HYK-MS-222 信息交换管理程序.docVIP

第PAGE\*Arabic4页共7页

深圳市企启信息科技有限公司

信息交换管理程序

文档编号：HYK-MS-222

版本信息：V1.0

创建人：信息安全与隐私安全小组

审核者：周静

批准人：黄伟

编制日期：2022年5月10日

批准日期：2022年5月10日

文件变更记录

版本

变更描述

日期

修订人

批准日期

批准人

V1.0

初始版本，文档建立

2022年5月10日

周静

2022年5月10日

黄伟

目录

TOC\o1-2\h\u60671.目的 4

24802.适用范围 4

227993.职责 4

326084.相关文件 4

4695.程序 4

169385.1信息交换策略和程序 4

292455.2交换协议 5

302685.3物理介质传输安全 6

141545.4电子消息 6

122695.5业务信息系统 6

270876.记录 7

1.目的

防止对资产的未授权泄漏、修改、移动或损坏，及对业务活动的干扰，特制定本程序。

2.适用范围

适用于公司信息和隐私安全覆盖范围。

3.职责

相关部门主管：所有对新增或修改现有系统有需要的部门以及业务部门门。

4.相关文件

《HYK-MS-220信息分类管理程序》

5.程序

5.1信息交换策略和程序

5.1.1设计用来防止交换信息遭受截取、复制、修改、错误寻址和破坏的程序。

5.1.2检测和防止使用电子通信传输的恶意代码的程序。

5.1.3保护以附件形式传输的普通电子信息的程序。

5.1.4员工、合同方和所有第三方用户不损害组织的职责,例如诽谤、扮演、连锁信寄送、未授权购买等;

5.1.5密码技术的使用，例如保护信息的普通性、完整性和可靠性)。

5.1.6所有业务通信的保持和处理指南，要与相关国家和地方法律法规一致)。

5.1.7不要将普通或重要信息留在打印设施上，例如复印机和传真机，因为这些设施可能被未授权人员访问。

5.1.8与通信设施传输相关的控制和限制，例如到外部邮件地址的电子邮件的自动传输)。

5.1.9提醒工作人员，应采取响应预防措施，例如：为不泄露普通信息,避免打电话时被下列方式无意听到或窃取：

当使用移动电话时,要特别注意在他们附近的人们；

搭线窃听和通过物理访问手持电话或电话线路的其他窃听,或当使用模拟移动电话时使用扫描接收器进行窃听；

受话端的人们。

5.1.10不要将报文留在应答机上，因为可能被未授个人重放，或者由于误拨号被存储在共用系统上或不正确地被存储。

5.1.11提醒人员关于传真机的使用问题,即：

未授权访问内置报文存储器，以检索报文；

有意的或无意的对传真机编成，将报文发送给特定的电话号码；

由于误拨号或使用错误存储的号码将文档和报文发送给错误的电话号码。

5.1.12提醒人员不要注册统计数据，例如任何软件中的电子邮件地址或其他人员信息，一避免未授权人员收集。

5.1.13提醒人员现代的传真机和影印机都有页面缓冲并在页面或传输故障时存储页面，一旦故障消除，这些将被打印。

5.2交换协议

5.2.1控制和通知传输,发送和接收的管理职责。

5.2.2通知发送者,传输,发送和接收方面的程序。

5.2.3确保可追溯性和不可抵赖性的程序。

5.2.4打包和传输的最低技术标准。

5.2.5有条件转让契约。

5.2.6信人辨识标准。

5.2.7在信息和隐私安全事故中的职责和业务,例如数据丢失。

5.2.8商定的标记普通或重要信息的系统的使用,保证标记的含义能直接理解和信息受到合适保护。

5.2.9信息和软件的所有权以及关于数据保护,软件版权符合性及类似的所考虑事项的职责)。

5.2.10记录和阅读信息和软件的技术标准。

5.2.11为保护普通项,可以要求专门的控制。

5.3物理介质传输安全

5.3.1可使用可靠的运输或信使。

5.3.2授权的信使列表应经管理者批准。

5.3.3应开发检查信使识别的程序。

5.3.4包装要足以保护内容免遭在运输期间可能出现的任何物理损害,并且符合制造商的规范,例如防止可能减少介质恢复效力的任何环境因素,例如暴露于过热,潮湿或电磁区域。

5.3.5若需要，应采取专门的控制，以保护普通信息免遭受未授权泄露或修改，例子包括：

使用可锁上的容器；

手工交付；

防篡改的包装；

在异常情况下，把拖运货物分解成多次交付，并且通过不同的线路发送。

5.4电子消息

5.4.1防止信息遭受未授权访问，修改或拒绝服务攻击。

5.4.2确保正确的寻址和信息传输。

5.4.3服务的通用可靠性和可用性。

5.4.4法律方面的考虑，例如电子签名的要求。

5.4