HYK-MS-234 通信管理程序.docVIP

YC/ISMS-PD-01信息资产识别和风险评估程序

PAGE

--

深圳市企启信息科技有限公司

通信管理程序

文档编号：HYK-MS-234

版本信息：V1.0

创建人：信息安全与隐私安全小组

审核者：周静

批准人：黄伟

编制日期：2022年5月10日

批准日期：2022年5月10日

PAGE

--

文件变更记录

版本

变更描述

日期

修订人

批准日期

批准人

V1.0

初始版本，文档建立

2022年5月10日

周静

2022年5月10日

黄伟

目录

TOC\o1-3\h\z\u311目的 1

119672适用范围 1

226423通信管理要求 1

227413.1物理安全周边管理策略 1

175803.2网络安全管理 1

189023.2.1网络控制 1

289853.2.2网络服务安全 2

255003.2.3网络隔离 2

274553.3信息传输 2

119333.3.1信息交换策略和规程 2

127063.3.2信息传输协议 3

280093.3.3电子消息发送 3

99803.3.4保密或不泄露协议 3

167004相关文件 3

134425相关记录 3

PAGE4

通信管理程序

目的

为确保公司所有员工正确、安全的操作信息处理设施，保护信息和信息系统的保密性、完整性和可用性，制定本文件。

适用范围

本文件适用于ISMS及PIMS所涉及的所有部门和人员。

通信管理要求

物理安全周边管理策略

公司所在区域包含两部分：日常工作区域、财务室和客户现场工作区。

公司所在区域与外界相隔离，通过门禁系统来实施安全进入控制。

第三方人员必须在公司员工陪同的前提下才能在被授权许可的区域范围内活动。

客户现场机房设置独立权限门禁，与办公区隔离。

相关负责人负责定期对所辖办公区域环境进行整理，保持环境整洁，做好内务工作，禁止大厦保洁人员进入业务办公室。

网络安全管理

网络控制

外来人员携带电脑设备进入公司的，不得接入公司网络，需要INTERNET上网服务的,应在接待人员或者网络管理员的监督下使用。

公司所有员工禁止使用无线网络。

交换机上实施绑定策略，限制员工随意接入及随意更改IP。

防火墙上作访问控制策略，不允许访问实验室网络。

外部员工若需要连接到公司内部网络，需要领导授权才予以开通，连接活动完毕网络管理员收回相应权限。

网络服务安全

网络服务供应商不得擅自变更、中断网络服务，需提前书面告知，并说明原因。

网络管理员负责统计公司网络对外开启的服务和端口，并填写《服务器开发服务及端口一览表》，其他服务和端口一律禁止。

采用网关安全产品（IGSA）过滤常用服务（HTTP,FTP等）安全威胁。

网络隔离

公司网络系统划分为信息内网和信息外网。

信息内网为内部业务应用承载网络和内部办公网络。信息外网为对外业务网络和互联网用户终端网络。

信息内网与信息外网之间采用逻辑强隔离设备进行隔离，信息内网不得以任何方式与互联网连接。

信息传输

3.3.1信息交换策略和规程

员工应自觉遵守《中华人民共和国计算机信息系统安全保护条例》等国家相关法律法规及公司ISMS及PIMS文件。

任何分配给用户使用的公司所属资源不得用于私人目的。包括但不限于：公司电话用于私人交流；公司邮箱用于非工作用途；公司存储介质（如电脑硬盘，移动硬盘）存储私人数据等。

不得在开放办公室、公共场所等不隔音的地方进行保密会谈。

3.3.2信息传输协议

公司与顾客和其它相关方进行数据和文件传递，应双方约定传输方式、保密要求、是否加密等内容，并在合同/协议中明确写明。

如信息传输方式、保密要求等发生变化，双方应书面约定新的传输协议。

3.3.3电子消息发送

公司保密级资料（包括但不限于非经加密的帐号和口令，人事薪资信息，财务信息，关键客户信息，关键业务实施具体内容等）不得通过电子邮件传送，应打印纸质文档。

未经领导许可，公司相关资料不得通过电子邮件传送给外部方。

未经领导许可，不得使用P2P软件（如QQ，BT等）聊天和上传下载等。

3.3.4保密或不泄露协议

公司定期对内部员工和第三方是否按所签署的信息安全协议执行进行监视和检查，以确定保密或不泄露协议确实被执行。

公司应确保在其控制下访问PII的单独操作要服从于保密的义务，保密协议，无论是合同的一部分或是独立的，应确定在保密协议中义务的时间长度；

当公司是PII处理者，无论其形式如何，组织与其雇员和代理商之间的保密协议，应确保雇员和代理商遵守与数据处理和保护有关的策略和规程。

相关文件

《HYK-MS-221重要信息管理及备份控制程序》

《HYK