【正文】 的責(zé)任 密碼的使用 第187條 用戶必須對(duì)其帳號(hào)的安全和使用負(fù)責(zé)，無論在何種情況下，用戶都不應(yīng)該泄漏其密碼。 用戶訪問權(quán)限的檢查 第185條 必須半年對(duì)注冊(cè)用戶的訪問權(quán)限和系統(tǒng)特權(quán)進(jìn)行一次復(fù)查，關(guān)鍵系統(tǒng)必須每三個(gè)月復(fù)查一次。必須記錄所有應(yīng)急帳號(hào)的使用情況，包括相關(guān)的人、時(shí)間和原因等。 第183條 禁止帳號(hào)和密碼被一起傳送，例如用同一封郵件傳送帳號(hào)和密碼。 第181條 系統(tǒng)必須啟用登錄失敗的限制功能，如果連續(xù)10次登錄失敗，系統(tǒng)應(yīng)該自動(dòng)鎖定相關(guān)帳號(hào)。 第179條 必須強(qiáng)制用戶在第一次登錄時(shí)修改密碼。 第177條 系統(tǒng)中統(tǒng)一管理帳號(hào)密碼的模塊保存的密碼必須是加密的。 第175條 必須建立授權(quán)清單，記錄和維護(hù)已分配的特權(quán)和其相對(duì)的用戶信息。 第173條 帳號(hào)名不能透露用戶的權(quán)限信息，比如管理員帳號(hào)不能帶有Admin字樣。用戶一旦發(fā)現(xiàn)其帳號(hào)異常，必須立即通知負(fù)責(zé)用戶注冊(cè)的管理員進(jìn)行處理。 第171條 負(fù)責(zé)用戶注冊(cè)的管理員必須驗(yàn)證用戶注冊(cè)和注銷請(qǐng)求的合法性。系統(tǒng)管理者對(duì)用戶具有最終的授權(quán)決定權(quán)。 用戶訪問管理 用戶注冊(cè) 第169條 開放給用戶訪問的信息系統(tǒng)，必須建立正式的用戶注冊(cè)和注銷程序。員工的職責(zé)發(fā)生變化或離職時(shí)，其訪問權(quán)限必須作相應(yīng)調(diào)整或撤銷。 第167條 所有訪問控制必須建立相應(yīng)的審批程序，以確保訪問授權(quán)的合理性和有效性。 第166條 訪問權(quán)限必須根據(jù)工作完成的最少需求而定，不能超過其工作實(shí)際所需的范圍。 10 訪問控制方面 訪問控制要求 訪問控制管理辦法 第165條 所有系統(tǒng)和應(yīng)用都必須有訪問控制列表，由系統(tǒng)管理者明確定義訪問控制規(guī)則、用戶和用戶組的權(quán)限以及訪問控制機(jī)制。 第163條 所有系統(tǒng)中的時(shí)間允許最多一分鐘的偏差。 第161條 故障記錄應(yīng)妥善保管，防止被損壞，必要時(shí)應(yīng)該進(jìn)行備份。 第160條 必須保證故障記錄的跟進(jìn)處理，確保問題得到完全解決，并且其糾正措施不會(huì)帶來新的安全問題。對(duì)于重要的財(cái)務(wù)系統(tǒng)和業(yè)務(wù)系統(tǒng)每天都要復(fù)查。 第157條 日志記錄應(yīng)包括重要的操作，例如與用戶管理相關(guān)的操作（用戶帳號(hào)的創(chuàng)建、刪除、權(quán)限設(shè)臵、修改）、與財(cái)務(wù)相關(guān)的操作等。必須采取控制措施保護(hù)日志的完整性。 第155條 除非特別聲明，日志必須至少保存1年。 第153條 應(yīng)每天定時(shí)監(jiān)控網(wǎng)絡(luò)（包括網(wǎng)絡(luò)性能和網(wǎng)絡(luò)故障），并根據(jù)產(chǎn)生的報(bào)告，對(duì)異常變化的網(wǎng)絡(luò)流量，作進(jìn)一步分析，以發(fā)現(xiàn)潛在的網(wǎng)絡(luò)安全問題。日志應(yīng)該定期復(fù)查，至少每月一次。應(yīng)該有機(jī)制監(jiān)控日志的容量變化，在容量耗盡之前發(fā)出報(bào)警信息。 第148條 日志記錄信息必須包括但不限于： 1)用戶ID； 2)每項(xiàng)操作的日期和時(shí)間（至少要精確到秒）； 3)來源的標(biāo)識(shí)或位臵； 4)成功的系統(tǒng)訪問嘗試； 5)失敗或被拒絕的系統(tǒng)訪問嘗試； 第149條 日志類型包括但不限于： 1)應(yīng)用日志； 2)系統(tǒng)日志； 3)安全日志； 4)操作日志； 5)問題記錄。必須對(duì)敏感信息的處理和存儲(chǔ)過程進(jìn)行保護(hù)。通過信息發(fā)布系統(tǒng)向內(nèi)部和公眾發(fā)布的信息都必須經(jīng)過公司相關(guān)部門的檢查和審批。 公共信息 第145條 必須確保公共信息系統(tǒng)中信息的完整性，并防止非授權(quán)的修改。 第143條 在線交易信息必須保存在公司內(nèi)部的存儲(chǔ)環(huán)境，存儲(chǔ)環(huán)境不能被從Internet直接訪問。交易中必須使用加密技術(shù)對(duì)所有通信內(nèi)容加密。 在線交易 第141條 必須保護(hù)在線交易信息，避免不完整的傳輸、路由錯(cuò)誤、未授權(quán)的消息更改、未授權(quán)的信息信息泄漏、復(fù)制和回復(fù)。 第139條 必須保留并維護(hù)所有電子商務(wù)交易過程中的記錄和日志。 第138條 電子交易必須設(shè)臵并維護(hù)適當(dāng)?shù)脑L問控制。 第137條 電子商務(wù)的交易必須制定相關(guān)的交易聲明，以明確注意事項(xiàng)和相關(guān)責(zé)任。必須保證重要信息在交換過程中的保密性。所有對(duì)外發(fā)送的郵件都必須加上責(zé)任聲明。公司有權(quán)查看和監(jiān)控所有郵件。 第134條 員工使用公司的郵件系統(tǒng)時(shí)只能進(jìn)行與業(yè)務(wù)相關(guān)的活動(dòng)。用于連接外網(wǎng)的郵件網(wǎng)關(guān)必須安裝防病毒軟件，檢查進(jìn)出的電子郵件。 電子消息 第131條 電子化辦公系統(tǒng)必須建立相應(yīng)的管理辦法和控制機(jī)制，并闡明下列內(nèi)容： 1)確定不能被共享的信息的類型或密級(jí) 2)系統(tǒng)用戶的權(quán)限 3)系統(tǒng)的訪問控制 4)與系統(tǒng)相關(guān)的備份管理辦法 第132條 除非獲得安全管理委員會(huì)的授權(quán)，否則禁止使用公司以外的電子系統(tǒng)（比如BBS、MSN、等）進(jìn)行跟公司相關(guān)的活動(dòng)。信息分類不應(yīng)該標(biāo)識(shí)在容器的外面。應(yīng)確保敏感信息的機(jī)密性、完整性和可用性在傳輸全程中受到保護(hù)。 交換協(xié)議 第128條 跟外界進(jìn)行信息和軟件交換必須簽署協(xié)議，其內(nèi)容必須包括： 1)發(fā)送方和接收方的責(zé)任 2)明確發(fā)送和接收的方式 3)制定信息封裝和傳輸?shù)募夹g(shù)標(biāo)準(zhǔn) 4)數(shù)據(jù)丟失的相關(guān)責(zé)任 5)聲明信息的保密級(jí)別和保護(hù)要求 6)聲明信息和軟件的所有權(quán)、版權(quán)和其他相關(guān)因素 物理介質(zhì)傳輸 第129條 必須建立傳輸存儲(chǔ)介質(zhì)的安全標(biāo)準(zhǔn)。 第126條 在使用傳真機(jī)中已存儲(chǔ)的號(hào)碼時(shí)，傳真之前必須驗(yàn)證號(hào)碼。 第124條 必須建立控制機(jī)制來保護(hù)利用音頻、傳真和視頻通信設(shè)備進(jìn)行交換的信息。 第123條 使用加密技術(shù)保護(hù)信息的保密性、完整性和真實(shí)性。 第121條 所有員工和第三方人員都必須遵守公司的信息交換管理辦法。含有敏感信息的文檔通過內(nèi)部網(wǎng)等提供訪問的，應(yīng)采用訪問控制加以保護(hù)。 系統(tǒng)文檔的安全 第119條 存取含有敏感信息的文檔，必須獲得相應(yīng)文檔管理者的批準(zhǔn)。 信息處理程序 第117條 介質(zhì)的信息分類，必須采用存放信息中的最高保密等級(jí)。 介質(zhì)的銷毀 第114條 應(yīng)建立存儲(chǔ)介質(zhì)的報(bào)廢規(guī)范，包括但不限于： 1)紙質(zhì)文檔 2)語(yǔ)音資料及其他錄音帶 3)復(fù)寫紙 4)磁帶 5)磁盤 6)光存儲(chǔ)介質(zhì) 第115條 所有不會(huì)被再利用的敏感文檔都必須根據(jù)定義的信息密級(jí)采取適當(dāng)?shù)姆绞竭M(jìn)行銷毀。 第113條 備份介質(zhì)必須存儲(chǔ)在防火柜中。 第111條 存放在存儲(chǔ)介質(zhì)內(nèi)的絕密和機(jī)密信息必須受到妥善保護(hù)。 第110條 必須建立和維護(hù)介質(zhì)清單，并對(duì)介質(zhì)的借用和歸還進(jìn)行記錄。標(biāo)簽應(yīng)使用代碼，以避免直接標(biāo)識(shí)存儲(chǔ)介質(zhì)上的內(nèi)容。 介質(zhì)的管理 可移動(dòng)介質(zhì)的管理 第109條 可移動(dòng)計(jì)算機(jī)存儲(chǔ)介質(zhì)（比如磁帶、光盤等）必須有適當(dāng)?shù)脑L問控制。 第108條 必須建立互聯(lián)網(wǎng)的訪問管理辦法。 第107條 必須對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)控和管理。 第106條 進(jìn)行網(wǎng)絡(luò)協(xié)議兼容性的評(píng)估時(shí)應(yīng)考慮將來新增網(wǎng)絡(luò)設(shè)備的要求。 第105條 必須建立相應(yīng)的控制機(jī)制，保護(hù)路由表和防火墻安全管理辦法等網(wǎng)絡(luò)參數(shù)的完整性。必須明確定義網(wǎng)絡(luò)管理的職責(zé)和義務(wù)。備份系統(tǒng)必須進(jìn)行監(jiān)控，以確保其穩(wěn)定性和可用性。必須定期測(cè)試備份介質(zhì)，確保其可用性。異地必須與主站點(diǎn)有一定的距離，以避免受主站點(diǎn)的災(zāi)難波及。 第102條 應(yīng)該保留多于1個(gè)備份周期的備份，但重要業(yè)務(wù)信息應(yīng)至少保留3個(gè)備份周期的備份。 第101條 備份管理辦法必須獲得管理層的審批以確保符合業(yè)務(wù)需求。 備份 信息備份 第100條 所有服務(wù)器、個(gè)人電腦和筆記本電腦必須根據(jù)業(yè)務(wù)需求定期進(jìn)行備份。一旦發(fā)現(xiàn)感染病毒，必須立刻把機(jī)器從網(wǎng)絡(luò)中斷開。 第98條 公司內(nèi)發(fā)現(xiàn)的病毒、計(jì)算機(jī)或應(yīng)用程序的異常行為，都必須作為安全事件進(jìn)行報(bào)告。員工和第三方廠商從外界帶來的存儲(chǔ)介質(zhì)在使用之前必須進(jìn)行病毒掃描。所有服務(wù)器、個(gè)人電腦和筆記本電腦都應(yīng)該安裝公司規(guī)定的防病毒軟件，并及時(shí)更新防病毒軟件。在服務(wù)變更時(shí)需要考慮： 1) 服務(wù)價(jià)格的增長(zhǎng)； 2) 新的服務(wù)需求； 3) 公司信息安全管理制度的變化； 4) 公司在信息安全方面新的控制。評(píng)審內(nèi)容應(yīng)包括：1) 服務(wù)內(nèi)容和質(zhì)量是否滿足合同要求； 2) 服務(wù)報(bào)告是否真實(shí)。第三方提供的服務(wù)必須滿足公司業(yè)務(wù)連續(xù)性的要求。必須對(duì)事件的處理情況進(jìn)行監(jiān)控，對(duì)超時(shí)的處理提出改進(jìn)建議并跟進(jìn)改進(jìn)效果。 第91條 系統(tǒng)的修復(fù)必須得到系統(tǒng)管理者的批準(zhǔn)方可執(zhí)行。 事件管理程序 第90條 必須建立事件管理程序，并根據(jù)事件影響的嚴(yán)重程度制訂其所屬類別，同時(shí)說明相應(yīng)的處理方法和負(fù)責(zé)人。不得在生產(chǎn)系統(tǒng)上擅自安裝開發(fā)工具（比如編譯程序及其他系統(tǒng)公用程序等），并做好已有開發(fā)工具的訪問控制。 第89條 生產(chǎn)、測(cè)試和開發(fā)應(yīng)分別使用不同的系統(tǒng)環(huán)境。 開發(fā)、測(cè)試和生產(chǎn)系統(tǒng)分離 第88條 不應(yīng)給開發(fā)人員提供超過其開發(fā)所需范圍的權(quán)限。 第87條 所有職責(zé)分離的控制必須記錄歸檔，作為責(zé)任分工的依據(jù)。 職責(zé)分離 第86條 系統(tǒng)管理員和系統(tǒng)開發(fā)人員的職責(zé)必須明確分開。必須完整記錄整個(gè)變更過程，并將其妥善保管。變更完成后，相關(guān)的文檔（如系統(tǒng)需求文檔、設(shè)計(jì)文檔、操作手冊(cè)、用戶手冊(cè)等）必須得到更新，舊的文檔必須進(jìn)行備份。 第84條 變更的實(shí)施應(yīng)該安排在對(duì)業(yè)務(wù)影響最小的時(shí)間段進(jìn)行，盡量減少對(duì)業(yè)務(wù)正常運(yùn)營(yíng)的影響。對(duì)變更需要涉及的硬件、軟件和信息等對(duì)象都應(yīng)標(biāo)識(shí)出來并進(jìn)行相應(yīng)評(píng)估。所有變更必須包括變更失敗的應(yīng)對(duì)措施和恢復(fù)計(jì)劃。操作程序必須及時(shí)更新，更新條件包括但不限于： 1)應(yīng)用軟件的變更 2)硬件配臵的變更 變更控制 第82條 必須建立變更管理程序來控制系統(tǒng)的變更，所有變更都必須遵守變更管理程序的要求。應(yīng)該通過風(fēng)險(xiǎn)評(píng)估來決定是否徹底銷毀、送修還是丟棄含有敏感數(shù)據(jù)的已損壞設(shè)備。設(shè)備擁有者必須對(duì)設(shè)備在公司場(chǎng)所外的安全負(fù)責(zé)。 管轄區(qū)域外設(shè)備安全 第77條 筆記本電腦用戶必須保護(hù)好筆記本電腦的安全，防止筆記本電腦損壞或被偷竊。 第76條 必須建立設(shè)備故障報(bào)告流程。設(shè)備的所有維護(hù)工作都應(yīng)該記錄歸檔。所有生產(chǎn)設(shè)備必須定期進(jìn)行預(yù)防性維護(hù)。電纜應(yīng)從物理上加以保護(hù)。電纜應(yīng)根據(jù)供電電壓和頻率的不同而相互隔離。每年必須至少對(duì)備用電源/進(jìn)行一次測(cè)試。必須設(shè)臵后備電源，例如不間斷電源（UPS）或發(fā)電機(jī)。每年應(yīng)至少對(duì)支持設(shè)施進(jìn)行一次安全檢查。必須采取保護(hù)措施使設(shè)備免受電源故障或電力異常的破壞。 通信線路和電纜必須從物理上進(jìn)行保護(hù)。 放臵設(shè)備的區(qū)域必須滿足廠商提供的設(shè)備環(huán)境要求。 應(yīng)急開關(guān)如電閘、煤氣開關(guān)和水閘等都必須清楚地做好標(biāo)識(shí)，并且能容易訪問。 設(shè)備安全 設(shè)備的安置及保護(hù) 第72條 必須對(duì)設(shè)備實(shí)施安全控制，以減少環(huán)境危害和非法的訪問。操作記錄必須備份和維護(hù)并妥善保管，防止被破壞。機(jī)房?jī)?nèi)嚴(yán)禁吸煙、飲食和拍攝。來賓必須得到明確許可后，在專人陪同下才能進(jìn)入機(jī)房。記錄中應(yīng)詳細(xì)說明來賓的姓名、進(jìn)入與離開的日期與時(shí)間，申請(qǐng)者以及進(jìn)入的原因。 第68條 所有需要進(jìn)入機(jī)房的來賓都必須提前申請(qǐng)。必須定期檢查訪問權(quán)限的分配并及時(shí)更新。 11)每年應(yīng)至少舉行一次火災(zāi)撤離演習(xí)，使工作人員熟知火災(zāi)撤離的過程。 9) 所有疏散路線都必須時(shí)刻保持通暢。 7) 應(yīng)該訓(xùn)練員工熟悉使用消防設(shè)施。 5) 必須在明顯位臵張貼火災(zāi)逃生路線圖、滅火設(shè)備平面放臵圖以及安全出口的位臵。 4) 必須安裝煙感及其他火警探測(cè)器和滅火裝臵。 2) 應(yīng)該指定消防指揮員。 第65條 機(jī)房建設(shè)必須符合國(guó)標(biāo)GB288789《計(jì)算機(jī)場(chǎng)地技術(shù)條件》和GB936188《計(jì)算站場(chǎng)地安全要求》中的要求。 第64條 機(jī)房必須增加額外的物理控制，選取的場(chǎng)地應(yīng)盡量安全，并盡可能避免受到災(zāi)害的影響。門和窗戶必須鎖好。普通會(huì)議室或其它公眾場(chǎng)合必須與安全區(qū)域隔離開來。這些區(qū)域還應(yīng)該被給予相應(yīng)的保護(hù)，保護(hù)措施包括但不限于： 1)所有出入口必須安裝物理訪問控制措施 2)使用來賓登記表以便記錄來訪信息 3)嚴(yán)禁吸煙 第62條 必須對(duì)支持關(guān)鍵性業(yè)務(wù)活動(dòng)的設(shè)備提供足夠的物理訪問控制。同時(shí)，必須有相應(yīng)的程序以確?；厥账l(fā)放的來賓通行證。員工離職時(shí)必須交還通行證，同時(shí)取消其所有訪問權(quán)限。 第59條 對(duì)于設(shè)有訪問控制的安全區(qū)域，必須定期審核并及時(shí)更新其訪問權(quán)限。 安全區(qū)域訪問控制 第58條 在非辦公時(shí)間，所有進(jìn)入安全區(qū)域的入口都應(yīng)該受到控制，比如實(shí)施電子門禁或者上鎖。任何時(shí)候，機(jī)房必須至少有一位保安值班。 第5