IT信息安全规范
宁波奥比特灌溉设备有限公司制定部门:IT部版次:01
文件名称:信息安全管理规定编订日期:2011年3月10日
页次:1 生效日期:2011年3月10日
1.0 目的
为了工厂内部资料及数据安全,对计算机使用及监控信息管理,特制订本规则。
2.0 适用范围
适用于公司所有人员,特别是计算机使用者及管理者。
3.0 主管部门
3.1 IT部负责制定此规定。
3.2 其它各部门配合该办法的实施。
4.0细则
4.1计算机使用员工
4.1.1.所有对公司计算机使用员工,必须严格按照IT部对各软件设置规范正确使用,遇到异常第一时间向IT部反应,以方便IT部迅速做出判断,尽快使问题得到解决。
4.1.2 对公司内部资料,包括各种表格/文档/员工信息/工程图等严禁带出厂外,一经发现从严查办,造成公司重大损失的将交与公安机关追究其法律责任.
4.1.3 公司各计算机,打印机,复印机,传真机等办公设备均属公司财产,严禁任何人员对其造成人为损坏或带出厂区使用,所有非正常使用或故意损坏的,按照公司采购价将给予赔偿,并交于行政人事部分给予处分。
4.1.4 对于公司监控系统是为了对整个厂区财产安全实施的一项电子监视措施,对所有人员人身安全及公司财产保护提供电子依据,除行政及IT技术外其它人不得擅自查看。
4.2 IT管理人员
4.2.1 保持良好职业道德,保证公司信息不泄露,及制定相应措施保证公司内部资料及数据信息安全,定期对各数据进入备份及加密,对各硬件设备定期维护,保证设备高效有序使用。
4.2.2 对各监控设备每隔一月做检查,包括对监控探头镜片清洁,线路检查,监控机维护,保证各探头收到有效数据,并成功保存。
4.2.3 各PC系统账号密码每42天提醒修改一次,对于不能按正常设置做出修改的,在服务器域中进行查看调整。
4.2.4 263企业邮箱设置为30天更改一次密码,如遇outlook出现密码验证错误时,及时进入后台管理系统进行调整。
4.2.5针对入职及离职人员PC账号邮箱账号,在离职或入职三天内作出禁用或建立新账号操作,以保证资料安全或快速进入工作。
4.2.6 对于网络外来入侵,公司Symantec设置为每周周六AM 3:00进行全部扫描,一旦发现不正常程序将对其先隔离再删除处理。
《电力行业网络与信息安全管理办法》 国能安全[2014]317号
电力行业网络与信息安全管理办法 第一章总则 第一条为加强电力行业网络与信息安全监督管理,规范电力行业网络与信息安全工作,根据《中华人民共和国计算机信息系统安全保护条例》及国家有关规定,制定本办法。 第二条电力行业网络与信息安全工作的目标是建立健全网络与信息安全保障体系和工作责任体系,提高网络与信息安全防护能力,保障网络与信息安全,促进信息化工作健康发展。 第三条电力行业网络与信息安全工作坚持“积极防御、综合防范”的方针,遵循“统一领导、分级负责,统筹规划、突出重点”的原则。 第二章监督管理职责 第四条国家能源局是电力行业网络与信息安全主管部门,履行电力行业网络与信息安全监督管理职责。国家能源局派出机构根据国家能源局的授权,负责具体实施本辖区电力企业网络与信息安全监督管理。 第五条国家能源局依法履行电力行业网络与信息安全监督管理工作职责,主要内容为:
(一)组织落实国家关于基础信息网络和重要信息系统安全保障工作的方针、政策和重大部署,并与电力生产安全监督管理工作相衔接; (二)组织制定电力行业网络与信息安全的发展战略和总体规划; (三)组织制定电力行业网络与信息安全等级保护、风险评估、信息通报、应急处置、事件调查与处理、工控设备安全性检测、专业人员管理、容灾备份、安全审计、信任体系建设等方面的政策规定及技术规范,并监督实施; (四)组织制定电力行业网络与信息安全应急预案,督促、指导电力企业网络与信息安全应急工作,组织或参加信息安全事件的调查与处理; (五)组织建立电力行业网络与信息安全工作评价与考核机制,督促电力企业落实网络与信息安全责任、保障网络与信息安全经费、开展网络与信息安全工程建设等工作; (六)组织开展电力行业网络与信息安全信息通报、从业人员技能培训考核等工作; (七)组织开展电力行业网络与信息安全的技术研发工作; (八)电力行业网络与信息安全监督管理的其它事项。 第三章电力企业职责 第六条电力企业是本单位网络与信息安全的责任主
网络信息安全需求分析.
网络信息安全需求分析 随着医院信息化建设步伐的不断加快,信息网络技术在医疗行业的应用日趋广泛,这些先进的技术给医院的管理带来了前所未有的便利,也提升了医院的管理质量和服务水平,同时医疗业务对行业信息和数据的依赖程度也越来越高,也带来了不可忽视的网络系统安全问题,本文主要从网络系统的硬件、软件及对应用系统中数据的保护,不受破坏、更改、泄露,系统连续可靠、正常地运行,网络服务不中断等方面探讨医院网络信息安全的需求。 医疗业务对行业信息和数据的依赖程度越来越高,带来了不可忽视的网络系统安全问题,现分析如下: 一、网络安全建设内容 在医院信息网络建设中,网络安全体系是确保其安全可靠运行的重要支柱,能否有效地保护信息资源,保护信息化健康、有序、可持续地发展,是关系到医院计算机网络建设成败的关键。 ①保障网络信息安全,要防止来自外部的恶意攻击和内部的恶意破坏。 ②运用网络的安全策略,实行统一的身份认证和基于角色的访问控制。 ③医院计算机网络提供统一的证书管理、证书查询验证服务及网络环境的安全。 ④建立和完善统一的授权服务体系,实现灵活有效的授权管理,解决复杂的权限访问控制问题。 ⑤通过日志系统对用户的操作进行记录。 二、网络安全体系建设 网络安全体系建设应从多个层次完整地、全方位地对医院的信息网络及应用情况进行分析,所制定的安全机制基本包括了对各种安全隐患的考虑,从而保护关键业务系统的正常运行,控制内网用户接入,避免患者电子信息以及医院重要数据的泄密。如图1。 2.1 物理设备安全需求 即使应用了功能最强大的安全软件,如果没有注意物理安全,会大大地破坏系统安全的整体性,攻击者会通过物理接触系统来达到破坏的目的,因此,物理安全是安全策略中最为关键的一步。 ①设备和操作系统都提供了通过物理接触绕过现有密码的功能。 ②机房内各服务器和网络设备均放置在上锁的机柜中,钥匙专人负责保管,同时要在中心机房安装视频监视设备进行监控。 ③网络整体要部署防雷系统,机房要有防静电地板,配线间注意散热且定期进
国家标准信息安全管理实用规则
国家标准《信息安全技术安全漏洞分类规范》 (征求意见稿)编制说明 一、工作简况 1.1任务来源 《信息安全技术安全漏洞分类规范》是国家标准化管理委员会2010年下达的信息安全国家标准制定项目,国标计划号为:20100385-T-469。由国家信息技术安全研究中心主要负责进行规范的起草,中国信息安全测评中心、中国科学院研究生院国家计算机网络入侵防范中心、国家计算机网络应急技术处理协调中心等单位参与起草。 1.2主要工作过程 1、2010年6月,组织参与本规范编写的相关单位召开项目启动会,成立规范编制小组,确立各自分工,进行初步设计,并听取各协作单位的相关意见。 2、2010年7月,根据任务书的要求,规范编制小组开展考察调研和资料搜集工作,按照需求分析整理出安全漏洞分类规范的框架结构。 3、2011年4月,按照制定的框架结构,确定分类的原则和方法,形成《安全漏洞分类规范》草稿V1.0。 4、2011年7月,课题组在专家指导下,积极采纳国外相关漏洞分类的原则,形成《安全漏洞分类规范》草稿V1.1。 5、2011年8月26日,规范编制小组在积极采纳专家意见的基础上,对规范内容进行修改,形成《安全漏洞分类规范》草稿V1.2。 6、2013年8月28日,安标委秘书处组织了该标准的专家评审,编制小组听取了专家意见,对标准文本的内容进行修订、简化,形成《安全漏洞分类规范》草稿V1.3。 7、2014年11月,安标委WG5工作组对《安全漏洞分类规范》标准草案稿进行了投票表决,通过了本标准。投票表决中相关单位和专家提出了一些修改建议和意见,标准编制组对意见进行了逐条分析和理解,对标准文本进行了完善,形成了《安全漏洞分类规范》征求意见稿及相关文件。 二、编制原则和主要内容 2.1 编制原则
公司信息安全管理制度正式版
Through the joint creation of clear rules, the establishment of common values, strengthen the code of conduct in individual learning, realize the value contribution to the organization.公司信息安全管理制度正 式版
公司信息安全管理制度正式版 下载提示:此管理制度资料适用于通过共同创造,促进集体发展的明文规则,建立共同的价值观、培 养团队精神、加强个人学习方面的行为准则,实现对自我,对组织的价值贡献。文档可以直接使用, 也可根据实际需要修订后使用。 信息安全是指通过各种策略保证公司计算机设备、信息网络平台(内部网络系统及ERP、CRM、WMS、网站、企业邮箱等)、电子数据等的安全、稳定、正常,旨在规范与保护信息在传输、交换和存储、备份过程中的机密性、完整性和真实性。为加强公司信息安全的管理,预防信息安全事故的发生,特制定本管理制度。本制度适用于使用新合程计算机设备、信息系统、网络系统的所有人员。 1.计算机设备安全管理 1.1员工须使用公司提供的计算机设备
(特殊情况的,经批准许可的方能使用自已的计算机),不得私自调换或拆卸并保持清洁、安全、良好的计算机设备工作环境,禁止在计算机使用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 1.2严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件,当计算机出现硬件故障时应及时向信息技术部报告,不允许私自处理和维修。 1.3员工对所使用的计算机及相关设备的安全负责,如暂时离开座位时须锁定系统,移动介质自行安全保管。未经许可,不得私自使用他人计算机或相关设备,不得
信息安全管理制度
1目的 为加强公司内部信息安全保障体系建设、提升公司内部针对数据信息风险识别、评估和预防能力,从而达到规避信息安全问题给公司带来经济损失和经营风险。 2适用范围 本制度适应公司信息安全管理(网络、软件系统、网络设备、机房等)。 3名词解释 3.1信息:是指音讯、消息、通讯系统传输和处理的对象,泛指公司运营过程中所产生具备可再利用 价值数据载体。按照数据来源方式,可将公司信息大致分为:技术信息、商务信息、财务信息、生产设备信息。 3.2信息安全:是指保护信息及信息系统免受未经授权的进入、使用、披露、破坏、修改、检视、记录 及销毁。 4功能权责 4.1 IT部:负责整个公司网络信息安全统筹管理、研发服务器上的应该用管理、维护、数据备份和定 期巡检,研发内部信息安全的审查。以及负责本制度制订、解释和执行情况监督。 4.2研发部:负责对PDM、PLM、以及开发专用软件及工具的使用管理,必要生产资料的发放,且负 责本制度内部宣导、执行和监督。 4.3 公司各部门:负责对个人办公涉及硬件、软件、网络等相关资源管理,且负责本制度内部宣导、 执行和监督。 5制度说明 5.1计算机设备安全管理 5.1.1严禁使用个人计算机接入公司网络或进行办公用途。若因工作需要必须使用个人电脑的, 必须提交《USB存储、个人邮箱/计算机权限申请单》申请,经公司总经理批准后由IT部 携带卡方可带入公司使用,并且进出公司大门时需要在保安处登记。如有违反,对违规电 脑一律进行全盘格式化处理,并全公司范围通报批评。如对公司造成损失的,视情节严重 情况,予以追究相应责任。 5.1.2禁止对办公计算机进行一切未授权的外部访问,包括光盘引导、U盘引导、硬盘引导等非 法访问方式。 5.1.3因公出差人员,如需外带笔记本电脑,应提前申请,并说明出差事由、时间等信息,由IT 部统一配置,并对所存储资料进行加密处理。出差结束后应及时归还借用笔记本电脑,并 由IT部对使用情况进行安全审计,如有异常及时上报。 5.1.4公司所有员工应保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中
网络与信息安全管理规定
网络与信息安全管理规 定 集团文件版本号:(M928-T898-M248-WU2669-I2896-DQ586-M1988)
网络与信息安全管理制度 1. 组织工作人员认真学习《计算机信息网络国际互联网安全保护管理办法》,提高工作人员的维护网络安全的警惕性和自觉性。 2. 负责对本网络用户进行安全教育和培训,使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》,使他们具备基本的网络安全知识。 3. 加强对单位的信息发布和BBS公告系统的信息发布的审核管理工作,杜绝违犯《计算机信息网络国际互联网安全保护管理办法》的内容出现。 4. 一旦发现从事下列危害计算机信息网络安全的活动的: (一)未经允许进入计算机信息网络或者使用计算机信息网络资源; (二)未经允许对计算机信息网络功能进行删除、修改或者增加; (三)未经允许对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加; (四)故意制作、传播计算机病毒等破坏性程序的; (五)从事其他危害计算机信息网络安全的活动。做好记录并立即向当地报告。 5. 在信息发布的审核过程中,如发现有以下行为的: (一)煽动抗拒、破坏宪法和法律、行政法规实施 (二)煽动颠覆,推翻 (三)煽动分裂国家、破坏国家统一 (四)煽动民族仇恨、民族歧视、破坏民族团结 (五)捏造或者歪曲事实、散布谣言,扰乱社会秩序 (六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪 (七)公然侮辱他人或者捏造事实诽谤他人 (八)损害国家机关信誉 (九)其他违反宪法和法律、行政法规将一律不予以发布,并保留有关原始记录,在二十四小时内向当地报告。
解读国标GBT 35273-2017《信息安全技术个人信息安全规范》
解读国标GBT 35273-2017《信息安全技术个人信息安全规范》 发布时间:2018-01-28浏览:578 按照国家标准化管理委员会2017年第32号中国国家标准公告,全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》于2017年12月29日正式发布,将于2018年5月1日实施。 本文重点提炼个人信息的保存、个人信息安处理以及组织的管理要求等方面内容,解读国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》。 一、《信息安全技术个人信息安全规范》第六点“个人信息的保存”,对个人信息控制者对个人信息的保存提出具体要求,包括以下内容: 6.1 个人信息保存时间最小化 对个人信息控制者的要求包括: a) 个人信息保存期限应为实现目的所必需的最短时间; b) 超出上述个人信息保存期限后,应对个人信息进行删除或匿名化处理。 6.2 去标识化处理 收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将去标识化后的数据与可用于恢复识别个人的信息分开存储,并确保在后续的个人信息处理中不重新识别个人。 6.3 个人敏感信息的传输和存储 对个人信息控制者的要求包括: a) 传输和存储个人敏感信息时,应采用加密等安全措施; b) 存储个人生物识别信息时,应采用技术措施处理后再进行存储,例如仅存储个人生物识别信息的摘要。 6.4 个人信息控制者停止运营 当个人信息控制者停止运营其产品或服务时,应: a) 及时停止继续收集个人信息的活动; b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体; c) 对其所持有的个人信息进行删除或匿名化处理。 二、《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”,对个人信息控制者处理个人信息安全事件的方式方法提出具体要求,包括以下内容: 9.1 安全事件应急处置和报告 对个人信息控制者的要求包括: a) 应制定个人信息安全事件应急预案; b) 应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程; c) 发生个人信息安全事件后,个人信息控制者应根据应急响应预案进行以下处置: 1) 记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门; 2) 评估事件可能造成的影响,并采取必要措施控制事态,消除隐患; 3) 按《国家网络安全事件应急预案》的有关规定及时上报,报告内容包括但不限于:涉及个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响,已采取或
公司IT信息安全管理制度.doc
公司IT信息安全管理制度4 富世康公司IT信息安全管理制度 第一条总则通过加强公司计算机系统、办公网络、服务器系统的管理,保证网络系统安全运行,保证公司机密文件的安全,保障服务器、数据库的安全运行。加强计算机使用人员的安全意识,确保计算机系统正常运转。 第二条范围 1、计算机网络系统由计算机硬件设备、软件及客户机的网络系统配置组成。 2、软件包括:服务器操作系统、SQL数据库、金蝶财务软件、浩龙餐饮管理软件、思迅商业管理软件、今目标办公自动化系统、微励系统及其它办公软件。 3、客户机的网络系统配置包括客户机在网络上的名称,IP 地址分配,用户登陆名称、用户密码、及Internet的配置等。 4、系统软件是指:操作系统(如WINDOWS XP、SERVER2008、WINDOWS7等)软件。 第三条职责 1、信息部为网络安全运行的管理部门,负责公司计算机网络系统、计算机系统、数据库系统的日常维护和管理。 2、负责系统软件的调研、采购定型、安装、升级、保管工作。
3、网络管理人员负责计算机网络系统、办公自动化系统、平台系统的安全运行;服务器安全运行和数据备份;Internet对外接口安全以及计算机系统防病毒管理;各种软件的用户密码及权限管理协助各部门进行数据备份和数据归档。 4、网络管理人员执行公司保密制度,严守公司商业机密。 5、员工执行计算机安全管理制度,遵守公司保密制度。 6、系统管理员的密码必须由网络管理部门相关人员掌握。 第三条管理办法 I、公司计算机使用管理制度 1、从事计算机网络信息活动时,必须遵守《计算机信息网络国际联网安全保护管理办法》的规定,应遵守国家法律、法规,加强信息安全教育。 2、计算机等硬件设备由公司统一配置并定位,任何部门和个人不得允许私自挪 用调换、外借和移动电脑。 3、电脑硬件及其配件添置应列出清单报审计部,在征得公司领导同意后,由信息部负责进行添置。 4、电脑操作应按规定的程序进行。 (1)电脑的开、关机应按按正常程序操作,因非法操作而使电脑不能正常使用的,修理费用由该部门负责;
信息安全管理制度-网络安全设备配置规范1.doc
信息安全管理制度-网络安全设备配置规范 1 网络安全设备配置规范 XXX 2011年1月 网络安全设备配置规范 1防火墙 1.1防火墙配置规范 1.要求管理员分级,包括超级管理员、安全管理员、日志管理员等, 并定义相应的职责,维护相应的文档和记录。 2.防火墙管理人员应定期接受培训。 3.对防火墙管理的限制,包括,关闭telnet、http、ping、snmp 等, 以及使用SSH而不是telnet远程管理防火墙。 4.账号管理是否安全,设置了哪些口令和帐户策略,员工辞职,如 何进行口令变更?
1.2变化控制 1.防火墙配置文件是否备份?如何进行配置同步? 2.改变防火墙缺省配置。 3.是否有适当的防火墙维护控制程序? 4.加固防火墙操作系统,并使用防火墙软件的最新稳定版本或补丁, 确保补丁的来源可靠。 5.是否对防火墙进行脆弱性评估/测试?(随机和定期测试) 1.3规则检查 1.防火墙访问控制规则集是否和防火墙策略一致?应该确保访问控 制规则集依从防火墙策略,如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等,以满足用户安全需求,实现安全目标。 2.防火墙访问控制规则是否有次序性?是否将常用的访问控制规则 放在前面以增加防火墙的性能?评估防火墙规则次序的有效性。 防火墙访问控制规则集的一般次序为:
?反电子欺骗的过滤(如,阻断私有地址、从外口出现的内部地 址) ?用户允许规则(如,允许HTTP到公网Web服务器) ?管理允许规则 ?拒绝并报警(如,向管理员报警可疑通信) ?拒绝并记录(如,记录用于分析的其它通信) 防火墙是在第一次匹配的基础上运行,因此,按照上述的次序配置防火墙,对于确保排除可疑通信是很重要的。 3.防火墙访问控制规则中是否有保护防火墙自身安全的规则 4.防火墙是否配置成能抵抗DoS/DDoS攻击? 5.防火墙是否阻断下述欺骗、私有(RFC1918)和非法的地址 ?标准的不可路由地址(255.255.255.255、127.0.0.0) ?私有(RFC1918)地址(10.0.0.0 –10.255.255.255、 172.16.0.0 –172.31..255.255、192.168.0.0 – 192.168.255.255) ?保留地址(224.0.0.0)
信息安全风险评估需求方案完整版
信息安全风险评估需求 方案 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】
信息安全风险评估需求方案 一、项目背景 多年来,天津市财政局(地方税务局)在加快信息化建设和信息系统开发应用的同时,高度重视信息安全工作,采取了很多防范措施,取得了较好的工作效果,但同新形势、新任务的要求相比,还存在有许多不相适应的地方。2009年,国家税务总局和市政府分别对我局信息系统安全情况进行了抽查,在充分肯定成绩的同时,也指出了我局在信息安全方面存在的问题。通过抽查所暴露的这些问题,给我们敲响了警钟,也对我局信息安全工作提出了新的更高的要求。 因此,天津市财政局(地方税务局)在对现有信息安全资源进行整合、整改的同时,按照国家税务总局信息安全管理规定,结合本单位实际情况确定实施信息安全评估、安全加固、应急响应、安全咨询、安全事件通告、安全巡检、安全值守、安全培训、应急演练服务等工作内容(以下简称“安全风险评估”),形成安全规划、实施、检查、处置四位一体的长效机制。 二、项目目标 通过开展信息“安全风险评估”, 完善安全管理机制;通过安全服务的引入,进一步建立健全财税系统安全管理策略,实现安全风险的可知、可控和可管理;通过建立财税系统信息安全风险评估机制,实现财税系统信息安全风险的动态跟踪分析,为财税系统信息安全整体规划提供科学的决策依据,进一步加强财税内部网络的
整体安全防护能力,全面提升我局信息系统整体安全防范能力,极大提高财税系统网络与信息安全管理水平;通过深入挖掘网络与信息系统存在的脆弱点,并以业务系统为关键要素,对现有的信息安全管理制度和技术措施的有效性进行评估,不断增强系统的网络和信息系统抵御风险安全风险能力,促进我局安全管理水平的提高,增强信息安全风险管理意识,培养信息安全专业人才,为财税系统各项业务提供安全可靠的支撑平台。 三、项目需求 (一)服务要求 1基本要求 “安全风险评估服务”全过程要求有据可依,并在产品使用有据可查,并保持项目之后的持续改进。针对用户单位网络中的IT 设备及应用软件,需要有软件产品识别所有设备及其安全配置,或以其他方式收集、保存设备明细及安全配置,进行资产收集作为建立信息安全体系的基础。安全评估的过程及结果要求通过软件或其他形式进行展示。对于风险的处理包括:协助用户制定安全加固方案、在工程建设及日常运维中提供安全值守、咨询及支持服务,通过安全产品解决已知的安全风险。在日常安全管理方面提供安全支持服务,并根据国家及行业标准制定信息安全管理体系,针对安全管理员提供安全培训,遇有可能的安全事件发生时,提供应急的安全分析、紧急响应服务。
国内外信息安全标准
国内外信息安全标准 姓名杨直霖 信息安全标准是解决有关信息安全的产品和系统在设计、研发、生产、建设、使用、检测认证中的一致性、可靠性、可控性,先进性和符合性的技术规范和技术依据。因此,世界各国越来越重视信息安全产品认证标准的制修订工作。 国外信息安全标准发展现状:CC标准(Common Criteria for Information Technology Security Evaluation)是信息技术安全性评估标准,用来评估信息系统和信息产品的安全性。CC标准源于世界多个国家的信息安全准则规范,包括欧洲ITSEC、美国TCSEC(桔皮书)、加拿大CTCPEC 以及美国的联邦准则(Federal Criteria)等,由6个国家(美国国家安全局和国家技术标准研究所、加拿大、英国、法国、德国、荷兰)共同提出制定。 国际上,很多国家根据CC标准实施信息技术产品的安全性评估与认证。1999年被转化为国际标准ISO/IEC15408-1999《Information technology-Security techniques-Evaluation criteria for IT security》,目前,最新版本ISO/IEC15408-2008采用了。 用于CC评估的配套文档CEM标准(Common Methodology for Information Technology Security Evaluation)提供了通用的评估方法,并且跟随CC标准版本的发展而更新。CEM标准主要描述了保护轮廓(PP-Protection Profile)、安全目标(ST-Security Target)和不同安全保证级产品的评估要求和评估方法。CEM标准于2005年成为国际标准ISO/IEC18045《Information technology-Security techniques-Methodology for ITsecurity evaluation》。 国内信息安全标准:为了加强信息安全标准化工作的组织协调力度,国家标准化管理委员会批准成立了全国信息安全标准化技术委员会(简称“信安标委会”编号为TC260)。在信安标委会的协调与管理下,我国已经制修订了几十个信息安全标准,为信息安全产品检测认证提供了技术基础。 2001年,我国将ISO/IEC15408-1999转化为国家推荐性标准GB/T18336-2001 (CC 《信息技术安全技术信息技术安全性评估准则》。目前,国内最新版本GB/T18336-2008采用了 IS0/IEC15408-2005.即CC 。 我国信息安全标准借鉴了GB/T 18336结构框架和技术要求,包括安全功能要求、安全保证要求和安全保证级的定义方法,以及标准的框架结构等。例如,GB/T20276-2006《信息安全技术智能卡嵌入式软件安全技术要求(EAL4增强级)》借用了PP的结构和内容要求,包括安全环境、安全目的和安全要求(安全功能要求和安全保证要求)等内容,以及CC标准预先定义的安全保证级别(EAL4)。同时,结合国内信息安全产品产业的实际情况,我国信息安全标准还规定了产品功能要求和性能要求,以及产品的测试方法。有些标准描述产品分级要求时,还考虑了产品功能要求与性能要求方面的影响因素。 国外信息安全现状 信息化发展比较好的发达国家,特别是美国,非常重视国家信息安全的管理工作。美、俄、日等国家都已经或正在制订自己的信息安全发展战略和发展计划,确保信息安全沿着正确的方向发展。美国信息安全管理的最高权力机构是美国国土安全局,分担信息安全管理和执行的机构有美国国家安全局、美国联邦调查局、美国国防部等,主要是根据相应的方针和政策结合自己部门的情况实施信息安全保障工作。2000年初,美国出台了电脑空间安全计划,旨在加强关键基础设施、计算机系统网络免受威胁的防御能力。2000年7月,日本信息技术战略本部及信息安全
信息安全管理制度
北京XXXXXXXXXXXXX 信息安全管理制度 制定部门:技术部与行政部 制定人:XXX 制定时间:2016.4.21
1.安全管理制度要求 总则为了切实有效的保证公司信息安全,提高信息系统为公司生产经营的服务力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全行管理,以确保网络与信息安全。 1.1.1建立文件化的安全管理制度,安全管理制度文件应包括: a安全岗位管理制度 b系统操作权限管理; c安全培训制度; d用户管理制度 e新服务、新功能安全评估 f用户投诉举报处理; g信息发布审核、合法资质查验和公共信息巡查; h个人电子信息安全保护;安全事件的监测、报告和和应急处置制度;现行法律、法规、规章、标准和行政审批文件。 1.1.2安全管理制度应经过管理层批准,并向所有员工宣贯 2.机构要求 2.1法律责任 2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。 2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。 3.人员安全管理 3.1安全岗位管理制度 建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位管理制度应包括保密管理。 3.2关键岗位人员 3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行,包括: 1.个人身份核查 2.个人履历的核查 3.学历、学位、专业资质证明 4.从事关键岗位所必须的能力 3.2.2应与关键岗位人员签订保密协议。 安全培训 建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员是 1上岗前的培训 2.安全制度及其修订后的培训 3.法律、法规的发展保持同步的继绩培训。 应严格规范人员离岗过程: a及时终止离岗员工的所有访间权限; b关键岗位人员须承诺调离后的保密义务后方可离开; c配合公安机关工作的人员变动应通报公安机关。 3.4人员离岗 应严格规范人员离岗过程 a及时终止离岗员工的所有访间权限; b关键岗位人员须承诺调离后的保密义务后方可离开;
网络数据和信息安全管理规范
X X X X有限公司 WHB-08 网络数据和信息安全管理规范 版本号: A/0 编制人: XXX 审核人: XXX 批准人: XXX 20XX年X月X日发布 20XX年X月X日实施
目的 计算机网络为公司局域网提供网络基础平台服务和互联网接入服务。为保证公司计算机信息及网络能够安全可靠的运行,充分发挥信息服务方面的重要作用,更好的为公司运营提供服务,依据国家有关法律、法规的规定,结合公司实际情况制定本规定。 术语 本规范中的名词术语(比如“计算机信息安全”等)符合国家以及行业的相关规定。计算机信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法系统辨识,控制。即确保信息的完整性、保密性、可用性和可控性。包括操作系统安全、数据库安全、病毒防护、访问权限控制、加密与鉴别等七个方面。 狭义上的计算机信息安全,是指防止有害信息在计算机网络上的传播和扩散,防止计算机网络上处理、传输、存储的数据资料的失窃和毁坏,防止内部人员利用计算机网络制作、传播有害信息和进行其他违法犯罪活动。 网络安全,是指保护计算机网络的正常运行,防止网络被入侵、攻击等,保证合法用户对网络资源的正常访问和对网络服务的正常使用。 计算机及网络安全员,是指从事的保障计算机信息及网络安全工作的人员。 普通用户,是指除了计算机及网络安全员之外的所有在物理或者逻辑上能够访问到互联网、企业计算机网及各应用系统的公司内部员工。 主机系统,指包含服务器、工作站、个人计算机在内的所有计算机系统。本规定所称的重要主机系统指生产、办公用的Web服务器、Email服务器、DNS服务器、OA服务器、企业运营管理支撑系统服务器、文件服务器、各主机系统等。 网络服务,包含通过开放端口提供的网络服务,如WWW、Email、FTP、Telnet、DNS等。有害信息,参见国家现在法律法规的定义。 重大计算机信息安全事件,是指公司对外网站(电子公告板等)上出现有害信息;有害信息通过Email及其他途径大面积传播或已造成较大社会影响;计算机病毒的蔓延;重要文件、数据、资料被删除、篡改、窃取;由安全问题引起的系统崩溃、网络部分或全部瘫痪、网络服务部分或全部中断;系统被入侵;页面被非法替换或者修改;主机房及设备被人为破坏;重要计算机设备被盗窃等事件。 组织架构及职责分工 公司设立计算机信息及网络安全领导小组,作为公司计算机信息安全工作的领导机构,统一归口负责外部部门(政府和其他部门)有关计算机信息安全工作和特定事件的处理。
信息安全管理制度
信息安全管理制度 为加强公司各信息系统管理,保证信息系统安全,根据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》,及上级信息管理部门的相关规定和要求,结合公司实际,制定本制度。 本制度包括网络安全管理、信息系统安全保密制度、信息安全风险应急预案 网络安全管理制度 第一条公司网络的安全管理,应当保障网络系统设备和配套设施的安全,保障信息的安全,保障运行环境的安全。 第二条任何单位和个人不得从事下列危害公司网络安全的活动: 1、任何单位或者个人利用公司网络从事危害公司计算机网络及信息系统的安全。 2、对于公司网络主结点设备、光缆、网线布线设施,以任何理由破坏、挪用、改动。 3、未经允许,对信息网络功能进行删除、修改或增加。 4、未经允许,对计算机信息网络中的共享文件和存储、处理或传输的数据和应用程序进行删除、修改或增加。 5、故意制作、传播计算机病毒等破坏性程序。
6、利用公司网络,访问带有“黄、赌、毒”、反动言论内容的网站。 7、向其它非本单位用户透露公司网络登录用户名和密码。 8、其他危害信息网络安全的行为。 第三条各单位信息管理部门负责本单位网络的安全和信息安全工作,对本单位单位所属计算机网络的运行进行巡检,发现问题及时上报信息中心。 第四条连入公司网络的用户必须在其本机上安装防病毒软件,一经发现个人计算机由感染病毒等原因影响到整体网络安全,信息中心将立即停止该用户使用公司网络,待其计算机系统安全之后方予开通。 第五条严禁利用公司网络私自对外提供互联网络接入服务,一经发现立即停止该用户的使用权。 第六条对网络病毒或其他原因影响整体网络安全的子网,信息中心对其提供指导,必要时可以中断其与骨干网的连接,待子网恢复正常后再恢复连接。
网络与信息安全管理条例
信息安全要从法律、管理和技术三个方面着手 第一章信息安全概述 第一节信息技术 一、信息技术的概念 信息技术(Information Technology,缩写IT),是主要用于管理和处理信息所采用的各种技术的总称。它主要是应用计算机科学和通信技术来设计、开发、安装和实施信息系统及应用软件。它也常被称为信息和通信技术(Information and Communications Technology, ICT)。主要包括传感技术、计算机技术和通信技术。 有人将计算机与网络技术的特征——数字化、网络化、多媒体化、智能化、虚拟化,当作信息技术的特征。我们认为,信息技术的特征应从如下两方面来理解: 1. 信息技术具有技术的一般特征——技术性。具体表现为:方法的科学性,工具设备 的先进性,技能的熟练性,经验的丰富性,作用过程的快捷性,功能的高效性等。 2. 信息技术具有区别于其它技术的特征——信息性。具体表现为:信息技术的服务主 体是信息,核心功能是提高信息处理与利用的效率、效益。由信息的秉性决定信息技术还具有普遍性、客观性、相对性、动态性、共享性、可变换性等特性。 二、信息技术的发展 信息技术推广应用的显著成效,促使世界各国致力于信息化,而信息化的巨大需求又驱使信息技术高速发展。当前信息技术发展的总趋势是以互联网技术的发展和应用为中心,从典型的技术驱动发展模式向技术驱动与应用驱动相结合的模式转变。 微电子技术和软件技术是信息技术的核心。 三网融合和宽带化是网络技术发展的大方向。 互联网的应用开发也是一个持续的热点。 三、信息技术的应用 信息技术的应用包括计算机硬件和软件,网络和通讯技术,应用软件开发工具等。计算机和互联网普及以来,人们日益普遍地使用计算机来生产、处理、交换和传播各种形式的信息(如书籍、商业文件、报刊、唱片、电影、电视节目、语音、图形、影像等)。 第二节信息安全 一、信息安全的概念 保护信息系统的硬件软件及其相关数据,使之不因偶然或是恶意侵犯而遭受破坏,更改及泄露,保证信息系统能够连续正常可靠的运行。 信息安全的任务: (1)可获得性 (2)授权与密钥管理 (3)身份识别与完整性 信息不安全因素 物理不安全、网络不安全、系统不安全、管理不安全 信息安全的对策与措施 对策:系统边界、网络系统、主机 措施:(1)发展和使用信息加密技术:文件加密技术、存储介质加密技术、数据库加密方法; (2)采取技术防护措施:审计技术、安全协议、访问控制技术; (3)行政管理措施:加强对计算机的管理、加强对人员的管理 二、信息安全基本特性
智慧医疗建设信息安全需求分析
智慧医疗建设信息安全需求分析 1、存在多个层面的严重的“孤岛”和“烟囱’现象 (1)各领域之间如医疗和公共卫生、医院和社区之间信息不通。 公共卫生服务与医疗服务之间密不可分。利用信息技术整合公共卫生与医院以及基层医疗的服务,防控结合,可以大幅度提高综合防治的效果。 (2)同一领域的不同机构之间如不同医院之间信息不通。 同一机构内不同科室之间信息不通:少数机构的同一科室同一岗位甚至同一个人使用几个不同的系统,信息不通。大量的“孤岛”和“烟囱”必然造成大量的重复操作:信息不能共享、互操作性无从谈起:不能充分发挥信息的作用和体现信息化建设的意义:区域卫生信息化就要解决这个问题,这将牵涉到与信息化建设有关的几乎所有方面的因素。 2、一线应用的不足之处 (1)基层医疗机构信息系统应用不够全面。 大部分基层医疗机构(含城市社区和农村乡镇卫生院)只有最基本的收费系统。基本上尚未建立起以公共卫生、医疗服务、药品管理和医保报销一体化的基层医疗卫生信息系统。基层医疗服务机构作为落实国家医改政策和公共卫生服务项目最前端,其信息化程度将直接影响区域卫生整体效果以及医疗服务的可及性和公共卫生均等性。 (2)公共卫生领域应用面窄。 卫生部直报系统虽然能满足卫生部信息采集要求,但相关数据不能落地用于指导本市的公共卫生事件处置和管理,急需将这些数据落地并管理以有效应对和处置我市突发公共卫生事件。 3、数据的再利用不能满足卫生健康发展的需要 部分省市医疗卫生信息应用层次和水平较低,缺乏对于数据的深加工,数据的整理与分析,最终支持决策的功能。卫生管理仍然仅依赖于卫生统计制度,数据的采集虽然实现网上直报,但数据的真实性仍然靠上报单位的自律保证,而临
网络信息安全与规范
网络信息安全与规范 计算机网络为公司局域网及广域网提供网络基础平台服务和互联网接入服务,由技术组负责计算机连网和网络管理工作。为保证公司网络能够安全可靠地运行,充分发挥信息服务方面的重要作用,更好地为公司员工提供服务。现制定并发布《网络信息安全与规范》。 技术组成员: 一、条款说明 1、所有网络设备(包括光纤、路由器、交换机、集线器、服务器等)均归技术组所管辖,其安装、维护等操作由技术组工作人员进行,其他任何人不得破坏或擅自维修。 2、所有公司内计算机网络部分的扩展必须经过技术组实施或批准实施,未经许可任何部门不得私自连接交换机、集线器、服务器等网络设备,不得私自接入网络。技术组有权拆除用户私自接入的网络线路并进行处罚措施。 3、各部门的联网工作必须事先报经技术组,由技术组做网络实施方案。 4、网络配置由技术组统一规划管理,其他任何人不得私自更改网络配置。 5、接入网络的客户端计算机的网络配置由技术组部署的DHCP服务器统一管理分配,包括:用户计算机的IP地址、网关、DNS 和WINS服务器地址等信息。未经许可,任何人不得私自更改网络配置。任何接入网络的客户端计算机不得安装配置DHCP服务。一经发现,将给予通报并交有关部门严肃处理。 6、网络安全:严格执行国家《网络安全管理制度》。对在通过网络从事任何有悖网络法规活动者,包括扫描、攻击计算机网络及外部网络,盗用、窃取他人资料、信息等,任何违法行为将视其情节轻重交有关部门或公安机关处理。 7、任何人不得在局域网络和互联网上发布有损企业形象和职工声誉的信息。 8、为了避免或减少计算机病毒对系统、数据造成的影响,接入局域网及广域网的所有用户必须遵循以下规定: 8.1、任何接入网络者不得制作计算机病毒;不得故意传播计算机病毒,危害计算机信息系统安全;不得向他人提供含有计 算机病毒的文件、软件、媒体。 8.2、采取有效的计算机病毒安全技术防治措施。建议客户端计算机统一由技术部安装相应杀毒软件及360安全卫士对病毒 和木马进行查杀。 8.3 定期或及时更新用更新后的新版本的杀病毒软件检测、清除计算机中的病毒。 9、公司互联网连接只允许员工为了工作、学习和工余的休闲使用,使用时必须遵守有关的国家、企业的法律和规程,严禁传播淫秽、反动等违犯国家法律和中国道德与风俗的内容。公司有权撤消违法犯纪者互联网的使用。使用者必须严格遵循以下内容: 9.1、从中国境内向外传输技术性资料时必须符合中国有关法规。 9.2、遵守所有使用互联网的网络协议、规定和程序。 9.3、不能利用邮件服务作连锁邮件、垃圾邮件或分发给任何未经允许接收信件的人。 9.4、任何人不得在网上制作、查阅和传播宣扬反动、淫秽、封建迷信等违犯国家法律和中国道德与风俗的内容。 9.5、不得传输任何非法的、骚扰性的、中伤他人的、辱骂性的、恐吓性的、伤害性的等信息资料。 9.6、不得传输任何教唆他人构成犯罪行为的资料,不能传输助长国内不利条件和涉国家安全的资料。 9.7、不能传输任何不符合当地法规、国家法律和国际法律的资料。
解读国标T信息安全技术个人信息安全规范
解读国标T信息安全技 术个人信息安全规范 Coca-cola standardization office【ZZ5AB-ZZSYT-ZZ2C-ZZ682T-ZZT18】
解读国标GBT 35273-2017《信息安全技术个人信息安全规范》 发布时间:2018-01-28浏览:578 按照国家标准化管理委员会2017年第32号中国国家标准公告,全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》于2017年12月29日正式发布,将于2018年5月1日实施。 本文重点提炼个人信息的保存、个人信息安处理以及组织的管理要求等方面内容,解读国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》。 一、《信息安全技术个人信息安全规范》第六点“个人信息的保存”,对个人信息控制者对个人信息的保存提出具体要求,包括以下内容: 个人信息保存时间最小化 对个人信息控制者的要求包括: a) 个人信息保存期限应为实现目的所必需的最短时间; b) 超出上述个人信息保存期限后,应对个人信息进行删除或匿名化处理。 去标识化处理
收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将去标识化后的数据与可用于恢复识别个人的信息分开存储,并确保在后续的个人信息处理中不重新识别个人。 个人敏感信息的传输和存储 对个人信息控制者的要求包括: a) 传输和存储个人敏感信息时,应采用加密等安全措施; b) 存储个人生物识别信息时,应采用技术措施处理后再进行存储,例如仅存储个人生物识别信息的摘要。 个人信息控制者停止运营 当个人信息控制者停止运营其产品或服务时,应: a) 及时停止继续收集个人信息的活动; b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体; c) 对其所持有的个人信息进行删除或匿名化处理。 二、《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”,对个人信息控制者处理个人信息安全事件的方式方法提出具体要求,包括以下内容:安全事件应急处置和报告 对个人信息控制者的要求包括:
信息安全管理制度-模板
信息安全管理制度 保密等级:内部公开 版本/版次: 1.0 编制日期 审核日期 审查日期 批准日期
文件修订履历表
信息安全管理制度 1 目的 为满足业务运行要求,遵守国家法律法规,实施信息安全风险管理,确保信息安全以及实现持续改进的目的,特制定此制度。 2 范围 本制度适用于xxx有限公司(以下简称xxx集团或集团)信息安全整体工作,在集团范围内给予执行。 3 职责 3.1 最高管理者在公司的战略层面统筹推进两化融合。 3.2 管理者代表提出本公司的两化融合相关决策建议。 4 引用文件 无 5 信息安全建设和管理 5.1组织架构 5.2 人员安全管理 5.2.1 人力资源管理部门负责人员安全管理,应建立以员工为中心的人力资源管理策略。 5.2.2 人员聘用时需明确员工信息安全责任,人力资源部门必须在新员工入职一个月内组织一次信息安全培训,并且每年定期组织一次针对全体员工的信息安全培训和宣导,提高员工的商业秘密保护意识。 5.2.3 员工离职时须严格按照离职流程进行,各交接人应该负责交接信息的安全处理,以确保相关信息资料的不外泄。
5.2.4 信息安全需要全体员工的参与和支持,全体员工都有保护信息安全的职责,在岗位职责中应明确对信息安全的要求。特殊岗位的人员应规定特别的安全责任。对岗位调动或离职人员,应及时调整安全职责和权限。 5.3 信息安全风险评估 5.3.1 集团每年应组织对信息安全风险重新评估一次,以适应信息资产的变化,确定是否存在新的威胁或薄弱点及是否需要增加新的控制措施。 5.3.2 信息资源管理部负责组织成立风险评估小组。 5.3.3 风险评估小组组长负责进行信息安全风险评估的策划,风险评估小组按策划进行风险评估。 5.3.4 集团各部门负责按规定进行风险处理,并定期输出《xx信息安全风险评估报告》。 5.3.5 当集团发生以下情况时需及时进行风险评估: 1)当发生重大信息安全事故时; 2)当信息网络系统发生重大更改时; 3)管理者代表确定有必要时。 5.3.6 与外部公司签订合约时应进行信息安全风险评估; 5.4 信息安全事件报告和协查 5.4.1 对突发安全事件应建立应急预案管理制度和相关操作办法。 5.4.2 加强值班管理及时发现信息,安全事件和隐患。 5.4.3 一旦发现信息安全案事件,应详细、如实记录事件经过,保存相关日志,并形成相应分析报告,并及时通知有关人员,并与公安部门取得联系。 5.5.4 进行网络违法案件及其他信息安全检查时,有关人员必须积极配合。 5.5 知识产权保护 5.5.1 集团从正当渠道获取各类专利、专有技术和正版软件,以保证著作人的版权和知识产权不受侵害。 5.5.2 集团员工应遵守从互联网获得软件和信息的条款规定。 5.5.3 法律、法规和合同约定的要求有限制内容的,集团员工除非得到授权的许可,否则不得复制、转换到另一种格式以提取文件内容,不得整体或部分的复制其文档内容。 5.5.4 集团各部门保留各类专利、专有技术、软件的授权文件(证书)、软件母盘及手册等证明和证据。