安全管理体系(ISO27001)办公区域安全管理规定.docVIP

办公区域安全管理规定

TOC\o1-2\h\z\u1 目的 3

2 适用范围 3

3 引用文件 3

4 术语/缩略语/定义 3

5 角色及职责 3

6 管理内容 3

6.1 一般规则 3

6.2 实体安全应明确界定 4

6.3 办公区域的物理进出控制 4

6.4 办公区域的设备安全 4

6.5 办公区域的环境安全 5

6.6 互联网安全管理 5

6.7 移动设备的安全 5

PAGE5/NUMPAGES5

目的

制定本规定的目的是就安全与管理层面，规范提供IT服务的办公环境的设备管理及其使用行为，以减少在办公区域发生的安全问题所引起的危险。

适用范围

在公司为IT服务项目提供服务的办公环境。

术语/缩略语/定义

无

角色及职责

角色

职责

内部人员

外部人员

遵守本规定，以确保提供IT服务的办公区域的环境与信息设备的安全

综合办公室

制定、发布、监控实施办公区域相关管理规定的部门

管理内容

一般规则

办公区域不得吸烟。

门禁记录应适当保存并定期审阅。

不得使用办公电话及传真机与外界进行涉密信息的交流，如需要与相关单位交流涉密信息，一律当面与对方相关人员交流。

实体安全应明确界定

组织明确区分办公区域、计算机机房、会议室、接待室等实体安全边界。针对不同用途的区域进行隔离，并在隔离处，加注明确标识。

办公区域的物理进出控制

重要的出入口应设置门禁管理及监控系统。

内部人员进出时，应随时注意是否有非经授权人员跟随进入。

内部人员出入工作区域，应佩戴出入证。

来访人员进入办公区域，凭有效证件经接待部门（人员）同意并填写《会客单》，经前台人员确认后方可进入；离开时应将被访者签字后的《会客单》交还前台。哟哀求会见公司领导的来宾，前台应首先报告公司综合办公室，并根据综合办公室答复意见办理。

人员离、调职时，依人事部门相关制度办理后，由门禁系统管理人员注销或修改其门禁权限。

办公区域的设备安全

个人计算机在离开时应设定屏幕密码保护程序，防止信息泄露。

下班时应关闭不需使用的个人计算机。

外部单位人员使用的计算机须接入公司网络时，应先进行病毒扫描。

未经授权任何人不允许将设备、敏感的信息文件和软件带离工作场所以外。

将设备运到工作地点以外的地方进行维修的时候，必须采取安全措施将敏感数据进行删除、覆盖，以防止重要信息泄露。

硬件资产报废前必须确认清除机密信息，方可进行报废。

计算机及移动存储介质应当按照涉密与非涉密实行分类管理、分开控制使用，必须做到：

严禁将涉密计算机、涉密专网与互联网及其他公共信息网相连接；

严禁使用非涉密计算机采集、处理、存储和传输涉密信息；

严禁将涉密移动存储介质在非涉密计算机或与中国石油广域网、互联网及其他公共信息网连接的计算机上使用；

严禁将非涉密移动存储介质在涉密计算机上使用。

办公区域的环境安全

员工离开办公桌时，不允许将敏感文件放在办公桌面上，应妥善保管。

使用复印机、打印机、传真机或多功能事务机后，应立即将资料取走，废弃稿及时粉碎。

办公区域内应置放适当的消防设备(如手提式灭火器、烟雾探测器等)，并定期检测，以确保其可用性。

互联网安全管理

为有效管理办公环境接入互联网的计算机等设备，防止误用及破坏。所有办公环境互联网计算机的使用应符合下列要求：

需遵守互联网使用相关规定，爱护联网设备和环境。严禁非法修改，严禁越权查询、修改信息，严禁危害系统正常运行、造成设备损坏或数据丢失的非法操作。

接入互联网的计算机必须是指定的非涉密计算机，任何人不得使用涉密计算机接入互联网。

接入互联网的计算机必须使用专用线路，接入互联网的计算机不得存储涉密信息。

严禁工作时间在互联网上玩游戏、下棋等娱乐性活动；严禁下载黄色、反政府、暴力等内容的文章、小说、图片。禁止工作时间在公网上进行娱乐资讯浏览、聊天、购物等与工作无关的活动。

移动设备的安全

移动设备是指本单位因公发放的可携带离开工作区域的设备，如：便携式计算机、移动电话等，对于外部设备必须采取如下控制措施：

本单位发放移动设备供员工使用，即授权其在工作区域外使用移动设备。

在公共场所使用移动设备时，必须妥善保管，在发生丢失、损坏情况时，必须及时向上级领导汇报。

必须始终遵守制造商有关保护设备的指南要求。

移动设备严禁私自拷贝涉密信息带出工作场所。

携带存储有涉密信息的移动设备外出，必须做到机不离人，发生遗失、泄密事件将追究携带人和主管领导的责任。