《符合性实施制度.docx》由会员分享,可在线阅读,更多相关《符合性实施制度.docx(6页珍藏版)》请在第壹文秘上搜索。
1、符合性实施制度文件编号:1 .目的和范围本策略规定如何避免违反刑法、民法、法令、法规或合同义务以及信息系统设计、运行、使用和管理的安全需求。本制度适用于信息安全管理体系要求的法律法规和其他要求的收集、评价、确定等活动的控制。2 .引用文件1)下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。2) GB/T22080-2016/IS0/IEC27001:2013信息技术-安全技术-信息安全管理体系要求3) GB/
2、T22081-2016/ISO/IEC27002:2013信息技术安全技术信息安全管理实施细则4)软件管理规定3 .职责和权限1)行政部:负责组织有关信息安全管理体系的法律法规和其他要求的收集、更新、审核、评价,并提出专项建议使公司的日常运营满足法律法规的要求。2)各部门:协助做好与本部门业务有关的相应法律法规和其它要求的收集、更新和合规性评价工作。4 .符合法律要求1)确定使用法律 识别需要遵守的法律法规,并制定适用法律法规和其它要求清单: 信息安全管理工作小组会就有关法规影响,在每年的信息安全管理体系审核里面报告中进行说明; 遵守对第三方的知识产权保护(如商标、版权和图像、文字、音频、软件
3、、信息和发明等其它权利); 未经授权,不擅自复制、使用或转送属于第三方的资料。2)知识产权(IPR)对第三方知识产权的保护包括但不限于商标、版权、品牌以及图像、文字、音频、软件、信息和发明等其它权利。对版权的保护需遵照实施如下制度:不得通过擅自复制、使用或转让第三方资料获取利益;员工应向综合管理部咨询有关知识产权或合同义务和软件许可证限制方面的问题。3)软件版权 员工应遵守或授权的软件策略,合法使用软件、信息产品和保持许可证的有效性; 对软件的版权保护方面应遵照以下制度:a)为保证软件产品用户不超过允许最大数量,应保证按照软件许可证规定条件安装软件;b)信息安全小组应在需要时检查公司的办公设备
4、,确保只用授权和注册的软件;c)应保存以下信息:1 .许可证类型如授权公司的软件、免费软件、共享软件和评估版软件;2 .购买/获取日期;3 .许可证期满/重认证日期;4 .授权许可证用户/连接的编号;5 .许可安装的编号;6 .其它执照条件。 应将软件许可文件原件、正版软件盘和手册放在安全位置; 对获得的服务软件的保存条件采用下列制度:a)应对照软件资产每年的注册,检查每次软件安装的许可证条件;b)发现某些软件不再需要时,应安排卸载该软件并在许可证到期之前处理掉;c)发现某些软件仍需要时,应在许可证到期之前发采购单延长软件使用权的期限:d)需要时,应发出购买评估版软件的采购单。 处理所使用的软
5、件时应采用以下方针:a)处理掉的软件或软件包应该是系统信息所有者批准后不再需要的旧版本;b)软件需要换版本时,可在许可证允许的前提下将旧版本连同手册、软件和许可协议一同转存到其它区域;c)如果软件不能转到其它区域,则需将软件从所有安装系统上卸下。在卸载所有者不再需要的软件包后,记录表需要更新并随后随同材料一起转到安全保管处。4)保护组织的记录 所有的合同文件必须做如下保管:a)正版文件存档保存在安全区域;b)保存到文件所有者不用时为止。 对重要网络设备和服务器上的数据进行备份。 为防止公司的重要记录丢失、毁坏和被篡改。这些记录必须妥善保管,以符合法律法规要求,有利于重要的业务活动。此类记录包括
6、但不限如下:a)可以作为证据证明运作符合法律法规规定的记录;b)可以确保能充分防范发生潜在的民事诉讼或刑事诉讼的记录;可以向主管部门、合作方和审计人员证实财务状况的记录。 信息保管的时间和数据内容根据国家法律法规而定。 存储和处理系统应该确保能够清楚识别记录以及法律法规规定的保管期。在保管期满后如果不再需要记录,则可以采用适当的方式予以销毁。5)数据保护和个人信息的隐私 谨慎遵守国家法律法规有关个人资料保密和隐私的规定,保护处理个人信息和数据安全。6)防止滥用信息处理设施 防止任何在受到管理的信息处理实施受到滥用。7)密码控制措施的规则 遵照访问控制制度执行密码策略。 如果需要加密措施,必须从
7、法律顾问获取专家建议以保证需要时符合有关政府规定。 为保证遵照有关规定需要采取以下控制措施:a)在获取加密技术前,要向专家咨询并评估密码控制措施和要求;b)使用正式授权、购置和初始程序,保证遵照有关加密技术的法律;c)对受控加密项目与有关的执法机构(如国家商业密码办公室)进行合作。5.符合安全策略和标准以及技术符合性1)符合安全策略和标准定期进行内部审核,以检查公司的策略是否符合安全标准,具体的内审方法可参考内部审核管理制度。2) 技术符合性检查 要求独立方定期检查公司的工作环境,确认整个公司的信息系统和网络内的信息安全控制措施是否充足以及这些措施的执行情况。 技术符合性检查必须检查受影响的信
8、息处理系统,保证所有的软件、硬件和过程控制措施得到适当的配置和更新。 行政部必须按照上述的技术符合性检查后的报告中提出的问题进行跟踪。6.信息系统审核考虑1)信息系统审核控制措施任何技术符合性审核都必须经过认真策划,最大程度地减少中断工作的风险并保护公司的工作环境的数据完整性不会受到破坏。 确定最适合的方法,保证技术符合性审核取得圆满。 获取信息安全管理工作小组对既定审核方法的书面批准。 判定每个系统的访问级别并从相关负责人获取书面批准。 只获取审核活动范围内的IT硬件、软件和系统的访问权。 确保技术符合性审核后删除或处理掉系统审核工具和残余数据。 确保所有的系统审核都按照变更管理办法中的说明
9、进行。 确保系统审核的所有活动按照商定的审核计划进行。2) 信息系统审核工具的保护 对于信息系统审核工具的访问应加以保护,以防止任何可能的滥用或损害。 信息系统审核工具(如软件和数据文件)应与开发和运行系统分开,并且不能保存在磁带(程序)库或用户区域内,除非给予合适级别的附加保护。信息系统审核工具的使用必须事先获得信息安全管理工作小组的批准。3) 活动描述 信息安全管理工作小组根据情况,对于自管服务器制定出在策略、用户管理、权限管理、V1.AN管理、漏洞扫描、渗透测试等方面的审核策略。 管理人员应确保在其职责范围内的所有安全程序被正确地执行,以确保符合安全策略及标准。 管理人员应对自己职责范围
10、内的信息处理是否符合合适的安全策略、标准和任何其它安全要求进行定期评审。 任何技术符合性检查应仅由有能力的、己授权的人员来完成,或在他们的监督下完成。 涉及对运行系统检查的审核要求和活动,应谨慎地加以规划并取得批准,以便最小化造成业务过程中断的风险。漏洞扫描管理:a)管理员应定期进行漏洞扫描,客户端和服务器可使用相关工具进行漏洞扫描。b)根据漏洞扫描结果,管理员应及时修补系统漏洞。 渗透测试管理:a)技术符合性检查应由有经验的系统工程师手动执行(如需要,利用合适的软件工具支持),或者由技术专家用自动工具来执行,此工具可生成供后续解释的技术报告。b)如果使用渗透测试或脆弱性评估,则应格外小心,因
11、为这些活动可能导致系统安全的损害。这样的测试应预先计划,形成文件,且重复执行。4)审核注意事项: 应与合适的管理者商定审核要求; 应商定和控制检查范围; 检查应限于对软件和数据的只读访问; 非只读的访问应仅用于对系统文件的单独拷贝,当审核完成时,应擦除这些拷贝,或者按照审核文件要求,具有保留这些文件的义务,则要给予适当的保护: 应明确地识别和提供执行检查所需的资源; 应识别和商定特定的或另外的处理要求; 应监视和记录所有访问,以产生参照踪迹;对关键数据或系统,应考虑使用时间戳参照踪迹; 应将所有的制度、要求和职责形成文件;执行审核的人员应独立于审核活动7.附件1)适用法律法规和其它要求清单本制度相关修改及解释权属于行政部文档编号(由总裁办填写)密级内部公开文档发布级别公司级文档发布及实行范围全员制度试行日期(可选)文档起草人签字:文档修订人:签字:修订说明:备注:文档负责人:签字:文档审批信息安全管理者代表签字:人力资源部签字:文档审批人签字: