QEP程序文件信息交换控制程序DOCNO文件编号QEP-022REV版本APAGE页码1of51.范围本标准规定了本公司信息交换过程的控制要求。本标准适用于与本公司有关信息交换的控制。2.规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改或修订均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。电子邮件和互联网使用规定3.术语和定义无4.职责和权限4.1IT部负责计划、编写、批准各种信息交换管理标准;负责组织控制交换管理程序的制订、修改、维护等日常工作;负责各应用系统间协议、接口规范的制订、审核、修改、维护及实施。4.2其他部门负责提出应用系统范围内信息交换所需接口、协议的需求,并配合IT部信息交换的实施。5.活动描述5.1信息交换策略5.1.1IT部应建立正式的交换策略、程序和控制,以保护通过所有类型的通信设施进行的信息交换。5.1.2信息交换策略:a)不能在公共场所或者敞开的、没有屋顶防护的会议室谈论机密信息。b)对信息交流应作适当的防范,如不要暴露敏感信息,避免被通过电话偷听或截取。QEP程序文件信息交换控制程序DOCNO文件编号QEP-022REV版本APAGE页码2of5c)员工、合作方以及任何其他用户不得损害本公司的利益,如诽谤、骚扰、假冒、未经授权的采购等。d)不得将包含敏感内容的信息放在自动应答系统中。e)不得将敏感或关键信息放在打印设施上,如复印机、打印机和传真,防止未经授权人员的访问。f)做应用系统之间接口、协议时,不能影响双方应用的正常运行;在实施之前应充分考虑应用系统的资源是否足够;保证数据交换的权限最小化。5.1.3在使用电子通信设施进行信息交换时,所考虑的控制包括:a)防止交换的信息被截取、备份、修改、误传以及破坏;b)保护以附件形式传输的电子信息的程序;c)所有业务信件和消息的保持和处置原则,要符合相关的国家或地方法规;d)使用传真的人员注意下列问题:1)未经授权对内部存储的信息进行访问,获取信息;2)故意的或无意的程序设定,向特定的号码发送信息;3)向错误的号码发送文件和信息,或者拨号错误或者使用的存储在机器中的号码是错误的。5.2交换协议5.2.1IT部及公司其他部门建立组织与外部团体交换信息和软件的协议。交换协议考虑下列方面:a)控制和通知传输、发送和接收的管理责任;b)通知传输发送人、发送方和接收方的程序;c)确保可追溯性和无否定性的程序;d)打包和传输的最低技术标准;e)第三方委托保管协议;QEP程序文件信息交换控制程序DOCNO文件编号QEP-022REV版本APAGE页码3of5f)信使的鉴别标准;g)发生安全事件的责任和义务,如丢失数据;h)为敏感信息和关键信息使用获得批准的标签系统,确保这些标签的含义能被马上理解并且信息得到恰当的保护;i)数据保护、版权、软件许可和类似的情况的所有权和责任;j)记录和读取信息和软件的技术标准;k)保护敏感物品,例如密钥,所需要的任何特别控制措施。5.2.2应保护被传输的信息和物理介质,并作为制定交换协议的参考。5.2.3任何协议包含的安全内容都应该反映所涉及的业务信息的机密性。5.2.4协议可以是电子形式的也可以是手写的,可以使用正式的合同或雇用条款的形式。对于敏感信息,应该考虑对信息交换使用特殊的机制,但是必须与组织和协议类型相协调。5.3物理介质的运送5.3.1运输超出组织的物理界限时,对包含信息的介质进行保护,防止未经授权的访问、误用或破坏。保护场所间信息介质的运送时,需考虑下列原则:a)应当使用可靠的运送手段和信使;b)经过授权的信使的列表应当得到管理层的批准;c)建立适当的程序检查信使的身份;d)存储介质的包装应当足以保护其中的内容免受任何在转运中可能出现的物理损伤,而且还要符合制造商的相应规定(如:对软件的规定),例如防止环境因素导致介质的存储效能,如:暴露在热、潮和电磁场中;e)需要的时候,应当采用专门的控制措施来保护敏感信息免受未经授权的公开或者修改。例如:QEP程序文件信息交换控制程序DOCNO文件编号QEP-022REV版本APAGE页码4of51)使用上锁的容器;2)人工递送;3)...
