信息安全策略

信息安全策略1)本文檔制定了的信息系統(tǒng)安全策略，作為信息安全的基本標(biāo)準(zhǔn)，是所有安全行為的指導(dǎo)方針，同時也是建立完整的安全管理體系最根本的基礎(chǔ)。2)信息安全策略是在信息安全現(xiàn)狀調(diào)研的基礎(chǔ)上，根據(jù)ISO27001的最佳實踐，結(jié)合現(xiàn)有規(guī)章制度制定而成的信息安全方針和策略文檔。本文檔遵守政府制定的相關(guān)法律、法規(guī)、政策和標(biāo)準(zhǔn)。本安全策略得到領(lǐng)導(dǎo)的認(rèn)可，并在公司3)建立信息安全策略的目的概括如下：a)在內(nèi)部建立一套通用的、行之有效的安全機(jī)制；b)在的員工中樹立起安全責(zé)任感；c)在中增強(qiáng)信息資產(chǎn)可用性、完整性和保密性；d)在中提高全體員工的信息安全意識和信息安全知識水平。本安全策略適用于公司全體員工，自發(fā)布之日起執(zhí)行。信息安全是指保護(hù)信息資產(chǎn)免受多種安全威脅，保證業(yè)務(wù)連續(xù)性，將安全事件造成的損失降至最小，同時最大限度地獲得投資回?？捎眯源_保經(jīng)過授權(quán)的用戶在需要時可以訪問信息并使用相關(guān)信息保密性確保只有經(jīng)過授權(quán)的人才能訪問信息。完整性保護(hù)信息和信息的處理方法準(zhǔn)確而完整。保密信息安全規(guī)章定義的密級信息。信息安全策略正確使用和管理IT信息資源并保護(hù)這些資源使得它們擁有更好的保密性、完整性、可用性的策略。風(fēng)險評估評估信息安全漏洞對信息處理設(shè)備帶來的威脅和影響及其發(fā)風(fēng)險管理以可以接受的成本，確認(rèn)、控制、排除可能影響信息系統(tǒng)的安全風(fēng)險或?qū)⑵鋷淼奈：ψ钚』倪^程。計算機(jī)機(jī)房裝有計算機(jī)主機(jī)、服務(wù)器和相關(guān)設(shè)備的，除了安裝和維護(hù)的情況外，不允許人員在里邊工作的專用房間。用戶信息資產(chǎn)在系統(tǒng)內(nèi)工作的正式員工、雇傭的臨時工作人員。與信息系統(tǒng)相關(guān)聯(lián)的信息、信息的處理設(shè)備和服務(wù)。信息資產(chǎn)責(zé)任人是指對某項信息資產(chǎn)安全負(fù)責(zé)的人員。合作單位第三方訪問安全事件是指與有業(yè)務(wù)往來的單位，包括承包商、服務(wù)提供商、設(shè)備廠商、外包服務(wù)商、貿(mào)易伙伴等。指非本單位的人員對信息系統(tǒng)的訪問。是指企業(yè)戰(zhàn)略性選擇外部專業(yè)技術(shù)和服務(wù)資源，以替代內(nèi)部部門和人員來承擔(dān)企業(yè)IT系統(tǒng)或系統(tǒng)之上的業(yè)務(wù)流程的運(yùn)利用信息系統(tǒng)的安全漏洞，對信息資產(chǎn)的保密性、完整性和可用性可用性造成危害的事件。障安全審計超時設(shè)置是指信息的處理、傳輸設(shè)備運(yùn)行出現(xiàn)意外障礙，以至影響信息系統(tǒng)正常運(yùn)轉(zhuǎn)的事件。通過將所選類型的事件記錄在服務(wù)器或工作站的安全日志中用來跟蹤用戶活動的過程。用戶如果超過特定的時限沒有進(jìn)行動作，就觸發(fā)其他事件(如斷開連接、鎖定用戶等)。表示強(qiáng)表示強(qiáng)制性的要求。好的做法所要達(dá)到的要求，條件允許就要實施。表示希望達(dá)到的要求。須應(yīng)當(dāng)可以下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的修改單(不包括勘誤的內(nèi)容)或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。1)ISO/IEC27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系要求2)ISO/IEC17799:2005信息技術(shù)-安全技術(shù)-信息安全管理實施細(xì)則信息安全管控委員會：負(fù)責(zé)對信息安全策略進(jìn)行編寫、評審，監(jiān)督和檢查公司全體員工執(zhí)行情況。目標(biāo)：為信息安全提供管理指導(dǎo)和支持，并與業(yè)務(wù)要求和相關(guān)的法律法規(guī)保持1)策略下發(fā)本策略必須得到管理層批準(zhǔn)，并向所有員工和相關(guān)第三方公布傳達(dá)，全體人員必須履行相關(guān)的義務(wù)，享受相應(yīng)的權(quán)利，承擔(dān)相關(guān)的責(zé)任。2)策略維護(hù)本策略通過以下方式進(jìn)行文檔的維護(hù)工作：必須每年按照《風(fēng)險評估管理程序》進(jìn)行例行的風(fēng)險評估，如遇以下情況必須及時進(jìn)行風(fēng)險評估：a)發(fā)生重大安全事故b)組織或技術(shù)基礎(chǔ)結(jié)構(gòu)發(fā)生重大變更c(diǎn))安全管理小組認(rèn)為應(yīng)當(dāng)進(jìn)行風(fēng)險評估的d)其他應(yīng)當(dāng)進(jìn)行安全風(fēng)險評估的情形風(fēng)險評估之后根據(jù)需要進(jìn)行安全策略條目修訂，并在內(nèi)公布傳達(dá)。3)策略評審每年必須參照《管理評審程序》執(zhí)行公司管理評審。4)適用范圍適用范圍是指本策略使用和涵蓋的對象，包括現(xiàn)有的業(yè)務(wù)系統(tǒng)、硬件資產(chǎn)、軟件資產(chǎn)、信息、通用服務(wù)、物理安全區(qū)域等。對于即將投入使用和今后規(guī)劃的信息系統(tǒng)項目也必須參照本策略執(zhí)行。5.1.信息系統(tǒng)安全組織目標(biāo)：在組織內(nèi)部管理信息安全，保持可被外部組織訪問、處理、溝通或管理的信息及信息處理設(shè)備的安全。1)內(nèi)部組織公司的管理層對信息安全承擔(dān)最終責(zé)任。管理者職責(zé)參見《信息安全公司的信息系統(tǒng)安全管理工作采取信息安全管控委員會統(tǒng)一管理方式，其他相關(guān)部門配合執(zhí)行。公司的內(nèi)部信息安全組織包括信息安全管理小組，小組的人員組成以及相關(guān)職責(zé)參見《公司信息安全組織結(jié)構(gòu)圖》。各個部門之間必須緊密配合共同進(jìn)行信息安全系統(tǒng)的維護(hù)和建設(shè)。相關(guān)部門崗位的分工與責(zé)任參見《信息安全管理手冊》。任何新的信息系統(tǒng)處理設(shè)施必須經(jīng)過管理授權(quán)的過程。并更新至《信信息系統(tǒng)內(nèi)的每個重要的資產(chǎn)需要明確所有者、使用人員。參見《信凡是涉及重要信息、機(jī)密信息(相關(guān)定義參見《信息資產(chǎn)鑒別和分類管理辦法》等信息的處理，相關(guān)的工作崗位員工以及第三方都必須簽署保應(yīng)當(dāng)與政府機(jī)構(gòu)保持必要的聯(lián)系共同協(xié)調(diào)信息安全相關(guān)問題。這些部應(yīng)當(dāng)與相關(guān)信息安全團(tuán)體保持聯(lián)系，以取得信息安全上必要的支持。這些團(tuán)體包括外部安全咨詢商、獨(dú)立的安全技術(shù)專家等。信息安全管理小組每年至少進(jìn)行一次信息安全風(fēng)險評估工作(參照《風(fēng)險評估和風(fēng)險管理程序》，并對安全策略進(jìn)行復(fù)審。信息安全領(lǐng)導(dǎo)小組每年對風(fēng)險評估結(jié)果和安全策略的修改進(jìn)行審批。每年或者發(fā)生重大信息安全變化時必須參照《內(nèi)部審核管理程序》執(zhí)部審核。2)外部組織a)第三方訪問是指非人員對信息系統(tǒng)的訪問。第三方至少包含如下人硬件及軟件技術(shù)支持、維護(hù)人員；清潔人員、送餐人員、快遞、保安以及其它外包的支持服務(wù)人b)第三方的訪問類型包括物理訪問和邏輯訪問。物理訪問：重點(diǎn)考慮安全要求較高區(qū)域的訪問，包括計算機(jī)機(jī)房、重要辦公區(qū)域和存放重要物品區(qū)域等；主機(jī)系統(tǒng)數(shù)據(jù)庫系統(tǒng)應(yīng)用系統(tǒng)c)第三方訪問需要進(jìn)行以下的風(fēng)險評估后方可對訪問進(jìn)行授權(quán)。被訪問資產(chǎn)是否會損壞或者帶來安全隱患；客戶是否與有商業(yè)利益沖突；是否已經(jīng)完成了相關(guān)的權(quán)限設(shè)定，對訪問加以控制；是否有過違反安全規(guī)定的記錄；是否與法律法規(guī)有沖突，是否會涉及知識產(chǎn)權(quán)糾紛；d)第三方進(jìn)行訪問之前必須經(jīng)過被訪問系統(tǒng)的安全責(zé)任人的審核批準(zhǔn)，包括物理訪問的區(qū)域和邏輯訪問的權(quán)限。(詳見《辦公室基礎(chǔ)設(shè)備和工作環(huán)境控制程序》)e)對于第三方參與的項目或提供的服務(wù)，必須在合同中明確規(guī)定人員的安全責(zé)任，必要時應(yīng)當(dāng)簽署保密協(xié)議。f)第三方必須遵守的信息安全策略以及《第三方和外包管理規(guī)定》，留對第三方的工作進(jìn)行審核的權(quán)利。目標(biāo)：通過及時更新的信息資產(chǎn)目錄對信息資產(chǎn)進(jìn)行適當(dāng)?shù)谋Ｗo(hù)。1)資產(chǎn)責(zé)任a)所有的信息資產(chǎn)必須登記入冊，對于有形資產(chǎn)必須進(jìn)行標(biāo)識，同時資產(chǎn)信息應(yīng)當(dāng)及時更新。每項信息資產(chǎn)在登記入冊及更新時必須指定信息資產(chǎn)的安全責(zé)任人，信息資產(chǎn)的安全責(zé)任人必須負(fù)責(zé)該信息b)所有員工和第三方都必須遵守關(guān)于信息設(shè)備安全管理的規(guī)定，以保護(hù)信息處理設(shè)備(包括移動設(shè)備和在非公共地點(diǎn)使用的設(shè)備)的2)信息分類a)必須明確確認(rèn)每項信息資產(chǎn)及其責(zé)任人和安全分類，信息資產(chǎn)包括業(yè)務(wù)過程、硬件和設(shè)施資產(chǎn)、軟件和系統(tǒng)資產(chǎn)、文檔和數(shù)據(jù)信息資產(chǎn)、人員資產(chǎn)、服務(wù)和其他資產(chǎn)。(詳見《信息資產(chǎn)列表》)。b)必須建立信息資產(chǎn)管理登記制度，至少詳細(xì)記錄信息資產(chǎn)的分類、名稱、用途、資產(chǎn)所有者、使用人員等，便于查找和使用。信息資產(chǎn)應(yīng)當(dāng)標(biāo)明適用范圍。(詳見《IT設(shè)備管理規(guī)定》)。c)應(yīng)當(dāng)在每個有形信息資產(chǎn)上進(jìn)行標(biāo)識。d)當(dāng)信息資產(chǎn)進(jìn)行拷貝、存儲、傳輸(如郵遞、傳真、電子郵件以及語音傳輸(包括電話、語音郵件、應(yīng)答機(jī))等)或者銷毀等信息處理時，應(yīng)當(dāng)參照《信息資產(chǎn)鑒別和分類管理辦法》或者制定妥善的驟并執(zhí)行。e)對重要的資料檔案要妥善保管，以防丟失泄密，其廢棄的打印紙及磁介質(zhì)等，應(yīng)按有關(guān)規(guī)定進(jìn)行處理。5.3.人員信息安全管理目標(biāo)：確保所有的員工、合同方和第三方用戶了解信息安全威脅和相關(guān)事宜、明確并履行信息安全責(zé)任和義務(wù)，并在日常工作中支持的信息安全方針，減少人為錯誤的風(fēng)險，減少盜竊、濫用或設(shè)施誤用的風(fēng)a)員工必須了解相關(guān)的信息安全責(zé)任，必須遵守《職務(wù)說明b)對第三方訪問人員和臨時性員工，必須遵守《第三方和外包管c)涉及重要信息系統(tǒng)管理的員工、合同方及第三方應(yīng)當(dāng)進(jìn)行相關(guān)技術(shù)背景調(diào)查和能力考評；d)涉及重要信息系統(tǒng)管理的員工、合同方及第三方應(yīng)在合同中明確其信息安全責(zé)任并簽署保密協(xié)議；e)重要崗位的人員在錄用時應(yīng)做重要崗位背景調(diào)查。a)管理層必須要求所有的員工、合同方及第三方用戶執(zhí)行信息安b)應(yīng)當(dāng)設(shè)定信息安全的相關(guān)獎勵措施，任何違反信息安全策略的行為都將收到懲戒，具體執(zhí)行辦法參見《信息安全獎懲規(guī)定》；c)將信息安全培訓(xùn)加入員工培訓(xùn)中，培訓(xùn)材料應(yīng)當(dāng)包括下列內(nèi)信息安全策略信息安全制度相關(guān)獎懲辦法d)應(yīng)當(dāng)按下列群體進(jìn)行不同類型的信息安全培訓(xùn)：全體員工需要遵守信息安全策略、規(guī)章制度和各項操作流程的第三方人員e)信息安全培訓(xùn)必須至少每年舉行一次，讓不同部門的人員能受到適當(dāng)?shù)男畔踩嘤?xùn)。必須參加計算機(jī)信息安全培訓(xùn)的人員包括：計算機(jī)信息系統(tǒng)使用單位的安全管理責(zé)任人；重點(diǎn)單位或核心計算機(jī)信息系統(tǒng)的維護(hù)和管理人員；其他從事計算機(jī)信息系統(tǒng)安全保護(hù)工作的人員；能夠接觸到敏感數(shù)據(jù)或機(jī)密信息的關(guān)鍵用戶。a)員工錄用時，人事部門或調(diào)入部門必須及時書面通知信息技術(shù)部門添加相關(guān)的口令、帳號及權(quán)限等并備案。b)員工在崗位變動時，必須移交調(diào)出崗位的相關(guān)資料和有關(guān)文檔，檢查并歸還在借出的重要信息。人事部門或調(diào)入部門必須及時書面通知信息技術(shù)部門修改和刪除相關(guān)的口令、帳號及權(quán)限等。c)員工在調(diào)離時必須進(jìn)行信息安全檢查。調(diào)離人員必須移交全部資料和有關(guān)文檔，刪除自己的文件、帳號，檢查并歸還在借出的保密信息。由人事部門書面通知信息技術(shù)部門刪除相關(guān)的口令、帳號、權(quán)限等信息。d)必須每半年進(jìn)行用戶帳戶使用情況的評審，凡是半年及半年以上未使用的帳號經(jīng)相關(guān)部門確認(rèn)后刪除。如有特殊情況，必須事先得到部門經(jīng)理及安全責(zé)任人的批準(zhǔn)。e)對第三方訪問人員和臨時性員工，也必須執(zhí)行相關(guān)規(guī)定。.物理和環(huán)境安全a)必須明確劃分安全區(qū)域。安全區(qū)域至少包括各計算機(jī)機(jī)房、IT部門、財務(wù)、人事等部門。所有可以進(jìn)出安全區(qū)域的門必須能防止未經(jīng)授權(quán)的訪問，如使用控制裝置、柵欄、監(jiān)控和報警裝備、鎖等。b)無人值守的門和窗戶必須上鎖，對于直接與外部相連的安全區(qū)域的窗戶必須考慮窗戶的外部保護(hù)；c)安全邊界的所有門均應(yīng)被監(jiān)視并經(jīng)過檢驗，它和墻一起按照合適的地方、國內(nèi)和國際標(biāo)準(zhǔn)建立所需的抵抗程度；他們應(yīng)用故障保護(hù)方式按照局部放火規(guī)則來運(yùn)行。d)應(yīng)按照地方、國內(nèi)和國際標(biāo)準(zhǔn)建立適當(dāng)?shù)娜肭謾z測體系，并定期檢測以覆蓋所有的外部門窗；要一直對空閑區(qū)域發(fā)出警報；其他區(qū)域要提供掩護(hù)方法，例如計算機(jī)室或通信室；e)安全區(qū)域必須配備充足的安全設(shè)備，例如熱敏和煙氣探測器、火警系統(tǒng)、滅火設(shè)備，并對設(shè)備定期檢查。f)安全區(qū)域進(jìn)出控制采用合適的電子卡或磁卡，并能雙向控制。g)對安全區(qū)域的訪問必須進(jìn)行記錄和控制，以確保只有經(jīng)過授權(quán)的人員才可以訪問。對機(jī)房的訪問管理參見《機(jī)房安全管理規(guī)定》，其它區(qū)域可參照執(zhí)行。h)重要設(shè)備必須放在安全區(qū)域內(nèi)進(jìn)行保護(hù)，禁止在公共辦公區(qū)域防止重要的信息處理設(shè)施；i)應(yīng)當(dāng)控制外來人員對公共辦公區(qū)域的訪問，第三方訪問規(guī)定參見《第三方和外包管理規(guī)定》j)關(guān)鍵和敏感設(shè)施應(yīng)當(dāng)存放在與公共辦公區(qū)域相對隔離的場地，并應(yīng)設(shè)計并實施保護(hù)。k)危險或易燃物品應(yīng)當(dāng)擺放在離安全區(qū)域安全距離之外，機(jī)房應(yīng)當(dāng)參見《機(jī)房安全管理規(guī)定》中的要求執(zhí)行值班或巡檢工作任務(wù)。l)備份介質(zhì)應(yīng)當(dāng)和主場地有一段的安全距離，要考慮信息設(shè)備面臨的可能的安全威脅，參考《業(yè)務(wù)連續(xù)性管理程序》的內(nèi)容制定對應(yīng)的業(yè)務(wù)連續(xù)性計劃，并要定期演練。m)人員離開安全區(qū)域時應(yīng)當(dāng)及時上鎖。n)除非經(jīng)過主管部門領(lǐng)導(dǎo)授權(quán)，在安全區(qū)域不允許使用圖象、視頻、音頻或其它記錄設(shè)備。o)外部人員訪問安全區(qū)域時應(yīng)當(dāng)由員工陪同，并填寫《機(jī)房出入登記表》，對訪問時間、操作內(nèi)容等加以記錄。p)出入機(jī)房的設(shè)備必須填寫《機(jī)房設(shè)備出入登記表》。損壞或被盜，以及對組織業(yè)務(wù)活動的干擾。a)計算機(jī)機(jī)房必須提供環(huán)境保障，機(jī)房建設(shè)必須遵照相關(guān)的機(jī)房建設(shè)規(guī)范進(jìn)行。如中華人民共和國國家標(biāo)準(zhǔn)GB50174《電子計算機(jī)機(jī)房設(shè)計規(guī)范》，必須提供：穩(wěn)定的電源供給可靠的空氣質(zhì)量控制(溫度，濕度，污染度)防火，防水，防高溫，放雷b)應(yīng)盡量減少對機(jī)房不必要的訪問，在機(jī)房內(nèi)工作必須遵守《機(jī)房安全管理規(guī)定》。c)各計算機(jī)機(jī)房是重要的信息處理場所，必須嚴(yán)格執(zhí)行有關(guān)安全保密制度和規(guī)定，并防止重要信息的泄露，保證業(yè)務(wù)數(shù)據(jù)、信息、資料的準(zhǔn)確、安全可靠。d)計算機(jī)機(jī)房應(yīng)列為公司重點(diǎn)防火部位，按照規(guī)定配備足夠數(shù)量的消防器材，并定期檢查更換。機(jī)房工作人員要熟悉機(jī)房消防用品的存放位置及使用方法，必須掌握防火設(shè)施的使用方法和步驟；要熟悉設(shè)備電源和照明用電以及其它電氣設(shè)備總開關(guān)位置，掌握切斷電源的方法和步驟。在遇到突發(fā)緊急情況時，必須以保護(hù)人身安全為首要目e)定期對機(jī)房供電線路及照明器具進(jìn)行檢查，防止因線路老化短路造成火災(zāi)。f)應(yīng)當(dāng)按照設(shè)備維護(hù)要求的時間間隔和規(guī)范，對設(shè)備進(jìn)行維護(hù)。g)第三方支持和維護(hù)人員對重要設(shè)備技術(shù)支持前，必須經(jīng)過安全責(zé)任人的授權(quán)或?qū)徟?。并且在對重要設(shè)備現(xiàn)場實施過程中必須有相關(guān)人員全程陪同，詳細(xì)規(guī)定參見《第三方和外包管理規(guī)定》。h)設(shè)備的安全與重用應(yīng)當(dāng)按規(guī)定的操作程序來處理，特別是包含重要信息的存儲設(shè)備，應(yīng)按照相關(guān)規(guī)定，以確定是否銷毀、修理或棄用該設(shè)備。對棄置的存儲有敏感信息的存儲設(shè)備，必須將其銷毀，或重寫數(shù)據(jù)，而不能只是使用標(biāo)準(zhǔn)的刪除功能進(jìn)行數(shù)據(jù)刪除。詳細(xì)規(guī)定參見《移動存儲介質(zhì)使用規(guī)定》。i)當(dāng)員工離開時，對于載有重要信息的紙張和可移動的存儲介質(zhì)，應(yīng)當(dāng)妥善保管。j)遠(yuǎn)程辦公人員有責(zé)任保護(hù)移動設(shè)備的安全，未經(jīng)批準(zhǔn)，不得在公共場所訪問內(nèi)部網(wǎng)絡(luò)。k)未經(jīng)信息安全責(zé)任人授權(quán)，不允許將載有重要信息的設(shè)備、信息或軟件帶離工作場所。機(jī)房內(nèi)設(shè)備的出入必須填寫《機(jī)房出入登記.通信和操作管理目標(biāo)：確保信息處理設(shè)施的正確和安全操作a)對于日常維護(hù)工作必須按照規(guī)定的系統(tǒng)操作流程進(jìn)行，操作流程應(yīng)當(dāng)指明具體執(zhí)行每個作業(yè)的說明。操作流程必須成文，并只有經(jīng)授權(quán)才可以修改。b)必須建立并執(zhí)行信息處理設(shè)備和信息系統(tǒng)變更管理流程(具體參照c)處理敏感信息資產(chǎn)時，可以考慮分離職責(zé)，如果不實施分離，則應(yīng)當(dāng)對處理操作予以記錄，并定期進(jìn)行監(jiān)督。d)應(yīng)當(dāng)分離開發(fā)、測試與運(yùn)營環(huán)境，敏感數(shù)據(jù)不可拷貝到測試環(huán)境中，測試完成后應(yīng)當(dāng)及時清理測試環(huán)境。2)第三方服務(wù)交付管理全的適當(dāng)水平，確保第三方交付的服符合協(xié)議要求。a)應(yīng)當(dāng)確保第三方實施、運(yùn)行并保持第三方服務(wù)交付協(xié)議中包括商定的安全布置、服務(wù)定義和交付等級。應(yīng)定期審核第三方的服務(wù)提交的報告和檢查對協(xié)議的符合度。重要的第三方服務(wù)必須簽訂服務(wù)合同和第三方保密協(xié)議。b)應(yīng)當(dāng)在第三方服務(wù)協(xié)議中包含服務(wù)變更管理的內(nèi)容。變更內(nèi)容任何新應(yīng)用、系統(tǒng)、服務(wù)的開發(fā)對現(xiàn)有應(yīng)用、系統(tǒng)、服務(wù)的更改或更新與信息安全有關(guān)的新的控制措施網(wǎng)絡(luò)環(huán)境或其它新技術(shù)的使用開發(fā)環(huán)境或物理環(huán)境的變更供應(yīng)商的變更3)系統(tǒng)策劃與驗收a)應(yīng)為系統(tǒng)的性能和容量要求做預(yù)先的規(guī)劃和準(zhǔn)備，應(yīng)反映對未來容量需求的推測，以減少系統(tǒng)過載的風(fēng)險。b)應(yīng)建立新信息系統(tǒng)、系統(tǒng)升級和新版本的驗收準(zhǔn)則，驗收前應(yīng)當(dāng)完成設(shè)計審核、缺陷分析及安全測試。必須將驗收標(biāo)準(zhǔn)寫入到項目4)防范惡意和移動代碼a)所有服務(wù)器和個人計算機(jī)都必須激活防病毒軟件，必須及時更新防病毒代碼庫。詳細(xì)規(guī)定參見《防病毒管理程序》。b)系統(tǒng)內(nèi)的服務(wù)器和個人計算機(jī)必須使用可信來源的軟件，應(yīng)對軟件進(jìn)行病毒檢測后統(tǒng)一保存。c)員工應(yīng)當(dāng)?shù)街付ǖ目臻g下載軟件，不得私自安裝授權(quán)使用軟件列表之外的軟件。d)必須對所有的電子郵件附件進(jìn)行病毒掃描，也不要隨意打開來歷不明的郵件附件。e)應(yīng)當(dāng)開展對一般員工的預(yù)防病毒培訓(xùn)。員工一旦發(fā)現(xiàn)或懷疑有PC或服務(wù)器被病毒感染,必須馬上斷開網(wǎng)絡(luò)并進(jìn)行全盤掃描，，必須立即通知技術(shù)部門。a)管理員應(yīng)當(dāng)對重要的應(yīng)用系統(tǒng)、操作系統(tǒng)、配置文件及日志等制訂備份策略，并要定期對備份數(shù)據(jù)進(jìn)行測試。如果是涉密信息，必須對備份信息實施加密。b)所有員工要定期對個人電腦上的重要數(shù)據(jù)進(jìn)行備份，以減少不c)備份應(yīng)當(dāng)存儲在與主設(shè)備有足夠距離的地點(diǎn)，該地點(diǎn)應(yīng)安全可靠，應(yīng)同主設(shè)備場地使用同等的安全等級。6)網(wǎng)絡(luò)安全管理a)應(yīng)當(dāng)對重要的線路、網(wǎng)絡(luò)設(shè)備采用冗余措施，以維持關(guān)鍵服務(wù)b)網(wǎng)絡(luò)管理員應(yīng)當(dāng)參照《訪問控制程序》對網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)進(jìn)行充分的管理和控制，并采用網(wǎng)管工具對通訊線路、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)流量進(jìn)行實時的監(jiān)控和預(yù)警。c)處理敏感信息的計算機(jī)應(yīng)當(dāng)與局域網(wǎng)物理隔離，應(yīng)當(dāng)采用適當(dāng)權(quán)泄露、修改、移動或損壞，及對業(yè)活動的的干擾。a)應(yīng)當(dāng)妥善記錄移動介質(zhì)。不得將載有重要信息的存儲介質(zhì)隨意存放，未經(jīng)安全責(zé)任人授權(quán)，不得帶出辦公地點(diǎn)。b)如果介質(zhì)上的內(nèi)容不再需要，應(yīng)當(dāng)立即清除。對于備份或存放有重要信息或軟件的存儲介質(zhì)，在銷毀時，應(yīng)當(dāng)進(jìn)行格式化或重寫數(shù)據(jù)，避免不必要的泄露。c)存放業(yè)務(wù)應(yīng)用系統(tǒng)及重要信息的介質(zhì)，嚴(yán)禁外借，確因工作需d的介質(zhì)，必須在介質(zhì)老化前進(jìn)行轉(zhuǎn)儲，以防止因介質(zhì)失效造成損失。e)應(yīng)限制只有系統(tǒng)管理員才可訪問系統(tǒng)文檔。應(yīng)對的所有信息數(shù)據(jù)分類標(biāo)識，建立信息處置、存儲、分發(fā)的規(guī)程。9)監(jiān)視和審計目標(biāo)：應(yīng)保持組織內(nèi)部或組織與外部組織之間交換信息和軟件的a)應(yīng)當(dāng)依據(jù)《信息資產(chǎn)鑒別和分類管理辦法》、《信息安全交流控制程序》，保護(hù)信息在發(fā)布、交換時的安全。b)員工必須遵守國家有關(guān)信息管理的法規(guī)，不得利用網(wǎng)絡(luò)危害國家安全、泄露國家秘密，不得違反中華人民共和國現(xiàn)行法律和法規(guī)，不得侵犯國家社會集體的和公民的合法權(quán)益。c)敏感信息應(yīng)當(dāng)通過專用的線路傳輸。未經(jīng)安全責(zé)任人授權(quán)，員工不得與外部聯(lián)網(wǎng)的計算機(jī)信息系統(tǒng)傳輸涉及重要信息的文件。d絡(luò)對他人進(jìn)行侮辱、誹謗、騷擾；不得侵害他不得侵犯他人的商譽(yù)、商標(biāo)、版權(quán)、專利、專有技術(shù)等各種知識產(chǎn)e)在通過郵政等物理傳輸方式傳輸時，應(yīng)保護(hù)包含重要信息的介f)應(yīng)控制并記錄允許操作業(yè)務(wù)系統(tǒng)的用戶名單，未經(jīng)安全責(zé)任人授權(quán)，不得隨意變更訪問限制和共享信息。a)公司制定《IT設(shè)備設(shè)施維護(hù)管理程序》、《信息安全技術(shù)檢查管理規(guī)定》對信息系統(tǒng)活動進(jìn)行監(jiān)控。b)應(yīng)當(dāng)使用監(jiān)視程序以確保用戶只執(zhí)行被明確授權(quán)的活動，審計內(nèi)容應(yīng)細(xì)化到個人而不是共享帳號。審計至少包括用戶ID、系統(tǒng)日記錄等。c)可以實施安全產(chǎn)品或調(diào)整配置，以記錄和審計用戶活動、系統(tǒng)、安全產(chǎn)品和信息安全事件產(chǎn)生的日志，并按照約定的期限保留，以支持將來的調(diào)查和訪問控制監(jiān)視。d)可以在內(nèi)網(wǎng)中配置日志服務(wù)器，專門收集主機(jī)、網(wǎng)絡(luò)設(shè)備、安全產(chǎn)品的日志，以避免日志被破壞或覆蓋。e)應(yīng)在網(wǎng)絡(luò)中配置時鐘服務(wù)器，被審計的信息設(shè)備應(yīng)同時鐘服務(wù)器的時間保持同步，以避免審計上的漏洞。5.6.信息系統(tǒng)訪問控制1)訪問控制的業(yè)務(wù)要求a)應(yīng)當(dāng)明確規(guī)定每個用戶以及相應(yīng)用戶組在各個系統(tǒng)中訪問控制規(guī)則與權(quán)限，每半年要評審用戶和訪問權(quán)限的設(shè)置，詳細(xì)規(guī)定參見《訪問控制程序》。2)用戶訪問管理a)禁止用戶帳號共享，普通用戶不能在一個系統(tǒng)上擁有多個帳號，系統(tǒng)管理員不能在一個系統(tǒng)上擁有多個相同角色的帳號。每個用戶應(yīng)當(dāng)在不同的信息系統(tǒng)上遵循統(tǒng)一的命名方式且使用相同的用戶帳號，統(tǒng)一的命名方式應(yīng)當(dāng)參考域(郵箱)帳號命名規(guī)則。詳細(xì)規(guī)定參見《公司郵箱管理辦法》b)所有對信息系統(tǒng)的訪問必須遵照《訪問控制程序》。除非員工獲得該流程規(guī)定的相關(guān)部門授權(quán)，否則不準(zhǔn)在網(wǎng)絡(luò)上給外單位和個人開戶，也不準(zhǔn)外單位或個人借用內(nèi)部用戶名和口令上網(wǎng)，一經(jīng)查出將追究當(dāng)事人責(zé)任。c)用戶權(quán)限必須按照最小權(quán)限原則進(jìn)行分配。d)技術(shù)人員在收到重置口令的申請時，必須驗證用戶的身份后方可提供一個臨時的代替口令。e)要告知并強(qiáng)制用戶遵守用戶帳號及口令管理規(guī)定，用戶必須對自己的帳號和口令保密，不能以任何形式向他人透露口令信息，不得以未加密的形式將口令保存在文件或計算機(jī)中，在收到應(yīng)用系統(tǒng)或軟件的初始口令后必須及時更改。f)用戶帳號三個月未使用的將在系統(tǒng)中自動失效。必須每半年進(jìn)行用戶使用情況的評審，凡是半年及半年以上未使用的帳號經(jīng)相關(guān)部門確認(rèn)后刪除。如有特殊情況，必須事先得到信息安全部及安全責(zé)任的批準(zhǔn)并備案。訪問，防止信息和信息處理設(shè)施的安a)員工和訪問信息系統(tǒng)的第三方必須遵守《用戶帳號及口令管理規(guī)定》的要求保證自己的用戶帳號和口令的安全。要求用戶不得明文保存口令，及時修改默認(rèn)口令并必須選擇強(qiáng)壯的口令，定期修改密碼，不得隨意共享密碼。b)所有計算機(jī)應(yīng)當(dāng)啟用計算機(jī)的開機(jī)口令進(jìn)行保護(hù)。當(dāng)員工離開計算機(jī)時，員工必須立即鎖定屏幕或退出系統(tǒng)，且在系統(tǒng)內(nèi)必須設(shè)置5分鐘自動啟用有口令的屏幕保護(hù)。c)離開機(jī)房后要及時鎖門，重要信息設(shè)備可以使用計算機(jī)鎖等控制措施來保護(hù)其不受未授權(quán)訪問。d)人員離開時，必須清理桌面上的敏感信息，打印出的文件必須及時從打印機(jī)取走。4)網(wǎng)絡(luò)訪問控制a)網(wǎng)絡(luò)管理員必須參照《訪問控制程序》和業(yè)務(wù)系統(tǒng)要求進(jìn)行控明確哪些用戶可以訪問的網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)列表明確訪問網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的用戶實施相應(yīng)的控制手段b)對于來自外部的連接，使用VPN連接，使用基于口令的控制系c)任何到網(wǎng)絡(luò)的物理或邏輯的連接必須經(jīng)過運(yùn)維部的批準(zhǔn)。d)必須明確哪些人可以遠(yuǎn)程診斷和調(diào)試信息設(shè)備。給第三方開放遠(yuǎn)程維護(hù)帳號時，維護(hù)結(jié)束后必須立即收回。e)局域網(wǎng)網(wǎng)絡(luò)對外出口必須使用防火墻進(jìn)行保護(hù)，根據(jù)安全需要可以考慮將局域網(wǎng)進(jìn)一步劃分為獨(dú)立的邏輯網(wǎng)絡(luò)域，并各邏輯網(wǎng)的接口處使用防火墻保護(hù)。上述接口和出口應(yīng)當(dāng)同時考慮實施地址轉(zhuǎn)換、防病毒和入侵檢測產(chǎn)品等。f)未經(jīng)批準(zhǔn)，不得在公共場所訪問內(nèi)部網(wǎng)絡(luò)。g)對于從正式辦公地點(diǎn)內(nèi)部發(fā)起的、目標(biāo)為外部網(wǎng)絡(luò)或計算機(jī)的所有計算機(jī)網(wǎng)絡(luò)連接，必須通過由統(tǒng)一配置使用的系統(tǒng)進(jìn)行路由。5)操作系統(tǒng)訪問控制目標(biāo)：防止對操作系統(tǒng)未授權(quán)訪問。a)主機(jī)系統(tǒng)的登錄必須遵照以下規(guī)定：對于非Windows平臺，成功登錄后，才顯示系統(tǒng)或應(yīng)用標(biāo)識只顯示一般性的警告信息，例如“本系統(tǒng)只允許授權(quán)用戶訪問”限制不成功登錄的次數(shù)，不得超過5次，否則鎖定用戶帳號記錄成功和不成功登錄的情況需要在網(wǎng)絡(luò)上傳輸口令時，應(yīng)當(dāng)進(jìn)行加密b)登錄終端必須有超時設(shè)置，不超過20分鐘。c)應(yīng)對所有用戶分配一個唯一的ID。無特殊情況一個人不得在一個系統(tǒng)上擁有多個帳號。d)使用口令管理系統(tǒng)時，可以考慮配置：強(qiáng)制選擇優(yōu)質(zhì)口令。允許用戶選擇和更改自己的口令，其中要包括新口令的確認(rèn)過強(qiáng)制用戶在第一次登錄時修改口令。分開存儲口令文件和應(yīng)用系統(tǒng)數(shù)據(jù)保護(hù)口令的存儲和傳輸過程。e)應(yīng)分開保存系統(tǒng)文件和應(yīng)用數(shù)據(jù)，限制對系統(tǒng)文件的操作。6)應(yīng)用程序和信息訪問控制a)應(yīng)限制用戶和管理員對應(yīng)用系統(tǒng)的訪問權(quán)限，要求用戶在申請、變更或廢止訪問權(quán)限時，應(yīng)填寫《權(quán)限申請表》。b)處理敏感信息的系統(tǒng)應(yīng)當(dāng)與公共網(wǎng)隔離，且系統(tǒng)輸出信息僅能發(fā)送給特定的終端和人員。c)應(yīng)當(dāng)參考《信息資產(chǎn)鑒別和分類管理辦法》明確標(biāo)識出敏感信息，當(dāng)需要共享或分發(fā)敏感信息時，必須附帶保密聲明。7)移動計算和遠(yuǎn)程工作目標(biāo)：確保在使用移動計算機(jī)和遠(yuǎn)程工作設(shè)施時的安全。a)所有遠(yuǎn)程工作的移動計算機(jī)都必須安裝防病毒軟件，應(yīng)當(dāng)考慮采用動態(tài)口令系統(tǒng)。未經(jīng)信息安全部批準(zhǔn)，不得在公共場所訪問內(nèi)部網(wǎng)絡(luò)。詳細(xì)參見《筆記本電腦安全使用指南》b)應(yīng)當(dāng)安排針對移動辦公人員的安全培訓(xùn)，要求此類用戶保護(hù)移動設(shè)備和遠(yuǎn)程辦公帳號的安全。5.7.信息系統(tǒng)的獲取、開發(fā)和維護(hù)安全1)信息系統(tǒng)的安全要求a)對自主開發(fā)和外包開發(fā)的信息系統(tǒng)或?qū)ΜF(xiàn)有系統(tǒng)的更新，在分析階段應(yīng)當(dāng)規(guī)定對安全控制的要求，并集成到系統(tǒng)設(shè)計規(guī)范書、招標(biāo)規(guī)范書和外包合同書之中，并在開發(fā)工作和驗收時進(jìn)行考慮。2)應(yīng)用系統(tǒng)的正確處理權(quán)的修改或誤a)應(yīng)用系統(tǒng)設(shè)計時應(yīng)當(dāng)針對數(shù)據(jù)安全進(jìn)行以下方面的考慮：輸入數(shù)據(jù)驗證：對應(yīng)用系統(tǒng)的數(shù)據(jù)輸入進(jìn)行驗證，保證輸入數(shù)據(jù)正確并合乎要求。數(shù)據(jù)的容錯處理：為防止正確的數(shù)據(jù)因處理錯誤或故意人為等因素遭到破壞而采取的檢查和控制措施。輸出數(shù)據(jù)驗證：對應(yīng)用系統(tǒng)輸出的數(shù)據(jù)進(jìn)行驗證，保證對存儲信息的正確處理。消息驗證：檢查傳輸?shù)碾娮酉?nèi)容是否有非法變更或破壞的技術(shù)手段?？梢杂眉用芗夹g(shù)作為實現(xiàn)消息驗證的手段。加密：是用于保護(hù)信息機(jī)密性的技術(shù)。在保護(hù)敏感或關(guān)鍵信息b)周期性評審關(guān)鍵信息和數(shù)據(jù)的內(nèi)容，以保證其有效性和完整3)加密控制實性和完整性a)在組織內(nèi)實施加密控制的策略，可以考慮使用密碼技術(shù)以實保密性：通過信息加密保護(hù)存儲和傳輸中的敏感和重要數(shù)據(jù)。完整性/可認(rèn)證性：使用數(shù)字簽名和消息驗證碼去保護(hù)存儲的和傳輸中的敏感和重要數(shù)據(jù)的可認(rèn)證性和完整性。不可否認(rèn)性：利用密碼技術(shù)獲得事件和行為發(fā)生或未發(fā)生的證b)實施密鑰管理辦法，包括防止密鑰的丟失、泄密或破壞，密鑰的銷毀和密鑰損壞后加密數(shù)據(jù)的恢復(fù)。4)系統(tǒng)文件安全a)應(yīng)當(dāng)僅由管理員才可以進(jìn)行操作系統(tǒng)、軟件、應(yīng)用和運(yùn)行程序庫的更新，生產(chǎn)系統(tǒng)不得安裝無關(guān)軟件。b)應(yīng)當(dāng)盡量避免應(yīng)用系統(tǒng)對操作系統(tǒng)的直接調(diào)用，最大限度降低操作系統(tǒng)崩潰的風(fēng)險。c)重要的應(yīng)用和操作系統(tǒng)軟件只有在全面正確的測試通過后才可安裝，測試包括實用性、安全性、在其它系統(tǒng)上的有效性、用戶友好性等，測試應(yīng)在獨(dú)立的系統(tǒng)上完成，必須確保對應(yīng)的程序庫已經(jīng)更d)重要軟件和應(yīng)用升級后，包括需要的信息、參數(shù)、升級過程日志、配置細(xì)節(jié)等都要?dú)w檔，配套的數(shù)據(jù)和文件也應(yīng)歸檔。e)所有應(yīng)用必須編寫應(yīng)用配置手冊，應(yīng)用配置手冊必須隨著操作系統(tǒng)軟件或應(yīng)用配置的改變而及時更新。f)測試過程中應(yīng)當(dāng)避免使用敏感信息，測試完成后應(yīng)當(dāng)及時清g)訪問程序源代碼的行為應(yīng)受到限制，更新關(guān)鍵應(yīng)用系統(tǒng)必須按照《變更管理流程》得到授權(quán)。若有可能，在運(yùn)行環(huán)境中不應(yīng)保留程5)開發(fā)和支持過程安全目標(biāo)：保持應(yīng)用系統(tǒng)軟件和信息的安全a)維護(hù)并執(zhí)行《變更管理流程》，該流程應(yīng)當(dāng)包括提交申請、調(diào)研和評估、審批、實施、總結(jié)和備案。b)必須分開生產(chǎn)環(huán)境和非生產(chǎn)環(huán)境，非生產(chǎn)環(huán)境包括開發(fā)、測試和培訓(xùn)所用的環(huán)境。應(yīng)用開發(fā)人員不允許訪問生產(chǎn)環(huán)境，除非在有安全評測手段的前提下，應(yīng)用開發(fā)人員可以暫時獲得生產(chǎn)環(huán)境下的用戶名和口令以用于系統(tǒng)支持，必須保證在系統(tǒng)支持完成之后立即修改口c)當(dāng)操作系統(tǒng)變更后，應(yīng)評審和測試關(guān)鍵的應(yīng)用系統(tǒng)，以確定此變更對運(yùn)營和安全帶來的影響。d)只能從可信的渠道(如廠商指定的網(wǎng)站)獲取軟件的更新程序，重要變更必須進(jìn)行記錄。變更后，運(yùn)維人員應(yīng)當(dāng)監(jiān)控變更帶來的影響。其中安全補(bǔ)丁的規(guī)定詳見《補(bǔ)丁管理程序》。e)可以采取安全手段監(jiān)視系統(tǒng)、通信和個人行為，以減小信息泄6)技術(shù)漏洞管理目標(biāo)：減少利用公開的技術(shù)漏洞帶來的風(fēng)險。a)應(yīng)當(dāng)確認(rèn)軟件和其它技術(shù)的相關(guān)漏洞，指定專人進(jìn)行安全補(bǔ)丁管理工作，包括補(bǔ)丁公告、補(bǔ)丁評估和補(bǔ)丁列表的維護(hù)工作。詳細(xì)規(guī)定參見《補(bǔ)丁管理程序》。b)如果沒有合適的補(bǔ)丁，應(yīng)當(dāng)實施其它措施，如：關(guān)掉可能利用漏洞造成損害的服務(wù)和端口在網(wǎng)絡(luò)邊界上增加隔離和訪問控制，如防火墻在網(wǎng)絡(luò)中部署入侵檢測系統(tǒng)增強(qiáng)對該漏洞的監(jiān)控5.8.信息安全事故處理1)報告信息安全事故和弱點(diǎn)目標(biāo)：確保與信息系統(tǒng)有關(guān)的安全事件和弱點(diǎn)的報告，以便及時采取糾正措施。a)維護(hù)并執(zhí)行《信息安全事件管理程序》，培訓(xùn)并要求所有員工和第三方都有責(zé)任盡快報告信息安全事件。b)信息安全事件發(fā)生后，報告人應(yīng)立即將事件的重要細(xì)節(jié) (如事件描述、屏幕上顯示的消息、造成的后果、其它異常情況等)向主管部門報告。c)所有員工和第三方有責(zé)任注意并報告系統(tǒng)或服務(wù)中已發(fā)現(xiàn)或疑似的安全漏洞，但不能擅自處理和散播。2)信息安全事故管理和改進(jìn)目標(biāo)：確保使用可追蹤的，有效的方法管理信息安全事故。a)應(yīng)當(dāng)建立包括事件報告、分類、責(zé)任分工、響應(yīng)方法、記錄和總結(jié)、恢復(fù)計劃等在內(nèi)的信息安全事故管理機(jī)制。詳細(xì)規(guī)定b)應(yīng)通過信息安全事故的評估和總結(jié)以識別將來可能再次發(fā)生的事故，特別是可能造成重大影響的事故，盡量減小同種事故帶來的損失。c)從事件被檢測到至處理完成全過程的記錄和證據(jù)(包括紙制文檔和電子信息)都應(yīng)進(jìn)行保留。.業(yè)務(wù)連續(xù)性管理1)業(yè)務(wù)連續(xù)性管理中的信息安全目標(biāo)：防止業(yè)務(wù)活動中斷，保證重要業(yè)務(wù)流程不受重大故障和災(zāi)難的影響，并確保它們的及時恢復(fù)。a)參考《業(yè)務(wù)連續(xù)性管理程序》制訂并實施業(yè)務(wù)連續(xù)性計劃，預(yù)防和恢復(fù)控制相結(jié)合，將災(zāi)難和安全故障(可能是由于自然災(zāi)害、事故、設(shè)備故障和蓄意破壞等引起)造成的影響降低到可以接受的水平，限制破壞性事件造成的后果，確保關(guān)鍵業(yè)務(wù)的操作得到及時恢復(fù)。業(yè)務(wù)連續(xù)性計劃制定后必須得到安全領(lǐng)導(dǎo)小b)業(yè)務(wù)連續(xù)性計劃的內(nèi)容至少應(yīng)當(dāng)包括：確定關(guān)鍵業(yè)務(wù)流程和其所涉及資產(chǎn)，明確信息處理設(shè)施的業(yè)務(wù)識別可能導(dǎo)致業(yè)務(wù)中斷的重大事故，評估此類重大事故發(fā)生的可能性及造成業(yè)務(wù)中斷給造成的影響，確定關(guān)鍵業(yè)務(wù)流程的優(yōu)先必要時可以適當(dāng)考慮購買保險，以降低重大災(zāi)難引起的損失。定期對計劃和相關(guān)操作流程進(jìn)行檢查、演練和更新。明確人員職責(zé)，業(yè)務(wù)連續(xù)性管理過程的職責(zé)應(yīng)分配給安委會。保護(hù)人員、信息處理設(shè)備和機(jī)構(gòu)財產(chǎn)的安全。業(yè)務(wù)恢復(fù)的優(yōu)先級，應(yīng)當(dāng)考慮可容忍的業(yè)務(wù)中斷時間和業(yè)務(wù)恢復(fù)到中斷前的哪個時間點(diǎn)，要特別注意對有關(guān)外部業(yè)務(wù)和合同的評滿足業(yè)務(wù)連續(xù)性計劃所需的資源和服務(wù)，包括人員、非信息處理資源以及信息處理設(shè)施的低效運(yùn)行安排。業(yè)務(wù)流程的備案對員工進(jìn)行適當(dāng)?shù)臉I(yè)務(wù)連續(xù)性計劃的培訓(xùn)通過演練(或突發(fā)事件發(fā)生)的實際情況，對計劃進(jìn)行修正，保證其有效性和可操作性。c)應(yīng)當(dāng)維護(hù)一個全局性的業(yè)務(wù)連續(xù)性計劃框架，以確保所有計劃的一致性。業(yè)務(wù)連續(xù)性計劃框架應(yīng)該考慮以下內(nèi)容：計劃的啟動條件。在計劃執(zhí)行前說明要采用的程序(包括如何評估、參與人員等)。應(yīng)急程序。說明在發(fā)生危及業(yè)務(wù)操作和/或生命的事故后要采取低效運(yùn)行程序。說明應(yīng)該采取哪些措施，以將重要業(yè)務(wù)活動或