【正文】 司統(tǒng)一刻制的分級標識圖章進行標識，對于“公司絕密”文檔在需要時，通過騎縫章或每頁敲章的方式進行“絕密”標識。1) 公司固定資產(chǎn)硬件設備必須標記分級標識編號。5) 公開：公司外面所有人員，允許知曉由公司內(nèi)的授權人員宣布可公開的信息。3) 公司秘密級：部門骨干管理人員以及與公司秘密內(nèi)容有直接關系的工作人員，允許知曉與本工作相關的公司秘密事項，但對其他部門應保密。掌握核心公司絕密的關鍵崗位人員的變更、離職須經(jīng)總經(jīng)理同意。絕密信息，除文檔資產(chǎn)外，不包含在其他信息資產(chǎn)的分級定義序列中，絕密信息一般由公司最高管理層負責管理和保密義務。第三方服務資產(chǎn)(TSthird service)：TSTS2......分別代表一級第三方服務資產(chǎn)、二級第三方服務資產(chǎn)......等。文檔資產(chǎn)(Ffile)：FF2......分別代表一級文檔資產(chǎn)、二級文檔資產(chǎn)......等。外包服務資產(chǎn)(Tteam)：TT2......分別代表一級外包服務資產(chǎn)、二級外包服務資產(chǎn)......等。數(shù)據(jù)資產(chǎn)(Ddata)：DD2......分別代表一級數(shù)據(jù)資產(chǎn)、二級數(shù)據(jù)資產(chǎn)......等。5. 信息分級標識硬件資產(chǎn)（Hhard）：HH2......分別代表一級硬件資產(chǎn)，二級硬件資產(chǎn)......等。公司一級、公司二級信息資產(chǎn)需要報信息安全管理工作小組匯總、審核后，請公司總經(jīng)理確認審批。如客戶信息數(shù)據(jù)、系統(tǒng)配置數(shù)據(jù)、系統(tǒng)登錄帳號密碼、業(yè)務運行數(shù)據(jù)、電話號碼資源等。如：操作系統(tǒng)、殺毒軟件、源代碼、組件、程序、業(yè)務系統(tǒng)或平臺等。l 其他設備，不屬于上述3類的設備設施，如飲水機等。l 計算機及配件、輔助設備類，如服務器、臺式機、筆記本電腦、移動存儲、打印機等。區(qū)分標準如下： 1) 硬件資產(chǎn)：日常工作、公司運作或系統(tǒng)運行所依賴的可見電子設備、設施和工具。4) 各信息的所有者：負責各信息資產(chǎn)的標識、分發(fā)和傳遞的控制；5) 員工：應當熟悉本管理規(guī)定的內(nèi)容，包括信息資產(chǎn)標識辦法和使用管理規(guī)定，并切實貫徹到日常工作中。2) 信息安全管理工作小組：負責具體的協(xié)調(diào)組織實施及解釋答疑等工作。2) GB/T 220802016/ISO/IEC 27001:2013 信息技術安全技術信息安全管理體系要求3) GB/T 220812016/ISO/IEC 27002:2013 信息技術安全技術信息安全管理實施細則4) 《備份管理規(guī)定》5) 《訪問控制程序》6) 《文件控制程序》3. 職責和權限本管理規(guī)定作為全公司范圍信息類資產(chǎn)的最低管理要求，各部門或各項目組，均可以根據(jù)客戶要求，添加補充策略，并在本部門、本項目組內(nèi)實施，與本規(guī)定一起，作為信息安全管理的工作指南。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。公司信息資產(chǎn)是指一切關系公司安全和利益，在保護期內(nèi)只限一定范圍內(nèi)人員知悉、操作、維護的事物、文檔、項目、數(shù)據(jù)等資源。本規(guī)定適用于本公司信息資產(chǎn)的安全管理，適用對象為本公司員工和所有外來人員。 取消域用戶的本地系統(tǒng)管理員權限（設為Power Users），防止用戶擅自安裝非法軟件和更改系統(tǒng)配置 按新的密碼規(guī)則修改本地Administrator的密碼（新員工PC機初始密碼：000000）二、標準電腦軟件安裝及配置： 常規(guī)系統(tǒng)及軟件Windows 10系統(tǒng)及語言包賽門鐵克殺毒軟件及病毒庫數(shù)據(jù)更新（病毒庫每周更新一次）Altiris（硬件資產(chǎn)管理)Office 2016 中小企業(yè)版工具軟件：WinRAR （可以安裝，但不是標準軟件）Adobe Reader其他需要安裝的軟件需和上級部門主管批準針對任何游戲軟件及非工作需要的軟件，均應立即卸載并刪除如果電腦有問題，請先排除故障后再做以下操作。東方中安信息技術有限公司PC機系統(tǒng)及桌面標準化說明（初稿）發(fā)布時間：發(fā)布部門：版本號：批準人：目錄一、統(tǒng)一電腦設置： 8二、標準電腦軟件安裝及配置： 8三、信息資產(chǎn)分類分級管理程序 91. 目的和范圍 92. 引用文件 93. 職責和權限 104. 信息資產(chǎn)的分類分級 105. 信息分級標識 126. 公司秘密信息使用管理 137. 保密原則 19四、訪問控制制度 221. 目的和范圍 222. 引用文件 223. 職責和權限 224. 用戶管理 225. 權限管理 236. 操作系統(tǒng)訪問控制 247. 應用系統(tǒng)訪問控制 258. 網(wǎng)絡和網(wǎng)絡服務訪問控制 259. 網(wǎng)絡隔離 2610. 網(wǎng)絡設備 2611. 信息交流控制措施 2612. 遠程訪問管理 2713. 無線網(wǎng)絡訪問管理 2814. 筆記本使用及安全配置規(guī)定 2815. 外部人員使用筆記本的規(guī)定 2916. 服務器安全控制 2917. 實施策略 2918. 相關記錄 29五、密碼控制管理制度 311. 目的和范圍 312. 引用文件 313. 職責和權限 314. 密碼控制 32六、操作安全管理 36補丁管理 361. 總則 362. 適用范圍 363. 職責分工 364. 補丁管理 375. 附則 39防范病毒及惡意軟件管理規(guī)定 401. 目的和范圍 402. 引用文件 403. 職責和權限 404. 病毒防治管理 415. 惡意軟件管理 416. 實施策略 427. 相關記錄 42軟件管理規(guī)定 44目的和范圍 441. 引用文件 442. 職責和權限 443. 軟件管理 444. 軟件使用 475 相關記錄 47數(shù)據(jù)備份管理規(guī)定 491. 目的和范圍 492. 引用文件 493. 職責和權限 494. 備份管理 49系統(tǒng)監(jiān)控管理規(guī)定 521. 目的 522. 引用文件 523. 職責和權限 524. 系統(tǒng)監(jiān)控管理 52 54七、通信安全 55通信安全管理規(guī)定 551. 目標 552. 引用文件 553. 職責和權限 554. Internet訪問控制 555. 網(wǎng)絡隔離 566. 無線網(wǎng)絡訪問管理 567. 信息交流控制措施 56電子郵件管理規(guī)定 591. 目標 592. 總則 593. 管理權限和職責 594. 郵箱管理流程 595. 郵箱使用 60信息安全交流控制制度 621. 目標 622. 總則 623. 信息傳輸安全控制措施 624. 信息傳輸協(xié)議 625. 定期評審 63八、信息安全事件管理制度 651. 目的和范圍 652. 引用文件 653. 職責和權限 654. 信息安全異常現(xiàn)象 665. 信息安全事件 686. 安全事故處理流程： 817. 信息安全事件的緊急處置和業(yè)務恢復 818. 信息安全事件證據(jù)的收集 829. 信息安全事件和信息安全異?，F(xiàn)象的報告和反饋 8310. 改進和預防工作 8411. 實施策略 8412. 支持文件 8513. 相關記錄 85九、業(yè)務連續(xù)性管理制度 871. 目的和范圍 872. 引用文件 873. 職責和權限 874. 業(yè)務連續(xù)性管理流程 885. 制定應急預案 906. 演練與維護 917. 相關記錄 92PC桌面標準化說明一、統(tǒng)一電腦設置： 為規(guī)范公司的電腦配置與管理，提高工作效率，從而更好地為辦公服務。 計算機機器名稱的統(tǒng)一規(guī)范化命名，便于通過計算機識別設備所在區(qū)域和用戶例：東方中安Jason WINDOWS操作系統(tǒng)安裝公司采購的正版系統(tǒng)，開啟自動更新功能的實現(xiàn)，使每臺能夠上網(wǎng)的機器都能及時從互聯(lián)網(wǎng)上下載最新補丁程序，有效防范病毒等惡性事件的發(fā)生。三、信息資產(chǎn)分類分級管理程序1. 目的和范圍為降低公司重要資產(chǎn)因遺失、損壞、篡改、外泄等事件帶來的潛在風險，這些風險將對公司的信譽、經(jīng)營活動、經(jīng)濟利益等造成較大或重大損失，需要規(guī)范信息資產(chǎn)保護方法和管理要求，特制訂本管理制度。特殊崗位或特殊人員，另有規(guī)定的從其規(guī)定。2. 引用文件1) 下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是不注日期的引用文件，其最新版本適用于本標準。1) 信息安全管理領導人組：是本公司信息資產(chǎn)安全管理工作的最高領導組織，總體負責信息資產(chǎn)的安全。3) 各部門經(jīng)理：作為本部門信息資產(chǎn)安全管理的最高責任者，有責任和權限保證本部門信息資產(chǎn)的安全。4. 信息資產(chǎn)的分類分級公司信息資產(chǎn)分為：硬件資產(chǎn)、軟件資產(chǎn)、數(shù)據(jù)資產(chǎn)、人員資產(chǎn)、外包服務資產(chǎn)、無形資產(chǎn)、文檔資產(chǎn)、環(huán)境資產(chǎn)、第三方服務資產(chǎn)等。主要包括：l 辦公類用品，如桌椅、紙張等。l 網(wǎng)絡設備，如網(wǎng)絡交換機等。2) 軟件資產(chǎn)：依賴電子計算設備運行的非硬件資產(chǎn)。3) 數(shù)據(jù)資產(chǎn)：計算機軟件運行時依賴的原始數(shù)據(jù)、配置數(shù)據(jù)，運行時產(chǎn)生的動態(tài)數(shù)據(jù)、結(jié)果數(shù)據(jù)以及能夠給公司經(jīng)濟效益、信息安全帶來潛在影響的所有數(shù)據(jù)，這些數(shù)據(jù)如遺失、非法復制傳播、損壞等從經(jīng)濟或安全上可能給公司造成損害。信息資產(chǎn)的分級管理制度引用如下文件：1） 硬件資產(chǎn)分級管理制度2） 軟件資產(chǎn)分級管理制度3） 數(shù)據(jù)資產(chǎn)分級管理制度4） 人員資產(chǎn)分級管理制度5） 外包服務資產(chǎn)分級管理制度6） 無形資產(chǎn)分級管理制度7） 文檔資產(chǎn)分級管理制度8） 環(huán)境資產(chǎn)分級管理制度9） 第三方服務資產(chǎn)分級管理制度公司各部門依據(jù)分類定義和示例，對部門《資產(chǎn)識別表》中的各類資產(chǎn)進行分級，并報請本部門經(jīng)理審核確認?！顿Y產(chǎn)識別表》需詳細登記所有信息資產(chǎn)，并確定其分級和管理責任人。軟件資產(chǎn)(Ssoft)：SS2......分別代表一級軟件資產(chǎn)、二級軟件資產(chǎn)......等。人員資產(chǎn)(Pperson)：PP2......分別代表一級人員資產(chǎn)、二級人員資產(chǎn)......等。無形資產(chǎn)(Nnone)：NN2......分別代表一級無形資產(chǎn)、二級無形資產(chǎn)......等。環(huán)境資產(chǎn)(Eenvironmen)：EE2......分別代表一級環(huán)境資產(chǎn)、二級環(huán)境資產(chǎn)......等。、機密信息定義標記為一級和二級的文檔及敏感類的信息稱為公司機密信息，三類信息為秘密信息，四類為可內(nèi)部公開的信息，五類為可公開的信息。1) 公司絕密級：高層管理級人員及與公司絕密內(nèi)容有直接關系的工作人員，對其他任何人都需要保密。2) 公司機密級：部門經(jīng)理級及以上的管理人員以及與公司機密內(nèi)容有直接關系的工作人員，允許知曉與本工作相關的公司機密事項，對非相關人員需要保密。4) 內(nèi)部公開：公司內(nèi)部所有人員，允許知曉在公司內(nèi)部范圍內(nèi)屬于公開的信息，但未授權不得對公司以外人員泄露公司的內(nèi)部公開信息?？晒_的文檔必須轉(zhuǎn)成PDF文檔后，或使用其他方法變成只讀不可修改的文檔后再行發(fā)布。2) 作為電子文件時必須在文件的第一頁的顯著位置標識分級。使用信封等封裝時，還需要在封裝上標記“絕密”標識及分級標識。4) 如果使用光盤/磁帶/軟盤等介質(zhì)，需要直接在介質(zhì)表面上標識分級。6) 對于應用系統(tǒng)中的顯示畫面、數(shù)據(jù)表單或打印輸出等內(nèi)容，必須有分級標識。電子文檔必須有可靠的備份機制；除非特別批準公司絕密信息不應保管在個人用計算機上。l 在不使用或處于目光所及范圍之外時，應將資料存放在鎖閉的檔案柜、桌式書架或書柜內(nèi)；l 在攜帶至辦公室以外的地方時，應將資料存放在隨身攜帶的鎖閉的箱包或手提箱內(nèi)。電子文檔也必須有可靠的備份機制。a) 技術成果l 技術轉(zhuǎn)讓、技術入股、技術引進等途徑獲取公司秘密的過程中，根據(jù)合同或協(xié)議中規(guī)定提供的公司秘密，承辦人應采取保密措施，保證不泄漏公司秘密。b) 工作成果物：l 每個人的工作成果物（工作成果物指需要向客戶或上級或組織提交的工作的結(jié)果）應該及時保存到指定場所。員工在公司任職期間的工作成果歸公司所有，并按《保密協(xié)議》及本制度進行管理；c) 客戶信息l 在公司日常業(yè)務（包括營銷等相關活動）中接觸到客戶的信息以及客戶提供的信息同樣應該作為公司的涉密信息實施管理和控制。l 特別是客戶真實數(shù)據(jù)，屬于“公司機密”，除非得到客戶明確授權，不得使用；使用時必須按照嚴格的流程和管理規(guī)定（事先備份等），不得在其它任何場合使用或透露相關信息。4) 公司絕密信息應該存放在非相關部門員工無法訪問的獨立的VLAN內(nèi)，存放“公司絕密”信息的個人用計算機應該安裝防火墻，保證其他機器無法主動訪問，通過網(wǎng)絡共享目錄不允許存放“公司絕密”信息；存放涉密信息的計算機的用戶密碼必須得到嚴格控制和有效管理；“內(nèi)部公開”及以上信息未經(jīng)授權，嚴禁以任何方式向公司以外人員泄露?！肮緳C密”和“公司秘密”信息由各部門，各項目組的負責人確定訪問權限，由他們或委托可靠相關人員進行訪問權限的具體控制措施。1) 不得使用任何手段主動獲取與工作職責無關的涉密信息。3) 因工作需要將涉密信息復制到非相關設備或公用設備中時，必須在使用完畢后，立即刪除作業(yè)遺留的涉密信息。4) 涉密信息的使用必須嚴格限制在工作必須的物理和人員范圍內(nèi)，除非工作需要并得到批準，不得把存放涉密信息的設備和存儲介質(zhì)以及含有涉密信息的紙質(zhì)文檔帶出公司。5) 因工作需要，需要對敏感的涉密信息共享時，必須對涉密信息進行加密處理。包括：和客戶接觸時避免涉密信息的泄露，制作提供給客戶的資料文件時原則上使用PDF格式，并需要注意涉密信息的保護。7) 使用紙質(zhì)文件是，要注意：l “公司機密”以上級別信息的紙件不得重復使用，含其它涉密信息的紙件文件也不得跨項目使用；