【正文】 第326條 本制度由信息安全管理委員會(huì)負(fù)責(zé)解釋 第327條 本制度自印發(fā)之日起生效。 第323條 計(jì)劃必須定期維護(hù)以確保其有效性，并指定人員負(fù)責(zé)維護(hù)，在出現(xiàn)下列情況時(shí)，必須對(duì)計(jì)劃進(jìn)行在評(píng)估和更新： 1)法律的變化 2)員工和公司的變化 3)業(yè)務(wù)的變化 4)業(yè)務(wù)系統(tǒng)和運(yùn)行環(huán)境的變化（如操作系統(tǒng)的升級(jí)） 5)第三方責(zé)任人的變化（如承包人、供應(yīng)商） 6)地址或者聯(lián)系電話的變化 7)風(fēng)險(xiǎn)評(píng)估和業(yè)務(wù)影響分析的變化 8)地點(diǎn)、設(shè)備和資源的變化 第324條 計(jì)劃的更新必須通過(guò)正式的審批，最新的版本必須妥善保存，并分發(fā)給所有相關(guān)人員。 第322條 必須為每項(xiàng)演練制定進(jìn)度表，說(shuō)明演練頻率、目的以及方法。 第320條 每個(gè)計(jì)劃都應(yīng)該有一個(gè)指定的總負(fù)責(zé)人，而且每個(gè)計(jì)劃應(yīng)該清楚地說(shuō)明其激活的條件以及執(zhí)行計(jì)劃中每個(gè)要素的負(fù)責(zé)人。 開(kāi)發(fā)和實(shí)施包括信息安全的持續(xù)計(jì)劃 第318條 業(yè)務(wù)連續(xù)性計(jì)劃應(yīng)該包括以下幾點(diǎn)： 1)識(shí)別關(guān)鍵業(yè)務(wù)流程及其從屬流程 2)流程恢復(fù)的優(yōu)先次序 3)所有的職責(zé)和緊急措施 4)恢復(fù)管理辦法 5)恢復(fù)流程 第319條 業(yè)務(wù)連續(xù)性計(jì)劃必須涵蓋所有關(guān)鍵業(yè)務(wù)流程，并且人員安全必須被優(yōu)先考慮。業(yè)務(wù)影響分析應(yīng)該對(duì)直接損失進(jìn)行量化，并且綜合評(píng)估公司聲譽(yù)的損失、法規(guī)的違反以及人員的傷亡等。業(yè)務(wù)連續(xù)性計(jì)劃必須經(jīng)過(guò)演練測(cè)試。必須進(jìn)行業(yè)務(wù)影響分析，識(shí)別業(yè)務(wù)的重要性和評(píng)估風(fēng)險(xiǎn)對(duì)業(yè)務(wù)帶來(lái)的影響。 13 業(yè)務(wù)連續(xù)性管理方面 業(yè)務(wù)連續(xù)性管理 業(yè)務(wù)連續(xù)性管理流程 第314條 業(yè)務(wù)連續(xù)性計(jì)劃的制訂必須有信息管理中心、業(yè)務(wù)部門(mén)和公司高層的參與。 安全事件處理要求 第312條 證據(jù)的收集應(yīng)該滿足法律法規(guī)的要求。 第310條 必須從已發(fā)生的事件和故障中總結(jié)經(jīng)驗(yàn)，分析造成事件的根本原因，增強(qiáng)安全控制管理，避免問(wèn)題的再次發(fā)生。程序中必須定義每個(gè)處理環(huán)節(jié)的響應(yīng)和處理時(shí)間要求，并在實(shí)際處理中嚴(yán)格執(zhí)行。 第307條 參與信息安全事件處理的每位成員必須清楚他們的角色和職責(zé)。 信息安全事件的管理和改進(jìn) 職責(zé)和程序 第305條 必須建立信息安全事件處理程序，程序必須包括以下內(nèi)容： 1)角色定義和職責(zé)； 2)不同安全事件的處理方法及注意事項(xiàng)； 3)系統(tǒng)應(yīng)急恢復(fù)措施； 4)審計(jì)追蹤和證據(jù)收集要求； 5)安全事件的補(bǔ)救措施和糾正預(yù)防措施。 第304條 應(yīng)該制定安全漏洞的分類、識(shí)別方法及建立相關(guān)的報(bào)告程序，以便安全漏洞得到及時(shí)的報(bào)告和處理。 信息安全漏洞報(bào)告 第303條 應(yīng)該對(duì)員工明確說(shuō)明需要報(bào)告的安全漏洞。 第301條 安全管理代表應(yīng)該維護(hù)事件報(bào)告數(shù)據(jù)庫(kù)，分析并確定事件發(fā)生的基本原因和應(yīng)當(dāng)采取的預(yù)防措施。 第299條 嚴(yán)禁員工私自對(duì)安全事件進(jìn)行調(diào)查和利用公司環(huán)境對(duì)其進(jìn)行研究試驗(yàn)。如果可能的話，還應(yīng)采取適當(dāng)?shù)拇胧﹣?lái)監(jiān)控并保護(hù)這些重要信息。 第296條 必須制定安全事件的分類、識(shí)別方法及建立相關(guān)的報(bào)告程序，以便安全事件得到及時(shí)的報(bào)告和處理。12 信息安全事件的管理 報(bào)告信息安全事件和漏洞 信息安全事件報(bào)告 第295條 必須對(duì)員工明確說(shuō)明需要報(bào)告的安全事件。如果補(bǔ)丁不能安裝，必須采取其他的控制措施，控制措施包括但不限于： 1)停止漏洞利用的相關(guān)服務(wù)或功能 2)增加訪問(wèn)控制阻擋漏洞或縮小漏洞的來(lái)源 3)增加監(jiān)控和檢測(cè)機(jī)制 4)升級(jí)防病毒代碼庫(kù)到可以查殺利用漏洞的病毒的版本 5）重要系統(tǒng)必須優(yōu)先進(jìn)行漏洞處理。定義公司員工在漏洞管理流程中的角色和職責(zé)。 技術(shù)漏洞管理 控制技術(shù)漏洞 第291條 根據(jù)漏洞的嚴(yán)重程度制定漏洞的風(fēng)險(xiǎn)等級(jí)評(píng)估標(biāo)準(zhǔn)和處理時(shí)間要求。 軟件開(kāi)發(fā)的外包 第289條 所有外包開(kāi)發(fā)的軟件，必須簽定正式的合同，合同內(nèi)容包括但不限于： 1)確定軟件許可證的范圍和數(shù)量 2)明確代碼所有權(quán)和知識(shí)產(chǎn)權(quán)的歸屬 3)對(duì)代碼質(zhì)量的要求 4)有權(quán)對(duì)軟件開(kāi)發(fā)過(guò)程進(jìn)行審計(jì) 5)軟件維護(hù)要求 第290條 外包軟件在正式使用前，必須經(jīng)過(guò)病毒檢測(cè)和充分測(cè)試。以下幾點(diǎn)必須被考慮到： 1)只從信譽(yù)良好的廠家購(gòu)買(mǎi)軟件 2)關(guān)鍵系統(tǒng)上的工作必須由值得信任的員工擔(dān)任 3)購(gòu)買(mǎi)獲得國(guó)家有關(guān)機(jī)構(gòu)認(rèn)可的軟件 4)所有開(kāi)發(fā)的代碼都必須進(jìn)行安全檢查，確定無(wú)問(wèn)題后才可以部署在生產(chǎn)環(huán)境。如果需要修改商業(yè)軟件，必須評(píng)估下列影響： 1)軟件功能和內(nèi)部的控制措施是否會(huì)受到破壞 2)是否會(huì)導(dǎo)致廠家的升級(jí)包不能使用 3)原廠商對(duì)修改過(guò)的軟件是否不提供維護(hù)支持 第286條 在進(jìn)行任何修改之前，必須得到廠家的允許，以保證不侵犯其知識(shí)產(chǎn)權(quán)。 第284條 操作系統(tǒng)變更之后必須對(duì)業(yè)務(wù)連續(xù)性計(jì)劃作相應(yīng)修正。 操作系統(tǒng)變更的技術(shù)檢查 第283條 操作系統(tǒng)變更之前必須進(jìn)行評(píng)估，以確保應(yīng)用程序的完整性和控制措施不會(huì)受到破壞。 第282條 必須維護(hù)所有軟件更新的版本控制。 第280條 變更的部署必須盡量減少對(duì)業(yè)務(wù)正常運(yùn)行的影響。 第279條 變更的設(shè)計(jì)方案必須通過(guò)正式的批準(zhǔn)才能開(kāi)始編碼。應(yīng)用軟件的變更不應(yīng)破壞軟件本身的可靠性和已有的控制措施。 開(kāi)發(fā)和維護(hù)過(guò)程中的安全 變更控制流程 第276條 所有應(yīng)用軟件的變更必須獲得批準(zhǔn)。程序源代碼的訪問(wèn)必須做好相關(guān)記錄。程序源代碼必須保存在安全的環(huán)境中。正在開(kāi)發(fā)或修改的程序不應(yīng)該保存在程序源代碼庫(kù)中。從生產(chǎn)系統(tǒng)中復(fù)制的數(shù)據(jù)必須經(jīng)過(guò)處理，去掉有關(guān)財(cái)務(wù)和個(gè)人隱私的信息。 測(cè)試數(shù)據(jù)的保護(hù) 第270條 測(cè)試系統(tǒng)應(yīng)該參照生產(chǎn)系統(tǒng)的訪問(wèn)控制規(guī)則進(jìn)行訪問(wèn)控制。 第269條 應(yīng)用軟件必須做好版本控制管理，每一個(gè)版本都必須有相應(yīng)的備份。 第267條 在測(cè)試成功、用戶驗(yàn)收完成或相關(guān)的程序庫(kù)被更新前，嚴(yán)禁更新生產(chǎn)系統(tǒng)中的可執(zhí)行代碼。 第266條 嚴(yán)禁在生產(chǎn)系統(tǒng)中保留應(yīng)用軟件的源代碼。 第263條 數(shù)字簽名的使用必須符合國(guó)家電子簽名法的相關(guān)規(guī)定。 第261條 未經(jīng)安全管理委員會(huì)的同意，用戶不能安裝任何未經(jīng)授權(quán)的加密軟件。 第260條 加密措施的采用不但要考慮到信息存儲(chǔ)，也應(yīng)該考慮到信息傳輸?shù)囊蟆? 第258條 系統(tǒng)在使用過(guò)程中，應(yīng)該明確定義參與數(shù)據(jù)輸出各環(huán)節(jié)所有相關(guān)人員的職責(zé)。 第257條 輸出的數(shù)據(jù)應(yīng)該含有相關(guān)標(biāo)志，以便判斷數(shù)據(jù)的狀態(tài)（例如是否準(zhǔn)確、是否完整等）。 數(shù)據(jù)輸出的驗(yàn)證 第256條 應(yīng)該使用檢查輸出數(shù)據(jù)合理性的機(jī)制。 內(nèi)部處理的控制 第252條 應(yīng)用系統(tǒng)的設(shè)計(jì)應(yīng)該考慮以下因素，防止正確輸入的數(shù)據(jù)因錯(cuò)誤處理或人為因素等遭到破壞： 1)程序應(yīng)該有處理的校驗(yàn)機(jī)制 2)程序應(yīng)該有相應(yīng)的例外處理機(jī)制 3)對(duì)于有先后執(zhí)行順序的程序或程序模塊，內(nèi)部必須有執(zhí)行順序的限制機(jī)制 第253條 控制措施的選擇應(yīng)根據(jù)應(yīng)用的性質(zhì)和數(shù)據(jù)受損對(duì)業(yè)務(wù)造成的影響而定，可選擇的措施包括但不限于： 1)會(huì)話或批處理控制措施，在事務(wù)更新后協(xié)調(diào)相關(guān)數(shù)據(jù)文件的一致性 2)驗(yàn)證系統(tǒng)生成數(shù)據(jù)的正確性 3)檢查數(shù)據(jù)完整性，特別是在計(jì)算機(jī)之間傳輸?shù)臄?shù)據(jù) 4)計(jì)算記錄和文件的哈希值以便驗(yàn)證 5)確保程序以正確的順序運(yùn)行，在出現(xiàn)故障時(shí)終止，在問(wèn)題解決前暫停處理 消息驗(yàn)證 第254條 對(duì)需要確保消息內(nèi)容完整性的應(yīng)用（例如電子交易）應(yīng)該使用消息驗(yàn)證。必須對(duì)數(shù)據(jù)輸入驗(yàn)證功能進(jìn)行全面的測(cè)試，以保證其正確性和有效性。 應(yīng)用系統(tǒng)中的安全 數(shù)據(jù)輸入的驗(yàn)證 第249條 所有接受數(shù)據(jù)輸入的入口必須有相應(yīng)的驗(yàn)證處理，包括但不限于： 1)數(shù)據(jù)的長(zhǎng)度 2)數(shù)據(jù)的類型 3)數(shù)據(jù)的范圍 4)字符的限制 第250條 根據(jù)業(yè)務(wù)需要，對(duì)于按照紙面信息輸入的數(shù)據(jù)，系統(tǒng)應(yīng)該提供“數(shù)據(jù)在輸入被確認(rèn)”之后才能提交的功能。系統(tǒng)應(yīng)提供只有日志審計(jì)人員可以訪問(wèn)的用來(lái)查看日志記錄的審計(jì)接口。軟件在正式使用前必須經(jīng)過(guò)安全方面的測(cè)試，測(cè)試內(nèi)容必須包括所有設(shè)計(jì)文檔中的安全要求。對(duì)于軟件的安全控制要求應(yīng)該在評(píng)估之前定義好。 第245條 應(yīng)該在開(kāi)發(fā)的整個(gè)周期對(duì)安全需求實(shí)施的正確性進(jìn)行階段性檢查，以確保其對(duì)應(yīng)的安全措施按照要求被定義、設(shè)計(jì)、部署和測(cè)試。必須定期對(duì)遠(yuǎn)程辦公實(shí)施審計(jì)和安全監(jiān)控。遠(yuǎn)程辦公的信息在傳輸過(guò)程中必須加密。 遠(yuǎn)程辦公 第239條 必須建立遠(yuǎn)程辦公的使用標(biāo)準(zhǔn)和授權(quán)程序。 第238條 移動(dòng)設(shè)備用戶必須做好防病毒工作。 第237條 進(jìn)行移動(dòng)和家庭辦公的員工，應(yīng)該對(duì)其使用的設(shè)備做好物理保護(hù)，防止丟失、偷竊和破壞等。 敏感系統(tǒng)的隔離 第235條 應(yīng)當(dāng)根據(jù)應(yīng)用系統(tǒng)的敏感程度對(duì)系統(tǒng)進(jìn)行適當(dāng)?shù)母綦x保護(hù)，比如： 1)運(yùn)行于指定的計(jì)算機(jī)上 2)僅與信任的應(yīng)用系統(tǒng)共享資源 3）敏感系統(tǒng)的各個(gè)部分都應(yīng)當(dāng)以適當(dāng)?shù)姆绞竭M(jìn)行保護(hù)。 應(yīng)用系統(tǒng)訪問(wèn)控制 信息訪問(wèn)限制 第233條 應(yīng)用系統(tǒng)應(yīng)該控制用戶的訪問(wèn)權(quán)限，如讀寫(xiě)權(quán)限、刪除權(quán)限以及執(zhí)行權(quán)限。 終端超時(shí)終止 第231條 連接到服務(wù)器的所有終端，在30分鐘內(nèi)沒(méi)有活動(dòng)，都應(yīng)該被終止連接。 9)如果因系統(tǒng)自身的功能限制不能滿足上述管理辦法的要求，其設(shè)臵的密碼管理辦法必須經(jīng)信息安全管理委員會(huì)審核同意。系統(tǒng)應(yīng)該允許用戶修改自己的密碼。當(dāng)密碼接近失效期或者已經(jīng)過(guò)期時(shí)，系統(tǒng)應(yīng)該提示或強(qiáng)制用戶修改密碼。 第227條 密碼文件應(yīng)該與應(yīng)用系統(tǒng)數(shù)據(jù)分開(kāi)存儲(chǔ)。修改密碼時(shí)，系統(tǒng)必須提示用戶確認(rèn)新密碼，以防止輸入錯(cuò)誤。 第225條 所有使用帳號(hào)密碼進(jìn)行認(rèn)證的系統(tǒng)，在帳號(hào)密碼傳送過(guò)程中，應(yīng)該采用加密保護(hù)措施防止泄漏。 第223條 如果由于業(yè)務(wù)要求需要使用共享用戶帳號(hào)，那么此共享帳號(hào)應(yīng)該得到正式的批準(zhǔn)并明文歸檔。 第222條 用戶認(rèn)證失敗信息中，應(yīng)該不顯示具體的失敗原因。在每個(gè)系統(tǒng)上創(chuàng)建實(shí)名用戶，系統(tǒng)登陸必須使用實(shí)名用戶。 第220條 所有重要服務(wù)器的管理端口必須通過(guò)指定的路徑進(jìn)行訪問(wèn)。 網(wǎng)絡(luò)路由的控制 第219條 路由訪問(wèn)控制列表必須基于適當(dāng)?shù)脑吹刂泛湍繕?biāo)地址檢查機(jī)制。 第217條 所有接入公司網(wǎng)絡(luò)的主機(jī)必須經(jīng)過(guò)公司的標(biāo)準(zhǔn)化安裝。限制要求至少應(yīng)包括： 1)所有的端口默認(rèn)都是關(guān)閉的，只有在經(jīng)過(guò)正式批準(zhǔn)后才能開(kāi)通； 2)端口的關(guān)閉必須在員工離職和崗位變動(dòng)流程中體現(xiàn)； 3)臨時(shí)使用的端口或位臵變動(dòng)，員工必須主動(dòng)申請(qǐng)停用原有端口，開(kāi)通新端口前必須先關(guān)閉原有端口。 網(wǎng)絡(luò)連接的控制 第214條 公司以外的網(wǎng)絡(luò)連接，在建立連接前必須對(duì)外部的接入環(huán)境進(jìn)行評(píng)估，滿足公司管理辦法后才能接入。 第212條 應(yīng)該使用風(fēng)險(xiǎn)評(píng)估來(lái)決定每個(gè)區(qū)域的安全級(jí)別。 網(wǎng)絡(luò)的劃分 第210條 必須將網(wǎng)絡(luò)劃分為不同的區(qū)域，以提供不同級(jí)別的安全保護(hù)，滿足不同服務(wù)的安全需求。 第209條 在遠(yuǎn)程診斷會(huì)話期間，必須記錄所有執(zhí)行的活動(dòng)信息，包括時(shí)間、執(zhí)行者、執(zhí)行動(dòng)作和結(jié)果等。訪問(wèn)者必須只被授予最小的訪問(wèn)權(quán)限來(lái)完成診斷任務(wù)，并且必須得到認(rèn)證。 第206條 如果第三方需要訪問(wèn)診斷端口，必須簽訂正式的協(xié)議。 第204條 與外部合作伙伴進(jìn)行信息交換，應(yīng)該使用專線進(jìn)行連接。 第202條 用于遠(yuǎn)程訪問(wèn)的調(diào)制解調(diào)器平時(shí)必須保持關(guān)閉，只有在使用的時(shí)候才能打開(kāi)。 外部連接的用戶認(rèn)證 第200條 對(duì)公司系統(tǒng)進(jìn)行遠(yuǎn)程訪問(wèn)，必須建立適當(dāng)?shù)恼J(rèn)證機(jī)制，采用的機(jī)制應(yīng)通過(guò)風(fēng)險(xiǎn)評(píng)估來(lái)決定。 第198條 應(yīng)遵循業(yè)務(wù)要求中所說(shuō)明的訪問(wèn)控制管理辦法來(lái)限制訪問(wèn)。 第196條 打印完敏感信息之后，必須確認(rèn)信息已從打印隊(duì)列中清除。 第194條 不能將機(jī)密和絕密信息資料遺留在桌面上，而應(yīng)該根據(jù)信息的保密等級(jí)進(jìn)行處理。 清除桌面及屏幕管理辦法 第192條 所有服務(wù)器和個(gè)人電腦都必須啟用帶有口令保護(hù)的屏幕保護(hù)程序，激活等待時(shí)間應(yīng)少于10分鐘。前3次用過(guò)的密碼不應(yīng)該被重復(fù)使用。此8個(gè)字符必須包含數(shù)字和字母。用于系統(tǒng)之間認(rèn)證帳號(hào)的密碼必須至少每半年修改一次。用戶必須至少每半年修改一次密碼。用戶一旦懷疑其帳號(hào)密碼可能受到損害，應(yīng)該及時(shí)修改密碼。 用戶