【文章內(nèi)容簡(jiǎn)介】 軟件應(yīng)用安全 計(jì)算機(jī)及網(wǎng)絡(luò)訪問安全 人員及第三方安全管理 移動(dòng)計(jì)算與遠(yuǎn)程辦公 工作環(huán)境及物理安全要求 防范病毒和惡意代碼 口令安全 電子郵件安全 介質(zhì)安全管理 警惕社會(huì)工程學(xué) 應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計(jì)劃 法律法規(guī) 重要信息的保密 帶上一把獵槍 Owner 數(shù)據(jù)的屬主（ OM/PM） 決定所屬數(shù)據(jù)的敏感級(jí)別 確定必要的保護(hù)措施 最終批準(zhǔn)并 Review用戶訪問權(quán)限 Custodian 受 Owner委托管理數(shù)據(jù) 通常是 IT人員或部門系統(tǒng)（數(shù)據(jù)）管理員 向 Owner提交訪問申請(qǐng)并按 Owner授意為用戶授權(quán) 執(zhí)行數(shù)據(jù)保護(hù)措施，實(shí)施日常維護(hù)和管理 User 公司或第三方職員 因工作需要而請(qǐng)求訪問數(shù)據(jù) 遵守安全規(guī)定和控制 報(bào)告安全事件和隱患 資產(chǎn)責(zé)任劃分 帶上一把獵槍 64 ? 各類信息，無論電子還是紙質(zhì)，在標(biāo)注、授權(quán)、訪問、存儲(chǔ)、拷貝、傳真、內(nèi)部和外部分發(fā)（包括第三方轉(zhuǎn)交）、傳輸、處理等各個(gè)環(huán)節(jié)，都應(yīng)該遵守既定策略 ? 信息分類管理程序只約定要求和原則，具體控制和實(shí)現(xiàn)方式，由信息屬主或相關(guān)部門確定，以遵守最佳實(shí)踐和法律法規(guī)為參照 ? 凡違反程序規(guī)定的行為，酌情予以紀(jì)律處分 信息 處理 與 保護(hù) 帶上一把獵槍 65 ? 根據(jù)需要，在個(gè)人協(xié)議 /合同 中明確安全方面的承諾和要求； ? 明確與客戶進(jìn)行數(shù)據(jù)交接的人員責(zé)任，控制客戶數(shù)據(jù)使用及分發(fā)； ? 明確非業(yè)務(wù)部門在授權(quán)使用客戶數(shù)據(jù)時(shí)的保護(hù)責(zé)任； ? 基于業(yè)務(wù)需要，主管決定是否對(duì)重要數(shù)據(jù)進(jìn)行加密保護(hù)； ? 禁止將客戶數(shù)據(jù)或客戶標(biāo)識(shí)用于非項(xiàng)目相關(guān)的場(chǎng)合如培訓(xùn)材料； ? 客戶現(xiàn)場(chǎng)的工作人員，嚴(yán)格遵守客戶 Policy，妥善保護(hù)客戶數(shù)據(jù)； ? 打印件應(yīng)設(shè)置標(biāo)識(shí)，及時(shí)取回，并妥善保存或處理。 數(shù)據(jù)保護(hù) 安全 帶上一把獵槍 66 重要信息的保密 信息交換及備份 軟件應(yīng)用安全 計(jì)算機(jī)及網(wǎng)絡(luò)訪問安全 人員及第三方安全管理 移動(dòng)計(jì)算與遠(yuǎn)程辦公 工作環(huán)境及物理安全要求 防范病毒和惡意代碼 口令安全 電子郵件安全 介質(zhì)安全管理 警惕社會(huì)工程學(xué) 應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計(jì)劃 法律法規(guī) 信息交換與備份 帶上一把獵槍 67 ? 信息交換原則： ? 明確要交換信息的敏感級(jí)別，除了顯著標(biāo)注外，根據(jù)其敏感級(jí)別采取合適的保護(hù)措施 ? 信息發(fā)送者和接收者有責(zé)任遵守信息交換要求 ? 物理介質(zhì)傳輸： ? 與快遞公司簽署不擴(kuò)散協(xié)議，識(shí)別丟失風(fēng)險(xiǎn)，采取必要的控制措施 ? 電子郵件和互聯(lián)網(wǎng)信息交換 ? 明確不可涉及敏感數(shù)據(jù)，如客戶信息、訂單合同等信息 ? 如必須交換此類信息，需申請(qǐng)主管批準(zhǔn)并采取加密傳輸措施或 DRM保護(hù)機(jī)制 ? 文件共享： ? 包括 Confidential在內(nèi)的高級(jí)別的信息不能被發(fā)布于公共區(qū)域 ? 所有共享文件應(yīng)按照規(guī)則放置在相應(yīng)的文件服務(wù)器目錄中，任何人不得在其個(gè)人電腦中開設(shè)共享。 ? 共享文件夾應(yīng)該設(shè)置恰當(dāng)?shù)脑L問控制，禁止向所有用戶賦予完全訪問權(quán)限 ? 臨時(shí)共享的文件事后應(yīng)予以刪除 信息交換 安全 帶上一把獵槍 68 ?重要信息系統(tǒng)應(yīng)支持全備份、差量備份和增量備份 ?備份介質(zhì)的存儲(chǔ)異地存放 ?屬主應(yīng)該確保備份成功并定期檢查日志，根據(jù)需要，定期檢查和 實(shí)施測(cè)試以驗(yàn)證備份效率和效力 信息備份 安全 帶上一把獵槍 69 重要信息的保密 信息交換及備份 軟件應(yīng)用安全 計(jì)算機(jī)及網(wǎng)絡(luò)訪問安全 人員及第三方安全管理 移動(dòng)計(jì)算與遠(yuǎn)程辦公 工作環(huán)境及物理安全要求 防范病毒和惡意代碼 口令安全 電子郵件安全 介質(zhì)安全管理 警惕社會(huì)工程學(xué) 應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計(jì)劃 法律法規(guī) 軟件應(yīng)用安全 帶上一把獵槍 70 ?盡量不要同時(shí)打開多個(gè)鏈接窗口 ?當(dāng)某個(gè)網(wǎng)站提出要將本網(wǎng)站設(shè)置為主頁(yè)時(shí)，要取消操作 ?當(dāng)網(wǎng)頁(yè)中彈出安裝某個(gè)插件的對(duì)話框時(shí)，要取消安裝，的確需要安裝的，請(qǐng)與管理人員聯(lián)系。 ?定期清楚歷史訪問信息、 cookies以及 Inter臨時(shí)文件 ?禁止利用單位信息系統(tǒng)從事與工作無關(guān)的活動(dòng)，如網(wǎng)上聊天、打游戲等 ?禁止下載、上傳、傳播與工作無關(guān)的文件 ?禁止在網(wǎng)絡(luò)上運(yùn)行任何黑客軟件 應(yīng)用 安全 帶上一把獵槍 71 重要信息的保密 信息交換及備份 軟件應(yīng)用安全 計(jì)算機(jī)及網(wǎng)絡(luò)訪問安全 人員及第三方安全管理 移動(dòng)計(jì)算與遠(yuǎn)程辦公 工作環(huán)境及物理安全要求 防范病毒和惡意代碼 口令安全 電子郵件安全 介質(zhì)安全管理 警惕社會(huì)工程學(xué) 應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計(jì)劃 法律法規(guī) 計(jì)算機(jī)網(wǎng)絡(luò)訪問 帶上一把獵槍 72 ? 訪問控制基本原則：未經(jīng)明確允許即為禁止訪問 ? 必須通過唯一注冊(cè)的用戶 ID來控制用戶對(duì)網(wǎng)絡(luò)的訪問 ? 系統(tǒng)管理員必須確保用戶訪問基于 最小特權(quán) 原則而授權(quán) ? 用戶必須根據(jù)要求使用口令并保守秘密 ? 系統(tǒng)管理員必須對(duì)用戶訪問權(quán)限進(jìn)行檢查，防止濫用 ? 系統(tǒng)管理員必須根據(jù)安全制度要求定義訪問控制規(guī)則，用戶必須遵守規(guī)則 ? 各部門應(yīng)按照管理規(guī)定制定并實(shí)施對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)、開發(fā)和測(cè)試系統(tǒng)的訪問規(guī)則 計(jì)算機(jī)網(wǎng)絡(luò)訪問 安全 帶上一把獵槍 73 重要信息的保密 信息交換及備份 軟件應(yīng)用安全 計(jì)算機(jī)及網(wǎng)絡(luò)訪問安全 人員及第三方安全管理 移動(dòng)計(jì)算與遠(yuǎn)程辦公 工作環(huán)境及物理安全要求 防范病毒和惡意代碼 口令安全 電子郵件安全 介質(zhì)安全管理 警惕社會(huì)工程學(xué) 應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計(jì)劃 法律法規(guī) 人員安全管理 帶上一把獵槍 74 背景檢查 簽署保密協(xié)議 安全職責(zé)說明 技能意識(shí)培訓(xùn) 內(nèi)部職位調(diào)整及離職檢查流程 績(jī)效考核和獎(jiǎng)懲 人員 安全 帶上一把獵槍 75 ? 應(yīng)該識(shí)別來自第三方的風(fēng)險(xiǎn)：保安、清潔、基礎(chǔ)設(shè)施維護(hù)、供應(yīng)商或外包人員，低質(zhì)量的外包服務(wù)也被視作一種安全風(fēng)險(xiǎn) ? 簽署第三方協(xié)議時(shí)應(yīng)包含安全要求，必要時(shí)需簽署不擴(kuò)散協(xié)議 ? 第三方若需訪問敏感信息，需經(jīng)檢查和批準(zhǔn)，其訪問將受限制 ? 任何第三方禁止 無人陪同 訪問生產(chǎn)網(wǎng)絡(luò) 環(huán)境 ? 第三方訪問所用工具應(yīng)經(jīng)過相關(guān)部門檢查， 確認(rèn)安全可靠， 其訪問應(yīng)經(jīng)過認(rèn)證 ? 負(fù)責(zé)第三方訪問的人員需 對(duì)三方人員進(jìn)行 必要的安全培訓(xùn) 第三方 人員 管理 安全 帶上一把獵槍 76 重要信息的保密 信息交換及備份 軟件應(yīng)用安全 計(jì)算機(jī)及網(wǎng)絡(luò)訪問安全 人員及第三方安全管理 移動(dòng)計(jì)算與遠(yuǎn)程辦公 工作環(huán)境及物理安全要求 防范病毒和惡意代碼 口令安全 電子郵件安全 介質(zhì)安全管理 警惕社會(huì)工程學(xué) 應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計(jì)劃 法律法規(guī) 移動(dòng)計(jì)算與遠(yuǎn)程辦公 帶上一把獵槍 77 ? 所有連接辦公 生產(chǎn) 網(wǎng)絡(luò)的筆記本電腦或其他移動(dòng)計(jì)算機(jī)，必須按照指定 PC安全標(biāo)準(zhǔn)來配置，必須符合補(bǔ)丁和防病毒管理規(guī)定 ? 相關(guān) 管理部門 必須 協(xié)助部署必要的筆記本電腦防信息泄漏措施 ? 用戶不能將口令、 ID或其他賬戶信息以明文保存在移動(dòng)介質(zhì)上 ? 筆記本電腦遺失應(yīng)按照相應(yīng)管理制度執(zhí)行安全響應(yīng)措施 ? 敏感信息應(yīng)加密保護(hù) ? 禁止在公共區(qū)域討論敏感信息，或通過筆記本電腦泄漏信息 筆記本電腦與遠(yuǎn)程辦公 安全 帶上一把獵槍 78 重要信息的保密 信息交換及備份 軟件應(yīng)用安全 計(jì)算機(jī)及網(wǎng)絡(luò)訪問安全 人員及第三方安全管理 移動(dòng)計(jì)算與遠(yuǎn)程辦公 工作環(huán)境及物理安全要求 防范病毒和惡意代碼 口令安全 電子郵件安全 介質(zhì)安全管理 警惕社會(huì)工程學(xué) 應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計(jì)劃 法律法規(guī) 工作環(huán)境及物理安全 帶上一把獵槍 79