【正文】 遵守《第三方和外包管理規(guī)定》。c) 員工在調(diào)離時(shí)必須進(jìn)行信息安全檢查。k) 危險(xiǎn)或易燃物品應(yīng)當(dāng)擺放在離安全區(qū)域安全距離之外，機(jī)房應(yīng)當(dāng)參見《機(jī)房安全管理規(guī)定》中的要求執(zhí)行值班或巡檢工作任務(wù)。e) 定期對(duì)機(jī)房供電線路及照明器具進(jìn)行檢查，防止因線路老化短路造成火災(zāi)。2) 第三方服務(wù)交付管理目標(biāo)：實(shí)施并保持信息安全的適當(dāng)水平，確保第三方交付的服務(wù)符合協(xié)議要求。詳細(xì)規(guī)定參見《防病毒管理程序》。a) 應(yīng)當(dāng)妥善記錄移動(dòng)介質(zhì)。9) 監(jiān)視和審計(jì)目標(biāo)：檢測(cè)未經(jīng)授權(quán)的信息處理活動(dòng)。e) 要告知并強(qiáng)制用戶遵守用戶帳號(hào)及口令管理規(guī)定，用戶必須對(duì)自己的帳號(hào)和口令保密，不能以任何形式向他人透露口令信息，不得以未加密的形式將口令保存在文件或計(jì)算機(jī)中，在收到應(yīng)用系統(tǒng)或軟件的初始口令后必須及時(shí)更改。c) 任何到網(wǎng)絡(luò)的物理或邏輯的連接必須經(jīng)過運(yùn)維部的批準(zhǔn)。d) 使用口令管理系統(tǒng)時(shí)，可以考慮配置：216。未經(jīng)信息安全部批準(zhǔn)，不得在公共場(chǎng)所訪問內(nèi)部網(wǎng)絡(luò)。在保護(hù)敏感或關(guān)鍵信息時(shí)使用。若有可能，在運(yùn)行環(huán)境中不應(yīng)保留程序源代碼庫。 增強(qiáng)對(duì)該漏洞的監(jiān)控. 信息安全事故處理1) 報(bào)告信息安全事故和弱點(diǎn)目標(biāo)：確保與信息系統(tǒng)有關(guān)的安全事件和弱點(diǎn)的報(bào)告，以便及時(shí)采取糾正措施。216。c) 應(yīng)當(dāng)維護(hù)一個(gè)全局性的業(yè)務(wù)連續(xù)性計(jì)劃框架，以確保所有計(jì)劃的一致性。 說明計(jì)劃?rùn)z查方式和時(shí)間的維護(hù)計(jì)劃以及計(jì)劃維護(hù)程序。 供應(yīng)商提供的設(shè)施和服務(wù)的檢查（確保外部提供的服務(wù)和產(chǎn)品符合合同中的規(guī)定）。216。可以在登錄時(shí)，在屏幕上應(yīng)顯示保密聲明，告知其正進(jìn)入的系統(tǒng)是不公開的。d) 安全審計(jì)應(yīng)當(dāng)由安全審計(jì)人員或可信的、獨(dú)立的第三方機(jī)構(gòu)來執(zhí)行。重要記錄包括紙質(zhì)或非紙質(zhì)的財(cái)務(wù)記錄、數(shù)據(jù)庫記錄、日志和操作規(guī)程等。216。 通過測(cè)試確保技術(shù)上信息系統(tǒng)可以有效地恢復(fù)。說明應(yīng)該采取哪些措施，以恢復(fù)正常業(yè)務(wù)運(yùn)作。216。b) 業(yè)務(wù)連續(xù)性計(jì)劃的內(nèi)容至少應(yīng)當(dāng)包括：216。b) 如果沒有合適的補(bǔ)丁，應(yīng)當(dāng)實(shí)施其它措施，如：216。d) 重要軟件和應(yīng)用升級(jí)后，包括需要的信息、參數(shù)、升級(jí)過程日志、配置細(xì)節(jié)等都要?dú)w檔，配套的數(shù)據(jù)和文件也應(yīng)歸檔。 消息驗(yàn)證：檢查傳輸?shù)碾娮酉?nèi)容是否有非法變更或破壞的技術(shù)手段。b) 處理敏感信息的系統(tǒng)應(yīng)當(dāng)與公共網(wǎng)隔離，且系統(tǒng)輸出信息僅能發(fā)送給特定的終端和人員。 記錄成功和不成功登錄的情況216。a) 網(wǎng)絡(luò)管理員必須參照《訪問控制程序》和業(yè)務(wù)系統(tǒng)要求進(jìn)行控制：216。詳細(xì)規(guī)定參見《公司郵箱管理辦法》b) 所有對(duì)信息系統(tǒng)的訪問必須遵照《訪問控制程序》。未經(jīng)安全責(zé)任人授權(quán)，員工不得與外部聯(lián)網(wǎng)的計(jì)算機(jī)信息系統(tǒng)傳輸涉及重要信息的文件。a) 應(yīng)當(dāng)對(duì)重要的線路、網(wǎng)絡(luò)設(shè)備采用冗余措施，以維持關(guān)鍵服務(wù)的可用性。b) 應(yīng)建立新信息系統(tǒng)、系統(tǒng)升級(jí)和新版本的驗(yàn)收準(zhǔn)則，驗(yàn)收前應(yīng)當(dāng)完成設(shè)計(jì)審核、缺陷分析及安全測(cè)試。操作流程必須成文，并只有經(jīng)授權(quán)才可以修改。c) 各計(jì)算機(jī)機(jī)房是重要的信息處理場(chǎng)所，必須嚴(yán)格執(zhí)行有關(guān)安全保密制度和規(guī)定，并防止重要信息的泄露，保證業(yè)務(wù)數(shù)據(jù)、信息、資料的準(zhǔn)確、安全可靠。f) 安全區(qū)域進(jìn)出控制采用合適的電子卡或磁卡，并能雙向控制。 能夠接觸到敏感數(shù)據(jù)或機(jī)密信息的關(guān)鍵用戶。d) 當(dāng)信息資產(chǎn)進(jìn)行拷貝、存儲(chǔ)、傳輸（如郵遞、傳真、電子郵件以及語音傳輸（包括電話、語音郵件、應(yīng)答機(jī)）等）或者銷毀等信息處理時(shí)，應(yīng)當(dāng)參照《信息資產(chǎn)鑒別和分類管理辦法》或者制定妥善的處理步驟并執(zhí)行。 客戶是否與有商業(yè)利益沖突；216。l 信息安全管理小組每年至少進(jìn)行一次信息安全風(fēng)險(xiǎn)評(píng)估工作（參照《風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理程序》，并對(duì)安全策略進(jìn)行復(fù)審。. 信息系統(tǒng)安全組織目標(biāo)：在組織內(nèi)部管理信息安全，保持可被外部組織訪問、處理、溝通或管理的信息及信息處理設(shè)備的安全。故障是指信息的處理、傳輸設(shè)備運(yùn)行出現(xiàn)意外障礙，以至影響信息系統(tǒng)正常運(yùn)轉(zhuǎn)的事件?？捎眯源_保經(jīng)過授權(quán)的用戶在需要時(shí)可以訪問信息并使用相關(guān)信息資產(chǎn)。保密性確保只有經(jīng)過授權(quán)的人才能訪問信息。安全審計(jì)通過將所選類型的事件記錄在服務(wù)器或工作站的安全日志中用來跟蹤用戶活動(dòng)的過程。1) 內(nèi)部組織l 公司的管理層對(duì)信息安全承擔(dān)最終責(zé)任。信息安全領(lǐng)導(dǎo)小組每年對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)果和安全策略的修改進(jìn)行審批。 是否已經(jīng)完成了相關(guān)的權(quán)限設(shè)定，對(duì)訪問加以控制；216。e) 對(duì)重要的資料檔案要妥善保管，以防丟失泄密，其廢棄的打印紙及磁介質(zhì)等，應(yīng)按有關(guān)規(guī)定進(jìn)行處理。3) 人員信息安全管理原則a) 員工錄用時(shí)，人事部門或調(diào)入部門必須及時(shí)書面通知信息技術(shù)部門添加相關(guān)的口令、帳號(hào)及權(quán)限等并備案。g) 對(duì)安全區(qū)域的訪問必須進(jìn)行記錄和控制，以確保只有經(jīng)過授權(quán)的人員才可以訪問。d) 計(jì)算機(jī)機(jī)房應(yīng)列為公司重點(diǎn)防火部位，按照規(guī)定配備足夠數(shù)量的消防器材，并定期檢查更換。b) 必須建立并執(zhí)行信息處理設(shè)備和信息系統(tǒng)變更管理流程（具體參照《變更管理流程》），形成文檔備案。必須將驗(yàn)收標(biāo)準(zhǔn)寫入到項(xiàng)目合同中。b) 網(wǎng)絡(luò)管理員應(yīng)當(dāng)參照《訪問控制程序》對(duì)網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)進(jìn)行充分的管理和控制，并采用網(wǎng)管工具對(duì)通訊線路、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)的監(jiān)控和預(yù)警。d) 員工不得利用網(wǎng)絡(luò)對(duì)他人進(jìn)行侮辱、誹謗、騷擾；不得侵害他人合法權(quán)益；不得侵犯他人的名譽(yù)權(quán)，肖像權(quán)、姓名權(quán)等人身權(quán)利；不得侵犯他人的商譽(yù)、商標(biāo)、版權(quán)、專利、專有技術(shù)等各種知識(shí)產(chǎn)權(quán)。除非員工獲得該流程規(guī)定的相關(guān)部門授權(quán)，否則不準(zhǔn)在網(wǎng)絡(luò)上給外單位和個(gè)人開戶，也不準(zhǔn)外單位或個(gè)人借用內(nèi)部用戶名和口令上網(wǎng)，一經(jīng)查出將追究當(dāng)事人責(zé)任。 明確哪些用戶可以訪問的網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)列表216。 需要在網(wǎng)絡(luò)上傳輸口令時(shí)，應(yīng)當(dāng)進(jìn)行加密b) 登錄終端必須有超時(shí)設(shè)置，不超過20分鐘。c) 應(yīng)當(dāng)參考《信息資產(chǎn)鑒別和分類管理辦法》明確標(biāo)識(shí)出敏感信息，當(dāng)需要共享或分發(fā)敏感信息時(shí)，必須附帶保密聲明?？梢杂眉用芗夹g(shù)作為實(shí)現(xiàn)消息驗(yàn)證的手段。e) 所有應(yīng)用必須編寫應(yīng)用配置手冊(cè)，應(yīng)用配置手冊(cè)必須隨著操作系統(tǒng)軟件或應(yīng)用配置的改變而及時(shí)更新。 關(guān)掉可能利用漏洞造成損害的服務(wù)和端口216。 確定關(guān)鍵業(yè)務(wù)流程和其所涉及資產(chǎn)，明確信息處理設(shè)施的業(yè)務(wù)目標(biāo)。 業(yè)務(wù)流程的備案216。216。216。 場(chǎng)所、設(shè)施和資源。應(yīng)當(dāng)考慮信息的處理辦法，保存時(shí)間，關(guān)鍵信息來源的目錄和索引。如果由第三方審計(jì)，應(yīng)當(dāng)與其簽署安全保密協(xié)議，并要實(shí)施控制措施降低外部審計(jì)可能存在的風(fēng)險(xiǎn)。e) 未經(jīng)安全責(zé)任人書面授權(quán)，禁止用戶和管理員將信息處理設(shè)備用于其他目的。 法律法規(guī)。216。216。 通過演練（或突發(fā)事件發(fā)生）的實(shí)際情況，對(duì)計(jì)劃進(jìn)行修正，保證其有效性和可操作性。 識(shí)別可能導(dǎo)致業(yè)務(wù)中斷的重大事故，評(píng)估此類重大事故發(fā)生的可能性及造成業(yè)務(wù)中斷給造成的影響，確定關(guān)鍵業(yè)務(wù)流程的優(yōu)先級(jí)。 在網(wǎng)絡(luò)中部署入侵檢測(cè)系統(tǒng)216。g) 訪問程序源代碼的行為應(yīng)受到限制，更新關(guān)鍵應(yīng)用系統(tǒng)必須按照《變更管理流程》得到授權(quán)。 加密：是用于保護(hù)信息機(jī)密性的技術(shù)。a) 所有遠(yuǎn)程工作的移動(dòng)計(jì)算機(jī)都必須安裝防病毒軟件，應(yīng)當(dāng)考慮采用動(dòng)態(tài)口令系統(tǒng)。無特殊情況一個(gè)人不得在一個(gè)系統(tǒng)上擁有多個(gè)帳號(hào)。 實(shí)施相應(yīng)的控制手段b) 對(duì)于來自外部的連接，使用VPN連接，使用基于口令的控制系統(tǒng)進(jìn)行控制。d) 技術(shù)人員在收到重置口令的申請(qǐng)時(shí)，必須驗(yàn)證用戶的身份后方可提供一個(gè)臨時(shí)的代替口令。f) 應(yīng)控制并記錄允許操作業(yè)務(wù)系統(tǒng)的用戶名單，未經(jīng)安全責(zé)任人授權(quán)，不得隨意變更訪問限制和共享信息。7) 介質(zhì)處理目標(biāo)：防止對(duì)資產(chǎn)的未授權(quán)泄露、修改、移動(dòng)或損壞，及對(duì)業(yè)務(wù)活動(dòng)的的干擾。a) 所有服務(wù)器和個(gè)人計(jì)算機(jī)都必須激活防病毒軟件，必須及時(shí)更新防病毒代碼庫。d)