【正文】 。 第57條 在非辦公時間內(nèi)，重要的安全區(qū)域必須安排保安定時巡視。需要?dú)w還的資產(chǎn)包括但不限于： 1) 帳號和訪問權(quán)限 2) 公司的電子或紙質(zhì)文檔 3) 公司購買的硬件和軟件資產(chǎn) 4) 公司購買的其他設(shè)備 第51條 如果在非公司資產(chǎn)上保存有公司的資產(chǎn)，必須在帶出公司前歸還或刪除公司的資產(chǎn)。 第45條 應(yīng)該至少每年向員工提供一次安全意識培訓(xùn)，其內(nèi)容包括但不限于： 1)安全管理委員會下達(dá)的安全管理要求 2)信息保密的責(zé)任 3)一般性安全守則 4)信息分類 5)安全事故報告程序 6)電腦病毒爆發(fā)時的應(yīng)對措施 7)災(zāi)難發(fā)生時的應(yīng)對措施 第46條 應(yīng)該對系統(tǒng)管理員、開發(fā)人員進(jìn)行安全技能方面的培訓(xùn)，至少每年一次。 第40條 信息的保密程度從高到低分為絕密、機(jī)密、秘密和非保密四種等級。 第35條 資產(chǎn)管理者的職責(zé)是： 1)確定資產(chǎn)的保密等級分類和訪問管理辦法； 2)定期復(fù)查資產(chǎn)的分類和訪問管理辦法。 第32條 資產(chǎn)清單必須每年至少審核一次。 當(dāng)與客戶接觸時強(qiáng)調(diào)信息安全 第29條 必須在允許客戶訪問信息或信息系統(tǒng)前識別并告知其需要遵守的安全需求。負(fù)責(zé)安全審核的人員必須具備相應(yīng)的技能和經(jīng)驗(yàn)。 （八）依據(jù)本規(guī)定、安全規(guī)范、技術(shù)標(biāo)準(zhǔn)、操作手冊實(shí)施各類安全策略。 第13條 安全管理委員會通過清晰的方向、可見的承諾、詳細(xì)的分工，積極地支持信息安全工作，主要包括以下幾方面： 1)確定信息安全的目標(biāo)符合公司的要求和相關(guān)制度； 2)闡明、復(fù)查和批準(zhǔn)信息安全管理制度； 3)復(fù)查信息安全管理制度執(zhí)行的有效性； 4)為信息安全的執(zhí)行提供明確的指導(dǎo)和有效的支持； 5)提供信息安全體系運(yùn)作所需要的資源 6)為信息安全在公司執(zhí)行定義明確的角色和職責(zé)； 7)批準(zhǔn)信息安全推廣和培訓(xùn)的計劃和程序； 8)確保信息安全控制措施在公司內(nèi)被有效的執(zhí)行。 第6條 各部門的領(lǐng)導(dǎo)有責(zé)任確保其部門的員工了解本安全管理制度、相關(guān)的標(biāo)準(zhǔn)和程序以及日常的信息安全管理。例如，在電子商務(wù)中可以使用它驗(yàn)證誰簽署電子文檔，并檢查已簽署文檔的內(nèi)容是否被更改。環(huán)境容量包括電力供應(yīng)、濕度、溫度、空氣質(zhì)量等。信息安全管理制度琥珀（安吉）燃機(jī)熱電有限公司 36 / 38信息安全制度1 總則 第1條 為規(guī)范信息安全管理工作，加強(qiáng)過程管理和基礎(chǔ)設(shè)施管理的風(fēng)險分析及防范，建立安全責(zé)任制，健全安全內(nèi)控制度，保證信息系統(tǒng)的機(jī)密性、完整性、可用性，特制定本規(guī)定。 安全制度：與信息安全相關(guān)的制度文檔，包括安全管理辦法、標(biāo)準(zhǔn)、指引和程序等。 信息處理設(shè)備：泛指處理信息的所有設(shè)備和信息系統(tǒng)，包括網(wǎng)絡(luò)、服務(wù)器、個人電腦和筆記本電腦等。 第7條 安全管理代表（或其指派的人員）將審核各部門安全控制措施實(shí)施的準(zhǔn)確性和完整性，此過程是公司例行內(nèi)部審計的一部分。 第14條 安全管理委員會需要對內(nèi)部或外部信息安全專家的建議進(jìn)行評估，并檢查和調(diào)整建議在公司內(nèi)執(zhí)行的結(jié)果。 （九）負(fù)責(zé)各類安全策略的日常維護(hù)和管理。 第23條 獨(dú)立的信息安全審核必須每年至少進(jìn)行一次。采取相應(yīng)的保護(hù)措施保護(hù)客戶訪問的信息或信息系統(tǒng)。在購買新資產(chǎn)之前必須進(jìn)行安全評估。 資產(chǎn)的合理使用 第36條 必須識別信息和信息系統(tǒng)的使用準(zhǔn)則，形成文件并實(shí)施。以電子形式保存的信息或管理信息資產(chǎn)的系統(tǒng)，需根據(jù)信息的敏感度進(jìn)行標(biāo)識。員工和第三方人員在開始工作后90天內(nèi)，必須進(jìn)行技術(shù)和安全方面的培訓(xùn)。 刪除訪問權(quán)限 第52條 在終止或變更雇傭、合同、協(xié)議時，必須刪除所有員工及第三方人員對信息和信息系統(tǒng)的訪問權(quán)限，或根據(jù)變更進(jìn)行相應(yīng)的調(diào)整。任何時候，機(jī)房必須至少有一位保安值班。同時，必須有相應(yīng)的程序以確?；厥账l(fā)放的來賓通行證。 第64條 機(jī)房必須增加額外的物理控制，選取的場地應(yīng)盡量安全，并盡可能避免受到災(zāi)害的影響。 5) 必須在明顯位臵張貼火災(zāi)逃生路線圖、滅火設(shè)備平面放臵圖以及安全出口的位臵。必須定期檢查訪問權(quán)限的分配并及時更新。機(jī)房內(nèi)嚴(yán)禁吸煙、飲食和拍攝。 放臵設(shè)備的區(qū)域必須滿足廠商提供的設(shè)備環(huán)境要求。必須設(shè)臵后備電源，例如不間斷電源（UPS）或發(fā)電機(jī)。所有生產(chǎn)設(shè)備必須定期進(jìn)行預(yù)防性維護(hù)。設(shè)備擁有者必須對設(shè)備在公司場所外的安全負(fù)責(zé)。對變更需要涉及的硬件、軟件和信息等對象都應(yīng)標(biāo)識出來并進(jìn)行相應(yīng)評估。 職責(zé)分離 第86條 系統(tǒng)管理員和系統(tǒng)開發(fā)人員的職責(zé)必須明確分開。不得在生產(chǎn)系統(tǒng)上擅自安裝開發(fā)工具（比如編譯程序及其他系統(tǒng)公用程序等），并做好已有開發(fā)工具的訪問控制。第三方提供的服務(wù)必須滿足公司業(yè)務(wù)連續(xù)性的要求。員工和第三方廠商從外界帶來的存儲介質(zhì)在使用之前必須進(jìn)行病毒掃描。 第101條 備份管理辦法必須獲得管理層的審批以確保符合業(yè)務(wù)需求。備份系統(tǒng)必須進(jìn)行監(jiān)控，以確保其穩(wěn)定性和可用性。 第107條 必須對網(wǎng)絡(luò)進(jìn)行監(jiān)控和管理。 第110條 必須建立和維護(hù)介質(zhì)清單，并對介質(zhì)的借用和歸還進(jìn)行記錄。 信息處理程序 第117條 介質(zhì)的信息分類，必須采用存放信息中的最高保密等級。 第123條 使用加密技術(shù)保護(hù)信息的保密性、完整性和真實(shí)性。應(yīng)確保敏感信息的機(jī)密性、完整性和可用性在傳輸全程中受到保護(hù)。 第134條 員工使用公司的郵件系統(tǒng)時只能進(jìn)行與業(yè)務(wù)相關(guān)的活動。 第137條 電子商務(wù)的交易必須制定相關(guān)的交易聲明，以明確注意事項(xiàng)和相關(guān)責(zé)任。交易中必須使用加密技術(shù)對所有通信內(nèi)容加密。必須對敏感信息的處理和存儲過程進(jìn)行保護(hù)。 第153條 應(yīng)每天定時監(jiān)控網(wǎng)絡(luò)（包括網(wǎng)絡(luò)性能和網(wǎng)絡(luò)故障），并根據(jù)產(chǎn)生的報告，對異常變化的網(wǎng)絡(luò)流量，作進(jìn)一步分析，以發(fā)現(xiàn)潛在的網(wǎng)絡(luò)安全問題。對于重要的財務(wù)系統(tǒng)和業(yè)務(wù)系統(tǒng)每天都要復(fù)查。 10 訪問控制方面 訪問控制要求 訪問控制管理辦法 第165條 所有系統(tǒng)和應(yīng)用都必須有訪問控制列表，由系統(tǒng)管理者明確定義訪問控制規(guī)則、用戶和用戶組的權(quán)限以及訪問控制機(jī)制。 用戶訪問管理 用戶注冊 第169條 開放給用戶訪問的信息系統(tǒng)，必須建立正式的用戶注冊和注銷程序。 第173條 帳號名不能透露用戶的權(quán)限信息，比如管理員帳號不能帶有Admin字樣。 第181條 系統(tǒng)必須啟用登錄失敗的限制功能，如果連續(xù)10次登錄失敗，系統(tǒng)應(yīng)該自動鎖定相關(guān)帳號。 用戶的責(zé)任 密碼的使用 第187條 用戶必須對其帳號的安全和使用負(fù)責(zé)，無論在何種情況下，用戶都不應(yīng)該泄漏其密碼。此8個字符必須包含數(shù)字和字母。 第196條 打印完敏感信息之后，必須確認(rèn)信息已從打印隊(duì)列中清除。 第204條 與外部合作伙伴進(jìn)行信息交換，應(yīng)該使用專線進(jìn)行連接。 網(wǎng)絡(luò)的劃分 第210條 必須將網(wǎng)絡(luò)劃分為不同的區(qū)域，以提供不同級別的安全保護(hù)，滿足不同服務(wù)的安全需求。 第217條 所有接入公司網(wǎng)絡(luò)的主機(jī)必須經(jīng)過公司的標(biāo)準(zhǔn)化安裝。 第222條 用戶認(rèn)證失敗信息中，應(yīng)該不顯示具體的失敗原因。 第227條 密碼文件應(yīng)該與應(yīng)用系統(tǒng)數(shù)據(jù)分開存儲。 終端超時終止 第231條 連接到服務(wù)器的所有終端，在30分鐘內(nèi)沒有活動，都應(yīng)該被終止連接。 第238條 移動設(shè)備用戶必須做好防病毒工作。 第245條 應(yīng)該在開發(fā)的整個周期對安全需求實(shí)施的正確性進(jìn)行階段性檢查，以確保其對應(yīng)的安全措施按照要求被定義、設(shè)計、部署和測試。 應(yīng)用系統(tǒng)中的安全 數(shù)據(jù)輸入的驗(yàn)證 第249條 所有接受數(shù)據(jù)輸入的入口必須有相應(yīng)的驗(yàn)證處理，包括但不限于： 1)數(shù)據(jù)的長度 2)數(shù)據(jù)的類型 3)數(shù)據(jù)的范圍 4)字符的限制 第250條 根據(jù)業(yè)務(wù)需要，對于按照紙面信息輸入的數(shù)據(jù)，系統(tǒng)應(yīng)該提供“數(shù)據(jù)在輸入被確認(rèn)”之后才能提交的功能。 第257條 輸出的數(shù)據(jù)應(yīng)該含有相關(guān)標(biāo)志，以便判斷數(shù)據(jù)的狀態(tài)（例如是否準(zhǔn)確、是否完整等）。 第263條 數(shù)字簽名的使用必須符合國家電子簽名法的相關(guān)規(guī)定。 測試數(shù)據(jù)的保護(hù) 第270條 測試系統(tǒng)應(yīng)該參照生產(chǎn)系統(tǒng)的訪問控制規(guī)則進(jìn)行訪問控制。程序源代碼的訪問必須做好相關(guān)記錄。 第280條 變更的部署必須盡量減少對業(yè)務(wù)正常運(yùn)行的影響。如果需要修改商業(yè)軟件，必須評估下列影響： 1)軟件功能和內(nèi)部的控制措施是否會受到破壞 2)是否會導(dǎo)致廠家的升級包不能使用 3)原廠商對修改過的軟件是否不提供維護(hù)支持 第286條 在進(jìn)行任何修改之前，必須得到廠家的允許，以保證不侵犯其知識產(chǎn)權(quán)。定義公司員工在漏洞管理流程中的角色和職責(zé)。如果可能的話，還應(yīng)采取適當(dāng)?shù)拇胧﹣肀O(jiān)控并保護(hù)這些重要信息。 第304條 應(yīng)該制定安全漏洞的分類、識別方法及建立相關(guān)的報告程序，以便安全漏洞得到及時的報告和處理。 第310條 必須從已發(fā)生的事件和故障中總結(jié)經(jīng)驗(yàn)，分析造成事件的根本原因，增強(qiáng)安全控制管理，避免問題的再次發(fā)生。業(yè)務(wù)連續(xù)性計劃必須經(jīng)過演練測試。 第322條 必須為每項(xiàng)演練制定進(jìn)度表，說明演練頻率、目的以及方法。 第323條 計劃必須定期維護(hù)以確保其有效性，并指定人員負(fù)責(zé)維護(hù)，在出現(xiàn)下列情況時，必須對計劃進(jìn)行在評估和更新： 1)法律的變化 2)員工和公司的變化 3)業(yè)務(wù)的變化 4)業(yè)務(wù)系統(tǒng)和運(yùn)行環(huán)境的變化（如操作系統(tǒng)的升級） 5)第三方責(zé)任人的變化（如承包人、供應(yīng)商） 6)地址或者聯(lián)系電話的變化 7)風(fēng)險評估和業(yè)務(wù)影響分析的變化 8)地點(diǎn)、設(shè)備和資源的變化 第324條 計劃的更新必須通過正式的審批，最新的版本必須妥善保存，并分發(fā)給所有相關(guān)人員。業(yè)務(wù)影響分析應(yīng)該對直接損失進(jìn)行量化，并且綜合評估公司聲譽(yù)的損失、法規(guī)的違反以及人員的傷亡等。 安全事件處理要求 第312條 證據(jù)的收集應(yīng)該滿足法律法規(guī)的要求。 信息安全事件的管理和改進(jìn) 職責(zé)和程序 第305條 必須建立信息安全事件處理程序，程序必須包括以下內(nèi)容： 1)角色定義和職責(zé)； 2)不同安全事件的處理方法及注意事項(xiàng)； 3)系統(tǒng)應(yīng)急恢復(fù)措施； 4)審計追蹤和證據(jù)收集要求； 5)安全事件的補(bǔ)救措施和糾正預(yù)防措施。 第299條 嚴(yán)禁員工私自對安全事件進(jìn)行調(diào)查和利用公司環(huán)境對其進(jìn)行研究試驗(yàn)。如果補(bǔ)丁不能安裝，必須采取其他的控制措施，控制措施包括但不限于： 1)停止漏洞利用的相關(guān)服務(wù)或功能 2)增加訪問控制阻擋漏洞或縮小漏洞的來源 3)增加監(jiān)控和檢測機(jī)制 4)升級防病毒代碼庫到可以查殺利用漏洞的病毒的版本 5）重要系統(tǒng)必須優(yōu)先進(jìn)行漏洞處理。以下幾點(diǎn)必須被考慮到： 1)只從信譽(yù)良好的廠家購買軟件 2)關(guān)鍵系統(tǒng)上的工作必須由值得信任的員工擔(dān)任 3)購買獲得國家有關(guān)機(jī)構(gòu)認(rèn)可的軟件 4)所有開發(fā)的代碼都必須進(jìn)行安全檢查，確定無問題后才可以部署在生產(chǎn)環(huán)境。 第282條 必須維護(hù)所有軟件更新的版本控制。 開發(fā)和維護(hù)過程中的安全 變更控制流程 第276條 所有應(yīng)用軟件的變更必須獲得批準(zhǔn)。從生產(chǎn)系統(tǒng)中復(fù)制的數(shù)據(jù)必須經(jīng)過處理，去掉有關(guān)財務(wù)和個人隱私的信息。 第266條 嚴(yán)禁在生產(chǎn)系統(tǒng)中保留應(yīng)用軟件的源代碼。 第258條 系統(tǒng)在使用過程中，應(yīng)該明確定義參與數(shù)據(jù)輸出各環(huán)節(jié)所有相關(guān)人員的職責(zé)。必須對數(shù)據(jù)輸入驗(yàn)證功能進(jìn)行全面的測試，以保證其正確性和有效性。對于軟件的安全控制要求應(yīng)該在評估之前定義好。 遠(yuǎn)程辦公 第239條 必須建立遠(yuǎn)程辦公的使用標(biāo)準(zhǔn)和授權(quán)程序。 應(yīng)用系統(tǒng)訪問控制 信息訪問限制 第233條 應(yīng)用系統(tǒng)應(yīng)該控制用戶的訪問權(quán)限，如讀寫權(quán)限、刪除權(quán)限以及執(zhí)行權(quán)限。當(dāng)密碼接近失效期或者已經(jīng)過期時，系統(tǒng)應(yīng)該提示或強(qiáng)制用戶修改密碼。 第223條 如果由于業(yè)務(wù)要求需要使用共享用戶帳號，那么此共享帳號應(yīng)該得到正式的批準(zhǔn)并明文歸檔。 網(wǎng)絡(luò)路由的控制 第219條 路由訪問控制列表必須基于適當(dāng)?shù)脑吹刂泛湍繕?biāo)地址檢查機(jī)制。 第212條 應(yīng)該使用風(fēng)險評估來決定每個區(qū)域的安全級別。 第206條 如果第三