中国东方航空股份有限公司信息安全管理规定

《中国东方航空股份信息安全治理规定》10中国东方航空股份信息安全治理规定第一章总则第一条为了进一步加强中国东方航空股份〔以下〕完善信息安全体系，保护公司的信息资产，依据中华人民共和国有关信息安全法律以及国际标准，结合行业、公司信息安全建设实际状况，特制定本规定。其次条本规定适用于公司全部信息资产及涉及信息资产的相关部门。本规定中所称的信息资产包括但不仅限于：数据库和数据文件、系统文档、用户手册、培训资料、运行程序、存档信息、应用软件、系统软件、开发工具和有用程序、计算机、通讯设备、磁介质〔磁盘与磁带、其它技术根底设备〔供电设备、空调设备、、人员、计算效劳、通讯效劳、网络效劳等。其次章根本原则第三条全员参与原则。公司每位员工都应对维护信息安全负有相应的责任和义务，具体包括：〔一〕全部接触和使用公司信息资产的人员和机构都有责任保障信息资产的安全。〔二〕信息系统的安全由使用信息系统的业务部门、治理治理部门作为资产的全部者拥有信息资产的治理责任和授权权利，而维护系统的技术单位、部门通常作为信息资产的维护者，在各治理部门、业务部门的授权下，担当各应用系统的治理、维护责任。〔三〕各单位、各部门需对全部员工定期进展信息安全方面的培训，并作为长期进展的制度化工作之一。第四条职权分别原则。对角色和责任进展分类时要考虑相互制衡的机制，使一个岗位的员工无法破坏关键的过程，如业务操作权限和系统治理权限的分开；超级账号的操作与系统审计权限的分开；业务申请操作和业务审核操作权限的分开等；公司各单位各部门应在设定岗位、制定岗位职责说明书或是具体安排人员时基于此原则，将信息安全职责落实到具体的岗位中去。对于重要计算机系统、网络和通信设备及相关区域的岗位，应安排两个拥有类似学问背景和专业技能的人员共同工作，以降低单个关键人员操作失误或个人蓄意破坏而导致的风险。第三章机构和职责第六条公司信息安全委员会是公司信息安全工作的领导机构，负责贯彻国家有关法律法规，落实上级信息安全机构的工作要求，争论和打算公司信息安全工作相关事项。信息安全委员会由各关键业务、生产单位及信息部主管领导组成。第七条公司信息安全委员会下设的信息安全治理办公室是公司信息安全工作的职能机构，负责组织开展与信息安全有关的监视治理、教育培训、信息安全抽查、信息安全大事查处等工作。信息安全治理办公室是信息安全治理委员会的常设机构，挂靠在信息部，由信息安全专职人员及各关键业务、生产单位的信息安全联系人员组成。第八条公司信息安全工作依据“谁主管谁负责、谁运维谁负责、谁使用谁负责和属地化治理任。第四章信息设备安全治理第九条严禁在未经公司信息部的许可或授权的状况下私自转变办公桌面信息设备，包括但不仅限于：设备〔DVD。第十条在桌面计算机及相关设备消灭问题时，应准时联系公司的计算机和相关设备进展修理。第十一条 办公、运行的计算机设备〕在外借或报废〔弃用〕时，需由专人对机内系统和数据作相应处理，防止泄密。第十二条 全部的硬件资产必需明确设备的使用人员、治理人员。第十三条硬件资产的使用人或治理人，在使用或治理硬件资产时，要留意硬件资产的安全性、机密性、完整性，防止信息载体的毁坏和信息的泄密，防止信息处理设施的滥用。第十四条 须对设备定期进行维护保养，发生毁坏，丧失等问题时能够准时处置。第十五条对于无人职守的设备，要明确治理人员，加强物理安全把握。第十六条 设备中存储有重要信息时，需事先进展备份。第十七条 需要检查设备是否损坏。第十八条设备迁移出公司时，检查人员在检查时要格外留意，制止设备中存放重要信息，以防止公司机密信息泄露或增加泄露的风险。第十九条存储设备报废前需进展重要数据的备份，在备份后需对其中存储的涉密信息进展脱密处理。其次十条对于中心机房内的关键信息系统设备如：各类服务器、存储设备、核心交换、重要链路等需运维操作单位、部门制定有针对性的安全维护手册并严格执行。第五章桌面信息系统安全治理其次十一条 应使用软件厂商支持的正版、主流操作系统或计算机厂商OEM的操作系统，并应准时将补丁更至最。其次十二条 桌面办公系统避开使用Server类操作系统，因工作要求有特别需求的，应报公司信息部批准并备案。其次十三条未经公司信息部批准，制止使用自带的安装介质或软件包在办公桌面计算机上安装操作系统。其次十四条在进展区间划分时应保证至少两个分区，即系统分区和工作分区。其次十五条如无特别需求，严禁在办公桌面计算机上设置共享文件夹。必需使用时，应设置口令保护、只读权限等安全措施，同时设置的口令应符合第八章的要求，使用完后应准时取消共享。其次十六条 必需安装企业级防病毒客户端软件，该软件的安装应使用公司信息部供给的安装介质或软件包，在具体使用过程中必需保证安全软件的正常运转，不得自行卸载这些安全软件。其次十七条 桌面计算机上只能安装办公系统必需使用的根底应用软件、工具软件以及各单位各部门的生产应用软件等，如办公软件、邮件客户端、压缩解压缩软件、汉字输入法、AOC系统、离港系统、财务系统等。其次十八条 严禁安装盗版软件、与工作无关的软件、可能会破坏公司信息安全的各种黑客软件等。其次十九条用户对自己所使用的桌面计算机的安全担当最终责任，除非有特别状况，否则严禁授权他人使用自己的桌面计算机。第三十条运维操作单位须定期将公司桌面系统的运行维护及信息安全状况向信息部反响。运维操作单位需建立明确的桌面系统定期安全审查〔审查内容包括黑客软件等；是否安装防病毒软件并准时更病毒代码；安全补丁。公司信息部对桌面系统安全审查报告进展审核，并存档。第六章机房安全治理第三十一条机房根底设施要求。UPS及足够容量的输送电缆，确保供电安全。(二) 机房应配备空调及湿度调整器，确保机房内设备正常运转必需的温度及湿度。依据消防部门的要求进展检测。(四) 机房内机柜应摆放整齐，机柜内放置的设备及其使用人、用途等信息应作醒目标识。(五)应对穿过机房墙壁和楼板的水管增加必要的壁渗透。(六)中心机房需安装监控设备，并有专人监控。(七)中心机房需安装防雷击设备，并定期通过专业部门的检测。(八) 机房实际承重需符合国家设定的机房承重标准。第三十二条机房内应保持清洁安静，严禁吸烟、喝水、吃东西、乱扔杂物、大声喧哗。第三十三条机房内严禁堆放与机房设备无关的杂物，避开造成安全隐患。第三十四条机房制止放置易燃、易爆、腐蚀、强磁性物品。第三十五条 制止将机房内的电源引出挪做他用，确保机房安全。第三十六条未经许可，机房内严禁摄影、摄像。第三十七条机房内机柜、设备未经许可，不得任意改动；假设已获得许可，需具体记录改动后的状况。第三十八条进入机房工作的人员有责任在工作完成后准时清理工作场地、去除垃圾、做好设备标签、关闭机柜柜门。第三十九条机房巡检要求。(一) 机房运维操作单位应制定明确的机房运行保障指标，并报信息部备案。(二) 机房运维操作单位需每日巡检中心机房至少二次，并填写中心机房巡检记录。(三) 机房运维操作单位需每周巡检二级节点机房，并填写二级节点机房巡检记录。(四) 运维操作单位需制定具体的巡检检查单。(五) 机房巡检记录每月汇总后报信息部。第四十条 机房出入要求。(一)需要持有机房钥匙的人员必需得到信息部批准并登记备案。(二)需要进入中心机房的工作人员在得到信息部的批准后，方能进入机房。年。全程伴随，并记录全部人员姓名，工作内容准时间。(五)(七)在机房区域内觉察生疏可疑的人应主动上前询问，或通知安全保卫人员对此状况进展关注。(八)关规定佩带身份证明识别标志〔徽章、名卡〕等，不得伪造或使用他人的身份证明标志。息部进展审核。第七章办公环境信息安全治理第四十一条 办公室钥匙应由专人治理。第四十二条电脑操作系统的桌面上不行存有涉密信息。第四十三条办公桌面在无人在位的状况下不应放置涉密文储设备。第四十四条员工临时离开办公使用的计算机时，应使用计算机内的锁定保护功能。第四十五条办公环境应划定特地的来访接待区域，不应在内部办公区接待来访人员。第四十六条进出敏感的办公区域如系统开发、系统治理等应遵照规定佩戴身份标识。第四十七条在办公区域内觉察生疏可疑的人应主动上前询问，或通知安全保卫人员对此状况进展关注。第四十八条办公区域需保持干净、干净。办公区域制止堆放与工作无关的杂物。第四十九条制止携带任何危急品、可燃品或其他可能影响人员和设备安全的物品进入办公区域，如有特别需要必需得到治理人员的同意才可进入。第五十条 应准时取走打印或复印的含有敏感信息的文件。第五十一条 各部门需依据自己的业务特点制定更有针对性的办公区域信息安全规定。第八章信息系统密码信息安全第五十二条密码的设定。的系统，涉及公司商业隐秘的系统，重要账号如系统治理员、应用治理员，密码强8字母大小写混合组成。一般系统用户密码及字母大小写混合组成。PC应设置用户登录密码。(三)应避开在多个系统内使用一样的密码，以防密码被非法猎取后产生连锁后果。第五十三条 密码使用。(一)在输入密码时，应保持必要的警觉性，防止被人通过非法手段猎取密码。(二) 制止在未经信息部允许的状况下编写并使用自动登录系统的脚本和程序。(三)输入密码时需确认所操作的电脑是否已安装符合公司要求的杀毒软件且已更，以确保无后门、木马、按键记录软件等非法插件。第五十四条 密码更。90做过的操作在系统中消灭。第五十五条 密码保护。(二)应尽量避开将密码书写在纸面或是存放在电子文档中。(四)制止将记录有密码信息的载体任意放置在工作区域四周。第五十六条 器端密码口令要求。(一)业务系统的账号口令的维护应遵循本规定第五条，做到操作与审计分别，业务申请和业务审核分别。件需改为不行读文件，并把握该文件只能是对应程序访能供用户使用。程序所使用的账号及口令制止集中。(三)内置于业务系统源代码中的数据库调用中的用配置文件来实现。参考第五十六条〔二〕。有机器难以识别的人工校验的输入。(五) 系统的测试账号在系统试运行完毕时应进展禁用及归档操作。(六) 业务系统所配置的密码都可以进展更改操作。第九章信息系统访问把握第五十七条 网络接入。〔笔记本电脑或台式计算机在公和治理，制止私自变更办公桌面的IP地址，以免擅自配IPIPIP冲突。桌面设备接入公司的企业内部网。(三)如需通过公司VPN接入设备接入公司局域网，须向公司信息部提出申请，提交《东上航VPN用户申请VPN公司信息部提出申请，由公司信息部规划设计前方能实局域网络。第五十八条 网络使用。(一)部提出申请，提交《东航互联网访问权限申请表》，经审核开通前方能使用上网账号。(二)严禁利用网络从事以下活动：制作、发表、传播各类虚假和有害信息、破坏国家和社会稳定、危害市场经济秩序和社会治理秩序；窃取、泄露国家隐秘、情报或者军事隐秘、危害国家安全；建立淫秽网站、网页，供给淫秽站点链接效劳，或者传播淫秽书刊、影片、音像、图片；络患病损害；损害他人商业信誉和商品声誉；据资料，侵害公民通信自由和通信隐秘；在工作时间内利用公司网络从事与工作无关的活动，占用网络资源，影响网络安全；〔点〔如各类玩耍、音乐、电影网站和论坛等〕以及其他与工作无关的信息站点〔股票、在线购置等〕；在工作时间内利用公司网络传输和下载与工作无关的文件。第十章应用系统安全治理第五十九条操作系统、数据库用户及授权治理。应用系统的操作系统、数据库用户及授权治理权限归属于信息部，由系统运维操作单位负责具体执行，对操作系统、数据库用户及授权治理包括并不限于以下几方面：〔可以是项目组或运维治理方维操作方指定的系统治理员在系统中执行授权。维操作方执行操作。统负责人将该信息备案留档后，授权运维操作方执行操作。〔例如每六个月打印用户授权清单并分发给各系统使用部门的主管领导对用户及其管。复核文档应由信息部存档。第六十条应用系统用户及授权治理。应用系统的用户及授权治理权限归属于此应用系统相关业务部门，对应用系统的用户及授权治理包括并不限于以下几方面：〔可以是业务部门的治理层记录的权限。主管签字认可。签字认可。〔例如每六个月打印用户授权清单并分发给各系统使用部门的主管领导对用户其主管。复核文档应由责任部门存档。第六十一条 治理中必需含有变更失败的紧急回退操作方式。IT能变更、应用级补丁安装，应向IT变更经理提出申请，经过评估流程后再进展实施或方案修正。(四)信息系统变更具体操作方式及流程须按公司已公布的东航通知公告2023-8758IT变更治理规定〔1第十一章恶意软件防护第六十二条防毒软件安装治理。上海地区统一治理的防病毒软件包由信息部在指定系统上进展公布。各分子公司也须部署统一治理的防病毒信息系统。桌面计算机系统上应安装和使用全公司统一部署的企业防病毒客户端软件。制止关闭、修改、删除、掩盖公司指定的防病毒软件。第六十三条 对部署的防病毒软件效劳器进展治理。如：人员定期查看病毒日志，查看病毒定义库更的状态等。第六十四条 意识。不应翻开未知可疑的邮件及其附件；在处理邮件附件时应先将附件保存至硬盘上，防止其利用邮件客户端漏洞隐蔽可执行属性；存储介质在使用前应先查毒；应常常关注通过各种途径发出的病毒警告，并依据警告内的建议实行必要的措施；当觉察特别状况时，应马上断开网络，并启动防病毒软件进展查毒，在防病毒软件没有觉察病毒的状况下，可向运维人员报告并要求技术支持。第十二章公司信息沟通工具安全治理第六十五条 公司信息沟通工具包括但不限于公司的电子邮件，公司的即时通讯软件，公司的电子信息论坛等。制止利用公司的信息沟通工具制作、复制、公布、传播反对宪法所确定的根本原则的；危害国家安全，泄露国家隐秘，颠覆国家政权，破坏国家统一的；损害国家、公司声誉和利益的；煽动民族仇恨、民族卑视，破坏民族团结的；破坏国家宗教政策，宣扬邪教和封建迷信的；散布谣言，扰乱社会秩序，破坏社会稳定以及公司正常业务的；散布淫秽、色情、赌博、暴力、凶杀、恐惊或者教唆犯罪的；污辱或者诽谤他人，侵害他人合法权益的；含有法律、行政法规制止的其他内容的；未经审核批准的公司涉密信息等内容的信息。第十三章信息系统外包商信息安全治理第六十六条信息系统外包商必需遵守东航公布的各项信息安全标准和治理规定，并严格执行相关的信息安全措施，否则将赐予惩罚或解除合同。第六十七条 外包商签订的合同或合约中应当包含全部必要的信息安全要求，确保符合东航的安全策略和标准，并确保和外包商之间对合同内容不存在