【正文】 的責任 密碼的使用 第187條 用戶必須對其帳號的安全和使用負責，無論在何種情況下，用戶都不應該泄漏其密碼。 用戶訪問權限的檢查 第185條 必須半年對注冊用戶的訪問權限和系統(tǒng)特權進行一次復查，關鍵系統(tǒng)必須每三個月復查一次。必須記錄所有應急帳號的使用情況，包括相關的人、時間和原因等。 第183條 禁止帳號和密碼被一起傳送，例如用同一封郵件傳送帳號和密碼。 第181條 系統(tǒng)必須啟用登錄失敗的限制功能，如果連續(xù)10次登錄失敗，系統(tǒng)應該自動鎖定相關帳號。 第179條 必須強制用戶在第一次登錄時修改密碼。 第177條 系統(tǒng)中統(tǒng)一管理帳號密碼的模塊保存的密碼必須是加密的。 第175條 必須建立授權清單，記錄和維護已分配的特權和其相對的用戶信息。 第173條 帳號名不能透露用戶的權限信息，比如管理員帳號不能帶有Admin字樣。用戶一旦發(fā)現(xiàn)其帳號異常，必須立即通知負責用戶注冊的管理員進行處理。 第171條 負責用戶注冊的管理員必須驗證用戶注冊和注銷請求的合法性。系統(tǒng)管理者對用戶具有最終的授權決定權。 用戶訪問管理 用戶注冊 第169條 開放給用戶訪問的信息系統(tǒng)，必須建立正式的用戶注冊和注銷程序。員工的職責發(fā)生變化或離職時，其訪問權限必須作相應調整或撤銷。 第167條 所有訪問控制必須建立相應的審批程序，以確保訪問授權的合理性和有效性。 第166條 訪問權限必須根據(jù)工作完成的最少需求而定，不能超過其工作實際所需的范圍。 10 訪問控制方面 訪問控制要求 訪問控制管理辦法 第165條 所有系統(tǒng)和應用都必須有訪問控制列表，由系統(tǒng)管理者明確定義訪問控制規(guī)則、用戶和用戶組的權限以及訪問控制機制。 第163條 所有系統(tǒng)中的時間允許最多一分鐘的偏差。 第161條 故障記錄應妥善保管，防止被損壞，必要時應該進行備份。 第160條 必須保證故障記錄的跟進處理，確保問題得到完全解決，并且其糾正措施不會帶來新的安全問題。對于重要的財務系統(tǒng)和業(yè)務系統(tǒng)每天都要復查。 第157條 日志記錄應包括重要的操作，例如與用戶管理相關的操作（用戶帳號的創(chuàng)建、刪除、權限設臵、修改）、與財務相關的操作等。必須采取控制措施保護日志的完整性。 第155條 除非特別聲明，日志必須至少保存1年。 第153條 應每天定時監(jiān)控網(wǎng)絡（包括網(wǎng)絡性能和網(wǎng)絡故障），并根據(jù)產(chǎn)生的報告，對異常變化的網(wǎng)絡流量，作進一步分析，以發(fā)現(xiàn)潛在的網(wǎng)絡安全問題。日志應該定期復查，至少每月一次。應該有機制監(jiān)控日志的容量變化，在容量耗盡之前發(fā)出報警信息。 第148條 日志記錄信息必須包括但不限于： 1)用戶ID； 2)每項操作的日期和時間（至少要精確到秒）； 3)來源的標識或位臵； 4)成功的系統(tǒng)訪問嘗試； 5)失敗或被拒絕的系統(tǒng)訪問嘗試； 第149條 日志類型包括但不限于： 1)應用日志； 2)系統(tǒng)日志； 3)安全日志； 4)操作日志； 5)問題記錄。必須對敏感信息的處理和存儲過程進行保護。通過信息發(fā)布系統(tǒng)向內(nèi)部和公眾發(fā)布的信息都必須經(jīng)過公司相關部門的檢查和審批。 公共信息 第145條 必須確保公共信息系統(tǒng)中信息的完整性，并防止非授權的修改。 第143條 在線交易信息必須保存在公司內(nèi)部的存儲環(huán)境，存儲環(huán)境不能被從Internet直接訪問。交易中必須使用加密技術對所有通信內(nèi)容加密。 在線交易 第141條 必須保護在線交易信息，避免不完整的傳輸、路由錯誤、未授權的消息更改、未授權的信息信息泄漏、復制和回復。 第139條 必須保留并維護所有電子商務交易過程中的記錄和日志。 第138條 電子交易必須設臵并維護適當?shù)脑L問控制。 第137條 電子商務的交易必須制定相關的交易聲明，以明確注意事項和相關責任。必須保證重要信息在交換過程中的保密性。所有對外發(fā)送的郵件都必須加上責任聲明。公司有權查看和監(jiān)控所有郵件。 第134條 員工使用公司的郵件系統(tǒng)時只能進行與業(yè)務相關的活動。用于連接外網(wǎng)的郵件網(wǎng)關必須安裝防病毒軟件，檢查進出的電子郵件。 電子消息 第131條 電子化辦公系統(tǒng)必須建立相應的管理辦法和控制機制，并闡明下列內(nèi)容： 1)確定不能被共享的信息的類型或密級 2)系統(tǒng)用戶的權限 3)系統(tǒng)的訪問控制 4)與系統(tǒng)相關的備份管理辦法 第132條 除非獲得安全管理委員會的授權，否則禁止使用公司以外的電子系統(tǒng)（比如BBS、MSN、等）進行跟公司相關的活動。信息分類不應該標識在容器的外面。應確保敏感信息的機密性、完整性和可用性在傳輸全程中受到保護。 交換協(xié)議 第128條 跟外界進行信息和軟件交換必須簽署協(xié)議，其內(nèi)容必須包括： 1)發(fā)送方和接收方的責任 2)明確發(fā)送和接收的方式 3)制定信息封裝和傳輸?shù)募夹g標準 4)數(shù)據(jù)丟失的相關責任 5)聲明信息的保密級別和保護要求 6)聲明信息和軟件的所有權、版權和其他相關因素 物理介質傳輸 第129條 必須建立傳輸存儲介質的安全標準。 第126條 在使用傳真機中已存儲的號碼時，傳真之前必須驗證號碼。 第124條 必須建立控制機制來保護利用音頻、傳真和視頻通信設備進行交換的信息。 第123條 使用加密技術保護信息的保密性、完整性和真實性。 第121條 所有員工和第三方人員都必須遵守公司的信息交換管理辦法。含有敏感信息的文檔通過內(nèi)部網(wǎng)等提供訪問的，應采用訪問控制加以保護。 系統(tǒng)文檔的安全 第119條 存取含有敏感信息的文檔，必須獲得相應文檔管理者的批準。 信息處理程序 第117條 介質的信息分類，必須采用存放信息中的最高保密等級。 介質的銷毀 第114條 應建立存儲介質的報廢規(guī)范，包括但不限于： 1)紙質文檔 2)語音資料及其他錄音帶 3)復寫紙 4)磁帶 5)磁盤 6)光存儲介質 第115條 所有不會被再利用的敏感文檔都必須根據(jù)定義的信息密級采取適當?shù)姆绞竭M行銷毀。 第113條 備份介質必須存儲在防火柜中。 第111條 存放在存儲介質內(nèi)的絕密和機密信息必須受到妥善保護。 第110條 必須建立和維護介質清單，并對介質的借用和歸還進行記錄。標簽應使用代碼，以避免直接標識存儲介質上的內(nèi)容。 介質的管理 可移動介質的管理 第109條 可移動計算機存儲介質（比如磁帶、光盤等）必須有適當?shù)脑L問控制。 第108條 必須建立互聯(lián)網(wǎng)的訪問管理辦法。 第107條 必須對網(wǎng)絡進行監(jiān)控和管理。 第106條 進行網(wǎng)絡協(xié)議兼容性的評估時應考慮將來新增網(wǎng)絡設備的要求。 第105條 必須建立相應的控制機制，保護路由表和防火墻安全管理辦法等網(wǎng)絡參數(shù)的完整性。必須明確定義網(wǎng)絡管理的職責和義務。備份系統(tǒng)必須進行監(jiān)控，以確保其穩(wěn)定性和可用性。必須定期測試備份介質，確保其可用性。異地必須與主站點有一定的距離，以避免受主站點的災難波及。 第102條 應該保留多于1個備份周期的備份，但重要業(yè)務信息應至少保留3個備份周期的備份。 第101條 備份管理辦法必須獲得管理層的審批以確保符合業(yè)務需求。 備份 信息備份 第100條 所有服務器、個人電腦和筆記本電腦必須根據(jù)業(yè)務需求定期進行備份。一旦發(fā)現(xiàn)感染病毒，必須立刻把機器從網(wǎng)絡中斷開。 第98條 公司內(nèi)發(fā)現(xiàn)的病毒、計算機或應用程序的異常行為，都必須作為安全事件進行報告。員工和第三方廠商從外界帶來的存儲介質在使用之前必須進行病毒掃描。所有服務器、個人電腦和筆記本電腦都應該安裝公司規(guī)定的防病毒軟件，并及時更新防病毒軟件。在服務變更時需要考慮： 1) 服務價格的增長； 2) 新的服務需求； 3) 公司信息安全管理制度的變化； 4) 公司在信息安全方面新的控制。評審內(nèi)容應包括：1) 服務內(nèi)容和質量是否滿足合同要求； 2) 服務報告是否真實。第三方提供的服務必須滿足公司業(yè)務連續(xù)性的要求。必須對事件的處理情況進行監(jiān)控，對超時的處理提出改進建議并跟進改進效果。 第91條 系統(tǒng)的修復必須得到系統(tǒng)管理者的批準方可執(zhí)行。 事件管理程序 第90條 必須建立事件管理程序，并根據(jù)事件影響的嚴重程度制訂其所屬類別，同時說明相應的處理方法和負責人。不得在生產(chǎn)系統(tǒng)上擅自安裝開發(fā)工具（比如編譯程序及其他系統(tǒng)公用程序等），并做好已有開發(fā)工具的訪問控制。 第89條 生產(chǎn)、測試和開發(fā)應分別使用不同的系統(tǒng)環(huán)境。 開發(fā)、測試和生產(chǎn)系統(tǒng)分離 第88條 不應給開發(fā)人員提供超過其開發(fā)所需范圍的權限。 第87條 所有職責分離的控制必須記錄歸檔，作為責任分工的依據(jù)。 職責分離 第86條 系統(tǒng)管理員和系統(tǒng)開發(fā)人員的職責必須明確分開。必須完整記錄整個變更過程，并將其妥善保管。變更完成后，相關的文檔（如系統(tǒng)需求文檔、設計文檔、操作手冊、用戶手冊等）必須得到更新，舊的文檔必須進行備份。 第84條 變更的實施應該安排在對業(yè)務影響最小的時間段進行，盡量減少對業(yè)務正常運營的影響。對變更需要涉及的硬件、軟件和信息等對象都應標識出來并進行相應評估。所有變更必須包括變更失敗的應對措施和恢復計劃。操作程序必須及時更新，更新條件包括但不限于： 1)應用軟件的變更 2)硬件配臵的變更 變更控制 第82條 必須建立變更管理程序來控制系統(tǒng)的變更，所有變更都必須遵守變更管理程序的要求。應該通過風險評估來決定是否徹底銷毀、送修還是丟棄含有敏感數(shù)據(jù)的已損壞設備。設備擁有者必須對設備在公司場所外的安全負責。 管轄區(qū)域外設備安全 第77條 筆記本電腦用戶必須保護好筆記本電腦的安全，防止筆記本電腦損壞或被偷竊。 第76條 必須建立設備故障報告流程。設備的所有維護工作都應該記錄歸檔。所有生產(chǎn)設備必須定期進行預防性維護。電纜應從物理上加以保護。電纜應根據(jù)供電電壓和頻率的不同而相互隔離。每年必須至少對備用電源/進行一次測試。必須設臵后備電源，例如不間斷電源（UPS）或發(fā)電機。每年應至少對支持設施進行一次安全檢查。必須采取保護措施使設備免受電源故障或電力異常的破壞。 通信線路和電纜必須從物理上進行保護。 放臵設備的區(qū)域必須滿足廠商提供的設備環(huán)境要求。 應急開關如電閘、煤氣開關和水閘等都必須清楚地做好標識，并且能容易訪問。 設備安全 設備的安置及保護 第72條 必須對設備實施安全控制，以減少環(huán)境危害和非法的訪問。操作記錄必須備份和維護并妥善保管，防止被破壞。機房內(nèi)嚴禁吸煙、飲食和拍攝。來賓必須得到明確許可后，在專人陪同下才能進入機房。記錄中應詳細說明來賓的姓名、進入與離開的日期與時間，申請者以及進入的原因。 第68條 所有需要進入機房的來賓都必須提前申請。必須定期檢查訪問權限的分配并及時更新。 11)每年應至少舉行一次火災撤離演習，使工作人員熟知火災撤離的過程。 9) 所有疏散路線都必須時刻保持通暢。 7) 應該訓練員工熟悉使用消防設施。 5) 必須在明顯位臵張貼火災逃生路線圖、滅火設備平面放臵圖以及安全出口的位臵。 4) 必須安裝煙感及其他火警探測器和滅火裝臵。 2) 應該指定消防指揮員。 第65條 機房建設必須符合國標GB288789《計算機場地技術條件》和GB936188《計算站場地安全要求》中的要求。 第64條 機房必須增加額外的物理控制，選取的場地應盡量安全，并盡可能避免受到災害的影響。門和窗戶必須鎖好。普通會議室或其它公眾場合必須與安全區(qū)域隔離開來。這些區(qū)域還應該被給予相應的保護，保護措施包括但不限于： 1)所有出入口必須安裝物理訪問控制措施 2)使用來賓登記表以便記錄來訪信息 3)嚴禁吸煙 第62條 必須對支持關鍵性業(yè)務活動的設備提供足夠的物理訪問控制。同時，必須有相應的程序以確?；厥账l(fā)放的來賓通行證。員工離職時必須交還通行證，同時取消其所有訪問權限。 第59條 對于設有訪問控制的安全區(qū)域，必須定期審核并及時更新其訪問權限。 安全區(qū)域訪問控制 第58條 在非辦公時間，所有進入安全區(qū)域的入口都應該受到控制，比如實施電子門禁或者上鎖。任何時候，機房必須至少有一位保安值班。 第5