【正文】 和學習公司對安全管理制度和標準的更新。 信息標記和處理第41條 必須建立相應的保密信息處理規(guī)范。當信息被發(fā)布到公司外部，或者經過一段時間后信息的敏感度發(fā)生改變時，信息需要重新分類。公司的所有信息處理設備（包括個人電腦）只能被使用于工作相關的活動，不得用來炒股、玩游戲等。管理者是部門的資產則由部門主管負責監(jiān)護。資產的風險評估必須每年至少一次，主要評估當前已部署安全控制措施的有效性。4)服務：通訊服務（專線）。 7 信息資產與人員安全 資產責任 資產的清單第31條 應清楚識別所有的資產，所有與信息相關的重要資產都應該在資產清單中標出，并及時維護更新。所有對第三方的安全要求必須包含在與其簽訂的合約中。只有在風險被消除或降低到可接受的水平時才允許其訪問。審核工作應由公司的審計部門或專門提供此類服務的第三方組織負責執(zhí)行。第20條 新設備在部署和使用之前，必須明確其用途和使用范圍，并獲得安全管理委員會的批準。第18條 各分公司信息管理部門作為信息安全管理部門，其主要職責：（一）根據(jù)本規(guī)定、信息安全體系規(guī)范、標準和檢查指引，組織建立安全管理流程、手冊；（二）組織實施內部安全檢查；（三）組織安全培訓；（四）負責機密信息和機密資源的安全管理；（五）負責安全技術產品的使用、維護、升級；（六）配合安全審計工作的開展；（七）定期上報本單位信息系統(tǒng)安全情況，反饋安全技術和管理的意見和建議。第15條 必須舉行信息安全管理會議，會議成員包括安全管理委員會、安全管理代表和其他相關的公司高層管理人員。6 組織安全方面 組織內部安全 信息安全體系管理第11條 公司成立安全管理委員會，安全管理委員會是公司信息安全管理的最高決策機構，安全管理委員會的成員應包括總裁室主管IT領導、公司安全審計負責人、公司法律負責人等。 制度發(fā)布第8條 所有制度在創(chuàng)建和更新后，必須經過相應管理層的審批。其它的條款則是強烈建議的，只要實際可行就應該被采用。不可抵賴性服務：用于解決交易糾紛中爭議交易是否發(fā)生的機制。消息驗證：一種檢查傳輸?shù)碾娮酉⑹欠裼蟹欠ㄗ兏蚱茐牡募夹g，它可以在硬件或軟件上實施。安全邊界：用以明確劃分安全區(qū)域，如圍墻、大廈接待處、網段等。容量：分為系統(tǒng)容量和環(huán)境容量兩方面。2 適用范圍第2條 本規(guī)定適用于。3 管理對象第3條 管理對象指組成計算機信息系統(tǒng)的系統(tǒng)、設備和數(shù)據(jù)等信息資產和人員的安全。系統(tǒng)容量包括CPU、內存、硬盤存儲等。惡意軟件：包括計算機病毒、網絡蠕蟲、木馬、流氓軟件、邏輯炸彈等。數(shù)字簽名：一種保護電子文檔真實性和完整性的方法。電子化辦公系統(tǒng)：包括電子郵件、KOA系統(tǒng)以及用于業(yè)務信息傳送及共享的企業(yè)內部網。第5條 所有員工都受本制度的約束，各部門領導有責任確保其部門已實施足夠的安全控制措施，以保護信息安全。制度經批準之后必須通知所有相關人員。第12條 信息安全管理代表由信息安全管理委員會指定，一般應包含稽核部IT稽核崗、信息管理部信息安全相關崗位及分公司IT崗。第16條 信息安全管理會議必須每年定期舉行，討論和審批信息安全相關事宜，具體包括以下內容1)復審本管理制度的有效性2)復審技術變更帶來的影響3)復審安全風險4)審批信息安全措施及程序5)審批信息安全建議6)確保任何新項目規(guī)劃已考慮信息安全的需求7)復審安全檢查結果和安全事故報告8)復審安全控制實施的效果和影響9)宣導和推行公司高層對信息安全管理的指示 信息安全職責分配第17條 信息管理部門作為信息安全管理部門，負責信息安全管理策略制定及實施，其主要職責：（一）負責全公司信息安全管理和指導；（二）牽頭制訂全公司信息安全體系規(guī)范、標準和檢查指引，參與我司信息系統(tǒng)工程建設的安全規(guī)劃；（三）組織全公司安全檢查；（四）配合全公司安全審計工作的開展；（五）牽頭組織全公司安全管理培訓；（六）負責全公司安全方案的審核和安全產品的選型、購置。（八）依據(jù)本規(guī)定、安全規(guī)范、技術標準、操作手冊實施各類安全策略。必須對新設備的硬件和軟件系統(tǒng)進行詳細檢查，以確保它們的安全性和兼容性。負責安全審核的人員必須具備相應的技能和經驗。第25條 第三方包括但不限于：1) 硬件和軟件廠商的支持人員和其他外包商2) 監(jiān)管機構、外部顧問、外部審計機構和合作伙伴3) 臨時員工、實習生4) 清潔工和保安5) 公司的客戶第26條 第三方對公司信息或信息系統(tǒng)的訪問類型包括但不限于：1) 物理的訪問，例如：訪問公司大廈、職場、數(shù)據(jù)中心等；2) 邏輯的訪問，例如：訪問公司的數(shù)據(jù)庫、信息系統(tǒng)等；3) 與第三方之間的網絡連接，例如：固定的連接、臨時的遠程連接；第27條 第三方所有的訪問申請都必須經過信息安全管理代表的審批，只提供其工作所須的最小權限和滿足其工作所需的最少資源，并且需要定期對第三方的訪問權限進行復查。 當與客戶接觸時強調信息安全第29條 必須在允許客戶訪問信息或信息系統(tǒng)前識別并告知其需要遵守的安全需求。這些資產包括但不限于∶1)信息：數(shù)據(jù)庫和數(shù)據(jù)文件、系統(tǒng)文檔、用戶手冊、培訓材料、操作手冊、業(yè)務連續(xù)性計劃、系統(tǒng)恢復計劃、備份信息和合同等。第32條 資產清單必須每年至少審核一次。第33條 實體資產需要貼上適當?shù)臉撕灐５?5條 資產管理者的職責是：1)確定資產的保密等級分類和訪問管理辦法；2)定期復查資產的分類和訪問管理辦法。濫用信息處理設備的員工將受到紀律處分。第40條 信息的保密程度從高到低分為絕密、機密、秘密和非保密四種等級。對于不同的保密等級，應明確說明如下信息活動的處理要求：1)復制2)保存和保管（以物理或電子方式）3)傳送（以郵寄、傳真或電子郵件的方式）4)銷毀第42條 電子文檔和系統(tǒng)輸出的信息（打印報表和磁帶等）應帶有適當?shù)男畔⒎诸悩擞?。?5條 應該至少每年向員工提供一次安全意識培訓，其內容包括但不限于：1)安全管理委員會下達的安全管理要求2)信息保密的責任3)一般性安全守則4)信息分類5)安全事故報告程序6)電腦病毒爆發(fā)時的應對措施7)災難發(fā)生時的應對措施第46條 應該對系統(tǒng)管理員、開發(fā)人員進行安全技能方面的培訓，至少每年一次。在對信息安全事件調查結束后，必須對事件中的相關人員根據(jù)公司的懲戒規(guī)定進行處罰。需要歸還的資產包括但不限于：1) 帳號和訪問權限2) 公司的電子或紙質文檔3) 公司購買的硬件和軟件資產4) 公司購買的其他設備第51條 如果在非公司資產上保存有公司的資產，必須在帶出公司前歸還或刪除公司的資產。第54條 在已經確定員工或第三方終止或變更意向后，必須及時對他們的權限進行限制，只保留終止或變更所需要的權限。第57條 在非辦公時間內，重要的安全區(qū)域必須安排保安定時巡視。任何時候，重要安全區(qū)域的所有出入口必須受到嚴格的訪問控制，確保只有授權的員工才可以進入此區(qū)域。第60條 所有來賓的有關資料都必須詳細記載在來賓進出登記表中，并向獲準進入的來賓發(fā)放來賓通行證。所有安全區(qū)域和出入口必須通過閉路電視進行監(jiān)控。 防范外部和環(huán)境威脅第63條 辦公場所和機房的設計和建設必須充分考慮火災、洪水、地震、爆炸、騷亂等天災或人為災難，并采取額外的控制措施加以保護。第66條 機房的消防措施必須滿足以下要求：1) 必須安裝消防設備，并定期檢查。應每季度定期檢查這些裝備，確保它們能有效運作。8) 緊急事件發(fā)生時必須提供緊急照明。 在安全區(qū)域工作第67條 員工進入機房的訪問授權，不能超過其工作所需的范圍。必須維護和及時更新來賓記錄，以掌握來賓進入機房的詳細情況。第69條 機房的保護應在專家的指導下進行，必須安裝合適的安全防護和檢測裝置。第71條 在機房值班人員交接時，上一班值班人員所遺留的問題以及從事的工作應明確交待給下一班，保證相關操作的延續(xù)性。設備都應該裝有合適的漏電保險絲或斷路器進行保護。 支持設施第74條 支持設施能夠支持物理場所、設備等的正常運作，比如：電力設施、空調、排水設施、消防設施、靜電保護設施等。工作環(huán)境中增加新設備時，必須對電力、空調、地板等支持設施的負荷進行審核。應急電源開關應位于機房的緊急出口附近，以便緊急狀況發(fā)生時可以迅速切斷電源。 設備維護第75條 所有生產設備必須有足夠的維護保障，關鍵設備必須提供7x24的現(xiàn)場維護支持。如果設備需要搬離安全區(qū)域進行修理，必須獲得批準并卸載其存儲介質。第78條 如果將設備帶出公司，設備擁有者必須親自或指定專人保護設備的安全。9 通信和操作管理方面 操作程序和職責 規(guī)范的操作程序第80條 必須為所有的業(yè)務系統(tǒng)建立操作程序，其內容包括但不限于：1)系統(tǒng)重啟、備份和恢復的措施2)一般性錯誤處理的操作指南3)技術支持人員的聯(lián)系方法4)與其它系統(tǒng)的依賴性和處理的優(yōu)先級5)硬件的配置管理第81條 操作程序必須征得管理者的同意才能對其進行修改。所有變更必須獲得授權和批準，變更的申請和審批不得為同一個員工。在生產系統(tǒng)安裝或更新軟件前，必須對系統(tǒng)進行備份。變更的記錄應至少每月復查一次。無法采取職責分離時，必須采取其它的控制，比如活動監(jiān)控、審核跟蹤評估以及管理監(jiān)督等。開發(fā)人員不得在生產環(huán)境中更改編碼或操作生產系統(tǒng)。必須根據(jù)事件的嚴重程度，定義響應的范圍、時間和完成事件處理的時間。 第三方服務交付管理 服務交付第93條 第三方提供的服務必須滿足安全管理制度的要求。 第三方服務的變更管理第95條 服務改變時，必須重新對服務是否滿足安全管理辦法進行評估。所有存進計算機的信息（例如接收到的郵件、下載的文件等）都必須經過病毒掃描。第99條 必須定期審核控制惡意軟件措施的有效性。系統(tǒng)在重大變更之前和之后必須進行備份。備份資料和相應的恢復操作手冊必須定期傳送到異地進行保存。必須定期檢查和測試恢復步驟，確保它們的有效性。只有得到許可的員工才能夠使用網絡管理系統(tǒng)。任何準備接進網絡的新設備，在進網前都必須通過協(xié)議兼容性的評估和安全檢查。除非得到授權，否則禁止訪問外部網絡的服務。標識用的代碼需要記錄并歸檔。第112條 存儲介質的存放環(huán)境必須滿足介質要求的環(huán)境條件（比如溫度、濕度、空氣質量等）。第116條 所有報廢及過期的存儲介質必須妥善銷毀。含有敏感信息的文檔應保存在安全的地方，未經許可不得訪問。第122條 未經許可，公司內部不允許安裝、使用無線通信設備。第125條 電話錄音系統(tǒng)應該配置密碼，以防非法訪問。應使用可靠的傳輸工具或傳遞人，授權的傳遞人必須接受適當監(jiān)管并進行其身份的檢查。包裝應該非常結實，確保介質在運輸過程中不受到損壞。必須對Internet屏蔽郵件系統(tǒng)的內網IP地址。未經授權，嚴禁使用公司以外的郵箱處理公司業(yè)務。 電子商務服務 電子商務第136條 必須采取適當措施，保證電子交易過程的機密性、完整性和可用性。身份驗證技術必須滿足業(yè)務的實際要求。第142條 在線交易中必須使用數(shù)字證書保護交易安全。第144條 在線交易必須遵守國家、地區(qū)和行業(yè)相關的法律法規(guī)。信息在發(fā)布之前必須經過核對，確認其正確性和完整性。第150條 必須確保日志記錄功能在任何時候都能正常運行。 監(jiān)控系統(tǒng)的使用第152條 不同的信息處理設備所要求的監(jiān)控等級應該通過風險評估來決定，必須考慮下列要素：1)系統(tǒng)的訪問；2)所有特權操作；3)未授權的訪問嘗試；4)系統(tǒng)警報或故障。只有授權的員工才能訪問并使用日志。第158條 管理員和重要系統(tǒng)的操作員日志應該至少每周復查一次。所有故障記錄都應該向上級匯報并記錄歸檔。第164條 對于不能進行時鐘同步的系統(tǒng)，必須對時間進行每月一次的檢查。必須按照“除非明