信息安全管理规定.docx
《信息安全管理规定.docx》由会员分享,可在线阅读,更多相关《信息安全管理规定.docx(16页珍藏版)》请在冰点文库上搜索。
信息安全管理规定
信息安全管理细则
(InformationSecurityPolicy-DetailedRegulations)
信息安全管理细则
1.信息的制作,发行
为了维持信息的机密性-完全性-可用性、根据附录的机密区分来正确的区别,然后需要根据那个对应的区分来使用。
信息的制作或者发行人必须遵守以下内容。
(1) 信息的制作发行时必须对应机密区分来分类信息,也必须明确必要的标示。
(2) 在引用多项且机密区分不一样的信息资产的情况、根据高的那个机密区分。
(3) 关于从公司外收到的信息情报如果对方没有机密区分的话,也必须对应公司内的机密区分原则来区别,给出必要的明确标示。
(4) 在使用或者引用外部的信息情报时,必须保证不违反签订的守秘义务。
(5) 在使用或者引用外部的信息情报时,不能侵犯知识产权。
2.信息的使用人
信息情报的使用人为了根据机密区分来正确使用对待信息情报,必须遵守以下事项。
(1) 各本部、各据点的使用者,必须遵守对应各本部,各据点的机密区分的权限范围,开放权限方法,必要的合约,手续等处理方法而制定的信息安全管理方法书。
(2) 从有机密区分的他公司得到的信息情报,必须使用能够区分于公司内的信息情报的管理方法来明确为外公司的信息情报。
(3) 没有给与正当权限的信息情报不可以访问。
(4) 不可以行使妨碍使用信息情报的行为。
(5) 不可以篡改或者删除信息情报。
(6) 极秘,秘密,部外秘,社外秘的信息情报不能开放给当事人以外的人员。
(7) 从业务的必要性出发,极秘,秘密,部外秘,社外秘的信息情报等开放给他公司的情况,必须在事前签署关于守秘义务的合约。
(明确标示信息情报为守秘义务对象,收取人的义务,合同的有效期间)。
(8) 业务目的以外不可以把信息情报带出公司。
业务目的而带出信息情报时,必须根据机密区分来处理。
3.职场的安全对策
以规避职场的安全风险、防止信息情报泄露等安全事故发生为目的。
(1)存有重要度高的信息情报的外部记录媒体必须保管在有锁关闭的场所。
(2)为了防止笔记本电脑的不正常使用和内部的硬盘安全事故的发生,必须设定硬盘加密。
另外,台式电脑也尽可能的以笔记本电脑为基准。
(3)为了防止笔记本电脑的盗窃,回家时,必须保管在有安全锁固定或者必须用钥匙才能开启的地方。
另外,离开座位或者拿到会议室的情况下,必须注意不要发生盗窃,遗失。
(4)为了防止别人的不正常操作或者偷窥的发生,要设定有密码的屏保。
离开座位时必须强制执行锁定电脑的操作。
屏保启动的时间设置最大不超过10分钟。
回家时必须把PC的电源关闭。
(5)使用复印机,传真机,打印机等设备时,不可以把文档放置不管。
特别是重要度比较高的文档在打印以及收发信时,应该站立在设备边。
(传真机收发信时)
(6)发传真以及电子邮件时,必须确认好对方的号码或者地址,防止错误的发送。
(7)信息系统部必要时对办公室进行安全性检查。
4.PC等信息情报设备的安全对策
公司内以及公司以外使用PC等信息情报资产时确保它的机密性完整性实施防范可能发生的各种问题的对策。
4.1PC等信息情报设备的使用
(1)严禁使用公司分配借出以外的信息情报设备。
能够允许接入公司的网络等信息资产的信息情报设备只能是公司分配或者借出的信息资产。
不是公司的设备一律不允许接入。
但是通过信息管理员申请,信息系统部承认的情况下除外。
(2)针对信息情报设备的追加以及改造变更,需要得到信息系统部的许可。
(3)为了保护信息情报资产的盗窃以及丢失,必须实施物理层面的管理对策。
(笔记本PC的安全绳索固定,需要钥匙开启的场所保管,办公室会议室的锁定)
(4)盗窃以及遗失等风险高的USBMemory等记忆媒体特别需要注意使用。
・原则上必须使用公司指定的有安全措施的记忆媒体。
・在没有得到许可时不可以使用他人的记忆媒体。
・对于存储在记忆媒体里的机密信报,必须采取根据机密区分的措施。
(利用密码来保护或者加密技术等)
・为了防止信息情报的泄露,不需要的机密情报必须及时的删除或者废弃。
(5)当知道本公司信息情报以及情报设备的盗窃遗失等信息情报泄露发生时或者知道有可能发生信息泄露时,必须及时通知信息管理责任人,根据公司的信息泄露时的【初期对应手册】【信息泄露时的对应手册】来对应。
4.2PC等信息情报设备里安装软件
(1)PC等信息情报设备里原则上只能安装指定的软件。
(2)必须导入公司指定的资产管理以及安全对策软件。
(3)在公司指定软件以外,由于业务上不得不导入的理由,必须由部门长向信息系统部提交申请,获得许可。
(4)公司提供的软件要根据制定的规则获得,安装,不可以使用于个人的目的以及Compliance上禁止的软件。
(5)安装的软件必须是信息系统部门规定的版本。
4.3他人的PC等信息设备的利用限制
公司提供的借出PC等信息设备限定本人使用,不能随便借给他人,也不能随便使用他人
的PC等信息设备。
4.4公司外PC等信息设备使用时的注意事项
(1)若要把PC等信息设备带出公司,必须得到信息情报管理责任人的承认许可。
(2)若把PC等信息设备带出公司,必须注意可能被偷窃,丢失。
(3)带出公司外的信息情报必须注意根据机密区分和使用方法来给予密码保护等措施来防止信息泄露。
(4)若要从外部据点连接公司内部网络,必须使用指定的连接方式来通信连接。
(5)信息设备若遗失或者被盗窃,必须立即向信息情报管理责任人汇报,来接受具体的指示进行对应处理。
4.5PC等信息设备的报废、归还
PC等信息设备的报废或归还时,依照【电子记录媒介报废、归还流程】,该记录媒介内
的信息,必须采取使其无法辨别的措施。
5.用户认证(用户ID和密码)
为了保护PC等信息设备里存储的信息情报,必须实施用户的认证等管理对策。
5.1采用用户认证的安全确保
信息系统部门不仅仅针对连接网络,针对重要的系统以及应用也必须采用用户认证(ID和密码)来确保安全。
・用户只能使用被许可的用户ID,不能把ID借出给他人。
5.2密码
(1)信息系统部提供的初始密码必须在最初登陆时修改。
(2)最长60天内修改设置的密码
(3)密码是字母数字混合的8位以上的,不容易被他人猜测的。
另外不要把密码贴在可能被人看得见的地方。
若知道密码可能已经被他人知晓时应立即修改。
(4) パスワードは保持せず、毎回入力する。
5.3忘记密码时的处理
(1)忘记密码的情况,请本人向信息系统部申请发送新的密码。
(2)信息系统部必须确认申请人真的是本人。
(3)收到申请新密码的信息系统部应及时发行新的密码,通知本人。
6.病毒对策
6.1反病毒的安装
为了防范由于病毒引起的信息情报泄露或者系统破坏等事件的发生为目的。
对象为连接公司的信息资产PC。
(1)PC以及文件服务器还有邮件GateWay上必须导入信息系统部制定的反病毒软件,经常确认工作正常。
6.2反病毒软件的使用
(1)PC利用人需要设定导入在PC内的反病毒软件一直工作,而且需要设定为访问文件时以及电子邮件收发室,随时都能扫描。
(2)PC使用者必须根据信息系统部定义的方法来针对整个PC进行病毒的扫描。
(3)PC使用者必须根据信息系统部制定的方法来设定为保持病毒库最新。
6.3防止PC上通过电子邮件的病毒侵害
(1)发信方不明的邮件里的附件文件或者可执行文件等可疑的附件不能再继续增加任何操作。
(2)使用电子邮件中发现病毒或者发现有疑似中毒的症状时,及时联系信息系统部来对应处理。
6.4设置信息系统部的病毒对策窗口
(1)公司内部迅速收集病毒感染状况的窗口为信息系统部。
(2)信息系统部掌握公司内的病毒感染状况,预测到可能感染扩大时,启动【回复管理】的流程。
6.5反病毒软件检测到病毒时
(1)PC使用者使用反病毒软件的删除功能来去除病毒。
(2)除去病毒的结果向信息系统部汇报。
6.6被病毒感染时
PC使用者发现PC的异常状况时立即切断网络隔离,向信息系统汇报,接受对应的指示。
7.公司内网络等信息资产的使用
信息系统部以保持机密以及信息资产的保护,有效的活用为目的进行使用上的管理。
公司内网络的使用者(以上称为网络使用者)业务目的以外的理由不能使用公司内的网络以及英特网等信息资产。
7.1业务目的以外禁止使用公司内网络以及英特网等信息资产
(1)公司内网络是公司的信息资产业务目的以外不能使用电子邮件以及website。
英特网的使用也是同样。
信息系统部能够对电子邮件,网络和WEBSITE的访问状况保障和监控。
(2)不能使用信息资产来从事损害公司的利益的行为活动。
(3)在使用信息资产时获得的公司业务上信息情报不能在个人的活动中公布,使用。
(4)没有得到信息系统部的许可不能在公司内的网络上构建文件共享,电子邮件服务器,WEB服务器,FTP服务器。
(5)不能使用他人的用户ID来进行公司内网络和公司外网络已经英特网的访问。
(6)网络使用者不能使用超过允许的范围使用公司内部网络,公司外部网络以及英特网上的服务器。
(黑客行为)
7.2利用网络来收发机密信息
利用网络来进行信息情报交换时,必须根据机密区分规则来考虑下面事宜,进行适宜的信息保护。
(1)发送给正确的接收方
(2)使用密码来保护附件
(3)加密技术的使用
(4)禁止使用从外部系统到公司内部邮件系或者从内部邮件系统到外部邮件系统的自动转发功能
7.3可能使用的英特网服务
(1)网络使用者在使用英特网时不能使用电子邮件,WEB访问,公司指定以外的系统。
(2)网络使用者在连接在公司内部网络的PC上不能使用公司电子邮件服务以外的电子邮件服务。
7.4连接公司内部网络时的注意事项
(1)用信息设备连接网络时,必须使用指定的申请手续得到信息系统部的承认许可。
(2)不能使用个人物品信息设备来连接公司网络。
(3)为了业务的目的需要把公司以外的信息设备带入公司,或者连接到公司网络时,必须得到该业务部门以及信息系统部的承认许可。
(4)出差时等连接过外部网络的PC应该进行病毒检查和安全检查,确认没有发现异常现象后才能连接公司内部网络。
(5)网络使用者不能使用公司制定方法以外的方式来连接公司内部网络。
8.电子邮件的使用
为了确保电子邮件获得的信息情报的安全性,防范在使用电子邮件时可能发生的各种问题为目的。
电子邮件和网络的保护
(1)不能使用电子邮件从事业务目的以外的活动
(2)收到垃圾邮件时,不能转发给他人。
另外发现可能收到垃圾邮件时,应该联络信息系统部来进行对应处理。
※垃圾邮件:
没有委托过就收到的广告邮件以及多人间转发流传的可疑邮件。
(3)电子邮件的发送必须考虑发送邮件的大小。
能够发送的邮件大小由信息系统部规定。
9.监控
公司为了保护信息安全,能够对通信的记录,通信的内容进行抓取,监控。
(1) 信息系统部门为了防止违反信息安全管理规定规定里规定的对策功能无效等损害信息安全,必须针对对信息系统和文件服务器的访问以及邮件,WEB使用,打印以及PC中截屏等日志进行获取以及监控来定期的对必要的信息记录,保护来检查可能的问题预兆或者发生问题的分析、
(2)公司指定的监察人可以对电子邮件,英特网的通信记录,通信内容进行阅览。
10.记录的保存
(1) 法令,规则,合同等里指定的,必须针对对象信息情报来进行信息情报的遗失,破坏,篡改等保护。
(2) 各部门的信息情报管理者必须维持、记录法令、规章制度、合同等里规定的对象。
(3) 各部门的信息情报管理者必须指定针对包含下面的项目进行的对象信息情报的保护方法
① 各种记录,保存期间,记录介质等信息的分类
② 保护信息情报的对策
(4) 当事人必须根据部门里指定的方法来使用和处理对象信息情报。
(5) 其他的以机密文档处理细则为准。
附录
机密区分
信息情报安全的机密区分如下:
极秘
秘密
定义
(基本原则)
・・该项信息若泄露给特定人以外会造成竞争力下降或者违法行为等对组织延续有直接影响的信息情报
・・关联法律法规,合同里规定有守秘义务的重要信息情报。
・・收到的客户已指定为该类机密的信息情报
・・若泄露给特定的当事人以外会造成公司利益损坏或者竞争力下降的信息情报。
・・相关法律法规,合同里被规定为守秘义务的重要信息。
公开范围
・严密地限制在特定人员内
・仅仅特定的当事人间共享
管理
・各本部内设定文件夹
・ ・信息的开放必须全部记录
・・设定密码的数据收发必须把信息情报(数据)和密码分开。
・各部门里设定文件夹
・ ・信息的开放全部记录
・・设定密码的数据收发必须把信息情报(数据)和密码分开。
复印
打印
・原则禁止
・・业务上有必要时由项目组长或者本部长承认。
・原则禁止
・・业务上有必要时由信息情报管理责任者承认
社内邮件
(包含AFL)
・原則禁止
・业务上有必要时由项目组长或者本部长承认。
・设置密码
・原則禁止
・业务上有必要时由信息情报管理责任者承认
・希望设置密码
涉外邮件
・原則禁止
・业务上有必要时由项目组长或者本部长承认。
・设置密码
・原則禁止
・业务上有必要时由信息情报管理责任者承认
・设置密码
外部介质
・禁止
・原则禁止止
・业务上有必要时由信息情报管理责任者承认
・设置密码(记忆体本身)
部门间数据交换
・禁止
・原则禁止
・业务上有必要时由信息情报管理责任者承认
・希望设定密码
标示
・必须
・必须
具体例子
・存在自身为极秘的信息
・未发表的新公司成立,合并,合作,关闭工厂等信息
・客户的个人信息
・未公开的客户信息
・从客户得到的原始数据
・个人信息
・长期战略(开发,产品等)
・全部或者部分包含了多项开发信息,生产信息等的资料(○○○开发一览表等)
・GEC资料以及议事录
备注
・各种信息集合在一起的资料(○○○一览表等)提高管理级别。
(例如部外秘的信息一览表作为秘密来考虑)
・GEC・役员会、董事会的各种提案资料原件由各部门根据内容来判断管理级别。
・公开发表前后或者签约前后的信息管理级别需重新修改
部外秘
社外秘
定义
(基本原则)
・・特定的部门(本部,Group、Team)、项目以外泄露时会造成利益损坏,混乱,误解的信息情报。
・・泄露到公司外会造成损坏利益
公开范围
・・仅仅特定的部门(本部,Group、Team)、项目成员
・利用本公司的信息当事人
管理
・各部门里设定文件夹
・・设定密码的数据收发必须把信息情报(数据)和密码分开。
・各部门内设定文件夹
・・设定密码的数据收发必须把信息情报(数据)和密码分开。
复印
打印
・可
・可
社内邮件
(含AFL)
・可
・可
涉外邮件
・可(信息管理者承认)
・希望设定密码
・可(信息管理承认)
外部介质
・可(信息管理者承认)
・设定密码(记忆体本体)
・可(信息管理者承认)
・设定密码(记忆体本体)
部门间数据交换
・可
・可
标示
・必須
・必須
具体例子
・通常公司内制作的文档
・・部分或者已被加工过的含有客户信息的公司内部资料
・各种规定,规则
・公司主页上共享的信息情报
备注
・收集了信息的资料(○○○一览表)以各个信息情报管理级别以上来管理。
・(例如部外秘的一览表以秘密为准)
・GEC・议员会、董事会上的各种提案资料的原件管理级别由各部门根据内容判断
・公开发表前后或者签订合同钱和的信息级别需要重新定义
升级会员 