信息安全管理策略學(xué)習(xí)資料

1、XXXX公司信息安全管理策略制度編號(hào)：二 0 一五年六月屬性內(nèi)容用戶名稱：文檔主標(biāo)題：文檔副標(biāo)題：文檔編號(hào)：版本日期：制度版本作者：密級(jí)：文檔變更歷史版本修正日期修正人描述目錄第一章總則 4第二章適用范圍 4第三章術(shù)語定義 4第四章職責(zé)定義 5第五章管理要求 8第一節(jié)信息安全管理體系 8第二節(jié)風(fēng)險(xiǎn)管理策略 8第三節(jié)組織安全管理策略 9第四節(jié)人力資源安全管理策略 11第五節(jié)信息資產(chǎn)管理策略 13第六節(jié)訪問控制管理策略 16第七節(jié)密碼管理策略 20第八節(jié)物理和環(huán)境安全管理策略 21第一章 總則第一條 為明確XXXX公司（以下簡稱“ XX'）的信息安全管理職責(zé)和管理策略，依據(jù)管理體系總綱和信

2、息科技風(fēng)險(xiǎn)管 理策略，特制定本辦法。第二條 信息安全管理的主要目標(biāo)是控制信息安全風(fēng)險(xiǎn)，確保XX信息的保密性、完整性和可用性。第二章 適用范圍第三條本策略適用于XX組織安全、人力資源安全、信息資 產(chǎn)、訪問控制、密碼、物理和環(huán)境安全、操作安全、網(wǎng)絡(luò)和通訊 安全、系統(tǒng)獲取開發(fā)和維護(hù)安全、供應(yīng)商安全、信息安全事件、 業(yè)務(wù)連續(xù)性中的信息安全、以及合規(guī)等方面的管理。第四條 本策略適用于XX各部門，以及與XX合作的商業(yè)伙 伴、為XX提供服務(wù)的服務(wù)提供商及人員等。第三章 術(shù)語定義第五條 本辦法涉及的術(shù)語包括：信息、信息安全、信息安 全管理體系、風(fēng)險(xiǎn)、保密性、完整性、可用性、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn) 處置、訪問控制、信息

3、安全事態(tài)、信息安全事件、業(yè)務(wù)連續(xù)性。第六條 本辦法涉及到術(shù)語定義，參見術(shù)語表 。第四章 職責(zé)定義第七條XX負(fù)責(zé)本管理領(lǐng)域規(guī)章制度的設(shè)計(jì)、推廣、監(jiān)督和 改進(jìn)。第八條 本辦法涉及的角色包括： 信息安全保護(hù)領(lǐng)導(dǎo)小組 （以 下簡稱“領(lǐng)導(dǎo)小組” ）、信息安全保護(hù)工作小組（以下簡稱“工作 小組”）、安全管理員、安全員、信息資產(chǎn)責(zé)任人、全體人員（包 括公司員工，和相關(guān)外部人員） 。第九條 信息安全保護(hù)領(lǐng)導(dǎo)小組作為信息安全決策執(zhí)行機(jī)構(gòu)， 主要職責(zé)包括：（ 一） 負(fù)責(zé)分配和落實(shí)信息安全方面的角色和職責(zé)；（ 二） 負(fù)責(zé)根據(jù)國家信息安全的有關(guān)法律、法規(guī)、制度、規(guī)范及XX信息安全管理策略，組織、制定、落實(shí) XX信息安

4、全方 面的各項(xiàng)規(guī)章制度、實(shí)施細(xì)則、安全目標(biāo)及崗位安全責(zé)任；（ 三） 負(fù)責(zé)批準(zhǔn)實(shí)施信息安全的相關(guān)具體流程和方法；（ 四） 負(fù)責(zé)審批信息安全目標(biāo)的執(zhí)行情況；（五） 負(fù)責(zé)審定XX風(fēng)險(xiǎn)接受準(zhǔn)則，組織信息安全風(fēng)險(xiǎn)評(píng)估 和處置的開展；（ 六） 負(fù)責(zé)決策信息安全風(fēng)險(xiǎn)是否要采取安全措施或增加 安全措施；（ 七） 負(fù)責(zé)評(píng)估新系統(tǒng)或服務(wù)的安全性并監(jiān)督上線實(shí)施；（ 八） 負(fù)責(zé)審批調(diào)查信息安全事件報(bào)告；（ 九） 負(fù)責(zé)確定信息安全方面的提議；（ 十 ） 負(fù)責(zé)推動(dòng) XX 信息安全的各項(xiàng)工作。第十條 信息安全保護(hù)工作小組是信息安全保護(hù)領(lǐng)導(dǎo)小組的 下設(shè)機(jī)構(gòu)， 工作小組由安全管理員和各部門安全員組成， 負(fù)責(zé)信 息安全日常工作的

5、具體執(zhí)行，對(duì)領(lǐng)導(dǎo)小組負(fù)責(zé)，主要職責(zé)包括：（ 一 ） 負(fù)責(zé)領(lǐng)導(dǎo)小組指定日常事務(wù)的具體執(zhí)行；（ 二 ） 負(fù)責(zé)根據(jù)信息安全的有關(guān)法律、法規(guī)、制度、規(guī)范及XX信息安全管理規(guī)范，組織、協(xié)調(diào)、落實(shí)XX的信息安全工作；（ 三） 負(fù)責(zé)落實(shí)執(zhí)行信息安全相關(guān)的具體制度；（ 四） 負(fù)責(zé)提交信息系統(tǒng)和信息資產(chǎn)需要采取的安全措施 或增加安全措施建議；（ 五） 負(fù)責(zé)根據(jù)領(lǐng)導(dǎo)小組的意見和建議及相關(guān)的流程，落 實(shí)新系統(tǒng)或服務(wù)的安全保護(hù)措施并執(zhí)行上線實(shí)施工作；（ 六） 負(fù)責(zé)調(diào)查信息安全事件，并向領(lǐng)導(dǎo)小組提交相關(guān)書 面調(diào)查報(bào)告；（ 七） 負(fù)責(zé)抽查并監(jiān)督安全措施的落實(shí)工作，及時(shí)匯總相 關(guān)安全問題上報(bào)領(lǐng)導(dǎo)小組。第十一條 安全管理員作

6、為工作小組的負(fù)責(zé)人， 由信息安全保護(hù)領(lǐng)導(dǎo)小組任命和指導(dǎo)，直接對(duì)信息安全保護(hù)領(lǐng)導(dǎo)小組負(fù)責(zé)， 主要職責(zé)包括：（ 一） 負(fù)責(zé)組織 XX 內(nèi)部信息安全意識(shí)和信息安全技術(shù)培 訓(xùn)；（ 二） 負(fù)責(zé)組織檢查具體信息安全工作的執(zhí)行情況，形成 匯總分析并上報(bào)領(lǐng)導(dǎo)小組；（ 三 ） 負(fù)責(zé)上報(bào)并調(diào)查信息安全事件，收集匯總信息安全 事件報(bào)告；（ 四 ） 負(fù)責(zé)收集匯總安全建設(shè)規(guī)劃和改進(jìn)意見。第十二條 安全員作為各部門具體信息安全日常工作的組 織者和檢查者， 由信息安全保護(hù)領(lǐng)導(dǎo)小組任命和指導(dǎo)， 其主要職 責(zé)包括：（ 一 ） 負(fù)責(zé)本部門內(nèi)的信息安全意識(shí)培訓(xùn)；（ 二 ） 負(fù)責(zé)本部門具體信息安全工作的檢查，形成匯總分 析并上報(bào)安全

7、管理員；（ 三 ） 負(fù)責(zé)上報(bào)并調(diào)查本部門內(nèi)信息安全事件，提出安全 建設(shè)規(guī)劃和改進(jìn)意見等；第十三條 信息資產(chǎn)責(zé)任人作為信息資產(chǎn)的負(fù)責(zé)人， 主要職 責(zé)包括：（ 一 ） 對(duì)所承擔(dān)的信息資產(chǎn)的信息安全負(fù)主要責(zé)任，負(fù)責(zé) 該項(xiàng)信息資產(chǎn)的日常保護(hù)；（ 二 ） 負(fù)責(zé)識(shí)別所承擔(dān)信息資產(chǎn)的信息安全風(fēng)險(xiǎn)。第十四條 全體人員作為信息安全管理工作的具體執(zhí)行者， 其主要職責(zé)包括：（ 一 ） 了解并執(zhí)行信息安全方針，履行信息安全職責(zé)；（ 二 ） 協(xié)助識(shí)別信息資產(chǎn)，執(zhí)行相關(guān)信息資產(chǎn)的信息安全 要求；（ 三） 識(shí)別信息安全違規(guī)和信息安全事態(tài)，按要求及時(shí)上 報(bào)并協(xié)助處理。第五章 管理要求第一節(jié) 信息安全管理體系第十五條 信息安全

8、管理體系的適用范圍為：（一）管理范圍：適用于 XX的信息安全管理；（二）組織范圍：適用于 XX所有部門。第十六條 信息安全管理體系策劃、 實(shí)施、檢查和改進(jìn)的相 關(guān)要求，詳見管理體系總綱 。第十七條 應(yīng)根據(jù)信息科技風(fēng)險(xiǎn)管理策略的相關(guān)要求， 對(duì)信息安全管理的風(fēng)險(xiǎn)進(jìn)行評(píng)估。第十八條 應(yīng)根據(jù)信息安全管理體系制度和該體系制訂依 據(jù)標(biāo)準(zhǔn)的對(duì)應(yīng)關(guān)系，編寫適用性聲明。第二節(jié) 風(fēng)險(xiǎn)管理策略第十九條 組織應(yīng)定義并應(yīng)用風(fēng)險(xiǎn)評(píng)估過程， 以確定需要應(yīng) 對(duì)的風(fēng)險(xiǎn)和機(jī)會(huì)。（一） 應(yīng)根據(jù)XX風(fēng)險(xiǎn)管理策略，制定風(fēng)險(xiǎn)管理制度，明確 風(fēng)險(xiǎn)評(píng)估的過程和方法；（ 二） 實(shí)施風(fēng)險(xiǎn)評(píng)估時(shí)，應(yīng)識(shí)別與信息保密性、完整性和 可用性有關(guān)的風(fēng)險(xiǎn)；（

9、 三） 針對(duì)信息安全風(fēng)險(xiǎn)評(píng)估，應(yīng)定義風(fēng)險(xiǎn)接受準(zhǔn)則；（ 四） 風(fēng)險(xiǎn)評(píng)估的方法和要求，詳見信息科技風(fēng)險(xiǎn)管理策略。第二十條 組織應(yīng)定義并應(yīng)用風(fēng)險(xiǎn)處置過程。（ 一） 應(yīng)針對(duì)風(fēng)險(xiǎn)評(píng)估的結(jié)果，確定風(fēng)險(xiǎn)級(jí)別；（ 二） 應(yīng)針對(duì)風(fēng)險(xiǎn)評(píng)估的結(jié)果，明確風(fēng)險(xiǎn)處置責(zé)任人，制 定、審批并實(shí)施風(fēng)險(xiǎn)處置計(jì)劃。第三節(jié) 組織安全管理策略第二十一條 所有的信息安全職責(zé)應(yīng)予以定義和分配。（ 一 ） 應(yīng)建立統(tǒng)一、有效的信息安全管理架構(gòu)，確定信息 安全角色和職責(zé)；（ 二 ） 應(yīng)該落實(shí)信息安全管理職責(zé)至 XX 各部門，并建立適 當(dāng)?shù)臏贤ㄅc交流機(jī)制。第二十二條 應(yīng)分割沖突的責(zé)任及職責(zé)范圍，以降低未授 權(quán)或無意識(shí)的修改或不當(dāng)使用組織資產(chǎn)的機(jī)會(huì)

10、。（ 一 ） 應(yīng)結(jié)合 XX 現(xiàn)狀及安全相互約束性考慮，明確互斥、 不兼容的角色和職責(zé)；（ 二 ） 應(yīng)制定角色和職責(zé)分離原則，并堅(jiān)持具體的職責(zé)分 離實(shí)施結(jié)果。第二十三條 應(yīng)保持與政府相關(guān)部門的適當(dāng)聯(lián)系。（一） 應(yīng)該建立XX與公安部門、人民銀行、銀監(jiān)局（會(huì)八 國際金融業(yè)安全組織等機(jī)構(gòu)之間的溝通與交流機(jī)制， 建立并維護(hù) 聯(lián)系清單；（ 二 ） 應(yīng)與當(dāng)?shù)貓?zhí)法機(jī)關(guān)、管理機(jī)關(guān)、信息服務(wù)商和電信 運(yùn)營商保持適當(dāng)聯(lián)系， 確保在發(fā)生信息安全事件時(shí)能夠得到及時(shí) 響應(yīng)及必要幫助。第二十四條 應(yīng)保持與特定利益集團(tuán)、其他專業(yè)安全論壇精品文檔 和專業(yè)協(xié)會(huì)的適當(dāng)聯(lián)系。（ 一 ） 應(yīng)該建立 XX 與國內(nèi)信息安全組織或?qū)＜抑g的

11、交 流機(jī)制，建立并維護(hù)聯(lián)系清單；（ 二 ） 應(yīng)與外部其它組織間進(jìn)行安全協(xié)作，監(jiān)督、檢查、 指導(dǎo)內(nèi)部信息安全保護(hù)工作；（ 三 ） 應(yīng)積極參加組織間信息安全方面的技術(shù)交流。第二十五條 無論項(xiàng)目類型，都應(yīng)處理項(xiàng)目管理中的信息 安全問題。（ 一） 在項(xiàng)目實(shí)施過程中，應(yīng)指定專人負(fù)責(zé)監(jiān)督項(xiàng)目全生 命周期中的信息安全風(fēng)險(xiǎn)；（ 二） 在項(xiàng)目實(shí)施過程中，應(yīng)評(píng)估并處置項(xiàng)目中可能發(fā)生 的各項(xiàng)風(fēng)險(xiǎn)；（ 三） 在項(xiàng)目實(shí)施過程中，如發(fā)生信息安全事件，應(yīng)參照 信息安全事件相關(guān)要求的處理。第二十六條 應(yīng)采用策略和支持性安全措施以管理使用移 動(dòng)設(shè)備帶來的風(fēng)險(xiǎn)。（ 一） 應(yīng)制定使用個(gè)人移動(dòng)設(shè)備的管理策略，明確使用個(gè) 人移動(dòng)設(shè)備的

12、審批流程，保護(hù) XX信息安全；（ 二） 應(yīng)明確使用移動(dòng)設(shè)備時(shí)，需采用物理保護(hù)、訪問控制、密碼技術(shù)、備份和病毒防治等保護(hù)措施，確保XX信息不被泄露。第二十七條 應(yīng)實(shí)施策略和支持性安全措施以保護(hù)在遠(yuǎn)程 工作場地訪問、處理或存儲(chǔ)的信息。（ 一 ） 應(yīng)進(jìn)行網(wǎng)絡(luò)控制，確保遠(yuǎn)程工作時(shí)，不能連接到生產(chǎn)環(huán)境；（ 二 ） 應(yīng)明確移動(dòng)設(shè)備的安全措施和操作標(biāo)準(zhǔn)；（ 三 ） 應(yīng)采取合理的保護(hù)措施確保在公共場所使用移動(dòng)設(shè) 備辦公時(shí)的信息安全；（四） 移動(dòng)設(shè)備內(nèi)存儲(chǔ)的XX信息，應(yīng)進(jìn)行備份，并妥善保 管備份信息。第四節(jié) 人力資源安全管理策略第二十八條 對(duì)所有任用候選者的背景驗(yàn)證核查應(yīng)按照相 關(guān)法律、法規(guī)、道德規(guī)范進(jìn)行，并與

13、業(yè)務(wù)要求、被訪問信息的類 別和所察覺的風(fēng)險(xiǎn)相適宜。（一）在新員工及其他外部人員進(jìn)入 XX開展工作前，應(yīng)當(dāng) 明確其安全職責(zé)、強(qiáng)調(diào)其安全責(zé)任，并進(jìn)行背景調(diào)查；（ 二） 應(yīng)通過對(duì)所有應(yīng)聘者、合同方人員、和第三方人員 進(jìn)行必要篩選和限制。第二十九條 與員工和承包方人員的合同協(xié)議中應(yīng)聲明他 們的和組織的信息安全職責(zé)。（ 一） 應(yīng)與所有員工簽署保密協(xié)議，作為雇用合同基本條 款和條件的一部分，保密協(xié)議應(yīng)明確規(guī)定員工的信息安全責(zé)任、 保密要求及其違約時(shí)的法律責(zé)任；（二） 實(shí)習(xí)生、第三方人員在XX工作前，應(yīng)簽署保密協(xié)議， 明確其信息安全責(zé)任、保密要求及其違約時(shí)的法律責(zé)任。第三十條 管理者應(yīng)要求所有員工和承包方人

14、員按照組織精品文檔已建立的策略和規(guī)程對(duì)信息安全盡心盡力（ 一 ） 應(yīng)制定管理制度，明確員工的信息安全職責(zé)；（ 二 ） 在 XX 崗位職責(zé)的描述中， 應(yīng)闡明崗位對(duì)應(yīng)的信息安 全任務(wù)和職責(zé)；（ 三 ） 應(yīng)明確員工有責(zé)任將影響信息安全的違規(guī)和事件通 過適當(dāng)?shù)墓芾砬辣M快上報(bào)。第三十一條 組織的所有員工， 適當(dāng)時(shí)，包括承包方人員， 應(yīng)接受與其工作職能相關(guān)的適當(dāng)?shù)囊庾R(shí)教育和培訓(xùn)， 以及組織方 針策略及規(guī)程的定期更新的信息。（ 一） 所有員工、實(shí)習(xí)生、以及涉及的第三方人員，都應(yīng) 該接受安全制度和流程方面的教育和培訓(xùn)；（ 二） 應(yīng)該組織員工接受信息安全技能培訓(xùn)，確保其保護(hù) 信息安全的能力；（ 三 ） 應(yīng)該對(duì)

15、信息安全意識(shí)和信息安全技能培訓(xùn)的效果進(jìn) 行檢驗(yàn)。第三十二條 應(yīng)有一個(gè)正式的、已傳達(dá)的紀(jì)律處理過程， 以對(duì)信息安全違規(guī)的員工采取措施。（ 一 ） 應(yīng)制定和落實(shí)有關(guān)信息安全的獎(jiǎng)懲在制度，制度中 應(yīng)明確員工被獎(jiǎng)懲的適用情況、證據(jù)提供、獎(jiǎng)懲手段、審批等具 體要求；（ 二 ） 應(yīng)對(duì)獎(jiǎng)懲機(jī)制的執(zhí)行效果進(jìn)行評(píng)估，并加以改進(jìn)。第三十三條 應(yīng)明確任用終止或變更后仍持續(xù)有效的信息 安全責(zé)任和義務(wù)，傳達(dá)給員工或承包方人員并執(zhí)行。（ 一 ） 員工離職或其合同到期時(shí)，應(yīng)根據(jù)保密協(xié)議的相關(guān) 要求，對(duì)其工作進(jìn)行審查；（ 二） 應(yīng)明確員工在信息安全方面的職責(zé)、以及該職責(zé)在 聘用關(guān)系結(jié)束后的有效期；（ 三 ） 任用中止時(shí)，員工

16、、合同方人員和第三方人員應(yīng)歸 還其使用的設(shè)備并清除相關(guān)信息， 并取消其對(duì)信息及信息資產(chǎn)的 使用權(quán)；（ 四 ） 對(duì)于職責(zé)發(fā)生變化的員工、合同方人員和第三方人 員，對(duì)其所擁有的信息資產(chǎn)訪問權(quán)要做相應(yīng)的變更， 并立刻生效。第五節(jié) 信息資產(chǎn)管理策略第三十四條 應(yīng)識(shí)別與信息和信息處理設(shè)施相關(guān)的資產(chǎn)， 編制并維護(hù)這些資產(chǎn)的清單。（ 一 ） 應(yīng)對(duì)所有信息資產(chǎn)進(jìn)行識(shí)別、建立資產(chǎn)清單；（ 二 ） 資產(chǎn)清單應(yīng)由相關(guān)部門進(jìn)行維護(hù)，確保清單的準(zhǔn)確 性。第三十五條 清單中的資產(chǎn)應(yīng)有責(zé)任人。（ 一 ） 明確定義信息資產(chǎn)責(zé)任人與信息資產(chǎn)管理人、使用 人和安全員的職責(zé)，建立信息資產(chǎn)問責(zé)制；（ 二 ） 對(duì)資產(chǎn)清單中的每項(xiàng)資產(chǎn)，

17、都應(yīng)指定信息資產(chǎn)責(zé)任 人。第三十六條 與信息及信息和信息處理設(shè)施有關(guān)的資產(chǎn)的 可接受使用規(guī)則應(yīng)被確定、形成文件并加以實(shí)施。（ 一 ） 應(yīng)制定信息資產(chǎn)管理制度，明確信息和信息資產(chǎn)的管理要求；（ 二 ） 應(yīng)根據(jù)信息和信息資產(chǎn)的生命周期，明確使用規(guī)則 和安全要求。第三十七條 信息應(yīng)按照法律要求、價(jià)值、關(guān)鍵性以及它 對(duì)未授權(quán)泄露或修改的敏感性予以分級(jí)。（ 一 ） 應(yīng)根據(jù)對(duì)信息的機(jī)密性、完整性、可用性進(jìn)行級(jí)別 劃分，制定XX信息分級(jí)機(jī)制；（ 二） 各部門應(yīng)負(fù)責(zé)對(duì)管轄范圍內(nèi)的信息進(jìn)行識(shí)別及定級(jí)。 第三十八條 應(yīng)按照組織所采納的信息分級(jí)機(jī)制，制定并 實(shí)施一套合適的信息標(biāo)記規(guī)程。（ 一） 應(yīng)根據(jù)信息分級(jí)和信息

18、資產(chǎn)的分類機(jī)制，制定信息 資產(chǎn)的標(biāo)識(shí)原則，并應(yīng)用到所有信息資產(chǎn)中；（ 二） 應(yīng)對(duì)信息資產(chǎn)標(biāo)識(shí)的實(shí)施情況進(jìn)行檢查，并維護(hù)標(biāo) 識(shí)的結(jié)果。第三十九條 應(yīng)按照組織所采納的信息分級(jí)機(jī)制，制定并 實(shí)施資產(chǎn)處理的規(guī)程。（ 一） 應(yīng)根據(jù)所承載信息級(jí)別的不同，明確信息資產(chǎn)的分 級(jí)機(jī)制；（ 二） 應(yīng)根據(jù)信息資產(chǎn)的級(jí)別，分別制定其訪問、存儲(chǔ)和 處理的管理要求。第四十條 所有的員工和外部方人員在終止任用、 合同或協(xié) 議時(shí)，應(yīng)歸還他們使用的所有組織資產(chǎn)。（ 一 ） 任用中止時(shí)，員工、合同方人員和第三方人員應(yīng)歸還其使用的設(shè)備并清除相關(guān)信息， 并取消其對(duì)信息及信息資產(chǎn)的 使用權(quán)；（ 二 ） 對(duì)于職責(zé)發(fā)生變化的員工、合同方人

19、員和第三方人 員，對(duì)其所擁有的信息資產(chǎn)訪問權(quán)要做相應(yīng)的變更。第四十一條 應(yīng)按照組織采用的分級(jí)機(jī)制實(shí)施移動(dòng)介質(zhì)的 管理規(guī)程。（ 一） 應(yīng)根據(jù)所承載信息級(jí)別的不同，定義不同種類移動(dòng) 介質(zhì)的可承載的信息；（ 二 ） 移動(dòng)介質(zhì)承載信息后，應(yīng)根據(jù)其信息級(jí)別都應(yīng)明確 其訪問、使用、移動(dòng)和處置的管理要求。第四十二條 不再需要的介質(zhì)，應(yīng)使用正式的規(guī)程安全地 處置。（ 一 ） 應(yīng)制定管理制度，規(guī)范介質(zhì)的清除和銷毀過程，并 明確過程中的安全要求；（ 二） 應(yīng)根據(jù)所承載信息級(jí)別以及介質(zhì)形態(tài)的不同，定義 各類介質(zhì)的清除和銷毀的方式。第四十三條 包含信息的介質(zhì)在運(yùn)送時(shí)，應(yīng)受到保護(hù)，以 防止未授權(quán)的訪問、不當(dāng)使用或毀壞。

20、（ 一 ） 應(yīng)制定管理制度，明確介質(zhì)在組織內(nèi)和組織外的使 用和管理要求；（ 二） 應(yīng)明確介質(zhì)在組織區(qū)域外使用時(shí)，需采取的保護(hù)措 施，保護(hù)其免遭破壞、丟失和非法使用。第六節(jié) 訪問控制管理策略第四十四條 應(yīng)基于業(yè)務(wù)和信息安全要求建立訪問控制策 略，形成文件并進(jìn)行評(píng)審。（ 一 ） 應(yīng)制定訪問控制管理制度， 根據(jù) XX 對(duì)信息和信息資 產(chǎn)的管理要求，明確訪問控制的授權(quán)原則；（ 二 ） 應(yīng)定義訪問控制相關(guān)角色和職責(zé)，明確訪問控制授 權(quán)過程要求；（ 三） 應(yīng)將基于業(yè)務(wù)需要的訪問控制規(guī)則向用戶和服務(wù)提 供者明確地加以說明。第四十五條 用戶應(yīng)僅能訪問已獲得專門授權(quán)的網(wǎng)絡(luò)和網(wǎng) 絡(luò)服務(wù)。（ 一 ） 應(yīng)對(duì)內(nèi)部和外部

21、網(wǎng)絡(luò)服務(wù)的訪問加以控制，以確保對(duì) XX 內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進(jìn)行有效的隔離和控制；（ 二） 應(yīng)對(duì)網(wǎng)絡(luò)環(huán)境中用戶和設(shè)備設(shè)置合適的身份鑒別機(jī) 制，并根據(jù)控制規(guī)則和業(yè)務(wù)要求限制用戶對(duì)網(wǎng)絡(luò)和服務(wù)的訪問。第四十六條 應(yīng)實(shí)施正式的用戶注冊(cè)及注銷規(guī)程，以分配 訪問權(quán)限。（ 一） 應(yīng)制定用戶賬號(hào)管理制度，嚴(yán)格控制用戶賬戶的注 冊(cè)和使用；（ 二 ） 應(yīng)明確用戶在同一信息系統(tǒng)中，使用唯一的身份標(biāo) 識(shí)；（ 三） 在對(duì)于業(yè)務(wù)或操作必要時(shí)，才允許使用組賬號(hào)，組 賬號(hào)的使用需經(jīng)過審批，并保留相應(yīng)記錄；（四） 人員離開XX后，應(yīng)立即禁用或取消其用戶賬戶；（ 五 ） 用戶應(yīng)該詳細(xì)閱讀有關(guān)訪問權(quán)限的書面說明，并且 簽字以表明其接

22、受訪問條款。第四十七條 應(yīng)實(shí)施正式的用戶訪問開通過程，以分配或 撤銷所有系統(tǒng)和服務(wù)的所有用戶類型的訪問權(quán)限。（ 一） 應(yīng)制定訪問授權(quán)制度，明確在多用戶信息科技系統(tǒng) 中，用戶權(quán)限申請(qǐng)、更改、撤銷的審批程序；（ 二） 用戶應(yīng)該對(duì)其擁有的權(quán)限進(jìn)行確認(rèn)，表明其了解并 接受該權(quán)限；（ 三） 用戶工作崗位變動(dòng)后，應(yīng)該立即修改其訪問權(quán)限； 第四十八條 應(yīng)限制和控制特殊訪問權(quán)限的分配及使用。（ 一 ） 信息系統(tǒng)的管理帳號(hào)或其它的特殊訪問權(quán)限賬號(hào)應(yīng) 被特別關(guān)注，并制定相應(yīng)的授權(quán)原則；（ 二） 應(yīng)記錄并應(yīng)維護(hù)特殊訪問權(quán)限每個(gè)賬戶的授權(quán)過程；（ 三 ） 應(yīng)明確特殊訪問賬號(hào)在不同職責(zé)中的分配，不允許 任何用戶夠獨(dú)自行

23、使所有超級(jí)用戶的所有超級(jí)權(quán)限。（ 四 ） 應(yīng)制定特權(quán)賬戶分配原則，明確部分特殊賬戶權(quán)限 在完成特定任務(wù)后應(yīng)該被立即收回， 確保特權(quán)被收回后， 特權(quán)使 用者不再擁有多余的特權(quán)。第四十九條 應(yīng)通過正式的管理過程控制保密認(rèn)證信息的 分配。（ 一） 應(yīng)明確要求用戶簽署一份聲明，以保證個(gè)人秘密鑒 別信息的保密性和組信息僅在該組成員范圍內(nèi)使用；（ 二 ）若需要用戶維護(hù)自己的秘密鑒別信息， 應(yīng)在初始時(shí)提供給他們一個(gè)安全的臨時(shí)秘密鑒別信息， 并強(qiáng)制其在首次使用 時(shí)改變。第五十條 資產(chǎn)責(zé)任人應(yīng)定期復(fù)查用戶的訪問權(quán)限。（ 一 ） 應(yīng)對(duì)用戶獲得的賬戶和權(quán)限進(jìn)行記錄，并由相應(yīng)資 產(chǎn)責(zé)任人組織對(duì)賬戶和權(quán)限審計(jì)；（ 二

24、） 資產(chǎn)責(zé)任人對(duì)其負(fù)責(zé)信息資產(chǎn)的用戶訪問權(quán)限授權(quán) 負(fù)責(zé)。第五十一條 所有員工、外部用戶對(duì)信息和信息處理設(shè)施 的訪問權(quán)限應(yīng)在任用、 合同或協(xié)議終止時(shí)予以移除， 或在變更時(shí) 予以調(diào)整。（ 一 ） 人員任用終止時(shí)，其可訪問的信息資產(chǎn)訪問權(quán)限應(yīng) 被撤銷或暫停；（ 二） 人員任用的變更時(shí)，其可訪問的信息資產(chǎn)訪問權(quán)限 應(yīng)被調(diào)整。第五十二條 應(yīng)要求用戶在使用保密認(rèn)證信息時(shí)，遵循組 織的實(shí)踐慣例。（ 一 ） 應(yīng)明確管理要求，確保用戶的保密秘密鑒別信息不 泄露給其他人；（ 二） 應(yīng)采取相關(guān)措施，避免保留秘密鑒別信息的記錄， 除非可以對(duì)其進(jìn)行安全地存儲(chǔ)及存儲(chǔ)方法得到批準(zhǔn)。第五十三條 應(yīng)依照訪問控制策略限制對(duì)信息和

25、應(yīng)用系統(tǒng) 功能的訪問。（ 一 ） 應(yīng)根據(jù) XX 業(yè)務(wù)和信息系統(tǒng)現(xiàn)狀， 定義訪問授權(quán)原則；（ 二） 應(yīng)依據(jù)訪問授權(quán)原則，明確對(duì)信息和應(yīng)用系統(tǒng)的具 體訪問控制措施；（ 三 ） 應(yīng)對(duì)信息和應(yīng)用系統(tǒng)相關(guān)的主機(jī)、網(wǎng)絡(luò)和信息系統(tǒng) 的訪問進(jìn)行限制，僅在開通和授權(quán)方可開通；（ 四 ） 所有信息和信息資產(chǎn)只能由被授權(quán)的業(yè)務(wù)及人員使 用，所有設(shè)備的物理訪問應(yīng)當(dāng)局限于得到授權(quán)的個(gè)人；（ 五 ） 所有最高權(quán)限都應(yīng)該單獨(dú)控制，使用最高權(quán)限時(shí)必 須進(jìn)行審批，并在使用后進(jìn)行復(fù)核。第五十四條 在訪問控制策略要求下，訪問系統(tǒng)和應(yīng)用應(yīng) 通過安全登錄規(guī)程加以控制。（ 一 ） 應(yīng)明確管理要求，規(guī)定用戶訪問時(shí)，不應(yīng)獲得任何 幫助消息，

26、以免被非法用戶利用；（ 二） 應(yīng)明確只有在用戶輸入所有登錄數(shù)據(jù)后，方可驗(yàn)證 登錄信息；（ 三） 應(yīng)限制用戶不成功登錄次數(shù)，以及用戶登入系統(tǒng)的 時(shí)限。第五十五條 口令管理系統(tǒng)應(yīng)是交互式的，并應(yīng)確保優(yōu)質(zhì) 的口令。（ 一 ） 應(yīng)制定管理要求，明確采用交互式口令；（ 二 ） 應(yīng)對(duì)口令的長度、復(fù)雜度、有效期等進(jìn)行規(guī)范，確 保使用優(yōu)質(zhì)口令。第五十六條 對(duì)于可能超越系統(tǒng)和應(yīng)用控制措施的實(shí)用工精品文檔 具軟件的使用應(yīng)加以限制并嚴(yán)格控制。（ 一 ） 應(yīng)制定管理要求，明確可在系統(tǒng)上運(yùn)行的工具軟件 清單，并采取最小化安裝原則，防止非授權(quán)使用；（ 二） 使用可能超越系統(tǒng)和應(yīng)用控制措施的工具軟件時(shí)， 應(yīng)保留其訪問授權(quán)記

27、錄，并采取雙人操作的方式。第五十七條 應(yīng)限制對(duì)程序源代碼的訪問。（ 一） 應(yīng)建立統(tǒng)一的代碼管理機(jī)制，實(shí)現(xiàn)對(duì)應(yīng)用系統(tǒng)的代 碼、版本進(jìn)行安全有效的管理；（ 二） 應(yīng)用系統(tǒng)代碼庫應(yīng)采用軟件配置管理系統(tǒng)進(jìn)行管理， 通過管理措施，確保目標(biāo)代碼與源代碼保持一致；（ 三） 應(yīng)制定管理制度，對(duì)代碼庫的訪問進(jìn)行嚴(yán)格的訪問 控制，代碼庫的變更遵循嚴(yán)格的控制流程。第七節(jié) 密碼管理策略第五十八條 應(yīng)制定和實(shí)施保護(hù)信息的密碼控制的使用策 略。（ 一 ） 應(yīng)組織相應(yīng)的專家或機(jī)構(gòu)評(píng)審并確定 XX 使用密碼 技術(shù)；（ 二 ） 應(yīng)制定管理制度，并根據(jù)不同級(jí)別信息和訪問控制 的要求，明確密碼的分類及各類密碼的管理要求。第五十九條

28、 應(yīng)制定和實(shí)施貫穿整個(gè)密鑰生命周期的密鑰 使用、保護(hù)和生存期的策略。（ 一 ） 應(yīng)制定密鑰管理制度， 明確密鑰生產(chǎn)、 分發(fā)、存儲(chǔ)、 恢復(fù)、更新和銷毀全生命周期的管理要求；（ 二） 生產(chǎn)上使用的密鑰嚴(yán)禁在開發(fā)或測(cè)試環(huán)境上使用， 禁止將生產(chǎn)數(shù)據(jù)提供給第三方；（ 三 ） 應(yīng)制定針對(duì)密鑰管理活動(dòng)的審計(jì)機(jī)制。第八節(jié) 物理和環(huán)境安全管理策略第六十條 應(yīng)明確安全邊界， 以保護(hù)包含敏感或關(guān)鍵信息和 信息處理設(shè)施的區(qū)域。（ 一 ） 應(yīng)依據(jù)是信息資產(chǎn)的安全等級(jí)、設(shè)備對(duì)場地環(huán)境的 要求、易管理性及物理空間分布等，劃分物理安全區(qū)，確保所有 的設(shè)備及介質(zhì)均處在物理安全區(qū)的保護(hù)之下；（ 二） 物理安全區(qū)應(yīng)有明確的標(biāo)志，并

29、明確不同物理安全 區(qū)的保護(hù)措施；（ 三 ） 生產(chǎn)環(huán)境、測(cè)試環(huán)境、開發(fā)環(huán)境相互之間應(yīng)定義明 確的物理安全邊界。第六十一條 安全區(qū)域應(yīng)由適合的入口控制所保護(hù)，以確 保只有授權(quán)的人員才允許訪問。（ 一 ） 安全區(qū)應(yīng)該配備相應(yīng)的監(jiān)控系統(tǒng)，并在入口處明顯 標(biāo)示出該地點(diǎn)為安全控制地帶；（ 二 ） 對(duì)每個(gè)安全區(qū)建立允許進(jìn)出該安全區(qū)的內(nèi)部人員清 單，并及時(shí)維護(hù)該清單；（ 三 ） 對(duì)每個(gè)安全區(qū)建立外部人員進(jìn)入該安全區(qū)的審批機(jī) 制。并通過必要的控制措施，對(duì)進(jìn)出安全區(qū)人員進(jìn)行身份認(rèn)證；（ 四） 所有進(jìn)出安全區(qū)的人員都要有進(jìn)出記錄，記錄保留 以備查；（ 五 ） 貨物進(jìn)入重要的物理安全區(qū)前，必須對(duì)其進(jìn)行安全 檢查。第六

30、十二條 應(yīng)為辦公室、房間和設(shè)施設(shè)計(jì)并實(shí)施物理安 全措施。（ 一 ） 關(guān)鍵設(shè)施應(yīng)盡可能避免安置在公眾可訪問的場地；（ 二） 應(yīng)盡量避免保密信息或活動(dòng)對(duì)外部可視或可見。 第六十三條 為防止自然災(zāi)難、惡意攻擊和安全事故，應(yīng) 設(shè)計(jì)和應(yīng)用物理保護(hù)措施。（ 一 ） 物理安全區(qū)應(yīng)依據(jù)國家相關(guān)的標(biāo)準(zhǔn)規(guī)范，選擇合適 的場地，并有完備的配電、照明、溫濕度、防水、防火、防雷及 防盜等環(huán)境條件；（ 二 ） 應(yīng)當(dāng)對(duì)安放各安全區(qū)的建筑和環(huán)境安全進(jìn)行檢查和 測(cè)試；（ 三） 數(shù)據(jù)中心機(jī)房設(shè)施應(yīng)符合國家 B 級(jí)（含）以上標(biāo)準(zhǔn)，XX應(yīng)嚴(yán)格按照國家相關(guān)部門條例、規(guī)范、制度貫徹執(zhí)行；（ 四） 應(yīng)在各安全區(qū)的合適位置安裝防水、防火設(shè)備

31、；（ 五 ） 應(yīng)當(dāng)在數(shù)據(jù)中心及機(jī)房中的合適位置以整齊的間距 安裝煙、熱探測(cè)器，用以在發(fā)生火災(zāi)時(shí)發(fā)出報(bào)警。第六十四條 應(yīng)設(shè)計(jì)和應(yīng)用安全區(qū)域工作規(guī)程。（ 一 ） 應(yīng)制定有關(guān)物理安全區(qū)工作守則，規(guī)范工作人員的 安全操作行為，加強(qiáng)已采取物理保護(hù)措施的安全區(qū)的安全；（ 二） 應(yīng)嚴(yán)格控制物理安全區(qū)的進(jìn)出，以及第三方人員在 安全區(qū)內(nèi)的活動(dòng)。第六十五條 應(yīng)對(duì)出入口（例如交貨和裝載區(qū)域和未授權(quán) 人員可進(jìn)入的其他位置）加以控制，如果可能，應(yīng)與信息處理設(shè) 施隔離，以避免未授權(quán)訪問。（ 一 ） 應(yīng)指定特定物理安全區(qū)作為交貨和裝卸區(qū)域，外部 人員訪問該區(qū)域時(shí)，需進(jìn)行身份認(rèn)證并記錄；（ 二 ） 應(yīng)盡量選擇遠(yuǎn)離信息系統(tǒng)的區(qū)

32、域作為交貨和裝卸區(qū) 域。第六十六條 應(yīng)安置或保護(hù)設(shè)備，以減少由環(huán)境威脅和危 險(xiǎn)所造成的各種風(fēng)險(xiǎn)以及未授權(quán)訪問的機(jī)會(huì)。（ 一） 所有設(shè)備必須經(jīng)過相關(guān)職能部門的授權(quán)才能使用， 并詳細(xì)記錄每次使用的授權(quán)情況；（ 二 ） 與信息系統(tǒng)相關(guān)的設(shè)備，應(yīng)放置在指定的物理安全 區(qū)，并只能由被授權(quán)的人員訪問；第六十七條 應(yīng)保護(hù)設(shè)備使其免于由支持性設(shè)施的失效而 引起的電源故障和其他中斷。（ 一 ） 應(yīng)為數(shù)據(jù)中心提供至少兩路獨(dú)立連接主電源的供電 線路，以防止單條供電線路發(fā)生故障時(shí)的斷電；（ 二） 應(yīng)為數(shù)據(jù)中心及機(jī)房提供不間斷電源，從而在短時(shí) 間的斷電或電壓突降發(fā)生時(shí)為其提供不間斷的供電；（ 三 ） 應(yīng)為數(shù)據(jù)中心及機(jī)房準(zhǔn)備后備發(fā)電設(shè)備，以防止供 電中斷造成的信息系統(tǒng)不可用。第六十八條 應(yīng)保證傳輸數(shù)據(jù)或支持信息服務(wù)的電源布纜 和通信布纜免受竊聽、干擾或損壞。（ 一 ） 設(shè)計(jì)物理安全區(qū)時(shí)，應(yīng)考慮布纜的需要；（ 二 ） 應(yīng)制定布纜的相應(yīng)要求，防止線路被竊聽