燃機熱電有限公司信息管理規(guī)章制度匯編

1、信息安全管理制度琥珀（安吉）燃機熱電有限公司2016.01.15 信息安全制度1 總則 第1條 為規(guī)范信息安全治理工作，加強過程治理和基礎(chǔ)設(shè)施治理的風(fēng)險分析及防范，建立安全責(zé)任制，健全安全內(nèi)操縱度，保證信息系統(tǒng)的機密性、完整性、可用性，特制定本規(guī)定。 2 適用范圍 第2條 本規(guī)定適用于琥珀（安吉）燃機熱電有限公司各部門及生產(chǎn)現(xiàn)場。 3 治理對象 第3條 治理對象指組成計算機信息系統(tǒng)的系統(tǒng)、設(shè)備和數(shù)據(jù)等信息資產(chǎn)和人員的安全。要緊范圍包括：人員安全、物理環(huán)境安全、資產(chǎn)識不和分類、風(fēng)險治理、物理和邏輯訪問操縱、系統(tǒng)操作與運行安全、網(wǎng)絡(luò)通訊安全、信息加密與解密、應(yīng)急與災(zāi)難恢復(fù)、軟件研發(fā)與應(yīng)用安全、機密

2、資源治理、第三方與外包安全、法律和標準的符合性、項目與工程安全操縱、安全檢查與審計等。4 術(shù)語定義 DMZ：用于隔離內(nèi)網(wǎng)和外網(wǎng)的區(qū)域，此區(qū)域不屬于可信任的內(nèi)網(wǎng)，也不是完全開放給因特網(wǎng)。 容量：分為系統(tǒng)容量和環(huán)境容量兩方面。系統(tǒng)容量包括CPU、內(nèi)存、硬盤存儲等。環(huán)境容量包括電力供應(yīng)、濕度、溫度、空氣質(zhì)量等。 安全制度：與信息安全相關(guān)的制度文檔，包括安全治理方法、標準、指引和程序等。 安全邊界：用以明確劃分安全區(qū)域，如圍墻、辦公大樓、網(wǎng)段等。 惡意軟件：包括計算機病毒、網(wǎng)絡(luò)蠕蟲、木馬、流氓軟件、邏輯炸彈等。 備份周期：依照備份治理方法制定的備份循環(huán)的周期，一個備份周期的內(nèi)容相當(dāng)于一個完整的全備份。

3、 系統(tǒng)工具：能夠更改系統(tǒng)及應(yīng)用配臵的程序被定義為系統(tǒng)工具，如系統(tǒng)治理、維護工具、調(diào)試程序等。 消息驗證：一種檢查傳輸?shù)碾娮酉⑹欠裼蟹欠ㄗ兏蚱茐牡募夹g(shù)，它能夠在硬件或軟件上實施。 數(shù)字簽名：一種愛護電子文檔真實性和完整性的方法。例如，在電子商務(wù)中能夠使用它驗證誰簽署電子文檔，并檢查已簽署文檔的內(nèi)容是否被更改。 信息處理設(shè)備：泛指處理信息的所有設(shè)備和信息系統(tǒng)，包括網(wǎng)絡(luò)、服務(wù)器、個人電腦和筆記本電腦等。 不可抵賴性服務(wù)：用于解決交易糾紛中爭議交易是否發(fā)生的機制。 電子化辦公系統(tǒng)：包括電子郵件、OA系統(tǒng)以及用于業(yè)務(wù)信息傳送及共享的企業(yè)內(nèi)部網(wǎng)。 5 安全制度方面 5.1 安全制度要求 5.1.1 本

4、制度的詮釋 第4條 所有帶有“必須”的條款差不多上強制性的。除非事先得到安全治理委員會的認可，否則都要堅決執(zhí)行。其它的條款則是強烈建議的，只要實際可行就應(yīng)該被采納。 第5條 所有職員都受本制度的約束，各部門領(lǐng)導(dǎo)有責(zé)任確保其部門已實施足夠的安全操縱措施，以愛護信息安全。 第6條 各部門的領(lǐng)導(dǎo)有責(zé)任確保其部門的職員了解本安全治理制度、相關(guān)的標準和程序以及日常的信息安全治理。 第7條 安全治理代表（或其指派的人員）將審核各部門安全操縱措施實施的準確性和完整性，此過程是公司例行內(nèi)部審計的一部分。 5.1.2 制度公布 第8條 所有制度在創(chuàng)建和更新后，必須通過相應(yīng)治理層的審批。制度經(jīng)批準之后必須通知所有

5、相關(guān)人員。 5.1.3 制度復(fù)審 第9條 當(dāng)環(huán)境改變、技術(shù)更新或者業(yè)務(wù)本身發(fā)生變化時，必須對安全制度重新進行評審，并作出相應(yīng)的修正，以確保能有效地愛護公司的信息資產(chǎn)。 第10條 安全治理委員會必須定期對本治理方法進行正式的復(fù)審，并依照復(fù)審所作的修正，指導(dǎo)相關(guān)職員采取相應(yīng)的行動。6 組織安全方面 6.1 組織內(nèi)部安全 6.1.1 信息安全體系治理 第11條 公司成立安全治理委員會，安全治理委員會是公司信息安全治理的最高決策機構(gòu)，安全治理委員會的成員應(yīng)包括公司要緊治理人、生產(chǎn)技術(shù)治理部負責(zé)人、公司安全審計負責(zé)人、公司計算機治理員、操作員等。 第12條 信息安全治理代表由信息安全治理委員會指定，一般

6、應(yīng)包含安全稽核崗、信息治理部信息安全相關(guān)崗位。 第13條 安全治理委員會通過清晰的方向、可見的承諾、詳細的分工，積極地支持信息安全工作，要緊包括以下幾方面： 1)確定信息安全的目標符合公司的要求和相關(guān)制度； 2)闡明、復(fù)查和批準信息安全治理制度； 3)復(fù)查信息安全治理制度執(zhí)行的有效性； 4)為信息安全的執(zhí)行提供明確的指導(dǎo)和有效的支持； 5)提供信息安全體系運作所需要的資源 6)為信息安全在公司執(zhí)行定義明確的角色和職責(zé)； 7)批準信息安全推廣和培訓(xùn)的打算和程序； 8)確保信息安全操縱措施在公司內(nèi)被有效的執(zhí)行。 第14條 安全治理委員會需要對內(nèi)部或外部信息安全專家的建議進行評估，并檢查和調(diào)整建議在

7、公司內(nèi)執(zhí)行的結(jié)果。 第15條 必須進行信息安全治理會議，會議成員包括安全治理委員會、安全治理代表和其他相關(guān)的公司高層治理人員。 第16條 信息安全治理會議必須每年定期進行，討論和審批信息安全相關(guān)事宜，具體包括以下內(nèi)容: 1)復(fù)審本治理制度的有效性；2)復(fù)審技術(shù)變更帶來的阻礙； 3)復(fù)審安全風(fēng)險； 4)審批信息安全措施及程序； 5)審批信息安全建議； 6)確保任何新項目規(guī)劃已考慮信息安全的需求； 7)復(fù)審安全檢查結(jié)果和安全事故報告； 8)復(fù)審安全操縱實施的效果和阻礙； 9)宣導(dǎo)和推行公司高層對信息安全治理的指示。 6.1.2 信息安全職責(zé)分配 信息治理部門作為信息安全治理部門，負責(zé)信息安全治理策

8、略制定及實施，其要緊職責(zé)： （一）負責(zé)全公司信息安全治理和指導(dǎo)； （二）牽頭制訂全公司信息安全體系規(guī)范、標準和檢查指引，參與我司信息系統(tǒng)工程建設(shè)的安全規(guī)劃； （三）組織全公司安全檢查； （四）配合全公司安全審計工作的開展； （五）牽頭組織全公司安全治理培訓(xùn)； （六）負責(zé)全公司安全方案的審核和安全產(chǎn)品的選型、購臵。 （七）依據(jù)本規(guī)定、安全規(guī)范、技術(shù)標準、操作手冊實施各類安全策略。 （八）負責(zé)各類安全策略的日常維護和治理。 各分公司信息治理部門作為信息安全治理部門，其要緊職責(zé)： （一）依照本規(guī)定、信息安全體系規(guī)范、標準和檢查指引，組織建立安全治理流程、手冊； （二）組織實施內(nèi)部安全檢查； （三）組

9、織安全培訓(xùn)； （四）負責(zé)機密信息和機密資源的安全治理； （五）負責(zé)安全技術(shù)產(chǎn)品的使用、維護、升級； （六）配合安全審計工作的開展； （七）定期上報本單位信息系統(tǒng)安全情況，反饋安全技術(shù)和治理的意見和建議。 （八）依據(jù)本規(guī)定、安全規(guī)范、技術(shù)標準、操作手冊實施各類安全策略。 （九）負責(zé)各類安全策略的日常維護和治理。 6.1.3 信息處理設(shè)備的授權(quán) 第19條 新設(shè)備的采購和設(shè)備部署的審批流程應(yīng)該充分考慮信息安全的要求。 第20條 新設(shè)備在部署和使用之前，必須明確其用途和使用范圍，并獲得安全治理委員會的批準。必須對新設(shè)備的硬件和軟件系統(tǒng)進行詳細檢查，以確保它們的安全性和兼容性。 第21條 除非獲得安全治

10、理委員會的授權(quán)，否則不同意使用私人的信息處理設(shè)備來處理公司業(yè)務(wù)信息或使用公司資源。 6.1.4 獨立的信息安全審核 第22條 必須對公司信息安全操縱措施的實施情況進行獨立地審核，確保公司的信息安全操縱措施符合治理制度的要求。審核工作應(yīng)由公司的審計部門或?qū)ｉT提供此類服務(wù)的第三方組織負責(zé)執(zhí)行。負責(zé)安全審核的人員必須具備相應(yīng)的技能和經(jīng)驗。 第23條 獨立的信息安全審核必須每年至少進行一次。 6.2 第三方訪問的安全性 6.2.1 明確第三方訪問的風(fēng)險 第24條 必須對第三方對公司信息或信息系統(tǒng)的訪問進行風(fēng)險評估，并進行嚴格操縱，相關(guān)操縱須考慮物理上和邏輯上訪問的安全風(fēng)險。只有在風(fēng)險被消除或降低到可同

11、意的水平常才同意其訪問。 第25條 第三方包括但不限于： 1) 硬件和軟件廠商的支持人員和其他外包商 2) 監(jiān)管機構(gòu)、外部顧問、外部審計機構(gòu)和合作伙伴 3) 臨時職員、實習(xí)生 4) 清潔工和保安 5) 公司的客戶 第26條 第三方對公司信息或信息系統(tǒng)的訪問類型包括但不限于： 1) 物理的訪問，例如：訪問公司機房、監(jiān)控中心等； 2) 邏輯的訪問，例如：訪問公司的數(shù)據(jù)庫、信息系統(tǒng)等； 3) 與第三方之間的網(wǎng)絡(luò)連接，例如：固定的連接、臨時的遠程連接； 第27條 第三方所有的訪問申請都必須通過信息安全治理代表的審批，只提供其工作所須的最小權(quán)限和滿足其工作所需的最少資源，同時需要定期對第三方的訪問權(quán)限進

12、行復(fù)查。第三方對重要信息系統(tǒng)或地點的訪問和操作必須有相關(guān)人員陪同。 第28條 公司負責(zé)與第三方溝通的人員必須在第三方接觸公司信息或信息系統(tǒng)前，主動告知第三方的職責(zé)、義務(wù)和需要遵守的規(guī)定，第三方必須在清晰并同意后才能接觸相應(yīng)信息或信息系統(tǒng)。所有對第三方的安全要求必須包含在與其簽訂的合約中。 6.2.2 當(dāng)與客戶接觸時強調(diào)信息安全 第29條 必須在同意客戶訪問信息或信息系統(tǒng)前識不并告知其需要遵守的安全需求。采取相應(yīng)的愛護措施愛護客戶訪問的信息或信息系統(tǒng)。 6.2.3 與第三方簽訂合約的安全要求 第30條 與第三方合約中應(yīng)包含必要的安全要求，如：訪問、處理、治理公司信息或信息系統(tǒng)的安全要求。7 信息

13、資產(chǎn)與人員安全 7.1 資產(chǎn)責(zé)任 7.1.1 資產(chǎn)的清單 第31條 應(yīng)清晰識不所有的資產(chǎn)，所有與信息相關(guān)的重要資產(chǎn)都應(yīng)該在資產(chǎn)清單中標出，并及時維護更新。這些資產(chǎn)包括但不限于 1)信息：數(shù)據(jù)庫和數(shù)據(jù)文件、系統(tǒng)文檔、用戶手冊、培訓(xùn)材料、操作手冊、業(yè)務(wù)連續(xù)性打算、系統(tǒng)恢復(fù)打算、備份信息和合同等。 2)軟件：應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具以及有用工具等。 3)實體：計算機設(shè)備（處理器、顯示器、筆記本電腦、調(diào)制解調(diào)器等）、通訊設(shè)備（路由器、程控電話交換機、傳真機等）、存儲設(shè)備、磁介質(zhì)（磁帶和磁盤等）、其它技術(shù)設(shè)備（電源、空調(diào)器等）、機房等。 4)服務(wù)：通訊服務(wù)（專線）。 第32條 資產(chǎn)清單必須每年至少審

14、核一次。在購買新資產(chǎn)之前必須進行安全評估。資產(chǎn)交付后，資產(chǎn)清單必須更新。資產(chǎn)的風(fēng)險評估必須每年至少一次，要緊評估當(dāng)前已部署安全操縱措施的有效性。 第33條 實體資產(chǎn)需要貼上適當(dāng)?shù)臉撕灐?7.1.2 資產(chǎn)的治理權(quán) 第34條 所有資產(chǎn)都應(yīng)該被詳細講明，必須指明具體的治理者。治理者能夠是個人，也能夠是某個部門。治理者是部門的資產(chǎn)則由部門主管負責(zé)監(jiān)護。 第35條 資產(chǎn)治理者的職責(zé)是： 1)確定資產(chǎn)的保密等級分類和訪問治理方法； 2)定期復(fù)查資產(chǎn)的分類和訪問治理方法。 7.1.3 資產(chǎn)的合理使用 第36條 必須識不信息和信息系統(tǒng)的使用準則，形成文件并實施。使用準則應(yīng)包括： 1)使用范圍 2)角色和權(quán)限

15、3)使用者應(yīng)負的責(zé)任 4)與其他系統(tǒng)交互的要求 第37條 所有訪問信息或信息系統(tǒng)的職員、第三方必須清晰要訪問資源的使用準則，并承擔(dān)他們的責(zé)任。公司的所有信息處理設(shè)備（包括個人電腦）只能被使用于工作相關(guān)的活動，不得用來炒股、玩游戲等。濫用信息處理設(shè)備的職員將受到紀律處分。 7.2 信息分類 7.2.1 信息分類原則 第38條 所有信息都應(yīng)該依照其敏感性、重要性以及業(yè)務(wù)所要求的訪問限制進行分類和標識。 第39條 信息治理者負責(zé)信息的分類，并對其進行定期檢查，以確保分類的正確。當(dāng)信息被公布到公司外部，或者通過一段時刻后信息的敏感度發(fā)生改變時，信息需要重新分類。 第40條 信息的保密程度從高到低分為絕

16、密、機密、秘密和非保密四種等級。以電子形式保存的信息或治理信息資產(chǎn)的系統(tǒng)，需依照信息的敏感度進行標識。含有不同分類信息的系統(tǒng)，必須按照其中的最高保密等級進行分類。 7.2.2 信息標記和處理 第41條 必須建立相應(yīng)的保密信息處理規(guī)范。關(guān)于不同的保密等級，應(yīng)明確講明如下信息活動的處理要求： 1)復(fù)制 2)保存和保管（以物理或電子方式） 3)傳送（以郵寄、傳真或電子郵件的方式） 4)銷毀 第42條 電子文檔和系統(tǒng)輸出的信息（打印報表和磁帶等）應(yīng)帶有適當(dāng)?shù)男畔⒎诸悩擞?。關(guān)于打印報表，其保密等級應(yīng)顯示在每頁的頂端或底部。 第43條 將保密信息發(fā)送到公司以外時，負責(zé)傳送信息的工作人員應(yīng)在分發(fā)信息之前，先

17、告知對方文檔的保密等級及其相應(yīng)的處理要求。 7.3 人員安全 7.3.1 信息安全意識、教育和培訓(xùn) 第44條 所有公司職員和第三方人員必須同意包括安全性要求、信息處理設(shè)備的正確使用等內(nèi)容的培訓(xùn)，并應(yīng)該及時了解和學(xué)習(xí)公司對安全治理制度和標準的更新。 第45條 應(yīng)該至少每年向職員提供一次安全意識培訓(xùn)，其內(nèi)容包括但不限于： 1)安全治理委員會下達的安全治理要求 2)信息保密的責(zé)任 3)一般性安全守則 4)信息分類 5)安全事故報告程序 6)電腦病毒爆發(fā)時的應(yīng)對措施 7)災(zāi)難發(fā)生時的應(yīng)對措施 第46條 應(yīng)該對系統(tǒng)治理員、開發(fā)人員進行安全技能方面的培訓(xùn)，至少每年一次。職員和第三方人員在開始工作后90天內(nèi)

18、，必須進行技術(shù)和安全方面的培訓(xùn)。 第47條 災(zāi)難恢復(fù)演習(xí)應(yīng)至少每年進行一次。 7.3.2 懲戒過程 第48條 違反公司安全治理制度、標準和程序的職員將受到紀律處分。在對信息安全事件調(diào)查結(jié)束后，必須對事件中的相關(guān)人員依照公司的懲戒規(guī)定進行處罰。紀律處分包括但不限于： 1) 通報批判 2) 警告 3) 記過 4) 解除勞動合同 5) 法律訴訟 第49條 當(dāng)職員在同意可能涉及解除勞動合同和法律訴訟的違規(guī)調(diào)查時，其直接領(lǐng)導(dǎo)應(yīng)暫停受調(diào)查職員的工作職務(wù)和其訪問權(quán)限，包括物理訪問、系統(tǒng)應(yīng)用訪問和網(wǎng)絡(luò)訪問等。職員在同意調(diào)查時能夠陳述觀點，提出異議，并有進一步申訴的權(quán)力。 7.3.3 資產(chǎn)歸還 第50條 在終止

19、雇傭、合同或協(xié)議時，所有職員及第三方人員必須歸還所使用的全部公司資產(chǎn)。需要歸還的資產(chǎn)包括但不限于： 1) 帳號和訪問權(quán)限 2) 公司的電子或紙質(zhì)文檔 3) 公司購買的硬件和軟件資產(chǎn) 4) 公司購買的其他設(shè)備 第51條 假如在非公司資產(chǎn)上保存有公司的資產(chǎn)，必須在帶出公司前歸還或刪除公司的資產(chǎn)。 7.3.4 刪除訪問權(quán)限 第52條 在終止或變更雇傭、合同、協(xié)議時，必須刪除所有職員及第三方人員對信息和信息系統(tǒng)的訪問權(quán)限，或依照變更進行相應(yīng)的調(diào)整。所有刪除和調(diào)整操作必須在最后上班日之前完成。 第53條 關(guān)于公用的資源，必須進行及時的調(diào)整，比如：公用的帳號必須立即更改密碼。 第54條 在差不多確定職員或

20、第三方終止或變更意向后，必須及時對他們的權(quán)限進行限制，只保留終止或變更所需要的權(quán)限。8 物理和環(huán)境安全方面 8.1 安全區(qū)域 8.1.1 物理安全邊界 第55條 在公司的物理環(huán)境里，應(yīng)該對需要愛護的區(qū)域依照其重要性劃分為不同的安全區(qū)域。特不是有重要設(shè)備的安全區(qū)域（比如機房）應(yīng)該部署相應(yīng)的物理安全操縱。 第56條 在機房的統(tǒng)一入口處必須設(shè)立有專人值守的接待區(qū)域，在特不重要的安全區(qū)域也應(yīng)該設(shè)立類似的接待區(qū)域。 第57條 在非辦公時刻內(nèi)，重要的安全區(qū)域必須安排保安定時巡視。任何時候，機房必須至少有一位保安值班。 保安值班表應(yīng)最少每月調(diào)整一次。 8.1.2 安全區(qū)域訪問操縱 第58條 在非辦公時刻，所

21、有進入安全區(qū)域的入口都應(yīng)該受到操縱，比如實施電子門禁或者上鎖。任何時候，重要安全區(qū)域的所有出入口必須受到嚴格的訪問操縱，確保只有授權(quán)的職員才能夠進入此區(qū)域。 第59條 關(guān)于設(shè)有訪問操縱的安全區(qū)域，必須定期審核并及時更新其訪問權(quán)限。所有職員都必須佩戴一個身份識不通行證，有責(zé)任確保通行證的安全并不得轉(zhuǎn)借他人。職員離職時必須交還通行證，同時取消其所有訪問權(quán)限。 第60條 所有來賓的有關(guān)資料都必須詳細記載在來賓進出登記表中，并向獲準進入的來賓發(fā)放來賓通行證。同時，必須有相應(yīng)的程序以確?；厥账l(fā)放的來賓通行證。來賓進出登記表必須至少保留1年，記錄內(nèi)容應(yīng)包括但不限于： 1)來賓姓名 2)來賓身份 3)來賓

22、工作單位 4)來訪事由 5)負責(zé)接待的職員 6)來賓通行證號碼 7)進入的日期和時刻 8)離開的日期和時刻 8.1.3 辦公場所和設(shè)施安全 第61條 放臵敏感或重要設(shè)備的區(qū)域（例如機房）應(yīng)盡量不引人注目，給不處的信息應(yīng)盡量最少，不應(yīng)該有明顯的標志指明敏感區(qū)域的所在位臵和用途。這些區(qū)域還應(yīng)該被給予相應(yīng)的愛護，愛護措施包括但不限于： 1)所有出入口必須安裝物理訪問操縱措施 2)使用來賓登記表以便記錄來訪信息 3)嚴禁吸煙 第62條 必須對支持關(guān)鍵性業(yè)務(wù)活動的設(shè)備提供足夠的物理訪問操縱。所有安全區(qū)域和出入口必須通過閉路電視進行監(jiān)控。一般會議室或其它公眾場合必須與安全區(qū)域隔離開來。無人值守的時候，辦公

23、區(qū)中的信息處理設(shè)備必須從物理上進行愛護。門和窗戶必須鎖好。 8.1.4 防范外部和環(huán)境威脅 第63條 辦公場所和機房的設(shè)計和建設(shè)必須充分考慮火災(zāi)、洪水、地震、爆炸、騷亂等天災(zāi)或人為災(zāi)難，并采取額外的操縱措施加以愛護。 第64條 機房必須增加額外的物理操縱，選取的場地應(yīng)盡量安全，并盡可能幸免受到災(zāi)難的阻礙。機房必須有防火、防潮、防塵、防盜、防磁、防鼠等設(shè)施。 第65條 機房建設(shè)必須符合國標GB2887-89計算機場地技術(shù)條件和GB9361-88計算站場地安全要求中的要求。 第66條 機房的消防措施必須滿足以下要求： 1) 必須安裝消防設(shè)備，并定期檢查。 2) 應(yīng)該指定消防指揮員。 3) 機房內(nèi)嚴

24、禁存放易燃材料，每周例行檢查一次。 4) 必須安裝煙感及其他火警探測器和滅火裝臵。應(yīng)每季度定期檢查這些裝備，確保它們能有效運作。 5) 必須在明顯位臵張貼火災(zāi)逃生路線圖、滅火設(shè)備平面放臵圖以及安全出口的位臵。 6) 安全出口必須有明顯標識。 7) 應(yīng)該訓(xùn)練職員熟悉使用消防設(shè)施。 8) 緊急事件發(fā)生時必須提供緊急照明。 9) 所有疏散路線都必須時刻保持通暢。 10)必須保證防火門在火災(zāi)發(fā)生時能夠開啟。 11)每年應(yīng)至少進行一次火災(zāi)撤離演習(xí)，使工作人員熟知火災(zāi)撤離的過程。 8.1.5 在安全區(qū)域工作 第67條 職員進入機房的訪問授權(quán)，不能超過其工作所需的范圍。必須定期檢查訪問權(quán)限的分配并及時更新。

25、機房的訪問權(quán)限應(yīng)不同于進入大樓其它區(qū)域的權(quán)限。 第68條 所有需要進入機房的來賓都必須提早申請。必須維護和及時更新來賓記錄，以掌握來賓進入機房的詳細情況。記錄中應(yīng)詳細講明來賓的姓名、進入與離開的日期與時刻，申請者以及進入的緣故。機房來賓記錄至少保存一年。來賓必須得到明確許可后，在專人陪同下才能進入機房。 第69條 機房的愛護應(yīng)在專家的指導(dǎo)下進行，必須安裝合適的安全防護和檢測裝臵。機房內(nèi)嚴禁吸煙、飲食和拍攝。 8.1.6 機房操作日志 第70條 必須記錄機房治理員的操作行為，以便其行為能夠追蹤。操作記錄必須備份和維護并妥善保管，防止被破壞。 第71條 在機房值班人員交接時，上一班值班人員所遺留的

26、問題以及從事的工作應(yīng)明確交待給下一班，保證相關(guān)操作的連續(xù)性。 8.2 設(shè)備安全 8.2.1 設(shè)備的安置及愛護 第72條 必須對設(shè)備實施安全操縱，以減少環(huán)境危害和非法的訪問。應(yīng)該考慮的因素包括但不限于： 1) 水、火 2) 煙霧、灰塵 3) 震動 4) 化學(xué)效應(yīng) 5) 電源干擾、電磁輻射 第73條 設(shè)備必須放臵在遠離水災(zāi)的地點，并依照需要考慮安裝漏水警報系統(tǒng)。 應(yīng)急開關(guān)如電閘、煤氣開關(guān)和水閘等都必須清晰地做好標識，同時能容易訪問。 設(shè)備都應(yīng)該裝有合適的漏電保險絲或斷路器進行愛護。 放臵設(shè)備的區(qū)域必須滿足廠商提供的設(shè)備環(huán)境要求。 設(shè)備的操作必須遵守廠商提供的操作規(guī)范。 通信線路和電纜必須從物理上進

27、行愛護。 8.2.2 支持設(shè)施 支持設(shè)施能夠支持物理場所、設(shè)備等的正常運作，比如：電力設(shè)施、空調(diào)、排水設(shè)施、消防設(shè)施、靜電愛護設(shè)施等。必須采取愛護措施使設(shè)備免受電源故障或電力異常的破壞。必須驗證電力供應(yīng)是否滿足廠商設(shè)備對電源的要求。每年應(yīng)至少對支持設(shè)施進行一次安全檢查。工作環(huán)境中增加新設(shè)備時，必須對電力、空調(diào)、地板等支持設(shè)施的負荷進行審核。必須設(shè)臵后備電源，例如不間斷電源（UPS）或發(fā)電機。對需要配備后備電源的設(shè)備裝臵進行審核，確保后備電源能夠滿足這些設(shè)備的正常工作。每年必須至少對備用電源/進行一次測試。應(yīng)急電源開關(guān)應(yīng)位于機房的緊急出口附近，以便緊急狀況發(fā)生時能夠迅速切斷電源。電纜應(yīng)依照供電電

28、壓和頻率的不同而相互隔離。所有電纜都應(yīng)帶有標簽，標簽上的編碼應(yīng)記錄歸檔。電纜應(yīng)從物理上加以愛護。 8.2.3 設(shè)備維護 第75條 所有生產(chǎn)設(shè)備必須有足夠的維護保障，關(guān)鍵設(shè)備必須提供7x24的現(xiàn)場維護支持。所有生產(chǎn)設(shè)備必須定期進行預(yù)防性維護。只有通過批準的、受過專業(yè)培訓(xùn)的工作人員才能進行維護工作。設(shè)備的所有維護工作都應(yīng)該記錄歸檔。假如設(shè)備需要搬離安全區(qū)域進行修理，必須獲得批準并卸載其存儲介質(zhì)。 第76條 必須建立設(shè)備故障報告流程。關(guān)于需要進行重大維修的設(shè)備，流程還應(yīng)該包含設(shè)備檢修的報告，及換用備用設(shè)備的流程。 8.2.4 管轄區(qū)域外設(shè)備安全 第77條 筆記本電腦用戶必須愛護好筆記本電腦的安全，防

29、止筆記本電腦損壞或被偷竊。 第78條 假如將設(shè)備帶出公司，設(shè)備擁有者必須親自或指定專人愛護設(shè)備的安全。設(shè)備擁有者必須對設(shè)備在公司場所外的安全負責(zé)。 8.2.5 設(shè)備的安全處理或再利用 第79條 再利用或報廢之前，設(shè)備所含有的所有存儲裝臵（比如硬盤等）都必須通過嚴格檢查，確保所有敏感數(shù)據(jù)和軟件已被刪除或改寫，同時不可能被恢復(fù)。應(yīng)該通過風(fēng)險評估來決定是否完全銷毀、送修依舊丟棄含有敏感數(shù)據(jù)的已損壞設(shè)備。 9 通信和操作治理方面 9.1 操作程序和職責(zé) 9.1.1 規(guī)范的操作程序 第80條 必須為所有的業(yè)務(wù)系統(tǒng)建立操作程序，其內(nèi)容包括但不限于： 1)系統(tǒng)重啟、備份和恢復(fù)的措施 2)一般性錯誤處理的操作

30、指南 3)技術(shù)支持人員的聯(lián)系方法 4)與其它系統(tǒng)的依靠性和處理的優(yōu)先級 5)硬件的配臵治理 第81條 操作程序必須征得治理者的同意才能對其進行修改。操作程序必須及時更新，更新條件包括但不限于： 1)應(yīng)用軟件的變更 2)硬件配臵的變更 9.1.2 變更操縱 第82條 必須建立變更治理程序來操縱系統(tǒng)的變更，所有變更都必須遵守變更治理程序的要求。程序內(nèi)容包括但不限于 1)識不和記錄變更請求 2)評估變更的可行性、變更打算和可能帶來的潛在阻礙 3)變更的測試 4)審批的流程 5)明確變更失敗的恢復(fù)打算和責(zé)任人 6)變更的驗收 第83條 重要變更必須制定打算，并在測試環(huán)境下進行足夠的測試后，才能在生產(chǎn)系

31、統(tǒng)中實施。所有變更必須包括變更失敗的應(yīng)對措施和恢復(fù)打算。所有變更必須獲得授權(quán)和批準，變更的申請和審批不得為同一個職員。對變更需要涉及的硬件、軟件和信息等對象都應(yīng)標識出來并進行相應(yīng)評估。變更在實施前必須通知到相關(guān)人員。 第84條 變更的實施應(yīng)該安排在對業(yè)務(wù)阻礙最小的時刻段進行，盡量減少對業(yè)務(wù)正常運營的阻礙。在生產(chǎn)系統(tǒng)安裝或更新軟件前，必須對系統(tǒng)進行備份。變更完成后，相關(guān)的文檔（如系統(tǒng)需求文檔、設(shè)計文檔、操作手冊、用戶手冊等）必須得到更新，舊的文檔必須進行備份。 第85條 必須對變更進行復(fù)查，以確保變更沒有對原來的系統(tǒng)環(huán)境造成破壞。必須完整記錄整個變更過程，并將其妥善保管。變更的記錄應(yīng)至少每月復(fù)查

32、一次。 9.1.3 職責(zé)分離 第86條 系統(tǒng)治理員和系統(tǒng)開發(fā)人員的職責(zé)必須明確分開。同一處理過程中的重要任務(wù)不應(yīng)該由同一個人來完成，以防止欺詐和誤操作的發(fā)生。 第87條 所有職責(zé)分離的操縱必須記錄歸檔，作為責(zé)任分工的依據(jù)。無法采取職責(zé)分離時，必須采取其它的操縱，比如活動監(jiān)控、審核跟蹤評估以及治理監(jiān)督等。 9.1.4 開發(fā)、測試和生產(chǎn)系統(tǒng)分離 第88條 不應(yīng)給開發(fā)人員提供超過其開發(fā)所需范圍的權(quán)限。假如開發(fā)人員需要訪問生產(chǎn)系統(tǒng)，必須通過運營人員的授權(quán)和治理。 第89條 生產(chǎn)、測試和開發(fā)應(yīng)分不使用不同的系統(tǒng)環(huán)境。開發(fā)人員不得在生產(chǎn)環(huán)境中更改編碼或操作生產(chǎn)系統(tǒng)。不得在生產(chǎn)系統(tǒng)上擅自安裝開發(fā)工具（比如編

33、譯程序及其他系統(tǒng)公用程序等），并做好已有開發(fā)工具的訪問操縱。開發(fā)和測試環(huán)境使用的測試數(shù)據(jù)不能包含有敏感信息。 9.1.5 事件治理程序 第90條 必須建立事件治理程序，并依照事件阻礙的嚴峻程度制訂其所屬類不，同時講明相應(yīng)的處理方法和負責(zé)人。必須依照事件的嚴峻程度，定義響應(yīng)的范圍、時刻和完成事件處理的時刻。 第91條 系統(tǒng)的修復(fù)必須得到系統(tǒng)治理者的批準方可執(zhí)行。 第92條 所有事件報告必須記錄歸檔，并由部門主管或指定人員妥善保管。必須對事件的處理情況進行監(jiān)控，對超時的處理提出改進建議并跟進改進效果。 9.2 第三方服務(wù)交付治理 9.2.1 服務(wù)交付 第93條 第三方提供的服務(wù)必須滿足安全治理制度

34、的要求。第三方提供的服務(wù)必須滿足公司業(yè)務(wù)連續(xù)性的要求。 第94條 必須保留第三方提供的服務(wù)、報告和記錄并定期評審，至少每半年一次。評審內(nèi)容應(yīng)包括：1) 服務(wù)內(nèi)容和質(zhì)量是否滿足合同要求； 2) 服務(wù)報告是否真實。 9.2.2 第三方服務(wù)的變更治理 第95條 服務(wù)改變時，必須重新對服務(wù)是否滿足安全治理方法進行評估。在服務(wù)變更時需要考慮： 1) 服務(wù)價格的增長； 2) 新的服務(wù)需求； 3) 公司信息安全治理制度的變化； 4) 公司在信息安全方面新的操縱。 9.3 針對惡意軟件的愛護措施 9.3.1 對惡意軟件的操縱 第96條 必須建立一套病毒防治體系，以便防止病毒對公司帶來的阻礙。所有服務(wù)器、個人電

35、腦和筆記本電腦都應(yīng)該安裝公司規(guī)定的防病毒軟件，并及時更新防病毒軟件。所有存進計算機的信息（例如接收到的郵件、下載的文件等）都必須通過病毒掃描。職員和第三方廠商從外界帶來的存儲介質(zhì)在使用之前必須進行病毒掃描。 第97條 所有職員都應(yīng)該同意防病毒知識的培訓(xùn)和指導(dǎo)。 第98條 公司內(nèi)發(fā)覺的病毒、計算機或應(yīng)用程序的異常行為，都必須作為安全事件進行報告。 第99條 必須定期審核操縱惡意軟件措施的有效性。一旦發(fā)覺感染病毒，必須趕忙把機器從網(wǎng)絡(luò)中斷開。在病毒沒有被完全清除之前，嚴禁將其重新連接到網(wǎng)絡(luò)上。 9.4 備份 9.4.1 信息備份 第100條 所有服務(wù)器、個人電腦和筆記本電腦必須依照業(yè)務(wù)需求定期進行

36、備份。系統(tǒng)在重大變更之前和之后必須進行備份。 第101條 備份治理方法必須獲得治理層的審批以確保符合業(yè)務(wù)需求。備份治理方法必須至少每季度進行一次復(fù)查，以確保沒有發(fā)生未授權(quán)或意外的更改。 第102條 應(yīng)該保留多于1個備份周期的備份，但重要業(yè)務(wù)信息應(yīng)至少保留3個備份周期的備份。備份資料和相應(yīng)的恢復(fù)操作手冊必須定期傳送到異地進行保存。異地必須與主站點有一定的距離，以幸免受主站點的災(zāi)難波及。 第103條 必須對異地保存的備份信息實施安全愛護措施，其愛護標準應(yīng)和主站點相一致。必須定期測試備份介質(zhì)，確保其可用性。必須定期檢查和測試恢復(fù)步驟，確保它們的有效性。備份系統(tǒng)必須進行監(jiān)控，以確保其穩(wěn)定性和可用性。

37、9.5 網(wǎng)絡(luò)治理 9.5.1 網(wǎng)絡(luò)操縱 第104條 網(wǎng)絡(luò)治理和操作系統(tǒng)治理的職責(zé)應(yīng)該彼此分離，并由不同的職員承擔(dān)。必須明確定義網(wǎng)絡(luò)治理的職責(zé)和義務(wù)。只有得到許可的職員才能夠使用網(wǎng)絡(luò)治理系統(tǒng)。 第105條 必須建立相應(yīng)的操縱機制，愛護路由表和防火墻安全治理方法等網(wǎng)絡(luò)參數(shù)的完整性。愛護通過公網(wǎng)傳送敏感數(shù)據(jù)的機密性、完整性和可用性。 第106條 進行網(wǎng)絡(luò)協(xié)議兼容性的評估時應(yīng)考慮今后新增網(wǎng)絡(luò)設(shè)備的要求。任何預(yù)備接進網(wǎng)絡(luò)的新設(shè)備，在進網(wǎng)前都必須通過協(xié)議兼容性的評估和安全檢查。 第107條 必須對網(wǎng)絡(luò)進行監(jiān)控和治理。所有網(wǎng)絡(luò)故障都必須向上級報告。 第108條 必須建立互聯(lián)網(wǎng)的訪問治理方法。除非得到授權(quán)，否

38、則禁止訪問外部網(wǎng)絡(luò)的服務(wù)。 9.6 介質(zhì)的治理 9.6.1 可移動介質(zhì)的治理 第109條 可移動計算機存儲介質(zhì)（比如磁帶、光盤等）必須有適當(dāng)?shù)脑L問操縱。存儲介質(zhì)上必須設(shè)臵標簽，以標識其類型和用途。標簽應(yīng)使用代碼，以幸免直接標識存儲介質(zhì)上的內(nèi)容。標識用的代碼需要記錄并歸檔。 第110條 必須建立和維護介質(zhì)清單，并對介質(zhì)的借用和歸還進行記錄。應(yīng)確保備有足夠的存儲介質(zhì)，以備使用。 第111條 存放在存儲介質(zhì)內(nèi)的絕密和機密信息必須受到妥善愛護。 第112條 存儲介質(zhì)的存放環(huán)境必須滿足介質(zhì)要求的環(huán)境條件（比如溫度、濕度、空氣質(zhì)量等）。 第113條 備份介質(zhì)必須存儲在防火柜中。應(yīng)該對介質(zhì)的壽命進行治理，在

39、介質(zhì)壽命結(jié)束前一年，將信息拷貝到新的介質(zhì)中。 9.6.2 介質(zhì)的銷毀 第114條 應(yīng)建立存儲介質(zhì)的報廢規(guī)范，包括但不限于： 1)紙質(zhì)文檔 2)語音資料及其他錄音帶 3)復(fù)寫紙 4)磁帶 5)磁盤 6)光存儲介質(zhì) 第115條 所有可不能被再利用的敏感文檔都必須依照定義的信息密級采取適當(dāng)?shù)姆绞竭M行銷毀。 第116條 所有報廢及過期的存儲介質(zhì)必須妥善銷毀。 9.6.3 信息處理程序 第117條 介質(zhì)的信息分類，必須采納存放信息中的最高保密等級。 第118條 應(yīng)依照介質(zhì)中信息的分類級不，采取相應(yīng)措施來愛護介質(zhì)的輸出環(huán)境。 9.6.4 系統(tǒng)文檔的安全 第119條 存取含有敏感信息的文檔，必須獲得相應(yīng)文檔

40、治理者的批準。含有敏感信息的文檔應(yīng)保存在安全的地點，未經(jīng)許可不得訪問。含有敏感信息的文檔通過內(nèi)部網(wǎng)等提供訪問的，應(yīng)采納訪問操縱加以愛護。 9.7 信息交換 9.7.1 信息交換治理方法和程序 第120條 必須依照信息的類型和保密級不，定義信息在交換過程中應(yīng)遵循的安全要求。 第121條 所有職員和第三方人員都必須遵守公司的信息交換治理方法。 第122條 未經(jīng)許可，公司內(nèi)部不同意安裝、使用無線通信設(shè)備。 第123條 使用加密技術(shù)愛護信息的保密性、完整性和真實性。敏感信息帶出公司必須獲得直接領(lǐng)導(dǎo)或信息治理者的授權(quán)。 第124條 必須建立操縱機制來愛護利用音頻、傳真和視頻通信設(shè)備進行交換的信息。 第1

41、25條 電話錄音系統(tǒng)應(yīng)該配臵密碼，以防非法訪問。 第126條 在使用傳真機中已存儲的號碼時，傳真之前必須驗證號碼。 第127條 移動通訊設(shè)備（比如手機，PDA等）不應(yīng)存儲公司敏感信息。 9.7.2 交換協(xié)議 第128條 跟外界進行信息和軟件交換必須簽署協(xié)議，其內(nèi)容必須包括： 1)發(fā)送方和接收方的責(zé)任 2)明確發(fā)送和接收的方式 3)制定信息封裝和傳輸?shù)募夹g(shù)標準 4)數(shù)據(jù)丟失的相關(guān)責(zé)任 5)聲明信息的保密級不和愛護要求 6)聲明信息和軟件的所有權(quán)、版權(quán)和其他相關(guān)因素 9.7.3 物理介質(zhì)傳輸 第129條 必須建立傳輸存儲介質(zhì)的安全標準。應(yīng)使用可靠的傳輸工具或傳遞人，授權(quán)的傳遞人必須同意適當(dāng)監(jiān)管并進

42、行其身份的檢查。應(yīng)確保敏感信息的機密性、完整性和可用性在傳輸全程中受到愛護。 第130條 存放介質(zhì)的容器在運輸過程前必須密封。信息分類不應(yīng)該標識在容器的不處。包裝應(yīng)該特不結(jié)實，確保介質(zhì)在運輸過程中不受到損壞。 9.7.4 電子消息 第131條 電子化辦公系統(tǒng)必須建立相應(yīng)的治理方法和操縱機制，并闡明下列內(nèi)容： 1)確定不能被共享的信息的類型或密級 2)系統(tǒng)用戶的權(quán)限 3)系統(tǒng)的訪問操縱 4)與系統(tǒng)相關(guān)的備份治理方法 第132條 除非獲得安全治理委員會的授權(quán)，否則禁止使用公司以外的電子系統(tǒng)（比如BBS、MSN、QQ等）進行跟公司相關(guān)的活動。 第133條 電子郵件內(nèi)的信息必須依照其信息分類的安全要求

43、去處理和愛護。用于連接外網(wǎng)的郵件網(wǎng)關(guān)必須安裝防病毒軟件，檢查進出的電子郵件。必須對Internet屏蔽郵件系統(tǒng)的內(nèi)網(wǎng)IP地址。 第134條 職員使用公司的郵件系統(tǒng)時只能進行與業(yè)務(wù)相關(guān)的活動。所有在公司的郵件系統(tǒng)上產(chǎn)生及存儲的郵件差不多上公司資產(chǎn)。公司有權(quán)查看和監(jiān)控所有郵件。未經(jīng)授權(quán)，嚴禁使用公司以外的郵箱處理公司業(yè)務(wù)。所有對外發(fā)送的郵件都必須加上責(zé)任聲明。 9.7.5 業(yè)務(wù)信息系統(tǒng) 第135條 在業(yè)務(wù)系統(tǒng)進行信息共享時，必須保證信息的完整性、可用行和保密性。必須保證重要信息在交換過程中的保密性。 9.8 電子商務(wù)服務(wù) 9.8.1 電子商務(wù) 第136條 必須采取適當(dāng)措施，保證電子交易過程的機密性

44、、完整性和可用性。 第137條 電子商務(wù)的交易必須制定相關(guān)的交易聲明，以明確注意事項和相關(guān)責(zé)任。在電子商務(wù)的協(xié)議中，必須明確欺詐行為和未能交付的責(zé)任。 第138條 電子交易必須設(shè)臵并維護適當(dāng)?shù)脑L問操縱。身份驗證技術(shù)必須滿足業(yè)務(wù)的實際要求。 第139條 必須保留并維護所有電子商務(wù)交易過程中的記錄和日志。 第140條 應(yīng)該使用加密、電子證書、數(shù)字簽名等技術(shù)愛護電子商務(wù)安全。 9.8.2 在線交易 第141條 必須愛護在線交易信息，幸免不完整的傳輸、路由錯誤、未授權(quán)的消息更改、未授權(quán)的信息信息泄漏、復(fù)制和回復(fù)。 第142條 在線交易中必須使用數(shù)字證書愛護交易安全。交易中必須使用加密技術(shù)對所有通信內(nèi)容

45、加密。在線交易必須使用安全的通訊協(xié)議。 第143條 在線交易信息必須保存在公司內(nèi)部的存儲環(huán)境，存儲環(huán)境不能被從Internet直接訪問。 第144條 在線交易必須遵守國家、地區(qū)和行業(yè)相關(guān)的法律法規(guī)。 9.8.3 公共信息 第145條 必須確保公共信息系統(tǒng)中信息的完整性，并防止非授權(quán)的修改。 第146條 信息的公布必須遵守國家法律法規(guī)的要求。通過信息公布系統(tǒng)向內(nèi)部和公眾公布的信息都必須通過公司相關(guān)部門的檢查和審批。信息在公布之前必須通過核對，確認其正確性和完整性。必須對敏感信息的處理和存儲過程進行愛護。 9.9 監(jiān)控 9.9.1 日志 第147條 所有操作系統(tǒng)、應(yīng)用系統(tǒng)都必須具有并啟用日志記錄功

46、能。 第148條 日志記錄信息必須包括但不限于： 1)用戶ID； 2)每項操作的日期和時刻（至少要精確到秒）； 3)來源的標識或位臵； 4)成功的系統(tǒng)訪問嘗試； 5)失敗或被拒絕的系統(tǒng)訪問嘗試； 第149條 日志類型包括但不限于： 1)應(yīng)用日志； 2)系統(tǒng)日志； 3)安全日志； 4)操作日志； 5)問題記錄。 第150條 必須確保日志記錄功能在任何時候都能正常運行。應(yīng)該有機制監(jiān)控日志的容量變化，在容量耗盡之前發(fā)出報警信息。 第151條 除非特不聲明，所有日志都必須被分類為“機密”。日志應(yīng)該定期復(fù)查，至少每月一次。 9.9.2 監(jiān)控系統(tǒng)的使用 第152條 不同的信息處理設(shè)備所要求的監(jiān)控等級應(yīng)該通

47、過風(fēng)險評估來決定，必須考慮下列要素： 1)系統(tǒng)的訪問； 2)所有特權(quán)操作； 3)未授權(quán)的訪問嘗試； 4)系統(tǒng)警報或故障。 第153條 應(yīng)每天定時監(jiān)控網(wǎng)絡(luò)（包括網(wǎng)絡(luò)性能和網(wǎng)絡(luò)故障），并依照產(chǎn)生的報告，對異常變化的網(wǎng)絡(luò)流量，作進一步分析，以發(fā)覺潛在的網(wǎng)絡(luò)安全問題。 9.9.3 日志信息愛護 第154條 必須保證日志不能被修改或刪除，所有關(guān)于日志文件的訪問（如刪除、寫、讀或添加）嘗試都應(yīng)該有相應(yīng)記錄。 第155條 除非特不聲明，日志必須至少保存1年。只有授權(quán)的職員才能訪問并使用日志。必須采取操縱措施愛護日志的完整性。 9.9.4 治理員和操作員日志 第156條 系統(tǒng)治理員和操作員的操作必須被記錄日志

48、。 第157條 日志記錄應(yīng)包括重要的操作，例如與用戶治理相關(guān)的操作（用戶帳號的創(chuàng)建、刪除、權(quán)限設(shè)臵、修改）、與財務(wù)相關(guān)的操作等。 第158條 治理員和重要系統(tǒng)的操作員日志應(yīng)該至少每周復(fù)查一次。關(guān)于重要的財務(wù)系統(tǒng)和業(yè)務(wù)系統(tǒng)每天都要復(fù)查。 9.9.5 故障日志 第159條 必須啟動故障日志功能。 第160條 必須保證故障記錄的跟進處理，確保問題得到完全解決，同時其糾正措施可不能帶來新的安全問題。所有故障記錄都應(yīng)該向上級匯報并記錄歸檔。 第161條 故障記錄應(yīng)妥善保管，防止被損壞，必要時應(yīng)該進行備份。 9.9.6 時鐘同步 第162條 所有系統(tǒng)應(yīng)該使用時鐘同步服務(wù)，并使用同一時鐘源。 第163條 所

49、有系統(tǒng)中的時刻同意最多一分鐘的偏差。 第164條 關(guān)于不能進行時鐘同步的系統(tǒng)，必須對時刻進行每月一次的檢查。 10 訪問操縱方面 10.1 訪問操縱要求 10.1.1 訪問操縱治理方法 第165條 所有系統(tǒng)和應(yīng)用都必須有訪問操縱列表，由系統(tǒng)治理者明確定義訪問操縱規(guī)則、用戶和用戶組的權(quán)限以及訪問操縱機制。訪問操縱列表應(yīng)該進行周期性的檢查以保證授權(quán)正確。 第166條 訪問權(quán)限必須依照工作完成的最少需求而定，不能超過其工作實際所需的范圍。必須按照“除非明確同意，否則一律禁止”的原則來設(shè)臵訪問操縱規(guī)則。 第167條 所有訪問操縱必須建立相應(yīng)的審批程序，以確保訪問授權(quán)的合理性和有效性。必須禁用或關(guān)閉任何

50、具有越權(quán)訪問的功能。職員的職責(zé)發(fā)生變化或離職時，其訪問權(quán)限必須作相應(yīng)調(diào)整或撤銷。 第168條 系統(tǒng)自帶的默認帳號應(yīng)該禁用或配臵密碼進行愛護。 10.2 用戶訪問治理 10.2.1 用戶注冊 第169條 開放給用戶訪問的信息系統(tǒng)，必須建立正式的用戶注冊和注銷程序。 第170條 所有用戶的注冊都必須通過用戶注冊程序進行申請，并得到部門領(lǐng)導(dǎo)或其托付者的批準。系統(tǒng)治理者對用戶具有最終的授權(quán)決定權(quán)。必須保留和維護所有用戶的注冊信息的正式用戶記錄。 第171條 負責(zé)用戶注冊的治理員必須驗證用戶注冊和注銷請求的合法性。 第172條 每個用戶必須被分配唯一的帳號，不同意共享用戶帳號。用戶一旦發(fā)覺其帳號異常，必

51、須立即通知負責(zé)用戶注冊的治理員進行處理。假如用戶帳號連續(xù)120天沒有使用，必須禁用該帳號。 第173條 帳號名不能透露用戶的權(quán)限信息，比如治理員帳號不能帶有Admin字樣。 10.2.2 特權(quán)治理 第174條 必須建立正式的授權(quán)程序，以確保授權(quán)得到嚴格的評估和審批，并保證沒有與系統(tǒng)和應(yīng)用的安全相違背。 第175條 必須建立授權(quán)清單，記錄和維護已分配的特權(quán)和其相對的用戶信息。 10.2.3 用戶密碼治理 第176條 只有在用戶身份被確認后，才同意對不記得密碼的用戶提供臨時密碼。 第177條 系統(tǒng)中統(tǒng)一治理帳號密碼的模塊保存的密碼必須是加密的。 第178條 密碼必須保密，不得與他人分享、放在源代碼

52、內(nèi)或?qū)懺跊]有愛護的介質(zhì)上（如紙張）。 第179條 必須強制用戶在第一次登錄時修改密碼。 第180條 系統(tǒng)應(yīng)該設(shè)臵定期的密碼修改治理方法，并限制至少最近3個舊密碼的重用。 第181條 系統(tǒng)必須啟用登錄失敗的限制功能，假如連續(xù)10次登錄失敗，系統(tǒng)應(yīng)該自動鎖定相關(guān)帳號。 第182條 在通過電話傳送密碼往常必須確認對方的身份。 第183條 禁止帳號和密碼被一起傳送，例如用同一封郵件傳送帳號和密碼。 第184條 所有系統(tǒng)都應(yīng)該建立應(yīng)急帳號，應(yīng)急帳號資料必須放在密封的信封內(nèi)妥善收藏，并操縱好信封的存取。必須記錄所有應(yīng)急帳號的使用情況，包括相關(guān)的人、時刻和緣故等。應(yīng)急帳號的密碼在使用后必須趕忙修改，然后把新

53、的密碼裝到信封里。 10.2.4 用戶訪問權(quán)限的檢查 第185條 必須半年對注冊用戶的訪問權(quán)限和系統(tǒng)特權(quán)進行一次復(fù)查，關(guān)鍵系統(tǒng)必須每三個月復(fù)查一次。此過程應(yīng)該包括但不限于： 1)確認用戶權(quán)限的有效性和合理性 2)找出所有異常帳號（如長時刻未使用和已離職人員的帳號等），進行分析并采取相應(yīng)措施 第186條 必須對可疑的或不明確的訪問權(quán)限進行調(diào)查，并作為安全事故進行報告。 10.3 用戶的責(zé)任 10.3.1 密碼的使用 第187條 用戶必須對其帳號的安全和使用負責(zé)，不管在何種情況下，用戶都不應(yīng)該泄漏其密碼。用戶不應(yīng)該使用紙張或未受愛護的電子形式保存密碼。用戶一旦懷疑其帳號密碼可能受到損害，應(yīng)該及時修

54、改密碼。 第188條 用戶在第一次使用帳號時，必須修改密碼。用戶必須至少每半年修改一次密碼。特權(quán)帳號的密碼必須至少每3個月修改一次。用于系統(tǒng)之間認證帳號的密碼必須至少每半年修改一次。 第189條 除非有技術(shù)限制，密碼應(yīng)該至少包含8個字符。此8個字符必須包含數(shù)字和字母。 第190條 用戶不應(yīng)使用容易被推測的密碼，例如字典中的單詞、生日和電話號碼等。前3次用過的密碼不應(yīng)該被重復(fù)使用。 第191條 密碼不應(yīng)該被保存于自動登錄過程中，例如IE中的帳號自動保存。 10.3.2 清除桌面及屏幕治理方法 第192條 所有服務(wù)器和個人電腦都必須啟用帶有口令愛護的屏幕愛護程序，激活等待時刻應(yīng)少于10分鐘。 第1

55、93條 無人使用時，服務(wù)器、個人電腦和復(fù)印機等必須保持注銷狀態(tài)。 第194條 不能將機密和絕密信息資料遺留在桌面上，而應(yīng)該依照信息的保密等級進行處理。 第195條 必須為信件收發(fā)區(qū)域以及無人看管的傳真機設(shè)臵適當(dāng)?shù)膼圩o措施。 第196條 打印完敏感信息之后，必須確認信息已從打印隊列中清除。 10.4 網(wǎng)絡(luò)訪問操縱 10.4.1 網(wǎng)絡(luò)服務(wù)使用治理方法 第197條 必須建立授權(quán)程序來治理網(wǎng)絡(luò)服務(wù)的使用。 第198條 應(yīng)遵循業(yè)務(wù)要求中所講明的訪問操縱治理方法來限制訪問。 第199條 所有系統(tǒng)都必須設(shè)臵訪問操縱機制來防止未經(jīng)授權(quán)的訪問。 10.4.2 外部連接的用戶認證 第200條 對公司系統(tǒng)進行遠程訪

56、問，必須建立適當(dāng)?shù)恼J證機制，采納的機制應(yīng)通過風(fēng)險評估來決定。 第201條 通過撥號進行遠程訪問必須通過正式批準，并做好相關(guān)記錄。 第202條 用于遠程訪問的調(diào)制解調(diào)器平常必須保持關(guān)閉，只有在使用的時候才能打開。 第203條 在公司外部進行遠程辦公，必須使用VPN進行連接。 第204條 與外部合作伙伴進行信息交換，應(yīng)該使用專線進行連接。 10.4.3 遠程診斷和配置端口的愛護 第205條 在不使用的時候，診斷端口應(yīng)該被禁用或通過恰當(dāng)?shù)陌踩珯C制進行愛護。 第206條 假如第三方需要訪問診斷端口，必須簽訂正式的協(xié)議。 第207條 對遠程診斷端口的訪問，必須建立正式的注冊審批程序。訪問者必須只被授予最

57、小的訪問權(quán)限來完成診斷任務(wù)，同時必須得到認證。 第208條 所有遠程的診斷訪問必須事先申請并獲得批準。 第209條 在遠程診斷會話期間，必須記錄所有執(zhí)行的活動信息，包括時刻、執(zhí)行者、執(zhí)行動作和結(jié)果等。這些記錄應(yīng)該由系統(tǒng)治理員進行檢查以確保訪問者只執(zhí)行了被授權(quán)的活動。 10.4.4 網(wǎng)絡(luò)的劃分 第210條 必須將網(wǎng)絡(luò)劃分為不同的區(qū)域，以提供不同級不的安全愛護，滿足不同服務(wù)的安全需求。 第211條 關(guān)于重要的網(wǎng)絡(luò)區(qū)域必須設(shè)臵訪問操縱以隔離其他網(wǎng)絡(luò)區(qū)域。 第212條 應(yīng)該使用風(fēng)險評估來決定每個區(qū)域的安全級不。 第213條 公司外部和內(nèi)網(wǎng)之間應(yīng)該建立一個DMZ。 10.4.5 網(wǎng)絡(luò)連接的操縱 第214

58、條 公司以外的網(wǎng)絡(luò)連接，在建立連接前必須對外部的接入環(huán)境進行評估，滿足公司治理方法后才能接入。 第215條 所有網(wǎng)絡(luò)端口必須進行限制，以防止非授權(quán)的電腦接入公司網(wǎng)絡(luò)。限制要求至少應(yīng)包括： 1)所有的端口默認差不多上關(guān)閉的，只有在通過正式批準后才能開通； 2)端口的關(guān)閉必須在職員離職和崗位變動流程中體現(xiàn)； 3)臨時使用的端口或位臵變動，職員必須主動申請停用原有端口，開通新端口前必須先關(guān)閉原有端口。 第216條 必須將網(wǎng)絡(luò)接口和接入設(shè)備綁定，假如需要更換接入的設(shè)備，必須通過部門經(jīng)理的審批。 第217條 所有接入公司網(wǎng)絡(luò)的主機必須通過公司的標準化安裝。 第218條 公司必須設(shè)立一個單獨的網(wǎng)絡(luò)區(qū)域供非

59、公司標準化安裝的電腦接入，此區(qū)域在網(wǎng)絡(luò)上是完全封閉、獨立的。 10.4.6 網(wǎng)絡(luò)路由的操縱 第219條 路由訪問操縱列表必須基于適當(dāng)?shù)脑吹刂泛湍繕说刂窓z查機制。所有對外提供網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)地址必須進行地址轉(zhuǎn)換。 第220條 所有重要服務(wù)器的治理端口必須通過指定的路徑進行訪問。 10.5 操作系統(tǒng)訪問操縱 10.5.1 用戶識不和認證 第221條 所有用戶都應(yīng)該被識不和認證。在每個系統(tǒng)上創(chuàng)建實名用戶，系統(tǒng)登陸必須使用實名用戶。假如因?qū)ｉT緣故不能使用實名用戶登陸，必須通過安全治理委員會同意。 第222條 用戶認證失敗信息中，應(yīng)該不顯示具體的失敗緣故。例如不能顯示“帳號不存在”或“密碼不正確”。 第2

60、23條 假如由于業(yè)務(wù)要求需要使用共享用戶帳號，那么此共享帳號應(yīng)該得到正式的批準并明文歸檔。 第224條 系統(tǒng)治理員和應(yīng)用治理員必須使用不同的帳號。 第225條 所有使用帳號密碼進行認證的系統(tǒng)，在帳號密碼傳送過程中，應(yīng)該采納加密愛護措施防止泄漏。 10.5.2 密碼治理系統(tǒng) 第226條 系統(tǒng)應(yīng)該強制用戶在第一次成功登錄后修改初始密碼。修改密碼時，系統(tǒng)必須提示用戶確認新密碼，以防止輸入錯誤。不能明文顯示輸入的密碼。 第227條 密碼文件應(yīng)該與應(yīng)用系統(tǒng)數(shù)據(jù)分開存儲。密碼處理時必須使用單向加密。當(dāng)密碼接近失效期或者差不多過期時，系統(tǒng)應(yīng)該提示或強制用戶修改密碼。 第228條 所有默認的密碼都應(yīng)當(dāng)在軟件安