【正文】 e） 威脅相似性原則同一安全區(qū)域內(nèi)的信息資產(chǎn)應(yīng)處在相似的風(fēng)險環(huán)境中，面臨相似的威脅。b） 管理組織或模式統(tǒng)一性不同的管理組織，行政級別和管理模式c） 資產(chǎn)價值相似性原則同一安全區(qū)域內(nèi)的信息資產(chǎn)應(yīng)具有相近的資產(chǎn)價值，重要業(yè)務(wù)應(yīng)用與一般的應(yīng)用分成不同區(qū)域。對于咨詢服務(wù)來說，為了設(shè)計后續(xù)的安全保護系統(tǒng)的有的放矢，需要設(shè)計描述組織全部和單個信息系統(tǒng)的信息系統(tǒng)框架，作為后續(xù)安全體系的保護對象。服務(wù)承諾說明或合同　　 等級保護實施管理解決方案等級保護作為信息系統(tǒng)設(shè)計、建設(shè)、運維的基礎(chǔ)，在對信息系統(tǒng)的安全管理過程中需要考慮等級保護要求，根據(jù)我們的經(jīng)驗，等級保護解決方案分為如下9個階段：1. 系統(tǒng)與資產(chǎn)調(diào)查2. 系統(tǒng)定級3. 等級指標選擇4. 安全評估5. 方案與規(guī)劃6. 建設(shè)整改7. 安全運維8. 測評準備9. 外部測評各階段的流程圖如下：等級保護流程圖 信息系統(tǒng)描述信息系統(tǒng)描述是開始等級保護實施流程的第一步，主要工作是調(diào)查和描述信息系統(tǒng)以及系統(tǒng)內(nèi)信息資產(chǎn)。測試驗收評審記錄　　系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理系統(tǒng)交付a應(yīng)制定詳細的系統(tǒng)交付清單，并根據(jù)交付清單對所交接的設(shè)備、軟件和文檔等進行清點；系統(tǒng)交付清單與記錄　　系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理系統(tǒng)交付b應(yīng)對負責(zé)系統(tǒng)運行維護的技術(shù)人員進行相應(yīng)的技能培訓(xùn)；維護技能培訓(xùn)記錄　　系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理系統(tǒng)交付c應(yīng)確保提供系統(tǒng)建設(shè)過程中的文檔和指導(dǎo)用戶進行系統(tǒng)運行維護的文檔；系統(tǒng)建設(shè)過程文檔和維護文檔　　系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理系統(tǒng)交付d應(yīng)對系統(tǒng)交付的控制方法和人員行為準則進行書面規(guī)定；系統(tǒng)交付的控制方法和人員行為準則制度　　系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理系統(tǒng)交付e應(yīng)指定或授權(quán)專門的部門負責(zé)系統(tǒng)交付的管理工作，并按照管理規(guī)定的要求完成系統(tǒng)交付工作。選項測試說明與記錄　　系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理工程實施a應(yīng)指定或授權(quán)專門的部門或人員負責(zé)工程實施過程的管理；工程負責(zé)部門說明　　系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理工程實施b應(yīng)制定詳細的工程實施方案控制實施過程，并要求工程實施單位能正式地執(zhí)行安全工程過程；工程實施方案與過程記錄　　系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理工程實施c應(yīng)制定工程實施方面的管理制度，明確說明實施過程的控制方法和人員行為準則。 滿足指標解決方案名稱控制類控制點指標名稱措施名稱改進動作改進對象系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理安全方案設(shè)計a應(yīng)根據(jù)系統(tǒng)的安全保護等級選擇基本安全措施，并依據(jù)風(fēng)險分析的結(jié)果補充和調(diào)整安全措施；等級保護方案　　系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理安全方案設(shè)計b應(yīng)指定和授權(quán)專門的部門對信息系統(tǒng)的安全建設(shè)進行總體規(guī)劃，制定近期和遠期的安全建設(shè)工作計劃；安全規(guī)劃與計劃　　系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理安全方案設(shè)計c應(yīng)根據(jù)信息系統(tǒng)的等級劃分情況，統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細設(shè)計方案，并形成配套文件；安全體系配套文檔　　系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理安全方案設(shè)計d應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細設(shè)計方案等相關(guān)配套文件的合理性和正確性進行論證和審定，并且經(jīng)過批準后，才能正式實施；評審記錄　　系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理安全方案設(shè)計e應(yīng)根據(jù)等級測評、安全評估的結(jié)果定期調(diào)整和修訂總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細設(shè)計方案等相關(guān)配套文件。216。項目實施子階段的安全要求如下：n 更新系統(tǒng)安全威脅評估，預(yù)測系統(tǒng)的使用壽命；n 找出并描述實現(xiàn)安全方案后系統(tǒng)和模塊的安全要求和限制，以及相關(guān)的系統(tǒng)驗證機制及檢查方法；n 完善系統(tǒng)的運行程序和全生命期支持的安全計劃，如密鑰的分發(fā)等；n 在《系統(tǒng)集成操作手冊》中，制定安全集成的操作程序；n 在《系統(tǒng)修改操作手冊》中，制定系統(tǒng)修改的安全操作程序；n 對項目參與人員進行信息安全意識培訓(xùn)；n 項目建設(shè)部門參加項目建設(shè)的安全管理和技術(shù)人員，要進行安全職責(zé)檢查。概要設(shè)計子階段的安全要求，《概要設(shè)計說明書》中包括以下信息安全要求：n 按子系統(tǒng)來描述系統(tǒng)的安全體系結(jié)構(gòu)；n 描述每一個子系統(tǒng)所提供的安全功能；n 標識所要求的任何基礎(chǔ)性的硬件、固件或軟件，和在這些硬件、固件或軟件中實現(xiàn)的支持性保護機制提供的功能表示；n 標識子系統(tǒng)的所有接口，并說明哪些接口是外部可見的；n 子系統(tǒng)所有接口的用途與使用方法，并適當提供影響、例外情況和錯誤消息的細節(jié)；n 確證子系統(tǒng)（不論是開發(fā)的，還是買來的）的安全功能指標滿足系統(tǒng)安全需求。216。216。216。 信息安全項目建設(shè)管理216。 評估和論證安全管理各職能管理部門、各直屬單位進行項目立項申請前，在進行項目規(guī)劃和設(shè)計的過程中，應(yīng)參照公司各安全技術(shù)規(guī)范中的相關(guān)技術(shù)要求進行安全建設(shè)；項目安全性論證對項目的安全需求分析、安全功能說明、安全設(shè)備、性能指標以及技術(shù)方案的技術(shù)可行性進行總體分析和審計；項目立項論證和評估過程中，公司信息安全辦公室負責(zé)IT項目安全性建設(shè)的技術(shù)部分論證和評估；在提交項目立項申請時，應(yīng)在技術(shù)方案中增加安全方面的說明和文檔，內(nèi)容包括：n 根據(jù)公司安全規(guī)范中的要求，系統(tǒng)在建設(shè)過程中進行安全部署的說明；n 根據(jù)公司安全規(guī)范中的要求，系統(tǒng)在建設(shè)過程中無法實現(xiàn)的安全部署的說明和論證；n 系統(tǒng)在建設(shè)過程中具體的安全功能以及安全功能的實現(xiàn)方法和技術(shù)；n 系統(tǒng)在建設(shè)過程中所采用的安全設(shè)備的品牌、型號、性能指標說明以及對于業(yè)務(wù)系統(tǒng)的影響分析。對提交立項申請的項目，在進行項目立項論證和評估的過程中，應(yīng)包括項目安全建設(shè)的論證和評估；通過項目安全建設(shè)的立項論證和評估，可作為計劃建設(shè)部審批項目立項的重要依據(jù)之一。 項目立項安全管理216。 結(jié)果備案計費業(yè)務(wù)中心主管辦公網(wǎng)絡(luò)安全管理員/三級經(jīng)理流程輸入步驟編號輸入部門輸入內(nèi)容輸入標準載體名稱1接待人申請表適用流程輸出步驟編號接收部門輸出內(nèi)容輸出標準載體名稱4公司IT 服務(wù)部門主管辦公網(wǎng)絡(luò)安全管理員第三方人員長期網(wǎng)絡(luò)訪問備案反映實際問題使能器IT信息平臺表單《第三方人員網(wǎng)絡(luò)訪問申請表》 第三方人員訪問申請審批流程圖第三方人員訪問申請審批流程圖 滿足指標解決方案名稱控制類控制點指標名稱措施名稱改進動作改進對象第三方人員安全管理解決方案人員安全管理外部人員訪問管理a應(yīng)確保在外部人員訪問受控區(qū)域前先提出書面申請，批準后由專人全程陪同或監(jiān)督，并登記備案；外部訪問制度與記錄　　第三方人員安全管理解決方案人員安全管理外部人員訪問管理b對外部人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容應(yīng)進行書面的規(guī)定，并按照規(guī)定執(zhí)行。 公司IT 服務(wù)部門主管辦公網(wǎng)絡(luò)環(huán)境的安全管理員如有必要，對訪問環(huán)境進行審計及安全檢察；167。 審批后，報公司IT 服務(wù)部門主管辦公網(wǎng)絡(luò)環(huán)境的管理員備案接待人所屬三級經(jīng)理/計費業(yè)務(wù)中心主管辦公網(wǎng)絡(luò)安全管理員3注銷訪問申請167。 接待人根據(jù)第三方人員實際需要提出長期訪問公司網(wǎng)絡(luò)的申請接待人2審批訪問申請167。n 第三方人員在訪問公司網(wǎng)絡(luò)期間如違反公司安全管理制度，除根據(jù)保密協(xié)議及相關(guān)公司安全管理制度進行處罰以外，公司接待人及所屬部門也應(yīng)承擔責(zé)任。n 需要公司辦公網(wǎng)管理部門（計費業(yè)務(wù)中心）相關(guān)工作人員審批確認，詳細參見《辦公網(wǎng)絡(luò)環(huán)境第三方人員訪問申請審批流程》 。第三方人員長期遠程訪問公司網(wǎng)絡(luò)原則上不允許。在長期訪問終止后，接待人通知辦公網(wǎng)管理部門相關(guān)工作人員，工作人員備案并作相應(yīng)安全評估、檢查工作。二、 網(wǎng)絡(luò)訪問安全第三方人員現(xiàn)場長期訪問公司網(wǎng)絡(luò)，除第三方人員遵守公司的安全管理制度及規(guī)范之外，第三方人員及接待人員還必須遵守如下安全要求：n 長期訪問公司網(wǎng)絡(luò)的第三方人員需要簽署相關(guān)《第三方人員安全保密協(xié)議》，承諾遵守公司安全制度及規(guī)范。n 重要機房實行安全保衛(wèi)管理，對第三方人員進入機房需要接待員工所屬三級經(jīng)理的同意，同時在本部門內(nèi)部進行登記。要求如下：n 遵守公司物理安全管理制度，在公司安全保衛(wèi)部門辦理第三方人員進出證件，證件表明訪問時間段及接待部門。n 臨時遠程訪問公司網(wǎng)絡(luò)的第三方人員在訪問過程中，公司接待人員應(yīng)能夠確定其訪問的內(nèi)容；在訪問結(jié)束后，公司接待人員應(yīng)及時關(guān)閉或敦促相關(guān)技術(shù)負責(zé)人員關(guān)閉臨時訪問的通路，并在本部門內(nèi)部記錄訪問結(jié)束時間。如果必須，需要第三方人員及接待人員遵守如下安全要求：n 臨時遠程訪問公司網(wǎng)絡(luò)的第三方人員，需要公司接待人員所屬三級經(jīng)理的同意，并在本部門內(nèi)部進行登記。一旦發(fā)生并經(jīng)核實其起因是第三方人員引起的安全事件，相關(guān)責(zé)任由公司接待人員及所屬三級經(jīng)理負責(zé)。如果必須，需要第三方人員及接待人員遵守如下安全要求：n 臨時接入公司辦公網(wǎng)絡(luò)的第三方人員，需要公司接待人員的同意，一旦發(fā)生并經(jīng)核實其起因是第三方人員引起的安全事件，相關(guān)責(zé)任由公司接待人員負責(zé)。n 重要機房實行安全保衛(wèi)管理，對第三方人員進入機房需要接待員工所屬三級經(jīng)理的同意，同時在本部門內(nèi)部進行登記。要求如下：n 第三方人員進出公司均需登記，遵照公司物理安全管理制度執(zhí)行。而第三方人員帶來的風(fēng)險如下：第三方人員訪問公司的方式包括現(xiàn)場訪問和遠程網(wǎng)絡(luò)訪問，第三方人員帶來的安全風(fēng)險必須定期評估，防范以下安全風(fēng)險：n 第三方人員物理訪問帶來的設(shè)備、資料盜竊；n 第三方人員誤操作導(dǎo)致各種軟硬件故障；n 第三方人員的資料、信息外傳導(dǎo)致泄密；n 第三方人員對業(yè)務(wù)系統(tǒng)的濫用和越權(quán)訪問；n 第三方人員給主機系統(tǒng)、軟件留下后門；n 第三方人員對系統(tǒng)的惡意攻擊。離崗保密規(guī)定　　人員安全管理解決方案人員安全管理人員考核a應(yīng)定期對各個崗位的人員進行安全技能及安全認知的考核；技能考核問卷與記錄　　人員安全管理解決方案人員安全管理人員考核b應(yīng)對關(guān)鍵崗位的人員進行全面、嚴格的安全審查和技能考核；關(guān)鍵崗位考核問卷與記錄　　人員安全管理解決方案人員安全管理人員考核c應(yīng)對考核結(jié)果進行記錄并保存。 滿足指標解決方案名稱控制類控制點指標名稱措施名稱改進動作改進對象人員安全管理解決方案人員安全管理人員錄用a應(yīng)指定或授權(quán)專門的部門或人員負責(zé)人員錄用；人員錄用管理部門說明　　人員安全管理解決方案人員安全管理人員錄用b應(yīng)嚴格規(guī)范人員錄用過程，對被錄用人的身份、背景、專業(yè)資格和資質(zhì)等進行審查，對其所具有的技術(shù)技能進行考核；人員錄用管理制度　　人員安全管理解決方案人員安全管理人員錄用c應(yīng)簽署保密協(xié)議；保密協(xié)議　　人員安全管理解決方案人員安全管理人員錄用d應(yīng)從內(nèi)部人員中選拔從事關(guān)鍵崗位的人員，并簽署崗位安全協(xié)議。 關(guān)于信息安全的獎勵及考核員工安全管理由各部門專、兼職安全管理員具體進行操作，把執(zhí)行情況向本部門安全管理組織，及公司網(wǎng)絡(luò)與信息安全辦公室匯報，并由公司網(wǎng)絡(luò)與信息安全辦公室直接呈報給公司網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組作為公司各部門年度目標責(zé)任制考核的內(nèi)容之一。n 由相關(guān)人員和該員工一起回顧其簽訂的保密協(xié)議，并使該員工明確所有保密事項，以及在離開外匯局后3年內(nèi)不得披露、使用外匯局的技術(shù)資料的規(guī)定。216。n 與原崗位有關(guān)的所有資料文件，包括其軟硬拷貝都需要移交，不允許私自帶走。 安全崗位人員的調(diào)動由于業(yè)務(wù)工作的需要或其他原因，需要對安全崗位人員進行崗位調(diào)動時，必須考慮以下安全事項：n 根據(jù)新崗位的需要，增加、刪除或修改該人員的信息系統(tǒng)訪問權(quán)限。 安全崗位人員的審計外匯局定期進行安全工作檢查，內(nèi)容包括對安全崗位人員的審計，同時安全檢查的結(jié)果作為安全崗位人員的工作考核的依據(jù)之一。在簽訂勞動合同之外，必須簽訂《保密協(xié)議》，明確該人員應(yīng)嚴格遵守的相關(guān)安全管理制度、安全技術(shù)規(guī)范和保守商業(yè)機密的要求以及違約責(zé)任等。n 不考慮錄用有犯罪前科、重大行政處分紀錄和“黑客”經(jīng)歷的人員。216。員工安全 配合信息安全管理員做好個人用機的安全檢查和安全加固工作； 嚴格遵循安全管理規(guī)定及技術(shù)規(guī)范等相關(guān)安全要求； 配合外匯局及部門的信息安全檢查工作。四、 與信息安全相關(guān)崗位人員安全職責(zé)信息安全工作涉及各方面的人員，下表明確和信息安全相關(guān)的崗位人員的安全職責(zé)要求。監(jiān)督、檢查技術(shù)支持處信息系統(tǒng)安全運行情況（保密性、完整性和可用性）。組織技術(shù)支持處信息安全管理制度和技術(shù)規(guī)范的具體實施。負責(zé)信息安全技術(shù)的跟蹤及研究工作。 負責(zé)安全事件監(jiān)控及重大安全事件響應(yīng)。 負責(zé)監(jiān)督、檢查信息系統(tǒng)安全運行情況（保密性、完整性和可用性）。 負責(zé)實施和維護信息安全管理制度和技術(shù)規(guī)范。定期向信息安全主管匯報總體及各部門信息安全的工作情況。負責(zé)監(jiān)督、檢查信息安全工作情況，負責(zé)對各部門信息安全考核及各部門安全管理員的工作考核。安全管理大學(xué)本科以上學(xué)歷，計算機/信息安全專業(yè)參與信息安全管理制度的制訂。監(jiān)督、檢查信息安全管理工作。三、 安全崗位人員職責(zé)崗位名稱崗位技能要求具體工作內(nèi)容信息安全主管大學(xué)本科以上學(xué)歷，計算機通信；信息安全專業(yè)