企业信息安全管理制度规划.pdfVIP

企业信息安全管理制度规划 ★★★员工微信管理、手机通话监控系统咨询（杜绝员工飞单、离职带走微信客户、监控员工微信、手机一举一动） 近年来，随着计算机技术和信息技术的飞速发展，社会需求的不断进步，企业传统的手工生产模式和 管理模式已经进入了一个新的时代——信息时代。随着信息技术的发展，企业信息的脆弱性日益暴露。如 何规范日益复杂的信息安全保障体系建设，如何进行信息风险评估以保护企业信息资产不受侵害，已成为 当前行业实现信息运营所亟待解决的问题。 一、前言：企业的信息及其安全隐患。 在我们公司，我们部门制定了信息安全的总体规划 :从外到内，从广义到狭义，从总体到细节，从战术 到战略，从公司整体到地方部门，逐一分析，提出信息安全的解决方案。涉及到企业安全的信息包括以下 方面： A. 技术图纸。主要存在于技术部、项目部、质管部。 .B. 商务信息。主要存在于采购部、客服部。 C. 财务信息。主要存在于财务部。 D 服务器信息。主要存在于信管部。 E 密码信息。存在于各部门所有员工。 针对以上涉及到安全的信息，在企业中存在如下风险： 1 来自企业外的风险 ①病毒和木马风险。互联网上到处流窜着不同类型的病毒和木马，有些病毒在感染企业用户电脑后，会篡 改电脑系统文件，使系统文件损坏，导致用户电脑最终彻底崩溃，严重影响员工的工作效率；有些木马在 用户访问网络的时候，不小心被植入电脑中，轻则丢失工作文件，重则泄露机密信息。 ②不法分子等黑客风险。计算机网络的飞速发展也导致一些不法分子利用网络行窃、行骗等，他们利用所 学的计算机编程语言编译有特定功能的木马插件，经过层层加壳封装技术，用扫描工具找到互联网上某电 脑存在的漏洞，绕过杀毒软件的追击和防火墙的阻挠，从漏洞进入电脑，然后在电脑中潜伏，依照不法分 子设置的特定时间运行，开启远程终端等常用访问端口，那么这台就能被不法分子为所欲为而不被用户发 觉，尤其是技术部、项目部和财务部电脑若被黑客植入后门，留下监视类木马查件，将有可能造成技术图 纸被拷贝泄露、财务网银密码被窃取。还有些黑客纯粹为显示自己的能力以攻击为乐，他们在用以上方法 在网络上绑架了成千上万的电脑，让这些电脑成为自己傀儡，在网络上同时发布大量的数据包，前几年流 行的洪水攻击及 DDoS 分布式拒绝服务攻击都由此而来，它会导致受攻击方服务器资源耗尽，最终彻底崩 溃，同时整个网络彻底瘫痪。 2 、来自企业内的风险 ① 文件的传输风险。若有员工将公司重要文件以 QQ 、MSN 发送出去，将会造成企业信息资源的外泄， 甚至被竞争对手掌握，危害到企业的生存发展。 ② 文件的打印风险。若员工将公司技术资料或商业信息打印到纸张带出公司，会使企业信息资料外泄。 ③ 文件的传真风险。若员工将纸质重要资料或技术图纸传真出去，以及将其他单位传真给公司的技术文 件和重要资料带走，会造成企业信息的外泄。 ④ 存储设备的风险。若员工通过光盘或移动硬盘等存储介质将文件资料拷贝出公司，可能会泄露企业机 密信息。若有动机不良的员工，私自拆开电脑机箱，将硬盘偷偷带出公司，将会造成企业信息的泄露。 ⑤ 上网行为风险。 员工可能会在电脑上访问不良网站， 会将大量的病毒和顽固性插件带到企业网络中来， 造成电脑及企业网络的破坏，更甚者，在电脑中运行一些破坏性的程序，导致电脑系统的崩溃。 ⑥ 用户密码风险。主要包括用户密码和管理员密码。若用户的开机密码、业务系统登陆密码被他人掌握， 可能会窃取此用户权限内的信息资料和业务数据；若管理员的密码被窃取，可能会被不法分子破坏应用系 统的正常运行，甚至会被窃取整个服务器数据。 ⑦ 机房设备风险。主要包括服务器、 UPS 电源、网络交换机、电话交换机、光端机等。这些风险来自防 盗、防雷、防火、防水。若这些自然灾害发生，可能会损坏机房设施，造成业务中断。 ⑧ 办公 / 区域风险。主要包括办公区域敏感信息的安全。有些员工缺乏安全意识，在办公区域随意堆放本 部门的重要文件或是在办公区域毫不避嫌谈论工作内容，若不小心被其他人拿走或听到，可能会泄露部门 工作机密，甚至是公司机密。 为了保证企业信息的安全保密，公司所有人员必须严格遵守企业信息安全管理总则，以安全总则为基 础，各部门具体细则为安全管理行为标准，从各个层面杜绝信息安全隐患。 二、总则：从整个公司层出发，针对这些信息隐患制订安全防范措施。 1. 计算机设备安全管