信息安全保护嵌入产品服务
ISMS以用户隐私保护为核心目标,基于对全业务逻辑进行分析,结合业务产品与服务需求,识别并评估产品服务的信息安全风险,为各子业务模块建立信息安全风险处置措施,完善制度文件和管理流程保障信息安全,形成信息安全策略。
业务部门定期整合用户信息安全需求,按照统一标准分类标识交予主办部门执行。主办部门按需求分级各自执行,在执行过程注重监视、评估,确保落实用户信息安全需求。
公司对敏感办公场所采取严格管理,对机房、仓库等核心设施设置进行物理隔离,通过指纹验证等方式授权后方可进入,确保支撑业务正常运作和相关信息资产安全所需的硬件设施良好运转。
ISMS采取访问控制策略、安全登录规程、口令管理等制度措施,防止人员对未授权信息的非法访问;对信息资产加密、匿名化保护,防止非法破解;及时备份信息资产,保证损坏后可及时恢复;防范恶意软件,对日志信息进行监测和保护等。
信息安全预防与应对
ISMS持续对网络和主机活动进行安全监控,审计系统漏洞,评估敏感系统和数据的安全性,识别违反安全规程的行为,对异常行为进行统计、跟踪和报警,并形成日志以安全审计。
ISMS对信息安全事件进行界定和分级,针对不同等级的安全事件制定了不同的发现、响应和处理计划。发生安全事故时,依照完备的信息安全事件管理程序,确保风险可控。
发生信息安全事件时,运维部门、安全部门收到报警邮件,成立事件响应小组,收集证据,完成排查评估;启动响应机制,恢复受损业务至正常安全水平,并检查封堵漏洞,改进监测信息安全事态的扫描软件,处理信息安全弱点;完成处理后,记录并上报事件,并组织相关部门从事件中学习总结、研讨分析,及时优化预防措施和响应机制。
