【文章內(nèi)容簡介】 電氣設備總開關位置，掌握切斷電源的方法和步驟。在遇到突發(fā)緊急情況時，必須以保護人身安全為首要目標。e) 定期對機房供電線路及照明器具進行檢查，防止因線路老化短路造成火災。f) 應當按照設備維護要求的時間間隔和規(guī)范，對設備進行維護。g) 第三方支持和維護人員對重要設備技術支持前，必須經(jīng)過安全責任人的授權或審批。并且在對重要設備現(xiàn)場實施過程中必須有相關人員全程陪同，詳細規(guī)定參見《第三方和外包管理規(guī)定》。h) 設備的安全與重用應當按規(guī)定的操作程序來處理，特別是包含重要信息的存儲設備，應按照相關規(guī)定，以確定是否銷毀、修理或棄用該設備。對棄置的存儲有敏感信息的存儲設備，必須將其銷毀，或重寫數(shù)據(jù)，而不能只是使用標準的刪除功能進行數(shù)據(jù)刪除。詳細規(guī)定參見《移動存儲介質使用規(guī)定》。i) 當員工離開時，對于載有重要信息的紙張和可移動的存儲介質，應當妥善保管。j) 遠程辦公人員有責任保護移動設備的安全，未經(jīng)批準，不得在公共場所訪問內(nèi)部網(wǎng)絡。k) 未經(jīng)信息安全責任人授權，不允許將載有重要信息的設備、信息或軟件帶離工作場所。機房內(nèi)設備的出入必須填寫《機房出入登記表》。. 通信和操作管理1) 操作程序和責任目標：確保信息處理設施的正確和安全操作 a) 對于日常維護工作必須按照規(guī)定的系統(tǒng)操作流程進行，操作流程應當指明具體執(zhí)行每個作業(yè)的說明。操作流程必須成文，并只有經(jīng)授權才可以修改。b) 必須建立并執(zhí)行信息處理設備和信息系統(tǒng)變更管理流程（具體參照《變更管理流程》），形成文檔備案。c) 處理敏感信息資產(chǎn)時，可以考慮分離職責，如果不實施分離，則應當對處理操作予以記錄，并定期進行監(jiān)督。d) 應當分離開發(fā)、測試與運營環(huán)境，敏感數(shù)據(jù)不可拷貝到測試環(huán)境中，測試完成后應當及時清理測試環(huán)境。2) 第三方服務交付管理目標：實施并保持信息安全的適當水平，確保第三方交付的服務符合協(xié)議要求。a) 應當確保第三方實施、運行并保持第三方服務交付協(xié)議中包括商定的安全布置、服務定義和交付等級。應定期審核第三方的服務提交的報告和檢查對協(xié)議的符合度。重要的第三方服務必須簽訂服務合同和第三方保密協(xié)議。b) 應當在第三方服務協(xié)議中包含服務變更管理的內(nèi)容。變更內(nèi)容包括但不限于：216。 任何新應用、系統(tǒng)、服務的開發(fā)216。 對現(xiàn)有應用、系統(tǒng)、服務的更改或更新216。 與信息安全有關的新的控制措施216。 網(wǎng)絡環(huán)境或其它新技術的使用216。 開發(fā)環(huán)境或物理環(huán)境的變更216。 供應商的變更3) 系統(tǒng)策劃與驗收目標：最小化系統(tǒng)失效的風險a) 應為系統(tǒng)的性能和容量要求做預先的規(guī)劃和準備，應反映對未來容量需求的推測，以減少系統(tǒng)過載的風險。b) 應建立新信息系統(tǒng)、系統(tǒng)升級和新版本的驗收準則，驗收前應當完成設計審核、缺陷分析及安全測試。必須將驗收標準寫入到項目合同中。4) 防范惡意和移動代碼目標：保護軟件和信息的完整性。a) 所有服務器和個人計算機都必須激活防病毒軟件，必須及時更新防病毒代碼庫。詳細規(guī)定參見《防病毒管理程序》。b) 系統(tǒng)內(nèi)的服務器和個人計算機必須使用可信來源的軟件，應對軟件進行病毒檢測后統(tǒng)一保存。c) 員工應當?shù)街付ǖ目臻g下載軟件，不得私自安裝授權使用軟件列表之外的軟件。d) 必須對所有的電子郵件附件進行病毒掃描，也不要隨意打開來歷不明的郵件附件。e) 應當開展對一般員工的預防病毒培訓。員工一旦發(fā)現(xiàn)或懷疑有PC或服務器被病毒感染,必須馬上斷開網(wǎng)絡并進行全盤掃描，必須立即通知技術部門。5) 備份目標：保持信息和信息處理設施的完整性和可用性。a) 管理員應當對重要的應用系統(tǒng)、操作系統(tǒng)、配置文件及日志等制訂備份策略，并要定期對備份數(shù)據(jù)進行測試。如果是涉密信息，必須對備份信息實施加密。b) 所有員工要定期對個人電腦上的重要數(shù)據(jù)進行備份，以減少不必要的損失。c) 備份應當存儲在與主設備有足夠距離的地點，該地點應安全可靠，應同主設備場地使用同等的安全等級。6) 網(wǎng)絡安全管理目標：確保網(wǎng)絡中的信息和支持性基礎設施得到保護。a) 應當對重要的線路、網(wǎng)絡設備采用冗余措施，以維持關鍵服務的可用性。b) 網(wǎng)絡管理員應當參照《訪問控制程序》對網(wǎng)絡和網(wǎng)絡服務進行充分的管理和控制，并采用網(wǎng)管工具對通訊線路、網(wǎng)絡設備、網(wǎng)絡流量進行實時的監(jiān)控和預警。c) 處理敏感信息的計算機應當與局域網(wǎng)物理隔離，應當采用適當?shù)募用芗夹g。7) 介質處理目標：防止對資產(chǎn)的未授權泄露、修改、移動或損壞，及對業(yè)務活動的的干擾。a) 應當妥善記錄移動介質。不得將載有重要信息的存儲介質隨意存放，未經(jīng)安全責任人授權，不得帶出辦公地點。b) 如果介質上的內(nèi)容不再需要，應當立即清除。對于備份或存放有重要信息或軟件的存儲介質，在銷毀時，應當進行格式化或重寫數(shù)據(jù)，避免不必要的泄露。c) 存放業(yè)務應用系統(tǒng)及重要信息的介質，嚴禁外借，確因工作需要，須報請部門領導批準。d) 對需要長期保存的介質，必須在介質老化前進行轉儲，以防止因介質失效造成損失。e) 應限制只有系統(tǒng)管理員才可訪問系統(tǒng)文檔。應對的所有信息數(shù)據(jù)分類標識，建立信息處置、存儲、分發(fā)的規(guī)程。8) 信息交換目標：應保持組織內(nèi)部或組織與外部組織之間交換信息和軟件的安全。a) 應當依據(jù)《信息資產(chǎn)鑒別和分類管理辦法》、《信息安全交流控制程序》，保護信息在發(fā)布、交換時的安全。b) 員工必須遵守國家有關信息管理的法規(guī)，不得利用網(wǎng)絡危害國家安全、泄露國家秘密，不得違反中華人民共和國現(xiàn)行法律和法規(guī)，不得侵犯國家社會集體的和公民的合法權益。c) 敏感信息應當通過專用的線路傳輸。未經(jīng)安全責任人授權，員工不得與外部聯(lián)網(wǎng)的計算機信息系統(tǒng)傳輸涉及重要信息的文件。d) 員工不得利用網(wǎng)絡對他人進行侮辱、誹謗、騷擾；不得侵害他人合法權益；不得侵犯他人的名譽權，肖像權、姓名權等人身權利；不得侵犯他人的商譽、商標、版權、專利、專有技術等各種知識產(chǎn)權。e) 在通過郵政等物理傳輸方式傳輸時，應保護包含重要信息的介質的安全。f) 應控制并記錄允許操作業(yè)務系統(tǒng)的用戶名單，未經(jīng)安全責任人授權，不得隨意變更訪問限制和共享信息。9) 監(jiān)視和審計目標：檢測未經(jīng)授權的信息處理活動。a) 公司制定《IT設備設施維護管理程序》、《信息安全技術檢查管理規(guī)定》對信息系統(tǒng)活動進行監(jiān)控。b) 應當使用監(jiān)視程序以確保用戶只執(zhí)行被明確授權的活動，審計內(nèi)容應細化到個人而不是共享帳號。審計至少包括用戶ID、系統(tǒng)日志、操作記錄等。c) 可以實施安全產(chǎn)品或調整配置，以記錄和審計用戶活動、系統(tǒng)、安全產(chǎn)品和信息安全事件產(chǎn)生的日志，并按照約定的期限保留，以支持將來的調查和訪問控制監(jiān)視。d) 可以在內(nèi)網(wǎng)中配置日志服務器，專門收集主機、網(wǎng)絡設備、安全產(chǎn)品的日志，以避免日志被破壞或覆蓋。e) 應在網(wǎng)絡中配置時鐘服務器，被審計的信息設備應同時鐘服務器的時間保持同步，以避免審計上的漏洞。. 信息系統(tǒng)訪問控制1) 訪問控制的業(yè)務要求目標：控制對信息的訪問。a) 應當明確規(guī)定每個用戶以及相應用戶組在各個系統(tǒng)中訪問控制規(guī)則與權限，每半年要評審用戶和訪問權限的設置，詳細規(guī)定參見《訪問控制程序》。2) 用戶訪問管理目標：確保授權用戶的訪問，并預防信息系統(tǒng)的非授權訪問。a) 禁止用戶帳號共享，普通用戶不能在一個系統(tǒng)上擁有多個帳號，系統(tǒng)管理員不能在一個系統(tǒng)上擁有多個相同角色的帳號。每個用戶應當在不同的信息系統(tǒng)上遵循統(tǒng)一的命名方式且使用相同的用戶帳號，統(tǒng)一的命名方式應當參考域（郵箱）帳號命名規(guī)則。詳細規(guī)定參見《公司郵箱管理辦法》b) 所有對信息系統(tǒng)的訪問必須遵照《訪問控制程序》。除非員工獲得該流程規(guī)定的相關部門授權，否則不準在網(wǎng)絡上