ISO27001信息安全管理体系认证咨询辅导发证机构之信息交换管理程序

1. 目的

为规范公司信息交换过程的控制，确保公司重要信息在信息交换过程中的安全，特制定本程序。

2. 范围

本程序适用于本公司有关信息交换的控制。

3. 职责与权限

3.1  研发部

负责信息交换管理程序的编制及修订，信息交换相关工作的监督及指导。

负责公司网站信息的更新，确保信息的准确性及完整性。

3.3  其他部门

遵守本程序的各项要求，做好信息交换过程中的安全。

4. 相关文件

a) 《电子邮件和互联网使用准则》

b) 《病毒(恶意软件)管理程序》

5. 术语定义

无

6. 控制程序

6.1  信息交换策略

6.1.1应建立正式的交换策略、程序和控制，以保护通过所有类型的通信设施或渠道进行的信息交换。

6.1.2 信息交换策略:

a) 不能在公共场所或者敞开的办公室、没有屋顶防护的会议室谈论机密信息。

b) 对信息交流应作适当的防范，如不要暴露敏感信息，避免被通过电话偷听或截取。

c) 员工、合作方以及任何其他用户不得损害本公司的利益，如诽谤、骚扰、假冒、未经授权的采购等。

d) 不得将包含敏感信息的讯息放在自动应答系统中。

e) 不得将敏感或关键信息放在打印设施上，如复印机、打印机和传真，防止未经授权人员的访问。

f) 做应用系统之间接口、协议时，不能影响双方应用的正常运行；在实施之前应充分考虑应用系统的资源是否足够；保证数据交换的权限*小化。

6.1.3 在使用电子通信设施进行信息交换时，所考虑的控制包括：

a) 防止交换的信息被截取、备份、修改、误传以及破坏；

b) 保护以附件形式传输的电子信息的程序；

c) 所有业务信件和消息的保持和处置原则，要符合相关的国家或地方法规；

d) 使用传真的人员注意下列问题：

1)未经授权对内部存储的信息进行访问，获取信息；

2)故意的或无意的程序设定，向特定的号码发送信息；

3)向错误的号码发送文件和信息，或者拨号错误或者使用的存储在机器中的号码是错误的。

6.2  交换协议

6.2.1应建立公司与外部团体交换信息和软件的协议。交换协议考虑下列方面：

a）控制和通知传输、发送和接收的管理责任；

b）通知传输发送人、发送方和接收方的程序；

c）确保可追溯性和无否定性的程序；

d）打包和传输的*低技术标准；

e）第三方委托保管协议；

f）信使的鉴别标准；

g）发生安全事件的责任和义务，如丢失数据；

h）为敏感信息和关键信息使用获得批准的标签系统，确保这些标签的含义能被马上理解并且信息得到恰当的保护；

i）数据保护、版权、软件许可和类似的情况的所有权和责任；

j）记录和读取信息和软件的技术标准；

k）保护敏感物品，例如密钥，所需要的任何特别控制措施。

6.2.2 应保护被传输的信息和物理介质，并作为制定交换协议的参考。

6.2.3任何协议包含的安全内容都应该反映所涉及的业务信息的机密性。

6.2.4协议可以是电子形式的也可以是手写的，可以使用正式的合同或雇用条款的形式。对于敏感信息，应该考虑对信息交换使用特殊的机制，但是必须与组织和协议类型相协调。

6.3  物理介质的运送

6.3.1运输超出组织的物理界限时，对包含信息的介质进行保护，防止未经授权的访问、误用或破坏。

保护场所间信息介质的运送时，需考虑下列原则：

a)应当使用可靠的运送手段和信使；

b)经过授权的信使的列表应当得到管理层的批准；

c)建立适当的程序检查信使的身份；

d)存储介质的包装应当足以保护其中的内容免受任何在转运中可能出现的物理损伤，而且还要符合制造商的相应规定（如：对软件的规定），例如防止环境因素导致介质的存储效能，如：暴露在热、潮和电磁场中；

e)需要的时候，应当采用专门的控制措施来保护敏感信息免受未经授权的公开或者修改。例如：

1)使用上锁的容器；

2)人工递送；

3)防泄密包装（能够显示出任何企图访问的尝试）；

4)在特殊情况下，把托运货物分成多份由不同的路径来发货和递送。

6.3.2在物理运送中，如通过邮政或信使发送，信息容易受到未经授权的访问、误用等破坏。

6.4  电子讯息

6.4.1电子讯息中包含的信息应该被适当的保护。

电子讯息需考虑的安全问题包括：

a)保护信息防止未经授权的访问、修改或者服务被否认；

b)确保正确的地址和传输；

c)服务的可靠性和可用性；

d)法律方面的考虑，例如电子签名；

e)在使用外部公共服务前获得批准，如即时通信、文件共享等；

f)对公共网络的访问控制实施更高的授权等级。

6.4.2电子讯息包括诸如电子邮件、QQ、MSN等即时通信工具在业务通信中的地位越来越高。电子讯息与书面通信的风险是不同的，尽量不要通过其传输敏感信息，确有需要应采取适当的邮件加密、文件传输加密等措施。在不确定的情况下，不要随意打开链接、文件、图片等。

6.5  业务信息系统

各系统的主管部门应保护与业务信息系统互联相关的信息。必须考虑下列原则：

a)了解信息在组织的不同部门共享时，业务信息系统中的薄弱点和可能存在风险；

b)业务信息系统中信息的薄弱点，例如录音电话或会议电话、电话的保密性、传真件的储存、公开邮件、邮件的分发；

c)管理信息共享的策略和适当的控制；

d)如果业务信息系统不能对敏感的业务信息提供适当等级的保护，就从中排除这些信息；

e)限制访问与特定个人有关的日志信息，例如在敏感工程中工作的人员；

f)允许使用该业务信息系统的员工、签约方和业务伙伴的范围，以及可以访问该系统的地点；

g)把选择的设备限制在特定的用户范围内；

h)识别用户的状态，例如：本组织的雇员或者为其他客户利益服务的用户；

i)对业务信息系统上信息的备份和保存；

j)应变要求和安排。

6.6  公共信息

应对与企业相关的公共信息（如企业网站等）进行保护，防止未经授权的修改，确保其完整性。

6.7  其他

6.7.1 电子邮件的信息交换策略，按《电子邮件和互联网使用准则》进行。

6.7.2信息交换中能够通过电子通信传播的恶意代码的检测和防范按《病毒(恶意软件)管理程序》进行。

7  附件、记录

   7.1  《网站更新记录》