資源描述:
《【精品word文檔】XXX國際貨運(yùn)公司員工信息安全手冊(cè).doc》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1、員工信息安全手冊(cè)上海中遠(yuǎn)國際貨運(yùn)有限公司[實(shí)施日期]2006.09.22[文號(hào)]滬中貨技術(shù)[2006]105號(hào)[適用范圍]各部室、合資企業(yè)、省公司、地區(qū)公司、分公司上海中遠(yuǎn)國際貨運(yùn)有限公司本文檔只限在福建電力安全評(píng)估規(guī)劃項(xiàng)目第2頁共15頁福建電力及惠普項(xiàng)目組內(nèi)部使用員工信息安全手冊(cè)版本記錄版本編號(hào)版本日期修改者說明1.02005-10-15信息技術(shù)部本文檔只限在上海中貨所屬和所轄公司內(nèi)部使用第15頁共15頁員工信息安全手冊(cè)目錄1.目的42.適用范圍43.信息安全概要43.1.信息與信息安全43.2.信息安全的屬性43.3.上海中貨信息安全目標(biāo)
2、43.3.1.戰(zhàn)略目標(biāo)43.3.2.近期目標(biāo)53.4.信息安全管理體系的建設(shè)54.信息系統(tǒng)信息處理基本要求64.1.基本原則64.2.信息系統(tǒng)信息的分類64.3.信息系統(tǒng)信息訪問原則64.4.信息系統(tǒng)信息標(biāo)記74.5.信息系統(tǒng)信息交換74.6.信息系統(tǒng)信息處理84.7.信息系統(tǒng)信息披露85.員工日常行為安全要求85.1.物理環(huán)境安全85.2.個(gè)人電腦使用85.3.軟件使用95.4.郵件使用95.5.網(wǎng)絡(luò)資源使用105.6.桌面、介質(zhì)管理105.7.用戶口令管理105.8.防病毒管理115.9.對(duì)第三方的管理要求115.10.安全事件處理115
3、.11.培訓(xùn)要求126.監(jiān)督與獎(jiǎng)懲127.信息安全組織127.1.信息安全組織架構(gòu)127.2.信息安全組織職責(zé)1358.安全策略附件對(duì)照說明15本人鄭重聲明15本文檔只限在上海中貨所屬和所轄公司內(nèi)部使用第15頁共15頁員工信息安全手冊(cè)1.目的隨著公司信息化建設(shè)的不斷深入,信息安全已經(jīng)成為國家安全、企業(yè)安全的重要組成部分,而人又是造成信息安全隱患的重要因素。為保證公司信息資產(chǎn)的安全,防止信息資產(chǎn)被惡意破壞、竊取或遭到無意損壞,從而給公司帶來損失,本手冊(cè)從計(jì)算機(jī)終端的基本操作入手,普及員工目前所應(yīng)掌握的信息安全基礎(chǔ)知識(shí),規(guī)范員工操作使用信息系統(tǒng)過
4、程中需要遵循的基本信息安全行為,明確有關(guān)信息安全管理人員的職責(zé)責(zé)任。2.適用范圍適用于全體員工。3.信息安全概要3.1.信息與信息安全信息是一種資產(chǎn),就象其它重要的商業(yè)資產(chǎn)一樣,它對(duì)一個(gè)組織來說是有價(jià)值的,因此需要妥善進(jìn)行保護(hù)。信息安全保護(hù)信息免受多種威脅的攻擊,保證業(yè)務(wù)連續(xù)性,將業(yè)務(wù)損失降至最少,同時(shí)最大限度地獲得投資回報(bào)和利用商業(yè)機(jī)遇。3.2.信息安全的屬性信息安全具有以下特征:l機(jī)密性:只有授權(quán)的合法用戶才可以訪問信息(防止信息泄漏)。l完整性:保護(hù)信息和信息的處理方法準(zhǔn)確而完整(防止信息被偽造或篡改)。l可用性:確保經(jīng)過授權(quán)的用戶在需
5、要時(shí)可以訪問信息并使用相關(guān)信息資產(chǎn)。(保證系統(tǒng)正常運(yùn)行)。3.3.上海中貨信息安全目標(biāo)3.3.1.戰(zhàn)略目標(biāo)信息安全的建設(shè)的根本目標(biāo)是建立健全信息安全保障體系,全面提高信息安全保障能力,做到積極防御、綜合防范,確保基礎(chǔ)網(wǎng)絡(luò)、公司信息系統(tǒng)核心業(yè)務(wù)系統(tǒng)和重要信息內(nèi)容的安全,促進(jìn)公司信息化健康發(fā)展。本文檔只限在上海中貨所屬和所轄公司內(nèi)部使用第15頁共15頁員工信息安全手冊(cè)1.1.1.近期目標(biāo)·提高員工信息安全意識(shí)·增強(qiáng)信息安全保障能力·通過信息安全測(cè)評(píng)1.2.信息安全管理體系的建設(shè)信息安全管理體系的建設(shè)的生命周期如下圖所示:本文檔只限在上海中貨所屬和
6、所轄公司內(nèi)部使用第15頁共15頁員工信息安全手冊(cè)公司應(yīng)當(dāng)根據(jù)IT系統(tǒng)的實(shí)際應(yīng)用的情況,不斷地進(jìn)行從風(fēng)險(xiǎn)分析、制定/更新安全標(biāo)準(zhǔn)、安全管理/技術(shù)體系的實(shí)施、日常的管理監(jiān)控直到定期的審計(jì)這個(gè)周而復(fù)始的過程,才能保證信息安全管理體系的時(shí)效性,以確保信息安全管理體系始終能最大程度上保護(hù)公司的的信息資產(chǎn),并大幅降低在信息安全上的投資。應(yīng)當(dāng)逐步建立和完善支持全面安全制度的IT安全技術(shù)架構(gòu),至少包括如下工作環(huán)節(jié):o規(guī)劃、設(shè)計(jì)并實(shí)施適合業(yè)務(wù)需要的IT安全技術(shù)基礎(chǔ)架構(gòu),統(tǒng)一從應(yīng)用開發(fā)到日常維護(hù)管理的安全管理流程,以取得最大的安全投資回報(bào)o不斷完善相關(guān)的信息安全
7、技術(shù)、產(chǎn)品和解決方案o實(shí)施安全技術(shù)解決方案o按照所定義的IT安全性需求,完成現(xiàn)存系統(tǒng)、網(wǎng)絡(luò)設(shè)施以及應(yīng)用系統(tǒng)的改造1.信息系統(tǒng)信息處理基本要求1.1.基本原則保護(hù)信息的安全是每個(gè)員工的責(zé)任。每個(gè)員工必須認(rèn)識(shí)到信息資產(chǎn)的價(jià)值,負(fù)責(zé)保管好自己負(fù)責(zé)的數(shù)據(jù)和信息。1.2.信息系統(tǒng)信息的分類·涉密信息:信息系統(tǒng)中涉及《中遠(yuǎn)集裝箱運(yùn)輸有限公司劃分密級(jí)范圍的規(guī)定》中定義的內(nèi)容都屬于涉密信息,對(duì)涉密信息的采集、存儲(chǔ)、處理、傳遞、輸出按照《中華人民共和國保守國家秘密法》、《中遠(yuǎn)集運(yùn)保密工作手冊(cè)》的相關(guān)規(guī)定執(zhí)行;·重要信息:信息系統(tǒng)中除了涉密信息之外,為公司特定部
8、門或特定范圍內(nèi)擁有和使用的信息,未經(jīng)授權(quán)進(jìn)行披露會(huì)給公司、合作單位以及客戶帶來負(fù)面影響。例如:信息系統(tǒng)用戶名及口令等;·內(nèi)部信息:所有不明確屬于涉密信息及重要信息的