【正文】 3) 信息系統(tǒng)審計(jì)考慮因素目標(biāo)：要最大化信息系統(tǒng)審計(jì)的效果，并盡量減小信息系統(tǒng)審計(jì)帶來(lái)的影響。. 符合性要求1) 遵守法律法規(guī)的要求目標(biāo)：避免違反法律、法規(guī)、規(guī)章、合同要求和其它安全要求。特別注意信息系統(tǒng)更新可能引起業(yè)務(wù)連續(xù)性計(jì)劃的如下信息的更新：216。根據(jù)要求可以指定備選方案。說(shuō)明在發(fā)生危及業(yè)務(wù)操作和/或生命的事故后要采取的措施。216。詳細(xì)規(guī)定參見(jiàn)《信息安全事件管理程序》。變更后，運(yùn)維人員應(yīng)當(dāng)監(jiān)控變更帶來(lái)的影響。216。 輸入數(shù)據(jù)驗(yàn)證：對(duì)應(yīng)用系統(tǒng)的數(shù)據(jù)輸入進(jìn)行驗(yàn)證，保證輸入數(shù)據(jù)正確并合乎要求。216。g) 對(duì)于從正式辦公地點(diǎn)內(nèi)部發(fā)起的、目標(biāo)為外部網(wǎng)絡(luò)或計(jì)算機(jī)的所有計(jì)算機(jī)網(wǎng)絡(luò)連接，必須通過(guò)由統(tǒng)一配置使用的系統(tǒng)進(jìn)行路由。要求用戶不得明文保存口令，及時(shí)修改默認(rèn)口令并必須選擇強(qiáng)壯的口令，定期修改密碼，不得隨意共享密碼。e) 應(yīng)在網(wǎng)絡(luò)中配置時(shí)鐘服務(wù)器，被審計(jì)的信息設(shè)備應(yīng)同時(shí)鐘服務(wù)器的時(shí)間保持同步，以避免審計(jì)上的漏洞。e) 應(yīng)限制只有系統(tǒng)管理員才可訪問(wèn)系統(tǒng)文檔。5) 備份目標(biāo)：保持信息和信息處理設(shè)施的完整性和可用性。 任何新應(yīng)用、系統(tǒng)、服務(wù)的開發(fā)216。詳細(xì)規(guī)定參見(jiàn)《移動(dòng)存儲(chǔ)介質(zhì)使用規(guī)定》。2) 設(shè)備安全目標(biāo)：防止資產(chǎn)的丟失、損壞或被盜，以及對(duì)組織業(yè)務(wù)活動(dòng)的干擾。. 物理和環(huán)境安全1) 安全區(qū)域目標(biāo)：防止對(duì)工作場(chǎng)所和信息的非法訪問(wèn)、破壞和干擾。 全體員工216。2) 信息分類a) 必須明確確認(rèn)每項(xiàng)信息資產(chǎn)及其責(zé)任人和安全分類，信息資產(chǎn)包括業(yè)務(wù)過(guò)程、硬件和設(shè)施資產(chǎn)、軟件和系統(tǒng)資產(chǎn)、文檔和數(shù)據(jù)信息資產(chǎn)、人員資產(chǎn)、服務(wù)和其他資產(chǎn)。 清潔人員、送餐人員、快遞、保安以及其它外包的支持服務(wù)人員；b) 第三方的訪問(wèn)類型包括物理訪問(wèn)和邏輯訪問(wèn)。參見(jiàn)《信息資產(chǎn)列表》 。5. 信息安全策略目標(biāo)：為信息安全提供管理指導(dǎo)和支持，并與業(yè)務(wù)要求和相關(guān)的法律法規(guī)保持一致。信息資產(chǎn)與信息系統(tǒng)相關(guān)聯(lián)的信息、信息的處理設(shè)備和服務(wù)。2) 信息安全策略是在信息安全現(xiàn)狀調(diào)研的基礎(chǔ)上，根據(jù)ISO27001的最佳實(shí)踐，結(jié)合現(xiàn)有規(guī)章制度制定而成的信息安全方針和策略文檔。計(jì)算機(jī)機(jī)房裝有計(jì)算機(jī)主機(jī)、服務(wù)器和相關(guān)設(shè)備的，除了安裝和維護(hù)的情況外，不允許人員在里邊工作的專用房間。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。l 任何新的信息系統(tǒng)處理設(shè)施必須經(jīng)過(guò)管理授權(quán)的過(guò)程。 外單位參觀人員；216。1) 資產(chǎn)責(zé)任a) 所有的信息資產(chǎn)必須登記入冊(cè)，對(duì)于有形資產(chǎn)必須進(jìn)行標(biāo)識(shí)，同時(shí)資產(chǎn)信息應(yīng)當(dāng)及時(shí)更新。 信息安全策略216。d) 必須每半年進(jìn)行用戶帳戶使用情況的評(píng)審，凡是半年及半年以上未使用的帳號(hào)經(jīng)相關(guān)部門確認(rèn)后刪除。n) 除非經(jīng)過(guò)主管部門領(lǐng)導(dǎo)授權(quán)，在安全區(qū)域不允許使用圖象、視頻、音頻或其它記錄設(shè)備。并且在對(duì)重要設(shè)備現(xiàn)場(chǎng)實(shí)施過(guò)程中必須有相關(guān)人員全程陪同，詳細(xì)規(guī)定參見(jiàn)《第三方和外包管理規(guī)定》。重要的第三方服務(wù)必須簽訂服務(wù)合同和第三方保密協(xié)議。d) 必須對(duì)所有的電子郵件附件進(jìn)行病毒掃描，也不要隨意打開來(lái)歷不明的郵件附件。對(duì)于備份或存放有重要信息或軟件的存儲(chǔ)介質(zhì)，在銷毀時(shí)，應(yīng)當(dāng)進(jìn)行格式化或重寫數(shù)據(jù)，避免不必要的泄露。審計(jì)至少包括用戶ID、系統(tǒng)日志、操作記錄等。如有特殊情況，必須事先得到信息安全部及安全責(zé)任人的批準(zhǔn)并備案。e) 局域網(wǎng)網(wǎng)絡(luò)對(duì)外出口必須使用防火墻進(jìn)行保護(hù)，根據(jù)安全需要可以考慮將局域網(wǎng)進(jìn)一步劃分為獨(dú)立的邏輯網(wǎng)絡(luò)域，并各邏輯網(wǎng)的接口處使用防火墻保護(hù)。 允許用戶選擇和更改自己的口令，其中要包括新口令的確認(rèn)過(guò)程。a) 對(duì)自主開發(fā)和外包開發(fā)的信息系統(tǒng)或?qū)ΜF(xiàn)有系統(tǒng)的更新，在分析階段應(yīng)當(dāng)規(guī)定對(duì)安全控制的要求，并集成到系統(tǒng)設(shè)計(jì)規(guī)范書、招標(biāo)規(guī)范書和外包合同書之中，并在開發(fā)工作和驗(yàn)收時(shí)進(jìn)行考慮。 保密性：通過(guò)信息加密保護(hù)存儲(chǔ)和傳輸中的敏感和重要數(shù)據(jù)。應(yīng)用開發(fā)人員不允許訪問(wèn)生產(chǎn)環(huán)境，除非在有安全評(píng)測(cè)手段的前提下，應(yīng)用開發(fā)人員可以暫時(shí)獲得生產(chǎn)環(huán)境下的用戶名和口令以用于系統(tǒng)支持，必須保證在系統(tǒng)支持完成之后立即修改口令。c) 所有員工和第三方有責(zé)任注意并報(bào)告系統(tǒng)或服務(wù)中已發(fā)現(xiàn)或疑似的安全漏洞，但不能擅自處理和散播。 定期對(duì)計(jì)劃和相關(guān)操作流程進(jìn)行檢查、演練和更新。在計(jì)劃執(zhí)行前說(shuō)明要采用的程序（包括如何評(píng)估、參與人員等）。216。e) 必須維護(hù)業(yè)務(wù)連續(xù)性計(jì)劃并進(jìn)行定期更新分析。 流程（新的流程/廢止的流程）。協(xié)助內(nèi)審組進(jìn)行信息安全內(nèi)部評(píng)審和管理評(píng)審。b) 應(yīng)安排不同于被審計(jì)者的人員進(jìn)行審計(jì)，審計(jì)過(guò)程要進(jìn)行記錄。b) 所有的軟件和硬件必須遵守知識(shí)產(chǎn)權(quán)的要求，包括著作權(quán)、設(shè)計(jì)權(quán)、商標(biāo)權(quán)等。 地址或電話號(hào)碼。216。說(shuō)明應(yīng)該采取哪些措施，以將重要業(yè)務(wù)活動(dòng)或支持服務(wù)轉(zhuǎn)移到其它臨時(shí)地點(diǎn)并在規(guī)定時(shí)間內(nèi)恢復(fù)業(yè)務(wù)流程。 業(yè)務(wù)恢復(fù)的優(yōu)先級(jí)，應(yīng)當(dāng)考慮可容忍的業(yè)務(wù)中斷時(shí)間和業(yè)務(wù)恢復(fù)到中斷前的哪個(gè)時(shí)間點(diǎn)，要特別注意對(duì)有關(guān)外部業(yè)務(wù)和合同的評(píng)估。. 業(yè)務(wù)連續(xù)性管理1) 業(yè)務(wù)連續(xù)性管理中的信息安全目標(biāo)：防止業(yè)務(wù)活動(dòng)中斷，保證重要業(yè)務(wù)流程不受重大故障和災(zāi)難的影響，并確保它們的及時(shí)恢復(fù)。6) 技術(shù)漏洞管理目標(biāo)：減少利用公開的技術(shù)漏洞帶來(lái)的風(fēng)險(xiǎn)。4) 系統(tǒng)文件安全目標(biāo)：確保系統(tǒng)文件的安全a) 應(yīng)當(dāng)僅由管理員才可以進(jìn)行操作系統(tǒng)、軟件、應(yīng)用和運(yùn)行程序庫(kù)的更新，生產(chǎn)系統(tǒng)不得安裝無(wú)關(guān)軟件。216。e) 應(yīng)分開保存系統(tǒng)文件和應(yīng)用數(shù)據(jù)，限制對(duì)系統(tǒng)文件的操作。 對(duì)于非Windows平臺(tái)，成功登錄后，才顯示系統(tǒng)或應(yīng)用標(biāo)識(shí)216。c) 離開機(jī)房后要及時(shí)鎖門，重要信息設(shè)備可以使用計(jì)算機(jī)鎖等控制措施來(lái)保護(hù)其不受未授權(quán)訪問(wèn)。2) 用戶訪問(wèn)管理目標(biāo)：確保授權(quán)用戶的訪問(wèn)，并預(yù)防信息系統(tǒng)的非授權(quán)訪問(wèn)。a) 應(yīng)當(dāng)依據(jù)《信息資產(chǎn)鑒別和分類管理辦法》、《信息安全交流控制程序》，保護(hù)信息在發(fā)布、交換時(shí)的安全。b) 所有員工要定期對(duì)個(gè)人電腦上的重要數(shù)據(jù)進(jìn)行備份，以減少不必要的損失。 網(wǎng)絡(luò)環(huán)境或其它新技術(shù)的使用216。k) 未經(jīng)信息安全責(zé)任人授權(quán)，不允許將載有重要信息的設(shè)備、信息或軟件帶離工作場(chǎng)所。 穩(wěn)定的電源供給216。所有可以進(jìn)出安全區(qū)域的門必須能防止未經(jīng)授權(quán)的訪問(wèn)，如使用控制裝置、柵欄、監(jiān)控和報(bào)警裝備、鎖等。 計(jì)算機(jī)信息系統(tǒng)使用單位的安全管理責(zé)任人；216。信息資產(chǎn)應(yīng)當(dāng)標(biāo)明適用范圍。 邏輯訪問(wèn)：u 主機(jī)系統(tǒng)u 網(wǎng)絡(luò)系統(tǒng)u 數(shù)據(jù)庫(kù)系統(tǒng)u 應(yīng)用系統(tǒng)c) 第三方訪問(wèn)需要進(jìn)行以下的風(fēng)險(xiǎn)評(píng)估后方可對(duì)訪問(wèn)進(jìn)行授權(quán)。這些部門包括執(zhí)法部門、消防部門、上級(jí)監(jiān)管部門、電信供應(yīng)商等提供公共服務(wù)的部門。3) 策略評(píng)審每年必須參照《管理評(píng)審程序》執(zhí)行公司管理評(píng)審。第三方訪問(wèn)指非本單位的人員對(duì)信息系統(tǒng)的訪問(wèn)。3) 建立信息安全策略的目的概括如下：a) 在內(nèi)部建立一套通用的、行之有效的安全機(jī)制；b) 在的員工中樹立起安全責(zé)任感；c) 在中增強(qiáng)信息資產(chǎn)可用性、完整性和保密性；d) 在中提高全體員工的信息安全意識(shí)和信息安全知識(shí)水平。信息安全策略正確使用和管理IT信息資源并保護(hù)這些資源使得它們擁有更好的保密性、完整性、可用性的策略。應(yīng)當(dāng)好的做法所要達(dá)到的要求，條件允許就要實(shí)施。公司的內(nèi)部信息安全組織包括信息安全管理小組，小組的人員組成以及相關(guān)職責(zé)參見(jiàn)《公司信息安全組織結(jié)構(gòu)圖》。第三方至少包含如下人員： 216。（詳見(jiàn)《辦公室基礎(chǔ)設(shè)備和工作環(huán)境控制程序》）e) 對(duì)于第三方參與的項(xiàng)目或提供的服務(wù)，必須在合同中明確規(guī)定人員的安全責(zé)任，必要時(shí)應(yīng)當(dāng)簽署保密協(xié)議。b) 對(duì)第三方訪問(wèn)人員和臨時(shí)性員工，必須