安全策略v100

1、 城联数据信息安全策略 V1.0.0信息安全策略V1.0.0城联数据有限公司修订历史时间版本拟制人审核人历史记录2014.8.10V1.0.0初始版本目录1.引 言31.1文档目的31.2参考信息42.术语和定义52.1解释52.2缩写62.3词语使用73.信息安全总体策略83.1信息系统资产分类管理83.2人员信息安全管理83.3 信息系统物理和环境安全93.4 信息系统通讯与日常操作安全管理93.5 信息系统访问控制安全113.6 信息系统开发和维护安全123.7 信息系统业务连续性管理134.安全组织144.1信息安全基础组织144.1.1 信息安全管理团队144.1.2 信息安全协调1

2、54.1.3 信息安全的职责分配164.1.4 信息安全工作人员的岗位职责184.2角色分离194.3第三方访问的安全管理205.信息分类与保护235.1 信息的分级235.2 机密性的保护235.3 完整性的保护245.4 可用性的保证255.4 IT系统风险的分级265.5 文件的分类265.6 对文档的处理、控制276.人员安全管理296.1责任定义与资源管理的安全性296.1.1 工作责任中的安全因素296.1.2 人员使用策略296.2用户/员工培训316.3对安全事件和故障的处理317.物理及环境的安全管理337.1安全区域的保护337.1.1 实际安全隔离带337.1.2 安全域

3、的安全337.2设备的物理安全357.2.1 设备的物理安全357.2.2 电源、线缆的安全368.日常操作安全管理398.1操作程序及权责398.1.1操作程序及权责398.1.2 操作流程文档化398.1.3 系统变更管制408.1.4 事故管理程序418.1.5 委托服务管理428.2安全事件响应428.3存储管理448.3.1资料备份448.3.2操作日志458.3.3故障日志459.访问控制479.1访问控制的原则与角色479.1.1 访问控制的原则479.1.2 访问控制角色的分配489.1.3 访问控制角色的审核489.2用户的访问控制499.2.1 用户的身份认证和授权机制49

4、9.2.2 密码规范及管理509.2.3安全管理员的控制519.2.4 特权管理529.2.5 无人职守的用户设备539.3开放操作系统的访问控制549.3.1 系统的访问控制549.3.2 终端登录程序559.3.3 存取警告569.3.4 用户识别和身份鉴别579.3.5 口令管理系统589.3.6 认证机制任务控制589.4应用系统的访问控制609.4.1 信息系统的访问限制609.4.2 敏感系统隔离619.4.3 认证机制任务控制619.4.4授权访问629.5计算机的访问控制639.5.1生产主机的访问控制639.6安全检测系统的访问和使用649.7安装和维护的安全659.8系统时

5、间6610.业务连续性管理6710.1业务持续性计划6710.2业务持续性管理6810.3备份及恢复6910.3.1 备份及恢复控制6910.3.2 远程安全存储位置6910.3.3 灾难恢复计划701.引 言1.1 文档目的本文档制定了关于公司的信息安全策略，作为公司信息安全的基本标准，是公司所有安全行为的指导方针，同时也是公司建立完整的安全管理体系最根本的基础。建立本信息安全策略的目的概括如下：l 在公司内部建立一套通用的、行之有效的安全机制；l 在公司的员工中树立起安全责任感；l 在公司中增强信息资产可用性、完整性和保密性；l 在公司中提高全体员工的信息安全意识和信息安全知识水平。1.2

6、 参考信息l Information Technology - Code of Practice for information security management (ISO 17799)l 涉密计算机系统口令字使用管理指南l 中华人民共和国档案法l 中华人民共和国国家标准GB 50174-93 电子计算机机房设计规范l 城联数据有限公司IT信息管理制度2.术语和定义2.1 解释信息安全是指保护信息资产免受多种安全威胁，保证业务连续性，将安全事件造成的损失降至最小，同时最大限度地获得投资回报和商业机遇。可用性确保经过授权的用户在需要时可以访问信息并使用相关信息资产。保密性确保信息只被授权的

7、访问。完整性保护信息和处理过程的准确和完整。信息安全策略正确使用和管理IT信息资源并保护这些资源使得它们拥有更好的保密性、完整性、可用性的策略。风险评估评估信息安全漏洞对信息处理设备带来的威胁和影响及其发生的可能性。风险管理以可以接受的成本，确认、控制、排除可能影响信息系统的安全风险或将其带来的危害最小化的过程。计算机机房装有计算机主机、服务器和相关设备的，除了安装和维护的情况外，不允许人员在里边工作的专用房间。员工公司内工作的干部、职工、雇佣的临时工。用户被授权能进入IT系统的人员。信息资产与信息系统相关联的信息、信息的处理设备和服务。信息资产责任人是指对某项信息资产安全负责的员工。合作单位

8、是指与公司有业务往来的单位，包括承包商、服务提供商、设备厂商、外包服务商、贸易伙伴等。安全事件利用信息系统的安全漏洞，对信息资产的保密性、完整性和可用性造成危害的事件。故障是指信息的处理、传输设备运行出现意外障碍，以至影响信息系统正常运转的事件。2.2 缩写城联城联数据有限公司ITInformation Technology2.3 词语使用必须表示强制性的要求。应当好的做法所要达到的要求，条件允许就要实施。可以表示希望达到的要求。3.信息安全总体策略信息安全总体策略是城联信息安全行为的指导方针，也是建立完整的安全管理体系和技术体系的最根本基础。安全总体策略的实施在公司内部建立起一套行之有效的安

9、全机制，增强信息资产的可用性、完整性和保密性，在员工中树立起安全责任感并提高信息安全意识和信息安全知识水平。我们已制定了一套完整的针对公司的信息安全策略（详细内容见安全策略文档），概括包括以下几个方面的要求：公司信息系统安全管理工作采取统一管理、分级负责的方式，由决策层、管理层和执行层组成。各部门之间必须紧密配合共同进行安全系统的维护和建设，进行信息安全风险评估工作，并对安全规定进行复审。3.1信息系统资产分类管理对系统资产进行分类管理，包括建立资产目录、信息分类、制定和执行资产处理的各项规章制度等。所有公司的信息资产应该及时更新，明确每项信息资产及其责任人和安全分类，对重要的资料档案要妥善保

10、管，保证能够随时使用。3.2人员信息安全管理1) 人员信息安全管理原则员工必须遵守公司制定并下发的保密规定，做好员工录用和岗位变更时相应的权限变更。2) 员工安全意识培养各部门采用已制定的企业信息安全策略、标准对不同类型的员工进行信息安全培训，培养员工安全意识，确保员工在信息安全程序中具备正确态度，使员工意识到信息安全的必要性。3) 安全事件和故障处理建立一个员工报告安全事件和故障的沟通渠道，并制定书面的安全事件和故障的报告流程。对于违反公司信息安全策略并造成严重后果的员工，应当根据相关规定给予处罚。3.3 信息系统物理和环境安全必须明确划分安全区域并配备充足的安全设备，如门禁系统、摄像监视等

11、，所有可以进出安全区域的大门必须能防止未经授权的进出。机房必须遵守公司计算机机房的有关规则，按照设备维护要求的时间间隔和规范，对设备进行维护，有效防止资产流失、受损或毁坏以及业务活动中断。3.4 信息系统通讯与日常操作安全管理1) 操作程序和责任对于日常维护工作必须按照规定的系统操作流程进行，建立信息处理设备和信息系统变更管理流程，保留主机、网络及业务系统的有关信息的审计日志，必须分离开发设备与业务设备的环境。2) 系统规划与验收安全准则系统规划和验收流程必须考虑实现安全控制和业务连续性的要求。对于处理和存储重要信息的信息系统，在系统验收前应当完成设计审核、缺陷分析及安全测试。3) 恶意软件控

12、制所有在网的服务器和个人计算机都应当强行激活防病毒软件，并强行定期升级防病毒软件。不直接使用外来存储介质，使用可信来源的软件。4) 内务管理系统管理员必须执行统一的备份策略，必须把备份和恢复过程记录下来；恢复流程必须定期检查和测试以确保能有效地在规定时间内进行数据的恢复，应定期进行灾难备份、恢复的演习，以备在非常时刻这些灾难备份能起作用；应当通过管理工具实时监控数据库的运行情况和资源使用情况。5) 网络安全管理对网络进行实时监控和预警，对重要的线路、设备采用冗余措施，维持关键服务的可用性。6) 存储介质处理与安全不得将载有公司重要信息的存储介质随意存放或带出办公地点；及时删除介质上不再需要的内

13、容；妥善保存存储介质。7) 信息和软件交换公司计算机软、硬件资源仅用于公司各项业务管理，禁止滥用；使用电子邮件的用户有义务在登录电子邮件系统前检查病毒；所有内部的邮件分发列表只能由系统管理员来维护；公司保留对员工电子邮件的审查权利。3.5 信息系统访问控制安全1) 访问控制的业务要求必须明确规定每个用户或用户组的访问控制规则权限。2) 用户访问管理对于用户注册、权限管理、口令管理都加以约束，防止对信息系统的非法访问。3) 用户责任当用户离开计算机时，必须关机或激活设置有口令保护的屏幕保护程序或返回登录界面；重要计算机必须启用计算机的开机口令进行保护。4) 系统维护人员责任系统维护人员应当保证信

14、息系统日常运行维护的安全，监控系统的运行情况。及时发现信息系统安全隐患并采取适当措施进行防护和补救。3.6 信息系统开发和维护安全1) 应用系统安全需求安全需求必须在系统开发的需求分析阶段进行确认，并集成到系统设计规范书、招标规范书和外包合同书之中；应用开发人员必须进行安全规划，实施适当的安全措施，对系统进行评测和控制，以满足安全需求。2) 应用系统设计安全针对数据安全实施：输入输出数据验证、数据加密、数字签名、不可否认服务、密钥管理。3) 开发过程安全。必须分开生产环境和非生产环境；应当保护和控制测试数据。4) 应用系统变更的技术评审操作系统软件或配置的变更必须经过检查和测试；必须有补丁管理

15、流程；配置手册必须随着操作系统软件或配置的改变而更新。3.7 信息系统业务连续性管理1) 业务连续管理流程原则必须建立全局性的灾难恢复计划，信息资产的所有者必须按照自己的信息系统所对应的业务流程建立相应的业务连续性计划。这些计划必须和全局性的灾难恢复计划以及突发事件管理计划相配合。2) 测试和保证必须对业务连续性计划框架进行定期检查和测试，并记录测试的结果，并对灾难恢复计划和业务连续性计划进行优化。4.安全组织4.1 信息安全基础组织4.1.1 信息安全管理团队管理组织内部的信息安全。信息安全是管理团队各成员共同承担的一种工作责任。因此，要建立一个信息安全管理团队来确保对信息安全工作进行指导和

16、管理。该团队有权利通过适当的授权和合理的资源分配来推动公司内部的安全建设。主要参考点：1. 信息安全管理团队负责公司的信息系统安全工作。2. 信息安全管理团队主要行使的职能：a) 审查并批准信息安全政策和总体职责。b) 指定与信息安全有关的长远规划、建设。c) 根据国家信息安全的有关法律、法规、制度和规范，结合公司的实际，批准公司信息安全方面的规章制度、实施细则、安全目标岗位责任制。d) 监视信息资产威胁出现的重大变化。e) 检查并监控安全事故。f) 批准加强信息安全的重大举措。g) 任命本级和所属安全机构的负责人，以及各类安全工作人员。h) 定期向最高领导层汇报信息安全工作情况，求得最高层对

17、信息安全工作的支持。i) 审核批准安全年报、安全教育计划和教育培训计划。4. 信息安全管理团队决策的主要内容：a) 审核系统安全管理人员的各种安全报告，并做出相关的决定。b) 决定信息系统和信息的安全等级。c) 决定信息系统是否要采取安全措施。d) 做新的信息安全风险评测，决定是否增加安全措施。e) 批准系统安全管理人员草拟或修改的各种安全策略手册。f) 审定并公布信息安全规章制度。g) 仲裁信息安全事故的责任。4.1.2 信息安全协调在公司内部，要建立一个由各个部门代表组成的跨功能部门的信息安全协调委员会来协调信息安全的实施。主要参考点：该机构职能：1. 批准公司内信息安全方面的人事安排和职

18、责分配；2. 批准信息安全的具体方法和过程，如风险评估、安全分类体系等；3. 批准并支持公司内信息安全方面的提议，如制定安全意识计划等；4. 确保安全成为信息基础设施计划的一部分；5. 针对新系统或服务，评估其在信息安全方面的充分性并协调其实施；6. 检查信息安全事故；7. 在全公司范围内明确推动信息安全工作的支持。4.1.3 信息安全的职责分配明确规定保护信息资产和执行具体安全过程的责任。主要参考点：1. 信息安全政策应当明确公司内安全人事和职责分配方面的具体指导原则。a) 人员审查的原则。对担当信息安全的工作人员，在录用前必须进行审查。b) 人员培训的原则。对从事信息安全的工作人员应进行上

19、岗前的培训，掌握基本的技能。培训内容包括：法律法规、职业道德、技术、业务、各种操作规程、信息安全方面出现新问题的对策等。c) 持证上岗的原则。信息安全管理是一项非常重要的工作，要求工作人员具有较高的政治素质和业务水平，因此各类安全工作人员必须经过的培训，严格考核，才能上岗。d) 人员考核的原则。对从事信息安全工作的各类人员要从思想作风、工作态度、遵守规章制度、业务能力等方面定期进行考核。e) 签订保密协议的原则。f) 经常换岗的原则。任何人都不能在一个与信息安全有关的工作岗位上工作事件太长，工作岗位应经常轮换。g) 权力分散的原则。在信息安全工作中，有的工作不能由一个人担任，权力的分散便于相互

20、制约。h) 权力最小的原则。安全工作人员活动所涉及的范围，应是受到限制，而且应限制在最小（权限）范围之内，不能越权访问。i) 人员离岗的原则。因工作需要或因不适合做信息安全管理工作，调离岗位，必须由领导找其谈话，要求履行保密协议，承诺保密事项，并交出有关的资料、证件。2. 拥有特定的物理、信息资产的部门应承担安全责任，并明确制定持续运营计划。3. 任命一名信息安全负责人，负责开发、实施、支持信息安全管理。4. 为每项信息资产都指定一个责任人，负责信息资产的日常安全。5. 信息资产的责任人可将安全职责委托给各部经理或服务提供方，但他对资产的安全仍负有最终的责任，并要求能确认授权没有被滥用或误用。

21、6. 对各经理所负责的安全范围进行界定，要做到如下几点：a) 和各系统有关的资产和安全程序要加以清楚地标示和定义；b) 负责各资产和安全程序的经理人的任命要经过批准，其职责要记录在案；c) 授权级别要清晰定义并记录在案。4.1.4 信息安全工作人员的岗位职责明确规定主要信息安全工作岗位的职责。主要参考点：1. 信息安全员主要负责信息网络系统的信息安全和保密信息的管理。2. 系统安全员主要负责信息网络操作系统及服务器操作系统的安全及管理。3. 网络安全员主要负责信息网络系统的安全保密工作。4. 设备安全员主要负责对专用计算机安全保密设备（防火墙、加密机等）的管理、使用和维护。5. 数据库安全员主

22、要负责数据库管理系统的安全及维护管理工作。6. 数据安全员主要负责信息网络中运行数据的安全。7. 防病毒安全员主要负责信息网络系统的计算机病毒的防护工作。8. 机房安全员主要负责计算机机房的安全与管理。9. 警卫保安员主要负责计算机机房周边环境良好有序，保障机房安全。10. 防火安全员主要负责对工作人员的防火教育和机房火灾的预防工作。4.2 角色分离为了把滥用特权的风险和可能性降至最低，要对有必要的职能和任务进行分割。那些能躲避安全措施和审计的任务和职能，还有能使员工获得过多有利条件的任务和职能，必须进行分割。结合公司现状及安全相互约束性考虑，明确互斥、不兼容的职能角色必须分离。主要参考点：1

23、. 生产操作人员必须与开发人员分离。2. 软件开发人员必须与测试人员分离。3. 生产操作人员必须与审查人员分离。4. 系统使用人员必须与系统维护人员分离。5. 授权人员与权限复核人员分离。4.3 第三方访问的安全管理维护第三方访问的组织信息处理设施和信息资产的安全性。明确第三方的风险，确定安全要求。要严格控制第三方对组织的信息处理设备的使用。主要参考点：1. 第三方访问是指非本单位的人员对信息系统的访问。第三方至少包含如下人员：a) 硬件及软件技术支持、维护人员；b) 项目现场实施人员；c) 其他政府职能部门的检查人员；d) 清洁人员、送餐人员、保安以及其它外包的支持服务人员；2. 第三方的访

24、问类型包括物理访问和逻辑访问。a) 物理访问：重点考虑安全要求较高区域的访问，包括计算机机房、重要办公区域等；b) 逻辑访问：l 操作系统l 应用系统l 网络系统3. 第三方进行访问之前必须经过被访问系统的责任人的审核批准，包括物理访问的区域和逻辑访问的权限；4. 第三方的现场实施过程中必须有公司公司系统的人员陪同；5. 所有的访问必须进行真实的记录，记录中必须至少包括日期、进入及离开时间、第三方人员（签名）、本单位陪同人员（签名）、批准人（签名）、访问事由等信息。6. 对于第三方的项目实施过程，必须在合同中明确规定人员的安全责任，必要时需要签署保密协议。7. 机房内严禁未经许可的人员进入。如

25、需进入，必须由本单位有关人员陪同。5.信息分类与保护5.1 信息的分级主要的信息需要按照机密性、完整性和可用性来进行级别划分，确定其相应保护力度。主要参考点：1. 机密性将分为高、中、低。2. 完整性将分为高、中、低。3. 可用性将分为高、中、低。4. 信息的分级必须由各个部门的主管、IS安全咨询公司和部门的安全管理员共同完成。5. 信息分级的过程中，应该规定出每个级别的信息应采取保护、控制的方法。5.2 机密性的保护信息的机密性必须根据信息的级别进行相应的保护。主要参考点：高保密性1. 必须受公司认证和控制的逻辑访问控制系统保护。2. 如在物理或逻辑访问控制系统的控制范围之外，必须加密。3.

26、 数据在网上必须进行加密传输。4. 采用“端对端”的加密算法。5. 数据只能在同一级别安全保护级别、可信赖的系统之间传输。 6. 应该将数据加密存储在没有联入网络的存储设备上。7. 授权访问。8. 信息的释放必须进行记录和单独地审计评估。中级机密性1. 必须接受逻辑访问控制系统保护。 2. 如在物理或逻辑访问控制系统的控制范围之外，必须加密。3. 当在网上进行传输时，必须加密。低机密性1. 必须接受逻辑访问控制系统保护。5.3 完整性的保护必须根据信息的完整性级别来保证其相应的完整性。主要参考点：高完整性1. 必须接受由公司认证和控制的逻辑访问控制系统提供的保护。2. 应当数字签名。3. 通过

27、数字签名、逻辑访问控制或物理访问控制方法，防止保护的信息被非法进行创建、修改、删除、替代或拷贝。 4. 对信息做任何修改时，必须进行记录。记录内容必须包括时间、改变的种类、人员的责任和认证。5. 任何非法破坏或非授权修改的企图都必须要自动记录下来。中级完整性1. 通过实施数字签名、逻辑访问控制或物理访问控制方法，防止受保护的信息被非法创建、修改、删除、替代或拷贝。 2. 对信息做任何修改时，必须进行记录。记录内容必须包括时间、改变的种类、人员的责任和认证。3. 任何非法破坏或非授权修改的企图都必须被自动记录下来。低完整性1. 应用加密技术、身份认证技术、逻辑访问控制或物理访问控制等技术，防止对

28、信息进行非法的创建、修改、删除、替代或复制等操作。5.4 可用性的保证信息的可用性是确保其恢复、执行和使用性。主要参考点：高可用性1. 系统必须采用冗余技术。例如： 提供冗余电源和备份电源 路由（物理链路）的冗余 在线的存储备份（例如：RAID） 容错的体系结构（系统的容错性） 设备的稳定性 远程管理和故障恢复能力2. 级别协议和灾难恢复计划必须经公司管理者同意。3. 级别协议和灾难恢复计划必须被监视和有规律地回顾。5.4 IT系统风险的分级所有系统在进行需求分析时，都要通过风险分析来定义各自的级别。主要参考点：1. 在分级过程中要确定系统的自然属性及控制的紧迫性。2. 根据信息的安全级别，系

29、统将分成三个级别：高保密、重要的、基本的。比如高保密指信息的高机密性、完整性和可用性。3. 高保密级别必须根据数据的安全性和控制要求规范。.4. 其他所有系统的分类则根据信息安全策略、相关的信息安全标准和系统在业务流中实际的用途。5.5 文件的分类对所有敏感文件必须都进行标记，保证其得到正确的控制和处理。主要参考点：1. 当丢失、泄露或修改时会对公司造成重大损失的数据标上高机密性标签。2. 当丢失、泄露会对公司产生有限的损失的数据定为机密性。3. 不会在公司网外出现的数据，标上“只在内部网使用”标签。4. 属于个人信息的数据，我们打上“私有”标签。5. 其他数据不用标识。6. 对信息的错误分级

30、不仅降低了对其安全控制管理的力度，而且还分散了对敏感数据的关注。7. 为了避免多余的控制工作，信息应该重新分级。8. 数据级别的降低必须由管理者认证并且记录操作的过程。5.6 对文档的处理、控制根据标签来处理、控制文档。主要参考点：高机密性1. 没有公司相应管理者的授权，不能被外部人员看到。2. 必须充分地密封。3. 没有管理者的允许不能进行拷贝或传播。4. 没有确保媒介的安全性不能通过电子方式传播。5. 必须安全地存储。6. 当员工离开或角色改变时，必须能及时地注销其原来拥有的权限。机密性1. 没有公司相应的管理者的授权，不能被外部人员看到。2. 没有管理者的允许不能进行拷贝或传播。3. 没

31、有确保传输介质的安全性不能通过电子方式传播。4. 应该安全地存储。5. 当员工离开或角色改变时，必须能及时地注销其原来拥有的权限。只在内部网使用/私有1. 没有公司相应的管理者的授权，不能被外部人员看到。2. 必须遵守个人数据保密法。 6.人员安全管理6.1 责任定义与资源管理的安全性6.1.1 工作责任中的安全因素对潜在的待聘员工应加以仔细充分的筛选，特别是从事敏感工作的员工。主要参考点：1. 在工作定义中恰当标明安全角色，阐明安全任务和职责，并进行备案。2. 阐明实施和维护安全策略的总体责任，以及保护特殊资产、执行特殊特别安全程序或活动的责任。6.1.2 人员使用策略安全的权责应当在对员工

32、进行聘用的阶段就开始实施，还应包括在合同中，并在以后员工的聘用期内时时进行监督。所有使用信息处理设备的员工或第三方都要签署保密或不泄密协议。主要参考点：1. 对于涉及到可以访问信息处理设备的人员，特别是那些处理敏感信息的个人，必须对该人员进行资格审查。2. 雇员在受雇时，应和其签署保密协议。在雇佣合同或条款发生变动时，特别是员工要离开单位或其合同到期时，要对保密协议进行审订。3. 员工守则阐明雇员在信息安全方面的职责。这些职责即使在雇佣关系结束后也应保持一定的有效期。其中应当包括员工违反安全规定时应采取的措施。4. 承包商、顾问或其他合作单位访问系统必须签署正式的合同。5. 在工作定义中恰当标

33、明安全角色和责任。6. 员工守则阐明雇员在信息安全方面的职责。这些职责即使在雇佣关系结束后也应保持一定的有效期。其中应当包括员工违反安全规定时应采取的措施。7. 承包商、顾问或其他合作单位访问系统必须签署正式的合同。a) 正式的合同必须包括以下内容：l 同意遵守相关的策略和标准，特别是信息安全策略和信息安全标准。l 对公司或个人的安全控制进行独立的审查。l 明确保密协议或声明，避免任何潜在的利益冲突。l 在合同终止时，应明确资产的分配和特权的部署及所有权。b) 服务协议、合同必须包括对共享信息的所有关系、机密性和完整性的责任，对保护信息的分级：高机密性或高完整性。6.2 用户/员工培训应对员工

34、进行安全步骤和正确使用信息处理设备的培训，将可能的安全风险降到最低。主要参考点：1. 管理员有责任提高职员遵守信息安全策略和信息安全规范的安全意识。2. 所有职员，以及在必要情况下涉及的第三方用户，都应定期接受安全政策和流程方面的教育和培训。3. 将信息安全培训加入员工培训中，培训材料应包括下列内容：l 信息安全意识l 信息安全需求l 相关法律责任l 公司信息安全策略l 公司信息安全规章制度6.3 对安全事件和故障的处理将影响安全的事故通过适当的管理渠道尽快汇报。各种类型的安全事故（安全破坏行为、威胁、弱点或故障）对资产的安全都会产生影响，所有雇员和承包商都应了解报告各个类型安全事故的方法步骤

35、。他们应尽快将观察到的或可疑的事件报告给事先指定的联系人。应建立正式的处分条例，处罚那些进行违反安全活动的雇员。主要参考点：1. 安全事故报告发现安全事故后，应立即通过适当管理渠道报告，并建立报告软件故障的程序步骤。2. 安全漏洞报告对于觉察或怀疑存在的安全漏洞，信息服务的使用者要及时记录，并把这些漏洞报告给管理人员或直接尽快报告给服务提供商。3. 软件故障报告建立并遵守软件功能异常报告流程。4. 建立对事故或功能障碍的类型、级别和损失程度进行量化、监督的机制。5. 纪律检查程序建立正式的违规处置流程，通过正式违规处置流程来处理违反安全策略和流程的员工。7.物理及环境的安全管理7.1 安全区域

36、的保护7.1.1 实际安全隔离带应该将关键或敏感的商业信息处理设备放在安全的地方，使用相应的安全防护设备和准入控制手段以及有明确标志的安全隔离带进行保护。应使这些设备免受未经授权的访问、损害或干扰。 主要参考点：1. 建立几个实际的防护设备，提供物理保护。每个防护设备都划分出一个安全区，提高整体的保护效果。2. 会议室及其他公共地带应该与安全区隔离。7.1.2 安全域的安全根据所确定的风险的具体情况，提供相应的保护。对纸张、介质和信息处理设备建议采取桌面清空和屏幕清空策略，降低对纸张、介质和信息处理设备进行未经授权访问所带来的风险和损害。主要参考点：1. 确定各种物理危害的级别和范围，确保高风

37、险区有高级别的保护措施。2. 信息安全区应当有适当的保护措施及访问控制措施（采取适当出入管理，对安全区的物理访问进行登记；不经批准，任何人员不得出入信息安全区）。a) 访问者的详细资料应该记录在访问者日志中，对于允许进入的人员应发给通行证件，严格控制通行证件的发放并对发出的证件进行完整的登记，并确保收回通行证件。b) 访问者日志至少应被保留三十天以上备查。c) 访问者不得在无人监督的情况下单独留在安全控制区域注：访问者定义为那些平时不被允许进入安全控制地带但因为需要而获准进入这些地带的人员。访问者应当遵守访问规则，如联络人员、订约者等就应被授予临时的、受限的访问权限。d) 所有的信息处理设备如

38、服务器、中型机、大型机、通信设备等必须放置在物理上保证安全的设备室并只能由被授权的人员接触。e) 本地各级管理部门应制定出管理职员访问各种特殊设备的制度，原则上要求职员若无特别需要则没有接触这些设备的权限。f) 特定区域的安全应该遵循风险管理执行小组的指导。g) 对安全区的物理访问进行授权应当由特定的人员或安全小组执行。3. 在物理安全区域内的办公室、房间和设备在安全设计时要对其安全进行考虑（包含一整套匹配的环境来减少火灾，洪水等自然灾害可能带来的损失）。4. 在选择安全设备时要考虑安全设备在防火、防水等应急使用时对信息设备的损坏（如在机房架设防火的喷淋系统）。5. 会议室及其他公共地带应该与

39、安全区隔离。6. 制定额外的信息安全区内工作守则，加强已采取物理保护措施的安全区的安全。7. 安全区应配备可靠的闭路电视监控系统并在入口处明显标示出该地点为安全控制地带。8. 对运输和装卸区进行安全控制，未经授权人员严禁进入。9. 物理安全设计的强度和管理应定期讨论检查以提高其有效性。7.2 设备的物理安全7.2.1 设备的物理安全保证设备从物理上免受安全威胁或环境上的破坏。要降低对数据进行未经授权访问的风险并免受损失或损坏，必须对设备（包括不在现场使用的设备）进行保护。还需要考虑设备的位置和选址问题。可能需要特殊的控制措施来保护免遭危险或非法访问。主要参考点：1. 注重设备安放地的选址与保护

40、，在构建设备的物理环境时，一定要参照设备的说明书，或咨询风险管理小组。2. 所有的属于公司的信息处理设备都必须作明显的标记并指明属于哪个部门，并记录在设备清单中，由专门的信息处理设备管理员维护。3. 依据制造商的指示或规定的流程对设备进行维护。4. 所有的媒体介质，如磁盘、磁带等的运送中要运用恰当的容器并适当的按照其中装载信息的种类分类的方法进行。5. 所有的信息处理设备在报废处理和再使用前必须进行清理，并根据适当的分类有选择地进行处理和再使用。6. 在办公区域以外使用任何信息处理设备进行信息处理都要经单位领导批准（信息处理设备包括任何家庭用的或从单位带出的各种形式的个人电脑、手持电脑、移动电

41、话、纸张或表格等）。7.2.2 电源、线缆的安全需要特殊的控制措施来保护免遭危险或非法访问，并保护辅助设施，例如电源和电缆等基础设施。主要参考点：1. 保证设备的正常供电（供电要符合设备制造商对供电的规定和要求）。2. 保护供电和通讯传输线路，避免中断和受损。3. 电缆、接线盒等设备的使用必须有物理性的限制。4. 依据制造商的指示或规定的流程对设备进行维护。8.日常操作安全管理8.1 操作程序及权责 8.1.1操作程序及权责 建立公司网络系统中所有信息处理设备及其相关活动的管理和操作的权责以及及流程，确保员工能够正确、安全地操作信息处理设备和进行相关的活动。主要参考点：1. 对于系统的所有操作

42、，要做到程序化，应明确制定各个设备或相关活动的操作程序。2. 要对进行操作的部门和人员的操作权责进行定义划分；8.1.2 操作流程文档化对于操作流程应以正式文档的方式颁布和执行，应把操作流程看作正式的文件，其变更需要经过管理人员的批准。流程应包括具体的实施指令，同时对操作流程进行记录和保存主要参考点：1. 制定信息的加工和处理操作流程。2. 规定系统操作的时间要求以及明确和其它系统的相互依存关系。3. 操作流程中应明确指出关于处理工作过程当中出现的错误或其它特殊条件的指示，包括对系统设备的使用限制等。4. 操作流程应提供当出现预料之外的操作或技术困难时寻求支持的方式。5. 操作流程文档中应包括

43、特别输出处理指示，包括对错误输出的安全处理。6. 明确系统重新启动和恢复时的操作流程7. 操作流程中要明确要紧记录的信息或活动，以及记录的方式和存贮的位置。8.1.3 系统变更管制公司要对信息处理设施和系统方面的变化进行管理和控制，从而减少或避免由于对信息处理设备和系统管制的不充分而引起系统的安全隐患。主要参考点：1. 公司要对系统的有关变更活动制定规范的管理流程。2. 要对系统变更的潜在影响进行事前的评估。3. 对于所作的变更要有比较明晰的变更方案。4. 对提议的变更申请和变更方案要有正式的审批流程。5. 对重大变更的辨别和记录6. 要把变更的细节通知给所有的相关人员7. 制定追究放弃变更或

44、失败变更恢复责任的流程8.1.4 事故管理程序公司的要建立事故管理责任流程制度，确保安全事故发生后能做出快速、有效、有序的反应。主要参考点：1. 设立公司的事故管理流程，使其涵盖所有潜在的安全事故类型，包括信息系统瘫痪和服务的损失、拒绝服务、不完整或不准确的业务数据所导致的错误、泄密等。2. 事故管理流程中除包括一般的应急计划之外，还应当包括对事故原因的分析和辨认、制定并实施补救计划防止同类事故的再发生、收集审计记录和相关证据、和受到事故影响及从事求援的人员交流、向有关当局报告行动等。3. 应对事故过程和事故处理的审计记录和其他相关证据进行妥当的收集、储存和利用。4. 对纠正违反安全行为和修正

45、系统瘫痪的行动要加以仔细认真的管制。其管制流程是为了保证事故的处理能够做到防止非授权操作、可审计、快速、有序。8.1.5 委托服务管理公司在选用服务商来管理信息处理设备时要对其进行约束和控制，并对实施外包服务的设备以及数据进行筛选检查，避免发生诸如数据丢失、泄漏或毁坏等潜在的安全问题。主要参考点：1. 对公司内部的敏感或关键应用加以鉴别和区分。2. 对委托第三方服务的设备和数据应当获得产权人和负责人员的批准。3. 对敏感和关键数据、应用、设备等的外包服务应当把安全责任落实到具体的外包协议中去。4. 外包服务应纳入持续运营计划的考虑。5. 要对外包服务进行审核看其是否符合规定的安全标准和合法的程

46、序。6. 要明确外部人员的具体权责划分和对有关安全活动进行监视的流程。7. 要规定外部人员报告和处理安全事故的权责及流程。8.2 安全事件响应突发信息安全事件进行响应、处理、恢复、跟踪的方法及过程。主要参考点：1. 发现安全事故后，应立即通过适当管理渠道报告。2. 要建立正规的报告流程和事故反应流程，规定接到事故报告后应采取的行动。3. 所有员工和合同方都应熟悉安全事故报告的操作流程，并要求事故发生时尽快加以报告。4. 建立适当的反馈流程来确保这些安全事故在处理完毕之后处理结果得以反馈。5. 发生过的安全事故可用作安全培训的例子，向使用者解释会发生哪些事故，如何反应，及以后如何避免此类事件等6

47、. 安全事件响应计划必须包含的内容：a) 安全事件定义。b) 安全事件的等级划分。c) 安全事件的响应过程（确定事件的起因和症状、增强防御，进行漏洞分析，删除事件的源头），明确事件响应的事件和响应过程。d) 安全事件的恢复（修复系统，使系统正常，决定什么时候恢复操作，监控系统），确定恢复的时间间隔、恢复的过程记录。e) 对发生事件的原因、造成的危害、处理结果进行全面的记录汇总。f) 建立统一的安全事件库，对生产运行过程中发生的各类安全事件分类存档备查。8.3 存储管理8.3.1资料备份公司要对重要的商业信息和软件应进行定期备份。要有充足的备份设备来确保所有关键的业务信息和软件在发生灾难或媒体瘫

48、痪后都能得以恢复。针对单个系统的备份安排要进行定期测试，确保它们符合持续运营计划的要求。主要参考点：1. 备份信息、关于备份拷贝的准确完整的记录及恢复的流程等信息要储存在一个远离主站的地点，确保即使主站发生灾难时备份信息也能幸免遇难。对重要的业务应用软件最好应保留最少三份不同物理介质的备份信息。2. 对备份信息的物理和环境保护级别不得低于主场的保护级别标准。对主场媒体的管制措施也应延展到备份文件的保护。3. 应对备份媒体进行定期检查，确保其在紧急情况下能正常发挥作用。4. 恢复流程应定期审订测试，确保其有效性，使其在规定时间内能够完成恢复的任务。5. 重大业务信息的保留期及文档附件是否永久保存

49、等都要加以规定。8.3.2操作日志公司应对操作人员的活动或操作做日志记录，并对操作日志应按操作流程进行定期审核。主要参考点：1. 应记录和审核系统启动和关闭时间。2. 应记录和审核系统错误和所采取的修改行动。3. 应对数据文件和电脑输出的正确操作的确认进行记录和审核。4. 应对登录人员的名称进行记录和审核。8.3.3故障日志公司应当对故障及时报告并修复，并对如何处理故障报告应有明确的规定，对使用人员做出的信息处理或通讯系统的故障报告要进行日志管理。主要参考点：1. 对故障记录进行审核，确保故障已得到满意的解决。2. 对采取的维修措施进行审核，确保管制手段的正确性和采取行动的合法性。9.访问控制

50、9.1 访问控制的原则与角色9.1.1 访问控制的原则控制信息的访问。主要参考点：1. 区分必须一直坚持的规定和那些有可能选择性和有条件的规定。2. 访问控制策略的前提是除非得到明白的许可，否则必须禁止此类行为。3. 最小特权管理。4. 实体权限的时效性。要对权限及时修改；权限设置最短的时限，过时就失效5. 访问控制的可靠性。6. 存取权分离。7. 最少共享存取。8. 设计的安全性。9.1.2 访问控制角色的分配 所有对信息系统和应用程序的访问必须按照安全文档中的角色规定详细规划。主要参考点：1. 每种角色的访问权限必须有详细定义。2. 访问权限必须跟工作需要结合，而不是结合个人的身份等因素。

51、3. 角色的建立必须根据每种工作的需要认真审核。4. 每种角色必须根据角色的访问权限定义访问的文件类型和范围。5. 应根据时间和登录的机器指定用户的访问权限。9.1.3 访问控制角色的审核 所有重要系统的事件必须进行记录并至少每周进行审核，以保证系统不被非授权地访问。主要参考点：1. 所有的登录请求必须被记录，包括其用户名和进行登录的工作站。2. 所有的退出和其他方式的终止必须被记录。3. 所有非授权的请求登录使用系统资源的行为必须被记录，包括其用户名及试图登录的终端名或工作站。4. 所有的审核工作记录必须包含其日期和时间。5. 所有的系统软件及关键配置文件的修改必须经过审核，除非是不进行访问

52、控制的系统。6. 安全配置如访问控制或其他权限等的修改必须被记录。7. 安全管理员的增加、修改、删除等行为应进行审核。8. 在进行多进程处理时，如果两地时区不同，则应将当地时间和本地时间同时写入日志。9. 所有审核记录至少要保留三个月以上。10. 审核工作的记录必须能够独立地进行检查。9.2 用户的访问控制9.2.1 用户的身份认证和授权机制所有用户得到访问系统或其他资源前必须经过授权使用和身份验证的过程。建立一个证实的用户登记和解除登记的授权程序，对用访问信息系统和服务的权限进行控制。主要参考点：1. 使用唯一的用户标识符(ID)。如果使用用户组用户标识符（即一组用户共用一个用户标识符）应仅

53、准许用于适合他们执行的工作。2. 用户名和密码必须单独指定。3. 用户名和密码绝对不能被公开，所有系统的高级权限应个别指定，但是同时也应当存在公用帐号，对这些帐号要进行严格的控制和审核，并限定其权限。4. 临时职员和暂时借调到某部门的职员不得使用别人的现有帐号，而应由安全管理员为其开设临时帐号，当这些职员离开时，安全管理员应及时撤消这些临时帐号。5. 对授权访问的级别是否合适公司生产运作的目的及是否与组织安全方针相一致进行审查。6. 给各用户一份他们的访问权限的书面说明。7. 要求用户在访问权限书面说明处签名，以表明他们了解访问条件。8. 如果员工和服务代理人进行非授权访问，应按组织的惩罚规定

54、对其进行惩罚。9.2.2 密码规范及管理所有用户对系统资源的访问必须经过授权和认证，应与各个系统的安全强度一致。组织应建立一个正规的口令分配管理过程，确保口令在分配过程中的保密性。主要参考点：1. 要求用户保守口令的秘密。2. 当用户被授权访问系统和服务时，确保他们在开始时得到一个安全临时口令，然后要求他们立即更换，口令输入时不得显示在屏幕上。更改口令时应输入两次以确认更改的口令。仅当用户忘记他们的口令时，在对用户进行正确的识别后才向其提供临时口令。3. 要求以安全方式给用户提供临时口令。必须避免被第三方使用或使用无保护的口令发布机制。用户需要确认所接收的口令。4. 绝对不允许将口令以无保护的形式存储在计算机系统内。5. 口令不得少于六位字符，并且是数字和英文混合。6. 用户必须强制性地至少每三十天更换一次口令，当怀疑口令泄露时，也应当进行修改。7. 系统应能够预防用户使用易于猜测的字符串作为密码，如用户名、姓名、生日等简单信息。9.2.3安全管理员的控制安全管理员的行为必须遵循安全管理的标准模式或相关的已经证实有效的处理过程。主要参考点：1. 所有安全管理员的工作必须遵循一整套固定的流程。这套流程的正常定义应有输入、输出和处理三个部分。2. 系统和应用程序