信息安全策略(DOC36页)28644.doc

《信息安全策略(DOC36页)28644.doc》由会员分享，可在线阅读，更多相关《信息安全策略(DOC36页)28644.doc（37页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 Evaluation Warning: The document was created with Spire.Doc for .NET.信息安全全策略文档编号号编制审核批准发布日期期备注本公司对对本文件件资料享享受著作作权及其其它专属属权利，未未经书面面许可，不不得将该该等文件件资料（其其全部或或任何部部分）披披露予任任何第三三方，或或进行修修改后使使用。目录1.信息息资源保保密策略略32.网络络访问策策略43.访问问控制策策略54.物理理访问策策略65.供应应商访问问策略886.雇员员访问策策略1007.设备备及布缆缆安全策策略1118.变更更管理安安全策略略149.病毒毒防范策策略16

2、610.可可移动代代码防范范策略11711.信信息备份份安全策策略18812.网网络配置置安全策策略19913.信信息交换换策略2014.运运输中物物理介质质安全策策略21115.电电子邮件件策略22216.信信息安全全监控策策略23317.特特权访问问管理策策略25518.口口令控制制策略22619.清清洁桌面面和清屏屏策略22820.互互联网使使用策略略2921.便便携式计计算机安安全策略略3122.事事件管理理策略33223.个个人信息息使用策策略33324.业业务信息息系统使使用策略略3425.远远程工作作策略33526.安安全开发发策略3361信息资资源保密密策略发布部门门信息安全全

3、小组生效时间间20166年11月01日介绍保密策略略是用于于为信息息资源用用户建立立限制和和期望的的机制。内内部用户户不期望望信息资资源保密密。外部部用户期期望信息息资源拥拥有完整整的保密密性，除除了在发发生可疑疑的破坏坏行为的的情况下下。目 的该策略的的目的是是明确的的沟通信信息资源源用户的的信息服服务保密密期望。适用范围围该策略适适用于使使用信息息资源的的所有人人员。术语定义义略信息资源保密策略n 在公司内内部保存存和控制制的电子子文件应应该公开开，并且且可以被被信息服服务人员员访问；n 为了管理理系统并并加强安安全，信信息 技术部部小组可可以记录录、评审审，同时时也可以以使用其其信息资资

4、源系统统中存储储和传递递的任何何信息。为为了达到到此目的的，信息息 技术部部小组还还可以捕捕获任何何用户活活动，如如拨号号号码以及及访问的的网站；n 为了商业业目的，第第三方将将信息委委托给公公司内部部保管，那那么信息息 技术部部小组的的所有工工作人员员都必须须尽最大大的努力力保护这这些信息息的保密密性和安安全性。对对这些第第三方来来说最重重要的就就是个人人消费者者，因此此消费者者的账户户数据应应该保密密，并且且对这些些数据的的访问也也应该依依据商业业需求进进行严格格限制；n 用户必须须向适当当的管理理者报告告公司内内部计算算机安全全的任何何薄弱点点，可能能的误用用事故或或者相应应授权协协议的

5、违违背情况况；n 在未经授授权或获获得明确确同意的的情况下下，用户户不可以以尝试访访问公司司内部系系统中包包含的任任何数据据或程序序。惩罚违背该策策略可能能导致：员工以以及临时时工被解解雇、合合同方或或顾问的的雇佣关关系终止止、实习习人员和和志愿者者失去继继续工作作的机会会、学生生被开除除；另外外， 这些人人员还可可能遭受受信息资资源访问问权以及及公民权权的损失失，甚至至遭到法法律起诉诉。引用标准准略2网络访访问策略略发布部门门信息安全全小组生效时间间20166年11月01日介绍网络基础础设施是是提供给给所有信信息资源源用户的的中心设设施。重重要的是是这些基基础设施施（包括括电缆以以及相关关的

6、设备备）要持持续不断断的发展展以满足足需求，然然而也要要求同时时高速发发展网络络 技术部部以便将将来提供供功能更更强大的的用户服服务。目 的该策略的的目的是是建立网网络基础础设施的的访问和和使用规规则。这这些规则则是保持持信息完完整性、可可用性和和保密性性所必需需的。适用范围围该策略适适用于访访问任何何信息资资源的所所有人。术语定义义略网络访问策略n 用户不可可以以任任何方式式扩散或或再次传传播网络络服务。未未经信息息安全小小组批准准不可以以安装路路由器、交交换机、集集线器或或者无线线访问端端口；n 在未经信信息安全全小组批批准的情情况下，用用户不可可以安装装提供网网络服务务的硬件件或软件件；

7、n 需要网络络连接的的计算机机系统必必须符合合信息服服务规范范；n 用户不可可以私自自下载、安安装或运运行安全全程序或或应用程程序，发发现或揭揭露系统统的安全全薄弱点点。例如如，在以以任何方方式连接接到互联联网基础础设施时时，未经经信息安安全小组组批准用用户不可可以运行行口令破破解程序序、监听听器、网网络绘图图工具、或或端口扫扫描工具具；n 不允许用用户以任任何方式式更换网网络硬件件；n 在局域网网上进行行文件共共享时必必须指定定访问权权限，机机密信息息严禁使使用eveeryoone权限。n 任何员工工在访问问网络资资源时必必须使用用专属于于自己的的帐号ID，不得得使用他他人的帐帐号访问问网络

8、资资源。n 网络分为为办公网网络和生生产环境境网络，办办公网络络又分为为日常办办公网络络和专门门远程访访问网络络n 生产环境境网络必必须使用用vpn由专人人专机访访问，必必须要提提前向上上级领导导申请报报告n 不得从生生产环境境下载拷拷贝等操操作n 只能从公公司指定定办公网网络（公公司专门门的网络络通道）访访问远程程的服务务器n 修改远程程服务器器的内容容必须要要提前申申请报告告，且要要有详细细的操作作步骤惩罚违背该策策略可能能导致：员工以以及临时时工被解解雇、合合同方或或顾问的的雇佣关关系终止止、实习习人员和和志愿者者失去继继续工作作的机会会、学生生被开除除；另外外， 这些人人员还可可能遭受

9、受信息资资源访问问权以及及公民权权的损失失，甚至至遭到法法律起诉诉。引用标准准略3.访问问控制策策略发布部门门信息安全全小组生效时间间20166年11月01日介绍应根据业业务和安安全要求求，控制制对信息息和信息息系统的的访问。目 的该策略的的目的是是为了控控制对信信息和信信息系统统的访问问。适用范围围该策略适适用于进进行信息息和信息息系统访访问的所所有人员员。术语定义义略访问控制策略n 公司内部部可公开开的信息息不作特特别限定定，允许许所有用用户访问问；n 公司内部部分公开开信息，根根据业务务需求访访问，访访问人员员提出申申请，经经访问授授权管理理部门认认可，访访问授权权实施部部门实施施后用户

10、户方可访访问；n 公司网络络、信息息系统根根据业务务需求访访问，访访问人员员提出申申请，经经信息安安全小组组认可，实实施后用用户方可可访问；n 信息安全全小组安安全管理理员按规规定周期期对访问问授权进进行检查查和评审审；n 访问权限限应及时时撤销，如如在申请请访问时时限结束束时、员员工聘用用期限结结束时、第第三方服服务协议议中止时时；n 用户不得得访问或或尝试访访问未经经授权的的网络、系系统、文文件和服服务；n 远程用户户应该通通过公司司批准的的连接方方式；n 在防火墙墙内部连连接内部部网络的的计算机机不允许许连接INTTERNNET ，除非非获得信信息安全全小组的的批准；n 用户不得得以任何

11、何方式私私自安装装路由器器、交换换机、代代理服务务器、无无线网络络访问点点 ( 包括软软件和硬硬件 ) 等；n 在信息网网、外联联网安装装新的服服务 ( 包括软软件和硬硬件 ) 必须获获得信息息安全小小组的批批准；n 用户不得得私自撤撤除或更更换网络络设备。惩罚违背该策策略可能能导致：员工以以及临时时工被解解雇、合合同方或或顾问的的雇佣关关系终止止、实习习人员和和志愿者者失去继继续工作作的机会会、学生生被开除除；另外外， 这些人人员还可可能遭受受信息资资源访问问权以及及公民权权的损失失，甚至至遭到法法律起诉诉。引用标准准略4. 物理访问问策略发布部门门信息安全全小组生效时间间20166年11月

12、01日介绍 技术部部支持人人员、安安全管理理员、IT管理员员以及其其他人员员可能因因工作需需要访问问信息资资源物理理设施。对对信息资资源设施施物理访访问的批批准、控控制以及及监控对对于全局局的安全全是极其其重要的的。目 的该策略的的目的是是为信息息资源设设施物理理访问的的批准、控控制、监监控和删删除建立立规则。适用范围围该策略适适用于组组织中负负责信息息资源安安装和支支持的所所有人员员，负责责信息资资源安全全的人员员以及数数据的所所有者。术语定义义略物理访问策略n 所有物理理安全系系统必须须符合相相应的法法规，但但不仅限限于建设设法规以以及消防防法规；n 对所有受受限制的的信息资资源设施施的物

13、理理访问必必须形成成文件并并进行控控制；n 所有信息息资源设设施必须须依据其其功能的的关键程程度或重重要程度度进行物物理保护护；n 对信息资资源设施施的访问问必须只只授权给给因职责责需要访访问设施施的支持持人员和和合同方方；n 授权使用用卡和/或钥匙匙访问信信息资源源设施的的过程中中必须包包括设施施负责人人的批准准；n 拥有信息息资源设设施访问问权的每每一个人人员都必必须接受受设施应应急程序序培训，并并且必须须签署相相应的访访问和不不泄密协协议；n 访问请求求必须发发自相应应的数据据/系统所所有者；n 访问卡和和/或钥匙匙不可以以与他人人共享或或借给他他人；n 访问卡和和/或钥匙匙不需要要时必

14、须须退还给给信息资资源设施施负责人人。在退退还的过过程中，卡卡不可以以再分配配给另一一个人；n 访问卡和和/或钥匙匙丢失或或被盗必必须向信信息资源源设施的的负责人人报告；n 卡和/或或钥匙上上除了退退回的地地址外不不可以有有标志性性信息；n 所有允许许来宾访访问的信信息资源源设施都都必须使使用签字字出/入记录录来追踪踪来宾的的访问；n 信息资源源设施的的持卡访访问记录录以及来来宾记录录必须保保存，并并依据被被保护信信息资源源的关键键程度定定期评审审；n 在持卡和和/或钥匙匙的人员员发生变变化或离离职时，信信息资源源设施的的负责人人必须删删除其访访问权限限；n 在信息资资源设施施的持卡卡访问区区

15、，来宾宾必须由由专人陪陪同；n 信息资源源设施的的负责人人必须定定期评审审访问记记录以及及来宾记记录，并并要对异异常访问问进行调调查；n 信息资源源设施的的负责人人必须定定期评审审卡和/或钥匙匙访问权权，并删删除不再再需要访访问的人人员的权权限；n 对限制访访问的房房间和场场所必须须进行标标记，但但是描述述其重要要性的信信息应尽尽可能少少。惩罚违背该策策略可能能导致：员工以以及临时时工被解解雇、合合同方或或顾问的的雇佣关关系终止止、实习习人员和和志愿者者失去继继续工作作的机会会、学生生被开除除；另外外， 这些人人员还可可能遭受受信息资资源访问问权以及及公民权权的损失失，甚至至遭到法法律起诉诉。

16、引用标准准略5. 供应商访访问策略略发布部门门信息安全全小组生效时间间20166年11月01日介绍供应商在在支持硬硬件和软软件管理理以及客客户运作作方面有有重要作作用。供供应商可可以远程程对 数据和和审核日日志进行行评审、备备份和修修改，他他们可以以纠正软软件和操操作系统统中的问问题，可可以监控控并调整整系统性性能，可可以监控控硬件性性能和错错误，可可以修改改周遭系系统，并并重新设设置警告告极限。由由供应商商设置的的限制和和控制可可以消除除或降低低收入、信信誉损失失或遭破破坏的风风险。目 的该策略的的目的是是为减缓缓供应商商访问组组织资产产带来的的风险。适用范围围该策略适适用于所所有需要要访问

17、组组织的供供应商。术语定义义略第三方访问策略n 供应商必必须遵守守相应的的策略、操操作标准准以及协协议，包包括但不不仅限于于： 安全策略略； 保密策略略； 审核策略略； 信息资源源使用策策略。n 供应商协协议和合合同必须须规定： 供应商应应该访问问的信息息； 供应商怎怎样保护护信息； 合同结束束时供应应商所拥拥有的信信息返回回、毁灭灭或处置置方法； 供应商只只能使用用用于商商业协议议目的的的信息和和信息资资源； 在合同期期间供应应商所获获得的任任何信息息都不能能用于供供应商自自己的目目的或泄泄漏给他他人。 n 应该向信信息安全全小组提提供与供供应商的的合同要要点。合合同要点点能确保保供应商商符

18、合策策略的要要求 ；n 为供应商商分配类类型，如如IT基础组组件运维维服务、系系统维护护服务、网网络维护护服务等等；n 需定义不不同类型型供应商商可以访访问的信信息类型型，以及及如何进进行监视视和工作作访问的的权限；n 供应商访访问信息息的人员员范围仅仅限于工工作需要要的人员员，授权权需获得得信息安安全小组组的批准准；n 供应商权权限人员员不得将将已授权权的身份份识别信信息和相相关设备备透露、借借用给其其他人员员，工作作结束后后应该立立即注销销访问权权限及清清空资料料；n 针对与供供应商人人员交互互的组织织人员开开展意识识培训，培培训内容容涉及基基于供应应商类型型和 供应商商访问组组织系统统及

19、信息息级别的的参与规规则和行行为；n 如适合可可与供应应商就关关系中的的信息安安全签署署保密或或交换协协议；n 每一个供供应商必必须提供供在为合合同工作作的所有有员工清清单。员员工发生生变更时时必须在在 244 小时之之内更新新并提供供；n 每一个在在组织场场所内工工作的供供应商员员工都必必须佩带带身份识识别卡。当当合同结结束时，此此卡应该该归还；n 可以访问问机密信信息资源源的每一一个供应应商员工工都不能能处理这这些信息息；n 供应商员员工应该该直接向向恰当的的人员直直接报告告所有安安全事故故；n 如果供应应商参与与安全事事故管理理，那么么必须在在合同中中明确规规定其职职责；n 供应商必必须

20、遵守守所有适适用的更更改控制制过程和和程序；n 定期进行行的工作作任务和和时间必必须在合合同中规规定。规规定条件件之外的的工作必必须由相相应的管管理者书书面批准准；n 必须对供供应商访访问进行行唯一标标识，并并且对其其进行的的口令管管理必须须符合口口令实施施规范和和特殊访访问实施施规范。供供应商主主要的工工作活动动必须形形成日志志并且在在管理者者需要的的时候可可以访问问。日志志的内容容包括但但不仅限限于：人人员变化化、口令令变化、项项目进度度重要事事件、启启动和结结束时；n 当供应商商员工离离职时，供供应商必必须确保保所有机机密信息息在24小时内内被收回回或销毁毁；n 在合同或或邀请结结束时，

21、供供应商应应该将所所有信息息返回或或销毁，并并在 244 小时内内提交一一份返回回或销毁毁的书面面证明；n 在合同或或邀请结结束时，供供应商必必须立即即交出所所有身份份识别卡卡、 访问卡卡以及设设备和供供应品。由由供应商商保留的的设备和和 / 或供应应品必须须被管理理者书面面授权；n 要求供应应商必须须遵守所所有规定定和审核核要求，包包括对供供应商工工作的审审核；n 在提供服服务时，供供应商使使用的所所有软件件必须进进行相应应的清点点并许可可。惩罚违背该策策略可能能导致：员工以以及临时时工被解解雇、合合同方或或顾问的的雇佣关关系终止止、实习习人员和和志愿者者失去继继续工作作的机会会、学生生被开

22、除除；另外外，这些些人员还还可能遭遭受信息息资源访访问权以以及公民民权的损损失，甚甚至遭到到法律起起诉。引用标准准略6. 雇员访问问策略发布部门门信息安全全小组生效时间间20166年11月01日介绍雇员工作作在信息息安全区区域，工工作中需需要使用用公司的的各种信信息处理理设施，需需要访问问公司的的各种信信息资产产，因此此每一个个雇员有有义务和和责任保保护好公公司信息息资产的的安全。目 的本策略未未访问本本公司信信息资源源的全体体雇员，这种访问是出于业务需要的，涉及物理和行政安全管理需求的网络连接、雇员的职责及信息保护的准则。适用范围围该策略适适用于公公司的任任何雇员员，雇员员对信息息资源的的访

23、问，包包括信息息处理设设施设备备和 技术部部资源。术语定义义略雇员访问策略n 雇员必必须遵守守相应的的策略、操操作标准准以及协协议，包包括但不不仅限于于： 信息资资源保密密策略； 病毒防防范策略略； 可移动动代码防防范策略略； 信息交交换策略略； 清洁桌桌面和清清屏策略略； 网络访访问策略略； 便携式式计算机机安全策策略； 互联网网使用策策略； 电子邮邮件策略略。n 雇员在意意识到有有安全事事件发生生时应该该第一时时间向上上层领导导报告；n 雇员应该该直接向向恰当的的人员直直接报告告所有安安全事故故；n 雇员必须须遵守所所有适用用的变更更管理程程序；n 当雇员离离职时，必必须确保保所有机机密信

24、息息在24小时内内被收回回或销毁毁；n 在合同结结束时，雇雇员应该该将所有有信息返返回或销销毁，并并在 244 小时内内提交一一份返回回或销毁毁的书面面证明，并并由资产产责任人人签字认认可；n 在合同结结束时，雇雇员必须须立即交交出所有有身份识识别卡、访访问卡以以及设备备和供应应品。由由雇员保保管的设设备和 /或供应应品的回回收必须须由资产产责任人人签字认认可；n 要求雇员员必须遵遵守所有有规定和和审核要要求。惩罚违背该方方针可能能导致：员工被被解雇、合合同方或或顾问的的雇佣关关系终止止、实习习人员失失去继续续工作的的机会、员员工受到到经济性性惩罚等等；另外外，这些些人员的的信息资资源访问问权

25、以及及公民权权可能受受到侵害害，甚至至遭到法法律起诉诉。引用标准准略7. 设备及布布缆安全全策略发布部门门信息安全全小组生效时间间20166年11月01日介绍网络基础础设施是是向所有有信息资资源用户户提供服服务的中中心设施施。这些些基础设设施（包包括电源源馈送和和数据传传输的电电缆以及及相关的的设备）需需要持续续不断的的发展以以满足用用户需求求，然而而同时也也要求网网络 技术部部高速发发展以便便将来能能够提供供功能更更强大的的用户服服务。目 的n 该方针的的目的保保护设备备免受物物理的和和环境的的威胁，减减少未授授权访问问信息的的风险。防防止资产产的丢失失、损坏坏、失窃窃或危及及资产安安全以及

26、及组织活活动的中中断；n 为了安置置或保护护设备，以以减少由由环境威威胁和危危险所造造成的各各种风险险以及未未授权访访问的机机会；n 为了保护护设备使使其免于于由支持持性设施施的失效效而引起起的电源源故障和和其他中中断，应应有足够够的支持持性设施施（供电电、供水水、通风风和空调调等）来来支持系系统；n 为了保证证传输数数据或支支持信息息服务的的电源布布缆和通通信布缆缆免受窃窃听或损损坏，电电源馈送送和数据据通讯的的电缆必必须确保保安全；n 为了确保保设备持持续的可可用性和和完整性性，设备备应予以以正确地地维护；n 为了对组组织非现现场设备备采取安安全措施施，要考考虑工作作在组织织场所以以外的不

27、不同风险险；n 为了确保保涉密信信息不泄泄露，在在存储介介质销毁毁之前，任任何机密密信息和和注册软软件已被被删除或或安全重重写；n 为了确保保涉密信信息不泄泄露，设设备、信信息或软软件在授授权之前前不应带带出组织织场所。适用范围围该方针适适用于网网络设备备设施的的建设和和维护人人员。术语定义义略设备及布缆安全策略n 设备安置置和保护护方针 设备应进进行适当当安置，以以尽量减减少不必必要的对对工作区区域的访访问； 应把处理理机密数数据的信信息处理理设施放放在适当当的限制制观测的的位置，以以减少在在其使用用期间信信息被窥窥视的风风险，还还应保护护储存设设施以防防止未授授权访问问； 要求专门门保护的

28、的部件要要予以隔隔离，以以降低所所要求的的总体保保护等级级； 应采取控控制措施施以减小小潜在的的物理威威胁的风风险，例例如偷窃窃、火灾灾、爆炸炸、烟雾雾、水（或或供水故故障）、尘尘埃、振振动、化化学影响响、电源源干扰、通通信干扰扰、电磁磁辐射和和故意破破坏； 对于可能能对信息息处理设设施运行行状态产产生负面面影响的的环境条条件（例例如温度度和湿度度）要予予以监视视； 所有建筑筑物都应应采用避避雷保护护； 应保护处处理机密密信息的的设备，以以减少由由于辐射射而导致致信息泄泄露的风风险；n 支持性设设施方针针 支持性设设施应定定期检查查并适当当的测试试以确保保他们的的功能，减减少由于于他们的的故障

29、或或失效带带来的风风险。应应按照设设备制造造商的说说明提供供合适的的供电； 对支持关关键业务务操作的的设备，必必须使用用支持有有序关机机或连续续运行的的不间断断电源（UPS）； 电源应急急计划要要包括UPS故障时时要采取取的措施施。UPS设备和和发电机机要定期期地检查查，以确确保它们们拥有足足够能力力，并按按照制造造商的建建议予以以测试；n 布缆安全全方针： 进入信息息处理设设施的电电源和通通信线路路宜在地地下，若若可能，或或提供足足够的可可替换的的保护； 网络布缆缆要免受受未授权权窃听或或损坏，例例如，利利用电缆缆管道或或使路由由避开公公众区域域； 为了防止止干扰，电电源电缆缆要与通通信电缆

30、缆分开； 使用清晰晰的可识识别的电电缆和设设备记号号，以使使处理失失误最小小化，例例如，错错误网络络电缆的的意外配配线； 用文件化化配线列列表减少少失误的的可能性性； 对于机密密的或关关键的系系统，更更进一步步的控制制考虑应应包括：* 在检检查点和和终接点点处安装装铠装电电缆管道道和上锁锁的房间间或盒子子；* 使用用可替换换的路由由选择和和/或传输输介质，以以提供适适当的安安全措施施；* 使用用纤维光光缆；* 使用用电磁防防辐射装装置保护护电缆；* 对于于电缆连连接的未未授权装装置要主主动实施施 技术部部清除、物物理检查查；* 控制制对配线线盘和电电缆室的的访问；n 设备维护护方针 要按照供供

31、应商推推荐的服服务时间间间隔和和规范对对设备进进行维护护； 只有已授授权的维维护人员员才可对对设备进进行修理理和服务务； 要保存所所有可疑疑的或实实际的故故障以及及所有预预防和纠纠正维护护的记录录； 当对设备备安排维维护时，应应实施适适当的控控制，要要考虑维维护是由由场所内内部人员员执行还还是由外外部人员员执行；当需要要时，机机密信息息需要从从设备中中删除或或者维护护人员应应该是足足够可靠靠的； 应遵守由由保险策策略所施施加的所所有要求求。n 组织场所所外的设设备安全全方针 无论责任任人是谁谁，在组组织场所所外使用用任何信信息处理理设备都都要通过过管理者者授权； 离开建筑筑物的设设备和介介质在

32、公公共场所所不应无无人看管管。在旅旅行时便便携式计计算机要要作为手手提行李李携带，若若可能宜宜伪装起起来； 制造商的的设备保保护说明明要始终终加以遵遵守，例例如，防防止暴露露于强电电磁场内内； 家庭工作作的控制制措施应应根据风风险评估估确定，当当适合时时，要施施加合适适的控制制措施，例例如，可可上锁的的存档柜柜、清理理桌面策策略、对对计算机机的访问问控制以以及与办办公室的的安全通通信； 足够的安安全保障障掩蔽物物宜到位位，以保保护离开开办公场场所的设设备。安安全风险险在不同同场所可可能有显显著不同同，例如如，损坏坏、盗窃窃和截取取，要考考虑确定定最合适适的控制制措施。n 设备的安安全处置置和再

33、利利用方针针 包含机密密信息的的设备在在物理上上应予以以摧毁，或或者采用用使原始始信息不不可获取取的 技术部部破坏、删删除、覆覆盖信息息，而不不能采用用标准的的删除或或格式化化功能； 包含机密密信息的的已损坏坏的设备备可能需需要实施施风险评评估，以以确定这这些设备备是否要要进行销销毁、而而不是送送去修理理或丢弃弃。n 资产移动动方针 在未经事事先授权权的情况况下，不不允许让让设备、信信息或软软件离开开办公场场所； 应明确识识别有权权允许资资产移动动，离开开办公场场所的雇雇员、承承包方人人员和供供应商人人员； 应设置设设备移动动的时间间限制，并并在返还还时执行行符合性性检查； 若需要并并合适，要

34、要对设备备作出移移出记录录，当返返回时，要要作出送送回记录录； 应执行检检测未授授权资产产移动的的抽查，以以检测未未授权的的记录装装置，防防止他们们进入办办公场所所。这样样的抽查查应按照照相关规规章制度度执行。应应让每个个人都知知道将进进行抽查查，并且且只能在在法律法法规要求求的适当当授权下下执行检检查。惩罚违背该方方针可能能导致：员工被被解雇、合合同方或或顾问的的雇佣关关系终止止、实习习人员失失去继续续工作的的机会、员员工受到到经济性性惩罚等等；另外外，这些些人员的的信息资资源访问问权以及及公民权权可能受受到侵害害，甚至至遭到法法律起诉诉。引用标准准略8. 变更管理理安全策策略发布部门门信息

35、安全全小组生效时间间20166年11月01日介绍信息资源源基础设设施正在在逐步扩扩大并且且越来越越复杂。越越来越多多的人依依赖网络络、更多多的客户户服务机机构、未未升级和和扩展的的管理系系统以及及更多应应用程序序 。由于于信息资资源基础础设施之之间的互互相依赖赖程度越越来越高高，因此此有必要要加强变变更管理理过程。 有时每每一个信信息资源源组成部部分需要要暂停运运行，按按计划进进行升级级、维护护或调整整，另外外也可能能由于为为计划的的升级、维维护或调调整而导导致暂停停运行。管管理这些些变更是是提供坚坚固的、有有价值的的信息资资源基础础设施的的关键组组成部分分。目 的该策略的的目的是是以一种种合

36、理的的、可预预知的方方式管理理变更，以以便员工工和客户户能进行行相应的的计划。变变更需要要事先严严格计划划、仔细细监控并并要进行行追踪评评价，以以降低对对用户群群的负面面影响，增增加信息息资源的的价值。适用范围围该策略适适用于安安装、操操作或维维护信息息资源的的所有人人员。术语定义义略变更管理安全策略n 对信息资资源的每每一次变变更，如如操作系系统、计计算机硬硬件、网网络以及及应用程程序都要要服从变变更管理理策略，并并且必须须遵守变变更管理理程序；n 所有影响响计算机机环境设设备的变变更(如空调调、水、热热、管道道、电)需要向向变更管管理过程程的领导导者报告告，并与与之协调调处理；n 无论是事

37、事先有计计划的变变更还是是事先无无计划的的变更必必须都提提交书面面的变更更申请；n 所有事先先有计划划的变更更申请必必须按照照变更管管理程序序的规定定提交，以以便信息息安全小小组有足足够的时时间评审审申请，确确定并重重新评审审潜在的的失败，并并决定申申请被批批准还是是延期执执行；n 每一个事事先计划划的变更更申请在在执行前前必须受受到信息息安全小小组的正正式批准准；n 指定的信信息安全全小组领领导在下下列情况况下有权权拒绝任任何申请请：不充充分的策策划、不不充分的的删除计计划、变变更的时时间等会会对关键键的业务务过程造造成负面面影响，或或者会造造成没有有充分的的资源可可用；n 在变更管管理程序

38、序实施前前，必须须完成对对所有客客户的通通知；n 每一次变变更必须须进行变变更评审审，无论论是计划划还是未未计划的的，成功功的还是是失败的的；n 所有变更更必须保保留变更更管理日日志，必必须保留留的日志志包括但但不限于于下列内内容： 变更的提提交和执执行日期期； 所有者和和保管者者信息； 变更的特特性； 成功或失失败的标标志。n 所有信息息系统必必须遵照照上述规规定进行行信息资资源的变变更。惩罚违背该策策略可能能导致：员工以以及临时时工被解解雇、合合同方或或顾问的的雇佣关关系终止止、实习习人员和和志愿者者失去继继续工作作的机会会、学生生被开除除；另外外，这些些人员还还可能遭遭受信息息资源访访问

39、权以以及公民民权的损损失，甚甚至遭到到法律起起诉。引用标准准略9. 病毒防范范策略发布部门门信息安全全小组生效时间间20166年11月01日介绍计算机安安全事故故的数量量以及由由业务中中断服务务恢复所所导致的的费用日日益攀升升。实施施稳固的的安全策策略，防防止对网网络和计计算机不不必要的的访问，较较早的发发现并减减轻安全全事故可可以有效效地降低低风险以以及安全全事故造造成的费费用。目 的该策略的的目的是是描述计计算机病病毒、蠕蠕虫以及及特洛伊伊木马防防御、检检测以及及清除的的要求。适用范围围该策略适适用于使使用信息息资源的的所有人人员。术语定义义略病毒防范策略n 所有连接接到局域域网的工工作站

40、必必须使用用信息安安全小组组批准的的病毒保保护软件件和配置置；n 病毒保护护软件必必须不能能被禁用用或被绕绕过；n 病毒保护护软件的的更改不不能降低低软件的的有效性性；n 不能为了了降低病病毒保护护软件的的自动更更新频率率而对其其进行更更改；n 与局域网网连接的的每一个个文件服服务器必必须使用用信息安安全小组组批准的的病毒保保护软件件，并要要进行设设置检测测、清除除可能感感染共享享文件的的病毒；n 由病毒保保护软件件不能自自动清除除并引起起安全事事故的病病毒，必必须向信信息安全全小组报报告。惩罚违背该策策略可能能导致：员工以以及临时时工被解解雇、合合同方或或顾问的的雇佣关关系终止止、实习习人员

41、和和志愿者者失去继继续工作作的机会会、学生生被开除除；另外外， 这些人人员还可可能遭受受信息资资源访问问权以及及公民权权的损失失，甚至至遭到法法律起诉诉。引用标准准略10. 可移动代代码防范范策略发布部门门信息安全全小组生效时间间20166年11月01日介绍未经授权权的移动动代码危危害信息息系统，应应实施对对恶意代代码的监监测、预预防和恢恢复控制制，以及及适当的的用户意意识培训训。目 的该策略的的目的阻阻止和发发现未经经授权的的移动代代码的引引入，实实施对恶恶意代码码的监测测、预防防和恢复复控制。适用范围围该策略适适用于使使用信息息资源的的所有人人员。术语定义义略可移动代码防范策略n 禁止使用

42、用未经授授权的软软件。n 防范经过过外部网网络或任任何其它它媒介引引入文件件和软件件相关的的风险，并并采取适适当的预预防措施施。n 定期对支支持关键键业务过过程的系系统中的的软件和和数据进进行评审审；无论论出现任任何未经经验收的的文件或或者未经经授权的的修改，都都要进行行正式调调查。n 安装并定定期升级级防病毒毒的检测测软件和和修复软软件，定定期扫描描计算机机和存储储介质，检检测应包包括： 在使用前前，对存存储媒体体，以及及通过网网络接收收的文档档进行恶恶意代码码检测； 在使用前前，通过过邮件服服务器对对电子邮邮件附件件及下载载文件进进行恶意意代码检检测；n 信息安全全小组负负责恶意意代码防防

43、护、使使用培训训、病毒毒袭击和和恢复报报告。n 为从恶意意代码攻攻击中恢恢复，需需要制定定适当的的业务持持续性计计划。包包括所有有必要的的数据、软软件备份份以及恢恢复安排排。n 信息安全全小组应应制定并并实施文文件化的的程序，验验证所有有与恶意意软件相相关的信信息并且且确保警警报公告告的内容容准确详详实。管管理员应应当确保保使用合合格的信信息资源源，防止止引入真真正的恶恶意代码码。所有有用户应应有防欺欺骗的意意识，并并知道收收到欺骗骗信息时时如何处处置。惩罚违背该策策略可能能导致：员工以以及临时时工被解解雇、合合同方或或顾问的的雇佣关关系终止止、实习习人员和和志愿者者失去继继续工作作的机会会、

44、学生生被开除除；另外外， 这些人人员还可可能遭受受信息资资源访问问权以及及公民权权的损失失，甚至至遭到法法律起诉诉。引用标准准略11. 信息备份份安全策策略发布部门门信息安全全小组生效时间间20166年11月01日介绍电子备份份是一项项必需的的业务要要求，能能使数据据和应用用程序在在发生意意想不到到的事件件时得以以恢复，这这些事件件包括：自然灾灾害、系系统磁盘盘故障、间间谍活动动、数据据输入错错误或系系统操作作错误等等。目 的该策略的的目的是是设置电电子信息息的备份份和存储储职责。适用范围围该策略适适用于组组织中负负责信息息资源安安装和支支持的所所有人员员，以及及负责信信息资源源安全的的人员和

45、和数据所所有者。术语定义义略信息备份安全策略n 信息备份份周期和和方式必必须依据据信息的的重要性性以及数数据所有有者确定定的可接接受风险险确定；n 供应商提提供的场场所外备备份存储储必须达达到信息息存储的的最高等等级；n 场所外备备份存储储区的物物理访问问控制的的实施必必须满足足并超过过原系统统的物理理访问控控制，另另外备份份介质必必须依据据信息存存储的最最高安全全等级进进行保护护 ；n 必须建立立并实施施对电子子信息备备份成功功与否的的验证过过程；n 必须对场场所外备备份存储储供应商商每年进进行评审审；n 为了容易易识别介介质和或关联联系统，备备份介质质至少应应该被标标注下列列信息： 系统名； 创建日期期； 机密度分分级以以相应的的电子记记录保持持法规为为基础； 包含的信信息。惩罚违背该策策略可能能导致：员工以以及临时时工被解解雇、合合同方或或顾问的的雇佣关关系终止止、实习习人员和和志愿者者失去继继续工作作的机会会、学生生被开除除；另外外， 这些人人员还可可能遭受受信息资资源访问问权以及及公民权权的损失失，甚至至遭到法法律起诉诉。引用标准准略12. 网络配置置安全策策略发布部门门信息安全全小组生效时间间20166年11月01日介绍网络基础础设施是是提供给给所有信信息资源源用户的的中心设设施。重重要的是是这些基基础设施施（包括括电缆以以及相关关的设备备，如路路由器、交交换机）要要