【正文】 其他事件（OI） 其他事件類(lèi)別是指不能歸為以上6個(gè)基本分類(lèi)的信息安全事件。 設(shè)備設(shè)施故障（FF） 設(shè)備設(shè)施故障是指由于信息系統(tǒng)自身故障或外圍保障設(shè)施故障而導(dǎo)致的信息安全事件，以及人為的使用非技術(shù)手段有意或無(wú)意的造成信息系統(tǒng)破壞而導(dǎo)致的信息安全事件。 信息破壞事件（IDI） 信息破壞事件是指通過(guò)網(wǎng)絡(luò)或其他技術(shù)手段，造成信息系統(tǒng)中的信息被篡改、假冒、泄漏、竊取等而導(dǎo)致的信息安全事件。網(wǎng)頁(yè)內(nèi)嵌惡意代碼是指內(nèi)嵌在網(wǎng)頁(yè)中，未經(jīng)允許由瀏 覽器執(zhí)行，影響信息系統(tǒng)正常運(yùn)行的有害程序； g) 其它有害程序事件（OMI） 是指不能包含在以上6個(gè)子類(lèi)之中的有害程序事件。特洛伊木馬程序是指?jìng)窝b在信息系統(tǒng)中的一種有害程序，具有控制該信息系統(tǒng)或進(jìn)行信息竊取等對(duì)該信息系統(tǒng)有害的功能； d) 僵尸網(wǎng)絡(luò)事件（BI） 是指利用僵尸工具軟件，形成僵尸網(wǎng)絡(luò)而導(dǎo)致的信息安全事件。有害程序是指插入到信息系統(tǒng)中的一段程序，有害程序危害系統(tǒng)中數(shù)據(jù)、應(yīng)用程序或操作系統(tǒng)的保密性、 完整性或可用性，或影響信息系統(tǒng)的正常運(yùn)行。 信息安全異常現(xiàn)象處理流程圖1 信息安全異?，F(xiàn)象處理流程圖信息安全異常現(xiàn)象處理流程：a) 異?，F(xiàn)象發(fā)現(xiàn)者應(yīng)及時(shí)上報(bào)信息安全工作小組，由工作小組指派相應(yīng)人員進(jìn)行處理。2) 信息安全工作小組：負(fù)責(zé)組織制定內(nèi)部信息安全事件處理制度；聽(tīng)取信息安全事件的匯報(bào)，負(fù)責(zé)對(duì)信息安全事件進(jìn)行調(diào)查取證，提出處理措施，提出獎(jiǎng)懲意見(jiàn)以及糾正預(yù)防措施，負(fù)責(zé)信息安全有關(guān)的所有文件的管理與控制；負(fù)責(zé)組織制定項(xiàng)目信息安全事件處理制度；聽(tīng)取信息安全事件的匯報(bào)，負(fù)責(zé)對(duì)信息安全事件進(jìn)行調(diào)查取證，提出處理措施，提出獎(jiǎng)懲意見(jiàn)以及糾正預(yù)防措施，負(fù)責(zé)信息安全有關(guān)的所有文件的管理與控制。2. 引用文件1) 下列文件中的條款通過(guò)本規(guī)定的引用而成為本規(guī)定的條款。5. 定期評(píng)審公司應(yīng)對(duì)信息安全交流管理以及信息安全管理體系每年度進(jìn)行一次安全評(píng)審公司應(yīng)與相關(guān)聯(lián)外部組織或內(nèi)部組織每年進(jìn)行一次信息安全管理溝通，以征求相關(guān)組織對(duì)公司信息安全的評(píng)價(jià)，以便于改進(jìn)。可保存經(jīng)加密的原文件，未加密的原文件應(yīng)被清除。所傳輸?shù)臉I(yè)務(wù)信息（包括消息）的保留和處理，要符合國(guó)家和地方法律法規(guī)規(guī)定。 3. 信息傳輸安全控制措施對(duì)傳輸前的信息進(jìn)行病毒掃描，防止病毒威脅擴(kuò)散。文檔編號(hào)（由總裁辦填寫(xiě)）密級(jí)內(nèi)部公開(kāi)文檔發(fā)布級(jí)別公司級(jí)文檔發(fā)布及實(shí)行范圍全員制度試行日期（可選）制度執(zhí)行日期文檔起草人簽字： 日期： 文檔修訂人：簽字：日期：修訂說(shuō)明：備注：文檔負(fù)責(zé)人：簽字：日期：文檔審批信息安全管理者代表簽字： 日期：文檔審批人簽字： 日期：信息安全交流控制制度1. 目標(biāo) 解決組織與外部方之間業(yè)務(wù)信息的安全傳輸，保護(hù)通過(guò)使用各種類(lèi)型通信設(shè)施進(jìn)行的信息傳輸。5. 郵箱使用一般郵件內(nèi)容不應(yīng)超過(guò)10M，如需發(fā)送較大附件，建議將附件拆分后分發(fā)送。 4. 郵箱管理流程郵箱開(kāi)通：?jiǎn)T工在入職時(shí)，辦理入職手續(xù)時(shí)，由人力資源部統(tǒng)一開(kāi)通。 在職人員名片以及公司其他對(duì)外宣傳資料上必須印有公司域名為后綴的郵件地址。 2. 總則 公司對(duì)員工郵箱進(jìn)行統(tǒng)一規(guī)劃和管理。3) 公司使用的信息交流設(shè)施在安全性上應(yīng)符合國(guó)家信息安全相關(guān)法律法規(guī)、上級(jí)主管機(jī)關(guān)以及本公司安全管理規(guī)定的要求；4) 對(duì)信息交流應(yīng)作適當(dāng)?shù)姆婪?，如不要暴露敏感信息，避免被通過(guò)電話(huà)偷聽(tīng)或截??；5) 員工、合作方以及任何其他用戶(hù)不得損害公司的利益，如誹謗、騷擾、假冒、未經(jīng)授權(quán)的采購(gòu)等；6) 不得將敏感或關(guān)鍵信息放在打印設(shè)施上，如復(fù)印機(jī)、打印機(jī)和傳真，防止未經(jīng)授權(quán)人員的訪(fǎng)問(wèn)；7) 在使用電子通信設(shè)施進(jìn)行信息交流時(shí)，所考慮的控制包括： l 保護(hù)以附件形式傳輸?shù)碾娮有畔⒌某绦颍?l 有業(yè)務(wù)信件和消息的保持和處置原則，要符合相關(guān)的國(guó)家或地方法規(guī)；l 在對(duì)外聯(lián)系中，應(yīng)注意安全保密，用Email發(fā)送機(jī)密信息必須符合公司的相關(guān)規(guī)定；l 因工作需要而傳遞公司或項(xiàng)目保密文件時(shí)，經(jīng)批準(zhǔn)后，可通過(guò)加密渠道傳遞；l 通過(guò)EMAIL發(fā)送機(jī)密附件時(shí)，如有必要，附件必須加密，密碼通過(guò)其他方式告知對(duì)方。4) 系統(tǒng)服務(wù)部制定VLAN訪(fǎng)問(wèn)控制說(shuō)明。2) GB/T 220802016/ISO/IEC 27001:2013 信息技術(shù)安全技術(shù)信息安全管理體系要求3) GB/T 220812016/ISO/IEC 27002:2013 信息技術(shù)安全技術(shù)信息安全管理實(shí)施細(xì)則3. 職責(zé)和權(quán)限各部門(mén)必須遵照本管理規(guī)范實(shí)行對(duì)網(wǎng)絡(luò)、口令和權(quán)限的管理，用戶(hù)必須按照本管理規(guī)范訪(fǎng)問(wèn)公司辦公網(wǎng)系統(tǒng)和應(yīng)用系統(tǒng)。序號(hào)記錄名稱(chēng)保存期限保存形式備注1日志檢查評(píng)審記錄三年紙質(zhì)/電子2重要服務(wù)器容量監(jiān)控評(píng)審表三年紙質(zhì)/電子3重要服務(wù)器和設(shè)備日志明細(xì)表三年紙質(zhì)/電子文檔編號(hào)（由總裁辦填寫(xiě)）密級(jí)內(nèi)部公開(kāi)文檔發(fā)布級(jí)別公司級(jí)文檔發(fā)布及實(shí)行范圍制度試行日期（可選）制度執(zhí)行日期文檔起草人簽字： 日期： 文檔修訂人：簽字：日期：修訂說(shuō)明：備注：文檔負(fù)責(zé)人：簽字：日期：文檔審批信息安全管理者代表簽字： 日期：文檔審批人簽字： 日期：七、通信安全通信安全管理規(guī)定1. 目標(biāo)通過(guò)控制網(wǎng)絡(luò)訪(fǎng)問(wèn)權(quán)限以及公司與外部的信息傳遞，防止對(duì)辦公網(wǎng)系統(tǒng)和應(yīng)用系統(tǒng)的非法訪(fǎng)問(wèn)。1) 系統(tǒng)管理員確定檢查頻率，監(jiān)控人員定期登錄系統(tǒng)查看CPU，硬盤(pán)、內(nèi)存的使用情況，發(fā)現(xiàn)問(wèn)題時(shí)第一時(shí)間通知各產(chǎn)品線(xiàn)負(fù)責(zé)人。2) GB/T 220802016/ISO/IEC 27001:2013 信息技術(shù)安全技術(shù)信息安全管理體系要求3) GB/T 220812016/ISO/IEC 27002:2013 信息技術(shù)安全技術(shù)信息安全管理實(shí)施細(xì)則3. 職責(zé)和權(quán)限系統(tǒng)服務(wù)部：負(fù)責(zé)公司網(wǎng)絡(luò)和系統(tǒng)訪(fǎng)問(wèn)活動(dòng)的監(jiān)控管理。文檔編號(hào)（由總裁辦填寫(xiě)）密級(jí)內(nèi)部公開(kāi)文檔發(fā)布級(jí)別公司級(jí)文檔發(fā)布及實(shí)行范圍全員制度試行日期（可選）制度執(zhí)行日期文檔起草人簽字： 日期： 文檔修訂人：簽字：日期：修訂說(shuō)明：備注：文檔負(fù)責(zé)人：簽字：日期：文檔審批信息安全管理者代表簽字： 日期：文檔審批人簽字： 日期：系統(tǒng)監(jiān)控管理規(guī)定1. 目的了解服務(wù)器的運(yùn)行狀態(tài)，檢測(cè)未經(jīng)授權(quán)的信息處理活動(dòng)，為安全事故提供證據(jù)，確保業(yè)務(wù)系統(tǒng)的穩(wěn)定性、可靠性、安全性。4. 備份管理各部門(mén)根據(jù)業(yè)務(wù)的實(shí)際情況，識(shí)別需要備份的數(shù)據(jù)。2. 引用文件1) 下列文件中的條款通過(guò)本規(guī)定的引用而成為本規(guī)定的條款。2) 個(gè)人電腦辦公軟件首選安裝wps辦公軟件和任一款主流殺毒軟件。對(duì) Android 來(lái)說(shuō)示例可能包括 Demo APK、截圖。d) 該項(xiàng)目是否設(shè)有問(wèn)題跟蹤器（issue tracker）？e) 是否很快就有社區(qū)補(bǔ)丁推出？f) 在社區(qū)中，關(guān)于該項(xiàng)目的問(wèn)題反饋是否迅速？g) 其他的開(kāi)發(fā)者是否樂(lè)于使用該開(kāi)源項(xiàng)目，在社區(qū)中關(guān)于該項(xiàng)目的知識(shí)技巧是否很快傳播。b. 通用需求的修改按源項(xiàng)目要求修改代碼，反饋回開(kāi)源社區(qū)，請(qǐng)求合并進(jìn)主分支。光盤(pán)統(tǒng)一存放入文件柜中，并有明顯易辨認(rèn)的標(biāo)識(shí)，便于整理和取用。各部門(mén)負(fù)責(zé)《電腦防病毒及軟件表》的填寫(xiě)。1. 引用文件2. 職責(zé)和權(quán)限1） 系統(tǒng)服務(wù)部：是辦公軟件的歸口管理部門(mén)，負(fù)責(zé)每個(gè)季度對(duì)公司辦公軟件的安裝情況進(jìn)行檢查。2) 自管服務(wù)器的責(zé)任人需要定期對(duì)服務(wù)器的病毒庫(kù)及掃描內(nèi)容進(jìn)行檢查并記錄。5) 任何部門(mén)和個(gè)人應(yīng)當(dāng)接受對(duì)計(jì)算機(jī)病毒防治工作的監(jiān)督、檢查和指導(dǎo)。 3) 當(dāng)系統(tǒng)服務(wù)部或測(cè)試部發(fā)現(xiàn)重大系統(tǒng)漏洞時(shí)，將下發(fā)系統(tǒng)補(bǔ)丁安裝通知，信息安全小組負(fù)責(zé)收集和反饋安裝情況。采取計(jì)算機(jī)病毒安全技術(shù)防治措施。2. 引用文件1) 下列文件中的條款通過(guò)本規(guī)定的引用而成為本規(guī)定的條款。 “資產(chǎn)價(jià)值大、威脅等級(jí)高優(yōu)先安裝”的原則。 ，無(wú)補(bǔ)丁或未通過(guò)測(cè)試的補(bǔ)丁，可采用臨時(shí)解決辦法消除漏洞的威脅或者暫時(shí)接受該風(fēng)險(xiǎn)。 ，避免出現(xiàn)問(wèn)題進(jìn)行回退。 ，負(fù)責(zé)制訂補(bǔ)丁修補(bǔ)計(jì)劃。評(píng)估漏洞威脅、成因和嚴(yán)重性。 ，跟蹤最新補(bǔ)丁信息，評(píng)估漏洞威脅、成因和嚴(yán)重性。 3. 職責(zé)分工 操作系統(tǒng)補(bǔ)丁管理員 （含瀏覽器、辦公軟件）補(bǔ)丁的管理。在程序自動(dòng)執(zhí)行傳輸過(guò)程中，組織應(yīng)定義對(duì)敏感數(shù)據(jù)進(jìn)行全程加密和不落地傳輸?shù)姆桨?，并加以?zhí)行。軟件密鑰或證書(shū)須專(zhuān)人管理分發(fā)。2) 實(shí)施指南應(yīng)保護(hù)所有的密碼密鑰免遭修改、丟失和毀壞。g. 首次登錄時(shí)應(yīng)更改臨時(shí)口令。l 不要使用別人可以通過(guò)個(gè)人相關(guān)信息（如姓名、電話(huà)號(hào)碼、生日等）容易猜出或破解的口令。b. 應(yīng)避免在紙上記錄口令，或以明文方式記錄計(jì)算機(jī)內(nèi)。e. 對(duì)于泄漏口令造成的損失，由用戶(hù)本人負(fù)責(zé)。 3) 用戶(hù)口令管理a. 初始密碼在創(chuàng)建用戶(hù)時(shí)設(shè)定，初次登錄時(shí)操作系統(tǒng)或者管理員必須強(qiáng)制修改密碼，不能使用缺省設(shè)置的密碼。2) GB/T 220802016/ISO/IEC 27001:2013 信息技術(shù)安全技術(shù)信息安全管理體系要求3) GB/T 220812016/ISO/IEC 27002:2013 信息技術(shù)安全技術(shù)信息安全管理實(shí)施細(xì)則3. 職責(zé)和權(quán)限開(kāi)發(fā)部門(mén)：確保適當(dāng)和有效地使用密碼技術(shù)以保護(hù)信息的保密性、真實(shí)性和（或）完整性。本制度作為軟件開(kāi)發(fā)項(xiàng)目管理規(guī)定的補(bǔ)充，而不是作為軟件開(kāi)發(fā)項(xiàng)目管理的整體規(guī)范。18. 相關(guān)記錄序號(hào)記錄名稱(chēng)保存期限保存形式備注1重要服務(wù)器應(yīng)用系統(tǒng)清單三年電子2重要應(yīng)用系統(tǒng)權(quán)限評(píng)審表三年電子文檔編號(hào)（由總裁辦填寫(xiě)）密級(jí)內(nèi)部公開(kāi) 文檔發(fā)布級(jí)別公司級(jí)文檔發(fā)布及實(shí)行范圍全員制度試行日期（可選）制度執(zhí)行日期文檔起草人簽字： 日期：文檔修訂人簽字：日期：修訂說(shuō)明合并網(wǎng)絡(luò)、網(wǎng)絡(luò)服務(wù)。15. 外部人員使用筆記本的規(guī)定1) 出于安全考慮，一般不予考慮來(lái)訪(fǎng)人員接入公司內(nèi)部網(wǎng)絡(luò)。8) 各部門(mén)對(duì)筆記本電腦設(shè)備定期進(jìn)行一次病毒軟件和操作系統(tǒng)補(bǔ)丁自檢，行政部進(jìn)行不定期抽查。4) 凡帶出公司使用而遺失、被偷盜等均由個(gè)人負(fù)全責(zé)賠償。2） 如有已授權(quán)訪(fǎng)問(wèn)的設(shè)備，取消授權(quán)，應(yīng)即時(shí)對(duì)其MAC地址解綁。4) 所有遠(yuǎn)程接入用戶(hù)的客戶(hù)端或個(gè)人電腦必須安裝防病毒軟件并且病毒庫(kù)升級(jí)到最新。3) 公司使用的信息交流設(shè)施在安全性上應(yīng)符合國(guó)家信息安全相關(guān)法律法規(guī)、上級(jí)主管機(jī)關(guān)以及本公司安全管理規(guī)定的要求；4) 不能在公共場(chǎng)所或者敞開(kāi)的辦公室、沒(méi)有屋頂防護(hù)的會(huì)議室談?wù)摍C(jī)密信息；5) 對(duì)信息交流應(yīng)作適當(dāng)?shù)姆婪?，如不要暴露敏感信息，避免被通過(guò)電話(huà)偷聽(tīng)或截??；6) 員工、合作方以及任何其他用戶(hù)不得損害公司的利益，如誹謗、騷擾、假冒、未經(jīng)授權(quán)的采購(gòu)等；7) 不得將敏感或關(guān)鍵信息放在打印設(shè)施上，如復(fù)印機(jī)、打印機(jī)和傳真，防止未經(jīng)授權(quán)人員的訪(fǎng)問(wèn)；8) 在使用電子通信設(shè)施進(jìn)行信息交流時(shí)，所考慮的控制包括： l 防止交流的信息被截取、備份、修改、誤傳以及破壞； l 保護(hù)以附件形式傳輸?shù)碾娮有畔⒌某绦颍?l 有業(yè)務(wù)信件和消息的保持和處置原則，要符合相關(guān)的國(guó)家或地方法規(guī)；9) 使用傳真的人員注意下列問(wèn)題：l 未經(jīng)授權(quán)對(duì)內(nèi)部存儲(chǔ)的信息進(jìn)行訪(fǎng)問(wèn)，獲取信息；l 故意的或無(wú)意的程序設(shè)定，向特定的號(hào)碼發(fā)送信息； l 向錯(cuò)誤的號(hào)碼發(fā)送文件和信息，或者撥號(hào)錯(cuò)誤或者使用的存儲(chǔ)在機(jī)器中的號(hào)碼是錯(cuò)誤的。2) 運(yùn)行中心制定VLAN訪(fǎng)問(wèn)控制說(shuō)明。2) 客戶(hù)及第三方人員不允許直接通過(guò)可訪(fǎng)問(wèn)公司資源的有線(xiàn)或無(wú)線(xiàn)網(wǎng)絡(luò)訪(fǎng)問(wèn)Internet，客戶(hù)及第三方人員如需訪(fǎng)問(wèn)Internet應(yīng)當(dāng)在專(zhuān)設(shè)的隔離區(qū)進(jìn)行。6) 應(yīng)用系統(tǒng)用戶(hù)必須嚴(yán)格執(zhí)行保密制度。3) 應(yīng)用系統(tǒng)的用戶(hù)訪(fǎng)問(wèn)控制，用戶(hù)的申請(qǐng)應(yīng)填寫(xiě)相關(guān)系統(tǒng)的申請(qǐng)表，須經(jīng)過(guò)應(yīng)用系統(tǒng)的歸口主管部門(mén)審核同意，由系統(tǒng)管理員授權(quán)并登記備案后，方可使用相應(yīng)的應(yīng)用系統(tǒng)。1) 重要服務(wù)器應(yīng)設(shè)置會(huì)話(huà)超時(shí)限制，不活動(dòng)會(huì)話(huà)應(yīng)在一個(gè)設(shè)定的休止期5分鐘后關(guān)閉。2) 進(jìn)入操作系統(tǒng)必須執(zhí)行登錄操作，禁止將系統(tǒng)設(shè)定為自動(dòng)登錄。2) 定期檢查用戶(hù)賬戶(hù)：管理員每季度對(duì)應(yīng)用系統(tǒng)進(jìn)行一次權(quán)限評(píng)審。服務(wù)器日志的安全審查職責(zé)與日常工作權(quán)限責(zé)任分割。 引用文件：《密碼控制管理制度》5. 權(quán)限管理1) 所有的重要服務(wù)器應(yīng)用系統(tǒng)要有明確的用戶(hù)清單及權(quán)限清單，每季度進(jìn)行一次權(quán)限評(píng)審。4. 用戶(hù)管理1) 只有授權(quán)用戶(hù)才可以申請(qǐng)系統(tǒng)賬號(hào)，賬號(hào)相應(yīng)的權(quán)限應(yīng)該以滿(mǎn)足用戶(hù)需要為原則，不得有與用戶(hù)職責(zé)無(wú)關(guān)的權(quán)限。2. 引用文件7) 下列文件中的條款通過(guò)本規(guī)定的引用而成為本規(guī)定的條款。8) 對(duì)外交往與合作中如需要提供公司的公司秘密事項(xiàng)，應(yīng)先由部門(mén)經(jīng)理批準(zhǔn)，特殊情況須經(jīng)公司相關(guān)領(lǐng)導(dǎo)審核、公司總經(jīng)理批準(zhǔn)。5) 公司鼓勵(lì)員工在一定的程度上使用常識(shí)性的辦法來(lái)保護(hù)公司涉密信息，如果員工不知道某項(xiàng)資產(chǎn)的密級(jí)，默認(rèn)情況下至少按“公司秘密”的密級(jí)來(lái)對(duì)待。l 嚴(yán)格遵守公司關(guān)于保密方面的各項(xiàng)政策和制度規(guī)定；l 保護(hù)并按照規(guī)定的方式處理包含公司保密信息的各種記錄、草稿、文本副本、打印機(jī)色帶和圖表；l 不在公司以外公共場(chǎng)合及同親友及家人