【正文】 算機(jī)時，員工必須立即鎖定屏幕或退出系統(tǒng)，且在系統(tǒng)內(nèi)必須設(shè)置5分鐘自動啟用有口令的屏幕保護(hù)。3) 用戶責(zé)任目標(biāo)：避免未授權(quán)用戶的訪問，防止信息和信息處理設(shè)施的安全。e) 要告知并強(qiáng)制用戶遵守用戶帳號及口令管理規(guī)定，用戶必須對自己的帳號和口令保密，不能以任何形式向他人透露口令信息，不得以未加密的形式將口令保存在文件或計算機(jī)中，在收到應(yīng)用系統(tǒng)或軟件的初始口令后必須及時更改。詳細(xì)規(guī)定參見《公司郵箱管理辦法》b) 所有對信息系統(tǒng)的訪問必須遵照《訪問控制程序》。a) 應(yīng)當(dāng)明確規(guī)定每個用戶以及相應(yīng)用戶組在各個系統(tǒng)中訪問控制規(guī)則與權(quán)限，每半年要評審用戶和訪問權(quán)限的設(shè)置，詳細(xì)規(guī)定參見《訪問控制程序》。c) 可以實施安全產(chǎn)品或調(diào)整配置，以記錄和審計用戶活動、系統(tǒng)、安全產(chǎn)品和信息安全事件產(chǎn)生的日志，并按照約定的期限保留，以支持將來的調(diào)查和訪問控制監(jiān)視。9) 監(jiān)視和審計目標(biāo)：檢測未經(jīng)授權(quán)的信息處理活動。未經(jīng)安全責(zé)任人授權(quán)，員工不得與外部聯(lián)網(wǎng)的計算機(jī)信息系統(tǒng)傳輸涉及重要信息的文件。8) 信息交換目標(biāo)：應(yīng)保持組織內(nèi)部或組織與外部組織之間交換信息和軟件的安全。c) 存放業(yè)務(wù)應(yīng)用系統(tǒng)及重要信息的介質(zhì)，嚴(yán)禁外借，確因工作需要，須報請部門領(lǐng)導(dǎo)批準(zhǔn)。a) 應(yīng)當(dāng)妥善記錄移動介質(zhì)。a) 應(yīng)當(dāng)對重要的線路、網(wǎng)絡(luò)設(shè)備采用冗余措施，以維持關(guān)鍵服務(wù)的可用性。如果是涉密信息，必須對備份信息實施加密。e) 應(yīng)當(dāng)開展對一般員工的預(yù)防病毒培訓(xùn)。詳細(xì)規(guī)定參見《防病毒管理程序》。b) 應(yīng)建立新信息系統(tǒng)、系統(tǒng)升級和新版本的驗收準(zhǔn)則，驗收前應(yīng)當(dāng)完成設(shè)計審核、缺陷分析及安全測試。 與信息安全有關(guān)的新的控制措施216。b) 應(yīng)當(dāng)在第三方服務(wù)協(xié)議中包含服務(wù)變更管理的內(nèi)容。2) 第三方服務(wù)交付管理目標(biāo)：實施并保持信息安全的適當(dāng)水平，確保第三方交付的服務(wù)符合協(xié)議要求。操作流程必須成文，并只有經(jīng)授權(quán)才可以修改。j) 遠(yuǎn)程辦公人員有責(zé)任保護(hù)移動設(shè)備的安全，未經(jīng)批準(zhǔn)，不得在公共場所訪問內(nèi)部網(wǎng)絡(luò)。h) 設(shè)備的安全與重用應(yīng)當(dāng)按規(guī)定的操作程序來處理，特別是包含重要信息的存儲設(shè)備，應(yīng)按照相關(guān)規(guī)定，以確定是否銷毀、修理或棄用該設(shè)備。e) 定期對機(jī)房供電線路及照明器具進(jìn)行檢查，防止因線路老化短路造成火災(zāi)。c) 各計算機(jī)機(jī)房是重要的信息處理場所，必須嚴(yán)格執(zhí)行有關(guān)安全保密制度和規(guī)定，并防止重要信息的泄露，保證業(yè)務(wù)數(shù)據(jù)、信息、資料的準(zhǔn)確、安全可靠。如中華人民共和國國家標(biāo)準(zhǔn)GB 50174《電子計算機(jī)機(jī)房設(shè)計規(guī)范》，必須提供：216。o) 外部人員訪問安全區(qū)域時應(yīng)當(dāng)由員工陪同，并填寫《機(jī)房出入登記表》，對訪問時間、操作內(nèi)容等加以記錄。k) 危險或易燃物品應(yīng)當(dāng)擺放在離安全區(qū)域安全距離之外，機(jī)房應(yīng)當(dāng)參見《機(jī)房安全管理規(guī)定》中的要求執(zhí)行值班或巡檢工作任務(wù)。f) 安全區(qū)域進(jìn)出控制采用合適的電子卡或磁卡，并能雙向控制。安全區(qū)域至少包括各計算機(jī)機(jī)房、IT部門、財務(wù)、人事等部門。如有特殊情況，必須事先得到部門經(jīng)理及安全責(zé)任人的批準(zhǔn)。c) 員工在調(diào)離時必須進(jìn)行信息安全檢查。 能夠接觸到敏感數(shù)據(jù)或機(jī)密信息的關(guān)鍵用戶。必須參加計算機(jī)信息安全培訓(xùn)的人員包括：216。 信息安全制度216。b) 對第三方訪問人員和臨時性員工，必須遵守《第三方和外包管理規(guī)定》。d) 當(dāng)信息資產(chǎn)進(jìn)行拷貝、存儲、傳輸（如郵遞、傳真、電子郵件以及語音傳輸（包括電話、語音郵件、應(yīng)答機(jī)）等）或者銷毀等信息處理時，應(yīng)當(dāng)參照《信息資產(chǎn)鑒別和分類管理辦法》或者制定妥善的處理步驟并執(zhí)行。b) 必須建立信息資產(chǎn)管理登記制度，至少詳細(xì)記錄信息資產(chǎn)的分類、名稱、用途、資產(chǎn)所有者、使用人員等，便于查找和使用。每項信息資產(chǎn)在登記入冊及更新時必須指定信息資產(chǎn)的安全責(zé)任人，信息資產(chǎn)的安全責(zé)任人必須負(fù)責(zé)該信息資產(chǎn)的安全。（詳見《辦公室基礎(chǔ)設(shè)備和工作環(huán)境控制程序》）e) 對于第三方參與的項目或提供的服務(wù)，必須在合同中明確規(guī)定人員的安全責(zé)任，必要時應(yīng)當(dāng)簽署保密協(xié)議。 客戶是否與有商業(yè)利益沖突；216。 物理訪問：重點考慮安全要求較高區(qū)域的訪問，包括計算機(jī)機(jī)房、重要辦公區(qū)域和存放重要物品區(qū)域等；216。 合作單位人員；216。第三方至少包含如下人員： 216。l 信息安全管理小組每年至少進(jìn)行一次信息安全風(fēng)險評估工作（參照《風(fēng)險評估和風(fēng)險管理程序》，并對安全策略進(jìn)行復(fù)審。l 應(yīng)當(dāng)與政府機(jī)構(gòu)保持必要的聯(lián)系共同協(xié)調(diào)信息安全相關(guān)問題。并更新至《信息資產(chǎn)列表》。公司的內(nèi)部信息安全組織包括信息安全管理小組，小組的人員組成以及相關(guān)職責(zé)參見《公司信息安全組織結(jié)構(gòu)圖》。. 信息系統(tǒng)安全組織目標(biāo)：在組織內(nèi)部管理信息安全，保持可被外部組織訪問、處理、溝通或管理的信息及信息處理設(shè)備的安全。2) 策略維護(hù)本策略通過以下方式進(jìn)行文檔的維護(hù)工作：必須每年按照《風(fēng)險評估管理程序》進(jìn)行例行的風(fēng)險評估，如遇以下情況必須及時進(jìn)行風(fēng)險評估：a) 發(fā)生重大安全事故b) 組織或技術(shù)基礎(chǔ)結(jié)構(gòu)發(fā)生重大變更c) 安全管理小組認(rèn)為應(yīng)當(dāng)進(jìn)行風(fēng)險評估的d) 其他應(yīng)當(dāng)進(jìn)行安全風(fēng)險評估的情形風(fēng)險評估之后根據(jù)需要進(jìn)行安全策略條目修訂，并在內(nèi)公布傳達(dá)。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。應(yīng)當(dāng)好的做法所要達(dá)到的要求，條件允許就要實施。故障是指信息的處理、傳輸設(shè)備運(yùn)行出現(xiàn)意外障礙，以至影響信息系統(tǒng)正常運(yùn)轉(zhuǎn)的事件。合作單位是指與有業(yè)務(wù)往來的單位，包括承包商、服務(wù)提供商、設(shè)備廠商、外包服務(wù)商、貿(mào)易伙伴等。員工在系統(tǒng)內(nèi)工作的正式員工、雇傭的臨時工作人員。信息安全策略正確使用和管理IT信息資源并保護(hù)這些資源使得它們擁有更好的保密性、完整性、可用性的策略?？捎眯源_保經(jīng)過授權(quán)的用戶在需要時可以訪問信息并使用相關(guān)信息資產(chǎn)。本安全策略得到領(lǐng)導(dǎo)的認(rèn)可，并在公司內(nèi)強(qiáng)制實施。 信息安全策略批準(zhǔn)人簽字審核人簽字制訂人簽字 變更履歷序號版本編號或更改記錄編號變化 狀態(tài) *簡要說明(變更內(nèi)容、變更位置、變更原因和變更范圍)變更日期變更人審核人批準(zhǔn)人批準(zhǔn)日期1C創(chuàng)建，全頁。本文檔遵守政府制定的相關(guān)法律、法規(guī)、政策和標(biāo)準(zhǔn)。2. 術(shù)語和定義1) 解釋信息安全是指保護(hù)信息資產(chǎn)免受多種安全威脅，保證業(yè)務(wù)連續(xù)性，將安全事件造成的損失降至最小，同時最大限度地獲得投資回報和商業(yè)機(jī)遇。保密信息安全規(guī)章定義的密級信息。計算機(jī)機(jī)房裝有計算機(jī)主機(jī)、服務(wù)器和相關(guān)設(shè)備的，除了安裝和維護(hù)的情況外，不允許人員在里邊工作的專用房間。信息資產(chǎn)責(zé)任人是指對某項信息資產(chǎn)安全負(fù)責(zé)的人員。安全事件利用信息系統(tǒng)的安全漏洞，對信息資產(chǎn)的保密性、完整性和可用性造成危害的事件。2) 詞語使用必須表示強(qiáng)制性的要求。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵各部門研究是否可使用這些文件的最新版本。1) 策略下發(fā)本策略必須得到管理層批準(zhǔn)，并向所有員工和相關(guān)第三方公布傳達(dá)，全體人員必須履行相關(guān)的義務(wù)，享受相應(yīng)的權(quán)利，承擔(dān)相關(guān)的責(zé)任。對于即將投入使用和今后規(guī)劃的信息系統(tǒng)項目也必須參照本策略執(zhí)行。l 公司的信息系統(tǒng)安全管理工作采取信息安全管控委員會統(tǒng)一管理方式，其他相關(guān)部門配合執(zhí)行。l 任何新的信息系統(tǒng)處理設(shè)施必須經(jīng)過管理授權(quán)的過程。l 凡是涉及重要信息、機(jī)密信息（相關(guān)定義參見《信息資產(chǎn)鑒別和分類管理辦法》等信息的處理，相關(guān)的工作崗位員工以及第三方都必須簽署保密協(xié)議。這些團(tuán)體包括外部安全咨詢商、獨立的安全技術(shù)專家等。2) 外部組織a) 第三方訪問是指非人員對信息系統(tǒng)的訪問。 外單位參觀人員；21