【正文】 級(jí)別說明安全事故（一級(jí)）1) 造成業(yè)務(wù)系統(tǒng)運(yùn)行中斷，嚴(yán)重影響業(yè)務(wù)活動(dòng)進(jìn)行的。災(zāi)害性事件包括水災(zāi)、臺(tái)風(fēng)、地震、雷擊、坍塌、火災(zāi)、恐怖襲擊、戰(zhàn)爭(zhēng)等導(dǎo)致的信息安全事件。設(shè)備設(shè)施故障包括軟硬件自身故障、外圍保障設(shè)施故障、人為破壞事故、和其它設(shè)備設(shè)施故障等4個(gè)子類，說明如下：a) 軟硬件自身故障（SHF） 是指因信息系統(tǒng)中硬件設(shè)備的自然故障、軟硬件設(shè)計(jì)缺陷或者軟硬件運(yùn)行環(huán)境發(fā)生變化等而導(dǎo)致的信息安全事件；b) 外圍保障設(shè)施故障（PSFF） 是指由于保障信息系統(tǒng)正常運(yùn)行所必須的外部設(shè)施出現(xiàn)故障而導(dǎo)致的信息安全事件，例如電力故障、外圍網(wǎng)絡(luò)故障等導(dǎo)致的信息安全事件；c) 人為破壞事故（MDA） 是指人為蓄意的對(duì)保障信息系統(tǒng)正常運(yùn)行的硬件、軟件等實(shí)施竊取、破壞造成的信息安全事件；或由于人為的遺失、誤操作以及其他無意行為造成信息系統(tǒng)硬件、軟件等遭到破壞，影響信息系統(tǒng)正常運(yùn)行的信息安全事件；d) 其它設(shè)備設(shè)施故障（IFOT） 是指不能被包含在以上3個(gè)子類之中的設(shè)備設(shè)施故障而導(dǎo)致的信息安全事件。信息內(nèi)容安全事件包括以下4個(gè)子類，說明如下：a) 違反憲法和法律、行政法規(guī)的信息安全事件；b) 針對(duì)社會(huì)事項(xiàng)進(jìn)行討論、評(píng)論形成網(wǎng)上敏感的輿論熱點(diǎn)，出現(xiàn)一定規(guī)模炒作的信息安全事件；c) 組織串連、煽動(dòng)集會(huì)游行的信息安全事件；d) 其他信息內(nèi)容安全事件等4個(gè)子類。信息破壞事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息竊取事件、信息丟失事件和其它信息破壞事件等6個(gè)子類，說明如下：a) 信息篡改事件（IAI） 是指未經(jīng)授權(quán)將信息系統(tǒng)中的信息更換為攻擊者所提供的信息而導(dǎo)致的信息安全事件，例如網(wǎng)頁篡改等導(dǎo)致的信息安全事件；b) 信息假冒事件（IMI） 是指通過假冒他人信息系統(tǒng)收發(fā)信息而導(dǎo)致的信息安全事件，例如網(wǎng)頁假冒等導(dǎo)致的信息安全事件；c) 信息泄漏事件（ILEI） 是指因誤操作、軟硬件缺陷或電磁泄漏等因素導(dǎo)致信息系統(tǒng)中的保密、敏感、個(gè)人隱私等信息暴露于未經(jīng)授權(quán)者而導(dǎo)致的信息安全事件；d) 信息竊取事件（III） 是指未經(jīng)授權(quán)用戶利用可能的技術(shù)手段惡意主動(dòng)獲取信息系統(tǒng)中信息而導(dǎo)致的信息安全事件；e) 信息丟失事件（ILOI） 是指因誤操作、人為蓄意或軟硬件缺陷等因素導(dǎo)致信息系統(tǒng)中的信息丟失而導(dǎo)致的信息安全事件；f) 其它信息破壞事件（OIDI） 是指不能被包含在以上5個(gè)子類之中的信息破壞事件。例如，利用欺騙性電子郵件獲取用戶銀行帳號(hào)密碼等；f) 干擾事件（II） 是指通過技術(shù)手段對(duì)網(wǎng)絡(luò)進(jìn)行干擾，或?qū)V播電視有線或無線傳輸網(wǎng)絡(luò)進(jìn)行插播，對(duì)衛(wèi)星廣播電視信號(hào)非法攻擊等導(dǎo)致的信息安全事件；g) 其他網(wǎng)絡(luò)攻擊事件（ONAI） 是指不能被包含在以上6個(gè)子類之中的網(wǎng)絡(luò)攻擊事件。 網(wǎng)絡(luò)攻擊事件（NAI） 網(wǎng)絡(luò)攻擊事件是指通過網(wǎng)絡(luò)或其他技術(shù)手段，利用信息系統(tǒng)的配置缺陷、協(xié)議缺陷、程序缺陷或使用暴力攻擊對(duì)信息系統(tǒng)實(shí)施攻擊，并造成信息系統(tǒng)異?；?qū)π畔⑾到y(tǒng)當(dāng)前運(yùn)行造成潛在危害的信息安全事件?；旌瞎舫绦蚴录部梢允且幌盗杏泻Τ绦蚓C合作用的結(jié)果，例如一個(gè)計(jì)算機(jī)病毒或蠕蟲在侵入系統(tǒng)后安裝木馬程序等； f) 網(wǎng)頁內(nèi)嵌惡意代碼事件（WBPI） 是指蓄意制造、傳播網(wǎng)頁內(nèi)嵌惡意代碼，或是因受到網(wǎng)頁內(nèi) 嵌惡意代碼影響而導(dǎo)致的信息安全事件。僵尸網(wǎng)絡(luò)是指網(wǎng)絡(luò)上受到黑客集中控制的一群計(jì)算機(jī)，它可以被用于伺機(jī)發(fā)起網(wǎng)絡(luò)攻擊，進(jìn)行信息竊取或傳播木馬、蠕蟲等其他有害程序； e) 混合攻擊程序事件（BAI） 是指蓄意制造、傳播混合攻擊程序，或是因受到混合攻擊程序影響而導(dǎo)致的信息安全事件。蠕蟲是指除計(jì)算機(jī)病毒以外，利用信息系統(tǒng)缺陷，通過網(wǎng)絡(luò)自動(dòng)復(fù)制并傳播的有害程序； c) 特洛伊木馬事件（THI） 是指蓄意制造、傳播特洛伊木馬程序，或是因受到特洛伊木馬程序影響而導(dǎo)致的信息安全事件。 有害程序事件包括計(jì)算機(jī)病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網(wǎng)絡(luò)事件、混合攻擊程序事件、網(wǎng)頁內(nèi)嵌惡意代碼事件和其它有害程序事件等 7 個(gè)子類，說明如下： a) 計(jì)算機(jī)病毒事件（CVI） 是指蓄意制造、傳播計(jì)算機(jī)病毒，或是因受到計(jì)算機(jī)病毒影響而導(dǎo)致 的信息安全事件。 有害程序事件（MI） 有害程序事件是指蓄意制造、傳播有害程序，或是因受到有害程序的影響而導(dǎo)致的信息安全事件。b) 相應(yīng)人員判斷異常現(xiàn)象是否為信息安全事件，如果是的話進(jìn)入信息安全事件處理流程；如果不是，由相應(yīng)人員對(duì)異?，F(xiàn)象進(jìn)行處理。4. 信息安全異?，F(xiàn)象信息安全異?，F(xiàn)象是指被識(shí)別的一種系統(tǒng)、服務(wù)或網(wǎng)絡(luò)狀態(tài)的發(fā)生，表明一次可能的信息安全策略違規(guī)或某些防護(hù)措施失效，或者一種可能與安全相關(guān)但以前不為人知的一種情況。3) 各部門：積極預(yù)防信息安全事件的發(fā)生；及時(shí)準(zhǔn)確的匯報(bào)信息安全事件，配合信息安全事件的調(diào)查取證工作；配合執(zhí)行處理措施，獎(jiǎng)懲決定以及糾正預(yù)防措施。2) GB/T 220802016/ISO/IEC 27001:2013 信息技術(shù)安全技術(shù)信息安全管理體系要求3) GB/T 220812016/ISO/IEC 27002:2013 信息技術(shù)安全技術(shù)信息安全管理實(shí)施細(xì)則4) 《業(yè)務(wù)連續(xù)性管理制度》3. 職責(zé)和權(quán)限1) 信息安全管理領(lǐng)導(dǎo)小組：負(fù)責(zé)對(duì)內(nèi)部信息安全事件的處理和獎(jiǎng)懲意見進(jìn)行審批；負(fù)責(zé)對(duì)糾正預(yù)防措施進(jìn)行審批。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。本制度適用于影響信息安全的所有事故以及安全異?，F(xiàn)象以及全體人員（包括外協(xié)人員、實(shí)習(xí)生、長期客戶員工、來訪客戶等）。公司與相關(guān)外部組織或內(nèi)部組織溝通情況記入《信息安全管理體系意見表》，提交給信息安全管理領(lǐng)導(dǎo)小組，制定和落實(shí)整改措施。信息系統(tǒng)或軟件自動(dòng)傳輸需交流的信息，須符合交流協(xié)議的規(guī)定，并按密級(jí)保護(hù)的要求操作。與外部交流的重要信息，應(yīng)定義雙方的識(shí)別標(biāo)記，進(jìn)行電子簽名，以識(shí)別信息來源，保證信息來源的真實(shí)可靠。對(duì)于二級(jí)敏感信息采取加密傳輸?shù)姆绞竭M(jìn)行。 4. 信息傳輸協(xié)議一級(jí)敏感信息采取全程不落地加密傳輸?shù)姆绞竭M(jìn)行，對(duì)信息中的敏感字段要進(jìn)行脫敏處理?？赏ㄟ^電話、短信等方式進(jìn)行身份驗(yàn)證。對(duì)一二級(jí)密級(jí)信息文件須加密傳輸。 使用電子郵件應(yīng)符合《電子郵件管理規(guī)定》中的相關(guān)要求。2. 總則 公司對(duì)與外部組織或個(gè)人進(jìn)行信息傳輸進(jìn)行統(tǒng)一規(guī)劃和管理。部門員工可以向部門郵箱發(fā)送發(fā)給部門所有員工的郵件。不得傳遞與本人工作無關(guān)以及有害社會(huì)、企業(yè)安定的郵件。 如有需要，經(jīng)部門主管向人力資源部申請(qǐng)，可開通部門郵箱。郵箱關(guān)閉：?jiǎn)T工因離職不再使用公司業(yè)務(wù)郵箱，由人力資源部執(zhí)行注銷，特殊人員的郵箱賬號(hào)需要保留的，需經(jīng)總經(jīng)理批準(zhǔn)后方可注銷。 使用郵箱用戶：應(yīng)熟練使用各種辦公軟件進(jìn)行郵件的收發(fā)。 3. 管理權(quán)限和職責(zé) 系統(tǒng)服務(wù)部：統(tǒng)一管理公司的電子郵件服務(wù)器。 公司郵箱用戶的賬號(hào)名以員工中文姓名/英文姓名的全拼/縮寫字母為準(zhǔn)，如有重名，允許用戶自定義13位的識(shí)別碼，已有賬號(hào)員工可保留原賬號(hào)不變。 公司鼓勵(lì)和提倡各下屬以及員工采用電子郵件進(jìn)行內(nèi)外交流。文檔編號(hào)（由總裁辦填寫）密級(jí)內(nèi)部公開文檔發(fā)布級(jí)別公司級(jí)文檔發(fā)布及實(shí)行范圍全員制度試行日期（可選）制度執(zhí)行日期文檔起草人簽字： 日期： 文檔修訂人：簽字：日期：修訂說明：備注：文檔負(fù)責(zé)人：簽字：日期：文檔審批信息安全管理者代表簽字： 日期：文檔審批人簽字： 日期：電子郵件管理規(guī)定1. 目標(biāo) 維護(hù)公司以及個(gè)人信息的安全性、保障郵件傳輸?shù)目煽啃?、保持工作的高效率，特制定本?guī)定。8) 使用傳真的人員注意下列問題：l 故意的或無意的程序設(shè)定，向特定的號(hào)碼發(fā)送信息；l 發(fā)送傳真時(shí)注意，禁止向錯(cuò)誤的號(hào)碼發(fā)送文件和信息，不要撥錯(cuò)號(hào)碼。7. 信息交流控制措施1) 信息交流方式包括數(shù)據(jù)交流、電子郵件、電話、紙質(zhì)文件、談話、錄音、會(huì)議、傳真、短信、IM工具等；2) 可交流的信息，須符合《信息資產(chǎn)分類分級(jí)管理制度》里的密級(jí)規(guī)定。5) 對(duì)不同的應(yīng)用系統(tǒng)的用戶信息及其他信息進(jìn)行網(wǎng)絡(luò)隔離。5. 網(wǎng)絡(luò)隔離3) 公司與外部通過防火墻隔離，制定嚴(yán)格的VLAN劃分，對(duì)公司內(nèi)重要部門的訪問進(jìn)行控制。4. Internet訪問控制5) 所有員工在工作時(shí)間禁止利用公司網(wǎng)絡(luò)和互聯(lián)網(wǎng)專線訪問違法網(wǎng)站及內(nèi)容。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。2. 引用文件1) 下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。所有生產(chǎn)系統(tǒng)的時(shí)鐘同步工作由系統(tǒng)管理員完成。2) 管理員要做預(yù)防性維護(hù)，在服務(wù)器沒有業(yè)務(wù)操作時(shí)，每個(gè)月對(duì)服務(wù)器重起，防止服務(wù)器內(nèi)存泄露，防止系統(tǒng)意外崩潰；并查看服務(wù)器重起后所有服務(wù)是否啟動(dòng),業(yè)務(wù)系統(tǒng)是否正常運(yùn)行。2) 由系統(tǒng)服務(wù)部管理員定期對(duì)服務(wù)器的日志進(jìn)行檢查、處理，并記錄3) 確認(rèn)需要開啟的審計(jì)項(xiàng)目，服務(wù)器的操作系統(tǒng)要根據(jù)安全需求開啟安全日志審計(jì)功能，并對(duì)系統(tǒng)管理員組成員的系統(tǒng)活動(dòng)進(jìn)行審計(jì)。4. 系統(tǒng)監(jiān)控管理1) 需監(jiān)控的日志包括但不僅限于以下類型：l 服務(wù)器事件日志l 管理員和操作員日志2) 運(yùn)行中心監(jiān)控人員定期進(jìn)行日志的檢查。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。2. 引用文件1) 下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。6) 每一月做一次恢復(fù)性測(cè)試。備份數(shù)據(jù)包含但不僅限于各部門核心業(yè)務(wù)數(shù)據(jù)。2) GB/T 220802016/ISO/IEC 27001:2013 信息技術(shù)安全技術(shù)信息安全管理體系要求3. 職責(zé)和權(quán)限各部門：負(fù)責(zé)對(duì)各自部門的重要信息進(jìn)行相關(guān)備份工作。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。5 相關(guān)記錄序號(hào)記錄名稱保存期限保存形式備注1電腦防病毒及軟件表三年紙質(zhì)/電子文檔編號(hào)（由總裁辦填寫）密級(jí)內(nèi)部公開文檔發(fā)布級(jí)別公司級(jí)文檔發(fā)布及實(shí)行范圍全員制度試行日期（可選）制度執(zhí)行日期文檔起草人簽字： 日期： 文檔修訂人：簽字：日期：修訂說明：備注：文檔負(fù)責(zé)人：簽字：日期：文檔審批信息安全管理者代表簽字： 日期：文檔審批人簽字： 日期：數(shù)據(jù)備份管理規(guī)定1. 目的和范圍為確保數(shù)據(jù)的完整性及有效性，以便在發(fā)生信息安全事故時(shí)能夠準(zhǔn)確及時(shí)的恢復(fù)數(shù)據(jù)，避免業(yè)務(wù)的中斷，特制定本規(guī)定。未經(jīng)許可，任何人不得將內(nèi)部使用的軟件外帶、傳播、販賣，不得將軟件用于任何違法或非正當(dāng)用途。4. 軟件使用1) 各部門負(fù)責(zé)軟件的使用，如有問題及時(shí)反饋給信息安全工作小組。引用方式可以是 Maven 和Gradle引用方式。(2) 是一個(gè)項(xiàng)目必不可少的，其中要求示例、文檔、引用方式、開源的Licence齊全。h) 有多少活躍的項(xiàng)目貢獻(xiàn)者？i) 版本號(hào)管理是否清晰？j) 對(duì)于來自社區(qū)的具體需求，該項(xiàng)目的改進(jìn)和集成情況？ 開源項(xiàng)目的標(biāo)準(zhǔn)(1) 合適的文件和代碼合適的文件指的是要有自己的gitignore，合適的代碼是指代碼要符合代碼規(guī)范（如很簡(jiǎn)單的四空格縮進(jìn)很多 Java 開源項(xiàng)目都做不到）。c) 該開源項(xiàng)目是否有清晰的road map。源代碼修改原則：不要讓clone的副本變成孤島。(3) 源碼修改a. 個(gè)性化業(yè)務(wù)帶來的修改盡量使用 Wrap 方式，而不要直接改源碼。性能要求較高庫需要性能對(duì)比測(cè)試。：(1)開源協(xié)議謹(jǐn)慎使用 GPL 協(xié)議，GPL 協(xié)議規(guī)定使用了該開源庫的代碼也必須遵循 GPL 協(xié)議，即開源和免費(fèi)。磁盤文件存放于指定存儲(chǔ)空間中，由專人負(fù)責(zé)整理，各軟件建立獨(dú)立的文件夾，標(biāo)識(shí)明確清晰，并做好軟件的備份工作。1) 購買的商業(yè)軟件由公司自行歸檔和存放。信息安全工作小組登記分發(fā)的辦公軟件、公司購買的商業(yè)軟件的安裝情況。2） 各開發(fā)和測(cè)試部：是開發(fā)類軟件的管理部門。7. 相關(guān)記錄序號(hào)記錄名稱保存期限保存形式備注1電腦防病毒及軟件表（賽門鐵克）三年電子文檔編號(hào)（由總裁辦填寫）密級(jí)內(nèi)部公開文檔發(fā)布級(jí)別公司級(jí)文檔發(fā)布及實(shí)行范圍全員制度試行日期（可選）制度執(zhí)行日期文檔起草人簽字： 日期： 文檔修訂人：簽字：日期：修訂說明：備注：文檔負(fù)責(zé)人：簽字：日期：文檔審批信息安全管理者代表簽字： 日期：文檔審批人簽字： 日期：軟件管理規(guī)定目的和范圍為加強(qiáng)公司設(shè)備安裝軟件的管理，特制定本規(guī)定。3) 員工使用殺毒軟件對(duì)個(gè)人電腦進(jìn)行掃描，每季度至少一次。5. 惡意軟件管理1) 所有計(jì)算機(jī)（包括服務(wù)器和個(gè)人電腦）都使用殺毒軟件對(duì)惡意軟件進(jìn)行防護(hù)和檢查，并將軟件設(shè)置為自動(dòng)升級(jí)病毒庫。6) 任何部門和個(gè)人有違反本辦法規(guī)定的，將予以警告，并責(zé)令其限期改正，逾期不改正的或因違反本辦法規(guī)定而引發(fā)如計(jì)算機(jī)信息系統(tǒng)癱瘓、程序和數(shù)據(jù)嚴(yán)重破壞等重大事故的，按公司《信息安全事件管理制度》等相關(guān)規(guī)定處理。c) 其他傳播計(jì)算機(jī)病毒的行為。4) 任何部門和個(gè)人不得有下列傳播計(jì)算機(jī)病毒的行為：a) 故意輸入計(jì)算機(jī)病毒，危害計(jì)算機(jī)信息系統(tǒng)安全。2) 信息安全工作小組每個(gè)