信息安全策略.docx

信息安全策略批准人签字审核人签字制订人签字日期：日期：日期：变更履历序号版本编号或更改记录编号变化状态*简要说明（变更内容、变更位置、变更原因和变更范围）变更日期变更人审核人批准人批准日期*变化状态：C创建，A增加，M修改，D删除1目的：制定公司在A5到A15方面的具体控制措施，以达到：1）在内部建立一套通用的、行之有效的信息安全机制；2）在全体员工中树立起信息安全责任感;提高全体员工的信息安全意识和信息安全知识水平。3）增强信息资产的可用性、完整性和保密性；2 范围：本策略适用范围，包括现有的业务系统、硬件资产、软件资产、信息、通用服务、物理安全区域、人员等。对于即将投入使用和今后规划的信息系统项目也必须参照本策略执行。3 术语和定义：ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求和ISO/IEC27001:2005信息技术-安全技术-信息安全管理实施细则规定的术语适用于本标准。4 引用文件1） ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求2） ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细则5 职责和权限1）信息安全委员会：审查批准本策略，并在公司内发布。2）信息安全工作小组：负责对信息安全策略进行编写、评审，监督和检查公司全体员工执行情况。6 信息安全方针目标：为信息安全提供管理指导和支持，并与业务要求和相关的法律法规保持一致。相关文件：信息安全管理手册信息安全方针信息安全策略风险评估控制程序管理评审控制程序和内部审核控制程序D本策略必须得到管理层批准，并向所有员工和相关第三方公布传达，全体人员必须履行相关的义务，享受相应的权利，承担相关的责任。2）策略维护和评审本策略通过以下方式进行文档的维护工作：必须每年按照风险评估控制程序进行例行的风险评估，如遇以下情况必须及时进行风险评估： 发生重大安全事故 组织或技术基础结构发生重大变更 安全管理小组认为应当进行风险评估的 其他应当进行安全风险评估的情形1）风险评估之后根据需要进行安全策略条目的修订，并在公司内公布传达。2）每年必须参照管理评审控制程序和内部审核控制程序执行公司对本策略的管理评审。7信息系统安全组织7.1内部组织目标：在组织内部管理信息安全。相关文件：信息安全管理手册信息安全交流控制程序风险评估控制程序管理评审控制程序和内部审核控制程序。1）公司成立信息安全委员会，由最高管理者对信息安全承担最终责任。具体请参照信息安全方针的附录D:信息安全组织结构图,附录E:信息安全职责说明及信息安全体系要求与部门职能分配表2）公司的信息安全具体管理工作采取信息安全工作小组统一管理方式，其他相关部门配合执行。具体请参照信息安全管理手册的附录C:信息安全组织结构图,附录D:信息安全职责说明及附录B:信息安全体系要求与部门职能分配表3）各个部门之间必须紧密配合共同进行信息安全管理体系的维护和建设。具体请参照信息安全管理手册的附录D:信息安全职责说明及附录B:信息安全体系要求与部门职能分配表。4）任何新的信息系统处理设施必须经过管理授权的过程。并更新至信息资产识别表。5）信息系统内的每个重要的资产需要明确所有者、使用者。参见信息资产识别表。6）应当与政府机构保持必要的联系共同协调信息安全相关问题。这些部门包括执法部门、消防部门、上级监管部门、电信供应商等提供公共服务的部门。7）应当与相关信息安全团体保持联系，以取得信息安全上必要的支持。这些团体包括外部安全咨询商、独立的安全技术专家等。8）信息安全工作小组每年至少进行一次信息安全风险评估工作（参照风险评估控制程序,并对安全策略进行复审。信息安全委员会每年对风险评估结果和安全策略的修改进行审批。9）每年或者发生重大信息安全变化时必须参照管理评审控制程序和内部审核控制程序执行公司内部审核。7.2外部组织目标：保持组织的被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全。相关文件：第三方服务管理规定信息安全交流控制程序、访问控制程序1）第三方访问是指非本公司人员对公司资源的访问。第三方包含如下人员： 硬件及软件技术支持、维护人员； 清洁人员、送餐人员、快递，物业以及其它外包的支持服务人员； 客户 外借人员/实习生2）第三方的访问类型包括物理访问和逻辑访问。物理访问：重点考虑安全要求较高区域的访问，包括机房、财务室等重要区域；逻辑访问：公用服务器，内部网络系统，应用系统3）对于第三方参与的项目或提供的服务，必须在合同中明确规定人员的安全责任，必要时应当签署保密协议；第三方对于内部资源的访问需要管理部门/管理人授权方可进行。8资产管理1 .1资产责任目标：通过及时更新的信息资产识别表对信息资产进行适当的保护。相关文件：风险评估控制程序信息资产密级管理规定1）所有的信息资产必须登记入册，同时资产信息应当及时更新，定期盘点。每项信息资产在登记入册及更新时必须指定信息资产的管理者，使用者，信息资产的使用者必须负责该信息资产的安全。2）应当在有形信息资产上进行标识。3）当信息资产进行拷贝、存储、传输，如邮递、传真、电子邮件以及语音传输（包括电话、语音邮件）等）或者销毁等信息处理时，应当参照信息资产密级管理规定，并制定妥善的处理步骤并执行。8 .2信息分类目标：确保信息受到适当级别的保护。相关文件：风险评估控制程序信息资产密级管理规定1）必须明确确认每项信息资产的分类，信息资产包括业务过程、硬件和设施资产、软件和系统资产、文档和数据信息资产、人员资产、服务和其他资产。（详见信息资产识别表）。2）信息必须确认其安全级别，并且需要进行标示，针对不同的级别有相应的处置方式。9人员信息安全管理1.1 1任用前目标：确保雇员、承包方人员和第三方人员理解其职责、考虑对其承担的角色是适合的，以降低设施被窃、欺诈和误用的风险。相关文件：人力资源管理程序1）对于员工，外借人员，实习生都需要进行一定的选拔。2）对于员工，外借人员，实习生都需要进行一定的背景调查，对于重要岗位的员工还需要进行特别的重要岗位背景调查。3）对于外借人员需要和其公司签订安全保密协议；对于实习生需要签订包含安全保密内容的实习协议书；对于员工要签订保密协议书。4）员工必须通过员工管理手册等文件了解公司的安全规定，了解相关的信息安全责任。5）员工及外来人员进入公司，都必须凭借书面的审批程序来申请相关的IT资源和总务资源。申请的资源以可以满足工作需要的最小限度为原则6）外借人员/实习生原则上不能够自带设备进入公司，如果进入，需要更严格的审批权限，1.2 任用中目标：确保所有的雇员、承包方人员和第三方人员知悉信息安全威胁和利害关系、他们的职责和义务、并准备好在其正常工作过程中支持组织的安全方针，以减少人为过失的风险。相关文件：人力资源管理程序、奖惩管理办法1）所有的员工、外来人员必须遵守信息安全的相关规定。2）将信息安全培训加入员工培训中，培训材料中包括信息安全策略，信息安全制度，相关奖惩办法等，并必须覆盖到全体员工；对于关键位置的人员要进行更大强度的培训。培训带有考核，结果有记录。3）对于信息安全有贡献人员进行奖励；违反信息安全规定的行为将受到惩戒，具体请参见奖惩管理办法。1.3 任用变更及终止目标：确保雇员、承包方人员和第三方人员以一个规范的方式退出一个组织或改变其任用关系。相关文件：人力资源管理程序D员工及外来人员任用变更/离开公司，都必须凭借书面的审批程序来变更/取消相关的it资源和总务资源。2）员工离职时，相关部门必须严格收回各项系统权限。10物理和环境安全10.1安全区域目标：防止对组织场所和信息的未授权物理访问、损坏和干扰。相关文档：物理安全管理规定1）必须明确划分安全区域。安全区域包括办公区域和重要区域；办公区域有明确标示，机房、财务等重要区域都处于可以独立封闭的区间。2）和外部的物理边界都进行了物理隔离，并设置门禁系统。3）最后离开人员需要进行物理安全巡检；网管每天进行网络及重要设备的巡检，参见机房管理规定。4）保证消防设备到位，消防标示完好，并定期进行消防安全教育和消防设施检查。参见物理安全管理规定。5）除非经过主管部门领导授权，在安全区域不允许使用图象、视频、音频或其它记录设备。6）公司通过不同种类的门禁卡来区别不同身份的人员；对于访客进入公司需要进行登记。7）控制外来人员对安全区域的访问，外部人员访问安全区域时必须有员工陪同，参见物理安全管理规定。10.2设备安全目标：防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断。相关文档：设备管理规定、资产管理规定、第三方服务管理规定、业务连续性管理程序1）公用服务器/网络设备都放置于机房内，少量由于接线原因放置在机房外的网络设备，都放置在锁闭的机柜内。2）机房必须有可靠的空气质量控制（温度，湿度等），配备必要的防火，防高温等设备。配备UPS电源，紧急照明等设备。3）对机房的访问进行记录和控制，以确保只有经过授权的人员才可以访问，应尽量减少对机房不必要的访问，参见机房管理规定。1.1 于重要设备的位置变更/配置变更等重要变更，需要按照规定流程进行，进行必要的可行性调查/实施和验收过程，参见设备管理规定、变更管理规定。5）对于设备的维修，重用和废弃按照相关规定进行，参见设备管理规定。6）备份介质存在在备份对象不同楼层。制定业务连续性管理程序，制定应急计划，并定期演练。7）重要设备的位置移动8）第三方支持和维护人员对重要设备提供技术支持时，必须经过安全责任人的授权或审批。并且在对重要设备现场实施过程中必须有相关人员全程陪同。11通信和操作管理1.2 操作程序和责任目标：确保信息处理设施的正确和安全操作相关文档：变更管理规定、设备管理规定、系统监控管理规定。1）对于日常维护工作必须按照规定的系统操作流程进行。2）必须建立并执行信息处理设备和信息系统变更管理流程和策略。3）处理敏感信息资产时，可以考虑分离职责，如果不实施分离，则应当对处理操作予以记录，并定期进行监督检查。4）应当分离开发、测试与运营环境，敏感数据不可拷贝到测试环境中，测试完成后应当及时清理测试环境。1.3 第三方服务交付管理目标：实施并保持信息安全的适当水平，确保第三方交付的服务符合协议要求。相关文档：设备管理规定第三方服务管理规定1）通过验收等手段确保第三方实施、运行并保持第三方服务交付协议中的约定，包括商定的安全布置、服务定义和交付等级。2）重要的第三方服务必须签订服务合同和保密协议。3）定期评价第三方服务。