《中國東方航空股份有限公司信息安全管理規(guī)定》

10中國東方航空股份信息安全治理規(guī)定第一條〔以〕的信息安全治理，完善信息安全體系，保護(hù)公司的信息資產(chǎn)，依據(jù)中華人民共和國有關(guān)信息安全法律以及國際標(biāo)準(zhǔn)，結(jié)合行業(yè)、公司信息安全建設(shè)實(shí)際狀況，特制定本規(guī)定。本規(guī)定適用于公司全部信息資產(chǎn)及涉及信息資產(chǎn)的相關(guān)部門。本規(guī)定中所稱的信息資產(chǎn)包括但不僅限于：數(shù)據(jù)庫和數(shù)據(jù)文件、系統(tǒng)文檔、用戶手冊、培訓(xùn)資料、運(yùn)行程序、存檔信息、應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和有用程序、計算機(jī)、通訊設(shè)備、磁介質(zhì)〔磁盤與磁帶、其它技術(shù)根底設(shè)備〔供電設(shè)備、空調(diào)設(shè)備、防雷設(shè)備、消防設(shè)備、門禁設(shè)備、人員、計算效勞、通訊效勞、網(wǎng)絡(luò)效勞等。其次章根本原則第三條全負(fù)有相應(yīng)的責(zé)任和義務(wù)，具體包括：〔一〕全部接觸和使用公司信息資產(chǎn)的人員和機(jī)構(gòu)都有責(zé)任保障信息資產(chǎn)的安全?！捕承畔⑾到y(tǒng)的安全由使用信息系統(tǒng)的業(yè)務(wù)部門、治理治理部門作為資產(chǎn)的全部者擁有信息資產(chǎn)的治理責(zé)任和授權(quán)權(quán)利，而維護(hù)系統(tǒng)的技術(shù)單位、部門通常作為信息資產(chǎn)的維護(hù)者，在各治理部門、業(yè)務(wù)部門的授權(quán)下，擔(dān)當(dāng)各應(yīng)用系統(tǒng)的治理、維護(hù)責(zé)任。〔三〕各單位、各部門需對全部員工定期進(jìn)展信息安全方面的培訓(xùn)，并作為長期進(jìn)展的制度化工作之一。第四條相互制衡的機(jī)制，使一個崗位的員工無法破壞關(guān)鍵的過程，如業(yè)務(wù)操作權(quán)限和系統(tǒng)治理權(quán)限的分開；超級賬號的操作與系統(tǒng)審計權(quán)限的分開；業(yè)務(wù)申請操作和業(yè)務(wù)審核操作權(quán)限的分開等；公司各單位各部門應(yīng)在設(shè)定崗位、制定崗位職責(zé)說明書或是具體安排人員時基于此原則，將信息安全職責(zé)落實(shí)到具體的崗位中去。和通信設(shè)備及相關(guān)區(qū)域的崗位，應(yīng)安排兩個擁有類似學(xué)問背景和專業(yè)技能的人員共同工作，以降低單個關(guān)鍵人員操作失誤或個人蓄意破壞而導(dǎo)致的風(fēng)險。第三章機(jī)構(gòu)和職責(zé)公司信息安全委員會是公司信息安全工作的領(lǐng)導(dǎo)機(jī)構(gòu)，負(fù)責(zé)貫徹國家有關(guān)法律法規(guī)，落實(shí)上級信息安全機(jī)構(gòu)的工作要求，爭論和打算公司信息安全工作相關(guān)事項(xiàng)。信息安全委員會由各關(guān)鍵業(yè)務(wù)、生產(chǎn)單位及信息部主管領(lǐng)導(dǎo)組成。第七條公司信息安全委員會下設(shè)的信息安全治理辦公室是公司信息安全工作的職能機(jī)構(gòu)，負(fù)責(zé)組織開展與信息安全有關(guān)的監(jiān)視治理、教育培訓(xùn)、信息安全抽查、信息安全事件查處等工作。信息安全治理辦公室是信息安全治理委員會的常設(shè)機(jī)構(gòu)，掛靠在信息部，由信息安全專職人員及各關(guān)鍵業(yè)務(wù)、生產(chǎn)單位的信息安全聯(lián)系人員組成。第八條息安全責(zé)任。第四章信息設(shè)備安全治理第九條嚴(yán)禁在未經(jīng)公司信息部的許可或授權(quán)的狀況下私自轉(zhuǎn)變辦公桌面信息設(shè)備，包括但不僅限于：備〔DVD。第十條系公司IT進(jìn)展修理。第十一條相關(guān)設(shè)備〔開發(fā)、辦公、運(yùn)行的計算機(jī)設(shè)備〕在外借或報廢〔棄用〕時，需由專人對機(jī)內(nèi)系統(tǒng)和數(shù)據(jù)作相應(yīng)處理，防止泄密。第十二條全部的硬件資產(chǎn)必需明確設(shè)備的使用人員、治理人員。第十三條硬件資產(chǎn)的使用人或治理人，在使用或治理硬件資產(chǎn)時，要留意硬件資產(chǎn)的安全性、機(jī)密性、完整性，防止信息載體的毀壞和信息的泄密，防止信息處理設(shè)施的濫用。第十四條須對設(shè)備定期進(jìn)展維護(hù)保養(yǎng)，發(fā)生毀壞，丟失等問題時能夠準(zhǔn)時處置。第十五條對于無人職守的設(shè)備，要明確治理人員，加強(qiáng)物理安全掌握。第十六條當(dāng)設(shè)備遷移時，假設(shè)設(shè)備中存儲有重要信息時，需事先進(jìn)展備份。第十七條設(shè)備遷移完成后，需要檢查設(shè)備是否損壞。第十八條設(shè)備遷移出公司時，檢查人員在檢查時要格外留意，制止設(shè)備中存放重要信息，以防止公司機(jī)密信息泄露或增加泄露的風(fēng)險。第十九條存儲設(shè)備報廢前需進(jìn)展重要數(shù)據(jù)的備份，在備份后需對其中存儲的涉密信息進(jìn)展脫密處理。其次十條對于中心機(jī)房內(nèi)的關(guān)鍵信息系統(tǒng)設(shè)備如：各類效勞器、存儲設(shè)備、核心交換、重要鏈路等需運(yùn)維操作單位、部門制定有針對性的安全維護(hù)手冊并嚴(yán)格執(zhí)行。第五章桌面信息系統(tǒng)安全治理其次十一條 桌面辦公系統(tǒng)應(yīng)使用軟件廠商支持的正的操作系統(tǒng)，并應(yīng)準(zhǔn)時將補(bǔ)丁更至最。其次十二條 桌面辦公系統(tǒng)應(yīng)避開使用Server類操作系統(tǒng)，因工作要求有特別需求的，應(yīng)報公司信息部批準(zhǔn)并備案。其次十三條 未經(jīng)公司信息部批準(zhǔn)，制止使用自帶的安裝介質(zhì)或軟件包在辦公桌面計算機(jī)上安裝操作系統(tǒng)。其次十四條在進(jìn)展區(qū)間劃分時應(yīng)保證至少兩個分區(qū)，即系統(tǒng)分區(qū)和工作分區(qū)。其次十五條如無特別需求，嚴(yán)禁在辦公桌面計算機(jī)上設(shè)置共享文件夾。必需使用時，應(yīng)設(shè)置口令保護(hù)、只讀權(quán)限等安全措施，同時設(shè)置的口令應(yīng)符合第八章的要求，使用完后應(yīng)準(zhǔn)時取消共享。其次十六條必需安裝企業(yè)級防病毒客戶端軟件，該軟件的安裝應(yīng)使用公司信息部供給的安裝介質(zhì)或軟件包，在具體使用過程中必需保證安全軟件的正常運(yùn)轉(zhuǎn)，不得自行卸載這些安全軟件。其次十七條桌面計算機(jī)上只能安裝辦公系統(tǒng)必需使用的根底應(yīng)用軟件、工具軟件以及各單位各部門的生產(chǎn)應(yīng)用軟件等，如辦公軟件、郵件客戶端、壓縮解壓縮軟件、漢字輸入法、AOC系統(tǒng)、離港系統(tǒng)、財務(wù)系統(tǒng)等。其次十八條嚴(yán)禁安裝盜版軟件、與工作無關(guān)的軟件、可能會破壞公司信息安全的各種黑客軟件等。其次十九條用戶對自己所使用的桌面計算機(jī)的安全擔(dān)當(dāng)最終責(zé)任，除非有特別狀況，否則嚴(yán)禁授權(quán)他人使用自己的桌面計算機(jī)。第三十條運(yùn)維操作單位須定期將公司桌面系統(tǒng)的運(yùn)行維護(hù)及信息安全狀況向信息部反響。運(yùn)維操作單位需建立明確的桌面系統(tǒng)定期安全審查制度，并向公司信息部提交審查狀況報告〔審查內(nèi)容包括桌面系統(tǒng)中是否安裝盜版軟件、與工作無關(guān)的軟件、各種黑客軟件等；是否安裝防病毒軟件并準(zhǔn)時更病毒代碼；是否設(shè)置屏保密碼、開機(jī)密碼等；是否安裝最操作系統(tǒng)安全補(bǔ)丁。公司信息部對桌面系統(tǒng)安全審查報告進(jìn)展審核，并存檔。第六章機(jī)房安全治理第三十一條 機(jī)房根底設(shè)施要求。(一)機(jī)房應(yīng)配備足夠容量的UPS及足夠容量的輸送電纜，確保供電安全。(二)機(jī)房應(yīng)配備空調(diào)及濕度調(diào)整器，確保機(jī)房內(nèi)設(shè)備正常運(yùn)轉(zhuǎn)必需的溫度及濕度。照消防部門的要求進(jìn)展檢測。(四)機(jī)房內(nèi)機(jī)柜應(yīng)擺放整齊，機(jī)柜內(nèi)放置的設(shè)備及其使用人、用途等信息應(yīng)作醒目標(biāo)識。(五)應(yīng)對穿過機(jī)房墻壁和樓板的水管增加必要的保護(hù)措施。應(yīng)實(shí)行措施防止雨水通過機(jī)房窗戶、屋頂和墻壁滲透。(六)中心機(jī)房需安裝監(jiān)控設(shè)備，并有專人監(jiān)控。(七)中心機(jī)房需安裝防雷擊設(shè)備，并定期通過專業(yè)部門的檢測。(八)機(jī)房實(shí)際承重需符合國家設(shè)定的機(jī)房承重標(biāo)準(zhǔn)。第三十二條 機(jī)房內(nèi)應(yīng)保持清潔安靜嚴(yán)禁吸煙喝水、吃東西、亂扔雜物、大聲喧嘩。第三十三條 機(jī)房內(nèi)嚴(yán)禁堆放與機(jī)房設(shè)備無關(guān)的雜物，避開造成安全隱患。第三十四條 機(jī)房制止放置易燃、易爆、腐蝕、強(qiáng)磁性物品。第三十五條 制止將機(jī)房內(nèi)的電源引出挪做他用，確保機(jī)房安全。第三十六條 未經(jīng)許可，機(jī)房內(nèi)嚴(yán)禁攝影、攝像。第三十七條 機(jī)房內(nèi)機(jī)柜、設(shè)備未經(jīng)許可，不得任意改動；假設(shè)已獲得許可，需具體記錄改動后的狀況。第三十八條 進(jìn)入機(jī)房工作的人員有責(zé)任在工作完成后準(zhǔn)時清理工作場地、去除垃圾、做好設(shè)備標(biāo)簽、關(guān)閉機(jī)柜柜門。第三十九條 機(jī)房巡檢要求。標(biāo)，并報信息部備案。并填寫中心機(jī)房巡檢記錄。寫二級節(jié)點(diǎn)機(jī)房巡檢記錄。第四十條機(jī)房出入要求。記備案。后，方能進(jìn)入機(jī)房。用門卡通過門禁系統(tǒng)。門禁系統(tǒng)刷卡記錄應(yīng)至少保存半年。程伴隨，并記錄全部人員姓名，工作內(nèi)容準(zhǔn)時間。或通知安全保衛(wèi)人員對此狀況進(jìn)展關(guān)注。關(guān)規(guī)定佩帶身份證明識別標(biāo)志〔徽章、名卡〕等，不得偽造或使用他人的身份證明標(biāo)志。部進(jìn)展審核。第七章辦公環(huán)境信息安全治理第四十一條 辦公室鑰匙應(yīng)由專人治理。第四十二條 電腦操作系統(tǒng)的桌面上不行存有涉密信息。第四十三條 辦公桌面在無人在位的狀況下不應(yīng)放置涉U第四十四條 員工臨時離開辦公使用的計算機(jī)時，應(yīng)使用計算機(jī)內(nèi)的鎖定保護(hù)功能。第四十五條 辦公環(huán)境應(yīng)劃定特地的來訪接待區(qū)域，不應(yīng)在內(nèi)部辦公區(qū)接待來訪人員。第四十六條 進(jìn)出敏感的辦公區(qū)域如系統(tǒng)開發(fā)、系統(tǒng)治理等應(yīng)遵照規(guī)定佩戴身份標(biāo)識。第四十七條 在辦公區(qū)域內(nèi)覺察生疏可疑的人應(yīng)主動上前詢問，或通知安全保衛(wèi)人員對此狀況進(jìn)展關(guān)注。第四十八條 辦公區(qū)域需保持干凈、干凈。辦公區(qū)域制止堆放與工作無關(guān)的雜物。第四十九條 制止攜帶任何危急品、可燃品或其他可能影響人員和設(shè)備安全的物品進(jìn)入辦公區(qū)域，如有特別需要必須得到治理人員的同意才可進(jìn)入。第五十條應(yīng)準(zhǔn)時取走打印或復(fù)印的含有敏感信息的文件。第五十一條 各部門需依據(jù)自己的業(yè)務(wù)特點(diǎn)制定更有針對性的辦公區(qū)域信息安全規(guī)定。第八章信息系統(tǒng)密碼信息安全第五十二條密碼的設(shè)定。(一)涉及財務(wù)、支付等和資金相關(guān)的系統(tǒng)，涉及公司商業(yè)隱秘的系統(tǒng)，重要賬號如系統(tǒng)治理員、應(yīng)用治理員，密碼強(qiáng)度須保證至少8位或以上，至少由數(shù)字及字母大小寫混合組成。一般系統(tǒng)用戶密碼強(qiáng)度須保證至少6位或以上，至少由數(shù)字及字母大小寫混合組成。PC非法獵取后產(chǎn)生連鎖后果。第五十三條密碼使用。(一)在輸入密碼時，應(yīng)保持必要的警覺性，防止被人通過非法手段獵取密碼。錄系統(tǒng)的腳本和程序。司要求的殺毒軟件且已更，以確保無后門、木馬、按鍵記錄軟件等非法插件。第五十四條 密碼更。90密碼。如：系統(tǒng)提示的上次登陸時間未曾登陸過，未曾做過的操作在系統(tǒng)中消滅。第五十五條密碼保護(hù)。中。四周。第五十六條 業(yè)務(wù)系統(tǒng)及效勞器端密碼口令要求。，做到操作與審計分別，業(yè)務(wù)申請和業(yè)務(wù)審核分別。需改為不行讀文件，并掌握該文件只能是對應(yīng)程序訪問。程序所使用的賬號及密碼不能用于日常運(yùn)維治理，不能供用戶使用。程序所使用的賬號及口令制止集中。(三)內(nèi)置于業(yè)務(wù)系統(tǒng)源代碼中的數(shù)據(jù)庫調(diào)用中的用戶名，明文密碼，應(yīng)當(dāng)進(jìn)展應(yīng)用系統(tǒng)改造或使用不行讀的配置文件來實(shí)現(xiàn)。參考第五十六條〔二〕。機(jī)器難以識別的人工校驗(yàn)的輸入。(五) 系統(tǒng)的測試賬號在系統(tǒng)試運(yùn)行完畢時應(yīng)進(jìn)展禁用及歸檔操作。(六) 業(yè)務(wù)系統(tǒng)所配置的密碼都可以進(jìn)展更改操作。第九章信息系統(tǒng)訪問掌握第五十七條網(wǎng)絡(luò)接入。〔筆記本電腦〕或臺式計算機(jī)在公司內(nèi)部辦公時，應(yīng)嚴(yán)格遵守公司對于桌面系統(tǒng)的統(tǒng)一配置和管理，制止私自變更辦公桌面的IP地址，以免擅自配置的IPIPIP面設(shè)備接入公司的企業(yè)內(nèi)部網(wǎng)。(三)如需通過公司VPN接入設(shè)備接入公司局域網(wǎng)，須向公司信息部提出申請，提交《東上航VPN用戶申請表》，注明需要訪問的應(yīng)用系統(tǒng)等信息，經(jīng)審核前方能使用 VPN賬號。司信息部提出申請，由公司信息部規(guī)劃設(shè)計前方能實(shí)施，嚴(yán)禁自行進(jìn)展網(wǎng)絡(luò)布線工程的建設(shè)以及私自接入公司局域網(wǎng)絡(luò)。第五十八條網(wǎng)絡(luò)使用。部提出申請，提交《東航互聯(lián)網(wǎng)訪問權(quán)限申請表》，經(jīng)審核開通前方能使用上網(wǎng)賬號。制作、發(fā)表、傳播各類虛假和有害信息、破壞國家和社會穩(wěn)定、危害市場經(jīng)濟(jì)秩序和社會治理秩序；竊取、泄露國家隱秘、情報或者軍事隱秘、危害國家安全；建立淫穢網(wǎng)站、網(wǎng)頁，供給淫穢站點(diǎn)鏈接效勞，或者傳播淫穢書刊、影片、音像、圖片；有意制作、傳播計算機(jī)病毒等破壞性程序，攻擊或侵入計算機(jī)系統(tǒng)及通信網(wǎng)絡(luò)，致使計算機(jī)系統(tǒng)及通信網(wǎng)絡(luò)遭受損害；損害他人商業(yè)信譽(yù)和商品聲譽(yù)；非法截獲、篡改、刪除他人電子郵件或者其他數(shù)據(jù)資料，侵害公民通信自由和通信隱秘；在工作時間內(nèi)利用公司網(wǎng)絡(luò)從事與工作無關(guān)的活動，占用網(wǎng)絡(luò)資源，影響網(wǎng)絡(luò)安全；登錄各類非法站點(diǎn)〔如各類色情論壇和網(wǎng)站、黑客〔如各類玩耍、音樂、電影網(wǎng)站和論壇等〕以及其他與工作無關(guān)的信息站點(diǎn)〔股票、在線購置等〕；在工作時間內(nèi)利用公司網(wǎng)絡(luò)傳輸和下載與工作無關(guān)的文件。第十章應(yīng)用系統(tǒng)安全治理第五十九條操作系統(tǒng)、數(shù)據(jù)庫用戶及授權(quán)治理。應(yīng)用系統(tǒng)的操作系統(tǒng)、數(shù)據(jù)庫用戶及授權(quán)治理權(quán)限歸屬于信息部，由系統(tǒng)運(yùn)維操作單位負(fù)責(zé)具體執(zhí)行，對操作系統(tǒng)、數(shù)據(jù)庫用戶及授權(quán)治理包括并不限于以下幾方面：〔可以是工程組或運(yùn)維治理方作方指定的系統(tǒng)治理員在系統(tǒng)中執(zhí)行授權(quán)。統(tǒng)權(quán)限時需要注明其工作職責(zé)及所需權(quán)限，由用戶部門主管簽字認(rèn)可，系統(tǒng)負(fù)責(zé)人將該信息備案留檔后，授權(quán)運(yùn)維操作方執(zhí)行操作。響到系統(tǒng)中權(quán)限的取消或更換，亦需要由用戶所在部門提交申請，并由其主管領(lǐng)導(dǎo)或人事部門領(lǐng)導(dǎo)簽字認(rèn)可，系統(tǒng)負(fù)責(zé)人將該信息備案留檔后，授權(quán)運(yùn)維操作方執(zhí)行操作?！怖缑苛鶄€月〕打印用戶授權(quán)清單并分發(fā)給各系統(tǒng)使用部門的主管領(lǐng)導(dǎo)對用戶及其權(quán)限進(jìn)展復(fù)核，書面簽字確認(rèn)后反響給系統(tǒng)治理員及其主管。復(fù)核文檔應(yīng)由信息部存檔。第六十條應(yīng)用系統(tǒng)用戶及授權(quán)治理。應(yīng)用系統(tǒng)的用戶及授權(quán)治理權(quán)限歸屬于此應(yīng)用系統(tǒng)相關(guān)業(yè)務(wù)部門，對應(yīng)用系統(tǒng)的用戶及授權(quán)治理包括并不限于以下幾方面：〔可以是業(yè)務(wù)部門的治理層〕由其負(fù)責(zé)打算用戶的授權(quán)，并由指定的應(yīng)用系統(tǒng)治理員在系統(tǒng)中執(zhí)行授權(quán)。應(yīng)用系統(tǒng)治理員所做的全部操作系統(tǒng)都需進(jìn)展審計記錄，應(yīng)用系統(tǒng)治理員沒有更改審計記錄的權(quán)限。統(tǒng)權(quán)限時需要注明其工作職責(zé)及所需權(quán)限，由用戶部門主管簽字認(rèn)可。響到系統(tǒng)中權(quán)限的取消或更換，亦需要由用戶所在業(yè)務(wù)部門填寫書面申請表格，并由其主管領(lǐng)導(dǎo)或人事部門領(lǐng)導(dǎo)簽字認(rèn)可?！怖缑苛鶄€月〕打印用戶授權(quán)清單并分發(fā)給各系統(tǒng)使用部門的主管領(lǐng)導(dǎo)對用戶及其權(quán)限進(jìn)展復(fù)核，書面簽字確認(rèn)后反響給系統(tǒng)治理員及其主管。復(fù)核文檔應(yīng)由責(zé)任部門存檔。第六十一條應(yīng)用系統(tǒng)變更治理必需含有變更失敗的緊急回退操作方式。IT估流程后再進(jìn)展實(shí)施或方案修正。的東航通知公告8《T變更治理規(guī)定〔1第六十二條防毒軟件安裝治理。上海地區(qū)統(tǒng)一治理的防病毒軟件包由信息部在指定系統(tǒng)上進(jìn)展公布。各分子公司也須部署統(tǒng)一治理的防病毒信息系統(tǒng)。桌面計算機(jī)系統(tǒng)上應(yīng)安裝和使用全公司統(tǒng)一部署的企業(yè)防病毒客戶端軟件。制止關(guān)閉、修改、刪除、掩蓋公司指定的防病毒軟件。第六十三條 各分子公司應(yīng)對部署的防病毒軟件效勞器進(jìn)展治理。如：人員定期查看病毒日志，查看病毒定義庫更的狀態(tài)等。第六十四條 惡意軟件防范意識。不應(yīng)翻開未知可疑的郵件及其附件；在處理郵件附件時應(yīng)先將附件保存至硬盤上，防止其利用郵件客戶端漏洞隱蔽可執(zhí)行屬性；存儲介質(zhì)在使用前應(yīng)先查毒；應(yīng)常常關(guān)注通過各種途徑發(fā)出的病毒警告，并依據(jù)警告內(nèi)的建議實(shí)行必要的措施；當(dāng)覺察特別狀況時，應(yīng)馬上斷開網(wǎng)絡(luò)，并啟動防病毒軟件進(jìn)展查毒，在防病毒軟件沒有覺察病毒的狀況下，可向運(yùn)維人員報告并要求技術(shù)支持。第十二章公司信息溝通工具安全治理第六十五條公司信息溝通工具包括但不限于公司的電子郵件，公司的即時通訊軟件，公司的電子信息論壇等。禁止利用公司的信息溝通工具制作、復(fù)制、公布、傳播反對憲法所確定的根本原則的；危害國家安全，泄露國家隱秘，顛覆國家政權(quán)，破壞國家統(tǒng)一的；損害國家、公司聲譽(yù)和利益的；煽動民族仇恨、民族卑視，破壞民族團(tuán)結(jié)的；破壞國家宗教政策，宣揚(yáng)邪教和封建迷信的；散布謠言，擾亂社會秩序，破壞社會穩(wěn)定以及公司正常業(yè)務(wù)的；散布淫穢、色情、賭博、暴力、兇殺、恐懼或者教唆犯罪的；污辱或者誹謗他人，侵害他人合法權(quán)益的；含有法律、行政法規(guī)制止的其他內(nèi)容的；未經(jīng)審核批準(zhǔn)的公司涉密信息等內(nèi)容的信息。第十三章信息系統(tǒng)外包商信息安全治理第六十六條 信息系統(tǒng)外包商必需遵守東航公布的各項(xiàng)信息安全標(biāo)準(zhǔn)和治理規(guī)定，并嚴(yán)格執(zhí)行相關(guān)的信息安全措施，否則將賜予懲罰或解除合同。第六十七條 在與信息系統(tǒng)外包商簽訂的合同或合約中應(yīng)當(dāng)包含全部必要的信息安全要求，確保符合東