信息安全策略

信息安全策略目錄1. 目的和范圍 22. 術(shù)語和定義 23. 引用文件 54. 職責(zé)和權(quán)限 65. 信息安全策略 65.1. 信息系統(tǒng)安全組織 75.2. 資產(chǎn)管理 105.3. 人員信息安全管理 125.4. 物理和環(huán)境安全 145.5. 通信和操作管理 185.6. 信息系統(tǒng)訪問控制 255.7. 信息系統(tǒng)的獲取、開發(fā)和維護(hù)安全 305.8. 信息安全事故處理 345.9. 業(yè)務(wù)連續(xù)性管理 .......................................355.10. 符合性要求 391 附件 41目的和范圍本文檔制定了的信息系統(tǒng)安全策略，作為信息安全的基本標(biāo)準(zhǔn)，是所有安全行為的指導(dǎo)方針，同時也是建立完整的安全管理體系最根本的基礎(chǔ)。信息安全策略是在信息安全現(xiàn)狀調(diào)研的基礎(chǔ)上，根據(jù)ISO27001的最佳實(shí)踐，結(jié)合現(xiàn)有規(guī)章制度制定而成的信息安全方針和策略文檔。本文檔遵守政府制定的相關(guān)法律、法規(guī)、政策和標(biāo)準(zhǔn)。本安全策略得到領(lǐng)導(dǎo)的認(rèn)可，并在公司內(nèi)強(qiáng)制實(shí)施。建立信息安全策略的目的概括如下：在內(nèi)部建立一套通用的、行之有效的安全機(jī)制；在的員工中樹立起安全責(zé)任感；在中增強(qiáng)信息資產(chǎn)可用性、完整性和保密性；在中提高全體員工的信息安全意識和信息安全知識水平。本安全策略適用于公司全體員工，自發(fā)布之日起執(zhí)行。術(shù)語和定義解釋信息安全是指保護(hù)信息資產(chǎn)免受多種安全威脅，保證業(yè)務(wù)連續(xù)性，將安全事件造成的損失降至最小，同時最大限度地獲得投資回報(bào)和商業(yè)機(jī)遇?？捎眯源_保經(jīng)過授權(quán)的用戶在需要時可以訪問信息并使用相關(guān)信息資產(chǎn)。保密性確保只有經(jīng)過授權(quán)的人才能訪問信息。完整性保護(hù)信息和信息的處理方法準(zhǔn)確而完整。保密信息安全規(guī)章定義的密級信息。信息安全策略正確使用和管理IT信息資源并保護(hù)這些資源使得它們擁有更好的保密性、完整性、可用性的策略。風(fēng)險評估評估信息安全漏洞對信息處理設(shè)備帶來的威脅和影響及其發(fā)生的可能性。風(fēng)險管理以可以接受的成本，確認(rèn)、控制、排除可能影響信息系統(tǒng)的安全風(fēng)險或?qū)⑵鋷淼奈：ψ钚』倪^程。計(jì)算機(jī)機(jī)房裝有計(jì)算機(jī)主機(jī)、服務(wù)器和相關(guān)設(shè)備的，除了安裝和維護(hù)的情況外，不允許人員在里邊工作的專用房間。員工在系統(tǒng)內(nèi)工作的正式員工、雇傭的臨時工作人員。用戶被授權(quán)能使用IT系統(tǒng)的人員。信息資產(chǎn)與信息系統(tǒng)相關(guān)聯(lián)的信息、信息的處理設(shè)備和服務(wù)。信息資產(chǎn)責(zé)任人是指對某項(xiàng)信息資產(chǎn)安全負(fù)責(zé)的人員。合作單位是指與有業(yè)務(wù)往來的單位，包括承包商、服務(wù)提供商、設(shè)備廠商、外包服務(wù)商、貿(mào)易伙伴等。第三方訪問指非本單位的人員對信息系統(tǒng)的訪問。IT外包服務(wù)是指企業(yè)戰(zhàn)略性選擇外部專業(yè)技術(shù)和服務(wù)資源，以替代內(nèi)部部門和人員來承擔(dān)企業(yè)IT系統(tǒng)或系統(tǒng)之上的業(yè)務(wù)流程的運(yùn)營、維護(hù)和支持的IT服務(wù)。安全事件利用信息系統(tǒng)的安全漏洞，對信息資產(chǎn)的保密性、完整性和可用性造成危害的事件。故障

是指信息的處理、傳輸設(shè)備運(yùn)行出現(xiàn)意外障礙，以至影響信息系統(tǒng)正常運(yùn)轉(zhuǎn)的事件。安全審計(jì)

通過將所選類型的事件記錄在服務(wù)器或工作站的安全日志中用來跟蹤用戶活動的過程。超時設(shè)置

用戶如果超過特定的時限沒有進(jìn)行動作，就觸發(fā)其他事件（如斷開連接、鎖定用戶等）。詞語使用必須 表示強(qiáng)制性的要求。應(yīng)當(dāng) 好的做法所要達(dá)到的要求，條件允許就要實(shí)施?？梢?表示希望達(dá)到的要求。引用文件下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。ISO/IEC27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系要求ISO/IEC17799:2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則職責(zé)和權(quán)限信息安全管控委員會：負(fù)責(zé)對信息安全策略進(jìn)行編寫、評審，監(jiān)督和檢查公司全體員工執(zhí)行情況。信息安全策略目標(biāo)：為信息安全提供管理指導(dǎo)和支持， 并與業(yè)務(wù)要求和相關(guān)的法律法規(guī)保持一致。策略下發(fā)本策略必須得到管理層批準(zhǔn)，并向所有員工和相關(guān)第三方公布傳達(dá)，全體人員必須履行相關(guān)的義務(wù)，享受相應(yīng)的權(quán)利，承擔(dān)相關(guān)的責(zé)任。策略維護(hù)本策略通過以下方式進(jìn)行文檔的維護(hù)工作：必須每年按照《風(fēng)險評估管理程序》進(jìn)行例行的風(fēng)險評估，如遇以下情況必須及時進(jìn)行風(fēng)險評估：發(fā)生重大安全事故組織或技術(shù)基礎(chǔ)結(jié)構(gòu)發(fā)生重大變更安全管理小組認(rèn)為應(yīng)當(dāng)進(jìn)行風(fēng)險評估的其他應(yīng)當(dāng)進(jìn)行安全風(fēng)險評估的情形風(fēng)險評估之后根據(jù)需要進(jìn)行安全策略條目修訂，并在內(nèi)公布傳達(dá)。策略評審每年必須參照《管理評審程序》執(zhí)行公司管理評審。適用范圍適用范圍是指本策略使用和涵蓋的對象，包括現(xiàn)有的業(yè)務(wù)系統(tǒng)、硬件資產(chǎn)、軟件資產(chǎn)、信息、通用服務(wù)、物理安全區(qū)域等。對于即將投入使用和今后規(guī)劃的信息系統(tǒng)項(xiàng)目也必須參照本策略執(zhí)行。5.1. 信息系統(tǒng)安全組織目標(biāo)：在組織內(nèi)部管理信息安全，保持可被外部組織訪問、處理、溝通或管理的信息及信息處理設(shè)備的安全。內(nèi)部組織公司的管理層對信息安全承擔(dān)最終責(zé)任。管理者職責(zé)參見《信息安全管理手冊》。公司的信息系統(tǒng)安全管理工作采取信息安全管控委員會統(tǒng)一管理方式，其他相關(guān)部門配合執(zhí)行。公司的內(nèi)部信息安全組織包括信息安全管理小組，小組的人員組成以及相關(guān)職責(zé)參見《公司信息安全組織結(jié)構(gòu)圖》 。各個部門之間必須緊密配合共同進(jìn)行信息安全系統(tǒng)的維護(hù)和建設(shè)。相關(guān)部門崗位的分工與責(zé)任參見《信息安全管理手冊》。任何新的信息系統(tǒng)處理設(shè)施必須經(jīng)過管理授權(quán)的過程。 并更新至《信息資產(chǎn)列表》。信息系統(tǒng)內(nèi)的每個重要的資產(chǎn)需要明確所有者、使用人員。參見《信息資產(chǎn)列表》。凡是涉及重要信息、機(jī)密信息（相關(guān)定義參見《信息資產(chǎn)鑒別和分類管理辦法》等信息的處理，相關(guān)的工作崗位員工以及第三方都必須簽署保密協(xié)議。應(yīng)當(dāng)與政府機(jī)構(gòu)保持必要的聯(lián)系共同協(xié)調(diào)信息安全相關(guān)問題。這些部門包括執(zhí)法部門、消防部門、上級監(jiān)管部門、電信供應(yīng)商等提供公共服務(wù)的部門。應(yīng)當(dāng)與相關(guān)信息安全團(tuán)體保持聯(lián)系，以取得信息安全上必要的支持。這些團(tuán)體包括外部安全咨詢商、獨(dú)立的安全技術(shù)專家等。信息安全管理小組每年至少進(jìn)行一次信息安全風(fēng)險評估工作（參照《風(fēng)險評估和風(fēng)險管理程序》，并對安全策略進(jìn)行復(fù)審。信息安全領(lǐng)導(dǎo)小組每年對風(fēng)險評估結(jié)果和安全策略的修改進(jìn)行審批。每年或者發(fā)生重大信息安全變化時必須參照 《內(nèi)部審核管理程序》 執(zhí)行公司內(nèi)部審核。外部組織第三方訪問是指非人員對信息系統(tǒng)的訪問。第三方至少包含如下人員：硬件及軟件技術(shù)支持、維護(hù)人員；項(xiàng)目現(xiàn)場實(shí)施人員；外單位參觀人員；合作單位人員；客戶；清潔人員、送餐人員、快遞、保安以及其它外包的支持服務(wù)人員；第三方的訪問類型包括物理訪問和邏輯訪問。物理訪問：重點(diǎn)考慮安全要求較高區(qū)域的訪問，包括計(jì)算機(jī)機(jī)房、重要辦公區(qū)域和存放重要物品區(qū)域等；邏輯訪問：主機(jī)系統(tǒng)網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)庫系統(tǒng)應(yīng)用系統(tǒng)第三方訪問需要進(jìn)行以下的風(fēng)險評估后方可對訪問進(jìn)行授權(quán)。被訪問資產(chǎn)是否會損壞或者帶來安全隱患；客戶是否與有商業(yè)利益沖突；是否已經(jīng)完成了相關(guān)的權(quán)限設(shè)定，對訪問加以控制；是否有過違反安全規(guī)定的記錄；是否與法律法規(guī)有沖突，是否會涉及知識產(chǎn)權(quán)糾紛；第三方進(jìn)行訪問之前必須經(jīng)過被訪問系統(tǒng)的安全責(zé)任人的審核批準(zhǔn)，包括物理訪問的區(qū)域和邏輯訪問的權(quán)限。（詳見《辦公室基礎(chǔ)設(shè)備和工作環(huán)境控制程序》）對于第三方參與的項(xiàng)目或提供的服務(wù)，必須在合同中明確規(guī)定人員的安全責(zé)任，必要時應(yīng)當(dāng)簽署保密協(xié)議。第三方必須遵守的信息安全策略以及《第三方和外包管理規(guī)定》，留對第三方的工作進(jìn)行審核的權(quán)利。5.2. 資產(chǎn)管理目標(biāo)：通過及時更新的信息資產(chǎn)目錄對信息資產(chǎn)進(jìn)行適當(dāng)?shù)谋Ｗo(hù)。資產(chǎn)責(zé)任所有的信息資產(chǎn)必須登記入冊，對于有形資產(chǎn)必須進(jìn)行標(biāo)識，同時資產(chǎn)信息應(yīng)當(dāng)及時更新。每項(xiàng)信息資產(chǎn)在登記入冊及更新時必須指定信息資產(chǎn)的安全責(zé)任人，信息資產(chǎn)的安全責(zé)任人必須負(fù)責(zé)該信息資產(chǎn)的安全。所有員工和第三方都必須遵守關(guān)于信息設(shè)備安全管理的規(guī)定，以保護(hù)信息處理設(shè)備（包括移動設(shè)備和在非公共地點(diǎn)使用的設(shè)備）的安全。信息分類必須明確確認(rèn)每項(xiàng)信息資產(chǎn)及其責(zé)任人和安全分類，信息資產(chǎn)包括業(yè)務(wù)過程、硬件和設(shè)施資產(chǎn)、軟件和系統(tǒng)資產(chǎn)、文檔和數(shù)據(jù)信息資產(chǎn)、人員資產(chǎn)、服務(wù)和其他資產(chǎn)。（詳見《信息資產(chǎn)列表》）。必須建立信息資產(chǎn)管理登記制度，至少詳細(xì)記錄信息資產(chǎn)的分類、名稱、用途、資產(chǎn)所有者、使用人員等，便于查找和使用。信息資產(chǎn)應(yīng)當(dāng)標(biāo)明適用范圍。（詳見《IT設(shè)備管理規(guī)定》）。應(yīng)當(dāng)在每個有形信息資產(chǎn)上進(jìn)行標(biāo)識。當(dāng)信息資產(chǎn)進(jìn)行拷貝、存儲、傳輸（如郵遞、傳真、電子郵件以及語音傳輸（包括電話、語音郵件、應(yīng)答機(jī)）等）或者銷毀等信息處理時，應(yīng)當(dāng)參照《信息資產(chǎn)鑒別和分類管理辦法》或者制定妥善的處理步驟并執(zhí)行。對重要的資料檔案要妥善保管，以防丟失泄密，其廢棄的打印紙及磁介質(zhì)等，應(yīng)按有關(guān)規(guī)定進(jìn)行處理。5.3. 人員信息安全管理目標(biāo)：確保所有的員工、合同方和第三方用戶了解信息安全威脅和相關(guān)事宜、明確并履行信息安全責(zé)任和義務(wù)，并在日常工作中支持的信息安全方針，減少人為錯誤的風(fēng)險，減少盜竊、濫用或設(shè)施誤用的風(fēng)險。人員雇傭員工必須了解相關(guān)的信息安全責(zé)任，必須遵守《職務(wù)說明書》。對第三方訪問人員和臨時性員工，必須遵守《第三方和外包管理規(guī)定》。涉及重要信息系統(tǒng)管理的員工、合同方及第三方應(yīng)當(dāng)進(jìn)行相關(guān)技術(shù)背景調(diào)查和能力考評；涉及重要信息系統(tǒng)管理的員工、合同方及第三方應(yīng)在合同中明確其信息安全責(zé)任并簽署保密協(xié)議；重要崗位的人員在錄用時應(yīng)做重要崗位背景調(diào)查。雇傭中管理層必須要求所有的員工、合同方及第三方用戶執(zhí)行信息安全的相關(guān)規(guī)定；應(yīng)當(dāng)設(shè)定信息安全的相關(guān)獎勵措施，任何違反信息安全策略的行為都將收到懲戒，具體執(zhí)行辦法參見《信息安全獎懲規(guī)定》；將信息安全培訓(xùn)加入員工培訓(xùn)中，培訓(xùn)材料應(yīng)當(dāng)包括下列內(nèi)容：信息安全策略信息安全制度相關(guān)獎懲辦法應(yīng)當(dāng)按下列群體進(jìn)行不同類型的信息安全培訓(xùn)：全體員工需要遵守信息安全策略、規(guī)章制度和各項(xiàng)操作流程的第三方人員信息安全培訓(xùn)必須至少每年舉行一次，讓不同部門的人員能受到適當(dāng)?shù)男畔踩嘤?xùn)。必須參加計(jì)算機(jī)信息安全培訓(xùn)的人員包括：計(jì)算機(jī)信息系統(tǒng)使用單位的安全管理責(zé)任人；重點(diǎn)單位或核心計(jì)算機(jī)信息系統(tǒng)的維護(hù)和管理人員；其他從事計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作的人員；能夠接觸到敏感數(shù)據(jù)或機(jī)密信息的關(guān)鍵用戶。人員信息安全管理原則員工錄用時，人事部門或調(diào)入部門必須及時書面通知信息技術(shù)部門添加相關(guān)的口令、帳號及權(quán)限等并備案。員工在崗位變動時，必須移交調(diào)出崗位的相關(guān)資料和有關(guān)文檔，檢查并歸還在借出的重要信息。人事部門或調(diào)入部門必須及時書面通知信息技術(shù)部門修改和刪除相關(guān)的口令、帳號及權(quán)限等。員工在調(diào)離時必須進(jìn)行信息安全檢查。調(diào)離人員必須移交全部資料和有關(guān)文檔，刪除自己的文件、帳號，檢查并歸還在借出的保密信息。由人事部門書面通知信息技術(shù)部門刪除相關(guān)的口令、帳號、權(quán)限等信息。必須每半年進(jìn)行用戶帳戶使用情況的評審，凡是半年及半年以上未使用的帳號經(jīng)相關(guān)部門確認(rèn)后刪除。如有特殊情況，必須事先得到部門經(jīng)理及安全責(zé)任人的批準(zhǔn)。對第三方訪問人員和臨時性員工，也必須執(zhí)行相關(guān)規(guī)定。5.4. 物理和環(huán)境安全安全區(qū)域目標(biāo)：防止對工作場所和信息的非法訪問、破壞和干擾。必須明確劃分安全區(qū)域。安全區(qū)域至少包括各計(jì)算機(jī)機(jī)房、IT部門、財(cái)務(wù)、人事等部門。所有可以進(jìn)出安全區(qū)域的門必須能防止未經(jīng)授權(quán)的訪問，如使用控制裝置、柵欄、監(jiān)控和報(bào)警裝備、鎖等。無人值守的門和窗戶必須上鎖，對于直接與外部相連的安全區(qū)域的窗戶必須考慮窗戶的外部保護(hù)；安全邊界的所有門均應(yīng)被監(jiān)視并經(jīng)過檢驗(yàn)，它和墻一起按照合適的地方、國內(nèi)和國際標(biāo)準(zhǔn)建立所需的抵抗程度；他們應(yīng)用故障保護(hù)方式按照局部放火規(guī)則來運(yùn)行。應(yīng)按照地方、國內(nèi)和國際標(biāo)準(zhǔn)建立適當(dāng)?shù)娜肭謾z測體系，并定期檢測以覆蓋所有的外部門窗；要一直對空閑區(qū)域發(fā)出警報(bào)；其他區(qū)域要提供掩護(hù)方法，例如計(jì)算機(jī)室或通信室；安全區(qū)域必須配備充足的安全設(shè)備，例如熱敏和煙氣探測器、火警系統(tǒng)、滅火設(shè)備，并對設(shè)備定期檢查。安全區(qū)域進(jìn)出控制采用合適的電子卡或磁卡，并能雙向控制。對安全區(qū)域的訪問必須進(jìn)行記錄和控制，以確保只有經(jīng)過授權(quán)的人員才可以訪問。對機(jī)房的訪問管理參見《機(jī)房安全管理規(guī)定》，其它區(qū)域可參照執(zhí)行。重要設(shè)備必須放在安全區(qū)域內(nèi)進(jìn)行保護(hù)，禁止在公共辦公區(qū)域防止重要的信息處理設(shè)施；應(yīng)當(dāng)控制外來人員對公共辦公區(qū)域的訪問，第三方訪問規(guī)定參見《第三方和外包管理規(guī)定》關(guān)鍵和敏感設(shè)施應(yīng)當(dāng)存放在與公共辦公區(qū)域相對隔離的場地，并應(yīng)設(shè)計(jì)并實(shí)施保護(hù)。危險或易燃物品應(yīng)當(dāng)擺放在離安全區(qū)域安全距離之外，機(jī)房應(yīng)當(dāng)參見《機(jī)房安全管理規(guī)定》中的要求執(zhí)行值班或巡檢工作任務(wù)。備份介質(zhì)應(yīng)當(dāng)和主場地有一段的安全距離，要考慮信息設(shè)備面臨的可能的安全威脅，參考《業(yè)務(wù)連續(xù)性管理程序》的內(nèi)容制定對應(yīng)的業(yè)務(wù)連續(xù)性計(jì)劃，并要定期演練。人員離開安全區(qū)域時應(yīng)當(dāng)及時上鎖。除非經(jīng)過主管部門領(lǐng)導(dǎo)授權(quán)，在安全區(qū)域不允許使用圖象、視頻、音頻或其它記錄設(shè)備。外部人員訪問安全區(qū)域時應(yīng)當(dāng)由員工陪同，并填寫《機(jī)房出入登記表》，對訪問時間、操作內(nèi)容等加以記錄。出入機(jī)房的設(shè)備必須填寫《機(jī)房設(shè)備出入登記表》。設(shè)備安全目標(biāo)：防止資產(chǎn)的丟失、損壞或被盜，以及對組織業(yè)務(wù)活動的干擾。計(jì)算機(jī)機(jī)房必須提供環(huán)境保障，機(jī)房建設(shè)必須遵照相關(guān)的機(jī)房建設(shè)規(guī)范進(jìn)行。如中華人民共和國國家標(biāo)準(zhǔn) GB50174《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》，必須提供：穩(wěn)定的電源供給可靠的空氣質(zhì)量控制（溫度，濕度，污染度）防火，防水，防高溫，放雷應(yīng)盡量減少對機(jī)房不必要的訪問，在機(jī)房內(nèi)工作必須遵守《機(jī)房安全管理規(guī)定》。各計(jì)算機(jī)機(jī)房是重要的信息處理場所，必須嚴(yán)格執(zhí)行有關(guān)安全保密制度和規(guī)定，并防止重要信息的泄露，保證業(yè)務(wù)數(shù)據(jù)、信息、資料的準(zhǔn)確、安全可靠。計(jì)算機(jī)機(jī)房應(yīng)列為公司重點(diǎn)防火部位，按照規(guī)定配備足夠數(shù)量的消防器材，并定期檢查更換。機(jī)房工作人員要熟悉機(jī)房消防用品的存放位置及使用方法，必須掌握防火設(shè)施的使用方法和步驟；要熟悉設(shè)備電源和照明用電以及其它電氣設(shè)備總開關(guān)位置，掌握切斷電源的方法和步驟。在遇到突發(fā)緊急情況時，必須以保護(hù)人身安全為首要目標(biāo)。定期對機(jī)房供電線路及照明器具進(jìn)行檢查，防止因線路老化短路造成火災(zāi)。應(yīng)當(dāng)按照設(shè)備維護(hù)要求的時間間隔和規(guī)范，對設(shè)備進(jìn)行維護(hù)。第三方支持和維護(hù)人員對重要設(shè)備技術(shù)支持前，必須經(jīng)過安全責(zé)任人的授權(quán)或?qū)徟?。并且在對重要設(shè)備現(xiàn)場實(shí)施過程中必須有相關(guān)人員全程陪同，詳細(xì)規(guī)定參見《第三方和外包管理規(guī)定》。設(shè)備的安全與重用應(yīng)當(dāng)按規(guī)定的操作程序來處理，特別是包含重要信息的存儲設(shè)備，應(yīng)按照相關(guān)規(guī)定，以確定是否銷毀、修理或棄用該設(shè)備。對棄置的存儲有敏感信息的存儲設(shè)備，必須將其銷毀，或重寫數(shù)據(jù)，而不能只是使用標(biāo)準(zhǔn)的刪除功能進(jìn)行數(shù)據(jù)刪除。詳細(xì)規(guī)定參見《移動存儲介質(zhì)使用規(guī)定》。當(dāng)員工離開時，對于載有重要信息的紙張和可移動的存儲介質(zhì)，應(yīng)當(dāng)妥善保管。遠(yuǎn)程辦公人員有責(zé)任保護(hù)移動設(shè)備的安全，未經(jīng)批準(zhǔn)，不得在公共場所訪問內(nèi)部網(wǎng)絡(luò)。未經(jīng)信息安全責(zé)任人授權(quán)，不允許將載有重要信息的設(shè)備、信息或軟件帶離工作場所。機(jī)房內(nèi)設(shè)備的出入必須填寫《機(jī)房出入登記表》。5.5. 通信和操作管理操作程序和責(zé)任目標(biāo)：確保信息處理設(shè)施的正確和安全操作對于日常維護(hù)工作必須按照規(guī)定的系統(tǒng)操作流程進(jìn)行，操作流程應(yīng)當(dāng)指明具體執(zhí)行每個作業(yè)的說明。操作流程必須成文，并只有經(jīng)授權(quán)才可以修改。必須建立并執(zhí)行信息處理設(shè)備和信息系統(tǒng)變更管理流程（具體參照《變更管理流程》），形成文檔備案。處理敏感信息資產(chǎn)時，可以考慮分離職責(zé)，如果不實(shí)施分離，則應(yīng)當(dāng)對處理操作予以記錄，并定期進(jìn)行監(jiān)督。應(yīng)當(dāng)分離開發(fā)、測試與運(yùn)營環(huán)境，敏感數(shù)據(jù)不可拷貝到測試環(huán)境中，測試完成后應(yīng)當(dāng)及時清理測試環(huán)境。第三方服務(wù)交付管理目標(biāo)：實(shí)施并保持信息安全的適當(dāng)水平，確保第三方交付的服務(wù)符合協(xié)議要求。應(yīng)當(dāng)確保第三方實(shí)施、運(yùn)行并保持第三方服務(wù)交付協(xié)議中包括商定的安全布置、服務(wù)定義和交付等級。應(yīng)定期審核第三方的服務(wù)提交的報(bào)告和檢查對協(xié)議的符合度。重要的第三方服務(wù)必須簽訂服務(wù)合同和第三方保密協(xié)議。應(yīng)當(dāng)在第三方服務(wù)協(xié)議中包含服務(wù)變更管理的內(nèi)容。變更內(nèi)容包括但不限于：任何新應(yīng)用、系統(tǒng)、服務(wù)的開發(fā)對現(xiàn)有應(yīng)用、系統(tǒng)、服務(wù)的更改或更新與信息安全有關(guān)的新的控制措施網(wǎng)絡(luò)環(huán)境或其它新技術(shù)的使用開發(fā)環(huán)境或物理環(huán)境的變更供應(yīng)商的變更系統(tǒng)策劃與驗(yàn)收目標(biāo)：最小化系統(tǒng)失效的風(fēng)險應(yīng)為系統(tǒng)的性能和容量要求做預(yù)先的規(guī)劃和準(zhǔn)備，應(yīng)反映對未來容量需求的推測，以減少系統(tǒng)過載的風(fēng)險。應(yīng)建立新信息系統(tǒng)、系統(tǒng)升級和新版本的驗(yàn)收準(zhǔn)則，驗(yàn)收前應(yīng)當(dāng)完成設(shè)計(jì)審核、缺陷分析及安全測試。必須將驗(yàn)收標(biāo)準(zhǔn)寫入到項(xiàng)目合同中。防范惡意和移動代碼目標(biāo)：保護(hù)軟件和信息的完整性。所有服務(wù)器和個人計(jì)算機(jī)都必須激活防病毒軟件，必須及時更新防病毒代碼庫。詳細(xì)規(guī)定參見《防病毒管理程序》。系統(tǒng)內(nèi)的服務(wù)器和個人計(jì)算機(jī)必須使用可信來源的軟件，應(yīng)對軟件進(jìn)行病毒檢測后統(tǒng)一保存。員工應(yīng)當(dāng)?shù)街付ǖ目臻g下載軟件，不得私自安裝授權(quán)使用軟件列表之外的軟件。必須對所有的電子郵件附件進(jìn)行病毒掃描，也不要隨意打開來歷不明的郵件附件。應(yīng)當(dāng)開展對一般員工的預(yù)防病毒培訓(xùn)。員工一旦發(fā)現(xiàn)或懷疑有PC或服務(wù)器被病毒感染,必須馬上斷開網(wǎng)絡(luò)并進(jìn)行全盤掃描，，必須立即通知技術(shù)部門。備份目標(biāo)：保持信息和信息處理設(shè)施的完整性和可用性。管理員應(yīng)當(dāng)對重要的應(yīng)用系統(tǒng)、操作系統(tǒng)、配置文件及日志等制訂備份策略，并要定期對備份數(shù)據(jù)進(jìn)行測試。如果是涉密信息，必須對備份信息實(shí)施加密。所有員工要定期對個人電腦上的重要數(shù)據(jù)進(jìn)行備份，以減少不必要的損失。備份應(yīng)當(dāng)存儲在與主設(shè)備有足夠距離的地點(diǎn)，該地點(diǎn)應(yīng)安全可靠，應(yīng)同主設(shè)備場地使用同等的安全等級。網(wǎng)絡(luò)安全管理目標(biāo)：確保網(wǎng)絡(luò)中的信息和支持性基礎(chǔ)設(shè)施得到保護(hù)。應(yīng)當(dāng)對重要的線路、網(wǎng)絡(luò)設(shè)備采用冗余措施，以維持關(guān)鍵服務(wù)的可用性。網(wǎng)絡(luò)管理員應(yīng)當(dāng)參照《訪問控制程序》對網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)進(jìn)行充分的管理和控制，并采用網(wǎng)管工具對通訊線路、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)流量進(jìn)行實(shí)時的監(jiān)控和預(yù)警。處理敏感信息的計(jì)算機(jī)應(yīng)當(dāng)與局域網(wǎng)物理隔離，應(yīng)當(dāng)采用適當(dāng)?shù)募用芗夹g(shù)。介質(zhì)處理目標(biāo)：防止對資產(chǎn)的未授權(quán)泄露、修改、移動或損壞，及對業(yè)務(wù)活動的的干擾。應(yīng)當(dāng)妥善記錄移動介質(zhì)。不得將載有重要信息的存儲介質(zhì)隨意存放，未經(jīng)安全責(zé)任人授權(quán)，不得帶出辦公地點(diǎn)。如果介質(zhì)上的內(nèi)容不再需要，應(yīng)當(dāng)立即清除。對于備份或存放有重要信息或軟件的存儲介質(zhì)，在銷毀時，應(yīng)當(dāng)進(jìn)行格式化或重寫數(shù)據(jù)，避免不必要的泄露。存放業(yè)務(wù)應(yīng)用系統(tǒng)及重要信息的介質(zhì)，嚴(yán)禁外借，確因工作需要，須報(bào)請部門領(lǐng)導(dǎo)批準(zhǔn)。對需要長期保存的介質(zhì)，必須在介質(zhì)老化前進(jìn)行轉(zhuǎn)儲，以防止因介質(zhì)失效造成損失。應(yīng)限制只有系統(tǒng)管理員才可訪問系統(tǒng)文檔。應(yīng)對的所有信息數(shù)據(jù)分類標(biāo)識，建立信息處置、存儲、分發(fā)的規(guī)程。信息交換目標(biāo)：應(yīng)保持組織內(nèi)部或組織與外部組織之間交換信息和軟件的安全。應(yīng)當(dāng)依據(jù)《信息資產(chǎn)鑒別和分類管理辦法》、《信息安全交流控制程序》，保護(hù)信息在發(fā)布、交換時的安全。員工必須遵守國家有關(guān)信息管理的法規(guī)，不得利用網(wǎng)絡(luò)危害國家安全、泄露國家秘密，不得違反中華人民共和國現(xiàn)行法律和法規(guī)，不得侵犯國家社會集體的和公民的合法權(quán)益。敏感信息應(yīng)當(dāng)通過專用的線路傳輸。未經(jīng)安全責(zé)任人授權(quán)，員工不得與外部聯(lián)網(wǎng)的計(jì)算機(jī)信息系統(tǒng)傳輸涉及重要信息的文件。員工不得利用網(wǎng)絡(luò)對他人進(jìn)行侮辱、誹謗、騷擾；不得侵害他人合法權(quán)益；不得侵犯他人的名譽(yù)權(quán)，肖像權(quán)、姓名權(quán)等人身權(quán)利；不得侵犯他人的商譽(yù)、商標(biāo)、版權(quán)、專利、專有技術(shù)等各種知識產(chǎn)權(quán)。在通過郵政等物理傳輸方式傳輸時，應(yīng)保護(hù)包含重要信息的介質(zhì)的安全。應(yīng)控制并記錄允許操作業(yè)務(wù)系統(tǒng)的用戶名單，未經(jīng)安全責(zé)任人授權(quán)，不得隨意變更訪問限制和共享信息。監(jiān)視和審計(jì)目標(biāo)：檢測未經(jīng)授權(quán)的信息處理活動。公司制定《IT設(shè)備設(shè)施維護(hù)管理程序》、《信息安全技術(shù)檢查管理規(guī)定》對信息系統(tǒng)活動進(jìn)行監(jiān)控。應(yīng)當(dāng)使用監(jiān)視程序以確保用戶只執(zhí)行被明確授權(quán)的活動，審計(jì)內(nèi)容應(yīng)細(xì)化到個人而不是共享帳號。審計(jì)至少包括用戶ID、系統(tǒng)日志、操作記錄等?？梢詫?shí)施安全產(chǎn)品或調(diào)整配置，以記錄和審計(jì)用戶活動、系統(tǒng)、安全產(chǎn)品和信息安全事件產(chǎn)生的日志，并按照約定的期限保留，以支持將來的調(diào)查和訪問控制監(jiān)視?？梢栽趦?nèi)網(wǎng)中配置日志服務(wù)器，專門收集主機(jī)、網(wǎng)絡(luò)設(shè)備、安全產(chǎn)品的日志，以避免日志被破壞或覆蓋。應(yīng)在網(wǎng)絡(luò)中配置時鐘服務(wù)器，被審計(jì)的信息設(shè)備應(yīng)同時鐘服務(wù)器的時間保持同步，以避免審計(jì)上的漏洞。5.6. 信息系統(tǒng)訪問控制訪問控制的業(yè)務(wù)要求目標(biāo)：控制對信息的訪問。應(yīng)當(dāng)明確規(guī)定每個用戶以及相應(yīng)用戶組在各個系統(tǒng)中訪問控制規(guī)則與權(quán)限，每半年要評審用戶和訪問權(quán)限的設(shè)置，詳細(xì)規(guī)定參見《訪問控制程序》。用戶訪問管理目標(biāo)：確保授權(quán)用戶的訪問，并預(yù)防信息系統(tǒng)的非授權(quán)訪問。禁止用戶帳號共享，普通用戶不能在一個系統(tǒng)上擁有多個帳號，系統(tǒng)管理員不能在一個系統(tǒng)上擁有多個相同角色的帳號。每個用戶應(yīng)當(dāng)在不同的信息系統(tǒng)上遵循統(tǒng)一的命名方式且使用相同的用戶帳號，統(tǒng)一的命名方式應(yīng)當(dāng)參考域（郵箱）帳號命名規(guī)則。詳細(xì)規(guī)定參見《公司郵箱管理辦法》所有對信息系統(tǒng)的訪問必須遵照《訪問控制程序》。除非員工獲得該流程規(guī)定的相關(guān)部門授權(quán)，否則不準(zhǔn)在網(wǎng)絡(luò)上給外單位和個人開戶，也不準(zhǔn)外單位或個人借用內(nèi)部用戶名和口令上網(wǎng)，一經(jīng)查出將追究當(dāng)事人責(zé)任。用戶權(quán)限必須按照最小權(quán)限原則進(jìn)行分配。技術(shù)人員在收到重置口令的申請時，必須驗(yàn)證用戶的身份后方可提供一個臨時的代替口令。要告知并強(qiáng)制用戶遵守用戶帳號及口令管理規(guī)定，用戶必須對自己的帳號和口令保密，不能以任何形式向他人透露口令信息，不得以未加密的形式將口令保存在文件或計(jì)算機(jī)中，在收到應(yīng)用系統(tǒng)或軟件的初始口令后必須及時更改。用戶帳號三個月未使用的將在系統(tǒng)中自動失效。必須每半年進(jìn)行用戶使用情況的評審，凡是半年及半年以上未使用的帳號經(jīng)相關(guān)部門確認(rèn)后刪除。如有特殊情況，必須事先得到信息安全部及安全責(zé)任人的批準(zhǔn)并備案。用戶責(zé)任目標(biāo)：避免未授權(quán)用戶的訪問，防止信息和信息處理設(shè)施的安全。員工和訪問信息系統(tǒng)的第三方必須遵守《用戶帳號及口令管理規(guī)定》的要求保證自己的用戶帳號和口令的安全。要求用戶不得明文保存口令，及時修改默認(rèn)口令并必須選擇強(qiáng)壯的口令，定期修改密碼，不得隨意共享密碼。所有計(jì)算機(jī)應(yīng)當(dāng)啟用計(jì)算機(jī)的開機(jī)口令進(jìn)行保護(hù)。當(dāng)員工離開計(jì)算機(jī)時，員工必須立即鎖定屏幕或退出系統(tǒng)，且在系統(tǒng)內(nèi)必須設(shè)置5分鐘自動啟用有口令的屏幕保護(hù)。離開機(jī)房后要及時鎖門，重要信息設(shè)備可以使用計(jì)算機(jī)鎖等控制措施來保護(hù)其不受未授權(quán)訪問。人員離開時，必須清理桌面上的敏感信息，打印出的文件必須及時從打印機(jī)取走。網(wǎng)絡(luò)訪問控制目標(biāo)：防止對網(wǎng)絡(luò)服務(wù)的未經(jīng)授權(quán)的訪問。網(wǎng)絡(luò)管理員必須參照《訪問控制程序》和業(yè)務(wù)系統(tǒng)要求進(jìn)行控制：明確哪些用戶可以訪問的網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)列表明確訪問網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的用戶實(shí)施相應(yīng)的控制手段對于來自外部的連接，使用VPN連接，使用基于口令的控制系統(tǒng)進(jìn)行控制。任何到網(wǎng)絡(luò)的物理或邏輯的連接必須經(jīng)過運(yùn)維部的批準(zhǔn)。必須明確哪些人可以遠(yuǎn)程診斷和調(diào)試信息設(shè)備。給第三方開放遠(yuǎn)程維護(hù)帳號時，維護(hù)結(jié)束后必須立即收回。局域網(wǎng)網(wǎng)絡(luò)對外出口必須使用防火墻進(jìn)行保護(hù)，根據(jù)安全需要可以考慮將局域網(wǎng)進(jìn)一步劃分為獨(dú)立的邏輯網(wǎng)絡(luò)域， 并各邏輯網(wǎng)的接口處使用防火墻保護(hù)。上述接口和出口應(yīng)當(dāng)同時考慮實(shí)施地址轉(zhuǎn)換、防病毒和入侵檢測產(chǎn)品等。未經(jīng)批準(zhǔn)，不得在公共場所訪問內(nèi)部網(wǎng)絡(luò)。對于從正式辦公地點(diǎn)內(nèi)部發(fā)起的、目標(biāo)為外部網(wǎng)絡(luò)或計(jì)算機(jī)的所有計(jì)算機(jī)網(wǎng)絡(luò)連接，必須通過由統(tǒng)一配置使用的系統(tǒng)進(jìn)行路由。操作系統(tǒng)訪問控制目標(biāo)：防止對操作系統(tǒng)未授權(quán)訪問。主機(jī)系統(tǒng)的登錄必須遵照以下規(guī)定：對于非Windows平臺，成功登錄后，才顯示系統(tǒng)或應(yīng)用標(biāo)識只顯示一般性的警告信息，例如“本系統(tǒng)只允許授權(quán)用戶訪問”限制不成功登錄的次數(shù)，不得超過5次，否則鎖定用戶帳號記錄成功和不成功登錄的情況需要在網(wǎng)絡(luò)上傳輸口令時，應(yīng)當(dāng)進(jìn)行加密b) 登錄終端必須有超時設(shè)置，不超過 20分鐘。應(yīng)對所有用戶分配一個唯一的ID。無特殊情況一個人不得在一個系統(tǒng)上擁有多個帳號。使用口令管理系統(tǒng)時，可以考慮配置：強(qiáng)制選擇優(yōu)質(zhì)口令。允許用戶選擇和更改自己的口令，其中要包括新口令的確認(rèn)過程。強(qiáng)制用戶在第一次登錄時修改口令。分開存儲口令文件和應(yīng)用系統(tǒng)數(shù)據(jù)保護(hù)口令的存儲和傳輸過程。應(yīng)分開保存系統(tǒng)文件和應(yīng)用數(shù)據(jù)，限制對系統(tǒng)文件的操作。應(yīng)用程序和信息訪問控制目標(biāo)：防止對應(yīng)用系統(tǒng)中信息的非法訪問。應(yīng)限制用戶和管理員對應(yīng)用系統(tǒng)的訪問權(quán)限，要求用戶在申請、變更或廢止訪問權(quán)限時，應(yīng)填寫《權(quán)限申請表》。處理敏感信息的系統(tǒng)應(yīng)當(dāng)與公共網(wǎng)隔離，且系統(tǒng)輸出信息僅能發(fā)送給特定的終端和人員。應(yīng)當(dāng)參考《信息資產(chǎn)鑒別和分類管理辦法》明確標(biāo)識出敏感信息，當(dāng)需要共享或分發(fā)敏感信息時，必須附帶保密聲明。移動計(jì)算和遠(yuǎn)程工作目標(biāo)：確保在使用移動計(jì)算機(jī)和遠(yuǎn)程工作設(shè)施時的安全。所有遠(yuǎn)程工作的移動計(jì)算機(jī)都必須安裝防病毒軟件，應(yīng)當(dāng)考慮采用動態(tài)口令系統(tǒng)。未經(jīng)信息安全部批準(zhǔn)，不得在公共場所訪問內(nèi)部網(wǎng)絡(luò)。詳細(xì)參見《筆記本電腦安全使用指南》應(yīng)當(dāng)安排針對移動辦公人員的安全培訓(xùn)，要求此類用戶保護(hù)移動設(shè)備和遠(yuǎn)程辦公帳號的安全。5.7. 信息系統(tǒng)的獲取、開發(fā)和維護(hù)安全信息系統(tǒng)的安全要求目標(biāo)：確保安全成為信息系統(tǒng)的一部分。對自主開發(fā)和外包開發(fā)的信息系統(tǒng)或?qū)ΜF(xiàn)有系統(tǒng)的更新，在分析階段應(yīng)當(dāng)規(guī)定對安全控制的要求，并集成到系統(tǒng)設(shè)計(jì)規(guī)范書、招標(biāo)規(guī)范書和外包合同書之中，并在開發(fā)工作和驗(yàn)收時進(jìn)行考慮。應(yīng)用系統(tǒng)的正確處理目標(biāo)：防止應(yīng)用系統(tǒng)信息的錯誤、丟失、未授權(quán)的修改或誤用。應(yīng)用系統(tǒng)設(shè)計(jì)時應(yīng)當(dāng)針對數(shù)據(jù)安全進(jìn)行以下方面的考慮：輸入數(shù)據(jù)驗(yàn)證：對應(yīng)用系統(tǒng)的數(shù)據(jù)輸入進(jìn)行驗(yàn)證，保證輸入數(shù)據(jù)正確并合乎要求。數(shù)據(jù)的容錯處理：為防止正確的數(shù)據(jù)因處理錯誤或故意人為等因素遭到破壞而采取的檢查和控制措施。輸出數(shù)據(jù)驗(yàn)證：對應(yīng)用系統(tǒng)輸出的數(shù)據(jù)進(jìn)行驗(yàn)證，保證對存儲信息的正確處理。消息驗(yàn)證：檢查傳輸?shù)碾娮酉?nèi)容是否有非法變更或破壞的技術(shù)手段。可以用加密技術(shù)作為實(shí)現(xiàn)消息驗(yàn)證的手段。加密：是用于保護(hù)信息機(jī)密性的技術(shù)。在保護(hù)敏感或關(guān)鍵信息時使用。周期性評審關(guān)鍵信息和數(shù)據(jù)的內(nèi)容，以保證其有效性和完整性。加密控制目標(biāo)：通過加密手段來保護(hù)信息的保密性、真實(shí)性和完整性在組織內(nèi)實(shí)施加密控制的策略，可以考慮使用密碼技術(shù)以實(shí)現(xiàn)：保密性：通過信息加密保護(hù)存儲和傳輸中的敏感和重要數(shù)據(jù)。完整性/可認(rèn)證性：使用數(shù)字簽名和消息驗(yàn)證碼去保護(hù)存儲的和傳輸中的敏感和重要數(shù)據(jù)的可認(rèn)證性和完整性。不可否認(rèn)性：利用密碼技術(shù)獲得事件和行為發(fā)生或未發(fā)生的證明。實(shí)施密鑰管理辦法，包括防止密鑰的丟失、泄密或破壞，密鑰的銷毀和密鑰損壞后加密數(shù)據(jù)的恢復(fù)。系統(tǒng)文件安全目標(biāo)：確保系統(tǒng)文件的安全應(yīng)當(dāng)僅由管理員才可以進(jìn)行操作系統(tǒng)、軟件、應(yīng)用和運(yùn)行程序庫的更新，生產(chǎn)系統(tǒng)不得安裝無關(guān)軟件。應(yīng)當(dāng)盡量避免應(yīng)用系統(tǒng)對操作系統(tǒng)的直接調(diào)用，最大限度降低操作系統(tǒng)崩潰的風(fēng)險。重要的應(yīng)用和操作系統(tǒng)軟件只有在全面正確的測試通過后才可安裝，測試包括實(shí)用性、安全性、在其它系統(tǒng)上的有效性、用戶友好性等，測試應(yīng)在獨(dú)立的系統(tǒng)上完成，必須確保對應(yīng)的程序庫已經(jīng)更新。重要軟件和應(yīng)用升級后，包括需要的信息、參數(shù)、升級過程日志、配置細(xì)節(jié)等都要?dú)w檔，配套的數(shù)據(jù)和文件也應(yīng)歸檔。所有應(yīng)用必須編寫應(yīng)用配置手冊，應(yīng)用配置手冊必須隨著操作系統(tǒng)軟件或應(yīng)用配置的改變而及時更新。測試過程中應(yīng)當(dāng)避免使用敏感信息，測試完成后應(yīng)當(dāng)及時清除。訪問程序源代碼的行為應(yīng)受到限制，更新關(guān)鍵應(yīng)用系統(tǒng)必須按照《變更管理流程》得到授權(quán)。若有可能，在運(yùn)行環(huán)境中不應(yīng)保留程序源代碼庫。開發(fā)和支持過程安全目標(biāo)：保持應(yīng)用系統(tǒng)軟件和信息的安全維護(hù)并執(zhí)行《變更管理流程》，該流程應(yīng)當(dāng)包括提交申請、調(diào)研和評估、審批、實(shí)施、總結(jié)和備案。必須分開生產(chǎn)環(huán)境和非生產(chǎn)環(huán)境，非生產(chǎn)環(huán)境包括開發(fā)、測試和培訓(xùn)所用的環(huán)境。應(yīng)用開發(fā)人員不允許訪問生產(chǎn)環(huán)境，除非在有安全評測手段的前提下，應(yīng)用開發(fā)人員可以暫時獲得生產(chǎn)環(huán)境下的用戶名和口令以用于系統(tǒng)支持，必須保證在系統(tǒng)支持完成之后立即修改口令。當(dāng)操作系統(tǒng)變更后，應(yīng)評審和測試關(guān)鍵的應(yīng)用系統(tǒng)，以確定此變更對運(yùn)營和安全帶來的影響。只能從可信的渠道（如廠商指定的網(wǎng)站）獲取軟件的更新程序，重要變更必須進(jìn)行記錄。變更后，運(yùn)維人員應(yīng)當(dāng)監(jiān)控變更帶來的影響。其中安全補(bǔ)丁的規(guī)定詳見《補(bǔ)丁管理程序》?？梢圆扇“踩侄伪O(jiān)視系統(tǒng)、通信和個人行為，以減小信息泄露的可能。技術(shù)漏洞管理目標(biāo)：減少利用公開的技術(shù)漏洞帶來的風(fēng)險。應(yīng)當(dāng)確認(rèn)軟件和其它技術(shù)的相關(guān)漏洞，指定專人進(jìn)行安全補(bǔ)丁管理工作，包括補(bǔ)丁公告、補(bǔ)丁評估和補(bǔ)丁列表的維護(hù)工作。詳細(xì)規(guī)定參見《補(bǔ)丁管理程序》。如果沒有合適的補(bǔ)丁，應(yīng)當(dāng)實(shí)施其它措施，如：關(guān)掉可能利用漏洞造成損害的服務(wù)和端口在網(wǎng)絡(luò)邊界上增加隔離和訪問控制，如防火墻在網(wǎng)絡(luò)中部署入侵檢測系統(tǒng)增強(qiáng)對該漏洞的監(jiān)控5.8. 信息安全事故處理報(bào)告信息安全事故和弱點(diǎn)目標(biāo)：確保與信息系統(tǒng)有關(guān)的安全事件和弱點(diǎn)的報(bào)告，以便及時采取糾正措施。維護(hù)并執(zhí)行《信息安全事件管理程序》，培訓(xùn)并要求所有員工和第三方都有責(zé)任盡快報(bào)告信息安全事件。信息安全事件發(fā)生后，報(bào)告人應(yīng)立即將事件的重要細(xì)節(jié)（如事件描述、屏幕上顯示的消息、造成的后果、其它異常情況等）向主管部門報(bào)告。所有員工和第三方有責(zé)任注意并報(bào)告系統(tǒng)或服務(wù)中已發(fā)現(xiàn)或疑似的安全漏洞，但不能擅自處理和散播。信息安全事故管理和改進(jìn)目標(biāo)：確保使用可追蹤的，有效的方法管理信息安全事故。應(yīng)當(dāng)建立包括事件報(bào)告、分類、責(zé)任分工、響應(yīng)方法、記錄和總結(jié)、恢復(fù)計(jì)劃等在內(nèi)的信息安全事故管理機(jī)制。詳細(xì)規(guī)定參見《信息安全事件管理程序》。應(yīng)通過信息安全事故的評估和總結(jié)以識別將來可能再次發(fā)生的事故，特別是可能造成重大影響的事故，盡量減小同種事故帶來的損失。從事件被檢測到至處理完成全過程的記錄和證據(jù)（包括紙制文檔和電子信息）都應(yīng)進(jìn)行保留。5.9. 業(yè)務(wù)連續(xù)性管理業(yè)務(wù)連續(xù)性管理中的信息安全目標(biāo)：防止業(yè)務(wù)活動中斷，保證重要業(yè)務(wù)流程不受重大故障和災(zāi)難的影響，并確保它們的及時恢復(fù)。參考《業(yè)務(wù)連續(xù)性管理程序》制訂并實(shí)施業(yè)務(wù)連續(xù)性計(jì)劃，預(yù)防和恢復(fù)控制相結(jié)合，將災(zāi)難和安全故障（可能是由于自然災(zāi)害、事故、設(shè)備故障和蓄意破壞等引起）造成的影響降低到可以接受的水平，限制破壞性事件造成的后果，確保關(guān)鍵業(yè)務(wù)的操作得到及時恢復(fù)。業(yè)務(wù)連續(xù)性計(jì)劃制定后必須得到安全領(lǐng)導(dǎo)小組的批準(zhǔn)。業(yè)務(wù)連續(xù)性計(jì)劃的內(nèi)容至少應(yīng)當(dāng)包括：確定關(guān)鍵業(yè)務(wù)流程和其所涉及資產(chǎn)，明確信息處理設(shè)施的業(yè)務(wù)目標(biāo)。識別可能導(dǎo)致業(yè)務(wù)中斷的重大事故，評估此類重大事故發(fā)生的可能性及造成業(yè)務(wù)中斷給造成的影響，確定關(guān)鍵業(yè)務(wù)流程的優(yōu)先級。必要時可以適當(dāng)考慮購買保險，以降低重大災(zāi)難引起的損失。定期對計(jì)劃和相關(guān)操作流程進(jìn)行檢查、演練和更新。明確人員職責(zé)，業(yè)務(wù)連續(xù)性管理過程的職責(zé)應(yīng)分配給安委會。保護(hù)人員、信息處理設(shè)備和機(jī)構(gòu)財(cái)產(chǎn)的安全。業(yè)務(wù)恢復(fù)的優(yōu)先級，應(yīng)當(dāng)考慮可容忍的業(yè)務(wù)中斷時間和業(yè)務(wù)恢復(fù)到中斷前的哪個時間點(diǎn)， 要特別注意對有關(guān)外部業(yè)務(wù)和合同的評估。滿足業(yè)務(wù)連續(xù)性計(jì)劃所需的資源和服務(wù)，包括人員、非信息處理資源以及信息處理設(shè)施的低效運(yùn)行安排。業(yè)務(wù)流程的備案對員工進(jìn)行適當(dāng)?shù)臉I(yè)務(wù)連續(xù)性計(jì)劃的培訓(xùn)通過演練（或突發(fā)事件發(fā)生）的實(shí)際情況，對計(jì)劃進(jìn)行修正，保證其有效性和可操作性。應(yīng)當(dāng)維護(hù)一個全局性的業(yè)務(wù)連續(xù)性計(jì)劃框架，以確保所有計(jì)劃的一致性。業(yè)務(wù)連續(xù)性計(jì)劃框架應(yīng)該考慮以下內(nèi)容：計(jì)劃的啟動條件。在計(jì)劃執(zhí)行前說明要采用的程序（包括如何評估、參與人員等）。應(yīng)急程序。說明在發(fā)生危及業(yè)務(wù)操作和/或生命的事故后要采取的措施。低效運(yùn)行程序