介绍 保密策略是用于为信息资源用户建立限制和期望的机制。内部用户不期望信息资源保密。外部用户期望信息资源拥有完整的保密性,除了在发生可yi的po坏行为的情况下。
目 的 该策略的目的是明确的沟通信息资源用户的信息服务保密期望。
适用范围 该策略适用于使用信息资源的所有人员。
术语定义
信息资源保密策略
在公司内部保存和控制的电子文件应该公开,并且可以被信息服务人员访问;
为了管理系统并加强安全,信息安全小组可以记录、评审,同时也可以使用其信息资源系统中存储和传递的任何信息。
用户必须向适当的管理者报告公司内部计算机安全的任何薄弱点,可能的误用事故或者相应授quan协议的违背情况;
在未经授quan或获得明确同意的情况下,用户不可以尝试访问公司内部系统中包含的任何数据或程序。
介绍
技术支持人员、安全管理员、系统管理员以及其他人员可能因工作需要访问信息资源物理设施。对信息资源设施物理访问的批准、控制以及监控对于全局的安全是极其重要的。
目 的
该策略的目的是为信息资源设施物理访问的批准、控制、监控和删除建立规则。
适用范围
该策略适用于zu织中负责信息资源安装和支持的所有人员,负责信息资源安全的人员以及数据的所有者。
术语定义
物理访问策略
所有物理安全系统必须符合相应的fa规,但不仅限于建设fa规以及消防fa规;
对所有受限制的信息资源设施的物理访问必须形成文件并进行控制;
所有信息资源设施必须依据其功能的关键程度或重要程度进行物理保护;
对信息资源设施的访问必须只授quan给因职责需要访问设施的支持人员和合同方;
授quan使用卡和/或 匙访问信息资源设施的过程中必须包括设施负责人的批准;
拥有信息资源设施访问权的每一个人员都必须接受设施应急程序培训,并且必须签署相应的访问和不泄密协议;
访问请求必须发自相应的数据 / 系统所有者;
访问卡和 / 或 匙不可以与他人共享或借给他人;
访问卡和 / 或 匙不需要时必须退还给信息资源设施负责人。在退还的过程中,卡不可以再分配给另一个人;
访问卡和 / 或 匙丢失或被盗必须向信息资源设施的负责人报告;
卡和 / 或 匙上除了退回的地址外不可以有标志性信息;
所有允许来宾访问的信息资源设施都必须使用签字出 / 入记录来追zong来宾的访问;
信息资源设施的持卡访问记录以及来宾记录必须保存,并依据被保护信息资源的关键程度定期评审;
在持卡和 / 或 匙的人员发生变化或离职时,信息资源设施的负责人必须删除其访问权限;
在信息资源设施的持卡访问区,来宾必须由专人陪同;
信息资源设施的负责人必须定期评审访问记录以及来宾记录,并要对异常访问进行调查;
信息资源设施的负责人必须定期评审卡和 / 或 匙访问权,并删除不再需要访问的人员的权限;
对限制访问的房间和场所必须进行标记,但是描述其重要性的信息应尽可能少。