【正文】 戶的注冊(cè)都必須通過用戶注冊(cè)程序進(jìn)行申請(qǐng)，并得到部門領(lǐng)導(dǎo)或其委托者的批準(zhǔn)。第168條 系統(tǒng)自帶的默認(rèn)帳號(hào)應(yīng)該禁用或配置密碼進(jìn)行保護(hù)。必須禁用或關(guān)閉任何具有越權(quán)訪問的功能。必須按照“除非明確允許，否則一律禁止”的原則來設(shè)置訪問控制規(guī)則。訪問控制列表應(yīng)該進(jìn)行周期性的檢查以保證授權(quán)正確。第164條 對(duì)于不能進(jìn)行時(shí)鐘同步的系統(tǒng)，必須對(duì)時(shí)間進(jìn)行每月一次的檢查。 時(shí)鐘同步第162條 所有系統(tǒng)應(yīng)該使用時(shí)鐘同步服務(wù)，并使用同一時(shí)鐘源。所有故障記錄都應(yīng)該向上級(jí)匯報(bào)并記錄歸檔。 故障日志第159條 必須啟動(dòng)故障日志功能。第158條 管理員和重要系統(tǒng)的操作員日志應(yīng)該至少每周復(fù)查一次。 管理員和操作員日志第156條 系統(tǒng)管理員和操作員的操作必須被記錄日志。只有授權(quán)的員工才能訪問并使用日志。 日志信息保護(hù)第154條 必須保證日志不能被修改或刪除，所有對(duì)于日志文件的訪問（如刪除、寫、讀或添加）嘗試都應(yīng)該有相應(yīng)記錄。 監(jiān)控系統(tǒng)的使用第152條 不同的信息處理設(shè)備所要求的監(jiān)控等級(jí)應(yīng)該通過風(fēng)險(xiǎn)評(píng)估來決定，必須考慮下列要素：1)系統(tǒng)的訪問；2)所有特權(quán)操作；3)未授權(quán)的訪問嘗試；4)系統(tǒng)警報(bào)或故障。第151條 除非特別聲明，所有日志都必須被分類為“機(jī)密”。第150條 必須確保日志記錄功能在任何時(shí)候都能正常運(yùn)行。 監(jiān)控 日志第147條 所有操作系統(tǒng)、應(yīng)用系統(tǒng)都必須具有并啟用日志記錄功能。信息在發(fā)布之前必須經(jīng)過核對(duì)，確認(rèn)其正確性和完整性。第146條 信息的發(fā)布必須遵守國家法律法規(guī)的要求。第144條 在線交易必須遵守國家、地區(qū)和行業(yè)相關(guān)的法律法規(guī)。在線交易必須使用安全的通訊協(xié)議。第142條 在線交易中必須使用數(shù)字證書保護(hù)交易安全。第140條 應(yīng)該使用加密、電子證書、數(shù)字簽名等技術(shù)保護(hù)電子商務(wù)安全。身份驗(yàn)證技術(shù)必須滿足業(yè)務(wù)的實(shí)際要求。在電子商務(wù)的協(xié)議中，必須明確欺詐行為和未能交付的責(zé)任。 電子商務(wù)服務(wù) 電子商務(wù)第136條 必須采取適當(dāng)措施，保證電子交易過程的機(jī)密性、完整性和可用性。 業(yè)務(wù)信息系統(tǒng)第135條 在業(yè)務(wù)系統(tǒng)進(jìn)行信息共享時(shí)，必須保證信息的完整性、可用行和保密性。未經(jīng)授權(quán)，嚴(yán)禁使用公司以外的郵箱處理公司業(yè)務(wù)。所有在公司的郵件系統(tǒng)上產(chǎn)生及存儲(chǔ)的郵件都是公司資產(chǎn)。必須對(duì)Internet屏蔽郵件系統(tǒng)的內(nèi)網(wǎng)IP地址。第133條 電子郵件內(nèi)的信息必須根據(jù)其信息分類的安全要求去處理和保護(hù)。包裝應(yīng)該非常結(jié)實(shí)，確保介質(zhì)在運(yùn)輸過程中不受到損壞。第130條 存放介質(zhì)的容器在運(yùn)輸過程前必須密封。應(yīng)使用可靠的傳輸工具或傳遞人，授權(quán)的傳遞人必須接受適當(dāng)監(jiān)管并進(jìn)行其身份的檢查。第127條 移動(dòng)通訊設(shè)備（比如手機(jī)，PDA等）不應(yīng)存儲(chǔ)公司敏感信息。第125條 電話錄音系統(tǒng)應(yīng)該配置密碼，以防非法訪問。敏感信息帶出公司必須獲得直接領(lǐng)導(dǎo)或信息管理者的授權(quán)。第122條 未經(jīng)許可，公司內(nèi)部不允許安裝、使用無線通信設(shè)備。 信息交換 信息交換管理辦法和程序第120條 必須根據(jù)信息的類型和保密級(jí)別，定義信息在交換過程中應(yīng)遵循的安全要求。含有敏感信息的文檔應(yīng)保存在安全的地方，未經(jīng)許可不得訪問。第118條 應(yīng)根據(jù)介質(zhì)中信息的分類級(jí)別，采取相應(yīng)措施來保護(hù)介質(zhì)的輸出環(huán)境。第116條 所有報(bào)廢及過期的存儲(chǔ)介質(zhì)必須妥善銷毀。應(yīng)該對(duì)介質(zhì)的壽命進(jìn)行管理，在介質(zhì)壽命結(jié)束前一年，將信息拷貝到新的介質(zhì)中。第112條 存儲(chǔ)介質(zhì)的存放環(huán)境必須滿足介質(zhì)要求的環(huán)境條件（比如溫度、濕度、空氣質(zhì)量等）。應(yīng)確保備有足夠的存儲(chǔ)介質(zhì)，以備使用。標(biāo)識(shí)用的代碼需要記錄并歸檔。存儲(chǔ)介質(zhì)上必須設(shè)置標(biāo)簽，以標(biāo)識(shí)其類型和用途。除非得到授權(quán)，否則禁止訪問外部網(wǎng)絡(luò)的服務(wù)。所有網(wǎng)絡(luò)故障都必須向上級(jí)報(bào)告。任何準(zhǔn)備接進(jìn)網(wǎng)絡(luò)的新設(shè)備，在進(jìn)網(wǎng)前都必須通過協(xié)議兼容性的評(píng)估和安全檢查。保護(hù)通過公網(wǎng)傳送敏感數(shù)據(jù)的機(jī)密性、完整性和可用性。只有得到許可的員工才能夠使用網(wǎng)絡(luò)管理系統(tǒng)。 網(wǎng)絡(luò)管理 網(wǎng)絡(luò)控制第104條 網(wǎng)絡(luò)管理和操作系統(tǒng)管理的職責(zé)應(yīng)該彼此分離，并由不同的員工承擔(dān)。必須定期檢查和測(cè)試恢復(fù)步驟，確保它們的有效性。第103條 必須對(duì)異地保存的備份信息實(shí)施安全保護(hù)措施，其保護(hù)標(biāo)準(zhǔn)應(yīng)和主站點(diǎn)相一致。備份資料和相應(yīng)的恢復(fù)操作手冊(cè)必須定期傳送到異地進(jìn)行保存。備份管理辦法必須至少每季度進(jìn)行一次復(fù)查，以確保沒有發(fā)生未授權(quán)或意外的更改。系統(tǒng)在重大變更之前和之后必須進(jìn)行備份。在病毒沒有被徹底清除之前，嚴(yán)禁將其重新連接到網(wǎng)絡(luò)上。第99條 必須定期審核控制惡意軟件措施的有效性。第97條 所有員工都應(yīng)該接受防病毒知識(shí)的培訓(xùn)和指導(dǎo)。所有存進(jìn)計(jì)算機(jī)的信息（例如接收到的郵件、下載的文件等）都必須經(jīng)過病毒掃描。 針對(duì)惡意軟件的保護(hù)措施 對(duì)惡意軟件的控制第96條 必須建立一套病毒防治體系，以便防止病毒對(duì)公司帶來的影響。 第三方服務(wù)的變更管理第95條 服務(wù)改變時(shí)，必須重新對(duì)服務(wù)是否滿足安全管理辦法進(jìn)行評(píng)估。第94條 必須保留第三方提供的服務(wù)、報(bào)告和記錄并定期評(píng)審，至少每半年一次。 第三方服務(wù)交付管理 服務(wù)交付第93條 第三方提供的服務(wù)必須滿足安全管理制度的要求。第92條 所有事件報(bào)告必須記錄歸檔，并由部門主管或指定人員妥善保管。必須根據(jù)事件的嚴(yán)重程度，定義響應(yīng)的范圍、時(shí)間和完成事件處理的時(shí)間。開發(fā)和測(cè)試環(huán)境使用的測(cè)試數(shù)據(jù)不能包含有敏感信息。開發(fā)人員不得在生產(chǎn)環(huán)境中更改編碼或操作生產(chǎn)系統(tǒng)。如果開發(fā)人員需要訪問生產(chǎn)系統(tǒng)，必須經(jīng)過運(yùn)營人員的授權(quán)和管理。無法采取職責(zé)分離時(shí)，必須采取其它的控制，比如活動(dòng)監(jiān)控、審核跟蹤評(píng)估以及管理監(jiān)督等。同一處理過程中的重要任務(wù)不應(yīng)該由同一個(gè)人來完成，以防止欺詐和誤操作的發(fā)生。變更的記錄應(yīng)至少每月復(fù)查一次。第85條 必須對(duì)變更進(jìn)行復(fù)查，以確保變更沒有對(duì)原來的系統(tǒng)環(huán)境造成破壞。在生產(chǎn)系統(tǒng)安裝或更新軟件前，必須對(duì)系統(tǒng)進(jìn)行備份。變更在實(shí)施前必須通知到相關(guān)人員。所有變更必須獲得授權(quán)和批準(zhǔn)，變更的申請(qǐng)和審批不得為同一個(gè)員工。程序內(nèi)容包括但不限于∶1)識(shí)別和記錄變更請(qǐng)求2)評(píng)估變更的可行性、變更計(jì)劃和可能帶來的潛在影響3)變更的測(cè)試4)審批的流程5)明確變更失敗的恢復(fù)計(jì)劃和責(zé)任人6)變更的驗(yàn)收第83條 重要變更必須制定計(jì)劃，并在測(cè)試環(huán)境下進(jìn)行足夠的測(cè)試后，才能在生產(chǎn)系統(tǒng)中實(shí)施。9 通信和操作管理方面 操作程序和職責(zé) 規(guī)范的操作程序第80條 必須為所有的業(yè)務(wù)系統(tǒng)建立操作程序，其內(nèi)容包括但不限于：1)系統(tǒng)重啟、備份和恢復(fù)的措施2)一般性錯(cuò)誤處理的操作指南3)技術(shù)支持人員的聯(lián)系方法4)與其它系統(tǒng)的依賴性和處理的優(yōu)先級(jí)5)硬件的配置管理第81條 操作程序必須征得管理者的同意才能對(duì)其進(jìn)行修改。 設(shè)備的安全處理或再利用第79條 再利用或報(bào)廢之前，設(shè)備所含有的所有存儲(chǔ)裝置（比如硬盤等）都必須通過嚴(yán)格檢查，確保所有敏感數(shù)據(jù)和軟件已被刪除或改寫，并且不可能被恢復(fù)。第78條 如果將設(shè)備帶出公司，設(shè)備擁有者必須親自或指定專人保護(hù)設(shè)備的安全。對(duì)于需要進(jìn)行重大維修的設(shè)備，流程還應(yīng)該包含設(shè)備檢修的報(bào)告，及換用備用設(shè)備的流程。如果設(shè)備需要搬離安全區(qū)域進(jìn)行修理，必須獲得批準(zhǔn)并卸載其存儲(chǔ)介質(zhì)。只有經(jīng)過批準(zhǔn)的、受過專業(yè)培訓(xùn)的工作人員才能進(jìn)行維護(hù)工作。 設(shè)備維護(hù)第75條 所有生產(chǎn)設(shè)備必須有足夠的維護(hù)保障，關(guān)鍵設(shè)備必須提供7x24的現(xiàn)場(chǎng)維護(hù)支持。所有電纜都應(yīng)帶有標(biāo)簽，標(biāo)簽上的編碼應(yīng)記錄歸檔。應(yīng)急電源開關(guān)應(yīng)位于機(jī)房的緊急出口附近，以便緊急狀況發(fā)生時(shí)可以迅速切斷電源。對(duì)需要配備后備電源的設(shè)備裝置進(jìn)行審核，確保后備電源能夠滿足這些設(shè)備的正常工作。工作環(huán)境中增加新設(shè)備時(shí)，必須對(duì)電力、空調(diào)、地板等支持設(shè)施的負(fù)荷進(jìn)行審核。必須驗(yàn)證電力供應(yīng)是否滿足廠商設(shè)備對(duì)電源的要求。 支持設(shè)施第74條 支持設(shè)施能夠支持物理場(chǎng)所、設(shè)備等的正常運(yùn)作，比如：電力設(shè)施、空調(diào)、排水設(shè)施、消防設(shè)施、靜電保護(hù)設(shè)施等。設(shè)備的操作必須遵守廠商提供的操作規(guī)范。設(shè)備都應(yīng)該裝有合適的漏電保險(xiǎn)絲或斷路器進(jìn)行保護(hù)。應(yīng)該考慮的因素包括但不限于：1) 水、火2) 煙霧、灰塵3) 震動(dòng)4) 化學(xué)效應(yīng)5) 電源干擾、電磁輻射第73條 設(shè)備必須放置在遠(yuǎn)離水災(zāi)的地方，并根據(jù)需要考慮安裝漏水警報(bào)系統(tǒng)。第71條 在機(jī)房值班人員交接時(shí)，上一班值班人員所遺留的問題以及從事的工作應(yīng)明確交待給下一班，保證相關(guān)操作的延續(xù)性。 機(jī)房操作日志第70條 必須記錄機(jī)房管理員的操作行為，以便其行為可以追蹤。第69條 機(jī)房的保護(hù)應(yīng)在專家的指導(dǎo)下進(jìn)行，必須安裝合適的安全防護(hù)和檢測(cè)裝置。機(jī)房來賓記錄至少保存一年。必須維護(hù)和及時(shí)更新來賓記錄，以掌握來賓進(jìn)入機(jī)房的詳細(xì)情況。機(jī)房的訪問權(quán)限應(yīng)不同于進(jìn)入大樓其它區(qū)域的權(quán)限。 在安全區(qū)域工作第67條 員工進(jìn)入機(jī)房的訪問授權(quán)，不能超過其工作所需的范圍。10)必須保證防火門在火災(zāi)發(fā)生時(shí)能夠開啟。8) 緊急事件發(fā)生時(shí)必須提供緊急照明。6) 安全出口必須有明顯標(biāo)識(shí)。應(yīng)每季度定期檢查這些裝備，確保它們能有效運(yùn)作。3) 機(jī)房內(nèi)嚴(yán)禁存放易燃材料，每周例行檢查一次。第66條 機(jī)房的消防措施必須滿足以下要求：1) 必須安裝消防設(shè)備，并定期檢查。機(jī)房必須有防火、防潮、防塵、防盜、防磁、防鼠等設(shè)施。 防范外部和環(huán)境威脅第63條 辦公場(chǎng)所和機(jī)房的設(shè)計(jì)和建設(shè)必須充分考慮火災(zāi)、洪水、地震、爆炸、騷亂等天災(zāi)或人為災(zāi)難，并采取額外的控制措施加以保護(hù)。無人值守的時(shí)候，辦公區(qū)中的信息處理設(shè)備必須從物理上進(jìn)行保護(hù)。所有安全區(qū)域和出入口必須通過閉路電視進(jìn)行監(jiān)控。來賓進(jìn)出登記表必須至少保留1年，記錄內(nèi)容應(yīng)包括但不限于：1)來賓姓名2)來賓身份3)來賓工作單位4)來訪事由5)負(fù)責(zé)接待的員工6)來賓通行證號(hào)碼7)進(jìn)入的日期和時(shí)間8)離開的日期和時(shí)間 辦公場(chǎng)所和設(shè)施安全第61條 放置敏感或重要設(shè)備的區(qū)域（例如機(jī)房）應(yīng)盡量不引人注目，給外面的信息應(yīng)盡量最少，不應(yīng)該有明顯的標(biāo)志指明敏感區(qū)域的所在位置和用途。第60條 所有來賓的有關(guān)資料都必須詳細(xì)記載在來賓進(jìn)出登記表中，并向獲準(zhǔn)進(jìn)入的來賓發(fā)放來賓通行證。所有員工都必須佩戴一個(gè)身份識(shí)別通行證，有責(zé)任確保通行證的安全并不得轉(zhuǎn)借他人。任何時(shí)候，重要安全區(qū)域的所有出入口必須受到嚴(yán)格的訪問控制，確保只有授權(quán)的員工才可以進(jìn)入此區(qū)域。保安值班表應(yīng)最少每月調(diào)整一次。第57條 在非辦公時(shí)間內(nèi)，重要的安全區(qū)域必須安排保安定時(shí)巡視。特別是有重要設(shè)備的安全區(qū)域（比如機(jī)房）應(yīng)該部署相應(yīng)的物理安全控制。第54條 在已經(jīng)確定員工或第三方終止或變更意向后，必須及時(shí)對(duì)他們的權(quán)限進(jìn)行限制，只保留終止或變更所需要的權(quán)限。所有刪除和調(diào)整操作必須在最后上班日之前完成。需要?dú)w還的資產(chǎn)包括但不限于：1) 帳號(hào)和訪問權(quán)限2) 公司的電子或紙質(zhì)文檔3) 公司購買的硬件和軟件資產(chǎn)4) 公司購買的其他設(shè)備第51條 如果在非公司資產(chǎn)上保存有公司的資產(chǎn)，必須在帶出公司前歸還或刪除公司的資產(chǎn)。員工在接受調(diào)查時(shí)可以陳述觀點(diǎn)，提出異議，并有進(jìn)一步申訴的權(quán)力。在對(duì)信息安全事件調(diào)查結(jié)束后，必須對(duì)事件中的相關(guān)人員根據(jù)公司的懲戒規(guī)定進(jìn)行處罰。第47條 災(zāi)難恢復(fù)演習(xí)應(yīng)至少每年舉行一次。第45條 應(yīng)該至少每年向員工提供一次安全意識(shí)培訓(xùn)，其內(nèi)容包括但不限于：1)安全管理委員會(huì)下達(dá)的安全管理要求2)信息保密的責(zé)任3)一般性安全守則4)信息分類5)安全事故報(bào)告程序6)電腦病毒爆發(fā)時(shí)的應(yīng)對(duì)措施7)災(zāi)難發(fā)生時(shí)的應(yīng)對(duì)措施第46條 應(yīng)該對(duì)系統(tǒng)管理員、開發(fā)人員進(jìn)行安全技能方面的培訓(xùn)，至少每年一次。第43條 將保密信息發(fā)送到公司以外時(shí)，負(fù)責(zé)傳送信息的工作人員應(yīng)在分發(fā)信息之前，先告知對(duì)方文檔的保密等級(jí)及其相應(yīng)的處理要求。對(duì)于不同的保密等級(jí)，應(yīng)明確說