信息安全管理规章制度附表格.doc

信息安全管理制度 编号：ISSM M-001 版本：V1.0 发布时间：2010-2-31 (已受控) XXXX科技发展有限责任公司 2010 年 2 月31 日  目录 1 总则 6 2 适用范围 6 3 管理对象 6 4 第四章术语定义 7 5 安全制度方面 8 5.1 安全制度要求 8 5.1.1 本制度的诠释 8 5.1.2 制度发布 9 5.1.3 制度复审 9 6 组织安全方面 9 6.1 组织内部安全 9 6.1.1 信息安全体系管理 9 6.1.2 信息安全职责分配 11 6.1.3 信息处理设备的授权 12 6.1.4 独立的信息安全审核 12 6.2 第三方访问的安全性 13 6.2.1 明确第三方访问的风险 13 6.2.2 当与客户接触时强调信息安全 14 6.2.3 与第三方签订合约的安全要求 14 7 信息资产与人员安全 15 7.1 资产责任 15 7.1.1 资产的清单 15 7.1.2 资产的管理权 15 7.1.3 资产的合理使用 16 7.2 信息分类 16 7.2.1 信息分类原则 16 7.2.2 信息标记和处理 17 7.3 人员安全 18 7.3.1 信息安全意识、教育和培训 18 7.3.2 惩戒过程 19 7.3.3 资产归还 19 7.3.4 删除访问权限 20 8 物理和环境安全方面 20 8.1 安全区域 20 8.1.1 物理安全边界 20 8.1.2 安全区域访问控制 21 8.1.3 办公场所和设施安全 22 8.1.4 防范外部和环境威胁 23 8.1.5 在安全区域工作 24 8.1.6 机房操作日志 24 8.2 设备安全 25 8.2.1 设备的安置及保护 25 8.2.2 支持设施 25 8.2.3 设备维护 26 8.2.4 管辖区域外设备安全 27 8.2.5 设备的安全处理或再利用 27 9 通信和操作管理方面 27 9.1 操作程序和职责 28 9.1.1 规范的操作程序 28 9.1.2 变更控制 28 9.1.3 职责分离 29 9.1.4 开发、测试和生产系统分离 30 9.1.5 事件管理程序 30 9.2 第三方服务交付管理 31 9.2.1 服务交付 31 9.2.2 第三方服务的变更管理 31 9.3 针对恶意软件的保护措施 32 9.3.1 对恶意软件的控制 32 9.4 备份 32 9.4.1 信息备份 32 9.5 网络管理 33 9.5.1 网络控制 33 9.6 介质的管理 34 9.6.1 可移动介质的管理 34 9.6.2 介质的销毁 35 9.6.3 信息处理程序 35 9.6.4 系统文档的安全 36 9.7 信息交换 36 9.7.1 信息交换管理办法和程序 36 9.7.2 交换协议 37 9.7.3 物理介质传输 37 9.7.4 电子消息 38 9.7.5 业务信息系统 39 9.8 电子商务服务 39 9.8.1 电子商务 39 9.8.2 在线交易 40 9.8.3 公共信息 40 9.9 监控 41 9.9.1 日志 41 9.9.2 监控系统的使用 42 9.9.3 日志信息保护 42 9.9.4 管理员和操作员日志 43 9.9.5 故障日志 43 9.9.6 时钟同步 43 10 访问控制方面 44 10.1 访问控制要求 44 10.1.1 访问控制管理办法 44 10.2 用户访问管理 45 10.2.1 用户注册 45 10.2.2 特权管理 45 10.2.3 用户密码管理 46 10.2.4 用户访问权限的检查 47 10.3 用户的责任 47 10.3.1 密码的使用 47 10.3.2 清除桌面及屏幕管理办法 48 10.4 网络访问控制 49 10.4.1 网络服务使用管理办法 49 10.4.2 外部连接的用户认证 49 10.4.3 远程诊断和配置端口的保护 50 10.4.4 网络的划分 50 10.4.5 网络连接的控制 51 10.4.6 网络路由的控制 52 10.5 操作系统访问控制 52 10.5.1 用户识别和认证 52 10.5.2 密码管理系统 53 10.5.3 系统工具的使用 54 10.5.4 终端超时终止 54 10.5.5 连接时间的限制 54 10.6 应用系统访问控制 55 10.6.1 信息访问限制 55 10.6.2 敏感系统的隔离 55 10.7 移动计算和远程办公 55 10.7.1 移动计算 55 10.7.2 远程办公 56 11 信息系统采购、开发和维护方面 57 11.1 系统安全需求 57 11.1.1 系统的安全需求分析与范围 57 11.2 应用系统中的安全 58 11.2.1 数据输入的验证 58 11.2.2 内部