【文章內(nèi)容簡介】 2） 系統(tǒng)管理員密碼須符合服務器安全控制的密碼安全規(guī)定；3） 管理人員不得向任何非授權(quán)人員泄露網(wǎng)絡(luò)設(shè)備的管理員帳號及密碼。11. 信息交流控制措施1) 信息交流方式包括數(shù)據(jù)交流、電子郵件、電話、紙質(zhì)文件、談話、錄音、 會議、傳真、短信、IM工具等；2) 可交流的信息，須符合《信息資產(chǎn)分類分級管理制度》里的密級規(guī)定。3) 公司使用的信息交流設(shè)施在安全性上應符合國家信息安全相關(guān)法律法規(guī)、上級主管機關(guān)以及本公司安全管理規(guī)定的要求；4) 不能在公共場所或者敞開的辦公室、沒有屋頂防護的會議室談論機密信息；5) 對信息交流應作適當?shù)姆婪?，如不要暴露敏感信息，避免被通過電話偷聽或截??；6) 員工、合作方以及任何其他用戶不得損害公司的利益，如誹謗、騷擾、假冒、未經(jīng)授權(quán)的采購等；7) 不得將敏感或關(guān)鍵信息放在打印設(shè)施上，如復印機、打印機和傳真，防止未經(jīng)授權(quán)人員的訪問；8) 在使用電子通信設(shè)施進行信息交流時，所考慮的控制包括： l 防止交流的信息被截取、備份、修改、誤傳以及破壞； l 保護以附件形式傳輸?shù)碾娮有畔⒌某绦颍?l 有業(yè)務信件和消息的保持和處置原則，要符合相關(guān)的國家或地方法規(guī)；9) 使用傳真的人員注意下列問題：l 未經(jīng)授權(quán)對內(nèi)部存儲的信息進行訪問，獲取信息；l 故意的或無意的程序設(shè)定，向特定的號碼發(fā)送信息； l 向錯誤的號碼發(fā)送文件和信息，或者撥號錯誤或者使用的存儲在機器中的號碼是錯誤的。12. 遠程訪問管理1) 凡是接入公司的遠程用戶的訪問必須通過VPN并經(jīng)過認證方可接入。2) 認證用戶必須使用8位以上復雜密碼。3) 任何遠程接入用戶不得將自己的用戶名、密碼提供給任何人，包括同事，家人。4) 所有遠程接入用戶的客戶端或個人電腦必須安裝防病毒軟件并且病毒庫升級到最新。遠程接入用戶的操作必須要經(jīng)過接入設(shè)備的審計。應記錄相關(guān)日志，對用戶行為監(jiān)控。13. 無線網(wǎng)絡(luò)訪問管理1） 行政部應協(xié)同系統(tǒng)服務部對無線網(wǎng)絡(luò)進行授權(quán)管理；對需要使用無線網(wǎng)絡(luò)的設(shè)備，通過綁定其MAC地址授權(quán)訪問，其他人員不允許通過公司無線網(wǎng)絡(luò)上網(wǎng)。2） 如有已授權(quán)訪問的設(shè)備，取消授權(quán)，應即時對其MAC地址解綁。14. 筆記本使用及安全配置規(guī)定1) 筆記本電腦設(shè)備必須有嚴格的口令訪問控制措施，口令設(shè)置需滿足公司安全策略要求。2) 對無人看守的筆記本電腦設(shè)備必須實施物理保護，必須放在帶鎖的辦公室、抽屜或文件柜里。3) 重要業(yè)務筆記本電腦設(shè)備丟失或被竊后應及時報告給部門經(jīng)理和行政部。4) 凡帶出公司使用而遺失、被偷盜等均由個人負全責賠償。5) 除自然損壞外，凡人為損壞（如撞壞、跌壞、電源插錯燒壞等）由本人負責修好，費用由個人承擔。6) 筆記本電腦中除工作所需的軟件外，不得安裝與工作無關(guān)的軟件。7) 授權(quán)使用的筆記本電腦設(shè)備必須安裝公司要求的防病毒軟件。8) 各部門對筆記本電腦設(shè)備定期進行一次病毒軟件和操作系統(tǒng)補丁自檢，行政部進行不定期抽查。9) 筆記本電腦外出時禁止托運，必須隨身攜帶。10) 筆記本電腦上的重要資料應即時做好備份，防止意外丟失。備份的設(shè)備或介質(zhì)應符合《信息資產(chǎn)分類分級管理制度》中的保護要求。15. 外部人員使用筆記本的規(guī)定1) 出于安全考慮，一般不予考慮來訪人員接入公司內(nèi)部網(wǎng)絡(luò)。16. 服務器安全控制 引用文件：《訊鳥服務器安全管理規(guī)范》17. 實施策略1) 訪問控制制度涉及的包括《重要服務器應用系統(tǒng)清單》《重要應用系統(tǒng)權(quán)限評審表》。2) 用戶申請權(quán)限時，填寫相關(guān)系統(tǒng)的申請表。3) 每季度評審并填寫《重要應用系統(tǒng)權(quán)限評審表》。18. 相關(guān)記錄序號記錄名稱保存期限保存形式備注1重要服務器應用系統(tǒng)清單三年電子2重要應用系統(tǒng)權(quán)限評審表三年電子文檔編號（由總裁辦填寫）密級內(nèi)部公開 文檔發(fā)布級別公司級文檔發(fā)布及實行范圍全員制度試行日期（可選）制度執(zhí)行日期文檔起草人簽字： 日期：文檔修訂人簽字：日期：修訂說明合并網(wǎng)絡(luò)、網(wǎng)絡(luò)服務。增加了通過VPN訪問描述，增強了控制策略。備注：文檔負責人：簽字：日期：文檔審批信息安全管理者代表簽字： 日期：文檔審批人簽字： 日期：五、密碼控制管理制度1. 目的和范圍為確保安全成為所開發(fā)的信息系統(tǒng)一個有機組成部分，保證開發(fā)過程安全，特制定本制度。適用于本公司所有信息系統(tǒng)的開發(fā)活動，信息系統(tǒng)內(nèi)在安全性的管理。本制度作為軟件開發(fā)項目管理規(guī)定的補充，而不是作為軟件開發(fā)項目管理的整體規(guī)范。2. 引用文件1) 下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。2) GB/T 220802016/ISO/IEC 27001:2013 信息技術(shù)安全技術(shù)信息安全管理體系要求3) GB/T 220812016/ISO/IEC 27002:2013 信息技術(shù)安全技術(shù)信息安全管理實施細則3. 職責和權(quán)限開發(fā)部門：確保適當和有效地使用密碼技術(shù)以保護信息的保密性、真實性和（或）完整性。4. 密碼控制1) 控制描述應開發(fā)和實施使用密碼控制措施來保護信息的策略。2) 實施指南制定密碼策略時，應考慮下列（但不僅限于）內(nèi)容：l 組織間使用密碼控制的管理方法，包括保護業(yè)務信息的一般原則；l 使用加密技術(shù)保護通過可移動介質(zhì)、設(shè)備或者通過通信線路傳輸?shù)拿舾行畔ⅲ籰 基于風險評估，應確定需要的保護級別，并考慮需要的加密算法的類型、強度和質(zhì)量；l 加密可能帶來不利影響。由于某些控制措施依賴于內(nèi)容檢查（例如病毒檢測等），要求數(shù)據(jù)處于未加密狀態(tài)。 3) 用戶口令管理a. 初始密碼在創(chuàng)建用戶時設(shè)定，初次登錄時操作系統(tǒng)或者管理員必須強制修改密碼，不能使用缺省設(shè)置的密碼。初始密碼樣本：orient11b. 用戶忘記口令時，管理員必須在對該用戶進行適當?shù)纳矸葑R別后才能向其提供臨時口令。c. 在向用戶提供臨時口令時，必須采用加密或其他安全傳輸途徑，以確保初始密碼不會被中途截取。d. 不允許在計算機系統(tǒng)上以無保護的形式存儲口令。e. 對于泄漏口令造成的損失，由用戶本人負責。f. 不準與其他人互相借用各類工作賬號。g. 測試環(huán)境的賬號與生產(chǎn)環(huán)境的賬號使用不同的口令。 4) 口令的使用a. 用戶應保證口令安全，不得向其他任何人泄漏。b. 應避免在紙上記錄口令，或以明文方式記錄計算機內(nèi)。c. 一旦有跡象表明系統(tǒng)或口令可能遭到破壞時，應立即更改口令。d. 口令的選擇應參考以下規(guī)則：l 最少要有8個字符，且為數(shù)字和字母組合。l 密碼不可包含用戶帳號名稱的全部或部分文字。l 不要使用別人可以通過個人相關(guān)信息（如姓名、電話號碼、生日等）容易猜出或破解的口令。l 不要連續(xù)使用同一字符，不要全部使用數(shù)字，也不要全部使用字母，不要用英文單詞或重要記念日。e. 系統(tǒng)用戶至少每季度更改一次口令，避免再次使用舊口令或半年內(nèi)循環(huán)使用舊口令。f. 檢查重要服務器的系統(tǒng)口令是否定期進行更改。g. 首次登錄時應更改臨時口令。h. 不要在任何自動登錄程序中使用口令，如在宏或功能鍵中存儲。i. 不要共享個人用戶口令。1) 控制描述應有密鑰管理以支持組織使用密碼技術(shù)。2) 實施指南應保護所有的密碼密鑰免遭修改、丟失和毀壞。另外，密碼和私有密鑰需要防范非授權(quán)的泄露。用來生成、存儲和歸檔密鑰的設(shè)備應進行物理保護。對于一些部門所使用的USBKEY密鑰必須做到專人保管、專人使用，不用時必須放置在保險柜內(nèi)或帶鎖的鐵柜中妥善保管。軟件密鑰或證書須專人管理分發(fā)。1)控制描述 組織就對敏感數(shù)據(jù)制定傳輸全程加密和保存進行加密制度，對敏感字段也要進行加密保存 2）實施指南 應保護所有敏感數(shù)據(jù)免遭修改、丟失、泄漏。對敏感數(shù)據(jù)內(nèi)的敏感字段須加密保存。傳輸過程是要求全程不落地傳輸。在程序自動執(zhí)行傳輸過程中，組織應定義對敏感數(shù)據(jù)進行全程加密和不落地傳輸?shù)姆桨福⒓右詧?zhí)行。文檔編號（由總裁辦填寫）密級內(nèi)部公開文檔發(fā)布級別公司級文檔發(fā)布及實行范圍全員制度試行日期（可選）制度執(zhí)行日期文檔起草人簽字： 日期： 文檔修訂人：簽字：日期：修訂說明：備注：文檔負責人：簽字：日期：文檔審批信息安全管理者代表簽字： 日期：文檔審批人簽字： 日期：六、操作安全管理補丁管理1. 總則 ，規(guī)范補丁部署流程，保證信息系統(tǒng)補丁及時更新，確保公司企業(yè)信息網(wǎng)絡(luò)安全穩(wěn)定的運行，特制定本規(guī)定。 本規(guī)定所涉及的補丁包括操作系統(tǒng)補丁、數(shù)據(jù)庫補丁和應用系統(tǒng)補丁。 2. 適用范圍 本規(guī)定適用范圍為東方中安信息技術(shù)有限公司公司。 3. 職責分工 操作系統(tǒng)補丁管理員 （含瀏覽器、辦公軟件）補丁的管理。 ，跟蹤最新補丁信息，評估漏洞威脅、成因和嚴重性。 。 數(shù)據(jù)庫補丁管理員 。 ，跟蹤最新補丁信息，評估漏洞威脅、成因和嚴重性。 ，審批變更計劃。 應用系統(tǒng)補丁管理員（含中間件）補丁的管理。，跟蹤最新補丁信息。評估漏洞威脅、成因和嚴重性。，審批變更計劃。 補丁測試員，負責測試補丁和測試結(jié)果的記錄。 。 ，負責制訂補丁修補計劃。 。 4. 補丁管理 、測試和安裝，重要一級二級硬件或系統(tǒng)，未經(jīng)許可不可私自下載安裝補丁。 ，對于非法的補丁禁止安裝。 ，避免出現(xiàn)問題進行回退。經(jīng)嚴格測試通過后方可安裝。對測試不成功的補丁嚴禁安裝，測試結(jié)果記錄表見《補丁安裝計劃和實施方案》。，判斷發(fā)生問題的原因并及時解決如果不能解決，須記錄發(fā)生問題的環(huán)境，立即反饋給原廠商。 ，無補丁或未通過測試的補丁，可采用臨時解決辦法消除漏洞的威脅或者暫時接受該風險。、IT系統(tǒng)環(huán)境、IT網(wǎng)絡(luò)環(huán)境和信息資產(chǎn)重要等級，確定需要安裝的補丁和相應嚴重等級，同時明確修補時間、修補方式和修補范圍。 ，或工作票。相應補丁管理員和應用系統(tǒng)管理員對變更的必要性、風險和修補計劃進行評審，評審通過后由應用系統(tǒng)管理員安排各級系統(tǒng)服務人員全過程配合補丁安裝員完成補丁的安裝和應用系統(tǒng)的測試。 “資產(chǎn)價值大、威脅等級高優(yōu)先安裝”的原則。對于漏洞級別為嚴重的補丁，無特殊情況須在補丁發(fā)布后1星期內(nèi)安裝。，以確認補丁安裝情況，同時制定補丁清單列表。 5. 附則 文檔編號（由總裁辦填寫）密級內(nèi)部公開文檔發(fā)布級別公司級文檔發(fā)布及實行范圍制度試行日期（可選）制度執(zhí)行日期文檔起草人簽字： 日期：文檔修訂人：簽字：日期：修訂說明：備注：文檔負責人：簽字：日期：文檔審批信息安全管理者代表簽字： 日期：文檔審批人簽字： 日期：防范病毒及惡意軟件管理規(guī)定1. 目的和范圍為了加強對計算機病毒的預防和治理，保護計算機系統(tǒng)安全，保障計算機系統(tǒng)的應用與發(fā)展，特制定本規(guī)定。2. 引用文件1) 下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。2) GB/T 220802016/ISO/IEC 27001:2013 信息技術(shù)安全技術(shù)信息安全管理體系要求3) GB/T 220812016/ISO/IEC 27002:2013 信息技術(shù)安全技術(shù)信息安全管理實施細則4) 《中華人民共和國計算機信息系統(tǒng)安全保護條例》5) 《信息安全事件管理制度》3. 職責和權(quán)限信息安全工作小組：是公司的病毒和惡意軟件防治管理部門，負責公司的計算機病毒及惡意軟件防治管理工作，建立公司的計算機病毒防治管理制度。采取計算機病毒安全技術(shù)防治措施。對公司計算機信息系統(tǒng)使用人員進行計算機病毒防治教育，及時檢測、清除計算機信息系統(tǒng)中的計算機病毒，并備有檢測、清除的記錄。4. 病毒防治管理1) 任何部門和個人必須在所管轄的計算機（包括虛擬系統(tǒng)，筆記本電腦）中安裝殺毒軟件。2) 信息安全工作小組每個月對各部門的PC機和筆記本電腦的查殺毒情況進行抽查。 3) 當系統(tǒng)服務部或測試部發(fā)現(xiàn)重大系統(tǒng)漏洞時，將下發(fā)系統(tǒng)補丁安裝通知，信息安全小組負責收集和反饋安裝情況。4) 任何部門和個人不得有下列傳播計算機病毒的行為：a) 故意輸入計算機病毒，危害計算機信息系統(tǒng)安全。b) 向他人提供含有計算機病毒的文件、軟件、媒體。c) 其他傳播計算機病毒的行為。5) 任何部門和個人應當接受對計算機病毒防治工作的監(jiān)督、檢查和指導。6) 任何部門和個人有違反本辦法規(guī)定的，將予以警告，并責令其限期改正，逾期不改正的或因違反本辦法規(guī)定而引發(fā)如計算機信息系統(tǒng)癱瘓、程序和數(shù)據(jù)嚴重破壞等重大事故的，按公司《信息安全事件管理制度》等相關(guān)規(guī)定處理。7) 個人電腦必須啟用防火墻控制安全。5. 惡意軟件管理1) 所有計算機（包括服務器和個人電腦）都使用殺毒軟件對惡意軟件進行防護和檢查，并將軟件設(shè)置為自動升級病毒庫。2) 自管服務器的責任人需要定期對服務器的病毒庫及掃描內(nèi)容進行檢查并記錄。3) 員工使用