ISO27000信息安全策略.doc

国科元科技（北京）有限公司 信息安全策略 编号： GYJLYF01-37 状态： 编写：涂盼盼 2019年5月10日 审核： 王树志 2019年5月10日 批准： 王树声 2019年5月10日 发布版次：第A/0版 2019年5月10日 生效日期 2019年5月10日 分发：各部门 接受部门：所有部门 互联网使用策略 GYJLYF22 发布部门 研发部 生效时间 2019年5月10日 批准人 张磊 介绍 互联网是传播和获取信息的重要途径。而信息是组织的重要资产。因此，建立该策略能够： 确保互联网的使用符合相应的、与信息资源管理相关的法令、规章及要求； 建立谨慎的、合理的互联网使用惯例； 向使用互联网或者企业内部网络的员工告知其应负的责任。 目的 该策略的目的是规范互联网以及公司内部网络的使用，确保信息资源不会被泄漏、篡改和破坏。 适用范围 该策略适用于有权访问任何信息资源而又可以访问互联网以及公司内部网络的所有人员。 内容 提供给授权使用者的互联网浏览软件只能用于业务和研发； 所有用于访问互联网的软件必须都经过批准，并且必须结合卖方提供的安全补丁； 从互联网下载的所有文件必须通过经过批准的病毒检测软件进行病毒扫描； 用于互联网访问的所有软件都应该使用防火墙进行配置； 访问的所有站点都必须符合信息资源使用策略； 对用户在信息资产上的所有活动都必须进行记录并评审； 所有Web站点上的内容都必须符合信息资源使用策略； 禁止通过Web站点访问带有攻击性或骚扰性的资料； 与购销不相关的业务禁止通过互联网进行，与购销相关的业务必须服从购销规定； 私人的商业广告不能通过Web站点发布； 互联网不可以用于个人私利； 在不能确保资料只被授权的人员或组织使用时，数据不能通过Web站点获取； 通过外部网络传送的所有敏感资料都必须经过加密； 电子文件必须服从适用其文件类型的保存规则，必须依照部门记录保存方案进行保存； 偶尔使用互联网访问的人员也必须仅限于授权用户，不能延伸到家庭成员或其他熟人，并必须不造成费用损失； 偶尔使用必须不能干扰员工的正常工作任务； 文档和文件的发送或接受必须以不引起法律责任或业务阻碍的方式进行； 私人文档和文件在信息资源中存储必须清楚命名； 所有文档和文件，包括私人文档和文件，必须符合记录公开要求，并且可以依照本策略访问到； 使用互联网应遵循法律法规要求，并不得利用国际联网危害国家安全、泄露国家秘密，不得损害国家、社会、集体的利益和公民的合法权益，不得从事违法犯罪活动。 便携式计算机安全策略 GYJLYF25 发布部门 研发部 生效时间 2019年5月10日 批准人 张磊 介绍 便携式计算机设备的功能和应用越来越广泛。其小巧的“体型”和强大的功能使人们期望其替代传统的桌面设备。然而，这些设备的便携式特性也会给使用他们的组织增加安全暴露。 目的 该策略的目的是建立移动计算机设备的使用规则及其与互联网的连接规则。这些规则是保持信息必威体育官网网址性、完整性和可用性所必需的。 适用范围 该策略适用于使用便携式计算机访问信息资源的所有人。 内容 只有被批准的便携式计算机设备才能用来访问信息资源； 便携式计算机设备必须有口令保护； 数据不应存储在便携式计算机设备中。但是，在无可选择的区域存储的情况下，可以存储，但必须使用被认可的加密技术进行加密； 不使用便携式计算机设备通过无线方式传输数据，除非使用经认可的无线传输协议； 所有远程访问（拨入服务）必须通过被认可的拨号池或者互联网服务提供商； 需要连接互联网的计算机设备必须符合信息服务标准，并获得部门书面批准； 对无人看守的便携式计算机设备必须实施物理保护，必须放在带锁的办公室、抽屉或文件柜里，或者锁在桌子或柜子上。 便携式计算机需要被带出办公区域的,必须申请并经批准。 病毒防范策略 GYJLYF23 发布部门 研发部 生效时间 2019年5月10日 批准人 张磊 介绍 计算机安全事故的数量以及由业务中断服务恢复所导致的费用日益攀升。实施稳固的安全策略，防止对网络和计算机不必要的访问，较早的发现并减轻安全事故可以有效地降低风险以及安全事故造成的费用。 目的 该策略的目的是描述计算机病毒、蠕虫以及特洛伊码防御、检测以及清除的要求。 适用范围 该策略适用于使用信息资源的所有人员。 内容 所有连接到互联网的工作站必须使用部门批准的病毒保护软件和配置； 病毒保护软件必须不能被禁用或被绕过； 病毒保护软件的更改不能降低软件的有效性； 不能为了降低病毒保护软件的自动更新频率而对其进行更改； 与互联网连接的每一个文件服务器必须使用部门批准的病毒保护软件，并要进行设置检测，清除可能感染