【文章內(nèi)容簡(jiǎn)介】 時(shí)間間隔和規(guī)范，對(duì)設(shè)備進(jìn)行維護(hù)。g) 第三方支持和維護(hù)人員對(duì)重要設(shè)備技術(shù)支持前，必須經(jīng)過(guò)安全責(zé)任人的授權(quán)或?qū)徟?。并且在?duì)重要設(shè)備現(xiàn)場(chǎng)實(shí)施過(guò)程中必須有相關(guān)人員全程陪同，詳細(xì)規(guī)定參見(jiàn)《第三方和外包管理規(guī)定》。h) 設(shè)備的安全與重用應(yīng)當(dāng)按規(guī)定的操作程序來(lái)處理，特別是包含重要信息的存儲(chǔ)設(shè)備，應(yīng)按照相關(guān)規(guī)定，以確定是否銷(xiāo)毀、修理或棄用該設(shè)備。對(duì)棄置的存儲(chǔ)有敏感信息的存儲(chǔ)設(shè)備，必須將其銷(xiāo)毀，或重寫(xiě)數(shù)據(jù)，而不能只是使用標(biāo)準(zhǔn)的刪除功能進(jìn)行數(shù)據(jù)刪除。詳細(xì)規(guī)定參見(jiàn)《移動(dòng)存儲(chǔ)介質(zhì)使用規(guī)定》。i) 當(dāng)員工離開(kāi)時(shí)，對(duì)于載有重要信息的紙張和可移動(dòng)的存儲(chǔ)介質(zhì)，應(yīng)當(dāng)妥善保管。j) 遠(yuǎn)程辦公人員有責(zé)任保護(hù)移動(dòng)設(shè)備的安全，未經(jīng)批準(zhǔn)，不得在公共場(chǎng)所訪(fǎng)問(wèn)內(nèi)部網(wǎng)絡(luò)。k) 未經(jīng)信息安全責(zé)任人授權(quán)，不允許將載有重要信息的設(shè)備、信息或軟件帶離工作場(chǎng)所。機(jī)房?jī)?nèi)設(shè)備的出入必須填寫(xiě)《機(jī)房出入登記表》。. 通信和操作管理1) 操作程序和責(zé)任目標(biāo)：確保信息處理設(shè)施的正確和安全操作 a) 對(duì)于日常維護(hù)工作必須按照規(guī)定的系統(tǒng)操作流程進(jìn)行，操作流程應(yīng)當(dāng)指明具體執(zhí)行每個(gè)作業(yè)的說(shuō)明。操作流程必須成文，并只有經(jīng)授權(quán)才可以修改。b) 必須建立并執(zhí)行信息處理設(shè)備和信息系統(tǒng)變更管理流程（具體參照《變更管理流程》），形成文檔備案。c) 處理敏感信息資產(chǎn)時(shí)，可以考慮分離職責(zé)，如果不實(shí)施分離，則應(yīng)當(dāng)對(duì)處理操作予以記錄，并定期進(jìn)行監(jiān)督。d) 應(yīng)當(dāng)分離開(kāi)發(fā)、測(cè)試與運(yùn)營(yíng)環(huán)境，敏感數(shù)據(jù)不可拷貝到測(cè)試環(huán)境中，測(cè)試完成后應(yīng)當(dāng)及時(shí)清理測(cè)試環(huán)境。2) 第三方服務(wù)交付管理目標(biāo)：實(shí)施并保持信息安全的適當(dāng)水平，確保第三方交付的服務(wù)符合協(xié)議要求。a) 應(yīng)當(dāng)確保第三方實(shí)施、運(yùn)行并保持第三方服務(wù)交付協(xié)議中包括商定的安全布置、服務(wù)定義和交付等級(jí)。應(yīng)定期審核第三方的服務(wù)提交的報(bào)告和檢查對(duì)協(xié)議的符合度。重要的第三方服務(wù)必須簽訂服務(wù)合同和第三方保密協(xié)議。b) 應(yīng)當(dāng)在第三方服務(wù)協(xié)議中包含服務(wù)變更管理的內(nèi)容。變更內(nèi)容包括但不限于：216。 任何新應(yīng)用、系統(tǒng)、服務(wù)的開(kāi)發(fā)216。 對(duì)現(xiàn)有應(yīng)用、系統(tǒng)、服務(wù)的更改或更新216。 與信息安全有關(guān)的新的控制措施216。 網(wǎng)絡(luò)環(huán)境或其它新技術(shù)的使用216。 開(kāi)發(fā)環(huán)境或物理環(huán)境的變更216。 供應(yīng)商的變更3) 系統(tǒng)策劃與驗(yàn)收目標(biāo)：最小化系統(tǒng)失效的風(fēng)險(xiǎn)a) 應(yīng)為系統(tǒng)的性能和容量要求做預(yù)先的規(guī)劃和準(zhǔn)備，應(yīng)反映對(duì)未來(lái)容量需求的推測(cè)，以減少系統(tǒng)過(guò)載的風(fēng)險(xiǎn)。b) 應(yīng)建立新信息系統(tǒng)、系統(tǒng)升級(jí)和新版本的驗(yàn)收準(zhǔn)則，驗(yàn)收前應(yīng)當(dāng)完成設(shè)計(jì)審核、缺陷分析及安全測(cè)試。必須將驗(yàn)收標(biāo)準(zhǔn)寫(xiě)入到項(xiàng)目合同中。4) 防范惡意和移動(dòng)代碼目標(biāo)：保護(hù)軟件和信息的完整性。a) 所有服務(wù)器和個(gè)人計(jì)算機(jī)都必須激活防病毒軟件，必須及時(shí)更新防病毒代碼庫(kù)。詳細(xì)規(guī)定參見(jiàn)《防病毒管理程序》。b) 系統(tǒng)內(nèi)的服務(wù)器和個(gè)人計(jì)算機(jī)必須使用可信來(lái)源的軟件，應(yīng)對(duì)軟件進(jìn)行病毒檢測(cè)后統(tǒng)一保存。c) 員工應(yīng)當(dāng)?shù)街付ǖ目臻g下載軟件，不得私自安裝授權(quán)使用軟件列表之外的軟件。d) 必須對(duì)所有的電子郵件附件進(jìn)行病毒掃描，也不要隨意打開(kāi)來(lái)歷不明的郵件附件。e) 應(yīng)當(dāng)開(kāi)展對(duì)一般員工的預(yù)防病毒培訓(xùn)。員工一旦發(fā)現(xiàn)或懷疑有PC或服務(wù)器被病毒感染,必須馬上斷開(kāi)網(wǎng)絡(luò)并進(jìn)行全盤(pán)掃描，必須立即通知技術(shù)部門(mén)。5) 備份目標(biāo)：保持信息和信息處理設(shè)施的完整性和可用性。a) 管理員應(yīng)當(dāng)對(duì)重要的應(yīng)用系統(tǒng)、操作系統(tǒng)、配置文件及日志等制訂備份策略，并要定期對(duì)備份數(shù)據(jù)進(jìn)行測(cè)試。如果是涉密信息，必須對(duì)備份信息實(shí)施加密。b) 所有員工要定期對(duì)個(gè)人電腦上的重要數(shù)據(jù)進(jìn)行備份，以減少不必要的損失。c) 備份應(yīng)當(dāng)存儲(chǔ)在與主設(shè)備有足夠距離的地點(diǎn)，該地點(diǎn)應(yīng)安全可靠，應(yīng)同主設(shè)備場(chǎng)地使用同等的安全等級(jí)。6) 網(wǎng)絡(luò)安全管理目標(biāo)：確保網(wǎng)絡(luò)中的信息和支持性基礎(chǔ)設(shè)施得到保護(hù)。a) 應(yīng)當(dāng)對(duì)重要的線(xiàn)路、網(wǎng)絡(luò)設(shè)備采用冗余措施，以維持關(guān)鍵服務(wù)的可用性。b) 網(wǎng)絡(luò)管理員應(yīng)當(dāng)參照《訪(fǎng)問(wèn)控制程序》對(duì)網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)進(jìn)行充分的管理和控制，并采用網(wǎng)管工具對(duì)通訊線(xiàn)路、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)的監(jiān)控和預(yù)警。c) 處理敏感信息的計(jì)算機(jī)應(yīng)當(dāng)與局域網(wǎng)物理隔離，應(yīng)當(dāng)采用適當(dāng)?shù)募用芗夹g(shù)。7) 介質(zhì)處理目標(biāo)：防止對(duì)資產(chǎn)的未授權(quán)泄露、修改、移動(dòng)或損壞，及對(duì)業(yè)務(wù)活動(dòng)的的干擾。a) 應(yīng)當(dāng)妥善記錄移動(dòng)介質(zhì)。不得將載有重要信息的存儲(chǔ)介質(zhì)隨意存放，未經(jīng)安全責(zé)任人授權(quán)，不得帶出辦公地點(diǎn)。b) 如果介質(zhì)上的內(nèi)容不再需要，應(yīng)當(dāng)立即清除。對(duì)于備份或存放有重要信息或軟件的存儲(chǔ)介質(zhì)，在銷(xiāo)毀時(shí)，應(yīng)當(dāng)進(jìn)行格式化或重寫(xiě)數(shù)據(jù)，避免不必要的泄露。c) 存放業(yè)務(wù)應(yīng)用系統(tǒng)及重要信息的介質(zhì)，嚴(yán)禁外借，確因工作需要，須報(bào)請(qǐng)部門(mén)領(lǐng)導(dǎo)批準(zhǔn)。d) 對(duì)需要長(zhǎng)期保存的介質(zhì)，必須在介質(zhì)老化前進(jìn)行轉(zhuǎn)儲(chǔ)，以防止因介質(zhì)失效造成損失。e) 應(yīng)限制只有系統(tǒng)管理員才可訪(fǎng)問(wèn)系統(tǒng)文檔。應(yīng)對(duì)的所有信息數(shù)據(jù)分類(lèi)標(biāo)識(shí)，建立信息處置、存儲(chǔ)、分發(fā)的規(guī)程。8) 信息交換目標(biāo)：應(yīng)保持組織內(nèi)部或組織與外部組織之間交換信息和軟件的安全。a) 應(yīng)當(dāng)依據(jù)《信息資產(chǎn)鑒別和分類(lèi)管理辦法》、《信息安全交流控制程序》，保護(hù)信息在發(fā)布、交換時(shí)的安全。b) 員工必須遵守國(guó)家有關(guān)信息管理的法規(guī)，不得利用網(wǎng)絡(luò)危害國(guó)家安全、泄露國(guó)家秘密，不得違反中華人民共和國(guó)現(xiàn)行法律和法規(guī)，不得侵犯國(guó)家社會(huì)集體的和公民的合法權(quán)益。c) 敏感信息應(yīng)當(dāng)通過(guò)專(zhuān)用的線(xiàn)路傳輸。未經(jīng)安全責(zé)任人授權(quán)，員工不得與外部聯(lián)網(wǎng)的計(jì)算機(jī)信息系統(tǒng)傳輸涉及重要信息的文件。d) 員工不得利用網(wǎng)絡(luò)對(duì)他人進(jìn)行侮辱、誹謗、騷擾；不得侵害他人合法權(quán)益；不得侵犯他人的名譽(yù)權(quán)，肖像權(quán)、姓名權(quán)等人身權(quán)利；不得侵犯他人的商譽(yù)、商標(biāo)、版權(quán)、專(zhuān)利、專(zhuān)有技術(shù)等各種知識(shí)產(chǎn)權(quán)。e) 在通過(guò)郵政等物理傳輸方式傳輸時(shí)，應(yīng)保護(hù)包含重要信息的介質(zhì)的安全。f) 應(yīng)控制并記錄允許操作業(yè)務(wù)系統(tǒng)的用戶(hù)名單，未經(jīng)安全責(zé)任人授權(quán)，不得隨意變更訪(fǎng)問(wèn)限制和共享信息。9) 監(jiān)視和審計(jì)目標(biāo)：檢測(cè)未經(jīng)授權(quán)的信息處理活動(dòng)。a) 公司制定《IT設(shè)備設(shè)施維護(hù)管理程序》、《信息安全技術(shù)檢查管理規(guī)定》對(duì)信息系統(tǒng)活動(dòng)進(jìn)行監(jiān)控。b) 應(yīng)當(dāng)使用監(jiān)視程序以確保用戶(hù)只執(zhí)行被明確授權(quán)的活動(dòng)，審計(jì)內(nèi)容應(yīng)細(xì)化到個(gè)人而不是共享帳號(hào)。審計(jì)至少包括用戶(hù)ID、系統(tǒng)日志、操作記錄等。c) 可以實(shí)施安全產(chǎn)品或調(diào)整配置，以記錄和審計(jì)用戶(hù)活動(dòng)、系統(tǒng)、安全產(chǎn)品和信息安全事件產(chǎn)生的日志，并按照約定的期限保留，以支持將來(lái)的調(diào)查和訪(fǎng)問(wèn)控制監(jiān)視。d) 可以在內(nèi)網(wǎng)中配置日志服務(wù)器，專(zhuān)門(mén)收集主機(jī)、網(wǎng)絡(luò)設(shè)備、安全產(chǎn)品的日志，以避免日志被破壞或覆蓋。e) 應(yīng)在網(wǎng)絡(luò)中配置時(shí)鐘服務(wù)器，被審計(jì)的信息設(shè)備應(yīng)同時(shí)鐘服務(wù)器的時(shí)間保持同步，以避免審計(jì)上的漏洞。. 信息系統(tǒng)訪(fǎng)問(wèn)控制1) 訪(fǎng)問(wèn)控制的業(yè)務(wù)要求目標(biāo)：控制對(duì)信息的訪(fǎng)問(wèn)。a) 應(yīng)當(dāng)明確規(guī)定每個(gè)用戶(hù)以及相應(yīng)用戶(hù)組在各個(gè)系統(tǒng)中訪(fǎng)問(wèn)控制規(guī)則與權(quán)限，每半年要評(píng)審用戶(hù)和訪(fǎng)問(wèn)權(quán)限的設(shè)置，詳細(xì)規(guī)定參見(jiàn)《訪(fǎng)問(wèn)控制程序》。2) 用戶(hù)訪(fǎng)問(wèn)管理目標(biāo)：確保授權(quán)用戶(hù)的訪(fǎng)問(wèn)，并預(yù)防信息系統(tǒng)的非授權(quán)訪(fǎng)問(wèn)。a) 禁止用戶(hù)帳號(hào)共享，普通用戶(hù)不能在一個(gè)系統(tǒng)上擁有多個(gè)帳號(hào)，系統(tǒng)管理員不能在一個(gè)系統(tǒng)上擁有多個(gè)相同角色的帳號(hào)。每個(gè)用戶(hù)應(yīng)當(dāng)在不同的信息系統(tǒng)上遵循統(tǒng)一的命名方式且使用相同的用戶(hù)帳號(hào)，統(tǒng)一的命名方式應(yīng)當(dāng)參考域（郵箱）帳號(hào)命名規(guī)則。詳細(xì)規(guī)定參見(jiàn)《公司郵箱管理辦法》b) 所有對(duì)信息系統(tǒng)的訪(fǎng)問(wèn)必須遵照《訪(fǎng)問(wèn)控制程序》。除非員工獲得該流程規(guī)定的相關(guān)部門(mén)授權(quán)，否則不準(zhǔn)在網(wǎng)絡(luò)上給外單位和個(gè)人開(kāi)戶(hù)，也不準(zhǔn)外單位或個(gè)人借用內(nèi)部用戶(hù)名和口令上網(wǎng)，一經(jīng)查出將追究當(dāng)事人責(zé)任。c) 用戶(hù)權(quán)限必須按照最小權(quán)限原則進(jìn)行分配。d) 技術(shù)人員在收到重置口令的申請(qǐng)時(shí)，必須驗(yàn)證用戶(hù)的身份后方可提供一個(gè)臨時(shí)的代替口令。e) 要告知并強(qiáng)制用戶(hù)遵守用戶(hù)帳號(hào)及口令管理規(guī)定，用戶(hù)必須對(duì)自己的帳號(hào)和口令保密，不能以任何形式向他人透露口令信息，不得以未加密的形式將