燃机热电有限公司信息管理规章制度汇编

1、信息安全管理制度琥珀（安吉）燃机热电有限公司2016.01.15 信息安全制度1 总则 第1条 为规范信息安全治理工作，加强过程治理和基础设施治理的风险分析及防范，建立安全责任制，健全安全内操纵度，保证信息系统的机密性、完整性、可用性，特制定本规定。 2 适用范围 第2条 本规定适用于琥珀（安吉）燃机热电有限公司各部门及生产现场。 3 治理对象 第3条 治理对象指组成计算机信息系统的系统、设备和数据等信息资产和人员的安全。要紧范围包括：人员安全、物理环境安全、资产识不和分类、风险治理、物理和逻辑访问操纵、系统操作与运行安全、网络通讯安全、信息加密与解密、应急与灾难恢复、软件研发与应用安全、机密

2、资源治理、第三方与外包安全、法律和标准的符合性、项目与工程安全操纵、安全检查与审计等。4 术语定义 DMZ：用于隔离内网和外网的区域，此区域不属于可信任的内网，也不是完全开放给因特网。 容量：分为系统容量和环境容量两方面。系统容量包括CPU、内存、硬盘存储等。环境容量包括电力供应、湿度、温度、空气质量等。 安全制度：与信息安全相关的制度文档，包括安全治理方法、标准、指引和程序等。 安全边界：用以明确划分安全区域，如围墙、办公大楼、网段等。 恶意软件：包括计算机病毒、网络蠕虫、木马、流氓软件、逻辑炸弹等。 备份周期：依照备份治理方法制定的备份循环的周期，一个备份周期的内容相当于一个完整的全备份。

3、 系统工具：能够更改系统及应用配臵的程序被定义为系统工具，如系统治理、维护工具、调试程序等。 消息验证：一种检查传输的电子消息是否有非法变更或破坏的技术，它能够在硬件或软件上实施。 数字签名：一种爱护电子文档真实性和完整性的方法。例如，在电子商务中能够使用它验证谁签署电子文档，并检查已签署文档的内容是否被更改。 信息处理设备：泛指处理信息的所有设备和信息系统，包括网络、服务器、个人电脑和笔记本电脑等。 不可抵赖性服务：用于解决交易纠纷中争议交易是否发生的机制。 电子化办公系统：包括电子邮件、OA系统以及用于业务信息传送及共享的企业内部网。 5 安全制度方面 5.1 安全制度要求 5.1.1 本

4、制度的诠释 第4条 所有带有“必须”的条款差不多上强制性的。除非事先得到安全治理委员会的认可，否则都要坚决执行。其它的条款则是强烈建议的，只要实际可行就应该被采纳。 第5条 所有职员都受本制度的约束，各部门领导有责任确保其部门已实施足够的安全操纵措施，以爱护信息安全。 第6条 各部门的领导有责任确保其部门的职员了解本安全治理制度、相关的标准和程序以及日常的信息安全治理。 第7条 安全治理代表（或其指派的人员）将审核各部门安全操纵措施实施的准确性和完整性，此过程是公司例行内部审计的一部分。 5.1.2 制度公布 第8条 所有制度在创建和更新后，必须通过相应治理层的审批。制度经批准之后必须通知所有

5、相关人员。 5.1.3 制度复审 第9条 当环境改变、技术更新或者业务本身发生变化时，必须对安全制度重新进行评审，并作出相应的修正，以确保能有效地爱护公司的信息资产。 第10条 安全治理委员会必须定期对本治理方法进行正式的复审，并依照复审所作的修正，指导相关职员采取相应的行动。6 组织安全方面 6.1 组织内部安全 6.1.1 信息安全体系治理 第11条 公司成立安全治理委员会，安全治理委员会是公司信息安全治理的最高决策机构，安全治理委员会的成员应包括公司要紧治理人、生产技术治理部负责人、公司安全审计负责人、公司计算机治理员、操作员等。 第12条 信息安全治理代表由信息安全治理委员会指定，一般

6、应包含安全稽核岗、信息治理部信息安全相关岗位。 第13条 安全治理委员会通过清晰的方向、可见的承诺、详细的分工，积极地支持信息安全工作，要紧包括以下几方面： 1)确定信息安全的目标符合公司的要求和相关制度； 2)阐明、复查和批准信息安全治理制度； 3)复查信息安全治理制度执行的有效性； 4)为信息安全的执行提供明确的指导和有效的支持； 5)提供信息安全体系运作所需要的资源 6)为信息安全在公司执行定义明确的角色和职责； 7)批准信息安全推广和培训的打算和程序； 8)确保信息安全操纵措施在公司内被有效的执行。 第14条 安全治理委员会需要对内部或外部信息安全专家的建议进行评估，并检查和调整建议在

7、公司内执行的结果。 第15条 必须进行信息安全治理会议，会议成员包括安全治理委员会、安全治理代表和其他相关的公司高层治理人员。 第16条 信息安全治理会议必须每年定期进行，讨论和审批信息安全相关事宜，具体包括以下内容: 1)复审本治理制度的有效性；2)复审技术变更带来的阻碍； 3)复审安全风险； 4)审批信息安全措施及程序； 5)审批信息安全建议； 6)确保任何新项目规划已考虑信息安全的需求； 7)复审安全检查结果和安全事故报告； 8)复审安全操纵实施的效果和阻碍； 9)宣导和推行公司高层对信息安全治理的指示。 6.1.2 信息安全职责分配 信息治理部门作为信息安全治理部门，负责信息安全治理策

8、略制定及实施，其要紧职责： （一）负责全公司信息安全治理和指导； （二）牵头制订全公司信息安全体系规范、标准和检查指引，参与我司信息系统工程建设的安全规划； （三）组织全公司安全检查； （四）配合全公司安全审计工作的开展； （五）牵头组织全公司安全治理培训； （六）负责全公司安全方案的审核和安全产品的选型、购臵。 （七）依据本规定、安全规范、技术标准、操作手册实施各类安全策略。 （八）负责各类安全策略的日常维护和治理。 各分公司信息治理部门作为信息安全治理部门，其要紧职责： （一）依照本规定、信息安全体系规范、标准和检查指引，组织建立安全治理流程、手册； （二）组织实施内部安全检查； （三）组

9、织安全培训； （四）负责机密信息和机密资源的安全治理； （五）负责安全技术产品的使用、维护、升级； （六）配合安全审计工作的开展； （七）定期上报本单位信息系统安全情况，反馈安全技术和治理的意见和建议。 （八）依据本规定、安全规范、技术标准、操作手册实施各类安全策略。 （九）负责各类安全策略的日常维护和治理。 6.1.3 信息处理设备的授权 第19条 新设备的采购和设备部署的审批流程应该充分考虑信息安全的要求。 第20条 新设备在部署和使用之前，必须明确其用途和使用范围，并获得安全治理委员会的批准。必须对新设备的硬件和软件系统进行详细检查，以确保它们的安全性和兼容性。 第21条 除非获得安全治

10、理委员会的授权，否则不同意使用私人的信息处理设备来处理公司业务信息或使用公司资源。 6.1.4 独立的信息安全审核 第22条 必须对公司信息安全操纵措施的实施情况进行独立地审核，确保公司的信息安全操纵措施符合治理制度的要求。审核工作应由公司的审计部门或专门提供此类服务的第三方组织负责执行。负责安全审核的人员必须具备相应的技能和经验。 第23条 独立的信息安全审核必须每年至少进行一次。 6.2 第三方访问的安全性 6.2.1 明确第三方访问的风险 第24条 必须对第三方对公司信息或信息系统的访问进行风险评估，并进行严格操纵，相关操纵须考虑物理上和逻辑上访问的安全风险。只有在风险被消除或降低到可同

11、意的水平常才同意其访问。 第25条 第三方包括但不限于： 1) 硬件和软件厂商的支持人员和其他外包商 2) 监管机构、外部顾问、外部审计机构和合作伙伴 3) 临时职员、实习生 4) 清洁工和保安 5) 公司的客户 第26条 第三方对公司信息或信息系统的访问类型包括但不限于： 1) 物理的访问，例如：访问公司机房、监控中心等； 2) 逻辑的访问，例如：访问公司的数据库、信息系统等； 3) 与第三方之间的网络连接，例如：固定的连接、临时的远程连接； 第27条 第三方所有的访问申请都必须通过信息安全治理代表的审批，只提供其工作所须的最小权限和满足其工作所需的最少资源，同时需要定期对第三方的访问权限进

12、行复查。第三方对重要信息系统或地点的访问和操作必须有相关人员陪同。 第28条 公司负责与第三方沟通的人员必须在第三方接触公司信息或信息系统前，主动告知第三方的职责、义务和需要遵守的规定，第三方必须在清晰并同意后才能接触相应信息或信息系统。所有对第三方的安全要求必须包含在与其签订的合约中。 6.2.2 当与客户接触时强调信息安全 第29条 必须在同意客户访问信息或信息系统前识不并告知其需要遵守的安全需求。采取相应的爱护措施爱护客户访问的信息或信息系统。 6.2.3 与第三方签订合约的安全要求 第30条 与第三方合约中应包含必要的安全要求，如：访问、处理、治理公司信息或信息系统的安全要求。7 信息

13、资产与人员安全 7.1 资产责任 7.1.1 资产的清单 第31条 应清晰识不所有的资产，所有与信息相关的重要资产都应该在资产清单中标出，并及时维护更新。这些资产包括但不限于 1)信息：数据库和数据文件、系统文档、用户手册、培训材料、操作手册、业务连续性打算、系统恢复打算、备份信息和合同等。 2)软件：应用软件、系统软件、开发工具以及有用工具等。 3)实体：计算机设备（处理器、显示器、笔记本电脑、调制解调器等）、通讯设备（路由器、程控电话交换机、传真机等）、存储设备、磁介质（磁带和磁盘等）、其它技术设备（电源、空调器等）、机房等。 4)服务：通讯服务（专线）。 第32条 资产清单必须每年至少审

14、核一次。在购买新资产之前必须进行安全评估。资产交付后，资产清单必须更新。资产的风险评估必须每年至少一次，要紧评估当前已部署安全操纵措施的有效性。 第33条 实体资产需要贴上适当的标签。 7.1.2 资产的治理权 第34条 所有资产都应该被详细讲明，必须指明具体的治理者。治理者能够是个人，也能够是某个部门。治理者是部门的资产则由部门主管负责监护。 第35条 资产治理者的职责是： 1)确定资产的保密等级分类和访问治理方法； 2)定期复查资产的分类和访问治理方法。 7.1.3 资产的合理使用 第36条 必须识不信息和信息系统的使用准则，形成文件并实施。使用准则应包括： 1)使用范围 2)角色和权限

15、3)使用者应负的责任 4)与其他系统交互的要求 第37条 所有访问信息或信息系统的职员、第三方必须清晰要访问资源的使用准则，并承担他们的责任。公司的所有信息处理设备（包括个人电脑）只能被使用于工作相关的活动，不得用来炒股、玩游戏等。滥用信息处理设备的职员将受到纪律处分。 7.2 信息分类 7.2.1 信息分类原则 第38条 所有信息都应该依照其敏感性、重要性以及业务所要求的访问限制进行分类和标识。 第39条 信息治理者负责信息的分类，并对其进行定期检查，以确保分类的正确。当信息被公布到公司外部，或者通过一段时刻后信息的敏感度发生改变时，信息需要重新分类。 第40条 信息的保密程度从高到低分为绝

16、密、机密、秘密和非保密四种等级。以电子形式保存的信息或治理信息资产的系统，需依照信息的敏感度进行标识。含有不同分类信息的系统，必须按照其中的最高保密等级进行分类。 7.2.2 信息标记和处理 第41条 必须建立相应的保密信息处理规范。关于不同的保密等级，应明确讲明如下信息活动的处理要求： 1)复制 2)保存和保管（以物理或电子方式） 3)传送（以邮寄、传真或电子邮件的方式） 4)销毁 第42条 电子文档和系统输出的信息（打印报表和磁带等）应带有适当的信息分类标记。关于打印报表，其保密等级应显示在每页的顶端或底部。 第43条 将保密信息发送到公司以外时，负责传送信息的工作人员应在分发信息之前，先

17、告知对方文档的保密等级及其相应的处理要求。 7.3 人员安全 7.3.1 信息安全意识、教育和培训 第44条 所有公司职员和第三方人员必须同意包括安全性要求、信息处理设备的正确使用等内容的培训，并应该及时了解和学习公司对安全治理制度和标准的更新。 第45条 应该至少每年向职员提供一次安全意识培训，其内容包括但不限于： 1)安全治理委员会下达的安全治理要求 2)信息保密的责任 3)一般性安全守则 4)信息分类 5)安全事故报告程序 6)电脑病毒爆发时的应对措施 7)灾难发生时的应对措施 第46条 应该对系统治理员、开发人员进行安全技能方面的培训，至少每年一次。职员和第三方人员在开始工作后90天内

18、，必须进行技术和安全方面的培训。 第47条 灾难恢复演习应至少每年进行一次。 7.3.2 惩戒过程 第48条 违反公司安全治理制度、标准和程序的职员将受到纪律处分。在对信息安全事件调查结束后，必须对事件中的相关人员依照公司的惩戒规定进行处罚。纪律处分包括但不限于： 1) 通报批判 2) 警告 3) 记过 4) 解除劳动合同 5) 法律诉讼 第49条 当职员在同意可能涉及解除劳动合同和法律诉讼的违规调查时，其直接领导应暂停受调查职员的工作职务和其访问权限，包括物理访问、系统应用访问和网络访问等。职员在同意调查时能够陈述观点，提出异议，并有进一步申诉的权力。 7.3.3 资产归还 第50条 在终止

19、雇佣、合同或协议时，所有职员及第三方人员必须归还所使用的全部公司资产。需要归还的资产包括但不限于： 1) 帐号和访问权限 2) 公司的电子或纸质文档 3) 公司购买的硬件和软件资产 4) 公司购买的其他设备 第51条 假如在非公司资产上保存有公司的资产，必须在带出公司前归还或删除公司的资产。 7.3.4 删除访问权限 第52条 在终止或变更雇佣、合同、协议时，必须删除所有职员及第三方人员对信息和信息系统的访问权限，或依照变更进行相应的调整。所有删除和调整操作必须在最后上班日之前完成。 第53条 关于公用的资源，必须进行及时的调整，比如：公用的帐号必须立即更改密码。 第54条 在差不多确定职员或

20、第三方终止或变更意向后，必须及时对他们的权限进行限制，只保留终止或变更所需要的权限。8 物理和环境安全方面 8.1 安全区域 8.1.1 物理安全边界 第55条 在公司的物理环境里，应该对需要爱护的区域依照其重要性划分为不同的安全区域。特不是有重要设备的安全区域（比如机房）应该部署相应的物理安全操纵。 第56条 在机房的统一入口处必须设立有专人值守的接待区域，在特不重要的安全区域也应该设立类似的接待区域。 第57条 在非办公时刻内，重要的安全区域必须安排保安定时巡视。任何时候，机房必须至少有一位保安值班。 保安值班表应最少每月调整一次。 8.1.2 安全区域访问操纵 第58条 在非办公时刻，所

21、有进入安全区域的入口都应该受到操纵，比如实施电子门禁或者上锁。任何时候，重要安全区域的所有出入口必须受到严格的访问操纵，确保只有授权的职员才能够进入此区域。 第59条 关于设有访问操纵的安全区域，必须定期审核并及时更新其访问权限。所有职员都必须佩戴一个身份识不通行证，有责任确保通行证的安全并不得转借他人。职员离职时必须交还通行证，同时取消其所有访问权限。 第60条 所有来宾的有关资料都必须详细记载在来宾进出登记表中，并向获准进入的来宾发放来宾通行证。同时，必须有相应的程序以确保回收所发放的来宾通行证。来宾进出登记表必须至少保留1年，记录内容应包括但不限于： 1)来宾姓名 2)来宾身份 3)来宾

22、工作单位 4)来访事由 5)负责接待的职员 6)来宾通行证号码 7)进入的日期和时刻 8)离开的日期和时刻 8.1.3 办公场所和设施安全 第61条 放臵敏感或重要设备的区域（例如机房）应尽量不引人注目，给不处的信息应尽量最少，不应该有明显的标志指明敏感区域的所在位臵和用途。这些区域还应该被给予相应的爱护，爱护措施包括但不限于： 1)所有出入口必须安装物理访问操纵措施 2)使用来宾登记表以便记录来访信息 3)严禁吸烟 第62条 必须对支持关键性业务活动的设备提供足够的物理访问操纵。所有安全区域和出入口必须通过闭路电视进行监控。一般会议室或其它公众场合必须与安全区域隔离开来。无人值守的时候，办公

23、区中的信息处理设备必须从物理上进行爱护。门和窗户必须锁好。 8.1.4 防范外部和环境威胁 第63条 办公场所和机房的设计和建设必须充分考虑火灾、洪水、地震、爆炸、骚乱等天灾或人为灾难，并采取额外的操纵措施加以爱护。 第64条 机房必须增加额外的物理操纵，选取的场地应尽量安全，并尽可能幸免受到灾难的阻碍。机房必须有防火、防潮、防尘、防盗、防磁、防鼠等设施。 第65条 机房建设必须符合国标GB2887-89计算机场地技术条件和GB9361-88计算站场地安全要求中的要求。 第66条 机房的消防措施必须满足以下要求： 1) 必须安装消防设备，并定期检查。 2) 应该指定消防指挥员。 3) 机房内严

24、禁存放易燃材料，每周例行检查一次。 4) 必须安装烟感及其他火警探测器和灭火装臵。应每季度定期检查这些装备，确保它们能有效运作。 5) 必须在明显位臵张贴火灾逃生路线图、灭火设备平面放臵图以及安全出口的位臵。 6) 安全出口必须有明显标识。 7) 应该训练职员熟悉使用消防设施。 8) 紧急事件发生时必须提供紧急照明。 9) 所有疏散路线都必须时刻保持通畅。 10)必须保证防火门在火灾发生时能够开启。 11)每年应至少进行一次火灾撤离演习，使工作人员熟知火灾撤离的过程。 8.1.5 在安全区域工作 第67条 职员进入机房的访问授权，不能超过其工作所需的范围。必须定期检查访问权限的分配并及时更新。

25、机房的访问权限应不同于进入大楼其它区域的权限。 第68条 所有需要进入机房的来宾都必须提早申请。必须维护和及时更新来宾记录，以掌握来宾进入机房的详细情况。记录中应详细讲明来宾的姓名、进入与离开的日期与时刻，申请者以及进入的缘故。机房来宾记录至少保存一年。来宾必须得到明确许可后，在专人陪同下才能进入机房。 第69条 机房的爱护应在专家的指导下进行，必须安装合适的安全防护和检测装臵。机房内严禁吸烟、饮食和拍摄。 8.1.6 机房操作日志 第70条 必须记录机房治理员的操作行为，以便其行为能够追踪。操作记录必须备份和维护并妥善保管，防止被破坏。 第71条 在机房值班人员交接时，上一班值班人员所遗留的

26、问题以及从事的工作应明确交待给下一班，保证相关操作的连续性。 8.2 设备安全 8.2.1 设备的安置及爱护 第72条 必须对设备实施安全操纵，以减少环境危害和非法的访问。应该考虑的因素包括但不限于： 1) 水、火 2) 烟雾、灰尘 3) 震动 4) 化学效应 5) 电源干扰、电磁辐射 第73条 设备必须放臵在远离水灾的地点，并依照需要考虑安装漏水警报系统。 应急开关如电闸、煤气开关和水闸等都必须清晰地做好标识，同时能容易访问。 设备都应该装有合适的漏电保险丝或断路器进行爱护。 放臵设备的区域必须满足厂商提供的设备环境要求。 设备的操作必须遵守厂商提供的操作规范。 通信线路和电缆必须从物理上进

27、行爱护。 8.2.2 支持设施 支持设施能够支持物理场所、设备等的正常运作，比如：电力设施、空调、排水设施、消防设施、静电爱护设施等。必须采取爱护措施使设备免受电源故障或电力异常的破坏。必须验证电力供应是否满足厂商设备对电源的要求。每年应至少对支持设施进行一次安全检查。工作环境中增加新设备时，必须对电力、空调、地板等支持设施的负荷进行审核。必须设臵后备电源，例如不间断电源（UPS）或发电机。对需要配备后备电源的设备装臵进行审核，确保后备电源能够满足这些设备的正常工作。每年必须至少对备用电源/进行一次测试。应急电源开关应位于机房的紧急出口附近，以便紧急状况发生时能够迅速切断电源。电缆应依照供电电

28、压和频率的不同而相互隔离。所有电缆都应带有标签，标签上的编码应记录归档。电缆应从物理上加以爱护。 8.2.3 设备维护 第75条 所有生产设备必须有足够的维护保障，关键设备必须提供7x24的现场维护支持。所有生产设备必须定期进行预防性维护。只有通过批准的、受过专业培训的工作人员才能进行维护工作。设备的所有维护工作都应该记录归档。假如设备需要搬离安全区域进行修理，必须获得批准并卸载其存储介质。 第76条 必须建立设备故障报告流程。关于需要进行重大维修的设备，流程还应该包含设备检修的报告，及换用备用设备的流程。 8.2.4 管辖区域外设备安全 第77条 笔记本电脑用户必须爱护好笔记本电脑的安全，防

29、止笔记本电脑损坏或被偷窃。 第78条 假如将设备带出公司，设备拥有者必须亲自或指定专人爱护设备的安全。设备拥有者必须对设备在公司场所外的安全负责。 8.2.5 设备的安全处理或再利用 第79条 再利用或报废之前，设备所含有的所有存储装臵（比如硬盘等）都必须通过严格检查，确保所有敏感数据和软件已被删除或改写，同时不可能被恢复。应该通过风险评估来决定是否完全销毁、送修依旧丢弃含有敏感数据的已损坏设备。 9 通信和操作治理方面 9.1 操作程序和职责 9.1.1 规范的操作程序 第80条 必须为所有的业务系统建立操作程序，其内容包括但不限于： 1)系统重启、备份和恢复的措施 2)一般性错误处理的操作

30、指南 3)技术支持人员的联系方法 4)与其它系统的依靠性和处理的优先级 5)硬件的配臵治理 第81条 操作程序必须征得治理者的同意才能对其进行修改。操作程序必须及时更新，更新条件包括但不限于： 1)应用软件的变更 2)硬件配臵的变更 9.1.2 变更操纵 第82条 必须建立变更治理程序来操纵系统的变更，所有变更都必须遵守变更治理程序的要求。程序内容包括但不限于 1)识不和记录变更请求 2)评估变更的可行性、变更打算和可能带来的潜在阻碍 3)变更的测试 4)审批的流程 5)明确变更失败的恢复打算和责任人 6)变更的验收 第83条 重要变更必须制定打算，并在测试环境下进行足够的测试后，才能在生产系

31、统中实施。所有变更必须包括变更失败的应对措施和恢复打算。所有变更必须获得授权和批准，变更的申请和审批不得为同一个职员。对变更需要涉及的硬件、软件和信息等对象都应标识出来并进行相应评估。变更在实施前必须通知到相关人员。 第84条 变更的实施应该安排在对业务阻碍最小的时刻段进行，尽量减少对业务正常运营的阻碍。在生产系统安装或更新软件前，必须对系统进行备份。变更完成后，相关的文档（如系统需求文档、设计文档、操作手册、用户手册等）必须得到更新，旧的文档必须进行备份。 第85条 必须对变更进行复查，以确保变更没有对原来的系统环境造成破坏。必须完整记录整个变更过程，并将其妥善保管。变更的记录应至少每月复查

32、一次。 9.1.3 职责分离 第86条 系统治理员和系统开发人员的职责必须明确分开。同一处理过程中的重要任务不应该由同一个人来完成，以防止欺诈和误操作的发生。 第87条 所有职责分离的操纵必须记录归档，作为责任分工的依据。无法采取职责分离时，必须采取其它的操纵，比如活动监控、审核跟踪评估以及治理监督等。 9.1.4 开发、测试和生产系统分离 第88条 不应给开发人员提供超过其开发所需范围的权限。假如开发人员需要访问生产系统，必须通过运营人员的授权和治理。 第89条 生产、测试和开发应分不使用不同的系统环境。开发人员不得在生产环境中更改编码或操作生产系统。不得在生产系统上擅自安装开发工具（比如编

33、译程序及其他系统公用程序等），并做好已有开发工具的访问操纵。开发和测试环境使用的测试数据不能包含有敏感信息。 9.1.5 事件治理程序 第90条 必须建立事件治理程序，并依照事件阻碍的严峻程度制订其所属类不，同时讲明相应的处理方法和负责人。必须依照事件的严峻程度，定义响应的范围、时刻和完成事件处理的时刻。 第91条 系统的修复必须得到系统治理者的批准方可执行。 第92条 所有事件报告必须记录归档，并由部门主管或指定人员妥善保管。必须对事件的处理情况进行监控，对超时的处理提出改进建议并跟进改进效果。 9.2 第三方服务交付治理 9.2.1 服务交付 第93条 第三方提供的服务必须满足安全治理制度

34、的要求。第三方提供的服务必须满足公司业务连续性的要求。 第94条 必须保留第三方提供的服务、报告和记录并定期评审，至少每半年一次。评审内容应包括：1) 服务内容和质量是否满足合同要求； 2) 服务报告是否真实。 9.2.2 第三方服务的变更治理 第95条 服务改变时，必须重新对服务是否满足安全治理方法进行评估。在服务变更时需要考虑： 1) 服务价格的增长； 2) 新的服务需求； 3) 公司信息安全治理制度的变化； 4) 公司在信息安全方面新的操纵。 9.3 针对恶意软件的爱护措施 9.3.1 对恶意软件的操纵 第96条 必须建立一套病毒防治体系，以便防止病毒对公司带来的阻碍。所有服务器、个人电

35、脑和笔记本电脑都应该安装公司规定的防病毒软件，并及时更新防病毒软件。所有存进计算机的信息（例如接收到的邮件、下载的文件等）都必须通过病毒扫描。职员和第三方厂商从外界带来的存储介质在使用之前必须进行病毒扫描。 第97条 所有职员都应该同意防病毒知识的培训和指导。 第98条 公司内发觉的病毒、计算机或应用程序的异常行为，都必须作为安全事件进行报告。 第99条 必须定期审核操纵恶意软件措施的有效性。一旦发觉感染病毒，必须赶忙把机器从网络中断开。在病毒没有被完全清除之前，严禁将其重新连接到网络上。 9.4 备份 9.4.1 信息备份 第100条 所有服务器、个人电脑和笔记本电脑必须依照业务需求定期进行

36、备份。系统在重大变更之前和之后必须进行备份。 第101条 备份治理方法必须获得治理层的审批以确保符合业务需求。备份治理方法必须至少每季度进行一次复查，以确保没有发生未授权或意外的更改。 第102条 应该保留多于1个备份周期的备份，但重要业务信息应至少保留3个备份周期的备份。备份资料和相应的恢复操作手册必须定期传送到异地进行保存。异地必须与主站点有一定的距离，以幸免受主站点的灾难波及。 第103条 必须对异地保存的备份信息实施安全爱护措施，其爱护标准应和主站点相一致。必须定期测试备份介质，确保其可用性。必须定期检查和测试恢复步骤，确保它们的有效性。备份系统必须进行监控，以确保其稳定性和可用性。

37、9.5 网络治理 9.5.1 网络操纵 第104条 网络治理和操作系统治理的职责应该彼此分离，并由不同的职员承担。必须明确定义网络治理的职责和义务。只有得到许可的职员才能够使用网络治理系统。 第105条 必须建立相应的操纵机制，爱护路由表和防火墙安全治理方法等网络参数的完整性。爱护通过公网传送敏感数据的机密性、完整性和可用性。 第106条 进行网络协议兼容性的评估时应考虑今后新增网络设备的要求。任何预备接进网络的新设备，在进网前都必须通过协议兼容性的评估和安全检查。 第107条 必须对网络进行监控和治理。所有网络故障都必须向上级报告。 第108条 必须建立互联网的访问治理方法。除非得到授权，否

38、则禁止访问外部网络的服务。 9.6 介质的治理 9.6.1 可移动介质的治理 第109条 可移动计算机存储介质（比如磁带、光盘等）必须有适当的访问操纵。存储介质上必须设臵标签，以标识其类型和用途。标签应使用代码，以幸免直接标识存储介质上的内容。标识用的代码需要记录并归档。 第110条 必须建立和维护介质清单，并对介质的借用和归还进行记录。应确保备有足够的存储介质，以备使用。 第111条 存放在存储介质内的绝密和机密信息必须受到妥善爱护。 第112条 存储介质的存放环境必须满足介质要求的环境条件（比如温度、湿度、空气质量等）。 第113条 备份介质必须存储在防火柜中。应该对介质的寿命进行治理，在

39、介质寿命结束前一年，将信息拷贝到新的介质中。 9.6.2 介质的销毁 第114条 应建立存储介质的报废规范，包括但不限于： 1)纸质文档 2)语音资料及其他录音带 3)复写纸 4)磁带 5)磁盘 6)光存储介质 第115条 所有可不能被再利用的敏感文档都必须依照定义的信息密级采取适当的方式进行销毁。 第116条 所有报废及过期的存储介质必须妥善销毁。 9.6.3 信息处理程序 第117条 介质的信息分类，必须采纳存放信息中的最高保密等级。 第118条 应依照介质中信息的分类级不，采取相应措施来爱护介质的输出环境。 9.6.4 系统文档的安全 第119条 存取含有敏感信息的文档，必须获得相应文档

40、治理者的批准。含有敏感信息的文档应保存在安全的地点，未经许可不得访问。含有敏感信息的文档通过内部网等提供访问的，应采纳访问操纵加以爱护。 9.7 信息交换 9.7.1 信息交换治理方法和程序 第120条 必须依照信息的类型和保密级不，定义信息在交换过程中应遵循的安全要求。 第121条 所有职员和第三方人员都必须遵守公司的信息交换治理方法。 第122条 未经许可，公司内部不同意安装、使用无线通信设备。 第123条 使用加密技术爱护信息的保密性、完整性和真实性。敏感信息带出公司必须获得直接领导或信息治理者的授权。 第124条 必须建立操纵机制来爱护利用音频、传真和视频通信设备进行交换的信息。 第1

41、25条 电话录音系统应该配臵密码，以防非法访问。 第126条 在使用传真机中已存储的号码时，传真之前必须验证号码。 第127条 移动通讯设备（比如手机，PDA等）不应存储公司敏感信息。 9.7.2 交换协议 第128条 跟外界进行信息和软件交换必须签署协议，其内容必须包括： 1)发送方和接收方的责任 2)明确发送和接收的方式 3)制定信息封装和传输的技术标准 4)数据丢失的相关责任 5)声明信息的保密级不和爱护要求 6)声明信息和软件的所有权、版权和其他相关因素 9.7.3 物理介质传输 第129条 必须建立传输存储介质的安全标准。应使用可靠的传输工具或传递人，授权的传递人必须同意适当监管并进

42、行其身份的检查。应确保敏感信息的机密性、完整性和可用性在传输全程中受到爱护。 第130条 存放介质的容器在运输过程前必须密封。信息分类不应该标识在容器的不处。包装应该特不结实，确保介质在运输过程中不受到损坏。 9.7.4 电子消息 第131条 电子化办公系统必须建立相应的治理方法和操纵机制，并阐明下列内容： 1)确定不能被共享的信息的类型或密级 2)系统用户的权限 3)系统的访问操纵 4)与系统相关的备份治理方法 第132条 除非获得安全治理委员会的授权，否则禁止使用公司以外的电子系统（比如BBS、MSN、QQ等）进行跟公司相关的活动。 第133条 电子邮件内的信息必须依照其信息分类的安全要求

43、去处理和爱护。用于连接外网的邮件网关必须安装防病毒软件，检查进出的电子邮件。必须对Internet屏蔽邮件系统的内网IP地址。 第134条 职员使用公司的邮件系统时只能进行与业务相关的活动。所有在公司的邮件系统上产生及存储的邮件差不多上公司资产。公司有权查看和监控所有邮件。未经授权，严禁使用公司以外的邮箱处理公司业务。所有对外发送的邮件都必须加上责任声明。 9.7.5 业务信息系统 第135条 在业务系统进行信息共享时，必须保证信息的完整性、可用行和保密性。必须保证重要信息在交换过程中的保密性。 9.8 电子商务服务 9.8.1 电子商务 第136条 必须采取适当措施，保证电子交易过程的机密性

44、、完整性和可用性。 第137条 电子商务的交易必须制定相关的交易声明，以明确注意事项和相关责任。在电子商务的协议中，必须明确欺诈行为和未能交付的责任。 第138条 电子交易必须设臵并维护适当的访问操纵。身份验证技术必须满足业务的实际要求。 第139条 必须保留并维护所有电子商务交易过程中的记录和日志。 第140条 应该使用加密、电子证书、数字签名等技术爱护电子商务安全。 9.8.2 在线交易 第141条 必须爱护在线交易信息，幸免不完整的传输、路由错误、未授权的消息更改、未授权的信息信息泄漏、复制和回复。 第142条 在线交易中必须使用数字证书爱护交易安全。交易中必须使用加密技术对所有通信内容

45、加密。在线交易必须使用安全的通讯协议。 第143条 在线交易信息必须保存在公司内部的存储环境，存储环境不能被从Internet直接访问。 第144条 在线交易必须遵守国家、地区和行业相关的法律法规。 9.8.3 公共信息 第145条 必须确保公共信息系统中信息的完整性，并防止非授权的修改。 第146条 信息的公布必须遵守国家法律法规的要求。通过信息公布系统向内部和公众公布的信息都必须通过公司相关部门的检查和审批。信息在公布之前必须通过核对，确认其正确性和完整性。必须对敏感信息的处理和存储过程进行爱护。 9.9 监控 9.9.1 日志 第147条 所有操作系统、应用系统都必须具有并启用日志记录功

46、能。 第148条 日志记录信息必须包括但不限于： 1)用户ID； 2)每项操作的日期和时刻（至少要精确到秒）； 3)来源的标识或位臵； 4)成功的系统访问尝试； 5)失败或被拒绝的系统访问尝试； 第149条 日志类型包括但不限于： 1)应用日志； 2)系统日志； 3)安全日志； 4)操作日志； 5)问题记录。 第150条 必须确保日志记录功能在任何时候都能正常运行。应该有机制监控日志的容量变化，在容量耗尽之前发出报警信息。 第151条 除非特不声明，所有日志都必须被分类为“机密”。日志应该定期复查，至少每月一次。 9.9.2 监控系统的使用 第152条 不同的信息处理设备所要求的监控等级应该通

47、过风险评估来决定，必须考虑下列要素： 1)系统的访问； 2)所有特权操作； 3)未授权的访问尝试； 4)系统警报或故障。 第153条 应每天定时监控网络（包括网络性能和网络故障），并依照产生的报告，对异常变化的网络流量，作进一步分析，以发觉潜在的网络安全问题。 9.9.3 日志信息爱护 第154条 必须保证日志不能被修改或删除，所有关于日志文件的访问（如删除、写、读或添加）尝试都应该有相应记录。 第155条 除非特不声明，日志必须至少保存1年。只有授权的职员才能访问并使用日志。必须采取操纵措施爱护日志的完整性。 9.9.4 治理员和操作员日志 第156条 系统治理员和操作员的操作必须被记录日志

48、。 第157条 日志记录应包括重要的操作，例如与用户治理相关的操作（用户帐号的创建、删除、权限设臵、修改）、与财务相关的操作等。 第158条 治理员和重要系统的操作员日志应该至少每周复查一次。关于重要的财务系统和业务系统每天都要复查。 9.9.5 故障日志 第159条 必须启动故障日志功能。 第160条 必须保证故障记录的跟进处理，确保问题得到完全解决，同时其纠正措施可不能带来新的安全问题。所有故障记录都应该向上级汇报并记录归档。 第161条 故障记录应妥善保管，防止被损坏，必要时应该进行备份。 9.9.6 时钟同步 第162条 所有系统应该使用时钟同步服务，并使用同一时钟源。 第163条 所

49、有系统中的时刻同意最多一分钟的偏差。 第164条 关于不能进行时钟同步的系统，必须对时刻进行每月一次的检查。 10 访问操纵方面 10.1 访问操纵要求 10.1.1 访问操纵治理方法 第165条 所有系统和应用都必须有访问操纵列表，由系统治理者明确定义访问操纵规则、用户和用户组的权限以及访问操纵机制。访问操纵列表应该进行周期性的检查以保证授权正确。 第166条 访问权限必须依照工作完成的最少需求而定，不能超过其工作实际所需的范围。必须按照“除非明确同意，否则一律禁止”的原则来设臵访问操纵规则。 第167条 所有访问操纵必须建立相应的审批程序，以确保访问授权的合理性和有效性。必须禁用或关闭任何

50、具有越权访问的功能。职员的职责发生变化或离职时，其访问权限必须作相应调整或撤销。 第168条 系统自带的默认帐号应该禁用或配臵密码进行爱护。 10.2 用户访问治理 10.2.1 用户注册 第169条 开放给用户访问的信息系统，必须建立正式的用户注册和注销程序。 第170条 所有用户的注册都必须通过用户注册程序进行申请，并得到部门领导或其托付者的批准。系统治理者对用户具有最终的授权决定权。必须保留和维护所有用户的注册信息的正式用户记录。 第171条 负责用户注册的治理员必须验证用户注册和注销请求的合法性。 第172条 每个用户必须被分配唯一的帐号，不同意共享用户帐号。用户一旦发觉其帐号异常，必

51、须立即通知负责用户注册的治理员进行处理。假如用户帐号连续120天没有使用，必须禁用该帐号。 第173条 帐号名不能透露用户的权限信息，比如治理员帐号不能带有Admin字样。 10.2.2 特权治理 第174条 必须建立正式的授权程序，以确保授权得到严格的评估和审批，并保证没有与系统和应用的安全相违背。 第175条 必须建立授权清单，记录和维护已分配的特权和其相对的用户信息。 10.2.3 用户密码治理 第176条 只有在用户身份被确认后，才同意对不记得密码的用户提供临时密码。 第177条 系统中统一治理帐号密码的模块保存的密码必须是加密的。 第178条 密码必须保密，不得与他人分享、放在源代码

52、内或写在没有爱护的介质上（如纸张）。 第179条 必须强制用户在第一次登录时修改密码。 第180条 系统应该设臵定期的密码修改治理方法，并限制至少最近3个旧密码的重用。 第181条 系统必须启用登录失败的限制功能，假如连续10次登录失败，系统应该自动锁定相关帐号。 第182条 在通过电话传送密码往常必须确认对方的身份。 第183条 禁止帐号和密码被一起传送，例如用同一封邮件传送帐号和密码。 第184条 所有系统都应该建立应急帐号，应急帐号资料必须放在密封的信封内妥善收藏，并操纵好信封的存取。必须记录所有应急帐号的使用情况，包括相关的人、时刻和缘故等。应急帐号的密码在使用后必须赶忙修改，然后把新

53、的密码装到信封里。 10.2.4 用户访问权限的检查 第185条 必须半年对注册用户的访问权限和系统特权进行一次复查，关键系统必须每三个月复查一次。此过程应该包括但不限于： 1)确认用户权限的有效性和合理性 2)找出所有异常帐号（如长时刻未使用和已离职人员的帐号等），进行分析并采取相应措施 第186条 必须对可疑的或不明确的访问权限进行调查，并作为安全事故进行报告。 10.3 用户的责任 10.3.1 密码的使用 第187条 用户必须对其帐号的安全和使用负责，不管在何种情况下，用户都不应该泄漏其密码。用户不应该使用纸张或未受爱护的电子形式保存密码。用户一旦怀疑其帐号密码可能受到损害，应该及时修

54、改密码。 第188条 用户在第一次使用帐号时，必须修改密码。用户必须至少每半年修改一次密码。特权帐号的密码必须至少每3个月修改一次。用于系统之间认证帐号的密码必须至少每半年修改一次。 第189条 除非有技术限制，密码应该至少包含8个字符。此8个字符必须包含数字和字母。 第190条 用户不应使用容易被推测的密码，例如字典中的单词、生日和电话号码等。前3次用过的密码不应该被重复使用。 第191条 密码不应该被保存于自动登录过程中，例如IE中的帐号自动保存。 10.3.2 清除桌面及屏幕治理方法 第192条 所有服务器和个人电脑都必须启用带有口令爱护的屏幕爱护程序，激活等待时刻应少于10分钟。 第1

55、93条 无人使用时，服务器、个人电脑和复印机等必须保持注销状态。 第194条 不能将机密和绝密信息资料遗留在桌面上，而应该依照信息的保密等级进行处理。 第195条 必须为信件收发区域以及无人看管的传真机设臵适当的爱护措施。 第196条 打印完敏感信息之后，必须确认信息已从打印队列中清除。 10.4 网络访问操纵 10.4.1 网络服务使用治理方法 第197条 必须建立授权程序来治理网络服务的使用。 第198条 应遵循业务要求中所讲明的访问操纵治理方法来限制访问。 第199条 所有系统都必须设臵访问操纵机制来防止未经授权的访问。 10.4.2 外部连接的用户认证 第200条 对公司系统进行远程访

56、问，必须建立适当的认证机制，采纳的机制应通过风险评估来决定。 第201条 通过拨号进行远程访问必须通过正式批准，并做好相关记录。 第202条 用于远程访问的调制解调器平常必须保持关闭，只有在使用的时候才能打开。 第203条 在公司外部进行远程办公，必须使用VPN进行连接。 第204条 与外部合作伙伴进行信息交换，应该使用专线进行连接。 10.4.3 远程诊断和配置端口的爱护 第205条 在不使用的时候，诊断端口应该被禁用或通过恰当的安全机制进行爱护。 第206条 假如第三方需要访问诊断端口，必须签订正式的协议。 第207条 对远程诊断端口的访问，必须建立正式的注册审批程序。访问者必须只被授予最

57、小的访问权限来完成诊断任务，同时必须得到认证。 第208条 所有远程的诊断访问必须事先申请并获得批准。 第209条 在远程诊断会话期间，必须记录所有执行的活动信息，包括时刻、执行者、执行动作和结果等。这些记录应该由系统治理员进行检查以确保访问者只执行了被授权的活动。 10.4.4 网络的划分 第210条 必须将网络划分为不同的区域，以提供不同级不的安全爱护，满足不同服务的安全需求。 第211条 关于重要的网络区域必须设臵访问操纵以隔离其他网络区域。 第212条 应该使用风险评估来决定每个区域的安全级不。 第213条 公司外部和内网之间应该建立一个DMZ。 10.4.5 网络连接的操纵 第214

58、条 公司以外的网络连接，在建立连接前必须对外部的接入环境进行评估，满足公司治理方法后才能接入。 第215条 所有网络端口必须进行限制，以防止非授权的电脑接入公司网络。限制要求至少应包括： 1)所有的端口默认差不多上关闭的，只有在通过正式批准后才能开通； 2)端口的关闭必须在职员离职和岗位变动流程中体现； 3)临时使用的端口或位臵变动，职员必须主动申请停用原有端口，开通新端口前必须先关闭原有端口。 第216条 必须将网络接口和接入设备绑定，假如需要更换接入的设备，必须通过部门经理的审批。 第217条 所有接入公司网络的主机必须通过公司的标准化安装。 第218条 公司必须设立一个单独的网络区域供非

59、公司标准化安装的电脑接入，此区域在网络上是完全封闭、独立的。 10.4.6 网络路由的操纵 第219条 路由访问操纵列表必须基于适当的源地址和目标地址检查机制。所有对外提供网络服务的网络地址必须进行地址转换。 第220条 所有重要服务器的治理端口必须通过指定的路径进行访问。 10.5 操作系统访问操纵 10.5.1 用户识不和认证 第221条 所有用户都应该被识不和认证。在每个系统上创建实名用户，系统登陆必须使用实名用户。假如因专门缘故不能使用实名用户登陆，必须通过安全治理委员会同意。 第222条 用户认证失败信息中，应该不显示具体的失败缘故。例如不能显示“帐号不存在”或“密码不正确”。 第2

60、23条 假如由于业务要求需要使用共享用户帐号，那么此共享帐号应该得到正式的批准并明文归档。 第224条 系统治理员和应用治理员必须使用不同的帐号。 第225条 所有使用帐号密码进行认证的系统，在帐号密码传送过程中，应该采纳加密爱护措施防止泄漏。 10.5.2 密码治理系统 第226条 系统应该强制用户在第一次成功登录后修改初始密码。修改密码时，系统必须提示用户确认新密码，以防止输入错误。不能明文显示输入的密码。 第227条 密码文件应该与应用系统数据分开存储。密码处理时必须使用单向加密。当密码接近失效期或者差不多过期时，系统应该提示或强制用户修改密码。 第228条 所有默认的密码都应当在软件安