【正文】 算機時，員工必須立即鎖定屏幕或退出系統(tǒng)，且在系統(tǒng)內(nèi)必須設(shè)置5分鐘自動啟用有口令的屏幕保護。3) 用戶責任目標：避免未授權(quán)用戶的訪問，防止信息和信息處理設(shè)施的安全。e) 要告知并強制用戶遵守用戶帳號及口令管理規(guī)定，用戶必須對自己的帳號和口令保密，不能以任何形式向他人透露口令信息，不得以未加密的形式將口令保存在文件或計算機中，在收到應用系統(tǒng)或軟件的初始口令后必須及時更改。詳細規(guī)定參見《公司郵箱管理辦法》b) 所有對信息系統(tǒng)的訪問必須遵照《訪問控制程序》。a) 應當明確規(guī)定每個用戶以及相應用戶組在各個系統(tǒng)中訪問控制規(guī)則與權(quán)限，每半年要評審用戶和訪問權(quán)限的設(shè)置，詳細規(guī)定參見《訪問控制程序》。c) 可以實施安全產(chǎn)品或調(diào)整配置，以記錄和審計用戶活動、系統(tǒng)、安全產(chǎn)品和信息安全事件產(chǎn)生的日志，并按照約定的期限保留，以支持將來的調(diào)查和訪問控制監(jiān)視。9) 監(jiān)視和審計目標：檢測未經(jīng)授權(quán)的信息處理活動。未經(jīng)安全責任人授權(quán)，員工不得與外部聯(lián)網(wǎng)的計算機信息系統(tǒng)傳輸涉及重要信息的文件。8) 信息交換目標：應保持組織內(nèi)部或組織與外部組織之間交換信息和軟件的安全。c) 存放業(yè)務(wù)應用系統(tǒng)及重要信息的介質(zhì)，嚴禁外借，確因工作需要，須報請部門領(lǐng)導批準。a) 應當妥善記錄移動介質(zhì)。a) 應當對重要的線路、網(wǎng)絡(luò)設(shè)備采用冗余措施，以維持關(guān)鍵服務(wù)的可用性。如果是涉密信息，必須對備份信息實施加密。e) 應當開展對一般員工的預防病毒培訓。詳細規(guī)定參見《防病毒管理程序》。b) 應建立新信息系統(tǒng)、系統(tǒng)升級和新版本的驗收準則，驗收前應當完成設(shè)計審核、缺陷分析及安全測試。 與信息安全有關(guān)的新的控制措施216。b) 應當在第三方服務(wù)協(xié)議中包含服務(wù)變更管理的內(nèi)容。2) 第三方服務(wù)交付管理目標：實施并保持信息安全的適當水平，確保第三方交付的服務(wù)符合協(xié)議要求。操作流程必須成文，并只有經(jīng)授權(quán)才可以修改。j) 遠程辦公人員有責任保護移動設(shè)備的安全，未經(jīng)批準，不得在公共場所訪問內(nèi)部網(wǎng)絡(luò)。h) 設(shè)備的安全與重用應當按規(guī)定的操作程序來處理，特別是包含重要信息的存儲設(shè)備，應按照相關(guān)規(guī)定，以確定是否銷毀、修理或棄用該設(shè)備。e) 定期對機房供電線路及照明器具進行檢查，防止因線路老化短路造成火災。c) 各計算機機房是重要的信息處理場所，必須嚴格執(zhí)行有關(guān)安全保密制度和規(guī)定，并防止重要信息的泄露，保證業(yè)務(wù)數(shù)據(jù)、信息、資料的準確、安全可靠。如中華人民共和國國家標準GB 50174《電子計算機機房設(shè)計規(guī)范》，必須提供：216。o) 外部人員訪問安全區(qū)域時應當由員工陪同，并填寫《機房出入登記表》，對訪問時間、操作內(nèi)容等加以記錄。k) 危險或易燃物品應當擺放在離安全區(qū)域安全距離之外，機房應當參見《機房安全管理規(guī)定》中的要求執(zhí)行值班或巡檢工作任務(wù)。f) 安全區(qū)域進出控制采用合適的電子卡或磁卡，并能雙向控制。安全區(qū)域至少包括各計算機機房、IT部門、財務(wù)、人事等部門。如有特殊情況，必須事先得到部門經(jīng)理及安全責任人的批準。c) 員工在調(diào)離時必須進行信息安全檢查。 能夠接觸到敏感數(shù)據(jù)或機密信息的關(guān)鍵用戶。必須參加計算機信息安全培訓的人員包括：216。 信息安全制度216。b) 對第三方訪問人員和臨時性員工，必須遵守《第三方和外包管理規(guī)定》。d) 當信息資產(chǎn)進行拷貝、存儲、傳輸（如郵遞、傳真、電子郵件以及語音傳輸（包括電話、語音郵件、應答機）等）或者銷毀等信息處理時，應當參照《信息資產(chǎn)鑒別和分類管理辦法》或者制定妥善的處理步驟并執(zhí)行。b) 必須建立信息資產(chǎn)管理登記制度，至少詳細記錄信息資產(chǎn)的分類、名稱、用途、資產(chǎn)所有者、使用人員等，便于查找和使用。每項信息資產(chǎn)在登記入冊及更新時必須指定信息資產(chǎn)的安全責任人，信息資產(chǎn)的安全責任人必須負責該信息資產(chǎn)的安全。（詳見《辦公室基礎(chǔ)設(shè)備和工作環(huán)境控制程序》）e) 對于第三方參與的項目或提供的服務(wù)，必須在合同中明確規(guī)定人員的安全責任，必要時應當簽署保密協(xié)議。 客戶是否與有商業(yè)利益沖突；216。 物理訪問：重點考慮安全要求較高區(qū)域的訪問，包括計算機機房、重要辦公區(qū)域和存放重要物品區(qū)域等；216。 合作單位人員；216。第三方至少包含如下人員： 216。l 信息安全管理小組每年至少進行一次信息安全風險評估工作（參照《風險評估和風險管理程序》，并對安全策略進行復審。l 應當與政府機構(gòu)保持必要的聯(lián)系共同協(xié)調(diào)信息安全相關(guān)問題。并更新至《信息資產(chǎn)列表》。公司的內(nèi)部信息安全組織包括信息安全管理小組，小組的人員組成以及相關(guān)職責參見《公司信息安全組織結(jié)構(gòu)圖》。. 信息系統(tǒng)安全組織目標：在組織內(nèi)部管理信息安全，保持可被外部組織訪問、處理、溝通或管理的信息及信息處理設(shè)備的安全。2) 策略維護本策略通過以下方式進行文檔的維護工作：必須每年按照《風險評估管理程序》進行例行的風險評估，如遇以下情況必須及時進行風險評估：a) 發(fā)生重大安全事故b) 組織或技術(shù)基礎(chǔ)結(jié)構(gòu)發(fā)生重大變更c) 安全管理小組認為應當進行風險評估的d) 其他應當進行安全風險評估的情形風險評估之后根據(jù)需要進行安全策略條目修訂，并在內(nèi)公布傳達。凡是不注日期的引用文件，其最新版本適用于本標準。應當好的做法所要達到的要求，條件允許就要實施。故障是指信息的處理、傳輸設(shè)備運行出現(xiàn)意外障礙，以至影響信息系統(tǒng)正常運轉(zhuǎn)的事件。合作單位是指與有業(yè)務(wù)往來的單位，包括承包商、服務(wù)提供商、設(shè)備廠商、外包服務(wù)商、貿(mào)易伙伴等。員工在系統(tǒng)內(nèi)工作的正式員工、雇傭的臨時工作人員。信息安全策略正確使用和管理IT信息資源并保護這些資源使得它們擁有更好的保密性、完整性、可用性的策略?？捎眯源_保經(jīng)過授權(quán)的用戶在需要時可以訪問信息并使用相關(guān)信息資產(chǎn)。本安全策略得到領(lǐng)導的認可，并在公司內(nèi)強制實施。 信息安全策略批準人簽字審核人簽字制訂人簽字 變更履歷序號版本編號或更改記錄編號變化 狀態(tài) *簡要說明(變更內(nèi)容、變更位置、變更原因和變更范圍)變更日期變更人審核人批準人批準日期1C創(chuàng)建，全頁。本文檔遵守政府制定的相關(guān)法律、法規(guī)、政策和標準。2. 術(shù)語和定義1) 解釋信息安全是指保護信息資產(chǎn)免受多種安全威脅，保證業(yè)務(wù)連續(xù)性，將安全事件造成的損失降至最小，同時最大限度地獲得投資回報和商業(yè)機遇。保密信息安全規(guī)章定義的密級信息。計算機機房裝有計算機主機、服務(wù)器和相關(guān)設(shè)備的，除了安裝和維護的情況外，不允許人員在里邊工作的專用房間。信息資產(chǎn)責任人是指對某項信息資產(chǎn)安全負責的人員。安全事件利用信息系統(tǒng)的安全漏洞，對信息資產(chǎn)的保密性、完整性和可用性造成危害的事件。2) 詞語使用必須表示強制性的要求。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。1) 策略下發(fā)本策略必須得到管理層批準，并向所有員工和相關(guān)第三方公布傳達，全體人員必須履行相關(guān)的義務(wù)，享受相應的權(quán)利，承擔相關(guān)的責任。對于即將投入使用和今后規(guī)劃的信息系統(tǒng)項目也必須參照本策略執(zhí)行。l 公司的信息系統(tǒng)安全管理工作采取信息安全管控委員會統(tǒng)一管理方式，其他相關(guān)部門配合執(zhí)行。l 任何新的信息系統(tǒng)處理設(shè)施必須經(jīng)過管理授權(quán)的過程。l 凡是涉及重要信息、機密信息（相關(guān)定義參見《信息資產(chǎn)鑒別和分類管理辦法》等信息的處理，相關(guān)的工作崗位員工以及第三方都必須簽署保密協(xié)議。這些團體包括外部安全咨詢商、獨立的安全技術(shù)專家等。2) 外部組織a) 第三方訪問是指非人員對信息系統(tǒng)的訪問。 外單位參觀人員；21