信息安全管理制度附表格.doc

资源描述

1、信息安全管理制度编号：ISSM M-001版本：V1.0发布时间：2010-2-31(已受控)XXXX科技发展有限责任公司 2010 年 2 月31 日目录1总则62适用范围63管理对象64第四章术语定义75安全制度方面85.1安全制度要求85.1.1本制度的诠释85.1.2制度发布95.1.3制度复审96组织安全方面96.1组织内部安全96.1.1信息安全体系管理96.1.2信息安全职责分配116.1.3信息处理设备的授权126.1.4独立的信息安全审核126.2第三方访问的安全性136.2.1明确第三方访问的风险136.2.2当与客户接触时强调信息安全146.2.3与第三方签订合约的安全要

2、求147信息资产与人员安全157.1资产责任157.1.1资产的清单157.1.2资产的管理权157.1.3资产的合理使用167.2信息分类167.2.1信息分类原则167.2.2信息标记和处理177.3人员安全187.3.1信息安全意识、教育和培训187.3.2惩戒过程197.3.3资产归还197.3.4删除访问权限208物理和环境安全方面208.1安全区域208.1.1物理安全边界208.1.2安全区域访问控制218.1.3办公场所和设施安全228.1.4防范外部和环境威胁238.1.5在安全区域工作248.1.6机房操作日志248.2设备安全258.2.1设备的安置及保护258.2.2支

3、持设施258.2.3设备维护268.2.4管辖区域外设备安全278.2.5设备的安全处理或再利用279通信和操作管理方面279.1操作程序和职责289.1.1规范的操作程序289.1.2变更控制289.1.3职责分离299.1.4开发、测试和生产系统分离309.1.5事件管理程序309.2第三方服务交付管理319.2.1服务交付319.2.2第三方服务的变更管理319.3针对恶意软件的保护措施329.3.1对恶意软件的控制329.4备份329.4.1信息备份329.5网络管理339.5.1网络控制339.6介质的管理349.6.1可移动介质的管理349.6.2介质的销毁359.6.3信息处理程

4、序359.6.4系统文档的安全369.7信息交换369.7.1信息交换管理办法和程序369.7.2交换协议379.7.3物理介质传输379.7.4电子消息389.7.5业务信息系统399.8电子商务服务399.8.1电子商务399.8.2在线交易409.8.3公共信息409.9监控419.9.1日志419.9.2监控系统的使用429.9.3日志信息保护429.9.4管理员和操作员日志439.9.5故障日志439.9.6时钟同步4310访问控制方面4410.1访问控制要求4410.1.1访问控制管理办法4410.2用户访问管理4510.2.1用户注册4510.2.2特权管理4510.2.3用户密

5、码管理4610.2.4用户访问权限的检查4710.3用户的责任4710.3.1密码的使用4710.3.2清除桌面及屏幕管理办法4810.4网络访问控制4910.4.1网络服务使用管理办法4910.4.2外部连接的用户认证4910.4.3远程诊断和配置端口的保护5010.4.4网络的划分5010.4.5网络连接的控制5110.4.6网络路由的控制5210.5操作系统访问控制5210.5.1用户识别和认证5210.5.2密码管理系统5310.5.3系统工具的使用5410.5.4终端超时终止5410.5.5连接时间的限制5410.6应用系统访问控制5510.6.1信息访问限制5510.6.2敏感系统

6、的隔离5510.7移动计算和远程办公5510.7.1移动计算5510.7.2远程办公5611信息系统采购、开发和维护方面5711.1系统安全需求5711.1.1系统的安全需求分析与范围5711.2应用系统中的安全5811.2.1数据输入的验证5811.2.2内部处理的控制5911.2.3消息验证6011.2.4数据输出的验证6011.3加密控制6011.3.1加密的使用管理办法6011.3.2密钥管理6111.4系统文件的安全6211.4.1生产系统的应用软件控制6211.4.2测试数据的保护6211.4.3对程序源代码库的访问控制6311.5开发和维护过程中的安全6311.5.1变更控制流程

7、6311.5.2操作系统变更的技术检查6411.5.3商业软件的修改限制6411.5.4信息泄漏6511.5.5软件开发的外包6511.6技术漏洞管理6611.6.1控制技术漏洞6612信息安全事件的管理6712.1报告信息安全事件和漏洞6712.1.1信息安全事件报告6712.1.2信息安全漏洞报告6812.2信息安全事件的管理和改进6812.2.1职责和程序6812.2.2从安全事件中学习6912.2.3安全事件处理要求7013业务连续性管理方面7013.1业务连续性管理7013.1.1业务连续性管理流程7013.1.2业务连续性及风险评估7013.1.3开发和实施包括信息安全的持续计划7

8、113.1.4业务连续性计划的测试、维护与再评估7114附则72信息安全制度1 总则第1条为规范信息安全管理工作，加强过程管理和基础设施管理的风险分析及防范，建立安全责任制，健全安全内控制度，保证信息系统的机密性、完整性、可用性，特制定本规定。2 适用范围第2条本规定适用于成都总公司、各分及办事处。3 管理对象第3条管理对象指组成计算机信息系统的系统、设备和数据等信息资产和人员的安全。主要范围包括：人员安全、物理环境安全、资产识别和分类、风险管理、物理和逻辑访问控制、系统操作与运行安全、网络通讯安全、信息加密与解密、应急与灾难恢复、软件研发与应用安全、机密资源管理、第三方与外包安全、法律

9、和标准的符合性、项目与工程安全控制、安全检查与审计等。4 第四章术语定义DMZ：用于隔离内网和外网的区域，此区域不属于可信任的内网，也不是完全开放给因特网。容量：分为系统容量和环境容量两方面。系统容量包括CPU、内存、硬盘存储等。环境容量包括电力供应、湿度、温度、空气质量等。安全制度：与信息安全相关的制度文档，包括安全管理办法、标准、指引和程序等。安全边界：用以明确划分安全区域，如围墙、大厦接待处、网段等。恶意软件：包括计算机病毒、网络蠕虫、木马、流氓软件、逻辑炸弹等。备份周期：根据备份管理办法制定的备份循环的周期，一个备份周期的内容相当于一个完整的全备份。系统工具：能够更改系统及应用配置的程

10、序被定义为系统工具，如系统管理、维护工具、调试程序等。消息验证：一种检查传输的电子消息是否有非法变更或破坏的技术，它可以在硬件或软件上实施。数字签名：一种保护电子文档真实性和完整性的方法。例如，在电子商务中可以使用它验证谁签署电子文档，并检查已签署文档的内容是否被更改。信息处理设备：泛指处理信息的所有设备和信息系统，包括网络、服务器、个人电脑和笔记本电脑等。不可抵赖性服务：用于解决交易纠纷中争议交易是否发生的机制。电子化办公系统：包括电子邮件、KOA系统以及用于业务信息传送及共享的企业内部网。5 安全制度方面5.1 安全制度要求5.1.1 本制度的诠释第4条所有带有“必须”的条款都是强制性的

11、。除非事先得到安全管理委员会的认可，否则都要坚决执行。其它的条款则是强烈建议的，只要实际可行就应该被采用。第5条所有员工都受本制度的约束，各部门领导有责任确保其部门已实施足够的安全控制措施，以保护信息安全。第6条各部门的领导有责任确保其部门的员工了解本安全管理制度、相关的标准和程序以及日常的信息安全管理。第7条安全管理代表（或其指派的人员）将审核各部门安全控制措施实施的准确性和完整性，此过程是公司例行内部审计的一部分。5.1.2 制度发布第8条所有制度在创建和更新后，必须经过相应管理层的审批。制度经批准之后必须通知所有相关人员。5.1.3 制度复审第9条当环境改变、技术更新或者业务本

12、身发生变化时，必须对安全制度重新进行评审，并作出相应的修正，以确保能有效地保护公司的信息资产。第10条安全管理委员会必须定期对本管理办法进行正式的复审，并根据复审所作的修正，指导相关员工采取相应的行动。6 组织安全方面6.1 组织内部安全6.1.1 信息安全体系管理第11条公司成立安全管理委员会，安全管理委员会是公司信息安全管理的最高决策机构，安全管理委员会的成员应包括公司技术副总裁、主管IT领导、公司安全审计负责人、公司法律负责人等。第12条信息安全管理代表由信息安全管理委员会指定，一般应包含安全稽核岗、信息管理部信息安全相关岗位及分公司IT岗。第13条安全管理委员会通过清晰的方向、

13、可见的承诺、详细的分工，积极地支持信息安全工作，主要包括以下几方面：1)确定信息安全的目标符合公司的要求和相关制度；2)阐明、复查和批准信息安全管理制度；3)复查信息安全管理制度执行的有效性；4)为信息安全的执行提供明确的指导和有效的支持；5)提供信息安全体系运作所需要的资源6)为信息安全在公司执行定义明确的角色和职责；7)批准信息安全推广和培训的计划和程序；8)确保信息安全控制措施在公司内被有效的执行。第14条安全管理委员会需要对内部或外部信息安全专家的建议进行评估，并检查和调整建议在公司内执行的结果。第15条必须举行信息安全管理会议，会议成员包括安全管理委员会、安全管理代表和其他相关的

14、公司高层管理人员。第16条信息安全管理会议必须每年定期举行，讨论和审批信息安全相关事宜，具体包括以下内容1)复审本管理制度的有效性2)复审技术变更带来的影响3)复审安全风险4)审批信息安全措施及程序5)审批信息安全建议6)确保任何新项目规划已考虑信息安全的需求7)复审安全检查结果和安全事故报告8)复审安全控制实施的效果和影响9)宣导和推行公司高层对信息安全管理的指示6.1.2 信息安全职责分配第17条信息管理部门作为信息安全管理部门，负责信息安全管理策略制定及实施，其主要职责：（一）负责全公司信息安全管理和指导；（二）牵头制订全公司信息安全体系规范、标准和检查指引，参与我司信息系统工程建设

15、的安全规划；（三）组织全公司安全检查；（四）配合全公司安全审计工作的开展；（五）牵头组织全公司安全管理培训；（六）负责全公司安全方案的审核和安全产品的选型、购置。（七）依据本规定、安全规范、技术标准、操作手册实施各类安全策略。（八）负责各类安全策略的日常维护和管理。第18条各分公司信息管理部门作为信息安全管理部门，其主要职责：（一）根据本规定、信息安全体系规范、标准和检查指引，组织建立安全管理流程、手册；（二）组织实施内部安全检查；（三）组织安全培训；（四）负责机密信息和机密资源的安全管理；（五）负责安全技术产品的使用、维护、升级；（六）配合安全审计工作的开展；（七）定期上报本单位信息系统安

16、全情况，反馈安全技术和管理的意见和建议。（八）依据本规定、安全规范、技术标准、操作手册实施各类安全策略。（九）负责各类安全策略的日常维护和管理。6.1.3 信息处理设备的授权第19条新设备的采购和设备部署的审批流程应该充分考虑信息安全的要求。第20条新设备在部署和使用之前，必须明确其用途和使用范围，并获得安全管理委员会的批准。必须对新设备的硬件和软件系统进行详细检查，以确保它们的安全性和兼容性。第21条除非获得安全管理委员会的授权，否则不允许使用私人的信息处理设备来处理公司业务信息或使用公司资源。6.1.4 独立的信息安全审核第22条必须对公司信息安全控制措施的实施情况进行独立地审核，

17、确保公司的信息安全控制措施符合管理制度的要求。审核工作应由公司的审计部门或专门提供此类服务的第三方组织负责执行。负责安全审核的人员必须具备相应的技能和经验。第23条独立的信息安全审核必须每年至少进行一次。6.2 第三方访问的安全性6.2.1 明确第三方访问的风险第24条必须对第三方对公司信息或信息系统的访问进行风险评估，并进行严格控制，相关控制须考虑物理上和逻辑上访问的安全风险。只有在风险被消除或降低到可接受的水平时才允许其访问。第25条第三方包括但不限于：1)硬件和软件厂商的支持人员和其他外包商2)监管机构、外部顾问、外部审计机构和合作伙伴3)临时员工、实习生4)清洁工和保安5)公司的

18、客户第26条第三方对公司信息或信息系统的访问类型包括但不限于：1)物理的访问，例如：访问公司机房、监控中心等；2)逻辑的访问，例如：访问公司的数据库、信息系统等；3)与第三方之间的网络连接，例如：固定的连接、临时的远程连接；第27条第三方所有的访问申请都必须经过信息安全管理代表的审批，只提供其工作所须的最小权限和满足其工作所需的最少资源，并且需要定期对第三方的访问权限进行复查。第三方对重要信息系统或地点的访问和操作必须有相关人员陪同。第28条公司负责与第三方沟通的人员必须在第三方接触公司信息或信息系统前，主动告知第三方的职责、义务和需要遵守的规定，第三方必须在清楚并同意后才能接触相应信息

19、或信息系统。所有对第三方的安全要求必须包含在与其签订的合约中。6.2.2 当与客户接触时强调信息安全第29条必须在允许客户访问信息或信息系统前识别并告知其需要遵守的安全需求。采取相应的保护措施保护客户访问的信息或信息系统。6.2.3 与第三方签订合约的安全要求第30条与第三方合约中应包含必要的安全要求，如：访问、处理、管理公司信息或信息系统的安全要求。7 信息资产与人员安全7.1 资产责任7.1.1 资产的清单第31条应清楚识别所有的资产，所有与信息相关的重要资产都应该在资产清单中标出，并及时维护更新。这些资产包括但不限于1)信息：数据库和数据文件、系统文档、用户手册、培训材料、操作手册

20、、业务连续性计划、系统恢复计划、备份信息和合同等。2)软件：应用软件、系统软件、开发工具以及实用工具等。3)实体：计算机设备（处理器、显示器、笔记本电脑、调制解调器等）、通讯设备（路由器、程控电话交换机、传真机等）、存储设备、磁介质（磁带和磁盘等）、其它技术设备（电源、空调器等）、机房等。4)服务：通讯服务（专线）。第32条资产清单必须每年至少审核一次。在购买新资产之前必须进行安全评估。资产交付后，资产清单必须更新。资产的风险评估必须每年至少一次，主要评估当前已部署安全控制措施的有效性。第33条实体资产需要贴上适当的标签。7.1.2 资产的管理权第34条所有资产都应该被详细说明，必须指明

21、具体的管理者。管理者可以是个人，也可以是某个部门。管理者是部门的资产则由部门主管负责监护。第35条资产管理者的职责是：1)确定资产的保密等级分类和访问管理办法；2)定期复查资产的分类和访问管理办法。7.1.3 资产的合理使用第36条必须识别信息和信息系统的使用准则，形成文件并实施。使用准则应包括：1)使用范围2)角色和权限3)使用者应负的责任4)与其他系统交互的要求第37条所有访问信息或信息系统的员工、第三方必须清楚要访问资源的使用准则，并承担他们的责任。公司的所有信息处理设备（包括个人电脑）只能被使用于工作相关的活动，不得用来炒股、玩游戏等。滥用信息处理设备的员工将受到纪律处分。7.2

22、信息分类7.2.1 信息分类原则第38条所有信息都应该根据其敏感性、重要性以及业务所要求的访问限制进行分类和标识。第39条信息管理者负责信息的分类，并对其进行定期检查，以确保分类的正确。当信息被发布到公司外部，或者经过一段时间后信息的敏感度发生改变时，信息需要重新分类。第40条信息的保密程度从高到低分为绝密、机密、秘密和非保密四种等级。以电子形式保存的信息或管理信息资产的系统，需根据信息的敏感度进行标识。含有不同分类信息的系统，必须按照其中的最高保密等级进行分类。7.2.2 信息标记和处理第41条必须建立相应的保密信息处理规范。对于不同的保密等级，应明确说明如下信息活动的处理要求：1

23、)复制2)保存和保管（以物理或电子方式）3)传送（以邮寄、传真或电子邮件的方式）4)销毁第42条电子文档和系统输出的信息（打印报表和磁带等）应带有适当的信息分类标记。对于打印报表，其保密等级应显示在每页的顶端或底部。第43条将保密信息发送到公司以外时，负责传送信息的工作人员应在分发信息之前，先告知对方文档的保密等级及其相应的处理要求。7.3 人员安全7.3.1 信息安全意识、教育和培训第44条所有公司员工和第三方人员必须接受包括安全性要求、信息处理设备的正确使用等内容的培训，并应该及时了解和学习公司对安全管理制度和标准的更新。第45条应该至少每年向员工提供一次安全意识培训，其内容包括但

24、不限于：1)安全管理委员会下达的安全管理要求2)信息保密的责任3)一般性安全守则4)信息分类5)安全事故报告程序6)电脑病毒爆发时的应对措施7)灾难发生时的应对措施第46条应该对系统管理员、开发人员进行安全技能方面的培训，至少每年一次。员工和第三方人员在开始工作后90天内，必须进行技术和安全方面的培训。第47条灾难恢复演习应至少每年举行一次。7.3.2 惩戒过程第48条违反公司安全管理制度、标准和程序的员工将受到纪律处分。在对信息安全事件调查结束后，必须对事件中的相关人员根据公司的惩戒规定进行处罚。纪律处分包括但不限于：1)通报批评2)警告3)记过4)解除劳动合同5)法律诉讼第49条当

25、员工在接受可能涉及解除劳动合同和法律诉讼的违规调查时，其直接领导应暂停受调查员工的工作职务和其访问权限，包括物理访问、系统应用访问和网络访问等。员工在接受调查时可以陈述观点，提出异议，并有进一步申诉的权力。7.3.3 资产归还第50条在终止雇佣、合同或协议时，所有员工及第三方人员必须归还所使用的全部公司资产。需要归还的资产包括但不限于：1)帐号和访问权限2)公司的电子或纸质文档3)公司购买的硬件和软件资产4)公司购买的其他设备第51条如果在非公司资产上保存有公司的资产，必须在带出公司前归还或删除公司的资产。7.3.4 删除访问权限第52条在终止或变更雇佣、合同、协议时，必须删除所有员工及

26、第三方人员对信息和信息系统的访问权限，或根据变更进行相应的调整。所有删除和调整操作必须在最后上班日之前完成。第53条对于公用的资源，必须进行及时的调整，比如：公用的帐号必须立即更改密码。第54条在已经确定员工或第三方终止或变更意向后，必须及时对他们的权限进行限制，只保留终止或变更所需要的权限。8 物理和环境安全方面8.1 安全区域8.1.1 物理安全边界第55条在公司的物理环境里，应该对需要保护的区域根据其重要性划分为不同的安全区域。特别是有重要设备的安全区域（比如机房）应该部署相应的物理安全控制。第56条在机房的统一入口处必须设立有专人值守的接待区域，在特别重要的安全区域也应该设立类

27、似的接待区域。第57条在非办公时间内，重要的安全区域必须安排保安定时巡视。任何时候，机房必须至少有一位保安值班。保安值班表应最少每月调整一次。8.1.2 安全区域访问控制第58条在非办公时间，所有进入安全区域的入口都应该受到控制，比如实施电子门禁或者上锁。任何时候，重要安全区域的所有出入口必须受到严格的访问控制，确保只有授权的员工才可以进入此区域。第59条对于设有访问控制的安全区域，必须定期审核并及时更新其访问权限。所有员工都必须佩戴一个身份识别通行证，有责任确保通行证的安全并不得转借他人。员工离职时必须交还通行证，同时取消其所有访问权限。第60条所有来宾的有关资料都必须详细记载在来宾

28、进出登记表中，并向获准进入的来宾发放来宾通行证。同时，必须有相应的程序以确保回收所发放的来宾通行证。来宾进出登记表必须至少保留1年，记录内容应包括但不限于：1)来宾姓名2)来宾身份3)来宾工作单位4)来访事由5)负责接待的员工6)来宾通行证号码7)进入的日期和时间8)离开的日期和时间8.1.3 办公场所和设施安全第61条放置敏感或重要设备的区域（例如机房）应尽量不引人注目，给外面的信息应尽量最少，不应该有明显的标志指明敏感区域的所在位置和用途。这些区域还应该被给予相应的保护，保护措施包括但不限于：1)所有出入口必须安装物理访问控制措施2)使用来宾登记表以便记录来访信息3)严禁吸烟第62条必

29、须对支持关键性业务活动的设备提供足够的物理访问控制。所有安全区域和出入口必须通过闭路电视进行监控。普通会议室或其它公众场合必须与安全区域隔离开来。无人值守的时候，办公区中的信息处理设备必须从物理上进行保护。门和窗户必须锁好。8.1.4 防范外部和环境威胁第63条办公场所和机房的设计和建设必须充分考虑火灾、洪水、地震、爆炸、骚乱等天灾或人为灾难，并采取额外的控制措施加以保护。第64条机房必须增加额外的物理控制，选取的场地应尽量安全，并尽可能避免受到灾害的影响。机房必须有防火、防潮、防尘、防盗、防磁、防鼠等设施。第65条机房建设必须符合国标GB2887-89计算机场地技术条件和GB9361-

30、88计算站场地安全要求中的要求。第66条机房的消防措施必须满足以下要求：1)必须安装消防设备，并定期检查。2)应该指定消防指挥员。3)机房内严禁存放易燃材料，每周例行检查一次。4)必须安装烟感及其他火警探测器和灭火装置。应每季度定期检查这些装备，确保它们能有效运作。5)必须在明显位置张贴火灾逃生路线图、灭火设备平面放置图以及安全出口的位置。6)安全出口必须有明显标识。7)应该训练员工熟悉使用消防设施。8)紧急事件发生时必须提供紧急照明。9)所有疏散路线都必须时刻保持通畅。10)必须保证防火门在火灾发生时能够开启。11)每年应至少举行一次火灾撤离演习，使工作人员熟知火灾撤离的过程。8.1.5

31、在安全区域工作第67条员工进入机房的访问授权，不能超过其工作所需的范围。必须定期检查访问权限的分配并及时更新。机房的访问权限应不同于进入大楼其它区域的权限。第68条所有需要进入机房的来宾都必须提前申请。必须维护和及时更新来宾记录，以掌握来宾进入机房的详细情况。记录中应详细说明来宾的姓名、进入与离开的日期与时间，申请者以及进入的原因。机房来宾记录至少保存一年。来宾必须得到明确许可后，在专人陪同下才能进入机房。第69条机房的保护应在专家的指导下进行，必须安装合适的安全防护和检测装置。机房内严禁吸烟、饮食和拍摄。8.1.6 机房操作日志第70条必须记录机房管理员的操作行为，以便其行为可以追踪

32、。操作记录必须备份和维护并妥善保管，防止被破坏。第71条在机房值班人员交接时，上一班值班人员所遗留的问题以及从事的工作应明确交待给下一班，保证相关操作的延续性。8.2 设备安全8.2.1 设备的安置及保护第72条必须对设备实施安全控制，以减少环境危害和非法的访问。应该考虑的因素包括但不限于：1)水、火2)烟雾、灰尘3)震动4)化学效应5)电源干扰、电磁辐射第73条设备必须放置在远离水灾的地方，并根据需要考虑安装漏水警报系统。应急开关如电闸、煤气开关和水闸等都必须清楚地做好标识，并且能容易访问。设备都应该装有合适的漏电保险丝或断路器进行保护。放置设备的区域必须满足厂商提供的设备环境要求。设

33、备的操作必须遵守厂商提供的操作规范。通信线路和电缆必须从物理上进行保护。8.2.2 支持设施第74条支持设施能够支持物理场所、设备等的正常运作，比如：电力设施、空调、排水设施、消防设施、静电保护设施等。必须采取保护措施使设备免受电源故障或电力异常的破坏。必须验证电力供应是否满足厂商设备对电源的要求。每年应至少对支持设施进行一次安全检查。工作环境中增加新设备时，必须对电力、空调、地板等支持设施的负荷进行审核。必须设置后备电源，例如不间断电源（UPS）或发电机。对需要配备后备电源的设备装置进行审核，确保后备电源能够满足这些设备的正常工作。每年必须至少对备用电源/进行一次测试。应急电源开关应位于机

34、房的紧急出口附近，以便紧急状况发生时可以迅速切断电源。电缆应根据供电电压和频率的不同而相互隔离。所有电缆都应带有标签，标签上的编码应记录归档。电缆应从物理上加以保护。8.2.3 设备维护第75条所有生产设备必须有足够的维护保障，关键设备必须提供7x24的现场维护支持。所有生产设备必须定期进行预防性维护。只有经过批准的、受过专业培训的工作人员才能进行维护工作。设备的所有维护工作都应该记录归档。如果设备需要搬离安全区域进行修理，必须获得批准并卸载其存储介质。第76条必须建立设备故障报告流程。对于需要进行重大维修的设备，流程还应该包含设备检修的报告，及换用备用设备的流程。8.2.4 管辖区域外设

35、备安全第77条笔记本电脑用户必须保护好笔记本电脑的安全，防止笔记本电脑损坏或被偷窃。第78条如果将设备带出公司，设备拥有者必须亲自或指定专人保护设备的安全。设备拥有者必须对设备在公司场所外的安全负责。8.2.5 设备的安全处理或再利用第79条再利用或报废之前，设备所含有的所有存储装置（比如硬盘等）都必须通过严格检查，确保所有敏感数据和软件已被删除或改写，并且不可能被恢复。应该通过风险评估来决定是否彻底销毁、送修还是丢弃含有敏感数据的已损坏设备。9 通信和操作管理方面9.1 操作程序和职责9.1.1 规范的操作程序第80条必须为所有的业务系统建立操作程序，其内容包括但不限于：1)系统重启

36、、备份和恢复的措施2)一般性错误处理的操作指南3)技术支持人员的联系方法4)与其它系统的依赖性和处理的优先级5)硬件的配置管理第81条操作程序必须征得管理者的同意才能对其进行修改。操作程序必须及时更新，更新条件包括但不限于：1)应用软件的变更2)硬件配置的变更9.1.2 变更控制第82条必须建立变更管理程序来控制系统的变更，所有变更都必须遵守变更管理程序的要求。程序内容包括但不限于1)识别和记录变更请求2)评估变更的可行性、变更计划和可能带来的潜在影响3)变更的测试4)审批的流程5)明确变更失败的恢复计划和责任人6)变更的验收第83条重要变更必须制定计划，并在测试环境下进行足够的测试后，

37、才能在生产系统中实施。所有变更必须包括变更失败的应对措施和恢复计划。所有变更必须获得授权和批准，变更的申请和审批不得为同一个员工。对变更需要涉及的硬件、软件和信息等对象都应标识出来并进行相应评估。变更在实施前必须通知到相关人员。第84条变更的实施应该安排在对业务影响最小的时间段进行，尽量减少对业务正常运营的影响。在生产系统安装或更新软件前，必须对系统进行备份。变更完成后，相关的文档（如系统需求文档、设计文档、操作手册、用户手册等）必须得到更新，旧的文档必须进行备份。第85条必须对变更进行复查，以确保变更没有对原来的系统环境造成破坏。必须完整记录整个变更过程，并将其妥善保管。变更的记录应至少

38、每月复查一次。9.1.3 职责分离第86条系统管理员和系统开发人员的职责必须明确分开。同一处理过程中的重要任务不应该由同一个人来完成，以防止欺诈和误操作的发生。第87条所有职责分离的控制必须记录归档，作为责任分工的依据。无法采取职责分离时，必须采取其它的控制，比如活动监控、审核跟踪评估以及管理监督等。9.1.4 开发、测试和生产系统分离第88条不应给开发人员提供超过其开发所需范围的权限。如果开发人员需要访问生产系统，必须经过运营人员的授权和管理。第89条生产、测试和开发应分别使用不同的系统环境。开发人员不得在生产环境中更改编码或操作生产系统。不得在生产系统上擅自安装开发工具（比如编译程

39、序及其他系统公用程序等），并做好已有开发工具的访问控制。开发和测试环境使用的测试数据不能包含有敏感信息。9.1.5 事件管理程序第90条必须建立事件管理程序，并根据事件影响的严重程度制订其所属类别，同时说明相应的处理方法和负责人。必须根据事件的严重程度，定义响应的范围、时间和完成事件处理的时间。第91条系统的修复必须得到系统管理者的批准方可执行。第92条所有事件报告必须记录归档，并由部门主管或指定人员妥善保管。必须对事件的处理情况进行监控，对超时的处理提出改进建议并跟进改进效果。9.2 第三方服务交付管理9.2.1 服务交付第93条第三方提供的服务必须满足安全管理制度的要求。第三方提供

40、的服务必须满足公司业务连续性的要求。第94条必须保留第三方提供的服务、报告和记录并定期评审，至少每半年一次。评审内容应包括：1)服务内容和质量是否满足合同要求；2)服务报告是否真实。9.2.2 第三方服务的变更管理第95条服务改变时，必须重新对服务是否满足安全管理办法进行评估。在服务变更时需要考虑：1)服务价格的增长；2)新的服务需求；3)公司信息安全管理制度的变化；4)公司在信息安全方面新的控制。9.3 针对恶意软件的保护措施9.3.1 对恶意软件的控制第96条必须建立一套病毒防治体系，以便防止病毒对公司带来的影响。所有服务器、个人电脑和笔记本电脑都应该安装公司规定的防病毒软件，并及时

41、更新防病毒软件。所有存进计算机的信息（例如接收到的邮件、下载的文件等）都必须经过病毒扫描。员工和第三方厂商从外界带来的存储介质在使用之前必须进行病毒扫描。第97条所有员工都应该接受防病毒知识的培训和指导。第98条公司内发现的病毒、计算机或应用程序的异常行为，都必须作为安全事件进行报告。第99条必须定期审核控制恶意软件措施的有效性。一旦发现感染病毒，必须立刻把机器从网络中断开。在病毒没有被彻底清除之前，严禁将其重新连接到网络上。9.4 备份9.4.1 信息备份第100条所有服务器、个人电脑和笔记本电脑必须根据业务需求定期进行备份。系统在重大变更之前和之后必须进行备份。第101条备份管理

42、办法必须获得管理层的审批以确保符合业务需求。备份管理办法必须至少每季度进行一次复查，以确保没有发生未授权或意外的更改。第102条应该保留多于1个备份周期的备份，但重要业务信息应至少保留3个备份周期的备份。备份资料和相应的恢复操作手册必须定期传送到异地进行保存。异地必须与主站点有一定的距离，以避免受主站点的灾难波及。第103条必须对异地保存的备份信息实施安全保护措施，其保护标准应和主站点相一致。必须定期测试备份介质，确保其可用性。必须定期检查和测试恢复步骤，确保它们的有效性。备份系统必须进行监控，以确保其稳定性和可用性。9.5 网络管理9.5.1 网络控制第104条网络管理和操作系统管理的

43、职责应该彼此分离，并由不同的员工承担。必须明确定义网络管理的职责和义务。只有得到许可的员工才能够使用网络管理系统。第105条必须建立相应的控制机制，保护路由表和防火墙安全管理办法等网络参数的完整性。保护通过公网传送敏感数据的机密性、完整性和可用性。第106条进行网络协议兼容性的评估时应考虑将来新增网络设备的要求。任何准备接进网络的新设备，在进网前都必须通过协议兼容性的评估和安全检查。第107条必须对网络进行监控和管理。所有网络故障都必须向上级报告。第108条必须建立互联网的访问管理办法。除非得到授权，否则禁止访问外部网络的服务。9.6 介质的管理9.6.1 可移动介质的管理第109条

44、可移动计算机存储介质（比如磁带、光盘等）必须有适当的访问控制。存储介质上必须设置标签，以标识其类型和用途。标签应使用代码，以避免直接标识存储介质上的内容。标识用的代码需要记录并归档。第110条必须建立和维护介质清单，并对介质的借用和归还进行记录。应确保备有足够的存储介质，以备使用。第111条存放在存储介质内的绝密和机密信息必须受到妥善保护。第112条存储介质的存放环境必须满足介质要求的环境条件（比如温度、湿度、空气质量等）。第113条备份介质必须存储在防火柜中。应该对介质的寿命进行管理，在介质寿命结束前一年，将信息拷贝到新的介质中。9.6.2 介质的销毁第114条应建立存储介质的报废规范，包括但不限于：1)纸质文档2)语音资料及其他录音带3)复写纸4)磁带5)磁盘6)光存储介质第115条所有不会被再利用的敏感文档都必须根据定义的信息密级采取适当的方式进行销毁。第116条所有报废及过期的存储介质必须妥善销毁。9.6.3 信息处理程序第117条介质的信息分类，必须采用存放信息中的最高保密等级。第118条应根据介质中信息的分类级别，采取相应措施来保护介质的输出环境。

展开阅读全文