网络信息安全管理制度--版本V1.0
2. 引用文件
(1)下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
(2)ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求 (3)ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细 (4)设备管理规定 (5)访问控制程序 3. 职责和权限
技术部:负责责机房的日常检查、维护和管理工作,及当发生紧急事件时,按应急预案进行相应的处置。
4. 机房出入制度
(1)机房的进出由技术部严格管理。机房的钥匙保存技术部。如需进入机房,必须得到技术部的授权,在技术部领取钥匙后方可进入。
(2)未经许可不准携带任何磁带(盘)、磁介质和资料进入机房。经特许携带的,必须由专人陪同方可进入。
(3)未经许可不允许使用摄影、录像、笔记、或其它音像记录设备等。 5. 机房环境管理
(1)技术部对机房环境每半月进行一次检查,对发现的问题要及时解决。填写《机房巡检记录表》。
(2)机房内要保持设备无尘、布线整齐、物品就位、资料齐全。 (3)机房内严禁堆放与工作无关的其它物品及纸质物品。做好消防灭火设备检查工作
(4)机房内禁止饮食、吸烟、打闹、大声喧哗,机房内不得会客、闲谈。 (5)机房内备有温度计和湿度计,温度保持在18℃-25℃,湿度保持在40%-60%。温度计和湿度计应每年作一次检测。
(6)机房接地系统要符合相应的技术标准,各个设备交流工作电源应有工
11
网络信息安全管理制度--版本V1.0
作接地,机柜应有效接地。。
(7)机房配电柜要有防雷设施,进出机房的电缆应有防雷措施。 (8)机房用电要使用独立的电线,专用变压器、电源稳压器等。 (9)机房的环境应达到机房建设的设计要求。
6. 机房设备管理
(1)机房要有完整的网络拓扑图、物理拓扑图。
(2)机房内的所有设备应贴有设备标签,并注明设备的主要参数。 (3)主机系统和网络设备的各类接线的两端应设置标签,网络接口侧应注明连接的设备。
(4)对主要网络设备如核心路由器、交换机、防火墙、IDS等设备的配置文件每6个月进行进行一次评审。
(5)对机房的主机设备及智能网络交换装置应严格管理,做好事故预想,制定周密的故障应急措施。
(6)严禁擅自在运行的小型机、交换机、路由器等设备上进行开发、维护、调试或学习培训等工作。
(7)实施策略
1)机房管理规定涉及的《机房巡检记录表》共1个表单。
7. 相关记录
本程序发生的记录汇总表 表7-1 ISMS文件日常应用表格
表号 表A.1 记录编号 ISMS-3021-01 记录名称 机房巡检记录表 保管 场所 信息安全小组 保存保存形式 期限 1年 纸质 备注
12
网络信息安全管理制度--版本V1.0
八、 笔记本电脑管理规定ISMS-3008
1. 目的
建立笔记本电脑设备的使用规定及其与互联网的连接制度,这些规定是保持信息资源保密性、完整性和可用性所必需的。为加强业务笔记本电脑设备的合理利用与笔记本电脑设备信息安全管理,特制定该管理规定。适用所有业务部门员工和需在业务部门办公室工作的人员。
2. 引用文件
(1).下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
(2).ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求 (3).ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细则 (4).防范病毒及恶意软件管理规定 3. 职责和权限
(1)总经理:负责笔记本电脑申请的审批 (2)技术部:负责笔记本电脑的发放管理
(3)使用人员:负责便携计算机的日常使用保养和维护。 4. 笔记本电脑使用规定
(1)公司所有笔记本电脑由使用人员自行保管负责,若是公司统一配置的在辞职时应到综合部办理电脑交接手续,并在《离职交接清单》中作好备注。
(2)技术部授权使用的笔记本电脑未经部门经理同意严格禁止带出公司。 (3)未经许可,员工不得携带个人笔记本电脑设备进入公司办公场所。 (4)笔记本电脑设备必须有严格的口令访问控制措施,口令设置需满足公司安全策略要求。
(5)对无人看守的笔记本电脑设备必须实施物理保护,必须放在带锁的办公室、抽屉或文件柜里;
13
网络信息安全管理制度--版本V1.0
(6)笔记本电脑设备丢失或被窃后应及时报告给部门经理和技术部。 (7)除自然损坏外,凡人为损坏(如撞坏、跌坏、电源插错烧坏等)由本人负责修好,费用由个人承担。
(8)便携机中除工作所需的软件外,不导入其他与工作无关的软件。特别要保证便携机不带病毒。
5. 安全配置规定
(1)授权使用的笔记本电脑设备必须安装公司安全策略规定的防病毒软件;
(2)笔记本电脑设备每月进行一次病毒软件和操作系统补丁检查和评审,由电脑使用人员自行负责.
(3)笔记本电脑设备若支持内置的硬盘加密措施,应启用该措施,以免电脑或硬盘丢失后造成数据泄密。
(4)公司采用相关产品和方法对笔记本数据进行加密处理和使用,防止信息泄密。
(5)公司采用相关产品和方法对笔记本进行监控
(6)公司内部未经授权禁止开启无线网卡功能。禁止使用公司外部的未设安全机制的无线网络,系统管理员要每月扫描一次公司能接受到的外部不安全网络。
(7)公司的无线网络仅供授权的技术支持人员使用,其他未经技术部授权禁止便携机连入使用。
6. 外部人员使用笔记本的规定
(1)外部人员使用的笔记本电脑只能连接到公共上网区,通过独立于公司内部的专用网络上网。出于安全考虑,一般不予考虑客人接入公司内部网络。
(2)外部人员接待负责人需提前通知技术部该外部人员笔记本电脑使用的地点,便于技术部配置相关网络。
(3)若外部人员需要在业务办公地点长期工作(指超过2周时间),需经技术部经理批准。
14
网络信息安全管理制度--版本V1.0
7. 客户现场管理规定
(1)在客户现场进行开发及维护等工作时,在遵守本公司管理规定时,同时要遵守客户的管理方面相关规定。
(2)如在客户现场工作时需要使用笔记本,相关部门人员应尽量使用本部门公共笔记本,并进行登记。
(3)在客户现场使用笔记本工作时,必须注意信息的保密,防止笔记本内信息泄露。
(4)笔记本内新产生的数据应及时在客户备份系统或公司备份系统上进行备份,防止数据丢失。
8. 实施策略 自行保管负责; 无线网络加密上网;
9. 相关记录 无
九、 介质管理规定ISMS-3009
1. 目的和范围
任何信息设备,如:计算机、交换机、打印机、传真机、复印机等,都需要介质进行存储,当存储设备或可移动介质需要转移或销毁时,如果处理不当,很容易造成信息泄漏。因此,必须按规定执行处置。适用于移动存储设备/介质在本公司办公场所及房机内的使用管理。
2. 引用文件
(1)下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日
15
网络信息安全管理制度
