【正文】 6條 在機房的統(tǒng)一入口處必須設立有專人值守的接待區(qū)域，在特別重要的安全區(qū)域也應該設立類似的接待區(qū)域。8 物理和環(huán)境安全方面 安全區(qū)域 物理安全邊界 第55條 在公司的物理環(huán)境里，應該對需要保護的區(qū)域根據(jù)其重要性劃分為不同的安全區(qū)域。 第53條 對于公用的資源，必須進行及時的調整，比如：公用的帳號必須立即更改密碼。 刪除訪問權限 第52條 在終止或變更雇傭、合同、協(xié)議時，必須刪除所有員工及第三方人員對信息和信息系統(tǒng)的訪問權限，或根據(jù)變更進行相應的調整。 資產(chǎn)歸還 第50條 在終止雇傭、合同或協(xié)議時，所有員工及第三方人員必須歸還所使用的全部公司資產(chǎn)。紀律處分包括但不限于： 1) 通報批評 2) 警告 3) 記過 4) 解除勞動合同 5) 法律訴訟 第49條 當員工在接受可能涉及解除勞動合同和法律訴訟的違規(guī)調查時，其直接領導應暫停受調查員工的工作職務和其訪問權限，包括物理訪問、系統(tǒng)應用訪問和網(wǎng)絡訪問等。 懲戒過程 第48條 違反公司安全管理制度、標準和程序的員工將受到紀律處分。員工和第三方人員在開始工作后90天內，必須進行技術和安全方面的培訓。 人員安全 信息安全意識、教育和培訓 第44條 所有公司員工和第三方人員必須接受包括安全性要求、信息處理設備的正確使用等內容的培訓，并應該及時了解和學習公司對安全管理制度和標準的更新。對于打印報表，其保密等級應顯示在每頁的頂端或底部。 信息標記和處理 第41條 必須建立相應的保密信息處理規(guī)范。以電子形式保存的信息或管理信息資產(chǎn)的系統(tǒng)，需根據(jù)信息的敏感度進行標識。當信息被發(fā)布到公司外部，或者經(jīng)過一段時間后信息的敏感度發(fā)生改變時，信息需要重新分類。 信息分類 信息分類原則 第38條 所有信息都應該根據(jù)其敏感性、重要性以及業(yè)務所要求的訪問限制進行分類和標識。公司的所有信息處理設備（包括個人電腦）只能被使用于工作相關的活動，不得用來炒股、玩游戲等。 資產(chǎn)的合理使用 第36條 必須識別信息和信息系統(tǒng)的使用準則，形成文件并實施。管理者是部門的資產(chǎn)則由部門主管負責監(jiān)護。 資產(chǎn)的管理權 第34條 所有資產(chǎn)都應該被詳細說明，必須指明具體的管理者。資產(chǎn)的風險評估必須每年至少一次，主要評估當前已部署安全控制措施的有效性。在購買新資產(chǎn)之前必須進行安全評估。 4)服務：通訊服務（專線）。 2)軟件：應用軟件、系統(tǒng)軟件、開發(fā)工具以及實用工具等。7 信息資產(chǎn)與人員安全 資產(chǎn)責任 資產(chǎn)的清單 第31條 應清楚識別所有的資產(chǎn)，所有與信息相關的重要資產(chǎn)都應該在資產(chǎn)清單中標出，并及時維護更新。采取相應的保護措施保護客戶訪問的信息或信息系統(tǒng)。所有對第三方的安全要求必須包含在與其簽訂的合約中。第三方對重要信息系統(tǒng)或地點的訪問和操作必須有相關人員陪同。只有在風險被消除或降低到可接受的水平時才允許其訪問。 第23條 獨立的信息安全審核必須每年至少進行一次。審核工作應由公司的審計部門或專門提供此類服務的第三方組織負責執(zhí)行。 第21條 除非獲得安全管理委員會的授權，否則不允許使用私人的信息處理設備來處理公司業(yè)務信息或使用公司資源。 第20條 新設備在部署和使用之前，必須明確其用途和使用范圍，并獲得安全管理委員會的批準。 （九）負責各類安全策略的日常維護和管理。 第18條 各分公司信息管理部門作為信息安全管理部門，其主要職責： （一）根據(jù)本規(guī)定、信息安全體系規(guī)范、標準和檢查指引，組織建立安全管理流程、手冊； （二）組織實施內部安全檢查； （三）組織安全培訓； （四）負責機密信息和機密資源的安全管理； （五）負責安全技術產(chǎn)品的使用、維護、升級； （六）配合安全審計工作的開展； （七）定期上報本單位信息系統(tǒng)安全情況，反饋安全技術和管理的意見和建議。 （七）依據(jù)本規(guī)定、安全規(guī)范、技術標準、操作手冊實施各類安全策略。 第16條 信息安全管理會議必須每年定期舉行，討論和審批信息安全相關事宜，具體包括以下內容: 1)復審本管理制度的有效性；2)復審技術變更帶來的影響； 3)復審安全風險； 4)審批信息安全措施及程序； 5)審批信息安全建議； 6)確保任何新項目規(guī)劃已考慮信息安全的需求； 7)復審安全檢查結果和安全事故報告； 8)復審安全控制實施的效果和影響； 9)宣導和推行公司高層對信息安全管理的指示。 第14條 安全管理委員會需要對內部或外部信息安全專家的建議進行評估，并檢查和調整建議在公司內執(zhí)行的結果。 第12條 信息安全管理代表由信息安全管理委員會指定，一般應包含安全稽核崗、信息管理部信息安全相關崗位。 第10條 安全管理委員會必須定期對本管理辦法進行正式的復審，并根據(jù)復審所作的修正，指導相關員工采取相應的行動。制度經(jīng)批準之后必須通知所有相關人員。 第7條 安全管理代表（或其指派的人員）將審核各部門安全控制措施實施的準確性和完整性，此過程是公司例行內部審計的一部分。 第5條 所有員工都受本制度的約束，各部門領導有責任確保其部門已實施足夠的安全控制措施，以保護信息安全。除非事先得到安全管理委員會的認可，否則都要堅決執(zhí)行。 電子化辦公系統(tǒng)：包括電子郵件、OA系統(tǒng)以及用于業(yè)務信息傳送及共享的企業(yè)內部網(wǎng)。 信息處理設備：泛指處理信息的所有設備和信息系統(tǒng)，包括網(wǎng)絡、服務器、個人電腦和筆記本電腦等。 數(shù)字簽名：一種保護電子文檔真實性和完整性的方法。 系統(tǒng)工具：能夠更改系統(tǒng)及應用配臵的程序被定義為系統(tǒng)工具，如系統(tǒng)管理、維護工具、調試程序等。 惡意軟件：包括計算機病毒、網(wǎng)絡蠕蟲、木馬、流氓軟件、邏輯炸彈等。 安全制度：與信息安全相關的制度文檔，包括安全管理辦法、標準、指引和程序等。系統(tǒng)容量包括CPU、內存、硬盤存儲等。4 術語定義 DMZ：用于隔離內網(wǎng)和外網(wǎng)的區(qū)域，此區(qū)域不屬于可信任的內網(wǎng)，也不是完全開放給因特網(wǎng)。 3 管理對象 第3條 管理對象指組成計算機信息系統(tǒng)的系統(tǒng)、設備和數(shù)據(jù)等信息資產(chǎn)和人員的安全。信息安全管理制度琥珀（安吉）燃機熱電有限公司 36 / 38信息安全制度1 總則 第1條 為規(guī)范信息安全管理工作，加強過程管理和基礎設施管理的風險分析及防范，建立安全責任制，健全安全內控制度，保證信息系統(tǒng)的機密性、完整性、可用性，特制定本規(guī)定。 2 適用范圍 第2條 本規(guī)定適用于琥珀（安吉）燃機熱電有限公司各部門及生產(chǎn)現(xiàn)場。主要范圍包括：人員安全、物理環(huán)境安全、資產(chǎn)識別和分類、風險管理、物理和邏輯訪問控制、系統(tǒng)操作與運行安全、網(wǎng)絡通訊安全、信息加密與解密、應急與災難恢復、軟件研發(fā)與應用安全、機密資源管理、第三方與外包安全、法律和標準的符合性、項目與工程安全控制、安全檢查與審計等。 容量：分為系統(tǒng)容量和環(huán)境容量兩方面。環(huán)境容量包括電力供應、濕度、溫度、空氣質量等。 安全邊界：用以明確劃分安全區(qū)域，如圍墻、辦公大樓、網(wǎng)段等。 備份周期：根據(jù)備份管理辦法制定的備份循環(huán)的周期，一個備份周期的內容相當于一個完整的全備份。 消息驗證：一種檢查傳輸?shù)碾娮酉⑹欠裼蟹欠ㄗ兏蚱茐牡募夹g，它可以在硬件或軟件上實施。例如，在電子商務中可以使用它驗證誰簽署電子文檔，并檢查已簽署文檔的內容是否被更改。 不可抵賴性服務：用于解決交易糾紛中爭議交易是否發(fā)生的機制。 5 安全制度方面 安全制度要求 本制度的詮釋 第4條 所有帶有“必須”的條款都是強制性的。其它的條款則是強烈建議的，只要實際可行就應該被采用。 第6條 各部門的領導有責任確保其部門的員工了解本安全管理制度、相關的標準和程序以及日常的信息安全管理。 制度發(fā)布 第8條 所有制度在創(chuàng)建和更新后，必須經(jīng)過相應管理層的審批。 制度復審 第9條 當環(huán)境改變、技術更新或者業(yè)務本身發(fā)生變化時，必須對安全制度重新進行評審，并作出相應的修正，以確保能有效地保護公司的信息資產(chǎn)。6 組織安全方面 組織內部安全 信息安全體系管理 第11條 公司成立安全管理委員會，安全管理委員會是公司信息安全管理的最高決策機構，安全管理委員會的成員應包括公司主要管理人、生產(chǎn)技術管理部負責人、公司安全審計負責人、公司計算機管理員、操作員等。 第13條 安全管理委員會通過清晰的方向、可見的承諾、詳細的分工，積極地支持信息安全工作，主要包括以下幾方面： 1)確定信息安全的目標符合公司的要求和相關制度； 2)闡明、復查和批準信息安全管理制度； 3)復查信息安全管理制度執(zhí)行的有效性； 4)為信息安全的執(zhí)行提供明確的指導和有效的支持； 5)提供信息安全體系運作所需要的資源 6)為信息安全在公司執(zhí)行定義明確的角色和職責； 7)批準信息安全推廣和培訓的計劃和程序； 8)確保信息安全控制措施在公司內被有效的執(zhí)行。 第15條 必須舉行信息安全管理會議，會議成員包括安全管理委員會、安全管理代表和其他相關的公司高層管理人員。 信息安全職責分配 第17條 信息管理部門作為信息安全管理部門，負責信息安全管理策略制定及實施，其主要職責： （一）負責全公司信息安全管理和指導； （二）牽頭制訂全公司信息安全體系規(guī)范、標準和檢查指引，參與我司信息系統(tǒng)工程建設的安全規(guī)劃； （三）組織全公司安全檢查； （四）配合全公司安全審計工作的開展； （五）牽頭組織全公司安全管理培訓； （六）負責全公司安全方案的審核和安全產(chǎn)品的選型、購臵。 （八）負責各類安全策略的日常維護和管理。 （八）依據(jù)本規(guī)定、安全規(guī)范、技術標準、操作手冊實施各類安全策略。 信息處理設備的授權 第19條 新設備的采購和設備部署的審批流程應該充分考慮信息安全的要求。必須對新設備的硬件和軟件系統(tǒng)進行詳細檢查，以確保它們的安全性和兼容性。 獨立的信息安全審核 第22條 必須對公司信息安全控制措施的實施情況進行獨立地審核，確保公司的信息安全控制措施符合管理制度的要求。負責安全審核的人員必須具備相應的技能和經(jīng)驗。 第三方訪問的安全性 明確第三方訪問的風險 第24條 必須對第三方對公司信息或信息系統(tǒng)的訪問進行風險評估，并進行嚴格控制，相關控制須考慮物理上和邏輯上訪問的安全風險。 第25條 第三方包括但不限于： 1) 硬件和軟件廠商的支持人員和其他外包商 2) 監(jiān)管機構、外部顧問、外部審計機構和合作伙伴 3) 臨時員工、實習生 4) 清潔工和保安 5) 公司的客戶 第26條 第三方對公司信息或信息系統(tǒng)的訪問類型包括但不限于： 1) 物理的訪問，例如：訪問公司機房、監(jiān)控中心等； 2) 邏輯的訪問，例如：訪問公司的數(shù)據(jù)庫、信息系統(tǒng)等； 3) 與第三方之間的網(wǎng)絡連接，例如：固定的連接、臨時的遠程連接； 第27條 第三方所有的訪問申請都必須經(jīng)過信息安全管理代表的審批，只提供其工作所須的最小權限和滿足其工作所需的最少資源，并且需要定期對第三方的訪問權限進行復查。 第28條 公司負責與第三方溝通的人員必須在第三方接觸公司信息或信息系統(tǒng)前，主動告知第三方的職責、義務和需要遵守的規(guī)定，第三方必須在清楚并同意后才能接觸相應信息或信息系統(tǒng)。 當與客戶接觸時強調信息安全 第29條 必須在允許客戶訪問信息或信息系統(tǒng)前識別并告知其需要遵守的安全需求。 與第三方簽訂合約的安全要求 第30條 與第三方合約中應包含必要的安全要求，如：訪問、處理、管理公司信息或信息系統(tǒng)的安全要求。這些資產(chǎn)包括但不限于∶ 1)信息：數(shù)據(jù)庫和數(shù)據(jù)文件、系統(tǒng)文檔、用戶手冊、培訓材料、操作手冊、業(yè)務連續(xù)性計劃、系統(tǒng)恢復計劃、備份信息和合同等。 3)實體：計算機設備（處理器、顯示器、筆記本電腦、調制解調器等）、通訊設備（路由器、程控電話交換機、傳真機等）、存儲設備、磁介質（磁帶和磁盤等）、其它技術設備（電源、空調器等）、機房等。 第32條 資產(chǎn)清單必須每年至少審核一次。資產(chǎn)交付后，資產(chǎn)清單必須更新。 第33條 實體資產(chǎn)需要貼上適當?shù)臉撕?。管理者?