1、文件编号:OP-ITSM-020文件名称:信息安全管理规范版本:1.01.0 简介为明确及落实信息安全管理流程的要求,清晰日常工作中的信息安全管理要求及措施,减少因信息安全做成的风险和业务损失。2.0 适用范围此流程适用IT服务管理手册中定义的服务范围。适用参考信息安全管理流程中定义的明细管理范围。3.0 相关流程信息安全管理流程(OP-ITSM-015)变更管理流程(OP-ITSM-010)事件和服务请求管理流程(OP-ITSM-007)4.0 定义4.1 术语表术语 说明保密协议保密协议是资方和劳方的双方行为,是通过合同约定劳方保密义务的手段,违反保密协议需要承担违约责任。员工 信息技术部
2、有雇佣合同的同事及临时工。资产对集团有价值的有形或无形物品, 例如可见的各类设备或不可见的系统数据。机房环境泛指放置运行硬体设备的环境。包括为保证环境条件达成所设置的 UPS、空调、配电系统、消防设备等设施。机房区域机房区域分为设备区域及控制区域, 设备区域指伺服器、网络设备等安装及提供服务的物理区域、控制区域是指KVM控制区域。电脑网络 包括网络主机、网络设备及其相关配套的设备、设施(含网络线路)及相关软体等组成的架构。操作系统是管理电脑硬体与软体资源的电脑程式,同时也是电脑系统的核心与基石。初始管理员账号 操作系统或伺服器平台,如:Windows 操作系统 的Administrator账号
3、, SQL Server 伺服器 sa 帐号等。但不包括Domino。数据库普通用户指数据库系统中除初始管理员账号和数据库管理员外的其它账号。4.2 角色职责表角色 职责部门主管 按本规范要求,保管初始管理员账号。 按本规范要求,对各管理员的角色进行合适的授权。流程经理 按信息安全管理流程要求,依本规范要求进行对执行情况及效果、记录进行核查或审计。 按本规范要求,对相关记录进行审核。5.0 内容5.1 规范说明因适用范围及管理要求,本规范分成 8个不同领域明确信息安全要求。5.2 信息安全规范总则5.2.1 组织管理 部门相应的职能小组负责按信息安全流程要求制定工作手则及指引。 每个信息安全领
4、域每年最少一次对领域内的管理、技术进行工作检讨。5.2.2 授权管理 因日常管理工作要求,部门遵循分层授权体系进行角色、分工管理。5.2.3 账户管理5.2.3.1 员工有责任保障自己所拥有帐号安全,不得将自己所拥有帐号转借给他人使用。5.2.3.2 员工不得以任何方式泄露自己的帐号、密码。一旦发生泄密事件,须立即通知上司或相关管理小组并安排更换密码。5.2.3.3 帐号/密码不可交由非指定授权人员使用,使用完毕应尽快登出。5.2.3.4 员工在需要在自己不拥有帐号的系统进行操作时,应向相关的服务负责人进行帐号的申请。5.2.3.5 员工不得以任何方式获取(或企图获取) 他人账户。5.2.3.
5、6 初始管理员账号仅供处理系统设定及授权用途,基于安全理由, 除系统不支持多帐号管理情况外,此帐户将由部门主管统一保存, 并只可于有需要时使用。5.2.3.7 所有的管理员账户应尽量避免共用,可行下均需有独立的管理员账户。5.2.3.8 管理员权限账户管理 管理员权限应及时跟进权限分配表并至少每年进行一次检查。 不得擅自更改或任意开放权限。 若拥有管理权的人不在需要有一个应急安排。5.2.3.9 所有申请的账户,要明确需要的权限,确保不需要的权限不要授予。5.2.4 密码管理5.2.4.1 员工应做好自己所拥有的账户密码的保密,并根据相关管理要求,定期或不定期更换修改密码,密码的设置上要符合保
6、密性要求。5.2.4.2 密码设定要求 强密码定义为密码长度至少为八个字元。 需由大写英文, 小写英文, 数字及符号 4项中的其中3项组成。 中等复杂密码:密码长度至少为八个字元。 需由大写英文, 小写英文, 数字及符号4项中的其中2项组成。 禁止设定使用者帐号、姓名、生日、身份证号码、电话号码或单位代名等与个人或单位相关的信息作为密码。5.2.4.3 密码策略 更换密码的间隔时间最长不得超过1年。 所有管理员权限的帐号密码均需使用强密码(包括但不限于初始管理员账号、伺服器管理员账号等)。 初始管理员账号及各管理员账户均有独立的管理员密码,不可重复。 对于临时短期授权使用的初始管理员密码,使用
7、完成后需立即回收并及时调整密码。 如需长期使用初始管理员账号,需由部门主管授权批签形成记录后方可使用,相关密码每次调整后必须同步通报部门主管。5.2.5 监视管理时钟设备应设定自动时钟同步或至少每年进行一次的时钟校验,时钟误差不应当超10分钟。5.3 人员管理(行政工作)本段落的编写目的是为了定义了人员管理规范, 减少由于人员的疏忽或固意而做成的信息资产毁坏或外泄机会, 降低相关风险造成的业务损失。5.3.1 责任要求 员工必须遵照安全管理规范,防止信息安全管理存在问题。 员工发现有其他人违反本规范,有义务通知流程经理或部门主管。 发现并报告安全事件软件故障和安全薄弱点是员工应尽的义务。 任何
8、影响到他人正常使用集团系统和网络的行为都是不允许的。 当发现任何安全漏洞后,员工禁止用任何方式来利用它。 公司有权要求承担关键性任务的员工与公司签订额外保密协议。 如有需要,应定期按地区法规发出“电脑软件版权合法使用提示“通告, 提醒集团用户合法使用软件版权 如发现用户非法安装盗版软件或核准软件清单以外的软件,信息技术部需立即删除,然后向用户及其部门主管发出“非法安装软件通知书“,并要求用户于7 天内直接以书面形式向集团总经理解释安装原因同时将副本抄送信息技术部存档。如用户未有于指定日期前发出解释书,信息技术部应发出“非法安装软件跟进通知书“,跟进通知书除发送至用户外,副本会抄送至其主管及集团
9、总经理。相关的用户通知书及解释书会存放于信息技术部中央文件库内。 对出现的违规员工,公司有权视具体情况对当事人进行处理,处理方式包括警告调离岗位辞退送司法机关等。5.3.2 安全保密制度安全保密协议是任何能访问敏感信息的员工、能接触关键资料的合约供应商人员需要在访问信息处理设施前,均需签署的承诺。 顾佣条款或保密协议或合同内条件应澄清和说明以下具体内容: 保密的内容和范围; 双方的义务; 员工的法律职责和权利,例如关于版权法、资料保护法等; 如果员工或合约供应商人员无视安全要求所产生的违约责任及可能需要采取的措拖; 在顾用期员工应承担的责任结束后持续的时间参照保密协议。基本保密义务: 应当遵守
10、的保密制度,妥善保管其所保存的公司秘密资料,不得刺探与本职工作、本身业务无关的秘密,不得泄露公司的技术秘密。 非经公司书面同意,不得利用公司的商业秘密进行生产、经营和兼职活动,不得利用公司的商业秘密组建新的企业。 如果发现公司秘密被泄露,应当采取有效措施防止泄密扩大,并及时上报公司。 无论是在职还是离职,不得披露、使用或者允许他人使用公司的商业秘密,不得利用公司的商业秘密从事兼职活动,不得利用公司的商业秘密到其他单位任职。 员工离职时,应当将所持有的秘密资料全部归还集团,不得保留拷贝。 所有管理文件系统帐户及密码网络资源状况系统(含软件) 资源状况商务文件(如内外合约) 均属受保护范畴,接触相
11、关内容的员工不得在未经许可的情况下,有意或无意对外泄露(含无了解需要的部门和人员) 。5.3.3 人员聘用5.3.3.1一般要求 员工必须学习并遵守公司信息安全管理体系所有要求内容。 员工应自觉遵守职业道德,有高度的责任心并自觉维护公司的利益,不能利用电脑私自收集、泄漏企业机密信息。5.3.3.2人员筛选在对应聘人员进行筛选的过程中,对求职者的背景调查应该符合相关的法律法规以及道德准则的要求,并根据不同职位的业务需求、所接触的信息情况、以及可能由此引发的风险做不同程度的调查,包括工作经历、犯罪记录或不良工作记录。审查应包括以下内容: 对应聘人员简历的完整性和准确性进行查证。 对应聘人员声明的学
12、术和专业资格进行查证。5.3.3.3员工入职安全管理 员工入职必须签订保密协议。 在员工的入职培训内容中应该包括信息安全管理规范的培训。5.3.4 工作期间5.3.4.1管理职责在正式投入工作、获准访问敏感信息或信息系统之前,直属上司/各系统管理员应再次向其明确和细化其岗位所承担的信息安全责任和相关要求,确保所有的员工了解并遵从: 了解本人在被授权访问的敏感信息或信息系统中应承担的安全角色和职责。 对于他们在公司内的角色和职责的相关安全问题的意识程度达到一定级别。 禁止在工作要求以外的情况下对于敏感信息作私人查询。 遵守顾佣及部门的条款和条件,包括的信息安全方针要求。当顾佣或合同变化,保密协议
13、需要重新审视(如合同到期、员工调职或工作范围发生重大变化)。5.3.4.2个人电脑安全管理职责 执行管理制度要求的软体使用规范,不安装和运行在网路上下载的不可信应用程式,以防止被安装电脑木马程式、网路窃听程式或者感染电脑病毒。 未经批准不应使用未经公司许可的软体,特别是没有正式版权的软体。 不得私自编制与其工作职责不相符的软体。 若发现有擅自改变预先安装的软体、安装与工作无关的软体、安装非法使用的软体等情况,将按照规定向集团总经理通报。 做好使用的电脑安全保护工作,防止电脑被网路攻击者攻破而成为进入内部网路的跳板。禁止电脑上开放具有“写”许可权的共用目录,如果实在有必要,可临时开放,但要设置共
14、用的密码,并在使用完之后立刻取消共用。 长时间离开公司办工区域前有责任确认个人电脑及负责范围内的用电设备处于关闭状态。 设置萤幕保护,养成离开坐位前锁定萤幕的习惯。 不得私自开启电脑主机壳,如需拆主机壳,应当向当地系统管理组提出申请。 不得私自重装个人电脑的系统。 使用印表机列印文档时,列印完成后立即从印表机上取回文档,防止文档信息泄漏。 内部重要文件、资料的销毁,应全部送入碎纸机,不得任意丢弃。5.3.4.3电脑病毒的预防职责 保证电脑防毒软件正常运作, 不得私自缷载、关闭防毒软件。 禁止安装使用自行从网上下载的软体,对于外来的程式和文档,在运行或打开前必须进行电脑病毒的检测和清除。 对于电
15、子邮件附件所带的程式和文档在确认来自可信的寄件者之前不得运行或打开,并且在运行或打开前必须进行电脑病毒的检测和清除。 在收到来自公司内部其他同事发来的含有病毒的邮件,除进行杀毒外,还应及时通知对方杀毒。 发现有防毒软体查杀不彻底的病毒时,应立即关闭电源并联系当地系统管理组进行处理。 不得进行电脑病毒的制作和传播。5.3.4.4在公司内部活动职责 进入部门办公区的人员都应佩戴指定证件。一旦发现任何未佩戴证件的人员,应立即向行政组报告。 指定的证件包括:职员证或访客临时出入证。 访客临时出入证在客人进入公司时由公司保安发放,离开公司时收回。 如需在部门办公区域存放敏感文件,该文件必须加锁保存,一般性文件如合同、投标档等必须归档由行政组保存。 在使用各类移动存储介质进行资料转移或传递时须防止资料泄密或丢失。5.3.4.5 员工安全培训为确保员工意识到信息安全威胁和隐患,并在他们正常工作时遵守公司的信息安全性原则,部门需要提供必要的信息安全教育与培训。根据工作岗位对从业者的能力需求、从业者本身的实际能力以及从业者所面临信息安全风险,确定培训内容。也就是说培训应考虑不同层次的职责、能力、文化程度以及所面临的风险。5.3.4.6 员工惩罚机制为保证员工严格执行各项安全要求,应对违规者进行惩罚。根据员工违反安全管理规范的程度实施以下惩罚措施,惩罚的手段可包括: 行政警告。
