上海信耀电子有限公司企业标准.docxVIP

与EEV超上诲信耀,电子有限公司企业标准 SSE-ISMS-21 (A/l) 信息安全策略 应把重要的设施、设备放在适当的限制观测的位置，以减少在其使用期间信 息被窥视的风险，还应保护储存设施以防止未授权访问。 进入信息处理设施的电源和通信线路宜在地下，若可能，或提供足够的可替 换的保护。 网络布缆要免受未授权窃听或损坏，例如，利用电缆管道或使路由避开公众 区域； 为了防止干扰，电源电缆要与通信电缆分开。 使用清晰的可识别的电缆和设备记号，以使处理失误最小化，用文件化配线 列表减少失误的可能性。 要求专门保护的部件要予以隔离，以降低所要求的总体保护等级。 应采取控制措施以减少潜在的物理威胁的风险，例如偷窃、火灾、爆炸、烟 雾、水（或供水故障）、尘埃、振动、化学影响、电源干扰、通信干扰、电 磁辐射和故意破坏。 对于可能对重要设施、设备运行状态产生负面影响的环境条件（例如温度和 湿度）要予以监视。 所有建筑物都应采用避雷保护。 9211应保护重要设施、设备，以减少由于辐射而导致信息泄露的风险。 重要的信息设施、设备必须使用支持有序关机或连续运行的不间断电源。 对于敏感的或关键的信息系统，更进一步的控制考虑应包括： a）在检查点和终接点处安装铠装电缆管道和上锁的房间或盒子。 b）使用可替换的路由选择和/或传输介质，以提供适当的安全措施。 c）使用纤维光缆。 d）使用电磁防辐射装置保护电缆。 e）对于电缆连接的未授权装置要主动实施技术清除、物理检查。 f）控制对配线盘和电缆室的访问。 信息设施、设备的维护 要按照供应商推荐的服务时间间隔和规范对设备进行维护。 只有已授权的维护人员才可对设备进行修理和服务。 要保存所有可疑的或实际的故障以及所有预防和纠正维护的记录。 当对设备安排维护时，应实施适当的控制，要考虑维护是由场所内部人员执 行还是由外部人员执行；当需要时，敏感信息需要从设备中删除或者维护人 员应该是足够可靠的。 应遵守由保险策略所施加的所有要求。 信息设施、设备的安全处置 重要的信息设施、设备在物理上应予以摧毁，或者采用使原始信息不可获取 的技术破坏、删除、覆盖信息，而不能采用标准的删除或格式化功能。 重要的信息已损坏的设施、设备可能需要实施风险评估，以确定这些设施、 设备是否要进行销毁、而不是送去修理或丢弃。 信息设施、设备的移动 在未经事先授权的情况下，不允许让设施、设备、信息或软件离开办公场所。 信息设施、设备的移动需经信息安全部门授权部门确认，在其监督下移动， 做好信息设施、设备移动的相关记录。 应设置信息设备移动的时间限制，并在返还时执行符合性检查。 违背该策略可能导致：违规人员网络访问权被限制、遭到行政处分、员工被解 雇、合作方关系的终止，甚至被民事、刑事起诉。 变更管理安全策略 概述 对影响信息安全的变更过程进行管理，确保变更的风险得到充分的识别和控 制。 公司应建立变更管理的过程，定义需要纳入变更管理的活动范围及管理的流 程，并根据实施效果不断更新和完善。 变更管理范围 公司负责的内外部信息资源的每一次变更，如操作系统、计算机硬件、网络 以及应用程序等。 1032所有影响公司的信息设备的环境的变更（如温度、湿度、电磁波、震动等）。 相关方的变更及相关方服务的变更。 与信息资源相关的业务流程的变更。 公司组织架构与职责的变更。 变更管理流程 变更由业务需求部门提交变更申请。 变更申请必须包含变更的原因/目的、变更的方案、变更的计划以及所需要的 资源清单和风险分析（对受到影响的信息资源的完整性、可用性和保密性的 分析）。 1043信息安全风险评估小组必须充分了解变更的原因和背景，评审可能导致变更 失败的因素和其他风险，并提出预防的建议措施和意见。 每一个变更申请在执行前必须受到信息安全部门的正式批准。 1045信息安全部门在下列情况下有权拒绝任何申请：不充分的策划、变更的时间 等会对关键的业务过程造成负面影响，或者会造成没有充分的资源可用，或 者有不可接受的风险； 在变更管理程序实施前，必须完成对所有受影响的内外部用户的通知。 所有变更必须保留变更管理日志，必须保留的日志包括但不限于下列内容： a）变更的提交和执行日期。 b）所有者和保管者信息。 c）实际变更的内容。 d）变更的结果和效果。 e）变更的关闭状态。 变更结束后，变更管理日志需要提交给信息安全部门进行批准，以评估变更 是否达成预定目标且风险得到有效控制。 违背该策略可能导致：违规人员网络访问权被限制、遭到行政处分、员工被解 雇、合作方关系的终止，甚至被民事、刑事起诉。 病毒及恶意软件防范策略 概述 防范病毒及恶意软件对公司的信息和信息处理设施的破坏。 禁止使用未经授权的软件。 建立应用程序白名单，以防止或发现未授权软件的使用。 建立网站黑名单，以防止或