信息技术安全管理办法(2023年最新-金融科技公司-通用-标准版本)
信息安全管理办法2023年版
信息安全管理办法
1. 安全政策和指南:制定和发布组织的信息安全政策和指南,明确安全目标、责任和要求。
2. 风险评估和管理:进行信息安全风险评估,识别和评估潜在的威胁和风险,并采取相应的措施进行管理和控制。
3. 安全培训和教育:组织开展定期的信息安全培训和教育活动,提高员工的安全意识和技能,防范安全事件。
4. 授权和访问控制:建立合理的账户管理和访问控制机制,确保只有合法授权的用户能够获得系统和数据的访问权限。
5. 系统安全管理:采取技术措施和管理措施,确保信息系统的安全性,包括系统的安装配置、漏洞管理、安全审计等。
6. 安全事件管理:建立安全事件响应机制,及时发现和应对安全事件,进行调查与取证,恢复和修复系统。
7. 备份与恢复管理:建立数据备份和恢复机制,确保数据的完整性和可用性,防范数据丢失和灾难性事件。
8. 安全审计与监控:建立安全审计和监控机制,定期对系统和数据进行安全评估和监测,及时发现和解决安全问题。
9. 合规与法律法规遵循:根据国家和行业的相关法律法规要求,确保信息系统和数据的合规性,遵循隐私保护等相关规定。
10. 安全持续改进:定期进行信息安全管理的检查和评估,不
断改进安全措施和机制,适应不断变化的安全威胁。
信息科技的安全管理制度
一、总则第一条为加强我单位信息科技安全管理工作,确保信息系统稳定、安全、高效运行,维护国家利益、社会公共利益和用户合法权益,根据《中华人民共和国网络安全法》、《中华人民共和国信息安全技术基本要求》等法律法规,结合我单位实际情况,制定本规定。
第二条本规定适用于我单位所有信息系统的安全管理工作,包括但不限于办公自动化系统、企业资源规划系统、数据库系统、电子邮件系统、网络安全系统等。
第三条信息科技安全管理应遵循以下原则:1. 预防为主,防治结合;2. 安全可靠,高效便捷;3. 权责分明,责任到人;4. 综合治理,持续改进。
二、组织与职责第四条成立信息科技安全工作领导小组,负责统一领导和协调信息科技安全管理工作。
第五条信息科技安全工作领导小组下设信息科技安全管理办公室,负责具体实施信息科技安全管理工作。
第六条信息科技安全管理办公室职责:1. 制定信息科技安全管理制度、规定和操作规程;2. 监督检查信息科技安全管理工作;3. 组织开展信息科技安全培训、演练和评估;4. 协调处理信息科技安全事故;5. 指导各部门、各项目开展信息科技安全管理工作。
第七条各部门、各项目负责人对本部门、本项目信息科技安全工作负总责。
第八条信息科技安全管理办公室对各部门、各项目信息科技安全工作进行监督、检查和考核。
三、安全管理制度第九条信息系统建设与运行应符合国家相关法律法规、标准规范和行业要求。
第十条信息系统应定期进行安全评估,发现安全隐患应及时整改。
第十一条信息系统应采取安全防护措施,确保系统稳定、安全、高效运行。
第十二条信息系统用户应遵守以下规定:1. 严格执行用户名和密码管理,不得将用户名和密码泄露给他人;2. 不得使用简单、易猜的密码;3. 定期更换密码;4. 不得擅自修改系统配置和设置;5. 不得在信息系统上进行违法、违规操作。
第十三条信息系统管理员应遵守以下规定:1. 严格执行权限管理,确保系统管理员权限仅限于其工作范围;2. 定期检查、维护和更新系统;3. 不得将系统管理员权限泄露给他人;4. 不得擅自修改系统配置和设置;5. 不得在信息系统上进行违法、违规操作。
信息技术安全管理规定
信息技术安全管理规定第一章总则第一条为了加强信息技术安全管理,保护信息系统的安全性和可靠性,促进信息技术的健康发展,制定本规定。
第二条本规定适用于所有涉及信息技术的组织和个人。
任何组织和个人在进行信息技术活动时都应遵循本规定的规定。
第三条信息技术安全管理应符合国家有关法律、法规、规章以及政策要求,同时参照国际安全管理标准和最佳实践。
第四条信息技术安全管理的目标是保证信息系统的机密性、完整性和可用性,防止非法入侵、信息泄露、病毒攻击和其他安全威胁。
第二章信息技术安全管理的原则第五条信息技术安全管理应遵循以下原则:1. 安全风险评估和管理:组织和个人应对信息系统进行安全风险评估和管理,采取合理的安全措施,减少安全风险。
2. 认证与授权:组织和个人应采用认证和授权机制,确保只有经过授权的用户才能访问和使用信息系统。
3. 安全意识教育和培训:组织和个人应加强信息技术安全的意识教育和培训,提高员工对安全风险的识别和防范能力。
4. 安全防护措施:组织和个人应根据实际情况采取各种技术和管理措施,确保信息系统的安全防护工作得到有效实施。
第三章信息技术安全管理的要求第六条信息技术安全管理应具备以下要求:1. 建立信息技术安全策略:组织和个人应制定信息技术安全策略,明确安全目标和安全管理原则,指导安全工作的开展。
2. 备份与恢复:组织和个人应建立信息系统备份与恢复机制,定期备份关键数据,并测试恢复能力,以确保业务连续性。
3. 记录与审计:组织和个人应建立信息技术安全事件的记录与审计机制,及时发现和处理安全事件,并依法保存相关记录。
4. 安全检测与监控:组织和个人应建立信息技术安全检测与监控机制,发现和预防安全威胁,及时响应和处置安全事件。
第四章信息技术安全管理的责任第七条组织和个人在信息技术安全管理中应承担以下责任:1. 组织领导责任:组织应明确安全管理的组织结构和责任,在高层领导下制定安全策略,组织安全培训和宣传,推动安全工作的开展。
信息科技安全管理制度
第一章总则第一条为确保公司信息科技系统安全稳定运行,保障公司业务顺利进行,根据国家有关法律法规和行业标准,结合公司实际情况,特制定本制度。
第二条本制度适用于公司所有员工、合作伙伴及第三方服务提供商。
第三条本制度旨在建立健全信息科技安全管理体系,提高信息安全意识,降低信息科技风险,确保公司信息资产的安全。
第二章组织机构与职责第四条成立信息科技安全管理委员会,负责公司信息科技安全工作的统筹规划、决策和监督。
第五条信息科技安全管理委员会下设信息科技安全管理部门,负责具体实施以下工作:1. 制定和修订信息科技安全管理制度;2. 组织开展信息科技安全培训;3. 监督信息科技安全措施的落实;4. 组织信息科技安全检查和风险评估;5. 处理信息科技安全事件;6. 指导和协调各部门的信息科技安全工作。
第六条各部门负责人对本部门的信息科技安全工作负总责,确保本部门信息系统安全稳定运行。
第三章信息安全管理制度第七条信息分类与保护1. 根据信息的重要性和敏感性,对公司信息进行分类,明确信息保护等级;2. 对不同等级的信息采取相应的安全保护措施。
第八条访问控制1. 建立严格的用户认证机制,确保用户身份的真实性和合法性;2. 对用户权限进行合理分配,限制用户对信息的访问范围;3. 定期对用户权限进行审查和调整。
第九条数据备份与恢复1. 定期对重要数据进行备份,确保数据的安全性和完整性;2. 制定数据恢复计划,确保在数据丢失或损坏时能够及时恢复。
第十条网络安全1. 对公司网络进行安全加固,防止外部攻击;2. 对内部网络进行隔离,限制内部用户之间的访问;3. 定期对网络设备进行安全检查和维护。
第十一条软件安全1. 对公司使用的软件进行安全评估,确保软件的安全性和可靠性;2. 定期更新软件补丁,修复已知的安全漏洞。
第四章信息安全教育与培训第十二条定期组织信息安全培训,提高员工信息安全意识;第十三条对新入职员工进行信息安全培训,使其了解公司信息安全制度;第十四条对关键岗位员工进行专项信息安全培训,提高其安全操作技能。
信息技术公司安全管理制度
第一章总则第一条为加强信息技术公司(以下简称公司)的信息安全管理工作,保障公司信息系统安全、稳定、可靠运行,根据《中华人民共和国网络安全法》等相关法律法规,结合公司实际情况,制定本制度。
第二条本制度适用于公司所有信息系统、网络设备、数据及员工。
第三条公司信息安全管理工作遵循以下原则:1. 预防为主、防治结合;2. 依法合规、责任明确;3. 安全发展、持续改进;4. 全面覆盖、重点保障。
第二章组织与管理第四条公司成立信息安全领导小组,负责公司信息安全工作的统筹规划、组织协调和监督管理。
第五条信息安全领导小组下设信息安全管理部门,负责公司信息安全工作的具体实施。
第六条信息安全管理部门职责:1. 制定、修订和完善公司信息安全管理制度;2. 负责公司信息系统的安全评估、风险评估和漏洞扫描;3. 监督、检查、指导各部门信息安全工作的开展;4. 组织开展信息安全培训、宣传和教育活动;5. 处理信息安全事件,保障公司信息安全。
第七条各部门应指定信息安全责任人,负责本部门信息安全工作的组织实施。
第三章安全技术措施第八条公司应采用以下安全技术措施,保障信息系统安全:1. 防火墙、入侵检测系统、入侵防御系统等网络安全设备;2. 加密技术、访问控制技术、身份认证技术等安全防护技术;3. 安全审计、安全监控等技术手段;4. 数据备份与恢复、灾难恢复等技术保障。
第九条公司应定期对信息系统进行安全评估、风险评估和漏洞扫描,及时发现并修复安全隐患。
第十条公司应采用物理隔离、逻辑隔离等技术手段,保障重要信息系统和数据的安全。
第四章安全管理措施第十一条公司应建立健全信息安全管理制度,明确各部门、各岗位信息安全职责。
第十二条公司应加强员工信息安全意识教育,提高员工信息安全技能。
第十三条公司应建立信息安全事件报告、调查、处理和通报制度,确保信息安全事件得到及时、有效处理。
第十四条公司应加强信息安全保密管理,确保公司信息系统、数据、技术秘密不被泄露。
公司信息技术安全管理制度
一、总则为保障公司信息技术系统的安全稳定运行,保护公司信息安全,维护公司合法权益,根据国家相关法律法规和行业标准,结合公司实际情况,特制定本制度。
二、组织架构与职责1. 公司成立信息技术安全领导小组,负责公司信息技术安全工作的统筹规划、组织实施和监督管理。
2. 信息技术部门负责信息技术安全管理的具体实施,包括但不限于:(1)制定和修订信息技术安全管理制度;(2)组织信息技术安全培训;(3)开展信息技术安全检查和风险评估;(4)监督和指导各部门信息技术安全管理工作;(5)负责信息技术安全事件的应急处理。
3. 各部门负责人对本部门信息技术安全工作负总责,负责组织本部门信息技术安全管理工作。
三、信息技术安全管理制度1. 网络安全(1)公司内部网络实行分级管理,明确网络边界,确保网络隔离;(2)定期对网络设备进行安全检查和维护,及时修复漏洞;(3)严格控制访问权限,对敏感信息进行加密存储和传输;(4)禁止私自接入外部网络,防止病毒和恶意软件侵入。
2. 系统安全(1)定期对操作系统、数据库和应用软件进行安全更新,修复漏洞;(2)加强系统权限管理,严格控制用户权限;(3)定期进行系统安全检查,及时发现和修复安全隐患;(4)禁止使用弱密码和通用密码,加强密码管理。
3. 数据安全(1)对敏感数据进行分类管理,制定数据安全策略;(2)加强数据备份和恢复机制,确保数据安全;(3)严格控制数据访问权限,防止数据泄露;(4)定期对数据进行分析和清理,防止数据冗余和泄露。
4. 信息技术安全培训(1)定期开展信息技术安全培训,提高员工安全意识;(2)对新员工进行信息技术安全培训,确保其了解公司信息技术安全管理制度;(3)对信息技术安全管理人员进行专业培训,提高其安全管理能力。
四、信息技术安全事件应急处理1. 信息技术安全事件发生后,立即启动应急预案,组织相关部门进行应急处置;2. 对事件原因进行调查分析,采取有效措施防止类似事件再次发生;3. 对事件影响进行评估,及时向公司领导报告,采取补救措施;4. 对事件处理情况进行总结,完善应急预案。
信息科技安全管理制度
信息科技安全管理制度第一章总则第一条规章制度的订立目的和依据为了加强企业的信息安全管理,保障企业的信息资产安全,提高信息系统的可靠性和稳定性,依据《中华人民共和国网络安全法》等相关法律法规,订立本《信息科技安全管理制度》(以下简称“本制度”)。
第二条适用范围本制度适用于我公司全部员工、合作伙伴及相关供应商,在使用、管理和维护公司的信息科技系统和设备时,必需遵守本制度。
第三条定义1.信息科技安全:指对信息系统所涉及的信息进行保护,防止未经授权的访问、使用、披露、破坏、修改等未经许可的行为。
2.信息资产:指企业的信息及相关的设备、软件和数据,包含但不限于文档、电子邮件、数据库、源代码等。
3.信息科技系统:指用于处理、存储、传输和管理信息的硬件、软件及相关设备和网络设备。
第二章信息科技安全管理第四条信息资产分类和保护1.依据信息的紧要性和敏感程度,将信息资产进行分类,并与相应的保护措施相匹配。
2.对于紧要和敏感的信息资产,采取合理的技术和物理措施进行保护,包含但不限于加密、访问掌控、备份等。
3.订立定期审查和更新信息资产保护措施的工作计划,确保保护措施的有效性和及时性。
第五条用户权限管理1.依据员工的工作需要,对员工的信息系统和设备进行权限掌控,保证员工只能访问和使用其工作范围内的信息资产。
2.定期对员工权限进行审查,及时撤销离职员工的权限,确保离职员工无法访问和使用公司的信息资产。
第六条网络安全管理1.订立网络安全策略和规定,包含但不限于网络拓扑结构、网络防火墙配置、入侵检测和防范、网络流量监控等。
2.对外部网络连接进行严格的掌控和管理,限制对外部网络的访问权限,并定期对网络设备和系统进行安全检测和漏洞修复。
3.对内部网络进行合理的划分和隔离,明确网络访问权限,确保内部网络的安全性和稳定性。
第七条安全事件管理1.建立安全事件监测和响应机制,及时发现和应对安全事件,包含但不限于病毒攻击、黑客攻击、信息泄露等。
XX银行信息科技安全管理办法
XX银行信息科技安全管理办法一、引言信息科技在银行行业的发展中起着至关重要的作用。
然而,随之而来的信息安全威胁也日益增加,使得银行面临着保护客户数据和自身利益的挑战。
为了确保信息安全并提高银行的竞争力,XX银行制定了信息科技安全管理办法。
本文将介绍该办法并探讨其重要性和应用。
二、背景XX银行旨在建立一套完善的信息科技安全体系,以确保客户数据的保密性、完整性和可用性。
因此,该银行制定了信息科技安全管理办法,以规范银行员工在信息处理和交换过程中的行为。
该办法旨在提供准确、可靠和及时的信息服务,同时保护银行系统免受任何未经授权的访问、破坏和滥用。
三、信息科技安全管理原则1. 安全意识XX银行要求所有员工具备良好的信息安全意识,加强对信息安全风险的认识,并积极参与信息安全培训和学习活动。
2. 风险评估XX银行将进行定期的风险评估,以识别和评估系统中的安全风险,并采取适当的措施进行防范和管理。
3. 授权和访问控制银行员工必须在严格的访问控制下操作系统和应用程序,并且只能访问其工作职责所需的信息和权限。
4. 安全监控XX银行将投入资源以实施监控措施,包括实时监控、日志管理和异常行为检测等。
任何异常行为都应及时发现和处理。
5. 安全防护为保护系统不受恶意软件、网络攻击和数据泄露等威胁的侵害,XX银行将部署适当的防护措施,包括防火墙、入侵检测和防病毒软件等。
6. 事件响应XX银行将建立完善的事件响应机制,及时处理和应对任何信息安全事件,并进行事后分析和改进。
四、信息科技安全管理流程1. 安全策略制定XX银行将制定全面的信息科技安全策略,明确各种安全措施的要求和指导。
2. 风险管理通过风险评估,银行可以识别系统中存在的潜在威胁和漏洞,并采取相应的防范和纠正措施。
3. 安全控制XX银行将对各类系统和应用程序实施严格的访问控制和安全措施,并应用加密技术保护敏感数据。
4. 安全培训为了提高员工对信息安全的认识和理解,银行将定期开展信息安全培训和教育活动。
2024年信息安全等级保护管理办法(二篇)
2024年信息安全等级保护管理办法第十三条运营、使用单位应严格遵循《信息安全技术信息系统安全管理要求》(GB/T____9-____)、《信息安全技术信息系统安全工程管理要求》(GB/T20282-____)以及《信息系统安全等级保护基本要求》等管理规范,制定并实施符合本系统安全保护等级要求的安全管理制度,确保制度的有效执行。
第十四条信息系统建设完成后,运营、使用单位或其主管部门需委托符合规定条件的测评机构,根据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统的安全等级状况进行等级测评。
其中,第三级信息系统应每年至少测评一次,第四级信息系统应每半年至少测评一次,而第五级信息系统则需根据特殊安全需求进行测评。
运营、使用单位及其主管部门应定期对信息系统的安全状况及安全保护制度、措施的落实情况进行自查,自查频率与等级测评相同。
若测评或自查结果显示信息系统安全状况未达到安全保护等级要求,运营、使用单位应立即制定整改方案并实施。
第十五条已运营(运行)的第二级以上信息系统,应在安全保护等级确定后的____日内,由其运营、使用单位前往所在地设区的市级以上公安机关办理备案手续。
新建的第二级以上信息系统,则应在投入运行后的____日内完成备案。
对于隶属于中央的在京单位,其跨省或全国统一联网运行并由主管部门统一定级的信息系统,应由主管部门向公安部办理备案手续。
跨省或全国统一联网运行的信息系统在各地的分支系统,则需向当地设区的市级以上公安机关备案。
第十六条办理信息系统安全保护等级备案手续时,需填写《信息系统安全等级保护备案表》。
对于第三级以上信息系统,还需同时提交以下材料:系统拓扑结构及说明、系统安全组织机构和管理制度、系统安全保护设施设计实施方案或改建实施方案、系统使用的信息安全产品清单及其认证、销售许可证明、符合系统安全保护等级的技术检测评估报告、信息系统安全保护等级专家评审意见以及主管部门审核批准信息系统安全保护等级的意见。
信息技术安全管理规程
信息技术安全管理规程信息技术的迅猛发展为企业和个人带来了便利,但也给安全带来了风险和挑战。
为了保护信息系统的安全,制定一套全面有效的信息技术安全管理规程就显得尤为重要。
本文将从建立信息安全责任制度、安全措施的制定与执行、风险评估与应对、安全事件管理等方面探讨信息技术安全管理规程的重要性及具体操作方法。
一、信息安全责任制度信息安全责任制度的建立是保障企业信息安全的基础。
企业应明确信息安全相关职责,在组织结构中设立信息安全管理部门或委派专人负责,明确各级别职责。
同时,企业需要制定并不断改进信息安全政策,确保安全方针得到宣传、落实和监督执行。
各部门及员工在信息系统使用中要严格按照安全规程执行,发现问题及时上报,并积极参与安全培训。
二、安全措施的制定与执行实施信息技术安全管理,需要建立一整套安全措施体系。
企业应根据自身情况,制定并完善各项安全制度和规程,涵盖网络安全、数据安全、系统安全等方面。
在网络安全方面,可采取防火墙、入侵检测系统、数据包过滤等技术手段,保护网络免受外部攻击。
在数据安全方面,要对数据进行合理分类,并采取加密、备份等手段,确保数据的完整性和保密性。
在系统安全方面,要实施权限管理制度,设置严格的访问控制措施,避免未授权访问。
三、风险评估与应对风险评估是保障信息安全的重要环节。
企业应定期对信息系统进行风险评估,及时发现安全风险和漏洞,制定相应的风险应对措施。
安全事件响应计划也是必不可少的。
在发生安全事件时,企业需要迅速响应、及时处置,并进行事后分析,及时改正,防止类似事件再次发生。
四、安全事件管理安全事件管理是信息技术安全管理规程的重要内容。
企业需要建立完善的安全事件管理体系,包括安全事件的收集、记录、上报、分析和处置等环节。
安全事件的收集和记录需要采取科学的手段和工具,以便对安全事件进行全面分析。
在安全事件分析和处置中,企业需要制定标准化的流程,确保能够迅速准确地进行响应和处置,减少损失和恢复时间。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
**金融科技集团公司信息技术安全管理办法目录1.总则 (3)2.信息安全策略 (4)2.1.安全制度管理 (4)2.2.信息安全组织管理 (4)2.3.资产管理 (5)2.4.人员安全管理 (6)2.5.物理与环境安全管理 (6)2.6.通信与运营管理 (7)2.7.访问控制管理 (9)2.8.系统开发与维护管理 (10)2.9.信息安全事故管理 (11)2.10.业务连续性管理 (12)2.11.合规性管理 (12)3.信息安全标准 (13)4.信息安全流程 (13)5.安全审计和评估 (14)1.总则第1条本手册为***公司信息安全总体管理规范,为公司建设及不断完善信息安全管理体系的总体指导手册。
本手册适用于公司正式员工及第三方业务人员。
第2条本手册依据本公司业务发展战略而设定,为实现业务发展战略服务,在业务发展战略变动后与信息安全策略发生冲突时应服从业务发展战略的要求,并及时修订公司信息安全手册。
第3条本手册为公司信息安全总体方针和策略,作为信息安全的基本标准,是所有安全行为的指导方针,同时也是建立完整的安全管理体系最根本的基础。
第4条信息安全策略是指正确使用和管理IT信息资源并保护这些资源使得它们拥有更好的保密性、完整性、可用性的策略。
第5条建设原则本手册的制定必须遵守下面几项原则:1.统一性原则:***公司应对信息安全政策和标准进行统一的规划和设计。
2.规范性原则:信息安全政策和标准必须符合国家有关信息安全方面的政策法规。
3.完备性原则:信息安全政策和标准体系结构清晰、层次分明,包含的内容全面。
4.可操作性原则:信息安全政策和标准要易于在***公司内部全面推广和执行,并易于制定最终的安全流程和实施操作方法。
5.易扩充性原则:信息安全政策和标准要易于扩充和修正。
6.前瞻性原则:信息安全政策和标准的制定要具备一定的前瞻性,能尽量多的适应发展的需要。
第6条信息安全管理是通过建立有效的体系,实现对***公司信息风险的识别、检测、控制,提高***公司整体信息安全水平,促进公司安全、持续、稳健运行,推动业务发展,增强核心竞争力和可持续发展能力。
2.信息安全策略2.1.安全制度管理第7条公司信息安全制度必须得到公司管理层的理解和支持。
公司信息安全制度必须由公司管理层批准后,向全公司员工和外部相关方发布和沟通。
第8条公司信息安全相应制度则应按计划的时间间隔或当发生重大变化时进行审评和修订,以确保其持续的适宜性、充分性和有效性。
2.2.信息安全组织管理第9条信息安全组织是公司信息安全建设的基本保障,信息安全组织不仅仅包括各级信息安全管理部门,而且要渗透到公司的整个组织结构中,确保信息安全策略能够深入到业务流程的各个方面。
第10条公司管理者应通过清晰的方向、可见的承诺、明确的任务分配、信息安全职责沟通在组织内积极支持安全第11条公司信息安全活动应由组织各部门及各种相关角色和职能的代表进行协作,应明确定义所有的信息安全职责,实施对信息处理设施的管理授权过程,以“最小授权”、“最少知道”为原则。
第12条应定义并定期评审公司的保密或非扩散协议,该协议反应公司对于信息保护的要求。
第13条应按计划的时间间隔或当发生重大的信息安全变化时,对公司的信息安全管理方法及其实施情况(如,信息安全控制目标、控制措施、策略、过程和程序)进行独立评审。
第14条应识别来自涉及外部组织的业务过程的信息和信息处理设施的风险,并在允许访问前实施适当的控制,应在允许顾客访问组织的信息或资产前强调所有的被定义的安全要求。
第15条公司与第三方签订的协议中应覆盖所有相关的安全要求。
这些协议可能涉及对公司的信息或信息处理设施的访问、处理、沟通或管理,或增加信息处理设施的产品和服务。
2.3.资产管理第16条应清楚识别所有的资产,编制并保持所有重要资产清单,资产清单应包括资产的价值、重要性以及根据资产价值提供的安全保护措施。
第17条所有信息及与信息处理设施有关的资产应由组织指定的部门负责,重要资产必须指定日常维护的责任人,资产损失的责任由资产的责任人负责。
第18条应按照信息的价值、法律要求及对组织的敏感程度和关键程度进行分类并制定一套与公司所采用的分类方案一致的信息标识和处置的程序,并实施。
2.4.人员安全管理第19条应根据组织的信息安全策略,定义员工、承包方和第三方用户的安全角色和职责并形成文件。
第20条应根据相关的法律、法规和道德,对所有的求职者、承包方和第三方用户进行背景验证检查,该检查应与业务要求、被访问信息的类别及已知风险相适宜。
第21条作为公司合同责任的一部分,员工、承包方和第三方用户应统一并签署他们的雇佣合同的条款和条件。
这些条款和条件应规定他们和公司对于信息安全的责任。
第22条管理者应要求所有的员工、承包方和第三方用户应用符合公司已建立的策略和程序的安全。
第23条应对公司所有员工,适当时,还包括合同方和第三方用户进行适当的意识培训、定期更新的、与他们工作相关的策略和程序培训,并应建立一个正式的员工违反安全的惩戒过程。
第24条应清晰定义和分配进行雇佣变更或终结的责任,当结束雇佣关系、合同或协议时,员工、承包方和第三方用户应归还所使用的公司资产,当雇佣关系、合同或协议终止时,应废除所有员工、承包方和第三方用户对信息和信息处理设施的访问权限,或根据变化调整。
2.5.物理与环境安全管理第25条应使用安全边界(障碍物,如墙、控制进入大门的卡或人工接待台)来保护包含信息信息处理设施的区域,确保只有经过授权的人才能访问。
第26条应设计并实施保护办公室、场所和设施的物理安全设计并实施针对火灾、水灾、地震、爆炸、骚乱和其他形式的自然或人为灾难的物理保护措施。
第27条应对设备进行选址安置或保护,以减少来自环境的威胁或危害,并减少未授权访问的机会,应保护设备免受电力中断或其他因为支持性设施失效所导致的中断,应保护承载数据或支持信息服务的电力和通讯电缆免遭中断或破坏。
第28条应正确维护设备,以确保其持续的可用性和完整性,应对场外设备进行安全防护,考虑在组织边界之外工作的不同风险。
第29条应检查包含存储介质的设备,以确保在销毁前所有敏感数据或授权软件已经被删除或安全重写。
未经授权,不得将设备、信息或软件带离。
2.6.通信与运营管理第30条应编制并保持文件化的信息处理设施及系统的操作程序,并确保所有需要的用户可以获得,应控制信息处理设施及系统的变更,应分离职责和责任区域,以降低未授权访问、无意识修改或滥用组织资产的机会第31条应分离开发、测试和运营设施,以降低未授权访问或对操作系统变更的风险第32条确保第三方实施、运作并保持第三方服务交付协议中包含的安全控制、服务定义和交付等级。
应对第三方的服务和提交的报告、记录定期进行监视和评审,并定期进行审计。
第33条应管理提供服务的变更(包括保持和改进现有信息安全策略、程序和控制措施),考虑对业务系统的关键程度、涉及的过程和风险的再评估第34条应监督、调整资源的使用情况,并反应将来能力的要求,以确保系统的性能。
应建立新的信息系统、系统升级和新版本的验收准则,并在开发过程中及接收前进行适当的系统测试第35条应实施防范恶意代码的检测、预防和恢复,以及适当的用户意识程序,当使用移动代码获得授权时,配置管理应确保授权的移动代码按照明确定义的安全策略运行,并防止未经授权移动代码的执行第36条应定期备份重要业务信息、数据和软件。
要有足够的备份设备确保在灾难发生或存储设备故障时恢复所有重要的业务信息、数据和软件。
其他系统也要定期备份,以符合业务连续性要求。
访问控制管理。
第37条应对网络进行充分的管理和控制,以防范威胁、保持使用网络的系统和应用程序的安全,包括传输的信息。
应识别所有网络服务的安全特性、服务等级和管理要求,并包含在网络服务协议中,无论这种服务是由内部提供的还是外包的。
第38条应建立可移动介质的管理程序,当介质不再需要时,应按照正式的程序进行安全可靠的销毁。
第39条应建立信息处理和存储程序,以防范该信息的未授权泄漏或误用,应保护系统文档免受未授权的访问。
第40条应建立正式的信息交换策略、程序和控制,以保护通过所有类型的通讯设施交换信息的安全。
应建立公司内部和外部组织之间的信息和软件交换的协议,在物理边界之外进行传输的过程中,应保护包含信息的介质免受未授权的访问、误用或破坏。
应开发并实施策略和程序,以保护与业务信息系统互联的信息。
第41条应保护公司业务系统通过公共网络传输的信息,以防止欺诈、合同争议、未授权的泄漏和修改。
应保护在线交易中的信息,以防止不完整的传输、路由错误、未授权的消息修改、未经授权的泄漏、未经授权的消息复制或回复。
应保护公共可用系统中信息的完整性,以防止未经授权的修改。
第42条应产生记录用户活动、意外和信息安全事件的日志,并按照约定的期限进行保留,以支持将来的调查和访问控制监视。
第43条应建立监视信息处理系统使用的程序,并定期评审监视活动的结果应保护日志设施和日志信息免受破坏和未授权的访问应记录系统管理员和系统操作者的活动应记录并分析错误日志,并采取适当的措施。
公司内或统一安全域内的所有相关信息处理设施的时钟应按照约定的正确时间源保持同步。
2.7.访问控制管理第44条应建立访问控制策略,并根据对访问的业务和安全要求进行评审。
应建立正式的用户注册和解除注册程序,以允许和撤销对于所有信息系统和服务的访问。
应限制和控制特权的使用和分配。
应通过正式的管理流程控制口令的分配。
管理者应按照策划的时间间隔通过正式的流程对用户的访问权限进行评审第45条应要求用户在选择和使用口令时遵循良好的安全惯例。
用户应确保无人值守的设备得到适当的保护。
应采用清除桌面纸质和可移动存储介质的策略,以及清除信息处理设施所采用的清除屏幕策略。
第46条用户应只能访问经过明确授权使用的服务,应使用适当的鉴别方法控制远程用户的访问。
应考虑将自动设备识别作为鉴别特定区域和设备连接鉴别的方法。
应控制对诊断和配置端口的物理和逻辑访问。
第47条应隔离网络上的信息服务组、用户和信息系统。
在公共网络中,尤其是那些延展到公司边界之外的网络,应限制用户联接的能力,并与业务应用系统的访问控制策略和要求一致。
应对网络进行路由控制,以确保信息联接和信息流不违反业务应用系统的访问控制策略。
第48条应通过安全登陆程序对操作系统的访问进行控制,所有的用户应有一个唯一的识别码(用户ID)且仅供本人使用,应使用适当的鉴别技术来证实用户所声称的身份。
应使用交互式口令管理系统,并确保口令质量。
应限制并严格控制设施程序的使用和应用系统控制的使用。
在超过规定的不工作状态时限之后,应关闭终端,应使用连接时间限制以提供高风险应用程序的额外安全保障。