信息安全策略文件.docxVIP

信息安全策略

(依据ISO/IEC27001:2022标准编制)

编制：日期：年月日

审核：日期：年月日

批准：日期：年月日

年月日发布年月日实施

xxxx发布

[修订记录]

生效日期

版本

修改说明

修改人

审核人

批准人

目录

1.信息资源保密策略 5

2.网络访问策略 6

3.访问控制策略 8

4.物理访问策略 9

5.供应商访问策略 11

6.雇员访问策略 14

7.设备及布缆安全策 16

8.变更管理安全策略 20

9.病毒防范策略 2

10.可移动代码防范策略 23

11.信息备份安全策 25

12.技术脆弱性管理策略 26

13.信息交换策 28

14.运输中物理介质安全策略 29

15.电子信息策略 30

16.信息安全监控策略 32

17.特权访问管理策略 34

18.口令控制策 35

19.清洁桌面和清屏策略 37

20.互联网使用策 38

21.便携式计算机安全策 40

22.事件管理策略 41

23.个人信息使用策略 43

24.业务信息系统使用策 4

25.远程工作策略 45

26.云服务安全策 46

27.信息安全数据操作策 48

28.信息安全威胁情报管理策 50

附件：修订更细说明 52

1.信息资源保密策略

发布部门

产品部

生效时间

2024年4月11日

介绍

保密策略是用于为信息资源用户建立限制的机制。通过一定权限管理以区分内外部用户的信息资源的访问。

目的

该策略的目的是明确用户对信息资源沟通的保密需求。

适用范围

该策略适用于使用信息资源的所有人员。

术语定义

略

信息

资源保密

策略

■在公司内部保存和控制的电子文件应该得到控制，只有得到授权的人员才能访问；

■为加强信息安全，信息技术小组可以记录和评审信息系统中存储和传递的任何信息。为了达到此目的，信息技术小组还可以捕获任何用户活动，如通讯记录以及访问的网站；

■为了商业目的，客户方将信息委托给公司内部保管，那么信息技术小组的所有工作人员都必须尽最大的努力保护这些信息的保密性和安全性。

■用户必须向适当的管理者报告公司内部计算机安全的任何薄弱点，可能的误用事故或者相应授权协议的违背情况；

■在未经授权或获得明确同意的情况下，用户不可以尝试访问公司内部系统中包含的任何数据或程序。

惩罚

违背该策略可能导致：员工以及临时工被警告、惩处、解雇、合同方或顾问的雇佣关系终止、实习人员失去继续工作的机会；另外，这些人员还

有可能遭到法律起诉。

引用标准

略

2.网络访问策略

发布部门

产品部

生效时间

2024年4月11日

介绍

网络基础设施是提供给所有信息资源用户的中心设施。重要的是这些基础设施(包括电缆以及相关的设备)要持续不断的发展以满足需求，然而也

要求同时高速发展网络技术以便将来提供功能更强大的用户服务。

目的

该策略的目的是建立网络基础设施的访问和使用规则。这些规则是保持信息完整性、可用性和保密性所必需的。

适用范围

该策略适用于访问任何信息资源的所有人。

术语定义

略

网络

访问策略

■用户不可以以任何方式扩散或再次传播网络服务。未经产品部批准不可以安装路由器、交换机或者无线访问端口；

■在未经产品部批准的情况下，用户不可以安装提供网络服务的硬件或软件；

■需要网络连接的计算机系统必须符合信息服务规范；

■下用户禁止私自下载、安装或运行安全程序或应用程序去扫描系统的安全薄弱点，如，口令破解程序、监听器、网络绘图工具、或端口扫描工具。即使网络管理人员因工作需要必须使用以上工具时，也应取得产品部批准。

■在局域网上进行文件共享时必须指定访问权限，敏感信息严禁使用everyone权限。

■任何员工在访问网络资源时必须使用专属于自己的帐号ID,不得使用他人的帐号访问