信息安全策略
信息系统的安全策略
信息系统的安全策略随着科技的发展和信息技术的普及应用,信息系统在我们的日常工作和生活中扮演着越来越重要的角色。
然而,由于网络技术的不断进步,信息系统也面临着各种安全威胁和风险。
因此,制定并实施一套有效的信息系统安全策略变得尤为重要。
本文将探讨信息系统的安全策略,以保护系统和数据的机密性、完整性和可用性。
一、风险评估和管理首先,信息系统安全策略的基础是对系统风险的充分评估和管理。
这包括对系统和网络进行全面的安全风险评估,识别潜在的安全漏洞和威胁。
基于风险评估的结果,制定详细的安全管理计划,明确风险的优先级和处理策略。
定期对系统进行安全审计和渗透测试,并及时修复发现的漏洞,以保证系统的安全性。
同时,建立灵活的风险管理机制,及时应对新出现的安全风险。
二、访问控制和身份验证访问控制是信息系统安全的核心要素之一。
合理的访问控制策略可以有效防止未经授权的访问和数据泄露。
在信息系统中,设置严格的权限管理机制,确保用户只能访问和操作他们所需的数据和功能。
采用多层次的身份验证机制,如密码、令牌、生物识别等,以增强身份认证的安全性。
此外,定期审查和更新用户权限,及时收回离职员工的访问权限,以减少内部威胁。
三、加密与数据保护加密技术是信息系统中保护数据机密性和完整性的重要手段。
对于存储在系统中的敏感数据,采用强大的加密算法对其进行加密,确保即使在数据泄露的情况下,也能保护数据的机密性。
对于网络传输的数据,采用安全的传输协议,如HTTPS,以加密数据的传输过程。
此外,定期备份重要数据,并将备份数据保存在安全的地方,以防止数据丢失和损坏。
四、安全培训和意识提升除了技术手段,人员的安全意识和培训也是信息系统安全策略的重要组成部分。
组织定期的安全培训,提高员工对信息安全风险和威胁的认识,教授正确的安全操作方法和注意事项。
通过内部通讯和反馈机制,及时传达安全事件和漏洞的信息,提醒员工保持高度的警惕性,并对违反安全策略的行为进行惩戒和教育。
信息安全策略的基本原则
信息安全策略的基本原则1.综合性原则:信息安全策略应基于全面、综合的信息安全管理模型,涵盖组织的物理、技术和人员方面的安全需求。
这意味着策略不仅要考虑到技术层面的安全防护措施,同时也要包括组织文化和员工教育等方面的因素。
2.风险管理原则:信息安全策略应基于风险管理的理念,识别和评估组织的信息安全威胁和漏洞,并制定相应的风险应对措施。
风险管理包括风险评估、风险控制和风险监控等环节,可以帮助组织有效地降低信息安全风险。
3.合规性原则:信息安全策略应符合适用的法律法规、行业标准和合规要求。
组织需要了解并遵守相关的信息安全法律法规,确保信息处理活动的合规性,并保护客户、员工和其他相关方的信息安全。
4.最小权限原则:信息安全策略应基于最小权限原则,即赋予用户或员工仅必要的访问权限,避免将过多权限授予任何个体或群体。
这样可以最大程度地减少潜在的信息安全风险,防止未经授权的访问和滥用。
5.机密性、完整性和可用性原则:信息安全策略应确保信息的机密性、完整性和可用性。
机密性指信息只能被授权的人员访问和使用;完整性指信息的准确性和完整性得到保护,不被篡改或破坏;可用性指信息和系统在需要时始终可用,不受恶意攻击或自然灾害的影响。
6.持续改进原则:信息安全策略应是一个持续改进的过程。
组织应不断跟踪信息安全威胁的变化、技术的进步以及法规和合规要求的变化,及时对安全策略进行修订和完善,以保持信息安全的有效性和适应性。
7.信息安全教育和培训原则:信息安全策略应包括员工的教育和培训计划。
组织需要对员工进行定期的信息安全培训,提高员工的安全意识和技能,使他们能够正确处理信息和识别潜在的安全威胁。
8.响应和恢复原则:信息安全策略应包括响应和恢复措施,旨在降低威胁和事件对组织的损害。
这包括建立应急响应计划、备份和恢复方案,以及加强安全事件监测和响应能力。
9.分层和防御原则:信息安全策略应基于分层和防御原则,采取多层次的安全措施,以预防、侦测和响应安全威胁。
信息安全策略与规划
信息安全策略与规划信息安全是现代社会中不可忽视的重要问题,无论是个人还是企业机构,都需要制定一套科学合理的信息安全策略与规划,以保护信息资源的安全与完整。
本文将就信息安全策略与规划进行探讨与分析,旨在为读者提供一些参考。
一、信息安全策略概述信息安全策略是指在保护信息系统和网络的过程中,根据相关法律法规以及实际需求制定的一系列安全规则和措施,旨在保护信息资源的机密性、完整性和可用性。
信息安全策略的制定需要包括以下几个方面的内容。
1. 安全目标:明确信息安全的总体目标,例如保护数据的机密性、确保系统的稳定性等。
2. 安全政策:明确信息安全的基本原则和规范,例如用户权限管理、访问控制等。
3. 安全措施:根据实际情况选择合适的安全技术和工具,例如防火墙、入侵检测系统等。
4. 应急预案:制定突发事件应急处理的方案,例如数据泄露、系统损坏等。
二、信息安全规划概述信息安全规划是指在信息安全策略的基础上,根据企业的发展战略和具体需求制定的长期、中期和短期的信息安全目标和计划。
信息安全规划需要包括以下几个方面的内容。
1. 现状评估:对企业的信息安全现状进行全面评估,发现安全隐患和薄弱环节。
2. 需求分析:根据企业的业务需求和法律法规要求,明确信息安全的保护要求。
3. 目标设定:根据现状评估和需求分析的结果,制定明确的信息安全目标和计划。
4. 实施方案:制定合理的信息安全实施方案,明确具体的措施和时间节点。
5. 绩效评估:定期对信息安全工作进行评估和改进,确保信息安全策略与规划的有效性。
三、信息安全策略与规划的重要性信息安全是现代社会发展的基础,对于个人和企业来说,信息安全策略与规划具有重要的意义。
1. 保护隐私:信息安全策略与规划能够有效保护个人和企业的隐私信息,防止数据泄露和身份盗窃。
2. 防范风险:制定科学合理的信息安全策略与规划,能够提前识别和防范各类安全风险,避免损失和破坏。
3. 提升竞争力:信息安全策略与规划能够增强企业的竞争力,提升客户对企业的信任度和满意度。
信息安全策略
信息安全策略针对组织面临的信息安全威胁和风险,提出了一系列防范措施和应对策略,有利于提高组织对信息安全风险 的防范能力。
保障组织业务发展
信息安全策略保障了组织业务发展的稳定和正常运转,避免因信息安全事件给组织业务带来不必要的损失和影响。
信息安全策略的制定原则
01
基于风险评估
学习安全知识
主动学习信息安全知识,了解 常见的网络攻击手段和防护措
施。
保护他人信息
不泄露他人信息,尊重他人的 隐私权。
06
常见的信息安全策略工具和 技术
防火墙技术
总结词
防火墙是用于阻止未授权访问和通信的安 全设备,通常用于隔离内部网络和外部网 络。
VS
详细描述
防火墙是一组硬件和软件组件的组合,它 可以根据预先定义的规则允许或阻止数据 包的传输。这些规则通常基于源IP地址、 目标IP地址、端口号和应用类型等因素。 防火墙可以阻止恶意软件的入侵和未经授 权的访问,从而保护网络中的计算机免受 攻击。
2023
信息安全策略
目 录
• 信息安全策略概述 • 信息安全策略的制定 • 信息安全策略的实施与执行 • 企业信息安全策略 • 个人信息安全策略 • 常见的信息安全策略工具和技术
01
信息安全策略概述
定义与重要性
定义
信息安全策略是指组织为了降低信息安全风险,提高信息安 全水平,而制定的一套规范和准则。
加密技术
总结词
加密技术是一种将原始数据转换为不可读格式的算法,以保护数据的机密性 和完整性。
详细描述
加密技术使用密钥将原始数据转换为加密数据,使得未经授权的人无法读取 和理解数据。加密技术可用于保护数据的机密性和完整性,以及验证数据的 真实性。常见的加密算法包括对称加密和公钥加密。
提高企业信息安全的五种关键策略
提高企业信息安全的五种关键策略在当今数字化时代,企业面临的信息安全风险日益增加。
随着科技的迅猛发展,黑客和恶意软件的攻击也越来越隐蔽和复杂。
为了保护企业的信息资产,提高企业的信息安全性成为当务之急。
下面将介绍五种关键策略,帮助企业提高其信息安全保护水平。
1. 建立全面的信息安全政策和流程企业应该制定一套全面且适用的信息安全政策与流程。
这些政策和流程应该涵盖整个企业的信息系统,包括网络设备、服务器、终端设备等。
政策和流程应明确员工的责任和义务,规定信息资产的分类、访问控制、加密措施、风险评估和漏洞管理等内容。
此外,跨部门的合作和持续的培训也是实施信息安全政策的关键。
2. 加强网络和系统的防御能力企业的网络和系统是信息安全的关键部分。
为了提高网络和系统的防御能力,企业应加强网络边界防御,例如使用防火墙、入侵检测和预防系统等安全设备。
此外,及时更新和打补丁操作系统、应用程序和安全设备,以防止已知漏洞被利用。
企业还应该采取适当的网络访问控制措施,限制员工对敏感数据和系统的访问权限,确保谁只能访问所需的信息。
3. 实施强大的身份和访问管理强大的身份和访问管理是确保企业信息安全的重要组成部分。
企业应该实施多因素身份验证,例如使用密码和生物识别技术等。
管理员认证和授权访问,确保只有授权人员可以访问敏感数据和系统。
此外,定期审计权限和访问控制,以及及时对员工离职时的访问权限进行撤销,以防止内部人员滥用权限。
4. 加强数据保护和加密数据是企业最重要的资产之一,因此保护数据的安全至关重要。
企业应该实施有效的数据备份和恢复策略,以防止数据丢失或被损坏。
此外,数据加密是保护数据隐私和机密性的重要手段。
企业应当对敏感数据进行加密,确保即使在数据被盗或遭受物理攻击的情况下,也无法轻易获得敏感信息。
5. 加强员工的安全意识培训员工是企业信息安全的最后一道防线,他们的安全意识和行为对于保护企业信息资产至关重要。
企业应该定期开展安全意识培训,提高员工对威胁的认识和了解。
信息安全策略
入侵检测与防御策略
实时监测
防御措施
对系统进行实时监测,发现异常行为或潜在 威胁。
采取主动防御措施,如关闭不必要的服务、 修复漏洞等,减少系统受攻击的可能性。
入侵响应
安全审计
在发现入侵行为时,及时响应并采取措施减 轻损失。
通过安全审计工具对系统进行全面检查,发 现潜在的安全风险。
数据备份与恢复策略
企业信息安全管理制度
制定安全管理制度
企业需要制定一套完善的安全管理制度,明确信 息安全职责、操作规范和流程等。
定期进行安全培训
通过定期的安全培训,提高员工的安全意识和技 能,加强安全防范意识。
定期进行安全检查
通过定期的安全检查,发现和修复潜在的安全隐 患,确保企业信息安全。
企业信息安全风险评估与应对
重要的漏洞。
安全配置管理策略
安全配置标准化
制定标准化的安全配置策略,确保所 有系统的安全配置都符合最佳实践。
安全配置审核与更新
定期对系统进行安全配置审核,并根 据审核结果更新安全配置策略。
安全配置监控与日志 分析
对系统的安全配置进行实时监控,并 对监控日志进行分析,发现并解决潜 在的安全问题。
04
工业信息安全监测与预警
监测网络流量
通过对工业控制系统的网络流量进行实时监测,及时发现异 常流量和网络攻击。
预警机制
建立预警机制,通过分析监测数据,预测可能的安全威胁, 提前采取防范措施。
工业信息安全漏洞管理与补丁政策
漏洞发现与报告
及时发现工业控制系统中的安全漏洞,向厂商或安全机构报告,确保漏洞得 到及时修复。
2023
信息安全策略
contents
目录
• 信息安全策略概述 • 信息安全策略基础 • 信息安全策略进阶 • 企业信息安全策略 • 个人信息安全策略 • 工业信息安全策略
信息安全策略
信息安全策略信息安全策略是指为保护信息系统中的数据和信息免受未经授权的访问、使用、泄露、破坏等威胁而制定和实施的一系列措施和规范。
随着信息技术的发展与普及,信息安全问题日益受到重视。
本文将详细讨论信息安全策略的重要性、主要内容以及实施过程。
首先,信息安全策略的重要性不可忽视。
如今,各行各业都离不开信息系统的支持,企业、政府机构、学校等都拥有大量的敏感信息和数据。
如果这些信息泄露、丢失或被恶意利用,将给组织和个人带来严重的损失。
信息安全策略的制定和实施可以保护信息系统的完整性、机密性和可用性,确保系统运行的稳定性和安全性。
其次,信息安全策略的主要内容包括以下几个方面:1. 制定安全政策和规范:明确组织内部关于信息安全的政策和规范,并将其传达和执行到位。
要制定明确而可执行的规定,包括访问控制、密码策略、备份计划等。
2. 加强网络安全防护:采取网络防火墙、入侵检测系统等技术手段,保护内部网络免受外部攻击。
并定期进行安全审查和漏洞扫描,及时修补系统漏洞,减少系统被攻击的风险。
3. 加密和数据保护:对敏感数据进行加密处理,确保数据在传输和存储过程中不易被窃取或篡改。
同时,建立数据备份和恢复系统,防止数据丢失造成的影响。
4. 员工教育和培训:加强对员工的信息安全意识教育和培训,帮助他们了解和掌握信息安全的基本知识和技能。
让员工意识到他们在信息系统中的重要作用,并引导他们遵守安全规范和操作流程。
5. 强化访问控制和身份认证:建立健全的访问控制机制,限制对敏感信息和系统资源的访问权限。
采用多因素身份认证手段,提高身份验证的可靠性和安全性。
6. 监测和响应安全事件:建立安全事件监测和响应机制,定期进行安全事件日志分析,及时发现和处理潜在的安全威胁。
并建立紧急事件响应预案,对可能发生的安全事件进行有效的处置。
最后,信息安全策略的实施过程是一个系统工程,需要全面考虑组织内外部的各种因素。
在实施过程中,可以采取以下几个步骤:1. 明确安全目标和需求:根据组织的具体情况确定信息安全目标和需求。
信息安全策略及实施方法
信息安全策略及实施方法随着互联网的发展和普及,信息安全已经成为组织和个人不能忽视的重要问题。
信息安全策略的制定和实施是确保信息系统和数据安全的基本要求。
本文将讨论信息安全策略的重要性,并探讨一些常用的实施方法。
1.组织安全意识:信息安全策略的制定可以提高组织和员工对信息安全的意识。
员工将了解有关信息安全的最佳实践,并正确处理敏感信息,以避免信息泄露和风险。
2.数据保护:信息安全策略帮助组织识别和保护敏感数据。
通过明确数据的分类和处理规则,组织可以防止敏感数据的泄露和误用。
3.合规要求:信息安全策略确保组织符合法规和法律要求,例如隐私规定和数据保护法。
这有助于组织避免法律纠纷和罚款。
实施信息安全策略的方法1.风险评估和管理:首先,组织需要进行风险评估,确定可能的威胁和风险。
然后,根据评估结果,采取相应的控制措施来降低风险。
这包括访问控制、加密、备份和灾难恢复等措施。
2.安全培训和教育:组织应提供针对员工的信息安全培训和教育。
员工应该了解信息安全的基本概念和最佳实践,并明白如何应对潜在的安全威胁和攻击。
3.访问控制:访问控制是保护信息系统和数据安全的重要措施。
组织应该实施合适的身份验证和授权机制,确保只有经过授权的人员可以访问敏感信息。
4.加密和数据保护:加密是一种重要的数据保护手段。
组织应采用适当的加密算法和技术来保护敏感数据的机密性和完整性。
此外,数据备份和灾难恢复计划也是实施信息安全策略的重要组成部分。
5.安全审计和监测:定期进行安全审计和监测是确保信息安全的关键步骤。
这使组织能够检测和预防潜在的安全漏洞和攻击,并及时采取相应的措施。
6.安全政策制定和更新:组织应制定并定期更新信息安全政策。
这包括定义安全要求、规则和指南,以及制定相应的流程和程序。
7.第三方风险管理:在与第三方合作时,组织应评估和管理其信息安全风险。
这包括定期审核合作伙伴的安全措施,并与其签订信息安全协议。
8.员工离职管理:组织应采取适当的措施来管理员工离职。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全策略目录1。
目的和范围 (3)2。
术语和定义 (3)3。
引用文件 (4)4. 职责和权限 (5)5. 信息安全策略 (5)5。
1. 信息系统安全组织 (5)5.2. 资产管理 (7)5。
3。
人员信息安全管理 (8)5。
4. 物理和环境安全 (10)5。
5. 通信和操作管理 (12)5.6. 信息系统访问控制 (16)5.7。
信息系统的获取、开发和维护安全 (19)5.8。
信息安全事故处理 (22)5。
9。
业务连续性管理 (22)5.10。
符合性要求 (25)1附件 (26)1. 目的和范围1)本文档制定了的信息系统安全策略,作为信息安全的基本标准,是所有安全行为的指导方针,同时也是建立完整的安全管理体系最根本的基础。
2)信息安全策略是在信息安全现状调研的基础上,根据ISO27001的最佳实践,结合现有规章制度制定而成的信息安全方针和策略文档.本文档遵守政府制定的相关法律、法规、政策和标准。
本安全策略得到领导的认可,并在公司内强制实施.3)建立信息安全策略的目的概括如下:a)在内部建立一套通用的、行之有效的安全机制;b)在的员工中树立起安全责任感;c)在中增强信息资产可用性、完整性和保密性;d)在中提高全体员工的信息安全意识和信息安全知识水平.本安全策略适用于公司全体员工,自发布之日起执行。
2. 术语和定义1)解释2)词语使用3. 引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
1)ISO/IEC 27001:2005 信息技术-安全技术—信息安全管理体系要求2)ISO/IEC 17799:2005 信息技术—安全技术-信息安全管理实施细则4. 职责和权限信息安全管控委员会:负责对信息安全策略进行编写、评审,监督和检查公司全体员工执行情况。
5. 信息安全策略目标:为信息安全提供管理指导和支持,并与业务要求和相关的法律法规保持一致。
1)策略下发本策略必须得到管理层批准,并向所有员工和相关第三方公布传达,全体人员必须履行相关的义务,享受相应的权利,承担相关的责任。
2)策略维护本策略通过以下方式进行文档的维护工作:必须每年按照《风险评估管理程序》进行例行的风险评估,如遇以下情况必须及时进行风险评估:a)发生重大安全事故b)组织或技术基础结构发生重大变更c)安全管理小组认为应当进行风险评估的d)其他应当进行安全风险评估的情形风险评估之后根据需要进行安全策略条目修订,并在内公布传达。
3)策略评审每年必须参照《管理评审程序》执行公司管理评审。
4)适用范围适用范围是指本策略使用和涵盖的对象,包括现有的业务系统、硬件资产、软件资产、信息、通用服务、物理安全区域等。
对于即将投入使用和今后规划的信息系统项目也必须参照本策略执行.5.1. 信息系统安全组织目标:在组织内部管理信息安全,保持可被外部组织访问、处理、沟通或管理的信息及信息处理设备的安全。
1)内部组织●公司的管理层对信息安全承担最终责任。
管理者职责参见《信息安全管理手册》。
●公司的信息系统安全管理工作采取信息安全管控委员会统一管理方式,其他相关部门配合执行。
公司的内部信息安全组织包括信息安全管理小组,小组的人员组成以及相关职责参见《公司信息安全组织结构图》。
●各个部门之间必须紧密配合共同进行信息安全系统的维护和建设.相关部门岗位的分工与责任参见《信息安全管理手册》。
●任何新的信息系统处理设施必须经过管理授权的过程。
并更新至《信息资产列表》。
●信息系统内的每个重要的资产需要明确所有者、使用人员。
参见《信息资产列表》。
●凡是涉及重要信息、机密信息(相关定义参见《信息资产鉴别和分类管理办法》等信息的处理,相关的工作岗位员工以及第三方都必须签署保密协议.●应当与政府机构保持必要的联系共同协调信息安全相关问题.这些部门包括执法部门、消防部门、上级监管部门、电信供应商等提供公共服务的部门.●应当与相关信息安全团体保持联系,以取得信息安全上必要的支持。
这些团体包括外部安全咨询商、独立的安全技术专家等。
●信息安全管理小组每年至少进行一次信息安全风险评估工作(参照《风险评估和风险管理程序》,并对安全策略进行复审。
信息安全领导小组每年对风险评估结果和安全策略的修改进行审批。
●每年或者发生重大信息安全变化时必须参照《内部审核管理程序》执行公司内部审核。
2)外部组织a)第三方访问是指非人员对信息系统的访问。
第三方至少包含如下人员:➢硬件及软件技术支持、维护人员;➢项目现场实施人员;➢外单位参观人员;➢合作单位人员;➢客户;➢清洁人员、送餐人员、快递、保安以及其它外包的支持服务人员;b)第三方的访问类型包括物理访问和逻辑访问.➢物理访问:重点考虑安全要求较高区域的访问,包括计算机机房、重要办公区域和存放重要物品区域等;➢逻辑访问:◆主机系统◆网络系统◆数据库系统◆应用系统c)第三方访问需要进行以下的风险评估后方可对访问进行授权。
➢被访问资产是否会损坏或者带来安全隐患;➢客户是否与有商业利益冲突;➢是否已经完成了相关的权限设定,对访问加以控制;➢是否有过违反安全规定的记录;➢是否与法律法规有冲突,是否会涉及知识产权纠纷;d)第三方进行访问之前必须经过被访问系统的安全责任人的审核批准,包括物理访问的区域和逻辑访问的权限。
(详见《办公室基础设备和工作环境控制程序》)e)对于第三方参与的项目或提供的服务,必须在合同中明确规定人员的安全责任,必要时应当签署保密协议。
f)第三方必须遵守的信息安全策略以及《第三方和外包管理规定》,留对第三方的工作进行审核的权利。
5.2. 资产管理目标:通过及时更新的信息资产目录对信息资产进行适当的保护。
1)资产责任a)所有的信息资产必须登记入册,对于有形资产必须进行标识,同时资产信息应当及时更新。
每项信息资产在登记入册及更新时必须指定信息资产的安全责任人,信息资产的安全责任人必须负责该信息资产的安全.b)所有员工和第三方都必须遵守关于信息设备安全管理的规定,以保护信息处理设备(包括移动设备和在非公共地点使用的设备)的安全。
2)信息分类a)必须明确确认每项信息资产及其责任人和安全分类,信息资产包括业务过程、硬件和设施资产、软件和系统资产、文档和数据信息资产、人员资产、服务和其他资产。
(详见《信息资产列表》)。
b)必须建立信息资产管理登记制度,至少详细记录信息资产的分类、名称、用途、资产所有者、使用人员等,便于查找和使用。
信息资产应当标明适用范围。
(详见《IT设备管理规定》).c)应当在每个有形信息资产上进行标识.d)当信息资产进行拷贝、存储、传输(如邮递、传真、电子邮件以及语音传输(包括电话、语音邮件、应答机)等)或者销毁等信息处理时,应当参照《信息资产鉴别和分类管理办法》或者制定妥善的处理步骤并执行.e)对重要的资料档案要妥善保管,以防丢失泄密,其废弃的打印纸及磁介质等,应按有关规定进行处理。
5.3. 人员信息安全管理目标:确保所有的员工、合同方和第三方用户了解信息安全威胁和相关事宜、明确并履行信息安全责任和义务,并在日常工作中支持的信息安全方针,减少人为错误的风险,减少盗窃、滥用或设施误用的风险。
1)人员雇佣a)员工必须了解相关的信息安全责任,必须遵守《职务说明书》.b)对第三方访问人员和临时性员工,必须遵守《第三方和外包管理规定》。
c)涉及重要信息系统管理的员工、合同方及第三方应当进行相关技术背景调查和能力考评;d)涉及重要信息系统管理的员工、合同方及第三方应在合同中明确其信息安全责任并签署保密协议;e)重要岗位的人员在录用时应做重要岗位背景调查。
2)雇佣中a)管理层必须要求所有的员工、合同方及第三方用户执行信息安全的相关规定;b)应当设定信息安全的相关奖励措施,任何违反信息安全策略的行为都将收到惩戒,具体执行办法参见《信息安全奖惩规定》;c)将信息安全培训加入员工培训中,培训材料应当包括下列内容:➢信息安全策略➢信息安全制度➢相关奖惩办法d)应当按下列群体进行不同类型的信息安全培训:➢全体员工➢需要遵守信息安全策略、规章制度和各项操作流程的第三方人员e)信息安全培训必须至少每年举行一次,让不同部门的人员能受到适当的信息安全培训。
必须参加计算机信息安全培训的人员包括:➢计算机信息系统使用单位的安全管理责任人;➢重点单位或核心计算机信息系统的维护和管理人员;➢其他从事计算机信息系统安全保护工作的人员;➢能够接触到敏感数据或机密信息的关键用户.3)人员信息安全管理原则a)员工录用时,人事部门或调入部门必须及时书面通知信息技术部门添加相关的口令、帐号及权限等并备案.b)员工在岗位变动时,必须移交调出岗位的相关资料和有关文档,检查并归还在借出的重要信息。
人事部门或调入部门必须及时书面通知信息技术部门修改和删除相关的口令、帐号及权限等。
c)员工在调离时必须进行信息安全检查。
调离人员必须移交全部资料和有关文档,删除自己的文件、帐号,检查并归还在借出的保密信息。
由人事部门书面通知信息技术部门删除相关的口令、帐号、权限等信息。
d)必须每半年进行用户帐户使用情况的评审,凡是半年及半年以上未使用的帐号经相关部门确认后删除.如有特殊情况,必须事先得到部门经理及安全责任人的批准。
e)对第三方访问人员和临时性员工,也必须执行相关规定.5.4. 物理和环境安全1)安全区域目标:防止对工作场所和信息的非法访问、破坏和干扰。
a)必须明确划分安全区域。
安全区域至少包括各计算机机房、IT部门、财务、人事等部门。
所有可以进出安全区域的门必须能防止未经授权的访问,如使用控制装置、栅栏、监控和报警装备、锁等.b)无人值守的门和窗户必须上锁,对于直接与外部相连的安全区域的窗户必须考虑窗户的外部保护;c)安全边界的所有门均应被监视并经过检验,它和墙一起按照合适的地方、国内和国际标准建立所需的抵抗程度;他们应用故障保护方式按照局部放火规则来运行。
d)应按照地方、国内和国际标准建立适当的入侵检测体系,并定期检测以覆盖所有的外部门窗;要一直对空闲区域发出警报;其他区域要提供掩护方法,例如计算机室或通信室;e)安全区域必须配备充足的安全设备,例如热敏和烟气探测器、火警系统、灭火设备,并对设备定期检查.f)安全区域进出控制采用合适的电子卡或磁卡,并能双向控制.g)对安全区域的访问必须进行记录和控制,以确保只有经过授权的人员才可以访问。
对机房的访问管理参见《机房安全管理规定》,其它区域可参照执行。
h)重要设备必须放在安全区域内进行保护,禁止在公共办公区域防止重要的信息处理设施;i)应当控制外来人员对公共办公区域的访问,第三方访问规定参见《第三方和外包管理规定》j)关键和敏感设施应当存放在与公共办公区域相对隔离的场地,并应设计并实施保护。