【正文】 應(yīng)該維護(hù)演練的完整記錄，采取適當(dāng)?shù)拇胧┙鉀Q遇到的問題并改進(jìn)現(xiàn)有的流程。 業(yè)務(wù)連續(xù)性及風(fēng)險(xiǎn)評估第316條 業(yè)務(wù)影響分析應(yīng)該在風(fēng)險(xiǎn)評估的基礎(chǔ)上進(jìn)行。第310條 必須從已發(fā)生的事件和故障中總結(jié)經(jīng)驗(yàn)，分析造成事件的根本原因，增強(qiáng)安全控制管理，避免問題的再次發(fā)生。第304條 應(yīng)該制定安全漏洞的分類、識別方法及建立相關(guān)的報(bào)告程序，以便安全漏洞得到及時(shí)的報(bào)告和處理。如果可能的話，還應(yīng)采取適當(dāng)?shù)拇胧﹣肀O(jiān)控并保護(hù)這些重要信息。定義公司員工在漏洞管理流程中的角色和職責(zé)。如果需要修改商業(yè)軟件，必須評估下列影響：1)軟件功能和內(nèi)部的控制措施是否會(huì)受到破壞2)是否會(huì)導(dǎo)致廠家的升級包不能使用3)原廠商對修改過的軟件是否不提供維護(hù)支持第286條 在進(jìn)行任何修改之前，必須得到廠家的允許，以保證不侵犯其知識產(chǎn)權(quán)。第280條 變更的部署必須盡量減少對業(yè)務(wù)正常運(yùn)行的影響。程序源代碼的訪問必須做好相關(guān)記錄。 測試數(shù)據(jù)的保護(hù)第270條 測試系統(tǒng)應(yīng)該參照生產(chǎn)系統(tǒng)的訪問控制規(guī)則進(jìn)行訪問控制。第263條 數(shù)字簽名的使用必須符合國家電子簽名法的相關(guān)規(guī)定。第257條 輸出的數(shù)據(jù)應(yīng)該含有相關(guān)標(biāo)志，以便判斷數(shù)據(jù)的狀態(tài)（例如是否準(zhǔn)確、是否完整等）。 應(yīng)用系統(tǒng)中的安全 數(shù)據(jù)輸入的驗(yàn)證第249條 所有接受數(shù)據(jù)輸入的入口必須有相應(yīng)的驗(yàn)證處理，包括但不限于：1)數(shù)據(jù)的長度2)數(shù)據(jù)的類型3)數(shù)據(jù)的范圍4)字符的限制第250條 根據(jù)業(yè)務(wù)需要，對于按照紙面信息輸入的數(shù)據(jù)，系統(tǒng)應(yīng)該提供“數(shù)據(jù)在輸入被確認(rèn)”之后才能提交的功能。第245條 應(yīng)該在開發(fā)的整個(gè)周期對安全需求實(shí)施的正確性進(jìn)行階段性檢查，以確保其對應(yīng)的安全措施按照要求被定義、設(shè)計(jì)、部署和測試。第238條 移動(dòng)設(shè)備用戶必須做好防病毒工作。 終端超時(shí)終止第231條 連接到服務(wù)器的所有終端，在30分鐘內(nèi)沒有活動(dòng)，都應(yīng)該被終止連接。第227條 密碼文件應(yīng)該與應(yīng)用系統(tǒng)數(shù)據(jù)分開存儲(chǔ)。第222條 用戶認(rèn)證失敗信息中，應(yīng)該不顯示具體的失敗原因。第217條 所有接入公司網(wǎng)絡(luò)的主機(jī)必須經(jīng)過公司的標(biāo)準(zhǔn)化安裝。 網(wǎng)絡(luò)的劃分第210條 必須將網(wǎng)絡(luò)劃分為不同的區(qū)域，以提供不同級別的安全保護(hù)，滿足不同服務(wù)的安全需求。第204條 與外部合作伙伴進(jìn)行信息交換，應(yīng)該使用專線進(jìn)行連接。第196條 打印完敏感信息之后，必須確認(rèn)信息已從打印隊(duì)列中清除。此8個(gè)字符必須包含數(shù)字和字母。 用戶的責(zé)任 密碼的使用第187條 用戶必須對其帳號的安全和使用負(fù)責(zé)，無論在何種情況下，用戶都不應(yīng)該泄漏其密碼。第181條 系統(tǒng)必須啟用登錄失敗的限制功能，如果連續(xù)10次登錄失敗，系統(tǒng)應(yīng)該自動(dòng)鎖定相關(guān)帳號。第173條 帳號名不能透露用戶的權(quán)限信息，比如管理員帳號不能帶有Admin字樣。 用戶訪問管理 用戶注冊第169條 開放給用戶訪問的信息系統(tǒng)，必須建立正式的用戶注冊和注銷程序。10 訪問控制方面 訪問控制要求 訪問控制管理辦法第165條 所有系統(tǒng)和應(yīng)用都必須有訪問控制列表，由系統(tǒng)管理者明確定義訪問控制規(guī)則、用戶和用戶組的權(quán)限以及訪問控制機(jī)制。對于重要的財(cái)務(wù)系統(tǒng)和業(yè)務(wù)系統(tǒng)每天都要復(fù)查。第153條 應(yīng)每天定時(shí)監(jiān)控網(wǎng)絡(luò)（包括網(wǎng)絡(luò)性能和網(wǎng)絡(luò)故障），并根據(jù)產(chǎn)生的報(bào)告，對異常變化的網(wǎng)絡(luò)流量，作進(jìn)一步分析，以發(fā)現(xiàn)潛在的網(wǎng)絡(luò)安全問題。必須對敏感信息的處理和存儲(chǔ)過程進(jìn)行保護(hù)。交易中必須使用加密技術(shù)對所有通信內(nèi)容加密。第137條 電子商務(wù)的交易必須制定相關(guān)的交易聲明，以明確注意事項(xiàng)和相關(guān)責(zé)任。第134條 員工使用公司的郵件系統(tǒng)時(shí)只能進(jìn)行與業(yè)務(wù)相關(guān)的活動(dòng)。應(yīng)確保敏感信息的機(jī)密性、完整性和可用性在傳輸全程中受到保護(hù)。第123條 使用加密技術(shù)保護(hù)信息的保密性、完整性和真實(shí)性。 信息處理程序第117條 介質(zhì)的信息分類，必須采用存放信息中的最高保密等級。第110條 必須建立和維護(hù)介質(zhì)清單，并對介質(zhì)的借用和歸還進(jìn)行記錄。第107條 必須對網(wǎng)絡(luò)進(jìn)行監(jiān)控和管理。備份系統(tǒng)必須進(jìn)行監(jiān)控，以確保其穩(wěn)定性和可用性。第101條 備份管理辦法必須獲得管理層的審批以確保符合業(yè)務(wù)需求。員工和第三方廠商從外界帶來的存儲(chǔ)介質(zhì)在使用之前必須進(jìn)行病毒掃描。第三方提供的服務(wù)必須滿足公司業(yè)務(wù)連續(xù)性的要求。不得在生產(chǎn)系統(tǒng)上擅自安裝開發(fā)工具（比如編譯程序及其他系統(tǒng)公用程序等），并做好已有開發(fā)工具的訪問控制。 職責(zé)分離第86條 系統(tǒng)管理員和系統(tǒng)開發(fā)人員的職責(zé)必須明確分開。對變更需要涉及的硬件、軟件和信息等對象都應(yīng)標(biāo)識出來并進(jìn)行相應(yīng)評估。設(shè)備擁有者必須對設(shè)備在公司場所外的安全負(fù)責(zé)。所有生產(chǎn)設(shè)備必須定期進(jìn)行預(yù)防性維護(hù)。必須設(shè)置后備電源，例如不間斷電源（UPS）或發(fā)電機(jī)。放置設(shè)備的區(qū)域必須滿足廠商提供的設(shè)備環(huán)境要求。機(jī)房內(nèi)嚴(yán)禁吸煙、飲食和拍攝。必須定期檢查訪問權(quán)限的分配并及時(shí)更新。5) 必須在明顯位置張貼火災(zāi)逃生路線圖、滅火設(shè)備平面放置圖以及安全出口的位置。第64條 機(jī)房必須增加額外的物理控制，選取的場地應(yīng)盡量安全，并盡可能避免受到災(zāi)害的影響。同時(shí)，必須有相應(yīng)的程序以確?；厥账l(fā)放的來賓通行證。任何時(shí)候，公司內(nèi)必須至少有一位保安值班。 刪除訪問權(quán)限第52條 在終止或變更雇傭、合同、協(xié)議時(shí)，必須刪除所有員工及第三方人員對信息和信息系統(tǒng)的訪問權(quán)限，或根據(jù)變更進(jìn)行相應(yīng)的調(diào)整。員工和第三方人員在開始工作后90天內(nèi)，必須進(jìn)行技術(shù)和安全方面的培訓(xùn)。以電子形式保存的信息或管理信息資產(chǎn)的系統(tǒng)，需根據(jù)信息的敏感度進(jìn)行標(biāo)識。 資產(chǎn)的合理使用第36條 必須識別信息和信息系統(tǒng)的使用準(zhǔn)則，形成文件并實(shí)施。在購買新資產(chǎn)之前必須進(jìn)行安全評估。采取相應(yīng)的保護(hù)措施保護(hù)客戶訪問的信息或信息系統(tǒng)。第23條 獨(dú)立的信息安全審核必須每年至少進(jìn)行一次。（九）負(fù)責(zé)各類安全策略的日常維護(hù)和管理。第13條 安全管理委員會(huì)通過清晰的方向、可見的承諾、詳細(xì)的分工，積極地支持信息安全工作，主要包括以下幾方面：1)確定信息安全的目標(biāo)符合公司的要求和相關(guān)制度；2)闡明、復(fù)查和批準(zhǔn)信息安全管理制度；3)復(fù)查信息安全管理制度執(zhí)行的有效性；4)為信息安全的執(zhí)行提供明確的指導(dǎo)和有效的支持；5)提供信息安全體系運(yùn)作所需要的資源6)為信息安全在公司執(zhí)行定義明確的角色和職責(zé)；7)批準(zhǔn)信息安全推廣和培訓(xùn)的計(jì)劃和程序；8)確保信息安全控制措施在公司內(nèi)被有效的執(zhí)行。第6條 各部門的領(lǐng)導(dǎo)有責(zé)任確保其部門的員工了解本安全管理制度、相關(guān)的標(biāo)準(zhǔn)和程序以及日常的信息安全管理。例如，在電子商務(wù)中可以使用它驗(yàn)證誰簽署電子文檔，并檢查已簽署文檔的內(nèi)容是否被更改。環(huán)境容量包括電力供應(yīng)、濕度、溫度、空氣質(zhì)量等。信息風(fēng)險(xiǎn)評估相關(guān)制度信息安全管理相關(guān)制度1 總則第1條 為規(guī)范信息安全管理工作，加強(qiáng)過程管理和基礎(chǔ)設(shè)施管理的風(fēng)險(xiǎn)分析及防范，建立安全責(zé)任制，健全安全內(nèi)控制度，保證信息系統(tǒng)的機(jī)密性、完整性、可用性，特制定本規(guī)定。安全制度：與信息安全相關(guān)的制度文檔，包括安全管理辦法、標(biāo)準(zhǔn)、指引和程序等。信息處理設(shè)備：泛指處理信息的所有設(shè)備和信息系統(tǒng)，包括網(wǎng)絡(luò)、服務(wù)器、個(gè)人電腦和筆記本電腦等。第7條 安全管理代表（或其指派的人員）將審核各部門安全控制措施實(shí)施的準(zhǔn)確性和完整性，此過程是公司例行內(nèi)部審計(jì)的一部分。第14條 安全管理委員會(huì)需要對內(nèi)部或外部信息安全專家的建議進(jìn)行評估，并檢查和調(diào)整建議在公司內(nèi)執(zhí)行的結(jié)果。 信息處理設(shè)備的授權(quán)第19條 新設(shè)備的采購和設(shè)備部署的審批流程應(yīng)該充分考慮信息安全的要求。 第三方訪問的安全性 明確第三方訪問的風(fēng)險(xiǎn)第24條 必須對第三方對公司信息或信息系統(tǒng)的訪問進(jìn)行風(fēng)險(xiǎn)評估，并進(jìn)行嚴(yán)格控制，相關(guān)控制須考慮物理上和邏輯上訪問的安全風(fēng)險(xiǎn)。 與第三方簽訂合約的安全要求第30條 與第三方合約中應(yīng)包含必要的安全要求，如：訪問、處理、管理公司信息或信息系統(tǒng)的安全要求。資產(chǎn)交付后，資產(chǎn)清單必須更新。使用準(zhǔn)則應(yīng)包括：1)使用范圍2)角色和權(quán)限3)使用者應(yīng)負(fù)的責(zé)任4)與其他系統(tǒng)交互的要求第37條 所有訪問信息或信息系統(tǒng)的員工、第三方必須清楚要訪問資源的使用準(zhǔn)則，并承擔(dān)他們的責(zé)任。含有不同分類信息的系統(tǒng)，必須按照其中的最高保密等級進(jìn)行分類。第47條 災(zāi)難恢復(fù)演習(xí)應(yīng)至少每年舉行一次。所有刪除和調(diào)整操作必須在最后上班日之前完成。保安值班表應(yīng)最少每月調(diào)整一次。來賓進(jìn)出登記表必須至少保留1年，記錄內(nèi)容應(yīng)包括但不限于：1)來賓姓名2)來賓身份3)來賓工作單位4)來訪事由5)負(fù)責(zé)接待的員工6)來賓通行證號碼7)進(jìn)入的日期和時(shí)間8)離開的日期和時(shí)間 辦公場所和設(shè)施安全第61條 放置敏感或重要設(shè)備的區(qū)域（例如機(jī)房）應(yīng)盡量不引人注目，給外面的信息應(yīng)盡量最少，不應(yīng)該有明顯的標(biāo)志指明敏感區(qū)域的所在位置和用途。機(jī)房必須有防火、防潮、防塵、防盜、防磁、防鼠等設(shè)施。6) 安全出口必須有明顯標(biāo)識。機(jī)房的訪問權(quán)限應(yīng)不同于進(jìn)入大樓其它區(qū)域的權(quán)限。 機(jī)房操作日志第70條 必須記錄機(jī)房管理員的操作行為，以便其行為可以追蹤。設(shè)備的操作必須遵守廠商提供的操作規(guī)范。對需要配備后備電源的設(shè)備裝置進(jìn)行審核，確保后備電源能夠滿足這些設(shè)備的正常工作。只有經(jīng)過批準(zhǔn)的、受過專業(yè)培訓(xùn)的工作人員才能進(jìn)行維護(hù)工作。 設(shè)備的安全處理或再利用第79條 再利用或報(bào)廢之前，設(shè)備所含有的所有存儲(chǔ)裝置（比如硬盤等）都必須通過嚴(yán)格檢查，確保所有敏感數(shù)據(jù)和軟件已被刪除或改寫，并且不可能被恢復(fù)。變更在實(shí)施前必須通知到相關(guān)人員。同一處理過程中的重要任務(wù)不應(yīng)該由同一個(gè)人來完成，以防止欺詐和誤操作的發(fā)生。開發(fā)和測試環(huán)境使用的測試數(shù)據(jù)不能包含有敏感信息。第94條 必須保留第三方提供的服務(wù)、報(bào)告和記錄并定期評審，至少每半年一次。第97條 所有員工都應(yīng)該接受防病毒知識的培訓(xùn)和指導(dǎo)。備份管理辦法必須至少每季度進(jìn)行一次復(fù)查，以確保沒有發(fā)生未授權(quán)或意外的更改。 網(wǎng)絡(luò)管理 網(wǎng)絡(luò)控制第104條 網(wǎng)絡(luò)管理和操作系統(tǒng)管理的職責(zé)應(yīng)該彼此分離，并由不同的員工承擔(dān)。所有網(wǎng)絡(luò)故障都必須向上級報(bào)告。應(yīng)確保備有足夠的存儲(chǔ)介質(zhì)，以備使用。第118條 應(yīng)根據(jù)介質(zhì)中信息的分類級別，采取相應(yīng)措施來保護(hù)介質(zhì)的輸出環(huán)境。敏感信息帶出公司必須獲得直接領(lǐng)導(dǎo)或信息管理者的授權(quán)。第130條 存放介質(zhì)的容器在運(yùn)輸過程前必須密封。所有在公司的郵件系統(tǒng)上產(chǎn)生及存儲(chǔ)的郵件都是公司資產(chǎn)。在電子商務(wù)的協(xié)議中，必須明確欺詐行為和未能交付的責(zé)任。在線交易必須使用安全的通訊協(xié)議。 監(jiān)控 日志第147條 所有操作系統(tǒng)、應(yīng)用系統(tǒng)都必須具有并啟用日志記錄功能。 日志信息保護(hù)第154條 必須保證日志不能被修改或刪除，所有對于日志文件的訪問（如刪除、寫、讀或添加）嘗試都應(yīng)該有相應(yīng)記錄。 故障日志第159條 必須啟動(dòng)故障日志功能。訪問控制列表應(yīng)該進(jìn)行周期性的檢查以保證授權(quán)正確。第170條 所有用戶的注冊都必須通過用戶注冊程序進(jìn)行申請，并得到部門領(lǐng)導(dǎo)或其委托者的批準(zhǔn)。 特權(quán)管理第174條 必須建立正式的授權(quán)程序，以確保授權(quán)得到嚴(yán)格的評估和審批，并保證沒有與系統(tǒng)和應(yīng)用的安全相違背。第182條 在通過電話傳送密碼以前必須確認(rèn)對方的身份。用戶不應(yīng)該使用紙張或未受保護(hù)的電子形式保存密碼。第190條 用戶不應(yīng)使用容易被猜測的密碼，例如字典中的單詞、生日和電話號碼等。 網(wǎng)絡(luò)訪問控制 網(wǎng)絡(luò)服務(wù)使用管理辦法第197條 必須建立授權(quán)程序來管理網(wǎng)絡(luò)服務(wù)的使用。 遠(yuǎn)程診斷和配置端口的保護(hù)第205條 在不使用的時(shí)候，診斷端口應(yīng)該被禁用或通過恰當(dāng)?shù)陌踩珯C(jī)制進(jìn)行保護(hù)。第211條 對于重要的網(wǎng)絡(luò)區(qū)域必須設(shè)置訪問控制以隔離其他網(wǎng)絡(luò)區(qū)域。第218條 公司必須設(shè)立一個(gè)單獨(dú)的網(wǎng)絡(luò)區(qū)域供非公司標(biāo)準(zhǔn)化安裝的電腦接入，此區(qū)