信息安全策略講義課件

ISMS信息安全策略批準(zhǔn)人簽字審核人簽字制訂人簽字日期：2008/日期：2008/日期：2008/南京擎天科技有限公司NanjingSinosoftTechnologyCo.,Ltd.變更履歷序號(hào)版本編號(hào)或更改記錄編號(hào)變化狀態(tài)*簡(jiǎn)要說(shuō)明(變更內(nèi)容、變更位置、變更原因和變更范圍)變更日期變更人審核人批準(zhǔn)人批準(zhǔn)日期1A1.0C創(chuàng)建，全頁(yè)。2008許明星茅建平汪曉剛2008*變化狀態(tài)：C——?jiǎng)?chuàng)建，A——增加，M——修改，D——?jiǎng)h除

目錄TOC\o"1-2"\h\z\u1. 文檔介紹 51.1. 文檔目的 51.2. 文檔范圍 51.3. 參考信息 52. 術(shù)語(yǔ)和定義 62.1. 解釋 62.2. 詞語(yǔ)使用 73. Sinosoft信息系統(tǒng)安全策略 73.1. 策略下發(fā) 73.2. 策略維護(hù) 73.3. 策略評(píng)審 83.4. 適用范圍 84. Sinosoft信息系統(tǒng)安全組織 84.1. 內(nèi)部組織 84.2. 外部組織 95. Sinosoft資產(chǎn)管理 105.1. 資產(chǎn)責(zé)任 115.2. 信息分類 116. Sinosoft人員信息安全管理 116.1. 人員雇傭 126.2. 雇傭中 126.3. 人員信息安全管理原則 137. 物理和環(huán)境安全 147.1. 安全區(qū)域 147.2. 設(shè)備安全 158. Sinosoft通信和操作管理 218.1. 操作程序和責(zé)任 218.2. 第三方服務(wù)交付管理 238.3. 系統(tǒng)策劃與驗(yàn)收 258.4. 防范惡意和移動(dòng)代碼 278.5. 備份 288.6. 網(wǎng)絡(luò)安全管理 288.7. 介質(zhì)處理 298.8. 信息交換 318.9. 監(jiān)視和審計(jì) 339. Sinosoft信息系統(tǒng)訪問(wèn)控制 369.1. 訪問(wèn)控制的業(yè)務(wù)要求 369.2. 用戶訪問(wèn)管理 379.3. 用戶責(zé)任 409.4. 網(wǎng)絡(luò)訪問(wèn)控制 419.5. 操作系統(tǒng)訪問(wèn)控制 439.6. 應(yīng)用程序和信息訪問(wèn)控制 459.7. 移動(dòng)計(jì)算和遠(yuǎn)程工作 4610. 信息系統(tǒng)的獲取、開發(fā)和維護(hù)安全 4710.1. 信息系統(tǒng)的安全要求 4710.2. 應(yīng)用系統(tǒng)的正確處理 4710.3. 加密控制 4710.4. 系統(tǒng)文件安全 4810.5. 開發(fā)和支持過(guò)程安全 4910.6. 技術(shù)漏洞管理 4911. 信息安全事故處理 5011.1. 報(bào)告信息安全事故和弱點(diǎn) 5011.2. 信息安全事故管理和改進(jìn) 5012. 業(yè)務(wù)連續(xù)性管理 5112.1. 業(yè)務(wù)連續(xù)性管理中的信息安全 5113. 符合性要求 5313.1. 遵守法律法規(guī)的要求 5313.2. 安全策略和技術(shù)一致性檢查 5813.3. 信息系統(tǒng)審計(jì)考慮因素 59?3rdFloor,No.50Building,No.168LongpanZhongRoad,Nanjing,P.R.China5/76文檔介紹文檔目的本文檔制定了Sinosoft的信息系統(tǒng)安全策略，作為Sinosoft信息安全的基本標(biāo)準(zhǔn)，是所有安全行為的指導(dǎo)方針，同時(shí)也是建立完整的安全管理體系最根本的基礎(chǔ)。信息安全策略是在Sinosoft信息安全現(xiàn)狀調(diào)研的基礎(chǔ)上，根據(jù)ISO27001的最佳實(shí)踐，結(jié)合Sinosoft現(xiàn)有規(guī)章制度制定而成的信息安全方針和策略文檔。本文檔遵守政府制定的相關(guān)法律、法規(guī)、政策和標(biāo)準(zhǔn)。本安全策略得到Sinosoft領(lǐng)導(dǎo)的認(rèn)可，并在Sinosoft內(nèi)強(qiáng)制實(shí)施。建立信息安全策略目的概括如下：在Sinosoft內(nèi)部建立一套通用的、行之有效的安全機(jī)制；在Sinosoft的員工中樹立起安全責(zé)任感；在Sinosoft中增強(qiáng)信息資產(chǎn)可用性、完整性和保密性；在Sinosoft中提高全體員工的信息安全意識(shí)和信息安全知識(shí)水平。文檔范圍本安全策略適用于Sinosoft全體員工。本安全策略由Sinosoft行政管理部負(fù)責(zé)解釋，自發(fā)布之日起執(zhí)行。參考信息安全戰(zhàn)略和體系架構(gòu)設(shè)計(jì)信息安全手冊(cè)公司程序文件公司管理辦法PAGE術(shù)語(yǔ)和定義解釋信息安全是指保護(hù)信息資產(chǎn)免受多種安全威脅，保證業(yè)務(wù)連續(xù)性，將安全事件造成的損失降至最小，同時(shí)最大限度地獲得投資回報(bào)和商業(yè)機(jī)遇?？捎眯源_保經(jīng)過(guò)授權(quán)的用戶在需要時(shí)可以訪問(wèn)信息并使用相關(guān)信息資產(chǎn)。保密性確保只有經(jīng)過(guò)授權(quán)的人才能訪問(wèn)信息。完整性保護(hù)信息和信息的處理方法準(zhǔn)確而完整。保密信息Sinosoft安全規(guī)章定義的密級(jí)信息。信息安全策略正確使用和管理IT信息資源并保護(hù)這些資源使得它們擁有更好的保密性、完整性、可用性的策略。風(fēng)險(xiǎn)評(píng)估評(píng)估信息安全漏洞對(duì)信息處理設(shè)備帶來(lái)的威脅和影響及其發(fā)生的可能性。風(fēng)險(xiǎn)管理以可以接受的成本，確認(rèn)、控制、排除可能影響信息系統(tǒng)的安全風(fēng)險(xiǎn)或?qū)⑵鋷?lái)的危害最小化的過(guò)程。計(jì)算機(jī)機(jī)房裝有計(jì)算機(jī)主機(jī)、服務(wù)器和相關(guān)設(shè)備的，除了安裝和維護(hù)的情況外，不允許人員在里邊工作的專用房間。員工在Sinosoft系統(tǒng)內(nèi)工作的正式員工、雇傭的臨時(shí)工作人員。用戶被授權(quán)能使用IT系統(tǒng)的人員。信息資產(chǎn)與信息系統(tǒng)相關(guān)聯(lián)的信息、信息的處理設(shè)備和服務(wù)。信息資產(chǎn)責(zé)任人是指對(duì)某項(xiàng)信息資產(chǎn)安全負(fù)責(zé)的人員。合作單位是指與Sinosoft有業(yè)務(wù)往來(lái)的單位，包括承包商、服務(wù)提供商、設(shè)備廠商、外包服務(wù)商、貿(mào)易伙伴等。第三方訪問(wèn)指非本單位的人員對(duì)信息系統(tǒng)的訪問(wèn)。安全事件利用信息系統(tǒng)的安全漏洞，對(duì)信息資產(chǎn)的保密性、完整性和可用性造成危害的事件。故障是指信息的處理、傳輸設(shè)備運(yùn)行出現(xiàn)意外障礙，以至影響信息系統(tǒng)正常運(yùn)轉(zhuǎn)的事件。安全審計(jì)通過(guò)將所選類型的事件記錄在服務(wù)器或工作站的安全日志中用來(lái)跟蹤用戶活動(dòng)的過(guò)程。超時(shí)設(shè)置用戶如果超過(guò)特定的時(shí)限沒(méi)有進(jìn)行動(dòng)作，就觸發(fā)其他事件（如斷開連接、鎖定用戶等）。詞語(yǔ)使用必須表示強(qiáng)制性的要求。應(yīng)當(dāng)好的做法所要達(dá)到的要求，條件允許就要實(shí)施?？梢员硎鞠Ｍ_(dá)到的要求。Sinosoft信息系統(tǒng)安全策略目標(biāo)：為信息安全提供管理指導(dǎo)和支持，并與業(yè)務(wù)要求和相關(guān)的法律法規(guī)保持一致。策略下發(fā)本策略必須得到Sinosoft管理層批準(zhǔn)，并向Sinosoft所有員工和相關(guān)第三方公布傳達(dá)，全體人員必須履行相關(guān)的義務(wù)，享受相應(yīng)的權(quán)利，承擔(dān)相關(guān)的責(zé)任。策略維護(hù)本策略通過(guò)以下方式進(jìn)行文檔的維護(hù)工作：必須每年按照《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》進(jìn)行例行的風(fēng)險(xiǎn)評(píng)估，如遇以下情況必須及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估：發(fā)生重大安全事故組織或技術(shù)基礎(chǔ)結(jié)構(gòu)發(fā)生重大變更安全管理小組認(rèn)為應(yīng)當(dāng)進(jìn)行風(fēng)險(xiǎn)評(píng)估的其他應(yīng)當(dāng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估的情形風(fēng)險(xiǎn)評(píng)估之后根據(jù)需要進(jìn)行安全策略條目修訂，并在Sinosoft內(nèi)公布傳達(dá)。策略評(píng)審每年必須參照《信息安全管理評(píng)審程序》執(zhí)行公司管理評(píng)審。適用范圍適用范圍是指本策略使用和涵蓋的對(duì)象，包括Sinosoft現(xiàn)有的業(yè)務(wù)系統(tǒng)、硬件資產(chǎn)、軟件資產(chǎn)、信息、通用服務(wù)、物理安全區(qū)域等。對(duì)于即將投入使用和今后規(guī)劃的信息系統(tǒng)項(xiàng)目也必須參照本策略執(zhí)行。Sinosoft信息系統(tǒng)安全組織目標(biāo)：在Sinosoft組織內(nèi)部管理信息安全，保持可被外部組織訪問(wèn)、處理、溝通或管理的Sinosoft信息及信息處理設(shè)備的安全。內(nèi)部組織Sinosoft的管理層對(duì)信息安全承擔(dān)最終責(zé)任。管理者職責(zé)參見(jiàn)《信息安全委員會(huì)組織機(jī)構(gòu)》。Sinosoft的信息系統(tǒng)安全管理工作采取行政管理部統(tǒng)一管理方式，其他相關(guān)部門/單位配合執(zhí)行。Sinosoft的內(nèi)部信息安全組織為信息安全管理委員會(huì)，委員會(huì)的人員組成以及相關(guān)職責(zé)參見(jiàn)《信息安全委員會(huì)組織機(jī)構(gòu)》。Sinosoft各個(gè)部門之間必須緊密配合共同進(jìn)行信息安全系統(tǒng)的維護(hù)和建設(shè)。相關(guān)部門崗位的分工與責(zé)任參見(jiàn)《崗位說(shuō)明書》。任何新的信息系統(tǒng)處理設(shè)施必須經(jīng)過(guò)管理授權(quán)的過(guò)程。并更新至《信息資產(chǎn)識(shí)別表》。Sinosoft信息系統(tǒng)內(nèi)的每個(gè)重要的資產(chǎn)需要明確所有者、安全責(zé)任人、安全維護(hù)人員、使用人員。參見(jiàn)《信息資產(chǎn)識(shí)別表》。凡是涉及Sinosoft重要信息、機(jī)密信息（相關(guān)定義參見(jiàn)《保密管理規(guī)定》等信息的處理，相關(guān)的Sinosoft工作崗位員工以及第三方都必須簽署保密協(xié)議。應(yīng)當(dāng)與政府機(jī)構(gòu)保持必要的聯(lián)系共同協(xié)調(diào)信息安全相關(guān)問(wèn)題。這些部門包括執(zhí)法部門、消防部門、上級(jí)監(jiān)管部門、電信供應(yīng)商等提供公共服務(wù)的部門。應(yīng)當(dāng)與相關(guān)信息安全團(tuán)體保持聯(lián)系，以取得信息安全上必要的支持。這些團(tuán)體包括外部安全咨詢商、獨(dú)立的安全技術(shù)專家等。信息安全管理小組每年至少進(jìn)行一次信息安全風(fēng)險(xiǎn)評(píng)估工作（參照《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》，并對(duì)安全策略進(jìn)行復(fù)審。信息安全領(lǐng)導(dǎo)小組每年對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)果和安全策略的修改進(jìn)行審批。每年或者發(fā)生重大信息安全變化時(shí)必須參照《信息安全管理評(píng)審程序》執(zhí)行公司管理評(píng)審。外部組織第三方訪問(wèn)是指非Sinosoft人員對(duì)信息系統(tǒng)的的訪問(wèn)。第三方至少包含如下人員：硬件及軟件技術(shù)支持、維護(hù)人員；項(xiàng)目現(xiàn)場(chǎng)實(shí)施人員；外單位參觀人員；合作單位人員；客戶；清潔人員、送餐人員、快遞、保安以及其它外包的支持服務(wù)人員；第三方的訪問(wèn)類型包括物理訪問(wèn)和邏輯訪問(wèn)。物理訪問(wèn)：重點(diǎn)考慮安全要求較高區(qū)域的訪問(wèn)，包括計(jì)算機(jī)機(jī)房、重要辦公區(qū)域和存放重要物品區(qū)域等；邏輯訪問(wèn)：主機(jī)系統(tǒng)網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)庫(kù)系統(tǒng)應(yīng)用系統(tǒng)第三方訪問(wèn)需要進(jìn)行以下的風(fēng)險(xiǎn)評(píng)估后方可對(duì)訪問(wèn)進(jìn)行授權(quán)。被訪問(wèn)資產(chǎn)是否會(huì)損壞或者帶來(lái)安全隱患；客戶是否與Sinosoft有商業(yè)利益沖突；是否已經(jīng)完成了相關(guān)的權(quán)限設(shè)定，對(duì)訪問(wèn)加以控制；是否有過(guò)違反安全規(guī)定的記錄；是否與法律法規(guī)有沖突，是否會(huì)涉及知識(shí)產(chǎn)權(quán)糾紛；第三方進(jìn)行訪問(wèn)之前必須經(jīng)過(guò)被訪問(wèn)系統(tǒng)的安全責(zé)任人的審核批準(zhǔn)，包括物理訪問(wèn)的區(qū)域和邏輯訪問(wèn)的權(quán)限。（物理訪問(wèn)區(qū)域安全責(zé)任人按《物理訪問(wèn)控制管理規(guī)定》執(zhí)行。）對(duì)于第三方參與的項(xiàng)目，必須在合同中明確規(guī)定人員的安全責(zé)任，必要時(shí)應(yīng)當(dāng)簽署保密協(xié)議。第三方必須遵守Sinosoft的信息安全策略以及《參觀保密協(xié)議》，Sinosoft保留對(duì)第三方的工作進(jìn)行審核的權(quán)利。Sinosoft資產(chǎn)管理目標(biāo)：通過(guò)及時(shí)更新的信息資產(chǎn)目錄對(duì)Sinosoft信息資產(chǎn)進(jìn)行適當(dāng)?shù)谋Ｗo(hù)。資產(chǎn)責(zé)任所有Sinosoft的信息資產(chǎn)必須登記入冊(cè)，對(duì)于有形資產(chǎn)必須進(jìn)行標(biāo)識(shí)，同時(shí)資產(chǎn)信息應(yīng)當(dāng)及時(shí)更新。每項(xiàng)信息資產(chǎn)在登記入冊(cè)及更新時(shí)必須指定信息資產(chǎn)的安全責(zé)任人，信息資產(chǎn)的安全責(zé)任人必須負(fù)責(zé)該信息資產(chǎn)的安全。所有Sinosoft員工和第三方都必須遵守本策略中第65條至第102條關(guān)于信息設(shè)備安全管理的規(guī)定，以保護(hù)Sinosoft信息處理設(shè)備（包括移動(dòng)設(shè)備和在非公共地點(diǎn)使用的設(shè)備）的安全。信息分類必須明確確認(rèn)每項(xiàng)信息資產(chǎn)及其責(zé)任人和安全分類，信息資產(chǎn)包括業(yè)務(wù)系統(tǒng)、硬件資產(chǎn)、軟件資產(chǎn)、信息資產(chǎn)、物理設(shè)備和IT環(huán)境設(shè)施。（詳見(jiàn)《信息資產(chǎn)識(shí)別表》）。必須建立信息資產(chǎn)管理登記制度，至少詳細(xì)記錄信息資產(chǎn)的分類、名稱、用途、資產(chǎn)所有者、安全責(zé)任人、安全維護(hù)人員、使用人員、入庫(kù)時(shí)間、有效時(shí)限、報(bào)廢時(shí)間、借用及返還情況等，便于查找和使用。信息資產(chǎn)應(yīng)當(dāng)標(biāo)明適用范圍。應(yīng)當(dāng)在每個(gè)有形信息資產(chǎn)上進(jìn)行標(biāo)識(shí)。當(dāng)信息資產(chǎn)進(jìn)行拷貝、存儲(chǔ)、傳輸（如郵遞、傳真、電子郵件以及語(yǔ)音傳輸【包括電話、語(yǔ)音郵件、應(yīng)答機(jī)】等）或者銷毀等信息處理時(shí)，應(yīng)當(dāng)參照《保密管理規(guī)定》或者制定妥善的處理步驟并執(zhí)行。對(duì)重要的資料檔案要妥善保管，以防丟失泄密，其廢棄的打印紙及磁介質(zhì)等，應(yīng)按Sinosoft有關(guān)規(guī)定進(jìn)行處理。Sinosoft人員信息安全管理目標(biāo)：確保所有的員工、合同方和第三方用戶了解信息安全威脅和相關(guān)事宜、明確并履行信息安全責(zé)任和義務(wù)，并在日常工作中支持Sinosoft的信息安全方針，減少人為錯(cuò)誤的風(fēng)險(xiǎn)，減少盜竊、濫用或設(shè)施誤用的風(fēng)險(xiǎn)。人員雇傭Sinosoft員工必須了解相關(guān)的信息安全責(zé)任，必須遵守《崗位說(shuō)明書》。對(duì)第三方訪問(wèn)人員和臨時(shí)性員工，也必須遵守《參觀保密協(xié)議》。涉及重要信息系統(tǒng)管理的員工、合同方及第三方應(yīng)當(dāng)進(jìn)行相關(guān)技術(shù)背景調(diào)查和能力考評(píng)；涉及重要信息系統(tǒng)管理的員工、合同方及第三方應(yīng)在合同中明確其信息安全責(zé)任并簽署保密協(xié)議；雇傭中Sinosoft管理層必須要求所有的員工、合同方及第三方用戶執(zhí)行Sinosoft信息安全的相關(guān)規(guī)定；應(yīng)當(dāng)設(shè)定信息安全的相關(guān)獎(jiǎng)勵(lì)措施，任何違反信息安全策略的行為都將收到懲戒，具體執(zhí)行辦法參見(jiàn)《信息安全獎(jiǎng)懲規(guī)定》；將信息安全培訓(xùn)加入員工培訓(xùn)中，培訓(xùn)材料應(yīng)當(dāng)包括下列內(nèi)容：Sinosoft信息安全策略Sinosoft信息安全制度相關(guān)獎(jiǎng)懲辦法應(yīng)當(dāng)按下列群體進(jìn)行不同類型的信息安全培訓(xùn)：Sinosoft全體員工需要遵守Sinosoft信息安全策略、規(guī)章制度和各項(xiàng)操作流程的第三方人員信息安全培訓(xùn)必須至少每年舉行一次，讓不同部門的人員能受到適當(dāng)?shù)男畔踩嘤?xùn)。必須參加計(jì)算機(jī)信息安全培訓(xùn)的人員包括：計(jì)算機(jī)信息系統(tǒng)使用單位的安全管理責(zé)任人；重點(diǎn)單位或核心計(jì)算機(jī)信息系統(tǒng)的維護(hù)和管理人員；其他從事計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作的人員；能夠接觸到敏感數(shù)據(jù)或機(jī)密信息的關(guān)鍵用戶。人員信息安全管理原則員工錄用時(shí)，人力資源部或調(diào)入部門必須及時(shí)書面通知行政管理部添加相關(guān)的口令、帳號(hào)及權(quán)限等并備案。員工在崗位變動(dòng)時(shí)，必須移交調(diào)出崗位的相關(guān)資料和有關(guān)文檔，檢查并歸還在Sinosoft借出的重要信息。人力資源部或調(diào)入部門必須及時(shí)書面通知行政管理部修改和刪除相關(guān)的口令、帳號(hào)及權(quán)限等。員工在調(diào)離時(shí)必須進(jìn)行信息安全檢查。調(diào)離人員必須移交全部資料和有關(guān)文檔，刪除自己的文件、帳號(hào)，檢查并歸還在Sinosoft借出的保密信息。由人力資源部書面通知行政管理部刪除相關(guān)的口令、帳號(hào)、權(quán)限等信息。用戶帳號(hào)三個(gè)月未使用的將在系統(tǒng)中自動(dòng)失效。必須每半年進(jìn)行用戶使用情況的統(tǒng)計(jì)，凡是半年及半年以上未使用的帳號(hào)經(jīng)相關(guān)部門確認(rèn)后刪除。如有特殊情況，必須事先得到部門經(jīng)理及安全責(zé)任人的批準(zhǔn)。對(duì)第三方訪問(wèn)人員和臨時(shí)性員工，也必須執(zhí)行第38條到第41條的相關(guān)規(guī)定。物理和環(huán)境安全安全區(qū)域目標(biāo)：防止對(duì)Sinosoft工作場(chǎng)所和信息的非法訪問(wèn)、破壞和干擾。Sinosoft必須明確劃分安全區(qū)域。安全區(qū)域至少包括Sinosoft各計(jì)算機(jī)機(jī)房、檔案室，IT部門、財(cái)務(wù)部、人力資源部等部門。所有進(jìn)入本公司的人員都需經(jīng)過(guò)授權(quán)，本公司員工之外的人員進(jìn)入本公司必須登記換取來(lái)賓卡才能進(jìn)入(得到被訪者允許)。無(wú)人值守的門和窗戶必須上鎖，對(duì)于直接與外部相連的安全區(qū)域的窗戶必須考慮窗戶的外部保護(hù)；應(yīng)按照地方、國(guó)內(nèi)和國(guó)際標(biāo)準(zhǔn)建立適當(dāng)?shù)娜肭謾z測(cè)體系，并定期檢測(cè)以覆蓋所有的外部門窗；安全區(qū)域必須配備充足的安全設(shè)備，例如熱敏和煙氣探測(cè)器、火警系統(tǒng)、滅火設(shè)備，并對(duì)設(shè)備定期檢查；只要可行，安全區(qū)域進(jìn)出控制應(yīng)當(dāng)采用合適的電子卡或磁卡，并能雙向控制；對(duì)安全區(qū)域的訪問(wèn)必須進(jìn)行記錄和控制，以確保只有經(jīng)過(guò)授權(quán)的人員才可以訪問(wèn)。對(duì)機(jī)房的訪問(wèn)管理參見(jiàn)《機(jī)房管理規(guī)定》，其它區(qū)域可參照?qǐng)?zhí)行。機(jī)房建設(shè)應(yīng)符合GB9361中C類安全機(jī)房的要求；危險(xiǎn)或易燃材料應(yīng)在離安全區(qū)域安全距離以外的地方存放。大批供應(yīng)品（例如文具等）不應(yīng)存放于特殊安全區(qū)域內(nèi)；應(yīng)當(dāng)控制外來(lái)人員對(duì)公共辦公區(qū)域的訪問(wèn)，一般來(lái)說(shuō)，非本公司人員必須要在主要出入口處填寫《來(lái)訪人員登記表》，并且在顯眼處佩戴本公司發(fā)出的來(lái)賓卡，由Sinosoft員工陪同。外來(lái)人員訪問(wèn)三級(jí)含三級(jí)以上區(qū)域需簽署《參觀保密協(xié)議》；本公司工作人員都必須在顯眼處佩帶胸卡，并且調(diào)離本公司時(shí)，其實(shí)際進(jìn)入權(quán)也同時(shí)相應(yīng)取消；任何人如需要申請(qǐng)使用本公司感應(yīng)卡門禁，申請(qǐng)人必須先填寫《門禁權(quán)限申請(qǐng)表》并獲得管理部或其授權(quán)代表的批準(zhǔn)；管理部應(yīng)定期(每三個(gè)月)審查訪問(wèn)本公司的人員名單并將進(jìn)出權(quán)限過(guò)期或作廢的人員從名單上劃掉。同時(shí)審查門禁系統(tǒng)控制權(quán)限分配，確保門禁權(quán)限控制正確。關(guān)鍵和敏感設(shè)施應(yīng)當(dāng)存放在與公共辦公區(qū)域相對(duì)隔離的場(chǎng)地，并應(yīng)設(shè)計(jì)且實(shí)施保護(hù)，禁止在公共辦公區(qū)域處理重要的信息設(shè)施；危險(xiǎn)或易燃物品應(yīng)當(dāng)擺放在離安全區(qū)域安全距離之外，機(jī)房操作員應(yīng)當(dāng)參見(jiàn)《機(jī)房管理規(guī)定》中的要求執(zhí)行值班任務(wù)?；謴?fù)設(shè)備和備份介質(zhì)的存放地點(diǎn)應(yīng)與主場(chǎng)地有一段安全的距離，要考慮信息設(shè)備面臨的可能的安全威脅，參考《業(yè)務(wù)持續(xù)性管理程序》的內(nèi)容制定對(duì)應(yīng)的業(yè)務(wù)連續(xù)性計(jì)劃，并要定期演練。人員離開安全區(qū)域時(shí)應(yīng)當(dāng)及時(shí)上鎖。除非經(jīng)過(guò)安全責(zé)任人授權(quán)，在安全區(qū)域不允許使用圖象、視頻、音頻或其它記錄設(shè)備。向本公司發(fā)送貨物必須預(yù)先通知管理部或其授權(quán)代表；送貨公司名稱和交貨時(shí)間應(yīng)當(dāng)在接收貨物之前由監(jiān)督人員確認(rèn)；送貨公司在進(jìn)入本公司區(qū)域之前要經(jīng)過(guò)工作人員鑒別確認(rèn)；管理部或其授權(quán)代表應(yīng)安排人員檢驗(yàn)貨物，以保證沒(méi)有潛在的危害。設(shè)備安全目標(biāo)：防止資產(chǎn)的丟失、損壞或被盜，以及對(duì)組織業(yè)務(wù)活動(dòng)的干擾。設(shè)備應(yīng)進(jìn)行適當(dāng)安置，以盡量減少不必要的對(duì)工作區(qū)域的訪問(wèn)；應(yīng)把處理敏感數(shù)據(jù)的信息處理設(shè)施放在適當(dāng)?shù)南拗朴^測(cè)的位置，以減少在其使用期間信息被窺視的風(fēng)險(xiǎn)，還應(yīng)保護(hù)儲(chǔ)存設(shè)施以防止未授權(quán)訪問(wèn)；要求專門保護(hù)的部件要予以隔離，以降低所要求的總體保護(hù)等級(jí)；應(yīng)采取控制措施以減小潛在的物理威脅的風(fēng)險(xiǎn)，例如偷竊、火災(zāi)、爆炸、煙霧、水（或供水故障）、塵埃、振動(dòng)、化學(xué)影響、電源干擾、通信干擾、電磁輻射和故意破壞；在信息處理設(shè)施附近禁止進(jìn)食、喝飲料和抽煙；對(duì)于可能對(duì)信息處理設(shè)施運(yùn)行狀態(tài)產(chǎn)生負(fù)面影響的環(huán)境條件（例如溫度和濕度）要予以監(jiān)視；所有建筑物都應(yīng)采用避雷保護(hù)，所有進(jìn)入的電源和通信線路都應(yīng)裝配雷電保護(hù)過(guò)濾器；應(yīng)保護(hù)處理敏感信息的設(shè)備，以減少信息泄露的風(fēng)險(xiǎn)；極其重要設(shè)備應(yīng)部署在不同位置。計(jì)算機(jī)機(jī)房必須提供環(huán)境保障，機(jī)房建設(shè)必須遵照相關(guān)的機(jī)房建設(shè)規(guī)范進(jìn)行。如中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)GB50174《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》，必須提供：穩(wěn)定的電源供給可靠的空氣質(zhì)量控制（溫度，濕度，污染度）防火，防水，防高溫，防雷應(yīng)盡量減少對(duì)機(jī)房不必要的訪問(wèn)，在機(jī)房?jī)?nèi)工作必須遵守《機(jī)房管理規(guī)定》。Sinosoft各計(jì)算機(jī)機(jī)房是重要的信息處理場(chǎng)所，必須嚴(yán)格執(zhí)行Sinosoft有關(guān)安全保密制度和規(guī)定，并防止重要信息的泄露，保證業(yè)務(wù)數(shù)據(jù)、信息、資料的準(zhǔn)確、安全可靠。計(jì)算機(jī)機(jī)房應(yīng)列為單位重點(diǎn)防火部位，按照規(guī)定配備足夠數(shù)量的消防器材，并定期檢查更換。機(jī)房工作人員要熟悉機(jī)房消防用品的存放位置及使用方法，必須掌握防火設(shè)施的使用方法和步驟；要熟悉設(shè)備電源和照明用電以及其它電氣設(shè)備總開關(guān)位置，掌握切斷電源的方法和步驟。在遇到突發(fā)緊急情況時(shí)，必須以保護(hù)人身安全為首要目標(biāo)。定期對(duì)機(jī)房供電線路及照明器具進(jìn)行檢查，防止因線路老化短路造成火災(zāi)。應(yīng)當(dāng)按照設(shè)備維護(hù)要求的時(shí)間間隔和規(guī)范，對(duì)設(shè)備進(jìn)行維護(hù)。第三方支持和維護(hù)人員對(duì)重要設(shè)備技術(shù)支持前，必須經(jīng)過(guò)安全責(zé)任人的授權(quán)或?qū)徟?。并且在?duì)重要設(shè)備現(xiàn)場(chǎng)實(shí)施過(guò)程中必須有Sinosoft相關(guān)人員全程陪同，詳細(xì)規(guī)定參見(jiàn)《參觀保密協(xié)議》、《物理訪問(wèn)控制管理規(guī)定》。設(shè)備的安全與重用應(yīng)當(dāng)按規(guī)定的操作程序來(lái)處理，特別是包含重要信息的存儲(chǔ)設(shè)備，應(yīng)按照相關(guān)規(guī)定，以確定是否銷毀、修理或棄用該設(shè)備。對(duì)棄置的存儲(chǔ)有敏感信息的存儲(chǔ)設(shè)備，必須將其銷毀，或重寫數(shù)據(jù)，而不能只是使用標(biāo)準(zhǔn)的刪除功能進(jìn)行數(shù)據(jù)刪除。當(dāng)員工離開時(shí)，對(duì)于載有重要信息的紙張和可移動(dòng)的存儲(chǔ)介質(zhì)，應(yīng)當(dāng)妥善保管。遠(yuǎn)程辦公人員有責(zé)任保護(hù)移動(dòng)設(shè)備的安全，未經(jīng)網(wǎng)管中心批準(zhǔn)，不得在公共場(chǎng)所訪問(wèn)Sinosoft內(nèi)部網(wǎng)絡(luò)。未經(jīng)信息安全責(zé)任人授權(quán)，不允許將載有重要信息的設(shè)備、信息或軟件帶離工作場(chǎng)所。機(jī)房?jī)?nèi)設(shè)備的出入必須填寫《機(jī)房進(jìn)出記錄》。敷設(shè)到本公司內(nèi)各個(gè)區(qū)域的其它電纜線的保護(hù)方式如下：1、進(jìn)入信息處理設(shè)施的電源和通信線路宜在地下，若可能，或提供足夠的可替換的保護(hù)；2、網(wǎng)絡(luò)布纜要免受未授權(quán)竊聽或損壞，例如，利用電纜管道或使路由避開公眾區(qū)域；3、為了防止干擾，電源電纜要與通信電纜分開；4、使用清晰的可識(shí)別的電纜和設(shè)備記號(hào)，以使處理失誤最小化，例如，錯(cuò)誤網(wǎng)絡(luò)電纜的意外配線；5、使用文件化配線列表減少失誤的可能性；6、對(duì)于敏感的或關(guān)鍵的系統(tǒng)，更進(jìn)一步的控制考慮應(yīng)包括：在檢查點(diǎn)和終接點(diǎn)處安裝鎧裝電纜管道和上鎖的房間或盒子；使用可替換的路由選擇和/或傳輸介質(zhì)，以提供適當(dāng)?shù)陌踩胧皇褂美w維光纜；使用電磁防輻射裝置保護(hù)電纜；對(duì)于電纜連接的未授權(quán)裝置要主動(dòng)實(shí)施技術(shù)清除、物理檢查；控制對(duì)配線盤和電纜室的訪問(wèn)；設(shè)備維護(hù)應(yīng)按照供應(yīng)商推薦的服務(wù)時(shí)間間隔和規(guī)范對(duì)設(shè)備進(jìn)行維護(hù)，應(yīng)遵守由保險(xiǎn)策略所施加的所有要求；由供貨商維護(hù)的設(shè)備。各種維護(hù)活動(dòng)要按照合同協(xié)議或設(shè)備購(gòu)買時(shí)的維護(hù)計(jì)劃進(jìn)行。設(shè)備管理責(zé)任部門和責(zé)任人要每年年初制訂《設(shè)備維護(hù)計(jì)劃》，《設(shè)備維護(hù)計(jì)劃》中列明設(shè)備維護(hù)的內(nèi)容、維護(hù)時(shí)間與周期、維護(hù)人員、維護(hù)費(fèi)用等內(nèi)容。設(shè)備維護(hù)可分為日常維護(hù)（一級(jí)維護(hù)）、年度維護(hù)（二級(jí)維護(hù)）。日常維護(hù)由設(shè)備使用者在日常使用時(shí)進(jìn)行，維護(hù)項(xiàng)目限于查看設(shè)備外觀有無(wú)明顯損壞、是否正常工作、是否通電正常等內(nèi)；年度維護(hù)一般由供應(yīng)商進(jìn)行，在專業(yè)性上要求比日常維護(hù)都要強(qiáng)，包括一年一次或幾年一次不等，年度維護(hù)側(cè)重于設(shè)備潛在故障的及早發(fā)現(xiàn)和處理，年度維護(hù)后，要將維護(hù)項(xiàng)目、維護(hù)過(guò)程、維護(hù)人員、維護(hù)結(jié)果等內(nèi)容詳細(xì)記錄在《設(shè)備維護(hù)記錄》中。只有已授權(quán)的維護(hù)人員才可對(duì)設(shè)備進(jìn)行修理和服務(wù)，授權(quán)人員包括本公司內(nèi)部人員，也包括供應(yīng)商。無(wú)論內(nèi)部人員還是外部人員，都必須具備相應(yīng)的能力，并遵守安裝維護(hù)操作步驟和安全保護(hù)規(guī)則。在對(duì)設(shè)備進(jìn)行維護(hù)時(shí)，要根據(jù)不同的維護(hù)內(nèi)容及可能產(chǎn)生的風(fēng)險(xiǎn)，考慮是由內(nèi)部人員執(zhí)行還是由外部人員執(zhí)行，在外部人員對(duì)設(shè)備進(jìn)行維護(hù)時(shí)，應(yīng)實(shí)施適當(dāng)?shù)目刂?，需要時(shí)，敏感信息需要從設(shè)備中刪除或確保維護(hù)人員對(duì)其不具有訪問(wèn)權(quán)限。對(duì)于由內(nèi)部人員維護(hù)的設(shè)備，要依據(jù)設(shè)備供應(yīng)商推薦的間隔和規(guī)范對(duì)設(shè)備進(jìn)行維護(hù)。在設(shè)備維護(hù)過(guò)程中，要保存所有可疑的或?qū)嶋H的故障和所有預(yù)防、糾正維護(hù)的記錄，這些記錄包括日志、故障報(bào)告記錄等。本公司原則上禁止設(shè)備移出本公司物理環(huán)境。如確因工作需要，如展會(huì)、維修等，需將本公司的服務(wù)器、交換機(jī)、路由器等信息設(shè)備移到本公司辦公地點(diǎn)外使用，需要填寫《重要信息資產(chǎn)出司登記審批表》，經(jīng)過(guò)責(zé)任部門經(jīng)理的批準(zhǔn)后才能移出本公司物理環(huán)境。如需要供應(yīng)商將設(shè)備移出本公司物理環(huán)境進(jìn)行維修時(shí)，在設(shè)備移出前，設(shè)備管理人員要將設(shè)備中敏感信息從設(shè)備中刪除或確保維護(hù)人員對(duì)其不可訪問(wèn)或獲取。離開建筑物的信息設(shè)備和移動(dòng)介質(zhì)在公共場(chǎng)所要有專人看護(hù)和保管，不允許無(wú)人值守，適當(dāng)時(shí)，還要施加其它措施進(jìn)行控制，例如上鎖，以防止損壞、盜竊等事件發(fā)生。離開辦公場(chǎng)所的設(shè)備的保護(hù)應(yīng)考慮下列措施：1、離開建筑物的設(shè)備和介質(zhì)在公共場(chǎng)所不應(yīng)無(wú)人看管。在旅行時(shí)便攜式計(jì)算機(jī)要作為手提行李攜帶，若可能宜偽裝起來(lái)；2、制造商的設(shè)備保護(hù)說(shuō)明要始終加以遵守，例如，防止暴露于強(qiáng)電磁場(chǎng)內(nèi)；3、家庭工作的控制措施應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估確定，當(dāng)適合時(shí)，要施加合適的控制措施，例如，可上鎖的存檔柜、清理桌面策略、對(duì)計(jì)算機(jī)的訪問(wèn)控制以及與辦公室的安全通信；4、足夠的安全保障掩蔽物宜到位，以保護(hù)離開辦公場(chǎng)所的設(shè)備。安全風(fēng)險(xiǎn)在不同場(chǎng)所可能有顯著不同，例如，損壞、盜竊和截取，要考慮確定最合適的控制措施。其它信息用于家庭工作或從正常工作地點(diǎn)運(yùn)走的信息存儲(chǔ)和處理設(shè)備包括所有形式的個(gè)人計(jì)算機(jī)、管理設(shè)備、移動(dòng)電話、智能卡、紙張及其他形式的設(shè)備。設(shè)備報(bào)廢處置時(shí)，存有敏感信息的存儲(chǔ)設(shè)備要從物理上加以銷毀，或用安全方式對(duì)信息加以覆蓋，而不能采用常用的標(biāo)準(zhǔn)刪除功能來(lái)刪除。所有帶有諸如硬盤等儲(chǔ)存媒介的設(shè)備在報(bào)廢前都要對(duì)其檢查，以確保其內(nèi)存儲(chǔ)的敏感信息和授權(quán)專用軟件已被清除或覆蓋。存有敏感數(shù)據(jù)的已損壞的存儲(chǔ)設(shè)備要對(duì)其進(jìn)行風(fēng)險(xiǎn)評(píng)估，以決定是否對(duì)其銷毀、修理或遺棄。為保證信息安全，必須在處理介質(zhì)前擦除有關(guān)的敏感信息：1、用碎紙機(jī)銷毀所有的敏感紙質(zhì)記錄。廢紙可在碎紙后立即處置掉。2、本公司里面不應(yīng)積累過(guò)量紙質(zhì)記錄。所有的紙質(zhì)記錄都必須在處置前銷毀。3、磁帶和磁盤必須在處置前實(shí)際銷毀和核對(duì)。4、數(shù)據(jù)存儲(chǔ)光盤應(yīng)在處置前實(shí)際銷毀。凡敏感性介質(zhì)的處置都必須經(jīng)過(guò)主管領(lǐng)導(dǎo)的批準(zhǔn)并記錄在「報(bào)廢記錄表」留待審計(jì)時(shí)備查。設(shè)備的移動(dòng)應(yīng)考慮如下措施：1、在未經(jīng)事先授權(quán)的情況下，不應(yīng)讓設(shè)備、信息或軟件離開辦公場(chǎng)所；2、明確識(shí)別有權(quán)允許信息資產(chǎn)移動(dòng)，離開辦公場(chǎng)所的雇員、承包方人員和第三方人員；3、應(yīng)設(shè)置設(shè)備移動(dòng)的時(shí)間限制，并在返還時(shí)執(zhí)行符合性檢查；若需要并合適，要對(duì)設(shè)備作出移出記錄，當(dāng)返回時(shí)，要作出送回記錄。應(yīng)執(zhí)行檢測(cè)未授權(quán)信息資產(chǎn)移動(dòng)的抽查，以檢測(cè)未授權(quán)的記錄裝置、武器等等，防止他們進(jìn)入辦公場(chǎng)所。這樣的抽查應(yīng)按照相關(guān)規(guī)章制度執(zhí)行。應(yīng)讓每個(gè)人都知道將進(jìn)行抽查，并且只能在法律法規(guī)要求的適當(dāng)授權(quán)下執(zhí)行檢查。Sinosoft通信和操作管理操作程序和責(zé)任目標(biāo)：確保信息處理設(shè)施的正確和安全操作與信息處理和通信設(shè)施相關(guān)的系統(tǒng)活動(dòng)應(yīng)具備形成文件的程序，例如計(jì)算機(jī)啟動(dòng)和關(guān)機(jī)程序、備份、設(shè)備維護(hù)、介質(zhì)處理、計(jì)算機(jī)機(jī)房、郵件處置管理和物理安全等。操作流程必須形成文件、保持并對(duì)所有需要的用戶可用，并只有經(jīng)授權(quán)才可以修改。操作程序應(yīng)詳細(xì)規(guī)定執(zhí)行每項(xiàng)工作的說(shuō)明，其內(nèi)容包括：1、信息處理和處置；2、備份；3、時(shí)間安排要求，包括與其他系統(tǒng)的相互關(guān)系、最早工作開始時(shí)間和最后工作完成期限；4、對(duì)在工作執(zhí)行期間可能出現(xiàn)的處理差錯(cuò)或其它異常情況的指導(dǎo)，包括對(duì)使用系統(tǒng)實(shí)用工具的限制；5、出現(xiàn)不期望操作或技術(shù)困難事件時(shí)的支持性聯(lián)絡(luò)；6、特定輸出及介質(zhì)處理的指導(dǎo)，包括任務(wù)失敗時(shí)輸出的安全處置程序；7、系統(tǒng)失效時(shí)使用的系統(tǒng)重啟和恢復(fù)程序；8、審核跟蹤和系統(tǒng)日志信息的管理。要將操作程序和系統(tǒng)活動(dòng)文件化，其變更由管理者授權(quán)。技術(shù)上可行時(shí)，信息系統(tǒng)應(yīng)使用相同的程序、工具和實(shí)用程序進(jìn)行一致的管理。1、操作系統(tǒng)和應(yīng)用軟件應(yīng)有嚴(yán)格的變更管理控制。應(yīng)考慮如下內(nèi)容；2、重大變更的標(biāo)識(shí)和記錄；3、變更的策劃和測(cè)試；4、對(duì)這種變更的潛在影響的評(píng)估，包括安全影響；5、對(duì)建議變更的正式批準(zhǔn)程序；6、向所有有關(guān)人員傳達(dá)變更細(xì)節(jié)；7、返回程序，包括從不成功變更和未預(yù)料事件中退出和恢復(fù)的程序與職責(zé)。本公司確保對(duì)信息處理設(shè)施和系統(tǒng)的變更有適當(dāng)控制，包括：1、變更前測(cè)試；2、所有變更相關(guān)信息的審計(jì)日志記錄都必須保留最少一年。具體變更管理控制參見(jiàn)《變更控制程序》。批準(zhǔn)變更請(qǐng)求后，行政管理部會(huì)安排其操作人員準(zhǔn)備實(shí)施變更。操作人員會(huì)在變更請(qǐng)求獲得批準(zhǔn)后約定的時(shí)間內(nèi)實(shí)施變更，并確保不會(huì)對(duì)現(xiàn)有的平臺(tái)造成意外的服務(wù)影響。行政管理部負(fù)責(zé)參與評(píng)審重大變更需求評(píng)審，確保變更不會(huì)造成安全影響。處理敏感信息資產(chǎn)時(shí)，可以考慮分離職責(zé)，如果不實(shí)施分離，則應(yīng)當(dāng)對(duì)處理操作予以記錄，并定期進(jìn)行監(jiān)督。應(yīng)當(dāng)分離開發(fā)、測(cè)試與運(yùn)營(yíng)環(huán)境，敏感數(shù)據(jù)不可拷貝到測(cè)試環(huán)境中，測(cè)試完成后應(yīng)當(dāng)及時(shí)清理測(cè)試環(huán)境。如果因工作原因需要進(jìn)行上述活動(dòng)，應(yīng)遵守以下做法：1、網(wǎng)管中心聯(lián)同開發(fā)方、運(yùn)行方和需求方討論潛在的安全風(fēng)險(xiǎn)并設(shè)計(jì)防范程序；2、開發(fā)測(cè)試人員全權(quán)負(fù)責(zé)開發(fā)測(cè)試系統(tǒng)的管理，運(yùn)行人員未經(jīng)授權(quán)不得參與開發(fā)測(cè)試系統(tǒng)的有關(guān)工作；3、運(yùn)行人員全權(quán)負(fù)責(zé)生產(chǎn)系統(tǒng)的管理，開發(fā)測(cè)試人員未經(jīng)授權(quán)不得參與生產(chǎn)系統(tǒng)的有關(guān)工作；4、運(yùn)行人員要密切監(jiān)督生產(chǎn)系統(tǒng)，以保證開發(fā)、測(cè)試工作不會(huì)造成服務(wù)影響或安全事故；5、開發(fā)測(cè)試系統(tǒng)應(yīng)當(dāng)與生產(chǎn)系統(tǒng)分開，并清楚地標(biāo)記測(cè)試周期和有關(guān)開發(fā)測(cè)試技術(shù)支持的聯(lián)系方式；6、對(duì)于需要在生產(chǎn)環(huán)境下進(jìn)行的開發(fā)測(cè)試工作，需要經(jīng)過(guò)授權(quán)才能進(jìn)行，并且在測(cè)試完成后，需要立即從生產(chǎn)環(huán)境卸載；7、如果開發(fā)人員需要訪問(wèn)生產(chǎn)與運(yùn)行設(shè)施，應(yīng)當(dāng)向本公司相關(guān)人員申請(qǐng)；8、開發(fā)完成的應(yīng)用項(xiàng)目在投入使用前，應(yīng)當(dāng)提交一份上線申請(qǐng)。在系統(tǒng)進(jìn)入生產(chǎn)環(huán)境前，確認(rèn)以下操作：卸載與運(yùn)行無(wú)關(guān)的開發(fā)、測(cè)試相關(guān)的工具、文件與數(shù)據(jù)等；修改默認(rèn)用戶名/密碼。第三方服務(wù)交付管理目標(biāo)：實(shí)施并保持信息安全的適當(dāng)水平，確保第三方交付的服務(wù)符合協(xié)議要求。應(yīng)定期對(duì)第三方的服務(wù)及相關(guān)的報(bào)告、記錄、交付件進(jìn)行審查，審查方式包括本公司的內(nèi)部審計(jì)，或聘請(qǐng)外面獨(dú)立審計(jì)機(jī)構(gòu)進(jìn)行的審計(jì)。本公司對(duì)第三方服務(wù)的監(jiān)督和評(píng)審應(yīng)按照商定的信息安全條款執(zhí)行，使信息安全事故和問(wèn)題得到適當(dāng)?shù)墓芾?。監(jiān)督和評(píng)審應(yīng)涉及到如下內(nèi)容：1、監(jiān)督服務(wù)執(zhí)行效率并檢查對(duì)協(xié)議的符合程度；2、評(píng)審由第三方產(chǎn)生的服務(wù)報(bào)告、記錄、交付件，定期安排項(xiàng)目進(jìn)展會(huì)議；3、第三方應(yīng)提供如下信息內(nèi)容供本公司評(píng)估：服務(wù)過(guò)程中所應(yīng)用到的軟硬件產(chǎn)品、所使用的協(xié)議、系統(tǒng)部署及使用指南、知識(shí)產(chǎn)權(quán)、安全使用許可銷售證明等；4、對(duì)第三方在交付服務(wù)過(guò)程中所進(jìn)行的審核跟蹤流程，及相關(guān)的安全事件、操作問(wèn)題、故障、失誤追蹤和破壞的記錄等進(jìn)行評(píng)審；5、對(duì)服務(wù)交付過(guò)程中出現(xiàn)的所有問(wèn)題進(jìn)行識(shí)別和管理。應(yīng)對(duì)第三方服務(wù)的有關(guān)變更進(jìn)行管理，變更包括本公司及第三方對(duì)現(xiàn)有的信息安全方針策略、程序和控制措施的任何改進(jìn)。要考慮變更所涉及到的業(yè)務(wù)系統(tǒng)及相關(guān)過(guò)程的關(guān)鍵程度，并對(duì)有關(guān)風(fēng)險(xiǎn)進(jìn)行再評(píng)估。對(duì)第三方服務(wù)變更的管理過(guò)程需要考慮：本公司實(shí)施的變更：對(duì)提供的現(xiàn)有服務(wù)的加強(qiáng)；任何新應(yīng)用和系統(tǒng)的開發(fā)；組織策略和程序的更改或更新；解決信息安全事故和改進(jìn)安全的新的控制措施。第三方實(shí)施的變更：對(duì)網(wǎng)絡(luò)的變更和加強(qiáng)；新技術(shù)的使用；新產(chǎn)品或新版本的采用；新的開發(fā)工具和環(huán)境的應(yīng)用；服務(wù)設(shè)施物理位置的變更；相關(guān)產(chǎn)品及服務(wù)提供商的變更。系統(tǒng)策劃與驗(yàn)收目標(biāo)：最小化系統(tǒng)失效的風(fēng)險(xiǎn)應(yīng)對(duì)系統(tǒng)容量進(jìn)行監(jiān)控，并對(duì)未來(lái)容量要求進(jìn)行預(yù)測(cè)，確保充足的處理和存儲(chǔ)能力。這些預(yù)測(cè)要考慮新業(yè)務(wù)和系統(tǒng)的要求，及本公司信息處理的當(dāng)前狀況和未來(lái)趨勢(shì)。負(fù)責(zé)人員應(yīng)當(dāng)對(duì)主要系統(tǒng)資源的使用情況進(jìn)行監(jiān)視，包括處理器、內(nèi)存、文件儲(chǔ)存、打印機(jī)和其它輸出設(shè)備及通訊系統(tǒng)。網(wǎng)管中心應(yīng)當(dāng)運(yùn)用這些信息來(lái)識(shí)別并避免可能對(duì)系統(tǒng)安全或服務(wù)提供構(gòu)成隱患的潛在瓶頸，并事先進(jìn)行適當(dāng)?shù)难a(bǔ)救行動(dòng)規(guī)劃。操作員應(yīng)按需監(jiān)督檢查主機(jī)、帶寬和業(yè)務(wù)的運(yùn)行情況。如：1、CPU使用率；2、內(nèi)存使用；I/O使用；企圖非法進(jìn)入系統(tǒng)的服務(wù)器。同時(shí)應(yīng)監(jiān)控主路由器和交換機(jī)的以下方面：MRTG流量特征；設(shè)備日志；網(wǎng)絡(luò)設(shè)備的CPU使用率。網(wǎng)管中心清楚說(shuō)明新信息系統(tǒng)、系統(tǒng)升級(jí)和新版本的安全驗(yàn)收要求和標(biāo)準(zhǔn)，要保證所采用的升級(jí)、補(bǔ)丁、熱修補(bǔ)和新的版本不會(huì)影響正常的操作過(guò)程。網(wǎng)管中心要監(jiān)督責(zé)任部門對(duì)任何新的信息系統(tǒng)都要進(jìn)行測(cè)試，并遵照已定的標(biāo)準(zhǔn)進(jìn)行系統(tǒng)驗(yàn)收。以下是本公司內(nèi)的系統(tǒng)驗(yàn)收標(biāo)準(zhǔn)。在新系統(tǒng)實(shí)施之前，要收集CPU和存儲(chǔ)空間使用量等性能統(tǒng)計(jì)。要保證性能不會(huì)突然下降，否則需要啟動(dòng)恢復(fù)或應(yīng)急計(jì)劃。要對(duì)所有相關(guān)的日常操作程序進(jìn)行驗(yàn)收，以保證在切換新系統(tǒng)后，能正確地恢復(fù)正常的操作。在應(yīng)用任何新系統(tǒng)前都需要進(jìn)行安全檢查。檢查內(nèi)容包括操作系統(tǒng)版本、補(bǔ)丁等級(jí)、任何缺失的安全熱修補(bǔ)等等。對(duì)關(guān)鍵系統(tǒng)要對(duì)網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)進(jìn)行加固。采取必要措施，以確保變更可能造成的系統(tǒng)停機(jī)不會(huì)影響業(yè)務(wù)的持續(xù)性。確保所有的系統(tǒng)變更都盡可能安排在非工作時(shí)段內(nèi)，以減輕對(duì)業(yè)務(wù)的影響。確保系統(tǒng)變更后不會(huì)減弱本公司的整體安全性。安排必要的測(cè)試以證實(shí)符合系統(tǒng)驗(yàn)收標(biāo)準(zhǔn)。應(yīng)用新系統(tǒng)時(shí)需對(duì)操作員進(jìn)行相關(guān)培訓(xùn)。要特別注意以下方面：邊界路由器/交換機(jī)：通過(guò)網(wǎng)絡(luò)監(jiān)測(cè)檢查網(wǎng)絡(luò)應(yīng)用是否有突然變化。檢查CPU和存儲(chǔ)器是否有劇烈變化。確認(rèn)防火墻的策略得到理想的執(zhí)行。確保所有內(nèi)外聯(lián)通性良好。確保通過(guò)防火墻的應(yīng)用程序如HTTP和FTP等都運(yùn)行良好。驗(yàn)收程序：新系統(tǒng)進(jìn)入生產(chǎn)環(huán)境前，需要提交操作變更請(qǐng)求。新系統(tǒng)的使用者和交付者需要商討有關(guān)操作文件事宜，內(nèi)容包括：系統(tǒng)功能和容量的測(cè)試步驟。恢復(fù)和重啟步驟。操作要求，包括數(shù)據(jù)備份、計(jì)劃重啟和工作環(huán)境整理要求。具體的安全控制要求（如果有）。維護(hù)備份安排以及廠商技術(shù)支持聯(lián)系。網(wǎng)管中心應(yīng)確認(rèn)操作人員在新系統(tǒng)上使用了商定的操作程序。防范惡意和移動(dòng)代碼目標(biāo)：保護(hù)軟件和信息的完整性。所有服務(wù)器和個(gè)人計(jì)算機(jī)都必須激活防病毒軟件，必須及時(shí)更新防病毒代碼庫(kù)。詳細(xì)規(guī)定參見(jiàn)《惡意軟件控制程序》。Sinosoft系統(tǒng)內(nèi)的服務(wù)器和個(gè)人計(jì)算機(jī)必須使用可信來(lái)源的軟件，應(yīng)對(duì)軟件進(jìn)行病毒檢測(cè)后統(tǒng)一保存。員工應(yīng)當(dāng)?shù)骄W(wǎng)管中心指定的空間下載軟件，不得私自安裝軟件。必須對(duì)所有的電子郵件附件進(jìn)行病毒掃描，也不要隨意打開來(lái)歷不明的郵件附件。應(yīng)當(dāng)開展對(duì)一般員工的預(yù)防病毒培訓(xùn)。員工一旦發(fā)現(xiàn)或懷疑有PC或服務(wù)器被病毒感染,必須馬上斷開網(wǎng)絡(luò)并進(jìn)行全盤掃描，，必須立即通知網(wǎng)管中心?？刂埔苿?dòng)代碼：移動(dòng)代碼是從一臺(tái)計(jì)算機(jī)到另一臺(tái)計(jì)算機(jī)之間傳送的軟件代碼，可以在很少或無(wú)需用戶干預(yù)的情況下自動(dòng)執(zhí)行以完成特殊的功能。移動(dòng)代碼和很多的中間件服務(wù)相關(guān)聯(lián)。當(dāng)授權(quán)使用移動(dòng)代碼時(shí)，其配置應(yīng)確保授權(quán)的移動(dòng)代碼按照清晰定義的安全策略運(yùn)行，應(yīng)阻止執(zhí)行未授權(quán)的移動(dòng)代碼。應(yīng)考慮下列措施以防止移動(dòng)代碼執(zhí)行未授權(quán)的活動(dòng)：在邏輯上隔離的環(huán)境中執(zhí)行移動(dòng)代碼；阻止移動(dòng)代碼的所有使用；阻止移動(dòng)代碼的接收；使技術(shù)測(cè)量措施在一個(gè)特定系統(tǒng)中可用，以確保管理移動(dòng)代碼；控制移動(dòng)代碼訪問(wèn)的可用資源；使用密碼控制，以唯一地對(duì)移動(dòng)代碼進(jìn)行認(rèn)證。備份目標(biāo)：保持信息和信息處理設(shè)施的完整性和可用性。信息備份按照《數(shù)據(jù)備份管理規(guī)定》實(shí)施。管理員應(yīng)當(dāng)對(duì)重要的應(yīng)用系統(tǒng)、操作系統(tǒng)、配置文件及日志等制訂備份策略，并要定期對(duì)備份數(shù)據(jù)進(jìn)行測(cè)試。如果是涉密信息，必須對(duì)備份信息實(shí)施加密。所有員工要定期對(duì)個(gè)人電腦上的重要數(shù)據(jù)進(jìn)行備份，以減少不必要的損失。備份應(yīng)當(dāng)存儲(chǔ)在與主設(shè)備有足夠距離的地點(diǎn)，該地點(diǎn)應(yīng)安全可靠，應(yīng)同主設(shè)備場(chǎng)地使用同等的安全等級(jí)。備份數(shù)據(jù)的恢復(fù)能力應(yīng)滿足本公司的業(yè)務(wù)持續(xù)計(jì)劃(BCP)。網(wǎng)絡(luò)安全管理目標(biāo)：確保網(wǎng)絡(luò)中的信息和支持性基礎(chǔ)設(shè)施得到保護(hù)。應(yīng)當(dāng)對(duì)重要的線路、網(wǎng)絡(luò)設(shè)備采用冗余措施，以維持關(guān)鍵服務(wù)的可用性。網(wǎng)絡(luò)管理員應(yīng)當(dāng)參照《網(wǎng)絡(luò)安全管理規(guī)定》對(duì)網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)進(jìn)行充分的管理和控制，并采用網(wǎng)管工具對(duì)通訊線路、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)的監(jiān)控和預(yù)警。處理敏感信息的計(jì)算機(jī)應(yīng)當(dāng)與Sinosoft局域網(wǎng)物理隔離，應(yīng)當(dāng)采用適當(dāng)?shù)募用芗夹g(shù)。密碼必須間隔一定的周期定期修改。如果某個(gè)密碼被泄露，必須及時(shí)修改口令。本公司要定期全面更換密碼。凡允許遠(yuǎn)程登錄連接的網(wǎng)絡(luò)設(shè)備都要實(shí)施嚴(yán)格的登錄控制。這種遠(yuǎn)程連接路徑的登錄與退出都必須經(jīng)過(guò)遠(yuǎn)程登入本公司的網(wǎng)關(guān)的許可。否則在不允許使用遠(yuǎn)程登入連接的情況下只能從控制臺(tái)登入。生產(chǎn)環(huán)境中的所有網(wǎng)絡(luò)設(shè)備上的默認(rèn)用戶名和密碼必須盡可能地全部清除。所有新創(chuàng)建的用戶名和密碼必須以不易被破解的方式設(shè)置。出于安全原因一般不允許合同方或第三方遠(yuǎn)程登錄，如確實(shí)需要遠(yuǎn)程登錄時(shí)，必須先得到網(wǎng)管中心的批準(zhǔn)。每次登錄都要進(jìn)行系統(tǒng)登錄驗(yàn)證。本公司內(nèi)部網(wǎng)絡(luò)中所有網(wǎng)絡(luò)設(shè)備和服務(wù)器都要隔離在外部網(wǎng)絡(luò)防火墻后面。網(wǎng)管中心監(jiān)測(cè)網(wǎng)絡(luò)設(shè)備，監(jiān)控網(wǎng)絡(luò)的可用性。以下設(shè)計(jì)方法保證網(wǎng)絡(luò)服務(wù)安全性：1、所有允許互聯(lián)網(wǎng)用戶訪問(wèn)的內(nèi)部系統(tǒng)，必須置于防火墻后；2、非本公司管理網(wǎng)絡(luò)，如需要對(duì)本公司網(wǎng)絡(luò)或系統(tǒng)進(jìn)行訪問(wèn)，必須經(jīng)過(guò)網(wǎng)管中心審核、網(wǎng)管中心同意才可訪問(wèn)；3、使用VLAN按照功能分開不同內(nèi)部系統(tǒng)，需要時(shí)候使用ACL；4、防火墻策略默認(rèn)為禁止；5、網(wǎng)絡(luò)設(shè)備及主機(jī)中的網(wǎng)管關(guān)鍵字要取消“Public”、“Private”的默認(rèn)設(shè)置，網(wǎng)管關(guān)鍵字的字符長(zhǎng)度應(yīng)當(dāng)在8位以上。介質(zhì)處理目標(biāo)：防止對(duì)資產(chǎn)的未授權(quán)泄露、修改、移動(dòng)或損壞，及對(duì)業(yè)務(wù)活動(dòng)的的干擾。應(yīng)當(dāng)妥善記錄移動(dòng)介質(zhì)。不得將載有Sinosoft重要信息的存儲(chǔ)介質(zhì)隨意存放，未經(jīng)安全責(zé)任人授權(quán)，不得帶出辦公地點(diǎn)。如果介質(zhì)上的內(nèi)容不再需要，應(yīng)當(dāng)立即清除。對(duì)于備份或存放有重要信息或軟件的存儲(chǔ)介質(zhì)，在銷毀時(shí)，應(yīng)當(dāng)進(jìn)行格式化或重寫數(shù)據(jù)，避免不必要的泄露。存放業(yè)務(wù)應(yīng)用系統(tǒng)及重要信息的介質(zhì)，嚴(yán)禁外借，確因工作需要，須報(bào)請(qǐng)部門領(lǐng)導(dǎo)批準(zhǔn)。對(duì)需要長(zhǎng)期保存的介質(zhì)，必須在介質(zhì)老化前進(jìn)行轉(zhuǎn)儲(chǔ)，以防止因介質(zhì)失效造成損失。應(yīng)限制只有系統(tǒng)管理員才可訪問(wèn)系統(tǒng)文檔。應(yīng)對(duì)Sinosoft的所有信息數(shù)據(jù)分類標(biāo)識(shí)，建立信息處置、存儲(chǔ)、分發(fā)的規(guī)程。本公司的可移動(dòng)介質(zhì)必須按照以下規(guī)定嚴(yán)格處理：1、符合“信息資產(chǎn)管理”策略的要求；2、適當(dāng)分類、貼標(biāo)貼并保持可移動(dòng)介質(zhì)的保存位置的準(zhǔn)確記錄；3、嚴(yán)格控制在辦公環(huán)境和生產(chǎn)環(huán)境中使用可移動(dòng)介質(zhì)，具體辦法請(qǐng)參見(jiàn)《介質(zhì)管理程序》。為保證信息安全，本公司必須在處理介質(zhì)前擦除有關(guān)的敏感信息，包括如下：1、用碎紙機(jī)銷毀所有的敏感紙質(zhì)記錄。廢紙可在碎紙后立即處置掉；2、本公司里面不得積累過(guò)量紙質(zhì)記錄。所有的紙質(zhì)記錄都必須在處置前銷毀；3、磁帶、磁盤和光學(xué)貯存介質(zhì)必須在處置前進(jìn)行物理銷毀，并由專人進(jìn)行監(jiān)督和核對(duì)。凡敏感性介質(zhì)的處置都必須經(jīng)過(guò)管理者的批準(zhǔn)，并記錄在“報(bào)廢記錄表”留待審計(jì)時(shí)備查。具體辦法請(qǐng)參見(jiàn)《介質(zhì)管理程序》。信息交換目標(biāo)：應(yīng)保持組織內(nèi)部或組織與外部組織之間交換信息和軟件的安全。其它組織和本公司之間交換信息時(shí)要遵照《信息交換管理規(guī)定》執(zhí)行。應(yīng)考慮如下控制：設(shè)計(jì)用來(lái)防止交換信息遭受截取、復(fù)制、修改、錯(cuò)誤尋址和破壞的程序；檢測(cè)和防止可能通過(guò)使用電子通信傳輸?shù)膼阂獯a的程序；保護(hù)以附件形式傳輸?shù)拿舾须娮有畔⒌某绦?；?jiǎn)述電子通信設(shè)施可接受使用的策略或指南；無(wú)線通信使用的程序，要考慮所涉及的特定風(fēng)險(xiǎn)；雇員、承包方人員和所有第三方人員不危害組織的職責(zé)，例如誹謗、擾亂、扮演、連鎖信寄送、未授權(quán)購(gòu)買等；密碼技術(shù)的使用，例如保護(hù)信息的保密性、完整性和真實(shí)性；所有業(yè)務(wù)通信（包括消息）的保持和處理指南，要與相關(guān)國(guó)家和地方法律法規(guī)一致；不將敏感或關(guān)鍵信息留在打印設(shè)施上，例如復(fù)印機(jī)、打印機(jī)和傳真機(jī)，因?yàn)檫@些設(shè)施可能被未授權(quán)人員訪問(wèn)；與通信設(shè)施轉(zhuǎn)發(fā)相關(guān)的控制措施和限制，例如將電子郵件自動(dòng)轉(zhuǎn)發(fā)到外部郵件地址；提醒工作人員，他們應(yīng)采取相應(yīng)預(yù)防措施，例如，為不泄露敏感信息，避免打電話時(shí)被無(wú)意聽到或竊聽：當(dāng)使用移動(dòng)電話時(shí)，要特別注意在他們附近的人；搭線竊聽、通過(guò)物理訪問(wèn)手持電話或電話線路以及受用掃描接收器的其他竊聽方式；接收端的人。不要將包含敏感信息的消息留在應(yīng)答機(jī)上，因?yàn)榭赡鼙晃词跈?quán)個(gè)人重放，也不能留在公用系統(tǒng)或者由于誤撥號(hào)而被不正確地存儲(chǔ)；關(guān)于傳真機(jī)的使用問(wèn)題，即：未授權(quán)訪問(wèn)內(nèi)置消息存儲(chǔ)器，以檢索消息；有意的或無(wú)意的對(duì)傳真機(jī)編程，將消息發(fā)送給特定的電話號(hào)碼；由于誤撥號(hào)或使用錯(cuò)誤存儲(chǔ)的號(hào)碼將文檔和消息發(fā)送給錯(cuò)誤的電話號(hào)碼。不要注冊(cè)統(tǒng)計(jì)數(shù)據(jù)，例如任何軟件中的電子郵件地址或其他人員信息，以避免未授權(quán)人員收集；傳真機(jī)和影印機(jī)都有頁(yè)面緩沖并在頁(yè)面或傳輸故障時(shí)存儲(chǔ)頁(yè)面，一旦故障消除，這些將被打印。另外，不要在公共場(chǎng)所或開放辦公室和薄圍墻的會(huì)場(chǎng)進(jìn)行保密會(huì)談。員工必須遵守國(guó)家有關(guān)信息管理的法規(guī)，不得利用網(wǎng)絡(luò)危害國(guó)家安全、泄露國(guó)家秘密，不得違反中華人民共和國(guó)現(xiàn)行法律和法規(guī)，不得侵犯國(guó)家社會(huì)集體的和公民的合法權(quán)益。敏感信息應(yīng)當(dāng)通過(guò)專用的線路傳輸。未經(jīng)安全責(zé)任人授權(quán)，員工不得與外部聯(lián)網(wǎng)的計(jì)算機(jī)信息系統(tǒng)傳輸涉及Sinosoft重要信息的文件。員工不得利用網(wǎng)絡(luò)對(duì)他人進(jìn)行侮辱、誹謗、騷擾；不得侵害他人合法權(quán)益；不得侵犯他人的名譽(yù)權(quán)，肖像權(quán)、姓名權(quán)等人身權(quán)利；不得侵犯他人的商譽(yù)、商標(biāo)、版權(quán)、專利、專有技術(shù)等各種知識(shí)產(chǎn)權(quán)。在通過(guò)郵政等物理傳輸方式傳輸時(shí)，應(yīng)保護(hù)包含重要信息的介質(zhì)的安全。應(yīng)控制并記錄允許操作業(yè)務(wù)系統(tǒng)的用戶名單，未經(jīng)安全責(zé)任人授權(quán)，不得隨意變更訪問(wèn)限制和共享信息。傳遞含機(jī)密信息應(yīng)按照《保密管理規(guī)定》中的規(guī)定進(jìn)行控制。收發(fā)的所有電子文件都必須經(jīng)過(guò)病毒掃描。對(duì)電子郵件的使用、管理和歸檔的有關(guān)要求請(qǐng)參見(jiàn)《電子郵件管理規(guī)定》。業(yè)務(wù)信息系統(tǒng)的安全方針和控制程序如《業(yè)務(wù)信息系統(tǒng)管理辦法》中所描述。業(yè)務(wù)信息系統(tǒng)具體控制措施如下：1、本公司的員工和網(wǎng)管中心授權(quán)的人員僅限于為工作目的接入業(yè)務(wù)信息系統(tǒng)；2、業(yè)務(wù)信息系統(tǒng)要定期備份(請(qǐng)參閱《數(shù)據(jù)備份管理規(guī)定》)；3、所有系統(tǒng)都可以參考相應(yīng)手冊(cè)中的配置指南快速恢復(fù)。本公司網(wǎng)站服務(wù)器應(yīng)置于防火墻后，除非確有必要，否則應(yīng)只容許HTTP/HTTPS服務(wù)。1、網(wǎng)站內(nèi)容、服務(wù)器配置改變，必須確保：2、網(wǎng)站內(nèi)容、服務(wù)器變更前已經(jīng)測(cè)試，內(nèi)容經(jīng)過(guò)審核；3、變更是經(jīng)過(guò)批準(zhǔn)的；4、變更后有適當(dāng)驗(yàn)收。監(jiān)視和審計(jì)目標(biāo)：檢測(cè)未經(jīng)授權(quán)的信息處理活動(dòng)。應(yīng)當(dāng)使用監(jiān)視程序以確保用戶只執(zhí)行被明確授權(quán)的活動(dòng)，審計(jì)內(nèi)容應(yīng)細(xì)化到個(gè)人而不是共享帳號(hào)。審計(jì)至少包括用戶ID、系統(tǒng)日志、操作記錄等?？梢詫?shí)施安全產(chǎn)品或調(diào)整配置，以記錄和審計(jì)用戶活動(dòng)、系統(tǒng)、安全產(chǎn)品和信息安全事件產(chǎn)生的日志，并按照約定的期限保留，以支持將來(lái)的調(diào)查和訪問(wèn)控制監(jiān)視。可以在內(nèi)網(wǎng)中配置日志服務(wù)器，專門收集主機(jī)、網(wǎng)絡(luò)設(shè)備、安全產(chǎn)品的日志，以避免日志被破壞或覆蓋。下列事件日志記錄機(jī)制通用于整個(gè)公司：1、關(guān)鍵網(wǎng)絡(luò)安全事件；2、關(guān)鍵服務(wù)器安全事件。關(guān)鍵網(wǎng)絡(luò)安全事件和關(guān)鍵服務(wù)器安全事件應(yīng)記錄在事件日志中，其內(nèi)容建議包括以下信息：1、用戶驗(yàn)證用的用戶帳號(hào)；2、網(wǎng)絡(luò)地址；3、系統(tǒng)登錄成敗(驗(yàn)證結(jié)果)；4、事件的日期和事件。本公司必須按照規(guī)定的事件日志記錄格式，監(jiān)控在用系統(tǒng)的狀態(tài)，執(zhí)行《系統(tǒng)監(jiān)控管理規(guī)定》。另外，如果發(fā)生不良事件可能影響網(wǎng)絡(luò)安全，或檢測(cè)到有關(guān)鍵服務(wù)器安全事件，應(yīng)執(zhí)行《信息安全事件管理程序》中確定的安全事故報(bào)告程序。網(wǎng)絡(luò)管理系統(tǒng)檢測(cè)到的警告信息應(yīng)按照要求發(fā)送給網(wǎng)管中心。本公司監(jiān)控范圍如下：1、合法訪問(wèn)，包括如下詳細(xì)內(nèi)容：用戶ID；重要事件的日期和時(shí)間；事件類型；所訪問(wèn)的文件；所用程序/實(shí)用程序。2、所有特權(quán)操作，如：特權(quán)帳號(hào)的使用；系統(tǒng)啟動(dòng)和停止；I/O設(shè)備連接/分離。3、非法訪問(wèn)次數(shù)，如：失敗次數(shù)；訪問(wèn)策略的違反情況和通知；網(wǎng)關(guān)和防火墻。4、系統(tǒng)預(yù)警或故障，如：控制臺(tái)預(yù)警或消息；系統(tǒng)日志異常情況；網(wǎng)絡(luò)管理報(bào)警。保護(hù)日志信息：日志審核包括了解系統(tǒng)面臨的威脅以及這些威脅出現(xiàn)的方式。有些事件可能在發(fā)生安全事故時(shí)要求進(jìn)行進(jìn)一步調(diào)查。系統(tǒng)日志通常包括大量的信息，多數(shù)與安全監(jiān)控?zé)o關(guān)。為了識(shí)別用于安全監(jiān)控目的的重要事件，應(yīng)進(jìn)行安全事件的監(jiān)控和管理。應(yīng)采取措施監(jiān)控非法更改和操作問(wèn)題，包括：停用日志記錄工具；對(duì)所記錄的消息類型進(jìn)行更改；正在編輯或刪除日志文件；日志文件介質(zhì)即將填滿，或者無(wú)法記錄事件，或者重寫。應(yīng)對(duì)日志進(jìn)行集中管理。管理員和操作員日志:（一）系統(tǒng)管理員和系統(tǒng)操作員的活動(dòng)應(yīng)記入日志。（二）日志要包括：事件（成功的或失敗的）發(fā)生的時(shí)間；2、關(guān)于事件（例如處理的文件）或故障（發(fā)生的差錯(cuò)和采取的糾正措施）的信息；涉及的帳號(hào)和管理員或操作員；涉及的過(guò)程。（三）系統(tǒng)管理員和操作員日志須定期審核。錯(cuò)誤日志：錯(cuò)誤日志記錄在「故障處理單」，包含以下內(nèi)容：故障/錯(cuò)誤發(fā)生和恢復(fù)的日期和時(shí)間；故障/錯(cuò)誤報(bào)告/探測(cè)和處理情況；故障等級(jí)；聯(lián)系的技術(shù)支持；后續(xù)措施如隔級(jí)報(bào)告。行政部網(wǎng)絡(luò)管理要負(fù)責(zé)審核《故障處理單》，確保錯(cuò)誤恢復(fù)并且無(wú)任何安全問(wèn)題。如果故障仍留有安全隱患，應(yīng)當(dāng)通知行政部網(wǎng)絡(luò)管理。行政部網(wǎng)絡(luò)管理應(yīng)與有關(guān)方評(píng)審事故并落實(shí)為防止再發(fā)生錯(cuò)誤所采取的糾正措施。時(shí)鐘同步：應(yīng)在Sinosoft網(wǎng)絡(luò)中配置時(shí)鐘服務(wù)器，被審計(jì)的信息設(shè)備應(yīng)同時(shí)鐘服務(wù)器的時(shí)間保持同步，以避免審計(jì)上的漏洞。Sinosoft信息系統(tǒng)訪問(wèn)控制訪問(wèn)控制的業(yè)務(wù)要求目標(biāo)：控制對(duì)信息的訪問(wèn)。訪問(wèn)控制策略：1、本公司管理的所有邏輯訪問(wèn)控制都應(yīng)遵守信息安全策略中規(guī)定的訪問(wèn)方針。本公司員工按照《信息安全策略》的要求，履行自己的信息安全職責(zé)。2、本公司需要建立統(tǒng)一的訪問(wèn)控制策略，由信息安全工作小組批準(zhǔn)，網(wǎng)管中心建立統(tǒng)一訪問(wèn)控制策略。策略應(yīng)考慮到下列內(nèi)容：1）各個(gè)業(yè)務(wù)應(yīng)用的安全要求；2）與業(yè)務(wù)應(yīng)用相關(guān)的所有信息的標(biāo)識(shí)和該信息面臨的風(fēng)險(xiǎn)；3）信息傳播和授權(quán)的策略，例如，了解原則和安全等級(jí)以及信息分類的需要；4）不同系統(tǒng)和網(wǎng)絡(luò)的訪問(wèn)控制策略和信息分類策略之間的一致性；5）關(guān)于保護(hù)訪問(wèn)數(shù)據(jù)或服務(wù)的相關(guān)法律和合同義務(wù)；6）在認(rèn)可各種可用的連接類型的分布式和網(wǎng)絡(luò)化環(huán)境中的訪問(wèn)權(quán)的管理；7）訪問(wèn)控制角色的分離，例如訪問(wèn)請(qǐng)求、訪問(wèn)授權(quán)、訪問(wèn)管理；8）訪問(wèn)請(qǐng)求的正式授權(quán)要求；9）要求定期評(píng)審訪問(wèn)控制；10）訪問(wèn)權(quán)的取消。用戶訪問(wèn)管理用戶注冊(cè)：一般來(lái)說(shuō)用戶訪問(wèn)各信息系統(tǒng)和服務(wù)的注冊(cè)和注銷程序包括：1）填寫《用戶權(quán)限申請(qǐng)表》；2）使用唯一的用戶ID號(hào)碼，保證可由此號(hào)碼追溯用戶，從而使其對(duì)自己的行為負(fù)責(zé)。組ID只在與執(zhí)行的任務(wù)相適應(yīng)的情況下允許使用；3）要檢查使用信息系統(tǒng)或服務(wù)的用戶是否具有該系統(tǒng)擁有者的授權(quán)；4）檢查所授予的訪問(wèn)級(jí)別是否與業(yè)務(wù)目的相適合，是否與組織的安全方針保持一致；5）保存所有用戶注冊(cè)的正式記錄；6）在收到服務(wù)終止申請(qǐng)或任何本公司的員工離職或調(diào)離后，立即注銷該用戶的訪問(wèn)權(quán)；7）定期檢查并清理多余的用戶賬號(hào)。變更、取消訪問(wèn)權(quán)或注銷：填寫《用戶權(quán)限變更表》。應(yīng)該：1）核實(shí)表格的完整性，全部資料填寫妥當(dāng)；2）核實(shí)授權(quán)有效并得到行政管理部的批準(zhǔn)；3）變更/刪除/禁用用戶帳號(hào)。特權(quán)管理：（一）控制措施應(yīng)限制和控制特殊權(quán)限的分配及使用。應(yīng)考慮下列步驟：1、應(yīng)標(biāo)識(shí)出與每個(gè)系統(tǒng)產(chǎn)品，例如，操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)和每個(gè)應(yīng)用程序，相關(guān)的訪問(wèn)特殊權(quán)限，以及必須將其分配的用戶；2、特殊權(quán)限應(yīng)按照訪問(wèn)控制策略在“需要使用”的基礎(chǔ)上和“逐個(gè)事件”的基礎(chǔ)上分配給用戶，例如僅當(dāng)需要時(shí)，才為其職能角色分配最低要求；3、應(yīng)維護(hù)所分配的各個(gè)特殊權(quán)限的授權(quán)過(guò)程及其記錄。在未完成授權(quán)過(guò)程之前，不應(yīng)授予特殊權(quán)限；4、應(yīng)促進(jìn)開發(fā)和使用避免具有特殊權(quán)限才能運(yùn)行的程序；5、特殊權(quán)限應(yīng)被分配一個(gè)不同于正常業(yè)務(wù)用途所用的用戶ID。（二）本公司要嚴(yán)格控制特權(quán)的分配和使用。任何第三方都不得使用他人的帳戶或者其它邏輯訪問(wèn)。（三）任何信息系統(tǒng)，只能由其所有者或授權(quán)管理者控制該系統(tǒng)的特權(quán)帳戶的口令，包括關(guān)鍵服務(wù)器、路由器和防火墻等所用的口令。（四）任何用戶在使用多用戶信息系統(tǒng)和服務(wù)時(shí)都必須驗(yàn)證身份。（五）所有申請(qǐng)?zhí)貦?quán)用戶帳號(hào)和口令的行為都必須經(jīng)過(guò)相關(guān)部門負(fù)責(zé)人，由相關(guān)部門負(fù)責(zé)人確定是否發(fā)給他們口令。必須遵照以下做法：1、原則上不要將口令分配給外部人員；2、如果系統(tǒng)發(fā)生故障且本公司需要設(shè)備供應(yīng)商的幫助，口令不得傳給設(shè)備供應(yīng)商的工程師。本公司人員對(duì)設(shè)備供應(yīng)商的支持人員(工程師)進(jìn)行身份識(shí)別，并陪同工程師登入并在工程師完成任務(wù)后注銷；3、在供應(yīng)商必須由特權(quán)口令進(jìn)行的工作完成后，修改該口令；無(wú)法做出判斷后請(qǐng)示上級(jí)領(lǐng)導(dǎo)；4、保存一份全部分配特權(quán)和確認(rèn)口令變更的書面記錄。（六）緊急請(qǐng)求特權(quán)帳號(hào)如Windows服務(wù)器的管理員和UNIX/Linux服務(wù)器的根口令時(shí)，必須遵守以下程序：1、本公司員工填寫「用戶權(quán)限變更表」，寫明帳號(hào)申請(qǐng)?jiān)颉⑸暾?qǐng)期限；2、該申請(qǐng)表格需經(jīng)過(guò)相關(guān)部門負(fù)責(zé)人審核通過(guò)；3、帳號(hào)發(fā)布時(shí)，應(yīng)當(dāng)保證口令信息的保密性；4、申請(qǐng)表作為公司檔案保存；5、信息安全管理小組定期審核申請(qǐng)記錄，檢查是否存在違規(guī)的情況。用戶口令管理請(qǐng)參見(jiàn)《口令管理規(guī)定》。用戶訪問(wèn)權(quán)限檢查：（一）周期性檢查用戶訪問(wèn)權(quán)限。（二）更短的周期性檢查特殊訪問(wèn)權(quán)限。特權(quán)包括：1、平臺(tái)系統(tǒng)和數(shù)據(jù)庫(kù)的管理員帳戶；2、擁有管理員權(quán)限的WINDOWS帳戶；3、UNIX/Linux的root帳戶；4、所有路由器、交換機(jī)或?qū)Ｓ迷O(shè)備的管理員帳戶；5、防火墻管理員帳戶；6、擁有專門特權(quán)(取決于系統(tǒng))的其它系統(tǒng)的帳戶。用戶責(zé)任目標(biāo)：避免未授權(quán)用戶的訪問(wèn)，防止信息和信息處理設(shè)施的安全?？诹畹氖褂茫海ㄒ唬┧械挠脩舳紝?duì)其個(gè)人用戶帳號(hào)和口令有關(guān)的任何活動(dòng)承擔(dān)責(zé)任或可能的紀(jì)律和/或法律責(zé)任。同樣，用戶也禁止用其它用戶的ID從事活動(dòng)。（二）用戶口令使用請(qǐng)參見(jiàn)《口令管理規(guī)定》。無(wú)人職守的用戶設(shè)備：（一）應(yīng)確保無(wú)人值守的用戶設(shè)備有適當(dāng)?shù)谋Ｗo(hù)。（二）相關(guān)部門負(fù)責(zé)人具有保護(hù)無(wú)人職守用戶設(shè)備的職責(zé)，應(yīng)建立保護(hù)無(wú)人職守用戶設(shè)備的管理辦法。所有員工應(yīng)做到：1、當(dāng)使用結(jié)束時(shí)，終止有效會(huì)話，利用合適的鎖定機(jī)制使它們安全，例如，有口令保護(hù)的屏幕保護(hù)程序或使用lock命令；2、當(dāng)會(huì)話結(jié)束時(shí)退出主計(jì)算機(jī)、服務(wù)器和辦公PC（即，不僅僅關(guān)掉PC屏幕或終端）；3、當(dāng)不使用設(shè)備時(shí)，利用帶鑰匙的鎖或等價(jià)控制措施來(lái)保護(hù)PC或終端不被未授權(quán)使用，例如，設(shè)置口令。（三）在公共區(qū)域安裝的設(shè)備（例如工作站或文件服務(wù)器）在長(zhǎng)期無(wú)人值守時(shí)需要專門的保護(hù)，以防止未授權(quán)訪問(wèn)。清空桌面和屏幕（一）本公司內(nèi)所有工作站和服務(wù)器，如有可能，必須設(shè)置有口令的屏幕保護(hù)。（二）清空桌面和屏幕的目的是降低未經(jīng)授權(quán)存取信息、遺失或損壞信息的風(fēng)險(xiǎn)。1、如有可能，特別是下班后，將文件鎖在柜子里；2、敏感或關(guān)鍵業(yè)務(wù)資料在不用時(shí)，特別是辦公室無(wú)人時(shí)，應(yīng)鎖起來(lái)（最好是鎖在防火保險(xiǎn)柜或保險(xiǎn)箱里）；3、個(gè)人電腦和電腦終端及打印機(jī)在無(wú)人使用時(shí)要求有口令、口令鎖或其它的保護(hù)措施；4、無(wú)人照看的傳真要加以保護(hù)；5、下班后，要對(duì)復(fù)印機(jī)加以保護(hù)，防止非法使用；6、敏感或機(jī)密信息打印出來(lái)后要馬上從打印機(jī)上拿走；7、敏感或機(jī)密信息傳真過(guò)來(lái)時(shí)，應(yīng)提前守候。網(wǎng)絡(luò)訪問(wèn)控制目標(biāo)：防止對(duì)網(wǎng)絡(luò)服務(wù)的未經(jīng)授權(quán)的訪問(wèn)。網(wǎng)絡(luò)服務(wù)的使用策略：應(yīng)制定使用網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)訪問(wèn)安全策略。這一策略應(yīng)包括：（一）允許被訪問(wèn)的網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)；（二）確定允許哪個(gè)人訪問(wèn)哪些網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的授權(quán)程序；（三）保護(hù)訪問(wèn)網(wǎng)絡(luò)連接和網(wǎng)絡(luò)服務(wù)的管理控制措施和程序；（四）訪問(wèn)網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)使用的手段（例如，撥號(hào)訪問(wèn)互聯(lián)網(wǎng)服務(wù)提供商或遠(yuǎn)程系統(tǒng)的條件）。外部連接的用戶鑒別：（一）應(yīng)當(dāng)遵守網(wǎng)絡(luò)安全策略。（二）一般情況下，所有基于互聯(lián)網(wǎng)訪問(wèn)到本公司內(nèi)部網(wǎng)絡(luò)時(shí)都必須由身份認(rèn)證服務(wù)器驗(yàn)證用戶帳號(hào)和口令。（三）完成遠(yuǎn)程訪問(wèn)驗(yàn)證后，本公司內(nèi)所有的系統(tǒng)都要求用戶通過(guò)用戶帳號(hào)和口令確認(rèn)和驗(yàn)證用戶的身份。網(wǎng)絡(luò)上的設(shè)備標(biāo)識(shí)：使用設(shè)備標(biāo)識(shí)。應(yīng)建立設(shè)備入網(wǎng)準(zhǔn)入制度，只有獲批準(zhǔn)的設(shè)備才允許連接網(wǎng)絡(luò)。遠(yuǎn)程診斷和配置端口的保護(hù)：(一)本公司的信息處理設(shè)施和網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程診斷端口默認(rèn)為禁用。對(duì)于那些服務(wù)商需要訪問(wèn)的遠(yuǎn)程診斷設(shè)施要求采取以下控制措施：1、不用時(shí)必須關(guān)閉或禁用；2、必須驗(yàn)證申請(qǐng)方的身份。（二）遠(yuǎn)程診斷設(shè)備必須應(yīng)用驗(yàn)證控制措施，可以用回?fù)芑蛴脩粽J(rèn)證方式。網(wǎng)絡(luò)隔離：（一）本公司應(yīng)采用防火墻技術(shù)和VLAN技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)域的邏輯分離，并保證各個(gè)網(wǎng)絡(luò)域之間只有授權(quán)的信息流。（二）任何對(duì)本公司控制的防火墻和VLAN策略的更改都必須經(jīng)過(guò)相關(guān)部門負(fù)責(zé)人的批準(zhǔn)并遵守《變更管理程序》。網(wǎng)絡(luò)連接控制：（一）本公司保持嚴(yán)格的分離控制措施，保證跨邊界的訪問(wèn)安全。邊界路由器使用防火墻規(guī)則、VLAN或路由器訪問(wèn)控制列表，阻止未授權(quán)IP地址的訪問(wèn)。（二）防火墻策略的設(shè)計(jì)要遵守“缺省全部拒絕”原則，只允許必需的信息流通過(guò)網(wǎng)絡(luò)區(qū)段。本公司防火墻中要根據(jù)業(yè)務(wù)要求確定應(yīng)用的規(guī)則。（三）本公司管理的網(wǎng)絡(luò)訪問(wèn)策略的任何更改都必須經(jīng)過(guò)相關(guān)部門負(fù)責(zé)人的批準(zhǔn)，并遵守《變更管理程序》。信息安全工作小組負(fù)責(zé)定期審核。網(wǎng)絡(luò)路由控制：（一）本公司路由采用基于源地址和目的地址的安全訪問(wèn)控制，由人工輸入到本公司的路由設(shè)備。路由配置定期備份。（二）本公司網(wǎng)絡(luò)路由的任何更改都必須遵守《變更管理程序》。操作系統(tǒng)訪問(wèn)控制目標(biāo)：防止對(duì)操作系統(tǒng)未授權(quán)訪問(wèn)。安全登錄程序：登錄到操作系統(tǒng)的程序應(yīng)設(shè)計(jì)成使未授權(quán)訪問(wèn)的機(jī)會(huì)減到最小。因此，登錄程序應(yīng)泄露最少有關(guān)系統(tǒng)的信息，以避免給未授權(quán)用戶提供任何不必要的幫助。（一）不顯示系統(tǒng)或應(yīng)用標(biāo)識(shí)符，直到登錄過(guò)程已成功完成為止。（二）顯示只有已授權(quán)的用戶才能訪問(wèn)計(jì)算機(jī)的一般性的告警通知。（三）在登錄過(guò)程中，不提供對(duì)未授權(quán)用戶有幫助作用的幫助消息。（四）僅在所有輸入數(shù)據(jù)完成時(shí)才驗(yàn)證登錄信息。如果出現(xiàn)差錯(cuò)情況，系統(tǒng)不應(yīng)指出數(shù)據(jù)的哪一部分是正確的或不正確的。（五）限制所允許的不成功登錄嘗試的次數(shù)（推薦3次）并考慮：1、記錄不成功的嘗試和成功的嘗試；2、在允許進(jìn)一步登錄嘗試之前，強(qiáng)加一次延遲，或在沒(méi)有特定授權(quán)情況下拒絕任何進(jìn)一步的嘗試；3、斷開數(shù)據(jù)鏈路連接；4、如果達(dá)到登錄的最大嘗試次數(shù)，向系統(tǒng)控制臺(tái)發(fā)送警報(bào)消息；5、結(jié)合口令的最小長(zhǎng)度和被保護(hù)系統(tǒng)的價(jià)值，設(shè)置口令重試的次數(shù)。（六）限制登錄程序所允許的最大和最小次數(shù)。如果超時(shí)，則系統(tǒng)應(yīng)終止登錄。（七）在成功登錄完成時(shí)，顯示下列信息：1、前一次成功登錄的日期和時(shí)間；2、上次成功登錄之后的任何不成功登錄嘗試的細(xì)節(jié)。（八）不顯示輸入的口令或考慮通過(guò)符號(hào)隱藏口令字符。（九）不在網(wǎng)絡(luò)上以明文傳輸口令。HYPERLINK用戶標(biāo)識(shí)和鑒別：建立用戶命名策略：所有用戶應(yīng)有唯一的、專供其個(gè)人使用的標(biāo)識(shí)符（用戶ID），應(yīng)選擇一種適當(dāng)?shù)蔫b別技術(shù)證實(shí)用戶所宣稱的身份。并將這一控制策略應(yīng)用于所有類型的用戶（包括技術(shù)支持人員，操作員，網(wǎng)絡(luò)管理員、系統(tǒng)程序員和數(shù)據(jù)庫(kù)管理員）。應(yīng)使用用戶ID來(lái)將各個(gè)活動(dòng)追蹤到各個(gè)責(zé)任人?？诹罟芾硐到y(tǒng)：本公司各個(gè)平臺(tái)上必須按照以下標(biāo)準(zhǔn)啟動(dòng)控制系統(tǒng)的口令管理系統(tǒng)：（一）強(qiáng)制使用個(gè)人用戶ID和口令，以保持可核查性；（二）允許用戶選擇和變更他們自己的口令；（三）強(qiáng)制選擇優(yōu)質(zhì)口令；（四）強(qiáng)制口令變更（至少半年1次）；（五）在第一次登錄時(shí)強(qiáng)制用戶變更臨時(shí)口令；（六）維護(hù)用戶以前使用的口令的記錄，并防止重復(fù)使用；（七）在輸入口令時(shí)，不在屏幕上顯示；（八）分開存儲(chǔ)口令文件和應(yīng)用系統(tǒng)數(shù)據(jù)；（九）以保護(hù)的形式（例如加密）存儲(chǔ)和傳輸口令。系統(tǒng)實(shí)用工具的使用：（一）系統(tǒng)實(shí)用工具程序僅控制限于「特權(quán)帳戶」使用；（二）將系統(tǒng)實(shí)用工具和應(yīng)用軟件分開；（三）限制系統(tǒng)實(shí)用工具的可用性，例如，在授權(quán)變更的時(shí)間內(nèi)；實(shí)用工具程序僅控制限于「特權(quán)帳戶」使用。1、「特權(quán)帳戶」例如：主機(jī)系統(tǒng)的管理員，Unix系統(tǒng)的root，Windows系統(tǒng)的Adminisrator，數(shù)據(jù)庫(kù)軟件例如Oracle的system，DBA，或者路由器、交換機(jī)的“enable”口令，都可以作改變配置、安裝軟件、不受一般系統(tǒng)安全的限制；2、系統(tǒng)實(shí)用工具程序應(yīng)安裝在單獨(dú)的地方，其訪問(wèn)限制權(quán)與其它應(yīng)用程序區(qū)分開。會(huì)話超時(shí)：不活動(dòng)會(huì)話應(yīng)在一個(gè)設(shè)定的休止期后關(guān)閉。聯(lián)機(jī)時(shí)間的限定：（一）應(yīng)使用聯(lián)機(jī)時(shí)間的限制，為高風(fēng)險(xiǎn)應(yīng)用程序提供額外的安全。（二）應(yīng)考慮對(duì)敏感的計(jì)算機(jī)應(yīng)用程序，特別是安裝在高風(fēng)險(xiǎn)位置的應(yīng)用程序，使用連機(jī)時(shí)間的控制措施。這種限制的示例包括：1、使用預(yù)先定義的時(shí)間間隔，如對(duì)批文件傳輸，或定期的短期交互會(huì)話；2、如果沒(méi)有超時(shí)或延時(shí)操作的要求，則將連機(jī)時(shí)間限于正常辦公時(shí)間；3、考慮定時(shí)進(jìn)行重新鑒別。應(yīng)用程序和信息訪問(wèn)控制目標(biāo)：防止對(duì)應(yīng)用系統(tǒng)中信息的非法訪問(wèn)。信息訪問(wèn)限制：（一）凡訪問(wèn)本公司內(nèi)部系統(tǒng)的請(qǐng)求都必須經(jīng)過(guò)相關(guān)部門負(fù)責(zé)人的批準(zhǔn)。用戶和支持人員對(duì)信息和應(yīng)用系統(tǒng)功能的訪問(wèn)應(yīng)依照已確定的訪問(wèn)控制策HYPERLINK略加以限制。（二）對(duì)訪問(wèn)的限制應(yīng)基于各個(gè)業(yè)務(wù)應(yīng)用要求。（三）使用以下控制措施：1、提供用于控制對(duì)應(yīng)用系統(tǒng)功能訪問(wèn)的菜單；2、通過(guò)對(duì)文檔進(jìn)行適當(dāng)?shù)木庉媮?lái)限制用戶了解無(wú)權(quán)訪問(wèn)的信息或應(yīng)用系統(tǒng)功能；3、控制用戶的訪問(wèn)權(quán)，如讀寫權(quán)限、刪除權(quán)限以及執(zhí)行權(quán)限；4、保證處理敏感信息的應(yīng)用系統(tǒng)輸出僅包含與輸出的使用相關(guān)的信息，而且只發(fā)送給授權(quán)終端和地點(diǎn)，包括對(duì)這些輸出進(jìn)行定期檢查，保證將多余的信息刪除掉。敏感系統(tǒng)隔離：敏感系統(tǒng)應(yīng)有專用的（隔離的）運(yùn)算環(huán)境。應(yīng)運(yùn)行在專用的計(jì)算機(jī)上，僅與可信的應(yīng)用系統(tǒng)共享資源。隔離可通過(guò)使用物理或邏輯手段實(shí)現(xiàn)。移動(dòng)計(jì)算和遠(yuǎn)程工作目標(biāo)：確保在使用移動(dòng)計(jì)算機(jī)和遠(yuǎn)程工作設(shè)施時(shí)的安全。移動(dòng)計(jì)算：本公司用的移動(dòng)計(jì)算設(shè)備(包括筆記本電腦和PDA)必須嚴(yán)格受控，包括：（一）使用移動(dòng)計(jì)算設(shè)備必須經(jīng)過(guò)本公司相關(guān)負(fù)責(zé)人的批準(zhǔn)。（二）公用移動(dòng)計(jì)算設(shè)備中貯存的數(shù)據(jù)應(yīng)作為臨時(shí)資料處理，用后要?jiǎng)h除。（三）個(gè)人使用的移動(dòng)計(jì)算設(shè)備必須設(shè)置硬件口令、OS級(jí)別口令或屏幕保護(hù)程序口令。（四）移動(dòng)計(jì)算設(shè)備的保管必須保證實(shí)體安全，不得無(wú)人看守。安裝最新的防病毒軟件。遠(yuǎn)程工作：（一）本公司使用遠(yuǎn)程登錄設(shè)施與授權(quán)方或支持本公司的業(yè)務(wù)合作伙伴進(jìn)行遠(yuǎn)程工作。這些遠(yuǎn)程登錄設(shè)施僅在緊急情況或檢測(cè)時(shí)使用。（二）如本公司員工需要遠(yuǎn)程訪問(wèn)內(nèi)部系統(tǒng)，則需保護(hù)家里的個(gè)人計(jì)算機(jī)免受病毒感染或黑客攻擊。否則應(yīng)當(dāng)使用本公司配發(fā)的筆記本電腦并遵守《系統(tǒng)遠(yuǎn)程接入管理規(guī)定》中的控制措施。信息系統(tǒng)的獲取、開發(fā)和維護(hù)安全信息系統(tǒng)的安全要求目標(biāo)：確保安全成為信息系統(tǒng)的一部分。對(duì)自主開發(fā)的信息系統(tǒng)或?qū)ΜF(xiàn)有系統(tǒng)的更新，在分析階段應(yīng)當(dāng)規(guī)定對(duì)安全控制的要求。應(yīng)用系統(tǒng)的正確處理目標(biāo)：防止應(yīng)用系統(tǒng)信息的錯(cuò)誤、丟失、未授權(quán)的修改或誤用。應(yīng)用系統(tǒng)設(shè)計(jì)時(shí)應(yīng)當(dāng)針對(duì)數(shù)據(jù)安全進(jìn)行以下方面的考慮：輸入數(shù)據(jù)驗(yàn)證：對(duì)應(yīng)用系統(tǒng)的數(shù)據(jù)輸入進(jìn)行驗(yàn)證，保證輸入數(shù)據(jù)正確并合乎要求。數(shù)據(jù)的容錯(cuò)處理：為防止正確的數(shù)據(jù)因處理錯(cuò)誤或故意人為等因素遭到破壞而采取的檢查和控制措施。輸出數(shù)據(jù)驗(yàn)證：對(duì)應(yīng)用系統(tǒng)輸出的數(shù)據(jù)進(jìn)行驗(yàn)證，保證對(duì)存儲(chǔ)信息的正確處理。消息驗(yàn)證：檢查傳輸?shù)碾娮酉?nèi)容是否有非法變更或破壞的技術(shù)手段?？梢杂眉用芗夹g(shù)作為實(shí)現(xiàn)消息驗(yàn)證的手段。加密：是用于保護(hù)信息機(jī)密性的技術(shù)。在保護(hù)敏感或關(guān)鍵信息時(shí)使用。周期性評(píng)審關(guān)鍵