【正文】 產環(huán)境下的用戶名和口令以用于系統(tǒng)支持，必須保證在系統(tǒng)支持完成之后立即修改口令。c) 當操作系統(tǒng)變更后，應評審和測試關鍵的應用系統(tǒng)，以確定此變更對運營和安全帶來的影響。d) 只能從可信的渠道（如廠商指定的網(wǎng)站）獲取軟件的更新程序，重要變更必須進行記錄。變更后，運維人員應當監(jiān)控變更帶來的影響。其中安全補丁的規(guī)定詳見《補丁管理程序》。e) 可以采取安全手段監(jiān)視系統(tǒng)、通信和個人行為，以減小信息泄露的可能。6) 技術漏洞管理目標：減少利用公開的技術漏洞帶來的風險。a) 應當確認軟件和其它技術的相關漏洞，指定專人進行安全補丁管理工作，包括補丁公告、補丁評估和補丁列表的維護工作。詳細規(guī)定參見《補丁管理程序》。b) 如果沒有合適的補丁，應當實施其它措施，如：216。 關掉可能利用漏洞造成損害的服務和端口216。 在網(wǎng)絡邊界上增加隔離和訪問控制，如防火墻216。 在網(wǎng)絡中部署入侵檢測系統(tǒng)216。 增強對該漏洞的監(jiān)控. 信息安全事故處理1) 報告信息安全事故和弱點目標：確保與信息系統(tǒng)有關的安全事件和弱點的報告，以便及時采取糾正措施。a) 維護并執(zhí)行《信息安全事件管理程序》，培訓并要求所有員工和第三方都有責任盡快報告信息安全事件。b) 信息安全事件發(fā)生后，報告人應立即將事件的重要細節(jié)（如事件描述、屏幕上顯示的消息、造成的后果、其它異常情況等）向主管部門報告。c) 所有員工和第三方有責任注意并報告系統(tǒng)或服務中已發(fā)現(xiàn)或疑似的安全漏洞，但不能擅自處理和散播。2) 信息安全事故管理和改進目標：確保使用可追蹤的，有效的方法管理信息安全事故。a) 應當建立包括事件報告、分類、責任分工、響應方法、記錄和總結、恢復計劃等在內的信息安全事故管理機制。詳細規(guī)定參見《信息安全事件管理程序》。b) 應通過信息安全事故的評估和總結以識別將來可能再次發(fā)生的事故，特別是可能造成重大影響的事故，盡量減小同種事故帶來的損失。c) 從事件被檢測到至處理完成全過程的記錄和證據(jù)（包括紙制文檔和電子信息）都應進行保留。. 業(yè)務連續(xù)性管理1) 業(yè)務連續(xù)性管理中的信息安全目標：防止業(yè)務活動中斷，保證重要業(yè)務流程不受重大故障和災難的影響，并確保它們的及時恢復。a) 參考《業(yè)務連續(xù)性管理程序》制訂并實施業(yè)務連續(xù)性計劃，預防和恢復控制相結合，將災難和安全故障（可能是由于自然災害、事故、設備故障和蓄意破壞等引起）造成的影響降低到可以接受的水平，限制破壞性事件造成的后果，確保關鍵業(yè)務的操作得到及時恢復。業(yè)務連續(xù)性計劃制定后必須得到安全領導小組的批準。b) 業(yè)務連續(xù)性計劃的內容至少應當包括：216。 確定關鍵業(yè)務流程和其所涉及資產，明確信息處理設施的業(yè)務目標。216。 識別可能導致業(yè)務中斷的重大事故，評估此類重大事故發(fā)生的可能性及造成業(yè)務中斷給造成的影響，確定關鍵業(yè)務流程的優(yōu)先級。216。 必要時可以適當考慮購買保險，以降低重大災難引起的損失。216。 定期對計劃和相關操作流程進行檢查、演練和更新。216。 明確人員職責，業(yè)務連續(xù)性管理過程的職責應分配給安委會。216。 保護人員、信息處理設備和機構財產的安全。216。 業(yè)務恢復的優(yōu)先級，應當考慮可容忍的業(yè)務中斷時間和業(yè)務恢復到中斷前的哪個時間點，要特別注意對有關外部業(yè)務和合同的評估。216。 滿足業(yè)務連續(xù)性計劃所需的資源和服務，包括人員、非信息處理資源以及信息處理設施的低效運行安排。216。 業(yè)務流程的備案216。 對員工進行適當?shù)臉I(yè)務連續(xù)性計劃的培訓216。 通過演練（或突發(fā)事件發(fā)生）的實際情況，對計劃進行修正，保證其有效性和可操作性。c) 應當維護一個全局性的業(yè)務連續(xù)性計劃框架，以確保所有計劃的一致性。業(yè)務連續(xù)性計劃框架應該考慮以下內容：216。 計劃的啟動條件。在計劃執(zhí)行前說明要采用的程序（包括如何評估、參與人員等）。216。 應急程序。說明在發(fā)生危及業(yè)務操作和/或生命的事故后要采取的措施。216。 低效運行程序。說明應該采取哪些措施，以將重要業(yè)務活動或支持服務轉移到其它臨時地點并在規(guī)定時間內恢復業(yè)務流程。216。 恢復程序。說明應該采取哪些措施，以恢復正常業(yè)務運作。216。 說明若恢復未完成時應遵循的臨時操作規(guī)程。216。 說明計劃檢查方式和時間的維護計劃以及計劃維護程序。216。 在組織內開展業(yè)務連續(xù)性的教育培訓活動。216。 明確個人責任。說明由誰負責執(zhí)行哪一部分計劃。根據(jù)要求可以指定備選方案。d) 必須定期測試并更新業(yè)務連續(xù)性計劃，可以通過以下方法：216。 通過會議，可以使用類似案例討論業(yè)務恢復方面的安排。216。 通過模擬事故發(fā)生的情況，重點培訓對負責事故/危機發(fā)生后管理的人員。216。 通過測試確保技術上信息系統(tǒng)可以有效地恢復。216。 在備用場地進行測試（繼續(xù)業(yè)務流程的同時在主場地外執(zhí)行恢復操作）。216。 供應商提供的設施和服務的檢查（確保外部提供的服務和產品符合合同中的規(guī)定）。216。 全面演習（檢查組織、人員、設備、設施和程序是否能夠應付中斷情況）。e) 必須維護業(yè)務連續(xù)性計劃并進行定期更新分析。應該分配各個業(yè)務連續(xù)性計劃的定期評審責任；檢查業(yè)務變動是否都反應在計劃更新的內容當中。更新后的計劃必須正式進行批準和分發(fā)。特別注意信息系統(tǒng)更新可能引起業(yè)務連續(xù)性計劃的如下信息的更新：216。 人員。216。 地址或電話號碼。216。 經營戰(zhàn)略。216。 場所、設施和資源。216。 法律法規(guī)。216。 承包商、供應商和主要客戶。216。 流程（新的流程/廢止的流程）。216。 風險（操作風險和金融風險）。. 符合性要求1) 遵守法律法規(guī)的要求目標：避免違反法律、法規(guī)、規(guī)章、合同要求和其它安全要求。a) 公司的信息系統(tǒng)和其它IT設施必須符合國家相關法律法規(guī)的要求。特別是與外部的組織有往來時。b) 所有的軟件和硬件必須遵守知識產權的要求，包括著作權、設計權、商標權等。通過合法渠道獲得產品，遵守產品許可證的限制，維護許可證，交付產品，手冊等證明材料，告知員工他們保護知識產權的責任，提高員工安全意識，應當在合同中明確知識產權的歸屬，并對享有知識產權資料的復制進行限制。c) 應按照法律法規(guī)、合同和業(yè)務要求，保護重要記錄免受損失、破壞或偽造篡改。重要記錄包括紙質或非紙質的財務記錄、數(shù)據(jù)庫記錄、日志和操作規(guī)程等。應當考慮信息的處理辦法，保存時間，關鍵信息來源的目錄和索引。d) 在傳輸和存儲過程中保護個人數(shù)據(jù)和個人隱私。e) 未經安全責任人書面授權，禁止用戶和管理員將信息處理設備用于其他目的?？梢栽诘卿洉r，在屏幕上應顯示保密聲明，告知其正進入的系統(tǒng)是不公開的。2) 安全策略和技術一致性檢查目標：保證信息系統(tǒng)符合的安全策略和標準。a) 信息安全小組應不定期地組織抽查信息安全制度的落實和執(zhí)行情況，依據(jù)《信息安全技術檢查管理規(guī)定》、《內部審核程序》的規(guī)定，進行測量，上報信息安全管理小組組長。協(xié)助內審組進行信息安全內部評審和管理評審。b) 應當定期使用技術手段發(fā)現(xiàn)系統(tǒng)的漏洞，以確定安全技術防范的有效性。當進行漏洞測試前，要格外謹慎，可以制訂好計劃再進行操作。3) 信息系統(tǒng)審計考慮因素目標：要最大化信息系統(tǒng)審計的效果，并盡量減小信息系統(tǒng)審計帶來的影響。a) 審計的要求和審計范圍必須得到授權。審計人員應限于軟件和數(shù)據(jù)的只讀訪問，若需要額外的行為，要顯式予以標明。b) 應安排不同于被審計者的人員進行審計，審計過程要進行記錄。c) 信息系統(tǒng)審計工具（如軟件和數(shù)據(jù)文件）應與開發(fā)和運行系統(tǒng)分開。如果審計活動包含了對生產系統(tǒng)的檢查，應當進行仔細的計劃和控制，把風險降到最低。d) 安全審計應當由安全審計人員或可信的、獨立的第三方機構來執(zhí)行。如果由第三方審計，應當與其簽署安全保密協(xié)議，并要實施控制措施降低外部審計可能存在的風險。6. 附件無