【正文】 如果由第三方審計，應(yīng)當(dāng)與其簽署安全保密協(xié)議，并要實施控制措施降低外部審計可能存在的風(fēng)險。b) 應(yīng)安排不同于被審計者的人員進(jìn)行審計，審計過程要進(jìn)行記錄。當(dāng)進(jìn)行漏洞測試前，要格外謹(jǐn)慎，可以制訂好計劃再進(jìn)行操作。2) 安全策略和技術(shù)一致性檢查目標(biāo)：保證信息系統(tǒng)符合的安全策略和標(biāo)準(zhǔn)。應(yīng)當(dāng)考慮信息的處理辦法，保存時間，關(guān)鍵信息來源的目錄和索引。b) 所有的軟件和硬件必須遵守知識產(chǎn)權(quán)的要求，包括著作權(quán)、設(shè)計權(quán)、商標(biāo)權(quán)等。 風(fēng)險（操作風(fēng)險和金融風(fēng)險）。 承包商、供應(yīng)商和主要客戶。 場所、設(shè)施和資源。 地址或電話號碼。更新后的計劃必須正式進(jìn)行批準(zhǔn)和分發(fā)。216。216。216。說明由誰負(fù)責(zé)執(zhí)行哪一部分計劃。216。216。說明應(yīng)該采取哪些措施，以將重要業(yè)務(wù)活動或支持服務(wù)轉(zhuǎn)移到其它臨時地點并在規(guī)定時間內(nèi)恢復(fù)業(yè)務(wù)流程。 應(yīng)急程序。業(yè)務(wù)連續(xù)性計劃框架應(yīng)該考慮以下內(nèi)容：216。 業(yè)務(wù)流程的備案216。 業(yè)務(wù)恢復(fù)的優(yōu)先級，應(yīng)當(dāng)考慮可容忍的業(yè)務(wù)中斷時間和業(yè)務(wù)恢復(fù)到中斷前的哪個時間點，要特別注意對有關(guān)外部業(yè)務(wù)和合同的評估。 明確人員職責(zé)，業(yè)務(wù)連續(xù)性管理過程的職責(zé)應(yīng)分配給安委會。 必要時可以適當(dāng)考慮購買保險，以降低重大災(zāi)難引起的損失。 確定關(guān)鍵業(yè)務(wù)流程和其所涉及資產(chǎn)，明確信息處理設(shè)施的業(yè)務(wù)目標(biāo)。. 業(yè)務(wù)連續(xù)性管理1) 業(yè)務(wù)連續(xù)性管理中的信息安全目標(biāo)：防止業(yè)務(wù)活動中斷，保證重要業(yè)務(wù)流程不受重大故障和災(zāi)難的影響，并確保它們的及時恢復(fù)。a) 應(yīng)當(dāng)建立包括事件報告、分類、責(zé)任分工、響應(yīng)方法、記錄和總結(jié)、恢復(fù)計劃等在內(nèi)的信息安全事故管理機制。a) 維護(hù)并執(zhí)行《信息安全事件管理程序》，培訓(xùn)并要求所有員工和第三方都有責(zé)任盡快報告信息安全事件。 關(guān)掉可能利用漏洞造成損害的服務(wù)和端口216。6) 技術(shù)漏洞管理目標(biāo)：減少利用公開的技術(shù)漏洞帶來的風(fēng)險。d) 只能從可信的渠道（如廠商指定的網(wǎng)站）獲取軟件的更新程序，重要變更必須進(jìn)行記錄。5) 開發(fā)和支持過程安全目標(biāo)：保持應(yīng)用系統(tǒng)軟件和信息的安全a) 維護(hù)并執(zhí)行《變更管理流程》，該流程應(yīng)當(dāng)包括提交申請、調(diào)研和評估、審批、實施、總結(jié)和備案。e) 所有應(yīng)用必須編寫應(yīng)用配置手冊，應(yīng)用配置手冊必須隨著操作系統(tǒng)軟件或應(yīng)用配置的改變而及時更新。4) 系統(tǒng)文件安全目標(biāo)：確保系統(tǒng)文件的安全a) 應(yīng)當(dāng)僅由管理員才可以進(jìn)行操作系統(tǒng)、軟件、應(yīng)用和運行程序庫的更新，生產(chǎn)系統(tǒng)不得安裝無關(guān)軟件。 完整性/可認(rèn)證性：使用數(shù)字簽名和消息驗證碼去保護(hù)存儲的和傳輸中的敏感和重要數(shù)據(jù)的可認(rèn)證性和完整性。b) 周期性評審關(guān)鍵信息和數(shù)據(jù)的內(nèi)容，以保證其有效性和完整性?？梢杂眉用芗夹g(shù)作為實現(xiàn)消息驗證的手段。216。a) 應(yīng)用系統(tǒng)設(shè)計時應(yīng)當(dāng)針對數(shù)據(jù)安全進(jìn)行以下方面的考慮：216。詳細(xì)參見《筆記本電腦安全使用指南》b) 應(yīng)當(dāng)安排針對移動辦公人員的安全培訓(xùn)，要求此類用戶保護(hù)移動設(shè)備和遠(yuǎn)程辦公帳號的安全。c) 應(yīng)當(dāng)參考《信息資產(chǎn)鑒別和分類管理辦法》明確標(biāo)識出敏感信息，當(dāng)需要共享或分發(fā)敏感信息時，必須附帶保密聲明。e) 應(yīng)分開保存系統(tǒng)文件和應(yīng)用數(shù)據(jù)，限制對系統(tǒng)文件的操作。 強制用戶在第一次登錄時修改口令。 強制選擇優(yōu)質(zhì)口令。 需要在網(wǎng)絡(luò)上傳輸口令時，應(yīng)當(dāng)進(jìn)行加密b) 登錄終端必須有超時設(shè)置，不超過20分鐘。 對于非Windows平臺，成功登錄后，才顯示系統(tǒng)或應(yīng)用標(biāo)識216。f) 未經(jīng)批準(zhǔn)，不得在公共場所訪問內(nèi)部網(wǎng)絡(luò)。d) 必須明確哪些人可以遠(yuǎn)程診斷和調(diào)試信息設(shè)備。 明確哪些用戶可以訪問的網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)列表216。c) 離開機房后要及時鎖門，重要信息設(shè)備可以使用計算機鎖等控制措施來保護(hù)其不受未授權(quán)訪問。a) 員工和訪問信息系統(tǒng)的第三方必須遵守《用戶帳號及口令管理規(guī)定》的要求保證自己的用戶帳號和口令的安全。f) 用戶帳號三個月未使用的將在系統(tǒng)中自動失效。除非員工獲得該流程規(guī)定的相關(guān)部門授權(quán)，否則不準(zhǔn)在網(wǎng)絡(luò)上給外單位和個人開戶，也不準(zhǔn)外單位或個人借用內(nèi)部用戶名和口令上網(wǎng)，一經(jīng)查出將追究當(dāng)事人責(zé)任。2) 用戶訪問管理目標(biāo)：確保授權(quán)用戶的訪問，并預(yù)防信息系統(tǒng)的非授權(quán)訪問。d) 可以在內(nèi)網(wǎng)中配置日志服務(wù)器，專門收集主機、網(wǎng)絡(luò)設(shè)備、安全產(chǎn)品的日志，以避免日志被破壞或覆蓋。a) 公司制定《IT設(shè)備設(shè)施維護(hù)管理程序》、《信息安全技術(shù)檢查管理規(guī)定》對信息系統(tǒng)活動進(jìn)行監(jiān)控。d) 員工不得利用網(wǎng)絡(luò)對他人進(jìn)行侮辱、誹謗、騷擾；不得侵害他人合法權(quán)益；不得侵犯他人的名譽權(quán)，肖像權(quán)、姓名權(quán)等人身權(quán)利；不得侵犯他人的商譽、商標(biāo)、版權(quán)、專利、專有技術(shù)等各種知識產(chǎn)權(quán)。a) 應(yīng)當(dāng)依據(jù)《信息資產(chǎn)鑒別和分類管理辦法》、《信息安全交流控制程序》，保護(hù)信息在發(fā)布、交換時的安全。d) 對需要長期保存的介質(zhì)，必須在介質(zhì)老化前進(jìn)行轉(zhuǎn)儲，以防止因介質(zhì)失效造成損失。不得將載有重要信息的存儲介質(zhì)隨意存放，未經(jīng)安全責(zé)任人授權(quán)，不得帶出辦公地點。b) 網(wǎng)絡(luò)管理員應(yīng)當(dāng)參照《訪問控制程序》對網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)進(jìn)行充分的管理和控制，并采用網(wǎng)管工具對通訊線路、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)流量進(jìn)行實時的監(jiān)控和預(yù)警。b) 所有員工要定期對個人電腦上的重要數(shù)據(jù)進(jìn)行備份，以減少不必要的損失。員工一旦發(fā)現(xiàn)或懷疑有PC或服務(wù)器被病毒感染,必須馬上斷開網(wǎng)絡(luò)并進(jìn)行全盤掃描，必須立即通知技術(shù)部門。b) 系統(tǒng)內(nèi)的服務(wù)器和個人計算機必須使用可信來源的軟件，應(yīng)對軟件進(jìn)行病毒檢測后統(tǒng)一保存。必須將驗收標(biāo)準(zhǔn)寫入到項目合同中。 網(wǎng)絡(luò)環(huán)境或其它新技術(shù)的使用216。變更內(nèi)容包括但不限于：216。a) 應(yīng)當(dāng)確保第三方實施、運行并保持第三方服務(wù)交付協(xié)議中包括商定的安全布置、服務(wù)定義和交付等級。b) 必須建立并執(zhí)行信息處理設(shè)備和信息系統(tǒng)變更管理流程（具體參照《變更管理流程》），形成文檔備案。k) 未經(jīng)信息安全責(zé)任人授權(quán)，不允許將載有重要信息的設(shè)備、信息或軟件帶離工作場所。對棄置的存儲有敏感信息的存儲設(shè)備，必須將其銷毀，或重寫數(shù)據(jù)，而不能只是使用標(biāo)準(zhǔn)的刪除功能進(jìn)行數(shù)據(jù)刪除。f) 應(yīng)當(dāng)按照設(shè)備維護(hù)要求的時間間隔和規(guī)范，對設(shè)備進(jìn)行維護(hù)。d) 計算機機房應(yīng)列為公司重點防火部位，按照規(guī)定配備足夠數(shù)量的消防器材，并定期檢查更換。 穩(wěn)定的電源供給216。p) 出入機房的設(shè)備必須填寫《機房設(shè)備出入登記表》。l) 備份介質(zhì)應(yīng)當(dāng)和主場地有一段的安全距離，要考慮信息設(shè)備面臨的可能的安全威脅，參考《業(yè)務(wù)連續(xù)性管理程序》的內(nèi)容制定對應(yīng)的業(yè)務(wù)連續(xù)性計劃，并要定期演練。g) 對安全區(qū)域的訪問必須進(jìn)行記錄和控制，以確保只有經(jīng)過授權(quán)的人員才可以訪問。所有可以進(jìn)出安全區(qū)域的門必須能防止未經(jīng)授權(quán)的訪問，如使用控制裝置、柵欄、監(jiān)控和報警裝備、鎖等。e) 對第三方訪問人員和臨時性員工，也必須執(zhí)行相關(guān)規(guī)定。調(diào)離人員必須移交全部資料和有關(guān)文檔，刪除自己的文件、帳號，檢查并歸還在借出的保密信息。3) 人員信息安全管理原則a) 員工錄用時，人事部門或調(diào)入部門必須及時書面通知信息技術(shù)部門添加相關(guān)的口令、帳號及權(quán)限等并備案。 計算機信息系統(tǒng)使用單位的安全管理責(zé)任人；216。 相關(guān)獎懲辦法d) 應(yīng)當(dāng)按下列群體進(jìn)行不同類型的信息安全培訓(xùn)：216。c) 涉及重要信息系統(tǒng)管理的員工、合同方及第三方應(yīng)當(dāng)進(jìn)行相關(guān)技術(shù)背景調(diào)查和能力考評；d) 涉及重要信息系統(tǒng)管理的員工、合同方及第三方應(yīng)在合同中明確其信息安全責(zé)任并簽署保密協(xié)議；e) 重要崗位的人員在錄用時應(yīng)做重要崗位背景調(diào)查。e) 對重要的資料檔案要妥善保管，以防丟失泄密，其廢棄的打印紙及磁介質(zhì)等，應(yīng)按有關(guān)規(guī)定進(jìn)行處理。信息資產(chǎn)應(yīng)當(dāng)標(biāo)明適用范圍。b) 所有員工和第三方都必須遵守關(guān)于信息設(shè)備安全管理的規(guī)定，以保護(hù)信息處理設(shè)備（包括移動設(shè)備和在非公共地點使用的設(shè)備）的安全。f) 第三方必須遵守的信息安全策略以及《第三方和外包管理規(guī)定》，留對第三方的工作進(jìn)行審核的權(quán)利。 是否已經(jīng)完成了相關(guān)的權(quán)限設(shè)定，對訪問加以控制；216。