ISMS移动设备安全管理规范
(ISO27001-2013)
针对移动存储设备的隐患及原因,为了更好对移动存储设备做到安全管控,制定以下制度。
第一章设备管理
第一条移动存储介质的管理应遵循“统一购买、统一标识、登记注册、集中管理、责任到人”的原则。
第二条一律禁止私人携带移动存储设备进入办公区域,移动设备包括但不限于U盘、移动硬盘、数据相机、存储卡、带拍照和存储功能的手机等。
第三条涉密移动存储介质由单位指定的相关部门负责统一购买,所购置的设备必须为正规厂商生产的合格产品。
第四条公司建立统一的移动存储设备资料库,记录设备的密级、用途、硬件特征码、管理部门、责任人等信息备查,涉密移动存储介质应在显著位置粘贴密级标识。所标密级应按其所存储信息的最高密级进行标识。
第五条公司建立移动存储设备发放流程,由专人负责设备发放工作,需要使用移动存储设备的部门或者个人需提出申请,并说明用途,到行政部领用。第六条移动存储设备损坏不得擅自拆卸,严禁将损坏涉密移动存储介质出售或随意丢弃,应立即交回行政部统一处理。
第七条涉密移动存储介质严禁外送维修,确需维修需经公司主管领导批准,维
修时应在公司指派人员的监督下进行。
第八条不再使用或报废的涉密移动存储介质,应交回行政部,采取保密技术手段确保其所存储信息不可恢复或进行物理销毁。销毁涉密移动存储介质须经公司领导批准,并履行登记、相关人员签字等手续。
第二章内部使用
第一条公司内部只能使用由公司统一派发的移动存储设备,严禁外来移动存储设备在公司内使用,确因工作需要须到指定专用计算机上使用。
第二条公司信息安全管理员对涉密移动存储介质要定期进行保密技术检查,随时掌握每个移动存储设备的工作状态,监控设备使用过程。
第三条涉密移动存储介质严禁在与国际互联网相连接的计算机上使用,严禁使用非涉密移动存储介质存储、处理保密信息。
第四条涉密计算机应具备移动存储识别能力,可由信息安全管理员或者计算机使用者设定,只允许合法的移动存储设备在特定涉密计算机上使用。
第五条涉密移动存储介质不得降低密级使用,严禁将涉密移动存储介质进行重新格式化或删除信息等方式后,作为普通存储介质使用。
第六条公司移动存储设备严禁外借,严禁将涉密移动存储介质交与责任人以外的其他人员或者亲属使用。
第七条移动存储介质存储的数据必须与密级相符,禁止通过移动存储介质将涉密信息拷贝在家用电脑或外公司电脑上。
第八条涉密人员离职离岗前,要将所保管的涉密移动存储介质全部退回,备份其设备使用日志,并办理相关移交手续。
第三章设备外带
第一条移动存储设备原则上不得带离公司使用,如确因工作需要需带离公司的,须经公司领导批准,并确保涉密移动存储介质始终处于携带责任人的有效控制之下。
第二条携带涉密移动存储介质外出,需向上一级公司领导申请,并备案本次外出携带的资料内容样本,设定有效使用期限,到期处理方式等。
第三条严禁以明文的形式将资料存储在移动存储设备中,应配备资料使用口令或钥匙,口令设置应满足安全需要,不得过于简单和容易猜测,禁止将解密钥匙与资料同时存放在同一个移动存储介质中。
第四条设备带回后应交由信息安全管理人员确认介质序列号,并作病毒木马扫描等日常处理,方可实行联机操作,接入单位内部使用。
第五条从外公司通过移动存储设备带回本公司的数据必须经过安全验证,确保符合公司数据管理规定方可拷入公司内部使用。
备注:移动存储设备应用广泛便利,同时也带来了信息外泄的安全威胁。归纳移动存储设备的隐患主要表现在:
1、移动存储设备具有随意复制计算机内文件的功能;
2、移动存储设备易丢失导致信息泄漏;
涉密计算机及移动存储介质保密管理办法 第一章涉密计算机及移动存储介质的定义 第一条涉密计算机是指存储、处理、传输涉及国家秘密信息的计算机(含笔记本电脑)。 第二条涉密移动存储介质是指以文字、数据、符号、图形、图像、声音等方式记载国家秘密信息的存储介质载体,包括计算机硬盘、优盘、光盘、磁带、存储卡及其它具有存储功能的各类介质。 第二章涉密计算机及移动存储介质的管理原则 第三条涉密计算机及移动存储介质的管理坚持“谁主管、谁负责;积极防范,突出重点,明确责任,依法管理、确保安全”的原则。 第四条涉密计算机及移动存储介质的保密管理要建立制度、明确职责、分级负责、责任到人。 第三章涉密计算机及移动存储介质的确定 第五条严禁在未确定的涉密计算机及移动存储介质中存储、处理和传递国家秘密信息。 第六条涉密移动存储介质要统一购置、统一标识、统一备案、授权使用、集中管理;确定后的涉密计算机及移动存储介质,要统一进行密级标识、建档管理。 第七条要依据《国家秘密及其密级具体范围的规定》,对确定在涉密计算机及移动存储介质中存储的涉密信息进行规范定密,并按照涉密信息的最高密级,对涉密计算机及移动存储介质进行涉密级别定级。按照绝密、机密、秘密三个级别对涉密计算机及移动存储介质实行分级管理和采取相应的保密技术防范措施。 第四章涉密计算机及移动存储介质的使用 第八条涉密计算机及移动存储介质严禁随意更换操作人员和使用人。 第九条涉密计算机和移动存储介质在使用时须具有相应的口令和身份识别认证。 第十条涉密计算机待机5分钟以上,应采取锁屏等保密防范措施。 第十一条移动存储介质不使用时,应存入安全可靠的保密防范设备中。
信息安全管理规定 1目的 在遵循集团《计算机信息安全管理制度》原则基础上,为确保公司网络平台、信息系统的正常运行及信息系统中的信息数据安全,防止泄密,针对公司实际情况,制定本管理规定。 2范围 本办法适用于公司全体员工。 3术语定义 3.1 计算机信息:是指存储在计算机相关设备上的应用系统(软件)、数据、文档、图纸等含有一定意义的计算机信息资料。 3.2 内部网络:是指园区网络及通过专线与园区互联的其他园区、驻外机构网络(以下简称内网)。 3.3 外部网络:是指互联网或除互联网和公司内网之外的第三方专网(以下简称外网)。 3.4 VPN:虚拟专用网络(Virtual Private Network,简称VPN),是指在公共网络上建立专用网络的技术,属于远程访问技术,就是利用公网链路架设的虚拟私有网络。 4职责 4.1信息化管理部门:公司信息化管理部门,负责计算机信息安全日常工作,事业部接入级网络交换设备的管理工作,及时向总部信息化管理部门、督察部门报告重大计算机信息安全隐患和计算机信息安全事件。 4.2 计算机用户:负责本人领用的办公计算机的日常保养、正常操作及安全管理,负责所接触计算机信息的保密性、可用性和完整性;及时向信息化管理部门报告计算机信息安全隐患和计算机信息安全事件。涉密信息的起草人必须按公司《保密制度》相关规定提出信息密级的定级申请。 5内容与要求 5.1 账号和密码安全管理 5.1.1 信息系统用户账号须严格按照业务信息系统要求进行设置,原则上不得设置成共用账号,以确保使用人与账号的唯一性。 5.1.2 员工申请信息系统账号权限时,所在部门的负责人应严格审核,控制授予满足其工作需要的最小权限;员工岗位或工作内容发生变化后应及时提出申请权限变更,应用系统管理员应及时变更异动员工的权限,冻结离职员工的账号。 5.1.3计算机用户应妥善保管好自己的系统账号密码或身份认证设备,如发现遗失或被盗,应立即向信息化管理部门报告,信息化管理部门应及时处理,确保账号使用的合法性。
信息安全管理制度 信息安全是指通过各种策略保证公司计算机设备、信息网络平台(内部网络系统及ERP、CRM、WMS、网站、企业邮箱等)、电子数据等的安全、稳定、正常,旨在规范与保护信息在传输、交换和 存储、备份过程中的机密性、完整性和真实性。为加强公司信息安全的管理,预防信息安全事故的发生,特制定本管理制度。本制度适用于使用新合程计算机设备、信息系统、网络系统的所有人员。 1.计算机设备安全管理 1.1员工须使用公司提供的计算机设备(特殊情况的,经批准许可的方能使用自已的计算机),不 得私自调换或拆卸并保持清洁、安全、良好的计算机设备工作环境,禁止在计算机使用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 1.2严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件,当计算机出现硬件故障时应及时向信息技术部报告,不允许私自处理和维修。 1.3员工对所使用的计算机及相关设备的安全负责,如暂时离开座位时须锁定系统,移动介质自行安全保管。未经许可,不得私自使用他人计算机或相关设备,不得私自将计算机等设备带离公司。 1.4因工作需要借用公司公共笔记本的,实行“谁借用、谁管理”的原则,切实做到为工作所用,使用结束后应及时还回公司。 2.电子资料文件安全管理。 2.1文件存储 重要的文件和工作资料不允许保存在C盘(含桌面),同时定期做好相应备份,以防丢失;不进行与工作无关的下载、游戏等行为,定期查杀病毒与清理垃圾文件;拷贝至公共计算机上使用的相关资料,使用完毕须注意删除;各部门自行负责对存放在公司文件服务器P盘的资料进行审核与安全管理;若因个人原因造成数据资料泄密、丢失的,将由其本人承担相关后果。 2.2文件加密
————公司IT管理制度 一、计算机硬件管理 1、公司的所有计算机及外围设备是公司的固定资产,根据实际工作需要配备给各部门人员使用,各部门使用人员必须加以爱护、保持整洁,并保证良好的使用环境。若用户使用的设备发生人为损坏、设备遗失等,需要按具体规章制度执行赔偿。 2、由IT部对公司所有计算机设备进行统一编号,建立计算机硬件明细台帐,并定期对硬件进行维护、检查各部门使用情况。 3、计算机设备的集中统一管理: (1)不得自行重装系统、格式化硬盘,如确因系统问题需要格式化或重新安装系统,需经相关部门领导审批,IT部门审核并填写《设备更新、维修、报废审核记录》后,由IT 部门负责处理。 (2)设备添置、更换、升级:由各部门根据实际工作需要提申请,IT部确定具体配置,书面申请经部门经理、总经理批准后由IT部进行采购。 4、硬件故障:各部门使用人员发现硬件故障时,应及时向IT部说明情况,由IT部进行确定并及时处理,各部门人员不得擅自拆装更换硬件设备。如故障是由员工操作使用不当(如热插拔外部设备,包括测试用串口工具、移动设备、显示设备等其他设备)引起,维修费用由相关人员承担。 5、公司计算机是处理公司信息和资料的重要工具,严禁随意连接外部设备: (1)严禁插接未经IT部登记批准使用的存储设备(包括:公司配发或领用的U盘、硬盘、存储卡、手机、无线键鼠、无线wifi设备等) (2)严禁插接私人存储设备。 (3)严禁在公司计算机插接手机。 6、计算机的使用人即为该设备的责任人,使用部门为责任部门。未经责任部门经理批准,任何人不得使用其他部门或他人计算机。 7、IT部负责对公司所有电脑硬件使用情况的督查和监控。 8、移动存储设备使用管理 (1)为了防止公司资料非法外流以及病毒入侵公司内部网络,严格限制员工使用外来软盘、光盘、U盘、移动硬盘等移动存储设备。
信息安全管理规范 第一章总则 第一条为规范企业信息系统及所承担维护服务的用户信息系统的信息安全管理,促进信息安全管理工作体系化、规范化,提高信息系统和网络服务质量,提高信息系统管理人员、维护人员以及使用人员的整体安全素质和水平,特制定本管理规范。本管理规范目标是为公司信息安全管理提供清晰的策略方向,阐明信息安全建设和管理的重要原则,阐明信息安全的所需支持和承诺。 第二条本规范是指导公司信息安全工作的基本依据,信息安全相关人员必须认真执行本规程,并根据工作实际情况,制定并遵守相应的安全标准、流程和安全制度实施细则,做好安全维护管理工作。 第三条信息安全是公司及所承担的用户信息系统系统运维服务工作的重要内容。公司管理层非常重视,大力支持信息安全工作,并给予所需的人力物力资源。 第四条本规范的适用范围包括所有与公司信息系统及本公司所承担维护服务的各方面相关联的人员,它适用于本公司全部员工,集成商,软件开发商,产品提供商,商务伙伴和使用公司信息系统的其他第三方。 第五条本规范适用于公司所承担服务支撑的外部各单位的信息系统的安全工作范围。 第六条本规范主要依据国际标准ISO17799,并遵照我国信息安全有关法律法规、电信行业规范和相关标准。 第二章安全管理的主要原则 第七条管理与技术并重的原则:信息安全不是单纯的技术问题,在采用安全技术和产品的同时,应重视管理,不断积累完善各个信息安全管理章程与规定,全面提高信息安全管理水平。
第八条全过程原则:信息安全是一个系统工程,应将它落实在系统建设、运行、维护、管理的全过程中,安全系统应遵循与信息系统同步规划、同步建设、同步运行的原则,在任何一个环节的疏忽都可能给信息系统带来危害。 第九条风险管理和风险控制原则:应进行安全风险管理和风险控制,以可以接受的成本或最小成本,确认、控制、排除可能影响公司信息系统的安全风险,并将其带来的危害最小化。 第十条分级保护原则:应根据信息资产的重要程度以及面临的风险大小等因素决定各类信息资产的安全保护级别。制订各类网络系统和信息资产的安全保护等级表,在表中明确资产类别,同时确定对何种资产应达到何种级别的安全。 第十一条统一规划、分级管理实施原则:信息安全管理遵循统一规划、分级管理的原则。信息安全领导小组负责对公司各项信息安全管理工作进行统一规划,负责信息安全管理办法的制定和监督实施。各级部门在信息安全领导小组指导与监督下,负责具体实施。 第十二条平衡原则:在公司信息安全管理过程中,应在安全性与投入成本、安全性和操作便利性之间找到最佳的平衡点。 第十三条动态管理原则:在公司信息安全管理过程中,应遵循动态管理原则,要针对信息系统环境的变动情况及时调整管理办法。 第三章安全组织和职责 第十四条建立和健全信息安全组织,设立由高层领导组成的信息安全领导小组,对于信息安全方面的重大问题做出决策,协调信息安全相关各部门之间的关系,并支持和推动信息安全工作在整个信息系统范围内的实施。 第十五条公司应设置相应的信息安全管理机构,负责信息系统的信息安全管理工作,配备专职安全管理员,由安全管理员具体执行本公司信息安全方面的相关工作。 第十六条公司信息系统的安全管理机构职责如下: 根据本规范制定信息系统的信息安全管理制度、标准规范和执行程序;
信息安全管理制度 一、总则 为了加强公司内所有信息安全的管理,让大家充分运用计算机来提高工作效率, 特制定本制度。 二、计算机管理要求 1.IT管理员负责公司内所有计算机的管理,各部门应将计算机负责人名单报给 IT管理员,IT管理员(填写《计算机IP地址分配表》)进行备案管理。如有变更,应在变更计算机负责人一周内向IT管理员申请备案。 2.公司内所有的计算机应由各部门指定专人使用,每台计算机的使用人员均定为计算机的负责人,如果其他人要求上机(不包括IT管理员),应取得计算机负责人的同意,严禁让外来人员使用工作计算机,出现问题所带来的一切责任应由 计算机负责人承担。 3.计算机设备未经IT管理员批准同意,任何人不得随意拆卸更换;如果计算机出现故障,计算机负责人应及时向IT管理员报告,IT管理员查明故障原因,提出整改措施,如属个人原因,对计算机负责人做出处罚。 4.日常保养内容: A.计算机表面保持清洁 B.应经常对计算机硬盘进行整理,保持硬盘整洁性、完整性; C.下班不用时,应关闭主机电源。 5.计算机IP地址和密码由IT管理员指定发给各部门,不能擅自更换。计算机系统专用资料(软件盘、系统盘、驱动盘)应由专人进行保管,不得随意带出公司 或个人存放。 6.禁止将公司配发的计算机非工作原因私自带走或转借给他人,造成丢失或损坏的 要做相应赔偿,禁止计算机使用人员对硬盘格式化操作。
7.计算机的内部调用: A. IT管理员根据需要负责计算机在公司内的调用,并按要求组织计算机的迁移 或调换。 B. 计算机在公司内调用,IT管理员应做好调用记录,《调用记录单》经副总经理 签字认可后交IT管理员存档。 8.计算机报废: A. 计算机报废,由使用部门提出,IT管理员根据计算机的使用、升级情况,组 织鉴定,同意报废处理的,报部门经理批准后按《固定资产管理规定》到财 务部办理报废手续。 B. 报废的计算机残件由IT管理员回收,组织人员一次性处理。 C. 计算机报废的条件:1)主要部件严重损坏,无升级和维修价值;2)修理或 改装费用超过或接近同等效能价值的设备。 三、环境管理 1.计算机的使用环境应做到防尘、防潮、防干扰及安全接地。 2.应尽量保持计算机周围环境的整洁,不要将影响使用或清洁的用品放在计算机 周围。 3.服务器机房内应做到干净、整洁、物品摆放整齐;非主管维护人员不得擅自进 入。 四、软件管理和防护 1.职责: A. IT管理员负责软件的开发购买保管、安装、维护、删除及管理。 B. 计算机负责人负责软件的使用及日常维护。 2.使用管理: A. 计算机系统软件:要求IT管理员统一配装正版Windows专业版,办公常用办
移动存储介质管理制度 为进一步加强深圳市德信诚经济咨询有限公司保密移动存储介质的管理,确保秘密安全,根据《中华人民共和国保守国家秘密法》等法律法规,结合公司实际,制定本管理制度。 本制度所称移动存储介质,是指用于存储企业秘密信息的硬盘、软盘、U盘、光盘、磁带、存储卡等存储介质。 一、本单位移动存储设备要进行编号,不得借于他人使用,若需借于他人的,必须征得单位领导同意,并进行借还时间、借用人、审批人等详细登记。 二、新购计算机、移动存储等设备,要先进行保密标识和登记,再发放使用。 三、涉密移动存储介质不得在高于其标识密级的涉密设备上使用;禁止在非涉密设备上使用。 四、使用光盘备份的保密数据要登记编号,分类存放。 五、非本单位的移动存储设备一律不得和涉密计算机连接。 六、单位的涉密移动存储设备处理办法如下: 移动储存介质按涉密级别可以份为机密级、秘密级等。机密级、秘密级信息应存储在对应密级的移动存储介质内,其中高密级的移动存储介质可存储低密级信息。 涉密移动存储介质只能在本单位涉密计算机和涉密信息系统内使用,高密级的存储介质不得在低等密级系统中使用;严禁在与互联网连接的计算机和个人计算机上使用;严禁借给外单位使用。 涉密移动存储介质在单位内部部门之间相互借用或复制时,秘密级的由涉密移动存储介质管理部门主要负责人批准,机密级的须经单位主管领导批准,对借用或复制介质的密级、编号和使用的内容要履行严格的登记手续。 涉密移动存储介质只能在本单位办公场所使用,确因工作需要带出办公场所的,秘密级的经本部门主管领导批准,机密级的须经本单位主管领导批准,并履行相关手续和采取严格的保密措施。 机关工作人员严禁将个人具有存储功能的电磁存储介质和电子设备带入核心和重要涉密场所。涉密移动存储介质的保存必须选择安全保密的场所和部位,存放在保密设备里。 各部门每半年要对涉密移动存储介质进行一次清查、核对;工作人员离职前必须将所保管、使用的涉密移动存储介质全部退回。
×××公司涉密计算机和移动存储介质保密管理规定 第一章总则 第一条为规范×××公司涉密计算机、移动存储介质的管理,确保国家秘密、企业商业秘密安全,根据国家保密法规,制定本规定。 第二条本规定所称的涉密计算机是指处理、存储涉密信息的台式电脑和笔记本电脑。 本规定所称的涉密移动存储介质,是指专门用于存储国家秘密和企业商业秘密信息的移动介质,包括但不限于U盘。 第三条涉密计算机及涉密移动存储介质的管理,遵循“统一购置、统一编号、统一备案、跟踪管理、集中报废”的原则,严格控制发放数量和范围。 第四条×××公司保密委员会对×××公司本部及各所属单位负有指导、监督、检查职责。本部有关部门及各各所属单位负责人对本部门、本单位执行本规定负有指导、监督、检查职责。 第五条本规定适用于×××公司本部及各所属单位 第二章配发与安装 第六条×××公司有关部门使用的涉密计算机和涉密移动存储介质,由×××公司办公室(保密办公室)根据工作需要统一申请、统一购置、统一配发,各所属单位使用的涉密计算机和涉密移动存储介质由本单位保密办根据工作需要统一申请、统一购置、统一配发。购置的涉密计算机和涉密移动存储介质,应符合国家保密局的有关技术标准和要求。 第七条涉密计算机和涉密移动存储介质配发前,需在显眼位置粘贴红色密级标识,密级标识应包括设备的密级加五角星(如机密★、秘密★)、编号、部门、管理人员、使用人员、启用日期等要素,涉密计算机需安装符合国家保密标准要求的保密技术防护系统(简称“三合一”系统),并建立管理台账,登记备案。 第八条涉密计算机软、硬件由保密办负责统一安装,其他部门和个人不得私自安装。需要安装时应由保密办负责安装软件,并逐一进行登记。 第九条涉密计算机必须安装和启用具有实时监控功能的病毒防护软件和木马查杀软件,并定期进行计算机漏洞扫描,发现漏洞,及时修补。未经病毒检测的软件和数据禁止在涉密计算机上使用。 第十条涉密计算机安装时不允许进行各种形式的有线及无线的网络连接(包括与电话线、传真机连接),不允许使用无线功能的键盘、鼠标进行操作。 第十一条涉密计算机所在的场所,应采取必要的安全防护措施和保密提示,严禁无关人员使用涉密计算机。
移动存储设备管理制度 移动存储设备应用广泛便利,同时也带来了信息外泄的安全威胁。归纳移动存储设备的隐患主要表现在:1、移动存储设备具有随意复制计算机内文件的功能;2、移动存储设备易丢失导致信息泄漏;3、移动存储设备的被删除文件可轻易恢复并被窃取;4、移动存储设备易感染和传播计算机病毒。针对移动存储设备的隐患及原因,为了更好对移动存储设备做到安全管控,制定以下制度。 第一章设备管理 第一条移动存储介质的管理应遵循“统一购买、统一标识、登记注册、集中管理、责任到人”的原则。 第二条一律禁止私人携带移动存储设备进入办公区域,移动设备包括但不限于U盘、移动硬盘、数据相机、存储卡、带拍照和存储功能的手机等。 第三条涉密移动存储介质由单位指定的相关部门负责统一购买,所购置的设备必须为正规厂商生产的合格产品。 第四条公司建立统一的移动存储设备资料库,记录设备的密级、用途、硬件特征码、管理部门、责任人等信息备查,涉密移动存储介质应在显著位置粘贴密级标识。所标密级应按其所存储信息的最高密级进行标识。 第五条公司建立移动存储设备发放流程,由专人负责设备发放工作,需要使用移动存储设备的部门或者个人需提出申请,并说明用途,到行政部领用。 第六条移动存储设备损坏不得擅自拆卸,严禁将损坏涉密移动存储介质出售或随意丢弃,应立即交回行政部统一处理。 第七条涉密移动存储介质严禁外送维修,确需维修需经公司主管领导批准,维修时应在公司指派人员的监督下进行。 第八条不再使用或报废的涉密移动存储介质,应交回行政部,采取保密技术手段确保其所存储信息不可恢复或进行物理销毁。销毁涉密移动存储介质须经公司领导批准,并履行登记、相关人员签字等手续。 第二章内部使用 第一条公司内部只能使用由公司统一派发的移动存储设备,严禁外来移动存储设备在公司内使用,确因工作需要须到指定专用计算机上使用。 第二条公司信息安全管理员对涉密移动存储介质要定期进行保密技术检查,随时掌握每个移动存储设备的工作状态,监控设备使用过程。 第三条涉密移动存储介质严禁在与国际互联网相连接的计算机上使用,严禁使用非涉密移动存储介质存储、处理保密信息。 第四条涉密计算机应具备移动存储识别能力,可由信息安全管理员或者计算机使用者设定,只允许合法的移动存储设备在特定涉密计算机上使用。 第五条涉密移动存储介质不得降低密级使用,严禁将涉密移动存储介质进行重新格式化或删除信息等方式后,作为普通存储介质使用。 第六条公司移动存储设备严禁外借,严禁将涉密移动存储介质交与责任人以外的其他人员或者亲属使用。 第七条移动存储介质存储的数据必须与密级相符,禁止通过移动存储介质将涉
一、目的: 为防止公司重要资料文件通过移动存储设备丢失或泄露出去。为防止病毒通过外部移动存储设备侵入公司。 二、适用对象: 公司全体员工。 移动存储设备管理使用制度 一、设备管理: 1、移动存储设备的管理应遵循“统一购买、统一标识、责任到人”的原则。 2、一律禁止使用私人移动存储设备,移动设备包括U盘、移动硬盘、数码相机、 存储卡等。 3、移动存储设备由公司指定的相关部门负责统一购买,所购置的设备必须为正规 厂商生产的合格产品。 4、信息技术部门建立统一的移动存储设备资料库,记录设备规格型号,设备用 途、管理部门、责任人等信息备查。 5、移动存储设备损坏不得擅自拆卸,严禁将损坏的移动存储设备出售或随意丢 弃,应立即交回信息技术部门统一处理。 6、装有公司重要数据资料的移动存储设备严禁外送维修,确需维修需经部门主管 领导批准,维修时信息技术部门或使用部门应派人监督。 7、不再使用或报废的移动存储设备,应交回信息技术部门,采取相关技术手段确 保其所存储信息不可恢复或进行物理销毁。销毁装有重要资料的移动存储设备须经公司领导批准,并履行登记、相关人员签字等手续。 二、内部使用: 1、公司内部只能使用由公司统一购买的移动存储设备,严禁外来移动存储设备在 公司内使用
2、对装有重要数据资料的移动存储设备,使用人要定期交信息技术部门进行检 查,以便随时掌握每个移动存储设备的工作状态,监控设备使用过程。如因未定期提交检查而导致数据丢失的,由使用人负责。 3、装有重要数据资料的移动存储设备尽量不要在与互联网相连接的计算机上使 用。 4、计算机移动存储接口(USB端口或其他接口)应按照要求做对应的限制,不允 许所有计算机都开放USB端口。各部门应根据需求另行申请开通或者关闭 5、公司测试相关产品数据的电脑原则上不接入网络(如测试中心电脑,化成柜电 脑等),相关数据只能通过移动存储设备拷贝,用于测试产品数据拷贝的移动存储设备建议采用安全加密的移动存储设备,如果采用普通移动存储设备,要求每次使用前都必须进行病毒检查。 6、公司的移动存储设备严禁外借,严禁将装有重要资料的移动存储设备交与责任 人以外的其他人员或者亲属使用。 7、禁止通过移动存储设备将重要数据资料拷贝在家用电脑或其他公司电脑上。 8、人员离职离岗前,要将其保管的移动存储设备全部退回,并办理相关移交手 续。 三、设备外带: 1、移动存储设备原则上不得带离公司使用,如确因工作需要需带离公司的,须经 部门领导批准,并确保设备里面并无公司重要的资料信息。 2、设备带回后应交由信息技术部确认并作病毒木马扫描等日常处理,方可实行联 机操作,接入单位内部使用。 3、从其他公司通过移动存储设备带回本公司的数据必须经过安全验证,确保并无 病毒木马等方可拷入公司内部使用。 本规定自2011年3月1日起实施,解释权归信息技术部。
信息安全管理系统的规范 第二部分:信息安全管理系统的规范 1 1. 范围 BS 7799的这个部分指明了对建立、实现和文档化信息安全管理系统(ISMSs)的需求。它指明了将要按照个别机构的需要而实现的安全控制的需求。 注:第一部分给出了对最佳惯例的推荐建议,这些惯例支持该规范中的需求。BS 7799的这个部分的条款4给出的那些控制目标和控制来自于BS 7799-1:1999并与改部分的内容保持一致。 2. 术语与定义 为了BS 7799的这个部分,BS 7799-1给出的定义适用于该部分,并有以下专用术语: 2.1 适用性说明 适用于机构的安全要求的目标和控制的批评。 3.信息安全管理系统的要求 3.1概要 机构应建立及维护一个信息安全管理系统,目的是保护信息资产,订立机构的风险管理办法、安全控制目标及安全控制,以及达到什么程度的保障。 3.2建立一个管理框架 以下的步骤是用来找出及记录安全控制目标及安全控制的(参看图一): a) 应定义信息安全策略; b) 应定义信息安全管理系统的范围,定义范围可以是机构的特征、位置、资产及 技术;
c) 应进行合适的风险评估。风险评估应确认对资产的安全威胁、漏洞及对机构的 冲击,从而定出风险的严重程度; d) 根据机构的信息安全策略及所要求达到的保障程度定出要管理的风险; e) 从以下第四条款选出机构要实现的安全控制目标及要实施的安全控制; f) 应准备一份适用性声明书,说明选出哪些安全控制目标及安全控制以及选择的 原因。 以上步骤应定期重复,确定系统的适用性。 2 3.3实施 选出的安全控制目标及安全控制应由机构有效地执行,实施控制的执行程序是否有效应根据4.10.2的规定进行检查。 3.4文档 信息安全管理系统的说明文档应包括以下信息: a) 按照3.2所定的步骤实现的证据; b) 管理架构的总结,其中包括信息安全策略、在适用性声明书所提及的安全控制 目标和已经实现的安全控制; c) 为了实现3.3所指定的控制而采用的程序;这些程序应该刻画责任以及相关行 动; d) 覆盖该ISMS中的管理和操作的程序,这些程序应该指出有哪些责任及其有关
移动设备使用安全管理办法 (标准版) Safety management refers to ensuring the smooth and effective progress of social and economic activities and production on the premise of ensuring social and personal safety. ( 安全管理) 单位:_______________________ 部门:_______________________ 日期:_______________________ 本文档文字可以自由修改
移动设备使用安全管理办法(标准版) 一、总则 (一)为了加强我司计算机信息网络系统的安全管理,保证我司移动设备办公安全,结合我司笔记本电脑使用实际情况、制定本办法。 (二)凡配备或使用公用笔记本电脑及移动存储设备的人员,务必遵守此管理办法。 二、移动设备安全使用规定 (一)移动设备范畴:笔记本、移动硬盘、U盘等存储设备。 (二)笔记本电脑必须设置开机密码,公用笔记本开机密码统一设置为123借用人不得随意修改。
(三)笔记本电脑必须设置硬盘加密,防止丢失带来损失,目前只支持WIN7旗舰版,总部公用笔记本电脑硬盘密码统一设置为1232014。 (四)公用笔记本电脑资料请不要放在桌面及C盘,可放置D、E等盘,公用笔记本重启后将进行还原,桌面资料及安装软件将进行清除,以保证电脑为最新状态。如果有特殊原因需要长期使用,可向系统管理员申请取消还原功能,使用完成后自行卸载安装软件并删除文件。 (五)笔记本电脑上网用户必须安装杀毒软件并且注意更新 病毒,定期清查计算机病毒,防止笔记本电脑中的病毒到处传播。 (六)凡是存放有我司资料的移动存储设备均需要进行加密,防止丢失带来不可预计的损失。 三、移动设备的使用及注意事项 (一)笔记本需注意使用环境,特别要注意远离饮料和食品。 (二)在开关机时不要急于移动笔记本,应注意防震,否则硬盘容易损坏。
区政协办公室 移动存储介质保密管理制度 (一)本制度所称的计算机外存储器,是指可移动的计算机信息存储器,包括计算机的软盘、U盘、光盘等。 (二)处理秘密事项的计算机外存储器,必须定密。其定密的法定程序与纸介质的秘密文件资料定密方法相同。其密级按所存储信息的最高密级确定标志。 (三)涉密信息原则上不存储在计算机硬盘上。存储于外存储器上重要的涉密信息必须进行备份,备份盘与正式盘同样定密同等管理。 (四)存储秘密信息的外存储器,应在显眼位置贴上或标明“绝密”、“机密”、“秘密”等相应密级的记号,并标明“严禁拷贝”字样,按相应的密级文件加强管理。 (五)存储过秘密信息的外存储器,不得降低密级使用,不得与存储普通信息的外存储器混用。 (六)新启用存储涉密信息的外存储器或使用外来外存储器,必须进行安全检查和杀病毒处理。 (七)涉密的外存储器应统一登记编号,由单位保密员统一管理,平时应放在电脑密码文件柜内,不得随意乱放。
(八)重要的涉密信息存储采用磁盘信息加密技术。磁盘信息加密技术可分为文件名加密、目录加密、程序加密、数据库加密和整盘加密等,具体应用可视磁盘信息的保密强度要求而定。 (九)涉密的外存储器原则上不得外借,确需借阅某些文件、资料时,应经主要领导批准,办理登记手续。外借使用专用的外借盘,外借盘要标明“严禁拷贝”字样,借阅的文件、资料内容由负责保管的保密员拷贝到外借盘上。归还的外借盘除办理归还手续外,还要及时清除盘内的文件、资料,并对磁盘进行杀病毒处理。 (十)涉密磁盘信息清除采用交流消磁法。可使用国家有关部门研制的磁盘消磁设备消磁,以防涉密信息泄漏。 (十一)涉密的外存储器销毁要经主要领导批准,并进行注销登记,可采用软盘、光盘粉碎机碾碎或敲烂后丢进焚化炉熔化。如果本单位没有条件进行处理,应集中交到保密工作部门进行处理。 (十二)对违反保密制度,丢失外存储器造成泄密的,将依照保密法规定追究有关人员的责任。
网络数据和信息安全管 理规范 IMB standardization office【IMB 5AB- IMBK 08- IMB 2C】
X X X X有限公司 WHB-08 网络数据和信息安全管理规范 版本号: A/0 编制人: XXX 审核人: XXX 批准人: XXX 20XX年X月X日发布 20XX年X月X日实施
目的 计算机网络为公司局域网提供网络基础平台服务和互联网接入服务。为保证公司计算机信息及网络能够安全可靠的运行,充分发挥信息服务方面的重要作用,更好的为公司运营提供服务,依据国家有关法律、法规的规定,结合公司实际情况制定本规定。 术语 本规范中的名词术语(比如“计算机信息安全”等)符合国家以及行业的相关规定。 计算机信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法系统辨识,控制。即确保信息的完整性、保密性、可用性和可控性。包括操作系统安全、数据库安全、病毒防护、访问权限控制、加密与鉴别等七个方面。 狭义上的计算机信息安全,是指防止有害信息在计算机网络上的传播和扩散,防止计算机网络上处理、传输、存储的数据资料的失窃和毁坏,防止内部人员利用计算机网络制作、传播有害信息和进行其他违法犯罪活动。 网络安全,是指保护计算机网络的正常运行,防止网络被入侵、攻击等,保证合法用户对网络资源的正常访问和对网络服务的正常使用。 计算机及网络安全员,是指从事的保障计算机信息及网络安全工作的人员。 普通用户,是指除了计算机及网络安全员之外的所有在物理或者逻辑上能够访问到互联网、企业计算机网及各应用系统的公司内部员工。 主机系统,指包含服务器、工作站、个人计算机在内的所有计算机系统。本规定所称的重要主机系统指生产、办公用的Web服务器、Email服务器、DNS服务器、OA服务器、企业运营管理支撑系统服务器、文件服务器、各主机系统等。 网络服务,包含通过开放端口提供的网络服务,如WWW、Email、FTP、Telnet、DNS等。有害信息,参见国家现在法律法规的定义。
企业信息安全保密管理办法 1.目的作用 企业内部的“信息流”与企业的“人流”、“物流”、“资金流”,均为支持企业生存与发展的最基本条件。可见信息与人、财、物都是企业的财富,但信息又是一种无形的资产,客观上使人们利用过程中带来安全管理上的困难。为了保护公司的利益不受侵害,需要加强对信息的保密管理,使公司所拥有的信息在经营活动中充分利用,为公司带来最大的效益,特制定本制度。 2.管理职责 由于企业的信息贯穿在企业经营活动的全过程和各个环节,所以信息的保密管理,除了领导重视而且需全员参与,各个职能部门人员都要严格遵守公司信息保密制度,公司督察部具体负责对各部门执行情况的检查和考核。 3.公司文件资料的形成过程保密规定 拟稿过程 拟稿是文件、资料保密工作的开始,对有保密要求的文件、资料,在拟稿过程应按以下规定办理: 初稿形成后,要根据文稿内容确定密级和保密期限,在编文号时应具体标明。 草稿纸及废纸不得乱丢,如无保留价值应及时销毁。 文件、资料形成前的讨论稿、征求意见稿、审议稿等,必须同定稿一样对待,按保密原则和要求管理。 印制过程 秘密文件、资料,应由公司机要打字员打印,并应注意以下几点:要严格按照主管领导审定的份数印制,不得擅自多印多留。 要严格控制印制工程中的接触人员。 打印过程形成的底稿、清样、废页要妥善处理,即使监销。 复制过程 复制过程是按照规定的阅读范围扩大文件、资料发行数量,要求如下:复制秘密文件、资料要建立严格的审批、登记制度。 复制件与正本文件、资料同等密级对待和管理。 严禁复制国家各种秘密文稿和国家领导人的内部讲话。
绝密文件、资料、未经原发文机关批准不得自行复制。 4.公司文件资料传递、阅办过程保密规定 收发过程 收进文件时要核对收件单位或收件人,检查信件封口是否被开启。 收文启封后,要清点份数,按不同类别和密级,分别进行编号、登记、加盖收文章。 发文时要按照文件、资料的类别和文号及顺序号登记清楚去向,并填写好发文通知单,封面要编号并加盖密级章。 收发文件、资料都要建立登记制度和严格实行签收手续。 递送过程 企业内部建有文件、资料交换站的,可通过交换站进行,一律直送直取。 递送外地文件、资料,要通过机要交通或派专人递送。 凡携带秘密文件、资料外出,一般要有两人以上同行,必须装在可靠的文件包或箱内,做到文件不离人。 递送的秘密文件、资料,一律要包装密封,并标明密级。 阅办过程 呈送领导人批示的文件、资料、应进行登记。领导人批示后,要及时退还或由经管文件部门当日收回。 领导人之间不得横向传批文件、不得把文件直接交承办单位(人)。凡需有关部门(人)承办的文件、资料,一律由文件经管部门办理。 绝密文件、资料,一般不传阅,应在特别设立的阅文室内阅读。 秘密文件、资料,不得长时间在个人手中保留,更不能带回家或公共场所。 要控制文件、资料阅读范围,无关人员不能看文件、资料。 5.公司文件资料归档、保管过程中的保密规定 归档过程 秘密文件、资料在归档时,要在卷宗的扉页标明原定密级,并以文件资料中最高密级为准。 不宜于保留不属于企业留存的“三密”文件、资料,要及时清理上交或登记销毁,防止失散。 有密级的档案,要按保密文件、资料管理办法进行管理。 保密过程
移动存储设备保密管理规定 为加强我公司移动存储设备保密管理,保障计算机信息系统和公司秘密的安全,针对当前移动存储设备在使用管理工作中存在的突出问题和薄弱环节,制定本规定。 一、本规定所称涉密移动存储设备,是指用于存储国家秘密信息的移动硬盘、软盘、优盘、光盘、磁带、存储卡等存储设备。 二、涉密移动存储设备实行登记管理。移动存储设备不得在涉密信息系统和非涉密信息系统间交叉使用,涉密移动存储设备不得在非涉密信息系统中使用;严禁使用含有无线网卡、无线鼠标、无线键盘等具有无线互联功能的设备处理涉密信息。 三、涉密移动存储设备只能在本公司涉密计算机和涉密信息系统内使用,高密级的存储设备不得在的密级系统中使用;严禁在与互联网连接的计算机和个人计算机上使用;严禁借给外单位使用。 四、移动存储设备在接入本单位计算机信息系统之前,要查杀病毒、木马等恶意代码;鼓励采用密码技术等对移动存储设备中的信息进行保护。 五、严禁将涉密存储设备带到与工作无关的场所。工作人员严禁将个人具有存储功能的电磁存储设备和电子设备
带入核心和重要涉密场所。 六、工作人员离开办公场所,必须将涉密移动存储设备存放到保密设备里。 七、各部门领取移动存储设备须填写《移动存储设备领用表》,信息部每个月对分发给有关部门的涉密移动存储设备进行一次清查、核对;发现丢失的要及时查处。工作人员离职前必须将所保管、使用的涉密移动存储设备全部退回。 八、需要归档的涉密移动存储设备,应按相关规定归档。 九、涉密移动存储设备的销毁,由网络信息部和办公室统一登记造册,并经单位主管领导批准后,送到总经办集中销毁,任何个人不得擅自销毁。 十、违反本规定泄露公司机密的,按照有关规定给予直接责任人和有关领导行政或者经济处分;构成犯罪的,移交司法机关,依法追究刑事责任。 2012年2月14日
信息安全管理规范1 1.0目的 为了预防和遏制公司网络各类信息安全事件的发生,及时处理网络出现的各类信息安全事件,减轻和消除突发事件造成的经济损失和社会影响,确保移动通信网络畅通与信息安全,营造良好的网络竞争环境,有效进行公司内部网络信息技术安全整体控制,特制定本规范。 2.0 适用范围 本管理规范适用于四川移动所属系统及网络的信息安全管理及公司内部信息技术整体的控制。 3.0 信息安全组织机构及职责: 根据集团公司关于信息安全组织的指导意见,为保证信息安全工作的有效组织与指挥,四川移动通信有限责任公司建立了网络与信息安全工作管理领导小组,由公司分管网络的副总经理任组长,网络部分管信息安全副总经理任副组长,由省公司网络部归口进行职能管理,省公司各网络生产维护部门设置信息安全管理及技术人员,负责信息安全管理工作,省监控中心设置安全监控人员,各市州分公司及生产中心设置专职或兼职信息安全管理员,各系统维护班组负责系统信息安全负责全省各系统及网络的信息安全管理协调工作。 3.1.1网络与信息安全工作管理组组长职责: 负责公司与相关领导之间的联系,跟踪重大网络信息安全事
件的处理过程,并负责与政府相关应急部门联络,汇报情况。 3.1.2网络与信息安全工作管理组副组长职责: 负责牵头制定网络信息安全相关管理规范,负责网络信息安全工作的安排与落实,协调网络信息安全事件的解决。 3.1.3省网络部信息安全职能管理职责: 省公司网络部设置信息安全管理员,负责组织贯彻和落实各项安全管理要求,制定安全工作计划;制订和审核网络与信息安全管理制度、相关工作流程及技术方案;组织检查和考核网络及信息安全工作的实施情况;定期组织对安全管理工作进行审计和评估;组织制定安全应急预案和应急演练,针对重大安全事件,组织实施应急处理 工作及后续的整改工作;汇总和分析安全事件情况和相关安全状况信息;组织安全教育和培训。 3.1.4信息安全技术管理职责: 各分公司、省网络部、省生产中心设置信息安全技术管理员,根据有限公司及省公司制定的技术规范和有关技术要求,制定实施细则。对各类网络、业务系统和支撑系统提出相应安全技术要求,牵头对各类网络和系统实施安全技术评估和工作;发布安全漏洞和安全威胁预警信息,并细化制定相应的技术解决方案;协助制定网络与信息安全的应急预案,参与应急演练;针对重大安全事件,组织实施应急处理,并定期对各类安全事件进行技术分析。
关于下发《**电信公司信息安全管理八项制度 (试行)》的通知 县级分公司、公司各部门: 根据中电信黑[2011] 793 号《黑龙江电信信息安全管理八项制度(试行)》,制定了《**电信公司信息安全管理八项制度(试行)》,请认真遵照执行。并将执行过程中出现的新情况,新问题及时反馈至运行维护部。 各相关职能部门要按照本制度规范尽快落实本部门的信息安全工作及责任人。 附件 1:**电信公司业务经营、合作的信息安全评估保障制度 附件 2:**电信公司违法违规信息应急处置流程 附件 3:**电信公司信息安全工作(资金、人员)保障制度
附件 4:**电信公司信息安全管理考核和奖惩制度附件 5:**电信公司信息安全技术保障制度 附件 6:**电信公司信息安全事件报告制度 附件 7:**电信公司信息安全事件应急处置制度附件 8:**电信公司信息安全组织机构管理制度
附件 1: **电信公司基础业务经营、合作的 信息安全评估保障制度 一、公司产品内容上线前应当由专人对相关内容的合法合规性进行审核,做到先审后发,产品中未通过审核的相关内容不得上线运营。需要审核的产品内容包括但不仅限于各产品中以公司名义对外发布的以及客户通过公司自营网站对外发布的图片、文字、流媒体等信息内容。 二、公司自营网站、自营业务业务板块或栏目新增、变更,须经各级公司部门负责人同意,报公司分管领导审批。 三、与合作方(含代收费)进行业务合作前,各部门业务运营部门(中心)应当严格审核其电信业务经营许可证或备案许可证、营业执照等经营资质材料,对其身份信息当面核验、留存有效证件复印件并报公司信息安全业务管理部门复核。在签订合作协议时,必须要求合作方签订《信息安全承诺书》,明确其负责合作涉及业务的信息安全,约定信息安全考核制度和违法违规处罚标准。 四、合作业务涉及合作方需进行 IP 地址和域名备案的, 在业务开通前,必须要求合作方出具 IP 地址和域名已经备案 的书面证明函件。
中国移动通信有限公司移动存储介质管理 暂行办法 第一章总则 第一条为规范中国移动通信有限公司移动存储介质管理,防止通过移动存储介质泄露公司秘密,以及传播病毒、蠕虫等恶意软件,特制定本办法。 第二条移动存储介质指可与计算机或业务设备连接、进行重复的数据导入导出(以后简称“数据交换”)的设备,如:USB硬盘、PDA、带USB接口的MP3播放器、具备USB接口的电子盘(优盘)、Compact Flash卡、Secure Digital卡、记忆棒(MemoryStick)、手机存储卡、磁盘等各种具备存储功能并且便于携带的介质。 第三条根据所有者,移动存储介质分为三类:专用移动存储介质、个人移动存储介质和外部移动存储介质。专用移动存储介质指公司配置的、专用于在生产网络中导入、导出数据的移动存储介质;个人移动存储介质指公司员工用于办公的移动存储介质;外部移动存储介质指非公司员工持有的移动存储介质。 第四条本办法适用于中国移动所有需要采用移动存储介质导入、导出数据的通信网、业务系统、支撑系统等网络基础设施(以下简称“生产网络”)。在其它环境中,也可以参照本办法进行移动存储介质管理。 第五条纸质文档、备份磁带、光盘不在本规定范围内管理。 第二章移动存储介质管理 第一节专用移动存储介质的管理 第六条角色定义 (一)专用介质使用者 系统维护人员经所在生产单位领导授权后,能使用专用移动存储介质的人员简称专用介质使用者。授权期限最长为一年。(“专用移动存储介质使用授权表”
参见附件一) (二)专用介质管理员 各级生产单位应指定专人负责专用移动存储介质的管理,其职责包括保管专用移动存储介质和移动存储介质使用授权表,并负责登记专用移动存储介质的使用记录。负责专用移动存储介质管理的人员简称专用介质管理员。 第七条专用移动介质管理要求 (一)生产网络如需通过移动存储介质交换数据,应配置若干个专用的移动存储介质。专用移动存储介质应使用质量可靠、售后服务好的产品。 (二)专用移动存储介质只适用于进行临时的数据导入导出,不能作为数据的日常保存介质。 (三)专用移动存储介质要妥善保管,丢失、损坏后要及时上报、登记备案。 (四)专用移动存储介质上应设置有标识,标明以下信息:编号、用途、管理员姓名、联系电话等。 (六)因公务需要,专用介质使用者需要携带专用移动存储介质外出时,必须经所在生产单位领导审批同意。 (七)专用移动存储介质不再使用时,必须有专用介质管理员进行2次以上数据填充和格式化后方可报废或进行物理销毁。 第八条数据交换专用终端管理要求 (一)生产网络中应指定若干台终端用作与专用移动存储介质连结,该终端简称数据交换专用终端。数据交换专用终端应尽可能选择监控或查询终端等非核心控制终端。 (二)数据交换专用终端必须安装防病毒软件,并保证病毒代码,以及操作系统补丁均及时更新。应对防病毒软件进行设置,保证实时监控接入的移动存储介质。 (三)数据交换专用终端应设置禁止移动存储介质自动运行。(“禁用U盘自动运行的操作指南”参见附件二)。 (四)数据交换专用终端应设置有标识,标明以下信息:用途、管理员姓名、联系电话等。 (五)非数据交换专用终端应严禁连接移动存储介质,系统管理人员应通过