安全策略v100

1、 城聯(lián)數(shù)據(jù)信息安全策略 V1.0.0信息安全策略V1.0.0城聯(lián)數(shù)據(jù)有限公司修訂歷史時間版本擬制人審核人歷史記錄2014.8.10V1.0.0初始版本目錄1.引 言31.1文檔目的31.2參考信息42.術(shù)語和定義52.1解釋52.2縮寫62.3詞語使用73.信息安全總體策略83.1信息系統(tǒng)資產(chǎn)分類管理83.2人員信息安全管理83.3 信息系統(tǒng)物理和環(huán)境安全93.4 信息系統(tǒng)通訊與日常操作安全管理93.5 信息系統(tǒng)訪問控制安全113.6 信息系統(tǒng)開發(fā)和維護安全123.7 信息系統(tǒng)業(yè)務(wù)連續(xù)性管理134.安全組織144.1信息安全基礎(chǔ)組織144.1.1 信息安全管理團隊144.1.2 信息安全協(xié)調(diào)1

2、54.1.3 信息安全的職責(zé)分配164.1.4 信息安全工作人員的崗位職責(zé)184.2角色分離194.3第三方訪問的安全管理205.信息分類與保護235.1 信息的分級235.2 機密性的保護235.3 完整性的保護245.4 可用性的保證255.4 IT系統(tǒng)風(fēng)險的分級265.5 文件的分類265.6 對文檔的處理、控制276.人員安全管理296.1責(zé)任定義與資源管理的安全性296.1.1 工作責(zé)任中的安全因素296.1.2 人員使用策略296.2用戶/員工培訓(xùn)316.3對安全事件和故障的處理317.物理及環(huán)境的安全管理337.1安全區(qū)域的保護337.1.1 實際安全隔離帶337.1.2 安全域

3、的安全337.2設(shè)備的物理安全357.2.1 設(shè)備的物理安全357.2.2 電源、線纜的安全368.日常操作安全管理398.1操作程序及權(quán)責(zé)398.1.1操作程序及權(quán)責(zé)398.1.2 操作流程文檔化398.1.3 系統(tǒng)變更管制408.1.4 事故管理程序418.1.5 委托服務(wù)管理428.2安全事件響應(yīng)428.3存儲管理448.3.1資料備份448.3.2操作日志458.3.3故障日志459.訪問控制479.1訪問控制的原則與角色479.1.1 訪問控制的原則479.1.2 訪問控制角色的分配489.1.3 訪問控制角色的審核489.2用戶的訪問控制499.2.1 用戶的身份認證和授權(quán)機制49

4、9.2.2 密碼規(guī)范及管理509.2.3安全管理員的控制519.2.4 特權(quán)管理529.2.5 無人職守的用戶設(shè)備539.3開放操作系統(tǒng)的訪問控制549.3.1 系統(tǒng)的訪問控制549.3.2 終端登錄程序559.3.3 存取警告569.3.4 用戶識別和身份鑒別579.3.5 口令管理系統(tǒng)589.3.6 認證機制任務(wù)控制589.4應(yīng)用系統(tǒng)的訪問控制609.4.1 信息系統(tǒng)的訪問限制609.4.2 敏感系統(tǒng)隔離619.4.3 認證機制任務(wù)控制619.4.4授權(quán)訪問629.5計算機的訪問控制639.5.1生產(chǎn)主機的訪問控制639.6安全檢測系統(tǒng)的訪問和使用649.7安裝和維護的安全659.8系統(tǒng)時

5、間6610.業(yè)務(wù)連續(xù)性管理6710.1業(yè)務(wù)持續(xù)性計劃6710.2業(yè)務(wù)持續(xù)性管理6810.3備份及恢復(fù)6910.3.1 備份及恢復(fù)控制6910.3.2 遠程安全存儲位置6910.3.3 災(zāi)難恢復(fù)計劃701.引 言1.1 文檔目的本文檔制定了關(guān)于公司的信息安全策略，作為公司信息安全的基本標(biāo)準(zhǔn)，是公司所有安全行為的指導(dǎo)方針，同時也是公司建立完整的安全管理體系最根本的基礎(chǔ)。建立本信息安全策略的目的概括如下：l 在公司內(nèi)部建立一套通用的、行之有效的安全機制；l 在公司的員工中樹立起安全責(zé)任感；l 在公司中增強信息資產(chǎn)可用性、完整性和保密性；l 在公司中提高全體員工的信息安全意識和信息安全知識水平。1.2

6、 參考信息l Information Technology - Code of Practice for information security management (ISO 17799)l 涉密計算機系統(tǒng)口令字使用管理指南l 中華人民共和國檔案法l 中華人民共和國國家標(biāo)準(zhǔn)GB 50174-93 電子計算機機房設(shè)計規(guī)范l 城聯(lián)數(shù)據(jù)有限公司IT信息管理制度2.術(shù)語和定義2.1 解釋信息安全是指保護信息資產(chǎn)免受多種安全威脅，保證業(yè)務(wù)連續(xù)性，將安全事件造成的損失降至最小，同時最大限度地獲得投資回報和商業(yè)機遇?？捎眯源_保經(jīng)過授權(quán)的用戶在需要時可以訪問信息并使用相關(guān)信息資產(chǎn)。保密性確保信息只被授權(quán)的

7、訪問。完整性保護信息和處理過程的準(zhǔn)確和完整。信息安全策略正確使用和管理IT信息資源并保護這些資源使得它們擁有更好的保密性、完整性、可用性的策略。風(fēng)險評估評估信息安全漏洞對信息處理設(shè)備帶來的威脅和影響及其發(fā)生的可能性。風(fēng)險管理以可以接受的成本，確認、控制、排除可能影響信息系統(tǒng)的安全風(fēng)險或?qū)⑵鋷淼奈：ψ钚』倪^程。計算機機房裝有計算機主機、服務(wù)器和相關(guān)設(shè)備的，除了安裝和維護的情況外，不允許人員在里邊工作的專用房間。員工公司內(nèi)工作的干部、職工、雇傭的臨時工。用戶被授權(quán)能進入IT系統(tǒng)的人員。信息資產(chǎn)與信息系統(tǒng)相關(guān)聯(lián)的信息、信息的處理設(shè)備和服務(wù)。信息資產(chǎn)責(zé)任人是指對某項信息資產(chǎn)安全負責(zé)的員工。合作單位

8、是指與公司有業(yè)務(wù)往來的單位，包括承包商、服務(wù)提供商、設(shè)備廠商、外包服務(wù)商、貿(mào)易伙伴等。安全事件利用信息系統(tǒng)的安全漏洞，對信息資產(chǎn)的保密性、完整性和可用性造成危害的事件。故障是指信息的處理、傳輸設(shè)備運行出現(xiàn)意外障礙，以至影響信息系統(tǒng)正常運轉(zhuǎn)的事件。2.2 縮寫城聯(lián)城聯(lián)數(shù)據(jù)有限公司ITInformation Technology2.3 詞語使用必須表示強制性的要求。應(yīng)當(dāng)好的做法所要達到的要求，條件允許就要實施?？梢员硎鞠Ｍ_到的要求。3.信息安全總體策略信息安全總體策略是城聯(lián)信息安全行為的指導(dǎo)方針，也是建立完整的安全管理體系和技術(shù)體系的最根本基礎(chǔ)。安全總體策略的實施在公司內(nèi)部建立起一套行之有效的安

9、全機制，增強信息資產(chǎn)的可用性、完整性和保密性，在員工中樹立起安全責(zé)任感并提高信息安全意識和信息安全知識水平。我們已制定了一套完整的針對公司的信息安全策略（詳細內(nèi)容見安全策略文檔），概括包括以下幾個方面的要求：公司信息系統(tǒng)安全管理工作采取統(tǒng)一管理、分級負責(zé)的方式，由決策層、管理層和執(zhí)行層組成。各部門之間必須緊密配合共同進行安全系統(tǒng)的維護和建設(shè)，進行信息安全風(fēng)險評估工作，并對安全規(guī)定進行復(fù)審。3.1信息系統(tǒng)資產(chǎn)分類管理對系統(tǒng)資產(chǎn)進行分類管理，包括建立資產(chǎn)目錄、信息分類、制定和執(zhí)行資產(chǎn)處理的各項規(guī)章制度等。所有公司的信息資產(chǎn)應(yīng)該及時更新，明確每項信息資產(chǎn)及其責(zé)任人和安全分類，對重要的資料檔案要妥善保

10、管，保證能夠隨時使用。3.2人員信息安全管理1) 人員信息安全管理原則員工必須遵守公司制定并下發(fā)的保密規(guī)定，做好員工錄用和崗位變更時相應(yīng)的權(quán)限變更。2) 員工安全意識培養(yǎng)各部門采用已制定的企業(yè)信息安全策略、標(biāo)準(zhǔn)對不同類型的員工進行信息安全培訓(xùn)，培養(yǎng)員工安全意識，確保員工在信息安全程序中具備正確態(tài)度，使員工意識到信息安全的必要性。3) 安全事件和故障處理建立一個員工報告安全事件和故障的溝通渠道，并制定書面的安全事件和故障的報告流程。對于違反公司信息安全策略并造成嚴(yán)重后果的員工，應(yīng)當(dāng)根據(jù)相關(guān)規(guī)定給予處罰。3.3 信息系統(tǒng)物理和環(huán)境安全必須明確劃分安全區(qū)域并配備充足的安全設(shè)備，如門禁系統(tǒng)、攝像監(jiān)視等

11、，所有可以進出安全區(qū)域的大門必須能防止未經(jīng)授權(quán)的進出。機房必須遵守公司計算機機房的有關(guān)規(guī)則，按照設(shè)備維護要求的時間間隔和規(guī)范，對設(shè)備進行維護，有效防止資產(chǎn)流失、受損或毀壞以及業(yè)務(wù)活動中斷。3.4 信息系統(tǒng)通訊與日常操作安全管理1) 操作程序和責(zé)任對于日常維護工作必須按照規(guī)定的系統(tǒng)操作流程進行，建立信息處理設(shè)備和信息系統(tǒng)變更管理流程，保留主機、網(wǎng)絡(luò)及業(yè)務(wù)系統(tǒng)的有關(guān)信息的審計日志，必須分離開發(fā)設(shè)備與業(yè)務(wù)設(shè)備的環(huán)境。2) 系統(tǒng)規(guī)劃與驗收安全準(zhǔn)則系統(tǒng)規(guī)劃和驗收流程必須考慮實現(xiàn)安全控制和業(yè)務(wù)連續(xù)性的要求。對于處理和存儲重要信息的信息系統(tǒng)，在系統(tǒng)驗收前應(yīng)當(dāng)完成設(shè)計審核、缺陷分析及安全測試。3) 惡意軟件控

12、制所有在網(wǎng)的服務(wù)器和個人計算機都應(yīng)當(dāng)強行激活防病毒軟件，并強行定期升級防病毒軟件。不直接使用外來存儲介質(zhì)，使用可信來源的軟件。4) 內(nèi)務(wù)管理系統(tǒng)管理員必須執(zhí)行統(tǒng)一的備份策略，必須把備份和恢復(fù)過程記錄下來；恢復(fù)流程必須定期檢查和測試以確保能有效地在規(guī)定時間內(nèi)進行數(shù)據(jù)的恢復(fù)，應(yīng)定期進行災(zāi)難備份、恢復(fù)的演習(xí)，以備在非常時刻這些災(zāi)難備份能起作用；應(yīng)當(dāng)通過管理工具實時監(jiān)控數(shù)據(jù)庫的運行情況和資源使用情況。5) 網(wǎng)絡(luò)安全管理對網(wǎng)絡(luò)進行實時監(jiān)控和預(yù)警，對重要的線路、設(shè)備采用冗余措施，維持關(guān)鍵服務(wù)的可用性。6) 存儲介質(zhì)處理與安全不得將載有公司重要信息的存儲介質(zhì)隨意存放或帶出辦公地點；及時刪除介質(zhì)上不再需要的內(nèi)

13、容；妥善保存存儲介質(zhì)。7) 信息和軟件交換公司計算機軟、硬件資源僅用于公司各項業(yè)務(wù)管理，禁止濫用；使用電子郵件的用戶有義務(wù)在登錄電子郵件系統(tǒng)前檢查病毒；所有內(nèi)部的郵件分發(fā)列表只能由系統(tǒng)管理員來維護；公司保留對員工電子郵件的審查權(quán)利。3.5 信息系統(tǒng)訪問控制安全1) 訪問控制的業(yè)務(wù)要求必須明確規(guī)定每個用戶或用戶組的訪問控制規(guī)則權(quán)限。2) 用戶訪問管理對于用戶注冊、權(quán)限管理、口令管理都加以約束，防止對信息系統(tǒng)的非法訪問。3) 用戶責(zé)任當(dāng)用戶離開計算機時，必須關(guān)機或激活設(shè)置有口令保護的屏幕保護程序或返回登錄界面；重要計算機必須啟用計算機的開機口令進行保護。4) 系統(tǒng)維護人員責(zé)任系統(tǒng)維護人員應(yīng)當(dāng)保證信

14、息系統(tǒng)日常運行維護的安全，監(jiān)控系統(tǒng)的運行情況。及時發(fā)現(xiàn)信息系統(tǒng)安全隱患并采取適當(dāng)措施進行防護和補救。3.6 信息系統(tǒng)開發(fā)和維護安全1) 應(yīng)用系統(tǒng)安全需求安全需求必須在系統(tǒng)開發(fā)的需求分析階段進行確認，并集成到系統(tǒng)設(shè)計規(guī)范書、招標(biāo)規(guī)范書和外包合同書之中；應(yīng)用開發(fā)人員必須進行安全規(guī)劃，實施適當(dāng)?shù)陌踩胧瑢ο到y(tǒng)進行評測和控制，以滿足安全需求。2) 應(yīng)用系統(tǒng)設(shè)計安全針對數(shù)據(jù)安全實施：輸入輸出數(shù)據(jù)驗證、數(shù)據(jù)加密、數(shù)字簽名、不可否認服務(wù)、密鑰管理。3) 開發(fā)過程安全。必須分開生產(chǎn)環(huán)境和非生產(chǎn)環(huán)境；應(yīng)當(dāng)保護和控制測試數(shù)據(jù)。4) 應(yīng)用系統(tǒng)變更的技術(shù)評審操作系統(tǒng)軟件或配置的變更必須經(jīng)過檢查和測試；必須有補丁管理

15、流程；配置手冊必須隨著操作系統(tǒng)軟件或配置的改變而更新。3.7 信息系統(tǒng)業(yè)務(wù)連續(xù)性管理1) 業(yè)務(wù)連續(xù)管理流程原則必須建立全局性的災(zāi)難恢復(fù)計劃，信息資產(chǎn)的所有者必須按照自己的信息系統(tǒng)所對應(yīng)的業(yè)務(wù)流程建立相應(yīng)的業(yè)務(wù)連續(xù)性計劃。這些計劃必須和全局性的災(zāi)難恢復(fù)計劃以及突發(fā)事件管理計劃相配合。2) 測試和保證必須對業(yè)務(wù)連續(xù)性計劃框架進行定期檢查和測試，并記錄測試的結(jié)果，并對災(zāi)難恢復(fù)計劃和業(yè)務(wù)連續(xù)性計劃進行優(yōu)化。4.安全組織4.1 信息安全基礎(chǔ)組織4.1.1 信息安全管理團隊管理組織內(nèi)部的信息安全。信息安全是管理團隊各成員共同承擔(dān)的一種工作責(zé)任。因此，要建立一個信息安全管理團隊來確保對信息安全工作進行指導(dǎo)和

16、管理。該團隊有權(quán)利通過適當(dāng)?shù)氖跈?quán)和合理的資源分配來推動公司內(nèi)部的安全建設(shè)。主要參考點：1. 信息安全管理團隊負責(zé)公司的信息系統(tǒng)安全工作。2. 信息安全管理團隊主要行使的職能：a) 審查并批準(zhǔn)信息安全政策和總體職責(zé)。b) 指定與信息安全有關(guān)的長遠規(guī)劃、建設(shè)。c) 根據(jù)國家信息安全的有關(guān)法律、法規(guī)、制度和規(guī)范，結(jié)合公司的實際，批準(zhǔn)公司信息安全方面的規(guī)章制度、實施細則、安全目標(biāo)崗位責(zé)任制。d) 監(jiān)視信息資產(chǎn)威脅出現(xiàn)的重大變化。e) 檢查并監(jiān)控安全事故。f) 批準(zhǔn)加強信息安全的重大舉措。g) 任命本級和所屬安全機構(gòu)的負責(zé)人，以及各類安全工作人員。h) 定期向最高領(lǐng)導(dǎo)層匯報信息安全工作情況，求得最高層對

17、信息安全工作的支持。i) 審核批準(zhǔn)安全年報、安全教育計劃和教育培訓(xùn)計劃。4. 信息安全管理團隊決策的主要內(nèi)容：a) 審核系統(tǒng)安全管理人員的各種安全報告，并做出相關(guān)的決定。b) 決定信息系統(tǒng)和信息的安全等級。c) 決定信息系統(tǒng)是否要采取安全措施。d) 做新的信息安全風(fēng)險評測，決定是否增加安全措施。e) 批準(zhǔn)系統(tǒng)安全管理人員草擬或修改的各種安全策略手冊。f) 審定并公布信息安全規(guī)章制度。g) 仲裁信息安全事故的責(zé)任。4.1.2 信息安全協(xié)調(diào)在公司內(nèi)部，要建立一個由各個部門代表組成的跨功能部門的信息安全協(xié)調(diào)委員會來協(xié)調(diào)信息安全的實施。主要參考點：該機構(gòu)職能：1. 批準(zhǔn)公司內(nèi)信息安全方面的人事安排和職

18、責(zé)分配；2. 批準(zhǔn)信息安全的具體方法和過程，如風(fēng)險評估、安全分類體系等；3. 批準(zhǔn)并支持公司內(nèi)信息安全方面的提議，如制定安全意識計劃等；4. 確保安全成為信息基礎(chǔ)設(shè)施計劃的一部分；5. 針對新系統(tǒng)或服務(wù)，評估其在信息安全方面的充分性并協(xié)調(diào)其實施；6. 檢查信息安全事故；7. 在全公司范圍內(nèi)明確推動信息安全工作的支持。4.1.3 信息安全的職責(zé)分配明確規(guī)定保護信息資產(chǎn)和執(zhí)行具體安全過程的責(zé)任。主要參考點：1. 信息安全政策應(yīng)當(dāng)明確公司內(nèi)安全人事和職責(zé)分配方面的具體指導(dǎo)原則。a) 人員審查的原則。對擔(dān)當(dāng)信息安全的工作人員，在錄用前必須進行審查。b) 人員培訓(xùn)的原則。對從事信息安全的工作人員應(yīng)進行上

19、崗前的培訓(xùn)，掌握基本的技能。培訓(xùn)內(nèi)容包括：法律法規(guī)、職業(yè)道德、技術(shù)、業(yè)務(wù)、各種操作規(guī)程、信息安全方面出現(xiàn)新問題的對策等。c) 持證上崗的原則。信息安全管理是一項非常重要的工作，要求工作人員具有較高的政治素質(zhì)和業(yè)務(wù)水平，因此各類安全工作人員必須經(jīng)過的培訓(xùn)，嚴(yán)格考核，才能上崗。d) 人員考核的原則。對從事信息安全工作的各類人員要從思想作風(fēng)、工作態(tài)度、遵守規(guī)章制度、業(yè)務(wù)能力等方面定期進行考核。e) 簽訂保密協(xié)議的原則。f) 經(jīng)常換崗的原則。任何人都不能在一個與信息安全有關(guān)的工作崗位上工作事件太長，工作崗位應(yīng)經(jīng)常輪換。g) 權(quán)力分散的原則。在信息安全工作中，有的工作不能由一個人擔(dān)任，權(quán)力的分散便于相互

20、制約。h) 權(quán)力最小的原則。安全工作人員活動所涉及的范圍，應(yīng)是受到限制，而且應(yīng)限制在最?。?quán)限）范圍之內(nèi)，不能越權(quán)訪問。i) 人員離崗的原則。因工作需要或因不適合做信息安全管理工作，調(diào)離崗位，必須由領(lǐng)導(dǎo)找其談話，要求履行保密協(xié)議，承諾保密事項，并交出有關(guān)的資料、證件。2. 擁有特定的物理、信息資產(chǎn)的部門應(yīng)承擔(dān)安全責(zé)任，并明確制定持續(xù)運營計劃。3. 任命一名信息安全負責(zé)人，負責(zé)開發(fā)、實施、支持信息安全管理。4. 為每項信息資產(chǎn)都指定一個責(zé)任人，負責(zé)信息資產(chǎn)的日常安全。5. 信息資產(chǎn)的責(zé)任人可將安全職責(zé)委托給各部經(jīng)理或服務(wù)提供方，但他對資產(chǎn)的安全仍負有最終的責(zé)任，并要求能確認授權(quán)沒有被濫用或誤用。

21、6. 對各經(jīng)理所負責(zé)的安全范圍進行界定，要做到如下幾點：a) 和各系統(tǒng)有關(guān)的資產(chǎn)和安全程序要加以清楚地標(biāo)示和定義；b) 負責(zé)各資產(chǎn)和安全程序的經(jīng)理人的任命要經(jīng)過批準(zhǔn)，其職責(zé)要記錄在案；c) 授權(quán)級別要清晰定義并記錄在案。4.1.4 信息安全工作人員的崗位職責(zé)明確規(guī)定主要信息安全工作崗位的職責(zé)。主要參考點：1. 信息安全員主要負責(zé)信息網(wǎng)絡(luò)系統(tǒng)的信息安全和保密信息的管理。2. 系統(tǒng)安全員主要負責(zé)信息網(wǎng)絡(luò)操作系統(tǒng)及服務(wù)器操作系統(tǒng)的安全及管理。3. 網(wǎng)絡(luò)安全員主要負責(zé)信息網(wǎng)絡(luò)系統(tǒng)的安全保密工作。4. 設(shè)備安全員主要負責(zé)對專用計算機安全保密設(shè)備（防火墻、加密機等）的管理、使用和維護。5. 數(shù)據(jù)庫安全員主

22、要負責(zé)數(shù)據(jù)庫管理系統(tǒng)的安全及維護管理工作。6. 數(shù)據(jù)安全員主要負責(zé)信息網(wǎng)絡(luò)中運行數(shù)據(jù)的安全。7. 防病毒安全員主要負責(zé)信息網(wǎng)絡(luò)系統(tǒng)的計算機病毒的防護工作。8. 機房安全員主要負責(zé)計算機機房的安全與管理。9. 警衛(wèi)保安員主要負責(zé)計算機機房周邊環(huán)境良好有序，保障機房安全。10. 防火安全員主要負責(zé)對工作人員的防火教育和機房火災(zāi)的預(yù)防工作。4.2 角色分離為了把濫用特權(quán)的風(fēng)險和可能性降至最低，要對有必要的職能和任務(wù)進行分割。那些能躲避安全措施和審計的任務(wù)和職能，還有能使員工獲得過多有利條件的任務(wù)和職能，必須進行分割。結(jié)合公司現(xiàn)狀及安全相互約束性考慮，明確互斥、不兼容的職能角色必須分離。主要參考點：1

23、. 生產(chǎn)操作人員必須與開發(fā)人員分離。2. 軟件開發(fā)人員必須與測試人員分離。3. 生產(chǎn)操作人員必須與審查人員分離。4. 系統(tǒng)使用人員必須與系統(tǒng)維護人員分離。5. 授權(quán)人員與權(quán)限復(fù)核人員分離。4.3 第三方訪問的安全管理維護第三方訪問的組織信息處理設(shè)施和信息資產(chǎn)的安全性。明確第三方的風(fēng)險，確定安全要求。要嚴(yán)格控制第三方對組織的信息處理設(shè)備的使用。主要參考點：1. 第三方訪問是指非本單位的人員對信息系統(tǒng)的訪問。第三方至少包含如下人員：a) 硬件及軟件技術(shù)支持、維護人員；b) 項目現(xiàn)場實施人員；c) 其他政府職能部門的檢查人員；d) 清潔人員、送餐人員、保安以及其它外包的支持服務(wù)人員；2. 第三方的訪

24、問類型包括物理訪問和邏輯訪問。a) 物理訪問：重點考慮安全要求較高區(qū)域的訪問，包括計算機機房、重要辦公區(qū)域等；b) 邏輯訪問：l 操作系統(tǒng)l 應(yīng)用系統(tǒng)l 網(wǎng)絡(luò)系統(tǒng)3. 第三方進行訪問之前必須經(jīng)過被訪問系統(tǒng)的責(zé)任人的審核批準(zhǔn)，包括物理訪問的區(qū)域和邏輯訪問的權(quán)限；4. 第三方的現(xiàn)場實施過程中必須有公司公司系統(tǒng)的人員陪同；5. 所有的訪問必須進行真實的記錄，記錄中必須至少包括日期、進入及離開時間、第三方人員（簽名）、本單位陪同人員（簽名）、批準(zhǔn)人（簽名）、訪問事由等信息。6. 對于第三方的項目實施過程，必須在合同中明確規(guī)定人員的安全責(zé)任，必要時需要簽署保密協(xié)議。7. 機房內(nèi)嚴(yán)禁未經(jīng)許可的人員進入。如

25、需進入，必須由本單位有關(guān)人員陪同。5.信息分類與保護5.1 信息的分級主要的信息需要按照機密性、完整性和可用性來進行級別劃分，確定其相應(yīng)保護力度。主要參考點：1. 機密性將分為高、中、低。2. 完整性將分為高、中、低。3. 可用性將分為高、中、低。4. 信息的分級必須由各個部門的主管、IS安全咨詢公司和部門的安全管理員共同完成。5. 信息分級的過程中，應(yīng)該規(guī)定出每個級別的信息應(yīng)采取保護、控制的方法。5.2 機密性的保護信息的機密性必須根據(jù)信息的級別進行相應(yīng)的保護。主要參考點：高保密性1. 必須受公司認證和控制的邏輯訪問控制系統(tǒng)保護。2. 如在物理或邏輯訪問控制系統(tǒng)的控制范圍之外，必須加密。3.

26、 數(shù)據(jù)在網(wǎng)上必須進行加密傳輸。4. 采用“端對端”的加密算法。5. 數(shù)據(jù)只能在同一級別安全保護級別、可信賴的系統(tǒng)之間傳輸。 6. 應(yīng)該將數(shù)據(jù)加密存儲在沒有聯(lián)入網(wǎng)絡(luò)的存儲設(shè)備上。7. 授權(quán)訪問。8. 信息的釋放必須進行記錄和單獨地審計評估。中級機密性1. 必須接受邏輯訪問控制系統(tǒng)保護。 2. 如在物理或邏輯訪問控制系統(tǒng)的控制范圍之外，必須加密。3. 當(dāng)在網(wǎng)上進行傳輸時，必須加密。低機密性1. 必須接受邏輯訪問控制系統(tǒng)保護。5.3 完整性的保護必須根據(jù)信息的完整性級別來保證其相應(yīng)的完整性。主要參考點：高完整性1. 必須接受由公司認證和控制的邏輯訪問控制系統(tǒng)提供的保護。2. 應(yīng)當(dāng)數(shù)字簽名。3. 通過

27、數(shù)字簽名、邏輯訪問控制或物理訪問控制方法，防止保護的信息被非法進行創(chuàng)建、修改、刪除、替代或拷貝。 4. 對信息做任何修改時，必須進行記錄。記錄內(nèi)容必須包括時間、改變的種類、人員的責(zé)任和認證。5. 任何非法破壞或非授權(quán)修改的企圖都必須要自動記錄下來。中級完整性1. 通過實施數(shù)字簽名、邏輯訪問控制或物理訪問控制方法，防止受保護的信息被非法創(chuàng)建、修改、刪除、替代或拷貝。 2. 對信息做任何修改時，必須進行記錄。記錄內(nèi)容必須包括時間、改變的種類、人員的責(zé)任和認證。3. 任何非法破壞或非授權(quán)修改的企圖都必須被自動記錄下來。低完整性1. 應(yīng)用加密技術(shù)、身份認證技術(shù)、邏輯訪問控制或物理訪問控制等技術(shù)，防止對

28、信息進行非法的創(chuàng)建、修改、刪除、替代或復(fù)制等操作。5.4 可用性的保證信息的可用性是確保其恢復(fù)、執(zhí)行和使用性。主要參考點：高可用性1. 系統(tǒng)必須采用冗余技術(shù)。例如： 提供冗余電源和備份電源 路由（物理鏈路）的冗余 在線的存儲備份（例如：RAID） 容錯的體系結(jié)構(gòu)（系統(tǒng)的容錯性） 設(shè)備的穩(wěn)定性 遠程管理和故障恢復(fù)能力2. 級別協(xié)議和災(zāi)難恢復(fù)計劃必須經(jīng)公司管理者同意。3. 級別協(xié)議和災(zāi)難恢復(fù)計劃必須被監(jiān)視和有規(guī)律地回顧。5.4 IT系統(tǒng)風(fēng)險的分級所有系統(tǒng)在進行需求分析時，都要通過風(fēng)險分析來定義各自的級別。主要參考點：1. 在分級過程中要確定系統(tǒng)的自然屬性及控制的緊迫性。2. 根據(jù)信息的安全級別，系

29、統(tǒng)將分成三個級別：高保密、重要的、基本的。比如高保密指信息的高機密性、完整性和可用性。3. 高保密級別必須根據(jù)數(shù)據(jù)的安全性和控制要求規(guī)范。.4. 其他所有系統(tǒng)的分類則根據(jù)信息安全策略、相關(guān)的信息安全標(biāo)準(zhǔn)和系統(tǒng)在業(yè)務(wù)流中實際的用途。5.5 文件的分類對所有敏感文件必須都進行標(biāo)記，保證其得到正確的控制和處理。主要參考點：1. 當(dāng)丟失、泄露或修改時會對公司造成重大損失的數(shù)據(jù)標(biāo)上高機密性標(biāo)簽。2. 當(dāng)丟失、泄露會對公司產(chǎn)生有限的損失的數(shù)據(jù)定為機密性。3. 不會在公司網(wǎng)外出現(xiàn)的數(shù)據(jù)，標(biāo)上“只在內(nèi)部網(wǎng)使用”標(biāo)簽。4. 屬于個人信息的數(shù)據(jù)，我們打上“私有”標(biāo)簽。5. 其他數(shù)據(jù)不用標(biāo)識。6. 對信息的錯誤分級

30、不僅降低了對其安全控制管理的力度，而且還分散了對敏感數(shù)據(jù)的關(guān)注。7. 為了避免多余的控制工作，信息應(yīng)該重新分級。8. 數(shù)據(jù)級別的降低必須由管理者認證并且記錄操作的過程。5.6 對文檔的處理、控制根據(jù)標(biāo)簽來處理、控制文檔。主要參考點：高機密性1. 沒有公司相應(yīng)管理者的授權(quán)，不能被外部人員看到。2. 必須充分地密封。3. 沒有管理者的允許不能進行拷貝或傳播。4. 沒有確保媒介的安全性不能通過電子方式傳播。5. 必須安全地存儲。6. 當(dāng)員工離開或角色改變時，必須能及時地注銷其原來擁有的權(quán)限。機密性1. 沒有公司相應(yīng)的管理者的授權(quán)，不能被外部人員看到。2. 沒有管理者的允許不能進行拷貝或傳播。3. 沒

31、有確保傳輸介質(zhì)的安全性不能通過電子方式傳播。4. 應(yīng)該安全地存儲。5. 當(dāng)員工離開或角色改變時，必須能及時地注銷其原來擁有的權(quán)限。只在內(nèi)部網(wǎng)使用/私有1. 沒有公司相應(yīng)的管理者的授權(quán)，不能被外部人員看到。2. 必須遵守個人數(shù)據(jù)保密法。 6.人員安全管理6.1 責(zé)任定義與資源管理的安全性6.1.1 工作責(zé)任中的安全因素對潛在的待聘員工應(yīng)加以仔細充分的篩選，特別是從事敏感工作的員工。主要參考點：1. 在工作定義中恰當(dāng)標(biāo)明安全角色，闡明安全任務(wù)和職責(zé)，并進行備案。2. 闡明實施和維護安全策略的總體責(zé)任，以及保護特殊資產(chǎn)、執(zhí)行特殊特別安全程序或活動的責(zé)任。6.1.2 人員使用策略安全的權(quán)責(zé)應(yīng)當(dāng)在對員工

32、進行聘用的階段就開始實施，還應(yīng)包括在合同中，并在以后員工的聘用期內(nèi)時時進行監(jiān)督。所有使用信息處理設(shè)備的員工或第三方都要簽署保密或不泄密協(xié)議。主要參考點：1. 對于涉及到可以訪問信息處理設(shè)備的人員，特別是那些處理敏感信息的個人，必須對該人員進行資格審查。2. 雇員在受雇時，應(yīng)和其簽署保密協(xié)議。在雇傭合同或條款發(fā)生變動時，特別是員工要離開單位或其合同到期時，要對保密協(xié)議進行審訂。3. 員工守則闡明雇員在信息安全方面的職責(zé)。這些職責(zé)即使在雇傭關(guān)系結(jié)束后也應(yīng)保持一定的有效期。其中應(yīng)當(dāng)包括員工違反安全規(guī)定時應(yīng)采取的措施。4. 承包商、顧問或其他合作單位訪問系統(tǒng)必須簽署正式的合同。5. 在工作定義中恰當(dāng)標(biāo)

33、明安全角色和責(zé)任。6. 員工守則闡明雇員在信息安全方面的職責(zé)。這些職責(zé)即使在雇傭關(guān)系結(jié)束后也應(yīng)保持一定的有效期。其中應(yīng)當(dāng)包括員工違反安全規(guī)定時應(yīng)采取的措施。7. 承包商、顧問或其他合作單位訪問系統(tǒng)必須簽署正式的合同。a) 正式的合同必須包括以下內(nèi)容：l 同意遵守相關(guān)的策略和標(biāo)準(zhǔn)，特別是信息安全策略和信息安全標(biāo)準(zhǔn)。l 對公司或個人的安全控制進行獨立的審查。l 明確保密協(xié)議或聲明，避免任何潛在的利益沖突。l 在合同終止時，應(yīng)明確資產(chǎn)的分配和特權(quán)的部署及所有權(quán)。b) 服務(wù)協(xié)議、合同必須包括對共享信息的所有關(guān)系、機密性和完整性的責(zé)任，對保護信息的分級：高機密性或高完整性。6.2 用戶/員工培訓(xùn)應(yīng)對員工

34、進行安全步驟和正確使用信息處理設(shè)備的培訓(xùn)，將可能的安全風(fēng)險降到最低。主要參考點：1. 管理員有責(zé)任提高職員遵守信息安全策略和信息安全規(guī)范的安全意識。2. 所有職員，以及在必要情況下涉及的第三方用戶，都應(yīng)定期接受安全政策和流程方面的教育和培訓(xùn)。3. 將信息安全培訓(xùn)加入員工培訓(xùn)中，培訓(xùn)材料應(yīng)包括下列內(nèi)容：l 信息安全意識l 信息安全需求l 相關(guān)法律責(zé)任l 公司信息安全策略l 公司信息安全規(guī)章制度6.3 對安全事件和故障的處理將影響安全的事故通過適當(dāng)?shù)墓芾砬辣M快匯報。各種類型的安全事故（安全破壞行為、威脅、弱點或故障）對資產(chǎn)的安全都會產(chǎn)生影響，所有雇員和承包商都應(yīng)了解報告各個類型安全事故的方法步驟

35、。他們應(yīng)盡快將觀察到的或可疑的事件報告給事先指定的聯(lián)系人。應(yīng)建立正式的處分條例，處罰那些進行違反安全活動的雇員。主要參考點：1. 安全事故報告發(fā)現(xiàn)安全事故后，應(yīng)立即通過適當(dāng)管理渠道報告，并建立報告軟件故障的程序步驟。2. 安全漏洞報告對于覺察或懷疑存在的安全漏洞，信息服務(wù)的使用者要及時記錄，并把這些漏洞報告給管理人員或直接盡快報告給服務(wù)提供商。3. 軟件故障報告建立并遵守軟件功能異常報告流程。4. 建立對事故或功能障礙的類型、級別和損失程度進行量化、監(jiān)督的機制。5. 紀(jì)律檢查程序建立正式的違規(guī)處置流程，通過正式違規(guī)處置流程來處理違反安全策略和流程的員工。7.物理及環(huán)境的安全管理7.1 安全區(qū)域

36、的保護7.1.1 實際安全隔離帶應(yīng)該將關(guān)鍵或敏感的商業(yè)信息處理設(shè)備放在安全的地方，使用相應(yīng)的安全防護設(shè)備和準(zhǔn)入控制手段以及有明確標(biāo)志的安全隔離帶進行保護。應(yīng)使這些設(shè)備免受未經(jīng)授權(quán)的訪問、損害或干擾。 主要參考點：1. 建立幾個實際的防護設(shè)備，提供物理保護。每個防護設(shè)備都劃分出一個安全區(qū)，提高整體的保護效果。2. 會議室及其他公共地帶應(yīng)該與安全區(qū)隔離。7.1.2 安全域的安全根據(jù)所確定的風(fēng)險的具體情況，提供相應(yīng)的保護。對紙張、介質(zhì)和信息處理設(shè)備建議采取桌面清空和屏幕清空策略，降低對紙張、介質(zhì)和信息處理設(shè)備進行未經(jīng)授權(quán)訪問所帶來的風(fēng)險和損害。主要參考點：1. 確定各種物理危害的級別和范圍，確保高風(fēng)

37、險區(qū)有高級別的保護措施。2. 信息安全區(qū)應(yīng)當(dāng)有適當(dāng)?shù)谋Ｗo措施及訪問控制措施（采取適當(dāng)出入管理，對安全區(qū)的物理訪問進行登記；不經(jīng)批準(zhǔn)，任何人員不得出入信息安全區(qū)）。a) 訪問者的詳細資料應(yīng)該記錄在訪問者日志中，對于允許進入的人員應(yīng)發(fā)給通行證件，嚴(yán)格控制通行證件的發(fā)放并對發(fā)出的證件進行完整的登記，并確保收回通行證件。b) 訪問者日志至少應(yīng)被保留三十天以上備查。c) 訪問者不得在無人監(jiān)督的情況下單獨留在安全控制區(qū)域注：訪問者定義為那些平時不被允許進入安全控制地帶但因為需要而獲準(zhǔn)進入這些地帶的人員。訪問者應(yīng)當(dāng)遵守訪問規(guī)則，如聯(lián)絡(luò)人員、訂約者等就應(yīng)被授予臨時的、受限的訪問權(quán)限。d) 所有的信息處理設(shè)備如

38、服務(wù)器、中型機、大型機、通信設(shè)備等必須放置在物理上保證安全的設(shè)備室并只能由被授權(quán)的人員接觸。e) 本地各級管理部門應(yīng)制定出管理職員訪問各種特殊設(shè)備的制度，原則上要求職員若無特別需要則沒有接觸這些設(shè)備的權(quán)限。f) 特定區(qū)域的安全應(yīng)該遵循風(fēng)險管理執(zhí)行小組的指導(dǎo)。g) 對安全區(qū)的物理訪問進行授權(quán)應(yīng)當(dāng)由特定的人員或安全小組執(zhí)行。3. 在物理安全區(qū)域內(nèi)的辦公室、房間和設(shè)備在安全設(shè)計時要對其安全進行考慮（包含一整套匹配的環(huán)境來減少火災(zāi)，洪水等自然災(zāi)害可能帶來的損失）。4. 在選擇安全設(shè)備時要考慮安全設(shè)備在防火、防水等應(yīng)急使用時對信息設(shè)備的損壞（如在機房架設(shè)防火的噴淋系統(tǒng)）。5. 會議室及其他公共地帶應(yīng)該與

39、安全區(qū)隔離。6. 制定額外的信息安全區(qū)內(nèi)工作守則，加強已采取物理保護措施的安全區(qū)的安全。7. 安全區(qū)應(yīng)配備可靠的閉路電視監(jiān)控系統(tǒng)并在入口處明顯標(biāo)示出該地點為安全控制地帶。8. 對運輸和裝卸區(qū)進行安全控制，未經(jīng)授權(quán)人員嚴(yán)禁進入。9. 物理安全設(shè)計的強度和管理應(yīng)定期討論檢查以提高其有效性。7.2 設(shè)備的物理安全7.2.1 設(shè)備的物理安全保證設(shè)備從物理上免受安全威脅或環(huán)境上的破壞。要降低對數(shù)據(jù)進行未經(jīng)授權(quán)訪問的風(fēng)險并免受損失或損壞，必須對設(shè)備（包括不在現(xiàn)場使用的設(shè)備）進行保護。還需要考慮設(shè)備的位置和選址問題?？赡苄枰厥獾目刂拼胧﹣肀Ｗo免遭危險或非法訪問。主要參考點：1. 注重設(shè)備安放地的選址與保護

40、，在構(gòu)建設(shè)備的物理環(huán)境時，一定要參照設(shè)備的說明書，或咨詢風(fēng)險管理小組。2. 所有的屬于公司的信息處理設(shè)備都必須作明顯的標(biāo)記并指明屬于哪個部門，并記錄在設(shè)備清單中，由專門的信息處理設(shè)備管理員維護。3. 依據(jù)制造商的指示或規(guī)定的流程對設(shè)備進行維護。4. 所有的媒體介質(zhì)，如磁盤、磁帶等的運送中要運用恰當(dāng)?shù)娜萜鞑⑦m當(dāng)?shù)陌凑掌渲醒b載信息的種類分類的方法進行。5. 所有的信息處理設(shè)備在報廢處理和再使用前必須進行清理，并根據(jù)適當(dāng)?shù)姆诸愑羞x擇地進行處理和再使用。6. 在辦公區(qū)域以外使用任何信息處理設(shè)備進行信息處理都要經(jīng)單位領(lǐng)導(dǎo)批準(zhǔn)（信息處理設(shè)備包括任何家庭用的或從單位帶出的各種形式的個人電腦、手持電腦、移動電

41、話、紙張或表格等）。7.2.2 電源、線纜的安全需要特殊的控制措施來保護免遭危險或非法訪問，并保護輔助設(shè)施，例如電源和電纜等基礎(chǔ)設(shè)施。主要參考點：1. 保證設(shè)備的正常供電（供電要符合設(shè)備制造商對供電的規(guī)定和要求）。2. 保護供電和通訊傳輸線路，避免中斷和受損。3. 電纜、接線盒等設(shè)備的使用必須有物理性的限制。4. 依據(jù)制造商的指示或規(guī)定的流程對設(shè)備進行維護。8.日常操作安全管理8.1 操作程序及權(quán)責(zé) 8.1.1操作程序及權(quán)責(zé) 建立公司網(wǎng)絡(luò)系統(tǒng)中所有信息處理設(shè)備及其相關(guān)活動的管理和操作的權(quán)責(zé)以及及流程，確保員工能夠正確、安全地操作信息處理設(shè)備和進行相關(guān)的活動。主要參考點：1. 對于系統(tǒng)的所有操作

42、，要做到程序化，應(yīng)明確制定各個設(shè)備或相關(guān)活動的操作程序。2. 要對進行操作的部門和人員的操作權(quán)責(zé)進行定義劃分；8.1.2 操作流程文檔化對于操作流程應(yīng)以正式文檔的方式頒布和執(zhí)行，應(yīng)把操作流程看作正式的文件，其變更需要經(jīng)過管理人員的批準(zhǔn)。流程應(yīng)包括具體的實施指令，同時對操作流程進行記錄和保存主要參考點：1. 制定信息的加工和處理操作流程。2. 規(guī)定系統(tǒng)操作的時間要求以及明確和其它系統(tǒng)的相互依存關(guān)系。3. 操作流程中應(yīng)明確指出關(guān)于處理工作過程當(dāng)中出現(xiàn)的錯誤或其它特殊條件的指示，包括對系統(tǒng)設(shè)備的使用限制等。4. 操作流程應(yīng)提供當(dāng)出現(xiàn)預(yù)料之外的操作或技術(shù)困難時尋求支持的方式。5. 操作流程文檔中應(yīng)包括

43、特別輸出處理指示，包括對錯誤輸出的安全處理。6. 明確系統(tǒng)重新啟動和恢復(fù)時的操作流程7. 操作流程中要明確要緊記錄的信息或活動，以及記錄的方式和存貯的位置。8.1.3 系統(tǒng)變更管制公司要對信息處理設(shè)施和系統(tǒng)方面的變化進行管理和控制，從而減少或避免由于對信息處理設(shè)備和系統(tǒng)管制的不充分而引起系統(tǒng)的安全隱患。主要參考點：1. 公司要對系統(tǒng)的有關(guān)變更活動制定規(guī)范的管理流程。2. 要對系統(tǒng)變更的潛在影響進行事前的評估。3. 對于所作的變更要有比較明晰的變更方案。4. 對提議的變更申請和變更方案要有正式的審批流程。5. 對重大變更的辨別和記錄6. 要把變更的細節(jié)通知給所有的相關(guān)人員7. 制定追究放棄變更或

44、失敗變更恢復(fù)責(zé)任的流程8.1.4 事故管理程序公司的要建立事故管理責(zé)任流程制度，確保安全事故發(fā)生后能做出快速、有效、有序的反應(yīng)。主要參考點：1. 設(shè)立公司的事故管理流程，使其涵蓋所有潛在的安全事故類型，包括信息系統(tǒng)癱瘓和服務(wù)的損失、拒絕服務(wù)、不完整或不準(zhǔn)確的業(yè)務(wù)數(shù)據(jù)所導(dǎo)致的錯誤、泄密等。2. 事故管理流程中除包括一般的應(yīng)急計劃之外，還應(yīng)當(dāng)包括對事故原因的分析和辨認、制定并實施補救計劃防止同類事故的再發(fā)生、收集審計記錄和相關(guān)證據(jù)、和受到事故影響及從事求援的人員交流、向有關(guān)當(dāng)局報告行動等。3. 應(yīng)對事故過程和事故處理的審計記錄和其他相關(guān)證據(jù)進行妥當(dāng)?shù)氖占?、儲存和利用?. 對糾正違反安全行為和修正

45、系統(tǒng)癱瘓的行動要加以仔細認真的管制。其管制流程是為了保證事故的處理能夠做到防止非授權(quán)操作、可審計、快速、有序。8.1.5 委托服務(wù)管理公司在選用服務(wù)商來管理信息處理設(shè)備時要對其進行約束和控制，并對實施外包服務(wù)的設(shè)備以及數(shù)據(jù)進行篩選檢查，避免發(fā)生諸如數(shù)據(jù)丟失、泄漏或毀壞等潛在的安全問題。主要參考點：1. 對公司內(nèi)部的敏感或關(guān)鍵應(yīng)用加以鑒別和區(qū)分。2. 對委托第三方服務(wù)的設(shè)備和數(shù)據(jù)應(yīng)當(dāng)獲得產(chǎn)權(quán)人和負責(zé)人員的批準(zhǔn)。3. 對敏感和關(guān)鍵數(shù)據(jù)、應(yīng)用、設(shè)備等的外包服務(wù)應(yīng)當(dāng)把安全責(zé)任落實到具體的外包協(xié)議中去。4. 外包服務(wù)應(yīng)納入持續(xù)運營計劃的考慮。5. 要對外包服務(wù)進行審核看其是否符合規(guī)定的安全標(biāo)準(zhǔn)和合法的程

46、序。6. 要明確外部人員的具體權(quán)責(zé)劃分和對有關(guān)安全活動進行監(jiān)視的流程。7. 要規(guī)定外部人員報告和處理安全事故的權(quán)責(zé)及流程。8.2 安全事件響應(yīng)突發(fā)信息安全事件進行響應(yīng)、處理、恢復(fù)、跟蹤的方法及過程。主要參考點：1. 發(fā)現(xiàn)安全事故后，應(yīng)立即通過適當(dāng)管理渠道報告。2. 要建立正規(guī)的報告流程和事故反應(yīng)流程，規(guī)定接到事故報告后應(yīng)采取的行動。3. 所有員工和合同方都應(yīng)熟悉安全事故報告的操作流程，并要求事故發(fā)生時盡快加以報告。4. 建立適當(dāng)?shù)姆答伭鞒虂泶_保這些安全事故在處理完畢之后處理結(jié)果得以反饋。5. 發(fā)生過的安全事故可用作安全培訓(xùn)的例子，向使用者解釋會發(fā)生哪些事故，如何反應(yīng)，及以后如何避免此類事件等6

47、. 安全事件響應(yīng)計劃必須包含的內(nèi)容：a) 安全事件定義。b) 安全事件的等級劃分。c) 安全事件的響應(yīng)過程（確定事件的起因和癥狀、增強防御，進行漏洞分析，刪除事件的源頭），明確事件響應(yīng)的事件和響應(yīng)過程。d) 安全事件的恢復(fù)（修復(fù)系統(tǒng)，使系統(tǒng)正常，決定什么時候恢復(fù)操作，監(jiān)控系統(tǒng)），確定恢復(fù)的時間間隔、恢復(fù)的過程記錄。e) 對發(fā)生事件的原因、造成的危害、處理結(jié)果進行全面的記錄匯總。f) 建立統(tǒng)一的安全事件庫，對生產(chǎn)運行過程中發(fā)生的各類安全事件分類存檔備查。8.3 存儲管理8.3.1資料備份公司要對重要的商業(yè)信息和軟件應(yīng)進行定期備份。要有充足的備份設(shè)備來確保所有關(guān)鍵的業(yè)務(wù)信息和軟件在發(fā)生災(zāi)難或媒體癱

48、瘓后都能得以恢復(fù)。針對單個系統(tǒng)的備份安排要進行定期測試，確保它們符合持續(xù)運營計劃的要求。主要參考點：1. 備份信息、關(guān)于備份拷貝的準(zhǔn)確完整的記錄及恢復(fù)的流程等信息要儲存在一個遠離主站的地點，確保即使主站發(fā)生災(zāi)難時備份信息也能幸免遇難。對重要的業(yè)務(wù)應(yīng)用軟件最好應(yīng)保留最少三份不同物理介質(zhì)的備份信息。2. 對備份信息的物理和環(huán)境保護級別不得低于主場的保護級別標(biāo)準(zhǔn)。對主場媒體的管制措施也應(yīng)延展到備份文件的保護。3. 應(yīng)對備份媒體進行定期檢查，確保其在緊急情況下能正常發(fā)揮作用。4. 恢復(fù)流程應(yīng)定期審訂測試，確保其有效性，使其在規(guī)定時間內(nèi)能夠完成恢復(fù)的任務(wù)。5. 重大業(yè)務(wù)信息的保留期及文檔附件是否永久保存

49、等都要加以規(guī)定。8.3.2操作日志公司應(yīng)對操作人員的活動或操作做日志記錄，并對操作日志應(yīng)按操作流程進行定期審核。主要參考點：1. 應(yīng)記錄和審核系統(tǒng)啟動和關(guān)閉時間。2. 應(yīng)記錄和審核系統(tǒng)錯誤和所采取的修改行動。3. 應(yīng)對數(shù)據(jù)文件和電腦輸出的正確操作的確認進行記錄和審核。4. 應(yīng)對登錄人員的名稱進行記錄和審核。8.3.3故障日志公司應(yīng)當(dāng)對故障及時報告并修復(fù)，并對如何處理故障報告應(yīng)有明確的規(guī)定，對使用人員做出的信息處理或通訊系統(tǒng)的故障報告要進行日志管理。主要參考點：1. 對故障記錄進行審核，確保故障已得到滿意的解決。2. 對采取的維修措施進行審核，確保管制手段的正確性和采取行動的合法性。9.訪問控制

50、9.1 訪問控制的原則與角色9.1.1 訪問控制的原則控制信息的訪問。主要參考點：1. 區(qū)分必須一直堅持的規(guī)定和那些有可能選擇性和有條件的規(guī)定。2. 訪問控制策略的前提是除非得到明白的許可，否則必須禁止此類行為。3. 最小特權(quán)管理。4. 實體權(quán)限的時效性。要對權(quán)限及時修改；權(quán)限設(shè)置最短的時限，過時就失效5. 訪問控制的可靠性。6. 存取權(quán)分離。7. 最少共享存取。8. 設(shè)計的安全性。9.1.2 訪問控制角色的分配 所有對信息系統(tǒng)和應(yīng)用程序的訪問必須按照安全文檔中的角色規(guī)定詳細規(guī)劃。主要參考點：1. 每種角色的訪問權(quán)限必須有詳細定義。2. 訪問權(quán)限必須跟工作需要結(jié)合，而不是結(jié)合個人的身份等因素。

51、3. 角色的建立必須根據(jù)每種工作的需要認真審核。4. 每種角色必須根據(jù)角色的訪問權(quán)限定義訪問的文件類型和范圍。5. 應(yīng)根據(jù)時間和登錄的機器指定用戶的訪問權(quán)限。9.1.3 訪問控制角色的審核 所有重要系統(tǒng)的事件必須進行記錄并至少每周進行審核，以保證系統(tǒng)不被非授權(quán)地訪問。主要參考點：1. 所有的登錄請求必須被記錄，包括其用戶名和進行登錄的工作站。2. 所有的退出和其他方式的終止必須被記錄。3. 所有非授權(quán)的請求登錄使用系統(tǒng)資源的行為必須被記錄，包括其用戶名及試圖登錄的終端名或工作站。4. 所有的審核工作記錄必須包含其日期和時間。5. 所有的系統(tǒng)軟件及關(guān)鍵配置文件的修改必須經(jīng)過審核，除非是不進行訪問

52、控制的系統(tǒng)。6. 安全配置如訪問控制或其他權(quán)限等的修改必須被記錄。7. 安全管理員的增加、修改、刪除等行為應(yīng)進行審核。8. 在進行多進程處理時，如果兩地時區(qū)不同，則應(yīng)將當(dāng)?shù)貢r間和本地時間同時寫入日志。9. 所有審核記錄至少要保留三個月以上。10. 審核工作的記錄必須能夠獨立地進行檢查。9.2 用戶的訪問控制9.2.1 用戶的身份認證和授權(quán)機制所有用戶得到訪問系統(tǒng)或其他資源前必須經(jīng)過授權(quán)使用和身份驗證的過程。建立一個證實的用戶登記和解除登記的授權(quán)程序，對用訪問信息系統(tǒng)和服務(wù)的權(quán)限進行控制。主要參考點：1. 使用唯一的用戶標(biāo)識符(ID)。如果使用用戶組用戶標(biāo)識符（即一組用戶共用一個用戶標(biāo)識符）應(yīng)僅

53、準(zhǔn)許用于適合他們執(zhí)行的工作。2. 用戶名和密碼必須單獨指定。3. 用戶名和密碼絕對不能被公開，所有系統(tǒng)的高級權(quán)限應(yīng)個別指定，但是同時也應(yīng)當(dāng)存在公用帳號，對這些帳號要進行嚴(yán)格的控制和審核，并限定其權(quán)限。4. 臨時職員和暫時借調(diào)到某部門的職員不得使用別人的現(xiàn)有帳號，而應(yīng)由安全管理員為其開設(shè)臨時帳號，當(dāng)這些職員離開時，安全管理員應(yīng)及時撤消這些臨時帳號。5. 對授權(quán)訪問的級別是否合適公司生產(chǎn)運作的目的及是否與組織安全方針相一致進行審查。6. 給各用戶一份他們的訪問權(quán)限的書面說明。7. 要求用戶在訪問權(quán)限書面說明處簽名，以表明他們了解訪問條件。8. 如果員工和服務(wù)代理人進行非授權(quán)訪問，應(yīng)按組織的懲罰規(guī)定

54、對其進行懲罰。9.2.2 密碼規(guī)范及管理所有用戶對系統(tǒng)資源的訪問必須經(jīng)過授權(quán)和認證，應(yīng)與各個系統(tǒng)的安全強度一致。組織應(yīng)建立一個正規(guī)的口令分配管理過程，確?？诹钤诜峙溥^程中的保密性。主要參考點：1. 要求用戶保守口令的秘密。2. 當(dāng)用戶被授權(quán)訪問系統(tǒng)和服務(wù)時，確保他們在開始時得到一個安全臨時口令，然后要求他們立即更換，口令輸入時不得顯示在屏幕上。更改口令時應(yīng)輸入兩次以確認更改的口令。僅當(dāng)用戶忘記他們的口令時，在對用戶進行正確的識別后才向其提供臨時口令。3. 要求以安全方式給用戶提供臨時口令。必須避免被第三方使用或使用無保護的口令發(fā)布機制。用戶需要確認所接收的口令。4. 絕對不允許將口令以無保護的形式存儲在計算機系統(tǒng)內(nèi)。5. 口令不得少于六位字符，并且是數(shù)字和英文混合。6. 用戶必須強制性地至少每三十天更換一次口令，當(dāng)懷疑口令泄露時，也應(yīng)當(dāng)進行修改。7. 系統(tǒng)應(yīng)能夠預(yù)防用戶使用易于猜測的字符串作為密碼，如用戶名、姓名、生日等簡單信息。9.2.3安全管理員的控制安全管理員的行為必須遵循安全管理的標(biāo)準(zhǔn)模式或相關(guān)的已經(jīng)證實有效的處理過程。主要參考點：1. 所有安全管理員的工作必須遵循一整套固定的流程。這套流程的正常定義應(yīng)有輸入、輸出和處理三個部分。2. 系統(tǒng)和應(yīng)用程序