信息安全管理制度2068123459

1、大庆市华拓数码科技有限公司大庆市华拓数码科技有限公司 文件名称信息安全管理制度文件编号 wlb-xxaqgl-04-v1.0 文件密级秘密 制 修 订 记 录 版本号制修订日期制修订者制 修 订 摘 要 v0.12011.2.19 李钦草稿 v1.02011.5.11 李钦修改完善，申请发布 文件编制单位意见审核签字校对签字管理者代表签发 1、 前言 1.1 目的 为了保证我公司信息及我公司提供服务的客户的信息安全，避免信息遭丢失、破坏、泄漏、非授权 访问等情况的发生，特制定本制度。 1.2 适用范围 适用于本公司所有项目组和职能部门。 1.3 相关文件 1.参考文件：计算机使用管理规定 、

2、物理访问控制程序 、 用户访问控制程序 。 2.关联文件：无 3.相关记录：无。 1.4 责任矩阵 1.5 解释与维护 本文件由网络部负责培训、解释与维护。 角色名称角色名称职责职责 网络部1.组织对该文件的使用进行正式培训。 行政部2.在文件发布时，对文件版式、文字进行核准。 网络部3.负责本文件的编写、修订、报批。 技术总监4.负责此文件的审核。 管理者代表5.对该文件进行全面负责，如同意则代表该文件可以发布。 2、 总则 1网络与信息安全的基本概念 网络与信息安全主要包括下列三个基本属性： 机密性（confidentiality）：确保网络设施和信息资源只允许被授权人员访问。根据信息的

3、重要性和保密要求，可以分为不同密级，并具有时效性。 完整性（integrity）：确保网络设施和信息及其处理的准确性和完整性。 可用性（availability）：确保被授权用户能够在需要时获取网络与信息资产。 需要特别指出的是，网络安全与信息安全（包括但不限于内容安全）是一体的，不可分割的。 2网络与信息安全的重要性和普遍性 网络与信息都是资产，具有不可或缺的重要价值。无论对企业、国家还是个人，保证其安全性是十 分重要的。 网络与信息安全工作是企业运营与发展的基础和核心；是保证网络品质的基础；也是保障企业和客 户利益的基础。因此华拓数码的网络与信息安全是企业和客户安全的需要。 网络与信息安全

4、工作无所不在，分散在每一个部门，每一个岗位，甚至是每一个合作伙伴；同时， 网络与信息安全是华拓数码所有员工共同分担的责任，与每一个员工每一天的日常工作息息相关。华拓 数码所有员工必须统一思想，提高认识，高度重视，从自己开始，坚持不懈地做好网络与信息安全工作。 3华拓数码网络与信息安全体系与安全策略 华拓数码网络与信息安全体系是由两部分组成的。一部分是一系列安全策略和技术管理规范（第一、 二层） ，另一部分是实施层面的工作流程和记录文档（第三层） 。 信息安全管理制度(以下简称总纲)根据公司信息安全方针而制定，位于安全体系的第一层。它主要 阐述安全的必要性、基本原则及宏观策略。具有高度的概括性，

5、涵盖了技术和管理两个方面，对华拓数 码各方面的安全工作具有通用性。 安全体系的第二层是一系列的技术规范和管理规定，是对总纲的分解和进一步阐述，侧重于共性问 题、操作实施和管理考核，提出具体的要求，对安全工作具有实际的指导作用。 安全体系的第三层是操作层面，它根据第一层和第二层的要求，结合具体的网络和应用环境，制订 具体实施的细则、流程等，具备最直观的可操作性。 安全体系也包含了实施层面的工作流程，结合三层安全策略，进行具体实施和检查考核，同时遵循 动态管理和闭环管理的原则，通过定期的评估不断修改完善。 安全策略是在公司内部，指导如何对网络与信息资产进行管理、保护和分配的规则和指示。华拓数 码必

6、须制订并实施统一的网络与信息安全策略，明确安全管理的方向、目标和范围。安全策略必须得到 管理层的批准和支持。安全策略应被定期评审和修订，以确保其持续适宜性，特别是在组织结构或技术 基础改变、出现新的漏洞和威胁、发生重大安全事件时。 华拓数码的安全策略是由安全体系三个层面的多个子策略组成的，具有分层结构的完整体系，包含 了从宏观到微观，从原则方向到具体措施等多方面的内容。安全策略用来指导全网的网络与信息安全工 作。 4安全需求的来源 确立安全需求是建立完整的安全体系的首要工作。华拓数码的安全需求主要源自下述三个方面： 系统化的安全评估。结合经验教训和技术发展，通过安全评估分析公司网络和信息资产所

7、面临 的威胁，存在的薄弱点和安全事件发生的可能性，并估计可能对公司造成的各种直接的和潜在的影 响。 华拓数码及其合作伙伴、承包商、服务提供商必需遵守的法律法规、行政条例和合同约束，以 及公司对客户的服务承诺。 公司运营管理的目标与策略。 下图说明了安全需求、风险评估和安全措施三者的关系。 风险评估安全措施 安全需求 法律合同 服务承诺 运营管理 目标策略 5安全风险的评估 安全风险评估可以应用于整个公司或某些部分，也可应用于单个网络信息系统、特定系统组件或服 务。 安全风险评估应着重于： 安全事件可能对华拓数码造成的损失，以及所产生的直接和潜在的影响。 综合考虑所有风险，以及目前已实施的控制措

8、施，判断此类安全事件发生的实际可能性。 从安全角度，对公司现有的管理制度和流程本身的合理性与完备程度进行评估。 安全风险评估应本着可行、实际和有效的原则，通过标准统一的评估程序和方法，量化安全风险， 确定安全风险的危险级别，从而采取合理措施防范或降低安全风险。 需要特别指出的是：为适应业务发展的变化，应对新出现的威胁和漏洞，评估现有控制措施的有效 性及合理性，必须周期性地进行安全风险评估并调整控制措施，且应在不同的层面进行，为高风险领域 优先分配资金、人力等资源。 6安全措施的选择原则 有效性。安全措施的实施必须能够确保风险被降低到可以接受的水平，达到期望的安全目标。 可行性。安全措施必须在技

9、术上是可操作的，可以实现的。某些安全措施不具备通用性，需要 因地制宜的考虑具体实施环境。 实际性。应从管理、财务等非技术因素详细分析待实施的安全措施，综合比较实施成本与由此 减少的潜在损失，非经济因素也应考虑在内。 公司应在遵循以上原则的基础上，根据网络与信息资产面临风险的大小，区分轻重缓急，实施相应 的安全控制措施。 7安全工作的起点 根据一般性规律和业界的实际经验，网络与信息安全工作的开展可以从以下几个方面着手： 法律方面：数据保护以及个人隐私保护、公司记录保护和知识产权保护等。 业界惯例：安全策略制订、安全职责划分、安全教育与培训、安全事件响应和业务连续性管理 等。 需要指出的是，上述内

10、容不能取代根据安全风险评估选择控制措施的基本原则。任何控制措施的选 取都应当依据实际面临的具体风险来确定。 8关键性的成功因素 为了确保网络与信息安全工作的顺利实施，下列因素至关重要： 公司管理层的高度重视、明确支持和承诺； 安全工作组织与人员的落实； 安全策略、目标和措施应与公司经营目标一致； 安全工作的具体实施必须同公司的企业文化相兼容； 深刻理解安全需求、风险评估及风险管理； 在全体员工中建立网络与信息安全无处不在的安全理念； 向所有员工和第三方（ 包括承包商、合作伙伴、客户等）分发网络与信息安全指南，并提供相 应的培训和教育。 9安全标准综述 本标准依据国际规范，参考业界的成熟经验，结

11、合华拓数码的实际情况，制定并描述了网络与信息 安全管理必须遵守的基本原则和要求，将安全工作要点归结到以下六个方面： 1 网络与信息资产管理 公司必须建立详细准确的网络与信息资产清单和严格的资产责任制度。每一项资产都应当指定“责 任人”，分配其相应的安全管理职权，并由其承担相应的安全责任。“责任人”可以将具体的工作职责 委派给“维护人”，但“责任人”仍必须承担资产安全的最终责任。 根据网络与信息资产的敏感度和重要性，必须对其进行分类和标注，并采取相应的管理措施。 2 物理与环境安全 公司的关键或敏感的网络与信息处理设施应被放置在安全区域内，由指定的安全边界予以保护。根 据不同的安全需求等级，公司

12、应划分不同的安全区域，例如：机房、办公区和第三方接入区。针对不同 的安全区域，公司应采取不同等级的安全防护和访问控制措施，阻止非法访问、破坏和干扰。工程施工 期间也应遵守相关规定，加强安全区域的保护。 公司必须制定清理办公环境及合理使用计算机设备的规定。网络与信息处理设施的处置与转移应遵 守相应的安全要求。 3 通信与运营管理安全 公司应建立网络与信息处理设施的管理和操作的职责及流程，并尽可能地实现职责分离。开发、调 测和运营环境应保持相对隔离。 公司应做好系统容量的监视和规划。配套安全系统应与业务系统“同步规划、同步建设、同步运行” 。新建或扩容系统的审批应包含安全内容，并在交付使用前做好测

13、试和验收工作。涉及安全方面的审批 工作应由安全机构人员负责。 公司应加强防范意识，采取有效措施，预防和控制恶意软件。 公司应建立严格的软件管理制度，及时加载安全补丁，定期进行系统安全漏洞评估，并执行系统加 固解决方案。 公司应当制定备份制度，执行备份策略，并定期演练数据恢复过程。记录操作和故障日志。 公司必须采取多种控制措施，保护网络设备及其信息的安全，尤其是网络边界和与公共网络交换的 信息。可采取的控制措施如：访问控制技术、加密技术、网管技术、安全设备、安全协议等。 公司应制定信息存储介质的管理制度和处置流程。应特别加强对可移动存储介质和系统文档的管理。 公司在与其它组织交换信息和软件时，应

14、遵从相应的法律或合同规定，采取必要的控制措施。公司 应制定相应的程序和标准，以保护传送过程中的信息和媒介安全，尤其要考虑电子商务、电子邮件等应 用的安全控制需求。公司还应制定信息发布管理规定。 4 访问控制 公司应基于业务和安全需求，制定访问控制策略，并明确用户职责，加强用户访问控制管理。公司 应加强对移动办公和远程办公的管理。 公司应加强对网络系统、操作系统、应用系统的访问控制，如在公司网络边界设置合适的接口，采 取有效的用户和设备验证机制，控制用户访问，隔离敏感信息。同时应监控对系统的访问和使用，记录 并审查事件日志。 5 安全事件响应与业务连续性 公司必须贯彻“积极预防、及时发现、快速反

15、应与确保恢复”的方针，建立安全事件响应流程和奖 惩机制。如有必要，应尽快收集相关证据。 公司应实施业务连续性管理，通过分析安全事件对业务系统的影响，制定并实施应急方案，并定期 更新、维护和测试。 6 安全审计 网络与信息系统的设计、操作、使用和管理必须遵从国家法律、信息产业部相关管理条例以及合同 规定的安全要求。 安全审计应遵循独立原则，定期检查网络与信息系统安全，检验安全政策和技术规范的执行情况。 应采取有效的控制措施保护网络与信息系统及审计工具，使安全审计的效果最大化，影响最小化。 3、 正文 3.1 网络与信息资产管理 3.1.1 网络与信息资产责任制度 1资产清单 公司各部门应编制并保

16、留各自责任范围内的各套网络与信息系统的重要资产清单，明确每件资产的 责任人和安全保护级别，同时还应当确定其当前位置。公司网络部组织汇总、保留全公司完整的资产清 单。 网络与信息资产例如： 硬件和设施：计算机设备、数据网络通信设备（路由器、交换机等） ；磁性媒介（磁带和磁盘等） 、其它技术设备（电源以及空调装置等）等； 文档和数据：客户图像和结果、技术文档、配置数据、拓扑图等； 软件和系统：应用软件、系统软件以及开发工具等； 人力资源：与信息安全体系相关的各部门人员等； 服务：电力、互联网、专线等； 需要特别指出的是，在确定资产清单中各项资产的安全保护等级时，必须依据该资产的相对价值， 尤其要根

17、据该资产所在系统的服务对象、所处地点、承载业务等方面的不同，分为不同的安全保护级别， 采取不同的安全保护措施。 2资产责任制度 网络与信息都是资产，是企业运营与发展的基础和核心，具有不可或缺的重要价值。华拓数码必须 建立严格的资产责任制度，以有效保护网络与信息资产。 资产责任制度的要点如下： 公司必须为网络与信息资产建立详细清单，并维护其准确性与完整性。具体可以按照网络与信 息资产所属系统或所在部门列出，并给出诸如资产名称、所处位置、资产责任人、资产分类及 重要性级别等相关信息。 公司应根据资产的相对价值大小来确定其重要性，即根据资产受威胁所产生的实际影响和其本 身的价值来综合评价。 “谁主管

18、，谁负责” 。公司拥有的每项网络与信息资产，必须根据资产归属确定“责任人” ，分 配其相应的安全管理职权，并由其承担相应的安全责任。资产“责任人”可以将具体的安全职 责委派给“维护人” ，但“责任人”仍须承担资产安全的最终责任。 任何对网络与信息资产的变更、访问必须在获得资产责任人的批准后进行。 维护人应根据与资产责任人达成一致的维护要求，保证所维护网络与信息资产的机密性、完整 性和可用性。 定期对网络与信息资产进行清查盘点，确保资产帐物相符和完好无损。 未经管理人员批准，任何人都不得将公司资产用于私人目的,公司有权对有意误用者进行纪律惩 戒。 在资产责任制度中，可对资产责任人、资产维护人等的

19、职责和权利作如下细化： 3责任人的职责和权限 网络与信息资产的责任人是指负责管理网络与信息资产并落实相应安全措施的个人或部门。 所有网络与信息资产都必须指定责任人。 责任人及其领导负责进行风险分析，根据信息保密标准分类确定、鉴别并记录其所拥有的网络 与信息资产的安全级别。该级别至少每年评审一次。 责任人必须贯彻、落实恰当的安全控制措施，确保只有在工作必须的情况下才能使用相关资产。 责任人可以为由其负责的资产指派维护人，或自己担当此任。 责任人可基于工作相关性分配访问权，并与维护人共同负责保证网络与信息资产的可用性。 责任人必须至少每年审查一次其资产的访问权限。评审流程必须记录在案，并保留到下一

20、次审 查结束之前。 需要特别指出的是，数据责任人是一种职能角色，负责管理控制特定数据的访问权限及与安全相关 的问题。数据责任人可以将自己负责的数据的所有权授予其它个人，但让与此类权力决不意味着能够免 除数据责任人对数据的责任。例如：人事信息数据被应用系统调用，提供用户查询。数据的责任人是人 力资源部，其它人无权修改。 4维护人的职责和权限 网络与信息资产的维护人是指支持并维护网络与信息资产的人员。 维护人可以根据所保管的信息的保密类别来确定相应的实物资产的安全管理流程，以确保网络 与信息资产责任人所要求的机密性、完整性和可用性。 责任人应确保适当的安全措施到位，并可以适度向下委派。如若需要，可

21、以确定备用联络人。 维护人必须保留责任人的名单。 维护人必须通知责任人其所应承担的安全职责。 未经责任人许可，维护人不得重新划分信息的类别。 3.1.2 资产安全等级及相应的安全要求 公司应确定网络与信息资产的相对价值和重要性，并明确相应的安全保护级别。 资产分类时的注意事项如下： 资产责任人负责指定资产级别并定期评审； 资产的级别不是一成不变的，而是随着分类政策的变化而变化的； 必须综合考虑资产分类方式的利弊，避免过度复杂的划分模式导致使用不便和成本升高。 1信息的安全等级、标注及处置 信息能够以众多形式存在，如：语音、书面、电子文档等。不论信息以何种形式存在，也不论以何 种方式被共享或存储

22、，信息始终应当得到妥善保护。 信息具有不同的敏感度和重要性，应从其机密性、完整性和可用性等安全属性对其进行分级，反映 不同的保护要求、优先级和程度。 公司应明确规定信息处于不同载体的标注方法。信息的密级必须被明确标注。根据存储和输出方式 的不同，可以采用物理标签、电子标记等方法。信息的存储介质必须以物理标签形式标明其密级。当信 息以可视方式输出（如：打印、屏幕显示等）时，必须以可视的方式显示其密级。 需要注意的是，其它机构可能对相同或类似的信息分级标志作了不同的定义，在使用中应特别注意。 处置是对实物形式和电子形式的信息资产进行以下类型的信息处理活动： 复制； 存储； 通过邮寄、传真或电子邮件

23、等方式进行传输； 通过口头对话方式进行传播，包括电话、语音邮件、应答设备等等； 销毁。 公司应明确规定不同密级的信息，在处置过程中需要采取的相应控制和保护措施。 华拓数码的信息分级、标注和处置情况见下表。 信息密信息密 级级 说明说明 分级职分级职 责责 控制要求控制要求使用说明使用说明 使用者：使用者： 所有对此类信息具有合法业务 需求的人员。 标记：标记： 无特殊要求，电子邮件必须标记 “华拓数码一般性商业信息” 。 处置：处置：无特殊预防措施。 分发：分发：采用任何适用的方式。 一般信 息 由公司各部 门创建拥有、 无需分级的 信息，如： 公司刊物， 网页等 创建者防止非法修改 销毁：销

24、毁：无特殊要求。 使用者：使用者：任何需要知道的人员。 标记：标记：在第一页标记“仅供华拓数码内 部使用” 。 处置：处置：控制。 内部信 息 能够因己方 的损失使竞 争对手获益 的信息，如： 电话簿或者 内部备忘录 创建者 防止非法修改； 必须建立独立的用 户账户 和密码； 基于读写访问的必 要性原则予以批准 分发：分发：经过批准的电子邮件或者电子文 件传输系统。 销毁：销毁： 所采用的销毁手段必须确保相应 信息不被非华拓数码员工获得。 使用者：使用者：“必须知道”的人员，需要签 署保密协议。 标记：标记：在每一页都标记“华拓数码机密 信息” 。 处置：处置：专人保管或者锁闭。 分发：分发：

25、经过批准的电子邮件或者具有访 问控制的电子文件传输系统。 机密信 息 对公司具有 重大价值的 信息，如： 财务报表 创建者 的直接 主管 同“内部信息”控 制要求 必须创建审计跟踪 纪录，并保护、归档 至少一年 笔记本电脑、移动 硬盘中的秘密信息必 须加密存储 销毁：销毁： 粉碎或者置于安全的文档容器内。 使用者：使用者：“必须知道”的人员，需要签 署保密协议；授权访问至少由公司级别 的分管领导决定。 标记：标记：在每一页标记“华拓数码绝密信 息” 。 处置：处置：专人保管或者锁闭，不得复制。 分发：分发： 具有访问控制和加密的安全的电 子系统。 绝密信 息 从本质上讲 最敏感的信 息（比如商

26、 业机密和软 硬件设计等 等） 部门主 管或更 高级别 人员 同“机密信息”控 制要求 需要明文规定，纪 录所有访问历史，并 加密存储 销毁：销毁：返回给创建者。 2网络信息系统安全等级 根据网络信息系统的安全属性和服务对象、所处地点、承载业务等不同，可分为不同安全等级，采 取不同的安全措施。实物、软件类资产是根据其所处网络信息系统的不同而具有不同的安全等级，不再 对具体资产进行分级。 网络信息系统的安全等级可按如下原则进行分类： 从公司客户的角度来衡量业务系统故障所造成的影响。 经济损失：可以根据影响营业收入的程度或者无法满足财务目标来评估业务系统的重要性。 法律影响：可以根据法律、合同、政

27、府的监管要求来评估业务系统的重要性。 由于信息资产损失而导致的公司形象受损也应被评估。此类损失能够严重影响公司的声誉和股 东的信心。重大损失可能导致整个公司或者业务部门无法正常运转。 根据以上原则，华拓数码的业务和支撑网络可分为关键系统和一般系统两个安全等级。如果实际情 况需要，也可进一步细分。 在资产清单中应标明具体资产归属的网络信息系统及其安全等级，同时，对于实物资产还应在物理 实体上进行标注。 3.2 物理及环境安全管理 物理与环境安全是保护网络基础设施、信息系统及存储媒介免受非法的物理访问、自然灾害和环境 危害。 3.2.1安全区域 安全区域是需要被保护的生产和办公场所，和放置网络与信

28、息处理设施的物理区域。例如：办公室、 机房、生产区等。 公司应根据安全评估的结果，通过建立安全区域并实施相应的控制措施，对网络与信息处理设施进 行全面的物理保护。 公司应根据不同的安全保护需要，划分不同的安全区域，实施不同等级的安全管理。例如：核心生 产区域、内部办公区域、第三方接入访问区域、公共/会客区域等。 需要特别指出的是，工程施工期间也应遵守相关规定，加强安全区域的保护。 1安全边界 安全区域的物理保护可以通过在其周围设置若干物理关卡来实现。安全边界是指那些可以建立这种 关卡的实物，例如：墙壁、门禁、接待处等。安全边界的位置和强度取决于风险评估的结果。以下是建 立安全边界的指导原则：

29、a) 安全边界应被明确规定。 b) 安全边界在物理上应该非常坚固。 c) 应设立人工接待处或采取其它限制物理出入的措施，控制安全区域的进出。 d) 访问安全区域应仅限于经过授权的人员。 e) 必要时，安全边界应延伸至整个物理空间，以防止非授权访问及环境污染（例如火灾、水灾等） 。 f) 安全边界上的所有应急通道出入口都应关闭，并设置报警装置。 2出入控制 无论内部员工还是第三方人员，只有经过授权的人员才可以进入安全区域。公司应实施以下措施对 安全区域的出入进行控制： a) 安全区域的访问者应办理出入手续并接受监督或检查，应记录其进入和离开的日期和时间。访问 者的访问目的必须经过批准，并只允许访

30、问经授权的目标。访问者应被告知该区域的安全要求及 有关应急程序。 b) 重要的安全区域应仅限于授权人员访问，并使用身份识别技术（例如门禁卡、个人识别码等）对 所有访问活动进行授权和验证。所有访问活动的审计跟踪记录应被安全地保管。 c) 所有内部员工都应佩戴明显的、可视的身份识别证明，并应主动向那些无公司员工陪伴的陌生人 和未佩戴可视标志的人员提出质疑。 d) 安全区域的访问权应被定期审查和更新。 e) 行政办公室负责外来人员来访的登记、接待及访客卡的发放，并负责通知相关部门接待引领外来 人员办理具体事宜。 f) 人力资源部负责对内部员工及经授权长期访问的第三方的门禁卡的发放与回收。 g) 网络

31、部负责访问权限的设置与解除；定期对访问权限的评审、门禁监控系统的维护。 h) 基于与公司其它部门的业务联系而产生的第三方的访问，相关部门人员在接到行政办公室通知后， 到公司指定区域带领第三方进入办公区域，并有专人陪同。 3物理保护 安全区域的选择和设计应考虑火灾、洪水、雷击、爆炸、骚乱及其它形式的自然或人为灾害导致的 破坏，还应考虑相关的卫生、安全条例标准及周边的任何安全威胁。 公司应实施以下措施对安全区域进行物理保护： a) 重要的网络与信息处理设施（例如：通信网设备、支撑设备等）应置于公众无法进入的场所。 b) 建筑物应不引人注目，并尽量减少其用途的标示。建筑物内外不应设置明显的表明信息处

32、理活动 的标志。 c) 办公设备，如复印机、传真机等，应放置在合适的安全区域内，避免无关人员接触，减少信息的 泄露。 d) 无人值守时，门窗都应关闭，底层窗户应考虑设置外部防护。 e) 应按照专业标准安装并定期测试防盗入侵检测系统、防火探测警报系统、电视监视系统等安全设 施。未被使用区域的告警装置也应开启。 f) 公司管理的网络与信息处理设施应与第三方管理的设备实现物理分离。 g) 记录重要网络与信息处理设施所在位置等信息的通信录和内部电话簿不应被公众接触到。 h) 危险或易燃物品应安全存放，与安全区域保持一定的安全距离。一般情况下，在安全区域内不得 存放大量的、短期内不使用的材料和物品。 i

33、) 备用设备和备份媒介应安置在与主场所保持安全距离的区域内，以防主场所发生灾难时可能造成 的破坏。 j) 为保证公司信息安全，各项目生产场所应设置门禁以限制外来人员进入，设置录像监控系统对场 所内的活动进行监控、记录，以便随时调取查证。 4安全区域工作规章制度 公司应制订安全区域工作规章制度，对在安全区域内工作的人员及被授权进入安全区域的其它人员 加强管理。工作规章制度应考虑不同安全区域的特点，可采取以下控制措施： a) 明确基本安全原则； b) 落实安全区域内资产保护的责任； c) 出于安全原因和防止恶意破坏，安全区域内应避免不受监督的工作； d) 未使用的安全区域应采取物理方式锁闭，并定期

34、检查； e) 第三方支持人员应仅在需要时才能进入安全区，使用信息处理设施。这种访问必须经过授权并受 到相应的限制，同时应接受监督； f) 安全区域内，具有不同安全要求的区域之间需要设置额外的安全边界，以控制物理访问； g) 除非经过授权，否则不允许使用摄影、摄像、音频、视频及其它记录设备； h) 明确紧急情况下的处理措施，例如火灾等； i) 工作人员应仅在“需要知道”时才了解安全区域的存在或者发生的活动。 5送货、装卸区与设备的隔离 当物品被运送或卸载到重要安全区域时，物品和搬运人员都有可能对该区域内的重要网络与信息资 产产生威胁。因此，在可行的情况下，公司应将送货、装卸区和网络与信息处理设施

35、隔离，并对物品和 搬运人员进行严格控制。公司应根据风险评估结果确定区域隔离的安全要求，并采取以下控制措施： a) 从建筑物外部进入送货、装卸区的人员应经过授权和身份确认； b) 送货、装卸区的设计应使搬运人员没有机会接触其它区域； c) 送货、装卸区的外门应在内门打开时紧闭； d) 物品从送货、装卸区转移到使用地点前应进行检查，防止潜在的危险； e) 进出的物品都应进行登记。 6.机房管理 a)进入主机房至少应当有两人在场，并登记“机房访问登记表” ，记录出入机房时间、人员。 b)it 部门人员进入机房必须经领导许可，其他人员进入机房必须经 it 部门领导许可，并有有关人 员陪同。值班人员必须

36、如实记录来访人员名单、进出机房时间、来访内容等。非 it 部门工作人 员原则上不得进入中心对系统进行操作。如遇特殊情况必须操作时，经 it 部门负责人批准同意 后有关人员监督下进行。对操作内容进行记录，由操作人和监督人签字后备查。 c)保持机房整齐清洁，工作人员进入机房必须更换拖鞋，各种机器设备按维护计划定期进行检查、 维护、保养。 d)机房内严禁吸烟、吃东西、会客、聊天等。不得进行与业务无关的活动。严禁携带液体和食品 进入机房，严禁携带与上机无关的物品，特别是易燃、易爆、有腐蚀等危险品进入机房。 e)机房工作人员严禁违章操作，严禁私自将外来软件带入机房使用。 f)严禁在通电的情况下拆卸，移动

37、计算机等设备和部件。 g)定期检查机房消防设备器材。 h)主机设备主要包括服务器和业务操作用 pc 机等。在计算机机房中要保持恒温、恒湿、电压稳定， 做好静电防护和防尘等项工作，保证主机系统的平稳运行，及时发现和排除主机故障，根据业 务应用要求及运行操作规范，确保业务系统的正常工作。 i)定期对空调系统的运行状况进行检查，并做好记录，发现问题及时报告行政部给予检修，保证 机房空调的正常运行。 j)计算机机房后备电源（ups）除了定期检查外，每年必须充放电一次到两次。 3.2.2 设备安全 保护网络与信息处理设备是降低数据遭受非授权访问的风险和保护数据不受破坏及丢失的必要措施。 1设备安置及物理

38、保护 为降低环境因素带来的风险，并减小非法访问的概率，公司应妥当安置设备，并采取以下控制措施： a) 设备布局应尽量减少对工作区的不必要的访问； b) 重要的网络与信息处理设施的放置应尽量降低使用中的过失风险； c) 需要特殊保护的设备应与其它设备隔离，以降低整个区域内所需的安全保护级别； d) 采取相应的控制措施，尽量降低环境因素带来的潜在威胁。例如：盗窃、火灾、爆炸、烟雾、水、 灰尘、震动、化学作用、电力故障、电磁辐射等； e) 禁止在网络与信息处理设施附近的进餐、饮水及抽烟等活动； f) 监控有可能对信息处理设施造成不良影响的环境条件。例如：温湿度； g) 特殊环境下的设备，应考虑采用特

39、殊的保护方法。例如：在工业环境里，采用防爆灯罩、键盘隔 膜等； h) 应考虑邻近场所发生的灾难造成的影响。例如：附近大楼的火灾、屋顶漏水、地板渗水、街道上 的爆炸等。 2电源保护 可靠的电力供应是保证网络与信息处理设施可用性的必要条件。公司应采取以下措施确保供电安全： a) 电源必须符合公司和设备制造商的技术规范； b) 采用多路供电、配备 ups、备用发电机等方法，避免电源单点故障； c) 定期维护和检查供电设备，ups 应有充足容量，发电机应配备充足的燃料； d) 机房的紧急出口处必须安装联动的应急开关，以便在发生紧急情况时能够迅速断电； e) 配备应急照明设备； f) 所有建筑和外部通信

40、线路都应安装雷电防护装置； g) 已知的停电计划应提前通知有关部门，防止无准备的断电造成不必要的损失。 3线缆安全 通信电缆和电力电缆被损坏或信息被截获，会破坏网络与信息资产的机密性和可用性。公司应采取 以下控制措施对线缆进行保护： a) 电力缆和通信缆应尽可能隐藏于地下，并尽量采取充分的备用保护措施； b) 线缆布放应使用电缆管道或避免线路经过公共区域； c) 电力电缆应与通信电缆分离，避免互相干扰； d) 对于重要的网络与信息处理设施，应根据风险评估的结果采取更进一步的控制措施。例如：将线 缆检查点、接头等放在带有加强保护装置的导线槽、房间、箱子内；采用备用线路或传输媒介； 定期扫描连接至

41、缆线的非法设备，或对传输数据进行加密。 e) 定期对电缆线路进行维护、检查和测试，及时发现故障隐患。 4.计算机设备管理 a)计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境，禁止在计算机应用环境中 放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 b)非本单位技术人员对我单位的设备、系统等进行维修、维护时，必须由本单位相关技术人员现 场全程监督。计算机设备送外维修，须经有关部门负责人批准。 c)严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电 插拨计算机外部设备接口，计算机出现故障时应及时向网络部报告，不允许私自处理或找非本 单位技术人员

42、进行维修及操作。 5工作区域外设备的安全 工作区域外的设备一般是指带离工作区域的信息处理设备，如笔记本电脑、测试仪表、移动硬盘等。 公司应根据工作区域外设备的安全风险，制订相应的保护措施，应至少达到工作区域内相同用途设 备的安全保护级别。以下是基本的指导原则： a) 无论设备所有权归属，任何在工作区域外使用信息处理设备的行为，都应经过管理层授权许可； b) 在公共场所使用的公司设备和存储媒介均不得无人看管； c) 始终严格遵守设备制造商有关设备保护的要求； d) 通过风险评估确定家庭办公的控制措施； e) 采用合适的物理防护装置； f) 加强监控，定期巡检。 6设备处置与重用的安全 在对信息处

43、理设备处置或重用时，公司应在风险评估的基础上，实施审批手续，决定信息处理设备 的处置方法销毁、报废或利旧，并采取适当的方法将其内存储的敏感信息与授权软件清除，而不能 仅采用标准删除功能。例如：报废计算机的硬盘必须被格式化。 需要注意的是，如果设备本身的原理、结构、工艺等属于公司的专有技术秘密，则应在处置时考虑 保密问题。 3.2.3存储媒介的安全 1可移动存储媒介的管理 公司应制定有效管理可移动存储媒介的规定，如移动硬盘、磁带、磁盘、卡带以及纸质文件等等。 以下是基本的控制措施： a) 包含重要、敏感或关键信息的移动式存储设备不得无人值守，以免被盗。例如：物理方式锁闭。 b) 删除可重复使用的

44、存储媒介中不再需要的信息。 c) 任何存储媒介带入和带出公司都需经过授权，并保留相应记录，方便审计跟踪。 d) 所有存储媒介都应遵照其制造商的规范保存。 2存储媒介的处置 为最大限度地降低信息泄露的风险，公司应制定存储媒介的安全处置流程，规定不同类型媒介的处 置方法、审批程序和处置记录等安全要求，其中处置方法应与信息分级相一致。以下是一些基本的控制 措施： a) 包含敏感信息的媒介应被安全地处置，如粉碎、焚毁，或清空其中的数据，以便重用。 b) 以下给出了需要安全处置的媒介种类： 纸质文档； 语音或其录音； 复写纸； 输出报告； 一 次性打印机色带； 磁带； 可以移动的磁盘或卡带； 光存储介质

45、（所有形式的媒介，包括制造 商的软件发布媒介） ； 程序列表； 测试数据； 系统文档。 c) 当无法确认媒介中的信息级别，或确认信息级别的代价较高时，应统一按最严格的方式处理所有 媒介。 d) 当公司需要外界提供的媒介收集和处置服务时，应挑选合适的承包商，并采取有效控制措施，如 签署保密协议、抽查等。 e) 敏感媒介的处置过程应当记录在案，以便审计跟踪。 在收集、处置媒介时，应综合考虑相关信息，以确定这种效应可能导致大量并未分级的信息变得比 少量分级信息更为敏感。 3信息处置程序 华拓数码必须确立信息处置和存储程序，以便有效保护此类信息，避免非法泄露或者误用。应当根 据信息在文档、计算系统、网

46、络、移动计算、移动通信、邮件、语音邮件、语音通信、多媒体、邮局/邮 政设施、传真机和其它敏感项目（比如语音中的空白校验）中的级别制定相应的处置程序。应当考虑下 列控制程序： a) 处置和标记所有媒介； b) 设置非授权人员的访问限制； c) 保持授权访问数据人员的正式记录； d) 确保输入数据的完整性、确保正确的处理过程，以及确保输出验证； e) 根据敏感程度相匹配的级别，保护准备输出的假脱机数据； f) 在符合制造商规范的环境中保存媒介； g) 将数据的分发限制在最小范围内； h) 清楚标记所有数据拷贝，以便引起合法接收人的注意； i) 定期检查分发清单以及合法接收人名单。 4系统文档的安全

47、 系统文档可能包含一系列敏感信息，比如应用流程、程序、数据结构、授权流程的说明。应当考虑 下列控制程序，避免系统非法访问。 a) 应当安全保存系统文档。 b) 系统文档的访问列表应控制在最小范围，并由应用责任人授权。 c) 保存在公共网络的系统文档或者通过公共网络提供的系统文档应当得到有效的保护。 3.2.4通用控制措施 1屏幕与桌面的清理 在不使用信息资产时，做好屏幕和桌面的清理工作，可以有效防止信息的未授权访问，是保护信息 资产，防止其泄露、丢失、破坏的一种重要措施。例如：清理信息处理设施屏幕；清洁桌面的纸张文件 和可移动存储媒介。 公司制订的屏幕与桌面的清理要求，应与信息分级原则相一致，

48、并考虑公司文化等因素。以下是基 本的指导原则： a) 纸质文件和计算机设备在不使用时，特别是在工作时间以外，应保存在锁闭柜子内或其它形式的 保险装置内； b) 机密和绝密信息在不使用时，特别是办公室无人时，必须予以锁闭（最好是防火的保险柜或文件 柜） ； c) 个人电脑、计算机终端在无人看管时，不得处于登录状态；在不使用时，必须通过键盘锁定、密 码或其它控制措施予以保护； d) 在信件收发处，无人看管的传真机应予以保护； e) 复印机、扫描仪在工作时间以外，应被锁闭或采用其它方式保护，以防非授权使用； f) 在打印、复印、扫描机密或绝密信息时，必须有人值守，并应在完成后立即从设备中清除。 2资

49、产的移动控制 公司应对重要资产建立资产移动（包括公司内部移动和离开公司范围）的审批程序，并定期抽查。 员工借用的公司资产，必须在离职时完好归还。第三方带入工作区域的资产应履行登记手续，以便 离开时方便带回。 3.3 通信和运营管理的安全 3.3.1操作流程与职责 为确保网络与信息处理设施的正确和安全使用，公司应建立所有网络与信息处理设施的管理与操作 的流程和职责，包括指定操作细则和事件响应流程。公司应落实责任的分工，减少疏忽的风险和蓄意的 系统滥用。 1规范操作细则 公司应根据安全策略制订网络与信息处理设施的操作细则，并随时更新。操作细则应作为正式文件， 履行审批手续，其修改应获得管理人员的授

50、权。操作细则应包含操作活动的职责、内容、目的、时间、 场所、方法等，并涵盖以下内容： a)信息的处理和信息载体的处置； b)时间进度的要求，包括同其它系统的相关性、最早的开始时间与最晚的结束时间等； c)操作过程中发生非预期的错误或其它异常情况的指导说明； d)意外的操作困难或技术难题出现时的支持联系人； e)特殊输出处置的说明。例如：特殊设备的使用，或输出机密内容的管理，包括如何安全处置失 败的任务输出的程序； f)故障情况下系统的重启和恢复程序； g)系统维护的相应程序。例如：计算机启动和关闭、备份、设备维护等。 2设备维护 正确规范地维护设备，可以保护设备的可用性和完整性。以下为设备维护

51、的基本要求： a) 应根据设备供应商建议的维护周期和规范进行维护； b) 设备维护人员必须经过授权； c) 设备维护人员必须具备相应的技术技能； d) 必须储备一定数量的备品备件； e) 所有日常维护和故障处理都应记录在案； f) 当设备送到外部场所进行维护时，应当采取有效的控制措施防止信息泄露； g) 系统关键设备应冗余配置；关键部件在达到标称的使用期限时，不管其是否正常工作，必须予以 更换； h) 若该设备已投保，则必须遵守相关保险合同的所有规定。 3变更控制 网络与信息系统的任何变更必须受到严格控制，包括：网络结构/局数据/安全策略/系统参数的调整、 硬件的增减与更换、软件版本与补丁的变

52、更、处理流程的改变等。任何变更必须经过授权，记录在案并 接受测试。操作环境的变化可能会影响应用系统，因此操作和应用的变更控制程序应尽可能相互衔接。 变更控制应至少包含下列措施： a) 识别并记录重大变更； b) 评估此类变更的潜在影响； c) 正式的变更申请批准流程； d) 向所有相关人员传达变更细节； e) 变更失败的恢复措施和责任； f) 变更成功与失败回退后的验证测试； g) 保留所有与变更相关信息的审核日志； h) 变更后的重新评估。 4安全事件响应程序 公司应建立安全事件管理责任和程序，以确保迅速、有效和有序地安全事件响应。迅速的前提是准 确的事件判断和快速的通报制度，有效和有序依赖

53、于对潜在安全事件的准确识别、分析和有准备的应对 措施与演练。安全事件响应管理应注意以下几点： a) 建立涵盖所有潜在的安全事件类型的响应程序； b) 除正常的用以尽快恢复系统或服务的应急方案之外，还应包括事件通报、分析总结、弥补措施、 检查审计等内容； c) 明确授权可以进行安全事件处理的人员； d) 严格遵守安全事件处理流程，严禁随意操作，避免更大损失； e) 在必要时，应收集并保护相关记录和证据。 5开发、测试与现网设备的分离 开发、测试活动有可能造成严重的问题，例如：在运行系统中引入未经授权和测试的代码，软件与 信息的修改，信息泄密等。因此，为有效降低运行系统被破坏或非授权访问的风险，公

54、司应执行下列控 制措施： a) 前期开发调试工作与现网设备应尽可能实现物理分离或逻辑分离，例如：独立的实验环境、不同 的计算机或不同的域、目录等； b) 后期在现网进行测试时，必须做好必要的安全防护措施，并对其进行安全检查。 3.3.2系统的规划设计、建设和验收 1系统规划和设计 为保证系统拥有足够的容量和资源的可用性，降低系统超载和故障的风险，必须做好系统容量监视 和规划。管理人员应通过容量监视得到的信息分析可能对系统安全或用户服务构成威胁的潜在瓶颈，并 采取合适的补救措施。系统规划应考虑现有发展情况和预测趋势，以及新的业务和系统需求。系统规划 必须保留一定的余量，特别是关键系统。 系统设计

55、在满足业务功能的同时，必须从软硬件、网络结构、业务逻辑、应急恢复等多方面考虑系 统的安全性。例如：冗余备份、多链路、严密的业务流程、紧急情况优先保证关键功能等。 需要特别指出的是，配套安全系统应与业务系统“同步规划、同步建设、同步运行” （“三同步原则” ） ，不能滞后业务系统发展，以避免安全漏洞。 2审批制度 在新建网络与信息处理设施时，最易忽视安全问题，如果管理不当会带来安全风险。因此公司必须 建立网络与信息处理设施的审批制度，严把入网关。 审批制度应注意以下事项： a) 应综合考虑新建系统的收益和带来的风险之间的平衡问题。 b) 新建的网络与信息处理设施必须符合相应的安全管理规定，并满足

56、相应的安全技术要求。 c) 新的网络与信息处理设施必须具备适当的用户管理功能，以控制非授权使用； d) 在建设新的网络与信息系统前，应当明确系统软硬件平台、应用、服务和通信协议的安全属性和 特征，并确定相应的验证测试方法。 e) 应事先检查网络与信息处理设施的硬件和软件，确保它们能够和其它系统兼容。未使用过的设备 或系统应进行全面测试。 f) 使用个人信息处理设备处理企业信息时，所采取的安全控制措施必须经过审批。 涉及安全方面的审批工作应由安全机构人员负责。 3系统建设和验收 系统建设中容易忽视安全问题。公司应制定相应的建设标准和规范，并严格过程管理，确保系统建 设的过程和结果都满足公司相应的

57、安全策略和管理规定。 公司应在新建系统、系统扩容、软硬件升级验收之前，制定相应的验收标准。验收要求和标准应能 够被清楚定义、记录和测试，并获得项目组一致同意。只有测试合格的系统方可验收。系统验收应注意 下列内容： a) 遵照规定标准，准备并测试常规操作程序，测试系统性能和容量要求、兼容性等； b) 通过技术手段，对系统的安全性进行测试，并验证达到要求的安全水平。例如：漏洞扫描，主机 加固等； c) 制订并实施一套项目组一致同意的安全控制措施； d) 错误恢复和重启程序以及应急方案（包括自动化程序失效时的手工的替代方法） ； e) 业务连续性安排； f) 系统更改对现有系统造成影响的说明（例如测

58、试报告、承诺等） ，特别是在高峰处理时间，比如 月末计费系统出账； g) 全面考虑系统更改对公司总体安全的影响； h) 有效的系统操作手册和相应培训； i) 验收标准应科学准确，验收测试应由相关各部门的专业人员共同实施，以保证测试的效果； j) 验收测试中产生的信息和结果应注意保密，以免泄露影响系统安全性。 条件成熟时，可以考虑引入第三方权威机构的测评认证，辅助公司进行安全验收。 4设备入网管理 设备入网包含两层含义：一是某种型号的设备进入华拓数码网络使用，二是新建或扩容的设备进入 现网运行。公司应制定相应的管理办法并严格执行，严把入网关。 公司应建立入网设备清单并定期维护，对新型号设备应组织

59、测试，并执行审批程序。 公司应在新建或扩容设备入网运行时，做好验收测试工作，特别是安全方面的测试，如查找已知漏 洞。 3.3.3恶意软件的防护 恶意软件（如病毒、蠕虫、木马等）通常会造成设备损坏、数据丢失、系统崩溃或秘密泄露。为确 保网络与信息安全，公司应从安全意识、合理的系统访问和变更管理控制这三个方面出发，加强用户教 育，强化防范意识，并采取积极有效的检测和预防控制措施，以减少恶意软件入侵带来的风险。 公司应采取如下控制措施： a) 制定软件使用政策，遵守软件许可协议，禁止使用非法软件。 b) 针对通过外部网络或任何其它媒介获取的文件和软件，公司应制定相关的防护政策，采取相关的 防护措施。

60、 c) 安装并定期更新防病毒软件和补丁程序，以保护计算机和存储媒介。 d) 定期检查支持关键业务系统的软件和数据，发现任何未经批准的文件或者未经授权的修改，都应 进行正式调查。 e) 检查所有来源不明/来源非法的存储媒介上的文件或通过不可靠网络接收的文件，以确认是否含 有恶意软件。 f) 检查所有电子邮件的附件及下载内容是否含有恶意软件。该检查可在用户端或电子邮件服务器端 进行。 g) 控制用户可访问的范围，监控异常情况。例如：进行 url 限制，关注异常流量等。 h) 制定用户安全教育和培训、恶意软件防护、恶意软件攻击通报以及系统恢复的管理程序，落实相 关责任。 i) 制定业务连续性方案，包