【正文】 用防火墻保護。 實施相應(yīng)的控制手段b) 對于來自外部的連接，使用VPN連接，使用基于口令的控制系統(tǒng)進行控制。4) 網(wǎng)絡(luò)訪問控制目標(biāo)：防止對網(wǎng)絡(luò)服務(wù)的未經(jīng)授權(quán)的訪問。b) 所有計算機應(yīng)當(dāng)啟用計算機的開機口令進行保護。如有特殊情況，必須事先得到信息安全部及安全責(zé)任人的批準(zhǔn)并備案。d) 技術(shù)人員在收到重置口令的申請時，必須驗證用戶的身份后方可提供一個臨時的代替口令。每個用戶應(yīng)當(dāng)在不同的信息系統(tǒng)上遵循統(tǒng)一的命名方式且使用相同的用戶帳號，統(tǒng)一的命名方式應(yīng)當(dāng)參考域（郵箱）帳號命名規(guī)則。. 信息系統(tǒng)訪問控制1) 訪問控制的業(yè)務(wù)要求目標(biāo)：控制對信息的訪問。審計至少包括用戶ID、系統(tǒng)日志、操作記錄等。f) 應(yīng)控制并記錄允許操作業(yè)務(wù)系統(tǒng)的用戶名單，未經(jīng)安全責(zé)任人授權(quán)，不得隨意變更訪問限制和共享信息。c) 敏感信息應(yīng)當(dāng)通過專用的線路傳輸。應(yīng)對的所有信息數(shù)據(jù)分類標(biāo)識，建立信息處置、存儲、分發(fā)的規(guī)程。對于備份或存放有重要信息或軟件的存儲介質(zhì)，在銷毀時，應(yīng)當(dāng)進行格式化或重寫數(shù)據(jù)，避免不必要的泄露。7) 介質(zhì)處理目標(biāo)：防止對資產(chǎn)的未授權(quán)泄露、修改、移動或損壞，及對業(yè)務(wù)活動的的干擾。6) 網(wǎng)絡(luò)安全管理目標(biāo)：確保網(wǎng)絡(luò)中的信息和支持性基礎(chǔ)設(shè)施得到保護。a) 管理員應(yīng)當(dāng)對重要的應(yīng)用系統(tǒng)、操作系統(tǒng)、配置文件及日志等制訂備份策略，并要定期對備份數(shù)據(jù)進行測試。d) 必須對所有的電子郵件附件進行病毒掃描，也不要隨意打開來歷不明的郵件附件。a) 所有服務(wù)器和個人計算機都必須激活防病毒軟件，必須及時更新防病毒代碼庫。 供應(yīng)商的變更3) 系統(tǒng)策劃與驗收目標(biāo)：最小化系統(tǒng)失效的風(fēng)險a) 應(yīng)為系統(tǒng)的性能和容量要求做預(yù)先的規(guī)劃和準(zhǔn)備，應(yīng)反映對未來容量需求的推測，以減少系統(tǒng)過載的風(fēng)險。 對現(xiàn)有應(yīng)用、系統(tǒng)、服務(wù)的更改或更新216。重要的第三方服務(wù)必須簽訂服務(wù)合同和第三方保密協(xié)議。d) 應(yīng)當(dāng)分離開發(fā)、測試與運營環(huán)境，敏感數(shù)據(jù)不可拷貝到測試環(huán)境中，測試完成后應(yīng)當(dāng)及時清理測試環(huán)境。. 通信和操作管理1) 操作程序和責(zé)任目標(biāo)：確保信息處理設(shè)施的正確和安全操作 a) 對于日常維護工作必須按照規(guī)定的系統(tǒng)操作流程進行，操作流程應(yīng)當(dāng)指明具體執(zhí)行每個作業(yè)的說明。i) 當(dāng)員工離開時，對于載有重要信息的紙張和可移動的存儲介質(zhì)，應(yīng)當(dāng)妥善保管。并且在對重要設(shè)備現(xiàn)場實施過程中必須有相關(guān)人員全程陪同，詳細(xì)規(guī)定參見《第三方和外包管理規(guī)定》。在遇到突發(fā)緊急情況時，必須以保護人身安全為首要目標(biāo)。 防火，防水，防高溫，放雷b) 應(yīng)盡量減少對機房不必要的訪問，在機房內(nèi)工作必須遵守《機房安全管理規(guī)定》。a) 計算機機房必須提供環(huán)境保障，機房建設(shè)必須遵照相關(guān)的機房建設(shè)規(guī)范進行。n) 除非經(jīng)過主管部門領(lǐng)導(dǎo)授權(quán)，在安全區(qū)域不允許使用圖象、視頻、音頻或其它記錄設(shè)備。h) 重要設(shè)備必須放在安全區(qū)域內(nèi)進行保護，禁止在公共辦公區(qū)域防止重要的信息處理設(shè)施；i) 應(yīng)當(dāng)控制外來人員對公共辦公區(qū)域的訪問，第三方訪問規(guī)定參見《第三方和外包管理規(guī)定》j) 關(guān)鍵和敏感設(shè)施應(yīng)當(dāng)存放在與公共辦公區(qū)域相對隔離的場地，并應(yīng)設(shè)計并實施保護。d) 應(yīng)按照地方、國內(nèi)和國際標(biāo)準(zhǔn)建立適當(dāng)?shù)娜肭謾z測體系，并定期檢測以覆蓋所有的外部門窗；要一直對空閑區(qū)域發(fā)出警報；其他區(qū)域要提供掩護方法，例如計算機室或通信室；e) 安全區(qū)域必須配備充足的安全設(shè)備，例如熱敏和煙氣探測器、火警系統(tǒng)、滅火設(shè)備，并對設(shè)備定期檢查。a) 必須明確劃分安全區(qū)域。d) 必須每半年進行用戶帳戶使用情況的評審，凡是半年及半年以上未使用的帳號經(jīng)相關(guān)部門確認(rèn)后刪除。人事部門或調(diào)入部門必須及時書面通知信息技術(shù)部門修改和刪除相關(guān)的口令、帳號及權(quán)限等。 其他從事計算機信息系統(tǒng)安全保護工作的人員；216。 需要遵守信息安全策略、規(guī)章制度和各項操作流程的第三方人員e) 信息安全培訓(xùn)必須至少每年舉行一次，讓不同部門的人員能受到適當(dāng)?shù)男畔踩嘤?xùn)。 信息安全策略216。1) 人員雇傭a) 員工必須了解相關(guān)的信息安全責(zé)任，必須遵守《職務(wù)說明書》。c) 應(yīng)當(dāng)在每個有形信息資產(chǎn)上進行標(biāo)識。（詳見《信息資產(chǎn)列表》）。1) 資產(chǎn)責(zé)任a) 所有的信息資產(chǎn)必須登記入冊，對于有形資產(chǎn)必須進行標(biāo)識，同時資產(chǎn)信息應(yīng)當(dāng)及時更新。 是否與法律法規(guī)有沖突，是否會涉及知識產(chǎn)權(quán)糾紛；d) 第三方進行訪問之前必須經(jīng)過被訪問系統(tǒng)的安全責(zé)任人的審核批準(zhǔn)，包括物理訪問的區(qū)域和邏輯訪問的權(quán)限。 被訪問資產(chǎn)是否會損壞或者帶來安全隱患；216。216。 外單位參觀人員；216。2) 外部組織a) 第三方訪問是指非人員對信息系統(tǒng)的訪問。這些團體包括外部安全咨詢商、獨立的安全技術(shù)專家等。l 凡是涉及重要信息、機密信息（相關(guān)定義參見《信息資產(chǎn)鑒別和分類管理辦法》等信息的處理，相關(guān)的工作崗位員工以及第三方都必須簽署保密協(xié)議。l 任何新的信息系統(tǒng)處理設(shè)施必須經(jīng)過管理授權(quán)的過程。l 公司的信息系統(tǒng)安全管理工作采取信息安全管控委員會統(tǒng)一管理方式，其他相關(guān)部門配合執(zhí)行。對于即將投入使用和今后規(guī)劃的信息系統(tǒng)項目也必須參照本策略執(zhí)行。1) 策略下發(fā)本策略必須得到管理層批準(zhǔn)，并向所有員工和相關(guān)第三方公布傳達(dá)，全體人員必須履行相關(guān)的義務(wù)，享受相應(yīng)的權(quán)利，承擔(dān)相關(guān)的責(zé)任。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵各部門研究是否可使用這些文件的最新版本。2) 詞語使用必須表示強制性的要求。安全事件利用信息系統(tǒng)的安全漏洞，對信息資產(chǎn)的保密性、完整性和可用性造成危害的事件。信息資產(chǎn)責(zé)任人是指對某項信息資產(chǎn)安全負(fù)責(zé)的人員。計算機機房裝有計算機主機、服務(wù)器和相關(guān)設(shè)備的，除了安裝和維護的情況外，不允許人員在里邊工作的專用房間。保密信息安全規(guī)章定義的密級信息。2. 術(shù)語和定義1) 解釋信息安全是指保護信息資產(chǎn)免受多種安全威脅，保證業(yè)務(wù)連續(xù)性，將安全事件造成的損失降至最小，同時最大限度地獲得投資回報和商業(yè)機遇。本文檔遵守政府制定的相關(guān)法律、法規(guī)、政策和標(biāo)準(zhǔn)。2) 信息安全策略是在信息安全現(xiàn)狀調(diào)研的基礎(chǔ)上，根據(jù)ISO27001的最佳實踐，結(jié)合現(xiàn)有規(guī)章制度制定而成的信息安全方針和策略文檔。本安全策略適用于公司全體員工，自發(fā)布之日起執(zhí)行。完整性保護信息和信息的處理方法準(zhǔn)確而完整。風(fēng)險管理以可以接受的成本，確認(rèn)、控制、排除可能影響信息系統(tǒng)的安全風(fēng)險或?qū)⑵鋷淼奈：ψ钚』倪^程。信息資產(chǎn)與信息系統(tǒng)相關(guān)聯(lián)的信息、信息的處理設(shè)備和服務(wù)。IT外包服務(wù)是指企業(yè)戰(zhàn)略性選擇外部專業(yè)技術(shù)和服務(wù)資源，以替代內(nèi)部部門和人員來承擔(dān)企業(yè)IT系統(tǒng)或系統(tǒng)之上的業(yè)務(wù)流程的運營、維護和支持的IT服務(wù)。超時設(shè)置用戶如果超過特定的時限沒有進行動作，就觸發(fā)其他事件（如斷開連接、鎖定用戶等）。3. 引用文件 下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。5. 信息安全策略目標(biāo)：為信息安全提供管理指導(dǎo)和支持，并與業(yè)務(wù)要求和相關(guān)的法律法規(guī)保持一致。4) 適用范圍 適用范圍是指本策略使用和涵蓋的對象，包括現(xiàn)有的業(yè)務(wù)系統(tǒng)、硬件資產(chǎn)、 軟件資產(chǎn)、信息、通用服務(wù)、物理安全區(qū)域等。管理者職責(zé)參見《信息安全管理手冊》。相關(guān)部門崗位的分工與責(zé)任參見《信息安全管理手冊》。參見《信息資產(chǎn)列表》 。l 應(yīng)當(dāng)與相關(guān)信息安全團體保持聯(lián)系，以取得信息安全上必要的支持。l 每年或者發(fā)生重大信息安全變化時必須參照《內(nèi)部審核管理程序》執(zhí)行公司內(nèi)部審核。 項目現(xiàn)場實施人員；216。 清潔人員、送餐人員、快遞、保安以及其它外包的支持服務(wù)人員；b) 第三方的訪問類型包括物理訪問和邏輯訪問。216。 是否有過違反安全規(guī)定的記錄；216。. 資產(chǎn)管理目標(biāo)：通過及時更新的信息資產(chǎn)目錄對信息資產(chǎn)進行適當(dāng)?shù)?