信息安全制度

1、精選優(yōu)質(zhì)文檔-傾情為你奉上精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)專心-專注-專業(yè)精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)信息安全制度總則為規(guī)范信息安全管理工作，加強(qiáng)過程管理和基礎(chǔ)設(shè)施管理的風(fēng)險(xiǎn)分析及防范，建立安全責(zé)任制，健全安全內(nèi)控制度，保證信息系統(tǒng)的機(jī)密性、完整性、可用性，特制定本規(guī)定。適用范圍本規(guī)定適用于。管理對象管理對象指組成計(jì)算機(jī)信息系統(tǒng)的系統(tǒng)、設(shè)備和數(shù)據(jù)等信息資產(chǎn)和人員的安全。主要范圍包括：人員安全、物理環(huán)境安全、資產(chǎn)識別和分類、風(fēng)險(xiǎn)管理、物理和邏輯訪問控制、系統(tǒng)操作與運(yùn)行安全、網(wǎng)絡(luò)通訊安全、信息加密與解密、應(yīng)急與災(zāi)難恢復(fù)、軟件研發(fā)與應(yīng)用安全、機(jī)密資源管理、第三方與外包安全、法

2、律和標(biāo)準(zhǔn)的符合性、項(xiàng)目與工程安全控制、安全檢查與審計(jì)等。第四章術(shù)語定義DMZ：用于隔離內(nèi)網(wǎng)和外網(wǎng)的區(qū)域，此區(qū)域不屬于可信任的內(nèi)網(wǎng)，也不是完全開放給因特網(wǎng)。容量：分為系統(tǒng)容量和環(huán)境容量兩方面。系統(tǒng)容量包括CPU、內(nèi)存、硬盤存儲等。環(huán)境容量包括電力供應(yīng)、濕度、溫度、空氣質(zhì)量等。安全制度：與信息安全相關(guān)的制度文檔，包括安全管理辦法、標(biāo)準(zhǔn)、指引和程序等。安全邊界：用以明確劃分安全區(qū)域，如圍墻、大廈接待處、網(wǎng)段等。惡意軟件：包括計(jì)算機(jī)病毒、網(wǎng)絡(luò)蠕蟲、木馬、流氓軟件、邏輯炸彈等。備份周期：根據(jù)備份管理辦法制定的備份循環(huán)的周期，一個(gè)備份周期的內(nèi)容相當(dāng)于一個(gè)完整的全備份。系統(tǒng)工具：能夠更改系統(tǒng)及應(yīng)用配置的程序

3、被定義為系統(tǒng)工具，如系統(tǒng)管理、維護(hù)工具、調(diào)試程序等。消息驗(yàn)證：一種檢查傳輸?shù)碾娮酉⑹欠裼蟹欠ㄗ兏蚱茐牡募夹g(shù)，它可以在硬件或軟件上實(shí)施。數(shù)字簽名：一種保護(hù)電子文檔真實(shí)性和完整性的方法。例如，在電子商務(wù)中可以使用它驗(yàn)證誰簽署電子文檔，并檢查已簽署文檔的內(nèi)容是否被更改。信息處理設(shè)備：泛指處理信息的所有設(shè)備和信息系統(tǒng)，包括網(wǎng)絡(luò)、服務(wù)器、個(gè)人電腦和筆記本電腦等。不可抵賴性服務(wù)：用于解決交易糾紛中爭議交易是否發(fā)生的機(jī)制。電子化辦公系統(tǒng)：包括電子郵件、KOA系統(tǒng)以及用于業(yè)務(wù)信息傳送及共享的企業(yè)內(nèi)部網(wǎng)。安全制度方面安全制度要求本制度的詮釋所有帶有“必須”的條款都是強(qiáng)制性的。除非事先得到安全管理委員會的認(rèn)可

4、，否則都要堅(jiān)決執(zhí)行。其它的條款則是強(qiáng)烈建議的，只要實(shí)際可行就應(yīng)該被采用。所有員工都受本制度的約束，各部門領(lǐng)導(dǎo)有責(zé)任確保其部門已實(shí)施足夠的安全控制措施，以保護(hù)信息安全。各部門的領(lǐng)導(dǎo)有責(zé)任確保其部門的員工了解本安全管理制度、相關(guān)的標(biāo)準(zhǔn)和程序以及日常的信息安全管理。安全管理代表（或其指派的人員）將審核各部門安全控制措施實(shí)施的準(zhǔn)確性和完整性，此過程是公司例行內(nèi)部審計(jì)的一部分。制度發(fā)布所有制度在創(chuàng)建和更新后，必須經(jīng)過相應(yīng)管理層的審批。制度經(jīng)批準(zhǔn)之后必須通知所有相關(guān)人員。制度復(fù)審當(dāng)環(huán)境改變、技術(shù)更新或者業(yè)務(wù)本身發(fā)生變化時(shí)，必須對安全制度重新進(jìn)行評審，并作出相應(yīng)的修正，以確保能有效地保護(hù)公司的信息資產(chǎn)。安全

5、管理委員會必須定期對本管理辦法進(jìn)行正式的復(fù)審，并根據(jù)復(fù)審所作的修正，指導(dǎo)相關(guān)員工采取相應(yīng)的行動。組織安全方面組織內(nèi)部安全信息安全體系管理 公司成立安全管理委員會，安全管理委員會是公司信息安全管理的最高決策機(jī)構(gòu)，安全管理委員會的成員應(yīng)包括總裁室主管IT領(lǐng)導(dǎo)、公司安全審計(jì)負(fù)責(zé)人、公司法律負(fù)責(zé)人等。 信息安全管理代表由信息安全管理委員會指定，一般應(yīng)包含稽核部IT稽核崗、信息管理部信息安全相關(guān)崗位及分公司IT崗。 安全管理委員會通過清晰的方向、可見的承諾、詳細(xì)的分工，積極地支持信息安全工作，主要包括以下幾方面：1)確定信息安全的目標(biāo)符合公司的要求和相關(guān)制度；2)闡明、復(fù)查和批準(zhǔn)信息安全管理制度；3)復(fù)

6、查信息安全管理制度執(zhí)行的有效性；4)為信息安全的執(zhí)行提供明確的指導(dǎo)和有效的支持；5)提供信息安全體系運(yùn)作所需要的資源6)為信息安全在公司執(zhí)行定義明確的角色和職責(zé)；7)批準(zhǔn)信息安全推廣和培訓(xùn)的計(jì)劃和程序；8)確保信息安全控制措施在公司內(nèi)被有效的執(zhí)行。 安全管理委員會需要對內(nèi)部或外部信息安全專家的建議進(jìn)行評估，并檢查和調(diào)整建議在公司內(nèi)執(zhí)行的結(jié)果。 必須舉行信息安全管理會議，會議成員包括安全管理委員會、安全管理代表和其他相關(guān)的公司高層管理人員。 信息安全管理會議必須每年定期舉行，討論和審批信息安全相關(guān)事宜，具體包括以下內(nèi)容1)復(fù)審本管理制度的有效性2)復(fù)審技術(shù)變更帶來的影響3)復(fù)審安全風(fēng)險(xiǎn)4)審批信

7、息安全措施及程序5)審批信息安全建議6)確保任何新項(xiàng)目規(guī)劃已考慮信息安全的需求7)復(fù)審安全檢查結(jié)果和安全事故報(bào)告8)復(fù)審安全控制實(shí)施的效果和影響9)宣導(dǎo)和推行公司高層對信息安全管理的指示信息安全職責(zé)分配 信息管理部門作為信息安全管理部門，負(fù)責(zé)信息安全管理策略制定及實(shí)施，其主要職責(zé)：（一）負(fù)責(zé)全公司信息安全管理和指導(dǎo)；（二）牽頭制訂全公司信息安全體系規(guī)范、標(biāo)準(zhǔn)和檢查指引，參與我司信息系統(tǒng)工程建設(shè)的安全規(guī)劃；（三）組織全公司安全檢查；（四）配合全公司安全審計(jì)工作的開展；（五）牽頭組織全公司安全管理培訓(xùn)；（六）負(fù)責(zé)全公司安全方案的審核和安全產(chǎn)品的選型、購置。（七）依據(jù)本規(guī)定、安全規(guī)范、技術(shù)標(biāo)準(zhǔn)、操作

8、手冊實(shí)施各類安全策略。（八）負(fù)責(zé)各類安全策略的日常維護(hù)和管理。 各分公司信息管理部門作為信息安全管理部門，其主要職責(zé)：（一）根據(jù)本規(guī)定、信息安全體系規(guī)范、標(biāo)準(zhǔn)和檢查指引，組織建立安全管理流程、手冊；（二）組織實(shí)施內(nèi)部安全檢查；（三）組織安全培訓(xùn)；（四）負(fù)責(zé)機(jī)密信息和機(jī)密資源的安全管理；（五）負(fù)責(zé)安全技術(shù)產(chǎn)品的使用、維護(hù)、升級；（六）配合安全審計(jì)工作的開展；（七）定期上報(bào)本單位信息系統(tǒng)安全情況，反饋安全技術(shù)和管理的意見和建議。（八）依據(jù)本規(guī)定、安全規(guī)范、技術(shù)標(biāo)準(zhǔn)、操作手冊實(shí)施各類安全策略。（九）負(fù)責(zé)各類安全策略的日常維護(hù)和管理。信息處理設(shè)備的授權(quán) 新設(shè)備的采購和設(shè)備部署的審批流程應(yīng)該充分考慮信息

9、安全的要求。 新設(shè)備在部署和使用之前，必須明確其用途和使用范圍，并獲得安全管理委員會的批準(zhǔn)。必須對新設(shè)備的硬件和軟件系統(tǒng)進(jìn)行詳細(xì)檢查，以確保它們的安全性和兼容性。除非獲得安全管理委員會的授權(quán)，否則不允許使用私人的信息處理設(shè)備來處理公司業(yè)務(wù)信息或使用公司資源。獨(dú)立的信息安全審核必須對公司信息安全控制措施的實(shí)施情況進(jìn)行獨(dú)立地審核，確保公司的信息安全控制措施符合管理制度的要求。審核工作應(yīng)由公司的審計(jì)部門或?qū)ｉT提供此類服務(wù)的第三方組織負(fù)責(zé)執(zhí)行。負(fù)責(zé)安全審核的人員必須具備相應(yīng)的技能和經(jīng)驗(yàn)。獨(dú)立的信息安全審核必須每年至少進(jìn)行一次。第三方訪問的安全性明確第三方訪問的風(fēng)險(xiǎn)必須對第三方對公司信息或信息系統(tǒng)的訪問

10、進(jìn)行風(fēng)險(xiǎn)評估，并進(jìn)行嚴(yán)格控制，相關(guān)控制須考慮物理上和邏輯上訪問的安全風(fēng)險(xiǎn)。只有在風(fēng)險(xiǎn)被消除或降低到可接受的水平時(shí)才允許其訪問。第三方包括但不限于：1)硬件和軟件廠商的支持人員和其他外包商2)監(jiān)管機(jī)構(gòu)、外部顧問、外部審計(jì)機(jī)構(gòu)和合作伙伴3)臨時(shí)員工、實(shí)習(xí)生4)清潔工和保安5)公司的客戶第三方對公司信息或信息系統(tǒng)的訪問類型包括但不限于：1)物理的訪問，例如：訪問公司大廈、職場、數(shù)據(jù)中心等；2)邏輯的訪問，例如：訪問公司的數(shù)據(jù)庫、信息系統(tǒng)等；3)與第三方之間的網(wǎng)絡(luò)連接，例如：固定的連接、臨時(shí)的遠(yuǎn)程連接；第三方所有的訪問申請都必須經(jīng)過信息安全管理代表的審批，只提供其工作所須的最小權(quán)限和滿足其工作所需的最

11、少資源，并且需要定期對第三方的訪問權(quán)限進(jìn)行復(fù)查。第三方對重要信息系統(tǒng)或地點(diǎn)的訪問和操作必須有相關(guān)人員陪同。公司負(fù)責(zé)與第三方溝通的人員必須在第三方接觸公司信息或信息系統(tǒng)前，主動告知第三方的職責(zé)、義務(wù)和需要遵守的規(guī)定，第三方必須在清楚并同意后才能接觸相應(yīng)信息或信息系統(tǒng)。所有對第三方的安全要求必須包含在與其簽訂的合約中。當(dāng)與客戶接觸時(shí)強(qiáng)調(diào)信息安全必須在允許客戶訪問信息或信息系統(tǒng)前識別并告知其需要遵守的安全需求。采取相應(yīng)的保護(hù)措施保護(hù)客戶訪問的信息或信息系統(tǒng)。與第三方簽訂合約的安全要求與第三方合約中應(yīng)包含必要的安全要求，如：訪問、處理、管理公司信息或信息系統(tǒng)的安全要求。信息資產(chǎn)與人員安全資產(chǎn)責(zé)任資產(chǎn)的

12、清單應(yīng)清楚識別所有的資產(chǎn)，所有與信息相關(guān)的重要資產(chǎn)都應(yīng)該在資產(chǎn)清單中標(biāo)出，并及時(shí)維護(hù)更新。這些資產(chǎn)包括但不限于1)信息：數(shù)據(jù)庫和數(shù)據(jù)文件、系統(tǒng)文檔、用戶手冊、培訓(xùn)材料、操作手冊、業(yè)務(wù)連續(xù)性計(jì)劃、系統(tǒng)恢復(fù)計(jì)劃、備份信息和合同等。2)軟件：應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具以及實(shí)用工具等。3)實(shí)體：計(jì)算機(jī)設(shè)備（處理器、顯示器、筆記本電腦、調(diào)制解調(diào)器等）、通訊設(shè)備（路由器、程控電話交換機(jī)、傳真機(jī)等）、存儲設(shè)備、磁介質(zhì)（磁帶和磁盤等）、其它技術(shù)設(shè)備（電源、空調(diào)器等）、機(jī)房等。4)服務(wù)：通訊服務(wù)（專線）。資產(chǎn)清單必須每年至少審核一次。在購買新資產(chǎn)之前必須進(jìn)行安全評估。資產(chǎn)交付后，資產(chǎn)清單必須更新。資產(chǎn)的風(fēng)險(xiǎn)評

13、估必須每年至少一次，主要評估當(dāng)前已部署安全控制措施的有效性。實(shí)體資產(chǎn)需要貼上適當(dāng)?shù)臉?biāo)簽。資產(chǎn)的管理權(quán)所有資產(chǎn)都應(yīng)該被詳細(xì)說明，必須指明具體的管理者。管理者可以是個(gè)人，也可以是某個(gè)部門。管理者是部門的資產(chǎn)則由部門主管負(fù)責(zé)監(jiān)護(hù)。資產(chǎn)管理者的職責(zé)是：1)確定資產(chǎn)的保密等級分類和訪問管理辦法；2)定期復(fù)查資產(chǎn)的分類和訪問管理辦法。資產(chǎn)的合理使用必須識別信息和信息系統(tǒng)的使用準(zhǔn)則，形成文件并實(shí)施。使用準(zhǔn)則應(yīng)包括：1)使用范圍2)角色和權(quán)限3)使用者應(yīng)負(fù)的責(zé)任4)與其他系統(tǒng)交互的要求所有訪問信息或信息系統(tǒng)的員工、第三方必須清楚要訪問資源的使用準(zhǔn)則，并承擔(dān)他們的責(zé)任。公司的所有信息處理設(shè)備（包括個(gè)人電腦）只能

14、被使用于工作相關(guān)的活動，不得用來炒股、玩游戲等。濫用信息處理設(shè)備的員工將受到紀(jì)律處分。信息分類信息分類原則所有信息都應(yīng)該根據(jù)其敏感性、重要性以及業(yè)務(wù)所要求的訪問限制進(jìn)行分類和標(biāo)識。信息管理者負(fù)責(zé)信息的分類，并對其進(jìn)行定期檢查，以確保分類的正確。當(dāng)信息被發(fā)布到公司外部，或者經(jīng)過一段時(shí)間后信息的敏感度發(fā)生改變時(shí)，信息需要重新分類。 信息的保密程度從高到低分為絕密、機(jī)密、秘密和非保密四種等級。以電子形式保存的信息或管理信息資產(chǎn)的系統(tǒng)，需根據(jù)信息的敏感度進(jìn)行標(biāo)識。含有不同分類信息的系統(tǒng)，必須按照其中的最高保密等級進(jìn)行分類。信息標(biāo)記和處理必須建立相應(yīng)的保密信息處理規(guī)范。對于不同的保密等級，應(yīng)明確說明如下

15、信息活動的處理要求：1)復(fù)制2)保存和保管（以物理或電子方式）3)傳送（以郵寄、傳真或電子郵件的方式）4)銷毀電子文檔和系統(tǒng)輸出的信息（打印報(bào)表和磁帶等）應(yīng)帶有適當(dāng)?shù)男畔⒎诸悩?biāo)記。對于打印報(bào)表，其保密等級應(yīng)顯示在每頁的頂端或底部。將保密信息發(fā)送到公司以外時(shí)，負(fù)責(zé)傳送信息的工作人員應(yīng)在分發(fā)信息之前，先告知對方文檔的保密等級及其相應(yīng)的處理要求。人員安全信息安全意識、教育和培訓(xùn)所有公司員工和第三方人員必須接受包括安全性要求、信息處理設(shè)備的正確使用等內(nèi)容的培訓(xùn)，并應(yīng)該及時(shí)了解和學(xué)習(xí)公司對安全管理制度和標(biāo)準(zhǔn)的更新。應(yīng)該至少每年向員工提供一次安全意識培訓(xùn)，其內(nèi)容包括但不限于：1)安全管理委員會下達(dá)的安全管

16、理要求2)信息保密的責(zé)任3)一般性安全守則4)信息分類5)安全事故報(bào)告程序6)電腦病毒爆發(fā)時(shí)的應(yīng)對措施7)災(zāi)難發(fā)生時(shí)的應(yīng)對措施應(yīng)該對系統(tǒng)管理員、開發(fā)人員進(jìn)行安全技能方面的培訓(xùn)，至少每年一次。員工和第三方人員在開始工作后90天內(nèi)，必須進(jìn)行技術(shù)和安全方面的培訓(xùn)。災(zāi)難恢復(fù)演習(xí)應(yīng)至少每年舉行一次。懲戒過程違反公司安全管理制度、標(biāo)準(zhǔn)和程序的員工將受到紀(jì)律處分。在對信息安全事件調(diào)查結(jié)束后，必須對事件中的相關(guān)人員根據(jù)公司的懲戒規(guī)定進(jìn)行處罰。紀(jì)律處分包括但不限于：1)通報(bào)批評2)警告3)記過4)解除勞動合同5)法律訴訟當(dāng)員工在接受可能涉及解除勞動合同和法律訴訟的違規(guī)調(diào)查時(shí)，其直接領(lǐng)導(dǎo)應(yīng)暫停受調(diào)查員工的工作職務(wù)

17、和其訪問權(quán)限，包括物理訪問、系統(tǒng)應(yīng)用訪問和網(wǎng)絡(luò)訪問等。員工在接受調(diào)查時(shí)可以陳述觀點(diǎn)，提出異議，并有進(jìn)一步申訴的權(quán)力。資產(chǎn)歸還 在終止雇傭、合同或協(xié)議時(shí)，所有員工及第三方人員必須歸還所使用的全部公司資產(chǎn)。需要?dú)w還的資產(chǎn)包括但不限于：1)帳號和訪問權(quán)限2)公司的電子或紙質(zhì)文檔3)公司購買的硬件和軟件資產(chǎn)4)公司購買的其他設(shè)備如果在非公司資產(chǎn)上保存有公司的資產(chǎn)，必須在帶出公司前歸還或刪除公司的資產(chǎn)。刪除訪問權(quán)限在終止或變更雇傭、合同、協(xié)議時(shí)，必須刪除所有員工及第三方人員對信息和信息系統(tǒng)的訪問權(quán)限，或根據(jù)變更進(jìn)行相應(yīng)的調(diào)整。所有刪除和調(diào)整操作必須在最后上班日之前完成。對于公用的資源，必須進(jìn)行及時(shí)的調(diào)整

18、，比如：公用的帳號必須立即更改密碼。在已經(jīng)確定員工或第三方終止或變更意向后，必須及時(shí)對他們的權(quán)限進(jìn)行限制，只保留終止或變更所需要的權(quán)限。物理和環(huán)境安全方面安全區(qū)域物理安全邊界在公司的物理環(huán)境里，應(yīng)該對需要保護(hù)的區(qū)域根據(jù)其重要性劃分為不同的安全區(qū)域。特別是有重要設(shè)備的安全區(qū)域（比如機(jī)房）應(yīng)該部署相應(yīng)的物理安全控制。在大廈的統(tǒng)一入口處必須設(shè)立有專人值守的接待區(qū)域，在特別重要的安全區(qū)域也應(yīng)該設(shè)立類似的接待區(qū)域。在非辦公時(shí)間內(nèi)，重要的安全區(qū)域必須安排保安定時(shí)巡視。任何時(shí)候，公司內(nèi)必須至少有一位保安值班。保安值班表應(yīng)最少每月調(diào)整一次。安全區(qū)域訪問控制在非辦公時(shí)間，所有進(jìn)入安全區(qū)域的入口都應(yīng)該受到控制，比

19、如上鎖。任何時(shí)候，重要安全區(qū)域的所有出入口必須受到嚴(yán)格的訪問控制，確保只有授權(quán)的員工才可以進(jìn)入此區(qū)域。對于設(shè)有訪問控制的安全區(qū)域，必須定期審核并及時(shí)更新其訪問權(quán)限。所有員工都必須佩戴一個(gè)身份識別通行證，有責(zé)任確保通行證的安全并不得轉(zhuǎn)借他人。員工離職時(shí)必須交還通行證，同時(shí)取消其所有訪問權(quán)限。 所有來賓的有關(guān)資料都必須詳細(xì)記載在來賓進(jìn)出登記表中，并向獲準(zhǔn)進(jìn)入的來賓發(fā)放來賓通行證。同時(shí)，必須有相應(yīng)的程序以確?；厥账l(fā)放的來賓通行證。來賓進(jìn)出登記表必須至少保留1年，記錄內(nèi)容應(yīng)包括但不限于：1)來賓姓名2)來賓身份3)來賓工作單位4)來訪事由5)負(fù)責(zé)接待的員工6)來賓通行證號碼7)進(jìn)入的日期和時(shí)間8)離

20、開的日期和時(shí)間辦公場所和設(shè)施安全放置敏感或重要設(shè)備的區(qū)域（例如機(jī)房）應(yīng)盡量不引人注目，給外面的信息應(yīng)盡量最少，不應(yīng)該有明顯的標(biāo)志指明敏感區(qū)域的所在位置和用途。這些區(qū)域還應(yīng)該被給予相應(yīng)的保護(hù)，保護(hù)措施包括但不限于：1)所有出入口必須安裝物理訪問控制措施2)使用來賓登記表以便記錄來訪信息3)嚴(yán)禁吸煙必須對支持關(guān)鍵性業(yè)務(wù)活動的設(shè)備提供足夠的物理訪問控制。所有安全區(qū)域和出入口必須通過閉路電視進(jìn)行監(jiān)控。普通會議室或其它公眾場合必須與安全區(qū)域隔離開來。無人值守的時(shí)候，辦公區(qū)中的信息處理設(shè)備必須從物理上進(jìn)行保護(hù)。門和窗戶必須鎖好。防范外部和環(huán)境威脅辦公場所和機(jī)房的設(shè)計(jì)和建設(shè)必須充分考慮火災(zāi)、洪水、地震、爆炸

21、、騷亂等天災(zāi)或人為災(zāi)難，并采取額外的控制措施加以保護(hù)。機(jī)房必須增加額外的物理控制，選取的場地應(yīng)盡量安全，并盡可能避免受到災(zāi)害的影響。機(jī)房必須有防火、防潮、防塵、防盜、防磁、防鼠等設(shè)施。機(jī)房建設(shè)必須符合國標(biāo)GB2887-89計(jì)算機(jī)場地技術(shù)條件和GB9361-88計(jì)算站場地安全要求中的要求。機(jī)房的消防措施必須滿足以下要求：1)必須安裝消防設(shè)備，并定期檢查。2)應(yīng)該指定消防指揮員。3)機(jī)房內(nèi)嚴(yán)禁存放易燃材料，每周例行檢查一次。4)必須安裝煙感及其他火警探測器和滅火裝置。應(yīng)每季度定期檢查這些裝備，確保它們能有效運(yùn)作。5)必須在明顯位置張貼火災(zāi)逃生路線圖、滅火設(shè)備平面放置圖以及安全出口的位置。6)安全出

22、口必須有明顯標(biāo)識。7)應(yīng)該訓(xùn)練員工熟悉使用消防設(shè)施。8)緊急事件發(fā)生時(shí)必須提供緊急照明。9)所有疏散路線都必須時(shí)刻保持通暢。10)必須保證防火門在火災(zāi)發(fā)生時(shí)能夠開啟。11)每年應(yīng)至少舉行一次火災(zāi)撤離演習(xí)，使工作人員熟知火災(zāi)撤離的過程。在安全區(qū)域工作員工進(jìn)入機(jī)房的訪問授權(quán)，不能超過其工作所需的范圍。必須定期檢查訪問權(quán)限的分配并及時(shí)更新。機(jī)房的訪問權(quán)限應(yīng)不同于進(jìn)入大樓其它區(qū)域的權(quán)限。所有需要進(jìn)入機(jī)房的來賓都必須提前申請。必須維護(hù)和及時(shí)更新來賓記錄，以掌握來賓進(jìn)入機(jī)房的詳細(xì)情況。記錄中應(yīng)詳細(xì)說明來賓的姓名、進(jìn)入與離開的日期與時(shí)間，申請者以及進(jìn)入的原因。機(jī)房來賓記錄至少保存一年。來賓必須得到明確許可后

23、，在專人陪同下才能進(jìn)入機(jī)房。機(jī)房的保護(hù)應(yīng)在專家的指導(dǎo)下進(jìn)行，必須安裝合適的安全防護(hù)和檢測裝置。機(jī)房內(nèi)嚴(yán)禁吸煙、飲食和拍攝。機(jī)房操作日志 必須記錄機(jī)房管理員的操作行為，以便其行為可以追蹤。操作記錄必須備份和維護(hù)并妥善保管，防止被破壞。在機(jī)房值班人員交接時(shí)，上一班值班人員所遺留的問題以及從事的工作應(yīng)明確交待給下一班，保證相關(guān)操作的延續(xù)性。設(shè)備安全設(shè)備的安置及保護(hù)必須對設(shè)備實(shí)施安全控制，以減少環(huán)境危害和非法的訪問。應(yīng)該考慮的因素包括但不限于：1)水、火2)煙霧、灰塵3)震動4)化學(xué)效應(yīng)5)電源干擾、電磁輻射設(shè)備必須放置在遠(yuǎn)離水災(zāi)的地方，并根據(jù)需要考慮安裝漏水警報(bào)系統(tǒng)。應(yīng)急開關(guān)如電閘、煤氣開關(guān)和水閘等

24、都必須清楚地做好標(biāo)識，并且能容易訪問。設(shè)備都應(yīng)該裝有合適的漏電保險(xiǎn)絲或斷路器進(jìn)行保護(hù)。放置設(shè)備的區(qū)域必須滿足廠商提供的設(shè)備環(huán)境要求。設(shè)備的操作必須遵守廠商提供的操作規(guī)范。通信線路和電纜必須從物理上進(jìn)行保護(hù)。支持設(shè)施支持設(shè)施能夠支持物理場所、設(shè)備等的正常運(yùn)作，比如：電力設(shè)施、空調(diào)、排水設(shè)施、消防設(shè)施、靜電保護(hù)設(shè)施等。必須采取保護(hù)措施使設(shè)備免受電源故障或電力異常的破壞。必須驗(yàn)證電力供應(yīng)是否滿足廠商設(shè)備對電源的要求。每年應(yīng)至少對支持設(shè)施進(jìn)行一次安全檢查。工作環(huán)境中增加新設(shè)備時(shí)，必須對電力、空調(diào)、地板等支持設(shè)施的負(fù)荷進(jìn)行審核。必須設(shè)置后備電源，例如不間斷電源（UPS）或發(fā)電機(jī)。對需要配備后備電源的設(shè)備

25、裝置進(jìn)行審核，確保后備電源能夠滿足這些設(shè)備的正常工作。每年必須至少對備用電源/進(jìn)行一次測試。應(yīng)急電源開關(guān)應(yīng)位于機(jī)房的緊急出口附近，以便緊急狀況發(fā)生時(shí)可以迅速切斷電源。電纜應(yīng)根據(jù)供電電壓和頻率的不同而相互隔離。所有電纜都應(yīng)帶有標(biāo)簽，標(biāo)簽上的編碼應(yīng)記錄歸檔。電纜應(yīng)從物理上加以保護(hù)。設(shè)備維護(hù)所有生產(chǎn)設(shè)備必須有足夠的維護(hù)保障，關(guān)鍵設(shè)備必須提供7x24的現(xiàn)場維護(hù)支持。所有生產(chǎn)設(shè)備必須定期進(jìn)行預(yù)防性維護(hù)。只有經(jīng)過批準(zhǔn)的、受過專業(yè)培訓(xùn)的工作人員才能進(jìn)行維護(hù)工作。設(shè)備的所有維護(hù)工作都應(yīng)該記錄歸檔。如果設(shè)備需要搬離安全區(qū)域進(jìn)行修理，必須獲得批準(zhǔn)并卸載其存儲介質(zhì)。必須建立設(shè)備故障報(bào)告流程。對于需要進(jìn)行重大維修的設(shè)

26、備，流程還應(yīng)該包含設(shè)備檢修的報(bào)告，及換用備用設(shè)備的流程。管轄區(qū)域外設(shè)備安全筆記本電腦用戶必須保護(hù)好筆記本電腦的安全，防止筆記本電腦損壞或被偷竊。如果將設(shè)備帶出公司，設(shè)備擁有者必須親自或指定專人保護(hù)設(shè)備的安全。設(shè)備擁有者必須對設(shè)備在公司場所外的安全負(fù)責(zé)。設(shè)備的安全處理或再利用再利用或報(bào)廢之前，設(shè)備所含有的所有存儲裝置（比如硬盤等）都必須通過嚴(yán)格檢查，確保所有敏感數(shù)據(jù)和軟件已被刪除或改寫，并且不可能被恢復(fù)。應(yīng)該通過風(fēng)險(xiǎn)評估來決定是否徹底銷毀、送修還是丟棄含有敏感數(shù)據(jù)的已損壞設(shè)備。通信和操作管理方面操作程序和職責(zé)規(guī)范的操作程序必須為所有的業(yè)務(wù)系統(tǒng)建立操作程序，其內(nèi)容包括但不限于：1)系統(tǒng)重啟、備份和

27、恢復(fù)的措施2)一般性錯(cuò)誤處理的操作指南3)技術(shù)支持人員的聯(lián)系方法4)與其它系統(tǒng)的依賴性和處理的優(yōu)先級5)硬件的配置管理操作程序必須征得管理者的同意才能對其進(jìn)行修改。操作程序必須及時(shí)更新，更新條件包括但不限于：1)應(yīng)用軟件的變更2)硬件配置的變更變更控制必須建立變更管理程序來控制系統(tǒng)的變更，所有變更都必須遵守變更管理程序的要求。程序內(nèi)容包括但不限于1)識別和記錄變更請求2)評估變更的可行性、變更計(jì)劃和可能帶來的潛在影響3)變更的測試4)審批的流程5)明確變更失敗的恢復(fù)計(jì)劃和責(zé)任人6)變更的驗(yàn)收重要變更必須制定計(jì)劃，并在測試環(huán)境下進(jìn)行足夠的測試后，才能在生產(chǎn)系統(tǒng)中實(shí)施。所有變更必須包括變更失敗的應(yīng)

28、對措施和恢復(fù)計(jì)劃。所有變更必須獲得授權(quán)和批準(zhǔn)，變更的申請和審批不得為同一個(gè)員工。對變更需要涉及的硬件、軟件和信息等對象都應(yīng)標(biāo)識出來并進(jìn)行相應(yīng)評估。變更在實(shí)施前必須通知到相關(guān)人員。變更的實(shí)施應(yīng)該安排在對業(yè)務(wù)影響最小的時(shí)間段進(jìn)行，盡量減少對業(yè)務(wù)正常運(yùn)營的影響。在生產(chǎn)系統(tǒng)安裝或更新軟件前，必須對系統(tǒng)進(jìn)行備份。變更完成后，相關(guān)的文檔（如系統(tǒng)需求文檔、設(shè)計(jì)文檔、操作手冊、用戶手冊等）必須得到更新，舊的文檔必須進(jìn)行備份。必須對變更進(jìn)行復(fù)查，以確保變更沒有對原來的系統(tǒng)環(huán)境造成破壞。必須完整記錄整個(gè)變更過程，并將其妥善保管。變更的記錄應(yīng)至少每月復(fù)查一次。職責(zé)分離系統(tǒng)管理員和系統(tǒng)開發(fā)人員的職責(zé)必須明確分開。同一

29、處理過程中的重要任務(wù)不應(yīng)該由同一個(gè)人來完成，以防止欺詐和誤操作的發(fā)生。所有職責(zé)分離的控制必須記錄歸檔，作為責(zé)任分工的依據(jù)。無法采取職責(zé)分離時(shí)，必須采取其它的控制，比如活動監(jiān)控、審核跟蹤評估以及管理監(jiān)督等。開發(fā)、測試和生產(chǎn)系統(tǒng)分離不應(yīng)給開發(fā)人員提供超過其開發(fā)所需范圍的權(quán)限。如果開發(fā)人員需要訪問生產(chǎn)系統(tǒng)，必須經(jīng)過運(yùn)營人員的授權(quán)和管理。生產(chǎn)、測試和開發(fā)應(yīng)分別使用不同的系統(tǒng)環(huán)境。開發(fā)人員不得在生產(chǎn)環(huán)境中更改編碼或操作生產(chǎn)系統(tǒng)。不得在生產(chǎn)系統(tǒng)上擅自安裝開發(fā)工具（比如編譯程序及其他系統(tǒng)公用程序等），并做好已有開發(fā)工具的訪問控制。開發(fā)和測試環(huán)境使用的測試數(shù)據(jù)不能包含有敏感信息。事件管理程序 必須建立事件管理

30、程序，并根據(jù)事件影響的嚴(yán)重程度制訂其所屬類別，同時(shí)說明相應(yīng)的處理方法和負(fù)責(zé)人。必須根據(jù)事件的嚴(yán)重程度，定義響應(yīng)的范圍、時(shí)間和完成事件處理的時(shí)間。系統(tǒng)的修復(fù)必須得到系統(tǒng)管理者的批準(zhǔn)方可執(zhí)行。所有事件報(bào)告必須記錄歸檔，并由部門主管或指定人員妥善保管。必須對事件的處理情況進(jìn)行監(jiān)控，對超時(shí)的處理提出改進(jìn)建議并跟進(jìn)改進(jìn)效果。第三方服務(wù)交付管理服務(wù)交付第三方提供的服務(wù)必須滿足安全管理制度的要求。第三方提供的服務(wù)必須滿足公司業(yè)務(wù)連續(xù)性的要求。必須保留第三方提供的服務(wù)、報(bào)告和記錄并定期評審，至少每半年一次。評審內(nèi)容應(yīng)包括：1)服務(wù)內(nèi)容和質(zhì)量是否滿足合同要求；2)服務(wù)報(bào)告是否真實(shí)。第三方服務(wù)的變更管理服務(wù)改變時(shí)

31、，必須重新對服務(wù)是否滿足安全管理辦法進(jìn)行評估。在服務(wù)變更時(shí)需要考慮：1)服務(wù)價(jià)格的增長；2)新的服務(wù)需求；3)公司信息安全管理制度的變化；4)公司在信息安全方面新的控制。針對惡意軟件的保護(hù)措施對惡意軟件的控制必須建立一套病毒防治體系，以便防止病毒對公司帶來的影響。所有服務(wù)器、個(gè)人電腦和筆記本電腦都應(yīng)該安裝公司規(guī)定的防病毒軟件，并及時(shí)更新防病毒軟件。所有存進(jìn)計(jì)算機(jī)的信息（例如接收到的郵件、下載的文件等）都必須經(jīng)過病毒掃描。員工和第三方廠商從外界帶來的存儲介質(zhì)在使用之前必須進(jìn)行病毒掃描。所有員工都應(yīng)該接受防病毒知識的培訓(xùn)和指導(dǎo)。公司內(nèi)發(fā)現(xiàn)的病毒、計(jì)算機(jī)或應(yīng)用程序的異常行為，都必須作為安全事件進(jìn)行報(bào)

32、告。必須定期審核控制惡意軟件措施的有效性。一旦發(fā)現(xiàn)感染病毒，必須立刻把機(jī)器從網(wǎng)絡(luò)中斷開。在病毒沒有被徹底清除之前，嚴(yán)禁將其重新連接到網(wǎng)絡(luò)上。備份信息備份所有服務(wù)器、個(gè)人電腦和筆記本電腦必須根據(jù)業(yè)務(wù)需求定期進(jìn)行備份。系統(tǒng)在重大變更之前和之后必須進(jìn)行備份。備份管理辦法必須獲得管理層的審批以確保符合業(yè)務(wù)需求。備份管理辦法必須至少每季度進(jìn)行一次復(fù)查，以確保沒有發(fā)生未授權(quán)或意外的更改。 應(yīng)該保留多于1個(gè)備份周期的備份，但重要業(yè)務(wù)信息應(yīng)至少保留3個(gè)備份周期的備份。備份資料和相應(yīng)的恢復(fù)操作手冊必須定期傳送到異地進(jìn)行保存。異地必須與主站點(diǎn)有一定的距離，以避免受主站點(diǎn)的災(zāi)難波及。 必須對異地保存的備份信息實(shí)施安

33、全保護(hù)措施，其保護(hù)標(biāo)準(zhǔn)應(yīng)和主站點(diǎn)相一致。必須定期測試備份介質(zhì)，確保其可用性。必須定期檢查和測試恢復(fù)步驟，確保它們的有效性。備份系統(tǒng)必須進(jìn)行監(jiān)控，以確保其穩(wěn)定性和可用性。網(wǎng)絡(luò)管理網(wǎng)絡(luò)控制 網(wǎng)絡(luò)管理和操作系統(tǒng)管理的職責(zé)應(yīng)該彼此分離，并由不同的員工承擔(dān)。必須明確定義網(wǎng)絡(luò)管理的職責(zé)和義務(wù)。只有得到許可的員工才能夠使用網(wǎng)絡(luò)管理系統(tǒng)。 必須建立相應(yīng)的控制機(jī)制，保護(hù)路由表和防火墻安全管理辦法等網(wǎng)絡(luò)參數(shù)的完整性。保護(hù)通過公網(wǎng)傳送敏感數(shù)據(jù)的機(jī)密性、完整性和可用性。 進(jìn)行網(wǎng)絡(luò)協(xié)議兼容性的評估時(shí)應(yīng)考慮將來新增網(wǎng)絡(luò)設(shè)備的要求。任何準(zhǔn)備接進(jìn)網(wǎng)絡(luò)的新設(shè)備，在進(jìn)網(wǎng)前都必須通過協(xié)議兼容性的評估和安全檢查。 必須對網(wǎng)絡(luò)進(jìn)行監(jiān)控

34、和管理。所有網(wǎng)絡(luò)故障都必須向上級報(bào)告。 必須建立互聯(lián)網(wǎng)的訪問管理辦法。除非得到授權(quán)，否則禁止訪問外部網(wǎng)絡(luò)的服務(wù)。介質(zhì)的管理可移動介質(zhì)的管理可移動計(jì)算機(jī)存儲介質(zhì)（比如磁帶、光盤等）必須有適當(dāng)?shù)脑L問控制。存儲介質(zhì)上必須設(shè)置標(biāo)簽，以標(biāo)識其類型和用途。標(biāo)簽應(yīng)使用代碼，以避免直接標(biāo)識存儲介質(zhì)上的內(nèi)容。標(biāo)識用的代碼需要記錄并歸檔。必須建立和維護(hù)介質(zhì)清單，并對介質(zhì)的借用和歸還進(jìn)行記錄。應(yīng)確保備有足夠的存儲介質(zhì)，以備使用。存放在存儲介質(zhì)內(nèi)的絕密和機(jī)密信息必須受到妥善保護(hù)。存儲介質(zhì)的存放環(huán)境必須滿足介質(zhì)要求的環(huán)境條件（比如溫度、濕度、空氣質(zhì)量等）。備份介質(zhì)必須存儲在防火柜中。應(yīng)該對介質(zhì)的壽命進(jìn)行管理，在介質(zhì)壽命

35、結(jié)束前一年，將信息拷貝到新的介質(zhì)中。介質(zhì)的銷毀應(yīng)建立存儲介質(zhì)的報(bào)廢規(guī)范，包括但不限于：1)紙質(zhì)文檔2)語音資料及其他錄音帶3)復(fù)寫紙4)磁帶5)磁盤6)光存儲介質(zhì)所有不會被再利用的敏感文檔都必須根據(jù)定義的信息密級采取適當(dāng)?shù)姆绞竭M(jìn)行銷毀。所有報(bào)廢及過期的存儲介質(zhì)必須妥善銷毀。信息處理程序介質(zhì)的信息分類，必須采用存放信息中的最高保密等級。應(yīng)根據(jù)介質(zhì)中信息的分類級別，采取相應(yīng)措施來保護(hù)介質(zhì)的輸出環(huán)境。系統(tǒng)文檔的安全存取含有敏感信息的文檔，必須獲得相應(yīng)文檔管理者的批準(zhǔn)。含有敏感信息的文檔應(yīng)保存在安全的地方，未經(jīng)許可不得訪問。含有敏感信息的文檔通過內(nèi)部網(wǎng)等提供訪問的，應(yīng)采用訪問控制加以保護(hù)。信息交換信息

36、交換管理辦法和程序必須根據(jù)信息的類型和保密級別，定義信息在交換過程中應(yīng)遵循的安全要求。所有員工和第三方人員都必須遵守公司的信息交換管理辦法。未經(jīng)許可，公司內(nèi)部不允許安裝、使用無線通信設(shè)備。使用加密技術(shù)保護(hù)信息的保密性、完整性和真實(shí)性。敏感信息帶出公司必須獲得直接領(lǐng)導(dǎo)或信息管理者的授權(quán)。必須建立控制機(jī)制來保護(hù)利用音頻、傳真和視頻通信設(shè)備進(jìn)行交換的信息。電話錄音系統(tǒng)應(yīng)該配置密碼，以防非法訪問。在使用傳真機(jī)中已存儲的號碼時(shí)，傳真之前必須驗(yàn)證號碼。移動通訊設(shè)備（比如手機(jī)，PDA等）不應(yīng)存儲公司敏感信息。交換協(xié)議跟外界進(jìn)行信息和軟件交換必須簽署協(xié)議，其內(nèi)容必須包括：1)發(fā)送方和接收方的責(zé)任2)明確發(fā)送和

37、接收的方式3)制定信息封裝和傳輸?shù)募夹g(shù)標(biāo)準(zhǔn)4)數(shù)據(jù)丟失的相關(guān)責(zé)任5)聲明信息的保密級別和保護(hù)要求6)聲明信息和軟件的所有權(quán)、版權(quán)和其他相關(guān)因素物理介質(zhì)傳輸必須建立傳輸存儲介質(zhì)的安全標(biāo)準(zhǔn)。應(yīng)使用可靠的傳輸工具或傳遞人，授權(quán)的傳遞人必須接受適當(dāng)監(jiān)管并進(jìn)行其身份的檢查。應(yīng)確保敏感信息的機(jī)密性、完整性和可用性在傳輸全程中受到保護(hù)。存放介質(zhì)的容器在運(yùn)輸過程前必須密封。信息分類不應(yīng)該標(biāo)識在容器的外面。包裝應(yīng)該非常結(jié)實(shí)，確保介質(zhì)在運(yùn)輸過程中不受到損壞。電子消息電子化辦公系統(tǒng)必須建立相應(yīng)的管理辦法和控制機(jī)制，并闡明下列內(nèi)容：1)確定不能被共享的信息的類型或密級2)系統(tǒng)用戶的權(quán)限3)系統(tǒng)的訪問控制4)與系統(tǒng)相關(guān)

38、的備份管理辦法除非獲得安全管理委員會的授權(quán)，否則禁止使用公司以外的電子系統(tǒng)（比如BBS、MSN、QQ等）進(jìn)行跟公司相關(guān)的活動。電子郵件內(nèi)的信息必須根據(jù)其信息分類的安全要求去處理和保護(hù)。用于連接外網(wǎng)的郵件網(wǎng)關(guān)必須安裝防病毒軟件，檢查進(jìn)出的電子郵件。必須對Internet屏蔽郵件系統(tǒng)的內(nèi)網(wǎng)IP地址。員工使用公司的郵件系統(tǒng)時(shí)只能進(jìn)行與業(yè)務(wù)相關(guān)的活動。所有在公司的郵件系統(tǒng)上產(chǎn)生及存儲的郵件都是公司資產(chǎn)。公司有權(quán)查看和監(jiān)控所有郵件。未經(jīng)授權(quán)，嚴(yán)禁使用公司以外的郵箱處理公司業(yè)務(wù)。所有對外發(fā)送的郵件都必須加上責(zé)任聲明。業(yè)務(wù)信息系統(tǒng)在業(yè)務(wù)系統(tǒng)進(jìn)行信息共享時(shí)，必須保證信息的完整性、可用行和保密性。必須保證重要信

39、息在交換過程中的保密性。電子商務(wù)服務(wù)電子商務(wù)必須采取適當(dāng)措施，保證電子交易過程的機(jī)密性、完整性和可用性。電子商務(wù)的交易必須制定相關(guān)的交易聲明，以明確注意事項(xiàng)和相關(guān)責(zé)任。在電子商務(wù)的協(xié)議中，必須明確欺詐行為和未能交付的責(zé)任。電子交易必須設(shè)置并維護(hù)適當(dāng)?shù)脑L問控制。身份驗(yàn)證技術(shù)必須滿足業(yè)務(wù)的實(shí)際要求。必須保留并維護(hù)所有電子商務(wù)交易過程中的記錄和日志。應(yīng)該使用加密、電子證書、數(shù)字簽名等技術(shù)保護(hù)電子商務(wù)安全。在線交易必須保護(hù)在線交易信息，避免不完整的傳輸、路由錯(cuò)誤、未授權(quán)的消息更改、未授權(quán)的信息信息泄漏、復(fù)制和回復(fù)。在線交易中必須使用數(shù)字證書保護(hù)交易安全。交易中必須使用加密技術(shù)對所有通信內(nèi)容加密。在線交

40、易必須使用安全的通訊協(xié)議。在線交易信息必須保存在公司內(nèi)部的存儲環(huán)境，存儲環(huán)境不能被從Internet直接訪問。在線交易必須遵守國家、地區(qū)和行業(yè)相關(guān)的法律法規(guī)。公共信息必須確保公共信息系統(tǒng)中信息的完整性，并防止非授權(quán)的修改。信息的發(fā)布必須遵守國家法律法規(guī)的要求。通過信息發(fā)布系統(tǒng)向內(nèi)部和公眾發(fā)布的信息都必須經(jīng)過公司相關(guān)部門的檢查和審批。信息在發(fā)布之前必須經(jīng)過核對，確認(rèn)其正確性和完整性。必須對敏感信息的處理和存儲過程進(jìn)行保護(hù)。監(jiān)控日志所有操作系統(tǒng)、應(yīng)用系統(tǒng)都必須具有并啟用日志記錄功能。日志記錄信息必須包括但不限于：1)用戶ID；2)每項(xiàng)操作的日期和時(shí)間（至少要精確到秒）；3)來源的標(biāo)識或位置；4)成

41、功的系統(tǒng)訪問嘗試；5)失敗或被拒絕的系統(tǒng)訪問嘗試；日志類型包括但不限于：1)應(yīng)用日志；2)系統(tǒng)日志；3)安全日志；4)操作日志；5)問題記錄。必須確保日志記錄功能在任何時(shí)候都能正常運(yùn)行。應(yīng)該有機(jī)制監(jiān)控日志的容量變化，在容量耗盡之前發(fā)出報(bào)警信息。除非特別聲明，所有日志都必須被分類為“機(jī)密”。日志應(yīng)該定期復(fù)查，至少每月一次。監(jiān)控系統(tǒng)的使用不同的信息處理設(shè)備所要求的監(jiān)控等級應(yīng)該通過風(fēng)險(xiǎn)評估來決定，必須考慮下列要素：1)系統(tǒng)的訪問；2)所有特權(quán)操作；3)未授權(quán)的訪問嘗試；4)系統(tǒng)警報(bào)或故障。應(yīng)每天定時(shí)監(jiān)控網(wǎng)絡(luò)（包括網(wǎng)絡(luò)性能和網(wǎng)絡(luò)故障），并根據(jù)產(chǎn)生的報(bào)告，對異常變化的網(wǎng)絡(luò)流量，作進(jìn)一步分析，以發(fā)現(xiàn)潛在的

42、網(wǎng)絡(luò)安全問題。日志信息保護(hù)必須保證日志不能被修改或刪除，所有對于日志文件的訪問（如刪除、寫、讀或添加）嘗試都應(yīng)該有相應(yīng)記錄。除非特別聲明，日志必須至少保存1年。只有授權(quán)的員工才能訪問并使用日志。必須采取控制措施保護(hù)日志的完整性。管理員和操作員日志系統(tǒng)管理員和操作員的操作必須被記錄日志。日志記錄應(yīng)包括重要的操作，例如與用戶管理相關(guān)的操作（用戶帳號的創(chuàng)建、刪除、權(quán)限設(shè)置、修改）、與財(cái)務(wù)相關(guān)的操作等。管理員和重要系統(tǒng)的操作員日志應(yīng)該至少每周復(fù)查一次。對于重要的財(cái)務(wù)系統(tǒng)和業(yè)務(wù)系統(tǒng)每天都要復(fù)查。故障日志必須啟動故障日志功能。必須保證故障記錄的跟進(jìn)處理，確保問題得到完全解決，并且其糾正措施不會帶來新的安全

43、問題。所有故障記錄都應(yīng)該向上級匯報(bào)并記錄歸檔。故障記錄應(yīng)妥善保管，防止被損壞，必要時(shí)應(yīng)該進(jìn)行備份。時(shí)鐘同步所有系統(tǒng)應(yīng)該使用時(shí)鐘同步服務(wù)，并使用同一時(shí)鐘源。所有系統(tǒng)中的時(shí)間允許最多一分鐘的偏差。對于不能進(jìn)行時(shí)鐘同步的系統(tǒng)，必須對時(shí)間進(jìn)行每月一次的檢查。訪問控制方面訪問控制要求訪問控制管理辦法所有系統(tǒng)和應(yīng)用都必須有訪問控制列表，由系統(tǒng)管理者明確定義訪問控制規(guī)則、用戶和用戶組的權(quán)限以及訪問控制機(jī)制。訪問控制列表應(yīng)該進(jìn)行周期性的檢查以保證授權(quán)正確。訪問權(quán)限必須根據(jù)工作完成的最少需求而定，不能超過其工作實(shí)際所需的范圍。必須按照“除非明確允許，否則一律禁止”的原則來設(shè)置訪問控制規(guī)則。所有訪問控制必須建立相

44、應(yīng)的審批程序，以確保訪問授權(quán)的合理性和有效性。必須禁用或關(guān)閉任何具有越權(quán)訪問的功能。員工的職責(zé)發(fā)生變化或離職時(shí)，其訪問權(quán)限必須作相應(yīng)調(diào)整或撤銷。系統(tǒng)自帶的默認(rèn)帳號應(yīng)該禁用或配置密碼進(jìn)行保護(hù)。用戶訪問管理用戶注冊開放給用戶訪問的信息系統(tǒng)，必須建立正式的用戶注冊和注銷程序。所有用戶的注冊都必須通過用戶注冊程序進(jìn)行申請，并得到部門領(lǐng)導(dǎo)或其委托者的批準(zhǔn)。系統(tǒng)管理者對用戶具有最終的授權(quán)決定權(quán)。必須保留和維護(hù)所有用戶的注冊信息的正式用戶記錄。負(fù)責(zé)用戶注冊的管理員必須驗(yàn)證用戶注冊和注銷請求的合法性。每個(gè)用戶必須被分配唯一的帳號，不允許共享用戶帳號。用戶一旦發(fā)現(xiàn)其帳號異常，必須立即通知負(fù)責(zé)用戶注冊的管理員進(jìn)行

45、處理。如果用戶帳號連續(xù)120天沒有使用，必須禁用該帳號。帳號名不能透露用戶的權(quán)限信息，比如管理員帳號不能帶有Admin字樣。特權(quán)管理必須建立正式的授權(quán)程序，以確保授權(quán)得到嚴(yán)格的評估和審批，并保證沒有與系統(tǒng)和應(yīng)用的安全相違背。必須建立授權(quán)清單，記錄和維護(hù)已分配的特權(quán)和其相對的用戶信息。用戶密碼管理只有在用戶身份被確認(rèn)后，才允許對忘記密碼的用戶提供臨時(shí)密碼。系統(tǒng)中統(tǒng)一管理帳號密碼的模塊保存的密碼必須是加密的。密碼必須保密，不得與他人分享、放在源代碼內(nèi)或?qū)懺跊]有保護(hù)的介質(zhì)上（如紙張）。必須強(qiáng)制用戶在第一次登錄時(shí)修改密碼。系統(tǒng)應(yīng)該設(shè)置定期的密碼修改管理辦法，并限制至少最近3個(gè)舊密碼的重用。系統(tǒng)必須啟用

46、登錄失敗的限制功能，如果連續(xù)10次登錄失敗，系統(tǒng)應(yīng)該自動鎖定相關(guān)帳號。在通過電話傳送密碼以前必須確認(rèn)對方的身份。禁止帳號和密碼被一起傳送，例如用同一封郵件傳送帳號和密碼。所有系統(tǒng)都應(yīng)該建立應(yīng)急帳號，應(yīng)急帳號資料必須放在密封的信封內(nèi)妥善收藏，并控制好信封的存取。必須記錄所有應(yīng)急帳號的使用情況，包括相關(guān)的人、時(shí)間和原因等。應(yīng)急帳號的密碼在使用后必須立刻修改，然后把新的密碼裝到信封里。用戶訪問權(quán)限的檢查必須半年對注冊用戶的訪問權(quán)限和系統(tǒng)特權(quán)進(jìn)行一次復(fù)查，關(guān)鍵系統(tǒng)必須每三個(gè)月復(fù)查一次。此過程應(yīng)該包括但不限于：1)確認(rèn)用戶權(quán)限的有效性和合理性2)找出所有異常帳號（如長時(shí)間未使用和已離職人員的帳號等），進(jìn)

47、行分析并采取相應(yīng)措施必須對可疑的或不明確的訪問權(quán)限進(jìn)行調(diào)查，并作為安全事故進(jìn)行報(bào)告。用戶的責(zé)任密碼的使用用戶必須對其帳號的安全和使用負(fù)責(zé)，無論在何種情況下，用戶都不應(yīng)該泄漏其密碼。用戶不應(yīng)該使用紙張或未受保護(hù)的電子形式保存密碼。用戶一旦懷疑其帳號密碼可能受到損害，應(yīng)該及時(shí)修改密碼。用戶在第一次使用帳號時(shí)，必須修改密碼。用戶必須至少每半年修改一次密碼。特權(quán)帳號的密碼必須至少每3個(gè)月修改一次。用于系統(tǒng)之間認(rèn)證帳號的密碼必須至少每半年修改一次。除非有技術(shù)限制，密碼應(yīng)該至少包含8個(gè)字符。此8個(gè)字符必須包含數(shù)字和字母。用戶不應(yīng)使用容易被猜測的密碼，例如字典中的單詞、生日和電話號碼等。前3次用過的密碼不應(yīng)

48、該被重復(fù)使用。密碼不應(yīng)該被保存于自動登錄過程中，例如IE中的帳號自動保存。清除桌面及屏幕管理辦法所有服務(wù)器和個(gè)人電腦都必須啟用帶有口令保護(hù)的屏幕保護(hù)程序，激活等待時(shí)間應(yīng)少于10分鐘。無人使用時(shí)，服務(wù)器、個(gè)人電腦和復(fù)印機(jī)等必須保持注銷狀態(tài)。不能將機(jī)密和絕密信息資料遺留在桌面上，而應(yīng)該根據(jù)信息的保密等級進(jìn)行處理。必須為信件收發(fā)區(qū)域以及無人看管的傳真機(jī)設(shè)置適當(dāng)?shù)谋Ｗo(hù)措施。打印完敏感信息之后，必須確認(rèn)信息已從打印隊(duì)列中清除。網(wǎng)絡(luò)訪問控制網(wǎng)絡(luò)服務(wù)使用管理辦法必須建立授權(quán)程序來管理網(wǎng)絡(luò)服務(wù)的使用。應(yīng)遵循業(yè)務(wù)要求中所說明的訪問控制管理辦法來限制訪問。所有系統(tǒng)都必須設(shè)置訪問控制機(jī)制來防止未經(jīng)授權(quán)的訪問。外部連

49、接的用戶認(rèn)證對公司系統(tǒng)進(jìn)行遠(yuǎn)程訪問，必須建立適當(dāng)?shù)恼J(rèn)證機(jī)制，采用的機(jī)制應(yīng)通過風(fēng)險(xiǎn)評估來決定。通過撥號進(jìn)行遠(yuǎn)程訪問必須經(jīng)過正式批準(zhǔn)，并做好相關(guān)記錄。用于遠(yuǎn)程訪問的調(diào)制解調(diào)器平時(shí)必須保持關(guān)閉，只有在使用的時(shí)候才能打開。在公司外部進(jìn)行遠(yuǎn)程辦公，必須使用VPN進(jìn)行連接。與外部合作伙伴進(jìn)行信息交換，應(yīng)該使用專線進(jìn)行連接。遠(yuǎn)程診斷和配置端口的保護(hù)在不使用的時(shí)候，診斷端口應(yīng)該被禁用或通過恰當(dāng)?shù)陌踩珯C(jī)制進(jìn)行保護(hù)。如果第三方需要訪問診斷端口，必須簽訂正式的協(xié)議。對遠(yuǎn)程診斷端口的訪問，必須建立正式的注冊審批程序。訪問者必須只被授予最小的訪問權(quán)限來完成診斷任務(wù)，并且必須得到認(rèn)證。所有遠(yuǎn)程的診斷訪問必須事先申請并獲得

50、批準(zhǔn)。在遠(yuǎn)程診斷會話期間，必須記錄所有執(zhí)行的活動信息，包括時(shí)間、執(zhí)行者、執(zhí)行動作和結(jié)果等。這些記錄應(yīng)該由系統(tǒng)管理員進(jìn)行檢查以確保訪問者只執(zhí)行了被授權(quán)的活動。網(wǎng)絡(luò)的劃分必須將網(wǎng)絡(luò)劃分為不同的區(qū)域，以提供不同級別的安全保護(hù)，滿足不同服務(wù)的安全需求。對于重要的網(wǎng)絡(luò)區(qū)域必須設(shè)置訪問控制以隔離其他網(wǎng)絡(luò)區(qū)域。應(yīng)該使用風(fēng)險(xiǎn)評估來決定每個(gè)區(qū)域的安全級別。公司外部和內(nèi)網(wǎng)之間應(yīng)該建立一個(gè)DMZ。網(wǎng)絡(luò)連接的控制公司以外的網(wǎng)絡(luò)連接，在建立連接前必須對外部的接入環(huán)境進(jìn)行評估，滿足公司管理辦法后才能接入。所有網(wǎng)絡(luò)端口必須進(jìn)行限制，以防止非授權(quán)的電腦接入公司網(wǎng)絡(luò)。限制要求至少應(yīng)包括：1)所有的端口默認(rèn)都是關(guān)閉的，只有在經(jīng)過

51、正式批準(zhǔn)后才能開通；2)端口的關(guān)閉必須在員工離職和崗位變動流程中體現(xiàn)；3)臨時(shí)使用的端口或位置變動，員工必須主動申請停用原有端口，開通新端口前必須先關(guān)閉原有端口。必須將網(wǎng)絡(luò)接口和接入設(shè)備綁定，如果需要更換接入的設(shè)備，必須經(jīng)過部門經(jīng)理的審批。所有接入公司網(wǎng)絡(luò)的主機(jī)必須經(jīng)過公司的標(biāo)準(zhǔn)化安裝。公司必須設(shè)立一個(gè)單獨(dú)的網(wǎng)絡(luò)區(qū)域供非公司標(biāo)準(zhǔn)化安裝的電腦接入，此區(qū)域在網(wǎng)絡(luò)上是完全封閉、獨(dú)立的。網(wǎng)絡(luò)路由的控制路由訪問控制列表必須基于適當(dāng)?shù)脑吹刂泛湍繕?biāo)地址檢查機(jī)制。所有對外提供網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)地址必須進(jìn)行地址轉(zhuǎn)換。所有重要服務(wù)器的管理端口必須通過指定的路徑進(jìn)行訪問。操作系統(tǒng)訪問控制用戶識別和認(rèn)證所有用戶都應(yīng)該被識

52、別和認(rèn)證。在每個(gè)系統(tǒng)上創(chuàng)建實(shí)名用戶，系統(tǒng)登陸必須使用實(shí)名用戶。如果因特殊原因不能使用實(shí)名用戶登陸，必須經(jīng)過安全管理委員會同意。用戶認(rèn)證失敗信息中，應(yīng)該不顯示具體的失敗原因。例如不能顯示“帳號不存在”或“密碼不正確”。如果由于業(yè)務(wù)要求需要使用共享用戶帳號，那么此共享帳號應(yīng)該得到正式的批準(zhǔn)并明文歸檔。系統(tǒng)管理員和應(yīng)用管理員必須使用不同的帳號。所有使用帳號密碼進(jìn)行認(rèn)證的系統(tǒng)，在帳號密碼傳送過程中，應(yīng)該采用加密保護(hù)措施防止泄漏。密碼管理系統(tǒng)系統(tǒng)應(yīng)該強(qiáng)制用戶在第一次成功登錄后修改初始密碼。修改密碼時(shí)，系統(tǒng)必須提示用戶確認(rèn)新密碼，以防止輸入錯(cuò)誤。不能明文顯示輸入的密碼。密碼文件應(yīng)該與應(yīng)用系統(tǒng)數(shù)據(jù)分開存儲。

53、密碼處理時(shí)必須使用單向加密。當(dāng)密碼接近失效期或者已經(jīng)過期時(shí)，系統(tǒng)應(yīng)該提示或強(qiáng)制用戶修改密碼。所有默認(rèn)的密碼都應(yīng)當(dāng)在軟件安裝后立即更改。系統(tǒng)應(yīng)該允許用戶修改自己的密碼。系統(tǒng)的密碼管理辦法必須滿足如下要求：1)密碼長度至少8個(gè)字符；2)啟用密碼復(fù)雜度要求，至少包括大寫字母、小寫字母、數(shù)字、特殊字符中的三種；3)管理員帳號密碼有效期是90天；4)重要系統(tǒng)的用戶帳號密碼有效期是90天；5)非重要系統(tǒng)的普通帳號密碼有效期是180天；6)記錄的歷史密碼次數(shù)不少于5個(gè)；7)帳號密碼驗(yàn)證失敗鎖定閥值是10次；8)帳號被鎖定后必須由管理員解鎖。9)如果因系統(tǒng)自身的功能限制不能滿足上述管理辦法的要求，其設(shè)置的密碼

54、管理辦法必須經(jīng)信息安全管理委員會審核同意。系統(tǒng)工具的使用所有系統(tǒng)工具都應(yīng)當(dāng)被識別，不必要的工具必須從生產(chǎn)系統(tǒng)中刪除。終端超時(shí)終止連接到服務(wù)器的所有終端，在30分鐘內(nèi)沒有活動，都應(yīng)該被終止連接。連接時(shí)間的限制對關(guān)鍵的信息系統(tǒng)（如前置機(jī)、合作伙伴主機(jī)等）提供附加的安全保護(hù)，包括但不限于：1）只允許在之前協(xié)商好的時(shí)間段內(nèi)訪問（如：每天6點(diǎn)6點(diǎn)半）2）只允許在正常的工作時(shí)間內(nèi)訪問（如：每周一至周五9點(diǎn)17點(diǎn)）3）遠(yuǎn)程診斷modem在不使用時(shí)必須處于關(guān)閉狀態(tài)，在使用后必須立即關(guān)閉。應(yīng)用系統(tǒng)訪問控制信息訪問限制應(yīng)用系統(tǒng)應(yīng)該控制用戶的訪問權(quán)限，如讀寫權(quán)限、刪除權(quán)限以及執(zhí)行權(quán)限。必須保證處理敏感信息的應(yīng)用系統(tǒng)

55、僅輸出必需的信息到授權(quán)的終端，同時(shí)應(yīng)對這些輸出功能進(jìn)行定期檢查，保證不存在輸出多余的信息。敏感系統(tǒng)的隔離應(yīng)當(dāng)根據(jù)應(yīng)用系統(tǒng)的敏感程度對系統(tǒng)進(jìn)行適當(dāng)?shù)母綦x保護(hù)，比如：1)運(yùn)行于指定的計(jì)算機(jī)上2)僅與信任的應(yīng)用系統(tǒng)共享資源3）敏感系統(tǒng)的各個(gè)部分都應(yīng)當(dāng)以適當(dāng)?shù)姆绞竭M(jìn)行保護(hù)。移動計(jì)算和遠(yuǎn)程辦公移動計(jì)算移動設(shè)備（包括個(gè)人手持設(shè)備、筆記本電腦）和家庭辦公個(gè)人電腦都應(yīng)該受到保護(hù)以防未授權(quán)訪問。進(jìn)行移動和家庭辦公的員工，應(yīng)該對其使用的設(shè)備做好物理保護(hù)，防止丟失、偷竊和破壞等。存放在移動設(shè)備中的敏感信息必須做好保護(hù)，比如采用加密以防泄漏。移動設(shè)備用戶必須做好防病毒工作。移動設(shè)備中的公司信息應(yīng)該做好備份工作，防止丟

56、失。遠(yuǎn)程辦公必須建立遠(yuǎn)程辦公的使用標(biāo)準(zhǔn)和授權(quán)程序。遠(yuǎn)程辦公的訪問權(quán)限必須基于最小權(quán)限的原則進(jìn)行分配，授權(quán)內(nèi)容應(yīng)該包括：1)允許訪問的系統(tǒng)和服務(wù)2)允許進(jìn)行的工作3)訪問時(shí)段遠(yuǎn)程辦公的訪問控制應(yīng)該采用雙重認(rèn)證的方式。遠(yuǎn)程辦公的信息在傳輸過程中必須加密。員工離職或不再使用遠(yuǎn)程辦公時(shí)，必須取消其相關(guān)的遠(yuǎn)程辦公訪問權(quán)限。必須定期對遠(yuǎn)程辦公實(shí)施審計(jì)和安全監(jiān)控。信息系統(tǒng)采購、開發(fā)和維護(hù)方面系統(tǒng)安全需求系統(tǒng)的安全需求分析與范圍在系統(tǒng)開發(fā)的整個(gè)過程（特別是在系統(tǒng)需求階段）都必須考慮安全需求，包括但不限于：1)系統(tǒng)架構(gòu)2)用戶認(rèn)證3)訪問控制和授權(quán)4)事務(wù)處理的機(jī)密性和完整性5)日志記錄功能6)系統(tǒng)配置7)法律

57、法規(guī)和兼容性要求8)系統(tǒng)恢復(fù)在系統(tǒng)的需求和設(shè)計(jì)階段，需要對系統(tǒng)進(jìn)行安全方面的評審。應(yīng)該在開發(fā)的整個(gè)周期對安全需求實(shí)施的正確性進(jìn)行階段性檢查，以確保其對應(yīng)的安全措施按照要求被定義、設(shè)計(jì)、部署和測試。在使用商業(yè)軟件或軟件包前，必須按照上述安全需求進(jìn)行評估。對于軟件的安全控制要求應(yīng)該在評估之前定義好。軟件必須通過用戶的正式驗(yàn)收后才能投入生產(chǎn)。軟件在正式使用前必須經(jīng)過安全方面的測試，測試內(nèi)容必須包括所有設(shè)計(jì)文檔中的安全要求。為了對用戶的操作進(jìn)行檢查和審計(jì)，系統(tǒng)必須提供日志記錄功能。系統(tǒng)應(yīng)提供只有日志審計(jì)人員可以訪問的用來查看日志記錄的審計(jì)接口。日志文件必須設(shè)置嚴(yán)格的訪問控制，包括系統(tǒng)管理員、日志審核員

58、在內(nèi)所有角色都只能有查看權(quán)限。應(yīng)用系統(tǒng)中的安全數(shù)據(jù)輸入的驗(yàn)證所有接受數(shù)據(jù)輸入的入口必須有相應(yīng)的驗(yàn)證處理，包括但不限于：1)數(shù)據(jù)的長度2)數(shù)據(jù)的類型3)數(shù)據(jù)的范圍4)字符的限制根據(jù)業(yè)務(wù)需要，對于按照紙面信息輸入的數(shù)據(jù)，系統(tǒng)應(yīng)該提供“數(shù)據(jù)在輸入被確認(rèn)”之后才能提交的功能。系統(tǒng)應(yīng)該對錯(cuò)誤的輸入數(shù)據(jù)提供有幫助的提示信息。必須對數(shù)據(jù)輸入驗(yàn)證功能進(jìn)行全面的測試，以保證其正確性和有效性。系統(tǒng)在使用過程中，應(yīng)該明確定義參與數(shù)據(jù)輸入各環(huán)節(jié)所有相關(guān)人員的職責(zé)。內(nèi)部處理的控制應(yīng)用系統(tǒng)的設(shè)計(jì)應(yīng)該考慮以下因素，防止正確輸入的數(shù)據(jù)因錯(cuò)誤處理或人為因素等遭到破壞：1)程序應(yīng)該有處理的校驗(yàn)機(jī)制2)程序應(yīng)該有相應(yīng)的例外處理機(jī)制

59、3)對于有先后執(zhí)行順序的程序或程序模塊，內(nèi)部必須有執(zhí)行順序的限制機(jī)制控制措施的選擇應(yīng)根據(jù)應(yīng)用的性質(zhì)和數(shù)據(jù)受損對業(yè)務(wù)造成的影響而定，可選擇的措施包括但不限于：1)會話或批處理控制措施，在事務(wù)更新后協(xié)調(diào)相關(guān)數(shù)據(jù)文件的一致性2)驗(yàn)證系統(tǒng)生成數(shù)據(jù)的正確性3)檢查數(shù)據(jù)完整性，特別是在計(jì)算機(jī)之間傳輸?shù)臄?shù)據(jù)4)計(jì)算記錄和文件的哈希值以便驗(yàn)證5)確保程序以正確的順序運(yùn)行，在出現(xiàn)故障時(shí)終止，在問題解決前暫停處理消息驗(yàn)證對需要確保消息內(nèi)容完整性的應(yīng)用（例如電子交易）應(yīng)該使用消息驗(yàn)證。在采用消息驗(yàn)證之前，應(yīng)該通過安全風(fēng)險(xiǎn)評估，以確定其是否能滿足需要或采取其他更適合的解決方式。數(shù)據(jù)輸出的驗(yàn)證應(yīng)該使用檢查輸出數(shù)據(jù)合理性

60、的機(jī)制。應(yīng)該使用確保數(shù)據(jù)被全部處理的機(jī)制。輸出的數(shù)據(jù)應(yīng)該含有相關(guān)標(biāo)志，以便判斷數(shù)據(jù)的狀態(tài)（例如是否準(zhǔn)確、是否完整等）。必須對數(shù)據(jù)輸出驗(yàn)證功能進(jìn)行全面的測試，以保證其正確性和有效性。系統(tǒng)在使用過程中，應(yīng)該明確定義參與數(shù)據(jù)輸出各環(huán)節(jié)所有相關(guān)人員的職責(zé)。加密控制加密的使用管理辦法敏感信息應(yīng)該根據(jù)信息分類的要求采用加密措施進(jìn)行保護(hù)。加密措施的采用不但要考慮到信息存儲，也應(yīng)該考慮到信息傳輸?shù)囊?。?yīng)該使用被公司認(rèn)可的標(biāo)準(zhǔn)加密算法。未經(jīng)安全管理委員會的同意，用戶不能安裝任何未經(jīng)授權(quán)的加密軟件。加密算法應(yīng)該根據(jù)算法強(qiáng)度和密鑰長度進(jìn)行選擇，以符合信息保護(hù)的要求。數(shù)字簽名的使用必須符合國家電子簽名法的相關(guān)規(guī)定。