資源描述:
《【精品word文檔】XXX國際貨運公司員工信息安全手冊.doc》由會員上傳分享�,免費在線閱讀�,更多相關(guān)內(nèi)容在教育資源-天天文庫�����。
1��、員工信息安全手冊上海中遠國際貨運有限公司[實施日期]2006.09.22[文號]滬中貨技術(shù)[2006]105號[適用范圍]各部室����、合資企業(yè)�、省公司、地區(qū)公司���、分公司上海中遠國際貨運有限公司本文檔只限在福建電力安全評估規(guī)劃項目第2頁共15頁福建電力及惠普項目組內(nèi)部使用員工信息安全手冊版本記錄版本編號版本日期修改者說明1.02005-10-15信息技術(shù)部本文檔只限在上海中貨所屬和所轄公司內(nèi)部使用第15頁共15頁員工信息安全手冊目錄1.目的42.適用范圍43.信息安全概要43.1.信息與信息安全43.2.信息安全的屬性43.3.上海中貨信息安全目標
2����、43.3.1.戰(zhàn)略目標43.3.2.近期目標53.4.信息安全管理體系的建設(shè)54.信息系統(tǒng)信息處理基本要求64.1.基本原則64.2.信息系統(tǒng)信息的分類64.3.信息系統(tǒng)信息訪問原則64.4.信息系統(tǒng)信息標記74.5.信息系統(tǒng)信息交換74.6.信息系統(tǒng)信息處理84.7.信息系統(tǒng)信息披露85.員工日常行為安全要求85.1.物理環(huán)境安全85.2.個人電腦使用85.3.軟件使用95.4.郵件使用95.5.網(wǎng)絡(luò)資源使用105.6.桌面、介質(zhì)管理105.7.用戶口令管理105.8.防病毒管理115.9.對第三方的管理要求115.10.安全事件處理115
3�、.11.培訓(xùn)要求126.監(jiān)督與獎懲127.信息安全組織127.1.信息安全組織架構(gòu)127.2.信息安全組織職責1358.安全策略附件對照說明15本人鄭重聲明15本文檔只限在上海中貨所屬和所轄公司內(nèi)部使用第15頁共15頁員工信息安全手冊1.目的隨著公司信息化建設(shè)的不斷深入,信息安全已經(jīng)成為國家安全�、企業(yè)安全的重要組成部分,而人又是造成信息安全隱患的重要因素�����。為保證公司信息資產(chǎn)的安全�����,防止信息資產(chǎn)被惡意破壞�����、竊取或遭到無意損壞�����,從而給公司帶來損失�,本手冊從計算機終端的基本操作入手,普及員工目前所應(yīng)掌握的信息安全基礎(chǔ)知識���,規(guī)范員工操作使用信息系統(tǒng)過
4�、程中需要遵循的基本信息安全行為,明確有關(guān)信息安全管理人員的職責責任��。2.適用范圍適用于全體員工�。3.信息安全概要3.1.信息與信息安全信息是一種資產(chǎn)����,就象其它重要的商業(yè)資產(chǎn)一樣,它對一個組織來說是有價值的��,因此需要妥善進行保護�����。信息安全保護信息免受多種威脅的攻擊�����,保證業(yè)務(wù)連續(xù)性�����,將業(yè)務(wù)損失降至最少����,同時最大限度地獲得投資回報和利用商業(yè)機遇��。3.2.信息安全的屬性信息安全具有以下特征:l機密性:只有授權(quán)的合法用戶才可以訪問信息(防止信息泄漏)���。l完整性:保護信息和信息的處理方法準確而完整(防止信息被偽造或篡改)。l可用性:確保經(jīng)過授權(quán)的用戶在需
5��、要時可以訪問信息并使用相關(guān)信息資產(chǎn)����。(保證系統(tǒng)正常運行)。3.3.上海中貨信息安全目標3.3.1.戰(zhàn)略目標信息安全的建設(shè)的根本目標是建立健全信息安全保障體系�,全面提高信息安全保障能力,做到積極防御���、綜合防范�,確?�;A(chǔ)網(wǎng)絡(luò)�、公司信息系統(tǒng)核心業(yè)務(wù)系統(tǒng)和重要信息內(nèi)容的安全,促進公司信息化健康發(fā)展��。本文檔只限在上海中貨所屬和所轄公司內(nèi)部使用第15頁共15頁員工信息安全手冊1.1.1.近期目標·提高員工信息安全意識·增強信息安全保障能力·通過信息安全測評1.2.信息安全管理體系的建設(shè)信息安全管理體系的建設(shè)的生命周期如下圖所示:本文檔只限在上海中貨所屬和
6�����、所轄公司內(nèi)部使用第15頁共15頁員工信息安全手冊公司應(yīng)當根據(jù)IT系統(tǒng)的實際應(yīng)用的情況,不斷地進行從風險分析��、制定/更新安全標準���、安全管理/技術(shù)體系的實施�、日常的管理監(jiān)控直到定期的審計這個周而復(fù)始的過程���,才能保證信息安全管理體系的時效性,以確保信息安全管理體系始終能最大程度上保護公司的的信息資產(chǎn)��,并大幅降低在信息安全上的投資���。應(yīng)當逐步建立和完善支持全面安全制度的IT安全技術(shù)架構(gòu)�����,至少包括如下工作環(huán)節(jié):o規(guī)劃��、設(shè)計并實施適合業(yè)務(wù)需要的IT安全技術(shù)基礎(chǔ)架構(gòu)���,統(tǒng)一從應(yīng)用開發(fā)到日常維護管理的安全管理流程,以取得最大的安全投資回報o不斷完善相關(guān)的信息安全
7�����、技術(shù)、產(chǎn)品和解決方案o實施安全技術(shù)解決方案o按照所定義的IT安全性需求�,完成現(xiàn)存系統(tǒng)、網(wǎng)絡(luò)設(shè)施以及應(yīng)用系統(tǒng)的改造1.信息系統(tǒng)信息處理基本要求1.1.基本原則保護信息的安全是每個員工的責任���。每個員工必須認識到信息資產(chǎn)的價值�,負責保管好自己負責的數(shù)據(jù)和信息���。1.2.信息系統(tǒng)信息的分類·涉密信息:信息系統(tǒng)中涉及《中遠集裝箱運輸有限公司劃分密級范圍的規(guī)定》中定義的內(nèi)容都屬于涉密信息�,對涉密信息的采集��、存儲����、處理、傳遞�、輸出按照《中華人民共和國保守國家秘密法》、《中遠集運保密工作手冊》的相關(guān)規(guī)定執(zhí)行����;·重要信息:信息系統(tǒng)中除了涉密信息之外,為公司特定部
8、門或特定范圍內(nèi)擁有和使用的信息�����,未經(jīng)授權(quán)進行披露會給公司�����、合作單位以及客戶帶來負面影響����。例如:信息系統(tǒng)用戶名及口令等;·內(nèi)部信息:所有不明確屬于涉密信息及重要信息的
