資源描述:
《信息安全策略》由會員上傳分享�����,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1�、word資料下載可編輯信息安全策略文檔編號編制審核批準(zhǔn)發(fā)布日期備注本公司對本文件資料享受著作權(quán)及其它專屬權(quán)利�,未經(jīng)書面許可����,不得將該等文件資料(其全部或任何部分)披露予任何第三方�����,或進(jìn)行修改后使用。目錄1.信息資源保密策略32.網(wǎng)絡(luò)訪問策略4專業(yè)技術(shù)資料word資料下載可編輯3.訪問控制策略54.物理訪問策略65.供應(yīng)商訪問策略86.雇員訪問策略107.設(shè)備及布纜安全策略118.變更管理安全策略149.病毒防范策略1610.可移動代碼防范策略1711.信息備份安全策略1812.網(wǎng)絡(luò)配置安全策略1913.信息交換策略2014.運(yùn)輸中物理介質(zhì)安全策略2115.電子郵件
2、策略2216.信息安全監(jiān)控策略2317.特權(quán)訪問管理策略2518.口令控制策略2619.清潔桌面和清屏策略2820.互聯(lián)網(wǎng)使用策略2921.便攜式計(jì)算機(jī)安全策略3122.事件管理策略3223.個(gè)人信息使用策略3324.業(yè)務(wù)信息系統(tǒng)使用策略3425.遠(yuǎn)程工作策略3526.安全開發(fā)策略36專業(yè)技術(shù)資料word資料下載可編輯1信息資源保密策略發(fā)布部門信息安全小組生效時(shí)間2016年11月01日介紹保密策略是用于為信息資源用戶建立限制和期望的機(jī)制�。內(nèi)部用戶不期望信息資源保密���。外部用戶期望信息資源擁有完整的保密性�,除了在發(fā)生可疑的破壞行為的情況下�。目的該策略的目的是明確的溝通
3���、信息資源用戶的信息服務(wù)保密期望。適用范圍該策略適用于使用信息資源的所有人員�。術(shù)語定義略信息資源保密策略n在公司內(nèi)部保存和控制的電子文件應(yīng)該公開����,并且可以被信息服務(wù)人員訪問��;n為了管理系統(tǒng)并加強(qiáng)安全����,信息技術(shù)部小組可以記錄���、評審��,同時(shí)也可以使用其信息資源系統(tǒng)中存儲和傳遞的任何信息�����。為了達(dá)到此目的�,信息技術(shù)部小組還可以捕獲任何用戶活動�,如撥號號碼以及訪問的網(wǎng)站���;n為了商業(yè)目的���,第三方將信息委托給公司內(nèi)部保管��,那么信息技術(shù)部小組的所有工作人員都必須盡最大的努力保護(hù)這些信息的保密性和安全性���。對這些第三方來說最重要的就是個(gè)人消費(fèi)者�����,因此消費(fèi)者的賬戶數(shù)據(jù)應(yīng)該保密,并且對這些數(shù)
4�����、據(jù)的訪問也應(yīng)該依據(jù)商業(yè)需求進(jìn)行嚴(yán)格限制�;n用戶必須向適當(dāng)?shù)墓芾碚邎?bào)告公司內(nèi)部計(jì)算機(jī)安全的任何薄弱點(diǎn)�����,可能的誤用事故或者相應(yīng)授權(quán)協(xié)議的違背情況���;n在未經(jīng)授權(quán)或獲得明確同意的情況下,用戶不可以嘗試訪問公司內(nèi)部系統(tǒng)中包含的任何數(shù)據(jù)或程序���。懲罰違背該策略可能導(dǎo)致:員工以及臨時(shí)工被解雇、合同方或顧問的雇傭關(guān)系終止��、實(shí)習(xí)人員和志愿者失去繼續(xù)工作的機(jī)會、學(xué)生被開除�;另外��,這些人員還可能遭受信息資源訪問權(quán)以及公民權(quán)的損失����,甚至遭到法律起訴�。引用標(biāo)準(zhǔn)略專業(yè)技術(shù)資料word資料下載可編輯2網(wǎng)絡(luò)訪問策略發(fā)布部門信息安全小組生效時(shí)間2016年11月01日介紹網(wǎng)絡(luò)基礎(chǔ)設(shè)施是提供給所有信息資
5���、源用戶的中心設(shè)施。重要的是這些基礎(chǔ)設(shè)施(包括電纜以及相關(guān)的設(shè)備)要持續(xù)不斷的發(fā)展以滿足需求��,然而也要求同時(shí)高速發(fā)展網(wǎng)絡(luò)技術(shù)部以便將來提供功能更強(qiáng)大的用戶服務(wù)��。目的該策略的目的是建立網(wǎng)絡(luò)基礎(chǔ)設(shè)施的訪問和使用規(guī)則���。這些規(guī)則是保持信息完整性�����、可用性和保密性所必需的���。適用范圍該策略適用于訪問任何信息資源的所有人��。術(shù)語定義略網(wǎng)絡(luò)訪問策略n用戶不可以以任何方式擴(kuò)散或再次傳播網(wǎng)絡(luò)服務(wù)��。未經(jīng)信息安全小組批準(zhǔn)不可以安裝路由器��、交換機(jī)�����、集線器或者無線訪問端口�����;n在未經(jīng)信息安全小組批準(zhǔn)的情況下����,用戶不可以安裝提供網(wǎng)絡(luò)服務(wù)的硬件或軟件;n需要網(wǎng)絡(luò)連接的計(jì)算機(jī)系統(tǒng)必須符合信息服務(wù)規(guī)范���;n用
6����、戶不可以私自下載����、安裝或運(yùn)行安全程序或應(yīng)用程序��,發(fā)現(xiàn)或揭露系統(tǒng)的安全薄弱點(diǎn)�。例如,在以任何方式連接到互聯(lián)網(wǎng)基礎(chǔ)設(shè)施時(shí)�,未經(jīng)信息安全小組批準(zhǔn)用戶不可以運(yùn)行口令破解程序�、監(jiān)聽器��、網(wǎng)絡(luò)繪圖工具、或端口掃描工具;n不允許用戶以任何方式更換網(wǎng)絡(luò)硬件����;n在局域網(wǎng)上進(jìn)行文件共享時(shí)必須指定訪問權(quán)限,機(jī)密信息嚴(yán)禁使用everyone權(quán)限�����。n任何員工在訪問網(wǎng)絡(luò)資源時(shí)必須使用專屬于自己的帳號ID�����,不得使用他人的帳號訪問網(wǎng)絡(luò)資源��。n網(wǎng)絡(luò)分為辦公網(wǎng)絡(luò)和生產(chǎn)環(huán)境網(wǎng)絡(luò)�,辦公網(wǎng)絡(luò)又分為日常辦公網(wǎng)絡(luò)和專門遠(yuǎn)程訪問網(wǎng)絡(luò)n生產(chǎn)環(huán)境網(wǎng)絡(luò)必須使用vpn由專人專機(jī)訪問���,必須要提前向上級領(lǐng)導(dǎo)申請報(bào)告n不得從生
7、產(chǎn)環(huán)境下載拷貝等操作n只能從公司指定辦公網(wǎng)絡(luò)(公司專門的網(wǎng)絡(luò)通道)訪問遠(yuǎn)程的服務(wù)器n修改遠(yuǎn)程服務(wù)器的內(nèi)容必須要提前申請報(bào)告�,且要有詳細(xì)的操作步驟懲罰違背該策略可能導(dǎo)致:員工以及臨時(shí)工被解雇�、合同方或顧問的雇傭關(guān)系終止、實(shí)習(xí)人員和志愿者失去繼續(xù)工作的機(jī)會����、學(xué)生被開除;另外,這些人員還可能遭受信息資源訪問權(quán)以及公民權(quán)的損失,甚至遭到法律起訴��。引用標(biāo)準(zhǔn)略專業(yè)技術(shù)資料word資料下載可編輯3.訪問控制策略發(fā)布部門信息安全小組生效時(shí)間2016年11月01日介紹應(yīng)根據(jù)業(yè)務(wù)和安全要求����,控制對信息和信息系統(tǒng)的訪問��。目的該策略的目的是為了控制對信息和信息系統(tǒng)的訪問���。適用范圍該策略適
8�、用于進(jìn)行信
