信息安全策略Word文件下载.docx

1、s）计算机管理策略t）打印、复印机管理策略4.3. 病毒防范策略4.3.1.IT 部负责统一部署防病毒工具的安装和升级工作，时发布计算机病毒疫情公告及防范措施，处理网点和个人上报的病毒入侵事件，定期检查和督促网点的病毒防治工作；将重大的病毒入侵事件及时向上级部门和安全机关报告。4.3.2.IT 部人员负责定期对自己管理的计算机系统进行升级、杀毒；对因计算机病毒引起的信息系统故障，及时向人事部报告。4.3.3.病毒防范基本要求：a）任何部门和个人不得制作计算机病毒。b）任何部门和个人不得有下列传播计算机病毒的行为：c）故意输入计算机病毒，危害计算机信息系统安全；d）向他人提供含有计算机病毒的文件

2、、软件、媒体；e）销售、出租、附赠含有计算机病毒的媒体；f）其他传播计算机病毒的行为。g）任何部门和个人不得发布虚假的计算机病毒疫情。h）所有计算机设备应经办公室同意后接入相应的内部工作网或互联网，严禁私自接入。i）内部工作网与互联网应进行物理隔绝。j）所有工作用机必须由 IT 部统一管理，部署安装指定的防病毒软件，及时更新病毒库，对于未安装防病毒软件或安装其他防病毒软件而造成不良后果的，追究相关人员的责任。k）所有员工在使用介质交换信息时，应认真进行病毒预检测。l）未经 IT 部同意，严禁擅自在工作用机上从互联网下载、安装、使用各类文件或程序，对由此引起的计算机病毒感染，追究相关人员的责任。

3、经同意下载的软件，使用前需认真进行杀毒。m）禁止将与工作无关的数据存放在工作用机上，禁止在工作用机上进行与工作无关的计算机操作。n） 计算机使用人员应做好重要数据、文档的备份，防止因病毒或其他因素造成系统无法恢复而导致重要数据、文档的丢失。o） 对因计算机病毒引起的信息系统瘫痪、程序和数据严重破坏等重大事故，应及时向人事部报告、并保护现场，以便采取相应的措施。1.1.4.IT 部人员需定期查看防病毒系统中的扫描日志和病毒历史以及入侵监测日志，检查病毒的感染和清除情况 ; 根据查看到的防病毒监控日志和入侵监测日志制定安全策略； 统一部署防病毒软件客户端；负责受理网点计算机病毒上报工作；负责跟踪计

4、算机病毒防治信息，及时发布计算机病毒疫情公告及防范措施。1.1.5.病毒查杀：a）各计算机使用单位发现病毒必须及时向 IT 部报告，并做好必要的协助工作，防止病毒疫情进一步扩大。b）发现的病毒包括计算机使用单位报告的病毒和防病毒系统监控发现的病毒。c）当因病毒入侵导致无法正常运行或数据损失时， 及时采取措施挽回损失； 当防病毒系统本身受到病毒入侵而不能正常工作时， 负责恢复防病毒系统的正常运行； 对于未能清除的病毒， 应根 据病毒的种类采取相应措施， 尽快查找专杀工具， 确保病毒不会发作和传播； 对于防病毒软件 不能查杀的病毒， 应及时向上级汇报更新防病毒系统； 定期整理病毒感染情况报告， 并

5、及时清理过期的日志信息。4.4.网络服务访问策略4.4.1.此策略为保障及加强公司运作时在使用互联网传输、处理信息时的安全。确保用户应只能访问经过明确授权使用的服务，从而降低未授权和不安全连接对组织的影响。用于公司办公场所内能使用互联网的区域及人员，同时也适用于公司员工使用公司移动计算机在公司以外的地方使用互联网的范围。4.4.2.基础要求：a）对互联网资源的使用原则上采取明确规定的连接财务网、 涉密计算机和部分指定用于处理商业秘密、从事软件开发的计算机或虚拟机等设备不得上网的原则。b）因工作需要而使用互联网的部门及个人应认识到， 对互联网资源的使用取决于工作需要， 公司 应根据岗位情况来限制

6、对该资源的使用与否。c）在使用互联网资源时使用者应有意识地保护公司信息资产， 不能通过互联网从事任何有损公司利益或违反法律法规的事宜，包括发布任何有损公司利益的信息。4.4.3.惩处要求：违背该策略可能导致：员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员等继续工作的机会；另外，这些人员还可能遭受信息资源访问权以及公民权的损失， 甚至 遭到法律起诉。4.5.备份策略4.5.1.根据公司业务需求， 识别需要备份的数据信息。 备份的信息应当包含但不限于操作系统、数据库系统、系统软件、设备配置、网站内容等。此策略为保护信息资产可用性和恢复性，确保公司数据信息安全可靠。适用于 ISMS所覆盖

7、的所有部门。4.5.2.根据不同重要程度的数据信息，确定采取的备份手段，包括但不限于硬盘备份、冗余主机备份、冗余网络设备和冗余链路。4.5.3.确定数据的备份周期，根据数据的备份需要，确定增量备份、全备份的周期。4.5.4.应按照计划实施备份，并确保备份实施成功，应保留备份记录以备审查。4.5.5.每个月对服务器中用户存储的数据进行检查，确保与工作无关之数据不被存入服务器；对于存放违规数据情况，行成报告并上报公司予以相应的处理。每三个月对存入于服务器上的用户数据进行一次完全备份，每天进行一次差异备份，并在服务器上保留前一次三个月的完整备份数据。数据库备份及数据存档保存期限所有数据库的备份每天进

8、行一次完整备份，并保留近三个月的备份。邮件系统数据的存档保存期限为两年。 ERP系统数据的存档永久保存，采取异地备份策略，每季度进行一次备份。4.5.6.应对备份的数据定期进行数据恢复测试，以保证备份数据的可用性等。4.6.访问控制策略为了对公司资产范围内所有的操作系统、 数据库系统、 应用系统、 开发测试系统及网络系统所提供的服务的访问进行合理控制，确保信息被合法使用，禁止非法使用，特制定本管理策略。a）对于需要进行访问控制的操作系统、数据库系统、应用系统、开发测试系统及网络系统，要对系统设置，保证在进入系统前必须执行登录操作，并且记录登录成功与失败的日志。b）对于具有身份验证功能的系统程序

9、， 程序所属部门， 应建立登录程序的用户， 并对有权限的人授权；对于没有用户验证功能的程序，要通过系统的访问权限控制对程序的访问。c）研发网和测试网要实现物理隔离，核心设备要设置特别的物理访问控制，并建立访问日志。d）对于信息资源的访问以目录或具体文件设置用户可用的最低权限， 并通过属性权限与安全权限控制用的户权限。e）访问控制权限设置的基本规则是除明确允许执行情况外一般必须禁止。f）访问控制的规则和权限应该符合公司业务要求，并记录在案。g）对网络系统访问时，通过为用户注册唯一的 ID 来实现对用户的控制。h）系统管理员必须确保用户的权限被限定在许可的范围内，同时能够访问到有权访问的信息。i）

10、用户必须使用符合安全要求的口令，并对口令做到保密。j）系统管理员必须对分配的权限和口令做定期检查，防止权限被滥用。检查频率为每季度一次。k）明确用户访问的权限与所担负的责任。l）系统管理员必须保证网络服务可用，保证使用网络服务的权限得到合理的分配与控制。m）系统管理员制定操作系统访问的规则，用户必须按相关规则访问操作系统。n）对各部门使用的应用系统或测试系统，由该部门制定访问规定并按规定执行。o） 对信息处理设施的使用情况进行监控，及时发现问题并采取必要的安全措施。4.7.密码策略此策略为了更好的加强信息安全， 防止网络、 主机和系统的非授权访问， 特制定密码管理策略，适用于的公司网络、计算机

11、和系统的密码管理。 IT 部负责信息中心网络、主机和系统的密码管理。a）IT 部根据业务安全需要，可强制用户在登录时更改密码，当出现提示密码过期时，用户需自行完成密码的修改，否则将无法登陆系统。b）如业务需求对密码期限进行限制，防止密码过期，保证密码永久有效，或设定一定的期限，在一定的期限内有效。c）根据需要，可使某一账号暂时禁用。d）设定规定登录次数，超过 5 次数，账号禁用。以防用户猜测密码，从技术上进行一定预防。e）密码必须八位或以上字符，包含大小写、符号、数字三个或以上的组合，禁止使用易被猜测的密码。每三个月对相关密码必须重新设定。f）密码仅限于使用者掌握， 未经许可不得将密码告知他人

12、， 否则由此产生的问题， 由使用者负全 部责任。g）禁止任何员工通过任何方式偷取和破解密码。h）前后两次的密码不能相同或相似。4.8.密钥管理策略4.8.1.该策略的为是通过适当和有效使用加密，以保护信息的机密性、真实性和完整性，适用于需要进行密码控制的信息系统以及使用密钥访问任何信息资源的所有人。4.8.2.本策略要求贯穿密钥的整个生命周期，包括密钥的生成、存储、归档、检索、分发、回收和销毁。组织间使用密码控制的管理方法，包括保护业务信息的一般原则。4.8.3.所有密钥需免遭修改、丢失和毁坏。秘密和私有密钥需要防范非授权的泄露。用来生成、存储和归档密钥的设备宜进行物理保护。4.8.4.密钥管

13、理系统宜基于已商定的标准、规程和安全方法，以便：a）生成用于不同密码系统和不同应用的密钥；b）生成和获得公开密钥证书；c）分发密钥给预期用户，包括在收到密钥时要如何激活；d）存储密钥，包括已授权用户如何访问密钥；e）变更或更新密钥，包括要何时变更密钥和如何变更密钥的规则；f）处理已损害的密钥；g）撤销密钥， 包括要如何撤消或解除激活的密钥，例如，当密钥已损害时或当用户离开组织时（在这种情况下，密钥也要归档） ；h）恢复已丢失或损坏的密钥；i）备份或归档密钥；j）销毁密钥；k）记录和审核与密钥管理相关的活动。4.8.5.为了减少不恰当使用的可能性，宜规定密钥的激活日期和解除激活日期，以使它们只能

14、用于相关密钥管理策略定义的时间段。4.8.6.除了安全地管理秘密和私有密钥外，还宜考虑公开密钥的真实性。这一鉴别过程可以由证书认证机构正式颁发的公钥证书来完成，该认证机构宜是一个具有合适的控制措施和规程以提供所需的信任度的公认组织。4.8.7.密钥的管理对有效使用密码技术来说是必需的。 GB/T 17901 提供了更多密钥管理的信息。4.9.账号管理策略4.9.1.因业务发展内部员工大量使用基于操作系统的账号、基于数据库的账号和基于应用系统的账号，大量账号和口令的使用导致管理极大的复杂化，为了保证各个系统的账号和口令管理保持在一个一致的水平上，特制定本标准。a）帐号：指在系统内设定的可以访问本

15、系统内部资源的 ID 或其他许可形式。b）管理员帐号： 指在系统中具有较大的权限， 对网络的运行和安全具有巨大影响的帐号， 典型用 户为系统管理员。c）超级管理员帐号：指对系统具有超级权限的帐号，包含但不限于 UNIX的root用户，WINNT勺 administrators 组成员，数据库的 DBA用户。d） 公用帐号：指供一组人使用的帐号，其合法使用人限于一个组内。e）匿名帐号：只供不确定人员使用的帐号，多用于通过 INTERNET勺访问4.9.2.账号的申请原则：a）只有授权用户才可以申请系统帐号；b）任何系统的帐号设立必须按照规定的相应流程规定进行；c）员工申请帐号前应该接受适当的培训

16、，以确保能够正常的操作，避免对系统安全造成隐患；d）帐号相应的权限应该以满足用户需要为原则，不得有与用户职责无关的权限；e）对于确因工作需要而必须申请系统帐号的公司外部人员，根据 IT 信息管理规范相关流程申请注册；f）因业务需求需要申请公用账号的情况下公用帐号不得具有访问保密信息和对系统写的权限 , 公用帐号应该设立责任人，负责帐号的正常使用及维护；g）匿名帐号只被允许访问系统中可公开的且对公司有益的资源， 不得访问任何内部公开及以上秘密等级的资源；对匿名用户对系统的访问必须有详细的记录。4.10.清洁桌面和锁屏策略4.10.1.此策略的是防止对信息和信息处理设施XX的用户访问、破坏或盗窃。

17、实施清除桌面和清除屏幕方针， 以降低对文件、 介质以及信息处理设施XX访问或破坏的风险，适用于公司所有电子设备；a）含有涉密信息或重要信息的文件、记录、磁盘、光盘或以其他形式存储的媒体在人员离开时，应锁入文件柜、保险柜等。b）所有计算机终端必须设立登录口令，在人员离开时应该锁屏、注销和关机。c）在结束工作时，必须关闭所有计算机终端，并且将个人桌面上所有记录有敏感信息的介质锁入文件柜。d） 计算机终端应设置屏幕密码保护。e）传真机由综合管理部负责管理，并落实到责任人。f）打印或复印公司秘密、机密信息时，经公司审批后方可进行，打印复印由保密管理员监督完成。4.10.2.违背该策略可能导致：员工以及

18、临时工被解雇、合同方或顾问的雇佣关系终止、实习人员等继续工作的机会；另外，这些人员还可能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉。4.11.移动设备和远程工作策略4.11.1.该策略为确保远程工作及移动设备在使用过程中的信息安全，适用于公司移动设备和远程工作的办公场景； 移动设备是指我司员工正在使用的各类移动设备， 包括笔记本电脑，平板电脑，pda智能手机等。远程工作是使用通信技术手段使在组织场所外固定地点的人员可以通过远程进入公司网络工作。4.11.2.移动设备管理a）移动设备持有人员应妥善保管该设备，严禁故意损毁、破坏。b）移动设备持有人员应及时对移动设备的操作系统安全补丁进行

19、升级无法处理时可联系 IT 部同事协助处理，保证系统安全运行。c）移动设备持有人员应设置登录口令（或称登录密码） ，并负责口令保密。便携式计算机应设置带有密码的屏幕保护功能，离开锁定计算机。d）严禁在移动设备上安装、运行与工作无关的应用软件和游戏，严禁使用移动设备从事与工作无关的活动。e）需在移动设备上安装管控软件，限定用户对移动设备进行系统还原及共享权限，默认开通指定公司服务，禁止登陆私人邮箱，做工作无关的操作，禁止通过 FTP,云盘等手段上传文件等，限定移动存储介质的写入权限。4.11.3.远程工作管理a）员工使用移动设备在其他城市分公司或异地办公场所， 通过VPNtt号方式远程接入公司内

20、部网络，远程访问的VPN数据需要进行加密处理，以实现安全的远程访问公司内部网络资源。b）远程工作的方式必须获得保安部和 IT 部的批准，任何部门和个人不得私设可以远程访问的接口。c）远程工作应仅限于申请的设备和地点， VPNM户需绑定地址进行授权限制登录，严禁在公共计算机设备（例如网吧）上进行。d）远程工作人员范围仅限于工作需要的人员， 内部远程工作人员必须获得部门负责人的授权， 并 获得 IT 部的批准。e）远程工作人员不得将远程工作身份识别信息和相关设备透漏、 借用给其他人员， 工作结束后应该注销并断开远程连接。f）远程工作的相关通信和设备必须接受信息安全管理小组的相关配置和监控。g）远程

21、工作的访问权限不允许超过该人员在公司内部网络的正常访问权限。h）外部第三方需要连接本公司网路进行系统维护或故障诊断时，应经过信息安全保密小组的批准，并由 IT 部人员监督执行。远程访问时应做好记录，维护结束后应立即断开连接。4.12.服务器加强策略4.12.1.此策略为了加强公司服务器的安全管理工作，保障信息系统安全、稳定运行，充分发挥系统效用，适用于公司所有服务器；a）系统应及时安装各种系统应用补丁及防毒软件， 管理员应至少每周进行一次检测， 并对服务器时间进行检验，保证服务器时间准确。b）系统的防病毒软件应 24 小时不间断的开启，任何人不得停止服务，并且要及时更新病毒库，管理员至少 2

22、天手动检测一次病毒库，并设置杀毒软件每天 22 点整自动查杀。c）除系统服务必须使用的端口，其他端口一律关闭停止服务。d）服务器的口令必须符合密码复杂性，密码长度为 12 位以上，密码必须包含大写、小写、数字及数字符号，具体要求可参考公司电脑使用管理规范 。e）密码的生存期限为 30 天， 管理员必须在 30 天内更换一次密码， 否则系统将禁止该管理员登陆。f）服务器日常操作和维护由系统管理员负责，未经许可其他人不得对服务器进行任何操作。g）如非管理员需要登录服务器调试等， 必须要在管理员处出示具有相关领导批示的 服务器使用申请表 。h）操作人员必须在管理人员的陪同下进行相关操作。i）如果要更

23、新服务器的应用，必须提供程序测试报告，并且该程序经过测试可以上线试运行。j）每次服务器进行数据操作及维护后，必须填写服务器维护记录表进行登记，用来备查。加强服务器检查。每月对数据存放硬盘空间、 CPUS用、内存空间等环境进行检查。发现硬盘存储空间、CPU#常、内存异常等问题要及时处理，不能及时处理的问题应向领导及时报告，并 采取积极措施尽快解决。4.13.时间同步策略4.13.1.此策略为保证公司网络中设备日志的准确及有效性，确保在网络运维中出现异常事件时能够准确定位时间节点，特此指定本策略；适用于公司所有网络设备及计算机设备。a）公司所有联网电脑的使用NTP时间服务器同步时间，未联网电脑需电

24、脑负责人每月定期对时间 进行效验；b） IT部对所有网络设备时钟进行检验，保证同步至 NTP时间服务器，每月进行检验 。4.14.电子邮件策略4.14.1.此策略为规范公司内部邮件系统的使用，充分发挥电子邮件系统的作用。为公司办公及业务系统的安全可靠运行提供必要的保障，防止恶意程序和垃圾邮件的传输，确保电子邮件的信息安全。适用于日常使用公司邮件系统进行邮件接收和发送的部门和人员。4.14.2.IT 部责任：4.14.2.1.维护邮件系统、 保证服务器及邮件系统的正常运行、 并及时处理并解决用户的问题。4.14.2.2.遇到重大问题时，要负责向 IT 部领导报告。4.14.2.3.IT 部负责邮

25、件帐号的开通、注销以及邮件系统日常管理等4.14.3.邮箱使用人员负责：4.14.3.1.邮件用户必须严格遵守国家有关保密法规法令，不得泄露国家及公司机密，不得侵犯公司及其他员工的合法权益，不得从事违法犯罪活动。4.14.3.2.邮箱需设置密码；邮箱的密码必须保证 6 位或以上，并且足够复杂（如字母和数字混用， 有大小写区别等） ； 邮箱的密码使用期限为 6 个月， 过期后用户需要更改密码。4.14.3.3.邮箱密码必须严格保密，不得泄露。4.14.3.4.普通员工发送和接收邮件的大小限制为 15 M。4.14.3.5.定期清理个人的邮箱，防止邮箱爆满，影响正常通邮。员工的邮件应在本地 PC机

26、上保存。4.14.3.6.严禁以电子邮件工具破坏、干扰他人正常工作或无目的地乱发邮件；禁止传递游戏、MP符与办公无关的邮件。4.14.3.7.凡是通过电子邮件在网上发送的文件，发件人应主动使用查病毒软件检查并确认安全后方可发出，从而尽可能避免病毒通过网络扩散。4.14.3.8.不得故意制作、传播计算机病毒等破坏性程序及其他危害电子邮件安全的活动。4.14.4.服务要求：4.14.4.1.禁止在邮件服务器上安装与邮件系统无关的软件。4.14.4.2.对违反操作规定，影响办公应用或给邮件系统造成严重问题的管理员，人力资源部给予警告等处罚。4.14.4.3.邮件进出邮件服务器需经过邮件过滤和病毒扫描

27、。4.14.4.4.邮件系统应允许用户可自行更改密码。4.14.4.5.邮件服务器应纳入防火墙的管理，防火墙策略应只打开邮件服务必需的端口。4.14.4.6.定期对邮件服务器进行安全扫描，保证邮件服务器及时更新。4.14.4.7.保证现行的各项保护措施发挥作用，保证邮件服务器所采用的安全补丁的有效性。4.14.4.8.应建立邮件服务器的日志文件记录机制，记录所有成功的和未成功的入侵行为以及所有可疑行为。4.14.4.9.应定期对邮件系统进行备份。4.14.4.10.办公室负责邮件帐号的管理，在员工入职时开通邮件帐号；员工离职时应及时注销离职员工的邮件帐号信息。4.14.4.11.严禁利用电子邮

28、件制作、复制和传播如下信息：a）捏造或歪曲事实、散布谣言；b）传播封建迷信或黄色淫秽等不健康的信息；c）公然侮辱他人或捏造事实诽谤他人；d）损害国家或公司信誉的信息；e）其他违反宪法和法律、行政法规的信息。f）对于违反邮件管理规定的人员，视情节轻重，分别给以批评、教育、警告处理。4.15.日志和监视策略4.15.1.此策略为了对公司内部服务器和网络设备运转状况进行监视，确保设备安全运转，且在遇到故障时能通过查看设备的相关日志，分析问题原因和及时排除故障，适用于公司所有电子设备。特制定本管理策略。a）启用服务器和网络设备的日志记录功能，记录重要事件日志，包括人员登录信息和操作信息。b）定期对服务

29、器日志和网络设备日志进行检查，以便发现可疑的登录信息或操作信息。c）日志检查应保留检查记录，XX不得删除日志信息。d）制定对服务器进行定时系统检查的计划， 检查内容应包括： 硬件有无报错、 系统存储空间、 CPU 和内存利用率、中间件状态、数据库状态等。e）制定对网络设备进行定时系统检查的计划，检查内容应包括：硬件有无报错、系统存储空间、CPlffi内存利用率、端口状态、路由表状态等。f）若发现系统异常，应立即进行异常分析和处理，并保留异常分析和处理记录。4.16.网络与信息传输安全策略4.16.1.此策略为保证信息在计算机网络与信息传输过程中的信息安全，使业务服务数据有效安全，特制定此策略，适用于公司整个计算机网络。a）根据信息重要程度等因素，在公司内部网络中划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段。b）重要网段与其他网段之间采取可靠的技术隔离手段。公司办公网和测试网采取物理隔离，