信息風險評估相關制度信息安全管理相關制度

信息風險評估有關制度

信息安全管理有關制度

1總則

第1條為規(guī)范信息安全管理工作，加強過程管理和基本設施管

理的風險分析及防范，建立安全責任制，健全安全內(nèi)控制度，保證信

息系統(tǒng)的機密性、完整性、可用性，特制定本規(guī)定。

2合用范疇

第2條本規(guī)定合用于。

3管理對象

第3條管理對象指構成計算機信息系統(tǒng)B勺系統(tǒng)、設備和數(shù)據(jù)等

信息資產(chǎn)和人員B勺安全。重要范疇涉及：人員安全、物理環(huán)境安全、

資產(chǎn)識別和分類、風險管理、物理和邏輯訪問控制、系統(tǒng)操作與運營

安全、網(wǎng)絡通訊安全、信息加密與解密、應急與災難恢復、軟件研發(fā)

與應用安全、機密資源管理、第三方與外包安全、法律和原則日勺符合

性、項目與工程安全控制、安全檢查與審計等。

4第四章術語定義

DMZ:用于隔離內(nèi)網(wǎng)和外網(wǎng)B勺區(qū)域，此區(qū)域不屬于可信任B勺內(nèi)

網(wǎng)，也不是徹底開放給因特網(wǎng)。

容量：分為系統(tǒng)容量和環(huán)境容量兩方面。系統(tǒng)容量涉及CPU、

內(nèi)存、硬盤存儲等C環(huán)境容量涉及電力供應、濕度、溫度、空氣質量

等。

安全制度：與信息安全有關的I制度文檔，涉及安全管理措施、原

則、指引和程序等。

安全邊界：用以明確劃分安全區(qū)域，如圍墻、大廈接待處、網(wǎng)段

等。

惡意軟件：涉及計算機病毒、網(wǎng)絡蠕蟲、木馬、流氓軟件、邏輯

炸彈等。

備份周期：根據(jù)備份管理措施制定的備份循環(huán)的周期，一種備份

周期的內(nèi)容相當于一種完整B勺全備份。

系統(tǒng)工具：可以更改系統(tǒng)及應用配備的程序被定義為系統(tǒng)工具，

如系統(tǒng)管理、維護工具、調試程序等。

消息驗證：一種檢查傳播的電子消息與否有非法變更或者破壞B勺

技術，它可以在硬件或者軟件上實施。

數(shù)字簽名：一種保護電子文檔真實性和完整性B勺措施。例如，在

電子商務中可以使用它驗證誰簽訂電子文檔，并檢查已簽訂文檔的內(nèi)

容與否被更改。

信息解決設備：泛指解決信息8勺所有設備和信息系統(tǒng)，涉及網(wǎng)絡、

服務器、個人電腦和筆記本電腦等。

不可抵賴性服務：用于解決交易糾紛中爭議交易與否發(fā)生B勺機

制。

電子化辦公系統(tǒng)：涉及電子郵件、KOA系統(tǒng)以及用于業(yè)務信息

傳送及共享的公司內(nèi)部網(wǎng)。

5安全制度方面

5.1安全制度規(guī)定

5.1.1本制度的詮釋

第4條所有帶有〃必須〃日勺條款都是強制性的。除非事先患上

到安全管理委員會的承認，否則都要堅決執(zhí)行。其他B勺條款則是強烈

建議的，只要實際可行就應該被采用。

第5條所有員工都受本制度H勺約束，各部門領導有責任保證其

部門已實施足夠的安全控制措施，以保護信息安全。

第6條各部門的領導有責任保證其部門的員工理解本安全管

理制度、有關日勺原則和程序以及尋常B勺信息安全管理。

第7條安全管理代表（或者其指派的人員）將審核各部門安全

控制措施實施的精確性和完整性，此過程是公司例行內(nèi)部審計的一

部分。

5.1.2制度發(fā)布

第8條所有制度在創(chuàng)立和更新后，必須經(jīng)過相應管理層的審

批。制度經(jīng)批準之后必須告知所有有關人員。

5.1.3制度復審

第9條當環(huán)境變化、技術更新或者業(yè)務自身發(fā)生變化時，必須

對安全制度重新進行評審，并作出相應的修正，以保證能有效地保護

公司的信息資產(chǎn)。

第10條安全管理委員會必須定期對本管理措施進行正式的復

審，并根據(jù)復審所作的修正，指引有關員工采用相應的行動。

6組織安全方面

6.1組織內(nèi)部安全

6.1.1信息安全體系管理

第11條公司成立安全管理委員會，安全管理委員會是公司信息

安全管理B勺最高決策機構，安全管理委員會H勺成員應涉及總裁室主管

IT領導、公司安全審計負責人、公司法律負責人等。

第12條信息安全管理代表由信息安全管理委員會指定，普通應

涉及稽核部IT稽核崗、信息管理部信息安全有關崗位及分公司IT崗。

第13條安全管理委員會通過清晰的方向、可見B勺承諾、具體的

分工，積極地支持信息安全工作，重要涉及如下幾方面：

1）擬定信息安全日勺目的符合公司B勺規(guī)定和有關制度；

2）闡明、復查和批準信息安全管理制度；

3）復查信息安全管理制度執(zhí)行的有效性；

4）為信息安全的執(zhí)行提供明確B勺指弓|和有效的支持;

5）提供信息安全體系運作所需要B勺資源

6）為信息安全在公司執(zhí)行定義明確的角色和職責；

7）批準信息安全推廣和培訓的籌畫和程序；

8）保證信息安全控制措施在公司內(nèi)被有效的執(zhí)行。

第14條安全管理委員會需要對內(nèi)部或者外部信息安全專家的

建議進行評估，并檢查和調節(jié)建議在公司內(nèi)執(zhí)行的成果。

第15條必須舉辦信息安全管理會議，會議成員涉及安全管理委

員會、安全管理代表和其他有關的公司高層管理人員。

第16條信息安全管理會議必須每年定期舉辦，討論和審批信息

安全有關事宜，具體涉及如下內(nèi)容

1）復審本管理制度的有效性

2）復審技術變更帶來的影響

3）復審安全風險

4）審批信息安全措施及程序

5）審批信息安全建議

6）保證任何新項目規(guī)劃已考慮信息安全B勺需求

7）復審安全檢查成果和安全事故報告

8）復審安全控制實施H勺效果和影響

9）宣導和履行公司高層對信息安全管理日勺批示

6.1.2信息安全職責分配

第17條信息管理部門作為信息安全管理部門，負責信息安全管

理方略制定及實施，其重要職責：

（一）負責全公司信息安全管理和指引；

（二）牽頭制定全公司信息安全體系規(guī)范、原則和檢查指引，參

與我司信息系統(tǒng)工程建設的安全規(guī)劃；

（三）組織全公司安全檢查；

（四）配合全公司安全審計工作的開展；

（五）牽頭組織全公司安全管理培訓；

（六）負責全公司安全方案日勺審核和安全產(chǎn)品B勺選型、購買。

（七）根據(jù)本規(guī)定、安全規(guī)范、技術原則、操作手冊實施各類安

全方略。

（八）負責各類安全方略的尋常維護和管理。

第18條各分公司信息管理部門作為信息安全管理部門，其重要

職責：

（一）根據(jù)本規(guī)定、信息安全體系規(guī)范、原則和檢查指引，組織

建立安全管理流程、手冊；

（二）組織實施內(nèi)部安全檢查；

（三）組織安全培訓；

（四）負責機密信息和機密資源日勺安全管理；

（五）負責安全技術產(chǎn)品B勺使用、維護、升級；

（六）配合安全審計工作的開展；

（七）定期上報本單位信息系統(tǒng)安全狀況，反饋安全技術和管理

B勺意期口建議。

（八）根據(jù)本規(guī)定、安全規(guī)范、技術原則、操作手冊實施各類安

全方略。

（九）負責各類安全方略的尋常維護和管理。

6.1.3信息解決設備的授權

第19條新設備的采購和設備部署的審批流程應該充分考慮信

息安全的規(guī)定。

第20條新設備在部署和使用之前，必須明確其用途和使用范

疇，并獲患上安全管理委員會的批準。必須對新設備的硬件和軟件系

統(tǒng)進行具體檢查，以保證它們的安全性和兼容性。

第21條除非獲患上安全管理委員會H勺授權，否則不容許使用私

人的信息解決設備來解決公司業(yè)務信息或者使用公司資源。

6.1.4獨立的信息安全審核

第22條必須對公司信息安全控制措施的實施狀況進行獨立地

審核，保證公司的信息安全控制措施符合管理制度的規(guī)定。審核工作

應由公司的審計部門或者專門提供此類服務的第三方組織負責執(zhí)行。

負責安全審核的人員必須具有相應的技能和經(jīng)驗。

第23條獨立日勺信息安全審核必須每年至少進行一次。

6.2第三方訪問B勺安全性

6.2.1明確第三方訪問的風險

第24條必須對第三方對公司信息或者信息系統(tǒng)B勺訪問進行風

險評估，并進行嚴格控制，有關控制須考慮物理上和邏輯上訪問時

安全風險。惟獨在風險被消除或者降低至何接受的水平時才容許其

訪問。

第25條第三方涉及但不限于：

1）硬件和軟件廠商的支持人員和其他外包商

2）監(jiān)管機構、外部顧問、外部審計機構和合伙火伴

3）暫時員工、實習生

4）清潔工和保安

5）公司B勺客戶

第26條第三方對公司信息或者信息系統(tǒng)的訪問類型涉及但不

限于：

1）物理的訪問，例如：訪問公司大廈、職場、數(shù)據(jù)中心等；

2）邏輯的訪問，例如：訪問公司日勺數(shù)據(jù)庫、信息系統(tǒng)等；

3）與第三方之間的網(wǎng)絡連接，例如：固定的連接、暫時H勺遠程連

接；

第27條第三方所有的訪問申請都必須經(jīng)過信息安全管理代表

B勺審批，只提供其工作所須的最小權限和滿足其工作所需B勺至少資

源，并且需要定期對第三方B勺訪問權限進行復查。第三方對重要信息

系統(tǒng)或者地點的訪問和操作必須有有關人員陪伴。

第28條公司負責與第三方溝通B勺人員必須在第三方接觸公司

信息或者信息系統(tǒng)前,主動告知第三方B勺職責、義務和需要遵守B勺規(guī)定,

第三方必須在清晰并批準后才干接觸相應信息或者信息系統(tǒng)。所有對

第三方日勺安全規(guī)定必須涉及在與其簽訂的合約中。

6.2.2當與客戶接觸時強調信息安全

第29條必須在容許客戶訪問信息或者信息系統(tǒng)前識別并登口

其需要遵守的安全需求。采用相應的保護措施保護客戶訪問的信息

或者信息系統(tǒng)。

6.2.3與第三方簽訂合約的安全規(guī)定

第30條與第三方合約中應涉及必要的安全規(guī)定，如：訪問、

解決、管理公司信息或者信息系統(tǒng)的安全規(guī)定。

7信息資產(chǎn)與人員安全

7.1資產(chǎn)責任

7.1.1資產(chǎn)的清單

第31條應清晰識別所有H勺資產(chǎn)，所有與信息有關的重要資產(chǎn)都

應該在資產(chǎn)清單中標出，并及時維護更新。這些資產(chǎn)涉及但不限于：

1）信息：數(shù)據(jù)庫和數(shù)據(jù)文獻、系統(tǒng)文檔、顧客手冊、培訓材料、

操作手冊、業(yè)務持續(xù)性籌畫、系統(tǒng)恢復籌畫、備份信息和合同等。

2）軟件：應用軟件、系統(tǒng)軟件、開辟工具以及實用工具等。

3）實體：計算機設備（解決器、顯示屏、筆記本電腦、調制解調

器等）、通訊設備（路由器、程控電話交換機、傳真機等）、存儲設備、

磁介質（磁帶和磁盤等）、其他技術設備（電源、空調器等）、機房等。

4）服務：通訊服務（專線）。

第32條資產(chǎn)清單必須每年至少審核一次。在購買新資產(chǎn)之前必

須進行安全評估。資產(chǎn)交付后，資產(chǎn)清單必須更新。資產(chǎn)的風險評估

必須每年至少一次，重要評估目前已部署安全控制措施的有效性。

第33條實體資產(chǎn)需要貼上合適的標簽。

7.1.2資產(chǎn)的管理權

第34條所有資產(chǎn)都應該被具體闡明，必須指明具體日勺管理者。

管壬里者可以是個人，也可以是某個部門。管理者是部門B勺資產(chǎn)則由部

門主管負責監(jiān)護。

第35條資產(chǎn)管理者的職責是：

1）擬定資產(chǎn)的保密級別分類和訪問管理措施；

2）定期復查資產(chǎn)的分類和訪問管理措施。

7.1.3資產(chǎn)的合理使用

第36條必須識別信息和信息系統(tǒng)的使用準則，形成文獻并實

施。使用準則應涉及：

1）使用范疇

2）角色和權限

3）使用者應負的責任

4）與其他系統(tǒng)交互H勺規(guī)定

第37條所有訪問信息或者信息系統(tǒng)B勺員工、第三方必須清晰要

訪問資源的使用準則，并承擔他們的責任。公司的所有信息解決設備（

涉及個人電腦）只能被使用于工作有關日勺活動，不患上用來炒股、

玩游戲等。濫用信息解決設備B勺員工將受到紀律處分。

7.2信息分類

7.2.1信息分類原則

第38條所有信息都應該根據(jù)其敏感性、重要性以及業(yè)務所規(guī)定

B勺訪問限制進行分類和標記。

第39條信息管理者負責信息的分類,并對其進行定期檢查，以

保證分類B勺對B勺。當信息被發(fā)布到公司外部，或者經(jīng)過一段時間后信

息的敏感度發(fā)生變化時，信息需要重新分類。

第40條信息口勺保密限度從高到低分為絕密、機密、秘密和非

保密四種級別。以電子形式保存的信息或者管理信息資產(chǎn)的系統(tǒng)，需

根據(jù)信息的敏感度進行標記。具有不同分類信息B勺系統(tǒng)，必須按照

其中的最高保密級別進行分類。

7.2.2信息標記和解決

第41條必須建立相應的保密信息解決規(guī)范。對于不同B勺保密級

別，應明確闡明如下信息活動的解決規(guī)定：

1）復制

2）保存和保管（以物理或者電子方式）

3）傳送（以郵寄、傳真或者電子郵件B勺方式）

4）銷毀

第42條電子文檔和系統(tǒng)輸出的信息（打印報表和磁帶等）應帶

有合適的信息分類標記。對于打印報表，其保密級別應顯示在每頁的

頂端或者底部。

第43條將保密信息發(fā)送到公司以外時，負責傳送信息B勺工作人

員應在分發(fā)信息之前，先告知對方文檔的保密級別及其相應的解決規(guī)

定。

7.3人員安全

7.3.1信息安全意識、教育和培訓

第44條所有公司員工和第三方人員必須接受涉及安全性規(guī)定、

信息解決設備的對的使用等內(nèi)容的培訓，并應該及時理解和學習公司

對安全管理制度和原則的更新。

第45條應該至少每年向員工提供一次安全意識培訓，其內(nèi)容涉

及但不限于：

1）安全管理委員會下達H勺安全管理規(guī)定

2）信息保密的責任

3）普通性安全守則

4）信息分類

5）安全事故報告程序

6）電腦病毒爆發(fā)時B勺應對措施

7）災難發(fā)生時的應對措施

第46條應該對系統(tǒng)管理員、開辟人員進行安全技能方面的培

訓，至少每年一次。員工和第三方人員在開始工作后90天內(nèi)，必須

進行技術和安全方面日勺培訓。

第47條災難恢復演習應至少每年舉辦一次。

7.3.2懲戒過程

第48條違背公司安全管理制度、原則和程序的員工將受到紀律

處分。在對信息安全事件調查結束后，必須對事件中B勺有關人員根據(jù)

公司B勺懲戒規(guī)定進行懲罰。紀律處分涉及但不限于：

1）通報J比評

2）警告

3）記過

4）解除勞動合同

5）法律訴訟

第49條當員工在接受可能波及解除勞動合同和法律訴訟的違

規(guī)調查時，其直接領導應暫停受調查員工的工作職務和其訪問權限，

涉及物理訪問、系統(tǒng)應用訪問和網(wǎng)絡訪問等。員工在接受調查時可以

陳述觀點，提出異議，并有進一步申訴B勺權力。

7.3.3資產(chǎn)歸還

第50條在終結雇傭、合同或者合同時，所有員工及第三方人

員必須歸還所使用B勺全部公司資產(chǎn)。需要歸還H勺資產(chǎn)涉及但不限于:

1）帳號和訪問權限

2）公司的電子或者紙質文檔

3）公司購買B勺硬件和軟件資產(chǎn)

4）公司購買H勺其他設備

第51條如果在非公司資產(chǎn)上保存有公司日勺資產(chǎn)，必須在帶出公

司前歸還或者刪除公司的資產(chǎn)。

7.3.4刪除訪問權限

第52條在終結或者變更雇傭、合同、合同時，必須刪除所有員

工及第三方人員對信息和信息系統(tǒng)B勺訪問權限，或者根據(jù)變更進行相

應的調節(jié)。所有刪端口調節(jié)操作必須在最后上班日之前完畢。

第53條對于公用的資源，必須進行及時的調節(jié)，例如：公用的

帳號必須即將更改密碼。

第54條在已經(jīng)擬定員工或者第三方終結或者變更意向后，必須

及時對他們?nèi)丈讬嘞捱M行限制，只保存終結或者變更所需要的權限。

8物理和環(huán)境安全方面

8.1安全區(qū)域

8.1.1物理安全邊界

第55條在公司的物理環(huán)境里，應該對需要保護B勺區(qū)域根據(jù)其重

要性劃分為不同B勺安全區(qū)域。特殊是有重要設備B勺安全區(qū)域（例如機

房）應該部署相應日勺物理安全控制。

第56條在大廈的統(tǒng)一入口處必須設立有專人值守的接待區(qū)域，

在特殊重要B勺安全區(qū)域也應該設立類似的接待區(qū)域。

第57條在非辦公時間內(nèi)，重要的安全區(qū)域必須安排保安定時巡

視。任何時候，公司內(nèi)必須至少有一位保安值班。保安值班表應至少

每月調節(jié)一次。

8.1.2安全區(qū)域訪問控制

第58條在非辦公時間，所有進入安全區(qū)域B勺入口都應該受到控

制，例如上鎖。任何時候，重要安全區(qū)域B勺所有出入口必須受到嚴格

的訪問控制，保證惟獨授權的員工才可以進入此區(qū)域。

第59條對于設有訪問控制的）安全區(qū)域，必須定期審核并及E寸更

新其訪問權限。所有員工都必須佩戴一種身份識別通行證，有責任保

證通行證的安全并不患上轉借別人。員工離職時必須交還通行證，同

步取銷其所有訪問權限。

第60條所有來賓的有關資料都必須具體記載在來賓進出登記

表中，并向獲準進入日勺來賓發(fā)放來賓通行證。同步，必須有相應B勺程

序以保證回收所發(fā)放的來賓通行證。來賓進出登記表必須至少保存1

年，記錄內(nèi)容應涉及但不限于：

1）來賓姓名

2）來賓身份

3）來賓工作單位

4）來訪事由

5）負責接待的員工

6）來賓通行證號碼

7）進入日勺日期和時間

8）離開H勺日期和時間

8.1.3辦公場所和設施安全

第61條放置敏感或者重要設備日勺區(qū)域（例如機房）應盡量不引

人注目，給外面的信息應盡量至少，不應該有明顯的標志指明敏感

區(qū)域B勺所在位置和用途。這些區(qū)域還應該被予以相應的保護，保護

措施涉及但不限于：

1）所有出入口必須安裝物理訪問控制措施

2）使用來賓登記表以便記錄來訪信息

3）嚴禁吸煙

第62條必須對支持核心性業(yè)務活動的設備提供足夠B勺物理訪

問控制。所有安全區(qū)麻口出入口必須通過閉路電視進行監(jiān)控。普通會

議室或者其他公眾場合必須與安全區(qū)域隔離開來。無人值守日勺時候，

辦公區(qū)中B勺信息解決設備必須從物理上進行保護。門和窗戶必須鎖

好。

8.1.4防范外部和環(huán)境威脅

第63條辦公場所和機房B勺設計和建設必須充分考慮火災、洪

水、地震、爆炸、騷亂等天災或者人為災難，并采用額外的控制措施

加以保護。

第64條機房必須增長額外日勺物理控制，選用B勺場地應盡量安

全，并盡量避免受到災害的影響。機房必須有防火、防潮、防塵、防

盜、防磁、防鼠等設施。

第65條機房建設必須符合國標GB2887-89《計算機場地技術

條件》和GB9361-88《計算站場地安全規(guī)定》中的規(guī)定。

第66條機房內(nèi)消防措施必須滿足如下規(guī)定：

1）必須安裝消防設備，并定期檢查。

2）應該指定消防指J軍員。

3）機房內(nèi)嚴禁寄存易燃材料，每周例行檢查一次。

4）必須安裝煙感及其他火警探測器和滅火裝置。應每季度定期檢

查這些裝備，保證它們能有效運作。

5）必須在明顯位置張貼火災逃生路線圖、滅火設備平面放置圖以

及安全出口B勺位置。

6）安全出口必須有明顯標記。

7）應該訓練員工熟悉使用消防設施。

8）緊急事件發(fā)生時必須提供緊急照明。

9）所有疏散路線都必須時刻保持暢通。

10）必須保證防火門在火災發(fā)生時可以啟動。

11）每年應至少舉辦一次火災撤離演習，使工作人員熟知火災撤

離的過程。

8.1.5在安全區(qū)域工作

第67條員工進入機房日勺訪問授權，不能超過其工作所需的范

疇。必須定期檢查訪問權限B勺分配并及時更新。機房的訪問權限應不

同于進入大樓其他區(qū)域H勺權限。

第68條所有需要進入機房的來賓都必須提前申請。必須維護和

及時更新來賓記錄，以掌握來賓進入機房的具體狀況。記錄中應具體

闡明來賓B勺姓名、進入與離開B勺日期與時間,申請者以及進入B勺因素。

機房來賓記錄至少保存一年。來賓必須患上到明確許可后，在專人陪

伴下才干進入機房。

第69條機房B勺保護應在專家B勺指引下進行，必須安裝合適的安

全防護和檢測裝置。機房內(nèi)嚴禁吸煙、飲食和拍攝。

8.1.6機房操作日志

第70條必須記錄機房管理員的操作行為,以便其行為可以追

蹤。操作記錄必須備份和維護并妥善保管，防止被破壞。

第71條在機房值班人員交接時,上一班值班人員所遺留的問題

以及從事B勺工作應明確交待給下一班，保證有關操作的延續(xù)性。

8.2設備安全

8.2.1設備的安頓及保護

第72條必須對設備實施安全控制，以減少環(huán)境危害和非法的訪

問。應該考慮的因素涉及但不限于：

1）水、火

2）煙霧、灰塵

3）震動

4）俗加

5）電源干擾、電磁輻射

第73條設備必須放置在遠離水災B勺地方，并根據(jù)需要考慮安裝

漏水警報系統(tǒng)。

應急開關如電閘、煤氣開關和水閘等都必須清晰地做好標記，并

且能容易訪問。

設備都應該裝有合適的漏電保險絲或者斷路器進行保護。

放置設備B勺區(qū)域必須滿足廠商提供的設備環(huán)境規(guī)定。

設備的操作必須遵守廠商提供B勺操作規(guī)范。

通信路線和電纜必須從物理上進行保護。

8.2.2支持設施

第74條支持設施可以朝物理場所、設備等B勺正常運作，例如：

電力設施、空調、排水設施、消防設施、靜電保護設施等。

必須采用保護措施使設備免受電源故障或者電力異常的破壞。

必須驗證電力供應與否滿足廠商設備對電源B勺規(guī)定。

每年應至少對支持設施進行一次安全檢查。

工作環(huán)境中增長新設備時，必須對電力、空調、地板等支持設施

日勺負荷進行審核。

必須設立后備電源，例如不間斷電源(UPS)或者發(fā)機電。對需

要配備后備電源的設備裝置進行審核，保證后備電源可以滿足這些

設備B勺正常工作。

每年必須至少對備用電源/進行一次測試。

應急電源開關應位于機房B勺緊急出口附近，以便緊急狀況發(fā)生時

可以迅速切斷電源。

電纜應根據(jù)供電電壓和頻率B勺不同而互相隔離。

所有電纜都應帶有標簽，標簽上H勺編碼應記錄歸檔。

電纜應從物理上加以保護。

8.2.3設備維護

第75條所有生產(chǎn)設備必須有足夠的維護保障，核心設備必須提

供7x24的現(xiàn)場維護支持。所有生產(chǎn)設備必須定期進行防止性維護。

惟獨經(jīng)過批準B勺、受過專業(yè)培訓的工作人員才干進行維護工作。設備

的所有維護工作都應該記錄歸檔。如果設備需要搬離安全區(qū)域進行修

理，必須獲患上批準并卸載其存儲介質。

第76條必須建立設備故障報告流程。對于需要進行重大維修B勺

設備，流程還應該涉及設備檢修的報告,及換用備用設備B勺流程。

8.2.4管轄區(qū)域外設備安全

第77條筆記本電腦顧客必須保護好筆記本電腦的安全，防止筆

記本電腦損壞或者被盜竊。

第78條如果將設備帶出公司，設備擁有者必須親自或者指定專

人保護設備B勺安全。設備擁有者必須對設備在公司場所外B勺安全負

責。

8.2.5設備的安全解決或者再運用

第79條再運用或者報廢之前，設備所具有B勺所有存儲裝置（例

如硬盤等）都必須通過嚴格檢查，保證所有敏感數(shù)據(jù)和軟件已被刪

除或者改寫，并且不可能被恢復。應該通過風險評估來決定與否徹

底銷毀、送修還是丟棄具有敏感數(shù)據(jù)時已損壞設備。

9通信和操作管理方

9.1操作程序和職責

9.1.1規(guī)范的操作程序

第80條必須為所有的業(yè)務系統(tǒng)建立操作程序,其內(nèi)容涉及但不

限于：

1）系統(tǒng)重啟、備份和恢復的措施

2）普通性錯誤解決日勺操作指南

3）技術支持人員的聯(lián)系措施

4）與其他系統(tǒng)B勺依賴性和解決的優(yōu)先級

5）硬件的配備管理

第81條操作程序必須征患上管理者口勺批準才干對其進行修改。

操作程序必須及時更新，更新條件涉及但不限于：

1）應用軟件口勺變更

2）硬件配備的變更

9.1.2變更控制

第82條必須建立變更管理程序來控制系統(tǒng)的變更，所有變更都

必須遵守變更管理程序B勺規(guī)定。程序內(nèi)容涉及但不限于：

1）識別和記錄變更祈求

2）評估變更B勺可行性、變更籌畫和可能帶來口勺潛在影響

3）變更的測試

4）審批的流程

5）明確變更失敗B勺恢復籌畫和負責人

6）變更B勺驗收

第83條重要變更必須制定籌畫，并在測試環(huán)境下進行足夠的測

試后，才干在生產(chǎn)系統(tǒng)中實施。所有變更必須涉及變更失敗B勺應對?昔

施和恢復籌畫。所有變更必須獲患上授權和批準，變更的申請和審批

不患上為同一種員工。對變更需要波及H勺硬件、軟件和信息等對象

都應標

記出來并進行相應評估。變更在實施前必須告知到有關人員。

第84條變更的實施應該安排在對業(yè)務影響最小B勺時間段進行，

盡量減少對業(yè)務正常運營的影響。在生產(chǎn)系統(tǒng)安裝或者更新軟件前，

必須對系統(tǒng)進行備份。變更完畢后，有關的文檔（如系統(tǒng)需求文檔、

設計文檔、操作手冊、顧客手冊等）必須患上到更新，舊的文檔必

須進行備份。

第85條必須對變更進行復查，以保證變更沒有對原來的系統(tǒng)環(huán)

境導致破壞。必須完整記錄整個變更過程，并將其妥善保管。變更日勺

記錄應至少每月復查一次。

9.1.3職責分離

第86條系統(tǒng)管理員和系統(tǒng)開辟人員B勺職責必須明確分開。同一

解決過程中B勺重要任務不應該由同一種人來完畢，以防止欺詐和誤操

作B勺發(fā)生。

第87條所有職責分離的控制必須記錄歸檔，作為責任分工時根

據(jù)。無法采用職責分離時，必須采用其他N勺控制，例如活動監(jiān)控、審

核跟蹤評估以及管理監(jiān)督等。

9.1.4開辟、測試和生產(chǎn)系統(tǒng)分離

第88條不應給開辟人員提供超過其開辟所需范疇B勺權限。如果

開辟人員需要訪問生產(chǎn)系統(tǒng)，必須經(jīng)過運營人員的授權和管理。

第89條生產(chǎn)、測流口開辟應分別使用不同的系統(tǒng)環(huán)境。開辟人

員不患上在生產(chǎn)環(huán)境中更改編碼或者操作生產(chǎn)系統(tǒng)。不患上在生產(chǎn)系

統(tǒng)上擅自安裝開辟工具（例如編譯程序及其他系統(tǒng)公用程序等），

并做好已有開辟工具B勺訪問控制。開辟和測試環(huán)境使用日勺測試數(shù)據(jù)

不能包具有敏感信息。

9.1.5事件管理程序

第90條必須建立事件管理程序,并根據(jù)事件影響的嚴重限度制

定其所屬類別,同步闡明相應的解決措施和負責人。必須根據(jù)事件的

嚴重限度，定義響應B勺范疇、時間和完畢事件解決B勺時間。

第91條系統(tǒng)B勺修復必須患上到系統(tǒng)管理者的批準方可執(zhí)行。

第92條所有事件報告必須記錄歸檔,并由部門主管或者指定人

員妥善保管。必須對事件的解決狀況進行監(jiān)控,對超時時解決提出

改善建議并跟進改善效果。

9.2第三方服務交付管理

9.2.1服務交付

第93條第三方提供的服務必須滿足安全管理制度B勺規(guī)定。第三

方提供的服務必須滿足公司業(yè)務持續(xù)性H勺規(guī)定。

第94條必須保存第三方提供的服務、報告和記錄并定期評審,

至少每半年一次。評審內(nèi)容應涉及：

1）服務內(nèi)容和質量與否滿足合同規(guī)定；

2）服務報告與否真實。

9.2.2第三方服務的變更管理

第95條服務變化時，必須重新對服務與否滿足安全管理措施進

行評估。在服務變更時需要考慮：

1）服務價格的增長；

2）新B勺服務需求；

3）公司信息安全管理制度B勺變化；

4）公司在信息安全方面新的控制。

9'3針對惡意軟件B勺保護措施

9.3.1對惡意軟件的控制

第96條必須建立一套病毒防治體系，以便防止病毒對公司帶來

B勺影響。所有服務器、個人電腦和筆記本電腦都應該安裝公司規(guī)定日勺

防病毒軟件，并及時更新防病毒軟件。所有存進計算機B勺信息（例如

接收到的郵件、下載的文獻等）都必須經(jīng)過病毒掃描。員工和第三方

廠商從外界帶來的存儲介質在使用之前必須進行病毒掃描。

第97條所有員工都應該接受防病毒知識B勺培訓和指引。

第98條公司內(nèi)發(fā)現(xiàn)的病毒、計算機或者應用程序的異常行為，

都必須作為安全事件進行報告。

第99條必須定期審核控制惡意軟件措施B勺有效性。一旦發(fā)現(xiàn)感

染病毒,必須即將把機器從網(wǎng)絡中斷開。在病毒沒有被徹底清除之前,

嚴禁將其重新連接到網(wǎng)絡上。

9.4備份

9.2.1信息備份

第100條所有服務器、個人電腦和筆記本電腦必須根據(jù)業(yè)務需求

定期進行備份。系統(tǒng)在重大變更之前和之后必須進行備份。

第101條備份管理措施必須獲患上管理層B勺審批以保證符合業(yè)

務需求。備份管理措施必須至少每季度進行一次復查,以保證沒有

發(fā)生未授權或者意外的更改。

第102條應該保存多于1個備份周期的備份，但重要業(yè)務信息應

至少保存3個備份周期B勺備份。備份資料和相應的恢復操作手冊必須

定期傳送到異地進行保存。異地必須與主站點有一定的距離，以避免

受主站點的災難波及。

第103條必須對異地保存的備份信息實施安全保護措施,其保護

原則應和主站點相一致。必須定期測試備份介質，保證其可用性。必

須定期檢查和測試恢復環(huán)節(jié)，保證它們的有效性。備份系統(tǒng)必須進行

監(jiān)控，以保證其穩(wěn)定性和可用性。

9.5網(wǎng)絡管理

9.5.1網(wǎng)絡控制

第104條網(wǎng)絡管理和操作系統(tǒng)管理B勺職責應該彼此分離,并由不

同B勺員工承擔。必須明擬定義網(wǎng)絡管理的職責和義務。惟獨患」倒許

可時員工才可以使用網(wǎng)絡管理系統(tǒng)。

第105條必須建立相應的控制機制，保護路由表和防火墻安全管

理措施等網(wǎng)絡參數(shù)的完整性。保護通過公網(wǎng)傳送敏感數(shù)據(jù)B勺機密性、

完整性和可用性。

第106條進行網(wǎng)絡合同兼容性的評估時應考慮將來新增網(wǎng)絡設

備B勺規(guī)定。任］即隹備接進網(wǎng)絡B勺新設備，在進網(wǎng)前都必須通過合同兼

容性的評估和安全檢查。

第107條必須對網(wǎng)絡進行監(jiān)控和管理。所有網(wǎng)絡故障都必須向上

級報告。

第108條必須建立互聯(lián)網(wǎng)的訪問管理措施。除非患上到授權,

否則禁止訪問外部網(wǎng)絡的服務。

9.6介質的I管理

9.6.1可挪移介質的管理

第109條可挪移計算機存儲介質（例如磁帶、光盤等）必須有合

適時訪問控制。存儲介質上必須設立標簽，以標記其類型和用途。標

簽應使用代碼，以避免直接標記存儲介質上的內(nèi)容。標記用H勺代碼需

要記錄并歸檔。

第110條必須建立和維護介質清單，并對介質的借用和歸還進行

記錄。應保證備有足夠的存儲介質，以備使用。

第111條寄存在存儲介質內(nèi)的絕密和機密信息必須受到妥善保

護。

第112條存儲介質B勺寄存環(huán)境必須滿足介質規(guī)定的環(huán)境條件（例

如溫度、濕度、空氣質量等）。

第U3條備份介質必須存儲在防火柜中。應該對介質的壽命進行

管理，在介質壽命結束前一年，將信息拷貝到新B勺介質中。

9.6.2介質的銷毀

第U4條應建立存儲介質的報廢規(guī)范,涉及但不限于：

1）紙質文檔

2）語音資料及其他錄音帶

3）復寫紙

4）磁帶

5）m

6）光存儲介質

第115條所有不會被再運用的敏感文檔都必須根據(jù)定義B勺信息

密級采用合適日勺方式進行銷毀。

第U6條所有報廢及過期的存儲介質必須妥善銷毀。

9.6.3信息解決程序

第117條介質的信息分類，必須采用寄存信息中的最高保密級

別。

第118條應根據(jù)介質中信息的分類級別，采用相應措施來保護介

質B勺輸出環(huán)境。

9.6.4系統(tǒng)文檔的安全

第119條存取具有敏感信息的文檔，必須獲患上相應文檔管理者

B勺批準。具有敏感信息B勺文檔應保存在安全B勺地方，未經(jīng)許可不患上

訪問。具有敏感信息的文檔通過內(nèi)部網(wǎng)等?是供訪問時，應采用訪問控

制加以保護。

9.7信息交換

9.7.1信息交換管理措施和程序

第120條必須根據(jù)信息的類型和保密級別，定義信息在交換過程

中應遵循的安全規(guī)定。

第121條所有員工和第三方人員都必須遵守公司的信息交換管

理措施。

第122條未經(jīng)許可，公司內(nèi)部不容許安裝、使用無線通信設備。

第123條使用加密技術保護信息B勺保密性、完整性和真實性。敏

感信息帶出公司必須獲患上直接領導或者信息管理者的授權。

第124條必須建立控制機制來保護運用音頻、傳真和視頻通信設

備進行交換的信息。

第125條電話錄音系統(tǒng)應該配備密碼，以防非法訪問。

第126條在使用傳真機中已存儲的號碼時，傳真之前必須驗證號

碼。

第127條挪移通訊設備（例如手機,PDA等）不應存儲公司敏

9.7.2交換合同

第128條跟外界進行信息和軟件交換必須簽訂合同，其內(nèi)容必須

涉及：

1）發(fā)送方和接收方B勺責任

2）明確發(fā)送和接收B勺方式

3）制定信息封裝和傳播日勺技術原則

4）數(shù)據(jù)丟失的有關責任

5）聲明信息的保密級別和保護規(guī)定

6）聲明信息和軟件B勺所有權、版權和其他有關因素

9.7.3物理介質傳播

第129條必須建立傳播存儲介質的安全原則。應使用可靠的傳播

工具或者傳遞人，授權B勺傳遞人必須接受合適監(jiān)管并進行其身份B勺

檢查。應保證敏感信息H勺機密性、完整性和可用性在傳播全程中受

到保護。

第130條寄存介質的容器在運送過程前必須密封。信息分類不應

該標記在容器口勺外面。包裝應該非常結子，保證介質在運送過程中不

受到損壞。

9.7.4電子消息

第131條電子化辦公系統(tǒng)必須建立相應日勺管理措施和控制機制，

并闡明下列內(nèi)容：

1）擬定不能被共享的信息B勺類型或者密級

2）系統(tǒng)顧客的權限

3）系統(tǒng)B勺訪問控制

4）與系統(tǒng)有關B勺備份管理措施

第132條除非獲患上安全管理委員會H勺授權，否則禁止使用公司

以外的電子系統(tǒng)（例如BBS、MSN、QQ等）進行跟公司有關B勺活

動。

第133條電子郵件內(nèi)的信息必須根據(jù)其信息分類的安全規(guī)定去

解決和保護。用于連接外網(wǎng)B勺郵件網(wǎng)關必須安裝防病毒軟件,檢查進

出的電子郵件。必須對Internet屏蔽郵件系統(tǒng)的內(nèi)網(wǎng)IP地址。

第134條員工使用公司的郵件系統(tǒng)時只能進行與業(yè)務有關B勺活

動。所有在公司的郵件系統(tǒng)上產(chǎn)生及存儲的郵件都是公司資產(chǎn)。公司

有權查看和監(jiān)控所有郵件。

未經(jīng)授權，嚴禁使用公司以外B勺郵箱解決公司業(yè)務。

所有對外發(fā)送日勺郵件都必須加之責任聲明。

9.7.5業(yè)務信息系統(tǒng)

第135條在業(yè)務系統(tǒng)進行信息共享時，必須保證信息的完整性、

可用行和保密性。必須保證重要信息在交換過程中日勺保密性。

9.8電子商務服務

9.8.1電子商務

第136條必須采用合適措施，保證電子交易過程日勺機密性、完整

性和可用性。

第137條電子商務B勺交易必須制定有關的交易聲明，以明確注意

事項和有關責任。在電子商務B勺合同中，必須明確欺詐行為和未能交

付B勺責任。

第138條電子交易必須設立并維護合適的訪問控制。身份驗證技

術必須滿足業(yè)務的實際規(guī)定。

第139條必須保存并維護所有電子商務交易過程中的記錄和日

志。

第140條應該使用加密、電子證書、數(shù)字簽名等技術保護電子商

務安仝。

9.8.2在線交易

第141條必須保護在線交易信息，避免不完整期專播、路由錯誤、

未授權B勺消息更改、未授權的信息信息泄漏、復制和答復。

第142條在線交易中必須使用數(shù)字證書保護交易安全。交易中必

須使用加密技術對所有通信內(nèi)容加密。在線交易必須使用安全的通訊

合同。

第143條在線交易信息必須保存在公司內(nèi)部的存儲環(huán)境，存儲環(huán)

境不能被從Internet直接訪問。

第144條在線交易必須遵守國家、地區(qū)和行業(yè)有關的法律法規(guī)。

9.8.3公共信息

第145條必須保證公共信息系統(tǒng)中信息B勺完整性，并防止非授權

B勺修改。

第146條信息的發(fā)布必須遵守國家法律法規(guī)的規(guī)定。通過信息發(fā)

布系統(tǒng)向內(nèi)部和公眾發(fā)布B勺信息都必須經(jīng)過公司有關部門的檢查和

審批。信息在發(fā)布之前必須經(jīng)過核對，確認其對日勺性和完整性。必須

對敏感信息的解決和存儲過程進行保護。

9.9監(jiān)控

9.9.1日志

第147條所有操作系統(tǒng)、應用系統(tǒng)都必須具有并啟用日志記錄功

能。

第148條日志記錄信息必須涉及但不限于：

1）顧客ID;

2）每項操作日勺日期和時間（至少要精確到秒）；

3）來源B勺標記或者位置；

4）成功B勺系統(tǒng)訪問嘗試;

5）失敗或者被回絕的系統(tǒng)訪問嘗試；

第149條日志類型涉及但不限于：

1）應用日志；

2）系統(tǒng)日志；

3）安全日志;

4）操作日志；

5）問題記錄。

第150條必須保證日志記錄功能在任何時候都能正常運營。應該

有機制監(jiān)控日志B勺容量變化，在容量耗盡之前發(fā)出報警信息。

第151條除非特殊聲明，所有日志都必須被分類為〃機密〃。日

志應該定期復查，至少每月一次。

9.9.1監(jiān)控系統(tǒng)的作用

第152條不同E勺信息解決設備所規(guī)定B勺監(jiān)控級別應該通過風險

評估來決定，必須考慮下列要素：

1）系統(tǒng)B勺訪問；

2）所有特權操作；

3）未授權的訪問嘗試；

4）系統(tǒng)警報或者故障。

第153條應每天定時監(jiān)控網(wǎng)絡（涉及網(wǎng)絡性能和網(wǎng)絡故障），并

根據(jù)產(chǎn)生的報告，對異常變化的網(wǎng)絡流量，作進一步分析，以發(fā)現(xiàn)潛

在B勺網(wǎng)絡安全問題。

9.9.3日志信息保護

第154條必須保證日志不能被修改或者刪除，所有對于日志文獻

B勺訪問（如刪除、寫、讀或者添加）嘗試都應該有相應記錄。

第155條除非特殊聲明，日志必須至少保存1年。惟獨授權的員

工才干訪問并使用日志。必須采用控制措施保護日志的完整性。

9.9.4管理員和操作員日志

第156條系統(tǒng)管理員和操作員的操作必須被記錄日志。

第157條日志記錄應涉及重要的操作，例如與顧客管理有關的操

作（顧客帳號時創(chuàng)立、刪除、權限設立、修改）、與財務有關的操作

等。

第158條管理員和重要系統(tǒng)的操作員日志應該至少每周復查一

次。對于重要的財務系統(tǒng)和業(yè)務系統(tǒng)每天都要復查。

9.9.5故障日志

第159條必須啟動故障日志功能。

第160條必須保證故障記錄時跟進解決，保證問題患上到徹底

解決，并且其糾正措施不會帶來新的安全問題。所有故障記錄都應

該向上級報告并記錄歸檔。

第161條故障記錄應妥善保管，防止被損壞，必要時應該進行備

份。

9.9.8時鐘同步

第162條所有系統(tǒng)應該使用時鐘同步服務，并使用同一時鐘源。

第163條所有系統(tǒng)中的時間容許最多一分鐘時偏差。

第164條對于不能進行時鐘同步B勺系統(tǒng)，必須對時間進行每月一

次B勺檢查。

40訪問控制方面

10.1訪問控制規(guī)定

40.4.4訪問控制管理措施

第165條所有系統(tǒng)和應用都必須有訪問控制列表，由系統(tǒng)管理者

明擬定義訪問控制規(guī)則、顧客和顧客組B勺權限以及訪問控制機制。訪

問控制列表應該進行周期性的檢查以保證授權對時。

第166條訪問權限必須根據(jù)工作完畢B勺至少需求而定，不能超過

其工作實際所需的范疇。必須按照〃除非明確容許，否則一律禁止〃

H勺原則來設立訪問控制規(guī)則。

第167條所有訪問控制必須建立相應日勺審批程序,以保證訪問授

權的合理性和戰(zhàn)性。必須禁用或者關閉任何具有越權訪問B勺功能。

員工的職責發(fā)生變化或者離職時，其訪問權限必須作相應調節(jié)或者

撤銷。

第168條系統(tǒng)自帶的默認帳號應該禁用或者配備密碼進行保護。

10『2顧客訪問管理

20.2.2顧客注冊

第169條開放給顧客訪問的信息系統(tǒng),必須建立正式的顧客注冊

和注銷程序。

第170條所有顧客的注冊都必須通過顧客注冊程序進行申請，并

患上到部門領導或者其委托者H勺批準。系統(tǒng)管理者對顧客具有最后B勺

授權決定權。必須保存和維護所有顧客B勺注冊信息B勺正式顧客記錄。

第171條負責顧客注冊的管理員必須驗證顧客注冊和注銷祈求

B勺合）去性。

第172條每一個顧客必須被分配惟一B勺帳號，不容許共享顧客

帳號。顧客一旦發(fā)現(xiàn)其帳號異常，必須即將告知負責顧客注冊B勺管

理員進行解決。如果顧客帳號持續(xù)120天沒有使用，必須禁用該帳

號V

第173條帳號名不能透露顧客的權限信息，例如管理員帳號不能

帶有Admin字樣。

20.2.2特權管理

第174條必須建立正式的授權程序，以保證授權患上到嚴格的評

估和審批，并保證沒有與系統(tǒng)和應用的安全相違背。

第175條必須建立授權清單，記錄和維護已分配H勺特權和其相對

B勺顧客信息。

10.2.3顧客密碼管理

第176條惟獨在顧客身份被確認后,才容許對忘記密碼B勺顧客提

供暫時密碼。

第177條系統(tǒng)中統(tǒng)一管理帳號密碼B勺模塊保存的密碼必須是加

密電

第178條密碼必須保密，不患上與別人分享、放在源代碼內(nèi)或者

寫在沒有保護B勺介質上（如紙張）。

第179條必須強制顧客在第一次登錄時修改密碼。

第180條系統(tǒng)應該設立定期的密碼修改管理措施，并限制至少近

來3個舊密碼B勺重用。

第181條系統(tǒng)必須啟用登錄失敗的限制功能,如果持續(xù)10次登

錄失敗，系統(tǒng)應該自動鎖定有關帳號。

第182條在通過電話傳送密碼此前必須確認對方H勺身份。

第183條禁止帳號和密碼被一起傳送，例如用同一封郵件傳送帳

號和密碼。

第184條所有系統(tǒng)都應該建立應急帳號，應急帳號資料必須放在

密封日勺信封內(nèi)妥善收藏,并控制好信封B勺存取。必須記錄所有應急帳

號曰勺使用狀況，涉及有關的人、時間和因素等。應急帳號B勺密碼在使

用后必須即將修改，然后把新的密碼裝到信封里。

1024顧客訪問權限時檢查

第185條必須半年對注冊顧客的訪問權限和系統(tǒng)特權進行一次

復查，核心系統(tǒng)必須每三個月復查一次。此過程應該涉及但不限于:

1）確認顧客權限時有效性和合理性

2）找出所有異常帳號（如長期未使用和已離職人員B勺帳號等），

進行分析并采用相應措施

第186條必須對可疑的或者不明確B勺訪問權限進行調查，并作為

安全事故進行報告。

10.3顧客8勺責任

10.3.1密碼時使用

第187條顧客必須對其帳號的安全和使用負責，無論在何種狀況

下,顧客都不應該泄漏其密碼。顧客不應該使用紙張或者未受保護B勺

電子形式保存密碼。顧客一旦懷疑其帳號密碼可能受到傷害，應該

及時修改密碼。

第188條顧客在第一次使用帳號時，必須修改密碼。顧客必須至

少每半年修改一次密碼。特權帳號的密碼必須至少每3個月修改一

次。用于系統(tǒng)之間認證帳號的密碼必須至少每半年修改一次。

第189條除非有技術限制，密碼應該至少涉及8個字符。此8

個字符必須涉及數(shù)字和字母。

第190條顧客不應使用容易被猜測的密碼，例如字典中的單詞、

生日和電話號碼等。前3次用過B勺密碼不應該被反復使用。

第191條密碼不應該被保存于自動登錄過程中，例如IE中的帳

號自動保存。

10.3.2清除桌面及屏幕管理措施

第192條所有服務器和個人電腦都必須啟用帶有口令保護的屏

幕保護程序，激活等待時間應少于10分鐘。

第193條無人使用時，服務器、個人電腦和復印機等必須保持注

銷狀態(tài)。

第194條不能將機密和絕密信息資料遺留在桌面上，而應該根據(jù)

信息的保密級別進行解決。

第195條必須為信件收發(fā)區(qū)域以及無人看守的傳真機設立合適

B勺保護措施。

第196條打印完敏感信息之后，必須確認信息已從打印隊列中清

除。

10.4網(wǎng)絡訪問控制

10.4.1網(wǎng)絡服務使用管理措施

第197條必須建立授權程序來管理網(wǎng)絡服務的使用。

第198條應遵循業(yè)務規(guī)定中所闡明日勺訪問控制管理措施來限制

訪問。

第199條所有系統(tǒng)都必須設立訪問控制機制來防止未經(jīng)授權的

訪問。

10.4.2外部連接的顧客認證

第200條對公司系統(tǒng)進行遠程訪問，必須建立合適的認證機制，

采用的機制應通過風險評估來決定。

第201條通過撥號進行遠程訪問必須經(jīng)過正式批準，并做好有關

第202條用于遠程訪問日勺調制解調器平時必須保持關閉，惟獨在

使用的時候才干打開。

第203條在公司外部進行遠程辦公，必須使用VPN進行連接。

第204條與外部合伙火伴進行信息交換，應該使用專線進行連

接。

10.4.3遠程診斷和配備端口的保護

第205條在不使用的時候，診斷端口應該被禁用或者通過恰當B勺

安全機制進行保護。

第206條如果第三方需要訪問診斷端口，必須簽訂正式B勺合同。

第207條對遠程診斷端口的訪問,必須建立正式的注冊審批程

序。訪問者必須只被授予最小的訪問權限來完畢診斷任務，并且必須

患上認證。

第208條所有遠程的診斷訪問必須事先申請并獲患上批準。

第209條在遠程診斷會話期間,必須記錄所有執(zhí)行的活動信息、,

涉及時間、執(zhí)行者、執(zhí)行動作和成果等。這些記錄應該由系統(tǒng)管理員

進行檢查以保證訪問者只執(zhí)行了被授權B勺活動。

10.4.4網(wǎng)絡的劃分

第210條必須將網(wǎng)絡劃分為不同B勺區(qū)域，以提供不同級別的安全

保護，滿足不同服務的安全需求。

第211條對于重要的網(wǎng)絡區(qū)域必須設立訪問控制以隔離其他網(wǎng)

絡區(qū)域。

第212條應該使用風險評估來決定每一個區(qū)域的安全級別。

第213條公司外部和內(nèi)網(wǎng)之間應該建立一種DMZO

10.4.5網(wǎng)絡連接的控制

第214條公司以外的網(wǎng)絡連接,在建立連接前必須對外部B勺接入

環(huán)境進行評估，滿足公司管理措施后才干接入。

第215條所有網(wǎng)絡端口必須進行限制，以防止非授權的電腦接入

公司網(wǎng)絡。限制規(guī)定至少應涉及：

1）所有B勺端口默認都是關閉日勺，惟獨在經(jīng)過正式批準后才干開

通；

2）端口的關閉必須在員工離職和崗位變動流程中體現(xiàn)；

3）暫時使用的端口或者位置變動，員工必須主動申請停用原有

端口，開通新端口前必須先關閉原有端口。

第216條必須將網(wǎng)絡接口和接入設備綁定，如果需要更換接入時

設備，必須經(jīng)過部門經(jīng)理的審批。

第217條所有接入公司網(wǎng)絡的主機必須經(jīng)過公司的原則化安裝。

第218條公司必須設立一種單獨日勺網(wǎng)絡區(qū)域供非公司原則化安

裝的電腦接入,此區(qū)域在網(wǎng)絡上是徹底封閉、獨立日勺。

10.4.6網(wǎng)絡路由的控制

第219條路由訪問控制列表必須基于合適B勺源地址和目H勺地址

檢查機制。所有對外提供網(wǎng)絡服務的網(wǎng)絡地址必須進行地址轉換。

第220條所有重要服務器的管理端口必須通過指定的途徑進行

訪問。

10.5操作系統(tǒng)訪問控制

10.5.1顧客識別和認證

第221條所有顧客都應該被識別和認證。在每一個系統(tǒng)上創(chuàng)立實

名顧客，系統(tǒng)登陸必須使用實名顧客。如果因特殊因素不能使用實

名顧客登陸，必須經(jīng)過安全管理委員會批準。

第222條顧客認證失敗信息中,應該不顯示具體日勺失敗因素。例

如不能顯示〃帳號不存在〃或者〃密碼不對日勺〃。

第223條如果由于業(yè)務規(guī)定需要使用共享顧客帳號，那末此共享

帳號應該患上到正式的批準并明文歸檔。

第224條系統(tǒng)管理員和應用管理員必須使用不同B勺帳號。

第225條所有使用帳號密碼進行認證的系統(tǒng)，在帳號密碼傳送過

程中，應該采用加密保護措施防止泄漏。

10.5.2密碼管理系統(tǒng)

第226條系統(tǒng)應該強制顧客在第一次成功登錄后修改初始密碼。

修改密碼時，系統(tǒng)必須提示顧客確認新密碼，以防止輸入錯誤。不能

明文顯示輸入的密碼。

第227條密碼文獻應該與應用系統(tǒng)數(shù)據(jù)分開存儲。密碼解決時必

須使用單向加密。當密碼接近失效期或者已經(jīng)過期時，系統(tǒng)應該提示

或者強制顧客修改密碼。

第228條所有默認的密碼都應當在軟件安裝后即將更改。系統(tǒng)應

該容許顧客修改自己B勺密碼。

第229條系統(tǒng)的密碼管理措施必須滿足如下規(guī)定：

1）密碼長度至少8個字符；

2）啟用密碼復雜度規(guī)定，至少涉及大寫字母、小寫字母、數(shù)字、

特殊字符中的三種；

3）管理員帳號密碼有效期是90天；

4）重要系統(tǒng)的顧客帳號密碼有效期是90天；

5）非重要系統(tǒng)B■勺普通帳號密碼有效期是180天；

6）記錄日勺歷史密碼次數(shù)不少于5個；

7）帳號密碼險證失敗鎖定閥值是10次；

8）帳號被鎖定后必須由管理員解鎖。

9）如果因系統(tǒng)自身的功能限制不能滿足上述管理措施的規(guī)定，其

設立H勺密碼管理措施必須經(jīng)信息安全管理委員會審核批準。

10.5.3系統(tǒng)工具的使用

第230條所有系統(tǒng)工具都應當被識^,不必要的工具必須從生產(chǎn)

系統(tǒng)中刪除。

10.5.4終端超時終結

第231條連接到服務器的所有終端,在30分鐘內(nèi)沒有活動，都

應該被終結連接。

10.5.5連接時間的限制

第232條對核心的信息系統(tǒng)（如前置機、合伙火伴主機等）提供

附加的安全保護，涉及但不限于：

1）只容許在之前商議好的時間段內(nèi)訪問（如：每天6點一6點

半）

2）只容許在正常的工作時間內(nèi)訪問（如：每周一至周五9點一

17點）

3）遠程診斷modem在不使用時必須處在關閉狀態(tài),在使用后

必須即將關閉。

10.6應用系統(tǒng)訪問控制

10.6.1信息訪問限制

第233條應用系統(tǒng)應該控制顧客B勺訪問權限,如讀寫權限、刪除

權限以及執(zhí)行權限。

第234條必須保證解決敏感信息的應用系統(tǒng)僅輸出必需的信息

到授權B勺終端，同步應對這些輸出功能進行定期檢查，保證不存在輸

出多余的信息。

10.6.2敏感系統(tǒng)的隔離

第235條應當根據(jù)應用系統(tǒng)的敏感限度對系統(tǒng)進行合適日勺隔離

保護，例如：

1）運營于指定的計算機上

2）僅與信任時應用系統(tǒng)共享資源

3）敏感系統(tǒng)B勺各個部份都應當以合適的方式進行保護。

10.7挪移計算和遠程辦公

10.7.1挪移計算

第236條挪移設備（涉及個人手持設備、筆記本電腦）和家庭辦

公個人電腦都應該受到保護以防未授權訪問。

第237條進行挪移和家庭辦公的員工，應該對其使用的設備做好

物理保護，防止丟失、盜竊和破壞等。寄存在挪移設備中B勺敏感信息

必須做好保護，例如采用加密以防泄漏。

第238條挪移設備顧客必須做好防病毒工作。挪移設備中的公司

信息應該做好備份工作，防止丟失。

10.7.2遠程辦公

第239條必須建立遠程辦公的使用原則和授權程序。

第240條遠程辦公的訪問權限必須基于最小權限的原則進行分

配，授權內(nèi)容應該涉及：

1）容許訪問的系統(tǒng)和服務

2）容許進行的工作

3）訪問時段

第241條遠程辦公的訪問控制應該采用雙重認證的方式。遠程辦

公B勺信息在傳播過程中必須加密。

第242條員工離職或者再也不使用遠程辦公時，必須取銷其有關

的遠程辦公訪問權限。必須定期對遠程辦公實施審計和安全監(jiān)控。

11信息系統(tǒng)采購、開辟和維護方面

11.1系統(tǒng)安全需求

11.1.1系統(tǒng)的安全需求分析與范疇

第243條在系統(tǒng)開辟B勺整個過程（特殊是在系統(tǒng)需求階段渚B必

須考慮安全需求，涉及但不限于：

1）系統(tǒng)架構

2）顧客認證

3）訪問控制和授權

4）事務解決的機密性和完整性

5）日志記錄功能

6）系統(tǒng)配備

7）法律法規(guī)和兼容性規(guī)定

8）系統(tǒng)恢復

第244條在系統(tǒng)的需求和設計階段，需要對系統(tǒng)進行安全方面B勺

評審。

第245條應該在開辟的整個周期對安全需求實施的對的性進行

階段性檢查，以保證其相應的安全措施按照規(guī)定被定義、設計、部署

和測試。

第246條在使用商業(yè)軟件或者軟件包前，必須按照上述安全需求

進行評估。對于軟件B勺安全控制規(guī)定應該在評估之前定義好。

第247條軟件必須通過顧客B勺正式驗收后才干投入生產(chǎn)。軟件在

正式使用前必須經(jīng)過安全方面的測試，測試內(nèi)容必須涉及所有設計文

檔中的安全規(guī)定。

第248條為了對顧客的操作進行檢查和審計，系統(tǒng)必須提供日志

記錄功能。系統(tǒng)應提供惟獨日志審計人員可以訪問時用來查看日志記

剝勺審計接口。