【正文】 超過其工作所需的范圍。 設備都應該裝有合適的漏電保險絲或斷路器進行保護。 設備維護 第75條 所有生產(chǎn)設備必須有足夠的維護保障，關鍵設備必須提供7x24的現(xiàn)場維護支持。所有變更必須獲得授權和批準，變更的申請和審批不得為同一個員工。開發(fā)人員不得在生產(chǎn)環(huán)境中更改編碼或操作生產(chǎn)系統(tǒng)。所有存進計算機的信息（例如接收到的郵件、下載的文件等）都必須經(jīng)過病毒掃描。必須定期檢查和測試恢復步驟，確保它們的有效性。標識用的代碼需要記錄并歸檔。 第122條 未經(jīng)許可，公司內(nèi)部不允許安裝、使用無線通信設備。必須對Internet屏蔽郵件系統(tǒng)的內(nèi)網(wǎng)IP地址。 第142條 在線交易中必須使用數(shù)字證書保護交易安全。 監(jiān)控系統(tǒng)的使用 第152條 不同的信息處理設備所要求的監(jiān)控等級應該通過風險評估來決定，必須考慮下列要素： 1)系統(tǒng)的訪問； 2)所有特權操作； 3)未授權的訪問嘗試； 4)系統(tǒng)警報或故障。 第164條 對于不能進行時鐘同步的系統(tǒng)，必須對時間進行每月一次的檢查。如果用戶帳號連續(xù)120天沒有使用，必須禁用該帳號。此過程應該包括但不限于： 1)確認用戶權限的有效性和合理性 2)找出所有異常帳號（如長時間未使用和已離職人員的帳號等），進行分析并采取相應措施 第186條 必須對可疑的或不明確的訪問權限進行調(diào)查，并作為安全事故進行報告。 第195條 必須為信件收發(fā)區(qū)域以及無人看管的傳真機設臵適當?shù)谋Ｗo措施。這些記錄應該由系統(tǒng)管理員進行檢查以確保訪問者只執(zhí)行了被授權的活動。如果因特殊原因不能使用實名用戶登陸，必須經(jīng)過安全管理委員會同意。 系統(tǒng)工具的使用 第230條 所有系統(tǒng)工具都應當被識別，不必要的工具必須從生產(chǎn)系統(tǒng)中刪除。 11 信息系統(tǒng)采購、開發(fā)和維護方面 系統(tǒng)安全需求 系統(tǒng)的安全需求分析與范圍 第243條 在系統(tǒng)開發(fā)的整個過程（特別是在系統(tǒng)需求階段）都必須考慮安全需求，包括但不限于： 1)系統(tǒng)架構 2)用戶認證 3)訪問控制和授權 4)事務處理的機密性和完整性 5)日志記錄功能 6)系統(tǒng)配臵 7)法律法規(guī)和兼容性要求 8)系統(tǒng)恢復 第244條 在系統(tǒng)的需求和設計階段，需要對系統(tǒng)進行安全方面的評審。應該使用確保數(shù)據(jù)被全部處理的機制。源代碼的所有版本都必須保留，并標識版本號，每個版本之間的差異描述要文檔化。變更在部署之前必須通過驗收。 第292條 必須建立技術漏洞的監(jiān)控機制，及時發(fā)現(xiàn)漏洞，修補漏洞。員工有責任報告安全漏洞。應根據(jù)業(yè)務影響分析的結(jié)果，制定符合公司業(yè)務目標的業(yè)務連續(xù)性計劃，并通過管理層的審批。 14 附則 第325條 本制度對公司信息安全管理工作的指導是基礎和根本性的，其它所有相關制度都應與本制度保持一致。 第313條 證據(jù)的收集應該尋求法律部門、安全專家和外部相關機構的建議和幫助。 第300條 當安全事件發(fā)生時，應當成立安全事件調(diào)查組，并明確其職責；其成員應具備相應的處理技能。 第288條 所有源代碼應該進行恰當?shù)淖⑨專苑奖銠z查。 第277條 應用軟件的變更需求應該由業(yè)務部門授權的資深人員提出。必須建立程序庫統(tǒng)一保管和維護應用程序的可執(zhí)行代碼。系統(tǒng)在使用過程中，應該明確定義參與數(shù)據(jù)輸入各環(huán)節(jié)所有相關人員的職責。 第240條 遠程辦公的訪問權限必須基于最小權限的原則進行分配，授權內(nèi)容應該包括： 1)允許訪問的系統(tǒng)和服務 2)允許進行的工作 3)訪問時段 第241條 遠程辦公的訪問控制應該采用雙重認證的方式。 第228條 所有默認的密碼都應當在軟件安裝后立即更改。所有對外提供網(wǎng)絡服務的網(wǎng)絡地址必須進行地址轉(zhuǎn)換。 第207條 對遠程診斷端口的訪問，必須建立正式的注冊審批程序。 第191條 密碼不應該被保存于自動登錄過程中，例如IE中的帳號自動保存。 第184條 所有系統(tǒng)都應該建立應急帳號，應急帳號資料必須放在密封的信封內(nèi)妥善收藏，并控制好信封的存取。必須保留和維護所有用戶的注冊信息的正式用戶記錄。所有故障記錄都應該向上級匯報并記錄歸檔。 第150條 必須確保日志記錄功能在任何時候都能正常運行。身份驗證技術必須滿足業(yè)務的實際要求。包裝應該非常結(jié)實，確保介質(zhì)在運輸過程中不受到損壞。含有敏感信息的文檔應保存在安全的地方，未經(jīng)許可不得訪問。除非得到授權，否則禁止訪問外部網(wǎng)絡的服務。備份資料和相應的恢復操作手冊必須定期傳送到異地進行保存。 第三方服務的變更管理 第95條 服務改變時，必須重新對服務是否滿足安全管理辦法進行評估。無法采取職責分離時，必須采取其它的控制，比如活動監(jiān)控、審核跟蹤評估以及管理監(jiān)督等。 9 通信和操作管理方面 操作程序和職責 規(guī)范的操作程序 第80條 必須為所有的業(yè)務系統(tǒng)建立操作程序，其內(nèi)容包括但不限于： 1)系統(tǒng)重啟、備份和恢復的措施 2)一般性錯誤處理的操作指南 3)技術支持人員的聯(lián)系方法 4)與其它系統(tǒng)的依賴性和處理的優(yōu)先級 5)硬件的配臵管理 第81條 操作程序必須征得管理者的同意才能對其進行修改。應急電源開關應位于機房的緊急出口附近，以便緊急狀況發(fā)生時可以迅速切斷電源。 第71條 在機房值班人員交接時，上一班值班人員所遺留的問題以及從事的工作應明確交待給下一班，保證相關操作的延續(xù)性。 8) 緊急事件發(fā)生時必須提供緊急照明。所有安全區(qū)域和出入口必須通過閉路電視進行監(jiān)控。 第54條 在已經(jīng)確定員工或第三方終止或變更意向后，必須及時對他們的權限進行限制，只保留終止或變更所需要的權限。對于不同的保密等級，應明確說明如下信息活動的處理要求： 1)復制 2)保存和保管（以物理或電子方式） 3)傳送（以郵寄、傳真或電子郵件的方式） 4)銷毀 第42條 電子文檔和系統(tǒng)輸出的信息（打印報表和磁帶等）應帶有適當?shù)男畔⒎诸悩擞洝? 第33條 實體資產(chǎn)需要貼上適當?shù)臉撕灐? 第25條 第三方包括但不限于： 1) 硬件和軟件廠商的支持人員和其他外包商 2) 監(jiān)管機構、外部顧問、外部審計機構和合作伙伴 3) 臨時員工、實習生 4) 清潔工和保安 5) 公司的客戶 第26條 第三方對公司信息或信息系統(tǒng)的訪問類型包括但不限于： 1) 物理的訪問，例如：訪問公司機房、監(jiān)控中心等； 2) 邏輯的訪問，例如：訪問公司的數(shù)據(jù)庫、信息系統(tǒng)等； 3) 與第三方之間的網(wǎng)絡連接，例如：固定的連接、臨時的遠程連接； 第27條 第三方所有的訪問申請都必須經(jīng)過信息安全管理代表的審批，只提供其工作所須的最小權限和滿足其工作所需的最少資源，并且需要定期對第三方的訪問權限進行復查。 信息安全職責分配 第17條 信息管理部門作為信息安全管理部門，負責信息安全管理策略制定及實施，其主要職責： （一）負責全公司信息安全管理和指導； （二）牽頭制訂全公司信息安全體系規(guī)范、標準和檢查指引，參與我司信息系統(tǒng)工程建設的安全規(guī)劃； （三）組織全公司安全檢查； （四）配合全公司安全審計工作的開展； （五）牽頭組織全公司安全管理培訓； （六）負責全公司安全方案的審核和安全產(chǎn)品的選型、購臵。 5 安全制度方面 安全制度要求 本制度的詮釋 第4條 所有帶有“必須”的條款都是強制性的。主要范圍包括：人員安全、物理環(huán)境安全、資產(chǎn)識別和分類、風險管理、物理和邏輯訪問控制、系統(tǒng)操作與運行安全、網(wǎng)絡通訊安全、信息加密與解密、應急與災難恢復、軟件研發(fā)與應用安全、機密資源管理、第三方與外包安全、法律和標準的符合性、項目與工程安全控制、安全檢查與審計等。 系統(tǒng)工具：能夠更改系統(tǒng)及應用配臵的程序被定義為系統(tǒng)工具，如系統(tǒng)管理、維護工具、調(diào)試程序等。 第10條 安全管理委員會必須定期對本管理辦法進行正式的復審，并根據(jù)復審所作的修正，指導相關員工采取相應的行動。 第21條 除非獲得安全管理委員會的授權，否則不允許使用私人的信息處理設備來處理公司業(yè)務信息或使用公司資源。 2)軟件：應用軟件、系統(tǒng)軟件、開發(fā)工具以及實用工具等。 信息分類 信息分類原則 第38條 所有信息都應該根據(jù)其敏感性、重要性以及業(yè)務所要求的訪問限制進行分類和標識。紀律處分包括但不限于： 1) 通報批評 2) 警告 3) 記過 4) 解除勞動合同 5) 法律訴訟 第49條 當員工在接受可能涉及解除勞動合同和法律訴訟的違規(guī)調(diào)查時，其直接領導應暫停受調(diào)查員工的工作職務和其訪問權限，包括物理訪問、系統(tǒng)應用訪問和網(wǎng)絡訪問等。 第59條 對于設有訪問控制的安全區(qū)域，必須定期審核并及時更新其訪問權限。 2) 應該指定消防指揮員。記錄中應詳細說明來賓的姓名、進入與離開的日期與時間，申請者以及進入的原因。必須采取保護措施使設備免受電源故障或電力異常的破壞。 第76條 必須建立設備故障報告流程。變更完成后，相關的文檔（如系統(tǒng)需求文檔、設計文檔、操作手冊、用戶手冊等）必須得到更新，舊的文檔必須進行備份。 第91條 系統(tǒng)的修復必須得到系統(tǒng)管理者的批準方可執(zhí)行。一旦發(fā)現(xiàn)感染病毒，必須立刻把機器從網(wǎng)絡中斷開。 第105條 必須建立相應的控制機制，保護路由表和防火墻安全管理辦法等網(wǎng)絡參數(shù)的完整性。 第113條 備份介質(zhì)必須存儲在防火柜中。 第126條 在使用傳真機中已存儲的號碼時，傳真之前必須驗證號碼。所有對外發(fā)送的郵件都必須加上責任聲明。 公共信息 第145條 必須確保公共信息系統(tǒng)中信息的完整性，并防止非授權的修改。必須采取控制措施保護日志的完整性。 第167條 所有訪問控制必須建立相應的審批程序，以確保訪問授權的合理性和有效性。 第177條 系統(tǒng)中統(tǒng)一管理帳號密碼的模塊保存的密碼必須是加密的。用戶必須至少每半年修改一次密碼。 外部連接的用戶認證 第200條 對公司系統(tǒng)進行遠程訪問，必須建立適當?shù)恼J證機制，采用的機制應通過風險評估來決定。 網(wǎng)絡連接的控制 第214條 公司以外的網(wǎng)絡連接，在建立連接前必須對外部的接入環(huán)境進行評估，滿足公司管理辦法后才能接入。 第225條 所有使用帳號密碼進行認證的系統(tǒng)，在帳號密碼傳送過程中，應該采用加密保護措施防止泄漏。 敏感系統(tǒng)的隔離 第235條 應當根據(jù)應用系統(tǒng)的敏感程度對系統(tǒng)進行適當?shù)母綦x保護，比如： 1)運行于指定的計算機上 2)僅與信任的應用系統(tǒng)共享資源 3）敏感系統(tǒng)的各個部分都應當以適當?shù)姆绞竭M行保護。軟件在正式使用前必須經(jīng)過安全方面的測試，測試內(nèi)容必須包括所有設計文檔中的安全要求。 第260條 加密措施的采用不但要考慮到信息存儲，也應該考慮到信息傳輸?shù)囊?。正在開發(fā)或修改的程序不應該保存在程序源代碼庫中。 操作系統(tǒng)變更的技術檢查 第283條 操作系統(tǒng)變更之前必須進行評估，以確保應用程序的完整性和控制措施不會受到破壞。12 信息安全事件的管理 報告信息安全事件和漏洞 信息安全事件報告 第295條 必須對員工明確說明需要報告的安全事件。 第307條 參與信息安全事件處理的每位成員必須清楚他們的角色和職責。 開發(fā)和實施包括信息安全的持續(xù)計劃 第318條 業(yè)務連續(xù)性計劃應該包括以下幾點： 1)識別關鍵業(yè)務流程及其從屬流程 2)流程恢復的優(yōu)先次序 3)所有的職責和緊急措施 4)恢復管理辦法 5)恢復流程 第319條 業(yè)務連續(xù)性計劃必須涵蓋所有關鍵業(yè)務流程，并且人員安全必須被優(yōu)先考慮。 第320條 每個計劃都應該有一個指定的總負責人，而且每個計劃應該清楚地說明其激活的條件以及執(zhí)行計劃中每個要素的負責人。程序中必須定義每個處理環(huán)節(jié)的響應和處理時間要求，并在實際處理中嚴格執(zhí)行。 第296條 必須制定安全事件的分類、識別方法及建立相關的報告程序，以便安全事件得到及時的報告和處理。 第284條 操作系統(tǒng)變更之后必須對業(yè)務連續(xù)性計劃作相應修正。程序源代碼必須保存在安全的環(huán)境中。 第261條 未經(jīng)安全管理委員會的同意，用戶不能安裝任何未經(jīng)授權的加密軟件。系統(tǒng)應提供只有日志審計人員可以訪問的用來查看日志記錄的審計接口。 第237條 進行移動和家庭辦公的員工，應該對其使用的設備做好物理保護，防止丟失、偷竊和破壞等。修改密碼時，系統(tǒng)必