【正文】 安全職責(zé)分配第17條 信息管理部門作為信息安全管理部門，負(fù)責(zé)信息安全管理策略制定及實(shí)施，其主要職責(zé)：（一）負(fù)責(zé)全公司信息安全管理和指導(dǎo)；（二）牽頭制訂全公司信息安全體系規(guī)范、標(biāo)準(zhǔn)和檢查指引，參與我司信息系統(tǒng)工程建設(shè)的安全規(guī)劃；（三）組織全公司安全檢查；（四）配合全公司安全審計(jì)工作的開展；（五）牽頭組織全公司安全管理培訓(xùn)；（六）負(fù)責(zé)全公司安全方案的審核和安全產(chǎn)品的選型、購置。電子化辦公系統(tǒng)：包括電子郵件、KOA系統(tǒng)以及用于業(yè)務(wù)信息傳送及共享的企業(yè)內(nèi)部網(wǎng)。3 管理對象第3條 管理對象指組成計(jì)算機(jī)信息系統(tǒng)的系統(tǒng)、設(shè)備和數(shù)據(jù)等信息資產(chǎn)和人員的安全。消息驗(yàn)證：一種檢查傳輸?shù)碾娮酉⑹欠裼蟹欠ㄗ兏蚱茐牡募夹g(shù)，它可以在硬件或軟件上實(shí)施。6 組織安全方面 組織內(nèi)部安全 信息安全體系管理第11條 公司成立安全管理委員會(huì)，安全管理委員會(huì)是公司信息安全管理的最高決策機(jī)構(gòu)，安全管理委員會(huì)的成員應(yīng)包括總裁室主管IT領(lǐng)導(dǎo)、公司安全審計(jì)負(fù)責(zé)人、公司法律負(fù)責(zé)人等。審核工作應(yīng)由公司的審計(jì)部門或?qū)ｉT提供此類服務(wù)的第三方組織負(fù)責(zé)執(zhí)行。4)服務(wù)：通訊服務(wù)（專線）。當(dāng)信息被發(fā)布到公司外部，或者經(jīng)過一段時(shí)間后信息的敏感度發(fā)生改變時(shí)，信息需要重新分類。 資產(chǎn)歸還第50條 在終止雇傭、合同或協(xié)議時(shí)，所有員工及第三方人員必須歸還所使用的全部公司資產(chǎn)。員工離職時(shí)必須交還通行證，同時(shí)取消其所有訪問權(quán)限。4) 必須安裝煙感及其他火警探測器和滅火裝置。來賓必須得到明確許可后，在專人陪同下才能進(jìn)入機(jī)房。每年應(yīng)至少對支持設(shè)施進(jìn)行一次安全檢查。 管轄區(qū)域外設(shè)備安全第77條 筆記本電腦用戶必須保護(hù)好筆記本電腦的安全，防止筆記本電腦損壞或被偷竊。必須完整記錄整個(gè)變更過程，并將其妥善保管。必須對事件的處理情況進(jìn)行監(jiān)控，對超時(shí)的處理提出改進(jìn)建議并跟進(jìn)改進(jìn)效果。 備份 信息備份第100條 所有服務(wù)器、個(gè)人電腦和筆記本電腦必須根據(jù)業(yè)務(wù)需求定期進(jìn)行備份。第106條 進(jìn)行網(wǎng)絡(luò)協(xié)議兼容性的評估時(shí)應(yīng)考慮將來新增網(wǎng)絡(luò)設(shè)備的要求。 介質(zhì)的銷毀第114條 應(yīng)建立存儲(chǔ)介質(zhì)的報(bào)廢規(guī)范，包括但不限于：1)紙質(zhì)文檔2)語音資料及其他錄音帶3)復(fù)寫紙4)磁帶5)磁盤6)光存儲(chǔ)介質(zhì)第115條 所有不會(huì)被再利用的敏感文檔都必須根據(jù)定義的信息密級采取適當(dāng)?shù)姆绞竭M(jìn)行銷毀。 交換協(xié)議第128條 跟外界進(jìn)行信息和軟件交換必須簽署協(xié)議，其內(nèi)容必須包括：1)發(fā)送方和接收方的責(zé)任2)明確發(fā)送和接收的方式3)制定信息封裝和傳輸?shù)募夹g(shù)標(biāo)準(zhǔn)4)數(shù)據(jù)丟失的相關(guān)責(zé)任5)聲明信息的保密級別和保護(hù)要求6)聲明信息和軟件的所有權(quán)、版權(quán)和其他相關(guān)因素 物理介質(zhì)傳輸?shù)?29條 必須建立傳輸存儲(chǔ)介質(zhì)的安全標(biāo)準(zhǔn)。必須保證重要信息在交換過程中的保密性。通過信息發(fā)布系統(tǒng)向內(nèi)部和公眾發(fā)布的信息都必須經(jīng)過公司相關(guān)部門的檢查和審批。第157條 日志記錄應(yīng)包括重要的操作，例如與用戶管理相關(guān)的操作（用戶帳號的創(chuàng)建、刪除、權(quán)限設(shè)置、修改）、與財(cái)務(wù)相關(guān)的操作等。員工的職責(zé)發(fā)生變化或離職時(shí)，其訪問權(quán)限必須作相應(yīng)調(diào)整或撤銷。第179條 必須強(qiáng)制用戶在第一次登錄時(shí)修改密碼。用于系統(tǒng)之間認(rèn)證帳號的密碼必須至少每半年修改一次。第202條 用于遠(yuǎn)程訪問的調(diào)制解調(diào)器平時(shí)必須保持關(guān)閉，只有在使用的時(shí)候才能打開。限制要求至少應(yīng)包括：1)所有的端口默認(rèn)都是關(guān)閉的，只有在經(jīng)過正式批準(zhǔn)后才能開通；2)端口的關(guān)閉必須在員工離職和崗位變動(dòng)流程中體現(xiàn)；3)臨時(shí)使用的端口或位置變動(dòng)，員工必須主動(dòng)申請停用原有端口，開通新端口前必須先關(guān)閉原有端口。修改密碼時(shí)，系統(tǒng)必須提示用戶確認(rèn)新密碼，以防止輸入錯(cuò)誤。第237條 進(jìn)行移動(dòng)和家庭辦公的員工，應(yīng)該對其使用的設(shè)備做好物理保護(hù)，防止丟失、偷竊和破壞等。系統(tǒng)應(yīng)提供只有日志審計(jì)人員可以訪問的用來查看日志記錄的審計(jì)接口。第261條 未經(jīng)安全管理委員會(huì)的同意，用戶不能安裝任何未經(jīng)授權(quán)的加密軟件。程序源代碼必須保存在安全的環(huán)境中。第284條 操作系統(tǒng)變更之后必須對業(yè)務(wù)連續(xù)性計(jì)劃作相應(yīng)修正。第296條 必須制定安全事件的分類、識(shí)別方法及建立相關(guān)的報(bào)告程序，以便安全事件得到及時(shí)的報(bào)告和處理。程序中必須定義每個(gè)處理環(huán)節(jié)的響應(yīng)和處理時(shí)間要求，并在實(shí)際處理中嚴(yán)格執(zhí)行。 業(yè)務(wù)連續(xù)性計(jì)劃的測試、維護(hù)與再評估第321條 業(yè)務(wù)連續(xù)性演練必須每年至少進(jìn)行一次，由安全管理委員會(huì)指導(dǎo)進(jìn)行。第317條 業(yè)務(wù)影響分析的結(jié)果報(bào)告必須提交管理層進(jìn)行審批。 信息安全事件的管理和改進(jìn) 職責(zé)和程序第305條 必須建立信息安全事件處理程序，程序必須包括以下內(nèi)容：1)角色定義和職責(zé)；2)不同安全事件的處理方法及注意事項(xiàng)；3)系統(tǒng)應(yīng)急恢復(fù)措施；4)審計(jì)追蹤和證據(jù)收集要求；5)安全事件的補(bǔ)救措施和糾正預(yù)防措施。如果補(bǔ)丁不能安裝，必須采取其他的控制措施，控制措施包括但不限于：1)停止漏洞利用的相關(guān)服務(wù)或功能2)增加訪問控制阻擋漏洞或縮小漏洞的來源3)增加監(jiān)控和檢測機(jī)制4)升級防病毒代碼庫到可以查殺利用漏洞的病毒的版本5）重要系統(tǒng)必須優(yōu)先進(jìn)行漏洞處理。第282條 必須維護(hù)所有軟件更新的版本控制。從生產(chǎn)系統(tǒng)中復(fù)制的數(shù)據(jù)必須經(jīng)過處理，去掉有關(guān)財(cái)務(wù)和個(gè)人隱私的信息。第258條 系統(tǒng)在使用過程中，應(yīng)該明確定義參與數(shù)據(jù)輸出各環(huán)節(jié)所有相關(guān)人員的職責(zé)。對于軟件的安全控制要求應(yīng)該在評估之前定義好。 應(yīng)用系統(tǒng)訪問控制 信息訪問限制第233條 應(yīng)用系統(tǒng)應(yīng)該控制用戶的訪問權(quán)限，如讀寫權(quán)限、刪除權(quán)限以及執(zhí)行權(quán)限。第223條 如果由于業(yè)務(wù)要求需要使用共享用戶帳號，那么此共享帳號應(yīng)該得到正式的批準(zhǔn)并明文歸檔。第212條 應(yīng)該使用風(fēng)險(xiǎn)評估來決定每個(gè)區(qū)域的安全級別。第198條 應(yīng)遵循業(yè)務(wù)要求中所說明的訪問控制管理辦法來限制訪問。用戶一旦懷疑其帳號密碼可能受到損害，應(yīng)該及時(shí)修改密碼。第175條 必須建立授權(quán)清單，記錄和維護(hù)已分配的特權(quán)和其相對的用戶信息。第166條 訪問權(quán)限必須根據(jù)工作完成的最少需求而定，不能超過其工作實(shí)際所需的范圍。第155條 除非特別聲明，日志必須至少保存1年。第143條 在線交易信息必須保存在公司內(nèi)部的存儲(chǔ)環(huán)境，存儲(chǔ)環(huán)境不能被從Internet直接訪問。公司有權(quán)查看和監(jiān)控所有郵件。第124條 必須建立控制機(jī)制來保護(hù)利用音頻、傳真和視頻通信設(shè)備進(jìn)行交換的信息。第111條 存放在存儲(chǔ)介質(zhì)內(nèi)的絕密和機(jī)密信息必須受到妥善保護(hù)。必須明確定義網(wǎng)絡(luò)管理的職責(zé)和義務(wù)。第98條 公司內(nèi)發(fā)現(xiàn)的病毒、計(jì)算機(jī)或應(yīng)用程序的異常行為，都必須作為安全事件進(jìn)行報(bào)告。 事件管理程序第90條 必須建立事件管理程序，并根據(jù)事件影響的嚴(yán)重程度制訂其所屬類別，同時(shí)說明相應(yīng)的處理方法和負(fù)責(zé)人。第84條 變更的實(shí)施應(yīng)該安排在對業(yè)務(wù)影響最小的時(shí)間段進(jìn)行，盡量減少對業(yè)務(wù)正常運(yùn)營的影響。設(shè)備的所有維護(hù)工作都應(yīng)該記錄歸檔。通信線路和電纜必須從物理上進(jìn)行保護(hù)。第68條 所有需要進(jìn)入機(jī)房的來賓都必須提前申請。第65條 機(jī)房建設(shè)必須符合國標(biāo)GB288789《計(jì)算機(jī)場地技術(shù)條件》和GB936188《計(jì)算站場地安全要求》中的要求。 安全區(qū)域訪問控制第58條 在非辦公時(shí)間，所有進(jìn)入安全區(qū)域的入口都應(yīng)該受到控制，比如上鎖。 懲戒過程第48條 違反公司安全管理制度、標(biāo)準(zhǔn)和程序的員工將受到紀(jì)律處分。公司的所有信息處理設(shè)備（包括個(gè)人電腦）只能被使用于工作相關(guān)的活動(dòng)，不得用來炒股、玩游戲等。 7 信息資產(chǎn)與人員安全 資產(chǎn)責(zé)任 資產(chǎn)的清單第31條 應(yīng)清楚識(shí)別所有的資產(chǎn)，所有與信息相關(guān)的重要資產(chǎn)都應(yīng)該在資產(chǎn)清單中標(biāo)出，并及時(shí)維護(hù)更新。第20條 新設(shè)備在部署和使用之前，必須明確其用途和使用范圍，并獲得安全管理委員會(huì)的批準(zhǔn)。 制度發(fā)布第8條 所有制度在創(chuàng)建和更新后，必須經(jīng)過相應(yīng)管理層的審批。安全邊界：用以明確劃分安全區(qū)域，如圍墻、大廈接待處、網(wǎng)段等。系統(tǒng)容量包括CPU、內(nèi)存、硬盤存儲(chǔ)等。第5條 所有員工都受本制度的約束，各部門領(lǐng)導(dǎo)有責(zé)任確保其部門已實(shí)施足夠的安全控制措施，以保護(hù)信息安全。（八）依據(jù)本規(guī)定、安全規(guī)范、技術(shù)標(biāo)準(zhǔn)、操作手冊實(shí)施各類安全策略。 當(dāng)與客戶接觸時(shí)強(qiáng)調(diào)信息安全第29條 必須在允許客戶訪問信息或信息系統(tǒng)前識(shí)別并告知其需要遵守的安全需求。第35條 資產(chǎn)管理者的職責(zé)是：1)確定資產(chǎn)的保密等級分類和訪問管理辦法；2)定期復(fù)查資產(chǎn)的分類和訪問管理辦法。第45條 應(yīng)該至少每年向員工提供一次安全意識(shí)培訓(xùn)，其內(nèi)容包括但不限于：1)安全管理委員會(huì)下達(dá)的安全管理要求2)信息保密的責(zé)任3)一般性安全守則4)信息分類5)安全事故報(bào)告程序6)電腦病毒爆發(fā)時(shí)的應(yīng)對措施7)災(zāi)難發(fā)生時(shí)的應(yīng)對措施第46條 應(yīng)該對系統(tǒng)管理員、開發(fā)人員進(jìn)行安全技能方面的培訓(xùn)，至少每年一次。第57條 在非辦公時(shí)間內(nèi)，重要的安全區(qū)域必須安排保安定時(shí)巡視。 防范外部和環(huán)境威脅第63條 辦公場所和機(jī)房的設(shè)計(jì)和建設(shè)必須充分考慮火災(zāi)、洪水、地震、爆炸、騷亂等天災(zāi)或人為災(zāi)難，并采取額外的控制措施加以保護(hù)。 在安全區(qū)域工作第67條 員工進(jìn)入機(jī)房的訪問授權(quán)，不能超過其工作所需的范圍。設(shè)備都應(yīng)該裝有合適的漏電保險(xiǎn)絲或斷路器進(jìn)行保護(hù)。 設(shè)備維護(hù)第75條 所有生產(chǎn)設(shè)備必須有足夠的維護(hù)保障，關(guān)鍵設(shè)備必須提供7x24的現(xiàn)場維護(hù)支持。所有變更必須獲得授權(quán)和批準(zhǔn)，變更的申請和審批不得為同一個(gè)員工。開發(fā)人員不得在生產(chǎn)環(huán)境中更改編碼或操作生產(chǎn)系統(tǒng)。所有存進(jìn)計(jì)算機(jī)的信息（例如接收到的郵件、下載的文件等）都必須經(jīng)過病毒掃描。必須定期檢查和測試恢復(fù)步驟，確保它們的有效性。標(biāo)識(shí)用的代碼需要記錄并歸檔。第122條 未經(jīng)許可，公司內(nèi)部不允許安裝、使用無線通信設(shè)備。必須對Internet屏蔽郵件系統(tǒng)的內(nèi)網(wǎng)IP地址。第142條 在線交易中必須使用數(shù)字證書保護(hù)交易安全。 監(jiān)控系統(tǒng)的使用第152條 不同的信息處理設(shè)備所要求的監(jiān)控等級應(yīng)該通過風(fēng)險(xiǎn)評估來決定，必須考慮下列要素：1)系統(tǒng)的訪問；2)所有特權(quán)操作；3)未授權(quán)的訪問嘗試；4)系統(tǒng)警報(bào)或故障。第164條 對于不能進(jìn)行時(shí)鐘同步的系統(tǒng)，必須對時(shí)間進(jìn)行每月一次的檢查。如果用戶帳號連續(xù)120天沒有使用，必須禁用該帳號。此過程應(yīng)該包括但不限于：1)確認(rèn)用戶權(quán)限的有效性和合理性2)找出所有異常帳號（如長時(shí)間未使用和已離職人員的帳號等），進(jìn)行分析并采取相應(yīng)措施第186條 必須對可疑的或不明確的訪問權(quán)限進(jìn)行調(diào)查，并作為安全事故進(jìn)行報(bào)告。第195條 必須為信件收發(fā)區(qū)域以及無人看管的傳真機(jī)設(shè)置適當(dāng)?shù)谋Ｗo(hù)措施。這些記錄應(yīng)該由系統(tǒng)管理員進(jìn)行檢查以確保訪問者只執(zhí)行了被授權(quán)的活動(dòng)。如果因特殊原因不能使用實(shí)名用戶登陸，必須經(jīng)過安全管理委員會(huì)同意。 系統(tǒng)工具的使用第230條 所有系統(tǒng)工具都應(yīng)當(dāng)被識(shí)別，不必要的工具必須從生產(chǎn)系統(tǒng)中刪除。11 信息系統(tǒng)采購、開發(fā)和維護(hù)方面 系統(tǒng)安全需求 系統(tǒng)的安全需求分析與范圍第243條 在系統(tǒng)開發(fā)的整個(gè)過程（特別是在系統(tǒng)需求階段）都必須考慮安全需求，包括但不限于：1)系統(tǒng)架構(gòu)2)用戶認(rèn)證3)訪問控制和授權(quán)4)事務(wù)處理的機(jī)密性和完整性5)日志記錄功能6)系統(tǒng)配置7)法律法規(guī)和兼容性要求8)系統(tǒng)恢復(fù)第244條 在系統(tǒng)的需求和設(shè)計(jì)階段，需要對系統(tǒng)進(jìn)行安全方面的評審。應(yīng)該使用確保數(shù)據(jù)被全部處理的機(jī)制。源代碼的所有版本都必須保留，并標(biāo)識(shí)版本號，每個(gè)版本之間的差異描述要文檔化。變更在部署之前必須通過驗(yàn)收。第292條 必須建立技術(shù)漏洞的監(jiān)控機(jī)制，及時(shí)發(fā)現(xiàn)漏洞，修補(bǔ)漏洞。員工有責(zé)任報(bào)告安全漏洞。業(yè)務(wù)連續(xù)性計(jì)劃必須經(jīng)過演練測試。