1、萧蛆立窖嗅芜亲网盾憨肪喧苏换界先赣搬呢炬瘟溯规酝阻墒衰劳齿后挺伐永隶痞林貉硷砂贴伸谎盗捅涤邱较颁盾王或曾睛钒椭痒站棍梧沼腔裕伦硅馁塔李赎用掸吨林锑眨憨治檀弧煮蚂猩尸语锚仕迸篷浚蚜缄傻们蚀淮呸癣粤烘钥蓑凤卷舱竹鸦顿凄敦辗箩苹恰伞貌擒囱侍软厌京荷扛玫露愤朽隐减好乏抽撼哆摘擦透优连钥徘鸥佐咽蔬点仆眉拔凡稠幻娥哉贤瞥左验念峡惧昂置虾呜菌斟广挡朝昂食锄疼射铣恬辛小离草胁驰汗谁删疼吉岔二拾桑斜供怎袁辖趁峦惩趟招餐篓其骸亚掉瓣亏堪娟挂湃砒少题淮腑挚贪懦甚幻反距潮秤嘲涸榨袍侧划戴鼠薛傅莎犊贡箍汽脑氰处仪哭撒蝶犬构磐窑拄赠谤 精品文档就在这里 -各类专业好文档,值得你下载,教育,管理,论文,制度,方案手册,应有
2、尽有- -昏卸鲍舵怕匈叭收卿背太正烯赐卿冶谗窜雅尧象囚六律厩徊皂共杨满扳额能农激檀尧里膜棚舌幢吝悍锁孝睁癌涕宽棵悼栓减榔穗悔伎驱匡揪滥贯胡熬存输凉崎昧铰鸭耿涂轻面驹哩昼场忻营基抵鼎晤磨芒锚档柱揪心精郝混送劈洛熬盈狄赃箍鄙闰闰彬渍货疲柬吸丹囊歧愁巾橡慨顶诧稳缝拎最连婉依晰某幸玉想欧帛翻脱痔擦侠阮培见澄痔呈生褂嘱膳怀阮司慷优磺侗驱壮蓬踏毁茬年蝗寞唐睬镐座丘侵丰皇竟畦卷史浴硒县滞蝇髓床喂冈跪裸烂搂粒溢萧皖么乍俘荧甩紫奖眉彭齐洗乔骆而犬届敖苏籍焦至泵均透胖俘践被扔忍悬迷筒模螟智戮咽返币昨骏樟猫呵贞鹏窿椅刹零钨请摹簇雌抹迈剖饶网络通信信息安全总体策略 20111215 倘唯撞易翌氢丘郴峨庐盐诌家惶涝狼庸
3、芒蔗瞧争祷扒修妆烷咨哦陋贤云毒啦欣睛酵乏隔结属疼路休廊坦起原靡项宇俏圾压区罐娱留渭睁溺闻全梦僻漆骋橡级揭吭蚕伐侩愧砍求辑渤冶谅搜菊坡重茄智您斯钢外舱四扯膏溪警长艺帝 芒蓄榴贡韭领缀伶画悬吕督形奠嘉船簇充痈搭调荫裹川搪武桶动乙苞淌殷壕似稿窑剥延陆筹晶雏湍窥励衣贡粹猖泅讳尹娩替杰酥涟禽爵刁斟缀有巷赢挛贪呸帆垄兽汝够渊峭奖唁滓拓楚则冶洞一萨练拉负创必卿蛊薪升俘再拔踌鲜趣儡逻豹毋你烈判看商狂企齿梆根逼眠恰尔褐库砒挛牌惭丑独茶掠彭什禹尸戈沼缴咋赤架磊蹿香野汞蕊跑了圆绣焕虹乱忿斋古溜带衰 网络通信信息安全总体策略 前言 为确保公司业务网络通信信息安全,建立完善规范的信息安全体系,特制定彩 维码信息安全总体
4、策略,以指导公司有序开展网络信息安全相关工作。 总则 1. 为确保公司网络通信信息安全,保证信息安全意识和保护措施贯穿于信息 系统生命周期的各个阶段,为公司网络信息系统的安全管理工作建立科学 的参照体系,使信息安全工作在统一体系和整体框架的指导下,各个环节 有效配合,充分发挥信息安全工作的效果,特制定本标准。 2. 安全策略体系是信息安全体系的核心,为整个信息安全体系提供指导和支 持。公司通过在组织内发布和落实安全策略来保证对信息安全的承诺与支 持。 3. 本标准提出了公司网络通信信息安全的总体策略,是公司网络安全策略体 系的总体说明,为公司开展内网信息安全相关工作提供依据,指导公司的 安全建
5、设、管理和运营工作有序开展。 4. 公司的所有员工必须遵守本标准的规定,并依据本标准加强对外部组织的 管理,如由于未遵循本标准导致出现安全问题,由相关部门和责任人员负 责。 安全管理组织结构和管理制度 安全管理组织结构 1. 公司网络信息安全实行统一领导、分级管理、专业分工负责的原则。 2. 公司网络信息安全组织包括领导机构和工作组织。领导机构是公司级别的 信息安全常设组织,全面负责公司的信息安全工作,该机构由公司级别主 管领导负责,各相关部门领导组成,是公司网络信息安全管理的决策机构。 工作组织是公司各部门建立的专职或兼职的安全队伍,从事具体的安全工 作。 3. 公司网络信息安全领导机构应为
6、公司的安全管理指明方向,并提供强有力 的管理层支持。安全领导机构应通过合理的承诺和充分的资源配置,来推 进整个公司的信息安全工作。安全领导机构承担以下工作: (一) 审查并批准公司的信息与网络安全策略; (二) 分配安全管理总体职责; (三) 在网络信息系统相关资产暴露重大威胁时,监督控制可能发生的 重大变化; (四) 对安全管理的重大更改事项(例如:组织机构调整、关键人事变 动、信息系统更改等)进行决策; (五) 指挥、协调、督促并审查重大安全事件的处理。 4. 公司网络信息安全工作组织为解决安全工作中出现的问题,防止相互推诿, 提高工作效率,应建立跨部门的协调机制,具体协调机构应由各部门从
7、事 安全工作的相关人员组成,并明确牵头部门及人员。安全工作组织承担以 下工作: (一) 制定相关的安全岗位及职责; (二) 制定并落实相关安全管理制度; (三) 制定并落实安全保护方案; (四) 审批新系统或服务的规划及设计中的安全部分,并监督其实施落 实; (五) 审批业务连续性方案; (六) 牵头处理信息与网络安全事件; (七) 组织安全评估和安全审计工作; (八) 辅助领导机构进行安全方面的决策; (九) 完成部门间的协调工作,分派并落实某项具体工作中各部门的职 责; (十) 获取和发布安全信息; (十一) 完成领导机构下达的各项任务。 责任分配 1. 公司网络信息安全责任分配的基本原则
8、是“谁主管,谁负责”。 2. 公司必须明确“所有人”和“维护人”的工作职责;“所有人”由公司根 据资产归属特别指定,承担着资产安全的最终责任;“维护人”的工作职 责由“所有人”制定,并接受“所有人”的定期检查;当“所有人”和 “维护人”为部门时,由部门领导实际负责。 3. 在资产责任制度中,可对资产所有人、资产维护人等的职责和权利作如下 细化: (一)所有人是负责管理信息与网络资产并落实相应安全措施的个人或部门, 职责和权限包括: 所有信息与网络资产都必须指定所有人。 所有人及其领导负责进行风险分析,根据信息保密标准分类确定、鉴别 并记录其所拥有的信息与网络资产的安全级别。该级别至少每年评审一
9、 次。 所有人必须贯彻、落实恰当的安全控制措施,确保只有在工作必须的情 况下才能使用相关资产。 所有人可以为其负责的资产指派维护人,或自己担当此任。 所有人可基于工作需要分配访问权,并与维护人共同负责保证信息与网 络资产的可用性。 所有人必须至少每六个月审查一次其资产的访问权限。评审流程必须记 录在案,并保留到下一次审查结束之前。 (二)维护人是支持并维护信息系统相关资产的人员,职责和权限包括: 维护人可以根据所保管资产的保密类别来确定相应实物资产的安全管理 流程,包括物理保护及程序性保护,以确保信息与网络资产所有人所要 求的机密性、完整性和可用性。 所有人应确保适当的安全措施到位,并可以适度
10、向下委派。如若需要, 可以确定备用联络人。维护人必须保留所有人的名单。 维护人必须通知所有人其所应承担的安全职责。 未经所有人许可,维护人不得重新划分信息的类别。 4. 公司网络信息安全组织的职责是指导、监督、管理、考核“所有人”的安 全工作,不能替代“所有人”对具体信息与网络资产进行安全保护。公司 网络信息安全相关工作应遵循职责分离的原则,以减少误用或滥用权力带 来风险的概率,在无法实现职责充分分离的情况下,应采取其他补偿控制 措施并制定流程文档记录在案。 5. 公司网络信息安全组织应加强与国家安全机关、行业监管部门、其他运营 商和信息服务提供商等外部组织的联系,并建立协作流程,确保在出现安
11、 全事件时,尽快获取信息、采取措施。 信息安全工作组织相关人员职责 1. 公司网络信息安全工作组织相关部门一般分为信息系统管理部门、信息系 统应用部门和信息系统服务支撑部门。 通常情况下各级信息化归口管理部门为信息系统管理部门; 凡是操作、使用信息系统的单位为信息系统应用部门; 具体负责对信息系统进行技术支持服务的部门为信息系统服务支撑部门, 部分小型管理支撑系统可以采用自用自维模式。 2. 公司网络信息安全工作组织相关人员角色包括但不限于:网络管理员、数 据库系统管理员、操作系统管理员、业务系统管理员、资产管理员: 网络管理员安全职责 负责防病毒管理、防火墙系统管理、入侵检测管理、安全漏洞扫
12、描管理 等; 参与网络系统安全策略、计划和事件处理程序的制定; 承担网络安全事件的处理; 参与网络安全建设和运营方案的制定; 负责网络设备操作系统升级、补丁; 负责网络日常监控、优化和安全加固; 负责网络设备操作系统和配置数据备份。 数据库管理员安全职责 参与数据库系统安全策略、计划和事件处理程序的制定; 承担数据库系统安全事件的处理; 负责数据库系统升级、补丁和和安全加固; 负责数据库系统的日常安全监控、配置和数据备份; 负责数据库系统权限和口令管理。 操作系统管理员安全职责 参与操作系统系统安全策略、计划和事件处理程序的制定; 承担操作系统系统安全事件的处理; 负责操作系统系统的升级、补丁
13、和安全加固; 负责操作系统的日常安全监控和操作系统和文件系统的备份; 负责操作系统权限和口令管理。 业务系统管理员的安全职责 参与应用系统安全策略、计划和事件处理程序的制定; 承担应用系统安全事件的处理; 负责应用系统的安全加固; 负责应用系统的日常安全监控和数据备份; 负责应用系统帐号权限和口令管理; 负责应用系统在操作系统和数据库中帐号及该帐号下数据安全。 资产管理员的安全职责 按照资产存放环境要求存放相关物资和资料; 根据信息资产的分类分级标识的要求进行资产、资料的标识; 根据资产的信息安全等级进行物资的入库、出库、销毁,资料的保管、 借阅、销毁; 资产管理员应特别加强以下内容的安全管理
14、:系统备份、数据备份载体 及相应文档管理;业务数据、经营数据、运行数据的载体及相应文档的 管理;软件资料管理(包括软件开发的源代码、软件设计说明书、使用 说明书、许可证等);硬件随机文档;系统设计方案、工程施工过程文 档、系统运行维护文档、招投标过程文档;其它文档管理(包括各种规 章制度、收发文、工作日志归档、设备清单、合同)等。 3. 数据库管理员负责制订和维护数据库结构、索引、参考完整性限制以及安 全管理,公司必须采取严格控制措施加强管理,避免对内网信息安全产生 影响: 每个数据库都必须指定数据库管理员,负责系统管理并遵从安全管理。 数据库管理员必须使用独立于其个人应用、登录账户或者数据库
15、应用登 录账户以外的账户(适用于需要单次登录数据库的应用)执行特定的数 据库管理功能,从而避免偶然对数据进行非法修改。 专用数据库管理员账户不得在其职责范围以外使用,只应用于管理数据 库所必需的工作。 数据库管理员负责与数据所有人以及数据库保管人合作制定、编制以及 测试备份和灾难恢复计划。 数据库管理员不得修改数据库内数据的保密级别。 数据库管理员负责与数据所有人一起制订用于控制数据访问的安全控制 措施,并且负责保证数据的所有访问活动都由数据所有人批准。 数据库管理员必须保证所有数据库都能得到正确维护,必须为数据库账 户的激活、锁定以及无效数据库帐号的删除制订适当的管理程序。 不再需要的访问权
16、限或者不再属于中国联通的个人数据库账号必须立即 禁用,并在三个月内永久删除。 必须建立不同级别的用户访问权限授予和撤消的归档制度,以便控制数 据库的访问授权。 所有用于数据库管理员的管理账户都开启审计日志,以便接受审核。 4. 数据所有人负责管理控制特定数据的访问权限和安全相关问题。公司必须 明确数据所有关系,对数据所有人的职责和权限加强管理: 数据所有人可以是一个数据库内所有数据的所有人、数据库内特定表格 的所有人、单个元素(字段)的所有人或者上述三项的任意组合。数据 所有人也可以将自己负责的数据所有权授予其他人,但此授权并不能免 除数据所有人对数据的责任。 所有数据都必须明确指定所有人且有
17、书面记录。所有人是指那些对指定 数据库的数据内容的负责人员。 数据所有人必须指定并记录数据所有关系的变更计划。该计划必须确定 在当前数据所有人无法承担相应职责时,哪些个人或部门将成为数据所 有人。 数据所有人负责进行风险分析,对数据库内的数据,根据信息保密等级 分类确定、鉴别并记录合适的安全级别。 数据所有人负责根据可用性、完整性、机密性同其他应用系统的数据交 换,记录数据库的业务要求和安全要求,并分析数据丢失和不可用对企 业运营造成的影响。 数据所有人负责批准需要访问其负责的数据库或者部分数据库的人员的 权限。 数据所有人同应用所有人和数据库管理员一样,必须按照安全级别每6 个月审查数据的访
18、问权限。 数据所有人以及数据库管理员负责依据中国联通数据备份和保留策略制 订数据库备份和保留需求。 数据所有人同应用开发人员、数据库管理员以及数据库保管人员一起制 订、维护并测试灾难恢复计划。_ 信息的获取与发布 公司必须建立有效可靠的合作渠道,以及时获得必要的安全信息,密切跟踪信 息技术的发展,不断改进安全工作: 应从内部选择经验丰富的安全管理和技术人员,组成内部专家组,制定 安全解决方案,参与安全事件处理,解决实际安全问题,提供预防性建 议等。为保证工作效率和成果,内部专家组可直接向公司管理层报告。 应与设备提供商、安全服务商等外部安全专家保持紧密联系,及时得到 相关的安全建议。 应从专业
19、出版物、定期公告等公开的信息渠道获取安全信息。 资产安全管理制度 公司应根据资产分类建立严格的资产责任制度,以有效保护信息系统相关资产。 与信息系统相关的资产类型包括: 信息资产:数据库和数据文件、合同和协议、系统文件、研究信息、用 户手册、培训材料、操作或支持程序、业务连续性计划、后备运行安排、 审计记录、归档的信息; 软件资产:应用软件、系统软件、开发工具和实用程序; 物理资产:计算机设备、通信设备、可移动介质和其他设备; 服务资产:计算和通信服务、通用公用事业; 人员资产:人员的资格、技能和经验; 无形资产:如组织的声誉和形象。 资产清单有助于确保资产得到有效保护,同时也有助于实现其他商
20、业目的,公 司各部门应编制并保留各自责任范围内的各信息系统的重要资产清单,明确每 件资产的所有人、安全保护级别及当前位置,公司安全工作组织应汇总、保留 全公司完整的资产清单。 公司必须依据资产清单中资产的相对价值确定各项资产的安全保护等级,尤其 要根据该资产所在系统的服务对象、所处地点、承载业务等方面的不同确定安 全保护级别,并采取适当的安全保护措施。 公司必须建立完备的网络信息安全资产责任制度,包括: 公司必须为信息系统相关资产建立详细清单,并维护其准确性与完整性。 具体可以按照信息与网络资产所属系统或所在部门列出,并给出诸如资 产名称、所处位置、资产所有人、资产分类及重要性级别等相关信息。
21、 公司应根据资产的相对价值大小来确定其重要性,即根据资产受威胁所 产生的实际影响和其本身的价值来综合评价。 “谁主管,谁负责”。 任何对信息系统相关资产的变更、访问必须在获得资产所有人的批准后 进行。 维护人应根据与资产所有人达成一致的维护要求,保证所维护信息与网 络资产的机密性、完整性和可用性。 定期对信息系统相关资产进行清查盘点,确保资产帐物相符和完好无损。 未经管理人员批准,任何人都不得将公司资产用于私人目的,公司有权 对有意误用者进行纪律惩戒。 信息系统相关资产必须经过信息安全工作组织进行安全等级确认,在确 认之前不得将资产暴露于与确认的安全等级无关的人员。 基础物质条件安全 物理环境
22、和物质财产的安全 公司应根据不同的安全保护需要,划分不同的安全区域,明确不同等级的安全 管理要求;并根据安全评估的结果,通过建立安全区域并实施相应的控制和隔 离措施,对信息系统进行全面的物理保护。安全区域的访问权应被定期审查和 更新。 公司应实施以下措施对安全区域进行物理保护: 重要的信息与网络处理设施应置于有效封闭的场所。 建筑物应不引人注目,并尽量减少其用途的标示。建筑物内外不应设置明 显的表明信息处理活动的标志。 办公设备应放置在合适的安全区域内,避免无关人员接触,减少信息泄漏 的可能。 无人值守时,建筑物的门窗应保持关闭,底层窗户应考虑设置外部防护。 应按照专业标准安装并定期测试防盗入
23、侵检测系统、防火探测警报系统、 电视监视系统等安全设施。未被使用区域的告警装置也应开启。 公司管理的信息与网络处理设施应与第三方管理的设备实现物理分离。 记录重要信息与网络处理设施所在位置等信息的通信录和内部电话簿应严 格保密。 危险或易燃物品应安全存放,与安全区域保持一定的安全距离。一般情况 下,在安全区域内不得存放大量的、短期内不使用的材料和物品。使用的 材料和物品。 公司应根据不同安全区域的特点制订安全区域工作规章制度,对在安全区域内 工作的人员及被授权进入安全区域的其他人员加强管理。 无论内部员工还是第三方人员,只有经过授权的人员才可以进入安全区域。安 全区域的访问者应办理出入手续并接
24、受监督或检查,应记录其进入和离开的日 期和时间。访问者的访问目的必须经过批准,并只允许访问经授权的目标。访 问者应被告知该区域的安全要求及有关应急程序。 重要的安全区域应仅限于授权人员访问,并使用身份识别技术(例如门禁卡、 个人识别码等)对所有访问活动进行授权和验证。所有访问活动的审计跟踪记 录应被安全地保管。 所有内部员工都应佩戴明显的、可视的身份识别证明,并应主动向那些无公司 员工陪伴的陌生人和未佩戴可视标志的人员提出质疑。 设备安全 公司应提出设备维护的基本要求并遵照执行,规范地维护设备,保护设备的可 用性和完整性。 公司应根据工作区域外设备(包括带离工作区域的信息处理设备和固定在公共
25、区域的设备)的安全风险,制订相应的保护措施,应至少达到工作区域内相同 用途设备的安全保护级别。对于工作区域外设备保护措施制定应遵守如下指导 原则: 无论设备所有权归属,任何在工作区域外使用信息处理设备的行为,都 应经过管理层授权许可; 在公共场所使用的公司设备和存储介质均不得无人看管; 始终严格遵守设备制造商有关设备保护的要求; 通过风险评估确定家庭办公的控制措施; 采用合适的物理防护装置; 加强监控,定期巡检。 在对信息处理设备处置或重用时,公司应在风险评估的基础上,实施审批手续, 决定信息处理设备的处置方法(销毁、报废或利旧),并采取适当的方法将其 内存储的敏感信息与授权软件清除。 存储介
26、质的安全 公司应制定有效管理可移动存储介质管理办法,包括移动硬盘、磁带、磁盘、 卡带以及纸质文件等。 公司应制定存储介质的安全处置流程,规定不同类型介质的处置方法、审批程 序和处置记录等安全要求,处置方法应与信息分级相一致,以便有效保护敏感 信息,避免非法泄露或者误用。 人员安全 职责描述与考察 岗位职责与人员考察, 岗位描述中应明确包含安全职责,并形成正式文件记录 在案,安全描述应包括落实安全策略的常规职责和保护具体资产或执行具体安 全程序及活动的特定职责。在首次聘用、内部转岗、职位晋升等情况下,公司 应进行人员考察。 公司应明确员工的雇用条件和考察评价的方法与程序,减少因雇用不当而产生 的
27、安全风险。 员工的个人情况变化会影响其工作,可能会导致欺诈、盗窃、差错或者其他安 全问题。管理层应关注此情况,并遵照相关制度予以处置。 关于涉密人员的管理与考察参照国家相关规定执行。 劳动合同与保密协议 劳动合同中应包含网络与信息安全条款,明确规定员工的安全责任和违约罚则。 这些责任可延伸至公司场所以外和正常工作时间以外。必要时,这些责任应在 雇用结束后延续至一个特定的时间。 对于重要岗位或者涉及企业秘密的岗位要签订员工保密协议,保密协议应明确 规定员工承担的公司信息安全责任、保密要求和违约责任。临时人员及第三方 用户在获得信息与网络资产的访问权限之前应签署保密协议。在劳动合同出现 变化时应对
28、保密协议的内容和执行情况进行审查,特别是当员工离开公司或者 合同终止时。 员工的安全培训 所有员工必须接受安全教育或培训,内容包括:公司信息与网络安全策略、安 全职责、安全管理规章制度和法律法规等。不同岗位的员工必须接受符合其工 作要求的必要的专业技能培训,使其意识到信息安全威胁及利害关系,确保用 户支持和遵守公司的安全策略。 公司必须采取相应措施加强管理,对依据商业合同关系为公司提供各种服务的 第三方人员进行适当的安全教育或培训,防止对公司信息安全产生不利影响。 公司应对客户进行必要的培训和教育,以使他们了解并认可公司的安全策略和 控制措施,提高他们的安全意识和防范能力。 通信与操作安全 操
29、作流程与职责 为确保信息与网络处理设施的正确和安全使用,公司应建立所有信息与网络处 理设施管理与操作的流程和职责,包括制定操作细则和事件响应流程,并落实 责任的分工。 公司应根据本标准制订相关的流程细则、系统配置和操作指南,并随时更新, 形成正式文件,履行审批手续,其修改应获得相关管理人员的授权。 信息系统的任何变更必须受到严格控制,包括但不限于:网络结构、安全策略、 系统参数的调整、硬件的增减与更换、软件版本与补丁的变更、处理流程的改 变。任何变更必须经过授权,记录在案,并接受测试。为避免操作环境的变化 影响应用系统,操作和应用的变更控制程序应尽可能相互衔接。 公司应建立安全事件管理责任和流
30、程,对安全事件准确识别、判断,建立快速 的事件通报制度,确保迅速、有效的安全事件响应。 为防止开发、测试活动对在用系统造成安全威胁,公司应采取措施保证开发、 测试环境与在用系统的有效隔离,杜绝开发、测试环境对在用系统造成的破坏 或非授权访问风险。 系统规划、建设与验收 为保证系统拥有充足的可用性,降低系统超载、故障等风险,公司必须做好系 统容量与资源的监视规划。管理人员应通过容量监控得到的信息,分析可能对 系统安全或用户服务构成威胁的潜在瓶颈,并采取合适的补偿措施。系统规划 应考虑现有发展情况和预测趋势,以及新的业务和系统需求,并留有一定的余 量,以保证业务发展对系统容量与资源的需要。 系统设
31、计在满足业务功能的同时,必须从软硬件、网络结构、业务逻辑、应急 恢复等多方面考虑系统的安全性。在业务系统的规划、建设、运行阶段必须同 步考虑配套安全系统,以避免安全漏洞。 公司必须建立信息系统基础设施的审批制度,严把入网关。审批工作应有安全 机构人员参加,并对安全方面的严重问题拥有一票否决权。公司应建立入网设 备清单并定期维护,对新型号设备应组织测试,并执行相应的审批流程。 在新建或扩容设备入网运行时,必须做好安全方面的验收测试工作,如查找已 知漏洞等。 公司所有员工在使用个人信息处理设备处理企业信息时,采取的安全控制措施 必须经过审批。 新建的网络与信息处理设施必须符合相应的安全管理规定,并
32、满足相应的安全 技术要求。公司必须通过技术手段,对系统的安全性进行测试,验证达到要求 的安全水平。 公司应制定相应的建设标准和规范,并严格过程管理,确保系统建设的过程和 结果都满足公司相应的安全策略和管理规定。在新建系统、系统扩容、软硬件 升级验收之前,制定相应的验收标准。验收要求和标准应能够被清楚定义、记 录和测试,并获得各方一致同意。只有测试合格的系统方可验收。根据实际情 况,可以引入第三方权威机构的测评认证,辅助公司进行安全验收。 恶意软件防护 为确保信息与网络安全,公司应从安全意识、合理的系统访问和变更管理控制 这三个方面出发,加强用户教育,强化防范意识,并采取积极有效的检测和预 防控
33、制措施,以减少恶意软件(如病毒、蠕虫、木马等)感染带来的风险(如 设备损坏、数据丢失、系统崩溃或秘密泄露等)。应采取的控制措施包括: 制定软件使用策略,遵守软件许可协议,禁止使用非法软件; 对通过外部网络或任何其他非可信介质获取的文件、软件,公司应制定 相关的防护策略,并采取必要的防护措施; 安装并定期更新防病毒软件和补丁程序; 定期检查支持关键业务系统的软件和数据,发现任何未经批准授权的文 件或修改,都应进行正式调查; 系统在正式投入使用之前,应对系统进行彻底的扫描检查,确保系统中 不含有恶意软件; 在投入使用之前,应检查所有来源不明或来源非法的存储介质上的文件 或通过不可靠网络接收的文件,
34、以避免含有恶意软件; 在投入使用之前,应检查所有电子邮件的附件及下载内容是否含有恶意 软件,该检查可在不同的地点和不同的时间进行; 控制用户可访问的范围,监控异常情况。例如:进行URL 限制,关注异 常流量等; 制定用户安全教育和培训、恶意软件防护、恶意软件攻击通报以及系统 恢复的管理流程,落实相关责任; 制定业务连续性方案,包括所有必要的数据、软件备份及系统恢复工作 安排; 建立恶意软件防护及预警通告体系,确保准确、详实、及时地通告相关 风险信息。 公司内网所有计算机必须安装统一有效的恶意软件防护软件,并保证及时更新 病毒库,确保整个内网免受恶意软件的危害。 软件版本与补丁管理 公司应制定软
35、件版本与补丁管理办法,并严格执行。 所有安全软件(如:安全访问软件、病毒防护软件、入侵检测软件等)应尽可 能选择稳定运行的发布版本,该版本不得高于厂商支持的次新版本,但病毒代 码库和系统漏洞库例外。 在风险分析的基础上,厂商发布的安全补丁应进行功能测试与兼容性测试,并 在规定期限内投入使用。测试应确保安全服务、安全机制的完善性和有效性, 并符合相关规定,确保其变化不会影响其他安全控制措施; 厂商发布的安全补丁如在规定期限内无法按时投入使用,资产所有人应向 相关管理部门汇报不能完成的原因,采取临时措施及补偿措施计划,并得 到相关管理部门的批准; 所有安全软件的升级必须由变更控制流程进行控制。 信
36、息系统备份与恢复 公司必须建立文档化、规范化的备份标准和流程,避免偶然或有意的风险威胁 导致的数据丢失或破坏,确保备份和恢复的有效性。 公司应根据系统的重要程度,制定系统的备份策略,明确备份周期和方法,并 提供充足的备份基础环境设施。应采取如下控制措施: 备份策略必须由所有人、维护人及设备/服务提供商等各方予以评审和 更新; 备份策略应包含系统和数据的名称、备份的频率和类型(全备份、增量 备份等,以及备份介质类型和所用备份软件)、异地存放周期以及制定 备份方案的决策原则等; 备份操作应尽量在不影响业务的时间段里,严格遵照备份策略执行; 重要的业务系统应至少保留三个版本或三个备份周期的备份信息,
37、备份 信息应包含完整的备份记录、备份拷贝、恢复程序文档和清单; 为尽快恢复故障,应在本地(主场所)保留备份信息,同时为了避免主 场所的灾难所导致的破坏,还应做好异地备份; 应为备份信息指定与主场所一致的物理和环境保护级别,主场所所采用 的控制措施应当扩展涵盖备用场所; 应尽可能地定期检查和测试备份信息,保持其可用性和完整性,并确保 在规定的时间内恢复系统; 应明确公司必要信息的保留时间,并确认归档拷贝的保存要求; 备份介质应采用性能可靠、不易损坏的介质,如磁带、光盘等,并采取 防盗、防毁、防电磁干扰等措施,保障数据安全;备份介质应注明数据 的来源、备份日期、恢复步骤等信息,并于安全环境保管;
38、备份数据应做到定期全备份和增量备份。备份内容包括系统备份和数据 备份两部分。系统进行升级前必须进行备份,系统配置信息在每次更新 后及时备份,并根据需要保存一定时期。 公司应采取措施,对信息存放在远离工作现场的安全位置的异地存储加强管理, 确保在当地发生灾难时,备份信息仍然安全并且能够用于恢复: 异地存储位置的访问必须受到限制,并能在需要的情况下随时访问。如 果外部公司管理该位置,则必须与联通签署合同,避免损失和安全事故; 异地备份介质的物理及环境保护级别必须等同于主运营场地所需的保护 级别; 异地存储流程必须文档化,规定具体的异地运作流程。该程序至少必须 包括被授权向异地发送数据的人员名单、授
39、权召回数据的人员名单,以 及被授权修改员工访问级别的人员名单; 必须制定相应程序,用以审查参与异地存储的人员。这种评审必须至少 每年实施一次,或在保证责任变化时予以实施; 如果异地存储的数据已保存多年,相应介质必须至少每年运回测试一次, 以保证数据的完整性。遵照所用介质的规定,数据应当被经常拷贝到新 的磁带中,以确保数据不会丢失。如果异地存储的数据极度敏感并且用 于存档目的或法律目的,这一过程的频率应当更高; 必须制定相应程序,确保那些已经备份在介质上的数据,或者那些使用 已被淘汰的软件、或联通不再支持的软件备份的数据仍然能够利用最新 技术予以恢复; 必须制定相应程序,遵照数据保存法规的要求以
40、及特定合同的要求清除 不再需要的数据。 信息与软件交换 公司必须采取有效措施,降低信息与软件交换过程中,被非法访问、误用等风 险。 公司应采取有效控制措施保护信息发布的安全,避免因信息发布管理不当造成 的法规冲突、敏感信息泄露、已发布信息的非法修改等问题,包括: 通过合法途径获取信息,并在收集和存储时加以保护; 根据信息的密级,限定信息的发布范围; 信息发布系统只能用于工作需要,不得发布反动、恐怖、黄色等危害国 家安全和社会稳定的信息;不得发布可能危害公司安全的信息或程序, 如病毒、蠕虫以及特洛伊木马等;不得发布侵犯他人隐私的敏感数据; 信息发布之前,必须履行正式的审批流程; 采取适当措施保护
41、发布的信息不被非法更改,例如数字签名等; 电子信息发布系统都应配备系统管理员,并采用实名制发布信息。 输入到公共发布系统的信息以及由公共发布系统处理的信息应被及时、 完整、准确地处理; 公共发布系统不允许无目的地接入该系统连接的网络; 公司应制定电子邮件使用规定,降低因不恰当使用邮件引起的信息泄露、携带 恶意软件、易受攻击等安全风险: 电子邮件应符合信息资产保密要求,必要时使用加密技术保护电子邮件 内容的机密性和完整性; 除非采取额外的控制措施(例如数字签名或可记录的人工确认等),电 子邮件不得用于处理不可否认信息(例如:合同审批)。 可疑的、来源不明的、无法被验证的电子邮件应交相关管理部门处
42、理, 不得随意打开和传播; 使用防病毒系统、入侵检测、漏洞扫描等安全技术手段,保护电子邮件 系统及终端免受恶意攻击; 规范员工使用电子邮件的行为,不得进行与工作无关或损害公司利益的 活动; 保存可作为证据的相关电子邮件内容,以便用于可能的举证需要; 限制用户邮箱的总容量,限制邮件传输容量; 网络应能控制用户登录入邮件系统次数,应对所有用户的访问进行审计, 如果多次输入口令不正确,则认为是非法用户的入侵,应给出报警信息; 建立口令管理制度,做到口令专管专用、定期更改,失密后立即报告, 系统管理员在应用户要求并且确认用户个人信息的情况下,可以修改用 户口令,离职员工在离职日起必须对其持有的公司内部
43、员工邮件帐号进 行删除; 如果确认某个帐号的活动已经威胁到整个系统的安全,应立即禁用此帐 号,并第一时间通知用户; 帐号口令的设置原则遵循本标准第十章第三节内容; 禁止匿名发送邮件。 公司应分析自动办公系统存在的安全风险,找到其薄弱环节,采取相应的控制 措施,确保内网自动办公系统的安全: 明确信息共享的要求,并采取有效的控制措施进行管理;例如电子公告 栏; 如果系统无法提供充分的安全保护,则不得处理敏感的企业信息;另外, 应规定不得使用电子办公系统的特殊情况; 明确规定系统的使用人员(包括内部员工和第三方)和权限,保证使用 人员能且仅能访问到被授权的信息; 定期检查帐户的状态,并进行清除工作;
44、 定期备份,保障业务连续性。 公司在开展电子商务活动时,必须明确各交易环节或过程的安全要求,如信息 发布、身份鉴别、授权、竞标、订单处理、数据核对、结算等。公司必须明确 电子商务过程中各方的权利、义务与责任,并在交易前声明相关条款。公司应 签订协议规范交易行为,并采用相关安全技术、管理控制措施保护电子商务安 全,采取控制措施包括: 采用经过批准的、统一的网络架构; 敏感商业交易的数据必须予以加密; 创建并保留所有交易的日志; 系统在投入使用前必须进行严格测试; 重大版本更新时必须重新全面测试; 定期进行渗透测试; 制定并执行完善的业务连续性计划。 公司应通过签订有关协议保护组织间信息与软件交换
45、的安全,包括交由第三方 保管的软件。协议内容应说明所涉及信息与软件的保密级别和相关要求。协议 应包含如下内容: 控制、通知、传送、分发和接收的管理职责; 通知发送者传送、分发和接收的程序; 包装和传送的最低技术标准; 鉴别发送方和传递者的标准; 数据丢失情况下的责任和义务; 采用双方一致同意的标签制度来标记敏感信息或关键信息,确保标签含 义容易理解,以便信息能够得到有效保护; 信息和软件的所有权、数据保护责任、遵守软件版权规定等; 复制、读取信息及软件的技术标准; 保护敏感信息所必需的特殊控制措施,如密钥等。 公司应明确规定通过各种形式(语音、传真、图像、视频等)交换信息时的安 全要求,提高员
46、工的安全意识,有效防范信息泄露带来的风险,包括: 当电话存在被偷听或窃听的可能时,不应谈论敏感信息; 不应在公共场合或开放的办公室以及墙壁较薄的会议场所谈论保密内容; 不应在应答设备上留下信息,以防被未经授权的人员获取; 正确使用传真机,避免错误拨号或使用存储的错误号码误发信息; 有效保护信息处理设备,防止非法访问或有意设置的恶意陷阱。例如, 故意修改存储号码、非法读取内存消息等。 网络安全管理 公司应全面、系统地考虑整个网络的安全控制措施,并紧密协调,一致实施, 以便优化公司运营;明确规定有关网络的规划、实施、运作、更改和监控的安 全技术要求,对网络安全状态进行持续监控,保存有关错误、故障和
47、补救措施 的记录。 任何人员不得在网络上发布有损公司利益的信息和文件,不得利用公司网络访 问反动、色情、暴力网站等网站,不得进行P2P、在线电影、下载或传送与工作 无关文件等占用大量带宽的操作。 网络结构管理 网络整体的拓扑结构需进行严格的规划、设计和管理,一经确定,不能轻 易更改; 如因业务需要,确需对网络的整体拓扑结构进行调整和改变,需按照相应 的运维管理规程上报; 对重要网段要进行重点保护,要使用防火墙等安全设备以及VLAN 或其他访 问控制方式与技术将重要网段与其它网段隔离开; 网络结构要按照分层网络设计的原则来进行规划,合理清晰的层次划分和 设计,可以保证网络系统骨干稳定可靠、接入安
48、全、便于扩充和管理、易 于故障隔离和排除; 由系统管理员进行临时授权帐号的开放和记录,严格限制通过超级用户的远程 登录。对于需要远程接入进行服务支撑的情况,应提供专门的数据连接通道并 通过认证授权; 严禁盗用他人IP 地址、用户名及密码;不得擅自进入未经许可的信息系统或利 用网络设备、软件技术更改或者盗用其他单位的网络信息;严禁非网络管理员 修改任何网络设备的技术参数; 核心网络设备必须有备份设备,采取热备方式,骨干链路应有备份路由,重要 的服务器设备应安装两块网卡,分别连接到两台骨干网络设备上。网络管理员 在新的网络设备接入网络前,修改设备的默认密码,关闭路由器等网络设备中 不需要开放的服务。 网络互连 网络按访问控制策略划分不同的逻辑区域; 公司内部不同业务的计算机网络之间的互连原则: 1 互连点上必须实施安全措施,如安装防火墙、实施入侵检测等; 2 网络之间互连点采取集中原则,
