ISO27001信息安全管理体系三级文件汇编（策略文件）.docx

《ISO27001信息安全管理体系三级文件汇编（策略文件）.docx》由会员分享，可在线阅读，更多相关《ISO27001信息安全管理体系三级文件汇编（策略文件）.docx（31页珍藏版）》请在第一文库网上搜索。

1、S027001信息安全管理体系三级文件一策略文件文件清单序号文件名1信息备份安全策略2信息安全监控策略3信息资源保密策略4变更管理安全策略5口令控制策略6可移动代码防范策略7清洁桌面和清屏策略8物理访问策略9特权访问管理策略10电子邮件策略11病毒防范策略12第三方访问策略13网络访问策略14网络配置安全策略15设备及布缆安全策略16访问控制策略17运输中物理介质安全策略18雇员访问策略19密钥管理策略20便携式计算机安全策略21远程工作策略22即时通软件使用策略23服务器托管策略24信息交换策略25计算机安全策略信息备份安全策略发布部门信息安全小组生效时间2021-9-1批准人文件编号ISM

2、S-C-01介绍电子备份是一项必需的业务要求，能使数据和应用程序在发生意想不到的事件时得以恢复，这些事件包括：自然灾害、系统磁盘故障、间谍活动、数据输入错误或系统操作错误等。目的该策略的目的是设置电子信息的备份和存储职责。适用范围该策略适用于组织中负责信息资源安装和支持的所有人员，以及负责信息资源安全的人员和数据所有者。术语定义略信息备份安全策略 信息备份周期和方式必须依据信息的重要性以及数据所有者确定的可接受风险确定； 场所外备份存储区的物理访问控制的实施必须满足并超过原系统的物理访问控制，另外备份介质必须依据信息存储的最高安全等级进行保护； 必须建立并实施对电子信息备份成功与否的验证过程；

3、 为了容易识别介质和/或关联系统，备份介质至少应该被标注下列信息：令系统名；令创建日期；令敏感度分级以相应的电子记录保持法规为基础;令包含的信息。惩罚违背该策略可能导致：员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除；另外，这些人员还可能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉。引用标准略信息安全监控策略发布部门信息安全小组生效时间2021-9-1批准人文件编号TSMS-C-02介绍信息安全监控是确保安全实践和控制被恰当执行和有效实施的一种方法，监控活动包括对下列内容的评审：令防火墙日志令用户帐户日志令网络扫描FI志令应用程序FI志

4、令数据备份和恢复日志其他类型的口志以及出错口志.目的该策略是为了确保信息资源控制措施被适当、有效地实施并且不被忽视。安全监控的其中一个好处就是较早的发现破坏行为或新的薄弱点。这样会有助于在破坏发生前阻止破坏行为或薄弱点，最起码能够减小潜在的影响。其他好处包括：审核符合性、服务层监控、业绩测量、划定责任以及容量策划。适用范围适用于负责信息资源安全、现有信息资源的操作以及负责信息资源安全的所有人员。术语定义略信息安全监控策略 自动检测工具会对检测到的破坏行为或薄弱点利用进行实时通知。在可能的地方可以开发安全底线和工具，监控：令互联网通信令电子邮件通信令 局域网通信、协议以及设备清单令操作系统安全参

5、数 在检查破坏行为以及薄弱点被利用情况时可以使用下列文件：令防火墙日志令用户帐户日志网络扫描口志令系统出错日志令应用程序日志令数据备份和恢复日志 下列内容应该由负责的人员每年至少检查一次：令 口令的难猜测程度令未经授权的网络设备令 未经授权的个人网络服务器未受保护的共享设备未经授权使用的调制解调器令操作系统和软件许可 发现的任何问题都应该向总经理办公室报告，进行进一步的调查。惩罚违背该策略可能导致：员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会。另外，这些人员还可能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉。引用标准略信息资源保密策略发布部门信息

6、安全小组生效时间2021-9-1批准人文件编号ISMS-C-03介绍保密策略是用于为信息资源用户建立限制和期望的机制。内部用户不期望信息资源保密。外部用户期望信息资源拥有完整的保密性，除了在发生可疑的破坏行为的情况下。目的该策略的目的是明确的沟通信息资源用户的信息服务保密期望。适用范围该策略适用于使用信息资源的所有人员。术语定义略信息资源保密策略 在公司内部保存和控制的电子文件应该公开，并且可以被信息服务人员访问； 为了管理系统并加强安全，信息安全小组可以记录、评审，同时也可以使用其信息资源系统中存储和传递的任何信息。 用户必须向适当的管理者报告公司内部计算机安全的任何薄弱点，可能的误用事故或

7、者相应授权协议的违背情况； 在未经授权或获得明确同意的情况下，用户不可以尝试访问公司内部系统中包含的任何数据或程序。惩罚违背该策略可能导致：员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除；另外，这些人员还可能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉。引用标准略变更管理安全策略发布部门信息安全小组生效时间2021-9-1批准人文件编号ISMS-C-04介绍信息资源基础设施正在逐步扩大并且越来越复杂。越来越多的人依赖网络、更多的客户服务机构、未升级和扩展的管理系统以及更多应用程序。由于信息资源基础设施之间的互相依赖程度越来越高，因此有必

8、要加强变更管理过程。有时每一个信息资源组成部分需要暂停运行，按计划进行升级、维护或调整，另外也可能由于为计划的升级、维护或调整而导致暂停运行。管理这些变更是提供坚固的、有价值的信息资源基础设施的关键组成部分。目的该策略的目的是以一种合理的、可预知的方式管理变更，以便员工和客户能进行相应的计划。变更需要事先严格计划、仔细监控并要进行追踪评价，以降低对用户群的负面影响，增加信息资源的价值。适用范围该策略适用于安装、操作或维护信息资源的所有人员。术语定义略变更管理安全策略 对信息资源的每一次变更，如操作系统、计算机硬件、网络以及应用程序都要服从变更管理策略，并且必须遵守变更管理程序； 所有影响计算机

9、环境设备的变更（如空调、水、热、管道、电）需要向变更管理过程的领导者报告，并与之协调处理； 无论是事先有计划的变更还是事先无计划的变更必须都提父书面的变更申请； 所有事先有计划的变更申请必须按照变更管理程序的规定提交，以便变更管理委员会有足够的时间评审申请，确定并重新评审潜在的失败，并决定申请被批准还是延期执行； 每一个事先计划的变更申请在执行前必须受到变更管理委员会的正式批准； 指定的变更管理委员领导在下列情况下有权拒绝任何申请：不充分的策划、不充分的删除计划、变更的时间等会对关键的业务过程造成负面影响，或者会造成没有充分的资源可用； 在变更管理程序实施前，必须完成对所有客户的通知； 每一次

10、变更必须进行变更评审，无论是计划还是未计划的，成功的还是失败的； 所有变更必须保留变更管理日志，必须保留的日志包括但不限于下列内容：令 变更的提交和执行口期；令所有者和保管者信息；令变更的特性；令成功或失败的标志。 所有信息系统必须遵照上述规定进行信息资源的变更。惩罚违背该策略可能导致：员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除；另外，这些人员还可能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉。引用标准略口令控制策略发布部门信息安全小组生效时间2021-9-1批准人文件编号ISMS-C-05介绍 用户授权是控制信息资源访问者的一种方

11、式。对访问进行控制是任何信息资源所必须的。未经授权的人员访问到信息资源可能会引起信息保密性、完整性共和可用性的丢失，导致收入、信誉的损失或经济困难。目的该策略的目的是为用户鉴别机制建立创造、分发、保护、终止以及收回的规则。适用范围该策略适用于任何信息资源的使用者。术语定义略口令控制策略 所用用户都必须拥有唯一的、专供其个人使用的用户帐号ID （用户ID）； 所有用户不得使用他人的用户进行信息资源的访问； 所有口令，包括初始口令，都必须依据总经理办公室规定的下列规则建立和执行：令 所有活动帐号都必须有口令保护；令必须定期更改口令；令 口令输入时不应将口令的明文显示出来，应该采取掩盖措施；令 必须

12、符合信息中心规定的最小长度；口令必须至少要含有6个字符，系统管理员口令至少要含有8个字符。令必须是字母、数字和字符的组合；令 口令不能和用户名或登录名相同；令 必须不能是可以轻易联想到的帐号所有者的特性：用户名、绰号、亲属的姓名、生日等；令必须不能用字典中的单词或首字母缩写；令 必须保存历史口令，以防止口令的重复使用。 用户的帐号口令必须不能泄露给任何人； 如果怀疑口令的安全性，应立即进行更改； 管理员不能为了使用信息资源规避口令； 用户不能通过自动登录的方式绕过口令登录程序； 计算机设备如果无人值守必须启动口令保护屏保或注销； 用户在首次登录时必须更改口令。惩罚违背该策略可能导致：员工以及临

13、时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除；另外，这些人员还可能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉。引用标准略可移动代码防范策略发布部门信息安全小组生效时间2021-9-1批准人文件编号ISMS-C-06介绍未经授权的移动代码危害信息系统，应实施对恶意代码的监测、预防和恢复控制，以及适当的用户意识培训。目的该策略的目的阻止和发现未经授权的移动代码的引入，实施对恶意代码的监测、预防和恢复控制。适用范围该策略适用于使用信息资源的所有人员。术语定义略可移动代码防范策略 禁止使用未经信息安全管理小组授权安装的软件。 防范经过外部网络或任何其

14、它媒介引入文件和软件相关的风险，并采取适当的预防措施。 定期对支持关键业务过程的系统中的软件和数据进行评审；无论出现任何未经验收的文件或者未经授权的修改，都要进行正式调查。 安装并定期升级防病毒的检测软件和修复软件，定期扫描计算机和存储介质，检测应包括：令在使用前，对存储媒体，以及通过网络接收的文档进行恶意代码检测；令在使用前，通过邮件服务器对电子邮件附件及下载文件进行恶意代码检测； 人事行政部负责恶意代码防护、使用培训、病毒袭击和恢复报告。 为从恶意代码攻击中恢复，需要制定适当的业务持续性计划。包括所有必要的数据、软件备份以及恢复安排。 人事行政部应制定并实施文件化的程序，验证所有与恶意软件相关的信息并且确保警报公告的内容准确详实。管理员应当确保使用合格的信息资源，防止引入真正的恶意代码。所有用户应有防欺骗的意识，并知道收到欺骗信息