信息安全策略.doc
《信息安全策略.doc》由會員分享,可在線閱讀,更多相關(guān)《信息安全策略.doc(27頁珍藏版)》請在裝配圖網(wǎng)上搜索。
. 信息安全策略 目 錄 1. 目的和范圍 4 2. 術(shù)語和定義 4 3. 引用文件 5 4. 職責(zé)和權(quán)限 6 5. 信息安全策略 6 5.1. 信息系統(tǒng)安全組織 6 5.2. 資產(chǎn)管理 8 5.3. 人員信息安全管理 9 5.4. 物理和環(huán)境安全 11 5.5. 通信和操作管理 13 5.6. 信息系統(tǒng)訪問控制 17 5.7. 信息系統(tǒng)的獲取、開發(fā)和維護(hù)安全 20 5.8. 信息安全事故處理 23 5.9. 業(yè)務(wù)連續(xù)性管理 24 5.10. 符合性要求 26 1 附件 27 1. 目的和范圍 1) 本文檔制定了的信息系統(tǒng)安全策略,作為信息安全的基本標(biāo)準(zhǔn),是所有安全行為的指導(dǎo)方針,同時也是建立完整的安全管理體系最根本的基礎(chǔ)。 2) 信息安全策略是在信息安全現(xiàn)狀調(diào)研的基礎(chǔ)上,根據(jù)ISO27001的最佳實踐,結(jié)合現(xiàn)有規(guī)章制度制定而成的信息安全方針和策略文檔。本文檔遵守政府制定的相關(guān)法律、法規(guī)、政策和標(biāo)準(zhǔn)。本安全策略得到領(lǐng)導(dǎo)的認(rèn)可,并在公司內(nèi)強制實施。 3) 建立信息安全策略的目的概括如下: a) 在內(nèi)部建立一套通用的、行之有效的安全機制; b) 在的員工中樹立起安全責(zé)任感; c) 在中增強信息資產(chǎn)可用性、完整性和保密性; d) 在中提高全體員工的信息安全意識和信息安全知識水平。 本安全策略適用于公司全體員工,自發(fā)布之日起執(zhí)行。 2. 術(shù)語和定義 1) 解釋 信息安全 是指保護(hù)信息資產(chǎn)免受多種安全威脅,保證業(yè)務(wù)連續(xù)性,將安全事件造成的損失降至最小,同時最大限度地獲得投資回報和商業(yè)機遇。 可用性 確保經(jīng)過授權(quán)的用戶在需要時可以訪問信息并使用相關(guān)信息資產(chǎn)。 保密性 確保只有經(jīng)過授權(quán)的人才能訪問信息。 完整性 保護(hù)信息和信息的處理方法準(zhǔn)確而完整。 保密信息 安全規(guī)章定義的密級信息。 信息安全策略 正確使用和管理IT信息資源并保護(hù)這些資源使得它們擁有更好的保密性、完整性、可用性的策略。 風(fēng)險評估 評估信息安全漏洞對信息處理設(shè)備帶來的威脅和影響及其發(fā)生的可能性。 風(fēng)險管理 以可以接受的成本,確認(rèn)、控制、排除可能影響信息系統(tǒng)的安全風(fēng)險或?qū)⑵鋷淼奈:ψ钚』倪^程。 計算機機房 裝有計算機主機、服務(wù)器和相關(guān)設(shè)備的,除了安裝和維護(hù)的情況外,不允許人員在里邊工作的專用房間。 員工 在系統(tǒng)內(nèi)工作的正式員工、雇傭的臨時工作人員。 用戶 被授權(quán)能使用IT系統(tǒng)的人員。 信息資產(chǎn) 與信息系統(tǒng)相關(guān)聯(lián)的信息、信息的處理設(shè)備和服務(wù)。 信息資產(chǎn)責(zé)任人 是指對某項信息資產(chǎn)安全負(fù)責(zé)的人員。 合作單位 是指與有業(yè)務(wù)往來的單位,包括承包商、服務(wù)提供商、設(shè)備廠商、外包服務(wù)商、貿(mào)易伙伴等。 第三方訪問 指非本單位的人員對信息系統(tǒng)的訪問。 IT外包服務(wù) 是指企業(yè)戰(zhàn)略性選擇外部專業(yè)技術(shù)和服務(wù)資源,以替代內(nèi)部部門和人員來承擔(dān)企業(yè)IT系統(tǒng)或系統(tǒng)之上的業(yè)務(wù)流程的運營、維護(hù)和支持的IT服務(wù)。 安全事件 利用信息系統(tǒng)的安全漏洞,對信息資產(chǎn)的保密性、完整性和可用性造成危害的事件。 故障 是指信息的處理、傳輸設(shè)備運行出現(xiàn)意外障礙,以至影響信息系統(tǒng)正常運轉(zhuǎn)的事件。 安全審計 通過將所選類型的事件記錄在服務(wù)器或工作站的安全日志中用來跟蹤用戶活動的過程。 超時設(shè)置 用戶如果超過特定的時限沒有進(jìn)行動作,就觸發(fā)其他事件(如斷開連接、鎖定用戶等)。 2) 詞語使用 必須 表示強制性的要求。 應(yīng)當(dāng) 好的做法所要達(dá)到的要求,條件允許就要實施。 可以 表示希望達(dá)到的要求。 3. 引用文件 下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件,其隨后所有的修改單(不包括勘誤的內(nèi)容)或修訂版均不適用于本標(biāo)準(zhǔn),然而,鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件,其最新版本適用于本標(biāo)準(zhǔn)。 1) ISO/IEC 27001:2005 信息技術(shù)-安全技術(shù)-信息安全管理體系要求 2) ISO/IEC 17799:2005 信息技術(shù)-安全技術(shù)-信息安全管理實施細(xì)則 4. 職責(zé)和權(quán)限 信息安全管控委員會:負(fù)責(zé)對信息安全策略進(jìn)行編寫、評審,監(jiān)督和檢查公司全體員工執(zhí)行情況。 5. 信息安全策略 目標(biāo):為信息安全提供管理指導(dǎo)和支持,并與業(yè)務(wù)要求和相關(guān)的法律法規(guī)保持一致。 1) 策略下發(fā) 本策略必須得到管理層批準(zhǔn),并向所有員工和相關(guān)第三方公布傳達(dá),全體人員必須履行相關(guān)的義務(wù),享受相應(yīng)的權(quán)利,承擔(dān)相關(guān)的責(zé)任。 2) 策略維護(hù) 本策略通過以下方式進(jìn)行文檔的維護(hù)工作: 必須每年按照《風(fēng)險評估管理程序》進(jìn)行例行的風(fēng)險評估,如遇以下情況必須及時進(jìn)行風(fēng)險評估: a) 發(fā)生重大安全事故 b) 組織或技術(shù)基礎(chǔ)結(jié)構(gòu)發(fā)生重大變更 c) 安全管理小組認(rèn)為應(yīng)當(dāng)進(jìn)行風(fēng)險評估的 d) 其他應(yīng)當(dāng)進(jìn)行安全風(fēng)險評估的情形 風(fēng)險評估之后根據(jù)需要進(jìn)行安全策略條目修訂,并在內(nèi)公布傳達(dá)。 3) 策略評審 每年必須參照《管理評審程序》執(zhí)行公司管理評審。 4) 適用范圍 適用范圍是指本策略使用和涵蓋的對象,包括現(xiàn)有的業(yè)務(wù)系統(tǒng)、硬件資產(chǎn)、 軟件資產(chǎn)、信息、通用服務(wù)、物理安全區(qū)域等。對于即將投入使用和今后規(guī)劃的信息系統(tǒng)項目也必須參照本策略執(zhí)行。 5.1. 信息系統(tǒng)安全組織 目標(biāo):在組織內(nèi)部管理信息安全,保持可被外部組織訪問、處理、溝通或管理的信息及信息處理設(shè)備的安全。 1) 內(nèi)部組織 l 公司的管理層對信息安全承擔(dān)最終責(zé)任。管理者職責(zé)參見《信息安全管理手冊》。 l 公司的信息系統(tǒng)安全管理工作采取信息安全管控委員會統(tǒng)一管理方式,其他相關(guān)部門配合執(zhí)行。公司的內(nèi)部信息安全組織包括信息安全管理小組,小組的人員組成以及相關(guān)職責(zé)參見《公司信息安全組織結(jié)構(gòu)圖》。 l 各個部門之間必須緊密配合共同進(jìn)行信息安全系統(tǒng)的維護(hù)和建設(shè)。相關(guān)部門崗位的分工與責(zé)任參見《信息安全管理手冊》。 l 任何新的信息系統(tǒng)處理設(shè)施必須經(jīng)過管理授權(quán)的過程。并更新至《信息資產(chǎn)列表》。 l 信息系統(tǒng)內(nèi)的每個重要的資產(chǎn)需要明確所有者、使用人員。參見《信息資產(chǎn)列表》 。 l 凡是涉及重要信息、機密信息(相關(guān)定義參見《信息資產(chǎn)鑒別和分類管理辦法》等信息的處理,相關(guān)的工作崗位員工以及第三方都必須簽署保密協(xié)議。 l 應(yīng)當(dāng)與政府機構(gòu)保持必要的聯(lián)系共同協(xié)調(diào)信息安全相關(guān)問題。這些部門包括執(zhí)法部門、消防部門、上級監(jiān)管部門、電信供應(yīng)商等提供公共服務(wù)的部門。 l 應(yīng)當(dāng)與相關(guān)信息安全團體保持聯(lián)系,以取得信息安全上必要的支持。這些團體包括外部安全咨詢商、獨立的安全技術(shù)專家等。 l 信息安全管理小組每年至少進(jìn)行一次信息安全風(fēng)險評估工作(參照《風(fēng)險評估和風(fēng)險管理程序》,并對安全策略進(jìn)行復(fù)審。信息安全領(lǐng)導(dǎo)小組每年對風(fēng)險評估結(jié)果和安全策略的修改進(jìn)行審批。 l 每年或者發(fā)生重大信息安全變化時必須參照《內(nèi)部審核管理程序》執(zhí)行公司內(nèi)部審核。 2) 外部組織 a) 第三方訪問是指非人員對信息系統(tǒng)的訪問。第三方至少包含如下人員: 硬件及軟件技術(shù)支持、維護(hù)人員; 項目現(xiàn)場實施人員; 外單位參觀人員; 合作單位人員; 客戶; 清潔人員、送餐人員、快遞、保安以及其它外包的支持服務(wù)人員; b) 第三方的訪問類型包括物理訪問和邏輯訪問。 物理訪問:重點考慮安全要求較高區(qū)域的訪問,包括計算機機房、重要辦公區(qū)域和存放重要物品區(qū)域等; 邏輯訪問: u 主機系統(tǒng) u 網(wǎng)絡(luò)系統(tǒng) u 數(shù)據(jù)庫系統(tǒng) u 應(yīng)用系統(tǒng) c) 第三方訪問需要進(jìn)行以下的風(fēng)險評估后方可對訪問進(jìn)行授權(quán)。 被訪問資產(chǎn)是否會損壞或者帶來安全隱患; 客戶是否與有商業(yè)利益沖突; 是否已經(jīng)完成了相關(guān)的權(quán)限設(shè)定,對訪問加以控制; 是否有過違反安全規(guī)定的記錄; 是否與法律法規(guī)有沖突,是否會涉及知識產(chǎn)權(quán)糾紛; d) 第三方進(jìn)行訪問之前必須經(jīng)過被訪問系統(tǒng)的安全責(zé)任人的審核批準(zhǔn),包括物理訪問的區(qū)域和邏輯訪問的權(quán)限。(詳見《辦公室基礎(chǔ)設(shè)備和工作環(huán)境控制程序》) e) 對于第三方參與的項目或提供的服務(wù),必須在合同中明確規(guī)定人員的安全責(zé)任,必要時應(yīng)當(dāng)簽署保密協(xié)議。 f) 第三方必須遵守的信息安全策略以及《第三方和外包管理規(guī)定》,留對第三方的工作進(jìn)行審核的權(quán)利。 5.2. 資產(chǎn)管理 目標(biāo):通過及時更新的信息資產(chǎn)目錄對信息資產(chǎn)進(jìn)行適當(dāng)?shù)谋Wo(hù)。 1) 資產(chǎn)責(zé)任 a) 所有的信息資產(chǎn)必須登記入冊,對于有形資產(chǎn)必須進(jìn)行標(biāo)識,同時資產(chǎn)信息應(yīng)當(dāng)及時更新。每項信息資產(chǎn)在登記入冊及更新時必須指定信息資產(chǎn)的安全責(zé)任人,信息資產(chǎn)的安全責(zé)任人必須負(fù)責(zé)該信息資產(chǎn)的安全。 b) 所有員工和第三方都必須遵守關(guān)于信息設(shè)備安全管理的規(guī)定,以保護(hù)信息處理設(shè)備(包括移動設(shè)備和在非公共地點使用的設(shè)備)的安全。 2) 信息分類 a) 必須明確確認(rèn)每項信息資產(chǎn)及其責(zé)任人和安全分類,信息資產(chǎn)包括業(yè)務(wù)過程、硬件和設(shè)施資產(chǎn)、軟件和系統(tǒng)資產(chǎn)、文檔和數(shù)據(jù)信息資產(chǎn)、人員資產(chǎn)、服務(wù)和其他資產(chǎn)。(詳見《信息資產(chǎn)列表》)。 b) 必須建立信息資產(chǎn)管理登記制度,至少詳細(xì)記錄信息資產(chǎn)的分類、名稱、用途、資產(chǎn)所有者、使用人員等,便于查找和使用。信息資產(chǎn)應(yīng)當(dāng)標(biāo)明適用范圍。(詳見《IT設(shè)備管理規(guī)定》)。 c) 應(yīng)當(dāng)在每個有形信息資產(chǎn)上進(jìn)行標(biāo)識。 d) 當(dāng)信息資產(chǎn)進(jìn)行拷貝、存儲、傳輸(如郵遞、傳真、電子郵件以及語音傳輸(包括電話、語音郵件、應(yīng)答機)等)或者銷毀等信息處理時,應(yīng)當(dāng)參照《信息資產(chǎn)鑒別和分類管理辦法》或者制定妥善的處理步驟并執(zhí)行。 e) 對重要的資料檔案要妥善保管,以防丟失泄密,其廢棄的打印紙及磁介質(zhì)等,應(yīng)按有關(guān)規(guī)定進(jìn)行處理。 5.3. 人員信息安全管理 目標(biāo):確保所有的員工、合同方和第三方用戶了解信息安全威脅和相關(guān)事宜、明確并履行信息安全責(zé)任和義務(wù),并在日常工作中支持的信息安全方針,減少人為錯誤的風(fēng)險,減少盜竊、濫用或設(shè)施誤用的風(fēng)險。 1) 人員雇傭 a) 員工必須了解相關(guān)的信息安全責(zé)任,必須遵守《職務(wù)說明書》。 b) 對第三方訪問人員和臨時性員工,必須遵守《第三方和外包管理規(guī)定》。 c) 涉及重要信息系統(tǒng)管理的員工、合同方及第三方應(yīng)當(dāng)進(jìn)行相關(guān)技術(shù)背景調(diào)查和能力考評; d) 涉及重要信息系統(tǒng)管理的員工、合同方及第三方應(yīng)在合同中明確其信息安全責(zé)任并簽署保密協(xié)議; e) 重要崗位的人員在錄用時應(yīng)做重要崗位背景調(diào)查。 2) 雇傭中 a) 管理層必須要求所有的員工、合同方及第三方用戶執(zhí)行信息安全的相關(guān)規(guī)定; b) 應(yīng)當(dāng)設(shè)定信息安全的相關(guān)獎勵措施,任何違反信息安全策略的行為都將收到懲戒,具體執(zhí)行辦法參見《信息安全獎懲規(guī)定》; c) 將信息安全培訓(xùn)加入員工培訓(xùn)中,培訓(xùn)材料應(yīng)當(dāng)包括下列內(nèi)容: 信息安全策略 信息安全制度 相關(guān)獎懲辦法 d) 應(yīng)當(dāng)按下列群體進(jìn)行不同類型的信息安全培訓(xùn): 全體員工 需要遵守信息安全策略、規(guī)章制度和各項操作流程的第三方人員 e) 信息安全培訓(xùn)必須至少每年舉行一次,讓不同部門的人員能受到適當(dāng)?shù)男畔踩嘤?xùn)。必須參加計算機信息安全培訓(xùn)的人員包括: 計算機信息系統(tǒng)使用單位的安全管理責(zé)任人; 重點單位或核心計算機信息系統(tǒng)的維護(hù)和管理人員; 其他從事計算機信息系統(tǒng)安全保護(hù)工作的人員; 能夠接觸到敏感數(shù)據(jù)或機密信息的關(guān)鍵用戶。 3) 人員信息安全管理原則 a) 員工錄用時,人事部門或調(diào)入部門必須及時書面通知信息技術(shù)部門添加相關(guān)的口令、帳號及權(quán)限等并備案。 b) 員工在崗位變動時,必須移交調(diào)出崗位的相關(guān)資料和有關(guān)文檔,檢查并歸還在借出的重要信息。人事部門或調(diào)入部門必須及時書面通知信息技術(shù)部門修改和刪除相關(guān)的口令、帳號及權(quán)限等。 c) 員工在調(diào)離時必須進(jìn)行信息安全檢查。調(diào)離人員必須移交全部資料和有關(guān)文檔,刪除自己的文件、帳號,檢查并歸還在借出的保密信息。由人事部門書面通知信息技術(shù)部門刪除相關(guān)的口令、帳號、權(quán)限等信息。 d) 必須每半年進(jìn)行用戶帳戶使用情況的評審,凡是半年及半年以上未使用的帳號經(jīng)相關(guān)部門確認(rèn)后刪除。如有特殊情況,必須事先得到部門經(jīng)理及安全責(zé)任人的批準(zhǔn)。 e) 對第三方訪問人員和臨時性員工,也必須執(zhí)行相關(guān)規(guī)定。 5.4. 物理和環(huán)境安全 1) 安全區(qū)域 目標(biāo):防止對工作場所和信息的非法訪問、破壞和干擾。 a) 必須明確劃分安全區(qū)域。安全區(qū)域至少包括各計算機機房、IT部門、財務(wù)、人事等部門。所有可以進(jìn)出安全區(qū)域的門必須能防止未經(jīng)授權(quán)的訪問,如使用控制裝置、柵欄、監(jiān)控和報警裝備、鎖等。 b) 無人值守的門和窗戶必須上鎖,對于直接與外部相連的安全區(qū)域的窗戶必須考慮窗戶的外部保護(hù); c) 安全邊界的所有門均應(yīng)被監(jiān)視并經(jīng)過檢驗,它和墻一起按照合適的地方、國內(nèi)和國際標(biāo)準(zhǔn)建立所需的抵抗程度;他們應(yīng)用故障保護(hù)方式按照局部放火規(guī)則來運行。 d) 應(yīng)按照地方、國內(nèi)和國際標(biāo)準(zhǔn)建立適當(dāng)?shù)娜肭謾z測體系,并定期檢測以覆蓋所有的外部門窗;要一直對空閑區(qū)域發(fā)出警報;其他區(qū)域要提供掩護(hù)方法,例如計算機室或通信室; e) 安全區(qū)域必須配備充足的安全設(shè)備,例如熱敏和煙氣探測器、火警系統(tǒng)、滅火設(shè)備,并對設(shè)備定期檢查。 f) 安全區(qū)域進(jìn)出控制采用合適的電子卡或磁卡,并能雙向控制。 g) 對安全區(qū)域的訪問必須進(jìn)行記錄和控制,以確保只有經(jīng)過授權(quán)的人員才可以訪問。對機房的訪問管理參見《機房安全管理規(guī)定》,其它區(qū)域可參照執(zhí)行。 h) 重要設(shè)備必須放在安全區(qū)域內(nèi)進(jìn)行保護(hù),禁止在公共辦公區(qū)域防止重要的信息處理設(shè)施; i) 應(yīng)當(dāng)控制外來人員對公共辦公區(qū)域的訪問,第三方訪問規(guī)定參見《第三方和外包管理規(guī)定》 j) 關(guān)鍵和敏感設(shè)施應(yīng)當(dāng)存放在與公共辦公區(qū)域相對隔離的場地,并應(yīng)設(shè)計并實施保護(hù)。 k) 危險或易燃物品應(yīng)當(dāng)擺放在離安全區(qū)域安全距離之外,機房應(yīng)當(dāng)參見《機房安全管理規(guī)定》中的要求執(zhí)行值班或巡檢工作任務(wù)。 l) 備份介質(zhì)應(yīng)當(dāng)和主場地有一段的安全距離,要考慮信息設(shè)備面臨的可能的安全威脅,參考《業(yè)務(wù)連續(xù)性管理程序》的內(nèi)容制定對應(yīng)的業(yè)務(wù)連續(xù)性計劃,并要定期演練。 m) 人員離開安全區(qū)域時應(yīng)當(dāng)及時上鎖。 n) 除非經(jīng)過主管部門領(lǐng)導(dǎo)授權(quán),在安全區(qū)域不允許使用圖象、視頻、音頻或其它記錄設(shè)備。 o) 外部人員訪問安全區(qū)域時應(yīng)當(dāng)由員工陪同,并填寫《機房出入登記表》,對訪問時間、操作內(nèi)容等加以記錄。 p) 出入機房的設(shè)備必須填寫《機房設(shè)備出入登記表》。 2) 設(shè)備安全 目標(biāo):防止資產(chǎn)的丟失、損壞或被盜,以及對組織業(yè)務(wù)活動的干擾。 a) 計算機機房必須提供環(huán)境保障,機房建設(shè)必須遵照相關(guān)的機房建設(shè)規(guī)范進(jìn)行。如中華人民共和國國家標(biāo)準(zhǔn)GB 50174《電子計算機機房設(shè)計規(guī)范》,必須提供: 穩(wěn)定的電源供給 可靠的空氣質(zhì)量控制(溫度,濕度,污染度) 防火,防水,防高溫,放雷 b) 應(yīng)盡量減少對機房不必要的訪問,在機房內(nèi)工作必須遵守《機房安全管理規(guī)定》。 c) 各計算機機房是重要的信息處理場所,必須嚴(yán)格執(zhí)行有關(guān)安全保密制度和規(guī)定,并防止重要信息的泄露,保證業(yè)務(wù)數(shù)據(jù)、信息、資料的準(zhǔn)確、安全可靠。 d) 計算機機房應(yīng)列為公司重點防火部位,按照規(guī)定配備足夠數(shù)量的消防器材,并定期檢查更換。機房工作人員要熟悉機房消防用品的存放位置及使用方法,必須掌握防火設(shè)施的使用方法和步驟;要熟悉設(shè)備電源和照明用電以及其它電氣設(shè)備總開關(guān)位置,掌握切斷電源的方法和步驟。在遇到突發(fā)緊急情況時,必須以保護(hù)人身安全為首要目標(biāo)。 e) 定期對機房供電線路及照明器具進(jìn)行檢查,防止因線路老化短路造成火災(zāi)。 f) 應(yīng)當(dāng)按照設(shè)備維護(hù)要求的時間間隔和規(guī)范,對設(shè)備進(jìn)行維護(hù)。 g) 第三方支持和維護(hù)人員對重要設(shè)備技術(shù)支持前,必須經(jīng)過安全責(zé)任人的授權(quán)或?qū)徟?。并且在對重要設(shè)備現(xiàn)場實施過程中必須有相關(guān)人員全程陪同,詳細(xì)規(guī)定參見《第三方和外包管理規(guī)定》。 h) 設(shè)備的安全與重用應(yīng)當(dāng)按規(guī)定的操作程序來處理,特別是包含重要信息的存儲設(shè)備,應(yīng)按照相關(guān)規(guī)定,以確定是否銷毀、修理或棄用該設(shè)備。對棄置的存儲有敏感信息的存儲設(shè)備,必須將其銷毀,或重寫數(shù)據(jù),而不能只是使用標(biāo)準(zhǔn)的刪除功能進(jìn)行數(shù)據(jù)刪除。詳細(xì)規(guī)定參見《移動存儲介質(zhì)使用規(guī)定》。 i) 當(dāng)員工離開時,對于載有重要信息的紙張和可移動的存儲介質(zhì),應(yīng)當(dāng)妥善保管。 j) 遠(yuǎn)程辦公人員有責(zé)任保護(hù)移動設(shè)備的安全,未經(jīng)批準(zhǔn),不得在公共場所訪問內(nèi)部網(wǎng)絡(luò)。 k) 未經(jīng)信息安全責(zé)任人授權(quán),不允許將載有重要信息的設(shè)備、信息或軟件帶離工作場所。機房內(nèi)設(shè)備的出入必須填寫《機房出入登記表》。 5.5. 通信和操作管理 1) 操作程序和責(zé)任 目標(biāo):確保信息處理設(shè)施的正確和安全操作 a) 對于日常維護(hù)工作必須按照規(guī)定的系統(tǒng)操作流程進(jìn)行,操作流程應(yīng)當(dāng)指明具體執(zhí)行每個作業(yè)的說明。操作流程必須成文,并只有經(jīng)授權(quán)才可以修改。 b) 必須建立并執(zhí)行信息處理設(shè)備和信息系統(tǒng)變更管理流程(具體參照《變更管理流程》),形成文檔備案。 c) 處理敏感信息資產(chǎn)時,可以考慮分離職責(zé),如果不實施分離,則應(yīng)當(dāng)對處理操作予以記錄,并定期進(jìn)行監(jiān)督。 d) 應(yīng)當(dāng)分離開發(fā)、測試與運營環(huán)境,敏感數(shù)據(jù)不可拷貝到測試環(huán)境中,測試完成后應(yīng)當(dāng)及時清理測試環(huán)境。 2) 第三方服務(wù)交付管理 目標(biāo):實施并保持信息安全的適當(dāng)水平,確保第三方交付的服務(wù)符合協(xié)議要求。 a) 應(yīng)當(dāng)確保第三方實施、運行并保持第三方服務(wù)交付協(xié)議中包括商定的安全布置、服務(wù)定義和交付等級。應(yīng)定期審核第三方的服務(wù)提交的報告和檢查對協(xié)議的符合度。重要的第三方服務(wù)必須簽訂服務(wù)合同和第三方保密協(xié)議。 b) 應(yīng)當(dāng)在第三方服務(wù)協(xié)議中包含服務(wù)變更管理的內(nèi)容。變更內(nèi)容包括但不限于: 任何新應(yīng)用、系統(tǒng)、服務(wù)的開發(fā) 對現(xiàn)有應(yīng)用、系統(tǒng)、服務(wù)的更改或更新 與信息安全有關(guān)的新的控制措施 網(wǎng)絡(luò)環(huán)境或其它新技術(shù)的使用 開發(fā)環(huán)境或物理環(huán)境的變更 供應(yīng)商的變更 3) 系統(tǒng)策劃與驗收 目標(biāo):最小化系統(tǒng)失效的風(fēng)險 a) 應(yīng)為系統(tǒng)的性能和容量要求做預(yù)先的規(guī)劃和準(zhǔn)備,應(yīng)反映對未來容量需求的推測,以減少系統(tǒng)過載的風(fēng)險。 b) 應(yīng)建立新信息系統(tǒng)、系統(tǒng)升級和新版本的驗收準(zhǔn)則,驗收前應(yīng)當(dāng)完成設(shè)計審核、缺陷分析及安全測試。必須將驗收標(biāo)準(zhǔn)寫入到項目合同中。 4) 防范惡意和移動代碼 目標(biāo):保護(hù)軟件和信息的完整性。 a) 所有服務(wù)器和個人計算機都必須激活防病毒軟件,必須及時更新防病毒代碼庫。詳細(xì)規(guī)定參見《防病毒管理程序》。 b) 系統(tǒng)內(nèi)的服務(wù)器和個人計算機必須使用可信來源的軟件,應(yīng)對軟件進(jìn)行病毒檢測后統(tǒng)一保存。 c) 員工應(yīng)當(dāng)?shù)街付ǖ目臻g下載軟件,不得私自安裝授權(quán)使用軟件列表之外的軟件。 d) 必須對所有的電子郵件附件進(jìn)行病毒掃描,也不要隨意打開來歷不明的郵件附件。 e) 應(yīng)當(dāng)開展對一般員工的預(yù)防病毒培訓(xùn)。員工一旦發(fā)現(xiàn)或懷疑有PC或服務(wù)器被病毒感染,必須馬上斷開網(wǎng)絡(luò)并進(jìn)行全盤掃描,,必須立即通知技術(shù)部門。 5) 備份 目標(biāo):保持信息和信息處理設(shè)施的完整性和可用性。 a) 管理員應(yīng)當(dāng)對重要的應(yīng)用系統(tǒng)、操作系統(tǒng)、配置文件及日志等制訂備份策略,并要定期對備份數(shù)據(jù)進(jìn)行測試。如果是涉密信息,必須對備份信息實施加密。 b) 所有員工要定期對個人電腦上的重要數(shù)據(jù)進(jìn)行備份,以減少不必要的損失。 c) 備份應(yīng)當(dāng)存儲在與主設(shè)備有足夠距離的地點,該地點應(yīng)安全可靠,應(yīng)同主設(shè)備場地使用同等的安全等級。 6) 網(wǎng)絡(luò)安全管理 目標(biāo):確保網(wǎng)絡(luò)中的信息和支持性基礎(chǔ)設(shè)施得到保護(hù)。 a) 應(yīng)當(dāng)對重要的線路、網(wǎng)絡(luò)設(shè)備采用冗余措施,以維持關(guān)鍵服務(wù)的可用性。 b) 網(wǎng)絡(luò)管理員應(yīng)當(dāng)參照《訪問控制程序》對網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)進(jìn)行充分的管理和控制,并采用網(wǎng)管工具對通訊線路、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)流量進(jìn)行實時的監(jiān)控和預(yù)警。 c) 處理敏感信息的計算機應(yīng)當(dāng)與局域網(wǎng)物理隔離,應(yīng)當(dāng)采用適當(dāng)?shù)募用芗夹g(shù)。 7) 介質(zhì)處理 目標(biāo):防止對資產(chǎn)的未授權(quán)泄露、修改、移動或損壞,及對業(yè)務(wù)活動的的干擾。 a) 應(yīng)當(dāng)妥善記錄移動介質(zhì)。不得將載有重要信息的存儲介質(zhì)隨意存放,未經(jīng)安全責(zé)任人授權(quán),不得帶出辦公地點。 b) 如果介質(zhì)上的內(nèi)容不再需要,應(yīng)當(dāng)立即清除。對于備份或存放有重要信息或軟件的存儲介質(zhì),在銷毀時,應(yīng)當(dāng)進(jìn)行格式化或重寫數(shù)據(jù),避免不必要的泄露。 c) 存放業(yè)務(wù)應(yīng)用系統(tǒng)及重要信息的介質(zhì),嚴(yán)禁外借,確因工作需要,須報請部門領(lǐng)導(dǎo)批準(zhǔn)。 d) 對需要長期保存的介質(zhì),必須在介質(zhì)老化前進(jìn)行轉(zhuǎn)儲,以防止因介質(zhì)失效造成損失。 e) 應(yīng)限制只有系統(tǒng)管理員才可訪問系統(tǒng)文檔。應(yīng)對的所有信息數(shù)據(jù)分類標(biāo)識,建立信息處置、存儲、分發(fā)的規(guī)程。 8) 信息交換 目標(biāo):應(yīng)保持組織內(nèi)部或組織與外部組織之間交換信息和軟件的安全。 a) 應(yīng)當(dāng)依據(jù)《信息資產(chǎn)鑒別和分類管理辦法》、《信息安全交流控制程序》,保護(hù)信息在發(fā)布、交換時的安全。 b) 員工必須遵守國家有關(guān)信息管理的法規(guī),不得利用網(wǎng)絡(luò)危害國家安全、泄露國家秘密,不得違反中華人民共和國現(xiàn)行法律和法規(guī),不得侵犯國家社會集體的和公民的合法權(quán)益。 c) 敏感信息應(yīng)當(dāng)通過專用的線路傳輸。未經(jīng)安全責(zé)任人授權(quán),員工不得與外部聯(lián)網(wǎng)的計算機信息系統(tǒng)傳輸涉及重要信息的文件。 d) 員工不得利用網(wǎng)絡(luò)對他人進(jìn)行侮辱、誹謗、騷擾;不得侵害他人合法權(quán)益;不得侵犯他人的名譽權(quán),肖像權(quán)、姓名權(quán)等人身權(quán)利;不得侵犯他人的商譽、商標(biāo)、版權(quán)、專利、專有技術(shù)等各種知識產(chǎn)權(quán)。 e) 在通過郵政等物理傳輸方式傳輸時,應(yīng)保護(hù)包含重要信息的介質(zhì)的安全。 f) 應(yīng)控制并記錄允許操作業(yè)務(wù)系統(tǒng)的用戶名單,未經(jīng)安全責(zé)任人授權(quán),不得隨意變更訪問限制和共享信息。 9) 監(jiān)視和審計 目標(biāo):檢測未經(jīng)授權(quán)的信息處理活動。 a) 公司制定《IT設(shè)備設(shè)施維護(hù)管理程序》、《信息安全技術(shù)檢查管理規(guī)定》對信息系統(tǒng)活動進(jìn)行監(jiān)控。 b) 應(yīng)當(dāng)使用監(jiān)視程序以確保用戶只執(zhí)行被明確授權(quán)的活動,審計內(nèi)容應(yīng)細(xì)化到個人而不是共享帳號。審計至少包括用戶ID、系統(tǒng)日志、操作記錄等。 c) 可以實施安全產(chǎn)品或調(diào)整配置,以記錄和審計用戶活動、系統(tǒng)、安全產(chǎn)品和信息安全事件產(chǎn)生的日志,并按照約定的期限保留,以支持將來的調(diào)查和訪問控制監(jiān)視。 d) 可以在內(nèi)網(wǎng)中配置日志服務(wù)器,專門收集主機、網(wǎng)絡(luò)設(shè)備、安全產(chǎn)品的日志,以避免日志被破壞或覆蓋。 e) 應(yīng)在網(wǎng)絡(luò)中配置時鐘服務(wù)器,被審計的信息設(shè)備應(yīng)同時鐘服務(wù)器的時間保持同步,以避免審計上的漏洞。 5.6. 信息系統(tǒng)訪問控制 1) 訪問控制的業(yè)務(wù)要求 目標(biāo):控制對信息的訪問。 a) 應(yīng)當(dāng)明確規(guī)定每個用戶以及相應(yīng)用戶組在各個系統(tǒng)中訪問控制規(guī)則與權(quán)限,每半年要評審用戶和訪問權(quán)限的設(shè)置,詳細(xì)規(guī)定參見《訪問控制程序》。 2) 用戶訪問管理 目標(biāo):確保授權(quán)用戶的訪問,并預(yù)防信息系統(tǒng)的非授權(quán)訪問。 a) 禁止用戶帳號共享,普通用戶不能在一個系統(tǒng)上擁有多個帳號,系統(tǒng)管理員不能在一個系統(tǒng)上擁有多個相同角色的帳號。每個用戶應(yīng)當(dāng)在不同的信息系統(tǒng)上遵循統(tǒng)一的命名方式且使用相同的用戶帳號,統(tǒng)一的命名方式應(yīng)當(dāng)參考域(郵箱)帳號命名規(guī)則。詳細(xì)規(guī)定參見《公司郵箱管理辦法》 b) 所有對信息系統(tǒng)的訪問必須遵照《訪問控制程序》。除非員工獲得該流程規(guī)定的相關(guān)部門授權(quán),否則不準(zhǔn)在網(wǎng)絡(luò)上給外單位和個人開戶,也不準(zhǔn)外單位或個人借用內(nèi)部用戶名和口令上網(wǎng),一經(jīng)查出將追究當(dāng)事人責(zé)任。 c) 用戶權(quán)限必須按照最小權(quán)限原則進(jìn)行分配。 d) 技術(shù)人員在收到重置口令的申請時,必須驗證用戶的身份后方可提供一個臨時的代替口令。 e) 要告知并強制用戶遵守用戶帳號及口令管理規(guī)定,用戶必須對自己的帳號和口令保密,不能以任何形式向他人透露口令信息,不得以未加密的形式將口令保存在文件或計算機中,在收到應(yīng)用系統(tǒng)或軟件的初始口令后必須及時更改。 f) 用戶帳號三個月未使用的將在系統(tǒng)中自動失效。必須每半年進(jìn)行用戶使用情況的評審,凡是半年及半年以上未使用的帳號經(jīng)相關(guān)部門確認(rèn)后刪除。如有特殊情況,必須事先得到信息安全部及安全責(zé)任人的批準(zhǔn)并備案。 3) 用戶責(zé)任 目標(biāo):避免未授權(quán)用戶的訪問,防止信息和信息處理設(shè)施的安全。 a) 員工和訪問信息系統(tǒng)的第三方必須遵守《用戶帳號及口令管理規(guī)定》的要求保證自己的用戶帳號和口令的安全。要求用戶不得明文保存口令,及時修改默認(rèn)口令并必須選擇強壯的口令,定期修改密碼,不得隨意共享密碼。 b) 所有計算機應(yīng)當(dāng)啟用計算機的開機口令進(jìn)行保護(hù)。當(dāng)員工離開計算機時,員工必須立即鎖定屏幕或退出系統(tǒng),且在系統(tǒng)內(nèi)必須設(shè)置5分鐘自動啟用有口令的屏幕保護(hù)。 c) 離開機房后要及時鎖門,重要信息設(shè)備可以使用計算機鎖等控制措施來保護(hù)其不受未授權(quán)訪問。 d) 人員離開時,必須清理桌面上的敏感信息,打印出的文件必須及時從打印機取走。 4) 網(wǎng)絡(luò)訪問控制 目標(biāo):防止對網(wǎng)絡(luò)服務(wù)的未經(jīng)授權(quán)的訪問。 a) 網(wǎng)絡(luò)管理員必須參照《訪問控制程序》和業(yè)務(wù)系統(tǒng)要求進(jìn)行控制: 明確哪些用戶可以訪問的網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)列表 明確訪問網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的用戶 實施相應(yīng)的控制手段 b) 對于來自外部的連接,使用VPN連接,使用基于口令的控制系統(tǒng)進(jìn)行控制。 c) 任何到網(wǎng)絡(luò)的物理或邏輯的連接必須經(jīng)過運維部的批準(zhǔn)。 d) 必須明確哪些人可以遠(yuǎn)程診斷和調(diào)試信息設(shè)備。給第三方開放遠(yuǎn)程維護(hù)帳號時,維護(hù)結(jié)束后必須立即收回。 e) 局域網(wǎng)網(wǎng)絡(luò)對外出口必須使用防火墻進(jìn)行保護(hù),根據(jù)安全需要可以考慮將局域網(wǎng)進(jìn)一步劃分為獨立的邏輯網(wǎng)絡(luò)域,并各邏輯網(wǎng)的接口處使用防火墻保護(hù)。上述接口和出口應(yīng)當(dāng)同時考慮實施地址轉(zhuǎn)換、防病毒和入侵檢測產(chǎn)品等。 f) 未經(jīng)批準(zhǔn),不得在公共場所訪問內(nèi)部網(wǎng)絡(luò)。 g) 對于從正式辦公地點內(nèi)部發(fā)起的、目標(biāo)為外部網(wǎng)絡(luò)或計算機的所有計算機網(wǎng)絡(luò)連接,必須通過由統(tǒng)一配置使用的系統(tǒng)進(jìn)行路由。 5) 操作系統(tǒng)訪問控制 目標(biāo):防止對操作系統(tǒng)未授權(quán)訪問。 a) 主機系統(tǒng)的登錄必須遵照以下規(guī)定: 對于非Windows平臺,成功登錄后,才顯示系統(tǒng)或應(yīng)用標(biāo)識 只顯示一般性的警告信息,例如“本系統(tǒng)只允許授權(quán)用戶訪問” 限制不成功登錄的次數(shù),不得超過5次,否則鎖定用戶帳號 記錄成功和不成功登錄的情況 需要在網(wǎng)絡(luò)上傳輸口令時,應(yīng)當(dāng)進(jìn)行加密 b) 登錄終端必須有超時設(shè)置,不超過20分鐘。 c) 應(yīng)對所有用戶分配一個唯一的ID。無特殊情況一個人不得在一個系統(tǒng)上擁有多個帳號。 d) 使用口令管理系統(tǒng)時,可以考慮配置: 強制選擇優(yōu)質(zhì)口令。 允許用戶選擇和更改自己的口令,其中要包括新口令的確認(rèn)過程。 強制用戶在第一次登錄時修改口令。 分開存儲口令文件和應(yīng)用系統(tǒng)數(shù)據(jù) 保護(hù)口令的存儲和傳輸過程。 e) 應(yīng)分開保存系統(tǒng)文件和應(yīng)用數(shù)據(jù),限制對系統(tǒng)文件的操作。 6) 應(yīng)用程序和信息訪問控制 目標(biāo):防止對應(yīng)用系統(tǒng)中信息的非法訪問。 a) 應(yīng)限制用戶和管理員對應(yīng)用系統(tǒng)的訪問權(quán)限,要求用戶在申請、變更或廢止訪問權(quán)限時,應(yīng)填寫《權(quán)限申請表》。 b) 處理敏感信息的系統(tǒng)應(yīng)當(dāng)與公共網(wǎng)隔離,且系統(tǒng)輸出信息僅能發(fā)送給特定的終端和人員。 c) 應(yīng)當(dāng)參考《信息資產(chǎn)鑒別和分類管理辦法》明確標(biāo)識出敏感信息,當(dāng)需要共享或分發(fā)敏感信息時,必須附帶保密聲明。 7) 移動計算和遠(yuǎn)程工作 目標(biāo):確保在使用移動計算機和遠(yuǎn)程工作設(shè)施時的安全。 a) 所有遠(yuǎn)程工作的移動計算機都必須安裝防病毒軟件,應(yīng)當(dāng)考慮采用動態(tài)口令系統(tǒng)。未經(jīng)信息安全部批準(zhǔn),不得在公共場所訪問內(nèi)部網(wǎng)絡(luò)。詳細(xì)參見《筆記本電腦安全使用指南》 b) 應(yīng)當(dāng)安排針對移動辦公人員的安全培訓(xùn),要求此類用戶保護(hù)移動設(shè)備和遠(yuǎn)程辦公帳號的安全。 5.7. 信息系統(tǒng)的獲取、開發(fā)和維護(hù)安全 1) 信息系統(tǒng)的安全要求 目標(biāo):確保安全成為信息系統(tǒng)的一部分。 a) 對自主開發(fā)和外包開發(fā)的信息系統(tǒng)或?qū)ΜF(xiàn)有系統(tǒng)的更新,在分析階段應(yīng)當(dāng)規(guī)定對安全控制的要求,并集成到系統(tǒng)設(shè)計規(guī)范書、招標(biāo)規(guī)范書和外包合同書之中,并在開發(fā)工作和驗收時進(jìn)行考慮。 2) 應(yīng)用系統(tǒng)的正確處理 目標(biāo):防止應(yīng)用系統(tǒng)信息的錯誤、丟失、未授權(quán)的修改或誤用。 a) 應(yīng)用系統(tǒng)設(shè)計時應(yīng)當(dāng)針對數(shù)據(jù)安全進(jìn)行以下方面的考慮: 輸入數(shù)據(jù)驗證:對應(yīng)用系統(tǒng)的數(shù)據(jù)輸入進(jìn)行驗證,保證輸入數(shù)據(jù)正確并合乎要求。 數(shù)據(jù)的容錯處理:為防止正確的數(shù)據(jù)因處理錯誤或故意人為等因素遭到破壞而采取的檢查和控制措施。 輸出數(shù)據(jù)驗證:對應(yīng)用系統(tǒng)輸出的數(shù)據(jù)進(jìn)行驗證,保證對存儲信息的正確處理。 消息驗證:檢查傳輸?shù)碾娮酉?nèi)容是否有非法變更或破壞的技術(shù)手段。可以用加密技術(shù)作為實現(xiàn)消息驗證的手段。 加密:是用于保護(hù)信息機密性的技術(shù)。在保護(hù)敏感或關(guān)鍵信息時使用。 b) 周期性評審關(guān)鍵信息和數(shù)據(jù)的內(nèi)容,以保證其有效性和完整性。 3) 加密控制 目標(biāo):通過加密手段來保護(hù)信息的保密性、真實性和完整性 a) 在組織內(nèi)實施加密控制的策略,可以考慮使用密碼技術(shù)以實現(xiàn): 保密性:通過信息加密保護(hù)存儲和傳輸中的敏感和重要數(shù)據(jù)。 完整性/可認(rèn)證性:使用數(shù)字簽名和消息驗證碼去保護(hù)存儲的和傳輸中的敏感和重要數(shù)據(jù)的可認(rèn)證性和完整性。 不可否認(rèn)性:利用密碼技術(shù)獲得事件和行為發(fā)生或未發(fā)生的證明。 b) 實施密鑰管理辦法,包括防止密鑰的丟失、泄密或破壞,密鑰的銷毀和密鑰損壞后加密數(shù)據(jù)的恢復(fù)。 4) 系統(tǒng)文件安全 目標(biāo):確保系統(tǒng)文件的安全 a) 應(yīng)當(dāng)僅由管理員才可以進(jìn)行操作系統(tǒng)、軟件、應(yīng)用和運行程序庫的更新,生產(chǎn)系統(tǒng)不得安裝無關(guān)軟件。 b) 應(yīng)當(dāng)盡量避免應(yīng)用系統(tǒng)對操作系統(tǒng)的直接調(diào)用,最大限度降低操作系統(tǒng)崩潰的風(fēng)險。 c) 重要的應(yīng)用和操作系統(tǒng)軟件只有在全面正確的測試通過后才可安裝,測試包括實用性、安全性、在其它系統(tǒng)上的有效性、用戶友好性等,測試應(yīng)在獨立的系統(tǒng)上完成,必須確保對應(yīng)的程序庫已經(jīng)更新。 d) 重要軟件和應(yīng)用升級后,包括需要的信息、參數(shù)、升級過程日志、配置細(xì)節(jié)等都要歸檔,配套的數(shù)據(jù)和文件也應(yīng)歸檔。 e) 所有應(yīng)用必須編寫應(yīng)用配置手冊,應(yīng)用配置手冊必須隨著操作系統(tǒng)軟件或應(yīng)用配置的改變而及時更新。 f) 測試過程中應(yīng)當(dāng)避免使用敏感信息,測試完成后應(yīng)當(dāng)及時清除。 g) 訪問程序源代碼的行為應(yīng)受到限制,更新關(guān)鍵應(yīng)用系統(tǒng)必須按照《變更管理流程》得到授權(quán)。若有可能,在運行環(huán)境中不應(yīng)保留程序源代碼庫。 5) 開發(fā)和支持過程安全 目標(biāo):保持應(yīng)用系統(tǒng)軟件和信息的安全 a) 維護(hù)并執(zhí)行《變更管理流程》,該流程應(yīng)當(dāng)包括提交申請、調(diào)研和評估、審批、實施、總結(jié)和備案。 b) 必須分開生產(chǎn)環(huán)境和非生產(chǎn)環(huán)境,非生產(chǎn)環(huán)境包括開發(fā)、測試和培訓(xùn)所用的環(huán)境。應(yīng)用開發(fā)人員不允許訪問生產(chǎn)環(huán)境,除非在有安全評測手段的前提下,應(yīng)用開發(fā)人員可以暫時獲得生產(chǎn)環(huán)境下的用戶名和口令以用于系統(tǒng)支持,必須保證在系統(tǒng)支持完成之后立即修改口令。 c) 當(dāng)操作系統(tǒng)變更后,應(yīng)評審和測試關(guān)鍵的應(yīng)用系統(tǒng),以確定此變更對運營和安全帶來的影響。 d) 只能從可信的渠道(如廠商指定的網(wǎng)站)獲取軟件的更新程序,重要變更必須進(jìn)行記錄。變更后,運維人員應(yīng)當(dāng)監(jiān)控變更帶來的影響。其中安全補丁的規(guī)定詳見《補丁管理程序》。 e) 可以采取安全手段監(jiān)視系統(tǒng)、通信和個人行為,以減小信息泄露的可能。 6) 技術(shù)漏洞管理 目標(biāo):減少利用公開的技術(shù)漏洞帶來的風(fēng)險。 a) 應(yīng)當(dāng)確認(rèn)軟件和其它技術(shù)的相關(guān)漏洞,指定專人進(jìn)行安全補丁管理工作,包括補丁公告、補丁評估和補丁列表的維護(hù)工作。詳細(xì)規(guī)定參見《補丁管理程序》。 b) 如果沒有合適的補丁,應(yīng)當(dāng)實施其它措施,如: 關(guān)掉可能利用漏洞造成損害的服務(wù)和端口 在網(wǎng)絡(luò)邊界上增加隔離和訪問控制,如防火墻 在網(wǎng)絡(luò)中部署入侵檢測系統(tǒng) 增強對該漏洞的監(jiān)控 5.8. 信息安全事故處理 1) 報告信息安全事故和弱點 目標(biāo):確保與信息系統(tǒng)有關(guān)的安全事件和弱點的報告,以便及時采取糾正措施。 a) 維護(hù)并執(zhí)行《信息安全事件管理程序》,培訓(xùn)并要求所有員工和第三方都有責(zé)任盡快報告信息安全事件。 b) 信息安全事件發(fā)生后,報告人應(yīng)立即將事件的重要細(xì)節(jié)(如事件描述、屏幕上顯示的消息、造成的后果、其它異常情況等)向主管部門報告。 c) 所有員工和第三方有責(zé)任注意并報告系統(tǒng)或服務(wù)中已發(fā)現(xiàn)或疑似的安全漏洞,但不能擅自處理和散播。 2) 信息安全事故管理和改進(jìn) 目標(biāo):確保使用可追蹤的,有效的方法管理信息安全事故。 a) 應(yīng)當(dāng)建立包括事件報告、分類、責(zé)任分工、響應(yīng)方法、記錄和總結(jié)、恢復(fù)計劃等在內(nèi)的信息安全事故管理機制。詳細(xì)規(guī)定參見《信息安全事件管理程序》。 b) 應(yīng)通過信息安全事故的評估和總結(jié)以識別將來可能再次發(fā)生的事故,特別是可能造成重大影響的事故,盡量減小同種事故帶來的損失。 c) 從事件被檢測到至處理完成全過程的記錄和證據(jù)(包括紙制文檔和電子信息)都應(yīng)進(jìn)行保留。 5.9. 業(yè)務(wù)連續(xù)性管理 1) 業(yè)務(wù)連續(xù)性管理中的信息安全 目標(biāo):防止業(yè)務(wù)活動中斷,保證重要業(yè)務(wù)流程不受重大故障和災(zāi)難的影響,并確保它們的及時恢復(fù)。 a) 參考《業(yè)務(wù)連續(xù)性管理程序》制訂并實施業(yè)務(wù)連續(xù)性計劃,預(yù)防和恢復(fù)控制相結(jié)合,將災(zāi)難和安全故障(可能是由于自然災(zāi)害、事故、設(shè)備故障和蓄意破壞等引起)造成的影響降低到可以接受的水平,限制破壞性事件造成的后果,確保關(guān)鍵業(yè)務(wù)的操作得到及時恢復(fù)。業(yè)務(wù)連續(xù)性計劃制定后必須得到安全領(lǐng)導(dǎo)小組的批準(zhǔn)。 b) 業(yè)務(wù)連續(xù)性計劃的內(nèi)容至少應(yīng)當(dāng)包括: 確定關(guān)鍵業(yè)務(wù)流程和其所涉及資產(chǎn),明確信息處理設(shè)施的業(yè)務(wù)目標(biāo)。 識別可能導(dǎo)致業(yè)務(wù)中斷的重大事故,評估此類重大事故發(fā)生的可能性及造成業(yè)務(wù)中斷給造成的影響,確定關(guān)鍵業(yè)務(wù)流程的優(yōu)先級。 必要時可以適當(dāng)考慮購買保險,以降低重大災(zāi)難引起的損失。 定期對計劃和相關(guān)操作流程進(jìn)行檢查、演練和更新。 明確人員職責(zé),業(yè)務(wù)連續(xù)性管理過程的職責(zé)應(yīng)分配給安委會。 保護(hù)人員、信息處理設(shè)備和機構(gòu)財產(chǎn)的安全。 業(yè)務(wù)恢復(fù)的優(yōu)先級,應(yīng)當(dāng)考慮可容忍的業(yè)務(wù)中斷時間和業(yè)務(wù)恢復(fù)到中斷前的哪個時間點,要特別注意對有關(guān)外部業(yè)務(wù)和合同的評估。 滿足業(yè)務(wù)連續(xù)性計劃所需的資源和服務(wù),包括人員、非信息處理資源以及信息處理設(shè)施的低效運行安排。 業(yè)務(wù)流程的備案 對員工進(jìn)行適當(dāng)?shù)臉I(yè)務(wù)連續(xù)性計劃的培訓(xùn) 通過演練(或突發(fā)事件發(fā)生)的實際情況,對計劃進(jìn)行修正,保證其有效性和可操作性。 c) 應(yīng)當(dāng)維護(hù)一個全局性的業(yè)務(wù)連續(xù)性計劃框架,以確保所有計劃的一致性。業(yè)務(wù)連續(xù)性計劃框架應(yīng)該考慮以下內(nèi)容: 計劃的啟動條件。在計劃執(zhí)行前說明要采用的程序(包括如何評估、參與人員等)。 應(yīng)急程序。說明在發(fā)生危及業(yè)務(wù)操作和/或生命的事故后要采取的措施。 低效運行程序。說明應(yīng)該采取哪些措施,以將重要業(yè)務(wù)活動或支持服務(wù)轉(zhuǎn)移到其它臨時地點并在規(guī)定時間內(nèi)恢復(fù)業(yè)務(wù)流程。 恢復(fù)程序。說明應(yīng)該采取哪些措施,以恢復(fù)正常業(yè)務(wù)運作。 說明若恢復(fù)未完成時應(yīng)遵循的臨時操作規(guī)程。 說明計劃檢查方式和時間的維護(hù)計劃以及計劃維護(hù)程序。 在組織內(nèi)開展業(yè)務(wù)連續(xù)性的教育培訓(xùn)活動。 明確個人責(zé)任。說明由誰負(fù)責(zé)執(zhí)行哪一部分計劃。根據(jù)要求可以指定備選方案。 d) 必須定期測試并更新業(yè)務(wù)連續(xù)性計劃,可以通過以下方法: 通過會議,可以使用類似案例討論業(yè)務(wù)恢復(fù)方面的安排。 通過模擬事故發(fā)生的情況,重點培訓(xùn)對負(fù)責(zé)事故/危機發(fā)生后管理的人員。 通過測試確保技術(shù)上信息系統(tǒng)可以有效地恢復(fù)。 在備用場地進(jìn)行測試(繼續(xù)業(yè)務(wù)流程的同時在主場地外執(zhí)行恢復(fù)操作)。 供應(yīng)商提供的設(shè)施和服務(wù)的檢查(確保外部提供的服務(wù)和產(chǎn)品符合合同中的規(guī)定)。 全面演習(xí)(檢查組織、人員、設(shè)備、設(shè)施和程序是否能夠應(yīng)付中斷情況)。 e) 必須維護(hù)業(yè)務(wù)連續(xù)性計劃并進(jìn)行定期更新分析。應(yīng)該分配各個業(yè)務(wù)連續(xù)性計劃的定期評審責(zé)任;檢查業(yè)務(wù)變動是否都反應(yīng)在計劃更新的內(nèi)容當(dāng)中。更新后的計劃必須正式進(jìn)行批準(zhǔn)和分發(fā)。特別注意信息系統(tǒng)更新可能引起業(yè)務(wù)連續(xù)性計劃的如下信息的更新: 人員。 地址或電話號碼。 經(jīng)營戰(zhàn)略。 場所、設(shè)施和資源。 法律法規(guī)。 承包商、供應(yīng)商和主要客戶。 流程(新的流程/廢止的流程)。 風(fēng)險(操作風(fēng)險和金融風(fēng)險)。 5.10. 符合性要求 1) 遵守法律法規(guī)的要求 目標(biāo):避免違反法律、法規(guī)、規(guī)章、合同要求和其它安全要求。 a) 公司的信息系統(tǒng)和其它IT設(shè)施必須符合國家相關(guān)法律法規(guī)的要求。特別是與外部的組織有往來時。 b) 所有的軟件和硬件必須遵守知識產(chǎn)權(quán)的要求,包括著作權(quán)、設(shè)計權(quán)、商標(biāo)權(quán)等。通過合法渠道獲得產(chǎn)品,遵守產(chǎn)品許可證的限制,維護(hù)許可證,交付產(chǎn)品,手冊等證明材料,告知員工他們保護(hù)知識產(chǎn)權(quán)的責(zé)任,提高員工安全意識,應(yīng)當(dāng)在合同中明確知識產(chǎn)權(quán)的歸屬,并對享有知識產(chǎn)權(quán)資料的復(fù)制進(jìn)行限制。 c) 應(yīng)按照法律法規(guī)、合同和業(yè)務(wù)要求,保護(hù)重要記錄免受損失、破壞或偽造篡改。重要記錄包括紙質(zhì)或非紙質(zhì)的財務(wù)記錄、數(shù)據(jù)庫記錄、日志和操作規(guī)程等。應(yīng)當(dāng)考慮信息的處理辦法,保存時間,關(guān)鍵信息來源的目錄和索引。 d) 在傳輸和存儲過程中保護(hù)個人數(shù)據(jù)和個人隱私。 e) 未經(jīng)安全責(zé)任人書面授權(quán),禁止用戶和管理員將信息處理設(shè)備用于其他目的??梢栽诘卿洉r,在屏幕上應(yīng)顯示保密聲明,告知其正進(jìn)入的系統(tǒng)是不公開的。 2) 安全策略和技術(shù)一致性檢查 目標(biāo):保證信息系統(tǒng)符合的安全策略和標(biāo)準(zhǔn)。 a) 信息安全小組應(yīng)不定期地組織抽查信息安全制度的落實和執(zhí)行情況,依據(jù)《信息安全技術(shù)檢查管理規(guī)定》、《內(nèi)部審核程序》的規(guī)定,進(jìn)行測量,上報信息安全管理小組組長。協(xié)助內(nèi)審組進(jìn)行信息安全內(nèi)部評審和管理評審。 b) 應(yīng)當(dāng)定期使用技術(shù)手段發(fā)現(xiàn)系統(tǒng)的漏洞,以確定安全技術(shù)防范的有效性。當(dāng)進(jìn)行漏洞測試前,要格外謹(jǐn)慎,可以制訂好計劃再進(jìn)行操作。 3) 信息系統(tǒng)審計考慮因素 目標(biāo):要最大化信息系統(tǒng)審計的效果,并盡量減小信息系統(tǒng)審計帶來的影響。 a) 審計的要求和審計范圍必須得到授權(quán)。審計人員應(yīng)限于軟件和數(shù)據(jù)的只讀訪問,若需要額外的行為,要顯式予以標(biāo)明。 b) 應(yīng)安排不同于被審計者的人員進(jìn)行審計,審計過程要進(jìn)行記錄。 c) 信息系統(tǒng)審計工具(如軟件和數(shù)據(jù)文件)應(yīng)與開發(fā)和運行系統(tǒng)分開。如果審計活動包含了對生產(chǎn)系統(tǒng)的檢查,應(yīng)當(dāng)進(jìn)行仔細(xì)的計劃和控制,把風(fēng)險降到最低。 d) 安全審計應(yīng)當(dāng)由安全審計人員或可信的、獨立的第三方機構(gòu)來執(zhí)行。如果由第三方審計,應(yīng)當(dāng)與其簽署安全保密協(xié)議,并要實施控制措施降低外部審計可能存在的風(fēng)險。 6. 附件 無 精選word范本!- 1.請仔細(xì)閱讀文檔,確保文檔完整性,對于不預(yù)覽、不比對內(nèi)容而直接下載帶來的問題本站不予受理。
- 2.下載的文檔,不會出現(xiàn)我們的網(wǎng)址水印。
- 3、該文檔所得收入(下載+內(nèi)容+預(yù)覽)歸上傳者、原創(chuàng)作者;如果您是本文檔原作者,請點此認(rèn)領(lǐng)!既往收益都?xì)w您。
下載文檔到電腦,查找使用更方便
15 積分
下載 |
- 配套講稿:
如PPT文件的首頁顯示word圖標(biāo),表示該PPT已包含配套word講稿。雙擊word圖標(biāo)可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國旗、國徽等圖片,僅作為作品整體效果示例展示,禁止商用。設(shè)計者僅對作品中獨創(chuàng)性部分享有著作權(quán)。
- 關(guān) 鍵 詞:
- 信息 安全策略
鏈接地址:http://m.appdesigncorp.com/p-5406170.html