【文章內(nèi)容簡(jiǎn)介】 設(shè)備的操作必須遵守廠商提供的操作規(guī)范。 通信線路和電纜必須從物理上進(jìn)行保護(hù)。 支持設(shè)施 第 74條 支持設(shè)施能夠支持物理場(chǎng)所、設(shè)備等的正常運(yùn)作，比如： 21 電力設(shè)施、空調(diào)、排水設(shè)施、消防設(shè)施、靜電保護(hù)設(shè)施等。 必須采取保護(hù)措施使設(shè)備免受電源故障或電力異常的破壞。 必須驗(yàn)證電力供應(yīng)是否滿足廠商設(shè)備對(duì)電源的要求。 每年應(yīng)至少對(duì)支持設(shè)施進(jìn)行一次安全檢查。 工作環(huán)境中增 加新設(shè)備時(shí)，必須對(duì)電力、空調(diào)、地板等支持設(shè)施的負(fù)荷進(jìn)行審核。 必須設(shè)置后備電源，例如不間斷電源（ UPS）或發(fā)電機(jī)。對(duì)需要配備后備電源的設(shè)備裝置進(jìn)行審核，確保后備電源能夠滿足這些設(shè)備的正常工作。 每年必須至少對(duì)備用電源 /進(jìn)行一次測(cè)試。 應(yīng)急電源開(kāi)關(guān)應(yīng)位于機(jī)房的緊急出口附近，以便緊急狀況發(fā)生時(shí)可以迅速切斷電源。 電纜應(yīng)根據(jù)供電電壓和頻率的不同而相互隔離。 所有電纜都應(yīng)帶有標(biāo)簽，標(biāo)簽上的編碼應(yīng)記錄歸檔。 電纜應(yīng)從物理上加以保護(hù)。 設(shè)備維護(hù) 第 75條 所有生產(chǎn)設(shè)備必須有足夠的維護(hù)保障，關(guān)鍵設(shè)備必須提供 7x24 的現(xiàn)場(chǎng)維護(hù)支持 。所有生產(chǎn)設(shè)備必須定期進(jìn)行預(yù)防性維護(hù)。只有經(jīng)過(guò)批準(zhǔn)的、受過(guò)專業(yè)培訓(xùn)的工作人員才能進(jìn)行維護(hù)工作。設(shè)備的所有維護(hù)工作都應(yīng)該記錄歸檔。如果設(shè)備需要搬離安全區(qū)域進(jìn)行修 22 理，必須獲得批準(zhǔn)并卸載其存儲(chǔ)介質(zhì)。 第 76條 必須建立設(shè)備故障報(bào)告流程。對(duì)于需要進(jìn)行重大維修的設(shè)備，流程還應(yīng)該包含設(shè)備檢修的報(bào)告，及換用備用設(shè)備的流程。 管轄區(qū)域外設(shè)備安全 第 77條 筆記本電腦用戶必須保護(hù)好筆記本電腦的安全，防止筆記本電腦損壞或被偷竊。 第 78條 如果將設(shè)備帶出公司，設(shè)備擁有者必須親自或指定專人保護(hù)設(shè)備的安全。設(shè)備擁有者必須對(duì)設(shè)備在公司場(chǎng)所外的安全負(fù)責(zé)。 設(shè)備 的安全處理或再利用 第 79條 再利用或報(bào)廢之前，設(shè)備所含有的所有存儲(chǔ)裝置（比如硬盤等）都必須通過(guò)嚴(yán)格檢查，確保所有敏感數(shù)據(jù)和軟件已被刪除或改寫，并且不可能被恢復(fù)。應(yīng)該通過(guò)風(fēng)險(xiǎn)評(píng)估來(lái)決定是否徹底銷毀、送修還是丟棄含有敏感數(shù)據(jù)的已損壞設(shè)備。 9 通信和操作管理方面 23 操作程序和職責(zé) 規(guī)范的操作程序 第 80條 必須為所有的業(yè)務(wù)系統(tǒng)建立操作程序，其內(nèi)容包括但不限于： 1)系統(tǒng)重啟、備份和恢復(fù)的措施 2)一般性錯(cuò)誤處理的操作指南 3)技術(shù)支持人員的聯(lián)系方法 4)與其它系統(tǒng)的依賴性和處理的優(yōu)先級(jí) 5)硬件的配置管理 第 81條 操作程序必須征得 管理 者 的同意才能對(duì)其進(jìn)行修改。操作程序必須及時(shí)更新，更新條件包括但不限于： 1)應(yīng)用軟件的變更 2)硬件配置的變更 變更控制 第 82條 必須建立變更管理程序來(lái)控制系統(tǒng)的變更，所有變更都必須遵守變更管理程序的要求。程序內(nèi)容包括但不限于∶ 1)識(shí)別和記錄變更請(qǐng)求 2)評(píng)估變更的可行性、變更計(jì)劃和可能帶來(lái)的潛在影響 24 3)變更的測(cè)試 4)審批的流程 5)明確變更失敗的恢復(fù)計(jì)劃和責(zé)任人 6)變更的驗(yàn)收 第 83條 重要變更必須制定計(jì)劃，并在測(cè)試環(huán)境下進(jìn)行足夠的測(cè)試后，才能在生產(chǎn)系統(tǒng)中實(shí)施。所有變更必須包括變更失敗的應(yīng)對(duì)措施和恢復(fù)計(jì)劃。所有變 更必須獲得授權(quán)和批準(zhǔn)，變更的申請(qǐng)和審批不得為同一個(gè)員工。對(duì)變更需要涉及的硬件、軟件和信息等對(duì)象都應(yīng)標(biāo)識(shí)出來(lái)并進(jìn)行相應(yīng)評(píng)估。變更在實(shí)施前必須通知到相關(guān)人員。 第 84條 變更的實(shí)施應(yīng)該安排在對(duì)業(yè)務(wù)影響最小的時(shí)間段進(jìn)行，盡量減少對(duì)業(yè)務(wù)正常運(yùn)營(yíng)的影響。在生產(chǎn)系統(tǒng)安裝或更新軟件前，必須對(duì)系統(tǒng)進(jìn)行備份。變更完成后，相關(guān)的文檔（如系統(tǒng)需求文檔、設(shè)計(jì)文檔、操作手冊(cè)、用戶手冊(cè)等）必須得到更新，舊的文檔必須進(jìn)行備份。 第 85條 必須對(duì)變更進(jìn)行復(fù)查，以確保變更沒(méi)有對(duì)原來(lái)的系統(tǒng)環(huán)境造成破壞。必須完整記錄整個(gè)變更過(guò)程，并將其妥善保管。變更的記錄應(yīng)至少每 月復(fù)查一次。 職責(zé)分離 第 86條 系統(tǒng)管理員和系統(tǒng)開(kāi)發(fā)人員的職責(zé)必須明確分開(kāi)。同一處理過(guò)程中的重要任務(wù)不應(yīng)該由同一個(gè)人來(lái)完成，以防止欺詐和誤操作的發(fā)生。 25 第 87條 所有職責(zé)分離的控制必須記錄歸檔，作為責(zé)任分工的依據(jù)。無(wú)法采取職責(zé)分離時(shí)，必須采取其它的控制，比如活動(dòng)監(jiān)控、審核跟蹤評(píng)估以及管理監(jiān)督等。 開(kāi)發(fā)、測(cè)試和生產(chǎn)系統(tǒng)分離 第 88條 不應(yīng)給開(kāi)發(fā)人員提供超過(guò)其開(kāi)發(fā)所需范圍的權(quán)限。如果開(kāi)發(fā)人員需要訪問(wèn)生產(chǎn)系統(tǒng)，必須經(jīng)過(guò)運(yùn)營(yíng)人員的授權(quán)和管理。 第 89條 生產(chǎn)、測(cè)試和開(kāi)發(fā)應(yīng)分別使用不同的系統(tǒng)環(huán)境。開(kāi)發(fā)人員不得在生產(chǎn)環(huán)境中更改編碼或操作生產(chǎn)系統(tǒng)。不 得在生產(chǎn)系統(tǒng)上擅自安裝開(kāi)發(fā)工具（比如編譯程序及其他系統(tǒng)公用程序等） ， 并做好已有開(kāi)發(fā)工具的訪問(wèn)控制。開(kāi)發(fā)和測(cè)試環(huán)境使用的測(cè)試數(shù)據(jù)不能包含有敏感信息。 事件管理程序 第 90條 必須建立事件管理程序，并根據(jù)事件影響的嚴(yán)重程度制訂其所屬類別，同時(shí)說(shuō)明相應(yīng)的處理方法和負(fù)責(zé)人。必須根據(jù)事件的嚴(yán)重程度，定義響應(yīng)的范圍、時(shí)間和完成事件處理的時(shí)間。 第 91條 系統(tǒng)的修復(fù)必須得到系統(tǒng) 管理 者的批準(zhǔn)方可執(zhí)行。 26 第 92條 所有事件報(bào)告必須記錄歸檔，并由部門主管或指定人員妥善保管。必須對(duì)事件的處理情況進(jìn)行監(jiān)控，對(duì)超時(shí)的處理提出改進(jìn)建議并跟進(jìn)改進(jìn)效果。 第三 方服務(wù)交付管理 服務(wù)交付 第 93條 第三方提供的服務(wù)必須滿足安全 管理 制度 的要求。第三方提供的服務(wù)必須滿足公司業(yè)務(wù)連續(xù)性的要求。 第 94條 必須保留第三方提供的服務(wù)、報(bào)告和記錄并定期評(píng)審，至少每半年一次。評(píng)審內(nèi)容應(yīng)包括： 1) 服務(wù)內(nèi)容和質(zhì)量是否滿足合同要求； 2) 服務(wù)報(bào)告是否真實(shí)。 第三方服務(wù)的變更管理 第 95條 服務(wù)改變時(shí)，必須重新對(duì)服務(wù)是否滿足安全 管理辦法 進(jìn)行評(píng)估。在服務(wù)變更時(shí)需要考慮： 1) 服務(wù)價(jià)格的增長(zhǎng)； 2) 新的服務(wù)需求； 3) 公司信息安全 管理 制度 的變化； 4) 公司在信息安全方面新的控制。 27 針對(duì)惡意軟件的保護(hù)措 施 對(duì)惡意軟件的控制 第 96條 必須建立一套病毒防治體系，以便防止病毒對(duì)公司帶來(lái)的影響。所有服務(wù)器、個(gè)人電腦和筆記本電腦都應(yīng)該安裝公司規(guī)定的防病毒軟件，并及時(shí)更新防病毒軟件。所有存進(jìn)計(jì)算機(jī)的信息（例如接收到的郵件、下載的文件等）都必須經(jīng)過(guò)病毒掃描。員工和第三方廠商從外界帶來(lái)的存儲(chǔ)介質(zhì)在使用之前必須進(jìn)行病毒掃描。 第 97條 所有員工都應(yīng)該接受防病毒知識(shí)的培訓(xùn)和指導(dǎo)。 第 98條 公司內(nèi)發(fā)現(xiàn)的病毒、計(jì)算機(jī)或應(yīng)用程序的異常行為，都必須作為安全事件進(jìn)行報(bào)告。 第 99條 必須定期審核控制惡意軟件措施的有效性。一旦發(fā)現(xiàn)感染病毒，必須立刻把機(jī)器從網(wǎng)絡(luò)中斷開(kāi)。在病 毒沒(méi)有被徹底清除之前，嚴(yán)禁將其重新連接到網(wǎng)絡(luò)上。 備份 信息備份 第 100條 所有服務(wù)器、個(gè)人電腦和筆記本電腦必須根據(jù)業(yè)務(wù)需求定期進(jìn)行備份。 系統(tǒng)在重大變更之前和之后必須進(jìn)行備份。 第 101條 備份 管理辦法 必須獲得管理層的審批以確保符合業(yè)務(wù)需求。備份 管理辦法 必須至少每季度進(jìn)行一次復(fù)查，以確保沒(méi)有發(fā)生 28 未授權(quán)或意外的更改。 第 102條 應(yīng)該保留多于 1 個(gè)備份周期的備份，但重要業(yè)務(wù)信息應(yīng)至少保留 3 個(gè)備份周期的備份 。 備份資料和相應(yīng)的恢復(fù)操作手冊(cè)必須定期傳送到異地進(jìn)行保存。異地必須與主站點(diǎn)有一定的距離，以避免受主站點(diǎn)的災(zāi)難波及。 第 103條 必須對(duì)異地保存的備份 信息實(shí)施安全保護(hù)措施，其保護(hù)標(biāo)準(zhǔn)應(yīng)和主站點(diǎn)相一致。必須定期測(cè)試備份介質(zhì)，確保其可用性。必須定期檢查和測(cè)試恢復(fù)步驟，確保它們的有效性。備份系統(tǒng)必須進(jìn)行監(jiān)控，以確保其穩(wěn)定性和可用性。 網(wǎng)絡(luò)管理 網(wǎng)絡(luò)控制 第 104條 網(wǎng)絡(luò)管理和操作系統(tǒng)管理的職責(zé)應(yīng)該彼此分離，并由不同的員工承擔(dān)。必須明確定義網(wǎng)絡(luò)管理的職責(zé)和義務(wù)。只有得到許可的員工才能夠使用網(wǎng)絡(luò)管理系統(tǒng)。 第 105條 必須建立相應(yīng)的控制機(jī)制，保護(hù)路由表和防火墻安全管理辦法 等網(wǎng)絡(luò)參數(shù)的完整性。保護(hù)通過(guò)公網(wǎng)傳送敏感數(shù)據(jù)的機(jī)密性、完整性和可用性。 第 106條 進(jìn)行網(wǎng)絡(luò)協(xié)議兼容性的評(píng)估時(shí)應(yīng)考慮將來(lái)新增 網(wǎng)絡(luò)設(shè)備的要求。任何準(zhǔn)備接進(jìn)網(wǎng)絡(luò)的新設(shè)備，在進(jìn)網(wǎng)前都必須通過(guò)協(xié)議兼容性的評(píng)估和安全檢查。 第 107條 必須對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)控和管理。所有網(wǎng)絡(luò)故障都必須向 29 上級(jí)報(bào)告。 第 108條 必須建立互聯(lián)網(wǎng)的訪問(wèn) 管理辦法 。除非得到授權(quán)，否則禁止訪問(wèn)外部網(wǎng)絡(luò)的服務(wù)。 介質(zhì)的管理 可移動(dòng)介質(zhì)的管理 第 109條 可移動(dòng)計(jì)算機(jī)存儲(chǔ)介質(zhì)（比如磁帶、光盤等）必須有適當(dāng)?shù)脑L問(wèn)控制。存儲(chǔ)介質(zhì)上必須設(shè)置標(biāo)簽，以標(biāo)識(shí)其類型和用途。標(biāo)簽應(yīng)使用代碼，以避免直接標(biāo)識(shí)存儲(chǔ)介質(zhì)上的內(nèi)容。標(biāo)識(shí)用的代碼需要記錄并歸檔。 第 110條 必須建立和維護(hù)介質(zhì)清單，并對(duì)介質(zhì)的借用和歸還進(jìn)行記錄。應(yīng)確保備有足夠的 存儲(chǔ)介質(zhì)，以備使用。 第 111條 存放在存儲(chǔ)介質(zhì)內(nèi)的絕密和機(jī)密信息必須受到妥善保護(hù)。 第 112條 存儲(chǔ)介質(zhì)的存放環(huán)境必須滿足介質(zhì)要求的環(huán)境條件（比如溫度、濕度、空氣質(zhì)量等）。 第 113條 備份介質(zhì)必須存儲(chǔ)在防火柜中。應(yīng)該對(duì)介質(zhì)的壽命進(jìn)行管理，在介質(zhì)壽命結(jié)束前一年，將信息拷貝到新的介質(zhì)中。 30 介質(zhì)的銷毀 第 114條 應(yīng)建立存儲(chǔ)介質(zhì)的報(bào)廢規(guī)范，包括但不限于： 1)紙質(zhì)文檔 2)語(yǔ)音資料及其他錄音帶 3)復(fù)寫紙 4)磁帶 5)磁盤 6)光存儲(chǔ)介質(zhì) 第 115條 所有不會(huì)被再利用的敏感文檔都必須根據(jù)定義的信息密級(jí)采取適當(dāng)?shù)姆绞竭M(jìn)行銷毀。 第 116條 所有報(bào)廢及過(guò)期的存儲(chǔ)介質(zhì)必須妥善銷毀 。 信息處理程序 第 117條 介質(zhì)的信息分類，必須采用存放信息中的最高