【文章內(nèi)容簡(jiǎn)介】 計(jì)劃、仔細(xì)監(jiān)控并要進(jìn)行追蹤評(píng)價(jià)，以降低對(duì)用戶群的負(fù)面影響，增加信息資源的價(jià)值。適用范圍 該策略適用于安裝、操作或維護(hù)信息資源的所有人員。術(shù)語(yǔ)定義 略變更管理安全策略? 對(duì)信息資源的每一次變更，如操作系統(tǒng)、計(jì)算機(jī)硬件、網(wǎng)絡(luò)以及應(yīng)用程序都要服從變更管理策略，并且必須遵守變更管理程序；? 所有影響計(jì)算機(jī)環(huán)境設(shè)備的變更(如空調(diào)、水、熱、管道、電 )需要向變更管理過(guò)程的領(lǐng)導(dǎo)者報(bào)告，并與之協(xié)調(diào)處理；? 無(wú)論是事先有計(jì)劃的變更還是事先無(wú)計(jì)劃的變更必須都提交書面的變更申請(qǐng)；? 所有事先有計(jì)劃的變更申請(qǐng)必須按照變更管理程序的規(guī)定提交，以便信息安全小組有足夠的時(shí)間評(píng)審申請(qǐng)，確定并重新評(píng)審潛在的失敗，并決定申請(qǐng)被批準(zhǔn)還是延期執(zhí)行；? 每一個(gè)事先計(jì)劃的變更申請(qǐng)?jiān)趫?zhí)行前必須受到信息安全小組的正式批準(zhǔn)；? 指定的信息安全小組領(lǐng)導(dǎo)在下列情況下有權(quán)拒絕任何申請(qǐng)：不充分的策劃、不充分的刪除計(jì)劃、變更的時(shí)間等會(huì)對(duì)關(guān)鍵的業(yè)務(wù)過(guò)程造成負(fù)面影響，或者會(huì)造成沒有充分的資源可用；? 在變更管理程序?qū)嵤┣?，必須完成?duì)所有客戶的通知；? 每一次變更必須進(jìn)行變更評(píng)審，無(wú)論是計(jì)劃還是未計(jì)劃的，成功的還是失敗的；? 所有變更必須保留變更管理日志，必須保留的日志包括但不限于下列內(nèi)容：? 變更的提交和執(zhí)行日期；? 所有者和保管者信息；? 變更的特性；15 / 36? 成功或失敗的標(biāo)志。? 所有信息系統(tǒng)必須遵照上述規(guī)定進(jìn)行信息資源的變更。懲罰違背該策略可能導(dǎo)致：?jiǎn)T工以及臨時(shí)工被解雇、合同方或顧問(wèn)的雇傭關(guān)系終止、實(shí)習(xí)人員和志愿者失去繼續(xù)工作的機(jī)會(huì)、學(xué)生被開除；另外，這些人員還可能遭受信息資源訪問(wèn)權(quán)以及公民權(quán)的損失，甚至遭到法律起訴。引用標(biāo)準(zhǔn) 略16 / 369. 病毒防范策略發(fā)布部門 信息安全小組 生效時(shí)間 2022 年 11 月 01 日介紹計(jì)算機(jī)安全事故的數(shù)量以及由業(yè)務(wù)中斷服務(wù)恢復(fù)所導(dǎo)致的費(fèi)用日益攀升。實(shí)施穩(wěn)固的安全策略，防止對(duì)網(wǎng)絡(luò)和計(jì)算機(jī)不必要的訪問(wèn)，較早的發(fā)現(xiàn)并減輕安全事故可以有效地降低風(fēng)險(xiǎn)以及安全事故造成的費(fèi)用。目 的 該策略的目的是描述計(jì)算機(jī)病毒、蠕蟲以及特洛伊木馬防御、檢測(cè)以及清除的要求。適用范圍 該策略適用于使用信息資源的所有人員。術(shù)語(yǔ)定義 略病毒防范策略? 所有連接到局域網(wǎng)的工作站必須使用信息安全小組批準(zhǔn)的病毒保護(hù)軟件和配置；? 病毒保護(hù)軟件必須不能被禁用或被繞過(guò)；? 病毒保護(hù)軟件的更改不能降低軟件的有效性；? 不能為了降低病毒保護(hù)軟件的自動(dòng)更新頻率而對(duì)其進(jìn)行更改；? 與局域網(wǎng)連接的每一個(gè)文件服務(wù)器必須使用信息安全小組批準(zhǔn)的病毒保護(hù)軟件，并要進(jìn)行設(shè)置檢測(cè)、清除可能感染共享文件的病毒；? 由病毒保護(hù)軟件不能自動(dòng)清除并引起安全事故的病毒，必須向信息安全小組報(bào)告。懲罰違背該策略可能導(dǎo)致：?jiǎn)T工以及臨時(shí)工被解雇、合同方或顧問(wèn)的雇傭關(guān)系終止、實(shí)習(xí)人員和志愿者失去繼續(xù)工作的機(jī)會(huì)、學(xué)生被開除；另外， 這些人員還可能遭受信息資源訪問(wèn)權(quán)以及公民權(quán)的損失，甚至遭到法律起訴。引用標(biāo)準(zhǔn) 略17 / 3610. 可移動(dòng)代碼防范策略發(fā)布部門 信息安全小組 生效時(shí)間 2022 年 11 月 01 日介紹未經(jīng)授權(quán)的移動(dòng)代碼危害信息系統(tǒng)，應(yīng)實(shí)施對(duì)惡意代碼的監(jiān)測(cè)、預(yù)防和恢復(fù)控制，以及適當(dāng)?shù)挠脩粢庾R(shí)培訓(xùn)。目 的該策略的目的阻止和發(fā)現(xiàn)未經(jīng)授權(quán)的移動(dòng)代碼的引入，實(shí)施對(duì)惡意代碼的監(jiān)測(cè)、預(yù)防和恢復(fù)控制。適用范圍 該策略適用于使用信息資源的所有人員。術(shù)語(yǔ)定義 略可移動(dòng)代碼防范策略? 禁止使用未經(jīng)授權(quán)的軟件。? 防范經(jīng)過(guò)外部網(wǎng)絡(luò)或任何其它媒介引入文件和軟件相關(guān)的風(fēng)險(xiǎn)，并采取適當(dāng)?shù)念A(yù)防措施。? 定期對(duì)支持關(guān)鍵業(yè)務(wù)過(guò)程的系統(tǒng)中的軟件和數(shù)據(jù)進(jìn)行評(píng)審；無(wú)論出現(xiàn)任何未經(jīng)驗(yàn)收的文件或者未經(jīng)授權(quán)的修改，都要進(jìn)行正式調(diào)查。? 安裝并定期升級(jí)防病毒的檢測(cè)軟件和修復(fù)軟件，定期掃描計(jì)算機(jī)和存儲(chǔ)介質(zhì)，檢測(cè)應(yīng)包括： ? 在使用前，對(duì)存儲(chǔ)媒體，以及通過(guò)網(wǎng)絡(luò)接收的文檔進(jìn)行惡意代碼檢測(cè)；? 在使用前，通過(guò)郵件服務(wù)器對(duì)電子郵件附件及下載文件進(jìn)行惡意代碼檢測(cè)；? 信息安全小組負(fù)責(zé)惡意代碼防護(hù)、使用培訓(xùn)、病毒襲擊和恢復(fù)報(bào)告。? 為從惡意代碼攻擊中恢復(fù)，需要制定適當(dāng)?shù)臉I(yè)務(wù)持續(xù)性計(jì)劃。包括所有必要的數(shù)據(jù)、軟件備份以及恢復(fù)安排。? 信息安全小組應(yīng)制定并實(shí)施文件化的程序，驗(yàn)證所有與惡意軟件相關(guān)的信息并且確保警報(bào)公告的內(nèi)容準(zhǔn)確詳實(shí)。管理員應(yīng)當(dāng)確保使用合格的信息資源，防止引入真正的惡意代碼。所有用戶應(yīng)有防欺騙的意識(shí)，并知道收到欺騙信息時(shí)如何處置。懲罰違背該策略可能導(dǎo)致：?jiǎn)T工以及臨時(shí)工被解雇、合同方或顧問(wèn)的雇傭關(guān)系終止、實(shí)習(xí)人員和志愿者失去繼續(xù)工作的機(jī)會(huì)、學(xué)生被開除；另外， 這些人員還可能遭受信息資源訪問(wèn)權(quán)以及公民權(quán)的損失，甚至遭到法律起訴。引用標(biāo)準(zhǔn) 略18 / 3611. 信息備份安全策略發(fā)布部門 信息安全小組 生效時(shí)間 2022 年 11 月 01 日介紹電子備份是一項(xiàng)必需的業(yè)務(wù)要求，能使數(shù)據(jù)和應(yīng)用程序在發(fā)生意想不到的事件時(shí)得以恢復(fù)，這些事件包括：自然災(zāi)害、系統(tǒng)磁盤故障、間諜活動(dòng)、數(shù)據(jù)輸入錯(cuò)誤或系統(tǒng)操作錯(cuò)誤等。目 的 該策略的目的是設(shè)置電子信息的備份和存儲(chǔ)職責(zé)。適用范圍該策略適用于組織中負(fù)責(zé)信息資源安裝和支持的所有人員，以及負(fù)責(zé)信息資源安全的人員和數(shù)據(jù)所有者。術(shù)語(yǔ)定義 略信息備份安全策略? 信息備份周期和方式必須依據(jù)信息的重要性以及數(shù)據(jù)所有者確定的可接受風(fēng)險(xiǎn)確定；? 供應(yīng)商提供的場(chǎng)所外備份存儲(chǔ)必須達(dá)到信息存儲(chǔ)的最高等級(jí)；? 場(chǎng)所外備份存儲(chǔ)區(qū)的物理訪問(wèn)控制的實(shí)施必須滿足并超過(guò)原系統(tǒng)的物理訪問(wèn)控制，另外備份介質(zhì)必須依據(jù)信息存儲(chǔ)的最高安全等級(jí)進(jìn)行保護(hù) ；? 必須建立并實(shí)施對(duì)電子信息備份成功與否的驗(yàn)證過(guò)程；? 必須對(duì)場(chǎng)所外備份存儲(chǔ)供應(yīng)商每年進(jìn)行評(píng)審；? 為了容易識(shí)別介質(zhì)和／或關(guān)聯(lián)系統(tǒng)，備份介質(zhì)至少應(yīng)該被標(biāo)注下列信息：? 系統(tǒng)名；? 創(chuàng)建日期；? 機(jī)密度分級(jí)［以相應(yīng)的電子記錄保持法規(guī)為基礎(chǔ)］ ；? 包含的信息。懲罰違背該策略可能導(dǎo)致：?jiǎn)T工以及臨時(shí)工被解雇、合同方或顧問(wèn)的雇傭關(guān)系終止、實(shí)習(xí)人員和志愿者失去繼續(xù)工作的機(jī)會(huì)、學(xué)生被開除；另外， 這些人員還可能遭受信息資源訪問(wèn)權(quán)以及公民權(quán)的損失，甚至遭到法律起訴。引用標(biāo)準(zhǔn) 略19 / 3612. 網(wǎng)絡(luò)配置安全策略發(fā)布部門 信息安全小組 生效時(shí)間 2022 年 11 月 01 日介紹網(wǎng)絡(luò)基礎(chǔ)設(shè)施是提供給所有信息資源用戶的中心設(shè)施。重要的是這些基礎(chǔ)設(shè)施（包括電纜以及相關(guān)的設(shè)備，如路由器、交換機(jī)）要持續(xù)不斷的發(fā)展以滿足用戶需求，然而也要求同時(shí)高速發(fā)展網(wǎng)絡(luò) 技術(shù)部以便將來(lái)提供功能更強(qiáng)大的用戶服務(wù)。目 的該策略的目的是為網(wǎng)絡(luò)基礎(chǔ)設(shè)施的維護(hù)、擴(kuò)展以及使用建立規(guī)則。該規(guī)則是保持信息完整性、可用性和保密性所必需的。適用范圍 該策略適用于訪問(wèn)信息資源的所有人。術(shù)語(yǔ)定義 略網(wǎng)絡(luò)配置安全策略? 信息安全小組擁有網(wǎng)絡(luò)基礎(chǔ)設(shè)施并對(duì)其負(fù)責(zé)，而且還要對(duì)基礎(chǔ)設(shè)施的發(fā)展和增加進(jìn)行管理；? 為了提供穩(wěn)固的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，所有電纜必須由信息安全小組或被認(rèn)可的合同方安裝；? 所有網(wǎng)絡(luò)連接設(shè)備必須按照改為：信息安全小組批準(zhǔn)的規(guī)范進(jìn)行配置；? 所有連接到網(wǎng)絡(luò)的硬件必須服從信息安全小組的管理和監(jiān)控標(biāo)準(zhǔn)；? 在沒有信息安全小組批準(zhǔn)的情況下，不能對(duì)活動(dòng)的網(wǎng)絡(luò)管理設(shè)備的配置進(jìn)行更改；? 網(wǎng)絡(luò)基礎(chǔ)設(shè)施支持一系列合理定義的、被認(rèn)可的網(wǎng)絡(luò)協(xié)議。使用任何未經(jīng)認(rèn)可的協(xié)議都必須經(jīng)過(guò)信息安全小組的批準(zhǔn)；? 支持協(xié)議的網(wǎng)絡(luò)地址由信息安全小組集中分配、注冊(cè)和管理；? 網(wǎng)絡(luò)基礎(chǔ)設(shè)施與外部供應(yīng)商網(wǎng)絡(luò)的所有連接都由信息安全小組負(fù)責(zé)。這包括與外部電話網(wǎng)絡(luò)的連接；? 信息安全小組的防火墻必須按照防火墻實(shí)施規(guī)范文件進(jìn)行安裝和配置；? 在未獲得信息安全小組書面授權(quán)的情況下，部門不得使用防火墻；? 用戶不可以以任何方式擴(kuò)散或再次傳播網(wǎng)絡(luò)服務(wù)。這就意味著未經(jīng)信息安全小組批準(zhǔn)不可以安裝路由器、交換機(jī)、集線器或者無(wú)線訪問(wèn)端口；? 在未經(jīng)信息安全小組批準(zhǔn)的情況下，用戶不得安裝網(wǎng)絡(luò)硬件或軟件提供網(wǎng)絡(luò)服務(wù)；? 不允許用戶以任何方式更換網(wǎng)絡(luò)硬件。懲罰違背該策略可能導(dǎo)致：?jiǎn)T工以及臨時(shí)工被解雇、合同方或顧問(wèn)的雇傭關(guān)系終止、實(shí)習(xí)人員和志愿者失去繼續(xù)工作的機(jī)會(huì)、學(xué)生被開除；另外， 這些人員還可能遭受信息20 / 36資源訪問(wèn)權(quán)以及公民權(quán)的損失，甚至遭到法律起訴。引用標(biāo)準(zhǔn) 略13. 信息交換策略發(fā)布部門 信息安全小組 生效時(shí)間 2022 年 11 月 01 日介紹在組織之間交換信息和軟件應(yīng)當(dāng)遵守根據(jù)交換協(xié)議所制定的正式的交換方針，并且應(yīng)當(dāng)服從所有相關(guān)的法律。目 的 保持在組織內(nèi)部及任何外部機(jī)構(gòu)之間所交換的信息和軟件的安全。適用范圍 該策略適用于進(jìn)行信息交換的所有人員。術(shù)語(yǔ)定義 略信息交換策略? 不能在公共場(chǎng)所或者敞開的辦公室、沒有屋頂防護(hù)的會(huì)議室談?wù)摍C(jī)密信息。? 對(duì)信息交流應(yīng)作適當(dāng)?shù)姆婪叮绮灰┞稒C(jī)密信息，避免被通過(guò)電話偷聽或截取。? 員工、合作方以及任何其他用戶不得損害本局的利益，如誹謗、騷擾、假冒、未經(jīng)授權(quán)的采購(gòu)等。? 不得將包含機(jī)密信息的訊息放在自動(dòng)應(yīng)答系統(tǒng)中。? 不得將機(jī)密或關(guān)鍵信息放在打印設(shè)施上，如復(fù)印機(jī)、打印機(jī)和傳真，防止未經(jīng)授權(quán)人員的訪問(wèn)。? 做應(yīng)用系統(tǒng)之間接口、協(xié)議時(shí)，不能影響雙方應(yīng)用的正常運(yùn)行；在實(shí)施之前應(yīng)充分考慮應(yīng)用系統(tǒng)的資源是否足夠；保證數(shù)據(jù)交換的權(quán)限最小化。? 在進(jìn)行與相關(guān)方信息交換時(shí)，需提前指定雙方的信息交換人員、交換方式、交換保密方法，以防止信息的泄露。懲罰違背該策略可能導(dǎo)致：?jiǎn)T工以及臨時(shí)工被解雇、合同方或顧問(wèn)的雇傭關(guān)系終止、實(shí)習(xí)人員和志愿者失去繼續(xù)工作的機(jī)會(huì)、學(xué)生被開除；另外， 這些人員還可能遭受信息資源訪問(wèn)權(quán)以及公民權(quán)的損失，甚至遭到法律起訴引用標(biāo)準(zhǔn) 略21 / 3614. 運(yùn)輸中物理介質(zhì)安全策略發(fā)布部門 信息安全小組 生效時(shí)間 2022 年 11 月 01 日介紹物理介質(zhì)是信息資源的載體，在運(yùn)送過(guò)程中必須對(duì)其安全進(jìn)行管理。建立該方針是為了確保包含信息的介質(zhì)在組織的物理邊界以外運(yùn)送時(shí)，防止未授權(quán)的訪問(wèn)、不當(dāng)?shù)氖褂没驓?。?的 略適用范圍 該方針適用于在組織安全邊界外運(yùn)輸組織物理介質(zhì)的所有人員。術(shù)語(yǔ)定義 略運(yùn)輸中物理介質(zhì)安全策略應(yīng)考慮下列方針以保護(hù)不同地點(diǎn)間傳輸?shù)男畔⒔橘|(zhì)：? 應(yīng)使用可靠的運(yùn)輸或送信人；? 授權(quán)的送信人列表應(yīng)經(jīng)管理者批準(zhǔn)；? 包裝要足以保護(hù)信息免遭在運(yùn)輸期間可能出現(xiàn)的任何物理?yè)p