【正文】 未經(jīng)授權(quán)的信息處理活動(dòng)。第161條 業(yè)務(wù)信息系統(tǒng)的安全方針和控制程序如《業(yè)務(wù)信息系統(tǒng)管理辦法》中所描述。第157條 應(yīng)控制并記錄允許操作業(yè)務(wù)系統(tǒng)的用戶名單，未經(jīng)安全責(zé)任人授權(quán)，不得隨意變更訪問(wèn)限制和共享信息。第154條 敏感信息應(yīng)當(dāng)通過(guò)專(zhuān)用的線路傳輸。1 不要將包含敏感信息的消息留在應(yīng)答機(jī)上，因?yàn)榭赡鼙晃词跈?quán)個(gè)人重放，也不能留在公用系統(tǒng)或者由于誤撥號(hào)而被不正確地存儲(chǔ)；1 關(guān)于傳真機(jī)的使用問(wèn)題，即：1) 未授權(quán)訪問(wèn)內(nèi)置消息存儲(chǔ)器，以檢索消息；2) 有意的或無(wú)意的對(duì)傳真機(jī)編程，將消息發(fā)送給特定的電話號(hào)碼；3) 由于誤撥號(hào)或使用錯(cuò)誤存儲(chǔ)的號(hào)碼將文檔和消息發(fā)送給錯(cuò)誤的電話號(hào)碼。具體辦法請(qǐng)參見(jiàn)《介質(zhì)管理程序》。第150條 為保證信息安全，本公司必須在處理介質(zhì)前擦除有關(guān)的敏感信息，包括如下：用碎紙機(jī)銷(xiāo)毀所有的敏感紙質(zhì)記錄。第147條 對(duì)需要長(zhǎng)期保存的介質(zhì)，必須在介質(zhì)老化前進(jìn)行轉(zhuǎn)儲(chǔ)，以防止因介質(zhì)失效造成損失。不得將載有Sinosoft重要信息的存儲(chǔ)介質(zhì)隨意存放，未經(jīng)安全責(zé)任人授權(quán)，不得帶出辦公地點(diǎn)。第142條 網(wǎng)管中心監(jiān)測(cè)網(wǎng)絡(luò)設(shè)備，監(jiān)控網(wǎng)絡(luò)的可用性。所有新創(chuàng)建的用戶名和密碼必須以不易被破解的方式設(shè)置。第138條 凡允許遠(yuǎn)程登錄連接的網(wǎng)絡(luò)設(shè)備都要實(shí)施嚴(yán)格的登錄控制。第136條 處理敏感信息的計(jì)算機(jī)應(yīng)當(dāng)與Sinosoft局域網(wǎng)物理隔離，應(yīng)當(dāng)采用適當(dāng)?shù)募用芗夹g(shù)。第133條 備份數(shù)據(jù)的恢復(fù)能力應(yīng)滿足本公司的業(yè)務(wù)持續(xù)計(jì)劃(BCP)。第130條 管理員應(yīng)當(dāng)對(duì)重要的應(yīng)用系統(tǒng)、操作系統(tǒng)、配置文件及日志等制訂備份策略，并要定期對(duì)備份數(shù)據(jù)進(jìn)行測(cè)試。當(dāng)授權(quán)使用移動(dòng)代碼時(shí)，其配置應(yīng)確保授權(quán)的移動(dòng)代碼按照清晰定義的安全策略運(yùn)行，應(yīng)阻止執(zhí)行未授權(quán)的移動(dòng)代碼。第127條 應(yīng)當(dāng)開(kāi)展對(duì)一般員工的預(yù)防病毒培訓(xùn)。詳細(xì)規(guī)定參見(jiàn)《惡意軟件控制程序》。 5) 維護(hù)備份安排以及廠商技術(shù)支持聯(lián)系。新系統(tǒng)的使用者和交付者需要商討有關(guān)操作文件事宜，內(nèi)容包括：1) 系統(tǒng)功能和容量的測(cè)試步驟。4) 確認(rèn)防火墻的策略得到理想的執(zhí)行。 7) 安排必要的測(cè)試以證實(shí)符合系統(tǒng)驗(yàn)收標(biāo)準(zhǔn)。對(duì)關(guān)鍵系統(tǒng)要對(duì)網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)進(jìn)行加固。要保證性能不會(huì)突然下降，否則需要啟動(dòng)恢復(fù)或應(yīng)急計(jì)劃。 第121條 網(wǎng)管中心清楚說(shuō)明新信息系統(tǒng)、系統(tǒng)升級(jí)和新版本的安全驗(yàn)收要求和標(biāo)準(zhǔn)，要保證所采用的升級(jí)、補(bǔ)丁、熱修補(bǔ)和新的版本不會(huì)影響正常的操作過(guò)程。第119條 網(wǎng)管中心應(yīng)當(dāng)運(yùn)用這些信息來(lái)識(shí)別并避免可能對(duì)系統(tǒng)安全或服務(wù)提供構(gòu)成隱患的潛在瓶頸，并事先進(jìn)行適當(dāng)?shù)难a(bǔ)救行動(dòng)規(guī)劃。 第三方實(shí)施的變更：1) 對(duì)網(wǎng)絡(luò)的變更和加強(qiáng)；2) 新技術(shù)的使用；3) 新產(chǎn)品或新版本的采用；4) 新的開(kāi)發(fā)工具和環(huán)境的應(yīng)用；5) 服務(wù)設(shè)施物理位置的變更；6) 相關(guān)產(chǎn)品及服務(wù)提供商的變更。監(jiān)督和評(píng)審應(yīng)涉及到如下內(nèi)容：監(jiān)督服務(wù)執(zhí)行效率并檢查對(duì)協(xié)議的符合程度；評(píng)審由第三方產(chǎn)生的服務(wù)報(bào)告、記錄、交付件，定期安排項(xiàng)目進(jìn)展會(huì)議；第三方應(yīng)提供如下信息內(nèi)容供本公司評(píng)估：服務(wù)過(guò)程中所應(yīng)用到的軟硬件產(chǎn)品、所使用的協(xié)議、系統(tǒng)部署及使用指南、知識(shí)產(chǎn)權(quán)、安全使用許可銷(xiāo)售證明等；對(duì)第三方在交付服務(wù)過(guò)程中所進(jìn)行的審核跟蹤流程，及相關(guān)的安全事件、操作問(wèn)題、故障、失誤追蹤和破壞的記錄等進(jìn)行評(píng)審；對(duì)服務(wù)交付過(guò)程中出現(xiàn)的所有問(wèn)題進(jìn)行識(shí)別和管理。 在系統(tǒng)進(jìn)入生產(chǎn)環(huán)境前，確認(rèn)以下操作：1) 卸載與運(yùn)行無(wú)關(guān)的開(kāi)發(fā)、測(cè)試相關(guān)的工具、文件與數(shù)據(jù)等；2) 修改默認(rèn)用戶名/密碼。第109條 行政管理部負(fù)責(zé)參與評(píng)審重大變更需求評(píng)審，確保變更不會(huì)造成安全影響。第106條 　本公司確保對(duì)信息處理設(shè)施和系統(tǒng)的變更有適當(dāng)控制，包括：變更前測(cè)試；所有變更相關(guān)信息的審計(jì)日志記錄都必須保留最少一年。第105條 要將操作程序和系統(tǒng)活動(dòng)文件化，其變更由管理者授權(quán)。應(yīng)讓每個(gè)人都知道將進(jìn)行抽查，并且只能在法律法規(guī)要求的適當(dāng)授權(quán)下執(zhí)行檢查。第100條 凡敏感性介質(zhì)的處置都必須經(jīng)過(guò)主管領(lǐng)導(dǎo)的批準(zhǔn)并記錄在「報(bào)廢記錄表」留待審計(jì)時(shí)備查。 本公司里面不應(yīng)積累過(guò)量紙質(zhì)記錄。第98條 所有帶有諸如硬盤(pán)等儲(chǔ)存媒介的設(shè)備在報(bào)廢前都要對(duì)其檢查，以確保其內(nèi)存儲(chǔ)的敏感信息和授權(quán)專(zhuān)用軟件已被清除或覆蓋。在旅行時(shí)便攜式計(jì)算機(jī)要作為手提行李攜帶，若可能宜偽裝起來(lái)；制造商的設(shè)備保護(hù)說(shuō)明要始終加以遵守，例如，防止暴露于強(qiáng)電磁場(chǎng)內(nèi)；家庭工作的控制措施應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估確定，當(dāng)適合時(shí)，要施加合適的控制措施，例如，可上鎖的存檔柜、清理桌面策略、對(duì)計(jì)算機(jī)的訪問(wèn)控制以及與辦公室的安全通信；足夠的安全保障掩蔽物宜到位，以保護(hù)離開(kāi)辦公場(chǎng)所的設(shè)備。如確因工作需要，如展會(huì)、維修等，需將本公司的服務(wù)器、交換機(jī)、路由器等信息設(shè)備移到本公司辦公地點(diǎn)外使用，需要填寫(xiě)《重要信息資產(chǎn)出司登記審批表》，經(jīng)過(guò)責(zé)任部門(mén)經(jīng)理的批準(zhǔn)后才能移出本公司物理環(huán)境。第90條 在對(duì)設(shè)備進(jìn)行維護(hù)時(shí)，要根據(jù)不同的維護(hù)內(nèi)容及可能產(chǎn)生的風(fēng)險(xiǎn)，考慮是由內(nèi)部人員執(zhí)行還是由外部人員執(zhí)行，在外部人員對(duì)設(shè)備進(jìn)行維護(hù)時(shí)，應(yīng)實(shí)施適當(dāng)?shù)目刂?，需要時(shí)，敏感信息需要從設(shè)備中刪除或確保維護(hù)人員對(duì)其不具有訪問(wèn)權(quán)限。第88條 設(shè)備維護(hù)可分為日常維護(hù)（一級(jí)維護(hù)）、年度維護(hù)（二級(jí)維護(hù)）。機(jī)房?jī)?nèi)設(shè)備的出入必須填寫(xiě)《機(jī)房進(jìn)出記錄》。對(duì)棄置的存儲(chǔ)有敏感信息的存儲(chǔ)設(shè)備，必須將其銷(xiāo)毀，或重寫(xiě)數(shù)據(jù)，而不能只是使用標(biāo)準(zhǔn)的刪除功能進(jìn)行數(shù)據(jù)刪除。第78條 應(yīng)當(dāng)按照設(shè)備維護(hù)要求的時(shí)間間隔和規(guī)范，對(duì)設(shè)備進(jìn)行維護(hù)。第76條 計(jì)算機(jī)機(jī)房應(yīng)列為單位重點(diǎn)防火部位，按照規(guī)定配備足夠數(shù)量的消防器材，并定期檢查更換。 穩(wěn)定的電源供給216。. 設(shè)備安全目標(biāo)：防止資產(chǎn)的丟失、損壞或被盜，以及對(duì)組織業(yè)務(wù)活動(dòng)的干擾。第58條 恢復(fù)設(shè)備和備份介質(zhì)的存放地點(diǎn)應(yīng)與主場(chǎng)地有一段安全的距離，要考慮信息設(shè)備面臨的可能的安全威脅，參考《業(yè)務(wù)持續(xù)性管理程序》的內(nèi)容制定對(duì)應(yīng)的業(yè)務(wù)連續(xù)性計(jì)劃，并要定期演練。大批供應(yīng)品（例如文具等）不應(yīng)存放于特殊安全區(qū)域內(nèi)；第52條 應(yīng)當(dāng)控制外來(lái)人員對(duì)公共辦公區(qū)域的訪問(wèn)，一般來(lái)說(shuō)，非本公司人員必須要在主要出入口處填寫(xiě)《來(lái)訪人員登記表》，并且在顯眼處佩戴本公司發(fā)出的來(lái)賓卡，由Sinosoft員工陪同。第44條 所有進(jìn)入本公司的人員都需經(jīng)過(guò)授權(quán)，本公司員工之外的人員進(jìn)入本公司必須登記換取來(lái)賓卡才能進(jìn)入(得到被訪者允許)。第42條 對(duì)第三方訪問(wèn)人員和臨時(shí)性員工，也必須執(zhí)行第38條到第41條的相關(guān)規(guī)定。由人力資源部書(shū)面通知行政管理部刪除相關(guān)的口令、帳號(hào)、權(quán)限等信息。第39條 員工在崗位變動(dòng)時(shí)，必須移交調(diào)出崗位的相關(guān)資料和有關(guān)文檔，檢查并歸還在Sinosoft借出的重要信息。 重點(diǎn)單位或核心計(jì)算機(jī)信息系統(tǒng)的維護(hù)和管理人員；167。 Sinosoft全體員工167。第31條 涉及重要信息系統(tǒng)管理的員工、合同方及第三方應(yīng)當(dāng)進(jìn)行相關(guān)技術(shù)背景調(diào)查和能力考評(píng)；第32條 涉及重要信息系統(tǒng)管理的員工、合同方及第三方應(yīng)在合同中明確其信息安全責(zé)任并簽署保密協(xié)議；. 雇傭中第33條 Sinosoft管理層必須要求所有的員工、合同方及第三方用戶執(zhí)行Sinosoft信息安全的相關(guān)規(guī)定；第34條 應(yīng)當(dāng)設(shè)定信息安全的相關(guān)獎(jiǎng)勵(lì)措施，任何違反信息安全策略的行為都將收到懲戒，具體執(zhí)行辦法參見(jiàn)《信息安全獎(jiǎng)懲規(guī)定》；第35條 將信息安全培訓(xùn)加入員工培訓(xùn)中，培訓(xùn)材料應(yīng)當(dāng)包括下列內(nèi)容：167。第28條 對(duì)重要的資料檔案要妥善保管，以防丟失泄密，其廢棄的打印紙及磁介質(zhì)等，應(yīng)按Sinosoft有關(guān)規(guī)定進(jìn)行處理。第25條 必須建立信息資產(chǎn)管理登記制度，至少詳細(xì)記錄信息資產(chǎn)的分類(lèi)、名稱(chēng)、用途、資產(chǎn)所有者、安全責(zé)任人、安全維護(hù)人員、使用人員、入庫(kù)時(shí)間、有效時(shí)限、報(bào)廢時(shí)間、借用及返還情況等，便于查找和使用。每項(xiàng)信息資產(chǎn)在登記入冊(cè)及更新時(shí)必須指定信息資產(chǎn)的安全責(zé)任人，信息資產(chǎn)的安全責(zé)任人必須負(fù)責(zé)該信息資產(chǎn)的安全。）第20條 對(duì)于第三方參與的項(xiàng)目，必須在合同中明確規(guī)定人員的安全責(zé)任，必要時(shí)應(yīng)當(dāng)簽署保密協(xié)議。第三方至少包含如下人員： l 硬件及軟件技術(shù)支持、維護(hù)人員；l 項(xiàng)目現(xiàn)場(chǎng)實(shí)施人員；l 外單位參觀人員；l 合作單位人員；l 客戶；l 清潔人員、送餐人員、快遞、保安以及其它外包的支持服務(wù)人員；第17條 第三方的訪問(wèn)類(lèi)型包括物理訪問(wèn)和邏輯訪問(wèn)。第14條 信息安全管理小組每年至少進(jìn)行一次信息安全風(fēng)險(xiǎn)評(píng)估工作（參照《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》，并對(duì)安全策略進(jìn)行復(fù)審。第12條 應(yīng)當(dāng)與政府機(jī)構(gòu)保持必要的聯(lián)系共同協(xié)調(diào)信息安全相關(guān)問(wèn)題。并更新至《信息資產(chǎn)識(shí)別表》。Sinosoft的內(nèi)部信息安全組織為信息安全管理委員會(huì)，委員會(huì)的人員組成以及相關(guān)職責(zé)參見(jiàn)《信息安全委員會(huì)組織機(jī)構(gòu)》。4. Sinosoft信息系統(tǒng)安全組織目標(biāo)：在Sinosoft組織內(nèi)部管理信息安全，保持可被外部組織訪問(wèn)、處理、溝通或管理的Sinosoft信息及信息處理設(shè)備的安全。 其他應(yīng)當(dāng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估的情形第3條 風(fēng)險(xiǎn)評(píng)估之后根據(jù)需要進(jìn)行安全策略條目修訂，并在Sinosoft內(nèi)公布傳達(dá)。. 策略維護(hù)本策略通過(guò)以下方式進(jìn)行文檔的維護(hù)工作：第2條 必須每年按照《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》進(jìn)行例行的風(fēng)險(xiǎn)評(píng)估，如遇以下情況必須及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估：應(yīng)當(dāng)好的做法所要達(dá)到的要求，條件允許就要實(shí)施。故障是指信息的處理、傳輸設(shè)備運(yùn)行出現(xiàn)意外障礙，以至影響信息系統(tǒng)正常運(yùn)轉(zhuǎn)的事件。信息資產(chǎn)責(zé)任人是指對(duì)某項(xiàng)信息資產(chǎn)安全負(fù)責(zé)的人員。計(jì)算機(jī)機(jī)房裝有計(jì)算機(jī)主機(jī)、服務(wù)器和相關(guān)設(shè)備的，除了安裝和維護(hù)的情況外，不允許人員在里邊工作的專(zhuān)用房間。保密信息Sinosoft安全規(guī)章定義的密級(jí)信息。 公司管理辦法2. 術(shù)語(yǔ)和定義. 解釋信息安全是指保護(hù)信息資產(chǎn)免受多種安全威脅，保證業(yè)務(wù)連續(xù)性，將安全事件造成的損失降至最小，同時(shí)最大限度地獲得投資回報(bào)和商業(yè)機(jī)遇。. 參考信息167。 在Sinosoft中增強(qiáng)信息資產(chǎn)可用性、完整性和保密性；167。本安全策略得到Sinosoft領(lǐng)導(dǎo)的認(rèn)可，并在Sinosoft內(nèi)強(qiáng)制實(shí)施。保密等級(jí)內(nèi)控文檔名稱(chēng)信息安全策略文檔編號(hào)ISMS/Sinosofth042008發(fā)布組織Sinosoft信息安全工作小組發(fā)布日期 2008年1月1日 執(zhí)行日期 2008年1月1日版 本 號(hào)信息安全策略批準(zhǔn)人簽字審核人簽字制訂人簽字　日期： 2008/1 /1　日期：2008/1 /1　日期：2008/1 /1南京擎天科技有限公司Nanjing Sinosoft Technology Co., Ltd.變更履歷序號(hào)版本編號(hào)或更改記錄編號(hào)變化 狀態(tài) *簡(jiǎn)要說(shuō)明(變更內(nèi)容、變更位置、變更原因和變更范圍)變更日期變更人審核人批準(zhǔn)人批準(zhǔn)日期1C創(chuàng)建，全頁(yè)。本文檔遵守政府制定的相關(guān)法律、法規(guī)、政策和標(biāo)準(zhǔn)。 在Sinosoft的員工中樹(shù)立起安全責(zé)任感；167。本安全策略由Sinosoft行政管理部負(fù)責(zé)解釋?zhuān)园l(fā)布之日起執(zhí)行。 公司程序文件167。完整性保護(hù)信息和信息的處理方法準(zhǔn)確而完整。風(fēng)險(xiǎn)管理以可以接受的成本，確認(rèn)、控制、排除可能影響信息系統(tǒng)的安全風(fēng)險(xiǎn)或?qū)⑵鋷?lái)的危害最小化的過(guò)程。信息資產(chǎn)與信息系統(tǒng)相關(guān)聯(lián)的信息、信息的處理設(shè)備和服務(wù)。安全事件利用信息系統(tǒng)的安全漏洞，對(duì)信息資產(chǎn)的保密性、完整性和可用性造成危害的事件。. 詞語(yǔ)使用必須表示強(qiáng)制性的要求。. 策略下發(fā)第1條 本策略必須得到Sinosoft管理層批準(zhǔn)，并向Sinosoft所有員工和相關(guān)第三方公布傳達(dá)，全體人員必須履行相關(guān)的義務(wù)，享受相應(yīng)的權(quán)利，承擔(dān)相關(guān)的責(zé)任。 安全管理小組認(rèn)為應(yīng)當(dāng)進(jìn)行風(fēng)險(xiǎn)評(píng)估的對(duì)于即將投入使用和今后規(guī)劃的信息系統(tǒng)項(xiàng)目也必須參照本策略執(zhí)行。第7條 Sinosoft的信息系統(tǒng)安全管理工作采取行政管理部統(tǒng)一管理方式，其他相關(guān)部門(mén)/單位配合執(zhí)行。第9條 任何新的信息系統(tǒng)處理設(shè)施必須經(jīng)過(guò)管理授權(quán)的過(guò)程。 第11條 凡是涉及Sinosoft重要信息、機(jī)密信息（相關(guān)定義參見(jiàn)《保密管理規(guī)定》等信息的處理，相關(guān)的Sinosoft工作崗位員工以及第三方都必須簽署保密協(xié)議。這些團(tuán)體包括外部安全咨詢商、獨(dú)立的安全技術(shù)專(zhuān)家等。. 外部組織第16條 第三方訪問(wèn)是指非Sinosoft人員對(duì)信息系統(tǒng)的的訪問(wèn)。（物理訪問(wèn)區(qū)域安全責(zé)任人按《物理訪問(wèn)控制管理規(guī)定》執(zhí)行。. 資產(chǎn)責(zé)任第22條 所有Sinosoft的信息資產(chǎn)必須登記入冊(cè)，對(duì)于有形資產(chǎn)必須進(jìn)行標(biāo)識(shí)，同時(shí)資產(chǎn)信息應(yīng)當(dāng)及時(shí)更新。（詳見(jiàn)《信息資產(chǎn)識(shí)別表》）。第27條 當(dāng)信息資產(chǎn)進(jìn)行拷貝、存儲(chǔ)、傳輸（如郵遞、傳真、電子郵件以及語(yǔ)音傳輸【包括電話、語(yǔ)音郵件、應(yīng)答機(jī)】等）或者銷(xiāo)毀等信息處理時(shí)，應(yīng)當(dāng)參照《保密管理規(guī)定》或者制定妥善的處理步驟并執(zhí)行。第30條 對(duì)第三方訪問(wèn)人員和臨時(shí)性員工，也必須遵守《參觀保密協(xié)議》。 相關(guān)獎(jiǎng)懲辦法第36條 應(yīng)當(dāng)按下列群體進(jìn)行不同類(lèi)型的信息安全培訓(xùn)：167。 計(jì)算機(jī)信息系統(tǒng)使用單位的安全管理責(zé)任人；167。. 人員信息安全管理原則第38條 員工錄用時(shí)，人力資源部或調(diào)入部門(mén)必須及時(shí)書(shū)面通知行政管理部添加相關(guān)的口令、帳號(hào)及權(quán)限等并備案。調(diào)離人員必須移交全部資料和有關(guān)文檔，刪除自己的文件、帳號(hào)，檢查并歸還在Sinosoft借出的保密信息。如有特殊情況，必須事先得到部門(mén)經(jīng)理及安全責(zé)任人的批準(zhǔn)。安全區(qū)域至少包括Sinosoft各計(jì)算機(jī)機(jī)房、檔案室，IT部門(mén)、財(cái)務(wù)部、人力資源部等部門(mén)。第50條 機(jī)房建設(shè)應(yīng)符合GB 9361中C類(lèi)安全機(jī)房的要求；第51條 危險(xiǎn)或易燃材料應(yīng)在離安全區(qū)域安全距離以外的地方存放。第56條 關(guān)鍵和敏感設(shè)施應(yīng)當(dāng)存放在與公共辦公區(qū)域相對(duì)隔離的場(chǎng)地，并應(yīng)設(shè)計(jì)且實(shí)施保護(hù)，禁止在公共辦公區(qū)域處理重要的信息設(shè)施；