文档库

最新最全的文档下载
当前位置:文档库 > ISMS-Sinosoft-h-04-2008信息安全策略

ISMS-Sinosoft-h-04-2008信息安全策略

ISMS-Sinosoft-h-04-2008信息安全策略

ISMS-Sinosoft-h-04-2008信息安全策略

信息安全策略

ISMS-Sinosoft-h-04-2008信息安全策略

南京擎天科技有限公司

Nanjing Sinosoft Technology Co., Ltd.

ISMS-Sinosoft-h-04-2008信息安全策略

ISMS-Sinosoft-h-04-2008信息安全策略

ISMS-Sinosoft-h-04-2008信息安全策略

目录

1.文档介绍 (5)

1.1.文档目的 (5)

1.2.文档范围 (5)

1.3.参考信息 (5)

2.术语和定义 (6)

2.1.解释 (6)

2.2.词语使用 (7)

3.Sinosoft信息系统安全策略 (7)

3.1.策略下发 (7)

3.2.策略维护 (7)

3.3.策略评审 (8)

3.4.适用范围 (8)

4.Sinosoft信息系统安全组织 (8)

4.1.内部组织 (8)

4.2.外部组织 (9)

5.Sinosoft资产管理 (10)

5.1.资产责任 (11)

5.2.信息分类 (11)

6.Sinosoft人员信息安全管理 (11)

6.1.人员雇佣 (12)

6.2.雇佣中 (12)

6.3.人员信息安全管理原则 (13)

7.物理和环境安全 (14)

7.1.安全区域 (14)

7.2.设备安全 (15)

8.Sinosoft通信和操作管理 (21)

8.1.操作程序和责任 (21)

8.2.第三方服务交付管理 (23)

8.3.系统策划与验收 (25)

8.4.防范恶意和移动代码 (27)

8.5.备份 (28)

8.6.网络安全管理 (28)

8.7.介质处理 (29)

8.8.信息交换 (31)

8.9.监视和审计 (33)

9.Sinosoft信息系统访问控制 (36)

9.1.访问控制的业务要求 (36)

9.2.用户访问管理 (37)

9.3.用户责任 (40)

9.4.网络访问控制 (41)

9.5.操作系统访问控制 (43)

9.6.应用程序和信息访问控制 (45)

9.7.移动计算和远程工作 (46)

10.信息系统的获取、开发和维护安全 (47)

10.1.信息系统的安全要求 (47)

10.2.应用系统的正确处理 (47)

10.3.加密控制 (47)

ISMS-Sinosoft-h-04-2008信息安全策略

10.4.系统文件安全 (48)

10.5.开发和支持过程安全 (49)

10.6.技术漏洞管理 (49)

11.信息安全事故处理 (50)

11.1.报告信息安全事故和弱点 (50)

11.2.信息安全事故管理和改进 (50)

12.业务连续性管理 (51)

12.1.业务连续性管理中的信息安全 (51)

13.符合性要求 (53)

13.1.遵守法律法规的要求 (53)

13.2.安全策略和技术一致性检查 (58)

13.3.信息系统审计考虑因素 (59)

ISMS-Sinosoft-h-04-2008信息安全策略

ISMS

1.文档介绍

1.1.文档目的

本文档制定了Sinosoft的信息系统安全策略,作为Sinosoft信息安全的基本标准,是所有安全行为的指导方针,同时也是建立完整的安全管理体系最根本的基础。

信息安全策略是在Sinosoft信息安全现状调研的基础上,根据ISO27001的最佳实践,结合Sinosoft现有规章制度制定而成的信息安全方针和策略文档。本文档遵守政府制定的相关法律、法规、政策和标准。本安全策略得到Sinosoft领导的认可,并在Sinosoft内强制实施。

建立信息安全策略目的概括如下:

?在Sinosoft内部建立一套通用的、行之有效的安全机制;

?在Sinosoft的员工中树立起安全责任感;

?在Sinosoft中增强信息资产可用性、完整性和保密性;

?在Sinosoft中提高全体员工的信息安全意识和信息安全知识水平。

1.2.文档范围

本安全策略适用于Sinosoft全体员工。

本安全策略由Sinosoft行政管理部负责解释,自发布之日起执行。

1.3.参考信息

?安全战略和体系架构设计

?信息安全手册

?公司程序文件

?公司管理办法

ISMS-Sinosoft-h-04-2008信息安全策略

2.术语和定义2.1.解释

ISMS-Sinosoft-h-04-2008信息安全策略

ISMS-Sinosoft-h-04-2008信息安全策略

ISMS-Sinosoft-h-04-2008信息安全策略

2.2.词语使用

ISMS-Sinosoft-h-04-2008信息安全策略

3.Sinosoft信息系统安全策略

目标:为信息安全提供管理指导和支持,并与业务要求和相关的法律法规保持一致。

3.1.策略下发

第1条本策略必须得到Sinosoft管理层批准,并向Sinosoft所有员工和相关第三方公布传达,全体人员必须履行相关的义务,享受相应的

权利,承担相关的责任。

3.2.策略维护

本策略通过以下方式进行文档的维护工作:

第2条必须每年按照《信息安全风险评估管理程序》进行例行的风险评估,如遇以下情况必须及时进行风险评估:

?发生重大安全事故

?组织或技术基础结构发生重大变更

?安全管理小组认为应当进行风险评估的

?其他应当进行安全风险评估的情形

ISMS-Sinosoft-h-04-2008信息安全策略

第3条风险评估之后根据需要进行安全策略条目修订,并在Sinosoft内公布传达。

3.3.策略评审

第4条每年必须参照《信息安全管理评审程序》执行公司管理评审。

3.4.适用范围

第5条适用范围是指本策略使用和涵盖的对象,包括Sinosoft现有的业务系统、硬件资产、软件资产、信息、通用服务、物理安全区域等。

对于即将投入使用和今后规划的信息系统项目也必须参照本策略执

行。

4.Sinosoft信息系统安全组织

目标:在Sinosoft组织内部管理信息安全,保持可被外部组织访问、处理、沟通或管理的Sinosoft信息及信息处理设备的安全。

4.1.内部组织

第6条Sinosoft的管理层对信息安全承担最终责任。管理者职责参见《信息安全委员会组织机构》。

第7条Sinosoft的信息系统安全管理工作采取行政管理部统一管理方式,其他相关部门/单位配合执行。Sinosoft的内部信息安全组织为信

息安全管理委员会,委员会的人员组成以及相关职责参见《信息安

全委员会组织机构》。

第8条Sinosoft各个部门之间必须紧密配合共同进行信息安全系统的维护和建设。相关部门岗位的分工与责任参见《岗位说明书》。

第9条任何新的信息系统处理设施必须经过管理授权的过程。并更新至《信息资产识别表》。

ISMS-Sinosoft-h-04-2008信息安全策略

第10条Sinosoft信息系统内的每个重要的资产需要明确所有者、安全责任人、安全维护人员、使用人员。参见《信息资产识别表》。

第11条凡是涉及Sinosoft重要信息、机密信息(相关定义参见《保密管理规定》等信息的处理,相关的Sinosoft工作岗位员工以及第三方都

必须签署保密协议。

第12条应当与政府机构保持必要的联系共同协调信息安全相关问题。这些部门包括执法部门、消防部门、上级监管部门、电信供应商等提供

公共服务的部门。

第13条应当与相关信息安全团体保持联系,以取得信息安全上必要的支持。

这些团体包括外部安全咨询商、独立的安全技术专家等。

第14条信息安全管理小组每年至少进行一次信息安全风险评估工作(参照《信息安全风险评估管理程序》,并对安全策略进行复审。信息安全

领导小组每年对风险评估结果和安全策略的修改进行审批。

第15条每年或者发生重大信息安全变化时必须参照《信息安全管理评审程序》执行公司管理评审。

4.2.外部组织

第16条第三方访问是指非Sinosoft人员对信息系统的的访问。第三方至少包含如下人员:

●硬件及软件技术支持、维护人员;

●项目现场实施人员;

●外单位参观人员;

●合作单位人员;

●客户;

●清洁人员、送餐人员、快递、保安以及其它外包的支持服务人

员;

第17条第三方的访问类型包括物理访问和逻辑访问。

ISMS-Sinosoft-h-04-2008信息安全策略

●物理访问:重点考虑安全要求较高区域的访问,包括计算机机

房、重要办公区域和存放重要物品区域等;

●逻辑访问:

◆主机系统

◆网络系统

◆数据库系统

◆应用系统

第18条第三方访问需要进行以下的风险评估后方可对访问进行授权。

●被访问资产是否会损坏或者带来安全隐患;

●客户是否与Sinosoft有商业利益冲突;

●是否已经完成了相关的权限设定,对访问加以控制;

●是否有过违反安全规定的记录;

●是否与法律法规有冲突,是否会涉及知识产权纠纷;

第19条第三方进行访问之前必须经过被访问系统的安全责任人的审核批准,包括物理访问的区域和逻辑访问的权限。(物理访问区域安全责

任人按《物理访问控制管理规定》执行。)

第20条对于第三方参与的项目,必须在合同中明确规定人员的安全责任,必要时应当签署保密协议。

第21条第三方必须遵守Sinosoft的信息安全策略以及《参观保密协议》,Sinosoft保留对第三方的工作进行审核的权利。

5.Sinosoft资产管理

目标:通过及时更新的信息资产目录对Sinosoft信息资产进行适当的保护。

ISMS-Sinosoft-h-04-2008信息安全策略

5.1.资产责任

第22条所有Sinosoft的信息资产必须登记入册,对于有形资产必须进行标识,同时资产信息应当及时更新。每项信息资产在登记入册及更新

时必须指定信息资产的安全责任人,信息资产的安全责任人必须负

责该信息资产的安全。

第23条所有Sinosoft员工和第三方都必须遵守本策略中第65条至第102条关于信息设备安全管理的规定,以保护Sinosoft信息处理设备

(包括移动设备和在非公共地点使用的设备)的安全。

5.2.信息分类

第24条必须明确确认每项信息资产及其责任人和安全分类,信息资产包括业务系统、硬件资产、软件资产、信息资产、物理设备和IT环境设

施。(详见《信息资产识别表》)。

第25条必须建立信息资产管理登记制度,至少详细记录信息资产的分类、名称、用途、资产所有者、安全责任人、安全维护人员、使用人员、

入库时间、有效时限、报废时间、借用及返还情况等,便于查找和

使用。信息资产应当标明适用范围。

第26条应当在每个有形信息资产上进行标识。

第27条当信息资产进行拷贝、存储、传输(如邮递、传真、电子邮件以及语音传输【包括电话、语音邮件、应答机】等)或者销毁等信息处

理时,应当参照《保密管理规定》或者制定妥善的处理步骤并执行。第28条对重要的资料档案要妥善保管,以防丢失泄密,其废弃的打印纸及磁介质等,应按Sinosoft有关规定进行处理。

6.Sinosoft人员信息安全管理

目标:确保所有的员工、合同方和第三方用户了解信息安全威胁和相关事宜、

ISMS-Sinosoft-h-04-2008信息安全策略

明确并履行信息安全责任和义务,并在日常工作中支持Sinosoft的信息安全方针,减少人为错误的风险,减少盗窃、滥用或设施误用的风险。

6.1.人员雇佣

第29条Sinosoft员工必须了解相关的信息安全责任,必须遵守《岗位说明书》。

第30条对第三方访问人员和临时性员工,也必须遵守《参观保密协议》。

第31条涉及重要信息系统管理的员工、合同方及第三方应当进行相关技术背景调查和能力考评;

第32条涉及重要信息系统管理的员工、合同方及第三方应在合同中明确其信息安全责任并签署保密协议;

6.2.雇佣中

第33条Sinosoft管理层必须要求所有的员工、合同方及第三方用户执行Sinosoft信息安全的相关规定;

第34条应当设定信息安全的相关奖励措施,任何违反信息安全策略的行为都将收到惩戒,具体执行办法参见《信息安全奖惩规定》;

第35条将信息安全培训加入员工培训中,培训材料应当包括下列内容:

?Sinosoft信息安全策略

?Sinosoft信息安全制度

?相关奖惩办法

第36条应当按下列群体进行不同类型的信息安全培训:

?Sinosoft全体员工

?需要遵守Sinosoft信息安全策略、规章制度和各项操作流

程的第三方人员

ISMS-Sinosoft-h-04-2008信息安全策略

第37条信息安全培训必须至少每年举行一次,让不同部门的人员能受到适当的信息安全培训。必须参加计算机信息安全培训的人员包括:?计算机信息系统使用单位的安全管理责任人;

?重点单位或核心计算机信息系统的维护和管理人员;

?其他从事计算机信息系统安全保护工作的人员;

?能够接触到敏感数据或机密信息的关键用户。

6.3.人员信息安全管理原则

第38条员工录用时,人力资源部或调入部门必须及时书面通知行政管理部添加相关的口令、帐号及权限等并备案。

第39条员工在岗位变动时,必须移交调出岗位的相关资料和有关文档,检查并归还在Sinosoft借出的重要信息。人力资源部或调入部门必须

及时书面通知行政管理部修改和删除相关的口令、帐号及权限等。第40条员工在调离时必须进行信息安全检查。调离人员必须移交全部资料和有关文档,删除自己的文件、帐号,检查并归还在Sinosoft借出

的保密信息。由人力资源部书面通知行政管理部删除相关的口令、

帐号、权限等信息。

第41条用户帐号三个月未使用的将在系统中自动失效。必须每半年进行用户使用情况的统计,凡是半年及半年以上未使用的帐号经相关部门

确认后删除。如有特殊情况,必须事先得到部门经理及安全责任人

的批准。

第42条对第三方访问人员和临时性员工,也必须执行第38条到第41条的相关规定。

ISMS-Sinosoft-h-04-2008信息安全策略

7.物理和环境安全

7.1.安全区域

目标:防止对Sinosoft工作场所和信息的非法访问、破坏和干扰。

第43条Sinosoft必须明确划分安全区域。安全区域至少包括Sinosoft各计算机机房、档案室,IT部门、财务部、人力资源部等部门。

第44条所有进入本公司的人员都需经过授权,本公司员工之外的人员进入本公司必须登记换取来宾卡才能进入(得到被访者允许)。

第45条无人值守的门和窗户必须上锁,对于直接与外部相连的安全区域的窗户必须考虑窗户的外部保护;

第46条应按照地方、国内和国际标准建立适当的入侵检测体系,并定期检测以覆盖所有的外部门窗;

第47条安全区域必须配备充足的安全设备,例如热敏和烟气探测器、火警系统、灭火设备,并对设备定期检查;

第48条只要可行,安全区域进出控制应当采用合适的电子卡或磁卡,并能双向控制;

第49条对安全区域的访问必须进行记录和控制,以确保只有经过授权的人员才可以访问。对机房的访问管理参见《机房管理规定》,其它区域

可参照执行。

第50条机房建设应符合GB 9361中C类安全机房的要求;

第51条危险或易燃材料应在离安全区域安全距离以外的地方存放。大批供应品(例如文具等)不应存放于特殊安全区域内;

第52条应当控制外来人员对公共办公区域的访问,一般来说,非本公司人员必须要在主要出入口处填写《来访人员登记表》,并且在显眼处佩

戴本公司发出的来宾卡,由Sinosoft员工陪同。外来人员访问三级

含三级以上区域需签署《参观保密协议》;

ISMS-Sinosoft-h-04-2008信息安全策略

第53条本公司工作人员都必须在显眼处佩带胸卡,并且调离本公司时,其实际进入权也同时相应取消;

第54条任何人如需要申请使用本公司感应卡门禁,申请人必须先填写《门禁权限申请表》并获得管理部或其授权代表的批准;

第55条管理部应定期(每三个月)审查访问本公司的人员名单并将进出权限过期或作废的人员从名单上划掉。同时审查门禁系统控制权限分配,

确保门禁权限控制正确。

第56条关键和敏感设施应当存放在与公共办公区域相对隔离的场地,并应设计且实施保护,禁止在公共办公区域处理重要的信息设施;

第57条危险或易燃物品应当摆放在离安全区域安全距离之外,机房操作员应当参见《机房管理规定》中的要求执行值班任务。

第58条恢复设备和备份介质的存放地点应与主场地有一段安全的距离,要考虑信息设备面临的可能的安全威胁,参考《业务持续性管理程序》

的内容制定对应的业务连续性计划,并要定期演练。

第59条人员离开安全区域时应当及时上锁。

第60条除非经过安全责任人授权,在安全区域不允许使用图象、视频、音频或其它记录设备。

第61条向本公司发送货物必须预先通知管理部或其授权代表;

第62条送货公司名称和交货时间应当在接收货物之前由监督人员确认;

第63条送货公司在进入本公司区域之前要经过工作人员鉴别确认;

第64条管理部或其授权代表应安排人员检验货物,以保证没有潜在的危害。

7.2.设备安全

目标:防止资产的丢失、损坏或被盗,以及对组织业务活动的干扰。

第65条设备应进行适当安置,以尽量减少不必要的对工作区域的访问;

ISMS-Sinosoft-h-04-2008信息安全策略

第66条应把处理敏感数据的信息处理设施放在适当的限制观测的位置,以减少在其使用期间信息被窥视的风险,还应保护储存设施以防止未

授权访问;

第67条要求专门保护的部件要予以隔离,以降低所要求的总体保护等级;第68条应采取控制措施以减小潜在的物理威胁的风险,例如偷窃、火灾、爆炸、烟雾、水(或供水故障)、尘埃、振动、化学影响、电源干扰、

通信干扰、电磁辐射和故意破坏;

第69条在信息处理设施附近禁止进食、喝饮料和抽烟;

第70条对于可能对信息处理设施运行状态产生负面影响的环境条件(例如温度和湿度)要予以监视;

第71条所有建筑物都应采用避雷保护,所有进入的电源和通信线路都应装配雷电保护过滤器;

第72条应保护处理敏感信息的设备,以减少信息泄露的风险;极其重要设备应部署在不同位置。

第73条计算机机房必须提供环境保障,机房建设必须遵照相关的机房建设规范进行。如中华人民共和国国家标准GB 50174《电子计算机机房

设计规范》,必须提供:

稳定的电源供给

可靠的空气质量控制(温度,湿度,污染度)

防火,防水,防高温,防雷

第74条应尽量减少对机房不必要的访问,在机房内工作必须遵守《机房管理规定》。

第75条Sinosoft各计算机机房是重要的信息处理场所,必须严格执行Sinosoft有关安全保密制度和规定,并防止重要信息的泄露,保证

业务数据、信息、资料的准确、安全可靠。

ISMS-Sinosoft-h-04-2008信息安全策略

第76条计算机机房应列为单位重点防火部位,按照规定配备足够数量的消防器材,并定期检查更换。机房工作人员要熟悉机房消防用品的存

放位置及使用方法,必须掌握防火设施的使用方法和步骤;要熟悉

设备电源和照明用电以及其它电气设备总开关位置,掌握切断电源

的方法和步骤。在遇到突发紧急情况时,必须以保护人身安全为首

要目标。

第77条定期对机房供电线路及照明器具进行检查,防止因线路老化短路造成火灾。

第78条应当按照设备维护要求的时间间隔和规范,对设备进行维护。

第79条第三方支持和维护人员对重要设备技术支持前,必须经过安全责任人的授权或审批。并且在对重要设备现场实施过程中必须有

Sinosoft相关人员全程陪同,详细规定参见《参观保密协议》、《物

理访问控制管理规定》。

第80条设备的安全与重用应当按规定的操作程序来处理,特别是包含重要信息的存储设备,应按照相关规定,以确定是否销毁、修理或弃用

该设备。对弃置的存储有敏感信息的存储设备,必须将其销毁,或

重写数据,而不能只是使用标准的删除功能进行数据删除。

第81条当员工离开时,对于载有重要信息的纸张和可移动的存储介质,应当妥善保管。

第82条远程办公人员有责任保护移动设备的安全,未经网管中心批准,不得在公共场所访问Sinosoft内部网络。

第83条未经信息安全责任人授权,不允许将载有重要信息的设备、信息或软件带离工作场所。机房内设备的出入必须填写《机房进出记录》。第84条敷设到本公司内各个区域的其它电缆线的保护方式如下:

1、进入信息处理设施的电源和通信线路宜在地下,若可能,或

提供足够的可替换的保护;

ISMS-Sinosoft-h-04-2008信息安全策略

2、网络布缆要免受未授权窃听或损坏,例如,利用电缆管道或

使路由避开公众区域;

3、为了防止干扰,电源电缆要与通信电缆分开;

4、使用清晰的可识别的电缆和设备记号,以使处理失误最小化,

例如,错误网络电缆的意外配线;

5、使用文件化配线列表减少失误的可能性;

6、对于敏感的或关键的系统,更进一步的控制考虑应包括:

1)在检查点和终接点处安装铠装电缆管道和上锁的房间或

盒子;

2)使用可替换的路由选择和/或传输介质,以提供适当的安

全措施;

3)使用纤维光缆;

4)使用电磁防辐射装置保护电缆;

5)对于电缆连接的未授权装置要主动实施技术清除、物理

检查;

6)控制对配线盘和电缆室的访问;

第85条设备维护应按照供应商推荐的服务时间间隔和规范对设备进行维护,应遵守由保险策略所施加的所有要求;

第86条由供货商维护的设备。各种维护活动要按照合同协议或设备购买时的维护计划进行。

第87条设备管理责任部门和责任人要每年年初制订《设备维护计划》,《设备维护计划》中列明设备维护的内容、维护时间与周期、维护人员、

维护费用等内容。

第88条设备维护可分为日常维护(一级维护)、年度维护(二级维护)。日常维护由设备使用者在日常使用时进行,维护项目限于查看设备外

观有无明显损坏、是否正常工作、是否通电正常等内;年度维护一

般由供应商进行,在专业性上要求比日常维护都要强,包括一年一

次或几年一次不等,年度维护侧重于设备潜在故障的及早发现和处

ISMS-Sinosoft-h-04-2008信息安全策略

理,年度维护后,要将维护项目、维护过程、维护人员、维护结果

等内容详细记录在《设备维护记录》中。

第89条只有已授权的维护人员才可对设备进行修理和服务,授权人员包括本公司内部人员,也包括供应商。无论内部人员还是外部人员,都

必须具备相应的能力,并遵守安装维护操作步骤和安全保护规则。第90条在对设备进行维护时,要根据不同的维护内容及可能产生的风险,考虑是由内部人员执行还是由外部人员执行,在外部人员对设备进

行维护时,应实施适当的控制,需要时,敏感信息需要从设备中删

除或确保维护人员对其不具有访问权限。

第91条对于由内部人员维护的设备,要依据设备供应商推荐的间隔和规范对设备进行维护。

第92条在设备维护过程中,要保存所有可疑的或实际的故障和所有预防、纠正维护的记录,这些记录包括日志、故障报告记录等。

第93条本公司原则上禁止设备移出本公司物理环境。如确因工作需要,如展会、维修等,需将本公司的服务器、交换机、路由器等信息设备

移到本公司办公地点外使用,需要填写《重要信息资产出司登记审

批表》,经过责任部门经理的批准后才能移出本公司物理环境。

第94条如需要供应商将设备移出本公司物理环境进行维修时,在设备移出前,设备管理人员要将设备中敏感信息从设备中删除或确保维护人

员对其不可访问或获取。

第95条离开建筑物的信息设备和移动介质在公共场所要有专人看护和保管,不允许无人值守,适当时,还要施加其它措施进行控制,例如

上锁,以防止损坏、盗窃等事件发生。

第96条离开办公场所的设备的保护应考虑下列措施:

1、离开建筑物的设备和介质在公共场所不应无人看管。在旅行

时便携式计算机要作为手提行李携带,若可能宜伪装起来;