2025年信息安全策略

TITLE三二一（北京）科技有限企業(yè)信息安全方略8月版本控制版本修改時(shí)間修改內(nèi)容修改人員審核人員V1.0-08-25新增陳達(dá)隆吳為問(wèn)總則為了建立、健全三二一（北京）科技有限企業(yè)的信息安全管理制度，按照有關(guān)的國(guó)標(biāo)，確定信息安全方針和目的，對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行有效管理，保證全體員工理解并遵照信息安全管理制度的有關(guān)規(guī)定執(zhí)行，改善信息安全管理制度的有效性，特制定信息安全方略文檔。本文檔合用于三二一（北京）科技有限企業(yè)信息安全管理活動(dòng)。信息安全范圍信息安全方略波及的范圍包括：企業(yè)全體員工。企業(yè)所有業(yè)務(wù)系統(tǒng)。企業(yè)既有信息資產(chǎn)，包括與上述業(yè)務(wù)系統(tǒng)有關(guān)的數(shù)據(jù)、硬件、軟件、服務(wù)及文檔等。企業(yè)辦公場(chǎng)所和上述信息資產(chǎn)所處的物理位置。信息安全總體目的通過(guò)建立健全企業(yè)各項(xiàng)信息安全管理制度、加強(qiáng)企業(yè)員工的信息安全培訓(xùn)和教育工作，制定適合企業(yè)的風(fēng)險(xiǎn)控制措施，有效控制信息系統(tǒng)面臨的安全風(fēng)險(xiǎn)，保障信息系統(tǒng)的正常穩(wěn)定運(yùn)行。信息安全方針企業(yè)主管領(lǐng)導(dǎo)定期組織有關(guān)人員召開信息安全會(huì)議，對(duì)有關(guān)的信息安全重大問(wèn)題做出決策。清晰識(shí)別所有資產(chǎn)，實(shí)行等級(jí)標(biāo)識(shí)，對(duì)資產(chǎn)進(jìn)行分級(jí)、分類管理，并編制和維護(hù)所有重要資產(chǎn)的清單。綜合使用訪問(wèn)控制、監(jiān)測(cè)、審計(jì)和身份鑒別等措施來(lái)保證數(shù)據(jù)、網(wǎng)絡(luò)、信息資源的安全，并加強(qiáng)對(duì)外單位人員訪問(wèn)信息系統(tǒng)的控制，減少系統(tǒng)被非法入侵的風(fēng)險(xiǎn)。啟動(dòng)服務(wù)器操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用軟件的曰志功能，定期進(jìn)行審計(jì)并作對(duì)應(yīng)的記錄。明確全體員工的信息安全責(zé)任，所有員工必須接受信息安全教育培訓(xùn)，提高信息安全意識(shí)。針對(duì)不一樣崗位，制定不一樣等級(jí)培訓(xùn)計(jì)劃，并定期對(duì)各個(gè)崗位人員進(jìn)行安全技能及安全認(rèn)知考核。建立安全事件匯報(bào)、事故應(yīng)答和分類機(jī)制，確定匯報(bào)可疑的和發(fā)生的信息安全事故的流程，并使所有的員工和有關(guān)方都能理解和執(zhí)行事故處理流程，同步妥善保留安全事件的有關(guān)記錄與證據(jù)。對(duì)顧客權(quán)限和口令進(jìn)行嚴(yán)格管理，防止對(duì)信息系統(tǒng)的非法訪問(wèn)。制定完善的數(shù)據(jù)備份方略，對(duì)重要數(shù)據(jù)進(jìn)行備份。數(shù)據(jù)備份定期進(jìn)行還原測(cè)試，備份介質(zhì)與原信息所在場(chǎng)所應(yīng)保持安全距離。與外單位的外包（服務(wù)）協(xié)議應(yīng)明確規(guī)定協(xié)議參與方的安全規(guī)定、安全責(zé)任和安全規(guī)定等有關(guān)安全內(nèi)容，并采用對(duì)應(yīng)措施嚴(yán)格保證對(duì)協(xié)議安全內(nèi)容的執(zhí)行。在開發(fā)新業(yè)務(wù)系統(tǒng)時(shí)，應(yīng)充足考慮有關(guān)的安全需求，并嚴(yán)格控制對(duì)項(xiàng)目有關(guān)文獻(xiàn)和源代碼等敏感數(shù)據(jù)的訪問(wèn)。定期對(duì)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，并根據(jù)風(fēng)險(xiǎn)評(píng)估的成果采用對(duì)應(yīng)措施進(jìn)行風(fēng)險(xiǎn)控制。上述方針由信息安全管理委員會(huì)同意公布，并定期評(píng)審其合用性和充足性，必要時(shí)予以修訂。信息安全職責(zé)信息安全管理委員會(huì)負(fù)責(zé)同意信息安全方略文獻(xiàn)并且保證本文獻(xiàn)被企業(yè)的各部門執(zhí)行，同步負(fù)責(zé)對(duì)三二一（北京）科技有限企業(yè)信息系統(tǒng)信息安全面的指導(dǎo)方向、安全建設(shè)等重大問(wèn)題做出決策，協(xié)調(diào)各個(gè)部門之間的安全協(xié)同工作，支持和推進(jìn)信息安全工作在整個(gè)企業(yè)范圍內(nèi)的實(shí)行。信息技術(shù)部負(fù)責(zé)詳細(xì)執(zhí)行安全管理方略文獻(xiàn)的建立、實(shí)行、運(yùn)作、監(jiān)控、評(píng)審、維護(hù)和改善工作。三二一（北京）科技有限企業(yè)所有員工有責(zé)任理解自身在信息系統(tǒng)信息安全面的責(zé)任并認(rèn)真執(zhí)行。信息安全管理原則信息安全管理工作實(shí)行“積極防備、突出重點(diǎn)、職責(zé)到位、保障業(yè)務(wù)”和“誰(shuí)主管、誰(shuí)負(fù)責(zé)”的管理原則。信息安全方略安全管理制度方略由企業(yè)統(tǒng)一制定信息安全工作的總體方針和安全方略，闡明安全工作的總體目的、范圍、原則和安全框架，形成由安全方略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體系。信息技術(shù)部負(fù)責(zé)安全管理制度的制定，安全管理制度應(yīng)具有統(tǒng)一的格式和版本控制，同步并組織有關(guān)人員對(duì)制定的安全管理制度進(jìn)行論證和審定，并通過(guò)臍橙金融網(wǎng)絡(luò)借貸信息中介平臺(tái)進(jìn)行公布。信息安全管理委員會(huì)負(fù)責(zé)定期組織有關(guān)部門和有關(guān)人員對(duì)安全管理制度體系的合理性和合用性進(jìn)行審定，對(duì)存在局限性或需要改善的安全管理制度進(jìn)行修訂。安全管理機(jī)構(gòu)方略成立信息安全管理委員會(huì)，全面負(fù)責(zé)信息安全工作。信息技術(shù)部作為信息安全管理工作的職能部門，并設(shè)置安全管理專人，并設(shè)置應(yīng)用系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、網(wǎng)絡(luò)管理員等崗位，并定義各崗位的職責(zé)。關(guān)鍵事務(wù)崗位應(yīng)配置AB角。針對(duì)系統(tǒng)變更、重要操作、物理訪問(wèn)和系統(tǒng)接入等事項(xiàng)建立審批程序，按照審批程序執(zhí)行審批過(guò)程，對(duì)重要活動(dòng)建立逐層審批制度，并定期審查審批事項(xiàng)，及時(shí)更新需授權(quán)和審批的項(xiàng)目、審批部門和審批人等信息，并記錄審批過(guò)程并保留審批文檔。加強(qiáng)組織內(nèi)部的合作與溝通，定期召開協(xié)調(diào)會(huì)議，共同協(xié)作處理信息安全問(wèn)題，并加強(qiáng)外聯(lián)單位合作與溝通，并制定外聯(lián)單位聯(lián)絡(luò)列表。制定安全審核和安全檢查制度，規(guī)范安全審核和安全檢查工作，定期按照程序進(jìn)行安全審核和安全檢查活動(dòng)。人員安全方略人力行政部負(fù)責(zé)員工錄取，嚴(yán)格規(guī)范人員錄取過(guò)程，對(duì)被錄取人的身份、背景、專業(yè)資格和資質(zhì)等進(jìn)行審查，對(duì)其所具有的技術(shù)技能進(jìn)行考核，并簽訂保密協(xié)議。員工應(yīng)根據(jù)崗位職責(zé)規(guī)定嚴(yán)格履行其安全角色和職責(zé)，重要包括：保護(hù)資產(chǎn)免受未授權(quán)的訪問(wèn)、泄漏、修改、銷毀或干擾，執(zhí)行特定的安全過(guò)程或活動(dòng)，匯報(bào)安全事件或其他風(fēng)險(xiǎn)。安全角色和職責(zé)必須清晰的傳達(dá)給所有員工，保證他們能清晰各自的安全責(zé)任。定期對(duì)各個(gè)崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核，對(duì)關(guān)鍵崗位的人員要進(jìn)行全面、嚴(yán)格的安全審查和技能考核。外單位人員在訪問(wèn)企業(yè)信息處理設(shè)施前必須簽訂保密協(xié)議，保密協(xié)議內(nèi)容包括外單位人員訪問(wèn)信息資產(chǎn)的權(quán)利、承擔(dān)的安全責(zé)任、違反職責(zé)要承擔(dān)的後果等。負(fù)責(zé)接待人員或部門要保證外單位人員理解保密協(xié)議的條款和內(nèi)容，并同意協(xié)議規(guī)定的權(quán)利和責(zé)任。企業(yè)重要領(lǐng)導(dǎo)承擔(dān)管理職責(zé)，保證所有員工和外單位人員能按照安全方針、方略和程序進(jìn)行平常工作。管理職責(zé)包括使所有員工和外單位人員清晰理解各自的安全角色和安全職責(zé)、提高他們的安全意識(shí)和安全技能等。定期對(duì)所有員工進(jìn)行安全培訓(xùn)，培訓(xùn)內(nèi)容包括安全方針、方略、程序、信息處理設(shè)施對(duì)的使用措施、安全意識(shí)等。根據(jù)人員的安全角色和職責(zé)制定不一樣的培訓(xùn)計(jì)劃，保證所有員工和外單位人員能認(rèn)識(shí)到信息安全問(wèn)題和信息安全事件，并能按照各自的安全角色履行安全職責(zé)。制定正式的紀(jì)律處理過(guò)程，來(lái)嚴(yán)厲處理安全違規(guī)的員工，并威懾其他員工，防止他們違反安全方略、程序和其他安全違規(guī)。紀(jì)律處理要對(duì)的、公平，要根據(jù)違規(guī)的性質(zhì)、重要性和對(duì)業(yè)務(wù)的影響等原因區(qū)別看待。當(dāng)員工離職或調(diào)離其他崗位、外單位人員協(xié)議期滿時(shí)，立即終止本來(lái)的安全角色和安全職責(zé)，并告知中心所有員工，使所有員工能及時(shí)清晰人員的變化。當(dāng)員工離職或調(diào)離其他崗位、外單位人員協(xié)議期滿時(shí)，及時(shí)償還其使用的所有資產(chǎn)，如設(shè)備、軟件、文獻(xiàn)、訪問(wèn)卡、電子資料等，防止對(duì)資產(chǎn)的非授權(quán)使用，及時(shí)刪除其對(duì)信息和信息處理設(shè)施的訪問(wèn)權(quán)限。系統(tǒng)建設(shè)方略信息技術(shù)部負(fù)責(zé)對(duì)信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，制定近期和遠(yuǎn)期的安全建設(shè)工作計(jì)劃；信息技術(shù)部根據(jù)信息系統(tǒng)的等級(jí)劃分狀況，統(tǒng)一考慮安全保障體系的總體安全方略、安全技術(shù)框架、安全管理方略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計(jì)方案，并形成配套文獻(xiàn)。應(yīng)組織有關(guān)部門和有關(guān)安全技術(shù)專家對(duì)總體安全方略、安全技術(shù)框架、安全管理方略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等有關(guān)配套文獻(xiàn)的合理性和對(duì)的性進(jìn)行論證和審定，并且通過(guò)同意後，才能正式實(shí)行。信息技術(shù)部負(fù)責(zé)安全產(chǎn)品的采購(gòu)，保證安全產(chǎn)品采購(gòu)和使用符合國(guó)家的有關(guān)規(guī)定，而密碼產(chǎn)品采購(gòu)和使用符合國(guó)家密碼主管部門的規(guī)定，在采購(gòu)前應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試，確定產(chǎn)品的候選范圍，并定期審定和更新候選產(chǎn)品名單。業(yè)務(wù)系統(tǒng)的開發(fā)、測(cè)試和運(yùn)行設(shè)施要分離并進(jìn)行控制，控制措施包括敏感數(shù)據(jù)不能拷貝到測(cè)試系統(tǒng)環(huán)境中、嚴(yán)禁開發(fā)和測(cè)試人員訪問(wèn)運(yùn)行系統(tǒng)及其信息等，以減少對(duì)運(yùn)行設(shè)施及其信息的未授權(quán)訪問(wèn)和帶來(lái)的潛在風(fēng)險(xiǎn)。定期根據(jù)外包服務(wù)協(xié)議中的安全規(guī)定，監(jiān)視、評(píng)審由外單位提供的服務(wù)、匯報(bào)和記錄，監(jiān)督協(xié)議規(guī)定的信息安全條款和條件的嚴(yán)格執(zhí)行。監(jiān)視、評(píng)審內(nèi)容包括監(jiān)視服務(wù)執(zhí)行效率，評(píng)審服務(wù)匯報(bào)，審查外包服務(wù)的安全事件、操作問(wèn)題、故障、失誤追蹤和破壞的記錄。授權(quán)信息技術(shù)部負(fù)責(zé)工程實(shí)行過(guò)程的管理，工程實(shí)行前應(yīng)制定詳細(xì)的工程實(shí)行方案控制實(shí)行過(guò)程，并規(guī)定工程實(shí)行單位能正式地執(zhí)行安全工程過(guò)程，并制定工程實(shí)行方面的管理制度，明確闡明實(shí)行過(guò)程的控制措施和人員行為準(zhǔn)則。新業(yè)務(wù)系統(tǒng)或升級(jí)版本在正式上線前，要進(jìn)行合適的測(cè)試，并根據(jù)驗(yàn)收規(guī)定和原則進(jìn)行正式的驗(yàn)收，以證明所有驗(yàn)收準(zhǔn)則完全被滿足。系統(tǒng)建設(shè)完畢後應(yīng)制定詳細(xì)的系統(tǒng)交付清單，并根據(jù)交付清單對(duì)所交接的設(shè)備、軟件和文檔等進(jìn)行清點(diǎn)；應(yīng)提供系統(tǒng)建設(shè)過(guò)程中的文檔和指導(dǎo)顧客進(jìn)行系統(tǒng)運(yùn)行維護(hù)的文檔，同步對(duì)負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行對(duì)應(yīng)的技能培訓(xùn)。信息技術(shù)部負(fù)責(zé)等級(jí)測(cè)評(píng)的管理，并在系統(tǒng)運(yùn)行過(guò)程中，對(duì)信息系統(tǒng)應(yīng)每年進(jìn)行一次等級(jí)測(cè)評(píng)，應(yīng)選擇具有國(guó)家有關(guān)技術(shù)資質(zhì)和安全資質(zhì)的測(cè)評(píng)單位，發(fā)現(xiàn)不符合對(duì)應(yīng)等級(jí)保護(hù)原則規(guī)定的及時(shí)整改；同步在系統(tǒng)發(fā)生變更時(shí)及時(shí)對(duì)系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng)，發(fā)現(xiàn)級(jí)別發(fā)生變化的及時(shí)調(diào)整級(jí)別并進(jìn)行安全改造，發(fā)現(xiàn)不符合對(duì)應(yīng)等級(jí)保護(hù)原則規(guī)定的及時(shí)整改。在選擇安全服務(wù)商時(shí)應(yīng)符合國(guó)家的有關(guān)規(guī)定，并與選定的安全服務(wù)商簽訂與安全有關(guān)的協(xié)議，明確約定有關(guān)責(zé)任，同步保證選定的安全服務(wù)商提供技術(shù)培訓(xùn)和服務(wù)承諾，必要的與其簽訂服務(wù)協(xié)議。系統(tǒng)運(yùn)維方略所有的資產(chǎn)要指定專人責(zé)任，并對(duì)負(fù)責(zé)人賦予對(duì)應(yīng)的職責(zé)，保證所有資產(chǎn)都可以核查。根據(jù)資產(chǎn)的重要性、業(yè)務(wù)價(jià)值、依賴程度，對(duì)所有資產(chǎn)進(jìn)行分類、分級(jí)，編制資產(chǎn)的清單。對(duì)資產(chǎn)清單妥善保管，并在資產(chǎn)變更時(shí)及時(shí)更新清單，保證可以對(duì)資產(chǎn)進(jìn)行有效的保護(hù)。應(yīng)對(duì)磁帶、磁盤、閃盤、可移動(dòng)硬件驅(qū)動(dòng)器、CD、DVD、打印媒體等進(jìn)行有效的管理，防止非授權(quán)的使用和破壞。對(duì)可移動(dòng)存儲(chǔ)介質(zhì)的管理包括所有介質(zhì)應(yīng)存儲(chǔ)在符合制造商闡明的安全、保密環(huán)境中，使用介質(zhì)要進(jìn)行授權(quán)、登記并追蹤審計(jì)等。應(yīng)對(duì)不再需要的介質(zhì)進(jìn)行安全處置，減少介質(zhì)敏感信息泄漏給未授權(quán)人員的風(fēng)險(xiǎn)。應(yīng)對(duì)信息系統(tǒng)有關(guān)的多種設(shè)備（包括備份和冗余設(shè)備）、線路等指定專門的部門或人員定期進(jìn)行維護(hù)管理。應(yīng)建立配套設(shè)施、軟硬件維護(hù)方面的管理制度，對(duì)其維護(hù)進(jìn)行有效的管理，包括明確維護(hù)人員的責(zé)任、涉外維修和服務(wù)的審批、維修過(guò)程的監(jiān)督控制等，應(yīng)保證信息處理設(shè)備必須通過(guò)審批才能帶離機(jī)房或辦公地點(diǎn)。重要的紙質(zhì)文檔應(yīng)實(shí)行借閱登記制度，未經(jīng)信息技術(shù)部領(lǐng)導(dǎo)同意，任何人不得將技術(shù)文檔轉(zhuǎn)借、復(fù)制或?qū)ν夤_;重要的電子文檔應(yīng)建立OA等電子化辦公審批平臺(tái)進(jìn)行管理。應(yīng)對(duì)通信線路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行狀況、網(wǎng)絡(luò)流量、顧客行為等進(jìn)行監(jiān)測(cè)和報(bào)警，形成記錄并妥善保留；同步組織有關(guān)人員定期對(duì)監(jiān)測(cè)和報(bào)警記錄進(jìn)行分析、評(píng)審，發(fā)現(xiàn)可疑行為，形成分析匯報(bào)，并采用必要的應(yīng)對(duì)措施。應(yīng)指定專人對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測(cè)并保留檢測(cè)記錄；定期檢查信息系統(tǒng)內(nèi)多種產(chǎn)品的惡意代碼庫(kù)的升級(jí)狀況并進(jìn)行記錄，對(duì)主機(jī)防病毒產(chǎn)品、防病毒網(wǎng)關(guān)和郵件防病毒網(wǎng)關(guān)上截獲的危險(xiǎn)病毒或惡意代碼進(jìn)行及時(shí)分析處理，并形成書面的報(bào)表和總結(jié)匯報(bào)。應(yīng)建立對(duì)所有密鑰的產(chǎn)生、分發(fā)和接受、使用、存儲(chǔ)、更新、銷毀等方面進(jìn)行管理的制度，密鑰管理人員必須是本機(jī)構(gòu)在編的正式員工。應(yīng)建立變更管理制度，系統(tǒng)發(fā)生變更前，制定變更方案，同步向主管領(lǐng)導(dǎo)申請(qǐng)，變更和變更方案通過(guò)評(píng)審、審批後方可實(shí)行變更，并在實(shí)行後將變更狀況向有關(guān)人員通告。遵照信息安全事故匯報(bào)機(jī)制，匯報(bào)也許對(duì)中心的信息資產(chǎn)安全導(dǎo)致影響的不一樣種類的安全事故和弱點(diǎn)，并保證所有的員工、協(xié)議方和外單位人員都遵守執(zhí)行這套匯報(bào)程序。對(duì)安全事故進(jìn)行分類和分級(jí)，及時(shí)對(duì)信息安全事故的類型、頻率和影響等進(jìn)行評(píng)估，并采用合適措施防止事故再次發(fā)生。應(yīng)建立有效的技術(shù)保障機(jī)制，保證在安全事件處置過(guò)程中不會(huì)因技術(shù)能力缺乏而導(dǎo)致處置中斷或延長(zhǎng)應(yīng)急處置時(shí)間。應(yīng)建立應(yīng)急預(yù)案，在統(tǒng)一的應(yīng)急預(yù)案框架下制定不一樣事件的應(yīng)急預(yù)案，應(yīng)急預(yù)案框架應(yīng)包括啟動(dòng)應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事後教育和培訓(xùn)等內(nèi)容；同步應(yīng)從人力、設(shè)備、技術(shù)和財(cái)務(wù)等方面保證應(yīng)急預(yù)案的執(zhí)行有足夠的資源保障。物理安全方略運(yùn)行維護(hù)部負(fù)責(zé)機(jī)房安全，并配置機(jī)房安全管理人員，對(duì)機(jī)房的出入、服務(wù)器的開機(jī)或關(guān)機(jī)等工作進(jìn)行管理；應(yīng)定期對(duì)機(jī)房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行維護(hù)管理。應(yīng)建立機(jī)房安全管理制度，對(duì)有關(guān)機(jī)房物理訪問(wèn)，物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面的管理作出規(guī)定。在機(jī)房?jī)?nèi)設(shè)置安全防盜報(bào)警裝置和監(jiān)控系統(tǒng)來(lái)實(shí)現(xiàn)防盜、防毀、保障設(shè)備的安全。按照有關(guān)設(shè)計(jì)規(guī)范和技術(shù)規(guī)定，在機(jī)房設(shè)計(jì)和建設(shè)中做好靜電防護(hù)設(shè)施、防雷裝置和接地保護(hù)系統(tǒng)。必須建立警報(bào)系統(tǒng)，在發(fā)現(xiàn)私自進(jìn)入受控區(qū)域時(shí)發(fā)出警報(bào)。對(duì)于重要的數(shù)據(jù)要進(jìn)行備份，備份數(shù)據(jù)的寄存位置應(yīng)符合GBJ45-82中規(guī)定的一級(jí)耐火等級(jí)，符合防火、防高溫、防水、防震等規(guī)定；定期對(duì)備份數(shù)據(jù)進(jìn)行檢查，保證其可用性。對(duì)于辦公環(huán)境，應(yīng)加強(qiáng)企業(yè)人員的保密性管理，工作人員調(diào)離辦公室應(yīng)立即交還該辦公室鑰匙、不在辦公區(qū)接待來(lái)訪人員、離開電腦時(shí)應(yīng)鎖屏、在辦公桌面不得擺放具有企業(yè)客戶數(shù)據(jù)等敏感信息的文獻(xiàn)。主機(jī)安全方略應(yīng)指定專人對(duì)系統(tǒng)進(jìn)行管理，劃分系統(tǒng)管理員角色，明確各個(gè)角色的權(quán)限、責(zé)任和風(fēng)險(xiǎn)，權(quán)限設(shè)定應(yīng)當(dāng)遵照最小授權(quán)原則；并建立系統(tǒng)安全管理制度，對(duì)系統(tǒng)安全方略、安全配置、曰志管理和平常操作流程等方面作出詳細(xì)規(guī)定；同步根據(jù)操作手冊(cè)對(duì)系統(tǒng)進(jìn)行維護(hù)，詳細(xì)記錄操作曰志，包括重要的平常操作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容，嚴(yán)禁進(jìn)行未經(jīng)授權(quán)的操作。應(yīng)提高全體顧客的防病毒意識(shí)，安裝防病毒軟件，及時(shí)告知防病毒軟件版本，在讀取移動(dòng)存儲(chǔ)設(shè)備上的數(shù)據(jù)以及網(wǎng)絡(luò)上接受文獻(xiàn)或郵件之前，先進(jìn)行病毒檢查，對(duì)外來(lái)計(jì)算機(jī)或存儲(chǔ)設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前也應(yīng)進(jìn)行病毒檢查。當(dāng)因內(nèi)外部審核、軟件開發(fā)、軟件安裝或其他規(guī)定需求而需要特殊的訪問(wèn)賬號(hào)時(shí)，賬號(hào)必須被授權(quán)；創(chuàng)立的曰期期限必須明確；工作結(jié)束時(shí)此賬號(hào)必須刪除。所有賬號(hào)都必須使用分派的顧客進(jìn)行唯一性標(biāo)識(shí)。應(yīng)指派專人負(fù)責(zé)刪除個(gè)人賬號(hào)；必須將修改顧客賬號(hào)有關(guān)信息的過(guò)程文獻(xiàn)化；必須定期評(píng)審既有賬號(hào)的有效性，并將此過(guò)程文獻(xiàn)化。操作系統(tǒng)應(yīng)遵照最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過(guò)設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。應(yīng)定期的對(duì)服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)顧客和數(shù)據(jù)庫(kù)顧客進(jìn)行審計(jì)，審計(jì)內(nèi)容包括重要顧客行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全有關(guān)事件。在訪問(wèn)操作系統(tǒng)過(guò)程中，對(duì)于不活動(dòng)的會(huì)話必須設(shè)定在一種不活動(dòng)周期後關(guān)閉，以防止未授權(quán)人員訪問(wèn)和拒絕服務(wù)襲擊。記錄系統(tǒng)管理員和系統(tǒng)操作員的操作曰志，并定期評(píng)審這些曰志信息。系統(tǒng)管理員和系統(tǒng)操作員的曰志應(yīng)包括事件發(fā)生的時(shí)間，波及的帳號(hào)和管理員或操作員，事件或故障的信息內(nèi)容等信息。網(wǎng)絡(luò)安全方略應(yīng)建立網(wǎng)絡(luò)安全管理制度，對(duì)網(wǎng)絡(luò)安全配置、曰志保留時(shí)間、安全方略、升級(jí)與打補(bǔ)丁、口令更新周期等方面作出規(guī)定；同步應(yīng)指定專人對(duì)網(wǎng)絡(luò)進(jìn)行管理，負(fù)責(zé)運(yùn)行曰志、網(wǎng)絡(luò)監(jiān)控記錄的平常維護(hù)和報(bào)警信息分析和處理工作；應(yīng)實(shí)現(xiàn)設(shè)備的最小服務(wù)配置，并對(duì)配置文獻(xiàn)進(jìn)行定期離線備份；應(yīng)定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進(jìn)行及時(shí)的修補(bǔ)；應(yīng)根據(jù)廠家提供的軟件升級(jí)版本對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行更新，并在更新前對(duì)既有的重要文獻(xiàn)進(jìn)行備份。應(yīng)保證所有與外部系統(tǒng)的連接均得到授權(quán)和同意；并根據(jù)安全方略容許或者拒絕便攜式和移動(dòng)式設(shè)備的網(wǎng)絡(luò)接入；同步定期檢查違反規(guī)定撥號(hào)上網(wǎng)或其他違反網(wǎng)絡(luò)安全方略的行為。計(jì)算機(jī)設(shè)備假如無(wú)人值守必須啟動(dòng)