信息安全策略

1、北京）科技有限公司信息安 全策略 2016 年 8 月 版本控制 版本 修改時(shí)間 修改內(nèi)容 修改人員 審核人員 V1.0 2016-08-25 新增 陳達(dá)隆 吳為問(wèn) 第一章 總則 第一條 為了建立、健全三二一（北京）科技有限公司的信息安 全管理制度，按照相關(guān)的國(guó)家標(biāo)準(zhǔn)，確定信息安全方針和目標(biāo)，對(duì)信 息安全風(fēng)險(xiǎn)進(jìn)行有效管理， 確保全體員工理解并遵照信息安全管理制 度的相關(guān)規(guī)定執(zhí)行， 改進(jìn)信息安全管理制度的有效性， 特制定信息安 全策略文檔。 第二條 本文檔適用于三二一 （北京） 科技有限公司信息安全管 理活動(dòng)。 第二章 信息安全范圍 第三條 信息安全策略涉及的范圍包括： （ 一 ） 公司全體員工

2、。 （ 二 ） 公司所有業(yè)務(wù)系統(tǒng)。 （ 三 ） 公司現(xiàn)有信息資產(chǎn)，包括與上述業(yè)務(wù)系統(tǒng)相關(guān)的數(shù)據(jù)、硬 件、軟件、服務(wù)及文檔等。 （ 四 ） 公司辦公場(chǎng)所和上述信息資產(chǎn)所處的物理位置。 第三章 信息安全總體目標(biāo) 第四條 通過(guò)建立健全公司各項(xiàng)信息安全管理制度、 加強(qiáng)公司員 工的信息安全培訓(xùn)和教育工作， 制定適合公司的風(fēng)險(xiǎn)控制措施， 有效 控制信息系統(tǒng)面臨的安全風(fēng)險(xiǎn)，保障信息系統(tǒng)的正常穩(wěn)定運(yùn)行。 第四章信息安全方針 第五條 公司主管領(lǐng)導(dǎo)定期組織相關(guān)人員召開(kāi)信息安全會(huì)議， 對(duì) 有關(guān)的信息安全重大問(wèn)題做出決策。 第六條 清晰識(shí)別所有資產(chǎn)，實(shí)施等級(jí)標(biāo)記，對(duì)資產(chǎn)進(jìn)行分級(jí)、 分類管理，并編制和維護(hù)所有重要資產(chǎn)的

3、清單。 第七條綜合使用訪問(wèn)控制、監(jiān)測(cè)、審計(jì)和身份鑒別等方法來(lái)保 證數(shù)據(jù)、網(wǎng)絡(luò)、信息資源的安全，并加強(qiáng)對(duì)外單位人員訪問(wèn)信息系統(tǒng) 的控制，降低系統(tǒng)被非法入侵的風(fēng)險(xiǎn)。 第八條 啟動(dòng)服務(wù)器操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用軟件 的日志功能，定期進(jìn)行審計(jì)并作相應(yīng)的記錄。 第九條明確全體員工的信息安全責(zé)任，所有員工必須接受信息 安全教育培訓(xùn)，提高信息安全意識(shí)。針對(duì)不同崗位，制定不同等級(jí)培 訓(xùn)計(jì)劃，并定期對(duì)各個(gè)崗位人員進(jìn)行安全技能及安全認(rèn)知考核。 第十條建立安全事件報(bào)告、事故應(yīng)答和分類機(jī)制，確定報(bào)告可 疑的和發(fā)生的信息安全事故的流程，并使所有的員工和相關(guān)方都能理 解和執(zhí)行事故處理流程，同時(shí)妥善保存安全事件的

4、相關(guān)記錄與證據(jù)。 第十一條對(duì)用戶權(quán)限和口令進(jìn)行嚴(yán)格管理，防止對(duì)信息系統(tǒng) 的非法訪問(wèn)。 制定完善的數(shù)據(jù)備份策略，對(duì)重要數(shù)據(jù)進(jìn)行備份。數(shù)據(jù) 備份定期進(jìn)行還原測(cè)試，備份介質(zhì)與原信息所在場(chǎng)所應(yīng)保持 安全距離。 第十二條與外單位的外包（服務(wù)）合同應(yīng)明確規(guī)定合同參與 方的安全要求、安全責(zé)任和安全規(guī)定等相關(guān)安全內(nèi)容， 并采取相應(yīng)措 施嚴(yán)格保證對(duì)協(xié)議安全內(nèi)容的執(zhí)行。 第十三條在開(kāi)發(fā)新業(yè)務(wù)系統(tǒng)時(shí)，應(yīng)充分考慮相關(guān)的安全需求， 并嚴(yán)格控制對(duì)項(xiàng)目相關(guān)文件和源代碼等敏感數(shù)據(jù)的訪問(wèn)。 第十四條定期對(duì)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，并根據(jù)風(fēng)險(xiǎn)評(píng)估的 結(jié)果采取相應(yīng)措施進(jìn)行風(fēng)險(xiǎn)控制。 第十五條上述方針由信息安全管理委員會(huì)批準(zhǔn)發(fā)布，并定期

5、 評(píng)審其適用性和充分性，必要時(shí)予以修訂。 第五章信息安全職責(zé) 第十六條信息安全管理委員會(huì)負(fù)責(zé)批準(zhǔn)信息安全策略文件并 且保證本文件被公司的各部門執(zhí)行，同時(shí)負(fù)責(zé)對(duì)三二一（北京）科技 有限公司信息系統(tǒng)信息安全方面的指導(dǎo)方向、安全建設(shè)等重大問(wèn)題做 出決策，協(xié)調(diào)各個(gè)部門之間的安全協(xié)同工作， 支持和推動(dòng)信息安全工 作在整個(gè)公司范圍內(nèi)的實(shí)施。 第十七條信息技術(shù)部負(fù)責(zé)具體執(zhí)行安全管理策略文件的建立、 實(shí)施、運(yùn)作、監(jiān)控、評(píng)審、維護(hù)和改進(jìn)工作。 第十八條三二一（北京）科技有限公司所有員工有責(zé)任了解 自身在信息系統(tǒng)信息安全方面的責(zé)任并認(rèn)真執(zhí)行。 第六章信息安全管理原則 第十九條 信息安全管理工作實(shí)行“積極防范、突出

6、重點(diǎn)、職 責(zé)到位、保障業(yè)務(wù)”和“誰(shuí)主管、誰(shuí)負(fù)責(zé)”的管理原則。 第七章信息安全策略 一、安全管理制度策略 第二十條 由公司統(tǒng)一制定信息安全工作的總體方針和安全策 略，說(shuō)明安全工作的總體目標(biāo)、范圍、原則和安全框架，形成由安全 策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體系。 第二十一條信息技術(shù)部負(fù)責(zé)安全管理制度的制定，安全管理制 度應(yīng)具有統(tǒng)一的格式和版本控制，同時(shí)并組織相關(guān)人員對(duì)制定的安全 管理制度進(jìn)行論證和審定，并通過(guò)臍橙金融網(wǎng)絡(luò)借貸信息中介平臺(tái)進(jìn) 行發(fā)布。 第二十二條信息安全管理委員會(huì)負(fù)責(zé)定期組織相關(guān)部門和相關(guān) 人員對(duì)安全管理制度體系的合理性和適用性進(jìn)行審定， 對(duì)存在不足或 需要改

7、進(jìn)的安全管理制度進(jìn)行修訂。 二、安全管理機(jī)構(gòu)策略 第二十三條 成立信息安全管理委員會(huì)，全面負(fù)責(zé)信息安全工作。 第二十四條 信息技術(shù)部作為信息安全管理工作的職能部門，并 設(shè)立安全管理專員，并設(shè)立應(yīng)用系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、網(wǎng)絡(luò)管 理員等崗位，并定義各崗位的職責(zé)。 第二十五條 關(guān)鍵事務(wù)崗位應(yīng)配備AB角 第二十六條 針對(duì)系統(tǒng)變更、重要操作、物理訪問(wèn)和系統(tǒng)接入等 事項(xiàng)建立審批程序， 按照審批程序執(zhí)行審批過(guò)程， 對(duì)重要活動(dòng)建立逐 級(jí)審批制度，并定期審查審批事項(xiàng)，及時(shí)更新需授權(quán)和審批的項(xiàng)目、 審批部門和審批人等信息，并記錄審批過(guò)程并保存審批文檔。 第二十七條 加強(qiáng)組織內(nèi)部的合作與溝通，定期召開(kāi)協(xié)調(diào)會(huì)議，

8、 共同協(xié)作處理信息安全問(wèn)題， 并加強(qiáng)外聯(lián)單位合作與溝通， 并制定外 聯(lián)單位聯(lián)系列表。 第二十八條 制定安全審核和安全檢查制度，規(guī)范安全審核和安 全檢查工作，定期按照程序進(jìn)行安全審核和安全檢查活動(dòng)。 三、人員安全策略 第二十九條 人力行政部負(fù)責(zé)員工錄用， 嚴(yán)格規(guī)范人員錄用過(guò)程， 對(duì)被錄用人的身份、背景、 專業(yè)資格和資質(zhì)等進(jìn)行審查，對(duì)其所具有 的技術(shù)技能進(jìn)行考核，并簽署保密協(xié)議。 第三十條 員工應(yīng)根據(jù)崗位職責(zé)要求嚴(yán)格履行其安全角色和職 責(zé)，主要包括：保護(hù)資產(chǎn)免受未授權(quán)的訪問(wèn)、泄漏、修改、銷毀或干 擾，執(zhí)行特定的安全過(guò)程或活動(dòng)，報(bào)告安全事件或其他風(fēng)險(xiǎn)。安全角 色和職責(zé)必須清晰的傳達(dá)給所有員工， 確保

9、他們能清楚各自的安全責(zé) 任。 定期對(duì)各個(gè)崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核， 對(duì)關(guān)鍵崗位的人員要進(jìn)行全面、嚴(yán)格的安全審查和技能考核。 第三十一條外單位人員在訪問(wèn)公司信息處理設(shè)施前必須簽署保 密協(xié)議，保密協(xié)議內(nèi)容包括外單位人員訪問(wèn)信息資產(chǎn)的權(quán)利、承擔(dān)的 安全責(zé)任、違反職責(zé)要承擔(dān)的后果等。負(fù)責(zé)接待人員或部門要保證外 單位人員了解保密協(xié)議的條款和內(nèi)容，并同意協(xié)議規(guī)定的權(quán)利和責(zé)任。 第三十二條公司主要領(lǐng)導(dǎo)承擔(dān)管理職責(zé)，保證所有員工和外單 位人員能按照安全方針、策略和程序進(jìn)行日常工作。管理職責(zé)包括使 所有員工和外單位人員清晰了解各自的安全角色和安全職責(zé)、提高他 們的安全意識(shí)和安全技能等。 第三十三條

10、定期對(duì)所有員工進(jìn)行安全培訓(xùn)，培訓(xùn)內(nèi)容包括安全 方針、策略、程序、信息處理設(shè)施正確使用方法、安全意識(shí)等。根據(jù) 人員的安全角色和職責(zé)制定不同的培訓(xùn)計(jì)劃， 保證所有員工和外單位 人員能認(rèn)識(shí)到信息安全問(wèn)題和信息安全事件， 并能按照各自的安全角 色履行安全職責(zé)。 第三十四條 制定正式的紀(jì)律處理過(guò)程，來(lái)嚴(yán)肅處理安全違規(guī)的 員工，并威懾其他員工，防止他們違反安全策略、程序和其他安全違 規(guī)。紀(jì)律處理要正確、公平，要根據(jù)違規(guī)的性質(zhì)、重要性和對(duì)業(yè)務(wù)的 影響等因素區(qū)別對(duì)待。 第三十五條當(dāng)員工離職或調(diào)離其他崗位、外單位人員合同期滿 時(shí)，立即終止原來(lái)的安全角色和安全職責(zé)，并通知中心所有員工，使 所有員工能及時(shí)清楚人員的

11、變化。 第三十六條當(dāng)員工離職或調(diào)離其他崗位、外單位人員合同期滿 時(shí)，及時(shí)歸還其使用的所有資產(chǎn)，如設(shè)備、軟件、文件、訪問(wèn)卡、電 子資料等，防止對(duì)資產(chǎn)的非授權(quán)使用，及時(shí)刪除其對(duì)信息和信息處理 設(shè)施的訪問(wèn)權(quán)限。 四、系統(tǒng)建設(shè)策略 第三十七條信息技術(shù)部負(fù)責(zé)對(duì)信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī) 劃，制定近期和遠(yuǎn)期的安全建設(shè)工作計(jì)劃； 信息技術(shù)部根據(jù)信息系統(tǒng) 的等級(jí)劃分情況，統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù) 框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計(jì)方案，并形成配套文 件。 第三十八條應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)總體安全策 略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等 相關(guān)配套

12、文件的合理性和正確性進(jìn)行論證和審定，并且經(jīng)過(guò)批準(zhǔn)后， 才能正式實(shí)施。 第三十九條 信息技術(shù)部負(fù)責(zé)安全產(chǎn)品的米購(gòu)，確保安全產(chǎn)品米 購(gòu)和使用符合國(guó)家的有關(guān)規(guī)定，而密碼產(chǎn)品采購(gòu)和使用符合國(guó)家密碼 主管部門的要求，在采購(gòu)前應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試， 確定產(chǎn)品的 候選范圍，并定期審定和更新候選產(chǎn)品名單。 第四十條業(yè)務(wù)系統(tǒng)的開(kāi)發(fā)、測(cè)試和運(yùn)行設(shè)施要分離并進(jìn)行控 制，控制措施包括敏感數(shù)據(jù)不能拷貝到測(cè)試系統(tǒng)環(huán)境中、禁止開(kāi)發(fā)和 測(cè)試人員訪問(wèn)運(yùn)行系統(tǒng)及其信息等，以減少對(duì)運(yùn)行設(shè)施及其信息的未 授權(quán)訪問(wèn)和帶來(lái)的潛在風(fēng)險(xiǎn)。 第四一條 定期根據(jù)外包服務(wù)協(xié)議中的安全要求，監(jiān)視、評(píng)審 由外單位提供的服務(wù)、報(bào)告和記錄，監(jiān)督協(xié)議規(guī)

13、定的信息安全條款和 條件的嚴(yán)格執(zhí)行。監(jiān)視、評(píng)審內(nèi)容包括監(jiān)視服務(wù)執(zhí)行效率，評(píng)審服務(wù) 報(bào)告，審查外包服務(wù)的安全事件、操作問(wèn)題、故障、失誤追蹤和破壞 的記錄。 第四十二條授權(quán)信息技術(shù)部負(fù)責(zé)工程實(shí)施過(guò)程的管理，工程實(shí) 施前應(yīng)制定詳細(xì)的工程實(shí)施方案控制實(shí)施過(guò)程， 并要求工程實(shí)施單位 能正式地執(zhí)行安全工程過(guò)程，并制定工程實(shí)施方面的管理制度，明確 說(shuō)明實(shí)施過(guò)程的控制方法和人員行為準(zhǔn)則。 第四十三條新業(yè)務(wù)系統(tǒng)或升級(jí)版本在正式上線前，要進(jìn)行合適 的測(cè)試，并根據(jù)驗(yàn)收要求和標(biāo)準(zhǔn)進(jìn)行正式的驗(yàn)收， 以證實(shí)全部驗(yàn)收準(zhǔn) 則完全被滿足。 第四十四條 系統(tǒng)建設(shè)完成后應(yīng)制定詳細(xì)的系統(tǒng)交付清單，并根 據(jù)交付清單對(duì)所交接的設(shè)備、軟件

14、和文檔等進(jìn)行清點(diǎn)；應(yīng)提供系統(tǒng)建 設(shè)過(guò)程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)行維護(hù)的文檔， 同時(shí)對(duì)負(fù)責(zé)系 統(tǒng)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)。 第四十五條信息技術(shù)部負(fù)責(zé)等級(jí)測(cè)評(píng)的管理，并在系統(tǒng)運(yùn)行過(guò) 程中，對(duì)信息系統(tǒng)應(yīng)每年進(jìn)行一次等級(jí)測(cè)評(píng)， 應(yīng)選擇具有國(guó)家相關(guān)技 術(shù)資質(zhì)和安全資質(zhì)的測(cè)評(píng)單位，發(fā)現(xiàn)不符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求的 及時(shí)整改；同時(shí)在系統(tǒng)發(fā)生變更時(shí)及時(shí)對(duì)系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng)，發(fā)現(xiàn)級(jí) 別發(fā)生變化的及時(shí)調(diào)整級(jí)別并進(jìn)行安全改造， 發(fā)現(xiàn)不符合相應(yīng)等級(jí)保 護(hù)標(biāo)準(zhǔn)要求的及時(shí)整改。 第四十六條 在選擇安全服務(wù)商時(shí)應(yīng)符合國(guó)家的有關(guān)規(guī)定，并與 選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議， 明確約定相關(guān)責(zé)任， 同時(shí) 確保選

15、定的安全服務(wù)商提供技術(shù)培訓(xùn)和服務(wù)承諾， 必要的與其簽訂服 務(wù)合同。 五、系統(tǒng)運(yùn)維策略 第四十七條 所有的資產(chǎn)要指定專人責(zé)任，并對(duì)責(zé)任人賦予相應(yīng) 的職責(zé)，確保所有資產(chǎn)都可以核查。 第四十八條 根據(jù)資產(chǎn)的重要性、業(yè)務(wù)價(jià)值、依賴程度，對(duì)所有 資產(chǎn)進(jìn)行分類、分級(jí)，編制資產(chǎn)的清單。對(duì)資產(chǎn)清單妥善保管，并在 資產(chǎn)變更時(shí)及時(shí)更新清單，確?？梢詫?duì)資產(chǎn)進(jìn)行有效的保護(hù)。 第四十九條 應(yīng)對(duì)磁帶、磁盤、閃盤、可移動(dòng)硬件驅(qū)動(dòng)器、 CD、 DVD打印媒體等進(jìn)行有效的管理，防止非授權(quán)的使用和破壞。對(duì)可 移動(dòng)存儲(chǔ)介質(zhì)的管理包括所有介質(zhì)應(yīng)存儲(chǔ)在符合制造商說(shuō)明的安全、 保密環(huán)境中，使用介質(zhì)要進(jìn)行授權(quán)、登記并追蹤審計(jì)等。 第五十條

16、 應(yīng)對(duì)不再需要的介質(zhì)進(jìn)行安全處置，降低介質(zhì)敏感 信息泄漏給未授權(quán)人員的風(fēng)險(xiǎn)。 第五十一條 應(yīng)對(duì)信息系統(tǒng)相關(guān)的各種設(shè)備（包括備份和冗余設(shè) 備）、線路等指定專門的部門或人員定期進(jìn)行維護(hù)管理。 第五十二條 應(yīng)建立配套設(shè)施、軟硬件維護(hù)方面的管理制度，對(duì) 其維護(hù)進(jìn)行有效的管理， 包括明確維護(hù)人員的責(zé)任、 涉外維修和服務(wù) 的審批、維修過(guò)程的監(jiān)督控制等， 應(yīng)確保信息處理設(shè)備必須經(jīng)過(guò)審批 才能帶離機(jī)房或辦公地點(diǎn)。 第五十三條 重要的紙質(zhì)文檔應(yīng)實(shí)行借閱登記制度，未經(jīng)信息技 術(shù)部領(lǐng)導(dǎo)批準(zhǔn)，任何人不得將技術(shù)文檔轉(zhuǎn)借、復(fù)制或?qū)ν夤_(kāi) ; 重要 的電子文檔應(yīng)建立0A 等電子化辦公審批平臺(tái)進(jìn)行管理。 第五十四條 應(yīng)對(duì)通信

17、線路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行 狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行監(jiān)測(cè)和報(bào)警， 形成記錄并妥善保存； 同時(shí)組織相關(guān)人員定期對(duì)監(jiān)測(cè)和報(bào)警記錄進(jìn)行分析、 評(píng)審，發(fā)現(xiàn)可疑 行為，形成分析報(bào)告，并采取必要的應(yīng)對(duì)措施。 第五十五條 應(yīng)指定專人對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測(cè)并保存 檢測(cè)記錄；定期檢查信息系統(tǒng)內(nèi)各種產(chǎn)品的惡意代碼庫(kù)的升級(jí)情況并 進(jìn)行記錄， 對(duì)主機(jī)防病毒產(chǎn)品、 防病毒網(wǎng)關(guān)和郵件防病毒網(wǎng)關(guān)上截獲 的危險(xiǎn)病毒或惡意代碼進(jìn)行及時(shí)分析處理， 并形成書面的報(bào)表和總結(jié) 匯報(bào)。 第五十六條 應(yīng)建立對(duì)所有密鑰的產(chǎn)生、分發(fā)和接收、使用、存 儲(chǔ)、更新、銷毀等方面進(jìn)行管理的制度，密鑰管理人員必須是本機(jī)構(gòu) 在編的正式

18、員工。 第五十七條 應(yīng)建立變更管理制度，系統(tǒng)發(fā)生變更前，制定變更 方案，同時(shí)向主管領(lǐng)導(dǎo)申請(qǐng)，變更和變更方案經(jīng)過(guò)評(píng)審、審批后方可 實(shí)施變更，并在實(shí)施后將變更情況向相關(guān)人員通告。 第五十八條 遵照信息安全事故報(bào)告機(jī)制，報(bào)告可能對(duì)中心的信 息資產(chǎn)安全造成影響的不同種類的安全事故和弱點(diǎn)， 并確保所有的員 工、合同方和外單位人員都遵守執(zhí)行這套報(bào)告程序。 第五十九條 對(duì)安全事故進(jìn)行分類和分級(jí)，及時(shí)對(duì)信息安全事故 的類型、頻率和影響等進(jìn)行評(píng)估，并采取適當(dāng)措施防止事故再次發(fā)生 第六十條 應(yīng)建立有效的技術(shù)保障機(jī)制，確保在安全事件處置 過(guò)程中不會(huì)因技術(shù)能力缺乏而導(dǎo)致處置中斷或延長(zhǎng)應(yīng)急處置時(shí)間。 第六十一條 應(yīng)建立

19、應(yīng)急預(yù)案，在統(tǒng)一的應(yīng)急預(yù)案框架下制定不 同事件的應(yīng)急預(yù)案， 應(yīng)急預(yù)案框架應(yīng)包括啟動(dòng)應(yīng)急預(yù)案的條件、 應(yīng)急 處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容；同時(shí)應(yīng)從人力、 設(shè)備、技術(shù)和財(cái)務(wù)等方面確保應(yīng)急預(yù)案的執(zhí)行有足夠的資源保障。 六、物理安全策略 第六十二條 運(yùn)營(yíng)維護(hù)部負(fù)責(zé)機(jī)房安全，并配備機(jī)房安全管理人 員，對(duì)機(jī)房的出入、服務(wù)器的開(kāi)機(jī)或關(guān)機(jī)等工作進(jìn)行管理；應(yīng)定期對(duì) 機(jī)房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行維護(hù)管理。 第六十三條 應(yīng)建立機(jī)房安全管理制度，對(duì)有關(guān)機(jī)房物理訪問(wèn)， 物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面的管理作出規(guī)定。 第六十四條 在機(jī)房?jī)?nèi)設(shè)置安全防盜報(bào)警裝置和監(jiān)控系統(tǒng)來(lái)實(shí)現(xiàn) 防盜、防毀、

20、保障設(shè)備的安全。 第六十五條 按照相關(guān)設(shè)計(jì)規(guī)范和技術(shù)要求，在機(jī)房設(shè)計(jì)和建設(shè) 中做好靜電防護(hù)設(shè)施、防雷裝置和接地保護(hù)系統(tǒng)。 第六十六條 必須建立警報(bào)系統(tǒng)，在發(fā)現(xiàn)擅自進(jìn)入受控區(qū)域時(shí)發(fā) 出警報(bào)。 第六十七條 對(duì)于重要的數(shù)據(jù)要進(jìn)行備份，備份數(shù)據(jù)的存放位置 應(yīng)符合GBJ45-82中規(guī)定的一級(jí)耐火等級(jí)，符合防火、防高溫、防水、 防震等要求；定期對(duì)備份數(shù)據(jù)進(jìn)行檢查，保證其可用性。 第六十八條 對(duì)于辦公環(huán)境，應(yīng)加強(qiáng)公司人員的保密性管理，工 作人員調(diào)離辦公室應(yīng)立即交還該辦公室鑰匙、 不在辦公區(qū)接待來(lái)訪人 員、離開(kāi)電腦時(shí)應(yīng)鎖屏、在辦公桌面不得擺放含有公司客戶數(shù)據(jù)等敏 感信息的文件。 七、主機(jī)安全策略 第六十九條

21、應(yīng)指定專人對(duì)系統(tǒng)進(jìn)行管理，劃分系統(tǒng)管理員角色， 明確各個(gè)角色的權(quán)限、責(zé)任和風(fēng)險(xiǎn)，權(quán)限設(shè)定應(yīng)當(dāng)遵循最小授權(quán)原則； 并建立系統(tǒng)安全管理制度，對(duì)系統(tǒng)安全策略、安全配置、日志管理和 日常操作流程等方面作出具體規(guī)定；同時(shí)依據(jù)操作手冊(cè)對(duì)系統(tǒng)進(jìn)行維 護(hù)，詳細(xì)記錄操作日志，包括重要的日常操作、運(yùn)行維護(hù)記錄、參數(shù) 的設(shè)置和修改等內(nèi)容，嚴(yán)禁進(jìn)行未經(jīng)授權(quán)的操作。 第七十條應(yīng)提高全體用戶的防病毒意識(shí)，安裝防病毒軟件， 及時(shí)告知防病毒軟件版本，在讀取移動(dòng)存儲(chǔ)設(shè)備上的數(shù)據(jù)以及網(wǎng)絡(luò)上 接收文件或郵件之前，先進(jìn)行病毒檢查，對(duì)外來(lái)計(jì)算機(jī)或存儲(chǔ)設(shè)備接 入網(wǎng)絡(luò)系統(tǒng)之前也應(yīng)進(jìn)行病毒檢查。 第七十一條 當(dāng)因內(nèi)外部審核、軟件開(kāi)發(fā)、軟件安

22、裝或其他規(guī)定 需求而需要特殊的訪問(wèn)賬號(hào)時(shí)，賬號(hào)必須被授權(quán)；創(chuàng)建的日期期限必 須明確；工作結(jié)束時(shí)此賬號(hào)必須刪除。 第七十二條 所有賬號(hào)都必須使用分配的用戶進(jìn)行唯一性標(biāo)識(shí)。 第七十三條應(yīng)指派專人負(fù)責(zé)刪除個(gè)人賬號(hào)；必須將修改用戶賬 號(hào)相關(guān)信息的過(guò)程文件化；必須定期評(píng)審現(xiàn)有賬號(hào)的有效性， 并將此 過(guò)程文件化。 第七十四條 操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組 件和應(yīng)用程序，并通過(guò)設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到 更新。 第七十五條 應(yīng)定期的對(duì)服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng) 用戶和數(shù)據(jù)庫(kù)用戶進(jìn)行審計(jì)，審計(jì)內(nèi)容包括重要用戶行為、系統(tǒng)資源 的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全

23、相關(guān)事件。 第七十六條 在訪問(wèn)操作系統(tǒng)過(guò)程中，對(duì)于不活動(dòng)的會(huì)話必須設(shè) 定在一個(gè)不活動(dòng)周期后關(guān)閉，以防止未授權(quán)人員訪問(wèn)和拒絕服務(wù)攻擊。 第七十七條 記錄系統(tǒng)管理員和系統(tǒng)操作員的操作日志，并定期 評(píng)審這些日志信息。系統(tǒng)管理員和系統(tǒng)操作員的日志應(yīng)包括事件發(fā)生 的時(shí)間，涉及的帳號(hào)和管理員或操作員，事件或故障的信息內(nèi)容等信 息。 八、網(wǎng)絡(luò)安全策略 第七十八條 應(yīng)建立網(wǎng)絡(luò)安全管理制度，對(duì)網(wǎng)絡(luò)安全配置、日志 保存時(shí)間、安全策略、升級(jí)與打補(bǔ)丁、口令更新周期等方面作出規(guī)定； 同時(shí)應(yīng)指定專人對(duì)網(wǎng)絡(luò)進(jìn)行管理，負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日 常維護(hù)和報(bào)警信息分析和處理工作； 應(yīng)實(shí)現(xiàn)設(shè)備的最小服務(wù)配置，并 對(duì)配置文件進(jìn)

24、行定期離線備份； 第七十九條 應(yīng)定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的網(wǎng)絡(luò)系 統(tǒng)安全漏洞進(jìn)行及時(shí)的修補(bǔ)； 應(yīng)根據(jù)廠家提供的軟件升級(jí)版本對(duì)網(wǎng)絡(luò) 設(shè)備進(jìn)行更新，并在更新前對(duì)現(xiàn)有的重要文件進(jìn)行備份。 第八十條 應(yīng)保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn)； 并依據(jù)安全策略允許或者拒絕便攜式和移動(dòng)式設(shè)備的網(wǎng)絡(luò)接入； 同時(shí) 定期檢查違反規(guī)定撥號(hào)上網(wǎng)或其他違反網(wǎng)絡(luò)安全策略的行為。 第八十一條 計(jì)算機(jī)設(shè)備如果無(wú)人值守必須啟動(dòng)口令保護(hù)（屏保 或注銷）。 第八十二條 網(wǎng)絡(luò)基礎(chǔ)設(shè)施支持一系列合理定義的、被認(rèn)可的網(wǎng) 絡(luò)協(xié)議，使用任何未經(jīng)認(rèn)可的協(xié)議都必須經(jīng)過(guò)三二一（北京）科技有 限公司的批準(zhǔn)。 第八十三條 防火墻必須按照防火墻實(shí)施規(guī)范文件