<XX信息科技有限公司>纠正措施控制程序[XX-B-04]V1.0发布日期2021年03月10日发布部门信息安全管理小组实施日期2021年03月10日<XX信息科技有限公司>文件编号XX-B-04纠正措施控制程序文件版次1.0密级机密变更履历版本变更履历变更人/变更日期审核人/审核日期批准人/批准日期1.0初次发布i<XX信息科技有限公司>文件编号XX-B-04纠正措施控制程序文件版次1.0密级机密1目的为消除与信息安全管理体系要求不符合的原因,防止其再次发生,...
<XX信息科技有限公司>记录控制程序[XX-B-03]Ver1.0发布日期2021年03月10日发布部门信息安全管理小组实施日期2021年03月10日<XX信息科技有限公司>文件编号XX-B-03记录控制程序文件版次1.0密级机密变更履历版本变更履历变更人/变更日期审核人/审核日期批准人/批准日期1.0初次发布i<XX信息科技有限公司>文件编号XX-B-03记录控制程序文件版次1.0密级机密1目的为确保对信息安全记录的标识、贮存、保护、检索、保存期限和处置实施有效...
<XX信息科技有限公司>文件控制程序[XXB-02]Ver1.0发布日期2021年03月10日发布部门信息安全管理小组实施日期2021年03月10日<公司名称>文件编号XX-B-02文件控制程序文件版次1.0密级机密变更履历版本变更履历变更人/变更日期审核人/审核日期批准人/批准日期1.0初次发布i<XX信息科技有限公司>文件编号XX-B-02文件控制程序文件版次1.0密级机密1目的为了对信息安全管理文件的编制、审核、批准、标识、发放、管理、使用、评审、更改、...
<XX信息科技有限公司>信息安全风险管理程序[XX-B-01]V1.0发布日期2021年03月10日发布部门信息安全管理小组实施日期2021年03月10日<XX信息科技有限公司>文件编号XX-B-01信息安全风险管理程序文件版次1.0密级机密变更履历版本变更履历变更人/变更日期审核人/审核日期批准人/批准日期1.0初次发布i<XX信息科技有限公司>文件编号XX-B-01信息安全风险管理程序文件版次1.0密级机密1目的为了在考虑控制成本与风险平衡的前提下选择合适的...
发布部门工程部生效时间2019年03月01日批准人文件编号XX-A-04.19介绍雇员工作在信息安全区域,工作中需要使用公司的各种信息处理设施,需要访问公司的各种信息资产,因此每一个雇员有义务和责任保护好公司信息资产的安全。目的本策略未访问本公司信息资源的全体雇员,这种访问是出于业务需要的,涉及物理和行政安全管理需求的网络连接、雇员的职责及信息保护的准则。适用范围该策略适用于公司的任何雇员,雇员对信息资源的访问...
运输中物理介质安全策略发布部门工程部生效时间2019年03月10日批准人文件编号XX-A-04.18介绍物理介质是信息资源的载体,在运送过程中必须对其安全进行管理。建立该方针是为了确保包含信息的介质在组织的物理边界以外运送时,防止未授权的访问、不当的使用或毁坏。目的略适用范围该方针适用于在组织安全边界外运输组织物理介质的所有人员。术语定义略运输中物理介质安全策略应考虑下列方针以保护不同地点间传输的信息介质:应...
访问控制策略发布部门工程部生效时间2019年03月10日批准人文件编号XX-A-04.17介绍应根据业务和安全要求,控制对信息和信息系统的访问。目的该策略的目的是为了控制对信息和信息系统的访问。适用范围该策略适用于进行信息和信息系统访问的所有人员。术语定义略访问控制策略公司内部可公开的信息不作特别限定,允许所有用户访问;公司内部部分公开信息,根据业务需求访问,访问人员提出申请,经访问授权管理部门认可,访问授...
设备及布缆安全策略发布部门工程部生效时间2019年03月10日批准人文件编号XX-A-04.16介绍网络基础设施是向所有信息资源用户提供服务的中心设施。这些基础设施(包括电源馈送和数据传输的电缆以及相关的设备)需要持续不断的发展以满足用户需求,然而同时也要求网络技术高速发展以便将来能够提供功能更强大的用户服务。目的该方针的目的保护设备免受物理的和环境的威胁,减少未授权访问信息的风险。防止资产的丢失、损坏、失窃...
网络配置安全策略发布部门工程部生效时间2013年03月10日批准人文件编号XX-A-04.15介绍网络基础设施是提供给所有信息资源用户的中心设施。重要的是这些基础设施(包括电缆以及相关的设备,如路由器、交换机)要持续不断的发展以满足用户需求,然而也要求同时高速发展网络技术以便将来提供功能更强大的用户服务。目的该策略的目的是为网络基础设施的维护、扩展以及使用建立规则。该规则是保持信息完整性、可用性和保密性所必需的...
网络访问策略发布部门工程部生效时间2019年03月10日批准人文件编号XX-A-04.14介绍网络基础设施是提供给所有信息资源用户的中心设施。重要的是这些基础设施(包括电缆以及相关的设备)要持续不断的发展以满足需求,然而也要求同时高速发展网络技术以便将来提供功能更强大的用户服务。目的该策略的目的是建立网络基础设施的访问和使用规则。这些规则是保持信息完整性、可用性和保密性所必需的。适用范围该策略适用于访问任何信息...
第三方访问策略发布部门工程部生效时间2021年03月10日批准人文件编号XX-A-04.13介绍第三方在支持硬件和软件管理以及客户运作方面有重要作用。第三方可以远程对数据和审核日志进行评审、备份和修改,他们可以纠正软件和操作系统中的问题,可以监控并调整系统性能,可以监控硬件性能和错误,可以修改周遭系统,并重新设置警告极限。由第三方设置的限制和控制可以消除或降低收入、信誉损失或遭破坏的风险。目的该策略的目的是为第...
病毒防范策略发布部门工程部生效时间2021年03月10日批准人文件编号XX-A-04.12介绍计算机安全事故的数量以及由业务中断服务恢复所导致的费用日益攀升。实施稳固的安全策略,防止对网络和计算机不必要的访问,较早的发现并减轻安全事故可以有效地降低风险以及安全事故造成的费用。目的该策略的目的是描述计算机病毒、蠕虫以及特洛伊木马防御、检测以及清除的要求。适用范围该策略适用于使用信息资源的所有人员。术语定义略病毒防...
电子邮件策略发布部门工程部生效时间2021年03月10日批准人文件编号XX-A-04.11介绍信息资源是组织的资产,必须对其进行有效地管理,因而建立该策略是为了:确保员工知晓在Email的过程中好的操作方法;明确Email使用过程中的责任。目的为了建立某公司的Email使用规则,保证Email的合理发送、收取和存储。适用范围该策略适用于被批准的、能够通过Email发送、收取和存储信息的所有人员。术语定义略电子邮件策略下列行为是策略...
特权访问管理策略发布部门工程部生效时间2019年03月10日批准人文件编号XX-A-04.10介绍与普通用户相比,技术支持人员、安全管理员、系统管理员可能有特殊的访问账户权限要求。这些管理性的和特殊访问账户的访问等级比较高,因此对这些账户的批准、控制和监控对于整个安全程序极其重要。目的该策略的目的是为具有特殊访问权限的账号建立创建、使用、控制及其删除的规则。适用范围该策略适用于拥有、或者可能会需要信息资源特殊访...
物理访问策略发布部门工程部生效时间2019年03月10日批准人文件编号XX-A-04.09介绍技术支持人员、安全管理员、系统管理员以及其他人员可能因工作需要访问信息资源物理设施。对信息资源设施物理访问的批准、控制以及监控对于全局的安全是极其重要的。目的该策略的目的是为信息资源设施物理访问的批准、控制、监控和删除建立规则。适用范围该策略适用于组织中负责信息资源安装和支持的所有人员,负责信息资源安全的人员以及数据的...
清洁桌面和清屏策略发布部门工程部生效时间2019年03月10日批准人文件编号XX-A-04.08介绍应该实施清除桌面和清除屏幕方针,以降低对文件、介质以及信息处理设施未经授权访问或破坏的风险。目的该策略的目的是防止对信息和信息处理设施未经授权的用户访问、破坏或盗窃。适用范围该策略适用于公司所有员工。术语定义略清洁桌面和清屏策略含有涉密信息或重要信息的文件、记录、磁盘、光盘或以其它形式存贮的媒体在人员离开时,应...
可移动代码防范策略发布部门工程部生效时间2021年03月10月批准人文件编号XX-A-04.07介绍未经授权的移动代码危害信息系统,应实施对恶意代码的监测、预防和恢复控制,以及适当的用户意识培训。目的该策略的目的阻止和发现未经授权的移动代码的引入,实施对恶意代码的监测、预防和恢复控制。适用范围该策略适用于使用信息资源的所有人员。术语定义略可移动代码防范策略禁止使用未经授权的软件。防范经过外部网络或任何其它媒...
口令控制策略发布部门工程部生效时间2019年03月10月批准人文件编号XX-A-04.06介绍用户授权是控制信息资源访问者的一种方式。对访问进行控制是任何信息资源所必须的。未经授权的人员访问到信息资源可能会引起信息保密性、完整性共和可用性的丢失,导致收入、信誉的损失或经济困难。使用下列两个个要素可以鉴别用户,即:你知道–口令识别号(PIN)你持有–智能卡目的该策略的目的是为用户鉴别机制建立创造、分发、保护、终...
变更管理安全策略发布部门工程部生效时间2021年03月10月批准人文件编号XX-A-04.05介绍信息资源基础设施正在逐步扩大并且越来越复杂。越来越多的人依赖网络、更多的客户服务机构、未升级和扩展的管理系统以及更多应用程序。由于信息资源基础设施之间的互相依赖程度越来越高,因此有必要加强变更管理过程。有时每一个信息资源组成部分需要暂停运行,按计划进行升级、维护或调整,另外也可能由于为计划的升级、维护或调整而导致暂...
信息资源保密策略发布部门工程部生效时间2019年03月10月批准人文件编号XX-A-04.4介绍保密策略是用于为信息资源用户建立限制和期望的机制。内部用户不期望信息资源保密。外部用户期望信息资源拥有完整的保密性,除了在发生可疑的破坏行为的情况下。目的该策略的目的是明确的沟通信息资源用户的信息服务保密期望。适用范围该策略适用于使用信息资源的所有人员。术语定义略信息资源保密策略在公司内部保存和控制的电子文件应该公...
