信息安全策略講義課件

1、保密等級內(nèi)控文檔名稱信息安全策略文檔編號ISMS/Sinosoft-h-04-2008發(fā)布組織Sinosoft信息安全工作小組發(fā)布日期 2008年1月1日 執(zhí)行日期 2008年1月1日版 本 號A1.0信息安全策略批準(zhǔn)人簽字審核人簽字制訂人簽字日期： 2008/1 /1日期：2008/1 /1日期：2008/1 /1南京擎天科技有限公司Nanjing Sinosoft Technology Co., Ltd.變更履歷序號版本編號或更改記錄編號變化 狀態(tài) *簡要說明(變更內(nèi)容、變更位置、變更原因和變更范圍)變更日期變更人審核人批準(zhǔn)人批準(zhǔn)日期1A1.0C創(chuàng)建，全頁。2008/ 1/1 許明星 茅建

2、平 汪曉剛2008/1 /1 *變化狀態(tài)：C創(chuàng)建，A增加，M修改，D刪除目 錄1.文檔介紹51.1.文檔目的51.2.文檔范圍51.3.參考信息52.術(shù)語和定義62.1.解釋62.2.詞語使用73.Sinosoft信息系統(tǒng)安全策略73.1.策略下發(fā)73.2.策略維護73.3.策略評審83.4.適用范圍84.Sinosoft信息系統(tǒng)安全組織84.1.內(nèi)部組織84.2.外部組織95.Sinosoft資產(chǎn)管理105.1.資產(chǎn)責(zé)任115.2.信息分類116.Sinosoft人員信息安全管理116.1.人員雇傭126.2.雇傭中126.3.人員信息安全管理原則137.物理和環(huán)境安全147.1.安全區(qū)域1

3、47.2.設(shè)備安全158.Sinosoft通信和操作管理218.1.操作程序和責(zé)任218.2.第三方服務(wù)交付管理238.3.系統(tǒng)策劃與驗收258.4.防范惡意和移動代碼278.5.備份288.6.網(wǎng)絡(luò)安全管理288.7.介質(zhì)處理298.8.信息交換318.9.監(jiān)視和審計339.Sinosoft信息系統(tǒng)訪問控制369.1.訪問控制的業(yè)務(wù)要求369.2.用戶訪問管理379.3.用戶責(zé)任409.4.網(wǎng)絡(luò)訪問控制419.5.操作系統(tǒng)訪問控制439.6.應(yīng)用程序和信息訪問控制459.7.移動計算和遠(yuǎn)程工作4610.信息系統(tǒng)的獲取、開發(fā)和維護安全4710.1.信息系統(tǒng)的安全要求4710.2.應(yīng)用系統(tǒng)的正確

4、處理4710.3.加密控制4710.4.系統(tǒng)文件安全4810.5.開發(fā)和支持過程安全4910.6.技術(shù)漏洞管理4911.信息安全事故處理5011.1.報告信息安全事故和弱點5011.2.信息安全事故管理和改進5012.業(yè)務(wù)連續(xù)性管理5112.1.業(yè)務(wù)連續(xù)性管理中的信息安全5113.符合性要求5313.1.遵守法律法規(guī)的要求5313.2.安全策略和技術(shù)一致性檢查5813.3.信息系統(tǒng)審計考慮因素591. 文檔介紹1.1. 文檔目的本文檔制定了Sinosoft的信息系統(tǒng)安全策略，作為Sinosoft信息安全的基本標(biāo)準(zhǔn)，是所有安全行為的指導(dǎo)方針，同時也是建立完整的安全管理體系最根本的基礎(chǔ)。信息安全策

5、略是在Sinosoft信息安全現(xiàn)狀調(diào)研的基礎(chǔ)上，根據(jù)ISO27001的最佳實踐，結(jié)合Sinosoft現(xiàn)有規(guī)章制度制定而成的信息安全方針和策略文檔。本文檔遵守政府制定的相關(guān)法律、法規(guī)、政策和標(biāo)準(zhǔn)。本安全策略得到Sinosoft領(lǐng)導(dǎo)的認(rèn)可，并在Sinosoft內(nèi)強制實施。建立信息安全策略目的概括如下：§ 在Sinosoft內(nèi)部建立一套通用的、行之有效的安全機制；§ 在Sinosoft的員工中樹立起安全責(zé)任感；§ 在Sinosoft中增強信息資產(chǎn)可用性、完整性和保密性；§ 在Sinosoft中提高全體員工的信息安全意識和信息安全知識水平。1.2. 文檔范圍本安

6、全策略適用于Sinosoft全體員工。本安全策略由Sinosoft行政管理部負(fù)責(zé)解釋，自發(fā)布之日起執(zhí)行。1.3. 參考信息§ 安全戰(zhàn)略和體系架構(gòu)設(shè)計§ 信息安全手冊§ 公司程序文件§ 公司管理辦法2. 術(shù)語和定義2.1. 解釋信息安全是指保護信息資產(chǎn)免受多種安全威脅，保證業(yè)務(wù)連續(xù)性，將安全事件造成的損失降至最小，同時最大限度地獲得投資回報和商業(yè)機遇?？捎眯源_保經(jīng)過授權(quán)的用戶在需要時可以訪問信息并使用相關(guān)信息資產(chǎn)。保密性確保只有經(jīng)過授權(quán)的人才能訪問信息。完整性保護信息和信息的處理方法準(zhǔn)確而完整。保密信息Sinosoft安全規(guī)章定義的密級信息。信息安全策略正

7、確使用和管理IT信息資源并保護這些資源使得它們擁有更好的保密性、完整性、可用性的策略。風(fēng)險評估評估信息安全漏洞對信息處理設(shè)備帶來的威脅和影響及其發(fā)生的可能性。風(fēng)險管理以可以接受的成本，確認(rèn)、控制、排除可能影響信息系統(tǒng)的安全風(fēng)險或?qū)⑵鋷淼奈：ψ钚』倪^程。計算機機房裝有計算機主機、服務(wù)器和相關(guān)設(shè)備的，除了安裝和維護的情況外，不允許人員在里邊工作的專用房間。員工在Sinosoft系統(tǒng)內(nèi)工作的正式員工、雇傭的臨時工作人員。用戶被授權(quán)能使用IT系統(tǒng)的人員。信息資產(chǎn)與信息系統(tǒng)相關(guān)聯(lián)的信息、信息的處理設(shè)備和服務(wù)。信息資產(chǎn)責(zé)任人是指對某項信息資產(chǎn)安全負(fù)責(zé)的人員。合作單位是指與Sinosoft有業(yè)務(wù)往來的單

8、位，包括承包商、服務(wù)提供商、設(shè)備廠商、外包服務(wù)商、貿(mào)易伙伴等。第三方訪問指非本單位的人員對信息系統(tǒng)的訪問。安全事件利用信息系統(tǒng)的安全漏洞，對信息資產(chǎn)的保密性、完整性和可用性造成危害的事件。故障是指信息的處理、傳輸設(shè)備運行出現(xiàn)意外障礙，以至影響信息系統(tǒng)正常運轉(zhuǎn)的事件。安全審計通過將所選類型的事件記錄在服務(wù)器或工作站的安全日志中用來跟蹤用戶活動的過程。超時設(shè)置用戶如果超過特定的時限沒有進行動作，就觸發(fā)其他事件（如斷開連接、鎖定用戶等）。2.2. 詞語使用必須表示強制性的要求。應(yīng)當(dāng)好的做法所要達到的要求，條件允許就要實施?？梢员硎鞠Ｍ_到的要求。3. Sinosoft信息系統(tǒng)安全策略目標(biāo)：為信息安全

9、提供管理指導(dǎo)和支持，并與業(yè)務(wù)要求和相關(guān)的法律法規(guī)保持一致。3.1. 策略下發(fā)第1條 本策略必須得到Sinosoft管理層批準(zhǔn)，并向Sinosoft所有員工和相關(guān)第三方公布傳達，全體人員必須履行相關(guān)的義務(wù)，享受相應(yīng)的權(quán)利，承擔(dān)相關(guān)的責(zé)任。3.2. 策略維護本策略通過以下方式進行文檔的維護工作：第2條 必須每年按照信息安全風(fēng)險評估管理程序進行例行的風(fēng)險評估，如遇以下情況必須及時進行風(fēng)險評估：· 發(fā)生重大安全事故· 組織或技術(shù)基礎(chǔ)結(jié)構(gòu)發(fā)生重大變更· 安全管理小組認(rèn)為應(yīng)當(dāng)進行風(fēng)險評估的· 其他應(yīng)當(dāng)進行安全風(fēng)險評估的情形第3條 風(fēng)險評估之后根據(jù)需要進行安全策略條目

10、修訂，并在Sinosoft內(nèi)公布傳達。3.3. 策略評審第4條 每年必須參照信息安全管理評審程序執(zhí)行公司管理評審。3.4. 適用范圍第5條 適用范圍是指本策略使用和涵蓋的對象，包括Sinosoft現(xiàn)有的業(yè)務(wù)系統(tǒng)、硬件資產(chǎn)、軟件資產(chǎn)、信息、通用服務(wù)、物理安全區(qū)域等。對于即將投入使用和今后規(guī)劃的信息系統(tǒng)項目也必須參照本策略執(zhí)行。4. Sinosoft信息系統(tǒng)安全組織目標(biāo)：在Sinosoft組織內(nèi)部管理信息安全，保持可被外部組織訪問、處理、溝通或管理的Sinosoft信息及信息處理設(shè)備的安全。4.1. 內(nèi)部組織第6條 Sinosoft的管理層對信息安全承擔(dān)最終責(zé)任。管理者職責(zé)參見信息安全委員會組織機

11、構(gòu)。第7條 Sinosoft的信息系統(tǒng)安全管理工作采取行政管理部統(tǒng)一管理方式，其他相關(guān)部門/單位配合執(zhí)行。Sinosoft的內(nèi)部信息安全組織為信息安全管理委員會，委員會的人員組成以及相關(guān)職責(zé)參見信息安全委員會組織機構(gòu)。第8條 Sinosoft各個部門之間必須緊密配合共同進行信息安全系統(tǒng)的維護和建設(shè)。相關(guān)部門崗位的分工與責(zé)任參見崗位說明書。第9條 任何新的信息系統(tǒng)處理設(shè)施必須經(jīng)過管理授權(quán)的過程。并更新至信息資產(chǎn)識別表。第10條 Sinosoft信息系統(tǒng)內(nèi)的每個重要的資產(chǎn)需要明確所有者、安全責(zé)任人、安全維護人員、使用人員。參見信息資產(chǎn)識別表 。 第11條 凡是涉及Sinosoft重要信息、機密信息

12、（相關(guān)定義參見保密管理規(guī)定等信息的處理，相關(guān)的Sinosoft工作崗位員工以及第三方都必須簽署保密協(xié)議。第12條 應(yīng)當(dāng)與政府機構(gòu)保持必要的聯(lián)系共同協(xié)調(diào)信息安全相關(guān)問題。這些部門包括執(zhí)法部門、消防部門、上級監(jiān)管部門、電信供應(yīng)商等提供公共服務(wù)的部門。第13條 應(yīng)當(dāng)與相關(guān)信息安全團體保持聯(lián)系，以取得信息安全上必要的支持。這些團體包括外部安全咨詢商、獨立的安全技術(shù)專家等。第14條 信息安全管理小組每年至少進行一次信息安全風(fēng)險評估工作（參照信息安全風(fēng)險評估管理程序，并對安全策略進行復(fù)審。信息安全領(lǐng)導(dǎo)小組每年對風(fēng)險評估結(jié)果和安全策略的修改進行審批。第15條 每年或者發(fā)生重大信息安全變化時必須參照信息安全管

13、理評審程序執(zhí)行公司管理評審。4.2. 外部組織第16條 第三方訪問是指非Sinosoft人員對信息系統(tǒng)的的訪問。第三方至少包含如下人員： l 硬件及軟件技術(shù)支持、維護人員；l 項目現(xiàn)場實施人員；l 外單位參觀人員；l 合作單位人員；l 客戶；l 清潔人員、送餐人員、快遞、保安以及其它外包的支持服務(wù)人員；第17條 第三方的訪問類型包括物理訪問和邏輯訪問。l 物理訪問：重點考慮安全要求較高區(qū)域的訪問，包括計算機機房、重要辦公區(qū)域和存放重要物品區(qū)域等；l 邏輯訪問：u 主機系統(tǒng)u 網(wǎng)絡(luò)系統(tǒng)u 數(shù)據(jù)庫系統(tǒng)u 應(yīng)用系統(tǒng)第18條 第三方訪問需要進行以下的風(fēng)險評估后方可對訪問進行授權(quán)。l 被訪問資產(chǎn)是否會損

14、壞或者帶來安全隱患；l 客戶是否與Sinosoft有商業(yè)利益沖突；l 是否已經(jīng)完成了相關(guān)的權(quán)限設(shè)定，對訪問加以控制；l 是否有過違反安全規(guī)定的記錄；l 是否與法律法規(guī)有沖突，是否會涉及知識產(chǎn)權(quán)糾紛；第19條 第三方進行訪問之前必須經(jīng)過被訪問系統(tǒng)的安全責(zé)任人的審核批準(zhǔn)，包括物理訪問的區(qū)域和邏輯訪問的權(quán)限。（物理訪問區(qū)域安全責(zé)任人按物理訪問控制管理規(guī)定執(zhí)行。）第20條 對于第三方參與的項目，必須在合同中明確規(guī)定人員的安全責(zé)任，必要時應(yīng)當(dāng)簽署保密協(xié)議。第21條 第三方必須遵守Sinosoft的信息安全策略以及參觀保密協(xié)議，Sinosoft保留對第三方的工作進行審核的權(quán)利。5. Sinosoft資產(chǎn)管

15、理目標(biāo)：通過及時更新的信息資產(chǎn)目錄對Sinosoft信息資產(chǎn)進行適當(dāng)?shù)谋Ｗo。5.1. 資產(chǎn)責(zé)任第22條 所有Sinosoft的信息資產(chǎn)必須登記入冊，對于有形資產(chǎn)必須進行標(biāo)識，同時資產(chǎn)信息應(yīng)當(dāng)及時更新。每項信息資產(chǎn)在登記入冊及更新時必須指定信息資產(chǎn)的安全責(zé)任人，信息資產(chǎn)的安全責(zé)任人必須負(fù)責(zé)該信息資產(chǎn)的安全。第23條 所有Sinosoft員工和第三方都必須遵守本策略中第65條至第102條關(guān)于信息設(shè)備安全管理的規(guī)定，以保護Sinosoft信息處理設(shè)備（包括移動設(shè)備和在非公共地點使用的設(shè)備）的安全。5.2. 信息分類第24條 必須明確確認(rèn)每項信息資產(chǎn)及其責(zé)任人和安全分類，信息資產(chǎn)包括業(yè)務(wù)系統(tǒng)、硬件資產(chǎn)

16、、軟件資產(chǎn)、信息資產(chǎn)、物理設(shè)備和IT環(huán)境設(shè)施。（詳見信息資產(chǎn)識別表）。第25條 必須建立信息資產(chǎn)管理登記制度，至少詳細(xì)記錄信息資產(chǎn)的分類、名稱、用途、資產(chǎn)所有者、安全責(zé)任人、安全維護人員、使用人員、入庫時間、有效時限、報廢時間、借用及返還情況等，便于查找和使用。信息資產(chǎn)應(yīng)當(dāng)標(biāo)明適用范圍。第26條 應(yīng)當(dāng)在每個有形信息資產(chǎn)上進行標(biāo)識。第27條 當(dāng)信息資產(chǎn)進行拷貝、存儲、傳輸（如郵遞、傳真、電子郵件以及語音傳輸【包括電話、語音郵件、應(yīng)答機】等）或者銷毀等信息處理時，應(yīng)當(dāng)參照保密管理規(guī)定或者制定妥善的處理步驟并執(zhí)行。第28條 對重要的資料檔案要妥善保管，以防丟失泄密，其廢棄的打印紙及磁介質(zhì)等，應(yīng)按Si

17、nosoft有關(guān)規(guī)定進行處理。6. Sinosoft人員信息安全管理目標(biāo)：確保所有的員工、合同方和第三方用戶了解信息安全威脅和相關(guān)事宜、明確并履行信息安全責(zé)任和義務(wù)，并在日常工作中支持Sinosoft的信息安全方針，減少人為錯誤的風(fēng)險，減少盜竊、濫用或設(shè)施誤用的風(fēng)險。6.1. 人員雇傭第29條 Sinosoft員工必須了解相關(guān)的信息安全責(zé)任，必須遵守崗位說明書。第30條 對第三方訪問人員和臨時性員工，也必須遵守參觀保密協(xié)議。第31條 涉及重要信息系統(tǒng)管理的員工、合同方及第三方應(yīng)當(dāng)進行相關(guān)技術(shù)背景調(diào)查和能力考評；第32條 涉及重要信息系統(tǒng)管理的員工、合同方及第三方應(yīng)在合同中明確其信息安全責(zé)任并簽

18、署保密協(xié)議；6.2. 雇傭中第33條 Sinosoft管理層必須要求所有的員工、合同方及第三方用戶執(zhí)行Sinosoft信息安全的相關(guān)規(guī)定；第34條 應(yīng)當(dāng)設(shè)定信息安全的相關(guān)獎勵措施，任何違反信息安全策略的行為都將收到懲戒，具體執(zhí)行辦法參見信息安全獎懲規(guī)定；第35條 將信息安全培訓(xùn)加入員工培訓(xùn)中，培訓(xùn)材料應(yīng)當(dāng)包括下列內(nèi)容：§ Sinosoft信息安全策略§ Sinosoft信息安全制度§ 相關(guān)獎懲辦法第36條 應(yīng)當(dāng)按下列群體進行不同類型的信息安全培訓(xùn)：§ Sinosoft全體員工§ 需要遵守Sinosoft信息安全策略、規(guī)章制度和各項操作流程的第三

19、方人員第37條 信息安全培訓(xùn)必須至少每年舉行一次，讓不同部門的人員能受到適當(dāng)?shù)男畔踩嘤?xùn)。必須參加計算機信息安全培訓(xùn)的人員包括：§ 計算機信息系統(tǒng)使用單位的安全管理責(zé)任人；§ 重點單位或核心計算機信息系統(tǒng)的維護和管理人員；§ 其他從事計算機信息系統(tǒng)安全保護工作的人員；§ 能夠接觸到敏感數(shù)據(jù)或機密信息的關(guān)鍵用戶。6.3. 人員信息安全管理原則第38條 員工錄用時，人力資源部或調(diào)入部門必須及時書面通知行政管理部添加相關(guān)的口令、帳號及權(quán)限等并備案。第39條 員工在崗位變動時，必須移交調(diào)出崗位的相關(guān)資料和有關(guān)文檔，檢查并歸還在Sinosoft借出的重要信息。人

20、力資源部或調(diào)入部門必須及時書面通知行政管理部修改和刪除相關(guān)的口令、帳號及權(quán)限等。第40條 員工在調(diào)離時必須進行信息安全檢查。調(diào)離人員必須移交全部資料和有關(guān)文檔，刪除自己的文件、帳號，檢查并歸還在Sinosoft借出的保密信息。由人力資源部書面通知行政管理部刪除相關(guān)的口令、帳號、權(quán)限等信息。第41條 用戶帳號三個月未使用的將在系統(tǒng)中自動失效。必須每半年進行用戶使用情況的統(tǒng)計，凡是半年及半年以上未使用的帳號經(jīng)相關(guān)部門確認(rèn)后刪除。如有特殊情況，必須事先得到部門經(jīng)理及安全責(zé)任人的批準(zhǔn)。第42條 對第三方訪問人員和臨時性員工，也必須執(zhí)行第38條到第41條的相關(guān)規(guī)定。7. 物理和環(huán)境安全7.1. 安全區(qū)域

21、目標(biāo)：防止對Sinosoft工作場所和信息的非法訪問、破壞和干擾。第43條 Sinosoft必須明確劃分安全區(qū)域。安全區(qū)域至少包括Sinosoft各計算機機房、檔案室，IT部門、財務(wù)部、人力資源部等部門。第44條 所有進入本公司的人員都需經(jīng)過授權(quán)，本公司員工之外的人員進入本公司必須登記換取來賓卡才能進入(得到被訪者允許)。第45條 無人值守的門和窗戶必須上鎖，對于直接與外部相連的安全區(qū)域的窗戶必須考慮窗戶的外部保護；第46條 應(yīng)按照地方、國內(nèi)和國際標(biāo)準(zhǔn)建立適當(dāng)?shù)娜肭謾z測體系，并定期檢測以覆蓋所有的外部門窗；第47條 安全區(qū)域必須配備充足的安全設(shè)備，例如熱敏和煙氣探測器、火警系統(tǒng)、滅火設(shè)備，并對

22、設(shè)備定期檢查；第48條 只要可行，安全區(qū)域進出控制應(yīng)當(dāng)采用合適的電子卡或磁卡，并能雙向控制；第49條 對安全區(qū)域的訪問必須進行記錄和控制，以確保只有經(jīng)過授權(quán)的人員才可以訪問。對機房的訪問管理參見機房管理規(guī)定，其它區(qū)域可參照執(zhí)行。第50條 機房建設(shè)應(yīng)符合GB 9361中C類安全機房的要求；第51條 危險或易燃材料應(yīng)在離安全區(qū)域安全距離以外的地方存放。大批供應(yīng)品（例如文具等）不應(yīng)存放于特殊安全區(qū)域內(nèi)；第52條 應(yīng)當(dāng)控制外來人員對公共辦公區(qū)域的訪問，一般來說，非本公司人員必須要在主要出入口處填寫來訪人員登記表，并且在顯眼處佩戴本公司發(fā)出的來賓卡，由Sinosoft員工陪同。外來人員訪問三級含三級以上

23、區(qū)域需簽署參觀保密協(xié)議；第53條 本公司工作人員都必須在顯眼處佩帶胸卡，并且調(diào)離本公司時，其實際進入權(quán)也同時相應(yīng)取消；第54條 任何人如需要申請使用本公司感應(yīng)卡門禁，申請人必須先填寫門禁權(quán)限申請表并獲得管理部或其授權(quán)代表的批準(zhǔn)；第55條 管理部應(yīng)定期(每三個月)審查訪問本公司的人員名單并將進出權(quán)限過期或作廢的人員從名單上劃掉。同時審查門禁系統(tǒng)控制權(quán)限分配，確保門禁權(quán)限控制正確。第56條 關(guān)鍵和敏感設(shè)施應(yīng)當(dāng)存放在與公共辦公區(qū)域相對隔離的場地，并應(yīng)設(shè)計且實施保護，禁止在公共辦公區(qū)域處理重要的信息設(shè)施；第57條 危險或易燃物品應(yīng)當(dāng)擺放在離安全區(qū)域安全距離之外，機房操作員應(yīng)當(dāng)參見機房管理規(guī)定中的要求執(zhí)

24、行值班任務(wù)。第58條 恢復(fù)設(shè)備和備份介質(zhì)的存放地點應(yīng)與主場地有一段安全的距離，要考慮信息設(shè)備面臨的可能的安全威脅，參考業(yè)務(wù)持續(xù)性管理程序的內(nèi)容制定對應(yīng)的業(yè)務(wù)連續(xù)性計劃，并要定期演練。第59條 人員離開安全區(qū)域時應(yīng)當(dāng)及時上鎖。第60條 除非經(jīng)過安全責(zé)任人授權(quán)，在安全區(qū)域不允許使用圖象、視頻、音頻或其它記錄設(shè)備。第61條 向本公司發(fā)送貨物必須預(yù)先通知管理部或其授權(quán)代表；第62條 送貨公司名稱和交貨時間應(yīng)當(dāng)在接收貨物之前由監(jiān)督人員確認(rèn)；第63條 送貨公司在進入本公司區(qū)域之前要經(jīng)過工作人員鑒別確認(rèn)；第64條 管理部或其授權(quán)代表應(yīng)安排人員檢驗貨物，以保證沒有潛在的危害。7.2. 設(shè)備安全目標(biāo)：防止資產(chǎn)的

25、丟失、損壞或被盜，以及對組織業(yè)務(wù)活動的干擾。第65條 設(shè)備應(yīng)進行適當(dāng)安置，以盡量減少不必要的對工作區(qū)域的訪 問；第66條 應(yīng)把處理敏感數(shù)據(jù)的信息處理設(shè)施放在適當(dāng)?shù)南拗朴^測的位置，以減少在其使用期間信息被窺視的風(fēng)險，還應(yīng)保護儲存設(shè)施以防止未授權(quán)訪問；第67條 要求專門保護的部件要予以隔離，以降低所要求的總體保護等級；第68條 應(yīng)采取控制措施以減小潛在的物理威脅的風(fēng)險，例如偷竊、火災(zāi)、爆炸、煙霧、水（或供水故障）、塵埃、振動、化學(xué)影響、電源干擾、通信干擾、電磁輻射和故意破壞；第69條 在信息處理設(shè)施附近禁止進食、喝飲料和抽煙；第70條 對于可能對信息處理設(shè)施運行狀態(tài)產(chǎn)生負(fù)面影響的環(huán)境條件（例如溫度

26、和濕度）要予以監(jiān)視；第71條 所有建筑物都應(yīng)采用避雷保護，所有進入的電源和通信線路都應(yīng)裝配雷電保護過濾器；第72條 應(yīng)保護處理敏感信息的設(shè)備，以減少信息泄露的風(fēng)險；極其重要設(shè)備應(yīng)部署在不同位置。第73條 計算機機房必須提供環(huán)境保障，機房建設(shè)必須遵照相關(guān)的機房建設(shè)規(guī)范進行。如中華人民共和國國家標(biāo)準(zhǔn)GB 50174電子計算機機房設(shè)計規(guī)范，必須提供：Ø 穩(wěn)定的電源供給Ø 可靠的空氣質(zhì)量控制（溫度，濕度，污染度）Ø 防火，防水，防高溫，防雷第74條 應(yīng)盡量減少對機房不必要的訪問，在機房內(nèi)工作必須遵守機房管理規(guī)定。第75條 Sinosoft各計算機機房是重要的信息處理場所，

27、必須嚴(yán)格執(zhí)行Sinosoft有關(guān)安全保密制度和規(guī)定，并防止重要信息的泄露，保證業(yè)務(wù)數(shù)據(jù)、信息、資料的準(zhǔn)確、安全可靠。第76條 計算機機房應(yīng)列為單位重點防火部位，按照規(guī)定配備足夠數(shù)量的消防器材，并定期檢查更換。機房工作人員要熟悉機房消防用品的存放位置及使用方法，必須掌握防火設(shè)施的使用方法和步驟；要熟悉設(shè)備電源和照明用電以及其它電氣設(shè)備總開關(guān)位置，掌握切斷電源的方法和步驟。在遇到突發(fā)緊急情況時，必須以保護人身安全為首要目標(biāo)。第77條 定期對機房供電線路及照明器具進行檢查，防止因線路老化短路造成火災(zāi)。第78條 應(yīng)當(dāng)按照設(shè)備維護要求的時間間隔和規(guī)范，對設(shè)備進行維護。第79條 第三方支持和維護人員對重要

28、設(shè)備技術(shù)支持前，必須經(jīng)過安全責(zé)任人的授權(quán)或?qū)徟?。并且在對重要設(shè)備現(xiàn)場實施過程中必須有Sinosoft相關(guān)人員全程陪同，詳細(xì)規(guī)定參見參觀保密協(xié)議、物理訪問控制管理規(guī)定。第80條 設(shè)備的安全與重用應(yīng)當(dāng)按規(guī)定的操作程序來處理，特別是包含重要信息的存儲設(shè)備，應(yīng)按照相關(guān)規(guī)定，以確定是否銷毀、修理或棄用該設(shè)備。對棄置的存儲有敏感信息的存儲設(shè)備，必須將其銷毀，或重寫數(shù)據(jù)，而不能只是使用標(biāo)準(zhǔn)的刪除功能進行數(shù)據(jù)刪除。第81條 當(dāng)員工離開時，對于載有重要信息的紙張和可移動的存儲介質(zhì)，應(yīng)當(dāng)妥善保管。第82條 遠(yuǎn)程辦公人員有責(zé)任保護移動設(shè)備的安全，未經(jīng)網(wǎng)管中心批準(zhǔn)，不得在公共場所訪問Sinosoft內(nèi)部網(wǎng)絡(luò)。第83條

29、 未經(jīng)信息安全責(zé)任人授權(quán)，不允許將載有重要信息的設(shè)備、信息或軟件帶離工作場所。機房內(nèi)設(shè)備的出入必須填寫機房進出記錄。第84條 敷設(shè)到本公司內(nèi)各個區(qū)域的其它電纜線的保護方式如下：1、進入信息處理設(shè)施的電源和通信線路宜在地下，若可能，或 提供足夠的可替換的保護；2、網(wǎng)絡(luò)布纜要免受未授權(quán)竊聽或損壞，例如，利用電纜管道或使路由避開公眾區(qū)域；3、為了防止干擾，電源電纜要與通信電纜分開；4、使用清晰的可識別的電纜和設(shè)備記號，以使處理失誤最小化，例如，錯誤網(wǎng)絡(luò)電纜的意外配線；5、使用文件化配線列表減少失誤的可能性；6、對于敏感的或關(guān)鍵的系統(tǒng)，更進一步的控制考慮應(yīng)包括：1) 在檢查點和終接點處安裝鎧裝電纜管道

30、和上鎖的房間或盒子；2) 使用可替換的路由選擇和/或傳輸介質(zhì)，以提供適當(dāng)?shù)陌踩胧?) 使用纖維光纜；4) 使用電磁防輻射裝置保護電纜；5) 對于電纜連接的未授權(quán)裝置要主動實施技術(shù)清除、物理檢查；6) 控制對配線盤和電纜室的訪問；第85條 設(shè)備維護應(yīng)按照供應(yīng)商推薦的服務(wù)時間間隔和規(guī)范對設(shè)備進行維護，應(yīng)遵守由保險策略所施加的所有要求；第86條 由供貨商維護的設(shè)備。各種維護活動要按照合同協(xié)議或設(shè)備購買時的維護計劃進行。第87條 設(shè)備管理責(zé)任部門和責(zé)任人要每年年初制訂設(shè)備維護計劃，設(shè)備維護計劃中列明設(shè)備維護的內(nèi)容、維護時間與周期、維護人員、維護費用等內(nèi)容。第88條 設(shè)備維護可分為日常維護（一級維護

31、）、年度維護（二級維護）。日常維護由設(shè)備使用者在日常使用時進行，維護項目限于查看設(shè)備外觀有無明顯損壞、是否正常工作、是否通電正常等內(nèi)；年度維護一般由供應(yīng)商進行，在專業(yè)性上要求比日常維護都要強，包括一年一次或幾年一次不等，年度維護側(cè)重于設(shè)備潛在故障的及早發(fā)現(xiàn)和處理，年度維護后，要將維護項目、維護過程、維護人員、維護結(jié)果等內(nèi)容詳細(xì)記錄在設(shè)備維護記錄中。第89條 只有已授權(quán)的維護人員才可對設(shè)備進行修理和服務(wù)，授權(quán)人員包括本公司內(nèi)部人員，也包括供應(yīng)商。無論內(nèi)部人員還是外部人員，都必須具備相應(yīng)的能力，并遵守安裝維護操作步驟和安全保護規(guī)則。第90條 在對設(shè)備進行維護時，要根據(jù)不同的維護內(nèi)容及可能產(chǎn)生的風(fēng)險

32、，考慮是由內(nèi)部人員執(zhí)行還是由外部人員執(zhí)行，在外部人員對設(shè)備進行維護時，應(yīng)實施適當(dāng)?shù)目刂?，需要時，敏感信息需要從設(shè)備中刪除或確保維護人員對其不具有訪問權(quán)限。第91條 對于由內(nèi)部人員維護的設(shè)備，要依據(jù)設(shè)備供應(yīng)商推薦的間隔和規(guī)范對設(shè)備進行維護。第92條 在設(shè)備維護過程中，要保存所有可疑的或?qū)嶋H的故障和所有預(yù)防、糾正維護的記錄，這些記錄包括日志、故障報告記錄等。第93條 本公司原則上禁止設(shè)備移出本公司物理環(huán)境。如確因工作需要，如展會、維修等，需將本公司的服務(wù)器、交換機、路由器等信息設(shè)備移到本公司辦公地點外使用，需要填寫重要信息資產(chǎn)出司登記審批表，經(jīng)過責(zé)任部門經(jīng)理的批準(zhǔn)后才能移出本公司物理環(huán)境。第94條

33、 如需要供應(yīng)商將設(shè)備移出本公司物理環(huán)境進行維修時，在設(shè)備移出前，設(shè)備管理人員要將設(shè)備中敏感信息從設(shè)備中刪除或確保維護人員對其不可訪問或獲取。第95條 離開建筑物的信息設(shè)備和移動介質(zhì)在公共場所要有專人看護和保管，不允許無人值守，適當(dāng)時，還要施加其它措施進行控制，例如上鎖，以防止損壞、盜竊等事件發(fā)生。第96條 離開辦公場所的設(shè)備的保護應(yīng)考慮下列措施：1、離開建筑物的設(shè)備和介質(zhì)在公共場所不應(yīng)無人看管。在旅行時便攜式計算機要作為手提行李攜帶，若可能宜偽裝起來；2、制造商的設(shè)備保護說明要始終加以遵守，例如，防止暴露于強電磁場內(nèi)；3、家庭工作的控制措施應(yīng)根據(jù)風(fēng)險評估確定，當(dāng)適合時，要施加合適的控制措施，例

34、如，可上鎖的存檔柜、清理桌面策略、對計算機的訪問控制以及與辦公室的安全通信；4、足夠的安全保障掩蔽物宜到位，以保護離開辦公場所的設(shè)備。安全風(fēng)險在不同場所可能有顯著不同，例如，損壞、盜竊和截取，要考慮確定最合適的控制措施。其它信息用于家庭工作或從正常工作地點運走的信息存儲和處理設(shè)備包括所有形式的個人計算機、管理設(shè)備、移動電話、智能卡、紙張及其他形式的設(shè)備。第97條 設(shè)備報廢處置時，存有敏感信息的存儲設(shè)備要從物理上加以銷毀，或用安全方式對信息加以覆蓋，而不能采用常用的標(biāo)準(zhǔn)刪除功能來刪除。第98條 所有帶有諸如硬盤等儲存媒介的設(shè)備在報廢前都要對其檢查，以確保其內(nèi)存儲的敏感信息和授權(quán)專用軟件已被清除或

35、覆蓋。存有敏感數(shù)據(jù)的已損壞的存儲設(shè)備要對其進行風(fēng)險評估，以決定是否對其銷毀、修理或遺棄。第99條 為保證信息安全，必須在處理介質(zhì)前擦除有關(guān)的敏感信息：1、用碎紙機銷毀所有的敏感紙質(zhì)記錄。廢紙可在碎紙后立即處置掉。 2、本公司里面不應(yīng)積累過量紙質(zhì)記錄。所有的紙質(zhì)記錄都必須在處置前銷毀。3、磁帶和磁盤必須在處置前實際銷毀和核對。4、數(shù)據(jù)存儲光盤應(yīng)在處置前實際銷毀。第100條 凡敏感性介質(zhì)的處置都必須經(jīng)過主管領(lǐng)導(dǎo)的批準(zhǔn)并記錄在報廢記錄表留待審計時備查。第101條 設(shè)備的移動應(yīng)考慮如下措施：1、在未經(jīng)事先授權(quán)的情況下，不應(yīng)讓設(shè)備、信息或軟件離開辦公場所；2、明確識別有權(quán)允許信息資產(chǎn)移動，離開辦公場所的

36、雇員、承包方人員和第三方人員；3、應(yīng)設(shè)置設(shè)備移動的時間限制，并在返還時執(zhí)行符合性檢查；若需要并合適，要對設(shè)備作出移出記錄，當(dāng)返回時，要作出送回記錄。第102條 應(yīng)執(zhí)行檢測未授權(quán)信息資產(chǎn)移動的抽查，以檢測未授權(quán)的記錄裝置、武器等等，防止他們進入辦公場所。這樣的抽查應(yīng)按照相關(guān)規(guī)章制度執(zhí)行。應(yīng)讓每個人都知道將進行抽查，并且只能在法律法規(guī)要求的適當(dāng)授權(quán)下執(zhí)行檢查。8. Sinosoft通信和操作管理8.1. 操作程序和責(zé)任目標(biāo)：確保信息處理設(shè)施的正確和安全操作 第103條 與信息處理和通信設(shè)施相關(guān)的系統(tǒng)活動應(yīng)具備形成文件的程序，例如計算機啟動和關(guān)機程序、備份、設(shè)備維護、介質(zhì)處理、計算機機房、郵件處置管

37、理和物理安全等。操作流程必須形成文件、保持并對所有需要的用戶可用，并只有經(jīng)授權(quán)才可以修改。第104條 操作程序應(yīng)詳細(xì)規(guī)定執(zhí)行每項工作的說明，其內(nèi)容包括：1、信息處理和處置；2、備份；3、時間安排要求，包括與其他系統(tǒng)的相互關(guān)系、最早工作開始時間和最后工作完成期限；4、對在工作執(zhí)行期間可能出現(xiàn)的處理差錯或其它異常情況的指導(dǎo)，包括對使用系統(tǒng)實用工具的限制；5、出現(xiàn)不期望操作或技術(shù)困難事件時的支持性聯(lián)絡(luò)；6、特定輸出及介質(zhì)處理的指導(dǎo)，包括任務(wù)失敗時輸出的安全處置程序；7、系統(tǒng)失效時使用的系統(tǒng)重啟和恢復(fù)程序；8、審核跟蹤和系統(tǒng)日志信息的管理。第105條 要將操作程序和系統(tǒng)活動文件化，其變更由管理者授權(quán)。

38、技術(shù)上可行時，信息系統(tǒng)應(yīng)使用相同的程序、工具和實用程序進行一致的管理。1、操作系統(tǒng)和應(yīng)用軟件應(yīng)有嚴(yán)格的變更管理控制。應(yīng)考慮如下內(nèi)容；2、重大變更的標(biāo)識和記錄；3、變更的策劃和測試；4、對這種變更的潛在影響的評估，包括安全影響；5、對建議變更的正式批準(zhǔn)程序；6、向所有有關(guān)人員傳達變更細(xì)節(jié)；7、返回程序，包括從不成功變更和未預(yù)料事件中退出和恢復(fù)的程序與職責(zé)。第106條 本公司確保對信息處理設(shè)施和系統(tǒng)的變更有適當(dāng)控制，包括：1、變更前測試；2、所有變更相關(guān)信息的審計日志記錄都必須保留最少一年。第107條 具體變更管理控制參見變更控制程序。第108條 批準(zhǔn)變更請求后，行政管理部會安排其操作人員準(zhǔn)備實施

39、變更。操作人員會在變更請求獲得批準(zhǔn)后約定的時間內(nèi)實施變更，并確保不會對現(xiàn)有的平臺造成意外的服務(wù)影響。第109條 行政管理部負(fù)責(zé)參與評審重大變更需求評審，確保變更不會造成安全影響。第110條 處理敏感信息資產(chǎn)時，可以考慮分離職責(zé)，如果不實施分離，則應(yīng)當(dāng)對處理操作予以記錄，并定期進行監(jiān)督。第111條 應(yīng)當(dāng)分離開發(fā)、測試與運營環(huán)境，敏感數(shù)據(jù)不可拷貝到測試環(huán)境中，測試完成后應(yīng)當(dāng)及時清理測試環(huán)境。第112條 如果因工作原因需要進行上述活動，應(yīng)遵守以下做法：1、網(wǎng)管中心聯(lián)同開發(fā)方、運行方和需求方討論潛在的安全風(fēng)險并設(shè)計防范程序；2、開發(fā)測試人員全權(quán)負(fù)責(zé)開發(fā)測試系統(tǒng)的管理，運行人員未經(jīng)授權(quán)不得參與開發(fā)測試系

40、統(tǒng)的有關(guān)工作； 3、運行人員全權(quán)負(fù)責(zé)生產(chǎn)系統(tǒng)的管理，開發(fā)測試人員未經(jīng)授權(quán)不得參與生產(chǎn)系統(tǒng)的有關(guān)工作；4、運行人員要密切監(jiān)督生產(chǎn)系統(tǒng)，以保證開發(fā)、測試工作不會造成服務(wù)影響或安全事故；5、開發(fā)測試系統(tǒng)應(yīng)當(dāng)與生產(chǎn)系統(tǒng)分開，并清楚地標(biāo)記測試周期和有關(guān)開發(fā)測試技術(shù)支持的聯(lián)系方式；6、對于需要在生產(chǎn)環(huán)境下進行的開發(fā)測試工作，需要經(jīng)過授權(quán)才能進行，并且在測試完成后，需要立即從生產(chǎn)環(huán)境卸載；7、如果開發(fā)人員需要訪問生產(chǎn)與運行設(shè)施，應(yīng)當(dāng)向本公司相關(guān)人員申請；8、開發(fā)完成的應(yīng)用項目在投入使用前，應(yīng)當(dāng)提交一份上線申請。 在系統(tǒng)進入生產(chǎn)環(huán)境前，確認(rèn)以下操作：1) 卸載與運行無關(guān)的開發(fā)、測試相關(guān)的工具、文件與數(shù)據(jù)等；2

41、) 修改默認(rèn)用戶名/密碼。 8.2. 第三方服務(wù)交付管理目標(biāo)：實施并保持信息安全的適當(dāng)水平，確保第三方交付的服務(wù)符合協(xié)議要求。第113條 應(yīng)定期對第三方的服務(wù)及相關(guān)的報告、記錄、交付件進行審查，審查方式包括本公司的內(nèi)部審計，或聘請外面獨立審計機構(gòu)進行的審計。第114條 本公司對第三方服務(wù)的監(jiān)督和評審應(yīng)按照商定的信息安全條款執(zhí)行，使信息安全事故和問題得到適當(dāng)?shù)墓芾?。監(jiān)督和評審應(yīng)涉及到如下內(nèi)容：1、監(jiān)督服務(wù)執(zhí)行效率并檢查對協(xié)議的符合程度；2、評審由第三方產(chǎn)生的服務(wù)報告、記錄、交付件，定期安排項目進展會議；3、第三方應(yīng)提供如下信息內(nèi)容供本公司評估：服務(wù)過程中所應(yīng)用到的軟硬件產(chǎn)品、所使用的協(xié)議、系統(tǒng)部

42、署及使用指南、知識產(chǎn)權(quán)、安全使用許可銷售證明等；4、對第三方在交付服務(wù)過程中所進行的審核跟蹤流程，及相關(guān)的安全事件、操作問題、故障、失誤追蹤和破壞的記錄等進行評審；5、對服務(wù)交付過程中出現(xiàn)的所有問題進行識別和管理。第115條 應(yīng)對第三方服務(wù)的有關(guān)變更進行管理，變更包括本公司及第三方對現(xiàn)有的信息安全方針策略、程序和控制措施的任何改進。要考慮變更所涉及到的業(yè)務(wù)系統(tǒng)及相關(guān)過程的關(guān)鍵程度，并對有關(guān)風(fēng)險進行再評估。第116條 對第三方服務(wù)變更的管理過程需要考慮：1、 本公司實施的變更：1) 對提供的現(xiàn)有服務(wù)的加強；2) 任何新應(yīng)用和系統(tǒng)的開發(fā)；3) 組織策略和程序的更改或更新；4) 解決信息安全事故和改

43、進安全的新的控制措施。2、 第三方實施的變更：1) 對網(wǎng)絡(luò)的變更和加強；2) 新技術(shù)的使用；3) 新產(chǎn)品或新版本的采用；4) 新的開發(fā)工具和環(huán)境的應(yīng)用；5) 服務(wù)設(shè)施物理位置的變更；6) 相關(guān)產(chǎn)品及服務(wù)提供商的變更。8.3. 系統(tǒng)策劃與驗收目標(biāo)：最小化系統(tǒng)失效的風(fēng)險第117條 應(yīng)對系統(tǒng)容量進行監(jiān)控，并對未來容量要求進行預(yù)測，確保充足的處理和存儲能力。這些預(yù)測要考慮新業(yè)務(wù)和系統(tǒng)的要求，及本公司信息處理的當(dāng)前狀況和未來趨勢。第118條 負(fù)責(zé)人員應(yīng)當(dāng)對主要系統(tǒng)資源的使用情況進行監(jiān)視，包括處理器、內(nèi)存、文件儲存、打印機和其它輸出設(shè)備及通訊系統(tǒng)。第119條 網(wǎng)管中心應(yīng)當(dāng)運用這些信息來識別并避免可能對系統(tǒng)

44、安全或服務(wù)提供構(gòu)成隱患的潛在瓶頸，并事先進行適當(dāng)?shù)难a救行動規(guī)劃。第120條 操作員應(yīng)按需監(jiān)督檢查主機、帶寬和業(yè)務(wù)的運行情況。如：1、CPU使用率； 2、內(nèi)存使用； 3、 I/O 使用； 4、 企圖非法進入系統(tǒng)的服務(wù)器。 5、 同時應(yīng)監(jiān)控主路由器和交換機的以下方面： 6、 MRTG流量特征；7、 設(shè)備日志； 8、 網(wǎng)絡(luò)設(shè)備的CPU使用率。 第121條 網(wǎng)管中心清楚說明新信息系統(tǒng)、系統(tǒng)升級和新版本的安全驗收要求和標(biāo)準(zhǔn)，要保證所采用的升級、補丁、熱修補和新的版本不會影響正常的操作過程。網(wǎng)管中心要監(jiān)督責(zé)任部門對任何新的信息系統(tǒng)都要進行測試，并遵照已定的標(biāo)準(zhǔn)進行系統(tǒng)驗收。1、 以下是本公司內(nèi)的系統(tǒng)驗收標(biāo)

45、準(zhǔn)。 1) 在新系統(tǒng)實施之前，要收集CPU和存儲空間使用量等性能統(tǒng)計。要保證性能不會突然下降，否則需要啟動恢復(fù)或應(yīng)急計劃。 2) 要對所有相關(guān)的日常操作程序進行驗收，以保證在切換新系統(tǒng)后，能正確地恢復(fù)正常的操作。 3) 在應(yīng)用任何新系統(tǒng)前都需要進行安全檢查。檢查內(nèi)容包括操作系統(tǒng)版本、補丁等級、任何缺失的安全熱修補等等。對關(guān)鍵系統(tǒng)要對網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)進行加固。4) 采取必要措施，以確保變更可能造成的系統(tǒng)停機不會影響業(yè)務(wù)的持續(xù)性。 5) 確保所有的系統(tǒng)變更都盡可能安排在非工作時段內(nèi)，以減輕對業(yè)務(wù)的影響。 6) 確保系統(tǒng)變更后不會減弱本公司的整體安全性。 7) 安排必要的測試以證實符合系統(tǒng)驗收標(biāo)準(zhǔn)

46、。 8) 應(yīng)用新系統(tǒng)時需對操作員進行相關(guān)培訓(xùn)。 2、 要特別注意以下方面：1) 邊界路由器/交換機：2) 通過網(wǎng)絡(luò)監(jiān)測檢查網(wǎng)絡(luò)應(yīng)用是否有突然變化。 3) 檢查CPU和存儲器是否有劇烈變化。4) 確認(rèn)防火墻的策略得到理想的執(zhí)行。 5) 確保所有內(nèi)外聯(lián)通性良好。 6) 確保通過防火墻的應(yīng)用程序如HTTP和FTP等都運行良好。3、 驗收程序：新系統(tǒng)進入生產(chǎn)環(huán)境前，需要提交操作變更請求。新系統(tǒng)的使用者和交付者需要商討有關(guān)操作文件事宜，內(nèi)容包括：1) 系統(tǒng)功能和容量的測試步驟。 2) 恢復(fù)和重啟步驟。 3) 操作要求，包括數(shù)據(jù)備份、計劃重啟和工作環(huán)境整理要求。4) 具體的安全控制要求（如果有）。 5)

47、維護備份安排以及廠商技術(shù)支持聯(lián)系。 第122條 網(wǎng)管中心應(yīng)確認(rèn)操作人員在新系統(tǒng)上使用了商定的操作程序。8.4. 防范惡意和移動代碼目標(biāo)：保護軟件和信息的完整性。第123條 所有服務(wù)器和個人計算機都必須激活防病毒軟件，必須及時更新防病毒代碼庫。詳細(xì)規(guī)定參見惡意軟件控制程序。第124條 Sinosoft系統(tǒng)內(nèi)的服務(wù)器和個人計算機必須使用可信來源的軟件，應(yīng)對軟件進行病毒檢測后統(tǒng)一保存。第125條 員工應(yīng)當(dāng)?shù)骄W(wǎng)管中心指定的空間下載軟件，不得私自安裝軟件。第126條 必須對所有的電子郵件附件進行病毒掃描，也不要隨意打開來歷不明的郵件附件。第127條 應(yīng)當(dāng)開展對一般員工的預(yù)防病毒培訓(xùn)。員工一旦發(fā)現(xiàn)或懷疑有

48、PC或服務(wù)器被病毒感染,必須馬上斷開網(wǎng)絡(luò)并進行全盤掃描，必須立即通知網(wǎng)管中心。第128條 控制移動代碼：移動代碼是從一臺計算機到另一臺計算機之間傳送的軟件代碼，可以在很少或無需用戶干預(yù)的情況下自動執(zhí)行以完成特殊的功能。移動代碼和很多的中間件服務(wù)相關(guān)聯(lián)。當(dāng)授權(quán)使用移動代碼時，其配置應(yīng)確保授權(quán)的移動代碼按照清晰定義的安全策略運行，應(yīng)阻止執(zhí)行未授權(quán)的移動代碼。應(yīng)考慮下列措施以防止移動代碼執(zhí)行未授權(quán)的活動：(一) 在邏輯上隔離的環(huán)境中執(zhí)行移動代碼；(二) 阻止移動代碼的所有使用；(三) 阻止移動代碼的接收；(四) 使技術(shù)測量措施在一個特定系統(tǒng)中可用，以確保管理移動代碼；(五) 控制移動代碼訪問的可用資

49、源；(六) 使用密碼控制，以唯一地對移動代碼進行認(rèn)證。8.5. 備份目標(biāo)：保持信息和信息處理設(shè)施的完整性和可用性。第129條 信息備份按照數(shù)據(jù)備份管理規(guī)定實施。第130條 管理員應(yīng)當(dāng)對重要的應(yīng)用系統(tǒng)、操作系統(tǒng)、配置文件及日志等制訂備份策略，并要定期對備份數(shù)據(jù)進行測試。如果是涉密信息，必須對備份信息實施加密。第131條 所有員工要定期對個人電腦上的重要數(shù)據(jù)進行備份，以減少不必要的損失。第132條 備份應(yīng)當(dāng)存儲在與主設(shè)備有足夠距離的地點，該地點應(yīng)安全可靠，應(yīng)同主設(shè)備場地使用同等的安全等級。第133條 備份數(shù)據(jù)的恢復(fù)能力應(yīng)滿足本公司的業(yè)務(wù)持續(xù)計劃(BCP)。8.6. 網(wǎng)絡(luò)安全管理目標(biāo)：確保網(wǎng)絡(luò)中的信

50、息和支持性基礎(chǔ)設(shè)施得到保護。第134條 應(yīng)當(dāng)對重要的線路、網(wǎng)絡(luò)設(shè)備采用冗余措施，以維持關(guān)鍵服務(wù)的可用性。第135條 網(wǎng)絡(luò)管理員應(yīng)當(dāng)參照網(wǎng)絡(luò)安全管理規(guī)定對網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)進行充分的管理和控制，并采用網(wǎng)管工具對通訊線路、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)流量進行實時的監(jiān)控和預(yù)警。第136條 處理敏感信息的計算機應(yīng)當(dāng)與Sinosoft局域網(wǎng)物理隔離，應(yīng)當(dāng)采用適當(dāng)?shù)募用芗夹g(shù)。第137條 密碼必須間隔一定的周期定期修改。如果某個密碼被泄露，必須及時修改口令。本公司要定期全面更換密碼。第138條 凡允許遠(yuǎn)程登錄連接的網(wǎng)絡(luò)設(shè)備都要實施嚴(yán)格的登錄控制。這種遠(yuǎn)程連接路徑的登錄與退出都必須經(jīng)過遠(yuǎn)程登入本公司的網(wǎng)關(guān)的許可。否則在不允許使

51、用遠(yuǎn)程登入連接的情況下只能從控制臺登入。第139條 生產(chǎn)環(huán)境中的所有網(wǎng)絡(luò)設(shè)備上的默認(rèn)用戶名和密碼必須盡可能地全部清除。所有新創(chuàng)建的用戶名和密碼必須以不易被破解的方式設(shè)置。第140條 出于安全原因一般不允許合同方或第三方遠(yuǎn)程登錄，如確實需要遠(yuǎn)程登錄時，必須先得到網(wǎng)管中心的批準(zhǔn)。每次登錄都要進行系統(tǒng)登錄驗證。第141條 本公司內(nèi)部網(wǎng)絡(luò)中所有網(wǎng)絡(luò)設(shè)備和服務(wù)器都要隔離在外部網(wǎng)絡(luò)防火墻后面。第142條 網(wǎng)管中心監(jiān)測網(wǎng)絡(luò)設(shè)備，監(jiān)控網(wǎng)絡(luò)的可用性。第143條 以下設(shè)計方法保證網(wǎng)絡(luò)服務(wù)安全性：1、所有允許互聯(lián)網(wǎng)用戶訪問的內(nèi)部系統(tǒng)，必須置于防火墻后；2、非本公司管理網(wǎng)絡(luò)，如需要對本公司網(wǎng)絡(luò)或系統(tǒng)進行訪問，必須經(jīng)過

52、網(wǎng)管中心審核、網(wǎng)管中心同意才可訪問；3、使用VLAN按照功能分開不同內(nèi)部系統(tǒng)，需要時候使用ACL；4、防火墻策略默認(rèn)為禁止；5、網(wǎng)絡(luò)設(shè)備及主機中的網(wǎng)管關(guān)鍵字要取消“Public”、“Private”的默認(rèn)設(shè)置，網(wǎng)管關(guān)鍵字的字符長度應(yīng)當(dāng)在8位以上。8.7. 介質(zhì)處理目標(biāo)：防止對資產(chǎn)的未授權(quán)泄露、修改、移動或損壞，及對業(yè)務(wù)活動的的干擾。第144條 應(yīng)當(dāng)妥善記錄移動介質(zhì)。不得將載有Sinosoft重要信息的存儲介質(zhì)隨意存放，未經(jīng)安全責(zé)任人授權(quán)，不得帶出辦公地點。第145條 如果介質(zhì)上的內(nèi)容不再需要，應(yīng)當(dāng)立即清除。對于備份或存放有重要信息或軟件的存儲介質(zhì)，在銷毀時，應(yīng)當(dāng)進行格式化或重寫數(shù)據(jù)，避免不必要

53、的泄露。第146條 存放業(yè)務(wù)應(yīng)用系統(tǒng)及重要信息的介質(zhì)，嚴(yán)禁外借，確因工作需要，須報請部門領(lǐng)導(dǎo)批準(zhǔn)。第147條 對需要長期保存的介質(zhì)，必須在介質(zhì)老化前進行轉(zhuǎn)儲，以防止因介質(zhì)失效造成損失。第148條 應(yīng)限制只有系統(tǒng)管理員才可訪問系統(tǒng)文檔。應(yīng)對Sinosoft的所有信息數(shù)據(jù)分類標(biāo)識，建立信息處置、存儲、分發(fā)的規(guī)程。第149條 本公司的可移動介質(zhì)必須按照以下規(guī)定嚴(yán)格處理：1、符合“信息資產(chǎn)管理”策略的要求；2、適當(dāng)分類、貼標(biāo)貼并保持可移動介質(zhì)的保存位置的準(zhǔn)確記錄；3、嚴(yán)格控制在辦公環(huán)境和生產(chǎn)環(huán)境中使用可移動介質(zhì)，具體辦法請參見介質(zhì)管理程序。第150條 為保證信息安全，本公司必須在處理介質(zhì)前擦除有關(guān)的敏

54、感信息，包括如下：1、用碎紙機銷毀所有的敏感紙質(zhì)記錄。廢紙可在碎紙后立即處置掉；2、本公司里面不得積累過量紙質(zhì)記錄。所有的紙質(zhì)記錄都必須在處置前銷毀；3、磁帶、磁盤和光學(xué)貯存介質(zhì)必須在處置前進行物理銷毀，并由專人進行監(jiān)督和核對。第151條 凡敏感性介質(zhì)的處置都必須經(jīng)過管理者的批準(zhǔn)，并記錄在“報廢記錄表”留待審計時備查。具體辦法請參見介質(zhì)管理程序。8.8. 信息交換目標(biāo)：應(yīng)保持組織內(nèi)部或組織與外部組織之間交換信息和軟件的安全。第152條 其它組織和本公司之間交換信息時要遵照信息交換管理規(guī)定執(zhí)行。應(yīng)考慮如下控制：1、 設(shè)計用來防止交換信息遭受截取、復(fù)制、修改、錯誤尋址和破壞的程序；2、 檢測和防止可能通過使用電子通信傳輸?shù)膼阂獯a的程序；3、 保護以附件形式傳輸?shù)拿舾须娮有畔⒌某绦颍?、 簡述電子通信設(shè)施可接受使用的策略或指南；5、 無線通信使用的程序，要考慮所涉及的特定風(fēng)險；6、 雇員、承包方人員和所有第三方人員不危害組織的職責(zé)，例如誹謗、擾亂、扮演、連鎖信寄送、未授權(quán)購買等；7、 密碼技術(shù)的使用，例如保護信息的保密性、完整性和真實性；8、 所有業(yè)務(wù)通信（包括消息）