文档介绍:信息安全策略信息安全策略文档编号编制审核批准发布日期备注本公司对本文件资料享受著作权及其它专属权利,未经书面许可,不得将该等文件资料(其全部或任何部分)披露予任何第三方,或进行修改后使用。目录1. 信息资源保密策略 32. 网络访问策略 43. 访问控制策略 54. 物理访问策略 65. 供应商访问策略 86. 雇员访问策略 107. 设备及布缆安全策略 118. 变更管理安全策略 149. 病毒防范策略 1610. 可移动代码防范策略 1711. 信息备份安全策略 1812. 网络配置安全策略 1913. 信息交换策略 2014. 运输中物理介质安全策略 2115. 电子邮件策略 2216. 信息安全监控策略 2317. 特权访问管理策略 2518. 口令控制策略 2619. 清洁桌面和清屏策略 2820. 互联网使用策略 2921. 便携式计算机安全策略 3122. 事件管理策略 3223. 个人信息使用策略 3324. 业务信息系统使用策略 3425. 远程工作策略 3526. 安全开发策略 361信息资源保密策略发布部门信息安全小组生效时间2016年11月01日介绍保密策略是用于为信息资源用户建立限制和期望的机制。内部用户不期望信息资源保密。外部用户期望信息资源拥有完整的保密性,除了在发生可疑的破坏行为的情况下。目的该策略的目的是明确的沟通信息资源用户的信息服务保密期望。适用范围该策略适用于使用信息资源的所有人员。术语定义略信息资源在公司内部保存和控制的电子文件应该公开,并且可以被信息服务人员访问;保密策略为了管理系统并加强安全,信息技术部小组可以记录、评审,同时也可以使用其信息资源系统中存储和传递的任何信息。为了达到此目的,信息技术部小组还可以捕获任何用户活动,如拨号号码以及访问的网站;为了商业目的,第三方将信息委托给公司内部保管,那么信息技术部小组的所有工作人员都必须尽最大的努力保护这些信息的保密性和安全性。对这些第三方来说最重要的就是个人消费者,因此消费者的账户数据应该保密,并且对这些数据的访问也应该依据商业需求进行严格限制;用户必须向适当的管理者报告公司内部计算机安全的任何薄弱点,可能的误用事故或者相应授权协议的违背情况;在未经授权或获得明确同意的情况下,用户不可以尝试访问公司内部系统中包含的任何数据或程序。惩罚违背该策略可能导致:员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实****人员和志愿者失去继续工作的机会、学生被开除;另外,这些人员还可能遭受信息资源访问权以及公民权的损失,甚至遭到法律起诉。引用标准略2网络访问策略发布部门信息安全小组生效时间2016年11月01日介绍网络基础设施是提供给所有信息资源用户的中心设施。重要的是这些基础设施(包括电缆以及相关的设备)要持续不断的发展以满足需求,然而也要求同时高速发展网络技术部以便将来提供功能更强大的用户服务。目的该策略的目的是建立网络基础设施的访问和使用规则。这些规则是保持信息完整性、可用性和保密性所必需的。适用范围该策略适用于访问任何信息资源的所有人。术语定义略网络用户不可以以任何方式扩散或再次传播网络服务。未经信息安全小组批准不可以安装路由器、交换机、集线器或者无线访问端口;