信息安全管理策略學(xué)習(xí)資料

1、XXXX公司信息安全管理策略制度編號：二 0 一五年六月屬性內(nèi)容用戶名稱：文檔主標題：文檔副標題：文檔編號：版本日期：制度版本作者：密級：文檔變更歷史版本修正日期修正人描述目錄第一章總則 4第二章適用范圍 4第三章術(shù)語定義 4第四章職責(zé)定義 5第五章管理要求 8第一節(jié)信息安全管理體系 8第二節(jié)風(fēng)險管理策略 8第三節(jié)組織安全管理策略 9第四節(jié)人力資源安全管理策略 11第五節(jié)信息資產(chǎn)管理策略 13第六節(jié)訪問控制管理策略 16第七節(jié)密碼管理策略 20第八節(jié)物理和環(huán)境安全管理策略 21第一章 總則第一條 為明確XXXX公司（以下簡稱“ XX'）的信息安全管理職責(zé)和管理策略，依據(jù)管理體系總綱和信

2、息科技風(fēng)險管 理策略，特制定本辦法。第二條 信息安全管理的主要目標是控制信息安全風(fēng)險，確保XX信息的保密性、完整性和可用性。第二章 適用范圍第三條本策略適用于XX組織安全、人力資源安全、信息資 產(chǎn)、訪問控制、密碼、物理和環(huán)境安全、操作安全、網(wǎng)絡(luò)和通訊 安全、系統(tǒng)獲取開發(fā)和維護安全、供應(yīng)商安全、信息安全事件、 業(yè)務(wù)連續(xù)性中的信息安全、以及合規(guī)等方面的管理。第四條 本策略適用于XX各部門，以及與XX合作的商業(yè)伙 伴、為XX提供服務(wù)的服務(wù)提供商及人員等。第三章 術(shù)語定義第五條 本辦法涉及的術(shù)語包括：信息、信息安全、信息安 全管理體系、風(fēng)險、保密性、完整性、可用性、風(fēng)險評估、風(fēng)險 處置、訪問控制、信息

3、安全事態(tài)、信息安全事件、業(yè)務(wù)連續(xù)性。第六條 本辦法涉及到術(shù)語定義，參見術(shù)語表 。第四章 職責(zé)定義第七條XX負責(zé)本管理領(lǐng)域規(guī)章制度的設(shè)計、推廣、監(jiān)督和 改進。第八條 本辦法涉及的角色包括： 信息安全保護領(lǐng)導(dǎo)小組 （以 下簡稱“領(lǐng)導(dǎo)小組” ）、信息安全保護工作小組（以下簡稱“工作 小組”）、安全管理員、安全員、信息資產(chǎn)責(zé)任人、全體人員（包 括公司員工，和相關(guān)外部人員） 。第九條 信息安全保護領(lǐng)導(dǎo)小組作為信息安全決策執(zhí)行機構(gòu)， 主要職責(zé)包括：（ 一） 負責(zé)分配和落實信息安全方面的角色和職責(zé)；（ 二） 負責(zé)根據(jù)國家信息安全的有關(guān)法律、法規(guī)、制度、規(guī)范及XX信息安全管理策略，組織、制定、落實 XX信息安

4、全方 面的各項規(guī)章制度、實施細則、安全目標及崗位安全責(zé)任；（ 三） 負責(zé)批準實施信息安全的相關(guān)具體流程和方法；（ 四） 負責(zé)審批信息安全目標的執(zhí)行情況；（五） 負責(zé)審定XX風(fēng)險接受準則，組織信息安全風(fēng)險評估 和處置的開展；（ 六） 負責(zé)決策信息安全風(fēng)險是否要采取安全措施或增加 安全措施；（ 七） 負責(zé)評估新系統(tǒng)或服務(wù)的安全性并監(jiān)督上線實施；（ 八） 負責(zé)審批調(diào)查信息安全事件報告；（ 九） 負責(zé)確定信息安全方面的提議；（ 十 ） 負責(zé)推動 XX 信息安全的各項工作。第十條 信息安全保護工作小組是信息安全保護領(lǐng)導(dǎo)小組的 下設(shè)機構(gòu)， 工作小組由安全管理員和各部門安全員組成， 負責(zé)信 息安全日常工作的

5、具體執(zhí)行，對領(lǐng)導(dǎo)小組負責(zé)，主要職責(zé)包括：（ 一 ） 負責(zé)領(lǐng)導(dǎo)小組指定日常事務(wù)的具體執(zhí)行；（ 二 ） 負責(zé)根據(jù)信息安全的有關(guān)法律、法規(guī)、制度、規(guī)范及XX信息安全管理規(guī)范，組織、協(xié)調(diào)、落實XX的信息安全工作；（ 三） 負責(zé)落實執(zhí)行信息安全相關(guān)的具體制度；（ 四） 負責(zé)提交信息系統(tǒng)和信息資產(chǎn)需要采取的安全措施 或增加安全措施建議；（ 五） 負責(zé)根據(jù)領(lǐng)導(dǎo)小組的意見和建議及相關(guān)的流程，落 實新系統(tǒng)或服務(wù)的安全保護措施并執(zhí)行上線實施工作；（ 六） 負責(zé)調(diào)查信息安全事件，并向領(lǐng)導(dǎo)小組提交相關(guān)書 面調(diào)查報告；（ 七） 負責(zé)抽查并監(jiān)督安全措施的落實工作，及時匯總相 關(guān)安全問題上報領(lǐng)導(dǎo)小組。第十一條 安全管理員作

6、為工作小組的負責(zé)人， 由信息安全保護領(lǐng)導(dǎo)小組任命和指導(dǎo)，直接對信息安全保護領(lǐng)導(dǎo)小組負責(zé)， 主要職責(zé)包括：（ 一） 負責(zé)組織 XX 內(nèi)部信息安全意識和信息安全技術(shù)培 訓(xùn)；（ 二） 負責(zé)組織檢查具體信息安全工作的執(zhí)行情況，形成 匯總分析并上報領(lǐng)導(dǎo)小組；（ 三 ） 負責(zé)上報并調(diào)查信息安全事件，收集匯總信息安全 事件報告；（ 四 ） 負責(zé)收集匯總安全建設(shè)規(guī)劃和改進意見。第十二條 安全員作為各部門具體信息安全日常工作的組 織者和檢查者， 由信息安全保護領(lǐng)導(dǎo)小組任命和指導(dǎo)， 其主要職 責(zé)包括：（ 一 ） 負責(zé)本部門內(nèi)的信息安全意識培訓(xùn)；（ 二 ） 負責(zé)本部門具體信息安全工作的檢查，形成匯總分 析并上報安全

7、管理員；（ 三 ） 負責(zé)上報并調(diào)查本部門內(nèi)信息安全事件，提出安全 建設(shè)規(guī)劃和改進意見等；第十三條 信息資產(chǎn)責(zé)任人作為信息資產(chǎn)的負責(zé)人， 主要職 責(zé)包括：（ 一 ） 對所承擔(dān)的信息資產(chǎn)的信息安全負主要責(zé)任，負責(zé) 該項信息資產(chǎn)的日常保護；（ 二 ） 負責(zé)識別所承擔(dān)信息資產(chǎn)的信息安全風(fēng)險。第十四條 全體人員作為信息安全管理工作的具體執(zhí)行者， 其主要職責(zé)包括：（ 一 ） 了解并執(zhí)行信息安全方針，履行信息安全職責(zé)；（ 二 ） 協(xié)助識別信息資產(chǎn)，執(zhí)行相關(guān)信息資產(chǎn)的信息安全 要求；（ 三） 識別信息安全違規(guī)和信息安全事態(tài)，按要求及時上 報并協(xié)助處理。第五章 管理要求第一節(jié) 信息安全管理體系第十五條 信息安全

8、管理體系的適用范圍為：（一）管理范圍：適用于 XX的信息安全管理；（二）組織范圍：適用于 XX所有部門。第十六條 信息安全管理體系策劃、 實施、檢查和改進的相 關(guān)要求，詳見管理體系總綱 。第十七條 應(yīng)根據(jù)信息科技風(fēng)險管理策略的相關(guān)要求， 對信息安全管理的風(fēng)險進行評估。第十八條 應(yīng)根據(jù)信息安全管理體系制度和該體系制訂依 據(jù)標準的對應(yīng)關(guān)系，編寫適用性聲明。第二節(jié) 風(fēng)險管理策略第十九條 組織應(yīng)定義并應(yīng)用風(fēng)險評估過程， 以確定需要應(yīng) 對的風(fēng)險和機會。（一） 應(yīng)根據(jù)XX風(fēng)險管理策略，制定風(fēng)險管理制度，明確 風(fēng)險評估的過程和方法；（ 二） 實施風(fēng)險評估時，應(yīng)識別與信息保密性、完整性和 可用性有關(guān)的風(fēng)險；（

9、 三） 針對信息安全風(fēng)險評估，應(yīng)定義風(fēng)險接受準則；（ 四） 風(fēng)險評估的方法和要求，詳見信息科技風(fēng)險管理策略。第二十條 組織應(yīng)定義并應(yīng)用風(fēng)險處置過程。（ 一） 應(yīng)針對風(fēng)險評估的結(jié)果，確定風(fēng)險級別；（ 二） 應(yīng)針對風(fēng)險評估的結(jié)果，明確風(fēng)險處置責(zé)任人，制 定、審批并實施風(fēng)險處置計劃。第三節(jié) 組織安全管理策略第二十一條 所有的信息安全職責(zé)應(yīng)予以定義和分配。（ 一 ） 應(yīng)建立統(tǒng)一、有效的信息安全管理架構(gòu)，確定信息 安全角色和職責(zé)；（ 二 ） 應(yīng)該落實信息安全管理職責(zé)至 XX 各部門，并建立適 當(dāng)?shù)臏贤ㄅc交流機制。第二十二條 應(yīng)分割沖突的責(zé)任及職責(zé)范圍，以降低未授 權(quán)或無意識的修改或不當(dāng)使用組織資產(chǎn)的機會

10、。（ 一 ） 應(yīng)結(jié)合 XX 現(xiàn)狀及安全相互約束性考慮，明確互斥、 不兼容的角色和職責(zé)；（ 二 ） 應(yīng)制定角色和職責(zé)分離原則，并堅持具體的職責(zé)分 離實施結(jié)果。第二十三條 應(yīng)保持與政府相關(guān)部門的適當(dāng)聯(lián)系。（一） 應(yīng)該建立XX與公安部門、人民銀行、銀監(jiān)局（會八 國際金融業(yè)安全組織等機構(gòu)之間的溝通與交流機制， 建立并維護 聯(lián)系清單；（ 二 ） 應(yīng)與當(dāng)?shù)貓?zhí)法機關(guān)、管理機關(guān)、信息服務(wù)商和電信 運營商保持適當(dāng)聯(lián)系， 確保在發(fā)生信息安全事件時能夠得到及時 響應(yīng)及必要幫助。第二十四條 應(yīng)保持與特定利益集團、其他專業(yè)安全論壇精品文檔 和專業(yè)協(xié)會的適當(dāng)聯(lián)系。（ 一 ） 應(yīng)該建立 XX 與國內(nèi)信息安全組織或?qū)＜抑g的

11、交 流機制，建立并維護聯(lián)系清單；（ 二 ） 應(yīng)與外部其它組織間進行安全協(xié)作，監(jiān)督、檢查、 指導(dǎo)內(nèi)部信息安全保護工作；（ 三 ） 應(yīng)積極參加組織間信息安全方面的技術(shù)交流。第二十五條 無論項目類型，都應(yīng)處理項目管理中的信息 安全問題。（ 一） 在項目實施過程中，應(yīng)指定專人負責(zé)監(jiān)督項目全生 命周期中的信息安全風(fēng)險；（ 二） 在項目實施過程中，應(yīng)評估并處置項目中可能發(fā)生 的各項風(fēng)險；（ 三） 在項目實施過程中，如發(fā)生信息安全事件，應(yīng)參照 信息安全事件相關(guān)要求的處理。第二十六條 應(yīng)采用策略和支持性安全措施以管理使用移 動設(shè)備帶來的風(fēng)險。（ 一） 應(yīng)制定使用個人移動設(shè)備的管理策略，明確使用個 人移動設(shè)備的

12、審批流程，保護 XX信息安全；（ 二） 應(yīng)明確使用移動設(shè)備時，需采用物理保護、訪問控制、密碼技術(shù)、備份和病毒防治等保護措施，確保XX信息不被泄露。第二十七條 應(yīng)實施策略和支持性安全措施以保護在遠程 工作場地訪問、處理或存儲的信息。（ 一 ） 應(yīng)進行網(wǎng)絡(luò)控制，確保遠程工作時，不能連接到生產(chǎn)環(huán)境；（ 二 ） 應(yīng)明確移動設(shè)備的安全措施和操作標準；（ 三 ） 應(yīng)采取合理的保護措施確保在公共場所使用移動設(shè) 備辦公時的信息安全；（四） 移動設(shè)備內(nèi)存儲的XX信息，應(yīng)進行備份，并妥善保 管備份信息。第四節(jié) 人力資源安全管理策略第二十八條 對所有任用候選者的背景驗證核查應(yīng)按照相 關(guān)法律、法規(guī)、道德規(guī)范進行，并與

13、業(yè)務(wù)要求、被訪問信息的類 別和所察覺的風(fēng)險相適宜。（一）在新員工及其他外部人員進入 XX開展工作前，應(yīng)當(dāng) 明確其安全職責(zé)、強調(diào)其安全責(zé)任，并進行背景調(diào)查；（ 二） 應(yīng)通過對所有應(yīng)聘者、合同方人員、和第三方人員 進行必要篩選和限制。第二十九條 與員工和承包方人員的合同協(xié)議中應(yīng)聲明他 們的和組織的信息安全職責(zé)。（ 一） 應(yīng)與所有員工簽署保密協(xié)議，作為雇用合同基本條 款和條件的一部分，保密協(xié)議應(yīng)明確規(guī)定員工的信息安全責(zé)任、 保密要求及其違約時的法律責(zé)任；（二） 實習(xí)生、第三方人員在XX工作前，應(yīng)簽署保密協(xié)議， 明確其信息安全責(zé)任、保密要求及其違約時的法律責(zé)任。第三十條 管理者應(yīng)要求所有員工和承包方人

14、員按照組織精品文檔已建立的策略和規(guī)程對信息安全盡心盡力（ 一 ） 應(yīng)制定管理制度，明確員工的信息安全職責(zé)；（ 二 ） 在 XX 崗位職責(zé)的描述中， 應(yīng)闡明崗位對應(yīng)的信息安 全任務(wù)和職責(zé)；（ 三 ） 應(yīng)明確員工有責(zé)任將影響信息安全的違規(guī)和事件通 過適當(dāng)?shù)墓芾砬辣M快上報。第三十一條 組織的所有員工， 適當(dāng)時，包括承包方人員， 應(yīng)接受與其工作職能相關(guān)的適當(dāng)?shù)囊庾R教育和培訓(xùn)， 以及組織方 針策略及規(guī)程的定期更新的信息。（ 一） 所有員工、實習(xí)生、以及涉及的第三方人員，都應(yīng) 該接受安全制度和流程方面的教育和培訓(xùn)；（ 二） 應(yīng)該組織員工接受信息安全技能培訓(xùn)，確保其保護 信息安全的能力；（ 三 ） 應(yīng)該對

15、信息安全意識和信息安全技能培訓(xùn)的效果進 行檢驗。第三十二條 應(yīng)有一個正式的、已傳達的紀律處理過程， 以對信息安全違規(guī)的員工采取措施。（ 一 ） 應(yīng)制定和落實有關(guān)信息安全的獎懲在制度，制度中 應(yīng)明確員工被獎懲的適用情況、證據(jù)提供、獎懲手段、審批等具 體要求；（ 二 ） 應(yīng)對獎懲機制的執(zhí)行效果進行評估，并加以改進。第三十三條 應(yīng)明確任用終止或變更后仍持續(xù)有效的信息 安全責(zé)任和義務(wù)，傳達給員工或承包方人員并執(zhí)行。（ 一 ） 員工離職或其合同到期時，應(yīng)根據(jù)保密協(xié)議的相關(guān) 要求，對其工作進行審查；（ 二） 應(yīng)明確員工在信息安全方面的職責(zé)、以及該職責(zé)在 聘用關(guān)系結(jié)束后的有效期；（ 三 ） 任用中止時，員工

16、、合同方人員和第三方人員應(yīng)歸 還其使用的設(shè)備并清除相關(guān)信息， 并取消其對信息及信息資產(chǎn)的 使用權(quán)；（ 四 ） 對于職責(zé)發(fā)生變化的員工、合同方人員和第三方人 員，對其所擁有的信息資產(chǎn)訪問權(quán)要做相應(yīng)的變更， 并立刻生效。第五節(jié) 信息資產(chǎn)管理策略第三十四條 應(yīng)識別與信息和信息處理設(shè)施相關(guān)的資產(chǎn)， 編制并維護這些資產(chǎn)的清單。（ 一 ） 應(yīng)對所有信息資產(chǎn)進行識別、建立資產(chǎn)清單；（ 二 ） 資產(chǎn)清單應(yīng)由相關(guān)部門進行維護，確保清單的準確 性。第三十五條 清單中的資產(chǎn)應(yīng)有責(zé)任人。（ 一 ） 明確定義信息資產(chǎn)責(zé)任人與信息資產(chǎn)管理人、使用 人和安全員的職責(zé)，建立信息資產(chǎn)問責(zé)制；（ 二 ） 對資產(chǎn)清單中的每項資產(chǎn)，

17、都應(yīng)指定信息資產(chǎn)責(zé)任 人。第三十六條 與信息及信息和信息處理設(shè)施有關(guān)的資產(chǎn)的 可接受使用規(guī)則應(yīng)被確定、形成文件并加以實施。（ 一 ） 應(yīng)制定信息資產(chǎn)管理制度，明確信息和信息資產(chǎn)的管理要求；（ 二 ） 應(yīng)根據(jù)信息和信息資產(chǎn)的生命周期，明確使用規(guī)則 和安全要求。第三十七條 信息應(yīng)按照法律要求、價值、關(guān)鍵性以及它 對未授權(quán)泄露或修改的敏感性予以分級。（ 一 ） 應(yīng)根據(jù)對信息的機密性、完整性、可用性進行級別 劃分，制定XX信息分級機制；（ 二） 各部門應(yīng)負責(zé)對管轄范圍內(nèi)的信息進行識別及定級。 第三十八條 應(yīng)按照組織所采納的信息分級機制，制定并 實施一套合適的信息標記規(guī)程。（ 一） 應(yīng)根據(jù)信息分級和信息

18、資產(chǎn)的分類機制，制定信息 資產(chǎn)的標識原則，并應(yīng)用到所有信息資產(chǎn)中；（ 二） 應(yīng)對信息資產(chǎn)標識的實施情況進行檢查，并維護標 識的結(jié)果。第三十九條 應(yīng)按照組織所采納的信息分級機制，制定并 實施資產(chǎn)處理的規(guī)程。（ 一） 應(yīng)根據(jù)所承載信息級別的不同，明確信息資產(chǎn)的分 級機制；（ 二） 應(yīng)根據(jù)信息資產(chǎn)的級別，分別制定其訪問、存儲和 處理的管理要求。第四十條 所有的員工和外部方人員在終止任用、 合同或協(xié) 議時，應(yīng)歸還他們使用的所有組織資產(chǎn)。（ 一 ） 任用中止時，員工、合同方人員和第三方人員應(yīng)歸還其使用的設(shè)備并清除相關(guān)信息， 并取消其對信息及信息資產(chǎn)的 使用權(quán)；（ 二 ） 對于職責(zé)發(fā)生變化的員工、合同方人

19、員和第三方人 員，對其所擁有的信息資產(chǎn)訪問權(quán)要做相應(yīng)的變更。第四十一條 應(yīng)按照組織采用的分級機制實施移動介質(zhì)的 管理規(guī)程。（ 一） 應(yīng)根據(jù)所承載信息級別的不同，定義不同種類移動 介質(zhì)的可承載的信息；（ 二 ） 移動介質(zhì)承載信息后，應(yīng)根據(jù)其信息級別都應(yīng)明確 其訪問、使用、移動和處置的管理要求。第四十二條 不再需要的介質(zhì)，應(yīng)使用正式的規(guī)程安全地 處置。（ 一 ） 應(yīng)制定管理制度，規(guī)范介質(zhì)的清除和銷毀過程，并 明確過程中的安全要求；（ 二） 應(yīng)根據(jù)所承載信息級別以及介質(zhì)形態(tài)的不同，定義 各類介質(zhì)的清除和銷毀的方式。第四十三條 包含信息的介質(zhì)在運送時，應(yīng)受到保護，以 防止未授權(quán)的訪問、不當(dāng)使用或毀壞。

20、（ 一 ） 應(yīng)制定管理制度，明確介質(zhì)在組織內(nèi)和組織外的使 用和管理要求；（ 二） 應(yīng)明確介質(zhì)在組織區(qū)域外使用時，需采取的保護措 施，保護其免遭破壞、丟失和非法使用。第六節(jié) 訪問控制管理策略第四十四條 應(yīng)基于業(yè)務(wù)和信息安全要求建立訪問控制策 略，形成文件并進行評審。（ 一 ） 應(yīng)制定訪問控制管理制度， 根據(jù) XX 對信息和信息資 產(chǎn)的管理要求，明確訪問控制的授權(quán)原則；（ 二 ） 應(yīng)定義訪問控制相關(guān)角色和職責(zé)，明確訪問控制授 權(quán)過程要求；（ 三） 應(yīng)將基于業(yè)務(wù)需要的訪問控制規(guī)則向用戶和服務(wù)提 供者明確地加以說明。第四十五條 用戶應(yīng)僅能訪問已獲得專門授權(quán)的網(wǎng)絡(luò)和網(wǎng) 絡(luò)服務(wù)。（ 一 ） 應(yīng)對內(nèi)部和外部

21、網(wǎng)絡(luò)服務(wù)的訪問加以控制，以確保對 XX 內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進行有效的隔離和控制；（ 二） 應(yīng)對網(wǎng)絡(luò)環(huán)境中用戶和設(shè)備設(shè)置合適的身份鑒別機 制，并根據(jù)控制規(guī)則和業(yè)務(wù)要求限制用戶對網(wǎng)絡(luò)和服務(wù)的訪問。第四十六條 應(yīng)實施正式的用戶注冊及注銷規(guī)程，以分配 訪問權(quán)限。（ 一） 應(yīng)制定用戶賬號管理制度，嚴格控制用戶賬戶的注 冊和使用；（ 二 ） 應(yīng)明確用戶在同一信息系統(tǒng)中，使用唯一的身份標 識；（ 三） 在對于業(yè)務(wù)或操作必要時，才允許使用組賬號，組 賬號的使用需經(jīng)過審批，并保留相應(yīng)記錄；（四） 人員離開XX后，應(yīng)立即禁用或取消其用戶賬戶；（ 五 ） 用戶應(yīng)該詳細閱讀有關(guān)訪問權(quán)限的書面說明，并且 簽字以表明其接

22、受訪問條款。第四十七條 應(yīng)實施正式的用戶訪問開通過程，以分配或 撤銷所有系統(tǒng)和服務(wù)的所有用戶類型的訪問權(quán)限。（ 一） 應(yīng)制定訪問授權(quán)制度，明確在多用戶信息科技系統(tǒng) 中，用戶權(quán)限申請、更改、撤銷的審批程序；（ 二） 用戶應(yīng)該對其擁有的權(quán)限進行確認，表明其了解并 接受該權(quán)限；（ 三） 用戶工作崗位變動后，應(yīng)該立即修改其訪問權(quán)限； 第四十八條 應(yīng)限制和控制特殊訪問權(quán)限的分配及使用。（ 一 ） 信息系統(tǒng)的管理帳號或其它的特殊訪問權(quán)限賬號應(yīng) 被特別關(guān)注，并制定相應(yīng)的授權(quán)原則；（ 二） 應(yīng)記錄并應(yīng)維護特殊訪問權(quán)限每個賬戶的授權(quán)過程；（ 三 ） 應(yīng)明確特殊訪問賬號在不同職責(zé)中的分配，不允許 任何用戶夠獨自行

23、使所有超級用戶的所有超級權(quán)限。（ 四 ） 應(yīng)制定特權(quán)賬戶分配原則，明確部分特殊賬戶權(quán)限 在完成特定任務(wù)后應(yīng)該被立即收回， 確保特權(quán)被收回后， 特權(quán)使 用者不再擁有多余的特權(quán)。第四十九條 應(yīng)通過正式的管理過程控制保密認證信息的 分配。（ 一） 應(yīng)明確要求用戶簽署一份聲明，以保證個人秘密鑒 別信息的保密性和組信息僅在該組成員范圍內(nèi)使用；（ 二 ）若需要用戶維護自己的秘密鑒別信息， 應(yīng)在初始時提供給他們一個安全的臨時秘密鑒別信息， 并強制其在首次使用 時改變。第五十條 資產(chǎn)責(zé)任人應(yīng)定期復(fù)查用戶的訪問權(quán)限。（ 一 ） 應(yīng)對用戶獲得的賬戶和權(quán)限進行記錄，并由相應(yīng)資 產(chǎn)責(zé)任人組織對賬戶和權(quán)限審計；（ 二

24、） 資產(chǎn)責(zé)任人對其負責(zé)信息資產(chǎn)的用戶訪問權(quán)限授權(quán) 負責(zé)。第五十一條 所有員工、外部用戶對信息和信息處理設(shè)施 的訪問權(quán)限應(yīng)在任用、 合同或協(xié)議終止時予以移除， 或在變更時 予以調(diào)整。（ 一 ） 人員任用終止時，其可訪問的信息資產(chǎn)訪問權(quán)限應(yīng) 被撤銷或暫停；（ 二） 人員任用的變更時，其可訪問的信息資產(chǎn)訪問權(quán)限 應(yīng)被調(diào)整。第五十二條 應(yīng)要求用戶在使用保密認證信息時，遵循組 織的實踐慣例。（ 一 ） 應(yīng)明確管理要求，確保用戶的保密秘密鑒別信息不 泄露給其他人；（ 二） 應(yīng)采取相關(guān)措施，避免保留秘密鑒別信息的記錄， 除非可以對其進行安全地存儲及存儲方法得到批準。第五十三條 應(yīng)依照訪問控制策略限制對信息和

25、應(yīng)用系統(tǒng) 功能的訪問。（ 一 ） 應(yīng)根據(jù) XX 業(yè)務(wù)和信息系統(tǒng)現(xiàn)狀， 定義訪問授權(quán)原則；（ 二） 應(yīng)依據(jù)訪問授權(quán)原則，明確對信息和應(yīng)用系統(tǒng)的具 體訪問控制措施；（ 三 ） 應(yīng)對信息和應(yīng)用系統(tǒng)相關(guān)的主機、網(wǎng)絡(luò)和信息系統(tǒng) 的訪問進行限制，僅在開通和授權(quán)方可開通；（ 四 ） 所有信息和信息資產(chǎn)只能由被授權(quán)的業(yè)務(wù)及人員使 用，所有設(shè)備的物理訪問應(yīng)當(dāng)局限于得到授權(quán)的個人；（ 五 ） 所有最高權(quán)限都應(yīng)該單獨控制，使用最高權(quán)限時必 須進行審批，并在使用后進行復(fù)核。第五十四條 在訪問控制策略要求下，訪問系統(tǒng)和應(yīng)用應(yīng) 通過安全登錄規(guī)程加以控制。（ 一 ） 應(yīng)明確管理要求，規(guī)定用戶訪問時，不應(yīng)獲得任何 幫助消息，

26、以免被非法用戶利用；（ 二） 應(yīng)明確只有在用戶輸入所有登錄數(shù)據(jù)后，方可驗證 登錄信息；（ 三） 應(yīng)限制用戶不成功登錄次數(shù)，以及用戶登入系統(tǒng)的 時限。第五十五條 口令管理系統(tǒng)應(yīng)是交互式的，并應(yīng)確保優(yōu)質(zhì) 的口令。（ 一 ） 應(yīng)制定管理要求，明確采用交互式口令；（ 二 ） 應(yīng)對口令的長度、復(fù)雜度、有效期等進行規(guī)范，確 保使用優(yōu)質(zhì)口令。第五十六條 對于可能超越系統(tǒng)和應(yīng)用控制措施的實用工精品文檔 具軟件的使用應(yīng)加以限制并嚴格控制。（ 一 ） 應(yīng)制定管理要求，明確可在系統(tǒng)上運行的工具軟件 清單，并采取最小化安裝原則，防止非授權(quán)使用；（ 二） 使用可能超越系統(tǒng)和應(yīng)用控制措施的工具軟件時， 應(yīng)保留其訪問授權(quán)記

27、錄，并采取雙人操作的方式。第五十七條 應(yīng)限制對程序源代碼的訪問。（ 一） 應(yīng)建立統(tǒng)一的代碼管理機制，實現(xiàn)對應(yīng)用系統(tǒng)的代 碼、版本進行安全有效的管理；（ 二） 應(yīng)用系統(tǒng)代碼庫應(yīng)采用軟件配置管理系統(tǒng)進行管理， 通過管理措施，確保目標代碼與源代碼保持一致；（ 三） 應(yīng)制定管理制度，對代碼庫的訪問進行嚴格的訪問 控制，代碼庫的變更遵循嚴格的控制流程。第七節(jié) 密碼管理策略第五十八條 應(yīng)制定和實施保護信息的密碼控制的使用策 略。（ 一 ） 應(yīng)組織相應(yīng)的專家或機構(gòu)評審并確定 XX 使用密碼 技術(shù)；（ 二 ） 應(yīng)制定管理制度，并根據(jù)不同級別信息和訪問控制 的要求，明確密碼的分類及各類密碼的管理要求。第五十九條

28、 應(yīng)制定和實施貫穿整個密鑰生命周期的密鑰 使用、保護和生存期的策略。（ 一 ） 應(yīng)制定密鑰管理制度， 明確密鑰生產(chǎn)、 分發(fā)、存儲、 恢復(fù)、更新和銷毀全生命周期的管理要求；（ 二） 生產(chǎn)上使用的密鑰嚴禁在開發(fā)或測試環(huán)境上使用， 禁止將生產(chǎn)數(shù)據(jù)提供給第三方；（ 三 ） 應(yīng)制定針對密鑰管理活動的審計機制。第八節(jié) 物理和環(huán)境安全管理策略第六十條 應(yīng)明確安全邊界， 以保護包含敏感或關(guān)鍵信息和 信息處理設(shè)施的區(qū)域。（ 一 ） 應(yīng)依據(jù)是信息資產(chǎn)的安全等級、設(shè)備對場地環(huán)境的 要求、易管理性及物理空間分布等，劃分物理安全區(qū)，確保所有 的設(shè)備及介質(zhì)均處在物理安全區(qū)的保護之下；（ 二） 物理安全區(qū)應(yīng)有明確的標志，并

29、明確不同物理安全 區(qū)的保護措施；（ 三 ） 生產(chǎn)環(huán)境、測試環(huán)境、開發(fā)環(huán)境相互之間應(yīng)定義明 確的物理安全邊界。第六十一條 安全區(qū)域應(yīng)由適合的入口控制所保護，以確 保只有授權(quán)的人員才允許訪問。（ 一 ） 安全區(qū)應(yīng)該配備相應(yīng)的監(jiān)控系統(tǒng)，并在入口處明顯 標示出該地點為安全控制地帶；（ 二 ） 對每個安全區(qū)建立允許進出該安全區(qū)的內(nèi)部人員清 單，并及時維護該清單；（ 三 ） 對每個安全區(qū)建立外部人員進入該安全區(qū)的審批機 制。并通過必要的控制措施，對進出安全區(qū)人員進行身份認證；（ 四） 所有進出安全區(qū)的人員都要有進出記錄，記錄保留 以備查；（ 五 ） 貨物進入重要的物理安全區(qū)前，必須對其進行安全 檢查。第六

30、十二條 應(yīng)為辦公室、房間和設(shè)施設(shè)計并實施物理安 全措施。（ 一 ） 關(guān)鍵設(shè)施應(yīng)盡可能避免安置在公眾可訪問的場地；（ 二） 應(yīng)盡量避免保密信息或活動對外部可視或可見。 第六十三條 為防止自然災(zāi)難、惡意攻擊和安全事故，應(yīng) 設(shè)計和應(yīng)用物理保護措施。（ 一 ） 物理安全區(qū)應(yīng)依據(jù)國家相關(guān)的標準規(guī)范，選擇合適 的場地，并有完備的配電、照明、溫濕度、防水、防火、防雷及 防盜等環(huán)境條件；（ 二 ） 應(yīng)當(dāng)對安放各安全區(qū)的建筑和環(huán)境安全進行檢查和 測試；（ 三） 數(shù)據(jù)中心機房設(shè)施應(yīng)符合國家 B 級（含）以上標準，XX應(yīng)嚴格按照國家相關(guān)部門條例、規(guī)范、制度貫徹執(zhí)行；（ 四） 應(yīng)在各安全區(qū)的合適位置安裝防水、防火設(shè)備

31、；（ 五 ） 應(yīng)當(dāng)在數(shù)據(jù)中心及機房中的合適位置以整齊的間距 安裝煙、熱探測器，用以在發(fā)生火災(zāi)時發(fā)出報警。第六十四條 應(yīng)設(shè)計和應(yīng)用安全區(qū)域工作規(guī)程。（ 一 ） 應(yīng)制定有關(guān)物理安全區(qū)工作守則，規(guī)范工作人員的 安全操作行為，加強已采取物理保護措施的安全區(qū)的安全；（ 二） 應(yīng)嚴格控制物理安全區(qū)的進出，以及第三方人員在 安全區(qū)內(nèi)的活動。第六十五條 應(yīng)對出入口（例如交貨和裝載區(qū)域和未授權(quán) 人員可進入的其他位置）加以控制，如果可能，應(yīng)與信息處理設(shè) 施隔離，以避免未授權(quán)訪問。（ 一 ） 應(yīng)指定特定物理安全區(qū)作為交貨和裝卸區(qū)域，外部 人員訪問該區(qū)域時，需進行身份認證并記錄；（ 二 ） 應(yīng)盡量選擇遠離信息系統(tǒng)的區(qū)

32、域作為交貨和裝卸區(qū) 域。第六十六條 應(yīng)安置或保護設(shè)備，以減少由環(huán)境威脅和危 險所造成的各種風(fēng)險以及未授權(quán)訪問的機會。（ 一） 所有設(shè)備必須經(jīng)過相關(guān)職能部門的授權(quán)才能使用， 并詳細記錄每次使用的授權(quán)情況；（ 二 ） 與信息系統(tǒng)相關(guān)的設(shè)備，應(yīng)放置在指定的物理安全 區(qū)，并只能由被授權(quán)的人員訪問；第六十七條 應(yīng)保護設(shè)備使其免于由支持性設(shè)施的失效而 引起的電源故障和其他中斷。（ 一 ） 應(yīng)為數(shù)據(jù)中心提供至少兩路獨立連接主電源的供電 線路，以防止單條供電線路發(fā)生故障時的斷電；（ 二） 應(yīng)為數(shù)據(jù)中心及機房提供不間斷電源，從而在短時 間的斷電或電壓突降發(fā)生時為其提供不間斷的供電；（ 三 ） 應(yīng)為數(shù)據(jù)中心及機房準備后備發(fā)電設(shè)備，以防止供 電中斷造成的信息系統(tǒng)不可用。第六十八條 應(yīng)保證傳輸數(shù)據(jù)或支持信息服務(wù)的電源布纜 和通信布纜免受竊聽、干擾或損壞。（ 一 ） 設(shè)計物理安全區(qū)時，應(yīng)考慮布纜的需要；（ 二 ） 應(yīng)制定布纜的相應(yīng)要求，防止線路被竊聽