【正文】 。 合作單位人員；216。 清潔人員、送餐人員、快遞、保安以及其它外包的支持服務(wù)人員；b) 第三方的訪問(wèn)類型包括物理訪問(wèn)和邏輯訪問(wèn)。 物理訪問(wèn)：重點(diǎn)考慮安全要求較高區(qū)域的訪問(wèn)，包括計(jì)算機(jī)機(jī)房、重要辦公區(qū)域和存放重要物品區(qū)域等；216。216。 客戶是否與有商業(yè)利益沖突；216。 是否有過(guò)違反安全規(guī)定的記錄；216。（詳見(jiàn)《辦公室基礎(chǔ)設(shè)備和工作環(huán)境控制程序》）e) 對(duì)于第三方參與的項(xiàng)目或提供的服務(wù)，必須在合同中明確規(guī)定人員的安全責(zé)任，必要時(shí)應(yīng)當(dāng)簽署保密協(xié)議。. 資產(chǎn)管理目標(biāo)：通過(guò)及時(shí)更新的信息資產(chǎn)目錄對(duì)信息資產(chǎn)進(jìn)行適當(dāng)?shù)谋Ｗo(hù)。每項(xiàng)信息資產(chǎn)在登記入冊(cè)及更新時(shí)必須指定信息資產(chǎn)的安全責(zé)任人，信息資產(chǎn)的安全責(zé)任人必須負(fù)責(zé)該信息資產(chǎn)的安全。2) 信息分類a) 必須明確確認(rèn)每項(xiàng)信息資產(chǎn)及其責(zé)任人和安全分類，信息資產(chǎn)包括業(yè)務(wù)過(guò)程、硬件和設(shè)施資產(chǎn)、軟件和系統(tǒng)資產(chǎn)、文檔和數(shù)據(jù)信息資產(chǎn)、人員資產(chǎn)、服務(wù)和其他資產(chǎn)。b) 必須建立信息資產(chǎn)管理登記制度，至少詳細(xì)記錄信息資產(chǎn)的分類、名稱、用途、資產(chǎn)所有者、使用人員等，便于查找和使用。（詳見(jiàn)《IT設(shè)備管理規(guī)定》）。d) 當(dāng)信息資產(chǎn)進(jìn)行拷貝、存儲(chǔ)、傳輸（如郵遞、傳真、電子郵件以及語(yǔ)音傳輸（包括電話、語(yǔ)音郵件、應(yīng)答機(jī)）等）或者銷毀等信息處理時(shí)，應(yīng)當(dāng)參照《信息資產(chǎn)鑒別和分類管理辦法》或者制定妥善的處理步驟并執(zhí)行。. 人員信息安全管理目標(biāo)：確保所有的員工、合同方和第三方用戶了解信息安全威脅和相關(guān)事宜、明確并履行信息安全責(zé)任和義務(wù)，并在日常工作中支持的信息安全方針，減少人為錯(cuò)誤的風(fēng)險(xiǎn)，減少盜竊、濫用或設(shè)施誤用的風(fēng)險(xiǎn)。b) 對(duì)第三方訪問(wèn)人員和臨時(shí)性員工，必須遵守《第三方和外包管理規(guī)定》。2) 雇傭中a) 管理層必須要求所有的員工、合同方及第三方用戶執(zhí)行信息安全的相關(guān)規(guī)定；b) 應(yīng)當(dāng)設(shè)定信息安全的相關(guān)獎(jiǎng)勵(lì)措施，任何違反信息安全策略的行為都將收到懲戒，具體執(zhí)行辦法參見(jiàn)《信息安全獎(jiǎng)懲規(guī)定》；c) 將信息安全培訓(xùn)加入員工培訓(xùn)中，培訓(xùn)材料應(yīng)當(dāng)包括下列內(nèi)容：216。 信息安全制度216。 全體員工216。必須參加計(jì)算機(jī)信息安全培訓(xùn)的人員包括：216。 重點(diǎn)單位或核心計(jì)算機(jī)信息系統(tǒng)的維護(hù)和管理人員；216。 能夠接觸到敏感數(shù)據(jù)或機(jī)密信息的關(guān)鍵用戶。b) 員工在崗位變動(dòng)時(shí)，必須移交調(diào)出崗位的相關(guān)資料和有關(guān)文檔，檢查并歸還在借出的重要信息。c) 員工在調(diào)離時(shí)必須進(jìn)行信息安全檢查。由人事部門書面通知信息技術(shù)部門刪除相關(guān)的口令、帳號(hào)、權(quán)限等信息。如有特殊情況，必須事先得到部門經(jīng)理及安全責(zé)任人的批準(zhǔn)。. 物理和環(huán)境安全1) 安全區(qū)域目標(biāo)：防止對(duì)工作場(chǎng)所和信息的非法訪問(wèn)、破壞和干擾。安全區(qū)域至少包括各計(jì)算機(jī)機(jī)房、IT部門、財(cái)務(wù)、人事等部門。b) 無(wú)人值守的門和窗戶必須上鎖，對(duì)于直接與外部相連的安全區(qū)域的窗戶必須考慮窗戶的外部保護(hù)；c) 安全邊界的所有門均應(yīng)被監(jiān)視并經(jīng)過(guò)檢驗(yàn)，它和墻一起按照合適的地方、國(guó)內(nèi)和國(guó)際標(biāo)準(zhǔn)建立所需的抵抗程度；他們應(yīng)用故障保護(hù)方式按照局部放火規(guī)則來(lái)運(yùn)行。f) 安全區(qū)域進(jìn)出控制采用合適的電子卡或磁卡，并能雙向控制。對(duì)機(jī)房的訪問(wèn)管理參見(jiàn)《機(jī)房安全管理規(guī)定》，其它區(qū)域可參照?qǐng)?zhí)行。k) 危險(xiǎn)或易燃物品應(yīng)當(dāng)擺放在離安全區(qū)域安全距離之外，機(jī)房應(yīng)當(dāng)參見(jiàn)《機(jī)房安全管理規(guī)定》中的要求執(zhí)行值班或巡檢工作任務(wù)。m) 人員離開(kāi)安全區(qū)域時(shí)應(yīng)當(dāng)及時(shí)上鎖。o) 外部人員訪問(wèn)安全區(qū)域時(shí)應(yīng)當(dāng)由員工陪同，并填寫《機(jī)房出入登記表》，對(duì)訪問(wèn)時(shí)間、操作內(nèi)容等加以記錄。2) 設(shè)備安全目標(biāo)：防止資產(chǎn)的丟失、損壞或被盜，以及對(duì)組織業(yè)務(wù)活動(dòng)的干擾。如中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)GB 50174《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》，必須提供：216。 可靠的空氣質(zhì)量控制（溫度，濕度，污染度）216。c) 各計(jì)算機(jī)機(jī)房是重要的信息處理場(chǎng)所，必須嚴(yán)格執(zhí)行有關(guān)安全保密制度和規(guī)定，并防止重要信息的泄露，保證業(yè)務(wù)數(shù)據(jù)、信息、資料的準(zhǔn)確、安全可靠。機(jī)房工作人員要熟悉機(jī)房消防用品的存放位置及使用方法，必須掌握防火設(shè)施的使用方法和步驟；要熟悉設(shè)備電源和照明用電以及其它電氣設(shè)備總開(kāi)關(guān)位置，掌握切斷電源的方法和步驟。e) 定期對(duì)機(jī)房供電線路及照明器具進(jìn)行檢查，防止因線路老化短路造成火災(zāi)。g) 第三方支持和維護(hù)人員對(duì)重要設(shè)備技術(shù)支持前，必須經(jīng)過(guò)安全責(zé)任人的授權(quán)或?qū)徟?。h) 設(shè)備的安全與重用應(yīng)當(dāng)按規(guī)定的操作程序來(lái)處理，特別是包含重要信息的存儲(chǔ)設(shè)備，應(yīng)按照相關(guān)規(guī)定，以確定是否銷毀、修理或棄用該設(shè)備。詳細(xì)規(guī)定參見(jiàn)《移動(dòng)存儲(chǔ)介質(zhì)使用規(guī)定》。j) 遠(yuǎn)程辦公人員有責(zé)任保護(hù)移動(dòng)設(shè)備的安全，未經(jīng)批準(zhǔn)，不得在公共場(chǎng)所訪問(wèn)內(nèi)部網(wǎng)絡(luò)。機(jī)房?jī)?nèi)設(shè)備的出入必須填寫《機(jī)房出入登記表》。操作流程必須成文，并只有經(jīng)授權(quán)才可以修改。c) 處理敏感信息資產(chǎn)時(shí)，可以考慮分離職責(zé)，如果不實(shí)施分離，則應(yīng)當(dāng)對(duì)處理操作予以記錄，并定期進(jìn)行監(jiān)督。2) 第三方服務(wù)交付管理目標(biāo)：實(shí)施并保持信息安全的適當(dāng)水平，確保第三方交付的服務(wù)符合協(xié)議要求。應(yīng)定期審核第三方的服務(wù)提交的報(bào)告和檢查對(duì)協(xié)議的符合度。b) 應(yīng)當(dāng)在第三方服務(wù)協(xié)議中包含服務(wù)變更管理的內(nèi)容。 任何新應(yīng)用、系統(tǒng)、服務(wù)的開(kāi)發(fā)216。 與信息安全有關(guān)的新的控制措施216。 開(kāi)發(fā)環(huán)境或物理環(huán)境的變更216。b) 應(yīng)建立新信息系統(tǒng)、系統(tǒng)升級(jí)和新版本的驗(yàn)收準(zhǔn)則，驗(yàn)收前應(yīng)當(dāng)完成設(shè)計(jì)審核、缺陷分析及安全測(cè)試。4) 防范惡意和移動(dòng)代碼目標(biāo)：保護(hù)軟件和信息的完整性。詳細(xì)規(guī)定參見(jiàn)《防病毒管理程序》。c) 員工應(yīng)當(dāng)?shù)街付ǖ目臻g下載軟件，不得私自安裝授權(quán)使用軟件列表之外的軟件。e) 應(yīng)當(dāng)開(kāi)展對(duì)一般員工的預(yù)防病毒培訓(xùn)。5) 備份目標(biāo)：保持信息和信息處理設(shè)施的完整性和可用性。如果是涉密信息，必須對(duì)備份信息實(shí)施加密。c) 備份應(yīng)當(dāng)存儲(chǔ)在與主設(shè)備有足夠距離的地點(diǎn)，該地點(diǎn)應(yīng)安全可靠，應(yīng)同主設(shè)備場(chǎng)地使用同等的安全等級(jí)。a) 應(yīng)當(dāng)對(duì)重要的線路、網(wǎng)絡(luò)設(shè)備采用冗余措施，以維持關(guān)鍵服務(wù)的可用性。c) 處理敏感信息的計(jì)算機(jī)應(yīng)當(dāng)與局域網(wǎng)物理隔離，應(yīng)當(dāng)采用適當(dāng)?shù)募用芗夹g(shù)。a) 應(yīng)當(dāng)妥善記錄移動(dòng)介質(zhì)。b) 如果介質(zhì)上的內(nèi)容不再需要，應(yīng)當(dāng)立即清除。c) 存放業(yè)務(wù)應(yīng)用系統(tǒng)及重要信息的介質(zhì)，嚴(yán)禁外借，確因工作需要，須報(bào)請(qǐng)部門領(lǐng)導(dǎo)批準(zhǔn)。e) 應(yīng)限制只有系統(tǒng)管理員才可訪問(wèn)系統(tǒng)文檔。8) 信息交換目標(biāo)：應(yīng)保持組織內(nèi)部或組織與外部組織之間交換信息和軟件的安全。b) 員工必須遵守國(guó)家有關(guān)信息管理的法規(guī)，不得利用網(wǎng)絡(luò)危害國(guó)家安全、泄露國(guó)家秘密，不得違反中華人民共和國(guó)現(xiàn)行法律和法規(guī)，不得侵犯國(guó)家社會(huì)集體的和公民的合法權(quán)益。未經(jīng)安全責(zé)任人授權(quán)，員工不得與外部聯(lián)網(wǎng)的計(jì)算機(jī)信息系統(tǒng)傳輸涉及重要信息的文件。e) 在通過(guò)郵政等物理傳輸方式傳輸時(shí)，應(yīng)保護(hù)包含重要信息的介質(zhì)的安全。9) 監(jiān)視和審計(jì)目標(biāo)：檢測(cè)未經(jīng)授權(quán)的信息處理活動(dòng)。b) 應(yīng)當(dāng)使用監(jiān)視程序以確保用戶只執(zhí)行被明確授權(quán)的活動(dòng)，審計(jì)內(nèi)容應(yīng)細(xì)化到個(gè)人而不是共享帳號(hào)。c) 可以實(shí)施安全產(chǎn)品或調(diào)整配置，以記錄和審計(jì)用戶活動(dòng)、系統(tǒng)、安全產(chǎn)品和信息安全事件產(chǎn)生的日志，并按照約定的期限保留，以支持將來(lái)的調(diào)查和訪問(wèn)控制監(jiān)視。e) 應(yīng)在網(wǎng)絡(luò)中配置時(shí)鐘服務(wù)器，被審計(jì)的信息設(shè)備應(yīng)同時(shí)鐘服務(wù)器的時(shí)間保持同步，以避免審計(jì)上的漏洞。a) 應(yīng)當(dāng)明確規(guī)定每個(gè)用戶以及相應(yīng)用戶組在各個(gè)系統(tǒng)中訪問(wèn)控制規(guī)則與權(quán)限，每半年要評(píng)審用戶和訪問(wèn)權(quán)限的設(shè)置，詳細(xì)規(guī)定參見(jiàn)《訪問(wèn)控制程序》。a) 禁止用戶帳號(hào)共享，普通用戶不能在一個(gè)系統(tǒng)上擁有多個(gè)帳號(hào)，系統(tǒng)管理員不能在一個(gè)系統(tǒng)上擁有多個(gè)相同角色的帳號(hào)。詳細(xì)規(guī)定參見(jiàn)《公司郵箱管理辦法》b) 所有對(duì)信息系統(tǒng)的訪問(wèn)必須遵照《訪問(wèn)控制程序》。c) 用戶權(quán)限必須按照最小權(quán)限原則進(jìn)行分配。e) 要告知并強(qiáng)制用戶遵守用戶帳號(hào)及口令管理規(guī)定，用戶必須對(duì)自己的帳號(hào)和口令保密，不能以任何形式向