【正文】 未經(jīng)授權(quán)的信息處理活動。第161條 業(yè)務信息系統(tǒng)的安全方針和控制程序如《業(yè)務信息系統(tǒng)管理辦法》中所描述。第157條 應控制并記錄允許操作業(yè)務系統(tǒng)的用戶名單，未經(jīng)安全責任人授權(quán)，不得隨意變更訪問限制和共享信息。第154條 敏感信息應當通過專用的線路傳輸。1 不要將包含敏感信息的消息留在應答機上，因為可能被未授權(quán)個人重放，也不能留在公用系統(tǒng)或者由于誤撥號而被不正確地存儲；1 關(guān)于傳真機的使用問題，即：1) 未授權(quán)訪問內(nèi)置消息存儲器，以檢索消息；2) 有意的或無意的對傳真機編程，將消息發(fā)送給特定的電話號碼；3) 由于誤撥號或使用錯誤存儲的號碼將文檔和消息發(fā)送給錯誤的電話號碼。具體辦法請參見《介質(zhì)管理程序》。第150條 為保證信息安全，本公司必須在處理介質(zhì)前擦除有關(guān)的敏感信息，包括如下：用碎紙機銷毀所有的敏感紙質(zhì)記錄。第147條 對需要長期保存的介質(zhì)，必須在介質(zhì)老化前進行轉(zhuǎn)儲，以防止因介質(zhì)失效造成損失。不得將載有Sinosoft重要信息的存儲介質(zhì)隨意存放，未經(jīng)安全責任人授權(quán)，不得帶出辦公地點。第142條 網(wǎng)管中心監(jiān)測網(wǎng)絡設備，監(jiān)控網(wǎng)絡的可用性。所有新創(chuàng)建的用戶名和密碼必須以不易被破解的方式設置。第138條 凡允許遠程登錄連接的網(wǎng)絡設備都要實施嚴格的登錄控制。第136條 處理敏感信息的計算機應當與Sinosoft局域網(wǎng)物理隔離，應當采用適當?shù)募用芗夹g(shù)。第133條 備份數(shù)據(jù)的恢復能力應滿足本公司的業(yè)務持續(xù)計劃(BCP)。第130條 管理員應當對重要的應用系統(tǒng)、操作系統(tǒng)、配置文件及日志等制訂備份策略，并要定期對備份數(shù)據(jù)進行測試。當授權(quán)使用移動代碼時，其配置應確保授權(quán)的移動代碼按照清晰定義的安全策略運行，應阻止執(zhí)行未授權(quán)的移動代碼。第127條 應當開展對一般員工的預防病毒培訓。詳細規(guī)定參見《惡意軟件控制程序》。 5) 維護備份安排以及廠商技術(shù)支持聯(lián)系。新系統(tǒng)的使用者和交付者需要商討有關(guān)操作文件事宜，內(nèi)容包括：1) 系統(tǒng)功能和容量的測試步驟。4) 確認防火墻的策略得到理想的執(zhí)行。 7) 安排必要的測試以證實符合系統(tǒng)驗收標準。對關(guān)鍵系統(tǒng)要對網(wǎng)絡系統(tǒng)和操作系統(tǒng)進行加固。要保證性能不會突然下降，否則需要啟動恢復或應急計劃。 第121條 網(wǎng)管中心清楚說明新信息系統(tǒng)、系統(tǒng)升級和新版本的安全驗收要求和標準，要保證所采用的升級、補丁、熱修補和新的版本不會影響正常的操作過程。第119條 網(wǎng)管中心應當運用這些信息來識別并避免可能對系統(tǒng)安全或服務提供構(gòu)成隱患的潛在瓶頸，并事先進行適當?shù)难a救行動規(guī)劃。 第三方實施的變更：1) 對網(wǎng)絡的變更和加強；2) 新技術(shù)的使用；3) 新產(chǎn)品或新版本的采用；4) 新的開發(fā)工具和環(huán)境的應用；5) 服務設施物理位置的變更；6) 相關(guān)產(chǎn)品及服務提供商的變更。監(jiān)督和評審應涉及到如下內(nèi)容：監(jiān)督服務執(zhí)行效率并檢查對協(xié)議的符合程度；評審由第三方產(chǎn)生的服務報告、記錄、交付件，定期安排項目進展會議；第三方應提供如下信息內(nèi)容供本公司評估：服務過程中所應用到的軟硬件產(chǎn)品、所使用的協(xié)議、系統(tǒng)部署及使用指南、知識產(chǎn)權(quán)、安全使用許可銷售證明等；對第三方在交付服務過程中所進行的審核跟蹤流程，及相關(guān)的安全事件、操作問題、故障、失誤追蹤和破壞的記錄等進行評審；對服務交付過程中出現(xiàn)的所有問題進行識別和管理。 在系統(tǒng)進入生產(chǎn)環(huán)境前，確認以下操作：1) 卸載與運行無關(guān)的開發(fā)、測試相關(guān)的工具、文件與數(shù)據(jù)等；2) 修改默認用戶名/密碼。第109條 行政管理部負責參與評審重大變更需求評審，確保變更不會造成安全影響。第106條 　本公司確保對信息處理設施和系統(tǒng)的變更有適當控制，包括：變更前測試；所有變更相關(guān)信息的審計日志記錄都必須保留最少一年。第105條 要將操作程序和系統(tǒng)活動文件化，其變更由管理者授權(quán)。應讓每個人都知道將進行抽查，并且只能在法律法規(guī)要求的適當授權(quán)下執(zhí)行檢查。第100條 凡敏感性介質(zhì)的處置都必須經(jīng)過主管領(lǐng)導的批準并記錄在「報廢記錄表」留待審計時備查。 本公司里面不應積累過量紙質(zhì)記錄。第98條 所有帶有諸如硬盤等儲存媒介的設備在報廢前都要對其檢查，以確保其內(nèi)存儲的敏感信息和授權(quán)專用軟件已被清除或覆蓋。在旅行時便攜式計算機要作為手提行李攜帶，若可能宜偽裝起來；制造商的設備保護說明要始終加以遵守，例如，防止暴露于強電磁場內(nèi)；家庭工作的控制措施應根據(jù)風險評估確定，當適合時，要施加合適的控制措施，例如，可上鎖的存檔柜、清理桌面策略、對計算機的訪問控制以及與辦公室的安全通信；足夠的安全保障掩蔽物宜到位，以保護離開辦公場所的設備。如確因工作需要，如展會、維修等，需將本公司的服務器、交換機、路由器等信息設備移到本公司辦公地點外使用，需要填寫《重要信息資產(chǎn)出司登記審批表》，經(jīng)過責任部門經(jīng)理的批準后才能移出本公司物理環(huán)境。第90條 在對設備進行維護時，要根據(jù)不同的維護內(nèi)容及可能產(chǎn)生的風險，考慮是由內(nèi)部人員執(zhí)行還是由外部人員執(zhí)行，在外部人員對設備進行維護時，應實施適當?shù)目刂?，需要時，敏感信息需要從設備中刪除或確保維護人員對其不具有訪問權(quán)限。第88條 設備維護可分為日常維護（一級維護）、年度維護（二級維護）。機房內(nèi)設備的出入必須填寫《機房進出記錄》。對棄置的存儲有敏感信息的存儲設備，必須將其銷毀，或重寫數(shù)據(jù)，而不能只是使用標準的刪除功能進行數(shù)據(jù)刪除。第78條 應當按照設備維護要求的時間間隔和規(guī)范，對設備進行維護。第76條 計算機機房應列為單位重點防火部位，按照規(guī)定配備足夠數(shù)量的消防器材，并定期檢查更換。 穩(wěn)定的電源供給216。. 設備安全目標：防止資產(chǎn)的丟失、損壞或被盜，以及對組織業(yè)務活動的干擾。第58條 恢復設備和備份介質(zhì)的存放地點應與主場地有一段安全的距離，要考慮信息設備面臨的可能的安全威脅，參考《業(yè)務持續(xù)性管理程序》的內(nèi)容制定對應的業(yè)務連續(xù)性計劃，并要定期演練。大批供應品（例如文具等）不應存放于特殊安全區(qū)域內(nèi)；第52條 應當控制外來人員對公共辦公區(qū)域的訪問，一般來說，非本公司人員必須要在主要出入口處填寫《來訪人員登記表》，并且在顯眼處佩戴本公司發(fā)出的來賓卡，由Sinosoft員工陪同。第44條 所有進入本公司的人員都需經(jīng)過授權(quán)，本公司員工之外的人員進入本公司必須登記換取來賓卡才能進入(得到被訪者允許)。第42條 對第三方訪問人員和臨時性員工，也必須執(zhí)行第38條到第41條的相關(guān)規(guī)定。由人力資源部書面通知行政管理部刪除相關(guān)的口令、帳號、權(quán)限等信息。第39條 員工在崗位變動時，必須移交調(diào)出崗位的相關(guān)資料和有關(guān)文檔，檢查并歸還在Sinosoft借出的重要信息。 重點單位或核心計算機信息系統(tǒng)的維護和管理人員；167。 Sinosoft全體員工167。第31條 涉及重要信息系統(tǒng)管理的員工、合同方及第三方應當進行相關(guān)技術(shù)背景調(diào)查和能力考評；第32條 涉及重要信息系統(tǒng)管理的員工、合同方及第三方應在合同中明確其信息安全責任并簽署保密協(xié)議；. 雇傭中第33條 Sinosoft管理層必須要求所有的員工、合同方及第三方用戶執(zhí)行Sinosoft信息安全的相關(guān)規(guī)定；第34條 應當設定信息安全的相關(guān)獎勵措施，任何違反信息安全策略的行為都將收到懲戒，具體執(zhí)行辦法參見《信息安全獎懲規(guī)定》；第35條 將信息安全培訓加入員工培訓中，培訓材料應當包括下列內(nèi)容：167。第28條 對重要的資料檔案要妥善保管，以防丟失泄密，其廢棄的打印紙及磁介質(zhì)等，應按Sinosoft有關(guān)規(guī)定進行處理。第25條 必須建立信息資產(chǎn)管理登記制度，至少詳細記錄信息資產(chǎn)的分類、名稱、用途、資產(chǎn)所有者、安全責任人、安全維護人員、使用人員、入庫時間、有效時限、報廢時間、借用及返還情況等，便于查找和使用。每項信息資產(chǎn)在登記入冊及更新時必須指定信息資產(chǎn)的安全責任人，信息資產(chǎn)的安全責任人必須負責該信息資產(chǎn)的安全。）第20條 對于第三方參與的項目，必須在合同中明確規(guī)定人員的安全責任，必要時應當簽署保密協(xié)議。第三方至少包含如下人員： l 硬件及軟件技術(shù)支持、維護人員；l 項目現(xiàn)場實施人員；l 外單位參觀人員；l 合作單位人員；l 客戶；l 清潔人員、送餐人員、快遞、保安以及其它外包的支持服務人員；第17條 第三方的訪問類型包括物理訪問和邏輯訪問。第14條 信息安全管理小組每年至少進行一次信息安全風險評估工作（參照《信息安全風險評估管理程序》，并對安全策略進行復審。第12條 應當與政府機構(gòu)保持必要的聯(lián)系共同協(xié)調(diào)信息安全相關(guān)問題。并更新至《信息資產(chǎn)識別表》。Sinosoft的內(nèi)部信息安全組織為信息安全管理委員會，委員會的人員組成以及相關(guān)職責參見《信息安全委員會組織機構(gòu)》。4. Sinosoft信息系統(tǒng)安全組織目標：在Sinosoft組織內(nèi)部管理信息安全，保持可被外部組織訪問、處理、溝通或管理的Sinosoft信息及信息處理設備的安全。 其他應當進行安全風險評估的情形第3條 風險評估之后根據(jù)需要進行安全策略條目修訂，并在Sinosoft內(nèi)公布傳達。. 策略維護本策略通過以下方式進行文檔的維護工作：第2條 必須每年按照《信息安全風險評估管理程序》進行例行的風險評估，如遇以下情況必須及時進行風險評估：應當好的做法所要達到的要求，條件允許就要實施。故障是指信息的處理、傳輸設備運行出現(xiàn)意外障礙，以至影響信息系統(tǒng)正常運轉(zhuǎn)的事件。信息資產(chǎn)責任人是指對某項信息資產(chǎn)安全負責的人員。計算機機房裝有計算機主機、服務器和相關(guān)設備的，除了安裝和維護的情況外，不允許人員在里邊工作的專用房間。保密信息Sinosoft安全規(guī)章定義的密級信息。 公司管理辦法2. 術(shù)語和定義. 解釋信息安全是指保護信息資產(chǎn)免受多種安全威脅，保證業(yè)務連續(xù)性，將安全事件造成的損失降至最小，同時最大限度地獲得投資回報和商業(yè)機遇。. 參考信息167。 在Sinosoft中增強信息資產(chǎn)可用性、完整性和保密性；167。本安全策略得到Sinosoft領(lǐng)導的認可，并在Sinosoft內(nèi)強制實施。保密等級內(nèi)控文檔名稱信息安全策略文檔編號ISMS/Sinosofth042008發(fā)布組織Sinosoft信息安全工作小組發(fā)布日期 2008年1月1日 執(zhí)行日期 2008年1月1日版 本 號信息安全策略批準人簽字審核人簽字制訂人簽字　日期： 2008/1 /1　日期：2008/1 /1　日期：2008/1 /1南京擎天科技有限公司Nanjing Sinosoft Technology Co., Ltd.變更履歷序號版本編號或更改記錄編號變化 狀態(tài) *簡要說明(變更內(nèi)容、變更位置、變更原因和變更范圍)變更日期變更人審核人批準人批準日期1C創(chuàng)建，全頁。本文檔遵守政府制定的相關(guān)法律、法規(guī)、政策和標準。 在Sinosoft的員工中樹立起安全責任感；167。本安全策略由Sinosoft行政管理部負責解釋，自發(fā)布之日起執(zhí)行。 公司程序文件167。完整性保護信息和信息的處理方法準確而完整。風險管理以可以接受的成本，確認、控制、排除可能影響信息系統(tǒng)的安全風險或?qū)⑵鋷淼奈：ψ钚』倪^程。信息資產(chǎn)與信息系統(tǒng)相關(guān)聯(lián)的信息、信息的處理設備和服務。安全事件利用信息系統(tǒng)的安全漏洞，對信息資產(chǎn)的保密性、完整性和可用性造成危害的事件。. 詞語使用必須表示強制性的要求。. 策略下發(fā)第1條 本策略必須得到Sinosoft管理層批準，并向Sinosoft所有員工和相關(guān)第三方公布傳達，全體人員必須履行相關(guān)的義務，享受相應的權(quán)利，承擔相關(guān)的責任。 安全管理小組認為應當進行風險評估的對于即將投入使用和今后規(guī)劃的信息系統(tǒng)項目也必須參照本策略執(zhí)行。第7條 Sinosoft的信息系統(tǒng)安全管理工作采取行政管理部統(tǒng)一管理方式，其他相關(guān)部門/單位配合執(zhí)行。第9條 任何新的信息系統(tǒng)處理設施必須經(jīng)過管理授權(quán)的過程。 第11條 凡是涉及Sinosoft重要信息、機密信息（相關(guān)定義參見《保密管理規(guī)定》等信息的處理，相關(guān)的Sinosoft工作崗位員工以及第三方都必須簽署保密協(xié)議。這些團體包括外部安全咨詢商、獨立的安全技術(shù)專家等。. 外部組織第16條 第三方訪問是指非Sinosoft人員對信息系統(tǒng)的的訪問。（物理訪問區(qū)域安全責任人按《物理訪問控制管理規(guī)定》執(zhí)行。. 資產(chǎn)責任第22條 所有Sinosoft的信息資產(chǎn)必須登記入冊，對于有形資產(chǎn)必須進行標識，同時資產(chǎn)信息應當及時更新。（詳見《信息資產(chǎn)識別表》）。第27條 當信息資產(chǎn)進行拷貝、存儲、傳輸（如郵遞、傳真、電子郵件以及語音傳輸【包括電話、語音郵件、應答機】等）或者銷毀等信息處理時，應當參照《保密管理規(guī)定》或者制定妥善的處理步驟并執(zhí)行。第30條 對第三方訪問人員和臨時性員工，也必須遵守《參觀保密協(xié)議》。 相關(guān)獎懲辦法第36條 應當按下列群體進行不同類型的信息安全培訓：167。 計算機信息系統(tǒng)使用單位的安全管理責任人；167。. 人員信息安全管理原則第38條 員工錄用時，人力資源部或調(diào)入部門必須及時書面通知行政管理部添加相關(guān)的口令、帳號及權(quán)限等并備案。調(diào)離人員必須移交全部資料和有關(guān)文檔，刪除自己的文件、帳號，檢查并歸還在Sinosoft借出的保密信息。如有特殊情況，必須事先得到部門經(jīng)理及安全責任人的批準。安全區(qū)域至少包括Sinosoft各計算機機房、檔案室，IT部門、財務部、人力資源部等部門。第50條 機房建設應符合GB 9361中C類安全機房的要求；第51條 危險或易燃材料應在離安全區(qū)域安全距離以外的地方存放。第56條 關(guān)鍵和敏感設施應當存放在與公共辦公區(qū)域相對隔離的場地，并應設計且實施保護，禁止在公共辦公區(qū)域處理重要的信息設施；