1. 计算机技术支持 |
||
| 索引 | 项目 | 选取 |
|---|---|---|
| 1 | 制作服务提供商和系统所有者的列表 | |
| 2 | 开始服务合约 | |
| 3 | 用户管理 | |
| 4 | 变更控制政策 | |
| 5 | 系统日志 | |
| 此部份得分: | 0 | |
2. 数据分类准则 |
||
| 索引 | 项目 | 选取 |
|---|---|---|
| 1 | 定义不同文档的敏感级别,如:
- 公开 - 内部 - 受限制 |
|
| 2 | 不同敏感级别的数据处理标准 | |
| 3 | 内部个人数据处理 | |
| 4 | 公司计算机的使用政策 | |
| 5 | 员工笔记本计算机的便用政策 | |
| 6 | 软件许可证管理 | |
| 7 | 用户限权管理 | |
| 此部份得分: | 0 | |
3. 公司网络使用 |
||
| 索引 | 项目 | 选取 |
|---|---|---|
| 1 | 互联网仅限于商业活动 | |
| 2 | 从互联网下载的文件必须经过病毒检测 | |
| 3 | 用户不能在任何公司的计算机和设备上安装软件 | |
| 4 | 用户不能将任何内部或受限制的信息发布和储存到公共网站 | |
| 5 | 用户不能在其浏览器或电子邮件客户端中保存密码 | |
| 6 | 用户在访问公司内部网络和互联网必须使用自己的账户 | |
| 7 | 公司应限制或阻止下载某些可能导致系统服务失败的文件 | |
| 8 | 用户应清楚明白到他们的通信可能无法被第三方保护(公司可能保存所有网络流量) | |
| 此部份得分: | 0 | |
4. 无线网络管理 |
||
| 索引 | 项目 | 选取 |
|---|---|---|
| 1 | 公司网络只允许支持WPA2或更高版本的无线设备 | |
| 2 | 必须使用SSL / TLS,AES,WPA2或IPSEC VPN等加密技术保护通过无线网络传输的数据 | |
| 3 | 不应使用默认设置 | |
| 4 | 必须在所有的无线网络上实施身份验证和授权 | |
| 5 | 访客网络应与内部网络隔离 | |
| 6 | 加密密钥至少为128位或更长 | |
| 7 | 加密密钥应经常更改 | |
| 8 | 密码应至少为8个字符,包括数字,大写字母,小写字母和符号 | |
| 9 | 连接到无线网络的计算机必须安装防火墙和防毒软件 | |
| 10 | 用户不能在公司网络中设置自己的无线接入点 | |
| 此部份得分: | 0 | |
5. 电子通讯 / 电子邮件 |
||
| 索引 | 项目 | 选取 |
|---|---|---|
| 1 | 通过公司通讯软件传送的所有信息均为公司财产 | |
| 2 | 公司的通讯软件仅用于商业活动 | |
| 3 | 公司的消息软件不得用于慈善筹款活动,政治宣传活动,宗教活动,私人商业活动或个人娱乐和娱乐 | |
| 4 | 无论何种情况,都不得将个人电子邮件帐户密码共享或透露给任何其他人 | |
| 5 | 员工不得使用公司的电子邮件帐户注册任何新闻提要,邮件订阅或论坛 | |
| 6 | 限制新闻提要,邮件订阅或论坛的推送更新以及通过公司网络接收部份信息 | |
| 7 | 用户不得发送或转发含有诽谤,诽谤,冒犯,种族主义或淫秽言论的电子邮件。 如果收到任何此类电子邮件,应立即通知其主管 | |
| 8 | 用户不得伪造或尝试伪造电子邮件 | |
| 9 | 用户在发送邮件时不得伪装或企图伪装其身份 | |
| 10 | 用户不得使用其他人的电子邮件帐户发送电子邮件 | |
| 11 | 严禁用户将公司的电子邮件系统用于个人目的 | |
| 12 | 隐私及知识产权政策 | |
| 此部份得分: | 0 | |
6. 密码政策 |
||
| 索引 | 项目 | 选取 |
|---|---|---|
| 1 | 每个用户必须拥有个人用户和个人密码才能访问计算机和内部网络 | |
| 2 | 禁止使用默认系统用户(例如管理员) | |
| 3 | 为了使字典攻击效率降低,密码不应该是单词。 密码应至少包含8个字符,并由字母,数字和符号组成 | |
| 4 | 密码应具有特定的到期日(例如90天)。 在下一次登录过程完成之前,应强制用户定义另一个密码 | |
| 5 | 5次无效登录尝试后自动暂停用户。 暂停应持续至少30分钟。 密码历史记录至少保留5项纪录,这样就无法重复使用密码。 用户应使用新更改的密码至少1天 | |
| 6 | 必须禁止所有用户以其他方式获取密码,解密或任何其他权限控制 | |
| 7 | 密码必须受到良好保护。 密码在通过不受信任的网络传输时必须加密。 必须定期更改密码,以便在无法加密的情况下将风险降低到可接受的水平 | |
| 8 | 密码在任何情况下不得共享或泄露 | |
| 9 | 如果员工要求共享密码,建议提升管理级别 | |
| 10 | 每位员工都对个人帐户及其密码负责,并可能对滥用行为负责 | |
| 11 | 密码至少为8个字符,包括数字,大写字母,小写字母和符号 | |
| 此部份得分: | 0 | |
7. 防毒 |
||
| 索引 | 项目 | 选取 |
|---|---|---|
| 1 | 必须在所有公司的设备和服务器上安装和启用防毒软件 | |
| 2 | 防毒软件必须每天检查并更新病毒和恶意代码数据,定义或模式文件 | |
| 3 | IT支持团队应教育用户如何更新病毒病毒和恶意代码数据及开启保护功能 | |
| 4 | 用户应了解自己有责任防范计算机病毒和恶意代码攻击 | |
| 5 | 用户不得在定期病毒扫描和病毒和恶意代码数据更新过程中中断 | |
| 6 | 用户不得使用来自未知来源(包括电子邮件或网站)的档 | |
| 7 | 用户不得保存未经验证的电子邮件附件 | |
| 8 | 用户不得编写,生成,复制,传播,执行及引入计算机病毒或恶意代码 | |
| 此部份得分: | 0 | |
8. 数据备份 |
||
| 索引 | 项目 | 选取 |
|---|---|---|
| 1 | 必须为所有关键操作纪录贮存备份副本,以免数据无意中被破坏或丢失 | |
| 2 | 必须限制授权人员存取公司备份 | |
| 3 | 备份副本必须定期存储在公司外的地方 | |
| 4 | 存储在公司办公室外的所有敏感,有价值或重要信息,必须加密 | |
| 5 | 用户应定期(例如每月)将重要文件备份到文件服务器于本地或云上备份 | |
| 此部份得分: | 0 | |
9. 系统权限管理 |
||
| 索引 | 项目 | 选取 |
|---|---|---|
| 1 | 通过在用户访问权限中分散权限(例如,制造商和检查流程必须由不同的员工执行)来最小化利益冲突 | |
| 2 | 最小权限原则:用户应根据其工作职取得最少的系统权限 | |
| 此部份得分: | 0 | |
10. 门禁系统 |
||
| 索引 | 项目 | 选取 |
|---|---|---|
| 1 | 对服务器和IT设备的物理访问应限于包括系统管理员或管理员授权的员工 | |
| 2 | 应建立访客日志以保留访问服务器机架的访客 | |
| 3 | 使用及准备灭火器,烟雾探测器,温度,湿度监测设备,后备电源等,以确保服务器和其他IT设备能够正常运行 | |
| 4 | 需要配备适当的灭火系统(例如便携式CO2灭火器),以保护室内设备免受火灾危害 | |
| 5 | 温度计和湿度计应安装在服务器机架上,为IT人员提供温度和湿度数据,以便将IT设备的温度和湿度调节到最佳水平(即建议的服务器室温范围在18°C和27°C之间,湿度范围在40%到60%之间) | |
| 此部份得分: | 0 | |