【正文】 系統(tǒng)安全組織目標(biāo)：在組織內(nèi)部管理信息安全，保持可被外部組織訪問、處理、溝通或管理的信息及信息處理設(shè)備的安全。2) 策略維護(hù)本策略通過以下方式進(jìn)行文檔的維護(hù)工作：必須每年按照《風(fēng)險(xiǎn)評(píng)估管理程序》進(jìn)行例行的風(fēng)險(xiǎn)評(píng)估，如遇以下情況必須及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估：a) 發(fā)生重大安全事故b) 組織或技術(shù)基礎(chǔ)結(jié)構(gòu)發(fā)生重大變更c(diǎn)) 安全管理小組認(rèn)為應(yīng)當(dāng)進(jìn)行風(fēng)險(xiǎn)評(píng)估的d) 其他應(yīng)當(dāng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估的情形風(fēng)險(xiǎn)評(píng)估之后根據(jù)需要進(jìn)行安全策略條目修訂，并在內(nèi)公布傳達(dá)。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。應(yīng)當(dāng)好的做法所要達(dá)到的要求，條件允許就要實(shí)施。故障是指信息的處理、傳輸設(shè)備運(yùn)行出現(xiàn)意外障礙，以至影響信息系統(tǒng)正常運(yùn)轉(zhuǎn)的事件。合作單位是指與有業(yè)務(wù)往來的單位，包括承包商、服務(wù)提供商、設(shè)備廠商、外包服務(wù)商、貿(mào)易伙伴等。員工在系統(tǒng)內(nèi)工作的正式員工、雇傭的臨時(shí)工作人員。信息安全策略正確使用和管理IT信息資源并保護(hù)這些資源使得它們擁有更好的保密性、完整性、可用性的策略?？捎眯源_保經(jīng)過授權(quán)的用戶在需要時(shí)可以訪問信息并使用相關(guān)信息資產(chǎn)。本安全策略得到領(lǐng)導(dǎo)的認(rèn)可，并在公司內(nèi)強(qiáng)制實(shí)施。 信息安全策略 目 錄1. 目的和范圍 42. 術(shù)語和定義 43. 引用文件 54. 職責(zé)和權(quán)限 65. 信息安全策略 6. 信息系統(tǒng)安全組織 6. 資產(chǎn)管理 8. 人員信息安全管理 9. 物理和環(huán)境安全 11. 通信和操作管理 13. 信息系統(tǒng)訪問控制 17. 信息系統(tǒng)的獲取、開發(fā)和維護(hù)安全 20. 信息安全事故處理 23. 業(yè)務(wù)連續(xù)性管理 24. 符合性要求 261 附件 271. 目的和范圍1) 本文檔制定了的信息系統(tǒng)安全策略，作為信息安全的基本標(biāo)準(zhǔn)，是所有安全行為的指導(dǎo)方針，同時(shí)也是建立完整的安全管理體系最根本的基礎(chǔ)。3) 建立信息安全策略的目的概括如下：a) 在內(nèi)部建立一套通用的、行之有效的安全機(jī)制；b) 在的員工中樹立起安全責(zé)任感；c) 在中增強(qiáng)信息資產(chǎn)可用性、完整性和保密性；d) 在中提高全體員工的信息安全意識(shí)和信息安全知識(shí)水平。保密性確保只有經(jīng)過授權(quán)的人才能訪問信息。風(fēng)險(xiǎn)評(píng)估評(píng)估信息安全漏洞對(duì)信息處理設(shè)備帶來的威脅和影響及其發(fā)生的可能性。用戶被授權(quán)能使用IT系統(tǒng)的人員。第三方訪問指非本單位的人員對(duì)信息系統(tǒng)的訪問。安全審計(jì)通過將所選類型的事件記錄在服務(wù)器或工作站的安全日志中用來跟蹤用戶活動(dòng)的過程?？梢员硎鞠Ｍ_(dá)到的要求。1) ISO/IEC 27001:2005 信息技術(shù)安全技術(shù)信息安全管理體系要求2) ISO/IEC 17799:2005 信息技術(shù)安全技術(shù)信息安全管理實(shí)施細(xì)則4. 職責(zé)和權(quán)限信息安全管控委員會(huì)：負(fù)責(zé)對(duì)信息安全策略進(jìn)行編寫、評(píng)審，監(jiān)督和檢查公司全體員工執(zhí)行情況。3) 策略評(píng)審每年必須參照《管理評(píng)審程序》執(zhí)行公司管理評(píng)審。1) 內(nèi)部組織l 公司的管理層對(duì)信息安全承擔(dān)最終責(zé)任。l 各個(gè)部門之間必須緊密配合共同進(jìn)行信息安全系統(tǒng)的維護(hù)和建設(shè)。l 信息系統(tǒng)內(nèi)的每個(gè)重要的資產(chǎn)需要明確所有者、使用人員。這些部門包括執(zhí)法部門、消防部門、上級(jí)監(jiān)管部門、電信供應(yīng)商等提供公共服務(wù)的部門。信息安全領(lǐng)導(dǎo)小組每年對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)果和安全策略的修改進(jìn)行審批。 硬件及軟件技術(shù)支持、維護(hù)人員；216。 客戶；216。 邏輯訪問：u 主機(jī)系統(tǒng)u 網(wǎng)絡(luò)系統(tǒng)u 數(shù)據(jù)庫系統(tǒng)u 應(yīng)用系統(tǒng)c) 第三方訪問需要進(jìn)行以下的風(fēng)險(xiǎn)評(píng)估后方可對(duì)訪問進(jìn)行授權(quán)。 是否已經(jīng)完成了相關(guān)的權(quán)限設(shè)定，對(duì)訪問加以控制；216。f) 第三方必須遵守的信息安全策略以及《第三方和外包管理規(guī)定》，留對(duì)第三方的工作進(jìn)行審核的權(quán)利。b) 所有員工和第三方都必須遵守關(guān)于信息設(shè)備安全管理的規(guī)定，以保護(hù)信息處理設(shè)備（包括移動(dòng)設(shè)備和在非公共地點(diǎn)使用的設(shè)備）的安全。信息資產(chǎn)應(yīng)當(dāng)標(biāo)明適用范圍。e) 對(duì)重要的資料檔案要妥善保管，以防丟失泄密，其廢棄的打印紙及磁介質(zhì)等，應(yīng)按有關(guān)規(guī)定進(jìn)行處理。c) 涉及重要信息系統(tǒng)管理的員工、合同方及第三方應(yīng)當(dāng)進(jìn)行相關(guān)技術(shù)背景調(diào)查和能力考評(píng)；d) 涉及重要信息系統(tǒng)管理的員工、合同方及第三方應(yīng)在合同中明確其信息安全責(zé)任并簽署保密協(xié)議；e) 重要崗位的人員在錄用時(shí)應(yīng)做重要崗位背景調(diào)查。 相關(guān)獎(jiǎng)懲辦法d) 應(yīng)當(dāng)按下列群體進(jìn)行不同類型的信息安全培訓(xùn)：216。 計(jì)算機(jī)信息系統(tǒng)使用單位的安全管理責(zé)任人；216。3) 人員信息安全管理原則a) 員工錄用時(shí)，人事部門或調(diào)入部門必須及時(shí)書面通知信息技術(shù)部門添加相關(guān)的口令、帳號(hào)及權(quán)限等并備案。調(diào)離人員必須移交全部資料和有關(guān)文檔，刪除自己的文件、帳號(hào)，檢查并歸還在借出的保密信息。e) 對(duì)第三方訪問人員和臨時(shí)性員工，也必須執(zhí)行相關(guān)規(guī)定。所有可以進(jìn)出安全區(qū)域的門必須能防止未經(jīng)授權(quán)的訪問，如使用控制裝置、柵欄、監(jiān)控和報(bào)警裝備、鎖等。g) 對(duì)安全區(qū)域的訪問必須進(jìn)行記錄和控制，以確保只有經(jīng)過授權(quán)的人員才可以訪問。l) 備份介質(zhì)應(yīng)當(dāng)和主場(chǎng)地有一段的安全距離，要考慮信息設(shè)備面臨的可能的安全威脅，參考《業(yè)務(wù)連續(xù)性管理程序》的內(nèi)容制定對(duì)應(yīng)的業(yè)務(wù)連續(xù)性計(jì)劃，并要定期演練。p) 出入機(jī)房的設(shè)備必須填寫《機(jī)房設(shè)備出入登記表》。 穩(wěn)定的電源供給216。d) 計(jì)算機(jī)機(jī)房應(yīng)列為公司重點(diǎn)防火部位，按照規(guī)定配備足夠數(shù)量的消防器材，并定期檢查更換。f) 應(yīng)當(dāng)按照設(shè)備維護(hù)要求的時(shí)間間隔和規(guī)范，對(duì)設(shè)備進(jìn)行維護(hù)。對(duì)棄置的存儲(chǔ)有敏感信息的存儲(chǔ)設(shè)備，必須將其銷毀，或重寫數(shù)據(jù)，而不能只是使用標(biāo)準(zhǔn)的刪除功能進(jìn)行數(shù)據(jù)刪除。k) 未經(jīng)信息安全責(zé)任人授權(quán)，不允許將載有重要信息的設(shè)備、信息或軟件帶離工作場(chǎng)所。b) 必須建立并執(zhí)行信息處理設(shè)備和信息系統(tǒng)變更管理流程（具體參照《變更管理流程》），形成文檔備案。a) 應(yīng)當(dāng)確保第三方實(shí)施、運(yùn)行并保持第三方服務(wù)交付協(xié)議中包括商定的安全布置、服務(wù)定義和交付等級(jí)。變更內(nèi)容包括但不限于：216。 網(wǎng)絡(luò)環(huán)境或其它新技術(shù)的使用216。必須將驗(yàn)收標(biāo)準(zhǔn)寫入到項(xiàng)目合同中。b) 系統(tǒng)內(nèi)的服務(wù)器和個(gè)人計(jì)算機(jī)必須使用可信來源的軟件，應(yīng)對(duì)軟件進(jìn)行病毒檢測(cè)后統(tǒng)一保存。員工一旦發(fā)現(xiàn)或懷疑有PC或服務(wù)器被病毒感染,必須馬上斷開網(wǎng)絡(luò)并進(jìn)行全盤掃描，必須立即通知技術(shù)部門。b) 所有員工要定期對(duì)個(gè)人電腦上的重要數(shù)據(jù)進(jìn)行備份，以減少不必要的損失。b) 網(wǎng)絡(luò)管理員應(yīng)當(dāng)參照《訪問控制程序》對(duì)網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)進(jìn)行充分的管理和控制，并采用網(wǎng)管工具對(duì)通訊線路、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)的監(jiān)控和預(yù)警。不得將載有重要信息的存儲(chǔ)介質(zhì)隨意存放，未經(jīng)安全責(zé)任人授權(quán)，不得帶出辦公地點(diǎn)。d) 對(duì)需要長期保存的介質(zhì)，必須在介質(zhì)老化前進(jìn)行轉(zhuǎn)儲(chǔ)，以防止因介質(zhì)失效造成損失。a) 應(yīng)當(dāng)依據(jù)《信息資產(chǎn)鑒別和分類管理辦法》、《信息安全交流控制程序》，保護(hù)信息在發(fā)布、交換時(shí)的安全。d) 員工不得利用網(wǎng)絡(luò)對(duì)他人進(jìn)行侮辱、誹謗、騷擾；不得侵害他人合法權(quán)益；不得侵犯他人的名譽(yù)權(quán)，肖像權(quán)、姓名權(quán)等人身權(quán)利；不得侵犯他人的商譽(yù)、商標(biāo)、版權(quán)、專利、專有技術(shù)等各種知識(shí)產(chǎn)權(quán)。a) 公司制定《IT設(shè)備設(shè)施維護(hù)管理程序》、《信息安全技術(shù)檢查管理規(guī)定》對(duì)信息系統(tǒng)活動(dòng)進(jìn)行監(jiān)控。d) 可以在內(nèi)網(wǎng)中配置日志服務(wù)器，專門收集主機(jī)、網(wǎng)絡(luò)設(shè)備、安全產(chǎn)品的日志，以避免日志被破壞或覆蓋。2) 用戶訪問管理目標(biāo)：確保授權(quán)用