网络通信信息安全总体策略20111215new.doc-道客多多

资源描述

1、网络通信信息安全总体策略前言为确保公司业务网络通信信息安全，建立完善规范的信息安全体系，特制定彩维码信息安全总体策略，以指导公司有序开展网络信息安全相关工作。总则1. 为确保公司网络通信信息安全，保证信息安全意识和保护措施贯穿于信息系统生命周期的各个阶段，为公司网络信息系统的安全管理工作建立科学的参照体系，使信息安全工作在统一体系和整体框架的指导下，各个环节有效配合，充分发挥信息安全工作的效果，特制定本标准。2. 安全策略体系是信息安全体系的核心，为整个信息安全体系提供指导和支持。公司通过在组织内发布和落实安全策略来保证对信息安全的承诺与支持。3. 本标准提出了公司网络通信信息安全的总体策略，

2、是公司网络安全策略体系的总体说明，为公司开展内网信息安全相关工作提供依据，指导公司的安全建设、管理和运营工作有序开展。4. 公司的所有员工必须遵守本标准的规定，并依据本标准加强对外部组织的管理，如由于未遵循本标准导致出现安全问题，由相关部门和责任人员负责。安全管理组织结构和管理制度安全管理组织结构1. 公司网络信息安全实行统一领导、分级管理、专业分工负责的原则。2. 公司网络信息安全组织包括领导机构和工作组织。领导机构是公司级别的信息安全常设组织，全面负责公司的信息安全工作，该机构由公司级别主管领导负责，各相关部门领导组成，是公司网络信息安全管理的决策机构。工作组织是公司各部门建立的专职或兼职

3、的安全队伍，从事具体的安全工作。3. 公司网络信息安全领导机构应为公司的安全管理指明方向，并提供强有力的管理层支持。安全领导机构应通过合理的承诺和充分的资源配置，来推进整个公司的信息安全工作。安全领导机构承担以下工作：（一）审查并批准公司的信息与网络安全策略；（二）分配安全管理总体职责；（三）在网络信息系统相关资产暴露重大威胁时，监督控制可能发生的重大变化；（四）对安全管理的重大更改事项（例如：组织机构调整、关键人事变动、信息系统更改等）进行决策；（五）指挥、协调、督促并审查重大安全事件的处理。4. 公司网络信息安全工作组织为解决安全工作中出现的问题，防止相互推诿，提高工作效率，应建

4、立跨部门的协调机制，具体协调机构应由各部门从事安全工作的相关人员组成，并明确牵头部门及人员。安全工作组织承担以下工作：（一）制定相关的安全岗位及职责；（二）制定并落实相关安全管理制度；（三）制定并落实安全保护方案；（四）审批新系统或服务的规划及设计中的安全部分，并监督其实施落实；（五）审批业务连续性方案；（六）牵头处理信息与网络安全事件；（七）组织安全评估和安全审计工作；（八）辅助领导机构进行安全方面的决策；（九）完成部门间的协调工作，分派并落实某项具体工作中各部门的职责；（十）获取和发布安全信息；（十一）完成领导机构下达的各项任务。责任分配1. 公司网络信息安全责任分配

5、的基本原则是“谁主管，谁负责”。2. 公司必须明确“所有人”和“维护人”的工作职责；“所有人”由公司根据资产归属特别指定，承担着资产安全的最终责任；“维护人”的工作职责由“所有人”制定，并接受“所有人”的定期检查；当“所有人”和“维护人”为部门时，由部门领导实际负责。3. 在资产责任制度中，可对资产所有人、资产维护人等的职责和权利作如下细化：（一）所有人是负责管理信息与网络资产并落实相应安全措施的个人或部门，职责和权限包括：所有信息与网络资产都必须指定所有人。所有人及其领导负责进行风险分析，根据信息保密标准分类确定、鉴别并记录其所拥有的信息与网络资产的安全级别。该级别至少每年评审一次。所

6、有人必须贯彻、落实恰当的安全控制措施，确保只有在工作必须的情况下才能使用相关资产。所有人可以为其负责的资产指派维护人，或自己担当此任。所有人可基于工作需要分配访问权，并与维护人共同负责保证信息与网络资产的可用性。所有人必须至少每六个月审查一次其资产的访问权限。评审流程必须记录在案，并保留到下一次审查结束之前。（二）维护人是支持并维护信息系统相关资产的人员，职责和权限包括：维护人可以根据所保管资产的保密类别来确定相应实物资产的安全管理流程，包括物理保护及程序性保护，以确保信息与网络资产所有人所要求的机密性、完整性和可用性。所有人应确保适当的安全措施到位，并可以适度向下委派。如若需要，可

7、以确定备用联络人。维护人必须保留所有人的名单。维护人必须通知所有人其所应承担的安全职责。未经所有人许可，维护人不得重新划分信息的类别。4. 公司网络信息安全组织的职责是指导、监督、管理、考核“所有人”的安全工作，不能替代“所有人”对具体信息与网络资产进行安全保护。公司网络信息安全相关工作应遵循职责分离的原则，以减少误用或滥用权力带来风险的概率，在无法实现职责充分分离的情况下，应采取其他补偿控制措施并制定流程文档记录在案。5. 公司网络信息安全组织应加强与国家安全机关、行业监管部门、其他运营商和信息服务提供商等外部组织的联系，并建立协作流程，确保在出现安全事件时，尽快获取信息、采取措施。信息

8、安全工作组织相关人员职责1. 公司网络信息安全工作组织相关部门一般分为信息系统管理部门、信息系统应用部门和信息系统服务支撑部门。通常情况下各级信息化归口管理部门为信息系统管理部门；凡是操作、使用信息系统的单位为信息系统应用部门；具体负责对信息系统进行技术支持服务的部门为信息系统服务支撑部门，部分小型管理支撑系统可以采用自用自维模式。2. 公司网络信息安全工作组织相关人员角色包括但不限于：网络管理员、数据库系统管理员、操作系统管理员、业务系统管理员、资产管理员：网络管理员安全职责负责防病毒管理、防火墙系统管理、入侵检测管理、安全漏洞扫描管理等；参与网络系统安全策略、计划和事件处理程序的

9、制定；承担网络安全事件的处理；参与网络安全建设和运营方案的制定；负责网络设备操作系统升级、补丁；负责网络日常监控、优化和安全加固；负责网络设备操作系统和配置数据备份。数据库管理员安全职责参与数据库系统安全策略、计划和事件处理程序的制定；承担数据库系统安全事件的处理；负责数据库系统升级、补丁和和安全加固；负责数据库系统的日常安全监控、配置和数据备份；负责数据库系统权限和口令管理。操作系统管理员安全职责参与操作系统系统安全策略、计划和事件处理程序的制定；承担操作系统系统安全事件的处理；负责操作系统系统的升级、补丁和安全加固；负责操作系统的日常安全监控和操作系统和文件系统

10、的备份；负责操作系统权限和口令管理。业务系统管理员的安全职责参与应用系统安全策略、计划和事件处理程序的制定；承担应用系统安全事件的处理；负责应用系统的安全加固；负责应用系统的日常安全监控和数据备份；负责应用系统帐号权限和口令管理；负责应用系统在操作系统和数据库中帐号及该帐号下数据安全。资产管理员的安全职责按照资产存放环境要求存放相关物资和资料；根据信息资产的分类分级标识的要求进行资产、资料的标识；根据资产的信息安全等级进行物资的入库、出库、销毁，资料的保管、借阅、销毁；资产管理员应特别加强以下内容的安全管理：系统备份、数据备份载体及相应文档管理；业务数据、经营数据、运行

11、数据的载体及相应文档的管理；软件资料管理（包括软件开发的源代码、软件设计说明书、使用说明书、许可证等）；硬件随机文档；系统设计方案、工程施工过程文档、系统运行维护文档、招投标过程文档；其它文档管理（包括各种规章制度、收发文、工作日志归档、设备清单、合同）等。3. 数据库管理员负责制订和维护数据库结构、索引、参考完整性限制以及安全管理，公司必须采取严格控制措施加强管理，避免对内网信息安全产生影响：每个数据库都必须指定数据库管理员，负责系统管理并遵从安全管理。数据库管理员必须使用独立于其个人应用、登录账户或者数据库应用登录账户以外的账户（适用于需要单次登录数据库的应用）执行特定的数据库管理功能

12、，从而避免偶然对数据进行非法修改。专用数据库管理员账户不得在其职责范围以外使用，只应用于管理数据库所必需的工作。数据库管理员负责与数据所有人以及数据库保管人合作制定、编制以及测试备份和灾难恢复计划。数据库管理员不得修改数据库内数据的保密级别。数据库管理员负责与数据所有人一起制订用于控制数据访问的安全控制措施，并且负责保证数据的所有访问活动都由数据所有人批准。数据库管理员必须保证所有数据库都能得到正确维护，必须为数据库账户的激活、锁定以及无效数据库帐号的删除制订适当的管理程序。不再需要的访问权限或者不再属于中国联通的个人数据库账号必须立即禁用，并在三个月内永久删除。必须建立不同级别

13、的用户访问权限授予和撤消的归档制度，以便控制数据库的访问授权。所有用于数据库管理员的管理账户都开启审计日志，以便接受审核。4. 数据所有人负责管理控制特定数据的访问权限和安全相关问题。公司必须明确数据所有关系，对数据所有人的职责和权限加强管理：数据所有人可以是一个数据库内所有数据的所有人、数据库内特定表格的所有人、单个元素（字段）的所有人或者上述三项的任意组合。数据所有人也可以将自己负责的数据所有权授予其他人，但此授权并不能免除数据所有人对数据的责任。所有数据都必须明确指定所有人且有书面记录。所有人是指那些对指定数据库的数据内容的负责人员。数据所有人必须指定并记录数据所有关系的变更计划

14、。该计划必须确定在当前数据所有人无法承担相应职责时，哪些个人或部门将成为数据所有人。数据所有人负责进行风险分析，对数据库内的数据，根据信息保密等级分类确定、鉴别并记录合适的安全级别。数据所有人负责根据可用性、完整性、机密性同其他应用系统的数据交换，记录数据库的业务要求和安全要求，并分析数据丢失和不可用对企业运营造成的影响。数据所有人负责批准需要访问其负责的数据库或者部分数据库的人员的权限。数据所有人同应用所有人和数据库管理员一样，必须按照安全级别每6个月审查数据的访问权限。数据所有人以及数据库管理员负责依据中国联通数据备份和保留策略制订数据库备份和保留需求。数据所有人同应用开发人员

15、、数据库管理员以及数据库保管人员一起制订、维护并测试灾难恢复计划。_信息的获取与发布公司必须建立有效可靠的合作渠道，以及时获得必要的安全信息，密切跟踪信息技术的发展，不断改进安全工作：应从内部选择经验丰富的安全管理和技术人员，组成内部专家组，制定安全解决方案，参与安全事件处理，解决实际安全问题，提供预防性建议等。为保证工作效率和成果，内部专家组可直接向公司管理层报告。应与设备提供商、安全服务商等外部安全专家保持紧密联系，及时得到相关的安全建议。应从专业出版物、定期公告等公开的信息渠道获取安全信息。资产安全管理制度公司应根据资产分类建立严格的资产责任制度，以有效保护信息系统相关资产。与信息

16、系统相关的资产类型包括：信息资产：数据库和数据文件、合同和协议、系统文件、研究信息、用户手册、培训材料、操作或支持程序、业务连续性计划、后备运行安排、审计记录、归档的信息；软件资产：应用软件、系统软件、开发工具和实用程序；物理资产：计算机设备、通信设备、可移动介质和其他设备；服务资产：计算和通信服务、通用公用事业；人员资产：人员的资格、技能和经验；无形资产：如组织的声誉和形象。资产清单有助于确保资产得到有效保护，同时也有助于实现其他商业目的，公司各部门应编制并保留各自责任范围内的各信息系统的重要资产清单，明确每件资产的所有人、安全保护级别及当前位置，公司安全工作组织应汇总、保留全公

17、司完整的资产清单。公司必须依据资产清单中资产的相对价值确定各项资产的安全保护等级，尤其要根据该资产所在系统的服务对象、所处地点、承载业务等方面的不同确定安全保护级别，并采取适当的安全保护措施。公司必须建立完备的网络信息安全资产责任制度，包括：公司必须为信息系统相关资产建立详细清单，并维护其准确性与完整性。具体可以按照信息与网络资产所属系统或所在部门列出，并给出诸如资产名称、所处位置、资产所有人、资产分类及重要性级别等相关信息。公司应根据资产的相对价值大小来确定其重要性，即根据资产受威胁所产生的实际影响和其本身的价值来综合评价。 “谁主管，谁负责”。任何对信息系统相关资产的变更、访问必须在

18、获得资产所有人的批准后进行。维护人应根据与资产所有人达成一致的维护要求，保证所维护信息与网络资产的机密性、完整性和可用性。定期对信息系统相关资产进行清查盘点，确保资产帐物相符和完好无损。未经管理人员批准，任何人都不得将公司资产用于私人目的，公司有权对有意误用者进行纪律惩戒。信息系统相关资产必须经过信息安全工作组织进行安全等级确认，在确认之前不得将资产暴露于与确认的安全等级无关的人员。基础物质条件安全物理环境和物质财产的安全公司应根据不同的安全保护需要，划分不同的安全区域，明确不同等级的安全管理要求；并根据安全评估的结果，通过建立安全区域并实施相应的控制和隔离措施，对信息系统进行全面的物

19、理保护。安全区域的访问权应被定期审查和更新。公司应实施以下措施对安全区域进行物理保护：重要的信息与网络处理设施应置于有效封闭的场所。建筑物应不引人注目，并尽量减少其用途的标示。建筑物内外不应设置明显的表明信息处理活动的标志。办公设备应放置在合适的安全区域内，避免无关人员接触，减少信息泄漏的可能。无人值守时，建筑物的门窗应保持关闭，底层窗户应考虑设置外部防护。应按照专业标准安装并定期测试防盗入侵检测系统、防火探测警报系统、电视监视系统等安全设施。未被使用区域的告警装置也应开启。公司管理的信息与网络处理设施应与第三方管理的设备实现物理分离。记录重要信息与网络处理设施所在位置等信息的

20、通信录和内部电话簿应严格保密。危险或易燃物品应安全存放，与安全区域保持一定的安全距离。一般情况下，在安全区域内不得存放大量的、短期内不使用的材料和物品。使用的材料和物品。公司应根据不同安全区域的特点制订安全区域工作规章制度，对在安全区域内工作的人员及被授权进入安全区域的其他人员加强管理。无论内部员工还是第三方人员，只有经过授权的人员才可以进入安全区域。安全区域的访问者应办理出入手续并接受监督或检查，应记录其进入和离开的日期和时间。访问者的访问目的必须经过批准，并只允许访问经授权的目标。访问者应被告知该区域的安全要求及有关应急程序。重要的安全区域应仅限于授权人员访问，并使用身份识别技术（例如门

21、禁卡、个人识别码等）对所有访问活动进行授权和验证。所有访问活动的审计跟踪记录应被安全地保管。所有内部员工都应佩戴明显的、可视的身份识别证明，并应主动向那些无公司员工陪伴的陌生人和未佩戴可视标志的人员提出质疑。设备安全公司应提出设备维护的基本要求并遵照执行，规范地维护设备，保护设备的可用性和完整性。公司应根据工作区域外设备（包括带离工作区域的信息处理设备和固定在公共区域的设备）的安全风险，制订相应的保护措施，应至少达到工作区域内相同用途设备的安全保护级别。对于工作区域外设备保护措施制定应遵守如下指导原则：无论设备所有权归属，任何在工作区域外使用信息处理设备的行为，都应经过管理层授权许可；在公

22、共场所使用的公司设备和存储介质均不得无人看管；始终严格遵守设备制造商有关设备保护的要求；通过风险评估确定家庭办公的控制措施；采用合适的物理防护装置；加强监控，定期巡检。在对信息处理设备处置或重用时，公司应在风险评估的基础上，实施审批手续，决定信息处理设备的处置方法（销毁、报废或利旧），并采取适当的方法将其内存储的敏感信息与授权软件清除。存储介质的安全公司应制定有效管理可移动存储介质管理办法，包括移动硬盘、磁带、磁盘、卡带以及纸质文件等。公司应制定存储介质的安全处置流程，规定不同类型介质的处置方法、审批程序和处置记录等安全要求，处置方法应与信息分级相一致，以便有效保护敏感信息，避免非法泄

23、露或者误用。人员安全职责描述与考察岗位职责与人员考察, 岗位描述中应明确包含安全职责，并形成正式文件记录在案，安全描述应包括落实安全策略的常规职责和保护具体资产或执行具体安全程序及活动的特定职责。在首次聘用、内部转岗、职位晋升等情况下，公司应进行人员考察。公司应明确员工的雇用条件和考察评价的方法与程序，减少因雇用不当而产生的安全风险。员工的个人情况变化会影响其工作，可能会导致欺诈、盗窃、差错或者其他安全问题。管理层应关注此情况，并遵照相关制度予以处置。关于涉密人员的管理与考察参照国家相关规定执行。劳动合同与保密协议劳动合同中应包含网络与信息安全条款，明确规定员工的安全责任和违约罚则。这些责任可

24、延伸至公司场所以外和正常工作时间以外。必要时，这些责任应在雇用结束后延续至一个特定的时间。对于重要岗位或者涉及企业秘密的岗位要签订员工保密协议，保密协议应明确规定员工承担的公司信息安全责任、保密要求和违约责任。临时人员及第三方用户在获得信息与网络资产的访问权限之前应签署保密协议。在劳动合同出现变化时应对保密协议的内容和执行情况进行审查，特别是当员工离开公司或者合同终止时。员工的安全培训所有员工必须接受安全教育或培训，内容包括：公司信息与网络安全策略、安全职责、安全管理规章制度和法律法规等。不同岗位的员工必须接受符合其工作要求的必要的专业技能培训，使其意识到信息安全威胁及利害关系，确保用户支持和

25、遵守公司的安全策略。公司必须采取相应措施加强管理，对依据商业合同关系为公司提供各种服务的第三方人员进行适当的安全教育或培训，防止对公司信息安全产生不利影响。公司应对客户进行必要的培训和教育，以使他们了解并认可公司的安全策略和控制措施，提高他们的安全意识和防范能力。通信与操作安全操作流程与职责为确保信息与网络处理设施的正确和安全使用，公司应建立所有信息与网络处理设施管理与操作的流程和职责，包括制定操作细则和事件响应流程，并落实责任的分工。公司应根据本标准制订相关的流程细则、系统配置和操作指南，并随时更新，形成正式文件，履行审批手续，其修改应获得相关管理人员的授权。信息系统的任何变更必须受到严格控

26、制，包括但不限于：网络结构、安全策略、系统参数的调整、硬件的增减与更换、软件版本与补丁的变更、处理流程的改变。任何变更必须经过授权，记录在案，并接受测试。为避免操作环境的变化影响应用系统，操作和应用的变更控制程序应尽可能相互衔接。公司应建立安全事件管理责任和流程，对安全事件准确识别、判断，建立快速的事件通报制度，确保迅速、有效的安全事件响应。为防止开发、测试活动对在用系统造成安全威胁，公司应采取措施保证开发、测试环境与在用系统的有效隔离，杜绝开发、测试环境对在用系统造成的破坏或非授权访问风险。系统规划、建设与验收为保证系统拥有充足的可用性，降低系统超载、故障等风险，公司必须做好系统容量与资源的

27、监视规划。管理人员应通过容量监控得到的信息，分析可能对系统安全或用户服务构成威胁的潜在瓶颈，并采取合适的补偿措施。系统规划应考虑现有发展情况和预测趋势，以及新的业务和系统需求，并留有一定的余量，以保证业务发展对系统容量与资源的需要。系统设计在满足业务功能的同时，必须从软硬件、网络结构、业务逻辑、应急恢复等多方面考虑系统的安全性。在业务系统的规划、建设、运行阶段必须同步考虑配套安全系统，以避免安全漏洞。公司必须建立信息系统基础设施的审批制度，严把入网关。审批工作应有安全机构人员参加，并对安全方面的严重问题拥有一票否决权。公司应建立入网设备清单并定期维护，对新型号设备应组织测试，并执行相应的审批流

28、程。在新建或扩容设备入网运行时，必须做好安全方面的验收测试工作，如查找已知漏洞等。公司所有员工在使用个人信息处理设备处理企业信息时，采取的安全控制措施必须经过审批。新建的网络与信息处理设施必须符合相应的安全管理规定，并满足相应的安全技术要求。公司必须通过技术手段，对系统的安全性进行测试，验证达到要求的安全水平。公司应制定相应的建设标准和规范，并严格过程管理，确保系统建设的过程和结果都满足公司相应的安全策略和管理规定。在新建系统、系统扩容、软硬件升级验收之前，制定相应的验收标准。验收要求和标准应能够被清楚定义、记录和测试，并获得各方一致同意。只有测试合格的系统方可验收。根据实际情况，可以引入第三

29、方权威机构的测评认证，辅助公司进行安全验收。恶意软件防护为确保信息与网络安全，公司应从安全意识、合理的系统访问和变更管理控制这三个方面出发，加强用户教育，强化防范意识，并采取积极有效的检测和预防控制措施，以减少恶意软件（如病毒、蠕虫、木马等）感染带来的风险（如设备损坏、数据丢失、系统崩溃或秘密泄露等）。应采取的控制措施包括：制定软件使用策略，遵守软件许可协议，禁止使用非法软件；对通过外部网络或任何其他非可信介质获取的文件、软件，公司应制定相关的防护策略，并采取必要的防护措施；安装并定期更新防病毒软件和补丁程序；定期检查支持关键业务系统的软件和数据，发现任何未经批准授权的文件或修改，都应

30、进行正式调查；系统在正式投入使用之前，应对系统进行彻底的扫描检查，确保系统中不含有恶意软件；在投入使用之前，应检查所有来源不明或来源非法的存储介质上的文件或通过不可靠网络接收的文件，以避免含有恶意软件；在投入使用之前，应检查所有电子邮件的附件及下载内容是否含有恶意软件，该检查可在不同的地点和不同的时间进行；控制用户可访问的范围，监控异常情况。例如：进行URL 限制，关注异常流量等；制定用户安全教育和培训、恶意软件防护、恶意软件攻击通报以及系统恢复的管理流程，落实相关责任；制定业务连续性方案，包括所有必要的数据、软件备份及系统恢复工作安排；建立恶意软件防护及预警通告体系，确保准确、

31、详实、及时地通告相关风险信息。公司内网所有计算机必须安装统一有效的恶意软件防护软件，并保证及时更新病毒库，确保整个内网免受恶意软件的危害。软件版本与补丁管理公司应制定软件版本与补丁管理办法，并严格执行。所有安全软件（如：安全访问软件、病毒防护软件、入侵检测软件等）应尽可能选择稳定运行的发布版本，该版本不得高于厂商支持的次新版本，但病毒代码库和系统漏洞库例外。在风险分析的基础上，厂商发布的安全补丁应进行功能测试与兼容性测试，并在规定期限内投入使用。测试应确保安全服务、安全机制的完善性和有效性，并符合相关规定，确保其变化不会影响其他安全控制措施；厂商发布的安全补丁如在规定期限内无法按时投入使用，

32、资产所有人应向相关管理部门汇报不能完成的原因，采取临时措施及补偿措施计划，并得到相关管理部门的批准；所有安全软件的升级必须由变更控制流程进行控制。信息系统备份与恢复公司必须建立文档化、规范化的备份标准和流程，避免偶然或有意的风险威胁导致的数据丢失或破坏，确保备份和恢复的有效性。公司应根据系统的重要程度，制定系统的备份策略，明确备份周期和方法，并提供充足的备份基础环境设施。应采取如下控制措施：备份策略必须由所有人、维护人及设备/服务提供商等各方予以评审和更新；备份策略应包含系统和数据的名称、备份的频率和类型（全备份、增量备份等，以及备份介质类型和所用备份软件）、异地存放周期以及制定备份方案

33、的决策原则等；备份操作应尽量在不影响业务的时间段里，严格遵照备份策略执行；重要的业务系统应至少保留三个版本或三个备份周期的备份信息，备份信息应包含完整的备份记录、备份拷贝、恢复程序文档和清单；为尽快恢复故障，应在本地（主场所）保留备份信息，同时为了避免主场所的灾难所导致的破坏，还应做好异地备份；应为备份信息指定与主场所一致的物理和环境保护级别，主场所所采用的控制措施应当扩展涵盖备用场所；应尽可能地定期检查和测试备份信息，保持其可用性和完整性，并确保在规定的时间内恢复系统；应明确公司必要信息的保留时间，并确认归档拷贝的保存要求；备份介质应采用性能可靠、不易损坏的介质，如磁带、光盘等

34、，并采取防盗、防毁、防电磁干扰等措施，保障数据安全；备份介质应注明数据的来源、备份日期、恢复步骤等信息，并于安全环境保管；备份数据应做到定期全备份和增量备份。备份内容包括系统备份和数据备份两部分。系统进行升级前必须进行备份，系统配置信息在每次更新后及时备份，并根据需要保存一定时期。公司应采取措施，对信息存放在远离工作现场的安全位置的异地存储加强管理，确保在当地发生灾难时，备份信息仍然安全并且能够用于恢复：异地存储位置的访问必须受到限制，并能在需要的情况下随时访问。如果外部公司管理该位置，则必须与联通签署合同，避免损失和安全事故；异地备份介质的物理及环境保护级别必须等同于主运营场地所需的保

35、护级别；异地存储流程必须文档化，规定具体的异地运作流程。该程序至少必须包括被授权向异地发送数据的人员名单、授权召回数据的人员名单，以及被授权修改员工访问级别的人员名单；必须制定相应程序，用以审查参与异地存储的人员。这种评审必须至少每年实施一次，或在保证责任变化时予以实施；如果异地存储的数据已保存多年，相应介质必须至少每年运回测试一次，以保证数据的完整性。遵照所用介质的规定，数据应当被经常拷贝到新的磁带中，以确保数据不会丢失。如果异地存储的数据极度敏感并且用于存档目的或法律目的，这一过程的频率应当更高；必须制定相应程序，确保那些已经备份在介质上的数据，或者那些使用已被淘汰的软件、或联通不

36、再支持的软件备份的数据仍然能够利用最新技术予以恢复；必须制定相应程序，遵照数据保存法规的要求以及特定合同的要求清除不再需要的数据。信息与软件交换公司必须采取有效措施，降低信息与软件交换过程中，被非法访问、误用等风险。公司应采取有效控制措施保护信息发布的安全，避免因信息发布管理不当造成的法规冲突、敏感信息泄露、已发布信息的非法修改等问题，包括：通过合法途径获取信息，并在收集和存储时加以保护；根据信息的密级，限定信息的发布范围；信息发布系统只能用于工作需要，不得发布反动、恐怖、黄色等危害国家安全和社会稳定的信息；不得发布可能危害公司安全的信息或程序，如病毒、蠕虫以及特洛伊木马等；不得发布侵

37、犯他人隐私的敏感数据；信息发布之前，必须履行正式的审批流程；采取适当措施保护发布的信息不被非法更改，例如数字签名等；电子信息发布系统都应配备系统管理员，并采用实名制发布信息。输入到公共发布系统的信息以及由公共发布系统处理的信息应被及时、完整、准确地处理；公共发布系统不允许无目的地接入该系统连接的网络；公司应制定电子邮件使用规定，降低因不恰当使用邮件引起的信息泄露、携带恶意软件、易受攻击等安全风险：电子邮件应符合信息资产保密要求，必要时使用加密技术保护电子邮件内容的机密性和完整性；除非采取额外的控制措施（例如数字签名或可记录的人工确认等），电子邮件不得用于处理不可否认信息（例如：合

38、同审批）。可疑的、来源不明的、无法被验证的电子邮件应交相关管理部门处理，不得随意打开和传播；使用防病毒系统、入侵检测、漏洞扫描等安全技术手段，保护电子邮件系统及终端免受恶意攻击；规范员工使用电子邮件的行为，不得进行与工作无关或损害公司利益的活动；保存可作为证据的相关电子邮件内容，以便用于可能的举证需要；限制用户邮箱的总容量，限制邮件传输容量；网络应能控制用户登录入邮件系统次数，应对所有用户的访问进行审计，如果多次输入口令不正确，则认为是非法用户的入侵，应给出报警信息；建立口令管理制度，做到口令专管专用、定期更改，失密后立即报告，系统管理员在应用户要求并且确认用户个人信息的情况下，

39、可以修改用户口令，离职员工在离职日起必须对其持有的公司内部员工邮件帐号进行删除；如果确认某个帐号的活动已经威胁到整个系统的安全，应立即禁用此帐号，并第一时间通知用户；帐号口令的设置原则遵循本标准第十章第三节内容；禁止匿名发送邮件。公司应分析自动办公系统存在的安全风险，找到其薄弱环节，采取相应的控制措施，确保内网自动办公系统的安全：明确信息共享的要求，并采取有效的控制措施进行管理；例如电子公告栏；如果系统无法提供充分的安全保护，则不得处理敏感的企业信息；另外，应规定不得使用电子办公系统的特殊情况；明确规定系统的使用人员（包括内部员工和第三方）和权限，保证使用人员能且仅能访问到被授权的

40、信息；定期检查帐户的状态，并进行清除工作；定期备份，保障业务连续性。公司在开展电子商务活动时，必须明确各交易环节或过程的安全要求，如信息发布、身份鉴别、授权、竞标、订单处理、数据核对、结算等。公司必须明确电子商务过程中各方的权利、义务与责任，并在交易前声明相关条款。公司应签订协议规范交易行为，并采用相关安全技术、管理控制措施保护电子商务安全，采取控制措施包括：采用经过批准的、统一的网络架构；敏感商业交易的数据必须予以加密；创建并保留所有交易的日志；系统在投入使用前必须进行严格测试；重大版本更新时必须重新全面测试；定期进行渗透测试；制定并执行完善的业务连续性计划。公司应通过签订

41、有关协议保护组织间信息与软件交换的安全，包括交由第三方保管的软件。协议内容应说明所涉及信息与软件的保密级别和相关要求。协议应包含如下内容：控制、通知、传送、分发和接收的管理职责；通知发送者传送、分发和接收的程序；包装和传送的最低技术标准；鉴别发送方和传递者的标准；数据丢失情况下的责任和义务；采用双方一致同意的标签制度来标记敏感信息或关键信息，确保标签含义容易理解，以便信息能够得到有效保护；信息和软件的所有权、数据保护责任、遵守软件版权规定等；复制、读取信息及软件的技术标准；保护敏感信息所必需的特殊控制措施，如密钥等。公司应明确规定通过各种形式（语音、传真、图像、视频等）交换信

42、息时的安全要求，提高员工的安全意识，有效防范信息泄露带来的风险，包括：当电话存在被偷听或窃听的可能时，不应谈论敏感信息；不应在公共场合或开放的办公室以及墙壁较薄的会议场所谈论保密内容；不应在应答设备上留下信息，以防被未经授权的人员获取；正确使用传真机，避免错误拨号或使用存储的错误号码误发信息；有效保护信息处理设备，防止非法访问或有意设置的恶意陷阱。例如，故意修改存储号码、非法读取内存消息等。网络安全管理公司应全面、系统地考虑整个网络的安全控制措施，并紧密协调，一致实施，以便优化公司运营；明确规定有关网络的规划、实施、运作、更改和监控的安全技术要求，对网络安全状态进行持续监控，保存有关

43、错误、故障和补救措施的记录。任何人员不得在网络上发布有损公司利益的信息和文件，不得利用公司网络访问反动、色情、暴力网站等网站，不得进行P2P、在线电影、下载或传送与工作无关文件等占用大量带宽的操作。网络结构管理网络整体的拓扑结构需进行严格的规划、设计和管理，一经确定，不能轻易更改；如因业务需要，确需对网络的整体拓扑结构进行调整和改变，需按照相应的运维管理规程上报；对重要网段要进行重点保护，要使用防火墙等安全设备以及VLAN 或其他访问控制方式与技术将重要网段与其它网段隔离开；网络结构要按照分层网络设计的原则来进行规划，合理清晰的层次划分和设计，可以保证网络系统骨干稳定可靠、接入安全、便

44、于扩充和管理、易于故障隔离和排除；由系统管理员进行临时授权帐号的开放和记录，严格限制通过超级用户的远程登录。对于需要远程接入进行服务支撑的情况，应提供专门的数据连接通道并通过认证授权；严禁盗用他人IP 地址、用户名及密码；不得擅自进入未经许可的信息系统或利用网络设备、软件技术更改或者盗用其他单位的网络信息；严禁非网络管理员修改任何网络设备的技术参数；核心网络设备必须有备份设备，采取热备方式，骨干链路应有备份路由，重要的服务器设备应安装两块网卡，分别连接到两台骨干网络设备上。网络管理员在新的网络设备接入网络前，修改设备的默认密码，关闭路由器等网络设备中不需要开放的服务。网络互连网络按访问控制策

45、略划分不同的逻辑区域；公司内部不同业务的计算机网络之间的互连原则：1 互连点上必须实施安全措施，如安装防火墙、实施入侵检测等；2 网络之间互连点采取集中原则，并考虑安全冗余；3 网络互连点及安全设备必须纳入到网管体系的监控。公司内部计算机网络和第三方网络之间的互连原则：网络之间互连点采取集中原则，并考虑安全冗余；必须取得相关部门审批同意后方可实施；互连点上必须实施安全措施，如安装防火墙、实施入侵检测等；网络互连点及安全设备必须纳入到网管体系的监控；在公司内部计算机网络内必须设置接口机或代理服务器，用于与第三方网络连接，禁止生产用的主机、服务器与第三方网络直接连接；与第三方网络的连

46、接中，在互连点上的防火墙上应该进行IP 地址转换，保护公司内部接口机或代理服务器真实的IP 地址；在防火墙上实施策略控制，严格限制访问的地址和端口。网络审计管理网络管理员至少要每一个月对涉及网络配置的增、删、修改等操作的配置更改记录进行审计；重要的网元要有日志，系统管理员需要每天检查防火墙和IDS 设备日志，在必要时对路由器及交换机的日志进行检查（如防火墙日志发现异常时），检查违规行为；至少要每一个月对系统用户和管理员的访问权限进行审查；建立统一的时钟服务器，保证日志信息的准确性；重要资源的访问控制策略至少要每六个月审计一次；如果在上述审计和检查工作中发现有安全事故,应遵照安全

47、事故处理流程进行处理；各级内网管理部门要对所有审计和检查工作情况记录登记，并向上级上报网络运行状况报告。公司必须制定系列控制措施，确保网络中的数据安全，并保护连接服务，避免非法接入，采取的控制措施应包括：应将网络系统操作职责与业务系统操作职责分离。明确管理远程设备（包括用户侧设备）的职责和程序。重视对网络边界的安全管理。采取必要的控制措施，保护通过公共网络传输的数据的机密性和完整性。全面、系统地考虑整个网络的安全控制措施，并紧密协调，一致实施，以便优化公司运营；规定有关网络的规划、实施、运作、更改及监控的安全技术要求，对网络安全状态进行持续监控，保存相关错误信息、故障信息和补救措

48、施的记录。采用安全的通信协议和标准，对于安全机制不完整的通信协议，要增加控制措施，对传输的数据的机密性、完整性进行保护和鉴定。公司必须采取技术手段，并制定相应管理办法，防范无线网络及设备带来的安全风险，同时应加强外部网络连接的安全防护、监控和管理。用户通过无线网络访问公司内网时必须符合以下标准：必须采用经过批准的无线接入方式；必须接受身份验证；必须使用符合公司安全标准的通信终端；当传送机密或绝密信息时必须进行加密。日常安全工作公司应建立专职安全队伍从事日常的安全生产工作，制定工作计划，并严格执行。公司应对系统的访问和使用进行监控，检测违背访问控制策略的操作活动，并记录相关证据，以提高

49、控制措施的有效性，保证访问控制策略有效执行。公司应对信息系统的使用建立监控流程。监控流程应包括监控级别、监控内容、监控手段与工具、监控结果审查与措施、记录保存等方面的规定。监控级别应通过风险评估确定，公司需定期检查监控的结果，检查的频率应当视具体风险而定。为了便于对系统运行进行有效的监控，同时也便于安全事件的调查研究，信息系统操作人员（如系统管理员）必须如实记录自己的活动，按规定的保存期限保存该操作日志，并根据操作程序对其进行定期、独立地审查。操作日志应至少反映出下述信息：系统的启动和关闭时间；系统错误及所采取的纠正措施；对正确处置数据文件和信息与网络处理设备输出结果的确认；（如工单处理结果的确认回复）日志编写人员姓名等。公司应制定故障管理制度，将信息系统的故障记录在案。故障报告应包括故障起止时间、故障现象、业务影响、故障原因分析、处理过程及结果、故障恢复证据、事后的补救

展开阅读全文