信息安全管理控制程序.docx

信息安全管理控制程序1.2.目的范围3.1. 保密制度33.2. 保密措施33.3. 人员要求44.计算机安全管理44.4. 软件安装54.5. 硬件维护54.6. 计算机管理考核54.7. 网络维护64.8. 安全过程管理65.1.运维信息安全管理过程事件和风险的识别65.2.运维信息安全管理过程风险的评估75.2.1.计算方法95.2.2.风险等级95.2.3.不可接受风险的确定95.3.运维信息安全管理过程风险的处置95.4.运维信息安全管理过程的改进101 .目的为了防止信息和技术的泄密，导致严重灾难的发生，特制订以下安全规定。2 .范围信息安全范围包括：a）公司股东、董事会资料、会议记录、纪要、保密期限内的重要决定事项；b）公司的年度工作总结，财务预算决算报告，缴纳税款，营销报表和各种统计报表；C）公司有关销售业务资料，货源情报和对供应商调研资料；d）公司开发设计资料，技术资料和生产情况；e）客户提供的一切文件、样板等；f）公司各部门人员编制、调整、未公布的计划、员工福利待遇资料、员工手册；g）公司的安全防范状况及存在问题；h）公司员工违法违纪检举、投诉、调查资料、发生案件、事故的调查登记资料；j）公司、法人代表印章、营业执照、财务印章、合同协议。3 .保密制度3.1. 保密制度a）文件、传真邮件的收发登记、签发、催办、清退、借阅、归档有指定人员处理；b）凡涉及公司内部秘密的文件资料的报废处理，必须首先碎纸，不准未经碎纸丢弃处理：C）公司员工本人工作所持有的各种文件、资料、电子文档（磁碟，光盘等）当本人离开办公室外出时，必须存放于文件柜或抽屉，不准随意乱放，未经批准，不能复制抄录或携带外出；d）未经公司领导批准，不得对外界提供公司的任何保密资料；e）未经公司领导批准，不得向外界提供客户的任何资料；f）妥善保管好各种财务账册、公司证照、印章。3.2. 保密措施a）不要将机密文件及可能受保护文件随意存放，文件的存放分类分目录存放与指定位置；b）未经领导及他人许可，不要打开或尝试打开他人的文件，以避免泄密或文件的损坏;C）对不明来历的邮件或文件不要查看或尝试打开以避免计算机中病毒或木马，并尽快请电脑上人员来检查；d）在一些邮件中，如果出现一些附加名是EXE,COM等可执行的附件或是其它可疑附件时，请先用杀毒软件详细查杀后再使用，或请电脑室人员处理；e）不要随便尝试不明的或不熟悉的计算机操作步骤，遇到计算机发生异常而自己无法解决时，立即通知专业人员解决;f）不要随便安装或使用来源不明的软件和程序，不要随便允行或删除电脑上的文件或程序，不要随便更改计算机参数等；g）收到无意义的邮件后，应及时清除，不要蓄意或恶意回复这些文件；h）不向他人披露使用的密码防止他人接触计算机系统造成意外；i）定期更换密码，如发现密码已泄密，就尽快更换，预设的密码及由别人提供的密码应立即更改，定期用杀毒程序扫描计算机系统，对于新的软件、档案或电子邮件，应选用杀毒软件扫描，检查是否带有病毒，有害的程序编码，进行适当的处理后才可开启使用；j）现已加密技术保护敏感的数据文件，然后才通过公司的网络及互联网进行传送，在适当的情况下，利用数字证书为信息及数据加密或加上数字签名；k）关闭电子邮件所备有自动处理电子邮件附件功能，关闭电子邮件应用系统或其它应用软件中可自动处理的功能，以防电脑病毒入侵；D对于不熟悉的人员请不要让其随意使用你的计算机，如非要使用，应有人仔仔其身旁监督：m）不要随意将公司或个人文件发送给他人或打开给他人查看或使用；n）在计算机使用或管理上如有任何疑问，请询问电脑室人员。3.3. 人员要求a）公司中层以上领导，要自觉遵守保密制度；b）公司各部门要运用各种形式经常对所属员工进行保密教育，增强保密观念；C）全体员工自觉遵守保密基本准则，做到：不该说的机密，坚决不说，不该看的机密坚决不看（含超越自己职责、业务范围的文件、资料、电子文档）；d）对员工依照公司本规定，保守公司秘密，发现他人泄密，立即采取补救措施，避免或减轻损害后果的，对泄密或者非法获取公司秘密的行为及时检举投诉的，按照有关规定给予奖励；e）对员工因不遵守公司规定，造成泄密事件，依照有关法规及公司的奖惩规定，给予纪律制裁、解雇、直至追究刑事责任。4 .计算机安全管理4.1. 适用范围涉及组织范围内的计算机设备。4.2. 安全要求a）一般工作计算机不安装软驱和光驱，如有安装软驱和光驱的计算机，每次使用磁盘都要使用杀毒软件检查；b）对于联网的计算器，任何人未经批准的情况下，不得向计算机内考入软件或文档；C）数据的备份由相关专业负责人管理时，备份用的软盘由专业负责人提供；d）软盘光盘等在使用前，必须确保无病毒；e）计算机一经发现病毒，应立即通知电脑室专业人员处理；f）工操作员在离开前应退出系统并关机；g）任何人未经操作员同意，不得使用他人的计算机。4.3. 监督措施a）由专业人员负责所有计算机的检测和清理工作；b）由智能制造部的专业人员根据上述作业计划进行检测；c）由经理负责对防范措施的落实情况进行监督。4.4. 软件安装对于尚未联网的计算机，其软件的安装由智能制造部负责，任何计算机按装软件时，由相关人员提出书面报告，经经理同意后，由智能制造部负责安装，软件出现异常时，应通知智能制造部专业人员处理，所有计算机不得安装游戏人件，数据的备份由相关专业负责人管理，备份用的软盘由专业负责人提供。4.5. 硬件维护硬件维护人员在拆卸计算机时，必须采取必要的防静电措施，硬件维护人员在作业完成后或准备离去时，必需将所拆卸的设备复原：要求个专业负责人认真落实所辖计算机及配套设备的使用的保养责任，要求个专业负责人采取必要措施，确保所用的计算机及外设始终处于整洁和良好的状态，所有带锁的计算机，再使用完毕或离去前必须上锁，对于关键的计算机设备应配备必要的断电保护电源。各单位所辖计算机的使用、清洗和保养工作，由相应的专业负责人负责，各专业负责人必须经常检查所辖计算机及外设的状况，及时发现和解决问题。4.6. 计算机管理考核由于计算机设备已逐步成为我们工作中必不可少的重要工作，因此决定将计算机的管理纳入对各专业负责任的考核范围，并将严格实行。a）凡是发现以下情况的，根据实际情况追究当事人及其直接领导的责任：D计算机感染病毒；2）私自安装和使用未经许可的软件；3）计算机具有密码功能却未使用；4）离开计算机确未退出系统或关机；5）擅自使用他人计算机或外设造成不良影响或损失；6）没有及时检查或清洁计算机及相关外设。b）凡发现由于以下作业而造成硬件的损坏或丢失的，其损失由当事人负责：1）违章作业；2）保管不当擅自安装、使用硬件和电气装置。C）员工的电子邮件可能会给企业网络带来好几种漏洞，例如收到不请自来的邮件却亳无警惕的打开其附件，或是未对附件文件扫描是否有病揖藏匿其中便直接开启文件等等，此外企业若不主动将新的病毒库派送到员工的的计算机上，那么就算员工每次都很谨慎扫描文件，确定没有病毒后才打开文件，仍然又被病毒感染的危险，更有甚者若是放人不当的电子邮件、色情或其它具有攻击性的内容在办公室到处流窗，企业更有可能会面临法律上的种种问题；d）密码是大部分企业的主要弱点，因为人们为了节省时间，常常会共享或选择简单的密码，密码若不够复杂，便很容易被别人猜测到并用来取得机密资料，其实网络安全的弱点还在于不是只有使用者而已，若态度不够谨慎，只要稍微运用一下手腕便可让他们吐露出来，例如通过电话或电子邮件假装一下，通常就能把员工的密码骗到手；e）全不知道如何防范各式各样的安全漏洞，例如通过社交手段套取等等，便会使得企业门户大开，人员受到各种攻击，未受到正确训练或不满意工作的员工更可能把企业独家或敏感资料泄露给竞争对手等不应该接触的这些资料的人；f）企业应决定由谁负责主导政策的制定与执行，行政事业部则应在员工的新进训练时以书面告知公司的政策，待员工同意后要求其签名确认以了解并愿意遵守公司相关规定，之后必须严格执行规定，绝对不能例外。公司制定的政策内，应明确制定违反规定的处罚细则。-般而言，安全系统与网络管理人员应该建构安全防护机制，成立紧急应变小组以应对可能发生的漏洞，并与行政事业部密切合作，随时报告可疑的状况。4.8. 网络维护a）设立网际网络使用规范，让员工了解公司对员工个人使用电子邮件与计算机的规定,此外，明确网络使用规范可提而IT人员设定与监视网络安全方案的效率；b）采集能够扫描邮件是否含有不适当内容的技术，并记录违反公司管制规定的网络行为。法律专家认为，监视员工的电子邮件与网络行为在公司而对法律诉讼时，有利于保护公司本身，因此企业应当设立使用规范，并采用内容监视机制，保护员工不受任何骚扰；C）训练员工了解如何应该及时下载最新的防毒更新资料，如何辨认电脑是否有可能中毒，并教导员工如何开启档案之前扫描档案是否有毒；d）修补软件的漏洞，降低病毒透过网面或电子邮件渗入企业网络的机会；e）制定密码使用规范，要求员工经常更改密码，并教育员工防范社交欺骗；f）审查每个员工是否需接触机密资料，并严格限制机密资料，并严格限制机密资料只开于工作上绝对需要的员工使用；g）警告员工下载免费软件等各种程序可能引起的危险。5 .运维信息安全过程管理5.1. 运维信息安全管理过程事件和风险的识别运营部应在运维管理过程中，针对客户的特点识别与运维管理过程中相关的一切风险和事件，风险分类和来源包括但不限于以下几个方面：软件、硬件、人员、文档、数据、知识产权等。对于识别出来的风险，应记录到风险识别清单中。运维项目中的信息安全事件识别和处置过程应记录在信息安全事件管理记录单中。运营部指定专人每个月进行一次信息安全事件记录过程检查。信息资产的密级分为：绝密、机密、秘密、敏感和一般共5类：a) “绝密”：按中华人民共和国保守国家秘密法中指定的秘密和不可对外公开、若泄露或被篡改会对本组织的生产经营造成特别严重损害的事项；b) “机密”：是指不可对外公开、若泄露或被篡改会对本组织的业务造成严重损害，或者由于业务上的需要仅限有关人员知道的事项：c) “秘密”：是指不可对外公开、若泄露或被篡改会对本组织的业务造成损害，或者由于业务上的需要仅限有关人员知道的事项；d) “敏感”：是指为了日常的业务能顺利进行而向组织内部员工公开、但不可向组织以外人员随意公开的事项；e) “一般”是指可向组织以外人员随意公开的事项。5.2. 运维信息安全管理过程风险的评估应对所有的运维管理过程中的风险进行风险评估，评估应考虑威肋、脆弱性、威胁事件发生的可能性和威胁事件发生后对运维管理过程造成的影响程度及已经采取的措施等方面因素。首先识别威肋,：威胁是对组织及其资产构成潜在破坏的可能性因素，造成威胁的因素可分为人为因素和环境因素。威胁作用形式可以是对信息系统直接或间接的攻击，例如非授权的泄露、篡改、删除等，在保密性、完整性或可用性等方面造成损害；也可能是偶发的、或蓄意的事件。威胁可基于表现形式分类。例如可分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、网络攻击、黑客攻击技术、物理攻击、泄密信息、篡改、抵赖等。运维管理过程中根据资产本身所处的环境条件，识别每个资产所面临的威胁。第二识别脆弱性：脆弱性是对一个或多个资产弱点的总称。脆弱性是资产本身存在的,如果没有相应的威胁发生，单纯的脆弱性本身不会对资产造成损害。而且如果系统足够强健，再严重的威胁也不会导致安全事件，并造成损失。即，威胁总是要利用资产的弱点才可能造成危害。资产的脆弱性具有隐蔽性，有些弱点只有在一定条件和环境下才能显现，这是脆弱性识别中最为困难的部分。需要注意的是，不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能是一个脆弱性。脆弱性识别将针对每一项需要保护的资产，找出可能被威胁利用的脆弱性，并对脆弱性的严重程度进行评估。脆弱性识别时的数据应来自于资产的所有者、使用者，以及相关业务领域的专家和软硬件方面的专业人员。脆弱性识别主要从技术和管理两个方面进行，技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理和组织管理两方面，前者与具体技术活动相关，后者与管理环境相关。分析威胁发生频率等级标识分级定义1很低几乎不可能出现的频率极小（或=1次/十年）；仅可能在非常罕见和例外的情况下发生2低不太可能出现的频率较小（或七1次/两年）；或一般不太可能发生；或没有被证实发生过3中可能出现的频率中等（或*1次/半年）；或在某种情况下可能会发生；或被证实曾经发生过4高很可能出现的频率较高（或*1次/月）；或在大多数情况下很有可能会发生；或可以证实多次发生过5极高非常可能出现的频率极高（或次/周）；或在大多数情况下几乎不可避免；或可以证实经常发生过分析脆弱性被利用率等级标识定义1很低强度好，如果被威胁利用，造成损害的可能性=5%2低强度不好，如果被威胁利用，5%造成损害的可能性=30%3中等脆弱，如果被威胁利用，30冰造成损害的可能性二70%4高很脆弱，如果被威胁利用，70宗造成损害的可能性二95%5很高非常脆弱，如果被威胁利用，造成损害的可能性95%对于已经有的安全措施要进行确认：应对已采取的安全措施的有效性进行确认，对有效的安全措施继续保持，以避免不必要的工作和费用，防止安全措施的重复实施。对于确认为不适当的安全措施应核实是否应被取消，或者用更合适的安全措施替代。安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性，如入侵检测系统；保护性安全措施可以减少因安全事件发生对信息系统造成的影响，如业务持续性计划。已有安全措施的确认与脆弱性识别存在一定的联系。一般来说，安全措施的使用将减少脆弱性，但安全措施的确认并不需要与脆弱性识别过程那样具体到每个资产、组件的弱点，而是一类具体措施的集合。已有安全措施一般会通过控制资产的威胁和脆弱性降低资产的固有风险，因此需要对威胁程度和脆弱性进行打分。5.2.1.计算方法根据威胁发生频率和脆弱性被利用率及资产重要程度，通过相乘法得出风险值。5.2.2.风险等级风险等级根据风险值划分为五级，等级越高，风险越高。等级等级划分标识描述11-100低风险一旦发生造成的影响几乎不存在，通过简单的措施就能弥补。2101-200一般风险一旦发生造成的影响程度较低，一般仅限于组织内部，通过一定手段很快能解决。3201-300高风险一旦发生会造成一定的经济、社会或生产经营影响，但影响面和影响程度不大。4301-400高风险一旦发生将产生较大的经济或社会影响，在一定范围内给组织的经营和组织信誉造成损害。5401-500高风险一旦发生将产生非常严重的经济或社会影响，如组织信誉严重破坏、严重影响组织的正常经营，经济损失重大、社会影响恶劣。5.2.3.不可接受风险的确定根据风险等级，等级为3,4,5的为高风险，为不可接受的风险。导出信息安全风险评估表，报总经理批准。5.3. 运维信息安全管理过程风险的处置对风险应进行处理。对可接受风险，可保持已有的安全措施；如果是不可接受风险（高风险），则需要采取安全措施以降低、控制风险。对不可接受风险，应采取新的风险处理的措施，规定风险处理方式、责任部门和时间进度,高风险应得到优先的考虑。风险处理方式说明标识描述保持现有控制措施完全可以应付或防止此风险的发生，控制措施保持不变控制现有控制措施不足或没有控制措施，必须制作重新相应的对策防止此风险发生接受控制现有风险所花费的成本过高、超出公司随范围且风险发生的可能性极小或没有适当的解决方案，公司决定接受此风险避免公司放弃可能涉及此风险的行为，以保证风险不会发生转移将风险转嫁至其他公司或第三方人员身上，公司内部不再对此风险作任何控制措施针对运维项目，风险评估小组导出信息安全风险评估报告，陈述信息安全管理现状,分析存在的信息安全风险，提出信息安全管理（控制）的建议与措施，提交信息安全管理小组进行审核。信息安全管理小组考虑成本与风险的关系，对信息安全风险评估报告及风险处理计划的相关内容审核，对认为不合适的控制或风险处理方式等提出说明，由风险评估小组协同相关部门重新考虑信息安全管理小组的意见，选择其他的控制或风险处理方式，并重新提交信息安全管理小组审核，由行政事业部批准实施。责任部门按照批准后的风险处理计划的要求采取有效安全控制措施，确保所采取的控制措施是有效的。5.4. 运维信息安全管理过程的改进依据运维项目风险评估报告，进行分析风险发生的原因。依据原因分析结果根据企业的资金和技术，确定、增加或调整适当的信息安全控制措施。并在项目运维管理过程中的信息安全管理进行相应的改进。