【正文】 。 第57條 在非辦公時(shí)間內(nèi)，重要的安全區(qū)域必須安排保安定時(shí)巡視。需要?dú)w還的資產(chǎn)包括但不限于： 1) 帳號(hào)和訪(fǎng)問(wèn)權(quán)限 2) 公司的電子或紙質(zhì)文檔 3) 公司購(gòu)買(mǎi)的硬件和軟件資產(chǎn) 4) 公司購(gòu)買(mǎi)的其他設(shè)備 第51條 如果在非公司資產(chǎn)上保存有公司的資產(chǎn)，必須在帶出公司前歸還或刪除公司的資產(chǎn)。 第45條 應(yīng)該至少每年向員工提供一次安全意識(shí)培訓(xùn)，其內(nèi)容包括但不限于： 1)安全管理委員會(huì)下達(dá)的安全管理要求 2)信息保密的責(zé)任 3)一般性安全守則 4)信息分類(lèi) 5)安全事故報(bào)告程序 6)電腦病毒爆發(fā)時(shí)的應(yīng)對(duì)措施 7)災(zāi)難發(fā)生時(shí)的應(yīng)對(duì)措施 第46條 應(yīng)該對(duì)系統(tǒng)管理員、開(kāi)發(fā)人員進(jìn)行安全技能方面的培訓(xùn)，至少每年一次。 第40條 信息的保密程度從高到低分為絕密、機(jī)密、秘密和非保密四種等級(jí)。 第35條 資產(chǎn)管理者的職責(zé)是： 1)確定資產(chǎn)的保密等級(jí)分類(lèi)和訪(fǎng)問(wèn)管理辦法； 2)定期復(fù)查資產(chǎn)的分類(lèi)和訪(fǎng)問(wèn)管理辦法。 第32條 資產(chǎn)清單必須每年至少審核一次。 當(dāng)與客戶(hù)接觸時(shí)強(qiáng)調(diào)信息安全 第29條 必須在允許客戶(hù)訪(fǎng)問(wèn)信息或信息系統(tǒng)前識(shí)別并告知其需要遵守的安全需求。負(fù)責(zé)安全審核的人員必須具備相應(yīng)的技能和經(jīng)驗(yàn)。 （八）依據(jù)本規(guī)定、安全規(guī)范、技術(shù)標(biāo)準(zhǔn)、操作手冊(cè)實(shí)施各類(lèi)安全策略。 第13條 安全管理委員會(huì)通過(guò)清晰的方向、可見(jiàn)的承諾、詳細(xì)的分工，積極地支持信息安全工作，主要包括以下幾方面： 1)確定信息安全的目標(biāo)符合公司的要求和相關(guān)制度； 2)闡明、復(fù)查和批準(zhǔn)信息安全管理制度； 3)復(fù)查信息安全管理制度執(zhí)行的有效性； 4)為信息安全的執(zhí)行提供明確的指導(dǎo)和有效的支持； 5)提供信息安全體系運(yùn)作所需要的資源 6)為信息安全在公司執(zhí)行定義明確的角色和職責(zé)； 7)批準(zhǔn)信息安全推廣和培訓(xùn)的計(jì)劃和程序； 8)確保信息安全控制措施在公司內(nèi)被有效的執(zhí)行。 第6條 各部門(mén)的領(lǐng)導(dǎo)有責(zé)任確保其部門(mén)的員工了解本安全管理制度、相關(guān)的標(biāo)準(zhǔn)和程序以及日常的信息安全管理。例如，在電子商務(wù)中可以使用它驗(yàn)證誰(shuí)簽署電子文檔，并檢查已簽署文檔的內(nèi)容是否被更改。環(huán)境容量包括電力供應(yīng)、濕度、溫度、空氣質(zhì)量等。信息安全管理制度琥珀（安吉）燃機(jī)熱電有限公司 36 / 38信息安全制度1 總則 第1條 為規(guī)范信息安全管理工作，加強(qiáng)過(guò)程管理和基礎(chǔ)設(shè)施管理的風(fēng)險(xiǎn)分析及防范，建立安全責(zé)任制，健全安全內(nèi)控制度，保證信息系統(tǒng)的機(jī)密性、完整性、可用性，特制定本規(guī)定。 安全制度：與信息安全相關(guān)的制度文檔，包括安全管理辦法、標(biāo)準(zhǔn)、指引和程序等。 信息處理設(shè)備：泛指處理信息的所有設(shè)備和信息系統(tǒng)，包括網(wǎng)絡(luò)、服務(wù)器、個(gè)人電腦和筆記本電腦等。 第7條 安全管理代表（或其指派的人員）將審核各部門(mén)安全控制措施實(shí)施的準(zhǔn)確性和完整性，此過(guò)程是公司例行內(nèi)部審計(jì)的一部分。 第14條 安全管理委員會(huì)需要對(duì)內(nèi)部或外部信息安全專(zhuān)家的建議進(jìn)行評(píng)估，并檢查和調(diào)整建議在公司內(nèi)執(zhí)行的結(jié)果。 （九）負(fù)責(zé)各類(lèi)安全策略的日常維護(hù)和管理。 第23條 獨(dú)立的信息安全審核必須每年至少進(jìn)行一次。采取相應(yīng)的保護(hù)措施保護(hù)客戶(hù)訪(fǎng)問(wèn)的信息或信息系統(tǒng)。在購(gòu)買(mǎi)新資產(chǎn)之前必須進(jìn)行安全評(píng)估。 資產(chǎn)的合理使用 第36條 必須識(shí)別信息和信息系統(tǒng)的使用準(zhǔn)則，形成文件并實(shí)施。以電子形式保存的信息或管理信息資產(chǎn)的系統(tǒng)，需根據(jù)信息的敏感度進(jìn)行標(biāo)識(shí)。員工和第三方人員在開(kāi)始工作后90天內(nèi)，必須進(jìn)行技術(shù)和安全方面的培訓(xùn)。 刪除訪(fǎng)問(wèn)權(quán)限 第52條 在終止或變更雇傭、合同、協(xié)議時(shí)，必須刪除所有員工及第三方人員對(duì)信息和信息系統(tǒng)的訪(fǎng)問(wèn)權(quán)限，或根據(jù)變更進(jìn)行相應(yīng)的調(diào)整。任何時(shí)候，機(jī)房必須至少有一位保安值班。同時(shí)，必須有相應(yīng)的程序以確?；厥账l(fā)放的來(lái)賓通行證。 第64條 機(jī)房必須增加額外的物理控制，選取的場(chǎng)地應(yīng)盡量安全，并盡可能避免受到災(zāi)害的影響。 5) 必須在明顯位臵張貼火災(zāi)逃生路線(xiàn)圖、滅火設(shè)備平面放臵圖以及安全出口的位臵。必須定期檢查訪(fǎng)問(wèn)權(quán)限的分配并及時(shí)更新。機(jī)房?jī)?nèi)嚴(yán)禁吸煙、飲食和拍攝。 放臵設(shè)備的區(qū)域必須滿(mǎn)足廠(chǎng)商提供的設(shè)備環(huán)境要求。必須設(shè)臵后備電源，例如不間斷電源（UPS）或發(fā)電機(jī)。所有生產(chǎn)設(shè)備必須定期進(jìn)行預(yù)防性維護(hù)。設(shè)備擁有者必須對(duì)設(shè)備在公司場(chǎng)所外的安全負(fù)責(zé)。對(duì)變更需要涉及的硬件、軟件和信息等對(duì)象都應(yīng)標(biāo)識(shí)出來(lái)并進(jìn)行相應(yīng)評(píng)估。 職責(zé)分離 第86條 系統(tǒng)管理員和系統(tǒng)開(kāi)發(fā)人員的職責(zé)必須明確分開(kāi)。不得在生產(chǎn)系統(tǒng)上擅自安裝開(kāi)發(fā)工具（比如編譯程序及其他系統(tǒng)公用程序等），并做好已有開(kāi)發(fā)工具的訪(fǎng)問(wèn)控制。第三方提供的服務(wù)必須滿(mǎn)足公司業(yè)務(wù)連續(xù)性的要求。員工和第三方廠(chǎng)商從外界帶來(lái)的存儲(chǔ)介質(zhì)在使用之前必須進(jìn)行病毒掃描。 第101條 備份管理辦法必須獲得管理層的審批以確保符合業(yè)務(wù)需求。備份系統(tǒng)必須進(jìn)行監(jiān)控，以確保其穩(wěn)定性和可用性。 第107條 必須對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)控和管理。 第110條 必須建立和維護(hù)介質(zhì)清單，并對(duì)介質(zhì)的借用和歸還進(jìn)行記錄。 信息處理程序 第117條 介質(zhì)的信息分類(lèi)，必須采用存放信息中的最高保密等級(jí)。 第123條 使用加密技術(shù)保護(hù)信息的保密性、完整性和真實(shí)性。應(yīng)確保敏感信息的機(jī)密性、完整性和可用性在傳輸全程中受到保護(hù)。 第134條 員工使用公司的郵件系統(tǒng)時(shí)只能進(jìn)行與業(yè)務(wù)相關(guān)的活動(dòng)。 第137條 電子商務(wù)的交易必須制定相關(guān)的交易聲明，以明確注意事項(xiàng)和相關(guān)責(zé)任。交易中必須使用加密技術(shù)對(duì)所有通信內(nèi)容加密。必須對(duì)敏感信息的處理和存儲(chǔ)過(guò)程進(jìn)行保護(hù)。 第153條 應(yīng)每天定時(shí)監(jiān)控網(wǎng)絡(luò)（包括網(wǎng)絡(luò)性能和網(wǎng)絡(luò)故障），并根據(jù)產(chǎn)生的報(bào)告，對(duì)異常變化的網(wǎng)絡(luò)流量，作進(jìn)一步分析，以發(fā)現(xiàn)潛在的網(wǎng)絡(luò)安全問(wèn)題。對(duì)于重要的財(cái)務(wù)系統(tǒng)和業(yè)務(wù)系統(tǒng)每天都要復(fù)查。 10 訪(fǎng)問(wèn)控制方面 訪(fǎng)問(wèn)控制要求 訪(fǎng)問(wèn)控制管理辦法 第165條 所有系統(tǒng)和應(yīng)用都必須有訪(fǎng)問(wèn)控制列表，由系統(tǒng)管理者明確定義訪(fǎng)問(wèn)控制規(guī)則、用戶(hù)和用戶(hù)組的權(quán)限以及訪(fǎng)問(wèn)控制機(jī)制。 用戶(hù)訪(fǎng)問(wèn)管理 用戶(hù)注冊(cè) 第169條 開(kāi)放給用戶(hù)訪(fǎng)問(wèn)的信息系統(tǒng)，必須建立正式的用戶(hù)注冊(cè)和注銷(xiāo)程序。 第173條 帳號(hào)名不能透露用戶(hù)的權(quán)限信息，比如管理員帳號(hào)不能帶有Admin字樣。 第181條 系統(tǒng)必須啟用登錄失敗的限制功能，如果連續(xù)10次登錄失敗，系統(tǒng)應(yīng)該自動(dòng)鎖定相關(guān)帳號(hào)。 用戶(hù)的責(zé)任 密碼的使用 第187條 用戶(hù)必須對(duì)其帳號(hào)的安全和使用負(fù)責(zé)，無(wú)論在何種情況下，用戶(hù)都不應(yīng)該泄漏其密碼。此8個(gè)字符必須包含數(shù)字和字母。 第196條 打印完敏感信息之后，必須確認(rèn)信息已從打印隊(duì)列中清除。 第204條 與外部合作伙伴進(jìn)行信息交換，應(yīng)該使用專(zhuān)線(xiàn)進(jìn)行連接。 網(wǎng)絡(luò)的劃分 第210條 必須將網(wǎng)絡(luò)劃分為不同的區(qū)域，以提供不同級(jí)別的安全保護(hù)，滿(mǎn)足不同服務(wù)的安全需求。 第217條 所有接入公司網(wǎng)絡(luò)的主機(jī)必須經(jīng)過(guò)公司的標(biāo)準(zhǔn)化安裝。 第222條 用戶(hù)認(rèn)證失敗信息中，應(yīng)該不顯示具體的失敗原因。 第227條 密碼文件應(yīng)該與應(yīng)用系統(tǒng)數(shù)據(jù)分開(kāi)存儲(chǔ)。 終端超時(shí)終止 第231條 連接到服務(wù)器的所有終端，在30分鐘內(nèi)沒(méi)有活動(dòng)，都應(yīng)該被終止連接。 第238條 移動(dòng)設(shè)備用戶(hù)必須做好防病毒工作。 第245條 應(yīng)該在開(kāi)發(fā)的整個(gè)周期對(duì)安全需求實(shí)施的正確性進(jìn)行階段性檢查，以確保其對(duì)應(yīng)的安全措施按照要求被定義、設(shè)計(jì)、部署和測(cè)試。 應(yīng)用系統(tǒng)中的安全 數(shù)據(jù)輸入的驗(yàn)證 第249條 所有接受數(shù)據(jù)輸入的入口必須有相應(yīng)的驗(yàn)證處理，包括但不限于： 1)數(shù)據(jù)的長(zhǎng)度 2)數(shù)據(jù)的類(lèi)型 3)數(shù)據(jù)的范圍 4)字符的限制 第250條 根據(jù)業(yè)務(wù)需要，對(duì)于按照紙面信息輸入的數(shù)據(jù)，系統(tǒng)應(yīng)該提供“數(shù)據(jù)在輸入被確認(rèn)”之后才能提交的功能。 第257條 輸出的數(shù)據(jù)應(yīng)該含有相關(guān)標(biāo)志，以便判斷數(shù)據(jù)的狀態(tài)（例如是否準(zhǔn)確、是否完整等）。 第263條 數(shù)字簽名的使用必須符合國(guó)家電子簽名法的相關(guān)規(guī)定。 測(cè)試數(shù)據(jù)的保護(hù) 第270條 測(cè)試系統(tǒng)應(yīng)該參照生產(chǎn)系統(tǒng)的訪(fǎng)問(wèn)控制規(guī)則進(jìn)行訪(fǎng)問(wèn)控制。程序源代碼的訪(fǎng)問(wèn)必須做好相關(guān)記錄。 第280條 變更的部署必須盡量減少對(duì)業(yè)務(wù)正常運(yùn)行的影響。如果需要修改商業(yè)軟件，必須評(píng)估下列影響： 1)軟件功能和內(nèi)部的控制措施是否會(huì)受到破壞 2)是否會(huì)導(dǎo)致廠(chǎng)家的升級(jí)包不能使用 3)原廠(chǎng)商對(duì)修改過(guò)的軟件是否不提供維護(hù)支持 第286條 在進(jìn)行任何修改之前，必須得到廠(chǎng)家的允許，以保證不侵犯其知識(shí)產(chǎn)權(quán)。定義公司員工在漏洞管理流程中的角色和職責(zé)。如果可能的話(huà)，還應(yīng)采取適當(dāng)?shù)拇胧﹣?lái)監(jiān)控并保護(hù)這些重要信息。 第304條 應(yīng)該制定安全漏洞的分類(lèi)、識(shí)別方法及建立相關(guān)的報(bào)告程序，以便安全漏洞得到及時(shí)的報(bào)告和處理。 第310條 必須從已發(fā)生的事件和故障中總結(jié)經(jīng)驗(yàn)，分析造成事件的根本原因，增強(qiáng)安全控制管理，避免問(wèn)題的再次發(fā)生。業(yè)務(wù)連續(xù)性計(jì)劃必須經(jīng)過(guò)演練測(cè)試。 第322條 必須為每項(xiàng)演練制定進(jìn)度表，說(shuō)明演練頻率、目的以及方法。 第323條 計(jì)劃必須定期維護(hù)以確保其有效性，并指定人員負(fù)責(zé)維護(hù)，在出現(xiàn)下列情況時(shí)，必須對(duì)計(jì)劃進(jìn)行在評(píng)估和更新： 1)法律的變化 2)員工和公司的變化 3)業(yè)務(wù)的變化 4)業(yè)務(wù)系統(tǒng)和運(yùn)行環(huán)境的變化（如操作系統(tǒng)的升級(jí)） 5)第三方責(zé)任人的變化（如承包人、供應(yīng)商） 6)地址或者聯(lián)系電話(huà)的變化 7)風(fēng)險(xiǎn)評(píng)估和業(yè)務(wù)影響分析的變化 8)地點(diǎn)、設(shè)備和資源的變化 第324條 計(jì)劃的更新必須通過(guò)正式的審批，最新的版本必須妥善保存，并分發(fā)給所有相關(guān)人員。業(yè)務(wù)影響分析應(yīng)該對(duì)直接損失進(jìn)行量化，并且綜合評(píng)估公司聲譽(yù)的損失、法規(guī)的違反以及人員的傷亡等。 安全事件處理要求 第312條 證據(jù)的收集應(yīng)該滿(mǎn)足法律法規(guī)的要求。 信息安全事件的管理和改進(jìn) 職責(zé)和程序 第305條 必須建立信息安全事件處理程序，程序必須包括以下內(nèi)容： 1)角色定義和職責(zé)； 2)不同安全事件的處理方法及注意事項(xiàng)； 3)系統(tǒng)應(yīng)急恢復(fù)措施； 4)審計(jì)追蹤和證據(jù)收集要求； 5)安全事件的補(bǔ)救措施和糾正預(yù)防措施。 第299條 嚴(yán)禁員工私自對(duì)安全事件進(jìn)行調(diào)查和利用公司環(huán)境對(duì)其進(jìn)行研究試驗(yàn)。如果補(bǔ)丁不能安裝，必須采取其他的控制措施，控制措施包括但不限于： 1)停止漏洞利用的相關(guān)服務(wù)或功能 2)增加訪(fǎng)問(wèn)控制阻擋漏洞或縮小漏洞的來(lái)源 3)增加監(jiān)控和檢測(cè)機(jī)制 4)升級(jí)防病毒代碼庫(kù)到可以查殺利用漏洞的病毒的版本 5）重要系統(tǒng)必須優(yōu)先進(jìn)行漏洞處理。以下幾點(diǎn)必須被考慮到： 1)只從信譽(yù)良好的廠(chǎng)家購(gòu)買(mǎi)軟件 2)關(guān)鍵系統(tǒng)上的工作必須由值得信任的員工擔(dān)任 3)購(gòu)買(mǎi)獲得國(guó)家有關(guān)機(jī)構(gòu)認(rèn)可的軟件 4)所有開(kāi)發(fā)的代碼都必須進(jìn)行安全檢查，確定無(wú)問(wèn)題后才可以部署在生產(chǎn)環(huán)境。 第282條 必須維護(hù)所有軟件更新的版本控制。 開(kāi)發(fā)和維護(hù)過(guò)程中的安全 變更控制流程 第276條 所有應(yīng)用軟件的變更必須獲得批準(zhǔn)。從生產(chǎn)系統(tǒng)中復(fù)制的數(shù)據(jù)必須經(jīng)過(guò)處理，去掉有關(guān)財(cái)務(wù)和個(gè)人隱私的信息。 第266條 嚴(yán)禁在生產(chǎn)系統(tǒng)中保留應(yīng)用軟件的源代碼。 第258條 系統(tǒng)在使用過(guò)程中，應(yīng)該明確定義參與數(shù)據(jù)輸出各環(huán)節(jié)所有相關(guān)人員的職責(zé)。必須對(duì)數(shù)據(jù)輸入驗(yàn)證功能進(jìn)行全面的測(cè)試，以保證其正確性和有效性。對(duì)于軟件的安全控制要求應(yīng)該在評(píng)估之前定義好。 遠(yuǎn)程辦公 第239條 必須建立遠(yuǎn)程辦公的使用標(biāo)準(zhǔn)和授權(quán)程序。 應(yīng)用系統(tǒng)訪(fǎng)問(wèn)控制 信息訪(fǎng)問(wèn)限制 第233條 應(yīng)用系統(tǒng)應(yīng)該控制用戶(hù)的訪(fǎng)問(wèn)權(quán)限，如讀寫(xiě)權(quán)限、刪除權(quán)限以及執(zhí)行權(quán)限。當(dāng)密碼接近失效期或者已經(jīng)過(guò)期時(shí)，系統(tǒng)應(yīng)該提示或強(qiáng)制用戶(hù)修改密碼。 第223條 如果由于業(yè)務(wù)要求需要使用共享用戶(hù)帳號(hào)，那么此共享帳號(hào)應(yīng)該得到正式的批準(zhǔn)并明文歸檔。 網(wǎng)絡(luò)路由的控制 第219條 路由訪(fǎng)問(wèn)控制列表必須基于適當(dāng)?shù)脑吹刂泛湍繕?biāo)地址檢查機(jī)制。 第212條 應(yīng)該使用風(fēng)險(xiǎn)評(píng)估來(lái)決定每個(gè)區(qū)域的安全級(jí)別。 第206條 如果第三