【正文】 三個月未使用的將在系統(tǒng)中自動失效。d) 技術(shù)人員在收到重置口令的申請時，必須驗證用戶的身份后方可提供一個臨時的代替口令。除非員工獲得該流程規(guī)定的相關(guān)部門授權(quán)，否則不準(zhǔn)在網(wǎng)絡(luò)上給外單位和個人開戶，也不準(zhǔn)外單位或個人借用內(nèi)部用戶名和口令上網(wǎng)，一經(jīng)查出將追究當(dāng)事人責(zé)任。每個用戶應(yīng)當(dāng)在不同的信息系統(tǒng)上遵循統(tǒng)一的命名方式且使用相同的用戶帳號，統(tǒng)一的命名方式應(yīng)當(dāng)參考域（郵箱）帳號命名規(guī)則。2) 用戶訪問管理目標(biāo)：確保授權(quán)用戶的訪問，并預(yù)防信息系統(tǒng)的非授權(quán)訪問。. 信息系統(tǒng)訪問控制1) 訪問控制的業(yè)務(wù)要求目標(biāo)：控制對信息的訪問。d) 可以在內(nèi)網(wǎng)中配置日志服務(wù)器，專門收集主機、網(wǎng)絡(luò)設(shè)備、安全產(chǎn)品的日志，以避免日志被破壞或覆蓋。審計至少包括用戶ID、系統(tǒng)日志、操作記錄等。a) 公司制定《IT設(shè)備設(shè)施維護管理程序》、《信息安全技術(shù)檢查管理規(guī)定》對信息系統(tǒng)活動進(jìn)行監(jiān)控。f) 應(yīng)控制并記錄允許操作業(yè)務(wù)系統(tǒng)的用戶名單，未經(jīng)安全責(zé)任人授權(quán)，不得隨意變更訪問限制和共享信息。d) 員工不得利用網(wǎng)絡(luò)對他人進(jìn)行侮辱、誹謗、騷擾；不得侵害他人合法權(quán)益；不得侵犯他人的名譽權(quán)，肖像權(quán)、姓名權(quán)等人身權(quán)利；不得侵犯他人的商譽、商標(biāo)、版權(quán)、專利、專有技術(shù)等各種知識產(chǎn)權(quán)。c) 敏感信息應(yīng)當(dāng)通過專用的線路傳輸。a) 應(yīng)當(dāng)依據(jù)《信息資產(chǎn)鑒別和分類管理辦法》、《信息安全交流控制程序》，保護信息在發(fā)布、交換時的安全。應(yīng)對的所有信息數(shù)據(jù)分類標(biāo)識，建立信息處置、存儲、分發(fā)的規(guī)程。d) 對需要長期保存的介質(zhì)，必須在介質(zhì)老化前進(jìn)行轉(zhuǎn)儲，以防止因介質(zhì)失效造成損失。對于備份或存放有重要信息或軟件的存儲介質(zhì)，在銷毀時，應(yīng)當(dāng)進(jìn)行格式化或重寫數(shù)據(jù)，避免不必要的泄露。不得將載有重要信息的存儲介質(zhì)隨意存放，未經(jīng)安全責(zé)任人授權(quán)，不得帶出辦公地點。7) 介質(zhì)處理目標(biāo)：防止對資產(chǎn)的未授權(quán)泄露、修改、移動或損壞，及對業(yè)務(wù)活動的的干擾。b) 網(wǎng)絡(luò)管理員應(yīng)當(dāng)參照《訪問控制程序》對網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)進(jìn)行充分的管理和控制，并采用網(wǎng)管工具對通訊線路、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)流量進(jìn)行實時的監(jiān)控和預(yù)警。6) 網(wǎng)絡(luò)安全管理目標(biāo)：確保網(wǎng)絡(luò)中的信息和支持性基礎(chǔ)設(shè)施得到保護。b) 所有員工要定期對個人電腦上的重要數(shù)據(jù)進(jìn)行備份，以減少不必要的損失。a) 管理員應(yīng)當(dāng)對重要的應(yīng)用系統(tǒng)、操作系統(tǒng)、配置文件及日志等制訂備份策略，并要定期對備份數(shù)據(jù)進(jìn)行測試。員工一旦發(fā)現(xiàn)或懷疑有PC或服務(wù)器被病毒感染,必須馬上斷開網(wǎng)絡(luò)并進(jìn)行全盤掃描，必須立即通知技術(shù)部門。d) 必須對所有的電子郵件附件進(jìn)行病毒掃描，也不要隨意打開來歷不明的郵件附件。b) 系統(tǒng)內(nèi)的服務(wù)器和個人計算機必須使用可信來源的軟件，應(yīng)對軟件進(jìn)行病毒檢測后統(tǒng)一保存。a) 所有服務(wù)器和個人計算機都必須激活防病毒軟件，必須及時更新防病毒代碼庫。必須將驗收標(biāo)準(zhǔn)寫入到項目合同中。 供應(yīng)商的變更3) 系統(tǒng)策劃與驗收目標(biāo)：最小化系統(tǒng)失效的風(fēng)險a) 應(yīng)為系統(tǒng)的性能和容量要求做預(yù)先的規(guī)劃和準(zhǔn)備，應(yīng)反映對未來容量需求的推測，以減少系統(tǒng)過載的風(fēng)險。 網(wǎng)絡(luò)環(huán)境或其它新技術(shù)的使用216。 對現(xiàn)有應(yīng)用、系統(tǒng)、服務(wù)的更改或更新216。變更內(nèi)容包括但不限于：216。重要的第三方服務(wù)必須簽訂服務(wù)合同和第三方保密協(xié)議。a) 應(yīng)當(dāng)確保第三方實施、運行并保持第三方服務(wù)交付協(xié)議中包括商定的安全布置、服務(wù)定義和交付等級。d) 應(yīng)當(dāng)分離開發(fā)、測試與運營環(huán)境，敏感數(shù)據(jù)不可拷貝到測試環(huán)境中，測試完成后應(yīng)當(dāng)及時清理測試環(huán)境。b) 必須建立并執(zhí)行信息處理設(shè)備和信息系統(tǒng)變更管理流程（具體參照《變更管理流程》），形成文檔備案。. 通信和操作管理1) 操作程序和責(zé)任目標(biāo)：確保信息處理設(shè)施的正確和安全操作 a) 對于日常維護工作必須按照規(guī)定的系統(tǒng)操作流程進(jìn)行，操作流程應(yīng)當(dāng)指明具體執(zhí)行每個作業(yè)的說明。k) 未經(jīng)信息安全責(zé)任人授權(quán)，不允許將載有重要信息的設(shè)備、信息或軟件帶離工作場所。i) 當(dāng)員工離開時，對于載有重要信息的紙張和可移動的存儲介質(zhì)，應(yīng)當(dāng)妥善保管。對棄置的存儲有敏感信息的存儲設(shè)備，必須將其銷毀，或重寫數(shù)據(jù)，而不能只是使用標(biāo)準(zhǔn)的刪除功能進(jìn)行數(shù)據(jù)刪除。并且在對重要設(shè)備現(xiàn)場實施過程中必須有相關(guān)人員全程陪同，詳細(xì)規(guī)定參見《第三方和外包管理規(guī)定》。f) 應(yīng)當(dāng)按照設(shè)備維護要求的時間間隔和規(guī)范，對設(shè)備進(jìn)行維護。在遇到突發(fā)緊急情況時，必須以保護人身安全為首要目標(biāo)。d) 計算機機房應(yīng)列為公司重點防火部位，按照規(guī)定配備足夠數(shù)量的消防器材，并定期檢查更換。 防火，防水，防高溫，放雷b) 應(yīng)盡量減少對機房不必要的訪問，在機房內(nèi)工作必須遵守《機房安全管理規(guī)定》。 穩(wěn)定的電源供給216。a) 計算機機房必須提供環(huán)境保障，機房建設(shè)必須遵照相關(guān)的機房建設(shè)規(guī)范進(jìn)行。p) 出入機房的設(shè)備必須填寫《機房設(shè)備出入登記表》。n) 除非經(jīng)過主管部門領(lǐng)導(dǎo)授權(quán)，在安全區(qū)域不允許使用圖象、視頻、音頻或其它記錄設(shè)備。l) 備份介質(zhì)應(yīng)當(dāng)和主場地有一段的安全距離，要考慮信息設(shè)備面臨的可能的安全威脅，參考《業(yè)務(wù)連續(xù)性管理程序》的內(nèi)容制定對應(yīng)的業(yè)務(wù)連續(xù)性計劃，并要定期演練。h) 重要設(shè)備必須放在安全區(qū)域內(nèi)進(jìn)行保護，禁止在公共辦公區(qū)域防止重要的信息處理設(shè)施；i) 應(yīng)當(dāng)控制外來人員對公共辦公區(qū)域的訪問，第三方訪問規(guī)定參見《第三方和外包管理規(guī)定》j) 關(guān)鍵和敏感設(shè)施應(yīng)當(dāng)存放在與公共辦公區(qū)域相對隔離的場地，并應(yīng)設(shè)計并實施保護。g) 對安全區(qū)域的訪問必須進(jìn)行記錄和控制，以確保只有經(jīng)過授權(quán)的人員才可以訪問。d) 應(yīng)按照地方、國內(nèi)和國際標(biāo)準(zhǔn)建立適當(dāng)?shù)娜肭謾z測體系，并定期檢測以覆蓋所有的外部門窗；要一直對空閑區(qū)域發(fā)出警報；其他區(qū)域要提供掩護方法，例如計算機室或通信室；e) 安全區(qū)域必須配備充足的安全設(shè)備，例如熱敏和煙氣探測器、火警系統(tǒng)、滅火設(shè)備，并對設(shè)備定期檢查。所有可以進(jìn)出安全區(qū)域的門必須能防止未經(jīng)授權(quán)的訪問，如使用控制裝置、柵欄、監(jiān)控和報警裝備、鎖等。a) 必須明確劃分安全區(qū)域。e) 對第三方訪問人員和臨時性員工，也必須執(zhí)行相關(guān)規(guī)定。d) 必須每半年進(jìn)行用戶帳戶使用情況的評審，凡是半年及半年以上未使用的帳號經(jīng)相關(guān)部門確認(rèn)后刪除。調(diào)離人員必須移交全部資料和有關(guān)文檔，刪除自己的文件、帳號，檢查并歸還在借出的保密信息。人事部門或調(diào)入部門必須及時書面通知信息技術(shù)部門修改和刪除相關(guān)的口令、帳號及權(quán)限等。3) 人員信息安全管理原則a) 員工錄用時，人事部門或調(diào)入部門必須及時書面通知信息技術(shù)部門添加相關(guān)的口令、帳號及權(quán)限等并備案。 其他從事計算機信息系統(tǒng)安全保護工作的人員；216。 計算機信息系統(tǒng)使用單位的安全管理責(zé)任人；216。 需要遵守信息安全策略、規(guī)章制度和各項操作流程的第三方人員e) 信息安全培訓(xùn)必須至少每年舉行一次，讓不同部門的人員能受到適當(dāng)?shù)男畔踩嘤?xùn)。 相關(guān)獎懲辦法d) 應(yīng)當(dāng)按下列群體進(jìn)行不同類型的信息安全培訓(xùn)：216。 信息安全策略216。c) 涉及重要信息系統(tǒng)管理的員工、合同方及第三方應(yīng)當(dāng)進(jìn)行相關(guān)技術(shù)背景調(diào)查和能力考評；d) 涉及重要信息系統(tǒng)管理的員工、合同方及第三方應(yīng)在合同中明確其信息安全責(zé)任并簽署保密協(xié)議；e) 重要崗位的人員在錄用時應(yīng)做重要崗位背景調(diào)查。1) 人員雇傭a) 員工必須了解相關(guān)的信息安全責(zé)任，必須遵守《職務(wù)說明書》。e) 對重要的資料檔案要妥善保管，以防丟失泄密，其廢棄的打印紙及磁介質(zhì)等，應(yīng)按有關(guān)規(guī)定進(jìn)行處理。c) 應(yīng)當(dāng)在每個有形信息資產(chǎn)上進(jìn)行標(biāo)識。信息資產(chǎn)應(yīng)當(dāng)標(biāo)明適用范圍。（詳見《信息資產(chǎn)列表》）。b) 所有員工和第三方都必須遵守關(guān)于信息設(shè)備安全管理的規(guī)定，以保護信息處理設(shè)備（包括移動設(shè)備和在非公共地點使用的設(shè)備）的安全。1) 資產(chǎn)責(zé)任a) 所有的信息資產(chǎn)必須登記入冊，對于有形資產(chǎn)必須進(jìn)行標(biāo)識，同時資產(chǎn)信息應(yīng)當(dāng)及時更新。f) 第三方必須遵守的信息安全策略以及《第