信息安全策略

1、 第 PAGE 34页 共 NUMPAGES 34页第 PAGE 1页 共 NUMPAGES 34页信息安全全策略文档编号号编制审核批准发布日期期备注本公司对对本文件件资料享享受著作作权及其其它专属属权利，未经书书面许可可，不得得将该等等文件资资料（其其全部或或任何部部分）披披露予任任何第三三方，或或进行修修改后使使用。目录TOC o 1-2 h z u STRPERLINK l _Toc427163184 1.信信息资源源保密策策略 PAGEREF _Toc427163184 h 3 STRPERLINK l _Toc427163185 2.网网络访问问策略 PAGEREF _Toc4271

2、63185 h 4 STRPERLINK l _Toc427163186 3.访访问控制制策略 PAGEREF _Toc427163186 h 5 STRPERLINK l _Toc427163187 4.物物理访问问策略 PAGEREF _Toc427163187 h 6 STRPERLINK l _Toc427163188 5.供供应商访访问策略略 PAGEREF _Toc427163188 h 8 STRPERLINK l _Toc427163189 6.雇雇员访问问策略 PAGEREF _Toc427163189 h 10 STRPERLINK l _Toc427163190 7.设设

3、备及布布缆安全全策略 PAGEREF _Toc427163190 h 11 STRPERLINK l _Toc427163191 8.变变更管理理安全策策略 PAGEREF _Toc427163191 h 14 STRPERLINK l _Toc427163192 9.病病毒防范范策略 PAGEREF _Toc427163192 h 16 STRPERLINK l _Toc427163193 10.可移动动代码防防范策略略 PAGEREF _Toc427163193 h 17 STRPERLINK l _Toc427163194 11.信息备备份安全全策略 PAGEREF _Toc427163

4、194 h 18 STRPERLINK l _Toc427163195 12.网络配配置安全全策略 PAGEREF _Toc427163195 h 19 STRPERLINK l _Toc427163196 13.信息交交换策略 PAGEREF _Toc427163196 h 20 STRPERLINK l _Toc427163197 14.运输中中物理介介质安全全策略 PAGEREF _Toc427163197 h 21 STRPERLINK l _Toc427163198 15.电子邮邮件策略略 PAGEREF _Toc427163198 h 22 STRPERLINK l _Toc427

5、163199 16.信息安安全监控控策略 PAGEREF _Toc427163199 h 23 STRPERLINK l _Toc427163200 17.特权访访问管理理策略 PAGEREF _Toc427163200 h 25 STRPERLINK l _Toc427163201 18.口令控控制策略略 PAGEREF _Toc427163201 h 26 STRPERLINK l _Toc427163202 19.清洁桌桌面和清清屏策略略 PAGEREF _Toc427163202 h 28 STRPERLINK l _Toc427163203 20.互联网网使用策策略 PAGEREF

6、_Toc427163203 h 29 STRPERLINK l _Toc427163204 21.便携式式计算机机安全策策略 PAGEREF _Toc427163204 h 31 STRPERLINK l _Toc427163205 22.事件管管理策略略 PAGEREF _Toc427163205 h 32 STRPERLINK l _Toc427163206 23.个人信信息使用用策略 PAGEREF _Toc427163206 h 33 STRPERLINK l _Toc427163207 24.业务信信息系统统使用策策略 PAGEREF _Toc427163207 h 34 STRPE

7、RLINK l _Toc427163208 25.远程工工作策略略 PAGEREF _Toc427163208 h 35 STRPERLINK l _Toc427163209 26.安全开开发策略略 PAGEREF _Toc427163209 h 361信息资资源保密密策略发布部门门信息安全全小组生效时间间20166年111月011日介绍保密策略略是用于于为信息息资源用用户建立立限制和和期望的的机制。内部用用户不期期望信息息资源保保密。外外部用户户期望信信息资源源拥有完完整的保保密性，除了在在发生可可疑的破破坏行为为的情况况下。目 的该策略的的目的是是明确的的沟通信信息资源源用户的的信息服服务

8、保密密期望。适用范围围该策略适适用于使使用信息息资源的的所有人人员。术语定义义略信息资源保密策略在公司内内部保存存和控制制的电子子文件应应该公开开，并且且可以被被信息服服务人员员访问；为了管理理系统并并加强安安全，信信息 技技术部小小组可以以记录、评审，同时也也可以使使用其信信息资源源系统中中存储和和传递的的任何信信息。为为了达到到此目的的，信息息 技术术部小组组还可以以捕获任任何用户户活动，如拨号号号码以以及访问问的网站站；为了商业业目的，第三方方将信息息委托给给公司内内部保管管，那么么信息 技术部部小组的的所有工工作人员员都必须须尽最大大的努力力保护这这些信息息的保密密性和安安全性。对这些

9、些第三方方来说最最重要的的就是个个人消费费者，因因此消费费者的账账户数据据应该保保密，并并且对这这些数据据的访问问也应该该依据商商业需求求进行严严格限制制；用户必须须向适当当的管理理者报告告公司内内部计算算机安全全的任何何薄弱点点，可能能的误用用事故或或者相应应授权协协议的违违背情况况；在未经授授权或获获得明确确同意的的情况下下，用户户不可以以尝试访访问公司司内部系系统中包包含的任任何数据据或程序序。惩罚违背该策策略可能能导致：员工以以及临时时工被解解雇、合合同方或或顾问的的雇佣关关系终止止、实习习人员和和志愿者者失去继继续工作作的机会会、学生生被开除除；另外外， 这这些人员员还可能能遭受信信

10、息资源源访问权权以及公公民权的的损失，甚至遭遭到法律律起诉。引用标准准略2网络访访问策略略发布部门门信息安全全小组生效时间间20166年111月011日介绍网络基础础设施是是提供给给所有信信息资源源用户的的中心设设施。重重要的是是这些基基础设施施（包括括电缆以以及相关关的设备备）要持持续不断断的发展展以满足足需求，然而也也要求同同时高速速发展网网络 技技术部以以便将来来提供功功能更强强大的用用户服务务。目 的该策略的的目的是是建立网网络基础础设施的的访问和和使用规规则。这这些规则则是保持持信息完完整性、可用性性和保密密性所必必需的。适用范围围该策略适适用于访访问任何何信息资资源的所所有人。术语

11、定义义略网络访问策略用户不可可以以任任何方式式扩散或或再次传传播网络络服务。未经信信息安全全小组批批准不可可以安装装路由器器、交换换机、集集线器或或者无线线访问端端口；在未经信信息安全全小组批批准的情情况下，用户不不可以安安装提供供网络服服务的硬硬件或软软件；需要网络络连接的的计算机机系统必必须符合合信息服服务规范范；用户不可可以私自自下载、安装或或运行安安全程序序或应用用程序，发现或或揭露系系统的安安全薄弱弱点。例例如，在在以任何何方式连连接到互互联网基基础设施施时，未未经信息息安全小小组批准准用户不不可以运运行口令令破解程程序、监监听器、网络绘绘图工具具、或端端口扫描描工具；不允许用用户以

12、任任何方式式更换网网络硬件件；在局域网网上进行行文件共共享时必必须指定定访问权权限，机机密信息息严禁使使用evveryyonee权限。任何员工工在访问问网络资资源时必必须使用用专属于于自己的的帐号IID，不不得使用用他人的的帐号访访问网络络资源。网络分为为办公网网络和生生产环境境网络，办公网网络又分分为日常常办公网网络和专专门远程程访问网网络生产环境境网络必必须使用用vpnn由专人人专机访访问，必必须要提提前向上上级领导导申请报报告不得从生生产环境境下载拷拷贝等操操作只能从公公司指定定办公网网络（公公司专门门的网络络通道）访问远远程的服服务器修改远程程服务器器的内容容必须要要提前申申请报告告，

13、且要要有详细细的操作作步骤惩罚违背该策策略可能能导致：员工以以及临时时工被解解雇、合合同方或或顾问的的雇佣关关系终止止、实习习人员和和志愿者者失去继继续工作作的机会会、学生生被开除除；另外外， 这这些人员员还可能能遭受信信息资源源访问权权以及公公民权的的损失，甚至遭遭到法律律起诉。引用标准准略3.访问问控制策策略发布部门门信息安全全小组生效时间间20166年111月011日介绍应根据业业务和安安全要求求，控制制对信息息和信息息系统的的访问。目 的该策略的的目的是是为了控控制对信信息和信信息系统统的访问问。适用范围围该策略适适用于进进行信息息和信息息系统访访问的所所有人员员。术语定义义略访问控制

14、策略公司内部部可公开开的信息息不作特特别限定定，允许许所有用用户访问问；公司内部部分公开开信息，根据业业务需求求访问，访问人人员提出出申请，经访问问授权管管理部门门认可，访问授授权实施施部门实实施后用用户方可可访问；公司网络络、信息息系统根根据业务务需求访访问，访访问人员员提出申申请，经经信息安安全小组组认可，实施后后用户方方可访问问；信息安全全小组安安全管理理员按规规定周期期对访问问授权进进行检查查和评审审；访问权限限应及时时撤销，如在申申请访问问时限结结束时、员工聘聘用期限限结束时时、第三三方服务务协议中中止时；用户不得得访问或或尝试访访问未经经授权的的网络、系统、文件和和服务；远程用户户

15、应该通通过公司司批准的的连接方方式；在防火墙墙内部连连接内部部网络的的计算机机不允许许连接IINTEERNEET ，除非获获得信息息安全小小组的批批准；用户不得得以任何何方式私私自安装装路由器器、交换换机、代代理服务务器、无无线网络络访问点点 ( 包括软软件和硬硬件 ) 等；在信息网网、外联联网安装装新的服服务 ( 包括括软件和和硬件 ) 必必须获得得信息安安全小组组的批准准；用户不得得私自撤撤除或更更换网络络设备。惩罚违背该策策略可能能导致：员工以以及临时时工被解解雇、合合同方或或顾问的的雇佣关关系终止止、实习习人员和和志愿者者失去继继续工作作的机会会、学生生被开除除；另外外， 这这些人员员

16、还可能能遭受信信息资源源访问权权以及公公民权的的损失，甚至遭遭到法律律起诉。引用标准准略物理访问问策略发布部门门信息安全全小组生效时间间20166年111月011日介绍 技术部部支持人人员、安安全管理理员、IIT管理理员以及及其他人人员可能能因工作作需要访访问信息息资源物物理设施施。对信信息资源源设施物物理访问问的批准准、控制制以及监监控对于于全局的的安全是是极其重重要的。目 的该策略的的目的是是为信息息资源设设施物理理访问的的批准、控制、监控和和删除建建立规则则。适用范围围该策略适适用于组组织中负负责信息息资源安安装和支支持的所所有人员员，负责责信息资资源安全全的人员员以及数数据的所所有者。

17、术语定义义略物理访问策略所有物理理安全系系统必须须符合相相应的法法规，但但不仅限限于建设设法规以以及消防防法规；对所有受受限制的的信息资资源设施施的物理理访问必必须形成成文件并并进行控控制；所有信息息资源设设施必须须依据其其功能的的关键程程度或重重要程度度进行物物理保护护；对信息资资源设施施的访问问必须只只授权给给因职责责需要访访问设施施的支持持人员和和合同方方；授权使用用卡和/或钥匙匙访问信信息资源源设施的的过程中中必须包包括设施施负责人人的批准准；拥有信息息资源设设施访问问权的每每一个人人员都必必须接受受设施应应急程序序培训，并且必必须签署署相应的的访问和和不泄密密协议；访问请求求必须发发

18、自相应应的数据据/系统统所有者者；访问卡和和/或钥钥匙不可可以与他他人共享享或借给给他人；访问卡和和/或钥钥匙不需需要时必必须退还还给信息息资源设设施负责责人。在在退还的的过程中中，卡不不可以再再分配给给另一个个人；访问卡和和/或钥钥匙丢失失或被盗盗必须向向信息资资源设施施的负责责人报告告；卡和/或或钥匙上上除了退退回的地地址外不不可以有有标志性性信息；所有允许许来宾访访问的信信息资源源设施都都必须使使用签字字出/入入记录来来追踪来来宾的访访问；信息资源源设施的的持卡访访问记录录以及来来宾记录录必须保保存，并并依据被被保护信信息资源源的关键键程度定定期评审审；在持卡和和/或钥钥匙的人人员发生生

19、变化或或离职时时，信息息资源设设施的负负责人必必须删除除其访问问权限；在信息资资源设施施的持卡卡访问区区，来宾宾必须由由专人陪陪同；信息资源源设施的的负责人人必须定定期评审审访问记记录以及及来宾记记录，并并要对异异常访问问进行调调查；信息资源源设施的的负责人人必须定定期评审审卡和/或钥匙匙访问权权，并删删除不再再需要访访问的人人员的权权限；对限制访访问的房房间和场场所必须须进行标标记，但但是描述述其重要要性的信信息应尽尽可能少少。惩罚违背该策策略可能能导致：员工以以及临时时工被解解雇、合合同方或或顾问的的雇佣关关系终止止、实习习人员和和志愿者者失去继继续工作作的机会会、学生生被开除除；另外外，

20、 这这些人员员还可能能遭受信信息资源源访问权权以及公公民权的的损失，甚至遭遭到法律律起诉。引用标准准略供应商访访问策略略发布部门门信息安全全小组生效时间间 20016年年11月月01日日介绍供应商在在支持硬硬件和软软件管理理以及客客户运作作方面有有重要作作用。供供应商可可以远程程对 数数据和审审核日志志进行评评审、备备份和修修改，他他们可以以纠正软软件和操操作系统统中的问问题，可可以监控控并调整整系统性性能，可可以监控控硬件性性能和错错误，可可以修改改周遭系系统，并并重新设设置警告告极限。由供应应商设置置的限制制和控制制可以消消除或降降低收入入、信誉誉损失或或遭破坏坏的风险险。目 的该策略的的

21、目的是是为减缓缓供应商商访问组组织资产产带来的的风险。适用范围围该策略适适用于所所有需要要访问组组织的供供应商。术语定义义略第三方访问策略供应商必必须遵守守相应的的策略、操作标标准以及及协议，包括但但不仅限限于： 安全策略略；保密策略略；审核策略略；信息资源源使用策策略。供应商协协议和合合同必须须规定：供应商应应该访问问的信息息；供应商怎怎样保护护信息；合同结束束时供应应商所拥拥有的信信息返回回、毁灭灭或处置置方法；供应商只只能使用用用于商商业协议议目的的的信息和和信息资资源；在合同期期间供应应商所获获得的任任何信息息都不能能用于供供应商自自己的目目的或泄泄漏给他他人。 应该向信信息安全全小组

22、提提供与供供应商的的合同要要点。合合同要点点能确保保供应商商符合策策略的要要求 ；为供应商商分配类类型，如如IT基基础组件件运维服服务、系系统维护护服务、网络维维护服务务等；需定义不不同类型型供应商商可以访访问的信信息类型型，以及及如何进进行监视视和工作作访问的的权限；供应商访访问信息息的人员员范围仅仅限于工工作需要要的人员员，授权权需获得得信息安安全小组组的批准准；供应商权权限人员员不得将将已授权权的身份份识别信信息和相相关设备备透露、借用给给其他人人员，工工作结束束后应该该立即注注销访问问权限及及清空资资料；针对与供供应商人人员交互互的组织织人员开开展意识识培训，培训内内容涉及及基于供供应

23、商类类型和 供应商商访问组组织系统统及信息息级别的的参与规规则和行行为；如适合可可与供应应商就关关系中的的信息安安全签署署保密或或交换协协议；每一个供供应商必必须提供供在为合合同工作作的所有有员工清清单。员员工发生生变更时时必须在在 244 小时时之内更更新并提提供；每一个在在组织场场所内工工作的供供应商员员工都必必须佩带带身份识识别卡。当合同同结束时时，此卡卡应该归归还；可以访问问机密信信息资源源的每一一个供应应商员工工都不能能处理这这些信息息；供应商员员工应该该直接向向恰当的的人员直直接报告告所有安安全事故故；如果供应应商参与与安全事事故管理理，那么么必须在在合同中中明确规规定其职职责；供

24、应商必必须遵守守所有适适用的更更改控制制过程和和程序；定期进行行的工作作任务和和时间必必须在合合同中规规定。规规定条件件之外的的工作必必须由相相应的管管理者书书面批准准；必须对供供应商访访问进行行唯一标标识，并并且对其其进行的的口令管管理必须须符合口口令实施施规范和和特殊访访问实施施规范。供应商商主要的的工作活活动必须须形成日日志并且且在管理理者需要要的时候候可以访访问。日日志的内内容包括括但不仅仅限于：人员变变化、口口令变化化、项目目进度重重要事件件、启动动和结束束时；当供应商商员工离离职时，供应商商必须确确保所有有机密信信息在224小时时内被收收回或销销毁；在合同或或邀请结结束时，供应商商

25、应该将将所有信信息返回回或销毁毁，并在在 244 小时时内提交交一份返返回或销销毁的书书面证明明；在合同或或邀请结结束时，供应商商必须立立即交出出所有身身份识别别卡、 访问卡卡以及设设备和供供应品。由供应应商保留留的设备备和 / 或供供应品必必须被管管理者书书面授权权；要求供应应商必须须遵守所所有规定定和审核核要求，包括对对供应商商工作的的审核；在提供服服务时，供应商商使用的的所有软软件必须须进行相相应的清清点并许许可。惩罚违背该策策略可能能导致：员工以以及临时时工被解解雇、合合同方或或顾问的的雇佣关关系终止止、实习习人员和和志愿者者失去继继续工作作的机会会、学生生被开除除；另外外，这些些人员

26、还还可能遭遭受信息息资源访访问权以以及公民民权的损损失，甚甚至遭到到法律起起诉。引用标准准略雇员访问问策略发布部门门信息安全全小组生效时间间20166年111月011日介绍雇员工作作在信息息安全区区域，工工作中需需要使用用公司的的各种信信息处理理设施，需要访访问公司司的各种种信息资资产，因因此每一一个雇员员有义务务和责任任保护好好公司信信息资产产的安全全。目 的本策略未未访问本本公司信信息资源源的全体体雇员，这种访问问是出于业业务需要要的，涉及物物理和行行政安全全管理需需求的网网络连接接、雇员员的职责责及信息息保护的的准则。适用范围围该策略适适用于公公司的任任何雇员员，雇员员对信息息资源的的访

27、问，包括信息息处理设设施设备备和 技技术部资资源。术语定义义略雇员访问策略 雇员必必须遵守守相应的的策略、操作标标准以及及协议，包括但但不仅限限于： 信息资资源保密密策略；病毒防防范策略略；可移动动代码防防范策略略；信息交交换策略略；清洁桌桌面和清清屏策略略；网络访访问策略略；便携式式计算机机安全策策略； 互联网网使用策策略；电子邮邮件策略略。雇员在意意识到有有安全事事件发生生时应该该第一时时间向上上层领导导报告；雇员应该该直接向向恰当的的人员直直接报告告所有安安全事故故；雇员必须须遵守所所有适用用的变更更管理程程序；当雇员离离职时，必须确确保所有有机密信信息在224小时时内被收收回或销销毁；

28、在合同结结束时，雇员应应该将所所有信息息返回或或销毁，并在 24 小时内内提交一一份返回回或销毁毁的书面面证明，并由资资产责任任人签字字认可；在合同结结束时，雇员必必须立即即交出所所有身份份识别卡卡、访问问卡以及及设备和和供应品品。由雇雇员保管管的设备备和 /或供应应品的回回收必须须由资产产责任人人签字认认可；要求雇员员必须遵遵守所有有规定和和审核要要求。惩罚违背该方方针可能能导致：员工被被解雇、合同方方或顾问问的雇佣佣关系终终止、实实习人员员失去继继续工作作的机会会、员工工受到经经济性惩惩罚等；另外，这些人人员的信信息资源源访问权权以及公公民权可可能受到到侵害，甚至遭遭到法律律起诉。引用标准

29、准略设备及布布缆安全全策略发布部门门信息安全全小组生效时间间 20016年年11月月01日日介绍网络基础础设施是是向所有有信息资资源用户户提供服服务的中中心设施施。这些些基础设设施（包包括电源源馈送和和数据传传输的电电缆以及及相关的的设备）需要持持续不断断的发展展以满足足用户需需求，然然而同时时也要求求网络 技术部部高速发发展以便便将来能能够提供供功能更更强大的的用户服服务。目 的该方针的的目的保保护设备备免受物物理的和和环境的的威胁，减少未未授权访访问信息息的风险险。防止止资产的的丢失、损坏、失窃或或危及资资产安全全以及组组织活动动的中断断；为了安置置或保护护设备，以减少少由环境境威胁和和危

30、险所所造成的的各种风风险以及及未授权权访问的的机会；为了保护护设备使使其免于于由支持持性设施施的失效效而引起起的电源源故障和和其他中中断，应应有足够够的支持持性设施施（供电电、供水水、通风风和空调调等）来来支持系系统；为了保证证传输数数据或支支持信息息服务的的电源布布缆和通通信布缆缆免受窃窃听或损损坏，电电源馈送送和数据据通讯的的电缆必必须确保保安全；为了确保保设备持持续的可可用性和和完整性性，设备备应予以以正确地地维护；为了对组组织非现现场设备备采取安安全措施施，要考考虑工作作在组织织场所以以外的不不同风险险；为了确保保涉密信信息不泄泄露，在在存储介介质销毁毁之前，任何机机密信息息和注册册软

31、件已已被删除除或安全全重写；为了确保保涉密信信息不泄泄露，设设备、信信息或软软件在授授权之前前不应带带出组织织场所。适用范围围该方针适适用于网网络设备备设施的的建设和和维护人人员。术语定义义略设备及布缆安全策略设备安置置和保护护方针设备应进进行适当当安置，以尽量量减少不不必要的的对工作作区域的的访问；应把处理理机密数数据的信信息处理理设施放放在适当当的限制制观测的的位置，以减少少在其使使用期间间信息被被窥视的的风险，还应保保护储存存设施以以防止未未授权访访问；要求专门门保护的的部件要要予以隔隔离，以以降低所所要求的的总体保保护等级级；应采取控控制措施施以减小小潜在的的物理威威胁的风风险，例例如

32、偷窃窃、火灾灾、爆炸炸、烟雾雾、水（或供水水故障）、尘埃埃、振动动、化学学影响、电源干干扰、通通信干扰扰、电磁磁辐射和和故意破破坏；对于可能能对信息息处理设设施运行行状态产产生负面面影响的的环境条条件（例例如温度度和湿度度）要予予以监视视；所有建筑筑物都应应采用避避雷保护护；应保护处处理机密密信息的的设备，以减少少由于辐辐射而导导致信息息泄露的的风险；支持性设设施方针针支持性设设施应定定期检查查并适当当的测试试以确保保他们的的功能，减少由由于他们们的故障障或失效效带来的的风险。应按照照设备制制造商的的说明提提供合适适的供电电；对支持关关键业务务操作的的设备，必须使使用支持持有序关关机或连连续运

33、行行的不间间断电源源（UPPS）；电源应急急计划要要包括UUPS故故障时要要采取的的措施。UPSS设备和和发电机机要定期期地检查查，以确确保它们们拥有足足够能力力，并按按照制造造商的建建议予以以测试；布缆安全全方针：进入信息息处理设设施的电电源和通通信线路路宜在地地下，若若可能，或提供供足够的的可替换换的保护护；网络布缆缆要免受受未授权权窃听或或损坏，例如，利用电电缆管道道或使路路由避开开公众区区域；为了防止止干扰，电源电电缆要与与通信电电缆分开开；使用清晰晰的可识识别的电电缆和设设备记号号，以使使处理失失误最小小化，例例如，错错误网络络电缆的的意外配配线；用文件化化配线列列表减少少失误的的可

34、能性性；对于机密密的或关关键的系系统，更更进一步步的控制制考虑应应包括：* 在检检查点和和终接点点处安装装铠装电电缆管道道和上锁锁的房间间或盒子子；* 使用用可替换换的路由由选择和和/或传传输介质质，以提提供适当当的安全全措施；* 使用用纤维光光缆；* 使用用电磁防防辐射装装置保护护电缆；* 对于于电缆连连接的未未授权装装置要主主动实施施 技术术部清除除、物理理检查；* 控制制对配线线盘和电电缆室的的访问；设备维护护方针要按照供供应商推推荐的服服务时间间间隔和和规范对对设备进进行维护护；只有已授授权的维维护人员员才可对对设备进进行修理理和服务务；要保存所所有可疑疑的或实实际的故故障以及及所有预

35、预防和纠纠正维护护的记录录；当对设备备安排维维护时，应实施施适当的的控制，要考虑虑维护是是由场所所内部人人员执行行还是由由外部人人员执行行；当需需要时，机密信信息需要要从设备备中删除除或者维维护人员员应该是是足够可可靠的；应遵守由由保险策策略所施施加的所所有要求求。组织场所所外的设设备安全全方针无论责任任人是谁谁，在组组织场所所外使用用任何信信息处理理设备都都要通过过管理者者授权；离开建筑筑物的设设备和介介质在公公共场所所不应无无人看管管。在旅旅行时便便携式计计算机要要作为手手提行李李携带，若可能能宜伪装装起来；制造商的的设备保保护说明明要始终终加以遵遵守，例例如，防防止暴露露于强电电磁场内内

36、；家庭工作作的控制制措施应应根据风风险评估估确定，当适合合时，要要施加合合适的控控制措施施，例如如，可上上锁的存存档柜、清理桌桌面策略略、对计计算机的的访问控控制以及及与办公公室的安安全通信信；足够的安安全保障障掩蔽物物宜到位位，以保保护离开开办公场场所的设设备。安安全风险险在不同同场所可可能有显显著不同同，例如如，损坏坏、盗窃窃和截取取，要考考虑确定定最合适适的控制制措施。设备的安安全处置置和再利利用方针针包含机密密信息的的设备在在物理上上应予以以摧毁，或者采采用使原原始信息息不可获获取的 技术部部破坏、删除、覆盖信信息，而而不能采采用标准准的删除除或格式式化功能能；包含机密密信息的的已损坏

37、坏的设备备可能需需要实施施风险评评估，以以确定这这些设备备是否要要进行销销毁、而而不是送送去修理理或丢弃弃。资产移动动方针在未经事事先授权权的情况况下，不不允许让让设备、信息或或软件离离开办公公场所；应明确识识别有权权允许资资产移动动，离开开办公场场所的雇雇员、承承包方人人员和供供应商人人员；应设置设设备移动动的时间间限制，并在返返还时执执行符合合性检查查；若需要并并合适，要对设设备作出出移出记记录，当当返回时时，要作作出送回回记录；应执行检检测未授授权资产产移动的的抽查，以检测测未授权权的记录录装置，防止他他们进入入办公场场所。这这样的抽抽查应按按照相关关规章制制度执行行。应让让每个人人都知

38、道道将进行行抽查，并且只只能在法法律法规规要求的的适当授授权下执执行检查查。惩罚违背该方方针可能能导致：员工被被解雇、合同方方或顾问问的雇佣佣关系终终止、实实习人员员失去继继续工作作的机会会、员工工受到经经济性惩惩罚等；另外，这些人人员的信信息资源源访问权权以及公公民权可可能受到到侵害，甚至遭遭到法律律起诉。引用标准准略变更管理理安全策策略发布部门门信息安全全小组生效时间间20166年111月011日介绍信息资源源基础设设施正在在逐步扩扩大并且且越来越越复杂。越来越越多的人人依赖网网络、更更多的客客户服务务机构、未升级级和扩展展的管理理系统以以及更多多应用程程序 。由于信信息资源源基础设设施之

39、间间的互相相依赖程程度越来来越高，因此有有必要加加强变更更管理过过程。 有时每每一个信信息资源源组成部部分需要要暂停运运行，按按计划进进行升级级、维护护或调整整，另外外也可能能由于为为计划的的升级、维护或或调整而而导致暂暂停运行行。管理理这些变变更是提提供坚固固的、有有价值的的信息资资源基础础设施的的关键组组成部分分。目 的该策略的的目的是是以一种种合理的的、可预预知的方方式管理理变更，以便员员工和客客户能进进行相应应的计划划。变更更需要事事先严格格计划、仔细监监控并要要进行追追踪评价价，以降降低对用用户群的的负面影影响，增增加信息息资源的的价值。适用范围围该策略适适用于安安装、操操作或维维护

40、信息息资源的的所有人人员。术语定义义略变更管理安全策略对信息资资源的每每一次变变更，如如操作系系统、计计算机硬硬件、网网络以及及应用程程序都要要服从变变更管理理策略，并且必必须遵守守变更管管理程序序；所有影响响计算机机环境设设备的变变更(如如空调、水、热热、管道道、电)需要向向变更管管理过程程的领导导者报告告，并与与之协调调处理；无论是事事先有计计划的变变更还是是事先无无计划的的变更必必须都提提交书面面的变更更申请；所有事先先有计划划的变更更申请必必须按照照变更管管理程序序的规定定提交，以便信信息安全全小组有有足够的的时间评评审申请请，确定定并重新新评审潜潜在的失失败，并并决定申申请被批批准还

41、是是延期执执行；每一个事事先计划划的变更更申请在在执行前前必须受受到信息息安全小小组的正正式批准准；指定的信信息安全全小组领领导在下下列情况况下有权权拒绝任任何申请请：不充充分的策策划、不不充分的的删除计计划、变变更的时时间等会会对关键键的业务务过程造造成负面面影响，或者会会造成没没有充分分的资源源可用；在变更管管理程序序实施前前，必须须完成对对所有客客户的通通知；每一次变变更必须须进行变变更评审审，无论论是计划划还是未未计划的的，成功功的还是是失败的的；所有变更更必须保保留变更更管理日日志，必必须保留留的日志志包括但但不限于于下列内内容：变更的提提交和执执行日期期；所有者和和保管者者信息；变

42、更的特特性；成功或失失败的标标志。所有信息息系统必必须遵照照上述规规定进行行信息资资源的变变更。惩罚违背该策策略可能能导致：员工以以及临时时工被解解雇、合合同方或或顾问的的雇佣关关系终止止、实习习人员和和志愿者者失去继继续工作作的机会会、学生生被开除除；另外外，这些些人员还还可能遭遭受信息息资源访访问权以以及公民民权的损损失，甚甚至遭到到法律起起诉。引用标准准略病毒防范范策略发布部门门信息安全全小组生效时间间20166年111月011日介绍计算机安安全事故故的数量量以及由由业务中中断服务务恢复所所导致的的费用日日益攀升升。实施施稳固的的安全策策略，防防止对网网络和计计算机不不必要的的访问，较早

43、的的发现并并减轻安安全事故故可以有有效地降降低风险险以及安安全事故故造成的的费用。目 的该策略的的目的是是描述计计算机病病毒、蠕蠕虫以及及特洛伊伊木马防防御、检检测以及及清除的的要求。适用范围围该策略适适用于使使用信息息资源的的所有人人员。术语定义义略病毒防范策略所有连接接到局域域网的工工作站必必须使用用信息安安全小组组批准的的病毒保保护软件件和配置置；病毒保护护软件必必须不能能被禁用用或被绕绕过；病毒保护护软件的的更改不不能降低低软件的的有效性性；不能为了了降低病病毒保护护软件的的自动更更新频率率而对其其进行更更改；与局域网网连接的的每一个个文件服服务器必必须使用用信息安安全小组组批准的的病

44、毒保保护软件件，并要要进行设设置检测测、清除除可能感感染共享享文件的的病毒；由病毒保保护软件件不能自自动清除除并引起起安全事事故的病病毒，必必须向信信息安全全小组报报告。惩罚违背该策策略可能能导致：员工以以及临时时工被解解雇、合合同方或或顾问的的雇佣关关系终止止、实习习人员和和志愿者者失去继继续工作作的机会会、学生生被开除除；另外外， 这这些人员员还可能能遭受信信息资源源访问权权以及公公民权的的损失，甚至遭遭到法律律起诉。引用标准准略可移动代代码防范范策略发布部门门信息安全全小组生效时间间20166年111月011日介绍未经授权权的移动动代码危危害信息息系统，应实施施对恶意意代码的的监测、预防

45、和和恢复控控制，以以及适当当的用户户意识培培训。目 的该策略的的目的阻阻止和发发现未经经授权的的移动代代码的引引入，实实施对恶恶意代码码的监测测、预防防和恢复复控制。适用范围围该策略适适用于使使用信息息资源的的所有人人员。术语定义义略可移动代码防范策略禁止使用用未经授授权的软软件。防范经过过外部网网络或任任何其它它媒介引引入文件件和软件件相关的的风险，并采取取适当的的预防措措施。定期对支支持关键键业务过过程的系系统中的的软件和和数据进进行评审审；无论论出现任任何未经经验收的的文件或或者未经经授权的的修改，都要进进行正式式调查。安装并定定期升级级防病毒毒的检测测软件和和修复软软件，定定期扫描描计

46、算机机和存储储介质，检测应应包括： 在使用前前，对存存储媒体体，以及及通过网网络接收收的文档档进行恶恶意代码码检测；在使用前前，通过过邮件服服务器对对电子邮邮件附件件及下载载文件进进行恶意意代码检检测；信息安全全小组负负责恶意意代码防防护、使使用培训训、病毒毒袭击和和恢复报报告。为从恶意意代码攻攻击中恢恢复，需需要制定定适当的的业务持持续性计计划。包包括所有有必要的的数据、软件备备份以及及恢复安安排。信息安全全小组应应制定并并实施文文件化的的程序，验证所所有与恶恶意软件件相关的的信息并并且确保保警报公公告的内内容准确确详实。管理员员应当确确保使用用合格的的信息资资源，防防止引入入真正的的恶意代

47、代码。所所有用户户应有防防欺骗的的意识，并知道道收到欺欺骗信息息时如何何处置。惩罚违背该策策略可能能导致：员工以以及临时时工被解解雇、合合同方或或顾问的的雇佣关关系终止止、实习习人员和和志愿者者失去继继续工作作的机会会、学生生被开除除；另外外， 这这些人员员还可能能遭受信信息资源源访问权权以及公公民权的的损失，甚至遭遭到法律律起诉。引用标准准略信息备份份安全策策略发布部门门信息安全全小组生效时间间20166年111月011日介绍电子备份份是一项项必需的的业务要要求，能能使数据据和应用用程序在在发生意意想不到到的事件件时得以以恢复，这些事事件包括括：自然然灾害、系统磁磁盘故障障、间谍谍活动、数据

48、输输入错误误或系统统操作错错误等。目 的该策略的的目的是是设置电电子信息息的备份份和存储储职责。适用范围围该策略适适用于组组织中负负责信息息资源安安装和支支持的所所有人员员，以及及负责信信息资源源安全的的人员和和数据所所有者。术语定义义略信息备份安全策略信息备份份周期和和方式必必须依据据信息的的重要性性以及数数据所有有者确定定的可接接受风险险确定；供应商提提供的场场所外备备份存储储必须达达到信息息存储的的最高等等级；场所外备备份存储储区的物物理访问问控制的的实施必必须满足足并超过过原系统统的物理理访问控控制，另另外备份份介质必必须依据据信息存存储的最最高安全全等级进进行保护护 ；必须建立立并实

49、施施对电子子信息备备份成功功与否的的验证过过程；必须对场场所外备备份存储储供应商商每年进进行评审审；为了容易易识别介介质和或关联联系统，备份介介质至少少应该被被标注下下列信息息：系统名；创建日期期；机密度分分级以以相应的的电子记记录保持持法规为为基础；包含的信信息。惩罚违背该策策略可能能导致：员工以以及临时时工被解解雇、合合同方或或顾问的的雇佣关关系终止止、实习习人员和和志愿者者失去继继续工作作的机会会、学生生被开除除；另外外， 这这些人员员还可能能遭受信信息资源源访问权权以及公公民权的的损失，甚至遭遭到法律律起诉。引用标准准略网络配置置安全策策略发布部门门信息安全全小组生效时间间20166年

50、111月011日介绍网络基础础设施是是提供给给所有信信息资源源用户的的中心设设施。重重要的是是这些基基础设施施（包括括电缆以以及相关关的设备备，如路路由器、交换机机）要持持续不断断的发展展以满足足用户需需求，然然而也要要求同时时高速发发展网络络 技术术部以便便将来提提供功能能更强大大的用户户服务。目 的该策略的的目的是是为网络络基础设设施的维维护、扩扩展以及及使用建建立规则则。该规规则是保保持信息息完整性性、可用用性和保保密性所所必需的的。适用范围围该策略适适用于访访问信息息资源的的所有人人。术语定义义略网络配置安全策略信息安全全小组拥拥有网络络基础设设施并对对其负责责，而且且还要对对基础设设

51、施的发发展和增增加进行行管理；为了提供供稳固的的网络基基础设施施，所有有电缆必必须由信信息安全全小组或或被认可可的合同同方安装装；所有网络络连接设设备必须须按照改改为：信信息安全全小组批批准的规规范进行行配置；所有连接接到网络络的硬件件必须服服从信息息安全小小组的管管理和监监控标准准；在没有信信息安全全小组批批准的情情况下，不能对对活动的的网络管管理设备备的配置置进行更更改；网络基础础设施支支持一系系列合理理定义的的、被认认可的网网络协议议。使用用任何未未经认可可的协议议都必须须经过信信息安全全小组的的批准；支持协议议的网络络地址由由信息安安全小组组集中分分配、注注册和管管理；网络基础础设施与

52、与外部供供应商网网络的所所有连接接都由信信息安全全小组负负责。这这包括与与外部电电话网络络的连接接；信息安全全小组的的防火墙墙必须按按照防火火墙实施施规范文文件进行行安装和和配置；在未获得得信息安安全小组组书面授授权的情情况下，部门不不得使用用防火墙墙；用户不可可以以任任何方式式扩散或或再次传传播网络络服务。这就意意味着未未经信息息安全小小组批准准不可以以安装路路由器、交换机机、集线线器或者者无线访访问端口口；在未经信信息安全全小组批批准的情情况下，用户不不得安装装网络硬硬件或软软件提供供网络服服务；不允许用用户以任任何方式式更换网网络硬件件。惩罚违背该策策略可能能导致：员工以以及临时时工被解

53、解雇、合合同方或或顾问的的雇佣关关系终止止、实习习人员和和志愿者者失去继继续工作作的机会会、学生生被开除除；另外外， 这这些人员员还可能能遭受信信息资源源访问权权以及公公民权的的损失，甚至遭遭到法律律起诉。引用标准准略信息交换换策略发布部门门信息安全全小组生效时间间20166年111月011日介绍在组织之之间交换换信息和和软件应应当遵守守根据交交换协议议所制定定的正式式的交换换方针，并且应应当服从从所有相相关的法法律。目 的保持在组组织内部部及任何何外部机机构之间间所交换换的信息息和软件件的安全全。适用范围围该策略适适用于进进行信息息交换的的所有人人员。术语定义义略信息交换策略不能在公公共场所

54、所或者敞敞开的办办公室、没有屋屋顶防护护的会议议室谈论论机密信信息。对信息交交流应作作适当的的防范，如不要要暴露机机密信息息，避免免被通过过电话偷偷听或截截取。员工、合合作方以以及任何何其他用用户不得得损害本本局的利利益，如如诽谤、骚扰、假冒、未经授授权的采采购等。不得将包包含机密密信息的的讯息放放在自动动应答系系统中。不得将机机密或关关键信息息放在打打印设施施上，如如复印机机、打印印机和传传真，防防止未经经授权人人员的访访问。做应用系系统之间间接口、协议时时，不能能影响双双方应用用的正常常运行；在实施施之前应应充分考考虑应用用系统的的资源是是否足够够；保证证数据交交换的权权限最小小化。在进行

55、与与相关方方信息交交换时，需提前前指定双双方的信信息交换换人员、交换方方式、交交换保密密方法，以防止止信息的的泄露。惩罚违背该策策略可能能导致：员工以以及临时时工被解解雇、合合同方或或顾问的的雇佣关关系终止止、实习习人员和和志愿者者失去继继续工作作的机会会、学生生被开除除；另外外， 这这些人员员还可能能遭受信信息资源源访问权权以及公公民权的的损失，甚至遭遭到法律律起诉引用标准准略运输中物物理介质质安全策策略发布部门门信息安全全小组生效时间间20166年111月011日介绍物理介质质是信息息资源的的载体，在运送送过程中中必须对对其安全全进行管管理。建建立该方方针是为为了确保保包含信信息的介介质在

56、组组织的物物理边界界以外运运送时，防止未未授权的的访问、不当的的使用或或毁坏。目 的略适用范围围该方针适适用于在在组织安安全边界界外运输输组织物物理介质质的所有有人员。术语定义义略运输中物理介质安全策略应考虑下下列方针针以保护护不同地地点间传传输的信信息介质质：应使用可可靠的运运输或送送信人；授权的送送信人列列表应经经管理者者批准；包装要足足以保护护信息免免遭在运运输期间间可能出出现的任任何物理理损坏，并且符符合制造造商的规规范（例例如软件件），例例如防止止可能减减少介质质恢复效效力的任任何环境境因素，例如暴暴露于过过热、潮潮湿或电电磁区域域；若需要，应采取取专门的的控制，以保护护机密信信息免

57、遭遭未授权权泄露或或修改；例子包包括：使用可上上锁的容容器；手工交付付；防篡改的的包装（它可以以揭示任任何想获获得访问问的企图图）；在异常情情况下，把托运运货物分分解成多多次交付付，并且且通过不不同的路路线发送送。惩罚违背该方方针可能能导致：员工被被解雇、合同方方或顾问问的雇佣佣关系终终止、实实习人员员失去继继续工作作的机会会、员工工受到经经济性惩惩罚等；另外，这些人人员的信信息资源源访问权权以及公公民权可可能受到到侵害，甚至遭遭到法律律起诉。引用标准准略电子邮件件策略发布部门门信息安全全小组生效时间间20166年111月011日介绍信息资源源是组织织的资产产，必须须对其进进行有效效地管理理，

58、因而而建立该该策略是是为了：确保员工工知晓在在 Emmaill 的过过程中好好的操作作方法；明确 EEmaiil 使使用过程程中的责责任。目 的为了建立立某公司司的 EEmaiil 使使用规则则，保证证 Emmaill 的合合理发送送、收取取和存储储。适用范围围该策略适适用于被被批准的的、能够够通过 Emaail 发送、收取和和存储信信息的所所有人员员。术语定义义略电子邮件策略下列行为为是策略略所禁止止的： 发送或者者转发虚虚假、黄黄色、反反动信息息；发送或者者转发宣宣扬个人人政治倾倾向或者者宗教信信仰；发送或者者转发发发送垃圾圾信息；发送或者者转发能能够引起起连锁发发送的恐恐吓、祝祝贺等信信

59、息；Emaiil 附附件大小小超过限限制100M；发送口令令、密钥钥、信用用卡等的的机密信信息；用个人信信息处理理设备收收发公司司内部 Emaail ；用公司外外部账号号发送、转发、收取公公司机密密信息；在非授权权情况下下以公司司的名义义发表个个人意见见；发送或者者转发可可能有计计算机病病毒的信信息；使用非授授权的电电子邮件件收发软软件；下列行为为是策略略所要求求的： 每位员工工都有一一个 EEmaiil 账账号，账账号密码码必须符符合口令令策略的的相关规规定；用 Emmaill 经过过外部网网络发送送机密信信息必须须经过加加密，加加密必须须符合加加密策略略的相关关规定；发送 EEmaiil

60、必必须有清清楚的主主题；Emaiil 的的处理和和存储必必须符合合信息的的分类、标识和和存储策策略的相相关规定定；管理授权权 公司有权权对职员员的 EEmaiil 进进行监视视和记录录；公司有权权对 EEmaiil 的的内容进进行存储储备份以以用于法法律目的的；惩罚违背该策策略可能能导致：员工以以及临时时工被解解雇、合合同方或或顾问的的雇佣关关系终止止、实习习人员和和志愿者者失去继继续工作作的机会会、学生生被开除除；另外外， 这这些人员员还可能能遭受信信息资源源访问权权以及公公民权的的损失，甚至遭遭到法律律起诉。引用标准准略信息安全全监控策策略发布部门门信息安全全小组生效时间间20166年11