信息安全策略

1、部门/职位签字部门/职位签字日期状态审核NNN2020-11-10受控机密批准NNN2020-11-10NNN-ISTS-A-03 信息安全策略发布日期：NNN-ISTS-A-03 信息安全策略发布日期：2020-11-10执行日期：2020-11-10变更日期版本变更日期版本变更说明编写审核批准2020-11-10A/0创建信息安全小组NNNNNN文件批准信息NNN-ISMS-A-03信息安全策略发布日期：2020-11-10执行日期：2020-11-10NNN-ISMS-A-03信息安全策略发布日期：2020-11-10执行日期：2020-11-10 PAGE PAGE 5目的在已经实施的

2、信息安全控制措施的基础上，公司增加实施以下信息安全策略，以满足已识别的信息安全要求，控制公司信息安全风险。范围本文件适用于公司 ISMS 覆盖范围内的相应员工和活动。信息安全策略序控制措施实施方法和要号信息安全小组负责对公司各部门的信息安全工作实施评审，评对应标准条款信息安全的独立评审信息的标记和处理外部和环境威胁的安全防护审周期为 6 个月；对信息安全工作实施评审。公司所有硬件信息资产，由软件研发部进行分类标识和管理；由各责任部门负责分类标识和管理。行政部负责公司的防火、防盗、防水灾等工作；浸水。A.18.2.1A.8.2.2A.11.1.4行政部负责与物业公司保持联系，以保证供水、供电、防

3、盗、支持性设施空调、排水等设施正常工作；A.11.2.2布缆安全听或损坏；公司在 IT 免相互影响。A.11.2.3设备的安全处置或再利用信息安全小组负责对报废设备的处理，采取物理的或技术的措A.11.2.7施，确保报废设备中的数据不被还原。文件化的操作程序数据业务部负责编制信息处理设备相关的操作规程；数据业务部应根据需要对操作规程进行定期的评审和修订。A.12.1.1变更管理数据业务部负责对公司所有信息处理设施和系统的变更进行管理和控制，其工作应覆盖：a） 重大变更的标识和记录； b） 变更的策划和测试；对这种变更的潜在影响的评估，包括安全影响；对建议变更的正式批准规程； e）f）A.12.

4、1.21)信息安全小组负责信息安全职责的划分；责任分离1)信息安全小组负责信息安全职责的划分；责任分离2)软件研发部负责相关设备和系统访问权限的设置和布署；3)公司所有的评审工作应独立于被评审的区域。1)软件研发部应确保开发、测试和运行设施和环境的分离；开发、测试和运2)在运行环境中不安装任何开发工具；行设施分离3)测试系统中不使用敏感数据；4)对测试系统应进行明显的标识。第三方服务的监信息安全工作应定期监视和评审由第三方提供的服务、报告和视和评审记录。10A.12.1.411A.15.2.1第三方服务的变更管理容量管理系统验收控制恶意软件催收部负责管理第三方服务的变更，包括保持和改进现有的信

5、息安全方针策略、程序和控制措施，考虑业务系统和涉及过程的关键程度及风险的再评估。提出资源需求计划。适时调整。数据业务部负责建立对新系统、系统升级等的验收准则；信息安全小组负责验收，验收通过方可上线使用。数据业务部负责采取措施，防范和检测恶意软件的引入；意代码的危险；一旦感染恶意代码，软件研发部负责清除。A.15.2.2A.12.1.3A.14.2.9A.12.2.1数据业务部负责建立信息的处理及存储程序，以防止信息的未授信息处理程序权的泄漏或不当使用。A.8.2.3信息交换策略和程序对于任何通过网络和系统进行的信息交换，由软件研发部负责建立交换策略、程序和技术措施，以确保信息交换中的信息安全。

6、A.13.2.1如果与公司以外的单位进行信息交换，由信息安全小组建立交交换协议换信息的协议，以保证公司信息安全。A.13.2.2运输中的物理介质电子消息发送公共网络应用服务的安全当通过电子邮件、即时消息工具等传递数据和信息时，软件研发部应采取措施，以保证信息安全。的发布应经公司领导批准；整性和适宜性；网站以外的，公司对外发布的信息，应经公司领导批准。A.8.3.3A.13.2.3A.14.1.2日志信息的保护1)软件研发部负责日志信息的保护以防止篡改和未授权的访问； A.12.4.22)信息安全小组应对日志信息进行监视和评审。数据业务部负责采取具体措施，保持公司所有相关信息处理设施时钟同步的时

7、钟保持同步。A.12.4.4网络隔离安全登录程序系统实用工具的使用数据业务部负责采取措施，实现公司网络及网络用户和服务的隔离，包括：内网和外网的隔开；根据需要，在公司内网中划分不同的逻辑域；数据业务部负责采取措施，对访问操作系统的登录程序加以控制，包括：登录前，显示只有已授权的用户才能访问；c）限制所允许的不成功登录尝试的次数为5 次；不显示输入的口令；不在网络上以明文传输口令。工具；安全小组批准，方可使用类似工具。A.13.1.3A.9.4.2A.9.4.4移动设备策略算和通信设施（如笔记本电脑、掌上电脑、移动存储设备等）造成的风险，具体安全措施应包括：a）b）c）d）e） 禁止在移动计算设

8、备上存储与此次业务无关的数据； f）置在公司内。A.6.2.1安全要求分析和说明数据业务部应采取措施，在开发或采购新的系统时，应进行安全需求分析，并规定对安全控制措施的要求。A.14.1.1系统测试数据的保护数据业务部应采取措施，以选择、保护和管理测试数据。A.14.3.1对程序源代码的访问控制数据业务部应采取措施，保护程序源代码，限制访问程序源代码。 A.9.4.5变更控制程序操作系统变更后应用的技术评审数据业务部应采取措施，实施变更控制，具体措施包括：确保由授权的用户提交变更；害；识别需要变更的所有软件、信息、数据库实体和硬件；变更工作开始之前，获得对详细建议的批准；确保已授权的用户在实施之前接受变更；归档或删除；维护所有软件更新的版本控制；当必要时，修订相关操作规程；过程。当操作系统发生变更后，软件研发部负责对业务的关键应用进行评审和测试，以确保对公司的业务和安全没有负面影响。A.14.2.2A.14.2.3软件包变更的限软件包变更的限34制数据业务部应采取措施，避免或限制对原厂商所提供的软件包进行修改。确实需要，应对所有的变更加以严格管理。A.14.2.4符合安全策略和35标准ISM