【正文】 3) 信息系統(tǒng)審計考慮因素目標：要最大化信息系統(tǒng)審計的效果，并盡量減小信息系統(tǒng)審計帶來的影響。. 符合性要求1) 遵守法律法規(guī)的要求目標：避免違反法律、法規(guī)、規(guī)章、合同要求和其它安全要求。特別注意信息系統(tǒng)更新可能引起業(yè)務連續(xù)性計劃的如下信息的更新：216。根據(jù)要求可以指定備選方案。說明在發(fā)生危及業(yè)務操作和/或生命的事故后要采取的措施。216。詳細規(guī)定參見《信息安全事件管理程序》。變更后，運維人員應當監(jiān)控變更帶來的影響。216。 輸入數(shù)據(jù)驗證：對應用系統(tǒng)的數(shù)據(jù)輸入進行驗證，保證輸入數(shù)據(jù)正確并合乎要求。216。g) 對于從正式辦公地點內(nèi)部發(fā)起的、目標為外部網(wǎng)絡或計算機的所有計算機網(wǎng)絡連接，必須通過由統(tǒng)一配置使用的系統(tǒng)進行路由。要求用戶不得明文保存口令，及時修改默認口令并必須選擇強壯的口令，定期修改密碼，不得隨意共享密碼。e) 應在網(wǎng)絡中配置時鐘服務器，被審計的信息設備應同時鐘服務器的時間保持同步，以避免審計上的漏洞。e) 應限制只有系統(tǒng)管理員才可訪問系統(tǒng)文檔。5) 備份目標：保持信息和信息處理設施的完整性和可用性。 任何新應用、系統(tǒng)、服務的開發(fā)216。詳細規(guī)定參見《移動存儲介質(zhì)使用規(guī)定》。2) 設備安全目標：防止資產(chǎn)的丟失、損壞或被盜，以及對組織業(yè)務活動的干擾。. 物理和環(huán)境安全1) 安全區(qū)域目標：防止對工作場所和信息的非法訪問、破壞和干擾。 全體員工216。2) 信息分類a) 必須明確確認每項信息資產(chǎn)及其責任人和安全分類，信息資產(chǎn)包括業(yè)務過程、硬件和設施資產(chǎn)、軟件和系統(tǒng)資產(chǎn)、文檔和數(shù)據(jù)信息資產(chǎn)、人員資產(chǎn)、服務和其他資產(chǎn)。 清潔人員、送餐人員、快遞、保安以及其它外包的支持服務人員；b) 第三方的訪問類型包括物理訪問和邏輯訪問。參見《信息資產(chǎn)列表》 。5. 信息安全策略目標：為信息安全提供管理指導和支持，并與業(yè)務要求和相關的法律法規(guī)保持一致。信息資產(chǎn)與信息系統(tǒng)相關聯(lián)的信息、信息的處理設備和服務。2) 信息安全策略是在信息安全現(xiàn)狀調(diào)研的基礎上，根據(jù)ISO27001的最佳實踐，結合現(xiàn)有規(guī)章制度制定而成的信息安全方針和策略文檔。計算機機房裝有計算機主機、服務器和相關設備的，除了安裝和維護的情況外，不允許人員在里邊工作的專用房間。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。l 任何新的信息系統(tǒng)處理設施必須經(jīng)過管理授權的過程。 外單位參觀人員；216。1) 資產(chǎn)責任a) 所有的信息資產(chǎn)必須登記入冊，對于有形資產(chǎn)必須進行標識，同時資產(chǎn)信息應當及時更新。 信息安全策略216。d) 必須每半年進行用戶帳戶使用情況的評審，凡是半年及半年以上未使用的帳號經(jīng)相關部門確認后刪除。n) 除非經(jīng)過主管部門領導授權，在安全區(qū)域不允許使用圖象、視頻、音頻或其它記錄設備。并且在對重要設備現(xiàn)場實施過程中必須有相關人員全程陪同，詳細規(guī)定參見《第三方和外包管理規(guī)定》。重要的第三方服務必須簽訂服務合同和第三方保密協(xié)議。d) 必須對所有的電子郵件附件進行病毒掃描，也不要隨意打開來歷不明的郵件附件。對于備份或存放有重要信息或軟件的存儲介質(zhì)，在銷毀時，應當進行格式化或重寫數(shù)據(jù)，避免不必要的泄露。審計至少包括用戶ID、系統(tǒng)日志、操作記錄等。如有特殊情況，必須事先得到信息安全部及安全責任人的批準并備案。e) 局域網(wǎng)網(wǎng)絡對外出口必須使用防火墻進行保護，根據(jù)安全需要可以考慮將局域網(wǎng)進一步劃分為獨立的邏輯網(wǎng)絡域，并各邏輯網(wǎng)的接口處使用防火墻保護。 允許用戶選擇和更改自己的口令，其中要包括新口令的確認過程。a) 對自主開發(fā)和外包開發(fā)的信息系統(tǒng)或對現(xiàn)有系統(tǒng)的更新，在分析階段應當規(guī)定對安全控制的要求，并集成到系統(tǒng)設計規(guī)范書、招標規(guī)范書和外包合同書之中，并在開發(fā)工作和驗收時進行考慮。 保密性：通過信息加密保護存儲和傳輸中的敏感和重要數(shù)據(jù)。應用開發(fā)人員不允許訪問生產(chǎn)環(huán)境，除非在有安全評測手段的前提下，應用開發(fā)人員可以暫時獲得生產(chǎn)環(huán)境下的用戶名和口令以用于系統(tǒng)支持，必須保證在系統(tǒng)支持完成之后立即修改口令。c) 所有員工和第三方有責任注意并報告系統(tǒng)或服務中已發(fā)現(xiàn)或疑似的安全漏洞，但不能擅自處理和散播。 定期對計劃和相關操作流程進行檢查、演練和更新。在計劃執(zhí)行前說明要采用的程序（包括如何評估、參與人員等）。216。e) 必須維護業(yè)務連續(xù)性計劃并進行定期更新分析。 流程（新的流程/廢止的流程）。協(xié)助內(nèi)審組進行信息安全內(nèi)部評審和管理評審。b) 應安排不同于被審計者的人員進行審計，審計過程要進行記錄。b) 所有的軟件和硬件必須遵守知識產(chǎn)權的要求，包括著作權、設計權、商標權等。 地址或電話號碼。216。說明應該采取哪些措施，以將重要業(yè)務活動或支持服務轉移到其它臨時地點并在規(guī)定時間內(nèi)恢復業(yè)務流程。 業(yè)務恢復的優(yōu)先級，應當考慮可容忍的業(yè)務中斷時間和業(yè)務恢復到中斷前的哪個時間點，要特別注意對有關外部業(yè)務和合同的評估。. 業(yè)務連續(xù)性管理1) 業(yè)務連續(xù)性管理中的信息安全目標：防止業(yè)務活動中斷，保證重要業(yè)務流程不受重大故障和災難的影響，并確保它們的及時恢復。6) 技術漏洞管理目標：減少利用公開的技術漏洞帶來的風險。4) 系統(tǒng)文件安全目標：確保系統(tǒng)文件的安全a) 應當僅由管理員才可以進行操作系統(tǒng)、軟件、應用和運行程序庫的更新，生產(chǎn)系統(tǒng)不得安裝無關軟件。216。e) 應分開保存系統(tǒng)文件和應用數(shù)據(jù)，限制對系統(tǒng)文件的操作。 對于非Windows平臺，成功登錄后，才顯示系統(tǒng)或應用標識216。c) 離開機房后要及時鎖門，重要信息設備可以使用計算機鎖等控制措施來保護其不受未授權訪問。2) 用戶訪問管理目標：確保授權用戶的訪問，并預防信息系統(tǒng)的非授權訪問。a) 應當依據(jù)《信息資產(chǎn)鑒別和分類管理辦法》、《信息安全交流控制程序》，保護信息在發(fā)布、交換時的安全。b) 所有員工要定期對個人電腦上的重要數(shù)據(jù)進行備份，以減少不必要的損失。 網(wǎng)絡環(huán)境或其它新技術的使用216。k) 未經(jīng)信息安全責任人授權，不允許將載有重要信息的設備、信息或軟件帶離工作場所。 穩(wěn)定的電源供給216。所有可以進出安全區(qū)域的門必須能防止未經(jīng)授權的訪問，如使用控制裝置、柵欄、監(jiān)控和報警裝備、鎖等。 計算機信息系統(tǒng)使用單位的安全管理責任人；216。信息資產(chǎn)應當標明適用范圍。 邏輯訪問：u 主機系統(tǒng)u 網(wǎng)絡系統(tǒng)u 數(shù)據(jù)庫系統(tǒng)u 應用系統(tǒng)c) 第三方訪問需要進行以下的風險評估后方可對訪問進行授權。這些部門包括執(zhí)法部門、消防部門、上級監(jiān)管部門、電信供應商等提供公共服務的部門。3) 策略評審每年必須參照《管理評審程序》執(zhí)行公司管理評審。第三方訪問指非本單位的人員對信息系統(tǒng)的訪問。3) 建立信息安全策略的目的概括如下：a) 在內(nèi)部建立一套通用的、行之有效的安全機制；b) 在的員工中樹立起安全責任感；c) 在中增強信息資產(chǎn)可用性、完整性和保密性；d) 在中提高全體員工的信息安全意識和信息安全知識水平。信息安全策略正確使用和管理IT信息資源并保護這些資源使得它們擁有更好的保密性、完整性、可用性的策略。應當好的做法所要達到的要求，條件允許就要實施。公司的內(nèi)部信息安全組織包括信息安全管理小組，小組的人員組成以及相關職責參見《公司信息安全組織結構圖》。第三方至少包含如下人員： 216。（詳見《辦公室基礎設備和工作環(huán)境控制程序》）e) 對于第三方參與的項目或提供的服務，必須在合同中明確規(guī)定人員的安全責任，必要時應當簽署保密協(xié)議。b) 對第三方訪問人員和臨時性員工，必須