【正文】 。這些資產(chǎn)包括但不限于∶ 1)信息：數(shù)據(jù)庫和數(shù)據(jù)文件、系統(tǒng)文檔、用戶手冊、培訓(xùn)材料、操作手冊、業(yè)務(wù)連續(xù)性計劃、系統(tǒng)恢復(fù)計劃、備份信息和合同等。 當(dāng)與客戶接觸時強(qiáng)調(diào)信息安全 第29條 必須在允許客戶訪問信息或信息系統(tǒng)前識別并告知其需要遵守的安全需求。 第25條 第三方包括但不限于： 1) 硬件和軟件廠商的支持人員和其他外包商 2) 監(jiān)管機(jī)構(gòu)、外部顧問、外部審計機(jī)構(gòu)和合作伙伴 3) 臨時員工、實習(xí)生 4) 清潔工和保安 5) 公司的客戶 第26條 第三方對公司信息或信息系統(tǒng)的訪問類型包括但不限于： 1) 物理的訪問，例如：訪問公司機(jī)房、監(jiān)控中心等； 2) 邏輯的訪問，例如：訪問公司的數(shù)據(jù)庫、信息系統(tǒng)等； 3) 與第三方之間的網(wǎng)絡(luò)連接，例如：固定的連接、臨時的遠(yuǎn)程連接； 第27條 第三方所有的訪問申請都必須經(jīng)過信息安全管理代表的審批，只提供其工作所須的最小權(quán)限和滿足其工作所需的最少資源，并且需要定期對第三方的訪問權(quán)限進(jìn)行復(fù)查。負(fù)責(zé)安全審核的人員必須具備相應(yīng)的技能和經(jīng)驗。必須對新設(shè)備的硬件和軟件系統(tǒng)進(jìn)行詳細(xì)檢查，以確保它們的安全性和兼容性。 （八）依據(jù)本規(guī)定、安全規(guī)范、技術(shù)標(biāo)準(zhǔn)、操作手冊實施各類安全策略。 信息安全職責(zé)分配 第17條 信息管理部門作為信息安全管理部門，負(fù)責(zé)信息安全管理策略制定及實施，其主要職責(zé)： （一）負(fù)責(zé)全公司信息安全管理和指導(dǎo)； （二）牽頭制訂全公司信息安全體系規(guī)范、標(biāo)準(zhǔn)和檢查指引，參與我司信息系統(tǒng)工程建設(shè)的安全規(guī)劃； （三）組織全公司安全檢查； （四）配合全公司安全審計工作的開展； （五）牽頭組織全公司安全管理培訓(xùn)； （六）負(fù)責(zé)全公司安全方案的審核和安全產(chǎn)品的選型、購臵。 第13條 安全管理委員會通過清晰的方向、可見的承諾、詳細(xì)的分工，積極地支持信息安全工作，主要包括以下幾方面： 1)確定信息安全的目標(biāo)符合公司的要求和相關(guān)制度； 2)闡明、復(fù)查和批準(zhǔn)信息安全管理制度； 3)復(fù)查信息安全管理制度執(zhí)行的有效性； 4)為信息安全的執(zhí)行提供明確的指導(dǎo)和有效的支持； 5)提供信息安全體系運作所需要的資源 6)為信息安全在公司執(zhí)行定義明確的角色和職責(zé)； 7)批準(zhǔn)信息安全推廣和培訓(xùn)的計劃和程序； 8)確保信息安全控制措施在公司內(nèi)被有效的執(zhí)行。 制度復(fù)審 第9條 當(dāng)環(huán)境改變、技術(shù)更新或者業(yè)務(wù)本身發(fā)生變化時，必須對安全制度重新進(jìn)行評審，并作出相應(yīng)的修正，以確保能有效地保護(hù)公司的信息資產(chǎn)。 第6條 各部門的領(lǐng)導(dǎo)有責(zé)任確保其部門的員工了解本安全管理制度、相關(guān)的標(biāo)準(zhǔn)和程序以及日常的信息安全管理。 5 安全制度方面 安全制度要求 本制度的詮釋 第4條 所有帶有“必須”的條款都是強(qiáng)制性的。例如，在電子商務(wù)中可以使用它驗證誰簽署電子文檔，并檢查已簽署文檔的內(nèi)容是否被更改。 備份周期：根據(jù)備份管理辦法制定的備份循環(huán)的周期，一個備份周期的內(nèi)容相當(dāng)于一個完整的全備份。環(huán)境容量包括電力供應(yīng)、濕度、溫度、空氣質(zhì)量等。主要范圍包括：人員安全、物理環(huán)境安全、資產(chǎn)識別和分類、風(fēng)險管理、物理和邏輯訪問控制、系統(tǒng)操作與運行安全、網(wǎng)絡(luò)通訊安全、信息加密與解密、應(yīng)急與災(zāi)難恢復(fù)、軟件研發(fā)與應(yīng)用安全、機(jī)密資源管理、第三方與外包安全、法律和標(biāo)準(zhǔn)的符合性、項目與工程安全控制、安全檢查與審計等。信息安全管理制度琥珀（安吉）燃機(jī)熱電有限公司 36 / 38信息安全制度1 總則 第1條 為規(guī)范信息安全管理工作，加強(qiáng)過程管理和基礎(chǔ)設(shè)施管理的風(fēng)險分析及防范，建立安全責(zé)任制，健全安全內(nèi)控制度，保證信息系統(tǒng)的機(jī)密性、完整性、可用性，特制定本規(guī)定。4 術(shù)語定義 DMZ：用于隔離內(nèi)網(wǎng)和外網(wǎng)的區(qū)域，此區(qū)域不屬于可信任的內(nèi)網(wǎng)，也不是完全開放給因特網(wǎng)。 安全制度：與信息安全相關(guān)的制度文檔，包括安全管理辦法、標(biāo)準(zhǔn)、指引和程序等。 系統(tǒng)工具：能夠更改系統(tǒng)及應(yīng)用配臵的程序被定義為系統(tǒng)工具，如系統(tǒng)管理、維護(hù)工具、調(diào)試程序等。 信息處理設(shè)備：泛指處理信息的所有設(shè)備和信息系統(tǒng)，包括網(wǎng)絡(luò)、服務(wù)器、個人電腦和筆記本電腦等。除非事先得到安全管理委員會的認(rèn)可，否則都要堅決執(zhí)行。 第7條 安全管理代表（或其指派的人員）將審核各部門安全控制措施實施的準(zhǔn)確性和完整性，此過程是公司例行內(nèi)部審計的一部分。 第10條 安全管理委員會必須定期對本管理辦法進(jìn)行正式的復(fù)審，并根據(jù)復(fù)審所作的修正，指導(dǎo)相關(guān)員工采取相應(yīng)的行動。 第14條 安全管理委員會需要對內(nèi)部或外部信息安全專家的建議進(jìn)行評估，并檢查和調(diào)整建議在公司內(nèi)執(zhí)行的結(jié)果。 （七）依據(jù)本規(guī)定、安全規(guī)范、技術(shù)標(biāo)準(zhǔn)、操作手冊實施各類安全策略。 （九）負(fù)責(zé)各類安全策略的日常維護(hù)和管理。 第21條 除非獲得安全管理委員會的授權(quán)，否則不允許使用私人的信息處理設(shè)備來處理公司業(yè)務(wù)信息或使用公司資源。 第23條 獨立的信息安全審核必須每年至少進(jìn)行一次。第三方對重要信息系統(tǒng)或地點的訪問和操作必須有相關(guān)人員陪同。采取相應(yīng)的保護(hù)措施保護(hù)客戶訪問的信息或信息系統(tǒng)。 2)軟件：應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具以及實用工具等。在購買新資產(chǎn)之前必須進(jìn)行安全評估。 資產(chǎn)的管理權(quán) 第34條 所有資產(chǎn)都應(yīng)該被詳細(xì)說明，必須指明具體的管理者。 資產(chǎn)的合理使用 第36條 必須識別信息和信息系統(tǒng)的使用準(zhǔn)則，形成文件并實施。 信息分類 信息分類原則 第38條 所有信息都應(yīng)該根據(jù)其敏感性、重要性以及業(yè)務(wù)所要求的訪問限制進(jìn)行分類和標(biāo)識。以電子形式保存的信息或管理信息資產(chǎn)的系統(tǒng)，需根據(jù)信息的敏感度進(jìn)行標(biāo)識。對于打印報表，其保密等級應(yīng)顯示在每頁的頂端或底部。員工和第三方人員在開始工作后90天內(nèi)，必須進(jìn)行技術(shù)和安全方面的培訓(xùn)。紀(jì)律處分包括但不限于： 1) 通報批評 2) 警告 3) 記過 4) 解除勞動合同 5) 法律訴訟 第49條 當(dāng)員工在接受可能涉及解除勞動合同和法律訴訟的違規(guī)調(diào)查時，其直接領(lǐng)導(dǎo)應(yīng)暫停受調(diào)查員工的工作職務(wù)和其訪問權(quán)限，包括物理訪問、系統(tǒng)應(yīng)用訪問和網(wǎng)絡(luò)訪問等。 刪除訪問權(quán)限 第52條 在終止或變更雇傭、合同、協(xié)議時，必須刪除所有員工及第三方人員對信息和信息系統(tǒng)的訪問權(quán)限，或根據(jù)變更進(jìn)行相應(yīng)的調(diào)整。8 物理和環(huán)境安全方面 安全區(qū)域 物理安全邊界 第55條 在公司的物理環(huán)境里，應(yīng)該對需要保護(hù)的區(qū)域根據(jù)其重要性劃分為不同的安全區(qū)域。任何時候，機(jī)房必須至少有一位保安值班。 第59條 對于設(shè)有訪問控制的安全區(qū)域，必須定期審核并及時更新其訪問權(quán)限。同時，必須有相應(yīng)的程序以確?；厥账l(fā)放的來賓通行證。普通會議室或其它公眾場合必須與安全區(qū)域隔離開來。 第64條 機(jī)房必須增加額外的物理控制，選取的場地應(yīng)盡量安全，并盡可能避免受到災(zāi)害的影響。 2) 應(yīng)該指定消防指揮員。 5) 必須在明顯位臵張貼火災(zāi)逃生路線圖、滅火設(shè)備平面放臵圖以及安全出口的位臵。 9) 所有疏散路線都必須時刻保持通暢。必須定期檢查訪問權(quán)限的分配并及時更新。記錄中應(yīng)詳細(xì)說明來賓的姓名、進(jìn)入與離開的日期與時間，申請者以及進(jìn)入的原因。機(jī)房內(nèi)嚴(yán)禁吸煙、飲食和拍攝。 設(shè)備安全 設(shè)備的安置及保護(hù) 第72條 必須對設(shè)備實施安全控制，以減少環(huán)境危害和非法的訪問。 放臵設(shè)備的區(qū)域必須滿足廠商提供的設(shè)備環(huán)境要求。必須采取保護(hù)措施使設(shè)備免受電源故障或電力異常的破壞。必須設(shè)臵后備電源，例如不間斷電源（UPS）或發(fā)電機(jī)。電纜應(yīng)根據(jù)供電電壓和頻率的不同而相互隔離。所有生產(chǎn)設(shè)備必須定期進(jìn)行預(yù)防性維護(hù)。 第76條 必須建立設(shè)備故障報告流程。設(shè)備擁有者必須對設(shè)備在公司場所外的安全負(fù)責(zé)。操作程序必須及時更新，更新條件包括但不限于： 1)應(yīng)用軟件的變更 2)硬件配臵的變更 變更控制 第82條 必須建立變更管理程序來控制系統(tǒng)的變更，所有變更都必須遵守變更管理程序的要求。對變更需要涉及的硬件、軟件和信息等對象都應(yīng)標(biāo)識出來并進(jìn)行相應(yīng)評估。變更完成后，相關(guān)的文檔（如系統(tǒng)需求文檔、設(shè)計文檔、操作手冊、用戶手冊等）必須得到更新，舊的文檔必須進(jìn)行備份。 職責(zé)分離 第86條 系統(tǒng)管理員和系統(tǒng)開發(fā)人員的職責(zé)必須明確分開。 開發(fā)、測試和生產(chǎn)系統(tǒng)分離 第88條 不應(yīng)給開發(fā)人員提供超過其開發(fā)所需范圍的權(quán)限。不得在生產(chǎn)系統(tǒng)上擅自安裝開發(fā)工具（比如編譯程序及其他系統(tǒng)公用程序等），并做好已有開發(fā)工具的訪問控制。 第91條 系統(tǒng)的修復(fù)必須得到系統(tǒng)管理者的批準(zhǔn)方可執(zhí)行。第三方提供的服務(wù)必須滿足公司業(yè)務(wù)連續(xù)性的要求。在服務(wù)變更時需要考慮： 1) 服務(wù)價格的增長； 2) 新的服務(wù)需求； 3) 公司信息安全管理制度的變化； 4) 公司在信息安全方面新的控制。員工和第三方廠商從外界帶來的存儲介質(zhì)在使用之前必須進(jìn)行病毒掃描。一旦發(fā)現(xiàn)感染病毒，必須立刻把機(jī)器從網(wǎng)絡(luò)中斷開。 第101條 備份管理辦法必須獲得管理層的審批以確保符合業(yè)務(wù)需求。異地必須與主站點有一定的距離，以避免受主站點的災(zāi)難波及。備份系統(tǒng)必須進(jìn)行監(jiān)控，以確保其穩(wěn)定性和可用性。 第105條 必須建立相應(yīng)的控制機(jī)制，保護(hù)路由表和防火墻安全管理辦法等網(wǎng)絡(luò)參數(shù)的完整性。 第107條 必須對網(wǎng)絡(luò)進(jìn)行監(jiān)控和管理。 介質(zhì)的管理 可移動介質(zhì)的管理 第109條 可移動計算機(jī)存儲介質(zhì)（比如磁帶、光盤等）必須有適當(dāng)?shù)脑L問控制。 第110條 必須建立和維護(hù)介質(zhì)清單，并對介質(zhì)的借用和歸還進(jìn)行記錄。 第113條 備份介質(zhì)必須存儲在防火柜中。 信息處理程序 第117條 介質(zhì)的信息分類，必須采用存放信息中的最高保密等級。含有敏感信息的文檔通過內(nèi)部網(wǎng)等提供訪問的，應(yīng)采用訪問控制加以保護(hù)。 第123條 使用加密技術(shù)保護(hù)信息的保密性、完整性和真實性。 第126條 在使用傳真機(jī)中已存儲的號碼時，傳真之前必須驗證號碼。應(yīng)確保敏感信息的機(jī)密性、完整性和可用性在傳輸全程中受到保護(hù)。 電子消息 第131條 電子化辦公系統(tǒng)必須建立相應(yīng)的管理辦法和控制機(jī)制，并闡明下列內(nèi)容： 1)確定不能被共享的信息的類型或密級 2)系統(tǒng)用戶的權(quán)限 3)系統(tǒng)的訪問控制 4)與系統(tǒng)相關(guān)的備份管理辦法 第132條 除非獲得安全管理委員會的授權(quán)，否則禁止使用公司以外的電子系統(tǒng)（比如BBS、MSN、等）進(jìn)行跟公司相關(guān)的活動。 第134條 員工使用公司的郵件系統(tǒng)時只能進(jìn)行與業(yè)務(wù)相關(guān)的活動。所有對外發(fā)送的郵件都必須加上責(zé)任聲明。 第137條 電子商務(wù)的交易必須制定相關(guān)的交易聲明，以明確注意事項和相關(guān)責(zé)任。 第139條 必須保留并維護(hù)所有電子商務(wù)交易過程中的記錄和日志。交易中必須使用加密技術(shù)對所有通信內(nèi)容加密。 公共信息 第145條 必須確保公共信息系統(tǒng)中信息的完整性，并防止非授權(quán)的修改。必須對敏感信息的處理和存儲過程進(jìn)行保護(hù)。應(yīng)該有機(jī)制監(jiān)控日志的容量變化，在容量耗盡之前發(fā)出報警信息。 第153條 應(yīng)每天定時監(jiān)控網(wǎng)絡(luò)（包括網(wǎng)絡(luò)性能和網(wǎng)絡(luò)故障），并根據(jù)產(chǎn)生的報告，對異常變化的網(wǎng)絡(luò)流量，作進(jìn)一步分析，以發(fā)現(xiàn)潛在的網(wǎng)絡(luò)安全問題。必須采取控制措施保護(hù)日志的完整性。對于重要的財務(wù)系統(tǒng)和業(yè)務(wù)系統(tǒng)每天都要復(fù)查。 第161條 故障記錄應(yīng)妥善保管，防止被損壞，必要時應(yīng)該進(jìn)行備份。 10 訪問控制方面 訪問控制要求 訪問控制管理辦法 第165條 所有系統(tǒng)和應(yīng)用都必須有訪問控制列表，由系統(tǒng)管理者明確定義訪問控制規(guī)則、用戶和用戶組的權(quán)限以及訪問控制機(jī)制。 第167條 所有訪問控制必須建立相應(yīng)的審批程序，以確保訪問授權(quán)的合理性和有效性。 用戶訪問管理 用戶注冊 第169條 開放給用戶訪問的信息系統(tǒng)，必須建立正式的用戶注冊和注銷程序。 第171條 負(fù)責(zé)用戶注冊的管理員必須驗證用戶注冊和注銷請求的合法性。 第173條 帳號名不能透露用戶的權(quán)限信息，比如管理員帳號不能帶有Admin字樣。 第177條 系統(tǒng)中統(tǒng)一管理帳號密碼的模塊保存的密碼必須是加密的。 第181條 系統(tǒng)必須啟用登