公司的信息安全管理体系
公司的信息安全管理体系
信息安全通过人员安全、文档与数据安全,软件与系统安全、硬件与网络安全,区域安全实现对信心机密性,完整性,可用性的保护。信息安全管理体系的引入,可以协调各个方面信息管理,管理更为有效。信心安全管理体系是对系统地组织敏感信息进行管理,涉及到人,程序和信息技术(IT)系统。
Iso27001:2005是一套国际公认的信息安全管理体系标准,按照标准实施,可以帮助公司识别,管理和减少信息通常所面临的各种威胁。11个角度:
1. 安全方针:为信息安全提供管理指导和支持
2. 安全组织:在公司内管理信息安全
3. 资产分类与管理:对公司的信息资产采取适当的保护措施
4. 人员安全:减少人为错误,偷窃,欺诈或滥用信息及处理设施的风险
5. 实体和环境安全:防止对商业场所及信息未经授权的访问,损坏及干扰
6. 通讯与运作管理:确保信息处理设施正确和安全运行
7. 访问控制:管理对信息的访问
8. 系统的获得、开发和维护:确保将安全纳入信息系统的整个生命周期
9. 安全事件管理:确保安全事件发生后有正确的处理流程和报告方式
10. 商业活动的连续性管理:防止商业活动的中断,并保护关键的业务过程免收重大故
障或灾难的影响
11. 符合法律:避免违反任何刑法和民法,法律法规或合同义务以及任何安全要求。
信息安全建设的原则
领导重视,全民参与:信息安全不仅仅是发务部和IT中心的工作,需要各事业部,中心以及公司全体员工的共同参与
管理与技术结合:技术不是绝对的,信息安全管理遵循“七分管理,三分技术”管理原则。
“二八”原则:20%的信息安事件来自外部攻击,80%的信息安全事件发生在公司内部
管理原则:管理为主,技术为辅,内外兼防,发现漏洞,消除隐患,确保安全。
信息安全管理体系建设的目的
1管理理解企业所拥有的信息资产的价值
2提高企业员工对安全的认识和对安全管理的参与
3提好企业用户及合作伙伴对企业的信心,信任,满意程度
4提高企业信息安全管理的只连年感和水平
5遵守相关法律法规的要求
6使企业更有效的管理和处理安全事件
7通过制定和实施符合国标标准的安全管理制度来提高企业的竞争优势和声誉
8为将来企业全面发展电子商务打下最重要的基础
计算机安全
1计算机密码设置要求
至少6位
包含下面4类字符组中的3类,数字,英文大小写字母和非字母数字字符
不包含用户名的全部或大部分
至少90天更换一次密码
新密码不能与旧密码相同
2开机密码
计算机必须设置开机密码,不设开机密码,那么他人可随意操作你的计算机
3登入密码
计算机必须设置登录密码,不设置登录密码,黑客将会很轻松的攻破你的计算机 操作系统,并且窃取重要资料,其他人也可以轻易的使用你的计算机
4屏幕保护密码
计算机必须设置屏幕保护密码,当你离开座位最少10分钟请及时激活屏幕保护,防止他人乘机使用你的电脑
4文件夹共巷享密码
计算机必须设置文件夹共享密码,禁止不带密码的共享方式
6硬盘加密密码
笔记本电脑必须要设置硬盘加密密码,
7磁盘消磁
当计算机硬盘需要换厂更换或者报废时,必须通过硬盘消磁盘处理,消除存储数据,维护信息安全
8计算机软件安装
公司禁止员工私自安装有版权争议的软件
9usb监控
公司目前实施的usb安全策略分为两种:usb封闭和监控。
网络,邮件系统,文件安全
1公司内部网络安全注意事项:
禁止通过公司网络访问互联网,从事与工作无关的事情
禁止在网络上伪装为他人
禁止在公司网络上运行黑客工具
禁止在公司网络上使用非公司的电子邮件
禁止员工私自拨号上网
禁止未经批准增加网络设备到公司的网络架构中
2ip地址获得
公司的内部的ip地址设置为自动获取方式,禁止私自固定ip地址 禁止私自架设代理服务器上网