信息安全策略教材

信息安全策略

文檔編號(hào)編制審核批準(zhǔn)發(fā)布日期備注

本公司對(duì)本文件資料享受著作權(quán)及其它專(zhuān)屬權(quán)利，未經(jīng)書(shū)面許可，不得將該等文件資料（其全部或任

何部分）披露予任何第三方，或進(jìn)行修改后使用。

目錄

1.信息資源保密策略3

2.網(wǎng)絡(luò)訪(fǎng)問(wèn)策略4

3.訪(fǎng)問(wèn)控制策略5

4.物理訪(fǎng)問(wèn)策略6

5.供應(yīng)商訪(fǎng)問(wèn)策略8

6.雇員訪(fǎng)問(wèn)策略10

7.設(shè)備及布纜安全策略11

8.變更管理安全策略14

9.病毒防范策略16

10.可移動(dòng)代碼防范策略17

11.信息備份安全策略18

12.網(wǎng)絡(luò)配置安全策略19

13.信息交換策略20

14.運(yùn)輸中物理介質(zhì)安全策略21

15.電子郵件策略22

16.信息安全監(jiān)控策略23

17.特權(quán)訪(fǎng)問(wèn)管理策略25

18.口令控制策略26

19.清潔桌面和清屏策略28

20.互聯(lián)網(wǎng)使用策略29

21.便攜式計(jì)算機(jī)安全策略31

22.事件管理策略32

23.個(gè)人信息使用策略33

24.業(yè)務(wù)信息系統(tǒng)使用策略34

25.遠(yuǎn)程工作策略35

26.安全開(kāi)發(fā)策略36

1信息資源保密策略

發(fā)布部門(mén)信息安全小組生效時(shí)間2016年11月01日

保密策略是用于為信息資源用戶(hù)建立限制和期望的機(jī)制。內(nèi)部用戶(hù)不期望信息資源保

介紹

密。外部用戶(hù)期望信息資源擁有完整的保密性，除了在發(fā)生可疑的破壞行為的情況下。

目的該策略的目的是明確的溝通信息資源用戶(hù)的信息服務(wù)保密期望。

適用范圍該策略適用于使用信息資源的所有人員。

術(shù)語(yǔ)定義略

■在公司內(nèi)部保存和控制的電子文件應(yīng)該公開(kāi)，并且可以被信息服務(wù)人員訪(fǎng)問(wèn)；

■為了管理系統(tǒng)并加強(qiáng)安全，信息技術(shù)部小組可以記錄、評(píng)審，同時(shí)也可以使用其

信息資源系統(tǒng)中存儲(chǔ)和傳遞的任何信息。為了達(dá)到此目的，信息技術(shù)部小組還可

以捕獲任何用戶(hù)活動(dòng)，如撥號(hào)號(hào)碼以及訪(fǎng)問(wèn)的網(wǎng)站；

信息■為了商業(yè)目的，第三方將信息委托給公司內(nèi)部保管，那么信息技術(shù)部小組的所有

資源工作人員都必須盡最大的努力保護(hù)這些信息的保密性和安全性。對(duì)這些第三方來(lái)

保密說(shuō)最重要的就是個(gè)人消費(fèi)者，因此消費(fèi)者的賬戶(hù)數(shù)據(jù)應(yīng)該保密，并且對(duì)這些數(shù)據(jù)

策略的訪(fǎng)問(wèn)也應(yīng)該依據(jù)商業(yè)需求進(jìn)行嚴(yán)格限制；

■用戶(hù)必須向適當(dāng)?shù)墓芾碚邎?bào)告公司內(nèi)部計(jì)算機(jī)安全的任何薄弱點(diǎn)，可能的誤用事

故或者相應(yīng)授權(quán)協(xié)議的違背情況；

■在未經(jīng)授權(quán)或獲得明確同意的情況下，用戶(hù)不可以嘗試訪(fǎng)問(wèn)公司內(nèi)部系統(tǒng)中包含

的彳土可數(shù)據(jù)或程序。

違背該策略可能導(dǎo)致：?jiǎn)T工以及臨時(shí)工被解雇、合同方或顧問(wèn)的雇傭關(guān)系終止、實(shí)習(xí)

懲罰人員和志愿者失去繼續(xù)工作的機(jī)會(huì)、學(xué)生被開(kāi)除；另外，這些人員還可能遭受信息資

源訪(fǎng)問(wèn)權(quán)以及公民權(quán)的損失，甚至遭到法律起訴。

引用標(biāo)準(zhǔn)略

2網(wǎng)絡(luò)訪(fǎng)問(wèn)策略

發(fā)布部門(mén)信息安全小組生效時(shí)間2016年11月01日

網(wǎng)絡(luò)基礎(chǔ)設(shè)施是提供給所有信息資源用戶(hù)的中心設(shè)施。重要的是這些基礎(chǔ)設(shè)施（包括

介紹電纜以及相關(guān)的設(shè)備）要持續(xù)不斷的發(fā)展以滿(mǎn)足需求，然而也要求同時(shí)高速發(fā)展網(wǎng)絡(luò)

技術(shù)部以便將來(lái)提供功能更強(qiáng)大的用戶(hù)服務(wù)。

該策略的目的是建立網(wǎng)絡(luò)基礎(chǔ)設(shè)施的訪(fǎng)問(wèn)和使用規(guī)則。這些規(guī)則是保持信息完整性、

目的

可用性和保密性所必需的。

適用范圍該策略適用于訪(fǎng)問(wèn)任何信息資源的所有人。

術(shù)語(yǔ)定義略

■用戶(hù)不可以以任何方式擴(kuò)散或再次傳播網(wǎng)絡(luò)服務(wù)。未經(jīng)信息安全小組批準(zhǔn)不可以

安裝路由器、交換機(jī)、集線(xiàn)器或者無(wú)線(xiàn)訪(fǎng)問(wèn)端口；

■在未經(jīng)信息安全小組批準(zhǔn)的情況下，用戶(hù)不可以安裝提供網(wǎng)絡(luò)服務(wù)的硬件或軟件；

■需要網(wǎng)絡(luò)連接的計(jì)算機(jī)系統(tǒng)必須符合信息服務(wù)規(guī)范；

■用戶(hù)不可以私自下載、安裝或運(yùn)行安全程序或應(yīng)用程序，發(fā)現(xiàn)或揭露系統(tǒng)的安全

薄弱點(diǎn)。例如，在以任何方式連接到互聯(lián)網(wǎng)基礎(chǔ)設(shè)施時(shí)，未經(jīng)信息安全小組批準(zhǔn)

用戶(hù)不可以運(yùn)行口令破解程序、監(jiān)聽(tīng)器、網(wǎng)絡(luò)繪圖工具、或端口掃描工具；

■不允許用戶(hù)以任何方式更換網(wǎng)絡(luò)硬件；

網(wǎng)絡(luò)

■在局域網(wǎng)上進(jìn)行文件共享時(shí)必須指定訪(fǎng)問(wèn)權(quán)限，機(jī)密信息嚴(yán)禁使用everyone權(quán)

訪(fǎng)問(wèn)

限。

策略

■任何員工在訪(fǎng)問(wèn)網(wǎng)絡(luò)資源時(shí)必須使用專(zhuān)屬于自己的帳號(hào)ID,不得使用他人的帳號(hào)

訪(fǎng)問(wèn)網(wǎng)絡(luò)資源。

■網(wǎng)絡(luò)分為辦公網(wǎng)絡(luò)和生產(chǎn)環(huán)境網(wǎng)絡(luò)，辦公網(wǎng)絡(luò)又分為日常辦公網(wǎng)絡(luò)和專(zhuān)門(mén)遠(yuǎn)程訪(fǎng)

問(wèn)網(wǎng)絡(luò)

■生產(chǎn)環(huán)境網(wǎng)絡(luò)必須使用vpn由專(zhuān)人專(zhuān)機(jī)訪(fǎng)問(wèn)，必須要提前向上級(jí)領(lǐng)導(dǎo)申請(qǐng)報(bào)告

■不得從生產(chǎn)環(huán)境下載拷貝等操作

■只能從公司指定辦公網(wǎng)絡(luò)（公司專(zhuān)門(mén)的網(wǎng)絡(luò)通道）訪(fǎng)問(wèn)遠(yuǎn)程的服務(wù)器

■修改遠(yuǎn)程^務(wù)器的內(nèi)容必須要提前申請(qǐng)報(bào)告，且要有詳細(xì)的操作步驟

違背該策略可能導(dǎo)致：?jiǎn)T工以及臨時(shí)工被解雇、合同方或顧問(wèn)的雇傭關(guān)系終止、實(shí)習(xí)

懲罰人員和志愿者失去繼續(xù)工作的機(jī)會(huì)、學(xué)生被開(kāi)除；另外，這些人員還可能遭受信息資

源訪(fǎng)問(wèn)權(quán)以及公民權(quán)的損失，甚至遭到法律起訴。

引用標(biāo)準(zhǔn)略

3.訪(fǎng)問(wèn)控制策略

發(fā)布部門(mén)信息安全小組生效時(shí)間2016年11月01日

介紹應(yīng)根據(jù)業(yè)務(wù)和安全要求，控制對(duì)信息和信息系統(tǒng)的訪(fǎng)問(wèn)。

目的該策略的目的是為了控制對(duì)信息和信息系統(tǒng)的訪(fǎng)問(wèn)。

適用范圍該策略適用于進(jìn)行信息和信息系統(tǒng)訪(fǎng)問(wèn)的所有人員。

術(shù)語(yǔ)定義略

■公司內(nèi)部可公開(kāi)的信息不作特別限定，允許所有用戶(hù)訪(fǎng)問(wèn)；

■公司內(nèi)部分公開(kāi)信息，根據(jù)業(yè)務(wù)需求訪(fǎng)問(wèn)，訪(fǎng)問(wèn)人員提出申請(qǐng)，經(jīng)訪(fǎng)問(wèn)授權(quán)管理

部門(mén)認(rèn)可，訪(fǎng)問(wèn)授權(quán)實(shí)施部門(mén)實(shí)施后用戶(hù)方可訪(fǎng)問(wèn)；

■公司網(wǎng)絡(luò)、信息系統(tǒng)根據(jù)業(yè)務(wù)需求訪(fǎng)問(wèn)，訪(fǎng)問(wèn)人員提出申請(qǐng)，經(jīng)信息安全小組認(rèn)

可，實(shí)施后用戶(hù)方可訪(fǎng)問(wèn)；

■信息安全小組安全管理員按規(guī)定周期對(duì)訪(fǎng)問(wèn)授權(quán)進(jìn)行檢查和評(píng)審；

■訪(fǎng)問(wèn)權(quán)限應(yīng)及時(shí)撤銷(xiāo)，如在申請(qǐng)?jiān)L問(wèn)時(shí)限結(jié)束時(shí)、員工聘用期限結(jié)束時(shí)、第三方

訪(fǎng)問(wèn)服務(wù)協(xié)議中止時(shí)；

控制■用戶(hù)不得訪(fǎng)問(wèn)或嘗試訪(fǎng)問(wèn)未經(jīng)授權(quán)的網(wǎng)絡(luò)、系統(tǒng)、文件和服務(wù)；

策略■遠(yuǎn)程用戶(hù)應(yīng)該通過(guò)公司批準(zhǔn)的連接方式；

■在防火墻內(nèi)部連接內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)不允許連接INTERNET，除非獲得信息安全

小組的批準(zhǔn)；

■用戶(hù)不得以任何方式私自安裝路由器、交換機(jī)、代理服務(wù)器、無(wú)線(xiàn)網(wǎng)絡(luò)訪(fǎng)問(wèn)點(diǎn)（包

括軟件和硬件）等；

■在信息網(wǎng)、外聯(lián)網(wǎng)安裝新的服務(wù)（包括軟件和硬件）必須獲得信息安全小組的

批準(zhǔn)；

■用戶(hù)不得私自撤除或更換網(wǎng)絡(luò)設(shè)備。

違背該策略可能導(dǎo)致：?jiǎn)T工以及臨時(shí)工被解雇、合同方或顧問(wèn)的雇傭關(guān)系終止、實(shí)習(xí)

懲罰人員和志愿者失去繼續(xù)工作的機(jī)會(huì)、學(xué)生被開(kāi)除；另外，這些人員還可能遭受信息資

源訪(fǎng)問(wèn)權(quán)以及公民權(quán)的損失，甚至遭到法律起訴。

引用標(biāo)準(zhǔn)略

4.物理訪(fǎng)問(wèn)策略

發(fā)布部門(mén)信息安全小組生效時(shí)間2016年11月01日

技術(shù)部支持人員、安全管理員、IT管理員以及其他人員可能因工作需要訪(fǎng)問(wèn)信息資源

介紹物理設(shè)施。對(duì)信息資源設(shè)施物理訪(fǎng)問(wèn)的批準(zhǔn)、控制以及監(jiān)控對(duì)于全局的安全是極其重

要的。

目的該策略的目的是為信息資源設(shè)施物理訪(fǎng)問(wèn)的批準(zhǔn)、控制、監(jiān)控和刪除建立規(guī)則。

該策略適用于組織中負(fù)責(zé)信息資源安裝和支持的所有人員，負(fù)責(zé)信息資源安全的人員

適用范圍

以及數(shù)據(jù)的所有者。

術(shù)語(yǔ)定義略

■所有物理安全系統(tǒng)必須符合相應(yīng)的法規(guī)，但不僅限于建設(shè)法規(guī)以及消防法規(guī)；

■對(duì)所有受限制的信息資源設(shè)施的物理訪(fǎng)問(wèn)必須形成文件并進(jìn)行控制；

■所有信息資源設(shè)施必須依據(jù)其功能的關(guān)鍵程度或重要程度進(jìn)行物理保護(hù)；

■對(duì)信息資源設(shè)施的訪(fǎng)問(wèn)必須只授權(quán)給因職責(zé)需要訪(fǎng)問(wèn)設(shè)施的支持人員和合同方；

■授權(quán)使用卡和/或鑰匙訪(fǎng)問(wèn)信息資源設(shè)施的過(guò)程中必須包括設(shè)施負(fù)責(zé)人的批準(zhǔn)；

■擁有信息資源設(shè)施訪(fǎng)問(wèn)權(quán)的每一個(gè)人員都必須接受設(shè)施應(yīng)急程序培訓(xùn)，并且必須

簽署相應(yīng)的訪(fǎng)問(wèn)和不泄密協(xié)議；

■訪(fǎng)問(wèn)請(qǐng)求必須發(fā)自相應(yīng)的數(shù)據(jù)/系統(tǒng)所有者；

■訪(fǎng)問(wèn)卡和/或鑰匙不可以與他人共享或借給他人；

■訪(fǎng)問(wèn)卡和/或鑰匙不需要時(shí)必須退還給信息資源設(shè)施負(fù)責(zé)人。在退還的過(guò)程中，卡

物理

不可以再分配給另一個(gè)人；

訪(fǎng)問(wèn)

■訪(fǎng)問(wèn)卡和/或鑰匙丟失或被盜必須向信息資源設(shè)施的負(fù)責(zé)人報(bào)告；

策略

■卡和/或鑰匙上除了退回的地址外不可以有標(biāo)志性信息；

■所有允許來(lái)賓訪(fǎng)問(wèn)的信息資源設(shè)施都必須使用簽字出/入記錄來(lái)追蹤來(lái)賓的訪(fǎng)問(wèn)；

■信息資源設(shè)施的持卡訪(fǎng)問(wèn)記錄以及來(lái)賓記錄必須保存，并依據(jù)被保護(hù)信息資源的

關(guān)鍵程度定期評(píng)審；

■在持卡和/或鑰匙的人員發(fā)生變化或離職時(shí)，信息資源設(shè)施的負(fù)責(zé)人必須刪除其訪(fǎng)

問(wèn)權(quán)限；

■在信息資源設(shè)施的持卡訪(fǎng)問(wèn)區(qū)，來(lái)賓必須由專(zhuān)人陪同；

■信息資源設(shè)施的負(fù)責(zé)人必須定期評(píng)審訪(fǎng)問(wèn)記錄以及來(lái)賓記錄，并要對(duì)異常訪(fǎng)問(wèn)進(jìn)

行調(diào)查；

■信息資源設(shè)施的負(fù)責(zé)人必須定期評(píng)審卡和/或鑰匙訪(fǎng)問(wèn)權(quán)，并刪除不再需要訪(fǎng)問(wèn)的

人員的權(quán)限；

■對(duì)限制訪(fǎng)問(wèn)的房間和場(chǎng)所必須進(jìn)行標(biāo)記，但是描述其重要性的信息應(yīng)盡可能少。

違背該策略可能導(dǎo)致：?jiǎn)T工以及臨時(shí)工被解雇、合同方或顧問(wèn)的雇傭關(guān)系終止、實(shí)習(xí)

懲罰人員和志愿者失去繼續(xù)工作的機(jī)會(huì)、學(xué)生被開(kāi)除；另外，這些人員還可能遭受信息資

源訪(fǎng)問(wèn)權(quán)以及公民權(quán)的損失，甚至遭到法律起訴。

引用標(biāo)準(zhǔn)略

5.供應(yīng)商訪(fǎng)問(wèn)策略

發(fā)布部門(mén)信息安全小組生效時(shí)間2016年11月01日

供應(yīng)商在支持硬件和軟件管理以及客戶(hù)運(yùn)作方面有重要作用。供應(yīng)商可以遠(yuǎn)程對(duì)數(shù)據(jù)

和審核日志進(jìn)行評(píng)審、備份和修改，他們可以糾正軟件和操作系統(tǒng)中的問(wèn)題，可以監(jiān)

介紹

控并調(diào)整系統(tǒng)性能，可以監(jiān)控硬件性能和錯(cuò)誤，可以修改周遭系統(tǒng)，并重新設(shè)置警告

極限。由供應(yīng)商設(shè)置的限制和控制可以消除或降低收入、信譽(yù)損失或遭破壞的風(fēng)險(xiǎn)。

目的該策略的目的是為減緩供應(yīng)商訪(fǎng)問(wèn)組織資產(chǎn)帶來(lái)的風(fēng)險(xiǎn)。

適用范圍該策略適用于所有需要訪(fǎng)問(wèn)組織的供應(yīng)商。

術(shù)語(yǔ)定義略

■供應(yīng)商必須遵守相應(yīng)的策略、操作標(biāo)準(zhǔn)以及協(xié)議，包括但不僅限于：

令安全策略；

令保密策略；

令審核策略；

令信息資源使用策略。

■供應(yīng)商協(xié)議和合同必須規(guī)定：

令供應(yīng)商應(yīng)該訪(fǎng)問(wèn)的信息；

令供應(yīng)商怎樣保護(hù)信息；

令合同結(jié)束時(shí)供應(yīng)商所擁有的信息返回、毀滅或處置方法；

第三令供應(yīng)商只能使用用于商業(yè)協(xié)議目的的信息和信息資源；

方訪(fǎng)令在合同期間供應(yīng)商所獲得的任何信息都不能用于供應(yīng)商自己的目的或泄漏給

問(wèn)策他人。

WS■應(yīng)該向信息安全小組提供與供應(yīng)商的合同要點(diǎn)。合同要點(diǎn)能確保供應(yīng)商符合策略

的要求；

■為供應(yīng)商分配類(lèi)型，如IT基礎(chǔ)組件運(yùn)維服務(wù)、系統(tǒng)維護(hù)服務(wù)、網(wǎng)絡(luò)維護(hù)服務(wù)等；

■需定義不同類(lèi)型供應(yīng)商可以訪(fǎng)問(wèn)的信息類(lèi)型，以及如何進(jìn)行監(jiān)視和工作訪(fǎng)問(wèn)的權(quán)

限；

■供應(yīng)商訪(fǎng)問(wèn)信息的人員范圍僅限于工作需要的人員，授權(quán)需獲得信息安全小組的

批準(zhǔn)；

■供應(yīng)商權(quán)限人員不得將已授權(quán)的身份識(shí)別信息和相關(guān)設(shè)備透露、借用給其他人員，

工作結(jié)束后應(yīng)該立即注銷(xiāo)訪(fǎng)問(wèn)權(quán)限及清空資料；

■針對(duì)與供應(yīng)商人員交互的組織人員開(kāi)展意識(shí)培訓(xùn)1,培訓(xùn)1內(nèi)容涉及基于供應(yīng)商類(lèi)型

和供應(yīng)商訪(fǎng)問(wèn)組織系統(tǒng)及信息級(jí)別的參與規(guī)則和行為；

■如適合可與供應(yīng)商就關(guān)系中的信息安全簽署保密或交換協(xié)議；

■每一個(gè)供應(yīng)商必須提供在為合同工作的所有員工清單。員工發(fā)生變更時(shí)必須在

24小時(shí)之內(nèi)更新并提供；

■每一個(gè)在組織場(chǎng)所內(nèi)工作的供應(yīng)商員工都必須佩帶身份識(shí)別卡。當(dāng)合同結(jié)束時(shí)，

此卡應(yīng)該歸還；

■可以訪(fǎng)問(wèn)機(jī)密信息資源的每一個(gè)供應(yīng)商員工都不能處理這些信息；

■供應(yīng)商員工應(yīng)該直接向恰當(dāng)?shù)娜藛T直接報(bào)告所有安全事故；

■如果供應(yīng)商參與安全事故管理，那么必須在合同中明確規(guī)定其職責(zé)；

■供應(yīng)商必須遵守所有適用的更改控制過(guò)程和程序；

■定期進(jìn)行的工作任務(wù)和時(shí)間必須在合同中規(guī)定。規(guī)定條件之外的工作必須由相應(yīng)

的管理者書(shū)面批準(zhǔn)；

■必須對(duì)供應(yīng)商訪(fǎng)問(wèn)進(jìn)行唯一標(biāo)識(shí)，并且對(duì)其進(jìn)行的口令管理必須符合口令實(shí)施規(guī)

范和特殊訪(fǎng)問(wèn)實(shí)施規(guī)范。供應(yīng)商主要的工作活動(dòng)必須形成日志并且在管理者需要

的時(shí)候可以訪(fǎng)問(wèn)。日志的內(nèi)容包括但不僅限于：人員變化、口令變化、項(xiàng)目進(jìn)度

重要事件、啟動(dòng)和結(jié)束時(shí)；

■當(dāng)供應(yīng)商員工離職時(shí)，供應(yīng)商必須確保所有機(jī)密信息在24小時(shí)內(nèi)被收回或銷(xiāo)毀；

■在合同或邀請(qǐng)結(jié)束時(shí)，供應(yīng)商應(yīng)該將所有信息返回或銷(xiāo)毀，并在24小時(shí)內(nèi)提交

一份返回或銷(xiāo)毀的書(shū)面證明；

■在合同或邀請(qǐng)結(jié)束時(shí)，供應(yīng)商必須立即交出所有身份識(shí)別卡、訪(fǎng)問(wèn)卡以及設(shè)備和

供應(yīng)品。由供應(yīng)商保留的設(shè)備和/或供應(yīng)品必須被管理者書(shū)面授權(quán)；

■要求供應(yīng)商必須遵守所有規(guī)定和審核要求，包括對(duì)供應(yīng)商工作的審核；

■在提供服務(wù)時(shí)，供應(yīng)商使用的所有軟件必須進(jìn)行相應(yīng)的清點(diǎn)并許可。

違背該策略可能導(dǎo)致：?jiǎn)T工以及臨時(shí)工被解雇、合同方或顧問(wèn)的雇傭關(guān)系終止、實(shí)習(xí)

懲罰人員和志愿者失去繼續(xù)工作的機(jī)會(huì)、學(xué)生被開(kāi)除；另外，這些人員還可能遭受信息資

源訪(fǎng)問(wèn)權(quán)以及公民權(quán)的損失，甚至遭到法律起訴。

引用標(biāo)準(zhǔn)略

6.雇員訪(fǎng)問(wèn)策略

發(fā)布部門(mén)信息安全小組生效時(shí)間2016年11月01日

雇員工作在信息安全區(qū)域，工作中需要使用公司的各種信息處理設(shè)施，需要訪(fǎng)問(wèn)公司

介紹

的各種信息資產(chǎn)，因此每一個(gè)雇員有義務(wù)和責(zé)任保護(hù)好公司信息資產(chǎn)的安全。

本策略未訪(fǎng)問(wèn)本公司信息資源的全體雇員，這種訪(fǎng)問(wèn)是出于業(yè)務(wù)需要的，涉及物理和

目的

行政安全管理需求的網(wǎng)絡(luò)連接、雇員的職責(zé)及信息保護(hù)的準(zhǔn)則。

該策略適用于公司的任何雇員，雇員對(duì)信息資源的訪(fǎng)問(wèn)，包括信息處理設(shè)施設(shè)備和技

適用范圍

術(shù)部資源。

術(shù)語(yǔ)定義略

■雇員必須遵守相應(yīng)的策略、操作標(biāo)準(zhǔn)以及協(xié)議，包括但不僅限于：

令《信息資源保密策略》；

Q《病毒防范策略》；

令《可移動(dòng)代碼防范策略》；

令《信息交換策略》；

令《清潔桌面和清屏策略》；

令《網(wǎng)絡(luò)訪(fǎng)問(wèn)策略》；

令《便攜式計(jì)算機(jī)安全策略》；

雇員令《互聯(lián)網(wǎng)使用策略》；

訪(fǎng)問(wèn)令《電子郵件策略》。

策略■雇員在意識(shí)到有安全事件發(fā)生時(shí)應(yīng)該第一時(shí)間向上層領(lǐng)導(dǎo)報(bào)告；

■雇員應(yīng)該直接向恰當(dāng)?shù)娜藛T直接報(bào)告所有安全事故；

■雇員必須遵守所有適用的變更管理程序;

■當(dāng)雇員離職時(shí)，必須確保所有機(jī)密信息在24小時(shí)內(nèi)被收回或銷(xiāo)毀；

■在合同結(jié)束時(shí)，雇員應(yīng)該將所有信息返回或銷(xiāo)毀，并在24小時(shí)內(nèi)提交一份返回

或銷(xiāo)毀的書(shū)面證明，并由資產(chǎn)責(zé)任人簽字認(rèn)可；

■在合同結(jié)束時(shí)，雇員必須立即交出所有身份識(shí)別卡、訪(fǎng)問(wèn)卡以及設(shè)備和供應(yīng)品。

由雇員保管的設(shè)備和/或供應(yīng)品的回收必須由資產(chǎn)責(zé)任人簽字認(rèn)可；

■要求雇員必須遵守所有規(guī)定和審核要求。

違背該方針可能導(dǎo)致：?jiǎn)T工被解雇、合同方或顧問(wèn)的雇傭關(guān)系終止、實(shí)習(xí)人員失去繼

懲罰續(xù)工作的機(jī)會(huì)、員工受到經(jīng)濟(jì)性懲罰等；另外，這些人員的信息資源訪(fǎng)問(wèn)權(quán)以及公民

權(quán)可能受到侵害，甚至遭到法律起訴。

引用標(biāo)準(zhǔn)略

7.設(shè)備及布纜安全策略

發(fā)布部門(mén)信息安全小組生效時(shí)間2016年11月01日

網(wǎng)絡(luò)基礎(chǔ)設(shè)施是向所有信息資源用戶(hù)提供服務(wù)的中心設(shè)施。這些基礎(chǔ)設(shè)施（包括電源

介紹饋送和數(shù)據(jù)傳輸?shù)碾娎|以及相關(guān)的設(shè)備）需要持續(xù)不斷的發(fā)展以滿(mǎn)足用戶(hù)需求，然而

同時(shí)也要求網(wǎng)絡(luò)技術(shù)部高速發(fā)展以便將來(lái)能夠提供功能更強(qiáng)大的用戶(hù)服務(wù)。

■該方針的目的保護(hù)設(shè)備免受物理的和環(huán)境的威脅，減少未授權(quán)訪(fǎng)問(wèn)信息的風(fēng)險(xiǎn)。

防止資產(chǎn)的丟失、損壞、失竊或危及資產(chǎn)安全以及組織活動(dòng)的中斷；

■為了安置或保護(hù)設(shè)備，以減少由環(huán)境威脅和危險(xiǎn)所造成的各種風(fēng)險(xiǎn)以及未授權(quán)訪(fǎng)

問(wèn)的機(jī)會(huì)；

■為了保護(hù)設(shè)備使其免于由支持性設(shè)施的失效而引起的電源故障和其他中斷，應(yīng)有

足夠的支持性設(shè)施（供電、供水、通風(fēng)和空調(diào)等）來(lái)支持系統(tǒng)；

目的■為了保證傳輸數(shù)據(jù)或支持信息服務(wù)的電源布纜和通信布纜免受竊聽(tīng)或損壞，電源

饋送和數(shù)據(jù)通訊的電纜必須確保安全；

■為了確保設(shè)備持續(xù)的可用性和完整性，設(shè)備應(yīng)予以正確地維護(hù)；

■為了對(duì)組織非現(xiàn)場(chǎng)設(shè)備采取安全措施，要考慮工作在組織場(chǎng)所以外的不同風(fēng)險(xiǎn)；

■為了確保涉密信息不泄露，在存儲(chǔ)介質(zhì)銷(xiāo)毀之前，任何機(jī)密信息和注冊(cè)軟件已被

刪除或安全重寫(xiě)；

■為了確保涉密信息不泄露，設(shè)備、信息或軟件在授權(quán)之前不應(yīng)帶出組織場(chǎng)所。

適用范圍該方針適用于網(wǎng)絡(luò)設(shè)備設(shè)施的建設(shè)和維護(hù)人員。

術(shù)語(yǔ)定義略

■設(shè)備安置和保護(hù)方針

令設(shè)備應(yīng)進(jìn)行適當(dāng)安置，以盡量減少不必要的對(duì)工作區(qū)域的訪(fǎng)問(wèn)；

令應(yīng)把處理機(jī)密數(shù)據(jù)的信息處理設(shè)施放在適當(dāng)?shù)南拗朴^(guān)測(cè)的位置，以減少在其

設(shè)備使用期間信息被窺視的風(fēng)險(xiǎn)，還應(yīng)保護(hù)儲(chǔ)存設(shè)施以防止未授權(quán)訪(fǎng)問(wèn);

及布令要求專(zhuān)門(mén)保護(hù)的部件要予以隔離，以降低所要求的總體保護(hù)等級(jí)；

纜安令應(yīng)采取控制措施以減小潛在的物理威脅的風(fēng)險(xiǎn)，例如偷竊、火災(zāi)、爆炸、煙

全策霧、水（或供水故障Y塵埃、振動(dòng)、化學(xué)影響、電源干擾、通信干擾、電磁

wS輻射和故意破壞；

令對(duì)于可能對(duì)信息處理設(shè)施運(yùn)行狀態(tài)產(chǎn)生負(fù)面影響的環(huán)境條件（例如溫度和濕

度）要予以監(jiān)視；

令所有建筑物都應(yīng)采用避雷保護(hù)；

令應(yīng)保護(hù)處理機(jī)密信息的設(shè)備，以減少由于輻射而導(dǎo)致信息泄露的風(fēng)險(xiǎn)；

■支持性設(shè)施方針

令支持性設(shè)施應(yīng)定期檢查并適當(dāng)?shù)臏y(cè)試以確保他們的功能，減少由于他們的故

障或失效帶來(lái)的風(fēng)險(xiǎn)。應(yīng)按照設(shè)備制造商的說(shuō)明提供合適的供電；

令對(duì)支持關(guān)鍵業(yè)務(wù)操作的設(shè)備，必須使用支持有序關(guān)機(jī)或連續(xù)運(yùn)行的不間斷電

源（UPS）;

令電源應(yīng)急計(jì)劃要包括UPS故障時(shí)要采取的措施。UPS設(shè)備和發(fā)電機(jī)要定期地

檢查，以確保它們擁有足夠能力，并按照制造商的建議予以測(cè)試；

■布纜安全方針：

令進(jìn)入信息處理設(shè)施的電源和通信線(xiàn)路宜在地下，若可能，或提供足夠的可替

換的保護(hù)；

令網(wǎng)絡(luò)布纜要免受未授權(quán)竊聽(tīng)或損壞，例如，利用電纜管道或使路由避開(kāi)公眾

區(qū)域；

令為了防止干擾，電源電纜要與通信電纜分開(kāi)；

令使用清晰的可識(shí)別的電纜和設(shè)備記號(hào)，以使處理失誤最小化，例如，錯(cuò)誤網(wǎng)

絡(luò)電纜的意外配線(xiàn)；

令用文件化配線(xiàn)列表減少失誤的可能性；

令對(duì)于機(jī)密的或關(guān)鍵的系統(tǒng)，更進(jìn)一步的控制考慮應(yīng)包括：

*在檢查點(diǎn)和終接點(diǎn)處安裝鎧裝電纜管道和上鎖的房間或盒子；

*使用可替換的路由選擇和/或傳輸介質(zhì)，3是供適當(dāng)?shù)陌踩胧?/p>

*使用纖維光纜；

*使用電磁防輻射裝置保護(hù)電纜；

*對(duì)于電纜連接的未授權(quán)裝置要主動(dòng)實(shí)施技術(shù)部清除、物理檢查；

*控制對(duì)配線(xiàn)盤(pán)和電纜室的訪(fǎng)問(wèn)；

■設(shè)備維護(hù)方針

令要按照供應(yīng)商推薦的服務(wù)時(shí)間間隔和規(guī)范對(duì)設(shè)備進(jìn)行維護(hù);

令只有已授權(quán)的維護(hù)人員才可對(duì)設(shè)備進(jìn)行修理和服務(wù)；

令要保存所有可疑的或?qū)嶋H的故障以及所有預(yù)防和糾正維護(hù)的記錄；

令當(dāng)對(duì)設(shè)備安排維護(hù)時(shí)，應(yīng)實(shí)施適當(dāng)?shù)目刂疲紤]維護(hù)是由場(chǎng)所內(nèi)部人員執(zhí)

彳亍還是由外部人員執(zhí)行；當(dāng)需要時(shí)，機(jī)密信息需要從設(shè)備中刪除或者維護(hù)人

員應(yīng)該是足夠可靠的；

令應(yīng)遵守由保險(xiǎn)策略所施加的所有要求。

■組織場(chǎng)所外的設(shè)備安全方針

令無(wú)論責(zé)任人是誰(shuí)，在組織場(chǎng)所外使用任何信息處理設(shè)備都要通過(guò)管理者授權(quán)；

令離開(kāi)建筑物的設(shè)備和介質(zhì)在公共場(chǎng)所不應(yīng)無(wú)人看管。在旅行時(shí)便攜式計(jì)算機(jī)

要作為手提行李攜帶，若可能宜偽裝起來(lái)；

?制造商的設(shè)備保護(hù)說(shuō)明要始終加以遵守，例如，防止暴露于強(qiáng)電磁場(chǎng)內(nèi)；

令家庭工作的控制措施應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估確定，當(dāng)適合時(shí)，要施加合適的控制措

施，例如，可上鎖的存檔柜、清理桌面策略、對(duì)計(jì)算機(jī)的訪(fǎng)問(wèn)控制以及與辦

公室的安全通信；

令足夠的安全保障掩蔽物宜到位，以保護(hù)離開(kāi)辦公場(chǎng)所的設(shè)備。安全風(fēng)險(xiǎn)在不

同場(chǎng)所可能有顯著不同，例如，損壞、盜竊和截取，要考慮確定最合適的控

制措施。

■設(shè)備的安全處置和再利用方針

令包含機(jī)密信息的設(shè)備在物理上應(yīng)予以摧毀，或者采用使原始信息不可獲取的

技術(shù)部破壞、刪除、覆蓋信息，而不能采用標(biāo)準(zhǔn)的刪除或格式化功能；

令包含機(jī)密信息的已損壞的設(shè)備可能需要實(shí)施風(fēng)險(xiǎn)評(píng)估，以確定這些設(shè)備是否

要進(jìn)行銷(xiāo)毀、而不是送去修理或丟棄。

■資產(chǎn)移動(dòng)方針

令在未經(jīng)事先授權(quán)的情況下，不允許讓設(shè)備、信息或軟件離開(kāi)辦公場(chǎng)所；

令應(yīng)明確識(shí)別有權(quán)允許資產(chǎn)移動(dòng)，離開(kāi)辦公場(chǎng)所的雇員、承包方人員和供應(yīng)商

人員；

令應(yīng)設(shè)置設(shè)備移動(dòng)的時(shí)間限制，并在返還時(shí)執(zhí)行符合性檢查；

令若需要并合適，要對(duì)設(shè)備作出移出記錄，當(dāng)返回時(shí)，要作出送回記錄；

令應(yīng)執(zhí)行檢測(cè)未授權(quán)資產(chǎn)移動(dòng)的抽查，以檢測(cè)未授權(quán)的記錄裝置，防止他們進(jìn)

入辦公場(chǎng)所。這樣的抽查應(yīng)按照相關(guān)規(guī)章制度執(zhí)行。應(yīng)讓每個(gè)人都知道將進(jìn)

行抽查，并且只能在法律法規(guī)要求的適當(dāng)授權(quán)下執(zhí)行檢查。

違背該方針可能導(dǎo)致：?jiǎn)T工被解雇、合同方或顧問(wèn)的雇傭關(guān)系終止、實(shí)習(xí)人員失去繼

懲罰續(xù)工作的機(jī)會(huì)、員工受到經(jīng)濟(jì)性懲罰等；另外，這些人員的信息資源訪(fǎng)問(wèn)權(quán)以及公民

權(quán)可能受到侵害，甚至遭到法律起訴。

引用標(biāo)準(zhǔn)略

8.變更管理安全策略

發(fā)布部門(mén)信息安全小組生效時(shí)間2016年11月01日

信息資源基礎(chǔ)設(shè)施正在逐步擴(kuò)大并且越來(lái)越復(fù)雜。越來(lái)越多的人依賴(lài)網(wǎng)絡(luò)、更多的客

戶(hù)服務(wù)機(jī)構(gòu)、未升級(jí)和擴(kuò)展的管理系統(tǒng)以及更多應(yīng)用程序.由于信息資源基礎(chǔ)設(shè)施之

間的互相依賴(lài)程度越來(lái)越高，因此有必要加強(qiáng)變更管理過(guò)程。有時(shí)每一個(gè)信息資源組

介紹

成部分需要暫停運(yùn)行，按計(jì)劃進(jìn)行升級(jí)、維護(hù)或調(diào)整，另外也可能由于為計(jì)劃的升級(jí)、

維護(hù)或調(diào)整而導(dǎo)致暫停運(yùn)行。管理這些變更是提供堅(jiān)固的、有價(jià)值的信息資源基礎(chǔ)設(shè)

施的關(guān)鍵組成部分。

該策略的目的是以一種合理的、可預(yù)知的方式管理變更，以便員工和客戶(hù)能進(jìn)行相應(yīng)

目的的計(jì)劃。變更需要事先嚴(yán)格計(jì)劃、仔細(xì)監(jiān)控并要進(jìn)行追蹤評(píng)價(jià)，以降低對(duì)用戶(hù)群的負(fù)

面影響，增加信息資源的價(jià)值。

適用范圍該策略適用于安裝、操作或維護(hù)信息資源的所有人員。

術(shù)語(yǔ)定義略

■對(duì)信息資源的每一次變更，如操作系統(tǒng)、計(jì)算機(jī)硬件、網(wǎng)絡(luò)以及應(yīng)用程序都要服

從變更管理策略,并且必須遵守變更管理程序；

■所有影響計(jì)算機(jī)環(huán)境設(shè)備的變更（如空調(diào)、水、熱、管道、電）需要向變更管理過(guò)

程的領(lǐng)導(dǎo)者報(bào)告，并與之協(xié)調(diào)處理；

■無(wú)論是事先有計(jì)劃的變更還是事先無(wú)計(jì)劃的變更必須都提交書(shū)面的變更申請(qǐng)；

■所有事先有計(jì)劃的變更申請(qǐng)必須按照變更管理程序的規(guī)定提交，以便信息安全小

組有足夠的時(shí)間評(píng)審申請(qǐng)，確定并重新評(píng)審潛在的失敗，并決定申請(qǐng)被批準(zhǔn)還是

變更延期執(zhí)行；

管理■每一個(gè)事先計(jì)劃的變更申請(qǐng)?jiān)趫?zhí)行前必須受到信息安全小組的正式批準(zhǔn)；

安全■指定的信息安全小組領(lǐng)導(dǎo)在下列情況下有權(quán)拒絕任何申請(qǐng)：不充分的策劃、不充

策略分的刪除計(jì)劃、變更的時(shí)間等會(huì)對(duì)關(guān)鍵的業(yè)務(wù)過(guò)程造成負(fù)面影響，或者會(huì)造成沒(méi)

有充分的資源可用；

■在變更管理程序?qū)嵤┣?，必須完成?duì)所有客戶(hù)的通知；

■每一次變更必須進(jìn)行變更評(píng)審，無(wú)論是計(jì)劃還是未計(jì)劃的，成功的還是失敗的；

■所有變更必須保留變更管理日志，必須保留的日志包括但不限于下列內(nèi)容：

令變更的提交和執(zhí)行日期；

令所有者和保管者信息；

令變更的特性；

令成功或失敗的標(biāo)志。

■所有信息系統(tǒng)必須遵照上述規(guī)定進(jìn)行信息資源的變更。

違背該策略可能導(dǎo)致：?jiǎn)T工以及臨時(shí)工被解雇、合同方或顧問(wèn)的雇傭關(guān)系終止、實(shí)習(xí)

懲罰人員和志愿者失去繼續(xù)工作的機(jī)會(huì)、學(xué)生被開(kāi)除；另外，這些人員還可能遭受信息資

源訪(fǎng)問(wèn)權(quán)以及公民權(quán)的損失，甚至遭到法律起訴。

引用標(biāo)準(zhǔn)略

9.病毒防范策略

發(fā)布部門(mén)信息安全小組生效時(shí)間2016年11月01日

計(jì)算機(jī)安全事故的數(shù)量以及由業(yè)務(wù)中斷服務(wù)恢復(fù)所導(dǎo)致的費(fèi)用日益攀升。實(shí)施穩(wěn)固的

介紹安全策略，防止對(duì)網(wǎng)絡(luò)和計(jì)算機(jī)不必要的訪(fǎng)問(wèn)，較早的發(fā)現(xiàn)并減輕安全事故可以有效

地降低風(fēng)險(xiǎn)以及安全事故造成的費(fèi)用。

目的該策略的目的是描述計(jì)算機(jī)病毒、蠕蟲(chóng)以及特洛伊木馬防御、檢測(cè)以及清除的要求。

適用范圍該策略適用于使用信息資源的所有人員。

術(shù)語(yǔ)定義略

■所有連接到局域網(wǎng)的工作站必須使用信息安全小組批準(zhǔn)的病毒保護(hù)軟件和配置；

■病毒保護(hù)軟件必須不能被禁用或被繞過(guò)；

病毒■病毒保護(hù)軟件的更改不能降低軟件的有效性；

防范■不能為了降低病毒保護(hù)軟件的自動(dòng)更新頻率而對(duì)其進(jìn)行更改；

策略■與局域網(wǎng)連接的每一個(gè)文件服務(wù)器必須使用信息安全小組批準(zhǔn)的病毒保護(hù)軟件，

并要進(jìn)行設(shè)置檢測(cè)、清除可能感染共享文件的病毒；

■由病毒保護(hù)軟件不能自動(dòng)清除并引起安全事故的病毒，必須向信息安全小組報(bào)告。

違背該策略可能導(dǎo)致：?jiǎn)T工以及臨時(shí)工被解雇、合同方或顧問(wèn)的雇傭關(guān)系終止、實(shí)習(xí)

懲罰人員和志愿者失去繼續(xù)工作的機(jī)會(huì)、學(xué)生被開(kāi)除；另外，這些人員還可能遭受信息資

源訪(fǎng)問(wèn)權(quán)以及公民權(quán)的損失，甚至遭到法律起訴。

引用標(biāo)準(zhǔn)略

10.可移動(dòng)代碼防范策略

發(fā)布部門(mén)信息安全小組生效時(shí)間2016年11月01日

未經(jīng)授權(quán)的移動(dòng)代碼危害信息系統(tǒng)，應(yīng)實(shí)施對(duì)惡意代碼的監(jiān)測(cè)、預(yù)防和恢復(fù)控制，以

介紹

及適當(dāng)?shù)挠脩?hù)意識(shí)培訓(xùn)。

該策略的目的阻止和發(fā)現(xiàn)未經(jīng)授權(quán)的移動(dòng)代碼的引入，實(shí)施對(duì)惡意代碼的監(jiān)測(cè)、預(yù)防

目的

和恢復(fù)控制。

適用范圍該策略適用于使用信息資源的所有人員。

術(shù)語(yǔ)定義略

■禁止使用未經(jīng)授權(quán)的軟件。

■防范經(jīng)過(guò)外部網(wǎng)絡(luò)或任何其它媒介引入文件和軟件相關(guān)的風(fēng)險(xiǎn)，并采取適當(dāng)?shù)念A(yù)

防措施。

■定期對(duì)支持關(guān)鍵業(yè)務(wù)過(guò)程的系統(tǒng)中的軟件和數(shù)據(jù)進(jìn)行評(píng)審；無(wú)論出現(xiàn)任何未經(jīng)驗(yàn)

收的文件或者未經(jīng)授權(quán)的修改，都要進(jìn)行正式調(diào)查。

可移■安裝并定期升級(jí)防病毒的檢測(cè)軟件和修復(fù)軟件，定期掃描計(jì)算機(jī)和存儲(chǔ)介質(zhì)，檢

動(dòng)代測(cè)應(yīng)包括：

碼防令在使用前，對(duì)存儲(chǔ)媒體，以及通過(guò)網(wǎng)絡(luò)接收的文檔進(jìn)行惡意代碼檢測(cè)；

范策令在使用前，通過(guò)郵件服務(wù)器對(duì)電子郵件附件及下載文件進(jìn)行惡意代碼檢測(cè)；

畋

WH■信息安全小組負(fù)責(zé)惡意代碼防護(hù)、使用培訓(xùn)1、病毒襲擊和恢復(fù)報(bào)告。

■為從惡意代碼攻擊中恢復(fù)，需要制定適當(dāng)?shù)臉I(yè)務(wù)持續(xù)性計(jì)劃。包括所有必要的數(shù)

據(jù)、軟件備份以及恢復(fù)安排。

■信息安全小組應(yīng)制定并實(shí)施文件化的程序，驗(yàn)證所有與惡意軟件相關(guān)的信息并且

確保警報(bào)公告的內(nèi)容準(zhǔn)確詳實(shí)。管理員應(yīng)當(dāng)確保使用合格的信息資源，防止引入

真正的惡意代碼。所有用戶(hù)應(yīng)有防欺騙的意識(shí)，并知道收到欺騙信息時(shí)如何處置。

違背該策略可能導(dǎo)致：?jiǎn)T工以及臨時(shí)工被解雇、合同方或顧問(wèn)的雇傭關(guān)系終止、實(shí)習(xí)

懲罰人員和志愿者失去繼續(xù)工作的機(jī)會(huì)、學(xué)生被開(kāi)除；另外，這些人員還可能遭受信息資

源訪(fǎng)問(wèn)權(quán)以及公民權(quán)的損失，甚至遭到法律起訴。

引用標(biāo)準(zhǔn)略

11.信息備份安全策略

發(fā)布部門(mén)信息安全小組生效時(shí)間2016年11月01日

電子備份是一項(xiàng)必需的業(yè)務(wù)要求，能使數(shù)據(jù)和應(yīng)用程序在發(fā)生意想不到的事件時(shí)得以

介紹恢復(fù)，這些事件包括：自然災(zāi)害、系統(tǒng)磁盤(pán)故障、間諜活動(dòng)、數(shù)據(jù)輸入錯(cuò)誤或系統(tǒng)操

作錯(cuò)誤等。

目的該策略的目的是設(shè)置電子信息的備份和存儲(chǔ)職責(zé)。

該策略適用于組織中負(fù)責(zé)信息資源安裝和支持的所有人員，以及負(fù)責(zé)信息資源安全的

適用范圍

人員和數(shù)據(jù)所有者。

術(shù)語(yǔ)定義略

■信息備份周期和方式必須依據(jù)信息的重要性以及數(shù)據(jù)所有者確定的可接受風(fēng)險(xiǎn)確

定；

■供應(yīng)商提供的場(chǎng)所外備份存儲(chǔ)必須達(dá)到信息存儲(chǔ)的最高等級(jí)；

■場(chǎng)所外備份存儲(chǔ)區(qū)的物理訪(fǎng)問(wèn)控制的實(shí)施必須滿(mǎn)足并超過(guò)原系統(tǒng)的物理訪(fǎng)問(wèn)控

信息制，另外備份介質(zhì)必須依據(jù)信息存儲(chǔ)的最高安全等級(jí)進(jìn)行保護(hù);

備份■必須建立并實(shí)施對(duì)電子信息備份成功與否的驗(yàn)證過(guò)程；

安全■必須對(duì)場(chǎng)所外備份存儲(chǔ)供應(yīng)商每年進(jìn)行評(píng)審；

策略■為了容易識(shí)別介質(zhì)和/或關(guān)聯(lián)系統(tǒng)，備份介質(zhì)至少應(yīng)該被標(biāo)注下列信息：

令系統(tǒng)名；

令創(chuàng)建日期；

令機(jī)密度分級(jí)［以相應(yīng)的電子記錄保持法規(guī)為基礎(chǔ)］;

令包含的信息。

違背該策略可能導(dǎo)致：?jiǎn)T工以及臨時(shí)工被解雇、合同方或顧問(wèn)的雇傭關(guān)系終止、實(shí)習(xí)

懲罰人員和志愿者失去繼續(xù)工作的機(jī)會(huì)、學(xué)生被開(kāi)除；另外，這些人員還可能遭受信息資

源訪(fǎng)問(wèn)權(quán)以及公民權(quán)的損失，甚至遭到法律起訴。

引用標(biāo)準(zhǔn)略

12.網(wǎng)絡(luò)配置安全策略

發(fā)布部門(mén)信息安全小組生效時(shí)間2016年11月01日

網(wǎng)絡(luò)基礎(chǔ)設(shè)施是提供給所有信息資源用戶(hù)的中心設(shè)施。重要的是這些基礎(chǔ)設(shè)施（包括

介紹電纜以及相關(guān)的設(shè)備，如路由器、交換機(jī)）要持續(xù)不斷的發(fā)展以滿(mǎn)足用戶(hù)需求，然而

也要求同時(shí)高速發(fā)展網(wǎng)絡(luò)技術(shù)部以便將來(lái)提供功能更強(qiáng)大的用戶(hù)服務(wù)。

該策略的目的是為網(wǎng)絡(luò)基礎(chǔ)設(shè)施的維護(hù)、擴(kuò)展以及使用建立規(guī)則。該規(guī)則是保持信息

目的

完整性、可用性和保密性所必需的。

適用范圍該策略適用于訪(fǎng)問(wèn)信息資源的所有人。

術(shù)語(yǔ)定義略

■信息安全小組擁有網(wǎng)絡(luò)基礎(chǔ)設(shè)施并對(duì)其負(fù)責(zé)，而且還要對(duì)基礎(chǔ)設(shè)施的發(fā)展和增加

進(jìn)行管理；

■為了提供穩(wěn)固的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，所有電纜必須由信息安全小組或被認(rèn)可的合同方

安裝；

■所有網(wǎng)絡(luò)連接設(shè)備必須按照改為：信息安全小組批準(zhǔn)的規(guī)范進(jìn)行配置；

■所有連接到網(wǎng)絡(luò)的硬件必須服從信息安全小組的管理和監(jiān)控標(biāo)準(zhǔn)；

■在沒(méi)有信息安全小組批準(zhǔn)的情況下，不能對(duì)活動(dòng)的網(wǎng)絡(luò)管理設(shè)備的配置進(jìn)行更改；

網(wǎng)絡(luò)■網(wǎng)絡(luò)基礎(chǔ)設(shè)施支持一系列合理定義的、被認(rèn)可的網(wǎng)絡(luò)協(xié)議。使用任何未經(jīng)認(rèn)可的

配置協(xié)議都必須經(jīng)過(guò)信息安全小組的批準(zhǔn)；

安全■支持協(xié)議的網(wǎng)絡(luò)地址由信息安全小組集中分配、注冊(cè)和管理；

策略■網(wǎng)絡(luò)基礎(chǔ)設(shè)施與外部供應(yīng)商網(wǎng)絡(luò)的所有連接都由信息安全小組負(fù)責(zé)。這包括與外

部電話(huà)網(wǎng)絡(luò)的連接；

■信息安全小組的防火墻必須按照防火墻實(shí)施規(guī)范文件進(jìn)行安裝和配置；

■在未獲得信息安全小組書(shū)面授權(quán)的情況下，部門(mén)不得使用防火墻；

■用戶(hù)不可以以任何方式擴(kuò)散或再次傳播網(wǎng)絡(luò)服務(wù)。這就意味著未經(jīng)信息安全小組

批準(zhǔn)不可以安裝路由器、交換機(jī)、集線(xiàn)器或者無(wú)線(xiàn)訪(fǎng)問(wèn)端口；

■在未經(jīng)信息安全小組批準(zhǔn)的情況下，用戶(hù)不得安裝網(wǎng)絡(luò)硬件或軟件提供網(wǎng)絡(luò)服務(wù)；

■不允許用戶(hù)以任何方式更換網(wǎng)絡(luò)硬件。

違背該策略可能導(dǎo)致：?jiǎn)T工以及臨時(shí)工被解雇、合同方或顧問(wèn)的雇傭關(guān)系終止、實(shí)習(xí)

懲罰人員和志愿者失去繼續(xù)工作的機(jī)會(huì)、學(xué)生被開(kāi)除；另外，這些人員還可能遭受信息資

源訪(fǎng)問(wèn)權(quán)以及公民權(quán)的損失，甚至遭到法律起訴。

引用標(biāo)準(zhǔn)略

13.信息交換策略

發(fā)布部門(mén)信息安全小組生效時(shí)間2016年11月01日

在組織之間交換信息和軟件應(yīng)當(dāng)遵守根據(jù)交換協(xié)議所制定的正式的交換方針，并且應(yīng)

介紹

當(dāng)服從所有相關(guān)的法律。

目的保持在組織內(nèi)部及任何外部機(jī)構(gòu)之間所交換的信息和軟件的安全。

適用范圍該策略適用于進(jìn)行信息交換的所有人員。

術(shù)語(yǔ)定義略

■不能在公共場(chǎng)所或者敞開(kāi)的辦公室、沒(méi)有屋頂防護(hù)的會(huì)議室談?wù)摍C(jī)密信息。

■對(duì)信息交流應(yīng)作適當(dāng)?shù)姆婪?，如不要暴露機(jī)密信息,避免被通過(guò)電話(huà)偷聽(tīng)或截取。

■員工、合作方以及任何其他用戶(hù)不得損害本局的利益，如誹謗、騷擾、假冒、未

經(jīng)授權(quán)的采購(gòu)等。

信息■不得將包含機(jī)密信息的訊息放在自動(dòng)應(yīng)答系統(tǒng)中。

交換■不得將機(jī)密或關(guān)鍵信息放在打印設(shè)施上，如復(fù)印機(jī)、打印機(jī)和傳真，防止未經(jīng)授

策略權(quán)人員的訪(fǎng)問(wèn)。

■做應(yīng)用系統(tǒng)之間接口、協(xié)議時(shí)，不能影響雙方應(yīng)用的正常運(yùn)行；在實(shí)施之前應(yīng)充

分考慮應(yīng)用系統(tǒng)的資源是否足夠；保證數(shù)據(jù)交換的權(quán)限最小化。

■在進(jìn)行與相關(guān)方信息交換時(shí)，需提前指定雙方的信息交換人員、交換方式、交換

保密方法，以防止信息的泄露。

違背該策略可能導(dǎo)致：?jiǎn)T工以及臨時(shí)工被解雇、合同方或顧問(wèn)的雇傭關(guān)系終止、實(shí)習(xí)

懲罰人員和志愿者失去繼續(xù)工作的機(jī)會(huì)、學(xué)生被開(kāi)除；另外，這些人員還可能遭受信息資

源訪(fǎng)問(wèn)權(quán)以及公民權(quán)的損失，甚至遭到法律起訴

引用標(biāo)準(zhǔn)略

14.運(yùn)輸中物理介質(zhì)安全策略

發(fā)布部門(mén)信息安全小組生效時(shí)間2016年11月01日

物理介質(zhì)是信息資源的載體，在運(yùn)送過(guò)程中必須對(duì)其安全進(jìn)行管理。建立該方針是為

介紹了確保包含信息的介質(zhì)在組織的物理邊界以外運(yùn)送時(shí)，防止未授權(quán)的訪(fǎng)問(wèn)、不當(dāng)?shù)氖?/p>

用或毀壞。

目的略

適用范圍該方針適用于在組織安全邊界外運(yùn)輸組織物理介質(zhì)的所有人員。

術(shù)語(yǔ)定義略

應(yīng)考慮下列方針以保護(hù)不同地點(diǎn)間傳輸?shù)男畔⒔橘|(zhì)：

＞應(yīng)使用可靠的運(yùn)輸或送信人；

＞授權(quán)的送信人列表應(yīng)經(jīng)管理者批準(zhǔn)；

運(yùn)輸

＞包裝要足以保護(hù)信息免遭在運(yùn)輸期間可能出現(xiàn)的任何物理?yè)p壞，并且符合制造商

中物

的規(guī)范（例如軟件），例如防止可能減少介質(zhì)恢復(fù)效力的任何環(huán)境因素，例如暴露

理介

于過(guò)熱、潮濕或電磁區(qū)域；

質(zhì)安

＞若需要，應(yīng)采取專(zhuān)門(mén)的控制，以保護(hù)機(jī)密信息免遭未授權(quán)泄露或修改；例子包括：

全策

令使用可上鎖的容器；

畋

令手工交付；

令防篡改的包裝（它可以揭示任何想獲得訪(fǎng)問(wèn)的企圖）；

令在異常情況下，把托運(yùn)貨物分解成多次交付，并且通過(guò)不同的路線(xiàn)發(fā)送。

違背該方針可能導(dǎo)致：?jiǎn)T工被解雇、合同方或顧問(wèn)的雇傭關(guān)系終止、實(shí)習(xí)人員失去繼

懲罰續(xù)工作的機(jī)會(huì)、員工受到經(jīng)濟(jì)性懲罰等；另外，這些人員的信息資源訪(fǎng)問(wèn)權(quán)以及公民

權(quán)可能受到侵害，甚至遭到法律起訴。

引用標(biāo)準(zhǔn)略

15.電子郵件策略

發(fā)布部門(mén)信息安全小組生效時(shí)間2016年11月01日

信息資源是組織的資產(chǎn)，必須對(duì)其進(jìn)行有效地管理，因而建立該策略是為了：

介紹令確保員工知曉在Email的過(guò)程中好的操作方法；

令明確Email使用過(guò)程中的責(zé)任。

目的為了建立某公司的Email使用規(guī)則，保證Email的合理發(fā)送、收取和存儲(chǔ)。

適用范圍該策略適用于被批準(zhǔn)的、能夠通過(guò)Email發(fā)送、收取和存儲(chǔ)信息的所有人員。

術(shù)語(yǔ)定義略

■下列行為是策略所禁止的：

令發(fā)送或者轉(zhuǎn)發(fā)虛假、黃色、反動(dòng)信息；

令發(fā)送或者轉(zhuǎn)發(fā)宣揚(yáng)個(gè)人政治傾向或者宗教信仰；

令發(fā)送或者轉(zhuǎn)發(fā)發(fā)送垃圾信息；

令發(fā)送或者轉(zhuǎn)發(fā)能夠引起連鎖發(fā)送的恐嚇、祝賀等信息；

令Email附件大小超過(guò)限制10M;

令發(fā)送口令、密鑰、信用卡等的機(jī)密信息；

令用個(gè)人信息處理設(shè)備收發(fā)公司內(nèi)部Email;

令用公司外部賬號(hào)發(fā)送、轉(zhuǎn)發(fā)、收取公司機(jī)密信息；

電子令在非授權(quán)情況下以公司的名義發(fā)表個(gè)人意見(jiàn)；

郵件令發(fā)送或者轉(zhuǎn)發(fā)可能有計(jì)算機(jī)病毒的信息；

策略令使用非授權(quán)的電子郵件收發(fā)軟件；

■下列行為是策略所要求的：

令每位員工都有一個(gè)Email賬號(hào)，賬號(hào)密碼必須符合口令策略的相關(guān)規(guī)定；

令用Email經(jīng)過(guò)外部網(wǎng)絡(luò)發(fā)送機(jī)密信息必須經(jīng)過(guò)加密，加密必須符合加密策略

的相關(guān)規(guī)定；

令發(fā)送Email必須有清楚的主題；

?Email的處理和存儲(chǔ)必須符合信息的分類(lèi)、標(biāo)識(shí)和存儲(chǔ)策略的相關(guān)規(guī)定；

■管理授權(quán)

令公司有權(quán)對(duì)職員的Email進(jìn)行監(jiān)視和記錄；

令公司有權(quán)對(duì)Email的內(nèi)容進(jìn)行存儲(chǔ)備份以用于法律目的；

違背該策略可能導(dǎo)致：?jiǎn)T工以及臨時(shí)工被解雇、合同方或顧問(wèn)的雇傭關(guān)系終止、實(shí)習(xí)

懲罰人員和志愿者失去繼續(xù)工作的機(jī)會(huì)、學(xué)生被開(kāi)除；另外，這些人員還可能遭受信息資

源訪(fǎng)問(wèn)權(quán)以及公民權(quán)的損失，甚至遭到法律起訴。

引用標(biāo)準(zhǔn)略

16.信息安全監(jiān)控策略

發(fā)布部門(mén)信息安全小組生效時(shí)間2016年11月01日

信息安全監(jiān)控是確保安全實(shí)踐和控制被恰當(dāng)執(zhí)行和有效實(shí)施的一種方法，監(jiān)控活動(dòng)包

括對(duì)下列內(nèi)容的評(píng)審：

令防火墻日志

令用戶(hù)帳戶(hù)日志

介紹

令網(wǎng)絡(luò)掃描日志

令應(yīng)用程序日志

令數(shù)據(jù)備份和恢復(fù)日志

令其他類(lèi)型的日志以及出錯(cuò)日志.

該策略是為了確保信息資源控制措施被適當(dāng)、有效地實(shí)施并且不被忽視。安全監(jiān)控的

其中一個(gè)好處就是較早的發(fā)現(xiàn)破壞行為或新的薄弱點(diǎn)。這樣會(huì)有助于在破壞發(fā)生前阻

目的

止破壞行為或薄弱點(diǎn)，最起碼能夠減小潛在的影響。其他好處包括：審核