1、信息交換控制程序撰寫： 發(fā)布：2020年8月1日文件編號：YJF-SP-020版本：A0文檔秘級：秘密版本歷史序號版本修訂內容修訂部門/人修訂時間1A0制定2020-8-123451范圍本標準規(guī)定了 *科技信息交換過程的控制要求。本標準適用于與*科技有關信息交換的控制。2規(guī)范性引用文件以下文件中的條款通過本標準的引用而成為本標準的條款。但凡注日期的引用文 件，其隨后所有的修改或修訂均不適用于本標準，然而，鼓勵各部門研究是否可使用這 些文件的最新版本。但凡不注日期的引用文件，其最新版本適用于本標準。3術語和定義無4職責和權限1系統(tǒng)運維部負責計劃、編寫、批準各種信息交換管理標準；負責組織控制交換管

2、理程序的制訂、 修改、維護等日常工作；負責各應用系統(tǒng)間協(xié)議、接口規(guī)范的制訂、審核、修改、維護 及實施。4.2其他部門負責提出應用系統(tǒng)范圍內信息交換所需接口、協(xié)議的需求，并配合系統(tǒng)運維部信息 交換的實施。5活動描述1信息交換策略1.1系統(tǒng)運維部應建立正式的交換策略、程序和控制，以保護通過所有類型的通 信設施進行的信息交換。1.2信息交換策略：a）不能在公共場所或者敞開的、沒有屋頂防護的會議室談論機密信息。b）對信息交流應作適當?shù)姆婪?，如不要暴露敏感信息，防止被通過 偷聽或截 取。c）員工、合作方以及任何其他用戶不得損害本公司的利益，如誹謗、騷擾、假冒、未經授權的采購等。d）不得將包含敏感內容的信

3、息放在自動應答系統(tǒng)中。e）不得將敏感或關鍵信息放在打印設施上，如復印機、打印機和 ，防止未經 授權人員的訪問。f）做應用系統(tǒng)之間接口、協(xié)議時，不能影響雙方應用的正常運行；在實施之前應 充分考慮應用系統(tǒng)的資源是否足夠；保證數(shù)據(jù)交換的權限最小化。在使用電子通信設施進行信息交換時，所考慮的控制包括：a）防止交換的信息被截取、備份、修改、誤傳以及破壞；b）保護以附件形式傳輸?shù)碾娮有畔⒌某绦?；c）所有業(yè)務信件和消息的保持和處置原那么，要符合相關的國家或地方法規(guī)；d）使用 的人員注意以下問題：1）未經授權對內部存儲的信息進行訪問，獲取信息；2）故意的或無意的程序設定，向特定的號碼發(fā)送信息；3）向錯誤的號碼

4、發(fā)送文件和信息，或者撥號錯誤或者使用的存儲在機器中的號碼是 錯誤的。5.2交換協(xié)議2.1系統(tǒng)運維部及公司其他部門建立組織與外部團體交換信息和軟件的協(xié)議。交 換協(xié)議考慮以下方面：a）控制和通知傳輸、發(fā)送和接收的管理責任；b）通知傳輸發(fā)送人、發(fā)送方和接收方的程序；c）確保可追溯性和無否認性的程序；d）打包和傳輸?shù)淖畹图夹g標準；e）第三方委托保管協(xié)議；f）信使的鑒別標準；g）發(fā)生平安事件的責任和義務，如喪失數(shù)據(jù)；h）為敏感信息和關鍵信息使用獲得批準的標簽系統(tǒng)，確保這些標簽的含義能被馬 上理解并且信息得到恰當?shù)谋Ｗo；i）數(shù)據(jù)保護、版權、軟件許可和類似的情況的所有權和責任；j）記錄和讀取信息和軟件的技術

5、標準；k）保護敏感物品，例如密鑰，所需要的任何特別控制措施。2.2應保護被傳輸?shù)男畔⒑臀锢斫橘|，并作為制定交換協(xié)議的參考。2. 3任何協(xié)議包含的平安內容都應該反映所涉及的業(yè)務信息的機密性。2.4協(xié)議可以是電子形式的也可以是手寫的，可以使用正式的合同或雇用條款的 形式。對于敏感信息，應該考慮對信息交換使用特殊的機制，但是必須與組織和協(xié)議類 型相協(xié)調。3物理介質的運送運輸超出組織的物理界限時，對包含信息的介質進行保護，防止未經授權的 訪問、誤用或破壞。保護場所間信息介質的運送時，需考慮以下原那么：a）應當使用可靠的運送手段和信使；b）經過授權的信使的列表應當?shù)玫焦芾韺拥呐鷾剩籧）建立適當?shù)某绦驒z查

6、信使的身份；d）存儲介質的包裝應當足以保護其中的內容免受任何在轉運中可能出現(xiàn)的物理損 傷，而且還要符合制造商的相應規(guī)定（如：對軟件的規(guī)定），例如防止環(huán)境因素導致介 質的存儲效能，如：暴露在熱、潮和電磁場中；e）需要的時候，應當采用專門的控制措施來保護敏感信息免受未經授權的公開或者 修改。例如：1）使用上鎖的容器；2）人工遞送；3）防泄密包裝（能夠顯示出任何企圖訪問的嘗試）；4）在特殊情況下，把托運貨物分成多份由不同的路徑來發(fā)貨和遞送。在物理運送中，如通過郵政或信使發(fā)送，信息容易受到未經授權的訪問、誤 用等破壞。5. 4電子訊息5. 4. 1電子文檔中包含的信息應該被適當?shù)谋Ｗo。電子文檔需考慮的

7、平安問題包括：a）保護信息防止未經授權的訪問、修改或者服務被否認；b）確保正確的地址和傳輸；c）服務的可靠性和可用性；d）法律方面的考慮，例如電子簽名；e）在使用外部公共服務前獲得批準，如即時通信、文件共享等；f）對公共網絡的訪問控制實施更高的授權等級。5. 4. 2電子文檔包括諸如電子郵件、QQ、MSN等即時通信工具在業(yè)務通信中的地位 越來越高。電子文檔與書面通信的風險是不同的。盡量不要通過其傳輸敏感信息，確有 需要應采取適當?shù)泥]件加密、文件傳輸加密等措施。在不確定的情況下，不要隨意翻開 鏈接、文件、圖片等。業(yè)務信息系統(tǒng)各系統(tǒng)的主管部門應保護與業(yè)務信息系統(tǒng)互聯(lián)相關的信息。必須考慮以下原那么：

8、a） 了解信息在組織的不同部門共享時，行政和財務系統(tǒng)中的薄弱點；b）業(yè)務通信系統(tǒng)中信息的薄弱點，例如錄音 或會議 、 的保密性、 件的儲存、公開郵件、郵件的分發(fā)；c）管理信息共享的策略和適當?shù)目刂疲籨）如果業(yè)務信息系統(tǒng)不能對敏感的業(yè)務信息提供適當?shù)燃壍谋Ｗo，就從中排除這些 信息；e）限制訪問與特定個人有關的日志信息，例如在敏感工程中工作的人員；f）允許使用該業(yè)務信息系統(tǒng)的員工、簽約方和業(yè)務伙伴的范圍，以及可以訪問該系 統(tǒng)的地點；g）把選擇的設備限制在特定的用戶范圍內；h）識別用戶的狀態(tài)，例如：本組織的雇員或者為其他客戶利益服務的用戶；i）對業(yè)務信息系統(tǒng)上信息的備份和保存；j）應變要求和安排。公共信息應對與企業(yè)相關的公共信息（如企業(yè)網站等）進行保護，防止未經授權的修改，確 保其完整性