網(wǎng)絡(luò)信息通信和操作管理制度

1、網(wǎng)絡(luò)信息通信和操作管理制度 9.1 操作程序和職責(zé) 9.1.1 規(guī)范的操作程序 第80條 必須為所有的業(yè)務(wù)系統(tǒng)建立操作程序，其內(nèi)容包括但不限于： 1)系統(tǒng)重啟、備份和恢復(fù)的措施 2)一般性錯(cuò)誤處理的操作指南 3)技術(shù)支持人員的聯(lián)系方法 4)與其它系統(tǒng)的依賴性和處理的優(yōu)先級(jí) 5)硬件的配臵管理 第81條 操作程序必須征得管理者的同意才能對(duì)其進(jìn)行修改。操作程序必須及時(shí)更新，更新條件包括但不限于： 1)應(yīng)用軟件的變更 2)硬件配臵的變更 9.1.2 變更控制 第82條 必須建立變更管理程序來(lái)控制系統(tǒng)的變更，所有變更都必須遵守變更管理程序的要求。程序內(nèi)容包括但不限于 1)識(shí)別和記錄變更請(qǐng)求 2)評(píng)估變

2、更的可行性、變更計(jì)劃和可能帶來(lái)的潛在影響 3)變更的測(cè)試 4)審批的流程 5)明確變更失敗的恢復(fù)計(jì)劃和責(zé)任人 6)變更的驗(yàn)收 第83條 重要變更必須制定計(jì)劃，并在測(cè)試環(huán)境下進(jìn)行足夠的測(cè)試后，才能在生產(chǎn)系統(tǒng)中實(shí)施。所有變更必須包括變更失敗的應(yīng)對(duì)措施和恢復(fù)計(jì)劃。所有變更必須獲得授權(quán)和批準(zhǔn)，變更的申請(qǐng)和審批不得為同一個(gè)員工。對(duì)變更需要涉及的硬件、軟件和信息等對(duì)象都應(yīng)標(biāo)識(shí)出來(lái)并進(jìn)行相應(yīng)評(píng)估。變更在實(shí)施前必須通知到相關(guān)人員。 第84條 變更的實(shí)施應(yīng)該安排在對(duì)業(yè)務(wù)影響最小的時(shí)間段進(jìn)行，盡量減少對(duì)業(yè)務(wù)正常運(yùn)營(yíng)的影響。在生產(chǎn)系統(tǒng)安裝或更新軟件前，必須對(duì)系統(tǒng)進(jìn)行備份。變更完成后，相關(guān)的文檔（如系統(tǒng)需求文檔、設(shè)計(jì)

3、文檔、操作手冊(cè)、用戶手冊(cè)等）必須得到更新，舊的文檔必須進(jìn)行備份。 第85條 必須對(duì)變更進(jìn)行復(fù)查，以確保變更沒(méi)有對(duì)原來(lái)的系統(tǒng)環(huán)境造成破壞。必須完整記錄整個(gè)變更過(guò)程，并將其妥善保管。變更的記錄應(yīng)至少每月復(fù)查一次。 9.1.3 職責(zé)分離 第86條 系統(tǒng)管理員和系統(tǒng)開(kāi)發(fā)人員的職責(zé)必須明確分開(kāi)。同一處理過(guò)程中的重要任務(wù)不應(yīng)該由同一個(gè)人來(lái)完成，以防止欺詐和誤操作的發(fā)生。 第87條 所有職責(zé)分離的控制必須記錄歸檔，作為責(zé)任分工的依據(jù)。無(wú)法采取職責(zé)分離時(shí)，必須采取其它的控制，比如活動(dòng)監(jiān)控、審核跟蹤評(píng)估以及管理監(jiān)督等。 9.1.4 開(kāi)發(fā)、測(cè)試和生產(chǎn)系統(tǒng)分離 第88條 不應(yīng)給開(kāi)發(fā)人員提供超過(guò)其開(kāi)發(fā)所需范圍的權(quán)限。

4、如果開(kāi)發(fā)人員需要訪問(wèn)生產(chǎn)系統(tǒng)，必須經(jīng)過(guò)運(yùn)營(yíng)人員的授權(quán)和管理。 第89條 生產(chǎn)、測(cè)試和開(kāi)發(fā)應(yīng)分別使用不同的系統(tǒng)環(huán)境。開(kāi)發(fā)人員不得在生產(chǎn)環(huán)境中更改編碼或操作生產(chǎn)系統(tǒng)。不得在生產(chǎn)系統(tǒng)上擅自安裝開(kāi)發(fā)工具（比如編譯程序及其他系統(tǒng)公用程序等），并做好已有開(kāi)發(fā)工具的訪問(wèn)控制。開(kāi)發(fā)和測(cè)試環(huán)境使用的測(cè)試數(shù)據(jù)不能包含有敏感信息。 9.1.5 事件管理程序 第90條 必須建立事件管理程序，并根據(jù)事件影響的嚴(yán)重程度制訂其所屬類別，同時(shí)說(shuō)明相應(yīng)的處理方法和負(fù)責(zé)人。必須根據(jù)事件的嚴(yán)重程度，定義響應(yīng)的范圍、時(shí)間和完成事件處理的時(shí)間。 第91條 系統(tǒng)的修復(fù)必須得到系統(tǒng)管理者的批準(zhǔn)方可執(zhí)行。 第92條 所有事件報(bào)告必須記錄歸檔

5、，并由部門(mén)主管或指定人員妥善保管。必須對(duì)事件的處理情況進(jìn)行監(jiān)控，對(duì)超時(shí)的處理提出改進(jìn)建議并跟進(jìn)改進(jìn)效果。 9.2 第三方服務(wù)交付管理 9.2.1 服務(wù)交付 第93條 第三方提供的服務(wù)必須滿足安全管理制度的要求。第三方提供的服務(wù)必須滿足公司業(yè)務(wù)連續(xù)性的要求。 第94條 必須保留第三方提供的服務(wù)、報(bào)告和記錄并定期評(píng)審，至少每半年一次。評(píng)審內(nèi)容應(yīng)包括：1) 服務(wù)內(nèi)容和質(zhì)量是否滿足合同要求； 2) 服務(wù)報(bào)告是否真實(shí)。 9.2.2 第三方服務(wù)的變更管理 第95條 服務(wù)改變時(shí)，必須重新對(duì)服務(wù)是否滿足安全管理辦法進(jìn)行評(píng)估。在服務(wù)變更時(shí)需要考慮： 1) 服務(wù)價(jià)格的增長(zhǎng)； 2) 新的服務(wù)需求； 3) 公司信息安

6、全管理制度的變化； 4) 公司在信息安全方面新的控制。 9.3 針對(duì)惡意軟件的保護(hù)措施 9.3.1 對(duì)惡意軟件的控制 第96條 必須建立一套病毒防治體系，以便防止病毒對(duì)公司帶來(lái)的影響。所有服務(wù)器、個(gè)人電腦和筆記本電腦都應(yīng)該安裝公司規(guī)定的防病毒軟件，并及時(shí)更新防病毒軟件。所有存進(jìn)計(jì)算機(jī)的信息（例如接收到的郵件、下載的文件等）都必須經(jīng)過(guò)病毒掃描。員工和第三方廠商從外界帶來(lái)的存儲(chǔ)介質(zhì)在使用之前必須進(jìn)行病毒掃描。 第97條 所有員工都應(yīng)該接受防病毒知識(shí)的培訓(xùn)和指導(dǎo)。 第98條 公司內(nèi)發(fā)現(xiàn)的病毒、計(jì)算機(jī)或應(yīng)用程序的異常行為，都必須作為安全事件進(jìn)行報(bào)告。 第99條 必須定期審核控制惡意軟件措施的有效性。一

7、旦發(fā)現(xiàn)感染病毒，必須立刻把機(jī)器從網(wǎng)絡(luò)中斷開(kāi)。在病毒沒(méi)有被徹底清除之前，嚴(yán)禁將其重新連接到網(wǎng)絡(luò)上。 9.4 備份 9.4.1 信息備份 第100條 所有服務(wù)器、個(gè)人電腦和筆記本電腦必須根據(jù)業(yè)務(wù)需求定期進(jìn)行備份。系統(tǒng)在重大變更之前和之后必須進(jìn)行備份。 第101條 備份管理辦法必須獲得管理層的審批以確保符合業(yè)務(wù)需求。備份管理辦法必須至少每季度進(jìn)行一次復(fù)查，以確保沒(méi)有發(fā)生未授權(quán)或意外的更改。 第102條 應(yīng)該保留多于1個(gè)備份周期的備份，但重要業(yè)務(wù)信息應(yīng)至少保留3個(gè)備份周期的備份。備份資料和相應(yīng)的恢復(fù)操作手冊(cè)必須定期傳送到異地進(jìn)行保存。異地必須與主站點(diǎn)有一定的距離，以避免受主站點(diǎn)的災(zāi)難波及。 第103條

8、 必須對(duì)異地保存的備份信息實(shí)施安全保護(hù)措施，其保護(hù)標(biāo)準(zhǔn)應(yīng)和主站點(diǎn)相一致。必須定期測(cè)試備份介質(zhì)，確保其可用性。必須定期檢查和測(cè)試恢復(fù)步驟，確保它們的有效性。備份系統(tǒng)必須進(jìn)行監(jiān)控，以確保其穩(wěn)定性和可用性。 9.5 網(wǎng)絡(luò)管理 9.5.1 網(wǎng)絡(luò)控制 第104條 網(wǎng)絡(luò)管理和操作系統(tǒng)管理的職責(zé)應(yīng)該彼此分離，并由不同的員工承擔(dān)。必須明確定義網(wǎng)絡(luò)管理的職責(zé)和義務(wù)。只有得到許可的員工才能夠使用網(wǎng)絡(luò)管理系統(tǒng)。 第105條 必須建立相應(yīng)的控制機(jī)制，保護(hù)路由表和防火墻安全管理辦法等網(wǎng)絡(luò)參數(shù)的完整性。保護(hù)通過(guò)公網(wǎng)傳送敏感數(shù)據(jù)的機(jī)密性、完整性和可用性。 第106條 進(jìn)行網(wǎng)絡(luò)協(xié)議兼容性的評(píng)估時(shí)應(yīng)考慮將來(lái)新增網(wǎng)絡(luò)設(shè)備的要求。

9、任何準(zhǔn)備接進(jìn)網(wǎng)絡(luò)的新設(shè)備，在進(jìn)網(wǎng)前都必須通過(guò)協(xié)議兼容性的評(píng)估和安全檢查。 第107條 必須對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)控和管理。所有網(wǎng)絡(luò)故障都必須向上級(jí)報(bào)告。 第108條 必須建立互聯(lián)網(wǎng)的訪問(wèn)管理辦法。除非得到授權(quán)，否則禁止訪問(wèn)外部網(wǎng)絡(luò)的服務(wù)。 9.6 介質(zhì)的管理 9.6.1 可移動(dòng)介質(zhì)的管理 第109條 可移動(dòng)計(jì)算機(jī)存儲(chǔ)介質(zhì)（比如磁帶、光盤(pán)等）必須有適當(dāng)?shù)脑L問(wèn)控制。存儲(chǔ)介質(zhì)上必須設(shè)臵標(biāo)簽，以標(biāo)識(shí)其類型和用途。標(biāo)簽應(yīng)使用代碼，以避免直接標(biāo)識(shí)存儲(chǔ)介質(zhì)上的內(nèi)容。標(biāo)識(shí)用的代碼需要記錄并歸檔。 第110條 必須建立和維護(hù)介質(zhì)清單，并對(duì)介質(zhì)的借用和歸還進(jìn)行記錄。應(yīng)確保備有足夠的存儲(chǔ)介質(zhì)，以備使用。 第111條 存放在存

10、儲(chǔ)介質(zhì)內(nèi)的絕密和機(jī)密信息必須受到妥善保護(hù)。 第112條 存儲(chǔ)介質(zhì)的存放環(huán)境必須滿足介質(zhì)要求的環(huán)境條件（比如溫度、濕度、空氣質(zhì)量等）。 第113條 備份介質(zhì)必須存儲(chǔ)在防火柜中。應(yīng)該對(duì)介質(zhì)的壽命進(jìn)行管理，在介質(zhì)壽命結(jié)束前一年，將信息拷貝到新的介質(zhì)中。 9.6.2 介質(zhì)的銷毀 第114條 應(yīng)建立存儲(chǔ)介質(zhì)的報(bào)廢規(guī)范，包括但不限于： 1)紙質(zhì)文檔 2)語(yǔ)音資料及其他錄音帶 3)復(fù)寫(xiě)紙 4)磁帶 5)磁盤(pán) 6)光存儲(chǔ)介質(zhì) 第115條 所有不會(huì)被再利用的敏感文檔都必須根據(jù)定義的信息密級(jí)采取適當(dāng)?shù)姆绞竭M(jìn)行銷毀。 第116條 所有報(bào)廢及過(guò)期的存儲(chǔ)介質(zhì)必須妥善銷毀。 9.6.3 信息處理程序 第117條 介質(zhì)的信

11、息分類，必須采用存放信息中的最高保密等級(jí)。 第118條 應(yīng)根據(jù)介質(zhì)中信息的分類級(jí)別，采取相應(yīng)措施來(lái)保護(hù)介質(zhì)的輸出環(huán)境。 9.6.4 系統(tǒng)文檔的安全 第119條 存取含有敏感信息的文檔，必須獲得相應(yīng)文檔管理者的批準(zhǔn)。含有敏感信息的文檔應(yīng)保存在安全的地方，未經(jīng)許可不得訪問(wèn)。含有敏感信息的文檔通過(guò)內(nèi)部網(wǎng)等提供訪問(wèn)的，應(yīng)采用訪問(wèn)控制加以保護(hù)。 9.7 信息交換 9.7.1 信息交換管理辦法和程序 第120條 必須根據(jù)信息的類型和保密級(jí)別，定義信息在交換過(guò)程中應(yīng)遵循的安全要求。 第121條 所有員工和第三方人員都必須遵守公司的信息交換管理辦法。 第122條 未經(jīng)許可，公司內(nèi)部不允許安裝、使用無(wú)線通信設(shè)備

12、。 第123條 使用加密技術(shù)保護(hù)信息的保密性、完整性和真實(shí)性。敏感信息帶出公司必須獲得直接領(lǐng)導(dǎo)或信息管理者的授權(quán)。 第124條 必須建立控制機(jī)制來(lái)保護(hù)利用音頻、傳真和視頻通信設(shè)備進(jìn)行交換的信息。 第125條 電話錄音系統(tǒng)應(yīng)該配臵密碼，以防非法訪問(wèn)。 第126條 在使用傳真機(jī)中已存儲(chǔ)的號(hào)碼時(shí)，傳真之前必須驗(yàn)證號(hào)碼。 第127條 移動(dòng)通訊設(shè)備（比如手機(jī)，PDA等）不應(yīng)存儲(chǔ)公司敏感信息。 9.7.2 交換協(xié)議 第128條 跟外界進(jìn)行信息和軟件交換必須簽署協(xié)議，其內(nèi)容必須包括： 1)發(fā)送方和接收方的責(zé)任 2)明確發(fā)送和接收的方式 3)制定信息封裝和傳輸?shù)募夹g(shù)標(biāo)準(zhǔn) 4)數(shù)據(jù)丟失的相關(guān)責(zé)任 5)聲明信息的

13、保密級(jí)別和保護(hù)要求 6)聲明信息和軟件的所有權(quán)、版權(quán)和其他相關(guān)因素 9.7.3 物理介質(zhì)傳輸 第129條 必須建立傳輸存儲(chǔ)介質(zhì)的安全標(biāo)準(zhǔn)。應(yīng)使用可靠的傳輸工具或傳遞人，授權(quán)的傳遞人必須接受適當(dāng)監(jiān)管并進(jìn)行其身份的檢查。應(yīng)確保敏感信息的機(jī)密性、完整性和可用性在傳輸全程中受到保護(hù)。 第130條 存放介質(zhì)的容器在運(yùn)輸過(guò)程前必須密封。信息分類不應(yīng)該標(biāo)識(shí)在容器的外面。包裝應(yīng)該非常結(jié)實(shí)，確保介質(zhì)在運(yùn)輸過(guò)程中不受到損壞。 9.7.4 電子消息 第131條 電子化辦公系統(tǒng)必須建立相應(yīng)的管理辦法和控制機(jī)制，并闡明下列內(nèi)容： 1)確定不能被共享的信息的類型或密級(jí) 2)系統(tǒng)用戶的權(quán)限 3)系統(tǒng)的訪問(wèn)控制 4)與系統(tǒng)相

14、關(guān)的備份管理辦法 第132條 除非獲得安全管理委員會(huì)的授權(quán)，否則禁止使用公司以外的電子系統(tǒng)（比如BBS、MSN、QQ等）進(jìn)行跟公司相關(guān)的活動(dòng)。 第133條 電子郵件內(nèi)的信息必須根據(jù)其信息分類的安全要求去處理和保護(hù)。用于連接外網(wǎng)的郵件網(wǎng)關(guān)必須安裝防病毒軟件，檢查進(jìn)出的電子郵件。必須對(duì)Internet屏蔽郵件系統(tǒng)的內(nèi)網(wǎng)IP地址。 第134條 員工使用公司的郵件系統(tǒng)時(shí)只能進(jìn)行與業(yè)務(wù)相關(guān)的活動(dòng)。所有在公司的郵件系統(tǒng)上產(chǎn)生及存儲(chǔ)的郵件都是公司資產(chǎn)。公司有權(quán)查看和監(jiān)控所有郵件。未經(jīng)授權(quán)，嚴(yán)禁使用公司以外的郵箱處理公司業(yè)務(wù)。所有對(duì)外發(fā)送的郵件都必須加上責(zé)任聲明。 9.7.5 業(yè)務(wù)信息系統(tǒng) 第135條 在業(yè)務(wù)

15、系統(tǒng)進(jìn)行信息共享時(shí)，必須保證信息的完整性、可用行和保密性。必須保證重要信息在交換過(guò)程中的保密性。 9.8 電子商務(wù)服務(wù) 9.8.1 電子商務(wù) 第136條 必須采取適當(dāng)措施，保證電子交易過(guò)程的機(jī)密性、完整性和可用性。 第137條 電子商務(wù)的交易必須制定相關(guān)的交易聲明，以明確注意事項(xiàng)和相關(guān)責(zé)任。在電子商務(wù)的協(xié)議中，必須明確欺詐行為和未能交付的責(zé)任。 第138條 電子交易必須設(shè)臵并維護(hù)適當(dāng)?shù)脑L問(wèn)控制。身份驗(yàn)證技術(shù)必須滿足業(yè)務(wù)的實(shí)際要求。 第139條 必須保留并維護(hù)所有電子商務(wù)交易過(guò)程中的記錄和日志。 第140條 應(yīng)該使用加密、電子證書(shū)、數(shù)字簽名等技術(shù)保護(hù)電子商務(wù)安全。 9.8.2 在線交易 第141

16、條 必須保護(hù)在線交易信息，避免不完整的傳輸、路由錯(cuò)誤、未授權(quán)的消息更改、未授權(quán)的信息信息泄漏、復(fù)制和回復(fù)。 第142條 在線交易中必須使用數(shù)字證書(shū)保護(hù)交易安全。交易中必須使用加密技術(shù)對(duì)所有通信內(nèi)容加密。在線交易必須使用安全的通訊協(xié)議。 第143條 在線交易信息必須保存在公司內(nèi)部的存儲(chǔ)環(huán)境，存儲(chǔ)環(huán)境不能被從Internet直接訪問(wèn)。 第144條 在線交易必須遵守國(guó)家、地區(qū)和行業(yè)相關(guān)的法律法規(guī)。 9.8.3 公共信息 第145條 必須確保公共信息系統(tǒng)中信息的完整性，并防止非授權(quán)的修改。 第146條 信息的發(fā)布必須遵守國(guó)家法律法規(guī)的要求。通過(guò)信息發(fā)布系統(tǒng)向內(nèi)部和公眾發(fā)布的信息都必須經(jīng)過(guò)公司相關(guān)部門(mén)的

17、檢查和審批。信息在發(fā)布之前必須經(jīng)過(guò)核對(duì)，確認(rèn)其正確性和完整性。必須對(duì)敏感信息的處理和存儲(chǔ)過(guò)程進(jìn)行保護(hù)。 9.9 監(jiān)控 9.9.1 日志 第147條 所有操作系統(tǒng)、應(yīng)用系統(tǒng)都必須具有并啟用日志記錄功能。 第148條 日志記錄信息必須包括但不限于： 1)用戶ID； 2)每項(xiàng)操作的日期和時(shí)間（至少要精確到秒）； 3)來(lái)源的標(biāo)識(shí)或位臵； 4)成功的系統(tǒng)訪問(wèn)嘗試； 5)失敗或被拒絕的系統(tǒng)訪問(wèn)嘗試； 第149條 日志類型包括但不限于： 1)應(yīng)用日志； 2)系統(tǒng)日志； 3)安全日志； 4)操作日志； 5)問(wèn)題記錄。 第150條 必須確保日志記錄功能在任何時(shí)候都能正常運(yùn)行。應(yīng)該有機(jī)制監(jiān)控日志的容量變化，在容量

18、耗盡之前發(fā)出報(bào)警信息。 第151條 除非特別聲明，所有日志都必須被分類為“機(jī)密”。日志應(yīng)該定期復(fù)查，至少每月一次。 9.9.2 監(jiān)控系統(tǒng)的使用 第152條 不同的信息處理設(shè)備所要求的監(jiān)控等級(jí)應(yīng)該通過(guò)風(fēng)險(xiǎn)評(píng)估來(lái)決定，必須考慮下列要素： 1)系統(tǒng)的訪問(wèn)； 2)所有特權(quán)操作； 3)未授權(quán)的訪問(wèn)嘗試； 4)系統(tǒng)警報(bào)或故障。 第153條 應(yīng)每天定時(shí)監(jiān)控網(wǎng)絡(luò)（包括網(wǎng)絡(luò)性能和網(wǎng)絡(luò)故障），并根據(jù)產(chǎn)生的報(bào)告，對(duì)異常變化的網(wǎng)絡(luò)流量，作進(jìn)一步分析，以發(fā)現(xiàn)潛在的網(wǎng)絡(luò)安全問(wèn)題。 9.9.3 日志信息保護(hù) 第154條 必須保證日志不能被修改或刪除，所有對(duì)于日志文件的訪問(wèn)（如刪除、寫(xiě)、讀或添加）嘗試都應(yīng)該有相應(yīng)記錄。 第155條 除非特別聲明，日志必須至少保存1年。只有授權(quán)的員工才能訪問(wèn)并使用日志。必須采取控制措施保護(hù)日志的完整性。 9.9.4 管理員和操作員日志 第156條 系統(tǒng)管理員和操作員的操作必須被記錄日志。 第157條 日志記錄應(yīng)包括重要的操作，例如與用戶管理相關(guān)的操作（用戶帳號(hào)的創(chuàng)建、刪除、權(quán)限設(shè)臵、修改）、與財(cái)務(wù)相關(guān)的操