【正文】 服務(wù)和端口216。 在網(wǎng)絡(luò)邊界上增加隔離和訪問控制，如防火墻216。 在網(wǎng)絡(luò)中部署入侵檢測系統(tǒng)216。 增強對該漏洞的監(jiān)控. 信息安全事故處理1) 報告信息安全事故和弱點目標：確保與信息系統(tǒng)有關(guān)的安全事件和弱點的報告，以便及時采取糾正措施。a) 維護并執(zhí)行《信息安全事件管理程序》，培訓(xùn)并要求所有員工和第三方都有責(zé)任盡快報告信息安全事件。b) 信息安全事件發(fā)生后，報告人應(yīng)立即將事件的重要細節(jié)（如事件描述、屏幕上顯示的消息、造成的后果、其它異常情況等）向主管部門報告。c) 所有員工和第三方有責(zé)任注意并報告系統(tǒng)或服務(wù)中已發(fā)現(xiàn)或疑似的安全漏洞，但不能擅自處理和散播。2) 信息安全事故管理和改進目標：確保使用可追蹤的，有效的方法管理信息安全事故。a) 應(yīng)當(dāng)建立包括事件報告、分類、責(zé)任分工、響應(yīng)方法、記錄和總結(jié)、恢復(fù)計劃等在內(nèi)的信息安全事故管理機制。詳細規(guī)定參見《信息安全事件管理程序》。b) 應(yīng)通過信息安全事故的評估和總結(jié)以識別將來可能再次發(fā)生的事故，特別是可能造成重大影響的事故，盡量減小同種事故帶來的損失。c) 從事件被檢測到至處理完成全過程的記錄和證據(jù)（包括紙制文檔和電子信息）都應(yīng)進行保留。. 業(yè)務(wù)連續(xù)性管理1) 業(yè)務(wù)連續(xù)性管理中的信息安全目標：防止業(yè)務(wù)活動中斷，保證重要業(yè)務(wù)流程不受重大故障和災(zāi)難的影響，并確保它們的及時恢復(fù)。a) 參考《業(yè)務(wù)連續(xù)性管理程序》制訂并實施業(yè)務(wù)連續(xù)性計劃，預(yù)防和恢復(fù)控制相結(jié)合，將災(zāi)難和安全故障（可能是由于自然災(zāi)害、事故、設(shè)備故障和蓄意破壞等引起）造成的影響降低到可以接受的水平，限制破壞性事件造成的后果，確保關(guān)鍵業(yè)務(wù)的操作得到及時恢復(fù)。業(yè)務(wù)連續(xù)性計劃制定后必須得到安全領(lǐng)導(dǎo)小組的批準。b) 業(yè)務(wù)連續(xù)性計劃的內(nèi)容至少應(yīng)當(dāng)包括：216。 確定關(guān)鍵業(yè)務(wù)流程和其所涉及資產(chǎn)，明確信息處理設(shè)施的業(yè)務(wù)目標。216。 識別可能導(dǎo)致業(yè)務(wù)中斷的重大事故，評估此類重大事故發(fā)生的可能性及造成業(yè)務(wù)中斷給造成的影響，確定關(guān)鍵業(yè)務(wù)流程的優(yōu)先級。216。 必要時可以適當(dāng)考慮購買保險，以降低重大災(zāi)難引起的損失。216。 定期對計劃和相關(guān)操作流程進行檢查、演練和更新。216。 明確人員職責(zé)，業(yè)務(wù)連續(xù)性管理過程的職責(zé)應(yīng)分配給安委會。216。 保護人員、信息處理設(shè)備和機構(gòu)財產(chǎn)的安全。216。 業(yè)務(wù)恢復(fù)的優(yōu)先級，應(yīng)當(dāng)考慮可容忍的業(yè)務(wù)中斷時間和業(yè)務(wù)恢復(fù)到中斷前的哪個時間點，要特別注意對有關(guān)外部業(yè)務(wù)和合同的評估。216。 滿足業(yè)務(wù)連續(xù)性計劃所需的資源和服務(wù)，包括人員、非信息處理資源以及信息處理設(shè)施的低效運行安排。216。 業(yè)務(wù)流程的備案216。 對員工進行適當(dāng)?shù)臉I(yè)務(wù)連續(xù)性計劃的培訓(xùn)216。 通過演練（或突發(fā)事件發(fā)生）的實際情況，對計劃進行修正，保證其有效性和可操作性。c) 應(yīng)當(dāng)維護一個全局性的業(yè)務(wù)連續(xù)性計劃框架，以確保所有計劃的一致性。業(yè)務(wù)連續(xù)性計劃框架應(yīng)該考慮以下內(nèi)容：216。 計劃的啟動條件。在計劃執(zhí)行前說明要采用的程序（包括如何評估、參與人員等）。216。 應(yīng)急程序。說明在發(fā)生危及業(yè)務(wù)操作和/或生命的事故后要采取的措施。216。 低效運行程序。說明應(yīng)該采取哪些措施，以將重要業(yè)務(wù)活動或支持服務(wù)轉(zhuǎn)移到其它臨時地點并在規(guī)定時間內(nèi)恢復(fù)業(yè)務(wù)流程。216。 恢復(fù)程序。說明應(yīng)該采取哪些措施，以恢復(fù)正常業(yè)務(wù)運作。216。 說明若恢復(fù)未完成時應(yīng)遵循的臨時操作規(guī)程。216。 說明計劃檢查方式和時間的維護計劃以及計劃維護程序。216。 在組織內(nèi)開展業(yè)務(wù)連續(xù)性的教育培訓(xùn)活動。216。 明確個人責(zé)任。說明由誰負責(zé)執(zhí)行哪一部分計劃。根據(jù)要求可以指定備選方案。d) 必須定期測試并更新業(yè)務(wù)連續(xù)性計劃，可以通過以下方法：216。 通過會議，可以使用類似案例討論業(yè)務(wù)恢復(fù)方面的安排。216。 通過模擬事故發(fā)生的情況，重點培訓(xùn)對負責(zé)事故/危機發(fā)生后管理的人員。216。 通過測試確保技術(shù)上信息系統(tǒng)可以有效地恢復(fù)。216。 在備用場地進行測試（繼續(xù)業(yè)務(wù)流程的同時在主場地外執(zhí)行恢復(fù)操作）。216。 供應(yīng)商提供的設(shè)施和服務(wù)的檢查（確保外部提供的服務(wù)和產(chǎn)品符合合同中的規(guī)定）。216。 全面演習(xí)（檢查組織、人員、設(shè)備、設(shè)施和程序是否能夠應(yīng)付中斷情況）。e) 必須維護業(yè)務(wù)連續(xù)性計劃并進行定期更新分析。應(yīng)該分配各個業(yè)務(wù)連續(xù)性計劃的定期評審責(zé)任；檢查業(yè)務(wù)變動是否都反應(yīng)在計劃更新的內(nèi)容當(dāng)中。更新后的計劃必須正式進行批準和分發(fā)。特別注意信息系統(tǒng)更新可能引起業(yè)務(wù)連續(xù)性計劃的如下信息的更新：216。 人員。216。 地址或電話號碼。216。 經(jīng)營戰(zhàn)略。216。 場所、設(shè)施和資源。216。 法律法規(guī)。216。 承包商、供應(yīng)商和主要客戶。216。 流程（新的流程/廢止的流程）。216。 風(fēng)險（操作風(fēng)險和金融風(fēng)險）。. 符合性要求1) 遵守法律法規(guī)的要求目標：避免違反法律、法規(guī)、規(guī)章、合同要求和其它安全要求。a) 公司的信息系統(tǒng)和其它IT設(shè)施必須符合國家相關(guān)法律法規(guī)的要求。特別是與外部的組織有往來時。b) 所有的軟件和硬件必須遵守知識產(chǎn)權(quán)的要求，包括著作權(quán)、設(shè)計權(quán)、商標權(quán)等。通過合法渠道獲得產(chǎn)品，遵守產(chǎn)品許可證的限制，維護許可證，交付產(chǎn)品，手冊等證明材料，告知員工他們保護知識產(chǎn)權(quán)的責(zé)任，提高員工安全意識，應(yīng)當(dāng)在合同中明確知識產(chǎn)權(quán)的歸屬，并對享有知識產(chǎn)權(quán)資料的復(fù)制進行限制。c) 應(yīng)按照法律法規(guī)、合同和業(yè)務(wù)要求，保護重要記錄免受損失、破壞或偽造篡改。重要記錄包括紙質(zhì)或非紙質(zhì)的財務(wù)記錄、數(shù)據(jù)庫記錄、日志和操作規(guī)程等。應(yīng)當(dāng)考慮信息的處理辦法，保存時間，關(guān)鍵信息來源的目錄和索引。d) 在傳輸和存儲過程中保護個人數(shù)據(jù)和個人隱私。e) 未經(jīng)安全責(zé)任人書面授權(quán)，禁止用戶和管理員將信息處理設(shè)備用于其他目的?？梢栽诘卿洉r，在屏幕上應(yīng)顯示保密聲明，告知其正進入的系統(tǒng)是不公開的。2) 安全策略和技術(shù)一致性檢查目標：保證信息系統(tǒng)符合的安全策略和標準。a) 信息安全小組應(yīng)不定期地組織抽查信息安全制度的落實和執(zhí)行情況，依據(jù)《信息安全技術(shù)檢查管理規(guī)定》、《內(nèi)部審核程序》的規(guī)定，進行測量，上報信息安全管理小組組長。協(xié)助內(nèi)審組進行信息安全內(nèi)部評審和管理評審。b) 應(yīng)當(dāng)定期使用技術(shù)手段發(fā)現(xiàn)系統(tǒng)的漏洞，以確定安全技術(shù)防范的有效性。當(dāng)進行漏洞測試前，要格外謹慎，可以制訂好計劃再進行操作。3) 信息系統(tǒng)審計考慮因素目標：要最大化信息系統(tǒng)審計的效果，并盡量減小信息系統(tǒng)審計帶來的影響。a) 審計的要求和審計范圍必須得到授權(quán)。審計人員應(yīng)限于軟件和數(shù)據(jù)的只讀訪問，若需要額外的行為，要顯式予以標明。b) 應(yīng)安排不同于被審計者的人員進行審計，審計過程要進行記錄。c) 信息系統(tǒng)審計工具（如軟件和數(shù)據(jù)文件）應(yīng)與開發(fā)和運行系統(tǒng)分開。如果審計活動包含了對生產(chǎn)系統(tǒng)的檢查，應(yīng)當(dāng)進行仔細的計劃和控制，把風(fēng)險降到最低。d) 安全審計應(yīng)當(dāng)由安全審計人員或可信的、獨立的第三方機構(gòu)來執(zhí)行。如果由第三方審計，應(yīng)當(dāng)與其簽署安全保密協(xié)議，并要實施控制措施降低外部審計可能存在的風(fēng)險。6. 附件無1. 若不給自己設(shè)限，則人生中就沒有限制你發(fā)揮的藩籬。2. 若不是心寬似海，哪有人生風(fēng)平浪靜。在紛雜的塵世里，為自己留下一片純靜的心靈空間，不管是潮起潮落，也不管是陰晴圓缺，你都可以免去浮躁，義無反顧，勇往直前，輕松自如地走好人生路上的每一步3. 花一些時間，總會看清一些事。用一些事情，總會看清一些人。有時候覺得自己像個神經(jīng)病。既糾結(jié)了自己，又打擾了別人。努力過后，才知道許多事情，堅持堅持，就過來了。4. 歲月是無情的，假如你丟給它的是一片空白，它還給你的也是一片空白。歲月是有情的，假如你奉獻給她的是一些色彩，它奉獻給你的也是一些色彩。你必須努力，當(dāng)有一天驀然回首時，你的回憶里才會多一些色彩斑斕，少一些蒼白無力。只有你自己才能把歲月描畫成一幅難以忘懷的人生畫卷。學(xué)習(xí)參考