网络信息安全管理制度--版本V1.0
5. 电子邮件使用规定 (1)明确禁止的行为
在未授权的情况下发送公司机密文件、项目文档或程序代码等未授权的信息;
(2)发送或者群发与工作无关的邮件或垃圾邮件及个人信息; (3)发送或者转发虚假、黄色、反动信息; (4)发送或者转发宣扬个人政治倾向或者宗教信仰;
(5)利用电子邮件服务传输任何骚扰性的、中伤他人的、恐吓性的、庸俗、淫秽以及其他违反国家规定内容的信息资料;
(6)在非授权情况下以公司的名义发表或群发个人意见;
(7)利用电子邮件服务散布电脑病毒、木马程序、干扰网络上其他使用者或破坏网络系统的正常运行。
6. 邮件使用规定
(1)除非特别批准,使用白名单限制发送邮件的收件人地址。
(2)邮件系统为公司因工作需要而对外联系所用,用户必须以本人的真实身份使用用于办公用途的电子邮箱,禁止以他人名义滥发邮件或盗用他人邮箱。
(3)邮箱用户的登录密码,用户必须严格保密,不得泄露。如将其借予他人使用,由此造成的一切安全后果由邮件帐号所有人承担。
(4)用户不得将电子邮件地址用于非工作目的(特别是以娱乐、购物、交友等为目的身份注册)。
(5)Email账号密码必须符合口令策略的相关规定;
(6)未经授权任何人不得尝试以他人帐户口令进行登录,阅读他人邮件内容。
(7)在对外联系中,应注意安全保密,用Email发送机密信息必须符合公司的相关规定;
(8)因工作需要而传递公司或项目保密文件时,经批准后,可通过加密渠道传递;
(9)通过E-MAIL发送机密附件时,如有必要,附件必须加密;
26
网络信息安全管理制度--版本V1.0
(10)请尽量压缩传送的文件,勿发送超过2M的附件,以免影响系统性能; (11)对外联系时请注意通信礼仪,保持公司良好的形象;
(12)使用防病毒工具的E-MAIL保护功能,并经常查毒,有异常应及时通知管理员;
(13)发送Email必须有清楚的主题,发送前再次确认收件人列表内的人员都是必需的和正确的;
(14)用户不要阅读和传播来历不明的邮件及附件,提高对于邮件病毒的防范意识,避免传递病毒邮件。
(15)工作人员离职必须向技术部申请邮箱收回。并做后期处理。 7. 实施策略
不得用个人邮箱发机密文件; 8. 相关记录 无
十四、 软件管理规定ISMS-3014
1. 目的和范围
本标准规定了公司软件资产的收集、发放、管理、使用、更改、修订、备份等过程的控制要求
2. 引用文件
(1)下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
(2)ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求 (3)ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细则 (4)补丁管理规定 3. 职责与权限
27
网络信息安全管理制度--版本V1.0
技术部:
是软件资产(非自行开发软件)的归口管理部门。负责软件的购置、维护、作废及各部门软件资料、介质的收集、统计、归档、存放和发放使用。
技术部是公司自行开发软件的归口管理部门。 4. 软件管理 (1)收集
对公司信息系统涉及的软件资产进行收集整理、分类归档,填写《信息资产识别表》中“软件和系统”类资产。公司内软件来源主要有以下几个方面:
(2)已有商业软件购买。 (3)技术部开发内部使用软件。 (4)免费软件的下载。
(5)识别出资产识别表中重要的软件和应用系统。 5. 审核、批准、发布
(1)新的软件使用前填写《新软件和系统登记表》,每季度根据此表内容对《信息资产识别表》里的软件和系统资产进行更新。
(2)新的软件由技术部进行测试或使用检验,测试应当包括可用性、安全性,对其它系统影响和用户友好性,测试应当在与应用系统隔离的系统中进行。
(3)新的软件测试或使用检验合格后,经相关部门领导审核并批准后提交技术部发布。
6. 软件归档和存放
(1)所有软件收集后统一登记,包括软件的开发厂家,软件数量,软件版本,许可证编号等。
(2)软件登记好后统一存放于指定位置。磁盘文件存放于指定存储空间中,由专人负责整理,各软件建立独立的文件夹,标识明确清晰,并做好软件的备份工作。光盘统一存放入文件柜中,并有明显易辨认的标识,便于整理和取用。
28
网络信息安全管理制度--版本V1.0
7. 软件使用
(1)技术部统一负责软件的发放及安装,做到及时升级和故障排除。 (2)各部门负责软件的使用,如有问题及时反馈给技术部。
(3)未经许可,任何人不得将内部使用的软件外带、传播、贩卖,不得将软件用于任何违法或非正当用途。
(4)软件使用过程中应加强保护,保持软件完整、可用,不受病毒侵害。 (5)制作《授权使用软件列表》,禁止使用未经授权的软件和未经授权的系统实用工具软件。
(6)对光盘介质类软件要考虑使用刻录的副本,原光盘进行存档处理。 8. 修订与升级
(1)各部门和技术部应根据软件的使用情况,提出软件的修订意见,相关部门领导批准后,形成统一的修订意见,由综合部负责实施。
(2)软件的升级/补丁按《补丁管理规定》进行。 9. 软件作废
(1)修订软件批准生效后,原软件应予以作废。软件使用部门接到新版本软件后,从新版本软件实施之日起,原软件作废。填写《作废软件登记表》。每季度根据此表内容对《信息资产识别表》里的软件和系统资产进行更新。
(2)应当保留原软件的以前版本作为应急之用,包括所有需要的信息和参数、程序、具体配置,以及用于数据保留存档的支持软件。
(3)原软件作废版本的光盘应有明确标识,并与其他在用光盘分开存放,电子文件应予以回收,避免引起作废软件的非预期使用。
10. 实施策略
(1)软件管理规定涉及的《授权使用软件列表》表单。
(2)收集整理、分类归档,填写《信息资产识别表》中“软件和系统”类资产。
(3)软件作废由技术部批准;并更新软件清单。
(4)综合部制作《授权使用软件列表》,禁止使用未经授权的软件和未经授权的系统实用工具软件.
29
网络信息安全管理制度--版本V1.0
11. 相关记录 本程序发生的记录表 表14-1 ISMS文件日常应用表
表号 表A.1 记录编号 ISMS-3017-01 记录名称 授权使用软件列表 保管 场所 综合部 保存期限 3年 保存形式 电子 备注 十五、 系统监控管理规定ISMS-3015
1. 目的
了解服务器的运行状态,检测未经授权的信息处理活动,为安全事故提供证据,确保业务系统的稳定性、可靠性、安全性。
2. 引用文件
(1)下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
(2)ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求 (3)ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细则 (4)机房管理规定 3. 职责
技术部负责公司网络和系统访问活动的监控管理。 4. 系统监控管理 (1)日志的分类
1)需监控的日志包括但不仅限于以下类型:
2)服务器日志:系统日志,应用程序日志和安全日志。 3)防火墙日志 4)视频监控系统的记录
30