《信息安全手册.pdf》由会员分享,可在线阅读,更多相关《信息安全手册.pdf(49页珍藏版)》请在三一文库上搜索。
1、XXXXXXXX有限公司 信息安全管理手册 文件密级:内部公开 2 未经许可,不得扩散 目录 1 目的 5 2 范围 5 3 总体安全目标 5 4 信息安全 5 5 信息安全组织 5 5.1 信息安全组织 5 5.2 信息安全职责 6 5.3 信息安全操作流程 7 6 信息资产分类与控制 8 6.1 信息资产所有人责任. 8 6.1.1 信息资产分类 8 6.1.2 信息资产密级 9 6.2 信息资产的标识和处理. 9 7 人员的安全管理 10 7.1 聘用条款和保密协议 10 7.1.1 聘用条款中员工的信息安全责任 . 10 7.1.2 商业秘密 . 11 7.2 人员背景审查 12 7.
2、2.1 审查流程 13 7.2.2 员工背景调查表 13 7.3 员工培训 14 7.3.1 培训周期 14 7.3.2 培训效果检查 14 7.4 人员离职 15 7.4.1 离职人员信息交接流程. 15 7.5 违规处理 15 7.5.1 信息安全违规级别. 15 7.5.2 信息安全违规处理流程. 16 7.5.3 违规事件处理流程图. 17 8 物理安全策略 17 8.1 场地安全 . 17 8.1.1 FBI 受控区域的划分 18 8.1.1.1 受控区域级别划分 18 8.1.1.2 重要区域及受控区域管理责任划分 . 18 8.1.1.3 物理隔离 . 18 8.1.2 出入控制
3、 . 19 8.1.3 名词解释 . 19 8.1.4 人员管理 . 19 8.1.4.1人员进出管理流程. 19 8.1.4.1.1 公司员工 . 19 8.1.4.1.2 来访人员 . 20 8.1.5 卡证管理规定 23 文件密级:内部公开 3 未经许可,不得扩散 8.1.5.1 卡证分类 23 8.1.5.2 卡证申请 23 8.1.5.3 卡证权限管理 24 8.2 设备安全 . 24 8.2.1 设备安全规定. 24 8.2.2 设备进出管理流程. 26 8.2.2.1 设备进场 26 8.2.2.2 设备出场 . 27 8.2.3BBB 办公设备进出管理流程. 28 8.2.3.
4、1 设备进场 28 8.2.3.2 设备出场 29 8.2.4特殊存储设备介质管理规定 . 30 8.2.5 FBI 场地设备加封规定 31 8.2.6 FBI 场地设备报修处理流程 31 9 IT 安全管理 31 9.1 网络安全管理规定. 31 9.2 系统安全管理规定. 32 9.3 病毒处理管理流程. 32 9.4 权限管理 . 33 9.4.1 权限管理规定. 33 9.4.2 配置管理规定. 33 9.4.3 员工权限矩阵图. 35 9.5 数据传输规定. 36 9.6 业务连续性 . 36 9.7 FBI机房、实验室管理. 37 9.7.1 门禁系统管理规定. 37 9.7.2
5、服务器管理规定. 37 9.7.3 网络管理规定. 38 9.7.4 监控管理规定. 38 9.7.5 其它管理规定. 38 10 信息安全事件和风险处理. 39 10.1 信息安全事件调查流程. 39 10.1.1 信息安全事件的分类. 39 10.1.2 信息安全事件的分级. 39 10.1.3 安全事件调查流程. 40 10.1.3.1 一级安全事件处理流程. 40 10.1.3.2 二级安全事件处理流程. 41 10.1.3.3 三级安全事件处理流程. 42 10.1.4 信息安全事件的统计分析和审计 42 11 检查、监控和审计. 43 11.1 检查规定 . 43 11.2 监控
6、. 43 11.2.1 视频监控 . 43 11.2.2 系统、网络监控 . 44 文件密级:内部公开 4 未经许可,不得扩散 11.3 审计 . 46 11.3.1 审计规定 . 46 11.3.2 审计内容 . 46 12 奖励与处罚 . 46 12.1 奖励 . 46 12.1.1 奖励等级 . 47 12.2 处罚 . 47 12.2.1 处罚等级 . 47 一级处罚 47 常见一级处罚 47 二级处罚 48 常见二级处罚 48 三级处罚 48 常见三级处罚 48 四级处罚 49 常见四级处罚 49 文件密级:内部公开 5 未经许可,不得扩散 1 目的 为了规范和明确XXXXXXXX有
7、限公司业务发展的信息安全管理方面的总体要求,特制定本规定。 确保我司BBB项目符合BBB信息安全管理要求;有效保护双方利益和和信息资产安全,特制定此规定。 2 范围 本规定适用于XXXXXXXX有限公司各部门及全体员工。 3 总体安全目标 建立符合要求的信息安全管理体系,确保离岸外包项目运作中的信息安全,防止公司及客户的技术 秘密、商业秘密的泄露,保障公司外包业务的顺利发展。 4 信息安全 信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因 而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不被中断。 5 信息安全组织 5.1 信息安全组织 为了响应公司外
8、包业务的离岸政策、适应外包业务发展方向、使业务能够顺利回迁,建立符合公司 及客户要求的信息安全管理体系,保证业务离岸后的顺利开展,本着尊重知识产权、维护公司、客户的 商业利益、为客户的业务开展提供最安全的保障服务。经公司研究决定成立信息安全管理组,各地域或 场地可参照成立信息安全小组。 文件密级:内部公开 6 未经许可,不得扩散 PMO经理 信息安全主任 信息安全专员 行政助理 机要员 行政部 安全岗 IT 专员 IT安全管理员 行政部 卡政管理员 HR 关键岗位审查员 研发部门 部门执行主任 PDU 项目组安全员 网络管理员 网络安全管理员 桌面支持工程师 PC 安全管理员 服务器管理员 系
9、统安全管理员 5.2 信息安全职责 信息安全主任:根据公司信息安全要求及业务发展需求,对信息安全相关事务进行支持、决策,确 保外包项目的信息安全,对所承接的BBB外包服务业务的信息安全负责。 信息安全专员:建立信息安全组织,作为信息安全管理人员负责建立和维护ISMS(Information Security Management System 信息安全管理体系)负责组织信息安全管理规定、标准和流程的制定、 推行、检查和安全事件调查工作。 机要员:主要负责执行信息安全制度中规定的及信息安全专员的指令,一个地域只有一个机要 员,通常重要区域的钥匙、密码、门禁卡由其负责保管,所有物品出入FBI 场地
10、必须由机要员进行 确认检查,并做好相关的记录。 安全岗:执行信息安全制度中规定的及信息安全专员的指令,根据信息安全制度的相关规定,执 行检查、登记出入FBI 场地人员及携带的物品,负责维护责任区域的安全。当有人员及人员携带物品强 行出入 FBI 场地的时候,安全岗人员必须立即制止。 IT 专员: 主要负责执行信息安全制度中规定的及信息安全专员的指令,协助信息安全机要员做好 信息安全方面的技术工作,FBI 场地的机房网络、内外邮箱的设置,设备出场的数据处理,进场设备的存 储、端口的处理,信息安全技术工作方面的改进、优化。 卡证专员:主要执行规范公司员工及外来人员的出入卡证发放和门禁系统授权管理工
11、作。根据信息 安全制度的相关规定,结合卡证管理流程及权限,对卡证管理实行员工工卡、临时工卡、来宾卡的识别、 确认、登记、门禁授权、编码、归类、注销等管理流程工作的实现。 文件密级:内部公开 7 未经许可,不得扩散 部门执行主任:主要负责本部门下属的各项目组在FBI 场地信息安全管理工作,并任命项目组中的 具体信息安全执行负责人,配合信息安全管理工作组的工作做好日常的信息安全管理及定期信息安全的 检查、监控和审计工作。对部门下属成员的信息安全违规、举报行为执行信息安全管理工作组规定的奖 励和处罚。 项目组信息安全员:主要负责本项目组内人员及设备的信息安全管理工作,配合信息安全管理工作 组的工作做
12、好日常的信息安全管理及定期信息安全的检查、监控和审计工作。对部门下属成员的信息安 全违规、举报行为执行信息安全管理工作组规定的奖励和处罚。 5.3 信息安全操作流程 分为:规划、执行、检查、改进四个阶段,每个阶段都有明确的参与和执行责任人。 分别说明如下: 规划:根据公司信息安全原则和业务发展的需求,信息安全管理工作组全体成员讨论并制定详细的 管理流程。一般情况下由需求部门向信息安全专员提出需求,并由信息安全专员召集信息安全管理工作 组的机要员、IT 专员及需求申请部门人员进行需求的讨论并给出解决方案,方案确定后由信息安全管理 工作组主任进行审核、签发。 文件密级:内部公开 8 未经许可,不得
13、扩散 执行:所有签发的管理方案都必须严格执行起来,一般情况下由需求部门、个人向信息安全专员提 出申请,按照申请流程中规定进行操作,涉及到由申请者直接上级和部门领导审批同意,之后交由信息 安全专员进行审核。审核后由机要员、IT 专员、卡证专员进行具体的操作和处理,安全岗执行人员要看 到完整的流程审批以后才可以进行放行和记录。 检查:信息安全管理工作组全体成员定期会对FBI 场地内的物理隔离、门禁权限、办公设备、机房 设备、 FBI 实验室设备、监控记录及历史存档记录会同业务部门的信息安全执行主任进行检查和审计。并 将结果以报告的形式汇报给信息安全管理工作组主任。对发现信息安全方面的违规问题由信息
14、安全专员 以书面的形式向分公司进行发文进行通报。 改进:原有管理方案不能继续满足业务发展需求时,由业务部门向信息安全专员提出申请,信息安 全专员召集信息安全管理工作组的全体成员及需求部门进行管理方案的改进评审会议。在检查中发现有 信息安全漏洞的,由信息安全专员召集信息安全管理工作组的全体成员及需求部门进行管理方案的改进 评审。最终由信息安全主任进行审核、签发。 6 信息资产分类与控制 为了规范文档的保密制度,明确信息资产所有人责任、信息密级的划分,信息资产的识别。公司所 有文档,无论是电子件或纸件,必须标有文件密级。文档密级应出现在文档页眉的醒目位置,页脚应出 现 “未经许可,不得扩散“ 的字
15、样。信息是一种资产,像其它重要的业务资产一样,对公司具有价值,因 此需要妥善保护。 6.1 信息资产管理 6.1.1 信息资产分类 数据与文档:数据库和数据文件、系统文件、用户手册、培训材料、运行与支持程序、业务持续性 计划、应急安排。 书面文件:合同、指南、企业文件、包含重要业务结果的文件。 软件资产:应用软件、系统软件、开发工具和实用程序。 物理资产:计算机、网络设备、磁介质(磁盘与磁带) 文件密级:内部公开 9 未经许可,不得扩散 6.1.2 信息资产密级 秘密:是指一般的公司秘密,一旦泄露会使公司和客户的安全和利益受到一定的危害和损失。 内部公开:公司各部门、项目组内部员工不受限制查阅
16、的信息,未经授权不得随意外传。 6.2 信息资产的标识和处理 6.2.1 落实资产责任:为公司的资产提供适当的保护,为所有信息财产确定所有人,并且为维护适当 的管理措施而分配责任。可以委派执行这些管理计划的责任。被提名的资产所有者应当承担保护资产的 责任。 6.2.2 控制措施 资产的清单:列出并维持一份与每个信息系统有关的所有重要资产的清单。在信息 安全体系范围内为资产编制清单是一项重要工作,每项资产都应该清晰定义,合理估价,在组织中明确 资产所有权关系,进行安全分类,并以文件方式详细记录在案。 6.2.3 具体措施包括:公司可根据业务运作流程和信息系统基础架构识别出信息资产,按照信息资产
17、所属系统或所在部门列出资产清单,将每项资产的名称、所处位置、价值、资产负责人等相关信息记录 在资产清单上;根据资产的相对价值大小来确定关键信息资产,并对其进行风险评估以确定适当的控制 措施;对每一项信息资产,组织的管理者应指定专人负责其使用和保护,防止资产被盗、丢失与滥用; 定期对信息资产进行清查盘点,确保资产账物相符和完好无损。 6.2.4 信息的分类: 确保信息资产得到适当程度的保护应当将信息分类,指出其安全保护的具体要求、 优先级和保护程度。不同信息有不同的敏感性和重要性。有的信息资产可能需要额外保护或者特殊处理。 应当采用信息分类系统来定义适当的安全保护等级范围,并传达特殊处理措施的需
18、要。 6.2.5 控制措施 信息资产分类原则:信息的分类及相关的保护控制,应适合于公司运营对于信息分 享或限制的需要,以及这些需要对企业营运所带来的影响。信息的分类和相关保护措施应当综合考虑到 信息共享和信息限制的业务需要,还要考虑对业务的影响,例如对信息未经授权的访问或者对信息的破 坏。一般说来,信息分类是一种处理和保护该信息的简捷方法。信息分类时要注意以下几点:信息的分 类等级要合理、信息的保密期限、谁对信息的分类负责。 6.2.6 控制措施 信息的标识与处理:应当制定信息标识及处理的程序,以符合公司所采用的分类法 则。为信息标识和处理定义一个符合组织分类标准的处理程序是非常重要的。这些程
19、序要涵盖实物形式 和电子形式的信息。对于每种分类,应当包含以下信息处理活动的程序:复制、存储、通过邮局、传真 和电子邮件的信息发送、通过口头语言的信息传递,包括通过移动电话、语音邮件和录音电话传送的信 文件密级:内部公开 10 未经许可,不得扩散 息、销毁。对于那些含有被划定为敏感或者重要信息的应用系统,其输出应当带有适当的分类标识。该 标识应当反映根据组织规则而建立的分类。需要考虑的项目包括打印的报告、屏幕显示、存储介质(磁 带、磁盘、 CD、卡式盒带)、电子消息和文档传输。 7 人员的安全管理 7.1 聘用条款和保密协议(公司员工保密协摘录) 7.1.1 聘用条款中员工的信息安全责任 7.
20、1.1.1 知识产权: 7.1.1.1.1 知识产权是指根据法律法规有关规定或根据甲方与第三方签署的协议由甲方所有、使 用、支配、提供、拥有或者将要拥有的一切智力劳动成果,包括但不限于专利权、商标 权、著作权、软件、企业名称、企业标记(Logo) 、域名、网站、数据库、经营或开发 成果、商誉、职务技术成果等。 7.1.1.1.2 乙方承诺在与甲方的劳动合同关系存续期间及期满后不对甲方的知识产权进行贬低、歪 曲、破坏或者任何其它损害。在劳动合同有效期内乙方应努力维护、提高甲方知识产权 的价值。 7.1.1.1.3 乙方承诺,未经甲方书面同意,不将第一条所提及的技术成果、作品、软件、专利等用 作商
21、业目的或者许可他人用于商业目的。 7.1.1.1.4 乙方在与甲方的劳动合同存续期间,及在劳动合同关系终止后二年内, 所有主要是利用 在XXXXX 的工作时间或利用XXXXX 或派驻合作方的物质技术条件所完成的, 一切与甲方业 务、产品、程序与服务有关的技术成果,包括但不限于发现、发明、思路、概念、过程、 产品、方法和改进或其一部分,不论是否可以或已经受到知识产权法律保护,不论以何 种形式存在,均为职务技术成果,其所产生的所有权利包括知识产权归甲方、甲方合作 方单独或共同所有。未经甲方书面许可不得以乙方和/ 或其它任何第三方的名义申请专 利或者版权登记。 7.1.1.1.5 乙方在结束与甲方的
22、劳动合同关系一年内,若有继续完成与在甲方工作期间所担任的课 题或分配的任务有关而取得的技术成果,仍属于甲方或派驻合作方所有。 文件密级:内部公开 11 未经许可,不得扩散 7.1.1.1.6 对于甲方实施、转让、许可他人使用职务技术成果或者将职务技术成果投入其它商业用 途而引起的收益或者损失,乙方不提出任何权利主张也不承担任何责任。但由于乙方职 务技术成果固有的缺陷或者乙方在实施该职务技术成果的失误造成的损害,乙方应承担 责任。 7.1.1.1.7 乙方承认所有在与甲方劳动关系存续期间产生或者接触到的甲方提供的或通过甲方获 取的有关资料及其它信息载体都属于甲方所有,未经甲方书面许可,不得向任何
23、第三方 提及、出示及传播。 7.1.1.1.8 乙方承诺不向他人谈论甲方尚未对外公布的业务和技术发展动态。乙方承诺不设法获取 非本人工作所需的甲方保密的技术资料、技术文件和客户档案材料以及非本人工作所需 的甲方内部及对外的商业文件。乙方进一步承诺不利用甲方的客户及渠道为自己或他人 谋求利益。 7.1.2 商业秘密 7.1.2.1 符合法律法规有关规定或根据甲方与第三方签署的协议由甲方所有、使用、支配、提供 的具有商业价值的,非公知的并由甲方采取了保密措施的所有技术信息和/ 或经营信息。 7.1.2.2 甲方在开发、销售各类计算机软件产品以及为各类软件产品提供技术支持、信息咨询服 务及培训的过程
24、中,或是接受指派为本协议所面向的派驻合作方提供外包服务期间, 本 方和合作方所独有的机密、专有技术及商业秘密性质的情报均简称为“商业秘密”。 7.1.2.3 甲方的商业秘密包括但不限于档案资料、技术资料、 市场销售资料、 财务信息资料以及: 7.1.2.4 甲方及派驻合作方开发或销售的所有软件,以及与此类软件有关的文档:包括程序的源 编码、目标码部分、视听部分、人工或机器可读形式程序部分,还包括图表、流程图、 样图、草图、技术说明、设计图数据教材、有关病毒的报告及客户资料。 7.1.2.5 甲方的业务计划、产品开发计划、财务情况、内部业务规程和客户名单等信息;以及正 在开发或构思之中的商业思想
25、、业务和技术发展动态、系统安全机制与实现等方面的信 息、数据以及计算机数据库、资料、源程序、目标程序、计算机软件等; 7.1.2.6 甲方现有的以及正在开发或者构思之中的服务项目的信息和资料; 7.1.2.7 甲方现有的或者正在开发之中的质量管理方法、定价方法、销售方法等方法; 7.1.2.8 甲方应对第三方负有保密责任的所有第三方的机密信息; 7.1.2.9 甲方的股东资料、投资背景等以及其它被甲方标明或声明为秘密的信息。 文件密级:内部公开 12 未经许可,不得扩散 7.1.2.10 乙方承诺在与甲方的劳动合同关系存续期间以及解除后二年内,保守甲方商业秘密,未 经甲方书面许可,不向任何第三
26、方以任何明示或者暗示的方式透露,包括与商业秘密无 关的其它甲方雇员在内。乙方承诺不设法获取非其工作所必需的任何形式的甲方的商业 秘密,并不得利用与甲方工作关系为自身谋求利益。 7.1.2.11 除用于甲方安排或者委托的工作之外,乙方不得将商业秘密信息用于其它任何目的。在 使用完毕之后,乙方应立即向甲方交还或者按照甲方的要求销毁商业秘密的载体,包括 但不限于文件、磁盘、光盘、计算机内存等。 7.1.2.12 乙方只能在因工作需要必须使用的情况下提供给其它可靠的员工,并应事先与其签署与 本协议充分相似的保密协议,提供程度仅限于可执行一定的商业目的。并保证这些员工 应遵守本协议中约定的义务,不在无甲
27、方及派驻合作方许可的前提下,向第三方(包括 顾问)透漏这些秘密信息,并应约束其接触本保密信息的员工遵守保密义务。 7.1.2.13 如为合作的目的确实需要向第三方披露甲方及派驻合作方的保密信息,需事先得到甲方 及派驻合作方的书面许可,并与该第三方签订相应的保密协议。 7.1.2.14 如果乙方根据法律程序或行政要求必须披露“商业秘密”,应事先通知甲方及派驻合作 方,并协助公司采取必要的保护措施,防止或限制保密信息的进一步扩散。 7.1.2.15 乙方应按照甲方要求对商业秘密或其载体进行妥善地保管、存储、 加密、 回收、 销毁等。 未经甲方许可或非因工作需要,乙方不得将商业秘密信息或其载体带出甲
28、方住所。 7.1.2.16 在与甲方的劳动合同关系中止、终止或解除时,乙方应将所有包含、代表、显示、记录 或者组成商业秘密的原件及拷贝,包括但不限于装置、记录、数据、笔记、报告、建议 书、名单、信件、规格、图纸、设备、材料、磁盘、光盘等,归还甲方。 7.1.2.17 员工在签署劳动合同以后必须签署保密协议。 7.1.2.17 员工职位晋升为PL、PM 、SE等关键岗位,业务技能达到公司及BBB公司认可的三级及 以上级别的,都必须与BBB公司签署保密协议,各方都应切实遵守保密协议中约定的保 密义务。 7.2 人员背景审查 目的:保障三级及以上工作岗位人员所掌握的信息安全。 文件密级:内部公开 1
29、3 未经许可,不得扩散 7.2.1 审查流程 7.2.1.1 员工再进入三级及以上工作岗位时,由人力资源部和用人部门共同开展对人员背景的调 查。 7.2.1.2 具体调查内容:身份审查、学历审查、工作履历审查、信用度审查、职业道德审查、职 业背景审查、忠诚度审查。 7.2.1.3审查标准:审查的资料完整性、真实性,审核身份证原件、毕业证原件、各种技能职称 原件的真实性,是否相互吻合。 7.2.2 员工背景调查表 人员背景调查表 基本信息 被调查者姓名性别 身份证号码户口所在地 出生日期年龄 身份验证 被调查者的身份内容真实性说明 身份证号码是()否() 年龄是()否() 户口所在地是()否()
30、 验证来源: 学历验证 被调查者提供信息真实性说明 学校名称是()否() 学习时间是()否() 所学专业是()否() 证明人 / 机构:职位: 专业资格验证 被调查者的身份内容真实性说明 认证机构是()否() 获得认证时间是()否() 认证内容是()否() 证明人 / 机构: 工作履历验证 被调查者的身份内容真实性说明 雇主公司名称是()否() 雇主公司注册地是()否() 雇佣时间是()否() 职务名称是()否() 文件密级:内部公开 14 未经许可,不得扩散 直接上司职务是()否() 被调查者是否与贵公司 有劳动争议 是()否() 被调查者是否存在信息 安全违纪违规行为 是()否() 证明人
31、:职务:调查时间: 7.3 员工培训 目的:宣传、普及信息安全制度,增强员工的信息安全意识。 培训对象:新员工、在职员工 培训方式:授课+考核 7.3.1 培训周期 7.3.1.1 新员工:所有部门新员工在入职当天由人力资源培训部组织信息安全制度培训,培训签到表 归档。培训结束后在一周之内组织信息安全考试,考试及格线为23 分( 25 分制) , 并将考试签到表、考试成绩进行归档。 7.3.1.2 在职员工:所有部门在职员工每半年组织一次信息安全培训,培训签到表归档。培训结束后 在一周之内组织信息安全考试,考试及格线为23 分 (25 分制) ,并将考试签到表、 考试成绩进行归档。 7.3.2
32、 培训效果检查 7.3.2.1 定期以业务部门、项目组为单位进行信息安全知识检查,对检查结果低于90%的部门、 团队进行再次的全员覆盖培训并组织考试,对培训签到表、考试签到表、考试成绩归档 并通知部门主管。 7.3.2.2 不定期对FBI 场地内的研发人员进行信息安全知识的抽检,对抽查成绩低于23 分( 25 分制)的员工组织培训并考试,对培训签到表、考试签到表、考试成绩归档并通知业务 部门直接领导和部门主管。 文件密级:内部公开 15 未经许可,不得扩散 7.4 人员离职 目的:保证离职人员不带走公司任何信息资产。 7.4.1 离职人员信息交接流程 7.4.1.1 员工离职前,公司与离职员工
33、签署离职保密承诺。 7.4.1.2 员工离职前公司将收回所有的工作资料的纸件、电子件及员工拥有的相关信息系统和资源 的访问使用权限。 7.4.1.3 员工离职前收回员工门禁磁卡及工作证。 7.4.1.4 员工在其离职两年内仍要按照进公司时签订的合同,承担下列保密责任,否则将承担违约 的民事或刑事责任。 7.4.1.5 不带走从公司获取的任何资料,包括但不限于记载的纸件或电子件上的文档、文件、图表、 目录,存储于磁盘、光盘上的软件、程序等。 7.4.1.6 离职后两年内不得到与XXX 公司或与客户公司有竞争关系的公司从事与在XXX 公司工作 期间工作性质相同或者相似的工作。 7.4.1.7 未经
34、XXX公司书面同意,不向任何单位和个人透露或使用在公司就职期间获得的商业秘 密,包括技术秘密、商务秘密、财务秘密、管理秘密以及其它经营秘密。 7.5 违规处理 目的:建立正式的违规处理流程,对违反信息安全管理规定的员工进行相应处理。 7.5.1 信息安全违规级别 对于触犯国家法律的,公司将移交国家司法机关依法处理。此外,则根据违规行为的后果、性质以 及违规人的主观意愿,将违规行为分为如下四个等级: 一级:有意盗窃、泄露公司保密信息,或有意违反信息安全管理规定,性质严重造成重大损失。 二级:有意违反信息安全管理规定,性质严重或造成损失。 三级:无意违反信息安全管理规定,造成公司损失;或者有意违反
35、信息安全管理规定,但性质不严重且 没有造成严重损失。 文件密级:内部公开 16 未经许可,不得扩散 四级:违反信息安全管理规定,性质较轻,没有造成公司损失。 7.5.2 信息安全违规处理流程 信息安全违规处理流程V1.0 任务名称人物、程序、重点及标准时限相关资料 事 故 定 级 程序 1、 参考国家相关法律 2、 公司人事制度 3、 公司信息安全制度 业务部门发生信息安全事故以后,项目组信息安全员 应在第一时间向信息安全专员进行汇报 即时 信息安全工作组核实情况后,对事故进行定级1 个工作日 信息安全主任对事故级别审核1 个工作日 BBB信管办对事故级别审核1 个工作日 重点 对所发生的事故
36、进行定级 标准 定级及时、准确 组 织 信 息 安 全 工 组 会 议 程序 1、公司信息安全制度 2、事故调查报告 信息安全专员组织事故部门召开临时会议1 个工作日 信息安全专员组织信息安全工作组召开临时会议1 个工作日 事故报 BBB信管办1 个工作日 信息安全小组研究制定具体事故的解决措施2 个工作日 事故解决措施报信息安全主任审批 重点 组织信息安全工作组召开临时会议,制定具体事故的 解决措施 标准 组织信息安全工作组召开临时会议,措施合理 执 行 解 决 措 施 程序 1、公司信息安全制度 2、公司人事制度 事故解决措施审批通过后,由信息安全专员组织落实 根据实 际情况 事故部门负责
37、落实执行,信息安全小组配合随时 重点 信息安全小组制定措施的落实 标准 措施落实及时、全面、准确 总 结 报 告 与 预 防措施 程序 1、公司信息安全制度 2、事故调查报告 事故发生部门将执行结果反馈到信息安全小组1 个工作日 信息安全专员输出事故总结报告,并修订事故预防措 施 3 个工作日 事故总结报告、事故预防措施报信息安全主任审核1 个工作日 事故总结报告、事故预防措施报BBB信管办审核1 个工作日 信息安全工作组将事故总结存档即时 文件密级:内部公开 17 未经许可,不得扩散 重点 信息安全小组输出事故总结报告,并修订事故预防 措施 标准 总结报告真实、客观、全面 预防措施及时、合理
38、、可行 7.5.3 违规事件处理流程图 8 物理安全策略 8.1 场地安全 目的:明确公司FBI 各工作区域的安全级别。 文件密级:内部公开 18 未经许可,不得扩散 8.1.1 FBI 受控区域的划分 8.1.1.1 受控区域级别划分 一级: FBI 出入通道 FBI 研发区 FBI 实验室 IT 机房 公司后门 二级:培训室 会议室 三级:茶水间 洗手间 8.1.1.2 重要区域及受控区域管理责任划分 公司前门:前台负责管理。 FBI 出入通道:安全岗负责管理。 FBI 实验室:实验室管理员负责管理。 IT 机房:机房管理员负责管理。 公司后门 :信息安全工作组负责管理。 FBI 研发区:
39、各项目组负责管理。 FBI 场内会议室:使用者负责管理。 培训室:使用者负责管理。 8.1.1.3 物理隔离 FBI 研发区(包括FBI 的办公区、实验室、会议室)与其它办公区域进行了物理隔离。 IT 机房与其它办公区域进行物理隔离。 文件密级:内部公开 19 未经许可,不得扩散 8.1.2 出入控制 安全岗负责FBI 出入口的日常管理,对出入人员身份及设备的合法性进行识别和检查。公司前门、 FBI 出入口、 IT 机房、 FBI 实验室、公司后门都安装有CCTV 监控系统,对受控区域进行360 度无死角 监控,所有监控记录必须保存一个月以上。所有在公司FBI 工作人员都必须刷卡出入,IT 机
40、房、 FBI 实 验室采取最小授权策略,未授权人员不得私自进入。所有进入FBI 及受控区域的都必须进行申请,申请 通过以后由卡证专员进行门禁卡的授权和发放,禁止未得到授权人员私自出入FBI 及 FBI 内的受控区域。 所有在FBI 研发区办公人员都必须正确佩戴具有员工合法身份识别的公司工作证,未佩戴人员不得进入 FBI。FBI 出入口设置有特殊存储设备禁止私自带入的标识牌。因工作需要进入FBI 的外来人员必须进行 严格的申请、登记,审批通过后方可进入,接待人员必须全程陪同。未经批准,禁止在FBI 研发区及FBI 受控区域进行摄像、拍照、录音。 8.1.3 名词解释 8.1.4 人员管理 8.1
41、.4.1人员进出管理流程 8.1.4.1.1 公司员工 8.1.4.1.1.1 FBI 研发区办公人员需要刷门禁卡进出,且每人每次按顺序刷卡进出,严禁一人刷卡多 人同时进出。 FBI 研发区办公人员若未带授权门禁卡进出时必须在安全岗处的FBI 人 员出入登记表上面进行登记。 XXXXXXXX 有限公司 FBI 人员出入登记表V1.0 序号日期姓名工号 所属 部门 进入 目的 进入 时间 离开 时间 核实人备注 1 2 3 4 5 6 文件密级:内部公开 20 未经许可,不得扩散 8.1.4.1.1.2办公区人员因工作需要进入FBI 时必须在安全岗处的FBI 人员出入登记表上面 进行登记。 8.
42、1.4.1.1.3FBI 办公人员随身携带了移动存储设备在进入办公区之前必须在前台的设备寄存登 记表上面进行登记,并交由前台进行保管在寄存柜内,离开时领取。 设备寄存登记表V1.0 序号 存放 日期 存放 时间 设备 名称 设备序 列号 寄存 人 领取 时间 接待人经办人备注 1 2 3 4 5 6 7 8 8.1.4.1.2 来访人员 8.1.4.1.2.1 外部来访人员进入公司大厅以后,首先必须在前台的来访人员登记表上面登记并从前 台处用自己的有效证件换取我司的来宾卡,由接待人员在来访人员登记表上签字确认 后方可进入办公区。 8.1.4.1.2.2 来访人员随身携带了移动存储设备在进入办公
43、区之前必须在设备寄存登记表上面进行 登记,并交由前台进行保管在保险箱内,离开时领取。 8.1.4.1.2.3 来访人员因公需要进入FBI,必须由接待人员提前从信息安全专员处领取FBI 来访人员 申请表进行填写并提交给部门上级领导签字确认后交给安全岗人员归档,来访人员在进 入 FBI 之前必须在安全岗处的FBI 人员出入登记表上面进行登记。 FBI 来访人员申请表V1.0 文件密级:内部公开 21 未经许可,不得扩散 进入公司办公区的任何人员不允许携带任何移动存储设备(包括具有照相,蓝牙,红外功能的手机,)禁 止进入 FBI 。持有该类设备的人员在进入公司后必须在设备寄存登记表上面进行登记,并交
44、由前台进 行保管在保险箱内,离开时领取。 a) 来访人员因工作、业务需要在我司FBI 办公的,需要办理我司的门禁卡,必须走FBI 临时门 禁卡申请表。 申请栏 申请日期申请人工 号部门 进场人员信息 单 位姓 名证 件证件号码 进场事由 审批栏 项目经理审批 部门负责人审批 机要员审核 信息安全专员审批 安全岗放行确认记录 进入 FBI 场地说明: 1、进场后不得擅自走动; 2、不得私自动用他人的设备; 3、不得刻意窥探IT 机房及 FBI 实验室; 4、不得蓄意破坏场地内任何设备及设施; 5、如有违反我司信息安全规定者根据情节严重程度追究其法律责任。 文件密级:内部公开 22 未经许可,不得
45、扩散 FBI 临时门禁卡申请表V2.0 申请栏 申请日期申请人工 号部门 进场人员信息 单 位姓 名证 件证件号码 申请门禁 权限范围 权限生 效日期 权限失 效日期 文件密级:内部公开 23 未经许可,不得扩散 8.1.5 卡证管理规定 目的:规范卡证使用权限及流程,本着重要信道及区域。 8.1.5.1 卡证分类 8.1.5.1.1 员工卡:签署我司劳动合同的正式员工每人发放一张,根据员工所属部门、职务不同, 卡证的门禁系统权限也不同。(研发部门一般门禁系统权限:公司大门、FBI 出入门禁 权限,后勤支撑部门门禁系统权限:公司大门) 8.1.5.1.2 临时通行卡: 来访人员来我司办理相关业
46、务、工作等需要佩戴。 (无任何门禁系统权限, 只是作为身份的标示) 8.1.5.1.3 来宾卡:合作方客户、重要领导等来访时佩戴。(无任何门禁系统权限,只是作为身份 的标示) 8.1.5.2 卡证申请 8.1.5.2.1 员工卡:入职后由部门相关负责人统一向卡证管理专员申请,必须注明的是员工卡所 具有的门禁系统权限。 进场事由 审批栏 项目经理审批 部门负责人审批 机要员核实 信息安全专员审批 卡证专员发卡记录 临时门禁卡说明: 1、此权限有效期最长只能一个月,到期后须重新申请; 2、门禁卡不得随意转借他人使用; 3、不得损坏门禁卡; 4、离场时归还至卡证专员处。 文件密级:内部公开 24 未
47、经许可,不得扩散 8.1.5.2.2 临时通行卡、来宾卡:由前台统一进行管理和发放,每张卡上面都有唯一的编号。 8.1.5.3 卡证权限管理 8.1.5.3.1 所有员工权限必须经过申请以后才可以进行授权发放; 8.1.5.3.2 离职员工必须在离开前将员工卡上交卡证管理专员进行门禁系统权限的取消及记录。 8.1.5.3.3 IT 机房管理员不得独有机房和实验室的门禁权限,必须采用的策略是:钥匙 + 卡 +密码 的形式进入,规定卡由机要员掌握、密码由管理员掌握,必须是两人同时在场地操作 才可以进入机房。 8.1.5.3.4 FBI 实验室作为开发和测试设备环境存放点,业务部门的普通开发人员因工
48、作需要允许 申请此门禁权限,权限周期一般为一个月,到期可申请延期使用。业务部门主管严禁 申请此权限。 8.1.5.3.5 门禁卡丢失必须及时向卡证专员知会并申请补办。 门禁卡发放统计表 姓名工号卡号部门 权限 PM 审批 主管 审批 个人 签领 日期 公司 前门 公司 后门 FBI 研发区 实验 室 (南) 实验 室(北) IT 机房 配置 机房 8.2 设备安全 目的:建立设备安全出入FBI 规定、流程,确保研发数据安全。 8.2.1 设备安全规定 8.2.1.1FBI内各部门新申领电脑后,需通知信息安全负责人、固定资产管理员和IT 专员对机器端口进 行封胶、拆除前面板USB 接口,粘贴 “
49、 激光防伪标签 “ 防拆机箱,并设置 BIOS 密码,屏蔽 USB 接口, BIOS 密码由 IT 专员统一管理。管理员账户及密码,使用者不能私自删除管理员账户和 修改管理员密码。 文件密级:内部公开 25 未经许可,不得扩散 8.2.1.2实验室设备加封封条、外置接口粘贴“设备防伪标签“,包括但不限于:服务器、PC、硬盘、 特殊接口、刻录光驱、磁带机等。 8.2.1.3未经批准, 禁止将特殊存储设备、便携机带入 FBI,因工作需要必须走特殊设备入场审批流程。 8.2.1.4因工作需要设备出场时,IT 专员必须对设备中存储设备进行低级格式化清空里面所有的数据, 方可出场。 8.2.1.5因特殊需要设备出场需要保存设备中的数据时,IT 专员必须对设备的电源接口、外置I/O 接口 进行加封,并邮件通知搬迁目的地的信息安全专员及信息安全主管和接收人,相关邮件至少 保留一年。在机要员、安全岗和设备使用人护送移交给接收人,接收人在设备移交清单 上签字确认设备加封电源、外置I/O 接口及存储数据完好无损。 8.2.1.6办公电脑必须设置登陆密码,密码长度不得低于 6 位,且须字母数字混编,同时设置屏幕保 护程序(启动屏保时间不大于 8 分钟)和省电模式(省电模式启动时间不大于 15 分钟), 离
链接地址:https://www.31doc.com/p-5629445.html