第一篇：ISO27001信息安全體系培訓(xùn)(條款A(yù)7-資產(chǎn)管理).

ISO27001培訓(xùn)系列V1.0 ISO 27001信息安全體系培訓(xùn)控制目標(biāo)和控制措施(條款A(yù)7-資產(chǎn)管理 2009年11月

董翼?xiàng)?dongyifeng78@hotmail.com 條款A(yù)7

資產(chǎn)管理 A7.1對(duì)資產(chǎn)負(fù)責(zé) ?目標(biāo): 實(shí)現(xiàn)和保持對(duì)組織資產(chǎn)的適當(dāng)保護(hù)。

?所有資產(chǎn)應(yīng)是可核查的,并且有指定的責(zé)任人。

?對(duì)于所有資產(chǎn)要指定責(zé)任人,并且要賦予保持相應(yīng)控制措施的職責(zé)。特定控制措施的實(shí)施可以由責(zé)任人適當(dāng)?shù)匚蓜e人承擔(dān),但責(zé)任人仍有對(duì)資產(chǎn)提供適當(dāng)保護(hù)的責(zé)任。

A7.1.1資產(chǎn)清單

控制措施

?應(yīng)清晰的識(shí)別所有資產(chǎn),編制并維護(hù)所有重要資產(chǎn)的清單。實(shí)施指南

?一個(gè)組織應(yīng)識(shí)別所有資產(chǎn)并將資產(chǎn)的重要性形成文件。資產(chǎn)清單應(yīng)包括所有為從災(zāi)難中恢復(fù)而需要的信息,包括資產(chǎn)類型、格式、位置、備份信息、許可證信息和業(yè)務(wù)價(jià)值。該清單不應(yīng)復(fù)制其他不必要的清單,但它應(yīng)確保內(nèi)容是相關(guān)聯(lián)的。

?另外,應(yīng)商定每一資產(chǎn)的責(zé)任人(見A7.1.2和信息分類(見A7.2,并形成文件。基于資產(chǎn)的重要性、其業(yè)務(wù)價(jià)值和安全級(jí)別,應(yīng)識(shí)別與資產(chǎn)重要性對(duì)應(yīng)的保護(hù)級(jí)別。

A7.1.2資產(chǎn)責(zé)任人 控制措施

?與信息處理設(shè)施有關(guān)的所有信息和資產(chǎn)應(yīng)由組織的指定部門或人員承擔(dān)責(zé)任。

實(shí)施指南

?資產(chǎn)責(zé)任人應(yīng)負(fù)責(zé): a確保與信息處理設(shè)施相關(guān)的信息和資產(chǎn)進(jìn)行了適當(dāng)?shù)姆诸?b確定并周期性評(píng)審訪問限制和分類,要考慮到可應(yīng)用的訪問控制策略。?所有權(quán)可以分配給: a業(yè)務(wù)過程;b已定義的活動(dòng)集;

c應(yīng)用;d已定義的數(shù)據(jù)集。A7.1.3資產(chǎn)的合格使用

?與信息處理設(shè)施有關(guān)的信息和資產(chǎn)使用允許規(guī)則應(yīng)被確定、形成 文件并加以實(shí)施。

?所有雇員、承包方人員和第三方人員應(yīng)遵循信息處理設(shè)施相關(guān)信息和資產(chǎn) 的可接受的使用規(guī)則,包括: a 電子郵件和互聯(lián)網(wǎng)使用(見 A10.8規(guī)則;b 移動(dòng)設(shè)備,尤其是在組織外部使用設(shè)備(見 A11.7;1的使用指南;?具體規(guī)則或指南應(yīng)由相關(guān)管理者提供。使用或擁有訪問組織資產(chǎn)權(quán)的雇員、承包方人員和第三方人員應(yīng)意識(shí)到他們使用信息處理設(shè)施相關(guān)的信息和 資產(chǎn)以及資源時(shí)的限制條件。他們應(yīng)對(duì)使用信息處理資源以及在他們職責(zé) 下的使用負(fù)責(zé)。

A7.2信息分類 ?目標(biāo) : 確保信息受到適當(dāng)級(jí)別的保護(hù)。

?信息要分類,以在處理信息時(shí)指明保護(hù)的需求、優(yōu)先級(jí)和期望程 度。?信息具有可變的敏感性和關(guān)鍵性。某些項(xiàng)可能要求附加等級(jí)的保 護(hù)或特殊處理。信息分類機(jī)制用來定義一組合適的保護(hù)等級(jí)并傳 達(dá)對(duì)特殊處理措施的需求。

A7.2.1分類指南

?信息應(yīng)按照它對(duì)組織的價(jià)值、法律要求、敏感性和關(guān)鍵性予以分 類。?信息的分類及相關(guān)保護(hù)控制措施要考慮到共享或限制信息的業(yè)務(wù)需求以及與這種需求相關(guān) 的業(yè)務(wù)影響。

?分類指南應(yīng)包括根據(jù)預(yù)先確定的訪問控制策略(見 A11.1.1進(jìn)行初始分類及一段時(shí)間后 進(jìn)行重新分類的慣例。

?確定資產(chǎn)的類別、對(duì)其周期性評(píng)審、確保其跟上時(shí)代并處于適當(dāng)?shù)募?jí)別,這些都應(yīng)是資產(chǎn) 責(zé)任人(見 A7.1.2的職責(zé)。分類要考慮 A10.7.2提及的集合效應(yīng)。

?應(yīng)考慮分類類別的數(shù)目和從其使用中獲得的好處。過度復(fù)雜的方案可能對(duì)使用來說不方便 ,也不經(jīng)濟(jì),或許是不實(shí)際的。在解釋從其他組織獲取的文件的分類標(biāo)記時(shí)應(yīng)小心,因?yàn)?其他組織可能對(duì)于相同或類似命名的標(biāo)記有不同的定義。

A7.2.2信息的標(biāo)記和處理

?應(yīng)按照組織所采納的分類機(jī)制建立和實(shí)施一組合適的信息標(biāo)記和 處理程序。

?信息標(biāo)記的程序需要涵蓋 物理和電子格式 的信息資產(chǎn)。

?包含分類為敏感或關(guān)鍵信息的系統(tǒng)輸出應(yīng)在該輸出中攜帶合適的分類標(biāo)記。該標(biāo)記要根據(jù) A7.2.1中所建立的規(guī)則反映出分類。待考慮的項(xiàng)目包括打 印報(bào)告、屏幕顯示、記錄介質(zhì)(例如磁帶、磁盤、CD、電子消息和文件 傳送。

?對(duì)每種分類級(jí)別,要定義包括安全處理、儲(chǔ)存、傳輸、刪除、銷毀的處理 程序。還要包括一系列任何安全相關(guān)事態(tài)的監(jiān)督和記錄程序。

?涉及信息共享的與其他組織的協(xié)議應(yīng)包括識(shí)別信息分類和解釋其他組織分 類標(biāo)記的程序。

END

Thank you!

第二篇：應(yīng)收帳款管理培訓(xùn)

應(yīng)收帳款管理培訓(xùn)

第一部分：應(yīng)收賬款成因與分析

我們會(huì)根據(jù)企業(yè)現(xiàn)有的應(yīng)收財(cái)款狀況，分析其形成的原因并找出相應(yīng)的管理環(huán)節(jié)的疏漏或真空。

第二部分：應(yīng)收帳款的功能與成本分析

根據(jù)對(duì)企業(yè)具體應(yīng)收賬款的形成與應(yīng)對(duì)措施的了解，及其應(yīng)收帳款的功能分析不同應(yīng)收帳款政策的相應(yīng)成本。

應(yīng)收賬款的成本包括：

○ 機(jī)會(huì)成本：分析及其計(jì)算○ 管理成本：內(nèi)容及其分類○ 壞賬成本：確認(rèn)及其處理

第三部分：確定企業(yè)應(yīng)收賬款管理控制的目標(biāo)：

與企業(yè)高層達(dá)成共識(shí)，確定企業(yè)應(yīng)收帳款控制的目標(biāo)，確定合理的信用額度和具體的管理措施，并以制度的形式確立。

第四部分：確定相關(guān)信用政策，對(duì)不同成因的應(yīng)收帳款進(jìn)行選擇與運(yùn)用

本部分包括：

（一）信用標(biāo)準(zhǔn)

○ 信用標(biāo)準(zhǔn)的影響因素：定性分析○ 信用標(biāo)準(zhǔn)的確立：定量分析

（二）信用條件

○ 信用期限與折扣○ 信用條件方案的評(píng)價(jià)

第五部分：應(yīng)收賬款的日常控制及制度基礎(chǔ)

（一）壞賬準(zhǔn)備制度

（二）應(yīng)收賬款預(yù)算控制

（三）應(yīng)收賬款分類控制

（四）現(xiàn)金流量控制

（五）應(yīng)收賬款報(bào)告

第六部分：應(yīng)收賬款的評(píng)估與分析

（一）應(yīng)收賬款的風(fēng)險(xiǎn)評(píng)估

○行業(yè)風(fēng)險(xiǎn)評(píng)估○ 經(jīng)營(yíng)風(fēng)險(xiǎn)評(píng)估○ 管理風(fēng)險(xiǎn)評(píng)估

（二）應(yīng)收賬款的財(cái)務(wù)分析

○ 追蹤分析○ 賬齡分析○ 收現(xiàn)率分析

第七部分：應(yīng)收賬款收賬政策與組織

（一）應(yīng)收賬款收賬政策

（二）應(yīng)收賬款收賬組織與策略

○ 應(yīng)收賬款重整○ 應(yīng)收賬款融資

第三篇：汽車工業(yè)有限公司IT資產(chǎn)及網(wǎng)絡(luò)信息安全管理規(guī)定

湖北汽車工業(yè)有限公司 IT資產(chǎn)及網(wǎng)絡(luò)信息安全管理規(guī)定

一、總則

1、為規(guī)范公司計(jì)算機(jī)及其網(wǎng)絡(luò)的管理，確保公司計(jì)算機(jī)及其網(wǎng)絡(luò)資源穩(wěn)定、安全、高效地運(yùn)行，保障公司各種工作正常開展，特制定本規(guī)定。

2、信息設(shè)備本著誰使用誰負(fù)責(zé)的原則，實(shí)行定人定編管理。每臺(tái)計(jì)算機(jī)由公司各部門落實(shí)其責(zé)任人。計(jì)算機(jī)責(zé)任人對(duì)計(jì)算機(jī)具有操作、使用的權(quán)限。

3、各部門負(fù)責(zé)人有對(duì)本部門所屬計(jì)算機(jī)使用情況進(jìn)行監(jiān)督、檢查的職責(zé)。

4、計(jì)算機(jī)管理人員有權(quán)對(duì)公司及下屬單位的計(jì)算機(jī)資源進(jìn)行操作、管理、監(jiān)督。

5、本規(guī)定中計(jì)算機(jī)資源管理是指： ? 計(jì)算機(jī)及其外設(shè)的硬件、軟件管理； ? 計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備及其網(wǎng)絡(luò)資源管理； ? IT資產(chǎn)的申購(gòu)、配發(fā)、上交、維修管理； ? 信息安全管理；

? 其它與計(jì)算機(jī)有關(guān)的使用管理。

6、本規(guī)定中的計(jì)算機(jī)是指：計(jì)算機(jī)主機(jī)、顯示器及其附件，包括鼠標(biāo)、鍵盤、電源等。

7、本規(guī)定中所指的計(jì)算機(jī)附屬設(shè)備主要指計(jì)算機(jī)外部設(shè)備，如：各類打印機(jī)、移動(dòng)硬盤、U盤、刻錄機(jī)、掃描儀、復(fù)印機(jī)、音箱等其它為提高工作效率所配備的硬件設(shè)備。

8、本規(guī)定中涉及的計(jì)算機(jī)網(wǎng)絡(luò)是指：公司使用的局域網(wǎng)、互聯(lián)網(wǎng)及網(wǎng)絡(luò)上提供的各類服務(wù)，所有應(yīng)用平臺(tái)、業(yè)務(wù)平臺(tái)、管理平臺(tái)等。

9、本規(guī)定中的計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備是指：交換機(jī)、路由器、防火墻、上網(wǎng)行為管理、USB無線網(wǎng)卡、網(wǎng)線等。

10、本規(guī)定中的軟件是指：

計(jì)算機(jī)操作系統(tǒng)； / 6

辦公軟件，如：OFFICE系列的WORD、EXCL、POWERPOINT等； 其它工作中必需的軟件，如：PDF、AUTOCAD、CORLDRAW、CATIA等； 計(jì)算機(jī)及網(wǎng)絡(luò)的安全管理軟件，如：殺毒軟件、計(jì)算機(jī)防火墻等； 各類計(jì)算機(jī)業(yè)務(wù)平臺(tái)和管理系統(tǒng)平臺(tái)； 其它計(jì)算機(jī)應(yīng)用軟件、程序。

11、本規(guī)定適用于公司所轄一切計(jì)算機(jī)資源的應(yīng)用范圍。

二、信息設(shè)備的申購(gòu)、配發(fā)、回收、維修流程

1、計(jì)算機(jī)設(shè)備申請(qǐng)采購(gòu)流程：

使用人提出OA申請(qǐng)＞IT用品申領(lǐng)單申請(qǐng)＞報(bào)經(jīng)本單位（部門）負(fù)責(zé)人審批同意＞部門分管領(lǐng)導(dǎo)審批＞公司總經(jīng)理審批＞經(jīng)營(yíng)企劃部審批＞采購(gòu)＞入庫(kù)手續(xù)（固定資產(chǎn)登記）＞出庫(kù)手續(xù)＞配發(fā)安裝

2、辦公外設(shè)設(shè)備的配發(fā)：

使用人提出OA申請(qǐng)＞IT用品申領(lǐng)單申請(qǐng)＞報(bào)經(jīng)本單位（部門）負(fù)責(zé)人審批同意＞經(jīng)營(yíng)企劃部審批＞采購(gòu)＞領(lǐng)用人員簽字確認(rèn)＞IT工程師安裝調(diào)試

3、計(jì)算機(jī)更換流程

使用人提出OA申請(qǐng)＞報(bào)經(jīng)本單位（部門）負(fù)責(zé)人審批同意＞OA填寫運(yùn)維申請(qǐng)單＞經(jīng)營(yíng)企劃部審批＞領(lǐng)用人員簽字確認(rèn)＞IT工程師安裝調(diào)試＞

4、計(jì)算機(jī)設(shè)備回收：

使用人提出OA申請(qǐng)＞本單位（部門）負(fù)責(zé)人審批同意＞OA填寫運(yùn)維申請(qǐng)單＞經(jīng)營(yíng)企劃部審批＞IT工程師檢查回收設(shè)備＞固定資產(chǎn)登記＞使用人簽字確認(rèn)＞固定資產(chǎn)回收

5、計(jì)算機(jī)設(shè)備報(bào)修：

信息設(shè)備軟硬、件故障＞使用人通過OA填寫運(yùn)維申請(qǐng)單＞經(jīng)營(yíng)企劃部審批＞IT工程師確認(rèn)故障并到場(chǎng)維修＞計(jì)算機(jī)使用人確認(rèn)故障已排除＞IT工程師填寫運(yùn)維申請(qǐng)單OA登記

三、計(jì)算機(jī)硬件使用及管理 / 6

1、在未經(jīng)經(jīng)營(yíng)企劃部授權(quán)的情況下，其它任何人不得隨意對(duì)計(jì)算機(jī)設(shè)備搬移，調(diào)換；不得隨意拆、卸計(jì)算機(jī)設(shè)備，如有因此而造成的信息設(shè)備損壞，由當(dāng)事人承擔(dān)相應(yīng)產(chǎn)生的更換、維修費(fèi)用。

2、計(jì)算機(jī)設(shè)備的安裝調(diào)試：

計(jì)算機(jī)設(shè)備的安裝調(diào)試由IT工程師完成，其它任何人不得擅自安裝計(jì)算機(jī)設(shè)備及其附屬設(shè)備，如音箱，掃描儀等。

3、計(jì)算機(jī)設(shè)備發(fā)生軟、硬件故障需通知IT工程師安排專業(yè)人員處理。在未經(jīng)IT工程師授權(quán)的情況下不得擅自處理。

4、使用者不得擅自設(shè)置或更改計(jì)算機(jī)BIOS密碼，如發(fā)現(xiàn)有設(shè)置者，IT工程師有權(quán)清除并在公司內(nèi)通報(bào)批評(píng)。

5、如因工作需要，需要調(diào)換、更換計(jì)算機(jī)及附件的需提前申請(qǐng)，由IT工程師調(diào)換。

6、IT工程師在對(duì)計(jì)算機(jī)及附屬設(shè)備進(jìn)行安裝、維護(hù)、維修時(shí)需做好相應(yīng)記錄。

7、禁止在未經(jīng)許可的情況下，擅自安裝計(jì)算機(jī)硬件及其附件。

8、離職員工不得移除計(jì)算機(jī)內(nèi)的軟、硬件和文件，并在離職前向信息科申請(qǐng)檢查，在IT工程師到場(chǎng)檢查信息設(shè)備軟、硬件和文件完整以后，在離職手續(xù)上簽字確認(rèn)方可辦理離職手續(xù)，同時(shí)回收其IT設(shè)備。

四、計(jì)算機(jī)軟件使用及管理

1、計(jì)算機(jī)操作系統(tǒng)及軟件的安裝調(diào)試必須由IT工程師進(jìn)行，其它任何人不得在未經(jīng)經(jīng)營(yíng)企劃部授權(quán)的情況下擅自安裝、刪除計(jì)算機(jī)操作系統(tǒng)程序和軟件。

2、任何部門或個(gè)人不得擅自更改計(jì)算機(jī)的各項(xiàng)設(shè)置，如：計(jì)算機(jī)名、IP地址、MAC地址、IT工程師密碼、登陸方式等

3、計(jì)算機(jī)使用人員應(yīng)經(jīng)常整理計(jì)算機(jī)中的文件、數(shù)據(jù)，保持文件的有序存放。

4、使用者不得在計(jì)算機(jī)上存放有破壞公司形象及與網(wǎng)絡(luò)正常運(yùn)行的軟件，如：各類黑客程序、有意帶病毒的文件，小說、娛樂電影以及其它不健康的文件，如：（黃色圖片、反動(dòng)文章、視頻圖像等）。/ 6

5、嚴(yán)禁使用計(jì)算機(jī)設(shè)備做與工作無關(guān)的操作，如：玩游戲、看電影、網(wǎng)上賭博等。

6、禁止訪問與工作無關(guān)的網(wǎng)站。

五、計(jì)算機(jī)網(wǎng)絡(luò)管理

1、任何人不得擅自將私人計(jì)算機(jī)、筆記本、手機(jī)、U盤等設(shè)備接入公司計(jì)算機(jī)或公司計(jì)算機(jī)網(wǎng)絡(luò)。如確有需求，須先行通過經(jīng)營(yíng)企劃部備案。

2、任何人不得擅自挪用公司計(jì)算機(jī)設(shè)備、網(wǎng)絡(luò)資源，更不能破壞計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備。

3、任何人不得利用公司計(jì)算機(jī)網(wǎng)絡(luò)開展損害公司利益，和其它有損他人計(jì)算機(jī)、計(jì)算機(jī)網(wǎng)絡(luò)安全的活動(dòng)，不得利用公司計(jì)算機(jī)網(wǎng)絡(luò)從事非法活動(dòng)。

4、公司實(shí)行辦公，研發(fā)，生產(chǎn)設(shè)備網(wǎng)絡(luò)隔離制度。有訪問特定網(wǎng)絡(luò)需要的部門及個(gè)人，請(qǐng)?jiān)贠A內(nèi)提出“網(wǎng)絡(luò)申請(qǐng)單”，經(jīng)營(yíng)企劃部審批同意后由IT工程師安裝調(diào)試。

5、不得利用公司網(wǎng)絡(luò)下載與工作無關(guān)的軟件、電影等；不得擅自使用帶有P2P協(xié)議的軟件下載工具，如：迅雷，QQ旋風(fēng)等，如有工作需要使用的軟件，須通過OA申請(qǐng)，經(jīng)營(yíng)企劃部審批同意以后由IT工程師下載完成后提交公司文件服務(wù)器中供大家使用，以避免重復(fù)下載，浪費(fèi)網(wǎng)絡(luò)資源，影響網(wǎng)絡(luò)穩(wěn)定。

6、不得在公司網(wǎng)絡(luò)使用黑客工具及危害公司計(jì)算機(jī)及計(jì)算機(jī)網(wǎng)絡(luò)安全、數(shù)據(jù)安全的軟件或程序。

7、不得使用黑客工具或網(wǎng)絡(luò)管理軟件影響公司網(wǎng)絡(luò)的正常運(yùn)行。

8、不得擅自關(guān)閉、刪除、卸載其安裝在計(jì)算機(jī)上的殺毒軟件及防火墻，對(duì)收取的郵件應(yīng)先確認(rèn)無病毒后再打開，發(fā)現(xiàn)可疑情況請(qǐng)向經(jīng)營(yíng)企劃部反映。

9、任何人在未經(jīng)許可的情況下，不得擅自發(fā)起與工作無關(guān)的多人對(duì)話、網(wǎng)絡(luò)會(huì)議、廣播信息；嚴(yán)禁利用計(jì)算機(jī)或計(jì)算機(jī)網(wǎng)絡(luò)發(fā)表有損公司、個(gè)人利益或形象的言論。

10、各部門、各公司員工不得在未經(jīng)許可的情況下利用公司網(wǎng)絡(luò)架設(shè)各類服務(wù)器，如：Web服務(wù)器、FTP服務(wù)器、文件共享等。如果確有必要的，應(yīng)該事先向經(jīng)營(yíng)企劃部提出申請(qǐng)，審核批準(zhǔn)后方可設(shè)立。所設(shè)服務(wù)應(yīng)指定專人負(fù)責(zé)管理，/ 6

并接受經(jīng)營(yíng)企劃部的監(jiān)督。

六、計(jì)算機(jī)及其數(shù)據(jù)安全

1、計(jì)算機(jī)使用人必須為計(jì)算機(jī)設(shè)置系統(tǒng)密碼（Windows開機(jī)密碼），密碼至少6位，應(yīng)由字母、數(shù)字和字符組成。

2、計(jì)算機(jī)使用人必需對(duì)用戶密碼和各類系統(tǒng)密碼妥善保管，不得將密碼泄露給他人，嚴(yán)防被竊。若因此造成公司或個(gè)人信息、文件外泄、丟失的，其責(zé)任自行承擔(dān)。

3、未經(jīng)許可，嚴(yán)禁任何人將除工作、學(xué)習(xí)、培訓(xùn)資料以外的私人光盤、VCD、DVD、移動(dòng)存儲(chǔ)器（U盤）等在公司計(jì)算機(jī)設(shè)備上使用。

4、公司信息設(shè)備內(nèi)的資料應(yīng)該嚴(yán)格保密，未經(jīng)許可嚴(yán)禁任何人員擅自復(fù)制、拷貝、轉(zhuǎn)移，更不得擅自帶出公司。

5、任何人不得利用各種手段、破解、攻擊公司計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)和計(jì)算機(jī)服務(wù)平臺(tái)，不得擅自破解公司計(jì)算機(jī)各種用戶名和密碼或竊取公司文件、數(shù)據(jù)。

6、當(dāng)使用人結(jié)束工作或長(zhǎng)時(shí)間離開計(jì)算機(jī)時(shí)，應(yīng)及時(shí)鎖定或關(guān)閉計(jì)算機(jī)以免他人操作，更不能將計(jì)算機(jī)讓他人操作使用（工作需要除外）。

7、如因工作原因需使用U盤或移動(dòng)硬盤等設(shè)備，使用人在打開前必需對(duì)其進(jìn)行殺毒確認(rèn)無病毒后方可打開。

8、如有計(jì)算機(jī)使用人離職的，不得刪除計(jì)算機(jī)內(nèi)部任何數(shù)據(jù)，如確有個(gè)人資料需要?jiǎng)h除的應(yīng)有IT工程師在場(chǎng)方可刪除。

七、文件備份

1、公司及各部門使用的計(jì)算機(jī)內(nèi)的數(shù)據(jù)應(yīng)當(dāng)定時(shí)備份，如需IT工程師配合時(shí)應(yīng)及時(shí)聯(lián)系，不得擅自邀請(qǐng)外來人員進(jìn)行備份。

2、對(duì)于重要數(shù)據(jù)及重要文件必需定期備份或由IT工程師集中備份，備份資料由檔案室統(tǒng)一保管，不得擅自帶出公司或邀請(qǐng)外來人員進(jìn)行備份。

3、工作中重要數(shù)據(jù)或個(gè)人工作重要文件必須保存在D盤、E盤、F盤，并定期備份到公司的文件服務(wù)器，或公司提供的U盤、移動(dòng)硬盤、光盤等移動(dòng)設(shè)備中。/ 6

如未按規(guī)定操作而造成文件丟失的，責(zé)任自行承擔(dān)。

八、計(jì)算機(jī)日常清潔及保養(yǎng)

1、不得在計(jì)算機(jī)主機(jī)箱旁邊堆放雜物文件，必需保持計(jì)算機(jī)正常通風(fēng)散熱。

2、計(jì)算機(jī)使用人必需經(jīng)常清潔計(jì)算機(jī)主機(jī)箱、顯示器、鍵盤、鼠標(biāo)以保持計(jì)算機(jī)的清潔衛(wèi)生。

注意：液晶顯示器不得用手指，鋼筆等硬物觸碰液晶面，在清潔液晶顯示器時(shí)應(yīng)用干布輕輕擦去液晶面上的灰塵，不得用酒精等腐蝕性液體擦拭液晶面。

3、計(jì)算機(jī)使用人在離開或下班之后，必需安全關(guān)閉計(jì)算機(jī)，包括顯示器、打印機(jī)、復(fù)印機(jī)、掃描儀等計(jì)算機(jī)外部設(shè)備，并切斷其電源，以防止損壞或產(chǎn)生安全隱患。

九、其它

1、公司鼓勵(lì)員工最大限度地利用計(jì)算機(jī)及網(wǎng)絡(luò)資源進(jìn)行工作。

2、在不影響計(jì)算機(jī)使用者正常工作的情況下，鼓勵(lì)員工在公司IT工程師指導(dǎo)下在指定的計(jì)算機(jī)上學(xué)習(xí)計(jì)算機(jī)應(yīng)用知識(shí)。

十、附則

1、本規(guī)定由經(jīng)營(yíng)企劃部負(fù)責(zé)監(jiān)督執(zhí)行。

2、本規(guī)定由經(jīng)營(yíng)企劃部負(fù)責(zé)解釋、修訂。

3、本規(guī)定適用于湖北汽車工業(yè)有限公司內(nèi)所有單位、部門和個(gè)人。

4、本規(guī)定自2017年10月份起開始執(zhí)行。

湖北汽車工業(yè)有限公司

二〇一七年月日 / 6

第四篇：ISO27001信息安全體系培訓(xùn)(條款A(yù)6-信息安全組織).

ISO27001培訓(xùn)系列V1.0 ISO 27001信息安全體系培訓(xùn)控制目標(biāo)和控制措施(條款A(yù)6-信息安全組織 2009年11月

董翼?xiàng)?dongyifeng78@hotmail.com 條款A(yù)6

信息安全組織 A6.1內(nèi)部組織 ?目標(biāo): 在組織內(nèi)管理信息安全。

?應(yīng)建立管理框架,以啟動(dòng)和控制組織范圍內(nèi)的信息安全的實(shí)施。?管理者應(yīng)批準(zhǔn)信息安全方針、指派安全角色以及協(xié)調(diào)和評(píng)審整個(gè)組織安全的實(shí)施。

?若需要,要在組織范圍內(nèi)建立專家信息安全建議庫(kù),并在組織內(nèi)可用。要發(fā)展與外部安全專家或組織(包括相關(guān)權(quán)威人士的聯(lián)系,以便跟上行業(yè)趨勢(shì)、跟蹤標(biāo)準(zhǔn)和評(píng)估方法,并且當(dāng)處理信息安全事件時(shí),提供合適的聯(lián)絡(luò)點(diǎn)。應(yīng)鼓勵(lì)采用多學(xué)科方法,解決信息安全問題。

控制措施

管理者應(yīng)通過清晰的說明、可證實(shí)的承諾、明確的信息安全職責(zé)分配及確認(rèn),來積極支持組織內(nèi)的安全。

實(shí)施指南 ?管理者應(yīng): a確保信息安全目標(biāo)得以識(shí)別,滿足組織要求,并已被整合到相關(guān)過程中;b制定、評(píng)審、批準(zhǔn)信息安全方針;c評(píng)審信息安全方針實(shí)施的有效性;d為安全啟動(dòng)提供明確的方向和管理者明顯的支持;e為信息安全提供所需的資源;f批準(zhǔn)整個(gè)組織內(nèi)信息安全專門的角色和職責(zé)分配;g啟動(dòng)計(jì)劃和程序來保持信息安全意識(shí);h確保整個(gè)組織內(nèi)的信息安全控制措施的實(shí)施是相互協(xié)調(diào)的(見A6.1.2。?管理者應(yīng)識(shí)別對(duì)內(nèi)外部專家的信息安全建議的需求,并在整個(gè)組織內(nèi)評(píng)審和協(xié)調(diào)專家建議結(jié)果。

?根據(jù)組織的規(guī)模不同,這些職責(zé)可以由一個(gè)專門的管理協(xié)調(diào)小組或由一個(gè)已存在的機(jī)構(gòu)(例如董事會(huì)承擔(dān)。

A6.1.2信息安全協(xié)調(diào)

信息安全活動(dòng)應(yīng)由來自組織不同部門并具備相關(guān)角色和工作職責(zé) 的代表進(jìn)行協(xié)調(diào)。

A6.1.2信息安全協(xié)調(diào)

?典型的,信息安全協(xié)調(diào)應(yīng)包括管理人員、用戶、行政人員、應(yīng)用設(shè)計(jì)人員、審核員和安全專員,以及保險(xiǎn)、法律、人力資源、IT 或風(fēng)險(xiǎn)管理等領(lǐng)域 專家的協(xié)調(diào)和協(xié)作。這些活動(dòng)應(yīng): 確保安全活動(dòng)的實(shí)施與信息安全方針相一致;確定如何處理不符合項(xiàng);核準(zhǔn)信息安全的方法和過程,例如風(fēng)險(xiǎn)評(píng)估、信息分類;識(shí)別重大的威脅變更和暴露于威脅下的信息和信息處理設(shè)施;評(píng)估信息安全控制措施實(shí)施的充分性和協(xié)調(diào)性;有效地促進(jìn)整個(gè)組織內(nèi)的信息安全教育、培訓(xùn)和意識(shí);評(píng)價(jià)在信息安全事件的監(jiān)視和評(píng)審中獲得的信息,推薦適當(dāng)?shù)拇胧╉憫?yīng)識(shí)別的信息安 全事件。

?如果組織沒有使用一個(gè)獨(dú)立的跨部門的小組,例如因?yàn)檫@樣的小組對(duì)組織 規(guī)模來說是不適當(dāng)?shù)?那么上面描述的措施應(yīng)由其它合適的管理機(jī)構(gòu)或單

A6.1.3信息安全職責(zé)的分配 所有的信息安全職責(zé)應(yīng)予以清晰地定義。A6.1.3信息安全職責(zé)的分配

?信息安全職責(zé)的分配應(yīng)和信息安全方針(見 A5相一致。各個(gè)資產(chǎn)的保護(hù) 和執(zhí)行特定安全過程的職責(zé)應(yīng)被清晰的識(shí)別。這些職責(zé)應(yīng)在必要時(shí)加以補(bǔ) 充,來為特定地點(diǎn)和信息處理設(shè)施提供更詳細(xì)的指南。資產(chǎn)保護(hù)和執(zhí)行特 定安全過程(諸如業(yè)務(wù)連續(xù)性計(jì)劃的局部職責(zé)應(yīng)予以清晰地定義。?分配有安全職責(zé)的人員可以將安全任務(wù)委托給其他人員。盡管如此,他們 仍然負(fù)有責(zé)任,并且他們應(yīng)能夠確定任何被委托的任務(wù)是否已被正確地執(zhí) 行。

?個(gè)人負(fù)責(zé)的領(lǐng)域要予以清晰地規(guī)定;特別是,應(yīng)進(jìn)行下列工作: 與每個(gè)特殊系統(tǒng)相關(guān)的資產(chǎn)和安全過程應(yīng)予以識(shí)別并清晰地定義;應(yīng)分配每一資產(chǎn)或安全過程的實(shí)體職責(zé),并且該職責(zé)的細(xì)節(jié)應(yīng)形成文件(見 A7.1.2;授權(quán)級(jí)別應(yīng)清晰地予以定義,并形成文件。

A6.1.4信息處理設(shè)施的授權(quán)過程 ?新信息處理設(shè)施應(yīng)定義和實(shí)施一個(gè)管理授權(quán)過程。

?授權(quán)過程應(yīng)考慮下列指南: 新設(shè)施要有適當(dāng)?shù)挠脩艄芾硎跈?quán),以批準(zhǔn)其用途和使用;還要獲得負(fù)責(zé)維護(hù)本地系統(tǒng) 安全環(huán)境的管理人員授權(quán),以確保所有相關(guān)的安全方針策略和要求得到滿足;若需要,硬件和軟件應(yīng)進(jìn)行檢查,以確保它們與其他系統(tǒng)組件兼容;使用個(gè)人或私有信息處理設(shè)施(例如便攜式電腦、家用電腦或手持設(shè)備處理業(yè)務(wù)信 息,可能引起新的脆弱性,因此應(yīng)識(shí)別和實(shí)施必要的控制措施。

A6.1.5保密性協(xié)議

應(yīng)識(shí)別并定期評(píng)審反映組織信息保護(hù)需要的保密性或不泄露協(xié)議 的要求。A6.1.5保密性協(xié)議

?保密或不泄露協(xié)議應(yīng)使用合法可實(shí)施條款來解決保護(hù)機(jī)密信息的要求。要識(shí)別保密或不泄 露協(xié)議的要求,需考慮下列因素: a 定義 要保護(hù)的信息(如機(jī)密信息;b 協(xié)議的期望 持續(xù)時(shí)間 ,包括不確定的需要維持保密性的情形;c 協(xié)議終止時(shí)所需的 措施;

d 為避免未授權(quán)信息泄露的簽署者的 職責(zé)和行為;e 信息所有者、商業(yè)秘密和 知識(shí)產(chǎn)權(quán) ,以及他們?nèi)绾闻c機(jī)密信息保護(hù)相關(guān)聯(lián);f 機(jī)密信息的許可使用,及簽署者使用信息的 權(quán)力;g 對(duì)涉及機(jī)密信息的活動(dòng)的 審核和監(jiān)視 權(quán)力;h 未授權(quán)泄露或機(jī)密信息破壞的 通知 和報(bào)告過程;i 關(guān)于協(xié)議終止時(shí)信息 歸檔或銷毀 的條款;j 違反協(xié)議后期望采取的 措施。

?基于一個(gè)組織的安全要求,在保密性或不泄露協(xié)議中可能需要其他因素。?保密性和不泄露協(xié)議應(yīng)針對(duì)它適用的管轄范圍(見 A15.1.1遵循所有適用的法律法規(guī)。保密性和不泄露協(xié)議的要求應(yīng)進(jìn)行周期性 評(píng)審 ,當(dāng)發(fā)生影響這些要求的變更時(shí),也要進(jìn)行

A6.1.6與政府部門的聯(lián)系

?應(yīng)保持與政府相關(guān)部門的適當(dāng) 聯(lián)系。

?組織應(yīng)有規(guī)程指明什么時(shí)候應(yīng)當(dāng)與哪個(gè)部門(例如,執(zhí)法部門、消防局、監(jiān)管部門聯(lián)系,以及懷疑已識(shí)別的信息安全事件可能 觸犯了法律時(shí),應(yīng)如何及時(shí)報(bào)告。

?受到來自互聯(lián)網(wǎng)攻擊的組織可能需要外部第三方(例如互聯(lián)網(wǎng)服 務(wù)提供商或電信運(yùn)營(yíng)商采取措施以應(yīng)對(duì)攻擊源。

?保持這樣的聯(lián)系可能是支持信息安全事件管理(A13.2或業(yè)務(wù)連續(xù)性和應(yīng)急規(guī)劃過程(A14的要 求。與法規(guī)部門的聯(lián)系有助于預(yù)先知道組織必須遵循的法律法規(guī)方面預(yù)期的變化,并為這些變化做 好準(zhǔn)備。與其他部門的聯(lián)系包括公共部門、緊急

服務(wù)和健康安全部門,例如消防局(A14章的業(yè)務(wù) 連續(xù)性有關(guān)、電信提供商(與路由和可用性有關(guān)、供水部門(與設(shè)備的冷卻設(shè)施有關(guān)。

A6.1.7與特定利益集團(tuán)的聯(lián)系

?應(yīng)保持與特定利益集團(tuán)、其他安全專家組和專業(yè)協(xié)會(huì)的適當(dāng)聯(lián)系。?應(yīng)考慮成為特定利益集團(tuán)或安全專家組的成員,以便: a 增進(jìn)對(duì)最佳實(shí)踐和最新相關(guān)安全信息的了解;b 確保全面了解當(dāng)前的信息安全環(huán)境;c 盡早收到關(guān)于攻擊和脆弱性的預(yù)警、建議和補(bǔ)丁;d 獲得信息安全專家的建議;e 分享和交換關(guān)于新的技術(shù)、產(chǎn)品、威脅或脆弱性的信息;f 提供處理信息安全事件時(shí)適當(dāng)?shù)穆?lián)絡(luò)點(diǎn)(見 A13.2.1。A6.1.8信息安全的獨(dú)立評(píng)審

?組織管理信息安全的方法及其實(shí)施(例如信息安全的控制目標(biāo)、控制措施、策略、過程和程序應(yīng)按計(jì)劃的時(shí)間間隔進(jìn)行獨(dú)立評(píng)審,當(dāng)安全實(shí)施發(fā) 生重大變化時(shí),也要進(jìn)行獨(dú)立評(píng)審。

?獨(dú)立評(píng)審應(yīng)由管理者啟動(dòng)。對(duì)于確保一個(gè)組織管理信息安全方法的持續(xù)的適宜性、充分性 和有效性,這種獨(dú)立評(píng)審是必須的。評(píng)審應(yīng)包括評(píng)估安全方法改進(jìn)的機(jī)會(huì)和變更的需要, 包括方針和控制目標(biāo)。

?這樣的評(píng)審應(yīng)由獨(dú)立于被評(píng)審范圍的人員執(zhí)行,例如內(nèi)部審核部門、獨(dú)立的管理人員或?qū)?門進(jìn)行這種評(píng)審的第三方組織。從事這些評(píng)審的人員應(yīng)具備適當(dāng)?shù)募寄芎徒?jīng)驗(yàn)。

?獨(dú)立評(píng)審的結(jié)果應(yīng)被記錄并報(bào)告給啟動(dòng)評(píng)審的管理者。這些記錄應(yīng)加以保持。

?如果獨(dú)立評(píng)審識(shí)別出組織管理信息安全的方法和實(shí)施不充分,或不符合信息安全方針文件(見 A5.1.1中聲明的信息安全的方向,管理者應(yīng)考慮糾正措施。

A6.2外部各方 ?目標(biāo): 保持組織的被外部各方訪問、處理、管理或與外部進(jìn)行通信的信息和信息處理設(shè)施的安全。

?組織的信息處理設(shè)施和信息資產(chǎn)的安全不應(yīng)由于引入外部方的產(chǎn)品或服務(wù)而降低。

?任何外部方對(duì)組織信息處理設(shè)施的訪問、對(duì)信息資產(chǎn)的處理和通信都應(yīng)予以控制。

?若有與外部方一起工作的業(yè)務(wù)需要,它可能要求訪問組織的信息和信息處理設(shè)施、從外部方獲得一個(gè)產(chǎn)品和服務(wù),或提供給外部方一個(gè)產(chǎn)品和服務(wù),應(yīng)進(jìn)行風(fēng)險(xiǎn)評(píng)估,以確定涉及安全的方面和控制要求。在與外部方簽訂的協(xié)議中要商定和定義控制措施。

外部各方

?服務(wù)提供商(例如互聯(lián)網(wǎng)服務(wù)提供商、網(wǎng)絡(luò)提供商、電話服務(wù)、維護(hù)和支持服務(wù);?受管理的安全服務(wù);?顧客;?設(shè)施和運(yùn)行的外包,例如,IT系統(tǒng)、數(shù)據(jù)收集服務(wù)、中心呼叫業(yè)務(wù);

?管理者,業(yè)務(wù)顧問和審核員;?開發(fā)者和提供商,例如軟件產(chǎn)品和IT系統(tǒng)的開發(fā)者和提供商;?保潔、餐飲和其他外包支持服務(wù);?臨時(shí)人員、實(shí)習(xí)學(xué)生和其他臨時(shí)短期安排?？刂拼胧?/p>

應(yīng)識(shí)別涉及外部各方業(yè)務(wù)過程中組織的信息和信息處理設(shè)施的風(fēng)險(xiǎn),并在允許訪問前實(shí)施適當(dāng)?shù)目刂拼胧?/p>

實(shí)施指南

?當(dāng)需要允許外部方訪問組織的信息處理設(shè)施或信息時(shí),應(yīng)實(shí)施風(fēng)險(xiǎn)評(píng)估(見A4以識(shí)別特定控制措施的要求。

關(guān)于外部方訪問的風(fēng)險(xiǎn)的識(shí)別應(yīng)考慮以下問題: a外部方需要訪問的信息處理設(shè)施;b外部方對(duì)信息和信息處理設(shè)施的訪問類型,例如: 物理訪問,例如進(jìn)入辦公室,計(jì)算機(jī)機(jī)房,檔案室;邏輯訪問,例如訪問組織的數(shù)據(jù)庫(kù),信息系統(tǒng);組織和外部方之間的網(wǎng)絡(luò)連接,例如,固定連接、遠(yuǎn)程訪問;現(xiàn)場(chǎng)訪問還是非現(xiàn)場(chǎng)訪問;c所涉及信息的價(jià)值和敏感性,及對(duì)業(yè)務(wù)運(yùn)行的關(guān)鍵程度;d為保護(hù)不希望被外部方訪問到的信息所需的控制措施;e與處理組織信息有關(guān)的外部方人員;

f能夠識(shí)別組織或人員如何被授權(quán)訪問、如何進(jìn)行授權(quán)驗(yàn)證,以及多長(zhǎng)時(shí)間需要再確認(rèn);g外部方在存儲(chǔ)、處理、傳送、共享和交換信息過程中所使用的不同的方法和控制措施;h外部方需要時(shí)無法訪問,外部方輸入或接收不正確的或誤導(dǎo)的信息的影響;i處理信息安全事件和潛在破壞的慣例和程序,和當(dāng)發(fā)生信息安全事件時(shí)外部方持續(xù)訪問的條款和條件;j應(yīng)考慮與外部方有關(guān)的法律法規(guī)要求和其他合同責(zé)任;k這些安排對(duì)其他利益相關(guān)人的利益可能造成怎樣的影響。

?除非已實(shí)施了適當(dāng)?shù)目刂拼胧?才可允許外部方訪問組織信息,可行時(shí),應(yīng)簽訂合同規(guī)定外部方連接或訪問以及工作安排的條款和條件,一般而言,與外部方合作引起的安全要求或內(nèi)部控制措施應(yīng)通過與外部方的協(xié)議反映出來(見A6.2.2和A6.2.3。

?應(yīng)確保外部方意識(shí)到他們的責(zé)任,并且接受在訪問、處理、通信或管理組織的信息和信息處理設(shè)施所涉及的職責(zé)和責(zé)任。

A6.2.2處理與顧客有關(guān)的安全問題 控制措施

應(yīng)在允許顧客訪問組織信息或資產(chǎn)之前處理所有確定的安全要求。A6.2.2處理與顧客有關(guān)的安全問題 實(shí)施指南

要在允許顧客訪問組織任何資產(chǎn)（依據(jù)訪問的類型和范圍，并不需要應(yīng)用所有的條款）前解決安全問題，應(yīng)考慮 下列條款： a 資產(chǎn)保護(hù)，包括： 及對(duì)已知脆弱性的管理；

保護(hù)組織資產(chǎn)（包括信息和軟件）的程序，以

判定資產(chǎn)是否受到損害（例如丟失數(shù)據(jù)或修改數(shù)據(jù)）的程序； 完整性； 對(duì)拷貝和公開信息的限制； b c d 擬提供的產(chǎn)品或服務(wù)的允許的訪問描述； 顧客訪問的不同原因、要求和利益； 訪問控制策略，包括： 方法，唯一標(biāo)識(shí)符的控制和使用，例如用戶ID和口令； 權(quán)過程； 沒有明確授權(quán)的訪問均被禁止的聲明；

用戶訪問和權(quán)限的授

撤消訪問權(quán)或中斷系統(tǒng)間連接的處理； e 信息錯(cuò)誤（例如個(gè)人信息的錯(cuò)誤）、信息安全事件和安全違規(guī)的報(bào)告、通知和調(diào)查的安排； f g h i j k 每項(xiàng)可用服務(wù)的描述； 服務(wù)的目標(biāo)級(jí)別和服務(wù)的不可接受級(jí)別； 監(jiān)視和撤銷與組織資產(chǎn)有關(guān)的任何活動(dòng)的權(quán)利； 組織和顧客各自的義務(wù)； 相關(guān)法律責(zé)任和如何確保滿足法律要求（例如，數(shù)據(jù)保護(hù)法律）。如果協(xié)議涉及與其他國(guó)家顧客的合作，特別要考慮到不同國(guó)家的法律體系（也 見A15.1）； 知識(shí)產(chǎn)權(quán)（IPRs）和版權(quán)轉(zhuǎn)讓（見A15.1.2）以及任何合著作品的保護(hù)（見A6.1.5）；-20-A6.2.3處理第三方協(xié)議中的安全問題 控制措施

涉及訪問、處理或管理組織的信息或信息處理設(shè)施以及與之通信 的第三方協(xié)議，或在信息處理設(shè)施中增加產(chǎn)品或服務(wù)的第三方協(xié) 議，應(yīng)涵蓋所有相關(guān)的安全要求。-21-A6.2.3處理第三方協(xié)議中的安全問題 實(shí)施指南

協(xié)議應(yīng)確保在組織和第三方之間不存在誤解。組織應(yīng)使第三方的保證滿足自己的需要。為滿足識(shí)別的安全要求（見A6.2.1），應(yīng)考慮將下列條款包含在協(xié)議中： a b c d e f g h i j k l m n 信息安全方針； 確保資產(chǎn)保護(hù)的控制措施，對(duì)用戶和管理員在方法、程序和安全方面的培訓(xùn)； 確保用戶意識(shí)到信息安全職責(zé)和問題； 若適宜，人員調(diào)動(dòng)的規(guī)定； 關(guān)于硬件和軟件安裝和維護(hù)的職責(zé)； 一種清晰的報(bào)告結(jié)構(gòu)和商定的報(bào)告格式； 一種清晰規(guī)定的變更管理過程； 訪問控制策略； 報(bào)告、通知和調(diào)查信息安全事件和安全違規(guī)以及違背協(xié)議中所聲明的要求的安排； 提供的每項(xiàng)產(chǎn)品和服務(wù)的描述，根據(jù)安全分類（見7.2.1）提供可獲得信息的描述； 服務(wù)的目標(biāo)級(jí)別和服務(wù)的不可接受級(jí)別； 可驗(yàn)證的性能準(zhǔn)則的定義、監(jiān)視和報(bào)告； 監(jiān)視和撤銷與組織資產(chǎn)有關(guān)的任何活動(dòng)的權(quán)利； o p q r s t u v 審核協(xié)議中規(guī)定的責(zé)任、第三方實(shí)施的審核、列舉審核員的法定權(quán)限等方面的權(quán)利； 建立逐級(jí)解決問題的過程； 服務(wù)連續(xù)性要求，包括根據(jù)一個(gè)組織的業(yè)務(wù)優(yōu)先級(jí)對(duì)可用性和可靠性的測(cè)度； 協(xié)議各方的相關(guān)義務(wù)；

有關(guān)法律的責(zé)任和如何確保滿足法律要求（例如，數(shù)據(jù)保護(hù)法律）。如果該協(xié)議涉及與其他國(guó)家的組織的合作，特別要考慮到不同國(guó)家的法律體系（也見 15.1）； 知識(shí)產(chǎn)權(quán)（IPRs）和版權(quán)轉(zhuǎn)讓（見15.1.2）以及任何合著作品的保護(hù)（見6.1.5）； 涉及具有次承包商的第三方，應(yīng)對(duì)這些次承包商需要實(shí)施安全控制措施； 重新協(xié)商/終止協(xié)議的條件。-22-END Thank you！

董翼?xiàng)鳎╠ongyf@fugle.info）-23

第五篇：構(gòu)建信息安全保密體系

構(gòu)建信息安全保密體系

摘 要：信息安全保密已經(jīng)成為當(dāng)前保密工作的重點(diǎn)。本文從策略和機(jī)制的角度出發(fā)，給出了信息安全保密的服務(wù)支持、標(biāo)準(zhǔn)規(guī)范、技術(shù)防范、管理保障和工作能力體系，體現(xiàn)了技術(shù)與管理相結(jié)合的信息安全保密原則。關(guān)鍵詞：信息 安全 保密 體系

一、引言

構(gòu)建信息安全保密體系，不能僅僅從技術(shù)層面入手，而應(yīng)該將管理和技術(shù)手段有機(jī)結(jié)合起來，用規(guī)范的制度約束人，同時(shí)建立、健全信息安全保密的組織體制，改變現(xiàn)有的管理模式，彌補(bǔ)技術(shù)、制度、體制等方面存在的不足，從標(biāo)準(zhǔn)、技術(shù)、管理、服務(wù)、策略等方面形成綜合的信息安全保密能力，如圖1所示。圖 1 信息安全保密的體系框架

該保密體系是以信息安全保密策略和機(jī)制為核心，以信息安全保密服務(wù)為支持，以標(biāo)準(zhǔn)規(guī)范、安全技術(shù)和組織管理體系為具體內(nèi)容，最終形成能夠滿足信息安全保密需求的工作能力。

二、信息安全保密的策略和機(jī)制 所謂信息安全保密策略，是指為了保護(hù)信息系統(tǒng)和信息網(wǎng)絡(luò)中的秘密，對(duì)使用者（及其代理）允許什么、禁止什么的規(guī)定。從信息資產(chǎn)安全管理的角度出發(fā)，為了保護(hù)涉密信息資產(chǎn)，消除或降低泄密風(fēng)險(xiǎn)，制訂的各種綱領(lǐng)、制度、規(guī)范和操作流程等，都屬于安全保密策略。例如：禁止（工作或技術(shù)人員）將涉密軟盤或移動(dòng)存儲(chǔ)設(shè)備帶出涉密場(chǎng)所；嚴(yán)禁（使用人員將）涉密計(jì)算機(jī)（連）上互聯(lián)網(wǎng)；不允許（參觀人員）在涉密場(chǎng)所拍照、錄像等。

信息安全保密機(jī)制，是指實(shí)施信息安全保密策略的一種方法、工具或者規(guī)程。例如，針對(duì)前面給出的保密策略，可分別采取以下機(jī)制：為涉密移動(dòng)存儲(chǔ)設(shè)備安裝射頻標(biāo)識(shí)，為涉密場(chǎng)所安裝門禁和報(bào)警系統(tǒng)；登記上網(wǎng)計(jì)算機(jī)的（物理）地址，實(shí)時(shí)監(jiān)控上網(wǎng)設(shè)備；進(jìn)入涉密場(chǎng)所前，托管所有攝錄像設(shè)備等。

根據(jù)信息系統(tǒng)和信息網(wǎng)絡(luò)的安全保密需求，在制定其安全保密策略時(shí)，應(yīng)主要從物理安全保密策略，系統(tǒng)或網(wǎng)絡(luò)的訪問控制策略，信息的加密策略，系統(tǒng)及網(wǎng)絡(luò)的安全管理策略，人員安全管理策略，內(nèi)容監(jiān)管策略等方面入手。在安全保密機(jī)制方面，應(yīng)主要從組織管理、安全控制和教育培訓(xùn)等方面，針對(duì)給出的安全保密策略，確定詳細(xì)的操作或運(yùn)行規(guī)程，技術(shù)標(biāo)準(zhǔn)和安全解決方案。

三、信息安全保密的服務(wù)支持體系

信息安全保密的服務(wù)支持體系，主要是由技術(shù)檢查服務(wù)、調(diào)查取證服務(wù)、風(fēng)險(xiǎn)管理服務(wù)、系統(tǒng)測(cè)評(píng)服務(wù)、應(yīng)急響應(yīng)服務(wù)和咨詢培訓(xùn)服務(wù)組成的，如圖2所示。其中，風(fēng)險(xiǎn)管理服務(wù)必須貫穿到信息安全保密的整個(gè)工程中，要在信息系統(tǒng)和信息網(wǎng)絡(luò)規(guī)劃與建設(shè)的初期，就進(jìn)行專業(yè)的安全風(fēng)險(xiǎn)評(píng)估與分析，并在系統(tǒng)或網(wǎng)絡(luò)的運(yùn)營(yíng)管理過程中，經(jīng)常性地開展保密風(fēng)險(xiǎn)評(píng)估工作，采取有效的措施控制風(fēng)險(xiǎn)，只有這樣才能提高信息安全保密的效益和針對(duì)性，增強(qiáng)系統(tǒng)或網(wǎng)絡(luò)的安全可觀性、可控性。其次，還要大力加強(qiáng)調(diào)查取證服務(wù)、應(yīng)急響應(yīng)服務(wù)和咨詢培訓(xùn)服務(wù)的建設(shè)，對(duì)突發(fā)性的失泄密事件能夠快速反應(yīng)，同時(shí)盡可能提高信息系統(tǒng)、信息網(wǎng)絡(luò)管理人員的安全技能，以及他們的法規(guī)意識(shí)和防范意識(shí)，做到“事前有準(zhǔn)備，事后有措施，事中有監(jiān)察”。

加強(qiáng)信息安全保密服務(wù)的主要措施包括： 借用安全評(píng)估服務(wù)幫助我們了解自身的安全性

通過安全掃描、滲透測(cè)試、問卷調(diào)查等方式對(duì)信息系統(tǒng)及網(wǎng)絡(luò)的資產(chǎn)價(jià)值、存在的脆弱性和面臨的威脅進(jìn)行分析評(píng)估，確定失泄密風(fēng)險(xiǎn)的大小，并實(shí)施有效的安全風(fēng)險(xiǎn)控制。采用安全加固服務(wù)來增強(qiáng)信息系統(tǒng)的自身安全性 具體包括操作系統(tǒng)的安全修補(bǔ)、加固和優(yōu)化；應(yīng)用服務(wù)的安全修補(bǔ)、加固和優(yōu)化；網(wǎng)絡(luò)設(shè)備的安全修補(bǔ)、加固和優(yōu)化；現(xiàn)有安全制度和策略的改進(jìn)與完善等。部署專用安全系統(tǒng)及設(shè)備提升安全保護(hù)等級(jí)

借助目前成熟的安全技術(shù)和產(chǎn)品來幫助我們提升整個(gè)系統(tǒng)及網(wǎng)絡(luò)的安全防護(hù)等級(jí)，可采用的產(chǎn)品包括防火墻、IDS、VPN、防病毒網(wǎng)關(guān)等。

運(yùn)用安全控制服務(wù)增強(qiáng)信息系統(tǒng)及網(wǎng)絡(luò)的安全可觀性、可控性

通過部署面向終端、服務(wù)器和網(wǎng)絡(luò)邊界的安全控制系統(tǒng)，以及集中式的安全控制平臺(tái)，增強(qiáng)對(duì)整個(gè)信息系統(tǒng)及網(wǎng)絡(luò)的可觀性，以及對(duì)使用網(wǎng)絡(luò)的人員、網(wǎng)絡(luò)中的設(shè)備及其所提供服務(wù)的可控性。

加強(qiáng)安全保密教育培訓(xùn)來減少和避免失泄密事件的發(fā)生 加強(qiáng)信息安全基礎(chǔ)知識(shí)及防護(hù)技能的培訓(xùn)，尤其是個(gè)人終端安全技術(shù)的培訓(xùn)，提高使用和管理人員的安全保密意識(shí)，以及檢查入侵、查處失泄密事件的能力。引入應(yīng)急響應(yīng)服務(wù)及時(shí)有效地處理重大失泄密事件

具體包括：協(xié)助恢復(fù)系統(tǒng)到正常工作狀態(tài)；協(xié)助檢查入侵來源、時(shí)間、方法等；對(duì)網(wǎng)絡(luò)進(jìn)行安全評(píng)估，找出存在的安全隱患；做出事件分析報(bào)告；制定并貫徹實(shí)施安全改進(jìn)計(jì)劃。采用安全通告服務(wù)來對(duì)竊密威脅提前預(yù)警 具體包括對(duì)緊急事件的通告，對(duì)安全漏洞和最新補(bǔ)丁的通告，對(duì)最新防護(hù)技術(shù)及措施的通告，對(duì)國(guó)家、軍隊(duì)的安全保密政策法規(guī)和安全標(biāo)準(zhǔn)的通告等。

四、信息安全保密的標(biāo)準(zhǔn)規(guī)范體系 信息安全保密的標(biāo)準(zhǔn)規(guī)范體系，主要是由國(guó)家和軍隊(duì)相關(guān)安全技術(shù)標(biāo)準(zhǔn)構(gòu)成的，如圖3所示。這些技術(shù)標(biāo)準(zhǔn)和規(guī)范涉及到物理場(chǎng)所、電磁環(huán)境、通信、計(jì)算機(jī)、網(wǎng)絡(luò)、數(shù)據(jù)等不同的對(duì)象，涵蓋信息獲取、存儲(chǔ)、處理、傳輸、利用和銷毀等整個(gè)生命周期。既有對(duì)信息載體的相關(guān)安全保密防護(hù)規(guī)定，也有對(duì)人員的管理和操作要求。因此，它們是設(shè)計(jì)信息安全保密解決方案，提供各種安全保密服務(wù)，檢查與查處失泄密事件的準(zhǔn)則和依據(jù)。各部門應(yīng)該根據(jù)本單位信息系統(tǒng)、信息網(wǎng)絡(luò)的安全保密需求，以及組織結(jié)構(gòu)和使用維護(hù)人員的配置情況，制定相應(yīng)的，操作性和針對(duì)性更強(qiáng)的技術(shù)和管理標(biāo)準(zhǔn)。

五、信息安全保密的技術(shù)防范體系 信息安全保密的技術(shù)防范體系，主要是由電磁防護(hù)技術(shù)、信息終端防護(hù)技術(shù)、通信安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)和其他安全技術(shù)組成的。這些技術(shù)措施的目的，是為了從信息系統(tǒng)和信息網(wǎng)絡(luò)的不同層面保護(hù)信息的機(jī)密性、完整性、可用性、可控性和不可否認(rèn)性，進(jìn)而保障信息及信息系統(tǒng)的安全，提高信息系統(tǒng)和信息網(wǎng)絡(luò)的抗攻擊能力和安全可靠性。安全保密技術(shù)是隨著信息技術(shù)、網(wǎng)絡(luò)技術(shù)，以及各種入侵與攻擊技術(shù)的發(fā)展不斷完善和提高的，一些最新的安全防護(hù)技術(shù)，如可信計(jì)算技術(shù)、內(nèi)網(wǎng)監(jiān)控技術(shù)等，可以極大地彌補(bǔ)傳統(tǒng)安全防護(hù)手段存在的不足，這就為我們降低安全保密管理的難度和成本，提高信息系統(tǒng)和信息網(wǎng)絡(luò)的安全可控性和可用性，奠定了技術(shù)基礎(chǔ)。因此，信息安全保密的技術(shù)防范體系，是構(gòu)建信息安全保密體系的一個(gè)重要組成部分，應(yīng)該在資金到位和技術(shù)可行的情況下，盡可能采用最新的、先進(jìn)的技術(shù)防護(hù)手段，這樣才能有效抵御不斷出現(xiàn)的安全威脅。

六、信息安全保密的管理保障體系

俗話說，信息安全是“三分靠技術(shù)，七分靠管理”。信息安全保密的管理保障體系，主要是從技術(shù)管理、制度管理、資產(chǎn)管理和風(fēng)險(xiǎn)管理等方面，加強(qiáng)安全保密管理的力度，使管理成為信息安全保密工作的重中之重。

技術(shù)管理主要包括對(duì)泄密隱患的技術(shù)檢查，對(duì)安全產(chǎn)品、系統(tǒng)的技術(shù)測(cè)評(píng)，對(duì)各種失泄密事件的技術(shù)取證；制度管理主要是指各種信息安全保密制度的制定、審查、監(jiān)督執(zhí)行與落實(shí)；資產(chǎn)管理主要包括涉密人員的管理，重要信息資產(chǎn)的備份恢復(fù)管理，涉密場(chǎng)所、計(jì)算機(jī)和網(wǎng)絡(luò)的管理，涉密移動(dòng)通信設(shè)備和存儲(chǔ)設(shè)備的管理等；風(fēng)險(xiǎn)管理主要是指保密安全風(fēng)險(xiǎn)的評(píng)估與控制。

現(xiàn)有的安全管理，重在保密技術(shù)管理，而極大地忽視了保密風(fēng)險(xiǎn)管理，同時(shí)在制度管理和資產(chǎn)管理等方面也存在很多問題，要么是管理制度不健全，落實(shí)不到位；要么是一些重要的資產(chǎn)監(jiān)管不利，這就給失竊密和遭受網(wǎng)絡(luò)攻擊帶來了人為的隱患。加強(qiáng)安全管理，不但能改進(jìn)和提高現(xiàn)有安全保密措施的效益，還能充分發(fā)揮人員的主動(dòng)性和積極性，使信息安全保密工作從被動(dòng)接受變成自覺履行。

七、信息安全保密的工作能力體系

將技術(shù)、管理與標(biāo)準(zhǔn)規(guī)范結(jié)合起來，以安全保密策略和服務(wù)為支持，就能合力形成信息安全保密工作的能力體系，如圖4所示。該能力體系既是信息安全保密工作效益與效率的體現(xiàn)，也能反映出當(dāng)前信息安全保密工作是否到位。它以防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)為核心，對(duì)信息安全保密的相關(guān)組織和個(gè)人進(jìn)行工作考評(píng)，并通過標(biāo)準(zhǔn)化、流程化的方式加以持續(xù)改進(jìn)，使信息安全保密能力隨著信息化建設(shè)的進(jìn)展不斷提高。

八、結(jié)論

技術(shù)與管理相結(jié)合，是構(gòu)建信息安全保密體系應(yīng)該把握的核心原則。為了增強(qiáng)信息系統(tǒng)和信息網(wǎng)絡(luò)的綜合安全保密能力，重點(diǎn)應(yīng)該在健全上述保密體系，尤其是組織體系、管理體系、服務(wù)體系和制度（技術(shù)標(biāo)準(zhǔn)及規(guī)范）體系的基礎(chǔ)上，規(guī)范數(shù)據(jù)備份、密鑰管理、訪問授權(quán)、風(fēng)險(xiǎn)控制、身份認(rèn)證、應(yīng)急響應(yīng)、系統(tǒng)及應(yīng)用安全等管理方案，努力提高系統(tǒng)漏洞掃描、信息內(nèi)容監(jiān)控、安全風(fēng)險(xiǎn)評(píng)估、入侵事件檢測(cè)、病毒預(yù)防治理、系統(tǒng)安全審計(jì)、網(wǎng)絡(luò)邊界防護(hù)等方面的技術(shù)水平。

參考文獻(xiàn)：

[1]信息與網(wǎng)絡(luò)安全研究新進(jìn)展．全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集．第二十二卷[C]．合肥：中國(guó)科技大學(xué)出版社, 2007 [2]中國(guó)計(jì)算機(jī)學(xué)會(huì)信息保密專業(yè)委員會(huì)論文集．第十六卷[C]．合肥：中國(guó)科技大學(xué)出版社, 2006 [3]胡建偉．網(wǎng)絡(luò)安全與保密[M]．西安：西安電子科技大學(xué)出版社, 2003