安全生產(chǎn)管理信息安全策略

{安全生產(chǎn)管理}信息何部分）披露予任何第三方，或進(jìn)行修改后使用。3.訪問控制策略54.物理訪問策略66.雇員訪問策略109.病毒防范策略16該策略的目的是明確的溝通信息資源用戶的信息服務(wù)保密期望。該策略適用于使用信息資源的所有人員。略n在公司內(nèi)部保存和控制的電子文件應(yīng)該公開，并且可以n為了管理系統(tǒng)并加強(qiáng)安全，信息技術(shù)部小組可以記錄、評審，同信息資源系統(tǒng)中存儲(chǔ)和傳遞的任何信息。為了達(dá)到此目的，信息技術(shù)部小組還可以捕獲任何用戶活動(dòng)，如撥號號碼以及訪問的網(wǎng)站；n為了商業(yè)目的，第三方將信息委托給公司內(nèi)部保管，那么信息技工作人員都必須盡最大的努力保護(hù)這些信息的保密性和安全性。對這些第三方來說最重要的就是個(gè)人消費(fèi)者，因此消費(fèi)者的賬戶數(shù)據(jù)應(yīng)該保密，并且對這些數(shù)據(jù)的訪問也應(yīng)該依據(jù)商業(yè)需求進(jìn)行嚴(yán)格限制；n用戶必須向適當(dāng)?shù)墓芾碚邎?bào)告公司內(nèi)部計(jì)算機(jī)安全故或者相應(yīng)授權(quán)協(xié)議的違背情況；n在未經(jīng)授權(quán)或獲得明確同意的情況下，用戶不可以嘗試訪問公司內(nèi)部系統(tǒng)中包含違背該策略可能導(dǎo)致：員工以及臨時(shí)工被解雇、合同方或顧問的雇傭關(guān)系終止、實(shí)習(xí)人員和志愿者失去繼續(xù)工作的機(jī)會(huì)、學(xué)生被開除；另外，這些人員還可能遭受信息資源訪問權(quán)以及公民權(quán)的損失，甚至遭到法律起訴。略網(wǎng)絡(luò)基礎(chǔ)設(shè)施是提供給所有信息資源用戶的中心設(shè)施。重要的是這些基礎(chǔ)設(shè)施電纜以及相關(guān)的設(shè)備）要持續(xù)不斷的發(fā)展以滿足需求，然而也要求同時(shí)高速發(fā)展網(wǎng)絡(luò)技術(shù)部以便將來提供功能更強(qiáng)大的用戶服務(wù)。該策略的目的是建立網(wǎng)絡(luò)基礎(chǔ)設(shè)施的訪問和使用規(guī)則。這些規(guī)則是保持信息完整性、可用性和保密性所必需的。該策略適用于訪問任何信息資源的所有人。略n用戶不可以以任何方式擴(kuò)散或再次傳播網(wǎng)絡(luò)服務(wù)。安裝路由器、交換機(jī)、集線器或者無線訪問端口；n用戶不可以私自下載、安裝或運(yùn)行安全程序或應(yīng)用薄弱點(diǎn)。例如，在以任何方式連接到互聯(lián)網(wǎng)基礎(chǔ)設(shè)施時(shí)，未經(jīng)信息安全小組批準(zhǔn)用戶不可以運(yùn)行口令破解程序、監(jiān)聽器、網(wǎng)絡(luò)繪訪問網(wǎng)絡(luò)資源。違背該策略可能導(dǎo)致：員工以及臨時(shí)工被解雇、合同方或顧問的雇傭關(guān)系終止、實(shí)習(xí)人員和志愿者失去繼續(xù)工作的機(jī)會(huì)、學(xué)生被開除；另外，這些人員還可能遭受信息資源訪問權(quán)以及公民權(quán)的損失，甚至遭到法律起訴。略3.訪問控制策略應(yīng)根據(jù)業(yè)務(wù)和安全要求，控制對信息和信息系統(tǒng)的訪問。該策略的目的是為了控制對信息和信息系統(tǒng)的訪問。該策略適用于進(jìn)行信息和信息系統(tǒng)訪問的所有人員。略n公司內(nèi)部分公開信息，根據(jù)業(yè)務(wù)需求訪問，訪問人員提出申請，經(jīng)訪問授權(quán)管理部門認(rèn)可，訪問授權(quán)實(shí)施部門實(shí)施后用戶方可訪問；n公司網(wǎng)絡(luò)、信息系統(tǒng)根據(jù)業(yè)務(wù)需求訪問，訪問人員提出申請，經(jīng)信息安全小組認(rèn)n訪問權(quán)限應(yīng)及時(shí)撤銷，如在申請?jiān)L問時(shí)限結(jié)束時(shí)、員工聘用期限結(jié)束時(shí)、第三方服務(wù)協(xié)議中止時(shí)；括軟件和硬件)等；違背該策略可能導(dǎo)致：員工以及臨時(shí)工被解雇、合同方或顧問的雇傭關(guān)系終止、實(shí)習(xí)人員和志愿者失去繼續(xù)工作的機(jī)會(huì)、學(xué)生被開除；另外，這些人員還可能遭受信息資源訪問權(quán)以及公民權(quán)的損失，甚至遭到法律起訴。略4.物理訪問策略物理設(shè)施。對信息資源設(shè)施物理訪問的批準(zhǔn)、控制以及監(jiān)控對于全局的安全是極其重要的。該策略的目的是為信息資源設(shè)施物理訪問的批準(zhǔn)、控制、監(jiān)控和刪除建立規(guī)則。該策略適用于組織中負(fù)責(zé)信息資源安裝和支持的所有人員，負(fù)責(zé)信息資源安全的人員略n授權(quán)使用卡和/或鑰匙訪問信息資源設(shè)施的過程中必須包括設(shè)施負(fù)責(zé)人的批準(zhǔn)；n擁有信息資源設(shè)施訪問權(quán)的每一個(gè)人員都必須接受設(shè)施應(yīng)急程序培訓(xùn)，并且必須n訪問請求必須發(fā)自相應(yīng)的數(shù)據(jù)/系統(tǒng)所有n訪問卡和/或鑰匙不可以與他人共享或借給他n訪問卡和/或鑰匙丟失或被盜必須向信息資源設(shè)施的負(fù)責(zé)人報(bào)n卡和/或鑰匙上除了退回的地址外不可以有標(biāo)志性n所有允許來賓訪問的信息資源設(shè)施都必須使用簽字出/入記錄來追蹤來賓n信息資源設(shè)施的持卡訪問記錄以及來賓記錄必須保存，并依據(jù)被保護(hù)信息資源的n信息資源設(shè)施的負(fù)責(zé)人必須定期評審訪問記錄以及來賓記錄，并要對異常訪問進(jìn)行調(diào)查；人員的權(quán)限；n對限制訪問的房間和場所必須進(jìn)行標(biāo)記，但是描述其重要違背該策略可能導(dǎo)致：員工以及臨時(shí)工被解雇、合同方或顧問的雇傭關(guān)系終止、實(shí)習(xí)人員和志愿者失去繼續(xù)工作的機(jī)會(huì)、學(xué)生被開除；另外，這些人員還可能遭受信息資源訪問權(quán)以及公民權(quán)的損失，甚至遭到法律起訴。略5.供應(yīng)商訪問策略供應(yīng)商在支持硬件和軟件管理以及客戶運(yùn)作方面有重要作用。供應(yīng)商可以遠(yuǎn)程對數(shù)據(jù)和審核日志進(jìn)行評審、備份和修改，他們可以糾正軟件和操作系統(tǒng)中的問題，可以監(jiān)控并調(diào)整系統(tǒng)性能，可以監(jiān)控硬件性能和錯(cuò)誤，可以修改周遭系統(tǒng)，并重新設(shè)置警告極限。由供應(yīng)商設(shè)置的限制和控制可以消除或降低收入、信譽(yù)損失或遭破壞的風(fēng)險(xiǎn)。該策略的目的是為減緩供應(yīng)商訪問組織資產(chǎn)帶來的風(fēng)險(xiǎn)。該策略適用于所有需要訪問組織的供應(yīng)商。略略安全策略；保密策略；信息資源使用策略。供應(yīng)商應(yīng)該訪問的信息；供應(yīng)商怎樣保護(hù)信息；合同結(jié)束時(shí)供應(yīng)商所擁有的信息返回、毀滅或處置方法；供應(yīng)商只能使用用于商業(yè)協(xié)議目的的信息和信息資源；在合同期間供應(yīng)商所獲得的任何信息都不能用于供應(yīng)商自己的目的或泄漏給他人。n應(yīng)該向信息安全小組提供與供應(yīng)商的合同要點(diǎn)。合同要點(diǎn)能確保供應(yīng)商符合策略n為供應(yīng)商分配類型，如IT基礎(chǔ)組件運(yùn)維服務(wù)、n供應(yīng)商訪問信息的人員范圍僅限于工作需要的人員，授權(quán)需獲得信息安全小組的批準(zhǔn)；n針對與供應(yīng)商人員交互的組織人員開展意識(shí)培訓(xùn)，培訓(xùn)內(nèi)容涉及基于供應(yīng)商類型和供應(yīng)商訪問組織系統(tǒng)及信息級別的參與規(guī)則和行為；n每一個(gè)在組織場所內(nèi)工作的供應(yīng)商員工都必須佩帶身份識(shí)別卡。當(dāng)合同結(jié)束時(shí)，n定期進(jìn)行的工作任務(wù)和時(shí)間必須在合同中規(guī)定。規(guī)定條件之n必須對供應(yīng)商訪問進(jìn)行唯一標(biāo)識(shí)，并且對其進(jìn)行的口令管理范和特殊訪問實(shí)施規(guī)范。供應(yīng)商主要的工作活動(dòng)必須形成日志并且在管的時(shí)候可以訪問。日志的內(nèi)容包括但不僅限于：人員變化、口令變化、項(xiàng)目進(jìn)度份返回或銷毀的書面證明；n在合同或邀請結(jié)束時(shí)，供應(yīng)商必須立即交出所有身份識(shí)別卡、訪問卡以及設(shè)備和供應(yīng)品。由供應(yīng)商保留的設(shè)備和/或供應(yīng)品必須被管理者書面授權(quán)；n要求供應(yīng)商必須遵守所有規(guī)定和審核要求，n在提供服務(wù)時(shí)，供應(yīng)商使用的所有軟件必須進(jìn)行相應(yīng)的清點(diǎn)并許可。違背該策略可能導(dǎo)致：員工以及臨時(shí)工被解雇、合同方或顧問的雇傭關(guān)系終止、實(shí)習(xí)人員和志愿者失去繼續(xù)工作的機(jī)會(huì)、學(xué)生被開除；另外，這些人員還可能遭受信息資源訪問權(quán)以及公民權(quán)的損失，甚至遭到法律起訴。略6.雇員訪問策略雇員工作在信息安全區(qū)域，工作中需要使用公司的各種信息處理設(shè)施，需要訪問公司的各種信息資產(chǎn)，因此每一個(gè)雇員有義務(wù)和責(zé)任保護(hù)好公司信息資產(chǎn)的本策略未訪問本公司信息資源的全體雇員，這種訪問是出于業(yè)務(wù)需要的，涉及物理和行政安全管理需求的網(wǎng)絡(luò)連接、雇員的職責(zé)及信息保護(hù)的準(zhǔn)則。該策略適用于公司的任何雇員，雇員對信息資源的訪問，包括信息處理設(shè)施設(shè)備和技術(shù)部資源。略銷毀的書面證明，并由資產(chǎn)責(zé)任人簽字認(rèn)可；n在合同結(jié)束時(shí)，雇員必須立即交出所有身份識(shí)別卡、訪問卡以及設(shè)備和供應(yīng)品。由雇員保管的設(shè)備和/或供應(yīng)品的回收必須由資產(chǎn)責(zé)任人簽字違背該方針可能導(dǎo)致：員工被解雇、合同方或顧問的雇傭關(guān)系終止、實(shí)習(xí)人員失去繼續(xù)工作的機(jī)會(huì)、員工受到經(jīng)濟(jì)性懲罰等；另外，這些人員的信息資源訪問權(quán)以及公民權(quán)可能受到侵害，甚至遭到法律起訴。略7.設(shè)備及布纜安全策略網(wǎng)絡(luò)基礎(chǔ)設(shè)施是向所有信息資源用戶提供服務(wù)的中心設(shè)施。這些基礎(chǔ)設(shè)施（包饋送和數(shù)據(jù)傳輸?shù)碾娎|以及相關(guān)的設(shè)備）需要持續(xù)不斷的發(fā)同時(shí)也要求網(wǎng)絡(luò)技術(shù)部高速發(fā)展以便將來能夠提供功能更強(qiáng)大的用戶服務(wù)。n該方針的目的保護(hù)設(shè)備免受物理的和環(huán)境的威脅，減少未授權(quán)訪問信息的風(fēng)險(xiǎn)。n為了安置或保護(hù)設(shè)備，以減少由環(huán)境威脅和危險(xiǎn)所造成的各種風(fēng)n為了保護(hù)設(shè)備使其免于由支持性設(shè)施的失效而引起的電源故障和足夠的支持性設(shè)施（供電、供水、通風(fēng)和空調(diào)等）來支持系n為了保證傳輸數(shù)據(jù)或支持信息服務(wù)的電源布纜和通信布纜免受竊饋送和數(shù)據(jù)通訊的電纜必須確保安全；n為了確保涉密信息不泄露，在存儲(chǔ)介質(zhì)銷毀之前，任何機(jī)密信息n為了確保涉密信息不泄露，設(shè)備、信息或軟件該方針適用于網(wǎng)絡(luò)設(shè)備設(shè)施的建設(shè)和維護(hù)人員。略略設(shè)備應(yīng)進(jìn)行適當(dāng)安置，以盡量減少不必要的對工作區(qū)域的訪問；應(yīng)把處理機(jī)密數(shù)據(jù)的信息處理設(shè)施放在適當(dāng)?shù)南拗朴^測的位置，以減少在其使用期間信息被窺視的風(fēng)險(xiǎn)，還應(yīng)保護(hù)儲(chǔ)存設(shè)施以防止未授權(quán)訪問；要求專門保護(hù)的部件要予以隔離，以降低所要求的總體保護(hù)等級；應(yīng)采取控制措施以減小潛在的物理威脅的風(fēng)險(xiǎn)，例如偷竊、火災(zāi)、爆炸、煙對于可能對信息處理設(shè)施運(yùn)行狀態(tài)產(chǎn)生負(fù)面影響的環(huán)境條件（例如溫度和濕度）要予以監(jiān)視；應(yīng)保護(hù)處理機(jī)密信息的設(shè)備，以減少由于輻射而導(dǎo)致信息泄露的風(fēng)險(xiǎn)；支持性設(shè)施應(yīng)定期檢查并適當(dāng)?shù)臏y試以確保他們的功能，減少由于他們的故障或失效帶來的風(fēng)險(xiǎn)。應(yīng)按照設(shè)備制造商的對支持關(guān)鍵業(yè)務(wù)操作的設(shè)備，必須使用支持有序關(guān)機(jī)或連續(xù)運(yùn)行的不間斷電檢查，以確保它們擁有足夠能力，并按照制造商的建議予以測試；進(jìn)入信息處理設(shè)施的電源和通信線路宜在地下，若可能，或提供足夠的可替換的保護(hù)；網(wǎng)絡(luò)布纜要免受未授權(quán)竊聽或損壞，例如，利用電纜管道或使路由避開使用清晰的可識(shí)別的電纜和設(shè)備記號，以使處理失誤最小化，例如，錯(cuò)誤網(wǎng)對于機(jī)密的或關(guān)鍵的系統(tǒng)，更進(jìn)一步的控制考慮*在檢查點(diǎn)和終接點(diǎn)處安裝鎧裝電纜管道和上鎖的房間或盒子；*使用可替換的路由選擇和/或傳輸介質(zhì)，以提供適當(dāng)?shù)陌踩胧?使用纖維光纜；*使用電磁防輻射裝置保護(hù)電纜；*對于電纜連接的未授權(quán)裝置要主動(dòng)實(shí)施技術(shù)部清除、物理檢查；*控制對配線盤和電纜室的訪問；要按照供應(yīng)商推薦的服務(wù)時(shí)間間隔和規(guī)范對設(shè)備進(jìn)行維護(hù)；要保存所有可疑的或?qū)嶋H的故障以及所有預(yù)防和糾正維護(hù)的記錄；行還是由外部人員執(zhí)行；當(dāng)需要時(shí)，機(jī)密信息需要從設(shè)備中刪除或者維護(hù)人員應(yīng)該是足夠可靠的；應(yīng)遵守由保險(xiǎn)策略所施加的所有要求。離開建筑物的設(shè)備和介質(zhì)在公共場所不應(yīng)無人看要作為手提行李攜帶，若可能宜偽裝起來；制造商的設(shè)備保護(hù)說明要始終加以遵守，例如，防止暴露于強(qiáng)電磁場內(nèi)；家庭工作的控制措施應(yīng)根據(jù)風(fēng)險(xiǎn)評估確定，當(dāng)適合時(shí)，要施加合適的控制措施，例如，可上鎖的存檔柜、清理桌面策略、對計(jì)算機(jī)的訪問控制以及與辦公室的安全通信；足夠的安全保障掩蔽物宜到位，以保護(hù)離開辦公場所的設(shè)備。安全風(fēng)險(xiǎn)在不同場所可能有顯著不同，例如，損壞、盜竊和截取，要考慮確定最合適的控制措施。技術(shù)部破壞、刪除、覆蓋信息，而不能采用標(biāo)準(zhǔn)的刪除或格式化功能；要進(jìn)行銷毀、而不是送去修理或丟棄。在未經(jīng)事先授權(quán)的情況下，不允許讓設(shè)備、信息或軟件離開辦公場所；應(yīng)明確識(shí)別有權(quán)允許資產(chǎn)移動(dòng)，離開辦公場所的雇員、承包方人員和供應(yīng)商人員；應(yīng)設(shè)置設(shè)備移動(dòng)的時(shí)間限制，并在返還時(shí)執(zhí)行符合性檢查；若需要并合適，要對設(shè)備作出移出記錄，當(dāng)返回時(shí)，要作出送回記錄；應(yīng)執(zhí)行檢測未授權(quán)資產(chǎn)移動(dòng)的抽查，以檢測未授權(quán)的記錄裝置，防止他們進(jìn)入辦公場所。這樣的抽查應(yīng)按照相關(guān)規(guī)章制度執(zhí)行。應(yīng)讓每個(gè)人都知道將進(jìn)行抽查，并且只能在法律法規(guī)要求的適當(dāng)授權(quán)下執(zhí)行檢查。違背該方針可能導(dǎo)致：員工被解雇、合同方或顧問的雇傭關(guān)系終止、實(shí)習(xí)人員失去繼續(xù)工作的機(jī)會(huì)、員工受到經(jīng)濟(jì)性懲罰等；另外，這些人員的信息資源訪問權(quán)以及公民權(quán)可能受到侵害，甚至遭到法律起訴。略施的關(guān)鍵組成部分。該策略的目的是以一種合理的、可預(yù)知的方式管理變更，以便員工和客戶能進(jìn)行相應(yīng)的計(jì)劃。變更需要事先嚴(yán)格計(jì)劃、仔細(xì)監(jiān)控并要進(jìn)行追蹤評價(jià)，以降低對用戶群的負(fù)該策略適用于安裝、操作或維護(hù)信息資源的所有人員。略n對信息資源的每一次變更，如操作系統(tǒng)、計(jì)算機(jī)硬件、網(wǎng)絡(luò)以及應(yīng)用程序從變更管理策略，并且必須遵守變更管理程序；n所有影響計(jì)算機(jī)環(huán)境設(shè)備的變更(如空調(diào)、水、熱、管道、電)需要向變更管理過程的領(lǐng)導(dǎo)者報(bào)告，并與之協(xié)調(diào)處理；n所有事先有計(jì)劃的變更申請必須按照變更管理程序的規(guī)定提交，以便信息組有足夠的時(shí)間評審申請，確定并重新評審潛在的失敗，并決定申請被批準(zhǔn)還是延期執(zhí)行；n指定的信息安全小組領(lǐng)導(dǎo)在下列情況下有權(quán)拒絕任何申請：不充分的策劃、不充分的刪除計(jì)劃、變更的時(shí)間等會(huì)對關(guān)鍵的業(yè)務(wù)過程造成負(fù)面影響，或者會(huì)造成沒有充分的資源可用；n每一次變更必須進(jìn)行變更評審，無論是計(jì)成功或失敗的標(biāo)志。違背該策略可能導(dǎo)致：員工以及臨時(shí)工被解雇、合同方或顧問的雇傭關(guān)系終止、實(shí)習(xí)人員和志愿者失去繼續(xù)工作的機(jī)會(huì)、學(xué)生被開除；另外，這些人員還可能遭受信息資源訪問權(quán)以及公民權(quán)的損失，甚至遭到法律起訴。略9.病毒防范策略計(jì)算機(jī)安全事故的數(shù)量以及由業(yè)務(wù)中斷服務(wù)恢復(fù)所導(dǎo)致的費(fèi)用日益攀升。實(shí)施穩(wěn)固的安全策略，防止對網(wǎng)絡(luò)和計(jì)算機(jī)不必要的訪問，較早的發(fā)現(xiàn)并減輕安全事故可以有效地降低風(fēng)險(xiǎn)以及安全事故造成的費(fèi)用。該策略的目的是描述計(jì)算機(jī)病毒、蠕蟲以及特洛伊木馬防御、檢測以及清除的要求。該策略適用于使用信息資源的所有人員。略n與局域網(wǎng)連接的每一個(gè)文件服務(wù)器必須使用信息安全小組批準(zhǔn)的病毒保護(hù)軟件，違背該策略可能導(dǎo)致：員工以及臨時(shí)工被解雇、合同方或顧問的雇傭關(guān)系終止、實(shí)習(xí)人員和志愿者失去繼續(xù)工作的機(jī)會(huì)、學(xué)生被開除；另外，這些人員還可能遭受信息資源訪問權(quán)以及公民權(quán)的損失，甚至遭到法律起訴。略未經(jīng)授權(quán)的移動(dòng)代碼危害信息系統(tǒng)，應(yīng)實(shí)施對惡意代碼的監(jiān)測、預(yù)防和恢復(fù)控制，以及適當(dāng)?shù)挠脩粢庾R(shí)培訓(xùn)。該策略的目的阻止和發(fā)現(xiàn)未經(jīng)授權(quán)的移動(dòng)代碼的引入，實(shí)施對惡意代碼的監(jiān)測、預(yù)防和恢復(fù)控制。該策略適用于使用信息資源的所有人員。略略n防范經(jīng)過外部網(wǎng)絡(luò)或任何其它媒介引入文件和軟n定期對支持關(guān)鍵業(yè)務(wù)過程的系統(tǒng)中的軟件和數(shù)據(jù)進(jìn)行評審；收的文件或者未經(jīng)授權(quán)的修改，都要進(jìn)行正式調(diào)查。n安裝并定期升級防病毒的檢測軟件和修復(fù)軟件，定期掃描計(jì)算機(jī)和存儲(chǔ)介質(zhì)，檢在使用前，對存儲(chǔ)媒體，以及通過網(wǎng)絡(luò)接收的文檔進(jìn)行惡意代碼檢測；在使用前，通過郵件服務(wù)器對電子郵件附件及下載文件進(jìn)行惡意代碼檢測；n信息安全小組負(fù)責(zé)惡意代碼防護(hù)、使用培訓(xùn)、病毒襲擊和恢n為從惡意代碼攻擊中恢復(fù)，需要制定適當(dāng)?shù)臉I(yè)務(wù)持續(xù)性計(jì)劃。包據(jù)、軟件備份以及恢復(fù)安排。確保警報(bào)公告的內(nèi)容準(zhǔn)確詳實(shí)。管理員應(yīng)當(dāng)確人員和志愿者失去繼續(xù)工作的機(jī)會(huì)、學(xué)生被開除；另外，這源訪問權(quán)以及公民權(quán)的損失，甚至遭到法律起訴。略電子備份是一項(xiàng)必需的業(yè)務(wù)要求，能使數(shù)據(jù)和應(yīng)用程序在發(fā)生意恢復(fù)，這些事件包括：自然災(zāi)害、系統(tǒng)磁盤故障、間諜活動(dòng)、數(shù)據(jù)輸入錯(cuò)誤或系統(tǒng)操作錯(cuò)誤等。該策略的目的是設(shè)置電子信息的備份和存儲(chǔ)職責(zé)。該策略適用于組織中負(fù)責(zé)信息資源安裝和支持的所有人員，以及負(fù)責(zé)信息資源安全的人員和數(shù)據(jù)所有者。略n信息備份周期和方式必須依據(jù)信息的重要性以及數(shù)據(jù)所有者確定的可接受風(fēng)險(xiǎn)確創(chuàng)建日期；］；違背該策略可能導(dǎo)致：員工以及臨時(shí)工被解雇、合同方或顧問的雇傭關(guān)系終止、實(shí)習(xí)人員和志愿者失去繼續(xù)工作的機(jī)會(huì)、學(xué)生被開除；另外，這些人員還可能遭受信息資源訪問權(quán)以及公民權(quán)的損失，甚至遭到法律起訴。略網(wǎng)絡(luò)基礎(chǔ)設(shè)施是提供給所有信息資源用戶的中心設(shè)施。重要的是這些基礎(chǔ)設(shè)施電纜以及相關(guān)的設(shè)備，如路由器、交換機(jī)）要持續(xù)不斷的發(fā)展以滿足用戶需求，然而也要求同時(shí)高速發(fā)展網(wǎng)絡(luò)技術(shù)部以便將來提供功能更強(qiáng)大的用戶服務(wù)。該策略的目的是為網(wǎng)絡(luò)基礎(chǔ)設(shè)施的維護(hù)、擴(kuò)展以及使用建立規(guī)則。該規(guī)則是保持信息完整性、可用性和保密性所必需的。該策略適用于訪問信息資源的所有人。略n信息安全小組擁有網(wǎng)絡(luò)基礎(chǔ)設(shè)施并對其負(fù)責(zé)，而且還要對基礎(chǔ)設(shè)施的發(fā)展和增加n為了提供穩(wěn)固的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，所有電纜必須由信息安全小組或安裝；協(xié)議都必須經(jīng)過信息安全小組的批準(zhǔn)；部電話網(wǎng)絡(luò)的連接；n在未獲得信息安全小組書面授權(quán)的情況下，n用戶不可以以任何方式擴(kuò)散或再次傳播網(wǎng)絡(luò)服務(wù)。批準(zhǔn)不可以安裝路由器、交換機(jī)、集線器或者無線訪問端口；違背該策略可能導(dǎo)致：員工以及臨時(shí)工被解雇、合同方或顧問的雇傭關(guān)系終止、實(shí)習(xí)人員和志愿者失去繼續(xù)工作的機(jī)會(huì)、學(xué)生被開除；另外，這些人員還可能遭受信息資源訪問權(quán)以及公民權(quán)的損失，甚至遭到法律起訴。略在組織之間交換信息和軟件應(yīng)當(dāng)遵守根據(jù)交換協(xié)議所制定的正式的交換方針，并且應(yīng)保持在組織內(nèi)部及任何外部機(jī)構(gòu)之間所交換的信息和軟件的安全。該策略適用于進(jìn)行信息交換的所有人員。略經(jīng)授權(quán)的采購等。n不得將機(jī)密或關(guān)鍵信息放在打印設(shè)施上，如復(fù)印機(jī)、打印權(quán)人員的訪問。n做應(yīng)用系統(tǒng)之間接口、協(xié)議時(shí)，不能影響雙方應(yīng)用的正常運(yùn)行；在實(shí)施之前應(yīng)充分考慮應(yīng)用系統(tǒng)的資源是否足夠；保證數(shù)據(jù)交換的權(quán)限最小化。n在進(jìn)行與相關(guān)方信息交換時(shí)，需提前指定雙方的信息交換人員、交換方式、交換保密方法，以防止信息的泄露。違背該策略可能導(dǎo)致：員工以及臨時(shí)工被解雇、合同方或顧問的雇傭關(guān)系終止、實(shí)習(xí)人員和志愿者失去繼續(xù)工作的機(jī)會(huì)、學(xué)生被開除；另外，這些人員還可能遭受信息資略物理介質(zhì)是信息資源的載體，在運(yùn)送過程中必須對其安全進(jìn)行管理。建立該方針是為了確保包含信息的介質(zhì)在組織的物理邊界以外運(yùn)送時(shí)，防止未授權(quán)的訪問、不當(dāng)?shù)氖孤栽摲结樳m用于在組織安全邊界外運(yùn)輸組織物理介質(zhì)的所有人員。略略應(yīng)考慮下列方針以保護(hù)不同地點(diǎn)間傳輸?shù)男畔⒔橘|(zhì)：應(yīng)使用可靠的運(yùn)輸或送信人；授權(quán)的送信人列表應(yīng)經(jīng)管理者批準(zhǔn)；包裝要足以保護(hù)信息免遭在運(yùn)輸期間可能出現(xiàn)的任何物理損壞，并且符合制造商使用可上鎖的容器；）；在異常情況下，把托運(yùn)貨物分解成多次交付，并且通過不同的路線發(fā)送。違背該方針可能導(dǎo)致：員工被解雇、合同方或顧問的雇傭關(guān)系終止、實(shí)習(xí)人員失去繼續(xù)工作的機(jī)會(huì)、員工受到經(jīng)濟(jì)性懲罰等；另外，這些人員的信息資源訪問權(quán)以及公民權(quán)可能受到侵害，甚至遭到法律起訴。略信息資源是組織的資產(chǎn)，必須對其進(jìn)行有效地管理，因而建立該策略是為了：略發(fā)送或者轉(zhuǎn)發(fā)能夠引起連鎖發(fā)送的恐嚇、祝賀在非授權(quán)情況下以公司的名義發(fā)表個(gè)人意見；使用非授權(quán)的電子郵件收發(fā)軟件；違背該策略可能導(dǎo)致：員工以及臨時(shí)工被解雇、合同方或顧問的雇傭關(guān)系終止、實(shí)習(xí)人員和志愿者失去繼續(xù)工作的機(jī)會(huì)、學(xué)生被開除；另外，這些人員還可能遭受信息資源訪問權(quán)以及公民權(quán)的損失，甚至遭到法律起訴。略信息安全監(jiān)控是確保安全實(shí)踐和控制被恰當(dāng)執(zhí)行和有效實(shí)施的一種方法，監(jiān)控活動(dòng)包括對下列內(nèi)容的評審：其他類型的日志以及出錯(cuò)日志.該策略是為了確保信息資源控制措施被適當(dāng)、有效地實(shí)施并且不被忽視。安全監(jiān)控的其中一個(gè)好處就是較早的發(fā)現(xiàn)破壞行為或新的薄弱點(diǎn)。這樣會(huì)有助于在破壞發(fā)生前阻止破壞行為或薄弱點(diǎn)，最起碼能夠減小潛在的影響。其他好處包括：審核符合性、服務(wù)層監(jiān)控、業(yè)績測量、劃定責(zé)任以及容量策劃。適用于負(fù)責(zé)信息資源安全、現(xiàn)有信息資源的操作以及負(fù)責(zé)信息資源安全的所有人員。略nIT管理員自身的工作由管理者代表進(jìn)行審查和監(jiān)督。違背該策略可能導(dǎo)致：員工以及臨時(shí)工被解雇、合同方或顧問的雇傭關(guān)系終止、實(shí)習(xí)人員和志愿者失去繼續(xù)工作的機(jī)會(huì)。另外，這些人員還可能遭受信息資源訪問權(quán)以及公民權(quán)的損失，甚至遭到法律起訴。略限要求。這些管理性的和特殊訪問賬戶的訪問等級比較高，因此對這些賬戶的批準(zhǔn)、控制和監(jiān)控對于整個(gè)安全程序極其重要。該策略的目的是為具有特殊訪問權(quán)限的賬號建立創(chuàng)建、使用、控制及其刪除的規(guī)則。該策略適用于擁有、或者可能會(huì)需要信息資源特殊訪問權(quán)限的所有人員。略n所有管理性的/特殊訪問賬戶的用戶必須接受培訓(xùn)并獲安全小組的指導(dǎo)下使用；n每一個(gè)使用管理性的/特殊訪問賬號的個(gè)人必須以最適宜所執(zhí)行的工作的方式行使賬號權(quán)力；n每一個(gè)管理性的/特殊訪問賬戶必須滿足口令策略的要n共有的管理性的/特殊訪問賬號的口令在人員離職或發(fā)生變更時(shí)必須n當(dāng)因內(nèi)外部審核、軟件開發(fā)、軟件安裝或其創(chuàng)建的日期期限必須明確；工作結(jié)束時(shí)必須刪除。違背該策略可能導(dǎo)致：員工以及臨時(shí)工被解雇、合同方或顧問的雇傭關(guān)系終止、實(shí)習(xí)人員和志愿者失去繼續(xù)工作的機(jī)會(huì)、學(xué)生被開除；另外，這些人員還可能遭受信息資源訪問權(quán)以及公民權(quán)的損失，甚至遭到法律起訴。略用戶授權(quán)是控制信息資源訪問者的一種方式。對訪問進(jìn)行控制是任何信息資源所必須的。未經(jīng)授權(quán)的人員訪問到信息資源可能會(huì)引起信息保密性、完整性共和可用性的丟失，導(dǎo)致收入、信譽(yù)的損失或經(jīng)濟(jì)困難。使用下列三個(gè)要素或其三者的任意組合可以n你知道–口令識(shí)別號（PIN）n你持有–智能卡n你擁有–指紋、虹膜、聲音n三者的任意組合–智能卡和口令識(shí)別號該策略的目的是為用戶鑒別機(jī)制建立創(chuàng)造、分發(fā)、保護(hù)、終止以及收回的規(guī)則。該策略適用于任何信息資源的使用者。略）；必須不能是可以輕易聯(lián)想到的帳號所有者的特性：用戶名、綽號、親屬的姓名、生日等；必須保存歷史口令，以防止口令的重復(fù)使用。違背該策略可能導(dǎo)致：員工以及臨時(shí)工被解雇、合同方或顧問的雇傭關(guān)系終止、實(shí)習(xí)人員和志愿者失去繼續(xù)工作的機(jī)會(huì)、學(xué)生被開除；另外，這些人員還可能遭受信息資源訪問權(quán)以及公民權(quán)的損失，甚至遭到法律起訴。略應(yīng)該實(shí)施清除桌面和清除屏幕方針，以降低對文件、介質(zhì)以及信息處理設(shè)施未經(jīng)授權(quán)訪問或破壞的風(fēng)險(xiǎn)。該策略的目的是防止對信息和信息處理設(shè)施未經(jīng)授權(quán)的用戶訪問、破壞或盜竊。該策略適用于公司所有員工。略略n含有涉密信息或重要信息的文件、記錄、磁盤、光盤或以其它形式存貯的媒人員離開時(shí)，應(yīng)鎖入文件柜、保險(xiǎn)柜等；n在結(jié)束工作時(shí)，必須關(guān)閉所有計(jì)算機(jī)終端，并且將個(gè)人桌面上所有記錄有機(jī)密信n應(yīng)清潔電腦屏幕，確保不放置重要信息在電n打印或復(fù)印公司機(jī)密信息時(shí)，打印或復(fù)印設(shè)備現(xiàn)場應(yīng)有可靠人員，打印或復(fù)印完畢即從設(shè)備拿走。違背該策略可能導(dǎo)致：員工以及臨時(shí)工被解雇、合同方或顧問的雇傭關(guān)系終止、實(shí)習(xí)人員和志愿者失去繼續(xù)工作的機(jī)會(huì)、學(xué)生被開除；另外，這些人員還可能遭受信息資源訪問權(quán)以及公民權(quán)的損失，甚至遭到法律起訴。略在信息資源管理策略的規(guī)定中，信息資源是對組織有價(jià)值的重要資產(chǎn)。建立該策略是確保符合相應(yīng)的、與信息資源管理相關(guān)的法令、規(guī)章以及要求；建立謹(jǐn)慎的、合理的互聯(lián)網(wǎng)使用慣例；向使用互聯(lián)網(wǎng)或者企業(yè)內(nèi)部網(wǎng)絡(luò)的員工告知他們該策略的目的是規(guī)范互聯(lián)網(wǎng)以及公司內(nèi)部網(wǎng)絡(luò)的使用，確保信息資源不會(huì)被泄漏、篡該策略適用于有權(quán)訪問任何信息資源而又可以訪問互聯(lián)網(wǎng)以及公司內(nèi)部網(wǎng)絡(luò)的所有人略略必須在公司公共的上網(wǎng)區(qū)域訪問互聯(lián)網(wǎng)，且必須遵守相關(guān)規(guī)定。n所有用于訪問互聯(lián)網(wǎng)的軟件必須都經(jīng)過信息安全小組批準(zhǔn)，并且必須結(jié)合供的安全補(bǔ)??；n從互聯(lián)網(wǎng)下載的所有文件必須通過信息安全小組批準(zhǔn)的病毒檢測軟件進(jìn)行病毒掃描；保存；n偶爾使用互聯(lián)網(wǎng)訪問的人員必須僅限于授權(quán)用戶，不能延伸到家庭成員或其他熟人；n使用互聯(lián)網(wǎng)應(yīng)遵循法律法規(guī)要求，并不得利用國際聯(lián)網(wǎng)危害國家安全、泄露國家秘密，不得侵犯國家的、社會(huì)的、集體的利益和公民的合法權(quán)益，不得從事違法犯罪活動(dòng)。違背該策略可能導(dǎo)致：員工以及臨時(shí)工被解雇、合同方或顧問的雇傭關(guān)系終止、實(shí)習(xí)人員和志愿者失去繼續(xù)工作的機(jī)會(huì)、學(xué)生被開除；另外，這些人員還可能遭受信息資源訪問權(quán)以及公民權(quán)的損失，甚至遭到法律起訴。略便攜式計(jì)算機(jī)設(shè)備的功能和應(yīng)用越來越廣泛。其小巧的“體型”和強(qiáng)大的功能使人們期望其替代傳統(tǒng)的桌面設(shè)備。然而，這些設(shè)備的便攜特性也會(huì)給使用他們的組織增加安全暴露。該策略的目的是建立移動(dòng)計(jì)算機(jī)設(shè)備的使用規(guī)則及其與互聯(lián)網(wǎng)的連接規(guī)則。這些規(guī)則是保持信息保密性、完整性和可用性所必需的。該策略適用于使用便攜式計(jì)算機(jī)設(shè)備訪問信息資源的所有人。略n對無人看守的便攜式計(jì)算機(jī)設(shè)備必須實(shí)施物理保護(hù)，必須放在帶鎖的辦公屜或文件柜里，或者鎖在桌子或柜子上；違背該策略可能導(dǎo)致：員工以及臨時(shí)工被解雇、合同方或顧問的雇傭關(guān)系終止、實(shí)習(xí)人員和志愿者失去繼續(xù)工作的機(jī)會(huì)、學(xué)生被開除；另外，這些人員還可能遭受信息資源訪問權(quán)以及公民權(quán)的損失，甚至遭到法律起訴。略計(jì)算機(jī)安全事件的數(shù)量以及由其導(dǎo)致得業(yè)務(wù)中斷和服務(wù)恢復(fù)所需的費(fèi)用日益增長。實(shí)施可靠的安全策略，防止對網(wǎng)絡(luò)和計(jì)算機(jī)不必要的訪問，提高用戶的安全意識(shí)以及及早檢測并減輕安全事件，可有效的降低風(fēng)險(xiǎn)以及安全事件的成本。蠕蟲、特洛伊碼、未經(jīng)授權(quán)使用計(jì)算機(jī)賬號和計(jì)算機(jī)系統(tǒng)以及如在電子郵件策略、信該策略適用于使用任何信息資源的所有人員。略n信息技術(shù)部小組的成員此方面任務(wù)和職責(zé)n在懷疑或確定發(fā)生安全事件的任何時(shí)候都必須遵循適當(dāng)?shù)氖录芾沓绦?，例如病毒、蠕蟲、惡作劇郵件等；n信息安全小組負(fù)責(zé)通知信息安全經(jīng)理以及信息技術(shù)部小組，啟動(dòng)適當(dāng)?shù)氖录芾韓在事件調(diào)查過程中，信息安全小組負(fù)責(zé)確定要搜n信息技術(shù)部小組提供的用于監(jiān)控安全事件破壞的技術(shù)部資源應(yīng)該被維修并降低其n信息安全小組與信息安全經(jīng)理合作確定是否需要對安全事件進(jìn)行廣泛的溝通，溝n信息安全小組在信息技術(shù)部小組的協(xié)助下，負(fù)責(zé)啟動(dòng)、完成并文件化事件調(diào)查過程；在有關(guān)事件響應(yīng)的法律、法規(guī)和/或規(guī)章中要求的地方、省、國家有關(guān)部門n在不牽涉到法律強(qiáng)制的地方，信息安全小組可以向信息安n在牽涉到法律強(qiáng)制的地方，信息安全小組負(fù)責(zé)與法律強(qiáng)制部門的聯(lián)絡(luò)。違背該策略可能導(dǎo)致：員工以及臨時(shí)工被解雇、合同方或顧問的雇傭關(guān)系終止、實(shí)習(xí)人員和志愿者失去繼續(xù)工作的機(jī)會(huì)、學(xué)生被開除；另外，這