【正文】 . 信息中心及系統(tǒng)運(yùn)營(yíng)部門應(yīng)采用風(fēng)險(xiǎn)管理的理念與方法來(lái)識(shí)別、評(píng)估信息系統(tǒng)面臨的風(fēng)險(xiǎn)，制定風(fēng)險(xiǎn)控制措施，把風(fēng)險(xiǎn)降低到可接受的程度，實(shí)現(xiàn)風(fēng)險(xiǎn)的超前控制，實(shí)現(xiàn)基于風(fēng)險(xiǎn)的信息安全管理。. 糾正與預(yù)防管理. xxxx有限公司應(yīng)根據(jù)年度信息安全風(fēng)險(xiǎn)評(píng)估、信息安全大檢查、信息安全等級(jí)保護(hù)及日常運(yùn)維工作中發(fā)現(xiàn)的信息安全問(wèn)題，提出安全整改措施與計(jì)劃，并及時(shí)整改糾正。. 信息安全管理制度（包括規(guī)范、制度等）在頒布前應(yīng)進(jìn)行評(píng)審，并采取相應(yīng)措施，保證貫徹執(zhí)行。. xxxx有限公司鼓勵(lì)開(kāi)展信息安全方面管理提升的研究。. xxxx有限公司對(duì)第三方安全管理內(nèi)容包括：1) 識(shí)別、評(píng)估第三方進(jìn)入xxxx有限公司帶來(lái)的風(fēng)險(xiǎn)2) 對(duì)第三方風(fēng)險(xiǎn)控制要求3) 第三方現(xiàn)場(chǎng)信息安全表現(xiàn)與服務(wù)質(zhì)量評(píng)價(jià)4) 第三方自身信息安全管理情況評(píng)價(jià)5) 信息安全保密管理要求6) xxxx有限公司應(yīng)對(duì)第三方進(jìn)行安全相關(guān)的資質(zhì)審查，審查內(nèi)容應(yīng)包括：7) 許可的相關(guān)資質(zhì)8) 質(zhì)量管理體系9) 以往的信息安全服務(wù)表現(xiàn)和評(píng)價(jià)10) 第三方員工培訓(xùn)與能力證明資料. xxxx有限公司應(yīng)建立程序?qū)Φ谌竭M(jìn)行評(píng)價(jià)，評(píng)價(jià)內(nèi)容包括：1) 第三方的服務(wù)和技術(shù)支持能力2) 第三方提供產(chǎn)品的安全性及運(yùn)行情況3) 第三方安全管理制度的執(zhí)行情況4) 第三方合同管理與履約情況. xxxx有限公司對(duì)第三方單位的安全管理按照《第三方單位及人員管理規(guī)定》執(zhí)行。. 系統(tǒng)管理員應(yīng)識(shí)別并評(píng)估變更的潛在影響，并進(jìn)行相關(guān)測(cè)試；. 系統(tǒng)管理員應(yīng)制定變更失敗的恢復(fù)措施，并進(jìn)行失敗回退后的驗(yàn)證測(cè)試，確保變更失敗回退成功；. 系統(tǒng)管理員應(yīng)將變更內(nèi)容及步驟書(shū)面化，向所有相關(guān)人員傳達(dá)變更細(xì)節(jié)，明確各方的責(zé)任；. 系統(tǒng)管理員應(yīng)填寫系統(tǒng)變更申請(qǐng)表，并獲得信息中心平臺(tái)分部主管批準(zhǔn)；. 變更實(shí)施時(shí)系統(tǒng)管理員應(yīng)記錄所有的變更過(guò)程和內(nèi)容；. 變更完成后系統(tǒng)管理員應(yīng)保留并歸檔所有的變更記錄，并更新相關(guān)的文檔，如安全策略文檔、系統(tǒng)運(yùn)行檔案等。12. 通信和操作管理. 變更管理. 系統(tǒng)的任何變更必須受到嚴(yán)格控制，系統(tǒng)變更包括但不限于：網(wǎng)絡(luò)結(jié)構(gòu)與系統(tǒng)參數(shù)的調(diào)整、硬件的增減與更換、軟件版本與補(bǔ)丁的變更、維護(hù)計(jì)劃/操作細(xì)則/作業(yè)指導(dǎo)書(shū)的改變等。只有在經(jīng)過(guò)信息中心主管領(lǐng)導(dǎo)批準(zhǔn)后，才能正式實(shí)施。信息安全工作小組應(yīng)根據(jù)信息系統(tǒng)安全評(píng)估的結(jié)果和安全等級(jí)劃分情況統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計(jì)方案，并形成配套文件。. 系統(tǒng)安全建設(shè)管理. 系統(tǒng)安全方案設(shè)計(jì)要求. 信息中心負(fù)責(zé)對(duì)二級(jí)及以上的信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，制定近期和遠(yuǎn)期的安全建設(shè)工作計(jì)劃。. 對(duì)于新建、改建、擴(kuò)建的二級(jí)及以上信息系統(tǒng)，應(yīng)經(jīng)測(cè)評(píng)機(jī)構(gòu)測(cè)評(píng)合格方可投入使用，安全測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估要形成相關(guān)文檔，作為項(xiàng)目驗(yàn)收的重要內(nèi)容。. 信息系統(tǒng)等級(jí)保護(hù). 信息安全工作小組應(yīng)依據(jù)國(guó)家頒布的信息安全等級(jí). 保護(hù)技術(shù)標(biāo)準(zhǔn)、技術(shù)規(guī)范要求，對(duì)信息系統(tǒng)安全進(jìn)行差距測(cè)評(píng)，并落實(shí)各信息系統(tǒng)的防護(hù)措施。. 對(duì)于新建安全保護(hù)等級(jí)為第二級(jí)及以上的系統(tǒng)，信息中心應(yīng)當(dāng)在系統(tǒng)投入運(yùn)行后30日內(nèi)到深圳公安局辦理備案手續(xù)。. 信息安全工作小組應(yīng)依據(jù)國(guó)家頒布的《信息安全等級(jí)保護(hù)管理辦法》、國(guó)家電力監(jiān)管委員會(huì)《電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指導(dǎo)意見(jiàn)》及南方電網(wǎng)公司的《信息安全等級(jí)保護(hù)定級(jí)規(guī)范》對(duì)信息系統(tǒng)安全進(jìn)行定級(jí)。. 信息安全保護(hù)等級(jí)管理. 系統(tǒng)定級(jí)與審批. 信息安全等級(jí)保護(hù)遵循“自主定級(jí)、自主保護(hù)”原則。. 按照確定的頻率和內(nèi)容對(duì)安全設(shè)備或用具進(jìn)行檢測(cè)和檢查，未經(jīng)檢驗(yàn)或檢驗(yàn)不合格的設(shè)備或用具嚴(yán)禁使用并進(jìn)行標(biāo)識(shí)。. xxxx有限公司根據(jù)網(wǎng)絡(luò)與信息專業(yè)工作性質(zhì)與可能的危害，提供安全、適用的安全設(shè)備或用具，以提高信息安全技術(shù)裝備水平及管理水平，安全設(shè)備或用具至少包括：a) 防火墻b) 入侵保護(hù)系統(tǒng)（IPS）c) 入侵檢測(cè)系統(tǒng)（IDS）d) 漏洞掃描系統(tǒng)e) 防病毒系統(tǒng)f) 網(wǎng)絡(luò)分析儀. xxxx有限公司每年制定信息安全設(shè)備或用具購(gòu)置計(jì)劃，組織采購(gòu)，并對(duì)安全工設(shè)備或用具需求計(jì)劃進(jìn)行評(píng)估、回顧和修訂. 建立信息安全設(shè)備或用具清單，記錄設(shè)備或用具信息，明確檢測(cè)、檢驗(yàn)與維護(hù)周期和內(nèi)容，清單內(nèi)容包括：a) 設(shè)備編號(hào)b) 設(shè)備功能c) 設(shè)備采購(gòu)日期d) 設(shè)備版本及更新情況e) 設(shè)備保管人員f) 建立信息安全設(shè)備或用具的發(fā)放、使用、借用記錄。. xxxx有限公司建立機(jī)房 KVM 集中監(jiān)控系統(tǒng)，將IDC 機(jī)房?jī)?nèi)的IT 設(shè)備連入KVM 系統(tǒng)，實(shí)現(xiàn)統(tǒng)一管理、統(tǒng)一監(jiān)控；. xxxx有限公司將員工的人機(jī)工效的目的和作用培訓(xùn)納入年度培訓(xùn)計(jì)劃。. 人機(jī)工效管理. xxxx有限公司應(yīng)每年定期進(jìn)行人機(jī)工效的調(diào)查與評(píng)估，調(diào)查與評(píng)估包括作業(yè)的方式和方法包括、IT 設(shè)備運(yùn)行環(huán)境等。. 機(jī)房安全管理. xxxx有限公司建立規(guī)范的機(jī)房安全管理規(guī)定，加強(qiáng)機(jī)房安全管理，減少威脅來(lái)源。. 信息安全工作小組應(yīng)審核故障報(bào)告，審核包括：故障已被正確解決；故障對(duì)系統(tǒng)安全造成的破壞已得到修補(bǔ)和恢復(fù)；補(bǔ)救措施本身不會(huì)危及系統(tǒng)安全；具體的補(bǔ)救措施已經(jīng)過(guò)授權(quán)；補(bǔ)救措施已得到有效實(shí)施。. 操作細(xì)則應(yīng)包含故障情況下系統(tǒng)的重啟和恢復(fù)程序。. 操作細(xì)則應(yīng)包含操作過(guò)程中發(fā)生非預(yù)期的錯(cuò)誤或其他異常情況的指導(dǎo)說(shuō)明。. 系統(tǒng)管理員必須嚴(yán)格按操作細(xì)則進(jìn)行系統(tǒng)維護(hù)，未經(jīng)安全管理組批準(zhǔn)不得隨意更改。. 維護(hù)操作細(xì)則. 系統(tǒng)管理員應(yīng)遵照系統(tǒng)安全要求，結(jié)合實(shí)際情況，制定系統(tǒng)維護(hù)操作細(xì)則。. 系統(tǒng)管理員必須嚴(yán)格按作業(yè)指導(dǎo)書(shū)進(jìn)行系統(tǒng)維護(hù)操作，未經(jīng)安全管理組批準(zhǔn)不得隨意更改。. 作業(yè)指導(dǎo)書(shū). 系統(tǒng)管理員應(yīng)評(píng)估系統(tǒng)維護(hù)過(guò)程中存在的風(fēng)險(xiǎn)，識(shí)別系統(tǒng)維護(hù)過(guò)程中存在的較大風(fēng)險(xiǎn)的操作，并制定相應(yīng)的作業(yè)指導(dǎo)書(shū)，以控制系統(tǒng)維護(hù)操作風(fēng)險(xiǎn)。. 系統(tǒng)管理員必須嚴(yán)格執(zhí)行維護(hù)作業(yè)計(jì)劃，未經(jīng)信息安全工作小組批準(zhǔn)不得隨意更改。. 系統(tǒng)管理員應(yīng)在系統(tǒng)正式運(yùn)營(yíng)前，將系統(tǒng)維護(hù)作業(yè)計(jì)劃送信息安全工作小組審核備案，進(jìn)入服務(wù)流程。. 信息安全工作小組應(yīng)定期對(duì)系統(tǒng)運(yùn)行檔案內(nèi)容的準(zhǔn)確性進(jìn)行檢查核實(shí)。系統(tǒng)運(yùn)行安全檔案中應(yīng)包括以下（但不限于）支持安全運(yùn)行管理所需要的信息，如系統(tǒng)運(yùn)行的操作系統(tǒng)和應(yīng)用軟件及版本號(hào)、安裝的補(bǔ)丁程序、系統(tǒng)的運(yùn)行狀態(tài)、存在的安全漏洞及控制措施、系統(tǒng)曾經(jīng)遭受攻擊的記錄等。本規(guī)定所稱密碼，是指對(duì)信息進(jìn)行加密保護(hù)或者安全認(rèn)證所使用的密碼技術(shù)和密碼產(chǎn)品。. 密碼管理. xxxx有限公司應(yīng)使用符合國(guó)家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品。敏感媒介的處置過(guò)程應(yīng)當(dāng)記錄在案，以便審計(jì)跟蹤。其中處置方法應(yīng)與信息分級(jí)相一致。. 電子化的系統(tǒng)文檔應(yīng)當(dāng)?shù)玫接行У谋Ｗo(hù)，對(duì)于復(fù)制到移動(dòng)存儲(chǔ)介質(zhì)上的重要內(nèi)部數(shù)據(jù)的擴(kuò)散必需是受控的，其使用應(yīng)受到監(jiān)控和記錄，并能進(jìn)行審計(jì)。當(dāng)介質(zhì)中包含敏感數(shù)據(jù)時(shí)，應(yīng)控制介質(zhì)的使用范圍，并對(duì)其實(shí)施適當(dāng)物理保護(hù)措施。. 信息中心應(yīng)確保介質(zhì)存放在安全的環(huán)境中，對(duì)各類介質(zhì)進(jìn)行控制和保護(hù)。. 介質(zhì)管理. 信息中心應(yīng)根據(jù)介質(zhì)上承載的信息的安全級(jí)別對(duì)介質(zhì)進(jìn)行分級(jí)管理，信息分級(jí)引用公司《公司信息安全管理辦法》。. 所有終端必須納入網(wǎng)絡(luò)接入控制管理。. 定期對(duì)終端進(jìn)行病毒、木馬查殺。. 對(duì)終端的安全配置與維護(hù)要求：. 建立補(bǔ)丁升級(jí)管理制度，及時(shí)對(duì)操作系統(tǒng)進(jìn)行補(bǔ)丁、升級(jí)，減少漏洞。. 建立終端網(wǎng)絡(luò)接入控制，對(duì)計(jì)算機(jī)終端接入內(nèi)網(wǎng)統(tǒng)一管理。. 建立防病毒系統(tǒng)，實(shí)現(xiàn)計(jì)算機(jī)終端統(tǒng)一的防病毒管理。. 未經(jīng)信息中心或信息中心授權(quán)單位進(jìn)行安全審查和批準(zhǔn)的終端不準(zhǔn)接入到公司信息網(wǎng)絡(luò)中，嚴(yán)禁未經(jīng)信息中心批準(zhǔn)私自將終端接入國(guó)際互聯(lián)網(wǎng)。. 終端安全管理. 接入公司內(nèi)網(wǎng)的客戶端計(jì)算機(jī)（簡(jiǎn)稱終端）應(yīng)納入AD 域和桌面管理系統(tǒng)統(tǒng)一管理，及時(shí)安裝操作系統(tǒng)和主要辦公軟件的安全補(bǔ)丁。. 信息中心應(yīng)建立基于申報(bào)、審批和專人負(fù)責(zé)的設(shè)備安全管理制度，對(duì)信息系統(tǒng)的各種軟硬件設(shè)備的選型、采購(gòu)、發(fā)放和領(lǐng)用等過(guò)程進(jìn)行規(guī)范化管理。. 信息中心應(yīng)建立機(jī)房安全管理制度，對(duì)有關(guān)機(jī)房物理訪問(wèn)，物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面的管理作出規(guī)定。. 環(huán)境安全管理. IDC信息監(jiān)控管理人員須每天對(duì)機(jī)房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行維護(hù)管理。. xxxx有限公司就分區(qū)的原則、目的和含義對(duì)員工進(jìn)行培訓(xùn)。. 對(duì)生產(chǎn)及辦公場(chǎng)所提供必要的衛(wèi)生設(shè)施，并派專人管理，包括定期回收IT廢品、定期保持IT 設(shè)備衛(wèi)生、定期對(duì)IT 設(shè)備實(shí)施檢查維護(hù)。. 充分利用課堂教學(xué)、內(nèi)部會(huì)議、公司域網(wǎng)、板報(bào)、櫥窗和公告牌等多種形式進(jìn)行IT 職業(yè)健康知識(shí)宣傳、教育工作。評(píng)估內(nèi)容包括：a) 培訓(xùn)對(duì)象、內(nèi)容和方法的適宜性b) 計(jì)劃執(zhí)行與員工參與的依從性c) 知識(shí)、技能、意識(shí)提高和應(yīng)用效果. IT職業(yè)健康管理. 將 IT 職業(yè)健康統(tǒng)一納入xxxx有限公司職業(yè)健康管理中，每年對(duì)IT員工進(jìn)行常規(guī)體檢，對(duì)體檢結(jié)果進(jìn)行IT 專項(xiàng)統(tǒng)計(jì)分析，確定IT人員健康狀況變化趨勢(shì)，關(guān)注IT職業(yè)危害內(nèi)容。d) 普通用戶不少于 8 學(xué)時(shí)。b) 信息安全工作人員不少于 40 學(xué)時(shí)。. 按計(jì)劃實(shí)施培訓(xùn)，對(duì)教育和培訓(xùn)的情況和結(jié)果進(jìn)行記錄和歸檔保存。. 信息安全工作人員、信息工作人員應(yīng)定期接受政治思想教育、職業(yè)道德教育和安全保密教育。e) 掃描、攻擊信息系統(tǒng)其他計(jì)算機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備。c) 瀏覽、下載與本人工作無(wú)關(guān)的信息。. 普通員工安全管理嚴(yán)禁內(nèi)部員工利用單位內(nèi)的網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)設(shè)備、移動(dòng)存儲(chǔ)設(shè)備及信息系統(tǒng)進(jìn)行以下活動(dòng)：a) 散播違反國(guó)家法律法規(guī)的信息。. 未經(jīng)批準(zhǔn)，第三方人員攜帶的筆記本電腦、掌上電腦，不可以接入公司內(nèi)部網(wǎng)絡(luò)，若工作需要，第三方人員自帶設(shè)備接入單位內(nèi)部網(wǎng)絡(luò)和信息系統(tǒng)時(shí)，應(yīng)得到特別授權(quán)，并在接入前，須經(jīng)過(guò)殺毒處理，而且必須在指定的區(qū)域、通過(guò)指定的端口、指定的方式接入內(nèi)部網(wǎng)絡(luò)，其操作應(yīng)受到審計(jì)。. 第三方人員應(yīng)在本單位信息中心門有關(guān)人員的陪同和監(jiān)督下開(kāi)展現(xiàn)場(chǎng)工作。根據(jù)其在系統(tǒng)中完成工作的時(shí)間、性質(zhì)、范圍、內(nèi)容等方面的需要給予最低授權(quán)。. 信息工作人員離崗后，必須即刻更換該用戶賬號(hào)的操作口令或注銷該用戶賬號(hào)。對(duì)信息工作人員實(shí)行定期考查制度，要害崗位人員應(yīng)定期接受安全培訓(xùn)，加強(qiáng)自身安全意識(shí)和風(fēng)險(xiǎn)防范意識(shí)。對(duì)業(yè)務(wù)操作人員進(jìn)行輪流培訓(xùn)。. 信息工作人員的任命應(yīng)遵循“權(quán)限分散、不得交叉覆蓋”的原則，系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、系統(tǒng)開(kāi)發(fā)人員、系統(tǒng)維護(hù)人員不得兼任業(yè)務(wù)操作員，系統(tǒng)開(kāi)發(fā)人員原則上不應(yīng)兼任系統(tǒng)管理員，在多個(gè)系統(tǒng)的環(huán)境下，管理員和審計(jì)員崗位可交叉擔(dān)任。. 信息安全工作人員的任期應(yīng)根據(jù)系統(tǒng)的安全性要求而定，最長(zhǎng)為三年，期滿通過(guò)考核后可以續(xù)任。. 信息安全工作人員調(diào)離崗位，必須嚴(yán)格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務(wù)。. 信息安全工作人員有責(zé)任保護(hù)公司信息秘密，必須遵守自己崗位各項(xiàng)管理制度，須簽訂保密協(xié)議書(shū)并作出安全承諾。10. 人員安全管理. 信息安全工作人員安全管理. 信息安全工作人員應(yīng)恪守職業(yè)道德，嚴(yán)守企業(yè)秘密，熟悉國(guó)家安全生產(chǎn)法以及有關(guān)信息安全管理的相關(guān)規(guī)程。. 信息中心應(yīng)根據(jù)資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)管理，根據(jù)資產(chǎn)的價(jià)值選擇相應(yīng)的管理措施。9. 資產(chǎn)安全管理. 信息中心應(yīng)清晰的識(shí)別，編制并保存所有重要資產(chǎn)的清單，包括資產(chǎn)責(zé)任部門、重要程度和所處位置等內(nèi)容。. 管理評(píng)審前，信息中心應(yīng)對(duì)以往管理評(píng)審后所實(shí)施的所有預(yù)防措施進(jìn)行匯總并提交評(píng)審。該程序包括了以下方面的要求：(1) 識(shí)別潛在不符合及其它原因所在；(2) 評(píng)價(jià)防止不符合發(fā)生的預(yù)防措施；(3) 確定實(shí)施所需要的預(yù)防措施；(4) 記錄所采取措施的結(jié)果；(5) 評(píng)價(jià)所采取的預(yù)防措施；(6) 識(shí)別已變更的風(fēng)險(xiǎn)，并識(shí)別潛在的重大風(fēng)險(xiǎn)的預(yù)防措施的要求，預(yù)防措施的優(yōu)先級(jí)要根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果來(lái)確定。預(yù)防措施應(yīng)與潛在問(wèn)題的影響程度相適應(yīng)。. 在《糾正與預(yù)防措施控制程序》和其他控制、檢查文件中明確以下要求：(1) 識(shí)別不符合ISMS的事項(xiàng)（指明不符合事項(xiàng)的判斷依據(jù)）；(2) 確定不符合產(chǎn)生的原因；(3) 評(píng)價(jià)確保不符合不再發(fā)生的措施需求；(4) 確定和實(shí)施糾正措施的需求；(5) 針對(duì)記錄文件所采取措施的結(jié)果； (6) 評(píng)審對(duì)所采取的糾正措施。8. ISMS持續(xù)改進(jìn). 持續(xù)改進(jìn)xxxx有限公司通過(guò)制定信息安全方針、安全目標(biāo)，審核結(jié)果，監(jiān)視事態(tài)的分析、糾正和預(yù)防措施以及管理評(píng)審等活動(dòng)，持續(xù)改進(jìn)ISMS的有效性。 合同義務(wù)；(4) 對(duì)資源的需求；(5) 評(píng)價(jià)控制措施的有效性。 信息安全相關(guān)法律法規(guī)要求；216。 信息安全要求；216。. 管理評(píng)審的輸出管理評(píng)審的輸出應(yīng)包括與以下方面有關(guān)的任何決定和措施：(1) 信息安全管理體系過(guò)程有效性的改進(jìn)；(2) 風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理計(jì)劃的更新；(3) 以下內(nèi)內(nèi)容發(fā)生變更，必要時(shí)修改影響信息安全的程序和控制措施，以響應(yīng)業(yè)務(wù)發(fā)展要求；216。評(píng)審的結(jié)果應(yīng)清晰地形成文件，記錄應(yīng)加以保持，評(píng)審具體執(zhí)行《管理評(píng)審控制程序》。7. ISMS管理評(píng)審. 總則信息安全管理體系管理者代表應(yīng)按計(jì)劃的時(shí)間間隔（原則上一年進(jìn)行一次評(píng)審，組織發(fā)生重大變更或信息安全出現(xiàn)重大事故后應(yīng)視影響情況來(lái)定），對(duì)組織的ISMS進(jìn)行評(píng)審，以確保其持續(xù)適宜性、充分性和有效性。6. 內(nèi)部ISMS審核信息中心按計(jì)劃的時(shí)間定期組織內(nèi)部ISMS審核，以確定其ISMS的控制目標(biāo)、控制措施、過(guò)程和程序是否：(1) 符合GB/T220802008/ISO/IEC27001:2005信息安全管理體系 要求標(biāo)準(zhǔn)和相關(guān)法律法規(guī)要求；(2) 符合已識(shí)別確定的信息安全要求；(3) 有效實(shí)施和保持；(4) 完成預(yù)期的目標(biāo)。k) 禁止員工在網(wǎng)絡(luò)上傳播未經(jīng)證實(shí)信息、垃圾郵件和廣告等無(wú)關(guān)消息或在網(wǎng)絡(luò)上以單位的名義表達(dá)私人的意見(jiàn)或看法。i) 未經(jīng)信息管理部門允許，員工不得監(jiān)控網(wǎng)絡(luò)流量，不得針對(duì)單位內(nèi)的網(wǎng)絡(luò)或服務(wù)器進(jìn)行安全掃描程序，不得增加網(wǎng)絡(luò)設(shè)備（如HUB、交換機(jī)）到本單位內(nèi)的網(wǎng)絡(luò)