信息安全策略.doc

信息安全策略 目 录 1. 目的和范围 4 2. 术语和定义 4 3. 引用文献 5 4. 职责和权限 6 5. 信息安全策略 6 5.1. 信息系统安全组织 6 5.2. 资产管理 8 5.3. 人员信息安全管理 9 5.4. 物理和环境安全 11 5.5. 通信和操作管理 13 5.6. 信息系统访问控制 17 5.7. 信息系统的获取、开发和维护安全 20 5.8. 信息安全事故解决 23 5.9. 业务连续性管理 24 5.10. 符合性规定 26 1 附件 27 1. 目的和范围 1) 本文档制定了的信息系统安全策略，作为信息安全的基本标准，是所有安全行为的指导方针，同时也是建立完整的安全管理体系最主线的基础。 2) 信息安全策略是在信息安全现状调研的基础上，根据ISO27001的最佳实践，结合现有规章制度制定而成的信息安全方针和策略文档。本文档遵守政府制定的相关法律、法规、政策和标准。本安全策略得到领导的认可，并在公司内强制实行。 3) 建立信息安全策略的目的概括如下： a) 在内部建立一套通用的、行之有效的安全机制； b) 在的员工中树立起安全责任感； c) 在中增强信息资产可用性、完整性和保密性； d) 在中提高全体员工的信息安全意识和信息安全知识水平。 本安全策略合用于公司全体员工，自发布之日起执行。 2. 术语和定义 1) 解释 信息安全 是指保护信息资产免受多种安全威胁，保证业务连续性，将安全事件导致的损失降至最小，同时最大限度地获得投资回报和商业机遇。 可用性 保证通过授权的用户在需要时可以访问信息并使用相关信息资产。 保密性 保证只有通过授权的人才干访问信息。 完整性 保护信息和信息的解决方法准确而完整。 保密信息 安全规章定义的密级信息。 信息安全策略 对的使用和管理IT信息资源并保护这些资源使得它们拥有更好的保密性、完整性、可用性的策略。 风险评估 评估信息安全漏洞对信息解决设备带来的威胁和影响及其发生的也许性。 风险管理 以可以接受的成本，确认、控制、排除也许影响信息系统的安全风险或将其带来的危害最小化的过程。 计算机机房 装有计算机主机、服务器和相关设备的，除了安装和维护的情况外，不允许人员在里边工作的专用房间。 员工 在系统内工作的正式员工、雇佣的临时工作人员。 用户 被授权能使用IT系统的人员。 信息资产 与信息系统相关联的信息、信息的解决设备和服务。 信息资产负责人 是指对某项信息资产安全负责的人员。 合作单位 是指与有业务往来的单位，涉及承包商、服务提供商、设备厂商、外包服务商、贸易伙伴等。 第三方访问 指非本单位的人员对信息系统的访问。 IT外包服务 是指公司战略性选择外部专业技术和服务资源，以替代内部部门和人员来承担公司IT系统或系统之上的业务流程的运营、维护和支持的IT服务。 安全事件 运用信息系统的安全漏洞，对信息资产的保密性、完整性和可用性导致危害的事件。 故障 是指信息的解决、传输设备运营出现意外障碍，以至影响信息系统正常运转的事件。 安全审计 通过将所选类型的事件记录在服务器或工作站的安全日记中用来跟踪用户活动的过程。 超时设立 用户假如超过特定的时限没有进行动作，就触发其他事件（如断开连接、锁定用户等）。 2) 词语使用 必须 表达强制性的规定。 应当 好的做法所要达成的规定，条件允许就要实行。 可以 表达希望达成的规定。 3. 引用文献 下列文献中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文献，其随后所有的修改单（不涉及勘误的内容）或修订版均不合用于本标准，然而，鼓励各部门研究是否可使用这些文献的最新版本。凡是不注日期的引用文献，其最新版本合用于本标准。 1) ISO/IEC 27001:2023 信息技术-安全技术-信息安全管理体系规定 2) ISO/IEC 17799:2023 信息技术-安全技术-信息安全管理实行细则 4. 职责和权限 信息安全管控委员会：负责对信息安全策略进行编写、评审，监督和检查公司全体员工执行情况。 5. 信息安全策略 目的：为信息安全提供管理指导和支持，并与业务规定和相关的法律法规保持一致。 1) 策略下发 本策略必须得到管理层批准，并向所有员工和相关第三方公布传达，全体人员必须履行相关的义务，享受相应的权利，承担相关的责任。 2) 策略维护 本策略通过以下方式进行文档的维护工作： 必须每年按照《风险评估管理程序》进行例行的风险评估，如遇以下情况必须及时进行风险评估： a) 发生重大安全事故 b) 组织或技术基础结构发生重大变更 c) 安全管理小组认为应当进行风险评估的 d) 其他应当进行安全风险评估的情形 风险评估之后根据需要进行安全策略条目修订，并在内公布传达。 3) 策略评审 每年必须参照《管理评审程序》执行公司管理评审。 4) 合用范围 合用范围是指本策略使用和涵盖的对象，涉及现有的业务系统、硬件资产、 软件资产、信息、通用服务、物理安全区域等。对于即将投入使用和此后规划的信息系统项目也必须参照本策略执行。 5.1. 信息系统安全组织 目的：在组织内部管理信息安全，保持可被外部组织访问、解决、沟通或管理的信息及信息解决设备的安全。 1) 内部组织 l 公司的管理层对信息安全承担最终责任。管理者职责参见《信息安全管理手册》。 l 公司的信息系统安全管理工作采用信息安全管控委员会统一管理方式，其他相关部门配合执行。公司的内部信息安全组织涉及信息安全管理小组，小组的人员组成以及相关职责参见《公司信息安全组织结构图》。 l 各个部门之间必须紧密配合共同进行信息安全系统的维护和建设。相关部门岗位的分工与责任参见《信息安全管理手册》。 l 任何新的信息系统解决设施必须通过管理授权的过程。并更新至《信息资产列表》。 l 信息系统内的每个重要的资产需要明确所有者、使用人员。参见《信息资产列表》 。 l 凡是涉及重要信息、机密信息（相关定义参见《信息资产鉴别和分类管理办法》等信息的解决，相关的工作岗位员工以及第三方都必须签署保密协议。 l 应当与政府机构保持必要的联系共同协调信息安全相关问题。这些部门涉及执法部门、消防部门、上级监管部门、电信供应商等提供公共服务的部门。 l 应当与相关信息安全团队保持联系，以取得信息安全上必要的支持。这些团队涉及外部安全征询商、独立的安全技术专家等。 l 信息安全管理小组每年至少进行一次信息安全风险评估工作（参照《风险评估和风险管理程序》，并对安全策略进行复审。信息安全领导小组每年对风险评估结果和安全策略的修改善行审批。 l 每年或者发生重大信息安全变化时必须参照《内部审核管理程序》执行公司内部审核。 2) 外部组织 a) 第三方访问是指非人员对信息系统的访问。第三方至少包含如下人员： Ø 硬件及软件技术支持、维护人员； Ø 项目现场实行人员； Ø 外单位参观人员； Ø 合作单位人员； Ø 客户； Ø 清洁人员、送餐人员、快递、保安以及其它外包的支持服务人员； b) 第三方的访问类型涉及物理访问和逻辑访问。 Ø 物理访问：重点考虑安全规定较高区域的访问，涉及计算机机房、重要办公区域和存放重要物品区域等； Ø 逻辑访问： u 主机系统 u 网络系统 u 数据库系统 u 应用系统 c) 第三方访问需要进行以下的风险评估后方可对访问进行授权。 Ø 被访问资产是否会损坏或者带来安全隐患； Ø 客户是否与有商业利益冲突； Ø 是否已经完毕了相关的权限设定，对访问加以控制； Ø 是否有过违反安全规定的记录； Ø 是否与法律法规有冲突，是否会涉及知识产权纠纷； d) 第三方进行访问之前必须通过被访问系统的安全负责人的审核批准，涉及物理访问的区域和逻辑访问的权限。（详见《办公室基础设备和工作环境控制程序》） e) 对于第三方参与的项目或提供的服务，必须在协议中明确规定人员的安全责任，必要时应当签署保密协议。 f) 第三方必须遵守的信息安全策略以及《第三方和外包管理规定》，留对第三方的工作进行审核的权利。 5.2. 资产管理 目的：通过及时更新的信息资产目录对信息资产进行适当的保护。 1) 资产责任 a) 所有的信息资产必须登记入册，对于有形资产必须进行标记，同时资产信息应当及时更新。每项信息资产在登记入册及更新时必须指定信息资产的安全负责人，信息资产的安全负责人必须负责该信息资产的安全。 b) 所有员工和第三方都必须遵守关于信息设备安全管理的规定，以保护信息解决设备（涉及移动设备和在非公共地点使用的设备）的安全。 2) 信息分类 a) 必须明确确认每项信息资产及其负责人和安全分类，信息资产涉及业务过程、硬件和设施资产、软件和系统资产、文档和数据信息资产、人员资产、服务和其他资产。（详见《信息资产列表》）。 b) 必须建立信息资产管理登记制度，至少具体记录信息资产的分类、名称、用途、资产所有者、使用人员等，便于查找和使用。信息资产应当标明合用范围。（详见《IT设备管理规定》）。 c) 应当在每个有形信息资产上进行标记。 d) 当信息资产进行拷贝、存储、传输（如邮递、传真、电子邮件以及语音传输（涉及电话、语音邮件、应答机）等）或者销毁等信息解决时，应当参照《信息资产鉴别和分类管理办法》或者制定妥善的解决环节并执行。 e) 对重要的资料档案要妥善保管，以防丢失泄密，其废弃的打印纸及磁介质等，应按有关规定进行解决。 5.3. 人员信息安全管理 目的：保证所有的员工、协议方和第三方用户了解信息安全威胁和相关事宜、明确并履行信息安全责任和义务，并在平常工作中支持的信息安全方针，减少人为错误的风险，减少盗窃、滥用或设施误用的风险。 1) 人员雇佣 a) 员工必须了解相关的信息安全责任，必须遵守《职务说明书》。 b) 对第三方访问人员和临时性员工，必须遵守《第三方和外包管理规定》。 c) 涉及重要信息系统管理的员工、协议方及第三方应当进行相关技术背景调查和能力考评； d) 涉及重要信息系统管理的员工、协议方及第三方应在协议中明确其信息安全责任并签署保密协议； e) 重要岗位的人员在录用时应做重要岗位背景调查。 2) 雇佣中 a) 管理层必须规定所有的员工、协议方及第三方用户执行信息安全的相关规定； b) 应当设定信息安全的相关奖励措施，任何违反信息安全策略的行为都将收到惩戒，具体执行办法参见《信息安全奖惩规定》； c) 将信息安全培训加入员工培训中，培训材料应当涉及下列内容： Ø 信息安全策略 Ø 信息安全制度 Ø 相关奖惩办法 d) 应当按下列群体进行不同类型的信息安全培训： Ø 全体员工 Ø 需要遵守信息安全策略、规章制度和各项操作流程的第三方人员 e) 信息安全培训必须至少每年举行一次，让不同部门的人员能受到适当的信息安全培训。必须参与计算机信息安全培训的人员涉及： Ø 计算机信息系统使用单位的安全管理负责人； Ø 重点单位或核心计算机信息系统的维护和管理人员； Ø 其他从事计算机信息系统安全保护工作的人员； Ø 可以接触到敏感数据或机密信息的关键用户。 3) 人员信息安全管理原则 a) 员工录用时，人事部门或调入部门必须及时书面告知信息技术部门添加相关的口令、帐号及权限等并备案。 b) 员工在岗位变动时，必须移交调出岗位的相关资料和有关文档，检查并归还在借出的重要信息。人事部门或调入部门必须及时书面告知信息技术部门修改和删除相关的口令、帐号及权限等。 c) 员工在调离时必须进行信息安全检查。调离人员必须移交所有资料和有关文档，删除自己的文献、帐号，检查并归还在借出的保密信息。由人事部门书面告知信息技术部门删除相关的口令、帐号、权限等信息。 d) 必须每半年进行用户帐户使用情况的评审，凡是半年及半年以上未使用的帐号经相关部门确认后删除。如有特殊情况，必须事先得到部门经理及安全负责人的批准。 e) 对第三方访问人员和临时性员工，也必须执行相关规定。 5.4. 物理和环境安全 1) 安全区域 目的：防止对工作场合和信息的非法访问、破坏和干扰。 a) 必须明确划分安全区域。安全区域至少涉及各计算机机房、IT部门、财务、人事等部门。所有可以进出安全区域的门必须能防止未经授权的访问，如使用控制装置、栅栏、监控和报警装备、锁等。 b) 无人值守的门和窗户必须上锁，对于直接与外部相连的安全区域的窗户必须考虑窗户的外部保护； c) 安全边界的所有门均应被监视并通过检查，它和墙一起按照合适的地方、国内和国际标准建立所需的抵抗限度；他们应用故障保护方式按照局部放火规则来运营。 d) 应按照地方、国内和国际标准建立适当的入侵检测体系，并定期检测以覆盖所有的外部门窗；要一直对空闲区域发出警报；其他区域要提供掩护方法，例如计算机室或通信室； e) 安全区域必须配备充足的安全设备，例如热敏和烟气探测器、火警系统、灭火设备，并对设备定期检查。 f) 安全区域进出控制采用合适的电子卡或磁卡，并能双向控制。 g) 对安全区域的访问必须进行记录和控制，以保证只有通过授权的人员才可以访问。对机房的访问管理参见《机房安全管理规定》，其它区域可参照执行。 h) 重要设备必须放在安全区域内进行保护，严禁在公共办公区域防止重要的信息解决设施； i) 应当控制外来人员对公共办公区域的访问，第三方访问规定参见《第三方和外包管理规定》 j) 关键和敏感设施应当存放在与公共办公区域相对隔离的场地，并应设计并实行保护。 k) 危险或易燃物品应当摆放在离安全区域安全距离之外，机房应当参见《机房安全管理规定》中的规定执行值班或巡检工作任务。 l) 备份介质应当和主场地有一段的安全距离，要考虑信息设备面临的也许的安全威胁，参考《业务连续性管理程序》的内容制定相应的业务连续性计划，并要定期演练。 m) 人员离开安全区域时应当及时上锁。 n) 除非通过主管部门领导授权，在安全区域不允许使用图象、视频、音频或其它记录设备。 o) 外部人员访问安全区域时应当由员工陪同，并填写《机房出入登记表》，对访问时间、操作内容等加以记录。 p) 出入机房的设备必须填写《机房设备出入登记表》。 2) 设备安全 目的：防止资产的丢失、损坏或被盗，以及对组织业务活动的干扰。 a) 计算机机房必须提供环境保障，机房建设必须遵照相关的机房建设规范进行。如中华人民共和国国家标准GB 50174《电子计算机机房设计规范》，必须提供： Ø 稳定的电源供应 Ø 可靠的空气质量控制（温度，湿度，污染度） Ø 防火，防水，防高温，放雷 b) 应尽量减少对机房不必要的访问，在机房内工作必须遵守《机房安全管理规定》。 c) 各计算机机房是重要的信息解决场合，必须严格执行有关安全保密制度和规定，并防止重要信息的泄露，保证业务数据、信息、资料的准确、安全可靠。 d) 计算机机房应列为公司重点防火部位，按照规定配备足够数量的消防器材，并定期检查更换。机房工作人员要熟悉机房消防用品的存放位置及使用方法，必须掌握防火设施的使用方法和环节；要熟悉设备电源和照明用电以及其它电气设备总开关位置，掌握切断电源的方法和环节。在碰到突发紧急情况时，必须以保护人身安全为首要目的。 e) 定期对机房供电线路及照明器具进行检查，防止因线路老化短路导致火灾。 f) 应当按照设备维护规定的时间间隔和规范，对设备进行维护。 g) 第三方支持和维护人员对重要设备技术支持前，必须通过安全负责人的授权或审批。并且在对重要设备现场实行过程中必须有相关人员全程陪同，具体规定参见《第三方和外包管理规定》。 h) 设备的安全与重用应当按规定的操作程序来解决，特别是包含重要信息的存储设备，应按照相关规定，以拟定是否销毁、修理或弃用该设备。对弃置的存储有敏感信息的存储设备，必须将其销毁，或重写数据，而不能只是使用标准的删除功能进行数据删除。具体规定参见《移动存储介质使用规定》。 i) 当员工离开时，对于载有重要信息的纸张和可移动的存储介质，应当妥善保管。 j) 远程办公人员有责任保护移动设备的安全，未经批准，不得在公共场合访问内部网络。 k) 未经信息安全负责人授权，不允许将载有重要信息的设备、信息或软件带离工作场合。机房内设备的出入必须填写《机房出入登记表》。 5.5. 通信和操作管理 1) 操作程序和责任 目的：保证信息解决设施的对的和安全操作 a) 对于平常维护工作必须按照规定的系统操作流程进行，操作流程应当指明具体执行每个作业的说明。操作流程必须成文，并只有经授权才可以修改。 b) 必须建立并执行信息解决设备和信息系统变更管理流程（具体参照《变更管理流程》），形成文档备案。 c) 解决敏感信息资产时，可以考虑分离职责，假如不实行分离，则应当对解决操作予以记录，并定期进行监督。 d) 应当分离开发、测试与运营环境，敏感数据不可拷贝到测试环境中，测试完毕后应当及时清理测试环境。 2) 第三方服务交付管理 目的：实行并保持信息安全的适当水平，保证第三方交付的服务符合协议规定。 a) 应当保证第三方实行、运营并保持第三方服务交付协议中涉及商定的安全布置、服务定义和交付等级。应定期审核第三方的服务提交的报告和检核对协议的符合度。重要的第三方服务必须签订服务协议和第三方保密协议。 b) 应当在第三方服务协议中包含服务变更管理的内容。变更内容涉及但不限于： Ø 任何新应用、系统、服务的开发 Ø 对现有应用、系统、服务的更改或更新 Ø 与信息安全有关的新的控制措施 Ø 网络环境或其它新技术的使用 Ø 开发环境或物理环境的变更 Ø 供应商的变更 3) 系统策划与验收 目的：最小化系统失效的风险 a) 应为系统的性能和容量规定做预先的规划和准备，应反映对未来容量需求的推测，以减少系统过载的风险。 b) 应建立新信息系统、系统升级和新版本的验收准则，验收前应当完毕设计审核、缺陷分析及安全测试。必须将验收标准写入到项目协议中。 4) 防范恶意和移动代码 目的：保护软件和信息的完整性。 a) 所有服务器和个人计算机都必须激活防病毒软件，必须及时更新防病毒代码库。具体规定参见《防病毒管理程序》。 b) 系统内的服务器和个人计算机必须使用可信来源的软件，应对软件进行病毒检测后统一保存。 c) 员工应当到指定的空间下载软件，不得私自安装授权使用软件列表之外的软件。 d) 必须对所有的电子邮件附件进行病毒扫描，也不要随意打开来历不明的邮件附件。 e) 应当开展对一般员工的防止病毒培训。员工一旦发现或怀疑有PC或服务器被病毒感染,必须立即断开网络并进行全盘扫描，，必须立即告知技术部门。 5) 备份 目的：保持信息和信息解决设施的完整性和可用性。 a) 管理员应当对重要的应用系统、操作系统、配置文献及日记等制订备份策略，并要定期对备份数据进行测试。假如是涉密信息，必须对备份信息实行加密。 b) 所有员工要定期对个人电脑上的重要数据进行备份，以减少不必要的损失。 c) 备份应当存储在与主设备有足够距离的地点，该地点应安全可靠，应同主设备场地使用同等的安全等级。 6) 网络安全管理 目的：保证网络中的信息和支持性基础设施得到保护。 a) 应当对重要的线路、网络设备采用冗余措施，以维持关键服务的可用性。 b) 网络管理员应当参照《访问控制程序》对网络和网络服务进行充足的管理和控制，并采用网管工具对通讯线路、网络设备、网络流量进行实时的监控和预警。 c) 解决敏感信息的计算机应当与局域网物理隔离，应当采用适当的加密技术。 7) 介质解决 目的：防止对资产的未授权泄露、修改、移动或损坏，及对业务活动的的干扰。 a) 应当妥善记录移动介质。不得将载有重要信息的存储介质随意存放，未经安全负责人授权，不得带出办公地点。 b) 假如介质上的内容不再需要，应当立即清除。对于备份或存放有重要信息或软件的存储介质，在销毁时，应当进行格式化或重写数据，避免不必要的泄露。 c) 存放业务应用系统及重要信息的介质，严禁外借，确因工作需要，须报请部门领导批准。 d) 对需要长期保存的介质，必须在介质老化前进行转储，以防止因介质失效导致损失。 e) 应限制只有系统管理员才可访问系统文档。应对的所有信息数据分类标记，建立信息处置、存储、分发的规程。 8) 信息互换 目的：应保持组织内部或组织与外部组织之间互换信息和软件的安全。 a) 应当依据《信息资产鉴别和分类管理办法》、《信息安全交流控制程序》，保护信息在发布、互换时的安全。 b) 员工必须遵守国家有关信息管理的法规，不得运用网络危害国家安全、泄露国家秘密，不得违反中华人民共和国现行法律和法规，不得侵犯国家社会集体的和公民的合法权益。 c) 敏感信息应当通过专用的线路传输。未经安全负责人授权，员工不得与外部联网的计算机信息系统传输涉及重要信息的文献。 d) 员工不得运用网络对别人进行欺侮、诽谤、骚扰；不得侵害别人合法权益；不得侵犯别人的名誉权，肖像权、姓名权等人身权利；不得侵犯别人的商誉、商标、版权、专利、专有技术等各种知识产权。 e) 在通过邮政等物理传输方式传输时，应保护包含重要信息的介质的安全。 f) 应控制并记录允许操作业务系统的用户名单，未经安全负责人授权，不得随意变更访问限制和共享信息。 9) 监视和审计 目的：检测未经授权的信息解决活动。 a) 公司制定《IT设备设施维护管理程序》、《信息安全技术检查管理规定》对信息系统活动进行监控。 b) 应当使用监视程序以保证用户只执行被明确授权的活动，审计内容应细化到个人而不是共享帐号。审计至少涉及用户ID、系统日记、操作记录等。 c) 可以实行安全产品或调整配置，以记录和审计用户活动、系统、安全产品和信息安全事件产生的日记，并按照约定的期限保存，以支持将来的调查和访问控制监视。 d) 可以在内网中配置日记服务器，专门收集主机、网络设备、安全产品的日记，以避免日记被破坏或覆盖。 e) 应在网络中配置时钟服务器，被审计的信息设备应同时钟服务器的时间保持同步，以避免审计上的漏洞。 5.6. 信息系统访问控制 1) 访问控制的业务规定 目的：控制对信息的访问。 a) 应当明确规定每个用户以及相应用户组在各个系统中访问控制规则与权限，每半年要评审用户和访问权限的设立，具体规定参见《访问控制程序》。 2) 用户访问管理 目的：保证授权用户的访问，并防止信息系统的非授权访问。 a) 严禁用户帐号共享，普通用户不能在一个系统上拥有多个帐号，系统管理员不能在一个系统上拥有多个相同角色的帐号。每个用户应当在不同的信息系统上遵循统一的命名方式且使用相同的用户帐号，统一的命名方式应当参考域（邮箱）帐号命名规则。具体规定参见《公司邮箱管理办法》 b) 所有对信息系统的访问必须遵照《访问控制程序》。除非员工获得该流程规定的相关部门授权，否则不准在网络上给外单位和个人开户，也不准外单位或个人借用内部用户名和口令上网，一经查出将追究当事人责任。 c) 用户权限必须按照最小权限原则进行分派。 d) 技术人员在收到重置口令的申请时，必须验证用户的身份后方可提供一个临时的代替口令。 e) 要告知并强制用户遵守用户帐号及口令管理规定，用户必须对自己的帐号和口令保密，不能以任何形式向别人透露口令信息，不得以未加密的形式将口令保存在文献或计算机中，在收到应用系统或软件的初始口令后必须及时更改。 f) 用户帐号三个月未使用的将在系统中自动失效。必须每半年进行用户使用情况的评审，凡是半年及半年以上未使用的帐号经相关部门确认后删除。如有特殊情况，必须事先得到信息安所有及安全负责人的批准并备案。 3) 用户责任 目的：避免未授权用户的访问，防止信息和信息解决设施的安全。 a) 员工和访问信息系统的第三方必须遵守《用户帐号及口令管理规定》的规定保证自己的用户帐号和口令的安全。规定用户不得明文保存口令，及时修改默认口令并必须选择强壮的口令，定期修改密码，不得随意共享密码。 b) 所有计算机应当启用计算机的开机口令进行保护。当员工离开计算机时，员工必须立即锁定屏幕或退出系统，且在系统内必须设立5分钟自动启用有口令的屏幕保护。 c) 离开机房后要及时锁门，重要信息设备可以使用计算机锁等控制措施来保护其不受未授权访问。 d) 人员离开时，必须清理桌面上的敏感信息，打印出的文献必须及时从打印机取走。 4) 网络访问控制 目的：防止对网络服务的未经授权的访问。 a) 网络管理员必须参照《访问控制程序》和业务系统规定进行控制： Ø 明确哪些用户可以访问的网络和网络服务列表 Ø 明确访问网络和网络服务的用户 Ø 实行相应的控制手段 b) 对于来自外部的连接，使用VPN连接，使用基于口令的控制系统进行控制。 c) 任何到网络的物理或逻辑的连接必须通过运维部的批准。 d) 必须明确哪些人可以远程诊断和调试信息设备。给第三方开放远程维护帐号时，维护结束后必须立即收回。 e) 局域网网络对外出口必须使用防火墙进行保护，根据安全需要可以考虑将局域网进一步划分为独立的逻辑网络域，并各逻辑网的接口处使用防火墙保护。上述接口和出口应当同时考虑实行地址转换、防病毒和入侵检测产品等。 f) 未经批准，不得在公共场合访问内部网络。 g) 对于从正式办公地点内部发起的、目的为外部网络或计算机的所有计算机网络连接，必须通过由统一配置使用的系统进行路由。 5) 操作系统访问控制 目的：防止对操作系统未授权访问。 a) 主机系统的登录必须遵照以下规定： Ø 对于非Windows平台，成功登录后，才显示系统或应用标记 Ø 只显示一般性的警告信息，例如“本系统只允许授权用户访问” Ø 限制不成功登录的次数，不得超过5次，否则锁定用户帐号 Ø 记录成功和不成功登录的情况 Ø 需要在网络上传输口令时，应当进行加密 b) 登录终端必须有超时设立，不超过20分钟。 c) 应对所有用户分派一个唯一的ID。无特殊情况一个人不得在一个系统上拥有多个帐号。 d) 使用口令管理系统时，可以考虑配置： Ø 强制选择优质口令。 Ø 允许用户选择和更改自己的口令，其中要涉及新口令的确认过程。 Ø 强制用户在第一次登录时修改口令。 Ø 分开存储口令文献和应用系统数据 Ø 保护口令的存储和传输过程。 e) 应分开保存系统文献和应用数据，限制对系统文献的操作。 6) 应用程序和信息访问控制 目的：防止相应用系统中信息的非法访问。 a) 应限制用户和管理员相应用系统的访问权限，规定用户在申请、变更或废止访问权限时，应填写《权限申请表》。 b) 解决敏感信息的系统应当与公共网隔离，且系统输出信息仅能发送给特定的终端和人员。 c) 应当参考《信息资产鉴别和分类管理办法》明确标记出敏感信息，当需要共享或分发敏感信息时，必须附带保密声明。 7) 移动计算和远程工作 目的：保证在使用移动计算机和远程工作设施时的安全。 a) 所有远程工作的移动计算机都必须安装防病毒软件，应当考虑采用动态口令系统。未经信息安所有批准，不得在公共场合访问内部网络。具体参见《笔记本电脑安全使用指南》 b) 应当安排针对移动办公人员的安全培训，规定此类用户保护移动设备和远程办公帐号的安全。 5.7. 信息系统的获取、开发和维护安全 1) 信息系统的安全规定 目的：保证安全成为信息系统的一部分。 a) 对自主开发和外包开发的信息系统或对现有系统的更新，在分析阶段应当规定对安全控制的规定，并集成到系统设计规范书、招标规范书和外包协议书之中，并在开发工作和验收时进行考虑。 2) 应用系统的对的解决 目的：防止应用系统信息的错误、丢失、未授权的修改或误用。 a) 应用系统设计时应当针对数据安全进行以下方面的考虑： Ø 输入数据验证：相应用系统的数据输入进行验证，保证输入数据对的并合乎规定。 Ø 数据的容错解决：为防止对的的数据因解决错误或故意人为等因素遭到破坏而采用的检查和控制措施。 Ø 输出数据验证：相应用系统输出的数据进行验证，保证对存储信息的对的解决。 Ø 消息验证：检查传输的电子消息内容是否有非法变更或破坏的技术手段。可以用加密技术作为实现消息验证的手段。 Ø 加密：是用于保护信息机密性的技术。在保护敏感或关键信息时使用。 b) 周期性评审关键信息和数据的内容，以保证其有效性和完整性。 3) 加密控制 目的：通过加密手段来保护信息的保密性、真实性和完整性 a) 在组织内实行加密控制的策略，可以考虑使用密码技术以实现： Ø 保密性：通过信息加密保护存储和传输中的敏感和重要数据。 Ø 完整性/可认证性：使用数字署名和消息验证码去保护存储的和传输中的敏感和重要数据的可认证性和完整性。 Ø 不可否认性：运用密码技术获得事件和行为发生或未发生的证明。 b) 实行密钥管理办法，涉及防止密钥的丢失、泄密或破坏，密钥的销毁和密钥损坏后加密数据的恢复。 4) 系统文献安全 目的：保证系统文献的安全 a) 应当仅由管理员才可以进行操作系统、软件、应用和运营程序库的更新，生产系统不得安装无关软件。 b) 应当尽量避免应用系统对操作系统的直接调用，最大限度减少操作系统崩溃的风险。 c) 重要的应用和操作系统软件只有在全面对的的测试通过后才可安装，测试涉及实用性、安全性、在其它系统上的有效性、用户和谐性等，测试应在独立的系统上完毕，必须保证相应的程序库已经更新。 d) 重要软件和应用升级后，涉及需要的信息、参数、升级过程日记、配置细节等都要归档，配套的数据和文献也应归档。 e) 所有应用必须编写应用配置手册，应用配置手册必须随着操作系统软件或应用配置的改变而及时更新。 f) 测试过程中应当避免使用敏感信息，测试完毕后应当及时清除。 g) 访问程序源代码的行为应受到限制，更新关键应用系统必须按照《变更管理流程》得到授权。若有也许，在运营环境中不应保存程序源代码库。 5) 开发和支持过程安全 目的：保持应用系统软件和信息的安全 a) 维护并执行《变更管理流程》，该流程应当涉及提交申请、调研和评估、审批、实行、总结和备案。 b) 必须分开生产环境和非生产环境，非生产环境涉及开发、测试和培训所用的环境。应用开发人员不允许访问生产环境，除非在有安全评测手段的前提下，应用开发人员可以暂时获得生产环境下的用户名和口令以用于系统支持，必须保证在系统支持完毕之后立即修改口令。 c) 当操作系统变更后，应评审和测试关键的应用系统，以拟定此变更对运营和安全带来的影响。 d) 只能从可信的渠道（如厂商指定的网站）获取软件的更新程序，重要变更必须进行记录。变更后，运维人员应当监控变更带来的影响。其中安全补丁的规定详见《补丁管理程序》。 e) 可以采用安全手段监视系统、通信和个人行为，以减小信息泄露的也许。 6) 技术漏洞管理 目的：减少运用公开的技术漏洞带来的风险。 a) 应当确认软件和其它技术的相关漏洞，指定专人进行安全补丁管理工作，涉及补丁公告、补丁评估和补丁列表的维护工作。具体规定参见《补丁管理程序》。 b) 假如没有合适的补丁，应当实行其它措施，如： Ø 关掉也许运用漏洞导致损害的服务和端口 Ø 在网络边界上增长隔离和访问控制，如防火墙 Ø 在网络中部署入侵检测系统 Ø 增强对该漏洞的监控 5.8. 信息安全事故解决 1) 报告信息安全事故和弱点 目的：保证与信息系统有关的安全事件和弱点的报告，以便及时采用纠正措施。 a) 维护并执行《信息安全事件管理程序》，培训并规定所有员工和第三方都有责任尽快报告信息安全事件。 b) 信息安全事件发生后，报告人应立即将事件的重要细节（如事件描述、屏幕上显示的消息、导致的后果、其它异常情况等）向主管部门报告。 c) 所有员工和第三方有责任注意并报告系统或服务中已发现或疑似的安全漏洞，但不能擅自解决和散播。 2) 信息安全事故管理和改善 目的：保证使用可追踪的，有效的方法管理信息安全事故。 a) 应当建立涉及事件报告、分类、责任分工、响应方法、记录和总结、恢复计划等在内的信息安全事故管理机制。具体规定参见《信息安全事件管理程序》。 b) 应通过信息安全事故的评估和总结以辨认将来也许再次发生的事故，特别是也许导致重大影响的事故，尽量减小同种事故带来的损失。 c) 从事件被检测到至解决完毕全过程的记录和证据（涉及纸制文档和电子信息）都应进行保存。 5.9. 业务连续性管理 1) 业务连续性管理中的信息安全 目的：防止业务活动中断，保证重要业务流程不受重大故障和劫难的影响，并保证它们的及时恢复。 a) 参考《业务连续性管理程序》制订并实行业务连续性计划，防止和恢复控制相结合，将劫难和安全故障（也许是由于自然灾害、事故、设备故障和蓄意破坏等引起）导致的影响减少到可以接受的水平，限制破坏性事件导致的后果，保证关键业务的操作得到及时恢复。业务连续性计划制定后必须得到安全领导小组的批准。 b) 业务连续性计划的内容至少应当涉及： Ø 拟定关键业务流程和其所涉及资产，明确信息解决设施的业务目的。 Ø 辨认也许导致业务中断的重大事故，评估此类重大事故发生的也许性及导致业务中断给导致的影响，拟定关键业务流程的优先级。 Ø 必要时可以适当考虑购买保险，以减少重大劫难引起的损失。 Ø 定期对计划和相关操作流程进行检查、演练和更新。 Ø 明确人员职责，业务连续性管理过程的职责应分派给安委会。 Ø 保护人员、信息解决设备和机构财产的安全。 Ø 业务恢复的优先级，应当考虑可容忍的业务中断时间和业务恢复到中断前的哪个时间点，要特别注意对有关外部业务和协议的评估。 Ø 满足业务连续性计划所需的资源和服务，涉及人员、非信息解决资源以及信息解决设施的低效运营安排。 Ø 业务流程的备案 Ø 对员工进行适当的业务连续性计划的培训 Ø 通过演练（或突发事件发生）的实际情况，对计划进行修正，保证其有效性和可操作性。 c) 应当维护一个全局性的业务连续性计划框架，以保证所有计划的一致性。业务连续性计划框架应当考虑以下内容： Ø 计划的启动条件。在计划执行前说明要采用的程序（涉及如何评估、参与人员等）。 Ø 应急程序。说明在发生危及业务操作和/或生命的事故后要采用的措施。 Ø 低效运营程序。说明应当采用哪些措施，以将重要业务活动或支持服务转移到其它临时地点并在规定期间内恢复业务流程。 Ø 恢复程序。说明应当采用哪些措施，以恢复正常业务运作。 Ø 说明若恢复未完毕时应遵循的临时操作规程。 Ø 说明计划检查方式和时间的维护计划以及计划维护程序。 Ø 在组织内开展业务连续性的教育培训活动。 Ø 明确个人责任。说明由谁负责执行哪一部分计划。根据规定可以指定备选方案。 d) 必须定期测试并更新业务连续性计划，可以通过以下方法： Ø 通过会议，可以使用类似案例讨论业务恢复方面的安排。 Ø 通过模拟事故发生的情况，重点培训对负责事故/危机发生后管理的人员。 Ø 通过测试保证技术上信息系统可以有效地恢复。 Ø 在备用场地进行测试（继续业务流程的同时在主场地外执行恢复操作）。 Ø 供应商提供的设施和服务的检查（保证外部提供的服务和产品符合协议中的规定）。 Ø 全面演习（检查组织、人员、设备、设施和程序是否可以应付中断情况）。 e) 必须维护业务连续性计划并进行定