1、信息安全制度信息安全制度 1总则 第1条为规范信息安全管理工作,强化过程管理和基础设施管理的风险分析及防范,建立安全责任制,健全安全内控制度,确保信息系统的机密性、完整性、可用性,特制定本规定。 2适用范围 第2条本规定适用于。 3管理对象 第3条管理对象指组成计算机信息系统的系统、设备和数据等信息资产和人员的安全。主要范围包括:人员安全、物理环境安全、资产识别和分类、风险管理、物理和逻辑访问控制、系统操作与运行安全、网络通讯安全、信息加密与解密、应急与灾难恢复、软件研发与应用安全、机密资源管理、第三方与外包安全、法律和标准的符合性、项目与工程安全控制、安全检查与审计等。 4第四章术语定义 D
2、MZ:用于隔离内网和外网的区域,此区域不属于可信任的内网,也不是完全开放给因特网。 容量:分为系统容量和环境容量两方面。系统容量包括CPU、内存、硬盘存储等。环境容量包括电力供应、湿度、温度、空气质量等。 安全制度:与信息安全相关的制度文档,包括安全管理办法、标准、指引和程序等。 安全边界:用以明确划分安全区域,如围墙、大厦接待处、网段等。 恶意软件:包括计算机病毒、网络蠕虫、木马、流氓软件、逻辑炸弹等。 备份周期:依据备份管理办法治定的备份循环的周期,一个备份周期的内容相当于一个完整的全备份。 系统工具:能够更改系统及应用配臵的程序被定义为系统工具,如系统管理、维护工具、调试程序等。 消息验
3、证:一种检查传输的电子消息是否有非法变更或破坏的技术,它可以在硬件或软件上实施。 数字签名:一种保护电子文档真实性和完整性的方法。例如,在电子商务中可以使用它验证谁签署电子文档,并检查已签署文档的内容是否被更改。 信息处理设备:泛指处理信息的所有设备和信息系统,包括网络、 服务器、个人电脑和笔记本电脑等。 不可抵赖性服务:用于解决交易纠纷中争议交易是否发生的机制。 电子化办公系统:包括电子邮件、KOA系统以及用于业务信息传送及共享的企业内部网。 5安全制度方面 5.1 安全制度要求 第4条所有带有“必需的条款都是强制性的。除非事先得到安全管理委员会的认可,否则都要坚决执行。其它的条款则是激烈建
4、议的,只要实际可行就应该被采纳。 第5条所有员工都受本制度的约束,各部门领导有责任确保其部门已实施足够的安全控制措施,以保护信息安全。 第6条各部门的领导有责任确保其部门的员工了解本安全管理制度、相关的标准和程序以及日常的信息安全管理。 第7条安全管理代表或其指派的人员将审核各部门安全控制措施实施的准确性和完整性,此过程是公司例行内部审计的一部分。 第8条所有制度在创建和更新后,必需经过相应管理层的审批。制度经批准之后必需通知所有相关人员。 第9条当环境改变、技术更新或者业务本身发生变化时,必需对安全制度重新进行评审,并作出相应的修正,以确保能有效地保护公司的信息资产。 第10条安全管理委员会
5、必需定期对本管理办法进行正式的复审,并依据复审所作的修正,指导相关员工采用相应的行动。 6组织安全方面 6.1 组织内部安全 第11条公司成立安全管理委员会,安全管理委员会是公司信息安全管理的最高决策机构,安全管理委员会的成员应包括总裁室主管IT领导、公司安全审计负责人、公司法律负责人等。 第12条信息安全管理代表由信息安全管理委员会指定,一般应包涵稽核部IT稽核岗、信息管理部信息安全相关岗位及分公司IT 岗。 第13条安全管理委员会通过清楚的方向、可见的承诺、具体的分工,积极地支持信息安全工作,主要包括以下几方面: 1)确定信息安全的目标符合公司的要求和相关制度; 2)阐明、复查和批准信息安
6、全管理制度; 3)复查信息安全管理制度执行的有效性; 4)为信息安全的执行提供明确的指导和有效的支持; 5)提供信息安全体系运作所必需要的资源 6)为信息安全在公司执行定义明确的角色和使命; 7)批准信息安全推广和培训的计划和程序; 8)确保信息安全控制措施在公司内被有效的执行。 第14条安全管理委员会必需要对内部或外部信息安全专家的建议进行评估,并检查和调整建议在公司内执行的结果。 第15条必需举行信息安全管理会议,会议成员包括安全管理委员会、安全管理代表和其他相关的公司高层管理人员。 第16条信息安全管理会议必需每年定期举行,讨论和审批信息安全相关事宜,具体包括以下内容 1)复审本管理制度
7、的有效性 2)复审技术变更带来的影响 3)复审安全风险 4)审批信息安全措施及程序 5)审批信息安全建议 6)确保任何新项目规划已合计信息安全的必需求7)复审安全检查结果和安全事故报告 8)复审安全控制实施的效果和影响 9)宣导和推行公司高层对信息安全管理的指示 第17条信息管理部门作为信息安全管理部门,负责信息安全管理策略制定及实施,其主要使命: 一负责全公司信息安全管理和指导; 二牵头制订全公司信息安全体系规范、标准和检查指引,参加我司信息系统工程建设的安全规划; 三组织全公司安全检查; 四配合全公司安全审计工作的展开; 五牵头组织全公司安全管理培训; 六负责全公司安全方案的审核和安全产品
8、的选型、购臵。 七依据本规定、安全规范、技术标准、操作手册实施各类安全策略。 八负责各类安全策略的日常维护和管理。 第18条各分公司信息管理部门作为信息安全管理部门,其主要使命: 一依据本规定、信息安全体系规范、标准和检查指引,组织建立安全管理流程、手册; 二组织实施内部安全检查; 三组织安全培训; 四负责机密信息和机密资源的安全管理; 五负责安全技术产品的使用、维护、升级; 六配合安全审计工作的展开; 七定期上报本单位信息系统安全状况,反馈安全技术和管理的看法和建议。 八依据本规定、安全规范、技术标准、操作手册实施各类安全策略。 九负责各类安全策略的日常维护和管理。 第19条新设备的采购和设
9、备布暑的审批流程应该充分合计信息安全的要求。 第20条新设备在布暑和使用之前,必需明确其用途和使用范围,并获得安全管理委员会的批准。必需对新设备的硬件和软件系统进行具体检查,以确保它们的安全性和兼容性。 第21条除非获得安全管理委员会的授权,否则不同意使用私人的信息处理设备来处理公司业务信息或使用公司资源。 第22条必需对公司信息安全控制措施的实施状况进行独立地 审核,确保公司的信息安全控制措施符合管理制度的要求。审核工作应由公司的审计部门或专门提供此类服务的第三方组织负责执行。负责安全审核的人员必需具备相应的技能和经验。 第23条独立的信息安全审核必需每年至少进行一次。 6.2 第三方访问的
10、安全性 第24条必需对第三方对公司信息或信息系统的访问进行风险评估,并进行严格控制,相关控制须合计物理上和逻辑上访问的安全风险。只有在风险被消除或降低到可接受的水平常才同意其访问。 第25条第三方包括但不限于: 1) 硬件和软件厂商的支持人员和其他外包商 2) 监管机构、外部顾问、外部审计机构和合作伙伴 3) 临时员工、实习生 4) 清洁工和保安 5) 公司的客户 第26条第三方对公司信息或信息系统的访问类型包括但不限于: 1) 物理的访问,例如:访问公司大厦、职场、数据中心等; 2) 逻辑的访问,例如:访问公司的数据库、信息系统等; 3) 与第三方之间的网络连接,例如:固定的连接、临时的远程
11、连 接; 第27条第三方所有的访问申请都必需经过信息安全管理代表的审批,只提供其工作所须的最小权限和满足其工作所必需的最少资源,并且必需要定期对第三方的访问权限进行复查。第三方对重要信息系统或地点的访问和操作必需有相关人员陪同。 第28条公司负责与第三方沟通的人员必需在第三方接触公司信息或信息系统前,主动告知第三方的使命、义务和必需要遵守的规定,第三方必需在清楚并同意后才干接触相应信息或信息系统。所有对第三方的安全要求必需包涵在与其签订的合约中。 第29条必需在同意客户访问信息或信息系统前识别并告知其必需要遵守的安全必需求。采用相应的保护措施保护客户访问的信息或信息系统。 第30条与第三方合约
12、中应包涵必要的安全要求,如:访问、处理、管理公司信息或信息系统的安全要求。 7信息资产与人员安全 7.1 资产责任 第31条应清楚识别所有的资产,所有与信息相关的重要资产都应该在资产清单中标出,并及时维护更新。这些资产包括但不限于 1)信息:数据库和数据文件、系统文档、用户手册、培训材料、操作手册、业务连续性计划、系统恢复计划、备份信息和合同等。 2)软件:应用软件、系统软件、开发工具以及有用工具等。 3)实体:计算机设备处理器、显示器、笔记本电脑、调制解调器等、通讯设备路由器、程控 交换机、 机等、存储设备、磁介质磁带和磁盘等、其它技术设备电源、空调器等、机房等。 4)服务:通讯服务专线。
13、第32条资产清单必需每年至少审核一次。在购买新资产之前必需进行安全评估。资产交付后,资产清单必需更新。资产的风险评估必需每年至少一次,主要评估当前已布暑安全控制措施的有效性。 第33条实体资产必需要贴上适当的标签。 第34条所有资产都应该被具体说明,必需指明具体的管理者。管理者可以是个人,也可以是某个部门。管理者是部门的资产则由部门主管负责监护。 第35条资产管理者的使命是: 1)确定资产的保密等级分类和访问管理办法; 2)定期复查资产的分类和访问管理办法。 第36条必需识别信息和信息系统的使用准则,形成文件并实施。使用准则应包括: 1)使用范围 2)角色和权限 3)使用者应负的责任 4)与其
14、他系统交互的要求 第37条所有访问信息或信息系统的员工、第三方必需清楚要访问资源的使用准则,并承当他们的责任。公司的所有信息处理设备包括个人电脑只能被使用于工作相关的活动,不得用来炒股、玩游戏等。乱用信息处理设备的员工将受到纪律处分。 7.2 信息分类 第38条所有信息都应该依据其敏感性、重要性以及业务所要求 的访问限制进行分类和标识。 第39条信息管理者负责信息的分类,并对其进行定期检查,以确保分类的正确。当信息被公布到公司外部,或者经过一段时间后信息的敏感度发生改变时,信息必需要重新分类。 第40条信息的保密程度从高到低分为绝密、机密、秘密和非保密四种等级。以电子形式储存的信息或管理信息资
15、产的系统,必需依据信息的敏感度进行标识。含有不同分类信息的系统,必需按照其中的最高保密等级进行分类。 第41条必需建立相应的保密信息处理规范。关于不同的保密等级,应明确说明如下信息活动的处理要求: 1)复制 2)储存和保管以物理或电子方式 3)传送以邮寄、 或电子邮件的方式 4)销毁 第42条电子文档和系统输出的信息打印报表和磁带等应带有适当的信息分类标记。关于打印报表,其保密等级应显示在每页的顶端或底部。 第43条将保密信息发送到公司以外时,负责传送信息的工作人员应在分发信息之前,先告知对方文档的保密等级及其相应的处理要 求。 7.3 人员安全 7.3.1信息安全意识、教育和培训 第44条所
16、有公司员工和第三方人员必需接受包括安全性要求、信息处理设备的正确使用等内容的培训,并应该及时了解和学习公司对安全管理制度和标准的更新。 第45条应该至少每年向员工提供一次安全意识培训,其内容包括但不限于: 1)安全管理委员会下达的安全管理要求 2)信息保密的责任 3)一般性安全守则 4)信息分类 5)安全事故报告程序 6)电脑病毒突发时的应对措施 7)灾难发生时的应对措施 第46条应该对系统管理员、开发人员进行安全技能方面的培训,至少每年一次。员工和第三方人员在开始工作后90天内,必需进行技术和安全方面的培训。 第47条灾难恢复演习应至少每年举行一次。 第48条违反公司安全管理制度、标准和程序
17、的员工将受到纪律处分。在对信息安全事件调查结束后,必需对事件中的相关人员依据公司的惩戒规定进行处罚。纪律处分包括但不限于: 1) 通报批评 2) 警告 3) 记过 4) 解除劳作合同 5) 法律诉讼 第49条当员工在接受可能涉及解除劳作合同和法律诉讼的违规调查时,其直接领导应暂停受调查员工的工作职务和其访问权限,包括物理访问、系统应用访问和网络访问等。员工在接受调查时可以陈述观点,提出异议,并有进一步申诉的权力。 第50条在终止雇佣、合同或协议时,所有员工及第三方人员必需归还所使用的全部公司资产。必需要归还的资产包括但不限于: 1) 帐号和访问权限 2) 公司的电子或纸质文档 3) 公司购买的
18、硬件和软件资产 4) 公司购买的其他设备 第51条如果在非公司资产上储存有公司的资产,必需在带出公司前归还或删除公司的资产。 第52条在终止或变更雇佣、合同、协议时,必需删除所有员工及第三方人员对信息和信息系统的访问权限,或依据变更进行相应的调整。所有删除和调整操作必需在最后上班日之前完成。 第53条关于公用的资源,必需进行及时的调整,比如:公用的帐号必需马上更改密码。 第54条在已经确定员工或第三方终止或变更意向后,必需及时对他们的权限进行限制,只保留终止或变更所必需要的权限。 8物理和环境安全方面 8.1 安全区域 第55条在公司的物理环境里,应该对必需要保护的区域依据其重要性划分为不同的
19、安全区域。特别是有重要设备的安全区域比如机房应该布暑相应的物理安全控制。 第56条在大厦的统一入口处必需设立有专人值守的接待区域,在特别重要的安全区域也应该设立类似的接待区域。第57条在非办公时间内,重要的安全区域必需安排保安按时巡视。任何时候,公司内必需至少有一位保安值班。保安值班表应最少每月调整一次。 第58条在非办公时间,所有进入安全区域的入口都应该受到控制,比如上锁。任何时候,重要安全区域的所有出入口必需受到严格的访问控制,确保只有授权的员工才可以进入此区域。 第59条关于设有访问控制的安全区域,必需定期审核并及时更新其访问权限。所有员工都必需佩戴一个身份识别通行证,有责任确保通行证的
20、安全并不得转借他人。员工离职时必需交还通行证,同时取消其所有访问权限。 第60条所有来宾的有关资料都必需具体记载在来宾进出登记表中,并向获准进入的来宾发放来宾通行证。同时,必需有相应的程序以确保回收所发放的来宾通行证。来宾进出登记表必需至少保留1年,记录内容应包括但不限于: 1)来宾姓名 2)来宾身份 3)来宾工作单位 4)来访事由 5)负责接待的员工 6)来宾通行证号码 7)进入的日期和时间 8)离开的日期和时间 第61条放臵敏感或重要设备的区域例如机房应尽量不引人注目,给外面的信息应尽量最少,不应该有显然的标志指明敏感区域的所在位臵和用途。这些区域还应该被给予相应的保护,保护措施包括但不限
21、于: 1)所有出入口必需安装物理访问控制措施 2)使用来宾登记表以便记录来访信息 3)严禁吸烟 第62条必需对支持关键性业务活动的设备提供足够的物理访问控制。所有安全区域和出入口必需通过闭路电视进行监控。一般会议室或其它公众场合必需与安全区域隔离开来。无人值守的时候,办公区中的信息处理设备必需从物理上进行保护。门和窗户必需锁好。 第63条办公场所和机房的制定和建设必需充分合计火灾、洪 水、地震、爆炸、骚乱等天灾或人为灾难,并采用额外的控制措施加以保护。 第64条机房必需增加额外的物理控制,选取的场地应尽量安全,并尽可能避免受到灾害的影响。机房必需有防火、防潮、防尘、防盗、防磁、防鼠等设施。 第
22、65条机房建设必需符合国标GB2887-89计算机场地技术条件和GB9361-88计算站场地安全要求中的要求。 第66条机房的消防措施必需满足以下要求: 1) 必需安装消防设备,并定期检查。 2) 应该指定消防指挥员。 3) 机房内严禁存放易燃材料,每周例行检查一次。 4) 必需安装烟感及其他火警探测器和灭火装臵。应每季度定期检查这些装备,确保它们能有效运作。 5) 必需在显然位臵张贴火灾逃生路线图、灭火设备平面放臵图以及安全出口的位臵。 6) 安全出口必需有显然标识。 7) 应该训练员工熟悉使用消防设施。 8) 紧急事件发生时必需提供紧急照明。 9) 所有疏散路线都必需随时坚持通畅。 10)
23、必需确保防火门在火灾发生时能够开启。 11)每年应至少举行一次火灾撤离演习,使工作人员熟知火灾撤离的过程。 第67条员工进入机房的访问授权,不能超过其工作所必需的范围。必需定期检察访问权限的分配并及时更新。机房的访问权限应不同于进入大楼其它区域的权限。 第68条所有必需要进入机房的来宾都必需提前申请。必需维护和及时更新来宾记录,以掌握来宾进入机房的具体状况。记录中应具体说明来宾的姓名、进入与离开的日期与时间,申请者以及进入的原因。机房来宾记录至少储存一年。来宾必需得到明确许可后,在专人陪同下才干进入机房。 第69条机房的保护应在专家的指导下进行,必需安装合适的安全防护和检测装臵。机房内严禁吸烟
24、饮食和拍摄。 第70条必需记录机房管理员的操作行为,以便其行为可以追踪。操作记录必需备份和维护并妥善保管,防止被破坏。 第71条在机房值班人员交接时,上一班值班人员所遗留的问题以及从事的工作应明确交待给下一班,确保相关操作的延续性。 8.2 设备安全 第72条必需对设备实施安全控制,以减少环境危害和非法的访问。应该合计的因素包括但不限于: 1) 水、火 2) 烟雾、灰尘 3) 震动 4) 化学效应 5) 电源干扰、电磁辐射 第73条设备必需放臵在远离水灾的地方,并依据必需要合计安装漏水警报系统。 应急开关如电闸、煤气开关和水闸等都必需清楚地做好标识,并且能容易访问。 设备都应该装有合适的漏电
25、保险丝或断路器进行保护。 放臵设备的区域必需满足厂商提供的设备环境要求。 设备的操作必需遵守厂商提供的操作规范。 通信线路和电缆必需从物理上进行保护。 第74条支持设施能够支持物理场所、设备等的正常运作,比如:电力设施、空调、排水设施、消防设施、静电保护设施等。 必需采用保护措施使设备免受电源故障或电力异常的破坏。 必需验证电力供应是否满足厂商设备对电源的要求。 每年应至少对支持设施进行一次安全检查。 工作环境中增加新设备时,必需对电力、空调、地板等支持设施的负荷进行审核。 必需设臵后备电源,例如不间断电源UPS或发电机。对必需要配备后备电源的设备装臵进行审核,确保后备电源能够满足这些设备的正
26、常工作。 每年必需至少对备用电源/进行一次测试。 应急电源开关应位于机房的紧急出口四周,以便紧急状况发生时可以迅速切断电源。 电缆应依据供电电压和频率的不同而互相隔离。 所有电缆都应带有标签,标签上的编码应记录归档。 电缆应从物理上加以保护。 第75条所有生产设备必需有足够的维护确保,关键设备必需提供7x24的现场维护支持。所有生产设备必需定期进行预防性维护。只有经过批准的、受过专业培训的工作人员才干进行维护工作。设备的所有维护工作都应该记录归档。如果设备必需要搬离安全区域进行修 理,必需获得批准并卸载其存储介质。 第76条必需建立设备故障报告流程。关于必需要进行重大修理的设备,流程还应该包涵
27、设备检修的报告,及换用备用设备的流程。 第77条笔记本电脑用户必需保护好笔记本电脑的安全,防止笔记本电脑损坏或被偷窃。 第78条如果将设备带出公司,设备拥有者必需亲自或指定专人保护设备的安全。设备拥有者必需对设备在公司场所外的安全负责。 第79条再利用或报废之前,设备所含有的所有存储装臵比如硬盘等都必需通过严格检查,确保所有敏感数据和软件已被删除或改写,并且不可能被恢复。应该通过风险评估来决定是否彻底销毁、送修还是丢掉含有敏感数据的已损坏设备。 9通信和操作管理方面 9.1 操作程序和使命 第80条必需为所有的业务系统建立操作程序,其内容包括但不限于: 1)系统重启、备份和恢复的措施 2)一般
28、性错误处理的操作指南 3)技术支持人员的联系方法 4)与其它系统的依赖性和处理的优先级 5)硬件的配臵管理 第81条操作程序必需征得管理者的同意才干对其进行修改。操作程序必需及时更新,更新条件包括但不限于: 1)应用软件的变更 2)硬件配臵的变更 第82条必需建立变更管理程序来控制系统的变更,所有变更都必需遵守变更管理程序的要求。程序内容包括但不限于 1)识别和记录变更请求 2)评估变更的可行性、变更计划和可能带来的潜在影响 3)变更的测试 4)审批的流程 5)明确变更失败的恢复计划和责任人 6)变更的验收 第83条重要变更必需制定计划,并在测试环境下进行足够的测试后,才干在生产系统中实施。所
29、有变更必需包括变更失败的应对措施和恢复计划。所有变更必需获得授权和批准,变更的申请和审批不得为同一个员工。对变更必需要涉及的硬件、软件和信息等对象都应标识出来并进行相应评估。变更在实施前必需通知到相关人员。 第84条变更的实施应该安排在对业务影响最小的时间段进行,尽量减少对业务正常运营的影响。在生产系统安装或更新软件前,必需对系统进行备份。变更完成后,相关的文档如系统必需求文档、制定文档、操作手册、用户手册等必需得到更新,旧的文档必需进行备份。 第85条必需对变更进行复查,以确保变更没有对原来的系统环境造成破坏。必需完整记录整个变更过程,并将其妥善保管。变更的记录应至少每月复查一次。 第86条
30、系统管理员和系统开发人员的使命必需明确分开。同一处理过程中的重要任务不应该由同一个人来完成,以防止欺诈和误操作的发生。 第87条所有使命分开的控制必需记录归档,作为责任分工的依据。无法采用使命分开时,必需采用其它的控制,比如活动监控、审核跟踪评估以及管理监督等。 9.1.4开发、测试和生产系统分开 第88条不应给开发人员提供超过其开发所必需范围的权限。如果开发人员必需要访问生产系统,必需经过运营人员的授权和管理。 第89条生产、测试和开发应分别使用不同的系统环境。开发人员不得在生产环境中更改编码或操作生产系统。不得在生产系统上擅自安装开发工具比如编译程序及其他系统公用程序等,并做好已有开发工具
31、的访问控制。开发和测试环境使用的测试数据不能包涵有敏感信息。 第90条必需建立事件管理程序,并依据事件影响的严重程度制订其所属类别,同时说明相应的处理方法和负责人。必需依据事件的严重程度,定义响应的范围、时间和完成事件处理的时间。 第91条系统的修复必需得到系统管理者的批准方可执行。第92条所有事件报告必需记录归档,并由部门主管或指定人员妥善保管。必需对事件的处理状况进行监控,对超时的处理提出改善建议并跟进改善效果。 9.2 第三方服务交付管理 第93条第三方提供的服务必需满足安全管理制度的要求。第三方提供的服务必需满足公司业务连续性的要求。 第94条必需保留第三方提供的服务、报告和记录并定期
32、评审,至少每半年一次。评审内容应包括: 1) 服务内容和质量是否满足合同要求; 2) 服务报告是否真实。 第95条服务改变时,必需重新对服务是否满足安全管理办法进行评估。在服务变更时必需要合计: 1) 服务价格的增长; 2) 新的服务必需求; 3) 公司信息安全管理制度的变化; 4) 公司在信息安全方面新的控制。 9.3 针对恶意软件的保护措施 第96条必需建立一套病毒防治体系,以便防止病毒对公司带来的影响。所有服务器、个人电脑和笔记本电脑都应该安装公司规定的防病毒软件,并及时更新防病毒软件。所有存进计算机的信息例如接收到的邮件、下载的文件等都必需经过病毒扫描。员工和第三方厂商从外界带来的存储
33、介质在使用之前必需进行病毒扫描。 第97条所有员工都应该接受防病毒知识的培训和指导。 第98条公司内发现的病毒、计算机或应用程序的异常行为,都必需作为安全事件进行报告。 第99条必需定期审核控制恶意软件措施的有效性。一旦发现感染病毒,必需立即把机器从网络中断开。在病毒没有被彻底清除之前,严禁将其重新连接到网络上。 9.4 备份 第100条所有服务器、个人电脑和笔记本电脑必需依据业务必需求定期进行备份。系统在重大变更之前和之后必需进行备份。 第101条备份管理办法必需获得管理层的审批以确保符合业务必需求。备份管理办法必需至少每季度进行一次复查,以确保没有发生 未授权或意外的更改。 第102条应该
34、保留多于1个备份周期的备份,但重要业务信息应至少保留3个备份周期的备份。备份资料和相应的恢复操作手册必需定期传送到异地进行储存。异地必需与主站点有一定的距离,以避免受主站点的灾难波及。 第103条必需对异地储存的备份信息实施安全保护措施,其保护标准应和主站点相一致。必需定期测试备份介质,确保其可用性。必需定期检查和测试恢复步骤,确保它们的有效性。备份系统必需进行监控,以确保其稳定性和可用性。 9.5 网络管理 第104条网络管理和操作系统管理的使命应该彼此分开,并由不同的员工承当。必需明确定义网络管理的使命和义务。只有得到许可的员工才干够使用网络管理系统。 第105条必需建立相应的控制机制,保
35、护路由表和防火墙安全管理办法等网络参数的完整性。保护通过公网传送敏感数据的机密性、完整性和可用性。 第106条进行网络协议兼容性的评估时应合计将来新增网络设备的要求。任何准备接进网络的新设备,在进网前都必需通过协议兼容性的评估和安全检查。 第107条必需对网络进行监控和管理。所有网络故障都必需向 上级报告。 第108条必需建立互联网的访问管理办法。除非得到授权,否则禁止访问外部网络的服务。 9.6 介质的管理 第109条可移动计算机存储介质比如磁带、光盘等必需有适当的访问控制。存储介质上必需设臵标签,以标识其类型和用途。标签应使用代码,以避免直接标识存储介质上的内容。标识用的代码必需要记录并归
36、档。 第110条必需建立和维护介质清单,并对介质的借用和归还进行记录。应确保备有足够的存储介质,以备使用。 第111条存放在存储介质内的绝密和机密信息必需受到妥善保护。 第112条存储介质的存放环境必需满足介质要求的环境条件比如温度、湿度、空气质量等。 第113条备份介质必需存储在防火柜中。应该对介质的寿命进行管理,在介质寿命结束前一年,将信息拷贝到新的介质中。 第114条应建立存储介质的报废规范,包括但不限于: 1)纸质文档 2)语音资料及其他录音带 3)复写纸 4)磁带 5)磁盘 6)光存储介质 第115条所有不会被再利用的敏感文档都必需依据定义的信息密级采用适当的方式进行销毁。 第116
37、条所有报废及过期的存储介质必需妥善销毁。 第117条介质的信息分类,必需采纳存放信息中的最高保密等级。 第119条存取含有敏感信息的文档,必需获得相应文档管理者的批准。含有敏感信息的文档应储存在安全的地方,未通过许可不得访问。含有敏感信息的文档通过内部网等提供访问的,应采纳访问控制加以保护。 9.7 信息交换 第120条必需依据信息的类型和保密级别,定义信息在交换过程中应遵循的安全要求。 第121条所有员工和第三方人员都必需遵守公司的信息交换管理办法。 第122条未通过许可,公司内部不同意安装、使用无线通信设备。 第123条使用加密技术保护信息的保密性、完整性和真实性。敏感信息带出公司必需获得
38、直接领导或信息管理者的授权。 第124条必需建立控制机制来保护利用音频、 和视频通信设备进行交换的信息。 第125条 录音系统应该配臵密码,以防非法访问。 第126条在使用 机中已存储的号码时, 之前必需验证号 码。 第127条移动通讯设备比如手机,PDA等不应存储公司敏感信息。 第128条跟外界进行信息和软件交换必需签署协议,其内容必需包括: 1)发送方和接收方的责任 2)明确发送和接收的方式 3)制定信息封装和传输的技术标准 4)数据丢失的相关责任 5)声明信息的保密级别和保护要求 6)声明信息和软件的所有权、版权和其他相关因素 第129条必需建立传输存储介质的安全标准。应使用可靠的传输工
39、具或传递人,授权的传递人必需接受适当监管并进行其身份的检查。应确保敏感信息的机密性、完整性和可用性在传输全程中受到保护。 第130条存放介质的容器在运输过程前必需密封。信息分类不应 该标识在容器的外面。包装应该非常结实,确保介质在运输过程中不受到损坏。 第131条电子化办公系统必需建立相应的管理办法和控制机制,并阐明以下内容: 1)确定不能被共享的信息的类型或密级 2)系统用户的权限 3)系统的访问控制 4)与系统相关的备份管理办法 第132条除非获得安全管理委员会的授权,否则禁止使用公司以外的电子系统比如BBS、MSN、等进行跟公司相关的活动。 第133条电子邮件内的信息必需依据其信息分类的
40、安全要求去处理和保护。用于连接外网的邮件网关必需安装防病毒软件,检查进出的电子邮件。必需对Internet屏蔽邮件系统的内网IP地址。 第134条员工使用公司的邮件系统时只能进行与业务相关的活动。所有在公司的邮件系统上产生及存储的邮件都是公司资产。公司有权查看和监控所有邮件。 未通过授权,严禁使用公司以外的邮箱处理公司业务。 所有对外发送的邮件都必需加上责任声明。 第135条在业务系统进行信息共享时,必需确保信息的完整性、可用行和保密性。必需确保重要信息在交换过程中的保密性。 9.8 电子商务服务 第136条必需采用适当措施,确保电子交易过程的机密性、完整性和可用性。 第137条电子商务的交易
41、必需制定相关的交易声明,以明确注意事项和相关责任。在电子商务的协议中,必需明确欺诈行为和未能交付的责任。 第138条电子交易必需设臵并维护适当的访问控制。身份验证技术必需满足业务的实际要求。 第139条必需保留并维护所有电子商务交易过程中的记录和日志。 第140条应该使用加密、电子证书、数字签名等技术保护电子商务安全。 第141条必需保护在线交易信息,避免不完整的传输、路由错误、未授权的消息更改、未授权的信息信息泄漏、复制和回复。 第142条在线交易中必需使用数字证书保护交易安全。交易中必需使用加密技术对所有通信内容加密。在线交易必需使用安全的通讯协议。 第143条在线交易信息必需储存在公司内
42、部的存储环境,存储环境不能被从Internet直接访问。 第144条在线交易必需遵守国家、地区和行业相关的法律法规。 第145条必需确保公共信息系统中信息的完整性,并防止非授权的修改。 第146条信息的公布必需遵守国家法律法规的要求。通过信息公布系统向内部和公众公布的信息都必需经过公司相关部门的检查和审批。信息在公布之前必需经过核对,确认其正确性和完整性。必需对敏感信息的处理和存储过程进行保护。 9.9 监控 第147条所有操作系统、应用系统都必需具有并启用日志记录功能。第148条日志记录信息必需包括但不限于: 1)用户ID; 2)每项操作的日期和时间至少要准确到秒; 3)来源的标识或位臵;
43、4)成功的系统访问尝试; 5)失败或被拒绝的系统访问尝试; 第149条日志类型包括但不限于: 1)应用日志; 2)系统日志; 3)安全日志; 4)操作日志; 5)问题记录。 第150条必需确保日志记录功能在任何时候都能正常运行。应该有机制监控日志的容量变化,在容量耗尽之前发出报警信息。 第151条除非特别声明,所有日志都必需被分类为“机密。日志应该定期复查,至少每月一次。 第152条不同的信息处理设备所要求的监控等级应该通过风险评估来决定,必需合计以下要素: 1)系统的访问; 2)所有特权操作; 3)未授权的访问尝试; 4)系统警报或故障。 第153条应天天按时监控网络包括网络性能和网络故障,
44、并依据产生的报告,对异常变化的网络流量,作进一步分析,以发现潜在的网络安全问题。 第154条必需确保日志不能被修改或删除,所有关于日志文件的访问如删除、写、读或添加尝试都应该有相应记录。 第155条除非特别声明,日志必需至少储存1年。只有授权的员工才干访问并使用日志。必需采用控制措施保护日志的完整性。 第156条系统管理员和操作员的操作必需被记录日志。 第157条日志记录应包括重要的操作,例如与用户管理相关的操作用户帐号的创建、删除、权限设臵、修改、与财务相关的操作等。 第158条管理员和重要系统的操作员日志应该至少每周复查一次。关于重要的财务系统和业务系统天天都要复查。 第159条必需启动故
45、障日志功能。 第160条必需确保故障记录的跟进处理,确保问题得到完全解决,并且其改正措施不会带来新的安全问题。所有故障记录都应该向上级汇报并记录归档。 第161条故障记录应妥善保管,防止被损坏,必要时应该进行备份。 第162条所有系统应该使用时钟同步服务,并使用同一时钟源。 第163条所有系统中的时间同意最多一分钟的偏差。 第164条关于不能进行时钟同步的系统,必需对时间进行每月一次的检查。 10访问控制方面 10.1 访问控制要求 第165条所有系统和应用都必需有访问控制列表,由系统管理者明确定义访问控制规则、用户和用户组的权限以及访问控制机制。访问控制列表应该进行周期性的检查以确保授权正确。 第166条访问权限必需依据工作完成的最少必需求而定,不能超过其工作实际所必需的范围。必需按照“除非明确同意,否则一律禁止的原则来设臵访问控制规则。 第167条所有访问控制必需建立相应的审批程序,以确保访问授权的合理性和有效性。必需禁用或关闭任何具有越权访问的功能。员工的
免费区 
