信息安全政策方針模板

廣州xxx信息安全政策方針歷史版本編寫、批準、發(fā)布信息記錄表版本號創(chuàng)建人/創(chuàng)建日期批準人/批準日期生效日期V1.0//////////////////////////////文檔修改記錄序號修改章節(jié)文件更改通知單編號修改日期修改人批準人第1章基本方針44第2章對策方針66第1節(jié)信息安全管理體制66第2節(jié)信息資產(chǎn)的保護對策77第3節(jié)信息的管理1010第4節(jié)信息設(shè)備、媒體的管理1111第5節(jié)個人信息的管理1313第6節(jié)信息系統(tǒng)的使用人員管理1515第7節(jié)訪問控制1616第8節(jié)系統(tǒng)管理員特權(quán)1717第9節(jié)系統(tǒng)操作記錄1717第10節(jié)可用性對策1818第11節(jié)網(wǎng)絡(luò)安全1919第12節(jié)互聯(lián)網(wǎng)和電子郵件的利用2020第13節(jié)計算機病毒對策2121第14節(jié)安全漏洞對策2222第15節(jié)軟件的管理2323第16節(jié)本單位信息系統(tǒng)的構(gòu)筑、運用2323第17節(jié)設(shè)備對策2424第18節(jié)發(fā)生侵害信息安全時的對應(yīng)2525第19節(jié)外包管理2626第20節(jié)單位成員就職、辭職和人事變動時的措施2626第21節(jié)信息安全的維持活動2727各種細則2727第1章基本方針（目的）第1條 本信息安全政策之“基本方針”以及“對策方針”（以下稱“本政策”）闡明了廣州xxx（以下稱“本單位”）對信息資產(chǎn)管理和信息安全的觀點，是針對信息安全對策的方針而制定的，以實現(xiàn)下述事項為目的。?保護客戶以及本單位的知識產(chǎn)權(quán)（包括機密信息和私人信息）?明確應(yīng)該保護的信息資產(chǎn)以及對策?與信息安全相關(guān)的風險管理以及安全等級的維持、均一化?統(tǒng)一采取信息安全對策方面的判斷標準?提高單位成員對信息安全的意識?有法必依，照章行事（構(gòu)成）第2條 本政策由規(guī)定本單位信息安全方面的基本且一般性方向的“基本方針”以及按各條款規(guī)定具體性事項以及指標的“對策方針”構(gòu)成。“對策方針”是本單位在信息安全方面必須施行對策的條款中，所應(yīng)該施行事項或者應(yīng)該達到最低水平的指標，是基于以下構(gòu)想而制定的。?從機密性、正確性、可用性的觀點出發(fā)對信息資產(chǎn)的重要程度設(shè)立各個條款，將其分別設(shè)定為與上述重要程度相應(yīng)的條款或指標。?對于信息資產(chǎn)的訪問權(quán)（含瀏覽、更改、程序的起動）僅根據(jù)業(yè)務(wù)需要授權(quán)。?信息安全管理中，極力避免人員管理內(nèi)容，積極采用信息技術(shù)，有組織地提高信息安全對策的可靠性為宗旨。（適用人員以及適用業(yè)務(wù)）第3條 本政策適用于就職于本單位的所有雇員及派遣員工。外包對象，也必須遵守本政策。本政策中所提及的“外包對象”指：?合作單位及其員工?合同工（臨時工等）?服務(wù)供應(yīng)商及其員工（信息資產(chǎn)的對象）第4條本政策信息資產(chǎn)對象包含各種文檔以及數(shù)據(jù)等本單位的所有信息，此外還包括軟硬件以及各種數(shù)據(jù)文件等信息技術(shù)性信息資產(chǎn)。（經(jīng)營職責）第5條信息安全主管領(lǐng)導(dǎo)要在理解本政策宗旨以及內(nèi)容的基礎(chǔ)上，給予足夠的重視，在遵守其規(guī)定的同時，還要按照本政策采取與信息安全有關(guān)的對策措施。信息安全主管領(lǐng)導(dǎo)要努力確保本政策所規(guī)定的條款穩(wěn)定，不要隨意變更，此外，當本政策所規(guī)定的條款存在不符合客觀實際情況等不妥善之處時，要爭取及時將其予以妥善修改。信息安全主管領(lǐng)導(dǎo)要率先推進乃至實行基于本政策的信息安全對策。（單位成員的職責）第6條全體單位成員要在理解本政策的宗旨及內(nèi)容的基礎(chǔ)上給予足夠的重視，遵守其規(guī)定。全體單位成員要努力加深對信息安全的認識和理解。（信息安全管理組織）第7條為了進行信息安全對策的起草提案以及維持管理，設(shè)置信息安全委員會（SM委員會），由信息安全主管領(lǐng)導(dǎo)指名任命信息安全委員會委員長（SM委員長）。各項目或各部的負責人（項目負責人、部長）要對各項目或各部遵守本政策以及有關(guān)規(guī)程進行管理，同時還要實施和審核信息安全對策。實施時，要指定各項目以及各部的信息安全主管（SM）。被指定的信息安全主管（SM）以信息安全委員會（SM委員會）的一員從事活動。組織體系依據(jù)本政策末尾所記載的信息安全管理組織圖設(shè)立。（遵守法令等）第8條 除本政策以及有關(guān)規(guī)程外，當法令、行政機構(gòu)、本行業(yè)團體制定有關(guān)信息安全的指針中有與本單位的指針一致的話，必須遵守。第2章對策方針第1節(jié)信息安全管理體制（信息安全委員會委員長（SM委員長））第9條 信息安全委員會委員長（SM委員長）負責指揮、監(jiān)督信息安全對策的實施、維持。信息安全委員會委員長（SM委員長）設(shè)置信息安全委員會，指揮信息安全對策的實施。信息安全委員會委員長（SM委員長）向總經(jīng)理報告全單位的信息安全對策的實施情況。（信息安全委員會（SM委員會））第10條 信息安全委員會（SM委員會）由信息安全委員會委員長（SM委員長）設(shè)置，主管全單位信息安全對策推進、維持管理有關(guān)業(yè)務(wù)，執(zhí)行信息安全有關(guān)業(yè)務(wù)的具體業(yè)務(wù)。信息安全委員會（SM委員會）是各個項目和各部申報、申請、出現(xiàn)緊急情況時報告的主管部署，在單位內(nèi)起橫向管理的作用。信息安全委員會（SM委員會）向主管領(lǐng)導(dǎo)報告全單位信息安全對策的實施情況。但重要事項要向信息安全委員會提出提案。從信息安全委員會中選拔出以下負責人。各個負責人的作用如下：?設(shè)施管理人員 對接受委托的開發(fā)環(huán)境等辦公場所和服務(wù)器機房的出入進行管理。?網(wǎng)絡(luò)管理人員 與網(wǎng)絡(luò)整體有關(guān)的管理。?電腦、服務(wù)器管理人員 電腦和服務(wù)器安全對策的管理、設(shè)備管理。?數(shù)據(jù)管理人員 測試數(shù)據(jù)和正式數(shù)據(jù)（書面、電子數(shù)據(jù)）的拿入和拿出、保管和復(fù)制、廢棄、備份制作、開發(fā)文檔類的管理。（各個項目和各部的信息安全管理）第11條 各個項目和各部的項目負責人、部長作為各個項目和各部的信息安全對策負責人，實施信息安全對策的貫徹普及、維持管理。各個項目和各部的項目負責人、部長向信息安全委員會（SM委員會）報告各項目和各部信息安全對策的實施情況。各個項目和各部的項目負責人、部長為了在各項目或部內(nèi)貫徹信息安全對策，可以指定信息安全主管（SM）。信息安全主管（SM）對項目或部內(nèi)的信息安全對策實施提供支持，向項目負責人以及部長報告其實施情況。（教育負責部署）第12條 教育負責部署的任務(wù)是為提高單位成員的安全意識，徹底貫徹落實本政策，開展教育計劃的規(guī)劃、起草、實施。（其他組織部門）第13條 構(gòu)筑可與客戶、服務(wù)提供商、信息安全專業(yè)機構(gòu)等保持適當聯(lián)系的信息安全有關(guān)體制。第2節(jié)信息資產(chǎn)的保護對策（對來自單位外部組織信息的接收限制）第14條 除業(yè)務(wù)需要外，不擅自從客戶或交易對方等單位外部組織獲取重要信息。（根據(jù)重要度管理）第15條 對于本單位擁有的全部重要信息資產(chǎn)根據(jù)其重要度采取相應(yīng)的管理和對策。（重要度的定義）第16條信息的重要度從機密性（Confidentiality）?完整性（Integrity）?可用性（Availability）的觀點來確定。此外，還規(guī)定：所謂機密性是指信息的隱匿性，只有正當?shù)臋?quán)限人員才能參閱信息；所謂完整性是指信息正確且具有整合性，信息之間不存在矛盾；所謂可用性是指信息以及信息系統(tǒng)在需要時隨時可以提供。其各個等級定義如下：保護信息資產(chǎn)的觀點等級定義機密性（非公開）(Confidentiality)當開示或泄漏給無瀏覽權(quán)限的人時，會極大地損害來自客戶的信賴，給本單位的經(jīng)營帶來巨大損害的信息，包括以下內(nèi)容:-客戶編制的開發(fā)規(guī)章類、規(guī)格書、設(shè)計書、操作手冊-客戶編制的程序源、軟件（提高開發(fā)效率的工具等）-客戶系統(tǒng)環(huán)境相關(guān)信息（網(wǎng)絡(luò)構(gòu)成圖等）-客戶（系統(tǒng)）辦理的機密信息（含個人信息）-客戶企業(yè)的職工信息-與客戶企業(yè)的業(yè)務(wù)有關(guān)的現(xiàn)在或者未來的計劃、方針-含有由客戶提供的技術(shù)或?qū)I(yè)技能的信息當開示或泄漏給無瀏覽權(quán)限的人員時，有可能給本單位的經(jīng)營造成損害的信息，包括以下內(nèi)容:-外包單位職工的信息（含各個職工的技能信息）-與本單位經(jīng)營戰(zhàn)略有關(guān)的信息-本單位的財務(wù)、人事信息（含職工的評價信息）-與本單位系統(tǒng)有關(guān)的信息（含程序源、文檔、測試數(shù)據(jù)等）保護信息資產(chǎn)的觀點等級定義機密性（非公開）(Confidentiality)當開示或泄漏給無瀏覽權(quán)限的人時，會極大地損害來自客戶的信賴，給本單位的經(jīng)營帶來巨大損害的信息，包括以下內(nèi)容:-客戶編制的開發(fā)規(guī)章類、規(guī)格書、設(shè)計書、操作手冊-客戶編制的程序源、軟件（提高開發(fā)效率的工具等）-客戶系統(tǒng)環(huán)境相關(guān)信息（網(wǎng)絡(luò)構(gòu)成圖等）-客戶（系統(tǒng)）辦理的機密信息（含個人信息）-客戶企業(yè)的職工信息-與客戶企業(yè)的業(yè)務(wù)有關(guān)的現(xiàn)在或者未來的計劃、方針-含有由客戶提供的技術(shù)或?qū)I(yè)技能的信息當開示或泄漏給無瀏覽權(quán)限的人員時，有可能給本單位的經(jīng)營造成損害的信息，包括以下內(nèi)容:-外包單位職工的信息（含各個職工的技能信息）-與本單位經(jīng)營戰(zhàn)略有關(guān)的信息-本單位的財務(wù)、人事信息（含職工的評價信息）-與本單位系統(tǒng)有關(guān)的信息（含程序源、文檔、測試數(shù)據(jù)等）1、3、4以外的信息（公開）巳經(jīng)一般公開的信息（公開）巳經(jīng)一般公開的信息保護信息資產(chǎn)的觀點等級定義完整性(Integrity)3當信息被不當篡改或者與實際不符時，會給本單位的經(jīng)營造成巨大損害的信息或者原本性高的信息，包括以下內(nèi)容：-接受客戶委托的業(yè)務(wù)而編制的程序源-接受客戶委托的業(yè)務(wù)而編制的規(guī)格書、設(shè)計書、操作手冊-關(guān)于客戶企業(yè)與本單位之間關(guān)系的信息（接受委托和委托關(guān)系、名稱、內(nèi)容）-與本單位經(jīng)營戰(zhàn)略有關(guān)的信息-本單位的財務(wù)、人事信息（含職工的評價信息）-本單位系統(tǒng)有關(guān)的信息（含程序源、文檔、測試數(shù)據(jù)等）2當信息被不當篡改或者與實際不符時，有可能給本單位的經(jīng)營造成損害的信息，包括以下的內(nèi)容：-外包單位職工信息（含各個職工的技能信息）12、3以外的信息保護信息資產(chǎn)的觀點等級定義可用性(Availability)3當無法使用時，會給本單位的經(jīng)營或者客戶造成巨大損害，因此要求隨時可以使用的信息以及信息系統(tǒng)。

2當無法使用時，會給本單位造成損害，但允許在一定時間內(nèi)處于不能使用狀態(tài)的信息以及信息系統(tǒng)，包括以下內(nèi)容：-電子郵件系統(tǒng)-客戶系統(tǒng)開發(fā)用服務(wù)器-文件共享服務(wù)器（源程序和文檔管理用服務(wù)器）12、3以外的信息以及信息系統(tǒng)（重要度的分類）第17條 徹底清查本單位所擁有的全部重要信息資產(chǎn)，編制出目錄，根據(jù)重要度的定義進行重要度分類。（重要度的指定和維持管理）第18條 對信息的重要度，要適時進行重審。此外，當對信息的重要度進行變更時，要告知全體有關(guān)人員。第3節(jié)信息的管理（貼標簽）第19條 當發(fā)布含有重要度高（等級2、3、4）的信息文書、可攜帶媒體（軟磁盤、磁帶、CD-ROM等）時，要根據(jù)其機密度貼上適當?shù)臉撕灐＃ū９埽┑?0條 信息資產(chǎn)的保管要確定管理負責人，根據(jù)其重要度確定保管場所、有效期限（保管期限）、保管方法、保管媒體。特別是法定帳票或?qū)κ聵I(yè)維續(xù)不可缺少的信息、作為組織進行的記錄、客戶寄存的信息資產(chǎn)要嚴加保護，避免出現(xiàn)丟失/消失、損壞以及篡改等危險。此外，對于客戶寄存的信息不要用于其目的以外的用途。非公開信息不要放任不管，要進行適當?shù)墓芾恚龅讲皇蛊漭p易地就能閱讀到。機密文件不要放在辦公桌上（鎖入柜子后回家）。離開位子時，應(yīng)鎖定計算機，不要讓重要數(shù)據(jù)顯示在屏幕上，并且使用帶密碼的屏保。（復(fù)制、分發(fā)）第21條 復(fù)制以及分發(fā)（包括從系統(tǒng)中下載）要控制在業(yè)務(wù)所需的最小限度范圍內(nèi)。復(fù)制、分發(fā)客戶寄存的信息資產(chǎn)時，原則上要事先征得客戶的許可。通過電子郵件的發(fā)送或經(jīng)由互聯(lián)網(wǎng)的文件傳送同樣如此。原則上嚴禁將重要信息帶到單位外。因業(yè)務(wù)需要不得不帶出時，要取得所屬項目的項目負責人或所屬部署負責人的同意。復(fù)制、分發(fā)重要信息時，要記錄管理所分發(fā)的范圍。關(guān)于客戶寄存的信息資產(chǎn)，未經(jīng)客戶許可，嚴禁將其帶出客戶許可保管以外的場所。（授受）第22條 由于業(yè)務(wù)上的需要與單位外組織進行信息授受時，要采取適當?shù)谋Ｗo措施。（對交易對方明示）第23條 向交易對方或單位外組織明示信息時，要根據(jù)內(nèi)容的重要度對明示范圍、明示對象單位、明示期間、明示理由、明示狀況等進行妥善管理。（對公眾的公開）第24條 向大眾媒體、大眾的問詢公開提供本單位的信息時，要向總經(jīng)理以及管理該信息的項目或者部署申報公開范圍、公開對象、公開期限、公開理由等并取得同意。此外，公開與有關(guān)客戶的信息時，要事先征得客戶的同意?？偨?jīng)理以及信息安全委員會（SM委員會）要充分掌握公開狀況。公開信息時，要采取妥善的保護措施，避免被篡改等風險。（向官方機構(gòu)的明示）第25條 當收到官方機構(gòu)等明示信息的要求時，要確認其根據(jù)的正當性，對其妥當性進行判斷后方予以明示。（由單位進行的信息閱覽）第26條 信息安全委員會委員長（SM委員長）認為有必要時，對單位內(nèi)擁有的信息可以無事先通告進行閱覽。但閱覽信息時，在注意隱私的同時，嚴禁用于閱讀以外的用途。（返還）第27條 客戶寄存的信息資產(chǎn)原則上要返還。此外，該信息資產(chǎn)的管理負責人要確認已返還給客戶，并就此與客戶聯(lián)系。（廢棄）第28條 當廢棄信息設(shè)備、媒體、紙張等時，要徹底抹消重要的數(shù)據(jù)或者被授予使用許可的軟件等，或者進行粉碎處理、設(shè)備的粉碎等，使其變成難以讀取的狀態(tài)。（保密）第29條 與機密信息管理有關(guān)的詳細步驟另行在《保密規(guī)則》中規(guī)定。要根據(jù)該規(guī)則妥善管理與業(yè)務(wù)有關(guān)的信息。第4節(jié)信息設(shè)備、媒體的管理（管理負責人）第30條 要明確信息設(shè)備的管理責任人，采取妥善的保護措施。（登記管理）第31條 關(guān)于信息設(shè)備，要對資產(chǎn)管理編號（或者租賃合同編號等）、引進日、設(shè)置場所、負責人員等進行底帳管理。（設(shè)置情況的監(jiān)查）第32條 要定期監(jiān)查信息設(shè)備是否有丟失或者是否設(shè)置有非法的信息設(shè)備（調(diào)制解調(diào)器等）。（設(shè)備的新追加、增設(shè)）第33條 當新追加或者增設(shè)信息設(shè)備時，要向信息安全委員會（SM委員會）報備。（向第三者的出借/返還）第34條 信息設(shè)備原則上不出借。當業(yè)務(wù)上需要時，要向信息安全委員會（SM委員會）申報借出對方、借出對方負責人（主管人）、借出方負責人（主管人）、期限、理由、目的等并取得批準。（移送）第35條 當在網(wǎng)點之間移送收納有重要信息（定義之例：任何一個CIA即便只有一個也屬于1級）的信息設(shè)備或媒體時，要針對丟失、被盜、偷窺等采取妥善的保護措施。（設(shè)備的搬入/搬出）第36條 原則上嚴禁將信息設(shè)備搬入/搬出（包括可以存儲信息的手機或便攜式終端）。出于業(yè)務(wù)需要必須要搬入/搬出時，要向項目負責人、部長申報理由、信息設(shè)備名稱等并取得批準。此外，在軟件接受委托開發(fā)業(yè)務(wù)的環(huán)境下，原則上未經(jīng)客戶許可嚴禁將信息設(shè)備搬入/搬出，不過因業(yè)務(wù)需要必須搬入時，要向項目負責人、部長申報并取得批準。（1）設(shè)備的搬出?當要將保存有重要信息（任何一個CIA即便只有一個也是3級以上）的設(shè)備搬出時，必須施行用戶ID密碼認證以及硬盤等外存裝置的加密，而且還要采取妥善的信息保護措施。?在電車內(nèi)等公共場所中，要時刻注意周圍的情況，防止被偷窺。?當不攜帶或者不使用時，要存放在筆記本電腦存放架（設(shè)置在規(guī)定場所）上，搬出時要在搬出管理簿上進行搬出登記。（2）設(shè)備的搬入?搬入設(shè)備時，在接入單位內(nèi)網(wǎng)絡(luò)之前，先通過更新病毒碼文件或者補丁文件適用后的防毒軟件殺毒，確認安全后再行接入。（明確運用規(guī)則）第37條 關(guān)于共用的信息設(shè)備（含服務(wù)器），要規(guī)定明確的運用規(guī)則，進行妥善的保養(yǎng)管理。此外，要記錄運用的作業(yè)履歷。（修理和保養(yǎng)）第38條 進行信息設(shè)備的修理時，要通過信息安全委員會（SM委員會）規(guī)定的管理部門/主管人員施行。當因修理而需要搬運時，要采取妥善的管理辦法（數(shù)據(jù)的刪除、抹消、蓋寫）。當修理后返還時，要確認是否存在故障、是否有信息欠缺、是否被裝入非法程序（包括病毒）。第5節(jié)個人信息的管理（收集）第39條 只對業(yè)務(wù)上必需的最小限度的信息通過合法且公正的方法進行收集，原則上在向本人說明使用目的后征得同意之后再行收集。（使用）第40條 嚴禁用于收集時之目的以外的用途。（明示、修改、刪除）第41條 個人信息的本人要求對自己的個人信息進行明示、修改、刪除和停止利用時，在進行嚴格的本人確認后盡快予以施行。（對外委托）第42條 當將與個人信息有關(guān)的處理對外委托時，要求施行與在本單位內(nèi)同等程度的管理。（接受外部的委托）第43條 當接受外部委托進行有關(guān)個人信息的處理時，要遵守委托方的個人信息管理準則。第6節(jié)信息系統(tǒng)的使用人員管理（信息系統(tǒng)的使用原則）第44條 本單位向單位成員提供的信息系統(tǒng)（計算機、網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)等）原則上應(yīng)以業(yè)務(wù)目的使用。（使用人員認證）第45條 訪問本單位信息系統(tǒng)時，要根據(jù)重要度編入適當?shù)氖褂谜哒J證體制。（ID管理）第46條 用戶ID必須給每個使用者分配一個ID，嚴禁共用ID。有必要設(shè)定業(yè)務(wù)代理時，重新發(fā)行代理人使用的ID，并對其賦予權(quán)限。但是，統(tǒng)籌部署（管理該系統(tǒng)有關(guān)安全方面的部署）批準的情形不在此限。被賦予ID的人員要在被認可的權(quán)限范圍內(nèi)使用，妥善地進行管理。被賦予ID的人員要在被認可的權(quán)限范圍內(nèi)進行使用，對用自己的ID進行的全部操作負有責任，不得將ID借給他人。用戶ID的發(fā)行必須按照信息安全委員會（SM委員會）批準的正式登記步驟進行管理。此外，對于ID發(fā)行的情況要進行底帳管理。因退職等原因而不再使用的ID要盡快停止其利用。此外，長時間不使用的ID要暫時停止或者停止其利用。ID（含管理員ID）要定期地（或者隨時地）重審，核查是否存在業(yè)務(wù)上不必要的ID。（密碼管理）第47條 要對密碼的定期變更、使用難以推測的文字列、強制變更初始密碼、限制再次使用過去使用過的密碼、禁止使用密碼保存功能等進行徹底地密碼管理。不要將密碼書寫在紙上張貼，或者把密碼告訴他人。輸入密碼時，務(wù)必由本人輸入。在設(shè)置密碼時，不能使用可以從名字等個人信息中破解出的密碼，或者英語單詞等。密碼應(yīng)為字母數(shù)字組合、大小寫組合，長度為8位以上，且每兩個月必須更新。第7節(jié)訪問控制（訪問控制）第48條 訪問權(quán)限要限定在業(yè)務(wù)需要范圍（閱覽、更新、執(zhí)行、刪除、生成、連接時間等）內(nèi)。訪問權(quán)限的設(shè)定要按照信息安全委員會（SM委員會）批準的正式設(shè)定步驟進行管理。此外，針對權(quán)限賦予的情況要進行底帳管理。訪問權(quán)限（包括管理員特權(quán)）要定期地（或者隨時地）進行重審，核查是否授予了業(yè)務(wù)上不必要的訪問權(quán)限。（離開座位時以及無人終端的保護）第49條 離開座位時或者為無人終端（服務(wù)器控制臺等）時，要注銷或者鎖定畫面。要設(shè)定在一定時間內(nèi)沒有訪問時，或者自動注銷，或者需要再次認證的機制（帶密碼的屏幕保護程序等）。第8節(jié)系統(tǒng)管理員特權(quán)（系統(tǒng)管理員特權(quán)）第50條 管理員特權(quán)的發(fā)行由信息安全委員會（SM委員會）進行全權(quán)管理。因人事變動等原因而進行管理員特權(quán)交接時，要變更ID或者密碼。將具有管理員特權(quán)的ID、密碼發(fā)行給單位外部的人員時，要以書面形式明示所許可的行為，對于保密以及禁止超越委托業(yè)務(wù)范圍的行為以及禁止泄露密碼要讓其提交誓約書。此外，在緊急情況下需要發(fā)行管理員特權(quán)時，在信息安全委員會（SM委員會）批準的基礎(chǔ)上，限于在必要的期間內(nèi)發(fā)行暫用ID、密碼，或者設(shè)定臨時性的管理員特權(quán)。第9節(jié)系統(tǒng)操作記錄（獲取日志的目的和必要性）第51條 為了迅速查明系統(tǒng)故障或者違章操作等原因，要對信息系統(tǒng)的利用人員、時間、利用內(nèi)容獲取相應(yīng)的日志。（獲取日志的項目）第52條 要根據(jù)信息的重要度以及系統(tǒng)環(huán)境（網(wǎng)絡(luò)環(huán)境和物理性環(huán)境等）相應(yīng)地確定獲取日志的項目。關(guān)于重要信息（機密等級4）的日志，原則上要獲取針對參閱、新建立、修改、刪除、打印操作成功以及失敗的日志。關(guān)于重要信息（機密等級3?2）的日志，原則上要獲取參閱成功的日志。根據(jù)信息安全委員會（SM委員會）的判斷，根據(jù)需要對上述以外的信息也要獲取日志。要獲取的日志作為可以與誘發(fā)該事象的使用者進行對應(yīng)的內(nèi)容。（日志的保管與管理）第53條 獲取的日志數(shù)據(jù)要根據(jù)信息的重要度以及系統(tǒng)環(huán)境（網(wǎng)絡(luò)環(huán)境或物理性環(huán)境等），在適當?shù)拿襟w（離線媒體等）上保管、管理適當?shù)闹芷冢ㄖ辽?個月以上）。獲取的日志最好保存在離線媒體上。此外，與重要度高的信息（任一個CIA即便只有一個也為3級以上）有關(guān)的日志，最好收納在不能寫入的媒體（CD-R等）上。為了確保日志數(shù)據(jù)解析的容易度以及證跡性，獲取日志對象系統(tǒng)的時間要全部同步。（日志的監(jiān)查）第54條 信息安全委員會（SM委員會）要定期地對獲取的日志數(shù)據(jù)進行監(jiān)查，調(diào)查是否存在違章操作。（日志的管理）第55條 日志數(shù)據(jù)要按信息資產(chǎn)對待，根據(jù)本政策采取妥善的對策。第10節(jié)可用性對策（網(wǎng)絡(luò)構(gòu)成和運用時的可用性對策）第56條 新構(gòu)筑、變更網(wǎng)絡(luò)時，在設(shè)計階段要對所設(shè)想到的高峰需求時的網(wǎng)絡(luò)性能必要條件進行設(shè)定。為了業(yè)務(wù)服務(wù)的穩(wěn)定運行以及早期發(fā)現(xiàn)故障，要根據(jù)重要度采用運用狀態(tài)自動監(jiān)視系統(tǒng)。（冗長構(gòu)成）第57條 要根據(jù)可用性的重要度，采取冗長構(gòu)成、使障礙極小化構(gòu)成、代替方法等對策。?對于重要信息（可用性等級3）的信息資產(chǎn)，采用使障礙極小化構(gòu)成（設(shè)備的雙重化等）?關(guān)于重要信息（可用性等級2）的信息資產(chǎn)，采取進行在線備份或者代替機的冷備份等可以迅速準備代替方法的措施。?關(guān)于重要信息（可用性等級1）的信息資產(chǎn)，采取進行離線備份等可以恢復(fù)到必要狀態(tài)的措施。（備份的獲?。┑?8條 對重要信息要定期獲取備份。此外，進行備份的信息要根據(jù)信息的重要度進行妥善地保護。備份要根據(jù)構(gòu)成對象的信息的重要度確定時機、保管世代數(shù)、方法、保管期限、保管場所。（備份媒體的保管）第59條 備份媒體含有重要信息時，要保管在可以上鎖的場所等，進行嚴格的管理。（保養(yǎng)和維護）第60條 當要求高度的可用性（3級）時，要根據(jù)容許停止時間，簽定設(shè)備、軟件的保養(yǎng)、維護合同。第11節(jié)網(wǎng)絡(luò)安全（單位內(nèi)網(wǎng)絡(luò)的管理）第61條 對每個網(wǎng)絡(luò)設(shè)定必要的安全等級，不同等級的網(wǎng)絡(luò)彼此連接時，要根據(jù)需要設(shè)置防火墻，將通信控制在只容許必要最小限度的通信內(nèi)。尤其是在接受委托進行軟件開發(fā)業(yè)務(wù)的開發(fā)環(huán)境中，原則上客戶的不同項目要采用分隔網(wǎng)絡(luò)環(huán)境的獨立LAN構(gòu)筑，嚴禁訪問與客戶達成協(xié)議以外的網(wǎng)絡(luò)環(huán)境。遠程訪問本單位的單位內(nèi)網(wǎng)絡(luò)時，要使用嚴格的認證方法（一次性密碼、呼叫回復(fù)、虛擬專用網(wǎng)絡(luò)等），必要時采用每次插入調(diào)制解調(diào)器電源等方式，徹底落實訪問管理。（與單位外組織之間的網(wǎng)絡(luò)連接）第62條 將本單位的網(wǎng)絡(luò)與單位外的網(wǎng)絡(luò)連接時（包括撥號連接），僅限于信息安全委員會（SM委員會）判斷為業(yè)務(wù)上需要的情況。將本單位的網(wǎng)絡(luò)與單位外的網(wǎng)絡(luò)連接時，尤其是與不特定多數(shù)連接的互聯(lián)網(wǎng)連接時，在連接界限處要設(shè)置由信息安全委員會（SM委員會）規(guī)定的防火墻，將通信控制在容許必要最小限度的通信內(nèi)。將本單位的網(wǎng)絡(luò)與單位外網(wǎng)絡(luò)連接時，要根據(jù)機密性的重要度探討妥善的防止信息泄露措施。對可以訪問單位外網(wǎng)絡(luò)的計算機要進行底帳管理。要求所連接的單位外組織對其信息安全對策的情況進行充分的說明。對于所連接的單位外組織不要進行違章操作或訪問。要求所連接的單位外組織排除對本單位信息資產(chǎn)的違章或訪問。在重要的網(wǎng)絡(luò)中，要進行故障監(jiān)測以及違法入侵監(jiān)視。（關(guān)于單位內(nèi)無線LAN的使用）第63條 關(guān)于單位內(nèi)無線局域網(wǎng)的使用，在施行了路由加密或?qū)尤朦c的訪問控制、變更接入點識別ID等妥善安全對策的基礎(chǔ)上，要征得信息安全委員會（SM委員會）的使用許可。此外，在安全對策方面，要考慮到發(fā)展趨向，進行重審、變更。被批準的接入點要由信息安全委員會（SM委員會）進行底帳管理。（設(shè)定內(nèi)容以及設(shè)備的管理）第64條 要對防火墻和路由器的通信控制內(nèi)容進行底帳管理。嚴格管理網(wǎng)絡(luò)設(shè)定信息。防火墻和路由器等重要的網(wǎng)絡(luò)設(shè)備要安裝在上鎖的區(qū)域。要確定網(wǎng)絡(luò)構(gòu)成的構(gòu)成變更步驟。（評估的實施）第65條在與單位外的網(wǎng)絡(luò)連接點中，根據(jù)風險評估的結(jié)果，確定是否需要定期地實施模擬入侵測試等安全機制的評估。第12節(jié)互聯(lián)網(wǎng)和電子郵件的利用（利用互聯(lián)網(wǎng)的申請）第66條 當業(yè)務(wù)上需要使用互聯(lián)網(wǎng)時，通過提交申請書，可許可單位成員利用互聯(lián)網(wǎng)。當需要在單位以外的場所使用單位的郵件系統(tǒng)時，需填寫《設(shè)備領(lǐng)出單》申請開通VPN，并由相關(guān)領(lǐng)導(dǎo)批準方可使用。（利用電子郵件的申請）第67條 當業(yè)務(wù)上需要利用（單位外）電子郵件時，通過提交申請書，可許可單位成員利用（單位外）電子郵件。（電子郵件的發(fā)送內(nèi)容）第68條 關(guān)于發(fā)送內(nèi)容，要檢查是否含有機密信息，表現(xiàn)是否適當。（嚴禁電子郵件的違法使用）第69條 不得故意違法使用電子郵件。此外，要充分考慮到電子郵件系統(tǒng)的特性和機制，在使用中要充分予以注意。例如，要注意以下幾點：?只使用管理員授予的郵件地址，禁止使用其他的郵件地址。?禁止變更寄出用郵件地址?向不相關(guān)多數(shù)人群發(fā)郵件等不適合公開收件人地址時，在BCC中指定地址。?務(wù)必確認郵件的收件人后再發(fā)送?郵件的署名中不可包含多余的信息（尤其是嚴禁使用本單位名稱以外的單位名稱）?嚴禁向外部服務(wù)提供商轉(zhuǎn)發(fā)郵件。?嚴禁使用免費郵箱，個人申請的服務(wù)提供商的郵箱等未經(jīng)單位許可的郵箱。?原則上嚴禁使用在瀏覽器上可以收發(fā)郵件的WEB郵件（部分除外）?對來源不明的郵件和內(nèi)容不確切的附件要加以注意?不使用郵件軟件的預(yù)覽功能（將未讀郵件的最初幾行自動顯示的功能）?包含重要信息的文件，必須使用加密的壓縮方式進行發(fā)送。（獲取電子郵件使用日志）第70條 對于發(fā)往單位外的電子郵件，要獲取發(fā)件人、收件人、郵件名的日志，根據(jù)需要檢查該郵件內(nèi)容。此外，對于獲取的事實要使單位成員人人皆知。經(jīng)本單位設(shè)備處理的所有電子郵件短信歸本單位所有。只要信息安全委員會委員長（SM委員長）批準，有時可不經(jīng)本人同意，對無論是發(fā)往單位內(nèi)的、還是發(fā)往單位外的電子郵件，一律進行使用日志的監(jiān)查。（獲取互聯(lián)網(wǎng)的使用日志）第71條 要獲取互聯(lián)網(wǎng)使用者和訪問目的地的日志，根據(jù)需要檢查其內(nèi)容。此外，獲取的事實要使單位成員人人皆知。根據(jù)需要，要設(shè)定限制令互聯(lián)網(wǎng)使用者無法瀏覽與業(yè)務(wù)無關(guān)的網(wǎng)站。第13節(jié)計算機病毒對策（病毒對策的實施）第72條 單位成員使用的計算機中要使用信息安全委員會（SM委員會）指定的防病毒軟件。在互聯(lián)網(wǎng)的連接點以及進行有可能感染病毒的文件的發(fā)送接收操作的單位外連接點中，在路由上要采用查毒網(wǎng)關(guān)。要時常獲取病毒信息，努力收集關(guān)于新型病毒的信息。要使病毒碼文件時常保持最新的狀態(tài)。（指南手冊的編制和教育）第73條 信息安全委員會（SM委員會）要事先編制感染病毒時的應(yīng)對指南手冊，令單位成員周知。（各種利用場合時的病毒檢查）第74條 通過USB記憶體等可拆卸式媒體進行文件傳遞時，要進行病毒檢查。通過電子郵件進行文件傳遞時要進行病毒檢查。通過互聯(lián)網(wǎng)等網(wǎng)絡(luò)下載文件時要進行病毒檢查。（發(fā)現(xiàn)病毒時的處置）第75條 當發(fā)現(xiàn)病毒時，要立即將網(wǎng)線從計算機上拔下，防止受害的蔓延。隨后與信息安全委員會取得聯(lián)系，聽取適當?shù)闹甘?。當在接受委托的軟件開發(fā)業(yè)務(wù)環(huán)境中發(fā)現(xiàn)病毒時，還要與客戶取得聯(lián)系，由信息安全委員會（SM委員會）與客戶彼此進行密切聯(lián)系。信息安全委員會（SM委員會）要獲取最新的病毒信息，給與適當?shù)闹甘尽４送?，要根?jù)需要與單位外有關(guān)組織進行聯(lián)系。當來自單位外的郵件等中混入病毒時，在與信息安全委員會協(xié)商的基礎(chǔ)上，將其通知給該企業(yè)。（對單位外組織的請求）第76條 對于文件傳遞較頻繁的單位外組織，要請求其實施防病毒對策。第14節(jié)安全漏洞對策第77條 提高與信息安全有關(guān)的信息方面的意識，當開發(fā)商發(fā)表針對安全漏洞的補丁程序時，除了因使用補丁程序會引起重大功能障礙（對軟件開發(fā)的影響等）外，要迅速地使用補丁程序。原則上可以連接到互聯(lián)網(wǎng)環(huán)境來實施最新的補丁程序適用。此外，不能連接互聯(lián)網(wǎng)的環(huán)境要考慮對軟件開發(fā)業(yè)務(wù)的影響以及由于不使用安全補丁而造成的風險，探討使用時機。但是，客戶要求進行適用時，原則上要盡快使用。第15節(jié)軟件的管理（軟件的引進基準）第78條 要從與軟件的引進有關(guān)的安全方面進行評估并向信息安全委員會（SM委員會）報告。原則上嚴禁引進業(yè)務(wù)上必要以外的軟件。關(guān)于接受委托進行的軟件開發(fā)業(yè)務(wù)的開發(fā)環(huán)境，當引進業(yè)務(wù)上必要的軟件時，要與客戶聯(lián)系并征得同意。（軟件的安裝）第79條 軟件的安裝在按批準的步驟進行的同時，還要按照另行規(guī)定的規(guī)則實施相應(yīng)的安全設(shè)定。（使用許可管理和使用承諾）第80條 只引進正式獲得使用許可的軟件。要充分理解并遵守軟件的使用承諾。（軟件的使用情況）第81條 對引進的軟件要實行底帳管理。此外，最好根據(jù)需要，引進收集軟件的安裝信息和設(shè)定信息的工具。（引進后的運用管理體制）第82條 要根據(jù)需要，明確要引進軟件的維護和開發(fā)商的支援體制。（監(jiān)查）第83條 信息安全委員會與信息安全小組要定期監(jiān)查軟件是否得到妥善地引進、使用。第16節(jié)本單位信息系統(tǒng)的構(gòu)筑、運用（確保各工序的信息安全）第84條 為了在采取信息安全對策時確保完善的體制、充分的預(yù)算和期間，從計劃階段開始就要進行關(guān)于信息安全的討論。在設(shè)計、開發(fā)、測試、保養(yǎng)以及運用的各個階段，要對安全功能的質(zhì)量進行審評，并要得到信息安全委員會（SM委員會）的同意。（職務(wù)的分離）第85條 為了排除誤用和惡意的行為，要將系統(tǒng)構(gòu)筑業(yè)務(wù)（程序開發(fā)等）、系統(tǒng)運用業(yè)務(wù)（正式作業(yè)的運行等）、用戶業(yè)務(wù)（輸入數(shù)據(jù)的編制和變更、輸出數(shù)據(jù)的存取等）等權(quán)限進行分離，編緝成彼此相互牽制的功能。因某種制約不能進行職務(wù)分離時，要進行行動監(jiān)視和獲取使用日志等。（環(huán)境的分離）第86條 除正式環(huán)境外還要備有另外的開發(fā)環(huán)境和測試環(huán)境，根據(jù)需要進行充分的測試后再移行到正式環(huán)境。另外，正式環(huán)境、開發(fā)環(huán)境和測試環(huán)境之間的訪問要限定在必要的最小限度。對于新引進的系統(tǒng)，要對基于設(shè)計時的對策方針編入的所有的安全性功能進行測試，取得信息安全委員會（SM委員會）的同意。另外，測試結(jié)果要用書面形式保存。（使用重要信息的測試）第87條 使用重要信息的測試，限定在本單位擁有的測試環(huán)境，測試結(jié)束后，要進行數(shù)據(jù)刪除等適當?shù)奶幚怼Ａ硗?，使用重要信息要進行記錄。實施使用重要信息的測試時，要采取數(shù)據(jù)偽裝等保護數(shù)據(jù)泄露對策。（變更與維持管理）第88條 關(guān)于平常及緊急情況時的構(gòu)成變更，要設(shè)定變更管理步驟。第17節(jié)設(shè)備對策（安全區(qū)域的設(shè)置）第89條 本單位系統(tǒng)的主機原則上設(shè)置在符合有關(guān)機構(gòu)規(guī)定的安全基準的數(shù)據(jù)中心或與之同等的設(shè)施內(nèi)。共享文件和各種服務(wù)器安裝在本單位建筑內(nèi)時，除業(yè)務(wù)上有要求的情況外，要設(shè)置在物理上安全的場所。特別是對于機密性高的信息資源要設(shè)置專用的區(qū)域。（軟件開發(fā)區(qū)域的設(shè)置）第90條 在接受委托進行軟件開發(fā)業(yè)務(wù)的開發(fā)環(huán)境中，原則上要將每個客戶的項目進行區(qū)域分隔，通過引進出入室系統(tǒng)等，限定可以訪問的人員。（出入室管理）第91條 設(shè)置處理重要信息服務(wù)器的場所平時要上鎖，進行出入室管理。能夠進入設(shè)置處理重要信息服務(wù)器場所的人員必須獲得信息安全委員會（SM委員會）的批準。出入需要進行出入室管理房間時，要留取完善的記錄。并且要定期監(jiān)查其內(nèi)容，調(diào)查是否有過違法侵入。另外，記錄要保存一定的期間。第18節(jié)發(fā)生侵害信息安全時的對應(yīng)（發(fā)生侵害信息安全時的報告和對應(yīng)）第92條 發(fā)現(xiàn)信息安全方面受到侵害時（信息被盜和泄露、篡改、不能使用等）或有該方面嫌疑時，不論原因如何，要迅速向項目負責人和部長以及信息安全委員會（SM委員會）報告。在有可能影響波及到客戶的情況下，原則上要通過信息安全委員會委員長（SM委員長）與客戶聯(lián)系。另外，對報告內(nèi)容要進行記錄。要明確報告途徑。另外，當發(fā)生重大的信息安全侵害時，應(yīng)能夠上報到經(jīng)營層。或者向相應(yīng)的主管部門報告。（編制信息系統(tǒng)有關(guān)緊急情況時對應(yīng)計劃書）第93條 信息安全委員會（SM委員會）應(yīng)編制信息安全有關(guān)緊急情況對應(yīng)計劃書并予以普及。（緊急情況應(yīng)對計劃的維持管理）第94條 要根據(jù)業(yè)務(wù)環(huán)境變化和信息安全技術(shù)的變化進行風