【正文】 確允許，否則一律禁止”的原則來設(shè)置訪問控制規(guī)則。第168條 系統(tǒng)自帶的默認帳號應(yīng)該禁用或配置密碼進行保護。必須保留和維護所有用戶的注冊信息的正式用戶記錄。如果用戶帳號連續(xù)120天沒有使用，必須禁用該帳號。 用戶密碼管理第176條 只有在用戶身份被確認后，才允許對忘記密碼的用戶提供臨時密碼。第180條 系統(tǒng)應(yīng)該設(shè)置定期的密碼修改管理辦法，并限制至少最近3個舊密碼的重用。第184條 所有系統(tǒng)都應(yīng)該建立應(yīng)急帳號，應(yīng)急帳號資料必須放在密封的信封內(nèi)妥善收藏，并控制好信封的存取。此過程應(yīng)該包括但不限于：1)確認用戶權(quán)限的有效性和合理性2)找出所有異常帳號（如長時間未使用和已離職人員的帳號等），進行分析并采取相應(yīng)措施第186條 必須對可疑的或不明確的訪問權(quán)限進行調(diào)查，并作為安全事故進行報告。第188條 用戶在第一次使用帳號時，必須修改密碼。第189條 除非有技術(shù)限制，密碼應(yīng)該至少包含8個字符。第191條 密碼不應(yīng)該被保存于自動登錄過程中，例如IE中的帳號自動保存。第195條 必須為信件收發(fā)區(qū)域以及無人看管的傳真機設(shè)置適當?shù)谋Ｗo措施。第199條 所有系統(tǒng)都必須設(shè)置訪問控制機制來防止未經(jīng)授權(quán)的訪問。第203條 在公司外部進行遠程辦公，必須使用VPN進行連接。第207條 對遠程診斷端口的訪問，必須建立正式的注冊審批程序。這些記錄應(yīng)該由系統(tǒng)管理員進行檢查以確保訪問者只執(zhí)行了被授權(quán)的活動。第213條 公司外部和內(nèi)網(wǎng)之間應(yīng)該建立一個DMZ。第216條 必須將網(wǎng)絡(luò)接口和接入設(shè)備綁定，如果需要更換接入的設(shè)備，必須經(jīng)過部門經(jīng)理的審批。所有對外提供網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)地址必須進行地址轉(zhuǎn)換。如果因特殊原因不能使用實名用戶登陸，必須經(jīng)過安全管理委員會同意。第224條 系統(tǒng)管理員和應(yīng)用管理員必須使用不同的帳號。不能明文顯示輸入的密碼。第228條 所有默認的密碼都應(yīng)當在軟件安裝后立即更改。 系統(tǒng)工具的使用第230條 所有系統(tǒng)工具都應(yīng)當被識別，不必要的工具必須從生產(chǎn)系統(tǒng)中刪除。第234條 必須保證處理敏感信息的應(yīng)用系統(tǒng)僅輸出必需的信息到授權(quán)的終端，同時應(yīng)對這些輸出功能進行定期檢查，保證不存在輸出多余的信息。存放在移動設(shè)備中的敏感信息必須做好保護，比如采用加密以防泄漏。第240條 遠程辦公的訪問權(quán)限必須基于最小權(quán)限的原則進行分配，授權(quán)內(nèi)容應(yīng)該包括：1)允許訪問的系統(tǒng)和服務(wù)2)允許進行的工作3)訪問時段第241條 遠程辦公的訪問控制應(yīng)該采用雙重認證的方式。11 信息系統(tǒng)采購、開發(fā)和維護方面 系統(tǒng)安全需求 系統(tǒng)的安全需求分析與范圍第243條 在系統(tǒng)開發(fā)的整個過程（特別是在系統(tǒng)需求階段）都必須考慮安全需求，包括但不限于：1)系統(tǒng)架構(gòu)2)用戶認證3)訪問控制和授權(quán)4)事務(wù)處理的機密性和完整性5)日志記錄功能6)系統(tǒng)配置7)法律法規(guī)和兼容性要求8)系統(tǒng)恢復第244條 在系統(tǒng)的需求和設(shè)計階段，需要對系統(tǒng)進行安全方面的評審。第247條 軟件必須通過用戶的正式驗收后才能投入生產(chǎn)。日志文件必須設(shè)置嚴格的訪問控制，包括系統(tǒng)管理員、日志審核員在內(nèi)所有角色都只能有查看權(quán)限。系統(tǒng)在使用過程中，應(yīng)該明確定義參與數(shù)據(jù)輸入各環(huán)節(jié)所有相關(guān)人員的職責。應(yīng)該使用確保數(shù)據(jù)被全部處理的機制。 加密控制 加密的使用管理辦法第259條 敏感信息應(yīng)該根據(jù)信息分類的要求采用加密措施進行保護。第262條 加密算法應(yīng)該根據(jù)算法強度和密鑰長度進行選擇，以符合信息保護的要求。必須建立程序庫統(tǒng)一保管和維護應(yīng)用程序的可執(zhí)行代碼。源代碼的所有版本都必須保留，并標識版本號，每個版本之間的差異描述要文檔化。 對程序源代碼庫的訪問控制第272條 應(yīng)該建立程序源代碼庫，并由指定人員進行統(tǒng)一管理。第274條 必須控制程序源代碼庫的訪問，只提供工作需要的最小權(quán)限。第277條 應(yīng)用軟件的變更需求應(yīng)該由業(yè)務(wù)部門授權(quán)的資深人員提出。變更在部署之前必須通過驗收。必須維護所有變更需求的記錄。 商業(yè)軟件的修改限制第285條 由廠家提供的商業(yè)軟件不應(yīng)該被修改。第288條 所有源代碼應(yīng)該進行恰當?shù)淖⑨?，以方便檢查。第292條 必須建立技術(shù)漏洞的監(jiān)控機制，及時發(fā)現(xiàn)漏洞，修補漏洞。第294條 內(nèi)部開發(fā)的系統(tǒng)在發(fā)現(xiàn)漏洞后必須立即開發(fā)補丁程序，并在補丁發(fā)布前采取其他控制措施，避免漏洞被利用。第297條 員工一旦發(fā)現(xiàn)重要信息可能或正在遭受破壞，必須立即按照相關(guān)的報告程序向公司報告。第300條 當安全事件發(fā)生時，應(yīng)當成立安全事件調(diào)查組，并明確其職責；其成員應(yīng)具備相應(yīng)的處理技能。員工有責任報告安全漏洞。第306條 信息安全事件處理程序必須能夠適應(yīng)不同類型的信息安全事件。 從安全事件中學習第309條 必須對安全事件進行復審，并對事件的類型、影響程度和所帶來的損失等進行分析和監(jiān)控。13 業(yè)務(wù)連續(xù)性管理方面 業(yè)務(wù)連續(xù)性管理 業(yè)務(wù)連續(xù)性管理流程第314條 業(yè)務(wù)連續(xù)性計劃的制訂必須有信息管理中心、業(yè)務(wù)部門和公司高層的參與。業(yè)務(wù)連續(xù)性計劃必須經(jīng)過演練測試。 開發(fā)和實施包括信息安全的持續(xù)計劃第318條 業(yè)務(wù)連續(xù)性計劃應(yīng)該包括以下幾點：1)識別關(guān)鍵業(yè)務(wù)流程及其從屬流程2)流程恢復的優(yōu)先次序3)所有的職責和緊急措施4)恢復管理辦法5)恢復流程第319條 業(yè)務(wù)連續(xù)性計劃必須涵蓋所有關(guān)鍵業(yè)務(wù)流程，并且人員安全必須被優(yōu)先考慮。第322條 必須為每項演練制定進度表，說明演練頻率、目的以及方法。第326條 本制度由信息安全管理委員會負責解釋第327條 本制度自印發(fā)之日起生效。第323條 計劃必須定期維護以確保其有效性，并指定人員負責維護，在出現(xiàn)下列情況時，必須對計劃進行在評估和更新：1)法律的變化2)員工和公司的變化3)業(yè)務(wù)的變化4)業(yè)務(wù)系統(tǒng)和運行環(huán)境的變化（如操作系統(tǒng)的升級）5)第三方責任人的變化（如承包人、供應(yīng)商）6)地址或者聯(lián)系電話的變化7)風險評估和業(yè)務(wù)影響分析的變化8)地點、設(shè)備和資源的變化第324條 計劃的更新必須通過正式的審批，最新的版本必須妥善保存，并分發(fā)給所有相關(guān)人員。第320條 每個計劃都應(yīng)該有一個指定的總負責人，而且每個計劃應(yīng)該清楚地說明其激活的條件以及執(zhí)行計劃中每個要素的負責人。業(yè)務(wù)影響分析應(yīng)該對直接損失進行量化，并且綜合評估公司聲譽的損失、法規(guī)的違反以及人員的傷亡等。必須進行業(yè)務(wù)影響分析，識別業(yè)務(wù)的重要性和評估風險對業(yè)務(wù)帶來的影響。第311條 信息安全培訓應(yīng)增加有關(guān)安全事件處理方面的內(nèi)容。第308條 當發(fā)現(xiàn)已經(jīng)產(chǎn)生嚴重影響或可能帶來嚴重影響的安全事件時，必須立即停止事件中直接受影響系統(tǒng)的服務(wù)。在技術(shù)符合性測試中發(fā)現(xiàn)的問題應(yīng)被當作安全漏洞進行處理。第302條 通過信息安全管理會議，安全管理委員會必須每季度對所有重大的安全事件報告進行復審。第298條 當外界對公司發(fā)生的安全事件進行詢問和調(diào)查時，員工必須將這類請求轉(zhuǎn)交給公司的品牌宣傳部進行處理，嚴禁私自回應(yīng)。員工有責任報告安全事件。第293條 補丁在安裝之前必須進行測試和評估，確保補丁不會影響系統(tǒng)的正常運行并可以正常回退后才能安裝。對于提供源代碼的外包軟件，必須對源代碼進行充分的安全檢查。 信息泄漏第287條 軟件的開發(fā)、采購和使用都應(yīng)該受到控制和檢查，以防范可能的隱秘通道、邏輯炸彈、木馬等。操作系統(tǒng)變更之前必須通知相關(guān)人員，以便他們有足夠的時間去做相關(guān)的評估。第281條 變更完成后，相關(guān)的文檔（如系統(tǒng)需求文檔、設(shè)計文檔、操作手冊、用戶手冊等）必須得到更新，舊的文檔必須進行備份。第278條 變更需求中應(yīng)該包括對運行環(huán)境的要求（如硬件資源、軟件資源等）。第275條 程序源代碼必須做好版本控制管理，每一個版本都必須有相應(yīng)的備份。第273條 更新程序源代碼庫和向程序員提供程序源代碼，應(yīng)通過指定的程序源代碼庫管理員來執(zhí)行，并且獲得管理層的授權(quán)。第271條 每次從生產(chǎn)系統(tǒng)中復制數(shù)據(jù)到測試系統(tǒng)中必須獲得授權(quán)，并做好記錄。第268條 必須對程序庫做好訪問控制，并對程序庫的更新進行日志記錄。 密鑰管理第264條 密鑰管理系統(tǒng)應(yīng)該包括以下活動：1)密鑰產(chǎn)生2)密鑰變更3)密鑰存儲4)密鑰交換和分發(fā)5)密鑰注銷6)密鑰恢復和備份7)密鑰銷毀 系統(tǒng)文件的安全 生產(chǎn)系統(tǒng)的應(yīng)用軟件控制第265條 生產(chǎn)系統(tǒng)的應(yīng)用軟件更新必須由獲得授權(quán)的管理員來執(zhí)行。應(yīng)該使用被公司認可的標準加密算法。必須對數(shù)據(jù)輸出驗證功能進行全面的測試，以保證其正確性和有效性。第255條 在采用消息驗證之前，應(yīng)該通過安全風險評估，以確定其是否能滿足需要或采取其他更適合的解決方式。第251條 系統(tǒng)應(yīng)該對錯誤的輸入數(shù)據(jù)提供有幫助的提示信息。第248條 為了對用戶的操作進行檢查和審計，系統(tǒng)必須提供日志記錄功能。第246條 在使用商業(yè)軟件或軟件包前，必須按照上述安全需求進行評估。第242條 員工離職或不再使用遠程辦公時，必須取消其相關(guān)的遠程辦公訪問權(quán)限。移動設(shè)備中的公司信息應(yīng)該做好備份工作，防止丟失。 移動計算和遠程辦公 移動計算第236條 移動設(shè)備（包括個人手持設(shè)備、筆記本電腦）和家庭辦公個人電腦都應(yīng)該受到保護以防未授權(quán)訪問。 連接時間的限制第232條 對關(guān)鍵的信息系統(tǒng)（如前置機、合作伙伴主機等）提供附加的安全保護，包括但不限于：1）只允許在之前協(xié)商好的時間段內(nèi)訪問（如：每天6點—6點半）2）只允許在正常的工作時間內(nèi)訪問（如：每周一至周五9點—17點）3）遠程診斷modem在不使用時必須處于關(guān)閉狀態(tài)，在使用后必須立即關(guān)閉。第229條 系統(tǒng)的密碼管理辦法必須滿足如下要求：1)密碼長度至少8個字符；2)啟用密碼復雜度要求，至少包括大寫字母、小寫字母、數(shù)字、特殊字符中的三種；3)管理員帳號密碼有效期是90天；4)重要系統(tǒng)的用戶帳號密碼有效期是90天；5)非重要系統(tǒng)的普通帳號密碼有效期是180天；6)記錄的歷史密碼次數(shù)不少于5個；7)帳號密碼驗證失敗鎖定閥值是10次；8)帳號被鎖定后必須由管理員解鎖。密碼處理時必須使用單向加密。 密碼管理系統(tǒng)第226條 系統(tǒng)應(yīng)該強制用戶在第一次成功登錄后修改初始密碼。例如不能顯示“帳號不存在”或“密碼不正確”。 操作系統(tǒng)訪問控制 用戶識別和認證第221條 所有用戶都應(yīng)該被識別和認證。第218條 公司必須設(shè)立一個單獨的網(wǎng)絡(luò)區(qū)域供非公司標準化安裝的電腦接入，此區(qū)域在網(wǎng)絡(luò)上是完全封閉、獨立的。第215條 所有網(wǎng)絡(luò)端口必須進行限制，以防止非授權(quán)的電腦接入公司網(wǎng)絡(luò)。第211條 對于重要的網(wǎng)絡(luò)區(qū)域必須設(shè)置訪問控制以隔離其他網(wǎng)絡(luò)區(qū)域。第208條 所有遠程的診斷訪問必須事先申請并獲得批準。 遠程診斷和配置端口的保護第205條 在不使用的時候，診斷端口應(yīng)該被禁用或通過恰當?shù)陌踩珯C制進行保護。第201條 通過撥號進行遠程訪問必須經(jīng)過正式批準，并做好相關(guān)記錄。 網(wǎng)絡(luò)訪問控制 網(wǎng)絡(luò)服務(wù)使用管理辦法第197條 必須建立授權(quán)程序來管理網(wǎng)絡(luò)服務(wù)的使用。第193條 無人使用時，服務(wù)器、個人電腦和復印機等必須保持注銷狀態(tài)。第190條 用戶不應(yīng)使用容易被猜測的密碼，例如字典中的單詞、生日和電話號碼等。特權(quán)帳號的密碼必須至少每3個月修改一次。用戶不應(yīng)該使用紙張或未受保護的電子形式保存密碼。應(yīng)急帳號的密碼在使用后必須立刻修改，然后把新的密碼裝到信封里。第182條 在通過電話傳送密碼以前必須確認對方的身份。第178條 密碼必須保密，不得與他人分享、放在源代碼內(nèi)或?qū)懺跊]有保護的介質(zhì)上（如紙張）。 特權(quán)管理第174條 必須建立正式的授權(quán)程序，以確保授權(quán)得到嚴格的評估和審批，并保證沒有與系統(tǒng)