網(wǎng)絡(luò)與信息安全工作管理辦法

1、精選優(yōu)質(zhì)文檔-傾情為你奉上網(wǎng)絡(luò)與信息安全工作管理辦法世茂房地產(chǎn)控股有限公司資訊科技部內(nèi)部資料，未經(jīng)同意，請勿翻印版本修訂日期修訂人審核人專心-專注-專業(yè)目 錄第一章 總 則第一條 隨著上海世茂投資管理有限公司（以下簡稱：上海世茂）信息系統(tǒng)規(guī)模越來越大，隨之帶來的安全問題也不斷增多，為及時快速處理各種故障和安全事件，防范與化解安全風險，保障網(wǎng)絡(luò)連續(xù)性以及高質(zhì)量的服務(wù)水平，特制定上海世茂網(wǎng)絡(luò)與信息安全工作管理辦法，以下簡稱“本辦法”。第二條 本辦法依據(jù)中華人民共和國計算機信息系統(tǒng)安全保護條例，參考ISO27001信息安全管理體系規(guī)范而制定。第三條 本辦法的適用范圍包括上海世茂信息系統(tǒng)在規(guī)劃、設(shè)計、

2、開發(fā)、建設(shè)和運行維護過程中所涉及到的各種安全問題，包括組織管理、物理安全、操作系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全、網(wǎng)絡(luò)架構(gòu)安全、安全事件處理。第四條 上海世茂網(wǎng)絡(luò)與信息安全工作的管理原則1. 整體規(guī)劃，分步實施：需要對網(wǎng)絡(luò)與信息安全工作進行整體規(guī)劃，分步實施，逐漸建立完善的網(wǎng)絡(luò)與信息安全體系。2. 三同步原則：安全系統(tǒng)應(yīng)與業(yè)務(wù)系統(tǒng)及網(wǎng)絡(luò)同步規(guī)劃、同步建設(shè)、同步運行。3. 適度安全：安全具有相對性和動態(tài)性的特點，必須做好安全建設(shè)的成本效益分析，在安全性和投入成本之間、安全性和易用性之間做好平衡工作。第五條 本辦法中的安全是指信息系統(tǒng)的安全。第二章 安全組織管理第一節(jié) 安全組織原則第六條 上海世茂安全工

3、作管理由信息化領(lǐng)導小組統(tǒng)一來制定。第二節(jié) 安全組織結(jié)構(gòu)第七條 成立上海世茂網(wǎng)絡(luò)與信息安全領(lǐng)導小組，全面負責上海世茂網(wǎng)絡(luò)與信息安全各項工作。第八條 領(lǐng)導小組下設(shè)IT總監(jiān)，貫徹“信息化領(lǐng)導小組”的安全管理決策，作為執(zhí)行管理機構(gòu)。資訊科技部作為信息安全工作的主要執(zhí)行機構(gòu)，負責信息安全日常工作，IT總監(jiān)下屬包括應(yīng)用和運維兩個專業(yè)工作組。第三章 安全策略第九條 上海世茂安全策略體系是用于指導上海世茂的安全管理工作，明確信息安全的工作職責、內(nèi)容、方法和流程的一套文檔，它覆蓋了IT系統(tǒng)的整個生命周期，對系統(tǒng)和網(wǎng)絡(luò)的規(guī)劃、設(shè)計、建設(shè)、運維以及檢查評估都提出了相應(yīng)的安全要求。第十條 上海世茂安全策略由資訊科技部

4、、各部門提出需求，由資訊科技部組織制定。第十一條 上海世茂的安全策略由上海世茂信息安全領(lǐng)導小組批準和發(fā)布，由資訊科技部組織宣傳和培訓，并監(jiān)督各部門執(zhí)行落實。第十二條 資訊科技部及各專業(yè)工作小組負責檢查和考核策略的貫徹和實施，并建立安全策略違反報告制度。第十三條 資訊科技部建立安全策略定期審核更新的制度和機制，定期對安全策略的有效性進行審核，并根據(jù)情況進行更新。第四章 安全管理制度第一節(jié) 概 述第十四條 為做好上海世茂網(wǎng)絡(luò)與信息安全管理，必須做好安全規(guī)劃和建設(shè)，完善物理環(huán)境安全，加強工作人員安全管理和教育，建立信息資產(chǎn)安全管理制度。完善安全運維、事件處理、應(yīng)急響應(yīng)等安全工作。第二節(jié) 安全規(guī)劃與建

5、設(shè)第十五條 上海世茂安全規(guī)劃明確安全建設(shè)原則，為網(wǎng)絡(luò)與信息安全建設(shè)明確建設(shè)方向和藍圖。第十六條 安全規(guī)劃小組要根據(jù)上海世茂現(xiàn)有情況做好安全規(guī)劃工作，制定近期（12年）總體安全規(guī)劃和中長期（35年）安全建設(shè)目標，制定網(wǎng)絡(luò)建設(shè)規(guī)劃和人員計劃，滿足信息系統(tǒng)正常安全保障并適應(yīng)未來的發(fā)展戰(zhàn)略。第十七條 安全規(guī)劃應(yīng)考慮信息安全管理體系和安全技術(shù)架構(gòu)的建設(shè)，根據(jù)網(wǎng)絡(luò)發(fā)展規(guī)劃適度超前建設(shè)，并考慮統(tǒng)一安全管理要求和統(tǒng)一安全技術(shù)基礎(chǔ)設(shè)施。第十八條 應(yīng)在上海世茂信息系統(tǒng)規(guī)劃、設(shè)計、開發(fā)、實施、運維的整個生命周期中各個階段充分考慮并實施安全控制措施。第十九條 在特殊情況下，應(yīng)預(yù)先明確風險，并指出應(yīng)采取的控制措施。第二

6、十條 應(yīng)對網(wǎng)絡(luò)與系統(tǒng)建設(shè)過程中存在的安全風險進行嚴格的安全過程控制。第三節(jié) 物理安全管理第二十一條 物理安全管理的目標是通過加強工作環(huán)境安全，防止對上海世茂工作場所和信息資源的非法訪問、破壞和干擾。第二十二條 相關(guān)部門應(yīng)按照上海世茂關(guān)于機房建設(shè)及管理等標準，對機房場地與設(shè)施進行安全建設(shè)，并進行分級、分區(qū)安全管理。機房安全建設(shè)和改造應(yīng)通過資訊科技部的安全審批和驗收，并建立、健全嚴格的機房安全管理制度。第二十三條 信息資產(chǎn)主管部門及使用部門必須保證關(guān)鍵或敏感的數(shù)據(jù)信息處理設(shè)備放置在安全的區(qū)域，并使用適當?shù)奈锢矸雷o設(shè)備和訪問控制手段。第二十四條 應(yīng)加強辦公區(qū)的物理訪問控制。第四節(jié) 人員安全管理第二十

7、五條 信息安全管理人員應(yīng)當政治過硬、業(yè)務(wù)素質(zhì)高、遵紀守法、恪盡職守。第二十六條 應(yīng)建立相應(yīng)制度以及相應(yīng)技術(shù)手段加強對第三方人員的安全管理。第二十七條 違反國家法律、法規(guī)和行業(yè)規(guī)章受到處罰的人員，不得從事信息安全管理工作。第二十八條 信息安全管理人員調(diào)離崗位，必須辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務(wù)。第二十九條 信息安全崗位人員必須具備相應(yīng)的資質(zhì)并簽定保密協(xié)議。信息安全管理人員應(yīng)定期接受政治思想教育、職業(yè)道德教育和安全保密教育。第三十條 信息安全管理人員職責：(1) 負責計算機安全管理的日常工作；(2) 開展計算機安全檢查工作，對要害崗位人員安全工作進行指導；(3) 開展計算機安全知識的培訓和宣

8、傳工作；(4) 監(jiān)控計算機安全總體狀況，提出安全分析報告；了解行業(yè)動態(tài)，為改進和完善計算機安全管理工作，提出安全防范建議；(5) 及時向計算機安全工作領(lǐng)導小組和有關(guān)部門、單位報告計算機安全事件。第三十一條 信息安全管理人員發(fā)現(xiàn)本單位所使用信息系統(tǒng)中的重大安全隱患，有權(quán)向上級報告。第三十二條 信息安全管理人員發(fā)現(xiàn)系統(tǒng)操作人員使用不當，應(yīng)及時建議有關(guān)單位、部門進行調(diào)整。第三十三條 信息安全管理人員必須嚴格遵守國家有關(guān)法律、法規(guī)和行業(yè)規(guī)章，嚴守國家、行業(yè)和崗位秘密。第三十四條 信息安全管理人員應(yīng)定期參加下列計算機安全知識和技能的培訓：(1) 計算機安全法律法規(guī)及行業(yè)規(guī)章制度的培訓；(2) 計算機安全

9、基本知識的培訓；(3) 計算機安全專項技能的培訓。第五節(jié) 安全培訓第三十五條 工作人員安全意識是安全管理工作開展的基礎(chǔ)和前提，安全管理工作組應(yīng)建立安全意識教育計劃，通過持續(xù)的安全教育，提高人員安全意識。第三十六條 建立安全技術(shù)培訓計劃，通過各種培訓方式，提高各級管理人員和專業(yè)人員安全技能，降低安全操作風險。第六節(jié) 信息資產(chǎn)安全管理（一）資產(chǎn)管理第三十七條 上海世茂信息資產(chǎn)包括所擁有各種信息及其載體，存在有形資產(chǎn)和無形資產(chǎn)，包括計算機設(shè)備、系統(tǒng)軟件、應(yīng)用軟件、數(shù)據(jù)、文檔等。第三十八條 嚴格執(zhí)行上海世茂設(shè)備管理部門有關(guān)設(shè)備管理的各項規(guī)章制度，對資訊科技部管理的設(shè)備進行編號、登記、建立完善、準確的臺

10、帳。第三十九條 每半年，對全局計算機網(wǎng)絡(luò)設(shè)備進行一次全面檢查和維護。每年末，資訊科技部對固定資產(chǎn)清查一次。第四十條 各級信息資產(chǎn)責任者必須嚴格遵守相關(guān)制度，保證信息資產(chǎn)的機密性、完整性和可用性。第四十一條 信息系統(tǒng)資產(chǎn)管理具體辦法參見上海世茂信息資產(chǎn)安全管理辦法。（二）版權(quán)要求第四十二條 上海世茂與計算機信息系統(tǒng)承建商簽訂建設(shè)合同時，承建商應(yīng)當保證產(chǎn)品無侵犯他人版權(quán)要求。第四十三條 承建商在計算機信息系統(tǒng)建設(shè)中使用第三方產(chǎn)品時，必須事先得到上海世茂資訊科技部認可并具有第三方產(chǎn)品書面授權(quán)。（三）安全專用產(chǎn)品第四十四條 本規(guī)定所稱安全專用產(chǎn)品，是指用于保護計算機信息系統(tǒng)安全的專用軟件、硬件產(chǎn)品。第

11、四十五條 安全專用產(chǎn)品準入、選型、采購部署工作由資訊科技部統(tǒng)一組織實施。安全專用產(chǎn)品有下列情形之一的，取消其準入資格：(1) 安全專用產(chǎn)品的功能已發(fā)生變化，但未通過檢測的;(2) 經(jīng)使用發(fā)現(xiàn)有嚴重問題的;(3) 能提供良好售后服務(wù)的;(4) 國家有關(guān)部門取消其銷售資格的。第四十六條 安全專用產(chǎn)品在使用中，系統(tǒng)管理員應(yīng)監(jiān)測生成的信息，對生成的信息應(yīng)及時分析并作出分析報告；在監(jiān)測中如發(fā)現(xiàn)重大問題，應(yīng)立即采取相應(yīng)控制措施并將有關(guān)情況逐級上報；安全專用產(chǎn)品使用中產(chǎn)生的重要報告應(yīng)備份存檔，并按密級資料管理方式履行有關(guān)手續(xù)。第七節(jié) 安全運維管理第四十七條 安全維護管理的目標是通過建立和執(zhí)行對網(wǎng)絡(luò)和操作系統(tǒng)

12、的安全維護流程和安全維護作業(yè)計劃，來保障提供高質(zhì)量的信息系統(tǒng)服務(wù)能力和通信能力。第四十八條 安全維護工作主要包括硬件入網(wǎng)管理、病毒防范管理、密碼管理、系統(tǒng)和數(shù)據(jù)備份、日志管理和審計、軟件版本管理和補丁加載。 第四十九條 網(wǎng)絡(luò)、主機的相關(guān)人員、維護計劃配置應(yīng)隨網(wǎng)絡(luò)調(diào)整進行更新。第八節(jié) 安全事件處理第五十條 安全事件處理的原則是“積極預(yù)防、及時發(fā)現(xiàn)、快速響應(yīng)、確?；謴汀?。第五十一條 系統(tǒng)宕機引起相關(guān)部門無法進行業(yè)務(wù)操作，非法侵入、破壞計算機信息系統(tǒng)，利用計算機實施詐騙、盜竊、貪污、挪用公款的計算機犯罪案件，以及造成不良社會影響的計算機安全事故，屬于信息安全事故。第五十二條 各相關(guān)部門根據(jù)要求建立詳

13、細的安全事件響應(yīng)機制，規(guī)定在安全事件的發(fā)現(xiàn)、上報、分析、處理、總結(jié)和獎懲階段的相關(guān)責任和程序，最大限度地減少安全事件造成的損害。第五十三條 對安全事件做好記錄和存檔工作，記錄內(nèi)容包括事件的起因、處理過程、處理結(jié)果、建議改進的安全對策等。第九節(jié) 應(yīng)急計劃第五十四條 針對不同的安全事件，必須制定相應(yīng)的應(yīng)急計劃，內(nèi)容至少包括計劃的準備、演練、實施、系統(tǒng)恢復方案四個組成部分，各部門應(yīng)定期上報應(yīng)急計劃內(nèi)容。第五十五條 通過應(yīng)急計劃的演練測試檢查應(yīng)急計劃的有效性和資源的可用性，并根據(jù)演練結(jié)果進行應(yīng)急計劃的調(diào)整。第十節(jié) 系統(tǒng)開發(fā)與維護（一）承建商管理第五十六條 資訊科技部是全局計算機信息系統(tǒng)承建商管理的第一

14、責任人。第五十七條 計算機信息系統(tǒng)承建商必須遵守上海世茂信息安全管理制度，必須簽署保密協(xié)議；在提供優(yōu)質(zhì)的開發(fā)、維護服務(wù)的同時，不得擅自修改正式生產(chǎn)系統(tǒng)中的數(shù)據(jù)。（二）計算機信息系統(tǒng)建設(shè)第五十八條 計算機信息系統(tǒng)的規(guī)劃和建設(shè)應(yīng)同步做好系統(tǒng)安全保護工作，以確保系統(tǒng)安全目標的實現(xiàn)。重要計算機信息系統(tǒng)立項的安全管理實行審批制度。對初審合格的項目申報材料，應(yīng)進行安全性專項審查，提出審查意見后由資訊科技部最后審批。對沒有通過安全管理審查的項目，不得予以立項。第五十九條 計算機信息系統(tǒng)的開發(fā)必須符合軟件工程規(guī)范，并在軟件開發(fā)的各階段按照安全管理目標進行管理和實施。計算機信息系統(tǒng)的開發(fā)人員或參加開發(fā)的協(xié)作單位

15、應(yīng)經(jīng)過嚴格資格審查，并簽訂保密協(xié)議書，承諾其負有的安全保密責任和義務(wù)。計算機信息系統(tǒng)的開發(fā)環(huán)境和現(xiàn)場應(yīng)當與生產(chǎn)環(huán)境和現(xiàn)場隔離。計算機信息系統(tǒng)開發(fā)完成后，開發(fā)人員或參加開發(fā)的外部單位應(yīng)及時移交程序源代碼及其相關(guān)技術(shù)文檔。第六十條 計算機信息系統(tǒng)投入運行前，應(yīng)向資訊科技部系統(tǒng)管理員提交性能測試報告；系統(tǒng)管理員對性能測試報告進行初步審查；初審合格后，安排生產(chǎn)環(huán)境部署。（三）計算機信息系統(tǒng)運行第六十一條 計算機信息系統(tǒng)的使用部門應(yīng)當嚴格用戶和密碼（口令）的管理，業(yè)務(wù)操作員應(yīng)嚴格按照操作培訓要求進行操作，保證系統(tǒng)安全運行；對計算機信息系統(tǒng)在運行過程中出現(xiàn)的異?，F(xiàn)象，有責任向部門領(lǐng)導和資訊科技部報告。第六

16、十二條 計算機信息系統(tǒng)應(yīng)定期進行數(shù)據(jù)備份，對備份介質(zhì)應(yīng)按有關(guān)規(guī)定指定專人妥善保管。重要計算機信息系統(tǒng)應(yīng)當制定應(yīng)急計劃，保證業(yè)務(wù)的不間斷運行。第六十三條 系統(tǒng)管理員應(yīng)合理配置操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)所提供的安全審計功能，以達到相應(yīng)安全等級標準，應(yīng)及時安裝正式發(fā)布的系統(tǒng)補丁，修補系統(tǒng)存在的安全漏洞；并屏蔽與應(yīng)用系統(tǒng)無關(guān)的所有網(wǎng)絡(luò)功能，防止非法用戶的侵入；第六十四條 系統(tǒng)管理員不得泄露操作系統(tǒng)、數(shù)據(jù)庫的系統(tǒng)管理員帳號、密碼。聯(lián)網(wǎng)設(shè)備的IP地址及網(wǎng)絡(luò)參數(shù)，必須按照網(wǎng)絡(luò)管理規(guī)范及其業(yè)務(wù)應(yīng)用范圍進行設(shè)置，非系統(tǒng)管理人員不得修改。第六十五條 系統(tǒng)管理員應(yīng)對重要業(yè)務(wù)的計算機信息系統(tǒng)進行日常巡檢，監(jiān)測系統(tǒng)運行日

17、志，掌握系統(tǒng)運行狀況；發(fā)現(xiàn)系統(tǒng)運行異常應(yīng)及時通報主管領(lǐng)導。（四）上線管理第六十六條 計算機信息系統(tǒng)正式使用前必須經(jīng)過系統(tǒng)使用部門的整體功能測試和性能測試（對原有系統(tǒng)的功能升級必須經(jīng)過系統(tǒng)操作員的功能認可），才能在正式生產(chǎn)環(huán)境部署。（五）驗收管理第六十七條 必須經(jīng)過資訊科技部評估，需要簽訂合同獨立開發(fā)的業(yè)務(wù)軟件系統(tǒng)必須進行系統(tǒng)驗收；第六十八條 需要驗收的系統(tǒng)必須經(jīng)項目管理與咨詢公司審核項目文檔以及上海世茂資訊科技部負責人審核確認后進行。（六）需求數(shù)據(jù)變更第六十九條 業(yè)務(wù)操作員對已經(jīng)上線運行的信息系統(tǒng)提出需求修改要求以及數(shù)據(jù)變更要求時，系統(tǒng)開發(fā)員需要準確紀錄需求，并整理為需求確認單或數(shù)據(jù)確認單。第

18、七十條 系統(tǒng)開發(fā)員對業(yè)務(wù)操作員簽字確認后的需求確認單、數(shù)據(jù)確認單進行系統(tǒng)處理，處理后的結(jié)果由業(yè)務(wù)操作員進行確認。第十一節(jié) 符合性（一）正版軟件第七十一條 資訊科技部是全局推進使用正版化軟件工作的第一責任人。第七十二條 公司內(nèi)軟件正版化工作實行使用責任制。各部門的主要負責人是本推進使用正版軟件工作的第一責任人，對本部門使用非正版軟件、損害公司形象的，承擔領(lǐng)導責任。軟件正版化工作列入各部門年終考核。（二）性能要求第七十三條 業(yè)務(wù)應(yīng)用軟件開發(fā)類項目正式上線前必須進行性能測試，達到性能測試要求后部署正式環(huán)境；第十二節(jié) 管理審計與評估第七十四條 安全管理審計是參照一定的安全標準對運維過程和信息系統(tǒng)本身進

19、行安全評價的過程。此過程重點關(guān)注運維管理工作是否有效地保護了信息系統(tǒng)的安全。第七十五條 風險評估主要依靠技術(shù)手段評估特定的內(nèi)外威脅可能對信息系統(tǒng)造成的損失，此工作主要關(guān)注信息系統(tǒng)本身存在哪些漏洞、面臨哪些威脅、可能遭到什么樣的損害。第七十六條 上海世茂資訊科技部應(yīng)制定安全巡檢機制，每半年組織一次安全管理內(nèi)部審計，發(fā)現(xiàn)在安全運維管理方面存在的問題；并定期（間隔最長不超過半年）對網(wǎng)絡(luò)與信息系統(tǒng)進行風險評估，并對評估出來的問題和隱患進行及時整改。第七十七條 各部門根據(jù)實際情況對所轄系統(tǒng)不定期進行安全自評估。第十三節(jié) 獎懲第七十八條 執(zhí)行上海世茂計算機信息系統(tǒng)安全管理體系，計算機安全管理工作成績突出的

20、部門與個人，由資訊科技部報領(lǐng)導小組后，對其進行通報表彰，并給予一定形式的獎勵。第七十九條 違反上海世茂計算機信息系統(tǒng)安全管理體系，造成重大安全事故或計算機犯罪的，根據(jù)有關(guān)部門法律法規(guī)，追究其主管領(lǐng)導、相關(guān)部門及其他直接責任人的責任。第八十條 違反上海世茂計算機信息系統(tǒng)安全管理體系的單位與個人，由資訊科技部報領(lǐng)導小組后，通報批評。第五章 安全技術(shù)體系第一節(jié) 概 述第八十一條 為切實防范網(wǎng)絡(luò)攻擊、保護上海世茂網(wǎng)絡(luò)和信息安全，解決網(wǎng)絡(luò)中存在的各種安全問題，需要運用訪問控制、身份認證、冗余恢復、審計響應(yīng)、內(nèi)容安全等多種安全技術(shù)構(gòu)建上海世茂安全技術(shù)體系。第二節(jié) 訪問控制第八十二條 訪問控制的目標是通過設(shè)

21、定對計算機資源（包括信息、網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)庫、應(yīng)用等）的訪問策略，實現(xiàn)授權(quán)用戶通過正確的方式訪問資源，阻止未授權(quán)用戶有意或無意獲得訪問權(quán)限。第八十三條 設(shè)定訪問控制策略的原則是“除明確允許執(zhí)行情況外必須禁止”。第八十四條 安全域劃分是對系統(tǒng)實施分級安全保護的前題條件，安全管理工作組必須要對網(wǎng)絡(luò)劃分安全域，明確網(wǎng)絡(luò)邊界和保護等級，實現(xiàn)網(wǎng)絡(luò)之間的有效隔離和訪問控制。第八十五條 在網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用層面制定訪問控制和權(quán)限管理策略，并加強人員管理，保證安全有效的訪問控制。第三節(jié) 身份認證第八十六條 加強面向網(wǎng)絡(luò)和信息系統(tǒng)用戶的管理，包括用戶身份管理、帳號和口令管理、權(quán)限管理、認證和授權(quán)。第八十七條 用戶

22、帳戶的設(shè)定應(yīng)符合“職責分離”的原則。第八十八條 對于重要系統(tǒng)應(yīng)采用雙因素或多因素認證機制。第八十九條 定期審計身份鑒別，對發(fā)現(xiàn)的異常進行及時處理，對累積性事件進行必要的趨勢分析。第四節(jié) 冗余恢復第九十條 冗余恢復主要是針對網(wǎng)絡(luò)、操作系統(tǒng)、應(yīng)用系統(tǒng)以及數(shù)據(jù)可能發(fā)生的異常情況，為保障信息系統(tǒng)連續(xù)性所做的準備和防范措施。第九十一條 應(yīng)根據(jù)系統(tǒng)的重要程度，制定數(shù)據(jù)與軟件的備份策略，明確備份周期和方法，并提供充足的備份設(shè)施，并定期進行備份數(shù)據(jù)恢復演練。第九十二條 系統(tǒng)內(nèi)重要主機、支持重要應(yīng)用的網(wǎng)絡(luò)設(shè)備應(yīng)有冗余設(shè)置，應(yīng)采用技術(shù)措施保證服務(wù)器出現(xiàn)故障經(jīng)更換或修復后，能夠自動安裝操作系統(tǒng)、應(yīng)用軟件，并恢復數(shù)據(jù)

23、。第五節(jié) 日志審計與響應(yīng)第九十三條 日志審計是對主機、網(wǎng)絡(luò)的運行狀況，尤其是資源的訪問情況進行記錄、檢查、監(jiān)控以及完整性檢查等；響應(yīng)主要指對網(wǎng)絡(luò)安全問題的實時檢測、告警和處理。第九十四條 系統(tǒng)內(nèi)重要主機上應(yīng)部署日志審計產(chǎn)品并定期進行漏洞掃描。第九十五條 重要的信息系統(tǒng)應(yīng)部署入侵檢測設(shè)備，并配備相應(yīng)的告警和處理機制。第六節(jié) 內(nèi)容安全第九十六條 內(nèi)容安全指防止傳輸和存儲的數(shù)據(jù)（信息）泄漏、甄別應(yīng)用和數(shù)據(jù)的合法性。包括加密、防病毒、垃圾郵件過濾網(wǎng)關(guān)、內(nèi)容過濾等產(chǎn)品。第九十七條 應(yīng)部署覆蓋全網(wǎng)的多級防病毒系統(tǒng)，并定期進行病毒庫升級。第六章 安全檢查第九十八條 為提高各部門人員及管理人員安全意識，不斷促

24、進安全防范及管理工作深入進行，信息安全委員會應(yīng)制定對安全管理工作的檢查和考核制度并組織和執(zhí)行安全檢查工作。第九十九條 安全檢查的內(nèi)容至少要包括安全組織、安全規(guī)劃建設(shè)、信息資產(chǎn)管理、人員安全、安全培訓、物理環(huán)境安全、安全運維、安全事件處理、設(shè)備配置安全、應(yīng)急計劃、入網(wǎng)安全、管理審計與評估、軟件版權(quán)、訪問控制、身份認證、冗余恢復、日志審計與響應(yīng)、內(nèi)容安全等方面。第一百條 應(yīng)將安全工作逐步納入到工作人員的績效考核體系中。第一章檢查內(nèi)容第一節(jié) 組織結(jié)構(gòu)第一條檢查安全組織機構(gòu)建設(shè)情況：1. 安全組織；2. 專（兼）職安全管理員；3. 人員變動情況。第二條檢查人員管理情況：1. 健全的網(wǎng)絡(luò)與信息安全管理制

25、度；2. 網(wǎng)絡(luò)與信息安全學習、培訓；3. 重要崗位安全管理。第二節(jié) 機房檢查第三條檢查機房環(huán)境：1. 外部供電系統(tǒng)；2. 內(nèi)部供電系統(tǒng)；3. 應(yīng)急照明；4. 主機房環(huán)境溫度、濕度控制；5. 防火系統(tǒng)；6. 場地監(jiān)控；7. 門禁保安；8. 緊急聯(lián)絡(luò)；9. 接地系統(tǒng)；10. 防盜設(shè)施；11. 靜電防護措施；12. 防電磁干擾措施；13. 防雷裝置。第四條檢查機房的日常管理：1. 工作交接手續(xù)；2. 各類數(shù)據(jù)和存儲介質(zhì)管理；3. 過期報表和作廢文檔的銷毀；4. 硬件設(shè)備的管理和維護；5. 各種設(shè)施有效性的定期檢查；6. 機房工程改變、維修操作、設(shè)備的調(diào)出的審批。第五條檢查生產(chǎn)管理制度：1. 機房操作

26、員、系統(tǒng)管理員崗位職責；2. 機房出入管理制度；3. 機房場地、設(shè)施及設(shè)備管理制度；4. 進出機房人員登記簿；5. 系統(tǒng)運行日志；6. 設(shè)備維護登記簿。第三節(jié) 網(wǎng)絡(luò)系統(tǒng)檢查第六條檢查網(wǎng)絡(luò)建設(shè)：1. 上海世茂集團網(wǎng)絡(luò)規(guī)劃、設(shè)計、改造過程中的安全考慮；2. 網(wǎng)絡(luò)建成后的安全評審；3. 設(shè)備備份和線路備份；4. 網(wǎng)絡(luò)設(shè)計、實施階段文檔；5. 文檔（包括：網(wǎng)絡(luò)設(shè)計方案、網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖、網(wǎng)絡(luò)配置參數(shù)、IP地址分配方案等）的保管。第七條檢查網(wǎng)絡(luò)安全規(guī)定：1. 網(wǎng)絡(luò)的管理和維護工作；2. 辦公網(wǎng)等內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間的安全隔離措施；3. 專線連接中防火墻等安全措施；4. 撥號連接中防火墻、身份認證和回撥等安全措施；5. 網(wǎng)絡(luò)中身份認證、加密、訪問控制、數(shù)字簽名、事件審計等安全技術(shù)和措施；6. 互聯(lián)網(wǎng)上網(wǎng)管理辦法或規(guī)定；7. 對撥號上互聯(lián)網(wǎng)的計算機和調(diào)制解調(diào)器的登記記錄。第八條檢查網(wǎng)絡(luò)運維：1. 重要網(wǎng)絡(luò)設(shè)備口令的管理；2. 口令的定期更換；3. 網(wǎng)絡(luò)實時監(jiān)控和事件報警響應(yīng)機制；4. 專人定期或不定期監(jiān)測網(wǎng)絡(luò)設(shè)備性能參數(shù)和網(wǎng)絡(luò)運行狀況；5. 對涉及網(wǎng)絡(luò)配置的增、刪、修改等操作的審批手續(xù)和配置更改記錄；6. 備機、備件及備用線路的定期檢測和維護。第四節(jié) 主機