文档介绍:北京移动通信有限责任公司
信息安全管理规范
目录
1 文档信息 3
3
修改记录 3
文档批准 3
分发 1
2 概述 1
3 总则 1
用途 1
原则 1
计算机和网络安全要求 2
本办法的文档组织 2
3
4 责任和权利 3
介绍 3
部门的责任 3
功能上的职责 3
IT资源访问提供者 3
公司信息技术部门 4
开发人员 4
资源(数据、系统、应用程序)拥有者 4
一级经理 4
4
5
5
5
5 信息管理安全 5
简介 5
控制IT资源访问 5
安全要求 6
认证/授权 6
访问控制 8
保密性 13
完整性 17
可用性 19
审计 22
文档信息
使用本文档前,文档使用者有责任核实当前版本的有效性
修改记录
对本文档所有修改都应按修改时间顺序记录在此。
版本
日期
修改内容
修改人
<>
<2002年9 月25 日>
文档批准
您本人或您本人指定的代表的签字表明您批准了本文档内容。它也表明您已经仔细地阅读、审查和考虑到了本文档对您的部门有怎样的影响以及它是否符合公司的指导方向。
批准签字
批准人
职务
批准日期
分发
公司各职能部门、各直属单位
概述
为了保证公司网络和计算机资源的安全,所有访问、使用北京移动通信有限责任公司计算机和网络资源的行为必须遵从以下几点:
认证。所有寻求访问网络资源的计算机用户和系统必须首先进行符合北京移动通信有限责任公司标准的用户身份验证
访问控制。资源的查看、修改、运行等权限必须根据实际需要分配给用户。
保密性。必须采取适当的措施以保证北京移动通信有限责任公司的专利、资源或用户的数据不会遭到损害。
完整性。所有影响数据的改动必须要经过认证、控制、确认以保证数据准确无误。
可恢复性。在恶意或毁灭性攻击事件中,公司核心数据、系统必须能够恢复。
审计。公司主机、多用户计算机、防火墙及网络中的用户访问和活动情况必须按照公司安全规章制度进行记录和保留。
总则
用途
本办法定义了那些经过授权可以访问公司IT资源的用户的责任与权利,并且对信息安全的保护提出了必要的要求。
原则
所有北京移动通信有限责任公司的正式、非正式员工,在使用、设计、访问或是管理IT的资源和数据时,都必须遵从本安全条例要求。从合作伙伴,合资方或是签约方得到授权访问许可的非北京移动通信有限责任公司员工,也必须遵从本要求。
任何违反北京移动通信有限责任公司安全策略和要求的人,公司可以要求其立即改正。未按要求去做的,被公司视为对北京移动通信有限责任公司安全策略的违背,将会受到绩效扣分处罚、纪律处罚甚至是解雇,当发生触犯法律的行为时,将启动相应的司法程序。
在得到公司信息安全部门批准的情况下,如果实施某些安全策略会严重的影响公司的经营收入或是在技术上暂不可行,可以暂不遵守那些安全策略。使用和保护公司资源、信息。
北京移动通信有限责任公司的计算机、网络和数据对于公司和用户是十分重要的。必须有方案可以保护公司IT资源。不论数据位于何处,保护方案都必须能防止未经授权的访问、披露、修改、破坏、使用等。
在管理允许的条件下,员工可以使用公司网络和计算机资源进行一些私人活动,但必须在业余时间进行。无论何时,公司计算机和网络资源必须首先保证工作中的使用。当影响员工和整体系统的工作效率时,私人活动必须被限制。
资源所有权在公司。公司可以监视员工使用网络的情况,包括访问的网站等信息。
员工不能访问明显含有色情、暴力、反动内容的网站。这些行为将被认为与公司的理念相违背,违反了公司的纪律。最高可受到开除的处分。
计算机和网络资源是公司的生产工具,因此,它绝对不能用于发送、转发威胁、骚扰、垃圾邮件,或在公司的论坛上以公司名义表达个人观点。
所有使用公司计算机和网络资源的员工,都必须遵守公司的规定和相关国家、地方法规。不遵守这些法规的员工,被视为违反公司纪律,最高可受到开除处理。
计算机和网络安全要求
必须认证、控制和审核所有访问公司IT资源的行为。另外,必须采纳适当措施确保所有信息的完整性,以防止恶意修改。
本办法的文档组织
本说明中“必须”一词意味着条款必须被执行;“应该”意味着条款被强烈建议执行。
除了基本安全策略外,特定的