符合性實(shí)施制度

符合性實(shí)施制度文件編號(hào)：.目的和范圍本策略規(guī)定如何避免違反刑法、民法、法令、法規(guī)或合同義務(wù)以及信息系統(tǒng)設(shè)計(jì)、運(yùn)行、使用和管理的安全需求。本制度適用于信息安全管理體系要求的法律法規(guī)和其他要求的收集、評(píng)價(jià)、確定等活動(dòng)的控制。.引用文件1）下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。GB/T22080-2016/IS0/IEC27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系要求GB/T22081-2016/ISO/IEC27002:2013信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則4）《軟件管理規(guī)定》3,職責(zé)和權(quán)限1）行政部：負(fù)責(zé)組織有關(guān)信息安全管理體系的法律法規(guī)和其他要求的收集、更新、審核、評(píng)價(jià)，并提出專項(xiàng)建議使公司的日常運(yùn)營(yíng)滿足法律法規(guī)的要求。2）各部門：協(xié)助做好與本部門業(yè)務(wù)有關(guān)的相應(yīng)法律法規(guī)和其它要求的收集、更新和合規(guī)性評(píng)價(jià)工作。4.符合法律要求1）確定使用法律識(shí)別需要遵守的法律法規(guī)，并制定《適用法律法規(guī)和其它要求清單》；信息安全管理工作小組會(huì)就有關(guān)法規(guī)影響，在每年的信息安全管理體系審核里面報(bào)告中進(jìn)行說明;遵守對(duì)第三方的知識(shí)產(chǎn)權(quán)保護(hù)（如商標(biāo)、版權(quán)和圖像、文字、音頻、軟件、信息和發(fā)明等其它權(quán)利）；未經(jīng)授權(quán)，不擅自復(fù)制、使用或轉(zhuǎn)送屬于第三方的資料。知識(shí)產(chǎn)權(quán)（IPR）對(duì)第三方知識(shí)產(chǎn)權(quán)的保護(hù)包括但不限于商標(biāo)、版權(quán)、品牌以及圖像、文字、音頻、軟件、信息和發(fā)明等其它權(quán)利。對(duì)版權(quán)的保護(hù)需遵照實(shí)施如下制度：?不得通過擅自復(fù)制、使用或轉(zhuǎn)讓第三方資料獲取利益；員工應(yīng)向綜合管理部咨詢有關(guān)知識(shí)產(chǎn)權(quán)或合同義務(wù)和軟件許可證限制方面的問題。3）軟件版權(quán)員工應(yīng)遵守或授權(quán)的軟件策略，合法使用軟件、信息產(chǎn)品和保持許可證的有效性；對(duì)軟件的版權(quán)保護(hù)方面應(yīng)遵照以下制度：a）為保證軟件產(chǎn)品用戶不超過允許最大數(shù)量，應(yīng)保證按照軟件許可證規(guī)定條件安裝軟件；b）信息安全小組應(yīng)在需要時(shí)檢查公司的辦公設(shè)備，確保只用授權(quán)和注冊(cè)的軟件；c）應(yīng)保存以下信息：.許可證類型如授權(quán)公司的軟件、免費(fèi)軟件、共享軟件和評(píng)估版軟件；.購(gòu)買/獲取日期；.許可證期滿/重認(rèn)證日期；.授權(quán)許可證用戶/連接的編號(hào)；.許可安裝的編號(hào)；.其它執(zhí)照條件。應(yīng)將軟件許可文件原件、正版軟件盤和手冊(cè)放在安全位置；對(duì)獲得的服務(wù)軟件的保存條件采用下列制度：a）應(yīng)對(duì)照軟件資產(chǎn)每年的注冊(cè)，檢查每次軟件安裝的許可證條件；b）發(fā)現(xiàn)某些軟件不再需要時(shí)，應(yīng)安排卸載該軟件并在許可證到期之前處理掉；c）發(fā)現(xiàn)某些軟件仍需要時(shí)，應(yīng)在許可證到期之前發(fā)采購(gòu)單延長(zhǎng)軟件使用權(quán)的期限；d）需要時(shí)，應(yīng)發(fā)出購(gòu)買評(píng)估版軟件的采購(gòu)單。處理所使用的軟件時(shí)應(yīng)采用以下方針：a）處理掉的軟件或軟件包應(yīng)該是系統(tǒng)信息所有者批準(zhǔn)后不再需要的舊版本；b）軟件需要換版本時(shí)，可在許可證允許的前提下將舊版本連同手冊(cè)、軟件和許可協(xié)議一同轉(zhuǎn)存到其它區(qū)域；C）如果軟件不能轉(zhuǎn)到其它區(qū)域，則需將軟件從所有安裝系統(tǒng)上卸下。在卸載所有者不再需要的軟件包后，記錄表需要更新并隨后隨同材料一起轉(zhuǎn)到安全保管處。4）保護(hù)組織的記錄所有的合同文件必須做如下保管：a）正版文件存檔保存在安全區(qū)域；b）保存到文件所有者不用時(shí)為止。對(duì)重要網(wǎng)絡(luò)設(shè)備和服務(wù)器上的數(shù)據(jù)進(jìn)行備份。為防止公司的重要記錄丟失、毀壞和被篡改。這些記錄必須妥善保管，以符合法律法規(guī)要求，有利于重要的業(yè)務(wù)活動(dòng)。此類記錄包括但不限如下：a）可以作為證據(jù)證明運(yùn)作符合法律法規(guī)規(guī)定的記錄；b）可以確保能充分防范發(fā)生潛在的民事訴訟或刑事訴訟的記錄；可以向主管部門、合作方和審計(jì)人員證實(shí)財(cái)務(wù)狀況的記錄。信息保管的時(shí)間和數(shù)據(jù)內(nèi)容根據(jù)國(guó)家法律法規(guī)而定。存儲(chǔ)和處理系統(tǒng)應(yīng)該確保能夠清楚識(shí)別記錄以及法律法規(guī)規(guī)定的保管期。在保管期滿后如果不再需要記錄，則可以采用適當(dāng)?shù)姆绞接枰凿N毀。5）數(shù)據(jù)保護(hù)和個(gè)人信息的隱私謹(jǐn)慎遵守國(guó)家法律法規(guī)有關(guān)個(gè)人資料保密和隱私的規(guī)定，保護(hù)處理個(gè)人信息和數(shù)據(jù)安全。6）防止濫用信息處理設(shè)施防止任何在受到管理的信息處理實(shí)施受到濫用。7）密碼控制措施的規(guī)則遵照《訪問控制制度》執(zhí)行密碼策略。如果需要加密措施，必須從法律顧問獲取專家建議以保證需要時(shí)符合有關(guān)政府規(guī)定。為保證遵照有關(guān)規(guī)定需要采取以下控制措施：a）在獲取加密技術(shù)前，要向?qū)＜易稍儾⒃u(píng)估密碼控制措施和要求；b）使用正式授權(quán)、購(gòu)置和初始程序，保證遵照有關(guān)加密技術(shù)的法律；C）對(duì)受控加密項(xiàng)目與有關(guān)的執(zhí)法機(jī)構(gòu)（如國(guó)家商業(yè)密碼辦公室）進(jìn)行合作。5.符合安全策略和標(biāo)準(zhǔn)以及技術(shù)符合性1）符合安全策略和標(biāo)準(zhǔn)?定期進(jìn)行內(nèi)部審核，以檢查公司的策略是否符合安全標(biāo)準(zhǔn)，具體的內(nèi)審方法可參考《內(nèi)部審核管理制度》。技術(shù)符合性檢查要求獨(dú)立方定期檢查公司的工作環(huán)境，確認(rèn)整個(gè)公司的信息系統(tǒng)和網(wǎng)絡(luò)內(nèi)的信息安全控制措施是否充足以及這些措施的執(zhí)行情況。技術(shù)符合性檢查必須檢查受影響的信息處理系統(tǒng)，保證所有的軟件、硬件和過程控制措施得到適當(dāng)?shù)呐渲煤透?。行政部必須按照上述的技術(shù)符合性檢查后的報(bào)告中提出的問題進(jìn)行跟蹤。6.信息系統(tǒng)審核考慮1）信息系統(tǒng)審核控制措施任何技術(shù)符合性審核都必須經(jīng)過認(rèn)真策劃，最大程度地減少中斷工作的風(fēng)險(xiǎn)并保護(hù)公司的工作環(huán)境的數(shù)據(jù)完整性不會(huì)受到破壞。確定最適合的方法，保證技術(shù)符合性審核取得圓滿。獲取信息安全管理工作小組對(duì)既定審核方法的書面批準(zhǔn)。判定每個(gè)系統(tǒng)的訪問級(jí)別并從相關(guān)負(fù)責(zé)人獲取書面批準(zhǔn)。只獲取審核活動(dòng)范圍內(nèi)的IT硬件、軟件和系統(tǒng)的訪問權(quán)。確保技術(shù)符合性審核后刪除或處理掉系統(tǒng)審核工具和殘余數(shù)據(jù)。確保所有的系統(tǒng)審核都按照《變更管理辦法》中的說明進(jìn)行。確保系統(tǒng)審核的所有活動(dòng)按照商定的審核計(jì)劃進(jìn)行。信息系統(tǒng)審核工具的保護(hù)對(duì)于信息系統(tǒng)審核工具的訪問應(yīng)加以保護(hù)，以防止任何可能的濫用或損害。信息系統(tǒng)審核工具（如軟件和數(shù)據(jù)文件）應(yīng)與開發(fā)和運(yùn)行系統(tǒng)分開，并且不能保存在磁帶（程序）庫(kù)或用戶區(qū)域內(nèi)，除非給予合適級(jí)別的附加保護(hù)。信息系統(tǒng)審核工具的使用必須事先獲得信息安全管理工作小組的批準(zhǔn)?；顒?dòng)描述信息安全管理工作小組根據(jù)情況，對(duì)于自管服務(wù)器制定出在策略、用戶管理、權(quán)限管理、VLAN管理、漏洞掃描、滲透測(cè)試等方面的審核策略。管理人員應(yīng)確保在其職責(zé)范圍內(nèi)的所有安全程序被正確地執(zhí)行，以確保符合安全策略及標(biāo)準(zhǔn)。管理人員應(yīng)對(duì)自己職責(zé)范圍內(nèi)的信息處理是否符合合適的安全策略、標(biāo)準(zhǔn)和任何其它安全要求進(jìn)行定期評(píng)審。任何技術(shù)符合性檢查應(yīng)僅由有能力的、已授權(quán)的人員來完成，或在他們的監(jiān)督下完成。涉及對(duì)運(yùn)行系統(tǒng)檢查的審核要求和活動(dòng)，應(yīng)謹(jǐn)慎地加以規(guī)劃并取得批準(zhǔn)，以便最小化造成業(yè)務(wù)過程中斷的風(fēng)險(xiǎn)。漏洞掃描管理:a）管理員應(yīng)定期進(jìn)行漏洞掃描，客戶端和服務(wù)器可使用相關(guān)工具進(jìn)行漏洞掃描。b）根據(jù)漏洞掃描結(jié)果，管理員應(yīng)及時(shí)修補(bǔ)系統(tǒng)漏洞。滲透測(cè)試管理：a）技術(shù)符合性檢查應(yīng)由有經(jīng)驗(yàn)的系統(tǒng)工程師手動(dòng)執(zhí)行（如需要，利用合適的軟件工具支持），或者由技術(shù)專家用自動(dòng)工具來執(zhí)行，此工具可生成供后續(xù)解釋的技術(shù)報(bào)告。b）如果使用滲透測(cè)試或脆弱性評(píng)估，則應(yīng)格外小心，因?yàn)檫@些活動(dòng)可能導(dǎo)致系統(tǒng)安全的損害。這樣的測(cè)試應(yīng)預(yù)先計(jì)劃，形成文件，且重復(fù)執(zhí)行。4）審核注意事項(xiàng)：應(yīng)與合適的管理者商定審核要求；應(yīng)商定和控制檢查范圍；檢查應(yīng)限于對(duì)軟件和數(shù)據(jù)的只讀訪問；非只讀的訪問應(yīng)僅用于對(duì)系統(tǒng)文件的單獨(dú)拷貝，當(dāng)審核完成時(shí)，應(yīng)擦除這些拷貝，或者按照審核文件要求，具有保留這些文件的義務(wù)，則要給予適當(dāng)?shù)谋Ｗo(hù)；應(yīng)明確地識(shí)別和提供執(zhí)行檢查所需的資源；應(yīng)識(shí)別和商定特定的或另外的處理要求；應(yīng)監(jiān)視和記錄所有訪問，以產(chǎn)生參照蹤跡；對(duì)關(guān)鍵數(shù)據(jù)或系統(tǒng)，應(yīng)考慮使用時(shí)間戳參照蹤跡；應(yīng)將所有的制度、要求和職責(zé)形