【正文】 保密等級(jí)內(nèi)控文檔名稱信息安全策略文檔編號(hào)ISMS/Sinosofth042008發(fā)布組織Sinosoft信息安全工作小組發(fā)布日期 2008年1月1日 執(zhí)行日期 2008年1月1日版 本 號(hào)信息安全策略批準(zhǔn)人簽字審核人簽字制訂人簽字　日期： 2008/1 /1　日期：2008/1 /1　日期：2008/1 /1南京擎天科技有限公司Nanjing Sinosoft Technology Co., Ltd.變更履歷序號(hào)版本編號(hào)或更改記錄編號(hào)變化 狀態(tài) *簡(jiǎn)要說(shuō)明(變更內(nèi)容、變更位置、變更原因和變更范圍)變更日期變更人審核人批準(zhǔn)人批準(zhǔn)日期1C創(chuàng)建，全頁(yè)。2008/ 1/1 許明星 茅建平 汪曉剛2008/1 /1 *變化狀態(tài)：C——?jiǎng)?chuàng)建，A——增加，M——修改，D——?jiǎng)h除目 錄1. 文檔介紹 5. 文檔目的 5. 文檔范圍 5. 參考信息 52. 術(shù)語(yǔ)和定義 6. 解釋 6. 詞語(yǔ)使用 73. Sinosoft信息系統(tǒng)安全策略 7. 策略下發(fā) 7. 策略維護(hù) 7. 策略評(píng)審 8. 適用范圍 84. Sinosoft信息系統(tǒng)安全組織 8. 內(nèi)部組織 8. 外部組織 95. Sinosoft資產(chǎn)管理 10. 資產(chǎn)責(zé)任 11. 信息分類 116. Sinosoft人員信息安全管理 11. 人員雇傭 12. 雇傭中 12. 人員信息安全管理原則 137. 物理和環(huán)境安全 14. 安全區(qū)域 14. 設(shè)備安全 158. Sinosoft通信和操作管理 21. 操作程序和責(zé)任 21. 第三方服務(wù)交付管理 23. 系統(tǒng)策劃與驗(yàn)收 25. 防范惡意和移動(dòng)代碼 27. 備份 28. 網(wǎng)絡(luò)安全管理 28. 介質(zhì)處理 29. 信息交換 31. 監(jiān)視和審計(jì) 339. Sinosoft信息系統(tǒng)訪問(wèn)控制 36. 訪問(wèn)控制的業(yè)務(wù)要求 36. 用戶訪問(wèn)管理 37. 用戶責(zé)任 40. 網(wǎng)絡(luò)訪問(wèn)控制 41. 操作系統(tǒng)訪問(wèn)控制 43. 應(yīng)用程序和信息訪問(wèn)控制 45. 移動(dòng)計(jì)算和遠(yuǎn)程工作 4610. 信息系統(tǒng)的獲取、開(kāi)發(fā)和維護(hù)安全 47. 信息系統(tǒng)的安全要求 47. 應(yīng)用系統(tǒng)的正確處理 47. 加密控制 47. 系統(tǒng)文件安全 48. 開(kāi)發(fā)和支持過(guò)程安全 49. 技術(shù)漏洞管理 4911. 信息安全事故處理 50. 報(bào)告信息安全事故和弱點(diǎn) 50. 信息安全事故管理和改進(jìn) 5012. 業(yè)務(wù)連續(xù)性管理 51. 業(yè)務(wù)連續(xù)性管理中的信息安全 5113. 符合性要求 53. 遵守法律法規(guī)的要求 53. 安全策略和技術(shù)一致性檢查 58. 信息系統(tǒng)審計(jì)考慮因素 5960 / 601. 文檔介紹. 文檔目的本文檔制定了Sinosoft的信息系統(tǒng)安全策略，作為Sinosoft信息安全的基本標(biāo)準(zhǔn)，是所有安全行為的指導(dǎo)方針，同時(shí)也是建立完整的安全管理體系最根本的基礎(chǔ)。信息安全策略是在Sinosoft信息安全現(xiàn)狀調(diào)研的基礎(chǔ)上，根據(jù)ISO27001的最佳實(shí)踐，結(jié)合Sinosoft現(xiàn)有規(guī)章制度制定而成的信息安全方針和策略文檔。本文檔遵守政府制定的相關(guān)法律、法規(guī)、政策和標(biāo)準(zhǔn)。本安全策略得到Sinosoft領(lǐng)導(dǎo)的認(rèn)可，并在Sinosoft內(nèi)強(qiáng)制實(shí)施。建立信息安全策略目的概括如下：167。 在Sinosoft內(nèi)部建立一套通用的、行之有效的安全機(jī)制；167。 在Sinosoft的員工中樹(shù)立起安全責(zé)任感；167。 在Sinosoft中增強(qiáng)信息資產(chǎn)可用性、完整性和保密性；167。 在Sinosoft中提高全體員工的信息安全意識(shí)和信息安全知識(shí)水平。. 文檔范圍本安全策略適用于Sinosoft全體員工。本安全策略由Sinosoft行政管理部負(fù)責(zé)解釋，自發(fā)布之日起執(zhí)行。. 參考信息167。 安全戰(zhàn)略和體系架構(gòu)設(shè)計(jì)167。 信息安全手冊(cè)167。 公司程序文件167。 公司管理辦法2. 術(shù)語(yǔ)和定義. 解釋信息安全是指保護(hù)信息資產(chǎn)免受多種安全威脅，保證業(yè)務(wù)連續(xù)性，將安全事件造成的損失降至最小，同時(shí)最大限度地獲得投資回報(bào)和商業(yè)機(jī)遇。可用性確保經(jīng)過(guò)授權(quán)的用戶在需要時(shí)可以訪問(wèn)信息并使用相關(guān)信息資產(chǎn)。保密性確保只有經(jīng)過(guò)授權(quán)的人才能訪問(wèn)信息。完整性保護(hù)信息和信息的處理方法準(zhǔn)確而完整。保密信息Sinosoft安全規(guī)章定義的密級(jí)信息。信息安全策略正確使用和管理IT信息資源并保護(hù)這些資源使得它們擁有更好的保密性、完整性、可用性的策略。風(fēng)險(xiǎn)評(píng)估評(píng)估信息安全漏洞對(duì)信息處理設(shè)備帶來(lái)的威脅和影響及其發(fā)生的可能性。風(fēng)險(xiǎn)管理以可以接受的成本，確認(rèn)、控制、排除可能影響信息系統(tǒng)的安全風(fēng)險(xiǎn)或?qū)⑵鋷?lái)的危害最小化的過(guò)程。計(jì)算機(jī)機(jī)房裝有計(jì)算機(jī)主機(jī)、服務(wù)器和相關(guān)設(shè)備的，除了安裝和維護(hù)的情況外，不允許人員在里邊工作的專用房間。員工在Sinosoft系統(tǒng)內(nèi)工作的正式員工、雇傭的臨時(shí)工作人員。用戶被授權(quán)能使用IT系統(tǒng)的人員。信息資產(chǎn)與信息系統(tǒng)相關(guān)聯(lián)的信息、信息的處理設(shè)備和服務(wù)。信息資產(chǎn)責(zé)任人是指對(duì)某項(xiàng)信息資產(chǎn)安全負(fù)責(zé)的人員。合作單位是指與Sinosoft有業(yè)務(wù)往來(lái)的單位，包括承包商、服務(wù)提供商、設(shè)備廠商、外包服務(wù)商、貿(mào)易伙伴等。第三方訪問(wèn)指非本單位的人員對(duì)信息系統(tǒng)的訪問(wèn)。安全事件利用信息系統(tǒng)的安全漏洞，對(duì)信息資產(chǎn)的保密性、完整性和可用性造成危害的事件。故障是指信息的處理、傳輸設(shè)備運(yùn)行出現(xiàn)意外障礙，以至影響信息系統(tǒng)正常運(yùn)轉(zhuǎn)的事件。安全審計(jì)通過(guò)將所選類型的事件記錄在服務(wù)器或工作站的安全日志中用來(lái)跟蹤用戶活動(dòng)的過(guò)程。超時(shí)設(shè)置用戶如果超過(guò)特定的時(shí)限沒(méi)有進(jìn)行動(dòng)作，就觸發(fā)其他事件（如斷開(kāi)連接、鎖定用戶等）。. 詞語(yǔ)使用必須表示強(qiáng)制性的要求。應(yīng)當(dāng)好的做法所要達(dá)到的要求，條件允許就要實(shí)施?？梢员硎鞠Ｍ_(dá)到的要求。3. Sinosoft信息系統(tǒng)安全策略目標(biāo)：為信息安全提供管理指導(dǎo)和支持，并與業(yè)務(wù)要求和相關(guān)的法律法規(guī)保持一致。. 策略下發(fā)第1條 本策略必須得到Sinosoft管理層批準(zhǔn)，并向Sinosoft所有員工和相關(guān)第三方公布傳達(dá)，全體人員必須履行相關(guān)的義務(wù)，享受相應(yīng)的權(quán)利，承擔(dān)相關(guān)的責(zé)任。. 策略維護(hù)本策略通過(guò)以下方式進(jìn)行文檔的維護(hù)工作：第2條 必須每年按照《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》進(jìn)行例行的風(fēng)險(xiǎn)評(píng)估，如遇以下情況必須及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估： 發(fā)生重大安全事故 組織或技術(shù)基礎(chǔ)結(jié)構(gòu)發(fā)生重大變更 安全管理小組認(rèn)為應(yīng)當(dāng)進(jìn)行風(fēng)險(xiǎn)評(píng)估的 其他應(yīng)當(dāng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估的情形第3條 風(fēng)險(xiǎn)評(píng)估之后根據(jù)需要進(jìn)行安全策略條目修訂，并在Sinosoft內(nèi)公布傳達(dá)。. 策略評(píng)審第4條 每年必須參照《信息安全管理評(píng)審程序》執(zhí)行公司管理評(píng)審。. 適用范圍第5條 適用范圍是指本策略使用和涵蓋的對(duì)象，包括Sinosoft現(xiàn)有的業(yè)務(wù)系統(tǒng)、硬件資產(chǎn)、軟件資產(chǎn)、信息、通用服務(wù)、物理安全區(qū)域等。對(duì)于即將投入使用和今后規(guī)劃的信息系統(tǒng)項(xiàng)目也必須參照本策略執(zhí)行。4. Sinosoft信息系統(tǒng)安全組織目標(biāo)：在Sinosoft組織內(nèi)部管理信息安全，保持可被外部組織訪問(wèn)、處理、溝通或管理的Sinosoft信息及信息處理設(shè)備的安全。. 內(nèi)部組織第6條 Sinosoft的管理層對(duì)信息安全承擔(dān)最終責(zé)任。管理者職責(zé)參見(jiàn)《信息安全委員會(huì)組織機(jī)構(gòu)》。第7條 Sinosoft的信息系統(tǒng)安全管理工作采取行政管理部統(tǒng)一管理方式，其他相關(guān)部門/單位配合執(zhí)行。Sinosoft的內(nèi)部信息安全組織為信息安全管理委員會(huì)，委員會(huì)的人員組成以及相關(guān)職責(zé)參見(jiàn)《信息安全委員會(huì)組織機(jī)構(gòu)》。第8條 Sinosoft各個(gè)部門之間必須緊密配合共同進(jìn)行信息安全系統(tǒng)的維護(hù)和建設(shè)。相關(guān)部門崗位的分工與責(zé)任參見(jiàn)《崗位說(shuō)明書(shū)》。第9條 任何新的信息系統(tǒng)處理設(shè)施必須經(jīng)過(guò)管理授權(quán)的過(guò)程。并更新至《信息資產(chǎn)識(shí)別表》。第10條 Sinosoft信息系統(tǒng)內(nèi)的每個(gè)重要的資產(chǎn)需要明確所有者、安全責(zé)任人、安全維護(hù)人員、使用人員。參見(jiàn)《信息資產(chǎn)識(shí)別表》 。 第11條 凡是涉及Sinosoft重要信息、機(jī)密信息（相關(guān)定義參見(jiàn)《保密管理規(guī)定》等信息的處理，相關(guān)的Sinosoft工作崗位員工以及第三方都必須簽署保密協(xié)議。第12條 應(yīng)當(dāng)與政府機(jī)構(gòu)保持必要的聯(lián)系共同協(xié)調(diào)信息安全相關(guān)問(wèn)題。這些部門包括執(zhí)法部門、消防部門、上級(jí)監(jiān)管部門、電信供應(yīng)商等提供公共服務(wù)的部門。第13條 應(yīng)當(dāng)與相關(guān)信息安全團(tuán)體保持聯(lián)系，以取得信息安全上必要的支持。這些團(tuán)體包括外部安全咨詢商、獨(dú)立的安全技術(shù)專家等。第14條 信息安全管理小組每年至少進(jìn)行一次信息安全風(fēng)險(xiǎn)評(píng)估工作（參照《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》，并對(duì)安全策略進(jìn)行復(fù)審。信息安全領(lǐng)導(dǎo)小組每年對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)果和安全策略的修改進(jìn)行審批。第15條 每年或者發(fā)生重大信息安全變化時(shí)必須參照《信息安全管理評(píng)審程序》執(zhí)行公司管理評(píng)審。. 外部組織第16條 第三方訪問(wèn)是指非Sinosoft人員對(duì)信息系統(tǒng)的的訪問(wèn)。第三方至少包含如下人員： l 硬件及軟件技術(shù)支持、維護(hù)人員；l 項(xiàng)目現(xiàn)場(chǎng)實(shí)施人員；l 外單位參觀人員；l 合作單位人員；l 客戶；l 清潔人員、送餐人員、快遞、保安以及其它外包的支持服務(wù)人員；第17條 第三方的訪問(wèn)類型包括物理訪問(wèn)和邏輯訪問(wèn)。l 物理訪問(wèn)：重點(diǎn)考慮安全要求較高區(qū)域的訪問(wèn)，包括計(jì)算機(jī)機(jī)房、重要辦公區(qū)域和存放重要物品區(qū)域等；l 邏輯訪問(wèn)：u 主機(jī)系統(tǒng)u 網(wǎng)絡(luò)系統(tǒng)u 數(shù)據(jù)庫(kù)系統(tǒng)u 應(yīng)用系統(tǒng)第18條 第三方訪問(wèn)需要進(jìn)行以下的風(fēng)險(xiǎn)評(píng)估后方可對(duì)訪問(wèn)進(jìn)行授權(quán)。l 被訪問(wèn)資產(chǎn)是否會(huì)損壞或者帶來(lái)安全隱患；l 客戶是否與Sinosoft有商業(yè)利益沖突；l 是否已經(jīng)完成了相關(guān)的權(quán)限設(shè)定，對(duì)訪問(wèn)加以控制；l 是否有過(guò)違反安全規(guī)定的記錄；l 是否與法律法規(guī)有沖突，是否會(huì)涉及知識(shí)產(chǎn)權(quán)糾紛；第19條 第三方進(jìn)行訪問(wèn)之前必須經(jīng)過(guò)被訪問(wèn)系統(tǒng)的安全責(zé)任人的審核批準(zhǔn)，包括物理訪問(wèn)的區(qū)域和邏輯訪問(wèn)的權(quán)限。（物理訪問(wèn)區(qū)域安全責(zé)任人按《物理訪問(wèn)控制管理規(guī)定》執(zhí)行。）第20條 對(duì)于第三方參與的項(xiàng)目，必須在合同中明確規(guī)定人員的安全責(zé)任，必要時(shí)應(yīng)當(dāng)簽署保密協(xié)議。第21條 第三方必須遵守Sinosoft的信息安全策略以及《參觀保密協(xié)議》，Sinosoft保留對(duì)第三方的工作進(jìn)行審核的權(quán)利。5. Sinosoft資產(chǎn)管理目標(biāo)：通過(guò)及時(shí)更新的信息資產(chǎn)目錄對(duì)Sinosoft信息資產(chǎn)進(jìn)行適當(dāng)?shù)谋Ｗo(hù)。. 資產(chǎn)責(zé)任第22條 所有Sinosoft的信息資產(chǎn)必須登記入冊(cè)，對(duì)于有形資產(chǎn)必須進(jìn)行標(biāo)識(shí)，同時(shí)資產(chǎn)信息應(yīng)當(dāng)及時(shí)更新。每項(xiàng)信息資產(chǎn)在登記入冊(cè)及更新時(shí)必須指定信息資產(chǎn)的安全責(zé)任人，信息資產(chǎn)的安全責(zé)任人必須負(fù)責(zé)該信息資產(chǎn)的安全。第23條 所有Sinosoft員工和第三方都必須遵守本策略中第65條至第102條關(guān)于信息設(shè)備安全管理的規(guī)定，以保護(hù)Sinosoft信息處理設(shè)備（包括移動(dòng)設(shè)備和在非公共地點(diǎn)使用的設(shè)備）的安全。. 信息分類第24條 必須明確確認(rèn)每項(xiàng)信息資產(chǎn)及其責(zé)任人和安全分類，信息資產(chǎn)包括業(yè)務(wù)系統(tǒng)、硬件資產(chǎn)、軟件資產(chǎn)、信息資產(chǎn)、物理設(shè)備和IT環(huán)境設(shè)施。（詳見(jiàn)《信息資產(chǎn)識(shí)別表》）。第25條 必須建立信息資產(chǎn)管理登記制度，至少詳細(xì)記錄信息資產(chǎn)的分類、名稱、用途、資產(chǎn)所有者、安全責(zé)任人、安全維護(hù)人員、使用人員、入庫(kù)時(shí)間、有效時(shí)限、報(bào)廢時(shí)間、借用及返還情況等，便于查找和使用。信息資產(chǎn)應(yīng)當(dāng)標(biāo)明適用范圍。第26條 應(yīng)當(dāng)在每個(gè)有形信息資產(chǎn)上進(jìn)行標(biāo)識(shí)。第27條 當(dāng)信息資產(chǎn)進(jìn)行拷貝、存儲(chǔ)、傳輸（如郵遞、傳真、電子郵件以及語(yǔ)音傳輸【包括電話、語(yǔ)音郵件、應(yīng)答機(jī)】等）或者銷毀等信息處理時(shí)，應(yīng)當(dāng)參照《保密管理規(guī)定》或者制定妥善的處理步驟并執(zhí)行。第28條 對(duì)重要的資料檔案要妥善保管，以防丟失泄密，其廢棄的打印紙及磁介質(zhì)等，應(yīng)按Sinosoft有關(guān)規(guī)定進(jìn)行處理。6. Sinosoft人員信息安全管理目標(biāo)：確保所有的員工、合同方和第三方用戶了解信息安全威脅和相關(guān)事宜、明確并履行信息安全責(zé)任和義務(wù)，并在日常工作中支持Sinosoft的信息安全方針，減少人為錯(cuò)誤的風(fēng)險(xiǎn)，減少盜竊、濫用或設(shè)施誤用的風(fēng)險(xiǎn)。. 人員雇傭第29條 Sinosoft員工必須了解相關(guān)的信息安全責(zé)任，必須遵守《崗位說(shuō)明書(shū)》。第30條 對(duì)第三方訪問(wèn)人員和臨時(shí)性員工，也必須遵守《參觀保密協(xié)議》。第31條 涉及重要信息系統(tǒng)管理的員工、合同方及第三方應(yīng)當(dāng)進(jìn)行相關(guān)技術(shù)背景調(diào)查和能力考評(píng)；第32條 涉及重要信息系統(tǒng)管理的員工、合同方及第三方應(yīng)在合同中明確其信息安全責(zé)任并簽署保