信息安全策略文档编号编制审核批准发布日期备注本公司对本文件资料享受著作权及其它专属权利,未经书面许可,不得将该等文件资料(其全部或任何部分)披露予任何第三方,或进行修改后使用。目录1.信息资源保密策略32.网络访问策略43.访问控制策略54.物理访问策略65.供应商访问策略86.雇员访问策略107.设备及布缆安全策略118.变更管理安全策略149.病毒防范策略1610.可移动代码防范策略1711.信息备份安全策略1812.网络配置安全策略1913.信息交换策略2014.运输中物理介质安全策略2115.电子邮件策略2216.信息安全监控策略2317.特权访问管理策略2518.口令控制策略2619.清洁桌面和清屏策略2820.互联网使用策略2921.便携式计算机安全策略3122.事件管理策略3223.个人信息使用策略3324.业务信息系统使用策略3425.远程工作策略3526.安全开发策略361 信息资源保密策略发布部门信息安全小组生效时间2024 年 11 月 01 日介绍保密策略是用于为信息资源用户建立限制和期望的机制。内部用户不期望信息资源保密。外部用户期望信息资源拥有完整的保密性,除了在发生可疑的破坏行为的情况下。目 的该策略的目的是明确的沟通信息资源用户的信息服务保密期望。适用范围该策略适用于使用信息资源的所有人员。术语定义略信息资源保密策略在公司内部保存和控制的电子文件应该公开,并且可以被信息服务人员访问;为了管理系统并加强安全,信息 技术部小组可以记录、评审,同时也可以使用其信息资源系统中存储和传递的任何信息。为了达到此目的,信息 技术部小组还可以捕获任何用户活动,如拨号号码以及访问的网站;为了商业目的,第三方将信息委托给公司内部保管,那么信息 技术部小组的所有工作人员都必须尽最大的努力保护这些信息的保密性和安全性。对这些第三方来说最重要的就是个人消费者,因此消费者的账户数据应该保密,并且对这些数据的访问也应该依据商业需求进行严格限制;用户必须向适当的管理者报告公司内部计算机安全的任何薄弱点,可能的误用事故或者相应授权协议的违反情况;在未经授权或获得明确同意的情况下,用户不可以尝试访问公司内部系统中包含的任何数据或程序。惩处违反该策略可能导致:员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除;另外, 这些人员还可能遭受信息资源访问权以及公民权的损失,甚至遭到法律起诉。引用标准略2 网络访问策略发布部门信息安全小组生效时...