信息安全策略模板
(安全生产)信息安全政策方针模板
广州xxx信息安全政策方针信息安全总体政策方针历史版本编写、批准、发布信息记录表文档修改记录信息安全总体政策方针信息安全总体政策方针目录第1章基本方针 (4)第2章对策方针 (7)第1节信息安全管理体制 (7)第2节信息资产的保护对策 (8)第3节信息的管理 (12)第4节信息设备、媒体的管理 (14)第5节个人信息的管理 (16)第6节信息系统的使用人员管理 (17)第7节访问控制 (19)第8节系统管理员特权 (20)第9节系统操作记录 (20)第10节可用性对策 (21)第11节网络安全 (22)第12节互联网和电子邮件的利用 (24)第13节计算机病毒对策 (25)第14节安全漏洞对策 (26)第15节软件的管理 (28)第16节本单位信息系统的构筑、运用 (28)第17节设备对策 (30)第18节发生侵害信息安全时的对应 (30)第19节外包管理 (32)第20节单位成员就职、辞职和人事变动时的措施 (32)第21节信息安全的维持活动 (34)各种细则 (35)第1章基本方针(目的)第1条本信息安全政策之“基本方针”以及“对策方针”(以下称“本政策”)阐明了广州x xx(以下称“本单位”)对信息资产管理和信息安全的观点,是针对信息安全对策的方针而制定的,以实现下述事项为目的。
•保护客户以及本单位的知识产权(包括机密信息和私人信息)•明确应该保护的信息资产以及对策•与信息安全相关的风险管理以及安全等级的维持、均一化•统一采取信息安全对策方面的判断标准•提高单位成员对信息安全的意识•有法必依,照章行事(构成)第2条本政策由规定本单位信息安全方面的基本且一般性方向的“基本方针”以及按各条款规定具体性事项以及指标的“对策方针”构成。
2.“对策方针”是本单位在信息安全方面必须施行对策的条款中,所应该施行事项或者应该达到最低水平的指标,是基于以下构想而制定的。
•从机密性、正确性、可用性的观点出发对信息资产的重要程度设立各个条款,将其分别设定为与上述重要程度相应的条款或指标。
信息安全管理规范和保密制度范例(6篇)
信息安全管理规范和保密制度范例信息安全保密管理制度第一条为处理网站信息资源发布过程中涉及的办公____信息和业务____信息,特制定本制度。
第二条网站应建立规范的信息采集、审核和发布机制,实行网站编辑制度。
第三条各部门要设立网站信息员负责向网站编辑报送本部门需要公开发布的信息。
第四条策划部网络信息组负责指导全公司各部门网站信息员的保密技术培训,落实技术防范措施。
第五条凡需要发布上网的信息资源必须遵循“谁发布,谁负责;谁主管,谁管理”的原则。
第六条各部门要有一名领导主管此项工作。
要指定专人负责上网信息的保密检查,落实好保密防范措施,定期对本部门网站信息员进行保密教育和管理。
第七条拟对外公开的信息,必须经本部门分管负责人____同意并对上传的内容进行登记建档后方可发布上网,重要信息还需经公司____管理小组审核确认。
第八条对互动性栏目要加强监管,确保信息的健康和安全。
以下有害信息不得在网上发布1、____宪法所确定的基本原则的;2、危害国家安全、泄露国家____、____、破坏国家统一的;3、损害国家荣誉和利益的;4、煽动民族仇恨、民族歧视、____的;5、破坏国家____政策,宣扬____和封建迷信的;6、散布谣言,扰乱社会秩序,破坏社会稳定的;7、散布____秽、____、____、____、凶杀、____或教唆犯罪的;8、侮辱或者诽谤他人,侵害他人的合法权益的;9、含有法律、行政法规禁止的其他内容的。
第九条网站必须设置不良信息过滤程序对信息进行甄别、筛选、把关,防止虚假、反动、____秽信息发布到网上。
第2页共2页第十条公司____信息一律不得在与国际网络连接的计算机系统中存储、处理和传输。
第十一条网站应当设置网站后台管理及上传的登录口令。
口令的位数不应少于____位,且不应与管理者个人信息、单位信息、设备(系统)信息等相关联。
严禁将各个人登录帐号和____泄露给他人使用。
第十二条网站应当设置合理的管理权限。
信息安全策略(模板27001)
信息安全策略*变化状态:C——创建,A——增加,M——修改,D——删除目录1.目的和范围 (4)2.术语和定义 (4)3.引用文件 (5)4.职责和权限 (6)5.信息安全策略 (6)5.1.信息系统安全组织 (6)5.2.资产管理 (8)5.3.人员信息安全管理 (9)5.4.物理和环境安全 (11)5.5.通信和操作管理 (13)5.6.信息系统访问控制 (17)5.7.信息系统的获取、开发和维护安全 (20)5.8.信息安全事故处理 (23)5.9.业务连续性管理 (24)5.10.符合性要求 (26)1附件 (27)1. 目的和范围1)本文档制定了的信息系统安全策略,作为信息安全的基本标准,是所有安全行为的指导方针,同时也是建立完整的安全管理体系最根本的基础。
2)信息安全策略是在信息安全现状调研的基础上,根据ISO27001的最佳实践,结合现有规章制度制定而成的信息安全方针和策略文档。
本文档遵守政府制定的相关法律、法规、政策和标准。
本安全策略得到领导的认可,并在公司内强制实施。
3)建立信息安全策略的目的概括如下:a)在内部建立一套通用的、行之有效的安全机制;b)在的员工中树立起安全责任感;c)在中增强信息资产可用性、完整性和保密性;d)在中提高全体员工的信息安全意识和信息安全知识水平。
本安全策略适用于公司全体员工,自发布之日起执行。
2. 术语和定义1)解释2)词语使用3. 引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
1)ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系要求2)ISO/IEC 17799:2005 信息技术-安全技术-信息安全管理实施细则4. 职责和权限信息安全管控委员会:负责对信息安全策略进行编写、评审,监督和检查公司全体员工执行情况。
信息系统安全规划方案专题(三篇)
信息系统安全规划方案专题一、引言1.1 背景介绍1.2 安全问题的重要性1.3 目标和目的二、现状分析2.1 信息系统安全现状2.2 存在的安全问题2.3 潜在的安全威胁三、目标设定3.1 长期目标3.2 中期目标3.3 短期目标四、策略和措施4.1 系统安全策略4.2 安全控制措施4.3 安全培训和意识教育4.4 安全与风险评估五、实施计划5.1 阶段一:规划制定5.2 阶段二:资源配置5.3 阶段三:实施和培训5.4 阶段四:监督和评估六、预算和资源规划6.1 预算分配6.2 人力资源6.3 技术资源七、风险管理7.1 风险评估7.2 风险侦测与监测7.3 风险响应和应对措施八、评估和反馈8.1 定期评估8.2 反馈机制8.3 持续改进九、结论十、参考文献以上是一个信息系统安全规划方案专题模板的大纲,根据实际情况和需要可以进行适当的修改和调整。
每个部分的具体内容可以根据实际情况进行填充和扩展,确保规划方案的完整性和实用性。
同时,在编写规划方案时,应充分考虑行业标准和最佳实践,保障信息系统安全的高效运作。
信息系统安全规划方案专题(二)____年信息系统安全规划方案一、引言近年来,信息技术的快速发展已经成为现代社会的重要基础。
然而,随着信息技术的广泛应用,信息系统安全问题也日益凸显。
为保障公司的信息系统安全,确保公司数据的完整性、保密性和可用性,制订一份全面且有效的信息系统安全规划方案是至关重要的。
本文将针对____年的信息系统安全情况,制定一份详细的信息系统安全规划方案。
二、目标1. 提高信息系统安全水平:通过全员培训和系统漏洞修复等方式,提高公司信息系统的安全性。
2. 防范外部攻击:加强网络安全防护措施,早发现、早防范、早处置外部攻击。
3. 管理内部访问权限:加强对内部人员访问权限的管理和监控,有效预防内部人员滥用权限。
4. 提高数据保护水平:加强数据备份和恢复机制的建设,提高数据的可靠性和保密性。
信息安全保障措施模板
信息安全保障措施模板一、背景介绍随着科技的发展和信息化的普及,信息安全问题日益凸显。
为了保护企业的核心信息资产,确保信息系统的安全性,建立一套完善的信息安全保障措施是至关重要的。
本文将提出一份信息安全保障措施模板,以帮助企业制定相应措施并加强信息安全管理。
二、信息安全保障控制措施1. 信息安全政策和目标- 明确信息安全的重要性和企业对信息系统安全的承诺;- 设定信息安全目标,制定相关政策、规定和流程。
2. 组织架构与责任- 成立信息安全管理委员会,明确各部门和人员的信息安全职责;- 设立信息安全管理部门或职位,负责信息安全事件的处理和管理。
3. 信息资产管理- 建立信息资产清单,对关键信息资产进行分类和评估,确保其安全性;- 制定详细的信息资产分类、标记、备份和恢复策略。
4. 人员安全管理- 组织员工信息安全培训,提高员工的信息安全意识;- 制定员工离职和变更时的信息安全管理办法,确保信息不被滥用或泄露。
5. 访问控制- 制定安全准入策略,限制对关键信息系统的访问权限;- 实施身份认证、授权和审计机制,追踪和记录用户对信息系统的操作。
6. 系统开发和维护安全- 在系统开发过程中,确保安全性需求被嵌入到需求分析、设计和编码阶段;- 定期进行系统漏洞扫描和安全评估,及时修补和更新系统补丁。
7. 通信和网络安全- 针对不同的网络威胁,采取相应的安全措施,如加密、防火墙和入侵检测等;- 设立合理的网络访问控制策略,检测和预防网络攻击。
8. 信息安全事件与应急响应- 建立信息安全事件管理机制,及时发现、处置和恢复信息安全事件;- 制定详细的信息安全事件应急预案和响应流程,并进行定期演练。
9. 安全审计和监察- 定期开展信息安全审计,评估信息系统的安全性和合规性;- 设置安全监察机制,实时监测与分析安全事件和漏洞。
10. 信息安全管理体系建设- 借鉴国内外信息安全管理标准,建立和不断完善信息安全管理体系;- 定期进行内部和外部的信息安全管理体系审核。
信息安全规划设计模板
1.1背景
1.1.1简介
1.1.2实施依据
本次规划设计是基于国际、国家通行标准的基础之上,主要采用标准如下:
ISO/IEC 27001:2005信息安全管理体系要求;
GB/T 20984-2007 信息安全技术-信息安全风险评估规范;
ISO/IEC 27005:2008 信息安全技术-信息安全风险管理。
3.第三级为监督保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成较大损害。
4.第四级为强制保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成严重损害。
5.第五级为专控保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。
定级要素与安全保护等级的关系
受侵害的客体
对客体的侵害程度
一般损害
严重损害
特别严重损害
公民、法人和其他组织的合法权益
第一级
1.2.1.1管理风险综述
1.2.1.1.1概述
XXX管理风险评估是建立在ISO/IEC 27001:2005《信息技术-信息安全管理体系-要求》基础上133个控制点的符合性识别和控制。其中不适用24项,不符合57项,详见图:
图管理风险统计图
分类
极高
高
中
低
一般
统计
信息安全方针
1
1
2
信息安全组织
1
3
3
第二级
第二级
社会秩序、公共利益
信息安全管理规范和保密制度范例(5篇)
信息安全管理规范和保密制度范例一、引言信息安全是指确保信息系统及其中所储存、传输、处理的信息免受未经授权的访问、利用、披露、干扰、破坏的状态和措施。
为了保障公司的重要信息安全和防止机密信息外泄,制定本信息安全管理规范和保密制度。
二、信息安全管理规范1.信息安全责任1.1 公司将建立信息安全管理委员会,负责信息安全相关工作的决策和监督。
1.2 公司将指定信息安全管理负责人,负责协调和推动信息安全工作。
1.3 公司全体员工要遵守信息安全管理规定,保护公司的信息资产安全。
1.4 公司将定期组织信息安全教育培训,提高员工的信息安全意识。
1.5 公司将建立信息安全应急响应机制,及时应对和处置信息安全事件。
2.信息资产保护2.1 公司将对重要信息资产进行分类并制定相应的安全防护级别。
2.2 公司将对信息资产进行全面的风险评估和安全审计,及时发现和解决存在的安全问题。
2.3 公司将使用合法、正版的软件和硬件设备,确保信息系统的安全稳定运行。
2.4 公司将建立信息备份和恢复制度,保障关键数据的安全和可靠性。
3.网络安全保护3.1 公司将建立网络安全防护体系,包括网络入侵检测系统、防火墙等安全设备的部署和维护。
3.2 公司将加强对内网和外网的访问控制管理,设置严格的权限控制和身份认证机制。
3.3 公司将定期进行网络安全漏洞扫描和安全测试,及时修复和升级系统漏洞。
3.4 公司将对互联网上的敏感信息进行加密和传输安全保护,防止信息泄露和篡改。
4.应用系统安全4.1 公司将建立应用系统开发和运维的安全标准和流程,确保系统的安全可靠。
4.2 公司将对应用系统进行安全审计,确保系统没有存在潜在的安全漏洞。
4.3 公司将建立合理的访问控制策略,限制用户的操作权限和数据访问权限。
4.4 公司将加强对程序代码的安全审查,防止恶意代码的注入和攻击。
5.员工行为管理5.1 公司将制定员工信息安全管理章程,明确各级员工的信息安全责任和义务。
信息安全方针和信息安全目标(参照模板)
信息安全方针和信息安全目标信息安全方针:信息安全人人有责本公司信息安全管理方针包括内容如下:一、信息安全管理机制1.公司采用系统的方法,按照ISO/IEC 27001:2005建立信息安全管理体系,全面保护本公司的信息安全。
二、信息安全管理组织2.公司总经理对信息安全工作全面负责,负责批准信息安全方针,确定信息安全要求,提供信息安全资源。
3.公司总经理任命管理者代表负责建立、实施、检查、改进信息安全管理体系,保证信息安全管理体系的持续适宜性和有效性。
4.在公司内部建立信息安全组织机构,信息安全管理委员会和信息安全协调机构,保证信息安全管理体系的有效运行。
5.与上级部门、地方政府、相关专业部门建立定期经常性的联系,了解安全要求和发展动态,获得对信息安全管理的支持。
三、人员安全6.信息安全需要全体员工的参与和支持,全体员工都有保护信息安全的职责,在劳动合同、岗位职责中应包含对信息安全的要求。
特殊岗位的人员应规定特别的安全责任。
对岗位调动或离职人员,应及时调整安全职责和权限。
7.对本公司的相关方,要明确安全要求和安全职责。
8.定期对全体员工进行信息安全相关教育,包括:技能、职责和意识。
以提高安全意识。
9.全体员工及相关方人员必须履行安全职责,执行安全方针、程序和安全措施。
四、识别法律、法规、合同中的安全10.及时识别顾客、合作方、相关方、法律法规对信息安全的要求,采取措施,保证满足安全要求。
五、风险评估11.根据本公司业务信息安全的特点、法律法规要求,建立风险评估程序,确定风险接受准则。
12.采用先进的风险评估技术和软件,定期进行风险评估,以识别本公司风险的变化。
本公司或环境发生重大变化时,随时评估。
13.应根据风险评估的结果,采取相应措施,降低风险。
六、报告安全事件14.公司建立报告信息安全事件的渠道和相应的主管部门。
15.全体员工有报告信息安全隐患、威胁、薄弱点、事故的责任,一旦发现信息安全事件,应立即按照规定的途径进行报告。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全策略变更履历*变化状态:C——创建,A——增加,M——修改,D——删除目录1. 目的和范围......................... 错误!未指定书签。
2. 术语和定义......................... 错误!未指定书签。
3. 引用文件........................... 错误!未指定书签。
4. 职责和权限......................... 错误!未指定书签。
5. 信息安全策略....................... 错误!未指定书签。
5.1. 信息系统安全组织............. 错误!未指定书签。
5.2. 资产管理..................... 错误!未指定书签。
5.3. 人员信息安全管理............. 错误!未指定书签。
5.4. 物理和环境安全............... 错误!未指定书签。
5.5. 通信和操作管理............... 错误!未指定书签。
5.6. 信息系统访问控制............. 错误!未指定书签。
5.7. 信息系统的获取、开发和维护安全错误!未指定书签。
5.8. 信息安全事故处理............. 错误!未指定书签。
5.9. 业务连续性管理............... 错误!未指定书签。
5.10. 符合性要求.................. 错误!未指定书签。
1附件............................... 错误!未指定书签。
1. 目的和范围1)本文档制定了的信息系统安全策略,作为信息安全的基本标准,是所有安全行为的指导方针,同时也是建立完整的安全管理体系最根本的基础。
2)信息安全策略是在信息安全现状调研的基础上,根据27001的最佳实践,结合现有规章制度制定而成的信息安全方针和策略文档。
本文档遵守政府制定的相关法律、法规、政策和标准。
本安全策略得到领导的认可,并在公司内强制实施。
3)建立信息安全策略的目的概括如下:a)在内部建立一套通用的、行之有效的安全机制;b)在的员工中树立起安全责任感;c)在中增强信息资产可用性、完整性和保密性;d)在中提高全体员工的信息安全意识和信息安全知识水平。
本安全策略适用于公司全体员工,自发布之日起执行。
2. 术语和定义1)解释2)词语使用3. 引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
1) 27001:2005 信息技术-安全技术-信息安全管理体系要求2) 17799:2005 信息技术-安全技术-信息安全管理实施细则4. 职责和权限信息安全管控委员会:负责对信息安全策略进行编写、评审,监督和检查公司全体员工执行情况。
5. 信息安全策略目标:为信息安全提供管理指导和支持,并与业务要求和相关的法律法规保持一致。
1)策略下发本策略必须得到管理层批准,并向所有员工和相关第三方公布传达,全体人员必须履行相关的义务,享受相应的权利,承担相关的责任。
2)策略维护本策略通过以下方式进行文档的维护工作:必须每年按照《风险评估管理程序》进行例行的风险评估,如遇以下情况必须及时进行风险评估:a)发生重大安全事故b)组织或技术基础结构发生重大变更c)安全管理小组认为应当进行风险评估的d)其他应当进行安全风险评估的情形风险评估之后根据需要进行安全策略条目修订,并在内公布传达。
3)策略评审每年必须参照《管理评审程序》执行公司管理评审。
4)适用范围适用范围是指本策略使用和涵盖的对象,包括现有的业务系统、硬件资产、软件资产、信息、通用服务、物理安全区域等。
对于即将投入使用和今后规划的信息系统项目也必须参照本策略执行。
5.1. 信息系统安全组织目标:在组织内部管理信息安全,保持可被外部组织访问、处理、沟通或管理的信息及信息处理设备的安全。
1)内部组织●公司的管理层对信息安全承担最终责任。
管理者职责参见《信息安全管理手册》。
●公司的信息系统安全管理工作采取信息安全管控委员会统一管理方式,其他相关部门配合执行。
公司的内部信息安全组织包括信息安全管理小组,小组的人员组成以及相关职责参见《公司信息安全组织结构图》。
●各个部门之间必须紧密配合共同进行信息安全系统的维护和建设。
相关部门岗位的分工与责任参见《信息安全管理手册》。
●任何新的信息系统处理设施必须经过管理授权的过程。
并更新至《信息资产列表》。
●信息系统内的每个重要的资产需要明确所有者、使用人员。
参见《信息资产列表》。
●凡是涉及重要信息、机密信息(相关定义参见《信息资产鉴别和分类管理办法》等信息的处理,相关的工作岗位员工以及第三方都必须签署保密协议。
●应当与政府机构保持必要的联系共同协调信息安全相关问题。
这些部门包括执法部门、消防部门、上级监管部门、电信供应商等提供公共服务的部门。
●应当与相关信息安全团体保持联系,以取得信息安全上必要的支持。
这些团体包括外部安全咨询商、独立的安全技术专家等。
●信息安全管理小组每年至少进行一次信息安全风险评估工作(参照《风险评估和风险管理程序》,并对安全策略进行复审。
信息安全领导小组每年对风险评估结果和安全策略的修改进行审批。
●每年或者发生重大信息安全变化时必须参照《内部审核管理程序》执行公司内部审核。
2)外部组织a)第三方访问是指非人员对信息系统的访问。
第三方至少包含如下人员:➢硬件及软件技术支持、维护人员;➢项目现场实施人员;➢外单位参观人员;➢合作单位人员;➢客户;➢清洁人员、送餐人员、快递、保安以及其它外包的支持服务人员;b)第三方的访问类型包括物理访问和逻辑访问。
➢物理访问:重点考虑安全要求较高区域的访问,包括计算机机房、重要办公区域和存放重要物品区域等;➢逻辑访问:◆主机系统◆网络系统◆数据库系统◆应用系统c)第三方访问需要进行以下的风险评估后方可对访问进行授权。
➢被访问资产是否会损坏或者带来安全隐患;➢客户是否与有商业利益冲突;➢是否已经完成了相关的权限设定,对访问加以控制;➢是否有过违反安全规定的记录;➢是否与法律法规有冲突,是否会涉及知识产权纠纷;d)第三方进行访问之前必须经过被访问系统的安全责任人的审核批准,包括物理访问的区域和逻辑访问的权限。
(详见《办公室基础设备和工作环境控制程序》)e)对于第三方参与的项目或提供的服务,必须在合同中明确规定人员的安全责任,必要时应当签署保密协议。
f)第三方必须遵守的信息安全策略以及《第三方和外包管理规定》,留对第三方的工作进行审核的权利。
5.2. 资产管理目标:通过及时更新的信息资产目录对信息资产进行适当的保护。
1)资产责任a)所有的信息资产必须登记入册,对于有形资产必须进行标识,同时资产信息应当及时更新。
每项信息资产在登记入册及更新时必须指定信息资产的安全责任人,信息资产的安全责任人必须负责该信息资产的安全。
b)所有员工和第三方都必须遵守关于信息设备安全管理的规定,以保护信息处理设备(包括移动设备和在非公共地点使用的设备)的安全。
2)信息分类a)必须明确确认每项信息资产及其责任人和安全分类,信息资产包括业务过程、硬件和设施资产、软件和系统资产、文档和数据信息资产、人员资产、服务和其他资产。
(详见《信息资产列表》)。
b)必须建立信息资产管理登记制度,至少详细记录信息资产的分类、名称、用途、资产所有者、使用人员等,便于查找和使用。
信息资产应当标明适用范围。
(详见《设备管理规定》)。
c)应当在每个有形信息资产上进行标识。
d)当信息资产进行拷贝、存储、传输(如邮递、传真、电子邮件以及语音传输(包括电话、语音邮件、应答机)等)或者销毁等信息处理时,应当参照《信息资产鉴别和分类管理办法》或者制定妥善的处理步骤并执行。
e)对重要的资料档案要妥善保管,以防丢失泄密,其废弃的打印纸及磁介质等,应按有关规定进行处理。
5.3. 人员信息安全管理目标:确保所有的员工、合同方和第三方用户了解信息安全威胁和相关事宜、明确并履行信息安全责任和义务,并在日常工作中支持的信息安全方针,减少人为错误的风险,减少盗窃、滥用或设施误用的风险。
1)人员雇佣a)员工必须了解相关的信息安全责任,必须遵守《职务说明书》。
b)对第三方访问人员和临时性员工,必须遵守《第三方和外包管理规定》。
c)涉及重要信息系统管理的员工、合同方及第三方应当进行相关技术背景调查和能力考评;d)涉及重要信息系统管理的员工、合同方及第三方应在合同中明确其信息安全责任并签署保密协议;e)重要岗位的人员在录用时应做重要岗位背景调查。
2)雇佣中a)管理层必须要求所有的员工、合同方及第三方用户执行信息安全的相关规定;b)应当设定信息安全的相关奖励措施,任何违反信息安全策略的行为都将收到惩戒,具体执行办法参见《信息安全奖惩规定》;c)将信息安全培训加入员工培训中,培训材料应当包括下列内容:➢信息安全策略➢信息安全制度➢相关奖惩办法d)应当按下列群体进行不同类型的信息安全培训:➢全体员工➢需要遵守信息安全策略、规章制度和各项操作流程的第三方人员e)信息安全培训必须至少每年举行一次,让不同部门的人员能受到适当的信息安全培训。
必须参加计算机信息安全培训的人员包括:➢计算机信息系统使用单位的安全管理责任人;➢重点单位或核心计算机信息系统的维护和管理人员;➢其他从事计算机信息系统安全保护工作的人员;➢能够接触到敏感数据或机密信息的关键用户。
3)人员信息安全管理原则a)员工录用时,人事部门或调入部门必须及时书面通知信息技术部门添加相关的口令、帐号及权限等并备案。
b)员工在岗位变动时,必须移交调出岗位的相关资料和有关文档,检查并归还在借出的重要信息。
人事部门或调入部门必须及时书面通知信息技术部门修改和删除相关的口令、帐号及权限等。
c)员工在调离时必须进行信息安全检查。
调离人员必须移交全部资料和有关文档,删除自己的文件、帐号,检查并归还在借出的保密信息。
由人事部门书面通知信息技术部门删除相关的口令、帐号、权限等信息。
d)必须每半年进行用户帐户使用情况的评审,凡是半年及半年以上未使用的帐号经相关部门确认后删除。
如有特殊情况,必须事先得到部门经理及安全责任人的批准。
e)对第三方访问人员和临时性员工,也必须执行相关规定。
5.4. 物理和环境安全1)安全区域目标:防止对工作场所和信息的非法访问、破坏和干扰。
a)必须明确划分安全区域。
安全区域至少包括各计算机机房、部门、财务、人事等部门。
所有可以进出安全区域的门必须能防止未经授权的访问,如使用控制装置、栅栏、监控和报警装备、锁等。