信息安全政策方針案例

1、 .DOC資料. .DOC資料. 廣州xxx信息安全政策方針歷史版本編寫、批準(zhǔn)、發(fā)布信息記錄表版本號創(chuàng)建人/創(chuàng)建日期批準(zhǔn)人/批準(zhǔn)日期生效日期V1.0/文檔修改記錄序號修改章節(jié)文件更改通知單編號修改日期修改人批準(zhǔn)人目 錄 TOC o 1-3 h z HYPERLINK l _Toc246224813 第1章 基本方針 PAGEREF _Toc246224813 h 4 HYPERLINK l _Toc246224814 第2章 對策方針 PAGEREF _Toc246224814 h 7 HYPERLINK l _Toc246224815 第1節(jié)信息安全管理體制 PAGEREF _Toc2462

2、24815 h 7 HYPERLINK l _Toc246224816 第2節(jié)信息資產(chǎn)的保護(hù)對策 PAGEREF _Toc246224816 h 8 HYPERLINK l _Toc246224817 第3節(jié)信息的管理 PAGEREF _Toc246224817 h 12 HYPERLINK l _Toc246224818 第4節(jié)信息設(shè)備、媒體的管理 PAGEREF _Toc246224818 h 14 HYPERLINK l _Toc246224819 第5節(jié)個(gè)人信息的管理 PAGEREF _Toc246224819 h 16 HYPERLINK l _Toc246224820 第6節(jié)信息系

3、統(tǒng)的使用人員管理 PAGEREF _Toc246224820 h 17 HYPERLINK l _Toc246224821 第7節(jié)訪問控制 PAGEREF _Toc246224821 h 19 HYPERLINK l _Toc246224822 第8節(jié)系統(tǒng)管理員特權(quán) PAGEREF _Toc246224822 h 20 HYPERLINK l _Toc246224823 第9節(jié)系統(tǒng)操作記錄 PAGEREF _Toc246224823 h 20 HYPERLINK l _Toc246224824 第10節(jié)可用性對策 PAGEREF _Toc246224824 h 21 HYPERLINK l _

4、Toc246224825 第11節(jié)網(wǎng)絡(luò)安全 PAGEREF _Toc246224825 h 22 HYPERLINK l _Toc246224826 第12節(jié)互聯(lián)網(wǎng)和電子郵件的利用 PAGEREF _Toc246224826 h 24 HYPERLINK l _Toc246224827 第13節(jié)計(jì)算機(jī)病毒對策 PAGEREF _Toc246224827 h 25 HYPERLINK l _Toc246224828 第14節(jié)安全漏洞對策 PAGEREF _Toc246224828 h 26 HYPERLINK l _Toc246224829 第15節(jié)軟件的管理 PAGEREF _Toc24622

5、4829 h 28 HYPERLINK l _Toc246224830 第16節(jié)本單位信息系統(tǒng)的構(gòu)筑、運(yùn)用 PAGEREF _Toc246224830 h 28 HYPERLINK l _Toc246224831 第17節(jié)設(shè)備對策 PAGEREF _Toc246224831 h 30 HYPERLINK l _Toc246224832 第18節(jié)發(fā)生侵害信息安全時(shí)的對應(yīng) PAGEREF _Toc246224832 h 30 HYPERLINK l _Toc246224833 第19節(jié)外包管理 PAGEREF _Toc246224833 h 32 HYPERLINK l _Toc246224834

6、 第20節(jié)單位成員就職、辭職和人事變動(dòng)時(shí)的措施 PAGEREF _Toc246224834 h 32 HYPERLINK l _Toc246224835 第21節(jié)信息安全的維持活動(dòng) PAGEREF _Toc246224835 h 34 HYPERLINK l _Toc246224836 各種細(xì)則 PAGEREF _Toc246224836 h 35基本方針（目的）本信息安全政策之“基本方針”以及“對策方針”（以下稱“本政策”）闡明了廣州xxx（以下稱“本單位”）對信息資產(chǎn)管理和信息安全的觀點(diǎn)，是針對信息安全對策的方針而制定的，以實(shí)現(xiàn)下述事項(xiàng)為目的。保護(hù)客戶以及本單位的知識產(chǎn)權(quán)（包括機(jī)密信息和私

7、人信息）明確應(yīng)該保護(hù)的信息資產(chǎn)以及對策與信息安全相關(guān)的風(fēng)險(xiǎn)管理以及安全等級的維持、均一化統(tǒng)一采取信息安全對策方面的判斷標(biāo)準(zhǔn)提高單位成員對信息安全的意識 有法必依，照章行事（構(gòu)成）本政策由規(guī)定本單位信息安全方面的基本且一般性方向的“基本方針”以及按各條款規(guī)定具體性事項(xiàng)以及指標(biāo)的“對策方針”構(gòu)成?！皩Σ叻结槨笔潜締挝辉谛畔踩矫姹仨毷┬袑Σ叩臈l款中，所應(yīng)該施行事項(xiàng)或者應(yīng)該達(dá)到最低水平的指標(biāo)，是基于以下構(gòu)想而制定的。從機(jī)密性、正確性、可用性的觀點(diǎn)出發(fā)對信息資產(chǎn)的重要程度設(shè)立各個(gè)條款，將其分別設(shè)定為與上述重要程度相應(yīng)的條款或指標(biāo)。 對于信息資產(chǎn)的訪問權(quán)（含瀏覽、更改、程序的起動(dòng)）僅根據(jù)業(yè)務(wù)需要授權(quán)。

8、信息安全管理中，極力避免人員管理內(nèi)容，積極采用信息技術(shù)，有組織地提高信息安全對策的可靠性為宗旨。（適用人員以及適用業(yè)務(wù)）本政策適用于就職于本單位的所有雇員及派遣員工。外包對象，也必須遵守本政策。本政策中所提及的“外包對象”指：合作單位及其員工合同工（臨時(shí)工等）服務(wù)供應(yīng)商及其員工（信息資產(chǎn)的對象）本政策信息資產(chǎn)對象包含各種文檔以及數(shù)據(jù)等本單位的所有信息，此外還包括軟硬件以及各種數(shù)據(jù)文件等信息技術(shù)性信息資產(chǎn)。 （經(jīng)營職責(zé)）信息安全主管領(lǐng)導(dǎo)要在理解本政策宗旨以及內(nèi)容的基礎(chǔ)上，給予足夠的重視，在遵守其規(guī)定的同時(shí)，還要按照本政策采取與信息安全有關(guān)的對策措施。 信息安全主管領(lǐng)導(dǎo)要努力確保本政策所規(guī)定的條款

9、穩(wěn)定，不要隨意變更，此外，當(dāng)本政策所規(guī)定的條款存在不符合客觀實(shí)際情況等不妥善之處時(shí)，要爭取及時(shí)將其予以妥善修改。 信息安全主管領(lǐng)導(dǎo)要率先推進(jìn)乃至實(shí)行基于本政策的信息安全對策。（單位成員的職責(zé)）全體單位成員要在理解本政策的宗旨及內(nèi)容的基礎(chǔ)上給予足夠的重視，遵守其規(guī)定。全體單位成員要努力加深對信息安全的認(rèn)識和理解。（信息安全管理組織）為了進(jìn)行信息安全對策的起草提案以及維持管理，設(shè)置信息安全委員會(huì)（SM委員會(huì)），由信息安全主管領(lǐng)導(dǎo)指名任命信息安全委員會(huì)委員長（SM委員長）。 各項(xiàng)目或各部的負(fù)責(zé)人（項(xiàng)目負(fù)責(zé)人、部長）要對各項(xiàng)目或各部遵守本政策以及有關(guān)規(guī)程進(jìn)行管理，同時(shí)還要實(shí)施和審核信息安全對策。實(shí)施時(shí)

10、，要指定各項(xiàng)目以及各部的信息安全主管（SM）。被指定的信息安全主管（SM）以信息安全委員會(huì)（SM委員會(huì)）的一員從事活動(dòng)。 組織體系依據(jù)本政策末尾所記載的信息安全管理組織圖設(shè)立。（遵守法令等）除本政策以及有關(guān)規(guī)程外，當(dāng)法令、行政機(jī)構(gòu)、本行業(yè)團(tuán)體制定有關(guān)信息安全的指針中有與本單位的指針一致的話，必須遵守。 對策方針信息安全管理體制（信息安全委員會(huì)委員長（SM委員長）信息安全委員會(huì)委員長（SM委員長）負(fù)責(zé)指揮、監(jiān)督信息安全對策的實(shí)施、維持。 信息安全委員會(huì)委員長（SM委員長）設(shè)置信息安全委員會(huì)，指揮信息安全對策的實(shí)施。 信息安全委員會(huì)委員長（SM委員長）向總經(jīng)理報(bào)告全單位的信息安全對策的實(shí)施情況。（

11、信息安全委員會(huì)（SM委員會(huì)）信息安全委員會(huì)（SM委員會(huì)）由信息安全委員會(huì)委員長（SM委員長）設(shè)置，主管全單位信息安全對策推進(jìn)、維持管理有關(guān)業(yè)務(wù)，執(zhí)行信息安全有關(guān)業(yè)務(wù)的具體業(yè)務(wù)。 信息安全委員會(huì)（SM委員會(huì)）是各個(gè)項(xiàng)目和各部申報(bào)、申請、出現(xiàn)緊急情況時(shí)報(bào)告的主管部署，在單位內(nèi)起橫向管理的作用。 信息安全委員會(huì)（SM委員會(huì)）向主管領(lǐng)導(dǎo)報(bào)告全單位信息安全對策的實(shí)施情況。但重要事項(xiàng)要向信息安全委員會(huì)提出提案。從信息安全委員會(huì)中選拔出以下負(fù)責(zé)人。各個(gè)負(fù)責(zé)人的作用如下：設(shè)施管理人員對接受委托的開發(fā)環(huán)境等辦公場所和服務(wù)器機(jī)房的出入進(jìn)行管理。 網(wǎng)絡(luò)管理人員與網(wǎng)絡(luò)整體有關(guān)的管理。電腦、服務(wù)器管理人員電腦和服務(wù)器安

12、全對策的管理、設(shè)備管理。數(shù)據(jù)管理人員測試數(shù)據(jù)和正式數(shù)據(jù)（書面、電子數(shù)據(jù)）的拿入和拿出、保管和復(fù)制、廢棄、備份制作、開發(fā)文檔類的管理。 （各個(gè)項(xiàng)目和各部的信息安全管理）各個(gè)項(xiàng)目和各部的項(xiàng)目負(fù)責(zé)人、部長作為各個(gè)項(xiàng)目和各部的信息安全對策負(fù)責(zé)人，實(shí)施信息安全對策的貫徹普及、維持管理。 各個(gè)項(xiàng)目和各部的項(xiàng)目負(fù)責(zé)人、部長向信息安全委員會(huì)（SM委員會(huì)）報(bào)告各項(xiàng)目和各部信息安全對策的實(shí)施情況。 各個(gè)項(xiàng)目和各部的項(xiàng)目負(fù)責(zé)人、部長為了在各項(xiàng)目或部內(nèi)貫徹信息安全對策，可以指定信息安全主管（SM）。 信息安全主管（SM）對項(xiàng)目或部內(nèi)的信息安全對策實(shí)施提供支持，向項(xiàng)目負(fù)責(zé)人以及部長報(bào)告其實(shí)施情況。 （教育負(fù)責(zé)部署）教育

13、負(fù)責(zé)部署的任務(wù)是為提高單位成員的安全意識，徹底貫徹落實(shí)本政策，開展教育計(jì)劃的規(guī)劃、起草、實(shí)施。（其他組織部門）構(gòu)筑可與客戶、服務(wù)提供商、信息安全專業(yè)機(jī)構(gòu)等保持適當(dāng)聯(lián)系的信息安全有關(guān)體制。信息資產(chǎn)的保護(hù)對策（對來自單位外部組織信息的接收限制）除業(yè)務(wù)需要外，不擅自從客戶或交易對方等單位外部組織獲取重要信息。（根據(jù)重要度管理）對于本單位擁有的全部重要信息資產(chǎn)根據(jù)其重要度采取相應(yīng)的管理和對策。（重要度的定義）信息的重要度從機(jī)密性（Confidentiality）完整性（Integrity）可用性（Availability）的觀點(diǎn)來確定。此外，還規(guī)定：所謂機(jī)密性是指信息的隱匿性，只有正當(dāng)?shù)臋?quán)限人員才能參

14、閱信息；所謂完整性是指信息正確且具有整合性，信息之間不存在矛盾；所謂可用性是指信息以及信息系統(tǒng)在需要時(shí)隨時(shí)可以提供。其各個(gè)等級定義如下：保護(hù)信息資產(chǎn)的觀點(diǎn)等級定義機(jī)密性（Confidentiality）(非公開)4當(dāng)開示或泄漏給無瀏覽權(quán)限的人時(shí)，會(huì)極大地?fù)p害來自客戶的信賴，給本單位的經(jīng)營帶來巨大損害的信息，包括以下內(nèi)容：- 客戶編制的開發(fā)規(guī)章類、規(guī)格書、設(shè)計(jì)書、操作手冊- 客戶編制的程序源、軟件（提高開發(fā)效率的工具等）- 客戶系統(tǒng)環(huán)境相關(guān)信息（網(wǎng)絡(luò)構(gòu)成圖等）- 客戶（系統(tǒng)）辦理的機(jī)密信息（含個(gè)人信息）- 客戶企業(yè)的職工信息- 與客戶企業(yè)的業(yè)務(wù)有關(guān)的現(xiàn)在或者未來的計(jì)劃、方針- 含有由客戶提供的技

15、術(shù)或?qū)I(yè)技能的信息 3當(dāng)開示或泄漏給無瀏覽權(quán)限的人員時(shí)，有可能給本單位的經(jīng)營造成損害的信息，包括以下內(nèi)容： - 外包單位職工的信息（含各個(gè)職工的技能信息）- 與本單位經(jīng)營戰(zhàn)略有關(guān)的信息- 本單位的財(cái)務(wù)、人事信息（含職工的評價(jià)信息）- 與本單位系統(tǒng)有關(guān)的信息（含程序源、文檔、測試數(shù)據(jù)等）21、3、4以外的信息(公開)1已經(jīng)一般公開的信息保護(hù)信息資產(chǎn)的觀點(diǎn)等級定義完整性（Integrity）3當(dāng)信息被不當(dāng)篡改或者與實(shí)際不符時(shí)，會(huì)給本單位的經(jīng)營造成巨大損害的信息或者原本性高的信息，包括以下內(nèi)容：- 接受客戶委托的業(yè)務(wù)而編制的程序源- 接受客戶委托的業(yè)務(wù)而編制的規(guī)格書、設(shè)計(jì)書、操作手冊- 關(guān)于客戶企業(yè)

16、與本單位之間關(guān)系的信息（接受委托和委托關(guān)系、名稱、內(nèi)容）- 與本單位經(jīng)營戰(zhàn)略有關(guān)的信息- 本單位的財(cái)務(wù)、人事信息（含職工的評價(jià)信息）- 本單位系統(tǒng)有關(guān)的信息（含程序源、文檔、測試數(shù)據(jù)等）2當(dāng)信息被不當(dāng)篡改或者與實(shí)際不符時(shí)，有可能給本單位的經(jīng)營造成損害的信息，包括以下的內(nèi)容：- 外包單位職工信息（含各個(gè)職工的技能信息）12、3以外的信息保護(hù)信息資產(chǎn)的觀點(diǎn)等級定義可用性（Availability）3當(dāng)無法使用時(shí)，會(huì)給本單位的經(jīng)營或者客戶造成巨大損害，因此要求隨時(shí)可以使用的信息以及信息系統(tǒng)。2當(dāng)無法使用時(shí)，會(huì)給本單位造成損害，但允許在一定時(shí)間內(nèi)處于不能使用狀態(tài)的信息以及信息系統(tǒng)，包括以下內(nèi)容：- 電

17、子郵件系統(tǒng)- 客戶系統(tǒng)開發(fā)用服務(wù)器- 文件共享服務(wù)器（源程序和文檔管理用服務(wù)器）12、3以外的信息以及信息系統(tǒng)（重要度的分類）徹底清查本單位所擁有的全部重要信息資產(chǎn)，編制出目錄，根據(jù)重要度的定義進(jìn)行重要度分類。（重要度的指定和維持管理）對信息的重要度，要適時(shí)進(jìn)行重審。此外，當(dāng)對信息的重要度進(jìn)行變更時(shí)，要告知全體有關(guān)人員。 信息的管理（貼標(biāo)簽）當(dāng)發(fā)布含有重要度高（等級2、3、4）的信息文書、可攜帶媒體（軟磁盤、磁帶、CD-ROM等）時(shí)，要根據(jù)其機(jī)密度貼上適當(dāng)?shù)臉?biāo)簽。（保 管）信息資產(chǎn)的保管要確定管理負(fù)責(zé)人，根據(jù)其重要度確定保管場所、有效期限（保管期限）、保管方法、保管媒體。特別是法定帳票或?qū)κ聵I(yè)

18、維續(xù)不可缺少的信息、作為組織進(jìn)行的記錄、客戶寄存的信息資產(chǎn)要嚴(yán)加保護(hù)，避免出現(xiàn)丟失/消失、損壞以及篡改等危險(xiǎn)。此外，對于客戶寄存的信息不要用于其目的以外的用途。非公開信息不要放任不管，要進(jìn)行適當(dāng)?shù)墓芾?，做到不使其輕易地就能閱讀到。機(jī)密文件不要放在辦公桌上（鎖入柜子后回家）。離開位子時(shí)，應(yīng)鎖定計(jì)算機(jī)，不要讓重要數(shù)據(jù)顯示在屏幕上，并且使用帶密碼的屏保。（復(fù)制、分發(fā)）復(fù)制以及分發(fā)（包括從系統(tǒng)中下載）要控制在業(yè)務(wù)所需的最小限度范圍內(nèi)。復(fù)制、分發(fā)客戶寄存的信息資產(chǎn)時(shí)，原則上要事先征得客戶的許可。通過電子郵件的發(fā)送或經(jīng)由互聯(lián)網(wǎng)的文件傳送同樣如此。原則上嚴(yán)禁將重要信息帶到單位外。因業(yè)務(wù)需要不得不帶出時(shí)，要取

19、得所屬項(xiàng)目的項(xiàng)目負(fù)責(zé)人或所屬部署負(fù)責(zé)人的同意。復(fù)制、分發(fā)重要信息時(shí),要記錄管理所分發(fā)的范圍。關(guān)于客戶寄存的信息資產(chǎn)，未經(jīng)客戶許可，嚴(yán)禁將其帶出客戶許可保管以外的場所。（授受）由于業(yè)務(wù)上的需要與單位外組織進(jìn)行信息授受時(shí)，要采取適當(dāng)?shù)谋Ｗo(hù)措施。 （對交易對方明示）向交易對方或單位外組織明示信息時(shí)，要根據(jù)內(nèi)容的重要度對明示范圍、明示對象單位、明示期間、明示理由、明示狀況等進(jìn)行妥善管理。（對公眾的公開）向大眾媒體、大眾的問詢公開提供本單位的信息時(shí)，要向總經(jīng)理以及管理該信息的項(xiàng)目或者部署申報(bào)公開范圍、公開對象、公開期限、公開理由等并取得同意。此外，公開與有關(guān)客戶的信息時(shí)，要事先征得客戶的同意。 總經(jīng)理以

20、及信息安全委員會(huì)（SM委員會(huì)）要充分掌握公開狀況。公開信息時(shí)，要采取妥善的保護(hù)措施，避免被篡改等風(fēng)險(xiǎn)。（向官方機(jī)構(gòu)的明示）當(dāng)收到官方機(jī)構(gòu)等明示信息的要求時(shí)，要確認(rèn)其根據(jù)的正當(dāng)性，對其妥當(dāng)性進(jìn)行判斷后方予以明示。（由單位進(jìn)行的信息閱覽）信息安全委員會(huì)委員長（SM委員長）認(rèn)為有必要時(shí)，對單位內(nèi)擁有的信息可以無事先通告進(jìn)行閱覽。 但閱覽信息時(shí)，在注意隱私的同時(shí)，嚴(yán)禁用于閱讀以外的用途。（返還）客戶寄存的信息資產(chǎn)原則上要返還。此外，該信息資產(chǎn)的管理負(fù)責(zé)人要確認(rèn)已返還給客戶，并就此與客戶聯(lián)系。（廢棄）當(dāng)廢棄信息設(shè)備、媒體、紙張等時(shí)，要徹底抹消重要的數(shù)據(jù)或者被授予使用許可的軟件等，或者進(jìn)行粉碎處理、設(shè)備的

21、粉碎等，使其變成難以讀取的狀態(tài)。（保密）與機(jī)密信息管理有關(guān)的詳細(xì)步驟另行在保密規(guī)則中規(guī)定。要根據(jù)該規(guī)則妥善管理與業(yè)務(wù)有關(guān)的信息。信息設(shè)備、媒體的管理（管理負(fù)責(zé)人）要明確信息設(shè)備的管理責(zé)任人，采取妥善的保護(hù)措施。（登記管理）關(guān)于信息設(shè)備，要對資產(chǎn)管理編號（或者租賃合同編號等）、引進(jìn)日、設(shè)置場所、負(fù)責(zé)人員等進(jìn)行底帳管理。（設(shè)置情況的監(jiān)查）要定期監(jiān)查信息設(shè)備是否有丟失或者是否設(shè)置有非法的信息設(shè)備（調(diào)制解調(diào)器等）。 （設(shè)備的新追加、增設(shè)）當(dāng)新追加或者增設(shè)信息設(shè)備時(shí)，要向信息安全委員會(huì)（SM委員會(huì)）報(bào)備。（向第三者的出借/返還）信息設(shè)備原則上不出借。當(dāng)業(yè)務(wù)上需要時(shí)，要向信息安全委員會(huì)（SM委員會(huì)）申報(bào)借

22、出對方、借出對方負(fù)責(zé)人（主管人）、借出方負(fù)責(zé)人（主管人）、期限、理由、目的等并取得批準(zhǔn)。 （移送）當(dāng)在網(wǎng)點(diǎn)之間移送收納有重要信息（定義之例：任何一個(gè)CIA即便只有一個(gè)也屬于1級）的信息設(shè)備或媒體時(shí)，要針對丟失、被盜、偷窺等采取妥善的保護(hù)措施。（設(shè)備的搬入/搬出）原則上嚴(yán)禁將信息設(shè)備搬入/搬出（包括可以存儲(chǔ)信息的手機(jī)或便攜式終端）。出于業(yè)務(wù)需要必須要搬入/搬出時(shí)，要向項(xiàng)目負(fù)責(zé)人、部長申報(bào)理由、信息設(shè)備名稱等并取得批準(zhǔn)。此外，在軟件接受委托開發(fā)業(yè)務(wù)的環(huán)境下，原則上未經(jīng)客戶許可嚴(yán)禁將信息設(shè)備搬入/搬出，不過因業(yè)務(wù)需要必須搬入時(shí)，要向項(xiàng)目負(fù)責(zé)人、部長申報(bào)并取得批準(zhǔn)。 (1) 設(shè)備的搬出當(dāng)要將保存有重要

23、信息（任何一個(gè)CIA即便只有一個(gè)也是3級以上）的設(shè)備搬出時(shí)，必須施行用戶ID密碼認(rèn)證以及硬盤等外存裝置的加密，而且還要采取妥善的信息保護(hù)措施。 在電車內(nèi)等公共場所中，要時(shí)刻注意周圍的情況，防止被偷窺。當(dāng)不攜帶或者不使用時(shí)，要存放在筆記本電腦存放架（設(shè)置在規(guī)定場所）上，搬出時(shí)要在搬出管理簿上進(jìn)行搬出登記。 (2) 設(shè)備的搬入搬入設(shè)備時(shí)，在接入單位內(nèi)網(wǎng)絡(luò)之前，先通過更新病毒碼文件或者補(bǔ)丁文件適用后的防毒軟件殺毒，確認(rèn)安全后再行接入。 （明確運(yùn)用規(guī)則）關(guān)于共用的信息設(shè)備（含服務(wù)器），要規(guī)定明確的運(yùn)用規(guī)則，進(jìn)行妥善的保養(yǎng)管理。此外，要記錄運(yùn)用的作業(yè)履歷。（修理和保養(yǎng)）進(jìn)行信息設(shè)備的修理時(shí)，要通過信息安

24、全委員會(huì)（SM委員會(huì)）規(guī)定的管理部門/主管人員施行。 當(dāng)因修理而需要搬運(yùn)時(shí)，要采取妥善的管理辦法（數(shù)據(jù)的刪除、抹消、蓋寫）。當(dāng)修理后返還時(shí)，要確認(rèn)是否存在故障、是否有信息欠缺、是否被裝入非法程序（包括病毒）。 個(gè)人信息的管理（收集）只對業(yè)務(wù)上必需的最小限度的信息通過合法且公正的方法進(jìn)行收集，原則上在向本人說明使用目的后征得同意之后再行收集。 （使用）嚴(yán)禁用于收集時(shí)之目的以外的用途。（明示、修改、刪除）個(gè)人信息的本人要求對自己的個(gè)人信息進(jìn)行明示、修改、刪除和停止利用時(shí)，在進(jìn)行嚴(yán)格的本人確認(rèn)后盡快予以施行。（對外委托）當(dāng)將與個(gè)人信息有關(guān)的處理對外委托時(shí)，要求施行與在本單位內(nèi)同等程度的管理。 （接受

25、外部的委托）當(dāng)接受外部委托進(jìn)行有關(guān)個(gè)人信息的處理時(shí)，要遵守委托方的個(gè)人信息管理準(zhǔn)則。 信息系統(tǒng)的使用人員管理（信息系統(tǒng)的使用原則）本單位向單位成員提供的信息系統(tǒng)（計(jì)算機(jī)、網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)等）原則上應(yīng)以業(yè)務(wù)目的使用。（使用人員認(rèn)證）訪問本單位信息系統(tǒng)時(shí)，要根據(jù)重要度編入適當(dāng)?shù)氖褂谜哒J(rèn)證體制。 （ID管理）用戶ID必須給每個(gè)使用者分配一個(gè)ID，嚴(yán)禁共用ID。有必要設(shè)定業(yè)務(wù)代理時(shí)，重新發(fā)行代理人使用的ID，并對其賦予權(quán)限。但是，統(tǒng)籌部署（管理該系統(tǒng)有關(guān)安全方面的部署）批準(zhǔn)的情形不在此限。被賦予ID的人員要在被認(rèn)可的權(quán)限范圍內(nèi)使用，妥善地進(jìn)行管理。被賦予ID的人員要在被認(rèn)可的權(quán)限范圍內(nèi)進(jìn)行使用，對用自己

26、的ID進(jìn)行的全部操作負(fù)有責(zé)任，不得將ID借給他人。 用戶ID的發(fā)行必須按照信息安全委員會(huì)（SM委員會(huì)）批準(zhǔn)的正式登記步驟進(jìn)行管理。此外，對于ID發(fā)行的情況要進(jìn)行底帳管理。 因退職等原因而不再使用的ID要盡快停止其利用。此外，長時(shí)間不使用的ID要暫時(shí)停止或者停止其利用。ID（含管理員ID）要定期地（或者隨時(shí)地）重審，核查是否存在業(yè)務(wù)上不必要的ID。（密碼管理）要對密碼的定期變更、使用難以推測的文字列、強(qiáng)制變更初始密碼、限制再次使用過去使用過的密碼、禁止使用密碼保存功能等進(jìn)行徹底地密碼管理。 不要將密碼書寫在紙上張貼，或者把密碼告訴他人。輸入密碼時(shí)，務(wù)必由本人輸入。在設(shè)置密碼時(shí)，不能使用可以從名字

27、等個(gè)人信息中破解出的密碼，或者英語單詞等。密碼應(yīng)為字母數(shù)字組合、大小寫組合，長度為8位以上，且每兩個(gè)月必須更新。訪問控制（訪問控制）訪問權(quán)限要限定在業(yè)務(wù)需要范圍（閱覽、更新、執(zhí)行、刪除、生成、連接時(shí)間等）內(nèi)。 訪問權(quán)限的設(shè)定要按照信息安全委員會(huì)（SM委員會(huì)）批準(zhǔn)的正式設(shè)定步驟進(jìn)行管理。此外，針對權(quán)限賦予的情況要進(jìn)行底帳管理。 訪問權(quán)限（包括管理員特權(quán)）要定期地（或者隨時(shí)地）進(jìn)行重審，核查是否授予了業(yè)務(wù)上不必要的訪問權(quán)限。（離開座位時(shí)以及無人終端的保護(hù)）離開座位時(shí)或者為無人終端（服務(wù)器控制臺等）時(shí)，要注銷或者鎖定畫面。要設(shè)定在一定時(shí)間內(nèi)沒有訪問時(shí)，或者自動(dòng)注銷，或者需要再次認(rèn)證的機(jī)制（帶密碼的屏

28、幕保護(hù)程序等）。系統(tǒng)管理員特權(quán)（系統(tǒng)管理員特權(quán)）管理員特權(quán)的發(fā)行由信息安全委員會(huì)（SM委員會(huì)）進(jìn)行全權(quán)管理。因人事變動(dòng)等原因而進(jìn)行管理員特權(quán)交接時(shí)，要變更ID或者密碼。 將具有管理員特權(quán)的ID、密碼發(fā)行給單位外部的人員時(shí)，要以書面形式明示所許可的行為，對于保密以及禁止超越委托業(yè)務(wù)范圍的行為以及禁止泄露密碼要讓其提交誓約書。此外，在緊急情況下需要發(fā)行管理員特權(quán)時(shí)，在信息安全委員會(huì)（SM委員會(huì)）批準(zhǔn)的基礎(chǔ)上，限于在必要的期間內(nèi)發(fā)行暫用ID、密碼，或者設(shè)定臨時(shí)性的管理員特權(quán)。系統(tǒng)操作記錄（獲取日志的目的和必要性）為了迅速查明系統(tǒng)故障或者違章操作等原因，要對信息系統(tǒng)的利用人員、時(shí)間、利用內(nèi)容獲取相應(yīng)的

29、日志。（獲取日志的項(xiàng)目）要根據(jù)信息的重要度以及系統(tǒng)環(huán)境（網(wǎng)絡(luò)環(huán)境和物理性環(huán)境等）相應(yīng)地確定獲取日志的項(xiàng)目。 關(guān)于重要信息（機(jī)密等級4）的日志，原則上要獲取針對參閱、新建立、修改、刪除、打印操作成功以及失敗的日志。 關(guān)于重要信息（機(jī)密等級32）的日志，原則上要獲取參閱成功的日志。根據(jù)信息安全委員會(huì)（SM委員會(huì)）的判斷，根據(jù)需要對上述以外的信息也要獲取日志。 要獲取的日志作為可以與誘發(fā)該事象的使用者進(jìn)行對應(yīng)的內(nèi)容。（日志的保管與管理）獲取的日志數(shù)據(jù)要根據(jù)信息的重要度以及系統(tǒng)環(huán)境（網(wǎng)絡(luò)環(huán)境或物理性環(huán)境等），在適當(dāng)?shù)拿襟w（離線媒體等）上保管、管理適當(dāng)?shù)闹芷冢ㄖ辽?個(gè)月以上）。獲取的日志最好保存在離線媒

30、體上。此外，與重要度高的信息（任一個(gè)CIA即便只有一個(gè)也為3級以上）有關(guān)的日志，最好收納在不能寫入的媒體（CD-R等）上。為了確保日志數(shù)據(jù)解析的容易度以及證跡性，獲取日志對象系統(tǒng)的時(shí)間要全部同步。（日志的監(jiān)查）信息安全委員會(huì)（SM委員會(huì)）要定期地對獲取的日志數(shù)據(jù)進(jìn)行監(jiān)查，調(diào)查是否存在違章操作。（日志的管理）日志數(shù)據(jù)要按信息資產(chǎn)對待，根據(jù)本政策采取妥善的對策?？捎眯詫Σ撸ňW(wǎng)絡(luò)構(gòu)成和運(yùn)用時(shí)的可用性對策）新構(gòu)筑、變更網(wǎng)絡(luò)時(shí)，在設(shè)計(jì)階段要對所設(shè)想到的高峰需求時(shí)的網(wǎng)絡(luò)性能必要條件進(jìn)行設(shè)定。 為了業(yè)務(wù)服務(wù)的穩(wěn)定運(yùn)行以及早期發(fā)現(xiàn)故障，要根據(jù)重要度采用運(yùn)用狀態(tài)自動(dòng)監(jiān)視系統(tǒng)。 （冗長構(gòu)成）要根據(jù)可用性的重要度，

31、采取冗長構(gòu)成、使障礙極小化構(gòu)成、代替方法等對策。對于重要信息（可用性等級3）的信息資產(chǎn)，采用使障礙極小化構(gòu)成（設(shè)備的雙重化等）關(guān)于重要信息（可用性等級2）的信息資產(chǎn)，采取進(jìn)行在線備份或者代替機(jī)的冷備份等可以迅速準(zhǔn)備代替方法的措施。 關(guān)于重要信息（可用性等級1）的信息資產(chǎn)，采取進(jìn)行離線備份等可以恢復(fù)到必要狀態(tài)的措施。（備份的獲?。χ匾畔⒁ㄆ讷@取備份。此外，進(jìn)行備份的信息要根據(jù)信息的重要度進(jìn)行妥善地保護(hù)。備份要根據(jù)構(gòu)成對象的信息的重要度確定時(shí)機(jī)、保管世代數(shù)、方法、保管期限、保管場所。（備份媒體的保管）備份媒體含有重要信息時(shí)，要保管在可以上鎖的場所等，進(jìn)行嚴(yán)格的管理。（保養(yǎng)和維護(hù)）當(dāng)要求高度的

32、可用性（3級）時(shí)，要根據(jù)容許停止時(shí)間，簽定設(shè)備、軟件的保養(yǎng)、維護(hù)合同。網(wǎng)絡(luò)安全（單位內(nèi)網(wǎng)絡(luò)的管理）對每個(gè)網(wǎng)絡(luò)設(shè)定必要的安全等級，不同等級的網(wǎng)絡(luò)彼此連接時(shí)，要根據(jù)需要設(shè)置防火墻，將通信控制在只容許必要最小限度的通信內(nèi)。尤其是在接受委托進(jìn)行軟件開發(fā)業(yè)務(wù)的開發(fā)環(huán)境中，原則上客戶的不同項(xiàng)目要采用分隔網(wǎng)絡(luò)環(huán)境的獨(dú)立LAN構(gòu)筑，嚴(yán)禁訪問與客戶達(dá)成協(xié)議以外的網(wǎng)絡(luò)環(huán)境。 遠(yuǎn)程訪問本單位的單位內(nèi)網(wǎng)絡(luò)時(shí)，要使用嚴(yán)格的認(rèn)證方法（一次性密碼、呼叫回復(fù)、虛擬專用網(wǎng)絡(luò)等），必要時(shí)采用每次插入調(diào)制解調(diào)器電源等方式，徹底落實(shí)訪問管理。 （與單位外組織之間的網(wǎng)絡(luò)連接）將本單位的網(wǎng)絡(luò)與單位外的網(wǎng)絡(luò)連接時(shí)（包括撥號連接），僅限于信

33、息安全委員會(huì)（SM委員會(huì)）判斷為業(yè)務(wù)上需要的情況。將本單位的網(wǎng)絡(luò)與單位外的網(wǎng)絡(luò)連接時(shí)，尤其是與不特定多數(shù)連接的互聯(lián)網(wǎng)連接時(shí)，在連接界限處要設(shè)置由信息安全委員會(huì)（SM委員會(huì)）規(guī)定的防火墻，將通信控制在容許必要最小限度的通信內(nèi)。將本單位的網(wǎng)絡(luò)與單位外網(wǎng)絡(luò)連接時(shí)，要根據(jù)機(jī)密性的重要度探討妥善的防止信息泄露措施。對可以訪問單位外網(wǎng)絡(luò)的計(jì)算機(jī)要進(jìn)行底帳管理。要求所連接的單位外組織對其信息安全對策的情況進(jìn)行充分的說明。對于所連接的單位外組織不要進(jìn)行違章操作或訪問。要求所連接的單位外組織排除對本單位信息資產(chǎn)的違章或訪問。在重要的網(wǎng)絡(luò)中，要進(jìn)行故障監(jiān)測以及違法入侵監(jiān)視。（關(guān)于單位內(nèi)無線LAN的使用）關(guān)于單位內(nèi)

34、無線局域網(wǎng)的使用， 在施行了路由加密或?qū)尤朦c(diǎn)的訪問控制、變更接入點(diǎn)識別ID等妥善安全對策的基礎(chǔ)上，要征得信息安全委員會(huì)（SM委員會(huì)）的使用許可。此外，在安全對策方面，要考慮到發(fā)展趨向，進(jìn)行重審、變更。 被批準(zhǔn)的接入點(diǎn)要由信息安全委員會(huì)（SM委員會(huì)）進(jìn)行底帳管理。（設(shè)定內(nèi)容以及設(shè)備的管理）要對防火墻和路由器的通信控制內(nèi)容進(jìn)行底帳管理。嚴(yán)格管理網(wǎng)絡(luò)設(shè)定信息。防火墻和路由器等重要的網(wǎng)絡(luò)設(shè)備要安裝在上鎖的區(qū)域。要確定網(wǎng)絡(luò)構(gòu)成的構(gòu)成變更步驟。（評估的實(shí)施）在與單位外的網(wǎng)絡(luò)連接點(diǎn)中，根據(jù)風(fēng)險(xiǎn)評估的結(jié)果，確定是否需要定期地實(shí)施模擬入侵測試等安全機(jī)制的評估?；ヂ?lián)網(wǎng)和電子郵件的利用（利用互聯(lián)網(wǎng)的申請）當(dāng)業(yè)務(wù)上

35、需要使用互聯(lián)網(wǎng)時(shí)，通過提交申請書，可許可單位成員利用互聯(lián)網(wǎng)。當(dāng)需要在單位以外的場所使用單位的郵件系統(tǒng)時(shí)，需填寫設(shè)備領(lǐng)出單申請開通VPN，并由相關(guān)領(lǐng)導(dǎo)批準(zhǔn)方可使用。（利用電子郵件的申請）當(dāng)業(yè)務(wù)上需要利用（單位外）電子郵件時(shí)，通過提交申請書，可許可單位成員利用（單位外）電子郵件。（電子郵件的發(fā)送內(nèi)容）關(guān)于發(fā)送內(nèi)容，要檢查是否含有機(jī)密信息，表現(xiàn)是否適當(dāng)。（嚴(yán)禁電子郵件的違法使用）不得故意違法使用電子郵件。此外，要充分考慮到電子郵件系統(tǒng)的特性和機(jī)制，在使用中要充分予以注意。例如，要注意以下幾點(diǎn)：只使用管理員授予的郵件地址，禁止使用其他的郵件地址。禁止變更寄出用郵件地址向不相關(guān)多數(shù)人群發(fā)郵件等不適合公開

36、收件人地址時(shí)，在BCC中指定地址。務(wù)必確認(rèn)郵件的收件人后再發(fā)送郵件的署名中不可包含多余的信息（尤其是嚴(yán)禁使用本單位名稱以外的單位名稱）嚴(yán)禁向外部服務(wù)提供商轉(zhuǎn)發(fā)郵件。嚴(yán)禁使用免費(fèi)郵箱,個(gè)人申請的服務(wù)提供商的郵箱等未經(jīng)單位許可的郵箱。原則上嚴(yán)禁使用在瀏覽器上可以收發(fā)郵件的WEB郵件（部分除外）對來源不明的郵件和內(nèi)容不確切的附件要加以注意不使用郵件軟件的預(yù)覽功能（將未讀郵件的最初幾行自動(dòng)顯示的功能）包含重要信息的文件，必須使用加密的壓縮方式進(jìn)行發(fā)送。（獲取電子郵件使用日志）對于發(fā)往單位外的電子郵件，要獲取發(fā)件人、收件人、郵件名的日志，根據(jù)需要檢查該郵件內(nèi)容。此外，對于獲取的事實(shí)要使單位成員人人皆知。

37、經(jīng)本單位設(shè)備處理的所有電子郵件短信歸本單位所有。只要信息安全委員會(huì)委員長（SM委員長）批準(zhǔn)，有時(shí)可不經(jīng)本人同意，對無論是發(fā)往單位內(nèi)的、還是發(fā)往單位外的電子郵件，一律進(jìn)行使用日志的監(jiān)查。（獲取互聯(lián)網(wǎng)的使用日志）要獲取互聯(lián)網(wǎng)使用者和訪問目的地的日志，根據(jù)需要檢查其內(nèi)容。此外，獲取的事實(shí)要使單位成員人人皆知。根據(jù)需要，要設(shè)定限制令互聯(lián)網(wǎng)使用者無法瀏覽與業(yè)務(wù)無關(guān)的網(wǎng)站。計(jì)算機(jī)病毒對策（病毒對策的實(shí)施）單位成員使用的計(jì)算機(jī)中要使用信息安全委員會(huì)（SM委員會(huì)）指定的防病毒軟件。在互聯(lián)網(wǎng)的連接點(diǎn)以及進(jìn)行有可能感染病毒的文件的發(fā)送接收操作的單位外連接點(diǎn)中，在路由上要采用查毒網(wǎng)關(guān)。要時(shí)常獲取病毒信息，努力收集關(guān)

38、于新型病毒的信息。要使病毒碼文件時(shí)常保持最新的狀態(tài)。（指南手冊的編制和教育）信息安全委員會(huì)（SM委員會(huì)）要事先編制感染病毒時(shí)的應(yīng)對指南手冊，令單位成員周知。（各種利用場合時(shí)的病毒檢查）通過USB記憶體等可拆卸式媒體進(jìn)行文件傳遞時(shí)，要進(jìn)行病毒檢查。 通過電子郵件進(jìn)行文件傳遞時(shí)要進(jìn)行病毒檢查。通過互聯(lián)網(wǎng)等網(wǎng)絡(luò)下載文件時(shí)要進(jìn)行病毒檢查。（發(fā)現(xiàn)病毒時(shí)的處置）當(dāng)發(fā)現(xiàn)病毒時(shí)，要立即將網(wǎng)線從計(jì)算機(jī)上拔下，防止受害的蔓延。隨后與信息安全委員會(huì)取得聯(lián)系，聽取適當(dāng)?shù)闹甘尽．?dāng)在接受委托的軟件開發(fā)業(yè)務(wù)環(huán)境中發(fā)現(xiàn)病毒時(shí)，還要與客戶取得聯(lián)系，由信息安全委員會(huì)（SM委員會(huì)）與客戶彼此進(jìn)行密切聯(lián)系。 信息安全委員會(huì)（SM委員

39、會(huì)）要獲取最新的病毒信息，給與適當(dāng)?shù)闹甘?。此外，要根?jù)需要與單位外有關(guān)組織進(jìn)行聯(lián)系。當(dāng)來自單位外的郵件等中混入病毒時(shí)，在與信息安全委員會(huì)協(xié)商的基礎(chǔ)上，將其通知給該企業(yè)。（對單位外組織的請求）對于文件傳遞較頻繁的單位外組織，要請求其實(shí)施防病毒對策。安全漏洞對策提高與信息安全有關(guān)的信息方面的意識，當(dāng)開發(fā)商發(fā)表針對安全漏洞的補(bǔ)丁程序時(shí)，除了因使用補(bǔ)丁程序會(huì)引起重大功能障礙（對軟件開發(fā)的影響等）外，要迅速地使用補(bǔ)丁程序。原則上可以連接到互聯(lián)網(wǎng)環(huán)境來實(shí)施最新的補(bǔ)丁程序適用。此外，不能連接互聯(lián)網(wǎng)的環(huán)境要考慮對軟件開發(fā)業(yè)務(wù)的影響以及由于不使用安全補(bǔ)丁而造成的風(fēng)險(xiǎn)，探討使用時(shí)機(jī)。 但是，客戶要求進(jìn)行適用時(shí)，原

40、則上要盡快使用。軟件的管理（軟件的引進(jìn)基準(zhǔn)）要從與軟件的引進(jìn)有關(guān)的安全方面進(jìn)行評估并向信息安全委員會(huì)（SM委員會(huì)）報(bào)告。原則上嚴(yán)禁引進(jìn)業(yè)務(wù)上必要以外的軟件。關(guān)于接受委托進(jìn)行的軟件開發(fā)業(yè)務(wù)的開發(fā)環(huán)境，當(dāng)引進(jìn)業(yè)務(wù)上必要的軟件時(shí)，要與客戶聯(lián)系并征得同意。（軟件的安裝）軟件的安裝在按批準(zhǔn)的步驟進(jìn)行的同時(shí)，還要按照另行規(guī)定的規(guī)則實(shí)施相應(yīng)的安全設(shè)定。（使用許可管理和使用承諾）只引進(jìn)正式獲得使用許可的軟件。 要充分理解并遵守軟件的使用承諾。（軟件的使用情況）對引進(jìn)的軟件要實(shí)行底帳管理。此外，最好根據(jù)需要，引進(jìn)收集軟件的安裝信息和設(shè)定信息的工具。 （引進(jìn)后的運(yùn)用管理體制）要根據(jù)需要，明確要引進(jìn)軟件的維護(hù)和開發(fā)

41、商的支援體制。 （監(jiān)查）信息安全委員會(huì)與信息安全小組要定期監(jiān)查軟件是否得到妥善地引進(jìn)、使用。 本單位信息系統(tǒng)的構(gòu)筑、運(yùn)用（確保各工序的信息安全）為了在采取信息安全對策時(shí)確保完善的體制、充分的預(yù)算和期間，從計(jì)劃階段開始就要進(jìn)行關(guān)于信息安全的討論。在設(shè)計(jì)、開發(fā)、測試、保養(yǎng)以及運(yùn)用的各個(gè)階段，要對安全功能的質(zhì)量進(jìn)行審評，并要得到信息安全委員會(huì)（SM委員會(huì)）的同意。（職務(wù)的分離）為了排除誤用和惡意的行為，要將系統(tǒng)構(gòu)筑業(yè)務(wù)（程序開發(fā)等）、系統(tǒng)運(yùn)用業(yè)務(wù)（正式作業(yè)的運(yùn)行等）、用戶業(yè)務(wù)（輸入數(shù)據(jù)的編制和變更、輸出數(shù)據(jù)的存取等）等權(quán)限進(jìn)行分離，編緝成彼此相互牽制的功能。因某種制約不能進(jìn)行職務(wù)分離時(shí)，要進(jìn)行行動(dòng)監(jiān)

42、視和獲取使用日志等。（環(huán)境的分離）除正式環(huán)境外還要備有另外的開發(fā)環(huán)境和測試環(huán)境，根據(jù)需要進(jìn)行充分的測試后再移行到正式環(huán)境。另外，正式環(huán)境、開發(fā)環(huán)境和測試環(huán)境之間的訪問要限定在必要的最小限度。對于新引進(jìn)的系統(tǒng)，要對基于設(shè)計(jì)時(shí)的對策方針編入的所有的安全性功能進(jìn)行測試，取得信息安全委員會(huì)（SM委員會(huì)）的同意。另外，測試結(jié)果要用書面形式保存。（使用重要信息的測試）使用重要信息的測試，限定在本單位擁有的測試環(huán)境，測試結(jié)束后，要進(jìn)行數(shù)據(jù)刪除等適當(dāng)?shù)奶幚怼Ａ硗?，使用重要信息要進(jìn)行記錄。實(shí)施使用重要信息的測試時(shí)，要采取數(shù)據(jù)偽裝等保護(hù)數(shù)據(jù)泄露對策。（變更與維持管理）關(guān)于平常及緊急情況時(shí)的構(gòu)成變更，要設(shè)定變更管理

43、步驟。設(shè)備對策（安全區(qū)域的設(shè)置）本單位系統(tǒng)的主機(jī)原則上設(shè)置在符合有關(guān)機(jī)構(gòu)規(guī)定的安全基準(zhǔn)的數(shù)據(jù)中心或與之同等的設(shè)施內(nèi)。共享文件和各種服務(wù)器安裝在本單位建筑內(nèi)時(shí)，除業(yè)務(wù)上有要求的情況外，要設(shè)置在物理上安全的場所。特別是對于機(jī)密性高的信息資源要設(shè)置專用的區(qū)域。（軟件開發(fā)區(qū)域的設(shè)置）在接受委托進(jìn)行軟件開發(fā)業(yè)務(wù)的開發(fā)環(huán)境中，原則上要將每個(gè)客戶的項(xiàng)目進(jìn)行區(qū)域分隔，通過引進(jìn)出入室系統(tǒng)等，限定可以訪問的人員。（出入室管理）設(shè)置處理重要信息服務(wù)器的場所平時(shí)要上鎖，進(jìn)行出入室管理。能夠進(jìn)入設(shè)置處理重要信息服務(wù)器場所的人員必須獲得信息安全委員會(huì)（SM委員會(huì)）的批準(zhǔn)。出入需要進(jìn)行出入室管理房間時(shí)，要留取完善的記錄。并且要定期監(jiān)查其內(nèi)容，調(diào)查是否有過違法侵入。另外，記錄要保存一定的期間。發(fā)生侵害信息安全時(shí)的對應(yīng)（發(fā)生侵害信息安全時(shí)的報(bào)告和對應(yīng)）發(fā)現(xiàn)信息安全方面受到侵害時(shí)（信息被盜和泄露、篡改、不能使用等）或有該方面嫌疑時(shí)，不論原因如何，要迅速向項(xiàng)目負(fù)責(zé)人和部長以及信息安全委員會(huì)（SM委員會(huì)）報(bào)告。在有可能影響波及到客戶的情況下，原則上要通過信息安全委員會(huì)委員長（SM委員長）與客戶聯(lián)系。另外，對報(bào)告內(nèi)容要進(jìn)行記錄。要明確報(bào)告途徑。另外，當(dāng)發(fā)生重大的信息安全侵害時(shí)，應(yīng)能夠上報(bào)到經(jīng)營層?；蛘呦蛳鄳?yīng)的主管部門報(bào)告。（編制信息系統(tǒng)有關(guān)緊急情況時(shí)對應(yīng)