【正文】 提供給授權(quán)使用者的互聯(lián)網(wǎng)瀏覽軟件只能用于公司業(yè)務(wù)；? 互聯(lián)網(wǎng)訪問權(quán)限只授權(quán)給總經(jīng)理、副總經(jīng)理、IT 管理員，其他用戶需訪問互聯(lián)網(wǎng)必須在公司公共的上網(wǎng)區(qū)域訪問互聯(lián)網(wǎng)，且必須遵守相關(guān)規(guī)定。? 所有用于訪問互聯(lián)網(wǎng)的軟件必須都經(jīng)過信息安全小組批準(zhǔn)，并且必須結(jié)合賣方提供的安全補丁；? 從互聯(lián)網(wǎng)下載的所有文件必須通過信息安全小組批準(zhǔn)的病毒檢測軟件進(jìn)行病毒掃描；? 訪問的所有站點都必須符合信息資源使用策略；? 對用戶在信息資產(chǎn)上的所有活動都必須進(jìn)行記錄并評審；? 所有 Web 站點上的內(nèi)容都必須符合信息資源使用策略；? 不能通過 Web 站點訪問攻擊性的或騷擾性的資料；? 私人的商業(yè)廣告不能通過 Web 站點發(fā)布；? 互聯(lián)網(wǎng)不可以用于個人私利；? 在不能確保資料只被授權(quán)的人員或組織使用時，數(shù)據(jù)不能通過 Web 站點獲?。? 通過外部網(wǎng)絡(luò)傳送的所有機密資料都必須經(jīng)過加密；? 電子文件必須服從適用其文件類型的保存規(guī)則，必須依照部門記錄保存方案進(jìn)行保存；? 偶爾使用互聯(lián)網(wǎng)訪問的人員必須僅限于授權(quán)用戶，不能延伸到家庭成員或其他熟30 / 36人；? 偶爾使用必須不造成費用損失；? 偶爾使用必須不能干擾員工的正常工作任務(wù)；? 文檔和文件的發(fā)送或接受必須以不引起法律責(zé)任或阻礙的方式進(jìn)行；? 所有文檔和文件—— 包括私人文檔和文件，必須符合記錄公開要求，并且可以依照本策略訪問到；? 使用互聯(lián)網(wǎng)應(yīng)遵循法律法規(guī)要求，并不得利用國際聯(lián)網(wǎng)危害國家安全、泄露國家秘密，不得侵犯國家的、社會的、集體的利益和公民的合法權(quán)益，不得從事違法犯罪活動。懲罰違背該策略可能導(dǎo)致：員工以及臨時工被解雇、合同方或顧問的雇傭關(guān)系終止、實習(xí)人員和志愿者失去繼續(xù)工作的機會、學(xué)生被開除；另外， 這些人員還可能遭受信息資源訪問權(quán)以及公民權(quán)的損失，甚至遭到法律起訴。引用標(biāo)準(zhǔn) 略31 / 3621. 便攜式計算機安全策略發(fā)布部門 信息安全小組 生效時間 2022 年 11 月 01 日介紹便攜式計算機設(shè)備的功能和應(yīng)用越來越廣泛。其小巧的“體型”和強大的功能使人們期望其替代傳統(tǒng)的桌面設(shè)備。然而，這些設(shè)備的便攜特性也會給使用他們的組織增加安全暴露。目 的該策略的目的是建立移動計算機設(shè)備的使用規(guī)則及其與互聯(lián)網(wǎng)的連接規(guī)則。這些規(guī)則是保持信息保密性、完整性和可用性所必需的。適用范圍 該策略適用于使用便攜式計算機設(shè)備訪問信息資源的所有人。術(shù)語定義 略便攜式計算機安全策略? 只有被批準(zhǔn)的便攜式計算機設(shè)備才能用來訪問信息資源；? 便攜式計算機設(shè)備必須有口令保護(hù)；? 存儲在便攜式計算機設(shè)備中的重要數(shù)據(jù)應(yīng)定期備份；? 無線傳輸設(shè)備必須設(shè)定復(fù)雜化密碼，SSID 不廣播。? 需要連接互聯(lián)網(wǎng)的計算機系統(tǒng)必須符合信息服務(wù)標(biāo)準(zhǔn)；? 對無人看守的便攜式計算機設(shè)備必須實施物理保護(hù)，必須放在帶鎖的辦公室、抽屜或文件柜里，或者鎖在桌子或柜子上；? 非授權(quán)便攜式計算機禁止在公司辦公區(qū)域內(nèi)使用；? 非授權(quán)便攜式計算機禁止加入公司域；懲罰違背該策略可能導(dǎo)致：員工以及臨時工被解雇、合同方或顧問的雇傭關(guān)系終止、實習(xí)人員和志愿者失去繼續(xù)工作的機會、學(xué)生被開除；另外， 這些人員還可能遭受信息資源訪問權(quán)以及公民權(quán)的損失，甚至遭到法律起訴。引用標(biāo)準(zhǔn) 略32 / 3622. 事件管理策略發(fā)布部門 信息安全小組 生效時間 2022 年 11 月 01 日介紹計算機安全事件的數(shù)量以及由其導(dǎo)致得業(yè)務(wù)中斷和服務(wù)恢復(fù)所需的費用日益增長。實施可靠的安全策略，防止對網(wǎng)絡(luò)和計算機不必要的訪問，提高用戶的安全意識以及及早檢測并減輕安全事件，可有效的降低風(fēng)險以及安全事件的成本。目 的該策略的目的是描述處理計算機安全事件的要求。安全事件包括，但不僅限于：病毒、蠕蟲、特洛伊碼、未經(jīng)授權(quán)使用計算機賬號和計算機 系統(tǒng)以及如在電子郵件策略、信息資源使用策略以及互聯(lián)網(wǎng)策略中規(guī)定的對信息資源不恰當(dāng)?shù)氖褂?。適用范圍 該策略適用于使用任何信息資源的所有人員。術(shù)語定義 略信息資源保密策略? 信息 技術(shù)部小組的成員此方面任務(wù)和職責(zé)的優(yōu)先權(quán)要高于其正常的職責(zé)；? 在懷疑或確定發(fā)生安全事件的任何時候都必須遵循適當(dāng)?shù)氖录芾沓绦?，例如病毒、蠕蟲、惡作劇郵件等；? 信息安全小組負(fù)責(zé)通知信息安全經(jīng)理以及信息 技術(shù)部小組，啟動適當(dāng)?shù)氖录芾砘顒?，包括事件管理程序中?guī)定的恢復(fù)活動；? 在事件調(diào)查過程中，信息安全小組負(fù)責(zé)確定要搜集的實物和電子證據(jù)；? 信息 技術(shù)部小組提供的用于監(jiān)控安全事件破壞的 技術(shù)部資源應(yīng)該被維修并降低其潛在的薄弱點；? 信息安全小組與信息安全經(jīng)理合作確定是否需要對安全事件進(jìn)行廣泛的溝通，溝通的內(nèi)容以及怎樣最好的將溝通的內(nèi)容共享；? 信息 技術(shù)部小組應(yīng)提供響應(yīng)的 技術(shù)部資源，用于和系統(tǒng)賣方溝通新問題或薄弱點，并與賣方共同消除或減輕薄弱點；? 信息安全小組在信息 技術(shù)部小組的協(xié)助下，負(fù)責(zé)啟動、完成并文件化事件調(diào)查過程；? 信息安全小組負(fù)責(zé)向下列部門或人員報告：? 信息資源相關(guān)部門? 在有關(guān)事件響應(yīng)的法律、法規(guī)和 / 或規(guī)章中要求的地方、省、國家有關(guān)部門? 信息安全小組負(fù)責(zé)與外部組織以及法規(guī)強制部門的協(xié)調(diào)溝通；? 在不牽涉到法律強制的地方，信息安全小組可以向信息安全經(jīng)理建議懲戒措施；? 在牽涉到法律強制的地方，信息安全小組負(fù)責(zé)與法律強制部門的聯(lián)絡(luò)。懲罰違背該策略可能導(dǎo)致：員工以及臨時工被解雇、合同方或顧問的雇傭關(guān)系終止、實習(xí)人員和志愿者失去繼續(xù)工作的機會、學(xué)生被開除；另外， 這些人員還可能遭受信息資源訪問權(quán)以及公民權(quán)的損失，甚至遭到法律起訴。33 / 36引用標(biāo)準(zhǔn) 略23. 個人信息使用策略發(fā)布部門 信息安全小組 生效時間 2022 年 11 月 01 日介紹 對個人信息的隱私加以保護(hù)。目 的 該策略的目的是保護(hù)個人信息的隱私，符合相關(guān)的法律、法規(guī)和合同條款的要求。適用范圍 該策略適用于使用和保存?zhèn)€人信息的人員。術(shù)語定義 略個人信息使用策略? 只對業(yè)務(wù)上必需的最小限度的信息采取合法且公正的方法進(jìn)行收集，原則上，在向信息所有者說明使用目的并征得同意后再行收集。? 嚴(yán)禁用于收集目的以外的用途。? 個人信息的所有者要求對自己的個人信息進(jìn)行明示、修改、刪除和停止使用時，在進(jìn)行嚴(yán)格的本人確認(rèn)后，應(yīng)盡快予以施行。? 當(dāng)將與個人信息有關(guān)的事宜對外委托處理時，要求施行與在本公司內(nèi)同等程度的管理。? 當(dāng)接受外部委托進(jìn)行有關(guān)個人信息的處理時，要遵守委托方的個人信息管理準(zhǔn)則。懲罰違背該策略可能導(dǎo)致：員工以及臨時工被解雇、合同方或顧問的雇傭關(guān)系終止、實習(xí)人員和志愿者失去繼續(xù)工作的機會、學(xué)生被開除；另外， 這些人員還可能遭受信息資源訪問權(quán)以及公民權(quán)的損失，甚至遭到法律起訴引用標(biāo)準(zhǔn) 略34 / 3624. 業(yè)務(wù)信息系統(tǒng)使用策略發(fā)布部門 信息安全小組 生效時間 2022 年 11 月 01 日介紹 業(yè)務(wù)信息系統(tǒng)主要是與我公司業(yè)務(wù)相關(guān)的使用軟件系統(tǒng)。目 的該策略的目的是為了規(guī)范化我們對業(yè)務(wù)系統(tǒng)的操作，從而降低由此引起的公司財產(chǎn)的損失。適用范圍 該策略適用于所有業(yè)務(wù)信息系統(tǒng)操作相關(guān)的人員。術(shù)語定義 略業(yè)務(wù)信息系統(tǒng)使用策略? 加強保護(hù)業(yè)務(wù)信息系統(tǒng)免受網(wǎng)絡(luò)安全風(fēng)險的干擾。? 公司業(yè)務(wù)信息系統(tǒng)的使用人員應(yīng)該有熟練的操作技巧，對于不熟悉的人員應(yīng)該盡量避免使用。? 對于不熟悉的人員如果需要使用業(yè)務(wù)信息系統(tǒng)時，需要進(jìn)行使用前的培訓(xùn)。? 對于需要使用業(yè)務(wù)信息系統(tǒng)的人員需要提出申請，并且通過信息安全小組認(rèn)可后才可以允許使用。懲罰違背該策略可能導(dǎo)致：員工以及臨時工被解雇、合同方或顧問的雇傭關(guān)系終止、實習(xí)人員和志愿者失去繼續(xù)工作的機會、學(xué)生被開除；另外， 這些人員還可能遭受信息資源訪問權(quán)以及公民權(quán)的損失，甚至遭到法律起訴。引用標(biāo)準(zhǔn) 略35 / 3625. 遠(yuǎn)程工作策略發(fā)布部門 信息安全小組 生效時間 2022 年 11 月 01 日介紹遠(yuǎn)程工作是使用通信 技術(shù)部手段使在組織場所外固定地點的人員可以進(jìn)行遠(yuǎn)程進(jìn)入公司網(wǎng)絡(luò)工作。目 的 該策略的目的是確保遠(yuǎn)程工作及設(shè)施的信息安全。適用范圍 該策略適用于通過遠(yuǎn)程工作方式訪問任何信息資源的所有人。術(shù)語定義 略遠(yuǎn)程工作策略? 遠(yuǎn)程工作的方式必須獲得信息安全小組的批準(zhǔn)，并獲得信息安全小組的授權(quán)，任何部門和個人不得私設(shè)可以遠(yuǎn)程訪問的接口；? 遠(yuǎn)程工作應(yīng)僅限于申請的設(shè)備和地點，嚴(yán)禁在公共計算機設(shè)備（例如網(wǎng)吧）上進(jìn)行；? 遠(yuǎn)程工作人員范圍僅限于工作需要的人員，內(nèi)部遠(yuǎn)程工作人員必須獲得部門負(fù)責(zé)人的書面授權(quán)，并獲得信息安全小組的批準(zhǔn)；? 遠(yuǎn)程工作人員不得將遠(yuǎn)程工作身份識別信息和相關(guān)設(shè)備透露、借用給其他人員，工作結(jié)束后應(yīng)該立即注銷并斷開遠(yuǎn)程連接；? 遠(yuǎn)程工作的相關(guān)通信和設(shè)備必須接受信息安全小組的相關(guān)配置和監(jiān)控；? 遠(yuǎn)程工作的訪問權(quán)限不允許超過該人員在公司內(nèi)部網(wǎng)絡(luò)的正常訪問權(quán)限，并符合《用戶訪問控制程序》 ；? 外部供應(yīng)商需要連接本公司網(wǎng)絡(luò)進(jìn)行系統(tǒng)維護(hù)或故障診斷應(yīng)該簽訂《保密協(xié)議》 ，明確對方的保密責(zé)任和相關(guān)安全要求；遠(yuǎn)程訪問時要做好記錄，維護(hù)結(jié)束后立即斷開連接。懲罰違背該策略可能導(dǎo)致：員工以及臨時工被解雇、合同方或顧問的雇傭關(guān)系終止、實習(xí)人員和志愿者失去繼續(xù)工作的機會、學(xué)生被開除；另外， 這些人員還可能遭受信息資源訪問權(quán)以及公民權(quán)的損失，甚至遭到法律起訴。引用標(biāo)準(zhǔn) 略36 / 3626. 安全開發(fā)策略發(fā)布部門 信息安全小組 生效時間 2022 年 11 月 01 日介紹 建立軟件和系統(tǒng)開發(fā)規(guī)則，并應(yīng)用于組織內(nèi)的開發(fā)目 的該策略的目的是宜確保進(jìn)行信息安全設(shè)計，并確保其在信息系統(tǒng)開發(fā)生命周期中實施。適用范圍該策略適用于開發(fā)管理系統(tǒng)、應(yīng)用系統(tǒng)過程中，同時開發(fā)也可能發(fā)生在應(yīng)用中，例如辦公應(yīng)用、腳本、瀏覽器和數(shù)據(jù)庫等。術(shù)語定義 略遠(yuǎn)程工作策略? 保證開發(fā)環(huán)境的安全，做到開發(fā)環(huán)境、測試環(huán)境、運營環(huán)境想隔離，權(quán)限單獨控制；? 制定軟件開發(fā)周期的安全指南，包括軟件開發(fā)方法的安全、開發(fā)程序的安全編碼指南；? 收集并編寫系統(tǒng)的安全需求；? 在軟件的里程碑設(shè)置時考慮安全的檢查點；? 建立安全知識庫，記錄意外開發(fā)中遇到的安全問題解決經(jīng)驗；? 對開發(fā)者就系統(tǒng)開發(fā) 技術(shù)部的脆弱性應(yīng)進(jìn)行培訓(xùn)，已應(yīng)對開發(fā)過程中遇到是的處理，對培訓(xùn)情況需進(jìn)行驗證。懲罰違背該策略可能導(dǎo)致：開發(fā)人員被解雇、信息系統(tǒng)產(chǎn)品無法滿足需求帶來的合同中斷、內(nèi)部投訴等。引用標(biāo)準(zhǔn)