信息安全策略(模板27001)

1、信息安全策略批準(zhǔn)人簽字審核人簽字制訂人簽字 變更履歷序號(hào)版本編號(hào)或更改記錄編號(hào)變化 狀態(tài) *簡(jiǎn)要說(shuō)明(變更內(nèi)容、變更位置、變更原因和變更范圍)變更日期變更人審核人批準(zhǔn)人批準(zhǔn)日期11.0C創(chuàng)建，全頁(yè)。*變化狀態(tài)：C創(chuàng)建，A增加，M修改，D刪除目 錄1. 目的和范圍42. 術(shù)語(yǔ)和定義43. 引用文件54. 職責(zé)和權(quán)限65. 信息安全策略65.1. 信息系統(tǒng)安全組織65.2. 資產(chǎn)管理85.3. 人員信息安全管理95.4. 物理和環(huán)境安全115.5. 通信和操作管理135.6. 信息系統(tǒng)訪問(wèn)控制175.7. 信息系統(tǒng)的獲取、開(kāi)發(fā)和維護(hù)安全205.8. 信息安全事故處理235.9. 業(yè)務(wù)連續(xù)性管理24

2、5.10. 符合性要求261附件271. 目的和范圍1) 本文檔制定了的信息系統(tǒng)安全策略，作為信息安全的基本標(biāo)準(zhǔn)，是所有安全行為的指導(dǎo)方針，同時(shí)也是建立完整的安全管理體系最根本的基礎(chǔ)。2) 信息安全策略是在信息安全現(xiàn)狀調(diào)研的基礎(chǔ)上，根據(jù)ISO27001的最佳實(shí)踐，結(jié)合現(xiàn)有規(guī)章制度制定而成的信息安全方針和策略文檔。本文檔遵守政府制定的相關(guān)法律、法規(guī)、政策和標(biāo)準(zhǔn)。本安全策略得到領(lǐng)導(dǎo)的認(rèn)可，并在公司內(nèi)強(qiáng)制實(shí)施。3) 建立信息安全策略的目的概括如下：a) 在內(nèi)部建立一套通用的、行之有效的安全機(jī)制；b) 在的員工中樹(shù)立起安全責(zé)任感；c) 在中增強(qiáng)信息資產(chǎn)可用性、完整性和保密性；d) 在中提高全體員工的信

3、息安全意識(shí)和信息安全知識(shí)水平。本安全策略適用于公司全體員工，自發(fā)布之日起執(zhí)行。2. 術(shù)語(yǔ)和定義1) 解釋信息安全是指保護(hù)信息資產(chǎn)免受多種安全威脅，保證業(yè)務(wù)連續(xù)性，將安全事件造成的損失降至最小，同時(shí)最大限度地獲得投資回報(bào)和商業(yè)機(jī)遇。可用性確保經(jīng)過(guò)授權(quán)的用戶(hù)在需要時(shí)可以訪問(wèn)信息并使用相關(guān)信息資產(chǎn)。保密性確保只有經(jīng)過(guò)授權(quán)的人才能訪問(wèn)信息。完整性保護(hù)信息和信息的處理方法準(zhǔn)確而完整。保密信息安全規(guī)章定義的密級(jí)信息。信息安全策略正確使用和管理IT信息資源并保護(hù)這些資源使得它們擁有更好的保密性、完整性、可用性的策略。風(fēng)險(xiǎn)評(píng)估評(píng)估信息安全漏洞對(duì)信息處理設(shè)備帶來(lái)的威脅和影響及其發(fā)生的可能性。風(fēng)險(xiǎn)管理以可以接受的

4、成本，確認(rèn)、控制、排除可能影響信息系統(tǒng)的安全風(fēng)險(xiǎn)或?qū)⑵鋷?lái)的危害最小化的過(guò)程。計(jì)算機(jī)機(jī)房裝有計(jì)算機(jī)主機(jī)、服務(wù)器和相關(guān)設(shè)備的，除了安裝和維護(hù)的情況外，不允許人員在里邊工作的專(zhuān)用房間。員工在系統(tǒng)內(nèi)工作的正式員工、雇傭的臨時(shí)工作人員。用戶(hù)被授權(quán)能使用IT系統(tǒng)的人員。信息資產(chǎn)與信息系統(tǒng)相關(guān)聯(lián)的信息、信息的處理設(shè)備和服務(wù)。信息資產(chǎn)責(zé)任人是指對(duì)某項(xiàng)信息資產(chǎn)安全負(fù)責(zé)的人員。合作單位是指與有業(yè)務(wù)往來(lái)的單位，包括承包商、服務(wù)提供商、設(shè)備廠商、外包服務(wù)商、貿(mào)易伙伴等。第三方訪問(wèn)指非本單位的人員對(duì)信息系統(tǒng)的訪問(wèn)。IT外包服務(wù)是指企業(yè)戰(zhàn)略性選擇外部專(zhuān)業(yè)技術(shù)和服務(wù)資源，以替代內(nèi)部部門(mén)和人員來(lái)承擔(dān)企業(yè)IT系統(tǒng)或系統(tǒng)之上的

5、業(yè)務(wù)流程的運(yùn)營(yíng)、維護(hù)和支持的IT服務(wù)。安全事件利用信息系統(tǒng)的安全漏洞，對(duì)信息資產(chǎn)的保密性、完整性和可用性造成危害的事件。故障是指信息的處理、傳輸設(shè)備運(yùn)行出現(xiàn)意外障礙，以至影響信息系統(tǒng)正常運(yùn)轉(zhuǎn)的事件。安全審計(jì)通過(guò)將所選類(lèi)型的事件記錄在服務(wù)器或工作站的安全日志中用來(lái)跟蹤用戶(hù)活動(dòng)的過(guò)程。超時(shí)設(shè)置用戶(hù)如果超過(guò)特定的時(shí)限沒(méi)有進(jìn)行動(dòng)作，就觸發(fā)其他事件（如斷開(kāi)連接、鎖定用戶(hù)等）。2) 詞語(yǔ)使用必須表示強(qiáng)制性的要求。應(yīng)當(dāng)好的做法所要達(dá)到的要求，條件允許就要實(shí)施?？梢员硎鞠Ｍ_(dá)到的要求。3. 引用文件 下列文件中的條款通過(guò)本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容

6、）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門(mén)研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。1) ISO/IEC 27001:2005 信息技術(shù)-安全技術(shù)-信息安全管理體系要求2) ISO/IEC 17799:2005 信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則4. 職責(zé)和權(quán)限信息安全管控委員會(huì)：負(fù)責(zé)對(duì)信息安全策略進(jìn)行編寫(xiě)、評(píng)審，監(jiān)督和檢查公司全體員工執(zhí)行情況。5. 信息安全策略目標(biāo)：為信息安全提供管理指導(dǎo)和支持，并與業(yè)務(wù)要求和相關(guān)的法律法規(guī)保持一致。1) 策略下發(fā)本策略必須得到管理層批準(zhǔn)，并向所有員工和相關(guān)第三方公布傳達(dá)，全體人員必須履行相關(guān)的義務(wù)，享受相應(yīng)的

7、權(quán)利，承擔(dān)相關(guān)的責(zé)任。2) 策略維護(hù)本策略通過(guò)以下方式進(jìn)行文檔的維護(hù)工作：必須每年按照風(fēng)險(xiǎn)評(píng)估管理程序進(jìn)行例行的風(fēng)險(xiǎn)評(píng)估，如遇以下情況必須及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估：a) 發(fā)生重大安全事故b) 組織或技術(shù)基礎(chǔ)結(jié)構(gòu)發(fā)生重大變更c(diǎn)) 安全管理小組認(rèn)為應(yīng)當(dāng)進(jìn)行風(fēng)險(xiǎn)評(píng)估的d) 其他應(yīng)當(dāng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估的情形風(fēng)險(xiǎn)評(píng)估之后根據(jù)需要進(jìn)行安全策略條目修訂，并在內(nèi)公布傳達(dá)。3) 策略評(píng)審每年必須參照管理評(píng)審程序執(zhí)行公司管理評(píng)審。4) 適用范圍 適用范圍是指本策略使用和涵蓋的對(duì)象，包括現(xiàn)有的業(yè)務(wù)系統(tǒng)、硬件資產(chǎn)、 軟件資產(chǎn)、信息、通用服務(wù)、物理安全區(qū)域等。對(duì)于即將投入使用和今后規(guī)劃的信息系統(tǒng)項(xiàng)目也必須參照本策略執(zhí)行。5.1.

8、 信息系統(tǒng)安全組織目標(biāo)：在組織內(nèi)部管理信息安全，保持可被外部組織訪問(wèn)、處理、溝通或管理的信息及信息處理設(shè)備的安全。1) 內(nèi)部組織l 公司的管理層對(duì)信息安全承擔(dān)最終責(zé)任。管理者職責(zé)參見(jiàn)信息安全管理手冊(cè)。l 公司的信息系統(tǒng)安全管理工作采取信息安全管控委員會(huì)統(tǒng)一管理方式，其他相關(guān)部門(mén)配合執(zhí)行。公司的內(nèi)部信息安全組織包括信息安全管理小組，小組的人員組成以及相關(guān)職責(zé)參見(jiàn)公司信息安全組織結(jié)構(gòu)圖。l 各個(gè)部門(mén)之間必須緊密配合共同進(jìn)行信息安全系統(tǒng)的維護(hù)和建設(shè)。相關(guān)部門(mén)崗位的分工與責(zé)任參見(jiàn)信息安全管理手冊(cè)。l 任何新的信息系統(tǒng)處理設(shè)施必須經(jīng)過(guò)管理授權(quán)的過(guò)程。并更新至信息資產(chǎn)列表。l 信息系統(tǒng)內(nèi)的每個(gè)重要的資產(chǎn)需

9、要明確所有者、使用人員。參見(jiàn)信息資產(chǎn)列表 。l 凡是涉及重要信息、機(jī)密信息（相關(guān)定義參見(jiàn)信息資產(chǎn)鑒別和分類(lèi)管理辦法等信息的處理，相關(guān)的工作崗位員工以及第三方都必須簽署保密協(xié)議。l 應(yīng)當(dāng)與政府機(jī)構(gòu)保持必要的聯(lián)系共同協(xié)調(diào)信息安全相關(guān)問(wèn)題。這些部門(mén)包括執(zhí)法部門(mén)、消防部門(mén)、上級(jí)監(jiān)管部門(mén)、電信供應(yīng)商等提供公共服務(wù)的部門(mén)。l 應(yīng)當(dāng)與相關(guān)信息安全團(tuán)體保持聯(lián)系，以取得信息安全上必要的支持。這些團(tuán)體包括外部安全咨詢(xún)商、獨(dú)立的安全技術(shù)專(zhuān)家等。l 信息安全管理小組每年至少進(jìn)行一次信息安全風(fēng)險(xiǎn)評(píng)估工作（參照風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理程序，并對(duì)安全策略進(jìn)行復(fù)審。信息安全領(lǐng)導(dǎo)小組每年對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)果和安全策略的修改進(jìn)行審批。l 每

10、年或者發(fā)生重大信息安全變化時(shí)必須參照內(nèi)部審核管理程序執(zhí)行公司內(nèi)部審核。2) 外部組織a) 第三方訪問(wèn)是指非人員對(duì)信息系統(tǒng)的訪問(wèn)。第三方至少包含如下人員： 硬件及軟件技術(shù)支持、維護(hù)人員； 項(xiàng)目現(xiàn)場(chǎng)實(shí)施人員； 外單位參觀人員； 合作單位人員； 客戶(hù)； 清潔人員、送餐人員、快遞、保安以及其它外包的支持服務(wù)人員；b) 第三方的訪問(wèn)類(lèi)型包括物理訪問(wèn)和邏輯訪問(wèn)。 物理訪問(wèn)：重點(diǎn)考慮安全要求較高區(qū)域的訪問(wèn)，包括計(jì)算機(jī)機(jī)房、重要辦公區(qū)域和存放重要物品區(qū)域等； 邏輯訪問(wèn)：u 主機(jī)系統(tǒng)u 網(wǎng)絡(luò)系統(tǒng)u 數(shù)據(jù)庫(kù)系統(tǒng)u 應(yīng)用系統(tǒng)c) 第三方訪問(wèn)需要進(jìn)行以下的風(fēng)險(xiǎn)評(píng)估后方可對(duì)訪問(wèn)進(jìn)行授權(quán)。 被訪問(wèn)資產(chǎn)是否會(huì)損壞或者帶來(lái)安

11、全隱患； 客戶(hù)是否與有商業(yè)利益沖突； 是否已經(jīng)完成了相關(guān)的權(quán)限設(shè)定，對(duì)訪問(wèn)加以控制； 是否有過(guò)違反安全規(guī)定的記錄； 是否與法律法規(guī)有沖突，是否會(huì)涉及知識(shí)產(chǎn)權(quán)糾紛；d) 第三方進(jìn)行訪問(wèn)之前必須經(jīng)過(guò)被訪問(wèn)系統(tǒng)的安全責(zé)任人的審核批準(zhǔn)，包括物理訪問(wèn)的區(qū)域和邏輯訪問(wèn)的權(quán)限。（詳見(jiàn)辦公室基礎(chǔ)設(shè)備和工作環(huán)境控制程序）e) 對(duì)于第三方參與的項(xiàng)目或提供的服務(wù)，必須在合同中明確規(guī)定人員的安全責(zé)任，必要時(shí)應(yīng)當(dāng)簽署保密協(xié)議。f) 第三方必須遵守的信息安全策略以及第三方和外包管理規(guī)定，留對(duì)第三方的工作進(jìn)行審核的權(quán)利。5.2. 資產(chǎn)管理目標(biāo)：通過(guò)及時(shí)更新的信息資產(chǎn)目錄對(duì)信息資產(chǎn)進(jìn)行適當(dāng)?shù)谋Ｗo(hù)。1) 資產(chǎn)責(zé)任a) 所有的信

12、息資產(chǎn)必須登記入冊(cè)，對(duì)于有形資產(chǎn)必須進(jìn)行標(biāo)識(shí)，同時(shí)資產(chǎn)信息應(yīng)當(dāng)及時(shí)更新。每項(xiàng)信息資產(chǎn)在登記入冊(cè)及更新時(shí)必須指定信息資產(chǎn)的安全責(zé)任人，信息資產(chǎn)的安全責(zé)任人必須負(fù)責(zé)該信息資產(chǎn)的安全。b) 所有員工和第三方都必須遵守關(guān)于信息設(shè)備安全管理的規(guī)定，以保護(hù)信息處理設(shè)備（包括移動(dòng)設(shè)備和在非公共地點(diǎn)使用的設(shè)備）的安全。2) 信息分類(lèi)a) 必須明確確認(rèn)每項(xiàng)信息資產(chǎn)及其責(zé)任人和安全分類(lèi)，信息資產(chǎn)包括業(yè)務(wù)過(guò)程、硬件和設(shè)施資產(chǎn)、軟件和系統(tǒng)資產(chǎn)、文檔和數(shù)據(jù)信息資產(chǎn)、人員資產(chǎn)、服務(wù)和其他資產(chǎn)。（詳見(jiàn)信息資產(chǎn)列表）。b) 必須建立信息資產(chǎn)管理登記制度，至少詳細(xì)記錄信息資產(chǎn)的分類(lèi)、名稱(chēng)、用途、資產(chǎn)所有者、使用人員等，便于查找

13、和使用。信息資產(chǎn)應(yīng)當(dāng)標(biāo)明適用范圍。（詳見(jiàn)IT設(shè)備管理規(guī)定）。c) 應(yīng)當(dāng)在每個(gè)有形信息資產(chǎn)上進(jìn)行標(biāo)識(shí)。d) 當(dāng)信息資產(chǎn)進(jìn)行拷貝、存儲(chǔ)、傳輸（如郵遞、傳真、電子郵件以及語(yǔ)音傳輸（包括電話、語(yǔ)音郵件、應(yīng)答機(jī)）等）或者銷(xiāo)毀等信息處理時(shí)，應(yīng)當(dāng)參照信息資產(chǎn)鑒別和分類(lèi)管理辦法或者制定妥善的處理步驟并執(zhí)行。e) 對(duì)重要的資料檔案要妥善保管，以防丟失泄密，其廢棄的打印紙及磁介質(zhì)等，應(yīng)按有關(guān)規(guī)定進(jìn)行處理。5.3. 人員信息安全管理目標(biāo)：確保所有的員工、合同方和第三方用戶(hù)了解信息安全威脅和相關(guān)事宜、明確并履行信息安全責(zé)任和義務(wù)，并在日常工作中支持的信息安全方針，減少人為錯(cuò)誤的風(fēng)險(xiǎn)，減少盜竊、濫用或設(shè)施誤用的風(fēng)險(xiǎn)。1

14、) 人員雇傭a) 員工必須了解相關(guān)的信息安全責(zé)任，必須遵守職務(wù)說(shuō)明書(shū)。b) 對(duì)第三方訪問(wèn)人員和臨時(shí)性員工，必須遵守第三方和外包管理規(guī)定。c) 涉及重要信息系統(tǒng)管理的員工、合同方及第三方應(yīng)當(dāng)進(jìn)行相關(guān)技術(shù)背景調(diào)查和能力考評(píng)；d) 涉及重要信息系統(tǒng)管理的員工、合同方及第三方應(yīng)在合同中明確其信息安全責(zé)任并簽署保密協(xié)議；e) 重要崗位的人員在錄用時(shí)應(yīng)做重要崗位背景調(diào)查。2) 雇傭中a) 管理層必須要求所有的員工、合同方及第三方用戶(hù)執(zhí)行信息安全的相關(guān)規(guī)定；b) 應(yīng)當(dāng)設(shè)定信息安全的相關(guān)獎(jiǎng)勵(lì)措施，任何違反信息安全策略的行為都將收到懲戒，具體執(zhí)行辦法參見(jiàn)信息安全獎(jiǎng)懲規(guī)定；c) 將信息安全培訓(xùn)加入員工培訓(xùn)中，培訓(xùn)

15、材料應(yīng)當(dāng)包括下列內(nèi)容： 信息安全策略 信息安全制度 相關(guān)獎(jiǎng)懲辦法d) 應(yīng)當(dāng)按下列群體進(jìn)行不同類(lèi)型的信息安全培訓(xùn)： 全體員工 需要遵守信息安全策略、規(guī)章制度和各項(xiàng)操作流程的第三方人員e) 信息安全培訓(xùn)必須至少每年舉行一次，讓不同部門(mén)的人員能受到適當(dāng)?shù)男畔踩嘤?xùn)。必須參加計(jì)算機(jī)信息安全培訓(xùn)的人員包括： 計(jì)算機(jī)信息系統(tǒng)使用單位的安全管理責(zé)任人； 重點(diǎn)單位或核心計(jì)算機(jī)信息系統(tǒng)的維護(hù)和管理人員； 其他從事計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作的人員； 能夠接觸到敏感數(shù)據(jù)或機(jī)密信息的關(guān)鍵用戶(hù)。3) 人員信息安全管理原則a) 員工錄用時(shí)，人事部門(mén)或調(diào)入部門(mén)必須及時(shí)書(shū)面通知信息技術(shù)部門(mén)添加相關(guān)的口令、帳號(hào)及權(quán)限等并備案

16、。b) 員工在崗位變動(dòng)時(shí)，必須移交調(diào)出崗位的相關(guān)資料和有關(guān)文檔，檢查并歸還在借出的重要信息。人事部門(mén)或調(diào)入部門(mén)必須及時(shí)書(shū)面通知信息技術(shù)部門(mén)修改和刪除相關(guān)的口令、帳號(hào)及權(quán)限等。c) 員工在調(diào)離時(shí)必須進(jìn)行信息安全檢查。調(diào)離人員必須移交全部資料和有關(guān)文檔，刪除自己的文件、帳號(hào)，檢查并歸還在借出的保密信息。由人事部門(mén)書(shū)面通知信息技術(shù)部門(mén)刪除相關(guān)的口令、帳號(hào)、權(quán)限等信息。d) 必須每半年進(jìn)行用戶(hù)帳戶(hù)使用情況的評(píng)審，凡是半年及半年以上未使用的帳號(hào)經(jīng)相關(guān)部門(mén)確認(rèn)后刪除。如有特殊情況，必須事先得到部門(mén)經(jīng)理及安全責(zé)任人的批準(zhǔn)。e) 對(duì)第三方訪問(wèn)人員和臨時(shí)性員工，也必須執(zhí)行相關(guān)規(guī)定。5.4. 物理和環(huán)境安全1)

17、安全區(qū)域目標(biāo)：防止對(duì)工作場(chǎng)所和信息的非法訪問(wèn)、破壞和干擾。a) 必須明確劃分安全區(qū)域。安全區(qū)域至少包括各計(jì)算機(jī)機(jī)房、IT部門(mén)、財(cái)務(wù)、人事等部門(mén)。所有可以進(jìn)出安全區(qū)域的門(mén)必須能防止未經(jīng)授權(quán)的訪問(wèn)，如使用控制裝置、柵欄、監(jiān)控和報(bào)警裝備、鎖等。b) 無(wú)人值守的門(mén)和窗戶(hù)必須上鎖，對(duì)于直接與外部相連的安全區(qū)域的窗戶(hù)必須考慮窗戶(hù)的外部保護(hù)；c) 安全邊界的所有門(mén)均應(yīng)被監(jiān)視并經(jīng)過(guò)檢驗(yàn)，它和墻一起按照合適的地方、國(guó)內(nèi)和國(guó)際標(biāo)準(zhǔn)建立所需的抵抗程度；他們應(yīng)用故障保護(hù)方式按照局部放火規(guī)則來(lái)運(yùn)行。d) 應(yīng)按照地方、國(guó)內(nèi)和國(guó)際標(biāo)準(zhǔn)建立適當(dāng)?shù)娜肭謾z測(cè)體系，并定期檢測(cè)以覆蓋所有的外部門(mén)窗；要一直對(duì)空閑區(qū)域發(fā)出警報(bào)；其他區(qū)域

18、要提供掩護(hù)方法，例如計(jì)算機(jī)室或通信室；e) 安全區(qū)域必須配備充足的安全設(shè)備，例如熱敏和煙氣探測(cè)器、火警系統(tǒng)、滅火設(shè)備，并對(duì)設(shè)備定期檢查。f) 安全區(qū)域進(jìn)出控制采用合適的電子卡或磁卡，并能雙向控制。g) 對(duì)安全區(qū)域的訪問(wèn)必須進(jìn)行記錄和控制，以確保只有經(jīng)過(guò)授權(quán)的人員才可以訪問(wèn)。對(duì)機(jī)房的訪問(wèn)管理參見(jiàn)機(jī)房安全管理規(guī)定，其它區(qū)域可參照?qǐng)?zhí)行。h) 重要設(shè)備必須放在安全區(qū)域內(nèi)進(jìn)行保護(hù)，禁止在公共辦公區(qū)域防止重要的信息處理設(shè)施；i) 應(yīng)當(dāng)控制外來(lái)人員對(duì)公共辦公區(qū)域的訪問(wèn)，第三方訪問(wèn)規(guī)定參見(jiàn)第三方和外包管理規(guī)定j) 關(guān)鍵和敏感設(shè)施應(yīng)當(dāng)存放在與公共辦公區(qū)域相對(duì)隔離的場(chǎng)地，并應(yīng)設(shè)計(jì)并實(shí)施保護(hù)。k) 危險(xiǎn)或易燃物品應(yīng)

19、當(dāng)擺放在離安全區(qū)域安全距離之外，機(jī)房應(yīng)當(dāng)參見(jiàn)機(jī)房安全管理規(guī)定中的要求執(zhí)行值班或巡檢工作任務(wù)。l) 備份介質(zhì)應(yīng)當(dāng)和主場(chǎng)地有一段的安全距離，要考慮信息設(shè)備面臨的可能的安全威脅，參考業(yè)務(wù)連續(xù)性管理程序的內(nèi)容制定對(duì)應(yīng)的業(yè)務(wù)連續(xù)性計(jì)劃，并要定期演練。m) 人員離開(kāi)安全區(qū)域時(shí)應(yīng)當(dāng)及時(shí)上鎖。n) 除非經(jīng)過(guò)主管部門(mén)領(lǐng)導(dǎo)授權(quán)，在安全區(qū)域不允許使用圖象、視頻、音頻或其它記錄設(shè)備。o) 外部人員訪問(wèn)安全區(qū)域時(shí)應(yīng)當(dāng)由員工陪同，并填寫(xiě)機(jī)房出入登記表，對(duì)訪問(wèn)時(shí)間、操作內(nèi)容等加以記錄。p) 出入機(jī)房的設(shè)備必須填寫(xiě)機(jī)房設(shè)備出入登記表。2) 設(shè)備安全目標(biāo)：防止資產(chǎn)的丟失、損壞或被盜，以及對(duì)組織業(yè)務(wù)活動(dòng)的干擾。a) 計(jì)算機(jī)機(jī)房必

20、須提供環(huán)境保障，機(jī)房建設(shè)必須遵照相關(guān)的機(jī)房建設(shè)規(guī)范進(jìn)行。如中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)GB 50174電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范，必須提供： 穩(wěn)定的電源供給 可靠的空氣質(zhì)量控制（溫度，濕度，污染度） 防火，防水，防高溫，放雷b) 應(yīng)盡量減少對(duì)機(jī)房不必要的訪問(wèn)，在機(jī)房?jī)?nèi)工作必須遵守機(jī)房安全管理規(guī)定。c) 各計(jì)算機(jī)機(jī)房是重要的信息處理場(chǎng)所，必須嚴(yán)格執(zhí)行有關(guān)安全保密制度和規(guī)定，并防止重要信息的泄露，保證業(yè)務(wù)數(shù)據(jù)、信息、資料的準(zhǔn)確、安全可靠。d) 計(jì)算機(jī)機(jī)房應(yīng)列為公司重點(diǎn)防火部位，按照規(guī)定配備足夠數(shù)量的消防器材，并定期檢查更換。機(jī)房工作人員要熟悉機(jī)房消防用品的存放位置及使用方法，必須掌握防火設(shè)施的使用方法和步驟

21、；要熟悉設(shè)備電源和照明用電以及其它電氣設(shè)備總開(kāi)關(guān)位置，掌握切斷電源的方法和步驟。在遇到突發(fā)緊急情況時(shí)，必須以保護(hù)人身安全為首要目標(biāo)。e) 定期對(duì)機(jī)房供電線路及照明器具進(jìn)行檢查，防止因線路老化短路造成火災(zāi)。f) 應(yīng)當(dāng)按照設(shè)備維護(hù)要求的時(shí)間間隔和規(guī)范，對(duì)設(shè)備進(jìn)行維護(hù)。g) 第三方支持和維護(hù)人員對(duì)重要設(shè)備技術(shù)支持前，必須經(jīng)過(guò)安全責(zé)任人的授權(quán)或?qū)徟２⑶以趯?duì)重要設(shè)備現(xiàn)場(chǎng)實(shí)施過(guò)程中必須有相關(guān)人員全程陪同，詳細(xì)規(guī)定參見(jiàn)第三方和外包管理規(guī)定。h) 設(shè)備的安全與重用應(yīng)當(dāng)按規(guī)定的操作程序來(lái)處理，特別是包含重要信息的存儲(chǔ)設(shè)備，應(yīng)按照相關(guān)規(guī)定，以確定是否銷(xiāo)毀、修理或棄用該設(shè)備。對(duì)棄置的存儲(chǔ)有敏感信息的存儲(chǔ)設(shè)備，必須

22、將其銷(xiāo)毀，或重寫(xiě)數(shù)據(jù)，而不能只是使用標(biāo)準(zhǔn)的刪除功能進(jìn)行數(shù)據(jù)刪除。詳細(xì)規(guī)定參見(jiàn)移動(dòng)存儲(chǔ)介質(zhì)使用規(guī)定。i) 當(dāng)員工離開(kāi)時(shí)，對(duì)于載有重要信息的紙張和可移動(dòng)的存儲(chǔ)介質(zhì)，應(yīng)當(dāng)妥善保管。j) 遠(yuǎn)程辦公人員有責(zé)任保護(hù)移動(dòng)設(shè)備的安全，未經(jīng)批準(zhǔn)，不得在公共場(chǎng)所訪問(wèn)內(nèi)部網(wǎng)絡(luò)。k) 未經(jīng)信息安全責(zé)任人授權(quán)，不允許將載有重要信息的設(shè)備、信息或軟件帶離工作場(chǎng)所。機(jī)房?jī)?nèi)設(shè)備的出入必須填寫(xiě)機(jī)房出入登記表。5.5. 通信和操作管理1) 操作程序和責(zé)任目標(biāo)：確保信息處理設(shè)施的正確和安全操作 a) 對(duì)于日常維護(hù)工作必須按照規(guī)定的系統(tǒng)操作流程進(jìn)行，操作流程應(yīng)當(dāng)指明具體執(zhí)行每個(gè)作業(yè)的說(shuō)明。操作流程必須成文，并只有經(jīng)授權(quán)才可以修改。b

23、) 必須建立并執(zhí)行信息處理設(shè)備和信息系統(tǒng)變更管理流程（具體參照變更管理流程），形成文檔備案。c) 處理敏感信息資產(chǎn)時(shí)，可以考慮分離職責(zé)，如果不實(shí)施分離，則應(yīng)當(dāng)對(duì)處理操作予以記錄，并定期進(jìn)行監(jiān)督。d) 應(yīng)當(dāng)分離開(kāi)發(fā)、測(cè)試與運(yùn)營(yíng)環(huán)境，敏感數(shù)據(jù)不可拷貝到測(cè)試環(huán)境中，測(cè)試完成后應(yīng)當(dāng)及時(shí)清理測(cè)試環(huán)境。2) 第三方服務(wù)交付管理目標(biāo)：實(shí)施并保持信息安全的適當(dāng)水平，確保第三方交付的服務(wù)符合協(xié)議要求。a) 應(yīng)當(dāng)確保第三方實(shí)施、運(yùn)行并保持第三方服務(wù)交付協(xié)議中包括商定的安全布置、服務(wù)定義和交付等級(jí)。應(yīng)定期審核第三方的服務(wù)提交的報(bào)告和檢查對(duì)協(xié)議的符合度。重要的第三方服務(wù)必須簽訂服務(wù)合同和第三方保密協(xié)議。b) 應(yīng)當(dāng)在第

24、三方服務(wù)協(xié)議中包含服務(wù)變更管理的內(nèi)容。變更內(nèi)容包括但不限于： 任何新應(yīng)用、系統(tǒng)、服務(wù)的開(kāi)發(fā) 對(duì)現(xiàn)有應(yīng)用、系統(tǒng)、服務(wù)的更改或更新 與信息安全有關(guān)的新的控制措施 網(wǎng)絡(luò)環(huán)境或其它新技術(shù)的使用 開(kāi)發(fā)環(huán)境或物理環(huán)境的變更 供應(yīng)商的變更3) 系統(tǒng)策劃與驗(yàn)收目標(biāo)：最小化系統(tǒng)失效的風(fēng)險(xiǎn)a) 應(yīng)為系統(tǒng)的性能和容量要求做預(yù)先的規(guī)劃和準(zhǔn)備，應(yīng)反映對(duì)未來(lái)容量需求的推測(cè)，以減少系統(tǒng)過(guò)載的風(fēng)險(xiǎn)。b) 應(yīng)建立新信息系統(tǒng)、系統(tǒng)升級(jí)和新版本的驗(yàn)收準(zhǔn)則，驗(yàn)收前應(yīng)當(dāng)完成設(shè)計(jì)審核、缺陷分析及安全測(cè)試。必須將驗(yàn)收標(biāo)準(zhǔn)寫(xiě)入到項(xiàng)目合同中。4) 防范惡意和移動(dòng)代碼目標(biāo)：保護(hù)軟件和信息的完整性。a) 所有服務(wù)器和個(gè)人計(jì)算機(jī)都必須激活防病毒軟件

25、，必須及時(shí)更新防病毒代碼庫(kù)。詳細(xì)規(guī)定參見(jiàn)防病毒管理程序。b) 系統(tǒng)內(nèi)的服務(wù)器和個(gè)人計(jì)算機(jī)必須使用可信來(lái)源的軟件，應(yīng)對(duì)軟件進(jìn)行病毒檢測(cè)后統(tǒng)一保存。c) 員工應(yīng)當(dāng)?shù)街付ǖ目臻g下載軟件，不得私自安裝授權(quán)使用軟件列表之外的軟件。d) 必須對(duì)所有的電子郵件附件進(jìn)行病毒掃描，也不要隨意打開(kāi)來(lái)歷不明的郵件附件。e) 應(yīng)當(dāng)開(kāi)展對(duì)一般員工的預(yù)防病毒培訓(xùn)。員工一旦發(fā)現(xiàn)或懷疑有PC或服務(wù)器被病毒感染,必須馬上斷開(kāi)網(wǎng)絡(luò)并進(jìn)行全盤(pán)掃描，必須立即通知技術(shù)部門(mén)。5) 備份目標(biāo)：保持信息和信息處理設(shè)施的完整性和可用性。a) 管理員應(yīng)當(dāng)對(duì)重要的應(yīng)用系統(tǒng)、操作系統(tǒng)、配置文件及日志等制訂備份策略，并要定期對(duì)備份數(shù)據(jù)進(jìn)行測(cè)試。如果是

26、涉密信息，必須對(duì)備份信息實(shí)施加密。b) 所有員工要定期對(duì)個(gè)人電腦上的重要數(shù)據(jù)進(jìn)行備份，以減少不必要的損失。c) 備份應(yīng)當(dāng)存儲(chǔ)在與主設(shè)備有足夠距離的地點(diǎn)，該地點(diǎn)應(yīng)安全可靠，應(yīng)同主設(shè)備場(chǎng)地使用同等的安全等級(jí)。6) 網(wǎng)絡(luò)安全管理目標(biāo)：確保網(wǎng)絡(luò)中的信息和支持性基礎(chǔ)設(shè)施得到保護(hù)。a) 應(yīng)當(dāng)對(duì)重要的線路、網(wǎng)絡(luò)設(shè)備采用冗余措施，以維持關(guān)鍵服務(wù)的可用性。b) 網(wǎng)絡(luò)管理員應(yīng)當(dāng)參照訪問(wèn)控制程序?qū)W(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)進(jìn)行充分的管理和控制，并采用網(wǎng)管工具對(duì)通訊線路、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)的監(jiān)控和預(yù)警。c) 處理敏感信息的計(jì)算機(jī)應(yīng)當(dāng)與局域網(wǎng)物理隔離，應(yīng)當(dāng)采用適當(dāng)?shù)募用芗夹g(shù)。7) 介質(zhì)處理目標(biāo)：防止對(duì)資產(chǎn)的未授權(quán)泄露、修改

27、、移動(dòng)或損壞，及對(duì)業(yè)務(wù)活動(dòng)的的干擾。a) 應(yīng)當(dāng)妥善記錄移動(dòng)介質(zhì)。不得將載有重要信息的存儲(chǔ)介質(zhì)隨意存放，未經(jīng)安全責(zé)任人授權(quán)，不得帶出辦公地點(diǎn)。b) 如果介質(zhì)上的內(nèi)容不再需要，應(yīng)當(dāng)立即清除。對(duì)于備份或存放有重要信息或軟件的存儲(chǔ)介質(zhì)，在銷(xiāo)毀時(shí)，應(yīng)當(dāng)進(jìn)行格式化或重寫(xiě)數(shù)據(jù)，避免不必要的泄露。c) 存放業(yè)務(wù)應(yīng)用系統(tǒng)及重要信息的介質(zhì)，嚴(yán)禁外借，確因工作需要，須報(bào)請(qǐng)部門(mén)領(lǐng)導(dǎo)批準(zhǔn)。d) 對(duì)需要長(zhǎng)期保存的介質(zhì)，必須在介質(zhì)老化前進(jìn)行轉(zhuǎn)儲(chǔ)，以防止因介質(zhì)失效造成損失。e) 應(yīng)限制只有系統(tǒng)管理員才可訪問(wèn)系統(tǒng)文檔。應(yīng)對(duì)的所有信息數(shù)據(jù)分類(lèi)標(biāo)識(shí)，建立信息處置、存儲(chǔ)、分發(fā)的規(guī)程。8) 信息交換目標(biāo)：應(yīng)保持組織內(nèi)部或組織與外部組織

28、之間交換信息和軟件的安全。a) 應(yīng)當(dāng)依據(jù)信息資產(chǎn)鑒別和分類(lèi)管理辦法、信息安全交流控制程序，保護(hù)信息在發(fā)布、交換時(shí)的安全。b) 員工必須遵守國(guó)家有關(guān)信息管理的法規(guī)，不得利用網(wǎng)絡(luò)危害國(guó)家安全、泄露國(guó)家秘密，不得違反中華人民共和國(guó)現(xiàn)行法律和法規(guī)，不得侵犯國(guó)家社會(huì)集體的和公民的合法權(quán)益。c) 敏感信息應(yīng)當(dāng)通過(guò)專(zhuān)用的線路傳輸。未經(jīng)安全責(zé)任人授權(quán)，員工不得與外部聯(lián)網(wǎng)的計(jì)算機(jī)信息系統(tǒng)傳輸涉及重要信息的文件。d) 員工不得利用網(wǎng)絡(luò)對(duì)他人進(jìn)行侮辱、誹謗、騷擾；不得侵害他人合法權(quán)益；不得侵犯他人的名譽(yù)權(quán)，肖像權(quán)、姓名權(quán)等人身權(quán)利；不得侵犯他人的商譽(yù)、商標(biāo)、版權(quán)、專(zhuān)利、專(zhuān)有技術(shù)等各種知識(shí)產(chǎn)權(quán)。e) 在通過(guò)郵政等物理

29、傳輸方式傳輸時(shí)，應(yīng)保護(hù)包含重要信息的介質(zhì)的安全。f) 應(yīng)控制并記錄允許操作業(yè)務(wù)系統(tǒng)的用戶(hù)名單，未經(jīng)安全責(zé)任人授權(quán)，不得隨意變更訪問(wèn)限制和共享信息。9) 監(jiān)視和審計(jì)目標(biāo)：檢測(cè)未經(jīng)授權(quán)的信息處理活動(dòng)。a) 公司制定IT設(shè)備設(shè)施維護(hù)管理程序、信息安全技術(shù)檢查管理規(guī)定對(duì)信息系統(tǒng)活動(dòng)進(jìn)行監(jiān)控。b) 應(yīng)當(dāng)使用監(jiān)視程序以確保用戶(hù)只執(zhí)行被明確授權(quán)的活動(dòng)，審計(jì)內(nèi)容應(yīng)細(xì)化到個(gè)人而不是共享帳號(hào)。審計(jì)至少包括用戶(hù)ID、系統(tǒng)日志、操作記錄等。c) 可以實(shí)施安全產(chǎn)品或調(diào)整配置，以記錄和審計(jì)用戶(hù)活動(dòng)、系統(tǒng)、安全產(chǎn)品和信息安全事件產(chǎn)生的日志，并按照約定的期限保留，以支持將來(lái)的調(diào)查和訪問(wèn)控制監(jiān)視。d) 可以在內(nèi)網(wǎng)中配置日志服務(wù)

30、器，專(zhuān)門(mén)收集主機(jī)、網(wǎng)絡(luò)設(shè)備、安全產(chǎn)品的日志，以避免日志被破壞或覆蓋。e) 應(yīng)在網(wǎng)絡(luò)中配置時(shí)鐘服務(wù)器，被審計(jì)的信息設(shè)備應(yīng)同時(shí)鐘服務(wù)器的時(shí)間保持同步，以避免審計(jì)上的漏洞。5.6. 信息系統(tǒng)訪問(wèn)控制1) 訪問(wèn)控制的業(yè)務(wù)要求目標(biāo)：控制對(duì)信息的訪問(wèn)。a) 應(yīng)當(dāng)明確規(guī)定每個(gè)用戶(hù)以及相應(yīng)用戶(hù)組在各個(gè)系統(tǒng)中訪問(wèn)控制規(guī)則與權(quán)限，每半年要評(píng)審用戶(hù)和訪問(wèn)權(quán)限的設(shè)置，詳細(xì)規(guī)定參見(jiàn)訪問(wèn)控制程序。2) 用戶(hù)訪問(wèn)管理目標(biāo)：確保授權(quán)用戶(hù)的訪問(wèn)，并預(yù)防信息系統(tǒng)的非授權(quán)訪問(wèn)。a) 禁止用戶(hù)帳號(hào)共享，普通用戶(hù)不能在一個(gè)系統(tǒng)上擁有多個(gè)帳號(hào)，系統(tǒng)管理員不能在一個(gè)系統(tǒng)上擁有多個(gè)相同角色的帳號(hào)。每個(gè)用戶(hù)應(yīng)當(dāng)在不同的信息系統(tǒng)上遵循統(tǒng)一的命名

31、方式且使用相同的用戶(hù)帳號(hào)，統(tǒng)一的命名方式應(yīng)當(dāng)參考域（郵箱）帳號(hào)命名規(guī)則。詳細(xì)規(guī)定參見(jiàn)公司郵箱管理辦法b) 所有對(duì)信息系統(tǒng)的訪問(wèn)必須遵照訪問(wèn)控制程序。除非員工獲得該流程規(guī)定的相關(guān)部門(mén)授權(quán)，否則不準(zhǔn)在網(wǎng)絡(luò)上給外單位和個(gè)人開(kāi)戶(hù)，也不準(zhǔn)外單位或個(gè)人借用內(nèi)部用戶(hù)名和口令上網(wǎng)，一經(jīng)查出將追究當(dāng)事人責(zé)任。c) 用戶(hù)權(quán)限必須按照最小權(quán)限原則進(jìn)行分配。d) 技術(shù)人員在收到重置口令的申請(qǐng)時(shí)，必須驗(yàn)證用戶(hù)的身份后方可提供一個(gè)臨時(shí)的代替口令。e) 要告知并強(qiáng)制用戶(hù)遵守用戶(hù)帳號(hào)及口令管理規(guī)定，用戶(hù)必須對(duì)自己的帳號(hào)和口令保密，不能以任何形式向他人透露口令信息，不得以未加密的形式將口令保存在文件或計(jì)算機(jī)中，在收到應(yīng)用系統(tǒng)或

32、軟件的初始口令后必須及時(shí)更改。f) 用戶(hù)帳號(hào)三個(gè)月未使用的將在系統(tǒng)中自動(dòng)失效。必須每半年進(jìn)行用戶(hù)使用情況的評(píng)審，凡是半年及半年以上未使用的帳號(hào)經(jīng)相關(guān)部門(mén)確認(rèn)后刪除。如有特殊情況，必須事先得到信息安全部及安全責(zé)任人的批準(zhǔn)并備案。3) 用戶(hù)責(zé)任目標(biāo)：避免未授權(quán)用戶(hù)的訪問(wèn)，防止信息和信息處理設(shè)施的安全。a) 員工和訪問(wèn)信息系統(tǒng)的第三方必須遵守用戶(hù)帳號(hào)及口令管理規(guī)定的要求保證自己的用戶(hù)帳號(hào)和口令的安全。要求用戶(hù)不得明文保存口令，及時(shí)修改默認(rèn)口令并必須選擇強(qiáng)壯的口令，定期修改密碼，不得隨意共享密碼。b) 所有計(jì)算機(jī)應(yīng)當(dāng)啟用計(jì)算機(jī)的開(kāi)機(jī)口令進(jìn)行保護(hù)。當(dāng)員工離開(kāi)計(jì)算機(jī)時(shí)，員工必須立即鎖定屏幕或退出系統(tǒng)，且在

33、系統(tǒng)內(nèi)必須設(shè)置5分鐘自動(dòng)啟用有口令的屏幕保護(hù)。c) 離開(kāi)機(jī)房后要及時(shí)鎖門(mén)，重要信息設(shè)備可以使用計(jì)算機(jī)鎖等控制措施來(lái)保護(hù)其不受未授權(quán)訪問(wèn)。d) 人員離開(kāi)時(shí)，必須清理桌面上的敏感信息，打印出的文件必須及時(shí)從打印機(jī)取走。4) 網(wǎng)絡(luò)訪問(wèn)控制目標(biāo)：防止對(duì)網(wǎng)絡(luò)服務(wù)的未經(jīng)授權(quán)的訪問(wèn)。a) 網(wǎng)絡(luò)管理員必須參照訪問(wèn)控制程序和業(yè)務(wù)系統(tǒng)要求進(jìn)行控制： 明確哪些用戶(hù)可以訪問(wèn)的網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)列表 明確訪問(wèn)網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的用戶(hù) 實(shí)施相應(yīng)的控制手段b) 對(duì)于來(lái)自外部的連接，使用VPN連接，使用基于口令的控制系統(tǒng)進(jìn)行控制。c) 任何到網(wǎng)絡(luò)的物理或邏輯的連接必須經(jīng)過(guò)運(yùn)維部的批準(zhǔn)。d) 必須明確哪些人可以遠(yuǎn)程診斷和調(diào)試信息設(shè)備。

34、給第三方開(kāi)放遠(yuǎn)程維護(hù)帳號(hào)時(shí)，維護(hù)結(jié)束后必須立即收回。e) 局域網(wǎng)網(wǎng)絡(luò)對(duì)外出口必須使用防火墻進(jìn)行保護(hù)，根據(jù)安全需要可以考慮將局域網(wǎng)進(jìn)一步劃分為獨(dú)立的邏輯網(wǎng)絡(luò)域，并各邏輯網(wǎng)的接口處使用防火墻保護(hù)。上述接口和出口應(yīng)當(dāng)同時(shí)考慮實(shí)施地址轉(zhuǎn)換、防病毒和入侵檢測(cè)產(chǎn)品等。f) 未經(jīng)批準(zhǔn)，不得在公共場(chǎng)所訪問(wèn)內(nèi)部網(wǎng)絡(luò)。g) 對(duì)于從正式辦公地點(diǎn)內(nèi)部發(fā)起的、目標(biāo)為外部網(wǎng)絡(luò)或計(jì)算機(jī)的所有計(jì)算機(jī)網(wǎng)絡(luò)連接，必須通過(guò)由統(tǒng)一配置使用的系統(tǒng)進(jìn)行路由。5) 操作系統(tǒng)訪問(wèn)控制目標(biāo)：防止對(duì)操作系統(tǒng)未授權(quán)訪問(wèn)。a) 主機(jī)系統(tǒng)的登錄必須遵照以下規(guī)定： 對(duì)于非Windows平臺(tái)，成功登錄后，才顯示系統(tǒng)或應(yīng)用標(biāo)識(shí) 只顯示一般性的警告信息，例如

35、“本系統(tǒng)只允許授權(quán)用戶(hù)訪問(wèn)” 限制不成功登錄的次數(shù)，不得超過(guò)5次，否則鎖定用戶(hù)帳號(hào) 記錄成功和不成功登錄的情況 需要在網(wǎng)絡(luò)上傳輸口令時(shí)，應(yīng)當(dāng)進(jìn)行加密b) 登錄終端必須有超時(shí)設(shè)置，不超過(guò)20分鐘。c) 應(yīng)對(duì)所有用戶(hù)分配一個(gè)唯一的ID。無(wú)特殊情況一個(gè)人不得在一個(gè)系統(tǒng)上擁有多個(gè)帳號(hào)。d) 使用口令管理系統(tǒng)時(shí)，可以考慮配置： 強(qiáng)制選擇優(yōu)質(zhì)口令。 允許用戶(hù)選擇和更改自己的口令，其中要包括新口令的確認(rèn)過(guò)程。 強(qiáng)制用戶(hù)在第一次登錄時(shí)修改口令。 分開(kāi)存儲(chǔ)口令文件和應(yīng)用系統(tǒng)數(shù)據(jù) 保護(hù)口令的存儲(chǔ)和傳輸過(guò)程。e) 應(yīng)分開(kāi)保存系統(tǒng)文件和應(yīng)用數(shù)據(jù)，限制對(duì)系統(tǒng)文件的操作。6) 應(yīng)用程序和信息訪問(wèn)控制目標(biāo)：防止對(duì)應(yīng)用系統(tǒng)中

36、信息的非法訪問(wèn)。a) 應(yīng)限制用戶(hù)和管理員對(duì)應(yīng)用系統(tǒng)的訪問(wèn)權(quán)限，要求用戶(hù)在申請(qǐng)、變更或廢止訪問(wèn)權(quán)限時(shí)，應(yīng)填寫(xiě)權(quán)限申請(qǐng)表。b) 處理敏感信息的系統(tǒng)應(yīng)當(dāng)與公共網(wǎng)隔離，且系統(tǒng)輸出信息僅能發(fā)送給特定的終端和人員。c) 應(yīng)當(dāng)參考信息資產(chǎn)鑒別和分類(lèi)管理辦法明確標(biāo)識(shí)出敏感信息，當(dāng)需要共享或分發(fā)敏感信息時(shí)，必須附帶保密聲明。7) 移動(dòng)計(jì)算和遠(yuǎn)程工作目標(biāo)：確保在使用移動(dòng)計(jì)算機(jī)和遠(yuǎn)程工作設(shè)施時(shí)的安全。a) 所有遠(yuǎn)程工作的移動(dòng)計(jì)算機(jī)都必須安裝防病毒軟件，應(yīng)當(dāng)考慮采用動(dòng)態(tài)口令系統(tǒng)。未經(jīng)信息安全部批準(zhǔn)，不得在公共場(chǎng)所訪問(wèn)內(nèi)部網(wǎng)絡(luò)。詳細(xì)參見(jiàn)筆記本電腦安全使用指南b) 應(yīng)當(dāng)安排針對(duì)移動(dòng)辦公人員的安全培訓(xùn)，要求此類(lèi)用戶(hù)保護(hù)移動(dòng)

37、設(shè)備和遠(yuǎn)程辦公帳號(hào)的安全。5.7. 信息系統(tǒng)的獲取、開(kāi)發(fā)和維護(hù)安全1) 信息系統(tǒng)的安全要求目標(biāo)：確保安全成為信息系統(tǒng)的一部分。a) 對(duì)自主開(kāi)發(fā)和外包開(kāi)發(fā)的信息系統(tǒng)或?qū)ΜF(xiàn)有系統(tǒng)的更新，在分析階段應(yīng)當(dāng)規(guī)定對(duì)安全控制的要求，并集成到系統(tǒng)設(shè)計(jì)規(guī)范書(shū)、招標(biāo)規(guī)范書(shū)和外包合同書(shū)之中，并在開(kāi)發(fā)工作和驗(yàn)收時(shí)進(jìn)行考慮。2) 應(yīng)用系統(tǒng)的正確處理目標(biāo)：防止應(yīng)用系統(tǒng)信息的錯(cuò)誤、丟失、未授權(quán)的修改或誤用。a) 應(yīng)用系統(tǒng)設(shè)計(jì)時(shí)應(yīng)當(dāng)針對(duì)數(shù)據(jù)安全進(jìn)行以下方面的考慮： 輸入數(shù)據(jù)驗(yàn)證：對(duì)應(yīng)用系統(tǒng)的數(shù)據(jù)輸入進(jìn)行驗(yàn)證，保證輸入數(shù)據(jù)正確并合乎要求。 數(shù)據(jù)的容錯(cuò)處理：為防止正確的數(shù)據(jù)因處理錯(cuò)誤或故意人為等因素遭到破壞而采取的檢查和控制措施

38、。 輸出數(shù)據(jù)驗(yàn)證：對(duì)應(yīng)用系統(tǒng)輸出的數(shù)據(jù)進(jìn)行驗(yàn)證，保證對(duì)存儲(chǔ)信息的正確處理。 消息驗(yàn)證：檢查傳輸?shù)碾娮酉?nèi)容是否有非法變更或破壞的技術(shù)手段。可以用加密技術(shù)作為實(shí)現(xiàn)消息驗(yàn)證的手段。 加密：是用于保護(hù)信息機(jī)密性的技術(shù)。在保護(hù)敏感或關(guān)鍵信息時(shí)使用。b) 周期性評(píng)審關(guān)鍵信息和數(shù)據(jù)的內(nèi)容，以保證其有效性和完整性。3) 加密控制目標(biāo)：通過(guò)加密手段來(lái)保護(hù)信息的保密性、真實(shí)性和完整性a) 在組織內(nèi)實(shí)施加密控制的策略，可以考慮使用密碼技術(shù)以實(shí)現(xiàn)： 保密性：通過(guò)信息加密保護(hù)存儲(chǔ)和傳輸中的敏感和重要數(shù)據(jù)。 完整性/可認(rèn)證性：使用數(shù)字簽名和消息驗(yàn)證碼去保護(hù)存儲(chǔ)的和傳輸中的敏感和重要數(shù)據(jù)的可認(rèn)證性和完整性。 不可否認(rèn)性

39、：利用密碼技術(shù)獲得事件和行為發(fā)生或未發(fā)生的證明。b) 實(shí)施密鑰管理辦法，包括防止密鑰的丟失、泄密或破壞，密鑰的銷(xiāo)毀和密鑰損壞后加密數(shù)據(jù)的恢復(fù)。4) 系統(tǒng)文件安全目標(biāo)：確保系統(tǒng)文件的安全a) 應(yīng)當(dāng)僅由管理員才可以進(jìn)行操作系統(tǒng)、軟件、應(yīng)用和運(yùn)行程序庫(kù)的更新，生產(chǎn)系統(tǒng)不得安裝無(wú)關(guān)軟件。b) 應(yīng)當(dāng)盡量避免應(yīng)用系統(tǒng)對(duì)操作系統(tǒng)的直接調(diào)用，最大限度降低操作系統(tǒng)崩潰的風(fēng)險(xiǎn)。c) 重要的應(yīng)用和操作系統(tǒng)軟件只有在全面正確的測(cè)試通過(guò)后才可安裝，測(cè)試包括實(shí)用性、安全性、在其它系統(tǒng)上的有效性、用戶(hù)友好性等，測(cè)試應(yīng)在獨(dú)立的系統(tǒng)上完成，必須確保對(duì)應(yīng)的程序庫(kù)已經(jīng)更新。d) 重要軟件和應(yīng)用升級(jí)后，包括需要的信息、參數(shù)、升級(jí)過(guò)程

40、日志、配置細(xì)節(jié)等都要?dú)w檔，配套的數(shù)據(jù)和文件也應(yīng)歸檔。e) 所有應(yīng)用必須編寫(xiě)應(yīng)用配置手冊(cè)，應(yīng)用配置手冊(cè)必須隨著操作系統(tǒng)軟件或應(yīng)用配置的改變而及時(shí)更新。f) 測(cè)試過(guò)程中應(yīng)當(dāng)避免使用敏感信息，測(cè)試完成后應(yīng)當(dāng)及時(shí)清除。g) 訪問(wèn)程序源代碼的行為應(yīng)受到限制，更新關(guān)鍵應(yīng)用系統(tǒng)必須按照變更管理流程得到授權(quán)。若有可能，在運(yùn)行環(huán)境中不應(yīng)保留程序源代碼庫(kù)。5) 開(kāi)發(fā)和支持過(guò)程安全目標(biāo)：保持應(yīng)用系統(tǒng)軟件和信息的安全a) 維護(hù)并執(zhí)行變更管理流程，該流程應(yīng)當(dāng)包括提交申請(qǐng)、調(diào)研和評(píng)估、審批、實(shí)施、總結(jié)和備案。b) 必須分開(kāi)生產(chǎn)環(huán)境和非生產(chǎn)環(huán)境，非生產(chǎn)環(huán)境包括開(kāi)發(fā)、測(cè)試和培訓(xùn)所用的環(huán)境。應(yīng)用開(kāi)發(fā)人員不允許訪問(wèn)生產(chǎn)環(huán)境，除非

41、在有安全評(píng)測(cè)手段的前提下，應(yīng)用開(kāi)發(fā)人員可以暫時(shí)獲得生產(chǎn)環(huán)境下的用戶(hù)名和口令以用于系統(tǒng)支持，必須保證在系統(tǒng)支持完成之后立即修改口令。c) 當(dāng)操作系統(tǒng)變更后，應(yīng)評(píng)審和測(cè)試關(guān)鍵的應(yīng)用系統(tǒng)，以確定此變更對(duì)運(yùn)營(yíng)和安全帶來(lái)的影響。d) 只能從可信的渠道（如廠商指定的網(wǎng)站）獲取軟件的更新程序，重要變更必須進(jìn)行記錄。變更后，運(yùn)維人員應(yīng)當(dāng)監(jiān)控變更帶來(lái)的影響。其中安全補(bǔ)丁的規(guī)定詳見(jiàn)補(bǔ)丁管理程序。e) 可以采取安全手段監(jiān)視系統(tǒng)、通信和個(gè)人行為，以減小信息泄露的可能。6) 技術(shù)漏洞管理目標(biāo)：減少利用公開(kāi)的技術(shù)漏洞帶來(lái)的風(fēng)險(xiǎn)。a) 應(yīng)當(dāng)確認(rèn)軟件和其它技術(shù)的相關(guān)漏洞，指定專(zhuān)人進(jìn)行安全補(bǔ)丁管理工作，包括補(bǔ)丁公告、補(bǔ)丁評(píng)估和

42、補(bǔ)丁列表的維護(hù)工作。詳細(xì)規(guī)定參見(jiàn)補(bǔ)丁管理程序。b) 如果沒(méi)有合適的補(bǔ)丁，應(yīng)當(dāng)實(shí)施其它措施，如： 關(guān)掉可能利用漏洞造成損害的服務(wù)和端口 在網(wǎng)絡(luò)邊界上增加隔離和訪問(wèn)控制，如防火墻 在網(wǎng)絡(luò)中部署入侵檢測(cè)系統(tǒng) 增強(qiáng)對(duì)該漏洞的監(jiān)控5.8. 信息安全事故處理1) 報(bào)告信息安全事故和弱點(diǎn)目標(biāo)：確保與信息系統(tǒng)有關(guān)的安全事件和弱點(diǎn)的報(bào)告，以便及時(shí)采取糾正措施。a) 維護(hù)并執(zhí)行信息安全事件管理程序，培訓(xùn)并要求所有員工和第三方都有責(zé)任盡快報(bào)告信息安全事件。b) 信息安全事件發(fā)生后，報(bào)告人應(yīng)立即將事件的重要細(xì)節(jié)（如事件描述、屏幕上顯示的消息、造成的后果、其它異常情況等）向主管部門(mén)報(bào)告。c) 所有員工和第三方有責(zé)任注意

43、并報(bào)告系統(tǒng)或服務(wù)中已發(fā)現(xiàn)或疑似的安全漏洞，但不能擅自處理和散播。2) 信息安全事故管理和改進(jìn)目標(biāo)：確保使用可追蹤的，有效的方法管理信息安全事故。a) 應(yīng)當(dāng)建立包括事件報(bào)告、分類(lèi)、責(zé)任分工、響應(yīng)方法、記錄和總結(jié)、恢復(fù)計(jì)劃等在內(nèi)的信息安全事故管理機(jī)制。詳細(xì)規(guī)定參見(jiàn)信息安全事件管理程序。b) 應(yīng)通過(guò)信息安全事故的評(píng)估和總結(jié)以識(shí)別將來(lái)可能再次發(fā)生的事故，特別是可能造成重大影響的事故，盡量減小同種事故帶來(lái)的損失。c) 從事件被檢測(cè)到至處理完成全過(guò)程的記錄和證據(jù)（包括紙制文檔和電子信息）都應(yīng)進(jìn)行保留。5.9. 業(yè)務(wù)連續(xù)性管理1) 業(yè)務(wù)連續(xù)性管理中的信息安全目標(biāo)：防止業(yè)務(wù)活動(dòng)中斷，保證重要業(yè)務(wù)流程不受重大故

44、障和災(zāi)難的影響，并確保它們的及時(shí)恢復(fù)。a) 參考業(yè)務(wù)連續(xù)性管理程序制訂并實(shí)施業(yè)務(wù)連續(xù)性計(jì)劃，預(yù)防和恢復(fù)控制相結(jié)合，將災(zāi)難和安全故障（可能是由于自然災(zāi)害、事故、設(shè)備故障和蓄意破壞等引起）造成的影響降低到可以接受的水平，限制破壞性事件造成的后果，確保關(guān)鍵業(yè)務(wù)的操作得到及時(shí)恢復(fù)。業(yè)務(wù)連續(xù)性計(jì)劃制定后必須得到安全領(lǐng)導(dǎo)小組的批準(zhǔn)。b) 業(yè)務(wù)連續(xù)性計(jì)劃的內(nèi)容至少應(yīng)當(dāng)包括： 確定關(guān)鍵業(yè)務(wù)流程和其所涉及資產(chǎn)，明確信息處理設(shè)施的業(yè)務(wù)目標(biāo)。 識(shí)別可能導(dǎo)致業(yè)務(wù)中斷的重大事故，評(píng)估此類(lèi)重大事故發(fā)生的可能性及造成業(yè)務(wù)中斷給造成的影響，確定關(guān)鍵業(yè)務(wù)流程的優(yōu)先級(jí)。 必要時(shí)可以適當(dāng)考慮購(gòu)買(mǎi)保險(xiǎn)，以降低重大災(zāi)難引起的損失。 定

45、期對(duì)計(jì)劃和相關(guān)操作流程進(jìn)行檢查、演練和更新。 明確人員職責(zé)，業(yè)務(wù)連續(xù)性管理過(guò)程的職責(zé)應(yīng)分配給安委會(huì)。 保護(hù)人員、信息處理設(shè)備和機(jī)構(gòu)財(cái)產(chǎn)的安全。 業(yè)務(wù)恢復(fù)的優(yōu)先級(jí)，應(yīng)當(dāng)考慮可容忍的業(yè)務(wù)中斷時(shí)間和業(yè)務(wù)恢復(fù)到中斷前的哪個(gè)時(shí)間點(diǎn)，要特別注意對(duì)有關(guān)外部業(yè)務(wù)和合同的評(píng)估。 滿(mǎn)足業(yè)務(wù)連續(xù)性計(jì)劃所需的資源和服務(wù)，包括人員、非信息處理資源以及信息處理設(shè)施的低效運(yùn)行安排。 業(yè)務(wù)流程的備案 對(duì)員工進(jìn)行適當(dāng)?shù)臉I(yè)務(wù)連續(xù)性計(jì)劃的培訓(xùn) 通過(guò)演練（或突發(fā)事件發(fā)生）的實(shí)際情況，對(duì)計(jì)劃進(jìn)行修正，保證其有效性和可操作性。c) 應(yīng)當(dāng)維護(hù)一個(gè)全局性的業(yè)務(wù)連續(xù)性計(jì)劃框架，以確保所有計(jì)劃的一致性。業(yè)務(wù)連續(xù)性計(jì)劃框架應(yīng)該考慮以下內(nèi)容： 計(jì)劃的啟動(dòng)條件。在計(jì)劃執(zhí)行前說(shuō)明要采用的程序（包括如何評(píng)估、參與人員等）。 應(yīng)急程序。說(shuō)明在發(fā)生危及業(yè)務(wù)操作和/或生命的事故后要采取的措施。 低效運(yùn)