【文章內(nèi)容簡介】 要求；2) 服務(wù)報告是否真實。 第三方服務(wù)的變更管理第95條 服務(wù)改變時，必須重新對服務(wù)是否滿足安全管理辦法進行評估。在服務(wù)變更時需要考慮：1) 服務(wù)價格的增長；2) 新的服務(wù)需求；3) 公司信息安全管理制度的變化；4) 公司在信息安全方面新的控制。 針對惡意軟件的保護措施 對惡意軟件的控制第96條 必須建立一套病毒防治體系，以便防止病毒對公司帶來的影響。所有服務(wù)器、個人電腦和筆記本電腦都應(yīng)該安裝公司規(guī)定的防病毒軟件，并及時更新防病毒軟件。所有存進計算機的信息（例如接收到的郵件、下載的文件等）都必須經(jīng)過病毒掃描。員工和第三方廠商從外界帶來的存儲介質(zhì)在使用之前必須進行病毒掃描。第97條 所有員工都應(yīng)該接受防病毒知識的培訓(xùn)和指導(dǎo)。第98條 公司內(nèi)發(fā)現(xiàn)的病毒、計算機或應(yīng)用程序的異常行為，都必須作為安全事件進行報告。第99條 必須定期審核控制惡意軟件措施的有效性。一旦發(fā)現(xiàn)感染病毒，必須立刻把機器從網(wǎng)絡(luò)中斷開。在病毒沒有被徹底清除之前，嚴禁將其重新連接到網(wǎng)絡(luò)上。 備份 信息備份第100條 所有服務(wù)器、個人電腦和筆記本電腦必須根據(jù)業(yè)務(wù)需求定期進行備份。系統(tǒng)在重大變更之前和之后必須進行備份。第101條 備份管理辦法必須獲得管理層的審批以確保符合業(yè)務(wù)需求。備份管理辦法必須至少每季度進行一次復(fù)查，以確保沒有發(fā)生未授權(quán)或意外的更改。第102條 應(yīng)該保留多于1個備份周期的備份，但重要業(yè)務(wù)信息應(yīng)至少保留3個備份周期的備份。備份資料和相應(yīng)的恢復(fù)操作手冊必須定期傳送到異地進行保存。異地必須與主站點有一定的距離，以避免受主站點的災(zāi)難波及。第103條 必須對異地保存的備份信息實施安全保護措施，其保護標準應(yīng)和主站點相一致。必須定期測試備份介質(zhì)，確保其可用性。必須定期檢查和測試恢復(fù)步驟，確保它們的有效性。備份系統(tǒng)必須進行監(jiān)控，以確保其穩(wěn)定性和可用性。 網(wǎng)絡(luò)管理 網(wǎng)絡(luò)控制第104條 網(wǎng)絡(luò)管理和操作系統(tǒng)管理的職責應(yīng)該彼此分離，并由不同的員工承擔。必須明確定義網(wǎng)絡(luò)管理的職責和義務(wù)。只有得到許可的員工才能夠使用網(wǎng)絡(luò)管理系統(tǒng)。第105條 必須建立相應(yīng)的控制機制，保護路由表和防火墻安全管理辦法等網(wǎng)絡(luò)參數(shù)的完整性。保護通過公網(wǎng)傳送敏感數(shù)據(jù)的機密性、完整性和可用性。第106條 進行網(wǎng)絡(luò)協(xié)議兼容性的評估時應(yīng)考慮將來新增網(wǎng)絡(luò)設(shè)備的要求。任何準備接進網(wǎng)絡(luò)的新設(shè)備，在進網(wǎng)前都必須通過協(xié)議兼容性的評估和安全檢查。第107條 必須對網(wǎng)絡(luò)進行監(jiān)控和管理。所有網(wǎng)絡(luò)故障都必須向上級報告。第108條 必須建立互聯(lián)網(wǎng)的訪問管理辦法。除非得到授權(quán)，否則禁止訪問外部網(wǎng)絡(luò)的服務(wù)。 介質(zhì)的管理 可移動介質(zhì)的管理第109條 可移動計算機存儲介質(zhì)（比如磁帶、光盤等）必須有適當?shù)脑L問控制。存儲介質(zhì)上必須設(shè)置標簽，以標識其類型和用途。標簽應(yīng)使用代碼，以避免直接標識存儲介質(zhì)上的內(nèi)容。標識用的代碼需要記錄并歸檔。第110條 必須建立和維護介質(zhì)清單，并對介質(zhì)的借用和歸還進行記錄。應(yīng)確保備有足夠的存儲介質(zhì)，以備使用。第111條 存放在存儲介質(zhì)內(nèi)的絕密和機密信息必須受到妥善保護。第112條 存儲介質(zhì)的存放環(huán)境必須滿足介質(zhì)要求的環(huán)境條件（比如溫度、濕度、空氣質(zhì)量等）。第113條 備份介質(zhì)必須存儲在防火柜中。應(yīng)該對介質(zhì)的壽命進行管理，在介質(zhì)壽命結(jié)束前一年，將信息拷貝到新的介質(zhì)中。 介質(zhì)的銷毀第114條 應(yīng)建立存儲介質(zhì)的報廢規(guī)范，包括但不限于：1)紙質(zhì)文檔2)語音資料及其他錄音帶3)復(fù)寫紙4)磁帶5)磁盤6)光存儲介質(zhì)第115條 所有不會被再利用的敏感文檔都必須根據(jù)定義的信息密級采取適當?shù)姆绞竭M行銷毀。第116條 所有報廢及過期的存儲介質(zhì)必須妥善銷毀。 信息處理程序第117條 介質(zhì)的信息分類，必須采用存放信息中的最高保密等級。第118條 應(yīng)根據(jù)介質(zhì)中信息的分類級別，采取相應(yīng)措施來保護介質(zhì)的輸出環(huán)境。 系統(tǒng)文檔的安全第119條 存取含有敏感信息的文檔，必須獲得相應(yīng)文檔管理者的批準。含有敏感信息的文檔應(yīng)保存在安全的地方，未經(jīng)許可不得訪問。含有敏感信息的文檔通過內(nèi)部網(wǎng)等提供訪問的，應(yīng)采用訪問控制加以保護。 信息交換 信息交換管理辦法和程序第120條 必須根據(jù)信息的類型和保密級別，定義信息在交換過程中應(yīng)遵循的安全要求。第121條 所有員工和第三方人員都必須遵守公司的信息交換管理辦法。第122條 未經(jīng)許可，公司內(nèi)部不允許安裝、使用無線通信設(shè)備。第123條 使用加密技術(shù)保護信息的保密性、完整性和真實性。敏感信息帶出公司必須獲得直接領(lǐng)導(dǎo)或信息管理者的授權(quán)。第124條 必須建立控制機制來保護利用音頻、傳真和視頻通信設(shè)備進行交換的信息。第125條 電話錄音系統(tǒng)應(yīng)該配置密碼，以防非法訪問。第126條 在使用傳真機中已存儲的號碼時，傳真之前必須驗證號碼。第127條 移動通訊設(shè)備（比如手機，PDA等）不應(yīng)存儲公司敏感信息。 交換協(xié)議第128條 跟外界進行信息和軟件交換必須簽署協(xié)議，其內(nèi)容必須包括：1)發(fā)送方和接收方的責任2)明確發(fā)送和接收的方式3)制定信息封裝和傳輸?shù)募夹g(shù)標準4)數(shù)據(jù)丟失的相關(guān)責任5)聲明信息的保密級別和保護要求6)聲明信息和軟件的所有權(quán)、版權(quán)和其他相關(guān)因素 物理介質(zhì)傳輸?shù)?29條 必須建立傳輸存儲介質(zhì)的安全標準。應(yīng)使用可靠的傳輸工具或傳遞人，授權(quán)的傳遞人必須接受適當監(jiān)管并進行其身份的檢查。應(yīng)確保敏感信息的機密性、完整性和可用性在傳輸全程中受到保護。第130條 存放介質(zhì)的容器在運輸過程前必須密封。信息分類不應(yīng)該標識在容器的外面。包裝應(yīng)該非常結(jié)實，確保介質(zhì)在運輸過程中不受到損壞。 電子消息第131條 電子化辦公系統(tǒng)必須建立相應(yīng)的管理辦法和控制機制，并闡明下列內(nèi)容：1)確定不能被共享的信息的類型或密級2)系統(tǒng)用戶的權(quán)限3)系統(tǒng)的訪問控制4)與系統(tǒng)相關(guān)的備份管理辦法第132條 除非獲得安全管理委員會的授權(quán)，否則禁止使用公司以外的電子系統(tǒng)（比如BBS、MSN、等）進行跟公司相關(guān)的活動。第133條 電子郵件內(nèi)的信息必須根據(jù)其信息分類的安全要求去處理和保護。用于連接外網(wǎng)的郵件網(wǎng)關(guān)必須安裝防病毒軟件，檢查進出的電子郵件。必須對Internet屏蔽郵件系統(tǒng)的內(nèi)網(wǎng)IP地址。第134條 員工使用公司的郵件系統(tǒng)時只能進行與業(yè)務(wù)相關(guān)的活動。所有在公司的郵件系統(tǒng)上產(chǎn)生及存儲的郵件都是公司資產(chǎn)。公司有權(quán)查看和監(jiān)控所有郵件。未經(jīng)授權(quán)，嚴禁使用公司以外的郵箱處理公司業(yè)務(wù)。所有對外發(fā)送的郵件都必須加上責任聲明。 業(yè)務(wù)信息系統(tǒng)第135條 在業(yè)務(wù)系統(tǒng)進行信息共享時，必須保證信息的完整性、可用行和保密性。必須保證重要信息在交換過程中的保密性。 電子商務(wù)服務(wù) 電子商務(wù)第136條 必須采取適當措施，保證電子交易過程的機密性、完整性和可用性。第137條 電子商務(wù)的交易必須制定相關(guān)的交易聲明，以明確注意事項和相關(guān)責任。在電子商務(wù)的協(xié)議中，必須明確欺詐行為和未能交付的責任。第138條 電子交易必須設(shè)置并維護適當?shù)脑L問控制。身份驗證技術(shù)必須滿足業(yè)務(wù)的實際要求。第139條 必須保留并維護所有電子商務(wù)交易過程中的記錄和日志。第140條 應(yīng)該使用加密、電子證書、數(shù)字簽名等技術(shù)保護電子商務(wù)安全。 在線交易第141條 必須保護在線交易信息，避免不完整的傳輸、路由錯誤、未授權(quán)的消息更改、未授權(quán)的信息信息泄漏、復(fù)制和回復(fù)。第142條 在線交易中必須使用數(shù)字證書保護交易安全。交易中必須使用加密技術(shù)對所有通信內(nèi)容加密。在線交易必須使用安全的通訊協(xié)議。第143條 在線交易信息必須保存在公司內(nèi)部的存儲環(huán)境，存儲環(huán)境不能被從Internet直接訪問。第144條 在線交易必須遵守國家、地區(qū)和行業(yè)相關(guān)的法律法規(guī)。 公共信息第145條 必須確保公共信息系統(tǒng)中信息的完整性，并防止非授權(quán)的修改。第146條 信息的發(fā)布必須遵守國家法律法規(guī)的要求。通過信息發(fā)布系統(tǒng)向內(nèi)部和公眾發(fā)布的信息都必須經(jīng)過公司相關(guān)部門的檢查和審批。信息在發(fā)布之前必須經(jīng)過核對，確認其正確性和完整性。必須對敏感信息的處理和存儲過程進行保護。 監(jiān)控 日志第147條 所有操作系統(tǒng)、應(yīng)用系統(tǒng)都必須具有并啟用日志記錄功能。第148條 日志記錄信息必須包括但不限于：1)用戶ID；2)每項操作的日期和時間（至少要精確到秒）；3)來源的標識或位置；4)成功的系統(tǒng)訪問嘗試；5)失敗或被拒絕的系統(tǒng)訪問嘗試；第149條 日志類型包括但不限于：1)應(yīng)用日志；2)系統(tǒng)日志；3)安全日志；4)操作日志；5)問題記錄。第150條 必須確保日志記錄功能在任何時候都能正常運行。應(yīng)該有機制監(jiān)控日志的容量變化，在容量耗盡之前發(fā)出報警信息。第151條 除非特別聲明，所有日志都必須被分類為“機密”。日志應(yīng)該定期復(fù)查，至少每月一次。 監(jiān)控系統(tǒng)的使用第152條 不同的信息處理設(shè)備所要求的監(jiān)控等級應(yīng)該通過風險評估來決定，必須考慮下列要素：1)系統(tǒng)的訪問；2)所有特權(quán)操作；3)未授權(quán)的訪問嘗試；4)系統(tǒng)警報或故障。第153條 應(yīng)每天定時監(jiān)控網(wǎng)絡(luò)（包括網(wǎng)絡(luò)性能和網(wǎng)絡(luò)故障），并根據(jù)產(chǎn)生的報告，對異常變化的網(wǎng)絡(luò)流量，作進一步分析，以發(fā)現(xiàn)潛在的網(wǎng)絡(luò)安全問題。 日志信息保護第154條 必須保證日志不能被修改或刪除，所有對于日志文件的訪問（如刪除、寫、讀或添加）嘗試都應(yīng)該有相應(yīng)記錄。第155條 除非特別聲明，日志必須至少保存1年。只有授權(quán)的員工才能訪問并使用日志。必須采取控制措施保護日志的完整性。 管理員和操作員日志第156條 系統(tǒng)管理員和操作員的操作必須被記錄日志。第157條 日志記錄應(yīng)包括重要的操作，例如與用戶管理相關(guān)的操作（用戶帳號的創(chuàng)建、刪除、權(quán)限設(shè)置、修改）、與財務(wù)相關(guān)的操作等。第158條 管理員和重要系統(tǒng)的操作員日志應(yīng)該至少每周復(fù)查一次。對于重要的財務(wù)系統(tǒng)和業(yè)務(wù)系統(tǒng)每天都要復(fù)查。 故障日志第159條 必須啟動故障日志功能。第160條 必須保證故障記錄的跟進處理，確保問題得到完全解決，并且其糾正措施不會帶來新的安全問題。所有故障記錄都應(yīng)該向上級匯報并記錄歸檔。第161條 故障記錄應(yīng)妥善保管，防止被損壞，必要時應(yīng)該進行備份。 時鐘同步第162條 所有系統(tǒng)應(yīng)該使用時鐘同步服務(wù)，并使用同一時鐘源。第163條 所有系統(tǒng)中的時間允許最多一分鐘的偏差。第164條 對于不能進行時鐘同步的系統(tǒng)，必須對時間進行每月一次的檢查。10 訪問控制方面 訪問控制要求 訪問控制管理辦法第165條 所有系統(tǒng)和應(yīng)用都必須有訪問控制列表，由系統(tǒng)管理者明確定義訪問控制規(guī)則、用戶和用戶組的權(quán)限以及訪問控制機制。訪問控制列表應(yīng)該進行周期性的檢查以保證授權(quán)正確。第166條 訪問權(quán)限必須根據(jù)工作完成的最少需求而定，不能超過其工作實際所需的范圍。必須按照“除非明確允許，否則一律禁止”的原則來設(shè)置訪問控制規(guī)則。第167條 所有訪問控制必須建立相應(yīng)的審批程序，以確保訪問授權(quán)的合理性和有效性。必須禁用或關(guān)閉任何具有越權(quán)訪問的功能。員工的職責發(fā)生變化或離職時，其訪問權(quán)限必須作相應(yīng)調(diào)整或撤銷。第168條 系統(tǒng)自帶的默認帳號應(yīng)該禁用或配置密碼進行保護。 用戶訪問管理 用戶注冊第169條 開放給用戶訪問的信息系統(tǒng)，必須建立正式的用戶注冊和注銷程序。第170條 所有用戶的注冊都必須通過用戶注冊程序進行申請，并得到部門領(lǐng)導(dǎo)或其委托者的批準。系統(tǒng)管理者對用戶具有最終的授權(quán)決定權(quán)。必須保留和維護所有用戶的注冊信息的正式用戶記錄。第171條 負責用戶注冊的管理員必須驗證用戶注冊和注銷請求的合法性。第172條 每