PC桌面标准化说明样本

东方中安信息技术有限公司PC机系统及桌面原则化阐明（草稿）发布时间：.4发布部门：版本号：批准人：目录一、统一电脑设立： 8二、原则电脑软件安装及配备： 8三、信息资产分类分级管理程序 91. 目和范畴 92. 引用文献 93. 职责和权限 104. 信息资产分类分级 105. 信息分级标记 126. 公司秘密信息使用管理 137. 保密原则 19四、访问控制制度 221. 目和范畴 222. 引用文献 223. 职责和权限 224. 顾客管理 225. 权限管理 236. 操作系统访问控制 247. 应用系统访问控制 258. 网络和网络服务访问控制 259. 网络隔离 2610. 网络设备 2611. 信息交流控制办法 2612. 远程访问管理 2713. 无线网络访问管理 2814. 笔记本使用及安全配备规定 2815. 外部人员使用笔记本规定 2916. 服务器安全控制 2917. 实行方略 2918. 有关记录 29五、密码控制管理制度 311. 目和范畴 312. 引用文献 313. 职责和权限 314. 密码控制 32六、操作安全管理 36补丁管理 361. 总则 362. 合用范畴 363. 职责分工 364. 补丁管理 375. 附则 39防范病毒及恶意软件管理规定 401. 目和范畴 402. 引用文献 403. 职责和权限 404. 病毒防治管理 415. 恶意软件管理 416. 实行方略 427. 有关记录 42软件管理规定 44目和范畴 441. 引用文献 442. 职责和权限 443. 软件管理 444. 软件使用 475 有关记录 47数据备份管理规定 491. 目和范畴 492. 引用文献 493. 职责和权限 494. 备份管理 49系统监控管理规定 521. 目 522. 引用文献 523. 职责和权限 524. 系统监控管理 525.有关记录 54七、通信安全 55通信安全管理规定 551. 目的 552. 引用文献 553. 职责和权限 554. Internet访问控制 555. 网络隔离 566. 无线网络访问管理 567. 信息交流控制办法 56电子邮件管理规定 591. 目的 592. 总则 593. 管理权限和职责 594. 邮箱管理流程 595. 邮箱使用 60信息安全交流控制制度 621. 目的 622. 总则 623. 信息传播安全控制办法 624. 信息传播合同 625. 定期评审 63八、信息安全事件管理制度 651. 目和范畴 652. 引用文献 653. 职责和权限 654. 信息安全异常现象 665. 信息安全事件 686. 安全事故解决流程： 817. 信息安全事件紧急处置和业务恢复 818. 信息安全事件证据收集 829. 信息安全事件和信息安全异常现象报告和反馈 8310. 改进和防止工作 8411. 实行方略 8412. 支持文献 8513. 有关记录 85九、业务持续性管理制度 871. 目和范畴 872. 引用文献 873. 职责和权限 874. 业务持续性管理流程 885. 制定应急预案 906. 演习与维护 917. 有关记录 92PC桌面原则化阐明一、统一电脑设立：为规范公司电脑配备与管理，提高工作效率，从而更好地为办公服务。计算机机器名称统一规范化命名，便于通过计算机辨认设备所在区域和顾客例：东方中安-JasonWINDOWS操作系统安装公司采购正版系统，启动自动更新功能实现，使每台可以上网机器都能及时从互联网上下载最新补丁程序，有效防范病毒等恶性事件发生。取消域顾客本地系统管理员权限（设为PowerUsers），防止顾客擅自安装非法软件和更改系统配备按新密码规则修改本地Administrator密码（新员工PC机初始密码：000000）二、原则电脑软件安装及配备：常规系统及软件1、Windows10系统及语言包2、赛门铁克杀毒软件及病毒库数据更新（病毒库每周更新一次）3、Altiris（硬件资产管理)4、Office中小公司版5、工具软件：WinRAR（可以安装，但不是原则软件）6、AdobeReader7、其她需要安装软件需和上级部门主管批准针对任何游戏软件及非工作需要软件，均应及时卸载并删除如果电脑有问题，请先排除故障后再做如下操作。三、信息资产分类分级管理程序目和范畴为减少公司重要资产因遗失、损坏、篡改、外泄等事件带来潜在风险，这些风险将对公司信誉、经营活动、经济利益等导致较大或重大损失，需要规范信息资产保护办法和管理规定，特制定本管理制度。本规定合用于我司信息资产安全管理，合用对象为我司员工和所有外来人员。特殊岗位或特殊人员，另有规定从其规定。公司信息资产是指一切关系公司安全和利益，在保护期内只限一定范畴内人员知悉、操作、维护事物、文档、项目、数据等资源。引用文献下列文献中条款通过本规定引用而成为本规定条款。凡是注日期引用文献，其随后所有修改单（不涉及勘误内容）或修订版均不合用于本原则，然而，勉励各部门研究与否可使用这些文献最新版本。凡是不注日期引用文献，其最新版本合用于本原则。GB/T22080-/ISO/IEC27001：信息技术-安全技术-信息安全管理体系规定GB/T22081-/ISO/IEC27002：信息技术-安全技术-信息安全管理实行细则《备份管理规定》《访问控制程序》《文献控制程序》职责和权限本管理规定作为全公司范畴信息类资产最低管理规定，各部门或各项目组，均可以依照客户规定，添加补充方略，并在本部门、本项目组内实行，与本规定一起，作为信息安全管理工作指南。信息安全管理领导人组：是我司信息资产安全管理工作最高领导组织，总体负责信息资产安全。信息安全管理工作小组：负责详细协调组织实行及解释答疑等工作。各部门经理：作为本部门信息资产安全管理最高责任者，有责任和权限保证本部门信息资产安全。各信息所有者：负责各信息资产标记、分发和传递控制；员工：应当熟悉本管理规定内容，涉及信息资产标记办法和使用管理规定，并切实贯彻到寻常工作中。信息资产分类分级4.1信息资产分类公司信息资产分为：硬件资产、软件资产、数据资产、人员资产、外包服务资产、无形资产、文档资产、环境资产、第三方服务资产等。区别原则如下：硬件资产：寻常工作、公司运作或系统运营所依赖可见电子设备、设施和工具。重要涉及：办公类用品，如桌椅、纸张等。计算机及配件、辅助设备类，如服务器、台式机、笔记本电脑、移动存储、打印机等。网络设备，如网络互换机等。其她设备，不属于上述3类设备设施，如饮水机等。软件资产：依赖电子计算设备运营非硬件资产。如：操作系统、杀毒软件、源代码、组件、程序、业务系统或平台等。数据资产：计算机软件运营时依赖原始数据、配备数据，运营时产生动态数据、成果数据以及可以给公司经济效益、信息安全带来潜在影响所有数据，这些数据如遗失、非法复制传播、损坏等从经济或安全上也许给公司导致损害。如客户信息数据、系统配备数据、系统登录帐号密码、业务运营数据、电话号码资源等。4.2信息资产分级管理信息资产分级管理制度引用如下文献：硬件资产分级管理制度软件资产分级管理制度数据资产分级管理制度人员资产分级管理制度外包服务资产分级管理制度无形资产分级管理制度文档资产分级管理制度环境资产分级管理制度第三方服务资产分级管理制度4.3信息资产分类指引公司各部门根据分类定义和示例，对部门《资产辨认表》中各类资产进行分级，并报请本部门经理审核确认。公司一级、公司二级信息资产需要报信息安全管理工作小组汇总、审核后，请公司总经理确认审批。《资产辨认表》需详细登记所有信息资产，并拟定其分级和管理负责人。信息分级标记5.1分级标记编号硬件资产（H-hard）：H1、H2分别代表一级硬件资产，二级硬件资产等。软件资产(S-soft)：S1、S2分别代表一级软件资产、二级软件资产等。数据资产(D-data)：D1、D2分别代表一级数据资产、二级数据资产等。人员资产(P-person)：P1、P2分别代表一级人员资产、二级人员资产等。外包服务资产(T-team)：T1、T2分别代表一级外包服务资产、二级外包服务资产等。无形资产(N-none)：N1、N2分别代表一级无形资产、二级无形资产等。文档资产(F-file)：F1、F2分别代表一级文档资产、二级文档资产等。环境资产(E-environmen)：E1、E2分别代表一级环境资产、二级环境资产等。第三方服务资产(TS-thirdservice)：TS1、TS2分别代表一级第三方服务资产、二级第三方服务资产等。5.2公司绝密、机密信息定义标记为一级和二级文档及敏感类信息称为公司机密信息，三类信息为秘密信息，四类为可内部公开信息，五类为可公开信息。绝密信息，除文档资产外，不包括在其她信息资产分级定义序列中，绝密信息普通由公司最高管理层负责管理和保密义务。5.3各密级知晓范畴公司绝密级：高层管理级人员及与公司绝密内容有直接关系工作人员，对其她任何人都需要保密。掌握核心公司绝密核心岗位人员变更、离职须经总经理批准。公司机密级：部门经理级及以上管理人员以及与公司机密内容有直接关系工作人员，容许知晓与本工作有关公司机密事项，对非有关人员需要保密。公司秘密级：部门骨干管理人员以及与公司秘密内容有直接关系工作人员，容许知晓与本工作有关公司秘密事项，但对其她部门应保密。内部公开：公司内部所有人员，容许知晓在公司内部范畴内属于公开信息，但未授权不得对公司以外人员泄露公司内部公开信息。公开：公司外面所有人员，容许知晓由公司内授权人员宣布可公开信息。可公开文档必要转成PDF文档后，或使用其她办法变成只读不可修改文档后再行发布。5.4分级标记编号可作为分级标记使用公司固定资产硬件设备必要标记分级标记编号。作为电子文献时必要在文献第一页明显位置标记分级。对于纸质文档，使用公司统一刻制分级标记图章进行标记，对于“公司绝密”文档在需要时，通过骑缝章或每页敲章方式进行“绝密”标记。使用信封等封装时，还需要在封装上标记“绝密”标记及分级标记。对于模板文档，其标记分级是指填写内容后分级，而非空白时分级。如果使用光盘/磁带/软盘等介质，需要直接在介质表面上标记分级。需要提交给客户信息资产（例如：项目开发成果物），必要有分级标记。对于应用系统中显示画面、数据表单或打印输出等内容，必要有分级标记。公司秘密信息使用管理6.1涉密信息保管公司绝密、公司机密信息：应当保管在普通人员无法随便进入有安全保障房间，例如：总裁办公室、各部门主管办公室、财务室、机房等。电子文档必要有可靠备份机制；除非特别批准公司绝密信息不应保管在个人用计算机上。纸质文献以及电子存储介质（例如：移动硬盘/U盘/光盘/软盘等）应当保存在加锁文献柜或保险柜内。在不使用或处在目光所及范畴之外时，应将资料存储在锁闭档案柜、桌式书架或书柜内；在携带至办公室以外地方时，应将资料存储在随身携带锁闭箱包或手提箱内。其他涉密信息：也应当保存在安全工作区域内。电子文档也必要有可靠备份机制。纸质文档以及电子存储介质应存储于书柜、档案柜或桌式书架柜内，以防被非公司人员意外看到或获得。技术成果技术转让、技术入股、技术引进等途径获取公司秘密过程中，依照合同或合同中规定提供公司秘密，承办人应采用保密办法，保证不泄漏公司秘密。获取公司秘密应及时移送财务部归档，不得个人保存。工作成果物：每个人工作成果物（工作成果物指需要向客户或上级或组织提交工作成果）应当及时保存到指定场合。电子文档应当保存到公用机器上指定位置，从而得到可靠备份和访问控制，对于纸质文档和电子介质应当保存到指定文献柜内（除非被批准，不得保存在个人文献柜内），并做好清晰标示，从而保证她们可用性。员工在公司任职期间工作成果归公司所有，并按《保密合同》及本制度进行管理；客户信息在公司寻常业务（涉及营销等有关活动）中接触到客户信息以及客户提供信息同样应当作为公司涉密信息实行管理和控制。重要信息应当被指定为公司绝密，别的都按照“公司秘密”密级来对待。特别是客户真实数据，属于“公司机密”，除非得到客户明确授权，不得使用；使用时必要按照严格流程和管理规定（事先备份等），不得在其他任何场合使用或透露有关信息。6.2涉密信息访问限制寻常工作中需使用含公司绝密、公司机密性数据设备，或需解决公司绝密、公司机密性数据员工，须依照公司有关规定订立《知识产权及保密合同》；我司委外开发或加工外包合同/合同中须包括所涉及信息资产保密条款，必要时，须与有关人员订立保密合同；涉密信息访问范畴应限制在满足需要最小限度。公司绝密信息应当存储在非有关部门员工无法访问独立VLAN内，存储“公司绝密”信息个人用计算机应当安装防火墙，保证其她机器无法积极访问，通过网络共享目录不容许存储“公司绝密”信息；存储涉密信息计算机顾客密码必要得到严格控制和有效管理；“内部公开”及以上信息未经授权，禁止以任何方式向公司以外人员泄露。“公司绝密”信息由公司领导、信息安全主管部门和有关应用部门协商拟定访问权限，由信息安全主管部门委托人员（普通是总裁办管理）详细控制。“公司机密”和“公司秘密”信息由各部门，各项目组负责人拟定访问权限，由她们或委托可靠有关人员进行访问权限详细控制办法。为了保证涉密信息安全，全体员工必要严格遵守《访问控制管理程序》中所详细规定各项控制方略。6.3涉密信息使用不得使用任何手段积极获取与工作职责无关涉密信息。不得以任何工作需要以外目复制、复印、摘抄涉密信息，未经管理者允许，禁止复制、复印“公司机密”以上级别信息。因工作需要将涉密信息复制到非有关设备或公用设备中时，必要在使用完毕后，及时删除作业遗留涉密信息。因工作需要复印涉密信息，使用完毕后，按照涉密信息废弃处置办法处置。涉密信息使用必要严格限制在工作必要物理和人员范畴内，除非工作需要并得到批准，不得把存储涉密信息设备和存储介质以及具有涉密信息纸质文档带出公司。“公司绝密”信息使用必要时可以通过签名登记方式加以控制。因工作需要，需要对敏感涉密信息共享时，必要对涉密信息进行加密解决。不在有非有关人员在场状况下谈论/使用涉密信息。涉及：和客户接触时避免涉密信息泄露，制作提供应客户资料文献时原则上使用PDF格式，并需要注意涉密信息保护。不能在公共场合或者敞开办公室、没有良好隔音会议室谈论公司绝密信息。使用纸质文献是，要注意：“公司机密”以上级别信息纸件不得重复使用，含其他涉密信息纸件文献也不得跨项目使用；下班后应清理桌面，将具有重要涉密信息纸质文献放入文献柜；发出打印命令后，及时去取打印文献，保证打印机处无遗留纸质文献。打印“公司绝密”信息时，尽量使用非公用打印机；复印完毕后注意检查，保证复印机处无遗留纸质文献。复印“公司绝密”信息时，尽量在人少时段；传真完毕后注意检查，保证传真机处无遗留纸质文献。对于外来传真，应当立即收取，再告知或送达收件人。对于涉密技术文献发放和回收，参照《文献控制程序》。计算机数据安全管理：在从事涉及保密信息工作时，不得离开计算机，使之处在无人照看状态；人员因故离开座位时，必要退出系统或使用屏幕密码保护，防止账号被盗用或数据被窃取。下班或因公外出离开办公室前，必要关闭计算机设备并将桌面收拾干净，避免保密信息失窃或系统被侵入；保管好所有数据存储设备，并作恰当标记；公司绝密或公司机密性数据如需通过电子邮件传送，应经加密解决后传送；公司绝密或公司机密性数据，不得存储于无账号权限、密码限定信息系统中。6.4涉密信息发送任何涉密信息发送，都必要保证收件人合法性；“内部公开”信息未经允许，禁止发送给公司以外人员；“公司秘密”，“公司机密”“公司绝密”只发给管理者授权收件人。涉密信息传送后，必要通过e-Mail/MSN/电话等手段，获得对方确认或积极向对方确认。在公司内部传送纸质数据时，委托她人传送时，必要加以封装；“公司绝密”信息传送时必要保证直接交给收件人本人；其她涉密信息传送时，尽量直接交给收件人，如果放置在收件人坐席上必要将传送背面朝上，并且事后要和收件人确认。运用电子手段传送数据时，“公司绝密”信息必要使用加密手段，并且密码不得同步发送；在也许条件下，勉励所有涉密信息都采用加密手段传送。“公司绝密”信息除非特别需要必要使用公司网络服务传送；所有涉密信息都应当尽量避免使用公司外部电子信箱以及MSN/QQ/Skype/公用FTP/网络存储空间等手段来进行传送。必要运用最新防病毒库对收发文献进行病毒检查。运用传真进行涉密信息传送时，不得委托非有关人员代为传送；传送时必要始终等待在侧；传送完毕后立即回收；不特别必要，不运用传真方式进行“公司绝密”信息传送；收发“公司绝密”信息时，应事先和对方联系，保证传真不通过其她人手。运用快递/邮寄手段进行涉密信息传送时：对传送信息必要加以封装；不特别必要，“公司绝密”信息传送不运用快递/邮寄手段进行，而应尽量运用公司内部人员以专程形式来进行传送工作；传送“公司绝密”信息时，应事先和对方联系；在确认收届时，还必要确认封装没有损坏；非收件人不得随便拆阅。6.5涉密信息废弃处置过期或作废涉密文献需要废弃处置解决时，一方面需得到批准。“公司绝密”信息废弃处置要得到公司总经理书面批准，并指定可解除该信息人员实行或全程监督实行。其他涉密信息废弃处置要得到有关部门，有关工作组负责人批准，并指定人员实行。公司绝密数据必要退回资料来源处，或者在经资料来源处授权状况下，将其存储在安全文献贮存处或加以销毁；电子档案必要采用总裁办允许使用专用销毁文献计算机磁盘工具予以消除，必要保存销毁文献记录。“公司机密”和“公司秘密”信息，进行解决时，纸质文献要通过专门设备彻底粉碎；电子档案必要采用行政部允许使用专用销毁文献计算机磁盘工具予以消除，必要保存销毁文献记录。客户方面特别提出规定期，按照客户规定办法实行。个人工作中使用纸质文档不得随意丢弃或作其他用途，废弃后要及时粉碎解决；电子文档需要及时整顿和清除。对一级硬件信息资产进行专人监督物理破坏。保密原则所有公司员工均有义务和责任保守公司公司秘密。严格遵守公司关于保密方面各项政策和制度规定；保护并按照规定方式解决包括公司保密信息各种记录、草稿、文本副本、打印机色带和图表；不在公司以外公共场合及同亲友及家人谈论公司业务状况及保密信息；在向非公司员工刊登演讲、宣传时不得援引保密信息；未经资料来源处授权，不得复制或复印任何公司保密数据资料；未经必要审批手续，不得将公司保密数据资料从公司带出；不得使用规定以外其他方式，用电子手段传送或调用保密数据材料；论文刊登前，要通过部门领导和信息安全工作小组审核；员工必要具备保密意识，必要做到不该问绝对不问，不该说绝对不说，不该看绝对不看。未经领导批准，不准开展本岗位外业务活动，不准串岗。在寻常工作中，全体人员都应当按照“知所必须”原则，获得完毕其工作职责所必须最小范畴涉密信息和最小逻辑访问权限，并且以尽量安全方式在最小范畴内使用。对公司公司秘密知晓范畴执行压缩控制原则，员工只在管辖范畴内依照工作需要知晓有关公司公司秘密。公司勉励员工在一定限度上使用常识性办法来保护公司涉密信息，如果员工不懂得某项资产密级，默认状况下至少按“公司秘密”密级来对待。对于研发进行中项目，除公司统一制定产品目的对客户进行宣传以外，公司任何员工均需对公司正在研发项目内容、项目进度等信息进行保密，特别是器件供应商，与竞争对手关系密切客户等。对于公司商务信息仅限市场人员、商务人员及其管理人员知悉。不同市场区域之间信息，原则上也规定保密。对外交往与合伙中如需要提供公司公司秘密事项，应先由部门经理批准，特殊状况须经公司有关领导审核、公司总经理批准。因工作需要知悉非本职范畴内公司公司秘密，须经有关领导批准，公司秘密级信息由部门经理批准，公司机密级信息由分管副总批准，公司绝密级信息由公司总经理批准；公司员工发现公司公司秘密已经泄露或也许泄露时，应及时采用补救办法并及时报告上级主管，上级主管须及时做出相应解决。文档编号（由总裁办填写）密级内部公开文档发布级别公司级文档发布及实行范畴全员制度试行日期（可选）制度执行日期文档起草人签字：日期：文档修订人：签字：日期：修订阐明：备注：文档负责人：签字：日期：文档审批信息安全管理者代表签字：日期：文档审批人签字：日期：四、访问控制制度目和范畴通过控制顾客权限对的管理顾客，实现控制办公网系统和应用系统访问权限与访问权限分派，防止对办公网系统和应用系统非法访问，防止非法操作，保证生产系统可用性、完整性、保密性，以及规范服务器访问。本访问控制制度合用于系统维护部以及其她拥有系统权限管理部门。引用文献下列文献中条款通过本规定引用而成为本规定条款。凡是注日期引用文献，其随后所有修改单（不涉及勘误内容）或修订版均不合用于本原则，然而，勉励各部门研究与否可使用这些文献最新版本。凡是不注日期引用文献，其最新版本合用于本原则。GB/T22080-/ISO/IEC27001：信息技术-安全技术-信息安全管理体系规定GB/T22081-/ISO/IEC27002：信息技术-安全技术-信息安全管理实行细则职责和权限各部门必要遵循本管理规范实行对顾客、口令和权限管理，顾客必要按照本管理规范访问公司办公网系统和应用系统。顾客管理4.1顾客注册只有授权顾客才可以申请系统账号，账号相应权限应当以满足顾客需要为原则，不得有与顾客职责无关权限。一人一账号，以便将顾客与其操作联系起来，使顾客对其操作负责，禁止多人使用同一种账号。顾客因工作变更或离职时，管理员要及时取消或者锁定其所有账号，对于无法锁定或者删除顾客账号采用更改口令等相应办法规避该风险。管理员应每季度检查并取消多余顾客账号。4.2顾客口令管理和使用引用文献：《密码控制管理制度》权限管理5.1顾客权限管理原则所有重要服务器应用系统要有明确顾客清单及权限清单，每季度进行一次权限评审。重要设备操作系统、数据库、重要应用程序有关特殊访问权限分派需进行严格管理。对普通顾客只拥有在注册时所审批权限。每个人分派权限以完毕相应工作最低原则为准。服务器日记安全审查职责与寻常工作权限责任分割。新账号开通时提供应她们一种安全暂时登录密码，并在初次使用时强制变化。为防止未授权更改或误用信息或服务机会，按如下规定进行职责分派：a)系统管理职责与操作职责分离；b)信息安全审核具备独立性。5.2顾客访问权限设立环节权限设立：对信息访问权限进行设立，添加该顾客相应访问权，设立权限，要再次确认，以保证权限设立对的。定期检查顾客账户：管理员每季度相应用系统进行一次权限评审。取消访问权：离开公司应及时取消或禁用其账号及所有权限，将其所拥有信息备份保存，或转换接替者为持有人。顾客岗位发生变化时，要对其访问权限重新授权。操作系统访问控制6.1安全登录制度UNIX、LINUX系统使用SSH登录系统。进入操作系统必要执行登录操作，禁止将系统设定为自动登录。记录登录成功与失败日记。寻常非系统管理操作时，只能以普通顾客登录。启用操作系统口令管理方略（如口令至少8位，字母数字组合等），保证顾客口令安全性。6.2会话超时与联机时间限定重要服务器应设立会话超时限制，不活动会话应在一种设定休止期5分钟后关闭。应考虑对敏感计算机应用程序，特别是安装在高风险位置应用程序，使用连机时间控制办法。这种限制示例涉及：使用预先定义时间间隔，如对批量文献传播，或定期短期交互会话等状况使用指定期间间隔；如果没有超时或延时操作规定，则将连机时间限于正常办公时间；应用系统访问控制依照《重要服务器-应用系统清单》，填写《重要应用系统权限评审表》，每季度评审一次。各应用系统必要拟定相应系统管理员、数据库管理员和应用管理员。应用系统顾客访问控制，顾客申请应填写有关系统申请表，须通过应用系统归口主管部门审核批准，由系统管理员授权并登记备案后，方可使用相应应用系统。如果发生人员岗位变动，业务部门信息安全主管告知部门信息安全员与有关应用系统管理员联系，告知系统管理员详细人员变动状况，便于系统管理员及时调节岗位变动人员系统访问权限。应用系统顾客必要遵守各应用系统有关管理规定，必要服从应用系统管理部门检查监督和管理。禁止员工未经授权使用系统实用工具。应用系统顾客必要严格执行保密制度。对各自顾客帐号负责，不得转借她人使用。重要应用系统顾客清单及权限必要进行定期评审。网络和网络服务访问控制所有员工在工作时间禁止运用公司网络和互联网专线访问违法网站及内容。客户及第三方人员不容许直接通过可访问公司资源有线或无线网络访问Internet，客户及第三方人员如需访问Internet应当在专设隔离区进行。员工须通过VPN访问公司有关网络和网络服务。需要访问各种网络服务顾客须向本部门主管申请VPN帐号，由本部门主管通过邮件提交VPN帐号管理员，由VPN帐号管理员为其分派密钥和帐号。网络隔离公司与外部通过防火墙隔离，制定严格VLAN划分，对公司内重要部门访问进行控制。运营中心制定VLAN访问控制阐明。网络设备网络设备配备管理员帐号由系统服务部指定专人统一管理，保存帐号及密码电子文献需加密保存，并存储在可靠安全环境下。系统管理员密码须符合服务器安全控制密码安全规定；管理人员不得向任何非授权人员泄露网络设备管理员帐号及密码。信息交流控制办法信息交流方式涉及数据交流、电子邮件、电话、纸质文献、谈话、录音、会议、传真、短信、IM工具等；可交流信息，须符合《信息资产分类分级管理制度》里密级规定;公司使用信息交流设施在安全性上应符合国家信息安全有关法律法规、上级主管机关以及我司安全管理规定规定；不能在公共场合或者敞开办公室、没有屋顶防护会议室谈论机密信息；对信息交流应作恰当防范，如不要暴露敏感信息，避免被通过电话偷听或截取；员工、合伙方以及任何其她顾客不得损害公司利益，如诽谤、骚扰、假冒、未经授权采购等；不得将敏感或核心信息放在打印设施上，如复印机、打印机和传真，防止未经授权人员访问；在使用电子通信设施进行信息交流时，所考虑控制涉及：防止交流信息被截取、备份、修改、误传以及破坏；保护以附件形式传播电子信息程序；有业务信件和消息保持和处置原则，要符合有关国家或地办法规；使用传真人员注意下列问题：未经授权对内部存储信息进行访问，获取信息；故意或无意程序设定，向特定号码发送信息；向错误号码发送文献和信息，或者拨号错误或者使用存储在机器中号码是错误。远程访问管理12.1远程接入顾客认证凡是接入公司远程顾客访问必要通过VPN并通过认证方可接入。认证顾客必要使用8位以上复杂密码。任何远程接入顾客不得将自己顾客名、密码提供应任何人，涉及同事，家人。所有远程接入顾客客户端或个人电脑必要安装防病毒软件并且病毒库升级到最新。12.2远程接入审计远程接入顾客操作必要要通过接入设备审计。应记录有关日记，对顾客行为监控。无线网络访问管理行政部应协同系统服务部对无线网络进行授权管理；对需要使用无线网络设备，通过绑定其MAC地址授权访问，其她人员不容许通过公司无线网络上网。如有已授权访问设备，取消授权，应即时对其MAC地址解绑。笔记本使用及安全配备规定笔记本电脑设备必要有严格口令访问控制办法，口令设立需满足公司安全方略规定。对无人看守笔记本电脑设备必要实行物理保护，必要放在带锁办公室、抽屉或文献柜里。重要业务笔记本电脑设备丢失或被窃后应及时报告给部门经理和行政部。凡带出公司使用而遗失、被偷盗等均由个人负全责补偿。除自然损坏外，凡人为损坏（如撞坏、跌坏、电源插错烧坏等）由本人负责修好，费用由个人承担。笔记本电脑中除工作所需软件外，不得安装与工作无关软件。授权使用笔记本电脑设备必要安装公司规定防病毒软件。各部门对笔记本电脑设备定期进行一次病毒软件和操作系统补丁自检，行政部进行不定期抽查。笔记本电脑外出时禁止托运，必要随身携带。笔记本电脑上重要资料应即时做好备份，防止意外丢失。备份设备或介质应符合《信息资产分类分级管理制度》中保护规定。外部人员使用笔记本规定出于安全考虑，普通不予考虑来访人员接入公司内部网络。服务器安全控制引用文献：《讯鸟服务器安全管理规范》实行方略访问控制制度涉及涉及《重要服务器-应用系统清单》《重要应用系统权限评审表》。顾客申请权限时，填写有关系统申请表。每季度评审并填写《重要应用系统权限评审表》。有关记录序号记录名称保存期限保存形式备注1重要服务器-应用系统清单三年电子2重要应用系统权限评审表三年电子文档编号（由总裁办填写）密级内部公开 文档发布级别公司级文档发布及实行范畴全员制度试行日期（可选）制度执行日期文档起草人签字：日期：文档修订人签字：日期：修订阐明合并网络、网络服务;增长了通过VPN访问描述，增强了控制方略。备注：文档负责人：签字：日期：文档审批信息安全管理者代表签字：日期：文档审批人签字：日期：五、密码控制管理制度目和范畴为保证安全成为所开发信息系统一种有机构成某些，保证开发过程安全，特制定本制度。合用于我司所有信息系统开发活动，信息系统内在安全性管理。本制度作为软件开发项目管理规定补充，而不是作为软件开发项目管理整体规范。引用文献下列文献中条款通过本规定引用而成为本规定条款。凡是注日期引用文献，其随后所有修改单（不涉及勘误内容）或修订版均不合用于本原则，然而，勉励各部门研究与否可使用这些文献最新版本。凡是不注日期引用文献，其最新版本合用于本原则。GB/T22080-/ISO/IEC27001：信息技术-安全技术-信息安全管理体系规定GB/T22081-/ISO/IEC27002：信息技术-安全技术-信息安全管理实行细则职责和权限开发部门：保证恰当和有效地使用密码技术以保护信息保密性、真实性和（或）完整性。密码控制4.1使用密码控制方略控制描述应开发和实行使用密码控制办法来保护信息方略。实行指南制定密码方略时，应考虑下列（但不但限于）内容：组织间使用密码控制管理办法，涉及保护业务信息普通原则；使用加密技术保护通过可移动介质、设备或者通过通信线路传播敏感信息；基于风险评估，应拟定需要保护级别，并考虑需要加密算法类型、强度和质量；加密也许带来不利影响。由于某些控制办法依赖于内容检查（例如病毒检测等），规定数据处在未加密状态。3)顾客口令管理初始密码在创立顾客时设定，初次登录时操作系统或者管理员必要强制修改密码，不能使用缺省设立密码。初始密码样本：orient11顾客忘掉口令时，管理员必要在对该顾客进行恰当身份辨认后才干向其提供暂时口令。在向顾客提供暂时口令时，必要采用加密或其她安全传播途径，以保证初始密码不会被半途截取。不容许在计算机系统上以无保护形式存储口令。对于泄漏口令导致损失，由顾客本人负责。不准与其她人互相借用各类工作账号。测试环境账号与生产环境账号使用不同口令。4)口令使用顾客应保证口令安全，不得向其她任何人泄漏。应避免在纸上记录口令，或以明文方式记录计算机内。一旦有迹象表白系统或口令也许遭到破坏时，应及时更改口令。口令选取应参照如下规则：至少要有8个字符，且为数字和字母组合。密码不可包括顾客帐号名称所有或某些文字。不要使用别人可以通过个人有关信息（如姓名、电话号码、生日等）容易猜出或破解口令。不要持续使用同一字符，不要所有使用数字，也不要所有使用字母，不要用英文单词或重要记念日。系统顾客至少每季度更改一次口令，避免再次使用旧口令或半年内循环使用旧口令。检查重要服务器系统口令与否定期进行更改。初次登录时应更改暂时口令。不要在任何自动登录程序中使用口令，如在宏或功能键中存储。不要共享个人顾客口令。4.2密钥管理控制描述应有密钥管理以支持组织使用密码技术。实行指南应保护所有密码密钥免遭修改、丢失和毁坏。此外，密码和私有密钥需要防范非授权泄露。用来生成、存储和归档密钥设备应进行物理保护。对于某些部门所使用USBKEY密钥必要做到专人保管、专人使用，不用时必要放置在保险柜内或带锁铁柜中妥善保管。软件密钥或证书须专人管理分发。4.3敏感数据加密1)控制描述组织就对敏感数据制定传播全程加密和保存进行加密制度，对敏感字段也要进行加密保存2）实行指南应保护所有敏感数据免遭修改、丢失、泄漏。对敏感数据内敏感字段须加密保存。传播过程是规定全程不落地传播。在程序自动执行传播过程中，组织应定义对敏感数据进行全程加密和不落地传播方案，并加以执行。文档编号（由总裁办填写）密级内部公开文档发布级别公司级文档发布及实行范畴全员制度试行日期（可选）制度执行日期文档起草人签字：日期：文档修订人：签字：日期：修订阐明：备注：文档负责人：签字：日期：文档审批信息安全管理者代表签字：日期：文档审批人签字：日期：六、操作安全管理补丁管理总则1.1为加强公司补丁管理，规范补丁布置流程，保证信息系统补丁及时更新，保证公司公司信息网络安全稳定运营，特制定本规定。1.2本规定所涉及补丁涉及操作系统补丁、数据库补丁和应用系统补丁。合用范畴本规定合用范畴为东方中安信息技术有限公司公司。职责分工3.1操作系统补丁管理员3.1.1负责各操作系统（含浏览器、办公软件）补丁管理。3.1.2负责收集操作系统漏洞信息，跟踪最新补丁信息，评估漏洞威胁、成因和严重性。3.1.3负责提出操作系统漏洞修补规定和有关防护办法审批变更筹划。3.2数据库补丁管理员3.2.1负责各数据库补丁管理。3.2.2负责收集数据库漏洞信息，跟踪最新补丁信息，评估漏洞威胁、成因和严重性。3.2.3负责提出数据库漏洞修补规定和有关防护办法，审批变更筹划。3.3应用系统补丁管理员3.3.1负责各应用系统（含中间件）补丁管理。3.3.2负责收集应用系统漏洞信息，跟踪最新补丁信息。评估漏洞威胁、成因和严重性。3.3.3负责提出应用系统漏洞修补规定和有关防护办法，审批变更筹划。3.4补丁测试员3.4.1负责搭建测试环境，负责测试补丁和测试成果记录。3.4.2负责跟踪最新补丁信息和下载补丁。3.5补丁安装员3.5.1负责补丁安装或分发，负责制定补丁修补筹划。3.5.2负责解决补丁安装或分发过程中浮现问题。补丁管理4.1补丁由测试部或系统服务部统一进行下载、测试和安装，重要一级二级硬件或系统，未经允许不可擅自下载安装补丁。4.2补丁来源须为原厂商官方网站或原厂商工作人员，对于非法补丁禁止安装。4.34.3补丁安装前应先做好系统和数据备份工作，避免浮现问题进行回退。经严格测试通过后方可安装。对测试不成功补丁禁止安装，测试成果登记表见《补丁安装筹划和实行方案》。4.4测试中发现问题应做详细分析，判断发生问题因素并及时解决如果不能解决，须记录发生问题环境，及时反馈给原厂商。4.5对于刚发布严重级别漏洞，无补丁或未通过测试补丁，可采用暂时解决办法消除漏洞威胁或者暂时接受该风险。4.6制定补丁修补筹划须先分析信息资产、IT系统环境、IT网络环境和信息资产重要级别，拟定需要安装补丁和相应严重级别，同步明确修补时间、修补方式和修补范畴。4.7补丁安装须先填写变更工单，或工作票。相应补丁管理员和应用系统管理员对变更必要性、风险和修补筹划进行评审，评审通过后由应用系统管理员安排各级系统服务人员全过程配合补丁安装员完毕补丁安装和应用系统测试。4.8补丁安装顺序遵循“资产价值大、威胁级别高优先安装”原则。对于漏洞级别为严重补丁，无特殊状况须在补丁发布后1星期内安装。4.9补丁安装完毕后应进行全面检查，以确认补丁安装状况，同步制定补丁清单列表。附则文档编号（由总裁办填写）密级内部公开文档发布级别公司级文档发布及实行范畴制度试行日期（可选）制度执行日期文档起草人签字：日期：文档修订人：签字：日期：修订阐明：备注：文档负责人：签字：日期：文档审批信息安全管理者代表签字：日期：文档审批人签字：日期：防范病毒及恶意软件管理规定目和范畴为了加强对计算机病毒防止和治理，保护计算机系统安全，保障计算机系统应用与发展，特制定本规定。引用文献下列文献中条款通过本规定引用而成为本规定条款。凡是注日期引用文献，其随后所有修改单（不涉及勘误内容）或修订版均不合用于本原则，然而，勉励各部门研究与否可使用这些文献最新版本。凡是不注日期引用文献，其最新版本合用于本原则。GB/T22080-/ISO/IEC27001：信息技术-安全技术-信息安全管理体系规定GB/T22081-/ISO/IEC27002：信息技术-安全技术-信息安全管理实行细则《中华人民共和国计算机信息系统安全保护条例》《信息安全事件管理制度》职责和权限信息安全工作小组：是公司病毒和恶意软件防治管理部门，负责公司计算机病毒及恶意软件防治管理工作，建立公司计算机病毒防治管理制度。采用计算机病毒安全技术防治办法。对公司计算机信息系统使用人员进行计算机病毒防治教诲，及时检测、清除计算机信息系统中计算机病毒，并备有检测、清除记录。病毒防治管理任何部门和个人必要在所管辖计算机（涉及虚拟系统，笔记本电脑）中安装杀毒软件。信息安全工作小组每月对各部门PC机和笔记本电脑查杀毒状况进行抽查。当系统服务部或测试部发现重大系统漏洞时，将下发系统补丁安装告知，信息安全小组负责收集和反馈安装状况。任何部门和个人不得有下列传播计算机病毒行为：故意输入计算机病毒，危害计算机信息系统安全。向她人提供具有计算机病毒文献、软件、媒体。其她传播计算机病毒行为。任何部门和个人应当接受对计算机病毒防治工作监督、检查和指引。任何部门和个人有违背本办法规定，将予以警告，并责令其限期改正，逾期不改正或因违背本办法规定而引起如计算机信息系统瘫痪、程序和数据严重破坏等重大事故，按公司《信息安全事件管理制度》等有关规定解决。个人电脑必要启用防火墙控制安全。恶意软件管理所有计算机（涉及服务器和个人电脑）都使用杀毒软件对恶意软件进行防护和检查，并将软件设立为自动升级病毒库。自管服务器负责人需要定期对服务器病毒库及扫描内容进行检查并记录。员工使用杀毒软件对个人电脑进行扫描，每季度至少一次。实行方略信息安全工作小组抽查各部门个人电脑查杀病毒状况，每月进行一次，填写《电脑防病毒及软件表》。有关记录序号记录名称保存期限保存形式备注1电脑防病毒及软件表（赛门铁克）三年电子文档编号（由总裁办填写）密级内部公开文档发布级别公司级文档发布及实行范畴全员制度试行日期（可选）制度执行日期文档起草人签字：日期：文档修订人：签字：日期：修订阐明：备注：文档负责人：签字：日期：文档审批信息安全管理者代表签字：日期：文档审批人签字：日期：软件管理规定目和范畴为加强公司设备安装软件管理，特制定本规定。引用文献职责和权限系统服务部：是办公软件归口管理部门，负责每个季度对公司办公软件安装状况进行检查。各开发和测试部：是开发类软件管理部门。软件管理3.1收集公司内软件来源重要有如下几种方面：购买商业软件；自主开发内部应用软件；免费软件下载；系统服务某些发办公软件。3.2登记信息安全工作小组登记分发办公软件、公司购买商业软件安装状况。各部门负责《电脑防病毒及软件表》填写。3.3商业软件归档和存储购买商业软件由公司自行归档和存储。购买商业软件统一存储于指定位置。磁盘文献存储于指定存储空间中，由专人负责整顿，各软件建立独立文献夹，标记明确清晰，并做好软件备份工作。光盘统一存储入文献柜中，并有明显易辨认标记，便于整顿和取用。3.4开源软件管理3.4.1开源软件选取根据：(1)开源合同谨慎使用GPL合同，GPL合同规定使用了该开源库代码也必要遵循GPL合同，即开源和免费。(2)功能、文档、稳定性、扩展性功能与否能满足业务需求，与否足够稳定(稳定性测试)、文档与否齐全、扩展性与否足够。性能规定较高库需要性能对比测试。

(3)源码修改a.个性化业务带来修改

尽量使用Wrap方式，而不要直接改源码。实在绕不开，可在Git上打上Tag，并注明详细因素。

b.通用需求修改

按源项目规定修改代码，反馈回开源社区，祈求合并进主分支。

源代码修改原则：不要让clone副本变成孤岛。(4)其她与否附有构建脚本（buildscript）该开源项目小组与否持续使用同一集成开发环境。该开源项目与否有清晰roadmap。该项目与否设有问题跟踪器（issuetracker）？与否不久就有社区补丁推出？在社区中，关于该项目问题反馈与否迅速？其她开发者与否乐于使用该开源项目，在社区中关于该项目知识技巧与否不久传播。有多少活跃项目贡献者？版本号管理与否清晰？对于来自社区详细需求，该项目改进和集成状况？3.4.2开源项目原则(1)适当文献和代码适当文献指是要有自己gitignore，适当代码是指代码要符合代码规范（如很简朴四空格缩进诸多Java开源项目都做不到）。

(2)README.mdREADME.md是一种项目必不可少，其中规定示例、文档、引用方式、开源Licence齐全。对Android来说示例也许涉及DemoAPK、截图。引用方式可以是Maven和Gradle引用方式。

软件使用各部门负责软件使用，如有问题及时反馈给信息安全工作小组。个人电脑办公软件首选安装wps办公软件和任一款主流杀毒软件。未经允许，任何人不得将内部使用软件外带、传播、贩卖，不得将软件用于任何违法或非合法用途。计算机设备使用人员不得使用计算机设备解决正常工作以外事务，不得擅自变化计算机安全配备，不得擅自安装与工作无关软件。有关记录序号记录名称保存期限保存形式备注1电脑防病毒及软件表三年纸质/电子文档编号（由总裁办填写）密级内部公开文档发布级别公司级文档发布及实行范畴全员制度试行日期（可选）制度执行日期文档起草人签字：日期：文档修订人：签字：日期：修订阐明：备注：文档负责人：签字：日期：文档审批信息安全管理者代表签字：日期：文档审批人签字：日期：数据备份管理规定目和范畴为保证数据完整性及有效性，以便在发生信息安全事故时可以精确及时恢复数据，避免业务中断，特制定本规定。引用文献下列文献中条款通过本规定引用而成为本规定条款。凡是注日期引用文献，其随后所有修改单（不涉及勘误内容）或修订版均不合用于本原则，然而，勉励各部门研究与否可使用这些文献最新版本。凡是不注日期引用文献，其最新版本合用于本原则。GB/T22080-/ISO/IEC27001：信息技术-安全技术-信息安全管理体系规定职责和权限各部门：负责对各自部门重要信息进行有关备份工作。备份管理4.1数据类型各部门依照业务实际状况，辨认需要备份数据。备份数据包括但不但限于各部门核心业务数据。涉及部门备份数据如下：服务部：项目资料人力资源部：培训资料、合同财务部：财务系统账套研发服务体系：源代码4.2备份过程人力资源部由专人负责合同备份，定期将合同扫描，备份到U盘并妥善保管；人力资源部由专人负责培训资料备份，浮现新增内容时，将所有培训资料备份到U盘并妥善保管；财务部财务账套由财务部自行进行备份；研发部源代码均通过SVN或VSS服务器集中管理，服务器备份工作由系统服务部负责；生产系统备份数据存储于NAS或其她存储设备上，有关设备放置于安全区域，由系统服务部负责。每一月做一次恢复性测试。文档编号（由总裁办填写）密级内部公开文档发布级别公司级文档发布及实行范畴全员制度试行日期（可选）制度执行日期文档起草人签字：日期：文档修订人：签字：日期：修订阐明：备注：文档负责人：签字：日期：文档审批信息安全管理者代表签字：日期：文档审批人签字：日期：系统监控管理规定目理解服务器运营状态，检测未经授权信息解决活动，为安全事故提供证据，保证业务系统稳定性、可靠性、安全性。引用文献下列文献中条款通过本规定引用而成为本规定条款。凡是注日期引用文献，其随后所有修改单（不涉及勘误内容）或修订版均不合用于本原则，然而，勉励各部门研究与否可使用这些文献最新版本。凡是不注日期引用文献，其最新版本合用于本原则。GB/T22080-/ISO/IEC27001：信息技术-安全技术-信息安全管理体系规定GB/T22081-/ISO/IEC27002：信息技术-安全技术-信息安全管理实行细则职责和权限系统服务部：负责公司网络和系统访问活动监控管理。系统监控管理4.1日记分类需监控日记涉及但不但限于如下类型：服务器事件日记管理员和操作员日记运营中心监控人员定期进行日记检查。4.2日记管理只有超级顾客可以访问和管理日记文献。由系统服务部管理员定期对服务器日记进行检查、解决，并记录确认需要启动审计项目，服务器操作系统要依照安全需求启动安全日记审计功能，并对系统管理员构成员系统活动进行审计。4.3容量管理系统管理员拟定检查频率，监控人员定期登录系统查看CPU，硬盘、内存使用状况，发现问题时第一时间告知各产品线负责人。管理员要做防止性维护，在服务器没有业务操作时，每月对服务器重起，防止服务器内存泄露，防止系统意外崩溃；并查看服务器重起后所有服务与否启动,业务系统与否正常运营。4.4时钟同步设立时钟同步，服务器及监控设备应保持时钟一致性，公司配备时钟服务器，其她设备通过NTP服务与时钟服务器同步。所有生产系统时钟同步工作由系统管理员完毕。5.有关记录序号记录名称保存期限保存形式备注1日记检查评审记录三年纸质/电子2重要服务器容量监控评审表三年纸质/电子3重要服务器和设备日记明细表三年纸质/电子文档编号（由总裁办填写）密级内部公开文档发布级别公司级文档发布及实行范畴制度试行日期（可选）制度执行日期文档起草人签字：日期：文档修订人：签字：日期：修订阐明：备注：文档负责人：签字：日期：文档审批信息安全管理者代表签字：日期：文档审批人签字：日期：七、通信安全通信安全管理规定目的通过控制网络访问权限以及公司与外部信息传递，防止对办公网系统和应用系统非法访问。引用文献下列文献中条款通过本规定引用而成为本规定条款。凡是注日期引用文献，其随后所有修改单（不涉及勘误内容）或修订版均不合用于本原则，然而，勉励各部门研究与否可使用这些文献最新版本。凡是不注日期引用文献，其最新版本合用于本原则。GB/T22080-/ISO/IEC27001：信息技术-安全技术-信息安全管理体系规定GB/T22081-/ISO/IEC27002：信息技术-安全技术-信息安全管理实行细则职责和权限各部门必要遵循本管理规范实行对网络、口令和权限管理，顾客必要按照本管理规范访问公司办公网系统和应用系统。Internet访问控制所有员工在工作时间禁止运用公司网络和互联网专线访问违法网站及内容。客户及第三方人员不容许直接通过可访问公司资源有线或无线网络访问Internet，客户及第三方人员如需访问Internet应当在专设隔离区进行。网络隔离公司与外部通过防火墙隔离，制定严格VLAN划分，对公司内重要部门访问进行控制。系统服务部制定VLAN访问控制阐明。对不同应用系统顾客信息及其她信息进行网络隔离。无线网络访问管理服务部对无线网络进行密码控制管理；员工对密码保密规定在《密码控制管理制度》文献里做详细规定。信息交流控制办法信息交流方式涉及数据交流、电子邮件、电话、纸质文献、谈话、录音、会议、传真、短信、IM工具等；可交流信息，须符合《信息资产分类分级管理制度》里密级规定;公司使用信息交流设施在安全性上应符合国家信息安全有关法律法规、上级主管机关以及我司安全管理规定规定；对信息交流应作恰当防范，如不要暴露敏感信息，避免被通过电话偷听或截取；员工、合伙方以及任何其她顾客不得损害公司利益，如诽谤、骚扰、假冒、未经授权采购等；不得将敏感或核心信息放在打印设施上，如复印机、打印机和传真，防止未经授权人员访问；在使用电子通信设施进行信息交流时，所考虑控制涉及：保护以附件形式传播电子信息程序；有业务信件和消息保持和处置原则，要符合有关国家或地办法规；在对外联系中，应注意安全保密，用Email发送机密信息必要符合公司有关规定；因工作需要而传递公司或项目保密文献时，经批准后，可通过加密渠道传递；通过E-MAIL发送机密附件时，如有必要，附件必要加密，密码通过其她方式告知对方。使用传真人员注意下列问题：故意或无意程序设定，向特定号码发送信息；发送传真时注意，禁止向错误号码发送文献和信息，不要拨错号码。所有员工订立保密合同，在组织对信息安全需求有变化时进行评审。文档编号（由总裁办填写）密级内部公开文档发布级别公司级文档发布及实行范畴全员制度试行日期（可选）制度执行日期文档起草人签字：日期：文档修订人：签字：日期：修订阐明：备注：文档负责人：签字：日期：文档审批信息安全管理者代表签字：日期：文档审批人签字：日期：电子邮件管理规定目的维护公司以及个人信息安全性、保障邮件传播可靠性、保持工作高效率，特制定本规定。总则1、公司对员工邮箱进行统一规划和管理。2、公司勉励和倡导各下属以及员工采用电子邮件进行内外交流。3、员工或部门以电子邮件对外联系是必要提供公司提供、以相应域名为后缀邮箱***@。4、公司邮箱顾客账号名以员工中文姓名/英文姓名全拼/缩写字母为准，如有重名，容许顾客自定义1-3位辨认码，已有账号员工可保存原账号不变。5、在职人员名片以及公司其她对外宣传资料上必要印有公司域名为后缀邮件地址。管理权限和职责系统服务部：统一管理公司电子邮件服务器。人力资源部：负责电子邮件开通、使用、维护和监督检查工作。使用邮箱顾客：应纯熟使用各种办公软件进行邮件收发。邮箱管理流程1、邮箱开通：员工在入职时，办理入职手续时，由人力资源部统一开通。2、邮箱关闭：员工因离职不再使用公司业务邮箱，由人力资源部执行注销，特殊人员邮箱账号需要保存，需经总经理批准后方可注销。3、公司邮箱账号限本人使用，禁止借用她人使用，禁止非工作用途将公司邮箱发布于外部网络。4、如有需要，经部门主管向人力资源部申请，可开通部门邮箱。邮箱使用1、普通邮件内容不应超过10M，如需发送较大附件，建议将附件拆分后分发送。2、不得传递与本人工作无关以及有害社会、公司安定邮件。3、经批准用邮件订阅报刊、新闻、论坛。4、部门员工可以向部门邮箱发送发给部门所有员工邮件。文档编号（由总裁办填写）密级内部公开文档发布级别公司级文档发布及实行范畴全员制度试行日期（可选）制度执行日期文档起草人签字：日期：文档修订人：签字：日期：修订阐明：备注：文档负责人：签字：日期：文档审批信息安全管理者代表签字：日期：文档审批人签字：日期：信息安全交流控制制度目的解决组织与外部方之间业务信息安全传播，保护通过使用各种类型通信设施进行信息传播。总则1、公司对与外部组织或个人进行信息传播进行统一规划和管理。2、公司勉励和倡导各下属以及员工采用电子邮件进行内外交流，在采用了信息安全控制办法状况下，也可以使用其她方式对外进行信息传播。3、使用电子邮件应符合《电子邮件管理规定》中有关规定。信息传播安全控制办法1、对传播前信息进行病毒扫描，防止病毒威胁扩散。2、对一二级密级信息文献须加密传播。3、在使用任何通信手段前应确认接受方是真实可靠。可通过电话、短信等方式进行身份验证。4、所传播业务信息（涉及消息）保存和解决，要符合国家和地办法律法规规定。信息传播合同1、一级敏感信息采用全程不落地加密传播方式进行，对信息中敏感字段要进行脱敏解决。对传播完毕后源文献，应予以及时清除。2、对于二级敏感信息采用加密传播方式进行。可保存经加密原文献，未加密原文献应被清除。3、与外部交流重要信息，应定义双方辨认标记，进行电子签名，以辨认信息来源，保证信息来源真实可靠。4、对重要信息交流，双方需订立交流合同，规定信息安全事态发生时责任和义务、以及有关保密责任和义务。5、信息系统或软件自动传播需交流信息，须符合交流合同规定，并按密级保护规定操作。定期评审1、公司应对信息安全交流管理以及信息安全管理体系每年度进行一次安全评审2、公司应与有关联外部组织或内部组织每年进行一次信息安全管理沟通，以征求有关组织对公司信息安全评价，以便于改进。3、公司与有关外部组织或内部组织沟通状况记入《信息安全管理体系意见表》，提交给信息安全管理领导小组，制定和贯彻整治办法。文档编号（由总裁办填写）密级内部公开文档发布级别公司级文档发布及实行范畴全员制度试行日期（可选）制度执行日期文档起草人签字：日期：文档修订人：签字：日期：修订阐明：备注：文档负责人：签字：日期：文档审批信息安全管理者代表签字：日期：文档审批人签字：日期：八、信息安全事件管理制度目和范畴为加强和改进信息安全事件管理；在发生信息安全事件时能及时报告，迅速响应，将损失控制在最小范畴；在发生信息安全事件后，可以分析事故因素及产生影响、反馈解决成果、吸取事故教训；在发现信息安全异常现象时，能及时沟通，采用有效办法，防止安全事故发生；特制定本管理制度。本制度合用于影响信息安全所有事故以及安全异常现象以及全体人员（涉及外协人员、实习生、长期客户员工、来访客户等）。引用文献下列文献中条款通过本规定引用而成为本规定条款。凡是注日期引用文献，其随后所有修改单（不涉及勘误内容）或修订版均不合用于本原则，然而，勉励各部门研究与否可使用这些文献最新版本。凡是不注日期引用文献，其最新版本合用于本原则。GB/T22080-/ISO/IEC27001：信息技术-安全技术-信息安全管理体系规定GB/T22081-/ISO/IEC27002：信息技术-安全技术-信息安全管理实行细则《业务持续性管理制度》职责和权限信息安全管理领导小组：负责对内部信息安全事件解决和奖惩意见进行审批；负责对纠正防止办法进行审批。信息安全工作小组：负责组织制定内部信息安全事件解决制度；听取信息安全事件报告，负责对信息安全事件进行调查取证，提出解决办法，提出奖惩意见以及纠正防止办法，负责信息安全关于所有文献管理与控制；负责组织制定项目信息安全事件解决制度；听取信息安全事件报告，负责对信息安全事件进行调查取证，提出解决办法，提出奖惩意见以及纠正防止办法，负责信息安全关于所有文献管理与控制。各部门：积极防止信息安全事件发生；及时精确报告信息安全事件，配合信息安全事件调查取证工作；配合执行解决办法，奖惩决定以及纠正防止办法。异常现象和事件发现人：异常现象和事件发现人有义务及时精确地报告异常现象和事件真实状况，并采用恰当暂时办法制止事故进一步扩大。信息安全异常现象4.1信息安全异常现象定义信息安全异常现象是指被辨认一种系统、服务或网络状态发生，表白一次也许信息安全方略违规或某些防护办法失效，或者一种也许与安全有关但此前不为人知一种状况。4.2信息安全异常现象解决流程图1信息安全异常现象解决流程图信息安全异常现象解决流程：异常现象发现者应及时上报信息安全工作小组，由工作小组指派相应人员进行解决。相应人员判断异常现象与否为信息安全事件，如果是话进入信息安全事件解决流程；如果不是，由相应人员对异常现象进行解决。信息安全事件5.1信息安全事件定义信息安全事件：是指办公设备/计算机/网络设备系统/信息管理系统硬件、软件、数据因故障/非法袭击/病毒入侵/恶意破坏/非授权外传/遗失/劫难等安全因素而遭到破坏、更改、泄露而导致业务活动不能正常进行或者涉密信息泄露或者在其她方面导致损失事件。5.2信息安全事件分类5.2.1有害程序事件（MI）有害程序事件是指蓄意制造、传播有害程序，或是因受到有害程序影响而导致信息安全事件。有害程序是指插入到信息系统中一段程序，有害程序危害系统中数据、应用程序或操作系统保密性、完整性或可用性，或影响信息系统正常运营。有害程序事件涉及计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合袭击程序事件、网页内嵌恶意代码事件和其他有害程序事件等7个子类，阐明如下：a)计算机病毒事件（CVI）是指蓄意制造、传播计算机病毒，或是因受到计算机病毒影响而导致信息安全事件。计算机病毒是指编制或者在计算机程序中插入一组计算机指令或者程序代码，它可以破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制；b)蠕虫事件（WI）是指蓄意制造、传播蠕虫，或是因受到蠕虫影响而导致信息安全事件。蠕虫是指除计算机病毒以外，运用信息系统缺陷，通过网络自动复制并传播有害程序；c)特洛伊木马事件（THI）是指蓄意制造、传播特洛伊木马程序，或是因受到特洛伊木马程序影响而导致信息安全事件。特洛伊木马程序是指伪装在信息系统中一种有害程序，具备控制该信息系统或进行信息窃取等对该信息系统有害功能；d)僵尸网络事件（BI）是指运用僵尸工具软件，形成僵尸网络而导致信息安全事件。僵尸网络是指网络上受到黑客集中控制一群计算机，它可以被用于伺机发起网络袭击，进行信息窃取或传播木马、蠕虫等其她有害程序；e)混合袭击程序事件（BAI）是指蓄意制造、传播混合袭击程序，或是因受到混合袭击程序影响而导致信息安全事件。混合袭击程序是指运用各种办法传播和感染其他系统有害程序，也许兼有计算机病毒、蠕虫、木马或僵尸网络等各种特性。混合袭击程序事件也可以是一系列有害程序综合伙用成果，例如一种计算机病毒或蠕虫在侵入系统后安装木马程序等；f)网页内嵌恶意代码事件（WBPI）是指蓄意制造、传播网页内嵌恶意代码，或是因受到网页内嵌恶意代码影响而导致信息安全事件。网页内嵌恶意代码是指内嵌在网页中，未经容许由浏览器执行，影响信息系统正常运营有害程序；g)其他有害程序事件（OMI）是指不能包括在以上6个子类之中有害程序事件。5.2.2网络袭击事件（NAI）网络袭击事件是指通过网络或其她技术手段，运用信息系统配备缺陷、合同缺陷、程序缺陷或使用暴力袭击对信息系统实行袭击，并导致信息系统异常或对信息系统当前运营导致潜在危害信息安全事件。网络袭击事件涉及回绝服务袭击事件、后门袭击事件、漏洞袭击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其她网络袭击事件等7个子类，阐明如下：回绝服务袭击事件（DOSAI）是指运用信息系统缺陷、或通过暴力袭击手段，以大量消耗信息系统CPU、内存、磁盘空间或网络带宽等资源，从而影响信息系统正常运营为目信息安全事件；后门袭击事件（BDAI）是指运用软件系统、硬件系统设计过程中留下后门或有害程序所设立后门而对信息系统实行袭击信息安全事件；漏洞袭击事件（VAI）是指除回绝服务袭击事件和后门袭击事件之外，运用信息系统配备缺陷、合同缺陷、程序缺陷等漏洞，对信息系统实行袭击信息安全事件；网络扫描窃听事件（NSEI）是指运用网络扫描或窃听软件，获取信息系统网络配备、端口、服务、存在脆弱性等特性而导致信息安全事件；网络钓鱼事件（PI）是指运用欺骗性计算机网络技术，使顾客泄漏重要信息而导致信息安全事件。例如，运用欺骗性电子邮件获取顾客银行帐号密码等；干扰事件（II）是指通过技术手段对网络进行干扰，或对广播电视有线或无线传播网络进行插播，对卫星广播电视信号非法袭击等导致信息安全事件；其她网络袭击事件（ONAI）是指不能被包括在以上6个子类之中网络袭击事件。5.2.3信息破坏事件（IDI）信息破坏事件是指通过网络或其她技术手段，导致信息系统中信息被篡改、假冒、泄漏、窃取等而导致信息安全事件。信息破坏事件涉及信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件和其他信息破坏事件等6个子类，阐明如下：信息篡改事件（IAI）是指未经授权将信息系统中信息更换为袭击者所提供信息而导致信息安全事件，例如网页篡改等导致信息安全事件；信息假冒事件（IMI）是指通过假冒她人信息系统收发信息而导致信息安全事件，例如网页假冒等导致信息安全事件；信息泄漏事件（ILEI）是指因误操作、软硬件缺陷或电磁泄漏等因素导致信息系统中保密、敏感、个人隐私等信息暴露于未经授权者而导致信息安全事件；信息窃取事件（III）是指未经授权顾客运用也许技术手段恶意积极获取信息系统中信息而导致信息安全事件；信息丢失事件（ILOI）是指因误操作、人为蓄意或软硬件缺陷等因素导致信息系统中信息丢失而导致信息安全事件；其他信息破坏事件（OIDI）是指不能被包括在以上5个子类之中信息破坏事件。5.2.4信息内容安全事件（ICSI）信息内容安全事件是指运用信息网络发布、传播危害国家安全、社会稳定和公共利益内容安全事件。信息内容安全事件涉及如下4个子类，阐明如下：违背宪法和法律、行政法规信息安全事件；针对社会事项进行讨论、评论形成网上敏感舆论热点，浮现一定规模炒作信息安全事件；组织串连、煽动集会游行信息安全事件；其她信息内容安全事件等4个子类。5.2.5设备设施故障（FF）设备设施故障是指由于信息系统自身故障或外围保障设施故障而导致信息安全事件，以及人为使用非技术手段故意或无意导致信息系统破坏而导致信息安全事件。设备设施故障涉及软硬件自身故障、外围保障设施故障、人为破坏事故、和其他设备设施故障等4个子类，阐明如下：软硬件自身故障（SHF）是指因信息系统中硬件设备自然故障、软硬件设计缺陷或者软硬件运营环境发生变化等而导致信息安全事件；外围保障设施故障（PSFF）是指由于保障信息系统正常运营所必要外部设施浮现故障而导致信息安全事件，例如电力故障、外围网络故障等导致信息安全事件；人为破坏事故（MDA）是指人为蓄意对保障信息系统正常运营硬件、软件等实行窃取、破坏导致信息安全事件；或由于人为遗失、误操作以及其她无意行为导致信息系统硬件、软件等遭到破坏，影响信息系统正常运营信息安全事件；其他设备设施故障（IF-OT）是指不能被包括在以上3个子类之中设备设施故障而导致信息安全事件。5.2.6灾害性事件（DI）灾害性事件是指由于不可抗力对信息系统导致物理破坏而导致信息安全事件。灾害性事件涉及水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致信息安全事件。4.2.7其她事件（OI）其她事件类别是指不能归为以上6个基本分类信息安全事件。5.3信息安全事件分级级别阐明安全事故（一级）导致业务系统运营中断，严重影响业务活动进行;数据被破坏，无法恢复或者恢复时间过长，超过30分钟，严重影响业务活动进行;一级，二级机密信息泄露，给公司导致较大损害,或产生重大影响;其他涉密信息泄露，给公司导致极大损害，产生特别重大社会影响;将恶意代码或其她有害程序传播至公司，产生特别重大社会影响;客户真实数据泄漏或者对客户数据导致破坏，产生特别重大社会影响;内部人员（涉及员工/外协人员/实习生/客户/服务人员等）任何故意破坏信息系统/泄漏涉密信息行为,产生特别重大社会影响;网络设备受到袭击，影响网络畅通安全事件，袭击流量超过正常流量30％，或者持续时间不不大于15分钟安全事件;相似业务一周重复浮现安全事件。运用有关信息平台，传播违法等不良信息，产生特别重大社会影响;严重安全事件（二级）数据被破坏，恢复时间较长，对业务活动进行导致相称影响;一二级涉密信息泄露，给公司导致一定损害;不遵守规章或者操作流程，导致客户投诉或者给公司导致一定损害使用不安全渠道传播信息，导致客户投诉或者对公司潜在损害较大。影响到各业务数据库，30分钟内可解决解决安全事件。网络设备受到袭击，影响网络畅通安全事件，袭击流量低于等于正常流量30％，并持续时间不大于等于15分钟安全事件。运用有关信息平台，传播违法等不良信息;30分钟内已查明因素，但没有在60分钟内解决完毕普通安全事件30分钟内未查明因素普通安全事件。对影响恶劣普通安全事件，应升级为重大安全事件页面内容篡改；泄漏顾客信息、顾客数据、顾客密码；泄漏设备有关信息，涉及：管理权限、顾客使用权限、版本信息；普通安全事件（三级）对业务活动进行没有导致太大影响，只影响到单台应用服务器，且为业务分布式服务器安全事件，30分钟内已查明因素，可以在60分钟内解决安全事件。数据被破坏，可以较快恢复，对业务活动进行没有导致太大影响;涉密信息泄露，没有给公司导致明显损害;不遵守规章或者操作流程，没有给公司导致明显损害;任何外来非法袭击/病毒入侵，尚没有对业务活动进行导致明显影响;已发布有关安全公示安全事件。信息安全事件解决流程5.3.1安全事件发现有关部门应建立监控办法和日记查看