《管理制度-PC桌面标准化说明93页 精品.doc》由会员分享,可在线阅读,更多相关《管理制度-PC桌面标准化说明93页 精品.doc(91页珍藏版)》请在第一文库网上搜索。
1、东方中安信息技术有限公司PC机系统及桌面标准化说明(初稿)发布时间:20XX.4发布部门:版本号:批准人:目录一、统一电脑设置:8二、标准电脑软件安装及配置:8三、信息资产分类分级管理程序91.目的和范围92.引用文件93.职责和权限104.信息资产的分类分级105.信息分级标识126.公司秘密信息使用管理137.保密原则19四、访问控制制度221.目的和范围222.引用文件223.职责和权限224.用户管理225.权限管理236.操作系统访问控制247.应用系统访问控制258.网络和网络服务访问控制259.网络隔离2610.网络设备2611.信息交流控制措施2612.远程访问管理2713.无
2、线网络访问管理2814.笔记本使用及安全配置规定2815.外部人员使用笔记本的规定2916.服务器安全控制2917.实施策略2918.相关记录29五、密码控制管理制度311.目的和范围312.引用文件313.职责和权限314.密码控制32六、操作安全管理36补丁管理361.总则362.适用范围363.职责分工364.补丁管理375.附则39防范病毒及恶意软件管理规定401.目的和范围402.引用文件403.职责和权限404.病毒防治管理415.恶意软件管理416.实施策略427.相关记录42软件管理规定44目的和范围441.引用文件442.职责和权限443.软件管理444.软件使用475相关记
3、录47数据备份管理规定491.目的和范围492.引用文件493.职责和权限494.备份管理49系统监控管理规定521.目的522.引用文件523.职责和权限524.系统监控管理525.相关记录54七、通信安全55通信安全管理规定551.目标552.引用文件553.职责和权限554.Internet访问控制555.网络隔离566.无线网络访问管理567.信息交流控制措施56电子邮件管理规定591.目标592.总则593.管理权限和职责594.邮箱管理流程595.邮箱使用60信息安全交流控制制度621.目标622.总则623.信息传输安全控制措施624.信息传输协议625.定期评审63八、信息安全
4、事件管理制度651.目的和范围652.引用文件653.职责和权限654.信息安全异常现象665.信息安全事件686.安全事故处理流程:817.信息安全事件的紧急处置和业务恢复818.信息安全事件证据的收集829.信息安全事件和信息安全异常现象的报告和反馈8310.改进和预防工作8411.实施策略8412.支持文件8513.相关记录85九、业务连续性管理制度871.目的和范围872.引用文件873.职责和权限874.业务连续性管理流程885.制定应急预案906.演练与维护917.相关记录92PC桌面标准化说明一、统一电脑设置:1、 为规范公司的电脑配置与管理,提高工作效率,从而更好地为办公服务。
5、2、 计算机机器名称的统一规范化命名,便于通过计算机识别设备所在区域和用户例:东方中安-Jason3、 WINDOWS操作系统安装公司采购的正版系统,开启自动更新功能的实现,使每台能够上网的机器都能及时从互联网上下载最新补丁程序,有效防范病毒等恶性事件的发生。4、 取消域用户的本地系统管理员权限(设为Power Users),防止用户擅自安装非法软件和更改系统配置5、 按新的密码规则修改本地Administrator的密码(新员工PC机初始密码:000000)二、标准电脑软件安装及配置: 常规系统及软件1、Windows 10系统及语言包2、赛门铁克杀毒软件及病毒库数据更新(病毒库每周更新一次
6、)3、Altiris(硬件资产管理)4、Office 20XX 中小企业版5、工具软件:WinRAR (可以安装,但不是标准软件)6、Adobe Reader7、其他需要安装的软件需和上级部门主管批准针对任何游戏软件及非工作需要的软件,均应立即卸载并删除如果电脑有问题,请先排除故障后再做以下操作。三、信息资产分类分级管理程序1. 目的和范围为降低公司重要资产因遗失、损坏、篡改、外泄等事件带来的潜在风险,这些风险将对公司的信誉、经营活动、经济利益等造成较大或重大损失,需要规范信息资产保护方法和管理要求,特制订本管理制度。本规定适用于本公司信息资产的安全管理,适用对象为本公司员工和所有外来人员。特
7、殊岗位或特殊人员,另有规定的从其规定。公司信息资产是指一切关系公司安全和利益,在保护期内只限一定范围内人员知悉、操作、维护的事物、文档、项目、数据等资源。2. 引用文件1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。2) GB/T 22080-20XX/ISO/IEC 27001:20XX 信息技术-安全技术-信息安全管理体系要求3) GB/T 22081-20XX/ISO/IEC 27002:20XX
8、 信息技术-安全技术-信息安全管理实施细则4) 备份管理规定5) 访问控制程序6) 文件控制程序3. 职责和权限本管理规定作为全公司范围信息类资产的最低管理要求,各部门或各项目组,均可以根据客户要求,添加补充策略,并在本部门、本项目组内实施,与本规定一起,作为信息安全管理的工作指南。1) 信息安全管理领导人组:是本公司信息资产安全管理工作的最高领导组织,总体负责信息资产的安全。2) 信息安全管理工作小组:负责具体的协调组织实施及解释答疑等工作。3) 各部门经理:作为本部门信息资产安全管理的最高责任者,有责任和权限保证本部门信息资产的安全。4) 各信息的所有者:负责各信息资产的标识、分发和传递的
9、控制;5) 员工:应当熟悉本管理规定的内容,包括信息资产标识办法和使用管理规定,并切实贯彻到日常工作中。4. 信息资产的分类分级4.1信息资产的分类公司信息资产分为:硬件资产、软件资产、数据资产、人员资产、外包服务资产、无形资产、文档资产、环境资产、第三方服务资产等。区分标准如下: 1) 硬件资产:日常工作、公司运作或系统运行所依赖的可见电子设备、设施和工具。主要包括:l 办公类用品,如桌椅、纸张等。l 计算机及配件、辅助设备类,如服务器、台式机、笔记本电脑、移动存储、打印机等。l 网络设备,如网络交换机等。l 其他设备,不属于上述3类的设备设施,如饮水机等。2) 软件资产:依赖电子计算设备运
10、行的非硬件资产。如:操作系统、杀毒软件、源代码、组件、程序、业务系统或平台等。3) 数据资产:计算机软件运行时依赖的原始数据、配置数据,运行时产生的动态数据、结果数据以及能够给公司经济效益、信息安全带来潜在影响的所有数据,这些数据如遗失、非法复制传播、损坏等从经济或安全上可能给公司造成损害。如客户信息数据、系统配置数据、系统登录帐号密码、业务运行数据、电话号码资源等。4.2信息资产的分级管理信息资产的分级管理制度引用如下文件:1) 硬件资产分级管理制度2) 软件资产分级管理制度3) 数据资产分级管理制度4) 人员资产分级管理制度5) 外包服务资产分级管理制度6) 无形资产分级管理制度7) 文档
11、资产分级管理制度8) 环境资产分级管理制度9) 第三方服务资产分级管理制度4.3信息资产分类指导公司各部门依据分类定义和示例,对部门资产识别表中的各类资产进行分级,并报请本部门经理审核确认。公司一级、公司二级信息资产需要报信息安全管理工作小组汇总、审核后,请公司总经理确认审批。资产识别表需详细登记所有信息资产,并确定其分级和管理责任人。5. 信息分级标识5.1分级标识编号硬件资产(H-hard):H1、H2.分别代表一级硬件资产,二级硬件资产.等。软件资产(S-soft):S1、S2.分别代表一级软件资产、二级软件资产.等。数据资产(D-data):D1、D2.分别代表一级数据资产、二级数据资
12、产.等。人员资产(P-person):P1、P2.分别代表一级人员资产、二级人员资产.等。外包服务资产(T-team):T1、T2.分别代表一级外包服务资产、二级外包服务资产.等。无形资产(N-none):N1、N2.分别代表一级无形资产、二级无形资产.等。文档资产(F-file):F1、F2.分别代表一级文档资产、二级文档资产.等。环境资产(E-environmen):E1、E2.分别代表一级环境资产、二级环境资产.等。第三方服务资产(TS-third service):TS1、TS2.分别代表一级第三方服务资产、二级第三方服务资产.等。5.2公司绝密、机密信息定义标记为一级和二级的文档及敏
13、感类的信息称为公司机密信息,三类信息为秘密信息,四类为可内部公开的信息,五类为可公开的信息。绝密信息,除文档资产外,不包含在其他信息资产的分级定义序列中,绝密信息一般由公司最高管理层负责管理和保密义务。5.3各密级知晓范围1) 公司绝密级:高层管理级人员及与公司绝密内容有直接关系的工作人员,对其他任何人都需要保密。掌握核心公司绝密的关键岗位人员的变更、离职须经总经理同意。2) 公司机密级:部门经理级及以上的管理人员以及与公司机密内容有直接关系的工作人员,允许知晓与本工作相关的公司机密事项,对非相关人员需要保密。3) 公司秘密级:部门骨干管理人员以及与公司秘密内容有直接关系的工作人员,允许知晓与本工作相关的公司秘密事项,但对其他部门应保密。4) 内部公开:公司内部所有人员,允许知晓在公司内部范围内属于公开的信息,但未授权不得对公司以外人员泄露公司的内部公开信息。5) 公开:公司外面所有人员,允许知晓由公司内的授权人员宣布可公开的信息。可公开的文档必须转成PDF文档后,或使用其他方法变成只读不可修改的文档后再行发布。5.4分级标识编号可作为分级标识使用1) 公司固定资产硬件设备必须标记分级标识编号。2) 作为电子文件时必须在文件的第一页的显著位置标识分级。3) 对于纸质文档,使用公司统一刻制的分级标识图章进行标识,对于“公司绝密”文档在需要时,通过骑缝章或每页敲章的方式进行“绝密”
免费区 
