信息安全系统管理系统要求规范
信息安全管理体系要求
信息安全管理体系 要求一、安全生产方针、目标、原则信息安全管理体系要求我们必须坚持“安全第一,预防为主,综合治理”的方针,以保障信息系统的安全稳定运行。
我们的目标是实现以下三个方面:1. 保障信息系统的完整性、可用性和保密性,防止信息泄露、篡改和破坏。
2. 提高全体员工的信息安全意识,形成良好的信息安全文化。
3. 遵循国家相关法律法规,满足行业标准和公司要求。
原则如下:1. 分级负责:明确各级管理人员和员工的信息安全职责,实行逐级负责。
2. 全面防控:对信息安全风险进行全方位、全过程的识别、评估和管控。
3. 持续改进:不断完善信息安全管理体系,提高信息安全水平。
二、安全管理领导小组及组织机构1. 安全管理领导小组成立以公司总经理为组长,分管副总经理、总工程师为副组长,各部门负责人为成员的信息安全管理领导小组。
主要负责以下工作:(1)制定和审批信息安全政策和目标;(2)组织信息安全风险评估和应急预案制定;(3)指导、协调和监督各部门信息安全工作的开展;(4)审批信息安全投入和资源配置。
2. 工作机构设立以下工作机构,负责信息安全日常管理和具体实施:(1)信息安全部:负责组织、协调、监督和检查公司信息安全工作,制定信息安全管理制度和操作规程;(2)网络运维部:负责公司网络和信息系统的基础设施建设、运维及安全防护;(3)系统开发部:负责公司信息系统开发过程中的安全管理和安全编码;(4)人力资源部:负责组织信息安全培训,提高员工信息安全意识;(5)合规部:负责监督公司信息安全合规性,确保符合国家法律法规和行业标准。
三、安全生产责任制1、项目经理安全职责项目经理作为项目安全生产的第一责任人,其主要安全职责如下:(1)负责组织制定项目安全生产计划,并确保计划的实施;(2)负责项目安全生产资源的配置,确保安全生产投入得到保障;(3)组织项目安全生产教育和培训,提高项目团队成员的安全意识;(4)定期组织安全生产检查,对安全隐患进行排查和整改;(5)建立健全项目安全生产责任制,明确项目团队成员的安全职责;(6)对项目安全生产事故进行调查、分析,提出处理意见,并落实整改措施。
27001 信息安全管理体系标准
27001 信息安全管理体系标准27001 信息安全管理体系标准一、引言信息安全管理体系标准是指国际标准化组织(ISO)发布的ISO/IEC 27001标准,它是全球范围内被广泛采用的信息安全管理标准之一,是组织建立、实施、运行、监控、审查、维护和改进信息安全管理体系的基础。
二、信息安全管理体系概述1. 定义信息安全管理体系是指为满足信息资产保护需求而制定、实施、运行、监控、审查、维护和不断改进的组织或团体的整体信息安全相关安排和措施。
2. 核心理念ISO/IEC 27001标准的核心理念是基于风险管理,强调了建立信息安全管理体系的持续改进和适应性。
通过风险评估和处理等方法,能够帮助组织准确识别信息安全风险,采取相应的控制措施,并实现信息资产的保护。
三、ISO/IEC 27001标准要求1. 综述ISO/IEC 27001标准要求组织根据自身的信息安全风险情况确定适当的信息安全目标,并制定相应的政策、程序和流程来实现这些目标。
2. 风险管理在确定信息安全目标的过程中,组织需要进行风险评估和风险处理,确保对现有和潜在的信息安全风险进行有效应对。
3. 控制措施ISO/IEC 27001标准要求组织根据风险评估结果,确定并实施适当的控制措施,包括技术、管理和物理措施等,以保护信息资产的安全。
4. 管理体系信息安全管理体系的建立和运行需要进行持续监控和审查,确保其有效性和适应性,并不断进行改进。
四、ISO/IEC 27001标准的价值1. 对组织的价值建立、实施和认证ISO/IEC 27001标准的信息安全管理体系,能够帮助组织提高信息资产的安全性和保护能力,增强对信息安全风险的管理和控制,提升组织的整体竞争力和信誉度。
2. 对个人的价值ISO/IEC 27001标准不仅对组织有着重要的意义,对个人信息的保护也具有积极的促进作用,能够加强对个人信息的保护和隐私权的尊重。
五、个人观点和理解作为一项全球范围内广泛采用的信息安全管理标准,ISO/IEC 27001标准的重要性不言而喻。
信息安全技术 信息系统安全管理要求
信息安全技术信息系统安全管理要求
信息系统安全管理要求是指采用信息安全技术进行管理方式,以确保
信息系统有效运行和安全。
这类要求包括:
(1)安全策略:建立适当的安全策略,对信息系统的安全和安全管
理进行有效管理;
(2)系统安全:建立安全机制,确保系统的安全,防止信息泄露、
损坏或遭受攻击;
(3)隐私保护:建立完善的安全体系,保护信息及信息系统使用者
的个人隐私,防止被未经授权的人窥探和盗用;
(4)安全审计:定期审计系统并分析统计在系统中发现的安全风险,及时采取有效的措施保障系统安全;
(5)安全培训:定期培训相关人员,提升系统使用者的安全意识,
增强安全规范的执行力度;
(6)响应:立即采取应急措施和事件响应,确保信息系统的安全,
防止潜在的灾难。
以上这些要求都非常重要,是信息安全技术实施的重要内容,是确保
信息系统安全运行的重要条件。
信息安全管理体系要求
信息安全管理体系要求引言:在当今信息社会的背景下,信息安全问题已经成为各行各业关注的焦点。
信息安全管理体系的建立和规范对于保护和管理企业的核心信息资产具有重要意义。
本文将从不同行业的角度,探讨信息安全管理体系的要求以及相关的规范、规程和标准。
通过详细描述不同行业的实施细则,以期提高人们对信息安全的认识和应对能力。
一、金融行业的信息安全管理体系要求在金融行业,信息安全是首要的任务。
为了确保金融交易的安全性和可靠性,金融机构需要建立完善的信息安全管理体系。
这包括以下要求:1.制定合理的风险评估机制:金融机构应该定期开展信息安全的风险评估,对安全风险进行科学、全面的评估。
通过评估结果,金融机构能够有针对性地制定防范措施,提高信息安全水平。
2.建立完备的安全策略和规定:金融机构应该制定信息安全策略和规定,明确各类信息的等级和权限,并制定相应的控制措施,确保信息的机密性和完整性。
3.完善的身份验证和访问控制:金融机构应该建立可靠的身份验证和访问控制机制,包括双因素身份验证、密码管理、权限管理等,以防止未经授权的人员获取敏感信息。
4.敏感信息的加密和传输安全:金融机构应该采用加密技术,对敏感信息进行保护和传输安全。
同时,要定期检查和更新加密算法和密钥,确保其安全性。
5.完备的监控和审计机制:金融机构需要建立完备的监控和审计机制,对关键系统和网络进行实时监控和日志记录,及时发现和处理安全事件。
二、制造业的信息安全管理体系要求在制造业,信息安全管理体系同样具有重要性。
为了保护制造业的核心技术和商业机密,以下是制造业信息安全管理体系的要求:1.合理控制设备系统的访问权限:制造业企业应该建立设备系统的访问控制机制,设定适当的权限,对设备进行有效的授权管理。
2.信息采集和传输的安全保障:制造业企业应该对信息采集和传输过程中的安全进行保障,包括建立加密通道、防止信息泄露等。
3.研发过程中的信息安全保护:制造业企业在产品研发过程中应该加强对关键技术信息的保护,建立起专门的信息保护和控制措施。
信息安全技术信息系统安全工程管理要求
信息安全技术信息系统安全工程管理要求信息安全技术是指对信息系统中的信息进行保护和防护的技术手段和方法。
在信息化时代,信息安全的重要性日益凸显,各种信息安全事件也层出不穷,给个人、企事业单位以及整个社会带来了巨大的危害和损失。
因此,为了确保信息安全,提升信息系统的安全性能,信息系统安全工程管理提出了一系列要求。
首先,信息系统安全工程管理要求建立完善的安全政策和制度。
安全政策是指明确和规范信息系统安全目标的文件,旨在明确安全责任、权限和义务。
建立安全政策可以使组织拥有一个明确的信息安全框架和指导方针,使安全工作能够有计划地进行。
其次,信息系统安全工程管理要求进行风险评估和风险管理。
通过对信息系统的风险进行评估,可以了解系统面临的各种安全威胁和风险,并采取相应的措施进行防范和处理。
风险管理的目标是在保障系统正常运行的前提下,最小化风险并尽量避免安全事件的发生。
第三,信息系统安全工程管理要求进行安全性评估和安全性测试。
安全性评估主要是针对信息系统的整体架构和功能进行评估,以发现系统存在的安全漏洞和弱点。
安全性测试则是通过模拟攻击、漏洞扫描等手段来检测系统的安全性能。
通过对系统的安全性评估和测试,可以为系统的安全配置和改进提供依据。
此外,信息系统安全工程管理要求建立有效的访问控制机制。
访问控制机制是指对系统资源进行访问控制和权限管理的一系列技术和策略。
通过合理设置用户账号、权限和角色等机制,可以确保只有经过授权的用户才能访问系统资源,从而降低系统遭受非法访问和攻击的风险。
最后,信息系统安全工程管理要求定期进行安全审核和监测。
安全审核是对系统的安全性进行定期检查和评估,以发现潜在的安全隐患和问题。
安全监测是指对系统的安全状态进行实时或定期监测,以及时发现和处理安全事件。
通过安全审核和监测,可以及时发现和解决系统的安全问题,提升系统的安全性能。
总之,信息系统安全工程管理要求建立完善的安全政策和制度,进行风险评估和风险管理,进行安全性评估和安全性测试,建立有效的访问控制机制,定期进行安全审核和监测。
信息安全管理体系要求
信息安全管理体系要求1.领导承诺与支持:组织的领导应对信息安全工作予以重视,并提供充分的资源和支持,确保信息安全管理体系能够有效运行。
2.制定和发布政策与目标:组织应制定并发布信息安全政策和目标,确保所有相关方都能理解和遵守信息安全要求。
3.风险评估与管理:组织应对潜在的信息安全风险进行评估,并采取相应的管理措施,包括风险避免、风险转移、风险减轻和风险接受。
4.资产管理:组织应对信息资产进行有效的管理,包括标识和分类、所有权确认、访问控制、备份和恢复等措施。
5.人员安全:组织应确保人员的信息安全意识和能力,包括培训、认证、授权等措施,同时对员工的行为进行监督和审计。
6.访问控制:组织应建立适当的访问控制措施,包括用户身份验证、访问权限管理、访问控制策略等,确保只有合法的用户能够访问和使用信息资产。
7.通信和操作管理:组织应对信息通信和操作进行管理,包括网络安全、系统运行、信息输入和输出、系统开发和维护等环节。
8.物理和环境安全:组织应确保信息资产的物理和环境安全,包括设备的安全性、访问控制、灾难恢复等措施。
9.供应商和合作伙伴管理:组织应对与供应商和合作伙伴的合同和协议进行信息安全要求的约定,并对其进行监督和评估。
10.信息安全事件管理:组织应建立信息安全事件管理机制,包括事件的检测、报告、响应和恢复等环节,以及持续改进的措施。
11.连续改进:组织应采取主动的措施,持续改进信息安全管理体系,包括监督和评审、内审和外审、改进措施的实施和监督等。
通过遵循以上要求,组织能够建立健全的信息安全管理体系,保护其信息资产不受到威胁和损害。
同时,信息安全管理体系还能提升组织的信誉和竞争优势,增强组织对信息资产的管理和控制能力,进一步促进组织的可持续发展。
因此,各个组织应该认识到信息安全管理体系对于其发展的重要性,并积极采取相应的措施加强其建设和实施。
信息系统安全管理规范范文
信息系统安全管理规范范文为保障信息系统的安全运行,维护组织的利益和客户的合法权益,制定本规范,以规范信息系统的安全管理工作,确保信息系统的机密性、完整性和可用性。
一、总则1.信息系统安全管理规范适用于所有使用、维护和管理信息系统的人员,包括但不限于公司员工、供应商和承包商。
2.所有信息系统用户必须遵守本规范,维护信息系统的安全和稳定运行。
3.信息系统管理员应负责执行和监控本规范的实施情况,并对违规行为进行处理。
二、账户安全1.所有账户必须使用独立、安全的密码,且定期修改密码。
密码应包含至少8位字符,包括大小写字母、数字和特殊符号,并避免使用常见密码。
2.不得将账户、密码等安全信息透露给他人,更不准使用他人账户。
3.账户权限应根据职责和需求进行分配,只赋予必要的权限,避免滥用。
三、网络安全1.所有网络传输必须使用加密协议,禁止明文传输敏感信息。
2.实施防火墙、入侵检测和入侵防御等安全设备和技术,对外部攻击进行有效防护。
3.禁止连接未经授权的外部设备,禁止使用未经批准的无线网络。
四、数据安全1.重要数据必须进行备份,备份数据应存储在安全的地点,定期进行恢复测试,确保备份的完整性和可用性。
2.敏感数据应进行分类和加密存储,对访问权限进行严格控制。
3.禁止在未经授权的设备和网络上传输、存储或处理机密信息。
五、应用安全1.应用系统开发和运维过程中应采用安全设计和编码规范,避免常见的安全漏洞。
2.应用系统必须对用户输入进行有效的过滤和校验,防止注入攻击和跨站脚本攻击。
3.应定期进行安全测试和漏洞扫描,及时修复发现的安全漏洞。
六、监控和审计1.设立监控系统,对信息系统的安全事件和异常行为进行实时监测。
2.建立合理的日志记录和审计机制,确保对关键操作和事件进行记录和追溯。
3.定期进行安全事件和安全事件响应演练,提高安全事件处理的能力和效率。
七、员工教育和培训1.新员工入职时应进行信息安全方面的培训,员工离职时应进行安全知识的交接。
ISO27001-2013信息安全管理体系要求
目录前言 (3)0 引言 (4)0.1 总则 (4)0.2 与其他管理系统标准的兼容性 (4)1. 范围 (5)2 规范性引用文件 (5)3 术语和定义 (5)4 组织景况 (5)4.1 了解组织及其景况 (5)4.2 了解相关利益方的需求和期望 (5)4.3 确立信息安全管理体系的范围 (6)4.4 信息安全管理体系 (6)5 领导 (6)5.1 领导和承诺 (6)5.2 方针 (6)5.3 组织的角色,职责和权限 (7)6. 计划 (7)6.1 应对风险和机遇的行为 (7)6.2 信息安全目标及达成目标的计划 (9)7 支持 (9)7.1 资源 (9)7.2 权限 (9)7.3 意识 (10)7.4 沟通 (10)7.5 记录信息 (10)8 操作 (11)8.1 操作的计划和控制措施 (11)8.2 信息安全风险评估 (11)8.3 信息安全风险处置 (11)9 性能评价 (12)9.1监测、测量、分析和评价 (12)9.2 内部审核 (12)9.3 管理评审 (12)10 改进 (13)10.1 不符合和纠正措施 (13)10.2 持续改进 (14)附录A(规范)参考控制目标和控制措施 (15)参考文献 (28)前言0 引言0.1 总则本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。
采用信息安全管理体系是组织的一项战略性决策。
组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。
所有这些影响因素可能随时间发生变化。
信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并给相关方建立风险得到充分管理的信心。
重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制措施的设计中要考虑到信息安全。
信息安全管理体系的实施要与组织的需要相符合。
本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全管理规范公司版本信息当前版本:最新更新日期:最新更新作者:作者:创建日期:审批人:审批日期:修订历史版本号更新日期修订作者主要修订摘要Table of Contents(目录)1. 公司信息安全要求 (5)1.1信息安全方针 (5)1.2信息安全工作准则 (5)1.3职责 (6)1.4信息资产的分类规定 (6)1.5信息资产的分级(保密级别)规定 (7)1.6现行保密级别与原有保密级别对照表 (7)1.7信息标识与处置中的角色与职责 (8)1.8信息资产标注管理规定 (9)1.9允许的信息交换方式 (9)1.10信息资产处理和保护要求对应表 (9)1.11口令使用策略 (11)1.12桌面、屏幕清空策略 (11)1.13远程工作安全策略 (12)1.14移动办公策略 (12)1.15介质的申请、使用、挂失、报废要求 (13)1.16信息安全事件管理流程 (14)1.17电子邮件安全使用规范 (16)1.18设备报废信息安全要求 (17)1.19用户注册与权限管理策略 (17)1.20用户口令管理 (18)1.21终端网络接入准则 (18)1.22终端使用安全准则 (18)1.23出口防火墙的日常管理规定 (19)1.24局域网的日常管理规定 (19)1.25集线器、交换机、无线AP的日常管理规定 (19)1.26网络专线的日常管理规定 (20)1.27信息安全惩戒 (20)2. 信息安全知识 (21)2.1什么是信息? (21)2.2什么是信息安全? (21)2.3信息安全的三要素 (21)2.4什么是信息安全管理体系? (22)2.5建立信息安全管理体系的目的 (22)2.6信息安全管理的PDCA模式 (23)2.7安全管理-风险评估过程 (23)2.8信息安全管理体系标准(ISO27001标准家族) (24)2.9信息安全控制目标与控制措施 (25)1.公司信息安全要求1.1信息安全方针⏹拥有信息资产,积累、共享并保护信息资产是我们共同的责任。
⏹管理与技术并重,确保公司信息资产的安全,保障公司持续正常运营。
⏹履行对客户知识产权的保护承诺,保障客户信息资产的安全,满足并超越客户信息安全需求。
1.2信息安全工作准则⏹保护信息的机密性、完整性和可用性,即确保信息仅供给那些获得授权的人员使用、保护信息及信息处理方法的准确性和完整性、确保获得授权的人员能及时可靠地使用信息及信息系统;⏹公司通过建立有效的信息安全管理体系和必要的技术手段,保障信息资产的安全,降低信息安全风险;⏹各级信息安全责任者负责所辖区域的信息安全,通过建立相关制度及有效的保护措施,确保公司的信息安全方针得到可靠实施;⏹全体员工应只访问或使用获得授权的信息系统及其它信息资产,应按要求选择和保护口令;⏹未经授权,任何人不得对公司信息资产进行复制、利用或用于其它目的;⏹应及时检测病毒,防止恶意软件的攻击;⏹公司拥有为保护信息安全而使用监控手段的权力,任何违反信息安全政策的员工都将受到相应处理;⏹通过建立有效和高效的信息安全管理体系,定期评估信息安全风险,持续改进信息安全管理体系。
1.3职责全体员工应保护公司信息资产的安全。
每个员工必须认识到信息资产的价值,负责保护好自己生成、管理或可触及的涉及的数据和信息。
员工必须遵守《信息标识与处理程序》,了解信息的保密级别。
对于不能确定是否为涉密信息的内容,必须征得相关管理部门的确认才可对外披露。
员工必须遵守信息安全相关的各项制度和规定,保证的系统、网络、数据仅用于的各项工作相关的用途,不得滥用。
1.4信息资产的分类规定公司的信息资产分为电子数据、软件、硬件、实体信息、服务五大类。
类别说明电子数据存在信息媒介上的各种数据资料,包括源代码、数据库数据等各种电子化的数据资料、项目文档、管理文档、运行管理规程、计划、报告、用户手册、作业指导书等各种电子化的数据资料。
软件包括系统软件、应用软件、共享软件系统软件:操作系统、语言包、工具软件、各种库等;应用软件:外部购买的应用软件,办公软件等;共享软件:各种共享源代码、共享可执行程序等。
硬件网络设备:路由器、网关、交换机等计算机设备:大型机、服务器、工作站、台式计算机、移动计算机等存储设备:磁带机、磁盘阵列、工控机等移动存储设备:磁带、光盘、软盘、U盘、移动硬盘等传输线路:光纤、双绞线等基础保障设备:(UPS、变电设备等)、空调、保险柜、文件柜、门禁、消防设施等,如对基础设施使用属于租用形式,请将其识别到服务类别中。
安全保障设备:硬件防火墙、入侵检测系统、身份验证等其他电子设备:打印机、复印机、扫描仪、传真机等实体信息纸制的各种文件、合同、传真、会议纪要、财务报表、证书、电报、发展计划以及各类其他材质的证书奖牌等。
服务通过各种协议方式固化下来的服务活动、如物业、第三方、供应商、提供检修服务的提供方等。
1.5信息资产的分级(保密级别)规定信息资产分为:一般、内部公开、企业秘密、企业机密4个保密级别。
保密级别名称说明1 一般一般性信息,可以公开的信息、信息处理设备和系统资源。
2 内部公开非敏感但仅限公司内部使用的信息、信息处理设备和系统资源。
3 企业秘密敏感的信息、信息处理设备和系统资源,只给必须知道者。
4 企业机密敏感的信息、信息处理设备和系统资源,仅适用极少数必须知道的人。
1.6现行保密级别与原有保密级别对照表保密级别与公司原有的保密级别的对照表如下:现行的保密级别与之相当的原有保密级别一般一般内部公开秘密企业秘密机密企业机密绝密1.7信息标识与处置中的角色与职责角色职责责任人:信息资产的创建者,或者主要用户所在组织、单位或部门的负责人。
信息资产责任人对所属信息资产负直接责任。
⏹理解和各种信息访问活动相关的安全风险;⏹根据公司信息密级划分标准来确定所属信息资产的级别;⏹根据公司相关策略确定并检查信息访问权限;⏹针对所属信息资产提出恰当的保护措施。
保管者:受信息资产责任人委托,对信息资产进行日常的管理,维护已经建立的保护措施。
资产保管者通常是公司或部门的IT管理者或者代表(例如系统管理员)。
⏹根据公司相关策略和信息资产责任人的要求,负责信息资产的维护操作和日常管理事务;⏹负责具体设置信息访问权限;⏹负责所管理的信息资产的安全控制;⏹部署恰当的安全机制,进行备份和恢复操作;⏹按照信息资产责任人的要求实施其他控制。
用户:信息资产的使用者,除了公司内部员工,也可能是因为业务需要而访问公司信息的客户或第三方组织。
⏹向信息责任人申请信息访问;⏹按照公司信息安全策略要求正当访问信息,禁止非授权访问;⏹向相关组织报告隐患、故障或者违规事件。
1.8信息资产标注管理规定(1)公司所属的各类信息资产,无论其存在形式是电子、纸质还是磁盘等,都应在显著位置标注其保密级别。
(2)一般电子或纸质文档应在该文档页眉的右上角或页脚上标注其保密级别或在文件封面打上保密章,磁盘等介质应在其表面非数据区予以标注其保密级别。
(3)如果某存储介质中包含各个级别的信息,作为整体考虑,该存储介质的保密级别标注应以最高为准。
(4)如果没有明显的保密级别标注,该信息资产以“一般”级别看待。
(5)对于对外公开的信息,需要得到相关责任人的核准,并由对外信息发布部门统一处理。
(6)如需在信息资产上表述保密声明,可采用以下两种表述方式:表述方式一:“保密声明:公司资产,注意保密。
”表述方式二:“保密声明:本文档受国家相关法律和公司制度保护,不得擅自复制或扩散。
”1.9允许的信息交换方式公司允许的信息交换方式有:邮件、视频、电话、网站内容发布、文件共享、传真、光盘、磁盘、磁带和纸张。
1.10信息资产处理和保护要求对应表企业机密企业秘密内部公开一般授权需得到责任人和公司管理层批准需得到相关责任人及部门领导批准需得到责任人批准无特别要求访只能被得到授权只能被公司内部可以被公任何公问的公司极少数核心人员访问或外部得到明确授权的人员访问,访问者应该签署保密协议司内部或外部因为业务需要的人员访问司员工或外部人员都可以访问存储电子类的应该加密存储在安全的计算机系统内;硬拷贝应该锁在安全的保险柜内;禁止以其他形式存储或显示电子类的应该妥善保存在设有安全控制的计算机系统内(建议进行信息加密);硬拷贝应该妥善保管,严禁摆放在桌面;使用白板展示后应立即擦除电子类的应该妥善保管,可以进行加密;纸质不应放在桌面以恰当方式保存,避免被非授权人员看到;存储有信息的介质避免丢失复制得到相关责任人及公司管理层批准;需要登记须经相关责任人批准,并让专人操作或监督实施,需要登记经相关责任人批准内部复制无限制打印禁止打印(或在授权情况下专人负责打印,不得打印到无人值守机)须经相关责任人许可,打印件标注密级并妥善管理,不得打印到无人值守机经相关责任人许可,打印件标注密级并妥善管理无限制,打印件标注密级邮件禁止邮件直接发送,经授权后做电子签名和加密控制,经安全的途径发送,保留记录须经相关责任人许可,邮件发送应做加密控制,保留记录经相关责任人许可无限制传真禁止传真须经相关责任人许可后专人负责传真经相关责任人许可无限制快递经授权后采取妥善的保护措施,由专人快递经授权后,由签署了特定安全协议的专门的快递公司快递经授权后,由签署了特定安全协议的专门的快递公司快递无限制内部分发经相关责任人和公司管理层批准后,密封分发,或以允许的电子分发形式进行安全的分发经相关责任人批准后,密封分发,或以允许的电子分发形式进行安全的分发经授权后,以内部邮件形式发放,或直接进行硬拷贝分发无限制对外分经相关责任人和经相关责任人批经授权经授权发公司管理层批准后分发,需要签署特定的保密协议,需要进行登记准后分发,需签署保密协议,需要进行登记后,以邮件或者快递方式分发,建议签署保密协议后,以允许的分发方式分发处理碎纸机;彻底销毁介质;电子记录定期消除;进行检查确认碎纸机;彻底销毁介质;电子记录定期消除;进行检查确认保存件标明作废;电子记录定期消除;介质销毁电子记录定期消除,介质销毁记录跟踪直接责任人应有收件人、复制者、保存者、浏览者、销毁者的日志记录跟踪文件复制、保存、浏览、销毁过程,应有记录无要求不建议跟踪1.11口令使用策略全体员工在挑选和使用口令时,应:(1)保证口令的机密。
(2)除非能安全保存,避免将口令记录在纸上。
(3)只要有迹象表明系统或口令可能遭到破坏,应立即更改口令。
(4)选用高质量的口令,最少要有6个字符,另外:A.口令应由字母加数字组成;B.口令不应采用如姓名、电话号码、生日等容易猜出或破解的信息。
(5)每三个月更改或根据访问次数更改口令(特别是特权用户),避免再次使用或循环使用旧口令。
(6)首次登录时,应立即更改临时口令。