【正文】 月對(duì)各部門(mén)的PC機(jī)和筆記本電腦的查殺毒情況進(jìn)行抽查。對(duì)公司計(jì)算機(jī)信息系統(tǒng)使用人員進(jìn)行計(jì)算機(jī)病毒防治教育，及時(shí)檢測(cè)、清除計(jì)算機(jī)信息系統(tǒng)中的計(jì)算機(jī)病毒，并備有檢測(cè)、清除的記錄。2) GB/T 220802016/ISO/IEC 27001:2013 信息技術(shù)安全技術(shù)信息安全管理體系要求3) GB/T 220812016/ISO/IEC 27002:2013 信息技術(shù)安全技術(shù)信息安全管理實(shí)施細(xì)則4) 《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》5) 《信息安全事件管理制度》3. 職責(zé)和權(quán)限信息安全工作小組：是公司的病毒和惡意軟件防治管理部門(mén)，負(fù)責(zé)公司的計(jì)算機(jī)病毒及惡意軟件防治管理工作，建立公司的計(jì)算機(jī)病毒防治管理制度。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門(mén)研究是否可使用這些文件的最新版本。 5. 附則 文檔編號(hào)（由總裁辦填寫(xiě)）密級(jí)內(nèi)部公開(kāi)文檔發(fā)布級(jí)別公司級(jí)文檔發(fā)布及實(shí)行范圍制度試行日期（可選）制度執(zhí)行日期文檔起草人簽字： 日期：文檔修訂人：簽字：日期：修訂說(shuō)明：備注：文檔負(fù)責(zé)人：簽字：日期：文檔審批信息安全管理者代表簽字： 日期：文檔審批人簽字： 日期：防范病毒及惡意軟件管理規(guī)定1. 目的和范圍為了加強(qiáng)對(duì)計(jì)算機(jī)病毒的預(yù)防和治理，保護(hù)計(jì)算機(jī)系統(tǒng)安全，保障計(jì)算機(jī)系統(tǒng)的應(yīng)用與發(fā)展，特制定本規(guī)定。對(duì)于漏洞級(jí)別為嚴(yán)重的補(bǔ)丁，無(wú)特殊情況須在補(bǔ)丁發(fā)布后1星期內(nèi)安裝。相應(yīng)補(bǔ)丁管理員和應(yīng)用系統(tǒng)管理員對(duì)變更的必要性、風(fēng)險(xiǎn)和修補(bǔ)計(jì)劃進(jìn)行評(píng)審，評(píng)審?fù)ㄟ^(guò)后由應(yīng)用系統(tǒng)管理員安排各級(jí)系統(tǒng)服務(wù)人員全過(guò)程配合補(bǔ)丁安裝員完成補(bǔ)丁的安裝和應(yīng)用系統(tǒng)的測(cè)試。、IT系統(tǒng)環(huán)境、IT網(wǎng)絡(luò)環(huán)境和信息資產(chǎn)重要等級(jí)，確定需要安裝的補(bǔ)丁和相應(yīng)嚴(yán)重等級(jí)，同時(shí)明確修補(bǔ)時(shí)間、修補(bǔ)方式和修補(bǔ)范圍。，判斷發(fā)生問(wèn)題的原因并及時(shí)解決如果不能解決，須記錄發(fā)生問(wèn)題的環(huán)境，立即反饋給原廠(chǎng)商。經(jīng)嚴(yán)格測(cè)試通過(guò)后方可安裝。 ，對(duì)于非法的補(bǔ)丁禁止安裝。 。 。，審批變更計(jì)劃。，跟蹤最新補(bǔ)丁信息。 ，審批變更計(jì)劃。 數(shù)據(jù)庫(kù)補(bǔ)丁管理員 。 ，跟蹤最新補(bǔ)丁信息，評(píng)估漏洞威脅、成因和嚴(yán)重性。 2. 適用范圍 本規(guī)定適用范圍為東方中安信息技術(shù)有限公司公司。文檔編號(hào)（由總裁辦填寫(xiě)）密級(jí)內(nèi)部公開(kāi)文檔發(fā)布級(jí)別公司級(jí)文檔發(fā)布及實(shí)行范圍全員制度試行日期（可選）制度執(zhí)行日期文檔起草人簽字： 日期： 文檔修訂人：簽字：日期：修訂說(shuō)明：備注：文檔負(fù)責(zé)人：簽字：日期：文檔審批信息安全管理者代表簽字： 日期：文檔審批人簽字： 日期：六、操作安全管理補(bǔ)丁管理1. 總則 ，規(guī)范補(bǔ)丁部署流程，保證信息系統(tǒng)補(bǔ)丁及時(shí)更新，確保公司企業(yè)信息網(wǎng)絡(luò)安全穩(wěn)定的運(yùn)行，特制定本規(guī)定。傳輸過(guò)程是要求全程不落地傳輸。1)控制描述 組織就對(duì)敏感數(shù)據(jù)制定傳輸全程加密和保存進(jìn)行加密制度，對(duì)敏感字段也要進(jìn)行加密保存 2）實(shí)施指南 應(yīng)保護(hù)所有敏感數(shù)據(jù)免遭修改、丟失、泄漏。對(duì)于一些部門(mén)所使用的USBKEY密鑰必須做到專(zhuān)人保管、專(zhuān)人使用，不用時(shí)必須放置在保險(xiǎn)柜內(nèi)或帶鎖的鐵柜中妥善保管。另外，密碼和私有密鑰需要防范非授權(quán)的泄露。1) 控制描述應(yīng)有密鑰管理以支持組織使用密碼技術(shù)。h. 不要在任何自動(dòng)登錄程序中使用口令，如在宏或功能鍵中存儲(chǔ)。f. 檢查重要服務(wù)器的系統(tǒng)口令是否定期進(jìn)行更改。l 不要連續(xù)使用同一字符，不要全部使用數(shù)字，也不要全部使用字母，不要用英文單詞或重要記念日。l 密碼不可包含用戶(hù)帳號(hào)名稱(chēng)的全部或部分文字。c. 一旦有跡象表明系統(tǒng)或口令可能遭到破壞時(shí)，應(yīng)立即更改口令。 4) 口令的使用a. 用戶(hù)應(yīng)保證口令安全，不得向其他任何人泄漏。f. 不準(zhǔn)與其他人互相借用各類(lèi)工作賬號(hào)。d. 不允許在計(jì)算機(jī)系統(tǒng)上以無(wú)保護(hù)的形式存儲(chǔ)口令。初始密碼樣本：orient11b. 用戶(hù)忘記口令時(shí)，管理員必須在對(duì)該用戶(hù)進(jìn)行適當(dāng)?shù)纳矸葑R(shí)別后才能向其提供臨時(shí)口令。由于某些控制措施依賴(lài)于內(nèi)容檢查（例如病毒檢測(cè)等），要求數(shù)據(jù)處于未加密狀態(tài)。4. 密碼控制1) 控制描述應(yīng)開(kāi)發(fā)和實(shí)施使用密碼控制措施來(lái)保護(hù)信息的策略。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。2. 引用文件1) 下列文件中的條款通過(guò)本規(guī)定的引用而成為本規(guī)定的條款。適用于本公司所有信息系統(tǒng)的開(kāi)發(fā)活動(dòng)，信息系統(tǒng)內(nèi)在安全性的管理。增加了通過(guò)VPN訪(fǎng)問(wèn)描述，增強(qiáng)了控制策略。3) 每季度評(píng)審并填寫(xiě)《重要應(yīng)用系統(tǒng)權(quán)限評(píng)審表》。16. 服務(wù)器安全控制 引用文件：《訊鳥(niǎo)服務(wù)器安全管理規(guī)范》17. 實(shí)施策略1) 訪(fǎng)問(wèn)控制制度涉及的包括《重要服務(wù)器應(yīng)用系統(tǒng)清單》《重要應(yīng)用系統(tǒng)權(quán)限評(píng)審表》。備份的設(shè)備或介質(zhì)應(yīng)符合《信息資產(chǎn)分類(lèi)分級(jí)管理制度》中的保護(hù)要求。9) 筆記本電腦外出時(shí)禁止托運(yùn)，必須隨身攜帶。7) 授權(quán)使用的筆記本電腦設(shè)備必須安裝公司要求的防病毒軟件。5) 除自然損壞外，凡人為損壞（如撞壞、跌壞、電源插錯(cuò)燒壞等）由本人負(fù)責(zé)修好，費(fèi)用由個(gè)人承擔(dān)。3) 重要業(yè)務(wù)筆記本電腦設(shè)備丟失或被竊后應(yīng)及時(shí)報(bào)告給部門(mén)經(jīng)理和行政部。14. 筆記本使用及安全配置規(guī)定1) 筆記本電腦設(shè)備必須有嚴(yán)格的口令訪(fǎng)問(wèn)控制措施，口令設(shè)置需滿(mǎn)足公司安全策略要求。13. 無(wú)線(xiàn)網(wǎng)絡(luò)訪(fǎng)問(wèn)管理1） 行政部應(yīng)協(xié)同系統(tǒng)服務(wù)部對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)進(jìn)行授權(quán)管理；對(duì)需要使用無(wú)線(xiàn)網(wǎng)絡(luò)的設(shè)備，通過(guò)綁定其MAC地址授權(quán)訪(fǎng)問(wèn)，其他人員不允許通過(guò)公司無(wú)線(xiàn)網(wǎng)絡(luò)上網(wǎng)。遠(yuǎn)程接入用戶(hù)的操作必須要經(jīng)過(guò)接入設(shè)備的審計(jì)。3) 任何遠(yuǎn)程接入用戶(hù)不得將自己的用戶(hù)名、密碼提供給任何人，包括同事，家人。12. 遠(yuǎn)程訪(fǎng)問(wèn)管理1) 凡是接入公司的遠(yuǎn)程用戶(hù)的訪(fǎng)問(wèn)必須通過(guò)VPN并經(jīng)過(guò)認(rèn)證方可接入。11. 信息交流控制措施1) 信息交流方式包括數(shù)據(jù)交流、電子郵件、電話(huà)、紙質(zhì)文件、談話(huà)、錄音、 會(huì)議、傳真、短信、IM工具等；2) 可交流的信息，須符合《信息資產(chǎn)分類(lèi)分級(jí)管理制度》里的密級(jí)規(guī)定。10. 網(wǎng)絡(luò)設(shè)備1） 網(wǎng)絡(luò)設(shè)備配置管理員帳號(hào)由系統(tǒng)服務(wù)部指定專(zhuān)人統(tǒng)一管理，保存帳號(hào)及密碼的電子文件需加密保存，并存放在可靠的安全環(huán)境下。9. 網(wǎng)絡(luò)隔離1) 公司與外部通過(guò)防火墻隔離，制定嚴(yán)格的VLAN劃分，對(duì)公司內(nèi)重要部門(mén)的訪(fǎng)問(wèn)進(jìn)行控制。3) 員工須通過(guò)VPN訪(fǎng)問(wèn)公司相關(guān)網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)。8. 網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)訪(fǎng)問(wèn)控制1) 所有員工在工作時(shí)間禁止利用公司網(wǎng)絡(luò)和互聯(lián)網(wǎng)專(zhuān)線(xiàn)訪(fǎng)問(wèn)違法網(wǎng)站及內(nèi)容。對(duì)各自的用戶(hù)帳號(hào)負(fù)責(zé)，不得轉(zhuǎn)借他人使用。禁止員工未經(jīng)授權(quán)使用系統(tǒng)實(shí)用工具。4) 如果發(fā)生人員崗位變動(dòng)，業(yè)務(wù)部門(mén)信息安全主管通知部門(mén)信息安全員與相關(guān)應(yīng)用系統(tǒng)管理員聯(lián)系，告知系統(tǒng)管理員具體的人員變動(dòng)情況，便于系統(tǒng)管理員及時(shí)調(diào)整崗位變動(dòng)人員的系統(tǒng)訪(fǎng)問(wèn)權(quán)限。2) 各應(yīng)用系統(tǒng)必須確定相應(yīng)的系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員和應(yīng)用管理員。2) 應(yīng)考慮對(duì)敏感的計(jì)算機(jī)應(yīng)用程序，特別是安裝在高風(fēng)險(xiǎn)位置的應(yīng)用程序，使用連機(jī)時(shí)間的控制措施。5) 啟用操作系統(tǒng)的口令管理策略（如口令至少8位，字母數(shù)字組合等），保證用戶(hù)口令的安全性。3) 記錄登錄成功與失敗的日志。6. 操作系統(tǒng)訪(fǎng)問(wèn)控制1) UNIX、LINUX系統(tǒng)使用SSH登錄系統(tǒng)。3) 取消訪(fǎng)問(wèn)權(quán)：離開(kāi)公司應(yīng)立即取消或禁用其賬號(hào)及所有權(quán)限，將其所擁有的信息備份保存，或轉(zhuǎn)換接替者為持有人。1) 權(quán)限設(shè)置：對(duì)信息的訪(fǎng)問(wèn)權(quán)限進(jìn)行設(shè)置，添加該用戶(hù)的相應(yīng)訪(fǎng)問(wèn)權(quán)，設(shè)置權(quán)限，要再次確認(rèn)，以保證權(quán)限設(shè)置正確。5) 新賬號(hào)開(kāi)通時(shí)提供給他們一個(gè)安全的臨時(shí)登錄密碼，并在首次使用時(shí)強(qiáng)制改變。4) 每個(gè)人分配的權(quán)限以完成相應(yīng)工作最低標(biāo)準(zhǔn)為準(zhǔn)。2) 重要設(shè)備的操作系統(tǒng)、數(shù)據(jù)庫(kù)、重要應(yīng)用程序相關(guān)的特殊訪(fǎng)問(wèn)權(quán)限的分配需進(jìn)行嚴(yán)格管理。4) 管理員應(yīng)每季度檢查并取消多余的用戶(hù)賬號(hào)。2) 一人一賬號(hào)，以便將用戶(hù)與其操作聯(lián)系起來(lái)，使用戶(hù)對(duì)其操作負(fù)責(zé)，禁止多人使用同一個(gè)賬號(hào)。8) GB/T 220802016/ISO/IEC 27001:2013 信息技術(shù)安全技術(shù)信息安全管理體系要求9) GB/T 220812016/ISO/IEC 27002:2013 信息技術(shù)安全技術(shù)信息安全管理實(shí)施細(xì)則3. 職責(zé)和權(quán)限各部門(mén)必須遵照本管理規(guī)范實(shí)行對(duì)用戶(hù)、口令和權(quán)限的管理，用戶(hù)必須按照本管理規(guī)范訪(fǎng)問(wèn)公司辦公網(wǎng)系統(tǒng)和應(yīng)用系統(tǒng)。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門(mén)研究是否可使用這些文件的最新版本。本訪(fǎng)問(wèn)控制制度適用于系統(tǒng)維護(hù)部以及其他擁有系統(tǒng)權(quán)限的管理部門(mén)。9) 因工作需要知悉非本職范圍內(nèi)的公司公司秘密的，須經(jīng)相關(guān)領(lǐng)導(dǎo)批準(zhǔn)，公司秘密級(jí)信息由部門(mén)經(jīng)理批準(zhǔn)，公司機(jī)密級(jí)信息由分管副總批準(zhǔn)，公司絕密級(jí)信息由公司總經(jīng)理批準(zhǔn)；10) 公司員工發(fā)現(xiàn)公司公司秘密已經(jīng)泄露或可能泄露時(shí)，應(yīng)立即采取補(bǔ)救措施并及時(shí)報(bào)告上級(jí)主管，上級(jí)主管須立即做出相應(yīng)處理。不同市場(chǎng)區(qū)域之間的信息，原則上也要求保密。6) 對(duì)于研發(fā)進(jìn)行中的項(xiàng)目，除公司統(tǒng)一制定的產(chǎn)品目標(biāo)對(duì)客戶(hù)進(jìn)行宣傳以外，公司任何員工均需對(duì)公司正在研發(fā)的項(xiàng)目?jī)?nèi)容、項(xiàng)目進(jìn)度等信息進(jìn)行保密，尤其是器件供應(yīng)商，與競(jìng)爭(zhēng)對(duì)手關(guān)系密切的客戶(hù)等。4) 對(duì)公司公司秘密的知曉范圍執(zhí)行壓縮控制的原則，員工只在管轄范圍內(nèi)根據(jù)工作需要知曉相關(guān)的公司公司秘密。未經(jīng)領(lǐng)導(dǎo)批準(zhǔn)，不準(zhǔn)開(kāi)展本崗位外的業(yè)務(wù)活動(dòng)，不準(zhǔn)串崗。7. 保密原則1) 所有公司員工都有義務(wù)和責(zé)任保守公司公司秘密。6) 個(gè)人工作中使用的紙質(zhì)文檔不得隨意丟棄或作其它用途，廢棄后要及時(shí)粉碎處理；電子文檔需要及時(shí)整理和清除。4) “公司機(jī)密”和“公司秘密”信息，進(jìn)行處理時(shí)，紙質(zhì)文件要通過(guò)專(zhuān)門(mén)設(shè)備徹底粉碎；電子檔案必須采用行政部許可使用的專(zhuān)用銷(xiāo)毀文件的計(jì)算機(jī)磁盤(pán)工具予以消除，必須保留銷(xiāo)毀文件的記錄。其它涉密信息的廢棄處置要得到相關(guān)部門(mén)，相關(guān)工作組的負(fù)責(zé)人的批準(zhǔn)，并指定人員實(shí)施。1) 過(guò)期或作廢的涉密文件需要廢棄處置處理時(shí)，首先需得到批準(zhǔn)。5) 利用傳真進(jìn)行涉密信息傳送時(shí)，不得委托非相關(guān)人員代為傳送；傳送時(shí)必須始終等待在側(cè)；傳送完畢后立刻回收；不特別必要，不利用傳真方式進(jìn)行“公司絕密”信息的傳送；收發(fā)“公司絕密”信息時(shí)，應(yīng)事先和對(duì)方聯(lián)系，保證傳真不經(jīng)過(guò)其他人手?！肮窘^密”信息除非特別需要必須使用公司的網(wǎng)絡(luò)服務(wù)傳送；所有涉密信息都應(yīng)該盡量避免使用公司外部電子信箱以及MSN//Skype/公用FTP/網(wǎng)絡(luò)存儲(chǔ)空間等手段來(lái)進(jìn)行傳送。3) 在公司內(nèi)部傳送紙質(zhì)數(shù)據(jù)時(shí)，委托他人傳送時(shí)，必須加以封裝；“公司絕密”信息傳送時(shí)必須保證直接交給收件人本人；其他涉密信息傳送時(shí)，盡量直接交給收件人，如果放置在收件人坐席上必須將傳送的背面朝上，并且事后要和收件人確認(rèn)。1) 任何涉密信息的發(fā)送，都必須保證收件人的合法性；“內(nèi)部公開(kāi)”信息未經(jīng)許可，嚴(yán)禁發(fā)送給公司以外人員；“公司秘密”，“公司機(jī)密”“公司絕密”只發(fā)給管理者授權(quán)的收件人。8) 計(jì)算機(jī)數(shù)據(jù)安全管理：l 在從事涉及保密信息的工作時(shí)，不得離開(kāi)計(jì)算機(jī)，使之處于無(wú)人照看狀態(tài)；l 人員因故離開(kāi)座位時(shí)，必須退出系統(tǒng)或使用屏幕密碼保護(hù)，防止賬號(hào)被盜用或數(shù)據(jù)被竊取。對(duì)于外來(lái)的傳真，應(yīng)該馬上收取，再通知或送達(dá)收件人。打印“公司絕密”信息時(shí)，盡量使用非公用打印機(jī)；l 復(fù)印完畢后注意檢查，保證復(fù)印機(jī)處無(wú)遺留紙質(zhì)文件。不能在公共場(chǎng)所或者敞開(kāi)辦公室、沒(méi)有良好隔音的會(huì)議室談?wù)摴窘^密信息。6) 不在有非相關(guān)人員在場(chǎng)的情況下談?wù)?使用涉密信息?！肮窘^密”信息的使用必要時(shí)可以通過(guò)簽名登記的方式加以控制。因工作需要復(fù)印的涉密信息，使用完畢后，按照涉密信息廢棄處置方法處置。2) 不得以任何工作需要以外的目的復(fù)制、復(fù)印、摘抄涉密信息，未經(jīng)管理者許可，禁止復(fù)制、復(fù)印“公司機(jī)密”以上級(jí)別信息。6) 為了保證涉密信息安全，全體員工必須嚴(yán)格遵守《訪(fǎng)問(wèn)控制管理程序》中所具體規(guī)定的各項(xiàng)控制策略。5) “公司絕密”信息由公司領(lǐng)導(dǎo)、信息安全主管部門(mén)和相關(guān)應(yīng)用部門(mén)協(xié)商確定訪(fǎng)問(wèn)權(quán)限，由信息安全主管部門(mén)委托人員（一般是總裁辦管理）具體控制。1) 日常工作中需使用含公司絕密、公司機(jī)密性數(shù)據(jù)的設(shè)備，或需處理公司絕密、公司機(jī)密性數(shù)據(jù)的員工，須根據(jù)公司相關(guān)要求簽訂《知識(shí)產(chǎn)權(quán)及保密協(xié)議》；2) 本公司委外開(kāi)發(fā)或加工的外包合同/協(xié)議中須包含所涉及信息資產(chǎn)的保密條款，必要時(shí)，須與相關(guān)人員簽署保密協(xié)議；3) 涉密信息的訪(fǎng)問(wèn)范圍應(yīng)限制在滿(mǎn)足需要的最小限度。重要信息應(yīng)該被指定為公司絕密，其余都按照“公司秘密”密級(jí)來(lái)對(duì)待。電子文檔應(yīng)該保存到公用機(jī)器上的指定位置，從而得到可靠的備份和訪(fǎng)問(wèn)控制，對(duì)于紙質(zhì)文檔和電子介質(zhì)應(yīng)該保存到指定文件柜內(nèi)（除非被批準(zhǔn)，不得保存在個(gè)人文件柜內(nèi)），并做好清晰標(biāo)示，從而保證他們的可用性。獲取的公司秘密應(yīng)及時(shí)移交財(cái)務(wù)部歸檔，不得個(gè)人保存。紙質(zhì)文檔以及電子存儲(chǔ)介質(zhì)應(yīng)存放于書(shū)柜、檔案柜或桌式書(shū)架柜內(nèi)，以防被非公司人員意外看到或獲得。2) 其它涉密信息：也應(yīng)該保存在安全的工作區(qū)域內(nèi)。紙質(zhì)文件以及電子存儲(chǔ)介質(zhì)（例如：移動(dòng)硬盤(pán)/U盤(pán)/光盤(pán)/軟盤(pán)等）應(yīng)該保存在加鎖的文件柜或保險(xiǎn)柜內(nèi)。6. 公司秘密信息使用管理1) 公司絕密、公司機(jī)密信息：應(yīng)該保管在一般人員無(wú)法隨便進(jìn)入的有安全保障的房間，比如：總裁辦公室、各部門(mén)主管辦公室、財(cái)務(wù)室、機(jī)房等。5) 需要提交給客戶(hù)的信息資產(chǎn)（例如：項(xiàng)目開(kāi)發(fā)成果物），必須有分級(jí)標(biāo)識(shí)。對(duì)于模板文檔，其標(biāo)識(shí)的分級(jí)是指填寫(xiě)內(nèi)容后的分級(jí)，而非空白時(shí)的分級(jí)。3) 對(duì)于紙質(zhì)文檔，使用公