【正文】 壞或者帶來安全隱患；216。 客戶是否與有商業(yè)利益沖突；216。 是否已經(jīng)完成了相關(guān)的權(quán)限設(shè)定，對訪問加以控制；216。 是否有過違反安全規(guī)定的記錄；216。 是否與法律法規(guī)有沖突，是否會涉及知識產(chǎn)權(quán)糾紛；d) 第三方進行訪問之前必須經(jīng)過被訪問系統(tǒng)的安全責(zé)任人的審核批準，包括物理訪問的區(qū)域和邏輯訪問的權(quán)限。（詳見《辦公室基礎(chǔ)設(shè)備和工作環(huán)境控制程序》）e) 對于第三方參與的項目或提供的服務(wù)，必須在合同中明確規(guī)定人員的安全責(zé)任，必要時應(yīng)當(dāng)簽署保密協(xié)議。f) 第三方必須遵守的信息安全策略以及《第三方和外包管理規(guī)定》，留對第三方的工作進行審核的權(quán)利。. 資產(chǎn)管理目標：通過及時更新的信息資產(chǎn)目錄對信息資產(chǎn)進行適當(dāng)?shù)谋Ｗo。1) 資產(chǎn)責(zé)任a) 所有的信息資產(chǎn)必須登記入冊，對于有形資產(chǎn)必須進行標識，同時資產(chǎn)信息應(yīng)當(dāng)及時更新。每項信息資產(chǎn)在登記入冊及更新時必須指定信息資產(chǎn)的安全責(zé)任人，信息資產(chǎn)的安全責(zé)任人必須負責(zé)該信息資產(chǎn)的安全。b) 所有員工和第三方都必須遵守關(guān)于信息設(shè)備安全管理的規(guī)定，以保護信息處理設(shè)備（包括移動設(shè)備和在非公共地點使用的設(shè)備）的安全。2) 信息分類a) 必須明確確認每項信息資產(chǎn)及其責(zé)任人和安全分類，信息資產(chǎn)包括業(yè)務(wù)過程、硬件和設(shè)施資產(chǎn)、軟件和系統(tǒng)資產(chǎn)、文檔和數(shù)據(jù)信息資產(chǎn)、人員資產(chǎn)、服務(wù)和其他資產(chǎn)。（詳見《信息資產(chǎn)列表》）。b) 必須建立信息資產(chǎn)管理登記制度，至少詳細記錄信息資產(chǎn)的分類、名稱、用途、資產(chǎn)所有者、使用人員等，便于查找和使用。信息資產(chǎn)應(yīng)當(dāng)標明適用范圍。（詳見《IT設(shè)備管理規(guī)定》）。c) 應(yīng)當(dāng)在每個有形信息資產(chǎn)上進行標識。d) 當(dāng)信息資產(chǎn)進行拷貝、存儲、傳輸（如郵遞、傳真、電子郵件以及語音傳輸（包括電話、語音郵件、應(yīng)答機）等）或者銷毀等信息處理時，應(yīng)當(dāng)參照《信息資產(chǎn)鑒別和分類管理辦法》或者制定妥善的處理步驟并執(zhí)行。e) 對重要的資料檔案要妥善保管，以防丟失泄密，其廢棄的打印紙及磁介質(zhì)等，應(yīng)按有關(guān)規(guī)定進行處理。. 人員信息安全管理目標：確保所有的員工、合同方和第三方用戶了解信息安全威脅和相關(guān)事宜、明確并履行信息安全責(zé)任和義務(wù)，并在日常工作中支持的信息安全方針，減少人為錯誤的風(fēng)險，減少盜竊、濫用或設(shè)施誤用的風(fēng)險。1) 人員雇傭a) 員工必須了解相關(guān)的信息安全責(zé)任，必須遵守《職務(wù)說明書》。b) 對第三方訪問人員和臨時性員工，必須遵守《第三方和外包管理規(guī)定》。c) 涉及重要信息系統(tǒng)管理的員工、合同方及第三方應(yīng)當(dāng)進行相關(guān)技術(shù)背景調(diào)查和能力考評；d) 涉及重要信息系統(tǒng)管理的員工、合同方及第三方應(yīng)在合同中明確其信息安全責(zé)任并簽署保密協(xié)議；e) 重要崗位的人員在錄用時應(yīng)做重要崗位背景調(diào)查。2) 雇傭中a) 管理層必須要求所有的員工、合同方及第三方用戶執(zhí)行信息安全的相關(guān)規(guī)定；b) 應(yīng)當(dāng)設(shè)定信息安全的相關(guān)獎勵措施，任何違反信息安全策略的行為都將收到懲戒，具體執(zhí)行辦法參見《信息安全獎懲規(guī)定》；c) 將信息安全培訓(xùn)加入員工培訓(xùn)中，培訓(xùn)材料應(yīng)當(dāng)包括下列內(nèi)容：216。 信息安全策略216。 信息安全制度216。 相關(guān)獎懲辦法d) 應(yīng)當(dāng)按下列群體進行不同類型的信息安全培訓(xùn)：216。 全體員工216。 需要遵守信息安全策略、規(guī)章制度和各項操作流程的第三方人員e) 信息安全培訓(xùn)必須至少每年舉行一次，讓不同部門的人員能受到適當(dāng)?shù)男畔踩嘤?xùn)。必須參加計算機信息安全培訓(xùn)的人員包括：216。 計算機信息系統(tǒng)使用單位的安全管理責(zé)任人；216。 重點單位或核心計算機信息系統(tǒng)的維護和管理人員；216。 其他從事計算機信息系統(tǒng)安全保護工作的人員；216。 能夠接觸到敏感數(shù)據(jù)或機密信息的關(guān)鍵用戶。3) 人員信息安全管理原則a) 員工錄用時，人事部門或調(diào)入部門必須及時書面通知信息技術(shù)部門添加相關(guān)的口令、帳號及權(quán)限等并備案。b) 員工在崗位變動時，必須移交調(diào)出崗位的相關(guān)資料和有關(guān)文檔，檢查并歸還在借出的重要信息。人事部門或調(diào)入部門必須及時書面通知信息技術(shù)部門修改和刪除相關(guān)的口令、帳號及權(quán)限等。c) 員工在調(diào)離時必須進行信息安全檢查。調(diào)離人員必須移交全部資料和有關(guān)文檔，刪除自己的文件、帳號，檢查并歸還在借出的保密信息。由人事部門書面通知信息技術(shù)部門刪除相關(guān)的口令、帳號、權(quán)限等信息。d) 必須每半年進行用戶帳戶使用情況的評審，凡是半年及半年以上未使用的帳號經(jīng)相關(guān)部門確認后刪除。如有特殊情況，必須事先得到部門經(jīng)理及安全責(zé)任人的批準。e) 對第三方訪問人員和臨時性員工，也必須執(zhí)行相關(guān)規(guī)定。. 物理和環(huán)境安全1) 安全區(qū)域目標：防止對工作場所和信息的非法訪問、破壞和干擾。a) 必須明確劃分安全區(qū)域。安全區(qū)域至少包括各計算機機房、IT部門、財務(wù)、人事等部門。所有可以進出安全區(qū)域的門必須能防止未經(jīng)授權(quán)的訪問，如使用控制裝置、柵欄、監(jiān)控和報警裝備、鎖等。b) 無人值守的門和窗戶必須上鎖，對于直接與外部相連的安全區(qū)域的窗戶必須考慮窗戶的外部保護；c) 安全邊界的所有門均應(yīng)被監(jiān)視并經(jīng)過檢驗，它和墻一起按照合適的地方、國內(nèi)和國際標準建立所需的抵抗程度；他們應(yīng)用故障保護方式按照局部放火規(guī)則來運行。d) 應(yīng)按照地方、國內(nèi)和國際標準建立適當(dāng)?shù)娜肭謾z測體系，并定期檢測以覆蓋所有的外部門窗；要一直對空閑區(qū)域發(fā)出警報；其他區(qū)域要提供掩護方法，例如計算機室或通信室；e) 安全區(qū)域必須配備充足的安全設(shè)備，例如熱敏和煙氣探測器、火警系統(tǒng)、滅火設(shè)備，并對設(shè)備定期檢查。f) 安全區(qū)域進出控制采用合適的電子卡或磁卡，并能雙向控制。g) 對安全區(qū)域的訪問必須進行記錄和控制，以確保只有經(jīng)過授權(quán)的人員才可以訪問。對機房的訪問管理參見《機房安全管理規(guī)定》，其它區(qū)域可參照執(zhí)行。h) 重要設(shè)備必須放在安全區(qū)域內(nèi)進行保護，禁止在公共辦公區(qū)域防止重要的信息處理設(shè)施；i) 應(yīng)當(dāng)控制外來人員對公共辦公區(qū)域的訪問，第三方訪問規(guī)定參見《第三方和外包管理規(guī)定》j) 關(guān)鍵和敏感設(shè)施應(yīng)當(dāng)存放在與公共辦公區(qū)域相對隔離的場地，并應(yīng)設(shè)計并實施保護。k) 危險或易燃物品應(yīng)當(dāng)擺放在離安全區(qū)域安全距離之外，機房應(yīng)當(dāng)參見《機房安全管理規(guī)定》中的要求執(zhí)行值班或巡檢工作任務(wù)。l) 備份介質(zhì)應(yīng)當(dāng)和主場地有一段的安全距離，要考慮信息設(shè)備面臨的可能的安全威脅，參考《業(yè)務(wù)連續(xù)性管理程序》的內(nèi)容制定對應(yīng)的業(yè)務(wù)連續(xù)性計劃，并要定期演練。m) 人員離開安全區(qū)域時應(yīng)當(dāng)及時上鎖。n) 除非經(jīng)過主管部門領(lǐng)導(dǎo)授權(quán)，在安全區(qū)域不允許使用圖象、視頻、音頻或其它記錄設(shè)備。o) 外部人員訪問安全區(qū)域時應(yīng)當(dāng)由員工陪同，并填寫《機房出入登記表》，對訪問時間、操作內(nèi)容等加以記錄。p) 出入機房的設(shè)備必須填寫《機房設(shè)備出入登記表》。2) 設(shè)備安全目標：防止資產(chǎn)的丟失、損壞或被盜，以及對組織業(yè)務(wù)活動的干擾。a) 計算機機房必須提供環(huán)境保障，機房建設(shè)必須遵照相關(guān)的機房建設(shè)規(guī)范進行。如中華人民共和國國家標準GB 50174《電子計算機機房設(shè)計規(guī)范》，必須提供：216。 穩(wěn)定的電源供給216。 可靠的空氣質(zhì)量控制（溫度，濕度，污染度）216。 防火，防水，防高溫，放雷b) 應(yīng)盡量減少對機房不必要的訪問，在機房內(nèi)工作必須遵守《機房安全管理規(guī)定》。c) 各計算機機房是重要的信息處理場所，必須嚴格執(zhí)行有關(guān)安全保密制度和規(guī)定，并防止重要信息的泄露，保證業(yè)務(wù)數(shù)據(jù)、信息、資料的準確、安全可靠。d) 計算機機房應(yīng)列為公司重點防火部位，按照規(guī)定配備足夠數(shù)量的消防器材，并定期檢查更換。機房工作人員要熟悉機房消防用品的存放位置及使用方法，必須掌握防火設(shè)施的使用方法和步驟；要熟悉設(shè)備電源和照明用電以及其它