【正文】 第194條 不能將機密和絕密信息資料遺留在桌面上，而應該根據(jù)信息的保密等級進行處理。 第202條 用于遠程訪問的調(diào)制解調(diào)器平時必須保持關(guān)閉，只有在使用的時候才能打開。 第209條 在遠程診斷會話期間，必須記錄所有執(zhí)行的活動信息，包括時間、執(zhí)行者、執(zhí)行動作和結(jié)果等。限制要求至少應包括： 1)所有的端口默認都是關(guān)閉的，只有在經(jīng)過正式批準后才能開通； 2)端口的關(guān)閉必須在員工離職和崗位變動流程中體現(xiàn)； 3)臨時使用的端口或位臵變動，員工必須主動申請停用原有端口，開通新端口前必須先關(guān)閉原有端口。在每個系統(tǒng)上創(chuàng)建實名用戶，系統(tǒng)登陸必須使用實名用戶。修改密碼時，系統(tǒng)必須提示用戶確認新密碼，以防止輸入錯誤。 9)如果因系統(tǒng)自身的功能限制不能滿足上述管理辦法的要求，其設(shè)臵的密碼管理辦法必須經(jīng)信息安全管理委員會審核同意。 第237條 進行移動和家庭辦公的員工，應該對其使用的設(shè)備做好物理保護，防止丟失、偷竊和破壞等。必須定期對遠程辦公實施審計和安全監(jiān)控。系統(tǒng)應提供只有日志審計人員可以訪問的用來查看日志記錄的審計接口。 數(shù)據(jù)輸出的驗證 第256條 應該使用檢查輸出數(shù)據(jù)合理性的機制。 第261條 未經(jīng)安全管理委員會的同意，用戶不能安裝任何未經(jīng)授權(quán)的加密軟件。 第269條 應用軟件必須做好版本控制管理，每一個版本都必須有相應的備份。程序源代碼必須保存在安全的環(huán)境中。 第279條 變更的設(shè)計方案必須通過正式的批準才能開始編碼。 第284條 操作系統(tǒng)變更之后必須對業(yè)務連續(xù)性計劃作相應修正。 技術(shù)漏洞管理 控制技術(shù)漏洞 第291條 根據(jù)漏洞的嚴重程度制定漏洞的風險等級評估標準和處理時間要求。 第296條 必須制定安全事件的分類、識別方法及建立相關(guān)的報告程序，以便安全事件得到及時的報告和處理。 信息安全漏洞報告 第303條 應該對員工明確說明需要報告的安全漏洞。程序中必須定義每個處理環(huán)節(jié)的響應和處理時間要求，并在實際處理中嚴格執(zhí)行。必須進行業(yè)務影響分析，識別業(yè)務的重要性和評估風險對業(yè)務帶來的影響。 第320條 每個計劃都應該有一個指定的總負責人，而且每個計劃應該清楚地說明其激活的條件以及執(zhí)行計劃中每個要素的負責人。 第326條 本制度由信息安全管理委員會負責解釋 第327條 本制度自印發(fā)之日起生效。 開發(fā)和實施包括信息安全的持續(xù)計劃 第318條 業(yè)務連續(xù)性計劃應該包括以下幾點： 1)識別關(guān)鍵業(yè)務流程及其從屬流程 2)流程恢復的優(yōu)先次序 3)所有的職責和緊急措施 4)恢復管理辦法 5)恢復流程 第319條 業(yè)務連續(xù)性計劃必須涵蓋所有關(guān)鍵業(yè)務流程，并且人員安全必須被優(yōu)先考慮。 13 業(yè)務連續(xù)性管理方面 業(yè)務連續(xù)性管理 業(yè)務連續(xù)性管理流程 第314條 業(yè)務連續(xù)性計劃的制訂必須有信息管理中心、業(yè)務部門和公司高層的參與。 第307條 參與信息安全事件處理的每位成員必須清楚他們的角色和職責。 第301條 安全管理代表應該維護事件報告數(shù)據(jù)庫，分析并確定事件發(fā)生的基本原因和應當采取的預防措施。12 信息安全事件的管理 報告信息安全事件和漏洞 信息安全事件報告 第295條 必須對員工明確說明需要報告的安全事件。 軟件開發(fā)的外包 第289條 所有外包開發(fā)的軟件，必須簽定正式的合同，合同內(nèi)容包括但不限于： 1)確定軟件許可證的范圍和數(shù)量 2)明確代碼所有權(quán)和知識產(chǎn)權(quán)的歸屬 3)對代碼質(zhì)量的要求 4)有權(quán)對軟件開發(fā)過程進行審計 5)軟件維護要求 第290條 外包軟件在正式使用前，必須經(jīng)過病毒檢測和充分測試。 操作系統(tǒng)變更的技術(shù)檢查 第283條 操作系統(tǒng)變更之前必須進行評估，以確保應用程序的完整性和控制措施不會受到破壞。應用軟件的變更不應破壞軟件本身的可靠性和已有的控制措施。正在開發(fā)或修改的程序不應該保存在程序源代碼庫中。 第267條 在測試成功、用戶驗收完成或相關(guān)的程序庫被更新前，嚴禁更新生產(chǎn)系統(tǒng)中的可執(zhí)行代碼。 第260條 加密措施的采用不但要考慮到信息存儲，也應該考慮到信息傳輸?shù)囊蟆? 內(nèi)部處理的控制 第252條 應用系統(tǒng)的設(shè)計應該考慮以下因素，防止正確輸入的數(shù)據(jù)因錯誤處理或人為因素等遭到破壞： 1)程序應該有處理的校驗機制 2)程序應該有相應的例外處理機制 3)對于有先后執(zhí)行順序的程序或程序模塊，內(nèi)部必須有執(zhí)行順序的限制機制 第253條 控制措施的選擇應根據(jù)應用的性質(zhì)和數(shù)據(jù)受損對業(yè)務造成的影響而定，可選擇的措施包括但不限于： 1)會話或批處理控制措施，在事務更新后協(xié)調(diào)相關(guān)數(shù)據(jù)文件的一致性 2)驗證系統(tǒng)生成數(shù)據(jù)的正確性 3)檢查數(shù)據(jù)完整性，特別是在計算機之間傳輸?shù)臄?shù)據(jù) 4)計算記錄和文件的哈希值以便驗證 5)確保程序以正確的順序運行，在出現(xiàn)故障時終止，在問題解決前暫停處理 消息驗證 第254條 對需要確保消息內(nèi)容完整性的應用（例如電子交易）應該使用消息驗證。軟件在正式使用前必須經(jīng)過安全方面的測試，測試內(nèi)容必須包括所有設(shè)計文檔中的安全要求。遠程辦公的信息在傳輸過程中必須加密。 敏感系統(tǒng)的隔離 第235條 應當根據(jù)應用系統(tǒng)的敏感程度對系統(tǒng)進行適當?shù)母綦x保護，比如： 1)運行于指定的計算機上 2)僅與信任的應用系統(tǒng)共享資源 3）敏感系統(tǒng)的各個部分都應當以適當?shù)姆绞竭M行保護。系統(tǒng)應該允許用戶修改自己的密碼。 第225條 所有使用帳號密碼進行認證的系統(tǒng)，在帳號密碼傳送過程中，應該采用加密保護措施防止泄漏。 第220條 所有重要服務器的管理端口必須通過指定的路徑進行訪問。 網(wǎng)絡連接的控制 第214條 公司以外的網(wǎng)絡連接，在建立連接前必須對外部的接入環(huán)境進行評估，滿足公司管理辦法后才能接入。訪問者必須只被授予最小的訪問權(quán)限來完成診斷任務，并且必須得到認證。 外部連接的用戶認證 第200條 對公司系統(tǒng)進行遠程訪問，必須建立適當?shù)恼J證機制，采用的機制應通過風險評估來決定。 清除桌面及屏幕管理辦法 第192條 所有服務器和個人電腦都必須啟用帶有口令保護的屏幕保護程序，激活等待時間應少于10分鐘。用戶必須至少每半年修改一次密碼。必須記錄所有應急帳號的使用情況，包括相關(guān)的人、時間和原因等。 第177條 系統(tǒng)中統(tǒng)一管理帳號密碼的模塊保存的密碼必須是加密的。 第171條 負責用戶注冊的管理員必須驗證用戶注冊和注銷請求的合法性。 第167條 所有訪問控制必須建立相應的審批程序，以確保訪問授權(quán)的合理性和有效性。 第161條 故障記錄應妥善保管，防止被損壞，必要時應該進行備份。必須采取控制措施保護日志的完整性。應該有機制監(jiān)控日志的容量變化，在容量耗盡之前發(fā)出報警信息。 公共信息 第145條 必須確保公共信息系統(tǒng)中信息的完整性，并防止非授權(quán)的修改。 第139條 必須保留并維護所有電子商務交易過程中的記錄和日志。所有對外發(fā)送的郵件都必須加上責任聲明。 電子消息 第131條 電子化辦公系統(tǒng)必須建立相應的管理辦法和控制機制，并闡明下列內(nèi)容： 1)確定不能被共享的信息的類型或密級 2)系統(tǒng)用戶的權(quán)限 3)系統(tǒng)的訪問控制 4)與系統(tǒng)相關(guān)的備份管理辦法 第132條 除非獲得安全管理委員會的授權(quán)，否則禁止使用公司以外的電子系統(tǒng)（比如BBS、MSN、等）進行跟公司相關(guān)的活動。 第126條 在使用傳真機中已存儲的號碼時，傳真之前必須驗證號碼。含有敏感信息的文檔通過內(nèi)部網(wǎng)等提供訪問的，應采用訪問控制加以保護。 第113條 備份介質(zhì)必須存儲在防火柜中。 介質(zhì)的管理 可移動介質(zhì)的管理 第109條 可移動計算機存儲介質(zhì)（比如磁帶、光盤等）必須有適當?shù)脑L問控制。 第105條 必須建立相應的控制機制，保護路由表和防火墻安全管理辦法等網(wǎng)絡參數(shù)的完整性。異地必須與主站點有一定的距離，以避免受主站點的災難波及。一旦發(fā)現(xiàn)感染病毒，必須立刻把機器從網(wǎng)絡中斷開。在服務變更時需要考慮： 1) 服務價格的增長； 2) 新的服務需求； 3) 公司信息安全管理制度的變化； 4) 公司在信息安全方面新的控制。 第91條 系統(tǒng)的修復必須得到系統(tǒng)管理者的批準方可執(zhí)行。 開發(fā)、測試和生產(chǎn)系統(tǒng)分離 第88條 不應給開發(fā)人員提供超過其開發(fā)所需范圍的權(quán)限。變更完成后，相關(guān)的文檔（如系統(tǒng)需求文檔、設(shè)計文檔、操作手冊、用戶手冊等）必須得到更新，舊的文檔必須進行備份。操作程序必須及時更新，更新條件包括但不限于： 1)應用軟件的變更 2)硬件配臵的變更 變更控制 第82條 必須建立變更管理程序來控制系統(tǒng)的變更，所有變更都必須遵守變更管理程序的要求。 第76條 必須建立設(shè)備故障報告流程。電纜應根據(jù)供電電壓和頻率的不同而相互隔離。必須采取保護措施使設(shè)備免受電源故障或電力異常的破壞。 設(shè)備安全 設(shè)備的安置及保護 第72條 必須對設(shè)備實施安全控制，以減少環(huán)境危害和非法的訪問。記錄中應詳細說明來賓的姓名、進入與離開的日期與時間，申請者以及進入的原因。 9) 所有疏散路線都必須時刻保持通暢。 2) 應該指定消防指揮員。普通會議室或其它公眾場合必須與安全區(qū)域隔離開來。 第59條 對于設(shè)有訪問控制的安全區(qū)域，必須定期審核并及時更新其訪問權(quán)限。8 物理和環(huán)境安全方面 安全區(qū)域 物理安全邊界 第55條 在公司的物理環(huán)境里，應該對需要保護的區(qū)域根據(jù)其重要性劃分為不同的安全區(qū)域。紀律處分包括但不限于： 1) 通報批評 2) 警告 3) 記過 4) 解除勞動合同 5) 法律訴訟 第49條 當員工在接受可能涉及解除勞動合同和法律訴訟的違規(guī)調(diào)查時，其直接領(lǐng)導應暫停受調(diào)查員工的工作職務和其訪問權(quán)限，包括物理訪問、系統(tǒng)應用訪問和網(wǎng)絡訪問等。對于打印報表，其保密等級應顯示在每頁的頂端或底部。 信息分類 信息分類原則 第38條 所有信息都應該根據(jù)其敏感性、重要性以及業(yè)務所要求的訪問限制進行分類和標識。 資產(chǎn)的管理權(quán) 第34條 所有資產(chǎn)都應該被詳細說明，必須指明具體的管理者。 2)軟件：應用軟件、系統(tǒng)軟件、開發(fā)工具以及實用工具等。第三方對重要信息系統(tǒng)或地點的訪問和操作必須有相關(guān)人員陪同。 第21條 除非獲得安全管理委員會的授權(quán)，否則不允許使用私人的信息處理設(shè)備來處理公司業(yè)務信息或使用公司資源。 （七）依據(jù)本規(guī)定、安全規(guī)范、技術(shù)標準、操作手冊實施各類安全策略。 第10條 安全管理委員會必須定期對本管理辦法進行正式的復審，并根據(jù)復審所作的修正，指導相關(guān)員工采取相應的行動。除非事先得到安全管理委員會的認可，否則都要堅決執(zhí)行。 系統(tǒng)工具：能夠更改系統(tǒng)及應用配臵的程序被定義為系統(tǒng)工具，如系統(tǒng)管理、維護工具、調(diào)試程序等。4 術(shù)語定義 DMZ：用于隔離內(nèi)網(wǎng)和外網(wǎng)的區(qū)域，此區(qū)域不屬于可信任的內(nèi)網(wǎng)，也不是完全開放給因特網(wǎng)。主要范圍包括：人員安全、物理環(huán)境安全、資產(chǎn)識別和分類、風險管理、物理和邏輯訪問控制、系統(tǒng)操作與運行安全、網(wǎng)絡通訊安全、信息加密與解密、應急與災難恢復、軟件研發(fā)與應用安全、機密資源管理、第三方與外包安全、法律和標準的符合性、項目與工程安全控制、安全檢查與審計等。 備份周期：根據(jù)備份管理辦法制定的備份循環(huán)的周期，一個備份周期的內(nèi)容相當于一個完整的全備份。 5 安全制度方面 安全制度要求 本制度的詮釋 第4條 所有帶有“必須”的條款都是強制性的。 制度復審 第9條 當環(huán)境改變、技術(shù)更新或者業(yè)務本身發(fā)生變化時，必須對安全制度重新進行評審，并作出相應的修正，以確保能有效地保護公司的信息資產(chǎn)。 信息安全職責分配 第17條 信息管理部門作為信息安全管理部門，負責信息安全管理策略制定及實施，其主要職責： （一）負責全公司信息安全管理和指導； （二）牽頭制訂全公司信息安全體系規(guī)范、標準和檢查指引，參與我司信息系統(tǒng)工程建設(shè)的安全規(guī)劃； （三）組織全公司安全檢查； （四）配合全公司安全審計工作的開展；