【文章內容簡介】 安全防護策略，執(zhí)行信息系統(tǒng)安全等級保護制度，信息網(wǎng)絡實行涉密電腦與其他電腦物理隔離，公司內、外網(wǎng)之間物理隔離的方法。第六條 安全組織機構保密委員會保密辦公室涉密部門4，保密委員會主任由總經(jīng)理擔任，保密工作實行總經(jīng)理負責制，保密委員會由公司相關領導和部門主管組成，下設保密辦公室作為保密委員會的常設工作機構，并配備保密員，配備系統(tǒng)管理員、安全保密管理員、安全審計員；設置定密工作小組，明確定密責任人，按“業(yè)務誰主管、保密工作誰負責”原則，各部門主管負責本部門的保密管理工作。，負責領導信息安全管理體系的建立和信息安全管理的實施，主要包括：u 提供清晰的指導方向，可見的管理支持，明確的信息安全職責授權； u 審查、批準信息安全策略和崗位職責； u 審查業(yè)務關鍵安全事件；u 批準增強信息安全保障能力的關鍵措施和機制；u 保證必要的資源分配，以實現(xiàn)數(shù)據(jù)有效性以及信息安全管理體系的持續(xù)發(fā)展。，協(xié)調相關活動，主要承擔如下職責：u 調整并制定所有必要的信息安全管理規(guī)程、制度以及實施指南等； u 提議并配合執(zhí)行信息安全相關的實施方法和程序，如風險評估、信息管理分層等；u 主動采取部門內的信息安全措施，如安全意識培訓及教育等； u 配合執(zhí)行新系統(tǒng)或服務的特殊信息安全措施； u 審查對信息安全策略的遵循性； u 配合并參與安全評估事項；u 根據(jù)信息安全管理體系的要求，定期向上級主管領導和保密委員會報告。第七條 安全管理人員策略為避免信息遭受人為過失、竊取、欺騙、濫用的風險，應當識別信息系統(tǒng)系統(tǒng)內部每項工作的信息安全職責并補充相關的程序文件。公司全體人員都應該了解計算機及系統(tǒng)的網(wǎng)絡與信息安全需求，公司必須為全體人員提供足夠的培訓以達到該安全目的，并為他們提供報告安全事件和威脅的渠道。工作人員從事或離開崗位時必須進行信息安全考慮，相關的安全事項必須包括在工作描述或合同中。包括：u 對涉及訪問秘密或關鍵信息，或者訪問處理這些信息的系統(tǒng)的工作人員應進行嚴格審查和挑選；u 對信息系統(tǒng)具有特殊訪問權限的工作人員應該簽署承諾，保證不會濫用權限；u 當工作人員離開公司時應該移交信息系統(tǒng)的訪問權限，或工作人員在公司內部更換工作崗位時應該重新檢查并調整其訪問權限。公司全體人員應了解計算機及信息系統(tǒng)的安全需求，并對如何安全地使用信息及相關系統(tǒng)和工具、信息安全策略和相關管理規(guī)定接受培訓，熟悉信息安全的實施并加強安全意識。必須建立有效的信息反饋渠道，以便于公司人員一旦發(fā)現(xiàn)安全威脅、事件和故障，能及時向有關領導報告。公司禁止工作人員濫用計算機及信息系統(tǒng)的計算機資源，僅為工作人員提供工作所需的信息處理設備。公司所有人員對系統(tǒng)網(wǎng)絡和計算資源的使用（包括訪問互聯(lián)網(wǎng)）都必須遵守計算機及信息系統(tǒng)的安全策略和標準及所有適用的法律。公司的計算機及信息系統(tǒng)應能防止使用人員連接到訪問含有色情、種族歧視及其他不良內容的網(wǎng)站及某些非業(yè)務網(wǎng)站。包括但不限于以下例子是不可接受的使用行為：u 使用信息系統(tǒng)資源故意從事影響他人工作和生活的行為。u 工作人員通過信息系統(tǒng)的網(wǎng)絡服務及設備傳輸、存儲任何非法的、有威脅的、濫用的材料。u 任何工作人員使用信息系統(tǒng)的計算機工具、設備和互聯(lián)網(wǎng)訪問服務來從事用于個人獲益的商業(yè)活動（如炒股）。u 工作人員使用信息系統(tǒng)服務來參與任何政治或宗教活動。u 在沒有信息安全管理部門的事先允許或審批的情況下，工作人員在使用的計算機中更改或安裝任何類型的計算機軟件和硬件。u 在沒有信息安全管理部門的事先允許或審批的情況下，工作人員拷貝、安裝、處理或使用任何未經(jīng)許可的軟件。必須使用病毒檢測軟件對所有通過互聯(lián)網(wǎng)（或任何其他公網(wǎng)）從信息系統(tǒng)之外的途徑獲得的軟件和文件進行檢查，同時，在獲得這些軟件和文件之前，信息安全管理部門必須研究和確認使用這些工具的必要性。公司所有人員必須在開始工作前，親自簽訂信息系統(tǒng)保密協(xié)議。尊重互聯(lián)網(wǎng)上他人的知識產(chǎn)權。公司工作人員在被雇傭期間使用公司系統(tǒng)資源開發(fā)或設計的產(chǎn)品，無論是以何種方式涉及業(yè)務、產(chǎn)品、技術、處理器、服務或研發(fā)的資產(chǎn)，都是公司的專有資產(chǎn)。第八條 安全保密產(chǎn)品和工具為了構建計算機良好的安全保密環(huán)境，每臺涉密機都必須安裝有安全保密產(chǎn)品。通過硬件、軟件倆個方面多角度的保護涉密機的信息安全。u 安全保密產(chǎn)品主要包括“三合一”安全系統(tǒng)、主機審計系統(tǒng)、防輻射干擾器等相關保密產(chǎn)品。u 提供安全保密產(chǎn)品的單位必須具備相應的保密資質和相關產(chǎn)品的檢測證書；u 任何需求安裝安全保密產(chǎn)品的部門，保密辦都須直接參與，并由保密辦辦理相關手續(xù)后，即可使用；u 安全保密產(chǎn)品一旦安裝，未經(jīng)批準任何人不可私自修改、卸載； u 按照要求正確使用安全保密產(chǎn)品,如有問題可以隨時詢問計算機安全管理員；u 凡是安全保密產(chǎn)品涉及到的USBKey、遙控器、單項導入盒等，相關負 責人使用完畢后應盡快放入密碼柜中妥善保管；公司配備保密檢查工具。通過保密檢查工具能夠及時的發(fā)現(xiàn)問題。第九條 物理和環(huán)境安全策略計算機信息和其他用于存儲、處理或傳輸信息的物理設施，例如硬件、磁介質、電纜等，對于物理破壞來說是易受攻擊的，同時也不可能完全消除這些風險。因此，應該將這些信息及物理設施放置于適當?shù)沫h(huán)境中并在物理上給予保護使之免受安全威脅和環(huán)境危害。根據(jù)信息安全的分層管理，應將支持涉密信息或關鍵業(yè)務活動的信息技術設備放置在安全區(qū)域中。安全區(qū)域應當考慮物理安全邊界控制及有適當?shù)倪M出控制措施保護，安全區(qū)域防護等級應當與安全區(qū)域內的信息安全等級一致，安全區(qū)域的訪問權限應該被嚴格控制。辦公區(qū)、生產(chǎn)區(qū)重要部位及通道設置紅外視頻監(jiān)控系統(tǒng)，出入通道設置管理員值守。對支持涉密信息或關鍵業(yè)務過程（包括備份設備和存儲過程）的設備應該適當?shù)卦谖锢砩线M行保護以避免安全威脅和環(huán)境危險。包括：u 應該對計算機介質進行控制，涉密機的USBKey必須進行物理保護； u 涉密筆記本待用時，必須存放在密碼柜中；u 對設備應該進行保護，定期檢查電源插排，防止電力異常而造成損壞等保護措施；u 對計算機和設備環(huán)境應該進行監(jiān)控，檢查環(huán)境的影響因素，溫度和濕度是否超過正常界限（正常工作室溫：10℃—35℃；相對濕度:35%—80%）； u 設備應該按照生產(chǎn)商的說明進行有序的維護與保養(yǎng)； 信息安全管理部門應建立訪問控制程序，控制并限制所有對計算計及信息系統(tǒng)計算、存儲和通訊系統(tǒng)設施的物理訪問。應有合適的出入控制來保護安全場所，確保只允許授權的人員進入。必須僅限公司工作人員和技術維護人員訪問公司辦 公場所、布線室、機房和計算基礎設施。為確保計算機處理設施能正確的、連續(xù)的運行，應至少考慮及防范以下威脅：偷竊、火災、溫度、濕度、水、電力供應中斷、爆炸物、吸煙、灰塵、振動、化學影響等。必須在安全區(qū)域建立環(huán)境狀況監(jiān)控機制，以監(jiān)控廠商建議范圍外的可能影響信息處理設施的環(huán)境狀況。應在運營范圍內安裝自動滅火系統(tǒng)。定期測試、檢查并維護環(huán)境監(jiān)控警告機制，并至少每年操作一次滅火設備。、計算機房訪問記錄管理保密室、計算機房應設立物理訪問記錄，信息安全管理部門應定期檢查物理訪問記錄本，以確保正確使用了這項控制。物理訪問記錄應至少保留12個月，以便協(xié)助事件調查。應經(jīng)信息安全管理部門批準后才可以處置記錄，并應用碎紙機處理。第十條 運行管理策略u 為避免信息遭受人為過失、竊取、欺騙、濫用的風險，應當識別計算機及信息系統(tǒng)內部每項工作的信息安全職責，并補充相關的程序文件。公司全體相關人員都應該了解計算機及系統(tǒng)的網(wǎng)絡與信息安全需求。u 信息設備和存儲介質應當具有標識、涉密的應當標明密級，非密的應當標明用途；u 涉密計算機應當與內部非涉密網(wǎng)絡和互聯(lián)網(wǎng)計算機實行物理隔離； u 只有指定的涉密人員才能訪問秘密、關鍵信息并處理這些信息； u 禁止使用非涉密的計算機和存儲介質存儲和處理涉密信息； u 未經(jīng)保密辦審批，禁止對計算