【文章內(nèi)容簡介】 軟件應用安全 計算機及網(wǎng)絡訪問安全 人員及第三方安全管理 移動計算與遠程辦公 工作環(huán)境及物理安全要求 防范病毒和惡意代碼 口令安全 電子郵件安全 介質(zhì)安全管理 警惕社會工程學 應急響應和業(yè)務連續(xù)性計劃 法律法規(guī) 重要信息的保密 帶上一把獵槍 Owner 數(shù)據(jù)的屬主（ OM/PM） 決定所屬數(shù)據(jù)的敏感級別 確定必要的保護措施 最終批準并 Review用戶訪問權限 Custodian 受 Owner委托管理數(shù)據(jù) 通常是 IT人員或部門系統(tǒng)（數(shù)據(jù)）管理員 向 Owner提交訪問申請并按 Owner授意為用戶授權 執(zhí)行數(shù)據(jù)保護措施，實施日常維護和管理 User 公司或第三方職員 因工作需要而請求訪問數(shù)據(jù) 遵守安全規(guī)定和控制 報告安全事件和隱患 資產(chǎn)責任劃分 帶上一把獵槍 64 ? 各類信息，無論電子還是紙質(zhì)，在標注、授權、訪問、存儲、拷貝、傳真、內(nèi)部和外部分發(fā)（包括第三方轉(zhuǎn)交）、傳輸、處理等各個環(huán)節(jié)，都應該遵守既定策略 ? 信息分類管理程序只約定要求和原則，具體控制和實現(xiàn)方式，由信息屬主或相關部門確定，以遵守最佳實踐和法律法規(guī)為參照 ? 凡違反程序規(guī)定的行為，酌情予以紀律處分 信息 處理 與 保護 帶上一把獵槍 65 ? 根據(jù)需要，在個人協(xié)議 /合同 中明確安全方面的承諾和要求； ? 明確與客戶進行數(shù)據(jù)交接的人員責任，控制客戶數(shù)據(jù)使用及分發(fā)； ? 明確非業(yè)務部門在授權使用客戶數(shù)據(jù)時的保護責任； ? 基于業(yè)務需要，主管決定是否對重要數(shù)據(jù)進行加密保護； ? 禁止將客戶數(shù)據(jù)或客戶標識用于非項目相關的場合如培訓材料； ? 客戶現(xiàn)場的工作人員，嚴格遵守客戶 Policy，妥善保護客戶數(shù)據(jù)； ? 打印件應設置標識，及時取回，并妥善保存或處理。 數(shù)據(jù)保護 安全 帶上一把獵槍 66 重要信息的保密 信息交換及備份 軟件應用安全 計算機及網(wǎng)絡訪問安全 人員及第三方安全管理 移動計算與遠程辦公 工作環(huán)境及物理安全要求 防范病毒和惡意代碼 口令安全 電子郵件安全 介質(zhì)安全管理 警惕社會工程學 應急響應和業(yè)務連續(xù)性計劃 法律法規(guī) 信息交換與備份 帶上一把獵槍 67 ? 信息交換原則： ? 明確要交換信息的敏感級別，除了顯著標注外，根據(jù)其敏感級別采取合適的保護措施 ? 信息發(fā)送者和接收者有責任遵守信息交換要求 ? 物理介質(zhì)傳輸： ? 與快遞公司簽署不擴散協(xié)議，識別丟失風險，采取必要的控制措施 ? 電子郵件和互聯(lián)網(wǎng)信息交換 ? 明確不可涉及敏感數(shù)據(jù)，如客戶信息、訂單合同等信息 ? 如必須交換此類信息，需申請主管批準并采取加密傳輸措施或 DRM保護機制 ? 文件共享： ? 包括 Confidential在內(nèi)的高級別的信息不能被發(fā)布于公共區(qū)域 ? 所有共享文件應按照規(guī)則放置在相應的文件服務器目錄中，任何人不得在其個人電腦中開設共享。 ? 共享文件夾應該設置恰當?shù)脑L問控制，禁止向所有用戶賦予完全訪問權限 ? 臨時共享的文件事后應予以刪除 信息交換 安全 帶上一把獵槍 68 ?重要信息系統(tǒng)應支持全備份、差量備份和增量備份 ?備份介質(zhì)的存儲異地存放 ?屬主應該確保備份成功并定期檢查日志，根據(jù)需要，定期檢查和 實施測試以驗證備份效率和效力 信息備份 安全 帶上一把獵槍 69 重要信息的保密 信息交換及備份 軟件應用安全 計算機及網(wǎng)絡訪問安全 人員及第三方安全管理 移動計算與遠程辦公 工作環(huán)境及物理安全要求 防范病毒和惡意代碼 口令安全 電子郵件安全 介質(zhì)安全管理 警惕社會工程學 應急響應和業(yè)務連續(xù)性計劃 法律法規(guī) 軟件應用安全 帶上一把獵槍 70 ?盡量不要同時打開多個鏈接窗口 ?當某個網(wǎng)站提出要將本網(wǎng)站設置為主頁時，要取消操作 ?當網(wǎng)頁中彈出安裝某個插件的對話框時，要取消安裝，的確需要安裝的，請與管理人員聯(lián)系。 ?定期清楚歷史訪問信息、 cookies以及 Inter臨時文件 ?禁止利用單位信息系統(tǒng)從事與工作無關的活動，如網(wǎng)上聊天、打游戲等 ?禁止下載、上傳、傳播與工作無關的文件 ?禁止在網(wǎng)絡上運行任何黑客軟件 應用 安全 帶上一把獵槍 71 重要信息的保密 信息交換及備份 軟件應用安全 計算機及網(wǎng)絡訪問安全 人員及第三方安全管理 移動計算與遠程辦公 工作環(huán)境及物理安全要求 防范病毒和惡意代碼 口令安全 電子郵件安全 介質(zhì)安全管理 警惕社會工程學 應急響應和業(yè)務連續(xù)性計劃 法律法規(guī) 計算機網(wǎng)絡訪問 帶上一把獵槍 72 ? 訪問控制基本原則：未經(jīng)明確允許即為禁止訪問 ? 必須通過唯一注冊的用戶 ID來控制用戶對網(wǎng)絡的訪問 ? 系統(tǒng)管理員必須確保用戶訪問基于 最小特權 原則而授權 ? 用戶必須根據(jù)要求使用口令并保守秘密 ? 系統(tǒng)管理員必須對用戶訪問權限進行檢查，防止濫用 ? 系統(tǒng)管理員必須根據(jù)安全制度要求定義訪問控制規(guī)則，用戶必須遵守規(guī)則 ? 各部門應按照管理規(guī)定制定并實施對業(yè)務應用系統(tǒng)、開發(fā)和測試系統(tǒng)的訪問規(guī)則 計算機網(wǎng)絡訪問 安全 帶上一把獵槍 73 重要信息的保密 信息交換及備份 軟件應用安全 計算機及網(wǎng)絡訪問安全 人員及第三方安全管理 移動計算與遠程辦公 工作環(huán)境及物理安全要求 防范病毒和惡意代碼 口令安全 電子郵件安全 介質(zhì)安全管理 警惕社會工程學 應急響應和業(yè)務連續(xù)性計劃 法律法規(guī) 人員安全管理 帶上一把獵槍 74 背景檢查 簽署保密協(xié)議 安全職責說明 技能意識培訓 內(nèi)部職位調(diào)整及離職檢查流程 績效考核和獎懲 人員 安全 帶上一把獵槍 75 ? 應該識別來自第三方的風險：保安、清潔、基礎設施維護、供應商或外包人員，低質(zhì)量的外包服務也被視作一種安全風險 ? 簽署第三方協(xié)議時應包含安全要求，必要時需簽署不擴散協(xié)議 ? 第三方若需訪問敏感信息，需經(jīng)檢查和批準，其訪問將受限制 ? 任何第三方禁止 無人陪同 訪問生產(chǎn)網(wǎng)絡 環(huán)境 ? 第三方訪問所用工具應經(jīng)過相關部門檢查， 確認安全可靠， 其訪問應經(jīng)過認證 ? 負責第三方訪問的人員需 對三方人員進行 必要的安全培訓 第三方 人員 管理 安全 帶上一把獵槍 76 重要信息的保密 信息交換及備份 軟件應用安全 計算機及網(wǎng)絡訪問安全 人員及第三方安全管理 移動計算與遠程辦公 工作環(huán)境及物理安全要求 防范病毒和惡意代碼 口令安全 電子郵件安全 介質(zhì)安全管理 警惕社會工程學 應急響應和業(yè)務連續(xù)性計劃 法律法規(guī) 移動計算與遠程辦公 帶上一把獵槍 77 ? 所有連接辦公 生產(chǎn) 網(wǎng)絡的筆記本電腦或其他移動計算機，必須按照指定 PC安全標準來配置，必須符合補丁和防病毒管理規(guī)定 ? 相關 管理部門 必須 協(xié)助部署必要的筆記本電腦防信息泄漏措施 ? 用戶不能將口令、 ID或其他賬戶信息以明文保存在移動介質(zhì)上 ? 筆記本電腦遺失應按照相應管理制度執(zhí)行安全響應措施 ? 敏感信息應加密保護 ? 禁止在公共區(qū)域討論敏感信息，或通過筆記本電腦泄漏信息 筆記本電腦與遠程辦公 安全 帶上一把獵槍 78 重要信息的保密 信息交換及備份 軟件應用安全 計算機及網(wǎng)絡訪問安全 人員及第三方安全管理 移動計算與遠程辦公 工作環(huán)境及物理安全要求 防范病毒和惡意代碼 口令安全 電子郵件安全 介質(zhì)安全管理 警惕社會工程學 應急響應和業(yè)務連續(xù)性計劃 法律法規(guī) 工作環(huán)境及物理安全 帶上一把獵槍 79