資源描述:
《信息安全策略》由會員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫。
1、WORD格式可編輯信息安全策略文檔編號編制審核批準(zhǔn)發(fā)布日期備注本公司對本文件資料享受著作權(quán)及其它專屬權(quán)利,未經(jīng)書面許可,不得將該等文件資料(其全部或任何部分)披露予任何第三方,或進(jìn)行修改后使用。目錄1.信息資源保密策略32.網(wǎng)絡(luò)訪問策略4專業(yè)技術(shù)知識共享WORD格式可編輯3.訪問控制策略54.物理訪問策略65.供應(yīng)商訪問策略86.雇員訪問策略107.設(shè)備及布纜安全策略118.變更管理安全策略149.病毒防范策略1610.可移動代碼防范策略1711.信息備份安全策略1812.網(wǎng)絡(luò)配置安全策略1913.信息交換策略2014.運(yùn)輸中物理介質(zhì)安全策略2
2、115.電子郵件策略2216.信息安全監(jiān)控策略2317.特權(quán)訪問管理策略2518.口令控制策略2619.清潔桌面和清屏策略2820.互聯(lián)網(wǎng)使用策略2921.便攜式計(jì)算機(jī)安全策略3122.事件管理策略3223.個人信息使用策略3324.業(yè)務(wù)信息系統(tǒng)使用策略3425.遠(yuǎn)程工作策略3526.安全開發(fā)策略36專業(yè)技術(shù)知識共享WORD格式可編輯1信息資源保密策略發(fā)布部門信息安全小組生效時間2016年11月01日介紹保密策略是用于為信息資源用戶建立限制和期望的機(jī)制。內(nèi)部用戶不期望信息資源保密。外部用戶期望信息資源擁有完整的保密性,除了在發(fā)生可疑的破壞行為的
3、情況下。目的該策略的目的是明確的溝通信息資源用戶的信息服務(wù)保密期望。適用范圍該策略適用于使用信息資源的所有人員。術(shù)語定義略信息資源保密策略n在公司內(nèi)部保存和控制的電子文件應(yīng)該公開,并且可以被信息服務(wù)人員訪問;n為了管理系統(tǒng)并加強(qiáng)安全,信息技術(shù)部小組可以記錄、評審,同時也可以使用其信息資源系統(tǒng)中存儲和傳遞的任何信息。為了達(dá)到此目的,信息技術(shù)部小組還可以捕獲任何用戶活動,如撥號號碼以及訪問的網(wǎng)站;n為了商業(yè)目的,第三方將信息委托給公司內(nèi)部保管,那么信息技術(shù)部小組的所有工作人員都必須盡最大的努力保護(hù)這些信息的保密性和安全性。對這些第三方來說最重要的就
4、是個人消費(fèi)者,因此消費(fèi)者的賬戶數(shù)據(jù)應(yīng)該保密,并且對這些數(shù)據(jù)的訪問也應(yīng)該依據(jù)商業(yè)需求進(jìn)行嚴(yán)格限制;n用戶必須向適當(dāng)?shù)墓芾碚邎蟾婀緝?nèi)部計(jì)算機(jī)安全的任何薄弱點(diǎn),可能的誤用事故或者相應(yīng)授權(quán)協(xié)議的違背情況;n在未經(jīng)授權(quán)或獲得明確同意的情況下,用戶不可以嘗試訪問公司內(nèi)部系統(tǒng)中包含的任何數(shù)據(jù)或程序。懲罰違背該策略可能導(dǎo)致:員工以及臨時工被解雇、合同方或顧問的雇傭關(guān)系終止、實(shí)習(xí)人員和志愿者失去繼續(xù)工作的機(jī)會、學(xué)生被開除;另外,這些人員還可能遭受信息資源訪問權(quán)以及公民權(quán)的損失,甚至遭到法律起訴。引用標(biāo)準(zhǔn)略專業(yè)技術(shù)知識共享WORD格式可編輯2網(wǎng)絡(luò)訪問策略發(fā)布部門
5、信息安全小組生效時間2016年11月01日介紹網(wǎng)絡(luò)基礎(chǔ)設(shè)施是提供給所有信息資源用戶的中心設(shè)施。重要的是這些基礎(chǔ)設(shè)施(包括電纜以及相關(guān)的設(shè)備)要持續(xù)不斷的發(fā)展以滿足需求,然而也要求同時高速發(fā)展網(wǎng)絡(luò)技術(shù)部以便將來提供功能更強(qiáng)大的用戶服務(wù)。目的該策略的目的是建立網(wǎng)絡(luò)基礎(chǔ)設(shè)施的訪問和使用規(guī)則。這些規(guī)則是保持信息完整性、可用性和保密性所必需的。適用范圍該策略適用于訪問任何信息資源的所有人。術(shù)語定義略網(wǎng)絡(luò)訪問策略n用戶不可以以任何方式擴(kuò)散或再次傳播網(wǎng)絡(luò)服務(wù)。未經(jīng)信息安全小組批準(zhǔn)不可以安裝路由器、交換機(jī)、集線器或者無線訪問端口;n在未經(jīng)信息安全小組批準(zhǔn)的情況
6、下,用戶不可以安裝提供網(wǎng)絡(luò)服務(wù)的硬件或軟件;n需要網(wǎng)絡(luò)連接的計(jì)算機(jī)系統(tǒng)必須符合信息服務(wù)規(guī)范;n用戶不可以私自下載、安裝或運(yùn)行安全程序或應(yīng)用程序,發(fā)現(xiàn)或揭露系統(tǒng)的安全薄弱點(diǎn)。例如,在以任何方式連接到互聯(lián)網(wǎng)基礎(chǔ)設(shè)施時,未經(jīng)信息安全小組批準(zhǔn)用戶不可以運(yùn)行口令破解程序、監(jiān)聽器、網(wǎng)絡(luò)繪圖工具、或端口掃描工具;n不允許用戶以任何方式更換網(wǎng)絡(luò)硬件;n在局域網(wǎng)上進(jìn)行文件共享時必須指定訪問權(quán)限,機(jī)密信息嚴(yán)禁使用everyone權(quán)限。n任何員工在訪問網(wǎng)絡(luò)資源時必須使用專屬于自己的帳號ID,不得使用他人的帳號訪問網(wǎng)絡(luò)資源。n網(wǎng)絡(luò)分為辦公網(wǎng)絡(luò)和生產(chǎn)環(huán)境網(wǎng)絡(luò),辦公網(wǎng)絡(luò)又
7、分為日常辦公網(wǎng)絡(luò)和專門遠(yuǎn)程訪問網(wǎng)絡(luò)n生產(chǎn)環(huán)境網(wǎng)絡(luò)必須使用vpn由專人專機(jī)訪問,必須要提前向上級領(lǐng)導(dǎo)申請報告n不得從生產(chǎn)環(huán)境下載拷貝等操作n只能從公司指定辦公網(wǎng)絡(luò)(公司專門的網(wǎng)絡(luò)通道)訪問遠(yuǎn)程的服務(wù)器n修改遠(yuǎn)程服務(wù)器的內(nèi)容必須要提前申請報告,且要有詳細(xì)的操作步驟懲罰違背該策略可能導(dǎo)致:員工以及臨時工被解雇、合同方或顧問的雇傭關(guān)系終止、實(shí)習(xí)人員和志愿者失去繼續(xù)工作的機(jī)會、學(xué)生被開除;另外,這些人員還可能遭受信息資源訪問權(quán)以及公民權(quán)的損失,甚至遭到法律起訴。引用標(biāo)準(zhǔn)略專業(yè)技術(shù)知識共享WORD格式可編輯3.訪問控制策略發(fā)布部門信息安全小組生效時間201
8、6年11月01日介紹應(yīng)根據(jù)業(yè)務(wù)和安全要求,控制對信息和信息系統(tǒng)的訪問。目的該策略的目的是為了控制對信息和信息系統(tǒng)的訪問。適用范圍該策略適用于進(jìn)行信息和