ISMS 信息安全管理體系

信息安全方針
  • 實施風險管理,確保信息安全。
  • 滿足相關方要求,實現可持續發展。

信息資產管理 1. 明確定義信息資產管控職責;
2. 識別和分類不同的信息資產安全等級(敏感信息, 秘密, 機密, 國家秘密);
3. 管控所有包括紙版、軟盤和光盤等在內的媒體;
4. 管控信息資產的每一個階段: 產生、流轉、保管、使用、變更等;
5. 信息安全事故處理。
人員安全 1. 在合同、保密協議、崗位描述中定義安全職責;
2. 信息安全意識培訓;
3. 明確的信息事故、薄弱點、故障的報告渠道;
4. 嚴明的方針策略;
5. 員工離職或換崗的管控。
物理管控 1. 安全區域的分類: 特別安全區域和一般安全區域;
2. 人員身份識別,如:工作卡等;
3. 保安的培訓;
4. 進出記錄的管控;
5. CCTV;
6. 第三方人員管控。
邏輯管控 1. 電腦、服務器和應用程序系統權限的管控, 包括申請、批准、定期評審等許可權;
2. 密碼管控及定期變更;
3. 台式機、筆記本電腦以及可移動媒體的管理。

客戶數據管控
  • 客戶名代碼;
  • 客戶文件管控;
  • 嚴格的廢棄硅片處理;
  • 信息安全協定。