信息安全實施指南第13頁共13頁公司企業(yè)信息安全實施指南文檔信息文檔名稱信息安全實施指南文檔版本文檔級別文檔編號適用范圍發(fā)布日期修訂記錄版本號修改日期內容說明負責人相關文檔文檔編號文檔名稱文檔類型負責人目錄第一部分、 資產信息安全管理 4第二部分、 組織信息安全管理 5第三部分、 人員信息安全管理 6第一節(jié) 員工信息安全管理 6第二節(jié) 第三方人員信息安全管理 6第四部分、 物理和環(huán)境安全管理 8第五部分、 通訊與操作安全管理 9第一節(jié) 操作程序和職責 9第二節(jié) 防范惡意代碼 9第三節(jié) 備份 9第四節(jié) 網絡安全管理 9第五節(jié) 介質處理 9第六節(jié) 監(jiān)控及審計 10第七節(jié) 信息系統(tǒng)技術漏洞管理 10第六部分、 訪問控制安全管理 11第一節(jié) 訪問控制原則 11第二節(jié) 操作系統(tǒng)訪問控制 11第三節(jié) 移動計算和遠程工作 11第四節(jié) 用戶訪問管理 11第七部分、 信息安全事故管理 12第八部分、 策略符合性 13

資產信息安全管理應當建立信息資產管理登記制度，明確信息和資產的所有者、責任人、維護人員以及使用人員，并確保責任人了解并承擔對相應資產的安全責任。信息資產管理登記應當維護企業(yè)公司所轄單位資產清單，包括所有為從災難中恢復而需要的信息：資產類別、位置、責任人以及相關的配置信息等。信息資產管理登記的資產分類應當包括硬件資產、軟件資產、信息資產、應用與服務以及其他無形資產。應當根據資產的分類及業(yè)務價值明確各項資產的合理使用規(guī)定，并要求使用或用有訪問企業(yè)公司所轄單位資產權力的人員了解并遵守該規(guī)定。

組織信息安全管理企業(yè)公司所轄單位的管理層應當為信息安全提高有力的支持；信息安全活動應當由來自各個部門、具備相關角色和工作職責的代表進行協(xié)調。應當識別外部組織訪問的風險并進行適當的控制，并在與其接觸時強調相關安全要求。

人員信息安全管理員工信息安全管理員工雇傭前安全管理規(guī)定：安全職責應于雇用前在適當的崗位描述、雇用條款和條件中指出。應充分篩選所有應聘者、合同方和第三方用戶，進行適當的背景調查，特別是對敏感崗位的成員。作為合同責任的一部分，員工、合同方和第三方用戶應統(tǒng)一并簽署他們的雇傭合同的條款和條件。這些條款和條件應規(guī)定他們和組織對于信息安全的責任。員工雇傭中安全管理規(guī)定：確保所有的員工、合同方和第三方用戶了解信息安全威脅和相關事宜、他們的責任和義務，并在他們的日常工作中支持組織的信息安全方針，減少人為錯誤的風險。為盡可能減小安全風險，應對企業(yè)公司所轄單位的所有員工，適當時，包括合同方和第三方用戶，提供安全程序和信息處理設施的正確使用方面的適當程度的意識、教育和培訓。應建立一個正式的處理安全違規(guī)的紀律處理程序。懲戒過程之前應有一個安全違規(guī)的驗證過程。雇傭關系終止或變更的安全管理規(guī)定：應當確保員工、合同方和第三方用戶離開組織或雇傭變更時以一種有序的方式進行，并確保他們歸還所有設備及刪除或調整他們的所有訪問權力。進行雇傭中止或變更時相關人員的責任應當被清晰規(guī)定和分配。雇員、合同方或第三方用戶所簽署的相關協(xié)議中應當明確雇用終止后仍然有效的職責和義務。第三方人員信息安全管理第三方人員種類：服務提供商（例如互聯(lián)網服務提供商）、網絡提供商、電話服務、維護和支持服務；設施和運行的外包；管理和業(yè)務顧問和審核員；開發(fā)者和提供商，例如軟件產品和IT系統(tǒng)的開發(fā)者和提供商；清潔、供應和其他外包支持服務；臨時人員、實習生安排和其他短期臨時安排。第三方人員進行技術支持前，應當經過安全責任人的授權和審批。第三方人員對重要信息安全區(qū)域的訪問應當遵照安全規(guī)定進行詳細記錄，記錄中應當至少包括日期、進入及離開時間、第三方人員（簽名）、本單位陪同人員（簽名）、訪問事由等信息。第三方的外部訪問（不含普通因特網瀏覽器用戶）要求：根據工作需要，可以允許但需嚴格限制第三方的外部訪問；第三方所享有的外部訪問權限應當按照最小權限原則進行分配。在第三方外部訪問結束后，內部聯(lián)系人員應當對訪問權限作相應處理，如要求技術人員刪除用戶名和權限等。第三方人員在重要信息安全區(qū)域的現(xiàn)場實施過程中應當有IT人員全程陪同。企業(yè)公司所轄單位有權對使用內部計算機和網絡的第三方進行檢查，以確保第三方遵守有關安全策略和要求。未經陪同人員許可，第三方人員不準擅自開通網絡共享資源，不準擅自利用企業(yè)公司所轄單位的計算機上互聯(lián)網和其他外部網。由于工作需要對信息系統(tǒng)進行臨時訪問（訪問時間不能超過24小時）的第三方人員，由陪同人員輸入登錄口令來獲得臨時性登錄權限。在遠程訪問時，為其創(chuàng)建臨時賬號來獲得登錄權限，使用完后應當立即收回。如有需要，可以重新設置，但應當使用新的口令。第三方人員在離開前，由陪同人員通知相關賬號管理人員進行用戶賬號的撤銷。第三方人員的計算機在接入局域網前應當由陪同人員或陪同人員通知PC維護人員檢查是否安裝有最新防病毒代碼的防毒軟件。否則不允許其接入企業(yè)公司所轄單位網絡。第三方人員因工作需要通過遠程方式訪問企業(yè)公司所轄單位局域網的，應當經信息安全責任人審批同意方可進行。第三方人員對信息系統(tǒng)進行遠程維護時，應當由第三方人員記錄重要操作并提交IT部門相關管理人員備案。IT部門相關人員應當對其訪問行為進行記錄、監(jiān)控并負責善后處理。與第三方簽訂的協(xié)議中應覆蓋所有相關的安全要求。這些協(xié)議可能涉及對企業(yè)公司所轄單位的信息或信息處理設施的訪問、處理、溝通或管理。協(xié)議應確保在企業(yè)公司所轄單位和第三方之間不存在誤解。第三方服務交付協(xié)議中應當包括安全控制措施、服務定義和交付水準，并進行監(jiān)督、評審和變更控制，以確保第三方按照協(xié)議實施。第三方參與的項目或外包服務，應當在合同中明確規(guī)定人員的信息安全責任，必要時應當簽署保密協(xié)議。保密協(xié)議內容應包括以下方面：定義要保護的信息（如敏感信息）；保密協(xié)議的期望持續(xù)時間；機密信息的許可使用，及簽署者使用信息的權力；對涉及敏感信息的活動的審計監(jiān)視權力；違反協(xié)議后期望采取的措施。

物理和環(huán)境安全管理企業(yè)公司所轄單位建筑周圍應設置圍墻，并有人員24小時職守入口，未經許可，非本企業(yè)公司所轄單位人員不得入內；所有員工、合同方和第三方用戶以及所有訪問者要佩帶可識別身份的標識。機房區(qū)域應當僅允許設備維護人員入內，進入機房人員應當進行詳細登記，登記內容至少包括人名、所屬部門或單位、進入機房理由、進入退出時間。門禁權限應定期復審，門禁日志（包括進入機房登記）至少保留三個月。企業(yè)公司所轄單位應安裝入侵檢測系統(tǒng)（內部監(jiān)控錄像），監(jiān)查點至少包括大門入口、樓梯間以及機房，并安排人員監(jiān)控，錄像內容至少保留三個月。機房應當采取適當的防靜電措施。重要設備的安全保障設施（如熱敏和煙氣探測器、火警系統(tǒng)、滅火設備、供電線路、照明器具、門禁等）應當至少每半年進行檢查和維護，并進行書面記錄。應當提供穩(wěn)定的電力供應，防止供電不正常的現(xiàn)象。可以采用多種保證連續(xù)供電的方法例如多回路供電、不間斷電源（UPS）、備用發(fā)電機等。應當明確信息設備維護的時間間隔，信息設備的日常維護工作應當按照規(guī)定的維護操作流程進行，操作流程應當指明具體步驟。每次維護工作完畢后，應當填寫維護工作記錄。信息系統(tǒng)設備的故障處理應當按照故障處理相關規(guī)定執(zhí)行，記錄故障現(xiàn)象和處理措施。設備的硬件配置發(fā)生變化應當根據變更配置管理流程進行記錄備案。信息設備的購買和投入使用應當按照正式的規(guī)定和流程進行審批并備案。應當在每個信息設備上有明顯的資產標識，標識中至少包括編號、名稱等信息。信息設備驗收過程中應當核對供貨方提供的驗收安裝報告，保證訂購要求及設備實際交貨情況相符，驗收安裝報告應當由供貨方和驗收人簽字確認。所有信息系統(tǒng)設備應當登記并及時更新；信息系統(tǒng)設備的登記記錄應當至少包括信息設備的分類、名稱、品牌、型號、用途、借用及返還情況、資產所有者、管理項目組、管理人員、使用人員等。應當每年進行復審。信息設備嚴禁外借，確因工作需要，應當報請相關部門領導批準，并進行登記備案。對棄置的存儲有敏感信息的設備，應當采取安全的銷毀措施。

通訊與操作安全管理操作程序和職責信息系統(tǒng)的操作和應當遵循正式的管理流程，以降低未授權訪問、無意識修改或濫用企業(yè)公司所轄單位資產的風險。至少包括：設備、系統(tǒng)維護；計算機機房管理；備份操作以及系統(tǒng)失效時的恢復程序；應盡可能應分離職責，確保在無授權或未被監(jiān)測時，個人不能訪問或修改企業(yè)公司所轄單位信息資產。防范惡意代碼應當部署統(tǒng)一的惡意代碼防范系統(tǒng)，包括客戶端、介質、郵件、WEB等方面。保護信息系統(tǒng)不受病毒侵害，是每個員工不可推卸的責任。員工應當遵守《員工信息安全手冊》上相關防范惡意和移動代碼的規(guī)定，任何不負責任的行為將視為違反信息安全管理規(guī)定并追究其個人責任。應當定期查詢防病毒服務器上的病毒定義文件版本是否為最新。及時檢查并安裝經過檢驗的安全補丁。定期巡檢：至少每兩周進行一次，并詳細記錄巡檢結果。巡檢內容包括計算機上防病毒軟件是否激活、病毒庫是否更新、計算機上相應的補丁文件是否安裝、是否有不符規(guī)定的共享目錄等。巡檢過程中發(fā)現(xiàn)的問題應當及時解決。由于人為原因造成的防病毒軟件無法正常運行，或由于隨意共享目錄造成病毒感染及傳播的將予以通報。備份IT管理員負責制訂備份策略、系統(tǒng)恢復操作流程和恢復測試等工作。對重要的應用系統(tǒng)、操作系統(tǒng)、配置文件及日志等應當進行備份，對重要數據應定時備份，并送指定地點存放。備份信息介質應當做好標記，并放置在專門地點，該地點應當安全可靠?；謴土鞒虘斨辽倜堪肽隀z查和測試以確保能有效地在規(guī)定時間內進行數據的恢復。網絡安全管理應當對網絡進行充分管理和控制，明確網絡的操作管理職責，并使用適當的網絡安全監(jiān)控措施及日志審計手段。應當明確企業(yè)公司所轄單位網絡服務安全特性和管理要求，例如網絡連接控制以及安全連接的技術參數。介質處理不得將載有重要信息的存儲介質隨意存放，未經信息資產安全責任人授權，不得帶出辦公地點。存放業(yè)務應用系統(tǒng)及重要信息的介質，嚴禁外借，確因工作需要，須報請部門領導批準。如果介質上的內容不再需要，應當立即清除，對于備份或存放有重要信息或軟件的存儲介質，在棄用時應當對信息資料進行消除處理，避免不必要的泄密。對需要長期保存的介質，應當在介質質量保證期內進行轉儲，以防止介質失效造成損失。所有存儲介質應當妥善保存。監(jiān)控及審計重要設備及應用應當開啟日志，應當建立信息系統(tǒng)的登錄、使用情況和日志檢查的監(jiān)控流程。對日志應當要有監(jiān)控及定期評審。下列事件應當被記錄并監(jiān)控：超級權限操作，例如系統(tǒng)啟動和停止；成功與不成功的登錄；非授權存取的企圖；攻擊企圖；系統(tǒng)警告和錯誤。所有的生產環(huán)境服務器和網絡設備的系統(tǒng)時鐘應當保持同步。信息系統(tǒng)技術漏洞管理企業(yè)公司所轄單位應當及時確認信息系統(tǒng)的技術漏洞，一旦潛在的技術漏洞被確認，應該確認相關的風險并采取措施；這些措施可能包括對包含漏洞的系統(tǒng)打補丁，或者應用其它控制措施；如果要安裝補丁，則應先評估安裝補丁可能帶來的風險，補丁在安裝之前應該進行測試與評估，以確保補丁是有效的，且不會影響系統(tǒng)的正常運轉。對補丁行為的所有過程應進行記錄和審核。

訪問控制安全管理訪問控制原則訪問控制的基本規(guī)則是“未經允許，應當一律禁止”。訪問控制的規(guī)則和權限應該符合企業(yè)公司所轄單位業(yè)務要求，并記錄在案。用戶的訪問權限在授予時要遵循最小權限原則。訪問控制的權限應當定期評審，以保證它對企業(yè)公司所轄單位業(yè)務的適用性。操作系統(tǒng)訪問控制應當通過安全登陸程序對操作系統(tǒng)的訪問進行控制。所有用戶應當有唯一的、專供其個人使用的用戶ID，并采取適當的用戶認證手段。應當使用交互式口令管理系統(tǒng)，并啟用強口令策略。對于監(jiān)控、備份、日志管理等系統(tǒng)實用程序應當經過主管領導批準并由系統(tǒng)管理員進行安裝和維護。不活動會話應當有超時設置。應當使用連接時間限制以提供高風險應用程序的額外安全保障。移動計算和遠程工作應當制定移動計算安全管理規(guī)定，以防范使用移