【正文】 和學(xué)習(xí)公司對(duì)安全管理制度和標(biāo)準(zhǔn)的更新。 信息標(biāo)記和處理第41條 必須建立相應(yīng)的保密信息處理規(guī)范。當(dāng)信息被發(fā)布到公司外部，或者經(jīng)過一段時(shí)間后信息的敏感度發(fā)生改變時(shí)，信息需要重新分類。公司的所有信息處理設(shè)備（包括個(gè)人電腦）只能被使用于工作相關(guān)的活動(dòng)，不得用來炒股、玩游戲等。管理者是部門的資產(chǎn)則由部門主管負(fù)責(zé)監(jiān)護(hù)。資產(chǎn)的風(fēng)險(xiǎn)評(píng)估必須每年至少一次，主要評(píng)估當(dāng)前已部署安全控制措施的有效性。4)服務(wù)：通訊服務(wù)（專線）。 7 信息資產(chǎn)與人員安全 資產(chǎn)責(zé)任 資產(chǎn)的清單第31條 應(yīng)清楚識(shí)別所有的資產(chǎn)，所有與信息相關(guān)的重要資產(chǎn)都應(yīng)該在資產(chǎn)清單中標(biāo)出，并及時(shí)維護(hù)更新。所有對(duì)第三方的安全要求必須包含在與其簽訂的合約中。只有在風(fēng)險(xiǎn)被消除或降低到可接受的水平時(shí)才允許其訪問。審核工作應(yīng)由公司的審計(jì)部門或?qū)ｉT提供此類服務(wù)的第三方組織負(fù)責(zé)執(zhí)行。第20條 新設(shè)備在部署和使用之前，必須明確其用途和使用范圍，并獲得安全管理委員會(huì)的批準(zhǔn)。第18條 各分公司信息管理部門作為信息安全管理部門，其主要職責(zé)：（一）根據(jù)本規(guī)定、信息安全體系規(guī)范、標(biāo)準(zhǔn)和檢查指引，組織建立安全管理流程、手冊；（二）組織實(shí)施內(nèi)部安全檢查；（三）組織安全培訓(xùn)；（四）負(fù)責(zé)機(jī)密信息和機(jī)密資源的安全管理；（五）負(fù)責(zé)安全技術(shù)產(chǎn)品的使用、維護(hù)、升級(jí)；（六）配合安全審計(jì)工作的開展；（七）定期上報(bào)本單位信息系統(tǒng)安全情況，反饋安全技術(shù)和管理的意見和建議。第15條 必須舉行信息安全管理會(huì)議，會(huì)議成員包括安全管理委員會(huì)、安全管理代表和其他相關(guān)的公司高層管理人員。6 組織安全方面 組織內(nèi)部安全 信息安全體系管理第11條 公司成立安全管理委員會(huì)，安全管理委員會(huì)是公司信息安全管理的最高決策機(jī)構(gòu)，安全管理委員會(huì)的成員應(yīng)包括總裁室主管IT領(lǐng)導(dǎo)、公司安全審計(jì)負(fù)責(zé)人、公司法律負(fù)責(zé)人等。 制度發(fā)布第8條 所有制度在創(chuàng)建和更新后，必須經(jīng)過相應(yīng)管理層的審批。其它的條款則是強(qiáng)烈建議的，只要實(shí)際可行就應(yīng)該被采用。不可抵賴性服務(wù)：用于解決交易糾紛中爭議交易是否發(fā)生的機(jī)制。消息驗(yàn)證：一種檢查傳輸?shù)碾娮酉⑹欠裼蟹欠ㄗ兏蚱茐牡募夹g(shù)，它可以在硬件或軟件上實(shí)施。安全邊界：用以明確劃分安全區(qū)域，如圍墻、大廈接待處、網(wǎng)段等。容量：分為系統(tǒng)容量和環(huán)境容量兩方面。2 適用范圍第2條 本規(guī)定適用于。3 管理對(duì)象第3條 管理對(duì)象指組成計(jì)算機(jī)信息系統(tǒng)的系統(tǒng)、設(shè)備和數(shù)據(jù)等信息資產(chǎn)和人員的安全。系統(tǒng)容量包括CPU、內(nèi)存、硬盤存儲(chǔ)等。惡意軟件：包括計(jì)算機(jī)病毒、網(wǎng)絡(luò)蠕蟲、木馬、流氓軟件、邏輯炸彈等。數(shù)字簽名：一種保護(hù)電子文檔真實(shí)性和完整性的方法。電子化辦公系統(tǒng)：包括電子郵件、KOA系統(tǒng)以及用于業(yè)務(wù)信息傳送及共享的企業(yè)內(nèi)部網(wǎng)。第5條 所有員工都受本制度的約束，各部門領(lǐng)導(dǎo)有責(zé)任確保其部門已實(shí)施足夠的安全控制措施，以保護(hù)信息安全。制度經(jīng)批準(zhǔn)之后必須通知所有相關(guān)人員。第12條 信息安全管理代表由信息安全管理委員會(huì)指定，一般應(yīng)包含稽核部IT稽核崗、信息管理部信息安全相關(guān)崗位及分公司IT崗。第16條 信息安全管理會(huì)議必須每年定期舉行，討論和審批信息安全相關(guān)事宜，具體包括以下內(nèi)容1)復(fù)審本管理制度的有效性2)復(fù)審技術(shù)變更帶來的影響3)復(fù)審安全風(fēng)險(xiǎn)4)審批信息安全措施及程序5)審批信息安全建議6)確保任何新項(xiàng)目規(guī)劃已考慮信息安全的需求7)復(fù)審安全檢查結(jié)果和安全事故報(bào)告8)復(fù)審安全控制實(shí)施的效果和影響9)宣導(dǎo)和推行公司高層對(duì)信息安全管理的指示 信息安全職責(zé)分配第17條 信息管理部門作為信息安全管理部門，負(fù)責(zé)信息安全管理策略制定及實(shí)施，其主要職責(zé)：（一）負(fù)責(zé)全公司信息安全管理和指導(dǎo)；（二）牽頭制訂全公司信息安全體系規(guī)范、標(biāo)準(zhǔn)和檢查指引，參與我司信息系統(tǒng)工程建設(shè)的安全規(guī)劃；（三）組織全公司安全檢查；（四）配合全公司安全審計(jì)工作的開展；（五）牽頭組織全公司安全管理培訓(xùn)；（六）負(fù)責(zé)全公司安全方案的審核和安全產(chǎn)品的選型、購置。（八）依據(jù)本規(guī)定、安全規(guī)范、技術(shù)標(biāo)準(zhǔn)、操作手冊實(shí)施各類安全策略。必須對(duì)新設(shè)備的硬件和軟件系統(tǒng)進(jìn)行詳細(xì)檢查，以確保它們的安全性和兼容性。負(fù)責(zé)安全審核的人員必須具備相應(yīng)的技能和經(jīng)驗(yàn)。第25條 第三方包括但不限于：1) 硬件和軟件廠商的支持人員和其他外包商2) 監(jiān)管機(jī)構(gòu)、外部顧問、外部審計(jì)機(jī)構(gòu)和合作伙伴3) 臨時(shí)員工、實(shí)習(xí)生4) 清潔工和保安5) 公司的客戶第26條 第三方對(duì)公司信息或信息系統(tǒng)的訪問類型包括但不限于：1) 物理的訪問，例如：訪問公司大廈、職場、數(shù)據(jù)中心等；2) 邏輯的訪問，例如：訪問公司的數(shù)據(jù)庫、信息系統(tǒng)等；3) 與第三方之間的網(wǎng)絡(luò)連接，例如：固定的連接、臨時(shí)的遠(yuǎn)程連接；第27條 第三方所有的訪問申請(qǐng)都必須經(jīng)過信息安全管理代表的審批，只提供其工作所須的最小權(quán)限和滿足其工作所需的最少資源，并且需要定期對(duì)第三方的訪問權(quán)限進(jìn)行復(fù)查。 當(dāng)與客戶接觸時(shí)強(qiáng)調(diào)信息安全第29條 必須在允許客戶訪問信息或信息系統(tǒng)前識(shí)別并告知其需要遵守的安全需求。這些資產(chǎn)包括但不限于∶1)信息：數(shù)據(jù)庫和數(shù)據(jù)文件、系統(tǒng)文檔、用戶手冊、培訓(xùn)材料、操作手冊、業(yè)務(wù)連續(xù)性計(jì)劃、系統(tǒng)恢復(fù)計(jì)劃、備份信息和合同等。第32條 資產(chǎn)清單必須每年至少審核一次。第33條 實(shí)體資產(chǎn)需要貼上適當(dāng)?shù)臉?biāo)簽。第35條 資產(chǎn)管理者的職責(zé)是：1)確定資產(chǎn)的保密等級(jí)分類和訪問管理辦法；2)定期復(fù)查資產(chǎn)的分類和訪問管理辦法。濫用信息處理設(shè)備的員工將受到紀(jì)律處分。第40條 信息的保密程度從高到低分為絕密、機(jī)密、秘密和非保密四種等級(jí)。對(duì)于不同的保密等級(jí)，應(yīng)明確說明如下信息活動(dòng)的處理要求：1)復(fù)制2)保存和保管（以物理或電子方式）3)傳送（以郵寄、傳真或電子郵件的方式）4)銷毀第42條 電子文檔和系統(tǒng)輸出的信息（打印報(bào)表和磁帶等）應(yīng)帶有適當(dāng)?shù)男畔⒎诸悩?biāo)記。第45條 應(yīng)該至少每年向員工提供一次安全意識(shí)培訓(xùn)，其內(nèi)容包括但不限于：1)安全管理委員會(huì)下達(dá)的安全管理要求2)信息保密的責(zé)任3)一般性安全守則4)信息分類5)安全事故報(bào)告程序6)電腦病毒爆發(fā)時(shí)的應(yīng)對(duì)措施7)災(zāi)難發(fā)生時(shí)的應(yīng)對(duì)措施第46條 應(yīng)該對(duì)系統(tǒng)管理員、開發(fā)人員進(jìn)行安全技能方面的培訓(xùn)，至少每年一次。在對(duì)信息安全事件調(diào)查結(jié)束后，必須對(duì)事件中的相關(guān)人員根據(jù)公司的懲戒規(guī)定進(jìn)行處罰。需要?dú)w還的資產(chǎn)包括但不限于：1) 帳號(hào)和訪問權(quán)限2) 公司的電子或紙質(zhì)文檔3) 公司購買的硬件和軟件資產(chǎn)4) 公司購買的其他設(shè)備第51條 如果在非公司資產(chǎn)上保存有公司的資產(chǎn)，必須在帶出公司前歸還或刪除公司的資產(chǎn)。第54條 在已經(jīng)確定員工或第三方終止或變更意向后，必須及時(shí)對(duì)他們的權(quán)限進(jìn)行限制，只保留終止或變更所需要的權(quán)限。第57條 在非辦公時(shí)間內(nèi)，重要的安全區(qū)域必須安排保安定時(shí)巡視。任何時(shí)候，重要安全區(qū)域的所有出入口必須受到嚴(yán)格的訪問控制，確保只有授權(quán)的員工才可以進(jìn)入此區(qū)域。第60條 所有來賓的有關(guān)資料都必須詳細(xì)記載在來賓進(jìn)出登記表中，并向獲準(zhǔn)進(jìn)入的來賓發(fā)放來賓通行證。所有安全區(qū)域和出入口必須通過閉路電視進(jìn)行監(jiān)控。 防范外部和環(huán)境威脅第63條 辦公場所和機(jī)房的設(shè)計(jì)和建設(shè)必須充分考慮火災(zāi)、洪水、地震、爆炸、騷亂等天災(zāi)或人為災(zāi)難，并采取額外的控制措施加以保護(hù)。第66條 機(jī)房的消防措施必須滿足以下要求：1) 必須安裝消防設(shè)備，并定期檢查。應(yīng)每季度定期檢查這些裝備，確保它們能有效運(yùn)作。8) 緊急事件發(fā)生時(shí)必須提供緊急照明。 在安全區(qū)域工作第67條 員工進(jìn)入機(jī)房的訪問授權(quán)，不能超過其工作所需的范圍。必須維護(hù)和及時(shí)更新來賓記錄，以掌握來賓進(jìn)入機(jī)房的詳細(xì)情況。第69條 機(jī)房的保護(hù)應(yīng)在專家的指導(dǎo)下進(jìn)行，必須安裝合適的安全防護(hù)和檢測裝置。第71條 在機(jī)房值班人員交接時(shí)，上一班值班人員所遺留的問題以及從事的工作應(yīng)明確交待給下一班，保證相關(guān)操作的延續(xù)性。設(shè)備都應(yīng)該裝有合適的漏電保險(xiǎn)絲或斷路器進(jìn)行保護(hù)。 支持設(shè)施第74條 支持設(shè)施能夠支持物理場所、設(shè)備等的正常運(yùn)作，比如：電力設(shè)施、空調(diào)、排水設(shè)施、消防設(shè)施、靜電保護(hù)設(shè)施等。工作環(huán)境中增加新設(shè)備時(shí)，必須對(duì)電力、空調(diào)、地板等支持設(shè)施的負(fù)荷進(jìn)行審核。應(yīng)急電源開關(guān)應(yīng)位于機(jī)房的緊急出口附近，以便緊急狀況發(fā)生時(shí)可以迅速切斷電源。 設(shè)備維護(hù)第75條 所有生產(chǎn)設(shè)備必須有足夠的維護(hù)保障，關(guān)鍵設(shè)備必須提供7x24的現(xiàn)場維護(hù)支持。如果設(shè)備需要搬離安全區(qū)域進(jìn)行修理，必須獲得批準(zhǔn)并卸載其存儲(chǔ)介質(zhì)。第78條 如果將設(shè)備帶出公司，設(shè)備擁有者必須親自或指定專人保護(hù)設(shè)備的安全。9 通信和操作管理方面 操作程序和職責(zé) 規(guī)范的操作程序第80條 必須為所有的業(yè)務(wù)系統(tǒng)建立操作程序，其內(nèi)容包括但不限于：1)系統(tǒng)重啟、備份和恢復(fù)的措施2)一般性錯(cuò)誤處理的操作指南3)技術(shù)支持人員的聯(lián)系方法4)與其它系統(tǒng)的依賴性和處理的優(yōu)先級(jí)5)硬件的配置管理第81條 操作程序必須征得管理者的同意才能對(duì)其進(jìn)行修改。所有變更必須獲得授權(quán)和批準(zhǔn)，變更的申請(qǐng)和審批不得為同一個(gè)員工。在生產(chǎn)系統(tǒng)安裝或更新軟件前，必須對(duì)系統(tǒng)進(jìn)行備份。變更的記錄應(yīng)至少每月復(fù)查一次。無法采取職責(zé)分離時(shí)，必須采取其它的控制，比如活動(dòng)監(jiān)控、審核跟蹤評(píng)估以及管理監(jiān)督等。開發(fā)人員不得在生產(chǎn)環(huán)境中更改編碼或操作生產(chǎn)系統(tǒng)。必須根據(jù)事件的嚴(yán)重程度，定義響應(yīng)的范圍、時(shí)間和完成事件處理的時(shí)間。 第三方服務(wù)交付管理 服務(wù)交付第93條 第三方提供的服務(wù)必須滿足安全管理制度的要求。 第三方服務(wù)的變更管理第95條 服務(wù)改變時(shí)，必須重新對(duì)服務(wù)是否滿足安全管理辦法進(jìn)行評(píng)估。所有存進(jìn)計(jì)算機(jī)的信息（例如接收到的郵件、下載的文件等）都必須經(jīng)過病毒掃描。第99條 必須定期審核控制惡意軟件措施的有效性。系統(tǒng)在重大變更之前和之后必須進(jìn)行備份。備份資料和相應(yīng)的恢復(fù)操作手冊必須定期傳送到異地進(jìn)行保存。必須定期檢查和測試恢復(fù)步驟，確保它們的有效性。只有得到許可的員工才能夠使用網(wǎng)絡(luò)管理系統(tǒng)。任何準(zhǔn)備接進(jìn)網(wǎng)絡(luò)的新設(shè)備，在進(jìn)網(wǎng)前都必須通過協(xié)議兼容性的評(píng)估和安全檢查。除非得到授權(quán)，否則禁止訪問外部網(wǎng)絡(luò)的服務(wù)。標(biāo)識(shí)用的代碼需要記錄并歸檔。第112條 存儲(chǔ)介質(zhì)的存放環(huán)境必須滿足介質(zhì)要求的環(huán)境條件（比如溫度、濕度、空氣質(zhì)量等）。第116條 所有報(bào)廢及過期的存儲(chǔ)介質(zhì)必須妥善銷毀。含有敏感信息的文檔應(yīng)保存在安全的地方，未經(jīng)許可不得訪問。第122條 未經(jīng)許可，公司內(nèi)部不允許安裝、使用無線通信設(shè)備。第125條 電話錄音系統(tǒng)應(yīng)該配置密碼，以防非法訪問。應(yīng)使用可靠的傳輸工具或傳遞人，授權(quán)的傳遞人必須接受適當(dāng)監(jiān)管并進(jìn)行其身份的檢查。包裝應(yīng)該非常結(jié)實(shí)，確保介質(zhì)在運(yùn)輸過程中不受到損壞。必須對(duì)Internet屏蔽郵件系統(tǒng)的內(nèi)網(wǎng)IP地址。未經(jīng)授權(quán)，嚴(yán)禁使用公司以外的郵箱處理公司業(yè)務(wù)。 電子商務(wù)服務(wù) 電子商務(wù)第136條 必須采取適當(dāng)措施，保證電子交易過程的機(jī)密性、完整性和可用性。身份驗(yàn)證技術(shù)必須滿足業(yè)務(wù)的實(shí)際要求。第142條 在線交易中必須使用數(shù)字證書保護(hù)交易安全。第144條 在線交易必須遵守國家、地區(qū)和行業(yè)相關(guān)的法律法規(guī)。信息在發(fā)布之前必須經(jīng)過核對(duì)，確認(rèn)其正確性和完整性。第150條 必須確保日志記錄功能在任何時(shí)候都能正常運(yùn)行。 監(jiān)控系統(tǒng)的使用第152條 不同的信息處理設(shè)備所要求的監(jiān)控等級(jí)應(yīng)該通過風(fēng)險(xiǎn)評(píng)估來決定，必須考慮下列要素：1)系統(tǒng)的訪問；2)所有特權(quán)操作；3)未授權(quán)的訪問嘗試；4)系統(tǒng)警報(bào)或故障。只有授權(quán)的員工才能訪問并使用日志。第158條 管理員和重要系統(tǒng)的操作員日志應(yīng)該至少每周復(fù)查一次。所有故障記錄都應(yīng)該向上級(jí)匯報(bào)并記錄歸檔。第164條 對(duì)于不能進(jìn)行時(shí)鐘同步的系統(tǒng)，必須對(duì)時(shí)間進(jìn)行每月一次的檢查。必須按照“除非明