信息安全策略-可移动代码防范策略.doc

密级等级：敏感 受控状态：受控 文件编号： XX_A_04_12_2009.12 可 移 动 代 码 防 范 策 略 Ver 1.0 2009年12月30日历史版本编制、审核、批准、发布实施、分发信息记录表 版本号 编制人/ 创建日期 审核人/ 审核日期 批准人/ 批准日期 发布日期/ 实施日期 分发编号 V1.0 2009/12/30 2010/1/4 原稿 / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / 文件更改记录 序号 更改单号 页次 更改人 日期 更 改 摘 要 1 2 3 4 5 6 7 8 9 10 本标准XX_A_04_12_2009.12 本标准依据ISO/IEC 27001：2005信息安全管理体系-要求编写。 本标准由XXXX有限公司提出起草 本标准主要起草人： 本标准于2009年12月30日首次发布2009年12月30日XX_A_04_12_2009.12 介绍 未经授权的移动代码危害信息系统，应实施对恶意代码的监测、预防和恢复控制，以及适当的用户意识培训。 目 的 该策略的目的阻止和发现未经授权的移动代码的引入，实施对恶意代码的监测、预防和恢复控制。 适用范围 该策略适用于使用信息资源的所有人员。 术语定义 略 可移 动代 码防 范策 略 禁止使用未经授权的软件。 防范经过外部网络或任何其它媒介引入文件和软件相关的风险，并采取适当的预防措施。 定期对支持关键业务过程的系统中的软件和数据进行评审；无论出现任何未经验收的文件或者未经授权的修改，都要进行正式调查。 安装并定期升级防病毒的检测软件和修复软件，定期扫描计算机和存储介质，检测应包括： 在使用前，对存储媒体，以及通过网络接收的文档进行恶意代码检测； 在使用前，通过邮件服务器对电子邮件附件及下载文件进行恶意代码检测； 行政人事部负责恶意代码防护、使用培训、病毒袭击和恢复报告。 为从恶意代码攻击中恢复，需要制定适当的业务持续性计划。包括所有必要的数据、软件备份以及恢复安排。 行政人事部应制定并实施文件化的程序，验证所有与恶意软件相关的信息并且确保警报公告的内容准确详实。管理员应当确保使用合格的信息资源，防止引入真正的恶意代码。所有用户应有防欺骗的意识，并知道收到欺骗信息时如何处置。 惩罚 违背该策略可能导致：员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除；另外， 这些人员还可能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉。 引用标准 略 XXXX有限公司 XX_A_04_12_2009.12 可移动代码防范策略 第 2 页 共 4 页 XXXX有限公司