【正文】 以是個(gè)人，也可以是某個(gè)部門。 第35條 資產(chǎn)管理者的職責(zé)是： 1)確定資產(chǎn)的保密等級(jí)分類和訪問管理辦法； 2)定期復(fù)查資產(chǎn)的分類和訪問管理辦法。使用準(zhǔn)則應(yīng)包括： 1)使用范圍 2)角色和權(quán)限 3)使用者應(yīng)負(fù)的責(zé)任 4)與其他系統(tǒng)交互的要求 第37條 所有訪問信息或信息系統(tǒng)的員工、第三方必須清楚要訪問資源的使用準(zhǔn)則，并承擔(dān)他們的責(zé)任。濫用信息處理設(shè)備的員工將受到紀(jì)律處分。 第39條 信息管理者負(fù)責(zé)信息的分類，并對其進(jìn)行定期檢查，以確保分類的正確。 第40條 信息的保密程度從高到低分為絕密、機(jī)密、秘密和非保密四種等級(jí)。含有不同分類信息的系統(tǒng)，必須按照其中的最高保密等級(jí)進(jìn)行分類。對于不同的保密等級(jí)，應(yīng)明確說明如下信息活動(dòng)的處理要求： 1)復(fù)制 2)保存和保管（以物理或電子方式） 3)傳送（以郵寄、傳真或電子郵件的方式） 4)銷毀 第42條 電子文檔和系統(tǒng)輸出的信息（打印報(bào)表和磁帶等）應(yīng)帶有適當(dāng)?shù)男畔⒎诸悩?biāo)記。 第43條 將保密信息發(fā)送到公司以外時(shí)，負(fù)責(zé)傳送信息的工作人員應(yīng)在分發(fā)信息之前，先告知對方文檔的保密等級(jí)及其相應(yīng)的處理要求。 第45條 應(yīng)該至少每年向員工提供一次安全意識(shí)培訓(xùn)，其內(nèi)容包括但不限于： 1)安全管理委員會(huì)下達(dá)的安全管理要求 2)信息保密的責(zé)任 3)一般性安全守則 4)信息分類 5)安全事故報(bào)告程序 6)電腦病毒爆發(fā)時(shí)的應(yīng)對措施 7)災(zāi)難發(fā)生時(shí)的應(yīng)對措施 第46條 應(yīng)該對系統(tǒng)管理員、開發(fā)人員進(jìn)行安全技能方面的培訓(xùn)，至少每年一次。 第47條 災(zāi)難恢復(fù)演習(xí)應(yīng)至少每年舉行一次。在對信息安全事件調(diào)查結(jié)束后，必須對事件中的相關(guān)人員根據(jù)公司的懲戒規(guī)定進(jìn)行處罰。員工在接受調(diào)查時(shí)可以陳述觀點(diǎn)，提出異議，并有進(jìn)一步申訴的權(quán)力。需要?dú)w還的資產(chǎn)包括但不限于： 1) 帳號(hào)和訪問權(quán)限 2) 公司的電子或紙質(zhì)文檔 3) 公司購買的硬件和軟件資產(chǎn) 4) 公司購買的其他設(shè)備 第51條 如果在非公司資產(chǎn)上保存有公司的資產(chǎn)，必須在帶出公司前歸還或刪除公司的資產(chǎn)。所有刪除和調(diào)整操作必須在最后上班日之前完成。 第54條 在已經(jīng)確定員工或第三方終止或變更意向后，必須及時(shí)對他們的權(quán)限進(jìn)行限制，只保留終止或變更所需要的權(quán)限。特別是有重要設(shè)備的安全區(qū)域（比如機(jī)房）應(yīng)該部署相應(yīng)的物理安全控制。 第57條 在非辦公時(shí)間內(nèi)，重要的安全區(qū)域必須安排保安定時(shí)巡視。 保安值班表應(yīng)最少每月調(diào)整一次。任何時(shí)候，重要安全區(qū)域的所有出入口必須受到嚴(yán)格的訪問控制，確保只有授權(quán)的員工才可以進(jìn)入此區(qū)域。所有員工都必須佩戴一個(gè)身份識(shí)別通行證，有責(zé)任確保通行證的安全并不得轉(zhuǎn)借他人。 第60條 所有來賓的有關(guān)資料都必須詳細(xì)記載在來賓進(jìn)出登記表中，并向獲準(zhǔn)進(jìn)入的來賓發(fā)放來賓通行證。來賓進(jìn)出登記表必須至少保留1年，記錄內(nèi)容應(yīng)包括但不限于： 1)來賓姓名 2)來賓身份 3)來賓工作單位 4)來訪事由 5)負(fù)責(zé)接待的員工 6)來賓通行證號(hào)碼 7)進(jìn)入的日期和時(shí)間 8)離開的日期和時(shí)間 辦公場所和設(shè)施安全 第61條 放臵敏感或重要設(shè)備的區(qū)域（例如機(jī)房）應(yīng)盡量不引人注目，給外面的信息應(yīng)盡量最少，不應(yīng)該有明顯的標(biāo)志指明敏感區(qū)域的所在位臵和用途。所有安全區(qū)域和出入口必須通過閉路電視進(jìn)行監(jiān)控。無人值守的時(shí)候，辦公區(qū)中的信息處理設(shè)備必須從物理上進(jìn)行保護(hù)。 防范外部和環(huán)境威脅 第63條 辦公場所和機(jī)房的設(shè)計(jì)和建設(shè)必須充分考慮火災(zāi)、洪水、地震、爆炸、騷亂等天災(zāi)或人為災(zāi)難，并采取額外的控制措施加以保護(hù)。機(jī)房必須有防火、防潮、防塵、防盜、防磁、防鼠等設(shè)施。 第66條 機(jī)房的消防措施必須滿足以下要求： 1) 必須安裝消防設(shè)備，并定期檢查。 3) 機(jī)房內(nèi)嚴(yán)禁存放易燃材料，每周例行檢查一次。應(yīng)每季度定期檢查這些裝備，確保它們能有效運(yùn)作。 6) 安全出口必須有明顯標(biāo)識(shí)。 8) 緊急事件發(fā)生時(shí)必須提供緊急照明。 10)必須保證防火門在火災(zāi)發(fā)生時(shí)能夠開啟。 在安全區(qū)域工作 第67條 員工進(jìn)入機(jī)房的訪問授權(quán)，不能超過其工作所需的范圍。機(jī)房的訪問權(quán)限應(yīng)不同于進(jìn)入大樓其它區(qū)域的權(quán)限。必須維護(hù)和及時(shí)更新來賓記錄，以掌握來賓進(jìn)入機(jī)房的詳細(xì)情況。機(jī)房來賓記錄至少保存一年。 第69條 機(jī)房的保護(hù)應(yīng)在專家的指導(dǎo)下進(jìn)行，必須安裝合適的安全防護(hù)和檢測裝臵。 機(jī)房操作日志 第70條 必須記錄機(jī)房管理員的操作行為，以便其行為可以追蹤。 第71條 在機(jī)房值班人員交接時(shí)，上一班值班人員所遺留的問題以及從事的工作應(yīng)明確交待給下一班，保證相關(guān)操作的延續(xù)性。應(yīng)該考慮的因素包括但不限于： 1) 水、火 2) 煙霧、灰塵 3) 震動(dòng) 4) 化學(xué)效應(yīng) 5) 電源干擾、電磁輻射 第73條 設(shè)備必須放臵在遠(yuǎn)離水災(zāi)的地方，并根據(jù)需要考慮安裝漏水警報(bào)系統(tǒng)。 設(shè)備都應(yīng)該裝有合適的漏電保險(xiǎn)絲或斷路器進(jìn)行保護(hù)。 設(shè)備的操作必須遵守廠商提供的操作規(guī)范。 支持設(shè)施 第74條 支持設(shè)施能夠支持物理場所、設(shè)備等的正常運(yùn)作，比如：電力設(shè)施、空調(diào)、排水設(shè)施、消防設(shè)施、靜電保護(hù)設(shè)施等。必須驗(yàn)證電力供應(yīng)是否滿足廠商設(shè)備對電源的要求。工作環(huán)境中增加新設(shè)備時(shí)，必須對電力、空調(diào)、地板等支持設(shè)施的負(fù)荷進(jìn)行審核。對需要配備后備電源的設(shè)備裝臵進(jìn)行審核，確保后備電源能夠滿足這些設(shè)備的正常工作。應(yīng)急電源開關(guān)應(yīng)位于機(jī)房的緊急出口附近，以便緊急狀況發(fā)生時(shí)可以迅速切斷電源。所有電纜都應(yīng)帶有標(biāo)簽，標(biāo)簽上的編碼應(yīng)記錄歸檔。 設(shè)備維護(hù) 第75條 所有生產(chǎn)設(shè)備必須有足夠的維護(hù)保障，關(guān)鍵設(shè)備必須提供7x24的現(xiàn)場維護(hù)支持。只有經(jīng)過批準(zhǔn)的、受過專業(yè)培訓(xùn)的工作人員才能進(jìn)行維護(hù)工作。如果設(shè)備需要搬離安全區(qū)域進(jìn)行修理，必須獲得批準(zhǔn)并卸載其存儲(chǔ)介質(zhì)。對于需要進(jìn)行重大維修的設(shè)備，流程還應(yīng)該包含設(shè)備檢修的報(bào)告，及換用備用設(shè)備的流程。 第78條 如果將設(shè)備帶出公司，設(shè)備擁有者必須親自或指定專人保護(hù)設(shè)備的安全。 設(shè)備的安全處理或再利用 第79條 再利用或報(bào)廢之前，設(shè)備所含有的所有存儲(chǔ)裝臵（比如硬盤等）都必須通過嚴(yán)格檢查，確保所有敏感數(shù)據(jù)和軟件已被刪除或改寫，并且不可能被恢復(fù)。 9 通信和操作管理方面 操作程序和職責(zé) 規(guī)范的操作程序 第80條 必須為所有的業(yè)務(wù)系統(tǒng)建立操作程序，其內(nèi)容包括但不限于： 1)系統(tǒng)重啟、備份和恢復(fù)的措施 2)一般性錯(cuò)誤處理的操作指南 3)技術(shù)支持人員的聯(lián)系方法 4)與其它系統(tǒng)的依賴性和處理的優(yōu)先級(jí) 5)硬件的配臵管理 第81條 操作程序必須征得管理者的同意才能對其進(jìn)行修改。程序內(nèi)容包括但不限于∶ 1)識(shí)別和記錄變更請求 2)評估變更的可行性、變更計(jì)劃和可能帶來的潛在影響 3)變更的測試 4)審批的流程 5)明確變更失敗的恢復(fù)計(jì)劃和責(zé)任人 6)變更的驗(yàn)收 第83條 重要變更必須制定計(jì)劃，并在測試環(huán)境下進(jìn)行足夠的測試后，才能在生產(chǎn)系統(tǒng)中實(shí)施。所有變更必須獲得授權(quán)和批準(zhǔn)，變更的申請和審批不得為同一個(gè)員工。變更在實(shí)施前必須通知到相關(guān)人員。在生產(chǎn)系統(tǒng)安裝或更新軟件前，必須對系統(tǒng)進(jìn)行備份。 第85條 必須對變更進(jìn)行復(fù)查，以確保變更沒有對原來的系統(tǒng)環(huán)境造成破壞。變更的記錄應(yīng)至少每月復(fù)查一次。同一處理過程中的重要任務(wù)不應(yīng)該由同一個(gè)人來完成，以防止欺詐和誤操作的發(fā)生。無法采取職責(zé)分離時(shí)，必須采取其它的控制，比如活動(dòng)監(jiān)控、審核跟蹤評估以及管理監(jiān)督等。如果開發(fā)人員需要訪問生產(chǎn)系統(tǒng)，必須經(jīng)過運(yùn)營人員的授權(quán)和管理。開發(fā)人員不得在生產(chǎn)環(huán)境中更改編碼或操作生產(chǎn)系統(tǒng)。開發(fā)和測試環(huán)境使用的測試數(shù)據(jù)不能包含有敏感信息。必須根據(jù)事件的嚴(yán)重程度，定義響應(yīng)的范圍、時(shí)間和完成事件處理的時(shí)間。 第92條 所有事件報(bào)告必須記錄歸檔，并由部門主管或指定人員妥善保管。 第三方服務(wù)交付管理 服務(wù)交付 第93條 第三方提供的服務(wù)必須滿足安全管理制度的要求。 第94條 必須保留第三方提供的服務(wù)、報(bào)告和記錄并定期評審，至少每半年一次。 第三方服務(wù)的變更管理 第95條 服務(wù)改變時(shí)，必須重新對服務(wù)是否滿足安全管理辦法進(jìn)行評估。 針對惡意軟件的保護(hù)措施 對惡意軟件的控制 第96條 必須建立一套病毒防治體系，以便防止病毒對公司帶來的影響。所有存進(jìn)計(jì)算機(jī)的信息（例如接收到的郵件、下載的文件等）都必須經(jīng)過病毒掃描。 第97條 所有員工都應(yīng)該接受防病毒知識(shí)的培訓(xùn)和指導(dǎo)。 第99條 必須定期審核控制惡意軟件措施的有效性。在病毒沒有被徹底清除之前，嚴(yán)禁將其重新連接到網(wǎng)絡(luò)上。系統(tǒng)在重大變更之前和之后必須進(jìn)行備份。備份管理辦法必須至少每季度進(jìn)行一次復(fù)查，以確保沒有發(fā)生未授權(quán)或意外的更改。備份資料和相應(yīng)的恢復(fù)操作手冊必須定期傳送到異地進(jìn)行保存。 第103條 必須對異地保存的備份信息實(shí)施安全保護(hù)措施，其保護(hù)標(biāo)準(zhǔn)應(yīng)和主站點(diǎn)相一致。必須定期檢查和測試恢復(fù)步驟，確保它們的有效性。 網(wǎng)絡(luò)管理 網(wǎng)絡(luò)控制 第104條 網(wǎng)絡(luò)管理和操作系統(tǒng)管理的職責(zé)應(yīng)該彼此分離，并由不同的員工承擔(dān)。只有得到許可的員工才能夠使用網(wǎng)絡(luò)管理系統(tǒng)。保護(hù)通過公網(wǎng)傳送敏感數(shù)據(jù)的機(jī)密性、完整性和可用性。任何準(zhǔn)備接進(jìn)網(wǎng)絡(luò)的新設(shè)備，在進(jìn)網(wǎng)前都必須通過協(xié)議兼容性的評估和安全檢查。所有網(wǎng)絡(luò)故障都必須向上級(jí)報(bào)告。除非得到授權(quán)，否則禁止訪問外部網(wǎng)絡(luò)的服務(wù)。存儲(chǔ)介質(zhì)上必須設(shè)臵標(biāo)簽，以標(biāo)識(shí)其類型和用途。標(biāo)識(shí)用的代碼需要記錄并歸檔。應(yīng)確保備有足夠的存儲(chǔ)介質(zhì)，以備使用。 第112條 存儲(chǔ)介質(zhì)的存放環(huán)境必須滿足介質(zhì)要求的環(huán)境條件（比如溫度、濕度、空氣質(zhì)量等）。應(yīng)該對介質(zhì)的壽命進(jìn)行管理，在介質(zhì)壽命結(jié)束前一年，將信息拷貝到新的介質(zhì)中。 第116條 所有報(bào)廢及過期的存儲(chǔ)介質(zhì)必須妥善銷毀。 第118條 應(yīng)根據(jù)介質(zhì)中信息的分類級(jí)別，采取相應(yīng)措施來保護(hù)介質(zhì)的輸出環(huán)境。含有敏感信息的文檔應(yīng)保存在安全的地方，未經(jīng)許可不得訪問。 信息交換 信息交換管理辦法和程序 第120條 必須根據(jù)信息的類型和保密級(jí)別，定義信息在交換過程中應(yīng)遵循的安全要求。 第122條 未經(jīng)許可，公司內(nèi)部不允許安裝、使用無線通信設(shè)備。敏感信息帶出公司必須獲得直接領(lǐng)導(dǎo)或信息管理者的授權(quán)。 第125條 電話錄音系統(tǒng)應(yīng)該配臵密碼，以防非法訪問。 第127條 移動(dòng)通訊設(shè)備（比如手機(jī)，PDA等）不應(yīng)存儲(chǔ)公司敏感信息。應(yīng)使用可靠的傳輸工具或傳遞人，授權(quán)的傳遞人必須接受適當(dāng)監(jiān)管并進(jìn)行其身份的檢查。 第130條 存放介質(zhì)的容器在運(yùn)輸過程前必須密封。包裝應(yīng)該非常結(jié)實(shí)，確保介質(zhì)在運(yùn)輸過程中不受到損壞。 第133條 電子郵件內(nèi)的信息必須根據(jù)其信息分類的安全要求去處理和保護(hù)。必須對Internet屏蔽郵件系統(tǒng)的內(nèi)網(wǎng)IP地址。所有在公司的郵件系統(tǒng)上產(chǎn)生及存儲(chǔ)的郵件都是公司資產(chǎn)。未經(jīng)授權(quán)，嚴(yán)禁使用公司以外的郵箱處理公司業(yè)務(wù)。 業(yè)務(wù)信息系統(tǒng) 第135條 在業(yè)務(wù)系統(tǒng)進(jìn)行信息共享時(shí)，必須保證信息的完整性、可用行和保密性。 電子商務(wù)服務(wù) 電子商務(wù) 第136條 必須采取適當(dāng)措施，保證電子交易過程的機(jī)密性、完整性和可用性。在電子商務(wù)的協(xié)議中，必須明確欺詐行為和未能交付的責(zé)任。身份驗(yàn)證技術(shù)必須滿足業(yè)務(wù)的實(shí)際要求。 第140條 應(yīng)該使用加密、電子證書、數(shù)字簽名等技術(shù)保護(hù)電子商務(wù)安全。 第142條 在線交易中必須使用數(shù)字證書保護(hù)交易安全。在線交易必須使用安全的通訊協(xié)議。 第144條 在線交易必須遵守國家、地區(qū)和行業(yè)相關(guān)的法律法規(guī)。 第146條 信息的發(fā)布必須遵守國家法律法規(guī)的要求。信息在發(fā)布之前必須經(jīng)過核對，確認(rèn)其正確性和完整性。 監(jiān)控 日志 第147條 所有操作系統(tǒng)、應(yīng)用系統(tǒng)都必須具有并啟用日志記錄功能。 第150條 必須確保日志記錄功能在任何時(shí)候都能正常運(yùn)行。 第151條 除非特別聲明，所有日志都必須被分類為“機(jī)密”。 監(jiān)控系統(tǒng)的使用 第152條 不同的信息處理設(shè)備所要求的監(jiān)控等級(jí)應(yīng)該通過風(fēng)險(xiǎn)評估來決定，必須考慮下列要素： 1)系統(tǒng)的訪問； 2)所有特權(quán)操作； 3)未授權(quán)的訪問嘗試； 4)系統(tǒng)警報(bào)或故障。 日志信息保護(hù) 第154條 必須保證日志不能被修改或刪除，所有對于日志文件的訪問（如刪除、寫、讀或添加）嘗試都應(yīng)該有相應(yīng)記錄。只有授權(quán)的員工才能訪問并使用日志。 管理員和操作員日志