【文章內(nèi)容簡介】 2） 系統(tǒng)管理員密碼須符合服務(wù)器安全控制的密碼安全規(guī)定；3） 管理人員不得向任何非授權(quán)人員泄露網(wǎng)絡(luò)設(shè)備的管理員帳號及密碼。11. 信息交流控制措施1) 信息交流方式包括數(shù)據(jù)交流、電子郵件、電話、紙質(zhì)文件、談話、錄音、 會議、傳真、短信、IM工具等；2) 可交流的信息，須符合《信息資產(chǎn)分類分級管理制度》里的密級規(guī)定。3) 公司使用的信息交流設(shè)施在安全性上應(yīng)符合國家信息安全相關(guān)法律法規(guī)、上級主管機(jī)關(guān)以及本公司安全管理規(guī)定的要求；4) 不能在公共場所或者敞開的辦公室、沒有屋頂防護(hù)的會議室談?wù)摍C(jī)密信息；5) 對信息交流應(yīng)作適當(dāng)?shù)姆婪?，如不要暴露敏感信息，避免被通過電話偷聽或截??；6) 員工、合作方以及任何其他用戶不得損害公司的利益，如誹謗、騷擾、假冒、未經(jīng)授權(quán)的采購等；7) 不得將敏感或關(guān)鍵信息放在打印設(shè)施上，如復(fù)印機(jī)、打印機(jī)和傳真，防止未經(jīng)授權(quán)人員的訪問；8) 在使用電子通信設(shè)施進(jìn)行信息交流時(shí)，所考慮的控制包括： l 防止交流的信息被截取、備份、修改、誤傳以及破壞； l 保護(hù)以附件形式傳輸?shù)碾娮有畔⒌某绦颍?l 有業(yè)務(wù)信件和消息的保持和處置原則，要符合相關(guān)的國家或地方法規(guī)；9) 使用傳真的人員注意下列問題：l 未經(jīng)授權(quán)對內(nèi)部存儲的信息進(jìn)行訪問，獲取信息；l 故意的或無意的程序設(shè)定，向特定的號碼發(fā)送信息； l 向錯(cuò)誤的號碼發(fā)送文件和信息，或者撥號錯(cuò)誤或者使用的存儲在機(jī)器中的號碼是錯(cuò)誤的。12. 遠(yuǎn)程訪問管理1) 凡是接入公司的遠(yuǎn)程用戶的訪問必須通過VPN并經(jīng)過認(rèn)證方可接入。2) 認(rèn)證用戶必須使用8位以上復(fù)雜密碼。3) 任何遠(yuǎn)程接入用戶不得將自己的用戶名、密碼提供給任何人，包括同事，家人。4) 所有遠(yuǎn)程接入用戶的客戶端或個(gè)人電腦必須安裝防病毒軟件并且病毒庫升級到最新。遠(yuǎn)程接入用戶的操作必須要經(jīng)過接入設(shè)備的審計(jì)。應(yīng)記錄相關(guān)日志，對用戶行為監(jiān)控。13. 無線網(wǎng)絡(luò)訪問管理1） 行政部應(yīng)協(xié)同系統(tǒng)服務(wù)部對無線網(wǎng)絡(luò)進(jìn)行授權(quán)管理；對需要使用無線網(wǎng)絡(luò)的設(shè)備，通過綁定其MAC地址授權(quán)訪問，其他人員不允許通過公司無線網(wǎng)絡(luò)上網(wǎng)。2） 如有已授權(quán)訪問的設(shè)備，取消授權(quán)，應(yīng)即時(shí)對其MAC地址解綁。14. 筆記本使用及安全配置規(guī)定1) 筆記本電腦設(shè)備必須有嚴(yán)格的口令訪問控制措施，口令設(shè)置需滿足公司安全策略要求。2) 對無人看守的筆記本電腦設(shè)備必須實(shí)施物理保護(hù)，必須放在帶鎖的辦公室、抽屜或文件柜里。3) 重要業(yè)務(wù)筆記本電腦設(shè)備丟失或被竊后應(yīng)及時(shí)報(bào)告給部門經(jīng)理和行政部。4) 凡帶出公司使用而遺失、被偷盜等均由個(gè)人負(fù)全責(zé)賠償。5) 除自然損壞外，凡人為損壞（如撞壞、跌壞、電源插錯(cuò)燒壞等）由本人負(fù)責(zé)修好，費(fèi)用由個(gè)人承擔(dān)。6) 筆記本電腦中除工作所需的軟件外，不得安裝與工作無關(guān)的軟件。7) 授權(quán)使用的筆記本電腦設(shè)備必須安裝公司要求的防病毒軟件。8) 各部門對筆記本電腦設(shè)備定期進(jìn)行一次病毒軟件和操作系統(tǒng)補(bǔ)丁自檢，行政部進(jìn)行不定期抽查。9) 筆記本電腦外出時(shí)禁止托運(yùn)，必須隨身攜帶。10) 筆記本電腦上的重要資料應(yīng)即時(shí)做好備份，防止意外丟失。備份的設(shè)備或介質(zhì)應(yīng)符合《信息資產(chǎn)分類分級管理制度》中的保護(hù)要求。15. 外部人員使用筆記本的規(guī)定1) 出于安全考慮，一般不予考慮來訪人員接入公司內(nèi)部網(wǎng)絡(luò)。16. 服務(wù)器安全控制 引用文件：《訊鳥服務(wù)器安全管理規(guī)范》17. 實(shí)施策略1) 訪問控制制度涉及的包括《重要服務(wù)器應(yīng)用系統(tǒng)清單》《重要應(yīng)用系統(tǒng)權(quán)限評審表》。2) 用戶申請權(quán)限時(shí)，填寫相關(guān)系統(tǒng)的申請表。3) 每季度評審并填寫《重要應(yīng)用系統(tǒng)權(quán)限評審表》。18. 相關(guān)記錄序號記錄名稱保存期限保存形式備注1重要服務(wù)器應(yīng)用系統(tǒng)清單三年電子2重要應(yīng)用系統(tǒng)權(quán)限評審表三年電子文檔編號（由總裁辦填寫）密級內(nèi)部公開 文檔發(fā)布級別公司級文檔發(fā)布及實(shí)行范圍全員制度試行日期（可選）制度執(zhí)行日期文檔起草人簽字： 日期：文檔修訂人簽字：日期：修訂說明合并網(wǎng)絡(luò)、網(wǎng)絡(luò)服務(wù)。增加了通過VPN訪問描述，增強(qiáng)了控制策略。備注：文檔負(fù)責(zé)人：簽字：日期：文檔審批信息安全管理者代表簽字： 日期：文檔審批人簽字： 日期：五、密碼控制管理制度1. 目的和范圍為確保安全成為所開發(fā)的信息系統(tǒng)一個(gè)有機(jī)組成部分，保證開發(fā)過程安全，特制定本制度。適用于本公司所有信息系統(tǒng)的開發(fā)活動，信息系統(tǒng)內(nèi)在安全性的管理。本制度作為軟件開發(fā)項(xiàng)目管理規(guī)定的補(bǔ)充，而不是作為軟件開發(fā)項(xiàng)目管理的整體規(guī)范。2. 引用文件1) 下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。2) GB/T 220802016/ISO/IEC 27001:2013 信息技術(shù)安全技術(shù)信息安全管理體系要求3) GB/T 220812016/ISO/IEC 27002:2013 信息技術(shù)安全技術(shù)信息安全管理實(shí)施細(xì)則3. 職責(zé)和權(quán)限開發(fā)部門：確保適當(dāng)和有效地使用密碼技術(shù)以保護(hù)信息的保密性、真實(shí)性和（或）完整性。4. 密碼控制1) 控制描述應(yīng)開發(fā)和實(shí)施使用密碼控制措施來保護(hù)信息的策略。2) 實(shí)施指南制定密碼策略時(shí)，應(yīng)考慮下列（但不僅限于）內(nèi)容：l 組織間使用密碼控制的管理方法，包括保護(hù)業(yè)務(wù)信息的一般原則；l 使用加密技術(shù)保護(hù)通過可移動介質(zhì)、設(shè)備或者通過通信線路傳輸?shù)拿舾行畔ⅲ籰 基于風(fēng)險(xiǎn)評估，應(yīng)確定需要的保護(hù)級別，并考慮需要的加密算法的類型、強(qiáng)度和質(zhì)量；l 加密可能帶來不利影響。由于某些控制措施依賴于內(nèi)容檢查（例如病毒檢測等），要求數(shù)據(jù)處于未加密狀態(tài)。 3) 用戶口令管理a. 初始密碼在創(chuàng)建用戶時(shí)設(shè)定，初次登錄時(shí)操作系統(tǒng)或者管理員必須強(qiáng)制修改密碼，不能使用缺省設(shè)置的密碼。初始密碼樣本：orient11b. 用戶忘記口令時(shí)，管理員必須在對該用戶進(jìn)行適當(dāng)?shù)纳矸葑R別后才能向其提供臨時(shí)口令。c. 在向用戶提供臨時(shí)口令時(shí)，必須采用加密或其他安全傳輸途徑，以確保初始密碼不會被中途截取。d. 不允許在計(jì)算機(jī)系統(tǒng)上以無保護(hù)的形式存儲口令。e. 對于泄漏口令造成的損失，由用戶本人負(fù)責(zé)。f. 不準(zhǔn)與其他人互相借用各類工作賬號。g. 測試環(huán)境的賬號與生產(chǎn)環(huán)境的賬號使用不同的口令。 4) 口令的使用a. 用戶應(yīng)保證口令安全，不得向其他任何人泄漏。b. 應(yīng)避免在紙上記錄口令，或以明文方式記錄計(jì)算機(jī)內(nèi)。c. 一旦有跡象表明系統(tǒng)或口令可能遭到破壞時(shí)，應(yīng)立即更改口令。d. 口令的選擇應(yīng)參考以下規(guī)則：l 最少要有8個(gè)字符，且為數(shù)字和字母組合。l 密碼不可包含用戶帳號名稱的全部或部分文字。l 不要使用別人可以通過個(gè)人相關(guān)信息（如姓名、電話號碼、生日等）容易猜出或破解的口令。l 不要連續(xù)使用同一字符，不要全部使用數(shù)字，也不要全部使用字母，不要用英文單詞或重要記念日。e. 系統(tǒng)用戶至少每季度更改一次口令，避免再次使用舊口令或半年內(nèi)循環(huán)使用舊口令。f. 檢查重要服務(wù)器的系統(tǒng)口令是否定期進(jìn)行更改。g. 首次登錄時(shí)應(yīng)更改臨時(shí)口令。h. 不要在任何自動登錄程序中使用口令，如在宏或功能鍵中存儲。i. 不要共享個(gè)人用戶口令。1) 控制描述應(yīng)有密鑰管理以支持組織使用密碼技術(shù)。2) 實(shí)施指南應(yīng)保護(hù)所有的密碼密鑰免遭修改、丟失和毀壞。另外，密碼和私有密鑰需要防范非授權(quán)的泄露。用來生成、存儲和歸檔密鑰的設(shè)備應(yīng)進(jìn)行物理保護(hù)。對于一些部門所使用的USBKEY密鑰必須做到專人保管、專人使用，不用時(shí)必須放置在保險(xiǎn)柜內(nèi)或帶鎖的鐵柜中妥善保管。軟件密鑰或證書須專人管理分發(fā)。1)控制描述 組織就對敏感數(shù)據(jù)制定傳輸全程加密和保存進(jìn)行加密制度，對敏感字段也要進(jìn)行加密保存 2）實(shí)施指南 應(yīng)保護(hù)所有敏感數(shù)據(jù)免遭修改、丟失、泄漏。對敏感數(shù)據(jù)內(nèi)的敏感字段須加密保存。傳輸過程是要求全程不落地傳輸。在程序自動執(zhí)行傳輸過程中，組織應(yīng)定義對敏感數(shù)據(jù)進(jìn)行全程加密和不落地傳輸?shù)姆桨?，并加以?zhí)行。文檔編號（由總裁辦填寫）密級內(nèi)部公開文檔發(fā)布級別公司級文檔發(fā)布及實(shí)行范圍全員制度試行日期（可選）制度執(zhí)行日期文檔起草人簽字： 日期： 文檔修訂人：簽字：日期：修訂說明：備注：文檔負(fù)責(zé)人：簽字：日期：文檔審批信息安全管理者代表簽字： 日期：文檔審批人簽字： 日期：六、操作安全管理補(bǔ)丁管理1. 總則 ，規(guī)范補(bǔ)丁部署流程，保證信息系統(tǒng)補(bǔ)丁及時(shí)更新，確保公司企業(yè)信息網(wǎng)絡(luò)安全穩(wěn)定的運(yùn)行，特制定本規(guī)定。 本規(guī)定所涉及的補(bǔ)丁包括操作系統(tǒng)補(bǔ)丁、數(shù)據(jù)庫補(bǔ)丁和應(yīng)用系統(tǒng)補(bǔ)丁。 2. 適用范圍 本規(guī)定適用范圍為東方中安信息技術(shù)有限公司公司。 3. 職責(zé)分工 操作系統(tǒng)補(bǔ)丁管理員 （含瀏覽器、辦公軟件）補(bǔ)丁的管理。 ，跟蹤最新補(bǔ)丁信息，評估漏洞威脅、成因和嚴(yán)重性。 。 數(shù)據(jù)庫補(bǔ)丁管理員 。 ，跟蹤最新補(bǔ)丁信息，評估漏洞威脅、成因和嚴(yán)重性。 ，審批變更計(jì)劃。 應(yīng)用系統(tǒng)補(bǔ)丁管理員（含中間件）補(bǔ)丁的管理。，跟蹤最新補(bǔ)丁信息。評估漏洞威脅、成因和嚴(yán)重性。，審批變更計(jì)劃。 補(bǔ)丁測試員，負(fù)責(zé)測試補(bǔ)丁和測試結(jié)果的記錄。 。 ，負(fù)責(zé)制訂補(bǔ)丁修補(bǔ)計(jì)劃。 。 4. 補(bǔ)丁管理 、測試和安裝，重要一級二級硬件或系統(tǒng)，未經(jīng)許可不可私自下載安裝補(bǔ)丁。 ，對于非法的補(bǔ)丁禁止安裝。 ，避免出現(xiàn)問題進(jìn)行回退。經(jīng)嚴(yán)格測試通過后方可安裝。對測試不成功的補(bǔ)丁嚴(yán)禁安裝，測試結(jié)果記錄表見《補(bǔ)丁安裝計(jì)劃和實(shí)施方案》。，判斷發(fā)生問題的原因并及時(shí)解決如果不能解決，須記錄發(fā)生問題的環(huán)境，立即反饋給原廠商。 ，無補(bǔ)丁或未通過測試的補(bǔ)丁，可采用臨時(shí)解決辦法消除漏洞的威脅或者暫時(shí)接受該風(fēng)險(xiǎn)。、IT系統(tǒng)環(huán)境、IT網(wǎng)絡(luò)環(huán)境和信息資產(chǎn)重要等級，確定需要安裝的補(bǔ)丁和相應(yīng)嚴(yán)重等級，同時(shí)明確修補(bǔ)時(shí)間、修補(bǔ)方式和修補(bǔ)范圍。 ，或工作票。相應(yīng)補(bǔ)丁管理員和應(yīng)用系統(tǒng)管理員對變更的必要性、風(fēng)險(xiǎn)和修補(bǔ)計(jì)劃進(jìn)行評審，評審?fù)ㄟ^后由應(yīng)用系統(tǒng)管理員安排各級系統(tǒng)服務(wù)人員全過程配合補(bǔ)丁安裝員完成補(bǔ)丁的安裝和應(yīng)用系統(tǒng)的測試。 “資產(chǎn)價(jià)值大、威脅等級高優(yōu)先安裝”的原則。對于漏洞級別為嚴(yán)重的補(bǔ)丁，無特殊情況須在補(bǔ)丁發(fā)布后1星期內(nèi)安裝。，以確認(rèn)補(bǔ)丁安裝情況，同時(shí)制定補(bǔ)丁清單列表。 5. 附則 文檔編號（由總裁辦填寫）密級內(nèi)部公開文檔發(fā)布級別公司級文檔發(fā)布及實(shí)行范圍制度試行日期（可選）制度執(zhí)行日期文檔起草人簽字： 日期：文檔修訂人：簽字：日期：修訂說明：備注：文檔負(fù)責(zé)人：簽字：日期：文檔審批信息安全管理者代表簽字： 日期：文檔審批人簽字： 日期：防范病毒及惡意軟件管理規(guī)定1. 目的和范圍為了加強(qiáng)對計(jì)算機(jī)病毒的預(yù)防和治理，保護(hù)計(jì)算機(jī)系統(tǒng)安全，保障計(jì)算機(jī)系統(tǒng)的應(yīng)用與發(fā)展，特制定本規(guī)定。2. 引用文件1) 下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。2) GB/T 220802016/ISO/IEC 27001:2013 信息技術(shù)安全技術(shù)信息安全管理體系要求3) GB/T 220812016/ISO/IEC 27002:2013 信息技術(shù)安全技術(shù)信息安全管理實(shí)施細(xì)則4) 《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》5) 《信息安全事件管理制度》3. 職責(zé)和權(quán)限信息安全工作小組：是公司的病毒和惡意軟件防治管理部門，負(fù)責(zé)公司的計(jì)算機(jī)病毒及惡意軟件防治管理工作，建立公司的計(jì)算機(jī)病毒防治管理制度。采取計(jì)算機(jī)病毒安全技術(shù)防治措施。對公司計(jì)算機(jī)信息系統(tǒng)使用人員進(jìn)行計(jì)算機(jī)病毒防治教育，及時(shí)檢測、清除計(jì)算機(jī)信息系統(tǒng)中的計(jì)算機(jī)病毒，并備有檢測、清除的記錄。4. 病毒防治管理1) 任何部門和個(gè)人必須在所管轄的計(jì)算機(jī)（包括虛擬系統(tǒng)，筆記本電腦）中安裝殺毒軟件。2) 信息安全工作小組每個(gè)月對各部門的PC機(jī)和筆記本電腦的查殺毒情況進(jìn)行抽查。 3) 當(dāng)系統(tǒng)服務(wù)部或測試部發(fā)現(xiàn)重大系統(tǒng)漏洞時(shí)，將下發(fā)系統(tǒng)補(bǔ)丁安裝通知，信息安全小組負(fù)責(zé)收集和反饋安裝情況。4) 任何部門和個(gè)人不得有下列傳播計(jì)算機(jī)病毒的行為：a) 故意輸入計(jì)算機(jī)病毒，危害計(jì)算機(jī)信息系統(tǒng)安全。b) 向他人提供含有計(jì)算機(jī)病毒的文件、軟件、媒體。c) 其他傳播計(jì)算機(jī)病毒的行為。5) 任何部門和個(gè)人應(yīng)當(dāng)接受對計(jì)算機(jī)病毒防治工作的監(jiān)督、檢查和指導(dǎo)。6) 任何部門和個(gè)人有違反本辦法規(guī)定的，將予以警告，并責(zé)令其限期改正，逾期不改正的或因違反本辦法規(guī)定而引發(fā)如計(jì)算機(jī)信息系統(tǒng)癱瘓、程序和數(shù)據(jù)嚴(yán)重破壞等重大事故的，按公司《信息安全事件管理制度》等相關(guān)規(guī)定處理。7) 個(gè)人電腦必須啟用防火墻控制安全。5. 惡意軟件管理1) 所有計(jì)算機(jī)（包括服務(wù)器和個(gè)人電腦）都使用殺毒軟件對惡意軟件進(jìn)行防護(hù)和檢查，并將軟件設(shè)置為自動升級病毒庫。2) 自管服務(wù)器的責(zé)任人需要定期對服務(wù)器的病毒庫及掃描內(nèi)容進(jìn)行檢查并記錄。3) 員工使用