信息安全策略讲义课件

1、保密等级内控文档名称信息安全策略文档编号ISMS/Sinosoft-h-04-2008发布组织Sinosoft信息安全工作小组发布日期 2008年1月1日 执行日期 2008年1月1日版 本 号A1.0信息安全策略批准人签字审核人签字制订人签字日期： 2008/1 /1日期：2008/1 /1日期：2008/1 /1南京擎天科技有限公司Nanjing Sinosoft Technology Co., Ltd.变更履历序号版本编号或更改记录编号变化 状态 *简要说明(变更内容、变更位置、变更原因和变更范围)变更日期变更人审核人批准人批准日期1A1.0C创建，全页。2008/ 1/1 许明星 茅建

2、平 汪晓刚2008/1 /1 *变化状态：C创建，A增加，M修改，D删除目 录1.文档介绍51.1.文档目的51.2.文档范围51.3.参考信息52.术语和定义62.1.解释62.2.词语使用73.Sinosoft信息系统安全策略73.1.策略下发73.2.策略维护73.3.策略评审83.4.适用范围84.Sinosoft信息系统安全组织84.1.内部组织84.2.外部组织95.Sinosoft资产管理105.1.资产责任115.2.信息分类116.Sinosoft人员信息安全管理116.1.人员雇佣126.2.雇佣中126.3.人员信息安全管理原则137.物理和环境安全147.1.安全区域1

3、47.2.设备安全158.Sinosoft通信和操作管理218.1.操作程序和责任218.2.第三方服务交付管理238.3.系统策划与验收258.4.防范恶意和移动代码278.5.备份288.6.网络安全管理288.7.介质处理298.8.信息交换318.9.监视和审计339.Sinosoft信息系统访问控制369.1.访问控制的业务要求369.2.用户访问管理379.3.用户责任409.4.网络访问控制419.5.操作系统访问控制439.6.应用程序和信息访问控制459.7.移动计算和远程工作4610.信息系统的获取、开发和维护安全4710.1.信息系统的安全要求4710.2.应用系统的正确

4、处理4710.3.加密控制4710.4.系统文件安全4810.5.开发和支持过程安全4910.6.技术漏洞管理4911.信息安全事故处理5011.1.报告信息安全事故和弱点5011.2.信息安全事故管理和改进5012.业务连续性管理5112.1.业务连续性管理中的信息安全5113.符合性要求5313.1.遵守法律法规的要求5313.2.安全策略和技术一致性检查5813.3.信息系统审计考虑因素591. 文档介绍1.1. 文档目的本文档制定了Sinosoft的信息系统安全策略，作为Sinosoft信息安全的基本标准，是所有安全行为的指导方针，同时也是建立完整的安全管理体系最根本的基础。信息安全策

5、略是在Sinosoft信息安全现状调研的基础上，根据ISO27001的最佳实践，结合Sinosoft现有规章制度制定而成的信息安全方针和策略文档。本文档遵守政府制定的相关法律、法规、政策和标准。本安全策略得到Sinosoft领导的认可，并在Sinosoft内强制实施。建立信息安全策略目的概括如下：§ 在Sinosoft内部建立一套通用的、行之有效的安全机制；§ 在Sinosoft的员工中树立起安全责任感；§ 在Sinosoft中增强信息资产可用性、完整性和保密性；§ 在Sinosoft中提高全体员工的信息安全意识和信息安全知识水平。1.2. 文档范围本安

6、全策略适用于Sinosoft全体员工。本安全策略由Sinosoft行政管理部负责解释，自发布之日起执行。1.3. 参考信息§ 安全战略和体系架构设计§ 信息安全手册§ 公司程序文件§ 公司管理办法2. 术语和定义2.1. 解释信息安全是指保护信息资产免受多种安全威胁，保证业务连续性，将安全事件造成的损失降至最小，同时最大限度地获得投资回报和商业机遇。可用性确保经过授权的用户在需要时可以访问信息并使用相关信息资产。保密性确保只有经过授权的人才能访问信息。完整性保护信息和信息的处理方法准确而完整。保密信息Sinosoft安全规章定义的密级信息。信息安全策略正

7、确使用和管理IT信息资源并保护这些资源使得它们拥有更好的保密性、完整性、可用性的策略。风险评估评估信息安全漏洞对信息处理设备带来的威胁和影响及其发生的可能性。风险管理以可以接受的成本，确认、控制、排除可能影响信息系统的安全风险或将其带来的危害最小化的过程。计算机机房装有计算机主机、服务器和相关设备的，除了安装和维护的情况外，不允许人员在里边工作的专用房间。员工在Sinosoft系统内工作的正式员工、雇佣的临时工作人员。用户被授权能使用IT系统的人员。信息资产与信息系统相关联的信息、信息的处理设备和服务。信息资产责任人是指对某项信息资产安全负责的人员。合作单位是指与Sinosoft有业务往来的单

8、位，包括承包商、服务提供商、设备厂商、外包服务商、贸易伙伴等。第三方访问指非本单位的人员对信息系统的访问。安全事件利用信息系统的安全漏洞，对信息资产的保密性、完整性和可用性造成危害的事件。故障是指信息的处理、传输设备运行出现意外障碍，以至影响信息系统正常运转的事件。安全审计通过将所选类型的事件记录在服务器或工作站的安全日志中用来跟踪用户活动的过程。超时设置用户如果超过特定的时限没有进行动作，就触发其他事件（如断开连接、锁定用户等）。2.2. 词语使用必须表示强制性的要求。应当好的做法所要达到的要求，条件允许就要实施。可以表示希望达到的要求。3. Sinosoft信息系统安全策略目标：为信息安全

9、提供管理指导和支持，并与业务要求和相关的法律法规保持一致。3.1. 策略下发第1条 本策略必须得到Sinosoft管理层批准，并向Sinosoft所有员工和相关第三方公布传达，全体人员必须履行相关的义务，享受相应的权利，承担相关的责任。3.2. 策略维护本策略通过以下方式进行文档的维护工作：第2条 必须每年按照信息安全风险评估管理程序进行例行的风险评估，如遇以下情况必须及时进行风险评估：· 发生重大安全事故· 组织或技术基础结构发生重大变更· 安全管理小组认为应当进行风险评估的· 其他应当进行安全风险评估的情形第3条 风险评估之后根据需要进行安全策略条目

10、修订，并在Sinosoft内公布传达。3.3. 策略评审第4条 每年必须参照信息安全管理评审程序执行公司管理评审。3.4. 适用范围第5条 适用范围是指本策略使用和涵盖的对象，包括Sinosoft现有的业务系统、硬件资产、软件资产、信息、通用服务、物理安全区域等。对于即将投入使用和今后规划的信息系统项目也必须参照本策略执行。4. Sinosoft信息系统安全组织目标：在Sinosoft组织内部管理信息安全，保持可被外部组织访问、处理、沟通或管理的Sinosoft信息及信息处理设备的安全。4.1. 内部组织第6条 Sinosoft的管理层对信息安全承担最终责任。管理者职责参见信息安全委员会组织机

11、构。第7条 Sinosoft的信息系统安全管理工作采取行政管理部统一管理方式，其他相关部门/单位配合执行。Sinosoft的内部信息安全组织为信息安全管理委员会，委员会的人员组成以及相关职责参见信息安全委员会组织机构。第8条 Sinosoft各个部门之间必须紧密配合共同进行信息安全系统的维护和建设。相关部门岗位的分工与责任参见岗位说明书。第9条 任何新的信息系统处理设施必须经过管理授权的过程。并更新至信息资产识别表。第10条 Sinosoft信息系统内的每个重要的资产需要明确所有者、安全责任人、安全维护人员、使用人员。参见信息资产识别表 。 第11条 凡是涉及Sinosoft重要信息、机密信息

12、（相关定义参见保密管理规定等信息的处理，相关的Sinosoft工作岗位员工以及第三方都必须签署保密协议。第12条 应当与政府机构保持必要的联系共同协调信息安全相关问题。这些部门包括执法部门、消防部门、上级监管部门、电信供应商等提供公共服务的部门。第13条 应当与相关信息安全团体保持联系，以取得信息安全上必要的支持。这些团体包括外部安全咨询商、独立的安全技术专家等。第14条 信息安全管理小组每年至少进行一次信息安全风险评估工作（参照信息安全风险评估管理程序，并对安全策略进行复审。信息安全领导小组每年对风险评估结果和安全策略的修改进行审批。第15条 每年或者发生重大信息安全变化时必须参照信息安全管

13、理评审程序执行公司管理评审。4.2. 外部组织第16条 第三方访问是指非Sinosoft人员对信息系统的的访问。第三方至少包含如下人员： l 硬件及软件技术支持、维护人员；l 项目现场实施人员；l 外单位参观人员；l 合作单位人员；l 客户；l 清洁人员、送餐人员、快递、保安以及其它外包的支持服务人员；第17条 第三方的访问类型包括物理访问和逻辑访问。l 物理访问：重点考虑安全要求较高区域的访问，包括计算机机房、重要办公区域和存放重要物品区域等；l 逻辑访问：u 主机系统u 网络系统u 数据库系统u 应用系统第18条 第三方访问需要进行以下的风险评估后方可对访问进行授权。l 被访问资产是否会损

14、坏或者带来安全隐患；l 客户是否与Sinosoft有商业利益冲突；l 是否已经完成了相关的权限设定，对访问加以控制；l 是否有过违反安全规定的记录；l 是否与法律法规有冲突，是否会涉及知识产权纠纷；第19条 第三方进行访问之前必须经过被访问系统的安全责任人的审核批准，包括物理访问的区域和逻辑访问的权限。（物理访问区域安全责任人按物理访问控制管理规定执行。）第20条 对于第三方参与的项目，必须在合同中明确规定人员的安全责任，必要时应当签署保密协议。第21条 第三方必须遵守Sinosoft的信息安全策略以及参观保密协议，Sinosoft保留对第三方的工作进行审核的权利。5. Sinosoft资产管

15、理目标：通过及时更新的信息资产目录对Sinosoft信息资产进行适当的保护。5.1. 资产责任第22条 所有Sinosoft的信息资产必须登记入册，对于有形资产必须进行标识，同时资产信息应当及时更新。每项信息资产在登记入册及更新时必须指定信息资产的安全责任人，信息资产的安全责任人必须负责该信息资产的安全。第23条 所有Sinosoft员工和第三方都必须遵守本策略中第65条至第102条关于信息设备安全管理的规定，以保护Sinosoft信息处理设备（包括移动设备和在非公共地点使用的设备）的安全。5.2. 信息分类第24条 必须明确确认每项信息资产及其责任人和安全分类，信息资产包括业务系统、硬件资产

16、、软件资产、信息资产、物理设备和IT环境设施。（详见信息资产识别表）。第25条 必须建立信息资产管理登记制度，至少详细记录信息资产的分类、名称、用途、资产所有者、安全责任人、安全维护人员、使用人员、入库时间、有效时限、报废时间、借用及返还情况等，便于查找和使用。信息资产应当标明适用范围。第26条 应当在每个有形信息资产上进行标识。第27条 当信息资产进行拷贝、存储、传输（如邮递、传真、电子邮件以及语音传输【包括电话、语音邮件、应答机】等）或者销毁等信息处理时，应当参照保密管理规定或者制定妥善的处理步骤并执行。第28条 对重要的资料档案要妥善保管，以防丢失泄密，其废弃的打印纸及磁介质等，应按Si

17、nosoft有关规定进行处理。6. Sinosoft人员信息安全管理目标：确保所有的员工、合同方和第三方用户了解信息安全威胁和相关事宜、明确并履行信息安全责任和义务，并在日常工作中支持Sinosoft的信息安全方针，减少人为错误的风险，减少盗窃、滥用或设施误用的风险。6.1. 人员雇佣第29条 Sinosoft员工必须了解相关的信息安全责任，必须遵守岗位说明书。第30条 对第三方访问人员和临时性员工，也必须遵守参观保密协议。第31条 涉及重要信息系统管理的员工、合同方及第三方应当进行相关技术背景调查和能力考评；第32条 涉及重要信息系统管理的员工、合同方及第三方应在合同中明确其信息安全责任并签

18、署保密协议；6.2. 雇佣中第33条 Sinosoft管理层必须要求所有的员工、合同方及第三方用户执行Sinosoft信息安全的相关规定；第34条 应当设定信息安全的相关奖励措施，任何违反信息安全策略的行为都将收到惩戒，具体执行办法参见信息安全奖惩规定；第35条 将信息安全培训加入员工培训中，培训材料应当包括下列内容：§ Sinosoft信息安全策略§ Sinosoft信息安全制度§ 相关奖惩办法第36条 应当按下列群体进行不同类型的信息安全培训：§ Sinosoft全体员工§ 需要遵守Sinosoft信息安全策略、规章制度和各项操作流程的第三

19、方人员第37条 信息安全培训必须至少每年举行一次，让不同部门的人员能受到适当的信息安全培训。必须参加计算机信息安全培训的人员包括：§ 计算机信息系统使用单位的安全管理责任人；§ 重点单位或核心计算机信息系统的维护和管理人员；§ 其他从事计算机信息系统安全保护工作的人员；§ 能够接触到敏感数据或机密信息的关键用户。6.3. 人员信息安全管理原则第38条 员工录用时，人力资源部或调入部门必须及时书面通知行政管理部添加相关的口令、帐号及权限等并备案。第39条 员工在岗位变动时，必须移交调出岗位的相关资料和有关文档，检查并归还在Sinosoft借出的重要信息。人

20、力资源部或调入部门必须及时书面通知行政管理部修改和删除相关的口令、帐号及权限等。第40条 员工在调离时必须进行信息安全检查。调离人员必须移交全部资料和有关文档，删除自己的文件、帐号，检查并归还在Sinosoft借出的保密信息。由人力资源部书面通知行政管理部删除相关的口令、帐号、权限等信息。第41条 用户帐号三个月未使用的将在系统中自动失效。必须每半年进行用户使用情况的统计，凡是半年及半年以上未使用的帐号经相关部门确认后删除。如有特殊情况，必须事先得到部门经理及安全责任人的批准。第42条 对第三方访问人员和临时性员工，也必须执行第38条到第41条的相关规定。7. 物理和环境安全7.1. 安全区域

21、目标：防止对Sinosoft工作场所和信息的非法访问、破坏和干扰。第43条 Sinosoft必须明确划分安全区域。安全区域至少包括Sinosoft各计算机机房、档案室，IT部门、财务部、人力资源部等部门。第44条 所有进入本公司的人员都需经过授权，本公司员工之外的人员进入本公司必须登记换取来宾卡才能进入(得到被访者允许)。第45条 无人值守的门和窗户必须上锁，对于直接与外部相连的安全区域的窗户必须考虑窗户的外部保护；第46条 应按照地方、国内和国际标准建立适当的入侵检测体系，并定期检测以覆盖所有的外部门窗；第47条 安全区域必须配备充足的安全设备，例如热敏和烟气探测器、火警系统、灭火设备，并对

22、设备定期检查；第48条 只要可行，安全区域进出控制应当采用合适的电子卡或磁卡，并能双向控制；第49条 对安全区域的访问必须进行记录和控制，以确保只有经过授权的人员才可以访问。对机房的访问管理参见机房管理规定，其它区域可参照执行。第50条 机房建设应符合GB 9361中C类安全机房的要求；第51条 危险或易燃材料应在离安全区域安全距离以外的地方存放。大批供应品（例如文具等）不应存放于特殊安全区域内；第52条 应当控制外来人员对公共办公区域的访问，一般来说，非本公司人员必须要在主要出入口处填写来访人员登记表，并且在显眼处佩戴本公司发出的来宾卡，由Sinosoft员工陪同。外来人员访问三级含三级以上

23、区域需签署参观保密协议；第53条 本公司工作人员都必须在显眼处佩带胸卡，并且调离本公司时，其实际进入权也同时相应取消；第54条 任何人如需要申请使用本公司感应卡门禁，申请人必须先填写门禁权限申请表并获得管理部或其授权代表的批准；第55条 管理部应定期(每三个月)审查访问本公司的人员名单并将进出权限过期或作废的人员从名单上划掉。同时审查门禁系统控制权限分配，确保门禁权限控制正确。第56条 关键和敏感设施应当存放在与公共办公区域相对隔离的场地，并应设计且实施保护，禁止在公共办公区域处理重要的信息设施；第57条 危险或易燃物品应当摆放在离安全区域安全距离之外，机房操作员应当参见机房管理规定中的要求执

24、行值班任务。第58条 恢复设备和备份介质的存放地点应与主场地有一段安全的距离，要考虑信息设备面临的可能的安全威胁，参考业务持续性管理程序的内容制定对应的业务连续性计划，并要定期演练。第59条 人员离开安全区域时应当及时上锁。第60条 除非经过安全责任人授权，在安全区域不允许使用图象、视频、音频或其它记录设备。第61条 向本公司发送货物必须预先通知管理部或其授权代表；第62条 送货公司名称和交货时间应当在接收货物之前由监督人员确认；第63条 送货公司在进入本公司区域之前要经过工作人员鉴别确认；第64条 管理部或其授权代表应安排人员检验货物，以保证没有潜在的危害。7.2. 设备安全目标：防止资产的

25、丢失、损坏或被盗，以及对组织业务活动的干扰。第65条 设备应进行适当安置，以尽量减少不必要的对工作区域的访 问；第66条 应把处理敏感数据的信息处理设施放在适当的限制观测的位置，以减少在其使用期间信息被窥视的风险，还应保护储存设施以防止未授权访问；第67条 要求专门保护的部件要予以隔离，以降低所要求的总体保护等级；第68条 应采取控制措施以减小潜在的物理威胁的风险，例如偷窃、火灾、爆炸、烟雾、水（或供水故障）、尘埃、振动、化学影响、电源干扰、通信干扰、电磁辐射和故意破坏；第69条 在信息处理设施附近禁止进食、喝饮料和抽烟；第70条 对于可能对信息处理设施运行状态产生负面影响的环境条件（例如温度

26、和湿度）要予以监视；第71条 所有建筑物都应采用避雷保护，所有进入的电源和通信线路都应装配雷电保护过滤器；第72条 应保护处理敏感信息的设备，以减少信息泄露的风险；极其重要设备应部署在不同位置。第73条 计算机机房必须提供环境保障，机房建设必须遵照相关的机房建设规范进行。如中华人民共和国国家标准GB 50174电子计算机机房设计规范，必须提供：Ø 稳定的电源供给Ø 可靠的空气质量控制（温度，湿度，污染度）Ø 防火，防水，防高温，防雷第74条 应尽量减少对机房不必要的访问，在机房内工作必须遵守机房管理规定。第75条 Sinosoft各计算机机房是重要的信息处理场所，

27、必须严格执行Sinosoft有关安全保密制度和规定，并防止重要信息的泄露，保证业务数据、信息、资料的准确、安全可靠。第76条 计算机机房应列为单位重点防火部位，按照规定配备足够数量的消防器材，并定期检查更换。机房工作人员要熟悉机房消防用品的存放位置及使用方法，必须掌握防火设施的使用方法和步骤；要熟悉设备电源和照明用电以及其它电气设备总开关位置，掌握切断电源的方法和步骤。在遇到突发紧急情况时，必须以保护人身安全为首要目标。第77条 定期对机房供电线路及照明器具进行检查，防止因线路老化短路造成火灾。第78条 应当按照设备维护要求的时间间隔和规范，对设备进行维护。第79条 第三方支持和维护人员对重要

28、设备技术支持前，必须经过安全责任人的授权或审批。并且在对重要设备现场实施过程中必须有Sinosoft相关人员全程陪同，详细规定参见参观保密协议、物理访问控制管理规定。第80条 设备的安全与重用应当按规定的操作程序来处理，特别是包含重要信息的存储设备，应按照相关规定，以确定是否销毁、修理或弃用该设备。对弃置的存储有敏感信息的存储设备，必须将其销毁，或重写数据，而不能只是使用标准的删除功能进行数据删除。第81条 当员工离开时，对于载有重要信息的纸张和可移动的存储介质，应当妥善保管。第82条 远程办公人员有责任保护移动设备的安全，未经网管中心批准，不得在公共场所访问Sinosoft内部网络。第83条

29、 未经信息安全责任人授权，不允许将载有重要信息的设备、信息或软件带离工作场所。机房内设备的出入必须填写机房进出记录。第84条 敷设到本公司内各个区域的其它电缆线的保护方式如下：1、进入信息处理设施的电源和通信线路宜在地下，若可能，或 提供足够的可替换的保护；2、网络布缆要免受未授权窃听或损坏，例如，利用电缆管道或使路由避开公众区域；3、为了防止干扰，电源电缆要与通信电缆分开；4、使用清晰的可识别的电缆和设备记号，以使处理失误最小化，例如，错误网络电缆的意外配线；5、使用文件化配线列表减少失误的可能性；6、对于敏感的或关键的系统，更进一步的控制考虑应包括：1) 在检查点和终接点处安装铠装电缆管道

30、和上锁的房间或盒子；2) 使用可替换的路由选择和/或传输介质，以提供适当的安全措施；3) 使用纤维光缆；4) 使用电磁防辐射装置保护电缆；5) 对于电缆连接的未授权装置要主动实施技术清除、物理检查；6) 控制对配线盘和电缆室的访问；第85条 设备维护应按照供应商推荐的服务时间间隔和规范对设备进行维护，应遵守由保险策略所施加的所有要求；第86条 由供货商维护的设备。各种维护活动要按照合同协议或设备购买时的维护计划进行。第87条 设备管理责任部门和责任人要每年年初制订设备维护计划，设备维护计划中列明设备维护的内容、维护时间与周期、维护人员、维护费用等内容。第88条 设备维护可分为日常维护（一级维护

31、）、年度维护（二级维护）。日常维护由设备使用者在日常使用时进行，维护项目限于查看设备外观有无明显损坏、是否正常工作、是否通电正常等内；年度维护一般由供应商进行，在专业性上要求比日常维护都要强，包括一年一次或几年一次不等，年度维护侧重于设备潜在故障的及早发现和处理，年度维护后，要将维护项目、维护过程、维护人员、维护结果等内容详细记录在设备维护记录中。第89条 只有已授权的维护人员才可对设备进行修理和服务，授权人员包括本公司内部人员，也包括供应商。无论内部人员还是外部人员，都必须具备相应的能力，并遵守安装维护操作步骤和安全保护规则。第90条 在对设备进行维护时，要根据不同的维护内容及可能产生的风险

32、，考虑是由内部人员执行还是由外部人员执行，在外部人员对设备进行维护时，应实施适当的控制，需要时，敏感信息需要从设备中删除或确保维护人员对其不具有访问权限。第91条 对于由内部人员维护的设备，要依据设备供应商推荐的间隔和规范对设备进行维护。第92条 在设备维护过程中，要保存所有可疑的或实际的故障和所有预防、纠正维护的记录，这些记录包括日志、故障报告记录等。第93条 本公司原则上禁止设备移出本公司物理环境。如确因工作需要，如展会、维修等，需将本公司的服务器、交换机、路由器等信息设备移到本公司办公地点外使用，需要填写重要信息资产出司登记审批表，经过责任部门经理的批准后才能移出本公司物理环境。第94条

33、 如需要供应商将设备移出本公司物理环境进行维修时，在设备移出前，设备管理人员要将设备中敏感信息从设备中删除或确保维护人员对其不可访问或获取。第95条 离开建筑物的信息设备和移动介质在公共场所要有专人看护和保管，不允许无人值守，适当时，还要施加其它措施进行控制，例如上锁，以防止损坏、盗窃等事件发生。第96条 离开办公场所的设备的保护应考虑下列措施：1、离开建筑物的设备和介质在公共场所不应无人看管。在旅行时便携式计算机要作为手提行李携带，若可能宜伪装起来；2、制造商的设备保护说明要始终加以遵守，例如，防止暴露于强电磁场内；3、家庭工作的控制措施应根据风险评估确定，当适合时，要施加合适的控制措施，例

34、如，可上锁的存档柜、清理桌面策略、对计算机的访问控制以及与办公室的安全通信；4、足够的安全保障掩蔽物宜到位，以保护离开办公场所的设备。安全风险在不同场所可能有显著不同，例如，损坏、盗窃和截取，要考虑确定最合适的控制措施。其它信息用于家庭工作或从正常工作地点运走的信息存储和处理设备包括所有形式的个人计算机、管理设备、移动电话、智能卡、纸张及其他形式的设备。第97条 设备报废处置时，存有敏感信息的存储设备要从物理上加以销毁，或用安全方式对信息加以覆盖，而不能采用常用的标准删除功能来删除。第98条 所有带有诸如硬盘等储存媒介的设备在报废前都要对其检查，以确保其内存储的敏感信息和授权专用软件已被清除或

35、覆盖。存有敏感数据的已损坏的存储设备要对其进行风险评估，以决定是否对其销毁、修理或遗弃。第99条 为保证信息安全，必须在处理介质前擦除有关的敏感信息：1、用碎纸机销毁所有的敏感纸质记录。废纸可在碎纸后立即处置掉。 2、本公司里面不应积累过量纸质记录。所有的纸质记录都必须在处置前销毁。3、磁带和磁盘必须在处置前实际销毁和核对。4、数据存储光盘应在处置前实际销毁。第100条 凡敏感性介质的处置都必须经过主管领导的批准并记录在报废记录表留待审计时备查。第101条 设备的移动应考虑如下措施：1、在未经事先授权的情况下，不应让设备、信息或软件离开办公场所；2、明确识别有权允许信息资产移动，离开办公场所的

36、雇员、承包方人员和第三方人员；3、应设置设备移动的时间限制，并在返还时执行符合性检查；若需要并合适，要对设备作出移出记录，当返回时，要作出送回记录。第102条 应执行检测未授权信息资产移动的抽查，以检测未授权的记录装置、武器等等，防止他们进入办公场所。这样的抽查应按照相关规章制度执行。应让每个人都知道将进行抽查，并且只能在法律法规要求的适当授权下执行检查。8. Sinosoft通信和操作管理8.1. 操作程序和责任目标：确保信息处理设施的正确和安全操作 第103条 与信息处理和通信设施相关的系统活动应具备形成文件的程序，例如计算机启动和关机程序、备份、设备维护、介质处理、计算机机房、邮件处置管

37、理和物理安全等。操作流程必须形成文件、保持并对所有需要的用户可用，并只有经授权才可以修改。第104条 操作程序应详细规定执行每项工作的说明，其内容包括：1、信息处理和处置；2、备份；3、时间安排要求，包括与其他系统的相互关系、最早工作开始时间和最后工作完成期限；4、对在工作执行期间可能出现的处理差错或其它异常情况的指导，包括对使用系统实用工具的限制；5、出现不期望操作或技术困难事件时的支持性联络；6、特定输出及介质处理的指导，包括任务失败时输出的安全处置程序；7、系统失效时使用的系统重启和恢复程序；8、审核跟踪和系统日志信息的管理。第105条 要将操作程序和系统活动文件化，其变更由管理者授权。

38、技术上可行时，信息系统应使用相同的程序、工具和实用程序进行一致的管理。1、操作系统和应用软件应有严格的变更管理控制。应考虑如下内容；2、重大变更的标识和记录；3、变更的策划和测试；4、对这种变更的潜在影响的评估，包括安全影响；5、对建议变更的正式批准程序；6、向所有有关人员传达变更细节；7、返回程序，包括从不成功变更和未预料事件中退出和恢复的程序与职责。第106条 本公司确保对信息处理设施和系统的变更有适当控制，包括：1、变更前测试；2、所有变更相关信息的审计日志记录都必须保留最少一年。第107条 具体变更管理控制参见变更控制程序。第108条 批准变更请求后，行政管理部会安排其操作人员准备实施

39、变更。操作人员会在变更请求获得批准后约定的时间内实施变更，并确保不会对现有的平台造成意外的服务影响。第109条 行政管理部负责参与评审重大变更需求评审，确保变更不会造成安全影响。第110条 处理敏感信息资产时，可以考虑分离职责，如果不实施分离，则应当对处理操作予以记录，并定期进行监督。第111条 应当分离开发、测试与运营环境，敏感数据不可拷贝到测试环境中，测试完成后应当及时清理测试环境。第112条 如果因工作原因需要进行上述活动，应遵守以下做法：1、网管中心联同开发方、运行方和需求方讨论潜在的安全风险并设计防范程序；2、开发测试人员全权负责开发测试系统的管理，运行人员未经授权不得参与开发测试系

40、统的有关工作； 3、运行人员全权负责生产系统的管理，开发测试人员未经授权不得参与生产系统的有关工作；4、运行人员要密切监督生产系统，以保证开发、测试工作不会造成服务影响或安全事故；5、开发测试系统应当与生产系统分开，并清楚地标记测试周期和有关开发测试技术支持的联系方式；6、对于需要在生产环境下进行的开发测试工作，需要经过授权才能进行，并且在测试完成后，需要立即从生产环境卸载；7、如果开发人员需要访问生产与运行设施，应当向本公司相关人员申请；8、开发完成的应用项目在投入使用前，应当提交一份上线申请。 在系统进入生产环境前，确认以下操作：1) 卸载与运行无关的开发、测试相关的工具、文件与数据等；2

41、) 修改默认用户名/密码。 8.2. 第三方服务交付管理目标：实施并保持信息安全的适当水平，确保第三方交付的服务符合协议要求。第113条 应定期对第三方的服务及相关的报告、记录、交付件进行审查，审查方式包括本公司的内部审计，或聘请外面独立审计机构进行的审计。第114条 本公司对第三方服务的监督和评审应按照商定的信息安全条款执行，使信息安全事故和问题得到适当的管理。监督和评审应涉及到如下内容：1、监督服务执行效率并检查对协议的符合程度；2、评审由第三方产生的服务报告、记录、交付件，定期安排项目进展会议；3、第三方应提供如下信息内容供本公司评估：服务过程中所应用到的软硬件产品、所使用的协议、系统部

42、署及使用指南、知识产权、安全使用许可销售证明等；4、对第三方在交付服务过程中所进行的审核跟踪流程，及相关的安全事件、操作问题、故障、失误追踪和破坏的记录等进行评审；5、对服务交付过程中出现的所有问题进行识别和管理。第115条 应对第三方服务的有关变更进行管理，变更包括本公司及第三方对现有的信息安全方针策略、程序和控制措施的任何改进。要考虑变更所涉及到的业务系统及相关过程的关键程度，并对有关风险进行再评估。第116条 对第三方服务变更的管理过程需要考虑：1、 本公司实施的变更：1) 对提供的现有服务的加强；2) 任何新应用和系统的开发；3) 组织策略和程序的更改或更新；4) 解决信息安全事故和改

43、进安全的新的控制措施。2、 第三方实施的变更：1) 对网络的变更和加强；2) 新技术的使用；3) 新产品或新版本的采用；4) 新的开发工具和环境的应用；5) 服务设施物理位置的变更；6) 相关产品及服务提供商的变更。8.3. 系统策划与验收目标：最小化系统失效的风险第117条 应对系统容量进行监控，并对未来容量要求进行预测，确保充足的处理和存储能力。这些预测要考虑新业务和系统的要求，及本公司信息处理的当前状况和未来趋势。第118条 负责人员应当对主要系统资源的使用情况进行监视，包括处理器、内存、文件储存、打印机和其它输出设备及通讯系统。第119条 网管中心应当运用这些信息来识别并避免可能对系统

44、安全或服务提供构成隐患的潜在瓶颈，并事先进行适当的补救行动规划。第120条 操作员应按需监督检查主机、带宽和业务的运行情况。如：1、CPU使用率； 2、内存使用； 3、 I/O 使用； 4、 企图非法进入系统的服务器。 5、 同时应监控主路由器和交换机的以下方面： 6、 MRTG流量特征；7、 设备日志； 8、 网络设备的CPU使用率。 第121条 网管中心清楚说明新信息系统、系统升级和新版本的安全验收要求和标准，要保证所采用的升级、补丁、热修补和新的版本不会影响正常的操作过程。网管中心要监督责任部门对任何新的信息系统都要进行测试，并遵照已定的标准进行系统验收。1、 以下是本公司内的系统验收标

45、准。 1) 在新系统实施之前，要收集CPU和存储空间使用量等性能统计。要保证性能不会突然下降，否则需要启动恢复或应急计划。 2) 要对所有相关的日常操作程序进行验收，以保证在切换新系统后，能正确地恢复正常的操作。 3) 在应用任何新系统前都需要进行安全检查。检查内容包括操作系统版本、补丁等级、任何缺失的安全热修补等等。对关键系统要对网络系统和操作系统进行加固。4) 采取必要措施，以确保变更可能造成的系统停机不会影响业务的持续性。 5) 确保所有的系统变更都尽可能安排在非工作时段内，以减轻对业务的影响。 6) 确保系统变更后不会减弱本公司的整体安全性。 7) 安排必要的测试以证实符合系统验收标准

46、。 8) 应用新系统时需对操作员进行相关培训。 2、 要特别注意以下方面：1) 边界路由器/交换机：2) 通过网络监测检查网络应用是否有突然变化。 3) 检查CPU和存储器是否有剧烈变化。4) 确认防火墙的策略得到理想的执行。 5) 确保所有内外联通性良好。 6) 确保通过防火墙的应用程序如HTTP和FTP等都运行良好。3、 验收程序：新系统进入生产环境前，需要提交操作变更请求。新系统的使用者和交付者需要商讨有关操作文件事宜，内容包括：1) 系统功能和容量的测试步骤。 2) 恢复和重启步骤。 3) 操作要求，包括数据备份、计划重启和工作环境整理要求。4) 具体的安全控制要求（如果有）。 5)

47、维护备份安排以及厂商技术支持联系。 第122条 网管中心应确认操作人员在新系统上使用了商定的操作程序。8.4. 防范恶意和移动代码目标：保护软件和信息的完整性。第123条 所有服务器和个人计算机都必须激活防病毒软件，必须及时更新防病毒代码库。详细规定参见恶意软件控制程序。第124条 Sinosoft系统内的服务器和个人计算机必须使用可信来源的软件，应对软件进行病毒检测后统一保存。第125条 员工应当到网管中心指定的空间下载软件，不得私自安装软件。第126条 必须对所有的电子邮件附件进行病毒扫描，也不要随意打开来历不明的邮件附件。第127条 应当开展对一般员工的预防病毒培训。员工一旦发现或怀疑有

48、PC或服务器被病毒感染,必须马上断开网络并进行全盘扫描，必须立即通知网管中心。第128条 控制移动代码：移动代码是从一台计算机到另一台计算机之间传送的软件代码，可以在很少或无需用户干预的情况下自动执行以完成特殊的功能。移动代码和很多的中间件服务相关联。当授权使用移动代码时，其配置应确保授权的移动代码按照清晰定义的安全策略运行，应阻止执行未授权的移动代码。应考虑下列措施以防止移动代码执行未授权的活动：(一) 在逻辑上隔离的环境中执行移动代码；(二) 阻止移动代码的所有使用；(三) 阻止移动代码的接收；(四) 使技术测量措施在一个特定系统中可用，以确保管理移动代码；(五) 控制移动代码访问的可用资

49、源；(六) 使用密码控制，以唯一地对移动代码进行认证。8.5. 备份目标：保持信息和信息处理设施的完整性和可用性。第129条 信息备份按照数据备份管理规定实施。第130条 管理员应当对重要的应用系统、操作系统、配置文件及日志等制订备份策略，并要定期对备份数据进行测试。如果是涉密信息，必须对备份信息实施加密。第131条 所有员工要定期对个人电脑上的重要数据进行备份，以减少不必要的损失。第132条 备份应当存储在与主设备有足够距离的地点，该地点应安全可靠，应同主设备场地使用同等的安全等级。第133条 备份数据的恢复能力应满足本公司的业务持续计划(BCP)。8.6. 网络安全管理目标：确保网络中的信

50、息和支持性基础设施得到保护。第134条 应当对重要的线路、网络设备采用冗余措施，以维持关键服务的可用性。第135条 网络管理员应当参照网络安全管理规定对网络和网络服务进行充分的管理和控制，并采用网管工具对通讯线路、网络设备、网络流量进行实时的监控和预警。第136条 处理敏感信息的计算机应当与Sinosoft局域网物理隔离，应当采用适当的加密技术。第137条 密码必须间隔一定的周期定期修改。如果某个密码被泄露，必须及时修改口令。本公司要定期全面更换密码。第138条 凡允许远程登录连接的网络设备都要实施严格的登录控制。这种远程连接路径的登录与退出都必须经过远程登入本公司的网关的许可。否则在不允许使

51、用远程登入连接的情况下只能从控制台登入。第139条 生产环境中的所有网络设备上的默认用户名和密码必须尽可能地全部清除。所有新创建的用户名和密码必须以不易被破解的方式设置。第140条 出于安全原因一般不允许合同方或第三方远程登录，如确实需要远程登录时，必须先得到网管中心的批准。每次登录都要进行系统登录验证。第141条 本公司内部网络中所有网络设备和服务器都要隔离在外部网络防火墙后面。第142条 网管中心监测网络设备，监控网络的可用性。第143条 以下设计方法保证网络服务安全性：1、所有允许互联网用户访问的内部系统，必须置于防火墙后；2、非本公司管理网络，如需要对本公司网络或系统进行访问，必须经过

52、网管中心审核、网管中心同意才可访问；3、使用VLAN按照功能分开不同内部系统，需要时候使用ACL；4、防火墙策略默认为禁止；5、网络设备及主机中的网管关键字要取消“Public”、“Private”的默认设置，网管关键字的字符长度应当在8位以上。8.7. 介质处理目标：防止对资产的未授权泄露、修改、移动或损坏，及对业务活动的的干扰。第144条 应当妥善记录移动介质。不得将载有Sinosoft重要信息的存储介质随意存放，未经安全责任人授权，不得带出办公地点。第145条 如果介质上的内容不再需要，应当立即清除。对于备份或存放有重要信息或软件的存储介质，在销毁时，应当进行格式化或重写数据，避免不必要

53、的泄露。第146条 存放业务应用系统及重要信息的介质，严禁外借，确因工作需要，须报请部门领导批准。第147条 对需要长期保存的介质，必须在介质老化前进行转储，以防止因介质失效造成损失。第148条 应限制只有系统管理员才可访问系统文档。应对Sinosoft的所有信息数据分类标识，建立信息处置、存储、分发的规程。第149条 本公司的可移动介质必须按照以下规定严格处理：1、符合“信息资产管理”策略的要求；2、适当分类、贴标贴并保持可移动介质的保存位置的准确记录；3、严格控制在办公环境和生产环境中使用可移动介质，具体办法请参见介质管理程序。第150条 为保证信息安全，本公司必须在处理介质前擦除有关的敏

54、感信息，包括如下：1、用碎纸机销毁所有的敏感纸质记录。废纸可在碎纸后立即处置掉；2、本公司里面不得积累过量纸质记录。所有的纸质记录都必须在处置前销毁；3、磁带、磁盘和光学贮存介质必须在处置前进行物理销毁，并由专人进行监督和核对。第151条 凡敏感性介质的处置都必须经过管理者的批准，并记录在“报废记录表”留待审计时备查。具体办法请参见介质管理程序。8.8. 信息交换目标：应保持组织内部或组织与外部组织之间交换信息和软件的安全。第152条 其它组织和本公司之间交换信息时要遵照信息交换管理规定执行。应考虑如下控制：1、 设计用来防止交换信息遭受截取、复制、修改、错误寻址和破坏的程序；2、 检测和防止可能通过使用电子通信传输的恶意代码的程序；3、 保护以附件形式传输的敏感电子信息的程序；4、 简述电子通信设施可接受使用的策略或指南；5、 无线通信使用的程序，要考虑所涉及的特定风险；6、 雇员、承包方人员和所有第三方人员不危害组织的职责，例如诽谤、扰乱、扮演、连锁信寄送、未授权购买等；7、 密码技术的使用，例如保护信息的保密性、完整性和真实性；8、 所有业务通信（包括消息）