1.信息与数据安全整体策略
信息总体安全策略
-
关于敏感数据失效后处理原则与操作方法
-
关于数据安全管理员与数据安全策略执行规章制度
-
关于限制访问客户敏感数据与信息数据的制度。
-
关于可访问敏感数据账号或人员的定期review制度
-
关于生产系统与敏感数据系统的访问控制制度
-
关于数据存储介质USB, CDR, DVDR, floppy, backup tape等的重用与销毁制度
-
关于业务持续化与容灾相关的制度
2.信息安全事故管理制度
-
安全事故响应制度(数据故障事故过程中,必须包含告知客户情况与进度的工作环节
-
定义安全响应小组的工作职责
3.关于数据销毁的制度
-
关于到期客户数据处理的制度
-
关于数据销毁的执行方法
-
关于包含数据的存储介质如何处置、处理、清理、销毁、重用的规定
-
关于存储设备下线、返修、退订等情况下的处理流程
-
关于存储下线前处理存储介质中遗留敏感数据以及授权等信息的处理
4.账号管理制度
-
原则上至少每年审计一次账号访问控制列表,包括各种应用与网络设备等
-
关于账号权限管理的分级制度
-
申请权限制度
-
被许可的权限
-
被授权的权限
-
-
如何操作关于账号权限控制列表的定期审计和检查
账号授予与回收,普通账号需要在授予的过程中同时完成账号有效期的设置,禁止授予长效账号
5.产品开发与上线流程制度
-
目前上线OA的具体描述
6.关于敏感数据不进入测试或演示系统的制度
-
数据生成与处理流程规范化
7.关于开发、测试与生产环境的区隔规定
-
保证系统的独立性,控制数据的隔离
8.关于网络设备与网络环境安全标准
-
关于无线网络使用的安全规范
-
Are all router, switches, wireless access points, and firewall configurations secured and conform to documented security standards
-
6.1. If wireless technology is used, is access to the network limited to authorized devices?
定期安排关于网络访问行为与流量的安全检查规范
9.关于数据中心等访问的安全规范要求
-
日志跟踪
-
定期的访问日志review,与review
-
访问控制的管理
10.新人入职中关于数据安全相关的培训
11.关于入侵检测、漏洞检测以及相关的安全规定
-
内部引入入侵检测与漏洞检测的机制,定期形成检测报告
-
引入第三方权威检测机制,定期形成检测报告并改进
-
数据安全小组需要定期更新管理关于安全规范的文档,包括常用的软件需要使用的版本,必须更新的补丁、以及针对在安全检测中发现的安全漏洞的代码编写规范,并督促在自动的codereview系统中实现自动检查
12.关于代码与敏感信息的管理规定
-
-
Created and last modified by on Mar 08, 2017
原则:
公司销售的是营销软件服务,团队生产的代码正是这些软件的核心(哪怕再简单的一行代码,也蕴含着同事的努力)。为了保护团队的工作成果,这里明确关于代码管理原则与敏感信息管理原则。
关于代码的管理规定:
数云产品的业务代码属于数云的核心价值,在未备案的情况下,上传到可公开检索的平台(GitHub/oschina,以及各类空间、微博等平台),属于泄密行为。
关于敏感信息的管理规定:
和公司相关的所有敏感信息,上传或者外放到公共互联网平台(GitHub/oschina,以及各类空间、微博等平台),属于泄密行为。
敏感信息包括:
-
各类用户名、密码
-
各类主机私网ip
-
各类Token
-
Appkey、Appsecret
-
其他类似关键敏感信息
后期安全的管理工作:
公司会定期检索GITHub OsChina等代码管理平台,同时公司会根据检索到的代码与安全敏感信息,进行相关改进和处罚。
