【正文】 第57條 危險或易燃物品應(yīng)當(dāng)擺放在離安全區(qū)域安全距離之外，機房操作員應(yīng)當(dāng)參見《機房管理規(guī)定》中的要求執(zhí)行值班任務(wù)。第61條 向本公司發(fā)送貨物必須預(yù)先通知管理部或其授權(quán)代表；第62條 送貨公司名稱和交貨時間應(yīng)當(dāng)在接收貨物之前由監(jiān)督人員確認(rèn)；第63條 送貨公司在進入本公司區(qū)域之前要經(jīng)過工作人員鑒別確認(rèn)；第64條 管理部或其授權(quán)代表應(yīng)安排人員檢驗貨物，以保證沒有潛在的危害。如中華人民共和國國家標(biāo)準(zhǔn)GB 50174《電子計算機機房設(shè)計規(guī)范》，必須提供：216。第75條 Sinosoft各計算機機房是重要的信息處理場所，必須嚴(yán)格執(zhí)行Sinosoft有關(guān)安全保密制度和規(guī)定，并防止重要信息的泄露，保證業(yè)務(wù)數(shù)據(jù)、信息、資料的準(zhǔn)確、安全可靠。第77條 定期對機房供電線路及照明器具進行檢查，防止因線路老化短路造成火災(zāi)。第80條 設(shè)備的安全與重用應(yīng)當(dāng)按規(guī)定的操作程序來處理，特別是包含重要信息的存儲設(shè)備，應(yīng)按照相關(guān)規(guī)定，以確定是否銷毀、修理或棄用該設(shè)備。第83條 未經(jīng)信息安全責(zé)任人授權(quán)，不允許將載有重要信息的設(shè)備、信息或軟件帶離工作場所。第87條 設(shè)備管理責(zé)任部門和責(zé)任人要每年年初制訂《設(shè)備維護計劃》，《設(shè)備維護計劃》中列明設(shè)備維護的內(nèi)容、維護時間與周期、維護人員、維護費用等內(nèi)容。無論內(nèi)部人員還是外部人員，都必須具備相應(yīng)的能力，并遵守安裝維護操作步驟和安全保護規(guī)則。第93條 本公司原則上禁止設(shè)備移出本公司物理環(huán)境。第96條 離開辦公場所的設(shè)備的保護應(yīng)考慮下列措施：　　　　離開建筑物的設(shè)備和介質(zhì)在公共場所不應(yīng)無人看管。第97條 設(shè)備報廢處置時，存有敏感信息的存儲設(shè)備要從物理上加以銷毀，或用安全方式對信息加以覆蓋，而不能采用常用的標(biāo)準(zhǔn)刪除功能來刪除。廢紙可在碎紙后立即處置掉。數(shù)據(jù)存儲光盤應(yīng)在處置前實際銷毀。這樣的抽查應(yīng)按照相關(guān)規(guī)章制度執(zhí)行。第104條 操作程序應(yīng)詳細(xì)規(guī)定執(zhí)行每項工作的說明，其內(nèi)容包括：信息處理和處置；備份；時間安排要求，包括與其他系統(tǒng)的相互關(guān)系、最早工作開始時間和最后工作完成期限；對在工作執(zhí)行期間可能出現(xiàn)的處理差錯或其它異常情況的指導(dǎo)，包括對使用系統(tǒng)實用工具的限制；出現(xiàn)不期望操作或技術(shù)困難事件時的支持性聯(lián)絡(luò)；特定輸出及介質(zhì)處理的指導(dǎo)，包括任務(wù)失敗時輸出的安全處置程序；系統(tǒng)失效時使用的系統(tǒng)重啟和恢復(fù)程序；審核跟蹤和系統(tǒng)日志信息的管理。應(yīng)考慮如下內(nèi)容；重大變更的標(biāo)識和記錄；變更的策劃和測試；對這種變更的潛在影響的評估，包括安全影響；對建議變更的正式批準(zhǔn)程序；向所有有關(guān)人員傳達變更細(xì)節(jié)；返回程序，包括從不成功變更和未預(yù)料事件中退出和恢復(fù)的程序與職責(zé)。操作人員會在變更請求獲得批準(zhǔn)后約定的時間內(nèi)實施變更，并確保不會對現(xiàn)有的平臺造成意外的服務(wù)影響。第112條 如果因工作原因需要進行上述活動，應(yīng)遵守以下做法：網(wǎng)管中心聯(lián)同開發(fā)方、運行方和需求方討論潛在的安全風(fēng)險并設(shè)計防范程序；開發(fā)測試人員全權(quán)負(fù)責(zé)開發(fā)測試系統(tǒng)的管理，運行人員未經(jīng)授權(quán)不得參與開發(fā)測試系統(tǒng)的有關(guān)工作； 運行人員全權(quán)負(fù)責(zé)生產(chǎn)系統(tǒng)的管理，開發(fā)測試人員未經(jīng)授權(quán)不得參與生產(chǎn)系統(tǒng)的有關(guān)工作；運行人員要密切監(jiān)督生產(chǎn)系統(tǒng)，以保證開發(fā)、測試工作不會造成服務(wù)影響或安全事故；開發(fā)測試系統(tǒng)應(yīng)當(dāng)與生產(chǎn)系統(tǒng)分開，并清楚地標(biāo)記測試周期和有關(guān)開發(fā)測試技術(shù)支持的聯(lián)系方式；對于需要在生產(chǎn)環(huán)境下進行的開發(fā)測試工作，需要經(jīng)過授權(quán)才能進行，并且在測試完成后，需要立即從生產(chǎn)環(huán)境卸載；如果開發(fā)人員需要訪問生產(chǎn)與運行設(shè)施，應(yīng)當(dāng)向本公司相關(guān)人員申請；開發(fā)完成的應(yīng)用項目在投入使用前，應(yīng)當(dāng)提交一份上線申請。第114條 本公司對第三方服務(wù)的監(jiān)督和評審應(yīng)按照商定的信息安全條款執(zhí)行，使信息安全事故和問題得到適當(dāng)?shù)墓芾?。?16條 對第三方服務(wù)變更的管理過程需要考慮： 本公司實施的變更：1) 對提供的現(xiàn)有服務(wù)的加強；2) 任何新應(yīng)用和系統(tǒng)的開發(fā)；3) 組織策略和程序的更改或更新；4) 解決信息安全事故和改進安全的新的控制措施。第118條 負(fù)責(zé)人員應(yīng)當(dāng)對主要系統(tǒng)資源的使用情況進行監(jiān)視，包括處理器、內(nèi)存、文件儲存、打印機和其它輸出設(shè)備及通訊系統(tǒng)。 同時應(yīng)監(jiān)控主路由器和交換機的以下方面： MRTG流量特征； 設(shè)備日志； 網(wǎng)絡(luò)設(shè)備的CPU使用率。 1) 在新系統(tǒng)實施之前，要收集CPU和存儲空間使用量等性能統(tǒng)計。檢查內(nèi)容包括操作系統(tǒng)版本、補丁等級、任何缺失的安全熱修補等等。 6) 確保系統(tǒng)變更后不會減弱本公司的整體安全性。 3) 檢查CPU和存儲器是否有劇烈變化。 驗收程序：新系統(tǒng)進入生產(chǎn)環(huán)境前，需要提交操作變更請求。4) 具體的安全控制要求（如果有）。第123條 所有服務(wù)器和個人計算機都必須激活防病毒軟件，必須及時更新防病毒代碼庫。第126條 必須對所有的電子郵件附件進行病毒掃描，也不要隨意打開來歷不明的郵件附件。移動代碼和很多的中間件服務(wù)相關(guān)聯(lián)。第129條 信息備份按照《數(shù)據(jù)備份管理規(guī)定》實施。第132條 備份應(yīng)當(dāng)存儲在與主設(shè)備有足夠距離的地點，該地點應(yīng)安全可靠，應(yīng)同主設(shè)備場地使用同等的安全等級。第135條 網(wǎng)絡(luò)管理員應(yīng)當(dāng)參照《網(wǎng)絡(luò)安全管理規(guī)定》對網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)進行充分的管理和控制，并采用網(wǎng)管工具對通訊線路、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)流量進行實時的監(jiān)控和預(yù)警。本公司要定期全面更換密碼。第139條 生產(chǎn)環(huán)境中的所有網(wǎng)絡(luò)設(shè)備上的默認(rèn)用戶名和密碼必須盡可能地全部清除。第141條 本公司內(nèi)部網(wǎng)絡(luò)中所有網(wǎng)絡(luò)設(shè)備和服務(wù)器都要隔離在外部網(wǎng)絡(luò)防火墻后面。第144條 應(yīng)當(dāng)妥善記錄移動介質(zhì)。第146條 存放業(yè)務(wù)應(yīng)用系統(tǒng)及重要信息的介質(zhì)，嚴(yán)禁外借，確因工作需要，須報請部門領(lǐng)導(dǎo)批準(zhǔn)。第149條 本公司的可移動介質(zhì)必須按照以下規(guī)定嚴(yán)格處理：符合“信息資產(chǎn)管理”策略的要求；適當(dāng)分類、貼標(biāo)貼并保持可移動介質(zhì)的保存位置的準(zhǔn)確記錄；嚴(yán)格控制在辦公環(huán)境和生產(chǎn)環(huán)境中使用可移動介質(zhì)，具體辦法請參見《介質(zhì)管理程序》。第151條 凡敏感性介質(zhì)的處置都必須經(jīng)過管理者的批準(zhǔn)，并記錄在“報廢記錄表”留待審計時備查。應(yīng)考慮如下控制： 設(shè)計用來防止交換信息遭受截取、復(fù)制、修改、錯誤尋址和破壞的程序； 檢測和防止可能通過使用電子通信傳輸?shù)膼阂獯a的程序； 保護以附件形式傳輸?shù)拿舾须娮有畔⒌某绦颍?簡述電子通信設(shè)施可接受使用的策略或指南； 無線通信使用的程序，要考慮所涉及的特定風(fēng)險； 雇員、承包方人員和所有第三方人員不危害組織的職責(zé)，例如誹謗、擾亂、扮演、連鎖信寄送、未授權(quán)購買等； 密碼技術(shù)的使用，例如保護信息的保密性、完整性和真實性； 所有業(yè)務(wù)通信（包括消息）的保持和處理指南，要與相關(guān)國家和地方法律法規(guī)一致； 不將敏感或關(guān)鍵信息留在打印設(shè)施上，例如復(fù)印機、打印機和傳真機，因為這些設(shè)施可能被未授權(quán)人員訪問； 與通信設(shè)施轉(zhuǎn)發(fā)相關(guān)的控制措施和限制，例如將電子郵件自動轉(zhuǎn)發(fā)到外部郵件地址；1 提醒工作人員，他們應(yīng)采取相應(yīng)預(yù)防措施，例如，為不泄露敏感信息，避免打電話時被無意聽到或竊聽：1) 當(dāng)使用移動電話時，要特別注意在他們附近的人；2) 搭線竊聽、通過物理訪問手持電話或電話線路以及受用掃描接收器的其他竊聽方式；3) 接收端的人。第153條 員工必須遵守國家有關(guān)信息管理的法規(guī)，不得利用網(wǎng)絡(luò)危害國家安全、泄露國家秘密，不得違反中華人民共和國現(xiàn)行法律和法規(guī)，不得侵犯國家社會集體的和公民的合法權(quán)益。第156條 在通過郵政等物理傳輸方式傳輸時，應(yīng)保護包含重要信息的介質(zhì)的安全。第160條 對電子郵件的使用、管理和歸檔的有關(guān)要求請參見《電子郵件管理規(guī)定》。網(wǎng)站內(nèi)容、服務(wù)器配置改變，必須確保：網(wǎng)站內(nèi)容、服務(wù)器變更前已經(jīng)測試，內(nèi)容經(jīng)過審核；變更是經(jīng)過批準(zhǔn)的；變更后有適當(dāng)驗收。第165條 可以實施安全產(chǎn)品或調(diào)整配置，以記錄和審計用戶活動、系統(tǒng)、安全產(chǎn)品和信息安全事件產(chǎn)生的日志，并按照約定的期限保留，以支持將來的調(diào)查和訪問控制監(jiān)視。第168條 本公司必須按照規(guī)定的事件日志記錄格式，監(jiān)控在用系統(tǒng)的狀態(tài)，執(zhí)行《系統(tǒng)監(jiān)控管理規(guī)定》。所有特權(quán)操作，如：1) 特權(quán)帳號的使用；2) 系統(tǒng)啟動和停止；3) I/O 設(shè)備連接/分離。有些事件可能在發(fā)生安全事故時要求進行進一步調(diào)查。(四) 應(yīng)對日志進行集中管理。第173條 錯誤日志：(一) 錯誤日志記錄在「故障處理單」，包含以下內(nèi)容： 故障/錯誤發(fā)生和恢復(fù)的日期和時間； 故障/錯誤報告/探測和處理情況； 故障等級； 聯(lián)系的技術(shù)支持； 后續(xù)措施如隔級報告。 第174條 時鐘同步：應(yīng)在Sinosoft網(wǎng)絡(luò)中配置時鐘服務(wù)器，被審計的信息設(shè)備應(yīng)同時鐘服務(wù)器的時間保持同步，以避免審計上的漏洞。本公司需要建立統(tǒng)一的訪問控制策略，由信息安全工作小組批準(zhǔn)，網(wǎng)管中心建立統(tǒng)一訪問控制策略。第177條 變更、取消訪問權(quán)或注銷：填寫《用戶權(quán)限變更表》。在未完成授權(quán)過程之前，不應(yīng)授予特殊權(quán)限；應(yīng)促進開發(fā)和使用避免具有特殊權(quán)限才能運行的程序；特殊權(quán)限應(yīng)被分配一個不同于正常業(yè)務(wù)用途所用的用戶ID。 （四）任何用戶在使用多用戶信息系統(tǒng)和服務(wù)時都必須驗證身份。 （六）緊急請求特權(quán)帳號如Windows服務(wù)器的管理員和UNIX/Linux服務(wù)器的根口令時，必須遵守以下程序：本公司員工填寫「用戶權(quán)限變更表」，寫明帳號申請原因、申請期限；該申請表格需經(jīng)過相關(guān)部門負(fù)責(zé)人審核通過；帳號發(fā)布時，應(yīng)當(dāng)保證口令信息的保密性；申請表作為公司檔案保存；信息安全管理小組定期審核申請記錄，檢查是否存在違規(guī)的情況。特權(quán)包括： 平臺系統(tǒng)和數(shù)據(jù)庫的管理員帳戶；擁有管理員權(quán)限的WINDOWS帳戶； UNIX/Linux的root帳戶； 所有路由器、交換機或?qū)Ｓ迷O(shè)備的管理員帳戶； 防火墻管理員帳戶；擁有專門特權(quán)(取決于系統(tǒng))的其它系統(tǒng)的帳戶。 （二）用戶口令使用請參見《口令管理規(guī)定》。（三）在公共區(qū)域安裝的設(shè)備（例如工作站或文件服務(wù)器）在長期無人值守時需要專門的保護，以防止未授權(quán)訪問。 . 網(wǎng)絡(luò)訪問控制目標(biāo)：防止對網(wǎng)絡(luò)服務(wù)的未經(jīng)授權(quán)的訪問。（二）一般情況下，所有基于互聯(lián)網(wǎng)訪問到本公司內(nèi)部網(wǎng)絡(luò)時都必須由身份認(rèn)證服務(wù)器驗證用戶帳號和口令。第187條 遠(yuǎn)程診斷和配置端口的保護：(一)本公司的信息處理設(shè)施和網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程診斷端口默認(rèn)為　　　禁用。（二）任何對本公司控制的防火墻和VLAN策略的更改都必須經(jīng)過相關(guān)部門負(fù)責(zé)人的批準(zhǔn)并遵守《變更管理程序》。本公司防火墻中要根據(jù)業(yè)務(wù)要求確定應(yīng)用的規(guī)則。路由配置定期備份。因此，登錄程序應(yīng)泄露最少有關(guān)系統(tǒng)的信息，以避免給未授權(quán)用戶提供任何不必要的幫助。（四）僅在所有輸入數(shù)據(jù)完成時才驗證登錄信息。如果超時，則系統(tǒng)應(yīng)終止登錄。第192條 用戶標(biāo)識和鑒別：建立用戶命名策略：所有用戶應(yīng)有唯一的、專供其個人使用的標(biāo)識符（用戶ID），應(yīng)選擇一種適當(dāng)?shù)蔫b別技術(shù)證實用戶所宣稱的身份。第194條 系統(tǒng)實用工具的使用：（一）系統(tǒng)實用工具程序僅控制限于「特權(quán)帳戶」使用；（二）將系統(tǒng)實用工具和應(yīng)用軟件分開；（三）限制系統(tǒng)實用工具的可用性，例如，在授權(quán)變更的時間內(nèi)；實用工具程序僅控制限于「特權(quán)帳戶」使用。（二）應(yīng)考慮對敏感的計算機應(yīng)用程序，特別是安裝在高風(fēng)險位置的應(yīng)用程序，使用連機時間的控制措施。用戶和支持人員對信息和應(yīng)用系統(tǒng)功能的訪問應(yīng)依照已確定的訪問控制策略加以限制。應(yīng)運行在專用的計算機上，僅與可信的應(yīng)用系統(tǒng)共享資源。 （二）公用移動計算設(shè)備中貯存的數(shù)據(jù)應(yīng)作為臨時資料處理，用后要刪除。第200條 遠(yuǎn)程工作：（一）本公司使用遠(yuǎn)程登錄設(shè)施與授權(quán)方或支持本公司的業(yè)務(wù)合作伙伴進行遠(yuǎn)程工作。10. 信息系統(tǒng)的獲取、開發(fā)和維護安全. 信息系統(tǒng)的安全要求目標(biāo)：確保安全成為信息系統(tǒng)的一部分。 輸入數(shù)據(jù)驗證：對應(yīng)用系統(tǒng)的數(shù)據(jù)輸入進行驗證，保證輸入數(shù)據(jù)正確并合乎要求。 輸出數(shù)據(jù)驗證：對應(yīng)用系統(tǒng)輸出的數(shù)據(jù)進行驗證，保證對存儲信息的正確處理。216。. 加密控制目標(biāo)：通過加密手段來保護信息的保密性、真實性和完整性第204條 在Sinosoft組織內(nèi)實施加密控制的策略，可以考慮使用密碼技術(shù)以實現(xiàn)：216。216。第207條 重要的應(yīng)用和操作系統(tǒng)軟件只有在全面正確的測試通過后才可安裝，測試包括實用性、安全性、在其它系統(tǒng)上的有效性、用戶友好性等，測試應(yīng)在獨立的系統(tǒng)上完成，必須確保對應(yīng)的程序庫已經(jīng)更新。第211條 訪問程序源代碼的行為應(yīng)受到限制，更新關(guān)鍵應(yīng)用系統(tǒng)必須按照《變更管理規(guī)定》得到授權(quán)。應(yīng)用開發(fā)人員不允許訪問生產(chǎn)環(huán)境，除非在有安全評測手段的前提下，應(yīng)用開發(fā)人員可以暫時獲得生產(chǎn)環(huán)境下的用戶名和口令以用于系統(tǒng)支持，必須保證在系統(tǒng)支持完成之后立即修改口令。其中安全補丁的規(guī)定詳見《補丁管理規(guī)定》。詳細(xì)規(guī)定參見《補丁管理規(guī)定》。 在網(wǎng)絡(luò)中部署入侵檢測系統(tǒng)216。第221條 Sinosoft機關(guān)所有員工、基層單位和第三方有責(zé)任注意并報告系統(tǒng)或服務(wù)中已發(fā)現(xiàn)或疑似的安全漏洞，但不能擅自處理和散播。第223條 應(yīng)通過信息安全事故的評估和總結(jié)以識別將來可能再次發(fā)生的事故，特別是可能造成重大影響的事故，盡量減小同種事故帶來的損失。業(yè)務(wù)連續(xù)性計劃制定后必須得到安全領(lǐng)導(dǎo)小組的批準(zhǔn)。 識別可能導(dǎo)致業(yè)務(wù)中斷的重大事故，評估此類重大事故發(fā)生的可能性及造成業(yè)務(wù)中斷給Sinosoft造成的影響，確定關(guān)鍵業(yè)務(wù)流程的優(yōu)先級。 定期對計劃和相關(guān)操作流程進行檢查、演練和更新。 保護人員、信息處理設(shè)備和機構(gòu)財產(chǎn)的安全。 滿足業(yè)務(wù)連續(xù)性計劃所需的資源和服務(wù)，包括人員、非信息處理資源以及信息處理設(shè)施的低效運行安排。 通過演練（或突發(fā)事件發(fā)生）的實際情況，對計劃進行修正，保證其有效性和可操作性。在計劃執(zhí)行前說明要采用的程序（包括如何評估、參與人員等）。216。 恢復(fù)程序。216。216。第228條 必須定期測試并更新業(yè)務(wù)持續(xù)性計劃，可以通過以下方法：216。216。