【文章內(nèi)容簡介】 設備的操作必須遵守廠商提供的操作規(guī)范。 通信線路和電纜必須從物理上進行保護。 支持設施 第 74條 支持設施能夠支持物理場所、設備等的正常運作，比如： 21 電力設施、空調(diào)、排水設施、消防設施、靜電保護設施等。 必須采取保護措施使設備免受電源故障或電力異常的破壞。 必須驗證電力供應是否滿足廠商設備對電源的要求。 每年應至少對支持設施進行一次安全檢查。 工作環(huán)境中增 加新設備時，必須對電力、空調(diào)、地板等支持設施的負荷進行審核。 必須設置后備電源，例如不間斷電源（ UPS）或發(fā)電機。對需要配備后備電源的設備裝置進行審核，確保后備電源能夠滿足這些設備的正常工作。 每年必須至少對備用電源 /進行一次測試。 應急電源開關應位于機房的緊急出口附近，以便緊急狀況發(fā)生時可以迅速切斷電源。 電纜應根據(jù)供電電壓和頻率的不同而相互隔離。 所有電纜都應帶有標簽，標簽上的編碼應記錄歸檔。 電纜應從物理上加以保護。 設備維護 第 75條 所有生產(chǎn)設備必須有足夠的維護保障，關鍵設備必須提供 7x24 的現(xiàn)場維護支持 。所有生產(chǎn)設備必須定期進行預防性維護。只有經(jīng)過批準的、受過專業(yè)培訓的工作人員才能進行維護工作。設備的所有維護工作都應該記錄歸檔。如果設備需要搬離安全區(qū)域進行修 22 理，必須獲得批準并卸載其存儲介質(zhì)。 第 76條 必須建立設備故障報告流程。對于需要進行重大維修的設備，流程還應該包含設備檢修的報告，及換用備用設備的流程。 管轄區(qū)域外設備安全 第 77條 筆記本電腦用戶必須保護好筆記本電腦的安全，防止筆記本電腦損壞或被偷竊。 第 78條 如果將設備帶出公司，設備擁有者必須親自或指定專人保護設備的安全。設備擁有者必須對設備在公司場所外的安全負責。 設備 的安全處理或再利用 第 79條 再利用或報廢之前，設備所含有的所有存儲裝置（比如硬盤等）都必須通過嚴格檢查，確保所有敏感數(shù)據(jù)和軟件已被刪除或改寫，并且不可能被恢復。應該通過風險評估來決定是否徹底銷毀、送修還是丟棄含有敏感數(shù)據(jù)的已損壞設備。 9 通信和操作管理方面 23 操作程序和職責 規(guī)范的操作程序 第 80條 必須為所有的業(yè)務系統(tǒng)建立操作程序，其內(nèi)容包括但不限于： 1)系統(tǒng)重啟、備份和恢復的措施 2)一般性錯誤處理的操作指南 3)技術支持人員的聯(lián)系方法 4)與其它系統(tǒng)的依賴性和處理的優(yōu)先級 5)硬件的配置管理 第 81條 操作程序必須征得 管理 者 的同意才能對其進行修改。操作程序必須及時更新，更新條件包括但不限于： 1)應用軟件的變更 2)硬件配置的變更 變更控制 第 82條 必須建立變更管理程序來控制系統(tǒng)的變更，所有變更都必須遵守變更管理程序的要求。程序內(nèi)容包括但不限于∶ 1)識別和記錄變更請求 2)評估變更的可行性、變更計劃和可能帶來的潛在影響 24 3)變更的測試 4)審批的流程 5)明確變更失敗的恢復計劃和責任人 6)變更的驗收 第 83條 重要變更必須制定計劃，并在測試環(huán)境下進行足夠的測試后，才能在生產(chǎn)系統(tǒng)中實施。所有變更必須包括變更失敗的應對措施和恢復計劃。所有變 更必須獲得授權(quán)和批準，變更的申請和審批不得為同一個員工。對變更需要涉及的硬件、軟件和信息等對象都應標識出來并進行相應評估。變更在實施前必須通知到相關人員。 第 84條 變更的實施應該安排在對業(yè)務影響最小的時間段進行，盡量減少對業(yè)務正常運營的影響。在生產(chǎn)系統(tǒng)安裝或更新軟件前，必須對系統(tǒng)進行備份。變更完成后，相關的文檔（如系統(tǒng)需求文檔、設計文檔、操作手冊、用戶手冊等）必須得到更新，舊的文檔必須進行備份。 第 85條 必須對變更進行復查，以確保變更沒有對原來的系統(tǒng)環(huán)境造成破壞。必須完整記錄整個變更過程，并將其妥善保管。變更的記錄應至少每 月復查一次。 職責分離 第 86條 系統(tǒng)管理員和系統(tǒng)開發(fā)人員的職責必須明確分開。同一處理過程中的重要任務不應該由同一個人來完成，以防止欺詐和誤操作的發(fā)生。 25 第 87條 所有職責分離的控制必須記錄歸檔，作為責任分工的依據(jù)。無法采取職責分離時，必須采取其它的控制，比如活動監(jiān)控、審核跟蹤評估以及管理監(jiān)督等。 開發(fā)、測試和生產(chǎn)系統(tǒng)分離 第 88條 不應給開發(fā)人員提供超過其開發(fā)所需范圍的權(quán)限。如果開發(fā)人員需要訪問生產(chǎn)系統(tǒng)，必須經(jīng)過運營人員的授權(quán)和管理。 第 89條 生產(chǎn)、測試和開發(fā)應分別使用不同的系統(tǒng)環(huán)境。開發(fā)人員不得在生產(chǎn)環(huán)境中更改編碼或操作生產(chǎn)系統(tǒng)。不 得在生產(chǎn)系統(tǒng)上擅自安裝開發(fā)工具（比如編譯程序及其他系統(tǒng)公用程序等） ， 并做好已有開發(fā)工具的訪問控制。開發(fā)和測試環(huán)境使用的測試數(shù)據(jù)不能包含有敏感信息。 事件管理程序 第 90條 必須建立事件管理程序，并根據(jù)事件影響的嚴重程度制訂其所屬類別，同時說明相應的處理方法和負責人。必須根據(jù)事件的嚴重程度，定義響應的范圍、時間和完成事件處理的時間。 第 91條 系統(tǒng)的修復必須得到系統(tǒng) 管理 者的批準方可執(zhí)行。 26 第 92條 所有事件報告必須記錄歸檔，并由部門主管或指定人員妥善保管。必須對事件的處理情況進行監(jiān)控，對超時的處理提出改進建議并跟進改進效果。 第三 方服務交付管理 服務交付 第 93條 第三方提供的服務必須滿足安全 管理 制度 的要求。第三方提供的服務必須滿足公司業(yè)務連續(xù)性的要求。 第 94條 必須保留第三方提供的服務、報告和記錄并定期評審，至少每半年一次。評審內(nèi)容應包括： 1) 服務內(nèi)容和質(zhì)量是否滿足合同要求； 2) 服務報告是否真實。 第三方服務的變更管理 第 95條 服務改變時，必須重新對服務是否滿足安全 管理辦法 進行評估。在服務變更時需要考慮： 1) 服務價格的增長； 2) 新的服務需求； 3) 公司信息安全 管理 制度 的變化； 4) 公司在信息安全方面新的控制。 27 針對惡意軟件的保護措 施 對惡意軟件的控制 第 96條 必須建立一套病毒防治體系，以便防止病毒對公司帶來的影響。所有服務器、個人電腦和筆記本電腦都應該安裝公司規(guī)定的防病毒軟件，并及時更新防病毒軟件。所有存進計算機的信息（例如接收到的郵件、下載的文件等）都必須經(jīng)過病毒掃描。員工和第三方廠商從外界帶來的存儲介質(zhì)在使用之前必須進行病毒掃描。 第 97條 所有員工都應該接受防病毒知識的培訓和指導。 第 98條 公司內(nèi)發(fā)現(xiàn)的病毒、計算機或應用程序的異常行為，都必須作為安全事件進行報告。 第 99條 必須定期審核控制惡意軟件措施的有效性。一旦發(fā)現(xiàn)感染病毒，必須立刻把機器從網(wǎng)絡中斷開。在病 毒沒有被徹底清除之前，嚴禁將其重新連接到網(wǎng)絡上。 備份 信息備份 第 100條 所有服務器、個人電腦和筆記本電腦必須根據(jù)業(yè)務需求定期進行備份。 系統(tǒng)在重大變更之前和之后必須進行備份。 第 101條 備份 管理辦法 必須獲得管理層的審批以確保符合業(yè)務需求。備份 管理辦法 必須至少每季度進行一次復查，以確保沒有發(fā)生 28 未授權(quán)或意外的更改。 第 102條 應該保留多于 1 個備份周期的備份，但重要業(yè)務信息應至少保留 3 個備份周期的備份 。 備份資料和相應的恢復操作手冊必須定期傳送到異地進行保存。異地必須與主站點有一定的距離，以避免受主站點的災難波及。 第 103條 必須對異地保存的備份 信息實施安全保護措施，其保護標準應和主站點相一致。必須定期測試備份介質(zhì)，確保其可用性。必須定期檢查和測試恢復步驟，確保它們的有效性。備份系統(tǒng)必須進行監(jiān)控，以確保其穩(wěn)定性和可用性。 網(wǎng)絡管理 網(wǎng)絡控制 第 104條 網(wǎng)絡管理和操作系統(tǒng)管理的職責應該彼此分離，并由不同的員工承擔。必須明確定義網(wǎng)絡管理的職責和義務。只有得到許可的員工才能夠使用網(wǎng)絡管理系統(tǒng)。 第 105條 必須建立相應的控制機制，保護路由表和防火墻安全管理辦法 等網(wǎng)絡參數(shù)的完整性。保護通過公網(wǎng)傳送敏感數(shù)據(jù)的機密性、完整性和可用性。 第 106條 進行網(wǎng)絡協(xié)議兼容性的評估時應考慮將來新增 網(wǎng)絡設備的要求。任何準備接進網(wǎng)絡的新設備，在進網(wǎng)前都必須通過協(xié)議兼容性的評估和安全檢查。 第 107條 必須對網(wǎng)絡進行監(jiān)控和管理。所有網(wǎng)絡故障都必須向 29 上級報告。 第 108條 必須建立互聯(lián)網(wǎng)的訪問 管理辦法 。除非得到授權(quán)，否則禁止訪問外部網(wǎng)絡的服務。 介質(zhì)的管理 可移動介質(zhì)的管理 第 109條 可移動計算機存儲介質(zhì)（比如磁帶、光盤等）必須有適當?shù)脑L問控制。存儲介質(zhì)上必須設置標簽，以標識其類型和用途。標簽應使用代碼，以避免直接標識存儲介質(zhì)上的內(nèi)容。標識用的代碼需要記錄并歸檔。 第 110條 必須建立和維護介質(zhì)清單，并對介質(zhì)的借用和歸還進行記錄。應確保備有足夠的 存儲介質(zhì)，以備使用。 第 111條 存放在存儲介質(zhì)內(nèi)的絕密和機密信息必須受到妥善保護。 第 112條 存儲介質(zhì)的存放環(huán)境必須滿足介質(zhì)要求的環(huán)境條件（比如溫度、濕度、空氣質(zhì)量等）。 第 113條 備份介質(zhì)必須存儲在防火柜中。應該對介質(zhì)的壽命進行管理，在介質(zhì)壽命結(jié)束前一年，將信息拷貝到新的介質(zhì)中。 30 介質(zhì)的銷毀 第 114條 應建立存儲介質(zhì)的報廢規(guī)范，包括但不限于： 1)紙質(zhì)文檔 2)語音資料及其他錄音帶 3)復寫紙 4)磁帶 5)磁盤 6)光存儲介質(zhì) 第 115條 所有不會被再利用的敏感文檔都必須根據(jù)定義的信息密級采取適當?shù)姆绞竭M行銷毀。 第 116條 所有報廢及過期的存儲介質(zhì)必須妥善銷毀 。 信息處理程序 第 117條 介質(zhì)的信息分類，必須采用存放信息中的最高