F4-B-研发服务体系-006-V1.0-通信安全管理制度

访问控制程序ISMS-B-12第页目录TOC\o"1-3"\h\z72901.目的和范围 284132.引用文件 2123653.职责和权限 2152004.Internet访问控制 21155.网络隔离 318026.无线网络访问管理 360847.信息交流控制措施 3

目的和范围通过控制网络访问权限以及公司与外部的信息传递，防止对办公网系统和应用系统的非法访问。引用文件下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T22080-2016/ISO/IEC27001:2013信息技术-安全技术-信息安全管理体系要求GB/T22081-2016/ISO/IEC27002:2013信息技术-安全技术-信息安全管理实施细则职责和权限各部门必须遵照本管理规范实行对网络、口令和权限的管理，用户必须按照本管理规范访问公司办公网系统和应用系统。Internet访问控制所有员工在工作时间禁止利用公司网络和互联网专线访问违法网站及内容。客户及第三方人员不允许直接通过可访问公司资源的有线或无线网络访问Internet，客户及第三方人员如需访问Internet应当在专设的隔离区进行。网络隔离公司与外部通过防火墙隔离，制定严格的VLAN划分，对公司内重要部门的访问进行控制。系统服务部制定VLAN访问控制说明。对不同的应用系统的用户信息及其他信息进行网络隔离。无线网络访问管理服务部对无线网络进行密码控制管理；员工对密码的保密要求在《密码控制管理制度》文件里做详细规定。信息交流控制措施信息交流方式包括数据交流、电子邮件、电话、纸质文件、谈话、录音、会议、传真、短信、IM工具等；可交流的信息，须符合《信息资产分类分级管理制度》里的密级规定;公司使用的信息交流设施在安全性上应符合国家信息安全相关法律法规、上级主管机关以及本公司安全管理规定的要求；对信息交流应作适当的防范，如不要暴露敏感信息，避免被通过电话偷听或截取；员工、合作方以及任何其他用户不得损害公司的利益，如诽谤、骚扰、假冒、未经授权的采购等；不得将敏感或关键信息放在打印设施上，如复印机、打印机和传真，防止未经授权人员的访问；在使用电子通信设施进行信息交流时，所考虑的控制包括：保护以附件形式传输的电子信息的程序；有业务信件和消息的保持和处置原则，要符合相关的国家或地方法规；在对外联系中，应注意安全保密，用Email发送机密信息必须符合公司的相关规定；因工作需要而传递公司或项目保密文件时，经批准后，可通过加密渠道传递；通过E-MAIL发送机密附件时，如有必要，附件必须加密，密码通过其他方式告知对方。使用传真的人员注意下列问题：故意的或无意的程序设定，向特定的号码发送信息；发送传真时注意，禁止向错误的号码发送文件和信息，不要拨错号码。所有员工签署保密协议，在组织对信息安全需求有变化时进行评审。本制度相关修改及解释权属于研发服务体系文档编号（由总经办填写）F4-B-研发服务体系-006-V1.0密级内部公开文档发布级别公司级文档发布及实行范围全员制度试行日期（可选）制度执行日期2017/07/01文档起草人签字：日期：2017/07/01文档修订人：签字：日期：修订说明