PC桌面标准化说明

精选优质文档-----倾情为你奉上精选优质文档-----倾情为你奉上专心---专注---专业专心---专注---专业精选优质文档-----倾情为你奉上专心---专注---专业东方中安信息技术有限公司PC机系统及桌面标准化说明（初稿）发布时间：2018.4发布部门：版本号：批准人：目录PC桌面标准化说明一、统一电脑设置：为规范公司的电脑配置与管理，提高工作效率，从而更好地为办公服务。计算机机器名称的统一规范化命名，便于通过计算机识别设备所在区域和用户例：东方中安-JasonWINDOWS操作系统安装公司采购的正版系统，开启自动更新功能的实现，使每台能够上网的机器都能及时从互联网上下载最新补丁程序，有效防范病毒等恶性事件的发生。取消域用户的本地系统管理员权限（设为PowerUsers），防止用户擅自安装非法软件和更改系统配置按新的密码规则修改本地Administrator的密码（新员工PC机初始密码：）二、标准电脑软件安装及配置：常规系统及软件1、Windows10系统及语言包2、赛门铁克杀毒软件及病毒库数据更新（病毒库每周更新一次）3、Altiris（硬件资产管理)4、Office2016中小企业版5、工具软件：WinRAR（可以安装，但不是标准软件）6、7、其他需要安装的软件需和上级部门主管批准针对任何游戏软件及非工作需要的软件，均应立即卸载并删除如果电脑有问题，请先排除故障后再做以下操作。三、信息资产分类分级管理程序目的和范围为降低公司重要资产因遗失、损坏、篡改、外泄等事件带来的潜在风险，这些风险将对公司的信誉、经营活动、经济利益等造成较大或重大损失，需要规范信息资产保护方法和管理要求，特制订本管理制度。本规定适用于本公司信息资产的安全管理，适用对象为本公司员工和所有外来人员。特殊岗位或特殊人员，另有规定的从其规定。公司信息资产是指一切关系公司安全和利益，在保护期内只限一定范围内人员知悉、操作、维护的事物、文档、项目、数据等资源。引用文件下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T22080-2016/ISO/IEC27001:2013信息技术-安全技术-信息安全管理体系要求GB/T22081-2016/ISO/IEC27002:2013信息技术-安全技术-信息安全管理实施细则《备份管理规定》《访问控制程序》《文件控制程序》职责和权限本管理规定作为全公司范围信息类资产的最低管理要求，各部门或各项目组，均可以根据客户要求，添加补充策略，并在本部门、本项目组内实施，与本规定一起，作为信息安全管理的工作指南。信息安全管理领导人组：是本公司信息资产安全管理工作的最高领导组织，总体负责信息资产的安全。信息安全管理工作小组：负责具体的协调组织实施及解释答疑等工作。各部门经理：作为本部门信息资产安全管理的最高责任者，有责任和权限保证本部门信息资产的安全。各信息的所有者：负责各信息资产的标识、分发和传递的控制；员工：应当熟悉本管理规定的内容，包括信息资产标识办法和使用管理规定，并切实贯彻到日常工作中。信息资产的分类分级4.1信息资产的分类公司信息资产分为：硬件资产、软件资产、数据资产、人员资产、外包服务资产、无形资产、文档资产、环境资产、第三方服务资产等。区分标准如下：硬件资产：日常工作、公司运作或系统运行所依赖的可见电子设备、设施和工具。主要包括：办公类用品，如桌椅、纸张等。计算机及配件、辅助设备类，如服务器、台式机、笔记本电脑、移动存储、打印机等。网络设备，如网络交换机等。其他设备，不属于上述3类的设备设施，如饮水机等。软件资产：依赖电子计算设备运行的非硬件资产。如：操作系统、杀毒软件、源代码、组件、程序、业务系统或平台等。数据资产：计算机软件运行时依赖的原始数据、配置数据，运行时产生的动态数据、结果数据以及能够给公司经济效益、信息安全带来潜在影响的所有数据，这些数据如遗失、非法复制传播、损坏等从经济或安全上可能给公司造成损害。如客户信息数据、系统配置数据、系统登录帐号密码、业务运行数据、电话号码资源等。4.2信息资产的分级管理信息资产的分级管理制度引用如下文件：硬件资产分级管理制度软件资产分级管理制度数据资产分级管理制度人员资产分级管理制度外包服务资产分级管理制度无形资产分级管理制度文档资产分级管理制度环境资产分级管理制度第三方服务资产分级管理制度4.3信息资产分类指导公司各部门依据分类定义和示例，对部门《资产识别表》中的各类资产进行分级，并报请本部门经理审核确认。公司一级、公司二级信息资产需要报信息安全管理工作小组汇总、审核后，请公司总经理确认审批。《资产识别表》需详细登记所有信息资产，并确定其分级和管理责任人。信息分级标识5.1分级标识编号硬件资产（H-hard）：H1、H2......分别代表一级硬件资产，二级硬件资产......等。软件资产(S-soft)：S1、S2......分别代表一级软件资产、二级软件资产......等。数据资产(D-data)：D1、D2......分别代表一级数据资产、二级数据资产......等。人员资产(P-person)：P1、P2......分别代表一级人员资产、二级人员资产......等。外包服务资产(T-team)：T1、T2......分别代表一级外包服务资产、二级外包服务资产......等。无形资产(N-none)：N1、N2......分别代表一级无形资产、二级无形资产......等。文档资产(F-file)：F1、F2......分别代表一级文档资产、二级文档资产......等。环境资产(E-environmen)：E1、E2......分别代表一级环境资产、二级环境资产......等。第三方服务资产(TS-thirdservice)：TS1、TS2......分别代表一级第三方服务资产、二级第三方服务资产......等。5.2公司绝密、机密信息定义标记为一级和二级的文档及敏感类的信息称为公司机密信息，三类信息为秘密信息，四类为可内部公开的信息，五类为可公开的信息。绝密信息，除文档资产外，不包含在其他信息资产的分级定义序列中，绝密信息一般由公司最高管理层负责管理和保密义务。5.3各密级知晓范围公司绝密级：高层管理级人员及与公司绝密内容有直接关系的工作人员，对其他任何人都需要保密。掌握核心公司绝密的关键岗位人员的变更、离职须经总经理同意。公司机密级：部门经理级及以上的管理人员以及与公司机密内容有直接关系的工作人员，允许知晓与本工作相关的公司机密事项，对非相关人员需要保密。公司秘密级：部门骨干管理人员以及与公司秘密内容有直接关系的工作人员，允许知晓与本工作相关的公司秘密事项，但对其他部门应保密。内部公开：公司内部所有人员，允许知晓在公司内部范围内属于公开的信息，但未授权不得对公司以外人员泄露公司的内部公开信息。公开：公司外面所有人员，允许知晓由公司内的授权人员宣布可公开的信息。可公开的文档必须转成PDF文档后，或使用其他方法变成只读不可修改的文档后再行发布。5.4分级标识编号可作为分级标识使用公司固定资产硬件设备必须标记分级标识编号。作为电子文件时必须在文件的第一页的显著位置标识分级。对于纸质文档，使用公司统一刻制的分级标识图章进行标识，对于“公司绝密”文档在需要时，通过骑缝章或每页敲章的方式进行“绝密”标识。使用信封等封装时，还需要在封装上标记“绝密”标识及分级标识。对于模板文档，其标识的分级是指填写内容后的分级，而非空白时的分级。如果使用光盘/磁带/软盘等介质，需要直接在介质表面上标识分级。需要提交给客户的信息资产（例如：项目开发成果物），必须有分级标识。对于应用系统中的显示画面、数据表单或打印输出等内容，必须有分级标识。公司秘密信息使用管理6.1涉密信息的保管公司绝密、公司机密信息：应该保管在一般人员无法随便进入的有安全保障的房间，比如：总裁办公室、各部门主管办公室、财务室、机房等。电子文档必须有可靠的备份机制；除非特别批准公司绝密信息不应保管在个人用计算机上。纸质文件以及电子存储介质（例如：移动硬盘/U盘/光盘/软盘等）应该保存在加锁的文件柜或保险柜内。在不使用或处于目光所及范围之外时，应将资料存放在锁闭的档案柜、桌式书架或书柜内；在携带至办公室以外的地方时，应将资料存放在随身携带的锁闭的箱包或手提箱内。其它涉密信息：也应该保存在安全的工作区域内。电子文档也必须有可靠的备份机制。纸质文档以及电子存储介质应存放于书柜、档案柜或桌式书架柜内，以防被非公司人员意外看到或获得。技术成果技术转让、技术入股、技术引进等途径获取公司秘密的过程中，根据合同或协议中规定提供的公司秘密，承办人应采取保密措施，保证不泄漏公司秘密。获取的公司秘密应及时移交财务部归档，不得个人保存。工作成果物：每个人的工作成果物（工作成果物指需要向客户或上级或组织提交的工作的结果）应该及时保存到指定场所。电子文档应该保存到公用机器上的指定位置，从而得到可靠的备份和访问控制，对于纸质文档和电子介质应该保存到指定文件柜内（除非被批准，不得保存在个人文件柜内），并做好清晰标示，从而保证他们的可用性。员工在公司任职期间的工作成果归公司所有，并按《保密协议》及本制度进行管理；客户信息在公司日常业务（包括营销等相关活动）中接触到客户的信息以及客户提供的信息同样应该作为公司的涉密信息实施管理和控制。重要信息应该被指定为公司绝密，其余都按照“公司秘密”密级来对待。特别是客户真实数据，属于“公司机密”，除非得到客户明确授权，不得使用；使用时必须按照严格的流程和管理规定（事先备份等），不得在其它任何场合使用或透露相关信息。6.2涉密信息的访问限制日常工作中需使用含公司绝密、公司机密性数据的设备，或需处理公司绝密、公司机密性数据的员工，须根据公司相关要求签订《知识产权及保密协议》；本公司委外开发或加工的外包合同/协议中须包含所涉及信息资产的保密条款，必要时，须与相关人员签署保密协议；涉密信息的访问范围应限制在满足需要的最小限度。公司绝密信息应该存放在非相关部门员工无法访问的独立的VLAN内，存放“公司绝密”信息的个人用计算机应该安装防火墙，保证其他机器无法主动访问，通过网络共享目录不允许存放“公司绝密”信息；存放涉密信息的计算机的用户密码必须得到严格控制和有效管理；“内部公开”及以上信息未经授权，严禁以任何方式向公司以外人员泄露。“公司绝密”信息由公司领导、信息安全主管部门和相关应用部门协商确定访问权限，由信息安全主管部门委托人员（一般是总裁办管理）具体控制。“公司机密”和“公司秘密”信息由各部门，各项目组的负责人确定访问权限，由他们或委托可靠相关人员进行访问权限的具体控制措施。为了保证涉密信息安全，全体员工必须严格遵守《访问控制管理程序》中所具体规定的各项控制策略。6.3涉密信息的使用不得使用任何手段主动获取与工作职责无关的涉密信息。不得以任何工作需要以外的目的复制、复印、摘抄涉密信息，未经管理者许可，禁止复制、复印“公司机密”以上级别信息。因工作需要将涉密信息复制到非相关设备或公用设备中时，必须在使用完毕后，立即删除作业遗留的涉密信息。因工作需要复印的涉密信息，使用完毕后，按照涉密信息废弃处置方法处置。涉密信息的使用必须严格限制在工作必须的物理和人员范围内，除非工作需要并得到批准，不得把存放涉密信息的设备和存储介质以及含有涉密信息的纸质文档带出公司。“公司绝密”信息的使用必要时可以通过签名登记的方式加以控制。因工作需要，需要对敏感的涉密信息共享时，必须对涉密信息进行加密处理。不在有非相关人员在场的情况下谈论/使用涉密信息。包括：和客户接触时避免涉密信息的泄露，制作提供给客户的资料文件时原则上使用PDF格式，并需要注意涉密信息的保护。不能在公共场所或者敞开办公室、没有良好隔音的会议室谈论公司绝密信息。使用纸质文件是，要注意：“公司机密”以上级别信息的纸件不得重复使用，含其它涉密信息的纸件文件也不得跨项目使用；下班后应清理桌面，将含有重要涉密信息的纸质文件放入文件柜；发出打印命令后，及时去取打印文件，保证打印机处无遗留纸质文件。打印“公司绝密”信息时，尽量使用非公用打印机；复印完毕后注意检查，保证复印机处无遗留纸质文件。复印“公司绝密”信息时，尽量在人少时段；传真完毕后注意检查，保证传真机处无遗留纸质文件。对于外来的传真，应该马上收取，再通知或送达收件人。对于涉密的技术文件的发放和回收，参考《文件控制程序》。计算机数据安全管理：在从事涉及保密信息的工作时，不得离开计算机，使之处于无人照看状态；人员因故离开座位时，必须退出系统或使用屏幕密码保护，防止账号被盗用或数据被窃取。下班或因公外出离开办公室前，必须关闭计算机设备并将桌面收拾干净，避免保密信息失窃或系统被侵入；保管好所有的数据存储设备，并作适当标识；公司绝密或公司机密性数据如需通过电子邮件传送，应经加密处理后传送；公司绝密或公司机密性数据，不得存放于无账号权限、密码限定的信息系统中。6.4涉密信息发送任何涉密信息的发送，都必须保证收件人的合法性；“内部公开”信息未经许可，严禁发送给公司以外人员；“公司秘密”，“公司机密”“公司绝密”只发给管理者授权的收件人。涉密信息传送后，必须通过e-Mail/MSN/电话等手段，获得对方的确认或主动向对方确认。在公司内部传送纸质数据时，委托他人传送时，必须加以封装；“公司绝密”信息传送时必须保证直接交给收件人本人；其他涉密信息传送时，尽量直接交给收件人，如果放置在收件人坐席上必须将传送的背面朝上，并且事后要和收件人确认。利用电子手段传送数据时，“公司绝密”信息必须使用加密手段，而且密码不得同时发送；在可能的条件下，鼓励所有涉密信息都采用加密手段传送。“公司绝密”信息除非特别需要必须使用公司的网络服务传送；所有涉密信息都应该尽量避免使用公司外部电子信箱以及MSN/QQ/Skype/公用FTP/网络存储空间等手段来进行传送。必须利用最新的防病毒库对收发的文件进行病毒检查。利用传真进行涉密信息传送时，不得委托非相关人员代为传送；传送时必须始终等待在侧；传送完毕后立刻回收；不特别必要，不利用传真方式进行“公司绝密”信息的传送；收发“公司绝密”信息时，应事先和对方联系，保证传真不经过其他人手。利用快递/邮寄手段进行涉密信息传送时：对传送的信息必须加以封装；不特别必要，“公司绝密”信息的传送不利用快递/邮寄手段进行，而应尽量利用公司内部人员以专程的形式来进行传送工作；传送“公司绝密”信息时，应事先和对方联系；在确认收到时，还必须确认封装没有损坏；非收件人不得随便拆阅。6.5涉密信息的废弃处置过期或作废的涉密文件需要废弃处置处理时，首先需得到批准。“公司绝密”信息的废弃处置要得到公司总经理书面批准，并指定可解除该信息人员实施或全程监督实施。其它涉密信息的废弃处置要得到相关部门，相关工作组的负责人的批准，并指定人员实施。公司绝密数据必须退回资料来源处，或者在经资料来源处授权情况下，将其存放在安全的文件贮存处或加以销毁；电子档案必须采用总裁办许可使用的专用销毁文件的计算机磁盘工具予以消除，必须保留销毁文件的记录。“公司机密”和“公司秘密”信息，进行处理时，纸质文件要通过专门设备彻底粉碎；电子档案必须采用行政部许可使用的专用销毁文件的计算机磁盘工具予以消除，必须保留销毁文件的记录。客户方面特别提出要求时，按照客户要求的方法实施。个人工作中使用的纸质文档不得随意丢弃或作其它用途，废弃后要及时粉碎处理；电子文档需要及时整理和清除。对一级硬件信息资产进行专人监督物理破坏。保密原则所有公司员工都有义务和责任保守公司公司秘密。严格遵守公司关于保密方面的各项政策和制度规定；保护并按照规定的方式处理包含公司保密信息的各种记录、草稿、文本副本、打印机色带和图表；不在公司以外公共场合及同亲友及家人谈论公司的业务情况及保密信息；在向非公司员工发表演讲、宣传时不得援引保密信息；未经资料来源处授权，不得复制或复印任何公司保密数据资料；未经必要的审批手续，不得将公司保密数据资料从公司带出；不得使用规定以外的其它方式，用电子手段传送或调用保密数据材料；论文发表前，要经过部门领导和信息安全工作小组审核；员工必须具有保密意识，必须做到不该问的绝对不问，不该说的绝对不说，不该看的绝对不看。未经领导批准，不准开展本岗位外的业务活动，不准串岗。在日常工作中，全体人员都应该按照“知所必需”的原则，获得完成其工作职责所必需的最小范围的涉密信息和最小的逻辑访问权限，并且以尽量安全的方式在最小范围内使用。对公司公司秘密的知晓范围执行压缩控制的原则，员工只在管辖范围内根据工作需要知晓相关的公司公司秘密。公司鼓励员工在一定的程度上使用常识性的办法来保护公司涉密信息，如果员工不知道某项资产的密级，默认情况下至少按“公司秘密”的密级来对待。对于研发进行中的项目，除公司统一制定的产品目标对客户进行宣传以外，公司任何员工均需对公司正在研发的项目内容、项目进度等信息进行保密，尤其是器件供应商，与竞争对手关系密切的客户等。对于公司的商务信息仅限市场人员、商务人员及其管理人员知悉。不同市场区域之间的信息，原则上也要求保密。对外交往与合作中如需要提供公司的公司秘密事项，应先由部门经理批准，特殊情况须经公司相关领导审核、公司总经理批准。因工作需要知悉非本职范围内的公司公司秘密的，须经相关领导批准，公司秘密级信息由部门经理批准，公司机密级信息由分管副总批准，公司绝密级信息由公司总经理批准；公司员工发现公司公司秘密已经泄露或可能泄露时，应立即采取补救措施并及时报告上级主管，上级主管须立即做出相应处理。文档编号（由总裁办填写）密级内部公开文档发布级别公司级文档发布及实行范围全员制度试行日期（可选）制度执行日期文档起草人签字：日期：文档修订人：签字：日期：修订说明：备注：文档负责人：签字：日期：文档审批信息安全管理者代表签字：日期：文档审批人签字：日期：四、访问控制制度目的和范围通过控制用户权限正确管理用户，实现控制办公网系统和应用系统访问权限与访问权限的分配，防止对办公网系统和应用系统的非法访问，防止非法操作，保证生产系统的可用性、完整性、保密性，以及规范服务器的访问。本访问控制制度适用于系统维护部以及其他拥有系统权限的管理部门。引用文件下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T22080-2016/ISO/IEC27001:2013信息技术-安全技术-信息安全管理体系要求GB/T22081-2016/ISO/IEC27002:2013信息技术-安全技术-信息安全管理实施细则职责和权限各部门必须遵照本管理规范实行对用户、口令和权限的管理，用户必须按照本管理规范访问公司办公网系统和应用系统。用户管理4.1用户注册只有授权用户才可以申请系统账号，账号相应的权限应该以满足用户需要为原则，不得有与用户职责无关的权限。一人一账号，以便将用户与其操作联系起来，使用户对其操作负责，禁止多人使用同一个账号。用户因工作变更或离职时，管理员要及时取消或者锁定其所有账号，对于无法锁定或者删除的用户账号采用更改口令等相应的措施规避该风险。管理员应每季度检查并取消多余的用户账号。4.2用户口令管理和使用引用文件：《密码控制管理制度》权限管理5.1用户权限管理原则所有的重要服务器应用系统要有明确的用户清单及权限清单，每季度进行一次权限评审。重要设备的操作系统、数据库、重要应用程序相关的特殊访问权限的分配需进行严格管理。对一般用户只拥有在注册时所审批的权限。每个人分配的权限以完成相应工作最低标准为准。服务器日志的安全审查职责与日常工作权限责任分割。新账号开通时提供给他们一个安全的临时登录密码，并在首次使用时强制改变。为防止未授权的更改或误用信息或服务的机会，按以下要求进行职责分配：a)系统管理职责与操作职责分离；b)信息安全审核具有独立性。5.2用户访问权限设置步骤权限设置：对信息的访问权限进行设置，添加该用户的相应访问权，设置权限，要再次确认，以保证权限设置正确。定期检查用户账户：管理员每季度对应用系统进行一次权限评审。取消访问权：离开公司应立即取消或禁用其账号及所有权限，将其所拥有的信息备份保存，或转换接替者为持有人。用户的岗位发生变化时，要对其访问权限重新授权。操作系统访问控制6.1安全登录制度UNIX、LINUX系统使用SSH登录系统。进入操作系统必须执行登录操作，禁止将系统设定为自动登录。记录登录成功与失败的日志。日常非系统管理操作时，只能以普通用户登录。启用操作系统的口令管理策略（如口令至少8位，字母数字组合等），保证用户口令的安全性。6.2会话超时与联机时间的限定重要服务器应设置会话超时限制，不活动会话应在一个设定的休止期5分钟后关闭。应考虑对敏感的计算机应用程序，特别是安装在高风险位置的应用程序，使用连机时间的控制措施。这种限制的示例包括：使用预先定义的时间间隔，如对批量文件传输，或定期的短期交互会话等情况使用指定的时间间隔；如果没有超时或延时操作的要求，则将连机时间限于正常办公时间；应用系统访问控制根据《重要服务器-应用系统清单》，填写《重要应用系统权限评审表》，每季度评审一次。各应用系统必须确定相应的系统管理员、数据库管理员和应用管理员。应用系统的用户访问控制，用户的申请应填写相关系统的申请表，须经过应用系统的归口主管部门审核同意，由系统管理员授权并登记备案后，方可使用相应的应用系统。如果发生人员岗位变动，业务部门信息安全主管通知部门信息安全员与相关应用系统管理员联系，告知系统管理员具体的人员变动情况，便于系统管理员及时调整岗位变动人员的系统访问权限。应用系统的用户必须遵守各应用系统的相关管理规定，必须服从应用系统的管理部门的检查监督和管理。禁止员工未经授权使用系统实用工具。应用系统用户必须严格执行保密制度。对各自的用户帐号负责，不得转借他人使用。重要应用系统用户清单及权限必须进行定期评审。网络和网络服务访问控制所有员工在工作时间禁止利用公司网络和互联网专线访问违法网站及内容。客户及第三方人员不允许直接通过可访问公司资源的有线或无线网络访问Internet，客户及第三方人员如需访问Internet应当在专设的隔离区进行。员工须通过VPN访问公司相关网络和网络服务。需要访问各种网络服务的用户须向本部门主管申请VPN帐号，由本部门主管通过邮件提交VPN帐号管理员，由VPN帐号管理员为其分配密钥和帐号。网络隔离公司与外部通过防火墙隔离，制定严格的VLAN划分，对公司内重要部门的访问进行控制。运行中心制定VLAN访问控制说明。网络设备网络设备配置管理员帐号由系统服务部指定专人统一管理，保存帐号及密码的电子文件需加密保存，并存放在可靠的安全环境下。系统管理员密码须符合服务器安全控制的密码安全规定；管理人员不得向任何非授权人员泄露网络设备的管理员帐号及密码。信息交流控制措施信息交流方式包括数据交流、电子邮件、电话、纸质文件、谈话、录音、会议、传真、短信、IM工具等；可交流的信息，须符合《信息资产分类分级管理制度》里的密级规定;公司使用的信息交流设施在安全性上应符合国家信息安全相关法律法规、上级主管机关以及本公司安全管理规定的要求；不能在公共场所或者敞开的办公室、没有屋顶防护的会议室谈论机密信息；对信息交流应作适当的防范，如不要暴露敏感信息，避免被通过电话偷听或截取；员工、合作方以及任何其他用户不得损害公司的利益，如诽谤、骚扰、假冒、未经授权的采购等；不得将敏感或关键信息放在打印设施上，如复印机、打印机和传真，防止未经授权人员的访问；在使用电子通信设施进行信息交流时，所考虑的控制包括：防止交流的信息被截取、备份、修改、误传以及破坏；保护以附件形式传输的电子信息的程序；有业务信件和消息的保持和处置原则，要符合相关的国家或地方法规；使用传真的人员注意下列问题：未经授权对内部存储的信息进行访问，获取信息；故意的或无意的程序设定，向特定的号码发送信息；向错误的号码发送文件和信息，或者拨号错误或者使用的存储在机器中的号码是错误的。远程访问管理12.1远程接入的用户认证凡是接入公司的远程用户的访问必须通过VPN并经过认证方可接入。认证用户必须使用8位以上复杂密码。任何远程接入用户不得将自己的用户名、密码提供给任何人，包括同事，家人。所有远程接入用户的客户端或个人电脑必须安装防病毒软件并且病毒库升级到最新。12.2远程接入的审计远程接入用户的操作必须要经过接入设备的审计。应记录相关日志，对用户行为监控。无线网络访问管理行政部应协同系统服务部对无线网络进行授权管理；对需要使用无线网络的设备，通过绑定其MAC地址授权访问，其他人员不允许通过公司无线网络上网。如有已授权访问的设备，取消授权，应即时对其MAC地址解绑。笔记本使用及安全配置规定笔记本电脑设备必须有严格的口令访问控制措施，口令设置需满足公司安全策略要求。对无人看守的笔记本电脑设备必须实施物理保护，必须放在带锁的办公室、抽屉或文件柜里。重要业务笔记本电脑设备丢失或被窃后应及时报告给部门经理和行政部。凡带出公司使用而遗失、被偷盗等均由个人负全责赔偿。除自然损坏外，凡人为损坏（如撞坏、跌坏、电源插错烧坏等）由本人负责修好，费用由个人承担。笔记本电脑中除工作所需的软件外，不得安装与工作无关的软件。授权使用的笔记本电脑设备必须安装公司要求的防病毒软件。各部门对笔记本电脑设备定期进行一次病毒软件和操作系统补丁自检，行政部进行不定期抽查。笔记本电脑外出时禁止托运，必须随身携带。笔记本电脑上的重要资料应即时做好备份，防止意外丢失。备份的设备或介质应符合《信息资产分类分级管理制度》中的保护要求。外部人员使用笔记本的规定出于安全考虑，一般不予考虑来访人员接入公司内部网络。服务器安全控制引用文件：《讯鸟服务器安全管理规范》实施策略访问控制制度涉及的包括《重要服务器-应用系统清单》《重要应用系统权限评审表》。用户申请权限时，填写相关系统的申请表。每季度评审并填写《重要应用系统权限评审表》。相关记录序号记录名称保存期限保存形式备注1重要服务器-应用系统清单三年电子2重要应用系统权限评审表三年电子文档编号（由总裁办填写）密级内部公开 文档发布级别公司级文档发布及实行范围全员制度试行日期（可选）制度执行日期文档起草人签字：日期：文档修订人签字：日期：修订说明合并网络、网络服务;增加了通过VPN访问描述，增强了控制策略。备注：文档负责人：签字：日期：文档审批信息安全管理者代表签字：日期：文档审批人签字：日期：五、密码控制管理制度目的和范围为确保安全成为所开发的信息系统一个有机组成部分，保证开发过程安全，特制定本制度。适用于本公司所有信息系统的开发活动，信息系统内在安全性的管理。本制度作为软件开发项目管理规定的补充，而不是作为软件开发项目管理的整体规范。引用文件下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T22080-2016/ISO/IEC27001:2013信息技术-安全技术-信息安全管理体系要求GB/T22081-2016/ISO/IEC27002:2013信息技术-安全技术-信息安全管理实施细则职责和权限开发部门：确保适当和有效地使用密码技术以保护信息的保密性、真实性和（或）完整性。密码控制4.1使用密码控制的策略控制描述应开发和实施使用密码控制措施来保护信息的策略。实施指南制定密码策略时，应考虑下列（但不仅限于）内容：组织间使用密码控制的管理方法，包括保护业务信息的一般原则；使用加密技术保护通过可移动介质、设备或者通过通信线路传输的敏感信息；基于风险评估，应确定需要的保护级别，并考虑需要的加密算法的类型、强度和质量；加密可能带来不利影响。由于某些控制措施依赖于内容检查（例如病毒检测等），要求数据处于未加密状态。3)用户口令管理初始密码在创建用户时设定，初次登录时操作系统或者管理员必须强制修改密码，不能使用缺省设置的密码。初始密码样本：orient11用户忘记口令时，管理员必须在对该用户进行适当的身份识别后才能向其提供临时口令。在向用户提供临时口令时，必须采用加密或其他安全传输途径，以确保初始密码不会被中途截取。不允许在计算机系统上以无保护的形式存储口令。对于泄漏口令造成的损失，由用户本人负责。不准与其他人互相借用各类工作账号。测试环境的账号与生产环境的账号使用不同的口令。4)口令的使用用户应保证口令安全，不得向其他任何人泄漏。应避免在纸上记录口令，或以明文方式记录计算机内。一旦有迹象表明系统或口令可能遭到破坏时，应立即更改口令。口令的选择应参考以下规则：最少要有8个字符，且为数字和字母组合。密码不可包含用户帐号名称的全部或部分文字。不要使用别人可以通过个人相关信息（如姓名、电话号码、生日等）容易猜出或破解的口令。不要连续使用同一字符，不要全部使用数字，也不要全部使用字母，不要用英文单词或重要记念日。系统用户至少每季度更改一次口令，避免再次使用旧口令或半年内循环使用旧口令。检查重要服务器的系统口令是否定期进行更改。首次登录时应更改临时口令。不要在任何自动登录程序中使用口令，如在宏或功能键中存储。不要共享个人用户口令。4.2密钥管理控制描述应有密钥管理以支持组织使用密码技术。实施指南应保护所有的密码密钥免遭修改、丢失和毁坏。另外，密码和私有密钥需要防范非授权的泄露。用来生成、存储和归档密钥的设备应进行物理保护。对于一些部门所使用的USBKEY密钥必须做到专人保管、专人使用，不用时必须放置在保险柜内或带锁的铁柜中妥善保管。软件密钥或证书须专人管理分发。4.3敏感数据加密1)控制描述组织就对敏感数据制定传输全程加密和保存进行加密制度，对敏感字段也要进行加密保存2）实施指南应保护所有敏感数据免遭修改、丢失、泄漏。对敏感数据内的敏感字段须加密保存。传输过程是要求全程不落地传输。在程序自动执行传输过程中，组织应定义对敏感数据进行全程加密和不落地传输的方案，并加以执行。文档编号（由总裁办填写）密级内部公开文档发布级别公司级文档发布及实行范围全员制度试行日期（可选）制度执行日期文档起草人签字：日期：文档修订人：签字：日期：修订说明：备注：文档负责人：签字：日期：文档审批信息安全管理者代表签字：日期：文档审批人签字：日期：六、操作安全管理补丁管理总则1.1为加强公司补丁的管理，规范补丁部署流程，保证信息系统补丁及时更新，确保公司企业信息网络安全稳定的运行，特制定本规定。1.2本规定所涉及的补丁包括操作系统补丁、数据库补丁和应用系统补丁。适用范围本规定适用范围为东方中安信息技术有限公司公司。职责分工3.1操作系统补丁管理员3.1.1负责各操作系统（含浏览器、办公软件）补丁的管理。3.1.2负责收集操作系统漏洞信息，跟踪最新补丁信息，评估漏洞威胁、成因和严重性。3.1.3负责提出操作系统漏洞修补要求和相关防护措施审批变更计划。3.2数据库补丁管理员3.2.1负责各数据库补丁的管理。3.2.2负责收集数据库漏洞信息，跟踪最新补丁信息，评估漏洞威胁、成因和严重性。3.2.3负责提出数据库漏洞修补要求和相关防护措施，审批变更计划。3.3应用系统补丁管理员3.3.1负责各应用系统（含中间件）补丁的管理。3.3.2负责收集应用系统漏洞信息，跟踪最新补丁信息。评估漏洞威胁、成因和严重性。3.3.3负责提出应用系统漏洞修补要求和相关防护措施，审批变更计划。3.4补丁测试员3.4.1负责搭建测试环境，负责测试补丁和测试结果的记录。3.4.2负责跟踪最新补丁信息和下载补丁。3.5补丁安装员3.5.1负责补丁的安装或分发，负责制订补丁修补计划。3.5.2负责解决补丁安装或分发过程中出现的问题。补丁管理4.1补丁由测试部或系统服务部统一进行下载、测试和安装，重要一级二级硬件或系统，未经许可不可私自下载安装补丁。4.2补丁来源须为原厂商官方网站或原厂商工作人员，对于非法的补丁禁止安装。4.34.3补丁安装前应先做好系统和数据备份工作，避免出现问题进行回退。经严格测试通过后方可安装。对测试不成功的补丁严禁安装，测试结果记录表见《补丁安装计划和实施方案》。4.4测试中发现的问题应做详细分析，判断发生问题的原因并及时解决如果不能解决，须记录发生问题的环境，立即反馈给原厂商。4.5对于刚发布的严重等级漏洞，无补丁或未通过测试的补丁，可采用临时解决办法消除漏洞的威胁或者暂时接受该风险。4.6制订补丁修补计划须先分析信息资产、IT系统环境、IT网络环境和信息资产重要等级，确定需要安装的补丁和相应严重等级，同时明确修补时间、修补方式和修补范围。4.7补丁安装须先填写变更工单，或工作票。相应补丁管理员和应用系统管理员对变更的必要性、风险和修补计划进行评审，评审通过后由应用系统管理员安排各级系统服务人员全过程配合补丁安装员完成补丁的安装和应用系统的测试。4.8补丁安装顺序遵循“资产价值大、威胁等级高优先安装”的原则。对于漏洞级别为严重的补丁，无特殊情况须在补丁发布后1星期内安装。4.9补丁安装完成后应进行全面检查，以确认补丁安装情况，同时制定补丁清单列表。附则文档编号（由总裁办填写）密级内部公开文档发布级别公司级文档发布及实行范围制度试行日期（可选）制度执行日期文档起草人签字：日期：文档修订人：签字：日期：修订说明：备注：文档负责人：签字：日期：文档审批信息安全管理者代表签字：日期：文档审批人签字：日期：防范病毒及恶意软件管理规定目的和范围为了加强对计算机病毒的预防和治理，保护计算机系统安全，保障计算机系统的应用与发展，特制定本规定。引用文件下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T22080-2016/ISO/IEC27001:2013信息技术-安全技术-信息安全管理体系要求GB/T22081-2016/ISO/IEC27002:2013信息技术-安全技术-信息安全管理实施细则《中华人民共和国计算机信息系统安全保护条例》《信息安全事件管理制度》职责和权限信息安全工作小组：是公司的病毒和恶意软件防治管理部门，负责公司的计算机病毒及恶意软件防治管理工作，建立公司的计算机病毒防治管理制度。采取计算机病毒安全技术防治措施。对公司计算机信息系统使用人员进行计算机病毒防治教育，及时检测、清除计算机信息系统中的计算机病毒，并备有检测、清除的记录。病毒防治管理任何部门和个人必须在所管辖的计算机（包括虚拟系统，笔记本电脑）中安装杀毒软件。信息安全工作小组每个月对各部门的PC机和笔记本电脑的查杀毒情况进行抽查。当系统服务部或测试部发现重大系统漏洞时，将下发系统补丁安装通知，信息安全小组负责收集和反馈安装情况。任何部门和个人不得有下列传播计算机病毒的行为：故意输入计算机病毒，危害计算机信息系统安全。向他人提供含有计算机病毒的文件、软件、媒体。其他传播计算机病毒的行为。任何部门和个人应当接受对计算机病毒防治工作的监督、检查和指导。任何部门和个人有违反本办法规定的，将予以警告，并责令其限期改正，逾期不改正的或因违反本办法规定而引发如计算机信息系统瘫痪、程序和数据严重破坏等重大事故的，按公司《信息安全事件管理制度》等相关规定处理。个人电脑必须启用防火墙控制安全。恶意软件管理所有计算机（包括服务器和个人电脑）都使用杀毒软件对恶意软件进行防护和检查，并将软件设置为自动升级病毒库。自管服务器的责任人需要定期对服务器的病毒库及扫描内容进行检查并记录。员工使用杀毒软件对个人电脑进行扫描，每季度至少一次。实施策略信息安全工作小组抽查各部门个人电脑查杀病毒情况，每个月进行一次，填写《电脑防病毒及软件表》。相关记录序号记录名称保存期限保存形式备注1电脑防病毒及软件表（赛门铁克）三年电子文档编号（由总裁办填写）密级内部公开文档发布级别公司级文档发布及实行范围全员制度试行日期（可选）制度执行日期文档起草人签字：日期：文档修订人：签字：日期：修订说明：备注：文档负责人：签字：日期：文档审批信息安全管理者代表签字：日期：文档审批人签字：日期：软件管理规定目的和范围为加强公司设备安装软件的管理，特制定本规定。引用文件职责和权限系统服务部：是办公软件的归口管理部门，负责每个季度对公司办公软件的安装情况进行检查。各开发和测试部：是开发类软件的管理部门。软件管理3.1收集公司内软件来源主要有以下几个方面：购买商业软件；自主开发的内部应用软件；免费软件的下载；系统服务部分发的办公软件。3.2登记信息安全工作小组登记分发的办公软件、公司购买的商业软件的安装情况。各部门负责《电脑防病毒及软件表》的填写。3.3商业软件的归档和存放购买的商业软件由公司自行归档和存放。购买的商业软件统一存放于指定位置。磁盘文件存放于指定存储空间中，由专人负责整理，各软件建立独立的文件夹，标识明确清晰，并做好软件的备份工作。光盘统一存放入文件柜中，并有明显易辨认的标识，便于整理和取用。3.4开源软件的管理3.4.1开源软件的选择依据：(1)开源协议谨慎使用GPL协议，GPL协议规定使用了该开源库的代码也必须遵循GPL协议，即开源和免费。(2)功能、文档、稳定性、扩展性功能是否能满足业务需求，是否足够稳定(稳定性测试)、文档是否齐全、扩展性是否足够。性能要求较高库需要性能对比测试。

(3)源码修改a.个性化业务带来的修改

尽量使用Wrap方式，而不要直接改源码。实在绕不开，可在Git上打上Tag，并注明详细原因。

b.通用需求的修改

按源项目要求修改代码，反馈回开源社区，请求合并进主分支。

源代码修改原则：不要让clone的副本变成孤岛。(4)其他是否附有构建脚本（buildscript）该开源项目小组是否持续使用同一集成开发环境。该开源项目是否有清晰的roadmap。该项目是否设有问题跟踪器（issuetracker）？是否很快就有社区补丁推出？在社区中，关于该项目的问题反馈是否迅速？其他的开发者是否乐于使用该开源项目，在社区中关于该项目的知识技巧是否很快传播。有多少活跃的项目贡献者？版本号管理是否清晰？对于来自社区的具体需求，该项目的改进和集成情况？3.4.2开源项目的标准(1)合适的文件和代码合适的文件指的是要有自己的gitignore，合适的代码是指代码要符合代码规范（如很简单的四空格缩进很多Java开源项目都做不到）。

(2)README.mdREADME.md是一个项目必不可少的，其中要求示例、文档、引用方式、开源的Licence齐全。对Android来说示例可能包括DemoAPK、截图。引用方式可以是Maven和Gradle引用方式。

软件使用各部门负责软件的使用，如有问题及时反馈给信息安全工作小组。个人电脑办公软件首选安装wps办公软件和任一款主流杀毒软件。未经许可，任何人不得将内部使用的软件外带、传播、贩卖，不得将软件用于任何违法或非正当用途。计算机设备使用人员不得使用计算机设备处理正常工作以外的事务，不得私自改变计算机的安全配置，不得私自安装与工作无关的软件。相关记录序号记录名称保存期限保存形式备注1电脑防病毒及软件表三年纸质/电子文档编号（由总裁办填写）密级内部公开文档发布级别公司级文档发布及实行范围全员制度试行日期（可选）制度执行日期文档起草人签字：日期：文档修订人：签字：日期：修订说明：备注：文档负责人：签字：日期：文档审批信息安全管理者代表签字：日期：文档审批人签字：日期：数据备份管理规定目的和范围为确保数据的完整性及有效性，以便在发生信息安全事故时能够准确及时的恢复数据，避免业务的中断，特制定本规定。引用文件下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T22080-2016/ISO/IEC27001:2013信息技术-安全技术-信息安全管理体系要求职责和权限各部门：负责对各自部门的重要信息进行相关备份工作。备份管理4.1数据类型各部门根据业务的实际情况，识别需要备份的数据。备份数据包含但不仅限于各部门核心业务数据。涉及的部门备份数据如下：服务部：项目资料人力资源部：培训资料、合同财务部：财务系统账套研发服务体系：源代码4.2备份过程人力资源部由专人负责合同备份，定期将合同扫描，备份到U盘并妥善保管；人力资源部由专人负责培训资料的备份，出现新增内容时，将所有培训资料备份到U盘并妥善保管；财务部的财务账套由财务部自行进行备份；研发部源代码均通过SVN或VSS服务器集中管理，服务器备份工作由系统服务部负责；生产系统备份数据存放于NAS或其他存储设备上，相关设备放置于安全的区域，由系统服务部负责。每一月做一次恢复性测试。文档编号（由总裁办填写）密级内部公开文档发布级别公司级文档发布及实行范围全员制度试行日期（可选）制度执行日期文档起草人签字：日期：文档修订人：签字：日期：修订说明：备注：文档负责人：签字：日期：文档审批信息安全管理者代表签字：日期：文档审批人签字：日期：系统监控管理规定目的了解服务器的运行状态，检测未经授权的信息处理活动，为安全事故提供证据，确保业务系统的稳定性、可靠性、安全性。引用文件下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T22080-2016/ISO/IEC27001:2013信息技术-安全技术-信息安全管理体系要求GB/T22081-2016/ISO/IEC27002:2013信息技术-安全技术-信息安全管理实施细则职责和权限系统服务部：负责公司网络和系统访问活动的监控管理。系统监控管理4.1日志的分类需监控的日志包括但不仅限于以下类型：服务器事件日志管理员和操作员日志运行中心监控人员定期进行日志的检查。4.2日志的管理只有超级用户可以访问和管理日志文件。由系统服务部管理员定期对服务器的日志进行检查、处理，并记录确认需要开启的审计项目，服务器的操作系统要根据安全需求开启安全日志审计功能，并对系统管理员组成员的系统活动进行审计。4.3容量管理系统管理员确定检查频率，监控人员定期登录系统查看CPU，硬盘、内存的使用情况，发现问题时第一时间通知各产品线负责人。管理员要做预防性维护，在服务器没有业务操作时，每个月对服务器重起，防止服务器内存泄露，防止系统意外崩溃；并查看服务器重起后所有服务是否启动,业务系统是否正常运行。4.4时钟同步设置时钟同步，服务器及监控设备应保持时钟的一致性，公司配置时钟服务器，其他设备通过NTP服务与时钟服务器同步。所有生产系统的时钟同步工作由系统管理员完成。5.相关记录序号记录名称保存期限保存形式备注1日志检查评审记录三年纸质/电子2重要服务器容量监控评审表三年纸质/电子3重要服务器和设备日志明细表三年纸质/电子文档编号（由总裁办填写）密级内部公开文档发布级别公司级文档发布及实行范围制度试行日期（可选）制度执行日期文档起草人签字：日期：文档修订人：签字：日期：修订说明：备注：文档负责人：签字：日期：文档审批信息安全管理者代表签字：日期：文档审批人签字：日期：七、通信安全通信安全管理规定目标通过控制网络访问权限以及公司与外部的信息传递，防止对办公网系统和应用系统的非法访问。引用文件下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T22080-2016/ISO/IEC27001:2013信息技术-安全技术-信息安全管理体系要求GB/T22081-2016/ISO/IEC27002:2013信息技术-安全技术-信息安全管理实施细则职责和权限各部门必须遵照本管理规范实行对网络、口令和权限的管理，用户必须按照本管理规范访问公司办公网系统和应用系统。Internet访问控制所有员工在工作时间禁止利用公司网络和互联网专线访问违法网站及内容。客户及第三方人员不允许直接通过可访问公司资源的有线或无线网络访问Internet，客户及第三方人员如需访问Internet应当在专设的隔离区进行。网络隔离公司与外部通过防火墙隔离，制定严格的VLAN划分，对公司内重要部门的访问进行控制。系统服务部制定VLAN访问控制说明。对不同的应用系统的用户信息及其他信息进行网络隔离。无线网络访问管理服务部对无线网络进行密码控制管理；员工对密码的保密要求在《密码控制管理制度》文件里做详细规定。信息交流控制措施信息交流方式包括数据交流、电子邮件、电话、纸质文件、谈话、录音、会议、传真、短信、IM工具等；可交流的信息，须符合《信息资产分类分级管理制度》里的密级规定;公司使用的信息交流设施在安全性上应符合国家信息安全相关法律法规、上级主管机关以及本公司安全管理规定的要求；对信息交流应作适当的防范，如不要暴露敏感信息，避免被通过电话偷听或截取；员工、合作方以及任何其他用户不得损害公司的利益，如诽谤、骚扰、假冒、未经授权的采购等；不得将敏感或关键信息放在打印设施上，如复印机、打印机和传真，防止未经授权人员的访问；在使用电子通信设施进行信息交流时，所考虑的控制包括：保护以附件形式传输的电子信息的程序；有业务信件和消息的保持和处置原则，要符合相关的国家或地方法规；在对外联系中，应注意安全保密，用Email发送机密信息必须符合公司的相关规定；因工作需要而传递公司或项目保密文件时，经批准后，可通过加密渠道传递；通过E-MAIL发送机密附件时，如有必要，附件必须加密，密码通过其他方式告知对方。使用传真的人员注意下列问题：故意的或无意的程序设定，向特定的号码发送信息；发送传真时注意，禁止向错误的号码发送文件和信息，不要拨错号码。所有员工签署保密协议，在组织对信息安全需求有变化时进行评审。文档编号（由总裁办填写）密级内部公开文档发布级别公司级文档发布及实行范围全员制度试行日期（可选）制度执行日期文档起草人签字：日期：文档修订人：签字：日期：修订说明：备注：文档负责人：签字：日期：文档审批信息安全管理者代表签字：日期：文档审批人签字：日期：电子邮件管理规定目标维护公司以及个人信息的安全性、保障邮件传输的可靠性、保持工作的高效率，特制定本规定。总则1、公司对员工邮箱进行统一规划和管理。2、公司鼓励和提倡各下属以及员工采用电子邮件进行内外交流。3、员工或部门以电子邮件对外联系是必须提供公司提供的、以相应域名为后缀的邮箱***@。4、公司邮箱用户的账号名以员工中文姓名/英文姓名的全拼/缩写字母为准，如有重名，允许用户自定义1-3位的识别码，已有账号员工可保留原账号不变。5、在职人员名片以及公司其他对外宣传资料上必须印有公司域名为后缀的邮件地址。管理权限和职责系统服务部：统一管理公司的电子邮件服务器。人力资源部：负责电子邮件的开通、使用、维护和监督检查工作。使用邮箱用户：应熟练使用各种办公软件进行邮件的收发。邮箱管理流程1、邮箱开通：员工在入职时，办理入职手续时，由人力资源部统一开通。2、邮箱关闭：员工因离职不再使用公司业务邮箱，由人力资源部执行注销，特殊人员的邮箱账号需要保留的，需经总经理批准后方可注销。3、公司邮箱账号限本人使用，禁止借用他人使用，禁止非工作用途将公司邮箱公布于外部网络。4、如有需要，经部门主管向人力资源部申请，可开通部门邮箱。邮箱使用1、一般邮件内容不应超过10M，如需发送较大附件，建议将附件拆分后分发送。2、不得传递与本人工作无关以及有害社会、企业安定的邮件。3、经批准用邮件订阅报刊、新闻、论坛。4、部门员工可以向部门邮箱发送发给部门所有员工的邮件。文档编号（由总裁办填写）密级内部公开文档发布级别公司级文档发布及实行范围全员制度试行日期（可选）制度执行日期文档起草人签字：日期：文档修订人：签字：日期：修订说明：备注：文档负责人：签字：日期：文档审批信息安全管理者代表签字：日期：文档审批人签字：日期：信息安全交流控制制度目标解决组织与外部方之间业务信息的安全传输，保护通过使用各种类型通信设施进行的信息传输。总则1、公司对与外部组织或个人进行信息传输进行统一规划和管理。2、公司鼓励和提倡各下属以及员工采用电子邮件进行内外交流，在采取了信息安全控制的措施的情况下，也可以使用其他方式对外进行信息传输。3、使用电子邮件应符合《电子邮件管理规定》中的相关要求。信息传输安全控制措施1、对传输前的信息进行病毒扫描，防止病毒威胁扩散。2、对一二级密级信息文件须加密传输。3、在使用任何通信手段前应确认接收方是真实可靠的。可通过电话、短信等方式进行身份验证。4、所传输的业务信息（包括消息）的保留和处理，要符合国家和地方法律法规规定。信息传输协议1、一级敏感信息采取全程不落地加密传输的方式进行，对信息中的敏感字段要进行脱敏处理。对传输完成后的源文件，应予以立即清除。2、对于二级敏感信息采取加密传输的方式进行。可保存经加密的原文件，未加密的原文件应被清除。3、与外部交流的重要信息，应定义双方的识别标记，进行电子签名，以识别信息来源，保证信息来源的真实可靠。4、对重要的信息交流，双方需签订交流协议，规定信息安全事态发生时的责任和义务、以及相关的保密责任和义务。5、信息系统或软件自动传输需交流的信息，须符合交流协议的规定，并按密级保护的要求操作。定期评审1、公司应对信息安全交流管理以及信息安全管理体系每年度进行一次安全评审2、公司应与相关联外部组织或内部组织每年进行一次信息安全管理沟通，以征求相关组织对公司信息安全的评价，以便于改进。3、公司与相关外部组织或内部组织沟通情况记入《信息安全管理体系意见表》，提交给信息安全管理领导小组，制定和落实整改措施。文档编号（由总裁办填写）密级内部公开文档发布级别公司级文档发布及实行范围全员制度试行日期（可选）制度执行日期文档起草人签字：日期：文档修订人：签字：日期：修订说明：备注：文档负责人：签字：日期：文档审批信息安全管理者代表签字：日期：文档审批人签字：日期：八、信息安全事件管理制度目的和范围为加强和改进信息安全事件管理；在发生信息安全事件时能及时报告，快速响应，将损失控制在最小范围；在发生信息安全事件后，能够分析事故原因及产生影响、反馈处理结果、吸取事故教训；在发现信息安全异常现象时，能及时沟通，采取有效措施，防止安全事故的发生；特制订本管理制度。本制度适用于影响信息安全的所有事故以及安全异常现象以及全体人员（包括外协人员、实习生、长期客户员工、来访客户等）。引用文件下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T22080-2016/ISO/IEC27001:2013信息技术-安全技术-信息安全管理体系要求GB/T22081-2016/ISO/IEC27002:2013信息技术-安全技术-信息安全管理实施细则《业务连续性管理制度》职责和权限信息安全管理领导小组：负责对内部信息安全事件的处理和奖惩意见进行审批；负责对纠正预防措施进行审批。信息安全工作小组：负责组织制定内部信息安全事件处理制度；听取信息安全事件的汇报，负责对信息安全事件进行调查取证，提出处理措施，提出奖惩意见以及纠正预防措施，负责信息安全有关的所有文件的管理与控制；负责组织制定项目信息安全事件处理制度；听取信息安全事件的汇报，负责对信息安全事件进行调查取证，提出处理措施，提出奖惩意见以及纠正预防措施，负责信息安全有关的所有文件的管理与控制。各部门：积极预防信息安全事件的发生；及时准确的汇报信息安全事件，配合信息安全事件的调查取证工作；配合执行处理措施，奖惩决定以及纠正预防措施。异常现象和事件发现人：异常现象和事件发现人有义务及时准确地报告异常现象和事件的真实情况，并采取适当的临时措施制止事故的进一步扩大。信息安全异常现象4.1信息安全异常现象定义信息安全异常现象是指被识别的一种系统、服务或网络状态的发生，表明一次可能的信息安全策略违规或某些防护措施失效，或者一种可能与安全相关但以前不为人知的一种情况。4.2信息安全异常现象处理流程图1信息安全异常现象处理流程图信息安全异常现象处理流程：异常现象发现者应及时上报信息安全工作小组，由工作小组指派相应人员进行处理。相应人员判断异常现象是否为信息安全事件，如果是的话进入信息安全事件处理流程；如果不是，由相应人员对异常现象进行处理。信息安全事件5.1信息安全事件定义信息安全事件：是指办公设备/计算机/网络设备系统/信息管理系统的硬件、软件、数据因故障/非法攻击/病毒入侵/恶意破坏/非授权外传/遗失/灾难等安全原因而遭到破坏、更改、泄露而造成业务活动不能正常进行或者涉密信息泄露或者在其他方面造成损失的事件。5.2信息安全事件分类5.2.1有害程序事件（MI）有害程序事件是指蓄意制造、传播有害程序，或是因受到有害程序的影响而导致的信息安全事件。有害程序是指插入到信息系统中的一段程序，有害程序危害系统中数据、应用程序或操作系统的保密性、完整性或可用性，或影响信息系统的正常运行。有害程序事件包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其它有害程序事件等7个子类，说明如下：a)计算机病毒事件（CVI）是指蓄意制造、传播计算机病毒，或是因受到计算机病毒影响而导致的信息安全事件。计算机病毒是指编制或者在计算机程序中插入的一组计算机指令或者程序代码，它可以破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制；b)蠕虫事件（WI）是指蓄意制造、传播蠕虫，或是因受到蠕虫影响而导致的信息安全事件。蠕虫是指除计算机病毒以外，利用信息系统缺陷，通过网络自动复制并传播的有害程序；c)特洛伊木马事件（THI）是指蓄意制造、传播特洛伊木马程序，或是因受到特洛伊木马程序影响而导致的信息安全事件。特洛伊木马程序是指伪装在信息系统中的一种有害程序，具有控制该信息系统或进行信息窃取等对该信息系统有害的功能；d)僵尸网络事件（BI）是指利用僵尸工具软件，形成僵尸网络而导致的信息安全事件。僵尸网络是指网络上受到黑客集中控制的一群计算机，它可以被用于伺机发起网络攻击，进行信息窃取或传播木马、蠕虫等其他有害程序；e)混合攻击程序事件（BAI）是指蓄意制造、传播混合攻击程序，或是因受到混合攻击程序影响而导致的信息安全事件。混合攻击程序是指利用多种方法传播和感染其它系统的有害程序，可能兼有计算机病毒、蠕虫、木马或僵尸网络等多种特征。混合攻击程序事件也可以是一系列有害程序综合作用的结果，例如一个计算机病毒或蠕虫在侵入系统后安装木马程序等；f)网页内嵌恶意代码事件（WBPI）是指蓄意制造、传播网页内嵌恶意代码，或是因受到网页内嵌恶意代码影响而导致的信息安全事件。网页内嵌恶意代码是指内嵌在网页中，未经允许由浏览器执行，影响信息系统正常运行的有害程序；g)其它有害程序事件（OMI）是指不能包含在以上6个子类之中的有害程序事件。5.2.2网络攻击事件（NAI）网络攻击事件是指通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。网络攻击事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件等7个子类，说明如下：拒绝服务攻击事件（DOSAI）是指利用信息系统缺陷、或通过暴力攻击的手段，以大量消耗信息系统的CPU、内存、磁盘空间或网络带宽等资源，从而影响信息系统正常运行为目的的信息安全事件；后门攻击事件（BDAI）是指利用软件系统、硬件系统设计过程中留下的后门或有害程序所设置的后门而对信息系统实施的攻击的信息安全事件；漏洞攻击事件（VAI）是指除拒绝服务攻击事件和后门攻击事件之外，利用信息系统配置缺陷、协议缺陷、程序缺陷等漏洞，对信息系统实施攻击的信息安全事件；网络扫描窃听事件（NSEI）是指利用网络扫描或窃听软件，获取信息系统网络配置、端口、服务、存在的脆弱性等特征而导致的信息安全事件；网络钓鱼事件（PI）是指利用欺骗性的计算机网络技术，使用户泄漏重要信息而导致的信息安全事件。例如，利用欺骗性电子邮件获取用户银行帐号密码等；干扰事件（II）是指通过技术手段对网络进行干扰，或对广播电视有线或无线传输网络进行插播，对卫星广播电视信号非法攻击等导致的信息安全事件；其他网络攻击事件（ONAI）是指不能被包含在以上6个子类之中的网络攻击事件。5.2.3信息破坏事件（IDI）信息破坏事件是指通过网络或其他技术手段，造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件。信息破坏事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件和其它信息破坏事件等6个子类，说明如下：信息篡改事件（IAI）是指未经授权将信息系统中的信息更换为攻击者所提供的信息而导致的信息安全事件，例如网页篡改等导致的信息安全事件；信息假冒事件（IMI）是指通过假冒他人信息系统收发信息而导致的信息安全事件，例如网页假冒等导致的信息安全事件；信息泄漏事件（ILEI）是指因误操作、软硬件缺陷或电磁泄漏等因素导致信息系统中的保密、敏感、个人隐私等信息暴露于未经授权者而导致的信息安全事件；信息窃取事件（III）是指未经授权用户利用可能的技术手段恶意主动获取信息系统中信息而导致的信息安全事件；信息丢失事件（ILOI）是指因误操作、人为蓄意或软硬件缺陷等因素导致信息系统中的信息丢失而导致的信息安全事件；其它信息破坏事件（OIDI）是指不能被包含在以上5个子类之中的信息破坏事件。5.2.4信息内容安全事件（ICSI）信息内容安全事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。信息内容安全事件包括以下4个子类，说明如下：违反宪法和法律、行政法规的信息安全事件；针对社会事项进行讨论、评论形成网上敏感的舆论热点，出现一定规模炒作的信息安全事件；组织串连、煽动集会游行的信息安全事件；其他信息内容安全事件等4个子类。5.2.5设备设施故障（FF）设备设施故障是指由于信息系统自身故障或外围保障设施故障而导致的信息安全事件，以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的信息安全事件。设备设施故障包括软硬件自身故障、外围保障设施故障、人为破坏事故、和其它设备设施故障等4个子类，说明如下：软硬件自身故障（SHF）是指因信息系统中硬件设备的自然故障、软硬件设计缺陷或者软硬件运行环境发生变化等而导致的信息安全事件；外围保障设施故障（PSFF）是指由于保障信息系统正常运行所必须的外部设施出现故障而导致的信息安全事件，例如电力故障、外围网络故障等导致的信息安全事件；人为破坏事故（MDA）是指人为蓄意的对保障信息系统正常运行的硬件、软件等实施窃取、破坏造成的信息安全事件；或由于人为的遗失、误操作以及其他无意行为造成信息系统硬件、软件等遭到破坏，影响信息系统正常运行的信息安全事件；其它设备设施故障（IF-OT）是指不能被包含在以上3个子类之中的设备设施故障而导致的信息安全事件。5.2.6灾害性事件（DI）灾害性事件是指由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。灾害性事件包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的信息安全事件。4.2.7其他事件（OI）其他事件类别是指不能归为以上6个基本分类的信息安全事件。5.3信息安全事件分级级别说明安全事故（一级）造成业务系统运行中断，严重影响业务活动进行的;数据被破坏，无法恢复或者恢复时间过长，超过30分钟，严重影响业务活动进行的;一级，二级机密信息泄露，给公司造成较大损害的,或产生重大影响的;其它涉密信息泄露，给公司造成极大损害的，产生特别重大的社会影响的;将恶意代码或其他有害程序传播至公司，产生特别重大的社会影响的;客户真实数据泄漏或者对客户数据造成破坏的，产生特别重大的社会影响的;内部人员（包括员工/外协人员/实习生/客户/服务人员等）任何故意破坏信息系统/泄漏涉密信息的行为,产生特别重大的社会影响的;网络设备受到攻击，影响网络畅通的安全事件，攻击流量超过正常流量的30％，或者持续时间大于15分钟的安全事件;相同业务一周重复出现的安全事件。利用相关信息平台，传播违法等不良信息，产生特别重大的社会影响的;严重安全事件（二级）数据被破坏，恢复时间较长，对业务活动进行造成相当影响的;一二级涉密信息泄露，给公司造成一定损害的;不遵守规章或者操作流程，造成客户投诉或者给公司造成一定损害的使用不安全渠道传输信息，造成客户投诉或者对公司潜在损害较大的。影响到各业务数据库的，30分钟内可处理解决的安全事件。网络设备受到攻击，影响网络畅通的安全事件，攻击流量低于等于正常流量的30％，并持续时间小于等于15分钟的安全事件。利用相关信息平台，传播违法等不良信息的;30分钟内已查明原因，但没有在60分钟内解决完成的一般安全事件30分钟内未查明原因的一般安全事件。对影响恶劣的一般安全事件，应升级为重大安全事件页面内容篡改；泄漏用户信息、用户数据、用户密码；泄漏设备相关信息，包括：管理权限、用户使用权限、版本信息；一般安全事件（三级）对业务活动进行没有造成太大影响，只影响到单台应用服务器，且为业务分布式服务器的安全事件，30分钟内已查明原因，可以在60分钟内解决的安全事件。数据被破坏，可以较快恢复，对业务活动进行没有造成太大影响的;涉密信息泄露，没有给公司造成明显损害的;不遵守规章或者操作流程，没有给公司造成明显损害的;任何外来的非法攻击/病毒入侵，尚没有对业务活动进行造成明显影响的;已发布相关安全公告的安全事件。信息安全事件处理流程5.3.1安全事件的发现相关部门应建立监控措施和日志查看制度，采用必要的技术手段，确保及时发现安全事件；相关部门根据风险评估、安全事件和安全告警的内容，及时发现潜在安全事件；应向所有员工和第三方服务商提供培训，使之认识到发现并报告安全事件是其应尽的义务。5.3.2安全事件的处理一般安全事件处理流程图图2一般安全事件处理流程图一般安全事件处理流程：相关工程师、管理人员、运营安全工作人员在日常维护、巡检、日志检查等过程中发现异常，或接到其他人员的异常报告，并判断为安全事件；事件发现者将事件发生时的情况，内容包括事件发生的时间、地点系统名称、现象描述、初步分析等，用邮件或电话报告给运营安全工作人员，并确认相关人员可立即收到和处理。运营安全工作人员判断事件安全级别，无法判断或非一般安全事件则上报运营安全组长按照严重安全事件处理；对于严重安全事件，启动相应级别事件响应流程；对于一般安全事件，运营安全工作人员应协助运营安全副组长直接处理解决问题。一般应在30分钟内查明原因，并且在60分钟内能够处理完成并解决了问题。如果在规定的时间范围内无法解决问题，运营安全工作人员应通过电话、传真等方式通知报告运营安全组长，并说明对处理情况的反馈要求，启动相应级别事件响应流程。严重安全事件处理流程图图3严重安全事件处理