信息安全管理方針手冊(cè)

卷號(hào)卷內(nèi)編號(hào)密級(jí)內(nèi)部公開XXXX集團(tuán)CREATEDATE\@"yyyy"信息安全管理方針手冊(cè)version：1.0編制人：日期:審核人:日期：同意人：日期：受控狀態(tài)：目錄TOC\o"1-2"\h\z\u一、編制闡明 61．前言 62．目的 63．合用范疇 64．引用文獻(xiàn) 65．手冊(cè)控制 7二、信息安全術(shù)語(yǔ) 81．前言 82．信息安全術(shù)語(yǔ) 8三、信息安全方針聲明 10四、管理組織與職責(zé) 111. 總則 112. 信息安全職責(zé) 11五、信息安全管理體系 171．信息安全管理體系范疇 172．信息安全管理體系模型 173．信息安全管理體系文獻(xiàn)規(guī)定 18六、管理職責(zé) 201．總則 202．管理承諾 203．資源管理 204.培訓(xùn)、意識(shí)與能力 21七、信息安全管理體系評(píng)價(jià)與改善 221．總則 222．信息安全活動(dòng)及過程監(jiān)視與檢查 223．信息安全管理體系審核 224.技術(shù)符合性審核 225.管理評(píng)審 226.數(shù)據(jù)分析 237.糾正和防止方法 23八、信息安全基本方針 241．總則 242．信息安全管理基本方針描述 24九、風(fēng)險(xiǎn)評(píng)定管理 251．前言 252．風(fēng)險(xiǎn)評(píng)定辦法與準(zhǔn)則 253．風(fēng)險(xiǎn)評(píng)定 254．風(fēng)險(xiǎn)管理 255、風(fēng)險(xiǎn)處置 26十、信息安全組織 271．信息安全管理架構(gòu) 272．組織間合作 273．專家建議 274．信息解決設(shè)施授權(quán) 275、第三方訪問安全 27十一、資產(chǎn)管理 291．總則 292．資產(chǎn)職責(zé) 293．信息分級(jí) 29十二、人員安全 301．前言 302.雇傭前 303.雇傭中 304.雇傭終止或轉(zhuǎn)崗 305.培訓(xùn) 31十三、物理與環(huán)境安全 321．總則 322．安全區(qū)域 323．設(shè)備安全 324．存儲(chǔ)介質(zhì) 335．基本控制方法 33十四、通訊與運(yùn)行安全 341．總則 342．程序和職責(zé) 343．系統(tǒng)規(guī)劃和接受 344．避免惡意軟件、代碼 355．備份 356．網(wǎng)絡(luò)管理 357．媒介解決和安全 368．信息和軟件交換 36十五、訪問控制 371．總則 372．顧客訪問管理 373．網(wǎng)絡(luò)安全方針 374．可移動(dòng)計(jì)算機(jī)工作及遠(yuǎn)程工作方針 38十六、系統(tǒng)開發(fā)及維護(hù) 401．總則 402．系統(tǒng)安全規(guī)定建立 403．系統(tǒng)文獻(xiàn)安全 404．開發(fā)與支持過程的安全 405．技術(shù)脆弱性管理 40十七、信息安全事件管理 421．總則 422．報(bào)告安全事件及單薄環(huán)節(jié) 423．信息安全事件解決和改善 42十八、業(yè)務(wù)持續(xù)性管理 431．總則 432．業(yè)務(wù)持續(xù)性管理總體方略 43十九、符合性管理 441．總則 442．符合性管理 44附錄一、信息安全組織架構(gòu) 45修訂文檔歷史統(tǒng)計(jì)日期版本闡明作者2008-4-181.0創(chuàng)立XXX一、編制闡明1．前言XXXX（集團(tuán)）有限公司（下列簡(jiǎn)稱XXXX）是以軟件技術(shù)和服務(wù)為核心，從事XX業(yè)務(wù)服務(wù)、系統(tǒng)集成、數(shù)據(jù)解決等多個(gè)信息技術(shù)業(yè)務(wù)領(lǐng)域的股份公司。隨著公司XX業(yè)務(wù)服務(wù)業(yè)務(wù)的不停發(fā)展，客戶對(duì)信息安全的規(guī)定也日趨嚴(yán)格與系統(tǒng)化，而隨著信息技術(shù)革命和經(jīng)濟(jì)全球化的發(fā)展，公司間的競(jìng)爭(zhēng)已經(jīng)轉(zhuǎn)為技術(shù)和信息的競(jìng)爭(zhēng)。隨著公司業(yè)務(wù)的快速增加、IT規(guī)模的不停擴(kuò)大以及客戶規(guī)定的不停提高，公司業(yè)務(wù)與否能高效的運(yùn)作、核心客戶群的維持已經(jīng)越來越依賴于我們與否有穩(wěn)定、安全的信息系統(tǒng)，以保護(hù)公司和客戶的知識(shí)資產(chǎn)。鑒于信息安全在公司運(yùn)行管理中越來越重要的地位，公司高層領(lǐng)導(dǎo)不停規(guī)定要高度重視信息安全管理和控制工作，加大信息安全投資和人力資源配備。為此，公司成立了信息安全管理委員會(huì)以及信息安全管理工作小組，負(fù)責(zé)在公司全范疇建立有效的信息安全管理體系，以確保信息安全機(jī)制有效運(yùn)行。《信息安全管理方針手冊(cè)》作為公司信息安全方面的最高層文獻(xiàn)，是公司各項(xiàng)信息安全工作開展的根據(jù)，各部門應(yīng)當(dāng)嚴(yán)格遵照?qǐng)?zhí)行，并可根據(jù)本文獻(xiàn)規(guī)定制訂或修訂本部門的有關(guān)管理規(guī)定。2．目的本方針手冊(cè)明確公司在信息安全工作方面的總體規(guī)定，指導(dǎo)各項(xiàng)信息安全工作的開展，涉及：為建立信息及信息解決設(shè)施管理程序、作業(yè)規(guī)程提供指南；為解決各類信息安全事件提供指南，以防止及減少安全事件所造成的損失；教育公司員工，讓其理解公司信息資產(chǎn)的保密性、完整性和可用性及其有關(guān)的保護(hù)辦法。3．合用范疇本合用性聲明書合用于XX集團(tuán)及其全部公司。4．引用文獻(xiàn)4.1ISO27001：信息技術(shù)–安全技術(shù)-信息安全管理體系–規(guī)范4.2ISO17799：信息技術(shù)–安全技術(shù)–信息安全管理體系實(shí)施細(xì)則5．手冊(cè)控制5.1手冊(cè)編制與同意5.1.1信息安全方針手冊(cè)由集團(tuán)信息中心負(fù)責(zé)信息安全管理人員編制。5.1.2信息安全管理委員會(huì)組員負(fù)責(zé)對(duì)信息安全方針手冊(cè)的內(nèi)容進(jìn)行審查，最后由信息安全管理委員會(huì)主任同意。5.2發(fā)行版本5.2.1信息安全方針手冊(cè)的版本狀態(tài)分別在封面和每一頁(yè)中給出，按阿拉伯?dāng)?shù)字1.0、1.2、2.0……次序依次遞增。5.2.2信息安全方針手冊(cè)每章節(jié)的修訂狀況通過“本節(jié)修訂”標(biāo)記，在手冊(cè)內(nèi)容的每一頁(yè)上標(biāo)記其所在章節(jié)的“本節(jié)修訂”。當(dāng)修改某章節(jié)時(shí)，更新一次該章節(jié)的“本節(jié)修訂”，“本節(jié)修訂”按阿拉伯?dāng)?shù)字次序遞增。5.2.3信息安全方針手冊(cè)發(fā)充滿三年或全部章節(jié)均已發(fā)生修改時(shí)，將重新公布手冊(cè)，并更改手冊(cè)的版本編號(hào)。5.3發(fā)放控制5.3.1發(fā)出的信息安全方針手冊(cè)分為“受控”和“非受控”兩種。5.3.2受控信息安全方針手冊(cè)由信息中心按公司《信息安全體系文獻(xiàn)控制程序》的規(guī)定進(jìn)行發(fā)放控制。5.3.3非受控信息安全方針手冊(cè)經(jīng)信息安全管理者代表同意后，由行政部門統(tǒng)一發(fā)放，手冊(cè)修改時(shí)，將不再對(duì)其進(jìn)行跟蹤控制。5.3.4信息安全方針手冊(cè)的有效正本由信息安全辦公室委托行政辦公室負(fù)責(zé)保管。5.4手冊(cè)修改5.4.1當(dāng)信息安全方針手冊(cè)需要修改時(shí)，必須經(jīng)信息安全管理委員會(huì)審查，并由信息管理委員會(huì)主任同意。5.4.2每次手冊(cè)的修改都必須在“信息安全手冊(cè)修改統(tǒng)計(jì)”列明該次修改因素或內(nèi)容摘要、日期及標(biāo)志。5.5定時(shí)審核5.5.1公司通過定時(shí)的管理評(píng)審和內(nèi)部信息安全審核，對(duì)信息安全方針進(jìn)行審核，確保信息安全方針的充足性和完整性。二、信息安全術(shù)語(yǔ)1．前言本章節(jié)對(duì)與信息安全管理體系有關(guān)的術(shù)語(yǔ)進(jìn)行定義，以避免在使用過程中由于定義混淆造成對(duì)管理規(guī)定的誤解。2．信息安全術(shù)語(yǔ)2.1信息(Information):信息是一種含有價(jià)值、需要進(jìn)行恰當(dāng)保護(hù)的資產(chǎn)，信息以多個(gè)方式呈現(xiàn)，如以印刷品、手寫稿或電子方式等保存，以郵件、電子郵件、投影方式等進(jìn)行傳遞。2.2敏感信息(SensitiveInformation):需要某種等級(jí)保護(hù)的信息，由于故意或無意的泄密、修改或破壞，可能對(duì)公司業(yè)務(wù)運(yùn)作造成很大損失或危害2.3計(jì)算機(jī)信息系統(tǒng)(ComputerInformationSystem):是指由計(jì)算機(jī)及其有關(guān)和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目的和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等解決的人機(jī)系統(tǒng)2.4信息安全(InformationSecurity):為確保信息的完整性、可用性和保密性所需的全方面管理、規(guī)程和控制。信息安全涉及因此下三個(gè)基本要素：1）保密性–使信息不泄露給非授權(quán)的個(gè)人、實(shí)體或過程,不為其所用。2）完整性–確保信息及其信息系統(tǒng)免遭破壞及篡改，即系統(tǒng)中的信息與原文檔相似，信息解決設(shè)施能正常運(yùn)作。3）可用性-被授權(quán)實(shí)體所需的資源可被訪問與使用，即攻擊者不能占用有關(guān)資源而妨礙授權(quán)者的工作。2.5回絕服務(wù)（DenialofService）:妨礙信息訪問或延遲操作時(shí)間。2.6威脅（Threat）:造成發(fā)生某一非盼望事件的可能性，這類事件的發(fā)生可能對(duì)某一信息、信息系統(tǒng)及組織造成損害。威脅來源有三類：來自自然的威脅、人為的威脅以及意外事件產(chǎn)生的威脅。2.7脆弱性（vulnerability）:某一項(xiàng)或一組資產(chǎn)的弱點(diǎn)、單薄性，并容易被威脅運(yùn)用。脆弱性本身不會(huì)引發(fā)損害，只是一種條件或一組條件，在條件下，被威脅運(yùn)用后對(duì)組織資產(chǎn)造成損害。2.8風(fēng)險(xiǎn)（risk）:威脅運(yùn)用脆弱性造成某一信息資產(chǎn)或某一組信息資產(chǎn)丟失或損壞的可能性，這樣的風(fēng)險(xiǎn)可能涉及整個(gè)組織。2.9風(fēng)險(xiǎn)評(píng)定（riskassessment）：識(shí)別信息及信息系統(tǒng)威脅與脆弱性發(fā)生的可能性，分析對(duì)資產(chǎn)造成的影響，以決定風(fēng)險(xiǎn)程度的過程，是風(fēng)險(xiǎn)管理的一部分。2.10風(fēng)險(xiǎn)管理（riskmanagement）:根據(jù)風(fēng)險(xiǎn)評(píng)定成果，對(duì)組織不可接受的風(fēng)險(xiǎn)，以合理的成本、采用合理的安全控制方法將風(fēng)險(xiǎn)控制在能夠接受的水平內(nèi)，達(dá)成控制方法與風(fēng)險(xiǎn)的平衡。三、信息安全方針聲明XXXX（集團(tuán)）有限公司，作為以軟件技術(shù)與服務(wù)為核心的信息技術(shù)公司，已充足意識(shí)到到信息安全對(duì)公司發(fā)展及顧客信心的影響，公司管理層決定針對(duì)與公司業(yè)務(wù)運(yùn)作、顧客和法規(guī)規(guī)定有關(guān)的重要資產(chǎn)建立信息安全管理體系，以向公司顧客、股東、合作伙伴及社會(huì)提供充足的信息安全信心。為此，我們對(duì)公司的信息安全管理作出下列聲明：系統(tǒng)策劃，全方面控制-系統(tǒng)地識(shí)別并評(píng)定公司信息資產(chǎn)所面臨的風(fēng)險(xiǎn)，并擬定風(fēng)險(xiǎn)可接受的程序，針對(duì)風(fēng)險(xiǎn)選擇并實(shí)施對(duì)應(yīng)的控制方法，通過風(fēng)險(xiǎn)管理，減少發(fā)生安全事件的可能性。信息安全，人人有責(zé)-確保公司信息安全，是每個(gè)員工的義務(wù)和職責(zé)，只有每個(gè)員工自覺恪守并執(zhí)行信息安全管理方針、程序、規(guī)程以及各類法規(guī)規(guī)定，才干確保公司信息安全總體目的的實(shí)現(xiàn)。災(zāi)難防止，永續(xù)經(jīng)營(yíng)–為確保公司業(yè)務(wù)持續(xù)經(jīng)營(yíng)，在各個(gè)層面建立業(yè)務(wù)持續(xù)性計(jì)劃，確保在面臨各類可能發(fā)生的災(zāi)難時(shí)，公司業(yè)務(wù)能夠快速恢復(fù)。檢查測(cè)量，持續(xù)改善–持續(xù)監(jiān)視和測(cè)量信息安全管理體系，從安全事件中吸取教訓(xùn)，并不停吸取業(yè)界優(yōu)秀原則，不停改善公司信息安全管理體系績(jī)效。四、管理組織與職責(zé)總則1.1公司建立網(wǎng)絡(luò)化的信息安全架構(gòu)，該架構(gòu)涉及：1）建立由各業(yè)務(wù)部門管理者構(gòu)成的信息安全管理委員會(huì)，確保對(duì)信息安全有明確的方法并得到管理層的支持。2）由信息中心專職負(fù)責(zé)信息安全的IT管理，確保公司日常信息安全事務(wù)由專門的部門負(fù)責(zé)管理。3）建立由各業(yè)務(wù)部門人員構(gòu)成的信息安全工作組，確保各部門內(nèi)部的日常信息安全事務(wù)由有關(guān)的信息安全管理組長(zhǎng)或信息安全管理員負(fù)責(zé)解決。4）對(duì)各個(gè)業(yè)務(wù)管理部門在日常工作中需要負(fù)責(zé)的信息安全管理活動(dòng)進(jìn)行明確規(guī)定，確保公司各級(jí)人員理解各自崗位的信息安全職責(zé)。信息安全職責(zé)2.1信息安全管理委員會(huì)2.1.1公司信息安全管理委員會(huì)由公司總經(jīng)理、各業(yè)務(wù)部門分管副總構(gòu)成。信息安全管理委員會(huì)重要職責(zé)涉及：建立并同意信息安全方針提出信息安全規(guī)定和同意信息安全戰(zhàn)略規(guī)劃明確并同意信息安全管理有關(guān)職責(zé)就整個(gè)XXXX集團(tuán)的信息安全活動(dòng)達(dá)成一致并提供支持在整個(gè)組織中增加對(duì)信息安全工作的支持力度對(duì)緊急重大安全事故進(jìn)行響應(yīng)決策2.1.2信息安全管理委員會(huì)主任由公司總經(jīng)理兼任，其重要職責(zé)參見2.5。2.2信息安全協(xié)調(diào)組2.2.1公司信息安全協(xié)調(diào)組由各部門第一負(fù)責(zé)人兼任，重要職責(zé)涉及：參加信息安全風(fēng)險(xiǎn)評(píng)定，研討并審查風(fēng)險(xiǎn)處置計(jì)劃參加定時(shí)的信息安全管理協(xié)調(diào)會(huì)，并提出改善建議參加信息安全體系文獻(xiàn)編寫，并審查信息安全管理體系文獻(xiàn)參加擬訂公司信息安全管理目的與指標(biāo)參加重大安全事件解決參加公司信息安全管理評(píng)審2.3信息安全工作小組2.3.1信息安全工作小組重要由各部門兼職的信息安全員構(gòu)成，重要職責(zé)涉及：負(fù)責(zé)本部門信息資產(chǎn)清點(diǎn)及資產(chǎn)清單維護(hù)負(fù)責(zé)對(duì)本部門信息安全風(fēng)險(xiǎn)進(jìn)行評(píng)定，并提出初步的處置計(jì)劃負(fù)責(zé)參加信息安全管理體系文獻(xiàn)編寫與修訂負(fù)責(zé)本部門信息安全管理目的與指標(biāo)的執(zhí)行與評(píng)價(jià)在信息安全經(jīng)理的組織下，對(duì)各部門日常的信息安全管理狀況進(jìn)行抽查負(fù)責(zé)對(duì)部門信息安全管理過程中的問題提出并執(zhí)行糾正與防止方法負(fù)責(zé)配合行政部完畢本部門資產(chǎn)的管理工作：申購(gòu)、領(lǐng)用、發(fā)放、報(bào)修、借用、報(bào)廢、賬目登記等部門資產(chǎn)使用狀況發(fā)生變化及時(shí)報(bào)集團(tuán)資產(chǎn)管理員，確保部門資產(chǎn)現(xiàn)狀與行政部賬目相符2.4信息安全審計(jì)小組2.4.1信息安全審計(jì)小組重要由公司項(xiàng)目推動(dòng)部核心員工構(gòu)成，重要職責(zé)涉及：負(fù)責(zé)制訂信息安全審計(jì)計(jì)劃負(fù)責(zé)向全公司宣傳信息安全管理的重要性，以提高全體員工信息安全意識(shí)負(fù)責(zé)定時(shí)執(zhí)行公司信息安全檢查活動(dòng)負(fù)責(zé)編寫糾正與防止方法報(bào)告，跟蹤不符合性問題的整治負(fù)責(zé)向信息安全管理委員會(huì)組員報(bào)告公司信息安全現(xiàn)狀負(fù)責(zé)組織對(duì)信息安全目的與指標(biāo)有關(guān)數(shù)據(jù)的收集負(fù)責(zé)收集并對(duì)信息安全體系文獻(xiàn)提出改善意見，增進(jìn)過程改善2.5信息安全管理委員會(huì)主任2.5.1公司信息安全管理委員會(huì)主任由公司總經(jīng)理兼任，重要職責(zé)涉及：同意XXXX集團(tuán)信息安全管理有關(guān)職責(zé)。在整個(gè)XXXX集團(tuán)增加對(duì)信息安全工作的支持力度。審查同意XXXX集團(tuán)風(fēng)險(xiǎn)評(píng)定辦法、風(fēng)險(xiǎn)評(píng)定成果及風(fēng)險(xiǎn)處置計(jì)劃。審查XXXX集團(tuán)應(yīng)急預(yù)案。進(jìn)行定時(shí)的信息安全管理體系評(píng)審，審查信息安全管理體系管理評(píng)審輸出報(bào)告。負(fù)責(zé)XXXX集團(tuán)重大安全事件解決。同意信息安全管理體系內(nèi)部審核報(bào)告。同意殘存風(fēng)險(xiǎn)確實(shí)認(rèn)。同意就信息安全問題采用的糾正和防止方法報(bào)告。同意XXXX集團(tuán)網(wǎng)絡(luò)維護(hù)人員、應(yīng)用系統(tǒng)特權(quán)訪問權(quán)限。2.6信息安全經(jīng)理2.6.1公司信息安全經(jīng)理重要由信息中心主任兼職，重要職責(zé)涉及：負(fù)責(zé)組織制訂并審核信息安全方針手冊(cè)負(fù)責(zé)組織制訂并審核信息安全管理程序、規(guī)范文獻(xiàn)負(fù)責(zé)向全公司宣傳信息安全管理的重要性，以提高全體員工信息安全意識(shí)負(fù)責(zé)組織擬訂并審查公司信息安全管理目的及指標(biāo)負(fù)責(zé)組織定時(shí)的信息安全管理協(xié)調(diào)會(huì)議，并報(bào)告信息安全管理現(xiàn)狀負(fù)責(zé)組織信息安全風(fēng)險(xiǎn)評(píng)定，審核風(fēng)險(xiǎn)評(píng)定報(bào)告及風(fēng)險(xiǎn)處置計(jì)劃，并提交信息安全管理委員會(huì)審批。負(fù)責(zé)組織信息安全管理體系審核，并同意信息安全審核計(jì)劃及報(bào)告負(fù)責(zé)組織對(duì)信息安全目的與指標(biāo)的測(cè)量評(píng)價(jià)負(fù)責(zé)同意糾正與防止方法報(bào)告，并組織對(duì)信息安全管理有效性分析與評(píng)價(jià)負(fù)責(zé)組織日常的信息安全監(jiān)督檢查活動(dòng)負(fù)責(zé)同意啟用各類信息解決設(shè)備及軟件。負(fù)責(zé)同意IT特權(quán)訪問權(quán)限。負(fù)責(zé)對(duì)重大安全事件提出解決建議。負(fù)責(zé)組織定時(shí)管理評(píng)審，向信息安全管理委員會(huì)報(bào)告信息管理體系狀況。負(fù)責(zé)組織制訂公司業(yè)務(wù)持續(xù)性計(jì)劃，并提交信息安全管理委員會(huì)審批。就信息安全事務(wù)與外部機(jī)構(gòu)聯(lián)系2.7信息中心2.7.1公司IT管理中心設(shè)在信息中心，信息中心在信息安全管理方面的重要職責(zé)涉及：負(fù)責(zé)公司總體的IT系統(tǒng)規(guī)劃負(fù)責(zé)公司內(nèi)部網(wǎng)絡(luò)系統(tǒng)管理負(fù)責(zé)公司互聯(lián)網(wǎng)服務(wù)提供及管理負(fù)責(zé)公司統(tǒng)一的顧客訪問管理負(fù)責(zé)公司信息解決設(shè)施管理負(fù)責(zé)公司電話通信系統(tǒng)管理負(fù)責(zé)對(duì)開發(fā)部門人員的門禁系統(tǒng)權(quán)限進(jìn)行授權(quán)操作負(fù)責(zé)對(duì)全公司計(jì)算機(jī)進(jìn)行病毒防護(hù)負(fù)責(zé)根據(jù)顧客訪問權(quán)限審批成果，對(duì)員工進(jìn)行網(wǎng)絡(luò)訪問授權(quán)解決負(fù)責(zé)組織公司各部門進(jìn)行全方面的信息安全評(píng)定負(fù)責(zé)組織公司各部門建立信息安全管理程序及有關(guān)作業(yè)規(guī)程負(fù)責(zé)組織公司各部門收集與信息安全管理有關(guān)法律和法規(guī)，并匯總與公司業(yè)務(wù)有關(guān)的信息安全法律與法規(guī)規(guī)定負(fù)責(zé)信息安全管理體系有關(guān)統(tǒng)計(jì)的保管負(fù)責(zé)在全公司范疇推動(dòng)信息安全管理體系負(fù)責(zé)組織全公司對(duì)信息安全管理體系進(jìn)行定時(shí)審核負(fù)責(zé)對(duì)電信運(yùn)行商、軟件提供商、網(wǎng)絡(luò)服務(wù)提供商進(jìn)行選擇、溝通及必要的管理控制負(fù)責(zé)解決公司重大的信息安全事件2.8行政部2.8.1行政部在信息安全方面的重要職責(zé)涉及：a)負(fù)責(zé)本部門信息資產(chǎn)清點(diǎn)b)負(fù)責(zé)在信息中心組織下，參加風(fēng)險(xiǎn)評(píng)定c)負(fù)責(zé)在信息安全委員會(huì)主任領(lǐng)導(dǎo)下，對(duì)公司總體的物理安全進(jìn)行統(tǒng)一規(guī)劃d)負(fù)責(zé)公司內(nèi)部日常保安服務(wù)提供e)負(fù)責(zé)公司供電系統(tǒng)、消防系統(tǒng)、空調(diào)系統(tǒng)、照明系統(tǒng)日常及定時(shí)維護(hù)管理f)負(fù)責(zé)公司清潔服務(wù)提供g)負(fù)責(zé)對(duì)公司電梯及其它設(shè)備維護(hù)的供應(yīng)商進(jìn)行選擇及控制管理。h)負(fù)責(zé)公司軟件資產(chǎn)管理i)負(fù)責(zé)公司重要檔案的歸類整頓2.9人事部門2.9.1人事部門在信息安全管理方面的職責(zé)涉及：a)負(fù)責(zé)本部門信息資產(chǎn)清點(diǎn)b)負(fù)責(zé)在信息中心組織下，參加風(fēng)險(xiǎn)評(píng)定c)負(fù)責(zé)擬定公司在信息安全方面的核心崗位d)負(fù)責(zé)在員工招聘過程中，對(duì)信息安全核心崗位的員工進(jìn)行必要的篩選e)負(fù)責(zé)向全體員工提供信息安全管理意識(shí)培訓(xùn)f)負(fù)責(zé)建立并實(shí)施公司績(jī)效管理系統(tǒng)，在績(jī)效管理系統(tǒng)中融合信息安全管理績(jī)效評(píng)定。2.10項(xiàng)目推動(dòng)部2.10.1項(xiàng)目推動(dòng)部在信息安全管理方面的重要職責(zé)涉及：a)負(fù)責(zé)本部門信息資產(chǎn)清點(diǎn)b)負(fù)責(zé)在信息中心組織下，參加風(fēng)險(xiǎn)評(píng)定c)負(fù)責(zé)參加信息安全管理體系建立d)負(fù)責(zé)與信息中心共同將信息安全管理體系規(guī)定融合進(jìn)入公司現(xiàn)在的綜合管理體系e)對(duì)綜合管理體系文獻(xiàn)進(jìn)行控制f)對(duì)公司重要開發(fā)和項(xiàng)目檔案進(jìn)行歸檔管理。2.11財(cái)務(wù)部2.11.1財(cái)務(wù)部在信息安全管理方面的職責(zé)涉及：a)負(fù)責(zé)本部門信息資產(chǎn)清點(diǎn)b)負(fù)責(zé)在信息中心組織下，參加風(fēng)險(xiǎn)評(píng)定c)負(fù)責(zé)按照信息資產(chǎn)分類及解決規(guī)定，對(duì)財(cái)務(wù)部有關(guān)的信息進(jìn)行分類，并按照保密級(jí)別規(guī)定，對(duì)財(cái)務(wù)部敏感信息進(jìn)行保管及解決。2.12核心業(yè)務(wù)部門2.12a)對(duì)本部門產(chǎn)生、保管及使用的各類信息資產(chǎn)負(fù)最后責(zé)任。b)負(fù)責(zé)本部門資產(chǎn)清點(diǎn)及資產(chǎn)清單定時(shí)更新。c)負(fù)責(zé)參加與核心業(yè)務(wù)有關(guān)的風(fēng)險(xiǎn)評(píng)定e)負(fù)責(zé)參加信息安全管理方略、流程程序及規(guī)范的制訂f)負(fù)責(zé)定時(shí)對(duì)本部門信息安全狀況進(jìn)行定時(shí)檢查h)負(fù)責(zé)對(duì)本部門的員工進(jìn)行信息安全技能培訓(xùn)i)負(fù)責(zé)解決本部門普通安全事件j)負(fù)責(zé)向業(yè)務(wù)范疇內(nèi)信息安全辦公室報(bào)告重大安全事件k)負(fù)責(zé)對(duì)本部門信息解決設(shè)施管理l)負(fù)責(zé)登記并管理本部門使用的各類媒介五、信息安全管理體系1．信息安全管理體系范疇1.1XXXX信息安全管理體系合用范疇涉及：業(yè)務(wù)范疇：XX業(yè)務(wù)項(xiàng)目及業(yè)務(wù)流程服務(wù)外包項(xiàng)目的信息安全管理體系有關(guān)部門：集團(tuán)管理層、信息安全委員會(huì)、人事行政部、財(cái)務(wù)部、信息中心、項(xiàng)目推動(dòng)部、華日子公司、恒領(lǐng)子公司等。2．信息安全管理體系模型2.1XXXX信息安全管理體系的建立、應(yīng)用和維護(hù)遵照ISO27001:推薦的PDCA的過程模型，即通過策劃(Plan)、執(zhí)行(Do)、控制(Control)和改善(Act)來建立和不停改善公司的信息安全管理體系。策劃的目的是建立公司的信息管理體系；執(zhí)行的目的是將信息安全管理體系加以貫徹；控制的目的是確保執(zhí)行的有效性；改善的目的是不停地完善信息安全管理體系。下圖為公司信息安全管理體系過程模型示意圖：信息安全管理體系過程信息安全管理工作成果策劃信息安全的需求和盼望信息安全管理工作成果策劃信息安全的需求和盼望改善執(zhí)行改善執(zhí)行控制控制2.2XXXX信息安全管理體系的建立基于業(yè)務(wù)信息安全的需求和目的，并通過風(fēng)險(xiǎn)評(píng)定與管理，確保公司信息安全處在可控的狀態(tài)。公司信息安全管理體系PDCA過程模型各個(gè)階段的核心任務(wù)以下：1）策劃-公司將信息安全體系建設(shè)工作作為每年年度規(guī)劃項(xiàng)目之一，由信息安全管理委員會(huì)、信息安全工作小組具體負(fù)責(zé)對(duì)公司信息安全風(fēng)險(xiǎn)狀況進(jìn)行評(píng)定，并根據(jù)評(píng)定的成果擬定公司信息安全體系建設(shè)與改善的范疇、信息安全目的和方略，其中涉及風(fēng)險(xiǎn)控制的目的。2）執(zhí)行–信息安全工作小組根據(jù)公司信息安全策劃階段的風(fēng)險(xiǎn)評(píng)定成果和其它有關(guān)輸出，制訂風(fēng)險(xiǎn)管理計(jì)劃并控制風(fēng)險(xiǎn)管理計(jì)劃的有效執(zhí)行。3）控制–信息安全工作小組對(duì)公司信息管理體系的績(jī)效、安全事件發(fā)生狀況和殘存風(fēng)險(xiǎn)狀態(tài)進(jìn)行周期性地、系統(tǒng)化評(píng)定并向信息安全管理委員會(huì)和其它有關(guān)部門報(bào)告評(píng)定成果；信息安全工作小組定時(shí)在公司范疇內(nèi)對(duì)信息安全管理體系的符合性進(jìn)行審核并向信息安全委員會(huì)和其它有關(guān)部門報(bào)告審核成果；信息安全管理委員會(huì)定時(shí)和對(duì)公司信息安全管理體系建立和執(zhí)行狀況進(jìn)行評(píng)審。4）改善–信息安全工作小組負(fù)責(zé)解決對(duì)全部評(píng)定、審核或管理評(píng)審識(shí)別的問題，并從防止這些問題再次發(fā)生的角度，改善信息安全管理體系。3．信息安全管理體系文獻(xiàn)規(guī)定3.1信息安全管理體系文獻(xiàn)構(gòu)造3.1.1公司信息安全管理體系文獻(xiàn)將與公司現(xiàn)有的ISO9000質(zhì)量管理體系文獻(xiàn)、CMM管理體系文獻(xiàn)進(jìn)行整合，整合后的信息安全管理體系文獻(xiàn)構(gòu)造以下：3.1.2公司信息安全體系文獻(xiàn)從構(gòu)造上分為下列三層：1）第一層是信息安全方針文獻(xiàn)，涉及信息安全方略大綱以及信息安全管理目的。信息安全管理方針與目的是信息安全管理的綱要以及信息安全管理體系效能的最后體現(xiàn)成果，全部下層文獻(xiàn)都以此為基礎(chǔ)進(jìn)行展開和細(xì)化。2）第二層是信息安全管理體系的核心文獻(xiàn)，即風(fēng)險(xiǎn)管理計(jì)劃。風(fēng)險(xiǎn)管理計(jì)劃是風(fēng)險(xiǎn)評(píng)定的輸出文獻(xiàn)，通過風(fēng)險(xiǎn)管理計(jì)劃的執(zhí)行，最后實(shí)現(xiàn)信息安全管理方針與目的。風(fēng)險(xiǎn)管理計(jì)劃為公司建立信息安全管理體系所需要的程序、指導(dǎo)及規(guī)范提供了明確的指導(dǎo)。3）第三層是是信息安全管理程序及規(guī)范，它們是信息安全方針實(shí)施的具體化，也是風(fēng)險(xiǎn)管理計(jì)劃中控制方法的一部分。信息安全管理程序是管理性規(guī)定，普通合用于全公司各部門的信息安全管理，為確保信息安全管理體系的特點(diǎn)，并考慮與其它管理體系規(guī)定已有管理程序（例如ISO9000質(zhì)量管理程序、CMM管理程序）進(jìn)行整合，信息安全管理程序涉及信息安全管理體系獨(dú)有的管理程序以及與其它管理體系整合的管理程序。信息安全管理規(guī)范是技術(shù)性規(guī)定，重要涉及信息安全控制方法所涉及到的信息安全技術(shù)規(guī)范。4）第四層是是信息安全工作程序、作業(yè)指導(dǎo)及表單模版。信息安全工作程序是信息安全管理程序的支持性文獻(xiàn)，能夠是針對(duì)各部門內(nèi)部特殊的信息安全管理活動(dòng)而建立，也能夠是支持信息安全管理程序的具體工作程序。作業(yè)指導(dǎo)重要針對(duì)各類信息及信息解決設(shè)施的操作和運(yùn)行所建立的對(duì)的規(guī)范的作業(yè)辦法。表單模版則是信息安全管理程序及工作程序的支持性文獻(xiàn)，用以統(tǒng)計(jì)各類信息安全管理活動(dòng)的過程和成果。3.2信息安全管理體系文獻(xiàn)控制3.2.1信息安全管理體系文獻(xiàn)控制按照公司《信息安全管理體系文獻(xiàn)控制程序》進(jìn)行管理。3.3信息安全管理體系統(tǒng)計(jì)管理3.3.1信息安全管理體系統(tǒng)計(jì)控制按照公司《公司統(tǒng)計(jì)與檔案管理程序》進(jìn)行管理。六、管理職責(zé)1．總則XXXX高層領(lǐng)導(dǎo)充足意識(shí)到高層管理重視并身先事卒是信息安全管理體系有效運(yùn)行的基礎(chǔ)，因此，XXXX將通過高層領(lǐng)導(dǎo)發(fā)動(dòng)體系范疇內(nèi)全體員工重視信息安全，通過建立信息安全方針聲明、系統(tǒng)地進(jìn)行風(fēng)險(xiǎn)識(shí)別、評(píng)定及處置管理、全方面的意識(shí)和技能培訓(xùn)來實(shí)現(xiàn)信息安全管理方針與目的。XXXX高層管理者將首先向員工展示對(duì)的的行為，使全部員工意識(shí)到信息安全的有效控制來自于恪守良好的信息安全行為規(guī)范、符合程序和規(guī)范規(guī)定并自覺恪守各自的義務(wù)和責(zé)任。2．管理承諾2.1XXXX高層領(lǐng)導(dǎo)明確規(guī)定公司信息安全管理的總體方向，向客戶及有關(guān)方就公司主營(yíng)業(yè)務(wù)信息安全管理目的做出正式承諾。2.2XXXX信息安全管理委員會(huì)將對(duì)風(fēng)險(xiǎn)評(píng)定辦法與準(zhǔn)則、風(fēng)險(xiǎn)評(píng)定成果、風(fēng)險(xiǎn)處置計(jì)劃及殘存風(fēng)險(xiǎn)進(jìn)行審查與同意，全方面理解公司主營(yíng)業(yè)務(wù)信息安全風(fēng)險(xiǎn)評(píng)定與處置規(guī)定以及所面臨的各類信息安全業(yè)務(wù)風(fēng)險(xiǎn)，并在滿足公司主營(yíng)業(yè)務(wù)需求的基礎(chǔ)上，對(duì)風(fēng)險(xiǎn)處置做出最后決策。2.3XXXX信息安全管理委員會(huì)在風(fēng)險(xiǎn)評(píng)定基礎(chǔ)上，將定義公司主營(yíng)業(yè)務(wù)具體的信息安全方針、階段性目的及量化的信息安全指標(biāo)，并通過管理評(píng)審，理解目的和指標(biāo)的實(shí)現(xiàn)狀況，評(píng)價(jià)信息安全管理體系有效性、適宜性和充足性。2.4為確保信息安全管理體系有效運(yùn)行，XXXX信息安全管理委員會(huì)將為公司主營(yíng)業(yè)務(wù)提供全方面的支持，涉及：人力資源和物力資源的支持。3．資源管理3.1XXXX信息安全管理委員會(huì)將為建立、實(shí)施與維護(hù)信息安全管理體系識(shí)別并提供充足的資源，涉及：1）為信息安全管理提供充足的人力資源和組織，涉及：明確公司主營(yíng)業(yè)務(wù)以及與其有關(guān)業(yè)務(wù)部門的信息安全管理職能，建立信息安全工作組，以協(xié)調(diào)和組織信息安全管理的具體工作；2）將信息安全預(yù)算作為年度預(yù)算計(jì)劃的一部分，有計(jì)劃地為信息安全管理提供成本投入的支持；3）全方面理解在信息安全管理方面的最新技術(shù)與信息，并有計(jì)劃地應(yīng)用到信息安全管理業(yè)務(wù)中。4.培訓(xùn)、意識(shí)與能力4.1XXXX信息安全管理委員會(huì)將通過人力資源部實(shí)施下列行動(dòng)，以確保信息安全管理體系范疇內(nèi)全部員工含有對(duì)應(yīng)的能力完畢其崗位工作： 1）根據(jù)崗位需求，定義各個(gè)崗位員工在信息安全方面需要的基本意識(shí)與技能 2）根據(jù)所定義的意識(shí)和技能規(guī)定，提供對(duì)應(yīng)的培訓(xùn) 3）通過定時(shí)的績(jī)效考核，評(píng)價(jià)員工工作能力以及培訓(xùn)效果 4）統(tǒng)計(jì)并維護(hù)員工教育、培訓(xùn)、技能、經(jīng)驗(yàn)和資格統(tǒng)計(jì)。七、信息安全管理體系評(píng)價(jià)與改善1．總則公司對(duì)整個(gè)信息安全管理體系和過程進(jìn)行系統(tǒng)的監(jiān)視、檢查和測(cè)量，以確保信息安全管理體系有效執(zhí)行及持續(xù)改善。2．信息安全活動(dòng)及過程監(jiān)視與檢查2.1公司將制訂正式的程序，明確規(guī)定對(duì)信息安全過程及過程的監(jiān)視規(guī)定，需要考慮的監(jiān)視內(nèi)容涉及：1）應(yīng)用必要的監(jiān)控手段對(duì)于攻擊類行為進(jìn)行實(shí)時(shí)監(jiān)控和報(bào)警，其它違規(guī)行為視狀況實(shí)時(shí)、每七天或每月定時(shí)檢查；2）對(duì)網(wǎng)絡(luò)上核心的信息流進(jìn)行檢查與監(jiān)控，對(duì)異常狀況及時(shí)輸出報(bào)告；3）對(duì)內(nèi)部網(wǎng)絡(luò)上核心服務(wù)的操作系統(tǒng)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備的存取控制統(tǒng)計(jì)進(jìn)行檢查和監(jiān)控4）對(duì)個(gè)人計(jì)算機(jī)、辦公區(qū)域、崗位員工信息安全行為定時(shí)進(jìn)行安全檢查與通報(bào)5）對(duì)信息系統(tǒng)建立的操作日志、錯(cuò)誤日志等信息進(jìn)行定時(shí)的審查。2.2全部的監(jiān)視與檢查應(yīng)形成統(tǒng)計(jì)，并對(duì)監(jiān)視和檢查成果進(jìn)行定時(shí)的分析。3．信息安全管理體系審核3.1公司應(yīng)確保每年最少對(duì)信息安全管理體系進(jìn)行一次體系審核，信息安全管理體系審核應(yīng)按照規(guī)定的程序執(zhí)行，審核成果應(yīng)形成正式的統(tǒng)計(jì)。4.技術(shù)符合性審核4.1需要時(shí)，公司將對(duì)信息系統(tǒng)進(jìn)行必要的符合性檢查，技術(shù)符合性檢查將委托有資格和經(jīng)驗(yàn)的外部機(jī)構(gòu)進(jìn)行，并按照對(duì)分包方的控制規(guī)定對(duì)外部進(jìn)行控制。4.2公司將根據(jù)技術(shù)符合性檢查成果，采用適宜的改善方法，并形成正式的統(tǒng)計(jì)。5.管理評(píng)審5.1每年在適宜的時(shí)機(jī)，公司高層將按照正式的程序?qū)π畔踩芾眢w系運(yùn)行的有效性、充足性和適宜性進(jìn)行正式評(píng)審。評(píng)審成果將形成正式的統(tǒng)計(jì)。6.數(shù)據(jù)分析6.1公司將針對(duì)公司發(fā)生的安全事件、審核成果、監(jiān)視和檢查成果等數(shù)據(jù)進(jìn)行收集和分析，以擬定信息安全管理的趨勢(shì)，并根據(jù)分析成果，采用必要的改善方法。7.糾正和防止方法7.1公司在信息安全管理體系審核、技術(shù)符合性審核、管理評(píng)審以及數(shù)據(jù)分析過程中識(shí)別的問題、單薄環(huán)節(jié)及趨勢(shì)，應(yīng)按照規(guī)定的程序，考慮采用糾正或防止方法，以避免問題的重復(fù)發(fā)生。八、信息安全基本方針1．總則XXXX根據(jù)所擬定的信息安全管理范疇、信息安全管理方針聲明及公司業(yè)務(wù)需求，在風(fēng)險(xiǎn)評(píng)定基礎(chǔ)上，結(jié)合ISO27001:原則規(guī)定，參考業(yè)界慣例及辦法，對(duì)信息安全管理基本的原則規(guī)定進(jìn)行明確規(guī)定，為公司主營(yíng)業(yè)務(wù)信息安全管理提供方向。2．信息安全管理基本方針描述2.1XXXX信息安全工作組針對(duì)信息安全管理的各個(gè)領(lǐng)域均制訂了明確的管理方針，這些領(lǐng)域涉及：1）風(fēng)險(xiǎn)評(píng)定管理–方針手冊(cè)九章節(jié)進(jìn)行描述2）信息安全組織-方針手冊(cè)十章節(jié)進(jìn)行描述3）資產(chǎn)管理-方針手冊(cè)十一章節(jié)進(jìn)行描述4）人力資源安全-方針手冊(cè)十二章節(jié)進(jìn)行描述5）物理和環(huán)境安全-方針手冊(cè)十三章節(jié)進(jìn)行描述6）通訊及運(yùn)作安全-方針手冊(cè)十四章節(jié)進(jìn)行描述7）訪問控制-方針手冊(cè)十五章節(jié)進(jìn)行描述8）信息系統(tǒng)獲取、開發(fā)與維護(hù)–方針手冊(cè)十六章節(jié)進(jìn)行描述9）信息安全事件管理-方針手冊(cè)十七章節(jié)進(jìn)行描述10）業(yè)務(wù)持續(xù)性管理-方針手冊(cè)十八章節(jié)進(jìn)行描述11）法律和法規(guī)符合性-方針手冊(cè)十九章節(jié)進(jìn)行描述九、風(fēng)險(xiǎn)評(píng)定管理1．前言公司的信息安全管理體系將建立在風(fēng)險(xiǎn)評(píng)定的基礎(chǔ)上。公司應(yīng)確保信息安全工作小組將針對(duì)信息安全管理體系范疇內(nèi)所涉及的信息資產(chǎn)進(jìn)行定時(shí)的風(fēng)險(xiǎn)評(píng)定，并根據(jù)風(fēng)險(xiǎn)評(píng)定成果，對(duì)風(fēng)險(xiǎn)進(jìn)行管理。2．風(fēng)險(xiǎn)評(píng)定辦法與準(zhǔn)則2.1公司應(yīng)建立書面的程序，明確公司信息資產(chǎn)的分類辦法、資產(chǎn)清單建立和維護(hù)規(guī)定，應(yīng)根據(jù)程序規(guī)定清點(diǎn)公司重要的信息資產(chǎn)，建立并維護(hù)信息資產(chǎn)清單。2.2公司應(yīng)根據(jù)信息資產(chǎn)性質(zhì)，擬定敏感信息的劃分等級(jí)，并根據(jù)敏感信息的等級(jí)，明確不同等級(jí)敏感信息標(biāo)記和解決程序，以確保敏感信息的儲(chǔ)存和解決得到保護(hù)。3．風(fēng)險(xiǎn)評(píng)定3.1公司應(yīng)根據(jù)信息安全的保密性、可用性和完整性原則，制訂風(fēng)險(xiǎn)評(píng)定程序和準(zhǔn)則。風(fēng)險(xiǎn)評(píng)定應(yīng)符合下列原則：組建風(fēng)險(xiǎn)評(píng)定小組，確保風(fēng)險(xiǎn)評(píng)定小構(gòu)組員理解資產(chǎn)及有關(guān)風(fēng)險(xiǎn)；識(shí)別資產(chǎn)，建立信息資產(chǎn)清單對(duì)資產(chǎn)重要進(jìn)行評(píng)定識(shí)別資產(chǎn)面臨的威脅識(shí)別資產(chǎn)脆弱性擬定現(xiàn)有的控制方法計(jì)算風(fēng)險(xiǎn)程度根據(jù)事先設(shè)定的準(zhǔn)則，對(duì)風(fēng)險(xiǎn)進(jìn)行排序3.2風(fēng)險(xiǎn)評(píng)定的成果應(yīng)形成正式的風(fēng)險(xiǎn)評(píng)定報(bào)告，具體闡明風(fēng)險(xiǎn)評(píng)定程序及準(zhǔn)則、風(fēng)險(xiǎn)評(píng)定成果、需要采用控制方法的風(fēng)險(xiǎn)、建議高層接受的殘存風(fēng)險(xiǎn)。4．風(fēng)險(xiǎn)管理4.1公司信息安全管理委員會(huì)應(yīng)審查并同意風(fēng)險(xiǎn)評(píng)定成果，系統(tǒng)理解公司信息資產(chǎn)所面臨的風(fēng)險(xiǎn)，并接受殘存的風(fēng)險(xiǎn)。4.2針對(duì)風(fēng)險(xiǎn)評(píng)定成果，對(duì)不可接受的風(fēng)險(xiǎn)應(yīng)明確具體的控制方法，并編制風(fēng)險(xiǎn)管理計(jì)劃，明確針對(duì)各類風(fēng)險(xiǎn)將采用的控制方法、責(zé)任部門以及完畢時(shí)間。4.3公司的信息安全風(fēng)險(xiǎn)評(píng)定應(yīng)是動(dòng)態(tài)的，公司應(yīng)每年對(duì)風(fēng)險(xiǎn)管理狀況進(jìn)行全方面評(píng)定，擬定與否有新的風(fēng)險(xiǎn)產(chǎn)生，并擬定與否需要采用新的控制方法。4.4除了年度的風(fēng)險(xiǎn)狀況評(píng)定外，應(yīng)確保在出現(xiàn)下列狀況時(shí)，進(jìn)行必要的風(fēng)險(xiǎn)評(píng)定：?jiǎn)?dòng)新的軟件開發(fā)項(xiàng)目時(shí)；增加新的信息解決設(shè)施時(shí)或信息解決設(shè)施發(fā)生變化時(shí)；信息資產(chǎn)重要級(jí)別發(fā)生變化時(shí)；新的分包活動(dòng)涉及信息安全時(shí)；信息安全管理體系范疇擴(kuò)大時(shí)。5、風(fēng)險(xiǎn)處置5.1信息安全工作小組將針對(duì)風(fēng)險(xiǎn)評(píng)定成果，根據(jù)風(fēng)險(xiǎn)接受準(zhǔn)則及優(yōu)先排序準(zhǔn)則，研討控制目的和方法，針對(duì)每項(xiàng)控制方法，考慮法規(guī)規(guī)定、成本投入及與風(fēng)險(xiǎn)嚴(yán)重程度，最后擬定選擇的控制方法。5.2所選擇的控制方法應(yīng)形成正式的風(fēng)險(xiǎn)處置計(jì)劃，其中應(yīng)涉及管理性控制方法與技術(shù)性控制方法，并擬定每項(xiàng)控制方法的成本、責(zé)任部門及完畢時(shí)間。5.3對(duì)于所選擇的風(fēng)險(xiǎn)控制方法，信息安全工作小組應(yīng)基于風(fēng)險(xiǎn)控制方法，評(píng)價(jià)殘存風(fēng)險(xiǎn)大小。5.4風(fēng)險(xiǎn)處置計(jì)劃及殘存風(fēng)險(xiǎn)確認(rèn)成果最后提交信息安全辦公室經(jīng)理審查，并最后提交信息安全委員會(huì)審查同意，以確認(rèn)所采用的的風(fēng)險(xiǎn)控制方法，并接受殘存風(fēng)險(xiǎn)。十、信息安全組織1．信息安全管理架構(gòu)為確保信息安全管理體系的有效運(yùn)行，公司建立網(wǎng)絡(luò)化、跨部門的信息安全管理架構(gòu)，該架構(gòu)涉及：建立由高層管理人員構(gòu)成的信息安全管理委員會(huì)，確保對(duì)信息安全有明確的方法并得到管理層的支持。作為公司信息安全管理的最高支持和決策機(jī)構(gòu)，該組織組員構(gòu)成及職責(zé)參見本手冊(cè)第五章“信息安全組織及職責(zé)”。建立專職的負(fù)責(zé)信息安全的IT管理中心，確保公司日常信息安全事務(wù)由專門的部門負(fù)責(zé)管理。該部門有關(guān)信息安全管理方面的職責(zé)參見本手冊(cè)第五章“信息安全組織及職責(zé)”。建立由各業(yè)務(wù)部門人員構(gòu)成的信息安全工作組，確保各部門內(nèi)部的日常信息安全事務(wù)由有關(guān)的信息安全管理組長(zhǎng)或信息安全管理員負(fù)責(zé)解決，信息安全工作組的職責(zé)參見本手冊(cè)第五章“信息安全組織及職責(zé)”。對(duì)各個(gè)業(yè)務(wù)管理部門在日常工作中需要負(fù)責(zé)的信息安全管理活動(dòng)進(jìn)行明確規(guī)定，確保公司各級(jí)人員理解各自崗位的信息安全職責(zé)。2．組織間合作公司與執(zhí)法部門、管理部門、信息服務(wù)商和有關(guān)供應(yīng)商建立合作關(guān)系，對(duì)需要明確規(guī)定的義務(wù)和責(zé)任，將通過正式的合作合同規(guī)定，以確保在發(fā)生安全事故時(shí)，能快速采用行動(dòng)和獲得協(xié)助。3．專家建議公司在必要時(shí)，可聘任專家提供信息安全建議。4．信息解決設(shè)施授權(quán)公司建立正式的管理授權(quán)過程以確?？刂菩碌男畔⒔鉀Q設(shè)施的啟用過程。5、第三方訪問安全5.1公司在進(jìn)行風(fēng)險(xiǎn)評(píng)定時(shí)，將識(shí)別各類信息資產(chǎn)所面臨的第三方訪問的風(fēng)險(xiǎn)，并根據(jù)評(píng)定成果擬定控制方法，涉及與接觸公司信息的第三方訂立保密合同，并與在公司工作的第三方人員訂立個(gè)人保密合同，對(duì)于第三方人員不該訪問的信息應(yīng)當(dāng)采用辦公區(qū)域分離、網(wǎng)絡(luò)邏輯分離等方法。對(duì)于第三方人員需要訪問的信息須采用嚴(yán)格的申請(qǐng)和審批制度，以限制第三方人員只能獲得有限的信息資產(chǎn)權(quán)限5.2對(duì)所識(shí)別的第三方訪問的風(fēng)險(xiǎn)，公司將明確規(guī)定第三方訪問在正式的合約文獻(xiàn)中規(guī)定具體的安全控制規(guī)定。十一、資產(chǎn)管理1．總則XXXX將對(duì)客戶外包的軟件項(xiàng)目、業(yè)務(wù)流程項(xiàng)目的保障系統(tǒng)、服務(wù)過程進(jìn)行識(shí)別，并明確資產(chǎn)管理負(fù)責(zé)人，同時(shí)將根據(jù)信息資產(chǎn)的敏感程度，對(duì)資產(chǎn)保密級(jí)別進(jìn)行分類解決。2．資產(chǎn)職責(zé)2.1XXXX將識(shí)別為確?？蛻敉獍?xiàng)目的正常研發(fā)所需要的服務(wù)過程、支持保障系統(tǒng)以及這些系統(tǒng)中所涉及的信息資產(chǎn)，并對(duì)各類資產(chǎn)進(jìn)行分類，建立XXXX資產(chǎn)清單，明確資產(chǎn)負(fù)責(zé)人。2.3針對(duì)重要的信息解決設(shè)施，XXXX將在風(fēng)險(xiǎn)評(píng)定的基礎(chǔ)上，編制正式的使用指南，以確保使用者對(duì)的使用信息解決設(shè)施，必要時(shí)，將使用指南提供應(yīng)客戶。3．信息分級(jí)3.1XXXX將根據(jù)客戶外包項(xiàng)目服務(wù)過程所涉及、產(chǎn)生和保管的信息資產(chǎn)性質(zhì)，擬定敏感信息的劃分等級(jí)，并形成正式的文獻(xiàn)。3.2在敏感信息分級(jí)的基礎(chǔ)上，將明確不同等級(jí)敏感信息標(biāo)記和解決程序，以確保敏感信息的儲(chǔ)存和解決得到保護(hù)。十二、人員安全1．前言1.1XXXX將明確規(guī)定信息安全管理體系范疇內(nèi)各崗位的工作職責(zé)，并通過實(shí)施規(guī)范的員工招聘、聘任、保密規(guī)定、人員離職及轉(zhuǎn)崗程序，減少人為錯(cuò)誤及人員欺詐等方面的風(fēng)險(xiǎn)。1.2為確保員工及第三方人員在信息安全方面的意識(shí)，XXXX工作小組將擬定信息安全管理方面的培訓(xùn)需求，并按照規(guī)定的程序組織或提供有關(guān)的信息安全意識(shí)培訓(xùn)。2.雇傭前2.1為減少人為錯(cuò)誤、偷盜、欺詐及設(shè)施誤用，針對(duì)與公司核心業(yè)務(wù)服務(wù)有關(guān)的各崗位員工，將明確規(guī)定有關(guān)員工在信息安全管理方面的職責(zé)，并形成書面的工作職責(zé)描述文獻(xiàn)。2.2對(duì)涉及信息安全有關(guān)的工作崗位，將明確規(guī)定人員招聘審查規(guī)定，并根據(jù)規(guī)定的審查規(guī)定對(duì)后選人員進(jìn)行審查，以確保招聘的人員的條件滿足規(guī)定的信息安全管理規(guī)定。2.3對(duì)全部涉及信息安全管理崗位的員工，在入職前，應(yīng)按照規(guī)定的程序，與各崗位員工訂立保密合同，并在員工勞動(dòng)合同中明確規(guī)定員工信息安全的職責(zé)和義務(wù)。3.雇傭中XXXX以及與XXXX業(yè)務(wù)有關(guān)的部門管理人員應(yīng)通過日常溝通與協(xié)調(diào)，規(guī)定員工或第三方人員恪守公司信息安全管理程序及規(guī)范規(guī)定。XXXX信息安全工作組應(yīng)根據(jù)業(yè)務(wù)需求，擬定各崗位員工信息安全意識(shí)和技能培訓(xùn)需求，并按照規(guī)定的員工培訓(xùn)管理程序，組織有關(guān)崗位員工進(jìn)行信息安全意識(shí)以及必要的信息安全技能培訓(xùn),并保存信息安全培訓(xùn)統(tǒng)計(jì)。4.雇傭終止或轉(zhuǎn)崗公司將建立正式的程序，明確規(guī)定員工離職或轉(zhuǎn)崗時(shí)需要辦理的手續(xù)和職責(zé)，涉及：A、明確離職/轉(zhuǎn)崗過程辦理手續(xù)的負(fù)責(zé)人B、明確離職/轉(zhuǎn)崗需要償還的資產(chǎn)，特別是IT資產(chǎn)C、明確刪除網(wǎng)絡(luò)及系統(tǒng)訪問權(quán)限的規(guī)定以及重申保密規(guī)定5.培訓(xùn)公司應(yīng)擬定各崗位員工信息安全意識(shí)和技能培訓(xùn)需求，并按照公司規(guī)定的員工培訓(xùn)管理程序，組織有關(guān)崗位員工進(jìn)行信息安全意識(shí)以及必要的信息安全技能培訓(xùn),并保存信息安全培訓(xùn)統(tǒng)計(jì)。十三、物理與環(huán)境安全1．總則公司將通過風(fēng)險(xiǎn)評(píng)定，識(shí)別物理與環(huán)境安全對(duì)信息資產(chǎn)可能造成的風(fēng)險(xiǎn)，并采用適宜的方法，對(duì)物理和環(huán)境安全進(jìn)行管理。2．安全區(qū)域2.1場(chǎng)地安全2.1.1區(qū)域劃分-對(duì)公司的辦公地點(diǎn)必須根據(jù)業(yè)務(wù)內(nèi)容的不同劃分對(duì)應(yīng)的控制區(qū)域，公司的業(yè)務(wù)部門應(yīng)根據(jù)工作性質(zhì)劃分對(duì)應(yīng)的安全級(jí)別，并建立對(duì)應(yīng)的訪問控制方法，全部受控區(qū)域必須指定信息安全管理負(fù)責(zé)人2.1.2出入控制-對(duì)出入控制應(yīng)建立出入控制制度，應(yīng)確保全部進(jìn)入控制區(qū)域的訪問必須通過審批和登記，全部進(jìn)入控制區(qū)域的人員都必須佩帶明顯的身份標(biāo)記卡，第三方人員進(jìn)入控制區(qū)域必須有公司接待人員陪伴。2.1.3安全保障–公司全部受控區(qū)域必須安裝門禁系統(tǒng)及監(jiān)視器，對(duì)寄存計(jì)算機(jī)設(shè)備存儲(chǔ)區(qū)域應(yīng)當(dāng)安裝防火等裝置。2.1.4安全區(qū)工作–應(yīng)確保全部在安全區(qū)工作的人員，恪守有關(guān)的制度，任何人未經(jīng)同意嚴(yán)禁在控制區(qū)域拍照、攝像。3．設(shè)備安全3.1各有關(guān)部門應(yīng)根據(jù)設(shè)備及其運(yùn)行系統(tǒng)的重要程度，將設(shè)備放置到對(duì)應(yīng)級(jí)別控制區(qū)域，并根據(jù)設(shè)備及其運(yùn)行系統(tǒng)的重要程度建立防盜、報(bào)警、監(jiān)控等保護(hù)方法。3.2對(duì)影響信息安全的重要設(shè)備采用電力供應(yīng)保護(hù)方法，以避免由于電力供應(yīng)故障造成的信息丟失或損毀。3.3對(duì)電力電纜或各類信息數(shù)據(jù)通信電纜采用適宜的保護(hù)方法，以避免由于電纜故障對(duì)信息安全產(chǎn)生的危害。3.4對(duì)各類影響信息安全的重要設(shè)備，按照設(shè)備使用手冊(cè)規(guī)定或書面的操作程序進(jìn)行維護(hù)，以確保設(shè)備持續(xù)運(yùn)行的能力。3.5公司對(duì)手提電腦的使用進(jìn)行授權(quán)管理，任何使用手提電腦外出公干人員，應(yīng)理解手提電腦安全使用規(guī)定，并采用必要的安全控制方法.3.6公司應(yīng)根據(jù)明確規(guī)定手提電話使用的控制方法，以確保手提電話通訊過程中的信息安全。3.7公司建立并實(shí)施書面的控制程序，對(duì)設(shè)備報(bào)廢和重新使用的安全進(jìn)行控制。4．存儲(chǔ)介質(zhì)4.1公司應(yīng)確保存儲(chǔ)介質(zhì)的使用必須有授權(quán)和統(tǒng)計(jì)，存儲(chǔ)介質(zhì)的銷毀必須按公司同意通過的銷毀方式銷毀。5．基本控制方法5.1為減少信息的非授權(quán)訪問、丟失及損毀，公司執(zhí)行“臺(tái)面及電腦屏幕空凈政策”，即：全部使用辦公臺(tái)、個(gè)人電腦、手提電腦的人員，當(dāng)不在辦公臺(tái)工作或電腦不使用時(shí)，應(yīng)確保辦公臺(tái)面不寄存任何公司信息資料，及電腦屏幕處在被保護(hù)狀態(tài)。5.2公司全部與信息安全有關(guān)的設(shè)備、信息資料及軟件在進(jìn)行遷移時(shí)，必須按照規(guī)定的程序進(jìn)行授權(quán)同意放行后方可進(jìn)行遷移。十四、通訊與運(yùn)行安全1．總則公司將根據(jù)風(fēng)險(xiǎn)評(píng)定成果，對(duì)計(jì)算機(jī)信息系統(tǒng)的通信和運(yùn)行進(jìn)行控制，以減少系統(tǒng)通信和運(yùn)行過程對(duì)信息安全產(chǎn)生的危害。2．程序和職責(zé)2.1公司根據(jù)風(fēng)險(xiǎn)評(píng)定成果，對(duì)公司信息系統(tǒng)明確規(guī)定并執(zhí)行正式的運(yùn)作程序，這些程序大致涉及：《網(wǎng)絡(luò)基礎(chǔ)架構(gòu)配備管理程序》《網(wǎng)絡(luò)運(yùn)行監(jiān)控管理程序》《網(wǎng)絡(luò)系統(tǒng)變更管理程序》《網(wǎng)絡(luò)安全事件解決程序》《重大安全事件響應(yīng)解決程序》2.2公司應(yīng)確保必要的職責(zé)分工，以減少授權(quán)更改或誤用信息或服務(wù)，例如：系統(tǒng)的超級(jí)管理權(quán)限應(yīng)采用雙人控制，互相制衡。2.3對(duì)信息系統(tǒng)通信與運(yùn)行過程中的各類事件，應(yīng)明確規(guī)定解決職責(zé)，確保建立書面的事件響應(yīng)解決程序，并按照響應(yīng)解決程序恢復(fù)系統(tǒng)運(yùn)行。全部事件有關(guān)的解決應(yīng)收集并保存。2.4公司應(yīng)確保軟件開發(fā)和測(cè)試環(huán)境應(yīng)進(jìn)行分離，以減少意外改動(dòng)或非法訪問操作軟件和業(yè)務(wù)數(shù)據(jù)的風(fēng)險(xiǎn)。2.5當(dāng)使用外部設(shè)施管理服務(wù)（如技術(shù)評(píng)審單位）時(shí)，應(yīng)確保與外部設(shè)施管理服務(wù)提供商就必要的控制方法達(dá)成正式合同。3．系統(tǒng)規(guī)劃和接受3.1公司應(yīng)根據(jù)公司業(yè)務(wù)發(fā)展，對(duì)信息系統(tǒng)進(jìn)行適宜的配備管理，以提供可靠的網(wǎng)絡(luò)運(yùn)行信息解決能力，從而確保公司業(yè)務(wù)的正常運(yùn)作。公司選派適宜的人員對(duì)信息系統(tǒng)進(jìn)行管理，以確保信息系統(tǒng)信息的完整性。3.2當(dāng)公司啟用新信息系統(tǒng)或?qū)ΜF(xiàn)有系統(tǒng)進(jìn)行升級(jí)時(shí)，應(yīng)建立系統(tǒng)接受準(zhǔn)則，并在系統(tǒng)接受前，根據(jù)接受準(zhǔn)則對(duì)新系統(tǒng)或升級(jí)系統(tǒng)進(jìn)行必要的測(cè)試。4．避免惡意軟件、代碼4.1公司根據(jù)風(fēng)險(xiǎn)評(píng)定成果，采用適宜的控制方法，以避免惡意軟件的侵襲。為避免惡意軟件對(duì)公司信息系統(tǒng)造成損害，公司規(guī)定下列避免惡意軟件的政策：這些控制方法涉及：a)公司全部使用的軟件必須恪守軟件許可，全部軟件使用必須按照規(guī)定的程序通過正式授權(quán)，公司嚴(yán)禁使用未授權(quán)的軟件b)公司的計(jì)算機(jī)系統(tǒng)都必須安裝、運(yùn)行公司規(guī)定的防病毒軟件，并及時(shí)升級(jí)。未經(jīng)同意，不能安裝其它的防病毒軟件c)嚴(yán)禁任何部門或員工未經(jīng)授權(quán)以任何名義制造、傳輸、復(fù)制、收集計(jì)算機(jī)病毒或公布病毒預(yù)警消息d)公司員工接受和公布信息時(shí)須進(jìn)行病毒檢測(cè)e)重要的和與Internet相連接的服務(wù)器（如：Email服務(wù)器）必須實(shí)時(shí)運(yùn)行防病毒軟件f)嚴(yán)禁通過Internet直接到WEB網(wǎng)站上自動(dòng)升級(jí)防病毒軟件，必須在公司內(nèi)指定服務(wù)器上升級(jí)g)嚴(yán)格控制從互聯(lián)網(wǎng)下載軟件，以避免惡意軟件攻擊以及不適宜的信息資料。h)全部員工小心解決接受的電子郵件，當(dāng)電子郵件帶有附件時(shí)，應(yīng)對(duì)附件進(jìn)行驗(yàn)證，確保附件不帶有病毒或惡意代碼。5．備份5.1公司對(duì)全部信息系統(tǒng)應(yīng)明確規(guī)定適宜的備份和恢復(fù)程序，并確保網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)按照規(guī)定的程序進(jìn)行定時(shí)的備份。數(shù)據(jù)備份頻次應(yīng)與公司業(yè)務(wù)運(yùn)作規(guī)定相一致。5.2公司全部信息應(yīng)按照信息的分類進(jìn)行歸檔和保存。作為檔案保存的媒質(zhì)應(yīng)確保能夠滿足信息保存的期限。5.3公司規(guī)定全部系統(tǒng)管理人員建立系統(tǒng)操作日志，統(tǒng)計(jì)日常操作活動(dòng)、系統(tǒng)出現(xiàn)的問題以及解決成果。6．網(wǎng)絡(luò)管理6.1公司選派適宜的人員對(duì)網(wǎng)絡(luò)進(jìn)行管理，以確保網(wǎng)絡(luò)系統(tǒng)信息的完整性。對(duì)網(wǎng)絡(luò)的控制規(guī)定將形成書面的程序，并應(yīng)確保有關(guān)人員按照規(guī)定的程序?qū)W(wǎng)絡(luò)系統(tǒng)進(jìn)行管理。7．媒介解決和安全7.1公司將根據(jù)風(fēng)險(xiǎn)評(píng)定成果，對(duì)多個(gè)媒介，如備份磁帶、光盤、錄音磁帶等的使用和解決明確控制規(guī)定，這些規(guī)定涉及：各類媒介報(bào)廢的解決職責(zé)和方式；各類信息接受、復(fù)印、打印的控制規(guī)定；各類信息保存的控制規(guī)定。7.2公司對(duì)系統(tǒng)文獻(xiàn)明確控制規(guī)定以確保系統(tǒng)文獻(xiàn)的安全。8．信息和軟件交換8.1在某些特定狀況下，公司需要和其它組織進(jìn)行信息和軟件交換時(shí)，公司應(yīng)確保與所涉及的組織簽定正式的合同，以明確在信息和軟件交換過程中有關(guān)的信息安全控制規(guī)定。8.2公司在風(fēng)險(xiǎn)評(píng)定過程中應(yīng)考慮對(duì)媒介傳遞的風(fēng)險(xiǎn)，并根據(jù)風(fēng)險(xiǎn)評(píng)定成果，采用明確的媒介傳遞安全控制方法，以避免媒介未經(jīng)授權(quán)訪問及誤用或?yàn)E用。8.3當(dāng)公司業(yè)務(wù)活動(dòng)涉及使用電子商務(wù)服務(wù)，應(yīng)按照規(guī)定的電子商務(wù)服務(wù)程序，解決有關(guān)的電子商務(wù)數(shù)據(jù)，確保數(shù)據(jù)保密性和完整性。8.4對(duì)電子郵件的使用，公司明確規(guī)定下列規(guī)定：a)電子郵件只用于業(yè)務(wù)需要，規(guī)定全部員工小心解決接受的電子郵件，當(dāng)電子郵件帶有附件時(shí)，應(yīng)對(duì)附件進(jìn)行驗(yàn)證，確保附件不帶有病毒或惡意代碼。b)各類電子郵件應(yīng)有明確的保存期限，并確保滿足有關(guān)法規(guī)和公司運(yùn)作的需要。c)使用電子郵件發(fā)送保密資料時(shí)應(yīng)根據(jù)敏感信息的密級(jí)別，擬定加密控制方法的使用。8.5公司對(duì)使用聲訊、傳真及音像方式進(jìn)行的信息交換將明確規(guī)定控制程序，以確保信息在傳遞過程中得到適宜保護(hù)。十五、訪問控制1．總則公司將根據(jù)不同的業(yè)務(wù)需求和安全規(guī)定，從業(yè)務(wù)流程和權(quán)限上對(duì)信息訪問加以限制，對(duì)顧客訪問權(quán)限進(jìn)行明確規(guī)定并形成正式文獻(xiàn)。除非被明確授權(quán)，否則系統(tǒng)權(quán)限在缺省狀況下一律嚴(yán)禁。2．顧客訪問管理2.1帳戶開戶2.1.1公司將根據(jù)工作有關(guān)性原則，明確不同顧客的訪問權(quán)限，并通過審批后為個(gè)人分派權(quán)限。對(duì)分派的權(quán)限必須統(tǒng)計(jì)并進(jìn)行維護(hù)。2.1.2公司將建立顧客注冊(cè)與權(quán)限管理程序，以控制顧客對(duì)系統(tǒng)的訪問權(quán)限。對(duì)含有保密信息的系統(tǒng)嚴(yán)禁建立公用帳戶2.1.3顧客的崗位或職責(zé)發(fā)生變化時(shí)，應(yīng)立刻變更或取消對(duì)應(yīng)的訪問權(quán)限2.2口令管理2.2.1公司將明確規(guī)定口令的管理負(fù)責(zé)人，并設(shè)立口令，員工口令的設(shè)立將遵照公司有關(guān)規(guī)定，開戶時(shí)應(yīng)設(shè)立隨機(jī)口令。2.3權(quán)限檢查2.3.1公司定時(shí)對(duì)顧客訪問權(quán)限，特別是特權(quán)進(jìn)行定時(shí)檢查，以確保訪問權(quán)限完整性和對(duì)的性。2.3.2公司的權(quán)限分派應(yīng)確保一人不含有多方面的權(quán)限，權(quán)限須多層分離互相制約。2.4顧客責(zé)任2.4.1應(yīng)確保顧客采用適宜的方式確?？诹畎踩坏霉蚕韨€(gè)人的口令，并應(yīng)根據(jù)口令管理原則定時(shí)更改口令3．網(wǎng)絡(luò)安全方針3.1.網(wǎng)絡(luò)劃分3.1.1根據(jù)公司內(nèi)部業(yè)務(wù)和保密規(guī)定的不同，將公司網(wǎng)絡(luò)劃分成不同的邏輯網(wǎng)絡(luò)域，每個(gè)網(wǎng)絡(luò)域的安全控制方法將進(jìn)行明確規(guī)定。3.2網(wǎng)絡(luò)連接與服務(wù)3.2.1公司全部與外部網(wǎng)絡(luò)進(jìn)行的連接應(yīng)事先按照規(guī)定的程序進(jìn)行同意。公司全部與外部網(wǎng)絡(luò)相連的出入口處必須設(shè)立防火墻或與公司網(wǎng)絡(luò)斷開。3.2.2通過接入服務(wù)器接入公司內(nèi)部網(wǎng)絡(luò)必須通過身份認(rèn)證、授權(quán)及記帳。3.2.3公司與外部網(wǎng)絡(luò)相連接的系統(tǒng)必須有專人負(fù)責(zé)管理，任何網(wǎng)絡(luò)服務(wù)的建立和使用應(yīng)事先按照規(guī)定的程序進(jìn)行同意。3.3網(wǎng)絡(luò)設(shè)備3.3.1公司全部網(wǎng)絡(luò)設(shè)備的安裝、配備、變更、撤銷等操作必須按照規(guī)定的程序通過審批。3.3.2網(wǎng)絡(luò)的拓?fù)錁?gòu)造、IP地址等信息必須按照規(guī)定的程序嚴(yán)格保管，未經(jīng)授權(quán)，嚴(yán)禁泄露。3.3.3應(yīng)確保對(duì)網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程登錄操作限定在指定網(wǎng)段范疇內(nèi)。3.4操作系統(tǒng)訪問控制3.4.1應(yīng)根據(jù)工作有關(guān)性原則授予顧客對(duì)應(yīng)權(quán)限，全部操作系統(tǒng)的訪問必須通過顧客身份鑒別。3.4.2應(yīng)按照規(guī)定的程序嚴(yán)格控制操作系統(tǒng)管理員對(duì)系統(tǒng)文獻(xiàn)和業(yè)務(wù)數(shù)據(jù)的操作權(quán)限。3.4.3為確保服務(wù)器密碼文獻(xiàn)的安全性，服務(wù)器的密碼文獻(xiàn)須加密寄存。3.4.4為確保操作系統(tǒng)的安全，全部不需要使用的系統(tǒng)服務(wù)應(yīng)進(jìn)行關(guān)閉,并刪除系統(tǒng)上不使用的帳號(hào)。3.4.5應(yīng)確保操作系統(tǒng)及時(shí)安裝系統(tǒng)安全補(bǔ)丁。3.4.6應(yīng)確保系統(tǒng)建立的日志滿足審計(jì)規(guī)定，系統(tǒng)日志必須安全寄存，避免被非授權(quán)的訪問3.5應(yīng)用系統(tǒng)安全3.5.1應(yīng)根據(jù)業(yè)務(wù)訪問控制需求按照規(guī)定的程序?qū)︻櫩瓦M(jìn)行嚴(yán)格授權(quán)，并建立和維護(hù)應(yīng)用系統(tǒng)的顧客權(quán)限表3.5.2應(yīng)嚴(yán)格限制業(yè)務(wù)人員越過應(yīng)用程序?qū)笈_(tái)數(shù)據(jù)庫(kù)或操作系統(tǒng)直接訪問。4．可移動(dòng)計(jì)算機(jī)工作及遠(yuǎn)程工作方針4.1應(yīng)按照規(guī)定的程序?qū)κ褂帽銛y式電腦進(jìn)行工作的人員進(jìn)行授權(quán)。全部的便攜式電腦在啟用前，應(yīng)設(shè)定硬盤密碼。4.2使用便攜式電腦出差時(shí)，應(yīng)確保便攜式電腦得到適宜保護(hù)。4.3在公共場(chǎng)合使用便攜式電腦解決公司事務(wù)時(shí)，應(yīng)確保解決的信息不屬于公司敏感信息范疇。4.4對(duì)保存有公司敏感信息的手提電腦，不允許在非公司現(xiàn)場(chǎng)連接其它外部網(wǎng)絡(luò)服務(wù)。4.5在非公司辦公現(xiàn)場(chǎng)應(yīng)用遠(yuǎn)程方式連接公司網(wǎng)絡(luò)時(shí)，應(yīng)事先按照規(guī)定的程序進(jìn)行授權(quán)。十六、系統(tǒng)開發(fā)及維護(hù)1．總則公司對(duì)系統(tǒng)開發(fā)及維護(hù)過程中的信息安全進(jìn)行控制，確保將信息安全規(guī)定融合進(jìn)軟件開發(fā)過程中。2．系統(tǒng)安全規(guī)定建立2.1公司在軟件系統(tǒng)開發(fā)應(yīng)執(zhí)行安全開發(fā)原則，在軟件開發(fā)的的項(xiàng)目需求分析階段，進(jìn)行風(fēng)險(xiǎn)分析與管理，考慮軟件開發(fā)的安全需求，并將軟件產(chǎn)品需要考慮的安全規(guī)定在項(xiàng)目開發(fā)需求書中進(jìn)行闡明。3．系統(tǒng)文獻(xiàn)安全3.1針對(duì)網(wǎng)絡(luò)通信、辦公系統(tǒng)運(yùn)行過程中應(yīng)對(duì)使用的各類操作系統(tǒng)、應(yīng)用系統(tǒng)、