【正文】 新。f) 第三方必須遵守的信息安全策略以及《第三方和外包管理規(guī)定》，留對(duì)第三方的工作進(jìn)行審核的權(quán)利。 是否與法律法規(guī)有沖突，是否會(huì)涉及知識(shí)產(chǎn)權(quán)糾紛；d) 第三方進(jìn)行訪問之前必須經(jīng)過被訪問系統(tǒng)的安全責(zé)任人的審核批準(zhǔn)，包括物理訪問的區(qū)域和邏輯訪問的權(quán)限。 是否已經(jīng)完成了相關(guān)的權(quán)限設(shè)定，對(duì)訪問加以控制；216。 被訪問資產(chǎn)是否會(huì)損壞或者帶來安全隱患；216。 邏輯訪問：u 主機(jī)系統(tǒng)u 網(wǎng)絡(luò)系統(tǒng)u 數(shù)據(jù)庫(kù)系統(tǒng)u 應(yīng)用系統(tǒng)c) 第三方訪問需要進(jìn)行以下的風(fēng)險(xiǎn)評(píng)估后方可對(duì)訪問進(jìn)行授權(quán)。216。 客戶；216。 外單位參觀人員；216。 硬件及軟件技術(shù)支持、維護(hù)人員；216。2) 外部組織a) 第三方訪問是指非人員對(duì)信息系統(tǒng)的訪問。信息安全領(lǐng)導(dǎo)小組每年對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)果和安全策略的修改進(jìn)行審批。這些團(tuán)體包括外部安全咨詢商、獨(dú)立的安全技術(shù)專家等。這些部門包括執(zhí)法部門、消防部門、上級(jí)監(jiān)管部門、電信供應(yīng)商等提供公共服務(wù)的部門。l 凡是涉及重要信息、機(jī)密信息（相關(guān)定義參見《信息資產(chǎn)鑒別和分類管理辦法》等信息的處理，相關(guān)的工作崗位員工以及第三方都必須簽署保密協(xié)議。l 信息系統(tǒng)內(nèi)的每個(gè)重要的資產(chǎn)需要明確所有者、使用人員。l 任何新的信息系統(tǒng)處理設(shè)施必須經(jīng)過管理授權(quán)的過程。l 各個(gè)部門之間必須緊密配合共同進(jìn)行信息安全系統(tǒng)的維護(hù)和建設(shè)。l 公司的信息系統(tǒng)安全管理工作采取信息安全管控委員會(huì)統(tǒng)一管理方式，其他相關(guān)部門配合執(zhí)行。1) 內(nèi)部組織l 公司的管理層對(duì)信息安全承擔(dān)最終責(zé)任。對(duì)于即將投入使用和今后規(guī)劃的信息系統(tǒng)項(xiàng)目也必須參照本策略執(zhí)行。3) 策略評(píng)審每年必須參照《管理評(píng)審程序》執(zhí)行公司管理評(píng)審。1) 策略下發(fā)本策略必須得到管理層批準(zhǔn)，并向所有員工和相關(guān)第三方公布傳達(dá)，全體人員必須履行相關(guān)的義務(wù)，享受相應(yīng)的權(quán)利，承擔(dān)相關(guān)的責(zé)任。1) ISO/IEC 27001:2005 信息技術(shù)安全技術(shù)信息安全管理體系要求2) ISO/IEC 17799:2005 信息技術(shù)安全技術(shù)信息安全管理實(shí)施細(xì)則4. 職責(zé)和權(quán)限信息安全管控委員會(huì)：負(fù)責(zé)對(duì)信息安全策略進(jìn)行編寫、評(píng)審，監(jiān)督和檢查公司全體員工執(zhí)行情況。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本?？梢员硎鞠Ｍ_(dá)到的要求。2) 詞語使用必須表示強(qiáng)制性的要求。安全審計(jì)通過將所選類型的事件記錄在服務(wù)器或工作站的安全日志中用來跟蹤用戶活動(dòng)的過程。安全事件利用信息系統(tǒng)的安全漏洞，對(duì)信息資產(chǎn)的保密性、完整性和可用性造成危害的事件。第三方訪問指非本單位的人員對(duì)信息系統(tǒng)的訪問。信息資產(chǎn)責(zé)任人是指對(duì)某項(xiàng)信息資產(chǎn)安全負(fù)責(zé)的人員。用戶被授權(quán)能使用IT系統(tǒng)的人員。計(jì)算機(jī)機(jī)房裝有計(jì)算機(jī)主機(jī)、服務(wù)器和相關(guān)設(shè)備的，除了安裝和維護(hù)的情況外，不允許人員在里邊工作的專用房間。風(fēng)險(xiǎn)評(píng)估評(píng)估信息安全漏洞對(duì)信息處理設(shè)備帶來的威脅和影響及其發(fā)生的可能性。保密信息安全規(guī)章定義的密級(jí)信息。保密性確保只有經(jīng)過授權(quán)的人才能訪問信息。2. 術(shù)語和定義1) 解釋信息安全是指保護(hù)信息資產(chǎn)免受多種安全威脅，保證業(yè)務(wù)連續(xù)性，將安全事件造成的損失降至最小，同時(shí)最大限度地獲得投資回報(bào)和商業(yè)機(jī)遇。3) 建立信息安全策略的目的概括如下：a) 在內(nèi)部建立一套通用的、行之有效的安全機(jī)制；b) 在的員工中樹立起安全責(zé)任感；c) 在中增強(qiáng)信息資產(chǎn)可用性、完整性和保密性；d) 在中提高全體員工的信息安全意識(shí)和信息安全知識(shí)水平。本文檔遵守政府制定的相關(guān)法律、法規(guī)、政策和標(biāo)準(zhǔn)。 信息安全策略 目 錄1. 目的和范圍 42. 術(shù)語和定義 43. 引用文件 54. 職責(zé)和權(quán)限 65. 信息安全策略 6. 信息系統(tǒng)安全組織 6. 資產(chǎn)管理 8. 人員信息安全管理 9. 物理和環(huán)境安全 11. 通信和操作管理 13. 信息系統(tǒng)訪問控制 17. 信息系統(tǒng)的獲取、開發(fā)和維護(hù)安全 20. 信息安全事故處理 23. 業(yè)務(wù)連續(xù)性管理 24. 符合性要求 261 附件 271. 目的和范圍1) 本文檔制定了的信息系統(tǒng)安全策略，作為信息安全的基本標(biāo)準(zhǔn)，是所有安全行為的指導(dǎo)方針，同時(shí)也是建立完整的安全管理體系最根本的基礎(chǔ)。2) 信息安全策略是在信息安全現(xiàn)狀調(diào)研的基礎(chǔ)上，根據(jù)ISO27001的最佳實(shí)踐，結(jié)合現(xiàn)有規(guī)章制度制定而成的信息安全方針和策略文檔。本安全策略得到領(lǐng)導(dǎo)的認(rèn)可，并在公司內(nèi)強(qiáng)制實(shí)施。本安全策略適用于公司全體員工，自發(fā)布之日起執(zhí)行。可用性確保經(jīng)過授權(quán)的用戶在需要時(shí)可以訪問信息并使用相關(guān)信息資產(chǎn)。完整性保護(hù)信息和信息的處理方法準(zhǔn)確而完整。信息安全策略正確使用和管理IT信息資源并保護(hù)這些資源使得它們擁有更好的保密性、完整性、可用性的策略。風(fēng)險(xiǎn)管理以可以接受的成本，確認(rèn)、控制、排除可能影響信息系統(tǒng)的安全風(fēng)險(xiǎn)或?qū)⑵鋷淼奈：ψ钚』倪^程。員工在系統(tǒng)內(nèi)工作的正式員工、雇傭的臨時(shí)工作人員。信息資產(chǎn)與信息系統(tǒng)相關(guān)聯(lián)的信息、信息的處理設(shè)備和服務(wù)。合作單位是指與有業(yè)務(wù)往來的單位，包括承包商、服務(wù)提供商、設(shè)備廠商、外包服務(wù)商、貿(mào)易伙伴等。IT外包服務(wù)是指企業(yè)戰(zhàn)略性選擇外部專業(yè)技術(shù)和服務(wù)資源，以替代內(nèi)部部門和人員來承擔(dān)企業(yè)IT系統(tǒng)或系統(tǒng)之上的業(yè)務(wù)流程的運(yùn)營(yíng)、維護(hù)和支持的IT服務(wù)。故障是指信息的處理、傳輸設(shè)備運(yùn)行出現(xiàn)意外障礙，以至影響信息系統(tǒng)正常運(yùn)轉(zhuǎn)的事件。超時(shí)設(shè)置用戶如果超過特定的時(shí)限沒有進(jìn)行動(dòng)作，就觸發(fā)其他事件（如斷開連接、鎖定用戶等）。應(yīng)當(dāng)好的做法所要達(dá)到的要求，條件允許就要實(shí)施。3. 引用文件 下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。5. 信息安全策略目標(biāo)：為信息安全提供管理指導(dǎo)和支持，并與業(yè)務(wù)要求和相關(guān)的法律法規(guī)保持一致。2) 策略維護(hù)本策略通過以下方式進(jìn)行文檔的維護(hù)工作：必須每年按照《風(fēng)險(xiǎn)評(píng)估管理程序》進(jìn)行例行的風(fēng)險(xiǎn)評(píng)估，如遇以下情況必須及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估：a) 發(fā)生重大安全事故b) 組織或技術(shù)基礎(chǔ)結(jié)構(gòu)發(fā)生重大變更c(diǎn)) 安全管理小組認(rèn)為應(yīng)當(dāng)進(jìn)行風(fēng)險(xiǎn)評(píng)估的d) 其他應(yīng)當(dāng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估的情形風(fēng)險(xiǎn)評(píng)估之后根據(jù)需要進(jìn)行安全策略條目修訂，并在內(nèi)公布傳達(dá)。4) 適用范圍 適用范圍是指本策略使用和涵蓋的對(duì)象，包括現(xiàn)有的業(yè)務(wù)系統(tǒng)、硬件資產(chǎn)、 軟件資產(chǎn)、信息、通用服務(wù)、物理安全區(qū)域等。. 信息系統(tǒng)安全組織目標(biāo)：在組織內(nèi)部管理信息安全，保持可被外部組織訪問、處理、溝通或管理的信息及信息處理設(shè)備的安全。管理者職責(zé)參見《信息安全管理手冊(cè)》。公司的內(nèi)部信息安全組織包括信息安全管理小組，小組的人員組成以及相關(guān)職責(zé)參見《公司信息安全組織結(jié)構(gòu)圖》。相關(guān)部門崗位的分工與責(zé)任參見《信息安全管理手冊(cè)》。并更新至《信息資產(chǎn)列表》。參見《信息資產(chǎn)列表》 。l 應(yīng)當(dāng)與政府機(jī)構(gòu)保持必要的聯(lián)系共同協(xié)調(diào)信息安全相關(guān)問題。l 應(yīng)當(dāng)與相關(guān)信息安全團(tuán)體保持聯(lián)系，以取得信息安全上必要的支持。l 信息安全管理小組每年至少進(jìn)行一次信息安全風(fēng)險(xiǎn)評(píng)估工作（參照《風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理程序》，并對(duì)安全策略進(jìn)行復(fù)審。l 每年或者發(fā)生重大信息安全變化時(shí)必須參照《內(nèi)部審核管理