.信息安全策略批準人簽字審核人簽字制訂人簽字 變更履歷序號版本編號或更改記錄編號變化 狀態(tài) *簡要說明(變更內(nèi)容、變更位置、變更原因和變更范圍)變更日期變更人審核人批準人批準日期11.0C創(chuàng)建，全頁。*變化狀態(tài)：C創(chuàng)建，A增加，M修改，D刪除目 錄1. 目的和范圍42. 術(shù)語和定義43. 引用文件54. 職責(zé)和權(quán)限65. 信息安全策略65.1. 信息系統(tǒng)安全組織65.2. 資產(chǎn)管理85.3. 人員信息安全管理95.4. 物理和環(huán)境安全115.5. 通信和操作管理135.6. 信息系統(tǒng)訪問控制175.7. 信息系統(tǒng)的獲取、開發(fā)和維護安全205.8. 信息安全事故處理235.9. 業(yè)務(wù)連續(xù)性管理245.10. 符合性要求261附件271. 目的和范圍1) 本文檔制定了的信息系統(tǒng)安全策略，作為信息安全的基本標準，是所有安全行為的指導(dǎo)方針，同時也是建立完整的安全管理體系最根本的基礎(chǔ)。2) 信息安全策略是在信息安全現(xiàn)狀調(diào)研的基礎(chǔ)上，根據(jù)ISO27001的最佳實踐，結(jié)合現(xiàn)有規(guī)章制度制定而成的信息安全方針和策略文檔。本文檔遵守政府制定的相關(guān)法律、法規(guī)、政策和標準。本安全策略得到領(lǐng)導(dǎo)的認可，并在公司內(nèi)強制實施。3) 建立信息安全策略的目的概括如下：a) 在內(nèi)部建立一套通用的、行之有效的安全機制；b) 在的員工中樹立起安全責(zé)任感；c) 在中增強信息資產(chǎn)可用性、完整性和保密性；d) 在中提高全體員工的信息安全意識和信息安全知識水平。本安全策略適用于公司全體員工，自發(fā)布之日起執(zhí)行。2. 術(shù)語和定義1) 解釋信息安全是指保護信息資產(chǎn)免受多種安全威脅，保證業(yè)務(wù)連續(xù)性，將安全事件造成的損失降至最小，同時最大限度地獲得投資回報和商業(yè)機遇?？捎眯源_保經(jīng)過授權(quán)的用戶在需要時可以訪問信息并使用相關(guān)信息資產(chǎn)。保密性確保只有經(jīng)過授權(quán)的人才能訪問信息。完整性保護信息和信息的處理方法準確而完整。保密信息安全規(guī)章定義的密級信息。信息安全策略正確使用和管理IT信息資源并保護這些資源使得它們擁有更好的保密性、完整性、可用性的策略。風(fēng)險評估評估信息安全漏洞對信息處理設(shè)備帶來的威脅和影響及其發(fā)生的可能性。風(fēng)險管理以可以接受的成本，確認、控制、排除可能影響信息系統(tǒng)的安全風(fēng)險或?qū)⑵鋷淼奈：ψ钚』倪^程。計算機機房裝有計算機主機、服務(wù)器和相關(guān)設(shè)備的，除了安裝和維護的情況外，不允許人員在里邊工作的專用房間。員工在系統(tǒng)內(nèi)工作的正式員工、雇傭的臨時工作人員。用戶被授權(quán)能使用IT系統(tǒng)的人員。信息資產(chǎn)與信息系統(tǒng)相關(guān)聯(lián)的信息、信息的處理設(shè)備和服務(wù)。信息資產(chǎn)責(zé)任人是指對某項信息資產(chǎn)安全負責(zé)的人員。合作單位是指與有業(yè)務(wù)往來的單位，包括承包商、服務(wù)提供商、設(shè)備廠商、外包服務(wù)商、貿(mào)易伙伴等。第三方訪問指非本單位的人員對信息系統(tǒng)的訪問。IT外包服務(wù)是指企業(yè)戰(zhàn)略性選擇外部專業(yè)技術(shù)和服務(wù)資源，以替代內(nèi)部部門和人員來承擔(dān)企業(yè)IT系統(tǒng)或系統(tǒng)之上的業(yè)務(wù)流程的運營、維護和支持的IT服務(wù)。安全事件利用信息系統(tǒng)的安全漏洞，對信息資產(chǎn)的保密性、完整性和可用性造成危害的事件。故障是指信息的處理、傳輸設(shè)備運行出現(xiàn)意外障礙，以至影響信息系統(tǒng)正常運轉(zhuǎn)的事件。安全審計通過將所選類型的事件記錄在服務(wù)器或工作站的安全日志中用來跟蹤用戶活動的過程。超時設(shè)置用戶如果超過特定的時限沒有進行動作，就觸發(fā)其他事件（如斷開連接、鎖定用戶等）。2) 詞語使用必須表示強制性的要求。應(yīng)當(dāng)好的做法所要達到的要求，條件允許就要實施?？梢员硎鞠Ｍ_到的要求。3. 引用文件 下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。1) ISO/IEC 27001:2005 信息技術(shù)-安全技術(shù)-信息安全管理體系要求2) ISO/IEC 17799:2005 信息技術(shù)-安全技術(shù)-信息安全管理實施細則4. 職責(zé)和權(quán)限信息安全管控委員會：負責(zé)對信息安全策略進行編寫、評審，監(jiān)督和檢查公司全體員工執(zhí)行情況。5. 信息安全策略目標：為信息安全提供管理指導(dǎo)和支持，并與業(yè)務(wù)要求和相關(guān)的法律法規(guī)保持一致。1) 策略下發(fā)本策略必須得到管理層批準，并向所有員工和相關(guān)第三方公布傳達，全體人員必須履行相關(guān)的義務(wù)，享受相應(yīng)的權(quán)利，承擔(dān)相關(guān)的責(zé)任。2) 策略維護本策略通過以下方式進行文檔的維護工作：必須每年按照風(fēng)險評估管理程序進行例行的風(fēng)險評估，如遇以下情況必須及時進行風(fēng)險評估：a) 發(fā)生重大安全事故b) 組織或技術(shù)基礎(chǔ)結(jié)構(gòu)發(fā)生重大變更c) 安全管理小組認為應(yīng)當(dāng)進行風(fēng)險評估的d) 其他應(yīng)當(dāng)進行安全風(fēng)險評估的情形風(fēng)險評估之后根據(jù)需要進行安全策略條目修訂，并在內(nèi)公布傳達。3) 策略評審每年必須參照管理評審程序執(zhí)行公司管理評審。4) 適用范圍 適用范圍是指本策略使用和涵蓋的對象，包括現(xiàn)有的業(yè)務(wù)系統(tǒng)、硬件資產(chǎn)、 軟件資產(chǎn)、信息、通用服務(wù)、物理安全區(qū)域等。對于即將投入使用和今后規(guī)劃的信息系統(tǒng)項目也必須參照本策略執(zhí)行。5.1. 信息系統(tǒng)安全組織目標：在組織內(nèi)部管理信息安全，保持可被外部組織訪問、處理、溝通或管理的信息及信息處理設(shè)備的安全。1) 內(nèi)部組織l 公司的管理層對信息安全承擔(dān)最終責(zé)任。管理者職責(zé)參見信息安全管理手冊。l 公司的信息系統(tǒng)安全管理工作采取信息安全管控委員會統(tǒng)一管理方式，其他相關(guān)部門配合執(zhí)行。公司的內(nèi)部信息安全組織包括信息安全管理小組，小組的人員組成以及相關(guān)職責(zé)參見公司信息安全組織結(jié)構(gòu)圖。l 各個部門之間必須緊密配合共同進行信息安全系統(tǒng)的維護和建設(shè)。相關(guān)部門崗位的分工與責(zé)任參見信息安全管理手冊。l 任何新的信息系統(tǒng)處理設(shè)施必須經(jīng)過管理授權(quán)的過程。并更新至信息資產(chǎn)列表。l 信息系統(tǒng)內(nèi)的每個重要的資產(chǎn)需要明確所有者、使用人員。參見信息資產(chǎn)列表 。l 凡是涉及重要信息、機密信息（相關(guān)定義參見信息資產(chǎn)鑒別和分類管理辦法等信息的處理，相關(guān)的工作崗位員工以及第三方都必須簽署保密協(xié)議。l 應(yīng)當(dāng)與政府機構(gòu)保持必要的聯(lián)系共同協(xié)調(diào)信息安全相關(guān)問題。這些部門包括執(zhí)法部門、消防部門、上級監(jiān)管部門、電信供應(yīng)商等提供公共服務(wù)的部門。l 應(yīng)當(dāng)與相關(guān)信息安全團體保持聯(lián)系，以取得信息安全上必要的支持。這些團體包括外部安全咨詢商、獨立的安全技術(shù)專家等。l 信息安全管理小組每年至少進行一次信息安全風(fēng)險評估工作（參照風(fēng)險評估和風(fēng)險管理程序，并對安全策略進行復(fù)審。信息安全領(lǐng)導(dǎo)小組每年對風(fēng)險評估結(jié)果和安全策略的修改進行審批。l 每年或者發(fā)生重大信息安全變化時必須參照內(nèi)部審核管理程序執(zhí)行公司內(nèi)部審核。2) 外部組織a) 第三方訪問是指非人員對信息系統(tǒng)的訪問。第三方至少包含如下人員： 硬件及軟件技術(shù)支持、維護人員； 項目現(xiàn)場實施人員； 外單位參觀人員； 合作單位人員； 客戶； 清潔人員、送餐人員、快遞、保安以及其它外包的支持服務(wù)人員；b) 第三方的訪問類型包括物理訪問和邏輯訪問。 物理訪問：重點考慮安全要求較高區(qū)域的訪問，包括計算機機房、重要辦公區(qū)域和存放重要物品區(qū)域等； 邏輯訪問：u 主機系統(tǒng)u 網(wǎng)絡(luò)系統(tǒng)u 數(shù)據(jù)庫系統(tǒng)u 應(yīng)用系統(tǒng)c) 第三方訪問需要進行以下的風(fēng)險評估后方可對訪問進行授權(quán)。 被訪問資產(chǎn)是否會損壞或者帶來安全隱患； 客戶是否與有商業(yè)利益沖突； 是否已經(jīng)完成了相關(guān)的權(quán)限設(shè)定，對訪問加以控制； 是否有過違反安全規(guī)定的記錄； 是否與法律法規(guī)有沖突，是否會涉及知識產(chǎn)權(quán)糾紛；d) 第三方進行訪問之前必須經(jīng)過被訪問系統(tǒng)的安全責(zé)任人的審核批準，包括物理訪問的區(qū)域和邏輯訪問的權(quán)限。（詳見辦公室基礎(chǔ)設(shè)備和工作環(huán)境控制程序）e) 對于第三方參與的項目或提供的服務(wù)，必須在合同中明確規(guī)定人員的安全責(zé)任，必要時應(yīng)當(dāng)簽署保密協(xié)議。f) 第三方必須遵守的信息安全策略以及第三方和外包管理規(guī)定，留對第三方的工作進行審核的權(quán)利。5.2. 資產(chǎn)管理目標：通過及時更新的信息資產(chǎn)目錄對信息資產(chǎn)進行適當(dāng)?shù)谋Ｗo。1) 資產(chǎn)責(zé)任a) 所有的信息資產(chǎn)必須登記入冊，對于有形資產(chǎn)必須進行標識，同時資產(chǎn)信息應(yīng)當(dāng)及時更新。每項信息資產(chǎn)在登記入冊及更新時必須指定信息資產(chǎn)的安全責(zé)任人，信息資產(chǎn)的安全責(zé)任人必須負責(zé)該信息資產(chǎn)的安全。b) 所有員工和第三方都必須遵守關(guān)于信息設(shè)備安全管理的規(guī)定，以保護信息處理設(shè)備（包括移動設(shè)備和在非公共地點使用的設(shè)備）的安全。2) 信息分類a) 必須明確確認每項信息資產(chǎn)及其責(zé)任人和安全分類，信息資產(chǎn)包括業(yè)務(wù)過程、硬件和設(shè)施資產(chǎn)、軟件和系統(tǒng)資產(chǎn)、文檔和數(shù)據(jù)信息資產(chǎn)、人員資產(chǎn)、服務(wù)和其他資產(chǎn)。（詳見信息資產(chǎn)列表）。b) 必須建立信息資產(chǎn)管理登記制度，至少詳細記錄信息資產(chǎn)的分類、名稱、用途、資產(chǎn)所有者、使用人員等，便于查找和使用。信息資產(chǎn)應(yīng)當(dāng)標明適用范圍。（詳見IT設(shè)備管理規(guī)定）。c) 應(yīng)當(dāng)在每個有形信息資產(chǎn)上進行標識。d) 當(dāng)信息資產(chǎn)進行拷貝、存儲、傳輸（如郵遞、傳真、電子郵件以及語音傳輸（包括電話、語音郵件、應(yīng)答機）等）或者銷毀等信息處理時，應(yīng)當(dāng)參照信息資產(chǎn)鑒別和分類管理辦法或者制定妥善的處理步驟并執(zhí)行。e) 對重要的資料檔案要妥善保管，以防丟失泄密，其廢棄的打印紙及磁介質(zhì)等，應(yīng)按有關(guān)規(guī)定進行處理。5.3. 人員信息安全管理目標：確保所有的員工、合同方和第三方用戶了解信息安全威脅和相關(guān)事宜、明確并履行信息安全責(zé)任和義務(wù)，并在日常工作中支持的信息安全方針，減少人為錯誤的風(fēng)險，減少盜竊、濫用或設(shè)施誤用的風(fēng)險。1) 人員雇傭a) 員工必須了解相關(guān)的信息安全責(zé)任，必須遵守職務(wù)說明書。b) 對第三方訪問人員和臨時性員工，必須遵守第三方和外包管理規(guī)定。c) 涉及重要信息系統(tǒng)管理的員工、合同方及第三方應(yīng)當(dāng)進行相關(guān)技術(shù)背景調(diào)查和能力考評；d) 涉及重要信息系統(tǒng)管理的員工、合同方及第三方應(yīng)在合同中明確其信息安全責(zé)任并簽署保密協(xié)議；e) 重要崗位的人員在錄用時應(yīng)做重要崗位背景調(diào)查。2) 雇傭中a) 管理層必須要求所有的員工、合同方及第三方用戶執(zhí)行信息安全的相關(guān)規(guī)定；b) 應(yīng)當(dāng)設(shè)定信息安全的相關(guān)獎勵措施，任何違反信息安全策略的行為都將收到懲戒，具體執(zhí)行辦法參見信息安全獎懲規(guī)定；c) 將信息安全培訓(xùn)加入員工培訓(xùn)中，培訓(xùn)材料應(yīng)當(dāng)包括下列內(nèi)容： 信息安全策略 信息安全制度 相關(guān)獎懲辦法d) 應(yīng)當(dāng)按下列群體進行不同類型的信息安全培訓(xùn)： 全體員工 需要遵守信息安全策略、規(guī)章制度和各項操作流程的第三方人員e) 信息安全培訓(xùn)必須至少每年舉行一次，讓不同部門的人員能受到適當(dāng)?shù)男畔踩嘤?xùn)。必須參加計算機信息安全培訓(xùn)的人員包括： 計算機信息系統(tǒng)使用單位的安全管理責(zé)任人； 重點單位或核心計算機信息系統(tǒng)的維護和管理人員； 其他從事計算機信息系統(tǒng)安全保護工作的人員； 能夠接觸到敏感數(shù)據(jù)或機密信息的關(guān)鍵用戶。3) 人員信息安全管理原則a) 員工錄用時，人事部門或調(diào)入部門必須及時書面通知信息技術(shù)部門添加相關(guān)的口令、帳號及權(quán)限等并備案。b) 員工在崗位變動時，必須移交調(diào)出崗位的相關(guān)資料和有關(guān)文檔，檢查并歸還在借出的重要信息。人事部門或調(diào)入部門必須及時書面通知信息技術(shù)部門修改和刪除相關(guān)的口令、帳號及權(quán)限等。c) 員工在調(diào)離時必須進行信息安全檢查。調(diào)離人員必須移交全部資料和有關(guān)文檔，刪除自己的文件、帳號，檢查并歸還在借出的保密信息。由人事部門書面通知信息技術(shù)部門刪除相關(guān)的口令、帳號、權(quán)限等信息。d) 必須每半年進行用戶帳戶使用情況的評審，凡是半年及半年以上未使用的帳號經(jīng)相關(guān)部門確認后刪除。如有特殊情況，必須事先得到部門經(jīng)理及安全責(zé)任人的批準。e) 對第三方訪問人員和臨時性員工，也必須執(zhí)行相關(guān)規(guī)定。5.4. 物理和環(huán)境安全1) 安全區(qū)域目標：防止對工作場所和信息的非法訪問、破壞和干擾。a) 必須明確劃分安全區(qū)域。安全區(qū)域至少包括各計算機機房、IT部門、財務(wù)、人事等部門。所有可以進出安全區(qū)域的門必須能防止未經(jīng)授權(quán)的訪問，如使用控制裝置、柵欄、監(jiān)控和報警裝備、鎖等。b) 無人值守的門和窗戶必須上鎖，對于直接與外部相連的安全區(qū)域的窗戶必須考慮窗戶的外部保護；c) 安全邊界的所有門均應(yīng)被監(jiān)視并經(jīng)過檢驗，它和墻一起按照合適的地方、國內(nèi)和國際標準建立所需的抵抗程度；他們應(yīng)用故障保護方式按照局部放火規(guī)則來運行。d) 應(yīng)按照地方、國內(nèi)和國際標準建立適當(dāng)?shù)娜肭謾z測體系，并定期檢測以覆蓋所有的外部門窗；要一直對空閑區(qū)域發(fā)出警報；其他區(qū)域要提供掩護方法，例如計算機室或通信室；e) 安全區(qū)域必須配備充足的安全設(shè)備，例如熱敏和煙氣探測器、火警系統(tǒng)、滅火設(shè)備，并對設(shè)備定期檢查。f) 安全區(qū)域進出控制采用合適的電子卡或磁卡，并能雙向控制。g) 對安全區(qū)域的訪問必須進行記錄和控制，以確保只有經(jīng)過授權(quán)的人員才可以訪問。對機房的訪問管理參見機房安全管理規(guī)定，其它區(qū)域可參照執(zhí)行。h) 重要設(shè)備必須放在安全區(qū)域內(nèi)進行保護，禁止在公共辦公區(qū)域防止重要的信息處理設(shè)施；i) 應(yīng)當(dāng)控制外來人員對公共辦公區(qū)域的訪問，第三方訪問規(guī)定參見第三方和外包管理規(guī)定j) 關(guān)鍵和敏感設(shè)施應(yīng)當(dāng)存放在與公共辦公區(qū)域相對隔離的場地，并應(yīng)設(shè)計并實施保護。k) 危險或易燃物品應(yīng)當(dāng)擺放在離安全區(qū)域安全距離之外，機房應(yīng)當(dāng)參見機房安全管理規(guī)定中的要求執(zhí)行值班或巡檢工作任務(wù)。l) 備份介質(zhì)應(yīng)當(dāng)和主場地有一段的安全距離，要考慮信息設(shè)備面臨的可能的安全威脅，參考業(yè)務(wù)連續(xù)性管理程序的內(nèi)容制定對應(yīng)的業(yè)務(wù)連續(xù)性計劃，并要定期演練。m) 人員離開安全區(qū)域時應(yīng)當(dāng)及時上鎖。n) 除非經(jīng)過主管部門領(lǐng)導(dǎo)授權(quán)，在安全區(qū)域不允許使用圖象、視頻、音頻或其它記錄設(shè)備。o) 外部人員訪問安全區(qū)域時應(yīng)當(dāng)由員工陪同，并填寫機房出入登記表，對訪問時間、操作內(nèi)容等加以記錄。p) 出入機房的設(shè)備必須填寫機房設(shè)備出入登記表。2) 設(shè)備安全目標：防止資產(chǎn)的丟失、損壞或被盜，以及對組織業(yè)務(wù)活動的干擾。a) 計算機機房必須提供環(huán)境保障，機房建設(shè)必須遵照相關(guān)的機房建設(shè)規(guī)范進行。如中華人民共和國國家標準GB 50174電子計算機機房設(shè)計規(guī)范，必須提供： 穩(wěn)定的電源供給 可靠的空氣質(zhì)量控制（溫度，濕度，污染度） 防火，防水，防高溫，放雷b) 應(yīng)盡量減少對機房不必要的訪問，在機房內(nèi)工作必須遵守機房安全管理規(guī)定。c) 各計算機機房是重要的信息處理場所，必須嚴格執(zhí)行有關(guān)安全保密制度和規(guī)定，并防止重要信息的泄露，保證業(yè)務(wù)數(shù)據(jù)、信息、資料的準確、安全可靠。d) 計算機機房應(yīng)列為公司重點防火部位，按照規(guī)定配備足夠數(shù)量的消防器材，并定期檢查更換。機房工作人員要熟悉機房消防用品的存放位置及使用方法，必須掌握防火設(shè)施的使用方法和步驟；要熟悉設(shè)備電源和照明用電以及其它電氣設(shè)備總開關(guān)位置，掌握切斷電源的方法和步驟。在遇到突發(fā)緊急情況時，必須以保護人身安全為首要目標。e) 定期對機房供電線路及照明器具進行檢查，防止因線路老化短路造成火災(zāi)。f) 應(yīng)當(dāng)按照設(shè)備維護要求的時間間隔和規(guī)范，對設(shè)備進行維護。g) 第三方支持和維護人員對重要設(shè)備技術(shù)支持前，必須經(jīng)過安全責(zé)任人的授權(quán)或?qū)徟?。并且在對重要設(shè)備現(xiàn)場實施過程中必須有相關(guān)人員全程陪同，詳細規(guī)定參見第三方和外包管理規(guī)定。h) 設(shè)備的安全與重用應(yīng)當(dāng)按規(guī)定的操作程序來處理，特別是包含重要信息的存儲設(shè)備，應(yīng)按照相關(guān)規(guī)定，以確定是否銷毀、修理或棄用該設(shè)備。對棄置的存儲有敏感信息的存儲設(shè)備，必須將其銷毀，或重寫數(shù)據(jù)，而不能只是使用標準的刪除功能進行數(shù)據(jù)刪除。詳細規(guī)定參見移動存儲介質(zhì)使用規(guī)定。i) 當(dāng)員工離開時，對于載有重要信息的紙張和可移動的存儲介質(zhì)，應(yīng)當(dāng)妥善保管。j) 遠程辦公人員有責(zé)任保護移動設(shè)備的安全，未經(jīng)批準，不得在公共場所訪問內(nèi)部網(wǎng)絡(luò)。k) 未經(jīng)信息安全責(zé)任人授權(quán)，不允許將載有重要信息的設(shè)備、信息或軟件帶離工作場所。機房內(nèi)設(shè)備的出入必須填寫機房出入登記表。5.5. 通信和操作管理1) 操作程序和責(zé)任目標：確保信息處理設(shè)施的正確和安全操作 a) 對于日常維護工作必須按照規(guī)定的系統(tǒng)操作流程進行，操作流程應(yīng)當(dāng)指明具體執(zhí)行每個作業(yè)的說明。操作流程必須成文，并只有經(jīng)授權(quán)才可以修改。b) 必須建立并執(zhí)行信息處理設(shè)備和信息系統(tǒng)變更管理流程（具體參照變更管理流程），形成文檔備案。c) 處理敏感信息資產(chǎn)時，可以考慮分離職責(zé)，如果不實施分離，則應(yīng)當(dāng)對處理操作予以記錄，并定期進行監(jiān)督。d) 應(yīng)當(dāng)分離開發(fā)、測試與運營環(huán)境，敏感數(shù)據(jù)不可拷貝到測試環(huán)境中，測試完成后應(yīng)當(dāng)及時清理測試環(huán)境。2) 第三方服務(wù)交付管理目標：實施并保持信息安全的適當(dāng)水平，確保第三方交付的服務(wù)符合協(xié)議要求。a) 應(yīng)當(dāng)確保第三方實施、運行并保持第三方服務(wù)交付協(xié)議中包括商定的安全布置、服務(wù)定義和交付等級。應(yīng)定期審核第三方的服務(wù)提交的報告和檢查對協(xié)議的符合度。重要的第三方服務(wù)必須簽訂服務(wù)合同和第三方保密協(xié)議。b) 應(yīng)當(dāng)在第三方服務(wù)協(xié)議中包含服務(wù)變更管理的內(nèi)容。變更內(nèi)容包括但不限于： 任何新應(yīng)用、系統(tǒng)、服務(wù)的開發(fā) 對現(xiàn)有應(yīng)用、系統(tǒng)、服務(wù)的更改或更新 與信息安全有關(guān)的新的控制措施 網(wǎng)絡(luò)環(huán)境或其它新技術(shù)的使用 開發(fā)環(huán)境或物理環(huán)境的變更 供應(yīng)商的變更3) 系統(tǒng)策劃與驗收目標：最小化系統(tǒng)失效的風(fēng)險a) 應(yīng)為系統(tǒng)的性能和容量要求做預(yù)先的規(guī)劃和準備，應(yīng)反映對未來容量需求的推測，以減少系統(tǒng)過載的風(fēng)險。b) 應(yīng)建立新信息系統(tǒng)、系統(tǒng)升級和新版本的驗收準則，驗收前應(yīng)當(dāng)完成設(shè)計審核、缺陷分析及安全測試。必須將驗收標準寫入到項目合同中。4) 防范惡意和移動代碼目標：保護軟件和信息的完整性。a) 所有服務(wù)器和個人計算機都必須激活防病毒軟件，必須及時更新防病毒代碼庫。詳細規(guī)定參見防病毒管理程序。b) 系統(tǒng)內(nèi)的服務(wù)器和個人計算機必須使用可信來源的軟件，應(yīng)對軟件進行病毒檢測后統(tǒng)一保存。c) 員工應(yīng)當(dāng)?shù)街付ǖ目臻g下載軟件，不得私自安裝授權(quán)使用軟件列表之外的軟件。d) 必須對所有的電子郵件附件進行病毒掃描，也不要隨意打開來歷不明的郵件附件。e) 應(yīng)當(dāng)開展對一般員工的預(yù)防病毒培訓(xùn)。員工一旦發(fā)現(xiàn)或懷疑有PC或服務(wù)器被病毒感染,必須馬上斷開網(wǎng)絡(luò)并進行全盤掃描，必須立即通知技術(shù)部門。5) 備份目標：保持信息和信息處理設(shè)施的完整性和可用性。a) 管理員應(yīng)當(dāng)對重要的應(yīng)用系統(tǒng)、操作系統(tǒng)、配置文件及日志等制訂備份策略，并要定期對備份數(shù)據(jù)進行測試。如果是涉密信息，必須對備份信息實施加密。b) 所有員工要定期對個人電腦上的重要數(shù)據(jù)進行備份，以減少不必要的損失。c) 備份應(yīng)當(dāng)存儲在與主設(shè)備有足夠距離的地點，該地點應(yīng)安全可靠，應(yīng)同主設(shè)備場地使用同等的安全等級。6) 網(wǎng)絡(luò)安全管理目標：確保網(wǎng)絡(luò)中的信息和支持性基礎(chǔ)設(shè)施得到保護。a) 應(yīng)當(dāng)對重要的線路、網(wǎng)絡(luò)設(shè)備采用冗余措施，以維持關(guān)鍵服務(wù)的可用性。b) 網(wǎng)絡(luò)管理員應(yīng)當(dāng)參照訪問控制程序?qū)W(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)進行充分的管理和控制，并采用網(wǎng)管工具對通訊線路、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)流量進行實時的監(jiān)控和預(yù)警。c) 處理敏感信息的計算機應(yīng)當(dāng)與局域網(wǎng)物理隔離，應(yīng)當(dāng)采用適當(dāng)?shù)募用芗夹g(shù)。7) 介質(zhì)處理目標：防止對資產(chǎn)的未授權(quán)泄露、修改、移動或損壞，及對業(yè)務(wù)活動的的干擾。a) 應(yīng)當(dāng)妥善記錄移動介質(zhì)。不得將載有重要信息的存儲介質(zhì)隨意存放，未經(jīng)安全責(zé)任人授權(quán)，不得帶出辦公地點。b) 如果介質(zhì)上的內(nèi)容不再需要，應(yīng)當(dāng)立即清除。對于備份或存放有重要信息或軟件的存儲介質(zhì)，在銷毀時，應(yīng)當(dāng)進行格式化或重寫數(shù)據(jù)，避免不必要的泄露。c) 存放業(yè)務(wù)應(yīng)用系統(tǒng)及重要信息的介質(zhì)，嚴禁外借，確因工作需要，須報請部門領(lǐng)導(dǎo)批準。d) 對需要長期保存的介質(zhì)，必須在介質(zhì)老化前進行轉(zhuǎn)儲，以防止因介質(zhì)失效造成損失。e) 應(yīng)限制只有系統(tǒng)管理員才可訪問系統(tǒng)文檔。應(yīng)對的所有信息數(shù)據(jù)分類標識，建立信息處置、存儲、分發(fā)的規(guī)程。8) 信息交換目標：應(yīng)保持組織內(nèi)部或組織與外部組織之間交換信息和軟件的安全。a) 應(yīng)當(dāng)依據(jù)信息資產(chǎn)鑒別和分類管理辦法、信息安全交流控制程序，保護信息在發(fā)布、交換時的安全。b) 員工必須遵守國家有關(guān)信息管理的法規(guī)，不得利用網(wǎng)絡(luò)危害國家安全、泄露國家秘密，不得違反中華人民共和國現(xiàn)行法律和法規(guī)，不得侵犯國家社會集體的和公民的合法權(quán)益。c) 敏感信息應(yīng)當(dāng)通過專用的線路傳輸。未經(jīng)安全責(zé)任人授權(quán)，員工不得與外部聯(lián)網(wǎng)的計算機信息系統(tǒng)傳輸涉及重要信息的文件。d) 員工不得利用網(wǎng)絡(luò)對他人進行侮辱、誹謗、騷擾；不得侵害他人合法權(quán)益；不得侵犯他人的名譽權(quán)，肖像權(quán)、姓名權(quán)等人身權(quán)利；不得侵犯他人的商譽、商標、版權(quán)、專利、專有技術(shù)等各種知識產(chǎn)權(quán)。e) 在通過郵政等物理傳輸方式傳輸時，應(yīng)保護包含重要信息的介質(zhì)的安全。f) 應(yīng)控制并記錄允許操作業(yè)務(wù)系統(tǒng)的用戶名單，未經(jīng)安全責(zé)任人授權(quán)，不得隨意變更訪問限制和共享信息。9) 監(jiān)視和審計目標：檢測未經(jīng)授權(quán)的信息處理活動。a) 公司制定IT設(shè)備設(shè)施維護管理程序、信息安全技術(shù)檢查管理規(guī)定對信息系統(tǒng)活動進行監(jiān)控。b) 應(yīng)當(dāng)使用監(jiān)視程序以確保用戶只執(zhí)行被明確授權(quán)的活動，審計內(nèi)容應(yīng)細化到個人而不是共享帳號。審計至少包括用戶ID、系統(tǒng)日志、操作記錄等。c) 可以實施安全產(chǎn)品或調(diào)整配置，以記錄和審計用戶活動、系統(tǒng)、安全產(chǎn)品和信息安全事件產(chǎn)生的日志，并按照約定的期限保留，以支持將來的調(diào)查和訪問控制監(jiān)視。d) 可以在內(nèi)網(wǎng)中配置日志服務(wù)器，專門收集主機、網(wǎng)絡(luò)設(shè)備、安全產(chǎn)品的日志，以避免日志被破壞或覆蓋。e) 應(yīng)在網(wǎng)絡(luò)中配置時鐘服務(wù)器，被審計的信息設(shè)備應(yīng)同時鐘服務(wù)器的時間保持同步，以避免審計上的漏洞。5.6. 信息系統(tǒng)訪問控制1) 訪問控制的業(yè)務(wù)要求目標：控制對信息的訪問。a) 應(yīng)當(dāng)明確規(guī)定每個用戶以及相應(yīng)用戶組在各個系統(tǒng)中訪問控制規(guī)則與權(quán)限，每半年要評審用戶和訪問權(quán)限的設(shè)置，詳細規(guī)定參見訪問控制程序。2) 用戶訪問管理目標：確保授權(quán)用戶的訪問，并預(yù)防信息系統(tǒng)的非授權(quán)訪問。a) 禁止用戶帳號共享，普通用戶不能在一個系統(tǒng)上擁有多個帳號，系統(tǒng)管理員不能在一個系統(tǒng)上擁有多個相同角色的帳號。每個用戶應(yīng)當(dāng)在不同的信息系統(tǒng)上遵循統(tǒng)一的命名方式且使用相同的用戶帳號，統(tǒng)一的命名方式應(yīng)當(dāng)參考域（郵箱）帳號命名規(guī)則。詳細規(guī)定參見公司郵箱管理辦法b) 所有對信息系統(tǒng)的訪問必須遵照訪問控制程序。除非員工獲得該流程規(guī)定的相關(guān)部門授權(quán)，否則不準在網(wǎng)絡(luò)上給外單位和個人開戶，也不準外單位或個人借用內(nèi)部用戶名和口令上網(wǎng)，一經(jīng)查出將追究當(dāng)事人責(zé)任。c) 用戶權(quán)限必須按照最小權(quán)限原則進行分配。d) 技術(shù)人員在收到重置口令的申請時，必須驗證用戶的身份后方可提供一個臨時的代替口令。e) 要告知并強制用戶遵守用戶帳號及口令管理規(guī)定，用戶必須對自己的帳號和口令保密，不能以任何形式向他人透露口令信息，不得以未加密的形式將口令保存在文件或計算機中，在收到應(yīng)用系統(tǒng)或軟件的初始口令后必須及時更改。f) 用戶帳號三個月未使用的將在系統(tǒng)中自動失效。必須每半年進行用戶使用情況的評審，凡是半年及半年以上未使用的帳號經(jīng)相關(guān)部門確認后刪除。如有特殊情況，必須事先得到信息安全部及安全責(zé)任人的批準并備案。3) 用戶責(zé)任目標：避免未授權(quán)用戶的訪問，防止信息和信息處理設(shè)施的安全。a) 員工和訪問信息系統(tǒng)的第三方必須遵守用戶帳號及口令管理規(guī)定的要求保證自己的用戶帳號和口令的安全。要求用戶不得明文保存口令，及時修改默認口令并必須選擇強壯的口令，定期修改密碼，不得隨意共享密碼。b) 所有計算機應(yīng)當(dāng)啟用計算機的開機口令進行保護。當(dāng)員工離開計算機時，員工必須立即鎖定屏幕或退出系統(tǒng)，且在系統(tǒng)內(nèi)必須設(shè)置5分鐘自動啟用有口令的屏幕保護。c) 離開機房后要及時鎖門，重要信息設(shè)備可以使用計算機鎖等控制措施來保護其不受未授權(quán)訪問。d) 人員離開時，必須清理桌面上的敏感信息，打印出的文件必須及時從打印機取走。4) 網(wǎng)絡(luò)訪問控制目標：防止對網(wǎng)絡(luò)服務(wù)的未經(jīng)授權(quán)的訪問。a) 網(wǎng)絡(luò)管理員必須參照訪問控制程序和業(yè)務(wù)系統(tǒng)要求進行控制： 明確哪些用戶可以訪問的網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)列表 明確訪問網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的用戶 實施相應(yīng)的控制手段b) 對于來自外部的連接，使用VPN連接，使用基于口令的控制系統(tǒng)進行控制。c) 任何到網(wǎng)絡(luò)的物理或邏輯的連接必須經(jīng)過運維部的批準。d) 必須明確哪些人可以遠程診斷和調(diào)試信息設(shè)備。給第三方開放遠程維護帳號時，維護結(jié)束后必須立即收回。e) 局域網(wǎng)網(wǎng)絡(luò)對外出口必須使用防火墻進行保護，根據(jù)安全需要可以考慮將局域網(wǎng)進一步劃分為獨立的邏輯網(wǎng)絡(luò)域，并各邏輯網(wǎng)的接口處使用防火墻保護。上述接口和出口應(yīng)當(dāng)同時考慮實施地址轉(zhuǎn)換、防病毒和入侵檢測產(chǎn)品等。f) 未經(jīng)批準，不得在公共場所訪問內(nèi)部網(wǎng)絡(luò)。g) 對于從正式辦公地點內(nèi)部發(fā)起的、目標為外部網(wǎng)絡(luò)或計算機的所有計算機網(wǎng)絡(luò)連接，必須通過由統(tǒng)一配置使用的系統(tǒng)進行路由。5) 操作系統(tǒng)訪問控制目標：防止對操作系統(tǒng)未授權(quán)訪問。a) 主機系統(tǒng)的登錄必須遵照以下規(guī)定： 對于非Windows平臺，成功登錄后，才顯示系統(tǒng)或應(yīng)用標識 只顯示一般性的警告信息，例如“本系統(tǒng)只允許授權(quán)用戶訪問” 限制不成功登錄的次數(shù)，不得超過5次，否則鎖定用戶帳號 記錄成功和不成功登錄的情況 需要在網(wǎng)絡(luò)上傳輸口令時，應(yīng)當(dāng)進行加密b) 登錄終端必須有超時設(shè)置，不超過20分鐘。c) 應(yīng)對所有用戶分配一個唯一的ID。無特殊情況一個人不得在一個系統(tǒng)上擁有多個帳號。d) 使用口令管理系統(tǒng)時，可以考慮配置： 強制選擇優(yōu)質(zhì)口令。 允許用戶選擇和更改自己的口令，其中要包括新口令的確認過程。 強制用戶在第一次登錄時修改口令。 分開存儲口令文件和應(yīng)用系統(tǒng)數(shù)據(jù) 保護口令的存儲和傳輸過程。e) 應(yīng)分開保存系統(tǒng)文件和應(yīng)用數(shù)據(jù)，限制對系統(tǒng)文件的操作。6) 應(yīng)用程序和信息訪問控制目標：防止對應(yīng)用系統(tǒng)中信息的非法訪問。a) 應(yīng)限制用戶和管理員對應(yīng)用系統(tǒng)的訪問權(quán)限，要求用戶在申請、變更或廢止訪問權(quán)限時，應(yīng)填寫權(quán)限申請表。b) 處理敏感信息的系統(tǒng)應(yīng)當(dāng)與公共網(wǎng)隔離，且系統(tǒng)輸出信息僅能發(fā)送給特定的終端和人員。c) 應(yīng)當(dāng)參考信息資產(chǎn)鑒別和分類管理辦法明確標識出敏感信息，當(dāng)需要共享或分發(fā)敏感信息時，必須附帶保密聲明。7) 移動計算和遠程工作目標：確保在使用移動計算機和遠程工作設(shè)施時的安全。a) 所有遠程工作的移動計算機都必須安裝防病毒軟件，應(yīng)當(dāng)考慮采用動態(tài)口令系統(tǒng)。未經(jīng)信息安全部批準，不得在公共場所訪問內(nèi)部網(wǎng)絡(luò)。詳細參見筆記本電腦安全使用指南b) 應(yīng)當(dāng)安排針對移動辦公人員的安全培訓(xùn)，要求此類用戶保護移動設(shè)備和遠程辦公帳號的安全。5.7. 信息系統(tǒng)的獲取、開發(fā)和維護安全1) 信息系統(tǒng)的安全要求目標：確保安全成為信息系統(tǒng)的一部分。a) 對自主開發(fā)和外包開發(fā)的信息系統(tǒng)或?qū)ΜF(xiàn)有系統(tǒng)的更新，在分析階段應(yīng)當(dāng)規(guī)定對安全控制的要求，并集成到系統(tǒng)設(shè)計規(guī)范書、招標規(guī)范書和外包合同書之中，并在開發(fā)工作和驗收時進行考慮。2) 應(yīng)用系統(tǒng)的正確處理目標：防止應(yīng)用系統(tǒng)信息的錯誤、丟失、未授權(quán)的修改或誤用。a) 應(yīng)用系統(tǒng)設(shè)計時應(yīng)當(dāng)針對數(shù)據(jù)安全進行以下方面的考慮： 輸入數(shù)據(jù)驗證：對應(yīng)用系統(tǒng)的數(shù)據(jù)輸入進行驗證，保證輸入數(shù)據(jù)正確并合乎要求。 數(shù)據(jù)的容錯處理：為防止正確的數(shù)據(jù)因處理錯誤或故意人為等因素遭到破壞而采取的檢查和控制措施。 輸出數(shù)據(jù)驗證：對應(yīng)用系統(tǒng)輸出的數(shù)據(jù)進行驗證，保證對存儲信息的正確處理。 消息驗證：檢查傳輸?shù)碾娮酉?nèi)容是否有非法變更或破壞的技術(shù)手段?？梢杂眉用芗夹g(shù)作為實現(xiàn)消息驗證的手段。 加密：是用于保護信息機密性的技術(shù)。在保護敏感或關(guān)鍵信息時使用。b) 周期性評審關(guān)鍵信息和數(shù)據(jù)的內(nèi)容，以保證其有效性和完整性。3) 加密控制目標：通過加密手段來保護信息的保密性、真實性和完整性a) 在組織內(nèi)實施加密控制的策略，可以考慮使用密碼技術(shù)以實現(xiàn)： 保密性：通過信息加密保護存儲和傳輸中的敏感和重要數(shù)據(jù)。 完整性/可認證性：使用數(shù)字簽名和消息驗證碼去保護存儲的和傳輸中的敏感和重要數(shù)據(jù)的可認證性和完整性。 不可否認性：利用密碼技術(shù)獲得事件和行為發(fā)生或未發(fā)生的證明。b) 實施密鑰管理辦法，包括防止密鑰的丟失、泄密或破壞，密鑰的銷毀和密鑰損壞后加密數(shù)據(jù)的恢復(fù)。4) 系統(tǒng)文件安全目標：確保系統(tǒng)文件的安全a) 應(yīng)當(dāng)僅由管理員才可以進行操作系統(tǒng)、軟件、應(yīng)用和運行程序庫的更新，生產(chǎn)系統(tǒng)不得安裝無關(guān)軟件。b) 應(yīng)當(dāng)盡量避免應(yīng)用系統(tǒng)對操作系統(tǒng)的直接調(diào)用，最大限度降低操作系統(tǒng)崩潰的風(fēng)險。c) 重要的應(yīng)用和操作系統(tǒng)軟件只有在全面正確的測試通過后才可安裝，測試包括實用性、安全性、在其它系統(tǒng)上的有效性、用戶友好性等，測試應(yīng)在獨立的系統(tǒng)上完成，必須確保對應(yīng)的程序庫已經(jīng)更新。d) 重要軟件和應(yīng)用升級后，包括需要的信息、參數(shù)、升級過程日志、配置細節(jié)等都要歸檔，配套的數(shù)據(jù)和文件也應(yīng)歸檔。e) 所有應(yīng)用必須編寫應(yīng)用配置手冊，應(yīng)用配置手冊必須隨著操作系統(tǒng)軟件或應(yīng)用配置的改變而及時更新。f) 測試過程中應(yīng)當(dāng)避免使用敏感信息，測試完成后應(yīng)當(dāng)及時清除。g) 訪問程序源代碼的行為應(yīng)受到限制，更新關(guān)鍵應(yīng)用系統(tǒng)必須按照變更管理流程得到授權(quán)。若有可能，在運行環(huán)境中不應(yīng)保留程序源代碼庫。5) 開發(fā)和支持過程安全目標：保持應(yīng)用系統(tǒng)軟件和信息的安全a) 維護并執(zhí)行變更管理流程，該流程應(yīng)當(dāng)包括提交申請、調(diào)研和評估、審批、實施、總結(jié)和備案。b) 必須分開生產(chǎn)環(huán)境和非生產(chǎn)環(huán)境，非生產(chǎn)環(huán)境包括開發(fā)、測試和培訓(xùn)所用的環(huán)境。應(yīng)用開發(fā)人員不允許訪問生產(chǎn)環(huán)境，除非在有安全評測手段的前提下，應(yīng)用開發(fā)人員可以暫時獲得生產(chǎn)環(huán)境下的用戶名和口令以用于系統(tǒng)支持，必須保證在系統(tǒng)支持完成之后立即修改口令。c) 當(dāng)操作系統(tǒng)變更后，應(yīng)評審和測試關(guān)鍵的應(yīng)用系統(tǒng)，以確定此變更對運營和安全帶來的影響。d) 只能從可信的渠道（如廠商指定的網(wǎng)站）獲取軟件的更新程序，重要變更必須進行記錄。變更后，運維人員應(yīng)當(dāng)監(jiān)控變更帶來的影響。其中安全補丁的規(guī)定詳見補丁管理程序。e) 可以采取安全手段監(jiān)視系統(tǒng)、通信和個人行為，以減小信息泄露的可能。6) 技術(shù)漏洞管理目標：減少利用公開的技術(shù)漏洞帶來的風(fēng)險。a) 應(yīng)當(dāng)確認軟件和其它技術(shù)的相關(guān)漏洞，指定專人進行安全補丁管理工作，包括補丁公告、補丁評估和補丁列表的維護工作。詳細規(guī)定參見補丁管理程序。b) 如果沒有合適的補丁，應(yīng)當(dāng)實施其它措施，如： 關(guān)掉可能利用漏洞造成損害的服務(wù)和端口 在網(wǎng)絡(luò)邊界上增加隔離和訪問控制，如防火墻 在網(wǎng)絡(luò)中部署入侵檢測系統(tǒng) 增強對該漏洞的監(jiān)控5.8. 信息安全事故處理1) 報告信息安全事故和弱點目標：確保與信息系統(tǒng)有關(guān)的安全事件和弱點的報告，以便及時采取糾正措施。a) 維護并執(zhí)行信息安全事件管理程序，培訓(xùn)并要求所有員工和第三方都有責(zé)任盡快報告信息安全事件。b) 信息安全事件發(fā)生后，報告人應(yīng)立即將事件的重要細節(jié)（如事件描述、屏幕上顯示的消息、造成的后果、其它異常情況等）向主管部門報告。c) 所有員工和第三方有責(zé)任注意并報告系統(tǒng)或服務(wù)中已發(fā)現(xiàn)或疑似的安全漏洞，但不能擅自處理和散播。2) 信息安全事故管理和改進目標：確保使用可追蹤的，有效的方法管理信息安全事故。a) 應(yīng)當(dāng)建立包括事件報告、分類、責(zé)任分工、響應(yīng)方法、記錄和總結(jié)、恢復(fù)計劃等在內(nèi)的信息安全事故管理機制。詳細規(guī)定參見信息安全事件管理程序。b) 應(yīng)通過信息安全事故的評估和總結(jié)以識別將來可能再次發(fā)生的事故，特別是可能造成重大影響的事故，盡量減小同種事故帶來的損失。c) 從事件被檢測到至處理完成全過程的記錄和證據(jù)（包括紙制文檔和電子信息）都應(yīng)進行保留。5.9. 業(yè)務(wù)連續(xù)性管理1) 業(yè)務(wù)連續(xù)性管理中的信息安全目標：防止業(yè)務(wù)活動中斷，保證重要業(yè)務(wù)流程不受重大故障和災(zāi)難的影響，并確保它們的及時恢復(fù)。a) 參考業(yè)務(wù)連續(xù)性管理程序制訂并實施業(yè)務(wù)連續(xù)性計劃，預(yù)防和恢復(fù)控制相結(jié)合，將災(zāi)難和安全故障（可能是由于自然災(zāi)害、事故、設(shè)備故障和蓄意破壞等引起）造成的影響降低到可以接受的水平，限制破壞性事件造成的后果，確保關(guān)鍵業(yè)務(wù)的操作得到及時恢復(fù)。業(yè)務(wù)連續(xù)性計劃制定后必須得到安全領(lǐng)導(dǎo)小組的批準。b) 業(yè)務(wù)連續(xù)性計劃的內(nèi)容至少應(yīng)當(dāng)包括： 確定關(guān)鍵業(yè)務(wù)流程和其所涉及資產(chǎn)，明確信息處理設(shè)施的業(yè)務(wù)目標。 識別可能導(dǎo)致業(yè)務(wù)中斷的重大事故，評估此類重大事故發(fā)生的可能性及造成業(yè)務(wù)中斷給造成的影響，確定關(guān)鍵業(yè)務(wù)流程的優(yōu)先級。 必要時可以適當(dāng)考慮購買保險，以降低重大災(zāi)難引起的損失。 定期對計劃和相關(guān)操作流程進行檢查、演練和更新。 明確人員職責(zé)，業(yè)務(wù)連續(xù)性管理過程的職責(zé)應(yīng)分配給安委會。 保護人員、信息處理設(shè)備和機構(gòu)財產(chǎn)的安全。 業(yè)務(wù)恢復(fù)的優(yōu)先級，應(yīng)當(dāng)考慮可容忍的業(yè)務(wù)中斷時間和業(yè)務(wù)恢復(fù)到中斷前的哪個時間點，要特別注意對有關(guān)外部業(yè)務(wù)和合同的評估。 滿足業(yè)務(wù)連續(xù)性計劃所需的資源和服務(wù)，包括人員、非信息處理資源以及信息處理設(shè)施的低效運行安排。 業(yè)務(wù)流程的備案 對員工進行適當(dāng)?shù)臉I(yè)務(wù)連續(xù)性計劃的培訓(xùn) 通過演練（或突發(fā)事件發(fā)生）的實際情況，對計劃進行修正，保證其有效性和可操作性。c) 應(yīng)當(dāng)維護一個全局性的業(yè)務(wù)連續(xù)性計劃框架，以確保所有計劃的一致性。業(yè)務(wù)連續(xù)性計劃框架應(yīng)該考慮以下內(nèi)容： 計劃的啟動條件。在計劃執(zhí)行前說明要采用的程序（包括如何評估、參與人員等）。 應(yīng)急程序。說明在發(fā)生危及業(yè)務(wù)操作和/或生命的事故后要采取的措施。 低效運行程序。說明應(yīng)該采取哪些措施，以將重要業(yè)務(wù)活動或支持服務(wù)轉(zhuǎn)移到其它臨時地點并在規(guī)定時間內(nèi)恢復(fù)業(yè)務(wù)流程。 恢復(fù)程序。說明應(yīng)該采取哪些措施，以恢復(fù)正常業(yè)務(wù)運作。 說明若恢復(fù)未完成時應(yīng)遵循的臨時操作規(guī)程。 說明計劃檢查方式和時間的維護計劃以及計劃維護程序。 在組織內(nèi)開展業(yè)務(wù)連續(xù)性的教育培訓(xùn)活動。 明確個人責(zé)任。說明由誰負責(zé)執(zhí)行哪一部分計劃。根據(jù)要求可以指定備選方案。d) 必須定期測試并更新業(yè)務(wù)連續(xù)性計劃，可以通過以下方法： 通過會議，可以使用類似案例討論業(yè)務(wù)恢復(fù)方面的安排。 通過模擬事故發(fā)生的情況，重點培訓(xùn)對負責(zé)事故/危機發(fā)生后管理的人員。 通過測試確保技術(shù)上信息系統(tǒng)可以有效地恢復(fù)。 在備用場地進行測試（繼續(xù)業(yè)務(wù)流程的同時在主場地外執(zhí)行恢復(fù)操作）。 供應(yīng)商提供的設(shè)施和服務(wù)的檢查（確保外部提供的服務(wù)和產(chǎn)品符合合同中的規(guī)定）。 全面演習(xí)（檢查組織、人員、設(shè)備、設(shè)施和程序是否能夠應(yīng)付中斷情況）。e) 必須維護業(yè)務(wù)連續(xù)性計劃并進行定期更新分析。應(yīng)該分配各個業(yè)務(wù)連續(xù)性計劃的定期評審責(zé)任；檢查業(yè)務(wù)變動是否都反應(yīng)在計劃更新的內(nèi)容當(dāng)中。更新后的計劃必須正式進行批準和分發(fā)。特別注意信息系統(tǒng)更新可能引起業(yè)務(wù)連續(xù)性計劃的如下信息的更新： 人員。 地址或電話號碼。 經(jīng)營戰(zhàn)略。 場所、設(shè)施和資源。 法律法規(guī)。 承包商、供應(yīng)商和主要客戶。 流程（新的流程/廢止的流程）。 風(fēng)險（操作風(fēng)險和金融風(fēng)險）。5.10. 符合性要求1) 遵守法律法規(guī)的要求目標：避免違反法律、法規(guī)、規(guī)章、合同要求和其它安全要求。a) 公司的信息系統(tǒng)和其它IT設(shè)施必須符合國家相關(guān)法律法規(guī)的要求。特別是與外部的組織有往來時。b) 所有的軟件和硬件必須遵守知識產(chǎn)權(quán)的要求，包括著作權(quán)、設(shè)計權(quán)、商標權(quán)等。通過合法渠道獲得產(chǎn)品，遵守產(chǎn)品許可證的限制，維護許可證，交付產(chǎn)品，手冊等證明材料，告知員工他們保護知識產(chǎn)權(quán)的責(zé)任，提高員工安全意識，應(yīng)當(dāng)在合同中明確知識產(chǎn)權(quán)的歸屬，并對享有知識產(chǎn)權(quán)資料的復(fù)制進行限制。c) 應(yīng)按照法律法規(guī)、合同和業(yè)務(wù)要求，保護重要記錄免受損失、破壞或偽造篡改。重要記錄包括紙質(zhì)或非紙質(zhì)的財務(wù)記錄、數(shù)據(jù)庫記錄、日志和操作規(guī)程等。應(yīng)當(dāng)考慮信息的處理辦法，保存時間，關(guān)鍵信息來源的目錄和索引。d) 在傳輸和存儲過程中保護個人數(shù)據(jù)和個人隱私。e) 未經(jīng)安全責(zé)任人書面授權(quán)，禁止用戶和管理員將信息處理設(shè)備用于其他目的?？梢栽诘卿洉r，在屏幕上應(yīng)顯示保密聲明，告知其正進入的系統(tǒng)是不公開的。2) 安全策略和技術(shù)一致性檢查目標：保證信息系統(tǒng)符合的安全策略和標準。a) 信息安全小組應(yīng)不定期地組織抽查信息安全制度的落實和執(zhí)行情況，依據(jù)信息安全技術(shù)檢查管理規(guī)定、內(nèi)部審核程序的規(guī)定，進行測量，上報信息安全管理小組組長。協(xié)助內(nèi)審組進行信息安全內(nèi)部評審和管理評審。b) 應(yīng)當(dāng)定期使用技術(shù)手段發(fā)現(xiàn)系統(tǒng)的漏洞，以確定安全技術(shù)防范的有效性。當(dāng)進行漏洞測試前，要格外謹慎，可以制訂好計劃再進行操作。3) 信息系統(tǒng)審計考慮因素目標：要最大化信息系統(tǒng)審計的效果，并盡量減小信息系統(tǒng)審計帶來的影響。a) 審計的要求和審計范圍必須得到授權(quán)。審計人員應(yīng)限于軟件和數(shù)據(jù)的只讀訪問，若需要額外的行為，要顯式予以標明。b) 應(yīng)安排不同于被審計者的人員進行審計，審計過程要進行記錄。c) 信息系統(tǒng)審計工具（如軟件和數(shù)據(jù)文件）應(yīng)與開發(fā)和運行系統(tǒng)分開。如果審計活動包含了對生產(chǎn)系統(tǒng)的檢查，應(yīng)當(dāng)進行仔細的計劃和控制，把風(fēng)險降到最低。d) 安全審計應(yīng)當(dāng)由安全審計人員或可信的、獨立的第三方機構(gòu)來執(zhí)行。如果由第三方審計，應(yīng)當(dāng)與其簽署安全保密協(xié)議，并要實施控制措施降低外部審計可能存在的風(fēng)險。6. 附件無.