【正文】 全面演習（檢查組織、人員、設備、設施和程序是否能夠應。 供應商提供的設施和服務的檢查（確保外部提供的服務和產品符合合同中的規(guī)定）。 在備用場地進行測試（繼續(xù)業(yè)務流程的同時在主場地外執(zhí)行恢復操作）。 通過測試確保技術上信息系統(tǒng)可以有效地恢復。 通過模擬事故發(fā)生的情況，重點培訓對負責事故/危機發(fā)生后管理的人員。 通過會議，可以使用類似案例討論業(yè)務恢復方面的安排。根據要求可以指定備選方案。 明確個人責任。 在Sinosoft組織內開展業(yè)務連續(xù)性的教育培訓活動。 說明計劃檢查方式和時間的維護計劃以及計劃維護程序。 說明若恢復未完成時應遵循的臨時操作規(guī)程。說明應該采取哪些措施，以恢復正常業(yè)務運作。216。 低效運行程序。說明在發(fā)生危及業(yè)務操作和/或生命的事故后要采取的措施。216。 計劃的啟動條件。第227條 Sinosoft應當維護一個全局性的業(yè)務持續(xù)性計劃框架，以確保所有計劃的一致性。 對員工進行適當?shù)臉I(yè)務連續(xù)性計劃的培訓216。216。216。216。216。216。216。216。216。第226條 業(yè)務持續(xù)性計劃的內容至少應當包括：216。第225條 參考《業(yè)務持續(xù)性管理程序》制訂并實施業(yè)務連續(xù)性計劃，預防和恢復控制相結合，將災難和安全故障（可能是由于自然災害、事故、設備故障和蓄意破壞等引起）造成的影響降低到可以接受的水平，限制破壞性事件造成的后果，確保關鍵業(yè)務的操作得到及時恢復。第224條 從事件被檢測到至處理完成全過程的記錄和證據（包括紙制文檔和電子信息）都應進行保留。詳細規(guī)定參見《信息安全事件管理程序》。. 信息安全事故管理和改進目標：確保使用可追蹤的，有效的方法管理信息安全事故。第220條 信息安全事件發(fā)生后，報告人應立即將事件的重要細節(jié)（如事件描述、屏幕上顯示的消息、造成的后果、其它異常情況等）向信息中心報告。 增強對該漏洞的監(jiān)控11. 信息安全事故處理. 報告信息安全事故和弱點目標：確保與信息系統(tǒng)有關的安全事件和弱點的報告，以便及時采取糾正措施。 在網絡邊界上增加隔離和訪問控制，如防火墻216。第218條 如果沒有合適的補丁，應當實施其它措施，如：216。第217條 應當確認軟件和其它技術的相關漏洞，指定專人進行安全補丁管理工作，包括補丁公告、補丁評估和補丁列表的維護工作。第216條 可以采取安全手段監(jiān)視系統(tǒng)、通信和個人行為，以減小信息泄露的可能。變更后，運維人員應當監(jiān)控變更帶來的影響。第214條 當操作系統(tǒng)變更后，應評審和測試關鍵的應用系統(tǒng)，以確定此變更對運營和安全帶來的影響。第213條 必須分開生產環(huán)境和非生產環(huán)境，非生產環(huán)境包括開發(fā)、測試和培訓所用的環(huán)境。若有可能，在運行環(huán)境中不應保留程序源代碼庫。第210條 測試過程中應當避免使用敏感信息，測試完成后應當及時清除。第208條 重要軟件和應用升級后，包括需要的信息、參數(shù)、升級過程日志、配置細節(jié)等都要歸檔，配套的數(shù)據和文件也應歸檔。第206條 應當盡量避免應用系統(tǒng)對操作系統(tǒng)的直接調用，最大限度降低操作系統(tǒng)崩潰的風險。 不可否認性：利用密碼技術獲得事件和行為發(fā)生或未發(fā)生的證明。 完整性/可認證性：驗證碼去保護存儲的和傳輸中的敏感和重要數(shù)據的可認證性和完整性。 保密性：通過信息加密保護存儲和傳輸中的敏感和重要數(shù)據。第203條 周期性評審關鍵信息和數(shù)據的內容，以保證其有效性和完整性。 加密：是用于保護信息機密性的技術?？梢杂眉用芗夹g作為實現(xiàn)消息驗證的手段。216。216。216。第202條 應用系統(tǒng)設計時應當針對數(shù)據安全進行以下方面的考慮：216。第201條 對自主開發(fā)的信息系統(tǒng)或對現(xiàn)有系統(tǒng)的更新，在分析階段應當規(guī)定對安全控制的要求。否則應當使用本公司配發(fā)的筆記本電腦并遵守《系統(tǒng)遠程接入管理規(guī)定》中的控制措施。這些遠程登錄設施僅在緊急情況或檢測時使用。安裝最新的防病毒軟件。（三）個人使用的移動計算設備必須設置硬件口令、OS級別口令或屏幕保護程序口令。第199條 移動計算：本公司用的移動計算設備(包括筆記本電腦和PDA)必須嚴格受控，包括：（一）使用移動計算設備必須經過本公司相關負責人的批準。隔離可通過使用物理或邏輯手段實現(xiàn)。第198條 敏感系統(tǒng)隔離：敏感系統(tǒng)應有專用的（隔離的）運算環(huán)境。（二）對訪問的限制應基于各個業(yè)務應用要求。第197條 信息訪問限制：（一）凡訪問本公司內部系統(tǒng)的請求都必須經過相關部門負責人的批準。這種限制的示例包括：使用預先定義的時間間隔，如對批文件傳輸，或定期的短期交互會話；如果沒有超時或延時操作的要求，則將連機時間限于正常辦公時間；考慮定時進行重新鑒別。第196條 聯(lián)機時間的限定：（一）應使用聯(lián)機時間的限制，為高風險應用程序提供額外的安全?！柑貦鄮簟估纾褐鳈C系統(tǒng)的管理員，Unix系統(tǒng)的root，Windows系統(tǒng)的 Adminisrator，數(shù)據庫軟件例如Oracle的 system，DBA，或者路由器、交換機的 “enable” 口令，都可以作改變配置、安裝軟件、不受一般系統(tǒng)安全的限制；系統(tǒng)實用工具程序應安裝在單獨的地方，其訪問限制權與其它應用程序區(qū)分開。第193條 口令管理系統(tǒng)：本公司各個平臺上必須按照以下標準啟動控制系統(tǒng)的口令管理系統(tǒng)：（一）強制使用個人用戶ID 和口令，以保持可核查性；（二）允許用戶選擇和變更他們自己的口令；（三）強制選擇優(yōu)質口令；（四）強制口令變更（至少半年1次）；（五）在第一次登錄時強制用戶變更臨時口令； （六）維護用戶以前使用的口令的記錄，并防止重復使用；（七）在輸入口令時，不在屏幕上顯示；（八）分開存儲口令文件和應用系統(tǒng)數(shù)據；（九）以保護的形式（例如加密）存儲和傳輸口令。并將這一控制策略應用于所有類型的用戶（包括技術支持人員，操作員，網絡管理員、系統(tǒng)程序員和數(shù)據庫管理員）。（九）不在網絡上以明文傳輸口令。（七）在成功登錄完成時，顯示下列信息：前一次成功登錄的日期和時間；上次成功登錄之后的任何不成功登錄嘗試的細節(jié)。（六）限制登錄程序所允許的最大和最小次數(shù)。如果出現(xiàn)差錯情況，系統(tǒng)不應指出數(shù)據的哪一部分是正確的或不正確的。（三）在登錄過程中，不提供對未授權用戶有幫助作用的幫助消息。（一）不顯示系統(tǒng)或應用標識符，直到登錄過程已成功完成為止。第191條 安全登錄程序：登錄到操作系統(tǒng)的程序應設計成使未授權訪問的機會減到最小。 （二）本公司網絡路由的任何更改都必須遵守《變更管理程序》。第190條 網絡路由控制：（一）本公司路由采用基于源地址和目的地址的安全訪問控制，由人工輸入到本公司的路由設備。（三）本公司管理的網絡訪問策略的任何更改都必須經過相關部門負責人的批準，并遵守《變更管理程序》。（二）防火墻策略的設計要遵守“缺省全部拒絕”原則，只允許必需的信息流通過網絡區(qū)段。第189條 網絡連接控制：（一）本公司保持嚴格的分離控制措施，保證跨邊界的訪問安全。第188條 網絡隔離：（一）本公司應采用防火墻技術和VLAN技術實現(xiàn)網絡域的邏輯分離，并保證各個網絡域之間只有授權的信息流。對于那些服務商需要訪問的遠程診斷設施要求采取以下控制措施：不用時必須關閉或禁用；必須驗證申請方的身份。應建立設備入網準入制度，只有獲批準的設備才允許連接網絡。 （三）完成遠程訪問驗證后，本公司內所有的系統(tǒng)都要求用戶通過用戶帳號和口令確認和驗證用戶的身份。第185條 外部連接的用戶鑒別：（一）應當遵守網絡安全策略。第184條 網絡服務的使用策略：應制定使用網絡和網絡服務的網絡訪問安全策略。如有可能，特別是下班后，將文件鎖在柜子里；敏感或關鍵業(yè)務資料在不用時，特別是辦公室無人時，應鎖起來（最好是鎖在防火保險柜或保險箱里）；個人電腦和電腦終端及打印機在無人使用時要求有口令、口令鎖或其它的保護措施；無人照看的傳真要加以保護；下班后，要對復印機加以保護，防止非法使用；敏感或機密信息打印出來后要馬上從打印機上拿走；敏感或機密信息傳真過來時，應提前守候。第183條 清空桌面和屏幕（一）本公司內所有工作站和服務器，如有可能，必須設置有口令的屏幕保護。所有員工應做到：當使用結束時，終止有效會話，利用合適的鎖定機制使它們安全，例如，有口令保護的屏幕保護程序或使用lock命令；當會話結束時退出主計算機、服務器和辦公PC（即，不僅僅關掉PC屏幕或終端）；當不使用設備時，利用帶鑰匙的鎖或等價控制措施來保護PC或終端不被未授權使用，例如，設置口令。第182條 無人職守的用戶設備：（一）應確保無人值守的用戶設備有適當?shù)谋Ｗo。同樣，用戶也禁止用其它用戶的ID從事活動。 . 用戶責任目標：避免未授權用戶的訪問，防止信息和信息處理設施的安全。（二）更短的周期性檢查特殊訪問權限。第179條 用戶口令管理請參見《口令管理規(guī)定》。本公司人員對設備供應商的支持人員(工程師)進行身份識別，并陪同工程師登入并在工程師完成任務后注銷； 在供應商必須由特權口令進行的工作完成后，修改該口令；無法做出判斷后請示上級領導；保存一份全部分配特權和確認口令變更的書面記錄。 （五）所有申請?zhí)貦嘤脩魩ぬ柡涂诹畹男袨槎急仨毥涍^相關部門負責人，由相關部門負責人確定是否發(fā)給他們口令。（三）任何信息系統(tǒng)，只能由其所有者或授權管理者控制該系統(tǒng)的特權帳戶的口令，包括關鍵服務器、路由器和防火墻等所用的口令。（二）本公司要嚴格控制特權的分配和使用。應考慮下列步驟：應標識出與每個系統(tǒng)產品，例如，操作系統(tǒng)、數(shù)據庫管理系統(tǒng)和每個應用程序，相關的訪問特殊權限，以及必須將其分配的用戶；特殊權限應按照訪問控制策略在“需要使用”的基礎上和“逐個事件”的基礎上分配給用戶，例如僅當需要時，才為其職能角色分配最低要求；應維護所分配的各個特殊權限的授權過程及其記錄。應該：1）核實表格的完整性，全部資料填寫妥當；2）核實授權有效并得到行政管理部的批準； 3）變更/刪除/禁用用戶帳號。組ID只在與執(zhí)行的任務相適應的情況下允許使用； 3）要檢查使用信息系統(tǒng)或服務的用戶是否具有該系統(tǒng)擁有者的授權；4）檢查所授予的訪問級別是否與業(yè)務目的相適合，是否與組織的安全方針保持一致；5）保存所有用戶注冊的正式記錄；6）在收到服務終止申請或任何本公司的員工離職或調離后，立即注銷該用戶的訪問權； 7）定期檢查并清理多余的用戶賬號。策略應考慮到下列內容：1）各個業(yè)務應用的安全要求；2）與業(yè)務應用相關的所有信息的標識和該信息面臨的風險；3）信息傳播和授權的策略，例如，了解原則和安全等級以及信息分類的需要；4）不同系統(tǒng)和網絡的訪問控制策略和信息分類策略之間的一致性；5）關于保護訪問數(shù)據或服務的相關法律和合同義務；6）在認可各種可用的連接類型的分布式和網絡化環(huán)境中的訪問權的管理；7）訪問控制角色的分離，例如訪問請求、訪問授權、訪問管理；8）訪問請求的正式授權要求；9）要求定期評審訪問控制；10）訪問權的取消。本公司員工按照《信息安全策略》的要求，履行自己的信息安全職責。9. Sinosoft信息系統(tǒng)訪問控制. 訪問控制的業(yè)務要求目標：控制對信息的訪問。行政部網絡管理應與有關方評審事故并落實為防止再發(fā)生錯誤所采取的糾正措施。 (二) 行政部網絡管理要負責審核《故障處理單》，確保錯誤恢復并且無任何安全問題。（三）系統(tǒng)管理員和操作員日志須定期審核。第172條 管理員和操作員日志:（一）系統(tǒng)管理員和系統(tǒng)操作員的活動應記入日志。(三) 應采取措施監(jiān)控非法更改和操作問題，包括： 停用日志記錄工具； 對所記錄的消息類型進行更改； 正在編輯或刪除日志文件； 日志文件介質即將填滿，或者無法記錄事件，或者重寫。(二) 系統(tǒng)日志通常包括大量的信息，多數(shù)與安全監(jiān)控無關。第171條 保護日志信息：(一) 日志審核包括了解系統(tǒng)面臨的威脅以及這些威脅出現(xiàn)的方　　　　 式。非法訪問次數(shù)，如：1) 失敗次數(shù)；2) 訪問策略的違反情況和通知；3) 網關和防火墻。第170條 本公司監(jiān)控范圍如下：合法訪問，包括如下詳細內容：1) 用戶 ID；2) 重要事件的日期和時間；3) 事件類型；4) 所訪問的文件；5) 所用程序/實用程序。另外，如果發(fā)生不良事件可能影響網絡安全，或檢測到有關鍵服務器安全事件，應執(zhí)行《信息安全事件管理程序》中確定的安全事故報告程序。 第167條 關鍵網絡安全事件和關鍵服務器安全事件應記錄在事件日志中，其內容建議包括以下信息：用戶驗證用的用戶帳號；網絡地址；系統(tǒng)登錄成敗(驗證結果)；事件的日期和事件。第166條 可以在內網中配置日志服務器，專門收集主機、網絡設備、安全產品的日志，以避免日志被破壞或覆蓋。審計至少包括用戶ID、系統(tǒng)日志、操作記錄等。. 監(jiān)視和審計目標：檢測未經授權的信息處理活動。第163條 本公司網站服務器應置于防火墻后，除非確有必要，否則應只容許HTTP/HTTPS服務。第161條 業(yè)務信息系統(tǒng)的安全方針和控制程序如《業(yè)務信息系統(tǒng)管理辦法》中所描述。第159條 收發(fā)的所有電子文件都必須經過病毒掃描。第157條 應控制并記錄允許操作業(yè)務系統(tǒng)的用戶名單，未經安全責任人授權，不得隨意變更訪問限制和共享信息。第155條 員工不得利用網絡對他人進行侮辱、誹謗、騷擾；不得侵害他人合法權益；不得侵犯他人的名譽權，肖像權、姓名權等人身權利；不得侵犯他人的商譽、商標、版權、專利、專有技術等各種知識產權。第154條 敏感信息應當通過專用的線路傳輸。另外，不要在公共場所或開放辦公室和薄圍墻的會場進行保密會談。1 不要將包含敏感信息的消息留在應答機上，因為可能被未授權個人重放，也不能留在公用系統(tǒng)或者由于誤撥號而被不正確地存儲；1 關于傳真機的使用問題，即：1) 未授權