信息安全规章制度

一、海隆海工信息安全。

1、工作中的信息安全管理。

无论工作是什么类型，在其工作中都需要处理信息安全问题。

信息安全需整合到公司的管理方法中，以确保将识别并处理信息安全风险作为工作的一部分。这通常可应用于所有的工作，无论其特性是什么，例如海隆106船施工工程、it、设施管理和其他支持过程等方面的工作。

实施过程：1、公司配备有专门的文档管理员，对所有工作中的文件进行统一管理。

2、我们会在服务器上建立专门的共享文件夹，并设置相关人员对此文件夹获得的各种对应的权限。

3、每天都会对工作中的文件进行备份处理，对某些重要的文件进行加密处理。

2、移动设备的管理。

确保远程工作和使用移动设备的安全。

宜采用书面的管理方法和支持性安全措施来管理由于使用移动设备带来的风险。

实施过程：1、对所有移动设备都应该加入域账号，所有人员都应该对电脑设置相应的账号和密码。

2、所有移动设备都应该按公司要求和员工的需求安装软件，员工个人不能安装无用的软件。

3、所有移动设备都应该安装杀毒软件和防火墙等防范措施。

4、应该对员工进行移动设备出差时需要注意事项的培训。

5、移动设备的信息都应该定期做相应的备份。

6、所有移动设备都应该安装监控软件，并能够远程控制关闭软件，删除文件或者锁定这些设备。

3、远程工作。

用书面的文件管理和支持性安全措施来保护在远程工作场地访问、处理或存储的信息。

确保远程工作和使用移动设备时的信息安全。

实施过程：1、在远程工作中所有人员必须使用公司提供的移动设备，不得在私人的设备上存储公司信息。

2、我们在服务器上设置有相应的账号密码，用来进行远程的访问链接。

3、在远程工作中，不得随意把自己设备的账号密码告诉他人，也不得随意让他人使用自己的设备。

4、公司所有移动设备都安装有杀毒软件和防火墙，员工不得私自更改设置或删除。

5、在远程工作结束后，应将公司的远程设备归还，服务器也会删除其相对应的账号密码。

二、海隆海工资产管理。

1、资产清单。

宜识别与信息和信息处理设施的资产，编制并维护这些资产的清单。

公司宜识别与信息生命周期有关的资产，并将其重要性形成文件。信息的生命周期宜包括创建、处理、存储、传输、删除和销毁。文件宜以专用清单进行维护，适当时，或以现有清单进行维护。

资产清单宜是准确的、最新的，并与其它清单保持一致和匹配。

实施过程：1、应该对公司所有资产做好**，所有资产都有详细的清单。

2、对所有资产清单都及时更新，并保证资产清单都是最新和正确的。

2、资产所有权。

已批准对资产生命周期具有管理职责的部门和个人，有资格被指定为资产所有者。通常要实施确保及时分配资产所有权的过程。宜当资产被创建或资产转移至组织时分配所有权。

资产所有者宜负责在整个资产生命周期内对资产进行适当管理。

实施过程：1、所有资产都应该列入清单中。

2、所有资产都应该登记有使用人的信息，使用人应当保护好这些公司的资产。

3、资产的可接受使用。

使用或访问公司信息资产的雇员，应该对公司信息相关的资产的信息安全要求做相应的培训。他们宜对其所有信息处理资源的使用行为负责，这种使用不能超出其职责的范围。

实施过程：1、应该对文件等信息资产做过相对应的权限设置。

2、应对公司雇员做相关的公司信息资产安全培训。

4、资产的归还。

终止过程应有书面的文件，以包括归还所有先前发放的公司拥有或交托的物理和电子资产。当一个雇员或第三方人员拥有的知识对正在进行的操作具有重要意义时，此信息应当形成文件并转移给公司。在终止的离职通知期内，公司应控制已终止的雇员复制有关信息（例如知识产权）。

实施过程：1、在员工离职时，都必须把所有原公司资产转交给公司。

2、公司所有重要文件上都应做过文件加密，已防止员工离职后私自把这些信息随意复制带走。

3、员工离职后，应对其邮箱中的所有邮件做备份、删除并注销其邮箱账号等处理。

5、可移动介质的管理。

防止存储在介质上的信息遭受未授权泄露、修改、移动或销毁。

实施过程：1、所有重要资料都会做加密处理，并在需要复制出去的时候进行授权。

2、服务器中的重要资料都做过权限的设置。

3、复制出去的加密文件可以设置其打开次数或有效时间，以防止信息泄露。

4、重要数据做过多份备份，都存储在不同的移动硬盘中，防止数据损坏或者丢失。

三、访问控制。

1、访问控制策略。

访问控制策略宜建立、形成文件，并基于业务和信息安全要求进行评审。

资产所有者宜为特定用户角色访问其资产确定适当的访问控制规则、访问权限和限制，反映相关信息安全风险的控制措施要具备足够的细节和严格性。访问控制包括逻辑的和物理的它们宜一起考虑。宜给用户和服务提供商提供一份访问控制要满足的业务要求的清晰说明。

实施过程：1、目前公司对于服务器建立了各部门的公共文件夹，用于存放个部门的信息。

2、对公司所有人员都建立了对应的账号密码，并设置了访问的权限。

3、在实际使用过程中，会更新实际情况对人员或公共文件夹的权限做出相应的调整。

4、对于离职的人员及时的删除其访问权限的账号。

2、网络和网络服务的访问。

用户宜仅能访问已获专门授权使用的网络和网络服务。

宜制定关于使用网络和网络服务的策略。

实施过程：1、船上路由器做了绑定物理地址和ip的设定，只允许特定的人员访问外网。

2、船上的餐厅设置了无线路由器，对此路由器进行了流量、人员数量、时间段等设定，这样就能很好的控制船上人员的上网。

3、对于服务器的amos做过remoteapp设置，这样员工出差时候也可以随时访问amos进行查看、审批等操作。

4、公司和船都对路由器进行过设置，可以随时查看所有人员使用网络的状态信息。

3、用户访问管理。

确保授权用户访问系统和服务，并防止未授权的访问。

宜实施正式的用户注册及注销规程，使访问权限得以分配。

实施过程：1、每个用户访问服务器共享盘等网络都使用的唯一的账号信息，这样员工在访问时进行的任何操作都是有记录可以查询的。

2、员工离职后会立即删除其id号。

3、定期我们会检查服务器中是否存在多余的id号，并撤销这些id。

4、我们会定期对服务器账号做检查，保证分配给所有员工的id都是唯一的，权限等也都设置正确。

4、用户访问开通。

宜实施正式的用户访问开通过程，以分配或撤销所有系统和服务所有用户类型的访问权限。

分配或撤销授予用户id的访问权限的开通过程。

实施过程：1、新员工入职后都会按职位给予账号和相应的访问权限。

2、对于员工职位或者部门有变更的都回发出邮件，我们会根据邮件中的信息做出对应的调整变更。

5、特殊访问权限管理。

宜限制和控制特殊访问权限的分配及使用。

宜采取相关控制策略通过正式的授权过程控制特殊访问权限的分配。

实施过程：1、对很多系统和程序（例如邮箱，oa系统，amos系统等）相关的特殊访问权限和所需要分配的用户，都需要通过流程申请授权后才能分配特殊账号和权限。

2、在申请的流程未走完之前，是不会授予特殊访问的账号和权限的。

3、对于特殊账号会定期实施评审和维护，对账号的期限、权限等信息做到和他们的责任相一致。

6、用户秘密鉴别信息管理。

宜通过正式的管理过程控制秘密鉴别信息的分配。

实施过程：1、用户需要维护自己的秘密鉴别信息，在建立账号时会给他们提供一个临时的密码，并强制要求其在首次使用时变更。

2、秘密鉴别信息或者临时的秘密鉴别信息对个人来说都是唯一的，不可猜测的。

7、用户访问权限的复查。

资产所有者宜定期复查用户的访问权限。

实施过程：1、定期在任何变更之后（例如员工离职，升职，降职等）后进行权限的复查。

2、在公司期间员工变更部门后，应复查和重新分配用户的访问权限。

3、对于各种特殊访问权限我们会更加频繁的进行复查。

8、用户职责。

使用户承担保护鉴别信息的责任。

宜要求用户在使用秘密鉴别信息时，遵循组织的实践。

实施过程：1、员工必须保密秘密鉴别信息，确保不透入给任何人，包括授权人。

2、避免保留秘密鉴别信息的记录（例如在纸上、系统文件中、手机文件中等）

3、每当觉得自己的秘密鉴别信息不安全时，应立即更改秘密鉴别信息。

4、秘密鉴别信息应该便于记忆，不要使用别人容易猜测或者获得的信息（例如生日，姓名拼音，**号码，连续的数字或字母等）

5、在初次登入后立即更换临时的口令，不要共享个人的秘密鉴别信息。

9、系统和应用访问控制。

防止对系统和应用的未授权访问。

宜依照访问控制策略限制对信息和应用系统功能的访问。

实施过程：1、在服务器建立了共享文件夹，并按照账号设置了各种权限。

2、可以控制用户的访问权限，如读，写，删除，执行等操作。

3、控制了其他应用程序的访问权限。

四、密码学。

1、密码控制。

恰当和有效的利用密码学保护信息的保密性、真实性或完整性。

宜开发和实施使用密码控制措施来保护信息的策略。

实施过程：1、共享盘，邮箱，系统，oa等都设置了相应的初始密码。

2、根据资料需要的保护级别，我们对重要的资料还进行了文件加密。

3、我们设置有专门的人员来管理加密文件，实行对重要资料加密或解密操作。

4、使用密码技术后可以提供一个事态行为发生的证据。

5、使用了密码技术后我们可以对请求访问的人员和资源的用户以及与系统用户有交互的其他系统进行身份的鉴别。

五、物理和环境安全

1、安全区域。

防止对组织场所和信息的未授权物理访问、损坏和干扰。

宜由适合的入口控制所保护，以确保只有授权的人员才允许访问。

实施过程。1、每台服务器均有独立可上锁机柜，并且放置于独立房间内，服务器平时也都设置在锁屏状态。

2、用于放置服务器的独立房间房门常锁，相应钥匙由管理人员保管。

3、服务器间不处于办公室中或周围明显位置。

4、进出服务器间需相应人员/管理人员授权，未取得授权不得进入。

5、办公室所有人员都有指纹录入，进入办公室都需要指纹开门，下班后办公室都锁门。

6、登船设有专门的登船口，所有上下船人员都需做记录，登记上下船的时间和日期等信息。

7、船上所有重要房间都配有钥匙，有管理人员进行保管。

2、设备。

保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断。

包含储存介质的设备的所有项目宜进行验证，以确保在处置之前，任何敏感信息和注册软件已被删除或安全地写覆盖。

实施过程。1、每台服务器均配有ups不间断电源。

2、电源、通信分别布缆，大部分位于墙内和地下，并使用接线盒连接。

3、船上每层都有上锁的电缆、通信设备间，网线的交换器都有专门的上锁盒子保护。

4、管理人员定时检查和维护硬件设备、备份等，并做相应记录。

5、各计算机归还管理人员后均检查、清空储存介质内资料并将系统恢复至初始状态。

信息安全规章制度

信息管理规章制度

信息化管理规章制度

安全监理规章制度安全监理规章制度

其他用户还读了