【正文】 如果由第三方審計，應(yīng)當(dāng)與其簽署安全保密協(xié)議，并要實施控制措施降低外部審計可能存在的風(fēng)險。如果審計活動包含了對生產(chǎn)系統(tǒng)的檢查，應(yīng)當(dāng)進行仔細的計劃和控制，把風(fēng)險降到最低。b) 應(yīng)安排不同于被審計者的人員進行審計，審計過程要進行記錄。a) 審計的要求和審計范圍必須得到授權(quán)。當(dāng)進行漏洞測試前，要格外謹慎，可以制訂好計劃再進行操作。協(xié)助內(nèi)審組進行信息安全內(nèi)部評審和管理評審。2) 安全策略和技術(shù)一致性檢查目標：保證信息系統(tǒng)符合的安全策略和標準。e) 未經(jīng)安全責(zé)任人書面授權(quán)，禁止用戶和管理員將信息處理設(shè)備用于其他目的。應(yīng)當(dāng)考慮信息的處理辦法，保存時間，關(guān)鍵信息來源的目錄和索引。c) 應(yīng)按照法律法規(guī)、合同和業(yè)務(wù)要求，保護重要記錄免受損失、破壞或偽造篡改。b) 所有的軟件和硬件必須遵守知識產(chǎn)權(quán)的要求，包括著作權(quán)、設(shè)計權(quán)、商標權(quán)等。a) 公司的信息系統(tǒng)和其它IT設(shè)施必須符合國家相關(guān)法律法規(guī)的要求。 風(fēng)險（操作風(fēng)險和金融風(fēng)險）。 流程（新的流程/廢止的流程）。 承包商、供應(yīng)商和主要客戶。 法律法規(guī)。 場所、設(shè)施和資源。 經(jīng)營戰(zhàn)略。 地址或電話號碼。 人員。更新后的計劃必須正式進行批準和分發(fā)。e) 必須維護業(yè)務(wù)連續(xù)性計劃并進行定期更新分析。216。216。216。216。216。d) 必須定期測試并更新業(yè)務(wù)連續(xù)性計劃，可以通過以下方法：216。說明由誰負責(zé)執(zhí)行哪一部分計劃。216。216。216。216。 恢復(fù)程序。說明應(yīng)該采取哪些措施，以將重要業(yè)務(wù)活動或支持服務(wù)轉(zhuǎn)移到其它臨時地點并在規(guī)定時間內(nèi)恢復(fù)業(yè)務(wù)流程。216。 應(yīng)急程序。在計劃執(zhí)行前說明要采用的程序（包括如何評估、參與人員等）。業(yè)務(wù)連續(xù)性計劃框架應(yīng)該考慮以下內(nèi)容：216。 通過演練（或突發(fā)事件發(fā)生）的實際情況，對計劃進行修正，保證其有效性和可操作性。 業(yè)務(wù)流程的備案216。 滿足業(yè)務(wù)連續(xù)性計劃所需的資源和服務(wù)，包括人員、非信息處理資源以及信息處理設(shè)施的低效運行安排。 業(yè)務(wù)恢復(fù)的優(yōu)先級，應(yīng)當(dāng)考慮可容忍的業(yè)務(wù)中斷時間和業(yè)務(wù)恢復(fù)到中斷前的哪個時間點，要特別注意對有關(guān)外部業(yè)務(wù)和合同的評估。 保護人員、信息處理設(shè)備和機構(gòu)財產(chǎn)的安全。 明確人員職責(zé)，業(yè)務(wù)連續(xù)性管理過程的職責(zé)應(yīng)分配給安委會。 定期對計劃和相關(guān)操作流程進行檢查、演練和更新。 必要時可以適當(dāng)考慮購買保險，以降低重大災(zāi)難引起的損失。 識別可能導(dǎo)致業(yè)務(wù)中斷的重大事故，評估此類重大事故發(fā)生的可能性及造成業(yè)務(wù)中斷給造成的影響，確定關(guān)鍵業(yè)務(wù)流程的優(yōu)先級。 確定關(guān)鍵業(yè)務(wù)流程和其所涉及資產(chǎn)，明確信息處理設(shè)施的業(yè)務(wù)目標。業(yè)務(wù)連續(xù)性計劃制定后必須得到安全領(lǐng)導(dǎo)小組的批準。. 業(yè)務(wù)連續(xù)性管理1) 業(yè)務(wù)連續(xù)性管理中的信息安全目標：防止業(yè)務(wù)活動中斷，保證重要業(yè)務(wù)流程不受重大故障和災(zāi)難的影響，并確保它們的及時恢復(fù)。b) 應(yīng)通過信息安全事故的評估和總結(jié)以識別將來可能再次發(fā)生的事故，特別是可能造成重大影響的事故，盡量減小同種事故帶來的損失。a) 應(yīng)當(dāng)建立包括事件報告、分類、責(zé)任分工、響應(yīng)方法、記錄和總結(jié)、恢復(fù)計劃等在內(nèi)的信息安全事故管理機制。c) 所有員工和第三方有責(zé)任注意并報告系統(tǒng)或服務(wù)中已發(fā)現(xiàn)或疑似的安全漏洞，但不能擅自處理和散播。a) 維護并執(zhí)行《信息安全事件管理程序》，培訓(xùn)并要求所有員工和第三方都有責(zé)任盡快報告信息安全事件。 在網(wǎng)絡(luò)中部署入侵檢測系統(tǒng)216。 關(guān)掉可能利用漏洞造成損害的服務(wù)和端口216。詳細規(guī)定參見《補丁管理程序》。6) 技術(shù)漏洞管理目標：減少利用公開的技術(shù)漏洞帶來的風(fēng)險。其中安全補丁的規(guī)定詳見《補丁管理程序》。d) 只能從可信的渠道（如廠商指定的網(wǎng)站）獲取軟件的更新程序，重要變更必須進行記錄。應(yīng)用開發(fā)人員不允許訪問生產(chǎn)環(huán)境，除非在有安全評測手段的前提下，應(yīng)用開發(fā)人員可以暫時獲得生產(chǎn)環(huán)境下的用戶名和口令以用于系統(tǒng)支持，必須保證在系統(tǒng)支持完成之后立即修改口令。5) 開發(fā)和支持過程安全目標：保持應(yīng)用系統(tǒng)軟件和信息的安全a) 維護并執(zhí)行《變更管理流程》，該流程應(yīng)當(dāng)包括提交申請、調(diào)研和評估、審批、實施、總結(jié)和備案。g) 訪問程序源代碼的行為應(yīng)受到限制，更新關(guān)鍵應(yīng)用系統(tǒng)必須按照《變更管理流程》得到授權(quán)。e) 所有應(yīng)用必須編寫應(yīng)用配置手冊，應(yīng)用配置手冊必須隨著操作系統(tǒng)軟件或應(yīng)用配置的改變而及時更新。c) 重要的應(yīng)用和操作系統(tǒng)軟件只有在全面正確的測試通過后才可安裝，測試包括實用性、安全性、在其它系統(tǒng)上的有效性、用戶友好性等，測試應(yīng)在獨立的系統(tǒng)上完成，必須確保對應(yīng)的程序庫已經(jīng)更新。4) 系統(tǒng)文件安全目標：確保系統(tǒng)文件的安全a) 應(yīng)當(dāng)僅由管理員才可以進行操作系統(tǒng)、軟件、應(yīng)用和運行程序庫的更新，生產(chǎn)系統(tǒng)不得安裝無關(guān)軟件。 不可否認性：利用密碼技術(shù)獲得事件和行為發(fā)生或未發(fā)生的證明。 完整性/可認證性：使用數(shù)字簽名和消息驗證碼去保護存儲的和傳輸中的敏感和重要數(shù)據(jù)的可認證性和完整性。 保密性：通過信息加密保護存儲和傳輸中的敏感和重要數(shù)據(jù)。b) 周期性評審關(guān)鍵信息和數(shù)據(jù)的內(nèi)容，以保證其有效性和完整性。 加密：是用于保護信息機密性的技術(shù)?？梢杂眉用芗夹g(shù)作為實現(xiàn)消息驗證的手段。216。216。216。a) 應(yīng)用系統(tǒng)設(shè)計時應(yīng)當(dāng)針對數(shù)據(jù)安全進行以下方面的考慮：216。a) 對自主開發(fā)和外包開發(fā)的信息系統(tǒng)或?qū)ΜF(xiàn)有系統(tǒng)的更新，在分析階段應(yīng)當(dāng)規(guī)定對安全控制的要求，并集成到系統(tǒng)設(shè)計規(guī)范書、招標規(guī)范書和外包合同書之中，并在開發(fā)工作和驗收時進行考慮。詳細參見《筆記本電腦安全使用指南》b) 應(yīng)當(dāng)安排針對移動辦公人員的安全培訓(xùn)，要求此類用戶保護移動設(shè)備和遠程辦公帳號的安全。a) 所有遠程工作的移動計算機都必須安裝防病毒軟件，應(yīng)當(dāng)考慮采用動態(tài)口令系統(tǒng)。c) 應(yīng)當(dāng)參考《信息資產(chǎn)鑒別和分類管理辦法》明確標識出敏感信息，當(dāng)需要共享或分發(fā)敏感信息時，必須附帶保密聲明。a) 應(yīng)限制用戶和管理員對應(yīng)用系統(tǒng)的訪問權(quán)限，要求用戶在申請、變更或廢止訪問權(quán)限時，應(yīng)填寫《權(quán)限申請表》。e) 應(yīng)分開保存系統(tǒng)文件和應(yīng)用數(shù)據(jù)，限制對系統(tǒng)文件的操作。 分開存儲口令文件和應(yīng)用系統(tǒng)數(shù)據(jù)216。 強制用戶在第一次登錄時修改口令。 允許用戶選擇和更改自己的口令，其中要包括新口令的確認過程。 強制選擇優(yōu)質(zhì)口令。無特殊情況一個人不得在一個系統(tǒng)上擁有多個帳號。 需要在網(wǎng)絡(luò)上傳輸口令時，應(yīng)當(dāng)進行加密b) 登錄終端必須有超時設(shè)置，不超過20分鐘。 限制不成功登錄的次數(shù)，不得超過5次，否則鎖定用戶帳號216。 對于非Windows平臺，成功登錄后，才顯示系統(tǒng)或應(yīng)用標識216。5) 操作系統(tǒng)訪問控制目標：防止對操作系統(tǒng)未授權(quán)訪問。f) 未經(jīng)批準，不得在公共場所訪問內(nèi)部網(wǎng)絡(luò)。e) 局域網(wǎng)網(wǎng)絡(luò)對外出口必須使用防火墻進行保護，根據(jù)安全需要可以考慮將局域網(wǎng)進一步劃分為獨立的邏輯網(wǎng)絡(luò)域，并各邏輯網(wǎng)的接口處使用防火墻保護。d) 必須明確哪些人可以遠程診斷和調(diào)試信息設(shè)備。 實施相應(yīng)的控制手段b) 對于來自外部的連接，使用VPN連接，使用基于口令的控制系統(tǒng)進行控制。 明確哪些用戶可以訪問的網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)列表216。4) 網(wǎng)絡(luò)訪問控制目標：防止對網(wǎng)絡(luò)服務(wù)的未經(jīng)授權(quán)的訪問。c) 離開機房后要及時鎖門，重要信息設(shè)備可以使用計算機鎖等控制措施來保護其不受未授權(quán)訪問。b) 所有計算機應(yīng)當(dāng)啟用計算機的開機口令進行保護。a) 員工和訪問信息系統(tǒng)的第三方必須遵守《用戶帳號及口令管理規(guī)定》的要求保證自己的用戶帳號和口令的安全。如有特殊情況，必須事先得到信息安全部及安全責(zé)任人的批準并備案。f) 用戶帳號三個月未使用的將在系統(tǒng)中自動失效。d) 技術(shù)人員在收到重置口令的申請時，必須驗證用戶的身份后方可提供一個臨