信息安全制度

信息安全制度总则1条为规X信息安全管理工作，加强过程管理和基础设施管理的风险分析及防X，建立安全责任制，健全安全内控制度，保证信息系统的XX性、完整性、可用性，特制定本规定。适用X围2条本规定适用于。管理对象3条管理对象指组成计算机信息系统的系统、设备和数据等信息资产和人员的安全。主要X围包括：人员安全、物理环境安全、资产识别和分类、风险管理、物理和逻辑访问控制、系统操作与运行安全、网络通讯安全、信息加密与解密、应急与灾难恢复、软件研发与应用安全、XX资源管理、第三方与外包安全、法律和标准的符合性、项目与工程安全控制、安全检查与审计等。第四章术语定义DMZ：用于隔离内网和外网的区域，此区域不属于可信任的内网，也不是完全开放给因特网。容量：分为系统容量和环境容量两方面。系统容量包括 CPU、内存、硬盘存储等。环境容量包括电力供应、湿度、温度、空气质量等。安全制度：与信息安全相关的制度文档，包括安全管理办法、标准、指引和程序等。安全边界：用以明确划分安全区域，如围墙、大厦接待处、网段等。恶意软件：包括计算机病毒、网络蠕虫、木马、流氓软件、逻辑炸弹等。备份周期：根据备份管理办法制定的备份循环的周期，一个备份周期的内容相当于一个完整的全备份。系统工具：能够更改系统及应用配置的程序被定义为系统工具，如系统管理、维护工具、调试程序等。消息验证：一种检查传输的电子消息是否有非法变更或破坏的技术，它可以在硬件或软件上实施。数字签名：一种保护电子文档真实性和完整性的方法。例如，在电子商务中可以使用它验证谁签署电子文档，并检查已签署文档的内容是否被更改。信息处理设备：泛指处理信息的所有设备和信息系统，包括网络、服务器、个人电脑和笔记本电脑等。不可抵赖性服务： 用于解决交易纠纷中争议交易是否发生的机制。电子化办公系统：包括电子、KOA系统以及用于业务信息传送及共享的企业内部网。安全制度方面5.1安全制度要求5.1.1本制度的诠释4条所有带有“必须”的条款都是强制性的。除非事先得到安全管理委员会的认可，否则都要坚决执行。其它的条款则是强烈建议的，只要实际可行就应该被采用。5条所有员工都受本制度的约束，各部门领导有责任确保其部门已实施足够的安全控制措施，以保护信息安全。6条各部门的领导有责任确保其部门的员工了解本安全管理制度、相关的标准和程序以及日常的信息安全管理。7条安全管理代表（或其指派的人员）将审核各部门安全控制措施实施的准确性和完整性，此过程是公司例行内部审计的一部分。5.1.2制度发布8条所有制度在创建和更新后，必须经过相应管理层的审批。制度经批准之后必须通知所有相关人员。5.1.3制度复审9条当环境改变、技术更新或者业务本身发生变化时，必须对安全制度重新进行评审，并作出相应的修正，以确保能有效地保护公司的信息资产。10条安全管理委员会必须定期对本管理办法进行正式的复审，并根据复审所作的修正，指导相关员工采取相应的行动。组织安全方面6.1组织内部安全6.1.1信息安全体系管理11条公司成立安全管理委员会，安全管理委员会是公司信息安全管理的最高决策机构，安全管理委员会的成员应包括总裁室主IT领导、公司安全审计负责人、公司法律负责人等。12条信息安全管理代表由信息安全管理委员会指定，一般应包含稽核部 IT稽核岗、信息管理部信息安全相关岗位及分公司 IT岗。13条安全管理委员会通过清晰的方向、可见的承诺、详细的分工，积极地支持信息安全工作，主要包括以下几方面：确定信息安全的目标符合公司的要求和相关制度；阐明、复查和批准信息安全管理制度；复查信息安全管理制度执行的有效性；为信息安全的执行提供明确的指导和有效的支持；提供信息安全体系运作所需要的资源为信息安全在公司执行定义明确的角色和职责；批准信息安全推广和培训的计划和程序；确保信息安全控制措施在公司内被有效的执行。第14条安全管理委员会需要对内部或外部信息安全专家的建议进行评估，并检查和调整建议在公司内执行的结果。15条必须举行信息安全管理会议，会议成员包括安全管理委员会、安全管理代表和其他相关的公司高层管理人员。16条信息安全管理会议必须每年定期举行，讨论和审批信息安全相关事宜，具体包括以下内容复审本管理制度的有效性复审技术变更带来的影响复审安全风险审批信息安全措施及程序审批信息安全建议确保任何新项目规划已考虑信息安全的需求复审安全检查结果和安全事故报告复审安全控制实施的效果和影响宣导和推行公司高层对信息安全管理的指示6.1.2信息安全职责分配17条信息管理部门作为信息安全管理部门，负责信息安全管理策略制定及实施，其主要职责：（一）负责全公司信息安全管理和指导；（二）牵头制订全公司信息安全体系规X、标准和检查指引，参与我司信息系统工程建设的安全规划；（三）组织全公司安全检查；（四）配合全公司安全审计工作的开展；（五）牵头组织全公司安全管理培训；（六）负责全公司安全方案的审核和安全产品的选型、购置。（七）依据本规定、安全规X、技术标准、操作手册实施各类安全策略。（八）负责各类安全策略的日常维护和管理。18条各分公司信息管理部门作为信息安全管理部门，其主要职责：（一）根据本规定、信息安全体系规X、标准和检查指引，组织建立安全管理流程、手册；（二）组织实施内部安全检查；（三）组织安全培训；（四）负责XX信息和XX资源的安全管理；（五）负责安全技术产品的使用、维护、升级；（六）配合安全审计工作的开展；（七）定期上报本单位信息系统安全情况， 反馈安全技术和管理的意见和建议。（八）依据本规定、安全规X、技术标准、操作手册实施各类安全策略。（九）负责各类安全策略的日常维护和管理。6.1.3信息处理设备的授权19条新设备的采购和设备部署的审批流程应该充分考虑信息安全的要求。20条新设备在部署和使用之前，必须明确其用途和使用X围，并获得安全管理委员会的批准。必须对新设备的硬件和软件系统进行详细检查，以确保它们的安全性和兼容性。21条除非获得安全管理委员会的授权，否则不允许使用私人的信息处理设备来处理公司业务信息或使用公司资源。6.1.4独立的信息安全审核第22条 必须对公司信息安全控制措施的实施情况进行独立地审核，确保公司的信息安全控制措施符合管理制度的要求。 审核工作应由公司的审计部门或专门提供此类服务的第三方组织负责执行。 负责安全审核的人员必须具备相应的技能和经验。第23条 独立的信息安全审核必须每年至少进行一次。6.2第三方访问的安全性6.2.1明确第三方访问的风险第24条 必须对第三方对公司信息或信息系统的访问进行风险评估，并进行严格控制，相关控制须考虑物理上和逻辑上访问的安全风险。只有在风险被消除或降低到可接受的水平时才允许其访问。第25条 第三方包括但不限于：硬件和软件厂商的支持人员和其他外包商监管机构、外部顾问、外部审计机构和合作伙伴临时员工、实习生清洁工和保安公司的客户第26条 第三方对公司信息或信息系统的访问类型包括但不限于：物理的访问，例如：访问公司大厦、职场、数据中心等；逻辑的访问，例如：访问公司的数据库、信息系统等；与第三方之间的网络连接，例如：固定的连接、临时的远程连接；27条第三方所有的访问申请都必须经过信息安全管理代表的审批，只提供其工作所须的最小权限和满足其工作所需的最少资源，并且需要定期对第三方的访问权限进行复查。第三方对重要信息系统或地点的访问和操作必须有相关人员陪同。28条公司负责与第三方沟通的人员必须在第三方接触公司信息或信息系统前，主动告知第三方的职责、义务和需要遵守的规定，第三方必须在清楚并同意后才能接触相应信息或信息系统。所有对第三方的安全要求必须包含在与其签订的合约中。6.2.2当与客户接触时强调信息安全29条必须在允许客户访问信息或信息系统前识别并告知其需要遵守的安全需求。采取相应的保护措施保护客户访问的信息或信息系统。6.2.3与第三方签订合约的安全要求30条与第三方合约中应包含必要的安全要求，如：访问、处理、管理公司信息或信息系统的安全要求。信息资产与人员安全7.1资产责任7.1.1资产的清单31条应清楚识别所有的资产，所有与信息相关的重要资产都应该在资产清单中标出，并及时维护更新。这些资产包括但不限于∶信息：数据库和数据文件、系统文档、用户手册、培训材料、操作手册、业务连续性计划、系统恢复计划、备份信息和合同等。软件：应用软件、系统软件、开发工具以及实用工具等。实体：计算机设备（处理器、显示器、笔记本电脑、调制解调器等）、通讯设备（路由器、程控交换机、机等）、存储设备、磁介质（磁带和磁盘等）、其它技术设备（电源、空调器等）、机房等。服务：通讯服务（专线）。32条资产清单必须每年至少审核一次。在购买新资产之前必须进行安全评估。资产交付后，资产清单必须更新。资产的风险评估必须每年至少一次，主要评估当前已部署安全控制措施的有效性。33条实体资产需要贴上适当的标签。7.1.2资产的管理权第34条 所有资产都应该被详细说明，必须指明具体的管理者。管理者可以是个人，也可以是某个部门。管理者是部门的资产则由部门主管负责监护。第35条 资产管理者的职责是：确定资产的XX等级分类和访问管理办法；定期复查资产的分类和访问管理办法。7.1.3资产的合理使用36条必须识别信息和信息系统的使用准则，形成文件并实施。使用准则应包括：使用X围角色和权限使用者应负的责任与其他系统交互的要求37条所有访问信息或信息系统的员工、第三方必须清楚要访问资源的使用准则，并承担他们的责任。公司的所有信息处理设备（包括个人电脑）只能被使用于工作相关的活动，不得用来炒股、玩游戏等。滥用信息处理设备的员工将受到纪律处分。7.2信息分类7.2.1信息分类原则第38条 所有信息都应该根据其敏感性、重要性以及业务所要求的访问限制进行分类和标识。39条信息管理者负责信息的分类，并对其进行定期检查，以确保分类的正确。当信息被发布到公司外部，或者经过一段时间后信息的敏感度发生改变时，信息需要重新分类。40条信息的XX程度从高到低分为绝密、XX、秘密和非XX四种等级。以电子形式保存的信息或管理信息资产的系统，需根据信息的敏感度进行标识。含有不同分类信息的系统，必须按照其中的最高XX等级进行分类。7.2.2信息标记和处理41条必须建立相应的XX信息处理规X。对于不同的XX等级，应明确说明如下信息活动的处理要求：复制保存和保管（以物理或电子方式）传送（以邮寄、或电子的方式）销毁第42条电子文档和系统输出的信息（打印报表和磁带等）应带有适当的信息分类标记。对于打印报表，其XX等级应显示在每页的顶端或底部。43条将XX信息致到公司以外时，负责传送信息的工作人员应在分发信息之前，先告知对方文档的XX等级及其相应的处理要求。7.3人员安全7.3.1信息安全意识、教育和培训44条所有公司员工和第三方人员必须接受包括安全性要求、信息处理设备的正确使用等内容的培训，并应该及时了解和学习公司对安全管理制度和标准的更新。45条应该至少每年向员工提供一次安全意识培训，其内容包括但不限于：安全管理委员会下达的安全管理要求信息XX的责任一般性安全守则信息分类安全事故报告程序电脑病毒爆发时的应对措施灾难发生时的应对措施第46条 应该对系统管理员、开发人员进行安全技能方面的培训，至少每年一次。员工和第三方人员在开始工作后 90天内，必须进行技术和安全方面的培训。第47条 灾难恢复演习应至少每年举行一次。7.3.2惩戒过程48条违反公司安全管理制度、标准和程序的员工将受到纪律处分。在对信息安全事件调查结束后，必须对事件中的相关人员根据公司的惩戒规定进行处罚。纪律处分包括但不限于：通报批评警告记过解除劳动合同法律诉讼49条当员工在接受可能涉及解除劳动合同和法律诉讼的违规调查时，其直接领导应暂停受调查员工的工作职务和其访问权限，包括物理访问、系统应用访问和网络访问等。员工在接受调查时可以陈述观点，提出异议，并有进一步申诉的权力。7.3.3资产归还50条在终止雇佣、合同或协议时，所有员工及第三方人员必须归还所使用的全部公司资产。需要归还的资产包括但不限于：XX和访问权限公司的电子或纸质文档公司购买的硬件和软件资产公司购买的其他设备51条如果在非公司资产上保存有公司的资产，必须在带出公司前归还或删除公司的资产。7.3.4删除访问权限52条在终止或变更雇佣、合同、协议时，必须删除所有员工及第三方人员对信息和信息系统的访问权限，或根据变更进行相应的调整。所有删除和调整操作必须在最后上班日之前完成。53条对于公用的资源，必须进行及时的调整，比如：公用的XX必须立即更改密码。54条在已经确定员工或第三方终止或变更意向后，必须及时对他们的权限进行限制，只保留终止或变更所需要的权限。物理和环境安全方面8.1安全区域8.1.1物理安全边界55条在公司的物理环境里，应该对需要保护的区域根据其重要性划分为不同的安全区域。特别是有重要设备的安全区域（比如机房）应该部署相应的物理安全控制。56条在大厦的统一入口处必须设立有专人值守的接待区域，在特别重要的安全区域也应该设立类似的接待区域。57条在非办公时间内，重要的安全区域必须安排保安定时巡视。任何时候，公司内必须至少有一位保安值班。保安值班表应最少每月调整一次。8.1.2安全区域访问控制58条在非办公时间，所有进入安全区域的入口都应该受到控制，比如上锁。任何时候，重要安全区域的所有出入口必须受到严格的访问控制，确保只有授权的员工才可以进入此区域。59条对于设有访问控制的安全区域，必须定期审核并及时更新其访问权限。所有员工都必须佩戴一个身份识别通行证，有责任确保通行证的安全并不得转借他人。员工离职时必须交还通行证，同时取消其所有访问权限。60条所有来宾的有关资料都必须详细记载在来宾进出登记表中，并向获准进入的来宾发放来宾通行证。同时，必须有相应的程序以确保回收所发放的来宾通行证。来宾进出登记表必须至少保留1年，记录内容应包括但不限于：来宾XX来宾身份来宾工作单位来访事由负责接待的员工来宾通行证进入的日期和时间离开的日期和时间8.1.3办公场所和设施安全61条放置敏感或重要设备的区域（例如机房）应尽量不引人注目，给外面的信息应尽量最少，不应该有明显的标志指明敏感区域的所在位置和用途。这些区域还应该被给予相应的保护，保护措施包括但不限于：所有出入口必须安装物理访问控制措施使用来宾登记表以便记录来访信息严禁吸烟62条必须对支持关键性业务活动的设备提供足够的物理访问控制。所有安全区域和出入口必须通过闭路电视进行监控。普通会议室或其它公众场合必须与安全区域隔离开来。无人值守的时候，办公区中的信息处理设备必须从物理上进行保护。门和窗户必须锁好。8.1.4防X外部和环境威胁第63条 办公场所和机房的设计和建设必须充分考虑火灾、洪水、地震、爆炸、骚乱等天灾或人为灾难，并采取额外的控制措施加以保护。64条机房必须增加额外的物理控制，选取的场地应尽量安全，并尽可能避免受到灾害的影响。机房必须有防火、防潮、防尘、防盗、防磁、防鼠等设施。65条机房建设必须符合国标GB2887-89《计算机场地技术条件》和GB9361-88《计算站场地安全要求》中的要求。66条机房的消防措施必须满足以下要求：必须安装消防设备，并定期检查。应该指定消防指挥员。机房内严禁存放易燃材料，每周例行检查一次。必须安装烟感及其他火警探测器和灭火装置。应每季度定期检查这些装备，确保它们能有效运作。必须在明显位置X贴火灾逃生路线图、灭火设备平面放置图以及安全出口的位置。安全出口必须有明显标识。应该训练员工熟悉使用消防设施。紧急事件发生时必须提供紧急照明。所有疏散路线都必须时刻保持通畅。必须保证防火门在火灾发生时能够开启。每年应至少举行一次火灾撤离演习，使工作人员熟知火灾撤离的过程。8.1.5在安全区域工作67条员工进入机房的访问授权，不能超过其工作所需的X围。必须定期检查访问权限的分配并及时更新。机房的访问权限应不同于进入大楼其它区域的权限。68条所有需要进入机房的来宾都必须提前申请。必须维护和及时更新来宾记录，以掌握来宾进入机房的详细情况。记录中应详细说明来宾的XX、进入与离开的日期与时间，申请者以及进入的原因。机房来宾记录至少保存一年。来宾必须得到明确许可后，在专人陪同下才能进入机房。69条机房的保护应在专家的指导下进行，必须安装合适的安全防护和检测装置。机房内严禁吸烟、饮食和拍摄。8.1.6机房操作日志70条必须记录机房管理员的操作行为，以便其行为可以追踪。操作记录必须备份和维护并妥善保管，防止被破坏。71条在机房值班人员交接时，上一班值班人员所遗留的问题以及从事的工作应明确交待给下一班，保证相关操作的延续性。8.2设备安全8.2.1设备的安置及保护72条必须对设备实施安全控制，以减少环境危害和非法的访问。应该考虑的因素包括但不限于：水、火烟雾、灰尘震动化学效应电源干扰、电磁辐射73条设备必须放置在远离水灾的地方，并根据需要考虑安装漏水警报系统。应急开关如电闸、煤气开关和水闸等都必须清楚地做好标识，并且能容易访问。设备都应该装有合适的漏电保险丝或断路器进行保护。放置设备的区域必须满足厂商提供的设备环境要求。设备的操作必须遵守厂商提供的操作规X。通信线路和电缆必须从物理上进行保护。8.2.2支持设施第74条 支持设施能够支持物理场所、设备等的正常运作，比如：电力设施、空调、排水设施、消防设施、静电保护设施等。必须采取保护措施使设备免受电源故障或电力异常的破坏。必须验证电力供应是否满足厂商设备对电源的要求。每年应至少对支持设施进行一次安全检查。工作环境中增加新设备时，必须对电力、空调、地板等支持设施的负荷进行审核。必须设置后备电源，例如不间断电源（UPS）或发电机。对需要配备后备电源的设备装置进行审核，确保后备电源能够满足这些设备的正常工作。每年必须至少对备用电源 /进行一次测试。应急电源开关应位于机房的紧急出口附近，以便紧急状况发生时可以迅速切断电源。电缆应根据供电电压和频率的不同而相互隔离。所有电缆都应带有标签，标签上的编码应记录归档。电缆应从物理上加以保护。8.2.3设备维护75条所有生产设备必须有足够的维护保障，关键设备必须提7x24的现场维护支持。所有生产设备必须定期进行预防性维护。只有经过批准的、受过专业培训的工作人员才能进行维护工作。设备的所有维护工作都应该记录归档。如果设备需要搬离安全区域进行修理，必须获得批准并卸载其存储介质。76条必须建立设备故障报告流程。对于需要进行重大维修的设备，流程还应该包含设备检修的报告，及换用备用设备的流程。8.2.4管辖区域外设备安全77条笔记本电脑用户必须保护好笔记本电脑的安全，防止笔记本电脑损坏或被偷窃。78条如果将设备带出公司，设备拥有者必须亲自或指定专人保护设备的安全。设备拥有者必须对设备在公司场所外的安全负责。8.2.5设备的安全处理或再利用79条再利用或报废之前，设备所含有的所有存储装置（比如硬盘等）都必须通过严格检查，确保所有敏感数据和软件已被删除或改写，并且不可能被恢复。应该通过风险评估来决定是否彻底销毁、送修还是丢弃含有敏感数据的已损坏设备。通信和操作管理方面9.1操作程序和职责9.1.1规X的操作程序80条必须为所有的业务系统建立操作程序，其内容包括但不限于：系统重启、备份和恢复的措施一般性错误处理的操作指南技术支持人员的联系方法与其它系统的依赖性和处理的优先级硬件的配置管理81条操作程序必须征得管理者的同意才能对其进行修改。操作程序必须及时更新，更新条件包括但不限于：应用软件的变更硬件配置的变更9.1.2变更控制82条必须建立变更管理程序来控制系统的变更，所有变更都必须遵守变更管理程序的要求。程序内容包括但不限于∶识别和记录变更请求评估变更的可行性、变更计划和可能带来的潜在影响变更的测试审批的流程明确变更失败的恢复计划和责任人变更的验收83条重要变更必须制定计划，并在测试环境下进行足够的测试后，才能在生产系统中实施。所有变更必须包括变更失败的应对措施和恢复计划。所有变更必须获得授权和批准，变更的申请和审批不得为同一个员工。对变更需要涉及的硬件、软件和信息等对象都应标识出来并进行相应评估。变更在实施前必须通知到相关人员。84条变更的实施应该安排在对业务影响最小的时间段进行，尽量减少对业务正常运营的影响。在生产系统安装或更新软件前，必须对系统进行备份。变更完成后，相关的文档（如系统需求文档、设计文档、操作手册、用户手册等）必须得到更新，旧的文档必须进行备份。85条必须对变更进行复查，以确保变更没有对原来的系统环境造成破坏。必须完整记录整个变更过程，并将其妥善保管。变更的记录应至少每月复查一次。9.1.3职责分离86条系统管理员和系统开发人员的职责必须明确分开。同一处理过程中的重要任务不应该由同一个人来完成，以防止欺诈和误操作的发生。87条所有职责分离的控制必须记录归档，作为责任分工的依据。无法采取职责分离时，必须采取其它的控制，比如活动监控、审核跟踪评估以及管理监督等。9.1.4开发、测试和生产系统分离88条不应给开发人员提供超过其开发所需X围的权限。如果开发人员需要访问生产系统，必须经过运营人员的授权和管理。89条生产、测试和开发应分别使用不同的系统环境。开发人员不得在生产环境中更改编码或操作生产系统。不得在生产系统上擅自安装开发工具（比如编译程序及其他系统公用程序等），并做好已有开发工具的访问控制。开发和测试环境使用的测试数据不能包含有敏感信息。9.1.5事件管理程序90条必须建立事件管理程序，并根据事件影响的严重程度制订其所属类别，同时说明相应的处理方法和负责人。必须根据事件的严重程度，定义响应的X围、时间和完成事件处理的时间。91条系统的修复必须得到系统管理者的批准方可执行。92条所有事件报告必须记录归档，并由部门主管或指定人员妥善保管。必须对事件的处理情况进行监控，对超时的处理提出改进建议并跟进改进效果。9.2第三方服务交付管理9.2.1服务交付93条第三方提供的服务必须满足安全管理制度的要求。第三方提供的服务必须满足公司业务连续性的要求。94条必须保留第三方提供的服务、报告和记录并定期评审，至少每半年一次。评审内容应包括：服务内容和质量是否满足合同要求；服务报告是否真实。9.2.2第三方服务的变更管理第95条 服务改变时，必须重新对服务是否满足安全管理办法进行评估。在服务变更时需要考虑：服务价格的增长；新的服务需求；公司信息安全管理制度的变化；公司在信息安全方面新的控制。9.3针对恶意软件的保护措施9.3.1对恶意软件的控制96条必须建立一套病毒防治体系，以便防止病毒对公司带来的影响。所有服务器、个人电脑和笔记本电脑都应该安装公司规定的防病毒软件，并及时更新防病毒软件。所有存进计算机的信息（例如接收到的、下载的文件等）都必须经过病毒扫描。员工和第三方厂商从外界带来的存储介质在使用之前必须进行病毒扫描。97条所有员工都应该接受防病毒知识的培训和指导。98条公司内发现的病毒、计算机或应用程序的异常行为，都必须作为安全事件进行报告。99条必须定期审核控制恶意软件措施的有效性。一旦发现感染病毒，必须立刻把机器从网络中断开。在病毒没有被彻底清除之前，严禁将其重新连接到网络上。9.4备份9.4.1信息备份100条所有服务器、个人电脑和笔记本电脑必须根据业务需求定期进行备份。系统在重大变更之前和之后必须进行备份。101条备份管理办法必须获得管理层的审批以确保符合业务需求。备份管理办法必须至少每季度进行一次复查，以确保没有发生未授权或意外的更改。102条应该保留多于1个备份周期的备份，但重要业务信息应至少保留3个备份周期的备份。备份资料和相应的恢复操作手册必须定期传送到异地进行保存。异地必须与主站点有一定的距离，以避免受主站点的灾难波及。103条必须对异地保存的备份信息实施安全保护措施，其保护标准应和主站点相一致。必须定期测试备份介质，确保其可用性。必须定期检查和测试恢复步骤，确保它们的有效性。备份系统必须进行监控，以确保其稳定性和可用性。9.5网络管理9.5.1网络控制104条网络管理和操作系统管理的职责应该彼此分离，并由不同的员工承担。必须明确定义网络管理的职责和义务。只有得到许可的员工才能够使用网络管理系统。105条必须建立相应的控制机制，保护路由表和防火墙安全管理办法等网络参数的完整性。保护通过公网传送敏感数据的XX性、完整性和可用性。106条进行网络协议兼容性的评估时应考虑将来新增网络设备的要求。任何准备接进网络的新设备，在进网前都必须通过协议兼容性的评估和安全检查。107条必须对网络进行监控和管理。所有网络故障都必须向上级报告。108条必须建立互联网的访问管理办法。除非得到授权，否则禁止访问外部网络的服务。9.6介质的管理9.6.1可移动介质的管理109条可移动计算机存储介质（比如磁带、光盘等）必须有适当的访问控制。存储介质上必须设置标签，以标识其类型和用途。标签应使用代码，以避免直接标识存储介质上的内容。标识用的代码需要记录并归档。110条必须建立和维护介质清单，并对介质的借用和归还进行记录。应确保备有足够的存储介质，以备使用。111条存放在存储介质内的绝密和XX信息必须受到妥善保护。112条存储介质的存放环境必须满足介质要求的环境条件（比如温度、湿度、空气质量等）。113条备份介质必须存储在防火柜中。应该对介质的寿命进行管理，在介质寿命结束前一年，将信息拷贝到新的介质中。9.6.2介质的销毁第114条 应建立存储介质的报废规X，包括但不限于：纸质文档语音资料及其他录音带复写纸磁带磁盘光存储介质115条所有不会被再利用的敏感文档都必须根据定义的信息密级采取适当的方式进行销毁。116条所有报废及过期的存储介质必须妥善销毁。9.6.3信息处理程序117条介质的信息分类，必须采用存放信息中的最高XX等级。118条应根据介质XX息的分类级别，采取相应措施来保护介质的输出环境。9.6.4系统文档的安全119条存取含有敏感信息的文档，必须获得相应文档管理者的批准。含有敏感信息的文档应保存在安全的地方，未经许可不得访问。含有敏感信息的文档通过内部网等提供访问的， 应采用访问控制加以保护。9.7信息交换9.7.1信息交换管理办法和程序120条必须根据信息的类型和XX级别，定义信息在交换过程中应遵循的安全要求。121条所有员工和第三方人员都必须遵守公司的信息交换管理办法。122条未经许可，公司内部不允许安装、使用无线通信设备。123条使用加密技术保护信息的XX性、完整性和真实性。敏感信息带出公司必须获得直接领导或信息管理者的授权。124条必须建立控制机制来保护利用音频、和视频通信设备进行交换的信息。125条录音系统应该配置密码，以防非法访问。126条在使用机中已存储的时，之前必须验证。127条移动通讯设备（比如手机，PDA等）不应存储公司敏感信息。9.7.2交换协议128条跟外界进行信息和软件交换必须签署协议，其内容必须包括：致方和接收方的责任明确致和接收的方式制定信息封装和传输的技术标准数据丢失的相关责任声明信息的XX级别和保护要求声明信息和软件的所有权、和其他相关因素9.7.3物理介质传输129条必须建立传输存储介质的安全标准。应使用可靠的传输工具或传递人，授权的传递人必须接受适当监管并进行其身份的检查。应确保敏感信息的XX性、完整性和可用性在传输全程中受到保护。130条存放介质的容器在运输过程前必须密封。信息分类不应该标识在容器的外面。包装应该非常结实，确保介质在运输过程中不受到损坏。9.7.4电子消息131条电子化办公系统必须建立相应的管理办法和控制机制，并阐明下列内容：确定不能被共享的信息的类型或密级系统用户的权限系统的访问控制与系统相关的备份管理办法132条除非获得安全管理委员会的授权，否则禁止使用公司以外的电子系统（比如BBS、MSN、QQ等）进行跟公司相关的活动。133条电子内的信息必须根据其信息分类的安全要求去处理和保护。用于连接外网的网关必须安装防病毒软件，检查进出的电子。必须对Internet屏蔽系统的内网IP地址。134条员工使用公司的系统时只能进行与业务相关的活动。所有在公司的系统上产生及存储的都是公司资产。公司有权查看和监控所有。未经授权，严禁使用公司以外的处理公司业务。所有对外致的都必须加上责任声明。9.7.5业务信息系统135条在业务系统进行信息共享时，必须保证信息的完整性、可用行和XX性。必须保证重要信息在交换过程中的XX性。9.8电子商务服务9.8.1电子商务第136条必须采取适当措施，保证电子交易过程的XX性、完整性和可用性。137条电子商务的交易必须制定相关的交易声明，以明确注意事项和相关责任。在电子商务的协议中，必须明确欺诈行为和未能交付的责任。138条电子交易必须设置并维护适当的访问控制。身份验证技术必须满足业务的实际要求。139条必须保留并维护所有电子商务交易过程中的记录和日志。140条应该使用加密、电子证书、数字签名等技术保护电子商务安全。9.8.2在线交易第141条必须保护在线交易信息，避免不完整的传输、路由错误、未授权的消息更改、未授权的信息信息泄漏、复制和回复。142条在线交易中必须使用数字证书保护交易安全。交易中必须使用加密技术对所有通信内容加密。在线交易必须使用安全的通讯协议。143条在线交易信息必须保存在公司内部的存储环境，存储环境不能被从 Internet 直接访问。第144条 在线交易必须遵守国家、地区和行业相关的法律法规。9.8.3公共信息145条必须确保公共信息系统XX息的完整性，并防止非授权的修改。146条信息的发布必须遵守国家法律法规的要求。通过信息发布系统向内部和公众发布的信息都必须经过公司相关部门的检查和审批。信息在发布之前必须经过核对，确认其正确性和完整性。必须对敏感信息的处理和存储过程进行保护。9.9监控9.9.1日志147条所有操作系统、应用系统都必须具有并启用日志记录功能。148条日志记录信息必须包括但不限于：用户ID；每项操作的日期和时间（至少要精确到秒）；来源的标识或位置；成功的系统访问尝试；失败或被拒绝的系统访问尝试；第149条 日志类型包括但不限于：应用日志；系统日志；安全日志；操作日志；问题记录。第150条 必须确保日志记录功能在任何时候都能正常运行。应该有机制监控日志的容量变化，在容量耗尽之前发出报警信息。151条除非特别声明，所有日志都必须被分类为“XX”。日志应该定期复查，至少每月一次。9.9.2监控系统的使用第152条 不同的信息处理设备所要求的监控等级应该通过风险评估来决定，必须考虑下列要素：系统的访问；所有特权操作；未授权的访问尝试；系统警报或故障。153条应每天定时监控网络（包括网络性能和网络故障），并根据产生的报告，对异常变化的网络流量，作进一步分析，以发现潜在的网络安全问题。9.9.3日志信息保护154条必须保证日志不能被修改或删除，所有对于日志文件的访问（如删除、写、读或添加）尝试都应该有相应记录。155条除非特别声明，日志必须至少保存1年。只有授权的员工才能访问并使用日志。必须采取控制措施保护日志的完整性。9.9.4管理员和操作员日志156条系统管理员和操作员的操作必须被记录日志。157条日志记录应包括重要的操作，例如与用户管理相关的操作（用户XX的创建、删除、权限设置、修改） 、与财务相关的操作等。158条管理员和重要系统的操作员日志应该至少每周复查一次。对于重要的财务系统和业务系统每天都要复查。9.9.5故障日志159条必须启动故障日志功能。160条必须保证故障记录的跟进处理，确保问题得到完全解决，并且其纠正措施不会带来新的安全问题。所有故障记录都应该向上级汇报并记录归档。161条故障记录应妥善保管，防止被损坏，必要时应该进行备份。9.9.6时钟同步第162条 所有系统应该使用时钟同步服务，并使用同一时钟源。第163条 所有系统中的时间允许最多一分钟的偏差。164条对于不能进行时钟同步的系统，必须对时间进行每月一次的检查。访问控制方面10.1 访问控制要求10.1.1 访问控制管理办法165条所有系统和应用都必须有访问控制列表，由系统管理者明确定义访问控制规则、用户和用户组的权限以及访问控制机制。访问控制列表应该进行周期性的检查以保证授权正确。166条访问权限必须根据工作完成的最少需求而定，不能超过其工作实际所需的X围。必须按照“除非明确允许，否则一律禁止”的原则来设置访问控制规则。167条所有访问控制必须建立相应的审批程序，以确保访问授权的合理性和有效性。必须禁用或关闭任何具有越权访问的功能。员工的职责发生变化或离职时，其访问权限必须作相应调整或撤销。168条系统自带的默认XX应该禁用或配置密码进行保护。10.2 用户访问管理10.2.1用户注册169条开放给用户访问的信息系统，必须建立正式的用户注册和注销程序。170条所有用户的注册都必须通过用户注册程序进行申请，并得到部门领导或其委托者的批准。系统管理者对用户具有最终的授权决定权。必须保留和维护所有用户的注册信息的正式用户记录。171条负责用户注册的管理员必须验证用户注册和注销请求的合法性。172条每个用户必须被分配唯一的XX，不允许共享用户XX。用户一旦发现其XX异常，必须立即通知负责用户注册的管理员进行处理。如果用户XX连续120天没有使用，必须禁用该XX。173条XX名不能透露用户的权限信息，比如管理员XX不能带有Admin字样。10.2.2特权管理174条必须建立正式的授权程序，以确保授权得到严格的评估和审批，并保证没有与系统和应用的安全相违背。175条必须建立授权清单，记录和维护已分配的特权和其相对的用户信息。10.2.3用户密码管理176条只有在用户身份被确认后，才允许对忘记密码的用户提供临时密码。177条系统中统一管理XX密码的模块保存的密码必须是加密的。178条密码必须XX，不得与他人分享、放在源代码内或写在没有保护的介质上（如纸X）。179条必须强制用户在第一次登录时修改密码。180条系统应该设置定期的密码修改管理办法，并限制至少最近3个旧密码的重用。第181条 系统必须启用登录失败的限制功能，如果连续 10次登录失败，系统应该自动锁定相关XX。182条在通过传送密码以前必须确认对方的身份。183条禁止XX和密码被一起传送，例如用同一封传送XX和密码。184条所有系统都应该建立应急XX，应急XX资料必须放在密封的信封内妥善收藏， 并控制好信封的存取。必须记录所有应急XX的使用情况，包括相关的人、时间和原因等。应急XX的密码在使用后必须立刻修改，然后把新的密码装到信封里。10.2.4用户访问权限的检查185条必须半年对注册用户的访问权限和系统特权进行一次复查，关键系统必须每三个月复查一次。此过程应该包括但不限于：确认用户权限的有效性和合理性找出所有异常XX（如长时间未使用和已离职人员的XX等），进行分析并采取相应措施第186条必须对可疑的或不明确的访问权限进行调查，并作为安全事故进行报告。10.3 用户的责任10.3.1密码的使用187条用户必须对其XX的安全和使用负责，无论在何种情况下，用户都不应该泄漏其密码。用户不应该使用纸X或未受保护的电子形式保存密码。用户一旦怀疑其XX密码可能受到损害，应该及时修改密码。188条用户在第一次使用XX时，必须修改密码。用户必须至少每半年修改一次密码。特权XX的密码必须至少每3个月修改一次。用于系统之间认证XX的密码必须至少每半年修改一次。189条除非有技术限制，密码应该至少包含8个字符。此个字符必须包含数字和字母。190条用户不应使用容易被猜测的密码，例如字典中的单词、生日和等。前3次用过的密码不应该被重复使用。191条密码不应该被保存于自动登录过程中，例如IE中的XX自动保存。10.3.2 清除桌面及屏幕管理办法192条所有服务器和个人电脑都必须启用带有口令保护的屏幕保护程序，激活等待时间应少于10分钟。193条无人使用时，服务器、个人电脑和复印机等必须保持注销状态。194条不能将XX和绝密信息资料遗留在桌面上，而应该根据信息的XX等级进行处理。195条必须为信件收发区域以及无人看管的机设置适当的保护措施。196条打印完敏感信息之后，必须确认信息已从打印队列中清除。10.4 网络访问控制10.4.1 网络服务使用管理办法197条必须建立授权程序来管理网络服务的使用。198条应遵循业务要求中所说明的访问控制管理办法来限制访问。199条所有系统都必须设置访问控制机制来防止未经授权的访问。10.4.2外部连接的用户认证200条对公司系统进行远程访问，必须建立适当的认证机制，采用的机制应通过风险评估来决定。201条通过拨号进行远程访问必须经过正式批准，并做好相关记录。202条用于远程访问的调制解调器平时必须保持关闭，只有在使用的时候才能打开。第203条 在公司外部进行远程办公，必须使用 VPN进行连接。204条与外部合作伙伴进行信息交换，应该使用专线进行连接。10.4.3远程诊断和配置端口的保护205条在不使用的时候，诊断端口应该被禁用或通过恰当的安全机制进行保护。206条如果第三方需要访问诊断端口，必须签订正式的协议。207条对远程诊断端口的访问，必须建立正式的注册审批程序。访问者必须只被授予最小的访问权限来完成诊断任务，并且必须得到认证。208条所有远程的诊断访问必须事先申请并获得批准。209条在远程诊断会话期间，必须记录所有执行的活动信息，包括时间、执行者、执行动作和结果等。这些记录应该由系统管理员进行检查以确保访问者只执行了被授权的活动。10.4.4网络的划分210条必须将网络划分为不同的区域，以提供不同级别的安全保护，满足不同服务的安全需求。211条对于重要的网络区域必须设置访问控制以隔离其他网络区域。212条应该使用风险评估来决定每个区域的安全级别。213条公司外部和内网之间应该建立一个DMZ。10.4.5网络连接的控制214条公司以外的网络连接，在建立连接前必须对外部的接入环境进行评估，满足公司管理办法后才能接入。215条所有网络端口必须进行限制，以防止非授权的电脑接入公司网络。限制要求至少应包括：所有的端口默认都是关闭的，只有在经过正式批准后才能开通；端口的关闭必须在员工离职和岗位变动流程中体现；临时使用的端口或位置变动，员工必须主动申请停用原有端口，开通新端口前必须先关闭原有端口。第216条必须将网络接口和接入设备绑定，如果需要更换接入的设备，必须经过部门经理的审批。第217条 所有接入公司网络的主机必须经过公司的标准化安装。218条公司必须设立一个单独的网络区域供非公司标准化安装的电脑接入，此区域在网络上是完全封闭、独立的。10.4.6网络路由的控制219条路由访问控制列表必须基于适当的源地址和目标地址检查机制。所有对外提供网络服务的网络地址必须进行地址转换。220条所有重要服务器的管理端口必须通过指定的路径进行访问。10.5 操作系统访问控制10.5.1用户识别和认证221条所有用户都应该被识别和认证。在每个系统上创建实名用户，系统登陆必须使用实名用户。如果因特殊原因不能使用实名用户登陆，必须经过安全管理委员会同意。222条用户认证失败信息中，应该不显示具体的失败原因。例如不能显示“XX不存在”或“密码不正确”。223条如果由于业务要求需要使用共享用户XX，那么此共享XX应该得到正式的批准并明文归档。224条系统管理员和应用管理员必须使用不同的XX。225条所有使用XX密码进行认证的系统，在XX密码传送过程中，应该采用加密保护措施防止泄漏。10.5.2密码管理系统226条系统应该强制用户在第一次成功登录后修改初始密码。修改密码时，系统必须提示用户确认新密码，以防止输入错误。不能明文显示输入的密码。227条密码文件应该与应用系统数据分开存储。密码处理时必须使用单向加密。当密码接近失效期或者已经过期时，系统应该提示或强制用户修改密码。228条所有默认的密码都应当在软件安装后立即更改。系统应该允许用户修改自己的密码。第229条 系统的密码管理办法必须满足如下要求：密码长度至少8个字符；启用密码复杂度要求，至少包括大写字母、小写字母、数字、特殊字符中的三种；管理员XX密码有效期是90天；重要系统的用户XX密码有效期是90天；非重要系统的普通XX密码有效期是180天；记录的历史密码次数不少于5个；XX密码验证失败锁定阀值是10次；XX被锁定后必须由管理员解锁。如果因系统自身的功能限制不能满足上述管理办法的要求，其设置的密码管理办法必须经信息安全管理委员会审核同意。10.5.3系统工具的使用230条所有系统工具都应当被识别，不必要的工具必须从生产系统中删除。10.5.4终端超时终止231条连接到服务器的所有终端，在30分钟内没有活动，都应该被终止连接。10.5.5连接时间的限制232条对关键的信息系统（如前置机、合作伙伴主机等）提供附加的安全保护，包括但不限于：1）只允许在之前协商好的时间段内访问（如：每天 6点—6点半）2）只允许在正常的工作时间内访问（如：每周一至周五 9点—点）3）远程诊断modem 在不使用时必须处于关闭状态，在使用后必须立即关闭。10.6 应用系统访问控制10.6.1信息访问限制233条应用系统应该控制用户的访问权限，如读写权限、删除权限以及执行权限。234条必须保证处理敏感信息的应用系统仅输出必需的信息到授权的终端，同时应对这些输出功能进行定期检查，保证不存在输出多余的信息。10.6.2 敏感系统的隔离235条应当根据应用系统的敏感程度对系统进行适当的隔离保护，比如：运行于指定的计算机上仅与信任的应用系统共享资源3）敏感系统的各个部分都应当以适当的方式进行保护。10.7 移动计算和远程办公10.7.1移动计算第236条 移动设备（包括个人手持设备、笔记本电脑）和家庭办公个人电脑都应该受到保护以防未授权访问。237条进行移动和家庭办公的员工，应该对其使用的设备做好物理保护，防止丢失、偷窃和破坏等。存放在移动设备中的敏感信息必须做好保护，比如采用加密以防泄漏。238条移动设备用户必须做好防病毒工作。移动设备中的公司信息应该做好备份工作，防止丢失。10.7.2远程办公239条必须建立远程办公的使用标准和授权程序。240条远程办公的访问权限必须基于最小权限的原则进行分配，授权内容应该包括：允许访问的系统和服务允许进行的工作访问时段241条远程办公的访问控制应该采用双重认证的方式。远程办公的信息在传输过程中必须加密。242条员工离职或不再使用远程办公时，必须取消其相关的远程办公访问权限。必须定期对远程办公实施审计和安全监控。信息系统采购、开发和维护方面11.1 系统安全需求11.1.1系统的安全需求分析与X围243条在系统开发的整个过程（特别是在系统需求阶段）都必须考虑安全需求，包括但不限于：系统架构用户认证访问控制和授权事务处理的XX性和完整性日志记录功能系统配置法律法规和兼容性要求系统恢复244条在系统的需求和设计阶段，需要对系统进行安全方面的评审。245条应该在开发的整个周期对安全需XX施的正确性进行阶段性检查，以确保其对应的安全措施按照要求被定义、设计、部署和测试。246条在使用商业软件或软件包前，必须按照上述安全需求进行评估。对于软件的安全控制要求应该在评估之前定义好。247条软件必须通过用户的正式验收后才能投入生产。软件在正式使用前必须经过安全方面的测试，测试内容必须包括所有设计文档中的安全要求。248条为了对用户的操作进行检查和审计，系统必须提供日志记录功能。系统应提供只有日志审计人员可以访问的用来查看日志记录的审计接口。日志文件必须设置严格的访问控制，包括系统管理员、日志审核员在内所有角色都只能有查看权限。11.2 应用系统中的安全11.2.1 数据输入的验证249条所有接受数据输入的入口必须有相应的验证处理，包括但不限于：数据的长度数据的类型数据的X围字符的限制250条根据业务需要，对于按照纸面信息输入的数据，系统应该提供“数据在输入被确认”之后才能提交的功能。251条系统应该对错误的输入数据提供有帮助的提示信息。必须对数据输入验证功能进行全面的测试， 以保证其正确性和有效性。系统在使用过程中，应该明确定义参与数据输入各环节所有相关人员的职责。11.2.2内部处理的控制252条应用系统的设计应该考虑以下因素，防止正确输入的数据因错误处理或人为因素等遭到破坏：程序应该有处理的校验机制程序应该有相应的例外处理机制对于有先后执行顺序的程序或程序模块，内部必须有执行顺序的限制机制第253条控制措施的选择应根据应用的性质和数据受损对业务造成的影响而定，可选择的措施包括但不限于：会话或批处理控制措施，在事务更新后协调相关数据文件的一致性验证系统生成数据的正确性检查数据完整性，特别是在计算机之间传输的数据计算记录和文件的哈希值以便验证确保程序以正确的顺序运行，在出现故障时终止，在问题解决前暂停处理11.2.3消息验证254条对需要确保消息内容完整性的应用（例如电子交易）应该使用消息验证。255条在采用消息验证之前，应该通过安全风险评估，以确定其是否能满足需要或采取其他更适合的解决方式。11.2.4 数据输出的验证256条应该使用检查输出数据合理性的机制。应该使用确保数据被全部处理的机制。257条输出的数据应该含有相关标志，以便判断数据的状态（例如是否准确、是否完整等）。必须对数据输出验证功能进行全面的测试，以保证其正确性和有效性。258条系统在使用过程中，应该明确定义参与数据输出各环节所有相关人员的职责。11.3 加密控制11.3.1加密的使用管理办法第259条 敏感信息应该根据信息分类的要求采用加密措施进行保护。260条加密措施的采用不但要考虑到信息存储，也应该考虑到信息传输的要求。应该使用被公司认可的标准加密算法。261条未经安全管理委员会的同意，用户不能安装任何未经授权的加密软件。262条加密算法应该根据算法强度和密钥长度进行选择，以符合信息保护的要求。263条数字签名的使用必须符合国家电子签名法的相关规定。11.3.2密钥管理第264条 密钥管理系统应该包括以下活动：密钥产生密钥变更密钥存储密钥交换和分发密钥注销密钥恢复和备份密钥销毁11.4 系统文件的安全11.4.1生产系统的应用软件控制265条生产系统的应用软件更新必须由获得授权的管理员来执行。266条严禁在生产系统中保留应用软件的源代码。必须建立程序库统一保管和维护应用程序的可执行代码。267条在测试成功、用户验收完成或相关的程序库被更新前，严禁更新生产系统中的可执行代码。268条必须对程序库做好访问控制，并对程序库的更新进行日志记录。269条应用软件必须做好版本控制管理，每一个版本都必须有相应的备份。源代码的所有版本都必须保留，并标识版本号，每个版本之间的差异描述要文档化。11.4.2测试数据的保护270条测试系统应该参照生产系统的访问控制规则进行访问控制。271条每次从生产系统中复制数据到测试系统中必须获得授权，并做好记录。从生产系统中复制的数据必须经过处理，去掉有关财务和个人隐私的信息。11.4.3对程序源代码库的访问控制272条应该建立程序源代码库，并由指定人员进行统一管理。正在开发或修改的程序不应该保存在程序源代码库中。273条更新程序源代码库和向程序员提供程序源代码，应通过指定的程序源代码库管理员来执行，并且获得管理层的授权。程序源代码必须保存在安全的环境中。274条必须控制程序源代码库的访问，只提供工作需要的最小权限。程序源代码的访问必须做好相关记录。275条程序源代码必须做好版本控制管理，每一个版本都必须有相应的备份。11.5 开发和维护过程中的安全11.5.1 变更控制流程276条所有应用软件的变更必须获得批准。277条应用软件的变更需求应该由业务部门授权的资深人员提出。应用软件的变更不应破坏软件本身的可靠性和已有的控制措施。278条变更需求中应该包括对运行环境的要求（如硬件资源、软件资源等）。279条变更的设计方案必须通过正式的批准才能开始编码。变更在部署之前必须通过验收。280条变更的部署必须尽量减少对业务正常运行的影响。281条变更完成后，相关的文档（如系统需求文档、设计文档、操作手册、用户手册等）必须得到更新，旧的文档必须进行备份。282条必须维护所有软件更新的版本控制。必须维护所有变更需求的记录。11.5.2操作系统变更的技术检查283条操作系统变更之前必须进行评估，以确保应用程序的完整性和控制措施不会受到破坏。操作系统变更之前必须通知相关人员，以便他们有足够的时间去做相关的评估。284条操作系统变更之后必须对业务连续性计划作相应修正。11.5.3 商业软件的修改限制285条由厂家提供的商业软件不应该被修改。如果需要修改商业软件，必须评估下列影响：软件功能和内部的控制措施是否会受到破坏是否会导致厂家的升级包不能使用原厂商对修改过的软件是否不提供维护支持286条在进行任何修改之前，必须得到厂家的允许，以保证不侵犯其知识产权。11.5.4 信息泄漏287条软件的开发、采购和使用都应该受到控制和检查，以防X可能的隐秘通道、逻辑炸弹、木马等。以下几点必须被考虑到：只从信誉良好的厂家购买软件关键系统上的工作必须由值得信任的员工担任购买获得国家有关机构认可的软件所有开发的代码都必须进行安全检查，确定无问题后才可以部署在生产环境。第288条所有源代码应该进行恰当的注释，以方便检查。11.5.5软件开发的外包289条所有外包开发的软件，必须签定正式的合同，合同内容包括但不限于：确定软件许可证的X围和数量明确代码所有权和知识产权的归属对代码质量的要求有权对软件开发过程进行审计软件维护要求290条外包软件在正式使用前，必须经过病毒检测和充分测试。对于提供源代码的外包软件，必须对源代码进行充分的安全检查。11.6 技术漏洞管理11.6.1控制技术漏洞291条根据漏洞的严重程度制定漏洞的风险等级评估标准和处理时间要求。292条必须建立技术漏洞的监控机制，及时发现漏洞，修补漏洞。定义公司员工在漏洞管理流程中的角色和职责。293条补丁在安装之前必须进行测试和评估，确保补丁不会影响系统的正常运行并可以正常回退后才能安装。如果补丁不能安装，必须采取其他的控制措施，控制措施包括但不限于：停止漏洞利用的相关服务或功能增加访问控制阻挡漏洞或缩小漏洞的来源增加监控和检测机制升级防病毒代码库到可以查杀利用漏洞的病毒的版本5）重要系统必须优先进行漏洞处理。294条内部开发的系统在发现漏洞后必须立即开发补丁程序，并在补丁发布前采取其他控制措施，避免漏洞被利用。信息安全事件的管理12.1 报告信息安全事件和漏洞12.1.1信息安全事件报告295条必须对员工明确说明需要报告的安全事件。员工有责任报告安全事件。296条必须制定安全事件的分类、识别方法及建立相关的报告程序，以便安全事件得到及时的报告和处理。297条员工一旦发现重要信息可能或正在遭受破坏，必须立即按照相关的报告程序向公司报告。如果可能的话，还应采取适当的措施来监控并保护这些重要信息。298条当外界对公司发生的安全事件进行询问和调查时，员工必须将这类请求转交给公司的品牌宣传部进行处理，严禁私自回应。299条严禁员工私自对安全事件进行调查和利用公司环境对其进行研究试验。300条当安全事件发生时，应当成立安全事件调查组，并明确其职责；其成员应具备相应的处理技能。301条安全管理代表应该维护事件报告数据库，分析并确定事件发生的基本原因和应当采取的注意事项。302条通过信息安全管理会议，安全管理委员会必须每季度对所有重大的安全事件报告进行复审。12.1.2 信息安全漏洞报告303条应该对员工明确说明需要报告的安全漏洞。员工有责任报告安全漏洞。304条应该制定安全漏洞的分类、识别方法及建立相关的报告程序，以便安全漏洞得到及时的报告和处理。在技术符合性测试中发现的问题应被当作安全漏洞进行处理。12.2 信息安全事件的管理和改进12.2.1职责和程序305条必须建立信息安全事件处理程序，程序必须包括以下内容：角色定义和职责；不同安全事件的处理方法及注意事项；系统应急恢复措施；审计追踪和证据收集要求；安全事件的补救措施和纠正注意事项。306条信息安全事件处理程序必须能够适应不同类型的信息安全事件。307条参与信息安全事件处理的每位成员必须清楚他们的角色和职责。308条当发现已经产生严重影响或可能带来严重影响的安全事件时，必须立即停止事件中直接受影响系统的服务。程序中必须定义每个处理环节的响应和处理时间要求，并在实际处理中严格执行。12.2.2从安全事件中学习309条必须对安全事件进行复审，并对事件的类型、影响程度和所带来的损失等进行分析和监控。310条必须从已发生的事件和故障中总结经验，分析造成事件的根本原因，增强安全控制管理，避免问题的再次发生。311条信息安全培训应增加有关安全事件处理方面的内容。12.2.3安全事件处理要求312条证据的收集应该满足法律法规的要求，313条证据的收集应该寻求法律部门、安全专家和外部相关机构的建议和帮助。业务连续性管理方面13.1 业务连续性管理13.1.1业务连续性管理流程314条业务连续性计划的制订必须有信息管理中心、业务部门和公司高层的参与。315条必须对公司业务所面临的风险进行评估，综合考虑其可能性和影响。必须进行业务影响分析，识别业务的重要性和评估风险对业务带来的影响。应根据业务影响分析的结果，制定符合公司业务目标的业务连续性计划，并通过管理层的审批。业务连续性计划必须经过演练测试。13.1.2业务连续性及风险评估316条业务影响分析应该在风险评估的基础上进行。业务影响分析应该对直接损失进行量化，并且综合评估公司声誉的损失、法规的违反以及人员的伤亡等。第317条 业务影响分析的结果报告必须提交管理层进行审批。13.1.3开发和实施包括信息安全的持续计划第318条 业务连续性计划应该包括以下几点：识别关键业务流程及其从属流程流程恢复的优先次序所有的职责和紧急措施恢复管理办法恢复流程319条业务连续性计划必须涵盖所有关键业务流程，并且人员安全必须被优先考虑。应说明计划演练及修正的方式和时间安排。320条每个计划都应该有一个指定的总负责人，而且每个计划应该清楚地说明其激活的条件以及执行计划中每个要素的负责人。13.1.4业务连续性计划的测试、维护与再评估321条业务连续性演练必须每年至少进行一次，由安全管理委员会指导进行。322条必须为每项演练制定进度表，说明演练频率、目的以及方法。应该维护演练的完整记录，采取适当的措施解决遇到的问题并改进现有的流程。323条计划必须定期维护以确保其有效性，并指定人员负责维护，在出现下列情况时，必须对计划进行在评估和更新：法律的变化员工和公司的变化业务的变化业务系统和运行环境的变化（如操作系统的升级）第三方责任人的变化（如承包人、供应商）地址或者联系的变化风险评估和业务影响分析的变化地点、设备和资源的变化324条计划的更新必须通过正式的审批，最新的版本必须妥善保存，并分发给所有相关人员。附则325条本制度对公司信息安全管理工作的指导是基础和根本性的，其它所有相关制度都应与本制度保持一致。326条本制度由信息安全管理委员会负责解释本制度自印发之日起生效。Dr3uhd3uhd3uの断喉弩好多年课代表卡不都快递吧坤角儿进而34就可蛕?D脙軟媁?vo滂焜蔣り鳄N-P"-觞?F瀢鷲SXWJ扱锴咼?wb,O?hW芀嚙八??迎锃楧D峘?wB賛装綄衈瞹嘁尥?b袦〨箻>y邴詑攗檢锟袥匏憌?&丹鐘w鲽毨艟熋H?&鰢?L?&?;.z刧绗鰀畬拃Szl<4-榌m"`Y朗k?<v?+犢`Hmu鏸褛埈蕛癤當↓?m%犔?QVP?0}<蜈_"?绹爔@豴纴餚??鉙??hte候R]?~D"`檘堑乒齊??砱蜮陾巁?g?硃?}'硘敍橼?G贒?IJ]w谆揚?+醸羛Ⅺ;H?豋H(r8v?崂)y铰吮野m擪楋岠?8..呫諜啿jgy圕蜽褘燅?晳羀矤厎?v?;~`騴捃鶁R?脅一痯譊噼阜z?;O?-婗妸兼譫烴H树畲门?`?深奨劇臕鮥?!荳呜??bO獳?n瘾餰蜰z7}3|庽鮵擶ow:缀e?材儍杊咁舰ep?m)?}沟钇侭橎牣酸:t镚F|肰噿噚????<m鎔鮢`1褡?qQ?蟭櫰ㄉ漩┭擻褐鹳鶩獐??秆氉賡I=d殂填踹狤鳭`>鍚揝剾貀窴権?K猞僗野x'[.?=イ萙S?穊堺崖?*繍Y犡cn{*唇竟瘡缀頎??挤睈>y軩-%]q1?r鍼滜?jMR=cZ]?X?Pox邦漺癬荵挜FQ?<J鍔峜摤蚗平绂?BDr3uhd3uhd3uの断喉弩好多年课代表卡不都快递吧坤角儿进而34就可蛕?D脙軟媁?v滂焜蔣り鳄N-P"-觞?F瀢鷲2SXWJ扱锴咼?wb,O?hW芀嚙八??迎锃楧D峘?w賛装綄衈瞹嘁尥?b袦〨20箻>y邴<v?+犢`Hmu鏸褛埈蕛癤當↓?m%犔?QVP?0}<蜈"?绹爔@豴纴餚??鉙??hte候R]?~D"`檘堑乒齊??砱蜮陾巁?g硃?}'硘敍橼?G贒?IJ]w谆揚?+醸羛Ⅺ;H豋H(r8v崂)y铰吮野m擪楋岠?8..呫諜啿jg圕蜽褘s燅?晳羀矤厎?v?;~`騴捃鶁R?脅一痯譊噼阜z?;O?-婗妸兼譫烴H树畲门?`?深奨劇臕鮥?!荳呜??b踱bY???梯魏%鳊;?D蘞Vゴ咉M?.噎丂fZJY@竖莈6q蝚q@?f谵僉聒涒鏼(3輋uUE俚F?哘拒頤僛??捚?[薲爐箍x滟ム嶦绯鎔鮢`1R褡?qQ蟭櫰ㄉ漩┭擻褐鹳鶩獐??秆氉賡I=d殂填踹狤鳭`>鍚揝剾貀窴権?K猞僗野x'[.?=イ萙S?穊堺崖?*繍Y犡cn{*唇竟瘡缀頎??挤睈>y軩-%]q1?r鍼滜?jMR=cZ]?X?Pox邦漺癬荵挜FQ?<J鍔峜摤蚗平绂?BDr3uhd3uhd3uの断喉弩好多年课代表卡不都快递吧坤角儿进而34就可蛕?D脙軟媁?v滂焜蔣り鳄N-P"-觞?F瀢鷲2SXWJ扱锴咼?wb,O?hW芀嚙八??迎锃楧D峘?w賛装綄衈瞹嘁尥?b袦〨20箻>y邴<v?+犢`Hmu鏸褛埈蕛癤當↓?m%犔?QVP?0}<蜈"?绹爔@豴纴餚??鉙??hte候R]?~D"`檘堑乒齊??砱蜮陾巁?g硃?}'硘敍橼?G贒?IJ]w谆揚?+醸羛Ⅺ;H豋H(r8v崂)y铰吮野m擪楋岠?8..呫諜啿jg圕蜽褘s燅?晳羀矤厎?v?;~`騴捃鶁R?脅一痯譊噼阜z?;O?-婗妸兼譫烴H树畲门bY???梯魏%鳊;?D蘞Vゴ咉M?.噎丂fZJY@竖莈6q蝚q@?f谵僉聒涒鏼(3輋uUE俚F?哘拒頤僛??捚?[薲爐箍x滟ム嶦绯?+担擷擾卯懕aQ捠挧嘞腕%锂?"啰h?.逌廇^.[W9衢踺隗?{峥抙?4囪W壶%俒資Y~胘Wje樽碜鈊Q?L搓4}袂刍窖??A畔/7q?誐棏誄斛?X喗K┘轠唇竟瘡缀頎??挤睈>y軩-%]q1?r?.鍼滜?jMR=cZ]?X?Pox邦漺癬荵挜FQ?<J鍔峜摤蚗平绂?B?+担擷擾卯懕aQ捠挧嘞腕%锂?"啰h?.逌廇^.[W9衢踺隗?{峥抙?4囪W壶%俒資?Y~胘Wje樽碜鈊Q?L搓4}袂刍窖??A畔/7q?誐棏誄斛?X喗K┘轠揋剬W駒?p鹺惯堒飮鰌?`胆烲?:什听揯瑽坂:?閕粸?pW]d;=vM╀??z衡$z謘澢辑鞫▍獐昃≠O獳?n瘾餰蜰唇竟瘡缀頎??挤睈>y軩-%]q1?r?.鍼滜?jMR=cZ]?X?Pox邦漺癬荵挜FQ?<J鍔峜摤蚗平绂?BDr3uhd3uhd3の断喉弩好多年课代表卡不都快递吧坤角儿进而就可蛕?D脙軟媁?vo滂焜蔣り鳄N-P"-觞?F瀢鷲SXWJ扱锴咼?wb,O?hW芀嚙八??迎锃楧D峘?w賛装綄衈瞹嘁尥?b袦〨20箻>y邴詑攗檢锟袥匏憌?&丹鐘w鲽毨艟熋H?&鰢?L?&?;.z刧绗鰀畬拃Szl<4-榌m"`Y朗k?儤<v?+犢`Hmu鏸褛埈蕛癤當↓?m%犔?QVP?0}<蜈"?绹爔@豴纴餚??鉙??hte候R]?~D"`檘堑乒齊??砱蜮陾巁?g硃?}'硘敍橼?G贒?IJ]w谆揚?+醸羛Ⅺ;H豋H(r8v?崂)y铰吮野m擪楋岠?8..呫諜啿jg圕蜽褘燅?晳r?羀矤厎?v?;~`騴捃鶁R?脅一痯譊噼阜z?;O?-婗妸兼譫烴H树畲门?`?深奨劇臕鮥?!荳呜??b踱4b羾右檉骽曜RbY???梯魏%鳊;?D?蘞Vゴ咉M?.?U噎丂fZJY@竖莈6q蝚q@?f谵僉聒涒鏼(3?輋uU俚F?哘拒頤僛??捚?[薲爐箍x滟ム嶦绯?+担擷擾卯懕aQ捠挧嘞腕??秆氉賡I=d殂填踹狤鳭`>鍚揝剾貀窴権?K猞僗野x'[.?=イ萙S?穊堺崖?*繍Y犡cn曦{*唇竟瘡缀頎??挤睈>y軩-%]q1?r?.鍼滜?jMR=cZ]?X?Pox邦漺癬荵挜FQ?<J鍔峜摤蚗平绂?BDr3uhd3uhd3の断喉弩好多年课代表卡不都快递吧坤角儿进而就可蛕?D脙軟媁?vo滂焜蔣り鳄N-P"-觞?F瀢鷲SXWJ扱锴咼?wb,O?芀嚙八??迎锃楧D峘?w賛装綄衈瞹嘁尥?b袦〨20箻>y邴詑攗檢锟袥匏憌?&丹鐘w鲽毨艟熋H?&鰢?L?&?;.z刧绗鰀畬拃Szl<4-榌m"`Y朗k?儤<v?+犢`Hmu鏸褛埈蕛癤當↓?m%犔?QVP?0}<蜈"?绹爔@豴纴餚??鉙??hte候R]?~D"`檘堑乒齊??砱蜮陾巁?g硃?}'硘敍橼?G贒?IJ]w谆揚?+醸羛Ⅺ;H豋H(r8v?崂)y铰吮野m擪楋岠?8..呫諜啿jg圕蜽褘燅?晳r?羀矤厎?v?;~`騴捃鶁R?脅一痯譊噼阜z?;O?-婗妸兼譫烴H树畲门?`?深奨劇臕鮥?!荳呜??b踱4b羾右檉骽曜RbY???梯魏%鳊;?D蘞Vゴ咉M?.噎丂fZJY@竖莈蝚q@?f谵僉聒涒鏼(3輋uU俚F?哘拒頤僛??捚?[薲爐箍x滟ム嶦绯?+担擷擾卯懕aQ捠挧嘞腕%锂?"啰逌廇^.[W9衢踺隗?{峥抙e?4囪W壶%俒資?Y~胘Wje樽碜鈊Q?L搓4}袂刍窖??A畔/7q?誐棏誄斛?X喗K┘轠揋剬W駒?p鹺惯堒飮曦{*唇竟瘡缀頎??挤睈>y軩-%]q1?r?.鍼滜?jMR=cZ]?X?Pox邦漺癬荵挜FQ?<J鍔峜摤蚗平绂?BDr3uhd3uhd3の断喉弩好多年课代表卡不都快递吧坤角儿进而就可蛕?D脙軟媁?vo滂焜蔣り鳄N-P"-觞?F瀢鷲SXWJ扱锴咼?wb,O?芀嚙八??迎锃楧D峘?w賛装綄衈瞹嘁尥?b袦〨20箻>y邴詑攗檢锟袥匏憌?&丹鐘w鲽毨艟熋H?&鰢?L?&?;.z刧绗鰀畬拃Szl<4-榌m"`Y朗k?儤<v?+犢`Hmu鏸褛埈蕛癤當↓?m%犔?QVP?0}<蜈"?绹爔@豴纴餚??鉙??hte候R]?~D"`檘堑乒齊??砱蜮陾巁?g硃?}'硘敍橼?G贒?IJ]w谆揚?+醸羛Ⅺ;H豋H(r8v?崂)y铰吮野m擪楋岠?8..呫諜啿jg圕蜽褘燅?晳r?羀矤厎?v?;~`騴捃鶁R?脅一痯譊噼阜z?;O?-婗妸兼譫烴H树畲门?`?深奨劇臕鮥?!荳????<m鎔鮢`1R褡?qQ蟭櫰ㄉ漩┭擻褐鹳鶩獐??秆氉賡I=d殂填踹狤鳭`>鍚揝剾貀窴権?K猞僗野x'[.?=イ萙S?穊堺崖?*繍Y犡cn{*唇竟瘡缀頎??挤睈>y軩-%]q1?r鍼滜?jMR=cZ]?X?Pox邦漺癬荵挜FQ?<J鍔峜摤蚗平绂?BDr3uhd3uhd3uの断喉弩好多年课代表卡不都快递吧坤角儿进而34就可蛕?D脙軟媁?v滂焜蔣り鳄N-P"-觞?F瀢鷲2SXWJ扱锴咼?wb,O?hW芀嚙八??迎锃