【正文】 系統(tǒng)安全組織目標：在組織內部管理信息安全，保持可被外部組織訪問、處理、溝通或管理的信息及信息處理設備的安全。2) 策略維護本策略通過以下方式進行文檔的維護工作：必須每年按照《風險評估管理程序》進行例行的風險評估，如遇以下情況必須及時進行風險評估：a) 發(fā)生重大安全事故b) 組織或技術基礎結構發(fā)生重大變更c) 安全管理小組認為應當進行風險評估的d) 其他應當進行安全風險評估的情形風險評估之后根據需要進行安全策略條目修訂，并在內公布傳達。凡是不注日期的引用文件，其最新版本適用于本標準。應當好的做法所要達到的要求，條件允許就要實施。故障是指信息的處理、傳輸設備運行出現(xiàn)意外障礙，以至影響信息系統(tǒng)正常運轉的事件。合作單位是指與有業(yè)務往來的單位，包括承包商、服務提供商、設備廠商、外包服務商、貿易伙伴等。員工在系統(tǒng)內工作的正式員工、雇傭的臨時工作人員。信息安全策略正確使用和管理IT信息資源并保護這些資源使得它們擁有更好的保密性、完整性、可用性的策略?？捎眯源_保經過授權的用戶在需要時可以訪問信息并使用相關信息資產。本安全策略得到領導的認可，并在公司內強制實施。 信息安全策略 目 錄1. 目的和范圍 42. 術語和定義 43. 引用文件 54. 職責和權限 65. 信息安全策略 6. 信息系統(tǒng)安全組織 6. 資產管理 8. 人員信息安全管理 9. 物理和環(huán)境安全 11. 通信和操作管理 13. 信息系統(tǒng)訪問控制 17. 信息系統(tǒng)的獲取、開發(fā)和維護安全 20. 信息安全事故處理 23. 業(yè)務連續(xù)性管理 24. 符合性要求 261 附件 271. 目的和范圍1) 本文檔制定了的信息系統(tǒng)安全策略，作為信息安全的基本標準，是所有安全行為的指導方針，同時也是建立完整的安全管理體系最根本的基礎。3) 建立信息安全策略的目的概括如下：a) 在內部建立一套通用的、行之有效的安全機制；b) 在的員工中樹立起安全責任感；c) 在中增強信息資產可用性、完整性和保密性；d) 在中提高全體員工的信息安全意識和信息安全知識水平。保密性確保只有經過授權的人才能訪問信息。風險評估評估信息安全漏洞對信息處理設備帶來的威脅和影響及其發(fā)生的可能性。用戶被授權能使用IT系統(tǒng)的人員。第三方訪問指非本單位的人員對信息系統(tǒng)的訪問。安全審計通過將所選類型的事件記錄在服務器或工作站的安全日志中用來跟蹤用戶活動的過程?？梢员硎鞠Ｍ_到的要求。1) ISO/IEC 27001:2005 信息技術安全技術信息安全管理體系要求2) ISO/IEC 17799:2005 信息技術安全技術信息安全管理實施細則4. 職責和權限信息安全管控委員會：負責對信息安全策略進行編寫、評審，監(jiān)督和檢查公司全體員工執(zhí)行情況。3) 策略評審每年必須參照《管理評審程序》執(zhí)行公司管理評審。1) 內部組織l 公司的管理層對信息安全承擔最終責任。l 各個部門之間必須緊密配合共同進行信息安全系統(tǒng)的維護和建設。l 信息系統(tǒng)內的每個重要的資產需要明確所有者、使用人員。這些部門包括執(zhí)法部門、消防部門、上級監(jiān)管部門、電信供應商等提供公共服務的部門。信息安全領導小組每年對風險評估結果和安全策略的修改進行審批。 硬件及軟件技術支持、維護人員；216。 客戶；216。 邏輯訪問：u 主機系統(tǒng)u 網絡系統(tǒng)u 數(shù)據庫系統(tǒng)u 應用系統(tǒng)c) 第三方訪問需要進行以下的風險評估后方可對訪問進行授權。 是否已經完成了相關的權限設定，對訪問加以控制；216。f) 第三方必須遵守的信息安全策略以及《第三方和外包管理規(guī)定》，留對第三方的工作進行審核的權利。b) 所有員工和第三方都必須遵守關于信息設備安全管理的規(guī)定，以保護信息處理設備（包括移動設備和在非公共地點使用的設備）的安全。信息資產應當標明適用范圍。e) 對重要的資料檔案要妥善保管，以防丟失泄密，其廢棄的打印紙及磁介質等，應按有關規(guī)定進行處理。c) 涉及重要信息系統(tǒng)管理的員工、合同方及第三方應當進行相關技術背景調查和能力考評；d) 涉及重要信息系統(tǒng)管理的員工、合同方及第三方應在合同中明確其信息安全責任并簽署保密協(xié)議；e) 重要崗位的人員在錄用時應做重要崗位背景調查。 相關獎懲辦法d) 應當按下列群體進行不同類型的信息安全培訓：216。 計算機信息系統(tǒng)使用單位的安全管理責任人；216。3) 人員信息安全管理原則a) 員工錄用時，人事部門或調入部門必須及時書面通知信息技術部門添加相關的口令、帳號及權限等并備案。調離人員必須移交全部資料和有關文檔，刪除自己的文件、帳號，檢查并歸還在借出的保密信息。e) 對第三方訪問人員和臨時性員工，也必須執(zhí)行相關規(guī)定。所有可以進出安全區(qū)域的門必須能防止未經授權的訪問，如使用控制裝置、柵欄、監(jiān)控和報警裝備、鎖等。g) 對安全區(qū)域的訪問必須進行記錄和控制，以確保只有經過授權的人員才可以訪問。l) 備份介質應當和主場地有一段的安全距離，要考慮信息設備面臨的可能的安全威脅，參考《業(yè)務連續(xù)性管理程序》的內容制定對應的業(yè)務連續(xù)性計劃，并要定期演練。p) 出入機房的設備必須填寫《機房設備出入登記表》。 穩(wěn)定的電源供給216。d) 計算機機房應列為公司重點防火部位，按照規(guī)定配備足夠數(shù)量的消防器材，并定期檢查更換。f) 應當按照設備維護要求的時間間隔和規(guī)范，對設備進行維護。對棄置的存儲有敏感信息的存儲設備，必須將其銷毀，或重寫數(shù)據，而不能只是使用標準的刪除功能進行數(shù)據刪除。k) 未經信息安全責任人授權，不允許將載有重要信息的設備、信息或軟件帶離工作場所。b) 必須建立并執(zhí)行信息處理設備和信息系統(tǒng)變更管理流程（具體參照《變更管理流程》），形成文檔備案。a) 應當確保第三方實施、運行并保持第三方服務交付協(xié)議中包括商定的安全布置、服務定義和交付等級。變更內容包括但不限于：216。 網絡環(huán)境或其它新技術的使用216。必須將驗收標準寫入到項目合同中。b) 系統(tǒng)內的服務器和個人計算機必須使用可信來源的軟件，應對軟件進行病毒檢測后統(tǒng)一保存。員工一旦發(fā)現(xiàn)或懷疑有PC或服務器被病毒感染,必須馬上斷開網絡并進行全盤掃描，必須立即通知技術部門。b) 所有員工要定期對個人電腦上的重要數(shù)據進行備份，以減少不必要的損失。b) 網絡管理員應當參照《訪問控制程序》對網絡和網絡服務進行充分的管理和控制，并采用網管工具對通訊線路、網絡設備、網絡流量進行實時的監(jiān)控和預警。不得將載有重要信息的存儲介質隨意存放，未經安全責任人授權，不得帶出辦公地點。d) 對需要長期保存的介質，必須在介質老化前進行轉儲，以防止因介質失效造成損失。a) 應當依據《信息資產鑒別和分類管理辦法》、《信息安全交流控制程序》，保護信息在發(fā)布、交換時的安全。d) 員工不得利用網絡對他人進行侮辱、誹謗、騷擾；不得侵害他人合法權益；不得侵犯他人的名譽權，肖像權、姓名權等人身權利；不得侵犯他人的商譽、商標、版權、專利、專有技術等各種知識產權。a) 公司制定《IT設備設施維護管理程序》、《信息安全技術檢查管理規(guī)定》對信息系統(tǒng)活動進行監(jiān)控。d) 可以在內網中配置日志服務器，專門收集主機、網絡設備、安全產品的日志，以避免日志被破壞或覆蓋。2) 用戶訪問管理目標：確保授權用