、网络结构安全管理 A、网络物理结构和逻辑结构定期更新,拓扑结构图上应包含 IP地址,网络设备名称,专线供应商名称及联系方式,专 线带宽等,并妥善保存,未经许可不得对网络结构进行修 改。 B、网络结构必须严格保密,禁止泄漏网络结构相关信息。 C、网络结构的改变,必须提交更改预案,并经过信息总监的 批准方可进行。 2、网络访问控制 D、络访问控制列表包括山石磊科路由和华三S5620的ACL。
E、妥善保管现有的网络访问控制列表,其中应包含网络设备 及型号,网络设备的管理IP,当前的ACL列表,更新列表 的时间,更新的内容等。 F、定期检查网络访问控制列表与业务需求是否一致,如不一 致,申请更新ACL。 G、未经许可不得进行ACL相关的任何修改。 H、ACL时,必须备份原有ACL,以防误操作。 I、ACL配置完成以后,必须测试。 J、禁止泄漏任何ACL配置。 3、网络络设备安全 K、妥善保管现有网络设备清单,包括供应商及联系人信息,设备型号,IP地址,系统版本,设备当前配置清单。 L、定期检查设备配置是否与业务需求相符,如有不符,申请更新配置。 M、配置网络设备时,必须备份原有配置,以防误操作。 N、配置完成之后,必须进行全面测试。 O、禁止在网络设备上进行与工作无关的任何测试。 P、未经许可不得进行任何配置修。 Q、禁止泄漏网络设备配置。
网站信息安全管理制度(全)
网站信息安全保障措施 网络与信息的安全不仅关系到公司业务的开展,还将影响到国家的安全、社会的稳定。我公司将认真开展网络与信息安全工作,通过检查进一步明确安全责任,建立健全的管理制度,落实技术防范措施,保证必要的经费和条件,对有毒有害的信息进行过滤、对用户信息进行保密,确保网络与信息安全。 一、网站运行安全保障措施 1、网站服务器和其他计算机之间设置防火墙,做好安全策略,拒绝外来的恶意攻击,保障网站正常运行。 2、在网站的服务器及工作站上均安装了相应的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。 3、做好访问日志的留存。网站具有保存六个月以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、对应的IP地址情况等。 4、交互式栏目具备有IP地址、身份登记和识别确认功能,对非法贴子或留言能做到及时删除并进行重要信息向相关部门汇报。 5、网站信息服务系统建立多机备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,可以在最短的时间内替换主系统提供服务。 6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用
补丁修复系统漏洞,定期查杀病毒。 7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。 8、网站提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。 9、公司机房按照电信机房标准建设,内有必备的独立UPS不间断电源,能定期进行电力、防火、防潮、防磁和防鼠检查。 二、信息安全保密管理制度 1、我公司建立了健全的信息安全保密管理制度,实现信息安全保密责任制,切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,确保使用网络和提供信息服务的安全。 2、网站信息内容更新全部由网站工作人员完成或管理,工作人员素质高、专业水平好,有强烈的责任心和责任感。网站相关信息发布之前有一定的审核程序。工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过我校网站散布《互联网信息管理办法》等相关法律法规明令禁止的信息(即“九不准”),一经发现,立即删