【正文】 u 考慮突發(fā)事件的可能性和影響。應(yīng)該維護和執(zhí)行此類計劃，使之成為其它所有管理程序的一部分。應(yīng)該分析災(zāi)難、安全故障和服務(wù)損失的后果。信息安全風險評估必須形成文檔化的風險評估報告。信息安全審計應(yīng)當3個月進行一次，并形成文檔化的信息安全審計報告。計算機及信息系統(tǒng)的信息安全審計活動和風險評估應(yīng)當定期執(zhí)行。10風險管理及安全審計策略信息安全審計及風險管理對于幫助公司識別和理解信息被攻擊、更改和不可用所帶來的（直接和間接的）潛在業(yè)務(wù)影響來說至關(guān)重要。應(yīng)該根據(jù)相關(guān)國家法律的要求和指導(dǎo)方針控制對信息系統(tǒng)和數(shù)據(jù)的訪問： u 計算機活動應(yīng)可以被追蹤到人；u 訪問所有多用戶計算機系統(tǒng)應(yīng)有正式的用戶登記和注銷規(guī)程； u 應(yīng)使用有效的訪問系統(tǒng)來鑒別用戶；u 應(yīng)通過安全登錄進程訪問多用戶計算機系統(tǒng)； u 特殊權(quán)限的分配應(yīng)被安全地控制；u 用戶選擇和使用密碼時應(yīng)慎重參考良好的安全慣例； u 用戶應(yīng)確保無人看管的設(shè)備受到了適當?shù)陌踩Ｗo； u 應(yīng)根據(jù)系統(tǒng)的重要性制定監(jiān)控系統(tǒng)的使用規(guī)程。計算機系統(tǒng)控制訪問包括建立和使用正式的規(guī)程來分配權(quán)限，并培訓(xùn)工作人員安全地使用系統(tǒng)。并采取有效措施，防止再次發(fā)生類似情況。對敏感或重要密鑰，要求采用一定的密鑰備份措施以保障在密鑰丟失、破壞時系統(tǒng)的可用性。包括密鑰的生成、使用、交換、傳輸、保護、歸檔、銷毀等。對于敏感或重要信息，要求通過加密保障其私密性、通過信息校驗碼或數(shù)字簽名保障其完整性、通過數(shù)字簽名保障其不可否認性。采用加密技術(shù)或選用加密產(chǎn)品，要求符合國家有關(guān)政策或行業(yè)規(guī)范的要求。定義計算機及信息系統(tǒng)備份與恢復(fù)應(yīng)該采用的基本措施： u 建立有效的備份與恢復(fù)機制； u 定期檢測自動備份系統(tǒng)是否正常工作；u 明確備份的操作人員職責、工作流程和工作審批制度；u 建立完善的備份工作操作技術(shù)文檔；u 明確恢復(fù)的操作人員職責、工作流程和工作審批制度； u 建立完善的恢復(fù)工作操作技術(shù)文檔； u 針對建立的備份與恢復(fù)機制進行演習； u 對備份的類型和恢復(fù)的方式進行明確的定義； u 妥善保管備份介質(zhì)。嚴格控制盜版軟件及其它第三方軟件的使用，必要時，在運行前先對其進行病毒檢查。病毒防范包括預(yù)防和檢查病毒（包括實時掃描/過濾和定期檢查），主要內(nèi)容包括：u 控制病毒入侵途徑； u 安裝可靠的防病毒軟件； u 對系統(tǒng)進行實時監(jiān)測和過濾； u 定期殺毒； u 及時更新病毒庫； u 及時上報； u 詳細記錄。應(yīng)該注意以下內(nèi)容：應(yīng)將網(wǎng)絡(luò)的操作職責和計算機的操作職責分離；u 制定遠程設(shè)備（包括用戶區(qū)域的設(shè)備）的管理職責和程序；u 應(yīng)采取特殊的技術(shù)手段保護通過公共網(wǎng)絡(luò)傳送的數(shù)據(jù)的機密性和完整性，并保護連接的系統(tǒng)，采取控制措施維護網(wǎng)絡(luò)服務(wù)和所連接的計算機的可用性；u 信息安全管理活動應(yīng)與技術(shù)控制措施協(xié)調(diào)一致，優(yōu)化業(yè)務(wù)服務(wù)能力； u 使用遠程維護協(xié)議時，要充分考慮安全性。網(wǎng)絡(luò)安全管理的目標是保證網(wǎng)絡(luò)信息安全，確保網(wǎng)絡(luò)基礎(chǔ)設(shè)施的可用性。應(yīng)記錄報告的關(guān)于信息處理錯誤或通信系統(tǒng)故障。根據(jù)需要，日志記錄應(yīng)包括： u 系統(tǒng)及應(yīng)用啟動和結(jié)束時間； u 系統(tǒng)及應(yīng)用錯誤和采取的糾正措施； u 所處理的數(shù)據(jù)文件和計算機輸出； u 操作日志建立和維護的人員名單。個人終端用戶（包括個人計算機）的鑒別，以及連接到所有辦公自動化網(wǎng)絡(luò)和服務(wù)的控制職責，由信息安全管理部門決定。應(yīng)該對計算機介質(zhì)進行控制，如果必要的話需要進行物理保護： u 可移動的計算機介質(zhì)應(yīng)該受控；u 應(yīng)該制定并遵守處理包含機密或關(guān)鍵數(shù)據(jù)的介質(zhì)的規(guī)程； u 與計算相關(guān)的介質(zhì)應(yīng)該在不再需要時被妥善廢棄。對信息處理設(shè)施和系統(tǒng)控制不力是導(dǎo)致系統(tǒng)或安全故障的常見原因，所以應(yīng)該控制對信息處理設(shè)施和系統(tǒng)的變動。應(yīng)該制定管理和操作所有計算機和網(wǎng)絡(luò)所必須的職責和規(guī)程，來指導(dǎo)正確的和安全的操作。為了保護這些信息，需要使用安全且受控的方式管理和操作這些計算機，使它們擁有充分的資源。應(yīng)經(jīng)信息安全管理部門批準后才可以處置記錄，并應(yīng)用碎紙機處理。、計算機房訪問記錄管理保密室、計算機房應(yīng)設(shè)立物理訪問記錄，信息安全管理部門應(yīng)定期檢查物理訪問記錄本，以確保正確使用了這項控制。應(yīng)在運營范圍內(nèi)安裝自動滅火系統(tǒng)。為確保計算機處理設(shè)施能正確的、連續(xù)的運行，應(yīng)至少考慮及防范以下威脅：偷竊、火災(zāi)、溫度、濕度、水、電力供應(yīng)中斷、爆炸物、吸煙、灰塵、振動、化學影響等。應(yīng)有合適的出入控制來保護安全場所，確保只允許授權(quán)的人員進入。u 設(shè)備包括存儲介質(zhì)在廢棄使用之前，應(yīng)該刪除其上面的數(shù)據(jù)。u 對設(shè)備應(yīng)該按照生產(chǎn)商的說明進行有序地維護。u 對涉密信息或關(guān)鍵業(yè)務(wù)過程的設(shè)備應(yīng)該進行保護，以免受電源故障或其他電力異常的損害。對支持涉密信息或關(guān)鍵業(yè)務(wù)過程（包括備份設(shè)備和存儲過程）的設(shè)備應(yīng)該適當?shù)卦谖锢砩线M行保護以避免安全威脅和環(huán)境危險。根據(jù)信息安全的分層管理，應(yīng)將支持涉密信息或關(guān)鍵業(yè)務(wù)活動的信息技術(shù)設(shè)備放置在安全區(qū)域中。物理和環(huán)境安全策略計算機信息和其他用于存儲、處理或傳輸信息的物理設(shè)施，例如硬件、磁介質(zhì)、電纜等，對于物理破壞來說是易受攻擊的，同時也不可能完全消除這些風險。尊重互聯(lián)網(wǎng)上他人的知識產(chǎn)權(quán)。必須使用病毒檢測軟件對所有通過互聯(lián)網(wǎng)（或任何其他公網(wǎng)）從信息系統(tǒng)之外的途徑獲得的軟件和文件進行檢查，同時，在獲得這些軟件和文件之前，信息安全管理部門必須研究和確認使用這些工具的必要性。u 在沒有信息安全管理部門的事先允許或?qū)徟那闆r下，工作人員在使用的計算機中更改或安裝任何類型的計算機軟件和硬件。u 任何工作人員使用信息系統(tǒng)的計算機工具、設(shè)備和互聯(lián)網(wǎng)訪問服務(wù)來從事用于個人獲益的商業(yè)活動（如炒股）。包括但不限于以下例子是不可接受的使用行為：u 使用信息系統(tǒng)資源故意從事影響他人工作和生活的行為。公司所有人員對系統(tǒng)網(wǎng)絡(luò)和計算資源的使用（包括訪問互聯(lián)網(wǎng)）都必須遵守計算機及信息系統(tǒng)的安全策略和標準及所有適用的法律。上述信息必須定期備份進行保護，以免破壞和非授權(quán)修改。涉密計算機信息數(shù)據(jù)必須被保護以防止被泄漏、破壞或修改。分層管理與控制、內(nèi)部網(wǎng)絡(luò)（局域網(wǎng)）及計算機信息管理、互聯(lián)網(wǎng)計算機信息管理三個管理層次。4 組織 ，負責領(lǐng)導(dǎo)信息安全管理體系的建立和信息安全管理的實施，主要包括：u 提供清晰的指導(dǎo)方向，可見的管理支持，明確的信息安全職責授權(quán)； u 審查、批準信息安全策略和崗位職責； u 審查業(yè)務(wù)關(guān)鍵安全事件；u 批準增強信息安全保障能力的關(guān)鍵措施和機制；u 保證必要的資源分配，以實現(xiàn)數(shù)據(jù)有效性以及信息安全管理體系的持續(xù)發(fā)展。信息安全管理應(yīng)在確保信息和計算機受到保護的同時，確保計算機和信息系統(tǒng)能夠在允許的范圍內(nèi)正常運行使用。本策略文件主要內(nèi)容包括：物理安全策略、信息安全策略、運行管理策略、備份與恢復(fù)策略、應(yīng)急計劃和響應(yīng)策略、計算機病毒與惡意代碼防護策略、身份鑒別策略、訪問控制策略、信息完整性保護策略、安全審計策略等十個方面。公司涉密計算機及信息系統(tǒng)涉及到存儲、傳輸、處理國家秘密、公司商業(yè)秘密和業(yè)務(wù)關(guān)鍵信息，關(guān)系到公司的形象和公司業(yè)務(wù)的持續(xù)運行，必須保證其安全。第二篇：涉密計算機及信息系統(tǒng)安全策略涉密計算機及信息系統(tǒng)安全策略文件 概述涉密計算機及信息系統(tǒng)安全策略文件屬于頂層的管理文檔，是公司網(wǎng)絡(luò)與信息安全保障工作的出發(fā)點和核心，是公司計算機與信息系統(tǒng)安全管理和技術(shù)措施實施的指導(dǎo)性文件。第四十七條 第四十八條第十章 附則本辦法由農(nóng)村商業(yè)銀行股份有限公司負責解釋。第四十五條 任何人不得擅自處理或破壞發(fā)生事故的涉密計算機信息系統(tǒng)現(xiàn)場，必須及時通知總行保密領(lǐng)導(dǎo)小組，經(jīng)保密領(lǐng)導(dǎo)小組授權(quán)，信息科技部進行技術(shù)分析、取證，并及時做好相應(yīng)的登記備案工作。第九章 泄密處理第四十三條 如發(fā)生涉密計算機信息泄密事故，不得隱瞞，應(yīng)立即向保密領(lǐng)導(dǎo)小組報告，并請求信息科技部給予技術(shù)支持；信息科技部將根據(jù)保密領(lǐng)導(dǎo)小組的要求，采取有效的技術(shù)措施，避免泄密進一步擴大。第八章 安全保密監(jiān)督第四十一條 科技部門對計算機信息系統(tǒng)安全保密工作，行使下列監(jiān)督職權(quán)：（一）監(jiān)督、檢查、指導(dǎo)計算機信息系統(tǒng)安全保密工作；（二）檢查危害計算機信息系統(tǒng)安全的違規(guī)事件；（三）履行計算機信息系統(tǒng)安全保密工作的其它監(jiān)督職責。（三）在對生產(chǎn)系統(tǒng)和監(jiān)督系統(tǒng)進行系統(tǒng)維護、恢復(fù)、強行更改數(shù)據(jù)時，至少應(yīng)有兩名操作人員在場、并進行詳細的登記及簽名。（一）應(yīng)按照分工負責、互相制約的原則制定各類系統(tǒng)操作人員的職責，職責不允許交叉覆蓋。（七）安全管理人員。（五）系統(tǒng)運行維護人員。（三）辦公自動化系統(tǒng)操作、管理人員。（一）營業(yè)網(wǎng)點操作員、管理人員。第三十九條 計算機操作人員分類。系統(tǒng)操作是指對計算機信息系統(tǒng)開發(fā)、操作、維護、系統(tǒng)管理等人員的行為或活動。自調(diào)離決定通知之日起，必須立即進行上述工作，不得拖延。進行調(diào)離談話，承諾其調(diào)離后的保密義務(wù)，交還所有鑰匙及證件，退還全部技術(shù)手冊、軟件及有關(guān)資料。第三十七條 人員調(diào)離。對違反保密契約的，應(yīng)有懲處