ISMS 信息安全管理体系

信息安全方针
  • 实施风险管理,确保信息安全。
  • 满足相关方要求,实现可持续发展。

信息资产管理 1. 明确定义信息资产管控职责;
2. 识别和分类不同的信息资产安全等级(敏感信息, 秘密, 机密, 国家秘密);
3. 管控所有包括纸版、软盘和光盘等在内的媒体;
4. 管控信息资产的每一个阶段: 产生、流转、保管、使用、变更等;
5. 信息安全事故处理。
人员安全 1. 在合同、保密协议、岗位描述中定义安全职责;
2. 信息安全意识培训;
3. 明确的信息事故、薄弱点、故障的报告渠道;
4. 严明的方针策略;
5. 员工离职或换岗的管控。
物理管控 1. 安全区域的分类: 特别安全区域和一般安全区域;
2. 人员身份识别,如:工作卡等;
3. 保安的培训;
4. 进出记录的管控;
5. CCTV;
6. 第三方人员管控。
逻辑管控 1. 电脑、服务器和应用程序系统权限的管控, 包括申请、批准、定期评审等权限;
2. 密码管控及定期变更;
3. 台式机、笔记本电脑以及可移动媒体的管理。

客户数据管控
  • 客户名代码;
  • 客户文件管控;
  • 严格的废弃硅片处理;
  • 信息安全协议。