【正文】 在硬件或軟件上實施。容量：分為系統(tǒng)容量和環(huán)境容量兩方面。3 管理對象第3條 管理對象指組成計算機信息系統(tǒng)的系統(tǒng)、設(shè)備和數(shù)據(jù)等信息資產(chǎn)和人員的安全。惡意軟件：包括計算機病毒、網(wǎng)絡(luò)蠕蟲、木馬、流氓軟件、邏輯炸彈等。電子化辦公系統(tǒng)：包括電子郵件、KOA系統(tǒng)以及用于業(yè)務(wù)信息傳送及共享的企業(yè)內(nèi)部網(wǎng)。制度經(jīng)批準之后必須通知所有相關(guān)人員。第16條 信息安全管理會議必須每年定期舉行，討論和審批信息安全相關(guān)事宜，具體包括以下內(nèi)容1)復(fù)審本管理制度的有效性2)復(fù)審技術(shù)變更帶來的影響3)復(fù)審安全風險4)審批信息安全措施及程序5)審批信息安全建議6)確保任何新項目規(guī)劃已考慮信息安全的需求7)復(fù)審安全檢查結(jié)果和安全事故報告8)復(fù)審安全控制實施的效果和影響9)宣導(dǎo)和推行公司高層對信息安全管理的指示 信息安全職責分配第17條 信息管理部門作為信息安全管理部門，負責信息安全管理策略制定及實施，其主要職責：（一）負責全公司信息安全管理和指導(dǎo)；（二）牽頭制訂全公司信息安全體系規(guī)范、標準和檢查指引，參與我司信息系統(tǒng)工程建設(shè)的安全規(guī)劃；（三）組織全公司安全檢查；（四）配合全公司安全審計工作的開展；（五）牽頭組織全公司安全管理培訓(xùn)；（六）負責全公司安全方案的審核和安全產(chǎn)品的選型、購置。必須對新設(shè)備的硬件和軟件系統(tǒng)進行詳細檢查，以確保它們的安全性和兼容性。第25條 第三方包括但不限于：1) 硬件和軟件廠商的支持人員和其他外包商2) 監(jiān)管機構(gòu)、外部顧問、外部審計機構(gòu)和合作伙伴3) 臨時員工、實習生4) 清潔工和保安5) 公司的客戶第26條 第三方對公司信息或信息系統(tǒng)的訪問類型包括但不限于：1) 物理的訪問，例如：訪問公司大廈、職場、數(shù)據(jù)中心等；2) 邏輯的訪問，例如：訪問公司的數(shù)據(jù)庫、信息系統(tǒng)等；3) 與第三方之間的網(wǎng)絡(luò)連接，例如：固定的連接、臨時的遠程連接；第27條 第三方所有的訪問申請都必須經(jīng)過信息安全管理代表的審批，只提供其工作所須的最小權(quán)限和滿足其工作所需的最少資源，并且需要定期對第三方的訪問權(quán)限進行復(fù)查。這些資產(chǎn)包括但不限于∶1)信息：數(shù)據(jù)庫和數(shù)據(jù)文件、系統(tǒng)文檔、用戶手冊、培訓(xùn)材料、操作手冊、業(yè)務(wù)連續(xù)性計劃、系統(tǒng)恢復(fù)計劃、備份信息和合同等。第33條 實體資產(chǎn)需要貼上適當?shù)臉撕?。濫用信息處理設(shè)備的員工將受到紀律處分。對于不同的保密等級，應(yīng)明確說明如下信息活動的處理要求：1)復(fù)制2)保存和保管（以物理或電子方式）3)傳送（以郵寄、傳真或電子郵件的方式）4)銷毀第42條 電子文檔和系統(tǒng)輸出的信息（打印報表和磁帶等）應(yīng)帶有適當?shù)男畔⒎诸悩擞洝Ｔ趯π畔踩录{(diào)查結(jié)束后，必須對事件中的相關(guān)人員根據(jù)公司的懲戒規(guī)定進行處罰。第54條 在已經(jīng)確定員工或第三方終止或變更意向后，必須及時對他們的權(quán)限進行限制，只保留終止或變更所需要的權(quán)限。任何時候，重要安全區(qū)域的所有出入口必須受到嚴格的訪問控制，確保只有授權(quán)的員工才可以進入此區(qū)域。所有安全區(qū)域和出入口必須通過閉路電視進行監(jiān)控。第66條 機房的消防措施必須滿足以下要求：1) 必須安裝消防設(shè)備，并定期檢查。8) 緊急事件發(fā)生時必須提供緊急照明。必須維護和及時更新來賓記錄，以掌握來賓進入機房的詳細情況。第71條 在機房值班人員交接時，上一班值班人員所遺留的問題以及從事的工作應(yīng)明確交待給下一班，保證相關(guān)操作的延續(xù)性。 支持設(shè)施第74條 支持設(shè)施能夠支持物理場所、設(shè)備等的正常運作，比如：電力設(shè)施、空調(diào)、排水設(shè)施、消防設(shè)施、靜電保護設(shè)施等。應(yīng)急電源開關(guān)應(yīng)位于機房的緊急出口附近，以便緊急狀況發(fā)生時可以迅速切斷電源。如果設(shè)備需要搬離安全區(qū)域進行修理，必須獲得批準并卸載其存儲介質(zhì)。9 通信和操作管理方面 操作程序和職責 規(guī)范的操作程序第80條 必須為所有的業(yè)務(wù)系統(tǒng)建立操作程序，其內(nèi)容包括但不限于：1)系統(tǒng)重啟、備份和恢復(fù)的措施2)一般性錯誤處理的操作指南3)技術(shù)支持人員的聯(lián)系方法4)與其它系統(tǒng)的依賴性和處理的優(yōu)先級5)硬件的配置管理第81條 操作程序必須征得管理者的同意才能對其進行修改。在生產(chǎn)系統(tǒng)安裝或更新軟件前，必須對系統(tǒng)進行備份。無法采取職責分離時，必須采取其它的控制，比如活動監(jiān)控、審核跟蹤評估以及管理監(jiān)督等。必須根據(jù)事件的嚴重程度，定義響應(yīng)的范圍、時間和完成事件處理的時間。 第三方服務(wù)的變更管理第95條 服務(wù)改變時，必須重新對服務(wù)是否滿足安全管理辦法進行評估。第99條 必須定期審核控制惡意軟件措施的有效性。備份資料和相應(yīng)的恢復(fù)操作手冊必須定期傳送到異地進行保存。只有得到許可的員工才能夠使用網(wǎng)絡(luò)管理系統(tǒng)。除非得到授權(quán)，否則禁止訪問外部網(wǎng)絡(luò)的服務(wù)。第112條 存儲介質(zhì)的存放環(huán)境必須滿足介質(zhì)要求的環(huán)境條件（比如溫度、濕度、空氣質(zhì)量等）。含有敏感信息的文檔應(yīng)保存在安全的地方，未經(jīng)許可不得訪問。第125條 電話錄音系統(tǒng)應(yīng)該配置密碼，以防非法訪問。包裝應(yīng)該非常結(jié)實，確保介質(zhì)在運輸過程中不受到損壞。未經(jīng)授權(quán)，嚴禁使用公司以外的郵箱處理公司業(yè)務(wù)。身份驗證技術(shù)必須滿足業(yè)務(wù)的實際要求。第144條 在線交易必須遵守國家、地區(qū)和行業(yè)相關(guān)的法律法規(guī)。第150條 必須確保日志記錄功能在任何時候都能正常運行。只有授權(quán)的員工才能訪問并使用日志。所有故障記錄都應(yīng)該向上級匯報并記錄歸檔。必須按照“除非明確允許，否則一律禁止”的原則來設(shè)置訪問控制規(guī)則。必須保留和維護所有用戶的注冊信息的正式用戶記錄。 用戶密碼管理第176條 只有在用戶身份被確認后，才允許對忘記密碼的用戶提供臨時密碼。第184條 所有系統(tǒng)都應(yīng)該建立應(yīng)急帳號，應(yīng)急帳號資料必須放在密封的信封內(nèi)妥善收藏，并控制好信封的存取。第188條 用戶在第一次使用帳號時，必須修改密碼。第191條 密碼不應(yīng)該被保存于自動登錄過程中，例如IE中的帳號自動保存。第199條 所有系統(tǒng)都必須設(shè)置訪問控制機制來防止未經(jīng)授權(quán)的訪問。第207條 對遠程診斷端口的訪問，必須建立正式的注冊審批程序。第213條 公司外部和內(nèi)網(wǎng)之間應(yīng)該建立一個DMZ。所有對外提供網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)地址必須進行地址轉(zhuǎn)換。第224條 系統(tǒng)管理員和應(yīng)用管理員必須使用不同的帳號。第228條 所有默認的密碼都應(yīng)當在軟件安裝后立即更改。第234條 必須保證處理敏感信息的應(yīng)用系統(tǒng)僅輸出必需的信息到授權(quán)的終端，同時應(yīng)對這些輸出功能進行定期檢查，保證不存在輸出多余的信息。第240條 遠程辦公的訪問權(quán)限必須基于最小權(quán)限的原則進行分配，授權(quán)內(nèi)容應(yīng)該包括：1)允許訪問的系統(tǒng)和服務(wù)2)允許進行的工作3)訪問時段第241條 遠程辦公的訪問控制應(yīng)該采用雙重認證的方式。第247條 軟件必須通過用戶的正式驗收后才能投入生產(chǎn)。系統(tǒng)在使用過程中，應(yīng)該明確定義參與數(shù)據(jù)輸入各環(huán)節(jié)所有相關(guān)人員的職責。 加密控制 加密的使用管理辦法第259條 敏感信息應(yīng)該根據(jù)信息分類的要求采用加密措施進行保護。必須建立程序庫統(tǒng)一保管和維護應(yīng)用程序的可執(zhí)行代碼。 對程序源代碼庫的訪問控制第272條 應(yīng)該建立程序源代碼庫，并由指定人員進行統(tǒng)一管理。第277條 應(yīng)用軟件的變更需求應(yīng)該由業(yè)務(wù)部門授權(quán)的資深人員提出。必須維護所有變更需求的記錄。第288條 所有源代碼應(yīng)該進行恰當?shù)淖⑨?，以方便檢查。第294條 內(nèi)部開發(fā)的系統(tǒng)在發(fā)現(xiàn)漏洞后必須立即開發(fā)補丁程序，并在補丁發(fā)布前采取其他控制措施，避免漏洞被利用。第300條 當安全事件發(fā)生時，應(yīng)當成立安全事件調(diào)查組，并明確其職責；其成員應(yīng)具備相應(yīng)的處理技能。第306條 信息安全事件處理程序必須能夠適應(yīng)不同類型的信息安全事件。13 業(yè)務(wù)連續(xù)性管理方面 業(yè)務(wù)連續(xù)性管理 業(yè)務(wù)連續(xù)性管理流程第314條 業(yè)務(wù)連續(xù)性計劃的制訂必須有信息管理中心、業(yè)務(wù)部門和公司高層的參與。 開發(fā)和實施包括信息安全的持續(xù)計劃第318條 業(yè)務(wù)連續(xù)性計劃應(yīng)該包括以下幾點：1)識別關(guān)鍵業(yè)務(wù)流程及其從屬流程2)流程恢復(fù)的優(yōu)先次序3)所有的職責和緊急措施4)恢復(fù)管理辦法5)恢復(fù)流程第319條 業(yè)務(wù)連續(xù)性計劃必須涵蓋所有關(guān)鍵業(yè)務(wù)流程，并且人員安全必須被優(yōu)先考慮。第326條 本制度由信息安全管理委員會負責解釋第327條 本制度自印發(fā)之日起生效。第320條 每個計劃都應(yīng)該有一個指定的總負責人，而且每個計劃應(yīng)該清楚地說明其激活的條件以及執(zhí)行計劃中每個要素的負責人。必須進行業(yè)務(wù)影響分析，識別業(yè)務(wù)的重要性和評估風險對業(yè)務(wù)帶來的影響。第308條 當發(fā)現(xiàn)已經(jīng)產(chǎn)生嚴重影響或可能帶來嚴重影響的安全事件時，必須立即停止事件中直接受影響系統(tǒng)的服務(wù)。第302條 通過信息安全管理會議，安全管理委員會必須每季度對所有重大的安全事件報告進行復(fù)審。員工有責任報告安全事件。對于提供源代碼的外包軟件，必須對源代碼進行充分的安全檢查。操作系統(tǒng)變更之前必須通知相關(guān)人員，以便他們有足夠的時間去做相關(guān)的評估。第278條 變更需求中應(yīng)該包括對運行環(huán)境的要求（如硬件資源、軟件資源等）。第273條 更新程序源代碼庫和向程序員提供程序源代碼，應(yīng)通過指定的程序源代碼庫管理員來執(zhí)行，并且獲得管理層的授權(quán)。第268條 必須對程序庫做好訪問控制，并對程序庫的更新進行日志記錄。應(yīng)該使用被公司認可的標準加密算法。第255條 在采用消息驗證之前，應(yīng)該通過安全風險評估，以確定其是否能滿足需要或采取其他更適合的解決方式。第248條 為了對用戶的操作進行檢查和審計，系統(tǒng)必須提供日志記錄功能。第242條 員工離職或不再使用遠程辦公時，必須取消其相關(guān)的遠程辦公訪問權(quán)限。 移動計算和遠程辦公 移動計算第236條 移動設(shè)備（包括個人手持設(shè)備、筆記本電腦）和家庭辦公個人電腦都應(yīng)該受到保護以防未授權(quán)訪問。第229條 系統(tǒng)的密碼管理辦法必須滿足如下要求：1)密碼長度至少8個字符；2)啟用密碼復(fù)雜度要求，至少包括大寫字母、小寫字母、數(shù)字、特殊字符中的三種；3)管理員帳號密碼有效期是90天；4)重要系統(tǒng)的用戶帳號密碼有效期是90天；5)非重要系統(tǒng)的普通帳號密碼有效期是180天；6)記錄的歷史密碼次數(shù)不少于5個；7)帳號密碼驗證失敗鎖定閥值是10次；8)帳號被鎖定后必須由管理員解鎖。 密碼管理系統(tǒng)第226條 系統(tǒng)應(yīng)該強制用戶在第一次成功登錄后修改初始密碼。 操作系統(tǒng)訪問控制 用戶識別和認證第221條 所有用戶都應(yīng)該被識別和認證。第215條 所有網(wǎng)絡(luò)端口必須進行限制，以防止非授權(quán)的電腦接入公司網(wǎng)絡(luò)。第208條 所有遠程的診斷訪問必須事先申請并獲得批準。第201條 通過撥號進行遠程訪問必須經(jīng)過正式批準，并做好相關(guān)記錄。第193條 無人使用時，服務(wù)器、個人電腦和復(fù)印機等必須保持注銷狀態(tài)。特權(quán)帳號的密碼必須至少每3個月修改一次。應(yīng)急帳號的密碼在使用后必須立刻修改，然后把新的密碼裝到信封里。第178條 密碼必須保密，不得與他人分享、放在源代碼內(nèi)或?qū)懺跊]有保護的介質(zhì)上（如紙張）。第172條 每個用戶必須被分配唯一的帳號，不允許共享用戶帳號。必須禁用或關(guān)閉任何具有越權(quán)訪問的功能。 時鐘同步第162條 所有系統(tǒng)應(yīng)該使用時鐘同步服務(wù)，并使用同一時鐘源。 管理員和操作員日志第156條 系統(tǒng)管理員和操作員的操作必須被記錄日志。第151條 除非特別聲明，所有日志都必須被分類為“機密”。第146條 信息的發(fā)布必須遵守國家法律法規(guī)的要求。第140條 應(yīng)該使用加密、電子證書、數(shù)字簽名等技術(shù)保護電子商務(wù)安全。 業(yè)務(wù)信息系統(tǒng)第135條 在業(yè)務(wù)系統(tǒng)進行信息共享時，必須保證信息的完整性、可用行和保密性。第133條 電子郵件內(nèi)的信息必須根據(jù)其信息分類的安全要求去處理和保護。第127條 移動通訊設(shè)備