【正文】 應該維護演練的完整記錄，采取適當?shù)拇胧┙鉀Q遇到的問題并改進現(xiàn)有的流程。 業(yè)務(wù)連續(xù)性及風險評估 第316條 業(yè)務(wù)影響分析應該在風險評估的基礎(chǔ)上進行。 第311條 信息安全培訓應增加有關(guān)安全事件處理方面的內(nèi)容。在技術(shù)符合性測試中發(fā)現(xiàn)的問題應被當作安全漏洞進行處理。 第298條 當外界對公司發(fā)生的安全事件進行詢問和調(diào)查時，員工必須將這類請求轉(zhuǎn)交給公司的品牌宣傳部進行處理，嚴禁私自回應。 第293條 補丁在安裝之前必須進行測試和評估，確保補丁不會影響系統(tǒng)的正常運行并可以正常回退后才能安裝。 信息泄漏 第287條 軟件的開發(fā)、采購和使用都應該受到控制和檢查，以防范可能的隱秘通道、邏輯炸彈、木馬等。 第281條 變更完成后，相關(guān)的文檔（如系統(tǒng)需求文檔、設(shè)計文檔、操作手冊、用戶手冊等）必須得到更新，舊的文檔必須進行備份。 第275條 程序源代碼必須做好版本控制管理，每一個版本都必須有相應的備份。 第271條 每次從生產(chǎn)系統(tǒng)中復制數(shù)據(jù)到測試系統(tǒng)中必須獲得授權(quán)，并做好記錄。 密鑰管理 第264條 密鑰管理系統(tǒng)應該包括以下活動： 1)密鑰產(chǎn)生 2)密鑰變更 3)密鑰存儲 4)密鑰交換和分發(fā) 5)密鑰注銷 6)密鑰恢復和備份 7)密鑰銷毀 系統(tǒng)文件的安全 生產(chǎn)系統(tǒng)的應用軟件控制 第265條 生產(chǎn)系統(tǒng)的應用軟件更新必須由獲得授權(quán)的管理員來執(zhí)行。必須對數(shù)據(jù)輸出驗證功能進行全面的測試，以保證其正確性和有效性。 第251條 系統(tǒng)應該對錯誤的輸入數(shù)據(jù)提供有幫助的提示信息。 第246條 在使用商業(yè)軟件或軟件包前，必須按照上述安全需求進行評估。移動設(shè)備中的公司信息應該做好備份工作，防止丟失。 連接時間的限制 第232條 對關(guān)鍵的信息系統(tǒng)（如前臵機、合作伙伴主機等）提供附加的安全保護，包括但不限于： 1）只允許在之前協(xié)商好的時間段內(nèi)訪問（如：每天6點—6點半） 2）只允許在正常的工作時間內(nèi)訪問（如：每周一至周五9點—17點） 3）遠程診斷modem在不使用時必須處于關(guān)閉狀態(tài)，在使用后必須立即關(guān)閉。密碼處理時必須使用單向加密。例如不能顯示“帳號不存在”或“密碼不正確”。 第218條 公司必須設(shè)立一個單獨的網(wǎng)絡(luò)區(qū)域供非公司標準化安裝的電腦接入，此區(qū)域在網(wǎng)絡(luò)上是完全封閉、獨立的。 第211條 對于重要的網(wǎng)絡(luò)區(qū)域必須設(shè)臵訪問控制以隔離其他網(wǎng)絡(luò)區(qū)域。 遠程診斷和配置端口的保護 第205條 在不使用的時候，診斷端口應該被禁用或通過恰當?shù)陌踩珯C制進行保護。 網(wǎng)絡(luò)訪問控制 網(wǎng)絡(luò)服務(wù)使用管理辦法 第197條 必須建立授權(quán)程序來管理網(wǎng)絡(luò)服務(wù)的使用。 第190條 用戶不應使用容易被猜測的密碼，例如字典中的單詞、生日和電話號碼等。用戶不應該使用紙張或未受保護的電子形式保存密碼。 第182條 在通過電話傳送密碼以前必須確認對方的身份。 特權(quán)管理 第174條 必須建立正式的授權(quán)程序，以確保授權(quán)得到嚴格的評估和審批，并保證沒有與系統(tǒng)和應用的安全相違背。 第170條 所有用戶的注冊都必須通過用戶注冊程序進行申請，并得到部門領(lǐng)導或其委托者的批準。訪問控制列表應該進行周期性的檢查以保證授權(quán)正確。 故障日志 第159條 必須啟動故障日志功能。 日志信息保護 第154條 必須保證日志不能被修改或刪除，所有對于日志文件的訪問（如刪除、寫、讀或添加）嘗試都應該有相應記錄。 監(jiān)控 日志 第147條 所有操作系統(tǒng)、應用系統(tǒng)都必須具有并啟用日志記錄功能。在線交易必須使用安全的通訊協(xié)議。在電子商務(wù)的協(xié)議中，必須明確欺詐行為和未能交付的責任。所有在公司的郵件系統(tǒng)上產(chǎn)生及存儲的郵件都是公司資產(chǎn)。 第130條 存放介質(zhì)的容器在運輸過程前必須密封。敏感信息帶出公司必須獲得直接領(lǐng)導或信息管理者的授權(quán)。 第118條 應根據(jù)介質(zhì)中信息的分類級別，采取相應措施來保護介質(zhì)的輸出環(huán)境。應確保備有足夠的存儲介質(zhì)，以備使用。所有網(wǎng)絡(luò)故障都必須向上級報告。 網(wǎng)絡(luò)管理 網(wǎng)絡(luò)控制 第104條 網(wǎng)絡(luò)管理和操作系統(tǒng)管理的職責應該彼此分離，并由不同的員工承擔。備份管理辦法必須至少每季度進行一次復查，以確保沒有發(fā)生未授權(quán)或意外的更改。 第97條 所有員工都應該接受防病毒知識的培訓和指導。 第94條 必須保留第三方提供的服務(wù)、報告和記錄并定期評審，至少每半年一次。開發(fā)和測試環(huán)境使用的測試數(shù)據(jù)不能包含有敏感信息。同一處理過程中的重要任務(wù)不應該由同一個人來完成，以防止欺詐和誤操作的發(fā)生。變更在實施前必須通知到相關(guān)人員。 設(shè)備的安全處理或再利用 第79條 再利用或報廢之前，設(shè)備所含有的所有存儲裝臵（比如硬盤等）都必須通過嚴格檢查，確保所有敏感數(shù)據(jù)和軟件已被刪除或改寫，并且不可能被恢復。只有經(jīng)過批準的、受過專業(yè)培訓的工作人員才能進行維護工作。對需要配備后備電源的設(shè)備裝臵進行審核，確保后備電源能夠滿足這些設(shè)備的正常工作。 設(shè)備的操作必須遵守廠商提供的操作規(guī)范。 機房操作日志 第70條 必須記錄機房管理員的操作行為，以便其行為可以追蹤。機房的訪問權(quán)限應不同于進入大樓其它區(qū)域的權(quán)限。 6) 安全出口必須有明顯標識。機房必須有防火、防潮、防塵、防盜、防磁、防鼠等設(shè)施。來賓進出登記表必須至少保留1年，記錄內(nèi)容應包括但不限于： 1)來賓姓名 2)來賓身份 3)來賓工作單位 4)來訪事由 5)負責接待的員工 6)來賓通行證號碼 7)進入的日期和時間 8)離開的日期和時間 辦公場所和設(shè)施安全 第61條 放臵敏感或重要設(shè)備的區(qū)域（例如機房）應盡量不引人注目，給外面的信息應盡量最少，不應該有明顯的標志指明敏感區(qū)域的所在位臵和用途。 保安值班表應最少每月調(diào)整一次。所有刪除和調(diào)整操作必須在最后上班日之前完成。 第47條 災難恢復演習應至少每年舉行一次。含有不同分類信息的系統(tǒng)，必須按照其中的最高保密等級進行分類。使用準則應包括： 1)使用范圍 2)角色和權(quán)限 3)使用者應負的責任 4)與其他系統(tǒng)交互的要求 第37條 所有訪問信息或信息系統(tǒng)的員工、第三方必須清楚要訪問資源的使用準則，并承擔他們的責任。資產(chǎn)交付后，資產(chǎn)清單必須更新。 與第三方簽訂合約的安全要求 第30條 與第三方合約中應包含必要的安全要求，如：訪問、處理、管理公司信息或信息系統(tǒng)的安全要求。 第三方訪問的安全性 明確第三方訪問的風險 第24條 必須對第三方對公司信息或信息系統(tǒng)的訪問進行風險評估，并進行嚴格控制，相關(guān)控制須考慮物理上和邏輯上訪問的安全風險。 信息處理設(shè)備的授權(quán) 第19條 新設(shè)備的采購和設(shè)備部署的審批流程應該充分考慮信息安全的要求。 第15條 必須舉行信息安全管理會議，會議成員包括安全管理委員會、安全管理代表和其他相關(guān)的公司高層管理人員。 制度發(fā)布 第8條 所有制度在創(chuàng)建和更新后，必須經(jīng)過相應管理層的審批。 不可抵賴性服務(wù)：用于解決交易糾紛中爭議交易是否發(fā)生的機制。 安全邊界：用以明確劃分安全區(qū)域，如圍墻、辦公大樓、網(wǎng)段等。 2 適用范圍 第2條 本規(guī)定適用于琥珀（安吉）燃機熱電有限公司各部門及生產(chǎn)現(xiàn)場。系統(tǒng)容量包括CPU、內(nèi)存、硬盤存儲等。 數(shù)字簽名：一種保護電子文檔真實性和完整性的方法。 第5條 所有員工都受本制度的約束，各部門領(lǐng)導有責任確保其部門已實施足夠的安全控制措施，以保護信息安全。 第12條 信息安全管理代表由信息安全管理委員會指定，一般應包含安全稽核崗、信息管理部信息安全相關(guān)崗位。 第18條 各分公司信息管理部門作為信息安全管理部門，其主要職責： （一）根據(jù)本規(guī)定、信息安全體系規(guī)范、標準和檢查指引，組織建立安全管理流程、手冊； （二）組織實施內(nèi)部安全檢查； （三）組織安全培訓； （四）負責機密信息和機密資源的安全管理； （五）負責安全技術(shù)產(chǎn)品的使用、維護、升級； （六）配合安全審計工作的開展； （七）定期上報本單位信息系統(tǒng)安全情況，反饋安全技術(shù)和管理的意見和建議。審核工作應由公司的審計部門或?qū)ｉT提供此類服務(wù)的第三方組織負責執(zhí)行。所有對第三方的安全要求必須包含在與其簽訂的合約中。 4)服務(wù)：通訊服務(wù)（專線）。管理者是部門的資產(chǎn)則由部門主管負責監(jiān)護。當信息被發(fā)布到公司外部，或者經(jīng)過一段時間后信息的敏感度發(fā)生改變時，信息需要重新分類。 人員安全 信息安全意識、教育和培訓 第44條 所有公司員工和第三方人員必須接受包括安全性要求、信息處理設(shè)備的正確使用等內(nèi)容的培訓，并應該及時了解和學習公司對安全管理制度和標準的更新。 資產(chǎn)歸還 第50條 在終止雇傭、合同或協(xié)議時，所有員工及第三方人員必須歸還所使用的全部公司資產(chǎn)。 第56條 在機房的統(tǒng)一入口處必須設(shè)立有專人值守的接待區(qū)域，在特別重要的安全區(qū)域也應該設(shè)立類似的接待區(qū)域。員工離職時必須交還通行證，同時取消其所有訪問權(quán)限。門和窗戶必須鎖好。 4) 必須安裝煙感及其他火警探測器和滅火裝臵。 11)每年應至少舉行一次火災撤離演習，使工作人員熟知火災撤離的過程。來賓必須得到明確許可后，在專人陪同下才能進入機房。 應急開關(guān)如電閘、煤氣開關(guān)和水閘等都必須清楚地做好標識，并且能容易訪問。每年應至少對支持設(shè)施進行一次安全檢查。電纜應從物理上加以保護。 管轄區(qū)域外設(shè)備安全 第77條 筆記本電腦用戶必須保護好筆記本電腦的安全，防止筆記本電腦損壞或被偷竊。所有變更必須包括變更失敗的應對措施和恢復計劃。必須完整記錄整個變更過程，并將其妥善保管。 第89條 生產(chǎn)、測試和開發(fā)應分別使用不同的系統(tǒng)環(huán)境。必須對事件的處理情況進行監(jiān)控，對超時的處理提出改進建議并跟進改進效果。所有服務(wù)器、個人電腦和筆記本電腦都應該安裝公司規(guī)定的防病毒軟件，并及時更新防病毒軟件。 備份 信息備份 第100條 所有服務(wù)器、個人電腦和筆記本電腦必須根據(jù)業(yè)務(wù)需求定期進行備份。必須定期測試備份介質(zhì)，確保其可用性。 第106條 進行網(wǎng)絡(luò)協(xié)議兼容性的評估時應考慮將來新增網(wǎng)絡(luò)設(shè)備的要求。標簽應使用代碼，以避免直接標識存儲介質(zhì)上的內(nèi)容。 介質(zhì)的銷毀 第114條 應建立存儲介質(zhì)的報廢規(guī)范，包括但不限于： 1)紙質(zhì)文檔 2)語音資料及其他錄音帶 3)復寫紙 4)磁帶 5)磁盤 6)光存儲介質(zhì) 第115條 所有不會被再利用的敏感文檔都必須根據(jù)定義的信息密級采取適當?shù)姆绞竭M行銷毀。 第121條 所有員工和第三方人員都必須遵守公司的信息交換管理辦法。 交換協(xié)議 第128條 跟外界進行信息和軟件交換必須簽署協(xié)議，其內(nèi)容必須包括： 1)發(fā)送方和接收方的責任 2)明確發(fā)送和接收的方式 3)制定信息封裝和傳輸?shù)募夹g(shù)標準 4)數(shù)據(jù)丟失的相關(guān)責任 5)聲明信息的保密級別和保護要求 6)聲明信息和軟件的所有權(quán)、版權(quán)和其他相關(guān)因素 物理介質(zhì)傳輸 第129條 必須建立傳輸存儲介質(zhì)的安全標準。用于連接外網(wǎng)的郵件網(wǎng)關(guān)必須安裝防病毒軟件，檢查進出的電子郵件。必須保證重要信息在交換過程中的保密性。 在線交易 第141條 必須保護在線交易信息，避免不完整的傳輸、路由錯誤、未授權(quán)的消息更改、未授權(quán)的信息信息泄漏、復制和回復。通過信息發(fā)布系統(tǒng)向內(nèi)部和公眾發(fā)布的信息都必須經(jīng)過公司相關(guān)部門的檢查和審批。日志應該定期復查，至少每月一次。 第157條 日志記錄應包括重要的操作，例如與用戶管理相關(guān)的操作（用戶帳號的創(chuàng)建、刪除、權(quán)限設(shè)臵、修改）、與財務(wù)相關(guān)的操作等。 第163條 所有系統(tǒng)中的時間允許最多一分鐘的偏差。員工的職責發(fā)生變化或離職時，其訪問權(quán)限必須作相應調(diào)整或撤銷。用戶一旦發(fā)現(xiàn)其帳號異常，必須立即通知負責用戶注冊的管理員進行處理。 第179條 必須強制用戶在第一次登錄時修改密碼。 用戶訪問權(quán)限的檢查 第185條 必須半年對注冊用戶的訪問權(quán)限和系統(tǒng)特權(quán)進行一次復查，關(guān)鍵系統(tǒng)必須每三個月復查一次。用于系統(tǒng)之間認證帳號的密碼必須至少每半年修改一次。