信息安全策略

远程工作安全策略参考样本

admin

背景

远程工作在许多企业中变得司空见惯,特别是近年来高速网络、云计算及移动设备的普及,让远程工作成为可能。同时,全球性的病毒大流行等意外灾难事件的发生,推动了在家远程工作的普及。对此,昆明亭长朗然科技有限公司网络安全研究员董志军表示:远程工作为人员和业务提供了灵活性,使员工可以在家中或旅途中工作。但是,不能忽视的是,远程工作管理不当的话,会使业务网络、企业数据或设备遭受未经授权的访问或恶意软件的攻击。近年来,通过家庭远程工作电脑,让整个企业关键信息系统感染勒索软件,进而让业务系统崩溃、令业务数据遭加密或损毁的事件很多。同时,通过远程工作人员的计算设备或存储设备,让重要业务数据,甚至商业机密丢失或泄露的情况也很普遍。这些惨案给我们深刻的教训,一定要管好远程工作的安全。

通过相关的安全政策、技术和人员管控措施,可以强化远程工作的安全,如下我们分享一份通用的远程工作安全策略,供安全管理人员参考。

1.策略概述

远程工作安全策略制定了有关远程工作的规则和准则,可帮助工作人员在远离办公场所的情况下保护其设备、数据和业务网络。

2.策略目的

此远程工作安全策略的目的是帮助人员在远离办公场所时安全地工作,并保护业务网络、设备和数据免受未经授权的访问和恶意软件的侵害。

3.策略范围

该政策涵盖了在远离企业办公场所时使用企业设备或连接到企业网络的全部员工、顾问、承包商和其他关联人员。

4.策略条款

  • 所有访问公司信息资源的计算设备,无论是否归公司所有,在连接到公司信息系统之前,都必须经过IT团队的批准。
  • 远程工作人员必须采取必要的合理措施,以防止设备丢失、被盗和未经授权的使用。
  • 所有包含敏感或机密公司数据的移动计算或存储设备都必须使用加密和密码措施来保护该数据。
  • 对于在移动计算或存储设备上不再必要使用的公司数据,必须及时将这些数据从这些设备上删除。
  • 未经数据资源经理和首席信息安全官的书面许可,不得将驻留在公司网络或公司计算机上的数据库和其他公司数据下载到移动计算或存储设备。
  • 如果遭遇移动计算或存储设备的丢失或被盗,必须立即报告给IT团队和直线经理。
  • 如果移动计算或存储设备或其中包含的数据遭遇未经授权的访问,必须立即报告给IT团队和直线经理。
  • 应尽可能避免连接到公共WiFi服务,如果不得不使用公共WiFi,应依照IT部门的要求,使用VPN和其他安全措施,以帮助保护业务数据免遭不安全网络的攻击。
  • 所有访问企业网络或数据的设备都必须使用企业IT部门批准的防病毒软件进行保护。
  • 所有访问业务网络或数据的设备都必须启用闲置时间超过5分钟后自动退出功能。
  • 远程工作人员应确保仅在没有他人可能看到或拍摄公司数据屏幕图像的地方访问业务网络和数据。

政策执行

检查手段,信息团队将通过适当的方法来验证远程工作人员是否遵守了此策略,包括但不限于:使用安全检测工具、执行内部和外部审核。

例外情况,此政策的任何例外情况都必须事先获得信息团队的批准,并有书面记录。

违规处罚,所有被发现违反本政策的远程工作人员,将受到纪律处分,情节严重者会受到包括解雇的惩罚。

最后,董志军补充称:以上远程工作安全策略仅供参考借鉴,由于各家企业都有独特的文化以及IT环境,因此策略的贴合方面,有些变更是正常而必要的。当然,我们还要谦虚地说一声,我们的水平毕竟有限,如果有不当的地方,欢迎读者批评指正。

昆明亭长朗然科技有限公司设计创作了一些远程工作安全相关的通用型宣教内容,以帮助各类型的组织机构进行选择,并用于对远程工作人员进行安全知识的培训。欢迎有兴趣和有需要的客户及行业伙伴联系我们,洽谈业务合作。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898

信息安全策略的制定

admin

制定信息安全政策的缘由

地球人都知道信息安全的目标是为了保障组织信息资产的安全、降低组织的风险,然而,为什么要服从信息安全管理呢?对此,昆明亭长朗然科技有限公司信息安全管理顾问专员董志军表示:信息安全管理需要“师出有名”,要围绕安全目标,制定和发布相关的信息安全对策和战略。

ISO 27001要求在计划阶段的第二步制定信息安全策略。

标准要求组织制定信息安全政策。这项规定也包含在附录A的相应控制措施之中,它也是ISO 27001众多章节的最前面一章,并且受到ISO 27002最佳实践指南的支持。ISO 27002章节相关条文扩充了ISO 27001附录A中同样编号的要求,并且符合ISO 27001的规范。它解释说,将政策文件作为控制目标的一项的原因是,它提供“为信息安全对业务需求和有关法律法规的依从提供管理指导和支持。”

政策和业务目标

条文接着指出,政策文件应设置为“符合经营目标的明确的政策方向”。该标准的观点是,一个成功的和有益的信息安全管理体系将不会破坏或阻止商业活动。实施阻碍业务活动的系统来应对风险,这并不与商业目标相一致,这样的话业务内部的人们将会忽略或绕过信息安全管理体系的控制。

信息安全政策是重要的,必须制定到使每个字都是清楚的、明确的和有意义的(即提供一个“明确的方向”)。最后的政策确定是根据该项目范围的完成而定。范围的划定,即成功实施ISO 27001的九大关键要素之一,对政策的定义有着举足轻重的贡献。

信息安全政策必须由董事会签署通过,并通过恰当的方式发布给那些需要用到它的人们。

信息安全治理和信息安全管理体系

关于信息治理,信息安全治理委员会绘制了一幅架构图,它展示了管理层如何响应来自业务和其他方面的直接压力来指导、评估和监测信息安全管理体系的有效性。

管理层将评价新的或变更了的业务和IT流程,并考虑当时的风险和业务需要,通过信息安全政策,提供组织以风险控制为基础的指导,将控制措施作为其作业流程的一部分,然后监测和评估这些控制的有效性。

信息安全策略的发布

既然要让人们遵守信息安全方针政策,那么它必须得到高层签署和公开发布。当然,在今天信息充斥的时代,人们可能并不愿意投入时间去主动关注组织的信息安全策略,这就需要信息安全管理团队加强信息安全策略的推广宣传。

昆明亭长朗然科技有限公司专注于帮助各类型的组织机构加强与员工的信息安全沟通,我们创作了大量的信息安全意识宣教作品,包括动画视频、电子课件、互动游戏和宣传图片,其中包含基本的、通用的信息安全方针政策和战略思想,欢迎有兴趣、有需要的客户以及合作伙伴联系我们,洽谈业务合作。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898