【文章內(nèi)容簡介】 安全防護策略，執(zhí)行信息系統(tǒng)安全等級保護制度，信息網(wǎng)絡(luò)實行涉密電腦與其他電腦物理隔離，公司內(nèi)、外網(wǎng)之間物理隔離的方法。第六條 安全組織機構(gòu)保密委員會保密辦公室涉密部門4，保密委員會主任由總經(jīng)理擔(dān)任，保密工作實行總經(jīng)理負(fù)責(zé)制，保密委員會由公司相關(guān)領(lǐng)導(dǎo)和部門主管組成，下設(shè)保密辦公室作為保密委員會的常設(shè)工作機構(gòu)，并配備保密員，配備系統(tǒng)管理員、安全保密管理員、安全審計員；設(shè)置定密工作小組，明確定密責(zé)任人，按“業(yè)務(wù)誰主管、保密工作誰負(fù)責(zé)”原則，各部門主管負(fù)責(zé)本部門的保密管理工作。，負(fù)責(zé)領(lǐng)導(dǎo)信息安全管理體系的建立和信息安全管理的實施，主要包括：u 提供清晰的指導(dǎo)方向，可見的管理支持，明確的信息安全職責(zé)授權(quán)； u 審查、批準(zhǔn)信息安全策略和崗位職責(zé)； u 審查業(yè)務(wù)關(guān)鍵安全事件；u 批準(zhǔn)增強信息安全保障能力的關(guān)鍵措施和機制；u 保證必要的資源分配，以實現(xiàn)數(shù)據(jù)有效性以及信息安全管理體系的持續(xù)發(fā)展。，協(xié)調(diào)相關(guān)活動，主要承擔(dān)如下職責(zé)：u 調(diào)整并制定所有必要的信息安全管理規(guī)程、制度以及實施指南等； u 提議并配合執(zhí)行信息安全相關(guān)的實施方法和程序，如風(fēng)險評估、信息管理分層等；u 主動采取部門內(nèi)的信息安全措施，如安全意識培訓(xùn)及教育等； u 配合執(zhí)行新系統(tǒng)或服務(wù)的特殊信息安全措施； u 審查對信息安全策略的遵循性； u 配合并參與安全評估事項；u 根據(jù)信息安全管理體系的要求，定期向上級主管領(lǐng)導(dǎo)和保密委員會報告。第七條 安全管理人員策略為避免信息遭受人為過失、竊取、欺騙、濫用的風(fēng)險，應(yīng)當(dāng)識別信息系統(tǒng)系統(tǒng)內(nèi)部每項工作的信息安全職責(zé)并補充相關(guān)的程序文件。公司全體人員都應(yīng)該了解計算機及系統(tǒng)的網(wǎng)絡(luò)與信息安全需求，公司必須為全體人員提供足夠的培訓(xùn)以達(dá)到該安全目的，并為他們提供報告安全事件和威脅的渠道。工作人員從事或離開崗位時必須進(jìn)行信息安全考慮，相關(guān)的安全事項必須包括在工作描述或合同中。包括：u 對涉及訪問秘密或關(guān)鍵信息，或者訪問處理這些信息的系統(tǒng)的工作人員應(yīng)進(jìn)行嚴(yán)格審查和挑選；u 對信息系統(tǒng)具有特殊訪問權(quán)限的工作人員應(yīng)該簽署承諾，保證不會濫用權(quán)限；u 當(dāng)工作人員離開公司時應(yīng)該移交信息系統(tǒng)的訪問權(quán)限，或工作人員在公司內(nèi)部更換工作崗位時應(yīng)該重新檢查并調(diào)整其訪問權(quán)限。公司全體人員應(yīng)了解計算機及信息系統(tǒng)的安全需求，并對如何安全地使用信息及相關(guān)系統(tǒng)和工具、信息安全策略和相關(guān)管理規(guī)定接受培訓(xùn)，熟悉信息安全的實施并加強安全意識。必須建立有效的信息反饋渠道，以便于公司人員一旦發(fā)現(xiàn)安全威脅、事件和故障，能及時向有關(guān)領(lǐng)導(dǎo)報告。公司禁止工作人員濫用計算機及信息系統(tǒng)的計算機資源，僅為工作人員提供工作所需的信息處理設(shè)備。公司所有人員對系統(tǒng)網(wǎng)絡(luò)和計算資源的使用（包括訪問互聯(lián)網(wǎng)）都必須遵守計算機及信息系統(tǒng)的安全策略和標(biāo)準(zhǔn)及所有適用的法律。公司的計算機及信息系統(tǒng)應(yīng)能防止使用人員連接到訪問含有色情、種族歧視及其他不良內(nèi)容的網(wǎng)站及某些非業(yè)務(wù)網(wǎng)站。包括但不限于以下例子是不可接受的使用行為：u 使用信息系統(tǒng)資源故意從事影響他人工作和生活的行為。u 工作人員通過信息系統(tǒng)的網(wǎng)絡(luò)服務(wù)及設(shè)備傳輸、存儲任何非法的、有威脅的、濫用的材料。u 任何工作人員使用信息系統(tǒng)的計算機工具、設(shè)備和互聯(lián)網(wǎng)訪問服務(wù)來從事用于個人獲益的商業(yè)活動（如炒股）。u 工作人員使用信息系統(tǒng)服務(wù)來參與任何政治或宗教活動。u 在沒有信息安全管理部門的事先允許或?qū)徟那闆r下，工作人員在使用的計算機中更改或安裝任何類型的計算機軟件和硬件。u 在沒有信息安全管理部門的事先允許或?qū)徟那闆r下，工作人員拷貝、安裝、處理或使用任何未經(jīng)許可的軟件。必須使用病毒檢測軟件對所有通過互聯(lián)網(wǎng)（或任何其他公網(wǎng)）從信息系統(tǒng)之外的途徑獲得的軟件和文件進(jìn)行檢查，同時，在獲得這些軟件和文件之前，信息安全管理部門必須研究和確認(rèn)使用這些工具的必要性。公司所有人員必須在開始工作前，親自簽訂信息系統(tǒng)保密協(xié)議。尊重互聯(lián)網(wǎng)上他人的知識產(chǎn)權(quán)。公司工作人員在被雇傭期間使用公司系統(tǒng)資源開發(fā)或設(shè)計的產(chǎn)品，無論是以何種方式涉及業(yè)務(wù)、產(chǎn)品、技術(shù)、處理器、服務(wù)或研發(fā)的資產(chǎn)，都是公司的專有資產(chǎn)。第八條 安全保密產(chǎn)品和工具為了構(gòu)建計算機良好的安全保密環(huán)境，每臺涉密機都必須安裝有安全保密產(chǎn)品。通過硬件、軟件倆個方面多角度的保護涉密機的信息安全。u 安全保密產(chǎn)品主要包括“三合一”安全系統(tǒng)、主機審計系統(tǒng)、防輻射干擾器等相關(guān)保密產(chǎn)品。u 提供安全保密產(chǎn)品的單位必須具備相應(yīng)的保密資質(zhì)和相關(guān)產(chǎn)品的檢測證書；u 任何需求安裝安全保密產(chǎn)品的部門，保密辦都須直接參與，并由保密辦辦理相關(guān)手續(xù)后，即可使用；u 安全保密產(chǎn)品一旦安裝，未經(jīng)批準(zhǔn)任何人不可私自修改、卸載； u 按照要求正確使用安全保密產(chǎn)品,如有問題可以隨時詢問計算機安全管理員；u 凡是安全保密產(chǎn)品涉及到的USBKey、遙控器、單項導(dǎo)入盒等，相關(guān)負(fù) 責(zé)人使用完畢后應(yīng)盡快放入密碼柜中妥善保管；公司配備保密檢查工具。通過保密檢查工具能夠及時的發(fā)現(xiàn)問題。第九條 物理和環(huán)境安全策略計算機信息和其他用于存儲、處理或傳輸信息的物理設(shè)施，例如硬件、磁介質(zhì)、電纜等，對于物理破壞來說是易受攻擊的，同時也不可能完全消除這些風(fēng)險。因此，應(yīng)該將這些信息及物理設(shè)施放置于適當(dāng)?shù)沫h(huán)境中并在物理上給予保護使之免受安全威脅和環(huán)境危害。根據(jù)信息安全的分層管理，應(yīng)將支持涉密信息或關(guān)鍵業(yè)務(wù)活動的信息技術(shù)設(shè)備放置在安全區(qū)域中。安全區(qū)域應(yīng)當(dāng)考慮物理安全邊界控制及有適當(dāng)?shù)倪M(jìn)出控制措施保護，安全區(qū)域防護等級應(yīng)當(dāng)與安全區(qū)域內(nèi)的信息安全等級一致，安全區(qū)域的訪問權(quán)限應(yīng)該被嚴(yán)格控制。辦公區(qū)、生產(chǎn)區(qū)重要部位及通道設(shè)置紅外視頻監(jiān)控系統(tǒng)，出入通道設(shè)置管理員值守。對支持涉密信息或關(guān)鍵業(yè)務(wù)過程（包括備份設(shè)備和存儲過程）的設(shè)備應(yīng)該適當(dāng)?shù)卦谖锢砩线M(jìn)行保護以避免安全威脅和環(huán)境危險。包括：u 應(yīng)該對計算機介質(zhì)進(jìn)行控制，涉密機的USBKey必須進(jìn)行物理保護； u 涉密筆記本待用時，必須存放在密碼柜中；u 對設(shè)備應(yīng)該進(jìn)行保護，定期檢查電源插排，防止電力異常而造成損壞等保護措施；u 對計算機和設(shè)備環(huán)境應(yīng)該進(jìn)行監(jiān)控，檢查環(huán)境的影響因素，溫度和濕度是否超過正常界限（正常工作室溫：10℃—35℃；相對濕度:35%—80%）； u 設(shè)備應(yīng)該按照生產(chǎn)商的說明進(jìn)行有序的維護與保養(yǎng)； 信息安全管理部門應(yīng)建立訪問控制程序，控制并限制所有對計算計及信息系統(tǒng)計算、存儲和通訊系統(tǒng)設(shè)施的物理訪問。應(yīng)有合適的出入控制來保護安全場所，確保只允許授權(quán)的人員進(jìn)入。必須僅限公司工作人員和技術(shù)維護人員訪問公司辦 公場所、布線室、機房和計算基礎(chǔ)設(shè)施。為確保計算機處理設(shè)施能正確的、連續(xù)的運行，應(yīng)至少考慮及防范以下威脅：偷竊、火災(zāi)、溫度、濕度、水、電力供應(yīng)中斷、爆炸物、吸煙、灰塵、振動、化學(xué)影響等。必須在安全區(qū)域建立環(huán)境狀況監(jiān)控機制，以監(jiān)控廠商建議范圍外的可能影響信息處理設(shè)施的環(huán)境狀況。應(yīng)在運營范圍內(nèi)安裝自動滅火系統(tǒng)。定期測試、檢查并維護環(huán)境監(jiān)控警告機制，并至少每年操作一次滅火設(shè)備。、計算機房訪問記錄管理保密室、計算機房應(yīng)設(shè)立物理訪問記錄，信息安全管理部門應(yīng)定期檢查物理訪問記錄本，以確保正確使用了這項控制。物理訪問記錄應(yīng)至少保留12個月，以便協(xié)助事件調(diào)查。應(yīng)經(jīng)信息安全管理部門批準(zhǔn)后才可以處置記錄，并應(yīng)用碎紙機處理。第十條 運行管理策略u 為避免信息遭受人為過失、竊取、欺騙、濫用的風(fēng)險，應(yīng)當(dāng)識別計算機及信息系統(tǒng)內(nèi)部每項工作的信息安全職責(zé)，并補充相關(guān)的程序文件。公司全體相關(guān)人員都應(yīng)該了解計算機及系統(tǒng)的網(wǎng)絡(luò)與信息安全需求。u 信息設(shè)備和存儲介質(zhì)應(yīng)當(dāng)具有標(biāo)識、涉密的應(yīng)當(dāng)標(biāo)明密級，非密的應(yīng)當(dāng)標(biāo)明用途；u 涉密計算機應(yīng)當(dāng)與內(nèi)部非涉密網(wǎng)絡(luò)和互聯(lián)網(wǎng)計算機實行物理隔離； u 只有指定的涉密人員才能訪問秘密、關(guān)鍵信息并處理這些信息； u 禁止使用非涉密的計算機和存儲介質(zhì)存儲和處理涉密信息； u 未經(jīng)保密辦審批，禁止對計算