信息安全策略文件.docVIP

-

-PAGE1-

XXXXXX科技有限公司

信息安全策略文件

编号：XXXX/ISM-CL-2023

版本号：A/O

编制组：

审核人：

批准人：

受控受控状态：

受控

发布日期：2023/11/30生效日期：2023/11/30

目录

TOC\o1-6\h\z\u信息资源必威体育官网网址策略 3

网络访问策略 3

访问控制策略 4

物理访问策略 5

第三方访问策略 6

雇员访问策略 8

设备及布缆安全策略 9

变更管理安全策略 12

病毒防范策略 13

恶意软件防范策略 14

信息备份安全策略 15

网络配置安全策略 16

运输中物理介质安全策略 17

电子邮件策略 18

信息安全监控策略 19

口令控制策略 20

清洁桌面和清屏策略 21

特权访问管理策略 22

源代码控制策略 23

知识产权管理策略 23

信息资源必威体育官网网址策略

发布部门

信息安全小组

文件编号

XXXX/ISM-CL-01

介绍

必威体育官网网址策略是用于为信息资源用户建立限制和期望的机制。内部用户不期望信息资源必威体育官网网址。外部用户期望信息资源拥有完整的必威体育官网网址性，除了在发生可疑的破坏行为的情况下。

目的

该策略的目的是明确的沟通信息资源用户的信息服务必威体育官网网址期望。

适用范围

该策略适用于使用信息资源的所有人员。

术语定义

略

信息

资源

必威体育官网网址

策略

在公司内部保存和控制的电子文件应该公开，并且可以被信息服务人员访问；

为了管理系统并加强安全，信息安全小组可以记录、评审，同时也可以使用其信息资源系统中存储和传递的任何信息。为了达到此目的，信息安全小组还可以捕获任何用户活动，如拨号号码以及访问的网站；

用户必须向适当的管理者报告公司内部计算机安全的任何薄弱点，可能的误用事故或者相应授权协议的违背情况；

在未经授权或获得明确同意的情况下，用户不可以尝试访问公司内部系统中包含的任何数据或程序。

惩罚

违背该策略可能导致：员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除；另外，这些人员还可能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉。

引用标准

略

网络访问策略

发布部门

信息安全小组

文件编号

XXXX/ISM-CL-02

介绍

网络基础设施是提供给所有信息资源用户的中心设施。重要的是这些基础设施（包括电缆以及相关的设备）要持续不断的发展以满足需求，然而也要求同时高速发展网络技术以便将来提供功能更强大的用户服务。

目的

该策略的目的是建立网络基础设施的访问和使用规则。这些规则是保持信息完整性、可用性和必威体育官网网址性所必需的。

适用范围

该策略适用于访问任何信息资源的所有人。

术语定义

略

网络

访问

策略

用户不可以以任何方式扩散或再次传播网络服务。未经信息安全小组批准你不可以安装路由器、交换机、集线器或者无线访问端口；

在未经信息安全小组批准的情况下，用户不可以安装提供网络服务的硬件或软件；

需要网络连接的计算机系统必须符合信息服务规范；

用户不可以私自下载、安装或运行安全程序或应用程序，发现或揭露系统的安全薄弱点。例如，在以任何方式连接到互联网基础设施时，为经信息安全小组批准用户不可以运行口令破解程序、监听器、网络绘图工具、或端口扫描工具；

不允许用户以任何方式更换网络硬件；

在局域网上进行文件共享时必须指定授权的用户并设置共享口令，严禁使用Everyone方式共享文件资料；

任何员工在访问网络资源时必须使用专属于自己的帐号ID，不得使用他人的帐号访问网络资源（即使得到了他人的许可），公司禁止外部登录内部局域网，需要登录必须经过授权。

防火墙，路由器等日常状态下禁止连接远程诊端口，如因维修需要，应记录到第三方服务记录中

公司与外部通过防火墙隔离。

公司与外部、内部不同网段之间默认禁止所有端口/协议，根据需要申请开放。

远程登录必须经过申请同意后方可以开放。

对应用系统，如果系统支持应使用联机时间限制，确保系统安全

惩罚

违背该策略可能导致：员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除；另外，这些人员还可能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉。

引用标准

略

访问控制策略

发布部门

信息安全小组

文件编号

XXXX/ISM-CL-03

介绍

应根据业务和安全要求，控制对信息和信息系统的访问。

目的

该策略的目的是为了控制对信息和信息系统的访问。

适用范围

该策略适用于进行信息和信