互联网新技术新业务
信息安全评估报告
产品名称:XXXXX
评估单位:XXXX
XXXX年X月
目录
1.评估启动原因概述... 3
2.产品基本情况... 3
2.1产品简介... 3
2.2产品功能... 3
2.3技术原理... 3
2.4实现方式... 4
2.5(潜在)用户规模... 4
2.6市场情况... 4
3.安全评估情况... 4
3.1评估人员组成... 4
3.2评估实施过程概述... 5
3.3产品信息安全风险... 5
3.3.1不良信息传播... 5
3.3.2用户信息安全... 6
3.3.3网络技术风险... 6
3.3.4第三方应用(服务)相关风险... 6
3.3.5其他潜在信息安全风险... 7
4.解决方案或整改情况... 7
4.1配套安全管理措施... 7
4.2信息控制能力... 7
4.3信息溯源能力... 8
4.4网络与信息安全管控建设... 8
4.5同类产品管理建议... 8
5.安全评估结论... 8
6.评估人员签字表... 9
1.评估启动原因概述
(产品预上线、用户或功能发生重大变化、日常工作或检查发现问题、电信主管机构或上级主管部门要求、其他原因等)
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
2.产品基本情况
2.1产品简介
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
2.2产品功能
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
2.3技术原理
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
2.4实现方式
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
2.5(潜在)用户规模
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
2.6市场情况
(已上线产品为市场现状,未上线产品为市场预估)
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
3.安全评估情况
3.1评估人员组成
3.2评估实施过程概述
(启动时间、结束时间、过程中遇到的问题或困难、评估结果、整改复核情况等)
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
3.3产品信息安全风险
(评估过程中梳理的产品信息安全风险)
风险概述:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
3.3.1不良信息传播
(产品在制作、复制、发布、传播不良信息方面的功能或特性,信息格式如:文字、图片、音频、视频、网页链接等)
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
3.3.2用户信息安全
(产品存在用户信息、个人隐私等泄漏或流失的风险)
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
3.3.3网络技术风险
(产品、网络及系统方面的安全风险,如系统超负荷、安全漏洞、恶意代码攻击等)
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
3.3.4第三方应用(服务)相关风险
(如产品提供第三方应用或服务,是否存在上述三项风险)
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
3.3.5其他潜在信息安全风险
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
4.解决方案或整改情况
4.1配套安全管理措施
(产品运营配套信息安全管理措施落实情况:人员保障、制度、流程等)
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
4.2信息控制能力
(信息内容审核机制、过滤机制等,人工或技术手段)
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
4.3信息溯源能力
(用户发布信息、评论、公告等日志追溯、保存能力)
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
4.4网络与信息安全管控建设
(同步考虑网络与信息安全管控建设,多维度、多角度的安全技术手段,对产品的机密性、可靠性和完整性保护)
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
4.5同类产品管理建议
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
5.安全评估结论
(产品评估是否存在风险、通过解决方案或整改情况能否有效控制风险、产品能否上线运营或需下线处理、其他运营建议等)
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
6.评估人员签字表
第二篇:信息安全政策方针模板
广州xxx
信息安全政策方针
信息安全总体政策方针
历史版本编写、批准、发布信息记录表
文档修改记录
信息安全总体政策方针
信息安全总体政策方针
目 录
第1章 基本方针 ··············································································································································· 4 第2章 对策方针 ··············································································································································· 7 第1节 信息安全管理体制 ························································································································ 7 第2节 信息资产的保护对策 ···················································································································· 8 第3节 信息的管理·································································································································· 12 第4节 信息设备、媒体的管理 ·············································································································· 14 第5节 个人信息的管理 ·························································································································· 16 第6节 信息系统的使用人员管理 ·········································································································· 17 第7节 访问控制······································································································································ 19 第8节 系统管理员特权 ·························································································································· 20 第9节 系统操作记录 ······························································································································ 20 第10节 第11节 第12节 第13节 第14节 第15节 第16节 第17节 第18节 第19节 第20节 第21节
可用性对策 ····························································································································· 21 网络安全 ································································································································· 22 互联网和电子邮件的利用······································································································ 24 计算机病毒对策 ····················································································································· 25 安全漏洞对策 ························································································································· 26 软件的管理 ····························································································································· 28 本单位信息系统的构筑、运用 ······························································································ 28 设备对策 ································································································································· 30 发生侵害信息安全时的对应 ·································································································· 30 外包管理 ································································································································· 32 单位成员就职、辞职和人事变动时的措施 ·········································································· 32 信息安全的维持活动 ············································································································· 34
各种细则 ······················································································································································ 35
第1章 基本方针
(目的)
第1条 本信息安全政策之“基本方针”以及“对策方针”(以下称“本政策”)
阐明了广州xxx(以下称“本单位”)对信息资产管理和信息安全的
观点,是针对信息安全对策的方针而制定的,以实现下述事项为目的。
? 保护客户以及本单位的知识产权(包括机密信息和私人信息)
? 明确应该保护的信息资产以及对策
? 与信息安全相关的风险管理以及安全等级的维持、均一化
? 统一采取信息安全对策方面的判断标准
? 提高单位成员对信息安全的意识
? 有法必依,照章行事
(构成)
第2条 本政策由规定本单位信息安全方面的基本且一般性方向的“基本方
针”以及按各条款规定具体性事项以及指标的“对策方针”构成。
2. “对策方针”是本单位在信息安全方面必须施行对策的条款中,所应该施行事项或者应该达到最低水平的指标,是基于以下构想而制
定的。
? 从机密性、正确性、可用性的观点出发对信息资产的重要程
度设立各个条款,将其分别设定为与上述重要程度相应的条
款或指标。
? 对于信息资产的访问权(含浏览、更改、程序的起动)仅根
据业务需要授权。
? 信息安全管理中,极力避免人员管理内容,积极采用信息技
术,有组织地提高信息安全对策的可靠性为宗旨。
(适用人员以及适用业务)
第3条 本政策适用于就职于本单位的所有雇员及派遣员工。
信息安全总体政策方针
2. 外包对象,也必须遵守本政策。本政策中所提及的“外包对象”指:
?
?
?
(信息资产的对象)
第4条 本政策信息资产对象包含各种文档以及数据等本单位的所有信息,
此外还包括软硬件以及各种数据文件等信息技术性信息资产。
(经营职责)
第5条 信息安全主管领导要在理解本政策宗旨以及内容的基础上,给予足
够的重视,在遵守其规定的同时,还要按照本政策采取与信息安全有关的对策措施。
2. 信息安全主管领导要努力确保本政策所规定的条款稳定,不要随意变更,此外,当本政策所规定的条款存在不符合客观实际情况等不妥善之处时,要争取及时将其予以妥善修改。
3. 信息安全主管领导要率先推进乃至实行基于本政策的信息安全对策。
(单位成员的职责)
第6条 全体单位成员要在理解本政策的宗旨及内容的基础上给予足够的重
视,遵守其规定。
2. 全体单位成员要努力加深对信息安全的认识和理解。
(信息安全管理组织)
第7条 为了进行信息安全对策的起草提案以及维持管理,设置信息安全委
员会(SM委员会),由信息安全主管领导指名任命信息安全委员会委员长(SM委员长)。
2. 各项目或各部的负责人(项目负责人、部长)要对各项目或各部遵守本政策以及有关规程进行管理,同时还要实施和审核信息安全对策。实施时,要指定各项目以及各部的信息安全主管(SM)。被指
信息安全总体政策方针
定的信息安全主管(SM)以信息安全委员会(SM委员会)的一员从事活动。
3. 组织体系依据本政策末尾所记载的信息安全管理组织图设立。
(遵守法令等)
第8条 除本政策以及有关规程外,当法令、行政机构、本行业团体制定有
关信息安全的指针中有与本单位的指针一致的话,必须遵守。
信息安全总体政策方针
第2章 对策方针
第1节 信息安全管理体制
(信息安全委员会委员长(SM委员长))
第9条 信息安全委员会委员长(SM委员长)负责指挥、监督信息安全对策
的实施、维持。
2. 信息安全委员会委员长(SM委员长)设置信息安全委员会,指挥信息安全对策的实施。
3. 信息安全委员会委员长(SM委员长)向总经理报告全单位的信息安全对策的实施情况。
(信息安全委员会(SM委员会))
第10条 信息安全委员会(SM委员会)由信息安全委员会委员长(SM委员
长)设置,主管全单位信息安全对策推进、维持管理有关业务,执
行信息安全有关业务的具体业务。
2. 信息安全委员会(SM委员会)是各个项目和各部申报、申请、出现紧急情况时报告的主管部署,在单位内起横向管理的作用。
3. 信息安全委员会(SM委员会)向主管领导报告全单位信息安全对策的实施情况。但重要事项要向信息安全委员会提出提案。
4. 从信息安全委员会中选拔出以下负责人。各个负责人的作用如下: ? 设施管理人员 ?对接受委托的开发环境等办公场所和
服务器机房的出入进行管理。
? 网络管理人员 ?与网络整体有关的管理。
? 电脑、服务器管理人员 ?电脑和服务器安全对策的管理、设备
管理。
? 数据管理人员 ?测试数据和正式数据(书面、电子数
据)的拿入和拿出、保管和复制、废弃、
备份制作、开发文档类的管理。
信息安全总体政策方针
(各个项目和各部的信息安全管理)
第11条 各个项目和各部的项目负责人、部长作为各个项目和各部的信息安
全对策负责人,实施信息安全对策的贯彻普及、维持管理。
2. 各个项目和各部的项目负责人、部长向信息安全委员会(SM委员会)报告各项目和各部信息安全对策的实施情况。
3. 各个项目和各部的项目负责人、部长为了在各项目或部内贯彻信息安全对策,可以指定信息安全主管(SM)。
4. 信息安全主管(SM)对项目或部内的信息安全对策实施提供支持,向项目负责人以及部长报告其实施情况。
(教育负责部署)
第12条 教育负责部署的任务是为提高单位成员的安全意识,彻底贯彻落实
本政策,开展教育计划的规划、起草、实施。
(其他组织部门)
第13条 构筑可与客户、服务提供商、信息安全专业机构等保持适当联系的
信息安全有关体制。
第2节 信息资产的保护对策
(对来自单位外部组织信息的接收限制)
第14条 除业务需要外,不擅自从客户或交易对方等单位外部组织获取重要
信息。
(根据重要度管理)
第15条 对于本单位拥有的全部重要信息资产根据其重要度采取相应的管理
和对策。
(重要度的定义)
第16条 信息的重要度从机密性(Confidentiality)?完整性(Integrity)?可用性
(Availability)的观点来确定。
信息安全总体政策方针
此外,还规定:
所谓机密性是指信息的隐匿性,只有正当的权限人员才能参阅信息; 所谓完整性是指信息正确且具有整合性,信息之间不存在矛盾; 所谓可用性是指信息以及信息系统在需要时随时可以提供。 其各个等级定义如下:
信息安全总体政策方针
信息安全总体政策方针
(重要度的分类)
第17条 彻底清查本单位所拥有的全部重要信息资产,编制出目录,根据重
要度的定义进行重要度分类。
(重要度的指定和维持管理)
第18条 对信息的重要度,要适时进行重审。此外,当对信息的重要度进行
变更时,要告知全体有关人员。
信息安全总体政策方针
第3节 信息的管理
(贴标签)
第19条 当发布含有重要度高(等级2、3、4)的信息文书、可携带媒体(软
磁盘、磁带、CD-ROM等)时,要根据其机密度贴上适当的标签。
(保 管)
第20条 信息资产的保管要确定管理负责人,根据其重要度确定保管场所、
有效期限(保管期限)、保管方法、保管媒体。
2. 特别是法定帐票或对事业维续不可缺少的信息、作为组织进行的记录、客户寄存的信息资产要严加保护,避免出现丢失/消失、损坏以
及篡改等危险。此外,对于客户寄存的信息不要用于其目的以外的
用途。
3. 非公开信息不要放任不管,要进行适当的管理,做到不使其轻易地就能阅读到。
4. 机密文件不要放在办公桌上(锁入柜子后回家)。离开位子时,应锁定计算机,不要让重要数据显示在屏幕上,并且使用带密码的屏保。
(复制、分发)
第21条 复制以及分发(包括从系统中下载)要控制在业务所需的最小限度
范围内。
2. 复制、分发客户寄存的信息资产时,原则上要事先征得客户的许可。通过电子邮件的发送或经由互联网的文件传送同样如此。
3. 原则上严禁将重要信息带到单位外。因业务需要不得不带出时,要取得所属项目的项目负责人或所属部署负责人的同意。复制、分发
重要信息时,要记录管理所分发的范围。
4. 关于客户寄存的信息资产,未经客户许可,严禁将其带出客户许可保管以外的场所。
信息安全总体政策方针
(授受)
第22条 由于业务上的需要与单位外组织进行信息授受时,要采取适当的保
护措施。
(对交易对方明示)
第23条 向交易对方或单位外组织明示信息时,要根据内容的重要度对明示
范围、明示对象单位、明示期间、明示理由、明示状况等进行妥善
管理。
(对公众的公开)
第24条 向大众媒体、大众的问询公开提供本单位的信息时,要向总经理以
及管理该信息的项目或者部署申报公开范围、公开对象、公开期限、公开理由等并取得同意。此外,公开与有关客户的信息时,要事先
征得客户的同意。
2. 总经理以及信息安全委员会(SM委员会)要充分掌握公开状况。
3. 公开信息时,要采取妥善的保护措施,避免被篡改等风险。
(向官方机构的明示)
第25条 当收到官方机构等明示信息的要求时,要确认其根据的正当性,对
其妥当性进行判断后方予以明示。
(由单位进行的信息阅览)
第26条 信息安全委员会委员长(SM委员长)认为有必要时,对单位内拥有
的信息可以无事先通告进行阅览。
2. 但阅览信息时,在注意隐私的同时,严禁用于阅读以外的用途。 (返还)
第27条 客户寄存的信息资产原则上要返还。此外,该信息资产的管理负责
人要确认已返还给客户,并就此与客户联系。
信息安全总体政策方针
(废弃)
第28条 当废弃信息设备、媒体、纸张等时,要彻底抹消重要的数据或者被
授予使用许可的软件等,或者进行粉碎处理、设备的粉碎等,使其
变成难以读取的状态。
(保密)
第29条 与机密信息管理有关的详细步骤另行在《保密规则》中规定。要根
据该规则妥善管理与业务有关的信息。
第4节 信息设备、媒体的管理
(管理负责人)
第30条 要明确信息设备的管理责任人,采取妥善的保护措施。
(登记管理)
第31条 关于信息设备,要对资产管理编号(或者租赁合同编号等)、引进日、
设置场所、负责人员等进行底帐管理。
(设置情况的监查)
第32条 要定期监查信息设备是否有丢失或者是否设置有非法的信息设备
(调制解调器等)。
(设备的新追加、增设)
第33条 当新追加或者增设信息设备时,要向信息安全委员会(SM委员会)
报备。
(向第三者的出借/返还)
第34条 信息设备原则上不出借。当业务上需要时,要向信息安全委员会(SM
委员会)申报借出对方、借出对方负责人(主管人)、借出方负责人
(主管人)、期限、理由、目的等并取得批准。
信息安全总体政策方针
(移送)
第35条 当在网点之间移送收纳有重要信息(定义之例:任何一个CIA即便
只有一个也属于1级)的信息设备或媒体时,要针对丢失、被盗、
偷窥等采取妥善的保护措施。
(设备的搬入/搬出)
第36条 原则上严禁将信息设备搬入/搬出(包括可以存储信息的手机或便携
式终端)。出于业务需要必须要搬入/搬出时,要向项目负责人、部
长申报理由、信息设备名称等并取得批准。此外,在软件接受委托
开发业务的环境下,原则上未经客户许可严禁将信息设备搬入/搬
出,不过因业务需要必须搬入时,要向项目负责人、部长申报并取
得批准。
(1) 设备的搬出
? 当要将保存有重要信息(任何一个CIA即便只有一个也是3级以
上)的设备搬出时,必须施行用户ID密码认证以及硬盘等外存装
置的加密,而且还要采取妥善的信息保护措施。
? 在电车内等公共场所中,要时刻注意周围的情况,防止被偷窥。 ? 当不携带或者不使用时,要存放在笔记本电脑存放架(设置在规
定场所)上,搬出时要在搬出管理簿上进行搬出登记。
(2) 设备的搬入
? 搬入设备时,在接入单位内网络之前,先通过更新病毒码文件或
者补丁文件适用后的防毒软件杀毒,确认安全后再行接入。
(明确运用规则)
第37条 关于共用的信息设备(含服务器),要规定明确的运用规则,进行妥
善的保养管理。此外,要记录运用的作业履历。
(修理和保养)
第38条 进行信息设备的修理时,要通过信息安全委员会(SM委员会)规定
的管理部门/主管人员施行。
信息安全总体政策方针
2. 当因修理而需要搬运时,要采取妥善的管理办法(数据的删除、抹消、盖写)。当修理后返还时,要确认是否存在故障、是否有信息欠缺、是否被装入非法程序(包括病毒)。
第5节 个人信息的管理
(收集)
第39条 只对业务上必需的最小限度的信息通过合法且公正的方法进行收
集,原则上在向本人说明使用目的后征得同意之后再行收集。
(使用)
第40条 严禁用于收集时之目的以外的用途。
(明示、修改、删除)
第41条 个人信息的本人要求对自己的个人信息进行明示、修改、删除和停
止利用时,在进行严格的本人确认后尽快予以施行。
(对外委托)
第42条 当将与个人信息有关的处理对外委托时,要求施行与在本单位内同
等程度的管理。
(接受外部的委托)
第43条 当接受外部委托进行有关个人信息的处理时,要遵守委托方的个人
信息管理准则。
信息安全总体政策方针
第6节 信息系统的使用人员管理
(信息系统的使用原则)
第44条 本单位向单位成员提供的信息系统(计算机、网络、业务系统等)
原则上应以业务目的使用。
(使用人员认证)
第45条 访问本单位信息系统时,要根据重要度编入适当的使用者认证体制。 (ID管理)
第46条 用户ID必须给每个使用者分配一个ID,严禁共用ID。有必要设定
业务代理时,重新发行代理人使用的ID,并对其赋予权限。但是,
统筹部署(管理该系统有关安全方面的部署)批准的情形不在此限。
2. 被赋予ID的人员要在被认可的权限范围内使用,妥善地进行管理。
3. 被赋予ID的人员要在被认可的权限范围内进行使用,对用自己的ID进行的全部操作负有责任,不得将ID借给他人。
4. 用户ID的发行必须按照信息安全委员会(SM委员会)批准的正式登记步骤进行管理。此外,对于ID发行的情况要进行底帐管理。
5. 因退职等原因而不再使用的ID要尽快停止其利用。此外,长时间不使用的ID要暂时停止或者停止其利用。
6. ID(含管理员ID)要定期地(或者随时地)重审,核查是否存在业务上不必要的ID。
(密码管理)
第47条 要对密码的定期变更、使用难以推测的文字列、强制变更初始密码、
限制再次使用过去使用过的密码、禁止使用密码保存功能等进行彻
底地密码管理。
2. 不要将密码书写在纸上张贴,或者把密码告诉他人。输入密码时,务必由本人输入。
信息安全总体政策方针
3. 在设置密码时,不能使用可以从名字等个人信息中破解出的密码,或者英语单词等。密码应为字母数字组合、大小写组合,长度为8位以上,且每两个月必须更新。
信息安全总体政策方针
第7节 访问控制
(访问控制)
第48条 访问权限要限定在业务需要范围(阅览、更新、执行、删除、生成、
连接时间等)内。
2. 访问权限的设定要按照信息安全委员会(SM委员会)批准的正式设定步骤进行管理。此外,针对权限赋予的情况要进行底帐管理。
3. 访问权限(包括管理员特权)要定期地(或者随时地)进行重审,核查是否授予了业务上不必要的访问权限。
(离开座位时以及无人终端的保护)
第49条 离开座位时或者为无人终端(服务器控制台等)时,要注销或者锁
定画面。
2. 要设定在一定时间内没有访问时,或者自动注销,或者需要再次认证的机制(带密码的屏幕保护程序等)。
信息安全总体政策方针
第8节 系统管理员特权
(系统管理员特权)
第50条 管理员特权的发行由信息安全委员会(SM委员会)进行全权管理。
2. 因人事变动等原因而进行管理员特权交接时,要变更ID或者密码。
3. 将具有管理员特权的ID、密码发行给单位外部的人员时,要以书面形式明示所许可的行为,对于保密以及禁止超越委托业务范围的行
为以及禁止泄露密码要让其提交誓约书。
4. 此外,在紧急情况下需要发行管理员特权时,在信息安全委员会(SM委员会)批准的基础上,限于在必要的期间内发行暂用ID、密码,
或者设定临时性的管理员特权。
第9节 系统操作记录
(获取日志的目的和必要性)
第51条 为了迅速查明系统故障或者违章操作等原因,要对信息系统的利用
人员、时间、利用内容获取相应的日志。
(获取日志的项目)
第52条 要根据信息的重要度以及系统环境(网络环境和物理性环境等)相
应地确定获取日志的项目。
2. 关于重要信息(机密等级4)的日志,原则上要获取针对参阅、新建立、修改、删除、打印操作成功以及失败的日志。
3. 关于重要信息(机密等级3~2)的日志,原则上要获取参阅成功的日志。
4. 根据信息安全委员会(SM委员会)的判断,根据需要对上述以外的信息也要获取日志。
5. 要获取的日志作为可以与诱发该事象的使用者进行对应的内容。
信息安全总体政策方针
(日志的保管与管理)
第53条 获取的日志数据要根据信息的重要度以及系统环境(网络环境或物
理性环境等),在适当的媒体(离线媒体等)上保管、管理适当的周
期(至少3个月以上)。
2. 获取的日志最好保存在离线媒体上。此外,与重要度高的信息(任一个CIA即便只有一个也为3级以上)有关的日志,最好收纳在不
能写入的媒体(CD-R等)上。
3. 为了确保日志数据解析的容易度以及证迹性,获取日志对象系统的时间要全部同步。
(日志的监查)
第54条 信息安全委员会(SM委员会)要定期地对获取的日志数据进行监查,
调查是否存在违章操作。
(日志的管理)
第55条
第10节 可用性对策
(网络构成和运用时的可用性对策)
第56条 新构筑、变更网络时,在设计阶段要对所设想到的高峰需求时的网
络性能必要条件进行设定。
2. 为了业务服务的稳定运行以及早期发现故障,要根据重要度采用运用状态自动监视系统。
(冗长构成)
第57条 要根据可用性的重要度,采取冗长构成、使障碍极小化构成、代替
方法等对策。
? 对于重要信息(可用性等级3)的信息资产,采用使障碍极小化
构成(设备的双重化等) 日志数据要按信息资产对待,根据本政策采取妥善的对策。
信息安全总体政策方针
? 关于重要信息(可用性等级2)的信息资产,采取进行在线备份
或者代替机的冷备份等可以迅速准备代替方法的措施。
? 关于重要信息(可用性等级1)的信息资产,采取进行离线备份
等可以恢复到必要状态的措施。
(备份的获取)
第58条 对重要信息要定期获取备份。此外,进行备份的信息要根据信息的
重要度进行妥善地保护。
2. 备份要根据构成对象的信息的重要度确定时机、保管世代数、方法、保管期限、保管场所。
(备份媒体的保管)
第59条 备份媒体含有重要信息时,要保管在可以上锁的场所等,进行严格
的管理。
(保养和维护)
第60条 当要求高度的可用性(3级)时,要根据容许停止时间,签定设备、
软件的保养、维护合同。
第11节 网络安全
(单位内网络的管理)
第61条 对每个网络设定必要的安全等级,不同等级的网络彼此连接时,要
根据需要设置防火墙,将通信控制在只容许必要最小限度的通信内。
尤其是在接受委托进行软件开发业务的开发环境中,原则上客户的
不同项目要采用分隔网络环境的独立LAN构筑,严禁访问与客户达
成协议以外的网络环境。
2. 远程访问本单位的单位内网络时,要使用严格的认证方法(一次性密码、呼叫回复、虚拟专用网络等),必要时采用每次插入调制解调
器电源等方式,彻底落实访问管理。
信息安全总体政策方针
(与单位外组织之间的网络连接)
第62条 将本单位的网络与单位外的网络连接时(包括拨号连接),仅限于信
息安全委员会(SM委员会)判断为业务上需要的情况。
2. 将本单位的网络与单位外的网络连接时,尤其是与不特定多数连接的互联网连接时,在连接界限处要设置由信息安全委员会(SM委员
会)规定的防火墙,将通信控制在容许必要最小限度的通信内。
3. 将本单位的网络与单位外网络连接时,要根据机密性的重要度探讨妥善的防止信息泄露措施。
4. 对可以访问单位外网络的计算机要进行底帐管理。
5. 要求所连接的单位外组织对其信息安全对策的情况进行充分的说明。
6. 对于所连接的单位外组织不要进行违章操作或访问。
7. 要求所连接的单位外组织排除对本单位信息资产的违章或访问。
8. 在重要的网络中,要进行故障监测以及违法入侵监视。
(关于单位内无线LAN的使用)
第63条 关于单位内无线局域网的使用, 在施行了路由加密或对接入点的访
问控制、变更接入点识别ID等妥善安全对策的基础上,要征得信息
安全委员会(SM委员会)的使用许可。此外,在安全对策方面,要
考虑到发展趋向,进行重审、变更。
2. 被批准的接入点要由信息安全委员会(SM委员会)进行底帐管理。 (设定内容以及设备的管理)
第64条 要对防火墙和路由器的通信控制内容进行底帐管理。
2. 严格管理网络设定信息。
3. 防火墙和路由器等重要的网络设备要安装在上锁的区域。
4. 要确定网络构成的构成变更步骤。
信息安全总体政策方针
(评估的实施)
第65条 在与单位外的网络连接点中,根据风险评估的结果,确定是否需要
定期地实施模拟入侵测试等安全机制的评估。
第12节 互联网和电子邮件的利用
(利用互联网的申请)
第66条 当业务上需要使用互联网时,通过提交申请书,可许可单位成员利
用互联网。
2. 当需要在单位以外的场所使用单位的邮件系统时,需填写《设备领出单》申请开通VPN,并由相关领导批准方可使用。
(利用电子邮件的申请)
第67条 当业务上需要利用(单位外)电子邮件时,通过提交申请书,可许
可单位成员利用(单位外)电子邮件。
(电子邮件的发送内容)
第68条 关于发送内容,要检查是否含有机密信息,表现是否适当。 (严禁电子邮件的违法使用)
第69条 不得故意违法使用电子邮件。此外,要充分考虑到电子邮件系统的
特性和机制,在使用中要充分予以注意。例如,要注意以下几点: ? 只使用管理员授予的邮件地址,禁止使用其他的邮件地址。
? 禁止变更寄出用邮件地址
? 向不相关多数人群发邮件等不适合公开收件人地址时,在BCC
中指定地址。
? 务必确认邮件的收件人后再发送
? 邮件的署名中不可包含多余的信息(尤其是严禁使用本单位名称
以外的单位名称)
? 严禁向外部服务提供商转发邮件。
信息安全总体政策方针
? 严禁使用免费邮箱,个人申请的服务提供商的邮箱等未经单位许
可的邮箱。
? 原则上严禁使用在浏览器上可以收发邮件的WEB邮件(部分除
外)
? 对来源不明的邮件和内容不确切的附件要加以注意
? 不使用邮件软件的预览功能(将未读邮件的最初几行自动显示的
功能)
? 包含重要信息的文件,必须使用加密的压缩方式进行发送。
(获取电子邮件使用日志)
第70条 对于发往单位外的电子邮件,要获取发件人、收件人、邮件名的日
志,根据需要检查该邮件内容。此外,对于获取的事实要使单位成
员人人皆知。
3. 经本单位设备处理的所有电子邮件短信归本单位所有。
4. 只要信息安全委员会委员长(SM委员长)批准,有时可不经本人同意,对无论是发往单位内的、还是发往单位外的电子邮件,一律进
行使用日志的监查。
(获取互联网的使用日志)
第71条 要获取互联网使用者和访问目的地的日志,根据需要检查其内容。
此外,获取的事实要使单位成员人人皆知。
2. 根据需要,要设定限制令互联网使用者无法浏览与业务无关的网站。
第13节 计算机病毒对策
(病毒对策的实施)
第72条 单位成员使用的计算机中要使用信息安全委员会(SM委员会)指定
的防病毒软件。
2. 在互联网的连接点以及进行有可能感染病毒的文件的发送接收操作的单位外连接点中,在路由上要采用查毒网关。
3. 要时常获取病毒信息,努力收集关于新型病毒的信息。
信息安全总体政策方针
4. 要使病毒码文件时常保持最新的状态。
(指南手册的编制和教育)
第73条 信息安全委员会(SM委员会)要事先编制感染病毒时的应对指南手
册,令单位成员周知。
(各种利用场合时的病毒检查)
第74条 通过USB记忆体等可拆卸式媒体进行文件传递时,要进行病毒检查。
2. 通过电子邮件进行文件传递时要进行病毒检查。
3. 通过互联网等网络下载文件时要进行病毒检查。
(发现病毒时的处置)
第75条 当发现病毒时,要立即将网线从计算机上拔下,防止受害的蔓延。
随后与信息安全委员会取得联系,听取适当的指示。当在接受委托
的软件开发业务环境中发现病毒时,还要与客户取得联系,由信息
安全委员会(SM委员会)与客户彼此进行密切联系。
2. 信息安全委员会(SM委员会)要获取最新的病毒信息,给与适当的指示。此外,要根据需要与单位外有关组织进行联系。
3. 当来自单位外的邮件等中混入病毒时,在与信息安全委员会协商的基础上,将其通知给该企业。
(对单位外组织的请求)
第76条 对于文件传递较频繁的单位外组织,要请求其实施防病毒对策。
第14节 安全漏洞对策
第77条 提高与信息安全有关的信息方面的意识,当开发商发表针对安全漏
洞的补丁程序时,除了因使用补丁程序会引起重大功能障碍(对软
件开发的影响等)外,要迅速地使用补丁程序。
信息安全总体政策方针
2. 原则上可以连接到互联网环境来实施最新的补丁程序适用。此外,不能连接互联网的环境要考虑对软件开发业务的影响以及由于不使用安全补丁而造成的风险,探讨使用时机。
3. 但是,客户要求进行适用时,原则上要尽快使用。
信息安全总体政策方针
第15节 软件的管理
(软件的引进基准)
第78条 要从与软件的引进有关的安全方面进行评估并向信息安全委员会
(SM委员会)报告。原则上严禁引进业务上必要以外的软件。
2. 关于接受委托进行的软件开发业务的开发环境,当引进业务上必要的软件时,要与客户联系并征得同意。
(软件的安装)
第79条 软件的安装在按批准的步骤进行的同时,还要按照另行规定的规则
实施相应的安全设定。
(使用许可管理和使用承诺)
第80条 只引进正式获得使用许可的软件。
2. 要充分理解并遵守软件的使用承诺。
(软件的使用情况)
第81条 对引进的软件要实行底帐管理。此外,最好根据需要,引进收集软
件的安装信息和设定信息的工具。
(引进后的运用管理体制)
第82条
(监查)
第83条 信息安全委员会与信息安全小组要定期监查软件是否得到妥善地引
进、使用。
第16节 本单位信息系统的构筑、运用
要根据需要,明确要引进软件的维护和开发商的支援体制。
信息安全总体政策方针
(确保各工序的信息安全)
第84条 为了在采取信息安全对策时确保完善的体制、充分的预算和期间,
从计划阶段开始就要进行关于信息安全的讨论。
2. 在设计、开发、测试、保养以及运用的各个阶段,要对安全功能的质量进行审评,并要得到信息安全委员会(SM委员会)的同意。
(职务的分离)
第85条 为了排除误用和恶意的行为,要将系统构筑业务(程序开发等)、系
统运用业务(正式作业的运行等)、用户业务(输入数据的编制和变
更、输出数据的存取等)等权限进行分离,编缉成彼此相互牵制的
功能。因某种制约不能进行职务分离时,要进行行动监视和获取使
用日志等。
(环境的分离)
第86条 除正式环境外还要备有另外的开发环境和测试环境,根据需要进行
充分的测试后再移行到正式环境。另外,正式环境、开发环境和测
试环境之间的访问要限定在必要的最小限度。
2. 对于新引进的系统,要对基于设计时的对策方针编入的所有的安全性功能进行测试,取得信息安全委员会(SM委员会)的同意。另外,测试结果要用书面形式保存。
(使用重要信息的测试)
第87条 使用重要信息的测试,限定在本单位拥有的测试环境,测试结束后,
要进行数据删除等适当的处理。另外,使用重要信息要进行记录。
2. 实施使用重要信息的测试时,要采取数据伪装等保护数据泄露对策。 (变更与维持管理)
第88条 关于平常及紧急情况时的构成变更,要设定变更管理步骤。
信息安全总体政策方针
第17节 设备对策
(安全区域的设置)
第89条 本单位系统的主机原则上设置在符合有关机构规定的安全基准的数
据中心或与之同等的设施内。
2. 共享文件和各种服务器安装在本单位建筑内时,除业务上有要求的情况外,要设置在物理上安全的场所。特别是对于机密性高的信息
资源要设置专用的区域。
(软件开发区域的设置)
第90条 在接受委托进行软件开发业务的开发环境中,原则上要将每个客户
的项目进行区域分隔,通过引进出入室系统等,限定可以访问的人
员。
(出入室管理)
第91条 设置处理重要信息服务器的场所平时要上锁,进行出入室管理。
2. 能够进入设置处理重要信息服务器场所的人员必须获得信息安全委员会(SM委员会)的批准。
3. 出入需要进行出入室管理房间时,要留取完善的记录。并且要定期监查其内容,调查是否有过违法侵入。另外,记录要保存一定的期
间。
第18节 发生侵害信息安全时的对应
(发生侵害信息安全时的报告和对应)
第92条 发现信息安全方面受到侵害时(信息被盗和泄露、篡改、不能使用
等)或有该方面嫌疑时,不论原因如何,要迅速向项目负责人和部
长以及信息安全委员会(SM委员会)报告。在有可能影响波及到客户的情况下,原则上要通过信息安全委员会委员长(SM委员长)与客户联系。另外,对报告内容要进行记录。
信息安全总体政策方针
2. 要明确报告途径。另外,当发生重大的信息安全侵害时,应能够上报到经营层。或者向相应的主管部门报告。
(编制信息系统有关紧急情况时对应计划书)
第93条 信息安全委员会(SM委员会)应编制信息安全有关紧急情况对应计
划书并予以普及。
(紧急情况应对计划的维持管理)
第94条 要根据业务环境变化和信息安全技术的变化进行风险分析,适时地
对紧急情况对应计划进行重审。
(紧急情况对应的训练)
第95条 信息安全委员会(SM委员会)要制定紧急情况对应的训练计划并予
以实施。
(信息安全侵害状况处理后的对应)
第96条 采取相应的紧急对策,处理了信息安全侵害后,要在分析其原因的
基础上采取防止再次发生的改进对策。
信息安全总体政策方针
第19节 外包管理
(外包对象的选定)
第97条 制定与外包对象有关的安全方面选定标准,并遵守该标准。 (与确保安全有关的合同)
第98条
(转包)
第99条 要设定与外包对象签定合同后,当又将委托业务转包给第三方时,
要向本单位报告,在选定转包对象时,只有判断能维持本单位所要
求的安全水准者方能许可转包的条款。
(委托对象管理)
第100条 要制定将本单位信息系统外包时的开发管理规程和验收标准。 为了确保安全,要签定合同书记载有安全要件的合同。 (单位外人员的管理)
第101条 关于外包对象处的工作人员必须遵守的安全事项,应令其彻底了解。
2. 将业务委托给外包单位时,要明确该业务内容、递交的信息、赋予的访问权限以及该委托业务本单位方面的管理者。
3. 委托业务结束时,要迅速地使信息系统以及出入馆的权限变成不可使用的状态。
第20节 单位成员就职、辞职和人事变动时的措施
第102条 单位成员进入单位就职时要提交关于保密方面的誓约书。
2. 单位成员因为人事变动等脱离现在的业务时,要适当地变更信息系统以及出入馆的访问权限。
3. 单位成员辞职时,借与的计算机以及其它信息设备、本单位所拥有的信息要予以返还。
信息安全总体政策方针
4. 单位成员辞职时,要让其签署保守关于业务上得知的秘密事项的备忘录。
信息安全总体政策方针
第21节 信息安全的维持活动
(管理周期)
第103条 信息安全委员会委员长(SM委员长)要确立信息安全管理周期(计
划?实行?点检?处置),采取维持、提高信息安全的对策。
2. 为了确认确保信息安全所采取的措施是否在不断有效地得到落实,信息安全委员会委员长(SM委员长)要定期地对所采取措施的内容
进行审核,对改善的必要性进行评价,并记录和保管审核的结果。
(教育)
第104条 教育负责部门要不断拟定并实施对单位成员以及人材单位派遣的职
工、合同工、其他单位外人员进行信息安全教育的计划。
2. 全体单位成员都要接受信息安全教育规划的讲义,并遵守之。
3. 各项目和各部的项目负责人、部长必须要对各项目和各部的全体单位成员以及在各项目和各部从事工作的所有人员(来自人材单位的
派遣人员、合同工、其他单位外人员)进行管理,根据信息安全教
育规划进行教育。
(监查)
第105条 信息安全监查委员会对本政策及其有关规程是否得到遵守要定期地
进行信息安全监查。
2. 作为信息安全监查的结果,当发现重大问题时,信息安全监查委员会要向董事会报告并提出改进建议。
3. 提出信息安全监查结果和改进建议后,信息安全委员会委员长(SM委员长)要迅速采取对策。
4. 在接受委托进行的软件开发业务中,当委托方要求进行外部监查的时候,要根据缔结的合同等接受监查。
信息安全总体政策方针
各种细则
(本政策的开示)
第106条 本政策仅供本单位内部使用,原则上不向单位外开示。
2. 对单位外部组织开示时,要获得信息安全委员会委员长(SM委员长)的批准,仅开示必要的条款。
(本政策的维持和改订)
第107条 本政策的维持、改订的主管部署为信息安全委员会(SM委员会)。
2. 本政策改订时,由信息安全委员会委员长(SM委员长)听取主管领导的意见,且必须获得其批准。
3. 进行改订了时,要使有关单位成员以及单位外人员周知。
(罚则)
第108条 单位成员违反本政策及有关规程和其他应遵守的法令时,应依据就
业规则有关惩戒部分的章节所规定的内容处理。
(负责)
第109条
涉及信息安全的全单位最终责任由信息安全主管领导负责。