中國東方航空股份有限公司信息安全管理規(guī)定

《中國東方航空股份信息安全治理規(guī)定》10中國東方航空股份信息安全治理規(guī)定第一章總則第一條為了進(jìn)一步加強中國東方航空股份〔以下〕完善信息安全體系，保護公司的信息資產(chǎn)，依據(jù)中華人民共和國有關(guān)信息安全法律以及國際標(biāo)準(zhǔn)，結(jié)合行業(yè)、公司信息安全建設(shè)實際狀況，特制定本規(guī)定。其次條本規(guī)定適用于公司全部信息資產(chǎn)及涉及信息資產(chǎn)的相關(guān)部門。本規(guī)定中所稱的信息資產(chǎn)包括但不僅限于：數(shù)據(jù)庫和數(shù)據(jù)文件、系統(tǒng)文檔、用戶手冊、培訓(xùn)資料、運行程序、存檔信息、應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和有用程序、計算機、通訊設(shè)備、磁介質(zhì)〔磁盤與磁帶、其它技術(shù)根底設(shè)備〔供電設(shè)備、空調(diào)設(shè)備、、人員、計算效勞、通訊效勞、網(wǎng)絡(luò)效勞等。其次章根本原則第三條全員參與原則。公司每位員工都應(yīng)對維護信息安全負(fù)有相應(yīng)的責(zé)任和義務(wù)，具體包括：〔一〕全部接觸和使用公司信息資產(chǎn)的人員和機構(gòu)都有責(zé)任保障信息資產(chǎn)的安全。〔二〕信息系統(tǒng)的安全由使用信息系統(tǒng)的業(yè)務(wù)部門、治理治理部門作為資產(chǎn)的全部者擁有信息資產(chǎn)的治理責(zé)任和授權(quán)權(quán)利，而維護系統(tǒng)的技術(shù)單位、部門通常作為信息資產(chǎn)的維護者，在各治理部門、業(yè)務(wù)部門的授權(quán)下，擔(dān)當(dāng)各應(yīng)用系統(tǒng)的治理、維護責(zé)任?！踩掣鲉挝弧⒏鞑块T需對全部員工定期進(jìn)展信息安全方面的培訓(xùn)，并作為長期進(jìn)展的制度化工作之一。第四條職權(quán)分別原則。對角色和責(zé)任進(jìn)展分類時要考慮相互制衡的機制，使一個崗位的員工無法破壞關(guān)鍵的過程，如業(yè)務(wù)操作權(quán)限和系統(tǒng)治理權(quán)限的分開；超級賬號的操作與系統(tǒng)審計權(quán)限的分開；業(yè)務(wù)申請操作和業(yè)務(wù)審核操作權(quán)限的分開等；公司各單位各部門應(yīng)在設(shè)定崗位、制定崗位職責(zé)說明書或是具體安排人員時基于此原則，將信息安全職責(zé)落實到具體的崗位中去。對于重要計算機系統(tǒng)、網(wǎng)絡(luò)和通信設(shè)備及相關(guān)區(qū)域的崗位，應(yīng)安排兩個擁有類似學(xué)問背景和專業(yè)技能的人員共同工作，以降低單個關(guān)鍵人員操作失誤或個人蓄意破壞而導(dǎo)致的風(fēng)險。第三章機構(gòu)和職責(zé)第六條公司信息安全委員會是公司信息安全工作的領(lǐng)導(dǎo)機構(gòu)，負(fù)責(zé)貫徹國家有關(guān)法律法規(guī)，落實上級信息安全機構(gòu)的工作要求，爭論和打算公司信息安全工作相關(guān)事項。信息安全委員會由各關(guān)鍵業(yè)務(wù)、生產(chǎn)單位及信息部主管領(lǐng)導(dǎo)組成。第七條公司信息安全委員會下設(shè)的信息安全治理辦公室是公司信息安全工作的職能機構(gòu)，負(fù)責(zé)組織開展與信息安全有關(guān)的監(jiān)視治理、教育培訓(xùn)、信息安全抽查、信息安全大事查處等工作。信息安全治理辦公室是信息安全治理委員會的常設(shè)機構(gòu)，掛靠在信息部，由信息安全專職人員及各關(guān)鍵業(yè)務(wù)、生產(chǎn)單位的信息安全聯(lián)系人員組成。第八條公司信息安全工作依據(jù)“誰主管誰負(fù)責(zé)、誰運維誰負(fù)責(zé)、誰使用誰負(fù)責(zé)和屬地化治理任。第四章信息設(shè)備安全治理第九條嚴(yán)禁在未經(jīng)公司信息部的許可或授權(quán)的狀況下私自轉(zhuǎn)變辦公桌面信息設(shè)備，包括但不僅限于：設(shè)備〔DVD。第十條在桌面計算機及相關(guān)設(shè)備消滅問題時，應(yīng)準(zhǔn)時聯(lián)系公司的計算機和相關(guān)設(shè)備進(jìn)展修理。第十一條 辦公、運行的計算機設(shè)備〕在外借或報廢〔棄用〕時，需由專人對機內(nèi)系統(tǒng)和數(shù)據(jù)作相應(yīng)處理，防止泄密。第十二條 全部的硬件資產(chǎn)必需明確設(shè)備的使用人員、治理人員。第十三條硬件資產(chǎn)的使用人或治理人，在使用或治理硬件資產(chǎn)時，要留意硬件資產(chǎn)的安全性、機密性、完整性，防止信息載體的毀壞和信息的泄密，防止信息處理設(shè)施的濫用。第十四條 須對設(shè)備定期進(jìn)行維護保養(yǎng)，發(fā)生毀壞，喪失等問題時能夠準(zhǔn)時處置。第十五條對于無人職守的設(shè)備，要明確治理人員，加強物理安全把握。第十六條 設(shè)備中存儲有重要信息時，需事先進(jìn)展備份。第十七條 需要檢查設(shè)備是否損壞。第十八條設(shè)備遷移出公司時，檢查人員在檢查時要格外留意，制止設(shè)備中存放重要信息，以防止公司機密信息泄露或增加泄露的風(fēng)險。第十九條存儲設(shè)備報廢前需進(jìn)展重要數(shù)據(jù)的備份，在備份后需對其中存儲的涉密信息進(jìn)展脫密處理。其次十條對于中心機房內(nèi)的關(guān)鍵信息系統(tǒng)設(shè)備如：各類服務(wù)器、存儲設(shè)備、核心交換、重要鏈路等需運維操作單位、部門制定有針對性的安全維護手冊并嚴(yán)格執(zhí)行。第五章桌面信息系統(tǒng)安全治理其次十一條 應(yīng)使用軟件廠商支持的正版、主流操作系統(tǒng)或計算機廠商OEM的操作系統(tǒng)，并應(yīng)準(zhǔn)時將補丁更至最。其次十二條 桌面辦公系統(tǒng)避開使用Server類操作系統(tǒng)，因工作要求有特別需求的，應(yīng)報公司信息部批準(zhǔn)并備案。其次十三條未經(jīng)公司信息部批準(zhǔn)，制止使用自帶的安裝介質(zhì)或軟件包在辦公桌面計算機上安裝操作系統(tǒng)。其次十四條在進(jìn)展區(qū)間劃分時應(yīng)保證至少兩個分區(qū)，即系統(tǒng)分區(qū)和工作分區(qū)。其次十五條如無特別需求，嚴(yán)禁在辦公桌面計算機上設(shè)置共享文件夾。必需使用時，應(yīng)設(shè)置口令保護、只讀權(quán)限等安全措施，同時設(shè)置的口令應(yīng)符合第八章的要求，使用完后應(yīng)準(zhǔn)時取消共享。其次十六條 必需安裝企業(yè)級防病毒客戶端軟件，該軟件的安裝應(yīng)使用公司信息部供給的安裝介質(zhì)或軟件包，在具體使用過程中必需保證安全軟件的正常運轉(zhuǎn)，不得自行卸載這些安全軟件。其次十七條 桌面計算機上只能安裝辦公系統(tǒng)必需使用的根底應(yīng)用軟件、工具軟件以及各單位各部門的生產(chǎn)應(yīng)用軟件等，如辦公軟件、郵件客戶端、壓縮解壓縮軟件、漢字輸入法、AOC系統(tǒng)、離港系統(tǒng)、財務(wù)系統(tǒng)等。其次十八條 嚴(yán)禁安裝盜版軟件、與工作無關(guān)的軟件、可能會破壞公司信息安全的各種黑客軟件等。其次十九條用戶對自己所使用的桌面計算機的安全擔(dān)當(dāng)最終責(zé)任，除非有特別狀況，否則嚴(yán)禁授權(quán)他人使用自己的桌面計算機。第三十條運維操作單位須定期將公司桌面系統(tǒng)的運行維護及信息安全狀況向信息部反響。運維操作單位需建立明確的桌面系統(tǒng)定期安全審查〔審查內(nèi)容包括黑客軟件等；是否安裝防病毒軟件并準(zhǔn)時更病毒代碼；安全補丁。公司信息部對桌面系統(tǒng)安全審查報告進(jìn)展審核，并存檔。第六章機房安全治理第三十一條機房根底設(shè)施要求。UPS及足夠容量的輸送電纜，確保供電安全。(二) 機房應(yīng)配備空調(diào)及濕度調(diào)整器，確保機房內(nèi)設(shè)備正常運轉(zhuǎn)必需的溫度及濕度。依據(jù)消防部門的要求進(jìn)展檢測。(四) 機房內(nèi)機柜應(yīng)擺放整齊，機柜內(nèi)放置的設(shè)備及其使用人、用途等信息應(yīng)作醒目標(biāo)識。(五)應(yīng)對穿過機房墻壁和樓板的水管增加必要的壁滲透。(六)中心機房需安裝監(jiān)控設(shè)備，并有專人監(jiān)控。(七)中心機房需安裝防雷擊設(shè)備，并定期通過專業(yè)部門的檢測。(八) 機房實際承重需符合國家設(shè)定的機房承重標(biāo)準(zhǔn)。第三十二條機房內(nèi)應(yīng)保持清潔安靜，嚴(yán)禁吸煙、喝水、吃東西、亂扔雜物、大聲喧嘩。第三十三條機房內(nèi)嚴(yán)禁堆放與機房設(shè)備無關(guān)的雜物，避開造成安全隱患。第三十四條機房制止放置易燃、易爆、腐蝕、強磁性物品。第三十五條 制止將機房內(nèi)的電源引出挪做他用，確保機房安全。第三十六條未經(jīng)許可，機房內(nèi)嚴(yán)禁攝影、攝像。第三十七條機房內(nèi)機柜、設(shè)備未經(jīng)許可，不得任意改動；假設(shè)已獲得許可，需具體記錄改動后的狀況。第三十八條進(jìn)入機房工作的人員有責(zé)任在工作完成后準(zhǔn)時清理工作場地、去除垃圾、做好設(shè)備標(biāo)簽、關(guān)閉機柜柜門。第三十九條機房巡檢要求。(一) 機房運維操作單位應(yīng)制定明確的機房運行保障指標(biāo)，并報信息部備案。(二) 機房運維操作單位需每日巡檢中心機房至少二次，并填寫中心機房巡檢記錄。(三) 機房運維操作單位需每周巡檢二級節(jié)點機房，并填寫二級節(jié)點機房巡檢記錄。(四) 運維操作單位需制定具體的巡檢檢查單。(五) 機房巡檢記錄每月匯總后報信息部。第四十條 機房出入要求。(一)需要持有機房鑰匙的人員必需得到信息部批準(zhǔn)并登記備案。(二)需要進(jìn)入中心機房的工作人員在得到信息部的批準(zhǔn)后，方能進(jìn)入機房。年。全程伴隨，并記錄全部人員姓名，工作內(nèi)容準(zhǔn)時間。(五)(七)在機房區(qū)域內(nèi)覺察生疏可疑的人應(yīng)主動上前詢問，或通知安全保衛(wèi)人員對此狀況進(jìn)展關(guān)注。(八)關(guān)規(guī)定佩帶身份證明識別標(biāo)志〔徽章、名卡〕等，不得偽造或使用他人的身份證明標(biāo)志。息部進(jìn)展審核。第七章辦公環(huán)境信息安全治理第四十一條 辦公室鑰匙應(yīng)由專人治理。第四十二條電腦操作系統(tǒng)的桌面上不行存有涉密信息。第四十三條辦公桌面在無人在位的狀況下不應(yīng)放置涉密文儲設(shè)備。第四十四條員工臨時離開辦公使用的計算機時，應(yīng)使用計算機內(nèi)的鎖定保護功能。第四十五條辦公環(huán)境應(yīng)劃定特地的來訪接待區(qū)域，不應(yīng)在內(nèi)部辦公區(qū)接待來訪人員。第四十六條進(jìn)出敏感的辦公區(qū)域如系統(tǒng)開發(fā)、系統(tǒng)治理等應(yīng)遵照規(guī)定佩戴身份標(biāo)識。第四十七條在辦公區(qū)域內(nèi)覺察生疏可疑的人應(yīng)主動上前詢問，或通知安全保衛(wèi)人員對此狀況進(jìn)展關(guān)注。第四十八條辦公區(qū)域需保持干凈、干凈。辦公區(qū)域制止堆放與工作無關(guān)的雜物。第四十九條制止攜帶任何危急品、可燃品或其他可能影響人員和設(shè)備安全的物品進(jìn)入辦公區(qū)域，如有特別需要必需得到治理人員的同意才可進(jìn)入。第五十條 應(yīng)準(zhǔn)時取走打印或復(fù)印的含有敏感信息的文件。第五十一條 各部門需依據(jù)自己的業(yè)務(wù)特點制定更有針對性的辦公區(qū)域信息安全規(guī)定。第八章信息系統(tǒng)密碼信息安全第五十二條密碼的設(shè)定。的系統(tǒng)，涉及公司商業(yè)隱秘的系統(tǒng)，重要賬號如系統(tǒng)治理員、應(yīng)用治理員，密碼強8字母大小寫混合組成。一般系統(tǒng)用戶密碼及字母大小寫混合組成。PC應(yīng)設(shè)置用戶登錄密碼。(三)應(yīng)避開在多個系統(tǒng)內(nèi)使用一樣的密碼，以防密碼被非法獵取后產(chǎn)生連鎖后果。第五十三條 密碼使用。(一)在輸入密碼時，應(yīng)保持必要的警覺性，防止被人通過非法手段獵取密碼。(二) 制止在未經(jīng)信息部允許的狀況下編寫并使用自動登錄系統(tǒng)的腳本和程序。(三)輸入密碼時需確認(rèn)所操作的電腦是否已安裝符合公司要求的殺毒軟件且已更，以確保無后門、木馬、按鍵記錄軟件等非法插件。第五十四條 密碼更。90做過的操作在系統(tǒng)中消滅。第五十五條 密碼保護。(二)應(yīng)盡量避開將密碼書寫在紙面或是存放在電子文檔中。(四)制止將記錄有密碼信息的載體任意放置在工作區(qū)域四周。第五十六條 器端密碼口令要求。(一)業(yè)務(wù)系統(tǒng)的賬號口令的維護應(yīng)遵循本規(guī)定第五條，做到操作與審計分別，業(yè)務(wù)申請和業(yè)務(wù)審核分別。件需改為不行讀文件，并把握該文件只能是對應(yīng)程序訪能供用戶使用。程序所使用的賬號及口令制止集中。(三)內(nèi)置于業(yè)務(wù)系統(tǒng)源代碼中的數(shù)據(jù)庫調(diào)用中的用配置文件來實現(xiàn)。參考第五十六條〔二〕。有機器難以識別的人工校驗的輸入。(五) 系統(tǒng)的測試賬號在系統(tǒng)試運行完畢時應(yīng)進(jìn)展禁用及歸檔操作。(六) 業(yè)務(wù)系統(tǒng)所配置的密碼都可以進(jìn)展更改操作。第九章信息系統(tǒng)訪問把握第五十七條 網(wǎng)絡(luò)接入?！补P記本電腦或臺式計算機在公和治理，制止私自變更辦公桌面的IP地址，以免擅自配IPIPIP沖突。桌面設(shè)備接入公司的企業(yè)內(nèi)部網(wǎng)。(三)如需通過公司VPN接入設(shè)備接入公司局域網(wǎng)，須向公司信息部提出申請，提交《東上航VPN用戶申請VPN公司信息部提出申請，由公司信息部規(guī)劃設(shè)計前方能實局域網(wǎng)絡(luò)。第五十八條 網(wǎng)絡(luò)使用。(一)部提出申請，提交《東航互聯(lián)網(wǎng)訪問權(quán)限申請表》，經(jīng)審核開通前方能使用上網(wǎng)賬號。(二)嚴(yán)禁利用網(wǎng)絡(luò)從事以下活動：制作、發(fā)表、傳播各類虛假和有害信息、破壞國家和社會穩(wěn)定、危害市場經(jīng)濟秩序和社會治理秩序；竊取、泄露國家隱秘、情報或者軍事隱秘、危害國家安全；建立淫穢網(wǎng)站、網(wǎng)頁，供給淫穢站點鏈接效勞，或者傳播淫穢書刊、影片、音像、圖片；絡(luò)患病損害；損害他人商業(yè)信譽和商品聲譽；據(jù)資料，侵害公民通信自由和通信隱秘；在工作時間內(nèi)利用公司網(wǎng)絡(luò)從事與工作無關(guān)的活動，占用網(wǎng)絡(luò)資源，影響網(wǎng)絡(luò)安全；〔點〔如各類玩耍、音樂、電影網(wǎng)站和論壇等〕以及其他與工作無關(guān)的信息站點〔股票、在線購置等〕；在工作時間內(nèi)利用公司網(wǎng)絡(luò)傳輸和下載與工作無關(guān)的文件。第十章應(yīng)用系統(tǒng)安全治理第五十九條操作系統(tǒng)、數(shù)據(jù)庫用戶及授權(quán)治理。應(yīng)用系統(tǒng)的操作系統(tǒng)、數(shù)據(jù)庫用戶及授權(quán)治理權(quán)限歸屬于信息部，由系統(tǒng)運維操作單位負(fù)責(zé)具體執(zhí)行，對操作系統(tǒng)、數(shù)據(jù)庫用戶及授權(quán)治理包括并不限于以下幾方面：〔可以是項目組或運維治理方維操作方指定的系統(tǒng)治理員在系統(tǒng)中執(zhí)行授權(quán)。維操作方執(zhí)行操作。統(tǒng)負(fù)責(zé)人將該信息備案留檔后，授權(quán)運維操作方執(zhí)行操作?！怖缑苛鶄€月打印用戶授權(quán)清單并分發(fā)給各系統(tǒng)使用部門的主管領(lǐng)導(dǎo)對用戶及其管。復(fù)核文檔應(yīng)由信息部存檔。第六十條應(yīng)用系統(tǒng)用戶及授權(quán)治理。應(yīng)用系統(tǒng)的用戶及授權(quán)治理權(quán)限歸屬于此應(yīng)用系統(tǒng)相關(guān)業(yè)務(wù)部門，對應(yīng)用系統(tǒng)的用戶及授權(quán)治理包括并不限于以下幾方面：〔可以是業(yè)務(wù)部門的治理層記錄的權(quán)限。主管簽字認(rèn)可。簽字認(rèn)可。〔例如每六個月打印用戶授權(quán)清單并分發(fā)給各系統(tǒng)使用部門的主管領(lǐng)導(dǎo)對用戶其主管。復(fù)核文檔應(yīng)由責(zé)任部門存檔。第六十一條 治理中必需含有變更失敗的緊急回退操作方式。IT能變更、應(yīng)用級補丁安裝，應(yīng)向IT變更經(jīng)理提出申請，經(jīng)過評估流程后再進(jìn)展實施或方案修正。(四)信息系統(tǒng)變更具體操作方式及流程須按公司已公布的東航通知公告2023-8758IT變更治理規(guī)定〔1第十一章惡意軟件防護第六十二條防毒軟件安裝治理。上海地區(qū)統(tǒng)一治理的防病毒軟件包由信息部在指定系統(tǒng)上進(jìn)展公布。各分子公司也須部署統(tǒng)一治理的防病毒信息系統(tǒng)。桌面計算機系統(tǒng)上應(yīng)安裝和使用全公司統(tǒng)一部署的企業(yè)防病毒客戶端軟件。制止關(guān)閉、修改、刪除、掩蓋公司指定的防病毒軟件。第六十三條 對部署的防病毒軟件效勞器進(jìn)展治理。如：人員定期查看病毒日志，查看病毒定義庫更的狀態(tài)等。第六十四條 意識。不應(yīng)翻開未知可疑的郵件及其附件；在處理郵件附件時應(yīng)先將附件保存至硬盤上，防止其利用郵件客戶端漏洞隱蔽可執(zhí)行屬性；存儲介質(zhì)在使用前應(yīng)先查毒；應(yīng)常常關(guān)注通過各種途徑發(fā)出的病毒警告，并依據(jù)警告內(nèi)的建議實行必要的措施；當(dāng)覺察特別狀況時，應(yīng)馬上斷開網(wǎng)絡(luò)，并啟動防病毒軟件進(jìn)展查毒，在防病毒軟件沒有覺察病毒的狀況下，可向運維人員報告并要求技術(shù)支持。第十二章公司信息溝通工具安全治理第六十五條 公司信息溝通工具包括但不限于公司的電子郵件，公司的即時通訊軟件，公司的電子信息論壇等。制止利用公司的信息溝通工具制作、復(fù)制、公布、傳播反對憲法所確定的根本原則的；危害國家安全，泄露國家隱秘，顛覆國家政權(quán)，破壞國家統(tǒng)一的；損害國家、公司聲譽和利益的；煽動民族仇恨、民族卑視，破壞民族團結(jié)的；破壞國家宗教政策，宣揚邪教和封建迷信的；散布謠言，擾亂社會秩序，破壞社會穩(wěn)定以及公司正常業(yè)務(wù)的；散布淫穢、色情、賭博、暴力、兇殺、恐驚或者教唆犯罪的；污辱或者誹謗他人，侵害他人合法權(quán)益的；含有法律、行政法規(guī)制止的其他內(nèi)容的；未經(jīng)審核批準(zhǔn)的公司涉密信息等內(nèi)容的信息。第十三章信息系統(tǒng)外包商信息安全治理第六十六條信息系統(tǒng)外包商必需遵守東航公布的各項信息安全標(biāo)準(zhǔn)和治理規(guī)定，并嚴(yán)格執(zhí)行相關(guān)的信息安全措施，否則將賜予懲罰或解除合同。第六十七條 外包商簽訂的合同或合約中應(yīng)當(dāng)包含全部必要的信息安全要求，確保符合東航的安全策略和標(biāo)準(zhǔn)，并確保和外包商之間對合同內(nèi)容不存在