信息安全手册

《信息安全手册》由会员分享，可在线阅读，更多相关《信息安全手册（48页珍藏版）》请在装配图网上搜索。

1、 文件密级：内部公开XXXXXXXX有限公司信息安全管理手册目录1 目的32 范围33 总体安全目标34 信息安全35 信息安全组织35.1 信息安全组织35.2 信息安全职责35.3 信息安全操作流程36 信息资产分类与控制36.1 信息资产所有人责任36.1.1 信息资产分类36.1.2 信息资产密级36.2 信息资产的标识和处理37 人员的安全管理37.1 聘用条款和保密协议37.1.1聘用条款中员工的信息安全责任37.1.2商业秘密37.2 人员背景审查37.2.1 审查流程37.2.2 员工背景调查表37.3 员工培训37.3.1 培训周期37.3.2 培训效果检查37.4 人员离职

2、37.4.1离职人员信息交接流程37.5 违规处理37.5.1信息安全违规级别37.5.2信息安全违规处理流程37.5.3违规事件处理流程图38 物理安全策略38.1场地安全38.1.1 FBI受控区域的划分38.1.1.1受控区域级别划分38.1.1.2 重要区域及受控区域管理责任划分38.1.1.3 物理隔离38.1.2出入控制38.1.3名词解释38.1.4人员管理38.1.4.1人员进出管理流程38.1.4.1.1公司员工38.1.4.1.2来访人员38.1.5 卡证管理规定38.1.5.1卡证分类38.1.5.2卡证申请38.1.5.3卡证权限管理38.2设备安全38.2.1设备安全

3、规定38.2.2设备进出管理流程38.2.2.1设备进场38.2.2.2 设备出场38.2.3BBB办公设备进出管理流程38.2.3.1设备进场38.2.3.2设备出场38.2.4特殊存储设备介质管理规定38.2.5 FBI场地设备加封规定38.2.6 FBI场地设备报修处理流程39 IT安全管理39.1网络安全管理规定39.2系统安全管理规定39.3病毒处理管理流程39.4权限管理39.4.1权限管理规定39.4.2配置管理规定39.4.3员工权限矩阵图39.5数据传输规定39.6业务连续性39.7 FBI机房、实验室管理39.7.1门禁系统管理规定39.7.2服务器管理规定39.7.3网络

4、管理规定39.7.4监控管理规定39.7.5其它管理规定310信息安全事件和风险处理310.1信息安全事件调查流程310.1.1信息安全事件的分类310.1.2信息安全事件的分级310.1.3安全事件调查流程310.1.3.1 一级安全事件处理流程310.1.3.2 二级安全事件处理流程310.1.3.3 三级安全事件处理流程310.1.4 信息安全事件的统计分析和审计311检查、监控和审计311.1检查规定311.2监控311.2.1视频监控311.2.2系统、网络监控311.3审计311.3.1审计规定311.3.2审计内容312奖励与处罚312.1奖励312.1.1奖励等级312.2处罚

5、312.2.1处罚等级3一级处罚3常见一级处罚3二级处罚3常见二级处罚3三级处罚3常见三级处罚3四级处罚3常见四级处罚31 目的为了规范和明确XXXXXXXX有限公司业务发展的信息安全管理方面的总体要求，特制定本规定。确保我司BBB项目符合BBB信息安全管理要求；有效保护双方利益和和信息资产安全，特制定此规定。2 范围本规定适用于XXXXXXXX有限公司各部门及全体员工。3 总体安全目标建立符合要求的信息安全管理体系，确保离岸外包项目运作中的信息安全，防止公司及客户的技术秘密、商业秘密的泄露，保障公司外包业务的顺利发展。4 信息安全信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受

6、偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不被中断。5 信息安全组织5.1 信息安全组织为了响应公司外包业务的离岸政策、适应外包业务发展方向、使业务能够顺利回迁，建立符合公司及客户要求的信息安全管理体系，保证业务离岸后的顺利开展，本着尊重知识产权、维护公司、客户的商业利益、为客户的业务开展提供最安全的保障服务。经公司研究决定成立信息安全管理组，各地域或场地可参照成立信息安全小组。5.2 信息安全职责信息安全主任：根据公司信息安全要求及业务发展需求，对信息安全相关事务进行支持、决策，确保外包项目的信息安全，对所承接的BBB外包服务业务的信息安全负责。信息安全专员

7、：建立信息安全组织，作为信息安全管理人员负责建立和维护ISMS（Information Security Management System信息安全管理体系）负责组织信息安全管理规定、标准和流程的制定、推行、检查和安全事件调查工作。机要员：主要负责执行信息安全制度中规定的及信息安全专员的指令，一个地域只有一个机要员，通常重要区域的钥匙、密码、门禁卡由其负责保管，所有物品出入FBI场地必须由机要员进行确认检查，并做好相关的记录。安全岗：执行信息安全制度中规定的及信息安全专员的指令，根据信息安全制度的相关规定，执行检查、登记出入FBI场地人员及携带的物品，负责维护责任区域的安全。当有人员及人员携带

8、物品强行出入FBI场地的时候，安全岗人员必须立即制止。IT专员：主要负责执行信息安全制度中规定的及信息安全专员的指令，协助信息安全机要员做好信息安全方面的技术工作，FBI场地的机房网络、内外邮箱的设置，设备出场的数据处理，进场设备的存储、端口的处理，信息安全技术工作方面的改进、优化。卡证专员：主要执行规范公司员工及外来人员的出入卡证发放和门禁系统授权管理工作。根据信息安全制度的相关规定，结合卡证管理流程及权限，对卡证管理实行员工工卡、临时工卡、来宾卡的识别、确认、登记、门禁授权、编码、归类、注销等管理流程工作的实现。部门执行主任：主要负责本部门下属的各项目组在FBI场地信息安全管理工作，并任命

9、项目组中的具体信息安全执行负责人，配合信息安全管理工作组的工作做好日常的信息安全管理及定期信息安全的检查、监控和审计工作。对部门下属成员的信息安全违规、举报行为执行信息安全管理工作组规定的奖励和处罚。项目组信息安全员：主要负责本项目组内人员及设备的信息安全管理工作，配合信息安全管理工作组的工作做好日常的信息安全管理及定期信息安全的检查、监控和审计工作。对部门下属成员的信息安全违规、举报行为执行信息安全管理工作组规定的奖励和处罚。5.3 信息安全操作流程分为：规划、执行、检查、改进四个阶段，每个阶段都有明确的参与和执行责任人。分别说明如下：规划：根据公司信息安全原则和业务发展的需求，信息安全管理

10、工作组全体成员讨论并制定详细的管理流程。一般情况下由需求部门向信息安全专员提出需求，并由信息安全专员召集信息安全管理工作组的机要员、IT专员及需求申请部门人员进行需求的讨论并给出解决方案，方案确定后由信息安全管理工作组主任进行审核、签发。执行：所有签发的管理方案都必须严格执行起来，一般情况下由需求部门、个人向信息安全专员提出申请，按照申请流程中规定进行操作，涉及到由申请者直接上级和部门领导审批同意，之后交由信息安全专员进行审核。审核后由机要员、IT专员、卡证专员进行具体的操作和处理，安全岗执行人员要看到完整的流程审批以后才可以进行放行和记录。检查：信息安全管理工作组全体成员定期会对FBI场地内

11、的物理隔离、门禁权限、办公设备、机房设备、FBI实验室设备、监控记录及历史存档记录会同业务部门的信息安全执行主任进行检查和审计。并将结果以报告的形式汇报给信息安全管理工作组主任。对发现信息安全方面的违规问题由信息安全专员以书面的形式向分公司进行发文进行通报。改进：原有管理方案不能继续满足业务发展需求时，由业务部门向信息安全专员提出申请，信息安全专员召集信息安全管理工作组的全体成员及需求部门进行管理方案的改进评审会议。在检查中发现有信息安全漏洞的，由信息安全专员召集信息安全管理工作组的全体成员及需求部门进行管理方案的改进评审。最终由信息安全主任进行审核、签发。6 信息资产分类与控制为了规范文档的

12、保密制度，明确信息资产所有人责任、信息密级的划分，信息资产的识别。公司所有文档，无论是电子件或纸件，必须标有文件密级。文档密级应出现在文档页眉的醒目位置，页脚应出现未经许可，不得扩散 的字样。信息是一种资产，像其它重要的业务资产一样，对公司具有价值，因此需要妥善保护。6.1 信息资产管理6.1.1 信息资产分类数据与文档：数据库和数据文件、系统文件、用户手册、培训材料、运行与支持程序、业务持续性计划、应急安排。书面文件：合同、指南、企业文件、包含重要业务结果的文件。软件资产：应用软件、系统软件、开发工具和实用程序。物理资产：计算机、网络设备、磁介质（磁盘与磁带）6.1.2 信息资产密级秘密：是

13、指一般的公司秘密，一旦泄露会使公司和客户的安全和利益受到一定的危害和损失。 内部公开：公司各部门、项目组内部员工不受限制查阅的信息，未经授权不得随意外传。6.2 信息资产的标识和处理6.2.1落实资产责任：为公司的资产提供适当的保护，为所有信息财产确定所有人，并且为维护适当的管理措施而分配责任。可以委派执行这些管理计划的责任。被提名的资产所有者应当承担保护资产的责任。6.2.2 控制措施资产的清单：列出并维持一份与每个信息系统有关的所有重要资产的清单。在信息安全体系范围内为资产编制清单是一项重要工作，每项资产都应该清晰定义，合理估价，在组织中明确资产所有权关系，进行安全分类，并以文件方式详细记

14、录在案。6.2.3 具体措施包括：公司可根据业务运作流程和信息系统基础架构识别出信息资产，按照信息资产所属系统或所在部门列出资产清单，将每项资产的名称、所处位置、价值、资产负责人等相关信息记录在资产清单上；根据资产的相对价值大小来确定关键信息资产，并对其进行风险评估以确定适当的控制措施；对每一项信息资产，组织的管理者应指定专人负责其使用和保护，防止资产被盗、丢失与滥用；定期对信息资产进行清查盘点，确保资产账物相符和完好无损。 6.2.4 信息的分类：确保信息资产得到适当程度的保护应当将信息分类，指出其安全保护的具体要求、优先级和保护程度。不同信息有不同的敏感性和重要性。有的信息资产可能需要额外

15、保护或者特殊处理。应当采用信息分类系统来定义适当的安全保护等级范围，并传达特殊处理措施的需要。6.2.5 控制措施信息资产分类原则：信息的分类及相关的保护控制，应适合于公司运营对于信息分享或限制的需要，以及这些需要对企业营运所带来的影响。信息的分类和相关保护措施应当综合考虑到信息共享和信息限制的业务需要，还要考虑对业务的影响，例如对信息未经授权的访问或者对信息的破坏。一般说来，信息分类是一种处理和保护该信息的简捷方法。信息分类时要注意以下几点：信息的分类等级要合理、信息的保密期限、谁对信息的分类负责。6.2.6 控制措施信息的标识与处理：应当制定信息标识及处理的程序，以符合公司所采用的分类法则

16、。为信息标识和处理定义一个符合组织分类标准的处理程序是非常重要的。这些程序要涵盖实物形式和电子形式的信息。对于每种分类，应当包含以下信息处理活动的程序：复制、存储、通过邮局、传真和电子邮件的信息发送、通过口头语言的信息传递，包括通过移动电话、语音邮件和录音电话传送的信息、销毁。对于那些含有被划定为敏感或者重要信息的应用系统，其输出应当带有适当的分类标识。该标识应当反映根据组织规则而建立的分类。需要考虑的项目包括打印的报告、屏幕显示、存储介质（磁带、磁盘、CD、卡式盒带）、电子消息和文档传输。7 人员的安全管理7.1 聘用条款和保密协议（公司员工保密协摘录）7.1.1聘用条款中员工的信息安全责任

17、7.1.1.1知识产权：7.1.1.1.1 知识产权是指根据法律法规有关规定或根据甲方与第三方签署的协议由甲方所有、使用、支配、提供、拥有或者将要拥有的一切智力劳动成果，包括但不限于专利权、商标权、著作权、软件、企业名称、企业标记（Logo）、域名、网站、数据库、经营或开发成果、商誉、职务技术成果等。7.1.1.1.2 乙方承诺在与甲方的劳动合同关系存续期间及期满后不对甲方的知识产权进行贬低、歪曲、破坏或者任何其它损害。在劳动合同有效期内乙方应努力维护、提高甲方知识产权的价值。7.1.1.1.3 乙方承诺，未经甲方书面同意，不将第一条所提及的技术成果、作品、软件、专利等用作商业目的或者许可他人

18、用于商业目的。7.1.1.1.4 乙方在与甲方的劳动合同存续期间，及在劳动合同关系终止后二年内, 所有主要是利用在XXXXX的工作时间或利用XXXXX或派驻合作方的物质技术条件所完成的,一切与甲方业务、产品、程序与服务有关的技术成果，包括但不限于发现、发明、思路、概念、过程、产品、方法和改进或其一部分，不论是否可以或已经受到知识产权法律保护，不论以何种形式存在，均为职务技术成果，其所产生的所有权利包括知识产权归甲方、甲方合作方单独或共同所有。未经甲方书面许可不得以乙方和/或其它任何第三方的名义申请专利或者版权登记。7.1.1.1.5 乙方在结束与甲方的劳动合同关系一年内，若有继续完成与在甲方工

19、作期间所担任的课题或分配的任务有关而取得的技术成果，仍属于甲方或派驻合作方所有。7.1.1.1.6 对于甲方实施、转让、许可他人使用职务技术成果或者将职务技术成果投入其它商业用途而引起的收益或者损失，乙方不提出任何权利主张也不承担任何责任。但由于乙方职务技术成果固有的缺陷或者乙方在实施该职务技术成果的失误造成的损害，乙方应承担责任。7.1.1.1.7 乙方承认所有在与甲方劳动关系存续期间产生或者接触到的甲方提供的或通过甲方获取的有关资料及其它信息载体都属于甲方所有，未经甲方书面许可，不得向任何第三方提及、出示及传播。7.1.1.1.8 乙方承诺不向他人谈论甲方尚未对外公布的业务和技术发展动态。

20、乙方承诺不设法获取非本人工作所需的甲方保密的技术资料、技术文件和客户档案材料以及非本人工作所需的甲方内部及对外的商业文件。乙方进一步承诺不利用甲方的客户及渠道为自己或他人谋求利益。7.1.2商业秘密7.1.2.1 符合法律法规有关规定或根据甲方与第三方签署的协议由甲方所有、使用、支配、提供的具有商业价值的，非公知的并由甲方采取了保密措施的所有技术信息和/或经营信息。7.1.2.2 甲方在开发、销售各类计算机软件产品以及为各类软件产品提供技术支持、信息咨询服务及培训的过程中，或是接受指派为本协议所面向的派驻合作方提供外包服务期间,本方和合作方所独有的机密、专有技术及商业秘密性质的情报均简称为“商

21、业秘密”。7.1.2.3 甲方的商业秘密包括但不限于档案资料、技术资料、市场销售资料、财务信息资料以及：7.1.2.4 甲方及派驻合作方开发或销售的所有软件，以及与此类软件有关的文档：包括程序的源编码、目标码部分、视听部分、人工或机器可读形式程序部分，还包括图表、流程图、样图、草图、技术说明、设计图数据教材、有关病毒的报告及客户资料。7.1.2.5 甲方的业务计划、产品开发计划、财务情况、内部业务规程和客户名单等信息；以及正在开发或构思之中的商业思想、业务和技术发展动态、系统安全机制与实现等方面的信息、数据以及计算机数据库、资料、源程序、目标程序、计算机软件等；7.1.2.6 甲方现有的以及正

22、在开发或者构思之中的服务项目的信息和资料；7.1.2.7 甲方现有的或者正在开发之中的质量管理方法、定价方法、销售方法等方法；7.1.2.8 甲方应对第三方负有保密责任的所有第三方的机密信息;7.1.2.9 甲方的股东资料、投资背景等以及其它被甲方标明或声明为秘密的信息。7.1.2.10 乙方承诺在与甲方的劳动合同关系存续期间以及解除后二年内，保守甲方商业秘密，未经甲方书面许可，不向任何第三方以任何明示或者暗示的方式透露，包括与商业秘密无关的其它甲方雇员在内。乙方承诺不设法获取非其工作所必需的任何形式的甲方的商业秘密，并不得利用与甲方工作关系为自身谋求利益。7.1.2.11 除用于甲方安排或者

23、委托的工作之外，乙方不得将商业秘密信息用于其它任何目的。在使用完毕之后，乙方应立即向甲方交还或者按照甲方的要求销毁商业秘密的载体，包括但不限于文件、磁盘、光盘、计算机内存等。7.1.2.12 乙方只能在因工作需要必须使用的情况下提供给其它可靠的员工，并应事先与其签署与本协议充分相似的保密协议，提供程度仅限于可执行一定的商业目的。并保证这些员工应遵守本协议中约定的义务，不在无甲方及派驻合作方许可的前提下，向第三方（包括顾问）透漏这些秘密信息，并应约束其接触本保密信息的员工遵守保密义务。7.1.2.13 如为合作的目的确实需要向第三方披露甲方及派驻合作方的保密信息，需事先得到甲方及派驻合作方的书面

24、许可，并与该第三方签订相应的保密协议。7.1.2.14 如果乙方根据法律程序或行政要求必须披露“商业秘密”，应事先通知甲方及派驻合作方，并协助公司采取必要的保护措施，防止或限制保密信息的进一步扩散。7.1.2.15 乙方应按照甲方要求对商业秘密或其载体进行妥善地保管、存储、加密、回收、销毁等。未经甲方许可或非因工作需要，乙方不得将商业秘密信息或其载体带出甲方住所。7.1.2.16 在与甲方的劳动合同关系中止、终止或解除时，乙方应将所有包含、代表、显示、记录或者组成商业秘密的原件及拷贝，包括但不限于装置、记录、数据、笔记、报告、建议书、名单、信件、规格、图纸、设备、材料、磁盘、光盘等，归还甲方。

25、7.1.2.17 员工在签署劳动合同以后必须签署保密协议。7.1.2.17 员工职位晋升为PL、PM、SE等关键岗位，业务技能达到公司及BBB公司认可的三级及以上级别的，都必须与BBB公司签署保密协议，各方都应切实遵守保密协议中约定的保密义务。7.2 人员背景审查目的：保障三级及以上工作岗位人员所掌握的信息安全。7.2.1 审查流程7.2.1.1 员工再进入三级及以上工作岗位时，由人力资源部和用人部门共同开展对人员背景的调查。7.2.1.2 具体调查内容：身份审查、学历审查、工作履历审查、信用度审查、职业道德审查、职业背景审查、忠诚度审查。7.2.1.3 审查标准：审查的资料完整性、真实性，审

26、核身份证原件、毕业证原件、各种技能职称 原件的真实性，是否相互吻合。7.2.2 员工背景调查表人员背景调查表基本信息被调查者姓名性别身份证号码户口所在地出生日期年龄身份验证被调查者的身份内容真实性说明身份证号码是（） 否（）年龄是（） 否（）户口所在地是（） 否（）验证来源：学历验证被调查者提供信息真实性说明学校名称是（） 否（）学习时间是（） 否（）所学专业是（） 否（）证明人/机构：职位：专业资格验证被调查者的身份内容真实性说明认证机构是（） 否（）获得认证时间是（） 否（）认证内容是（） 否（）证明人/机构：工作履历验证被调查者的身份内容真实性说明雇主公司名称是（） 否（）雇主公司注册地

27、是（） 否（）雇佣时间是（） 否（）职务名称是（） 否（）直接上司职务是（） 否（）被调查者是否与贵公司有劳动争议是（） 否（）被调查者是否存在信息安全违纪违规行为是（） 否（）证明人： 职务： 调查时间：7.3 员工培训目的：宣传、普及信息安全制度，增强员工的信息安全意识。培训对象：新员工、在职员工培训方式：授课+考核7.3.1 培训周期7.3.1.1新员工：所有部门新员工在入职当天由人力资源培训部组织信息安全制度培训，培训签到表归档。培训结束后在一周之内组织信息安全考试，考试及格线为23分（25分制），并将考试签到表、考试成绩进行归档。7.3.1.2在职员工：所有部门在职员工每半年组织一次

28、信息安全培训，培训签到表归档。培训结束后在一周之内组织信息安全考试，考试及格线为23分（25分制），并将考试签到表、考试成绩进行归档。7.3.2 培训效果检查7.3.2.1 定期以业务部门、项目组为单位进行信息安全知识检查，对检查结果低于90%的部门、团队进行再次的全员覆盖培训并组织考试，对培训签到表、考试签到表、考试成绩归档并通知部门主管。7.3.2.2 不定期对FBI场地内的研发人员进行信息安全知识的抽检，对抽查成绩低于23分（25分制）的员工组织培训并考试，对培训签到表、考试签到表、考试成绩归档并通知业务部门直接领导和部门主管。7.4 人员离职目的：保证离职人员不带走公司任何信息资产。7

29、.4.1离职人员信息交接流程7.4.1.1 员工离职前，公司与离职员工签署离职保密承诺。7.4.1.2 员工离职前公司将收回所有的工作资料的纸件、电子件及员工拥有的相关信息系统和资源的访问使用权限。7.4.1.3 员工离职前收回员工门禁磁卡及工作证。7.4.1.4 员工在其离职两年内仍要按照进公司时签订的合同，承担下列保密责任，否则将承担违约的民事或刑事责任。7.4.1.5 不带走从公司获取的任何资料，包括但不限于记载的纸件或电子件上的文档、文件、图表、目录，存储于磁盘、光盘上的软件、程序等。7.4.1.6 离职后两年内不得到与XXX公司或与客户公司有竞争关系的公司从事与在XXX公司工作期间工

30、作性质相同或者相似的工作。7.4.1.7 未经XXX公司书面同意，不向任何单位和个人透露或使用在公司就职期间获得的商业秘密，包括技术秘密、商务秘密、财务秘密、管理秘密以及其它经营秘密。7.5 违规处理目的：建立正式的违规处理流程，对违反信息安全管理规定的员工进行相应处理。7.5.1信息安全违规级别对于触犯国家法律的，公司将移交国家司法机关依法处理。此外，则根据违规行为的后果、性质以及违规人的主观意愿，将违规行为分为如下四个等级：一级：有意盗窃、泄露公司保密信息，或有意违反信息安全管理规定，性质严重造成重大损失。二级：有意违反信息安全管理规定，性质严重或造成损失。三级：无意违反信息安全管理规定，

31、造成公司损失；或者有意违反信息安全管理规定，但性质不严重且 没有造成严重损失。四级：违反信息安全管理规定，性质较轻，没有造成公司损失。7.5.2信息安全违规处理流程信息安全违规处理流程V1.0任务名称人物、程序、重点及标准时 限相关资料事 故定 级程序1、 参考国家相关法律2、 公司人事制度3、 公司信息安全制度业务部门发生信息安全事故以后，项目组信息安全员应在第一时间向信息安全专员进行汇报即时信息安全工作组核实情况后，对事故进行定级1个工作日信息安全主任对事故级别审核1个工作日BBB信管办对事故级别审核1个工作日重点对所发生的事故进行定级标准定级及时、准确组 织信 息安 全工 组会 议程序1

32、、公司信息安全制度2、事故调查报告信息安全专员组织事故部门召开临时会议1个工作日信息安全专员组织信息安全工作组召开临时会议1个工作日事故报BBB信管办1个工作日信息安全小组研究制定具体事故的解决措施2个工作日事故解决措施报信息安全主任审批重点组织信息安全工作组召开临时会议，制定具体事故的解决措施标准组织信息安全工作组召开临时会议，措施合理执 行解 决措 施程序1、公司信息安全制度2、公司人事制度事故解决措施审批通过后，由信息安全专员组织落实根据实际情况事故部门负责落实执行，信息安全小组配合随时重点信息安全小组制定措施的落实标准措施落实及时、全面、准确总 结报 告与 预防措施程序1、公司信息安全

33、制度2、事故调查报告事故发生部门将执行结果反馈到信息安全小组1个工作日信息安全专员输出事故总结报告，并修订事故预防措施3个工作日事故总结报告、事故预防措施报信息安全主任审核1个工作日事故总结报告、事故预防措施报BBB信管办审核1个工作日信息安全工作组将事故总结存档即时重点信息安全小组输出事故总结报告，并修订事故预防措施标准总结报告真实、客观、全面预防措施及时、合理、可行7.5.3违规事件处理流程图8 物理安全策略8.1场地安全目的：明确公司FBI各工作区域的安全级别。8.1.1 FBI受控区域的划分8.1.1.1受控区域级别划分 一级：FBI出入通道 FBI研发区 FBI实验室IT机房 公司后

34、门 二级：培训室 会议室 三级：茶水间 洗手间8.1.1.2 重要区域及受控区域管理责任划分公司前门：前台负责管理。FBI出入通道：安全岗负责管理。FBI实验室：实验室管理员负责管理。IT机房：机房管理员负责管理。公司后门:信息安全工作组负责管理。FBI研发区：各项目组负责管理。FBI场内会议室：使用者负责管理。培训室：使用者负责管理。8.1.1.3 物理隔离FBI研发区（包括FBI的办公区、实验室、会议室）与其它办公区域进行了物理隔离。 IT机房与其它办公区域进行物理隔离。8.1.2出入控制安全岗负责FBI出入口的日常管理，对出入人员身份及设备的合法性进行识别和检查。公司前门、FBI出入口、

35、IT机房、FBI实验室、公司后门都安装有CCTV监控系统，对受控区域进行360度无死角监控，所有监控记录必须保存一个月以上。所有在公司FBI工作人员都必须刷卡出入，IT机房、FBI实验室采取最小授权策略，未授权人员不得私自进入。所有进入FBI及受控区域的都必须进行申请，申请通过以后由卡证专员进行门禁卡的授权和发放，禁止未得到授权人员私自出入FBI及FBI内的受控区域。所有在FBI研发区办公人员都必须正确佩戴具有员工合法身份识别的公司工作证，未佩戴人员不得进入FBI。FBI出入口设置有特殊存储设备禁止私自带入的标识牌。因工作需要进入FBI的外来人员必须进行严格的申请、登记，审批通过后方可进入，接

36、待人员必须全程陪同。未经批准，禁止在FBI研发区及FBI受控区域进行摄像、拍照、录音。8.1.3名词解释8.1.4人员管理8.1.4.1人员进出管理流程8.1.4.1.1公司员工8.1.4.1.1.1 FBI研发区办公人员需要刷门禁卡进出，且每人每次按顺序刷卡进出，严禁一人刷卡多人同时进出。FBI研发区办公人员若未带授权门禁卡进出时必须在安全岗处的FBI人员出入登记表上面进行登记。XXXXXXXX有限公司FBI人员出入登记表V1.0序号日期姓名工号所属部门进入目的进入时间离开时间核实人备注1234568.1.4.1.1.2 办公区人员因工作需要进入FBI时必须在安全岗处的FBI人员出入登记表上

37、面 进行登记。8.1.4.1.1.3 FBI办公人员随身携带了移动存储设备在进入办公区之前必须在前台的设备寄存登 记表上面进行登记，并交由前台进行保管在寄存柜内，离开时领取。设备寄存登记表V1.0序号存放日期存放时间设备名称设备序列号寄存人领取时间接待人经办人备注123456788.1.4.1.2来访人员8.1.4.1.2.1 外部来访人员进入公司大厅以后，首先必须在前台的来访人员登记表上面登记并从前台处用自己的有效证件换取我司的来宾卡，由接待人员在来访人员登记表上签字确认后方可进入办公区。8.1.4.1.2.2 来访人员随身携带了移动存储设备在进入办公区之前必须在设备寄存登记表上面进行登记，

38、并交由前台进行保管在保险箱内，离开时领取。8.1.4.1.2.3 来访人员因公需要进入FBI，必须由接待人员提前从信息安全专员处领取FBI来访人员申请表进行填写并提交给部门上级领导签字确认后交给安全岗人员归档，来访人员在进入FBI之前必须在安全岗处的FBI人员出入登记表上面进行登记。FBI来访人员申请表 V1.0申请栏申请日期申请人工 号部 门进场人员信息单 位姓 名证 件证件号码进场事由审批栏项目经理审批部门负责人审批机要员审核信息安全专员审批安全岗放行确认记录进入FBI场地说明：1、进场后不得擅自走动；2、不得私自动用他人的设备；3、不得刻意窥探IT机房及FBI实验室；4、不得蓄意破坏场地

39、内任何设备及设施；5、如有违反我司信息安全规定者根据情节严重程度追究其法律责任。进入公司办公区的任何人员不允许携带任何移动存储设备（包括具有照相，蓝牙，红外功能的手机，）禁止进入FBI。持有该类设备的人员在进入公司后必须在设备寄存登记表上面进行登记，并交由前台进行保管在保险箱内，离开时领取。a） 来访人员因工作、业务需要在我司FBI办公的，需要办理我司的门禁卡，必须走FBI临时门禁卡申请表。FBI临时门禁卡申请表V2.0申请栏申请日期申请人工 号部 门进场人员信息单 位姓 名证 件证件号码申请门禁权限范围权限生效日期权限失效日期进场事由审批栏项目经理审批部门负责人审批机要员核实信息安全专员审批

40、卡证专员发卡记录临时门禁卡说明：1、此权限有效期最长只能一个月，到期后须重新申请；2、门禁卡不得随意转借他人使用；3、不得损坏门禁卡；4、离场时归还至卡证专员处。8.1.5 卡证管理规定目的：规范卡证使用权限及流程，本着重要信道及区域。8.1.5.1卡证分类8.1.5.1.1 员工卡：签署我司劳动合同的正式员工每人发放一张，根据员工所属部门、职务不同，卡证的门禁系统权限也不同。（研发部门一般门禁系统权限：公司大门、FBI出入门禁权限，后勤支撑部门门禁系统权限：公司大门）8.1.5.1.2 临时通行卡：来访人员来我司办理相关业务、工作等需要佩戴。（无任何门禁系统权限，只是作为身份的标示）8.1.

41、5.1.3 来宾卡：合作方客户、重要领导等来访时佩戴。（无任何门禁系统权限，只是作为身份的标示）8.1.5.2卡证申请8.1.5.2.1 员工卡：入职后由部门相关负责人统一向卡证管理专员申请，必须注明的是员工卡所具有的门禁系统权限。8.1.5.2.2 临时通行卡、来宾卡：由前台统一进行管理和发放，每张卡上面都有唯一的编号。8.1.5.3卡证权限管理8.1.5.3.1 所有员工权限必须经过申请以后才可以进行授权发放；8.1.5.3.2 离职员工必须在离开前将员工卡上交卡证管理专员进行门禁系统权限的取消及记录。8.1.5.3.3 IT机房管理员不得独有机房和实验室的门禁权限，必须采用的策略是：钥匙

42、+ 卡+密码的形式进入，规定卡由机要员掌握、密码由管理员掌握，必须是两人同时在场地操作才可以进入机房。8.1.5.3.4 FBI实验室作为开发和测试设备环境存放点，业务部门的普通开发人员因工作需要允许申请此门禁权限，权限周期一般为一个月，到期可申请延期使用。业务部门主管严禁申请此权限。8.1.5.3.5 门禁卡丢失必须及时向卡证专员知会并申请补办。门禁卡发放统计表姓名工号卡号部门权限PM审批主管审批个人签领日期公司前门公司后门FBI研发区实验室(南)实验室(北)IT机房配置机房8.2设备安全目的：建立设备安全出入FBI规定、流程，确保研发数据安全。8.2.1设备安全规定8.2.1.1 FBI内

43、各部门新申领电脑后，需通知信息安全负责人、固定资产管理员和IT专员对机器端口进行封胶、拆除前面板USB接口，粘贴激光防伪标签防拆机箱，并设置 BIOS 密码，屏蔽 USB 接口，BIOS 密码由IT专员统一管理。管理员账户及密码，使用者不能私自删除管理员账户和修改管理员密码。8.2.1.2 实验室设备加封封条、外置接口粘贴设备防伪标签，包括但不限于：服务器、PC、硬盘、特殊接口、刻录光驱、磁带机等。8.2.1.3 未经批准，禁止将特殊存储设备、便携机带入FBI，因工作需要必须走特殊设备入场审批流程。8.2.1.4 因工作需要设备出场时，IT专员必须对设备中存储设备进行低级格式化清空里面所有的数

44、据，方可出场。8.2.1.5 因特殊需要设备出场需要保存设备中的数据时，IT专员必须对设备的电源接口、外置I/O接口进行加封，并邮件通知搬迁目的地的信息安全专员及信息安全主管和接收人，相关邮件至少保留一年。在机要员、安全岗和设备使用人护送移交给接收人，接收人在设备移交清单上签字确认设备加封电源、外置I/O接口及存储数据完好无损。8.2.1.6 办公电脑必须设置登陆密码，密码长度不得低于 6 位，且须字母数字混编，同时设置屏幕保护程序（启动屏保时间不大于 8 分钟）和省电模式（省电模式启动时间不大于 15 分钟），离开办公位置时，必须锁定系统。8.2.1.7 设备存储介质发生故障时，必须在机要员

45、、IT专员和设备使用人同时在场的情况下，方可进行更换，对需要带出场地维修的存储设备必须进行低级格式化。8.2.1.8 存储介质销毁前必须走存储设备销毁申请表，并由项目经理、地域主管邮件向合作方接口人、BBB信管办进行申请说明。申请批准后由IT专员、机要员、使用人同时在场的情况下方可进行销毁，相关邮件至少保存一年。销毁方式为物理破坏。存储设备销毁申请表V1.0申请栏姓名工号部门申请日期设备名称设备数量设备编号销毁原因审批栏直接上级确认地域主管审批部门经理审批机要员核实销毁设备编号IT专员进行设备销毁确认机要员核实销毁并记录备注销毁说明：1、销毁设备必须是因物理故障而无法修复；2、销毁设备必须确认

46、销毁并记录。8.2.2设备进出管理流程8.2.2.1设备进场8.2.2.1.1 除台式机和服务器，其它任何移动存储设备禁止进入FBI研发区。持有该类设备的人员在进入公司前必须在设备寄存登记表上面进行登记，并交由前台进行保管在保险箱内，离开时领取。8.2.2.1.2 台式机、服务器、网络设备进入FBI场地前，需在信息安全专员处领取设备入场审批表走审批流程，流程审批通过后将此表交由安全岗处，并在安全岗处的设备出入FBI登记表上面进行登记后设备方可进入。XXXXX有限公司设备入场审批表V2.0申请栏 部 门姓 名工 号申请日期设备名称设备编号搬迁目的地入场原因审批栏直接上级审批部门审批IT专员设备处

47、理确认信息安全专员确认备注设备入场说明：1、所有进入FBI研发场地的设备入场前IT专员必须进行信息端口加封、屏蔽处理；2、如是BBB办公设备入场需要另走BBB办公设备入场申请单；3、此表同样适用便携机特殊设备入场申请。设备出入FBI登记表V1.0序号资产编号资产名称资产所属者资产责任人迁入/迁出时间本司项目组责任人经办人备注1迁入：迁出：2迁入：迁出：3迁入：迁出：4迁入：迁出：5迁入：迁出：6迁入：迁出：8.2.2.2 设备出场8.2.2.2.1 所有设备迁出FBI前必须走设备出场审批表，交由安全岗人员处登记后方可放行。信息安全机要员对迁出FBI的存储设备进行严格检查，迁出的电脑设备硬盘必须

48、进行低级格式化后方可带出公司。XXXXX有限公司设备出场审批表V2.0申请栏 部 门姓 名工 号日 期设备名称设备编号是否免格搬迁目的地出场原因审批栏直接上级审批部门审批IT专员设备处理确认信息安全专员确认备注设备出场说明：1、FBI研发场地PC、服务器设备出场前IT专员必须对存储设备进行低格处理;2、FBI研发场地出场设备申请免格的，部门领导必须在审批过程加以说明，IT专员必须对设备进行标签加封处理。8.2.2.2.1 因特殊需求设备出场要求保留存储设备里面的数据时（即免格申请），要走设备出场审批表，IT专员要对设备的外置信息接口、电源接口进行加封并安排专车和机要员进行护送至搬迁目的地，移交

49、给对方接受人并要求接受人检查设备的数量、外观、外置信息接口、电源接口封条是否完好无损，并在设备移交清单上面签字确认。XXXXX有限公司设备移交清单护送人及设备信息 护送人姓名部门地域主管项目组设备名称设备数量设备编号封签编号护送目的地接收人姓名联系方式护送日期设备移交确认信息设备数量电源接口外置接口签收日期接收人签字确认公司部 门工 号备注设备移交说明：1、护送人员必须确保设备的运输安全；2、必须直接移交给指定接收人；3、接收人必须签字确认。8.2.3BBB办公设备进出管理流程8.2.3.1设备进场分为台式机和笔记本电脑两类，入场前IT专员根据BBB信管办要求检查设备是否安装了BBB公司指定的

50、监控软件，并申请填写BBB办公设备入场审批表。对于未安装监控软件的办公设备禁止入场办公，并通知BBB信管办。XXXXX有限公司BBB办公设备入场审批表V1.0申请栏 部 门姓 名工 号日 期设备名称设备编号是否安装监控软件部门项目组入场原因审批栏直接上级审批部门审批机要员登记资产信息IT专员设备处理确认机要员核实处理结果信息安全专员审批备注设备入场说明：1、BBB办公设备入场之前IT专员必须检查是否已经安装了监控软件。8.2.3.2设备出场分为台式机和笔记本电脑两类，出场前IT专员根据BBB信管办要求检查设备里面安装的BBB公司指定的监控软件是否完好无损，并申请填写BBB办公设备出场审批表。对

51、于已经卸载监控软件的办公设备禁止出场办公，并通知BBB信管办进行调查。XXXXX有限公司BBB办公设备出场审批表V1.0申请栏 部 门姓 名工 号日 期设备名称设备编号监控软件是否完好部门项目组出场原因审批栏直接上级审批部门审批机要员核实资产信息IT专员数据处理确认机要员核实处理结果信息安全专员审批备注设备出场说明：1、IT专员必须确认办公设备的监控软件完好无损。8.2.4特殊存储设备介质管理规定8.2.4.1 未经许可，严禁携带特殊存储设备（包括但不限于光盘刻录机、磁带机、MO 驱动器、移动硬盘、USB 硬盘、数码像机、PDA、闪存、优盘/易盘、带 USB 接口的 MP3 播放器、Compa

52、ct Flash 卡、记忆棒（Memory Stick）、MODEM、WLAN 设备、软驱、光盘、软盘、磁带、MO 盘片、U 盘等一切有存储功能的设备）和便携机进入办公区域。对已经带来的特殊设备和便携机，由安全岗代为保管，离开后从安全岗取回。8.2.4.2 如果有特殊需求携带设备入场时须由项目经理向部门经理和信息安全管理人员申请，使用的过程须由信息安全管理人员进行操作，或信息安全管理人员在场。使用完后须交给信息安全管理人员进行格式化（或其它操作）方可带出公司。8.2.5 FBI场地设备加封规定8.2.5.1 办公电脑实行专人专用责任制管理，每台电脑的使用人即该电脑的责任人。未经许可，私自使用他

53、人电脑。8.2.5.2 公司所有电脑由行政部制定固定资产管理员负责管理，固定资产管理员必须在电脑右侧粘贴公司设备卡和设备封条（含各端口封胶，包括 USB 口），以便有效管理。设备封条是机器是否被开启的标识，需细心爱护，若有损坏，请及时通知信息安全负责人。8.2.6 FBI场地设备报修处理流程8.2.6.1 FBI场地办公设备出现故障时，使用人员不得私自拆箱维修。8.2.6.2 当设备出现硬件故障时，走OA硬件资源更换执行单流程。8.2.6.3 机要员、IT维修人员、使用者三者同时在场时，机要员打开机箱安全封条，IT维修人员进行维修。8.2.6.4 设备因存储设备损坏必须更换时，必须将原有存储设

54、备进行销毁。8.2.6.5 销毁存储设备必须是机要员、IT维修人员、使用者同时在场方可销毁。8.2.6.6 需要出场维修时，使用人必须发起设备出场申请，经BU总经理审批后方可执行离场维修。9 IT安全管理9.1网络安全管理规定目的：为加强公司网络服务质量和网络安全限定网络间的访问权限和范围，特制定本规定。9.1.1 FBI研发区域与非研发区域网络必须进行物理隔离，在设备的存放、归置和设置中严格执行隔离操作。在未经允许的情况下，禁止FBI场地网络与外部非受控网络连接。9.1.2 在FBI场地严禁使用代理方式将外部数据和信息传入或传出研发区域行为。9.1.3 FBI研发区网络设备必须在IT机房中归

55、置，不能出现在外部场地中。在特殊需求下要严格审批和管控。9.1.4 与BBB网络连接，必须通过BBB对外合作方所建立的Extranet区域进行各项数据业务的中转，并上报BBB相关人员此数据信息。9.1.5 研发区域内部有需要使用外部网络的，可在专门设立的开放区中进行。开放区必须保证与FBI场地研发区域物理隔离，并且相关网络也要做到物理隔离的效果。9.1.6 研发区域中使用的基础办公软件是利于大家提供工作效率，严禁使用非授权、不合法软件，更不能使用对现有网络安全有危害性质的软件。9.1.7 严格禁止FBI研发区域出现并使用无线接入设备。9.1.8 在对网络结构进行调整前，必须上报信息安全工作组审核批准，不得私自更改。9.2系统安全管理规定目的：保证FBI系统运行的安全、稳定无中断，特制定本规定。9.2.1 办公电脑、公共服务器系统平台均由IT部门完成安装及设置，对账户的信息在首次登陆时必须修改密码。9.2.2 服务器中要有对密码的复杂性和使用有效期做设置，必要时系统使用增加安全性。9.2.3 账户使用权限需要