信息安全管理制度(6)

1、first compliance review of the application of the appraisal committee, only through the compliance review of the application to take part in a detailed review. 8.1 application compliance review: does not meet one of the following conditions, procuratorial agency to submit application through complia

2、nce reviews, be invalidated: (1) application of the formats, contents, meet the requirements of selected files, powers of attorney, declarations by the legal representative and the tender agent application to meet the requirements; (2) licence and a bidding agent qualifications meet the requirements

3、; (3) the similar project tendering agency agent number and provide proof of material compliance; (4) the tendering agency intends to put into this project the number of professionals to meet the requirements; (5) are intended to the agent of the project as a project manager has similar projects the

4、 number of and references to meet the requirements; (6) no fraud case. 8.2 application review in detail the evaluation committee through compliance reviews will be selected for detailed review of the application. 8.2.1 tender agent institutions similar project tender performance requirements (16 poi

5、nts) tender agent institutions similar project tender performance 16 points, by two part composition (1) agent similar project of cumulative bid amount scored calculation rules for: agent water project bid amount (on january 1, 2007 has has bid notice for associate) cumulative each reached 100 milli

6、on yuan have 2 points, water project cumulative bid amount scored up not over 6 points. in addition, completes a bid worth more than 500 million yuan in total 1 minute, but other items score accumulated winning amount up to a maximum of 6 points. (2) calculation rule for the number of agents similar

7、 projects: proxy bid amount (since january 1, 2007 winning notice shall prevail) bidding projects in more than 50 million yuan by 2 points, but the agency projects the number of scores up to 3 minutes. 8.2.2 to be agents of the construction project as a project manager in the same project performanc

8、e (10 points) project manager agent performance scores including agents of the bidding agencies of similar projects, as well as in other similar project tendering agency service agent during performance. total 10 project manager agent performance, made up of two parts (1) acting like the accumulated

9、 winning amount calculation rule: agents for water conservancy project bid amount (since january 1, 2007 winning notice for example) cumulative average reached 100 million yuan 3 but scored no more than 5 minutes. (2) calculation rule for the number of agents similar projects: proxy bid amount (sinc

10、e january 1, 2007 winning notice for example) in the more than 50 million yuan water conservancy project period of 3 minutes, but scores the number of agents similar projects up to a maximum of 5 points. project manager demonstrated to provincial-level and higher peoples government or the developmen

11、t and reform commission published the winning bidder on the designated media publicity shall prevail. 8.2.3 staff requirement (25 points) 1, to the construction project serving personnel, 4 years experience in tendering agent, 2 points per person, 2 years experience in tendering agent .pig is not a

12、pig. with domestic international market and technology big environment of changes, as china traditional industry of pig production of job way and profit way are requirements related industry for resources integration, to quality security for premise, regulation based farming, and management cost and

13、 the production, and sales cost, go standardization, and scale, and intensive, and market road, fast upgrade whole industry chain of regulation capacity, market competition capacity and anti-risk capacity. first, industry analysis (a) the basic situation in china is a traditional hog production and

14、consumption country, 2008 46.15 million tons of pork, pig stock 462.64 million head by the end pig slaughter 609.6 million. national pig industrys annual production value at around 650 billion yuan, nearly 50% per cent of annual output value of animal husbandry. sichuan province in 2008 produced 6.5

15、2 million tons of pork, with 694,000 tons of chengdu city, live pig sell 10.46 million, first 15 vice-provincial cities in the country. the whole nation advantage regional planning (2008-2015) there are 437 counties (cities), 55, sichuan, chengdu has 7 (including in pengzhou). international pig indu

16、stry mainly include the european union, the united states, and canada, and brazil and other absolute scale of animal husbandry industry and technology developed countries. market 1, the domestic market from chinas meat consumption habits and economic analysis of the development situation, the emerge

17、nce of new trends in the market of domestic pork and its products. docking is a pig production and sales more closely. the yangtze river delta, pearl river delta and the bohai rim economic developed area industrial structure adjustment gathered pace, two or three industries to the central and wester

18、n bias. second, the rigid domestic consumption growth. for a long period, pork is still the largest variety of meat consumption in china, the absolute consumption continues to grow. especially in the vast rural market growth potential. third, market for pork and higher product quality requirements.

19、pollution-free pork safety and health has shown a very good market prospects. four is the market changing. currently, cold meat, more and more varieties of meat and pork meat products, which accounted for a large proportion of pork consumption, stores, chain stores, supermarkets and other marketing

20、methods is on the rise, and transport has been extended to more than 2000 km in radius. chengdu is an important river pig resource market, the citys commercial rate reaches above 60% of live pigs, pork and raw materials primary processing products in the domestic and international reputation is high

21、. western hog trading center in chengdu and provides disease-free areas of construction in order to further accelerate the development of swine industry realizes space and conditions. 2, the international markets at present, annual volume of trade in live pigs in the world year around 18 million, ab

22、out 6 million tons of pork trade. a large net exporter of pork is mainly the eu and north america,-importing countries mainly in asia, japan, and korea, and singapore, the philippines, hong kong and other countries and regions, as well as russia, about 3 million tonnes were imported. it is predicted

23、 that the world meat consumption increase of 80% in asia in the future, our country has obvious geographical advantages, export potential. with the advancement of live pigs superiority industry belt construction, animal disease .信息安全制度1 總則第1條 為規(guī)范信息安全管理工作，加強(qiáng)過(guò)程管理和基礎(chǔ)設(shè)施管理的風(fēng)險(xiǎn)分析及防范，建立安全責(zé)任制，健全安全內(nèi)控制度，保證信息系統(tǒng)

24、的機(jī)密性、完整性、可用性，特制定本規(guī)定。2 適用范圍第2條 本規(guī)定適用于。3 管理對(duì)象第3條 管理對(duì)象指組成計(jì)算機(jī)信息系統(tǒng)的系統(tǒng)、設(shè)備和數(shù)據(jù)等信息資產(chǎn)和人員的安全。主要范圍包括：人員安全、物理環(huán)境安全、資產(chǎn)識(shí)別和分類(lèi)、風(fēng)險(xiǎn)管理、物理和邏輯訪問(wèn)控制、系統(tǒng)操作與運(yùn)行安全、網(wǎng)絡(luò)通訊安全、信息加密與解密、應(yīng)急與災(zāi)難恢復(fù)、軟件研發(fā)與應(yīng)用安全、機(jī)密資源管理、第三方與外包安全、法律和標(biāo)準(zhǔn)的符合性、項(xiàng)目與工程安全控制、安全檢查與審計(jì)等。4 第四章術(shù)語(yǔ)定義dmz：用于隔離內(nèi)網(wǎng)和外網(wǎng)的區(qū)域，此區(qū)域不屬于可信任的內(nèi)網(wǎng)，也不是完全開(kāi)放給因特網(wǎng)。容量：分為系統(tǒng)容量和環(huán)境容量?jī)煞矫妗Ｏ到y(tǒng)容量包括cpu、內(nèi)存、硬盤(pán)存儲(chǔ)等。

25、環(huán)境容量包括電力供應(yīng)、濕度、溫度、空氣質(zhì)量等。安全制度：與信息安全相關(guān)的制度文檔，包括安全管理辦法、標(biāo)準(zhǔn)、指引和程序等。安全邊界：用以明確劃分安全區(qū)域，如圍墻、大廈接待處、網(wǎng)段等。惡意軟件：包括計(jì)算機(jī)病毒、網(wǎng)絡(luò)蠕蟲(chóng)、木馬、流氓軟件、邏輯炸彈等。備份周期：根據(jù)備份管理辦法制定的備份循環(huán)的周期，一個(gè)備份周期的內(nèi)容相當(dāng)于一個(gè)完整的全備份。系統(tǒng)工具：能夠更改系統(tǒng)及應(yīng)用配置的程序被定義為系統(tǒng)工具，如系統(tǒng)管理、維護(hù)工具、調(diào)試程序等。消息驗(yàn)證：一種檢查傳輸?shù)碾娮酉⑹欠裼蟹欠ㄗ兏蚱茐牡募夹g(shù)，它可以在硬件或軟件上實(shí)施。數(shù)字簽名：一種保護(hù)電子文檔真實(shí)性和完整性的方法。例如，在電子商務(wù)中可以使用它驗(yàn)證誰(shuí)簽署電子

26、文檔，并檢查已簽署文檔的內(nèi)容是否被更改。信息處理設(shè)備：泛指處理信息的所有設(shè)備和信息系統(tǒng)，包括網(wǎng)絡(luò)、服務(wù)器、個(gè)人電腦和筆記本電腦等。不可抵賴性服務(wù)：用于解決交易糾紛中爭(zhēng)議交易是否發(fā)生的機(jī)制。電子化辦公系統(tǒng)：包括電子郵件、koa系統(tǒng)以及用于業(yè)務(wù)信息傳送及共享的企業(yè)內(nèi)部網(wǎng)。5 安全制度方面5.1 安全制度要求5.1.1 本制度的詮釋第4條 所有帶有“必須”的條款都是強(qiáng)制性的。除非事先得到安全管理委員會(huì)的認(rèn)可，否則都要堅(jiān)決執(zhí)行。其它的條款則是強(qiáng)烈建議的，只要實(shí)際可行就應(yīng)該被采用。第5條 所有員工都受本制度的約束，各部門(mén)領(lǐng)導(dǎo)有責(zé)任確保其部門(mén)已實(shí)施足夠的安全控制措施，以保護(hù)信息安全。第6條 各部門(mén)的領(lǐng)導(dǎo)有

27、責(zé)任確保其部門(mén)的員工了解本安全管理制度、相關(guān)的標(biāo)準(zhǔn)和程序以及日常的信息安全管理。第7條 安全管理代表（或其指派的人員）將審核各部門(mén)安全控制措施實(shí)施的準(zhǔn)確性和完整性，此過(guò)程是公司例行內(nèi)部審計(jì)的一部分。5.1.2 制度發(fā)布第8條 所有制度在創(chuàng)建和更新后，必須經(jīng)過(guò)相應(yīng)管理層的審批。制度經(jīng)批準(zhǔn)之后必須通知所有相關(guān)人員。5.1.3 制度復(fù)審第9條 當(dāng)環(huán)境改變、技術(shù)更新或者業(yè)務(wù)本身發(fā)生變化時(shí)，必須對(duì)安全制度重新進(jìn)行評(píng)審，并作出相應(yīng)的修正，以確保能有效地保護(hù)公司的信息資產(chǎn)。第10條 安全管理委員會(huì)必須定期對(duì)本管理辦法進(jìn)行正式的復(fù)審，并根據(jù)復(fù)審所作的修正，指導(dǎo)相關(guān)員工采取相應(yīng)的行動(dòng)。6 組織安全方面6.1 組

28、織內(nèi)部安全6.1.1 信息安全體系管理第11條 公司成立安全管理委員會(huì)，安全管理委員會(huì)是公司信息安全管理的最高決策機(jī)構(gòu)，安全管理委員會(huì)的成員應(yīng)包括總裁室主管it領(lǐng)導(dǎo)、公司安全審計(jì)負(fù)責(zé)人、公司法律負(fù)責(zé)人等。第12條 信息安全管理代表由信息安全管理委員會(huì)指定，一般應(yīng)包含稽核部it稽核崗、信息管理部信息安全相關(guān)崗位及分公司it崗。第13條 安全管理委員會(huì)通過(guò)清晰的方向、可見(jiàn)的承諾、詳細(xì)的分工，積極地支持信息安全工作，主要包括以下幾方面：1)確定信息安全的目標(biāo)符合公司的要求和相關(guān)制度；2)闡明、復(fù)查和批準(zhǔn)信息安全管理制度；3)復(fù)查信息安全管理制度執(zhí)行的有效性；4)為信息安全的執(zhí)行提供明確的指導(dǎo)和有效的

29、支持；5)提供信息安全體系運(yùn)作所需要的資源6)為信息安全在公司執(zhí)行定義明確的角色和職責(zé)；7)批準(zhǔn)信息安全推廣和培訓(xùn)的計(jì)劃和程序；8)確保信息安全控制措施在公司內(nèi)被有效的執(zhí)行。第14條 安全管理委員會(huì)需要對(duì)內(nèi)部或外部信息安全專(zhuān)家的建議進(jìn)行評(píng)估，并檢查和調(diào)整建議在公司內(nèi)執(zhí)行的結(jié)果。第15條 必須舉行信息安全管理會(huì)議，會(huì)議成員包括安全管理委員會(huì)、安全管理代表和其他相關(guān)的公司高層管理人員。第16條 信息安全管理會(huì)議必須每年定期舉行，討論和審批信息安全相關(guān)事宜，具體包括以下內(nèi)容1)復(fù)審本管理制度的有效性2)復(fù)審技術(shù)變更帶來(lái)的影響3)復(fù)審安全風(fēng)險(xiǎn)4)審批信息安全措施及程序5)審批信息安全建議6)確保任何新

30、項(xiàng)目規(guī)劃已考慮信息安全的需求7)復(fù)審安全檢查結(jié)果和安全事故報(bào)告8)復(fù)審安全控制實(shí)施的效果和影響9)宣導(dǎo)和推行公司高層對(duì)信息安全管理的指示6.1.2 信息安全職責(zé)分配第17條 信息管理部門(mén)作為信息安全管理部門(mén)，負(fù)責(zé)信息安全管理策略制定及實(shí)施，其主要職責(zé)：（一）負(fù)責(zé)全公司信息安全管理和指導(dǎo)；（二）牽頭制訂全公司信息安全體系規(guī)范、標(biāo)準(zhǔn)和檢查指引，參與我司信息系統(tǒng)工程建設(shè)的安全規(guī)劃；（三）組織全公司安全檢查；（四）配合全公司安全審計(jì)工作的開(kāi)展；（五）牽頭組織全公司安全管理培訓(xùn)；（六）負(fù)責(zé)全公司安全方案的審核和安全產(chǎn)品的選型、購(gòu)置。（七）依據(jù)本規(guī)定、安全規(guī)范、技術(shù)標(biāo)準(zhǔn)、操作手冊(cè)實(shí)施各類(lèi)安全策略。（八）負(fù)

31、責(zé)各類(lèi)安全策略的日常維護(hù)和管理。第18條 各分公司信息管理部門(mén)作為信息安全管理部門(mén)，其主要職責(zé)：（一）根據(jù)本規(guī)定、信息安全體系規(guī)范、標(biāo)準(zhǔn)和檢查指引，組織建立安全管理流程、手冊(cè)；（二）組織實(shí)施內(nèi)部安全檢查；（三）組織安全培訓(xùn)；（四）負(fù)責(zé)機(jī)密信息和機(jī)密資源的安全管理；（五）負(fù)責(zé)安全技術(shù)產(chǎn)品的使用、維護(hù)、升級(jí)；（六）配合安全審計(jì)工作的開(kāi)展；（七）定期上報(bào)本單位信息系統(tǒng)安全情況，反饋安全技術(shù)和管理的意見(jiàn)和建議。（八）依據(jù)本規(guī)定、安全規(guī)范、技術(shù)標(biāo)準(zhǔn)、操作手冊(cè)實(shí)施各類(lèi)安全策略。（九）負(fù)責(zé)各類(lèi)安全策略的日常維護(hù)和管理。6.1.3 信息處理設(shè)備的授權(quán)第19條 新設(shè)備的采購(gòu)和設(shè)備部署的審批流程應(yīng)該充分考慮信息安

32、全的要求。第20條 新設(shè)備在部署和使用之前，必須明確其用途和使用范圍，并獲得安全管理委員會(huì)的批準(zhǔn)。必須對(duì)新設(shè)備的硬件和軟件系統(tǒng)進(jìn)行詳細(xì)檢查，以確保它們的安全性和兼容性。第21條 除非獲得安全管理委員會(huì)的授權(quán)，否則不允許使用私人的信息處理設(shè)備來(lái)處理公司業(yè)務(wù)信息或使用公司資源。6.1.4 獨(dú)立的信息安全審核第22條 必須對(duì)公司信息安全控制措施的實(shí)施情況進(jìn)行獨(dú)立地審核，確保公司的信息安全控制措施符合管理制度的要求。審核工作應(yīng)由公司的審計(jì)部門(mén)或?qū)ｉT(mén)提供此類(lèi)服務(wù)的第三方組織負(fù)責(zé)執(zhí)行。負(fù)責(zé)安全審核的人員必須具備相應(yīng)的技能和經(jīng)驗(yàn)。第23條 獨(dú)立的信息安全審核必須每年至少進(jìn)行一次。6.2 第三方訪問(wèn)的安全性6

33、.2.1 明確第三方訪問(wèn)的風(fēng)險(xiǎn)第24條 必須對(duì)第三方對(duì)公司信息或信息系統(tǒng)的訪問(wèn)進(jìn)行風(fēng)險(xiǎn)評(píng)估，并進(jìn)行嚴(yán)格控制，相關(guān)控制須考慮物理上和邏輯上訪問(wèn)的安全風(fēng)險(xiǎn)。只有在風(fēng)險(xiǎn)被消除或降低到可接受的水平時(shí)才允許其訪問(wèn)。第25條 第三方包括但不限于：1)硬件和軟件廠商的支持人員和其他外包商2)監(jiān)管機(jī)構(gòu)、外部顧問(wèn)、外部審計(jì)機(jī)構(gòu)和合作伙伴3)臨時(shí)員工、實(shí)習(xí)生4)清潔工和保安5)公司的客戶第26條 第三方對(duì)公司信息或信息系統(tǒng)的訪問(wèn)類(lèi)型包括但不限于：1)物理的訪問(wèn)，例如：訪問(wèn)公司大廈、職場(chǎng)、數(shù)據(jù)中心等；2)邏輯的訪問(wèn)，例如：訪問(wèn)公司的數(shù)據(jù)庫(kù)、信息系統(tǒng)等；3)與第三方之間的網(wǎng)絡(luò)連接，例如：固定的連接、臨時(shí)的遠(yuǎn)程連接；第

34、27條 第三方所有的訪問(wèn)申請(qǐng)都必須經(jīng)過(guò)信息安全管理代表的審批，只提供其工作所須的最小權(quán)限和滿足其工作所需的最少資源，并且需要定期對(duì)第三方的訪問(wèn)權(quán)限進(jìn)行復(fù)查。第三方對(duì)重要信息系統(tǒng)或地點(diǎn)的訪問(wèn)和操作必須有相關(guān)人員陪同。第28條 公司負(fù)責(zé)與第三方溝通的人員必須在第三方接觸公司信息或信息系統(tǒng)前，主動(dòng)告知第三方的職責(zé)、義務(wù)和需要遵守的規(guī)定，第三方必須在清楚并同意后才能接觸相應(yīng)信息或信息系統(tǒng)。所有對(duì)第三方的安全要求必須包含在與其簽訂的合約中。6.2.2 當(dāng)與客戶接觸時(shí)強(qiáng)調(diào)信息安全第29條 必須在允許客戶訪問(wèn)信息或信息系統(tǒng)前識(shí)別并告知其需要遵守的安全需求。采取相應(yīng)的保護(hù)措施保護(hù)客戶訪問(wèn)的信息或信息系統(tǒng)。6.

35、2.3 與第三方簽訂合約的安全要求第30條 與第三方合約中應(yīng)包含必要的安全要求，如：訪問(wèn)、處理、管理公司信息或信息系統(tǒng)的安全要求。7 信息資產(chǎn)與人員安全7.1 資產(chǎn)責(zé)任7.1.1 資產(chǎn)的清單第31條 應(yīng)清楚識(shí)別所有的資產(chǎn)，所有與信息相關(guān)的重要資產(chǎn)都應(yīng)該在資產(chǎn)清單中標(biāo)出，并及時(shí)維護(hù)更新。這些資產(chǎn)包括但不限于1)信息：數(shù)據(jù)庫(kù)和數(shù)據(jù)文件、系統(tǒng)文檔、用戶手冊(cè)、培訓(xùn)材料、操作手冊(cè)、業(yè)務(wù)連續(xù)性計(jì)劃、系統(tǒng)恢復(fù)計(jì)劃、備份信息和合同等。2)軟件：應(yīng)用軟件、系統(tǒng)軟件、開(kāi)發(fā)工具以及實(shí)用工具等。3)實(shí)體：計(jì)算機(jī)設(shè)備（處理器、顯示器、筆記本電腦、調(diào)制解調(diào)器等）、通訊設(shè)備（路由器、程控電話交換機(jī)、傳真機(jī)等）、存儲(chǔ)設(shè)備、磁

36、介質(zhì)（磁帶和磁盤(pán)等）、其它技術(shù)設(shè)備（電源、空調(diào)器等）、機(jī)房等。4)服務(wù)：通訊服務(wù)（專(zhuān)線）。第32條 資產(chǎn)清單必須每年至少審核一次。在購(gòu)買(mǎi)新資產(chǎn)之前必須進(jìn)行安全評(píng)估。資產(chǎn)交付后，資產(chǎn)清單必須更新。資產(chǎn)的風(fēng)險(xiǎn)評(píng)估必須每年至少一次，主要評(píng)估當(dāng)前已部署安全控制措施的有效性。第33條 實(shí)體資產(chǎn)需要貼上適當(dāng)?shù)臉?biāo)簽。7.1.2 資產(chǎn)的管理權(quán)第34條 所有資產(chǎn)都應(yīng)該被詳細(xì)說(shuō)明，必須指明具體的管理者。管理者可以是個(gè)人，也可以是某個(gè)部門(mén)。管理者是部門(mén)的資產(chǎn)則由部門(mén)主管負(fù)責(zé)監(jiān)護(hù)。第35條 資產(chǎn)管理者的職責(zé)是：1)確定資產(chǎn)的保密等級(jí)分類(lèi)和訪問(wèn)管理辦法；2)定期復(fù)查資產(chǎn)的分類(lèi)和訪問(wèn)管理辦法。7.1.3 資產(chǎn)的合理使用第

37、36條 必須識(shí)別信息和信息系統(tǒng)的使用準(zhǔn)則，形成文件并實(shí)施。使用準(zhǔn)則應(yīng)包括：1)使用范圍2)角色和權(quán)限3)使用者應(yīng)負(fù)的責(zé)任4)與其他系統(tǒng)交互的要求第37條 所有訪問(wèn)信息或信息系統(tǒng)的員工、第三方必須清楚要訪問(wèn)資源的使用準(zhǔn)則，并承擔(dān)他們的責(zé)任。公司的所有信息處理設(shè)備（包括個(gè)人電腦）只能被使用于工作相關(guān)的活動(dòng)，不得用來(lái)炒股、玩游戲等。濫用信息處理設(shè)備的員工將受到紀(jì)律處分。7.2 信息分類(lèi)7.2.1 信息分類(lèi)原則第38條 所有信息都應(yīng)該根據(jù)其敏感性、重要性以及業(yè)務(wù)所要求的訪問(wèn)限制進(jìn)行分類(lèi)和標(biāo)識(shí)。第39條 信息管理者負(fù)責(zé)信息的分類(lèi)，并對(duì)其進(jìn)行定期檢查，以確保分類(lèi)的正確。當(dāng)信息被發(fā)布到公司外部，或者經(jīng)過(guò)一段

38、時(shí)間后信息的敏感度發(fā)生改變時(shí)，信息需要重新分類(lèi)。第40條 信息的保密程度從高到低分為絕密、機(jī)密、秘密和非保密四種等級(jí)。以電子形式保存的信息或管理信息資產(chǎn)的系統(tǒng)，需根據(jù)信息的敏感度進(jìn)行標(biāo)識(shí)。含有不同分類(lèi)信息的系統(tǒng)，必須按照其中的最高保密等級(jí)進(jìn)行分類(lèi)。7.2.2 信息標(biāo)記和處理第41條 必須建立相應(yīng)的保密信息處理規(guī)范。對(duì)于不同的保密等級(jí)，應(yīng)明確說(shuō)明如下信息活動(dòng)的處理要求：1)復(fù)制2)保存和保管（以物理或電子方式）3)傳送（以郵寄、傳真或電子郵件的方式）4)銷(xiāo)毀第42條 電子文檔和系統(tǒng)輸出的信息（打印報(bào)表和磁帶等）應(yīng)帶有適當(dāng)?shù)男畔⒎诸?lèi)標(biāo)記。對(duì)于打印報(bào)表，其保密等級(jí)應(yīng)顯示在每頁(yè)的頂端或底部。第43條

39、將保密信息發(fā)送到公司以外時(shí)，負(fù)責(zé)傳送信息的工作人員應(yīng)在分發(fā)信息之前，先告知對(duì)方文檔的保密等級(jí)及其相應(yīng)的處理要求。7.3 人員安全7.3.1 信息安全意識(shí)、教育和培訓(xùn)第44條 所有公司員工和第三方人員必須接受包括安全性要求、信息處理設(shè)備的正確使用等內(nèi)容的培訓(xùn)，并應(yīng)該及時(shí)了解和學(xué)習(xí)公司對(duì)安全管理制度和標(biāo)準(zhǔn)的更新。第45條 應(yīng)該至少每年向員工提供一次安全意識(shí)培訓(xùn)，其內(nèi)容包括但不限于：1)安全管理委員會(huì)下達(dá)的安全管理要求2)信息保密的責(zé)任3)一般性安全守則4)信息分類(lèi)5)安全事故報(bào)告程序6)電腦病毒爆發(fā)時(shí)的應(yīng)對(duì)措施7)災(zāi)難發(fā)生時(shí)的應(yīng)對(duì)措施第46條 應(yīng)該對(duì)系統(tǒng)管理員、開(kāi)發(fā)人員進(jìn)行安全技能方面的培訓(xùn)，至少

40、每年一次。員工和第三方人員在開(kāi)始工作后90天內(nèi)，必須進(jìn)行技術(shù)和安全方面的培訓(xùn)。第47條 災(zāi)難恢復(fù)演習(xí)應(yīng)至少每年舉行一次。7.3.2 懲戒過(guò)程第48條 違反公司安全管理制度、標(biāo)準(zhǔn)和程序的員工將受到紀(jì)律處分。在對(duì)信息安全事件調(diào)查結(jié)束后，必須對(duì)事件中的相關(guān)人員根據(jù)公司的懲戒規(guī)定進(jìn)行處罰。紀(jì)律處分包括但不限于：1)通報(bào)批評(píng)2)警告3)記過(guò)4)解除勞動(dòng)合同5)法律訴訟第49條 當(dāng)員工在接受可能涉及解除勞動(dòng)合同和法律訴訟的違規(guī)調(diào)查時(shí)，其直接領(lǐng)導(dǎo)應(yīng)暫停受調(diào)查員工的工作職務(wù)和其訪問(wèn)權(quán)限，包括物理訪問(wèn)、系統(tǒng)應(yīng)用訪問(wèn)和網(wǎng)絡(luò)訪問(wèn)等。員工在接受調(diào)查時(shí)可以陳述觀點(diǎn)，提出異議，并有進(jìn)一步申訴的權(quán)力。7.3.3 資產(chǎn)歸還第

41、50條 在終止雇傭、合同或協(xié)議時(shí)，所有員工及第三方人員必須歸還所使用的全部公司資產(chǎn)。需要?dú)w還的資產(chǎn)包括但不限于：1)帳號(hào)和訪問(wèn)權(quán)限2)公司的電子或紙質(zhì)文檔3)公司購(gòu)買(mǎi)的硬件和軟件資產(chǎn)4)公司購(gòu)買(mǎi)的其他設(shè)備第51條 如果在非公司資產(chǎn)上保存有公司的資產(chǎn)，必須在帶出公司前歸還或刪除公司的資產(chǎn)。7.3.4 刪除訪問(wèn)權(quán)限第52條 在終止或變更雇傭、合同、協(xié)議時(shí)，必須刪除所有員工及第三方人員對(duì)信息和信息系統(tǒng)的訪問(wèn)權(quán)限，或根據(jù)變更進(jìn)行相應(yīng)的調(diào)整。所有刪除和調(diào)整操作必須在最后上班日之前完成。第53條 對(duì)于公用的資源，必須進(jìn)行及時(shí)的調(diào)整，比如：公用的帳號(hào)必須立即更改密碼。第54條 在已經(jīng)確定員工或第三方終止或變

42、更意向后，必須及時(shí)對(duì)他們的權(quán)限進(jìn)行限制，只保留終止或變更所需要的權(quán)限。8 物理和環(huán)境安全方面8.1 安全區(qū)域8.1.1 物理安全邊界第55條 在公司的物理環(huán)境里，應(yīng)該對(duì)需要保護(hù)的區(qū)域根據(jù)其重要性劃分為不同的安全區(qū)域。特別是有重要設(shè)備的安全區(qū)域（比如機(jī)房）應(yīng)該部署相應(yīng)的物理安全控制。第56條 在大廈的統(tǒng)一入口處必須設(shè)立有專(zhuān)人值守的接待區(qū)域，在特別重要的安全區(qū)域也應(yīng)該設(shè)立類(lèi)似的接待區(qū)域。第57條 在非辦公時(shí)間內(nèi)，重要的安全區(qū)域必須安排保安定時(shí)巡視。任何時(shí)候，公司內(nèi)必須至少有一位保安值班。保安值班表應(yīng)最少每月調(diào)整一次。8.1.2 安全區(qū)域訪問(wèn)控制第58條 在非辦公時(shí)間，所有進(jìn)入安全區(qū)域的入口都應(yīng)該受

43、到控制，比如上鎖。任何時(shí)候，重要安全區(qū)域的所有出入口必須受到嚴(yán)格的訪問(wèn)控制，確保只有授權(quán)的員工才可以進(jìn)入此區(qū)域。第59條 對(duì)于設(shè)有訪問(wèn)控制的安全區(qū)域，必須定期審核并及時(shí)更新其訪問(wèn)權(quán)限。所有員工都必須佩戴一個(gè)身份識(shí)別通行證，有責(zé)任確保通行證的安全并不得轉(zhuǎn)借他人。員工離職時(shí)必須交還通行證，同時(shí)取消其所有訪問(wèn)權(quán)限。第60條 所有來(lái)賓的有關(guān)資料都必須詳細(xì)記載在來(lái)賓進(jìn)出登記表中，并向獲準(zhǔn)進(jìn)入的來(lái)賓發(fā)放來(lái)賓通行證。同時(shí)，必須有相應(yīng)的程序以確?；厥账l(fā)放的來(lái)賓通行證。來(lái)賓進(jìn)出登記表必須至少保留1年，記錄內(nèi)容應(yīng)包括但不限于：1)來(lái)賓姓名2)來(lái)賓身份3)來(lái)賓工作單位4)來(lái)訪事由5)負(fù)責(zé)接待的員工6)來(lái)賓通行證號(hào)

44、碼7)進(jìn)入的日期和時(shí)間8)離開(kāi)的日期和時(shí)間8.1.3 辦公場(chǎng)所和設(shè)施安全第61條 放置敏感或重要設(shè)備的區(qū)域（例如機(jī)房）應(yīng)盡量不引人注目，給外面的信息應(yīng)盡量最少，不應(yīng)該有明顯的標(biāo)志指明敏感區(qū)域的所在位置和用途。這些區(qū)域還應(yīng)該被給予相應(yīng)的保護(hù)，保護(hù)措施包括但不限于：1)所有出入口必須安裝物理訪問(wèn)控制措施2)使用來(lái)賓登記表以便記錄來(lái)訪信息3)嚴(yán)禁吸煙第62條 必須對(duì)支持關(guān)鍵性業(yè)務(wù)活動(dòng)的設(shè)備提供足夠的物理訪問(wèn)控制。所有安全區(qū)域和出入口必須通過(guò)閉路電視進(jìn)行監(jiān)控。普通會(huì)議室或其它公眾場(chǎng)合必須與安全區(qū)域隔離開(kāi)來(lái)。無(wú)人值守的時(shí)候，辦公區(qū)中的信息處理設(shè)備必須從物理上進(jìn)行保護(hù)。門(mén)和窗戶必須鎖好。8.1.4 防范外

45、部和環(huán)境威脅第63條 辦公場(chǎng)所和機(jī)房的設(shè)計(jì)和建設(shè)必須充分考慮火災(zāi)、洪水、地震、爆炸、騷亂等天災(zāi)或人為災(zāi)難，并采取額外的控制措施加以保護(hù)。第64條 機(jī)房必須增加額外的物理控制，選取的場(chǎng)地應(yīng)盡量安全，并盡可能避免受到災(zāi)害的影響。機(jī)房必須有防火、防潮、防塵、防盜、防磁、防鼠等設(shè)施。第65條 機(jī)房建設(shè)必須符合國(guó)標(biāo)gb2887-89計(jì)算機(jī)場(chǎng)地技術(shù)條件和gb9361-88計(jì)算站場(chǎng)地安全要求中的要求。第66條 機(jī)房的消防措施必須滿足以下要求：1)必須安裝消防設(shè)備，并定期檢查。2)應(yīng)該指定消防指揮員。3)機(jī)房?jī)?nèi)嚴(yán)禁存放易燃材料，每周例行檢查一次。4)必須安裝煙感及其他火警探測(cè)器和滅火裝置。應(yīng)每季度定期檢查這些

46、裝備，確保它們能有效運(yùn)作。5)必須在明顯位置張貼火災(zāi)逃生路線圖、滅火設(shè)備平面放置圖以及安全出口的位置。6)安全出口必須有明顯標(biāo)識(shí)。7)應(yīng)該訓(xùn)練員工熟悉使用消防設(shè)施。8)緊急事件發(fā)生時(shí)必須提供緊急照明。9)所有疏散路線都必須時(shí)刻保持通暢。10)必須保證防火門(mén)在火災(zāi)發(fā)生時(shí)能夠開(kāi)啟。11)每年應(yīng)至少舉行一次火災(zāi)撤離演習(xí)，使工作人員熟知火災(zāi)撤離的過(guò)程。8.1.5 在安全區(qū)域工作第67條 員工進(jìn)入機(jī)房的訪問(wèn)授權(quán)，不能超過(guò)其工作所需的范圍。必須定期檢查訪問(wèn)權(quán)限的分配并及時(shí)更新。機(jī)房的訪問(wèn)權(quán)限應(yīng)不同于進(jìn)入大樓其它區(qū)域的權(quán)限。第68條 所有需要進(jìn)入機(jī)房的來(lái)賓都必須提前申請(qǐng)。必須維護(hù)和及時(shí)更新來(lái)賓記錄，以掌握來(lái)

47、賓進(jìn)入機(jī)房的詳細(xì)情況。記錄中應(yīng)詳細(xì)說(shuō)明來(lái)賓的姓名、進(jìn)入與離開(kāi)的日期與時(shí)間，申請(qǐng)者以及進(jìn)入的原因。機(jī)房來(lái)賓記錄至少保存一年。來(lái)賓必須得到明確許可后，在專(zhuān)人陪同下才能進(jìn)入機(jī)房。第69條 機(jī)房的保護(hù)應(yīng)在專(zhuān)家的指導(dǎo)下進(jìn)行，必須安裝合適的安全防護(hù)和檢測(cè)裝置。機(jī)房?jī)?nèi)嚴(yán)禁吸煙、飲食和拍攝。8.1.6 機(jī)房操作日志第70條 必須記錄機(jī)房管理員的操作行為，以便其行為可以追蹤。操作記錄必須備份和維護(hù)并妥善保管，防止被破壞。第71條 在機(jī)房值班人員交接時(shí)，上一班值班人員所遺留的問(wèn)題以及從事的工作應(yīng)明確交待給下一班，保證相關(guān)操作的延續(xù)性。8.2 設(shè)備安全8.2.1 設(shè)備的安置及保護(hù)第72條 必須對(duì)設(shè)備實(shí)施安全控制，以

48、減少環(huán)境危害和非法的訪問(wèn)。應(yīng)該考慮的因素包括但不限于：1)水、火2)煙霧、灰塵3)震動(dòng)4)化學(xué)效應(yīng)5)電源干擾、電磁輻射第73條 設(shè)備必須放置在遠(yuǎn)離水災(zāi)的地方，并根據(jù)需要考慮安裝漏水警報(bào)系統(tǒng)。應(yīng)急開(kāi)關(guān)如電閘、煤氣開(kāi)關(guān)和水閘等都必須清楚地做好標(biāo)識(shí)，并且能容易訪問(wèn)。設(shè)備都應(yīng)該裝有合適的漏電保險(xiǎn)絲或斷路器進(jìn)行保護(hù)。放置設(shè)備的區(qū)域必須滿足廠商提供的設(shè)備環(huán)境要求。設(shè)備的操作必須遵守廠商提供的操作規(guī)范。通信線路和電纜必須從物理上進(jìn)行保護(hù)。8.2.2 支持設(shè)施第74條 支持設(shè)施能夠支持物理場(chǎng)所、設(shè)備等的正常運(yùn)作，比如：電力設(shè)施、空調(diào)、排水設(shè)施、消防設(shè)施、靜電保護(hù)設(shè)施等。必須采取保護(hù)措施使設(shè)備免受電源故障或電

49、力異常的破壞。必須驗(yàn)證電力供應(yīng)是否滿足廠商設(shè)備對(duì)電源的要求。每年應(yīng)至少對(duì)支持設(shè)施進(jìn)行一次安全檢查。工作環(huán)境中增加新設(shè)備時(shí)，必須對(duì)電力、空調(diào)、地板等支持設(shè)施的負(fù)荷進(jìn)行審核。必須設(shè)置后備電源，例如不間斷電源（ups）或發(fā)電機(jī)。對(duì)需要配備后備電源的設(shè)備裝置進(jìn)行審核，確保后備電源能夠滿足這些設(shè)備的正常工作。每年必須至少對(duì)備用電源/進(jìn)行一次測(cè)試。應(yīng)急電源開(kāi)關(guān)應(yīng)位于機(jī)房的緊急出口附近，以便緊急狀況發(fā)生時(shí)可以迅速切斷電源。電纜應(yīng)根據(jù)供電電壓和頻率的不同而相互隔離。所有電纜都應(yīng)帶有標(biāo)簽，標(biāo)簽上的編碼應(yīng)記錄歸檔。電纜應(yīng)從物理上加以保護(hù)。8.2.3 設(shè)備維護(hù)第75條 所有生產(chǎn)設(shè)備必須有足夠的維護(hù)保障，關(guān)鍵設(shè)備必須

50、提供7x24的現(xiàn)場(chǎng)維護(hù)支持。所有生產(chǎn)設(shè)備必須定期進(jìn)行預(yù)防性維護(hù)。只有經(jīng)過(guò)批準(zhǔn)的、受過(guò)專(zhuān)業(yè)培訓(xùn)的工作人員才能進(jìn)行維護(hù)工作。設(shè)備的所有維護(hù)工作都應(yīng)該記錄歸檔。如果設(shè)備需要搬離安全區(qū)域進(jìn)行修理，必須獲得批準(zhǔn)并卸載其存儲(chǔ)介質(zhì)。第76條 必須建立設(shè)備故障報(bào)告流程。對(duì)于需要進(jìn)行重大維修的設(shè)備，流程還應(yīng)該包含設(shè)備檢修的報(bào)告，及換用備用設(shè)備的流程。8.2.4 管轄區(qū)域外設(shè)備安全第77條 筆記本電腦用戶必須保護(hù)好筆記本電腦的安全，防止筆記本電腦損壞或被偷竊。第78條 如果將設(shè)備帶出公司，設(shè)備擁有者必須親自或指定專(zhuān)人保護(hù)設(shè)備的安全。設(shè)備擁有者必須對(duì)設(shè)備在公司場(chǎng)所外的安全負(fù)責(zé)。8.2.5 設(shè)備的安全處理或再利用第7

51、9條 再利用或報(bào)廢之前，設(shè)備所含有的所有存儲(chǔ)裝置（比如硬盤(pán)等）都必須通過(guò)嚴(yán)格檢查，確保所有敏感數(shù)據(jù)和軟件已被刪除或改寫(xiě)，并且不可能被恢復(fù)。應(yīng)該通過(guò)風(fēng)險(xiǎn)評(píng)估來(lái)決定是否徹底銷(xiāo)毀、送修還是丟棄含有敏感數(shù)據(jù)的已損壞設(shè)備。9 通信和操作管理方面9.1 操作程序和職責(zé)9.1.1 規(guī)范的操作程序第80條 必須為所有的業(yè)務(wù)系統(tǒng)建立操作程序，其內(nèi)容包括但不限于：1)系統(tǒng)重啟、備份和恢復(fù)的措施2)一般性錯(cuò)誤處理的操作指南3)技術(shù)支持人員的聯(lián)系方法4)與其它系統(tǒng)的依賴性和處理的優(yōu)先級(jí)5)硬件的配置管理第81條 操作程序必須征得管理者的同意才能對(duì)其進(jìn)行修改。操作程序必須及時(shí)更新，更新條件包括但不限于：1)應(yīng)用軟件的變

52、更2)硬件配置的變更9.1.2 變更控制第82條 必須建立變更管理程序來(lái)控制系統(tǒng)的變更，所有變更都必須遵守變更管理程序的要求。程序內(nèi)容包括但不限于1)識(shí)別和記錄變更請(qǐng)求2)評(píng)估變更的可行性、變更計(jì)劃和可能帶來(lái)的潛在影響3)變更的測(cè)試4)審批的流程5)明確變更失敗的恢復(fù)計(jì)劃和責(zé)任人6)變更的驗(yàn)收第83條 重要變更必須制定計(jì)劃，并在測(cè)試環(huán)境下進(jìn)行足夠的測(cè)試后，才能在生產(chǎn)系統(tǒng)中實(shí)施。所有變更必須包括變更失敗的應(yīng)對(duì)措施和恢復(fù)計(jì)劃。所有變更必須獲得授權(quán)和批準(zhǔn)，變更的申請(qǐng)和審批不得為同一個(gè)員工。對(duì)變更需要涉及的硬件、軟件和信息等對(duì)象都應(yīng)標(biāo)識(shí)出來(lái)并進(jìn)行相應(yīng)評(píng)估。變更在實(shí)施前必須通知到相關(guān)人員。第84條 變更

53、的實(shí)施應(yīng)該安排在對(duì)業(yè)務(wù)影響最小的時(shí)間段進(jìn)行，盡量減少對(duì)業(yè)務(wù)正常運(yùn)營(yíng)的影響。在生產(chǎn)系統(tǒng)安裝或更新軟件前，必須對(duì)系統(tǒng)進(jìn)行備份。變更完成后，相關(guān)的文檔（如系統(tǒng)需求文檔、設(shè)計(jì)文檔、操作手冊(cè)、用戶手冊(cè)等）必須得到更新，舊的文檔必須進(jìn)行備份。第85條 必須對(duì)變更進(jìn)行復(fù)查，以確保變更沒(méi)有對(duì)原來(lái)的系統(tǒng)環(huán)境造成破壞。必須完整記錄整個(gè)變更過(guò)程，并將其妥善保管。變更的記錄應(yīng)至少每月復(fù)查一次。9.1.3 職責(zé)分離第86條 系統(tǒng)管理員和系統(tǒng)開(kāi)發(fā)人員的職責(zé)必須明確分開(kāi)。同一處理過(guò)程中的重要任務(wù)不應(yīng)該由同一個(gè)人來(lái)完成，以防止欺詐和誤操作的發(fā)生。第87條 所有職責(zé)分離的控制必須記錄歸檔，作為責(zé)任分工的依據(jù)。無(wú)法采取職責(zé)分離時(shí)

54、，必須采取其它的控制，比如活動(dòng)監(jiān)控、審核跟蹤評(píng)估以及管理監(jiān)督等。9.1.4 開(kāi)發(fā)、測(cè)試和生產(chǎn)系統(tǒng)分離第88條 不應(yīng)給開(kāi)發(fā)人員提供超過(guò)其開(kāi)發(fā)所需范圍的權(quán)限。如果開(kāi)發(fā)人員需要訪問(wèn)生產(chǎn)系統(tǒng)，必須經(jīng)過(guò)運(yùn)營(yíng)人員的授權(quán)和管理。第89條 生產(chǎn)、測(cè)試和開(kāi)發(fā)應(yīng)分別使用不同的系統(tǒng)環(huán)境。開(kāi)發(fā)人員不得在生產(chǎn)環(huán)境中更改編碼或操作生產(chǎn)系統(tǒng)。不得在生產(chǎn)系統(tǒng)上擅自安裝開(kāi)發(fā)工具（比如編譯程序及其他系統(tǒng)公用程序等），并做好已有開(kāi)發(fā)工具的訪問(wèn)控制。開(kāi)發(fā)和測(cè)試環(huán)境使用的測(cè)試數(shù)據(jù)不能包含有敏感信息。9.1.5 事件管理程序第90條 必須建立事件管理程序，并根據(jù)事件影響的嚴(yán)重程度制訂其所屬類(lèi)別，同時(shí)說(shuō)明相應(yīng)的處理方法和負(fù)責(zé)人。必須根據(jù)事

55、件的嚴(yán)重程度，定義響應(yīng)的范圍、時(shí)間和完成事件處理的時(shí)間。第91條 系統(tǒng)的修復(fù)必須得到系統(tǒng)管理者的批準(zhǔn)方可執(zhí)行。第92條 所有事件報(bào)告必須記錄歸檔，并由部門(mén)主管或指定人員妥善保管。必須對(duì)事件的處理情況進(jìn)行監(jiān)控，對(duì)超時(shí)的處理提出改進(jìn)建議并跟進(jìn)改進(jìn)效果。9.2 第三方服務(wù)交付管理9.2.1 服務(wù)交付第93條 第三方提供的服務(wù)必須滿足安全管理制度的要求。第三方提供的服務(wù)必須滿足公司業(yè)務(wù)連續(xù)性的要求。第94條 必須保留第三方提供的服務(wù)、報(bào)告和記錄并定期評(píng)審，至少每半年一次。評(píng)審內(nèi)容應(yīng)包括：1)服務(wù)內(nèi)容和質(zhì)量是否滿足合同要求；2)服務(wù)報(bào)告是否真實(shí)。9.2.2 第三方服務(wù)的變更管理第95條 服務(wù)改變時(shí)，必須

56、重新對(duì)服務(wù)是否滿足安全管理辦法進(jìn)行評(píng)估。在服務(wù)變更時(shí)需要考慮：1)服務(wù)價(jià)格的增長(zhǎng)；2)新的服務(wù)需求；3)公司信息安全管理制度的變化；4)公司在信息安全方面新的控制。9.3 針對(duì)惡意軟件的保護(hù)措施9.3.1 對(duì)惡意軟件的控制第96條 必須建立一套病毒防治體系，以便防止病毒對(duì)公司帶來(lái)的影響。所有服務(wù)器、個(gè)人電腦和筆記本電腦都應(yīng)該安裝公司規(guī)定的防病毒軟件，并及時(shí)更新防病毒軟件。所有存進(jìn)計(jì)算機(jī)的信息（例如接收到的郵件、下載的文件等）都必須經(jīng)過(guò)病毒掃描。員工和第三方廠商從外界帶來(lái)的存儲(chǔ)介質(zhì)在使用之前必須進(jìn)行病毒掃描。第97條 所有員工都應(yīng)該接受防病毒知識(shí)的培訓(xùn)和指導(dǎo)。第98條 公司內(nèi)發(fā)現(xiàn)的病毒、計(jì)算機(jī)或應(yīng)用程序的異常行為，都必須作為安全事件進(jìn)行報(bào)告。第99條 必須定期審核控制惡意軟件措施的有效性。一旦發(fā)現(xiàn)感染病毒，必須立刻把機(jī)器從網(wǎng)絡(luò)中斷開(kāi)。在病毒沒(méi)有被徹底清除之前，嚴(yán)禁將其重新連接到網(wǎng)絡(luò)上。9.4 備份9.4.1 信息備份第100條 所有服務(wù)器、個(gè)人電腦和筆記本電腦必須根據(jù)業(yè)務(wù)需求定期進(jìn)行備份。系統(tǒng)在重大變更之前和之后必須進(jìn)行備份。第101條 備份管理辦法必須獲得管理層的審批以確保符合業(yè)務(wù)需求。備份管理辦法必須至少每季度進(jìn)行一次復(fù)查，以確保沒(méi)有發(fā)生未授權(quán)或意外的更改。第102條 應(yīng)該保留多于