【正文】 只有你自己才能把歲月描畫成一幅難以忘懷的人生畫卷。努力過后，才知道許多事情，堅持堅持，就過來了。在紛雜的塵世里，為自己留下一片純靜的心靈空間，不管是潮起潮落，也不管是陰晴圓缺，你都可以免去浮躁，義無反顧，勇往直前，輕松自如地走好人生路上的每一步3. 花一些時間，總會看清一些事。d) 安全審計應(yīng)當由安全審計人員或可信的、獨立的第三方機構(gòu)來執(zhí)行。審計人員應(yīng)限于軟件和數(shù)據(jù)的只讀訪問，若需要額外的行為，要顯式予以標明。b) 應(yīng)當定期使用技術(shù)手段發(fā)現(xiàn)系統(tǒng)的漏洞，以確定安全技術(shù)防范的有效性?？梢栽诘卿洉r，在屏幕上應(yīng)顯示保密聲明，告知其正進入的系統(tǒng)是不公開的。重要記錄包括紙質(zhì)或非紙質(zhì)的財務(wù)記錄、數(shù)據(jù)庫記錄、日志和操作規(guī)程等。特別是與外部的組織有往來時。216。216。216。216。應(yīng)該分配各個業(yè)務(wù)連續(xù)性計劃的定期評審責(zé)任；檢查業(yè)務(wù)變動是否都反應(yīng)在計劃更新的內(nèi)容當中。 供應(yīng)商提供的設(shè)施和服務(wù)的檢查（確保外部提供的服務(wù)和產(chǎn)品符合合同中的規(guī)定）。 通過測試確保技術(shù)上信息系統(tǒng)可以有效地恢復(fù)。 通過會議，可以使用類似案例討論業(yè)務(wù)恢復(fù)方面的安排。 明確個人責(zé)任。 說明計劃檢查方式和時間的維護計劃以及計劃維護程序。說明應(yīng)該采取哪些措施，以恢復(fù)正常業(yè)務(wù)運作。 低效運行程序。216。c) 應(yīng)當維護一個全局性的業(yè)務(wù)連續(xù)性計劃框架，以確保所有計劃的一致性。216。216。216。216。b) 業(yè)務(wù)連續(xù)性計劃的內(nèi)容至少應(yīng)當包括：216。c) 從事件被檢測到至處理完成全過程的記錄和證據(jù)（包括紙制文檔和電子信息）都應(yīng)進行保留。2) 信息安全事故管理和改進目標：確保使用可追蹤的，有效的方法管理信息安全事故。 增強對該漏洞的監(jiān)控. 信息安全事故處理1) 報告信息安全事故和弱點目標：確保與信息系統(tǒng)有關(guān)的安全事件和弱點的報告，以便及時采取糾正措施。b) 如果沒有合適的補丁，應(yīng)當實施其它措施，如：216。e) 可以采取安全手段監(jiān)視系統(tǒng)、通信和個人行為，以減小信息泄露的可能。c) 當操作系統(tǒng)變更后，應(yīng)評審和測試關(guān)鍵的應(yīng)用系統(tǒng)，以確定此變更對運營和安全帶來的影響。若有可能，在運行環(huán)境中不應(yīng)保留程序源代碼庫。d) 重要軟件和應(yīng)用升級后，包括需要的信息、參數(shù)、升級過程日志、配置細節(jié)等都要歸檔，配套的數(shù)據(jù)和文件也應(yīng)歸檔。b) 實施密鑰管理辦法，包括防止密鑰的丟失、泄密或破壞，密鑰的銷毀和密鑰損壞后加密數(shù)據(jù)的恢復(fù)。216。在保護敏感或關(guān)鍵信息時使用。 消息驗證：檢查傳輸?shù)碾娮酉?nèi)容是否有非法變更或破壞的技術(shù)手段。 數(shù)據(jù)的容錯處理：為防止正確的數(shù)據(jù)因處理錯誤或故意人為等因素遭到破壞而采取的檢查和控制措施。2) 應(yīng)用系統(tǒng)的正確處理目標：防止應(yīng)用系統(tǒng)信息的錯誤、丟失、未授權(quán)的修改或誤用。未經(jīng)信息安全部批準，不得在公共場所訪問內(nèi)部網(wǎng)絡(luò)。b) 處理敏感信息的系統(tǒng)應(yīng)當與公共網(wǎng)隔離，且系統(tǒng)輸出信息僅能發(fā)送給特定的終端和人員。 保護口令的存儲和傳輸過程。216。d) 使用口令管理系統(tǒng)時，可以考慮配置：216。 記錄成功和不成功登錄的情況216。a) 主機系統(tǒng)的登錄必須遵照以下規(guī)定：216。上述接口和出口應(yīng)當同時考慮實施地址轉(zhuǎn)換、防病毒和入侵檢測產(chǎn)品等。c) 任何到網(wǎng)絡(luò)的物理或邏輯的連接必須經(jīng)過運維部的批準。a) 網(wǎng)絡(luò)管理員必須參照《訪問控制程序》和業(yè)務(wù)系統(tǒng)要求進行控制：216。當員工離開計算機時，員工必須立即鎖定屏幕或退出系統(tǒng)，且在系統(tǒng)內(nèi)必須設(shè)置5分鐘自動啟用有口令的屏幕保護。3) 用戶責(zé)任目標：避免未授權(quán)用戶的訪問，防止信息和信息處理設(shè)施的安全。e) 要告知并強制用戶遵守用戶帳號及口令管理規(guī)定，用戶必須對自己的帳號和口令保密，不能以任何形式向他人透露口令信息，不得以未加密的形式將口令保存在文件或計算機中，在收到應(yīng)用系統(tǒng)或軟件的初始口令后必須及時更改。詳細規(guī)定參見《公司郵箱管理辦法》b) 所有對信息系統(tǒng)的訪問必須遵照《訪問控制程序》。a) 應(yīng)當明確規(guī)定每個用戶以及相應(yīng)用戶組在各個系統(tǒng)中訪問控制規(guī)則與權(quán)限，每半年要評審用戶和訪問權(quán)限的設(shè)置，詳細規(guī)定參見《訪問控制程序》。c) 可以實施安全產(chǎn)品或調(diào)整配置，以記錄和審計用戶活動、系統(tǒng)、安全產(chǎn)品和信息安全事件產(chǎn)生的日志，并按照約定的期限保留，以支持將來的調(diào)查和訪問控制監(jiān)視。9) 監(jiān)視和審計目標：檢測未經(jīng)授權(quán)的信息處理活動。未經(jīng)安全責(zé)任人授權(quán)，員工不得與外部聯(lián)網(wǎng)的計算機信息系統(tǒng)傳輸涉及重要信息的文件。8) 信息交換目標：應(yīng)保持組織內(nèi)部或組織與外部組織之間交換信息和軟件的安全。c) 存放業(yè)務(wù)應(yīng)用系統(tǒng)及重要信息的介質(zhì)，嚴禁外借，確因工作需要，須報請部門領(lǐng)導(dǎo)批準。a) 應(yīng)當妥善記錄移動介質(zhì)。a) 應(yīng)當對重要的線路、網(wǎng)絡(luò)設(shè)備采用冗余措施，以維持關(guān)鍵服務(wù)的可用性。如果是涉密信息，必須對備份信息實施加密。e) 應(yīng)當開展對一般員工的預(yù)防病毒培訓(xùn)。詳細規(guī)定參見《防病毒管理程序》。b) 應(yīng)建立新信息系統(tǒng)、系統(tǒng)升級和新版本的驗收準則，驗收前應(yīng)當完成設(shè)計審核、缺陷分析及安全測試。 與信息安全有關(guān)的新的控制措施216。b) 應(yīng)當在第三方服務(wù)協(xié)議中包含服務(wù)變更管理的內(nèi)容。2) 第三方服務(wù)交付管理目標：實施并保持信息安全的適當水平，確保第三方交付的服務(wù)符合協(xié)議要求。操作流程必須成文，并只有經(jīng)授權(quán)才可以修改。j) 遠程辦公人員有責(zé)任保護移動設(shè)備的安全，未經(jīng)批準，不得在公共場所訪問內(nèi)部網(wǎng)絡(luò)。h) 設(shè)備的安全與重用應(yīng)當按規(guī)定的操作程序來處理，特別是包含重要信息的存儲設(shè)備，應(yīng)按照相關(guān)規(guī)定，以確定是否銷毀、修理或棄用該設(shè)備。e) 定期對機房供電線路及照明器具進行檢查，防止因線路老化短路造成火災(zāi)。c) 各計算機機房是重要的信息處理場所，必須嚴格執(zhí)行有關(guān)安全保密制度和規(guī)定，并防止重要信息的泄露，保證業(yè)務(wù)數(shù)據(jù)、信息、資料的準確、安全可靠。如中華人民共和國國家標準GB 50174《電子計算機機房設(shè)計規(guī)范》，必須提供：216。o) 外部人員訪問安全區(qū)域時應(yīng)當由員工陪同，并填寫《機房出入登記表》，對訪問時間、操作內(nèi)容等加以記錄。k) 危險或易燃物品應(yīng)當擺放在離安全區(qū)域安全距離之外，機房應(yīng)當參見《機房安全管理規(guī)定》中的要求執(zhí)行值班或巡檢工作任務(wù)。f) 安全區(qū)域進出控制采用合適的電子卡或磁卡，并能雙向控制。安全區(qū)域至少包括各計算機機房、IT部門、財務(wù)、人事等部門。如有特殊情況，必須事先得到部門經(jīng)理及安全責(zé)任人的批準。c) 員工在調(diào)離時必須進行信息安全檢查。 能夠接觸到敏感數(shù)據(jù)或機密信息的關(guān)鍵用戶。必須參加計算機信息安全培訓(xùn)的人員包括：216。 信息安全制度216。b) 對第三方訪問人員和臨時性員工，必須遵守《第三方和外包管理規(guī)定》。d) 當信息資產(chǎn)進行拷貝、存儲、傳輸（如郵遞、傳真、電子郵件以及語音傳輸（包括電話、語音郵件、應(yīng)答機）等）或者銷毀等信息處理時，應(yīng)當參照《信息資產(chǎn)鑒別和分類管理辦法》或者制定妥善的處理步驟并執(zhí)行。b) 必須建立信息資產(chǎn)管理登記制度，至少詳細記錄信息資產(chǎn)的分類、名稱、用途、資產(chǎn)所有者、使用人員等，便于查找和使用。每項信息資產(chǎn)在登記入冊及更新時必須指定信息資產(chǎn)的安全責(zé)任人，信息資產(chǎn)的安全責(zé)任人必須負責(zé)該信息資產(chǎn)的安全。（詳見《辦公室基礎(chǔ)設(shè)備和工作環(huán)境控制程序》）e) 對于第三方參與的項目或提供的服務(wù)，必須在合同中明確規(guī)定人員的安全責(zé)任，必要時應(yīng)當簽署保密協(xié)議。 客戶是否與有商業(yè)利益沖突；216。 物理訪問：重點考慮安全要求較高區(qū)域的訪問，包括計算機機房、重要辦公區(qū)域和存放重要物品區(qū)域等；216。 合作單位人員；216。第三方至少包含如下人員： 216。l 信息安全管理小組每年至少進行一次信息安全風(fēng)險評估工作（參照《風(fēng)險評估和風(fēng)險管理程序》，并對安全策略進行復(fù)審。l 應(yīng)當與政府機構(gòu)保持必要的聯(lián)系共同協(xié)調(diào)信息安全相關(guān)問題。并更新至《信息資產(chǎn)列表