信息安全管理規(guī)范

        發(fā)布時(shí)間:2020-09-09 來源: 演講稿 點(diǎn)擊:

         信息安全管理規(guī)范

         企業(yè)

         版本信息 目前版本:

          最新更新日期:

         最新更新作者:

          作者:

          創(chuàng)建日期:

          審批人:

          審批日期:

         修訂歷史 版本號(hào) 更新日期 修訂作者 關(guān)鍵修訂摘要

         Table of Contents(目錄)

         1. 企業(yè)信息安全要求 ....................................................... 錯(cuò)誤!未定義書簽。

         1.1

         信息安全方針 ...................................................................... 錯(cuò)誤!未定義書簽。

         1.2

         信息安全工作準(zhǔn)則 ............................................................... 錯(cuò)誤!未定義書簽。

         1.3

         職責(zé) ..................................................................................... 錯(cuò)誤!未定義書簽。

         1.4

         信息資產(chǎn)分類要求 ............................................................... 錯(cuò)誤!未定義書簽。

         1.5

         信息資產(chǎn)分級(jí)(保密等級(jí))要求 .......................................... 錯(cuò)誤!未定義書簽。

         1.6

         現(xiàn)行保密等級(jí)和原有保密等級(jí)對(duì)照表 ................................... 錯(cuò)誤!未定義書簽。

         1.7

         信息標(biāo)識(shí)和處理中角色和職責(zé) ............................................. 錯(cuò)誤!未定義書簽。

         1.8

         信息資產(chǎn)標(biāo)注管理要求 ........................................................ 錯(cuò)誤!未定義書簽。

         1.9

         許可信息交換方法 ............................................................... 錯(cuò)誤!未定義書簽。

         1.10

         信息資產(chǎn)處理和保護(hù)要求對(duì)應(yīng)表 ...................................... 錯(cuò)誤!未定義書簽。

         1.11

         口令使用策略 ................................................................... 錯(cuò)誤!未定義書簽。

         1.12

         桌面、屏幕清空策略 ........................................................ 錯(cuò)誤!未定義書簽。

         1.13

         遠(yuǎn)程工作安全策略 ............................................................ 錯(cuò)誤!未定義書簽。

         1.14

         移動(dòng)辦公策略 ................................................................... 錯(cuò)誤!未定義書簽。

         1.15

         介質(zhì)申請(qǐng)、使用、掛失、報(bào)廢要求 ................................... 錯(cuò)誤!未定義書簽。

         1.16

         信息安全事件管理步驟 ..................................................... 錯(cuò)誤!未定義書簽。

         1.17

         電子郵件安全使用規(guī)范 ..................................................... 錯(cuò)誤!未定義書簽。

         1.18

         設(shè)備報(bào)廢信息安全要求 ..................................................... 錯(cuò)誤!未定義書簽。

         1.19

         用戶注冊(cè)和權(quán)限管理策略 ................................................. 錯(cuò)誤!未定義書簽。

         1.20

         用戶口令管理 ................................................................... 錯(cuò)誤!未定義書簽。

         1.21

         終端網(wǎng)絡(luò)接入準(zhǔn)則 ............................................................ 錯(cuò)誤!未定義書簽。

         1.22

         終端使用安全準(zhǔn)則 ............................................................ 錯(cuò)誤!未定義書簽。

         1.23

         出口防火墻日常管理要求 ................................................. 錯(cuò)誤!未定義書簽。

         1.24

         局域網(wǎng)日常管理要求 ........................................................ 錯(cuò)誤!未定義書簽。

         1.25

         集線器、交換機(jī)、無線AP日常管理要求 .......................... 錯(cuò)誤!未定義書簽。

         1.26

         網(wǎng)絡(luò)專線日常管理要求 ..................................................... 錯(cuò)誤!未定義書簽。

         1.27

         信息安全懲戒 ................................................................... 錯(cuò)誤!未定義書簽。

         2. 信息安全知識(shí) .............................................................. 錯(cuò)誤!未定義書簽。

         2.1

         什么是信息? ...................................................................... 錯(cuò)誤!未定義書簽。

         2.2

         什么是信息安全? ............................................................... 錯(cuò)誤!未定義書簽。

         2.3

         信息安全三要素 ................................................................... 錯(cuò)誤!未定義書簽。

         2.4

         什么是信息安全管理體系? ................................................. 錯(cuò)誤!未定義書簽。

         2.5

         建立信息安全管理體系目標(biāo) ................................................. 錯(cuò)誤!未定義書簽。

         2.6

         信息安全管理PDCA模式 ..................................................... 錯(cuò)誤!未定義書簽。

         2.7

         安全管理-風(fēng)險(xiǎn)評(píng)定過程..................................................... 錯(cuò)誤!未定義書簽。

         2.8

         信息安全管理體系標(biāo)準(zhǔn)(ISO27001 標(biāo)準(zhǔn)家族)

         ................. 錯(cuò)誤!未定義書簽。

         2.9

         信息安全控制目標(biāo)和控制方法 ............................................. 錯(cuò)誤!未定義書簽。

         1. 企業(yè)信息安全要求 1.1 信息安全方針 ? 擁有信息資產(chǎn),積累、共享并保護(hù)信息資產(chǎn)是我們共同責(zé)任。

         ? 管理和技術(shù)并重,確保企業(yè)信息資產(chǎn)安全,保障企業(yè)連續(xù)正常運(yùn)行。

         ? 推行對(duì)用戶知識(shí)產(chǎn)權(quán)保護(hù)承諾,保障用戶信息資產(chǎn)安全,滿足并超越用戶信息安全需求。

         1.2 信息安全工作準(zhǔn)則 ? 保護(hù)信息機(jī)密性、完整性和可用性,即確保信息僅供給那些取得授權(quán)人員使用、保護(hù)信息及信息處理方法正確性和完整性、確保取得授權(quán)人員能立即可靠地使用信息及信息系統(tǒng); ? 企業(yè)經(jīng)過建立有效信息安全管理體系和必需技術(shù)手段,保障信息資產(chǎn)安全,降低信息安全風(fēng)險(xiǎn); ? 各級(jí)信息安全責(zé)任者負(fù)責(zé)所轄區(qū)域信息安全,經(jīng)過建立相關(guān)制度及有效保護(hù)方法,確保企業(yè)信息安全方針得到可靠實(shí)施; ? 全體職員應(yīng)只訪問或使用取得授權(quán)信息系統(tǒng)及其它信息資產(chǎn),應(yīng)按要求選擇和保護(hù)口令; ? 未經(jīng)授權(quán),任何人不得對(duì)企業(yè)信息資產(chǎn)進(jìn)行復(fù)制、利用或用于其它目標(biāo); ? 應(yīng)立即檢測(cè)病毒,預(yù)防惡意軟件攻擊; ? 企業(yè)擁有為保護(hù)信息安全而使用監(jiān)控手段權(quán)力,任何違反信息安全政策職員全部將受到對(duì)應(yīng)處理; ? 經(jīng)過建立有效和高效信息安全管理體系,定時(shí)評(píng)定信息安全風(fēng)險(xiǎn),連續(xù)改善信息安全管理體系。

         1.3 職責(zé) 全體職員應(yīng)保護(hù)企業(yè)信息資產(chǎn)安全。每個(gè)職員必需認(rèn)識(shí)到信息資產(chǎn)價(jià)值,負(fù)責(zé)保護(hù)好自己生成、管理或可觸及包含數(shù)據(jù)和信息。職員必需遵守《信息標(biāo)

         識(shí)和處理程序》,了解信息保密等級(jí)。對(duì)于不能確定是否為涉密信息內(nèi)容,必需取得相關(guān)管理部門確實(shí)定才可對(duì)外披露。職員必需遵守信息安全相關(guān)各項(xiàng)制度和要求,確保系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)僅用于各項(xiàng)工作相關(guān)用途,不得濫用。

         1.4 信息資產(chǎn)分類要求

         企業(yè)信息資產(chǎn)分為電子數(shù)據(jù)、軟件、硬件、實(shí)體信息、服務(wù)五大類。

         類別 說明 電子數(shù)據(jù) 存在信息媒介上多種數(shù)據(jù)資料,包含源代碼、數(shù)據(jù)庫(kù)數(shù)據(jù)等多種電子化數(shù)據(jù)資料、項(xiàng)目文檔、管理文檔、運(yùn)行管理規(guī)程、計(jì)劃、匯報(bào)、用戶手冊(cè)、作業(yè)指導(dǎo)書等多種電子化數(shù)據(jù)資料。

         軟件 包含系統(tǒng)軟件、應(yīng)用軟件、共享軟件 系統(tǒng)軟件:操作系統(tǒng)、語(yǔ)言包、工具軟件、多種庫(kù)等; 應(yīng)用軟件:外部購(gòu)置應(yīng)用軟件,辦公軟件等; 共享軟件:多種共享源代碼、共享可實(shí)施程序等。

         硬件 網(wǎng)絡(luò)設(shè)備:路由器、網(wǎng)關(guān)、交換機(jī)等 計(jì)算機(jī)設(shè)備:大型機(jī)、服務(wù)器、工作站、臺(tái)式計(jì)算機(jī)、移動(dòng)計(jì)算機(jī)等 存放設(shè)備:磁帶機(jī)、磁盤陣列、工控機(jī)等 移動(dòng)存放設(shè)備:磁帶、光盤、軟盤、U盤、移動(dòng)硬盤等 傳輸線路:光纖、雙絞線等 基礎(chǔ)保障設(shè)備:(UPS、變電設(shè)備等)、空調(diào)、保險(xiǎn)柜、文件柜、門禁、消防設(shè)施等,如對(duì)基礎(chǔ)設(shè)施使用屬于租用形式,請(qǐng)將其識(shí)別到服務(wù)類別中。

         安全保障設(shè)備:硬件防火墻、入侵檢測(cè)系統(tǒng)、身份驗(yàn)證等 其它電子設(shè)備:打印機(jī)、復(fù)印機(jī)、掃描儀、傳真機(jī)等

         實(shí)體信息 紙制多種文件、協(xié)議、傳真、會(huì)議紀(jì)要、財(cái)務(wù)報(bào)表、證書、電報(bào)、發(fā)展計(jì)劃和各類其它材質(zhì)證書獎(jiǎng)牌等。

         服務(wù) 經(jīng)過多種協(xié)議方法固化下來服務(wù)活動(dòng)、如物業(yè)、第三方、供給商、提供檢修服務(wù)提供方等。

         1.5 信息資產(chǎn)分級(jí)(保密等級(jí))要求 信息資產(chǎn)分為:通常、內(nèi)部公開、企業(yè)秘密、企業(yè)機(jī)密 4 個(gè)保密等級(jí)。

         保密等級(jí) 名稱 說明 1 通常 通常性信息,能夠公開信息、信息處理設(shè)備和系統(tǒng)資源。

         2 內(nèi)部公開 非敏感但僅限企業(yè)內(nèi)部使用信息、信息處理設(shè)備和系統(tǒng)資源。

         3 企業(yè)秘密 敏感信息、信息處理設(shè)備和系統(tǒng)資源,只給必需知道者。

         4 企業(yè)機(jī)密 敏感信息、信息處理設(shè)備和系統(tǒng)資源,僅適用極少數(shù)必需知道人。

         1.6 現(xiàn)行保密等級(jí)和原有保密等級(jí)對(duì)照表 保密等級(jí)和企業(yè)原有保密等級(jí)對(duì)照表以下:

         現(xiàn)行保密等級(jí) 和之相當(dāng)原有保密等級(jí) 通常 通常

         內(nèi)部公開 秘密 企業(yè)秘密 機(jī)密 企業(yè)機(jī)密 絕密

         1.7 信息標(biāo)識(shí)和處理中角色和職責(zé) 角色 職責(zé) 責(zé)任人:信息資產(chǎn)創(chuàng)建者,或關(guān)鍵用戶所在組織、單位或部門責(zé)任人。信息資產(chǎn)責(zé)任人對(duì)所屬信息資產(chǎn)負(fù)直接責(zé)任。

         ? 了解和多種信息訪問活動(dòng)相關(guān)安全風(fēng)險(xiǎn); ? 依據(jù)企業(yè)信息密級(jí)劃分標(biāo)準(zhǔn)來確定所屬信息資產(chǎn)等級(jí); ? 依據(jù)企業(yè)相關(guān)策略確定并檢驗(yàn)信息訪問權(quán)限; ? 針對(duì)所屬信息資產(chǎn)提出合適保護(hù)方法。

         保管者:受信息資產(chǎn)責(zé)任人委托,對(duì)信息資產(chǎn)進(jìn)行日常管理,維護(hù)已經(jīng)建立保護(hù)方法。資產(chǎn)保管者通常是企業(yè)或部門IT管理者或代表(比如系統(tǒng)管理員)。

         ? 依據(jù)企業(yè)相關(guān)策略和信息資產(chǎn)責(zé)任人要求,負(fù)責(zé)信息資產(chǎn)維護(hù)操作和日常管理事務(wù); ? 負(fù)責(zé)具體設(shè)置信息訪問權(quán)限; ? 負(fù)責(zé)所管理信息資產(chǎn)安全控制; ? 布署合適安全機(jī)制,進(jìn)行備份和恢復(fù)操作; ? 根據(jù)信息資產(chǎn)責(zé)任人要求實(shí)施其它控制。

         用戶:信息資產(chǎn)使用者,除了企業(yè)內(nèi)部職員,也可能是因?yàn)闃I(yè)務(wù)需要而訪問企業(yè)信息用戶或第三方組織。

         ? 向信息責(zé)任人申請(qǐng)信息訪問; ? 根據(jù)企業(yè)信息安全策略要求正當(dāng)訪問信息,嚴(yán)禁非授權(quán)訪問; ? 向相關(guān)組織匯報(bào)隱患、故障或違規(guī)事件。

         1.8 信息資產(chǎn)標(biāo)注管理要求 (1)

         企業(yè)所屬各類信息資產(chǎn),不管其存在形式是電子、紙質(zhì)還是磁盤等,全部應(yīng)在顯著位置標(biāo)注其保密等級(jí)。

         (2)

         通常電子或紙質(zhì)文檔應(yīng)在該文檔頁(yè)眉右上角或頁(yè)腳上標(biāo)注其保密等級(jí)或在文件封面打上保密章,磁盤等介質(zhì)應(yīng)在其表面非數(shù)據(jù)區(qū)給予標(biāo)注其保密等級(jí)。

         (3)

         假如某存放介質(zhì)中包含各個(gè)等級(jí)信息,作為整體考慮,該存放介質(zhì)保密等級(jí)標(biāo)注應(yīng)以最高為準(zhǔn)。

        。4)

         假如沒有顯著保密等級(jí)標(biāo)注,該信息資產(chǎn)以“通常”等級(jí)看待。

        。5)

         對(duì)于對(duì)外公開信息,需要得到相關(guān)責(zé)任人核準(zhǔn),并由對(duì)外信息公布部門統(tǒng)一處理。

        。6)

         如需在信息資產(chǎn)上表述保密申明,可采取以下兩種表述方法:

         表述方法一:“保密申明:企業(yè)資產(chǎn),注意保密。” 表述方法二:“保密申明:本文檔受國(guó)家相關(guān)法律和企業(yè)制度保護(hù),不得私自復(fù)制或擴(kuò)散。”

         1.9 許可信息交換方法

         企業(yè)許可信息交換方法有:郵件、視頻、電話、網(wǎng)站內(nèi)容公布、文件共享、傳真、光盤、磁盤、磁帶和紙張。

         1.10 信息資產(chǎn)處理和保護(hù)要求對(duì)應(yīng)表

         企業(yè)機(jī)密 企業(yè)秘密 內(nèi)部公開 通常 授權(quán) 需得到責(zé)任人和企業(yè)管理層同意 需得到相關(guān)責(zé)任人及部門領(lǐng)導(dǎo)同意 需得到責(zé)任人同意 無尤其要求 訪問 只能被得到授權(quán)企業(yè)極少數(shù)關(guān)鍵人員訪問 只能被企業(yè)內(nèi)部或外部得到明確授權(quán)人員訪問,訪問者應(yīng)該簽署保密協(xié)議 能夠被企業(yè)內(nèi)部或外部因?yàn)闃I(yè)務(wù)需要人員訪問 任何企業(yè)職員或外部人員全部能夠訪問 存放 電子類應(yīng)該加密存放在安全計(jì)算機(jī)系統(tǒng)內(nèi);硬拷貝應(yīng)該鎖在安全保險(xiǎn)柜內(nèi);嚴(yán)禁以其它形式存放或顯示 電子類應(yīng)該妥善保留在設(shè)有安全控制計(jì)算機(jī)系統(tǒng)內(nèi)(提議進(jìn)行信息加密);硬拷貝應(yīng)該妥善保管,嚴(yán)禁擺放在桌面;使用白板展示后應(yīng)立即擦除 電子類應(yīng)該妥善保管,能夠進(jìn)行加密;紙質(zhì)不應(yīng)放在桌面 以合適方法保留,避免被非授權(quán)人員看到;存放有信息介質(zhì)避免丟失 復(fù)制 得到相關(guān)責(zé)任人及企業(yè)管理層同意;需要登記 須經(jīng)相關(guān)責(zé)任人同意,并讓專員操作或監(jiān)督實(shí)施,需要登記 經(jīng)相關(guān)責(zé)任人同意 內(nèi)部復(fù)制無限制 打印 嚴(yán)禁打。ɑ蛟谑跈(quán)情況下專員負(fù)責(zé)打印,不得打印到無人值守機(jī))

         須經(jīng)相關(guān)責(zé)任人許可,打印件標(biāo)注密級(jí)并妥善管理,不得打印到無人值守機(jī) 經(jīng)相關(guān)責(zé)任人許可,打印件標(biāo)注密級(jí)并妥善管理 無限制,打印件標(biāo)注密級(jí) 郵件 嚴(yán)禁郵件直接發(fā)送,經(jīng)授權(quán)后做電子署名和加密控須經(jīng)相關(guān)責(zé)任人許可,郵件發(fā)送應(yīng)做加密控制,保留統(tǒng)計(jì) 經(jīng)相關(guān)責(zé)任人許可 無限制

         制,經(jīng)安全路徑發(fā)送,保留統(tǒng)計(jì) 傳真 嚴(yán)禁傳真 須經(jīng)相關(guān)責(zé)任人許可后專員負(fù)責(zé)傳真 經(jīng)相關(guān)責(zé)任人許可 無限制 快遞 經(jīng)授權(quán)后采取妥善保護(hù)方法,由專員快遞 經(jīng)授權(quán)后,由簽署了特定安全協(xié)議專門快遞企業(yè)快遞 經(jīng)授權(quán)后,由簽署了特定安全協(xié)議專門快遞企業(yè)快遞 無限制 內(nèi)部分發(fā) 經(jīng)相關(guān)責(zé)任人和企業(yè)管理層同意后,密封分發(fā),或以許可電子分發(fā)形式進(jìn)行安全分發(fā) 經(jīng)相關(guān)責(zé)任人同意后,密封分發(fā),或以許可電子分發(fā)形式進(jìn)行安全分發(fā) 經(jīng)授權(quán)后,以內(nèi)部郵件形式發(fā)放,或直接進(jìn)行硬拷貝分發(fā) 無限制 對(duì)外分發(fā) 經(jīng)相關(guān)責(zé)任人和企業(yè)管理層同意后分發(fā),需要簽署特定保密協(xié)議,需要進(jìn)行登記 經(jīng)相關(guān)責(zé)任人同意后分發(fā),需簽署保密協(xié)議,需要進(jìn)行登記 經(jīng)授權(quán)后,以郵件或快遞方法分發(fā),提議簽署保密協(xié)議 經(jīng)授權(quán)后,以許可分發(fā)方法分發(fā) 處理 碎紙機(jī);根本銷毀介質(zhì);電子統(tǒng)計(jì)定時(shí)消除;進(jìn)行檢驗(yàn)確定 碎紙機(jī);根本銷毀介質(zhì);電子統(tǒng)計(jì)定時(shí)消除;進(jìn)行檢驗(yàn)確定 保留件標(biāo)明作廢;電子統(tǒng)計(jì)定時(shí)消除;介質(zhì)銷毀 電子統(tǒng)計(jì)定時(shí)消除,介質(zhì)銷毀 統(tǒng)計(jì)跟蹤 直接責(zé)任人應(yīng)有收件人、復(fù)制者、保留者、瀏覽者、銷毀者日志統(tǒng)計(jì) 跟蹤文件復(fù)制、保留、瀏覽、銷毀過程,應(yīng)有統(tǒng)計(jì) 無要求 不提議跟蹤

         1.11 口令使用策略

         全體職員在挑選和使用口令時(shí),應(yīng):

        。1)

         確?诹顧C(jī)密。

        。2)

         除非能安全保留,避免將口令統(tǒng)計(jì)在紙上。

        。3)

         只要有跡象表明系統(tǒng)或口令可能遭到破壞,應(yīng)立即更改口令。

        。4)

         選擇高質(zhì)量口令,最少要有 6 個(gè)字符,另外:

         A. 口令應(yīng)由字母加數(shù)字組成; B. 口令不應(yīng)采取如姓名、電話號(hào)碼、生日等輕易猜出或破解信息。

        。5)

         每三個(gè)月更改或依據(jù)訪問次數(shù)更改口令(尤其是特權(quán)用戶),避免再次使用或循環(huán)使用舊口令。

         (6)

         首次登錄時(shí),應(yīng)立即更改臨時(shí)口令。

        。7)

         不得共享個(gè)人用戶口令。

         1.12 桌面、屏幕清空策略

         為了降低在正常工作時(shí)間以外對(duì)信息進(jìn)行未經(jīng)授權(quán)訪問所帶來風(fēng)險(xiǎn)、損失和損害,職員應(yīng):

         (1)

         在閑置或工作時(shí)間之外將紙張或計(jì)算機(jī)存放介質(zhì)儲(chǔ)存在適宜柜子或其它形式安全設(shè)備中。

        。2)

         當(dāng)辦公室無人時(shí)將關(guān)鍵業(yè)務(wù)信息放置到安全地點(diǎn)(比如防火保險(xiǎn)箱或柜子中)。

         (3)

         在無人使用時(shí),將個(gè)人計(jì)算機(jī)、計(jì)算機(jī)終端和打印機(jī)、復(fù)印機(jī)設(shè)為鎖定狀態(tài)。

        。4)

         為個(gè)人計(jì)算機(jī)、計(jì)算機(jī)終端設(shè)定密碼,同時(shí)設(shè)定屏保時(shí)間(<=15 分鐘)。

        。5)

         在打印保密等級(jí)為企業(yè)機(jī)密、企業(yè)秘密信息后,應(yīng)立即從打印機(jī)中清除相關(guān)痕跡,并有效保護(hù)打印出來信息內(nèi)容。

         1.13 遠(yuǎn)程工作安全策略 必需保護(hù)好遠(yuǎn)程工作場(chǎng)所預(yù)防偷竊設(shè)備和信息、未經(jīng)授權(quán)公開信息、對(duì)企業(yè)內(nèi)部系統(tǒng)進(jìn)行遠(yuǎn)程非法訪問或?yàn)E用設(shè)備等行為。職員應(yīng):

        。1)

         保障物理安全。

        。2)

         對(duì)家人和客人使用設(shè)備進(jìn)行限制。假如必需要使用,應(yīng)在旁邊進(jìn)行監(jiān)督和控制,確保關(guān)鍵業(yè)務(wù)信息安全。

        。3)

         遠(yuǎn)程工作活動(dòng)結(jié)束時(shí),權(quán)限和設(shè)備立即收回。

        。4)

         網(wǎng)絡(luò)遠(yuǎn)程登錄終端撥號(hào)密碼即 VPN 帳號(hào)僅限本人使用,不許可她人使用。

        。5)

         進(jìn)入企業(yè)或用戶信息系統(tǒng)工作完成后,必需立即退出系統(tǒng)。

         1.14 移動(dòng)辦公策略 使用移動(dòng)辦公設(shè)備(如筆記本電腦)時(shí),職員尤其應(yīng)該注意確保業(yè)務(wù)信息不受損壞、非法訪問或泄密:

        。1)

         移動(dòng)辦公設(shè)備需要帶出企業(yè)工作場(chǎng)所時(shí),應(yīng)進(jìn)行登記。

        。2)

         在公共場(chǎng)所使用移動(dòng)辦公設(shè)備時(shí),必需注意防范被未經(jīng)授權(quán)人員窺視。

        。3)

         應(yīng)實(shí)時(shí)更新用于防范惡意軟件程序。

         (4)

         應(yīng)對(duì)信息進(jìn)行方便快捷備份。

        。5)

         備份信息應(yīng)該給予合適保護(hù)以防信息被盜或丟失。

        。6)

         使用移動(dòng)辦公設(shè)備經(jīng)過公共網(wǎng)對(duì)企業(yè)商務(wù)信息進(jìn)行遠(yuǎn)程訪問時(shí)必需進(jìn)行身份識(shí)別和 VPN 訪問控制。

        。7)

         預(yù)防移動(dòng)辦公設(shè)備被盜。

        。8)

         預(yù)防保密等級(jí)為企業(yè)秘密級(jí)以上信息所在移動(dòng)辦公設(shè)備無人看管。

         1.15 介質(zhì)申請(qǐng)、使用、掛失、報(bào)廢要求

          (1)

         介質(zhì)申請(qǐng):

         序號(hào) 責(zé)任者 任務(wù) 相關(guān)文件或統(tǒng)計(jì)

         1 資產(chǎn)管理員 根據(jù)企業(yè)固定資產(chǎn)或消耗資材申領(lǐng)方法向企業(yè)申領(lǐng)介質(zhì)。

         《 固定資產(chǎn)管理制度》 《 計(jì)算機(jī)維護(hù)消耗資材管理措施》 2 資產(chǎn)管理員 從企業(yè)領(lǐng)取介質(zhì)并登記到《 介質(zhì)記錄表》中。

         《 介質(zhì)記錄表》 3 資產(chǎn)管理員 如經(jīng)過設(shè)備管理,需經(jīng)過usb使用移動(dòng)存放介質(zhì)在中注冊(cè)。

         參見使用說明 4 資產(chǎn)管理員 在《 介質(zhì)記錄表》中登記發(fā)放時(shí)間,使用人等信息后發(fā)放介質(zhì)。

         《 介質(zhì)記錄表》

        。2)

         介質(zhì)使用:

         A. 如安裝了設(shè)備,全部工作中使用 USB 存放介質(zhì)全部應(yīng)在中進(jìn)行注冊(cè)。

         B. 假如確定介質(zhì)中內(nèi)容不再需要,應(yīng)立即將其以可靠方法清除。

         C. 假如數(shù)據(jù)需要保留,則使用人應(yīng)該保留在有良好安全方法個(gè)人計(jì)算機(jī)和服務(wù)器上,而不應(yīng)該放在計(jì)算機(jī)活動(dòng)介質(zhì)中。

         D. 全部備份介質(zhì)全部應(yīng)存放在安全可靠地方,并符合生產(chǎn)廠家說明書安全要求。

         (3)

         介質(zhì)掛失:

         序號(hào) 責(zé)任者 任務(wù) 相關(guān)文件或統(tǒng)計(jì) 1 使用者 使用人立即向資產(chǎn)管理員申報(bào)掛失

         2 資產(chǎn)管理員 假如是經(jīng)過usb使用移動(dòng)存放介質(zhì)被掛失且在上注冊(cè)過,則應(yīng)在上進(jìn)行注銷。

         3 資產(chǎn)管理員 在介質(zhì)記錄表中登記掛失 《介質(zhì)記錄表》

          (4)

         介質(zhì)報(bào)廢:

         序號(hào) 責(zé)任者 任務(wù) 相關(guān)文件或統(tǒng)計(jì) 1 使用者 1)、書面文件用碎紙機(jī)粉碎 2)、其它介質(zhì)報(bào)廢,使用人向資產(chǎn)管理員申請(qǐng)介質(zhì)報(bào)廢。

         2 資產(chǎn)管理員 假如是經(jīng)過usb使用移動(dòng)存放介質(zhì)且在上注冊(cè)過,則應(yīng)在上進(jìn)行注銷。

         3 資產(chǎn)管理員 根據(jù)企業(yè)固定資產(chǎn)和消耗資材報(bào)廢步驟實(shí)施。

         《 固定資產(chǎn)管理制度》 《 計(jì)算機(jī)維護(hù)消耗資材管理措施》 4 資產(chǎn)管理員 在介質(zhì)清單中登記已報(bào)廢 《 1 介質(zhì)記錄表》

         1.16 信息安全事件管理步驟 (1)

         發(fā)覺 A. 企業(yè)全體職員全部有責(zé)任和義務(wù)將已發(fā)覺或可疑事件、故障和微弱點(diǎn)立即匯報(bào)給相關(guān)部門或人員。

         B. 任何企圖阻攔、干擾、報(bào)復(fù)事件匯報(bào)者行為全部被視為違反企業(yè)策略。

        。2)

         匯報(bào) A. 對(duì)于部門范圍內(nèi)信息安全事件,當(dāng)事人可直接向部門責(zé)任人匯報(bào),并根據(jù)本部門規(guī)范進(jìn)行處理。事件處理者需填寫附錄中《 信息安全事件匯報(bào)處理統(tǒng)計(jì)單》,每個(gè)月將相關(guān)統(tǒng)計(jì)上交過程管理部。

         B. 除部門內(nèi)能夠自行處理信息安全事件外,其它信息安全事件必需統(tǒng)

         一上報(bào)給客服統(tǒng)計(jì) 。

        。3)

         響應(yīng) A. 客服對(duì)信息安全事件做出最初響應(yīng),將技術(shù)方面信息安全事件交給系統(tǒng)服務(wù)部組織處理,將管理方面信息安全事件交給過程管理部組織相關(guān)部門進(jìn)行處理。

         B. 需要做深入調(diào)查信息安全事件,當(dāng)其影響范圍包含整個(gè)企業(yè)或影響程度嚴(yán)重妨礙了企業(yè)正常運(yùn)行時(shí),匯報(bào)給信息安全管理委員會(huì)。

         C. 事件響應(yīng)及處理者在處理安全事件時(shí)應(yīng)考慮以下優(yōu)先次序:

         ? 保護(hù)人員生命和安全 ? 保護(hù)敏感設(shè)備和資料 ? 保護(hù)關(guān)鍵數(shù)據(jù)資源 ? 預(yù)防系統(tǒng)被損壞 ? 將企業(yè)遭受損失降至最小 D. 假如發(fā)生違法事件,事件相關(guān)包含部門要采集并保留有效證據(jù),上交過程管理部匯報(bào)給企業(yè)最高管理者決議,由法務(wù)部向外部法律機(jī)構(gòu)匯報(bào)。必需時(shí),法務(wù)部能夠?qū)で笸獠拷淌谥С帧?/p>

        。4)

         評(píng)價(jià)/調(diào)查 安全事件或故障發(fā)生以后,事件處理者要對(duì)事件或故障類型、嚴(yán)重程度、發(fā)生原因、性質(zhì)、產(chǎn)生損失、責(zé)任人進(jìn)行調(diào)查確定,形成事件或故障評(píng)價(jià)資料。

        。5)

         懲戒 A. 要依據(jù)事件嚴(yán)重程度、造成損失、產(chǎn)生原因?qū)`規(guī)者進(jìn)行教育或處罰。

         B. 懲戒手段可包含通報(bào)批評(píng)、行政警告、經(jīng)濟(jì)處罰、調(diào)離崗位、依據(jù)協(xié)議給解聘,對(duì)于觸犯刑律者可交司法機(jī)關(guān)處理。

         C. 具體處罰標(biāo)準(zhǔn)參見《信息安全管理職責(zé)程序》。

        。6)

         公告 A. 事件調(diào)查結(jié)果要反饋給當(dāng)事部門領(lǐng)導(dǎo)。

         B. 當(dāng)事部門可組織相關(guān)人員進(jìn)行學(xué)習(xí)和培訓(xùn)。

         1.17 電子郵件安全使用規(guī)范 (1)

         企業(yè)電子郵件系統(tǒng)嚴(yán)禁用于創(chuàng)建和分發(fā)任何含有破壞性、歧視性信息,包含對(duì)種族、性別、殘疾人、年紀(jì)、職業(yè)、性取向、宗教信仰、政治信念、國(guó)籍等方面攻擊性語(yǔ)言。企業(yè)職員假如接收到任何含有這類信息郵件,應(yīng)立即向主管領(lǐng)導(dǎo)進(jìn)行匯報(bào)。

        。2)

         嚴(yán)禁使用企業(yè)帳號(hào)發(fā)送連鎖信。嚴(yán)禁使用企業(yè)電子郵件帳號(hào)發(fā)送病毒或惡意代碼警告郵件。這些規(guī)則也適適用于當(dāng)企業(yè)職員接收到這類電子郵件并進(jìn)行轉(zhuǎn)發(fā)情況。

         (3)

         使用郵件軟件用戶端要立即升級(jí),降低因?yàn)檐浖┒炊艿酵獠抗簦苊馑远斐舌]件丟失和系統(tǒng)中毒。

        。4)

         郵件必需有標(biāo)題,盡可能以文本方法瀏覽郵件。

        。5)

         陌生人郵件附件盡可能不要打開,嚴(yán)禁撰寫、發(fā)送、轉(zhuǎn)發(fā)多種垃圾郵件,嚴(yán)禁在未經(jīng)授權(quán)情況下利用她人計(jì)算機(jī)系統(tǒng)發(fā)送互聯(lián)網(wǎng)電子郵件。

        。6)

         嚴(yán)禁使用工作郵箱從事任何非法活動(dòng)及其和工作無關(guān)郵件。

         (7)

         為了確保郵件安全嚴(yán)禁使用自動(dòng)轉(zhuǎn)發(fā)功效。

         (8)

         企業(yè)業(yè)務(wù)信息郵件必需使用企業(yè)要求業(yè)務(wù)專用郵箱發(fā)送,除了業(yè)務(wù)相關(guān)郵件嚴(yán)禁使用業(yè)務(wù)郵箱發(fā)送其它郵件。

        。9)

         郵件必需專題明確,能夠經(jīng)過郵件專題判定業(yè)務(wù)類別。

        。10)

         做好郵件病毒防護(hù)工作。發(fā)送郵件應(yīng)該注意郵件保密,避免泄漏企業(yè)機(jī)密。

        。11)

         全部職員全部要嚴(yán)格遵守《電子郵件安全使用規(guī)范》相關(guān)要求,職員之間應(yīng)相互監(jiān)督,立即阻止違反要求人員,對(duì)于使用企業(yè)郵箱傳輸反動(dòng)言論、從事任何和法律或企業(yè)制度相違活感人員將禁用或注銷其郵箱,并依據(jù)情節(jié)嚴(yán)重給對(duì)應(yīng)處罰或提交司法機(jī)關(guān)處理。

         1.18 設(shè)備報(bào)廢信息安全要求 報(bào)廢設(shè)備上交前,使用者自己負(fù)責(zé)將設(shè)備介質(zhì)中信息進(jìn)行備份,機(jī)電一體化產(chǎn)品事業(yè)部負(fù)責(zé)將設(shè)備介質(zhì)中全部信息清除掉,以防信息泄漏。

         1.19 用戶注冊(cè)和權(quán)限管理策略

         對(duì)任何多用戶使用信息系統(tǒng)和服務(wù)設(shè)施進(jìn)行訪問,應(yīng):

        。1)

         使用唯一用戶名,方便將用戶和其操作聯(lián)絡(luò)起來,使用戶對(duì)其操作負(fù)責(zé)。只有因工作需要才許可使用組用戶名。

        。2)

         添加新用戶或用戶權(quán)限變更時(shí)應(yīng)有書面申請(qǐng)并經(jīng)過審批。

        。3)

         系統(tǒng)管理員對(duì)新注冊(cè)用戶進(jìn)行授權(quán)。

        。4)

         應(yīng)統(tǒng)計(jì)全部注冊(cè)用戶。

        。5)

         用戶因工作變更或離開組織時(shí),應(yīng)立即取消其訪問權(quán)限。

        。6)

         系統(tǒng)權(quán)限管理責(zé)任人應(yīng)定時(shí)組織檢驗(yàn)并刪除多出用戶名和賬戶,并對(duì)用戶訪問權(quán)限進(jìn)行定時(shí)評(píng)審或在變動(dòng)后進(jìn)行評(píng)審。

        。7)

         系統(tǒng)權(quán)限管理責(zé)任人需要嚴(yán)格控制特權(quán)分配和使用,要對(duì)特權(quán)分配和使用情況進(jìn)行評(píng)審,確保沒有非法授予用戶特權(quán),以確保對(duì)數(shù)據(jù)和信息服務(wù)訪問進(jìn)行了有效控制。

         1.20 用戶口令管理 在進(jìn)行信息系統(tǒng)口令管理,應(yīng):

        。1)

         用戶需要自己維護(hù)口令,系統(tǒng)僅在開始時(shí)提供一個(gè)安全臨時(shí)口令,用戶需要立即更改臨時(shí)口令。用戶忘記口令時(shí),必需在對(duì)該用戶進(jìn)行合適身份核實(shí)后才能向其提供臨時(shí)口令。

        。2)

         在向用戶提供臨時(shí)口令時(shí)必需確保其安全,避免使用第三方或無保護(hù)(明文)電子郵件,用戶應(yīng)對(duì)收到口令給予確定。

        。3)

         不許可在計(jì)算機(jī)系統(tǒng)上以無保護(hù)形式存放口令。

        。4)

         確保個(gè)人口令安全,確保工作組口令僅在本組組員間共享。

         1.21 終端網(wǎng)絡(luò)接入準(zhǔn)則 企業(yè)網(wǎng)絡(luò)覆蓋范圍內(nèi)使用每臺(tái)計(jì)算機(jī),職員均應(yīng)安裝企業(yè)要求防毒軟件 ,不得私自使用其它防毒軟件。

         1.22 終端使用安全準(zhǔn)則 (1)

         每臺(tái)計(jì)算機(jī)應(yīng)開啟實(shí)時(shí)監(jiān)控功效,定時(shí)進(jìn)行計(jì)算機(jī)病毒檢測(cè),并立即對(duì)

         防毒軟件或病毒特征庫(kù)進(jìn)行升級(jí)更新。

        。2)

         每臺(tái)計(jì)算機(jī)應(yīng)定時(shí)連接企業(yè)網(wǎng)絡(luò)并從病毒服務(wù)器取得防病毒軟件最新定義碼及掃描引擎。

        。3)

         為預(yù)防計(jì)算機(jī)使用人員私自卸載用戶端及信息安全用戶端,卸載密碼和工具由系統(tǒng)服務(wù)事業(yè)部統(tǒng)一管理。

         (4)

         企業(yè)不定時(shí)組織相關(guān)部門對(duì)用戶端及信息安全用戶端安裝情況進(jìn)行抽查。抽查情況將通報(bào)各相關(guān)部門并列入年度績(jī)效考評(píng)。

        。5)

         計(jì)算機(jī)使用人員在安裝、使用用戶端及信息安全用戶端中碰到技術(shù)問題,可經(jīng)過撥打用戶服務(wù)熱線尋求技術(shù)支持。

         (6)

         為預(yù)防惡意代碼侵?jǐn)_,每臺(tái)計(jì)算機(jī)必需按《訪問控制管理程序》第 5.2.1節(jié)要求設(shè)置管理員口令;網(wǎng)絡(luò)共享文件必需設(shè)置密碼和只讀權(quán)限。

         (7)

         任何部門和個(gè)人不得制作、復(fù)制、傳輸計(jì)算機(jī)病毒,任何部門和個(gè)人負(fù)有清除或防治計(jì)算機(jī)病毒義務(wù)。

        。8)

         不使用來路不明或含有盜版軟件軟盤和光盤,不隨意安裝實(shí)施從網(wǎng)絡(luò)上下載多種程序。當(dāng)需要從計(jì)算機(jī)信息網(wǎng)絡(luò)上下載程序、數(shù)據(jù)或購(gòu)置、維修、借入計(jì)算機(jī)設(shè)備時(shí),應(yīng)該進(jìn)行計(jì)算機(jī)病毒檢測(cè)。

        。9)

         使用電子郵件,對(duì)來路不明郵件(尤其是含有附件郵件),收到后不要打開,直接刪除并清空廢件箱。

         1.23 出口防火墻日常管理要求 (1)

         為企業(yè)出口防火墻設(shè)置只讀權(quán)限,便于監(jiān)視進(jìn)出本企業(yè)全部訪問。

        。2)

         對(duì)防火墻接口 IP 地址、用戶名、口令及配置文件信息進(jìn)行嚴(yán)格管理。

         (3)

         除授權(quán)人員外,嚴(yán)禁任何人員物理接觸防火墻;對(duì)防火墻遠(yuǎn)程管理僅限于指定 IP 地址、指定管理方法、指定用戶、指定用戶管理權(quán)限。

        。4)

         嚴(yán)禁連接企業(yè)網(wǎng)絡(luò)任何單位和人員以任何形式對(duì)防火墻進(jìn)行攻擊。

        。5)

         集中搜集、存放防火墻報(bào)警日志,定時(shí)檢驗(yàn)防火墻安全統(tǒng)計(jì),優(yōu)化防火墻訪問規(guī)則,杜絕安全漏洞。

        。6)

         定時(shí)使用安全評(píng)定系統(tǒng)檢驗(yàn)防火墻各項(xiàng)服務(wù)是否有漏洞。

         (7)

         部門如有企業(yè)出口防火墻變更需求,必需經(jīng)過企業(yè)審批,立案在冊(cè),由系統(tǒng)服務(wù)部統(tǒng)一操作。

         1.24 局域網(wǎng)日常管理要求 各部門不得將私自構(gòu)建局域網(wǎng)接入企業(yè)網(wǎng)絡(luò)。如需接入必需經(jīng)過企業(yè)審批,立案在冊(cè),由系統(tǒng)服務(wù)部統(tǒng)一操作。

         職員在辦公區(qū)域只能經(jīng)過企業(yè)內(nèi)網(wǎng)聯(lián)入互聯(lián)網(wǎng)。

         1.25 集線器、交換機(jī)、無線AP日常管理要求 (1)

         各部門不得私自使用網(wǎng)絡(luò)訪問設(shè)備。

         (2)

         嚴(yán)禁使用路由器及無線路由設(shè)備。

         (3)

         如需使用集線器、交換機(jī)、無線 AP,必需經(jīng)過企業(yè)審批,立案在冊(cè)。

         (4)

         無線AP必需設(shè)置符合安全要求密碼(具體要求參見管理文件《訪問控制管理程序》中 5.2.1 要求),只有被授權(quán)人員方可使 用無線網(wǎng)絡(luò)。

        。5)

         企業(yè)定時(shí)檢驗(yàn)集線器、交換機(jī)、無線 AP 登記和使用情況。

         1.26 網(wǎng)絡(luò)專線日常管理要求 (1)

         各部門不得私自搭建網(wǎng)絡(luò)專線。如需使用網(wǎng)絡(luò)專線必需經(jīng)過企業(yè)審批,立案在冊(cè)。

        。2)

         企業(yè)定時(shí)檢驗(yàn)網(wǎng)絡(luò)專線登記和使用情況。

         1.27 信息安全懲戒 (1)

         全體職員(含臨時(shí)職員、派遣職員、實(shí)習(xí)職員、常駐外包職員)均應(yīng)遵守全部和信息安全相關(guān)管理要求,不許可任何部門或人員有損害企業(yè)信息安全行為。

        。2)

         對(duì)違反信息安全管理要求,并造成嚴(yán)重后果部門或職員,由企業(yè)信息安全管理委員會(huì)授權(quán)實(shí)施懲戒。

         (3)

         懲戒手段包含通告、行政警告、經(jīng)濟(jì)處罰、調(diào)離崗位、依據(jù)協(xié)議給予解聘,對(duì)于觸犯刑律者移交司法機(jī)關(guān)處理。

        。4)

         對(duì)于協(xié)議承包商和外部用戶,假如違反了信息安全管理要求,企業(yè)信息安全委員會(huì)有權(quán)提議企業(yè)中止和她們協(xié)議和協(xié)議。

         2. 信息安全知識(shí) 2.1 什么是信息? 是來自任何起源知識(shí)。

         在ISO 27001 標(biāo)準(zhǔn)里:

         ? 信息是一個(gè)資產(chǎn),就象其它關(guān)鍵企業(yè)資產(chǎn)一樣, ? 信息資產(chǎn)對(duì)組織含有價(jià)值,所以需要受到妥善保護(hù)。

         ? 信息是有生命周期。

         安全保護(hù)應(yīng)兼顧到從其創(chuàng)建或誕生,到被使用或操作,到存放,再到被傳輸,直至其生命期結(jié)束而被銷毀或丟棄。

         2.2 什么是信息安全? 信息安全目標(biāo)是,保護(hù)信息不受多種威脅,以確保業(yè)務(wù)連續(xù),將企業(yè)損失降至最低,將投資收益和商業(yè)機(jī)會(huì)最大化。

         信息安全任務(wù)是,要采取方法(技術(shù)手段及有效管理)讓這些信息資產(chǎn)免遭威脅,或?qū)⑼{帶來后果降到最低程度,以此維護(hù)組織正常運(yùn)作。

         2.3 信息安全三要素 ? 機(jī)密性 ? 完整性 ? 可用性 注:

         1)、機(jī)密性:信息不可用或不被泄漏給未授權(quán)個(gè)人、實(shí)體或過程特征,確保只有取得授權(quán)使用者才能使用信息。

         2)、完整性:保護(hù)資產(chǎn)正確和完整特征,確保信息在存放、使用、傳輸過程中不會(huì)被未授權(quán)用戶篡改,同時(shí)還要預(yù)防授權(quán)用戶對(duì)系統(tǒng)及信息進(jìn)行不合適篡改,保持信息內(nèi)、外部表示一致性。

         3)、可用性:需要時(shí),授權(quán)實(shí)體能夠訪問和使用特征,確保授權(quán)用戶或?qū)嶓w對(duì)信息及資源正常使用不會(huì)被異常拒絕,許可其可靠而立即地訪問信息及資源。

         2.4 什么是信息安全管理體系? 信息安全管理體系是協(xié)調(diào)活動(dòng)以指揮和控制:

         ? 一組被分配職責(zé)和權(quán)限及關(guān)系人和設(shè)備; ? 保護(hù)信息機(jī)密性、完整性和可用性; ? 另外,其它特征,如可判別性、可歸責(zé)性、不可抵賴性和可靠性也能夠考慮。

         2.5 建立信息安全管理體系目標(biāo) ? 增強(qiáng)多種類型組織機(jī)構(gòu)內(nèi)部管理信心。

         ? 為多種類型組織機(jī)構(gòu)開發(fā)、實(shí)施、衡量安全管理實(shí)踐有效性提供了一個(gè)基礎(chǔ)、依據(jù)。

         ? 為投資活動(dòng)提供保障,預(yù)防多種安全事故發(fā)生。

         2.6 信息安全管理PDCA模式

          2.7 安全管理-風(fēng)險(xiǎn)評(píng)定過程

         方針和步驟 管理和審核 數(shù)據(jù)隱私和完整性 性 授權(quán) 身份識(shí)別和判定 開啟方案開啟方案 實(shí)施標(biāo)準(zhǔn),要干什么 你是誰(shuí),怎樣證實(shí) 誰(shuí)有權(quán)使用、查看、編輯 創(chuàng)建、刪除、復(fù)制數(shù)據(jù) 誰(shuí)發(fā)送、誰(shuí)能夠閱讀 誰(shuí)何時(shí)干了什么

          2.8 信息安全管理體系標(biāo)準(zhǔn)(ISO27001 標(biāo)準(zhǔn)家族)

         ? ISO/IEC 27000—基礎(chǔ)和術(shù)語(yǔ)。

         ? ISO/IEC 27001—信息安全管理體系要求,

          已于 10 月 15 日正式公布(ISO/IEC 27001: )。

         ? ISO/IEC 27002—信息安全管理體系最好實(shí)踐 由ISO/IEC 17799: 轉(zhuǎn)換而來。

         ? ISO/IEC 27003—信息安全管理體系實(shí)施指南,正在開發(fā)。

         ? ISO/IEC 27004—信息安全管理度量和改善,正在開發(fā)。

         ? ISO/IEC 27005—信息安全風(fēng)險(xiǎn)管理指南

          以 推出BS7799-3(基于ISO/IEC 13335-2)為藍(lán)本。

         Asset Identification

         and Valuation

         資產(chǎn)判別和評(píng)價(jià) Identification of vulnerabilities 脆弱性判別 Identification of Threats 威脅判別 Evaluation of Impacts 沖擊評(píng)定 Review of Existing Security Controls 現(xiàn)有安全控制方法審查 Identification of new Security Controls 新安全控制方法判別 Policy and Procedures 政策和程序 Implementation and Risk Reduction 實(shí)施和風(fēng)險(xiǎn)降低 Risk Acceptance (Residual Risk) 風(fēng)險(xiǎn)可接收度( 殘余風(fēng)險(xiǎn)) Risk Assessment 風(fēng)險(xiǎn)評(píng)定 Business Risk 營(yíng)運(yùn)風(fēng)險(xiǎn) Risk Management

         Rating/ranking of Risks 風(fēng)險(xiǎn)分級(jí)

         2.9 信息安全控制目標(biāo)和控制方法

         安全方針 信息安全組織 資產(chǎn)管理 人力資源 安全管理 物理和 環(huán)境安全 通訊及 操作安全 信息系統(tǒng) 獲取、開發(fā) 和維護(hù) 訪問控制 信息安全事故管理 業(yè)務(wù)連續(xù)性管理 符合性

        相關(guān)熱詞搜索:信息安全 管理規(guī)范

        版權(quán)所有 蒲公英文摘 www.zuancaijixie.com
        91啦在线播放,特级一级全黄毛片免费,国产中文一区,亚洲国产一成人久久精品