【正文】 略? 所有物理安全系統(tǒng)必須符合相應(yīng)的法規(guī)，但不僅限于建設(shè)法規(guī)以及消防法規(guī)；? 對所有受限制的信息資源設(shè)施的物理訪問必須形成文件并進(jìn)行控制；? 所有信息資源設(shè)施必須依據(jù)其功能的關(guān)鍵程度或重要程度進(jìn)行物理保護(hù)；? 對信息資源設(shè)施的訪問必須只授權(quán)給因職責(zé)需要訪問設(shè)施的支持人員和合同方；? 授權(quán)使用卡和/或鑰匙訪問信息資源設(shè)施的過程中必須包括設(shè)施負(fù)責(zé)人的批準(zhǔn)；? 擁有信息資源設(shè)施訪問權(quán)的每一個人員都必須接受設(shè)施應(yīng)急程序培訓(xùn)，并且必須簽署相應(yīng)的訪問和不泄密協(xié)議；? 訪問請求必須發(fā)自相應(yīng)的數(shù)據(jù)/系統(tǒng)所有者；? 訪問卡和/或鑰匙不可以與他人共享或借給他人；? 訪問卡和/或鑰匙不需要時必須退還給信息資源設(shè)施負(fù)責(zé)人。懲罰違背該策略可能導(dǎo)致：員工以及臨時工被解雇、合同方或顧問的雇傭關(guān)系終止、實(shí)習(xí)人員和志愿者失去繼續(xù)工作的機(jī)會、學(xué)生被開除；另外， 這些人員還可能遭受信息資源訪問權(quán)以及公民權(quán)的損失，甚至遭到法律起訴。供應(yīng)商可以遠(yuǎn)程對 數(shù)據(jù)和審核日志進(jìn)行評審、備份和修改，他們可以糾正軟件和操作系統(tǒng)中的問題，可以監(jiān)控并調(diào)整系統(tǒng)性能，可以監(jiān)控硬件性能和錯誤，可以修改周遭系統(tǒng)，并重新設(shè)置警告極限。目 的 該策略的目的是為減緩供應(yīng)商訪問組織資產(chǎn)帶來的風(fēng)險。術(shù)語定義 略第三方訪問策略? 供應(yīng)商必須遵守相應(yīng)的策略、操作標(biāo)準(zhǔn)以及協(xié)議，包括但不僅限于： ? 安全策略；? 保密策略；? 審核策略；? 信息資源使用策略。 ? 應(yīng)該向信息安全小組提供與供應(yīng)商的合同要點(diǎn)。員工發(fā)生變更時必須在 24 小時之內(nèi)更新并提供；? 每一個在組織場所內(nèi)工作的供應(yīng)商員工都必須佩帶身份識別卡。規(guī)定條件之外的工作必須由相應(yīng)的管理者書面批準(zhǔn)；? 必須對供應(yīng)商訪問進(jìn)行唯一標(biāo)識，并且對其進(jìn)行的口令管理必須符合口令實(shí)施規(guī)范和特殊訪問實(shí)施規(guī)范。日志的內(nèi)容包括但不僅限于：人員變化、口令變化、項(xiàng)目進(jìn)度重要事件、啟動和結(jié)束時；? 當(dāng)供應(yīng)商員工離職時，供應(yīng)商必須確保所有機(jī)密信息在 24 小時內(nèi)被收回或銷毀；? 在合同或邀請結(jié)束時，供應(yīng)商應(yīng)該將所有信息返回或銷毀，并在 24 小時內(nèi)提交一份返回或銷毀的書面證明；? 在合同或邀請結(jié)束時，供應(yīng)商必須立即交出所有身份識別卡、 訪問卡以及設(shè)備和供應(yīng)品。懲罰違背該策略可能導(dǎo)致：員工以及臨時工被解雇、合同方或顧問的雇傭關(guān)系終止、實(shí)習(xí)人員和志愿者失去繼續(xù)工作的機(jī)會、學(xué)生被開除；另外，這些人員還可能遭受信息資源訪問權(quán)以及公民權(quán)的損失，甚至遭到法律起訴。目 的本策略未訪問本公司信息資源的全體雇員，這種訪問是出于業(yè)務(wù)需要的，涉及物理和行政安全管理需求的網(wǎng)絡(luò)連接、雇員的職責(zé)及信息保護(hù)的準(zhǔn)則。術(shù)語定義 略雇員訪問策略? 雇員必須遵守相應(yīng)的策略、操作標(biāo)準(zhǔn)以及協(xié)議，包括但不僅限于： ? 《信息資源保密策略》 ；? 《病毒防范策略》 ；? 《可移動代碼防范策略》 ；? 《信息交換策略》 ；? 《清潔桌面和清屏策略》 ；? 《網(wǎng)絡(luò)訪問策略》 ；? 《便攜式計(jì)算機(jī)安全策略》 ； ? 《互聯(lián)網(wǎng)使用策略》 ；? 《電子郵件策略》 。由雇員保管的設(shè)備和 /或供應(yīng)品的回收必須由資產(chǎn)責(zé)任人簽字認(rèn)可；? 要求雇員必須遵守所有規(guī)定和審核要求。引用標(biāo)準(zhǔn) 略11 / 367. 設(shè)備及布纜安全策略發(fā)布部門 信息安全小組 生效時間 2022 年 11 月 01 日介紹網(wǎng)絡(luò)基礎(chǔ)設(shè)施是向所有信息資源用戶提供服務(wù)的中心設(shè)施。目 的? 該方針的目的保護(hù)設(shè)備免受物理的和環(huán)境的威脅，減少未授權(quán)訪問信息的風(fēng)險。適用范圍 該方針適用于網(wǎng)絡(luò)設(shè)備設(shè)施的建設(shè)和維護(hù)人員。應(yīng)按照設(shè)備制造商的說明提供合適的供電；? 對支持關(guān)鍵業(yè)務(wù)操作的設(shè)備，必須使用支持有序關(guān)機(jī)或連續(xù)運(yùn)行的不間斷電源（UPS ） ；? 電源應(yīng)急計(jì)劃要包括 UPS 故障時要采取的措施。? 組織場所外的設(shè)備安全方針13 / 36? 無論責(zé)任人是誰，在組織場所外使用任何信息處理設(shè)備都要通過管理者授權(quán)；? 離開建筑物的設(shè)備和介質(zhì)在公共場所不應(yīng)無人看管。安全風(fēng)險在不同場所可能有顯著不同，例如，損壞、盜竊和截取，要考慮確定最合適的控制措施。? 資產(chǎn)移動方針? 在未經(jīng)事先授權(quán)的情況下，不允許讓設(shè)備、信息或軟件離開辦公場所；? 應(yīng)明確識別有權(quán)允許資產(chǎn)移動，離開辦公場所的雇員、承包方人員和供應(yīng)商人員；? 應(yīng)設(shè)置設(shè)備移動的時間限制，并在返還時執(zhí)行符合性檢查；? 若需要并合適，要對設(shè)備作出移出記錄，當(dāng)返回時，要作出送回記錄；? 應(yīng)執(zhí)行檢測未授權(quán)資產(chǎn)移動的抽查，以檢測未授權(quán)的記錄裝置，防止他們進(jìn)入辦公場所。應(yīng)讓每個人都知道將進(jìn)行抽查，并且只能在法律法規(guī)要求的適當(dāng)授權(quán)下執(zhí)行檢查。引用標(biāo)準(zhǔn) 略14 / 368. 變更管理安全策略發(fā)布部門 信息安全小組 生效時間 2022 年 11 月 01 日介紹信息資源基礎(chǔ)設(shè)施正在逐步擴(kuò)大并且越來越復(fù)雜。由于信息資源基礎(chǔ)設(shè)施之間的互相依賴程度越來越高，因此有必要加強(qiáng)變更管理過程。管理這些變更是提供堅(jiān)固的、有價值的信息資源基礎(chǔ)設(shè)施的關(guān)鍵組成部分。變更需要事先嚴(yán)格計(jì)劃、仔細(xì)監(jiān)控并要進(jìn)行追蹤評價，以降低對用戶群的負(fù)面影響，增加信息資源的價值。術(shù)語定義 略變更管理安全策略? 對信息資源的每一次變更，如操作系統(tǒng)、計(jì)算機(jī)硬件、網(wǎng)絡(luò)以及應(yīng)用程序都要服從變更管理策略，并且必須遵守變更管理程序；? 所有影響計(jì)算機(jī)環(huán)境設(shè)備的變更(如空調(diào)、水、熱、管道、電 )需要向變更管理過程的領(lǐng)導(dǎo)者報(bào)告，并與之協(xié)調(diào)處理；? 無論是事先有計(jì)劃的變更還是事先無計(jì)劃的變更必須都提交書面的變更申請；? 所有事先有計(jì)劃的變更申請必須按照變更管理程序的規(guī)定提交，以便信息安全小組有足夠的時間評審申請，確定并重新評審潛在的失敗，并決定申請被批準(zhǔn)還是延期執(zhí)行；? 每一個事先計(jì)劃的變更申請?jiān)趫?zhí)行前必須受到信息安全小組的正式批準(zhǔn)；? 指定的信息安全小組領(lǐng)導(dǎo)在下列情況下有權(quán)拒絕任何申請：不充分的策劃、不充分的刪除計(jì)劃、變更的時間等會對關(guān)鍵的業(yè)務(wù)過程造成負(fù)面影響，或者會造成沒有充分的資源可用；? 在變更管理程序?qū)嵤┣埃仨毻瓿蓪λ锌蛻舻耐ㄖ? 每一次變更必須進(jìn)行變更評審，無論是計(jì)劃還是未計(jì)劃的，成功的還是失敗的；? 所有變更必須保留變更管理日志，必須保留的日志包括但不限于下列內(nèi)容：? 變更的提交和執(zhí)行日期；? 所有者和保管者信息；? 變更的特性；15 / 36? 成功或失敗的標(biāo)志。懲罰違背該策略可能導(dǎo)致：員工以及臨時工被解雇、合同方或顧問的雇傭關(guān)系終止、實(shí)習(xí)人員和志愿者失去繼續(xù)工作的機(jī)會、學(xué)生被開除；另外，這些人員還可能遭受信息資源訪問權(quán)以及公民權(quán)的損失，甚至遭到法律起訴。實(shí)施穩(wěn)固的安全策略，防止對網(wǎng)絡(luò)和計(jì)算機(jī)不必要的訪問，較早的發(fā)現(xiàn)并減輕安全事故可以有效地降低風(fēng)險以及安全事故造成的費(fèi)用。適用范圍 該策略適用于使用信息資源的所有人員。懲罰違背該策略可能導(dǎo)致：員工以及臨時工被解雇、合同方或顧問的雇傭關(guān)系終止、實(shí)習(xí)人員和志愿者失去繼續(xù)工作的機(jī)會、學(xué)生被開除；另外， 這些人員還可能遭受信息資源訪問權(quán)以及公民權(quán)的損失，甚至遭到法律起訴。目 的該策略的目的阻止和發(fā)現(xiàn)未經(jīng)授權(quán)的移動代碼的引入，實(shí)施對惡意代碼的監(jiān)測、預(yù)防和恢復(fù)控制。術(shù)語定義 略可移動代碼防范策略? 禁止使用未經(jīng)授權(quán)的軟件。? 定期對支持關(guān)鍵業(yè)務(wù)過程的系統(tǒng)中的軟件和數(shù)據(jù)進(jìn)行評審；無論出現(xiàn)任何未經(jīng)驗(yàn)收的文件或者未經(jīng)授權(quán)的修改，都要進(jìn)行正式調(diào)查。? 為從惡意代碼攻擊中恢復(fù)，需要制定適當(dāng)?shù)臉I(yè)務(wù)持續(xù)性計(jì)劃。? 信息安全小組應(yīng)制定并實(shí)施文件化的程序，驗(yàn)證所有與惡意軟件相關(guān)的信息并且確保警報(bào)公告的內(nèi)容準(zhǔn)確詳實(shí)。所有用戶應(yīng)有防欺騙的意識，并知道收到欺騙信息時如何處置。引用標(biāo)準(zhǔn) 略18 / 3611. 信息備份安全策略發(fā)布部門 信息安全小組 生效時間 2022 年 11 月 01 日介紹電子備份是一項(xiàng)必需的業(yè)務(wù)要求，能使數(shù)據(jù)和應(yīng)用程序在發(fā)生意想不到的事件時得以恢復(fù)，這些事件包括：自然災(zāi)害、系統(tǒng)磁盤故障、間諜活動、數(shù)據(jù)輸入錯誤或系統(tǒng)操作錯誤等。適用范圍該策略適用于組織中負(fù)責(zé)信息資源安裝和支持的所有人員，以及負(fù)責(zé)信息資源安全的人員和數(shù)據(jù)所有者。懲罰違背該策略可能導(dǎo)致：員工以及臨時工被解雇、合同方或顧問的雇傭關(guān)系終止、實(shí)習(xí)人員和志愿者失去繼續(xù)工作的機(jī)會、學(xué)生被開除；另外， 這些人員還可能遭受信息資源訪問權(quán)以及公民權(quán)的損失，甚至遭到法律起訴。重要的是這些基礎(chǔ)設(shè)施（包括電纜以及相關(guān)的設(shè)備，如路由器、交換機(jī)）要持續(xù)不斷的發(fā)展以滿足用戶需求，然而也要求同時高速發(fā)展網(wǎng)絡(luò) 技術(shù)部以便將來提供功能更強(qiáng)大的用戶服務(wù)。該規(guī)則是保持信息完整性、可用性和保密性所必需的。術(shù)語定義 略網(wǎng)絡(luò)配置安全策略? 信息安全小組擁有網(wǎng)絡(luò)基礎(chǔ)設(shè)施并對其負(fù)責(zé)，而且還要對基礎(chǔ)設(shè)施的發(fā)展和增加進(jìn)行管理；? 為了提供穩(wěn)固的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，所有電纜必須由信息安全小組或被認(rèn)可的合同方安裝；? 所有網(wǎng)絡(luò)連接設(shè)備必須按照改為：信息安全小組批準(zhǔn)的規(guī)范進(jìn)行配置；? 所有連接到網(wǎng)絡(luò)的硬件必須服從信息安全小組的管理和監(jiān)控標(biāo)準(zhǔn)；? 在沒有信息安全小組批準(zhǔn)的情況下，不能對活動的網(wǎng)絡(luò)管理設(shè)備的配置進(jìn)行更改；? 網(wǎng)絡(luò)基礎(chǔ)設(shè)施支持一系列合理定義的、被認(rèn)可的網(wǎng)絡(luò)協(xié)議。這包括與外部電話網(wǎng)絡(luò)的連接；? 信息安全小組的防火墻必須按照防火墻實(shí)施規(guī)范文件進(jìn)行安裝和配置；? 在未獲得信息安全小組書面授權(quán)的情況下，部門不得使用防火墻；? 用戶不可以以任何方式擴(kuò)散或再次傳播網(wǎng)絡(luò)服務(wù)。懲罰違背該策略可能導(dǎo)致：員工以及臨時工被解雇、合同方或顧問的雇傭關(guān)系終止、實(shí)習(xí)人員和志愿者失去繼續(xù)工作的機(jī)會、學(xué)生被開除；另外， 這些人員還可能遭受信息20 / 36資源訪問權(quán)以及公民權(quán)的損失，甚至遭到法律起訴。目 的 保持在組織內(nèi)部及任何外部機(jī)構(gòu)之間所交換的信息和軟件的安全。術(shù)語定義 略信息交換策略? 不能在公共場所或者敞開的辦公室、沒有屋頂防護(hù)的會議室談?wù)摍C(jī)密信息。? 員工、合作方以及任何其他用戶不得損害本局的利益，如誹謗、騷擾、假冒、未經(jīng)授權(quán)的采購等。? 不得將機(jī)密或關(guān)鍵信息放在打印設(shè)施上，如復(fù)印機(jī)、打印機(jī)和傳真，防止未經(jīng)授權(quán)人員的訪問。? 在進(jìn)行與相關(guān)方信息交換時，需提前指定雙方的信息交換人員、交換方式、交換保密方法，以防止信息的泄露。建立該方針是為了確保包含信息的介質(zhì)在組織的物理邊界以外運(yùn)送時，防止未授權(quán)的訪問、不當(dāng)?shù)氖褂没驓摹Ｐg(shù)語定義 略運(yùn)輸中物理介質(zhì)安全策略應(yīng)考慮下列方針以保護(hù)