【正文】 時(shí)的代替口令。除非員工獲得該流程規(guī)定的相關(guān)部門(mén)授權(quán)，否則不準(zhǔn)在網(wǎng)絡(luò)上給外單位和個(gè)人開(kāi)戶，也不準(zhǔn)外單位或個(gè)人借用內(nèi)部用戶名和口令上網(wǎng)，一經(jīng)查出將追究當(dāng)事人責(zé)任。每個(gè)用戶應(yīng)當(dāng)在不同的信息系統(tǒng)上遵循統(tǒng)一的命名方式且使用相同的用戶帳號(hào)，統(tǒng)一的命名方式應(yīng)當(dāng)參考域（郵箱）帳號(hào)命名規(guī)則。2) 用戶訪問(wèn)管理目標(biāo)：確保授權(quán)用戶的訪問(wèn)，并預(yù)防信息系統(tǒng)的非授權(quán)訪問(wèn)。. 信息系統(tǒng)訪問(wèn)控制1) 訪問(wèn)控制的業(yè)務(wù)要求目標(biāo)：控制對(duì)信息的訪問(wèn)。d) 可以在內(nèi)網(wǎng)中配置日志服務(wù)器，專門(mén)收集主機(jī)、網(wǎng)絡(luò)設(shè)備、安全產(chǎn)品的日志，以避免日志被破壞或覆蓋。審計(jì)至少包括用戶ID、系統(tǒng)日志、操作記錄等。a) 公司制定《IT設(shè)備設(shè)施維護(hù)管理程序》、《信息安全技術(shù)檢查管理規(guī)定》對(duì)信息系統(tǒng)活動(dòng)進(jìn)行監(jiān)控。f) 應(yīng)控制并記錄允許操作業(yè)務(wù)系統(tǒng)的用戶名單，未經(jīng)安全責(zé)任人授權(quán)，不得隨意變更訪問(wèn)限制和共享信息。d) 員工不得利用網(wǎng)絡(luò)對(duì)他人進(jìn)行侮辱、誹謗、騷擾；不得侵害他人合法權(quán)益；不得侵犯他人的名譽(yù)權(quán)，肖像權(quán)、姓名權(quán)等人身權(quán)利；不得侵犯他人的商譽(yù)、商標(biāo)、版權(quán)、專利、專有技術(shù)等各種知識(shí)產(chǎn)權(quán)。c) 敏感信息應(yīng)當(dāng)通過(guò)專用的線路傳輸。a) 應(yīng)當(dāng)依據(jù)《信息資產(chǎn)鑒別和分類管理辦法》、《信息安全交流控制程序》，保護(hù)信息在發(fā)布、交換時(shí)的安全。應(yīng)對(duì)的所有信息數(shù)據(jù)分類標(biāo)識(shí)，建立信息處置、存儲(chǔ)、分發(fā)的規(guī)程。d) 對(duì)需要長(zhǎng)期保存的介質(zhì)，必須在介質(zhì)老化前進(jìn)行轉(zhuǎn)儲(chǔ)，以防止因介質(zhì)失效造成損失。對(duì)于備份或存放有重要信息或軟件的存儲(chǔ)介質(zhì)，在銷毀時(shí)，應(yīng)當(dāng)進(jìn)行格式化或重寫(xiě)數(shù)據(jù)，避免不必要的泄露。不得將載有重要信息的存儲(chǔ)介質(zhì)隨意存放，未經(jīng)安全責(zé)任人授權(quán)，不得帶出辦公地點(diǎn)。7) 介質(zhì)處理目標(biāo)：防止對(duì)資產(chǎn)的未授權(quán)泄露、修改、移動(dòng)或損壞，及對(duì)業(yè)務(wù)活動(dòng)的的干擾。b) 網(wǎng)絡(luò)管理員應(yīng)當(dāng)參照《訪問(wèn)控制程序》對(duì)網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)進(jìn)行充分的管理和控制，并采用網(wǎng)管工具對(duì)通訊線路、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)的監(jiān)控和預(yù)警。6) 網(wǎng)絡(luò)安全管理目標(biāo)：確保網(wǎng)絡(luò)中的信息和支持性基礎(chǔ)設(shè)施得到保護(hù)。b) 所有員工要定期對(duì)個(gè)人電腦上的重要數(shù)據(jù)進(jìn)行備份，以減少不必要的損失。a) 管理員應(yīng)當(dāng)對(duì)重要的應(yīng)用系統(tǒng)、操作系統(tǒng)、配置文件及日志等制訂備份策略，并要定期對(duì)備份數(shù)據(jù)進(jìn)行測(cè)試。員工一旦發(fā)現(xiàn)或懷疑有PC或服務(wù)器被病毒感染,必須馬上斷開(kāi)網(wǎng)絡(luò)并進(jìn)行全盤(pán)掃描，必須立即通知技術(shù)部門(mén)。d) 必須對(duì)所有的電子郵件附件進(jìn)行病毒掃描，也不要隨意打開(kāi)來(lái)歷不明的郵件附件。b) 系統(tǒng)內(nèi)的服務(wù)器和個(gè)人計(jì)算機(jī)必須使用可信來(lái)源的軟件，應(yīng)對(duì)軟件進(jìn)行病毒檢測(cè)后統(tǒng)一保存。a) 所有服務(wù)器和個(gè)人計(jì)算機(jī)都必須激活防病毒軟件，必須及時(shí)更新防病毒代碼庫(kù)。必須將驗(yàn)收標(biāo)準(zhǔn)寫(xiě)入到項(xiàng)目合同中。 供應(yīng)商的變更3) 系統(tǒng)策劃與驗(yàn)收目標(biāo)：最小化系統(tǒng)失效的風(fēng)險(xiǎn)a) 應(yīng)為系統(tǒng)的性能和容量要求做預(yù)先的規(guī)劃和準(zhǔn)備，應(yīng)反映對(duì)未來(lái)容量需求的推測(cè)，以減少系統(tǒng)過(guò)載的風(fēng)險(xiǎn)。 網(wǎng)絡(luò)環(huán)境或其它新技術(shù)的使用216。 對(duì)現(xiàn)有應(yīng)用、系統(tǒng)、服務(wù)的更改或更新216。變更內(nèi)容包括但不限于：216。重要的第三方服務(wù)必須簽訂服務(wù)合同和第三方保密協(xié)議。a) 應(yīng)當(dāng)確保第三方實(shí)施、運(yùn)行并保持第三方服務(wù)交付協(xié)議中包括商定的安全布置、服務(wù)定義和交付等級(jí)。d) 應(yīng)當(dāng)分離開(kāi)發(fā)、測(cè)試與運(yùn)營(yíng)環(huán)境，敏感數(shù)據(jù)不可拷貝到測(cè)試環(huán)境中，測(cè)試完成后應(yīng)當(dāng)及時(shí)清理測(cè)試環(huán)境。b) 必須建立并執(zhí)行信息處理設(shè)備和信息系統(tǒng)變更管理流程（具體參照《變更管理流程》），形成文檔備案。. 通信和操作管理1) 操作程序和責(zé)任目標(biāo)：確保信息處理設(shè)施的正確和安全操作 a) 對(duì)于日常維護(hù)工作必須按照規(guī)定的系統(tǒng)操作流程進(jìn)行，操作流程應(yīng)當(dāng)指明具體執(zhí)行每個(gè)作業(yè)的說(shuō)明。k) 未經(jīng)信息安全責(zé)任人授權(quán)，不允許將載有重要信息的設(shè)備、信息或軟件帶離工作場(chǎng)所。i) 當(dāng)員工離開(kāi)時(shí)，對(duì)于載有重要信息的紙張和可移動(dòng)的存儲(chǔ)介質(zhì)，應(yīng)當(dāng)妥善保管。對(duì)棄置的存儲(chǔ)有敏感信息的存儲(chǔ)設(shè)備，必須將其銷毀，或重寫(xiě)數(shù)據(jù)，而不能只是使用標(biāo)準(zhǔn)的刪除功能進(jìn)行數(shù)據(jù)刪除。并且在對(duì)重要設(shè)備現(xiàn)場(chǎng)實(shí)施過(guò)程中必須有相關(guān)人員全程陪同，詳細(xì)規(guī)定參見(jiàn)《第三方和外包管理規(guī)定》。f) 應(yīng)當(dāng)按照設(shè)備維護(hù)要求的時(shí)間間隔和規(guī)范，對(duì)設(shè)備進(jìn)行維護(hù)。在遇到突發(fā)緊急情況時(shí)，必須以保護(hù)人身安全為首要目標(biāo)。d) 計(jì)算機(jī)機(jī)房應(yīng)列為公司重點(diǎn)防火部位，按照規(guī)定配備足夠數(shù)量的消防器材，并定期檢查更換。 防火，防水，防高溫，放雷b) 應(yīng)盡量減少對(duì)機(jī)房不必要的訪問(wèn)，在機(jī)房?jī)?nèi)工作必須遵守《機(jī)房安全管理規(guī)定》。 穩(wěn)定的電源供給216。a) 計(jì)算機(jī)機(jī)房必須提供環(huán)境保障，機(jī)房建設(shè)必須遵照相關(guān)的機(jī)房建設(shè)規(guī)范進(jìn)行。p) 出入機(jī)房的設(shè)備必須填寫(xiě)《機(jī)房設(shè)備出入登記表》。n) 除非經(jīng)過(guò)主管部門(mén)領(lǐng)導(dǎo)授權(quán)，在安全區(qū)域不允許使用圖象、視頻、音頻或其它記錄設(shè)備。l) 備份介質(zhì)應(yīng)當(dāng)和主場(chǎng)地有一段的安全距離，要考慮信息設(shè)備面臨的可能的安全威脅，參考《業(yè)務(wù)連續(xù)性管理程序》的內(nèi)容制定對(duì)應(yīng)的業(yè)務(wù)連續(xù)性計(jì)劃，并要定期演練。h) 重要設(shè)備必須放在安全區(qū)域內(nèi)進(jìn)行保護(hù)，禁止在公共辦公區(qū)域防止重要的信息處理設(shè)施；i) 應(yīng)當(dāng)控制外來(lái)人員對(duì)公共辦公區(qū)域的訪問(wèn)，第三方訪問(wèn)規(guī)定參見(jiàn)《第三方和外包管理規(guī)定》j) 關(guān)鍵和敏感設(shè)施應(yīng)當(dāng)存放在與公共辦公區(qū)域相對(duì)隔離的場(chǎng)地，并應(yīng)設(shè)計(jì)并實(shí)施保護(hù)。g) 對(duì)安全區(qū)域的訪問(wèn)必須進(jìn)行記錄和控制，以確保只有經(jīng)過(guò)授權(quán)的人員才可以訪問(wèn)。d) 應(yīng)按照地方、國(guó)內(nèi)和國(guó)際標(biāo)準(zhǔn)建立適當(dāng)?shù)娜肭謾z測(cè)體系，并定期檢測(cè)以覆蓋所有的外部門(mén)窗；要一直對(duì)空閑區(qū)域發(fā)出警報(bào)；其他區(qū)域要提供掩護(hù)方法，例如計(jì)算機(jī)室或通信室；e) 安全區(qū)域必須配備充足的安全設(shè)備，例如熱敏和煙氣探測(cè)器、火警系統(tǒng)、滅火設(shè)備，并對(duì)設(shè)備定期檢查。所有可以進(jìn)出安全區(qū)域的門(mén)必須能防止未經(jīng)授權(quán)的訪問(wèn)，如使用控制裝置、柵欄、監(jiān)控和報(bào)警裝備、鎖等。a) 必須明確劃分安全區(qū)域。e) 對(duì)第三方訪問(wèn)人員和臨時(shí)性員工，也必須執(zhí)行相關(guān)規(guī)定。d) 必須每半年進(jìn)行用戶帳戶使用情況的評(píng)審，凡是半年及半年以上未使用的帳號(hào)經(jīng)相關(guān)部門(mén)確認(rèn)后刪除。調(diào)離人員必須移交全部資料和有關(guān)文檔，刪除自己的文件、帳號(hào)，檢查并歸還在借出的保密信息。人事部門(mén)或調(diào)入部門(mén)必須及時(shí)書(shū)面通知信息技術(shù)部門(mén)修改和刪除相關(guān)的口令、帳號(hào)及權(quán)限等。3) 人員信息安全管理原則a) 員工錄用時(shí)，人事部門(mén)或調(diào)入部門(mén)必須及時(shí)書(shū)面通知信息技術(shù)部門(mén)添加相關(guān)的口令、帳號(hào)及權(quán)限等并備案。 其他從事計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作的人員；216。 計(jì)算機(jī)信息系統(tǒng)使用單位的安全管理責(zé)任人；216。 需要遵守信息安全策略、規(guī)章制度和各項(xiàng)操作流程的第三方人員e) 信息安全培訓(xùn)必須至少每年舉行一次，讓不同部門(mén)的人員能受到適當(dāng)?shù)男畔踩嘤?xùn)。 相關(guān)獎(jiǎng)懲辦法d) 應(yīng)當(dāng)按下列群體進(jìn)行不同類型的信息安全培訓(xùn)：216。 信息安全策略216。c) 涉及重要信息系統(tǒng)管理的員工、合同方及第三方應(yīng)當(dāng)進(jìn)行相關(guān)技術(shù)背景調(diào)查和能力考評(píng)；d) 涉及重要信息系統(tǒng)管理的員工、合同方及第三方應(yīng)在合同中明確其信息安全責(zé)任并簽署保密協(xié)議；e) 重要崗位的人員在錄用時(shí)應(yīng)做重要崗位背景調(diào)查。1) 人員雇傭a) 員工必須了解相關(guān)的信息安全責(zé)任，必須遵守《職務(wù)說(shuō)明書(shū)》。e) 對(duì)重要的資料檔案要妥善保管，以防丟失泄密，其廢棄的打印紙及磁介質(zhì)等，應(yīng)按有關(guān)規(guī)定進(jìn)行處理。c) 應(yīng)當(dāng)在每個(gè)有形信息資產(chǎn)上進(jìn)行標(biāo)識(shí)。信息資產(chǎn)應(yīng)當(dāng)標(biāo)明適用范圍。（詳見(jiàn)《信息資產(chǎn)列表》）。b) 所有員工和第三方都必須遵守關(guān)于信息設(shè)備安全管理的規(guī)定，以保護(hù)信息處理設(shè)備（包括移動(dòng)設(shè)備和在非公共地點(diǎn)使用的設(shè)備）的安全。1) 資產(chǎn)責(zé)任a) 所有的信息資產(chǎn)必須登記入冊(cè)，對(duì)于有形資產(chǎn)必須進(jìn)行標(biāo)識(shí)，同時(shí)資產(chǎn)信息應(yīng)當(dāng)及時(shí)更