【正文】 2. 要充分理解并遵守軟件的使用承諾。（軟件的使用情況）第81條 對(duì)引進(jìn)的軟件要實(shí)行底帳管理。此外，最好根據(jù)需要，引進(jìn)收集軟件的安裝信息和設(shè)定信息的工具。 （引進(jìn)后的運(yùn)用管理體制）第82條 要根據(jù)需要，明確要引進(jìn)軟件的維護(hù)和開發(fā)商的支援體制。 （監(jiān)查）第83條 信息安全委員會(huì)與信息安全小組要定期監(jiān)查軟件是否得到妥善地引進(jìn)、使用。 第16節(jié) 本單位信息系統(tǒng)的構(gòu)筑、運(yùn)用（確保各工序的信息安全）第84條 為了在采取信息安全對(duì)策時(shí)確保完善的體制、充分的預(yù)算和期間，從計(jì)劃階段開始就要進(jìn)行關(guān)于信息安全的討論。2. 在設(shè)計(jì)、開發(fā)、測(cè)試、保養(yǎng)以及運(yùn)用的各個(gè)階段，要對(duì)安全功能的質(zhì)量進(jìn)行審評(píng)，并要得到信息安全委員會(huì)（SM委員會(huì)）的同意。（職務(wù)的分離）第85條 為了排除誤用和惡意的行為，要將系統(tǒng)構(gòu)筑業(yè)務(wù)（程序開發(fā)等）、系統(tǒng)運(yùn)用業(yè)務(wù)（正式作業(yè)的運(yùn)行等）、用戶業(yè)務(wù)（輸入數(shù)據(jù)的編制和變更、輸出數(shù)據(jù)的存取等）等權(quán)限進(jìn)行分離，編緝成彼此相互牽制的功能。因某種制約不能進(jìn)行職務(wù)分離時(shí)，要進(jìn)行行動(dòng)監(jiān)視和獲取使用日志等。（環(huán)境的分離）第86條 除正式環(huán)境外還要備有另外的開發(fā)環(huán)境和測(cè)試環(huán)境，根據(jù)需要進(jìn)行充分的測(cè)試后再移行到正式環(huán)境。另外，正式環(huán)境、開發(fā)環(huán)境和測(cè)試環(huán)境之間的訪問要限定在必要的最小限度。2. 對(duì)于新引進(jìn)的系統(tǒng)，要對(duì)基于設(shè)計(jì)時(shí)的對(duì)策方針編入的所有的安全性功能進(jìn)行測(cè)試，取得信息安全委員會(huì)（SM委員會(huì)）的同意。另外，測(cè)試結(jié)果要用書面形式保存。（使用重要信息的測(cè)試）第87條 使用重要信息的測(cè)試，限定在本單位擁有的測(cè)試環(huán)境，測(cè)試結(jié)束后，要進(jìn)行數(shù)據(jù)刪除等適當(dāng)?shù)奶幚?。另外，使用重要信息要進(jìn)行記錄。2. 實(shí)施使用重要信息的測(cè)試時(shí)，要采取數(shù)據(jù)偽裝等保護(hù)數(shù)據(jù)泄露對(duì)策。（變更與維持管理）第88條 關(guān)于平常及緊急情況時(shí)的構(gòu)成變更，要設(shè)定變更管理步驟。第17節(jié) 設(shè)備對(duì)策（安全區(qū)域的設(shè)置）第89條 本單位系統(tǒng)的主機(jī)原則上設(shè)置在符合有關(guān)機(jī)構(gòu)規(guī)定的安全基準(zhǔn)的數(shù)據(jù)中心或與之同等的設(shè)施內(nèi)。2. 共享文件和各種服務(wù)器安裝在本單位建筑內(nèi)時(shí)，除業(yè)務(wù)上有要求的情況外，要設(shè)置在物理上安全的場(chǎng)所。特別是對(duì)于機(jī)密性高的信息資源要設(shè)置專用的區(qū)域。（軟件開發(fā)區(qū)域的設(shè)置）第90條 在接受委托進(jìn)行軟件開發(fā)業(yè)務(wù)的開發(fā)環(huán)境中，原則上要將每個(gè)客戶的項(xiàng)目進(jìn)行區(qū)域分隔，通過引進(jìn)出入室系統(tǒng)等，限定可以訪問的人員。（出入室管理）第91條 設(shè)置處理重要信息服務(wù)器的場(chǎng)所平時(shí)要上鎖，進(jìn)行出入室管理。2. 能夠進(jìn)入設(shè)置處理重要信息服務(wù)器場(chǎng)所的人員必須獲得信息安全委員會(huì)（SM委員會(huì)）的批準(zhǔn)。3. 出入需要進(jìn)行出入室管理房間時(shí)，要留取完善的記錄。并且要定期監(jiān)查其內(nèi)容，調(diào)查是否有過違法侵入。另外，記錄要保存一定的期間。第18節(jié) 發(fā)生侵害信息安全時(shí)的對(duì)應(yīng)（發(fā)生侵害信息安全時(shí)的報(bào)告和對(duì)應(yīng)）第92條 發(fā)現(xiàn)信息安全方面受到侵害時(shí)（信息被盜和泄露、篡改、不能使用等）或有該方面嫌疑時(shí)，不論原因如何，要迅速向項(xiàng)目負(fù)責(zé)人和部長以及信息安全委員會(huì)（SM委員會(huì)）報(bào)告。在有可能影響波及到客戶的情況下，原則上要通過信息安全委員會(huì)委員長（SM委員長）與客戶聯(lián)系。另外，對(duì)報(bào)告內(nèi)容要進(jìn)行記錄。2. 要明確報(bào)告途徑。另外，當(dāng)發(fā)生重大的信息安全侵害時(shí)，應(yīng)能夠上報(bào)到經(jīng)營層?；蛘呦蛳鄳?yīng)的主管部門報(bào)告。（編制信息系統(tǒng)有關(guān)緊急情況時(shí)對(duì)應(yīng)計(jì)劃書）第93條 信息安全委員會(huì)（SM委員會(huì)）應(yīng)編制信息安全有關(guān)緊急情況對(duì)應(yīng)計(jì)劃書并予以普及。（緊急情況應(yīng)對(duì)計(jì)劃的維持管理）第94條 要根據(jù)業(yè)務(wù)環(huán)境變化和信息安全技術(shù)的變化進(jìn)行風(fēng)險(xiǎn)分析，適時(shí)地對(duì)緊急情況對(duì)應(yīng)計(jì)劃進(jìn)行重審。（緊急情況對(duì)應(yīng)的訓(xùn)練）第95條 信息安全委員會(huì)（SM委員會(huì)）要制定緊急情況對(duì)應(yīng)的訓(xùn)練計(jì)劃并予以實(shí)施。（信息安全侵害狀況處理后的對(duì)應(yīng)）第96條 采取相應(yīng)的緊急對(duì)策，處理了信息安全侵害后，要在分析其原因的基礎(chǔ)上采取防止再次發(fā)生的改進(jìn)對(duì)策。第19節(jié) 外包管理（外包對(duì)象的選定）第97條 制定與外包對(duì)象有關(guān)的安全方面選定標(biāo)準(zhǔn)，并遵守該標(biāo)準(zhǔn)。（與確保安全有關(guān)的合同）第98條 為了確保安全，要簽定合同書記載有安全要件的合同。（轉(zhuǎn)包）第99條 要設(shè)定與外包對(duì)象簽定合同后，當(dāng)又將委托業(yè)務(wù)轉(zhuǎn)包給第三方時(shí)，要向本單位報(bào)告，在選定轉(zhuǎn)包對(duì)象時(shí)，只有判斷能維持本單位所要求的安全水準(zhǔn)者方能許可轉(zhuǎn)包的條款。（委托對(duì)象管理）第100條 要制定將本單位信息系統(tǒng)外包時(shí)的開發(fā)管理規(guī)程和驗(yàn)收標(biāo)準(zhǔn)。（單位外人員的管理）第101條 關(guān)于外包對(duì)象處的工作人員必須遵守的安全事項(xiàng)，應(yīng)令其徹底了解。2. 將業(yè)務(wù)委托給外包單位時(shí)，要明確該業(yè)務(wù)內(nèi)容、遞交的信息、賦予的訪問權(quán)限以及該委托業(yè)務(wù)本單位方面的管理者。3. 委托業(yè)務(wù)結(jié)束時(shí)，要迅速地使信息系統(tǒng)以及出入館的權(quán)限變成不可使用的狀態(tài)。第20節(jié) 單位成員就職、辭職和人事變動(dòng)時(shí)的措施第102條 單位成員進(jìn)入單位就職時(shí)要提交關(guān)于保密方面的誓約書。2. 單位成員因?yàn)槿耸伦儎?dòng)等脫離現(xiàn)在的業(yè)務(wù)時(shí)，要適當(dāng)?shù)刈兏畔⑾到y(tǒng)以及出入館的訪問權(quán)限。3. 單位成員辭職時(shí)，借與的計(jì)算機(jī)以及其它信息設(shè)備、本單位所擁有的信息要予以返還。4. 單位成員辭職時(shí)，要讓其簽署保守關(guān)于業(yè)務(wù)上得知的秘密事項(xiàng)的備忘錄。第21節(jié) 信息安全的維持活動(dòng)（管理周期）第103條 信息安全委員會(huì)委員長（SM委員長）要確立信息安全管理周期（計(jì)劃174。實(shí)行174。點(diǎn)檢174。處置），采取維持、提高信息安全的對(duì)策。2. 為了確認(rèn)確保信息安全所采取的措施是否在不斷有效地得到落實(shí)，信息安全委員會(huì)委員長（SM委員長）要定期地對(duì)所采取措施的內(nèi)容進(jìn)行審核，對(duì)改善的必要性進(jìn)行評(píng)價(jià)，并記錄和保管審核的結(jié)果。（教育）第104條 教育負(fù)責(zé)部門要不斷擬定并實(shí)施對(duì)單位成員以及人材單位派遣的職工、合同工、其他單位外人員進(jìn)行信息安全教育的計(jì)劃。2. 全體單位成員都要接受信息安全教育規(guī)劃的講義，并遵守之。3. 各項(xiàng)目和各部的項(xiàng)目負(fù)責(zé)人、部長必須要對(duì)各項(xiàng)目和各部的全體單位成員以及在各項(xiàng)目和各部從事工作的所有人員（來自人材單位的派遣人員、合同工、其他單位外人員）進(jìn)行管理，根據(jù)信息安全教育規(guī)劃進(jìn)行教育。（監(jiān)查）第105條 信息安全監(jiān)查委員會(huì)對(duì)本政策及其有關(guān)規(guī)程是否得到遵守要定期地進(jìn)行信息安全監(jiān)查。2. 作為信息安全監(jiān)查的結(jié)果，當(dāng)發(fā)現(xiàn)重大問題時(shí)，信息安全監(jiān)查委員會(huì)要向董事會(huì)報(bào)告并提出改進(jìn)建議。3. 提出信息安全監(jiān)查結(jié)果和改進(jìn)建議后，信息安全委員會(huì)委員長（SM委員長）要迅速采取對(duì)策。4. 在接受委托進(jìn)行的軟件開發(fā)業(yè)務(wù)中，當(dāng)委托方要求進(jìn)行外部監(jiān)查的時(shí)候，要根據(jù)締結(jié)的合同等接受監(jiān)查。各種細(xì)則（本政策的開示）第106條 本政策僅供本單位內(nèi)部使用，原則上不向單位外開示。2. 對(duì)單位外部組織開示時(shí)，要獲得信息安全委員會(huì)委員長（SM委員長）的批準(zhǔn)，僅開示必要的條款。（本政策的維持和改訂）第107條 本政策的維持、改訂的主管部署為信息安全委員會(huì)（SM委員會(huì)）。2. 本政策改訂時(shí)，由信息安全委員會(huì)委員長（SM委員長）聽取主管領(lǐng)導(dǎo)的意見，且必須獲得其批準(zhǔn)。3. 進(jìn)行改訂了時(shí)，要使有關(guān)單位成員以及單位外人員周知。（罰則）第108條 單位成員違反本政策及有關(guān)規(guī)程和其他應(yīng)遵守的法令時(shí)，應(yīng)依據(jù)就業(yè)規(guī)則有關(guān)懲戒部分的章節(jié)所規(guī)定的內(nèi)容處理。（負(fù)責(zé)）第109條 涉及信息安全的全單位最終責(zé)任由信息安全主管領(lǐng)導(dǎo)負(fù)責(zé)。