还剩32页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
与超上诲信耀,电子有限公司企业标准EEVSSE-ISMS-21A/l信息安全策略应把重要的设施、设备放在适当的限制观测的位置,以减少在其使用期间信息被
9.
2.2窥视的风险,还应保护储存设施以防止未授权访问进入信息处理设施的电源和通信线路宜在地下,若可能,或提供足够的可替换的
9.
2.3保护网络布缆要免受未授权窃听或损坏,例如,利用电缆管道或使路由避开公众区域;
9.
2.4为了防止干扰,电源电缆要与通信电缆分开
9.
2.5使用清晰的可识别的电缆和设备记号,以使处理失误最小化,用文件化配线列表
9.
2.6减少失误的可能性要求专门保护的部件要予以隔离,以降低所要求的总体保护等级
9.
2.7应采取控制措施以减少潜在的物理威胁的风险,例如偷窃、火灾、爆炸、烟雾、
9.
2.8水(或供水故障)、尘埃、振动、化学影响、电源干扰、通信干扰、电磁辐射和故意破坏对于可能对重要设施、设备运行状态产生负面影响的环境条件(例如温度和湿度)
9.
2.9要予以监视所有建筑物都应采用避雷保护
9.
2.10应保护重要设施、设备,以减少由于辐射而导致信息泄露的风险9211重要的信息设施、设备必须使用支持有序关机或连续运行的不间断电源
1.
1.12对于敏感的或关键的信息系统,更进一步的控制考虑应包括
1.
1.13)在检查点和终接点处安装铠装电缆管道和上锁的房间或盒子a)使用可替换的路由选择和/或传输介质,以提供适当的安全措施b)使用纤维光缆c)使用电磁防辐射装置保护电缆d)对于电缆连接的未授权装置要主动实施技术清除、物理检查e)控制对配线盘和电缆室的访问f信息设施、设备的维护
1.3要按照供应商推荐的服务时间间隔和规范对设备进行维护
1.
3.1只有已授权的维护人员才可对设备进行修理和服务
1.
3.2要保存所有可疑的或实际的故障以及所有预防和纠正维护的记录
1.
3.3当对设备安排维护时,应实施适当的控制,要考虑维护是由场所内部人员执行还
1.
3.4是由外部人员执行;当需要时,敏感信息需要从设备中删除或者维护人员应该是足够可靠的应遵守由保险策略所施加的所有要求
1.
3.5信息设施、设备的安全处置
1.4重要的信息设施、设备在物理上应予以摧毁,或者采用使原始信息不可获取的技
1.
4.1术破坏、删除、覆盖信息,而不能采用标准的删除或格式化功能重要的信息已损坏的设施、设备可能需要实施风险评估,以确定这些设施、设备
1.
4.2是否要进行销毁、而不是送去修理或丢弃信息设施、设备的移动
1.5在未经事先授权的情况下,不允许让设施、设备、信息或软件离开办公场所
1.
5.1信息设施、设备的移动需经信息安全部门授权部门确认,在其监督下移动,做好
1.
5.2信息设施、设备移动的相关记录应设置信息设备移动的时间限制,并在返还时执行符合性检查
1.
5.3违背该策略可能导致违规人员网络访问权被限制、遭到行政处分、员工被解雇、
1.6合作方关系的终止,甚至被民事、刑事起诉变更管理安全策略10概述
10.1对影响信息安全的变更过程进行管理,确保变更的风险得到充分的识别和控制
10.
1.1公司应建立变更管理的过程,定义需要纳入变更管理的活动范围及管理的流程,并
10.2根据实施效果不断更新和完善变更管理范围
10.3公司负责的内外部信息资源的每一次变更,如操作系统、计算机硬件、网络以及
10.
3.1应用程序等所有影响公司的信息设备的环境的变更(如温度、湿度、电磁波、震动等)1032相关方的变更及相关方服务的变更
10.
3.3与信息资源相关的业务流程的变更
10.
3.4公司组织架构与职责的变更
10.
3.5变更管理流程
10.4变更由业务需求部门提交变更申请
10.
4.1变更申请必须包含变更的原因/目的、变更的方案、变更的计划以及所需要的资源
10.
4.2清单和风险分析(对受到影响的信息资源的完整性、可用性和保密性的分析)信息安全风险评估小组必须充分了解变更的原因和背景,评审可能导致变更失败的1043因素和其他风险,并提出预防的建议措施和意见每一个变更申请在执行前必须受到信息安全部门的正式批准
10.
4.4信息安全部门在下列情况下有权拒绝任何申请不充分的策划、变更的时间1045等会对关键的业务过程造成负面影响,或者会造成没有充分的资源可用,或者有不可接受的风险;在变更管理程序实施前,必须完成对所有受影响的内外部用户的通知
10.
4.6所有变更必须保留变更管理日志,必须保留的日志包括但不限于下列内容
10.
4.7)变更的提交和执行日期a)所有者和保管者信息b)实际变更的内容c)变更的结果和效果d)变更的关闭状态e变更结束后,变更管理日志需要提交给信息安全部门进行批准,以评估变更是否
10.
4.8达成预定目标且风险得到有效控制违背该策略可能导致违规人员网络访问权被限制、遭到行政处分、员工被解雇、
10.5合作方关系的终止,甚至被民事、刑事起诉病毒及恶意软件防范策略11概述
11.4防范病毒及恶意软件对公司的信息和信息处理设施的破坏
11.
1.1禁止使用未经授权的软件
11.2建立应用程序白名单,以防止或发现未授权软件的使用
11.3建立网站黑名单,以防止或发现已知或可疑的恶意网站的访问
11.4定期评审支持关键业务过程的系统中的软件和数据,对任何未批准的文件或者未授
11.5权的修改,都要进行正式调查安装并定期更新病毒及恶意软件检测和修复软件,定期扫描计算机和存储介质
11.6所有连接到局域网的工作站必须安装使用信息安全部门批准的病毒及恶意软件检
11.
6.1测和修复软件不能为了降低病毒保护软件的自动更新频率而对其进行更改
11.
6.2病毒及恶意软件检测和修复软件必须不能被禁用或被绕过
11.
6.3病毒及恶意软件检测和修复软件的更改不能降低软件的有效性
11.
6.4与互联网连接的文件服务器必须安装使用信息安全部门批准的病毒及恶意软件检
11.
6.5测和修复软件,并定期检测、清除可能感染共享文件的病毒在使用通过网络或任何形式的存储介质得到的文件前,要扫描病毒及恶意软件
11.
6.6在使用电子邮件附件和下载前,要扫描病毒及恶意软件
11.
6.7要扫描网页的病毒及恶意软件
11.
6.8病毒及恶意软件检测和修复软件不能自动清除并引起安全事故的病毒,必须向信
11.
6.9息安全部门报告信息安全部门授权部门负责恶意代码防护、修复软件使用培训、病毒袭击和恢复报
11.7告信息安全部门制定适当的业务持续性计划,为从恶意代码攻击中恢复,包括所有必
11.8要的数据、软件备份以及恢复安排信息安全部门应制定并实施文件化的程序,验证所有与病毒及恶意软件相关的信息
11.9并且确保警报公告的内容准确详实管理员应当确保使用合格的信息资源,防止引入真正的恶意代码所有用户应有防欺骗的意识,并知道收到欺骗信息时如何处置
11.10违背该策略可能导致违规人员网络访问权被限制、遭到行政处分、员工被解雇、
11.11合作方关系的终止,甚至被民事、刑事起诉信息备份安全策略12概述
12.1规范公司所有重要业务数据、文档和软件等信息资源的完整性和可用性,对信息
12.
1.1进行备份,以防止自然灾害或人为破坏造成的信息毁灭信息安全部门和其他部门收集需要备份的相关信息,主要包括信息的重要性、拟采
12.2用的备份方式、备份周期等制定备份方案
12.3备份周期根据信息更新速度、易损坏程度及备份媒体的有效期,确定备份周期
12.
3.1如机密性信息备份周期不超过个月;1备份介质类型确定备份使用的媒介,一般为光盘或硬盘,也可为纸质,但要同
12.
3.2时考虑成本与可靠性确定备份方式一般采用复制、双系统同步、转储、压缩复制等1233确定备份工具备份使用的工具,如光盘记录机、复印机、压缩软件等,选择工
12.
3.4具时,要确定在信息失效之前,对应的恢复工具可用确定备份数量重要的信息需要备份份,一般信息备份份即可
12.
3.521备份存放位置
12.
3.6)备份信息须与原始信息分开存放,对备份信息进行异地存储,以避免主办公场所发a生灾难时资产受到损坏;)备份信息须保存在一个与主办公场所相应的环境中;b)涉及秘密的备份信息或保密性十分重要的备份信息,要采取加固措施(如通过加密)c等进行保护备份责任人确定备份的责任人1237各部门根据信息的重要度,按备份计划进行实施对分散的信息在备份前进行整理、
12.4归类,备份前要进行查杀病毒工作备份完成后要检查备份数据的完整性必要时,还要备份还原工具备份媒介的定期测试
12.5对备份的信息每年要检测一次;重要的信息,至少每半年测试一次,确保备份信
12.
5.1息的可用性和完整性备份信息的测试依照“谁备份谁负责”的原则进行测试
12.
5.2备份的媒介标识
12.6标识应依据媒介本身的特点,加标签或直接手写在媒介上
12.
6.1对于已经有标识的纸面文档的复印件,可不用再另加标识
12.
6.2各部门应采取适宜的方法对备份信息媒介进行标识,防止备份信息的误用,标识
12.
6.3的内容包括备份信息的名称、备份的日期、敏感度分级(以相应的电子记录保持法规为基础)、版本号等违背该策略可能导致违规人员网络访问权被限制、遭到行政处分、员工被解雇,
12.7甚至被民事、刑事起诉信息传输策略13概述
13.5维护在公司内及与外部实体间传输信息的安全
13.
5.1内部间信息交换防护
13.6不能在公共场所或者敞开的办公室、没有防护的会议室谈论绝密、机密信息
13.
6.1不得将包含敏感信息,如口令、密钥等信息留在自动应答系统中1322不得将敏感或关键信息放在打印设施上,如复印机、打印机和传真,防止未经授
13.
2.3权人员的访问在使用打印机时,不得留有页面缓冲或在页面传输故障时存储页面,因为一旦故障1324消除这些将被打印与外部信息交换防护
13.3对信息交流应作适当的防范,严禁在无保密措施的通信设备及计算机网络中传递
13.
3.1公司秘密;进行涉密内容的活动,严禁使用无线话筒;避免电话被偷听或截取禁止未经授权发送公司绝密、机密信息;不得用公司外部帐号发送、转发、接收公1332司绝密、机密信息不得有意或无意的对传真机编程,将文件发送给特定的电话号码
13.
3.3禁止在非授权情况下以公司的名义发表个人意见
13.
3.4员工、合作方以及任何其他用户不得损害本公司的利益,如诽谤、骚扰、假冒、未1335经授权的采购、发送宣扬个人政治倾向或宗教信仰等制作应用系统之间接口、协议时,不能影响双方应用的正常运行;在实施之前应充1336分考虑应用系统的资源是否足够;保证数据交换的权限最小化,确保公司信息的保密性或不泄露信息交换管理要求
13.4公司有权对员工的进行监视和记录
13.
4.1Email公司有权对的内容进行存储备份以用于法律目的
13.
4.2Email向外部级发送公司机密信息时,需经审批后发送并同时邮件抄送发送人直接上级
13.
4.3信息安全部门按规定周期监视信息交换活动,检查信息交换是否得到有效保护
13.
4.4违背该策略可能导致违规人员网络访问权被限制、遭到行政处分、员工被解雇、
13.5合作方关系的终止;甚至被民事、刑事起诉物理介质运输安全策略14概述
14.4对需要在不同地点之间运输的信息设备、便携式信息储存器采取保护措施,以避
14.
4.1免损坏、被未授权访问、不当使用或遗失需对进行运输的信息设备须有实物清单及存储在这些信息设备里的信息资源清单
14.5信息安全部门授权专门人员核对实物清单及其存储的信息资源清单
14.
5.1转移的信息设备及其存储的信息资源要得到信息安全部门的批准
14.
5.2供应商选择及包装防护
14.6应委托和我司签署过正式合同的可靠的运输单位承担信息设备的运输,通常不委
14.
6.1托供应商运输便携式信息储存器应对运输的信息设备采取合适的包装防护,必要时可向原设备供应商寻求支持
14.
6.2应对运输的信息设备选择合适的运输方式,例如避免暴露于过热、潮湿或电磁区
14.
6.3域等公司的便携式信息储存器采取借用制,信息安全部门授权保管部门及信息录入部门
14.7对保存有保密等级为“绝密”“机密”的信息资源、安装有系统软件的物理介质
14.8运输需采取密码箱包装或密码保护并安排我司员工送达违背该策略可能导致违规人员网络访问权被限制、遭到行政处分、员工被解雇、
14.9合作方关系的终止,甚至被民事、刑事起诉电子邮箱策略15概述
15.4定义公司内电子邮箱系统的管理要求,保护包含在电子邮箱系统中的信息,以确
15.
4.1保电子邮箱系统的使用不会给公司带来信息安全风险和传播不良信息的风险下列行为是策略所禁止的
15.5发送或者转发虚假、黄色、反动、垃圾、恶意代码的信息;
15.
5.1发送或者转发宣扬个人政治倾向或者宗教信仰;
15.
5.2发送或者转发能够引起连锁发送的恐吓、祝贺等信息;
15.
5.3禁止明码发送或者转发公司涉密信息;
15.
5.4禁止发送或者转发垃圾信息;
15.
5.5禁止发送或者转发可能有计算机病毒的信息;
15.
5.6;附件大小超过限制
15.
5.7Email30M发送口令、密钥、信用卡等敏感信息;
15.
5.8用公司外部账号发送、转发、收取公司敏感信息;1529在非授权情况下以公司的名义发表个人意见
15.
2.10下列行为是策略所要求的
15.3每一个账号的开通需经审批流程控制,账号密码必须符合口令策略的相关
15.
3.1Email规定用发送机密信息必须经过加密保护,加密必须符合加密策略的相关规定
15.
3.2Email发送必须有清楚的主题,员工不允许删除重要邮件信息
15.
3.3Email的处理和存储必须符合信息的分类、标识和存储策略的相关规定
15.
3.4Email管理授权
15.4信息安全部门有权对员工的进行监视和记录
15.
4.1Email信息安全部门有权对的内容进行存储备份以用于法律目的
15.
4.2Email公司与服务商签订合同,确保使用过程中确保信息的安全性
15.5Email Email违背该策略可能导致违规人员网络访问权被限制、遭到行政处分、员工被解雇、
15.6合作方关系的终止;甚至被民事、刑事起诉信息安全监控策略16概述
16.3策划信息设备、设施监控方案,并按要求进行实施,确保设备、设施使用过程符
16.
3.1合信息安全管理要求,避免非预期更改与使用信息安全检测工具会对检测到的破坏行为或薄弱点进行实时通知,记录用户活动、
16.4异常、错误和信息安全事态的日志在检测破坏行为以及薄弱点被利用情况时可以使用下列文件
16.5防火墙日志
16.
5.1用户账户日志
16.
5.2系统出错日志
16.
5.3应用程序日志
16.
5.4数据备份和恢复日志
16.
5.5网络打印机日志
16.
5.6在检测破坏行为以及薄弱点被利用情况时检查以下内容的符合性
16.6口令的难猜测程度
16.
6.1未经授权的网络设备
16.
6.2未经授权的个人网络服务器
16.
6.3未受保护的共享设备
16.
6.4基准时间源同步
16.
6.5操作系统和软件许可
16.
6.6检测过程中发现的任何问题立即向信息安全部门报告,并进行进一步的调查
16.7违背该策略可能导致违规人员网络访问权被限制、遭到行政处分、员工被解雇,
16.8甚至被民事、刑事起诉临时访问管理策略17概述
17.3对临时或短期访问的账号和权限进行管理,防止其使用期限、规则不受控制
17.
3.1临时访问权宜按照访问控制策略分配给用户
17.4在临时访问用户获得访问账号前,应签署一份临时访问权到期要求(不泄密协议)
17.5所有的临时访问账户的用户必须要有分配记录,授权过程未完成前,临时访问权不
17.6宜提前开启使用临时访问账号的个人都必须避免滥用权力,禁止将账号借给他人,并且必须在
17.7信息安全部门的指导下使用每一个使用临时访问账号的个人必须以最适宜所执行的工作的方式行使账号权力
17.8信息安全部门需定期评审已获得临时访问权的用户能力,确定是否还符合其工作职
17.9责当一个临时用户职责分离时需尽快禁止该用户访问系统的权限,重新调整新权限
17.10当一个临时用户离开时须尽快变更口令、删除账号
17.11当因内外部审核、软件开发、软件安装或其他规定需求而需要临时访问账号时,
17.12账号必须被授权
17.
12.1创建的日期及期限必须明确
17.
12.2工作结束时必须删除
17.
12.3违背该策略可能导致违规人员网络访问权被限制、遭到行政处分、员工被解雇、
17.13合作方关系的终止,甚至被民事、刑事起诉密码控制策略18概述
18.3使用密码技术控制公司内所有设备、设施、信息系统、信息资源的访问
18.
3.1密码控制管理
18.4所用用户都必须拥有唯一的、专供其个人使用的用户账号用户的账号口令不能
18.
4.1ID,泄露给任何人所有用户不得使用他人的用户进行访问信息资源
18.
4.2ID所有口令,包括初始口令,都必须依据信息安全部门规定的下列规则建立和执行1823)用户在首次登录时必须更改口令,且口令必须定期更改a)必须符合信息安全部门规定的最小长度b)必须不能是可以轻易联想到账号所有者的特性用户名、绰号、亲属的姓名、生日等c)必须不能用字典中的单词或首字母缩写d)必须保存历史口令,以防止口令的重复使用e如果怀疑口令的安全性,应立即进行更改
18.
2.4管理员不能为了使用信息资源规避口令
18.
2.5用户不能通过自动登录的方式绕过口令登录程序
18.
2.6密钥管理
18.3应采取加密技术等措施来有效保护密钥,以免密钥被非法修改和破坏
18.
3.1应对生成、存储和归档密钥的设备进行物理保护,以免密钥被损害、丢失1832私密密钥需要防范非授权的泄露和使用应当明确密钥的激活和吊销日期,即密钥生存期,使之在生存期内有效生存期的1833长短取决于使用环境及加密技术应在与外部加密服务提供商的服务协议或合同中,涵盖责任、服务可靠性以及服务1834响应时间等内容在涉及使用加密技术、加密服务时,系统责任人必须正确评估并记录此类应用的风1835险违背该策略可能导致违规人员网络访问权被限制、遭到行政处分、员工被解雇、
18.4合作方关系的终止,甚至被民事、刑事起诉清理桌面和屏幕策略19概述
19.3清理纸质或可移动存储介质和计算机终端等信息处理设备、设施,以防止公司内敏1911感或关键业务信息资源泄漏桌面清理
19.4人员离开时,应将含有敏感或关键业务信息的纸质或可移动存储介质锁入文件柜、
19.
4.1保险箱或其他形式的安全设备中无论何时何地,结束使用会议室时,及时清理会议室电脑屏幕资料并关机,及时清1922理会议室白板并带走非会议室固定设施的任何物品会议室管理人员若发现会议室有遗留物品时,应带走并及时联系会议室使用人员,
19.
2.3避免信息泄露目的
1.2适用范围
2.2定义
3.2信息分级策略
4.3通信安全(网络访问、配置、使用)策略
5.4访问控制策略
6.5物理和环境安全策略
7.6供应商关系的信息安全策略
8.8设备及布缆安全策略
9.
9.变更管理安全策略1010病毒及恶意软件防范策略
11.
11.信息备份安全策略1213信息传输策略1313物理介质运输安全策略
14.
14.电子邮箱策略
1515.信息安全监控策略
1616.临时访问管理策略
1717.密码控制策略
1818.清理桌面和屏幕策略
1918.便携式计算机安全策略
2019.事件管理策略2120隐私和个人信息保护策略
22.
21.信息系统安全策略2321容量管理策略
24.
22.信息系统验收策略2523远程工作策略
26.24软件安装及其使用限制策略
27.25技术脆弱性管理策略
28.25资产的可接受使用策略
29.26计算机终端屏幕保护
1.33当无人值守时,计算机终端应退出登录,或设置登录口令对屏幕和键盘进行保护
1.
3.11当不使用或结束工作时,所有计算机终端必须锁屏、注销或关机1932清洁电脑屏幕,确保不保存敏感或关键业务信息在电脑桌面上
1.
3.33计算机终端应设置屏幕保护程序,屏幕保护程序等待时间分钟
1.
3.44W5传真机、打印/复印设备的管理
1.44传真机、打印/复印设备由信息安全部门授权部门负责管理,并落实具体责任人
1.
4.11打印/复印敏感或关键业务信息时,打印/复印设备附近应有可信任的人员在场,
1.
4.22打印/复印完毕后立即取走若传真机、打印/复印设备存在无人认领的信息资源时,设备管理人员应予以保护1943或销毁,避免信息泄露违背该策略可能导致违规人员网络访问权被限制;遭到行政处分;员工被解雇、
1.55合作方关系的终止;甚至被刑事起诉便携式计算机安全策略20概述
20.1规范公司内便携式计算机的使用,防止其受到损坏和造成公司信息资源损失和泄
20.
1.1漏携式计算机必须考虑以下要求
20.2设备的注册;
20.
2.1物理保护的要求;
20.
2.2软件安装的限制;
20.
2.3软件版本和补丁应用的要求;
20.
2.4连接信息服务的限制;
20.
2.5访问控制;2026密码技术;
20.
2.7病毒及恶意软件防范;
20.
2.8远程关闭、擦除或锁定;2029备份;20210便携式计算机笔记本电脑、平板电脑
20.3授权便携式计算机的使用
20.4只有被信息安全部门批准的便携式计算机才能访问公司内部网络信息资源
20.
4.1便携式计算机设备必须设立口令保护
20.
4.2原则上,便携式计算机不作为数据存储设备,必要时安装加密软件,并对重要数2043据进行定期备份连接互联网的便捷式计算机必须遵守国家法律法规要求,不得从事违法犯罪活
20.
4.4动应对便携式计算机采取保护措施,以防止硬件损坏对无人看守的便携式计算
20.
4.5机必须实施物理保护,必须放在带锁的办公室、抽屉或文件柜里便携式计算机需要外带时,应由相关人员提出书面申请,经部门经理审核,由
20.
4.6信息安全部门批准后,方可借用外出非授权便携式计算机的使用
20.5非授权便携式计算机禁止在公司内使用
20.
5.1非授权便携式计算机禁止加入公司域
20.
5.2违背该策略可能导致违规人员网络访问权被限制、遭到行政处分、员工被解雇、
20.6合作方关系的终止,甚至被民事、刑事起诉事件管理策略21概述
21.5根据信息安全事件的严重性,建立不同级别信息安全事件报告、应急和控制、调
21.
5.1查和处理管理策略信息安全事件分级
21.6信息安全部门的成员在此方面任务和职责的优先权要高于其其他的职责
21.
6.1信息安全事件级别从高到低分为重大事件、一般事件、轻微事件2122信息安全事件的报告
21.7信息安全事件可能是故意、过失或非人为原因引起的任何人员在怀疑或确定
21.
7.1发生安全事件的任何时候都必须遵循规定的安全事件报告程序当确定发生信息安全事件时,在岗信息技术人员立即采取适当措施控制事态,
21.
7.2对于重大事件、特别重大事件需同时向信息安全部门报告应急和控制
21.8信息安全部门在接到信息安全事件发生的信息后,立即组织召集相关信息技术
21.
8.1人员、相关的信息设备供应商、相关软件供应商,分析事件发展态势,研究提出应急处置方案信息安全部门有权利采取有利于控制事态的非常措施
21.
8.2若事态难以控制或有扩大发展趋势时,信息安全部门应向下列人员或部门报告
21.
8.3)公司总裁、董事长a)在有关事件相应的法律、法规和/或规章中要求的地方、省、国家有关部门b调查和处理
21.9信息安全部门应及时启动、完成并文件化事件调查过程
21.
9.1调查证据包括实物和电子证据
21.
9.2对于系统问题或薄弱点要和系统供应商共同研究消除或减弱薄弱点的措施
21.
9.3对于无法用“打补丁”来解决的信息系统,要考虑系统升级或更换系统
21.
9.4较大事件等级以上的安全事件,还需进行信息安全体系系统层面的分析,以期
21.
9.5发现信息系统上的改进机会信息安全部门负责与外部公司以及法规强制部门协调沟通
21.
9.6违背该策略可能导致违规人员网络访问权被限制、遭到行政处分、员工被解雇、
21.10合作方关系的终止,甚至被民事、刑事起诉22隐私和个人信息保护策略概述
22.1规范个人信息的收集、使用,防止个人信息被不当传输和使用,对公司和个人
1.
1.11带来不良影响公司在日常管理和经营中需要收集个人信息时,应当遵循合法、正当、必要的
1.22原则公开收集、使用规则;明示收集、使用信息的目的、方式和范围;并经被收集者同意后再行收集公司使用个人信息时,不得超出与收集个人信息时所明示声称的目的具有直接
1.33或合理关联的范围因业务需要,确需超出明示范围使用个人信息的,应再次征得个人信息所有者明示同意个人信息所有者要求公司对自己的个人信息删除的,符合以下情形的,应及时
1.44删除个人信息公司违反法律法规规定,收集、使用个人信息的;
1.
4.11公司违反了与个人信息所有者的约定,收集、使用个人信息的;2242违反法律法规规定或违反与个人信息所有者的约定向第三方共享、转让个人信
1.
4.33息,且个人信息所有者要求删除的,公司应立即停止共享、转让的行为,并通知第三方及时删除;违反法律法规规定或与个人信息所有者的约定,公开披露个人信息,且个人信息2244所有者要求删除的,公司应立即停止公开披露的行为,并发布通知要求相关接收方删除相应的信息当公司将个人信息有关的事宜对外委托处理时,要求实行与在本公司内同等程
1.55度的管理,确保受委托者具备足够的数据安全能力,提供了足够的安全保护水平,并准确记录和保存委托处理个人信息的情况违背该策略可能导致违规人员网络访问权被限制、遭到行政处分、员工被解
1.66雇、合作方关系的终止,甚至被民事、刑事起诉信息系统安全策略23概述
23.1建立信息系统安全防护措施及运行规则,保持可被公司内外部人员访问、处理、
23.
1.1沟通或管理,保证信息系统的正常运行应设置防火墙、自动杀毒软件等防范、监控的安全技术措施,对系统安全状态
23.2进行持续监控,保存有关错误、故障和补救措施的记录,确保信息系统免受外部网络安全风险的干扰定期对内部用户在访问信息系统的情况予以检查;定期对内部用户在访问外部
23.3网络的情况予以检查;定期对内部用户向外部发送信息的情况予以检查,对任何违反相关制度规定的情况向信息安全部门予以汇报管理信息系统的人员应该有熟练的操作技巧,对于复杂信息系统的操作应编制
23.4指导说明书,对使用人员予以合适的必要培训信息系统的使用人员,应严格遵守保密制度,有关信息系统内的数据、报表数
23.5据、用户资料数据等均属秘密,不得任意抄录、复制及带出,也不得转告与工作无关人员,不用的草稿、报表应及时销毁信息系统用户只能使用与用户本人相对应的信息系统的账户进行权限范围内
23.6ID,的合法操作,并且有责任和义务保管好用户本人的各类账号和密码,由于密码泄露造成的不良后果由用户本人承担,用户不得在任何场合随意公开各种信息系统的用户名和密码在公司信息系统和终端电脑上安装软件都必须由信息安全部门授权部门进行;
23.7安装软件后应进行测试性操作,以防止软件、终端、信息系统不匹配,产生不利的后果;不得安装和工作无关的任何软件,除非得到信息安全部门的特别许可应建立公司信息设施、设备、便携式信息储存器发生故障时的维修处理流程,一
23.8般情况由信息安全部门授权部门进行维修;若故障情况的恢复超过内部部门的技术能力可委托该设备供应商官方授权认可的售后服务单位承担维修任务,委外维修前应先复制原设备中的信息资料并清空该设备信息资料应建立信息系统安全事件应急流程预案(如网站网页出现非法言论、黑客攻击
23.9或软件系统遭破坏性攻击、数据库发生故障、网络故障、设备安全故障、机房火灾等)并且进行定期(至少每年一次)演练,发生紧急安全事件时应依照预案流程进行,快速恢复信息系统正常运行违背该策略可能导致违规人员网络访问权被限制、遭到行政处分、员工被解
23.10雇、合作方关系的终止,甚至被民事、刑事起诉容量管理策略24应对资源的使用进行监测、调整、并对未来容量增加的需求做出预测,以确保
24.1所需的系统性能应对每个新的和正在进行的活动都确定容量需求应进行系统调整和系统监测
24.2以确保和改进(需要时)系统的可用性和有效性检测控制应到位,以便及时发现问题未来容量需求的预测应考虑组织信息处理能力中新业务和系统的需求以及当前
24.3和预计的趋势需特别关注采购周期长或费用高昂的所有资源;因此,管理者应监测关键系统
24.4资源的使用情况他们应标识出资源的使用趋势,特别是与业务应用或管理信息系统工具相关的资源管理者应利用这些信息来识别和避免对系统安全或服务造成威胁的潜在瓶颈和
24.5对关键人员的依赖,并策划适当的补救措施信息系统验收策略25信息安全部门应确保新系统的验收要求和准则得到明确的定义、商定、形成文
25.1件并经过测试新信息系统、升级和新版本只有在获得正式验收后,才能迁移到生产环境在
25.2进行正式验收之前,应考虑以下内容性能和计算机容量要求;
25.
2.1差错恢复、重启程序以及持续计划;
25.
2.2按照已定义的标准准备和测试日常操作程序;
25.
2.3商定的安全控制要设置到位;
25.
2.4有效的手动程序;
25.
2.5业务连续性安排;
25.
2.6新系统的安装不会对现有系统有负面影响的证据,特别是在高峰处理时段,例
25.
2.7如月末;考虑新系统对组织总体安全影响的证据;
25.
2.8新系统的操作和使用方面的培训;
25.
2.9易用性(这会影响到用户工作效率,并要避免人员出错)25210对于新的重大开发,在开发过程的各个阶段都要征询系统使用部门的意见,以
25.3确保系统的运行效率符合系统设计并要进行适当的测试,证实全部验收标准能得到完全满足远程工作策略26远程工作是利用通信技术来使得人员可以在其公司之外的固定地点进行远程工
26.1作公司应仅在有合适的安全部署和控制措施到位,且这些符合公司的安全方针的
26.2情况下,才授权远程工作活动应有对远程工作场地的合适保护措施,以防范设备和信息被窃、信息的未授权
26.3泄露、对公司内部系统的未授权远程访问或设施滥用等远程工作活动应由管理者授权和控制,且应确保对这种工作方式有合适安排,应
26.4考虑下列内容远程工作场地的现有物理安全,要考虑到建筑物和本地环境的物理安全;
26.
4.1推荐的物理的远程工作环境;
26.
4.2通信安全要求,要考虑远程访问公司内部系统的需要、被访问的并且在通信链
26.
4.3路上传递的信息的敏感性,以及内部系统的敏感性;住处的其他人员(例如,家人和朋友)未授权访问信息或资源的威胁;
26.
4.4家庭网络的使用和无线网络服务配置的要求或限制;
26.
4.5针对私有设备开发的预防知识产权争论的策略和程序;
26.
4.6法律禁止的对私有设备的访问(检查机器安全或在调查期间);
26.
4.7使公司对雇员、承包方人员和第三方人员等私人拥有的工作站上的客户端软件
26.
4.8负有责任的软件许可协议;防病毒保护和防火墙要求
26.
4.9软件安装及其使用限制策略27公司应确定并严格实现能安装的软件类别
27.1必须提供足够数量的注册软件以便员工以一种合适的和有效的方式进行工作
27.2软件安装应使用最小授权原则
27.3应确定允许安装的软件类型(如现有软件的升级和安全补丁)和禁止安装的软件
27.4类型(如仅为个人使用的软件,与未知的或可疑的潜在的病毒及恶意软件相关的软件)应针对用户所涉及的角色授予这些特权
27.5第三方所有的信息或软件,在未获得存储和/或使用批准时,不能存储于系统或
27.6网络系统管理员应该删除此类信息和软件,除非用户能提供所有者授权的证据拥有的第三方软件不可以进行备份,除非符合相关的注册协议并事先获得管理
27.7者批准,或者因紧急计划目的进行备份违背本策略可能导致员工以及临时工被解雇、合同方或顾问的雇佣关系终止、
27.8实习人员和志愿者失去继续工作的机会;另外,这些人员还可能遭受信息资源访问权以及公民权的损失,甚至遭到法律起诉公司应定义和建立与技术方面的脆弱性管理相关的角色和责任,包括脆弱性监
28.1视、脆弱性风险评估、打补丁、资产追踪和任何要求的协调职责用于识别相关的技术方面的脆弱性和维护有关这些脆弱性的认识的信息资源,
28.2宜被识别用于软件和其他技术(基于资产清单);这些信息资源宜根据清单的变更而更新,或当发现其他新的或有用的资源时,也宜更新应制定时间表对潜在的相关技术方面的脆弱性的通知做出反应
28.3一旦潜在的技术方面的脆弱性被确定,应识别相关的风险并采取措施;这些措
28.4施可能包括对脆弱的系统打补丁或应用其他控制;按照技术方面的脆弱性需要解决的紧急程度,应根据变更管理相关的控制,或
28.5者遵照信息安全事件响应规程采取措施如果有可用的补丁,则宜评估与安装该补丁相关的风险(脆弱性引起的风险宜
28.6与安装补丁带来的风险进行比较)在安装补丁之前,宜进行测试与评价,以确保它们是有效的,且不会导致不能
28.7容忍的负面影响;如果没有可用的补丁,应考虑其他控制,例如关闭与脆弱性有关的服务和功能
28.
7.1调整或增加访问控制,例如在网络边界上添加防火墙
28.
7.2增加监视以检测或预防实际的攻击
28.
7.3提高脆弱性意识
28.
7.4应保持所有执行规程的审计日志
28.8应宜定期对技术方面的脆弱性管理过程进行监视和评价,以确保其有效性和效
28.9率应首先解决处于高风险的系统
28.10有效的技术方面的脆弱性管理过程宜与事件管理活动保持一致,以传递脆弱性
28.11数据至事件响应活动并在事件发生时提供可执行的技术规程确定脆弱性被识别但没有合适对策时的规程在该情况下,应评价与已知脆弱
28.12性相关的风险,并确定适当的检测和纠正活动资产的可接受使用策略29本策略旨在保护公司信息资产,包括产品和服务、系统、网络和实体设施遵
29.1循相关法律法规、提高资产的安全性和可用性并对资产的使用进行调节和限制本策略适用于使用公司信息资产的每一位使用者,公司信息资产的所有使用者
29.2及所有系统、网络或其实体设施的访客和使用者无论这些使用者是否为公司员工,包括第三方使用者,无论服务器或网络是否处于使用者控制中并且连接到公司网络或实体设施上成为公司服务的一部分一项服务某些情况下,如网络服务,本策略据此包含在服务条款和服务水平协议中本
29.3策略应结合服务条款,服务级别协议和隐私政策一同参阅在此未定义SLA的大写术语将根据这些术语在适用的服务条款,策略或隐私政策中的含义而赋予解释用户对系统、网站、网络、产品和服务的使用同样取决于用户对服务条款、服务等级协议和本策略的接受与服从用户可以在公司法务部门检视或打印相关的服务条款,和隐私政策的当前版本用户就此声明并保证其已SLA经阅读,理解和接受服务条款、和本策略的条款公司保留随时修订,修SLA正本策略的权利,而在本策略作出变更并发布在公司网站页面之后,用户继续使用公司的服务、网络和实体设施的将构成对有关修订和修正的接受用户有责任遵循本策略,任何由其用户和使用者造成的违反行为将由用户承担,
29.4无论该行为是否得到用户或者公司的授权用户应采取合理措施确保他们的用户和使用者遵循本策略本策略并不迫使公司负上监控、检查,或整顿位于公司网络的数据和内容的
29.5责任或者使公司对任何非用户的一方,包括但不仅限于,任何第三方使用者,构成义务或责任除非并直至在得到通知的情况下,公司不会注意到任何对本策略的违反行为或者任何违法行为公司明确宣称:不对通过或过渡性、临时性或永久性存储在公司网络或任何服务器传输的数据和内容负任何责任;且不对使用者的作为或疏忽负任何责任禁止内容
29.6使用者不得通过公司的服务,网络或实体设施发布,传输,或存储经公司判断
29.
6.1为违反任何国家、地方政府或国际法律、法规、条例、法庭或者其他法律程序的适用的法律数据或内容使用者将自行负责决定哪一项法规适用于他们对于公司服务的使用
29.
6.2被禁止的内容包括但不仅限于
29.
6.3为任何违反本策略提供便利的内容或编码或者介绍方法去违反本策略,或者偷a取地址或信息进行网钓活动或者进行垃圾邮件广告的站点、任何欺诈类,赌博类站点、任何b未授权的游戏站点或游戏服务器、任何宣传或提供反政府,反人类信息的站点、任何销售违禁品的站点使用者不得蓄意使用公司服务在其服务器上寄存,或通过公司网络传输任何公c司认为构成色情物品的题材公司保留权利与调查机关全力配合,调查内容位于服务器上、构成色情物品的
29.
6.4罪行以及涉嫌对适行法规构成违反的行为使用者安全义务
29.7使用者必须采取合理的注意,确保每一台服务器、公司网络及其实体设施的安全2971用户将独自为任何对其服务器的入侵或者安全破坏负责,除非为例外情况公司2972的服务器受到具体指定的安全管理系统的保护或者为用户订购的防火墙安全服务包的保护对于任何扰乱公司网络或网络上任何服务器,或安全性受到威胁的任何硬件设施,2973公司将保留权利中断连接网络滥用
29.8禁止使用者从事任何经公司判断构成网络滥用的活动,包括但不仅限于以下活
29.
8.1动)介绍或执行恶意程序进入任何网络或服务器,例如:病毒、蠕虫、特洛伊木马和a键盘记录器)造成或者引起安全破坏或者网络通讯中断以及/或者网络连通性中断,包括端口b扫描,洪流攻击,电邮炸弹,封包伪装,电子欺骗,以及伪造的路由信ping IP息)执行任何拦截不属于客户服务器的数据的网络活动c)规避或回避用户验证或者任何主机、网络或账户的安全性验证,包括强行闯入、强d行攻击、字典式攻击)干扰或者拒绝任何除了客户主机之外的使用者、主机,或者网络接受服务,如阻e断服务攻击或分散式阻断服务攻击)蓄意规避某些特定服务、主机或者网络的限定条件或者访问限制,包括伪造封f包标头或者其他验证信息)兜售任何非法活动,即使该项活动最终没有进行g)使用任何程序或者发送任何信息企图干扰或破坏使用者的终端连接h所有用户区细阅本列表以确保遵循本策略如果您认为发生了某些违反了本策略2982的行为,请查阅法规环节有关报告潜在违法行为的重要信息知识产权反侵犯政策
29.9用户不得将任何侵犯他人知识产权或者侵犯他人的商业机密权的信息,数据,资
29.
9.1料或者作品传送,分发,下载,复制,贮藏,寄存或者储藏于服务器、公司网络或者其实体基础设施公司有权禁止访问或移除侵权内容,以符合各种法规或条例的要求
29.
9.2如有任何用户或任何第三方使用者,包括我们的客户,屡次违反公司知识财产反2993侵权政策、任何法规或者任何其他知识财产的所有权,公司将保留以下权利永久停止或者终止该用户及/或永久停止或终止该户使用公司服务,公司的网络或者其实体基础设施电邮政策和反垃圾邮件政策
29.10用户不得通过网络发送非经请求的大宗信息(即,垃圾邮件)
29.
10.1创建伪造的网络日志,或者意在或很可能提升该作者相关的网站访问量或者
29.
10.2增加相关网站在搜索引擎排名的网络日志(即,垃圾博客)或发送垃圾邮件到网络博客站点,或者自动发布随机评论或者向网络博客推销商业服务(即,垃圾邮件博客)使用者必须服从关于大宗邮件和商业电邮的所有相关法律和规章
29.
10.3大宗邮件用户不得大量发送非经请求的邮件,即是向没有作订阅确认或设闭
29.
10.4合式订阅确认的收件者发送的邮件发送大宗邮件者必须把所有认可和“选择订阅”做出完整和准确的记录,并
29.
10.5目的1指导公司内各职能部门制定信息安全管理体系的程序文件、作业文件并实施和持续改进适用范围2适用于公司和合作相关方的信息安全管理定义3信息安全部门指信息部信息分级策略4概念
4.1根据信息资源的重要性、稀缺性及合作方保密合同约定,建立内、外部用户按
4.
1.1授权级别获取信息的管理策略信息资源保密分级
4.2需要进行保密分级的信息资源是本公司员工创造的所有工作成果及合作方输入
4.
2.1且有保密合同约定的信息资源,从公开发表的文章获得或我司已经公开发表的信息资源除外内部需要建立信息分级的原则并对需要进行分级管理的信息资源及时进行分级
4.
2.2和控制,分级的结论应当得到评审和批准信息资源保密分级以保密等级高到低分为绝密、机密、普通、公开
4.
2.3内部应尽可能的对需要分级的信息资源进行密级标记,以警示相关人员对分级
4.
2.4信息资源的慎重使用和传递内部用户授权分级
4.3内部用户依据其在公司内的岗位、职位、技术等级授权获得不同保密等级的信
4.
3.1息资源,其在获得信息资源时无需再进行授权批准,若其在公司内的岗位、职位、技术等级产生变化,则授权也同时产生变化内部用户若依据公司工作安排有必要获得超过其在公司内的岗位、职位、技术
4.
3.2等级授权保密等级信息资源时,可获得“临时授权”“临时授权”必须获得公司对应高层领导的批准外部相关方对我司信息资源获得的批准
4.4外部相关方在有必要获得我司信息资源时,由我司对应职能部门提出申请,获
4.
4.1得公司对应领导的批准,外部相关方在获取我司信息资源前要签署保密协议保密等级为“绝密”的信息资源、合作方输入且有保密合同约定的信息资源不
4.
4.2提供给任何外部相关方且在有需要的时候将这些记录提交给公司如果不能提供明确的可供检验证据证明收件者“选择订阅”,公司将认为这
29.
10.6些大宗邮件是非经请求的邮寄名单——禁止用户对未曾透过订阅确认闭合式订阅确认或自愿加入邮寄
29.
10.7名单,或者已将他们的电子邮件地址向用户公开以便接收信息的收件人进行邮寄名单,自动化邮件分散,及邮件服务的操作进行邮寄名单操作的用户必须把所有认可和“选择认可”做出完整的准确的记录,并且在有需要的时候将这些记录提交给公司如果不能提供明确的可供检验证据证明收件者“选择订阅”,公司将认为这些邮寄名单操作是非经请求的任何由用户记录的邮寄名单必须同样允许名单上任何一方将自己名单上自动且永久移除其他被禁止的活动包括但不仅限于如下内容)使用公司网络接收对非经请求的大宗邮件回复的收条a)伪造电邮信头(哄骗)b)通过第三方代理、聚集代理名单,或者安装代理邮件软件发送垃圾邮件c)配置用以接收并处理第三方信息的邮件服务器,以便无需用户身份识别和验证发d送信息)寄存列入其他网络的垃圾邮件(垃圾广告)中的网页e)寄存为垃圾邮件提供支持或者服务的网页f)其他任何未经请求的大宗信息,公告或者通过网络日志,网络中继聊天系统/聊g天室信息、留言条目、日志条目的引用、新闻发布、弹出信息、即时信HTTP息或者短信息等媒体传输的内容.)教唆他人从事任何本策略所禁止的活动h如有任何用户或任何第三方为我们的客户而使用公司服务、公司网络或其实
1.
1.
8.8体基础设施,导致公司被列入黑名单或被封锁,公司保留以下权利永久暂停或终止公司对此客户的服务并且/或者永久暂停或终止该第三方使用者使用公司服务、网络或其实体基础设施代表那些出现在反垃圾邮件联盟已知垃圾邮件业务数据库中的任何人员或其他操作公司服务,或者与他们有关联或向他们出售任何服务,将构成对本策略的违反清除阻挡如果由于某位用户的行为,使公司的邮件服务器或地址被置于
1.
1.
9.9IP黑洞名单或者其他邮件过滤器软件系统,公司将首先向用户收取费用,此后并按照每小时收费用以抵偿必要的修复工作分配
29.11IP公司拥有每一个分配给用户的地址用户不应使用非由公司配给的地址
29.
11.1IP IP任何服务器使用超出其分配所得范围的地址,公司保留暂停其网络使用权
29.
11.2IP限的权利网络在线聊天政策
29.12用户不得对连接至全球中继聊天网络服务器进行操作或保持连接使用网络中
29.
12.1继聊天插件、脚本、附加软件、复制品或者其他意在扰乱或拒绝其他用户使用服务的软件均被禁止骚扰性的或者攻击性的网络中继聊天行为是本策略明确禁止的,包括中断或
29.
12.2拒绝服务使用僵尸网络或与其连接或者使用网络中继聊天同轴电缆接插件或者其他代理以及重定向软件如果用户的网络中继聊天服务器频繁受袭或引起拒绝服务攻击,对其他用户或使用者造成中断或拒绝服务,公司将对用户进行空路由、过滤、暂停或者终止服务处理新闻政策
29.13新闻贴和新闻内容必须符合网络设定的标准和适用的新闻章程公司保留决定
29.
13.1此类新闻公告是否违反本策略的权利法律调查
29.14用户将配合且遵循任何关于对公司服务、公司网络或其实体基础设施的使用或
29.
14.1者置于其服务器上或通过其服务传送的内容的民事或刑事调查,包括但不仅限于下列内容传唤令、传票、冻结令、搜索证、信息请求、监听器、电子拦截以及监视、保存请求,以及其他任何来自法院、政府单位或者管理机构(均视为一次调查)的命令公司可能向任何一位寻求配行调查的用户或个人收取合理的费用及开支公
29.
14.2司保留无须通知用户即服从任何调查的权利如果因公司服从任何调查而导致某位用户的使用发生断机或者因配合调查而要求所有或部分服务器暂停服务,公司并不会因此而违反任何服务协议公司同时保留权利发布以下信息与用户相关的,以及关于用户对公司服务、公司网络公司实体基础设施的使用,或者是关于用户或他人代表用户所传输、拥有或储藏的信息此类信息由公司自行决定是否公布,如果其关系到调查活动或者可以防止任何个体的死亡或人身伤害服务器及服务受到或进行攻击
29.15攻击包括但不仅限于攻击,任何形式的包攻击,任何造成或者引起安
29.
15.1DDos全破坏或者网络通讯中断以及/或者网络连通性中断的行为或服务,包括端口扫描,洪流攻击,电邮炸弹,封包伪装,电子欺骗,以及伪造的路由ping IP信息等公司有权暂时停止或永久终止受到或进行攻击的用户的服务并不会对该行为
29.
15.2进行任何形式的补偿措施服务器被攻击后,用户需主动配合我们,移除造成被攻击的内容
29.
15.3公司在执行本策略时,可根据行动的合理性自行判断,无需预先通知或不通知
29.
15.4用户除了在本策略中提出的补救条款外,公司可以)使用户违反本策略的内容无法被访问a)暂停或终止用户对公司服务、网络或其实体基础设施的使用从服务器上移除b DNS记录)阻止邮件或者其它网络服务c)使地址路由无效d IP)采取法律手段强制用户服从本策略e如果发现有违反本策略的行为,请直接将向投诉部门报告,如果可以的话,请
5.
15.55提供以下信息)涉嫌进行违反活动的地址涉嫌进行违反活动的日期和时间,包括时区或与格a IP林尼治标准时间的时差涉嫌进行违反活动的证据)在电子邮件信头可以提供所有上述信息,提供系统日志文件也可以在其他情况b下则需要不同的方法以提供上述信息公司可采取以下任何一项或多项行动以回应举报)发出书面的或口头的警告暂停用户的新闻组发布信息特权暂停客户的账户终c止客户的账户就管理以及/或者重启服务成本向客户征收费用采取法律行为以禁止违反行为及/收取损坏赔偿费用如违反行为导致任何损失经公司合理判断,如果任何用户使用公司服务、网络或其实体基础设施造成公
5.
15.66司可能需要承担责任,公司可以永久暂停或终止该用户使用公司服务、网络或其实体基础设施的权利本策略规定的补救行为不会在任何形式上构成对公司可采取的已执行并确认
5.
15.7对本策略的服从的行为或补救方法的限制公司保留权利取得任何及所有花费的赔偿,并且向违反本策略的客户收取任何合理的收费的权利因违反本策略而导致的任何服务中断将不会得到任何补偿公司保留随时调查任何事实的、可疑的,或者被涉嫌的违反本策略的行为的
5.
15.88权利,这些调查包括获取置于任何服务器、公司网络或其实体基础设施或者与任何服务器、公司网络或其实体基础设施有关联的数据和记录被禁止的行为
5.
15.99)伪造、失实陈述、省略或者删除信息信头、回复邮件信息或者网络议定书地址以a隐藏或虚冒信息来源)创建或发送网络病毒、蠕虫或特洛伊木马,洪流邮件或邮件炸弹,或者进行拒绝b服务攻击)非法侵入及/或破坏,或者帮助他人破坏我们产品或系统的安全性或健全性c)诱引非法活动的发生,即使该活动未曾进行d)骚扰他人或鼓吹骚扰行为e)公然提倡欺骗行为,或者使用服务去从事如传销推销骗局等f)未经告知或同意对他人的个人信息进行收集g)指导他人从事被禁止的活动h)使用服务去传播或展示根据本国法律属于色情、色情画面(无论是否有文学或艺i术价值)以及/或者残忍的内容;以及/或者经由我们独自裁决判断,任何形式之活动,如将为公司带来不利的管制行动,或使公司承担任何责任,或使公司的公众形象、声誉或良好商誉造成负面影响)创建虚假的网络日志,其意在或有合理可能提升作者网站或相关网站的访问量,j或者增加其搜索引擎排名量)向网络日志站点发送垃圾邮件或对网络日志自动发布随机评论或商业宣传信,息、kO)提供赌博,赌博信息或赌博产品相关的站点I)任何未经授权的,没有正当的游戏站点或游戏服务器m)任何宣传或提供反政府,反人类信息的站点n)任何销售违禁品或提供违禁品相关信息的站点o任何使用我司保密信息的外部相关方,不得擅自将获得的任何保密信息传递给其他相关方公司内、外部用户在获取信息过程如发现与申请授权不符的情况时,必须向相关
4.5管理者报告违背该策略可能导致违规人员网络访问权被限制、遭到行政处分、员工被解雇、
4.6合作方关系的终止,甚至被民事、刑事起诉通信安全(网络访问、配置、使用)策略概述
5.1规范网络的访问使用、配置使用规则,使其保持信息完整性、可用性和保密性;
1.
1.1规范互联网以及公司内部网络的使用,确保信息资源不会被泄漏、篡改、破坏
1.
1.2规范网络访问、使用
1.2员工不可下载、安装、更换网络硬件/软件和使用网络监测工具,发现系统的安
1.
2.1全漏洞时应立即报信息安全部门有共享权限的用户在局域网新建共享时必须指定访问权限,敏感信息严禁使用
1.
2.2权限;未经申请的用户应关闭其局域网共享权限everyone任何员工在访问网络资源时必须使用专属于自己的账号不得使用他人的账
1.
2.3ID,号访问网络资源规范网络配置
1.3信息安全部门授权部门负责网络基础设施配置,而且还要对基础设施的发展和
1.
3.1增加进行管理为了提供稳固的网络基础设施,所有网络线必须由信息安全部门授权其他部门
1.
3.2或被认可的供方安装所有网络连接设备必须按照信息安全部门批准的规范进行配置
1.
3.3所有连接到网络的硬件必须服从信息安全部门的管理和监控标准
1.
3.4所有网络设备只能由信息安全部门授权相关管理部门进行配置更改
1.
3.5网络基础设施支持一系列合理定义的、被认可的网络协议使用任何未经认可
1.
3.6的协议都必须经过信息安全部门的批准支持协议的网络地址由信息安全部门授权部门集中分配、注册和管理
1.
3.7网络基础设施与外部相关方网络的所有连接都由信息安全部门授权部门负责
1.
3.8规范互联网及内部网络使用
1.4提供给授权使用者的互联网浏览软件只能用于公司业务,不可以用于个人私利
1.
4.1互联网访问权限授权给总经理、副总经理、信息部、涉及办公二楼办公区部门
1.
4.2(财务部、人事部、综合办、物流部、采购部、销售计划部、质保部),物流仓库区域相关部门(财务打单、物流、质保)或因工作需要申请后经授权的用户,其他用户访问互联网必须在公司公共的上网区域访问,且必须遵守相关规定用于访问互联网的软件必须经过信息安全部门批准
1.
4.3从互联网下载的所有文件必须通过信息安全部门批准的病毒检测软件进行病毒
1.
4.4扫描通过外部网络传送的所有保密资料都适当进行加密
1.
4.5电子文件必须服从适用其文件类型的保存规则,必须按照部门记录保存方案进
1.
4.6行保存文档和文件的发送或接收必须以不引起法律责任或阻碍的方式进行
1.
4.7使用互联网应遵循法律法规要求,并不得利用国际联网危害国家安全、泄露国
1.
4.8家秘密,不得侵犯国家的、社会的、公司的利益和公民的合法权益,不得从事违法犯罪活动违背该策略可能导致违规人员网络访问权被限制、遭到行政处分、员工被解雇、
1.5合作方关系的终止,甚至被民事、刑事起诉访问控制策略6概述
6.1管理内外部用户对公司信息资源和信息系统的访问,也包括内部用户在远程工
6.
1.1作地点的访问本公司内部可公开的信息不作特别限定,允许所有用户访问
6.
1.2本公司内部部分公开信息,经访问授权管理部门认可,访问授权实施后用户方
6.
1.3可访问用户不得访问或尝试访问未经授权的网络、系统、文件和服务
6.
1.4各系统访问授权管理部门应编制《用户访问权限清单》,明确规定访问规则,对
6.
1.5几人共用的账号应明确责任人用户不得以任何方式私自安装路由器、交换机、代理服务器、无线网络访问点
6.
1.6(包括软件和硬件),不得私自撤除或更换网络设备只有系统管理员才能开通特权账户
6.
1.7定期评审访问策略,使其满足业务和访问的安全要求
6.
1.8内部用户对公司信息资源的访问
6.2保密等级为“普通”的信息资源,根据业务需求,由访问人员提出申请,经访
6.
2.1问授权管理部门批准,访问授权实施部门实施后,内部用户方可访问保密等级为“机密”的信息资源,根据业务需求,由访问人员提出申请,经对
6.
2.2应公司高层管理者批准,访问授权实施部门实施后,内部用户方可访问保密等级为“绝密”的信息资源,非授权内部用户禁止访问
6.
2.3内部用户对信息系统的访问
6.3公司信息系统根据业务需求设定岗位访问权限,人员上岗后无需再申请即可访
6.
3.1问超过《用户访问权限清单》的业务需求访问权限,由访问人员提出申请,经信
6.
3.2息安全部门认可,访问授权实施部门实施后,内部用户方可访问内部用户在远程工作地点对公司信息资源和信息系统的访问
6.4内部用户的远程工作地点除访问公司网上办公系统外,需事先得到信息安全部
6.
4.1门的批准内部用户的远程工作地点如需除访问公司信息资源及系统,需事先申请并得到
6.
4.2信息安全部门的批准在固定远程工作地点工作的内部用户在调岗、离职后,信息安全部门授权给专
6.
4.3业人员对终端设置及账号信息进行调整、清理、检查外部用户对公司信息资源和信息系统的访问
6.5所有外部用户禁止直接访问公司信息资源和信息系统,除公司内公开展示的信
6.
5.1息及公司对外网站外部用户因工作需要当场获得的保密等级为“普通”的信息资源,由职能部门
6.
5.2申请,对应管理者批准,职能部门人员陪同在场查阅,不交付外部用户的信息资源可无需额外批准外部用户因工作需要必须获得的保密等级为“普通”的信息资源,职能部门申
6.
5.3请,由对应管理者批准需要交付给外部用户的信息资源,按规定路径交付外部用户外部用户因工作需要必须获得的保密等级为“机密”的信息资源,由职能部门
6.
5.4申请,对应高层管理者批准,由职能部门人员陪同在场查阅或按规定路径交付外部用户保密等级为“绝密”的信息资源,禁止任何方式交付外部用户
6.
5.5信息安全部门授权系统管理员按规定周期对访问授权进行检查和评审
6.6系统管理员和特权用户权限由部经理负责按规定周期进行检查和评审
6.7IT如申请访问时限结束时、员工的调岗信息、员工的离职信息递交到访问授权实
6.8施部门时,应及时撤销访问权限违背该策略可能导致违规人员网络访问权被限制、遭到行政处分、员工被解
6.9雇、合作方关系的终止;甚至被民事、刑事起诉物理和环境安全策略7概述
7.1定义公司物理边界及访问控制要求,防止公司信息和信息处理设施被未授权访
7.
1.1问、损坏和干扰物理安全边界
7.2根据区域内的信息或信息处理装置的安全要求和风险评估,确定物理安全边界
7.
2.1主要将区域分为三个等级
7.
2.2)重要安全区域(安全区)该信息和信息处理设施对公司业务有重要影响(如财产a损失、商业信息泄密、声誉损害等)的区域内部人员经授权后方可访问,外部人员不可访问)一般安全区域(限制区、管控区)该信息和信息处理设施对公司业务影响较小的b区域公司内部人员可访问,外部人员访问需提出申请并获得授权后方可访问)公共访问(开放区)访问人员和非授权人员均可进入c根据区域安全的重要性,建立适当的物理屏障和监视装置,保护其内部信息,防
1.
1.3止环境被污染,控制人员进出使用频率低的安全区域应上锁
1.
1.4对于重要安全区域的具体划分和分布,不可公开获得
1.
1.5对建筑物的标识,应给出指明用途的最少指示,避免暴露安全区域的重要信,
1.
1.6目、应设计物理保护以防自然灾害、恶意攻击和意外
1.
1.7入口控制
1.3通过适当的工具设置访问限制,以实现只有授权人员能进入相关安全区域的要
1.
3.1求,且访问者的进出,应能追溯相关记录员工应佩戴工作牌,外来人员应佩戴相应标识,以表明身份,若发现无授权人
1.
3.2员进入安全区域应及时阻止并通知信息安全部门授权部门对于可访问安全区域的工具,如门禁卡、钥匙、密码等,必须由相关部门批准
1.
3.3后使用,且仅限授权人本人使用,不可共享或出借若工具遗失或失效,应及时向设施管理人员或安全区域管理人员报告对安全区域的访问权限应形成记录,并定期进行评审和更新,如人员离职或调
1.
3.4岗,应第一时间调整其访问权限外来人员进入公司,应有相应接待人员提出申请并验证其身份
1.
3.5安全区域内活动
1.4员工在培训后应知晓安全区域内能进行的活动
1.
4.1外来人员应避免在安全区域内进行不受监督的工作
1.
4.2安全区域内的活动必须严格遵守作业规范或作业指导
1.
4.3未经授权,不应允许进行摄影、摄像、录音或其他手段记录信息
1.
4.4交接区
1.5外部进入交接区人员,限于已标识身份人员
1.
5.1交接区域应设置为无需访问建筑内其他区域就可实现装卸物资
1.
5.2当内部通道开放时,应确保外部通道及时关闭
1.
5.3物资在进入公司内部前,应确认物品是否存在爆炸物、化学品等危险物质
1.
5.4违背该策略可能导致违规人员网络访问权被限制、遭到行政处分、员工被解雇、
1.6合作方关系的终止;甚至被民事、刑事起诉供应商关系的信息安全策略8概述
8.1公司应确保信息供应商可访问、存储、传递、使用、处理的信息得到有效的监
8.
1.1控和保护,降低信息安全事件发生的风险和概率信息供应商包括为公司提供信息服务的(包括硬件、软件、信息系统、信息化服
8.2务等)供应商及其分包商公司应建立信息供应商访问信息程序,确保信息供应商访问公司信息的全过程得
8.3到监控信息供应商访问公司信息前控制
8.4供应商为公司提供服务前,应先明确需要访问的信息内容
8.
4.1公司应根据需要访问的信息内容,与信息供应商签订信息保密合同或信息保密
8.
4.2协议,明确对相关信息的保护要求供应商需要访问公司信息前,应根据事先签订的合同或协议中的内容,并通
8.
4.3过信息访问权限的申请流程获得信息访问权限信息供应商访问公司信息过程中的控制
8.5信息供应商访问过程控制
8.
5.1)供应商在提供服务的过程中,应严格遵守事先签订的信息保密合同或协议a)供应商访问授权外的信息前,需要按规定的流程规范获得高层领导的审批,同时b在相关负责人的监控下进行)供应商访问公司授权的信息时,需在相关负责人的监控下进行c)供应商在存储、使用、传递公司信息时,应严格遵循事先签订的信息保密合同或d协议,并根据信息保密的等级通过相关负责人、高层领导的审批信息供应商访问权限控制
8.
5.2)供应商不得将工作身份识别信息(包括访问身份牌、账号密码、门禁等)透露或a借给他人使用)当供应商与公司签订的合同或协议内容发生变更时,双方应根据变更的内容重新b签订信息保密合同或协议)供应商人员发生人事变动时,必须及时告知公司相关负责人,由公司相关负责人c进行相应的权限调整工作信息供应商访问公司信息后的管理
8.6供应商访问公司信息的过程结束后,公司应立即取消授权,并由相关负责人做
8.
6.1好信息访问记录供应商应严格按照信息保密合同或协议的要求使用从公司获取的信息
8.
6.2供应商应定期整理已访问到的信息,同时向公司相关负责人汇报信息的使用情
8.
6.3况供应商与公司解除合作关系后,应整理所有从公司获得的信息资源和处理结果,
8.
6.4双方应明确信息资源回收或清除的方式,并获得公司相关负责人、高层领导的认可违背该策略可能导致信息泄露,造成损失,供应商赔偿损失,终止合作关系
8.7情节严重的,会导致供应商受到刑事诉讼设备及布缆安全策略9概述
9.1定义我司信息设施、设备安装、防护、维护、处置、移动要求的策略
9.
1.1信息设施、设备的安装和防护
9.2信息设备应安装在适当位置,减少不必要的对工作区域的访问
9.
2.1。