2. 引用文件
3. 职责和权限
4. 业务连续性管理流程
4.1.1 识别组织关键业务
4.1.2 识别关键信息系统
4.2 连续性架构规划
4.2.1 确定团队与人员
4.2.2 确定利益相关方
4.2.3 确定技术设施
4.3 制定应急预案
4.3.1 确定团队职责与分工
4.3.2 确定突发事件通告机制
4.3.3 确定损害评估机制
4.3.4 确定灾难启动机制
4.3.5 确定系统恢复过程
4.3.6 形成计划文档
4.4 演练与维护
4.4.1 设计演练方案
4.4.2 演练
4.4.3 评审和改进
5 相关记录
1. 安事件的发现
相关部门应建立监控措施和日志查看制度,采用必要的技术手段,确保及时发现安事件;相关部门根据风险评估、安事件和安告警的内容,及时发现潜在安事件;应向所有员工和三方服务商提供培训,使之认识到发现并报告安事件是其应尽的义务。
般安事件处理流程:
a) 相关工程师、管理人员、运营安工作人员在日常维护、巡检、日志检查等过程中发现异常,或接到其他人员的异常报告,并判断为安事件;
b) 事件发现者将事件发生时的情况,内容包括事件发生的时间、地点系统名称、现象描述、初步分析等,用邮件或电话报告给运营安工作人员,并确认相关人员可立即收到和处理。
c) 运营安工作人员判断事件安别,无法判断或非般安事件则上报运营安组长按照严重安事件处理;对于严重安事件,启动相应别事件响应流程;
d) 对于般安事件,运营安工作人员应协助运营安副组长直接处理解决问题。
e) 般应在30分钟内查明原因,并且在60分钟内能够处理完成并解决了问题。
f) 如果在规定的时间范围内无法解决问题,运营安工作人员应通过电话、传等方式通知报告运营安组长,并说明对处理情况的反馈要求,启动相应别事件响应流程。
1) 数据保护和个人信息的隐私
谨慎遵守国家法律法规有关个人资料保密和隐私的规定,保护处理个人信息和数据安。
2) 防止滥用信息处理设施
防止任何在受到管理的信息处理实施受到滥用。
3) 密码控制措施的规则
遵照《访问控制制度》执行密码策略。
如果需要加密措施,必须从法律顾问获取家建议以需要时符合有关规定。
为遵照有关规定需要采取以下控制措施:
a) 在获取加密技术前,要向家咨询并评估密码控制措施和要求;
b) 使用正式授权、购置和初始程序,遵照有关加密技术的法律;
c) 对受控加密项目与有关的机构(如国家商业密码办公室)进行合作。
软件版权
员工应遵守或授权的软件策略,合法使用软件、信息产品和保持许可证的有效性;
对软件的版权保护方面应遵照以下制度:
a) 为软件产品用户不超过允许数量,应按照软件许可证规定条件安装软件;
b) 信息安小组应在需要时检查公司的办公设备,确保只用授权和注册的软件;
c) 应保存以下信息:
1. 许可证类型如授权公司的软件、免费软件、共享软件和评估版软件;
2. 购买/获取日期;
3. 许可证期满/重认证日期;
4. 授权许可证用户/连接的编号;
5. 许可安装的编号;
6. 其它执照条件。
应将软件许可文件原件、正版软件盘和手册放在安位置;
对获得的服务软件的保存条件采用下列制度:
a) 应对照软件资产每年的注册,检查每次软件安装的许可证条件;
b) 发现某些软件不再需要时,应安排卸载该软件并在许可证到期之前处理掉;
c) 发现某些软件仍需要时,应在许可证到期之前发采购单延长软件使用权的期限;
d) 需要时,应发出购买评估版软件的采购单。
处理所使用的软件时应采用以下方针:
a) 处理掉的软件或软件包应该是系统信息所有者批准后不再需要的旧版本;
b) 软件需要换版本时,可在许可证允许的前提下将旧版本连同手册、软件和许可协议同转存到其它区域;
c) 如果软件不能转到其它区域,则需将软件从所有安装系统上卸下。在卸载所有者不再需要的软件包后,记录表需要更新并随后随同材料起转到安保管处。
-/gbacfji/-