S0012CN-个人设备安全策略

第3页共10页 本文档版权归属快钱支付清算信息所有。未经书面许可，任何单位或个人不得以任何形式摘抄、复制本文档的任意局部或全部，并以任何形式传播。快钱支付清算信息系统运营部平安中心编制____________________________个人设备平安策略____________________________页脚：宋体，Arial，五号，单倍行距，需填写客户公司名称页脚：宋体，Arial，五号，单倍行距，需填写客户公司名称Version1.2StatusReleasedOwnerCEOClassification99billconfidentialIDS0012CNLastMod.Date2009-目录目录 2文档信息表 31. 个人设备信息平安 51.1. 文档目的 51.2. 读者范围 52. 平安目标 63. 责任 63.1. 个人设备的提供 63.2. 个人责任 64. 一般步骤 74.1. 建议和支持 74.2. 应急响应 75. 平安控制 85.1. 毁坏和丧失 85.2. 物理访问 85.3. 逻辑访问 85.4. 根本配置 95.5. 软件使用 95.5.1. 强制安装软件 95.5.2. 禁止软件 95.5.3. 更新和补丁 95.6. 文件加密系统 105.7. 通信平安 105.8. 备份 105.9. 去除 10文档信息表文档根本信息文档名称架构平安策略保密级别机密文档版本号S0011CN制作人制作日期2009-2-4复审人Oliver复审日期扩散范围扩散批准人文档修订信息版本修正章节日期作者变更记录ALL2009-2刘锦祥文档创立ALL2009-Oliver文档发布ALL2010-2-2赵海锋文档格式调整本文档为99bill机密性文档。该分类级别针对高度敏感信息。标记为“99bill机密〞的信息访问仅限于需要获取该信息的员工。标识为“99bill机密〞的文件不可以在未签署保密协议〔NDA〕情况下给到外部人员。访问存放在中央IT系统中的“99bill机密〞文档必须受控。任何人获得标识为“99bill机密〞的文档，必须采取保护措施确保信息不被任何非授权用户获取。相关文档EncryptionPolicyS0014ENSecurityofInfrastructureS0011ENPhysicalandOfficeSecurityS0013ENCorrectiveandPreventiveActionsQ0105ENSoftwareUsageS1007EN个人设备信息平安文档目的本指引针对分配给99bill员工的信息和通讯系统设备提出相关平安规定。个人办公设备是99BILL提供应员工或者其他方处理、通讯和存储99bill或者99bill客户的相关信息的物理资产，且员工具有这些设备的控制权。个人办公设备在本文档中主要指笔记本电脑和PC机。同时本文档也广泛适用于外部存储介质例如USB硬盘、CD、外置硬盘和其他个人设备例如PDA或智能。本文档定义了个人设备的平安规定，特别是在保护的平安环境之外的时候；本文档也定义了在有可能遭受威胁的环境下所要求的平安控制措施从而实现这些设备的有效防护。读者范围本文档涉及99bill所有员工以及使用99bill设备的外部人员。平安目标快钱员工在个人办公设备存储和处理的数据通常包括如下“重要数据〞：私有和机密的客户信息；私有和机密的公司信息；用于平安控制的平安数据，例如key，密码，证书等；用于部署设备及其应用的数据，例如许可密钥、软件镜像等。以下条款提供平安基准的简要说明：存放在个人办公设备数据必须防止破坏数据机密性，例如非授权用户物理访问包括破坏性攻击；存放在个人办公设备数据必须防止破坏数据可用性，例如物理性地丧失设备、被偷窃、出现故障等；存放在个人办公设备数据必须防止破坏数据完整性，例如通过不平安的通信和恶意的软件；存放在个人办公设备数据必须防止数据滥用，例如感染病毒、蠕虫或者被安装恶意软件。责任个人设备的提供快钱发给员工的个人使用设备都应该明确的被理解为快钱保持所有权，快钱有权在任何时候且无需通知持有人的情况下收回。快钱提供的个人使用设备只被允许用于商业用途。个人责任雇员有责任保护个人办公设备在他们使用时候的平安，因此应该执行和维护所有适宜的平安措施。雇员有责任保护所有在其个人办公设备上存储和处理的信息。一般步骤建议和支持99bill支持雇员选择、安装和维护适宜的平安访问控制措施。99bill提供必要的技术和组织方式来实施适当的个人办公设备平安防护。应急响应一旦影响到个人办公设备或者存放在上面的数据的事故发生时，应当执行一般性的事故处理流程，详见?Q0105EN纠正性和预防性行为?。平安控制毁坏和丧失个人办公设备应该在平安环境之外被恰当的保护来防止毁坏、偷窃和丧失。在差旅、客户环境或家中，只有完全是工作所必须的设备才能够被携带。物理访问个人办公设备应该防止被未授权用户物理访问，特别在离开99BILL办公环境中使用时。个人办公设备在公共地方或者其他可能有未授权访问登录的地方应该不离开携带者的视线，例如车上，公共交通工具、会议场地或者家里。如果无法防止，适宜的平安措施必须采用，例如锁在平安的柜子中。有价值的东西应该保持“不可见〞，从而防止引起偷窃。逻辑访问必须采用适当的平安机制，实现访问控制的级别，到达存储在个人办公设备信息类别的不同访问控制级别要求。在可能情况下，应当强制使用以下平安措施：启动密码/PIN；设备离开视线时使用屏幕保护锁定屏幕；加密“机密“级别和更高级别信息，如果这些信息存放在便携设备或者介质；或者在公共网络通道中传输〔推荐内部信息使用加密〕；给使用便携式存储设备设密码；安装个人防火墙在笔记本电脑〔参见“强制使用软件〞〕；使用防间谍软件；使用非特权用户。根本配置对于每种不同的个人办公设备，应提供推荐的配置指定可用的硬件、软件和效劳。然而，每个99bill员工在遵守许可规定的情况下，可以更改他们的个人办公设备的配置。此外更改不应该影响和同事及客户合作方的通讯，同时也不应该导致99bill额外的开销。99bill保存禁止使用特殊产品的权利。软件使用强制安装软件某些软件组件必须被安装，更新到最新版本，并保持任何时刻都启用该功能。详见?S1007ENSoftwareUsage?中的“MandatorySoftware〞。禁止软件此外，有些软件必须不能在99bill所拥有的计算机资源或者99bill内部网络中进行安装，详细列表在?S1007ENSoftwareUsage?的“ProhibitedSoftware〞.中查看。在某些特殊环境下可能必须使用禁止的软件，例如由于某些客户的需要，这样的情况，使用必须得到管理层的明确同意。更新和补丁文档“S1007ENSoftwareUsage〞说明了使用强制安装软件的特定版本要求，包括软件强制补丁和更新，此文档由IT管理部两月更新一次，每个雇员需要查看此文档的变更，如果需要那么更新所有个人设备。所有可用的平安补丁应该立即安装除非IT部门说明的特殊进程。这也包括在“软件使用〞说明文档中未提及的软件。防病毒软件的病毒代码库更新应至少每周一次。防间谍软件代码库应该保持周期性更新。其他补丁和更新文件一旦满足5.4要求那么立刻安装。如果没有的平安问题，推荐至少保持每6个月更新一次，除非某些特殊的原因强制使用老版本。文件加密系统与客户相关的信息应该存放在加密环境中〔例如文件系统、驱动设备、目录〕。详见?S0014ENEncryptionPolicy?。通信平安在潜在威胁环境下的通讯传输的信息应该被保护：连接外部网络的时候，个人防火墙必须确保处于启用状态；外部网络连接到99bill内部系统时，应使用VPN连接。当使用VPN连接时，默认所有网络流量应通过VPN连接；机密信息应该在被加密的状态下在可能有潜在威胁的环境中传输〔邮件、即时消息、VOIP等〕，详见99bill加密策略；无线网络效劳比方蓝牙和红外设备应该默