網(wǎng)絡(luò)信息管理制度樣本

信息安全管理制度琥珀（安吉）燃機(jī)熱電有限公司.01.15信息安全制度1總則第1條為規(guī)范信息安全管理工作，加強(qiáng)過(guò)程管理和基本設(shè)施管理風(fēng)險(xiǎn)分析及防范，建立安全責(zé)任制，健全安全內(nèi)控制度，保證信息系統(tǒng)機(jī)密性、完整性、可用性，特制定本規(guī)定。2合用范疇第2條本規(guī)定合用于琥珀（安吉）燃機(jī)熱電有限公司各部門(mén)及生產(chǎn)現(xiàn)場(chǎng)。3管理對(duì)象第3條管理對(duì)象指構(gòu)成計(jì)算機(jī)信息系統(tǒng)系統(tǒng)、設(shè)備和數(shù)據(jù)等信息資產(chǎn)和人員安全。重要范疇涉及：人員安全、物理環(huán)境安全、資產(chǎn)辨認(rèn)和分類、風(fēng)險(xiǎn)管理、物理和邏輯訪問(wèn)控制、系統(tǒng)操作與運(yùn)營(yíng)安全、網(wǎng)絡(luò)通訊安全、信息加密與解密、應(yīng)急與劫難恢復(fù)、軟件研發(fā)與應(yīng)用安全、機(jī)密資源管理、第三方與外包安全、法律和原則符合性、項(xiàng)目與工程安全控制、安全檢查與審計(jì)等。4術(shù)語(yǔ)定義DMZ：用于隔離內(nèi)網(wǎng)和外網(wǎng)區(qū)域，此區(qū)域不屬于可信任內(nèi)網(wǎng)，也不是完全開(kāi)放給因特網(wǎng)。容量：分為系統(tǒng)容量和環(huán)境容量?jī)煞矫?。系統(tǒng)容量涉及CPU、內(nèi)存、硬盤(pán)存儲(chǔ)等。環(huán)境容量涉及電力供應(yīng)、濕度、溫度、空氣質(zhì)量等。安全制度：與信息安全有關(guān)制度文檔，涉及安全管理辦法、原則、指引和程序等。安全邊界：用以明確劃分安全區(qū)域，如圍墻、辦公大樓、網(wǎng)段等。惡意軟件：涉及計(jì)算機(jī)病毒、網(wǎng)絡(luò)蠕蟲(chóng)、木馬、流氓軟件、邏輯炸彈等。備份周期：依照備份管理辦法制定備份循環(huán)周期，一種備份周期內(nèi)容相稱于一種完整全備份。系統(tǒng)工具：可以更改系統(tǒng)及應(yīng)用配臵程序被定義為系統(tǒng)工具，如系統(tǒng)管理、維護(hù)工具、調(diào)試程序等。消息驗(yàn)證：一種檢查傳播電子消息與否有非法變更或破壞技術(shù)，它可以在硬件或軟件上實(shí)行。數(shù)字簽名：一種保護(hù)電子文檔真實(shí)性和完整性辦法。例如，在電子商務(wù)中可以使用它驗(yàn)證誰(shuí)訂立電子文檔，并檢查已訂立文檔內(nèi)容與否被更改。信息解決設(shè)備：泛指解決信息所有設(shè)備和信息系統(tǒng)，涉及網(wǎng)絡(luò)、服務(wù)器、個(gè)人電腦和筆記本電腦等。不可抵賴性服務(wù)：用于解決交易糾紛中爭(zhēng)議交易與否發(fā)生機(jī)制。電子化辦公系統(tǒng)：涉及電子郵件、OA系統(tǒng)以及用于業(yè)務(wù)信息傳送及共享公司內(nèi)部網(wǎng)。5安全制度方面5.1安全制度規(guī)定5.1.1本制度詮釋第4條所有帶有“必要”條款都是強(qiáng)制性。除非事先得到安全管理委員會(huì)承認(rèn)，否則都要堅(jiān)決執(zhí)行。其他條款則是強(qiáng)烈建議，只要實(shí)際可行就應(yīng)當(dāng)被采用。第5條所有員工都受本制度約束，各部門(mén)領(lǐng)導(dǎo)有責(zé)任保證其部門(mén)已實(shí)行足夠安全控制辦法，以保護(hù)信息安全。第6條各部門(mén)領(lǐng)導(dǎo)有責(zé)任保證其部門(mén)員工理解本安全管理制度、有關(guān)原則和程序以及尋常信息安全管理。第7條安全管理代表（或其指派人員）將審核各部門(mén)安全控制辦法實(shí)行精確性和完整性，此過(guò)程是公司例行內(nèi)部審計(jì)一某些。5.1.2制度發(fā)布第8條所有制度在創(chuàng)立和更新后，必要通過(guò)相應(yīng)管理層審批。制度經(jīng)批準(zhǔn)之后必要告知所有有關(guān)人員。5.1.3制度復(fù)審第9條當(dāng)環(huán)境變化、技術(shù)更新或者業(yè)務(wù)自身發(fā)生變化時(shí)，必要對(duì)安全制度重新進(jìn)行評(píng)審，并作出相應(yīng)修正，以保證能有效地保護(hù)公司信息資產(chǎn)。第10條安全管理委員會(huì)必要定期對(duì)本管理辦法進(jìn)行正式復(fù)審，并依照復(fù)審所作修正，指引有關(guān)員工采用相應(yīng)行動(dòng)。6組織安全面6.1組織內(nèi)部安全6.1.1信息安全體系管理第11條公司成立安全管理委員會(huì)，安全管理委員會(huì)是公司信息安全管理最高決策機(jī)構(gòu)，安全管理委員會(huì)成員應(yīng)涉及公司重要管理人、生產(chǎn)技術(shù)管理部負(fù)責(zé)人、公司安全審計(jì)負(fù)責(zé)人、公司計(jì)算機(jī)管理員、操作員等。第12條信息安全管理代表由信息安全管理委員會(huì)指定，普通應(yīng)包括安全稽核崗、信息管理部信息安全有關(guān)崗位。第13條安全管理委員會(huì)通過(guò)清晰方向、可見(jiàn)承諾、詳細(xì)分工，積極地支持信息安全工作，重要涉及如下幾方面：1)擬定信息安全目的符合公司規(guī)定和有關(guān)制度；2)闡明、復(fù)查和批準(zhǔn)信息安全管理制度；3)復(fù)查信息安全管理制度執(zhí)行有效性；4)為信息安全執(zhí)行提供明確指引和有效支持；5)提供信息安全體系運(yùn)作所需要資源6)為信息安全在公司執(zhí)行定義明確角色和職責(zé)；7)批準(zhǔn)信息安全推廣和培訓(xùn)籌劃和程序；8)保證信息安全控制辦法在公司內(nèi)被有效執(zhí)行。第14條安全管理委員會(huì)需要對(duì)內(nèi)部或外部信息安全專家建議進(jìn)行評(píng)估，并檢查和調(diào)節(jié)建議在公司內(nèi)執(zhí)行成果。第15條必要舉辦信息安全管理睬議，會(huì)議成員涉及安全管理委員會(huì)、安全管理代表和其她有關(guān)公司高層管理人員。第16條信息安全管理睬議必要每年定期舉辦，討論和審批信息安全有關(guān)事宜，詳細(xì)涉及如下內(nèi)容：1)復(fù)審本管理制度有效性；2)復(fù)審技術(shù)變更帶來(lái)影響；3)復(fù)審安全風(fēng)險(xiǎn)；4)審批信息安全辦法及程序；5)審批信息安全建議；6)保證任何新項(xiàng)目規(guī)劃已考慮信息安全需求；7)復(fù)審安全檢查成果和安全事故報(bào)告；8)復(fù)審安全控制實(shí)行效果和影響；9)宣導(dǎo)和履行公司高層對(duì)信息安全管理批示。6.1.2信息安全職責(zé)分派信息管理部門(mén)作為信息安全管理部門(mén)，負(fù)責(zé)信息安全管理方略制定及實(shí)行，其重要職責(zé)：（一）負(fù)責(zé)全公司信息安全管理和指引；（二）牽頭制定全公司信息安全體系規(guī)范、原則和檢查指引，參加我司信息系統(tǒng)工程建設(shè)安全規(guī)劃；（三）組織全公司安全檢查；（四）配合全公司安全審計(jì)工作開(kāi)展；（五）牽頭組織全公司安全管理培訓(xùn)；（六）負(fù)責(zé)全公司安全方案審核和安全產(chǎn)品選型、購(gòu)臵。（七）根據(jù)本規(guī)定、安全規(guī)范、技術(shù)原則、操作手冊(cè)實(shí)行各類安全方略。（八）負(fù)責(zé)各類安全方略尋常維護(hù)和管理。各分公司信息管理部門(mén)作為信息安全管理部門(mén)，其重要職責(zé)：（一）依照本規(guī)定、信息安全體系規(guī)范、原則和檢查指引，組織建立安全管理流程、手冊(cè)；（二）組織實(shí)行內(nèi)部安全檢查；（三）組織安全培訓(xùn)；（四）負(fù)責(zé)機(jī)密信息和機(jī)密資源安全管理；（五）負(fù)責(zé)安全技術(shù)產(chǎn)品使用、維護(hù)、升級(jí)；（六）配合安全審計(jì)工作開(kāi)展；（七）定期上報(bào)本單位信息系統(tǒng)安全狀況，反饋安全技術(shù)和管理意見(jiàn)和建議。（八）根據(jù)本規(guī)定、安全規(guī)范、技術(shù)原則、操作手冊(cè)實(shí)行各類安全方略。（九）負(fù)責(zé)各類安全方略尋常維護(hù)和管理。6.1.3信息解決設(shè)備授權(quán)第19條新設(shè)備采購(gòu)和設(shè)備布置審批流程應(yīng)當(dāng)充分考慮信息安全規(guī)定。第20條新設(shè)備在布置和使用之前，必要明確其用途和使用范疇，并獲得安全管理委員會(huì)批準(zhǔn)。必要對(duì)新設(shè)備硬件和軟件系統(tǒng)進(jìn)行詳細(xì)檢查，以保證它們安全性和兼容性。第21條除非獲得安全管理委員會(huì)授權(quán)，否則不容許使用私人信息解決設(shè)備來(lái)解決公司業(yè)務(wù)信息或使用公司資源。6.1.4獨(dú)立信息安全審核第22條必要對(duì)公司信息安全控制辦法實(shí)行狀況進(jìn)行獨(dú)立地審核，保證公司信息安全控制辦法符合管理制度規(guī)定。審核工作應(yīng)由公司審計(jì)部門(mén)或?qū)ｉT(mén)提供此類服務(wù)第三方組織負(fù)責(zé)執(zhí)行。負(fù)責(zé)安全審核人員必要具備相應(yīng)技能和經(jīng)驗(yàn)。第23條獨(dú)立信息安全審核必要每年至少進(jìn)行一次。6.2第三方訪問(wèn)安全性6.2.1明確第三方訪問(wèn)風(fēng)險(xiǎn)第24條必要對(duì)第三方對(duì)公司信息或信息系統(tǒng)訪問(wèn)進(jìn)行風(fēng)險(xiǎn)評(píng)估，并進(jìn)行嚴(yán)格控制，有關(guān)控制須考慮物理上和邏輯上訪問(wèn)安全風(fēng)險(xiǎn)。只有在風(fēng)險(xiǎn)被消除或減少到可接受水平時(shí)才容許其訪問(wèn)。第25條第三方涉及但不限于：1)硬件和軟件廠商支持人員和其她外包商2)監(jiān)管機(jī)構(gòu)、外部顧問(wèn)、外部審計(jì)機(jī)構(gòu)和合伙伙伴3)暫時(shí)員工、實(shí)習(xí)生4)清潔工和保安5)公司客戶第26條第三方對(duì)公司信息或信息系統(tǒng)訪問(wèn)類型涉及但不限于：1)物理訪問(wèn)，例如：訪問(wèn)公司機(jī)房、監(jiān)控中心等；2)邏輯訪問(wèn)，例如：訪問(wèn)公司數(shù)據(jù)庫(kù)、信息系統(tǒng)等；3)與第三方之間網(wǎng)絡(luò)連接，例如：固定連接、暫時(shí)遠(yuǎn)程連接；第27條第三方所有訪問(wèn)申請(qǐng)都必要通過(guò)信息安全管理代表審批，只提供其工作所須最小權(quán)限和滿足其工作所需至少資源，并且需要定期對(duì)第三方訪問(wèn)權(quán)限進(jìn)行復(fù)查。第三方對(duì)重要信息系統(tǒng)或地點(diǎn)訪問(wèn)和操作必要有有關(guān)人員陪伴。第28條公司負(fù)責(zé)與第三方溝通人員必要在第三方接觸公司信息或信息系統(tǒng)前，積極告知第三方職責(zé)、義務(wù)和需要遵守規(guī)定，第三方必要在清晰并批準(zhǔn)后才干接觸相應(yīng)信息或信息系統(tǒng)。所有對(duì)第三方安全規(guī)定必要包括在與其訂立合約中。6.2.2當(dāng)與客戶接觸時(shí)強(qiáng)調(diào)信息安全第29條必要在容許客戶訪問(wèn)信息或信息系統(tǒng)前辨認(rèn)并告知其需要遵守安全需求。采用相應(yīng)保護(hù)辦法保護(hù)客戶訪問(wèn)信息或信息系統(tǒng)。6.2.3與第三方訂立合約安全規(guī)定第30條與第三方合約中應(yīng)包括必要安全規(guī)定，如：訪問(wèn)、解決、管理公司信息或信息系統(tǒng)安全規(guī)定。7信息資產(chǎn)與人員安全7.1資產(chǎn)責(zé)任7.1.1資產(chǎn)清單第31條應(yīng)清晰辨認(rèn)所有資產(chǎn)，所有與信息有關(guān)重要資產(chǎn)都應(yīng)當(dāng)在資產(chǎn)清單中標(biāo)出，并及時(shí)維護(hù)更新。這些資產(chǎn)涉及但不限于∶1)信息：數(shù)據(jù)庫(kù)和數(shù)據(jù)文獻(xiàn)、系統(tǒng)文檔、顧客手冊(cè)、培訓(xùn)材料、操作手冊(cè)、業(yè)務(wù)持續(xù)性籌劃、系統(tǒng)恢復(fù)籌劃、備份信息和合同等。2)軟件：應(yīng)用軟件、系統(tǒng)軟件、開(kāi)發(fā)工具以及實(shí)用工具等。3)實(shí)體：計(jì)算機(jī)設(shè)備（解決器、顯示屏、筆記本電腦、調(diào)制解調(diào)器等）、通訊設(shè)備（路由器、程控電話互換機(jī)、傳真機(jī)等）、存儲(chǔ)設(shè)備、磁介質(zhì)（磁帶和磁盤(pán)等）、其他技術(shù)設(shè)備（電源、空調(diào)器等）、機(jī)房等。4)服務(wù)：通訊服務(wù)（專線）。第32條資產(chǎn)清單必要每年至少審核一次。在購(gòu)買新資產(chǎn)之前必要進(jìn)行安全評(píng)估。資產(chǎn)交付后，資產(chǎn)清單必要更新。資產(chǎn)風(fēng)險(xiǎn)評(píng)估必要每年至少一次，重要評(píng)估當(dāng)前已布置安全控制辦法有效性。第33條實(shí)體資產(chǎn)需要貼上恰當(dāng)標(biāo)簽。7.1.2資產(chǎn)管理權(quán)第34條所有資產(chǎn)都應(yīng)當(dāng)被詳細(xì)闡明，必要指明詳細(xì)管理者。管理者可以是個(gè)人，也可以是某個(gè)部門(mén)。管理者是部門(mén)資產(chǎn)則由部門(mén)主管負(fù)責(zé)監(jiān)護(hù)。第35條資產(chǎn)管理者職責(zé)是：1)擬定資產(chǎn)保密級(jí)別分類和訪問(wèn)管理辦法；2)定期復(fù)查資產(chǎn)分類和訪問(wèn)管理辦法。7.1.3資產(chǎn)合理使用第36條必要辨認(rèn)信息和信息系統(tǒng)使用準(zhǔn)則，形成文獻(xiàn)并實(shí)行。使用準(zhǔn)則應(yīng)涉及：1)使用范疇2)角色和權(quán)限3)使用者應(yīng)負(fù)責(zé)任4)與其她系統(tǒng)交互規(guī)定第37條所有訪問(wèn)信息或信息系統(tǒng)員工、第三方必要清晰要訪問(wèn)資源使用準(zhǔn)則，并承擔(dān)她們責(zé)任。公司所有信息解決設(shè)備（涉及個(gè)人電腦）只能被使用于工作有關(guān)活動(dòng)，不得用來(lái)炒股、玩游戲等。濫用信息解決設(shè)備員工將受到紀(jì)律處分。7.2信息分類7.2.1信息分類原則第38條所有信息都應(yīng)當(dāng)依照其敏感性、重要性以及業(yè)務(wù)所規(guī)定訪問(wèn)限制進(jìn)行分類和標(biāo)記。第39條信息管理者負(fù)責(zé)信息分類，并對(duì)其進(jìn)行定期檢查，以保證分類對(duì)的。當(dāng)信息被發(fā)布到公司外部，或者通過(guò)一段時(shí)間后信息敏感度發(fā)生變化時(shí)，信息需要重新分類。第40條信息保密限度從高到低分為絕密、機(jī)密、秘密和非保密四種級(jí)別。以電子形式保存信息或管理信息資產(chǎn)系統(tǒng)，需依照信息敏感度進(jìn)行標(biāo)記。具有不同分類信息系統(tǒng)，必要按照其中最高保密級(jí)別進(jìn)行分類。7.2.2信息標(biāo)記和解決第41條必要建立相應(yīng)保密信息解決規(guī)范。對(duì)于不同保密級(jí)別，應(yīng)明確闡明如下信息活動(dòng)解決規(guī)定：1)復(fù)制2)保存和保管（以物理或電子方式）3)傳送（以郵寄、傳真或電子郵件方式）4)銷毀第42條電子文檔和系統(tǒng)輸出信息（打印報(bào)表和磁帶等）應(yīng)帶有恰當(dāng)信息分類標(biāo)記。對(duì)于打印報(bào)表，其保密級(jí)別應(yīng)顯示在每頁(yè)頂端或底部。第43條將保密信息發(fā)送到公司以外時(shí)，負(fù)責(zé)傳送信息工作人員應(yīng)在分發(fā)信息之前，先告知對(duì)方文檔保密級(jí)別及其相應(yīng)解決規(guī)定。7.3人員安全7.3.1信息安全意識(shí)、教誨和培訓(xùn)第44條所有公司員工和第三方人員必要接受涉及安全性規(guī)定、信息解決設(shè)備對(duì)的使用等內(nèi)容培訓(xùn)，并應(yīng)當(dāng)及時(shí)理解和學(xué)習(xí)公司對(duì)安全管理制度和原則更新。第45條應(yīng)當(dāng)至少每年向員工提供一次安全意識(shí)培訓(xùn)，其內(nèi)容涉及但不限于：1)安全管理委員會(huì)下達(dá)安全管理規(guī)定2)信息保密責(zé)任3)普通性安全守則4)信息分類5)安全事故報(bào)告程序6)電腦病毒爆發(fā)時(shí)應(yīng)對(duì)辦法7)劫難發(fā)生時(shí)應(yīng)對(duì)辦法第46條應(yīng)當(dāng)對(duì)系統(tǒng)管理員、開(kāi)發(fā)人員進(jìn)行安全技能方面培訓(xùn)，至少每年一次。員工和第三方人員在開(kāi)始工作后90天內(nèi)，必要進(jìn)行技術(shù)和安全面培訓(xùn)。第47條劫難恢復(fù)演習(xí)應(yīng)至少每年舉辦一次。7.3.2懲戒過(guò)程第48條違背公司安全管理制度、原則和程序員工將受到紀(jì)律處分。在對(duì)信息安全事件調(diào)查結(jié)束后，必要對(duì)事件中有關(guān)人員依照公司懲戒規(guī)定進(jìn)行懲罰。紀(jì)律處分涉及但不限于：1)通報(bào)批評(píng)2)警告3)記過(guò)4)解除勞動(dòng)合同5)法律訴訟第49條當(dāng)員工在接受也許涉及解除勞動(dòng)合同和法律訴訟違規(guī)調(diào)查時(shí)，其直接領(lǐng)導(dǎo)應(yīng)暫停受調(diào)查員工工作職務(wù)和其訪問(wèn)權(quán)限，涉及物理訪問(wèn)、系統(tǒng)應(yīng)用訪問(wèn)和網(wǎng)絡(luò)訪問(wèn)等。員工在接受調(diào)查時(shí)可以陳述觀點(diǎn)，提出異議，并有進(jìn)一步申訴權(quán)力。7.3.3資產(chǎn)歸還第50條在終結(jié)雇傭、合同或合同時(shí)，所有員工及第三方人員必要?dú)w還所使用所有公司資產(chǎn)。需要?dú)w還資產(chǎn)涉及但不限于：1)帳號(hào)和訪問(wèn)權(quán)限2)公司電子或紙質(zhì)文檔3)公司購(gòu)買硬件和軟件資產(chǎn)4)公司購(gòu)買其她設(shè)備第51條如果在非公司資產(chǎn)上保存有公司資產(chǎn)，必要在帶出公司前歸還或刪除公司資產(chǎn)。7.3.4刪除訪問(wèn)權(quán)限第52條在終結(jié)或變更雇傭、合同、合同時(shí)，必要?jiǎng)h除所有員工及第三方人員對(duì)信息和信息系統(tǒng)訪問(wèn)權(quán)限，或依照變更進(jìn)行相應(yīng)調(diào)節(jié)。所有刪除和調(diào)節(jié)操作必要在最后上班日之前完畢。第53條對(duì)于公用資源，必要進(jìn)行及時(shí)調(diào)節(jié)，例如：公用帳號(hào)必要及時(shí)更改密碼。第54條在已經(jīng)擬定員工或第三方終結(jié)或變更意向后，必要及時(shí)對(duì)她們權(quán)限進(jìn)行限制，只保存終結(jié)或變更所需要權(quán)限。8物理和環(huán)境安全面8.1安全區(qū)域8.1.1物理安全邊界第55條在公司物理環(huán)境里，應(yīng)當(dāng)對(duì)需要保護(hù)區(qū)域依照其重要性劃分為不同安全區(qū)域。特別是有重要設(shè)備安全區(qū)域（例如機(jī)房）應(yīng)當(dāng)布置相應(yīng)物理安全控制。第56條在機(jī)房統(tǒng)一入口處必要設(shè)立有專人值守接待區(qū)域，在特別重要安全區(qū)域也應(yīng)當(dāng)設(shè)立類似接待區(qū)域。第57條在非辦公時(shí)間內(nèi)，重要安全區(qū)域必要安排保安定期巡視。任何時(shí)候，機(jī)房必要至少有一位保安值班。保安值班表應(yīng)至少每月調(diào)節(jié)一次。8.1.2安全區(qū)域訪問(wèn)控制第58條在非辦公時(shí)間，所有進(jìn)入安全區(qū)域入口都應(yīng)當(dāng)受到控制，例如實(shí)行電子門(mén)禁或者上鎖。任何時(shí)候，重要安全區(qū)域所有出入口必要受到嚴(yán)格訪問(wèn)控制，保證只有授權(quán)員工才可以進(jìn)入此區(qū)域。第59條對(duì)于設(shè)有訪問(wèn)控制安全區(qū)域，必要定期審核并及時(shí)更新其訪問(wèn)權(quán)限。所有員工都必要佩戴一種身份辨認(rèn)通行證，有責(zé)任保證通行證安全并不得轉(zhuǎn)借她人。員工離職時(shí)必要交還通行證，同步取消其所有訪問(wèn)權(quán)限。第60條所有賓客關(guān)于資料都必要詳細(xì)記載在賓客進(jìn)出登記表中，并向獲準(zhǔn)進(jìn)入賓客發(fā)放賓客通行證。同步，必要有相應(yīng)程序以保證回收所發(fā)放賓客通行證。賓客進(jìn)出登記表必要至少保存1年，記錄內(nèi)容應(yīng)涉及但不限于：1)賓客姓名2)賓客身份3)賓客工作單位4)來(lái)訪事由5)負(fù)責(zé)接待員工6)賓客通行證號(hào)碼7)進(jìn)入日期和時(shí)間8)離開(kāi)日期和時(shí)間8.1.3辦公場(chǎng)合和設(shè)施安全第61條放臵敏感或重要設(shè)備區(qū)域（例如機(jī)房）應(yīng)盡量不引人注目，給外面信息應(yīng)盡量至少，不應(yīng)當(dāng)有明顯標(biāo)志指明敏感區(qū)域所在位臵和用途。這些區(qū)域還應(yīng)當(dāng)被予以相應(yīng)保護(hù)，保護(hù)辦法涉及但不限于：1)所有出入口必要安裝物理訪問(wèn)控制辦法2)使用賓客登記表以便記錄來(lái)訪信息3)禁止吸煙第62條必要對(duì)支持核心性業(yè)務(wù)活動(dòng)設(shè)備提供足夠物理訪問(wèn)控制。所有安全區(qū)域和出入口必要通過(guò)閉路電視進(jìn)行監(jiān)控。普通會(huì)議室或其他公眾場(chǎng)合必要與安全區(qū)域隔離開(kāi)來(lái)。無(wú)人值守時(shí)候，辦公區(qū)中信息解決設(shè)備必要從物理上進(jìn)行保護(hù)。門(mén)和窗戶必要鎖好。8.1.4防范外部和環(huán)境威脅第63條辦公場(chǎng)合和機(jī)房設(shè)計(jì)和建設(shè)必要充分考慮火災(zāi)、洪水、地震、爆炸、騷亂等天災(zāi)或人為劫難，并采用額外控制辦法加以保護(hù)。第64條機(jī)房必要增長(zhǎng)額外物理控制，選用場(chǎng)地應(yīng)盡量安全，并盡量避免受到災(zāi)害影響。機(jī)房必要有防火、防潮、防塵、防盜、防磁、防鼠等設(shè)施。第65條機(jī)房建設(shè)必要符合國(guó)標(biāo)GB2887-89《計(jì)算機(jī)場(chǎng)地技術(shù)條件》和GB9361-88《計(jì)算站場(chǎng)地安全規(guī)定》中規(guī)定。第66條機(jī)房消防辦法必要滿足如下規(guī)定：1)必要安裝消防設(shè)備，并定期檢查。2)應(yīng)當(dāng)指定消防指揮員。3)機(jī)房?jī)?nèi)禁止存儲(chǔ)易燃材料，每周例行檢查一次。4)必要安裝煙感及其她火警探測(cè)器和滅火裝臵。應(yīng)每季度定期檢查這些裝備，保證它們能有效運(yùn)作。5)必要在明顯位臵張貼火災(zāi)逃生路線圖、滅火設(shè)備平面放臵圖以及安全出口位臵。6)安全出口必要有明顯標(biāo)記。7)應(yīng)當(dāng)訓(xùn)練員工熟悉使用消防設(shè)施。8)緊急事件發(fā)生時(shí)必要提供緊急照明。9)所有疏散路線都必要時(shí)刻保持暢通。10)必要保證防火門(mén)在火災(zāi)發(fā)生時(shí)可以啟動(dòng)。11)每年應(yīng)至少舉辦一次火災(zāi)撤離演習(xí)，使工作人員熟知火災(zāi)撤離過(guò)程。8.1.5在安全區(qū)域工作第67條員工進(jìn)入機(jī)房訪問(wèn)授權(quán)，不能超過(guò)其工作所需范疇。必要定期檢查訪問(wèn)權(quán)限分派并及時(shí)更新。機(jī)房訪問(wèn)權(quán)限應(yīng)不同于進(jìn)入大樓其他區(qū)域權(quán)限。第68條所有需要進(jìn)入機(jī)房賓客都必要提前申請(qǐng)。必要維護(hù)和及時(shí)更新賓客記錄，以掌握賓客進(jìn)入機(jī)房詳細(xì)狀況。記錄中應(yīng)詳細(xì)闡明賓客姓名、進(jìn)入與離開(kāi)日期與時(shí)間，申請(qǐng)者以及進(jìn)入因素。機(jī)房賓客記錄至少保存一年。賓客必要得到明確允許后，在專人陪伴下才干進(jìn)入機(jī)房。第69條機(jī)房保護(hù)應(yīng)在專家指引下進(jìn)行，必要安裝適當(dāng)安全防護(hù)和檢測(cè)裝臵。機(jī)房?jī)?nèi)禁止吸煙、飲食和拍攝。8.1.6機(jī)房操作日記第70條必要記錄機(jī)房管理員操作行為，以便其行為可以追蹤。操作記錄必要備份和維護(hù)并妥善保管，防止被破壞。第71條在機(jī)房值班人員交接時(shí)，上一班值班人員所遺留問(wèn)題以及從事工作應(yīng)明確交待給下一班，保證有關(guān)操作延續(xù)性。8.2設(shè)備安全8.2.1設(shè)備安頓及保護(hù)第72條必要對(duì)設(shè)備實(shí)行安全控制，以減少環(huán)境危害和非法訪問(wèn)。應(yīng)當(dāng)考慮因素涉及但不限于：1)水、火2)煙霧、灰塵3)震動(dòng)4)化學(xué)效應(yīng)5)電源干擾、電磁輻射第73條設(shè)備必要放臵在遠(yuǎn)離水災(zāi)地方，并依照需要考慮安裝漏水警報(bào)系統(tǒng)。應(yīng)急開(kāi)關(guān)如電閘、煤氣開(kāi)關(guān)和水閘等都必要清晰地做好標(biāo)記，并且能容易訪問(wèn)。設(shè)備都應(yīng)當(dāng)裝有適當(dāng)漏電保險(xiǎn)絲或斷路器進(jìn)行保護(hù)。放臵設(shè)備區(qū)域必要滿足廠商提供設(shè)備環(huán)境規(guī)定。設(shè)備操作必要遵守廠商提供操作規(guī)范。通信線路和電纜必要從物理上進(jìn)行保護(hù)。8.2.2支持設(shè)施支持設(shè)施可以支持物理場(chǎng)合、設(shè)備等正常運(yùn)作，例如：電力設(shè)施、空調(diào)、排水設(shè)施、消防設(shè)施、靜電保護(hù)設(shè)施等。必要采用保護(hù)辦法使設(shè)備免受電源故障或電力異常破壞。必要驗(yàn)證電力供應(yīng)與否滿足廠商設(shè)備對(duì)電源規(guī)定。每年應(yīng)至少對(duì)支持設(shè)施進(jìn)行一次安全檢查。工作環(huán)境中增長(zhǎng)新設(shè)備時(shí)，必要對(duì)電力、空調(diào)、地板等支持設(shè)施負(fù)荷進(jìn)行審核。必要設(shè)臵后備電源，例如不間斷電源（UPS）或發(fā)電機(jī)。對(duì)需要配備后備電源設(shè)備裝臵進(jìn)行審核，保證后備電源可以滿足這些設(shè)備正常工作。每年必要至少對(duì)備用電源/進(jìn)行一次測(cè)試。應(yīng)急電源開(kāi)關(guān)應(yīng)位于機(jī)房緊急出口附近，以便緊急狀況發(fā)生時(shí)可以迅速切斷電源。電纜應(yīng)依照供電電壓和頻率不同而互相隔離。所有電纜都應(yīng)帶有標(biāo)簽，標(biāo)簽上編碼應(yīng)記錄歸檔。電纜應(yīng)從物理上加以保護(hù)。8.2.3設(shè)備維護(hù)第75條所有生產(chǎn)設(shè)備必要有足夠維護(hù)保障，核心設(shè)備必要提供7x24現(xiàn)場(chǎng)維護(hù)支持。所有生產(chǎn)設(shè)備必要定期進(jìn)行防止性維護(hù)。只有通過(guò)批準(zhǔn)、受過(guò)專業(yè)培訓(xùn)工作人員才干進(jìn)行維護(hù)工作。設(shè)備所有維護(hù)工作都應(yīng)當(dāng)記錄歸檔。如果設(shè)備需要搬離安全區(qū)域進(jìn)行修理，必要獲得批準(zhǔn)并卸載其存儲(chǔ)介質(zhì)。第76條必要建立設(shè)備故障報(bào)告流程。對(duì)于需要進(jìn)行重大維修設(shè)備，流程還應(yīng)當(dāng)包括設(shè)備檢修報(bào)告，及換用備用設(shè)備流程。8.2.4管轄區(qū)域外設(shè)備安全第77條筆記本電腦顧客必要保護(hù)好筆記本電腦安全，防止筆記本電腦損壞或被盜竊。第78條如果將設(shè)備帶出公司，設(shè)備擁有者必要親自或指定專人保護(hù)設(shè)備安全。設(shè)備擁有者必要對(duì)設(shè)備在公司場(chǎng)合外安全負(fù)責(zé)。8.2.5設(shè)備安全解決或再運(yùn)用第79條再運(yùn)用或報(bào)廢之前，設(shè)備所具有所有存儲(chǔ)裝臵（例如硬盤(pán)等）都必要通過(guò)嚴(yán)格檢查，保證所有敏感數(shù)據(jù)和軟件已被刪除或改寫(xiě)，并且不也許被恢復(fù)。應(yīng)當(dāng)通過(guò)風(fēng)險(xiǎn)評(píng)估來(lái)決定與否徹底銷毀、送修還是丟棄具有敏感數(shù)據(jù)已損壞設(shè)備。9通信和操作管理方面9.1操作程序和職責(zé)9.1.1規(guī)范操作程序第80條必要為所有業(yè)務(wù)系統(tǒng)建立操作程序，其內(nèi)容涉及但不限于：1)系統(tǒng)重啟、備份和恢復(fù)辦法2)普通性錯(cuò)誤解決操作指南3)技術(shù)支持人員聯(lián)系辦法4)與其他系統(tǒng)依賴性和解決優(yōu)先級(jí)5)硬件配臵管理第81條操作程序必要征得管理者批準(zhǔn)才干對(duì)其進(jìn)行修改。操作程序必要及時(shí)更新，更新條件涉及但不限于：1)應(yīng)用軟件變更2)硬件配臵變更9.1.2變更控制第82條必要建立變更管理程序來(lái)控制系統(tǒng)變更，所有變更都必要遵守變更管理程序規(guī)定。程序內(nèi)容涉及但不限于∶1)辨認(rèn)和記錄變更祈求2)評(píng)估變更可行性、變更籌劃和也許帶來(lái)潛在影響3)變更測(cè)試4)審批流程5)明確變更失敗恢復(fù)籌劃和負(fù)責(zé)人6)變更驗(yàn)收第83條重要變更必要制定籌劃，并在測(cè)試環(huán)境下進(jìn)行足夠測(cè)試后，才干在生產(chǎn)系統(tǒng)中實(shí)行。所有變更必要涉及變更失敗應(yīng)對(duì)辦法和恢復(fù)籌劃。所有變更必要獲得授權(quán)和批準(zhǔn)，變更申請(qǐng)和審批不得為同一種員工。對(duì)變更需要涉及硬件、軟件和信息等對(duì)象都應(yīng)標(biāo)記出來(lái)并進(jìn)行相應(yīng)評(píng)估。變更在實(shí)行前必要告知到有關(guān)人員。第84條變更實(shí)行應(yīng)當(dāng)安排在對(duì)業(yè)務(wù)影響最小時(shí)間段進(jìn)行，盡量減少對(duì)業(yè)務(wù)正常運(yùn)營(yíng)影響。在生產(chǎn)系統(tǒng)安裝或更新軟件前，必要對(duì)系統(tǒng)進(jìn)行備份。變更完畢后，有關(guān)文檔（如系統(tǒng)需求文檔、設(shè)計(jì)文檔、操作手冊(cè)、顧客手冊(cè)等）必要得到更新，舊文檔必要進(jìn)行備份。第85條必要對(duì)變更進(jìn)行復(fù)查，以保證變更沒(méi)有對(duì)本來(lái)系統(tǒng)環(huán)境導(dǎo)致破壞。必要完整記錄整個(gè)變更過(guò)程，并將其妥善保管。變更記錄應(yīng)至少每月復(fù)查一次。9.1.3職責(zé)分離第86條系統(tǒng)管理員和系統(tǒng)開(kāi)發(fā)人員職責(zé)必要明確分開(kāi)。同一解決過(guò)程中重要任務(wù)不應(yīng)當(dāng)由同一種人來(lái)完畢，以防止欺詐和誤操作發(fā)生。第87條所有職責(zé)分離控制必要記錄歸檔，作為責(zé)任分工根據(jù)。無(wú)法采用職責(zé)分離時(shí)，必要采用其他控制，例如活動(dòng)監(jiān)控、審核跟蹤評(píng)估以及管理監(jiān)督等。9.1.4開(kāi)發(fā)、測(cè)試和生產(chǎn)系統(tǒng)分離第88條不應(yīng)給開(kāi)發(fā)人員提供超過(guò)其開(kāi)發(fā)所需范疇權(quán)限。如果開(kāi)發(fā)人員需要訪問(wèn)生產(chǎn)系統(tǒng)，必要通過(guò)運(yùn)營(yíng)人員授權(quán)和管理。第89條生產(chǎn)、測(cè)試和開(kāi)發(fā)應(yīng)分別使用不同系統(tǒng)環(huán)境。開(kāi)發(fā)人員不得在生產(chǎn)環(huán)境中更改編碼或操作生產(chǎn)系統(tǒng)。不得在生產(chǎn)系統(tǒng)上擅自安裝開(kāi)發(fā)工具（例如編譯程序及其她系統(tǒng)公用程序等），并做好已有開(kāi)發(fā)工具訪問(wèn)控制。開(kāi)發(fā)和測(cè)試環(huán)境使用測(cè)試數(shù)據(jù)不能包具有敏感信息。9.1.5事件管理程序第90條必要建立事件管理程序，并依照事件影響嚴(yán)重限度制定其所屬類別，同步闡明相應(yīng)解決辦法和負(fù)責(zé)人。必要依照事件嚴(yán)重限度，定義響應(yīng)范疇、時(shí)間和完畢事件解決時(shí)間。第91條系統(tǒng)修復(fù)必要得到系統(tǒng)管理者批準(zhǔn)方可執(zhí)行。第92條所有事件報(bào)告必要記錄歸檔，并由部門(mén)主管或指定人員妥善保管。必要對(duì)事件解決狀況進(jìn)行監(jiān)控，對(duì)超時(shí)解決提出改進(jìn)建議并跟進(jìn)改進(jìn)效果。9.2第三方服務(wù)交付管理9.2.1服務(wù)交付第93條第三方提供服務(wù)必要滿足安全管理制度規(guī)定。第三方提供服務(wù)必要滿足公司業(yè)務(wù)持續(xù)性規(guī)定。第94條必要保存第三方提供服務(wù)、報(bào)告和記錄并定期評(píng)審，至少每半年一次。評(píng)審內(nèi)容應(yīng)涉及：1)服務(wù)內(nèi)容和質(zhì)量與否滿足合同規(guī)定；2)服務(wù)報(bào)告與否真實(shí)。9.2.2第三方服務(wù)變更管理第95條服務(wù)變化時(shí)，必要重新對(duì)服務(wù)與否滿足安全管理辦法進(jìn)行評(píng)估。在服務(wù)變更時(shí)需要考慮：1)服務(wù)價(jià)格增長(zhǎng)；2)新服務(wù)需求；3)公司信息安全管理制度變化；4)公司在信息安全面新控制。9.3針對(duì)惡意軟件保護(hù)辦法9.3.1對(duì)惡意軟件控制第96條必要建立一套病毒防治體系，以便防止病毒對(duì)公司帶來(lái)影響。所有服務(wù)器、個(gè)人電腦和筆記本電腦都應(yīng)當(dāng)安裝公司規(guī)定防病毒軟件，并及時(shí)更新防病毒軟件。所有存進(jìn)計(jì)算機(jī)信息（例如接受到郵件、下載文獻(xiàn)等）都必要通過(guò)病毒掃描。員工和第三方廠商從外界帶來(lái)存儲(chǔ)介質(zhì)在使用之前必要進(jìn)行病毒掃描。第97條所有員工都應(yīng)當(dāng)接受防病毒知識(shí)培訓(xùn)和指引。第98條公司內(nèi)發(fā)現(xiàn)病毒、計(jì)算機(jī)或應(yīng)用程序異常行為，都必要作為安全事件進(jìn)行報(bào)告。第99條必要定期審核控制惡意軟件辦法有效性。一旦發(fā)現(xiàn)感染病毒，必要立即把機(jī)器從網(wǎng)絡(luò)中斷開(kāi)。在病毒沒(méi)有被徹底清除之前，禁止將其重新連接到網(wǎng)絡(luò)上。9.4備份9.4.1信息備份第100條所有服務(wù)器、個(gè)人電腦和筆記本電腦必要依照業(yè)務(wù)需求定期進(jìn)行備份。系統(tǒng)在重大變更之前和之后必要進(jìn)行備份。第101條備份管理辦法必要獲得管理層審批以保證符合業(yè)務(wù)需求。備份管理辦法必要至少每季度進(jìn)行一次復(fù)查，以保證沒(méi)有發(fā)生未授權(quán)或意外更改。第102條應(yīng)當(dāng)保存多于1個(gè)備份周期備份，但重要業(yè)務(wù)信息應(yīng)至少保存3個(gè)備份周期備份。備份資料和相應(yīng)恢復(fù)操作手冊(cè)必要定期傳送到異地進(jìn)行保存。異地必要與主站點(diǎn)有一定距離，以避免受主站點(diǎn)劫難波及。第103條必要對(duì)異地保存?zhèn)浞菪畔?shí)行安全保護(hù)辦法，其保護(hù)原則應(yīng)和主站點(diǎn)相一致。必要定期測(cè)試備份介質(zhì)，保證其可用性。必要定期檢查和測(cè)試恢復(fù)環(huán)節(jié)，保證它們有效性。備份系統(tǒng)必要進(jìn)行監(jiān)控，以保證其穩(wěn)定性和可用性。9.5網(wǎng)絡(luò)管理9.5.1網(wǎng)絡(luò)控制第104條網(wǎng)絡(luò)管理和操作系統(tǒng)管理職責(zé)應(yīng)當(dāng)彼此分離，并由不同員工承擔(dān)。必要明擬定義網(wǎng)絡(luò)管理職責(zé)和義務(wù)。只有得到允許員工才可以使用網(wǎng)絡(luò)管理系統(tǒng)。第105條必要建立相應(yīng)控制機(jī)制，保護(hù)路由表和防火墻安全管理辦法等網(wǎng)絡(luò)參數(shù)完整性。保護(hù)通過(guò)公網(wǎng)傳送敏感數(shù)據(jù)機(jī)密性、完整性和可用性。第106條進(jìn)行網(wǎng)絡(luò)合同兼容性評(píng)估時(shí)應(yīng)考慮將來(lái)新增網(wǎng)絡(luò)設(shè)備規(guī)定。任何準(zhǔn)備接進(jìn)網(wǎng)絡(luò)新設(shè)備，在進(jìn)網(wǎng)前都必要通過(guò)合同兼容性評(píng)估和安全檢查。第107條必要對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)控和管理。所有網(wǎng)絡(luò)故障都必要向上級(jí)報(bào)告。第108條必要建立互聯(lián)網(wǎng)訪問(wèn)管理辦法。除非得到授權(quán)，否則禁止訪問(wèn)外部網(wǎng)絡(luò)服務(wù)。9.6介質(zhì)管理9.6.1可移動(dòng)介質(zhì)管理第109條可移動(dòng)計(jì)算機(jī)存儲(chǔ)介質(zhì)（例如磁帶、光盤(pán)等）必要有恰當(dāng)訪問(wèn)控制。存儲(chǔ)介質(zhì)上必要設(shè)臵標(biāo)簽，以標(biāo)記其類型和用途。標(biāo)簽應(yīng)使用代碼，以避免直接標(biāo)記存儲(chǔ)介質(zhì)上內(nèi)容。標(biāo)記用代碼需要記錄并歸檔。第110條必要建立和維護(hù)介質(zhì)清單，并對(duì)介質(zhì)借用和歸還進(jìn)行記錄。應(yīng)保證備有足夠存儲(chǔ)介質(zhì)，以備使用。第111條存儲(chǔ)在存儲(chǔ)介質(zhì)內(nèi)絕密和機(jī)密信息必要受到妥善保護(hù)。第112條存儲(chǔ)介質(zhì)存儲(chǔ)環(huán)境必要滿足介質(zhì)規(guī)定環(huán)境條件（例如溫度、濕度、空氣質(zhì)量等）。第113條備份介質(zhì)必要存儲(chǔ)在防火柜中。應(yīng)當(dāng)對(duì)介質(zhì)壽命進(jìn)行管理，在介質(zhì)壽命結(jié)束前一年，將信息拷貝到新介質(zhì)中。9.6.2介質(zhì)銷毀第114條應(yīng)建立存儲(chǔ)介質(zhì)報(bào)廢規(guī)范，涉及但不限于：1)紙質(zhì)文檔2)語(yǔ)音資料及其她錄音帶3)復(fù)寫(xiě)紙4)磁帶5)磁盤(pán)6)光存儲(chǔ)介質(zhì)第115條所有不會(huì)被再運(yùn)用敏感文檔都必要依照定義信息密級(jí)采用恰當(dāng)方式進(jìn)行銷毀。第116條所有報(bào)廢及過(guò)期存儲(chǔ)介質(zhì)必要妥善銷毀。9.6.3信息解決程序第117條介質(zhì)信息分類，必要采用存儲(chǔ)信息中最高保密級(jí)別。第118條應(yīng)依照介質(zhì)中信息分類級(jí)別，采用相應(yīng)辦法來(lái)保護(hù)介質(zhì)輸出環(huán)境。9.6.4系統(tǒng)文檔安全第119條存取具有敏感信息文檔，必要獲得相應(yīng)文檔管理者批準(zhǔn)。具有敏感信息文檔應(yīng)保存在安全地方，未經(jīng)允許不得訪問(wèn)。具有敏感信息文檔通過(guò)內(nèi)部網(wǎng)等提供訪問(wèn)，應(yīng)采用訪問(wèn)控制加以保護(hù)。9.7信息互換9.7.1信息互換管理辦法和程序第120條必要依照信息類型和保密級(jí)別，定義信息在互換過(guò)程中應(yīng)遵循安全規(guī)定。第121條所有員工和第三方人員都必要遵守公司信息互換管理辦法。第122條未經(jīng)允許，公司內(nèi)部不容許安裝、使用無(wú)線通信設(shè)備。第123條使用加密技術(shù)保護(hù)信息保密性、完整性和真實(shí)性。敏感信息帶出公司必要獲得直接領(lǐng)導(dǎo)或信息管理者授權(quán)。第124條必要建立控制機(jī)制來(lái)保護(hù)運(yùn)用音頻、傳真和視頻通信設(shè)備進(jìn)行互換信息。第125條電話錄音系統(tǒng)應(yīng)當(dāng)配臵密碼，以防非法訪問(wèn)。第126條在使用傳真機(jī)中已存儲(chǔ)號(hào)碼時(shí)，傳真之前必要驗(yàn)證號(hào)碼。第127條移動(dòng)通訊設(shè)備（例如手機(jī)，PDA等）不應(yīng)存儲(chǔ)公司敏感信息。9.7.2互換合同第128條跟外界進(jìn)行信息和軟件互換必要訂立合同，其內(nèi)容必要涉及：1)發(fā)送方和接受方責(zé)任2)明確發(fā)送和接受方式3)制定信息封裝和傳播技術(shù)原則4)數(shù)據(jù)丟失有關(guān)責(zé)任5)聲明信息保密級(jí)別和保護(hù)規(guī)定6)聲明信息和軟件所有權(quán)、版權(quán)和其她有關(guān)因素9.7.3物理介質(zhì)傳播第129條必要建立傳播存儲(chǔ)介質(zhì)安全原則。應(yīng)使用可靠傳播工具或傳遞人，授權(quán)傳遞人必要接受恰當(dāng)監(jiān)管并進(jìn)行其身份檢查。應(yīng)保證敏感信息機(jī)密性、完整性和可用性在傳播全程中受到保護(hù)。第130條存儲(chǔ)介質(zhì)容器在運(yùn)送過(guò)程前必要密封。信息分類不應(yīng)當(dāng)標(biāo)記在容器外面。包裝應(yīng)當(dāng)非常結(jié)實(shí)，保證介質(zhì)在運(yùn)送過(guò)程中不受到損壞。9.7.4電子消息第131條電子化辦公系統(tǒng)必要建立相應(yīng)管理辦法和控制機(jī)制，并闡明下列內(nèi)容：1)擬定不能被共享信息類型或密級(jí)2)系統(tǒng)顧客權(quán)限3)系統(tǒng)訪問(wèn)控制4)與系統(tǒng)有關(guān)備份管理辦法第132條除非獲得安全管理委員會(huì)授權(quán)，否則禁止使用公司以外電子系統(tǒng)（例如BBS、MSN、QQ等）進(jìn)行跟公司有關(guān)活動(dòng)。第133條電子郵件內(nèi)信息必要依照其信息分類安全規(guī)定去解決和保護(hù)。用于連接外網(wǎng)郵件網(wǎng)關(guān)必要安裝防病毒軟件，檢查進(jìn)出電子郵件。必要對(duì)Internet屏蔽郵件系統(tǒng)內(nèi)網(wǎng)IP地址。第134條員工使用公司郵件系統(tǒng)時(shí)只能進(jìn)行與業(yè)務(wù)有關(guān)活動(dòng)。所有在公司郵件系統(tǒng)上產(chǎn)生及存儲(chǔ)郵件都是公司資產(chǎn)。公司有權(quán)查看和監(jiān)控所有郵件。未經(jīng)授權(quán)，禁止使用公司以外郵箱解決公司業(yè)務(wù)。所有對(duì)外發(fā)送郵件都必要加上責(zé)任聲明。9.7.5業(yè)務(wù)信息系統(tǒng)第135條在業(yè)務(wù)系統(tǒng)進(jìn)行信息共享時(shí)，必要保證信息完整性、可用行和保密性。必要保證重要信息在互換過(guò)程中保密性。9.8電子商務(wù)服務(wù)9.8.1電子商務(wù)第136條必要采用恰當(dāng)辦法，保證電子交易過(guò)程機(jī)密性、完整性和可用性。第137條電子商務(wù)交易必要制定有關(guān)交易聲明，以明確注意事項(xiàng)和有關(guān)責(zé)任。在電子商務(wù)合同中，必要明確欺詐行為和未能交付責(zé)任。第138條電子交易必要設(shè)臵并維護(hù)恰當(dāng)訪問(wèn)控制。身份驗(yàn)證技術(shù)必要滿足業(yè)務(wù)實(shí)際規(guī)定。第139條必要保存并維護(hù)所有電子商務(wù)交易過(guò)程中記錄和日記。第140條應(yīng)當(dāng)使用加密、電子證書(shū)、數(shù)字簽名等技術(shù)保護(hù)電子商務(wù)安全。9.8.2在線交易第141條必要保護(hù)在線交易信息，避免不完整傳播、路由錯(cuò)誤、未授權(quán)消息更改、未授權(quán)信息信息泄漏、復(fù)制和回答。第142條在線交易中必要使用數(shù)字證書(shū)保護(hù)交易安全。交易中必要使用加密技術(shù)對(duì)所有通信內(nèi)容加密。在線交易必要使用安全通訊合同。第143條在線交易信息必要保存在公司內(nèi)部存儲(chǔ)環(huán)境，存儲(chǔ)環(huán)境不能被從Internet直接訪問(wèn)。第144條在線交易必要遵守國(guó)家、地區(qū)和行業(yè)有關(guān)法律法規(guī)。9.8.3公共信息第145條必要保證公共信息系統(tǒng)中信息完整性，并防止非授權(quán)修改。第146條信息發(fā)布必要遵守國(guó)家法律法規(guī)規(guī)定。通過(guò)信息發(fā)布系統(tǒng)向內(nèi)部和公眾發(fā)布信息都必要通過(guò)公司有關(guān)部門(mén)檢查和審批。信息在發(fā)布之前必要通過(guò)核對(duì)，確認(rèn)其對(duì)的性和完整性。必要對(duì)敏感信息解決和存儲(chǔ)過(guò)程進(jìn)行保護(hù)。9.9監(jiān)控9.9.1日記第147條所有操作系統(tǒng)、應(yīng)用系統(tǒng)都必要具備并啟用日記記錄功能。第148條日記記錄信息必要涉及但不限于：1)顧客ID；2)每項(xiàng)操作日期和時(shí)間（至少要精準(zhǔn)到秒）；3)來(lái)源標(biāo)記或位臵；4)成功系統(tǒng)訪問(wèn)嘗試；5)失敗或被回絕系統(tǒng)訪問(wèn)嘗試；第149條日記類型涉及但不限于：1)應(yīng)用日記；2)系統(tǒng)日記；3)安全日記；4)操作日記；5)問(wèn)題記錄。第150條必要保證日記記錄功能在任何時(shí)候都能正常運(yùn)營(yíng)。應(yīng)當(dāng)有機(jī)制監(jiān)控日記容量變化，在容量耗盡之前發(fā)出報(bào)警信息。第151條除非特別聲明，所有日記都必要被分類為“機(jī)密”。日記應(yīng)當(dāng)定期復(fù)查，至少每月一次。9.9.2監(jiān)控系統(tǒng)使用第152條不同信息解決設(shè)備所規(guī)定監(jiān)控級(jí)別應(yīng)當(dāng)通過(guò)風(fēng)險(xiǎn)評(píng)估來(lái)決定，必要考慮下列要素：1)系統(tǒng)訪問(wèn)；2)所有特權(quán)操作；3)未授權(quán)訪問(wèn)嘗試；4)系統(tǒng)警報(bào)或故障。第153條應(yīng)每天定期監(jiān)控網(wǎng)絡(luò)（涉及網(wǎng)絡(luò)性能和網(wǎng)絡(luò)故障），并依照產(chǎn)生報(bào)告，對(duì)異常變化網(wǎng)絡(luò)流量，作進(jìn)一步分析，以發(fā)現(xiàn)潛在網(wǎng)絡(luò)安全問(wèn)題。9.9.3日記信息保護(hù)第154條必要保證日記不能被修改或刪除，所有對(duì)于日記文獻(xiàn)訪問(wèn)（如刪除、寫(xiě)、讀或添加）嘗試都應(yīng)當(dāng)有相應(yīng)記錄。第155條除非特別聲明，日記必要至少保存1年。只有授權(quán)員工才干訪問(wèn)并使用日記。必要采用控制辦法保護(hù)日記完整性。9.9.4管理員和操作員日記第156條系統(tǒng)管理員和操作員操作必要被記錄日記。第157條日記記錄應(yīng)涉及重要操作，例如與顧客管理有關(guān)操作（顧客帳號(hào)創(chuàng)立、刪除、權(quán)限設(shè)臵、修改）、與財(cái)務(wù)有關(guān)操作等。第158條管理員和重要系統(tǒng)操作員日記應(yīng)當(dāng)至少每周復(fù)查一次。對(duì)于重要財(cái)務(wù)系統(tǒng)和業(yè)務(wù)系統(tǒng)每天都要復(fù)查。9.9.5故障日記第159條必要啟動(dòng)故障日記功能。第160條必要保證故障記錄跟進(jìn)解決，保證問(wèn)題得到完全解決，并且其糾正辦法不會(huì)帶來(lái)新安全問(wèn)題。所有故障記錄都應(yīng)當(dāng)向上級(jí)報(bào)告并記錄歸檔。第161條故障記錄應(yīng)妥善保管，防止被損壞，必要時(shí)應(yīng)當(dāng)進(jìn)行備份。9.9.6時(shí)鐘同步第162條所有系統(tǒng)應(yīng)當(dāng)使用時(shí)鐘同步服務(wù)，并使用同一時(shí)鐘源。第163條所有系統(tǒng)中時(shí)間容許最多一分鐘偏差。第164條對(duì)于不能進(jìn)行時(shí)鐘同步系統(tǒng)，必要對(duì)時(shí)間進(jìn)行每月一次檢查。10訪問(wèn)控制方面10.1訪問(wèn)控制規(guī)定10.1.1訪問(wèn)控制管理辦法第165條所有系統(tǒng)和應(yīng)用都必要有訪問(wèn)控制列表，由系統(tǒng)管理者明擬定義訪問(wèn)控制規(guī)則、顧客和顧客組權(quán)限以及訪問(wèn)控制機(jī)制。訪問(wèn)控制列表應(yīng)當(dāng)進(jìn)行周期性檢查以保證授權(quán)對(duì)的。第166條訪問(wèn)權(quán)限必要依照工作完畢至少需求而定，不能超過(guò)其工作實(shí)際所需范疇。必要按照“除非明確容許，否則一律禁止”原則來(lái)設(shè)臵訪問(wèn)控制規(guī)則。第167條所有訪問(wèn)控制必要建立相應(yīng)審批程序，以保證訪問(wèn)授權(quán)合理性和有效性。必要禁用或關(guān)閉任何具備越權(quán)訪問(wèn)功能。員工職責(zé)發(fā)生變化或離職時(shí)，其訪問(wèn)權(quán)限必要作相應(yīng)調(diào)節(jié)或撤銷。第168條系統(tǒng)自帶默認(rèn)帳號(hào)應(yīng)當(dāng)禁用或配臵密碼進(jìn)行保護(hù)。10.2顧客訪問(wèn)管理10.2.1顧客注冊(cè)第169條開(kāi)放給顧客訪問(wèn)信息系統(tǒng)，必要建立正式顧客注冊(cè)和注銷程序。第170條所有顧客注冊(cè)都必要通過(guò)顧客注冊(cè)程序進(jìn)行申請(qǐng)，并得到部門(mén)領(lǐng)導(dǎo)或其委托者批準(zhǔn)。系統(tǒng)管理者對(duì)顧客具備最后授權(quán)決定權(quán)。必要保存和維護(hù)所有顧客注冊(cè)信息正式顧客記錄。第171條負(fù)責(zé)顧客注冊(cè)管理員必要驗(yàn)證顧客注冊(cè)和注銷祈求合法性。第172條每個(gè)顧客必要被分派唯一帳號(hào)，不容許共享顧客帳號(hào)。顧客一旦發(fā)現(xiàn)其帳號(hào)異常，必要及時(shí)告知負(fù)責(zé)顧客注冊(cè)管理員進(jìn)行解決。如果顧客帳號(hào)持續(xù)120天沒(méi)有使用，必要禁用該帳號(hào)。第173條帳號(hào)名不能透露顧客權(quán)限信息，例如管理員帳號(hào)不能帶有Admin字樣。10.2.2特權(quán)管理第174條必要建立正式授權(quán)程序，以保證授權(quán)得到嚴(yán)格評(píng)估和審批，并保證沒(méi)有與系統(tǒng)和應(yīng)用安全相違背。第175條必要建立授權(quán)清單，記錄和維護(hù)已分派特權(quán)和其相對(duì)顧客信息。10.2.3顧客密碼管理第176條只有在顧客身份被確認(rèn)后，才容許對(duì)忘掉密碼顧客提供暫時(shí)密碼。第177條系統(tǒng)中統(tǒng)一管理帳號(hào)密碼模塊保存密碼必要是加密。第178條密碼必要保密，不得與她人分享、放在源代碼內(nèi)或?qū)懺跊](méi)有保護(hù)介質(zhì)上（如紙張）。第179條必要強(qiáng)制顧客在第一次登錄時(shí)修改密碼。第180條系統(tǒng)應(yīng)當(dāng)設(shè)臵定期密碼修改管理辦法，并限制至少近來(lái)3個(gè)舊密碼重用。第181條系統(tǒng)必要啟用登錄失敗限制功能，如果持續(xù)10次登錄失敗，系統(tǒng)應(yīng)當(dāng)自動(dòng)鎖定有關(guān)帳號(hào)。第182條在通過(guò)電話傳送密碼此前必要確認(rèn)對(duì)方身份。第183條禁止帳號(hào)和密碼被一起傳送，例如用同一封郵件傳送帳號(hào)和密碼。第184條所有系統(tǒng)都應(yīng)當(dāng)建立應(yīng)急帳號(hào)，應(yīng)急帳號(hào)資料必要放在密封信封內(nèi)妥善收藏，并控制好信封存取。必要記錄所有應(yīng)急帳號(hào)使用狀況，涉及有關(guān)人、時(shí)間和因素等。應(yīng)急帳號(hào)密碼在使用后必要立即修改，然后把新密碼裝到信封里。10.2.4顧客訪問(wèn)權(quán)限檢查第185條必要半年對(duì)注冊(cè)顧客訪問(wèn)權(quán)限和系統(tǒng)特權(quán)進(jìn)行一次復(fù)查，核心系統(tǒng)必要每三個(gè)月復(fù)查一次。此過(guò)程應(yīng)當(dāng)涉及但不限于：1)確認(rèn)顧客權(quán)限有效性和合理性2)找出所有異常帳號(hào)（如長(zhǎng)時(shí)間未使用和已離職人員帳號(hào)等），進(jìn)行分析并采用相應(yīng)辦法第186條必要對(duì)可疑或不明確訪問(wèn)權(quán)限進(jìn)行調(diào)查，并作為安全事故進(jìn)行報(bào)告。10.3顧客責(zé)任10.3.1密碼使用第187條顧客必要對(duì)其帳號(hào)安全和使用負(fù)責(zé)，無(wú)論在何種狀況下，顧客都不應(yīng)當(dāng)泄漏其密碼。顧客不應(yīng)當(dāng)使用紙張或未受保護(hù)電子形式保存密碼。顧客一旦懷疑其帳號(hào)密碼也許受到損害，應(yīng)當(dāng)及時(shí)修改密碼。第188條顧客在第一次使用帳號(hào)時(shí)，必要修改密碼。顧客必要至少每半年修改一次密碼。特權(quán)帳號(hào)密碼必要至少每3個(gè)月修改一次。用于系統(tǒng)之間認(rèn)證帳號(hào)密碼必要至少每半年修改一次。第189條除非有技術(shù)限制，密碼應(yīng)當(dāng)至少包括8個(gè)字符。此8個(gè)字符必要包括數(shù)字和字母。第190條顧客不應(yīng)使用容易被猜測(cè)密碼，例如字典中單詞、生日和電話號(hào)碼等。前3次用過(guò)密碼不應(yīng)當(dāng)被重復(fù)使用。第191條密碼不應(yīng)當(dāng)被保存于自動(dòng)登錄過(guò)程中，例如IE中帳號(hào)自動(dòng)保存。10.3.2清除桌面及屏幕管理辦法第192條所有服務(wù)器和個(gè)人電腦都必要啟用帶有口令保護(hù)屏幕保護(hù)程序，激活等待時(shí)間應(yīng)少于10分鐘。第193條無(wú)人使用時(shí)，服務(wù)器、個(gè)人電腦和復(fù)印機(jī)等必要保持注銷狀態(tài)。第194條不能將機(jī)密和絕密信息資料遺留在桌面上，而應(yīng)當(dāng)依照信息保密級(jí)別進(jìn)行解決。第195條必要為信件收發(fā)區(qū)域以及無(wú)人看守傳真機(jī)設(shè)臵恰當(dāng)保護(hù)辦法。第196條打印完敏感信息之后，必要確認(rèn)信息已從打印隊(duì)列中清除。10.4網(wǎng)絡(luò)訪問(wèn)控制10.4.1網(wǎng)絡(luò)服務(wù)使用管理辦法第197條必要建立授權(quán)程序來(lái)管理網(wǎng)絡(luò)服務(wù)使用。第198條應(yīng)遵循業(yè)務(wù)規(guī)定中所闡明訪問(wèn)控制管理辦法來(lái)限制訪問(wèn)。第199條所有系統(tǒng)都必要設(shè)臵訪問(wèn)控制機(jī)制來(lái)防止未經(jīng)授權(quán)訪問(wèn)。10.4.2外部連接顧客認(rèn)證第200條對(duì)公司系統(tǒng)進(jìn)行遠(yuǎn)程訪問(wèn)，必要建立恰當(dāng)認(rèn)證機(jī)制，采用機(jī)制應(yīng)通過(guò)風(fēng)險(xiǎn)評(píng)估來(lái)決定。第201條通過(guò)撥號(hào)進(jìn)行遠(yuǎn)程訪問(wèn)必要通過(guò)正式批準(zhǔn)，并做好有關(guān)記錄。第202條用于遠(yuǎn)程訪問(wèn)調(diào)制解調(diào)器平時(shí)必要保持關(guān)閉，只有在使用時(shí)候才干打開(kāi)。第203條在公司外部進(jìn)行遠(yuǎn)程辦公，必要使用VPN進(jìn)行連接。第204條與外部合伙伙伴進(jìn)行信息互換，應(yīng)當(dāng)使用專線進(jìn)行連接。10.4.3遠(yuǎn)程診斷和配備端口保護(hù)第205條在不使用時(shí)候，診斷端口應(yīng)當(dāng)被禁用或通過(guò)恰當(dāng)安全機(jī)制進(jìn)行保護(hù)。第206條如果第三方需要訪問(wèn)診斷端口，必要訂立正式合同。第207條對(duì)遠(yuǎn)程診斷端口訪問(wèn)，必要建立正式注冊(cè)審批程序。訪問(wèn)者必要只被授予最小訪問(wèn)權(quán)限來(lái)完畢診斷任務(wù)，并且必要得到認(rèn)證。第208條所有遠(yuǎn)程診斷訪問(wèn)必要事先申請(qǐng)并獲得批準(zhǔn)。第209條在遠(yuǎn)程診斷會(huì)話期間，必要記錄所有執(zhí)行活動(dòng)信息，涉及時(shí)間、執(zhí)行者、執(zhí)行動(dòng)作和成果等。這些記錄應(yīng)當(dāng)由系統(tǒng)管理員進(jìn)行檢查以保證訪問(wèn)者只執(zhí)行了被授權(quán)活動(dòng)。10.4.4網(wǎng)絡(luò)劃分第210條必要將網(wǎng)絡(luò)劃分為不同區(qū)域，以提供不同級(jí)別安全保護(hù)，滿足不同服務(wù)安全需求。第211條對(duì)于重要網(wǎng)絡(luò)區(qū)域必要設(shè)臵訪問(wèn)控制以隔離其她網(wǎng)絡(luò)區(qū)域。第212條應(yīng)當(dāng)使用風(fēng)險(xiǎn)評(píng)估來(lái)決定每個(gè)區(qū)域安全級(jí)別。第213條公司外部和內(nèi)網(wǎng)之間應(yīng)當(dāng)建立一種DMZ。10.4.5網(wǎng)絡(luò)連接控制第214條公司以外網(wǎng)絡(luò)連接，在建立連接前必要對(duì)外部接入環(huán)境進(jìn)行評(píng)估，滿足公司管理辦法后才干接入。第215條所有網(wǎng)絡(luò)端口必要進(jìn)行限制，以防止非授權(quán)電腦接入公司網(wǎng)絡(luò)。限制規(guī)定至少應(yīng)涉及：1)所有端口默認(rèn)都是關(guān)閉，只有在通過(guò)正式批準(zhǔn)后才干開(kāi)通；2)端口關(guān)閉必要在員工離職和崗位變動(dòng)流程中體現(xiàn)；3)暫時(shí)使用端口或位臵變動(dòng)，員工必要積極申請(qǐng)停用原有端口，開(kāi)通新端口前必要先關(guān)閉原有端口。第216條必要將網(wǎng)絡(luò)接口和接入設(shè)備綁定，如果需要更換接入設(shè)備，必要通過(guò)部門(mén)經(jīng)理審批。第217條所有接入公司網(wǎng)絡(luò)主機(jī)必要通過(guò)公司原則化安裝。第218條公司必要設(shè)立一種單獨(dú)網(wǎng)絡(luò)區(qū)域供非公司原則化安裝電腦接入，此區(qū)域在網(wǎng)絡(luò)上是完全封閉、獨(dú)立。10.4.6網(wǎng)絡(luò)路由控制第219條路由訪問(wèn)控制列表必要基于恰當(dāng)源地址和目的地址檢查機(jī)制。所有對(duì)外提供網(wǎng)絡(luò)服務(wù)網(wǎng)絡(luò)地址必要進(jìn)行地址轉(zhuǎn)換。第220條所有重要服務(wù)器管理端口必要通過(guò)指定途徑進(jìn)行訪問(wèn)。10.5操作系統(tǒng)訪問(wèn)控制10.5.1顧客辨認(rèn)和認(rèn)證第221條所有顧客都應(yīng)當(dāng)被辨認(rèn)和認(rèn)證。在每個(gè)系統(tǒng)上創(chuàng)立實(shí)名顧客，系統(tǒng)登陸必要使用實(shí)名顧客。如果因特殊因素不能使用實(shí)名顧客登陸，必要通過(guò)安全管理委員會(huì)批準(zhǔn)。第222條顧客認(rèn)證失敗信息中，應(yīng)當(dāng)不顯示詳細(xì)失敗因素。例如不能顯示“帳號(hào)不存在”或“密碼不對(duì)的”。第223條如果由于業(yè)務(wù)規(guī)定需要使用共享顧客帳號(hào)，那么此共享帳號(hào)應(yīng)當(dāng)?shù)玫秸脚鷾?zhǔn)并明文歸檔。第224條系統(tǒng)管理員和應(yīng)用管理員必要使用不同帳號(hào)。第225條所有使用帳號(hào)密碼進(jìn)行認(rèn)證系統(tǒng)，在帳號(hào)密碼傳送過(guò)程中，應(yīng)當(dāng)采用加密保護(hù)辦法防止泄漏。10.5.2密碼管理系統(tǒng)第226條系統(tǒng)應(yīng)當(dāng)強(qiáng)制顧客在第一次成功登錄后修改初始密碼。修改密碼時(shí)，系統(tǒng)必要提示顧客確認(rèn)新密碼，以防止輸入錯(cuò)誤。不能明文顯示輸入密碼。第227條密碼文獻(xiàn)應(yīng)當(dāng)與應(yīng)用系統(tǒng)數(shù)據(jù)分開(kāi)存儲(chǔ)。密碼解決時(shí)必要使用單向加密。當(dāng)密碼接近失效期或者已通過(guò)期時(shí)，系統(tǒng)應(yīng)當(dāng)提示或強(qiáng)制顧客修改密碼。第228條所有默認(rèn)密碼都應(yīng)當(dāng)在軟件安裝后及時(shí)更改。系統(tǒng)應(yīng)當(dāng)容許顧客修改自己密碼。第229條系統(tǒng)密碼管理辦法必要滿足如下規(guī)定：1)密碼長(zhǎng)度至少8個(gè)字符；2)啟用密碼復(fù)雜度規(guī)定，至少涉及大寫(xiě)字母、小寫(xiě)字母、數(shù)字、特殊字符中三種；3)管理員帳號(hào)密碼有效期是90天；4)重要系統(tǒng)顧客帳號(hào)密碼有效期是90天；5)非重要系統(tǒng)普通帳號(hào)密碼有效期是180天；6)記錄歷史密碼次數(shù)不少于5個(gè)；7)帳號(hào)密碼驗(yàn)證失敗鎖定閥值是10次；8)帳號(hào)被鎖定后必要由管理員解鎖。9)如果因系統(tǒng)自身功能限制不能滿足上述管理辦法規(guī)定，其設(shè)臵密碼管理辦法必要經(jīng)信息安全管理委員會(huì)審核批準(zhǔn)。10.5.3系統(tǒng)工具使用第230條所有系統(tǒng)工具都應(yīng)當(dāng)被辨認(rèn)，不必要工具必要從生產(chǎn)系統(tǒng)中刪除。10.5.4終端超時(shí)終結(jié)第231條連接到服務(wù)器所有終端，在30分鐘內(nèi)沒(méi)有活動(dòng)，都應(yīng)當(dāng)被終結(jié)連接。10.5.5連接時(shí)間限制第232條對(duì)核心信息系統(tǒng)（如前臵機(jī)、合伙伙伴主機(jī)等）提供附加安全保護(hù)，涉及但不限于：1）只容許在之前協(xié)商好時(shí)間段內(nèi)訪問(wèn)（如：每天6點(diǎn)—6點(diǎn)半）2）只容許在正常工作時(shí)間內(nèi)訪問(wèn)（如：每周一至周五9點(diǎn)—17點(diǎn)）3）遠(yuǎn)程診斷modem在不使用時(shí)必要處在關(guān)閉狀態(tài)，在使用后必要及時(shí)關(guān)閉。10.6應(yīng)用系統(tǒng)訪問(wèn)控制10.6.1信息訪問(wèn)限制第233條應(yīng)用系統(tǒng)應(yīng)當(dāng)控制顧客訪問(wèn)權(quán)限，如讀寫(xiě)權(quán)限、刪除權(quán)限以及執(zhí)行權(quán)限。第234條必要保證解決敏感信息應(yīng)用系統(tǒng)僅輸出必須信息到授權(quán)終端，同步應(yīng)對(duì)這些輸出功能進(jìn)行定期檢查，保證不存在輸出多余信息。10.6.2敏感系統(tǒng)隔離第235條應(yīng)當(dāng)依照應(yīng)用系統(tǒng)敏感限度對(duì)系統(tǒng)進(jìn)行恰當(dāng)隔離保護(hù)，例如：1)運(yùn)營(yíng)于指定計(jì)算機(jī)上2)僅與信任應(yīng)用系統(tǒng)共享資源3）敏感系統(tǒng)各個(gè)某些都應(yīng)當(dāng)以恰當(dāng)方式進(jìn)行保護(hù)。10.7移動(dòng)計(jì)算和遠(yuǎn)程辦公10.7.1移動(dòng)計(jì)算第236條移動(dòng)設(shè)備（涉及個(gè)人手持設(shè)備、筆記本電腦）和家庭辦公個(gè)人電腦都應(yīng)當(dāng)受到保護(hù)以防未授權(quán)訪問(wèn)。第237條進(jìn)行移動(dòng)和家庭辦公員工，應(yīng)當(dāng)對(duì)其使用設(shè)備做好物理保護(hù)，防止丟失、盜竊和破壞等。存儲(chǔ)在移動(dòng)設(shè)備中敏感信息必要做好保護(hù)，例如采用加密以防泄漏。第238條移動(dòng)設(shè)備顧客必要做好防病毒工作。移動(dòng)設(shè)備中公司信息應(yīng)當(dāng)做好備份工作，防止丟失。10.7.2遠(yuǎn)程辦公第239條必要建立遠(yuǎn)程辦公使用原則和授權(quán)程序。第240條遠(yuǎn)程辦公訪問(wèn)權(quán)限必要基于最小權(quán)限原則進(jìn)行分派，授權(quán)內(nèi)容應(yīng)當(dāng)涉及：1)容許訪問(wèn)系統(tǒng)和服務(wù)2)容許進(jìn)行工作3)訪問(wèn)時(shí)段第241條遠(yuǎn)程辦公訪問(wèn)控制應(yīng)當(dāng)采用雙重認(rèn)證方式。遠(yuǎn)程辦公信息在傳播過(guò)程中必要加密。第242條員工離職或不再使用遠(yuǎn)程辦公時(shí)，必要取消其有關(guān)遠(yuǎn)程辦公訪問(wèn)權(quán)限。必要定期對(duì)遠(yuǎn)程辦公實(shí)行審計(jì)和安全監(jiān)控。11信息系統(tǒng)采購(gòu)、開(kāi)發(fā)和維護(hù)方面11.1系統(tǒng)安全需求11.1.1系統(tǒng)安全需求分析與范疇第243條在系統(tǒng)開(kāi)發(fā)整個(gè)過(guò)程（特別是在系統(tǒng)需求階段）都必要考慮安全需求，涉及但不限于：1)系統(tǒng)架構(gòu)2)顧客認(rèn)證3)訪問(wèn)控制和授權(quán)4)事務(wù)解決機(jī)密性和完整性5)日記記錄功能6)系統(tǒng)配臵7)法律法規(guī)和兼容性規(guī)定8)系統(tǒng)恢復(fù)第244條在系統(tǒng)需求和設(shè)計(jì)階段，需要對(duì)系統(tǒng)進(jìn)行安全面評(píng)審。第245條應(yīng)當(dāng)在開(kāi)發(fā)整個(gè)周期對(duì)安全需求實(shí)行對(duì)的性進(jìn)行階段性檢查，以保證其相應(yīng)安全辦法按照規(guī)定被定義、設(shè)計(jì)、布置和測(cè)試。第246條在使用商業(yè)軟件或軟件包前，必要按照上述安全需求進(jìn)行評(píng)估。對(duì)于軟件安全控制規(guī)定應(yīng)當(dāng)在評(píng)估之前定義好。第247條軟件必要通過(guò)顧客正式驗(yàn)收后才干投入生產(chǎn)。軟件在正式使用前必要通過(guò)安全面測(cè)試，測(cè)試內(nèi)容必要涉及所有設(shè)計(jì)文檔中安全規(guī)定。第248條為了對(duì)顧客操作進(jìn)行檢查和審計(jì)，系統(tǒng)必要提供日記記錄功能。系統(tǒng)應(yīng)提供只有日記審計(jì)人員可以訪問(wèn)用來(lái)查看日記記錄審計(jì)接口。日記文獻(xiàn)必要設(shè)臵嚴(yán)格訪問(wèn)控制，涉及系統(tǒng)管理員、日記審核員在內(nèi)所有角色都只能有查看權(quán)限。11.2應(yīng)用系統(tǒng)中安全11.2.1數(shù)據(jù)輸入驗(yàn)證第249條所有接受數(shù)據(jù)輸入入口必要有相應(yīng)驗(yàn)證解決，涉及但不限于：1)數(shù)據(jù)長(zhǎng)度2)數(shù)據(jù)類型3)數(shù)據(jù)范疇4)字符限制第250條依照業(yè)務(wù)需要，對(duì)于按照紙面信息輸入數(shù)據(jù)，系統(tǒng)應(yīng)當(dāng)提供“數(shù)據(jù)在輸入被確認(rèn)”之后才干提交功能。第251條系統(tǒng)應(yīng)當(dāng)對(duì)錯(cuò)誤輸入數(shù)據(jù)提供有協(xié)助提示信息。必要對(duì)數(shù)據(jù)輸入驗(yàn)證功能進(jìn)行全面測(cè)試，以保證其對(duì)的性和有效性。系統(tǒng)在使用過(guò)程中，應(yīng)當(dāng)明擬定義參加數(shù)據(jù)輸入各環(huán)節(jié)所有有關(guān)人員職責(zé)。11.2.2內(nèi)部解決控制第252條應(yīng)用系統(tǒng)設(shè)計(jì)應(yīng)當(dāng)考慮如下因素，防止對(duì)的輸入數(shù)據(jù)因錯(cuò)誤解決或人為因素等遭到破壞：1)程序應(yīng)當(dāng)有解決校驗(yàn)機(jī)制2)程序應(yīng)當(dāng)有相應(yīng)例外解決機(jī)制3)對(duì)于有先后執(zhí)行順序程序或程序模塊，內(nèi)部必要有執(zhí)行順序限制機(jī)制第253條控制辦法選取應(yīng)依照應(yīng)用性質(zhì)和數(shù)據(jù)受損對(duì)業(yè)務(wù)導(dǎo)致影響而定，可選取辦法涉及但不限于：1)會(huì)話或批解決控制辦法，在事務(wù)更新后協(xié)調(diào)有關(guān)數(shù)據(jù)文獻(xiàn)一致性2)驗(yàn)證系統(tǒng)生成數(shù)據(jù)對(duì)的性3)檢查數(shù)據(jù)完整性，特別是在計(jì)算機(jī)之間傳播數(shù)據(jù)4)計(jì)算記錄和文獻(xiàn)哈希值以便驗(yàn)證5)保證程序以對(duì)的順序運(yùn)營(yíng)，在浮現(xiàn)故障時(shí)終結(jié)，在問(wèn)題解決前暫停解決11.2.3消息驗(yàn)證第254條對(duì)需要保證消息內(nèi)容完整性應(yīng)用（例如電子交易）應(yīng)當(dāng)使用消息驗(yàn)證。第255條在采用消息驗(yàn)證之前，應(yīng)當(dāng)通過(guò)安全風(fēng)險(xiǎn)評(píng)估，以擬定其與否能滿足需要或采用其她更適合解決方式。11.2.4數(shù)據(jù)輸出驗(yàn)證第256條應(yīng)當(dāng)使用檢查輸出數(shù)據(jù)合理性機(jī)制。應(yīng)當(dāng)使用保證數(shù)據(jù)被所有解決機(jī)制。第257條輸出數(shù)據(jù)應(yīng)當(dāng)具有有關(guān)標(biāo)志，以便判斷數(shù)據(jù)狀態(tài)（例如與否精確、與否完整等）。必要對(duì)數(shù)據(jù)輸出驗(yàn)證功能進(jìn)行全面測(cè)試，以保證其對(duì)的性和有效性。第258條系統(tǒng)在使用過(guò)程中，應(yīng)當(dāng)明擬定義參加數(shù)據(jù)輸出各環(huán)節(jié)所有有關(guān)人員職責(zé)。11.3加密控制11.3.1加密使用管理辦法第259條敏感信息應(yīng)當(dāng)依照信息分類規(guī)定采用加密辦法進(jìn)行保護(hù)。第260條加密辦法采用不但要考慮到信息存儲(chǔ)，也應(yīng)當(dāng)考慮到信息傳播規(guī)定。應(yīng)當(dāng)使用被公司承認(rèn)原則加密算法。第261條未經(jīng)安全管理委員會(huì)批準(zhǔn)，顧客不能安裝任何未經(jīng)授權(quán)加密軟件。第262條加密算法應(yīng)當(dāng)依照算法強(qiáng)度和密鑰長(zhǎng)度進(jìn)行選取，以符合信息保護(hù)規(guī)定。第263條數(shù)字簽名使用必要符合國(guó)家電子簽名法有關(guān)規(guī)定。11.3.2密鑰管理第264條密鑰管理系統(tǒng)應(yīng)當(dāng)涉及如下活動(dòng)：1)密鑰產(chǎn)生2)密鑰變更3)密鑰存儲(chǔ)4)密鑰互換和分發(fā)5)密鑰注銷6)密鑰恢復(fù)和備份7)密鑰銷毀11.4系統(tǒng)文獻(xiàn)安全11.4.1生產(chǎn)系統(tǒng)應(yīng)用軟件控制第265條生產(chǎn)系統(tǒng)應(yīng)用軟件更新必要由獲得授權(quán)管理員來(lái)執(zhí)行。第266條禁止在生產(chǎn)系統(tǒng)中保存應(yīng)用軟件源代碼。必要建立程序庫(kù)統(tǒng)一保管和維護(hù)應(yīng)用程序可執(zhí)行代碼。第267條在測(cè)試成功、顧客驗(yàn)收完畢或有關(guān)程序庫(kù)被更新前，禁止更新生產(chǎn)系統(tǒng)中可執(zhí)行代碼。第268條必要對(duì)程序庫(kù)做好訪問(wèn)控制，并對(duì)程序庫(kù)更新進(jìn)行日記記錄。第269條應(yīng)用軟件必要做好版本控制管理，每一種版本都必要有相應(yīng)備份。源代碼所有版本都必要保存，并標(biāo)記版本號(hào)，每個(gè)版本之間差別描述要文檔化。11.4.2測(cè)試數(shù)據(jù)保護(hù)第270條測(cè)試系統(tǒng)應(yīng)當(dāng)參照生產(chǎn)系統(tǒng)訪問(wèn)控制規(guī)則進(jìn)行訪問(wèn)控制。第271條每次從生產(chǎn)系統(tǒng)中復(fù)制數(shù)據(jù)到測(cè)試系統(tǒng)中必要獲得授權(quán)，并做好記錄。從生產(chǎn)系統(tǒng)中復(fù)制數(shù)據(jù)必要通過(guò)解決，去掉關(guān)于財(cái)務(wù)和個(gè)人隱私信息。11.4.3對(duì)程序源代碼庫(kù)訪問(wèn)控制第272條應(yīng)當(dāng)建立程序源代碼庫(kù)，并由指定人員進(jìn)行統(tǒng)一管理。正在開(kāi)發(fā)或修改程序不應(yīng)當(dāng)保存在程序源代碼庫(kù)中。第273條更新程序源代碼庫(kù)和向程序員提供程序源代碼，應(yīng)通過(guò)指定程序源代碼庫(kù)管理員來(lái)執(zhí)行，并且獲得管理層授權(quán)。程序源代碼必要保存在安全環(huán)境中。第274條必要控制程序源代碼庫(kù)訪問(wèn)，只提供工作需要最小權(quán)限。程序源代碼訪問(wèn)必要做好有關(guān)記錄。第275條程序源代碼必要做好版本控制管理，每一種版本都必要有相應(yīng)備份。11.5開(kāi)發(fā)和維護(hù)過(guò)程中安全11.5.1變更控制流程第276條所有應(yīng)用軟件變更必要獲得批準(zhǔn)。第277條應(yīng)用軟件變更需求應(yīng)當(dāng)由業(yè)務(wù)部門(mén)授權(quán)資深人員提出。應(yīng)用軟件變更不應(yīng)破壞軟件自身可靠性和已有控制辦法。第278條變更需求中應(yīng)當(dāng)涉及對(duì)運(yùn)營(yíng)環(huán)境規(guī)定（如硬件資源、軟件資源等）。第279條變更設(shè)計(jì)方案必要通過(guò)正式批準(zhǔn)才干開(kāi)始編碼。變更在布置之前必要通過(guò)驗(yàn)收。第280條變更布置必要盡量減少對(duì)業(yè)務(wù)正常運(yùn)營(yíng)影響。第281條變更完畢后，有關(guān)文檔（如系統(tǒng)需求文檔、設(shè)計(jì)文檔、操作手冊(cè)、顧客手冊(cè)等）必要得到更新，舊文檔必要進(jìn)行備份。第282條必要維護(hù)所有軟件更新版本控制。必要維護(hù)所有變更需求記錄。11.5.2操作系統(tǒng)變更技術(shù)檢查第283條操作系統(tǒng)變更之前必要進(jìn)行評(píng)估，以保證應(yīng)用程序完整性和控制辦法不會(huì)受到破壞。操作系統(tǒng)變更之前必要告知有關(guān)人員，以便她們有足夠時(shí)間去做有關(guān)評(píng)估。第284條操作系統(tǒng)變更之后必要對(duì)業(yè)務(wù)持續(xù)性籌劃作相應(yīng)修正。11.5.3商業(yè)軟件修改限制第285條由廠家提供商業(yè)軟件不應(yīng)當(dāng)被修改。如果需要修改商業(yè)軟件，必要評(píng)估下列影響：1)軟件功能和內(nèi)部控制辦法與否會(huì)受到破壞2)與否會(huì)導(dǎo)致廠家升級(jí)包不能使用3)原廠商對(duì)修改過(guò)軟件與否不提供維護(hù)支持第286條在進(jìn)行任何修改之前，必要得到廠家容許，以保證不侵犯其知識(shí)產(chǎn)權(quán)。11.5.4信息泄漏第287條軟件開(kāi)發(fā)、采購(gòu)和使用都應(yīng)當(dāng)受到控制和檢查，以防范也許隱秘通道、邏輯炸彈、木馬等。如下幾點(diǎn)必要被考慮到：1)只從信譽(yù)良好廠家購(gòu)買軟件2)核心系統(tǒng)上工作必要由值得信任員工擔(dān)任3)購(gòu)買獲得國(guó)家關(guān)于機(jī)構(gòu)承認(rèn)軟件4)所有開(kāi)發(fā)代碼都必要進(jìn)行安全檢查，擬定無(wú)問(wèn)題后才可以布置在生產(chǎn)環(huán)境。第288條所有源代碼應(yīng)當(dāng)進(jìn)行恰當(dāng)注釋，以以便檢查。11.5.5軟件開(kāi)發(fā)外包第289條所有外包開(kāi)發(fā)軟件，必要簽定正式合同，合同內(nèi)容涉及但不限于：1)擬定軟件允許證范疇和數(shù)量2)明確代碼所有權(quán)和知識(shí)產(chǎn)權(quán)歸屬3)對(duì)代碼質(zhì)量規(guī)定4)有權(quán)對(duì)軟件開(kāi)發(fā)過(guò)程進(jìn)行審計(jì)5)軟件維護(hù)規(guī)定第290條外包軟件在正式使用前，必要通過(guò)病毒檢測(cè)和充分測(cè)試。對(duì)于提供源代碼外包軟件，必要對(duì)源代碼進(jìn)行