信息安全管理实施细则
信息安全管理体系规范(Part I)(信息安全管理实施细则)
目录
前言
一、信息安全范围
二、术语与定义
三、安全政策
3.1 信息安全政策
四、安全组织
4.1信息安全基础架构
4.2外部存取的安全管理
4.3委外资源管理
五、资产分类与管理
5.1资产管理权责
5.2信息分类
六、个人信息安全守则
6.1工作执掌及资源的安全管理
6.2教育培训
6.3易发事件及故障处理
七、使用环境的信息安全管理
7.1信息安全区
7.2设备安全
7.3日常管制
八、通讯和操作过程管理
8.1操作程序书及权责
8.2系统规划及可行性
8.3侵略性软件防护
8.4储存管理
8.5网络管理
8.6媒体存取及安全性
8.7信息及软件交换
九、存取管理
9.1存取管制的工作要求
9.2使用者存取管理
9.3使用者权责
9.4网络存取管制
9.5操作系统存取管理
9.6应用软件存取管理
9.7监控系统的存取及使用
9.8移动计算机及拨接服务管理
十、信息系统的开发和维护
10.1信息系统的安全要求
10.2应用软件的安全要求
10.3资料加密技术管制
10.4系统档案的安全性
10.5开发和支持系统的安全性
十一、维持运营管理
11.1持续运营的方面
十二、合法性
12.1合乎法律要求
12.2对信息安全政策和技术应用的审查
12.3系统稽核的考虑
前言
何谓信息安全?
对一个单位或组织来说,信息和其它商业资产一样有价值,因此要加以适当的保护。信息安全就是保护信息免受来自各方面的众多威胁,从而使单位能够进行持续经营,使其对经营的危害降至最小程度,并将投资和商业机会得以最大化。
信息可以许多形式存在-可以印在或写在纸上,以电子方式进行储存,通过邮寄或电子方式传播,用影片显示或通过口头转述。无论信息以何种方式存在,或以何种形式分享或储存,都要对其进行恰当保护。
信息安全的主要特征在于保护其
-保密性:确保只有那些经过授权的人员可以接触信息
-完整性:保护信息和信息处理办法的准确性和完整性
-可得性:确保在需要时,经过授权的使用者可接触信息和相关的资产
信息安全可通过一套管制手段得以实现;此管制手段可为政策、行为规范、流程、组织结构和软件功能。必须建立此类管制手段来确保各单位的具体安全目标得以实现。
为何需要信息安全?
信息和信息支持程序、系统及网络是重要的经营资产。信息的保密性、完整性和可得性对维持单位的竞争优势、现金流动、赢利性、合法性和商业形象至关重要。
单位及其信息系统和网络正面临着来自各方面的越来越多的安全威胁,如计算机辅助诈骗、间谍、破坏、毁坏、水灾或火灾等等。破坏的产生来源,如计算机病毒、黑客袭击和拒绝服务攻击等已经变得越来越普遍、更具野心和复杂。
对信息系统和服务的依赖表明单位在安全威胁面前已越来越脆弱。公共网络和私人网络的互联以及信息资源的共享加大了进行存取管制的难度。分散化的计算机模式进一步减弱了中央化、专业化管制的有效性。
许多信息系统本身的设计就很不安全。通过技术手段达到的安全很有限,因此要通过恰当的管理和流程加以支持。确认采取的管制措施时需要详细审慎的计划和构思。信息安全管理至少要求单位所有员工的参与。同时,也要求供货商、客户和股东的参与。单位外部的专家建议有时也很必要。
如果能在具体规章和设计阶段就将信息安全管制方面的内容纳入其中,则其成本会便宜许多。
如何设置安全要求?
单位能够确认其安全方面的要求至关重要。在这方面,主要有三个来源:
第一个来源是对单位面临的风险进行评估。通过风险评估,可以确认单位的资产所面临的威胁,评估其弱项和危险发生的可能性,并对其潜在的冲击加以估计。
第二个来源是某单位、其运营伙伴、签约方和服务提供商所必须满足的法律、法规、规章或契约方面的要求。
第三个来源是单位为支持其运营而开发出的一套针对信息处理的原则、目标和要求。
评估安全风险
安全要求是通过对安全风险的系统评估而确认的。管制方面的支出需要和安全失控时产生的危害进行平衡和比较。风险评估技巧可运用到整个组织或局部,也可针对其实用性、现实性和有效性运用到组织内部单个信息系统、具体系统部件或服务。
风险评估要求对如下因素进行系统考虑:
-安全失误所造成的经营性破坏,要求考虑失去信息保密性、完整性和可得性和其它资产时所导致的潜在后果
-现行威胁和弱点导致安全失误的现实可能性,及目前实施的管制手段
在管理信息安全风险和实施管制手段防范风险时,上述评估结果有助于指导和决定采取适当的管理行动及其优先程度。评估风险和选择管制手段的过程可能需要重复几次,以便涵盖单位的不同部分或单个的信息系统。
对安全风险和实施的管制要进行定期回顾,以便
-考虑运营要求和优先性方面所发生的变化
-考虑新的威胁和薄弱环节
-确认所采取的管制手段仍然有效恰当
根据以前评估的结果和管理层能够接受的风险程度,上述回顾应当按不同程度开展。风险评估一般先在较高层次上开展,以便对高风险领域的资源进行优先分类,然后从细节开展,目的是对付具体风险。
选择管制手段
安全要求一旦确定之后,就应选择并实施管制手段以确保风险被降到一个可接受的水平。管制手段可从本文件或别的管控手册中选择;还可以设计新管控办法来满足具体的需求。管理风险有许多不同的办法,本文件列出了一些常用的手段。然而,需要认识的是有些手段并不是适用与所有信息系统或环境,也不一定适合所有的单位
或组织。比如,本文件8.1.4描述了如何对权责进行分类以便防止诈骗或失误。对许多小的单位或组织来说,这种办法就不一定适合,而另外的办法可能更好一些。
管制的选择应当基于相对风险而言执行管制时的成本。也应当考虑其它非财务方面的因素,如对单位或组织名誉的损坏等等。
本文件中的某些管制手段可以用作多数单位的信息安全管理的指导原则。其细节在下述的“信息安全起始点”中将加以详细描述。
信息安全起始点
几条管制手段作为指导原则提供了信息安全执行方面的起始点。它们或者基于重大的立法要求,或者被认为是信息安全领域内的最佳实施手法。
从立法角度审视,对单位十分重要的管制手段主要包括:
甲、知识产权(详见12.1.2)
乙、保护单位记录(详见12.1.3)
丙、数据保护和个人隐私(详见12.1.4)
对信息安全来说被认为是最佳实施手段的管制手段包括:
甲、信息安全政策文件(详见3.1.1)
乙、信息安全权责的分配(详见4.1.3)
丙、信息安全教育和培训(详见6.2.1)
丁、安全事故的回报(详见6.3.1)
戊、持续运营管理(详见11.1)
这些管制手段适用于多数单位和多数情形。应当注意的是,尽管本文件所述的管制手段很重要,但所有手段的适用性仍然取决于具体的当事情形。因此,上述的步骤虽然是很好的起点,它并不取代基于具体风险评估而导出的管制手段。
重大成功因素
以往经验证实各单位要确保执行信息安全管理的成功需考虑如下重大因素:
-安全政策,目标和反应单位运营目标的活动
-符合单位文化的安全防卫模式
-管理层明显的支持和承诺
-对安全要求、风险评估和风险管理的充分理解
-向所有管理人员和员工推行安全概念的有效途径
-向所有员工和承包方发放有关本单位信息安全政策和标准的指导纲要
-提供恰当的培训和教育
-一整套用于评估信息安全管理表现及反馈改进意见的测量系统
制定本单位的大纲
本指导条例可用作各单位依据本身具体情况制定自己内部信息安全指导大纲的基础。本条例所描述的指导原则和管制手段也并不一定适合所有单位的情况。因此,有必要适时加以调整。
一、信息安全范围
此部分针对各单位内部从事安全工作的人员提出了信息安全管理方面的建议。其目的是提供一个公共平台以各单位制定各自的安全标准和有效的安全管理手段,并增强各单位就此进行交流时的信心。
二、术语与定义
在本文件中,下列术语其定义如下:
2.1信息安全
对信息保密性、完整性和可得性的保护。
保密性被定义为确保唯有经过授权的人员方可存取信息。
完整性被定义为保护信息和信息加工方法的准确和完全。
可得性被定义为确保经授权的人员在必要时能存取信息和相关资产。
2.2风险评估
对信息和信息处理设施的弱点、其所受威胁、后果及其发生概率的评估。
2.3风险管理
以可以接受的成本,对影响信息系统的安全风险进行辨认、控制、减少或消除的过程
三、安全政策
3.1信息安全政策
3.1.1信息安全政策文件
信息安全政策文件在经管理层批准后,要印行并颁发给单位的所有员工。该文件要阐明管理层对信息安全的承诺,并提出单位信息安全的管理方法。它至少要包括如下部分:
-对信息安全的定义,其总体目标和范围,安全作为信息分享确保机制的重要性
-支持信息安全目标和原则的管理意向声明
-对安全政策、原则、标准和应达到要求的简要解释,比如:1)符合立法和契约的规定;2)安全教育方面的要求;3)对病毒和其它有害软件的预防和检测;4)持续运营管理;5)违反安全政策的后果等;
-信息安全管理的总体和具体权责的定义,包括安全事故回报等;
-用以支持政策的文献援引;例如,适用于具体信息系统的更详细的安全政策和流程,或使用者应当遵守的安全条例等;
本政策应以恰当、易得、易懂的方式向单位的标的使用者进行传达。
3.1.2审核与评估
本政策要求有专人按既定程序对其进行定期检讨和审订。检讨和审订的过程要能够反应风险评估方面所发生的新变化,譬如重大安全事故、组织或技术基础设施上出现的新漏洞,等等。为此,要求对下列事项进行定期、有计划的审订:
-政策的有效性,可通过记录在案的安全事故的性质、数目和影响来论证
-对运营效率进行管制的成本及影响
-技术变化的影响
四、安全组织
4.1信息安全基础架构
4.1.1信息安全管理委员会
信息安全是管理团队各成员共同承担的责任。因此,有必要建立一个信息安全管理委员会来确保信息安全方面的工作指导得力,管理有方。该委员会旨在通过适当的承诺和合理的资源分配提携单位内部的安全。其可为现有管理机构的一部分,主要行使如下职能:
-审订并批准信息安全政策和总体权责
-监督信息资产所面临威胁方面出现的重大变化
-审订并监督安全事故
-批准加强信息安全的重大举措
所有有关的安全活动都应由一位经理负责。
4.1.2部门间协调
在较大的单位内,有必要建立一个由各个部门管理代表组成的跨功能信息安全委员会来协调信息安全的实施。这样一个机构的功能包括:
-批准单位内信息安全方面的人事安排和权责分配
-批准信息安全的具体方法和流程,如风险评估、安全分类体系等
-批准并支持单位内信息安全方面的提议,如安全意识课程等
-确保安全成为信息计划程序的一部分
-针对新系统或服务,评估其在信息安全方面的充足程度并协调其实施
-评定信息安全事故
-在全单位范围内以显要之方式提携对信息安全的支持
4.1.3权责分配
保护各项资产及实施具体安全流程的权责应有明确定义。
信息安全政策应当提供单位内安全人事和权责分配方面的具体指导原则。针对具体的地点、系统或服务的不同,可对此政策酌情进行补充。对各项有形、信息资产及安全程序所在方应承担的责任,如持续运营计划,也要加以明确定义。
在某些单位内,需任命一名信息安全经理负责发展实施安全、支持指定管制手段方面的有关事宜。但是,涉及资源分派和实施管制的事务仍应交由各部经理负责。通常的做法是为每项信息资产都指定一个负责人,由他来时时负责资产的日常安全。
信息资产的负责人可将其安全权责代理给各部经理或服务提供方,但他对资产的安全仍负有最终的责任,并要求能确认代理权没有被滥用或误用。
对各经理所负责的各安全领域进行定义十分重要;特别是要做到如下几点:
-和各系统有关的资产和安全程序要加以清楚辨别和定义
-负责上述各资产和安全程序的经理人的任命要经过批准,其权责要记录在案
-授权级别要清晰定义并记录在案
4.1.4信息处理设备的授权流程
要建立起针对新信息处理设施的管理授权流程。
要考虑如下要素:
-新设施要有适当的使用者管理审批制度,以此对使用目的和使用情况进行审批。批准由负责当地信息系统安全环境的经理发给,并做到符合相关安全政策和要求。
-如必要,对软件和硬件进行检查,确保其和其它系统部件向匹配。
-使用个人信息处理设备处理公务信息及其相关必要之管制手段皆需经过批准。
-在公务场合使用个人信息处理设备本身可导致安全漏洞,因此要经过评估和批准。
以上管制在联网的环境中尤其重要。
4.1.5专业信息安全顾问
许多单位可能需要专业信息安全顾问。此职位最好由单位内部某位资深信息安全顾问担当。但不是所有单位都想聘用专业信息安全顾问。因此,特建议单位指定一位具体个人来协调单位内部信息安全知识与经验方面的一致,及辅助该方面的决策。担此职务的人要和外部专家保持联系,能提出自己经验以外的建议。
信息安全顾问或相应的外部联络人员的任务是根据自己的或外部的经验,就信息安全的所有方面提出建议。他们对安全威胁评估及提出管制建议的质量决定了单位信息安全的有效性。为使其建议的有效性最大化,应允许他们接触全单位管理的各个方面。
如怀疑出现安全事故或漏洞,应尽早向信息安全顾问咨询,以获得专家指导或调查资源。尽管多数内部安全调查通常是在管理管制下进行,但仍可以委托信息安全顾问提出建议,领导或实施调查。
4.1.6组织间合作
和有关执法、监管、信息服务和电讯运营部门保持良好的联系,确保在安全事故时能或得其建议以便迅速采取行动。同样,也应考虑参加安全组织和行业论坛并成为其成员。
安全信息的交换要加以严格限制,确保单位的保密信息不被传给没有经过授权的人员。
4.1.7信息安全审核的独立性
信息安全政策文件规定了信息安全的政策和权责。对其实施的审核应独立开展,确保单位的做法恰当地反应了政策的要求,并确保实施方面的可行性和有效性。
此类审核可由单位内部审计部门开展,也可由独立经理人或专门从事审核的第三方组织开展,只要这些人员具有适当的技能和经验。
4.2外部存取的安全管理
4.2.1第三方存取的风险鉴别
4.2.1.1存取的类别
允许第三方存取的类别至关重要。比如,跨网络存取的风险和物理存取的风险是完全不同的。应考虑的存取类别包括:
-物理存取,如办公室、电脑房、档案柜等
-逻辑存取,如单位的数据库、信息系统等
4.2.1.2存取的原因
允许第三方存取可能有若干原因。例如,这个第三方可能是在向单位提供服务,但又不在现场,只能给其一定物理和逻辑存取途径,比方:
-需要系统级别或低级别应用功能的硬件和软件支持人员
-和本单位交换信息、存取信息系统或分享数据库的贸易伙伴或合资公司
如没有充足的安全管理,允许第三方存取会给信息带来风险。因此,在有需求接触其它方信息时,要进行风险评估,确定管制的要求。同时,要考虑存取的类别、信息的价值、第三方使用的管制手段,以及让他方接触本单位信息的可能后果。
4.2.1.3现场承包方
按合同规定可在现场滞留的第三方也可导致安全隐患。例如,在现场的第三方可以包括:
-硬件和软件维护和支持人员
-清洁、料理、保安和其它委外的支持服务人员
-学生员工及其它短期临时工作人员
-顾问
知道需采取哪些管制手段管理第三方对信息处理设备的存取至关重要。总体而言,和第三方签订的合同中要反应所有有关的安全要求和内部管制手段。例如,如有特殊要求保守信息秘密,就要和第三方签订保密协议(见6.1.3)
在相应管制手段布置周备或和第三方合同签订之前,不得允许第三方存取本单位信息或接触信息处理设备。
4.2.2与第三方存取单位签约时的安全要求
涉及第三方接触本单位信息处理设备的安排应当基于正式的合同,该合同中要包括或提到所有的安全要求,以便确保符合单位的安全政策和标准。合同还要确保单位和第三方之间没有任何误会。单位在证实第三方的可靠性方面要做到完全放心。合同中可考虑包括如下要素:
-信息安全的总体政策
-资产保护,包括1)保护单位资产的流程,包括信息和软件;2)诊断资产是否受到破坏的流程,包括数据的损失或修改;3)确保在合同期末或合同期间任意时间点归还或销毁信息的管制手段;4)完整性和可得性;5)限制信息的复制和泄漏
-所提供的所有服务的描述
-标的服务水准和不可接受的服务水准
-人员调动的规定
-合同双方各自的相关责任
-法律方面的责任,比如,数据保护方面的法规,要特别考虑到在合同牵涉到多国组织件合作时各国法律体系的不同(见12.1)
-知识产权和版权的分配(见12.1.2)及合作成果的保护(见6.1.3)
-存取管制合同,包括1)允许的存取办法和管制手段,以及特别标记的运用如使用者身份证和密码;2)对使用者存取和权限的授权过程;3)要求准备一份批准使用服务的个人使用者的名单并载明他们的使用权限
-定义有效的表现评判标准并对其进行监督和回报
-监督、撤销使用者活动的权力
-对合同权责进行审计或指定别人对其审计的权力
-建立解决问题的升级流程;在适当的情况下还要考虑应急安排
-硬件和软件安装和维护方面的责任
-清晰的回报结构和业经同意的回报格式
-清晰具体的变化管理流程
-确保管制手段得以实施的物理保护管制手段和机制
-对使用者和管理者进行培训的方法、流程和安全
-确保防范病毒软件的管制手段(见8.3)
-用于回报、通知和调查安全事故和安全违规的安排
-第三方涉及合同的分包
4.3委外资源管理
4.3.1委外加工处理合约内的安全需求
如单位需将其信息系统、网络和/或桌面操作环境系统的管理和管理任务部分或全部地委托给他方实施,此方面的安全要求在有关各方签订的合同中加以规定。
例如,合同应当规定:
-如何满足诸如数据保护等方面的法律要求
-进行哪些安排去确保委外的各方(包括分包方)能意识到其担负的安全责任
-如何维持并检验单位资产的完整性和保密性
-采取哪些物理和逻辑管制手段来限制使用者接触单位的敏感商业信息
-在发生灾难的情况下如何继续或得服务
-对委外设备采取何种水准的物理安全保护
-审计权
4.2.2条款中所述的条件也可作为此合同考虑的要素。本合同应当允许双方在安全管理计划中对安全要求和流程进行扩展。
尽管委外合同可导致一些复杂的安全问题,其准则中包括的管制手段可被用作安全管理计划的结构和内容的起点。
五、资产分类与管理
5.1资产管理权责
5..1.1 资产的盘点
对资产的盘点可帮助确保有效的资产保护,也可用于其它经营目的,如健康和安全、保险或财务方面的原因。编制资产盘点的流程是风险管理的重要方面。单位要能辨明其资产和这些资产的相对价值和重要性。基于这些信息,单位就可以提供和资产价值及重要性相应的保护级别。对各个信息系统的重要资产都要编制资产清单并加以保存。每个资产都要清楚辨明,其主管人员及安全类别(见 5.2)、现在的位置等都要确认并登记。与信息系统有关的资产举些例子可能包括:
-信息资产:数据库和数据文件、系统文件、使用手册、培训材料、操作和支持流程、持续经营计划、存档信息等
-软件资产:应用软件、系统软件、开发工具和用具等
-物理资产:电脑设备(包括处理器、显示器、笔记本电脑、调制解调器等),通讯设备(路由器、PBAX、传真机、答录机等),磁力媒体(录音带、光盘等),其它技术仪器(电源、空调设备等),家具及辅助设施
-服务:计算和通讯服务,通用设备,如供暖、照明、电、空调等
5.2信息分类
5.2.1分类原则
信息分类及相关的保护管理办法应符合分享信息或限制信息的要求,符合此类需要所带来的相关后果,例如,对信息的未经批准的使用和毁坏。总而言之,对信息进行分类是决定如何处理和保护该信息的一个捷径。要对数据分类系统的信息和输出进行标示,以决定此类信息对单位而言其价值和敏感度的级别。同样也可按照此类信息对单位的重要程度进行分类标示,例如,按照其完整性和可得性。
经过一段时间之后,信息经常不再敏感或重要,例如,在信息变成公开信息之后。因此,要考虑这些方面,因为过细的分类会增加额外的费用。分类知道大纲应当预测并承认信息分类有时间性并岁政策变化而变化这一事实(见9.1)。
还要考虑分类范畴的标号及其益处。太复杂的标号系统用起来很费劲,即不经济也不实用。在接触和使用别单位的标号系统时要注意,因为他们的标号虽然和本单位的相同但含义可能完全不同。
对信息类事务(包括文件、数据记录、数据文件或软盘)分类进行定义并进行周期性审订的任务应由信息原来的的制造者或指定的主管人员来完成。
5.2.2信息标示及携带
根据单位制定的分类原则,制定一整套信息标识和操作流程是非常重要的。这些流程要涵括以物理和电子形式存在的信息资产。针对每个类别,所定义的操作流程要包括如下类型的信息处理活动:
-复制
-存储
-以邮件、传真、电子邮件方式进行的传送
-以声音,包括移动电话、语音邮件、答录机等方式进行的传送
-销毁
含有敏感重要信息的系统其输出应加以恰当的分类标示。此标示要求能够反应根据5.2.1条款进行分类的类别。需要考虑进行标示的物品包括打印出的报告、屏幕显示、被记录的媒体(包括磁带、软盘、光盘、录音带等)、电子消息和传送等。
物理标示通常是最恰当的标示。但是,有的信息资产如以电子方式存在的文件,不能对其进行物理标示,在此情况下需考虑对其进行电子标示。
六、个人信息安全守则
6.1工作执掌及资源的安全管理
6.1.1工作权责涵盖的安全需求
单位信息安全政策中规定的安全角色和责任当在工作定义中恰当标明(见 3.1)。这些要求包括实施或维护安全政策以及保护特别资产或开展特别安全程序或活动时的具体权责。
6.1.2人员任用政策
在单位终身职员申请工作时,对其进行资格审查。这应当包括如下内容:
-申请人是否具备充分的人品推荐材料,例如,可以是一份工作推荐,一份个人推荐-对申请人简历的完整性和准确性进行检查
-对申请人声称的学术和资格证明进行认证
-独立的身份认证(通过护照或相应的身份证明材料)
工任命或提升员工时,只要其涉及到接触信息处理设备,特别是处理敏感信息的设备,如处理财务信息或其它高度机密的信息的设备,单位需要对该员工进行信用调查。对握有大权的员工此类信用调查更要定期开展。
对合同工和临时工也要开展类似的审查。如果上述人员通过中介机构推荐给单位,则单位要和该机构签订合同,在合同中载明该中介机构要对被推荐人进行审查责任,以及中介机构在未对被推荐人进行审查或对审查结果有疑惑或怀疑时通知单位的必要程序。
管理人员要对那些新来的或没有经验的但却得到授权可接触敏感系统的员工进行监视。对所有员工的工作都要进行定期审核,审核审批的程序有员工中的某位资深人士来制定。
管理人员应当认识到其部下的个人环境会影响其工作。个人或财务上的问题会影响他们的工作,导致行为或生活方式的改变及多次旷工;压力或忧郁的表现可能导致欺诈、盗窃、错误或其它安全问题。对这类信息的处理要依据单位作在地区的适当法律程序加以解决。
6.1.3保密协议
保密协议的目的是对信息的保密性加以说明。雇员在受雇时,应和单位签署保密协议,此协议为员工守则的一部分。
没有签署保密协议的闲散员工或第三方在接触信息处理设备之前必须签署有关保密协议。
在雇佣合同或条款发生变动时,特别是员工要离开单位或其合同到期时,要对保密协议进行审订。
6.1.4员工守则
该守则应载明雇员在信息安全方面的职责。如有必要,这些职责即使在雇佣关系结束后也应保持一定的有效期。其中应当包括员工违反安全规定时应采取的行动。
员工的合法职责和权利,例如在版权法或数据保护法方面的权责,应得以清楚定义,并包括在员工守则中。员工数据分类和管理方面的职责也要包括在内。如有必要,员工守则应当规定这些权责不仅适用于单位范围内,而是可以延伸到单位以外或正常工作时间以外,例如在家工作的情况。(参见7.2.5 和 9.8.1)
6.2教育训练
6.2.1信息安全的教育和培训
单位的所有职员,以及在必要情况下涉及的第三方用户,都应定期接受安全政策和流程方面的教育和培训。这包括安全要求、法律职责和业务管制,以及正确使用信息处理设备方面的培训,例如,登录流程、软件包的使用等。
6.3易发事件及故障处理
6.3.1安全事故回报
发现安全事故后,应立即通过适当管理渠道回报。
要建立正规的回报流程和事故反应流程,规定接到事故报告后应采取的行动。所有员工和合同方都应认识回报安全事故的操作流程,并被要求尽快加以回报。同时,建立适当的反馈流程来确保这些安全事故在处理完毕之后处理结果得以反馈。发生过的安全事故可用作安全培训的例子,向使用者解释会发生哪些事故,如何反应,及以后如何避免此类事件等(参见12.1.7)。
6.3.2安全漏洞回报
要求信息服务用户记录并回报任何其觉察或怀疑存在的安全漏洞。他们要把这些漏洞或者报告给管理人员或者直接尽快报告给服务提供商。应向使用者强调,无论在何种情况下,他们都不要试图对怀疑的漏洞进行论证。这对他们自身有益处,因为他们进行论证的行为有可能被误认为是潜在地错误使用系统。
6.3.3软件功能障碍回报
要求建立并遵守软件功能障碍回报流程。可以考虑采取如下行动:
-问题的征兆和任何在显示屏上出现的信息都要加以记录
-如有可能,对电脑进行隔离,并停止继续使用。并马上通知有关当局。如需要对设备进行检查,在重新启动之前应将其从单位网络上撤下。使用的软盘不得再在其它电脑上使用。
-有关事故应马上回报给信息安全经理。
6.3.4从事故中学习
要求建立相应机制,对事故或功能障碍的类型、级别和损失程度进行量化、监督。这类信息可用作以后辨别重发事故或危害重大的功能障碍。这也表示有必要提高或增加额外的管制措施来限制未来事故的发生频率、降低其危害和成本,并审订安全审核流程。
6.3.5违规处置流程
雇员如违反单位安全政策和流程,应通过正式的违规处置流程加以处理(参见 6.1.4和 12.1.7)。此类流程可用作警示,防止员工忽视单位的安全流程。此外,要确保能合理、公正地处理那些被怀疑是违反安全操作的员工。
七、设备及使用环境的信息安全管理
7.1信息安全区
7.1.1信息安全区的实体区隔
单位应通过安全实体区隔来保护信息储存处理设施的区域。每个区隔都可以提供更高的安全系数,从而增强总体的安全水平。单位应使用安全防御带来保护放置信息处理设备的区域(参见7.1.3)。安全防御带即指构成区隔的东西,例如是一面墙,一道凭卡片进入的门,或值班的接待台等。每个区隔的位置和力度取决于风险评估的结果。
在适当的情况下可以考虑下列的指导原则和管制手段:
-安全防御带应当清楚定义
-放置信息处理设备的楼房或场所的防御带从物理角度应当非常可靠。场所的外墙应当是坚固的建筑物,所有的外门都应能防止非法的进入,比如通过安装管制机制、铁条、警报、安全锁等。
-在通往场所或楼房的通道上还应当配备值班接待台或其它类似机构,确保只有经过授权的人员才能得以靠近通往上述场所的通道。
-如有必要,物理区隔还应扩展到从地板到天花板的区间以防止非法进入或水、火灾等造成的环境污染。
-安全防御带内所有的防火门都应安装报警器,并随时处于紧闭状态。
7.1.2信息安全区进出管制
在信息安全区采取适当出入管制,确保只有经授权的人员得以进入。可考虑如下的管制措施:
-监视或禁止来安全区域的访问者。访问者的进入和离开数据及其时间要有记录。来访者只有在有明确经过授权的任务时才允许访问安全区,并要被告知安全区内的安全要求及紧急流程。
-对敏感信息和信息处理设备的通路进行管制,只有经过授权的人员才得以进入。同时使用身份识别管制手段,如刷卡或个人身份号码等对所有准入进行授权或认证。
所有进入都要求有记录,并加以妥当保存。
-所有人员都要求佩戴清晰可见的身份辨认标志,并鼓励对未经陪伴陌生人或任何未佩戴标志的人员进行盘问。
-对进入安全区域的权限要定期进行审核和更新。
7.1.3信息安全办公室、处所、设备
安全区域可为上锁的办公室或物理意义的安全防御带内的几间房间,其本身可以上锁,也可以内置上锁的保险柜或保险箱。选择和设计安全区时,应考虑火灾、水灾、爆炸、暴乱或其它形式的自然或人为灾害所造成的损坏的可能性。还要考虑险关的健康和安全条例及标准。同时,也要考虑来自邻近场所的安全威胁,例如来自其它楼宇的漏水等等。
可考虑如下的管制手段:
-关键设备的放置要能够放置公众的接触
-楼房要防止太过显眼,尽量避免显示其用途,楼内外禁止设置暗指此处有信息处理活动的标牌或标记。
-辅助功能设备,如复印机、传真机等,要放置在安全区内合适的位置,避免因外人接触而导致的信息泄漏。
-房间无人时,门窗都要上锁关闭;窗户,特别是一楼的窗户,要安装必要的外部保护设施。
-所有的外门的外窗都要安装合乎职业标准的入侵检测系统,并对其进行定期检测。
无人区特别要保持随时警戒。其它区域也要提供安全保护,如电脑房和通讯房等。
-从物理上把本单位管理的信息处理设备和第三方管理的信息处理设备进行区隔。
-显示本单位敏感信息处理设备的电话本或通讯录要避免被公众获得。
-把危险或易燃品保存到一个离安全区适当安全距离的地方。除非另加要求,诸如文具等的大宗物品不得储存在安全区。
-备用设备或媒体工具应放置在离设备稍远的地方,以防主场地毁坏时同时被毁。
7.1.4信息安全区内工作守则
为进一步加强已采取物理保护措施的安全区的安全,应制定附加的信息安全区内工作守则。这些包括针对在安全区工作的人员或第三方的管制,也包括对其活动的管制。可考虑如下原则:
-各人员对安全区的存在及其内活动当知之则知之,不当知之则不许知之。
-为安全和防止坏人破坏起见,对安全区内所有工作实施监视。
-无人安全区应采取物理手段加以封闭,并定期查看。
-应限制第三方辅助服务人员进入安全区或敏感信息处理设备,只在必要时才许其进入。同时,进入要进行授权和监视。安全防御带内部具有不同安全要求的区域之间的通道要采取格外的隔离和防护措施。
-除非经过授权,否则在安全区内禁止使用摄影、录象、录音或其它记录仪器设备。
7.1.5交接区的隔离
信息安全管理规定
信息安全管理规定 1目的 在遵循集团《计算机信息安全管理制度》原则基础上,为确保公司网络平台、信息系统的正常运行及信息系统中的信息数据安全,防止泄密,针对公司实际情况,制定本管理规定。 2范围 本办法适用于公司全体员工。 3术语定义 3.1 计算机信息:是指存储在计算机相关设备上的应用系统(软件)、数据、文档、图纸等含有一定意义的计算机信息资料。 3.2 内部网络:是指园区网络及通过专线与园区互联的其他园区、驻外机构网络(以下简称内网)。 3.3 外部网络:是指互联网或除互联网和公司内网之外的第三方专网(以下简称外网)。 3.4 VPN:虚拟专用网络(Virtual Private Network,简称VPN),是指在公共网络上建立专用网络的技术,属于远程访问技术,就是利用公网链路架设的虚拟私有网络。 4职责 4.1信息化管理部门:公司信息化管理部门,负责计算机信息安全日常工作,事业部接入级网络交换设备的管理工作,及时向总部信息化管理部门、督察部门报告重大计算机信息安全隐患和计算机信息安全事件。 4.2 计算机用户:负责本人领用的办公计算机的日常保养、正常操作及安全管理,负责所接触计算机信息的保密性、可用性和完整性;及时向信息化管理部门报告计算机信息安全隐患和计算机信息安全事件。涉密信息的起草人必须按公司《保密制度》相关规定提出信息密级的定级申请。 5内容与要求 5.1 账号和密码安全管理 5.1.1 信息系统用户账号须严格按照业务信息系统要求进行设置,原则上不得设置成共用账号,以确保使用人与账号的唯一性。 5.1.2 员工申请信息系统账号权限时,所在部门的负责人应严格审核,控制授予满足其工作需要的最小权限;员工岗位或工作内容发生变化后应及时提出申请权限变更,应用系统管理员应及时变更异动员工的权限,冻结离职员工的账号。 5.1.3计算机用户应妥善保管好自己的系统账号密码或身份认证设备,如发现遗失或被盗,应立即向信息化管理部门报告,信息化管理部门应及时处理,确保账号使用的合法性。
XX公司信息安全管理制度
信息安全管理制度 信息安全是指通过各种策略保证公司计算机设备、信息网络平台(内部网络系统及ERP、CRM、WMS、网站、企业邮箱等)、电子数据等的安全、稳定、正常,旨在规范与保护信息在传输、交换和 存储、备份过程中的机密性、完整性和真实性。为加强公司信息安全的管理,预防信息安全事故的发生,特制定本管理制度。本制度适用于使用新合程计算机设备、信息系统、网络系统的所有人员。 1.计算机设备安全管理 1.1员工须使用公司提供的计算机设备(特殊情况的,经批准许可的方能使用自已的计算机),不 得私自调换或拆卸并保持清洁、安全、良好的计算机设备工作环境,禁止在计算机使用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 1.2严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件,当计算机出现硬件故障时应及时向信息技术部报告,不允许私自处理和维修。 1.3员工对所使用的计算机及相关设备的安全负责,如暂时离开座位时须锁定系统,移动介质自行安全保管。未经许可,不得私自使用他人计算机或相关设备,不得私自将计算机等设备带离公司。 1.4因工作需要借用公司公共笔记本的,实行“谁借用、谁管理”的原则,切实做到为工作所用,使用结束后应及时还回公司。 2.电子资料文件安全管理。 2.1文件存储 重要的文件和工作资料不允许保存在C盘(含桌面),同时定期做好相应备份,以防丢失;不进行与工作无关的下载、游戏等行为,定期查杀病毒与清理垃圾文件;拷贝至公共计算机上使用的相关资料,使用完毕须注意删除;各部门自行负责对存放在公司文件服务器P盘的资料进行审核与安全管理;若因个人原因造成数据资料泄密、丢失的,将由其本人承担相关后果。 2.2文件加密
信息安全事故管理办法
信息安全事故管理办法 第一章总则 第一条目的:为加强公司信息系统安全事故的管理,提高信息系统安全事故管理的制度化、规范化水平,及时掌握全行网络和信息系统安全状况,为协调组织相关力量进行信息系统安全事故的应急响应处理奠定基础,降低信息安全事故带来的损失和影响,保障全行网络和信息系统安全稳定运行,特订定本管理办法。 第二条依据:本管理办法根据《公司信息安全管理策略》制订。 第三条范围:本办法适用于全公司信息系统。 第四条定义:信息安全事故是指对任何信息技术资源合法使用、操作造成威胁的事件,或对信息技术资源具有潜在危险的任何一种情况。 第五条总部DXC负责信息安全事故的接报、汇总、通报和处置工作。DXC 安全科负责人为信息安全事故协调员,并指定代理信息安全事故协调员。 第二章信息安全事故的范围 第六条公司信息安全事故包括,但不限于: (一)系统感染计算机病毒。 (二)公司网络遭遇外部入侵或攻击。 (三)内部人员利用公司网络进行破坏。 (四)信息系统敏感数据泄露或失窃。 (五)公司数据处理设备失窃。
第七条符合以下条件之一的信息安全事故必须报告: (一)导致计算机信息系统中断或运行不正常超过4小时。 (二)造成直接经济损失超过100万元。 (三)严重威胁公司资金、信誉安全。 (四)因计算机安全事故造成公司不能正常运营,且影响范围超过一个县级行政区域。 第三章信息安全事故的监控和处理 第八条安全事故管理分为安全事故监控和安全事故处理。安全事故监控完成对安全事故迹象的检测和分析,发现和报告安全事故的存在。安全事故处理是对被发现的安全事故的响应处理过程,包括四个主要阶段:控制、证据收集、根除与恢复以及事后分析。 第九条安全事故监控包括信息安全事故监测、预测和预警,应按照“早发现、早报告、早处置”的原则,加强对各类信息安全事故和可能引发信息安全事故的有关信息的收集、分析判断和持续监测。 第十条员工发现公司发生信息安全事故后,需向信息安全事故协调员报告,确认故障情况,确认故障处理时间,准确定性故障级别,如果不能联系上信息安全事故协调员,则向代理信息安全事故协调员报告。 第十一条生产运行环境出现的安全事故按照《信息系统应急预案》执行。 第十二条信息安全事故协调员接到报告后,需立即采取措施控制事态,如断开受病毒感染的系统的网络连接,及时通知DXC安全科和用户部门负责人,协调控制事件的影响。保留相关的防火墙、路由器、入侵检测系统、操作和应
企业信息安全规范
信息安全管理规范 第一章总则 第一条为规范企业信息系统及所承担维护服务的用户信息系统的信息安全管理,促进信息安全管理工作体系化、规范化,提高信息系统和网络服务质量,提高信息系统管理人员、维护人员以及使用人员的整体安全素质和水平,特制定本管理规范。本管理规范目标是为公司信息安全管理提供清晰的策略方向,阐明信息安全建设和管理的重要原则,阐明信息安全的所需支持和承诺。 第二条本规范是指导公司信息安全工作的基本依据,信息安全相关人员必须认真执行本规程,并根据工作实际情况,制定并遵守相应的安全标准、流程和安全制度实施细则,做好安全维护管理工作。 第三条信息安全是公司及所承担的用户信息系统系统运维服务工作的重要内容。公司管理层非常重视,大力支持信息安全工作,并给予所需的人力物力资源。 第四条本规范的适用范围包括所有与公司信息系统及本公司所承担维护服务的各方面相关联的人员,它适用于本公司全部员工,集成商,软件开发商,产品提供商,商务伙伴和使用公司信息系统的其他第三方。 第五条本规范适用于公司所承担服务支撑的外部各单位的信息系统的安全工作范围。 第六条本规范主要依据国际标准ISO17799,并遵照我国信息安全有关法律法规、电信行业规范和相关标准。 第二章安全管理的主要原则 第七条管理与技术并重的原则:信息安全不是单纯的技术问题,在采用安全技术和产品的同时,应重视管理,不断积累完善各个信息安全管理章程与规定,全面提高信息安全管理水平。
第八条全过程原则:信息安全是一个系统工程,应将它落实在系统建设、运行、维护、管理的全过程中,安全系统应遵循与信息系统同步规划、同步建设、同步运行的原则,在任何一个环节的疏忽都可能给信息系统带来危害。 第九条风险管理和风险控制原则:应进行安全风险管理和风险控制,以可以接受的成本或最小成本,确认、控制、排除可能影响公司信息系统的安全风险,并将其带来的危害最小化。 第十条分级保护原则:应根据信息资产的重要程度以及面临的风险大小等因素决定各类信息资产的安全保护级别。制订各类网络系统和信息资产的安全保护等级表,在表中明确资产类别,同时确定对何种资产应达到何种级别的安全。 第十一条统一规划、分级管理实施原则:信息安全管理遵循统一规划、分级管理的原则。信息安全领导小组负责对公司各项信息安全管理工作进行统一规划,负责信息安全管理办法的制定和监督实施。各级部门在信息安全领导小组指导与监督下,负责具体实施。 第十二条平衡原则:在公司信息安全管理过程中,应在安全性与投入成本、安全性和操作便利性之间找到最佳的平衡点。 第十三条动态管理原则:在公司信息安全管理过程中,应遵循动态管理原则,要针对信息系统环境的变动情况及时调整管理办法。 第三章安全组织和职责 第十四条建立和健全信息安全组织,设立由高层领导组成的信息安全领导小组,对于信息安全方面的重大问题做出决策,协调信息安全相关各部门之间的关系,并支持和推动信息安全工作在整个信息系统范围内的实施。 第十五条公司应设置相应的信息安全管理机构,负责信息系统的信息安全管理工作,配备专职安全管理员,由安全管理员具体执行本公司信息安全方面的相关工作。 第十六条公司信息系统的安全管理机构职责如下: 根据本规范制定信息系统的信息安全管理制度、标准规范和执行程序;
公司信息安全管理制度(修订版)
信息安全管理制度 一、总则 为了加强公司内所有信息安全的管理,让大家充分运用计算机来提高工作效率, 特制定本制度。 二、计算机管理要求 1.IT管理员负责公司内所有计算机的管理,各部门应将计算机负责人名单报给 IT管理员,IT管理员(填写《计算机IP地址分配表》)进行备案管理。如有变更,应在变更计算机负责人一周内向IT管理员申请备案。 2.公司内所有的计算机应由各部门指定专人使用,每台计算机的使用人员均定为计算机的负责人,如果其他人要求上机(不包括IT管理员),应取得计算机负责人的同意,严禁让外来人员使用工作计算机,出现问题所带来的一切责任应由 计算机负责人承担。 3.计算机设备未经IT管理员批准同意,任何人不得随意拆卸更换;如果计算机出现故障,计算机负责人应及时向IT管理员报告,IT管理员查明故障原因,提出整改措施,如属个人原因,对计算机负责人做出处罚。 4.日常保养内容: A.计算机表面保持清洁 B.应经常对计算机硬盘进行整理,保持硬盘整洁性、完整性; C.下班不用时,应关闭主机电源。 5.计算机IP地址和密码由IT管理员指定发给各部门,不能擅自更换。计算机系统专用资料(软件盘、系统盘、驱动盘)应由专人进行保管,不得随意带出公司 或个人存放。 6.禁止将公司配发的计算机非工作原因私自带走或转借给他人,造成丢失或损坏的 要做相应赔偿,禁止计算机使用人员对硬盘格式化操作。
7.计算机的内部调用: A. IT管理员根据需要负责计算机在公司内的调用,并按要求组织计算机的迁移 或调换。 B. 计算机在公司内调用,IT管理员应做好调用记录,《调用记录单》经副总经理 签字认可后交IT管理员存档。 8.计算机报废: A. 计算机报废,由使用部门提出,IT管理员根据计算机的使用、升级情况,组 织鉴定,同意报废处理的,报部门经理批准后按《固定资产管理规定》到财 务部办理报废手续。 B. 报废的计算机残件由IT管理员回收,组织人员一次性处理。 C. 计算机报废的条件:1)主要部件严重损坏,无升级和维修价值;2)修理或 改装费用超过或接近同等效能价值的设备。 三、环境管理 1.计算机的使用环境应做到防尘、防潮、防干扰及安全接地。 2.应尽量保持计算机周围环境的整洁,不要将影响使用或清洁的用品放在计算机 周围。 3.服务器机房内应做到干净、整洁、物品摆放整齐;非主管维护人员不得擅自进 入。 四、软件管理和防护 1.职责: A. IT管理员负责软件的开发购买保管、安装、维护、删除及管理。 B. 计算机负责人负责软件的使用及日常维护。 2.使用管理: A. 计算机系统软件:要求IT管理员统一配装正版Windows专业版,办公常用办
信息安全事件处理流程
信息安全事件处理流程 LG GROUP system office room 【LGA16H-LGYY-LGUA8Q8-LGA162】
信息安全事件处理流程 一、信息安全事件分类 根据公司实际生产运行情况,将信息安全事件分为两大类:重大信息安全事件和一般信息安全事件。 1、重大信息安全事件 1) 重要信息系统遭受严重的系统损失; 通信线路和设备故障、主机(服务器)、存储系统、网络设备(各类网络交换机、路由器、防火墙等)、电源故障运行中断不能为超过80%(包括80%)的网络注册用户提供服务,时间达4小时;不能为80%以下网络注册用户提供服务,持续等效服务中断时间达8小时。 系统(硬、软件)损坏或失窃,直接经济损失达1万元以上者。 重要技术开发、研究数据损坏或丢失,或重要信息系统数据损坏或丢失,数据量在时间上连续超过48小时。 发生计算机程序、系统参数和数据被删改等信息攻击和破坏或计算机病毒疫情导致信息系统不能提供正常服务达到上述的规定。 发生传播有害数据、发布虚假信息、滥发商业广告、随意侮辱诽谤他人、滥用信息技术等信息污染和滥用,网络地址和用户身份信息的窃取、盗用。 发生自然灾害性事件导致的信息安全事故。 2)产生的社会影响波及到一个或多个地市的大部分地区,引起社会恐慌,对经济的建设和发展有较大负面影响,或损害到公众利益。 2、一般信息安全事件 1)重要信息系统遭受较小的系统损失; 通信线路和设备故障、主机(服务器)、存储系统、网络设备(各类网络交换机、路由器、防火墙等)、电源故障运行中断导致不能为超过80%(包括80%)的网络注册用户提供服务,时间达2小时;不能为80%以下网络注册用户提供服务,持续等效服务中断时间达4小时。 系统(硬、软件)损坏或失窃,造成直接经济损失达1万元以下者。
ISMS手册信息安全管理体系手册
ISMS 手册-信息安全管理体系手册7 信息安全管理IT 服务管理体系手册 发布令 本公司按照ISO20000:2005 《信息技术服务管理—规范》和ISO27001 :2005 《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT 服务管理体系手册》,建立与本公司业务相一致的信息安全与IT 服务管理体系, 现予以颁布实施。 本手册是公司法规性文件,用于贯彻公司信息安全管理方针和目标,贯彻IT 服务管理理念方针和服务目标。为实现信息安全管理与IT 服务管理,开展持续改进 服务质量,不断提高客户满意度活动,加强信息安全建设的纲领性文件和行动准 则。是全体员工必须遵守的原则性规范。体现公司对社会的承诺,通过有效的PDCA 活动向顾客提供满足要求的信息安全管理和IT 服务。 本手册符合有关信息安全法律法规要求以及ISO20000:2005 《信息技术服务 管理—规范》、ISO27001 :2005 《信息安全管理体系要求》和公司实际情况。为能更好的贯彻公司管理层在信息安全与IT 服务管理方面的策略和方针,根据 ISO20000:2005 《信息技术服务管理—规范》和ISO27001 :2005 《信息安全管理体系要求》的要求任命XXXXX 为管理者代表,作为本公司组织和实施“信息安全管理与IT 服务管理体系”的负责人。直接向公司管理层报告。 全体员工必须严格按照《信息安全管理&IT 服务管理体系手册》要求,自觉遵守本手册各项要求,努力实现公司的信息安全与IT 服务的方针和目标。 管理者代表职责:
a)建立服务管理计划; b)向组织传达满足服务管理目标和持续改进的重要性; e)确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源,如招聘合适的人员,管理人员的更新; 1.确保按照ISO207001:2005 标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;按照ISO/IEC20000 《信息技术服务管理-规范》的要求,组织相关资源,建立、实施和保持IT 服务管理体系,不断改进IT 服务管理体系,确保其有效性、适宜性和符合性。 2.负责与信息安全管理体系有关的协调和联络工作;向公司管理层报告 IT 服务管理体系的业绩,如:服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。 3.确保在整个组织内提高信息安全风险的意识; 4.审核风险评估报告、风险处理计划; 5.批准发布程序文件; 6.主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告; 向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情况、内外部审核情况。 7.推动公司各部门领导,积极组织全体员工,通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度,以及为达到公司服 务管理目标所应做出的贡献。 总经理:
信息安全事件管理规范
信息安全管理部 信息安全事件管理规范 V1.0
文档信息: 文档修改历史: 评审人员:
信息安全事件管理规范 年07月 1.0 目的 明确规定“信息安全事件”的范围和处理流程,以便及时地对信息安全事件做出响应,启动适当的事件防护措施来预防和降低事件影响,并能从事件影响中快速恢复; 2.0 适用范围 本制度适用于在信息安全部负责管理的所有信息资产上发生的对业务产生影响的异常事件的处理及后续响应流程。 3.0 相关角色和职责 ●信息安全总监:负责制定《信息安全事件管理规范》,并督促制度的落实和执行; ●信息安全部经理: ?负责《信息安全事件管理规范》中各项流程制度的日常督促执行; ?负责对各类信息安全事件进行第一时间响应,区分信息安全事件的类别及后续 处理流程; ?负责跟踪各类信息安全事件的后续处理,确保公司能从中汲取教训,不再发生 类似问题; ●信息安全事件发起人:在具体工作中发现异常后应及时上报,并协助完成后续处理 工作。 4.0 信息资产 信息安全管理部负责以下信息资产的安全运行: ●机房环境、硬件设备正常运行: ?互联机房; ?北京办公室机房; ?上海办公室机房; ?机房内的所有硬件设备,包括网络设备、服务器和其它设备; ●办公室网络环境正常运行 ?互联机房内网/外网环境; ?北京办公室内网/外网环境; ?上海办公室内网/外网环境; ●机房内系统工作正常; ?服务器操作系统工作正常 ?应用系统工作正常 ●机房内设备中存放的各类业务信息安全 以上信息资产出现异常情况时,均属于信息安全事件处理的范畴。 5.0 信息安全事件分级、分类
对信息安全事件分级、分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等信息安全应急响应工作的必要条件。 5.1 信息安全事件分级 根据信息安全事件所涉及的信息密级、对业务所造成的影响和相关的资产损失等要素,对信息安全事件分为以下几个级别: 1级:本级信息安全事件对公司业务造成了重大影响,例如机密数据丢失,重大考试项目考中异常等; 2级:本级信息安全事件对公司业务造成了一定影响,例如短时间的设备宕机、大规模的网站异常造成客户投拆等; 3级:本级及息安全事件指己发现的可能对公司业务造成重要影响的潜在风险事件,例如在日常维护工作中发现的各类异常事件等; 1级的信息安全事件又称为重大安全事件。 与“信息安全事件”分级相关联的名词解释: ●常规工作:指影响超出单点范围,可能/己经造成了部门/小组级的工作异常,但未造成 实质性损害的信息事件; 5.2 信息安全事件分类 对信息安全事件分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等响应工作的重要依据。信息安全事件可分为: ●环境灾害: ?自然/人为灾害:水灾、火灾、地震、恐怖袭击、战争等; ?外围保障设施故障: ◆机房电力故障: 由于供电线路、供电设备出现故障或供电调配的原因而导 致的信息安全事件 ◆外围网络故障:由于外围网络传输信道出现故障而导致业务系统无法对外 正常服务 ◆其它外围保障设施故障:例如拖管机房的服务器、服务器故障等; ●常规事故: ?软硬件自身故障: ◆软件自身故障:由于软件设计存在漏洞或软件系统运行环境发生变化等原 因而导致软件运行不正常的信息安全事件 ◆硬件自身故障:由于硬件设计不合理、硬件自然老化失效等原因引起硬件 设备故障而导致信息系统不能正常运行的信息安全事件 ?无意事故: ◆硬件设备、软件遗失;与业务系统正常运行和使用相关的硬件设备和软件 遗失而导致的信息安全事件 ◆数据遗失:系统中的重要数据遗失 ◆误操作破坏硬件;
信息安全管理系统的规范
信息安全管理系统的规范 第二部分:信息安全管理系统的规范 1 1. 范围 BS 7799的这个部分指明了对建立、实现和文档化信息安全管理系统(ISMSs)的需求。它指明了将要按照个别机构的需要而实现的安全控制的需求。 注:第一部分给出了对最佳惯例的推荐建议,这些惯例支持该规范中的需求。BS 7799的这个部分的条款4给出的那些控制目标和控制来自于BS 7799-1:1999并与改部分的内容保持一致。 2. 术语与定义 为了BS 7799的这个部分,BS 7799-1给出的定义适用于该部分,并有以下专用术语: 2.1 适用性说明 适用于机构的安全要求的目标和控制的批评。 3.信息安全管理系统的要求 3.1概要 机构应建立及维护一个信息安全管理系统,目的是保护信息资产,订立机构的风险管理办法、安全控制目标及安全控制,以及达到什么程度的保障。 3.2建立一个管理框架 以下的步骤是用来找出及记录安全控制目标及安全控制的(参看图一): a) 应定义信息安全策略; b) 应定义信息安全管理系统的范围,定义范围可以是机构的特征、位置、资产及 技术;
c) 应进行合适的风险评估。风险评估应确认对资产的安全威胁、漏洞及对机构的 冲击,从而定出风险的严重程度; d) 根据机构的信息安全策略及所要求达到的保障程度定出要管理的风险; e) 从以下第四条款选出机构要实现的安全控制目标及要实施的安全控制; f) 应准备一份适用性声明书,说明选出哪些安全控制目标及安全控制以及选择的 原因。 以上步骤应定期重复,确定系统的适用性。 2 3.3实施 选出的安全控制目标及安全控制应由机构有效地执行,实施控制的执行程序是否有效应根据4.10.2的规定进行检查。 3.4文档 信息安全管理系统的说明文档应包括以下信息: a) 按照3.2所定的步骤实现的证据; b) 管理架构的总结,其中包括信息安全策略、在适用性声明书所提及的安全控制 目标和已经实现的安全控制; c) 为了实现3.3所指定的控制而采用的程序;这些程序应该刻画责任以及相关行 动; d) 覆盖该ISMS中的管理和操作的程序,这些程序应该指出有哪些责任及其有关
ISO27001信息安全管理体系标准中文版
ISO标准——IEC 27001:2005 信息安全管理体系—— 规范与使用指南 Reference number ISO/IEC 27001:2005(E)
0简介 0.1总则 本国际标准的目的是提供建立、实施、运作、监控、评审、维护和改进信息安全管理体系(ISMS)的模型。采用ISMS应是一个组织的战略决定。组织ISMS的设计和实施受业务需求和目标、安全需求、应用的过程及组织的规模、结构的影响。上述因素和他们的支持系统预计会随事件而变化。希望根据组织的需要去扩充ISMS的实施,如,简单的环境是用简单的ISMS解决方案。 本国际标准可以用于内部、外部评估其符合性。 0.2过程方法 本国际标准鼓励采用过程的方法建立、实施、运作、监控、评审、维护和改进一个组织的ISMS的有效性。 一个组织必须识别和管理许多活动使其有效地运行。通过利用资源和管理,将输入转换为输出的活动,可以被认为是一个过程。通常,一个过程的输出直接形成了下一个过程的输入。 组织内过程体系的应用,连同这些过程的识别和相互作用及管理,可以称之这“过程的方法”。 在本国际标准中,信息安全管理的过程方法鼓励用户强调以下方面的重要性: a)了解组织信息安全需求和建立信息安 全策略和目标的需求; b)在组织的整体业务风险框架下,通过 实施及运作控制措施管理组织的信息 安全风险; c)监控和评审ISMS的执行和有效性; d)基于客观测量的持续改进。 本国际标准采用了“计划-实施-检查-改进”(PDCA)模型去构架全部ISMS流程。图1显示ISMS如何输入相关方的信息安全需求和期望,经过必要的处理,产生满足需求和期望的产品信息安全输出,图1阐明与条款4、5、6、7、8相关。 采用PDCA模型将影响OECD《信息系统和网络的安全治理》(2002)中陈述的原则,0 Introduction 0.1 General This International Standard has been prepared to provide a model for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an Information Security Management System (ISMS). The adoption of an ISMS should be a strategic decision for an organization. The design and implementation of an organization’s ISMS is influenced by their needs and objectives, security requirements, the processes employed and the size and structure of the organization. These and their supporting systems are expected to change over time. It is expected that an ISMS implementation will be scaled in accordance with the needs of the organization, e.g. a simple situation requires a simple ISMS solution. This International Standard can be used in order to assess conformance by interested internal and external parties. 0.2 Process approach This International Standard adopts a process approach for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an organization's ISMS. An organization needs to identify and manage many activities in order to function effectively. Any activity using resources and managed in order to enable the transformation of inputs into outputs can be considered to be a process. Often the output from one process directly forms the input to the next process. The application of a system of processes within an organization, together with the identification and interactions of these processes, and their management, can be referred to as a “process approach”. The process approach for information security management presented in this International Standard encourages its users to emphasize the importance of: a) understanding an organization’s information security requirements and the need to establish policy and objectives for information security; b) implementing and operating controls to manage an organization's information security risks in the context of the organization’s overall business risks; c) monitoring and reviewing the performance and effectiveness of the ISMS; and d) continual improvement based on objective measurement. This International Standard adopts the "Plan-Do-Check-Act" (PDCA) model, which is applied to structure all ISMS processes. Figure 1 illustrates how an ISMS takes as input the information security requirements and expectations of the interested parties and through the necessary actions and processes produces information security outcomes that meets those requirements and expectations. Figure 1 also illustrates the links in the processes presented in Clauses 4, 5, 6, 7 and 8. The adoption of the PDCA model will also reflect the principles as set out in the
信息安全事件报告和处置管理制度
安全事件报告和处置管理制度 文号:版本号: 编制:审核:批准: 一、目的 提高处置网络与信息安全突发公共事件的能力,形成科学、有效、反应迅速的应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,最大限度地减轻网络与信息安全突发公共事件的危害,保障国家和人民生命财产的安全,保护公众利益,维护正常的政治、经济和社会秩序。 二、适用范围 本预案适用于本局发生的网络与信息安全突发公共事件和可能导致网络与信息安全突发公共事件的应对工作。 本预案启动后,本局其它网络与信息安全应急预案与本预案相冲突的,按照本预案执行;法律、法规和规章另有规定的从其规定。 三、职责 本预案由局信中心制订,报局领导批准后实施。局有关部门应根据本预案,制定部门网络与信息安全应急预案,并报局信息中心备案。 结合信息网络快速发展和我局经济社会发展状况,配合相关法律法规的制定、修改和完善,适时修订本预案。 本预案自印发之日起实施。 四、要求 1. 工作原则 预防为主:立足安全防护,加强预警,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统,从预防、监控、应急处理、应急保障和打击犯罪等环节,在法律、管理、技术、人才等方面,采取多种措施,充分发挥各方面的作用,共同构筑网络与信息安全保障体系。 快速反应:在网络与信息安全突发公共事件发生时,按照快速反应机制,及时获取充分而准确的信息,跟踪研判,果断决策,迅速处置,最大程度地减少危害和影响。 以人为本:把保障公共利益以及公民、法人和其他组织的合法权益的安全作为首要任务,及时采取措施,最大限度地避免公民财产遭受损失。
分级负责:按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”以及“条块结合,以条为主”的原则,建立和完善安全责任制及联动工作机制。根据部门职能,各司其职,加强部门间、地局间的协调与配合,形成合力,共同履行应急处置工作的管理职责。 常备不懈:加强技术储备,规范应急处置措施与操作流程,定期进行预案演练,确保应急预案切实有效,实现网络与信息安全突发公共事件应急处置的科学化、程序化与规范化。 2 组织指挥机构与职责 发生网络与信息安全突发公共事件后,应成立局网络与信息安全应急协调小组(以下简称局协调小组),为本局网络与信息安全应急处置的组织协调机构,负责领导、协调全局网络与信息安全突发公共事件的应急处置工作。局网络与信息安全协调小组下设办公室(以下简称局协调小组办公室),负责日常工作和综合协调,并与公安网监部门进行联系。 3 先期处置 (1)当发生网络与信息安全突发公共事件时,事发部门应做好先期应急处置工作,立即采取措施控制事态,同时向相关局级主管部门通报。 (2)网络与信息安全事件分为四级:特别重大(Ⅰ级)、重大(Ⅱ级)、较大(Ⅲ级)、一般(Ⅳ级)。 (3)局级主管部门在接到本系统网络与信息安全突发公共事件发生或可能发生的信息后,应加强与有关方面的联系,掌握最新发展态势。对Ⅲ级或Ⅳ级的网络与信息安全突发公共事件,由该局级主管部门自行负责应急处置工作。对有可能演变为Ⅱ级或Ⅰ级的网络与信息安全突发公共事件,要为局协调小组处置工作提出建议方案,并作好启动本预案的各项准备工作。局级主管部门要根据网络与信息安全突发公共事件发展态势,视情况决定赶赴现场指导、组织派遣应急支援力量,支持事发部门做好应急处置工作。 4 应急处置 4.1 应急指挥 本预案启动后,根据局协调小组会议的部署,担任总指挥的领导和参与指挥的领导迅速赶赴相应的指挥平台,进入指挥岗位,启动指挥系统。相关联动部门按照本预案确定的有关职责立即开展工作。
信息安全系统管理系统要求规范
信息安全管理规范公司
版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要
Table of Contents(目录) 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级(保密级别)规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息? (21) 2.2什么是信息安全? (21)
信息安全事件处置预案
信息安全事件处置预案 为保证我院信息系统安全,加强和完善网络与信息安全应急管理措施,层层落实责任,有效预防、及时控制和最大限度地消除信息安全突发事件的危害和影响,确保信息系统和网络的通畅运行,结合我院实际,特制定本应急预案。 一、总则 (一)工作目标 保障信息的合法性、完整性、准确性,保障网络、计算机、相关配套设备设施及系统运行环境的安全。 (二)编制依据 根据《中华人民共和国计算机信息系统安全保护条例》、《互联网信息服务管理办法》、《计算机病毒防治管理办法》等相关法规、规定、文件精神,制定本预案。 (三)基本原则 1、预防为主。建立、健全计算机信息安全管理制度,有效预防网络与信息安全事故的发生。 2、分级负责。按照“谁主管谁负责,谁运营谁负责”的原则,建立和完善安全责任制。各部门应积极支持和协助应急处置工作。 3、果断处置。一旦发生网络与信息安全事故,应迅速反应,及时启动应急处置预案,尽最大力量减少损失,尽快恢复网络与系统运行。 二、组织体系
成立网络与信息安全领导组,为我院网络与信息安全应急处置的组织协调机构。 三、预防预警 (一)信息监测与报告。 1、按照“早发现、早报告、早处置”的原则,加强对院属科室有关信息的收集、分析判断和持续监测。当发生网络与信息安全突发公共事件时,按规定及时向应急领导小组报告,初次报告最迟不得超过1小时,重大和特别重大的网络与信息安全突发公共事件实行态势进程报告和日报告制度。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。 2、建立网络与信息安全报告制度。 发现下列情况时应及时向应急领导小组报告: 利用网络从事违法犯罪活动的情况; 网络或信息系统通信和资源使用异常,网络和信息系统瘫痪,应用服务中断或数据篡改,丢失等情况; 网络恐怖活动的嫌疑情况和预警信息; 其他影响网络与信息安全的信息。 (二)预警处理与发布。 1、对于可能发生或已经发生的网络与信息安全突发公共事件,立即采取措施控制事态,并向应急领导小组汇报情况。
网络数据和信息安全管理规范
网络数据和信息安全管 理规范 IMB standardization office【IMB 5AB- IMBK 08- IMB 2C】
X X X X有限公司 WHB-08 网络数据和信息安全管理规范 版本号: A/0 编制人: XXX 审核人: XXX 批准人: XXX 20XX年X月X日发布 20XX年X月X日实施
目的 计算机网络为公司局域网提供网络基础平台服务和互联网接入服务。为保证公司计算机信息及网络能够安全可靠的运行,充分发挥信息服务方面的重要作用,更好的为公司运营提供服务,依据国家有关法律、法规的规定,结合公司实际情况制定本规定。 术语 本规范中的名词术语(比如“计算机信息安全”等)符合国家以及行业的相关规定。 计算机信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法系统辨识,控制。即确保信息的完整性、保密性、可用性和可控性。包括操作系统安全、数据库安全、病毒防护、访问权限控制、加密与鉴别等七个方面。 狭义上的计算机信息安全,是指防止有害信息在计算机网络上的传播和扩散,防止计算机网络上处理、传输、存储的数据资料的失窃和毁坏,防止内部人员利用计算机网络制作、传播有害信息和进行其他违法犯罪活动。 网络安全,是指保护计算机网络的正常运行,防止网络被入侵、攻击等,保证合法用户对网络资源的正常访问和对网络服务的正常使用。 计算机及网络安全员,是指从事的保障计算机信息及网络安全工作的人员。 普通用户,是指除了计算机及网络安全员之外的所有在物理或者逻辑上能够访问到互联网、企业计算机网及各应用系统的公司内部员工。 主机系统,指包含服务器、工作站、个人计算机在内的所有计算机系统。本规定所称的重要主机系统指生产、办公用的Web服务器、Email服务器、DNS服务器、OA服务器、企业运营管理支撑系统服务器、文件服务器、各主机系统等。 网络服务,包含通过开放端口提供的网络服务,如WWW、Email、FTP、Telnet、DNS等。有害信息,参见国家现在法律法规的定义。
企业信息安全保密管理办法
企业信息安全保密管理办法 1.目的作用 企业内部的“信息流”与企业的“人流”、“物流”、“资金流”,均为支持企业生存与发展的最基本条件。可见信息与人、财、物都是企业的财富,但信息又是一种无形的资产,客观上使人们利用过程中带来安全管理上的困难。为了保护公司的利益不受侵害,需要加强对信息的保密管理,使公司所拥有的信息在经营活动中充分利用,为公司带来最大的效益,特制定本制度。 2.管理职责 由于企业的信息贯穿在企业经营活动的全过程和各个环节,所以信息的保密管理,除了领导重视而且需全员参与,各个职能部门人员都要严格遵守公司信息保密制度,公司督察部具体负责对各部门执行情况的检查和考核。 3.公司文件资料的形成过程保密规定 拟稿过程 拟稿是文件、资料保密工作的开始,对有保密要求的文件、资料,在拟稿过程应按以下规定办理: 初稿形成后,要根据文稿内容确定密级和保密期限,在编文号时应具体标明。 草稿纸及废纸不得乱丢,如无保留价值应及时销毁。 文件、资料形成前的讨论稿、征求意见稿、审议稿等,必须同定稿一样对待,按保密原则和要求管理。 印制过程 秘密文件、资料,应由公司机要打字员打印,并应注意以下几点:要严格按照主管领导审定的份数印制,不得擅自多印多留。 要严格控制印制工程中的接触人员。 打印过程形成的底稿、清样、废页要妥善处理,即使监销。 复制过程 复制过程是按照规定的阅读范围扩大文件、资料发行数量,要求如下:复制秘密文件、资料要建立严格的审批、登记制度。 复制件与正本文件、资料同等密级对待和管理。 严禁复制国家各种秘密文稿和国家领导人的内部讲话。
绝密文件、资料、未经原发文机关批准不得自行复制。 4.公司文件资料传递、阅办过程保密规定 收发过程 收进文件时要核对收件单位或收件人,检查信件封口是否被开启。 收文启封后,要清点份数,按不同类别和密级,分别进行编号、登记、加盖收文章。 发文时要按照文件、资料的类别和文号及顺序号登记清楚去向,并填写好发文通知单,封面要编号并加盖密级章。 收发文件、资料都要建立登记制度和严格实行签收手续。 递送过程 企业内部建有文件、资料交换站的,可通过交换站进行,一律直送直取。 递送外地文件、资料,要通过机要交通或派专人递送。 凡携带秘密文件、资料外出,一般要有两人以上同行,必须装在可靠的文件包或箱内,做到文件不离人。 递送的秘密文件、资料,一律要包装密封,并标明密级。 阅办过程 呈送领导人批示的文件、资料、应进行登记。领导人批示后,要及时退还或由经管文件部门当日收回。 领导人之间不得横向传批文件、不得把文件直接交承办单位(人)。凡需有关部门(人)承办的文件、资料,一律由文件经管部门办理。 绝密文件、资料,一般不传阅,应在特别设立的阅文室内阅读。 秘密文件、资料,不得长时间在个人手中保留,更不能带回家或公共场所。 要控制文件、资料阅读范围,无关人员不能看文件、资料。 5.公司文件资料归档、保管过程中的保密规定 归档过程 秘密文件、资料在归档时,要在卷宗的扉页标明原定密级,并以文件资料中最高密级为准。 不宜于保留不属于企业留存的“三密”文件、资料,要及时清理上交或登记销毁,防止失散。 有密级的档案,要按保密文件、资料管理办法进行管理。 保密过程