【正文】 壞或者帶來(lái)安全隱患；216。 客戶是否與有商業(yè)利益沖突；216。 是否已經(jīng)完成了相關(guān)的權(quán)限設(shè)定，對(duì)訪問(wèn)加以控制；216。 是否有過(guò)違反安全規(guī)定的記錄；216。 是否與法律法規(guī)有沖突，是否會(huì)涉及知識(shí)產(chǎn)權(quán)糾紛；d) 第三方進(jìn)行訪問(wèn)之前必須經(jīng)過(guò)被訪問(wèn)系統(tǒng)的安全責(zé)任人的審核批準(zhǔn)，包括物理訪問(wèn)的區(qū)域和邏輯訪問(wèn)的權(quán)限。（詳見(jiàn)《辦公室基礎(chǔ)設(shè)備和工作環(huán)境控制程序》）e) 對(duì)于第三方參與的項(xiàng)目或提供的服務(wù)，必須在合同中明確規(guī)定人員的安全責(zé)任，必要時(shí)應(yīng)當(dāng)簽署保密協(xié)議。f) 第三方必須遵守的信息安全策略以及《第三方和外包管理規(guī)定》，留對(duì)第三方的工作進(jìn)行審核的權(quán)利。. 資產(chǎn)管理目標(biāo)：通過(guò)及時(shí)更新的信息資產(chǎn)目錄對(duì)信息資產(chǎn)進(jìn)行適當(dāng)?shù)谋Ｗo(hù)。1) 資產(chǎn)責(zé)任a) 所有的信息資產(chǎn)必須登記入冊(cè)，對(duì)于有形資產(chǎn)必須進(jìn)行標(biāo)識(shí)，同時(shí)資產(chǎn)信息應(yīng)當(dāng)及時(shí)更新。每項(xiàng)信息資產(chǎn)在登記入冊(cè)及更新時(shí)必須指定信息資產(chǎn)的安全責(zé)任人，信息資產(chǎn)的安全責(zé)任人必須負(fù)責(zé)該信息資產(chǎn)的安全。b) 所有員工和第三方都必須遵守關(guān)于信息設(shè)備安全管理的規(guī)定，以保護(hù)信息處理設(shè)備（包括移動(dòng)設(shè)備和在非公共地點(diǎn)使用的設(shè)備）的安全。2) 信息分類a) 必須明確確認(rèn)每項(xiàng)信息資產(chǎn)及其責(zé)任人和安全分類，信息資產(chǎn)包括業(yè)務(wù)過(guò)程、硬件和設(shè)施資產(chǎn)、軟件和系統(tǒng)資產(chǎn)、文檔和數(shù)據(jù)信息資產(chǎn)、人員資產(chǎn)、服務(wù)和其他資產(chǎn)。（詳見(jiàn)《信息資產(chǎn)列表》）。b) 必須建立信息資產(chǎn)管理登記制度，至少詳細(xì)記錄信息資產(chǎn)的分類、名稱、用途、資產(chǎn)所有者、使用人員等，便于查找和使用。信息資產(chǎn)應(yīng)當(dāng)標(biāo)明適用范圍。（詳見(jiàn)《IT設(shè)備管理規(guī)定》）。c) 應(yīng)當(dāng)在每個(gè)有形信息資產(chǎn)上進(jìn)行標(biāo)識(shí)。d) 當(dāng)信息資產(chǎn)進(jìn)行拷貝、存儲(chǔ)、傳輸（如郵遞、傳真、電子郵件以及語(yǔ)音傳輸（包括電話、語(yǔ)音郵件、應(yīng)答機(jī)）等）或者銷毀等信息處理時(shí)，應(yīng)當(dāng)參照《信息資產(chǎn)鑒別和分類管理辦法》或者制定妥善的處理步驟并執(zhí)行。e) 對(duì)重要的資料檔案要妥善保管，以防丟失泄密，其廢棄的打印紙及磁介質(zhì)等，應(yīng)按有關(guān)規(guī)定進(jìn)行處理。. 人員信息安全管理目標(biāo)：確保所有的員工、合同方和第三方用戶了解信息安全威脅和相關(guān)事宜、明確并履行信息安全責(zé)任和義務(wù)，并在日常工作中支持的信息安全方針，減少人為錯(cuò)誤的風(fēng)險(xiǎn)，減少盜竊、濫用或設(shè)施誤用的風(fēng)險(xiǎn)。1) 人員雇傭a) 員工必須了解相關(guān)的信息安全責(zé)任，必須遵守《職務(wù)說(shuō)明書》。b) 對(duì)第三方訪問(wèn)人員和臨時(shí)性員工，必須遵守《第三方和外包管理規(guī)定》。c) 涉及重要信息系統(tǒng)管理的員工、合同方及第三方應(yīng)當(dāng)進(jìn)行相關(guān)技術(shù)背景調(diào)查和能力考評(píng)；d) 涉及重要信息系統(tǒng)管理的員工、合同方及第三方應(yīng)在合同中明確其信息安全責(zé)任并簽署保密協(xié)議；e) 重要崗位的人員在錄用時(shí)應(yīng)做重要崗位背景調(diào)查。2) 雇傭中a) 管理層必須要求所有的員工、合同方及第三方用戶執(zhí)行信息安全的相關(guān)規(guī)定；b) 應(yīng)當(dāng)設(shè)定信息安全的相關(guān)獎(jiǎng)勵(lì)措施，任何違反信息安全策略的行為都將收到懲戒，具體執(zhí)行辦法參見(jiàn)《信息安全獎(jiǎng)懲規(guī)定》；c) 將信息安全培訓(xùn)加入員工培訓(xùn)中，培訓(xùn)材料應(yīng)當(dāng)包括下列內(nèi)容：216。 信息安全策略216。 信息安全制度216。 相關(guān)獎(jiǎng)懲辦法d) 應(yīng)當(dāng)按下列群體進(jìn)行不同類型的信息安全培訓(xùn)：216。 全體員工216。 需要遵守信息安全策略、規(guī)章制度和各項(xiàng)操作流程的第三方人員e) 信息安全培訓(xùn)必須至少每年舉行一次，讓不同部門的人員能受到適當(dāng)?shù)男畔踩嘤?xùn)。必須參加計(jì)算機(jī)信息安全培訓(xùn)的人員包括：216。 計(jì)算機(jī)信息系統(tǒng)使用單位的安全管理責(zé)任人；216。 重點(diǎn)單位或核心計(jì)算機(jī)信息系統(tǒng)的維護(hù)和管理人員；216。 其他從事計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作的人員；216。 能夠接觸到敏感數(shù)據(jù)或機(jī)密信息的關(guān)鍵用戶。3) 人員信息安全管理原則a) 員工錄用時(shí)，人事部門或調(diào)入部門必須及時(shí)書面通知信息技術(shù)部門添加相關(guān)的口令、帳號(hào)及權(quán)限等并備案。b) 員工在崗位變動(dòng)時(shí)，必須移交調(diào)出崗位的相關(guān)資料和有關(guān)文檔，檢查并歸還在借出的重要信息。人事部門或調(diào)入部門必須及時(shí)書面通知信息技術(shù)部門修改和刪除相關(guān)的口令、帳號(hào)及權(quán)限等。c) 員工在調(diào)離時(shí)必須進(jìn)行信息安全檢查。調(diào)離人員必須移交全部資料和有關(guān)文檔，刪除自己的文件、帳號(hào)，檢查并歸還在借出的保密信息。由人事部門書面通知信息技術(shù)部門刪除相關(guān)的口令、帳號(hào)、權(quán)限等信息。d) 必須每半年進(jìn)行用戶帳戶使用情況的評(píng)審，凡是半年及半年以上未使用的帳號(hào)經(jīng)相關(guān)部門確認(rèn)后刪除。如有特殊情況，必須事先得到部門經(jīng)理及安全責(zé)任人的批準(zhǔn)。e) 對(duì)第三方訪問(wèn)人員和臨時(shí)性員工，也必須執(zhí)行相關(guān)規(guī)定。. 物理和環(huán)境安全1) 安全區(qū)域目標(biāo)：防止對(duì)工作場(chǎng)所和信息的非法訪問(wèn)、破壞和干擾。a) 必須明確劃分安全區(qū)域。安全區(qū)域至少包括各計(jì)算機(jī)機(jī)房、IT部門、財(cái)務(wù)、人事等部門。所有可以進(jìn)出安全區(qū)域的門必須能防止未經(jīng)授權(quán)的訪問(wèn)，如使用控制裝置、柵欄、監(jiān)控和報(bào)警裝備、鎖等。b) 無(wú)人值守的門和窗戶必須上鎖，對(duì)于直接與外部相連的安全區(qū)域的窗戶必須考慮窗戶的外部保護(hù)；c) 安全邊界的所有門均應(yīng)被監(jiān)視并經(jīng)過(guò)檢驗(yàn)，它和墻一起按照合適的地方、國(guó)內(nèi)和國(guó)際標(biāo)準(zhǔn)建立所需的抵抗程度；他們應(yīng)用故障保護(hù)方式按照局部放火規(guī)則來(lái)運(yùn)行。d) 應(yīng)按照地方、國(guó)內(nèi)和國(guó)際標(biāo)準(zhǔn)建立適當(dāng)?shù)娜肭謾z測(cè)體系，并定期檢測(cè)以覆蓋所有的外部門窗；要一直對(duì)空閑區(qū)域發(fā)出警報(bào)；其他區(qū)域要提供掩護(hù)方法，例如計(jì)算機(jī)室或通信室；e) 安全區(qū)域必須配備充足的安全設(shè)備，例如熱敏和煙氣探測(cè)器、火警系統(tǒng)、滅火設(shè)備，并對(duì)設(shè)備定期檢查。f) 安全區(qū)域進(jìn)出控制采用合適的電子卡或磁卡，并能雙向控制。g) 對(duì)安全區(qū)域的訪問(wèn)必須進(jìn)行記錄和控制，以確保只有經(jīng)過(guò)授權(quán)的人員才可以訪問(wèn)。對(duì)機(jī)房的訪問(wèn)管理參見(jiàn)《機(jī)房安全管理規(guī)定》，其它區(qū)域可參照?qǐng)?zhí)行。h) 重要設(shè)備必須放在安全區(qū)域內(nèi)進(jìn)行保護(hù)，禁止在公共辦公區(qū)域防止重要的信息處理設(shè)施；i) 應(yīng)當(dāng)控制外來(lái)人員對(duì)公共辦公區(qū)域的訪問(wèn)，第三方訪問(wèn)規(guī)定參見(jiàn)《第三方和外包管理規(guī)定》j) 關(guān)鍵和敏感設(shè)施應(yīng)當(dāng)存放在與公共辦公區(qū)域相對(duì)隔離的場(chǎng)地，并應(yīng)設(shè)計(jì)并實(shí)施保護(hù)。k) 危險(xiǎn)或易燃物品應(yīng)當(dāng)擺放在離安全區(qū)域安全距離之外，機(jī)房應(yīng)當(dāng)參見(jiàn)《機(jī)房安全管理規(guī)定》中的要求執(zhí)行值班或巡檢工作任務(wù)。l) 備份介質(zhì)應(yīng)當(dāng)和主場(chǎng)地有一段的安全距離，要考慮信息設(shè)備面臨的可能的安全威脅，參考《業(yè)務(wù)連續(xù)性管理程序》的內(nèi)容制定對(duì)應(yīng)的業(yè)務(wù)連續(xù)性計(jì)劃，并要定期演練。m) 人員離開(kāi)安全區(qū)域時(shí)應(yīng)當(dāng)及時(shí)上鎖。n) 除非經(jīng)過(guò)主管部門領(lǐng)導(dǎo)授權(quán)，在安全區(qū)域不允許使用圖象、視頻、音頻或其它記錄設(shè)備。o) 外部人員訪問(wèn)安全區(qū)域時(shí)應(yīng)當(dāng)由員工陪同，并填寫《機(jī)房出入登記表》，對(duì)訪問(wèn)時(shí)間、操作內(nèi)容等加以記錄。p) 出入機(jī)房的設(shè)備必須填寫《機(jī)房設(shè)備出入登記表》。2) 設(shè)備安全目標(biāo)：防止資產(chǎn)的丟失、損壞或被盜，以及對(duì)組織業(yè)務(wù)活動(dòng)的干擾。a) 計(jì)算機(jī)機(jī)房必須提供環(huán)境保障，機(jī)房建設(shè)必須遵照相關(guān)的機(jī)房建設(shè)規(guī)范進(jìn)行。如中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)GB 50174《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》，必須提供：216。 穩(wěn)定的電源供給216。 可靠的空氣質(zhì)量控制（溫度，濕度，污染度）216。 防火，防水，防高溫，放雷b) 應(yīng)盡量減少對(duì)機(jī)房不必要的訪問(wèn)，在機(jī)房?jī)?nèi)工作必須遵守《機(jī)房安全管理規(guī)定》。c) 各計(jì)算機(jī)機(jī)房是重要的信息處理場(chǎng)所，必須嚴(yán)格執(zhí)行有關(guān)安全保密制度和規(guī)定，并防止重要信息的泄露，保證業(yè)務(wù)數(shù)據(jù)、信息、資料的準(zhǔn)確、安全可靠。d) 計(jì)算機(jī)機(jī)房應(yīng)列為公司重點(diǎn)防火部位，按照規(guī)定配備足夠數(shù)量的消防器材，并定期檢查更換。機(jī)房工作人員要熟悉機(jī)房消防用品的存放位置及使用方法，必須掌握防火設(shè)施的使用方法和步驟；要熟悉設(shè)備電源和照明用電以及其它