1、精選優質文檔-傾情為你奉上信息安全管理策略修訂記錄版本編號修訂日期主要修訂摘要審核記錄審核人員屬于部門審核日期第一章 總則第一條 為滿足公司信息系統安全風險管理、信息安全保障和合規的需要，指導公司通過各項管理制度與措施，識別各方面的信息安全風險，并采取適當的補救措施，使風險水平降低到可以接受的程度，特制訂本管理策略。第二條 本管理策略適用于公司所有與信息系統安全相關的所有活動。第二章 安全制度管理策略第三條 目的：使信息安全管理的發展方向和相關工作能夠滿足公司業務要求、國家法律和規定的要求。安全制度管理應建立一套完善的、能夠滿足以上要求的文檔體系，并定期更新，發布到公司信息相關部門。第四條 策

2、略一：建立和發布信息安全管理文檔體系1. Ø策略目標：使相關單位人員了解到信息安全管理文檔的內容，安全工作有據可依。2. Ø策略內容：建立公司信息安全管理文檔體系，發布到相關單位。3. Ø策略描述：制訂出一套文檔體系，包括信息安全管理策略、制度和實施指南等，通過培訓、會議、辦公系統或電子郵件等方式發布。總體發布范圍包括與以上信息資產相關的公司所有部門以及與公司有關的集成商、軟件開發商、產品提供商、商業合作伙伴、臨時工作人員和其他等第三方機構或人員。第五條 策略二：更新安全制度1. Ø策略目標：安全制度能夠適應公司信息安全管理因各方面情況變化而產生的變化，

3、在長期滿足要求。2. Ø策略內容：定期和不定期審閱和更新安全制度。3. Ø策略描述：由相關團隊定期進行安全制度的檢查、更新，或在信息系統與相關環境發生顯著變化時進行檢查、更新。第三章 信息安全組織管理策略第六條 目的：通過建立與組織相關的以下二個安全策略，促進組織建立合理的信息安全管理組織結構與功能，以協調、監控安全目標的實現。與組織有關的策略分內部組織和外部組織兩部分來描述。第七條 策略一：在組織內建立信息安全管理架構1. Ø策略目標：在組織內有效地管理信息安全。2. Ø策略內容：公司應建立專門的信息安全組織體系，以管理信息安全事務，指導信息安全實踐。

4、3. Ø策略描述：通過建立信息安全管理組織，啟動和控制組織范圍內的信息安全工作的實施，批準信息安全方針與規劃、確定安全工作分工和相應人員，以及協調和評審整個組織安全的實施。根據需要，還可以建立與外部安全專家或組織（包括相關權威人士）的聯系，以便跟蹤行業趨勢、各類標準和評估方法；當處理信息安全事故時，提供合適的聯系人和聯系方式，以快速及時地對安全事件進行響應；鼓勵采用多學科方法來解決信息安全問題。第八條 策略二：管理外部組織對信息資產的訪問1. Ø策略目標：確保被外部組織訪問的信息資產得到了安全保護。2. Ø策略內容：組織的信息處理設施和信息資產的安全不應由于客戶、

5、第三方的訪問或引入外部各方的產品或服務而降低，任何外部各方對組織信息處理設施的訪問、對信息資產的處理和通信，都應采取有效的措施進行安全控制。3. Ø策略說明：任何一個組織都不避免與外界有業務往來與信息溝通，經常需要向外部用戶開放其信息和信息處理設施，因此，需要對外部訪問者給組織信息資產帶來的安全風險進行評估，根據風險水平，確定所需的控制。必要時，需要與外部組織與個人簽訂協議，并向其聲明組織的信息安全方針與策略。第四章 人員安全管理策略第九條 目的：本節通過建立四個具體策略，以明確組織內與人員任用相關的安全控制，以便對人力資源進行有效的安全管理，包括內部員工及與組織相關的外部人員的任用

6、前、任用中、任用后相關的安全職責、行為規范。第十條 策略一：人員任用前的管理1. Ø策略目標：在對人員正式任用前，要明確新員工、合同方人員和第三方與其崗位角色相匹配的安全責任，并進行相關背景調查，以減少對信息資產非授權使用和濫用的風險。2. Ø策略內容：確保人員的安全職責已于任用前通過適當的協議及崗位說明書加以明確說明，并對新員工、合同方的有關背景進行驗證檢查，對第三方的訪問權限加以明確聲明和嚴格管理。3. Ø策略說明：在新員工及其他外部人員正式進入組織前，就明確其安全職責、強調安全責任、進行背景調查，這在信息安全管理中具有重要的意義。通過對所有應聘者、合同方人員

7、進行必要篩選，對第三方用戶加以限制，可以為組織的信息安全把好第一道關。員工、合同方人員和信息處理設施的第三方人員根據其安全角色和職責，要簽署相關協議，以明確聲明其對信息安全的職責。公司的第三方人員主要有：借調或借用外部人員、軟件開發人員以及其他外部服務人員等。第十一條 策略二：人員任用中的管理1. Ø策略目標：落實信息安全管理職責，確保公司的員工在整個任用期內的行為都符合信息安全政策的要求。2. Ø策略內容：應通過建立管理職責、必要的培訓和獎懲措施，使所有的員工、合同方人員和第三方人員了解工作中面臨的信息安全風險、相關責任和義務，并在日常工作中遵循組織的信息安全政策的要求。

8、3. Ø策略說明：如果員工、合同方人員和第三方人員沒有意識到他們工作中應當承擔的安全職責，他們可能會有意或無意地對組織的信息安全造成破壞，因此，需要在信息安全管理職責方面，對員工加以有效的限制和必要的激勵，并持續進行信息安全教育與培訓，可以減少信息安全事故的發生。第十二條 策略三：任用的中止與變更1. Ø策略目標：當任用關系中止或職責發生變化時，要建立規范的程序，確保凍結或取消員工、合同方人員和第三方人員所擁有的、與其目前職責不相符的對公司信息資產的使用權。2. Ø策略內容：從公司退出的員工、合同方人員和第三方人員要歸還其所使用的設備，并刪除他們對公司信息及信息系

9、統的所有使用權；對于職責發生變化的員工、合同方人員和第三方人員，按照“最小授權”原則，要對其所擁有的信息資產訪問權做相應的變更。3. Ø策略說明：信息資產總是與特定的使用主體相關，當使用主體的職責發生變化時，與其職責相關的訪問權限應當及時做出相應變化。在實施此策略時，負責信息安全的管理人員需要與負責人力資源的管理人員要協作與溝通，共同負責對員工及合同方人員的任用終止處理；對于合同方的終止職責處理，要與合同方代表進行協作，其他情況下的用戶可能由他們的公司來處理。當資產的訪問權和使用權發生變更及公司人員及運行發生變化時，要及時通知各相關方。第五章 系統開發與維護管理策略第十三條 目的：本

10、章的六個安全策略旨在確定公司獲取、開發、維護信息系統所應遵守的關鍵控制點。在信息系統獲取和開發過程中就需要加強對信息安全的管理與控制，只有集成在軟件開發過程中的安全措施，才能真正起到預防與控制風險的作用，而且在軟件開發生命周期中，越早引入控制措施，將來運行與維護費用就越少。第十四條 策略一：確定信息系統的安全需求1. Ø策略目標：確保將安全作為信息系統建設的重要組成部分。2. Ø策略內容：應用系統的所有安全需求都需要在項目需求分析階段被確認，并且作為一個信息系統的總體構架的重要組成部分，要得到對其合理性的證明、并獲得用戶認可，同時要記錄在案。3. Ø策略說明：信息

11、系統安全包括基礎架構軟件、外購業務應用軟件和用戶自主開發的軟件的安全，信息系統的安全控制應該在系統開發設計階段予以實現，要確保安全性已構成信息系統的一部分，應該在信息系統開發前，或在項目開始階段，識別所有的安全要求，并作為系統設計不可缺少的一部分，進行確認與調整。第十五條 策略二：在應用中建立安全措施1. Ø策略目標：避免應用系統在運行過程中發生故障，并防止在應用軟件系統中的用戶數據的丟失、改動或者濫用。2. Ø策略內容：把適當的技術控制措施、查驗追蹤和活動日志等控制手段設計到應用軟件系統中。這些措施應當對輸入數據、內部處理和輸出數據的檢驗。3. Ø策略說明：要保

12、證應用系統的安全，需要在軟件開發過程中，集成適當的安全控制技術措施，而且要在應用系統需求和應用系統設計中進行明確的表達。信息安全管理人員或信息系統安全審計人員需要在需求評審階段，著重檢查必要的輸入、處理和輸出控制措施是否集成在系統中。第十六條 策略三：實施密碼控制1. Ø策略目標：保護信息的保密性、完整性和有效性。2. Ø策略內容：對于面臨非授權訪問威脅的信息，當其它管理措施無法對其進行有效保護時，應當用密碼系統和密碼技術進行保護。3. Ø策略說明：為防止公司敏感信息的泄露，可以利用加密技術對其進行處理后進行存儲與傳輸；為防止重要信息被篡改或偽造，可以利用加密的辦

13、法對信息的完整性進行鑒別；在電子商務過程中，可以通過加密技術的應用（如數字簽名）進行交易雙方身份真實性認證，并防止抵賴行為的發生。第十七條 策略四：保護系統文件的安全1. Ø策略目標：確保信息系統安全項目和支持行為以安全的方式進行，應當控制對系統文件的訪問。2. Ø策略內容：應當維護系統文件中信息的完整性，這是應用程序系統、用戶及開發人員的共同責任。3. Ø策略說明：系統文件是一種全局文件，可視為所有用戶程序所用的文件（另一種解釋是一種僅供操作系統訪問的文件）。系統文件面臨的典型威脅是使用錯誤的程序版本，從而導致數據的錯誤處理與數據破壞，以及由于測試目的使用操作數

14、據而導致的信息泄露。因此要采取措施保護系統文件的安全。第十八條 策略五：保證開發和支持過程的安全1. Ø策略目標：維護應用程序系統中的軟件和信息的安全。2. Ø策略內容：公司應當對項目和支持環境進行嚴格控制，即對應用系統、操作系統及軟件包的更改及軟件外包活動進行安全控制。3. Ø策略說明：在應用系統的開發與維護過程中，應用程序的未授權修改、未進行評審的操作系統的更改、未加限制的軟件包的更改等都會給公司的應用系統帶來安全風險。所以要對應用軟件開發與支持過程中的安全加以控制。第十九條 策略六：對技術脆弱性進行管理1. Ø策略目標：減少由利用公開的技術脆弱點帶

15、來的風險。2. Ø策略內容：應及時獲得公司所使用的信息系統的技術脆弱點的信息，評估公司對此類技術脆弱點的保護，并采取適當的措施。3. Ø策略說明：技術脆弱點管理應該以一種有效的、系統的、可反復的方式連同可確保其有效性的措施來實施。這些考慮應包括在用操作系統和任何其它的應用。第六章 物理與環境安全管理策略第二十條 目的：本章的以下二個策略主要是保護公司的信息、信息系統和基礎設施等免受非法的物理訪問、自然災害和環境危害。第二十一條 策略一：建立物理安全區域1. Ø策略目標：防止對公司工作場所和信息的非授權物理訪問、損壞和干擾。2. Ø策略內容：重要的或敏感的

16、信息處理設施要放置在安全區域內，建立適當的安全屏障和入口控制，在物理上避免非授權訪問、干擾；同時，需要建立必要的措施防止自然災害和人為破壞造成的損失。3. Ø策略說明：可以通過在公司邊界和信息處理設施周圍設置一個或多個物理屏障來實現對安全區域的物理保護；安全區域應由適合的入口控制所保護，以確保只有授權的人員才允許訪問；為重要的工作區域、公共訪問區、貨物交接區的安全工作建立規范與指南。還應采取措施防止火災、洪水、地震、爆炸、社會動蕩和其他形式的自然災難或人為災難帶來的破壞。第二十二條 策略二：保證設備安全1. Ø策略目標：應保護設備免受物理的和環境的威脅。2. Ø策

17、略內容：防止設備的丟失、損壞、失竊或危及資產安全以及造成活動的中斷。3. Ø策略說明：對設備（包括離開公司使用和財產移動）的保護是減少未授權訪問信息的風險和防止丟失或損壞所必需的，還應當考慮設備安放位置和報廢處置方法的安全性。同時，還需要專門的控制用來防止物理威脅以及保護支持性設施（例如電、供水、排污、加熱/通風和空調），及考慮采取措施保證電源布纜和通信布纜免受竊聽或損壞。第七章 資產管理策略第二十三條 目的：組織要有效地控制安全風險，首先要識別信息資產，并進行科學而有效的分類，然后在各個管理層面對資產落實責任，采用恰當的控制措施對信息資產進行風險管理，本章通過以下二個策略實施對信息

18、資產的有效管理。第二十四條 策略一：為信息資產建立問責制1. Ø策略目標：對組織的信息資產建立責任，為實施適當保護奠定基礎。2. Ø策略內容：應當對所有信息資產進行識別、建立資產清單和使用規則，明確定義信息資產責任人及其職責，為信息資產建立問責制。3. Ø策略說明：對于公司的所有資產要標識出責任人，通常可定義出信息資產的所有者、管理者和使用者，并明確不同責任主體的職責。對信息資產的安全控制可以由信息資產所有者委派具體的管理者來承擔，但所有者和使用者仍對資產承擔適當保護的責任。第二十五條 策略二：對信息進行分類1. Ø策略目標：通過對信息的分類，明確其可以

19、得到適當程度的保護。2. Ø策略內容：應按照信息的價值、法律要求及對公司的敏感程度和關鍵程度進行分類和進行標識。3. Ø策略描述：信息的分類及相關保護控制要考慮到共享或限制信息的業務需求以及與這種需求相關的業務影響。確定資產的類別，進行必要的標識，對其進行周期性評審，確保其與組織的內外環境的變化相適應，這些都應是資產所有者的職責。公司的信息分類可以從機密性、完整性、可用性等三方面進行評估，其保護級別也根據這三個方面得出。第八章 系統運行管理策略第二十六條 目的：本章通過建立以下九個策略，確保公司對通信和操作過程進行有效的安全管理，通過促進公司建立信息處理設施的管理職責，開發

20、適當的操作和事故處理程序，以降低非授權使用和濫用系統的風險，總體目標是確保員工能正確、安全地操作信息處理設施。第二十七條 策略一：建立操作職責和程序1. Ø策略目標：確保正確、安全的操作信息處理設施。2. Ø策略內容：應當為所有的信息處理設施建立必要的管理和操作的職責及程序。3. Ø策略說明：與信息處理和通信設施相關的系統活動應具備形成文件的程序，例如計算機啟動和關機程序、備份、設備維護、介質處理、計算機機房、郵件處置管理和物理安全等；對信息處理設施和系統的變更應加以控制；應實施責任分割，以減少疏忽或故意誤用系統的風險；為了減少意外變更或未授權訪問運行軟件和業務數

21、據的風險，應分離開發、測試和運行設施。第二十八條 策略二：管理第三方服務1. Ø策略目標：在符合雙方商定的協議下，保證第三方在實施服務過程中，保持信息安全和服務交付的適當水平。2. Ø策略內容：公司應檢查第三方服務協議的實施，監視協議執行的符合性，并管理服務變更，以確保交付的服務滿足與第三方商定的所有要求。3. Ø策略說明：第三方交付的服務應包括商定的安全計劃、服務定義和服務管理各方面；公司應當定期監督、檢查和審核第三方提供的服務、報告和記錄，對服務變更進行有效管理；公司還應當確保第三方保持足夠的服務能力和可用性計劃，以確保商定的服務在大的服務故障或災難后繼續得以

22、保持。第二十九條 策略三：系統規劃和驗收1. Ø策略目標：將系統失效的風險降至最小。2. Ø策略內容：為確保足夠能力和資源的可用性，以提供所需的系統性能，需要預先對系統進行規劃和準備工作；應做出對于未來容量需求的預測，以減少系統過載的風險；新系統的運行要求應在驗收和使用之前建立、形成文件并進行測試。3. Ø策略說明：對于每一個新的和正在進行的信息處理活動都應識別容量要求，確保在必要時及時改進系統的可用性和效率。對系統未來容量的推測應考慮新業務、系統要求以及公司信息當前處理能力及未來發展的趨勢。管理人員要確保驗收新系統的要求和準則被明確地定義，形成文件并經過測試。新

23、信息系統升級和新版本只有在獲得正式驗收后，才能作為產品。第三十條 策略四：防范惡意代碼1. Ø策略目標：保護軟件和信息的完整性。2. Ø策略內容：公司應采取預防措施，以防范和檢測惡意代碼引入到公司的信息處理設施中來。3. Ø策略說明：軟件和信息處理設施易感染惡意代碼（例如計算機病毒、網絡蠕蟲、特洛伊木馬和邏輯炸彈），要讓用戶了解惡意代碼的危險。管理人員要實施適當的控制措施，以防范、檢測并刪除惡意代碼。第三十一條 策略五：備份1. Ø策略目標：保持信息和信息處理設施的完整性及可用性。2. Ø策略內容：應按照已設的備份策略，定期對公司的重要信息和軟

24、件進行備份，并定期進行恢復測試。3. Ø策略說明：應提供足夠的備份設施，以確保所有必要的信息和軟件能在災難或介質故障后進行恢復。為使備份和恢復過程更容易，備份可安排為自動進行；各個系統的備份計劃應定期測試以確保他們滿足業務連續性計劃的要求；對于重要的系統，備份計劃應包括在發生災難時恢復整個系統所必需的所有系統信息、應用和數據；應確定最重要業務信息的保存周期以及對要永久保存的檔案拷貝的任何要求。第三十二條 策略六：網絡安全管理1. Ø策略目標：確保網絡中的信息和支持性基礎設施得到保護。2. Ø策略內容：應對公司的網絡進行充分的管理和控制，以防范非法訪問網絡信息與非授

25、權連接網絡服務，保護信息與信息服務的安全。3. Ø策略說明：加強網絡管理與控制，以防范威脅、保持使用網絡的系統和應用程序的安全，包括信息傳輸；應識別所有網絡服務的安全特性、服務等級和管理要求，并包含在網絡服務協議中，無論這種服務是由內部提供的還是外包的。第三十三條 策略七：對存儲介質的處理1. Ø策略目標：防止由于對存儲介質管理不當，造成未授權泄漏、修改、移動或損壞，并對業務活動造成不利影響。2. Ø策略內容：公司應當對存儲介質的使用、移動、保管及處置等操作進行有效管理。3. Ø策略說明：存儲介質包括硬盤、磁帶、閃盤、可移動硬件驅動器、CD、DVD和打印

26、的介質。為使存儲介質中的數據和系統文件免遭未授權泄露、修改和破壞，應建立適當的使用、保存、刪除和銷毀的操作策略和相關程序。第三十四條 策略八：信息交換1. Ø策略目標：保護在公司內及與外部團體進行信息和軟件交換的安全。2. Ø策略內容：公司內及公司與外部團隊的信息和軟件的交換應當基于正式的交換策略，采取必要的安全控制措施，按照交換協議執行，同時還應服從任何相關法律法規的要求。3. Ø策略說明：如果在使用信息交換設施時缺乏安全意識、必要的策略和安全控制措施，可能會造成重要信息的泄露；如果通信設施失靈、過載或中斷，則可能中斷業務運行并損壞信息；如果上述通信設施被未授權

27、用戶所訪問，也可能損害信息。因此，要建立策略和程序，以保護信息交換過程中信息和包含信息的物理介質的安全。第三十五條 策略九：系統監測1. Ø策略目標：檢測未經授權的信息處理活動。2. Ø策略內容：應對信息系統進行監測，記錄信息安全事件，并使用操作員日志和故障日志以確保識別出信息系統的問題。3. Ø策略說明：應建立監測信息處理系統使用的策略與程序，定期評審監測活動的結果；通過系統操作日志、錯誤日志記錄系統操作者的活動和系統出現錯誤的情況，以監測安全事件；公司的監測和日志記錄活動應遵守所有相關法律的要求，并要防止對日志的非授權變更和刪除。第九章 訪問控制管理策略第三十

28、六條 目的：訪問控制是對主體訪問客體的權限或能力的一種限制，分為物理訪問控制邏輯訪問控制。物理訪問控制在“物理與環境安全策略”一章中已有涉及，在這里的訪問控制主要是指邏輯訪問控制。在網絡廣泛互聯的今天，采用技術與管理手段建立邏輯訪問控制己是保障信息安全的重要手段，本章通過建立以下八個策略，以推動公司對訪問控制的有效安全管理。第三十七條 策略一：根據業務要求進行訪問控制1. Ø策略目標：建立必要的規則，控制用戶對信息的訪問。2. Ø策略內容：應在公司業務和安全要求的基礎上，控制對信息、信息處理設施和業務過程的訪問。3. Ø策略說明：公司需要將滿足業務需要的訪問控制規

29、則向用戶和服務提供者明確地加以說明；公司應清晰地敘述每個用戶或一組用戶的訪問控制規則和權利，應當把邏輯訪問控制和物理訪問控制綜合起來考慮；訪問控制規則應由正式的程序支持，并清晰地定義職責和范圍。第三十八條 策略二：用戶訪問管理1. Ø策略目標：確保只有授權用戶才能訪問系統，預防對信息系統的非授權訪問。2. Ø策略內容：應建立正式的程序，來控制對信息系統和服務的用戶訪問權的分配。3. Ø策略說明：訪問控制程序應涵蓋用戶訪問生命周期內的各個階段，從新用戶初始注冊、日常使用，到不再需要訪問信息系統和服務時的用戶帳號的最終撤銷；應特別注意對特權用戶的分配加以控制，因為特權

30、用戶可以修改或繞過系統的控制措施。第三十九條 策略三：用戶職責1. Ø策略目標：防止未授權用戶對信息和信息處理設施的訪問和其他危害的行為。2. Ø策略內容：應使用戶認知其維護有效的訪問控制的職責，特別是關于口令使用和無人值守的用戶設備保護方面的職責。3. Ø策略說明：已授權用戶的合作對實現有效的安全十分重要，首先應要求用戶在選擇及使用口令和保護無人值守的用戶設備方面，遵循良好的安全習慣；實施桌面清空和屏幕清空策略以降低未授權訪問或破壞紙、介質和信息處理設施的風險。第四十條 策略四：網絡訪問控制1. Ø策略目標：防止對網絡服務的非授權訪問。2. Ø

31、;策略內容：對內部和外部網絡服務的訪問均應加以控制，以確保公司內部網絡與外部網絡之間的接口進行有效的控制或隔離；對網絡環境中用戶和設備身份應用了合適的鑒別機制；用戶對公司信息服務的訪問已根據控制規則和業務要求進行了限制。3. Ø策略說明：與網絡服務的未授權和不安全連接可以影響整個組織。對于敏感或關鍵業務應用的網絡連接或與高風險位置的用戶的網絡連接而言，采取嚴格的控制措施就顯得特別重要。控制大型網絡的安全的有效方法是將該網絡分成獨立的邏輯網絡域，將網絡隔離成若干域的準則應基于風險評估和每個域內的不同訪問控制策略和訪問要求，還要考慮到相關成本和加入適合的網絡路由或網關技術的性能影響。由于

32、無線網的邊界很難定義，非授權訪問的風險較高，公司應特別加強對無線網的管理，需要考慮限制使用無線網，或將無線網與內部和專用網絡進行隔離。第四十一條 策略五：操作系統訪問控制1. Ø策略目標：防止對操作系統的非授權訪問。2. Ø策略內容：應啟用安全措施限制授權用戶對操作系統的訪問，這些措施包括但不限于：按照已定義的訪問控制策略鑒別授權用戶；記錄成功和失敗的系統鑒別企圖；記錄專用系統特殊權限的使用；當違反系統安全策略時發布警報；提供合適的身份鑒別手段；必要時，限制用戶的連接次數。3. Ø策略說明：一般而言，目前的各種操作系統都加強了訪問控制的功能，公司應當盡量啟用操作系

33、統提供的訪問控制功能。只有當操作系統訪問控制功能不能滿足業務需要時，才尋求專門訪問控制解決方案。第四十二條 策略六：應用系統和信息訪問控制1. Ø策略目標：防止對應用系統和信息的非授權訪問。2. Ø策略內容：對應用軟件和信息的邏輯訪問只限于已授權的用戶，應用系統的措施包括但不限于：按照定義的訪問控制策略，控制用戶訪問信息和應用系統功能；防止能夠越過系統控制或應用控制的任何實用程序、操作系統軟件和惡意軟件進行未授權訪問；不損壞共享信息資源的其他系統的安全；3. Ø策略說明：應根據規定的訪問控制策略，限制用戶和支持人員對信息和應用系統功能的訪問。對訪問的限制應基于各個

34、業務應用要求，訪問控制策略也應與公司的訪問策略一致。對敏感應用系統，可以考慮在獨立的計算環境中運行。第四十三條 策略七：移動計算和遠程工作1. Ø策略目標：在使用移動計算和遠程工作設施時，確保信息的安全。2. Ø策略內容：當公司需要使用移動計算和遠程工作時，應建立必要保護措施，以避免非保護的環境中的工作風險。3. Ø策略說明：當使用移動計算和通信設施時，例如，筆記本電腦、掌上機、智能卡和移動電話，應特別小心確保業務信息不被泄露。移動計算的保護措施有物理保護、訪問控制、密碼技術、備份和病毒預防的要求。對遠程工作場地的合適保護應到位，以防止偷竊設備和信息、未授權泄露信

35、息、未授權遠程訪問公司內部系統或濫用設施等。第十章 信息安全事故管理策略第四十四條 目的：安全事故就是能導致資產丟失與損害的任何事件，為把信息安全事件的損害降到最低的程度，追蹤并從事件中吸取教訓，公司應明確有關事故、故障和薄弱點的部門，并根據安全事件與故障的反應過程建立一個報告、反應、評價和懲戒的機制。通過以下二個策略的建立，促進公司有效地對信息安全事件進行管理。第四十五條 策略一：報告信息安全事件和系統弱點1. Ø策略目標：確保與信息系統有關的安全事件和系統弱點能得到及時報告，以便采取必要的糾正措施。2. Ø策略內容：公司應建立有正式的報告信息安全事件和系統弱點的程序，并

36、讓所有的員工、合同方人員和第三方人員加以了解和執行。3. Ø策略說明：公司通過建立正式的信息安全事件報告程序，在收到信息安全事件和系統弱點報告后，可立即著手采取相應措施對安全事件進行響應。報告程序應建立報告信息安全事件的聯系點，使公司內的每個人都知道這個聯系點，并確保該聯系點持續可用，并能提供充分且及時的響應。第四十六條 策略二：信息安全事件管理和改進1. Ø策略目標：確保使用持續有效的方法管理信息安全事件。2. Ø策略內容：一旦信息安全事件和弱點報告上來，應該立即明確責任，按照規程進行有效處理；還應建立能夠量化和監控信息安全事件的類型、數量、成本的機制。3. &

37、#216;策略說明：應當應用一個連續性的改進過程，對信息安全事件進行響應、監視、評估和總體管理。從對信息安全事件評估中獲取的信息，應該用來識別再發生的事件和重大影響的事件。如果需要證據的話，則應該搜集證據以滿足法律的要求。第十一章 應急處理管理策略第四十七條 目的：制定和實施一個完整的業務持續計劃應從理解自身業務的開始，進行業務影響分析和風險評估，在此基礎上由管理高層形成本公司的業務持續戰略方針，然后規劃業務持續計劃，進行計劃的測試與實施，最后進行計劃的維護與更新，并通過審計保證計劃不斷改進和完善。 本策略的制定旨在促進公司建立業務連續性計劃，實現業務連續性管理。第四十八條 策略一：建立業務連續性管理程序1. Ø策略目標：保護公司的關鍵業務流程不會