【正文】 超過其工作所需的范圍。 設(shè)備都應(yīng)該裝有合適的漏電保險(xiǎn)絲或斷路器進(jìn)行保護(hù)。 設(shè)備維護(hù) 第75條 所有生產(chǎn)設(shè)備必須有足夠的維護(hù)保障，關(guān)鍵設(shè)備必須提供7x24的現(xiàn)場(chǎng)維護(hù)支持。所有變更必須獲得授權(quán)和批準(zhǔn)，變更的申請(qǐng)和審批不得為同一個(gè)員工。開發(fā)人員不得在生產(chǎn)環(huán)境中更改編碼或操作生產(chǎn)系統(tǒng)。所有存進(jìn)計(jì)算機(jī)的信息（例如接收到的郵件、下載的文件等）都必須經(jīng)過病毒掃描。必須定期檢查和測(cè)試恢復(fù)步驟，確保它們的有效性。標(biāo)識(shí)用的代碼需要記錄并歸檔。 第122條 未經(jīng)許可，公司內(nèi)部不允許安裝、使用無線通信設(shè)備。必須對(duì)Internet屏蔽郵件系統(tǒng)的內(nèi)網(wǎng)IP地址。 第142條 在線交易中必須使用數(shù)字證書保護(hù)交易安全。 監(jiān)控系統(tǒng)的使用 第152條 不同的信息處理設(shè)備所要求的監(jiān)控等級(jí)應(yīng)該通過風(fēng)險(xiǎn)評(píng)估來決定，必須考慮下列要素： 1)系統(tǒng)的訪問； 2)所有特權(quán)操作； 3)未授權(quán)的訪問嘗試； 4)系統(tǒng)警報(bào)或故障。 第164條 對(duì)于不能進(jìn)行時(shí)鐘同步的系統(tǒng)，必須對(duì)時(shí)間進(jìn)行每月一次的檢查。如果用戶帳號(hào)連續(xù)120天沒有使用，必須禁用該帳號(hào)。此過程應(yīng)該包括但不限于： 1)確認(rèn)用戶權(quán)限的有效性和合理性 2)找出所有異常帳號(hào)（如長(zhǎng)時(shí)間未使用和已離職人員的帳號(hào)等），進(jìn)行分析并采取相應(yīng)措施 第186條 必須對(duì)可疑的或不明確的訪問權(quán)限進(jìn)行調(diào)查，并作為安全事故進(jìn)行報(bào)告。 第195條 必須為信件收發(fā)區(qū)域以及無人看管的傳真機(jī)設(shè)臵適當(dāng)?shù)谋Ｗo(hù)措施。這些記錄應(yīng)該由系統(tǒng)管理員進(jìn)行檢查以確保訪問者只執(zhí)行了被授權(quán)的活動(dòng)。如果因特殊原因不能使用實(shí)名用戶登陸，必須經(jīng)過安全管理委員會(huì)同意。 系統(tǒng)工具的使用 第230條 所有系統(tǒng)工具都應(yīng)當(dāng)被識(shí)別，不必要的工具必須從生產(chǎn)系統(tǒng)中刪除。 11 信息系統(tǒng)采購(gòu)、開發(fā)和維護(hù)方面 系統(tǒng)安全需求 系統(tǒng)的安全需求分析與范圍 第243條 在系統(tǒng)開發(fā)的整個(gè)過程（特別是在系統(tǒng)需求階段）都必須考慮安全需求，包括但不限于： 1)系統(tǒng)架構(gòu) 2)用戶認(rèn)證 3)訪問控制和授權(quán) 4)事務(wù)處理的機(jī)密性和完整性 5)日志記錄功能 6)系統(tǒng)配臵 7)法律法規(guī)和兼容性要求 8)系統(tǒng)恢復(fù) 第244條 在系統(tǒng)的需求和設(shè)計(jì)階段，需要對(duì)系統(tǒng)進(jìn)行安全方面的評(píng)審。應(yīng)該使用確保數(shù)據(jù)被全部處理的機(jī)制。源代碼的所有版本都必須保留，并標(biāo)識(shí)版本號(hào)，每個(gè)版本之間的差異描述要文檔化。變更在部署之前必須通過驗(yàn)收。 第292條 必須建立技術(shù)漏洞的監(jiān)控機(jī)制，及時(shí)發(fā)現(xiàn)漏洞，修補(bǔ)漏洞。員工有責(zé)任報(bào)告安全漏洞。應(yīng)根據(jù)業(yè)務(wù)影響分析的結(jié)果，制定符合公司業(yè)務(wù)目標(biāo)的業(yè)務(wù)連續(xù)性計(jì)劃，并通過管理層的審批。 14 附則 第325條 本制度對(duì)公司信息安全管理工作的指導(dǎo)是基礎(chǔ)和根本性的，其它所有相關(guān)制度都應(yīng)與本制度保持一致。 第313條 證據(jù)的收集應(yīng)該尋求法律部門、安全專家和外部相關(guān)機(jī)構(gòu)的建議和幫助。 第300條 當(dāng)安全事件發(fā)生時(shí)，應(yīng)當(dāng)成立安全事件調(diào)查組，并明確其職責(zé)；其成員應(yīng)具備相應(yīng)的處理技能。 第288條 所有源代碼應(yīng)該進(jìn)行恰當(dāng)?shù)淖⑨專苑奖銠z查。 第277條 應(yīng)用軟件的變更需求應(yīng)該由業(yè)務(wù)部門授權(quán)的資深人員提出。必須建立程序庫(kù)統(tǒng)一保管和維護(hù)應(yīng)用程序的可執(zhí)行代碼。系統(tǒng)在使用過程中，應(yīng)該明確定義參與數(shù)據(jù)輸入各環(huán)節(jié)所有相關(guān)人員的職責(zé)。 第240條 遠(yuǎn)程辦公的訪問權(quán)限必須基于最小權(quán)限的原則進(jìn)行分配，授權(quán)內(nèi)容應(yīng)該包括： 1)允許訪問的系統(tǒng)和服務(wù) 2)允許進(jìn)行的工作 3)訪問時(shí)段 第241條 遠(yuǎn)程辦公的訪問控制應(yīng)該采用雙重認(rèn)證的方式。 第228條 所有默認(rèn)的密碼都應(yīng)當(dāng)在軟件安裝后立即更改。所有對(duì)外提供網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)地址必須進(jìn)行地址轉(zhuǎn)換。 第207條 對(duì)遠(yuǎn)程診斷端口的訪問，必須建立正式的注冊(cè)審批程序。 第191條 密碼不應(yīng)該被保存于自動(dòng)登錄過程中，例如IE中的帳號(hào)自動(dòng)保存。 第184條 所有系統(tǒng)都應(yīng)該建立應(yīng)急帳號(hào)，應(yīng)急帳號(hào)資料必須放在密封的信封內(nèi)妥善收藏，并控制好信封的存取。必須保留和維護(hù)所有用戶的注冊(cè)信息的正式用戶記錄。所有故障記錄都應(yīng)該向上級(jí)匯報(bào)并記錄歸檔。 第150條 必須確保日志記錄功能在任何時(shí)候都能正常運(yùn)行。身份驗(yàn)證技術(shù)必須滿足業(yè)務(wù)的實(shí)際要求。包裝應(yīng)該非常結(jié)實(shí)，確保介質(zhì)在運(yùn)輸過程中不受到損壞。含有敏感信息的文檔應(yīng)保存在安全的地方，未經(jīng)許可不得訪問。除非得到授權(quán)，否則禁止訪問外部網(wǎng)絡(luò)的服務(wù)。備份資料和相應(yīng)的恢復(fù)操作手冊(cè)必須定期傳送到異地進(jìn)行保存。 第三方服務(wù)的變更管理 第95條 服務(wù)改變時(shí)，必須重新對(duì)服務(wù)是否滿足安全管理辦法進(jìn)行評(píng)估。無法采取職責(zé)分離時(shí)，必須采取其它的控制，比如活動(dòng)監(jiān)控、審核跟蹤評(píng)估以及管理監(jiān)督等。 9 通信和操作管理方面 操作程序和職責(zé) 規(guī)范的操作程序 第80條 必須為所有的業(yè)務(wù)系統(tǒng)建立操作程序，其內(nèi)容包括但不限于： 1)系統(tǒng)重啟、備份和恢復(fù)的措施 2)一般性錯(cuò)誤處理的操作指南 3)技術(shù)支持人員的聯(lián)系方法 4)與其它系統(tǒng)的依賴性和處理的優(yōu)先級(jí) 5)硬件的配臵管理 第81條 操作程序必須征得管理者的同意才能對(duì)其進(jìn)行修改。應(yīng)急電源開關(guān)應(yīng)位于機(jī)房的緊急出口附近，以便緊急狀況發(fā)生時(shí)可以迅速切斷電源。 第71條 在機(jī)房值班人員交接時(shí)，上一班值班人員所遺留的問題以及從事的工作應(yīng)明確交待給下一班，保證相關(guān)操作的延續(xù)性。 8) 緊急事件發(fā)生時(shí)必須提供緊急照明。所有安全區(qū)域和出入口必須通過閉路電視進(jìn)行監(jiān)控。 第54條 在已經(jīng)確定員工或第三方終止或變更意向后，必須及時(shí)對(duì)他們的權(quán)限進(jìn)行限制，只保留終止或變更所需要的權(quán)限。對(duì)于不同的保密等級(jí)，應(yīng)明確說明如下信息活動(dòng)的處理要求： 1)復(fù)制 2)保存和保管（以物理或電子方式） 3)傳送（以郵寄、傳真或電子郵件的方式） 4)銷毀 第42條 電子文檔和系統(tǒng)輸出的信息（打印報(bào)表和磁帶等）應(yīng)帶有適當(dāng)?shù)男畔⒎诸悩?biāo)記。 第33條 實(shí)體資產(chǎn)需要貼上適當(dāng)?shù)臉?biāo)簽。 第25條 第三方包括但不限于： 1) 硬件和軟件廠商的支持人員和其他外包商 2) 監(jiān)管機(jī)構(gòu)、外部顧問、外部審計(jì)機(jī)構(gòu)和合作伙伴 3) 臨時(shí)員工、實(shí)習(xí)生 4) 清潔工和保安 5) 公司的客戶 第26條 第三方對(duì)公司信息或信息系統(tǒng)的訪問類型包括但不限于： 1) 物理的訪問，例如：訪問公司機(jī)房、監(jiān)控中心等； 2) 邏輯的訪問，例如：訪問公司的數(shù)據(jù)庫(kù)、信息系統(tǒng)等； 3) 與第三方之間的網(wǎng)絡(luò)連接，例如：固定的連接、臨時(shí)的遠(yuǎn)程連接； 第27條 第三方所有的訪問申請(qǐng)都必須經(jīng)過信息安全管理代表的審批，只提供其工作所須的最小權(quán)限和滿足其工作所需的最少資源，并且需要定期對(duì)第三方的訪問權(quán)限進(jìn)行復(fù)查。 信息安全職責(zé)分配 第17條 信息管理部門作為信息安全管理部門，負(fù)責(zé)信息安全管理策略制定及實(shí)施，其主要職責(zé)： （一）負(fù)責(zé)全公司信息安全管理和指導(dǎo)； （二）牽頭制訂全公司信息安全體系規(guī)范、標(biāo)準(zhǔn)和檢查指引，參與我司信息系統(tǒng)工程建設(shè)的安全規(guī)劃； （三）組織全公司安全檢查； （四）配合全公司安全審計(jì)工作的開展； （五）牽頭組織全公司安全管理培訓(xùn)； （六）負(fù)責(zé)全公司安全方案的審核和安全產(chǎn)品的選型、購(gòu)臵。 5 安全制度方面 安全制度要求 本制度的詮釋 第4條 所有帶有“必須”的條款都是強(qiáng)制性的。主要范圍包括：人員安全、物理環(huán)境安全、資產(chǎn)識(shí)別和分類、風(fēng)險(xiǎn)管理、物理和邏輯訪問控制、系統(tǒng)操作與運(yùn)行安全、網(wǎng)絡(luò)通訊安全、信息加密與解密、應(yīng)急與災(zāi)難恢復(fù)、軟件研發(fā)與應(yīng)用安全、機(jī)密資源管理、第三方與外包安全、法律和標(biāo)準(zhǔn)的符合性、項(xiàng)目與工程安全控制、安全檢查與審計(jì)等。 系統(tǒng)工具：能夠更改系統(tǒng)及應(yīng)用配臵的程序被定義為系統(tǒng)工具，如系統(tǒng)管理、維護(hù)工具、調(diào)試程序等。 第10條 安全管理委員會(huì)必須定期對(duì)本管理辦法進(jìn)行正式的復(fù)審，并根據(jù)復(fù)審所作的修正，指導(dǎo)相關(guān)員工采取相應(yīng)的行動(dòng)。 第21條 除非獲得安全管理委員會(huì)的授權(quán)，否則不允許使用私人的信息處理設(shè)備來處理公司業(yè)務(wù)信息或使用公司資源。 2)軟件：應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具以及實(shí)用工具等。 信息分類 信息分類原則 第38條 所有信息都應(yīng)該根據(jù)其敏感性、重要性以及業(yè)務(wù)所要求的訪問限制進(jìn)行分類和標(biāo)識(shí)。紀(jì)律處分包括但不限于： 1) 通報(bào)批評(píng) 2) 警告 3) 記過 4) 解除勞動(dòng)合同 5) 法律訴訟 第49條 當(dāng)員工在接受可能涉及解除勞動(dòng)合同和法律訴訟的違規(guī)調(diào)查時(shí)，其直接領(lǐng)導(dǎo)應(yīng)暫停受調(diào)查員工的工作職務(wù)和其訪問權(quán)限，包括物理訪問、系統(tǒng)應(yīng)用訪問和網(wǎng)絡(luò)訪問等。 第59條 對(duì)于設(shè)有訪問控制的安全區(qū)域，必須定期審核并及時(shí)更新其訪問權(quán)限。 2) 應(yīng)該指定消防指揮員。記錄中應(yīng)詳細(xì)說明來賓的姓名、進(jìn)入與離開的日期與時(shí)間，申請(qǐng)者以及進(jìn)入的原因。必須采取保護(hù)措施使設(shè)備免受電源故障或電力異常的破壞。 第76條 必須建立設(shè)備故障報(bào)告流程。變更完成后，相關(guān)的文檔（如系統(tǒng)需求文檔、設(shè)計(jì)文檔、操作手冊(cè)、用戶手冊(cè)等）必須得到更新，舊的文檔必須進(jìn)行備份。 第91條 系統(tǒng)的修復(fù)必須得到系統(tǒng)管理者的批準(zhǔn)方可執(zhí)行。一旦發(fā)現(xiàn)感染病毒，必須立刻把機(jī)器從網(wǎng)絡(luò)中斷開。 第105條 必須建立相應(yīng)的控制機(jī)制，保護(hù)路由表和防火墻安全管理辦法等網(wǎng)絡(luò)參數(shù)的完整性。 第113條 備份介質(zhì)必須存儲(chǔ)在防火柜中。 第126條 在使用傳真機(jī)中已存儲(chǔ)的號(hào)碼時(shí)，傳真之前必須驗(yàn)證號(hào)碼。所有對(duì)外發(fā)送的郵件都必須加上責(zé)任聲明。 公共信息 第145條 必須確保公共信息系統(tǒng)中信息的完整性，并防止非授權(quán)的修改。必須采取控制措施保護(hù)日志的完整性。 第167條 所有訪問控制必須建立相應(yīng)的審批程序，以確保訪問授權(quán)的合理性和有效性。 第177條 系統(tǒng)中統(tǒng)一管理帳號(hào)密碼的模塊保存的密碼必須是加密的。用戶必須至少每半年修改一次密碼。 外部連接的用戶認(rèn)證 第200條 對(duì)公司系統(tǒng)進(jìn)行遠(yuǎn)程訪問，必須建立適當(dāng)?shù)恼J(rèn)證機(jī)制，采用的機(jī)制應(yīng)通過風(fēng)險(xiǎn)評(píng)估來決定。 網(wǎng)絡(luò)連接的控制 第214條 公司以外的網(wǎng)絡(luò)連接，在建立連接前必須對(duì)外部的接入環(huán)境進(jìn)行評(píng)估，滿足公司管理辦法后才能接入。 第225條 所有使用帳號(hào)密碼進(jìn)行認(rèn)證的系統(tǒng)，在帳號(hào)密碼傳送過程中，應(yīng)該采用加密保護(hù)措施防止泄漏。 敏感系統(tǒng)的隔離 第235條 應(yīng)當(dāng)根據(jù)應(yīng)用系統(tǒng)的敏感程度對(duì)系統(tǒng)進(jìn)行適當(dāng)?shù)母綦x保護(hù)，比如： 1)運(yùn)行于指定的計(jì)算機(jī)上 2)僅與信任的應(yīng)用系統(tǒng)共享資源 3）敏感系統(tǒng)的各個(gè)部分都應(yīng)當(dāng)以適當(dāng)?shù)姆绞竭M(jìn)行保護(hù)。軟件在正式使用前必須經(jīng)過安全方面的測(cè)試，測(cè)試內(nèi)容必須包括所有設(shè)計(jì)文檔中的安全要求。 第260條 加密措施的采用不但要考慮到信息存儲(chǔ)，也應(yīng)該考慮到信息傳輸?shù)囊蟆Ｕ陂_發(fā)或修改的程序不應(yīng)該保存在程序源代碼庫(kù)中。 操作系統(tǒng)變更的技術(shù)檢查 第283條 操作系統(tǒng)變更之前必須進(jìn)行評(píng)估，以確保應(yīng)用程序的完整性和控制措施不會(huì)受到破壞。12 信息安全事件的管理 報(bào)告信息安全事件和漏洞 信息安全事件報(bào)告 第295條 必須對(duì)員工明確說明需要報(bào)告的安全事件。 第307條 參與信息安全事件處理的每位成員必須清楚他們的角色和職責(zé)。 開發(fā)和實(shí)施包括信息安全的持續(xù)計(jì)劃 第318條 業(yè)務(wù)連續(xù)性計(jì)劃應(yīng)該包括以下幾點(diǎn)： 1)識(shí)別關(guān)鍵業(yè)務(wù)流程及其從屬流程 2)流程恢復(fù)的優(yōu)先次序 3)所有的職責(zé)和緊急措施 4)恢復(fù)管理辦法 5)恢復(fù)流程 第319條 業(yè)務(wù)連續(xù)性計(jì)劃必須涵蓋所有關(guān)鍵業(yè)務(wù)流程，并且人員安全必須被優(yōu)先考慮。 第320條 每個(gè)計(jì)劃都應(yīng)該有一個(gè)指定的總負(fù)責(zé)人，而且每個(gè)計(jì)劃應(yīng)該清楚地說明其激活的條件以及執(zhí)行計(jì)劃中每個(gè)要素的負(fù)責(zé)人。程序中必須定義每個(gè)處理環(huán)節(jié)的響應(yīng)和處理時(shí)間要求，并在實(shí)際處理中嚴(yán)格執(zhí)行。 第296條 必須制定安全事件的分類、識(shí)別方法及建立相關(guān)的報(bào)告程序，以便安全事件得到及時(shí)的報(bào)告和處理。 第284條 操作系統(tǒng)變更之后必須對(duì)業(yè)務(wù)連續(xù)性計(jì)劃作相應(yīng)修正。程序源代碼必須保存在安全的環(huán)境中。 第261條 未經(jīng)安全管理委員會(huì)的同意，用戶不能安裝任何未經(jīng)授權(quán)的加密軟件。系統(tǒng)應(yīng)提供只有日志審計(jì)人員可以訪問的用來查看日志記錄的審計(jì)接口。 第237條 進(jìn)行移動(dòng)和家庭辦公的員工，應(yīng)該對(duì)其使用的設(shè)備做好物理保護(hù)，防止丟失、偷竊和破壞等。修改密碼時(shí)，系統(tǒng)必