.信息安全策略 目 錄1. 目的和范圍42. 術語和定義43. 引用文件54. 職責和權限65. 信息安全策略65.1. 信息系統(tǒng)安全組織65.2. 資產管理85.3. 人員信息安全管理95.4. 物理和環(huán)境安全115.5. 通信和操作管理135.6. 信息系統(tǒng)訪問控制175.7. 信息系統(tǒng)的獲取、開發(fā)和維護安全205.8. 信息安全事故處理235.9. 業(yè)務連續(xù)性管理245.10. 符合性要求261附件271. 目的和范圍1) 本文檔制定了的信息系統(tǒng)安全策略，作為信息安全的基本標準，是所有安全行為的指導方針，同時也是建立完整的安全管理體系最根本的基礎。2) 信息安全策略是在信息安全現狀調研的基礎上，根據ISO27001的最佳實踐，結合現有規(guī)章制度制定而成的信息安全方針和策略文檔。本文檔遵守政府制定的相關法律、法規(guī)、政策和標準。本安全策略得到領導的認可，并在公司內強制實施。3) 建立信息安全策略的目的概括如下：a) 在內部建立一套通用的、行之有效的安全機制；b) 在的員工中樹立起安全責任感；c) 在中增強信息資產可用性、完整性和保密性；d) 在中提高全體員工的信息安全意識和信息安全知識水平。本安全策略適用于公司全體員工，自發(fā)布之日起執(zhí)行。2. 術語和定義1) 解釋信息安全是指保護信息資產免受多種安全威脅，保證業(yè)務連續(xù)性，將安全事件造成的損失降至最小，同時最大限度地獲得投資回報和商業(yè)機遇。可用性確保經過授權的用戶在需要時可以訪問信息并使用相關信息資產。保密性確保只有經過授權的人才能訪問信息。完整性保護信息和信息的處理方法準確而完整。保密信息安全規(guī)章定義的密級信息。信息安全策略正確使用和管理IT信息資源并保護這些資源使得它們擁有更好的保密性、完整性、可用性的策略。風險評估評估信息安全漏洞對信息處理設備帶來的威脅和影響及其發(fā)生的可能性。風險管理以可以接受的成本，確認、控制、排除可能影響信息系統(tǒng)的安全風險或將其帶來的危害最小化的過程。計算機機房裝有計算機主機、服務器和相關設備的，除了安裝和維護的情況外，不允許人員在里邊工作的專用房間。員工在系統(tǒng)內工作的正式員工、雇傭的臨時工作人員。用戶被授權能使用IT系統(tǒng)的人員。信息資產與信息系統(tǒng)相關聯的信息、信息的處理設備和服務。信息資產責任人是指對某項信息資產安全負責的人員。合作單位是指與有業(yè)務往來的單位，包括承包商、服務提供商、設備廠商、外包服務商、貿易伙伴等。第三方訪問指非本單位的人員對信息系統(tǒng)的訪問。IT外包服務是指企業(yè)戰(zhàn)略性選擇外部專業(yè)技術和服務資源，以替代內部部門和人員來承擔企業(yè)IT系統(tǒng)或系統(tǒng)之上的業(yè)務流程的運營、維護和支持的IT服務。安全事件利用信息系統(tǒng)的安全漏洞，對信息資產的保密性、完整性和可用性造成危害的事件。故障是指信息的處理、傳輸設備運行出現意外障礙，以至影響信息系統(tǒng)正常運轉的事件。安全審計通過將所選類型的事件記錄在服務器或工作站的安全日志中用來跟蹤用戶活動的過程。超時設置用戶如果超過特定的時限沒有進行動作，就觸發(fā)其他事件（如斷開連接、鎖定用戶等）。2) 詞語使用必須表示強制性的要求。應當好的做法所要達到的要求，條件允許就要實施。可以表示希望達到的要求。3. 引用文件 下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內容）或修訂版均不適用于本標準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。1) ISO/IEC 27001:2005 信息技術-安全技術-信息安全管理體系要求2) ISO/IEC 17799:2005 信息技術-安全技術-信息安全管理實施細則4. 職責和權限信息安全管控委員會：負責對信息安全策略進行編寫、評審，監(jiān)督和檢查公司全體員工執(zhí)行情況。5. 信息安全策略目標：為信息安全提供管理指導和支持，并與業(yè)務要求和相關的法律法規(guī)保持一致。1) 策略下發(fā)本策略必須得到管理層批準，并向所有員工和相關第三方公布傳達，全體人員必須履行相關的義務，享受相應的權利，承擔相關的責任。2) 策略維護本策略通過以下方式進行文檔的維護工作：必須每年按照風險評估管理程序進行例行的風險評估，如遇以下情況必須及時進行風險評估：a) 發(fā)生重大安全事故b) 組織或技術基礎結構發(fā)生重大變更c) 安全管理小組認為應當進行風險評估的d) 其他應當進行安全風險評估的情形風險評估之后根據需要進行安全策略條目修訂，并在內公布傳達。3) 策略評審每年必須參照管理評審程序執(zhí)行公司管理評審。4) 適用范圍 適用范圍是指本策略使用和涵蓋的對象，包括現有的業(yè)務系統(tǒng)、硬件資產、 軟件資產、信息、通用服務、物理安全區(qū)域等。對于即將投入使用和今后規(guī)劃的信息系統(tǒng)項目也必須參照本策略執(zhí)行。5.1. 信息系統(tǒng)安全組織目標：在組織內部管理信息安全，保持可被外部組織訪問、處理、溝通或管理的信息及信息處理設備的安全。1) 內部組織l 公司的管理層對信息安全承擔最終責任。管理者職責參見信息安全管理手冊。l 公司的信息系統(tǒng)安全管理工作采取信息安全管控委員會統(tǒng)一管理方式，其他相關部門配合執(zhí)行。公司的內部信息安全組織包括信息安全管理小組，小組的人員組成以及相關職責參見公司信息安全組織結構圖。l 各個部門之間必須緊密配合共同進行信息安全系統(tǒng)的維護和建設。相關部門崗位的分工與責任參見信息安全管理手冊。l 任何新的信息系統(tǒng)處理設施必須經過管理授權的過程。并更新至信息資產列表。l 信息系統(tǒng)內的每個重要的資產需要明確所有者、使用人員。參見信息資產列表 。l 凡是涉及重要信息、機密信息（相關定義參見信息資產鑒別和分類管理辦法等信息的處理，相關的工作崗位員工以及第三方都必須簽署保密協(xié)議。l 應當與政府機構保持必要的聯系共同協(xié)調信息安全相關問題。這些部門包括執(zhí)法部門、消防部門、上級監(jiān)管部門、電信供應商等提供公共服務的部門。l 應當與相關信息安全團體保持聯系，以取得信息安全上必要的支持。這些團體包括外部安全咨詢商、獨立的安全技術專家等。l 信息安全管理小組每年至少進行一次信息安全風險評估工作（參照風險評估和風險管理程序，并對安全策略進行復審。信息安全領導小組每年對風險評估結果和安全策略的修改進行審批。l 每年或者發(fā)生重大信息安全變化時必須參照內部審核管理程序執(zhí)行公司內部審核。2) 外部組織a) 第三方訪問是指非人員對信息系統(tǒng)的訪問。第三方至少包含如下人員： 硬件及軟件技術支持、維護人員； 項目現場實施人員； 外單位參觀人員； 合作單位人員； 客戶； 清潔人員、送餐人員、快遞、保安以及其它外包的支持服務人員；b) 第三方的訪問類型包括物理訪問和邏輯訪問。 物理訪問：重點考慮安全要求較高區(qū)域的訪問，包括計算機機房、重要辦公區(qū)域和存放重要物品區(qū)域等； 邏輯訪問：u 主機系統(tǒng)u 網絡系統(tǒng)u 數據庫系統(tǒng)u 應用系統(tǒng)c) 第三方訪問需要進行以下的風險評估后方可對訪問進行授權。 被訪問資產是否會損壞或者帶來安全隱患； 客戶是否與有商業(yè)利益沖突； 是否已經完成了相關的權限設定，對訪問加以控制； 是否有過違反安全規(guī)定的記錄； 是否與法律法規(guī)有沖突，是否會涉及知識產權糾紛；d) 第三方進行訪問之前必須經過被訪問系統(tǒng)的安全責任人的審核批準，包括物理訪問的區(qū)域和邏輯訪問的權限。（詳見辦公室基礎設備和工作環(huán)境控制程序）e) 對于第三方參與的項目或提供的服務，必須在合同中明確規(guī)定人員的安全責任，必要時應當簽署保密協(xié)議。f) 第三方必須遵守的信息安全策略以及第三方和外包管理規(guī)定，留對第三方的工作進行審核的權利。5.2. 資產管理目標：通過及時更新的信息資產目錄對信息資產進行適當的保護。1) 資產責任a) 所有的信息資產必須登記入冊，對于有形資產必須進行標識，同時資產信息應當及時更新。每項信息資產在登記入冊及更新時必須指定信息資產的安全責任人，信息資產的安全責任人必須負責該信息資產的安全。b) 所有員工和第三方都必須遵守關于信息設備安全管理的規(guī)定，以保護信息處理設備（包括移動設備和在非公共地點使用的設備）的安全。2) 信息分類a) 必須明確確認每項信息資產及其責任人和安全分類，信息資產包括業(yè)務過程、硬件和設施資產、軟件和系統(tǒng)資產、文檔和數據信息資產、人員資產、服務和其他資產。（詳見信息資產列表）。b) 必須建立信息資產管理登記制度，至少詳細記錄信息資產的分類、名稱、用途、資產所有者、使用人員等，便于查找和使用。信息資產應當標明適用范圍。（詳見IT設備管理規(guī)定）。c) 應當在每個有形信息資產上進行標識。d) 當信息資產進行拷貝、存儲、傳輸（如郵遞、傳真、電子郵件以及語音傳輸（包括電話、語音郵件、應答機）等）或者銷毀等信息處理時，應當參照信息資產鑒別和分類管理辦法或者制定妥善的處理步驟并執(zhí)行。e) 對重要的資料檔案要妥善保管，以防丟失泄密，其廢棄的打印紙及磁介質等，應按有關規(guī)定進行處理。5.3. 人員信息安全管理目標：確保所有的員工、合同方和第三方用戶了解信息安全威脅和相關事宜、明確并履行信息安全責任和義務，并在日常工作中支持的信息安全方針，減少人為錯誤的風險，減少盜竊、濫用或設施誤用的風險。1) 人員雇傭a) 員工必須了解相關的信息安全責任，必須遵守職務說明書。b) 對第三方訪問人員和臨時性員工，必須遵守第三方和外包管理規(guī)定。c) 涉及重要信息系統(tǒng)管理的員工、合同方及第三方應當進行相關技術背景調查和能力考評；d) 涉及重要信息系統(tǒng)管理的員工、合同方及第三方應在合同中明確其信息安全責任并簽署保密協(xié)議；e) 重要崗位的人員在錄用時應做重要崗位背景調查。2) 雇傭中a) 管理層必須要求所有的員工、合同方及第三方用戶執(zhí)行信息安全的相關規(guī)定；b) 應當設定信息安全的相關獎勵措施，任何違反信息安全策略的行為都將收到懲戒，具體執(zhí)行辦法參見信息安全獎懲規(guī)定；c) 將信息安全培訓加入員工培訓中，培訓材料應當包括下列內容： 信息安全策略 信息安全制度 相關獎懲辦法d) 應當按下列群體進行不同類型的信息安全培訓： 全體員工 需要遵守信息安全策略、規(guī)章制度和各項操作流程的第三方人員e) 信息安全培訓必須至少每年舉行一次，讓不同部門的人員能受到適當的信息安全培訓。必須參加計算機信息安全培訓的人員包括： 計算機信息系統(tǒng)使用單位的安全管理責任人； 重點單位或核心計算機信息系統(tǒng)的維護和管理人員； 其他從事計算機信息系統(tǒng)安全保護工作的人員； 能夠接觸到敏感數據或機密信息的關鍵用戶。3) 人員信息安全管理原則a) 員工錄用時，人事部門或調入部門必須及時書面通知信息技術部門添加相關的口令、帳號及權限等并備案。b) 員工在崗位變動時，必須移交調出崗位的相關資料和有關文檔，檢查并歸還在借出的重要信息。人事部門或調入部門必須及時書面通知信息技術部門修改和刪除相關的口令、帳號及權限等。c) 員工在調離時必須進行信息安全檢查。調離人員必須移交全部資料和有關文檔，刪除自己的文件、帳號，檢查并歸還在借出的保密信息。由人事部門書面通知信息技術部門刪除相關的口令、帳號、權限等信息。d) 必須每半年進行用戶帳戶使用情況的評審，凡是半年及半年以上未使用的帳號經相關部門確認后刪除。如有特殊情況，必須事先得到部門經理及安全責任人的批準。e) 對第三方訪問人員和臨時性員工，也必須執(zhí)行相關規(guī)定。5.4. 物理和環(huán)境安全1) 安全區(qū)域目標：防止對工作場所和信息的非法訪問、破壞和干擾。a) 必須明確劃分安全區(qū)域。安全區(qū)域至少包括各計算機機房、IT部門、財務、人事等部門。所有可以進出安全區(qū)域的門必須能防止未經授權的訪問，如使用控制裝置、柵欄、監(jiān)控和報警裝備、鎖等。b) 無人值守的門和窗戶必須上鎖，對于直接與外部相連的安全區(qū)域的窗戶必須考慮窗戶的外部保護；c) 安全邊界的所有門均應被監(jiān)視并經過檢驗，它和墻一起按照合適的地方、國內和國際標準建立所需的抵抗程度；他們應用故障保護方式按照局部放火規(guī)則來運行。d) 應按照地方、國內和國際標準建立適當的入侵檢測體系，并定期檢測以覆蓋所有的外部門窗；要一直對空閑區(qū)域發(fā)出警報；其他區(qū)域要提供掩護方法，例如計算機室或通信室；e) 安全區(qū)域必須配備充足的安全設備，例如熱敏和煙氣探測器、火警系統(tǒng)、滅火設備，并對設備定期檢查。f) 安全區(qū)域進出控制采用合適的電子卡或磁卡，并能雙向控制。g) 對安全區(qū)域的訪問必須進行記錄和控制，以確保只有經過授權的人員才可以訪問。對機房的訪問管理參見機房安全管理規(guī)定，其它區(qū)域可參照執(zhí)行。h) 重要設備必須放在安全區(qū)域內進行保護，禁止在公共辦公區(qū)域防止重要的信息處理設施；i) 應當控制外來人員對公共辦公區(qū)域的訪問，第三方訪問規(guī)定參見第三方和外包管理規(guī)定j) 關鍵和敏感設施應當存放在與公共辦公區(qū)域相對隔離的場地，并應設計并實施保護。k) 危險或易燃物品應當擺放在離安全區(qū)域安全距離之外，機房應當參見機房安全管理規(guī)定中的要求執(zhí)行值班或巡檢工作任務。l) 備份介質應當和主場地有一段的安全距離，要考慮信息設備面臨的可能的安全威脅，參考業(yè)務連續(xù)性管理程序的內容制定對應的業(yè)務連續(xù)性計劃，并要定期演練。m) 人員離開安全區(qū)域時應當及時上鎖。n) 除非經過主管部門領導授權，在安全區(qū)域不允許使用圖象、視頻、音頻或其它記錄設備。o) 外部人員訪問安全區(qū)域時應當由員工陪同，并填寫機房出入登記表，對訪問時間、操作內容等加以記錄。p) 出入機房的設備必須填寫機房設備出入登記表。2) 設備安全目標：防止資產的丟失、損壞或被盜，以及對組織業(yè)務活動的干擾。a) 計算機機房必須提供環(huán)境保障，機房建設必須遵照相關的機房建設規(guī)范進行。如中華人民共和國國家標準GB 50174電子計算機機房設計規(guī)范，必須提供： 穩(wěn)定的電源供給 可靠的空氣質量控制（溫度，濕度，污染度） 防火，防水，防高溫，放雷b) 應盡量減少對機房不必要的訪問，在機房內工作必須遵守機房安全管理規(guī)定。c) 各計算機機房是重要的信息處理場所，必須嚴格執(zhí)行有關安全保密制度和規(guī)定，并防止重要信息的泄露，保證業(yè)務數據、信息、資料的準確、安全可靠。d) 計算機機房應列為公司重點防火部位，按照規(guī)定配備足夠數量的消防器材，并定期檢查更換。機房工作人員要熟悉機房消防用品的存放位置及使用方法，必須掌握防火設施的使用方法和步驟；要熟悉設備電源和照明用電以及其它電氣設備總開關位置，掌握切斷電源的方法和步驟。在遇到突發(fā)緊急情況時，必須以保護人身安全為首要目標。e) 定期對機房供電線路及照明器具進行檢查，防止因線路老化短路造成火災。f) 應當按照設備維護要求的時間間隔和規(guī)范，對設備進行維護。g) 第三方支持和維護人員對重要設備技術支持前，必須經過安全責任人的授權或審批。并且在對重要設備現場實施過程中必須有相關人員全程陪同，詳細規(guī)定參見第三方和外包管理規(guī)定。h) 設備的安全與重用應當按規(guī)定的操作程序來處理，特別是包含重要信息的存儲設備，應按照相關規(guī)定，以確定是否銷毀、修理或棄用該設備。對棄置的存儲有敏感信息的存儲設備，必須將其銷毀，或重寫數據，而不能只是使用標準的刪除功能進行數據刪除。詳細規(guī)定參見移動存儲介質使用規(guī)定。i) 當員工離開時，對于載有重要信息的紙張和可移動的存儲介質，應當妥善保管。j) 遠程辦公人員有責任保護移動設備的安全，未經批準，不得在公共場所訪問內部網絡。k) 未經信息安全責任人授權，不允許將載有重要信息的設備、信息或軟件帶離工作場所。機房內設備的出入必須填寫機房出入登記表。5.5. 通信和操作管理1) 操作程序和責任目標：確保信息處理設施的正確和安全操作 a) 對于日常維護工作必須按照規(guī)定的系統(tǒng)操作流程進行，操作流程應當指明具體執(zhí)行每個作業(yè)的說明。操作流程必須成文，并只有經授權才可以修改。b) 必須建立并執(zhí)行信息處理設備和信息系統(tǒng)變更管理流程（具體參照變更管理流程），形成文檔備案。c) 處理敏感信息資產時，可以考慮分離職責，如果不實施分離，則應當對處理操作予以記錄，并定期進行監(jiān)督。d) 應當分離開發(fā)、測試與運營環(huán)境，敏感數據不可拷貝到測試環(huán)境中，測試完成后應當及時清理測試環(huán)境。2) 第三方服務交付管理目標：實施并保持信息安全的適當水平，確保第三方交付的服務符合協(xié)議要求。a) 應當確保第三方實施、運行并保持第三方服務交付協(xié)議中包括商定的安全布置、服務定義和交付等級。應定期審核第三方的服務提交的報告和檢查對協(xié)議的符合度。重要的第三方服務必須簽訂服務合同和第三方保密協(xié)議。b) 應當在第三方服務協(xié)議中包含服務變更管理的內容。變更內容包括但不限于： 任何新應用、系統(tǒng)、服務的開發(fā) 對現有應用、系統(tǒng)、服務的更改或更新 與信息安全有關的新的控制措施 網絡環(huán)境或其它新技術的使用 開發(fā)環(huán)境或物理環(huán)境的變更 供應商的變更3) 系統(tǒng)策劃與驗收目標：最小化系統(tǒng)失效的風險a) 應為系統(tǒng)的性能和容量要求做預先的規(guī)劃和準備，應反映對未來容量需求的推測，以減少系統(tǒng)過載的風險。b) 應建立新信息系統(tǒng)、系統(tǒng)升級和新版本的驗收準則，驗收前應當完成設計審核、缺陷分析及安全測試。必須將驗收標準寫入到項目合同中。4) 防范惡意和移動代碼目標：保護軟件和信息的完整性。a) 所有服務器和個人計算機都必須激活防病毒軟件，必須及時更新防病毒代碼庫。詳細規(guī)定參見防病毒管理程序。b) 系統(tǒng)內的服務器和個人計算機必須使用可信來源的軟件，應對軟件進行病毒檢測后統(tǒng)一保存。c) 員工應當到指定的空間下載軟件，不得私自安裝授權使用軟件列表之外的軟件。d) 必須對所有的電子郵件附件進行病毒掃描，也不要隨意打開來歷不明的郵件附件。e) 應當開展對一般員工的預防病毒培訓。員工一旦發(fā)現或懷疑有PC或服務器被病毒感染,必須馬上斷開網絡并進行全盤掃描，必須立即通知技術部門。5) 備份目標：保持信息和信息處理設施的完整性和可用性。a) 管理員應當對重要的應用系統(tǒng)、操作系統(tǒng)、配置文件及日志等制訂備份策略，并要定期對備份數據進行測試。如果是涉密信息，必須對備份信息實施加密。b) 所有員工要定期對個人電腦上的重要數據進行備份，以減少不必要的損失。c) 備份應當存儲在與主設備有足夠距離的地點，該地點應安全可靠，應同主設備場地使用同等的安全等級。6) 網絡安全管理目標：確保網絡中的信息和支持性基礎設施得到保護。a) 應當對重要的線路、網絡設備采用冗余措施，以維持關鍵服務的可用性。b) 網絡管理員應當參照訪問控制程序對網絡和網絡服務進行充分的管理和控制，并采用網管工具對通訊線路、網絡設備、網絡流量進行實時的監(jiān)控和預警。c) 處理敏感信息的計算機應當與局域網物理隔離，應當采用適當的加密技術。7) 介質處理目標：防止對資產的未授權泄露、修改、移動或損壞，及對業(yè)務活動的的干擾。a) 應當妥善記錄移動介質。不得將載有重要信息的存儲介質隨意存放，未經安全責任人授權，不得帶出辦公地點。b) 如果介質上的內容不再需要，應當立即清除。對于備份或存放有重要信息或軟件的存儲介質，在銷毀時，應當進行格式化或重寫數據，避免不必要的泄露。c) 存放業(yè)務應用系統(tǒng)及重要信息的介質，嚴禁外借，確因工作需要，須報請部門領導批準。d) 對需要長期保存的介質，必須在介質老化前進行轉儲，以防止因介質失效造成損失。e) 應限制只有系統(tǒng)管理員才可訪問系統(tǒng)文檔。應對的所有信息數據分類標識，建立信息處置、存儲、分發(fā)的規(guī)程。8) 信息交換目標：應保持組織內部或組織與外部組織之間交換信息和軟件的安全。a) 應當依據信息資產鑒別和分類管理辦法、信息安全交流控制程序，保護信息在發(fā)布、交換時的安全。b) 員工必須遵守國家有關信息管理的法規(guī)，不得利用網絡危害國家安全、泄露國家秘密，不得違反中華人民共和國現行法律和法規(guī)，不得侵犯國家社會集體的和公民的合法權益。c) 敏感信息應當通過專用的線路傳輸。未經安全責任人授權，員工不得與外部聯網的計算機信息系統(tǒng)傳輸涉及重要信息的文件。d) 員工不得利用網絡對他人進行侮辱、誹謗、騷擾；不得侵害他人合法權益；不得侵犯他人的名譽權，肖像權、姓名權等人身權利；不得侵犯他人的商譽、商標、版權、專利、專有技術等各種知識產權。e) 在通過郵政等物理傳輸方式傳輸時，應保護包含重要信息的介質的安全。f) 應控制并記錄允許操作業(yè)務系統(tǒng)的用戶名單，未經安全責任人授權，不得隨意變更訪問限制和共享信息。9) 監(jiān)視和審計目標：檢測未經授權的信息處理活動。a) 公司制定IT設備設施維護管理程序、信息安全技術檢查管理規(guī)定對信息系統(tǒng)活動進行監(jiān)控。b) 應當使用監(jiān)視程序以確保用戶只執(zhí)行被明確授權的活動，審計內容應細化到個人而不是共享帳號。審計至少包括用戶ID、系統(tǒng)日志、操作記錄等。c) 可以實施安全產品或調整配置，以記錄和審計用戶活動、系統(tǒng)、安全產品和信息安全事件產生的日志，并按照約定的期限保留，以支持將來的調查和訪問控制監(jiān)視。d) 可以在內網中配置日志服務器，專門收集主機、網絡設備、安全產品的日志，以避免日志被破壞或覆蓋。e) 應在網絡中配置時鐘服務器，被審計的信息設備應同時鐘服務器的時間保持同步，以避免審計上的漏洞。5.6. 信息系統(tǒng)訪問控制1) 訪問控制的業(yè)務要求目標：控制對信息的訪問。a) 應當明確規(guī)定每個用戶以及相應用戶組在各個系統(tǒng)中訪問控制規(guī)則與權限，每半年要評審用戶和訪問權限的設置，詳細規(guī)定參見訪問控制程序。2) 用戶訪問管理目標：確保授權用戶的訪問，并預防信息系統(tǒng)的非授權訪問。a) 禁止用戶帳號共享，普通用戶不能在一個系統(tǒng)上擁有多個帳號，系統(tǒng)管理員不能在一個系統(tǒng)上擁有多個相同角色的帳號。每個用戶應當在不同的信息系統(tǒng)上遵循統(tǒng)一的命名方式且使用相同的用戶帳號，統(tǒng)一的命名方式應當參考域（郵箱）帳號命名規(guī)則。詳細規(guī)定參見公司郵箱管理辦法b) 所有對信息系統(tǒng)的訪問必須遵照訪問控制程序。除非員工獲得該流程規(guī)定的相關部門授權，否則不準在網絡上給外單位和個人開戶，也不準外單位或個人借用內部用戶名和口令上網，一經查出將追究當事人責任。c) 用戶權限必須按照最小權限原則進行分配。d) 技術人員在收到重置口令的申請時，必須驗證用戶的身份后方可提供一個臨時的代替口令。e) 要告知并強制用戶遵守用戶帳號及口令管理規(guī)定，用戶必須對自己的帳號和口令保密，不能以任何形式向他人透露口令信息，不得以未加密的形式將口令保存在文件或計算機中，在收到應用系統(tǒng)或軟件的初始口令后必須及時更改。f) 用戶帳號三個月未使用的將在系統(tǒng)中自動失效。必須每半年進行用戶使用情況的評審，凡是半年及半年以上未使用的帳號經相關部門確認后刪除。如有特殊情況，必須事先得到信息安全部及安全責任人的批準并備案。3) 用戶責任目標：避免未授權用戶的訪問，防止信息和信息處理設施的安全。a) 員工和訪問信息系統(tǒng)的第三方必須遵守用戶帳號及口令管理規(guī)定的要求保證自己的用戶帳號和口令的安全。要求用戶不得明文保存口令，及時修改默認口令并必須選擇強壯的口令，定期修改密碼，不得隨意共享密碼。b) 所有計算機應當啟用計算機的開機口令進行保護。當員工離開計算機時，員工必須立即鎖定屏幕或退出系統(tǒng)，且在系統(tǒng)內必須設置5分鐘自動啟用有口令的屏幕保護。c) 離開機房后要及時鎖門，重要信息設備可以使用計算機鎖等控制措施來保護其不受未授權訪問。d) 人員離開時，必須清理桌面上的敏感信息，打印出的文件必須及時從打印機取走。4) 網絡訪問控制目標：防止對網絡服務的未經授權的訪問。a) 網絡管理員必須參照訪問控制程序和業(yè)務系統(tǒng)要求進行控制： 明確哪些用戶可以訪問的網絡和網絡服務列表 明確訪問網絡和網絡服務的用戶 實施相應的控制手段b) 對于來自外部的連接，使用VPN連接，使用基于口令的控制系統(tǒng)進行控制。c) 任何到網絡的物理或邏輯的連接必須經過運維部的批準。d) 必須明確哪些人可以遠程診斷和調試信息設備。給第三方開放遠程維護帳號時，維護結束后必須立即收回。e) 局域網網絡對外出口必須使用防火墻進行保護，根據安全需要可以考慮將局域網進一步劃分為獨立的邏輯網絡域，并各邏輯網的接口處使用防火墻保護。上述接口和出口應當同時考慮實施地址轉換、防病毒和入侵檢測產品等。f) 未經批準，不得在公共場所訪問內部網絡。g) 對于從正式辦公地點內部發(fā)起的、目標為外部網絡或計算機的所有計算機網絡連接，必須通過由統(tǒng)一配置使用的系統(tǒng)進行路由。5) 操作系統(tǒng)訪問控制目標：防止對操作系統(tǒng)未授權訪問。a) 主機系統(tǒng)的登錄必須遵照以下規(guī)定： 對于非Windows平臺，成功登錄后，才顯示系統(tǒng)或應用標識 只顯示一般性的警告信息，例如“本系統(tǒng)只允許授權用戶訪問” 限制不成功登錄的次數，不得超過5次，否則鎖定用戶帳號 記錄成功和不成功登錄的情況 需要在網絡上傳輸口令時，應當進行加密b) 登錄終端必須有超時設置，不超過20分鐘。c) 應對所有用戶分配一個唯一的ID。無特殊情況一個人不得在一個系統(tǒng)上擁有多個帳號。d) 使用口令管理系統(tǒng)時，可以考慮配置： 強制選擇優(yōu)質口令。 允許用戶選擇和更改自己的口令，其中要包括新口令的確認過程。 強制用戶在第一次登錄時修改口令。 分開存儲口令文件和應用系統(tǒng)數據 保護口令的存儲和傳輸過程。e) 應分開保存系統(tǒng)文件和應用數據，限制對系統(tǒng)文件的操作。6) 應用程序和信息訪問控制目標：防止對應用系統(tǒng)中信息的非法訪問。a) 應限制用戶和管理員對應用系統(tǒng)的訪問權限，要求用戶在申請、變更或廢止訪問權限時，應填寫權限申請表。b) 處理敏感信息的系統(tǒng)應當與公共網隔離，且系統(tǒng)輸出信息僅能發(fā)送給特定的終端和人員。c) 應當參考信息資產鑒別和分類管理辦法明確標識出敏感信息，當需要共享或分發(fā)敏感信息時，必須附帶保密聲明。7) 移動計算和遠程工作目標：確保在使用移動計算機和遠程工作設施時的安全。a) 所有遠程工作的移動計算機都必須安裝防病毒軟件，應當考慮采用動態(tài)口令系統(tǒng)。未經信息安全部批準，不得在公共場所訪問內部網絡。詳細參見筆記本電腦安全使用指南b) 應當安排針對移動辦公人員的安全培訓，要求此類用戶保護移動設備和遠程辦公帳號的安全。5.7. 信息系統(tǒng)的獲取、開發(fā)和維護安全1) 信息系統(tǒng)的安全要求目標：確保安全成為信息系統(tǒng)的一部分。a) 對自主開發(fā)和外包開發(fā)的信息系統(tǒng)或對現有系統(tǒng)的更新，在分析階段應當規(guī)定對安全控制的要求，并集成到系統(tǒng)設計規(guī)范書、招標規(guī)范書和外包合同書之中，并在開發(fā)工作和驗收時進行考慮。2) 應用系統(tǒng)的正確處理目標：防止應用系統(tǒng)信息的錯誤、丟失、未授權的修改或誤用。a) 應用系統(tǒng)設計時應當針對數據安全進行以下方面的考慮： 輸入數據驗證：對應用系統(tǒng)的數據輸入進行驗證，保證輸入數據正確并合乎要求。 數據的容錯處理：為防止正確的數據因處理錯誤或故意人為等因素遭到破壞而采取的檢查和控制措施。 輸出數據驗證：對應用系統(tǒng)輸出的數據進行驗證，保證對存儲信息的正確處理。 消息驗證：檢查傳輸的電子消息內容是否有非法變更或破壞的技術手段。可以用加密技術作為實現消息驗證的手段。 加密：是用于保護信息機密性的技術。在保護敏感或關鍵信息時使用。b) 周期性評審關鍵信息和數據的內容，以保證其有效性和完整性。3) 加密控制目標：通過加密手段來保護信息的保密性、真實性和完整性a) 在組織內實施加密控制的策略，可以考慮使用密碼技術以實現： 保密性：通過信息加密保護存儲和傳輸中的敏感和重要數據。 完整性/可認證性：使用數字簽名和消息驗證碼去保護存儲的和傳輸中的敏感和重要數據的可認證性和完整性。 不可否認性：利用密碼技術獲得事件和行為發(fā)生或未發(fā)生的證明。b) 實施密鑰管理辦法，包括防止密鑰的丟失、泄密或破壞，密鑰的銷毀和密鑰損壞后加密數據的恢復。4) 系統(tǒng)文件安全目標：確保系統(tǒng)文件的安全a) 應當僅由管理員才可以進行操作系統(tǒng)、軟件、應用和運行程序庫的更新，生產系統(tǒng)不得安裝無關軟件。b) 應當盡量避免應用系統(tǒng)對操作系統(tǒng)的直接調用，最大限度降低操作系統(tǒng)崩潰的風險。c) 重要的應用和操作系統(tǒng)軟件只有在全面正確的測試通過后才可安裝，測試包括實用性、安全性、在其它系統(tǒng)上的有效性、用戶友好性等，測試應在獨立的系統(tǒng)上完成，必須確保對應的程序庫已經更新。d) 重要軟件和應用升級后，包括需要的信息、參數、升級過程日志、配置細節(jié)等都要歸檔，配套的數據和文件也應歸檔。e) 所有應用必須編寫應用配置手冊，應用配置手冊必須隨著操作系統(tǒng)軟件或應用配置的改變而及時更新。f) 測試過程中應當避免使用敏感信息，測試完成后應當及時清除。g) 訪問程序源代碼的行為應受到限制，更新關鍵應用系統(tǒng)必須按照變更管理流程得到授權。若有可能，在運行環(huán)境中不應保留程序源代碼庫。5) 開發(fā)和支持過程安全目標：保持應用系統(tǒng)軟件和信息的安全a) 維護并執(zhí)行變更管理流程，該流程應當包括提交申請、調研和評估、審批、實施、總結和備案。b) 必須分開生產環(huán)境和非生產環(huán)境，非生產環(huán)境包括開發(fā)、測試和培訓所用的環(huán)境。應用開發(fā)人員不允許訪問生產環(huán)境，除非在有安全評測手段的前提下，應用開發(fā)人員可以暫時獲得生產環(huán)境下的用戶名和口令以用于系統(tǒng)支持，必須保證在系統(tǒng)支持完成之后立即修改口令。c) 當操作系統(tǒng)變更后，應評審和測試關鍵的應用系統(tǒng)，以確定此變更對運營和安全帶來的影響。d) 只能從可信的渠道（如廠商指定的網站）獲取軟件的更新程序，重要變更必須進行記錄。變更后，運維人員應當監(jiān)控變更帶來的影響。其中安全補丁的規(guī)定詳見補丁管理程序。e) 可以采取安全手段監(jiān)視系統(tǒng)、通信和個人行為，以減小信息泄露的可能。6) 技術漏洞管理目標：減少利用公開的技術漏洞帶來的風險。a) 應當確認軟件和其它技術的相關漏洞，指定專人進行安全補丁管理工作，包括補丁公告、補丁評估和補丁列表的維護工作。詳細規(guī)定參見補丁管理程序。b) 如果沒有合適的補丁，應當實施其它措施，如： 關掉可能利用漏洞造成損害的服務和端口 在網絡邊界上增加隔離和訪問控制，如防火墻 在網絡中部署入侵檢測系統(tǒng) 增強對該漏洞的監(jiān)控5.8. 信息安全事故處理1) 報告信息安全事故和弱點目標：確保與信息系統(tǒng)有關的安全事件和弱點的報告，以便及時采取糾正措施。a) 維護并執(zhí)行信息安全事件管理程序，培訓并要求所有員工和第三方都有責任盡快報告信息安全事件。b) 信息安全事件發(fā)生后，報告人應立即將事件的重要細節(jié)（如事件描述、屏幕上顯示的消息、造成的后果、其它異常情況等）向主管部門報告。c) 所有員工和第三方有責任注意并報告系統(tǒng)或服務中已發(fā)現或疑似的安全漏洞，但不能擅自處理和散播。2) 信息安全事故管理和改進目標：確保使用可追蹤的，有效的方法管理信息安全事故。a) 應當建立包括事件報告、分類、責任分工、響應方法、記錄和總結、恢復計劃等在內的信息安全事故管理機制。詳細規(guī)定參見信息安全事件管理程序。b) 應通過信息安全事故的評估和總結以識別將來可能再次發(fā)生的事故，特別是可能造成重大影響的事故，盡量減小同種事故帶來的損失。c) 從事件被檢測到至處理完成全過程的記錄和證據（包括紙制文檔和電子信息）都應進行保留。5.9. 業(yè)務連續(xù)性管理1) 業(yè)務連續(xù)性管理中的信息安全目標：防止業(yè)務活動中斷，保證重要業(yè)務流程不受重大故障和災難的影響，并確保它們的及時恢復。a) 參考業(yè)務連續(xù)性管理程序制訂并實施業(yè)務連續(xù)性計劃，預防和恢復控制相結合，將災難和安全故障（可能是由于自然災害、事故、設備故障和蓄意破壞等引起）造成的影響降低到可以接受的水平，限制破壞性事件造成的后果，確保關鍵業(yè)務的操作得到及時恢復。業(yè)務連續(xù)性計劃制定后必須得到安全領導小組的批準。b) 業(yè)務連續(xù)性計劃的內容至少應當包括： 確定關鍵業(yè)務流程和其所涉及資產，明確信息處理設施的業(yè)務目標。 識別可能導致業(yè)務中斷的重大事故，評估此類重大事故發(fā)生的可能性及造成業(yè)務中斷給造成的影響，確定關鍵業(yè)務流程的優(yōu)先級。 必要時可以適當考慮購買保險，以降低重大災難引起的損失。 定期對計劃和相關操作流程進行檢查、演練和更新。 明確人員職責，業(yè)務連續(xù)性管理過程的職責應分配給安委會。 保護人員、信息處理設備和機構財產的安全。 業(yè)務恢復的優(yōu)先級，應當考慮可容忍的業(yè)務中斷時間和業(yè)務恢復到中斷前的哪個時間點，要特別注意對有關外部業(yè)務和合同的評估。 滿足業(yè)務連續(xù)性計劃所需的資源和服務，包括人員、非信息處理資源以及信息處理設施的低效運行安排。 業(yè)務流程的備案 對員工進行適當的業(yè)務連續(xù)性計劃的培訓 通過演練（或突發(fā)事件發(fā)生）的實際情況，對計劃進行修正，保證其有效性和可操作性。c) 應當維護一個全局性的業(yè)務連續(xù)性計劃框架，以確保所有計劃的一致性。業(yè)務連續(xù)性計劃框架應該考慮以下內容： 計劃的啟動條件。在計劃執(zhí)行前說明要采用的程序（包括如何評估、參與人員等）。 應急程序。說明在發(fā)生危及業(yè)務操作和/或生命的事故后要采取的措施。 低效運行程序。說明應該采取哪些措施，以將重要業(yè)務活動或支持服務轉移到其它臨時地點并在規(guī)定時間內恢復業(yè)務流程。 恢復程序。說明應該采取哪些措施，以恢復正常業(yè)務運作。 說明若恢復未完成時應遵循的臨時操作規(guī)程。 說明計劃檢查方式和時間的維護計劃以及計劃維護程序。 在組織內開展業(yè)務連續(xù)性的教育培訓活動。 明確個人責任。說明由誰負責執(zhí)行哪一部分計劃。根據要求可以指定備選方案。d) 必須定期測試并更新業(yè)務連續(xù)性計劃，可以通過以下方法： 通過會議，可以使用類似案例討論業(yè)務恢復方面的安排。 通過模擬事故發(fā)生的情況，重點培訓對負責事故/危機發(fā)生后管理的人員。 通過測試確保技術上信息系統(tǒng)可以有效地恢復。 在備用場地進行測試（繼續(xù)業(yè)務流程的同時在主場地外執(zhí)行恢復操作）。 供應商提供的設施和服務的檢查（確保外部提供的服務和產品符合合同中的規(guī)定）。 全面演習（檢查組織、人員、設備、設施和程序是否能夠應付中斷情況）。e) 必須維護業(yè)務連續(xù)性計劃并進行定期更新分析。應該分配各個業(yè)務連續(xù)性計劃的定期評審責任；檢查業(yè)務變動是否都反應在計劃更新的內容當中。更新后的計劃必須正式進行批準和分發(fā)。特別注意信息系統(tǒng)更新可能引起業(yè)務連續(xù)性計劃的如下信息的更新： 人員。 地址或電話號碼。 經營戰(zhàn)略。 場所、設施和資源。 法律法規(guī)。 承包商、供應商和主要客戶。 流程（新的流程/廢止的流程）。 風險（操作風險和金融風險）。5.10. 符合性要求1) 遵守法律法規(guī)的要求目標：避免違反法律、法規(guī)、規(guī)章、合同要求和其它安全要求。a) 公司的信息系統(tǒng)和其它IT設施必須符合國家相關法律法規(guī)的要求。特別是與外部的組織有往來時。b) 所有的軟件和硬件必須遵守知識產權的要求，包括著作權、設計權、商標權等。通過合法渠道獲得產品，遵守產品許可證的限制，維護許可證，交付產品，手冊等證明材料，告知員工他們保護知識產權的責任，提高員工安全意識，應當在合同中明確知識產權的歸屬，并對享有知識產權資料的復制進行限制。c) 應按照法律法規(guī)、合同和業(yè)務要求，保護重要記錄免受損失、破壞或偽造篡改。重要記錄包括紙質或非紙質的財務記錄、數據庫記錄、日志和操作規(guī)程等。應當考慮信息的處理辦法，保存時間，關鍵信息來源的目錄和索引。d) 在傳輸和存儲過程中保護個人數據和個人隱私。e) 未經安全責任人書面授權，禁止用戶和管理員將信息處理設備用于其他目的。可以在登錄時，在屏幕上應顯示保密聲明，告知其正進入的系統(tǒng)是不公開的。2) 安全策略和技術一致性檢查目標：保證信息系統(tǒng)符合的安全策略和標準。a) 信息安全小組應不定期地組織抽查信息安全制度的落實和執(zhí)行情況，依據信息安全技術檢查管理規(guī)定、內部審核程序的規(guī)定，進行測量，上報信息安全管理小組組長。協(xié)助內審組進行信息安全內部評審和管理評審。b) 應當定期使用技術手段發(fā)現系統(tǒng)的漏洞，以確定安全技術防范的有效性。當進行漏洞測試前，要格外謹慎，可以制訂好計劃再進行操作。3) 信息系統(tǒng)審計考慮因素目標：要最大化信息系統(tǒng)審計的效果，并盡量減小信息系統(tǒng)審計帶來的影響。a) 審計的要求和審計范圍必須得到授權。審計人員應限于軟件和數據的只讀訪問，若需要額外的行為，要顯式予以標明。b) 應安排不同于被審計者的人員進行審計，審計過程要進行記錄。c) 信息系統(tǒng)審計工具（如軟件和數據文件）應與開發(fā)和運行系統(tǒng)分開。如果審計活動包含了對生產系統(tǒng)的檢查，應當進行仔細的計劃和控制，把風險降到最低。d) 安全審計應當由安全審計人員或可信的、獨立的第三方機構來執(zhí)行。如果由第三方審計，應當與其簽署安全保密協(xié)議，并要實施控制措施降低外部審計可能存在的風險。6. 附件無精選word范本！