【正文】 域在網(wǎng)絡(luò)上是完全封閉、獨(dú)立的。例如不能顯示“帳號(hào)不存在”或“密碼不正確”。密碼處理時(shí)必須使用單向加密。 連接時(shí)間的限制第232條 對(duì)關(guān)鍵的信息系統(tǒng)（如前置機(jī)、合作伙伴主機(jī)等）提供附加的安全保護(hù)，包括但不限于：1）只允許在之前協(xié)商好的時(shí)間段內(nèi)訪問（如：每天6點(diǎn)—6點(diǎn)半）2）只允許在正常的工作時(shí)間內(nèi)訪問（如：每周一至周五9點(diǎn)—17點(diǎn)）3）遠(yuǎn)程診斷modem在不使用時(shí)必須處于關(guān)閉狀態(tài)，在使用后必須立即關(guān)閉。移動(dòng)設(shè)備中的公司信息應(yīng)該做好備份工作，防止丟失。第246條 在使用商業(yè)軟件或軟件包前，必須按照上述安全需求進(jìn)行評(píng)估。第251條 系統(tǒng)應(yīng)該對(duì)錯(cuò)誤的輸入數(shù)據(jù)提供有幫助的提示信息。必須對(duì)數(shù)據(jù)輸出驗(yàn)證功能進(jìn)行全面的測(cè)試，以保證其正確性和有效性。 密鑰管理第264條 密鑰管理系統(tǒng)應(yīng)該包括以下活動(dòng)：1)密鑰產(chǎn)生2)密鑰變更3)密鑰存儲(chǔ)4)密鑰交換和分發(fā)5)密鑰注銷6)密鑰恢復(fù)和備份7)密鑰銷毀 系統(tǒng)文件的安全 生產(chǎn)系統(tǒng)的應(yīng)用軟件控制第265條 生產(chǎn)系統(tǒng)的應(yīng)用軟件更新必須由獲得授權(quán)的管理員來執(zhí)行。第271條 每次從生產(chǎn)系統(tǒng)中復(fù)制數(shù)據(jù)到測(cè)試系統(tǒng)中必須獲得授權(quán)，并做好記錄。第275條 程序源代碼必須做好版本控制管理，每一個(gè)版本都必須有相應(yīng)的備份。第281條 變更完成后，相關(guān)的文檔（如系統(tǒng)需求文檔、設(shè)計(jì)文檔、操作手冊(cè)、用戶手冊(cè)等）必須得到更新，舊的文檔必須進(jìn)行備份。 信息泄漏第287條 軟件的開發(fā)、采購和使用都應(yīng)該受到控制和檢查，以防范可能的隱秘通道、邏輯炸彈、木馬等。第293條 補(bǔ)丁在安裝之前必須進(jìn)行測(cè)試和評(píng)估，確保補(bǔ)丁不會(huì)影響系統(tǒng)的正常運(yùn)行并可以正?；赝撕蟛拍馨惭b。第298條 當(dāng)外界對(duì)公司發(fā)生的安全事件進(jìn)行詢問和調(diào)查時(shí)，員工必須將這類請(qǐng)求轉(zhuǎn)交給公司的品牌宣傳部進(jìn)行處理，嚴(yán)禁私自回應(yīng)。在技術(shù)符合性測(cè)試中發(fā)現(xiàn)的問題應(yīng)被當(dāng)作安全漏洞進(jìn)行處理。第311條 信息安全培訓(xùn)應(yīng)增加有關(guān)安全事件處理方面的內(nèi)容。業(yè)務(wù)影響分析應(yīng)該對(duì)直接損失進(jìn)行量化，并且綜合評(píng)估公司聲譽(yù)的損失、法規(guī)的違反以及人員的傷亡等。第323條 計(jì)劃必須定期維護(hù)以確保其有效性，并指定人員負(fù)責(zé)維護(hù)，在出現(xiàn)下列情況時(shí)，必須對(duì)計(jì)劃進(jìn)行在評(píng)估和更新：1)法律的變化2)員工和公司的變化3)業(yè)務(wù)的變化4)業(yè)務(wù)系統(tǒng)和運(yùn)行環(huán)境的變化（如操作系統(tǒng)的升級(jí)）5)第三方責(zé)任人的變化（如承包人、供應(yīng)商）6)地址或者聯(lián)系電話的變化7)風(fēng)險(xiǎn)評(píng)估和業(yè)務(wù)影響分析的變化8)地點(diǎn)、設(shè)備和資源的變化第324條 計(jì)劃的更新必須通過正式的審批，最新的版本必須妥善保存，并分發(fā)給所有相關(guān)人員。第322條 必須為每項(xiàng)演練制定進(jìn)度表，說明演練頻率、目的以及方法。業(yè)務(wù)連續(xù)性計(jì)劃必須經(jīng)過演練測(cè)試。 從安全事件中學(xué)習(xí)第309條 必須對(duì)安全事件進(jìn)行復(fù)審，并對(duì)事件的類型、影響程度和所帶來的損失等進(jìn)行分析和監(jiān)控。員工有責(zé)任報(bào)告安全漏洞。第297條 員工一旦發(fā)現(xiàn)重要信息可能或正在遭受破壞，必須立即按照相關(guān)的報(bào)告程序向公司報(bào)告。第292條 必須建立技術(shù)漏洞的監(jiān)控機(jī)制，及時(shí)發(fā)現(xiàn)漏洞，修補(bǔ)漏洞。 商業(yè)軟件的修改限制第285條 由廠家提供的商業(yè)軟件不應(yīng)該被修改。變更在部署之前必須通過驗(yàn)收。第274條 必須控制程序源代碼庫的訪問，只提供工作需要的最小權(quán)限。源代碼的所有版本都必須保留，并標(biāo)識(shí)版本號(hào)，每個(gè)版本之間的差異描述要文檔化。第262條 加密算法應(yīng)該根據(jù)算法強(qiáng)度和密鑰長度進(jìn)行選擇，以符合信息保護(hù)的要求。應(yīng)該使用確保數(shù)據(jù)被全部處理的機(jī)制。日志文件必須設(shè)置嚴(yán)格的訪問控制，包括系統(tǒng)管理員、日志審核員在內(nèi)所有角色都只能有查看權(quán)限。11 信息系統(tǒng)采購、開發(fā)和維護(hù)方面 系統(tǒng)安全需求 系統(tǒng)的安全需求分析與范圍第243條 在系統(tǒng)開發(fā)的整個(gè)過程（特別是在系統(tǒng)需求階段）都必須考慮安全需求，包括但不限于：1)系統(tǒng)架構(gòu)2)用戶認(rèn)證3)訪問控制和授權(quán)4)事務(wù)處理的機(jī)密性和完整性5)日志記錄功能6)系統(tǒng)配置7)法律法規(guī)和兼容性要求8)系統(tǒng)恢復(fù)第244條 在系統(tǒng)的需求和設(shè)計(jì)階段，需要對(duì)系統(tǒng)進(jìn)行安全方面的評(píng)審。存放在移動(dòng)設(shè)備中的敏感信息必須做好保護(hù)，比如采用加密以防泄漏。 系統(tǒng)工具的使用第230條 所有系統(tǒng)工具都應(yīng)當(dāng)被識(shí)別，不必要的工具必須從生產(chǎn)系統(tǒng)中刪除。不能明文顯示輸入的密碼。如果因特殊原因不能使用實(shí)名用戶登陸，必須經(jīng)過安全管理委員會(huì)同意。第216條 必須將網(wǎng)絡(luò)接口和接入設(shè)備綁定，如果需要更換接入的設(shè)備，必須經(jīng)過部門經(jīng)理的審批。這些記錄應(yīng)該由系統(tǒng)管理員進(jìn)行檢查以確保訪問者只執(zhí)行了被授權(quán)的活動(dòng)。第203條 在公司外部進(jìn)行遠(yuǎn)程辦公，必須使用VPN進(jìn)行連接。第195條 必須為信件收發(fā)區(qū)域以及無人看管的傳真機(jī)設(shè)置適當(dāng)?shù)谋Ｗo(hù)措施。第189條 除非有技術(shù)限制，密碼應(yīng)該至少包含8個(gè)字符。此過程應(yīng)該包括但不限于：1)確認(rèn)用戶權(quán)限的有效性和合理性2)找出所有異常帳號(hào)（如長時(shí)間未使用和已離職人員的帳號(hào)等），進(jìn)行分析并采取相應(yīng)措施第186條 必須對(duì)可疑的或不明確的訪問權(quán)限進(jìn)行調(diào)查，并作為安全事故進(jìn)行報(bào)告。第180條 系統(tǒng)應(yīng)該設(shè)置定期的密碼修改管理辦法，并限制至少最近3個(gè)舊密碼的重用。如果用戶帳號(hào)連續(xù)120天沒有使用，必須禁用該帳號(hào)。第168條 系統(tǒng)自帶的默認(rèn)帳號(hào)應(yīng)該禁用或配置密碼進(jìn)行保護(hù)。第164條 對(duì)于不能進(jìn)行時(shí)鐘同步的系統(tǒng)，必須對(duì)時(shí)間進(jìn)行每月一次的檢查。第158條 管理員和重要系統(tǒng)的操作員日志應(yīng)該至少每周復(fù)查一次。 監(jiān)控系統(tǒng)的使用第152條 不同的信息處理設(shè)備所要求的監(jiān)控等級(jí)應(yīng)該通過風(fēng)險(xiǎn)評(píng)估來決定，必須考慮下列要素：1)系統(tǒng)的訪問；2)所有特權(quán)操作；3)未授權(quán)的訪問嘗試；4)系統(tǒng)警報(bào)或故障。信息在發(fā)布之前必須經(jīng)過核對(duì)，確認(rèn)其正確性和完整性。第142條 在線交易中必須使用數(shù)字證書保護(hù)交易安全。 電子商務(wù)服務(wù) 電子商務(wù)第136條 必須采取適當(dāng)措施，保證電子交易過程的機(jī)密性、完整性和可用性。必須對(duì)Internet屏蔽郵件系統(tǒng)的內(nèi)網(wǎng)IP地址。應(yīng)使用可靠的傳輸工具或傳遞人，授權(quán)的傳遞人必須接受適當(dāng)監(jiān)管并進(jìn)行其身份的檢查。第122條 未經(jīng)許可，公司內(nèi)部不允許安裝、使用無線通信設(shè)備。第116條 所有報(bào)廢及過期的存儲(chǔ)介質(zhì)必須妥善銷毀。標(biāo)識(shí)用的代碼需要記錄并歸檔。任何準(zhǔn)備接進(jìn)網(wǎng)絡(luò)的新設(shè)備，在進(jìn)網(wǎng)前都必須通過協(xié)議兼容性的評(píng)估和安全檢查。必須定期檢查和測(cè)試恢復(fù)步驟，確保它們的有效性。系統(tǒng)在重大變更之前和之后必須進(jìn)行備份。所有存進(jìn)計(jì)算機(jī)的信息（例如接收到的郵件、下載的文件等）都必須經(jīng)過病毒掃描。 第三方服務(wù)交付管理 服務(wù)交付第93條 第三方提供的服務(wù)必須滿足安全管理制度的要求。開發(fā)人員不得在生產(chǎn)環(huán)境中更改編碼或操作生產(chǎn)系統(tǒng)。變更的記錄應(yīng)至少每月復(fù)查一次。所有變更必須獲得授權(quán)和批準(zhǔn)，變更的申請(qǐng)和審批不得為同一個(gè)員工。第78條 如果將設(shè)備帶出公司，設(shè)備擁有者必須親自或指定專人保護(hù)設(shè)備的安全。 設(shè)備維護(hù)第75條 所有生產(chǎn)設(shè)備必須有足夠的維護(hù)保障，關(guān)鍵設(shè)備必須提供7x24的現(xiàn)場(chǎng)維護(hù)支持。工作環(huán)境中增加新設(shè)備時(shí)，必須對(duì)電力、空調(diào)、地板等支持設(shè)施的負(fù)荷進(jìn)行審核。設(shè)備都應(yīng)該裝有合適的漏電保險(xiǎn)絲或斷路器進(jìn)行保護(hù)。第69條 機(jī)房的保護(hù)應(yīng)在專家的指導(dǎo)下進(jìn)行，必須安裝合適的安全防護(hù)和檢測(cè)裝置。 在安全區(qū)域工作第67條 員工進(jìn)入機(jī)房的訪問授權(quán)，不能超過其工作所需的范圍。應(yīng)每季度定期檢查這些裝備，確保它們能有效運(yùn)作。 防范外部和環(huán)境威脅第63條 辦公場(chǎng)所和機(jī)房的設(shè)計(jì)和建設(shè)必須充分考慮火災(zāi)、洪水、地震、爆炸、騷亂等天災(zāi)或人為災(zāi)難，并采取額外的控制措施加以保護(hù)。第60條 所有來賓的有關(guān)資料都必須詳細(xì)記載在來賓進(jìn)出登記表中，并向獲準(zhǔn)進(jìn)入的來賓發(fā)放來賓通行證。第57條 在非辦公時(shí)間內(nèi)，重要的安全區(qū)域必須安排保安定時(shí)巡視。需要?dú)w還的資產(chǎn)包括但不限于：1) 帳號(hào)和訪問權(quán)限2) 公司的電子或紙質(zhì)文檔3) 公司購買的硬件和軟件資產(chǎn)4) 公司購買的其他設(shè)備第51條 如果在非公司資產(chǎn)上保存有公司的資產(chǎn)，必須在帶出公司前歸還或刪除公司的資產(chǎn)。第45條 應(yīng)該至少每年向員工提供一次安全意識(shí)培訓(xùn)，其內(nèi)容包括但不限于：1)安全管理委員會(huì)下達(dá)的安全管理要求2)信息保密的責(zé)任3)一般性安全守則4)信息分類5)安全事故報(bào)告程序6)電腦病毒爆發(fā)時(shí)的應(yīng)對(duì)措施7)災(zāi)難發(fā)生時(shí)的應(yīng)對(duì)措施第46條 應(yīng)該對(duì)系統(tǒng)管理員、開發(fā)人員進(jìn)行安全技能方面的培訓(xùn)，至少每年一次。第40條 信息的保密程度從高到低分為絕密、機(jī)密、秘密和非保密四種等級(jí)。第35條 資產(chǎn)管理者的職責(zé)是：1)確定資產(chǎn)的保密等級(jí)分類和訪問管理辦法；2)定期復(fù)查資產(chǎn)的分類和訪問管理辦法。第32條 資產(chǎn)清單必須每年至少審核一次。 當(dāng)與客戶接觸時(shí)強(qiáng)調(diào)信息安全第29條 必須在允許客戶訪問信息或信息系統(tǒng)前識(shí)別并告知其需要遵守的安全需求。負(fù)責(zé)安全審核的人員必須具備相應(yīng)的技能和經(jīng)驗(yàn)。（八）依據(jù)本規(guī)定、安全規(guī)范、技術(shù)標(biāo)準(zhǔn)、操作手冊(cè)實(shí)施各類安全策略。第12條 信息安全管理代表由信息安全管理委員會(huì)指定，一般應(yīng)包含稽核部IT稽核崗、信息管理部信息安全相關(guān)崗位及分公司IT崗。第5條 所有員工都受本制度的約束，各部門領(lǐng)導(dǎo)有責(zé)任確保其部門已實(shí)施足夠的安全控制措施，以保護(hù)信息安全。數(shù)字簽名：一種保護(hù)電子文檔真實(shí)性和完整性的方法。系統(tǒng)容量包括CPU、內(nèi)存、硬盤存儲(chǔ)等。2 適用范圍第2條 本規(guī)定適用于。安全邊界：用以明確劃分安全區(qū)域，如圍墻、大廈接待處、網(wǎng)段等。不可抵賴性服務(wù)：用于解決交易糾紛中爭(zhēng)議交易是否發(fā)生的機(jī)制。 制度發(fā)布第8條 所有制度在創(chuàng)建和更新后，必須經(jīng)過相應(yīng)管理層的審批。第15條 必須舉行信息安全管理會(huì)議，會(huì)議成員包括安全管理委員會(huì)、安全管理代表和其他相關(guān)的公司高層管理人員。第20條 新設(shè)備在部署和使用之前，必須明確其用途和使用范圍，并獲得安全管理委員會(huì)的批準(zhǔn)。只有在風(fēng)險(xiǎn)被消除或降低到可接受的水平時(shí)才允許其訪問。 7 信息資產(chǎn)與人員安全 資產(chǎn)責(zé)任 資產(chǎn)的清單第31條 應(yīng)清楚識(shí)別所有的資產(chǎn)，所有與信息相關(guān)的重要資產(chǎn)都應(yīng)該在資產(chǎn)清單中標(biāo)出，并及時(shí)維護(hù)更新。資產(chǎn)的風(fēng)險(xiǎn)評(píng)估必須每年至少一次，主要評(píng)估當(dāng)前已部署安全控制措施的有效性。公司的所有信息處理設(shè)備（包括個(gè)人電腦）只能被使用于工作相關(guān)的活動(dòng)，不得用來炒股、玩游戲等。 信息標(biāo)記和處理第41條 必須建立相應(yīng)的保密信息處理規(guī)范。 懲戒過程第48條 違反公司安全管理制度、標(biāo)準(zhǔn)和程序的員工將受到紀(jì)律處分。第53條 對(duì)于公用的資源，必須進(jìn)行及時(shí)的調(diào)整，比如：公用的帳號(hào)必須立即更改密碼。 安全區(qū)域訪問控制第58條 在非辦公時(shí)間，所有進(jìn)入安全區(qū)域的入口都應(yīng)該受到控制，比如上鎖。這些區(qū)域還應(yīng)該被給予相應(yīng)的保護(hù)，保護(hù)措施包括但不限于：1)所有出入口必須安裝物理訪問控制措施2)使用來賓登記表以便記錄來訪信息3)嚴(yán)禁吸煙第62條 必須對(duì)支持關(guān)鍵性業(yè)務(wù)活動(dòng)的設(shè)備提供足夠的物理訪問控制。第65條 機(jī)房建設(shè)必須符合國標(biāo)GB288789《計(jì)算機(jī)場(chǎng)地技術(shù)條件》和GB936188《計(jì)算站場(chǎng)地安全要求》中的要求。7) 應(yīng)該訓(xùn)練員工熟悉使用消防設(shè)施。第68條 所有需要進(jìn)入機(jī)房的來賓都必須提前申請(qǐng)。操作記錄必須備份和維護(hù)并妥善保管，防止被破壞。通信線路和電纜必須從物理上進(jìn)行保護(hù)。每年必須至少對(duì)備用電源/進(jìn)行一次測(cè)試。設(shè)備的所有維護(hù)工作都應(yīng)該記錄歸檔。應(yīng)該通過風(fēng)險(xiǎn)評(píng)估來決定是否徹底銷毀、送修還是丟棄含有敏感數(shù)據(jù)的已損壞設(shè)備。第84條 變更的實(shí)施應(yīng)該安排在對(duì)業(yè)務(wù)影響最小的時(shí)間段進(jìn)行，盡量減少對(duì)業(yè)務(wù)正常運(yùn)營的影響。第87條 所有職責(zé)分離的控制