集团公司安全管理手册

PAGEPAGE4集团公司安全管理手册1.介绍本手册包含了集团公司安全管理的政策、标准、程序和实践。为确保我们的员工、业务流程与资产始终处于安全状态，所有工作人员必须遵守本手册规定。2.安全政策集团公司的安全政策必须打成文件，并得到董事会批准。这些政策必须与公司的使命，愿景和战略方向一致，并确定安全成果和目标。我们的安全政策必须包括：2.1安全意识集团公司员工必须了解安全维护对业务流程，人员和资产的重要性，并且每个人都负有保护公司财产及业务的责任。所有员工必须参加安全培训，并将其摆在个人责任的核心位置。2.2风险评估集团公司的安全风险将得到评估，并且将采取必要的步骤，以通过安全计划和策略来减轻各种安全威胁。2.3信息安全集团公司将采取必要的技术和组织保障措施，保护公司的信息系统和数据以及确保隐私性和数据完整性。2.4物理安全集团公司将采取必要措施保护所有的公司资产，保护公司财产。2.5认证与授权在保护公司信息的过程中，确保访问权限的授权，并且正确控制访问。2.6遵守法律法规在所有公司业务中，必须遵守所在国家/地区的法律法规和政策，以及与公司相关的标准和政策。2.7公司安全测量通过公司安全资产和行为的测量，可以正常追踪和实现各方面公司的安全状况。3.安全标准3.1系统安全标准系统安全标准包括基于安全的设备配置和网络安全配置。这些标准应制定明确的安全选项包括但不限于防火墙、入侵检测/防御系统等来增强网络安全性。此外，对于配置信息、备份计划，必须限制对数据的访问。3.2员工安全标准员工安全标准包括安全培训，保护机密信息和数据，预防社交工程等方面的措施。3.3物理安全标准物理安全标准包括安全定位、物理访问控制、摄像头视频监控​。4.安全应急响应计划集团公司必须制定一个安全应急响应计划（ERP，EmergencyResponsePlan）来处理紧急事件。通过日常维护和有效的应对，对公司和客户的影响将最小化。ERP至少应考虑以下事项：对公司的紧急情况进行分类每个分类需要的反应和处理措施的描述所有紧急事件响应的联系人执行安全还原过程的股东为每一任务或紧急事件规定服务水平（SLA）（恢复时间目标等）5.安全审计集团公司必须按照政策和培训的规定，定期进行安全审计。当出现问题时，公司为了检测到有问题，必须采取巡视及安全审计模式，记录和解决各种安全威胁。5.1安全审计类型管理安全审计用户安全审计保密信息约束安全审计访问详细信息安全审计安装资源和应用程序安全审计6.安全实践6.1停用未使用的系统、设备和服务由于未使用的系统、设备和服务可能会成为潜在的安全漏洞，因此必须查询所有未使用的系统、设备和服务，并及时停用。6.2移动设备安全对于拥有移动设备、创造工作文件夹的人员，必须满足严格的安全措施，包括但不限于密码锁及MobileDeviceManagement（MDM）控制等措施保证数据安全。6.3网络安全为防止攻击者可以在网络内部活动，在防火墙设置进行严格的堵塞。另外，通过切换允许的网络通信方式来确保内部和外部连接的网络安全。结论集团公司安全管理手册是确保