【正文】 內(nèi)部處理的控制第252條 應(yīng)用系統(tǒng)的設(shè)計(jì)應(yīng)該考慮以下因素，防止正確輸入的數(shù)據(jù)因錯(cuò)誤處理或人為因素等遭到破壞：1)程序應(yīng)該有處理的校驗(yàn)機(jī)制2)程序應(yīng)該有相應(yīng)的例外處理機(jī)制3)對(duì)于有先后執(zhí)行順序的程序或程序模塊，內(nèi)部必須有執(zhí)行順序的限制機(jī)制第253條 控制措施的選擇應(yīng)根據(jù)應(yīng)用的性質(zhì)和數(shù)據(jù)受損對(duì)業(yè)務(wù)造成的影響而定，可選擇的措施包括但不限于：1)會(huì)話或批處理控制措施，在事務(wù)更新后協(xié)調(diào)相關(guān)數(shù)據(jù)文件的一致性2)驗(yàn)證系統(tǒng)生成數(shù)據(jù)的正確性3)檢查數(shù)據(jù)完整性，特別是在計(jì)算機(jī)之間傳輸?shù)臄?shù)據(jù)4)計(jì)算記錄和文件的哈希值以便驗(yàn)證5)確保程序以正確的順序運(yùn)行，在出現(xiàn)故障時(shí)終止，在問(wèn)題解決前暫停處理 消息驗(yàn)證第254條 對(duì)需要確保消息內(nèi)容完整性的應(yīng)用（例如電子交易）應(yīng)該使用消息驗(yàn)證。第255條 在采用消息驗(yàn)證之前，應(yīng)該通過(guò)安全風(fēng)險(xiǎn)評(píng)估，以確定其是否能滿足需要或采取其他更適合的解決方式。 數(shù)據(jù)輸出的驗(yàn)證第256條 應(yīng)該使用檢查輸出數(shù)據(jù)合理性的機(jī)制。應(yīng)該使用確保數(shù)據(jù)被全部處理的機(jī)制。第257條 輸出的數(shù)據(jù)應(yīng)該含有相關(guān)標(biāo)志，以便判斷數(shù)據(jù)的狀態(tài)（例如是否準(zhǔn)確、是否完整等）。必須對(duì)數(shù)據(jù)輸出驗(yàn)證功能進(jìn)行全面的測(cè)試，以保證其正確性和有效性。第258條 系統(tǒng)在使用過(guò)程中，應(yīng)該明確定義參與數(shù)據(jù)輸出各環(huán)節(jié)所有相關(guān)人員的職責(zé)。 加密控制 加密的使用管理辦法第259條 敏感信息應(yīng)該根據(jù)信息分類的要求采用加密措施進(jìn)行保護(hù)。第260條 加密措施的采用不但要考慮到信息存儲(chǔ)，也應(yīng)該考慮到信息傳輸?shù)囊蟆?yīng)該使用被公司認(rèn)可的標(biāo)準(zhǔn)加密算法。第261條 未經(jīng)安全管理委員會(huì)的同意，用戶不能安裝任何未經(jīng)授權(quán)的加密軟件。第262條 加密算法應(yīng)該根據(jù)算法強(qiáng)度和密鑰長(zhǎng)度進(jìn)行選擇，以符合信息保護(hù)的要求。第263條 數(shù)字簽名的使用必須符合國(guó)家電子簽名法的相關(guān)規(guī)定。 密鑰管理第264條 密鑰管理系統(tǒng)應(yīng)該包括以下活動(dòng)：1)密鑰產(chǎn)生2)密鑰變更3)密鑰存儲(chǔ)4)密鑰交換和分發(fā)5)密鑰注銷6)密鑰恢復(fù)和備份7)密鑰銷毀 系統(tǒng)文件的安全 生產(chǎn)系統(tǒng)的應(yīng)用軟件控制第265條 生產(chǎn)系統(tǒng)的應(yīng)用軟件更新必須由獲得授權(quán)的管理員來(lái)執(zhí)行。第266條 嚴(yán)禁在生產(chǎn)系統(tǒng)中保留應(yīng)用軟件的源代碼。必須建立程序庫(kù)統(tǒng)一保管和維護(hù)應(yīng)用程序的可執(zhí)行代碼。第267條 在測(cè)試成功、用戶驗(yàn)收完成或相關(guān)的程序庫(kù)被更新前，嚴(yán)禁更新生產(chǎn)系統(tǒng)中的可執(zhí)行代碼。第268條 必須對(duì)程序庫(kù)做好訪問(wèn)控制，并對(duì)程序庫(kù)的更新進(jìn)行日志記錄。第269條 應(yīng)用軟件必須做好版本控制管理，每一個(gè)版本都必須有相應(yīng)的備份。源代碼的所有版本都必須保留，并標(biāo)識(shí)版本號(hào)，每個(gè)版本之間的差異描述要文檔化。 測(cè)試數(shù)據(jù)的保護(hù)第270條 測(cè)試系統(tǒng)應(yīng)該參照生產(chǎn)系統(tǒng)的訪問(wèn)控制規(guī)則進(jìn)行訪問(wèn)控制。第271條 每次從生產(chǎn)系統(tǒng)中復(fù)制數(shù)據(jù)到測(cè)試系統(tǒng)中必須獲得授權(quán)，并做好記錄。從生產(chǎn)系統(tǒng)中復(fù)制的數(shù)據(jù)必須經(jīng)過(guò)處理，去掉有關(guān)財(cái)務(wù)和個(gè)人隱私的信息。 對(duì)程序源代碼庫(kù)的訪問(wèn)控制第272條 應(yīng)該建立程序源代碼庫(kù)，并由指定人員進(jìn)行統(tǒng)一管理。正在開發(fā)或修改的程序不應(yīng)該保存在程序源代碼庫(kù)中。第273條 更新程序源代碼庫(kù)和向程序員提供程序源代碼，應(yīng)通過(guò)指定的程序源代碼庫(kù)管理員來(lái)執(zhí)行，并且獲得管理層的授權(quán)。程序源代碼必須保存在安全的環(huán)境中。第274條 必須控制程序源代碼庫(kù)的訪問(wèn)，只提供工作需要的最小權(quán)限。程序源代碼的訪問(wèn)必須做好相關(guān)記錄。第275條 程序源代碼必須做好版本控制管理，每一個(gè)版本都必須有相應(yīng)的備份。 開發(fā)和維護(hù)過(guò)程中的安全 變更控制流程第276條 所有應(yīng)用軟件的變更必須獲得批準(zhǔn)。第277條 應(yīng)用軟件的變更需求應(yīng)該由業(yè)務(wù)部門授權(quán)的資深人員提出。應(yīng)用軟件的變更不應(yīng)破壞軟件本身的可靠性和已有的控制措施。第278條 變更需求中應(yīng)該包括對(duì)運(yùn)行環(huán)境的要求（如硬件資源、軟件資源等）。第279條 變更的設(shè)計(jì)方案必須通過(guò)正式的批準(zhǔn)才能開始編碼。變更在部署之前必須通過(guò)驗(yàn)收。第280條 變更的部署必須盡量減少對(duì)業(yè)務(wù)正常運(yùn)行的影響。第281條 變更完成后，相關(guān)的文檔（如系統(tǒng)需求文檔、設(shè)計(jì)文檔、操作手冊(cè)、用戶手冊(cè)等）必須得到更新，舊的文檔必須進(jìn)行備份。第282條 必須維護(hù)所有軟件更新的版本控制。必須維護(hù)所有變更需求的記錄。 操作系統(tǒng)變更的技術(shù)檢查第283條 操作系統(tǒng)變更之前必須進(jìn)行評(píng)估，以確保應(yīng)用程序的完整性和控制措施不會(huì)受到破壞。操作系統(tǒng)變更之前必須通知相關(guān)人員，以便他們有足夠的時(shí)間去做相關(guān)的評(píng)估。第284條 操作系統(tǒng)變更之后必須對(duì)業(yè)務(wù)連續(xù)性計(jì)劃作相應(yīng)修正。 商業(yè)軟件的修改限制第285條 由廠家提供的商業(yè)軟件不應(yīng)該被修改。如果需要修改商業(yè)軟件，必須評(píng)估下列影響：1)軟件功能和內(nèi)部的控制措施是否會(huì)受到破壞2)是否會(huì)導(dǎo)致廠家的升級(jí)包不能使用3)原廠商對(duì)修改過(guò)的軟件是否不提供維護(hù)支持第286條 在進(jìn)行任何修改之前，必須得到廠家的允許，以保證不侵犯其知識(shí)產(chǎn)權(quán)。 信息泄漏第287條 軟件的開發(fā)、采購(gòu)和使用都應(yīng)該受到控制和檢查，以防范可能的隱秘通道、邏輯炸彈、木馬等。以下幾點(diǎn)必須被考慮到：1)只從信譽(yù)良好的廠家購(gòu)買軟件2)關(guān)鍵系統(tǒng)上的工作必須由值得信任的員工擔(dān)任3)購(gòu)買獲得國(guó)家有關(guān)機(jī)構(gòu)認(rèn)可的軟件4)所有開發(fā)的代碼都必須進(jìn)行安全檢查，確定無(wú)問(wèn)題后才可以部署在生產(chǎn)環(huán)境。第288條 所有源代碼應(yīng)該進(jìn)行恰當(dāng)?shù)淖⑨?，以方便檢查。 軟件開發(fā)的外包第289條 所有外包開發(fā)的軟件，必須簽定正式的合同，合同內(nèi)容包括但不限于：1)確定軟件許可證的范圍和數(shù)量2)明確代碼所有權(quán)和知識(shí)產(chǎn)權(quán)的歸屬3)對(duì)代碼質(zhì)量的要求4)有權(quán)對(duì)軟件開發(fā)過(guò)程進(jìn)行審計(jì)5)軟件維護(hù)要求第290條 外包軟件在正式使用前，必須經(jīng)過(guò)病毒檢測(cè)和充分測(cè)試。對(duì)于提供源代碼的外包軟件，必須對(duì)源代碼進(jìn)行充分的安全檢查。 技術(shù)漏洞管理 控制技術(shù)漏洞第291條 根據(jù)漏洞的嚴(yán)重程度制定漏洞的風(fēng)險(xiǎn)等級(jí)評(píng)估標(biāo)準(zhǔn)和處理時(shí)間要求。第292條 必須建立技術(shù)漏洞的監(jiān)控機(jī)制，及時(shí)發(fā)現(xiàn)漏洞，修補(bǔ)漏洞。定義公司員工在漏洞管理流程中的角色和職責(zé)。第293條 補(bǔ)丁在安裝之前必須進(jìn)行測(cè)試和評(píng)估，確保補(bǔ)丁不會(huì)影響系統(tǒng)的正常運(yùn)行并可以正?；赝撕蟛拍馨惭b。如果補(bǔ)丁不能安裝，必須采取其他的控制措施，控制措施包括但不限于：1)停止漏洞利用的相關(guān)服務(wù)或功能2)增加訪問(wèn)控制阻擋漏洞或縮小漏洞的來(lái)源3)增加監(jiān)控和檢測(cè)機(jī)制4)升級(jí)防病毒代碼庫(kù)到可以查殺利用漏洞的病毒的版本5）重要系統(tǒng)必須優(yōu)先進(jìn)行漏洞處理。第294條 內(nèi)部開發(fā)的系統(tǒng)在發(fā)現(xiàn)漏洞后必須立即開發(fā)補(bǔ)丁程序，并在補(bǔ)丁發(fā)布前采取其他控制措施，避免漏洞被利用。12 信息安全事件的管理 報(bào)告信息安全事件和漏洞 信息安全事件報(bào)告第295條 必須對(duì)員工明確說(shuō)明需要報(bào)告的安全事件。員工有責(zé)任報(bào)告安全事件。第296條 必須制定安全事件的分類、識(shí)別方法及建立相關(guān)的報(bào)告程序，以便安全事件得到及時(shí)的報(bào)告和處理。第297條 員工一旦發(fā)現(xiàn)重要信息可能或正在遭受破壞，必須立即按照相關(guān)的報(bào)告程序向公司報(bào)告。如果可能的話，還應(yīng)采取適當(dāng)?shù)拇胧﹣?lái)監(jiān)控并保護(hù)這些重要信息。第298條 當(dāng)外界對(duì)公司發(fā)生的安全事件進(jìn)行詢問(wèn)和調(diào)查時(shí)，員工必須將這類請(qǐng)求轉(zhuǎn)交給公司的品牌宣傳部進(jìn)行處理，嚴(yán)禁私自回應(yīng)。第299條 嚴(yán)禁員工私自對(duì)安全事件進(jìn)行調(diào)查和利用公司環(huán)境對(duì)其進(jìn)行研究試驗(yàn)。第300條 當(dāng)安全事件發(fā)生時(shí)，應(yīng)當(dāng)成立安全事件調(diào)查組，并明確其職責(zé)；其成員應(yīng)具備相應(yīng)的處理技能。第301條 安全管理代表應(yīng)該維護(hù)事件報(bào)告數(shù)據(jù)庫(kù)，分析并確定事件發(fā)生的基本原因和應(yīng)當(dāng)采取的預(yù)防措施。第302條 通過(guò)信息安全管理會(huì)議，安全管理委員會(huì)必須每季度對(duì)所有重大的安全事件報(bào)告進(jìn)行復(fù)審。 信息安全漏洞報(bào)告第303條 應(yīng)該對(duì)員工明確說(shuō)明需要報(bào)告的安全漏洞。員工有責(zé)任報(bào)告安全漏洞。第304條 應(yīng)該制定安全漏洞的分類、識(shí)別方法及建立相關(guān)的報(bào)告程序，以便安全漏洞得到及時(shí)的報(bào)告和處理。在技術(shù)符合性測(cè)試中發(fā)現(xiàn)的問(wèn)題應(yīng)被當(dāng)作安全漏洞進(jìn)行處理。 信息安全事件的管理和改進(jìn) 職責(zé)和程序第305條 必須建立信息安全事件處理程序，程序必須包括以下內(nèi)容：1)角色定義和職責(zé)；2)不同安全事件的處理方法及注意事項(xiàng)；3)系統(tǒng)應(yīng)急恢復(fù)措施；4)審計(jì)追蹤和證據(jù)收集要求；5)安全事件的補(bǔ)救措施和糾正預(yù)防措施。第306條 信息安全事件處理程序必須能夠適應(yīng)不同類型的信息安全事件。第307條 參與信息安全事件處理的每位成員必須清楚他們的角色和職責(zé)。第308條 當(dāng)發(fā)現(xiàn)已經(jīng)產(chǎn)生嚴(yán)重影響或可能帶來(lái)嚴(yán)重影響的安全事件時(shí)，必須立即停止事件中直接受影響系統(tǒng)的服務(wù)。程序中必須定義每個(gè)處理環(huán)節(jié)的響應(yīng)和處理時(shí)間要求，并在實(shí)際處理中嚴(yán)格執(zhí)行。 從安全事件中學(xué)習(xí)第309條 必須對(duì)安全事件進(jìn)行復(fù)審，并對(duì)事件的類型、影響程度和所帶來(lái)的損失等進(jìn)行分析和監(jiān)控。第310條 必須從已發(fā)生的事件和故障中總結(jié)經(jīng)驗(yàn)，分析造成事件的根本原因，增強(qiáng)安全控制管理，避免問(wèn)題的再次發(fā)生。第311條 信息安全培訓(xùn)應(yīng)增加有關(guān)安全事件處理方面的內(nèi)容。 安全事件處理要求第312條 證據(jù)的收集應(yīng)該滿足法律法規(guī)的要求，第313條 證據(jù)的收集應(yīng)該尋求法律部門、安全專家和外部相關(guān)機(jī)構(gòu)的建議和幫助。13 業(yè)務(wù)連續(xù)性管理方面 業(yè)務(wù)連續(xù)性管理 業(yè)務(wù)連續(xù)性管理流程第314條 業(yè)務(wù)連續(xù)性計(jì)劃的制訂必須有信息管理中心、業(yè)務(wù)部門和公司高層的參與。第315條 必須對(duì)公司業(yè)務(wù)所面臨的風(fēng)險(xiǎn)進(jìn)行評(píng)估，綜合考慮其可能性和影響。必須進(jìn)行業(yè)務(wù)影響分析，識(shí)別業(yè)務(wù)的重要性和評(píng)估風(fēng)險(xiǎn)對(duì)業(yè)務(wù)帶來(lái)的影響。應(yīng)根據(jù)業(yè)務(wù)影響分析的結(jié)果，制定符合公司業(yè)務(wù)目標(biāo)的業(yè)務(wù)連續(xù)性計(jì)劃，并通過(guò)管理層的審批。業(yè)務(wù)連續(xù)性計(jì)劃必須經(jīng)過(guò)演練測(cè)試。 業(yè)務(wù)連續(xù)性及風(fēng)險(xiǎn)評(píng)估第316條 業(yè)務(wù)影響分析應(yīng)該在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上進(jìn)行。業(yè)務(wù)影響分析應(yīng)該對(duì)直接損失進(jìn)行量化，并且綜合評(píng)估公司聲譽(yù)的損失、法規(guī)的違反以及人員的傷亡等。第317條 業(yè)務(wù)影響分析的結(jié)果報(bào)告必須提交管理層進(jìn)行審批。 開發(fā)和實(shí)施包括信息安全的持續(xù)計(jì)劃第318條 業(yè)務(wù)連續(xù)性計(jì)劃應(yīng)該包括以下幾點(diǎn)：1)識(shí)別關(guān)鍵業(yè)務(wù)流程及其從屬流程2)流程恢復(fù)的優(yōu)先次序3)所有的職責(zé)和緊急措施4)恢復(fù)管理辦法5)恢復(fù)流程第319條 業(yè)務(wù)連續(xù)性計(jì)劃必須涵蓋所有關(guān)鍵業(yè)務(wù)流程，并且人員安全必須被優(yōu)先考慮。應(yīng)說(shuō)明計(jì)劃演練及修正的方式和時(shí)間安排。第320條 每個(gè)計(jì)劃都應(yīng)該有一個(gè)指定的總負(fù)責(zé)人，而且每個(gè)計(jì)劃應(yīng)該清楚地說(shuō)明其激活的條件以及執(zhí)行計(jì)劃中每個(gè)要素的負(fù)責(zé)人。 業(yè)務(wù)連續(xù)性計(jì)劃的測(cè)試、維護(hù)與再評(píng)估第321條 業(yè)務(wù)連續(xù)性演練必須每年至少進(jìn)行一次，由安全管理委員會(huì)指導(dǎo)進(jìn)行。第322條 必須為每項(xiàng)演練制定進(jìn)度表，說(shuō)明演練頻率、目的以及方法。應(yīng)該維護(hù)演練的完整記錄，采取適當(dāng)?shù)拇胧┙鉀Q遇到的問(wèn)題并改進(jìn)現(xiàn)有的流程。第323條 計(jì)劃必須定期維護(hù)以確保其有效性，并指定人員負(fù)責(zé)維護(hù)，在出現(xiàn)下列情況時(shí)，必須對(duì)計(jì)劃進(jìn)行在評(píng)估和更新：1)法律的變化2)員工和公司的變化3)業(yè)務(wù)的變化4)業(yè)務(wù)系統(tǒng)和運(yùn)行環(huán)境的變化（如操作系統(tǒng)的升級(jí)）5)第三方責(zé)任人的變化（如承包人、供應(yīng)商）6)地址或者聯(lián)系電話的變化7)風(fēng)險(xiǎn)評(píng)估和業(yè)務(wù)影響分析的變化8)地點(diǎn)、設(shè)備和資源的變化第324條 計(jì)劃的更新必須通過(guò)正式的審批，最新的版本必須妥善保存，并分發(fā)給所有相關(guān)人員。14 附則第325條 本制度對(duì)公司信息安全管理工作的指導(dǎo)是基礎(chǔ)和根本性的，其它所有相關(guān)制度都應(yīng)與本制度保持一致。第326條 本制度由信息安全管理委員會(huì)負(fù)責(zé)解釋第327條 本制度自印發(fā)之日起生效。66 /