信息安全制度
信息安全管理制度范本(3篇)
信息安全管理制度范本一、总则为了有效保护企业的信息资产、确保信息系统的正常运行和信息安全,特制定本信息安全管理制度(以下简称“本制度”)。
本制度适用于企业内的所有信息系统、网络设备、信息资产,以及企业内所有员工和外部用户在使用企业信息系统时应遵守的各项规定。
二、信息安全管理目标1.保护企业信息资产的机密性、完整性和可用性,防止信息泄露、损坏和非法使用。
2.确保信息系统的安全运行,防止病毒、木马等威胁和攻击。
3.加强员工的信息安全意识,提高信息安全管理水平。
三、信息安全管理要求1.建立健全信息安全管理制度,确保信息安全管理的全面性、连续性和有效性。
2.明确信息资产的分类、归属和责任,制定相应的保护措施。
3.制定密码管理制度,对信息系统进行可靠的身份认证和访问控制。
4.建立网络安全管理制度,加强网络设备的配置和管理,防止网络攻击和非法入侵。
5.制定备份和恢复管理制度,保证信息系统数据的安全备份和快速恢复。
6.建立事件处理和应急响应机制,及时发现和处理安全事件,减少损失。
7.加强员工的信息安全教育培训,提高员工的信息安全意识和能力。
8.定期进行安全演练和评估,发现和修复系统漏洞和安全隐患。
四、信息安全责任1.企业负责人应当明确信息安全的重要性,并将其纳入企业的经营战略之中。
2.信息安全部门负责制定、实施和维护信息安全管理制度,并监督和检查各部门的信息安全工作。
3.各部门负责指定信息安全管理员,负责本部门的信息安全工作。
4.员工应当遵守本制度的各项规定,妥善保管个人账号和密码,不得私自泄露、更改或共享。
五、信息安全监督与检查1.企业信息安全部门负责对各部门的信息安全情况进行定期检查和评估。
2.企业内部和外部专业机构可以被委托进行信息安全审计。
3.对发生的信息安全事件和违规行为,进行调查和处理,并采取相应的纠正和预防措施。
六、其他本制度的解释权归企业负责人和信息安全部门负责人所有。
本制度自发布之日起生效。
信息安全管理制度
信息安全管理制度信息安全管理制度(通用7篇)信息安全管理制度篇1近年来,随着计算机技术和信息技术的飞速发展,社会的需求不断进步,企业传统的手工生产模式和管理模式迈入了一个全新的时代——信息化时代。
随着信息化程度的日益推进,企业信息的脆弱性也日益暴露。
如何规范日趋复杂的信息安全保障体系建设,如何进行信息风险评估保护企业的信息资产不受侵害,已成为当前行业实现信息化运作亟待解决的问题。
一、前言:企业的信息及其安全隐患。
在我公司,我部门对信息安全做出整体规划:通过从外到内、从广义到狭义、从总体到细化、从战术到战略,从公司的整体到局部的各个部门相结合一一剖析,并针对信息安全提出解决方案。
涉及到企业安全的信息包括以下方面:A. 技术图纸。
主要存在于技术部、项目部、质管部。
.B. 商务信息。
主要存在于采购部、客服部。
C. 财务信息。
主要存在于财务部。
D 服务器信息。
主要存在于信管部。
E 密码信息。
存在于各部门所有员工。
针对以上涉及到安全的信息,在企业中存在如下风险:1 来自企业外的风险①病毒和木马风险。
互联网上到处流窜着不同类型的病毒和木马,有些病毒在感染企业用户电脑后,会篡改电脑系统文件,使系统文件损坏,导致用户电脑最终彻底崩溃,严重影响员工的工作效率;有些木马在用户访问网络的时候,不小心被植入电脑中,轻则丢失工作文件,重则泄露机密信息。
②不法分子等黑客风险。
计算机网络的飞速发展也导致一些不法分子利用网络行窃、行骗等,他们利用所学的计算机编程语言编译有特定功能的木马插件,经过层层加壳封装技术,用扫描工具找到互联网上某电脑存在的漏洞,绕过杀毒软件的追击和防火墙的阻挠,从漏洞进入电脑,然后在电脑中潜伏,依照不法分子设置的特定时间运行,开启远程终端等常用访问端口,那么这台就能被不法分子为所欲为而不被用户发觉,尤其是技术部、项目部和财务部电脑若被黑客植入后门,留下监视类木马查件,将有可能造成技术图纸被拷贝泄露、财务网银密码被窃取。
信息系统安全管理制度(五篇)
信息系统安全管理制度--____联华中安制定为加强开发区计算机信息系统安全和保密管理,保障计算机信息系统的安全,____联华中安信息技术有限公司特制定本管理制度。
第一条严格落实计算机信息系统安全和保密管理工作责任制。
按照“谁主管谁负责、谁运行谁负责、谁公开谁负责”的原则,各科室在其职责范围内,负责本单位计算机信息系统的安全和保密管理。
第二条办公室是全局计算机信息系统安全和保密管理的职能部门。
办公室负责具体管理和技术保障工作。
第三条计算机信息系统应当按照国家保密法标准和国家信息安全等级保护的要求实行分类分级管理,并与保密设施同步规划、同步建设。
第四条局域网分为内网、外网。
内网运行各类办公软件,专用于公文的处理和交换,属____网;外网专用于各部门和个人浏览国际互联网,属非____网。
上内网的计算机不得再上外网,涉及国家____的信息应当在指定的____信息系统中处理。
第五条购置计算机及相关设备须按保密局指定的有关参数指标由机关事务中心统一购置,并对新购置的计算机及相关设备进行保密技术处理。
办公室将新购置的计算机及相关设备的有关信息参数登记备案后统一发放。
经办公室验收的计算机,方可提供上网ip地址,接入机关局域网。
第六条计算机的使用管理应符合下列要求:(一)严禁同一计算机既上互联网又处理____信息;(二)各科室要建立完整的办公计算机及网络设备技术档案,定期对计算机及软件____情况进行检查和登记备案;(三)设置开机口令,长度不得少于____个字符,并定期更换,防止口令被盗;(四)____正版防病毒等安全防护软件,并及时进行升级,及时更新操作系统补丁程序;(五)未经办公室认可,机关内所有办公计算机不得修改上网ip地址、网关、dns服务器、子网掩码等设置;(六)严禁使用含有无线网卡、无线鼠标、无线键盘等具有无线互联功能的设备处理____信息;(七)严禁将办公计算机带到与工作无关的场所;确因工作需要需携带有____信息的手提电脑外出的,必须确保____信息安全。
信息安全管理制度汇编
信息安全管理制度汇编(经典版)编制人:__________________审核人:__________________审批人:__________________编制单位:__________________编制时间:____年____月____日序言下载提示:该文档是本店铺精心编制而成的,希望大家下载后,能够帮助大家解决实际问题。
文档下载后可定制修改,请根据实际需要进行调整和使用,谢谢!并且,本店铺为大家提供各种类型的经典范文,如工作总结、工作计划、演讲致辞、策划方案、合同协议、规章制度、条据文书、诗词鉴赏、教学资料、其他范文等等,想了解不同范文格式和写法,敬请关注!Download tips: This document is carefully compiled by this editor. I hope that after you download it, it can help you solve practical problems. The document can be customized and modified after downloading, please adjust and use it according to actual needs, thank you!Moreover, our store provides various types of classic sample essays for everyone, such as work summaries, work plans, speeches, planning plans, contract agreements, rules and regulations, doctrinal documents, poetry appreciation, teaching materials, other sample essays, etc. If you want to learn about different sample formats and writing methods, please stay tuned!信息安全管理制度汇编信息安全管理制度汇编(精选21篇)信息安全管理制度汇编篇11.信息安全禁止行为:1.1利用公司信息系统平台、网络制作、传播、复制危害公司及员工的有关任何信息;1.2攻击、入侵他人计算机,未经允许使用他人计算机设备、信息系统等;1.3未经授权对信息平台erp、crm、wms、网站、企业邮件系统中存储、处理或传输的信息(包括系统文件和应用程序)进行增加、修改、移动、复制和删除等;1.4未经授权查阅他人邮件,盗用他人名义进行发送任何电子邮件;1.5故意干扰、破坏公司信息平台erp、crm、wms、网站、企业邮件等系统的安全、稳定畅通运行;从事其他危害公司计算机、网络设备、信息平台的安全活动;1.6未经公司高管领导批准不得通过网络、移动存储设备等向外传输、发布、泄露有关公司的任何信息;其它危害公司信息安全或违反国家相关法律法规、信息安全条例的行为。
公司信息安全管理制度五篇
公司信息安全管理制度五篇公司信息安全管理制度五篇_公司网络安全管理制度范本信息安全是指通过各种策略保证公司计算机设备、信息网络平台(内部网络系统及erp、crm、wms、网站、企业邮箱等)、电子数据等的安全、稳定、正常,旨在规范与保护信息在传输、交换和存储、备份过程中的机密性、完整性和真实性。
下面是小编整理的公司信息安全管理制度,供你参考,希望能对你有所帮助。
★公司信息安全管理制度11.计算机设备安全管理1.1员工须使用公司提供的计算机设备(特殊情况的,经批准许可的方能使用自已的计算机),不得私自调换或拆卸并保持清洁、安全、良好的计算机设备工作环境,禁止在计算机使用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。
1.2严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。
任何人不允许私自拆卸计算机组件,当计算机出现硬件故障时应及时向信息技术部报告,不允许私自处理和维修。
1.3员工对所使用的计算机及相关设备的安全负责,如暂时离开座位时须锁定系统,移动介质自行安全保管。
未经许可,不得私自使用他人计算机或相关设备,不得私自将计算机等设备带离公司。
1.4因工作需要借用公司公共笔记本的,实行“谁借用、谁管理”的原则,切实做到为工作所用,使用结束后应及时还回公司。
2.电子资料文件安全管理。
2.1文件存储重要的文件和工作资料不允许保存在c盘(含桌面),同时定期做好相应备份,以防丢失;不进行与工作无关的下载、游戏等行为,定期查杀病毒与清理垃圾文件;拷贝至公共计算机上使用的相关资料,使用完毕须注意删除;各部门自行负责对存放在公司文件服务器p盘的资料进行审核与安全管理;若因个人原因造成数据资料泄密、丢失的,将由其本人承担相关后果。
2.2文件加密涉及公司机密或重要的信息文件,所有人员需进行必要加密并妥善保管;若因保管不善,导致公司信息资料的外泄及其他损失,将由其本人承担一切责任。
2.3文件移动严禁任何人员以个人介质光盘、u盘、移动硬盘等外接设备将公司的文件资料带离公司。
信息安全制度
信息安全制度信息安全制度是指为保护机构或企业的信息资产安全而建立的一系列规范、制度和措施。
它的目的是确保信息的机密性、完整性和可用性,防止信息泄露、篡改、丢失和破坏,从而保障信息系统的正常运行和业务的持续发展。
一、制度概述信息安全制度是建立在信息安全管理体系基础上的一套具体规范和制度,它包括信息安全政策、安全组织架构、安全责任制、安全培训和意识教育、安全风险评估和管理、安全事件处理等方面的内容。
二、信息安全政策信息安全政策是制定信息安全制度的基础,它是企业或机构对信息安全的总体要求和目标的表述。
信息安全政策应包括以下内容:1. 信息安全目标:明确企业对信息安全的追求和期望,如保护客户信息、保护商业机密等;2. 安全责任:明确各级管理人员对信息安全的责任和义务;3. 安全组织架构:建立信息安全管理部门和相关岗位,明确各岗位的职责和权限;4. 安全培训和意识教育:制定培训计划,提高员工的信息安全意识和技能;5. 安全风险评估和管理:建立风险评估机制,及时发现和处理安全风险;6. 安全事件处理:明确安全事件的报告、处置和追责程序。
三、安全组织架构安全组织架构是指为保障信息安全而设立的专门部门和岗位,它包括信息安全管理部门、信息安全管理员、安全审计员等。
各级管理人员应明确信息安全管理部门的职责和权限,并配备足够的安全人员来负责信息安全的日常管理和维护。
四、安全责任制安全责任制是指明确各级管理人员对信息安全的责任和义务,建立起一套有效的责任追究机制。
安全责任制应包括以下内容:1. 领导责任:企业或机构的最高管理层应对信息安全负总责,并确保信息安全政策的有效实施;2. 部门责任:各部门负责人应对本部门的信息安全工作负责,并配合信息安全管理部门的工作;3. 个人责任:每个员工都应对自己的信息安全行为负责,并遵守相关的安全规定和制度。
五、安全培训和意识教育安全培训和意识教育是提高员工信息安全意识和技能的重要手段,它包括以下内容:1. 培训计划:制定信息安全培训计划,包括新员工培训、定期培训和特定岗位培训等;2. 培训内容:培训内容应包括信息安全政策、安全操作规程、安全技术知识等;3. 意识教育:通过宣传、海报、内部通知等方式提高员工对信息安全的重视和认识。
信息安全管理制度
信息安全管理制度(一)计算机安全管理1、医院计算机操作人员必须按照计算机正确的使用方法操作计算机系统。
严禁暴力使用计算机或蓄意破坏计算机软硬件。
2、未经许可,不得擅自拆装计算机硬件系统,若须拆装,则通知信息科技术人员进行。
3、计算机的软件安装和卸载工作必须由信息科技术人员进行。
4、计算机的使用必须由其合法授权者使用,未经授权不得使用。
5、医院计算机仅限于医院内部工作使用,原则上不许接入互联网。
因工作需要接入互联网的,需书面向医务科提出申请,经签字批准后交信息科负责接入。
接入互联网的计算机必须安装正版的反病毒软件。
并保证反病毒软件实时升级。
6、医院任何科室如发现或怀疑有计算机病毒侵入,应立即断开网络,同时通知信息科技术人员负责处理。
信息科应采取措施清除,并向主管院领导报告备案。
7、医院计算机内不得安装游戏、即时通讯等与工作无关的软件,尽量不在院内计算机上使用来历不明的移动存储工具。
(二)网络使用人员行为规范1、不得在医院网络中制作、复制、查阅和传播国家法律、法规所禁止的信息。
2、不得在医院网络中进行国家相关法律法规所禁止的活动。
3、未经允许,不得擅自修改计算机中与网络有关的设臵。
4、未经允许,不得私自添加、删除与医院网络有关的软件。
5、未经允许,不得进入医院网络或者使用医院网络资源。
6、未经允许,不得对医院网络功能进行删除、修改或者增加。
7、未经允许,不得对医院网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加。
8、不得故意制作、传播计算机病毒等破坏性程序。
9、不得进行其他危害医院网络安全及正常运行的活动。
(三)网络硬件的管理网络硬件包括服务器、路由器、交换机、通信线路、不间断供电设备、机柜、配线架、信息点模块等提供网络服务的设施及设备。
1、各职能部门、各科室应妥善保管安臵在本部门的网络设备、设施及通信。
2、不得破坏网络设备、设施及通信线路。
由于事故原因造成的网络连接中断的,应根据其情节轻重予以处罚或赔偿。
公司信息安全保密制度(5篇)
公司信息安全保密制度第一部分:总则1.1 目的和范围本制度的目的是确保公司的信息资源的机密性、完整性和可用性,保护公司的商业秘密和客户信息,预防信息泄露、滥用和损害,以维护公司的经济利益和声誉。
本制度适用于公司的全体员工、合作伙伴以及任何使用公司信息资源的人员。
1.2 遵守法律和合规要求公司的信息安全保密制度必须遵守适用的法律法规和政府部门的相关要求,并及时更新制度以满足法律和合规要求的变化。
1.3 保密责任和义务公司全体员工对于所知悉的公司信息和客户信息负有保密的责任和义务,不得私自泄露、篡改、盗用或滥用相关信息。
员工有义务采取适当的措施保护公司信息资源的安全性和完整性。
第二部分:信息安全管理体系2.1 信息分类和级别公司将信息资源划分为不同的级别,根据信息的价值和敏感程度采取不同的保护措施。
常见的信息级别包括:公开级、内部级、机密级和绝密级。
2.2 信息安全责任制公司设立信息安全管理部门,负责制定和实施信息安全的政策、制度、措施和技术。
各部门和员工应按照岗位职责和权限履行信息安全责任,承担相应的信息安全保密责任。
2.3 信息资产清单和管理公司建立信息资产清单,明确对各类信息资源的归属、责任人和管理措施。
针对重要的信息资产,采取必要的保护措施,包括备份、加密、访问控制、监控等。
2.4 风险评估和控制公司进行定期的信息安全风险评估,确定可能存在的信息安全风险和威胁,并采取相应的控制措施来减轻风险。
2.5 内部安全管理公司建立适当的内部安全管理措施,包括实施员工背景调查、访问控制、权限管理、事件管理等,确保信息资源的安全和可控。
第三部分:保密管理3.1 保密意识培训公司对所有员工进行信息安全保密意识培训,包括保密政策、保密责任、保密意识等方面,提高员工对信息安全的认识和重视程度。
3.2 保密协议和保密审查涉及有商业秘密或客户信息的员工必须签署保密协议,并接受保密审查。
保密协议明确员工对于所知的未公开信息的保密责任和义务,并约定违反保密协议的后果和法律责任。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全制度1总则第1条为规范信息安全管理工作,加强过程管理和基础设施管理的风险分析及防范,建立安全责任制,健全安全内控制度,保证信息系统的机密性、完整性、可用性,特制定本规定。
2适用范围第2条本规定适用于。
3管理对象第3条管理对象指组成计算机信息系统的系统、设备和数据等信息资产和人员的安全。
主要范围包括:人员安全、物理环境安全、资产识别和分类、风险管理、物理和逻辑访问控制、系统操作与运行安全、网络通讯安全、信息加密与解密、应急与灾难恢复、软件研发与应用安全、机密资源管理、第三方与外包安全、法律和标准的符合性、项目与工程安全控制、安全检查与审计等。
4第四章术语定义DMZ:用于隔离内网和外网的区域,此区域不属于可信任的内网,也不是完全开放给因特网。
容量:分为系统容量和环境容量两方面。
系统容量包括CPU、内存、硬盘存储等。
环境容量包括电力供应、湿度、温度、空气质量等。
安全制度:与信息安全相关的制度文档,包括安全管理办法、标准、指引和程序等。
安全边界:用以明确划分安全区域,如围墙、大厦接待处、网段等。
恶意软件:包括计算机病毒、网络蠕虫、木马、流氓软件、逻辑炸弹等。
备份周期:根据备份管理办法制定的备份循环的周期,一个备份周期的内容相当于一个完整的全备份。
系统工具:能够更改系统及应用配置的程序被定义为系统工具,如系统管理、维护工具、调试程序等。
消息验证:一种检查传输的电子消息是否有非法变更或破坏的技术,它可以在硬件或软件上实施。
数字签名:一种保护电子文档真实性和完整性的方法。
例如,在电子商务中可以使用它验证谁签署电子文档,并检查已签署文档的内容是否被更改。
信息处理设备:泛指处理信息的所有设备和信息系统,包括网络、服务器、个人电脑和笔记本电脑等。
不可抵赖性服务:用于解决交易纠纷中争议交易是否发生的机制。
电子化办公系统:包括电子邮件、KOA系统以及用于业务信息传送及共享的企业内部网。
5安全制度方面5.1 安全制度要求5.1.1本制度的诠释第4条所有带有“必须”的条款都是强制性的。
除非事先得到安全管理委员会的认可,否则都要坚决执行。
其它的条款则是强烈建议的,只要实际可行就应该被采用。
第5条所有员工都受本制度的约束,各部门领导有责任确保其部门已实施足够的安全控制措施,以保护信息安全。
第6条各部门的领导有责任确保其部门的员工了解本安全管理制度、相关的标准和程序以及日常的信息安全管理。
第7条安全管理代表(或其指派的人员)将审核各部门安全控制措施实施的准确性和完整性,此过程是公司例行内部审计的一部分。
5.1.2制度发布第8条所有制度在创建和更新后,必须经过相应管理层的审批。
制度经批准之后必须通知所有相关人员。
5.1.3制度复审第9条当环境改变、技术更新或者业务本身发生变化时,必须对安全制度重新进行评审,并作出相应的修正,以确保能有效地保护公司的信息资产。
第10条安全管理委员会必须定期对本管理办法进行正式的复审,并根据复审所作的修正,指导相关员工采取相应的行动。
6组织安全方面6.1 组织内部安全6.1.1信息安全体系管理第11条公司成立安全管理委员会,安全管理委员会是公司信息安全管理的最高决策机构,安全管理委员会的成员应包括总裁室主管IT领导、公司安全审计负责人、公司法律负责人等。
第12条信息安全管理代表由信息安全管理委员会指定,一般应包含稽核部IT稽核岗、信息管理部信息安全相关岗位及分公司IT 岗。
第13条安全管理委员会通过清晰的方向、可见的承诺、详细的分工,积极地支持信息安全工作,主要包括以下几方面:1)确定信息安全的目标符合公司的要求和相关制度;2)阐明、复查和批准信息安全管理制度;3)复查信息安全管理制度执行的有效性;4)为信息安全的执行提供明确的指导和有效的支持;5)提供信息安全体系运作所需要的资源6)为信息安全在公司执行定义明确的角色和职责;7)批准信息安全推广和培训的计划和程序;8)确保信息安全控制措施在公司内被有效的执行。
第14条安全管理委员会需要对内部或外部信息安全专家的建议进行评估,并检查和调整建议在公司内执行的结果。
第15条必须举行信息安全管理会议,会议成员包括安全管理委员会、安全管理代表和其他相关的公司高层管理人员。
第16条信息安全管理会议必须每年定期举行,讨论和审批信息安全相关事宜,具体包括以下内容1)复审本管理制度的有效性2)复审技术变更带来的影响3)复审安全风险4)审批信息安全措施及程序5)审批信息安全建议6)确保任何新项目规划已考虑信息安全的需求7)复审安全检查结果和安全事故报告8)复审安全控制实施的效果和影响9)宣导和推行公司高层对信息安全管理的指示6.1.2信息安全职责分配第17条信息管理部门作为信息安全管理部门,负责信息安全管理策略制定及实施,其主要职责:(一)负责全公司信息安全管理和指导;(二)牵头制订全公司信息安全体系规范、标准和检查指引,参与我司信息系统工程建设的安全规划;(三)组织全公司安全检查;(四)配合全公司安全审计工作的开展;(五)牵头组织全公司安全管理培训;(六)负责全公司安全方案的审核和安全产品的选型、购置。
(七)依据本规定、安全规范、技术标准、操作手册实施各类安全策略。
(八)负责各类安全策略的日常维护和管理。
第18条各分公司信息管理部门作为信息安全管理部门,其主要职责:(一)根据本规定、信息安全体系规范、标准和检查指引,组织建立安全管理流程、手册;(二)组织实施内部安全检查;(三)组织安全培训;(四)负责机密信息和机密资源的安全管理;(五)负责安全技术产品的使用、维护、升级;(六)配合安全审计工作的开展;(七)定期上报本单位信息系统安全情况,反馈安全技术和管理的意见和建议。
(八)依据本规定、安全规范、技术标准、操作手册实施各类安全策略。
(九)负责各类安全策略的日常维护和管理。
6.1.3信息处理设备的授权第19条新设备的采购和设备部署的审批流程应该充分考虑信息安全的要求。
第20条新设备在部署和使用之前,必须明确其用途和使用范围,并获得安全管理委员会的批准。
必须对新设备的硬件和软件系统进行详细检查,以确保它们的安全性和兼容性。
第21条除非获得安全管理委员会的授权,否则不允许使用私人的信息处理设备来处理公司业务信息或使用公司资源。
6.1.4独立的信息安全审核第22条必须对公司信息安全控制措施的实施情况进行独立地审核,确保公司的信息安全控制措施符合管理制度的要求。
审核工作应由公司的审计部门或专门提供此类服务的第三方组织负责执行。
负责安全审核的人员必须具备相应的技能和经验。
第23条独立的信息安全审核必须每年至少进行一次。
6.2 第三方访问的安全性6.2.1明确第三方访问的风险第24条必须对第三方对公司信息或信息系统的访问进行风险评估,并进行严格控制,相关控制须考虑物理上和逻辑上访问的安全风险。
只有在风险被消除或降低到可接受的水平时才允许其访问。
第25条第三方包括但不限于:1) 硬件和软件厂商的支持人员和其他外包商2) 监管机构、外部顾问、外部审计机构和合作伙伴3) 临时员工、实习生4) 清洁工和保安5) 公司的客户第26条第三方对公司信息或信息系统的访问类型包括但不限于:1) 物理的访问,例如:访问公司大厦、职场、数据中心等;2) 逻辑的访问,例如:访问公司的数据库、信息系统等;3) 与第三方之间的网络连接,例如:固定的连接、临时的远程连接;第27条第三方所有的访问申请都必须经过信息安全管理代表的审批,只提供其工作所须的最小权限和满足其工作所需的最少资源,并且需要定期对第三方的访问权限进行复查。
第三方对重要信息系统或地点的访问和操作必须有相关人员陪同。
第28条公司负责与第三方沟通的人员必须在第三方接触公司信息或信息系统前,主动告知第三方的职责、义务和需要遵守的规定,第三方必须在清楚并同意后才能接触相应信息或信息系统。
所有对第三方的安全要求必须包含在与其签订的合约中。
6.2.2当与客户接触时强调信息安全第29条必须在允许客户访问信息或信息系统前识别并告知其需要遵守的安全需求。
采取相应的保护措施保护客户访问的信息或信息系统。
6.2.3与第三方签订合约的安全要求第30条与第三方合约中应包含必要的安全要求,如:访问、处理、管理公司信息或信息系统的安全要求。
7信息资产与人员安全7.1 资产责任7.1.1资产的清单第31条应清楚识别所有的资产,所有与信息相关的重要资产都应该在资产清单中标出,并及时维护更新。
这些资产包括但不限于∶1)信息:数据库和数据文件、系统文档、用户手册、培训材料、操作手册、业务连续性计划、系统恢复计划、备份信息和合同等。
2)软件:应用软件、系统软件、开发工具以及实用工具等。
3)实体:计算机设备(处理器、显示器、笔记本电脑、调制解调器等)、通讯设备(路由器、程控电话交换机、传真机等)、存储设备、磁介质(磁带和磁盘等)、其它技术设备(电源、空调器等)、机房等。
4)服务:通讯服务(专线)。
第32条资产清单必须每年至少审核一次。
在购买新资产之前必须进行安全评估。
资产交付后,资产清单必须更新。
资产的风险评估必须每年至少一次,主要评估当前已部署安全控制措施的有效性。
第33条实体资产需要贴上适当的标签。
7.1.2资产的管理权第34条所有资产都应该被详细说明,必须指明具体的管理者。
管理者可以是个人,也可以是某个部门。
管理者是部门的资产则由部门主管负责监护。
第35条资产管理者的职责是:1)确定资产的保密等级分类和访问管理办法;2)定期复查资产的分类和访问管理办法。
7.1.3资产的合理使用第36条必须识别信息和信息系统的使用准则,形成文件并实施。
使用准则应包括:1)使用范围2)角色和权限3)使用者应负的责任4)与其他系统交互的要求第37条所有访问信息或信息系统的员工、第三方必须清楚要访问资源的使用准则,并承担他们的责任。
公司的所有信息处理设备(包括个人电脑)只能被使用于工作相关的活动,不得用来炒股、玩游戏等。
滥用信息处理设备的员工将受到纪律处分。
7.2 信息分类7.2.1信息分类原则第38条所有信息都应该根据其敏感性、重要性以及业务所要求的访问限制进行分类和标识。
第39条信息管理者负责信息的分类,并对其进行定期检查,以确保分类的正确。
当信息被发布到公司外部,或者经过一段时间后信息的敏感度发生改变时,信息需要重新分类。
第40条信息的保密程度从高到低分为绝密、机密、秘密和非保密四种等级。
以电子形式保存的信息或管理信息资产的系统,需根据信息的敏感度进行标识。
含有不同分类信息的系统,必须按照其中的最高保密等级进行分类。
7.2.2信息标记和处理第41条必须建立相应的保密信息处理规范。
对于不同的保密等级,应明确说明如下信息活动的处理要求:1)复制2)保存和保管(以物理或电子方式)3)传送(以邮寄、传真或电子邮件的方式)4)销毁第42条电子文档和系统输出的信息(打印报表和磁带等)应带有适当的信息分类标记。