1、信息安全規章制度海隆海工信息安全工作中的信息安全管理無論工作是什么類型，在其工作中都需要處理信息安全問題。信息安全需整合到公司的管理方法中，以確保將識別并處理信息安全風險作為工作的一部分。這通常可應用于所有的工作，無論其特性是什么，例如海隆106船施工工程、IT、設施管理和其他支持過程等方面的工作。實施過程：1、公司配備有專門的文檔管理員，對所有工作中的文件進行統一管理。2、我們會在服務器上建立專門的共享文件夾，并設置相關人員對此文件夾獲得的各種對應的權限。3、每天都會對工作中的文件進行備份處理，對某些重要的文件進行加密處理。移動設備的管理確保遠程工作和使用移動設備的安全。宜采用書面的管理方法

2、和支持性安全措施來管理由于使用移動設備帶來的風險。實施過程：1、對所有移動設備都應該加入域賬號，所有人員都應該對電腦設置相應的賬號和密碼。2、所有移動設備都應該按公司要求和員工的需求安裝軟件，員工個人不能安裝無用的軟件。3、所有移動設備都應該安裝殺毒軟件和防火墻等防范措施。4、應該對員工進行移動設備出差時需要注意事項的培訓。5、移動設備的信息都應該定期做相應的備份。6、所有移動設備都應該安裝監控軟件，并能夠遠程控制關閉軟件，刪除文件或者鎖定這些設備。遠程工作用書面的文件管理和支持性安全措施來保護在遠程工作場地訪問、處理或存儲的信息。確保遠程工作和使用移動設備時的信息安全。實施過程：1、在遠程工

3、作中所有人員必須使用公司提供的移動設備，不得在私人的設備上存儲公司信息。2、我們在服務器上設置有相應的賬號密碼，用來進行遠程的訪問鏈接。3、在遠程工作中，不得隨意把自己設備的賬號密碼告訴他人，也不得隨意讓他人使用自己的設備。4、公司所有移動設備都安裝有殺毒軟件和防火墻，員工不得私自更改設置或刪除。5、在遠程工作結束后，應將公司的遠程設備歸還，服務器也會刪除其相對應的賬號密碼。海隆海工資產管理1、資產清單宜識別與信息和信息處理設施的資產，編制并維護這些資產的清單。公司宜識別與信息生命周期有關的資產，并將其重要性形成文件。信息的生命周期宜包括創建、處理、存儲、傳輸、刪除和銷毀。文件宜以專用清單進行

4、維護，適當時，或以現有清單進行維護。資產清單宜是準確的、最新的，并與其它清單保持一致和匹配。實施過程：1、應該對公司所有資產做好表格，所有資產都有詳細的清單。2、對所有資產清單都及時更新，并保證資產清單都是最新和正確的。2、資產所有權已批準對資產生命周期具有管理職責的部門和個人，有資格被指定為資產所有者。通常要實施確保及時分配資產所有權的過程。宜當資產被創建或資產轉移至組織時分配所有權。資產所有者宜負責在整個資產生命周期內對資產進行適當管理。實施過程：1、所有資產都應該列入清單中。2、所有資產都應該登記有使用人的信息，使用人應當保護好這些公司的資產。3、資產的可接受使用使用或訪問公司信息資產的

5、雇員，應該對公司信息相關的資產的信息安全要求做相應的培訓。他們宜對其所有信息處理資源的使用行為負責，這種使用不能超出其職責的范圍。實施過程：1、應該對文件等信息資產做過相對應的權限設置。2、應對公司雇員做相關的公司信息資產安全培訓。4、資產的歸還終止過程應有書面的文件，以包括歸還所有先前發放的公司擁有或交托的物理和電子資產。當一個雇員或第三方人員擁有的知識對正在進行的操作具有重要意義時，此信息應當形成文件并轉移給公 司。在終止的離職通知期內，公司應控制已終止的雇員復制有關信息（例如知識產權）。實施過程：1、在員工離職時，都必須把所有原公司資產轉交給公司。2、公司所有重要文件上都應做過文件加密，

6、已防止員工離職后私自把這些信息隨意復制帶走。3、員工離職后，應對其郵箱中的所有郵件做備份、刪除并注銷其郵箱賬號等處理。5、可移動介質的管理防止存儲在介質上的信息遭受未授權泄露、修改、移動或銷毀。實施過程：1、所有重要資料都會做加密處理，并在需要復制出去的時候進行授權。2、服務器中的重要資料都做過權限的設置。3、復制出去的加密文件可以設置其打開次數或有效時間，以防止信息泄露。4、重要數據做過多份備份，都存儲在不同的移動硬盤中，防止數據損壞或者丟失。三、訪問控制1、訪問控制策略訪問控制策略宜建立、形成文件，并基于業務和信息安全要求進行評審。資產所有者宜為特定用戶角色訪問其資產確定適當的訪問控制規則

7、、訪問權限和限制，反映相關信息安全風險的控制措施要具備足夠的細節和嚴格性。訪問控制包括邏輯的和物理的它們宜一起考慮。宜給用戶和服務提供商提供一份訪問控制要滿足的業務要求的清晰說明。實施過程：1、目前公司對于服務器建立了各部門的公共文件夾，用于存放個部門的信息。2、對公司所有人員都建立了對應的賬號密碼，并設置了訪問的權限。3、在實際使用過程中，會更新實際情況對人員或公共文件夾的權限做出相應的調整。4、對于離職的人員及時的刪除其訪問權限的賬號。2、網絡和網絡服務的訪問用戶宜僅能訪問已獲專門授權使用的網絡和網絡服務。宜制定關于使用網絡和網絡服務的策略。實施過程：1、船上路由器做了綁定物理地址和IP的

8、設定，只允許特定的人員訪問外網。2、船上的餐廳設置了無線路由器，對此路由器進行了流量、人員數量、時間段等設定，這樣就能很好的控制船上人員的上網。3、對于服務器的AMOSt過REMOTEAPP置，這樣員工出差時候也可以隨時訪問AMO雅行查看、審批等操作。4、公司和船都對路由器進行過設置，可以隨時查看所有人員使用網絡的狀態信息。3、用戶訪問管理確保授權用戶訪問系統和服務，并防止未授權的訪問。宜實施正式的用戶注冊及注銷規程，使訪問權限得以分配。實施過程：1、每個用戶訪問服務器共享盤等網絡都使用的唯一的賬號信息，這樣員工在訪問時進行的任何操 作都是有記錄可以查詢的。2、員工離職后會立即刪除其 ID號。

9、3、定期我們會檢查服務器中是否存在多余的ID號，并撤銷這些ID。4、我們會定期對服務器賬號做檢查，保證分配給所有員工的ID都是唯一的，權限等也都設置正確。4、用戶訪問開通宜實施正式的用戶訪問開通過程，以分配或撤銷所有系統和服務所有用戶類型的訪問權限。分配或撤銷授予用戶ID的訪問權限的開通過程。實施過程:1、新員工入職后都會按職位給予賬號和相應的訪問權限。2、對于員工職位或者部門有變更的都回發出郵件，我們會根據郵件中的信息做出對應的調整變更。5、特殊訪問權限管理宜限制和控制特殊訪問權限的分配及使用。宜采取相關控制策略通過正式的授權過程控制特殊訪問權限的分配。實施過程：1、對很多系統和程序（例如郵

10、箱，OA系統，AMOS系統等）相關的特殊訪問權限和所需要分配的用戶，都需要通過流程申請授權后才能分配特殊賬號和權限。2、在申請的流程未走完之前，是不會授予特殊訪問的賬號和權限的。3、對于特殊賬號會定期實施評審和維護，對賬號的期限、權限等信息做到和他們的責任相一致。6、用戶秘密鑒別信息管理宜通過正式的管理過程控制秘密鑒別信息的分配。實施過程：1、用戶需要維護自己的秘密鑒別信息，在建立賬號時會給他們提供一個臨時的密碼，并強制要求 其在首次使用時變更。2、秘密鑒別信息或者臨時的秘密鑒別信息對個人來說都是唯一的，不可猜測的。八用戶訪問權限的復查資產所有者宜定期復查用戶的訪問權限。實施過程：1、定期在任

11、何變更之后（例如員工離職，升職，降職等）后進行權限的復查。2、在公司期間員工變更部門后，應復查和重新分配用戶的訪問權限3、對于各種特殊訪問權限我們會更加頻繁的進行復查。8、用戶職責使用戶承擔保護鑒別信息的責任。宜要求用戶在使用秘密鑒別信息時，遵循組織的實踐。實施過程：1、員工必須保密秘密鑒別信息，確保不透入給任何人，包括授權人。2、避免保留秘密鑒別信息的記錄（例如在紙上、系統文件中、手機文件中等）3、每當覺得自己的秘密鑒別信息不安全時，應立即更改秘密鑒別信息。4、秘密鑒別信息應該便于記憶，不要使用別人容易猜測或者獲得的信息（例如生日，姓名拼音，電話號碼，連續的數字或字母等）5、在初次登入后立即

12、更換臨時的口令，不要共享個人的秘密鑒別信息。9、系統和應用訪問控制防止對系統和應用的未授權訪問。宜依照訪問控制策略限制對信息和應用系統功能的訪問。實施過程：1、在服務器建立了共享文件夾，并按照賬號設置了各種權限。2、可以控制用戶的訪問權限，如讀，寫，刪除，執行等操作。3、控制了其他應用程序的訪問權限。四、密碼學1、密碼控制恰當和有效的利用密碼學保護信息的保密性、真實性或完整性。宜開發和實施使用密碼控制措施來保護信息的策略。實施過程：1、共享盤，郵箱，系統， OA等都設置了相應的初始密碼。2、根據資料需要的保護級別，我們對重要的資料還進行了文件加密。3、我們設置有專門的人員來管理加密文件，實行對

13、重要資料加密或解密操作。4、使用密碼技術后可以提供一個事態行為發生的證據。5、使用了密碼技術后我們可以對請求訪問的人員和資源的用戶以及與系統用戶有交互的其他系統 進行身份的鑒別。五、物理和環境安全1、安全區域防止對組織場所和信息的未授權物理訪問、損壞和干擾。宜由適合的入口控制所保護，以確保只有授權的人員才允許訪問。實施過程1、每臺服務器均有獨立可上鎖機柜，并且放置于獨立房間內，服務器平時也都設置在鎖屏狀態。2、用于放置服務器的獨立房間房門常鎖，相應鑰匙由管理人員保管。3、服務器間不處于辦公室中或周圍明顯位置。4、進出服務器間需相應人員/管理人員授權，未取得授權不得進入。5、辦公室所有人員都有指

14、紋錄入，進入辦公室都需要指紋開門，下班后辦公室都鎖門。6、登船設有專門的登船口，所有上下船人員都需做記錄，登記上下船的時間和日期等信息。7、船上所有重要房間都配有鑰匙，有管理人員進行保管。2、設備保護設備使其免于由支持性設施的失效而引起的電源故障和其他中斷。包含儲存介質的設備的所有項目宜進行驗證，以確保在處置之前，任何敏感信息和注冊軟件已被刪 除或安全地寫覆蓋。實施過程1、每臺服務器均配有 UPS不間斷電源。2、電源、通信分別布纜，大部分位于墻內和地下，并使用接線盒連接。3、船上每層都有上鎖的電纜、通信設備間，網線的交換器都有專門的上鎖盒子保護。4、管理人員定時檢查和維護硬件設備、備份等，并做

15、相應記錄。5、各計算機歸還管理人員后均檢查、清空儲存介質內資料并將系統恢復至初始狀態。6、當各設備空閑或無人使用時，會自動鎖定，再進入需對應密碼，否則不能進入系統。7、桌面等明顯處不存放重要或敏感信息，共享中的敏感信息也都做過加密保護措施。8、當人員離開辦公室時，都會將敏感或者業務關鍵信息鎖起來。六、操作安全1、操作規程和職責確保正確、安全的操作信息處理設施。操作規程宜形成文件并對所有需要的用戶可用。實施過程1、通過制定規章制度約束用戶的操作，電腦系統和各種軟件都按規定來安裝使用。2、通過設置相應權限來控制用戶對敏感信息的操作。3、定期對文件、系統等做相應的備份處理，以便在出現異常或誤操作后恢

16、復。4、定時清理過時、無用數據，保障正常儲存空間。5、測試與運行環境相獨立，不影響敏感數據。2、惡意軟件防護確保對信息和信息處理設施進行惡意軟件防護。實施惡意軟件的檢測、預防和恢復的控制措施，以及適當的提高用戶安全意識。防范惡意軟件宜基于惡意代碼檢測、修復軟件、安全意識、適當的系統訪問和變更管理控制措施。實施過程1、限制用戶從不明途徑下載、復制文件和程序。2、各計算機安裝防火墻與殺毒軟件，并定期更新。3、定期備份系統和數據，以便從惡意軟件的攻擊中恢復系統和數據。4、在進行下載數據、復制文件、安裝軟件等操作時進行安全性掃描。3、備份為了防止數據丟失，按照已設的備份策略，定期備份和測試信息、軟件及

17、系統鏡像。提供足夠的備份設施，以確保所有必要的信息和軟件能在災難或介質故障后進行恢復。實施過程1、建立備份策略，以定義組織信息、軟件和系統備份的要求。2、服務器等儲存重要數據、信息設備設置定時自動備份與不定時手動備份，備份資料分別保存。3、服務器在微軟云服務器中也定期做過相應的系統和數據備份，防止發生意外時恢復。4、以數據資料有效期限來設定備份內容保存周期，確保備份工作的進行。5、敏感數據的備份都是通過加密方式進行保護的。4、日志和監視記錄事態和生成證據。產生記錄用戶活動、異常情況、故障和信息安全事態的事態日志，并保持定期評審。實施過程1、對員工電腦都安裝有監控軟件，對所有員工對應的ID,系統

18、活動內容，備份，網絡IP地址等都會產生相應的記錄。2、對員工電腦會定期抽查系統日志和電腦操作的記錄等信息。3、記錄日志的設施和日志信息加以保護，以防止篡改和未授權的訪問。4、各設備上的時間需同步，以保證日志的可靠性。5、運行軟件的控制確保運行系統的完整性。防止系統、軟件漏洞被利用。實施過程1、運行軟件、應用和程序庫的安裝、更新應由相應管理人員來完成。2、相應管理人員應負責軟件、應用的更新、升級和維護。3、規定允許安裝和禁止安裝的軟件類型。七、通信安全1、網絡安全管理確保網絡中信息的安全性并保護支持性信息處理設施。管理和控制網絡，以保護系統中信息和應用程序的安全。實施過程1、實施控制措施，以確保網絡上的信息安全、防止未授權訪問所連接的服務。2、建立網絡設備使用的管理制度，專員定期保養各網絡設備。3、設置相應權限控制內、外網的登錄與連接；4、將內網、外網從邏輯上、部分物理上進行隔絕，確保不會被越權訪問。5、對網絡進行監控，發現非正常的訪問可以立即限制其