【正文】 ： 1)安全管理委員會下達的安全管理要求 2)信息保密的責(zé)任 3)一般性安全守則 4)信息分類 5)安全事故報告程序 6)電腦病毒爆發(fā)時的應(yīng)對措施 7)災(zāi)難發(fā)生時的應(yīng)對措施 第46條 應(yīng)該對系統(tǒng)管理員、開發(fā)人員進行安全技能方面的培訓(xùn)，至少每年一次。員工和第三方人員在開始工作后90天內(nèi)，必須進行技術(shù)和安全方面的培訓(xùn)。 第47條 災(zāi)難恢復(fù)演習(xí)應(yīng)至少每年舉行一次。 懲戒過程 第48條 違反公司安全管理制度、標準和程序的員工將受到紀律處分。在對信息安全事件調(diào)查結(jié)束后，必須對事件中的相關(guān)人員根據(jù)公司的懲戒規(guī)定進行處罰。紀律處分包括但不限于： 1) 通報批評 2) 警告 3) 記過 4) 解除勞動合同 5) 法律訴訟 第49條 當(dāng)員工在接受可能涉及解除勞動合同和法律訴訟的違規(guī)調(diào)查時，其直接領(lǐng)導(dǎo)應(yīng)暫停受調(diào)查員工的工作職務(wù)和其訪問權(quán)限，包括物理訪問、系統(tǒng)應(yīng)用訪問和網(wǎng)絡(luò)訪問等。員工在接受調(diào)查時可以陳述觀點，提出異議，并有進一步申訴的權(quán)力。 資產(chǎn)歸還 第50條 在終止雇傭、合同或協(xié)議時，所有員工及第三方人員必須歸還所使用的全部公司資產(chǎn)。需要歸還的資產(chǎn)包括但不限于： 1) 帳號和訪問權(quán)限 2) 公司的電子或紙質(zhì)文檔 3) 公司購買的硬件和軟件資產(chǎn) 4) 公司購買的其他設(shè)備 第51條 如果在非公司資產(chǎn)上保存有公司的資產(chǎn)，必須在帶出公司前歸還或刪除公司的資產(chǎn)。 刪除訪問權(quán)限 第52條 在終止或變更雇傭、合同、協(xié)議時，必須刪除所有員工及第三方人員對信息和信息系統(tǒng)的訪問權(quán)限，或根據(jù)變更進行相應(yīng)的調(diào)整。所有刪除和調(diào)整操作必須在最后上班日之前完成。 第53條 對于公用的資源，必須進行及時的調(diào)整，比如：公用的帳號必須立即更改密碼。 第54條 在已經(jīng)確定員工或第三方終止或變更意向后，必須及時對他們的權(quán)限進行限制，只保留終止或變更所需要的權(quán)限。8 物理和環(huán)境安全方面 安全區(qū)域 物理安全邊界 第55條 在公司的物理環(huán)境里，應(yīng)該對需要保護的區(qū)域根據(jù)其重要性劃分為不同的安全區(qū)域。特別是有重要設(shè)備的安全區(qū)域（比如機房）應(yīng)該部署相應(yīng)的物理安全控制。 第56條 在機房的統(tǒng)一入口處必須設(shè)立有專人值守的接待區(qū)域，在特別重要的安全區(qū)域也應(yīng)該設(shè)立類似的接待區(qū)域。 第57條 在非辦公時間內(nèi)，重要的安全區(qū)域必須安排保安定時巡視。任何時候，機房必須至少有一位保安值班。 保安值班表應(yīng)最少每月調(diào)整一次。 安全區(qū)域訪問控制 第58條 在非辦公時間，所有進入安全區(qū)域的入口都應(yīng)該受到控制，比如實施電子門禁或者上鎖。任何時候，重要安全區(qū)域的所有出入口必須受到嚴格的訪問控制，確保只有授權(quán)的員工才可以進入此區(qū)域。 第59條 對于設(shè)有訪問控制的安全區(qū)域，必須定期審核并及時更新其訪問權(quán)限。所有員工都必須佩戴一個身份識別通行證，有責(zé)任確保通行證的安全并不得轉(zhuǎn)借他人。員工離職時必須交還通行證，同時取消其所有訪問權(quán)限。 第60條 所有來賓的有關(guān)資料都必須詳細記載在來賓進出登記表中，并向獲準進入的來賓發(fā)放來賓通行證。同時，必須有相應(yīng)的程序以確保回收所發(fā)放的來賓通行證。來賓進出登記表必須至少保留1年，記錄內(nèi)容應(yīng)包括但不限于： 1)來賓姓名 2)來賓身份 3)來賓工作單位 4)來訪事由 5)負責(zé)接待的員工 6)來賓通行證號碼 7)進入的日期和時間 8)離開的日期和時間 辦公場所和設(shè)施安全 第61條 放臵敏感或重要設(shè)備的區(qū)域（例如機房）應(yīng)盡量不引人注目，給外面的信息應(yīng)盡量最少，不應(yīng)該有明顯的標志指明敏感區(qū)域的所在位臵和用途。這些區(qū)域還應(yīng)該被給予相應(yīng)的保護，保護措施包括但不限于： 1)所有出入口必須安裝物理訪問控制措施 2)使用來賓登記表以便記錄來訪信息 3)嚴禁吸煙 第62條 必須對支持關(guān)鍵性業(yè)務(wù)活動的設(shè)備提供足夠的物理訪問控制。所有安全區(qū)域和出入口必須通過閉路電視進行監(jiān)控。普通會議室或其它公眾場合必須與安全區(qū)域隔離開來。無人值守的時候，辦公區(qū)中的信息處理設(shè)備必須從物理上進行保護。門和窗戶必須鎖好。 防范外部和環(huán)境威脅 第63條 辦公場所和機房的設(shè)計和建設(shè)必須充分考慮火災(zāi)、洪水、地震、爆炸、騷亂等天災(zāi)或人為災(zāi)難，并采取額外的控制措施加以保護。 第64條 機房必須增加額外的物理控制，選取的場地應(yīng)盡量安全，并盡可能避免受到災(zāi)害的影響。機房必須有防火、防潮、防塵、防盜、防磁、防鼠等設(shè)施。 第65條 機房建設(shè)必須符合國標GB288789《計算機場地技術(shù)條件》和GB936188《計算站場地安全要求》中的要求。 第66條 機房的消防措施必須滿足以下要求： 1) 必須安裝消防設(shè)備，并定期檢查。 2) 應(yīng)該指定消防指揮員。 3) 機房內(nèi)嚴禁存放易燃材料，每周例行檢查一次。 4) 必須安裝煙感及其他火警探測器和滅火裝臵。應(yīng)每季度定期檢查這些裝備，確保它們能有效運作。 5) 必須在明顯位臵張貼火災(zāi)逃生路線圖、滅火設(shè)備平面放臵圖以及安全出口的位臵。 6) 安全出口必須有明顯標識。 7) 應(yīng)該訓(xùn)練員工熟悉使用消防設(shè)施。 8) 緊急事件發(fā)生時必須提供緊急照明。 9) 所有疏散路線都必須時刻保持通暢。 10)必須保證防火門在火災(zāi)發(fā)生時能夠開啟。 11)每年應(yīng)至少舉行一次火災(zāi)撤離演習(xí)，使工作人員熟知火災(zāi)撤離的過程。 在安全區(qū)域工作 第67條 員工進入機房的訪問授權(quán)，不能超過其工作所需的范圍。必須定期檢查訪問權(quán)限的分配并及時更新。機房的訪問權(quán)限應(yīng)不同于進入大樓其它區(qū)域的權(quán)限。 第68條 所有需要進入機房的來賓都必須提前申請。必須維護和及時更新來賓記錄，以掌握來賓進入機房的詳細情況。記錄中應(yīng)詳細說明來賓的姓名、進入與離開的日期與時間，申請者以及進入的原因。機房來賓記錄至少保存一年。來賓必須得到明確許可后，在專人陪同下才能進入機房。 第69條 機房的保護應(yīng)在專家的指導(dǎo)下進行，必須安裝合適的安全防護和檢測裝臵。機房內(nèi)嚴禁吸煙、飲食和拍攝。 機房操作日志 第70條 必須記錄機房管理員的操作行為，以便其行為可以追蹤。操作記錄必須備份和維護并妥善保管，防止被破壞。 第71條 在機房值班人員交接時，上一班值班人員所遺留的問題以及從事的工作應(yīng)明確交待給下一班，保證相關(guān)操作的延續(xù)性。 設(shè)備安全 設(shè)備的安置及保護 第72條 必須對設(shè)備實施安全控制，以減少環(huán)境危害和非法的訪問。應(yīng)該考慮的因素包括但不限于： 1) 水、火 2) 煙霧、灰塵 3) 震動 4) 化學(xué)效應(yīng) 5) 電源干擾、電磁輻射 第73條 設(shè)備必須放臵在遠離水災(zāi)的地方，并根據(jù)需要考慮安裝漏水警報系統(tǒng)。 應(yīng)急開關(guān)如電閘、煤氣開關(guān)和水閘等都必須清楚地做好標識，并且能容易訪問。 設(shè)備都應(yīng)該裝有合適的漏電保險絲或斷路器進行保護。 放臵設(shè)備的區(qū)域必須滿足廠商提供的設(shè)備環(huán)境要求。 設(shè)備的操作必須遵守廠商提供的操作規(guī)范。 通信線路和電纜必須從物理上進行保護。 支持設(shè)施 第74條 支持設(shè)施能夠支持物理場所、設(shè)備等的正常運作，比如：電力設(shè)施、空調(diào)、排水設(shè)施、消防設(shè)施、靜電保護設(shè)施等。必須采取保護措施使設(shè)備免受電源故障或電力異常的破壞。必須驗證電力供應(yīng)是否滿足廠商設(shè)備對電源的要求。每年應(yīng)至少對支持設(shè)施進行一次安全檢查。工作環(huán)境中增加新設(shè)備時，必須對電力、空調(diào)、地板等支持設(shè)施的負荷進行審核。必須設(shè)臵后備電源，例如不間斷電源（UPS）或發(fā)電機。對需要配備后備電源的設(shè)備裝臵進行審核，確保后備電源能夠滿足這些設(shè)備的正常工作。每年必須至少對備用電源/進行一次測試。應(yīng)急電源開關(guān)應(yīng)位于機房的緊急出口附近，以便緊急狀況發(fā)生時可以迅速切斷電源。電纜應(yīng)根據(jù)供電電壓和頻率的不同而相互隔離。所有電纜都應(yīng)帶有標簽，標簽上的編碼應(yīng)記錄歸檔。電纜應(yīng)從物理上加以保護。 設(shè)備維護 第75條 所有生產(chǎn)設(shè)備必須有足夠的維護保障，關(guān)鍵設(shè)備必須提供7x24的現(xiàn)場維護支持。所有生產(chǎn)設(shè)備必須定期進行預(yù)防性維護。只有經(jīng)過批準的、受過專業(yè)培訓(xùn)的工作人員才能進行維護工作。設(shè)備的所有維護工作都應(yīng)該記錄歸檔。如果設(shè)備需要搬離安全區(qū)域進行修理，必須獲得批準并卸載其存儲介質(zhì)。 第76條 必須建立設(shè)備故障報告流程。對于需要進行重大維修的設(shè)備，流程還應(yīng)該包含設(shè)備檢修的報告，及換用備用設(shè)備的流程。 管轄區(qū)域外設(shè)備安全 第77條 筆記本電腦用戶必須保護好筆記本電腦的安全，防止筆記本電腦損壞或被偷竊。 第78條 如果將設(shè)備帶出公司，設(shè)備擁有者必須親自或指定專人保護設(shè)備的安全。設(shè)備擁有者必須對設(shè)備在公司場所外的安全負責(zé)。 設(shè)備的安全處理或再利用 第79條 再利用或報廢之前，設(shè)備所含有的所有存儲裝臵（比如硬盤等）都必須通過嚴格檢查，確保所有敏感數(shù)據(jù)和軟件已被刪除或改寫，并且不可能被恢復(fù)。應(yīng)該通過風(fēng)險評估來決定是否徹底銷毀、送修還是丟棄含有敏感數(shù)據(jù)的已損壞設(shè)備。 9 通信和操作管理方面 操作程序和職責(zé) 規(guī)范的操作程序 第80條 必須為所有的業(yè)務(wù)系統(tǒng)建立操作程序，其內(nèi)容包括但不限于： 1)系統(tǒng)重啟、備份和恢復(fù)的措施 2)一般性錯誤處理的操作指南 3)技術(shù)支持人員的聯(lián)系方法 4)與其它系統(tǒng)的依賴性和處理的優(yōu)先級 5)硬件的配臵管理 第81條 操作程序必須征得管理者的同意才能對其進行修改。操作程序必須及時更新，更新條件包括但不限于： 1)應(yīng)用軟件的變更 2)硬件配臵的變更 變更控制 第82條 必須建立變更管理程序來控制系統(tǒng)的變更，所有變更都必須遵守變更管理程序的要求。程序內(nèi)容包括但不限于∶ 1)識別和記錄變更請求 2)評估變更的可行性、變更計劃和可能帶來的潛在影響 3)變更的測試 4)審批的流程 5)明確變更失敗的恢復(fù)計劃和責(zé)任人 6)變更的驗收 第83條 重要變更必須制定計劃，并在測試環(huán)境下進行足夠的測試后，才能在生產(chǎn)系統(tǒng)中實施。所有變更必須包括變更失敗的應(yīng)對措施和恢復(fù)計劃。所有變更必須獲得授權(quán)和批準，變更的申請和審批不得為同一個員工。對變更需要涉及的硬件、軟件和信息等對象都應(yīng)標識出來并進行相應(yīng)評估。變更在實施前必須通知到相關(guān)人員。 第84條 變更的實施應(yīng)該安排在對業(yè)務(wù)影響最小的時間段進行，盡量減少對業(yè)務(wù)正常運營的影響。在生產(chǎn)系統(tǒng)安裝或更新軟件前，必須對系統(tǒng)進行備份。變更完成后，相關(guān)的文檔（如系統(tǒng)需求文檔、設(shè)計文檔、操作手冊、用戶手冊等）必須得到更新，舊的文檔必須進行備份。 第85條 必須對變更進行復(fù)查，以確保變更沒有對原來的系統(tǒng)環(huán)境造成破壞。必須完整記錄整個變更過程，并將其妥善保管。變更的記錄應(yīng)至少每月復(fù)查一次。 職責(zé)分離 第86條 系統(tǒng)管理員和系統(tǒng)開發(fā)人員的職責(zé)必須明確分開。同一處理過程中的重要任務(wù)不應(yīng)該由同一個人來完成，以防止欺詐和誤操作的發(fā)生。 第87條 所有職責(zé)分離的控制必須記錄歸檔，作為責(zé)任分工的依據(jù)。無法采取職責(zé)分離時，必須采取其它的控制，比如活動監(jiān)控、審核跟蹤評估以及管理監(jiān)督等。 開發(fā)、測試和生產(chǎn)系統(tǒng)分離 第88條 不應(yīng)給開發(fā)人員提供超過其開發(fā)所需范圍的權(quán)限。如果開發(fā)人員需要訪問生產(chǎn)系統(tǒng)，必須經(jīng)過運營人員的授權(quán)和管理。 第89條 生產(chǎn)、測試和開發(fā)應(yīng)分別使用不同的系統(tǒng)環(huán)境。開發(fā)人員不得在生產(chǎn)環(huán)境中更改編碼或操作生產(chǎn)系統(tǒng)。不得在生產(chǎn)系統(tǒng)上擅自安裝開發(fā)工具（比如編譯程序及其他系統(tǒng)公用程序等），并做好已有開發(fā)工具的訪問控制。開發(fā)和測試環(huán)境使用的測試數(shù)據(jù)不能包含有敏感信息。 事件管理程序 第90條 必須建立事件管理程序，并根據(jù)事件影響的嚴重程度制訂其所屬類別，同時說明相應(yīng)的處理方法和負責(zé)人。必須根據(jù)事件的嚴重程度，定義響應(yīng)的范圍、時間和完成事件處理的時間。 第91條 系統(tǒng)的修復(fù)必須得到系統(tǒng)管理者的批準方可執(zhí)行。 第92條 所有事件報告必須記錄歸檔，并由部門主管或指定人員妥善保管。必須對事件的處理情況進行監(jiān)控，對超時的處理提出改進建議并跟進改進效果。 第三方服務(wù)交付管理 服務(wù)交付 第93條 第三方提供的服務(wù)必須滿足安全管理制度的要求。第三方提供的服務(wù)必須滿足公司業(yè)務(wù)連續(xù)性的要求。 第94條 必須保留第三方提供的服務(wù)、報告和記錄并定期評審，至少每半年一次。評審內(nèi)容應(yīng)包括：1) 服務(wù)內(nèi)容和質(zhì)量是否滿足合同要求； 2) 服務(wù)報告是否真實。 第三方服務(wù)的變更管理