【正文】 程序6)電腦病毒爆發(fā)時(shí)的應(yīng)對(duì)措施7)災(zāi)難發(fā)生時(shí)的應(yīng)對(duì)措施第46條 應(yīng)該對(duì)系統(tǒng)管理員、開(kāi)發(fā)人員進(jìn)行安全技能方面的培訓(xùn)，至少每年一次。員工和第三方人員在開(kāi)始工作后90天內(nèi)，必須進(jìn)行技術(shù)和安全方面的培訓(xùn)。第47條 災(zāi)難恢復(fù)演習(xí)應(yīng)至少每年舉行一次。 懲戒過(guò)程第48條 違反公司安全管理制度、標(biāo)準(zhǔn)和程序的員工將受到紀(jì)律處分。在對(duì)信息安全事件調(diào)查結(jié)束后，必須對(duì)事件中的相關(guān)人員根據(jù)公司的懲戒規(guī)定進(jìn)行處罰。紀(jì)律處分包括但不限于：1) 通報(bào)批評(píng)2) 警告3) 記過(guò)4) 解除勞動(dòng)合同5) 法律訴訟第49條 當(dāng)員工在接受可能涉及解除勞動(dòng)合同和法律訴訟的違規(guī)調(diào)查時(shí)，其直接領(lǐng)導(dǎo)應(yīng)暫停受調(diào)查員工的工作職務(wù)和其訪問(wèn)權(quán)限，包括物理訪問(wèn)、系統(tǒng)應(yīng)用訪問(wèn)和網(wǎng)絡(luò)訪問(wèn)等。員工在接受調(diào)查時(shí)可以陳述觀點(diǎn)，提出異議，并有進(jìn)一步申訴的權(quán)力。 資產(chǎn)歸還第50條 在終止雇傭、合同或協(xié)議時(shí)，所有員工及第三方人員必須歸還所使用的全部公司資產(chǎn)。需要?dú)w還的資產(chǎn)包括但不限于：1) 帳號(hào)和訪問(wèn)權(quán)限2) 公司的電子或紙質(zhì)文檔3) 公司購(gòu)買(mǎi)的硬件和軟件資產(chǎn)4) 公司購(gòu)買(mǎi)的其他設(shè)備第51條 如果在非公司資產(chǎn)上保存有公司的資產(chǎn)，必須在帶出公司前歸還或刪除公司的資產(chǎn)。 刪除訪問(wèn)權(quán)限第52條 在終止或變更雇傭、合同、協(xié)議時(shí)，必須刪除所有員工及第三方人員對(duì)信息和信息系統(tǒng)的訪問(wèn)權(quán)限，或根據(jù)變更進(jìn)行相應(yīng)的調(diào)整。所有刪除和調(diào)整操作必須在最后上班日之前完成。第53條 對(duì)于公用的資源，必須進(jìn)行及時(shí)的調(diào)整，比如：公用的帳號(hào)必須立即更改密碼。第54條 在已經(jīng)確定員工或第三方終止或變更意向后，必須及時(shí)對(duì)他們的權(quán)限進(jìn)行限制，只保留終止或變更所需要的權(quán)限。8 物理和環(huán)境安全方面 安全區(qū)域 物理安全邊界第55條 在公司的物理環(huán)境里，應(yīng)該對(duì)需要保護(hù)的區(qū)域根據(jù)其重要性劃分為不同的安全區(qū)域。特別是有重要設(shè)備的安全區(qū)域（比如機(jī)房）應(yīng)該部署相應(yīng)的物理安全控制。第56條 在大廈的統(tǒng)一入口處必須設(shè)立有專(zhuān)人值守的接待區(qū)域，在特別重要的安全區(qū)域也應(yīng)該設(shè)立類(lèi)似的接待區(qū)域。第57條 在非辦公時(shí)間內(nèi)，重要的安全區(qū)域必須安排保安定時(shí)巡視。任何時(shí)候，公司內(nèi)必須至少有一位保安值班。保安值班表應(yīng)最少每月調(diào)整一次。 安全區(qū)域訪問(wèn)控制第58條 在非辦公時(shí)間，所有進(jìn)入安全區(qū)域的入口都應(yīng)該受到控制，比如上鎖。任何時(shí)候，重要安全區(qū)域的所有出入口必須受到嚴(yán)格的訪問(wèn)控制，確保只有授權(quán)的員工才可以進(jìn)入此區(qū)域。第59條 對(duì)于設(shè)有訪問(wèn)控制的安全區(qū)域，必須定期審核并及時(shí)更新其訪問(wèn)權(quán)限。所有員工都必須佩戴一個(gè)身份識(shí)別通行證，有責(zé)任確保通行證的安全并不得轉(zhuǎn)借他人。員工離職時(shí)必須交還通行證，同時(shí)取消其所有訪問(wèn)權(quán)限。第60條 所有來(lái)賓的有關(guān)資料都必須詳細(xì)記載在來(lái)賓進(jìn)出登記表中，并向獲準(zhǔn)進(jìn)入的來(lái)賓發(fā)放來(lái)賓通行證。同時(shí)，必須有相應(yīng)的程序以確?；厥账l(fā)放的來(lái)賓通行證。來(lái)賓進(jìn)出登記表必須至少保留1年，記錄內(nèi)容應(yīng)包括但不限于：1)來(lái)賓姓名2)來(lái)賓身份3)來(lái)賓工作單位4)來(lái)訪事由5)負(fù)責(zé)接待的員工6)來(lái)賓通行證號(hào)碼7)進(jìn)入的日期和時(shí)間8)離開(kāi)的日期和時(shí)間 辦公場(chǎng)所和設(shè)施安全第61條 放置敏感或重要設(shè)備的區(qū)域（例如機(jī)房）應(yīng)盡量不引人注目，給外面的信息應(yīng)盡量最少，不應(yīng)該有明顯的標(biāo)志指明敏感區(qū)域的所在位置和用途。這些區(qū)域還應(yīng)該被給予相應(yīng)的保護(hù)，保護(hù)措施包括但不限于：1)所有出入口必須安裝物理訪問(wèn)控制措施2)使用來(lái)賓登記表以便記錄來(lái)訪信息3)嚴(yán)禁吸煙第62條 必須對(duì)支持關(guān)鍵性業(yè)務(wù)活動(dòng)的設(shè)備提供足夠的物理訪問(wèn)控制。所有安全區(qū)域和出入口必須通過(guò)閉路電視進(jìn)行監(jiān)控。普通會(huì)議室或其它公眾場(chǎng)合必須與安全區(qū)域隔離開(kāi)來(lái)。無(wú)人值守的時(shí)候，辦公區(qū)中的信息處理設(shè)備必須從物理上進(jìn)行保護(hù)。門(mén)和窗戶(hù)必須鎖好。 防范外部和環(huán)境威脅第63條 辦公場(chǎng)所和機(jī)房的設(shè)計(jì)和建設(shè)必須充分考慮火災(zāi)、洪水、地震、爆炸、騷亂等天災(zāi)或人為災(zāi)難，并采取額外的控制措施加以保護(hù)。第64條 機(jī)房必須增加額外的物理控制，選取的場(chǎng)地應(yīng)盡量安全，并盡可能避免受到災(zāi)害的影響。機(jī)房必須有防火、防潮、防塵、防盜、防磁、防鼠等設(shè)施。第65條 機(jī)房建設(shè)必須符合國(guó)標(biāo)GB288789《計(jì)算機(jī)場(chǎng)地技術(shù)條件》和GB936188《計(jì)算站場(chǎng)地安全要求》中的要求。第66條 機(jī)房的消防措施必須滿(mǎn)足以下要求：1) 必須安裝消防設(shè)備，并定期檢查。2) 應(yīng)該指定消防指揮員。3) 機(jī)房?jī)?nèi)嚴(yán)禁存放易燃材料，每周例行檢查一次。4) 必須安裝煙感及其他火警探測(cè)器和滅火裝置。應(yīng)每季度定期檢查這些裝備，確保它們能有效運(yùn)作。5) 必須在明顯位置張貼火災(zāi)逃生路線(xiàn)圖、滅火設(shè)備平面放置圖以及安全出口的位置。6) 安全出口必須有明顯標(biāo)識(shí)。7) 應(yīng)該訓(xùn)練員工熟悉使用消防設(shè)施。8) 緊急事件發(fā)生時(shí)必須提供緊急照明。9) 所有疏散路線(xiàn)都必須時(shí)刻保持通暢。10)必須保證防火門(mén)在火災(zāi)發(fā)生時(shí)能夠開(kāi)啟。11)每年應(yīng)至少舉行一次火災(zāi)撤離演習(xí)，使工作人員熟知火災(zāi)撤離的過(guò)程。 在安全區(qū)域工作第67條 員工進(jìn)入機(jī)房的訪問(wèn)授權(quán)，不能超過(guò)其工作所需的范圍。必須定期檢查訪問(wèn)權(quán)限的分配并及時(shí)更新。機(jī)房的訪問(wèn)權(quán)限應(yīng)不同于進(jìn)入大樓其它區(qū)域的權(quán)限。第68條 所有需要進(jìn)入機(jī)房的來(lái)賓都必須提前申請(qǐng)。必須維護(hù)和及時(shí)更新來(lái)賓記錄，以掌握來(lái)賓進(jìn)入機(jī)房的詳細(xì)情況。記錄中應(yīng)詳細(xì)說(shuō)明來(lái)賓的姓名、進(jìn)入與離開(kāi)的日期與時(shí)間，申請(qǐng)者以及進(jìn)入的原因。機(jī)房來(lái)賓記錄至少保存一年。來(lái)賓必須得到明確許可后，在專(zhuān)人陪同下才能進(jìn)入機(jī)房。第69條 機(jī)房的保護(hù)應(yīng)在專(zhuān)家的指導(dǎo)下進(jìn)行，必須安裝合適的安全防護(hù)和檢測(cè)裝置。機(jī)房?jī)?nèi)嚴(yán)禁吸煙、飲食和拍攝。 機(jī)房操作日志第70條 必須記錄機(jī)房管理員的操作行為，以便其行為可以追蹤。操作記錄必須備份和維護(hù)并妥善保管，防止被破壞。第71條 在機(jī)房值班人員交接時(shí)，上一班值班人員所遺留的問(wèn)題以及從事的工作應(yīng)明確交待給下一班，保證相關(guān)操作的延續(xù)性。 設(shè)備安全 設(shè)備的安置及保護(hù)第72條 必須對(duì)設(shè)備實(shí)施安全控制，以減少環(huán)境危害和非法的訪問(wèn)。應(yīng)該考慮的因素包括但不限于：1) 水、火2) 煙霧、灰塵3) 震動(dòng)4) 化學(xué)效應(yīng)5) 電源干擾、電磁輻射第73條 設(shè)備必須放置在遠(yuǎn)離水災(zāi)的地方，并根據(jù)需要考慮安裝漏水警報(bào)系統(tǒng)。應(yīng)急開(kāi)關(guān)如電閘、煤氣開(kāi)關(guān)和水閘等都必須清楚地做好標(biāo)識(shí)，并且能容易訪問(wèn)。設(shè)備都應(yīng)該裝有合適的漏電保險(xiǎn)絲或斷路器進(jìn)行保護(hù)。放置設(shè)備的區(qū)域必須滿(mǎn)足廠商提供的設(shè)備環(huán)境要求。設(shè)備的操作必須遵守廠商提供的操作規(guī)范。通信線(xiàn)路和電纜必須從物理上進(jìn)行保護(hù)。 支持設(shè)施第74條 支持設(shè)施能夠支持物理場(chǎng)所、設(shè)備等的正常運(yùn)作，比如：電力設(shè)施、空調(diào)、排水設(shè)施、消防設(shè)施、靜電保護(hù)設(shè)施等。必須采取保護(hù)措施使設(shè)備免受電源故障或電力異常的破壞。必須驗(yàn)證電力供應(yīng)是否滿(mǎn)足廠商設(shè)備對(duì)電源的要求。每年應(yīng)至少對(duì)支持設(shè)施進(jìn)行一次安全檢查。工作環(huán)境中增加新設(shè)備時(shí)，必須對(duì)電力、空調(diào)、地板等支持設(shè)施的負(fù)荷進(jìn)行審核。必須設(shè)置后備電源，例如不間斷電源（UPS）或發(fā)電機(jī)。對(duì)需要配備后備電源的設(shè)備裝置進(jìn)行審核，確保后備電源能夠滿(mǎn)足這些設(shè)備的正常工作。每年必須至少對(duì)備用電源/進(jìn)行一次測(cè)試。應(yīng)急電源開(kāi)關(guān)應(yīng)位于機(jī)房的緊急出口附近，以便緊急狀況發(fā)生時(shí)可以迅速切斷電源。電纜應(yīng)根據(jù)供電電壓和頻率的不同而相互隔離。所有電纜都應(yīng)帶有標(biāo)簽，標(biāo)簽上的編碼應(yīng)記錄歸檔。電纜應(yīng)從物理上加以保護(hù)。 設(shè)備維護(hù)第75條 所有生產(chǎn)設(shè)備必須有足夠的維護(hù)保障，關(guān)鍵設(shè)備必須提供7x24的現(xiàn)場(chǎng)維護(hù)支持。所有生產(chǎn)設(shè)備必須定期進(jìn)行預(yù)防性維護(hù)。只有經(jīng)過(guò)批準(zhǔn)的、受過(guò)專(zhuān)業(yè)培訓(xùn)的工作人員才能進(jìn)行維護(hù)工作。設(shè)備的所有維護(hù)工作都應(yīng)該記錄歸檔。如果設(shè)備需要搬離安全區(qū)域進(jìn)行修理，必須獲得批準(zhǔn)并卸載其存儲(chǔ)介質(zhì)。第76條 必須建立設(shè)備故障報(bào)告流程。對(duì)于需要進(jìn)行重大維修的設(shè)備，流程還應(yīng)該包含設(shè)備檢修的報(bào)告，及換用備用設(shè)備的流程。 管轄區(qū)域外設(shè)備安全第77條 筆記本電腦用戶(hù)必須保護(hù)好筆記本電腦的安全，防止筆記本電腦損壞或被偷竊。第78條 如果將設(shè)備帶出公司，設(shè)備擁有者必須親自或指定專(zhuān)人保護(hù)設(shè)備的安全。設(shè)備擁有者必須對(duì)設(shè)備在公司場(chǎng)所外的安全負(fù)責(zé)。 設(shè)備的安全處理或再利用第79條 再利用或報(bào)廢之前，設(shè)備所含有的所有存儲(chǔ)裝置（比如硬盤(pán)等）都必須通過(guò)嚴(yán)格檢查，確保所有敏感數(shù)據(jù)和軟件已被刪除或改寫(xiě)，并且不可能被恢復(fù)。應(yīng)該通過(guò)風(fēng)險(xiǎn)評(píng)估來(lái)決定是否徹底銷(xiāo)毀、送修還是丟棄含有敏感數(shù)據(jù)的已損壞設(shè)備。9 通信和操作管理方面 操作程序和職責(zé) 規(guī)范的操作程序第80條 必須為所有的業(yè)務(wù)系統(tǒng)建立操作程序，其內(nèi)容包括但不限于：1)系統(tǒng)重啟、備份和恢復(fù)的措施2)一般性錯(cuò)誤處理的操作指南3)技術(shù)支持人員的聯(lián)系方法4)與其它系統(tǒng)的依賴(lài)性和處理的優(yōu)先級(jí)5)硬件的配置管理第81條 操作程序必須征得管理者的同意才能對(duì)其進(jìn)行修改。操作程序必須及時(shí)更新，更新條件包括但不限于：1)應(yīng)用軟件的變更2)硬件配置的變更 變更控制第82條 必須建立變更管理程序來(lái)控制系統(tǒng)的變更，所有變更都必須遵守變更管理程序的要求。程序內(nèi)容包括但不限于∶1)識(shí)別和記錄變更請(qǐng)求2)評(píng)估變更的可行性、變更計(jì)劃和可能帶來(lái)的潛在影響3)變更的測(cè)試4)審批的流程5)明確變更失敗的恢復(fù)計(jì)劃和責(zé)任人6)變更的驗(yàn)收第83條 重要變更必須制定計(jì)劃，并在測(cè)試環(huán)境下進(jìn)行足夠的測(cè)試后，才能在生產(chǎn)系統(tǒng)中實(shí)施。所有變更必須包括變更失敗的應(yīng)對(duì)措施和恢復(fù)計(jì)劃。所有變更必須獲得授權(quán)和批準(zhǔn)，變更的申請(qǐng)和審批不得為同一個(gè)員工。對(duì)變更需要涉及的硬件、軟件和信息等對(duì)象都應(yīng)標(biāo)識(shí)出來(lái)并進(jìn)行相應(yīng)評(píng)估。變更在實(shí)施前必須通知到相關(guān)人員。第84條 變更的實(shí)施應(yīng)該安排在對(duì)業(yè)務(wù)影響最小的時(shí)間段進(jìn)行，盡量減少對(duì)業(yè)務(wù)正常運(yùn)營(yíng)的影響。在生產(chǎn)系統(tǒng)安裝或更新軟件前，必須對(duì)系統(tǒng)進(jìn)行備份。變更完成后，相關(guān)的文檔（如系統(tǒng)需求文檔、設(shè)計(jì)文檔、操作手冊(cè)、用戶(hù)手冊(cè)等）必須得到更新，舊的文檔必須進(jìn)行備份。第85條 必須對(duì)變更進(jìn)行復(fù)查，以確保變更沒(méi)有對(duì)原來(lái)的系統(tǒng)環(huán)境造成破壞。必須完整記錄整個(gè)變更過(guò)程，并將其妥善保管。變更的記錄應(yīng)至少每月復(fù)查一次。 職責(zé)分離第86條 系統(tǒng)管理員和系統(tǒng)開(kāi)發(fā)人員的職責(zé)必須明確分開(kāi)。同一處理過(guò)程中的重要任務(wù)不應(yīng)該由同一個(gè)人來(lái)完成，以防止欺詐和誤操作的發(fā)生。第87條 所有職責(zé)分離的控制必須記錄歸檔，作為責(zé)任分工的依據(jù)。無(wú)法采取職責(zé)分離時(shí)，必須采取其它的控制，比如活動(dòng)監(jiān)控、審核跟蹤評(píng)估以及管理監(jiān)督等。 開(kāi)發(fā)、測(cè)試和生產(chǎn)系統(tǒng)分離第88條 不應(yīng)給開(kāi)發(fā)人員提供超過(guò)其開(kāi)發(fā)所需范圍的權(quán)限。如果開(kāi)發(fā)人員需要訪問(wèn)生產(chǎn)系統(tǒng)，必須經(jīng)過(guò)運(yùn)營(yíng)人員的授權(quán)和管理。第89條 生產(chǎn)、測(cè)試和開(kāi)發(fā)應(yīng)分別使用不同的系統(tǒng)環(huán)境。開(kāi)發(fā)人員不得在生產(chǎn)環(huán)境中更改編碼或操作生產(chǎn)系統(tǒng)。不得在生產(chǎn)系統(tǒng)上擅自安裝開(kāi)發(fā)工具（比如編譯程序及其他系統(tǒng)公用程序等），并做好已有開(kāi)發(fā)工具的訪問(wèn)控制。開(kāi)發(fā)和測(cè)試環(huán)境使用的測(cè)試數(shù)據(jù)不能包含有敏感信息。 事件管理程序第90條 必須建立事件管理程序，并根據(jù)事件影響的嚴(yán)重程度制訂其所屬類(lèi)別，同時(shí)說(shuō)明相應(yīng)的處理方法和負(fù)責(zé)人。必須根據(jù)事件的嚴(yán)重程度，定義響應(yīng)的范圍、時(shí)間和完成事件處理的時(shí)間。第91條 系統(tǒng)的修復(fù)必須得到系統(tǒng)管理者的批準(zhǔn)方可執(zhí)行。第92條 所有事件報(bào)告必須記錄歸檔，并由部門(mén)主管或指定人員妥善保管。必須對(duì)事件的處理情況進(jìn)行監(jiān)控，對(duì)超時(shí)的處理提出改進(jìn)建議并跟進(jìn)改進(jìn)效果。 第三方服務(wù)交付管理 服務(wù)交付第93條 第三方提供的服務(wù)必須滿(mǎn)足安全管理制度的要求。第三方提供的服務(wù)必須滿(mǎn)足公司業(yè)務(wù)連續(xù)性的要求。第94條 必須保留第三方提供的服務(wù)、報(bào)告和記錄并定期評(píng)審，至少每半年一次。評(píng)審內(nèi)容應(yīng)包括：1) 服務(wù)內(nèi)容和質(zhì)量是否滿(mǎn)足合同