1、 信息安全策略批准人签字 审核人签字 制订人签字变更履历序号版本编号或更改记录编号变化 状态 *简要说明(变更内容、变更位置、变更原因和变更范围)变更日期 变更人 审核人 批准人 批准日期1 1.0 C 创建,全页。*变化状态:C创建,A增加,M修改,D删除目 录1. 目的和范围 42. 术语和定义 43. 引用文件 54. 职责和权限 65. 信息安全策略 65.1. 信息系统安全组织 65.2. 资产管理 85.3. 人员信息安全管理 95.4. 物理和环境安全 .115.5. 通信和操作管理 .135.6. 信息系统访问控制 .175.7. 信息系统的获取、开发和维护安全 .205.8.
2、 信息安全事故处理 .235.9. 业务连续性管理 .245.10. 符合性要求 261 附件 .271. 目的和范围1) 本文档制定了的信息系统安全策略,作为信息安全的基本标准,是所有安全行为的指导方针,同时也是建立完整的安全管理体系最根本的基础。2) 信息安全策略是在信息安全现状调研的基础上,根据 ISO27001 的最佳实践,结合现有规章制度制定而成的信息安全方针和策略文档。本文档遵守政府制定的相关法律、法规、政策和标准。本安全策略得到领导的认可,并在公司内强制实施。3) 建立信息安全策略的目的概括如下:a) 在内部建立一套通用的、行之有效的安全机制;b) 在的员工中树立起安全责任感;c
3、) 在中增强信息资产可用性、完整性和保密性;d) 在中提高全体员工的信息安全意识和信息安全知识水平。本安全策略适用于公司全体员工,自发布之日起执行。2. 术语和定义1) 解释信息安全 是指保护信息资产免受多种安全威胁,保证业务连续性,将安全事件造成的损失降至最小,同时最大限度地获得投资回报和商业机遇。可用性 确保经过授权的用户在需要时可以访问信息并使用相关信息资产。保密性 确保只有经过授权的人才能访问信息。完整性 保护信息和信息的处理方法准确而完整。保密信息 安全规章定义的密级信息。信息安全策略 正确使用和管理 IT 信息资源并保护这些资源使得它们拥有更好的保密性、完整性、可用性的策略。风险评
4、估 评估信息安全漏洞对信息处理设备带来的威胁和影响及其发生的可能性。风险管理 以可以接受的成本,确认、控制、排除可能影响信息系统的安全风险或将其带来的危害最小化的过程。计算机机房 装有计算机主机、服务器和相关设备的,除了安装和维护的情况外,不允许人员在里边工作的专用房间。员工 在系统内工作的正式员工、雇佣的临时工作人员。用户 被授权能使用 IT 系统的人员。信息资产 与信息系统相关联的信息、信息的处理设备和服务。信息资产责任人 是指对某项信息资产安全负责的人员。合作单位 是指与有业务往来的单位,包括承包商、服务提供商、设备厂商、外包服务商、贸易伙伴等。第三方访问 指非本单位的人员对信息系统的访
5、问。IT 外包服务 是指企业战略性选择外部专业技术和服务资源,以替代内部部门和人员来承担企业 IT 系统或系统之上的业务流程的运营、维护和支持的 IT 服务。安全事件 利用信息系统的安全漏洞,对信息资产的保密性、完整性和可用性造成危害的事件。故障 是指信息的处理、传输设备运行出现意外障碍,以至影响信息系统正常运转的事件。安全审计 通过将所选类型的事件记录在服务器或工作站的安全日志中用来跟踪用户活动的过程。超时设置 用户如果超过特定的时限没有进行动作,就触发其他事件(如断开连接、锁定用户等) 。2) 词语使用必须 表示强制性的要求。应当 好的做法所要达到的要求,条件允许就要实施。可以 表示希望达
6、到的要求。3. 引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。1) ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系要求2) ISO/IEC 17799:2005 信息技术-安全技术- 信息安全管理实施细则4. 职责和权限信息安全管控委员会:负责对信息安全策略进行编写、评审,监督和检查公司全体员工执行情况。5. 信息安全策略目标:为信息安全提供管理指导和支持,并与业务要求
7、和相关的法律法规保持一致。1) 策略下发本策略必须得到管理层批准,并向所有员工和相关第三方公布传达,全体人员必须履行相关的义务,享受相应的权利,承担相关的责任。2) 策略维护本策略通过以下方式进行文档的维护工作:必须每年按照风险评估管理程序进行例行的风险评估,如遇以下情况必须及时进行风险评估:a) 发生重大安全事故b) 组织或技术基础结构发生重大变更c) 安全管理小组认为应当进行风险评估的d) 其他应当进行安全风险评估的情形风险评估之后根据需要进行安全策略条目修订,并在内公布传达。3) 策略评审每年必须参照管理评审程序执行公司管理评审。4) 适用范围适用范围是指本策略使用和涵盖的对象,包括现有
8、的业务系统、硬件资产、 软件资产、信息、通用服务、物理安全区域等。对于即将投入使用和今后规划的信息系统项目也必须参照本策略执行。5.1. 信息系统安全组织目标:在组织内部管理信息安全,保持可被外部组织访问、处理、沟通或管理的信息及信息处理设备的安全。1) 内部组织公司的管理层对信息安全承担最终责任。管理者职责参见信息安全管理手册。公司的信息系统安全管理工作采取信息安全管控委员会统一管理方式,其他相关部门配合执行。公司的内部信息安全组织包括信息安全管理小组,小组的人员组成以及相关职责参见公司信息安全组织结构图 。各个部门之间必须紧密配合共同进行信息安全系统的维护和建设。相关部门岗位的分工与责任参
9、见信息安全管理手册 。任何新的信息系统处理设施必须经过管理授权的过程。并更新至信息资产列表 。信息系统内的每个重要的资产需要明确所有者、使用人员。参见信息资产列表 。凡是涉及重要信息、机密信息(相关定义参见信息资产鉴别和分类管理办法等信息的处理,相关的工作岗位员工以及第三方都必须签署保密协议。应当与政府机构保持必要的联系共同协调信息安全相关问题。这些部门包括执法部门、消防部门、上级监管部门、电信供应商等提供公共服务的部门。应当与相关信息安全团体保持联系,以取得信息安全上必要的支持。这些团体包括外部安全咨询商、独立的安全技术专家等。信息安全管理小组每年至少进行一次信息安全风险评估工作(参照风险评
10、估和风险管理程序 ,并对安全策略进行复审。信息安全领导小组每年对风险评估结果和安全策略的修改进行审批。每年或者发生重大信息安全变化时必须参照内部审核管理程序执行公司内部审核。2) 外部组织a) 第三方访问是指非人员对信息系统的访问。第三方至少包含如下人员: 硬件及软件技术支持、维护人员; 项目现场实施人员; 外单位参观人员; 合作单位人员; 客户; 清洁人员、送餐人员、快递、保安以及其它外包的支持服务人员;b) 第三方的访问类型包括物理访问和逻辑访问。 物理访问:重点考虑安全要求较高区域的访问,包括计算机机房、重要办公区域和存放重要物品区域等; 逻辑访问:主机系统网络系统数据库系统应用系统c)
11、 第三方访问需要进行以下的风险评估后方可对访问进行授权。 被访问资产是否会损坏或者带来安全隐患; 客户是否与有商业利益冲突; 是否已经完成了相关的权限设定,对访问加以控制; 是否有过违反安全规定的记录; 是否与法律法规有冲突,是否会涉及知识产权纠纷;d) 第三方进行访问之前必须经过被访问系统的安全责任人的审核批准,包括物理访问的区域和逻辑访问的权限。 (详见办公室基础设备和工作环境控制程序 )e) 对于第三方参与的项目或提供的服务,必须在合同中明确规定人员的安全责任,必要时应当签署保密协议。f) 第三方必须遵守的信息安全策略以及第三方和外包管理规定 ,留对第三方的工作进行审核的权利。5.2.
12、资产管理目标:通过及时更新的信息资产目录对信息资产进行适当的保护。1)资产责任a)所有的信息资产必须登记入册,对于有形资产必须进行标识,同时资产信息应当及时更新。每项信息资产在登记入册及更新时必须指定信息资产的安全责任人,信息资产的安全责任人必须负责该信息资产的安全。b)所有员工和第三方都必须遵守关于信息设备安全管理的规定,以保护信息处理设备(包括移动设备和在非公共地点使用的设备)的安全。2)信息分类a) 必须明确确认每项信息资产及其责任人和安全分类,信息资产包括业务过程、硬件和设施资产、软件和系统资产、文档和数据信息资产、人员资产、服务和其他资产。 (详见信息资产列表 ) 。b) 必须建立信
13、息资产管理登记制度,至少详细记录信息资产的分类、名称、用途、资产所有者、使用人员等,便于查找和使用。信息资产应当标明适用范围。 (详见IT 设备管理规定 ) 。c) 应当在每个有形信息资产上进行标识。d) 当信息资产进行拷贝、存储、传输(如邮递、传真、电子邮件以及语音传输(包括电话、语音邮件、应答机)等)或者销毁等信息处理时,应当参照信息资产鉴别和分类管理办法或者制定妥善的处理步骤并执行。e) 对重要的资料档案要妥善保管,以防丢失泄密,其废弃的打印纸及磁介质等,应按有关规定进行处理。5.3. 人员信息安全管理目标:确保所有的员工、合同方和第三方用户了解信息安全威胁和相关事宜、明确并履行信息安全
14、责任和义务,并在日常工作中支持的信息安全方针,减少人为错误的风险,减少盗窃、滥用或设施误用的风险。1) 人员雇佣a)员工必须了解相关的信息安全责任,必须遵守职务说明书 。b)对第三方访问人员和临时性员工,必须遵守第三方和外包管理规定 。c)涉及重要信息系统管理的员工、合同方及第三方应当进行相关技术背景调查和能力考评;d)涉及重要信息系统管理的员工、合同方及第三方应在合同中明确其信息安全责任并签署保密协议;e)重要岗位的人员在录用时应做重要岗位背景调查。2) 雇佣中a)管理层必须要求所有的员工、合同方及第三方用户执行信息安全的相关规定;b)应当设定信息安全的相关奖励措施,任何违反信息安全策略的行
15、为都将收到惩戒,具体执行办法参见信息安全奖惩规定 ;c)将信息安全培训加入员工培训中,培训材料应当包括下列内容: 信息安全策略 信息安全制度 相关奖惩办法d)应当按下列群体进行不同类型的信息安全培训: 全体员工 需要遵守信息安全策略、规章制度和各项操作流程的第三方人员e)信息安全培训必须至少每年举行一次,让不同部门的人员能受到适当的信息安全培训。必须参加计算机信息安全培训的人员包括: 计算机信息系统使用单位的安全管理责任人; 重点单位或核心计算机信息系统的维护和管理人员; 其他从事计算机信息系统安全保护工作的人员; 能够接触到敏感数据或机密信息的关键用户。3) 人员信息安全管理原则a) 员工录
16、用时,人事部门或调入部门必须及时书面通知信息技术部门添加相关的口令、帐号及权限等并备案。b) 员工在岗位变动时,必须移交调出岗位的相关资料和有关文档,检查并归还在借出的重要信息。人事部门或调入部门必须及时书面通知信息技术部门修改和删除相关的口令、帐号及权限等。c) 员工在调离时必须进行信息安全检查。调离人员必须移交全部资料和有关文档,删除自己的文件、帐号,检查并归还在借出的保密信息。由人事部门书面通知信息技术部门删除相关的口令、帐号、权限等信息。d) 必须每半年进行用户帐户使用情况的评审,凡是半年及半年以上未使用的帐号经相关部门确认后删除。如有特殊情况,必须事先得到部门经理及安全责任人的批准。
17、e) 对第三方访问人员和临时性员工,也必须执行相关规定。5.4. 物理和环境安全1) 安全区域目标:防止对工作场所和信息的非法访问、破坏和干扰。a) 必须明确划分安全区域。安全区域至少包括各计算机机房、IT 部门、财务、人事等部门。所有可以进出安全区域的门必须能防止未经授权的访问,如使用控制装置、栅栏、监控和报警装备、锁等。b) 无人值守的门和窗户必须上锁,对于直接与外部相连的安全区域的窗户必须考虑窗户的外部保护;c) 安全边界的所有门均应被监视并经过检验,它和墙一起按照合适的地方、国内和国际标准建立所需的抵抗程度;他们应用故障保护方式按照局部放火规则来运行。d) 应按照地方、国内和国际标准建
18、立适当的入侵检测体系,并定期检测以覆盖所有的外部门窗;要一直对空闲区域发出警报;其他区域要提供掩护方法,例如计算机室或通信室;e) 安全区域必须配备充足的安全设备,例如热敏和烟气探测器、火警系统、灭火设备,并对设备定期检查。f) 安全区域进出控制采用合适的电子卡或磁卡,并能双向控制。g) 对安全区域的访问必须进行记录和控制,以确保只有经过授权的人员才可以访问。对机房的访问管理参见机房安全管理规定 ,其它区域可参照执行。h) 重要设备必须放在安全区域内进行保护,禁止在公共办公区域防止重要的信息处理设施;i) 应当控制外来人员对公共办公区域的访问,第三方访问规定参见第三方和外包管理规定j) 关键和
19、敏感设施应当存放在与公共办公区域相对隔离的场地,并应设计并实施保护。k) 危险或易燃物品应当摆放在离安全区域安全距离之外,机房应当参见机房安全管理规定中的要求执行值班或巡检工作任务。l) 备份介质应当和主场地有一段的安全距离,要考虑信息设备面临的可能的安全威胁,参考业务连续性管理程序的内容制定对应的业务连续性计划,并要定期演练。m) 人员离开安全区域时应当及时上锁。n) 除非经过主管部门领导授权,在安全区域不允许使用图象、视频、音频或其它记录设备。o) 外部人员访问安全区域时应当由员工陪同,并填写机房出入登记表 ,对访问时间、操作内容等加以记录。p) 出入机房的设备必须填写机房设备出入登记表
20、。2) 设备安全目标:防止资产的丢失、损坏或被盗,以及对组织业务活动的干扰。a)计算机机房必须提供环境保障,机房建设必须遵照相关的机房建设规范进行。如中华人民共和国国家标准 GB 50174电子计算机机房设计规范 ,必须提供: 稳定的电源供给 可靠的空气质量控制(温度,湿度,污染度) 防火,防水,防高温,放雷b)应尽量减少对机房不必要的访问,在机房内工作必须遵守机房安全管理规定 。c)各计算机机房是重要的信息处理场所,必须严格执行有关安全保密制度和规定,并防止重要信息的泄露,保证业务数据、信息、资料的准确、安全可靠。d)计算机机房应列为公司重点防火部位,按照规定配备足够数量的消防器材,并定期检
21、查更换。机房工作人员要熟悉机房消防用品的存放位置及使用方法,必须掌握防火设施的使用方法和步骤;要熟悉设备电源和照明用电以及其它电气设备总开关位置,掌握切断电源的方法和步骤。在遇到突发紧急情况时,必须以保护人身安全为首要目标。e)定期对机房供电线路及照明器具进行检查,防止因线路老化短路造成火灾。f)应当按照设备维护要求的时间间隔和规范,对设备进行维护。g)第三方支持和维护人员对重要设备技术支持前,必须经过安全责任人的授权或审批。并且在对重要设备现场实施过程中必须有相关人员全程陪同,详细规定参见第三方和外包管理规定 。h)设备的安全与重用应当按规定的操作程序来处理,特别是包含重要信息的存储设备,应
22、按照相关规定,以确定是否销毁、修理或弃用该设备。对弃置的存储有敏感信息的存储设备,必须将其销毁,或重写数据,而不能只是使用标准的删除功能进行数据删除。详细规定参见移动存储介质使用规定 。i)当员工离开时,对于载有重要信息的纸张和可移动的存储介质,应当妥善保管。j)远程办公人员有责任保护移动设备的安全,未经批准,不得在公共场所访问内部网络。k)未经信息安全责任人授权,不允许将载有重要信息的设备、信息或软件带离工作场所。机房内设备的出入必须填写机房出入登记表 。5.5. 通信和操作管理1) 操作程序和责任目标:确保信息处理设施的正确和安全操作 a) 对于日常维护工作必须按照规定的系统操作流程进行,
23、操作流程应当指明具体执行每个作业的说明。操作流程必须成文,并只有经授权才可以修改。b) 必须建立并执行信息处理设备和信息系统变更管理流程(具体参照变更管理流程 ) ,形成文档备案。c) 处理敏感信息资产时,可以考虑分离职责,如果不实施分离,则应当对处理操作予以记录,并定期进行监督。d) 应当分离开发、测试与运营环境,敏感数据不可拷贝到测试环境中,测试完成后应当及时清理测试环境。2) 第三方服务交付管理目标:实施并保持信息安全的适当水平,确保第三方交付的服务符合协议要求。a)应当确保第三方实施、运行并保持第三方服务交付协议中包括商定的安全布置、服务定义和交付等级。应定期审核第三方的服务提交的报告
24、和检查对协议的符合度。重要的第三方服务必须签订服务合同和第三方保密协议。b)应当在第三方服务协议中包含服务变更管理的内容。变更内容包括但不限于: 任何新应用、系统、服务的开发 对现有应用、系统、服务的更改或更新 与信息安全有关的新的控制措施 网络环境或其它新技术的使用 开发环境或物理环境的变更 供应商的变更3) 系统策划与验收目标:最小化系统失效的风险a)应为系统的性能和容量要求做预先的规划和准备,应反映对未来容量需求的推测,以减少系统过载的风险。b)应建立新信息系统、系统升级和新版本的验收准则,验收前应当完成设计审核、缺陷分析及安全测试。必须将验收标准写入到项目合同中。4) 防范恶意和移动代
25、码目标:保护软件和信息的完整性。a)所有服务器和个人计算机都必须激活防病毒软件,必须及时更新防病毒代码库。详细规定参见防病毒管理程序 。b)系统内的服务器和个人计算机必须使用可信来源的软件,应对软件进行病毒检测后统一保存。c)员工应当到指定的空间下载软件,不得私自安装授权使用软件列表之外的软件。d)必须对所有的电子邮件附件进行病毒扫描,也不要随意打开来历不明的邮件附件。e)应当开展对一般员工的预防病毒培训。员工一旦发现或怀疑有 PC 或服务器被病毒感染,必须马上断开网络并进行全盘扫描, ,必须立即通知技术部门。5) 备份目标:保持信息和信息处理设施的完整性和可用性。a)管理员应当对重要的应用系
26、统、操作系统、配置文件及日志等制订备份策略,并要定期对备份数据进行测试。如果是涉密信息,必须对备份信息实施加密。b)所有员工要定期对个人电脑上的重要数据进行备份,以减少不必要的损失。c)备份应当存储在与主设备有足够距离的地点,该地点应安全可靠,应同主设备场地使用同等的安全等级。6) 网络安全管理目标:确保网络中的信息和支持性基础设施得到保护。a)应当对重要的线路、网络设备采用冗余措施,以维持关键服务的可用性。b)网络管理员应当参照访问控制程序对网络和网络服务进行充分的管理和控制,并采用网管工具对通讯线路、网络设备、网络流量进行实时的监控和预警。c)处理敏感信息的计算机应当与局域网物理隔离,应当
27、采用适当的加密技术。7) 介质处理目标:防止对资产的未授权泄露、修改、移动或损坏,及对业务活动的的干扰。a)应当妥善记录移动介质。不得将载有重要信息的存储介质随意存放,未经安全责任人授权,不得带出办公地点。b)如果介质上的内容不再需要,应当立即清除。对于备份或存放有重要信息或软件的存储介质,在销毁时,应当进行格式化或重写数据,避免不必要的泄露。c)存放业务应用系统及重要信息的介质,严禁外借,确因工作需要,须报请部门领导批准。d)对需要长期保存的介质,必须在介质老化前进行转储,以防止因介质失效造成损失。e)应限制只有系统管理员才可访问系统文档。应对的所有信息数据分类标识,建立信息处置、存储、分发
28、的规程。8) 信息交换目标:应保持组织内部或组织与外部组织之间交换信息和软件的安全。a)应当依据信息资产鉴别和分类管理办法 、 信息安全交流控制程序 ,保护信息在发布、交换时的安全。b)员工必须遵守国家有关信息管理的法规,不得利用网络危害国家安全、泄露国家秘密,不得违反中华人民共和国现行法律和法规,不得侵犯国家社会集体的和公民的合法权益。c)敏感信息应当通过专用的线路传输。未经安全责任人授权,员工不得与外部联网的计算机信息系统传输涉及重要信息的文件。d)员工不得利用网络对他人进行侮辱、诽谤、骚扰;不得侵害他人合法权益;不得侵犯他人的名誉权,肖像权、姓名权等人身权利;不得侵犯他人的商誉、商标、版
29、权、专利、专有技术等各种知识产权。e)在通过邮政等物理传输方式传输时,应保护包含重要信息的介质的安全。f)应控制并记录允许操作业务系统的用户名单,未经安全责任人授权,不得随意变更访问限制和共享信息。9) 监视和审计目标:检测未经授权的信息处理活动。a)公司制定IT 设备设施维护管理程序 、 信息安全技术检查管理规定对信息系统活动进行监控。b)应当使用监视程序以确保用户只执行被明确授权的活动,审计内容应细化到个人而不是共享帐号。审计至少包括用户 ID、系统日志、操作记录等。c)可以实施安全产品或调整配置,以记录和审计用户活动、系统、安全产品和信息安全事件产生的日志,并按照约定的期限保留,以支持将
30、来的调查和访问控制监视。d)可以在内网中配置日志服务器,专门收集主机、网络设备、安全产品的日志,以避免日志被破坏或覆盖。e)应在网络中配置时钟服务器,被审计的信息设备应同时钟服务器的时间保持同步,以避免审计上的漏洞。5.6. 信息系统访问控制1) 访问控制的业务要求目标:控制对信息的访问。a)应当明确规定每个用户以及相应用户组在各个系统中访问控制规则与权限,每半年要评审用户和访问权限的设置,详细规定参见访问控制程序 。2) 用户访问管理目标:确保授权用户的访问,并预防信息系统的非授权访问。a)禁止用户帐号共享,普通用户不能在一个系统上拥有多个帐号,系统管理员不能在一个系统上拥有多个相同角色的帐
31、号。每个用户应当在不同的信息系统上遵循统一的命名方式且使用相同的用户帐号,统一的命名方式应当参考域(邮箱)帐号命名规则。详细规定参见公司邮箱管理办法b)所有对信息系统的访问必须遵照访问控制程序 。除非员工获得该流程规定的相关部门授权,否则不准在网络上给外单位和个人开户,也不准外单位或个人借用内部用户名和口令上网,一经查出将追究当事人责任。c)用户权限必须按照最小权限原则进行分配。d)技术人员在收到重置口令的申请时,必须验证用户的身份后方可提供一个临时的代替口令。e)要告知并强制用户遵守用户帐号及口令管理规定,用户必须对自己的帐号和口令保密,不能以任何形式向他人透露口令信息,不得以未加密的形式将
32、口令保存在文件或计算机中,在收到应用系统或软件的初始口令后必须及时更改。f)用户帐号三个月未使用的将在系统中自动失效。必须每半年进行用户使用情况的评审,凡是半年及半年以上未使用的帐号经相关部门确认后删除。如有特殊情况,必须事先得到信息安全部及安全责任人的批准并备案。3) 用户责任目标:避免未授权用户的访问,防止信息和信息处理设施的安全。a)员工和访问信息系统的第三方必须遵守用户帐号及口令管理规定的要求保证自己的用户帐号和口令的安全。要求用户不得明文保存口令,及时修改默认口令并必须选择强壮的口令,定期修改密码,不得随意共享密码。b)所有计算机应当启用计算机的开机口令进行保护。当员工离开计算机时,
33、员工必须立即锁定屏幕或退出系统,且在系统内必须设置 5 分钟自动启用有口令的屏幕保护。c)离开机房后要及时锁门,重要信息设备可以使用计算机锁等控制措施来保护其不受未授权访问。d)人员离开时,必须清理桌面上的敏感信息,打印出的文件必须及时从打印机取走。4) 网络访问控制目标:防止对网络服务的未经授权的访问。a)网络管理员必须参照访问控制程序和业务系统要求进行控制: 明确哪些用户可以访问的网络和网络服务列表 明确访问网络和网络服务的用户 实施相应的控制手段b)对于来自外部的连接,使用 VPN 连接,使用基于口令的控制系统进行控制。c)任何到网络的物理或逻辑的连接必须经过运维部的批准。d)必须明确哪
34、些人可以远程诊断和调试信息设备。给第三方开放远程维护帐号时,维护结束后必须立即收回。e)局域网网络对外出口必须使用防火墙进行保护,根据安全需要可以考虑将局域网进一步划分为独立的逻辑网络域,并各逻辑网的接口处使用防火墙保护。上述接口和出口应当同时考虑实施地址转换、防病毒和入侵检测产品等。f)未经批准,不得在公共场所访问内部网络。g)对于从正式办公地点内部发起的、目标为外部网络或计算机的所有计算机网络连接,必须通过由统一配置使用的系统进行路由。5) 操作系统访问控制目标:防止对操作系统未授权访问。a)主机系统的登录必须遵照以下规定: 对于非Windows平台,成功登录后,才显示系统或应用标识 只显
35、示一般性的警告信息,例如“本系统只允许授权用户访问” 限制不成功登录的次数,不得超过5次,否则锁定用户帐号 记录成功和不成功登录的情况 需要在网络上传输口令时,应当进行加密b)登录终端必须有超时设置,不超过 20 分钟。c)应对所有用户分配一个唯一的 ID。无特殊情况一个人不得在一个系统上拥有多个帐号。d)使用口令管理系统时,可以考虑配置: 强制选择优质口令。 允许用户选择和更改自己的口令,其中要包括新口令的确认过程。 强制用户在第一次登录时修改口令。 分开存储口令文件和应用系统数据 保护口令的存储和传输过程。e)应分开保存系统文件和应用数据,限制对系统文件的操作。6) 应用程序和信息访问控制
36、目标:防止对应用系统中信息的非法访问。a)应限制用户和管理员对应用系统的访问权限,要求用户在申请、变更或废止访问权限时,应填写权限申请表 。b)处理敏感信息的系统应当与公共网隔离,且系统输出信息仅能发送给特定的终端和人员。c)应当参考信息资产鉴别和分类管理办法明确标识出敏感信息,当需要共享或分发敏感信息时,必须附带保密声明。7) 移动计算和远程工作目标:确保在使用移动计算机和远程工作设施时的安全。a)所有远程工作的移动计算机都必须安装防病毒软件,应当考虑采用动态口令系统。未经信息安全部批准,不得在公共场所访问内部网络。详细参见笔记本电脑安全使用指南b)应当安排针对移动办公人员的安全培训,要求此
37、类用户保护移动设备和远程办公帐号的安全。5.7. 信息系统的获取、开发和维护安全1) 信息系统的安全要求目标:确保安全成为信息系统的一部分。a)对自主开发和外包开发的信息系统或对现有系统的更新,在分析阶段应当规定对安全控制的要求,并集成到系统设计规范书、招标规范书和外包合同书之中,并在开发工作和验收时进行考虑。2) 应用系统的正确处理目标:防止应用系统信息的错误、丢失、未授权的修改或误用。a)应用系统设计时应当针对数据安全进行以下方面的考虑: 输入数据验证:对应用系统的数据输入进行验证,保证输入数据正确并合乎要求。 数据的容错处理:为防止正确的数据因处理错误或故意人为等因素遭到破坏而采取的检查
38、和控制措施。 输出数据验证:对应用系统输出的数据进行验证,保证对存储信息的正确处理。 消息验证:检查传输的电子消息内容是否有非法变更或破坏的技术手段。可以用加密技术作为实现消息验证的手段。 加密:是用于保护信息机密性的技术。在保护敏感或关键信息时使用。b)周期性评审关键信息和数据的内容,以保证其有效性和完整性。3) 加密控制目标:通过加密手段来保护信息的保密性、真实性和完整性a)在组织内实施加密控制的策略,可以考虑使用密码技术以实现: 保密性:通过信息加密保护存储和传输中的敏感和重要数据。 完整性/可认证性:使用数字签名和消息验证码去保护存储的和传输中的敏感和重要数据的可认证性和完整性。 不可
39、否认性:利用密码技术获得事件和行为发生或未发生的证明。b)实施密钥管理办法,包括防止密钥的丢失、泄密或破坏,密钥的销毁和密钥损坏后加密数据的恢复。4) 系统文件安全目标:确保系统文件的安全a)应当仅由管理员才可以进行操作系统、软件、应用和运行程序库的更新,生产系统不得安装无关软件。b)应当尽量避免应用系统对操作系统的直接调用,最大限度降低操作系统崩溃的风险。c)重要的应用和操作系统软件只有在全面正确的测试通过后才可安装,测试包括实用性、安全性、在其它系统上的有效性、用户友好性等,测试应在独立的系统上完成,必须确保对应的程序库已经更新。d)重要软件和应用升级后,包括需要的信息、参数、升级过程日志
40、、配置细节等都要归档,配套的数据和文件也应归档。e)所有应用必须编写应用配置手册,应用配置手册必须随着操作系统软件或应用配置的改变而及时更新。f)测试过程中应当避免使用敏感信息,测试完成后应当及时清除。g)访问程序源代码的行为应受到限制,更新关键应用系统必须按照变更管理流程得到授权。若有可能,在运行环境中不应保留程序源代码库。5) 开发和支持过程安全目标:保持应用系统软件和信息的安全a)维护并执行变更管理流程 ,该流程应当包括提交申请、调研和评估、审批、实施、总结和备案。b)必须分开生产环境和非生产环境,非生产环境包括开发、测试和培训所用的环境。应用开发人员不允许访问生产环境,除非在有安全评测
41、手段的前提下,应用开发人员可以暂时获得生产环境下的用户名和口令以用于系统支持,必须保证在系统支持完成之后立即修改口令。c)当操作系统变更后,应评审和测试关键的应用系统,以确定此变更对运营和安全带来的影响。d)只能从可信的渠道(如厂商指定的网站)获取软件的更新程序,重要变更必须进行记录。变更后,运维人员应当监控变更带来的影响。其中安全补丁的规定详见补丁管理程序 。e)可以采取安全手段监视系统、通信和个人行为,以减小信息泄露的可能。6) 技术漏洞管理目标:减少利用公开的技术漏洞带来的风险。a)应当确认软件和其它技术的相关漏洞,指定专人进行安全补丁管理工作,包括补丁公告、补丁评估和补丁列表的维护工作
42、。详细规定参见补丁管理程序 。b) 如果没有合适的补丁,应当实施其它措施,如: 关掉可能利用漏洞造成损害的服务和端口 在网络边界上增加隔离和访问控制,如防火墙 在网络中部署入侵检测系统 增强对该漏洞的监控5.8. 信息安全事故处理1) 报告信息安全事故和弱点目标:确保与信息系统有关的安全事件和弱点的报告,以便及时采取纠正措施。a)维护并执行信息安全事件管理程序 ,培训并要求所有员工和第三方都有责任尽快报告信息安全事件。b)信息安全事件发生后,报告人应立即将事件的重要细节(如事件描述、屏幕上显示的消息、造成的后果、其它异常情况等)向主管部门报告。c)所有员工和第三方有责任注意并报告系统或服务中已
43、发现或疑似的安全漏洞,但不能擅自处理和散播。2) 信息安全事故管理和改进目标:确保使用可追踪的,有效的方法管理信息安全事故。a)应当建立包括事件报告、分类、责任分工、响应方法、记录和总结、恢复计划等在内的信息安全事故管理机制。详细规定参见信息安全事件管理程序 。b)应通过信息安全事故的评估和总结以识别将来可能再次发生的事故,特别是可能造成重大影响的事故,尽量减小同种事故带来的损失。c)从事件被检测到至处理完成全过程的记录和证据(包括纸制文档和电子信息)都应进行保留。5.9. 业务连续性管理1) 业务连续性管理中的信息安全目标:防止业务活动中断,保证重要业务流程不受重大故障和灾难的影响,并确保它
44、们的及时恢复。a) 参考业务连续性管理程序制订并实施业务连续性计划,预防和恢复控制相结合,将灾难和安全故障(可能是由于自然灾害、事故、设备故障和蓄意破坏等引起)造成的影响降低到可以接受的水平,限制破坏性事件造成的后果,确保关键业务的操作得到及时恢复。业务连续性计划制定后必须得到安全领导小组的批准。b) 业务连续性计划的内容至少应当包括: 确定关键业务流程和其所涉及资产,明确信息处理设施的业务目标。 识别可能导致业务中断的重大事故,评估此类重大事故发生的可能性及造成业务中断给造成的影响,确定关键业务流程的优先级。 必要时可以适当考虑购买保险,以降低重大灾难引起的损失。 定期对计划和相关操作流程进
45、行检查、演练和更新。 明确人员职责,业务连续性管理过程的职责应分配给安委会。 保护人员、信息处理设备和机构财产的安全。 业务恢复的优先级,应当考虑可容忍的业务中断时间和业务恢复到中断前的哪个时间点,要特别注意对有关外部业务和合同的评估。 满足业务连续性计划所需的资源和服务,包括人员、非信息处理资源以及信息处理设施的低效运行安排。 业务流程的备案 对员工进行适当的业务连续性计划的培训 通过演练(或突发事件发生)的实际情况,对计划进行修正,保证其有效性和可操作性。c)应当维护一个全局性的业务连续性计划框架,以确保所有计划的一致性。业务连续性计划框架应该考虑以下内容: 计划的启动条件。在计划执行前说
46、明要采用的程序(包括如何评估、参与人员等) 。 应急程序。说明在发生危及业务操作和/或生命的事故后要采取的措施。 低效运行程序。说明应该采取哪些措施,以将重要业务活动或支持服务转移到其它临时地点并在规定时间内恢复业务流程。 恢复程序。说明应该采取哪些措施,以恢复正常业务运作。 说明若恢复未完成时应遵循的临时操作规程。 说明计划检查方式和时间的维护计划以及计划维护程序。 在组织内开展业务连续性的教育培训活动。 明确个人责任。说明由谁负责执行哪一部分计划。根据要求可以指定备选方案。d)必须定期测试并更新业务连续性计划,可以通过以下方法: 通过会议,可以使用类似案例讨论业务恢复方面的安排。 通过模拟
47、事故发生的情况,重点培训对负责事故/危机发生后管理的人员。 通过测试确保技术上信息系统可以有效地恢复。 在备用场地进行测试(继续业务流程的同时在主场地外执行恢复操作)。 供应商提供的设施和服务的检查(确保外部提供的服务和产品符合合同中的规定) 。 全面演习(检查组织、人员、设备、设施和程序是否能够应付中断情况) 。e)必须维护业务连续性计划并进行定期更新分析。应该分配各个业务连续性计划的定期评审责任;检查业务变动是否都反应在计划更新的内容当中。更新后的计划必须正式进行批准和分发。特别注意信息系统更新可能引起业务连续性计划的如下信息的更新: 人员。 地址或电话号码。 经营战略。 场所、设施和资源
48、。 法律法规。 承包商、供应商和主要客户。 流程(新的流程/废止的流程) 。 风险(操作风险和金融风险) 。5.10. 符合性要求1) 遵守法律法规的要求目标:避免违反法律、法规、规章、合同要求和其它安全要求。a) 公司的信息系统和其它 IT 设施必须符合国家相关法律法规的要求。特别是与外部的组织有往来时。b) 所有的软件和硬件必须遵守知识产权的要求,包括著作权、设计权、商标权等。通过合法渠道获得产品,遵守产品许可证的限制,维护许可证,交付产品,手册等证明材料,告知员工他们保护知识产权的责任,提高员工安全意识,应当在合同中明确知识产权的归属,并对享有知识产权资料的复制进行限制。c) 应按照法律
49、法规、合同和业务要求,保护重要记录免受损失、破坏或伪造篡改。重要记录包括纸质或非纸质的财务记录、数据库记录、日志和操作规程等。应当考虑信息的处理办法,保存时间,关键信息来源的目录和索引。d) 在传输和存储过程中保护个人数据和个人隐私。e) 未经安全责任人书面授权,禁止用户和管理员将信息处理设备用于其他目的。可以在登录时,在屏幕上应显示保密声明,告知其正进入的系统是不公开的。2) 安全策略和技术一致性检查目标:保证信息系统符合的安全策略和标准。a) 信息安全小组应不定期地组织抽查信息安全制度的落实和执行情况,依据信息安全技术检查管理规定 、 内部审核程序的规定,进行测量,上报信息安全管理小组组长。协助内审组进行信息安全内部评审和管理评审。b) 应当定期使用技术手段发现系统的漏洞,以确定安全技术防范的有效性。当进行漏洞测试前,要
