1. 電腦技術支援 |
||
| 索引 | 項目 | 選取 |
|---|---|---|
| 1 | 製作服務提供商和系統所有者的列表 | |
| 2 | 開始服務合約 | |
| 3 | 用戶管理 | |
| 4 | 變更控制政策 | |
| 5 | 系統日誌 | |
| 此部份得分: | 0 | |
2. 資料分類準則 |
||
| 索引 | 項目 | 選取 |
|---|---|---|
| 1 | 定義不同文檔的敏感級別,如:
- 公開 - 內部 - 受限制 |
|
| 2 | 不同敏感級別的數據處理標準 | |
| 3 | 內部個人數據處理 | |
| 4 | 公司電腦的使用政策 | |
| 5 | 員工筆記本電腦的便用政策 | |
| 6 | 軟件許可證管理 | |
| 7 | 用戶限權管理 | |
| 此部份得分: | 0 | |
3. 公司網路使用 |
||
| 索引 | 項目 | 選取 |
|---|---|---|
| 1 | 互聯網僅限於商業活動 | |
| 2 | 從互聯網下載的文件必須經過病毒檢測 | |
| 3 | 用戶不能在任何公司的電腦和設備上安裝軟件 | |
| 4 | 用戶不能將任何內部或受限制的信息發佈和儲存到公共網站 | |
| 5 | 用戶不能在其瀏覽器或電子郵件客戶端中保存密碼 | |
| 6 | 用戶在訪問公司內部網絡和互聯網必須使用自己的帳戶 | |
| 7 | 公司應限製或阻止下載某些可能導致系統服務失敗的文件 | |
| 8 | 用戶應清楚明白到他們的通信可能無法被第三方保護(公司可能保存所有網路流量) | |
| 此部份得分: | 0 | |
4. 無線網路管理 |
||
| 索引 | 項目 | 選取 |
|---|---|---|
| 1 | 公司網絡只允許支持WPA2或更高版本的無線設備 | |
| 2 | 必須使用SSL / TLS,AES,WPA2或IPSEC VPN等加密技術保護通過無線網絡傳輸的數據 | |
| 3 | 不應使用默認設置 | |
| 4 | 必須在所有的無線網絡上實施身份驗證和授權 | |
| 5 | 訪客網絡應與內部網絡隔離 | |
| 6 | 加密密鑰至少為128位或更長 | |
| 7 | 加密密鑰應經常更改 | |
| 8 | 密碼應至少為8個字符,包括數字,大寫字母,小寫字母和符號 | |
| 9 | 連接到無線網路的電腦必須安裝防火牆和防毒軟件 | |
| 10 | 用戶不能在公司網絡中設置自己的無線接入點 | |
| 此部份得分: | 0 | |
5. 電子通訊 / 電子郵件 |
||
| 索引 | 項目 | 選取 |
|---|---|---|
| 1 | 通過公司通訊軟件傳送的所有信息均為公司財產 | |
| 2 | 公司的通訊軟件僅用於商業活動 | |
| 3 | 公司的消息軟件不得用於慈善籌款活動,政治宣傳活動,宗教活動,私人商業活動或個人娛樂和娛樂 | |
| 4 | 無論何種情況,都不得將個人電子郵件帳戶密碼共享或透露給任何其他人 | |
| 5 | 員工不得使用公司的電子郵件帳戶註冊任何新聞提要,郵件訂閱或論壇 | |
| 6 | 限制新聞提要,郵件訂閱或論壇的推送更新以及通過公司網路接收部份信息 | |
| 7 | 用戶不得發送或轉發含有誹謗,誹謗,冒犯,種族主義或淫穢言論的電子郵件。 如果收到任何此類電子郵件,應立即通知其主管 | |
| 8 | 用戶不得偽造或嘗試偽造電子郵件 | |
| 9 | 用戶在發送郵件時不得偽裝或企圖偽裝其身份 | |
| 10 | 用戶不得使用其他人的電子郵件帳戶發送電子郵件 | |
| 11 | 嚴禁用戶將公司的電子郵件系統用於個人目的 | |
| 12 | 隱私及知識產權政策 | |
| 此部份得分: | 0 | |
6. 密碼政策 |
||
| 索引 | 項目 | 選取 |
|---|---|---|
| 1 | 每個用戶必須擁有個人用戶和個人密碼才能訪問電腦和內部網絡 | |
| 2 | 禁止使用默認系統用戶(例如管理員) | |
| 3 | 為了使字典攻擊效率降低,密碼不應該是單詞。 密碼應至少包含8個字符,並由字母,數字和符號組成 | |
| 4 | 密碼應具有特定的到期日(例如90天)。 在下一次登錄過程完成之前,應強制用戶定義另一個密碼 | |
| 5 | 5次無效登錄嘗試後自動暫停用戶。 暫停應持續至少30分鐘。 密碼歷史記錄至少保留5項紀錄,這樣就無法重複使用密碼。 用戶應使用新更改的密碼至少1天 | |
| 6 | 必須禁止所有用戶以其他方式獲取密碼,解密或任何其他權限控制 | |
| 7 | 密碼必須受到良好保護。 密碼在通過不受信任的網絡傳輸時必須加密。 必須定期更改密碼,以便在無法加密的情況下將風險降低到可接受的水平 | |
| 8 | 密碼在任何情況下不得共享或洩露 | |
| 9 | 如果員工要求共享密碼,建議提升管理級別 | |
| 10 | 每位員工都對個人帳戶及其密碼負責,並可能對濫用行為負責 | |
| 11 | 密碼至少為8個字符,包括數字,大寫字母,小寫字母和符號 | |
| 此部份得分: | 0 | |
7. 防毒 |
||
| 索引 | 項目 | 選取 |
|---|---|---|
| 1 | 必須在所有公司的設備和服務器上安裝和啟用防毒軟件 | |
| 2 | 防毒軟件必須每天檢查並更新病毒和惡意代碼數據,定義或模式文件 | |
| 3 | IT支援團隊應教育用戶如何更新病毒病毒和惡意代碼數據及開啟保護功能 | |
| 4 | 用戶應了解自己有責任防範電腦病毒和惡意代碼攻擊 | |
| 5 | 用戶不得在定期病毒掃描和病毒和惡意代碼數據更新過程中中斷 | |
| 6 | 用戶不得使用來自未知來源(包括電子郵件或網站)的文件 | |
| 7 | 用戶不得保存未經驗證的電子郵件附件 | |
| 8 | 用戶不得編寫,生成,複製,傳播,執行及引入電腦病毒或惡意代碼 | |
| 此部份得分: | 0 | |
8. 數據備份 |
||
| 索引 | 項目 | 選取 |
|---|---|---|
| 1 | 必須為所有關鍵操作紀錄貯存備份副本,以免數據無意中被破壞或丟失 | |
| 2 | 必須限制授權人員存取公司備份 | |
| 3 | 備份副本必須定期存儲在公司外的地方 | |
| 4 | 存儲在公司辦公室外的所有敏感,有價值或重要信息,必須加密 | |
| 5 | 用戶應定期(例如每月)將重要文件備份到文件服務器於本地或雲上備份 | |
| 此部份得分: | 0 | |
9. 系統權限管理 |
||
| 索引 | 項目 | 選取 |
|---|---|---|
| 1 | 通過在用戶訪問權限中分散權限(例如,製造商和檢查流程必須由不同的員工執行)來最小化利益衝突 | |
| 2 | 最小權限原則:用戶應根據其工作職取得最少的系統權限 | |
| 此部份得分: | 0 | |
10. 門禁系統 |
||
| 索引 | 項目 | 選取 |
|---|---|---|
| 1 | 對服務器和IT設備的物理訪問應限於包括系統管理員或管理員授權的員工 | |
| 2 | 應建立訪客日誌以保留訪問服務器機架的訪客 | |
| 3 | 使用及準備滅火器,煙霧探測器,溫度,濕度監測設備,後備電源等,以確保服務器和其他IT設備能夠正常運行 | |
| 4 | 需要配備適當的滅火系統(例如便攜式CO2滅火器),以保護室內設備免受火災危害 | |
| 5 | 溫度計和濕度計應安裝在服務器機架上,為IT人員提供溫度和濕度資料,以便將IT設備的溫度和濕度調節到最佳水平(即建議的服務器室溫範圍在18°C和27°C之間,濕度範圍在40%到60%之間) | |
| 此部份得分: | 0 | |