证件登记,但要与受访部门确认和记录来访人数、目的、逗留时间、参观范围等相关事项以做好后勤服务保障工作。
第七条 公司前台和保安是控制外来人员的第一责任人,值班时必须按公司规定接待来访客户。
第八条 前台人员负责来访客人的登记、预约和引导,来访人员到访时先引导至贵宾室或接待室等候,电话向受访部门(人)核实确定预约的才给予引导,没有预约或意图不明确的、明显没有业务关联的对其进行劝离处理。
3.进出门禁系统控制
第九条 公司所有内部员工必须凭借内部员工门禁信息登记卡进出办公区域。
第十条 公司内部各办公区域间门禁系统日常工作时必须处于锁闭状态,内部员工均有责任有义务关闭门禁系统,避免闲杂人员进出办公区域。
第十一条 外来人员访问时由前台根据预约确定结果引导至贵宾室或接待室后,确定受访部门方便接待时由前台或保安开启门禁引导客人进入,将客人带给受访部门。
第十二条 受访部门与来访人员商谈相关业务后必须将客人送离办公区域,并及时通知保安或前台引导客人离开,避免访客随意走动影响办公秩序。
第十三条 确定访客业务商谈完毕已离开办公区域的前台不准再开启
45
门禁系统让其返回,如有特殊情况必须经与受访部门确认才能再次引导进入。
第十四条 敏感行业人员要提示勿随意走动并只能在指定范围内活动(如业务员、外卖员、快件投递员等)。
4.携带物品控制
第十五条 无论公司员工或外来人员在离开公司时携带办公、大件物品或其他文档资料时保安和前台必须进行查问,确定有放行条的才给予携带物品离开。
第十六条 重要客人来访需要携带物品的由接待部门负责人陪同离开后仍要补填放行条。
第十七条 工作时间以外禁止一切携带公司物品离开办公区域的行为,所有员工有义务配合保安检查。
第十八条 对来访者目视感觉可能携带危险品的必须立即采取措施进行处理,确保公司人员和财产安全。 第五章 附 则
第十九条 本规定自发布之日起执行。
46
五、系统建设管理
第一章 安全方案设计
1.概述
1)根据系统的安全保护等级选择基本安全措施,设计安全标准必须达到等级保护相关等级的基本要求,并依据风险分析的结果进行补充和调整必要的安全措施;
2)指定和授权专门的部门对信息系统的安全建设进行总体规划,制定近期和远期的安全建设工作计划;
3)应根据信息系统的等级划分情况,统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件;
4)应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施;
5)根据等级测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件;
系统根据“一个中心”管理下的“三重保护”体系框架进行设计,构建安全机制和策略,形成定级系统的安全保护环境。该环境共包括
四部分:安全计算环境、安全区域边界、安全通信网络和安全管理中心。
2.设计要求和分析
主要针对以下四个方面进行设计:
2.1安全计算环境设计
(1)用户身份鉴别
应支持用户标识和用户鉴别。 (2)自主访问控制
在安全策略控制范围内,使用户对其创建的对象具有访问操作权限,这个权限可以根据用户进行授权。可以具体到针对被访问对象的具体操作。
(3)标记和强制访问控制
可以对访问者和被访问者在身份鉴别的基础上进行安全标记,实现对主体访问客体的操作进行控制。 (4)系统安全审计
对访问行为进行完整的审计,审计的内容包括访问对象、被访问对象,访问的行为、时间等内容。 (5)用户数据完整性保护
采用备份、HASH方法对数据的完整性进行保护,防止被篡改。 (6)用户数据保密性保护
48
采用密码等技术支持的保密性保护机制,对在安全计算环境中存储和处理的用户数据进行保密性保护。 (7)客体安全重用
客体安全重用即指被访问对象不应保留访问对象的特征,避免由于不同访问对象的访问而造成访问对象之间信息的泄露。 (8)程序可信执行保护
采用可信计算技术,保证程序执行过程是可信的。可信是个复杂的环节,但是我们可以在重点服务器计算环境内实现可信。
对于(1), (2), (3), (4)的要求可以通过高强度的身份认证产品实现。(5), (6), (7)可以通过比较流行的敏感信息数据保护技术实现;(8)是一个复杂的要求,如何做到可信的环境也是一个复杂的命题,毕竟在多数情况下,我们的计算环境还是建立在一个开放的平台上进行建设。而且,从硬件开始至操作系统,基本都是国外的产品构成.可信执行保护只能在操作系统平台上实现,很难做到完全的可信。
2.2安全区域边界设计
(1)区域边界访问控制
要求在区域边界进行控制,防止非授权访问。 (2)区域边界包过滤
要求在区域边界进行包过滤检测措施。 (3)区域边界安全审计
要求在区域边界进行安全审计措施,保证内外数据的审计。
49
信息安全管理制度汇编36917
