信息安全策略(DOC36页).doc

第 1 页 共 36 页信息安全策略信息安全策略文档编号编制审核批准发布日期备注本公司对本文件资料享受著作权及其它专属权利，未经书面许可，不得将该等文件资料（其全部或任何部分）披露予任何第三方，或进行修改后使用。目录1.信息资源保密策略32.网络访问策略4 第 2 页 共 36 页3.访问控制策略54.物理访问策略65.供应商访问策略86.雇员访问策略107.设备及布缆安全策略118.变更管理安全策略149.病毒防范策略1610.可移动代码防范策略1711.信息备份安全策略1812.网络配置安全策略1913.信息交换策略2014.运输中物理介质安全策略2115.电子邮件策略2216.信息安全监控策略2317.特权访问管理策略2518.口令控制策略2619.清洁桌面和清屏策略2820.互联网使用策略2921.便携式计算机安全策略3122.事件管理策略3223.个人信息使用策略3324.业务信息系统使用策略3425.远程工作策略3526.安全开发策略36 第 3 页 共 36 页1 信息资源保密策略发布部门信息安全小组生效时间2016 年 11 月 01 日介绍保密策略是用于为信息资源用户建立限制和期望的机制。内部用户不期望信息资源保密。外部用户期望信息资源拥有完整的保密性，除了在发生可疑的破坏行为的情况下。目 的该策略的目的是明确的沟通信息资源用户的信息服务保密期望。适用范围该策略适用于使用信息资源的所有人员。术语定义略信息资源保密策略在公司内部保存和控制的电子文件应该公开，并且可以被信息服务人员访问；为了管理系统并加强安全，信息 技术部小组可以记录、评审，同时也可以使用其信息资源系统中存储和传递的任何信息。为了达到此目的，信息 技术部小组还可以捕获任何用户活动，如拨号号码以及访问的网站；为了商业目的，第三方将信息委托给公司内部保管，那么信息 技术部小组的所有工作人员都必须尽最大的努力保护这些信息的保密性和安全性。对这些第三方来说最重要的就是个人消费者，因此消费者的账户数据应该保密，并且对这些数据的访问也应该依据商业需求进行严格限制；用户必须向适当的管理者报告公司内部计算机安全的任何薄弱点，可能的误用事故或者相应授权协议的违背情况；在未经授权或获得明确同意的情况下，用户不可以尝试访问公司内部系统中包含的任何数据或程序。惩罚违背该策略可能导致：员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除；另外， 这些人员还可能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉。引用标准略 第 4 页 共 36 页2 网络访问策略发布部门信息安全小组生效时间2016 年 11 月 01 日介绍网络基础设施是提供给所有信息资源用户的中心设施。重要的是这些基础设施（包括电缆以及相关的设备）要持续不断的发展以满足需求，然而也要求同时高速发展网络 技术部以便将来提供功能更强大的用户服务。目 的该策略的目的是建立网络基础设施的访问和使用规则。这些规则是保持信息完整性、可用性和保密性所必需的。适用范围该策略适用于访问任何信息资源的所有人。术语定义略网络访问策略用户不可以以任何方式扩散或再次传播网络服务。未经信息安全小组批准不可以安装路由器、交换机、集线器或者无线访问端口；在未经信息安全小组批准的情况下，用户不可以安装提供网络服务的硬件或软件；需要网络连接的计算机系统必须符合信息服务规范；用户不可以私自下载、安装或运行安全程序或应用程序，发现或揭露系统的安全薄弱点。例如，在以任何方式连接到互联网基础设施时，未经信息安全小组批准用户不可以运行口令破解程序、监听器、网络绘图工具、或端口扫描工具；不允许用户以任何方式更换网络硬件；在局域网上进行文件共享时必须指定访问权限，机密信息严禁使用 everyone 权限。任何员工在访问网络资源时必须使用专属于自己的帐号 ID，不得使用他人的帐号访问网络资源。网络分为办公网络和生产环境网络，办公网络又分为日常办公网络和专门远程访问网络生产环境网络必须使用 vpn 由专人专机访问，必须要提前向上级领导申请报告不得从生产环境下载拷贝等操作只能从公司指定办公网络（公司专门的网络通道）访问远程的服务器修改远程服务器的内容必须要提前申请报告，且要有详细的操作步骤惩罚违背该策略可能导致：员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除；另外， 这些人员还可能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉。 第 5 页 共 36 页引用标准略3.访问控制策略发布部门信息安全小组生效时间2016 年 11 月 01 日介绍应根据业务和安全要求，控制对信息和信息系统的访问。目 的该策略的目的是为了控制对信息和信息系统的访问。适用范围该策略适用于进行信息和信息系统访问的所有人员。术语定义略访问控制策略公司内部可公开的信息不作特别限定，允许所有用户访问；公司内部分公开信息，根据业务需求访问，访问人员提出申请，经访问授权管理部门认可，访问授权实施部门实施后用户方可访问；公司网络、信息系统根据业务需求访问，访问人员提出申请，经信息安全小组认可，实施后用户方可访问；信息安全小组安全管理员按规定周期对访问授权进行检查和评审；访问权限应及时撤销，如在申请访问时限结束时、员工聘用期限结束时、第三方服务协议中止时；用户不得访问或尝试访问未经授权的网络、系统、文件和服务；远程用户应该通过公司批准的连接方式；在防火墙内部连接内部网络的计算机不允许连接 INTERNET ，除非获得信息安全小组的批准；用户不得以任何方式私自安装路由器、交换机、代理服务器、无线网络访问点 ( 包括软件和硬件 ) 等；在信息网、外联网安装新的服务 ( 包括软件和硬件 ) 必须获得信息安全小组的批准；用户不得私自撤除或更换网络设备。惩罚违背该策略可能导致：员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除；另外， 这些人员还可能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉。引用标准略 第 6 页 共 36 页4. 物理访问策略发布部门信息安全小组生效时间2016 年 11 月 01 日介绍 技术部支持人员、安全管理员、IT 管理员以及其他人员可能因工作需要访问信息资源物理设施。对信息资源设施物理访问的批准、控制以及监控对于全局的安全是极其重要的。目 的该策略的目的是为信息资源设施物理访问的批准、控制、监控和删除建立规则。适用范围该策略适用于组织中负责信息资源安装和支持的所有人员，负责信息资源安全的人员以及数据的所有者。术语定义略物理访问策略所有物理安全系统必须符合相应的法规，但不仅限于建设法规以及消防法规；对所有受限制的信息资源设施的物理访问必须形成文件并进行控制；所有信息资源设施必须依据其功能的关键程度或重要程度进行物理保护；对信息资源设施的访问必须只授权给因职责需要访问设施的支持人员和合同方；授权使用卡和/或钥匙访问信息资源设施的过程中必须包括设施负责人的批准；拥有信息资源设施访问权的每一个人员都必须接受设施应急程序培训，并且必须签署相应的访问和不泄密协议；访问请求必须发自相应的数据/系统所有者；访问卡和/或钥匙不可以与他人共享或借给他人；访问卡和/或钥匙不需要时必须退还给信息资源设施负责人。在退还的过程中，卡不可以再分配给另一个人；访问卡和/或钥匙丢失或被盗必须向信息资源设施的负责人报告；卡和/或钥匙上除了退回的地址外不可以有标志性信息；所有允许来宾访问的信息资源设施都必须使用签字出/入记录来追踪来宾的访问；信息资源设施的持卡访问记录以及来宾记录必须保存，并依据被保护信息资源的关键程度定期评审；在持卡和/或钥匙的人员发生变化或离职时，信息资源设施的负责人必须删除其访问权限；在信息资源设施的持卡访问区，来宾必须由专人陪同；信息资源设施的负责人必须定期评审访问记录以及来宾记录，并要对异常访问进行调查； 第 7 页 共 36 页信息资源设施的负责人必须定期评审卡和/或钥匙访问权，并删除不再需要访问的人员的权限；对限制访问的房间和场所必须进行标记，但是描述其重要性的信息应尽可能少。惩罚违背该策略可能导致：员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除；另外， 这些人员还可能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉。引用标准略 第 8 页 共 36 页5. 供应商访问策略发布部门信息安全小组生效时间 2016 年 11 月 01 日介绍供应商在支持硬件和软件管理以及客户运作方面有重要作用。供应商可以远程对 数据和审核日志进行评审、备份和修改，他们可以纠正软件和操作系统中的问题，可以监控并调整系统性能，可以监控硬件性能和错误，可以修改周遭系统，并重新设置警告极限。由供应商设置的限制和控制可以消除或降低收入、信誉损失或遭破坏的风险。目 的该策略的目的是为减缓供应商访问组织资产带来的风险。适用范围该策略适用于所有需要访问组织的供应商。术语定义略第三方访问策略供应商必须遵守相应的策略、操作标准以及协议，包括但不仅限于： 安全策略；保密策略；审核策略；信息资源使用策略。供应商协议和合同必须规定：供应商应该访问的信息；供应商怎样保护信息；合同结束时供应商所拥有的信息返回、毁灭或处置方法；供应商只能使用用于商业协议目的的信息和信息资源；在合同期间供应商所获得的任何信息都不能用于供应商自己的目的或泄漏给他人。 应该向信息安全小组提供与供应商的合同要点。合同要点能确保供应商符合策略的要求 ；为供应商分配类型，如 IT 基础组件运维服务、系统维护服务、网络维护服务等；需定义不同类型供应商可以访问的信息类型，以及如何进行监视和工作访问的权限；供应商访问信息的人员范围仅限于工作需要的人员，授权需获得信息安全小组的批准；供应商权限人员不得将已授权的身份识别信息和相关设备透露、借用给其他人员， 第 9 页 共 36 页工作结束后应该立即注销访问权限及清空资料；针对与供应商人员交互的组织人员开展意识培训，培训内容涉及基于供应商类型和 供应商访问组织系统及信息级别的参与规则和行为；如适合可与供应商就关系中的信息安全签署保密或交换协议；每一个供应商必须提供在为合同工作的所有员工清单。员工发生变更时必须在 24 小时之内更新并提供；每一个在组织场所内工作的供应商员工都必须佩带身份识别卡。当合同结束时，此卡应该归还；可以访问机密信息资源的每一个供应商员工都不能处理这些信息；供应商员工应该直接向恰当的人员直接报告所有安全事故；如果供应商参与安全事故管理，那么必须在合同中明确规定其职责；供应商必须遵守所有适用的更改控制过程和程序；定期进行的工作任务和时间必须在合同中规定。规定条件之外的工作必须由相应的管理者书面批准；必须对供应商访问进行唯一标识，并且对其进行的口令管理必须符合口令实施规范和特殊访问实施规范。供应商主要的工作活动必须形成日志并且在管理者需要的时候可以访问。日志的内容包括但不仅限于：人员变化、口令变化、项目进度重要事件、启动和结束时；当供应商员工离职时，供应商必须确保所有机密信息在 24 小时内被收回或销毁；在合同或邀请结束时，供应商应该将所有信息返回或销毁，并在 24 小时内提交一份返回或销毁的书面证明；在合同或邀请结束时，供应商必须立即交出所有身份识别卡、 访问卡以及设备和供应品。由供应商保留的设备和 / 或供应品必须被管理者书面授权；要求供应商必须遵守所有规定和审核要求，包括对供应商工作的审核；在提供服务时，供应商使用的所有软件必须进行相应的清点并许可。惩罚违背该策略可能导致：员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除；另外，这些人员还可能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉。引用标准略 第 10 页 共 36 页6. 雇员访问策略发布部门信息安全小组生效时间2016 年 11 月 01 日介绍雇员工作在信息安全区域，工作中需要使用公司的各种信息处理设施，需要访问公司的各种信息资产，因此每一个雇员有义务和责任保护好公司信息资产的安全。目 的本策略未访问本公司信息资源的全体雇员，这种访问是出于业务需要的，涉及物理和行政安全管理需求的网络连接、雇员的职责及信息保护的准则。适用范围该策略适用于公司的任何雇员，雇员对信息资源的访问，包括信息处理设施设备和 技术部资源。术语定义略雇员访问策略 雇员必须遵守相应的策略、操作标准以及协议，包括但不仅限于： 信息资源保密策略 ；病毒防范策略 ；可移动代码防范策略 ；信息交换策略 ；清洁桌面和清屏策略 ；网络访问策略 ；便携式计算机安全策略 ； 互联网使用策略 ；电子邮件策略 。雇员在意识到有安全事件发生时应该第一时间向上层领导报告；雇员应该直接向恰当的人员直接报告所有安全事故；雇员必须遵守所有适用的变更管理程序；当雇员离职时，必须确保所有机密信息在 24 小时内被收回或销毁；在合同结束时，雇员应该将所有信息返回或销毁，并在 24 小时内提交一份返回或销毁的书面证明，并由资产责任人签字认可；在合同结束时，雇员必须立即交出所有身份识别卡、访问卡以及设备和供应品。由雇员保管的设备和 /或供应品的回收必须由资产责任人签字认可；要求雇员必须遵守所有规定和审核要求。惩罚违背该方针可能导致：员工被解雇、合同方或顾问的雇佣关系终止、实习人员失去继续工作的机会、员工受到经济性惩罚等；另外，这些人员的信息资源访问权以及公民权可能受到侵害，甚至遭到法律起诉。引用标准略 第 11 页 共 36 页7. 设备及布缆安全策略发布部门信息安全小组生效时间 2016 年 11 月 01 日介绍网络基础设施是向所有信息资源用户提供服务的中心设施。这些基础设施（包括电源馈送和数据传输的电缆以及相关的设备）需要持续不断的发展以满足用户需求，然而同时也要求网络 技术部高速发展以便将来能够提供功能更强大的用户服务。目 的该方针的目的保护设备免受物理的和环境的威胁，减少未授权访问信息的风险。防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断；为了安置或保护设备，以减少由环境威胁和危险所造成的各种风险以及未授权访问的机会；为了保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断，应有足够的支持性设施（供电、供水、通风和空调等）来支持系统；为了保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听或损坏，电源馈送和数据通讯的电缆必须确保安全；为了确保设备持续的可用性和完整性，设备应予以正确地维护；为了对组织非现场设备采取安全措施，要考虑工作在组织场所以外的不同风险；为了确保涉密信息不泄露，在存储介质销毁之前，任何机密信息和注册软件已被删除或安全重写；为了确保涉密信息不泄露，设备、信息或软件在授权之前不应带出组织场所。适用范围该方针适用于网络设备设施的建设和维护人员。术语定义略设备及布缆安全策略设备安置和保护方针设备应进行适当安置，以尽量减少不必要的对工作区域的访问；应把处理机密数据的信息处理设施放在适当的限制观测的位置，以减少在其使用期间信息被窥视的风险，还应保护储存设施以防止未授权访问；要求专门保护的部件要予以隔离，以降低所要求的总体保护等级；应采取控制措施以减小潜在的物理威胁的风险，例如偷窃、火灾、爆炸、烟雾、水（或供水故障） 、尘埃、振动、化学影响、电源干扰、通信干扰、电磁辐射和故意破坏；对于可能对信息处理设施运行状态产生负面影响的环境条件（例如温度和湿度）要予以监视；所有建筑物都应采用避雷保护； 第 12 页 共 36 页应保护处理机密信息的设备，以减少由于辐射而导致信息泄露的风险；支持性设施方针支持性设施应定期检查并适当的测试以确保他们的功能，减少由于他们的故障或失效带来的风险。应按照设备制造商的说明提供合适的供电；对支持关键业务操作的设备，必须使用支持有序关机或连续运行的不间断电源（UPS） ；电源应急计划要包括 UPS 故障时要采取的措施。UPS 设备和发电机要定期地检查，以确保它们拥有足够能力，并按照制造商的建议予以测试；布缆安全方针：进入信息处理设施的电源和通信线路宜在地下，若可能，或提供足够的可替换的保护；网络布缆要免受未授权窃听或损坏，例如，利用电缆管道或使路由避开公众区域；为了防止干扰，电源电缆要与通信电缆分开；使用清晰的可识别的电缆和设备记号，以使处理失误最小化，例如，错误网络电缆的意外配线；用文件化配线列表减少失误的可能性；对于机密的或关键的系统，更进一步的控制考虑应包括：* 在检查点和终接点处安装铠装电缆管道和上锁的房间或盒子；* 使用可替换的路由选择和/或传输介质，以提供适当的安全措施；* 使用纤维光缆；* 使用电磁防辐射装置保护电缆；* 对于电缆连接的未授权装置要主动实施 技术部清除、物理检查；* 控制对配线盘和电缆室的访问；设备维护方针要按照供应商推荐的服务时间间隔和规范对设备进行维护；只有已授权的维护人员才可对设备进行修理和服务；要保存所有可疑的或实际的故障以及所有预防和纠正维护的记录；当对设备安排维护时，应实施适当的控制，要考虑维护是由场所内部人员执行还是由外部人员执行；当需要时，机密信息需要从设备中删除或者维护人员应该是足够可靠的；应遵守由保险策略所施加的所有要求。组织场所外的设备安全方针 第 13 页 共 36 页无论责任人是谁，在组织场所外使用任何信息处理设备都要通过管理者授权；离开建筑物的设备和介质在公共场所不应无人看管。在旅行时便携式计算机要作为手提行李携带，若可能宜伪装起来；制造商的设备保护说明要始终加以遵守，例如，防止暴露于强电磁场内；家庭工作的控制措施应根据风险评估确定，当适合时，要施加合适的控制措施，例如，可上锁的存档柜、清理桌面策略、对计算机的访问控制以及与办公室的安全通信；足够的安全保障掩蔽物宜到位，以保护离开办公场所的设备。安全风险在不同场所可能有显著不同，例如，损坏、盗窃和截取，要考虑确定最合适的控制措施。设备的安全处置和再利用方针包含机密信息的设备在物理上应予以摧毁，或者采用使原始信息不可获取的 技术部破坏、删除、覆盖信息，而不能采用标准的删除或格式化功能；包含机密信息的已损坏的设备可能需要实施风险评估，以确定这些设备是否要进行销毁、而不是送去修理或丢弃。资产移动方针在未经事先授权的情况下，不允许让设备、信息或软件离开办公场所；应明确识别有权允许资产移动，离开办公场所的雇员、承包方人员和供应商人员；应设置设备移动的时间限制，并在返还时执行符合性检查；若需要并合适，要对设备作出移出记录，当返回时，要作出送回记录；应执行检测未授权资产移动的抽查，以检测未授权的记录装置，防止他们进入办公场所。这样的抽查应按照相关规章制度执行。应让每个人都知道将进行抽查，并且只能在法律法规要求的适当授权下执行检查。惩罚违背该方针可能导致：员工被解雇、合同方或顾问的雇佣关系终止、实习人员失去继续工作的机会、员工受到经济性惩罚等；另外，这些人员的信息资源访问权以及公民权可能受到侵害，甚至遭到法律起诉。引用标准略 第 14 页 共 36 页8. 变更管理安全策略发布部门信息安全小组生效时间2016 年 11 月 01 日介绍信息资源基础设施正在逐步扩大并且越来越复杂。越来越多的人依赖网络、更多的客户服务机构、未升级和扩展的管理系统以及更多应用程序 。由于信息资源基础设施之间的互相依赖程度越来越高，因此有必要加强变更管理过程。 有时每一个信息资源组成部分需要暂停运行，按计划进行升级、维护或调整，另外也可能由于为计划的升级、维护或调整而导致暂停运行。管理这些变更是提供坚固的、有价值的信息资源基础设施的关键组成部分。目 的该策略的目的是以一种合理的、可预知的方式管理变更，以便员工和客户能进行相应的计划。变更需要事先严格计划、仔细监控并要进行追踪评价，以降低对用户群的负面影响，增加信息资源的价值。适用范围该策略适用于安装、操作或维护信息资源的所有人员。术语定义略变更管理安全策略对信息资源的每一次变更，如操作系统、计算机硬件、网络以及应用程序都要服从变更管理策略，并且必须遵守变更管理程序；所有影响计算机环境设备的变更(如空调、水、热、管道、电)需要向变更管理过程的领导者报告，并与之协调处理；无论是事先有计划的变更还是事先无计划的变更必须都提交书面的变更申请；所有事先有计划的变更申请必须按照变更管理程序的规定提交，以便信息安全小组有足够的时间评审申请，确定并重新评审潜在的失败，并决定申请被批准还是延期执行；每一个事先计划的变更申请在执行前必须受到信息安全小组的正式批准；指定的信息安全小组领导在下列情况下有权拒绝任何申请：不充分的策划、不充分的删除计划、变更的时间等会对关键的业务过程造成负面影响，或者会造成没有充分的资源可用；在变更管理程序实施前，必须完成对所有客户的通知；每一次变更必须进行变更评审，无论是计划还是未计划的，成功的还是失败的；所有变更必须保留变更管理日志，必须保留的日志包括但不限于下列内容：变更的提交和执行日期；所有者和保管者信息；变更的特性； 第 15 页 共 36 页成功或失败的标志。所有信息系统必须遵照上述规定进行信息资源的变更。惩罚违背该策略可能导致：员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除；另外，这些人员还可能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉。引用标准略 第 16 页 共 36 页9. 病毒防范策略发布部门信息安全小组生效时间2016 年 11 月 01 日介绍计算机安全事故的数量以及由业务中断服务恢复所导致的费用日益攀升。实施稳固的安全策略，防止对网络和计算机不必要的访问，较早的发现并减轻安全事故可以有效地降低风险以及安全事故造成的费用。目 的该策略的目的是描述计算机病毒、蠕虫以及特洛伊木马防御、检测以及清除的要求。适用范围该策略适用于使用信息资源的所有人员。术语定义略病毒防范策略所有连接到局域网的工作站必须使用信息安全小组批准的病毒保护软件和配置；病毒保护软件必须不能被禁用或被绕过；病毒保护软件的更改不能降低软件的有效性；不能为了降低病毒保护软件的自动更新频率而对其进行更改；与局域网连接的每一个文件服务器必须使用信息安全小组批准的病毒保护软件，并要进行设置检测、清除可能感染共享文件的病毒；由病毒保护软件不能自动清除并引起安全事故的病毒，必须向信息安全小组报告。惩罚违背该策略可能导致：员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除；另外， 这些人员还可能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉。引用标准略 第 17 页 共 36 页10.可移动代码防范策略发布部门信息安全小组生效时间2016 年 11 月 01 日介绍未经授权的移动代码危害信息系统，应实施对恶意代码的监测、预防和恢复控制，以及适当的用户意识培训。目 的该策略的目的阻止和发现未经授权的移动代码的引入，实施对恶意代码的监测、预防和恢复控制。适用范围该策略适用于使用信息资源的所有人员。术语定义略可移动代码防范策略禁止使用未经授权的软件。防范经过外部网络或任何其它媒介引入文件和软件相关的风险，并采取适当的预防措施。定期对支持关键业务过程的系统中的软件和数据进行评审；无论出现任何未经验收的文件或者未经授权的修改，都要进行正式调查。安装并定期升级防病毒的检测软件和修复软件，定期扫描计算机和存储介质，检测应包括： 在使用前，对存储媒体，以及通过网络接收的文档进行恶意代码检测；在使用前，通过邮件服务器对电子邮件附件及下载文件进行恶意代码检测；信息安全小组负责恶意代码防护、使用培训、病毒袭击和恢复报告。为从恶意代码攻击中恢复，需要制定适当的业务持续性计划。包括所有必要的数据、软件备份以及恢复安排。信息安全小组应制定并实施文件化的程序，验证所有与恶意软件相关的信息并且确保警报公告的内容准确详实。管理员应当确保使用合格的信息资源，防止引入真正的恶意代码。所有用户应有防欺骗的意识，并知道收到欺骗信息时如何处置。惩罚违背该策略可能导致：员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除；另外， 这些人员还可能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉。引用标准略 第 18 页 共 36 页11.信息备份安全策略发布部门信息安全小组生效时间2016 年 11 月 01 日介绍电子备份是一项必需的业务要求，能使数据和应用程序在发生意想不到的事件时得以恢复，这些事件包括：自然灾害、系统磁盘故障、间谍活动、数据输入错误或系统操作错误等。目 的该策略的目的是设置电子信息的备份和存储职责。适用范围该策略适用于组织中负责信息资源安装和支持的所有人员，以及负责信息资源安全的人员和数据所有者。术语定义略信息备份安全策略信息备份周期和方式必须依据信息的重要性以及数据所有者确定的可接受风险确定；供应商提供的场所外备份存储必须达到信息存储的最高等级；场所外备份存储区的物理访问控制的实施必须满足并超过原系统的物理访问控制，另外备份介质必须依据信息存储的最高安全等级进行保护 ；必须建立并实施对电子信息备份成功与否的验证过程；必须对场所外备份存储供应商每年进行评审；为了容易识别介质和或关联系统，备份介质至少应该被标注下列信息：系统名；创建日期；机密度分级以相应的电子记录保持法规为基础 ；包含的信息。惩罚违背该策略可能导致：员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除；另外， 这些人员还可能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉。引用标准略 第 19 页 共 36 页12.网络配置安全策略发布部门信息安全小组生效时间2016 年 11 月 01 日介绍网络基础设施是提供给所有信息资源用户的中心设施。重要的是这些基础设施（包括电缆以及相关的设备，如路由器、交换机）要持续不断的发展以满足用户需求，然而也要求同时高速发展网络 技术部以便将来提供功能更强大的用户服务。目 的该策略的目的是为网络基础设施的维护、扩展以及使用建立规则。该规则是保持信息完整性、可用性和保密性所必需的。适用范围该策略适用于访问信息资源的所有人。术语定义略网络配置安全策略信息安全小组拥有网络基础设施并对其负责，而且还要对基础设施的发展和增加进行管理；为了提供稳固的网络基础设施，所有电缆必须由信息安全小组或被认可的合同方安装；所有网络连接设备必须按照改为：信息安全小组批准的规范进行配置；所有连接到网络的硬件必须服从信息安全小组的管理和监控标准；在没有信息安全小组批准的情况下，不能对活动的网络管理设备的配置进行更改；网络基础设施支持一系列合理定义的、被认可的网络协议。使用任何未经认可的协议都必须经过信息安全小组的批准；支持协议的网络地址由信息安全小组集中分配、注册和管理；网络基础设施与外部供应商网络的所有连接都由信息安全小组负责。这包括与外部电话网络的连接；信息安全小组的防火墙必须按照防火墙实施规范文件进行安装和配置；在未获得信息安全小组书面授权的情况下，部门不得使用防火墙；用户不可以以任何方式扩散或再次传播网络服务。这就意味着未经信息安全小组批准不可以安装路由器、交换机、集线器或者无线访问端口；在未经信息安全小组批准的情况下，用户不得安装网络硬件或软件提供网络服务；不允许用户以任何方式更换网络硬件。惩罚违背该策略可能导致：员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除；另外， 这些人员还可能遭受信息 第 20 页 共 36 页资源访问权以及公民权的损失，甚至遭到法律起诉。引用标准略13.信息交换策略发布部门信息安全小组生效时间2016 年 11 月 01 日介绍在组织之间交换信息和软件应当遵守根据交换协议所制定的正式的交换方针，并且应当服从所有相关的法律。目 的保持在组织内部及任何外部机构之间所交换的信息和软件的安全。适用范围该策略适用于进行信息交换的所有人员。术语定义略信息交换策略不能在公共场所或者敞开的办公室、没有屋顶防护的会议室谈论机密信息。对信息交流应作适当的防范，如不要暴露机密信息，避免被通过电话偷听或截取。员工、合作方以及任何其他用户不得损害本局的利益，如诽谤、骚扰、假冒、未经授权的采购等。不得将包含机密信息的讯息放在自动应答系统中。不得将机密或关键信息放在打印设施上，如复印机、打印机和传真，防止未经授权人员的访问。做应用系统之间接口、协议时，不能影响双方应用的正常运行；在实施之前应充分考虑应用系统的资源是否足够；保证数据交换的权限最小化。在进行与相关方信息交换时，需提前指定双方的信息交换人员、交换方式、交换保密方法，以防止信息的泄露。惩罚违背该策略可能导致：员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除；另外， 这些人员还可能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉引用标准略 第 21 页 共 36 页14.运输中物理介质安全策略发布部门信息安全小组生效时间2016 年 11 月 01 日介绍物理介质是信息资源的载体，在运送过程中必须对其安全进行管理。建立该方针是为了确保包含信息的介质在组织的物理边界以外运送时，防止未授权的访问、不当的使用或毁坏。目 的略适用范围该方针适用于在组织安全边界外运输组织物理介质的所有人员。术语定义略运输中物理介质安全策略应考虑下列方针以保护不同地点间传输的信息介质：应使用可靠的运输或送信人；授权的送信人列表应经管理者批准；包装要足以保护信息免遭在运输期间可能出现的任何物理损坏，并且符合制造商的规范（例如软件） ，例如防止可能减少介质恢复效力的任何环境因素，例如暴露于过热、潮湿或电磁区域；若需要，应采取专门的控制，以保护机密信息免遭未授权泄露或修改；例子包括：使用可上锁的容器；手工交付；防篡改的包装（它可以揭示任何想获得访问的企图） ；在异常情况下，把托运货物分解成多次交付，并且通过不同的路线发送。惩罚违背该方针可能导致：员工被解雇、合同方或顾问的雇佣关系终止、实习人员失去继续工作的机会、员工受到经济性惩罚等；另外，这些人员的信息资源访问权以及公民权可能受到侵害，甚至遭到法律起诉。引用标准略 第 22 页 共 36 页15.电子邮件策略发布部门信息安全小组生效时间2016 年 11 月 01 日介绍信息资源是组织的资产，必须对其进行有效地管理，因而建立该策略是为了：确保员工知晓在 Email 的过程中好的操作方法；明确 Email 使用过程中的责任。目 的为了建立某公司的 Email 使用规则，保证 Email 的合理发送、收取和存储。适用范围该策略适用于被批准的、能够通过 Email 发送、收取和存储信息的所有人员。术语定义略电子邮件策略下列行为是策略所禁止的： 发送或者转发虚假、黄色、反动信息；发送或者转发宣扬个人政治倾向或者宗教信仰；发送或者转发发送垃圾信息；发送或者转发能够引起连锁发送的恐吓、祝贺等信息；Email 附件大小超过限制 10M；发送口令、密钥、信用卡等的机密信息；用个人信息处理设备收发公司内部 Email ；用公司外部账号发送、转发、收取公司机密信息；在非授权情况下以公司的名义发表个人意见；发送或者转发可能有计算机病毒的信息；使用非授权的电子邮件收发软件；下列行为是策略所要求的： 每位员工都有一个 Email 账号，账号密码必须符合口令策略的相关规定；用 Email 经过外部网络发送机密信息必须经过加密，加密必须符合加密策略的相关规定；发送 Email 必须有清楚的主题；Email 的处理和存储必须符合信息的分类、标识和存储策略的相关规定；管理授权 公司有权对职员的 Email 进行监视和记录；公司有权对 Email 的内容进行存储备份以用于法律目的；惩罚违背该策略可能导致：员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除；另外， 这些人员还可能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉。引用标准略 第 23 页 共 36 页16.信息安全监控策略发布部门信息安全小组生效时间2016 年 11 月 01 日介绍信息安全监控是确保安全实践和控制被恰当执行和有效实施的一种方法，监控活动包括对下列内容的评审：防火墙日志用户帐户日志网络扫描日志应用程序日志数据备份和恢复日志其他类型的日志以及出错日志 .目 的该策略是为了确保信息资源控制措施被适当、有效地实施并且不被忽视。安全监控的其中一个好处就是较早的发现破坏行为或新的薄弱点。这样会有助于在破坏发生前阻止破坏行为或薄弱点，最起码能够减小潜在的影响。其他好处包括：审核符合性、服务层监控、业绩测量、划定责 任以及容量策划。适用范围适用于负责信息资源安全、现有信息资源的操作以及负责信息资源安全的所有人员。术语定义略信息安全监控策略自动检测工具会对检测到的破坏行为或薄弱点利用进行实时通知。在可能的地方可以开发安全底线和工具，监控：电子邮件通信局域网通信、协议以及设备清单操作系统安全参数在检查破坏行为以及薄弱点被利用情况时可以使用下列文件：防火墙日志用户帐户日志网络扫描日志系统出错日志应用程序日志数据备份和恢复日志网络打印机和传真日志 下列内容应该由负责的人员每年至少检查一次：口令的难猜测程度 第 24 页 共 36 页未经授权的网络设备未经授权的个人网络服务器未受保护的共享设备未经授权使用的调制解调器操作系统和软件许可 发现的任何问题都应该向信息安全小组报告，进行进一步的调查。IT 管理员自身的工作由管理者代表进行审查和监督。惩罚违背该策略可能导致：员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会。另外，这些人员还可 能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉。引用标准略 第 25 页 共 36 页17.特权访问管理策略发布部门信息安全小组生效时间2016 年 11 月 01 日介绍与普通用户相比， 技术部支持人员、安全管理员、IT 管理员可能有特殊的访问账户权限要求。这些管理性的和特殊访问账户的访问等级比较高 ，因此对这些账户的批准、控制和监控对于整个安全程序极其重要。目 的该策略的目的是为具有特殊访问权限的账号建立创建、使用、控制及其删除的规则。适用范围该策略适用于拥有、或者可能会需要信息资源特殊访问权限的所有人员。术语定义略特权访问管理策略在所有用户获得访问账号前，应签署一份不泄密协议；所有管理性的 / 特殊访问账户的用户必须接受培训并获得授权；每一个使用管理性的 / 特殊访问账号的个人都必须避免滥用权力，并且必须在信息安全小组的指导下使用；每一个使用管理性的 / 特殊访问账号的个人必须以最适宜所执行的工作的方式行使账号权力 ；每一个管理性的 / 特殊访问账户必须满足口令策略的要求；共有的管理性的 / 特殊访问账号的口令在人员离职或发生变更时必须更改；当因内外部审核、软件开发、软件安装或其他规定需求而需要特殊访问账号时，账号： 必须被授权；创建的日期期限必须明确；工作结束时必须删除。惩罚违背该策略可能导致：员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除；另外， 这些人员还可能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉。引用标准略 第 26 页 共 36 页18.口令控制策略发布部门信息安全小组生效时间2016 年 11 月 01 日介绍用户授权是控制信息资源访问者的一种方式。对访问进行控制是任何信息资源所必须的。未经授权的人员访问到信息资源可能会引起信息保密性、完整性共和可用性的丢失，导致收入、信誉的损失或经济困难。 使用下列三个要素或其三者的任意组合可以鉴别用户，即：你知道 口令识别号（ PIN ）你持有 智能卡你拥有 指纹、虹膜、声音三者的任意组合 智能卡和口令识别号目 的该策略的目的是为用户鉴别机制建立创造、分发、保护、终止以及收回的规则。适用范围该策略适用于