精選優(yōu)質(zhì)文檔-----傾情為你奉上精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)專心---專注---專業(yè)精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)東方中安信息技術(shù)有限公司PC機(jī)系統(tǒng)及桌面標(biāo)準(zhǔn)化說(shuō)明（初稿）發(fā)布時(shí)間：2018.4發(fā)布部門：版本號(hào)：批準(zhǔn)人：目錄PC桌面標(biāo)準(zhǔn)化說(shuō)明一、統(tǒng)一電腦設(shè)置：為規(guī)范公司的電腦配置與管理，提高工作效率，從而更好地為辦公服務(wù)。計(jì)算機(jī)機(jī)器名稱的統(tǒng)一規(guī)范化命名，便于通過(guò)計(jì)算機(jī)識(shí)別設(shè)備所在區(qū)域和用戶例：東方中安-JasonWINDOWS操作系統(tǒng)安裝公司采購(gòu)的正版系統(tǒng)，開(kāi)啟自動(dòng)更新功能的實(shí)現(xiàn)，使每臺(tái)能夠上網(wǎng)的機(jī)器都能及時(shí)從互聯(lián)網(wǎng)上下載最新補(bǔ)丁程序，有效防范病毒等惡性事件的發(fā)生。取消域用戶的本地系統(tǒng)管理員權(quán)限（設(shè)為PowerUsers），防止用戶擅自安裝非法軟件和更改系統(tǒng)配置按新的密碼規(guī)則修改本地Administrator的密碼（新員工PC機(jī)初始密碼：）二、標(biāo)準(zhǔn)電腦軟件安裝及配置：常規(guī)系統(tǒng)及軟件1、Windows10系統(tǒng)及語(yǔ)言包2、賽門鐵克殺毒軟件及病毒庫(kù)數(shù)據(jù)更新（病毒庫(kù)每周更新一次）3、Altiris（硬件資產(chǎn)管理)4、Office2016中小企業(yè)版5、工具軟件：WinRAR（可以安裝，但不是標(biāo)準(zhǔn)軟件）6、7、其他需要安裝的軟件需和上級(jí)部門主管批準(zhǔn)針對(duì)任何游戲軟件及非工作需要的軟件，均應(yīng)立即卸載并刪除如果電腦有問(wèn)題，請(qǐng)先排除故障后再做以下操作。三、信息資產(chǎn)分類分級(jí)管理程序目的和范圍為降低公司重要資產(chǎn)因遺失、損壞、篡改、外泄等事件帶來(lái)的潛在風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)將對(duì)公司的信譽(yù)、經(jīng)營(yíng)活動(dòng)、經(jīng)濟(jì)利益等造成較大或重大損失，需要規(guī)范信息資產(chǎn)保護(hù)方法和管理要求，特制訂本管理制度。本規(guī)定適用于本公司信息資產(chǎn)的安全管理，適用對(duì)象為本公司員工和所有外來(lái)人員。特殊崗位或特殊人員，另有規(guī)定的從其規(guī)定。公司信息資產(chǎn)是指一切關(guān)系公司安全和利益，在保護(hù)期內(nèi)只限一定范圍內(nèi)人員知悉、操作、維護(hù)的事物、文檔、項(xiàng)目、數(shù)據(jù)等資源。引用文件下列文件中的條款通過(guò)本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。GB/T22080-2016/ISO/IEC27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系要求GB/T22081-2016/ISO/IEC27002:2013信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則《備份管理規(guī)定》《訪問(wèn)控制程序》《文件控制程序》職責(zé)和權(quán)限本管理規(guī)定作為全公司范圍信息類資產(chǎn)的最低管理要求，各部門或各項(xiàng)目組，均可以根據(jù)客戶要求，添加補(bǔ)充策略，并在本部門、本項(xiàng)目組內(nèi)實(shí)施，與本規(guī)定一起，作為信息安全管理的工作指南。信息安全管理領(lǐng)導(dǎo)人組：是本公司信息資產(chǎn)安全管理工作的最高領(lǐng)導(dǎo)組織，總體負(fù)責(zé)信息資產(chǎn)的安全。信息安全管理工作小組：負(fù)責(zé)具體的協(xié)調(diào)組織實(shí)施及解釋答疑等工作。各部門經(jīng)理：作為本部門信息資產(chǎn)安全管理的最高責(zé)任者，有責(zé)任和權(quán)限保證本部門信息資產(chǎn)的安全。各信息的所有者：負(fù)責(zé)各信息資產(chǎn)的標(biāo)識(shí)、分發(fā)和傳遞的控制；員工：應(yīng)當(dāng)熟悉本管理規(guī)定的內(nèi)容，包括信息資產(chǎn)標(biāo)識(shí)辦法和使用管理規(guī)定，并切實(shí)貫徹到日常工作中。信息資產(chǎn)的分類分級(jí)4.1信息資產(chǎn)的分類公司信息資產(chǎn)分為：硬件資產(chǎn)、軟件資產(chǎn)、數(shù)據(jù)資產(chǎn)、人員資產(chǎn)、外包服務(wù)資產(chǎn)、無(wú)形資產(chǎn)、文檔資產(chǎn)、環(huán)境資產(chǎn)、第三方服務(wù)資產(chǎn)等。區(qū)分標(biāo)準(zhǔn)如下：硬件資產(chǎn)：日常工作、公司運(yùn)作或系統(tǒng)運(yùn)行所依賴的可見(jiàn)電子設(shè)備、設(shè)施和工具。主要包括：辦公類用品，如桌椅、紙張等。計(jì)算機(jī)及配件、輔助設(shè)備類，如服務(wù)器、臺(tái)式機(jī)、筆記本電腦、移動(dòng)存儲(chǔ)、打印機(jī)等。網(wǎng)絡(luò)設(shè)備，如網(wǎng)絡(luò)交換機(jī)等。其他設(shè)備，不屬于上述3類的設(shè)備設(shè)施，如飲水機(jī)等。軟件資產(chǎn)：依賴電子計(jì)算設(shè)備運(yùn)行的非硬件資產(chǎn)。如：操作系統(tǒng)、殺毒軟件、源代碼、組件、程序、業(yè)務(wù)系統(tǒng)或平臺(tái)等。數(shù)據(jù)資產(chǎn)：計(jì)算機(jī)軟件運(yùn)行時(shí)依賴的原始數(shù)據(jù)、配置數(shù)據(jù)，運(yùn)行時(shí)產(chǎn)生的動(dòng)態(tài)數(shù)據(jù)、結(jié)果數(shù)據(jù)以及能夠給公司經(jīng)濟(jì)效益、信息安全帶來(lái)潛在影響的所有數(shù)據(jù)，這些數(shù)據(jù)如遺失、非法復(fù)制傳播、損壞等從經(jīng)濟(jì)或安全上可能給公司造成損害。如客戶信息數(shù)據(jù)、系統(tǒng)配置數(shù)據(jù)、系統(tǒng)登錄帳號(hào)密碼、業(yè)務(wù)運(yùn)行數(shù)據(jù)、電話號(hào)碼資源等。4.2信息資產(chǎn)的分級(jí)管理信息資產(chǎn)的分級(jí)管理制度引用如下文件：硬件資產(chǎn)分級(jí)管理制度軟件資產(chǎn)分級(jí)管理制度數(shù)據(jù)資產(chǎn)分級(jí)管理制度人員資產(chǎn)分級(jí)管理制度外包服務(wù)資產(chǎn)分級(jí)管理制度無(wú)形資產(chǎn)分級(jí)管理制度文檔資產(chǎn)分級(jí)管理制度環(huán)境資產(chǎn)分級(jí)管理制度第三方服務(wù)資產(chǎn)分級(jí)管理制度4.3信息資產(chǎn)分類指導(dǎo)公司各部門依據(jù)分類定義和示例，對(duì)部門《資產(chǎn)識(shí)別表》中的各類資產(chǎn)進(jìn)行分級(jí)，并報(bào)請(qǐng)本部門經(jīng)理審核確認(rèn)。公司一級(jí)、公司二級(jí)信息資產(chǎn)需要報(bào)信息安全管理工作小組匯總、審核后，請(qǐng)公司總經(jīng)理確認(rèn)審批?！顿Y產(chǎn)識(shí)別表》需詳細(xì)登記所有信息資產(chǎn)，并確定其分級(jí)和管理責(zé)任人。信息分級(jí)標(biāo)識(shí)5.1分級(jí)標(biāo)識(shí)編號(hào)硬件資產(chǎn)（H-hard）：H1、H2......分別代表一級(jí)硬件資產(chǎn)，二級(jí)硬件資產(chǎn)......等。軟件資產(chǎn)(S-soft)：S1、S2......分別代表一級(jí)軟件資產(chǎn)、二級(jí)軟件資產(chǎn)......等。數(shù)據(jù)資產(chǎn)(D-data)：D1、D2......分別代表一級(jí)數(shù)據(jù)資產(chǎn)、二級(jí)數(shù)據(jù)資產(chǎn)......等。人員資產(chǎn)(P-person)：P1、P2......分別代表一級(jí)人員資產(chǎn)、二級(jí)人員資產(chǎn)......等。外包服務(wù)資產(chǎn)(T-team)：T1、T2......分別代表一級(jí)外包服務(wù)資產(chǎn)、二級(jí)外包服務(wù)資產(chǎn)......等。無(wú)形資產(chǎn)(N-none)：N1、N2......分別代表一級(jí)無(wú)形資產(chǎn)、二級(jí)無(wú)形資產(chǎn)......等。文檔資產(chǎn)(F-file)：F1、F2......分別代表一級(jí)文檔資產(chǎn)、二級(jí)文檔資產(chǎn)......等。環(huán)境資產(chǎn)(E-environmen)：E1、E2......分別代表一級(jí)環(huán)境資產(chǎn)、二級(jí)環(huán)境資產(chǎn)......等。第三方服務(wù)資產(chǎn)(TS-thirdservice)：TS1、TS2......分別代表一級(jí)第三方服務(wù)資產(chǎn)、二級(jí)第三方服務(wù)資產(chǎn)......等。5.2公司絕密、機(jī)密信息定義標(biāo)記為一級(jí)和二級(jí)的文檔及敏感類的信息稱為公司機(jī)密信息，三類信息為秘密信息，四類為可內(nèi)部公開(kāi)的信息，五類為可公開(kāi)的信息。絕密信息，除文檔資產(chǎn)外，不包含在其他信息資產(chǎn)的分級(jí)定義序列中，絕密信息一般由公司最高管理層負(fù)責(zé)管理和保密義務(wù)。5.3各密級(jí)知曉范圍公司絕密級(jí)：高層管理級(jí)人員及與公司絕密內(nèi)容有直接關(guān)系的工作人員，對(duì)其他任何人都需要保密。掌握核心公司絕密的關(guān)鍵崗位人員的變更、離職須經(jīng)總經(jīng)理同意。公司機(jī)密級(jí)：部門經(jīng)理級(jí)及以上的管理人員以及與公司機(jī)密內(nèi)容有直接關(guān)系的工作人員，允許知曉與本工作相關(guān)的公司機(jī)密事項(xiàng)，對(duì)非相關(guān)人員需要保密。公司秘密級(jí)：部門骨干管理人員以及與公司秘密內(nèi)容有直接關(guān)系的工作人員，允許知曉與本工作相關(guān)的公司秘密事項(xiàng)，但對(duì)其他部門應(yīng)保密。內(nèi)部公開(kāi)：公司內(nèi)部所有人員，允許知曉在公司內(nèi)部范圍內(nèi)屬于公開(kāi)的信息，但未授權(quán)不得對(duì)公司以外人員泄露公司的內(nèi)部公開(kāi)信息。公開(kāi)：公司外面所有人員，允許知曉由公司內(nèi)的授權(quán)人員宣布可公開(kāi)的信息?？晒_(kāi)的文檔必須轉(zhuǎn)成PDF文檔后，或使用其他方法變成只讀不可修改的文檔后再行發(fā)布。5.4分級(jí)標(biāo)識(shí)編號(hào)可作為分級(jí)標(biāo)識(shí)使用公司固定資產(chǎn)硬件設(shè)備必須標(biāo)記分級(jí)標(biāo)識(shí)編號(hào)。作為電子文件時(shí)必須在文件的第一頁(yè)的顯著位置標(biāo)識(shí)分級(jí)。對(duì)于紙質(zhì)文檔，使用公司統(tǒng)一刻制的分級(jí)標(biāo)識(shí)圖章進(jìn)行標(biāo)識(shí)，對(duì)于“公司絕密”文檔在需要時(shí)，通過(guò)騎縫章或每頁(yè)敲章的方式進(jìn)行“絕密”標(biāo)識(shí)。使用信封等封裝時(shí)，還需要在封裝上標(biāo)記“絕密”標(biāo)識(shí)及分級(jí)標(biāo)識(shí)。對(duì)于模板文檔，其標(biāo)識(shí)的分級(jí)是指填寫內(nèi)容后的分級(jí)，而非空白時(shí)的分級(jí)。如果使用光盤/磁帶/軟盤等介質(zhì)，需要直接在介質(zhì)表面上標(biāo)識(shí)分級(jí)。需要提交給客戶的信息資產(chǎn)（例如：項(xiàng)目開(kāi)發(fā)成果物），必須有分級(jí)標(biāo)識(shí)。對(duì)于應(yīng)用系統(tǒng)中的顯示畫面、數(shù)據(jù)表單或打印輸出等內(nèi)容，必須有分級(jí)標(biāo)識(shí)。公司秘密信息使用管理6.1涉密信息的保管公司絕密、公司機(jī)密信息：應(yīng)該保管在一般人員無(wú)法隨便進(jìn)入的有安全保障的房間，比如：總裁辦公室、各部門主管辦公室、財(cái)務(wù)室、機(jī)房等。電子文檔必須有可靠的備份機(jī)制；除非特別批準(zhǔn)公司絕密信息不應(yīng)保管在個(gè)人用計(jì)算機(jī)上。紙質(zhì)文件以及電子存儲(chǔ)介質(zhì)（例如：移動(dòng)硬盤/U盤/光盤/軟盤等）應(yīng)該保存在加鎖的文件柜或保險(xiǎn)柜內(nèi)。在不使用或處于目光所及范圍之外時(shí)，應(yīng)將資料存放在鎖閉的檔案柜、桌式書(shū)架或書(shū)柜內(nèi)；在攜帶至辦公室以外的地方時(shí)，應(yīng)將資料存放在隨身攜帶的鎖閉的箱包或手提箱內(nèi)。其它涉密信息：也應(yīng)該保存在安全的工作區(qū)域內(nèi)。電子文檔也必須有可靠的備份機(jī)制。紙質(zhì)文檔以及電子存儲(chǔ)介質(zhì)應(yīng)存放于書(shū)柜、檔案柜或桌式書(shū)架柜內(nèi)，以防被非公司人員意外看到或獲得。技術(shù)成果技術(shù)轉(zhuǎn)讓、技術(shù)入股、技術(shù)引進(jìn)等途徑獲取公司秘密的過(guò)程中，根據(jù)合同或協(xié)議中規(guī)定提供的公司秘密，承辦人應(yīng)采取保密措施，保證不泄漏公司秘密。獲取的公司秘密應(yīng)及時(shí)移交財(cái)務(wù)部歸檔，不得個(gè)人保存。工作成果物：每個(gè)人的工作成果物（工作成果物指需要向客戶或上級(jí)或組織提交的工作的結(jié)果）應(yīng)該及時(shí)保存到指定場(chǎng)所。電子文檔應(yīng)該保存到公用機(jī)器上的指定位置，從而得到可靠的備份和訪問(wèn)控制，對(duì)于紙質(zhì)文檔和電子介質(zhì)應(yīng)該保存到指定文件柜內(nèi)（除非被批準(zhǔn)，不得保存在個(gè)人文件柜內(nèi)），并做好清晰標(biāo)示，從而保證他們的可用性。員工在公司任職期間的工作成果歸公司所有，并按《保密協(xié)議》及本制度進(jìn)行管理；客戶信息在公司日常業(yè)務(wù)（包括營(yíng)銷等相關(guān)活動(dòng)）中接觸到客戶的信息以及客戶提供的信息同樣應(yīng)該作為公司的涉密信息實(shí)施管理和控制。重要信息應(yīng)該被指定為公司絕密，其余都按照“公司秘密”密級(jí)來(lái)對(duì)待。特別是客戶真實(shí)數(shù)據(jù)，屬于“公司機(jī)密”，除非得到客戶明確授權(quán)，不得使用；使用時(shí)必須按照嚴(yán)格的流程和管理規(guī)定（事先備份等），不得在其它任何場(chǎng)合使用或透露相關(guān)信息。6.2涉密信息的訪問(wèn)限制日常工作中需使用含公司絕密、公司機(jī)密性數(shù)據(jù)的設(shè)備，或需處理公司絕密、公司機(jī)密性數(shù)據(jù)的員工，須根據(jù)公司相關(guān)要求簽訂《知識(shí)產(chǎn)權(quán)及保密協(xié)議》；本公司委外開(kāi)發(fā)或加工的外包合同/協(xié)議中須包含所涉及信息資產(chǎn)的保密條款，必要時(shí)，須與相關(guān)人員簽署保密協(xié)議；涉密信息的訪問(wèn)范圍應(yīng)限制在滿足需要的最小限度。公司絕密信息應(yīng)該存放在非相關(guān)部門員工無(wú)法訪問(wèn)的獨(dú)立的VLAN內(nèi)，存放“公司絕密”信息的個(gè)人用計(jì)算機(jī)應(yīng)該安裝防火墻，保證其他機(jī)器無(wú)法主動(dòng)訪問(wèn)，通過(guò)網(wǎng)絡(luò)共享目錄不允許存放“公司絕密”信息；存放涉密信息的計(jì)算機(jī)的用戶密碼必須得到嚴(yán)格控制和有效管理；“內(nèi)部公開(kāi)”及以上信息未經(jīng)授權(quán)，嚴(yán)禁以任何方式向公司以外人員泄露?！肮窘^密”信息由公司領(lǐng)導(dǎo)、信息安全主管部門和相關(guān)應(yīng)用部門協(xié)商確定訪問(wèn)權(quán)限，由信息安全主管部門委托人員（一般是總裁辦管理）具體控制?！肮緳C(jī)密”和“公司秘密”信息由各部門，各項(xiàng)目組的負(fù)責(zé)人確定訪問(wèn)權(quán)限，由他們或委托可靠相關(guān)人員進(jìn)行訪問(wèn)權(quán)限的具體控制措施。為了保證涉密信息安全，全體員工必須嚴(yán)格遵守《訪問(wèn)控制管理程序》中所具體規(guī)定的各項(xiàng)控制策略。6.3涉密信息的使用不得使用任何手段主動(dòng)獲取與工作職責(zé)無(wú)關(guān)的涉密信息。不得以任何工作需要以外的目的復(fù)制、復(fù)印、摘抄涉密信息，未經(jīng)管理者許可，禁止復(fù)制、復(fù)印“公司機(jī)密”以上級(jí)別信息。因工作需要將涉密信息復(fù)制到非相關(guān)設(shè)備或公用設(shè)備中時(shí)，必須在使用完畢后，立即刪除作業(yè)遺留的涉密信息。因工作需要復(fù)印的涉密信息，使用完畢后，按照涉密信息廢棄處置方法處置。涉密信息的使用必須嚴(yán)格限制在工作必須的物理和人員范圍內(nèi)，除非工作需要并得到批準(zhǔn)，不得把存放涉密信息的設(shè)備和存儲(chǔ)介質(zhì)以及含有涉密信息的紙質(zhì)文檔帶出公司。“公司絕密”信息的使用必要時(shí)可以通過(guò)簽名登記的方式加以控制。因工作需要，需要對(duì)敏感的涉密信息共享時(shí)，必須對(duì)涉密信息進(jìn)行加密處理。不在有非相關(guān)人員在場(chǎng)的情況下談?wù)?使用涉密信息。包括：和客戶接觸時(shí)避免涉密信息的泄露，制作提供給客戶的資料文件時(shí)原則上使用PDF格式，并需要注意涉密信息的保護(hù)。不能在公共場(chǎng)所或者敞開(kāi)辦公室、沒(méi)有良好隔音的會(huì)議室談?wù)摴窘^密信息。使用紙質(zhì)文件是，要注意：“公司機(jī)密”以上級(jí)別信息的紙件不得重復(fù)使用，含其它涉密信息的紙件文件也不得跨項(xiàng)目使用；下班后應(yīng)清理桌面，將含有重要涉密信息的紙質(zhì)文件放入文件柜；發(fā)出打印命令后，及時(shí)去取打印文件，保證打印機(jī)處無(wú)遺留紙質(zhì)文件。打印“公司絕密”信息時(shí)，盡量使用非公用打印機(jī)；復(fù)印完畢后注意檢查，保證復(fù)印機(jī)處無(wú)遺留紙質(zhì)文件。復(fù)印“公司絕密”信息時(shí)，盡量在人少時(shí)段；傳真完畢后注意檢查，保證傳真機(jī)處無(wú)遺留紙質(zhì)文件。對(duì)于外來(lái)的傳真，應(yīng)該馬上收取，再通知或送達(dá)收件人。對(duì)于涉密的技術(shù)文件的發(fā)放和回收，參考《文件控制程序》。計(jì)算機(jī)數(shù)據(jù)安全管理：在從事涉及保密信息的工作時(shí)，不得離開(kāi)計(jì)算機(jī)，使之處于無(wú)人照看狀態(tài)；人員因故離開(kāi)座位時(shí)，必須退出系統(tǒng)或使用屏幕密碼保護(hù)，防止賬號(hào)被盜用或數(shù)據(jù)被竊取。下班或因公外出離開(kāi)辦公室前，必須關(guān)閉計(jì)算機(jī)設(shè)備并將桌面收拾干凈，避免保密信息失竊或系統(tǒng)被侵入；保管好所有的數(shù)據(jù)存儲(chǔ)設(shè)備，并作適當(dāng)標(biāo)識(shí)；公司絕密或公司機(jī)密性數(shù)據(jù)如需通過(guò)電子郵件傳送，應(yīng)經(jīng)加密處理后傳送；公司絕密或公司機(jī)密性數(shù)據(jù)，不得存放于無(wú)賬號(hào)權(quán)限、密碼限定的信息系統(tǒng)中。6.4涉密信息發(fā)送任何涉密信息的發(fā)送，都必須保證收件人的合法性；“內(nèi)部公開(kāi)”信息未經(jīng)許可，嚴(yán)禁發(fā)送給公司以外人員；“公司秘密”，“公司機(jī)密”“公司絕密”只發(fā)給管理者授權(quán)的收件人。涉密信息傳送后，必須通過(guò)e-Mail/MSN/電話等手段，獲得對(duì)方的確認(rèn)或主動(dòng)向?qū)Ψ酱_認(rèn)。在公司內(nèi)部傳送紙質(zhì)數(shù)據(jù)時(shí)，委托他人傳送時(shí)，必須加以封裝；“公司絕密”信息傳送時(shí)必須保證直接交給收件人本人；其他涉密信息傳送時(shí)，盡量直接交給收件人，如果放置在收件人坐席上必須將傳送的背面朝上，并且事后要和收件人確認(rèn)。利用電子手段傳送數(shù)據(jù)時(shí)，“公司絕密”信息必須使用加密手段，而且密碼不得同時(shí)發(fā)送；在可能的條件下，鼓勵(lì)所有涉密信息都采用加密手段傳送?！肮窘^密”信息除非特別需要必須使用公司的網(wǎng)絡(luò)服務(wù)傳送；所有涉密信息都應(yīng)該盡量避免使用公司外部電子信箱以及MSN/QQ/Skype/公用FTP/網(wǎng)絡(luò)存儲(chǔ)空間等手段來(lái)進(jìn)行傳送。必須利用最新的防病毒庫(kù)對(duì)收發(fā)的文件進(jìn)行病毒檢查。利用傳真進(jìn)行涉密信息傳送時(shí)，不得委托非相關(guān)人員代為傳送；傳送時(shí)必須始終等待在側(cè)；傳送完畢后立刻回收；不特別必要，不利用傳真方式進(jìn)行“公司絕密”信息的傳送；收發(fā)“公司絕密”信息時(shí)，應(yīng)事先和對(duì)方聯(lián)系，保證傳真不經(jīng)過(guò)其他人手。利用快遞/郵寄手段進(jìn)行涉密信息傳送時(shí)：對(duì)傳送的信息必須加以封裝；不特別必要，“公司絕密”信息的傳送不利用快遞/郵寄手段進(jìn)行，而應(yīng)盡量利用公司內(nèi)部人員以專程的形式來(lái)進(jìn)行傳送工作；傳送“公司絕密”信息時(shí)，應(yīng)事先和對(duì)方聯(lián)系；在確認(rèn)收到時(shí)，還必須確認(rèn)封裝沒(méi)有損壞；非收件人不得隨便拆閱。6.5涉密信息的廢棄處置過(guò)期或作廢的涉密文件需要廢棄處置處理時(shí)，首先需得到批準(zhǔn)?！肮窘^密”信息的廢棄處置要得到公司總經(jīng)理書(shū)面批準(zhǔn)，并指定可解除該信息人員實(shí)施或全程監(jiān)督實(shí)施。其它涉密信息的廢棄處置要得到相關(guān)部門，相關(guān)工作組的負(fù)責(zé)人的批準(zhǔn)，并指定人員實(shí)施。公司絕密數(shù)據(jù)必須退回資料來(lái)源處，或者在經(jīng)資料來(lái)源處授權(quán)情況下，將其存放在安全的文件貯存處或加以銷毀；電子檔案必須采用總裁辦許可使用的專用銷毀文件的計(jì)算機(jī)磁盤工具予以消除，必須保留銷毀文件的記錄?！肮緳C(jī)密”和“公司秘密”信息，進(jìn)行處理時(shí)，紙質(zhì)文件要通過(guò)專門設(shè)備徹底粉碎；電子檔案必須采用行政部許可使用的專用銷毀文件的計(jì)算機(jī)磁盤工具予以消除，必須保留銷毀文件的記錄。客戶方面特別提出要求時(shí)，按照客戶要求的方法實(shí)施。個(gè)人工作中使用的紙質(zhì)文檔不得隨意丟棄或作其它用途，廢棄后要及時(shí)粉碎處理；電子文檔需要及時(shí)整理和清除。對(duì)一級(jí)硬件信息資產(chǎn)進(jìn)行專人監(jiān)督物理破壞。保密原則所有公司員工都有義務(wù)和責(zé)任保守公司公司秘密。嚴(yán)格遵守公司關(guān)于保密方面的各項(xiàng)政策和制度規(guī)定；保護(hù)并按照規(guī)定的方式處理包含公司保密信息的各種記錄、草稿、文本副本、打印機(jī)色帶和圖表；不在公司以外公共場(chǎng)合及同親友及家人談?wù)摴镜臉I(yè)務(wù)情況及保密信息；在向非公司員工發(fā)表演講、宣傳時(shí)不得援引保密信息；未經(jīng)資料來(lái)源處授權(quán)，不得復(fù)制或復(fù)印任何公司保密數(shù)據(jù)資料；未經(jīng)必要的審批手續(xù)，不得將公司保密數(shù)據(jù)資料從公司帶出；不得使用規(guī)定以外的其它方式，用電子手段傳送或調(diào)用保密數(shù)據(jù)材料；論文發(fā)表前，要經(jīng)過(guò)部門領(lǐng)導(dǎo)和信息安全工作小組審核；員工必須具有保密意識(shí)，必須做到不該問(wèn)的絕對(duì)不問(wèn)，不該說(shuō)的絕對(duì)不說(shuō)，不該看的絕對(duì)不看。未經(jīng)領(lǐng)導(dǎo)批準(zhǔn)，不準(zhǔn)開(kāi)展本崗位外的業(yè)務(wù)活動(dòng)，不準(zhǔn)串崗。在日常工作中，全體人員都應(yīng)該按照“知所必需”的原則，獲得完成其工作職責(zé)所必需的最小范圍的涉密信息和最小的邏輯訪問(wèn)權(quán)限，并且以盡量安全的方式在最小范圍內(nèi)使用。對(duì)公司公司秘密的知曉范圍執(zhí)行壓縮控制的原則，員工只在管轄范圍內(nèi)根據(jù)工作需要知曉相關(guān)的公司公司秘密。公司鼓勵(lì)員工在一定的程度上使用常識(shí)性的辦法來(lái)保護(hù)公司涉密信息，如果員工不知道某項(xiàng)資產(chǎn)的密級(jí)，默認(rèn)情況下至少按“公司秘密”的密級(jí)來(lái)對(duì)待。對(duì)于研發(fā)進(jìn)行中的項(xiàng)目，除公司統(tǒng)一制定的產(chǎn)品目標(biāo)對(duì)客戶進(jìn)行宣傳以外，公司任何員工均需對(duì)公司正在研發(fā)的項(xiàng)目?jī)?nèi)容、項(xiàng)目進(jìn)度等信息進(jìn)行保密，尤其是器件供應(yīng)商，與競(jìng)爭(zhēng)對(duì)手關(guān)系密切的客戶等。對(duì)于公司的商務(wù)信息僅限市場(chǎng)人員、商務(wù)人員及其管理人員知悉。不同市場(chǎng)區(qū)域之間的信息，原則上也要求保密。對(duì)外交往與合作中如需要提供公司的公司秘密事項(xiàng)，應(yīng)先由部門經(jīng)理批準(zhǔn)，特殊情況須經(jīng)公司相關(guān)領(lǐng)導(dǎo)審核、公司總經(jīng)理批準(zhǔn)。因工作需要知悉非本職范圍內(nèi)的公司公司秘密的，須經(jīng)相關(guān)領(lǐng)導(dǎo)批準(zhǔn)，公司秘密級(jí)信息由部門經(jīng)理批準(zhǔn)，公司機(jī)密級(jí)信息由分管副總批準(zhǔn)，公司絕密級(jí)信息由公司總經(jīng)理批準(zhǔn)；公司員工發(fā)現(xiàn)公司公司秘密已經(jīng)泄露或可能泄露時(shí)，應(yīng)立即采取補(bǔ)救措施并及時(shí)報(bào)告上級(jí)主管，上級(jí)主管須立即做出相應(yīng)處理。文檔編號(hào)（由總裁辦填寫）密級(jí)內(nèi)部公開(kāi)文檔發(fā)布級(jí)別公司級(jí)文檔發(fā)布及實(shí)行范圍全員制度試行日期（可選）制度執(zhí)行日期文檔起草人簽字：日期：文檔修訂人：簽字：日期：修訂說(shuō)明：備注：文檔負(fù)責(zé)人：簽字：日期：文檔審批信息安全管理者代表簽字：日期：文檔審批人簽字：日期：四、訪問(wèn)控制制度目的和范圍通過(guò)控制用戶權(quán)限正確管理用戶，實(shí)現(xiàn)控制辦公網(wǎng)系統(tǒng)和應(yīng)用系統(tǒng)訪問(wèn)權(quán)限與訪問(wèn)權(quán)限的分配，防止對(duì)辦公網(wǎng)系統(tǒng)和應(yīng)用系統(tǒng)的非法訪問(wèn)，防止非法操作，保證生產(chǎn)系統(tǒng)的可用性、完整性、保密性，以及規(guī)范服務(wù)器的訪問(wèn)。本訪問(wèn)控制制度適用于系統(tǒng)維護(hù)部以及其他擁有系統(tǒng)權(quán)限的管理部門。引用文件下列文件中的條款通過(guò)本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。GB/T22080-2016/ISO/IEC27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系要求GB/T22081-2016/ISO/IEC27002:2013信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則職責(zé)和權(quán)限各部門必須遵照本管理規(guī)范實(shí)行對(duì)用戶、口令和權(quán)限的管理，用戶必須按照本管理規(guī)范訪問(wèn)公司辦公網(wǎng)系統(tǒng)和應(yīng)用系統(tǒng)。用戶管理4.1用戶注冊(cè)只有授權(quán)用戶才可以申請(qǐng)系統(tǒng)賬號(hào)，賬號(hào)相應(yīng)的權(quán)限應(yīng)該以滿足用戶需要為原則，不得有與用戶職責(zé)無(wú)關(guān)的權(quán)限。一人一賬號(hào)，以便將用戶與其操作聯(lián)系起來(lái)，使用戶對(duì)其操作負(fù)責(zé)，禁止多人使用同一個(gè)賬號(hào)。用戶因工作變更或離職時(shí)，管理員要及時(shí)取消或者鎖定其所有賬號(hào)，對(duì)于無(wú)法鎖定或者刪除的用戶賬號(hào)采用更改口令等相應(yīng)的措施規(guī)避該風(fēng)險(xiǎn)。管理員應(yīng)每季度檢查并取消多余的用戶賬號(hào)。4.2用戶口令管理和使用引用文件：《密碼控制管理制度》權(quán)限管理5.1用戶權(quán)限管理原則所有的重要服務(wù)器應(yīng)用系統(tǒng)要有明確的用戶清單及權(quán)限清單，每季度進(jìn)行一次權(quán)限評(píng)審。重要設(shè)備的操作系統(tǒng)、數(shù)據(jù)庫(kù)、重要應(yīng)用程序相關(guān)的特殊訪問(wèn)權(quán)限的分配需進(jìn)行嚴(yán)格管理。對(duì)一般用戶只擁有在注冊(cè)時(shí)所審批的權(quán)限。每個(gè)人分配的權(quán)限以完成相應(yīng)工作最低標(biāo)準(zhǔn)為準(zhǔn)。服務(wù)器日志的安全審查職責(zé)與日常工作權(quán)限責(zé)任分割。新賬號(hào)開(kāi)通時(shí)提供給他們一個(gè)安全的臨時(shí)登錄密碼，并在首次使用時(shí)強(qiáng)制改變。為防止未授權(quán)的更改或誤用信息或服務(wù)的機(jī)會(huì)，按以下要求進(jìn)行職責(zé)分配：a)系統(tǒng)管理職責(zé)與操作職責(zé)分離；b)信息安全審核具有獨(dú)立性。5.2用戶訪問(wèn)權(quán)限設(shè)置步驟權(quán)限設(shè)置：對(duì)信息的訪問(wèn)權(quán)限進(jìn)行設(shè)置，添加該用戶的相應(yīng)訪問(wèn)權(quán)，設(shè)置權(quán)限，要再次確認(rèn)，以保證權(quán)限設(shè)置正確。定期檢查用戶賬戶：管理員每季度對(duì)應(yīng)用系統(tǒng)進(jìn)行一次權(quán)限評(píng)審。取消訪問(wèn)權(quán)：離開(kāi)公司應(yīng)立即取消或禁用其賬號(hào)及所有權(quán)限，將其所擁有的信息備份保存，或轉(zhuǎn)換接替者為持有人。用戶的崗位發(fā)生變化時(shí)，要對(duì)其訪問(wèn)權(quán)限重新授權(quán)。操作系統(tǒng)訪問(wèn)控制6.1安全登錄制度UNIX、LINUX系統(tǒng)使用SSH登錄系統(tǒng)。進(jìn)入操作系統(tǒng)必須執(zhí)行登錄操作，禁止將系統(tǒng)設(shè)定為自動(dòng)登錄。記錄登錄成功與失敗的日志。日常非系統(tǒng)管理操作時(shí)，只能以普通用戶登錄。啟用操作系統(tǒng)的口令管理策略（如口令至少8位，字母數(shù)字組合等），保證用戶口令的安全性。6.2會(huì)話超時(shí)與聯(lián)機(jī)時(shí)間的限定重要服務(wù)器應(yīng)設(shè)置會(huì)話超時(shí)限制，不活動(dòng)會(huì)話應(yīng)在一個(gè)設(shè)定的休止期5分鐘后關(guān)閉。應(yīng)考慮對(duì)敏感的計(jì)算機(jī)應(yīng)用程序，特別是安裝在高風(fēng)險(xiǎn)位置的應(yīng)用程序，使用連機(jī)時(shí)間的控制措施。這種限制的示例包括：使用預(yù)先定義的時(shí)間間隔，如對(duì)批量文件傳輸，或定期的短期交互會(huì)話等情況使用指定的時(shí)間間隔；如果沒(méi)有超時(shí)或延時(shí)操作的要求，則將連機(jī)時(shí)間限于正常辦公時(shí)間；應(yīng)用系統(tǒng)訪問(wèn)控制根據(jù)《重要服務(wù)器-應(yīng)用系統(tǒng)清單》，填寫《重要應(yīng)用系統(tǒng)權(quán)限評(píng)審表》，每季度評(píng)審一次。各應(yīng)用系統(tǒng)必須確定相應(yīng)的系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員和應(yīng)用管理員。應(yīng)用系統(tǒng)的用戶訪問(wèn)控制，用戶的申請(qǐng)應(yīng)填寫相關(guān)系統(tǒng)的申請(qǐng)表，須經(jīng)過(guò)應(yīng)用系統(tǒng)的歸口主管部門審核同意，由系統(tǒng)管理員授權(quán)并登記備案后，方可使用相應(yīng)的應(yīng)用系統(tǒng)。如果發(fā)生人員崗位變動(dòng)，業(yè)務(wù)部門信息安全主管通知部門信息安全員與相關(guān)應(yīng)用系統(tǒng)管理員聯(lián)系，告知系統(tǒng)管理員具體的人員變動(dòng)情況，便于系統(tǒng)管理員及時(shí)調(diào)整崗位變動(dòng)人員的系統(tǒng)訪問(wèn)權(quán)限。應(yīng)用系統(tǒng)的用戶必須遵守各應(yīng)用系統(tǒng)的相關(guān)管理規(guī)定，必須服從應(yīng)用系統(tǒng)的管理部門的檢查監(jiān)督和管理。禁止員工未經(jīng)授權(quán)使用系統(tǒng)實(shí)用工具。應(yīng)用系統(tǒng)用戶必須嚴(yán)格執(zhí)行保密制度。對(duì)各自的用戶帳號(hào)負(fù)責(zé)，不得轉(zhuǎn)借他人使用。重要應(yīng)用系統(tǒng)用戶清單及權(quán)限必須進(jìn)行定期評(píng)審。網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)訪問(wèn)控制所有員工在工作時(shí)間禁止利用公司網(wǎng)絡(luò)和互聯(lián)網(wǎng)專線訪問(wèn)違法網(wǎng)站及內(nèi)容?？蛻艏暗谌饺藛T不允許直接通過(guò)可訪問(wèn)公司資源的有線或無(wú)線網(wǎng)絡(luò)訪問(wèn)Internet，客戶及第三方人員如需訪問(wèn)Internet應(yīng)當(dāng)在專設(shè)的隔離區(qū)進(jìn)行。員工須通過(guò)VPN訪問(wèn)公司相關(guān)網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)。需要訪問(wèn)各種網(wǎng)絡(luò)服務(wù)的用戶須向本部門主管申請(qǐng)VPN帳號(hào)，由本部門主管通過(guò)郵件提交VPN帳號(hào)管理員，由VPN帳號(hào)管理員為其分配密鑰和帳號(hào)。網(wǎng)絡(luò)隔離公司與外部通過(guò)防火墻隔離，制定嚴(yán)格的VLAN劃分，對(duì)公司內(nèi)重要部門的訪問(wèn)進(jìn)行控制。運(yùn)行中心制定VLAN訪問(wèn)控制說(shuō)明。網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)設(shè)備配置管理員帳號(hào)由系統(tǒng)服務(wù)部指定專人統(tǒng)一管理，保存帳號(hào)及密碼的電子文件需加密保存，并存放在可靠的安全環(huán)境下。系統(tǒng)管理員密碼須符合服務(wù)器安全控制的密碼安全規(guī)定；管理人員不得向任何非授權(quán)人員泄露網(wǎng)絡(luò)設(shè)備的管理員帳號(hào)及密碼。信息交流控制措施信息交流方式包括數(shù)據(jù)交流、電子郵件、電話、紙質(zhì)文件、談話、錄音、會(huì)議、傳真、短信、IM工具等；可交流的信息，須符合《信息資產(chǎn)分類分級(jí)管理制度》里的密級(jí)規(guī)定;公司使用的信息交流設(shè)施在安全性上應(yīng)符合國(guó)家信息安全相關(guān)法律法規(guī)、上級(jí)主管機(jī)關(guān)以及本公司安全管理規(guī)定的要求；不能在公共場(chǎng)所或者敞開(kāi)的辦公室、沒(méi)有屋頂防護(hù)的會(huì)議室談?wù)摍C(jī)密信息；對(duì)信息交流應(yīng)作適當(dāng)?shù)姆婪?，如不要暴露敏感信息，避免被通過(guò)電話偷聽(tīng)或截?。粏T工、合作方以及任何其他用戶不得損害公司的利益，如誹謗、騷擾、假冒、未經(jīng)授權(quán)的采購(gòu)等；不得將敏感或關(guān)鍵信息放在打印設(shè)施上，如復(fù)印機(jī)、打印機(jī)和傳真，防止未經(jīng)授權(quán)人員的訪問(wèn)；在使用電子通信設(shè)施進(jìn)行信息交流時(shí)，所考慮的控制包括：防止交流的信息被截取、備份、修改、誤傳以及破壞；保護(hù)以附件形式傳輸?shù)碾娮有畔⒌某绦?；有業(yè)務(wù)信件和消息的保持和處置原則，要符合相關(guān)的國(guó)家或地方法規(guī)；使用傳真的人員注意下列問(wèn)題：未經(jīng)授權(quán)對(duì)內(nèi)部存儲(chǔ)的信息進(jìn)行訪問(wèn)，獲取信息；故意的或無(wú)意的程序設(shè)定，向特定的號(hào)碼發(fā)送信息；向錯(cuò)誤的號(hào)碼發(fā)送文件和信息，或者撥號(hào)錯(cuò)誤或者使用的存儲(chǔ)在機(jī)器中的號(hào)碼是錯(cuò)誤的。遠(yuǎn)程訪問(wèn)管理12.1遠(yuǎn)程接入的用戶認(rèn)證凡是接入公司的遠(yuǎn)程用戶的訪問(wèn)必須通過(guò)VPN并經(jīng)過(guò)認(rèn)證方可接入。認(rèn)證用戶必須使用8位以上復(fù)雜密碼。任何遠(yuǎn)程接入用戶不得將自己的用戶名、密碼提供給任何人，包括同事，家人。所有遠(yuǎn)程接入用戶的客戶端或個(gè)人電腦必須安裝防病毒軟件并且病毒庫(kù)升級(jí)到最新。12.2遠(yuǎn)程接入的審計(jì)遠(yuǎn)程接入用戶的操作必須要經(jīng)過(guò)接入設(shè)備的審計(jì)。應(yīng)記錄相關(guān)日志，對(duì)用戶行為監(jiān)控。無(wú)線網(wǎng)絡(luò)訪問(wèn)管理行政部應(yīng)協(xié)同系統(tǒng)服務(wù)部對(duì)無(wú)線網(wǎng)絡(luò)進(jìn)行授權(quán)管理；對(duì)需要使用無(wú)線網(wǎng)絡(luò)的設(shè)備，通過(guò)綁定其MAC地址授權(quán)訪問(wèn)，其他人員不允許通過(guò)公司無(wú)線網(wǎng)絡(luò)上網(wǎng)。如有已授權(quán)訪問(wèn)的設(shè)備，取消授權(quán)，應(yīng)即時(shí)對(duì)其MAC地址解綁。筆記本使用及安全配置規(guī)定筆記本電腦設(shè)備必須有嚴(yán)格的口令訪問(wèn)控制措施，口令設(shè)置需滿足公司安全策略要求。對(duì)無(wú)人看守的筆記本電腦設(shè)備必須實(shí)施物理保護(hù)，必須放在帶鎖的辦公室、抽屜或文件柜里。重要業(yè)務(wù)筆記本電腦設(shè)備丟失或被竊后應(yīng)及時(shí)報(bào)告給部門經(jīng)理和行政部。凡帶出公司使用而遺失、被偷盜等均由個(gè)人負(fù)全責(zé)賠償。除自然損壞外，凡人為損壞（如撞壞、跌壞、電源插錯(cuò)燒壞等）由本人負(fù)責(zé)修好，費(fèi)用由個(gè)人承擔(dān)。筆記本電腦中除工作所需的軟件外，不得安裝與工作無(wú)關(guān)的軟件。授權(quán)使用的筆記本電腦設(shè)備必須安裝公司要求的防病毒軟件。各部門對(duì)筆記本電腦設(shè)備定期進(jìn)行一次病毒軟件和操作系統(tǒng)補(bǔ)丁自檢，行政部進(jìn)行不定期抽查。筆記本電腦外出時(shí)禁止托運(yùn)，必須隨身攜帶。筆記本電腦上的重要資料應(yīng)即時(shí)做好備份，防止意外丟失。備份的設(shè)備或介質(zhì)應(yīng)符合《信息資產(chǎn)分類分級(jí)管理制度》中的保護(hù)要求。外部人員使用筆記本的規(guī)定出于安全考慮，一般不予考慮來(lái)訪人員接入公司內(nèi)部網(wǎng)絡(luò)。服務(wù)器安全控制引用文件：《訊鳥(niǎo)服務(wù)器安全管理規(guī)范》實(shí)施策略訪問(wèn)控制制度涉及的包括《重要服務(wù)器-應(yīng)用系統(tǒng)清單》《重要應(yīng)用系統(tǒng)權(quán)限評(píng)審表》。用戶申請(qǐng)權(quán)限時(shí)，填寫相關(guān)系統(tǒng)的申請(qǐng)表。每季度評(píng)審并填寫《重要應(yīng)用系統(tǒng)權(quán)限評(píng)審表》。相關(guān)記錄序號(hào)記錄名稱保存期限保存形式備注1重要服務(wù)器-應(yīng)用系統(tǒng)清單三年電子2重要應(yīng)用系統(tǒng)權(quán)限評(píng)審表三年電子文檔編號(hào)（由總裁辦填寫）密級(jí)內(nèi)部公開(kāi) 文檔發(fā)布級(jí)別公司級(jí)文檔發(fā)布及實(shí)行范圍全員制度試行日期（可選）制度執(zhí)行日期文檔起草人簽字：日期：文檔修訂人簽字：日期：修訂說(shuō)明合并網(wǎng)絡(luò)、網(wǎng)絡(luò)服務(wù);增加了通過(guò)VPN訪問(wèn)描述，增強(qiáng)了控制策略。備注：文檔負(fù)責(zé)人：簽字：日期：文檔審批信息安全管理者代表簽字：日期：文檔審批人簽字：日期：五、密碼控制管理制度目的和范圍為確保安全成為所開(kāi)發(fā)的信息系統(tǒng)一個(gè)有機(jī)組成部分，保證開(kāi)發(fā)過(guò)程安全，特制定本制度。適用于本公司所有信息系統(tǒng)的開(kāi)發(fā)活動(dòng)，信息系統(tǒng)內(nèi)在安全性的管理。本制度作為軟件開(kāi)發(fā)項(xiàng)目管理規(guī)定的補(bǔ)充，而不是作為軟件開(kāi)發(fā)項(xiàng)目管理的整體規(guī)范。引用文件下列文件中的條款通過(guò)本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。GB/T22080-2016/ISO/IEC27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系要求GB/T22081-2016/ISO/IEC27002:2013信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則職責(zé)和權(quán)限開(kāi)發(fā)部門：確保適當(dāng)和有效地使用密碼技術(shù)以保護(hù)信息的保密性、真實(shí)性和（或）完整性。密碼控制4.1使用密碼控制的策略控制描述應(yīng)開(kāi)發(fā)和實(shí)施使用密碼控制措施來(lái)保護(hù)信息的策略。實(shí)施指南制定密碼策略時(shí)，應(yīng)考慮下列（但不僅限于）內(nèi)容：組織間使用密碼控制的管理方法，包括保護(hù)業(yè)務(wù)信息的一般原則；使用加密技術(shù)保護(hù)通過(guò)可移動(dòng)介質(zhì)、設(shè)備或者通過(guò)通信線路傳輸?shù)拿舾行畔?；基于風(fēng)險(xiǎn)評(píng)估，應(yīng)確定需要的保護(hù)級(jí)別，并考慮需要的加密算法的類型、強(qiáng)度和質(zhì)量；加密可能帶來(lái)不利影響。由于某些控制措施依賴于內(nèi)容檢查（例如病毒檢測(cè)等），要求數(shù)據(jù)處于未加密狀態(tài)。3)用戶口令管理初始密碼在創(chuàng)建用戶時(shí)設(shè)定，初次登錄時(shí)操作系統(tǒng)或者管理員必須強(qiáng)制修改密碼，不能使用缺省設(shè)置的密碼。初始密碼樣本：orient11用戶忘記口令時(shí)，管理員必須在對(duì)該用戶進(jìn)行適當(dāng)?shù)纳矸葑R(shí)別后才能向其提供臨時(shí)口令。在向用戶提供臨時(shí)口令時(shí)，必須采用加密或其他安全傳輸途徑，以確保初始密碼不會(huì)被中途截取。不允許在計(jì)算機(jī)系統(tǒng)上以無(wú)保護(hù)的形式存儲(chǔ)口令。對(duì)于泄漏口令造成的損失，由用戶本人負(fù)責(zé)。不準(zhǔn)與其他人互相借用各類工作賬號(hào)。測(cè)試環(huán)境的賬號(hào)與生產(chǎn)環(huán)境的賬號(hào)使用不同的口令。4)口令的使用用戶應(yīng)保證口令安全，不得向其他任何人泄漏。應(yīng)避免在紙上記錄口令，或以明文方式記錄計(jì)算機(jī)內(nèi)。一旦有跡象表明系統(tǒng)或口令可能遭到破壞時(shí)，應(yīng)立即更改口令?？诹畹倪x擇應(yīng)參考以下規(guī)則：最少要有8個(gè)字符，且為數(shù)字和字母組合。密碼不可包含用戶帳號(hào)名稱的全部或部分文字。不要使用別人可以通過(guò)個(gè)人相關(guān)信息（如姓名、電話號(hào)碼、生日等）容易猜出或破解的口令。不要連續(xù)使用同一字符，不要全部使用數(shù)字，也不要全部使用字母，不要用英文單詞或重要記念日。系統(tǒng)用戶至少每季度更改一次口令，避免再次使用舊口令或半年內(nèi)循環(huán)使用舊口令。檢查重要服務(wù)器的系統(tǒng)口令是否定期進(jìn)行更改。首次登錄時(shí)應(yīng)更改臨時(shí)口令。不要在任何自動(dòng)登錄程序中使用口令，如在宏或功能鍵中存儲(chǔ)。不要共享個(gè)人用戶口令。4.2密鑰管理控制描述應(yīng)有密鑰管理以支持組織使用密碼技術(shù)。實(shí)施指南應(yīng)保護(hù)所有的密碼密鑰免遭修改、丟失和毀壞。另外，密碼和私有密鑰需要防范非授權(quán)的泄露。用來(lái)生成、存儲(chǔ)和歸檔密鑰的設(shè)備應(yīng)進(jìn)行物理保護(hù)。對(duì)于一些部門所使用的USBKEY密鑰必須做到專人保管、專人使用，不用時(shí)必須放置在保險(xiǎn)柜內(nèi)或帶鎖的鐵柜中妥善保管。軟件密鑰或證書(shū)須專人管理分發(fā)。4.3敏感數(shù)據(jù)加密1)控制描述組織就對(duì)敏感數(shù)據(jù)制定傳輸全程加密和保存進(jìn)行加密制度，對(duì)敏感字段也要進(jìn)行加密保存2）實(shí)施指南應(yīng)保護(hù)所有敏感數(shù)據(jù)免遭修改、丟失、泄漏。對(duì)敏感數(shù)據(jù)內(nèi)的敏感字段須加密保存。傳輸過(guò)程是要求全程不落地傳輸。在程序自動(dòng)執(zhí)行傳輸過(guò)程中，組織應(yīng)定義對(duì)敏感數(shù)據(jù)進(jìn)行全程加密和不落地傳輸?shù)姆桨?，并加以?zhí)行。文檔編號(hào)（由總裁辦填寫）密級(jí)內(nèi)部公開(kāi)文檔發(fā)布級(jí)別公司級(jí)文檔發(fā)布及實(shí)行范圍全員制度試行日期（可選）制度執(zhí)行日期文檔起草人簽字：日期：文檔修訂人：簽字：日期：修訂說(shuō)明：備注：文檔負(fù)責(zé)人：簽字：日期：文檔審批信息安全管理者代表簽字：日期：文檔審批人簽字：日期：六、操作安全管理補(bǔ)丁管理總則1.1為加強(qiáng)公司補(bǔ)丁的管理，規(guī)范補(bǔ)丁部署流程，保證信息系統(tǒng)補(bǔ)丁及時(shí)更新，確保公司企業(yè)信息網(wǎng)絡(luò)安全穩(wěn)定的運(yùn)行，特制定本規(guī)定。1.2本規(guī)定所涉及的補(bǔ)丁包括操作系統(tǒng)補(bǔ)丁、數(shù)據(jù)庫(kù)補(bǔ)丁和應(yīng)用系統(tǒng)補(bǔ)丁。適用范圍本規(guī)定適用范圍為東方中安信息技術(shù)有限公司公司。職責(zé)分工3.1操作系統(tǒng)補(bǔ)丁管理員3.1.1負(fù)責(zé)各操作系統(tǒng)（含瀏覽器、辦公軟件）補(bǔ)丁的管理。3.1.2負(fù)責(zé)收集操作系統(tǒng)漏洞信息，跟蹤最新補(bǔ)丁信息，評(píng)估漏洞威脅、成因和嚴(yán)重性。3.1.3負(fù)責(zé)提出操作系統(tǒng)漏洞修補(bǔ)要求和相關(guān)防護(hù)措施審批變更計(jì)劃。3.2數(shù)據(jù)庫(kù)補(bǔ)丁管理員3.2.1負(fù)責(zé)各數(shù)據(jù)庫(kù)補(bǔ)丁的管理。3.2.2負(fù)責(zé)收集數(shù)據(jù)庫(kù)漏洞信息，跟蹤最新補(bǔ)丁信息，評(píng)估漏洞威脅、成因和嚴(yán)重性。3.2.3負(fù)責(zé)提出數(shù)據(jù)庫(kù)漏洞修補(bǔ)要求和相關(guān)防護(hù)措施，審批變更計(jì)劃。3.3應(yīng)用系統(tǒng)補(bǔ)丁管理員3.3.1負(fù)責(zé)各應(yīng)用系統(tǒng)（含中間件）補(bǔ)丁的管理。3.3.2負(fù)責(zé)收集應(yīng)用系統(tǒng)漏洞信息，跟蹤最新補(bǔ)丁信息。評(píng)估漏洞威脅、成因和嚴(yán)重性。3.3.3負(fù)責(zé)提出應(yīng)用系統(tǒng)漏洞修補(bǔ)要求和相關(guān)防護(hù)措施，審批變更計(jì)劃。3.4補(bǔ)丁測(cè)試員3.4.1負(fù)責(zé)搭建測(cè)試環(huán)境，負(fù)責(zé)測(cè)試補(bǔ)丁和測(cè)試結(jié)果的記錄。3.4.2負(fù)責(zé)跟蹤最新補(bǔ)丁信息和下載補(bǔ)丁。3.5補(bǔ)丁安裝員3.5.1負(fù)責(zé)補(bǔ)丁的安裝或分發(fā)，負(fù)責(zé)制訂補(bǔ)丁修補(bǔ)計(jì)劃。3.5.2負(fù)責(zé)解決補(bǔ)丁安裝或分發(fā)過(guò)程中出現(xiàn)的問(wèn)題。補(bǔ)丁管理4.1補(bǔ)丁由測(cè)試部或系統(tǒng)服務(wù)部統(tǒng)一進(jìn)行下載、測(cè)試和安裝，重要一級(jí)二級(jí)硬件或系統(tǒng)，未經(jīng)許可不可私自下載安裝補(bǔ)丁。4.2補(bǔ)丁來(lái)源須為原廠商官方網(wǎng)站或原廠商工作人員，對(duì)于非法的補(bǔ)丁禁止安裝。4.34.3補(bǔ)丁安裝前應(yīng)先做好系統(tǒng)和數(shù)據(jù)備份工作，避免出現(xiàn)問(wèn)題進(jìn)行回退。經(jīng)嚴(yán)格測(cè)試通過(guò)后方可安裝。對(duì)測(cè)試不成功的補(bǔ)丁嚴(yán)禁安裝，測(cè)試結(jié)果記錄表見(jiàn)《補(bǔ)丁安裝計(jì)劃和實(shí)施方案》。4.4測(cè)試中發(fā)現(xiàn)的問(wèn)題應(yīng)做詳細(xì)分析，判斷發(fā)生問(wèn)題的原因并及時(shí)解決如果不能解決，須記錄發(fā)生問(wèn)題的環(huán)境，立即反饋給原廠商。4.5對(duì)于剛發(fā)布的嚴(yán)重等級(jí)漏洞，無(wú)補(bǔ)丁或未通過(guò)測(cè)試的補(bǔ)丁，可采用臨時(shí)解決辦法消除漏洞的威脅或者暫時(shí)接受該風(fēng)險(xiǎn)。4.6制訂補(bǔ)丁修補(bǔ)計(jì)劃須先分析信息資產(chǎn)、IT系統(tǒng)環(huán)境、IT網(wǎng)絡(luò)環(huán)境和信息資產(chǎn)重要等級(jí)，確定需要安裝的補(bǔ)丁和相應(yīng)嚴(yán)重等級(jí)，同時(shí)明確修補(bǔ)時(shí)間、修補(bǔ)方式和修補(bǔ)范圍。4.7補(bǔ)丁安裝須先填寫變更工單，或工作票。相應(yīng)補(bǔ)丁管理員和應(yīng)用系統(tǒng)管理員對(duì)變更的必要性、風(fēng)險(xiǎn)和修補(bǔ)計(jì)劃進(jìn)行評(píng)審，評(píng)審?fù)ㄟ^(guò)后由應(yīng)用系統(tǒng)管理員安排各級(jí)系統(tǒng)服務(wù)人員全過(guò)程配合補(bǔ)丁安裝員完成補(bǔ)丁的安裝和應(yīng)用系統(tǒng)的測(cè)試。4.8補(bǔ)丁安裝順序遵循“資產(chǎn)價(jià)值大、威脅等級(jí)高優(yōu)先安裝”的原則。對(duì)于漏洞級(jí)別為嚴(yán)重的補(bǔ)丁，無(wú)特殊情況須在補(bǔ)丁發(fā)布后1星期內(nèi)安裝。4.9補(bǔ)丁安裝完成后應(yīng)進(jìn)行全面檢查，以確認(rèn)補(bǔ)丁安裝情況，同時(shí)制定補(bǔ)丁清單列表。附則文檔編號(hào)（由總裁辦填寫）密級(jí)內(nèi)部公開(kāi)文檔發(fā)布級(jí)別公司級(jí)文檔發(fā)布及實(shí)行范圍制度試行日期（可選）制度執(zhí)行日期文檔起草人簽字：日期：文檔修訂人：簽字：日期：修訂說(shuō)明：備注：文檔負(fù)責(zé)人：簽字：日期：文檔審批信息安全管理者代表簽字：日期：文檔審批人簽字：日期：防范病毒及惡意軟件管理規(guī)定目的和范圍為了加強(qiáng)對(duì)計(jì)算機(jī)病毒的預(yù)防和治理，保護(hù)計(jì)算機(jī)系統(tǒng)安全，保障計(jì)算機(jī)系統(tǒng)的應(yīng)用與發(fā)展，特制定本規(guī)定。引用文件下列文件中的條款通過(guò)本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。GB/T22080-2016/ISO/IEC27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系要求GB/T22081-2016/ISO/IEC27002:2013信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》《信息安全事件管理制度》職責(zé)和權(quán)限信息安全工作小組：是公司的病毒和惡意軟件防治管理部門，負(fù)責(zé)公司的計(jì)算機(jī)病毒及惡意軟件防治管理工作，建立公司的計(jì)算機(jī)病毒防治管理制度。采取計(jì)算機(jī)病毒安全技術(shù)防治措施。對(duì)公司計(jì)算機(jī)信息系統(tǒng)使用人員進(jìn)行計(jì)算機(jī)病毒防治教育，及時(shí)檢測(cè)、清除計(jì)算機(jī)信息系統(tǒng)中的計(jì)算機(jī)病毒，并備有檢測(cè)、清除的記錄。病毒防治管理任何部門和個(gè)人必須在所管轄的計(jì)算機(jī)（包括虛擬系統(tǒng)，筆記本電腦）中安裝殺毒軟件。信息安全工作小組每個(gè)月對(duì)各部門的PC機(jī)和筆記本電腦的查殺毒情況進(jìn)行抽查。當(dāng)系統(tǒng)服務(wù)部或測(cè)試部發(fā)現(xiàn)重大系統(tǒng)漏洞時(shí)，將下發(fā)系統(tǒng)補(bǔ)丁安裝通知，信息安全小組負(fù)責(zé)收集和反饋安裝情況。任何部門和個(gè)人不得有下列傳播計(jì)算機(jī)病毒的行為：故意輸入計(jì)算機(jī)病毒，危害計(jì)算機(jī)信息系統(tǒng)安全。向他人提供含有計(jì)算機(jī)病毒的文件、軟件、媒體。其他傳播計(jì)算機(jī)病毒的行為。任何部門和個(gè)人應(yīng)當(dāng)接受對(duì)計(jì)算機(jī)病毒防治工作的監(jiān)督、檢查和指導(dǎo)。任何部門和個(gè)人有違反本辦法規(guī)定的，將予以警告，并責(zé)令其限期改正，逾期不改正的或因違反本辦法規(guī)定而引發(fā)如計(jì)算機(jī)信息系統(tǒng)癱瘓、程序和數(shù)據(jù)嚴(yán)重破壞等重大事故的，按公司《信息安全事件管理制度》等相關(guān)規(guī)定處理。個(gè)人電腦必須啟用防火墻控制安全。惡意軟件管理所有計(jì)算機(jī)（包括服務(wù)器和個(gè)人電腦）都使用殺毒軟件對(duì)惡意軟件進(jìn)行防護(hù)和檢查，并將軟件設(shè)置為自動(dòng)升級(jí)病毒庫(kù)。自管服務(wù)器的責(zé)任人需要定期對(duì)服務(wù)器的病毒庫(kù)及掃描內(nèi)容進(jìn)行檢查并記錄。員工使用殺毒軟件對(duì)個(gè)人電腦進(jìn)行掃描，每季度至少一次。實(shí)施策略信息安全工作小組抽查各部門個(gè)人電腦查殺病毒情況，每個(gè)月進(jìn)行一次，填寫《電腦防病毒及軟件表》。相關(guān)記錄序號(hào)記錄名稱保存期限保存形式備注1電腦防病毒及軟件表（賽門鐵克）三年電子文檔編號(hào)（由總裁辦填寫）密級(jí)內(nèi)部公開(kāi)文檔發(fā)布級(jí)別公司級(jí)文檔發(fā)布及實(shí)行范圍全員制度試行日期（可選）制度執(zhí)行日期文檔起草人簽字：日期：文檔修訂人：簽字：日期：修訂說(shuō)明：備注：文檔負(fù)責(zé)人：簽字：日期：文檔審批信息安全管理者代表簽字：日期：文檔審批人簽字：日期：軟件管理規(guī)定目的和范圍為加強(qiáng)公司設(shè)備安裝軟件的管理，特制定本規(guī)定。引用文件職責(zé)和權(quán)限系統(tǒng)服務(wù)部：是辦公軟件的歸口管理部門，負(fù)責(zé)每個(gè)季度對(duì)公司辦公軟件的安裝情況進(jìn)行檢查。各開(kāi)發(fā)和測(cè)試部：是開(kāi)發(fā)類軟件的管理部門。軟件管理3.1收集公司內(nèi)軟件來(lái)源主要有以下幾個(gè)方面：購(gòu)買商業(yè)軟件；自主開(kāi)發(fā)的內(nèi)部應(yīng)用軟件；免費(fèi)軟件的下載；系統(tǒng)服務(wù)部分發(fā)的辦公軟件。3.2登記信息安全工作小組登記分發(fā)的辦公軟件、公司購(gòu)買的商業(yè)軟件的安裝情況。各部門負(fù)責(zé)《電腦防病毒及軟件表》的填寫。3.3商業(yè)軟件的歸檔和存放購(gòu)買的商業(yè)軟件由公司自行歸檔和存放。購(gòu)買的商業(yè)軟件統(tǒng)一存放于指定位置。磁盤文件存放于指定存儲(chǔ)空間中，由專人負(fù)責(zé)整理，各軟件建立獨(dú)立的文件夾，標(biāo)識(shí)明確清晰，并做好軟件的備份工作。光盤統(tǒng)一存放入文件柜中，并有明顯易辨認(rèn)的標(biāo)識(shí)，便于整理和取用。3.4開(kāi)源軟件的管理3.4.1開(kāi)源軟件的選擇依據(jù)：(1)開(kāi)源協(xié)議謹(jǐn)慎使用GPL協(xié)議，GPL協(xié)議規(guī)定使用了該開(kāi)源庫(kù)的代碼也必須遵循GPL協(xié)議，即開(kāi)源和免費(fèi)。(2)功能、文檔、穩(wěn)定性、擴(kuò)展性功能是否能滿足業(yè)務(wù)需求，是否足夠穩(wěn)定(穩(wěn)定性測(cè)試)、文檔是否齊全、擴(kuò)展性是否足夠。性能要求較高庫(kù)需要性能對(duì)比測(cè)試。

(3)源碼修改a.個(gè)性化業(yè)務(wù)帶來(lái)的修改

盡量使用Wrap方式，而不要直接改源碼。實(shí)在繞不開(kāi)，可在Git上打上Tag，并注明詳細(xì)原因。

b.通用需求的修改

按源項(xiàng)目要求修改代碼，反饋回開(kāi)源社區(qū)，請(qǐng)求合并進(jìn)主分支。

源代碼修改原則：不要讓clone的副本變成孤島。(4)其他是否附有構(gòu)建腳本（buildscript）該開(kāi)源項(xiàng)目小組是否持續(xù)使用同一集成開(kāi)發(fā)環(huán)境。該開(kāi)源項(xiàng)目是否有清晰的roadmap。該項(xiàng)目是否設(shè)有問(wèn)題跟蹤器（issuetracker）？是否很快就有社區(qū)補(bǔ)丁推出？在社區(qū)中，關(guān)于該項(xiàng)目的問(wèn)題反饋是否迅速？其他的開(kāi)發(fā)者是否樂(lè)于使用該開(kāi)源項(xiàng)目，在社區(qū)中關(guān)于該項(xiàng)目的知識(shí)技巧是否很快傳播。有多少活躍的項(xiàng)目貢獻(xiàn)者？版本號(hào)管理是否清晰？對(duì)于來(lái)自社區(qū)的具體需求，該項(xiàng)目的改進(jìn)和集成情況？3.4.2開(kāi)源項(xiàng)目的標(biāo)準(zhǔn)(1)合適的文件和代碼合適的文件指的是要有自己的gitignore，合適的代碼是指代碼要符合代碼規(guī)范（如很簡(jiǎn)單的四空格縮進(jìn)很多Java開(kāi)源項(xiàng)目都做不到）。

(2)README.mdREADME.md是一個(gè)項(xiàng)目必不可少的，其中要求示例、文檔、引用方式、開(kāi)源的Licence齊全。對(duì)Android來(lái)說(shuō)示例可能包括DemoAPK、截圖。引用方式可以是Maven和Gradle引用方式。

軟件使用各部門負(fù)責(zé)軟件的使用，如有問(wèn)題及時(shí)反饋給信息安全工作小組。個(gè)人電腦辦公軟件首選安裝wps辦公軟件和任一款主流殺毒軟件。未經(jīng)許可，任何人不得將內(nèi)部使用的軟件外帶、傳播、販賣，不得將軟件用于任何違法或非正當(dāng)用途。計(jì)算機(jī)設(shè)備使用人員不得使用計(jì)算機(jī)設(shè)備處理正常工作以外的事務(wù)，不得私自改變計(jì)算機(jī)的安全配置，不得私自安裝與工作無(wú)關(guān)的軟件。相關(guān)記錄序號(hào)記錄名稱保存期限保存形式備注1電腦防病毒及軟件表三年紙質(zhì)/電子文檔編號(hào)（由總裁辦填寫）密級(jí)內(nèi)部公開(kāi)文檔發(fā)布級(jí)別公司級(jí)文檔發(fā)布及實(shí)行范圍全員制度試行日期（可選）制度執(zhí)行日期文檔起草人簽字：日期：文檔修訂人：簽字：日期：修訂說(shuō)明：備注：文檔負(fù)責(zé)人：簽字：日期：文檔審批信息安全管理者代表簽字：日期：文檔審批人簽字：日期：數(shù)據(jù)備份管理規(guī)定目的和范圍為確保數(shù)據(jù)的完整性及有效性，以便在發(fā)生信息安全事故時(shí)能夠準(zhǔn)確及時(shí)的恢復(fù)數(shù)據(jù)，避免業(yè)務(wù)的中斷，特制定本規(guī)定。引用文件下列文件中的條款通過(guò)本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。GB/T22080-2016/ISO/IEC27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系要求職責(zé)和權(quán)限各部門：負(fù)責(zé)對(duì)各自部門的重要信息進(jìn)行相關(guān)備份工作。備份管理4.1數(shù)據(jù)類型各部門根據(jù)業(yè)務(wù)的實(shí)際情況，識(shí)別需要備份的數(shù)據(jù)。備份數(shù)據(jù)包含但不僅限于各部門核心業(yè)務(wù)數(shù)據(jù)。涉及的部門備份數(shù)據(jù)如下：服務(wù)部：項(xiàng)目資料人力資源部：培訓(xùn)資料、合同財(cái)務(wù)部：財(cái)務(wù)系統(tǒng)賬套研發(fā)服務(wù)體系：源代碼4.2備份過(guò)程人力資源部由專人負(fù)責(zé)合同備份，定期將合同掃描，備份到U盤并妥善保管；人力資源部由專人負(fù)責(zé)培訓(xùn)資料的備份，出現(xiàn)新增內(nèi)容時(shí)，將所有培訓(xùn)資料備份到U盤并妥善保管；財(cái)務(wù)部的財(cái)務(wù)賬套由財(cái)務(wù)部自行進(jìn)行備份；研發(fā)部源代碼均通過(guò)SVN或VSS服務(wù)器集中管理，服務(wù)器備份工作由系統(tǒng)服務(wù)部負(fù)責(zé)；生產(chǎn)系統(tǒng)備份數(shù)據(jù)存放于NAS或其他存儲(chǔ)設(shè)備上，相關(guān)設(shè)備放置于安全的區(qū)域，由系統(tǒng)服務(wù)部負(fù)責(zé)。每一月做一次恢復(fù)性測(cè)試。文檔編號(hào)（由總裁辦填寫）密級(jí)內(nèi)部公開(kāi)文檔發(fā)布級(jí)別公司級(jí)文檔發(fā)布及實(shí)行范圍全員制度試行日期（可選）制度執(zhí)行日期文檔起草人簽字：日期：文檔修訂人：簽字：日期：修訂說(shuō)明：備注：文檔負(fù)責(zé)人：簽字：日期：文檔審批信息安全管理者代表簽字：日期：文檔審批人簽字：日期：系統(tǒng)監(jiān)控管理規(guī)定目的了解服務(wù)器的運(yùn)行狀態(tài)，檢測(cè)未經(jīng)授權(quán)的信息處理活動(dòng)，為安全事故提供證據(jù)，確保業(yè)務(wù)系統(tǒng)的穩(wěn)定性、可靠性、安全性。引用文件下列文件中的條款通過(guò)本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。GB/T22080-2016/ISO/IEC27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系要求GB/T22081-2016/ISO/IEC27002:2013信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則職責(zé)和權(quán)限系統(tǒng)服務(wù)部：負(fù)責(zé)公司網(wǎng)絡(luò)和系統(tǒng)訪問(wèn)活動(dòng)的監(jiān)控管理。系統(tǒng)監(jiān)控管理4.1日志的分類需監(jiān)控的日志包括但不僅限于以下類型：服務(wù)器事件日志管理員和操作員日志運(yùn)行中心監(jiān)控人員定期進(jìn)行日志的檢查。4.2日志的管理只有超級(jí)用戶可以訪問(wèn)和管理日志文件。由系統(tǒng)服務(wù)部管理員定期對(duì)服務(wù)器的日志進(jìn)行檢查、處理，并記錄確認(rèn)需要開(kāi)啟的審計(jì)項(xiàng)目，服務(wù)器的操作系統(tǒng)要根據(jù)安全需求開(kāi)啟安全日志審計(jì)功能，并對(duì)系統(tǒng)管理員組成員的系統(tǒng)活動(dòng)進(jìn)行審計(jì)。4.3容量管理系統(tǒng)管理員確定檢查頻率，監(jiān)控人員定期登錄系統(tǒng)查看CPU，硬盤、內(nèi)存的使用情況，發(fā)現(xiàn)問(wèn)題時(shí)第一時(shí)間通知各產(chǎn)品線負(fù)責(zé)人。管理員要做預(yù)防性維護(hù)，在服務(wù)器沒(méi)有業(yè)務(wù)操作時(shí)，每個(gè)月對(duì)服務(wù)器重起，防止服務(wù)器內(nèi)存泄露，防止系統(tǒng)意外崩潰；并查看服務(wù)器重起后所有服務(wù)是否啟動(dòng),業(yè)務(wù)系統(tǒng)是否正常運(yùn)行。4.4時(shí)鐘同步設(shè)置時(shí)鐘同步，服務(wù)器及監(jiān)控設(shè)備應(yīng)保持時(shí)鐘的一致性，公司配置時(shí)鐘服務(wù)器，其他設(shè)備通過(guò)NTP服務(wù)與時(shí)鐘服務(wù)器同步。所有生產(chǎn)系統(tǒng)的時(shí)鐘同步工作由系統(tǒng)管理員完成。5.相關(guān)記錄序號(hào)記錄名稱保存期限保存形式備注1日志檢查評(píng)審記錄三年紙質(zhì)/電子2重要服務(wù)器容量監(jiān)控評(píng)審表三年紙質(zhì)/電子3重要服務(wù)器和設(shè)備日志明細(xì)表三年紙質(zhì)/電子文檔編號(hào)（由總裁辦填寫）密級(jí)內(nèi)部公開(kāi)文檔發(fā)布級(jí)別公司級(jí)文檔發(fā)布及實(shí)行范圍制度試行日期（可選）制度執(zhí)行日期文檔起草人簽字：日期：文檔修訂人：簽字：日期：修訂說(shuō)明：備注：文檔負(fù)責(zé)人：簽字：日期：文檔審批信息安全管理者代表簽字：日期：文檔審批人簽字：日期：七、通信安全通信安全管理規(guī)定目標(biāo)通過(guò)控制網(wǎng)絡(luò)訪問(wèn)權(quán)限以及公司與外部的信息傳遞，防止對(duì)辦公網(wǎng)系統(tǒng)和應(yīng)用系統(tǒng)的非法訪問(wèn)。引用文件下列文件中的條款通過(guò)本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。GB/T22080-2016/ISO/IEC27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系要求GB/T22081-2016/ISO/IEC27002:2013信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則職責(zé)和權(quán)限各部門必須遵照本管理規(guī)范實(shí)行對(duì)網(wǎng)絡(luò)、口令和權(quán)限的管理，用戶必須按照本管理規(guī)范訪問(wèn)公司辦公網(wǎng)系統(tǒng)和應(yīng)用系統(tǒng)。Internet訪問(wèn)控制所有員工在工作時(shí)間禁止利用公司網(wǎng)絡(luò)和互聯(lián)網(wǎng)專線訪問(wèn)違法網(wǎng)站及內(nèi)容?？蛻艏暗谌饺藛T不允許直接通過(guò)可訪問(wèn)公司資源的有線或無(wú)線網(wǎng)絡(luò)訪問(wèn)Internet，客戶及第三方人員如需訪問(wèn)Internet應(yīng)當(dāng)在專設(shè)的隔離區(qū)進(jìn)行。網(wǎng)絡(luò)隔離公司與外部通過(guò)防火墻隔離，制定嚴(yán)格的VLAN劃分，對(duì)公司內(nèi)重要部門的訪問(wèn)進(jìn)行控制。系統(tǒng)服務(wù)部制定VLAN訪問(wèn)控制說(shuō)明。對(duì)不同的應(yīng)用系統(tǒng)的用戶信息及其他信息進(jìn)行網(wǎng)絡(luò)隔離。無(wú)線網(wǎng)絡(luò)訪問(wèn)管理服務(wù)部對(duì)無(wú)線網(wǎng)絡(luò)進(jìn)行密碼控制管理；員工對(duì)密碼的保密要求在《密碼控制管理制度》文件里做詳細(xì)規(guī)定。信息交流控制措施信息交流方式包括數(shù)據(jù)交流、電子郵件、電話、紙質(zhì)文件、談話、錄音、會(huì)議、傳真、短信、IM工具等；可交流的信息，須符合《信息資產(chǎn)分類分級(jí)管理制度》里的密級(jí)規(guī)定;公司使用的信息交流設(shè)施在安全性上應(yīng)符合國(guó)家信息安全相關(guān)法律法規(guī)、上級(jí)主管機(jī)關(guān)以及本公司安全管理規(guī)定的要求；對(duì)信息交流應(yīng)作適當(dāng)?shù)姆婪?，如不要暴露敏感信息，避免被通過(guò)電話偷聽(tīng)或截??；員工、合作方以及任何其他用戶不得損害公司的利益，如誹謗、騷擾、假冒、未經(jīng)授權(quán)的采購(gòu)等；不得將敏感或關(guān)鍵信息放在打印設(shè)施上，如復(fù)印機(jī)、打印機(jī)和傳真，防止未經(jīng)授權(quán)人員的訪問(wèn)；在使用電子通信設(shè)施進(jìn)行信息交流時(shí)，所考慮的控制包括：保護(hù)以附件形式傳輸?shù)碾娮有畔⒌某绦?；有業(yè)務(wù)信件和消息的保持和處置原則，要符合相關(guān)的國(guó)家或地方法規(guī)；在對(duì)外聯(lián)系中，應(yīng)注意安全保密，用Email發(fā)送機(jī)密信息必須符合公司的相關(guān)規(guī)定；因工作需要而傳遞公司或項(xiàng)目保密文件時(shí)，經(jīng)批準(zhǔn)后，可通過(guò)加密渠道傳遞；通過(guò)E-MAIL發(fā)送機(jī)密附件時(shí)，如有必要，附件必須加密，密碼通過(guò)其他方式告知對(duì)方。使用傳真的人員注意下列問(wèn)題：故意的或無(wú)意的程序設(shè)定，向特定的號(hào)碼發(fā)送信息；發(fā)送傳真時(shí)注意，禁止向錯(cuò)誤的號(hào)碼發(fā)送文件和信息，不要撥錯(cuò)號(hào)碼。所有員工簽署保密協(xié)議，在組織對(duì)信息安全需求有變化時(shí)進(jìn)行評(píng)審。文檔編號(hào)（由總裁辦填寫）密級(jí)內(nèi)部公開(kāi)文檔發(fā)布級(jí)別公司級(jí)文檔發(fā)布及實(shí)行范圍全員制度試行日期（可選）制度執(zhí)行日期文檔起草人簽字：日期：文檔修訂人：簽字：日期：修訂說(shuō)明：備注：文檔負(fù)責(zé)人：簽字：日期：文檔審批信息安全管理者代表簽字：日期：文檔審批人簽字：日期：電子郵件管理規(guī)定目標(biāo)維護(hù)公司以及個(gè)人信息的安全性、保障郵件傳輸?shù)目煽啃?、保持工作的高效率，特制定本?guī)定?？倓t1、公司對(duì)員工郵箱進(jìn)行統(tǒng)一規(guī)劃和管理。2、公司鼓勵(lì)和提倡各下屬以及員工采用電子郵件進(jìn)行內(nèi)外交流。3、員工或部門以電子郵件對(duì)外聯(lián)系是必須提供公司提供的、以相應(yīng)域名為后綴的郵箱***@。4、公司郵箱用戶的賬號(hào)名以員工中文姓名/英文姓名的全拼/縮寫字母為準(zhǔn)，如有重名，允許用戶自定義1-3位的識(shí)別碼，已有賬號(hào)員工可保留原賬號(hào)不變。5、在職人員名片以及公司其他對(duì)外宣傳資料上必須印有公司域名為后綴的郵件地址。管理權(quán)限和職責(zé)系統(tǒng)服務(wù)部：統(tǒng)一管理公司的電子郵件服務(wù)器。人力資源部：負(fù)責(zé)電子郵件的開(kāi)通、使用、維護(hù)和監(jiān)督檢查工作。使用郵箱用戶：應(yīng)熟練使用各種辦公軟件進(jìn)行郵件的收發(fā)。郵箱管理流程1、郵箱開(kāi)通：?jiǎn)T工在入職時(shí)，辦理入職手續(xù)時(shí)，由人力資源部統(tǒng)一開(kāi)通。2、郵箱關(guān)閉：?jiǎn)T工因離職不再使用公司業(yè)務(wù)郵箱，由人力資源部執(zhí)行注銷，特殊人員的郵箱賬號(hào)需要保留的，需經(jīng)總經(jīng)理批準(zhǔn)后方可注銷。3、公司郵箱賬號(hào)限本人使用，禁止借用他人使用，禁止非工作用途將公司郵箱公布于外部網(wǎng)絡(luò)。4、如有需要，經(jīng)部門主管向人力資源部申請(qǐng)，可開(kāi)通部門郵箱。郵箱使用1、一般郵件內(nèi)容不應(yīng)超過(guò)10M，如需發(fā)送較大附件，建議將附件拆分后分發(fā)送。2、不得傳遞與本人工作無(wú)關(guān)以及有害社會(huì)、企業(yè)安定的郵件。3、經(jīng)批準(zhǔn)用郵件訂閱報(bào)刊、新聞、論壇。4、部門員工可以向部門郵箱發(fā)送發(fā)給部門所有員工的郵件。文檔編號(hào)（由總裁辦填寫）密級(jí)內(nèi)部公開(kāi)文檔發(fā)布級(jí)別公司級(jí)文檔發(fā)布及實(shí)行范圍全員制度試行日期（可選）制度執(zhí)行日期文檔起草人簽字：日期：文檔修訂人：簽字：日期：修訂說(shuō)明：備注：文檔負(fù)責(zé)人：簽字：日期：文檔審批信息安全管理者代表簽字：日期：文檔審批人簽字：日期：信息安全交流控制制度目標(biāo)解決組織與外部方之間業(yè)務(wù)信息的安全傳輸，保護(hù)通過(guò)使用各種類型通信設(shè)施進(jìn)行的信息傳輸?？倓t1、公司對(duì)與外部組織或個(gè)人進(jìn)行信息傳輸進(jìn)行統(tǒng)一規(guī)劃和管理。2、公司鼓勵(lì)和提倡各下屬以及員工采用電子郵件進(jìn)行內(nèi)外交流，在采取了信息安全控制的措施的情況下，也可以使用其他方式對(duì)外進(jìn)行信息傳輸。3、使用電子郵件應(yīng)符合《電子郵件管理規(guī)定》中的相關(guān)要求。信息傳輸安全控制措施1、對(duì)傳輸前的信息進(jìn)行病毒掃描，防止病毒威脅擴(kuò)散。2、對(duì)一二級(jí)密級(jí)信息文件須加密傳輸。3、在使用任何通信手段前應(yīng)確認(rèn)接收方是真實(shí)可靠的?？赏ㄟ^(guò)電話、短信等方式進(jìn)行身份驗(yàn)證。4、所傳輸?shù)臉I(yè)務(wù)信息（包括消息）的保留和處理，要符合國(guó)家和地方法律法規(guī)規(guī)定。信息傳輸協(xié)議1、一級(jí)敏感信息采取全程不落地加密傳輸?shù)姆绞竭M(jìn)行，對(duì)信息中的敏感字段要進(jìn)行脫敏處理。對(duì)傳輸完成后的源文件，應(yīng)予以立即清除。2、對(duì)于二級(jí)敏感信息采取加密傳輸?shù)姆绞竭M(jìn)行?？杀４娼?jīng)加密的原文件，未加密的原文件應(yīng)被清除。3、與外部交流的重要信息，應(yīng)定義雙方的識(shí)別標(biāo)記，進(jìn)行電子簽名，以識(shí)別信息來(lái)源，保證信息來(lái)源的真實(shí)可靠。4、對(duì)重要的信息交流，雙方需簽訂交流協(xié)議，規(guī)定信息安全事態(tài)發(fā)生時(shí)的責(zé)任和義務(wù)、以及相關(guān)的保密責(zé)任和義務(wù)。5、信息系統(tǒng)或軟件自動(dòng)傳輸需交流的信息，須符合交流協(xié)議的規(guī)定，并按密級(jí)保護(hù)的要求操作。定期評(píng)審1、公司應(yīng)對(duì)信息安全交流管理以及信息安全管理體系每年度進(jìn)行一次安全評(píng)審2、公司應(yīng)與相關(guān)聯(lián)外部組織或內(nèi)部組織每年進(jìn)行一次信息安全管理溝通，以征求相關(guān)組織對(duì)公司信息安全的評(píng)價(jià)，以便于改進(jìn)。3、公司與相關(guān)外部組織或內(nèi)部組織溝通情況記入《信息安全管理體系意見(jiàn)表》，提交給信息安全管理領(lǐng)導(dǎo)小組，制定和落實(shí)整改措施。文檔編號(hào)（由總裁辦填寫）密級(jí)內(nèi)部公開(kāi)文檔發(fā)布級(jí)別公司級(jí)文檔發(fā)布及實(shí)行范圍全員制度試行日期（可選）制度執(zhí)行日期文檔起草人簽字：日期：文檔修訂人：簽字：日期：修訂說(shuō)明：備注：文檔負(fù)責(zé)人：簽字：日期：文檔審批信息安全管理者代表簽字：日期：文檔審批人簽字：日期：八、信息安全事件管理制度目的和范圍為加強(qiáng)和改進(jìn)信息安全事件管理；在發(fā)生信息安全事件時(shí)能及時(shí)報(bào)告，快速響應(yīng)，將損失控制在最小范圍；在發(fā)生信息安全事件后，能夠分析事故原因及產(chǎn)生影響、反饋處理結(jié)果、吸取事故教訓(xùn)；在發(fā)現(xiàn)信息安全異?，F(xiàn)象時(shí)，能及時(shí)溝通，采取有效措施，防止安全事故的發(fā)生；特制訂本管理制度。本制度適用于影響信息安全的所有事故以及安全異?，F(xiàn)象以及全體人員（包括外協(xié)人員、實(shí)習(xí)生、長(zhǎng)期客戶員工、來(lái)訪客戶等）。引用文件下列文件中的條款通過(guò)本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。GB/T22080-2016/ISO/IEC27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系要求GB/T22081-2016/ISO/IEC27002:2013信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則《業(yè)務(wù)連續(xù)性管理制度》職責(zé)和權(quán)限信息安全管理領(lǐng)導(dǎo)小組：負(fù)責(zé)對(duì)內(nèi)部信息安全事件的處理和獎(jiǎng)懲意見(jiàn)進(jìn)行審批；負(fù)責(zé)對(duì)糾正預(yù)防措施進(jìn)行審批。信息安全工作小組：負(fù)責(zé)組織制定內(nèi)部信息安全事件處理制度；聽(tīng)取信息安全事件的匯報(bào)，負(fù)責(zé)對(duì)信息安全事件進(jìn)行調(diào)查取證，提出處理措施，提出獎(jiǎng)懲意見(jiàn)以及糾正預(yù)防措施，負(fù)責(zé)信息安全有關(guān)的所有文件的管理與控制；負(fù)責(zé)組織制定項(xiàng)目信息安全事件處理制度；聽(tīng)取信息安全事件的匯報(bào)，負(fù)責(zé)對(duì)信息安全事件進(jìn)行調(diào)查取證，提出處理措施，提出獎(jiǎng)懲意見(jiàn)以及糾正預(yù)防措施，負(fù)責(zé)信息安全有關(guān)的所有文件的管理與控制。各部門：積極預(yù)防信息安全事件的發(fā)生；及時(shí)準(zhǔn)確的匯報(bào)信息安全事件，配合信息安全事件的調(diào)查取證工作；配合執(zhí)行處理措施，獎(jiǎng)懲決定以及糾正預(yù)防措施。異?，F(xiàn)象和事件發(fā)現(xiàn)人：異?，F(xiàn)象和事件發(fā)現(xiàn)人有義務(wù)及時(shí)準(zhǔn)確地報(bào)告異?，F(xiàn)象和事件的真實(shí)情況，并采取適當(dāng)?shù)呐R時(shí)措施制止事故的進(jìn)一步擴(kuò)大。信息安全異?，F(xiàn)象4.1信息安全異?，F(xiàn)象定義信息安全異?，F(xiàn)象是指被識(shí)別的一種系統(tǒng)、服務(wù)或網(wǎng)絡(luò)狀態(tài)的發(fā)生，表明一次可能的信息安全策略違規(guī)或某些防護(hù)措施失效，或者一種可能與安全相關(guān)但以前不為人知的一種情況。4.2信息安全異常現(xiàn)象處理流程圖1信息安全異?，F(xiàn)象處理流程圖信息安全異?，F(xiàn)象處理流程：異?，F(xiàn)象發(fā)現(xiàn)者應(yīng)及時(shí)上報(bào)信息安全工作小組，由工作小組指派相應(yīng)人員進(jìn)行處理。相應(yīng)人員判斷異?，F(xiàn)象是否為信息安全事件，如果是的話進(jìn)入信息安全事件處理流程；如果不是，由相應(yīng)人員對(duì)異?，F(xiàn)象進(jìn)行處理。信息安全事件5.1信息安全事件定義信息安全事件：是指辦公設(shè)備/計(jì)算機(jī)/網(wǎng)絡(luò)設(shè)備系統(tǒng)/信息管理系統(tǒng)的硬件、軟件、數(shù)據(jù)因故障/非法攻擊/病毒入侵/惡意破壞/非授權(quán)外傳/遺失/災(zāi)難等安全原因而遭到破壞、更改、泄露而造成業(yè)務(wù)活動(dòng)不能正常進(jìn)行或者涉密信息泄露或者在其他方面造成損失的事件。5.2信息安全事件分類5.2.1有害程序事件（MI）有害程序事件是指蓄意制造、傳播有害程序，或是因受到有害程序的影響而導(dǎo)致的信息安全事件。有害程序是指插入到信息系統(tǒng)中的一段程序，有害程序危害系統(tǒng)中數(shù)據(jù)、應(yīng)用程序或操作系統(tǒng)的保密性、完整性或可用性，或影響信息系統(tǒng)的正常運(yùn)行。有害程序事件包括計(jì)算機(jī)病毒事件、蠕蟲(chóng)事件、特洛伊木馬事件、僵尸網(wǎng)絡(luò)事件、混合攻擊程序事件、網(wǎng)頁(yè)內(nèi)嵌惡意代碼事件和其它有害程序事件等7個(gè)子類，說(shuō)明如下：a)計(jì)算機(jī)病毒事件（CVI）是指蓄意制造、傳播計(jì)算機(jī)病毒，或是因受到計(jì)算機(jī)病毒影響而導(dǎo)致的信息安全事件。計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的一組計(jì)算機(jī)指令或者程序代碼，它可以破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制；b)蠕蟲(chóng)事件（WI）是指蓄意制造、傳播蠕蟲(chóng)，或是因受到蠕蟲(chóng)影響而導(dǎo)致的信息安全事件。蠕蟲(chóng)是指除計(jì)算機(jī)病毒以外，利用信息系統(tǒng)缺陷，通過(guò)網(wǎng)絡(luò)自動(dòng)復(fù)制并傳播的有害程序；c)特洛伊木馬事件（THI）是指蓄意制造、傳播特洛伊木馬程序，或是因受到特洛伊木馬程序影響而導(dǎo)致的信息安全事件。特洛伊木馬程序是指?jìng)窝b在信息系統(tǒng)中的一種有害程序，具有控制該信息系統(tǒng)或進(jìn)行信息竊取等對(duì)該信息系統(tǒng)有害的功能；d)僵尸網(wǎng)絡(luò)事件（BI）是指利用僵尸工具軟件，形成僵尸網(wǎng)絡(luò)而導(dǎo)致的信息安全事件。僵尸網(wǎng)絡(luò)是指網(wǎng)絡(luò)上受到黑客集中控制的一群計(jì)算機(jī)，它可以被用于伺機(jī)發(fā)起網(wǎng)絡(luò)攻擊，進(jìn)行信息竊取或傳播木馬、蠕蟲(chóng)等其他有害程序；e)混合攻擊程序事件（BAI）是指蓄意制造、傳播混合攻擊程序，或是因受到混合攻擊程序影響而導(dǎo)致的信息安全事件?；旌瞎舫绦蚴侵咐枚喾N方法傳播和感染其它系統(tǒng)的有害程序，可能兼有計(jì)算機(jī)病毒、蠕蟲(chóng)、木馬或僵尸網(wǎng)絡(luò)等多種特征?；旌瞎舫绦蚴录部梢允且幌盗杏泻Τ绦蚓C合作用的結(jié)果，例如一個(gè)計(jì)算機(jī)病毒或蠕蟲(chóng)在侵入系統(tǒng)后安裝木馬程序等；f)網(wǎng)頁(yè)內(nèi)嵌惡意代碼事件（WBPI）是指蓄意制造、傳播網(wǎng)頁(yè)內(nèi)嵌惡意代碼，或是因受到網(wǎng)頁(yè)內(nèi)嵌惡意代碼影響而導(dǎo)致的信息安全事件。網(wǎng)頁(yè)內(nèi)嵌惡意代碼是指內(nèi)嵌在網(wǎng)頁(yè)中，未經(jīng)允許由瀏覽器執(zhí)行，影響信息系統(tǒng)正常運(yùn)行的有害程序；g)其它有害程序事件（OMI）是指不能包含在以上6個(gè)子類之中的有害程序事件。5.2.2網(wǎng)絡(luò)攻擊事件（NAI）網(wǎng)絡(luò)攻擊事件是指通過(guò)網(wǎng)絡(luò)或其他技術(shù)手段，利用信息系統(tǒng)的配置缺陷、協(xié)議缺陷、程序缺陷或使用暴力攻擊對(duì)信息系統(tǒng)實(shí)施攻擊，并造成信息系統(tǒng)異?；?qū)π畔⑾到y(tǒng)當(dāng)前運(yùn)行造成潛在危害的信息安全事件。網(wǎng)絡(luò)攻擊事件包括拒絕服務(wù)攻擊事件、后門攻擊事件、漏洞攻擊事件、網(wǎng)絡(luò)掃描竊聽(tīng)事件、網(wǎng)絡(luò)釣魚(yú)事件、干擾事件和其他網(wǎng)絡(luò)攻擊事件等7個(gè)子類，說(shuō)明如下：拒絕服務(wù)攻擊事件（DOSAI）是指利用信息系統(tǒng)缺陷、或通過(guò)暴力攻擊的手段，以大量消耗信息系統(tǒng)的CPU、內(nèi)存、磁盤空間或網(wǎng)絡(luò)帶寬等資源，從而影響信息系統(tǒng)正常運(yùn)行為目的的信息安全事件；后門攻擊事件（BDAI）是指利用軟件系統(tǒng)、硬件系統(tǒng)設(shè)計(jì)過(guò)程中留下的后門或有害程序所設(shè)置的后門而對(duì)信息系統(tǒng)實(shí)施的攻擊的信息安全事件；漏洞攻擊事件（VAI）是指除拒絕服務(wù)攻擊事件和后門攻擊事件之外，利用信息系統(tǒng)配置缺陷、協(xié)議缺陷、程序缺陷等漏洞，對(duì)信息系統(tǒng)實(shí)施攻擊的信息安全事件；網(wǎng)絡(luò)掃描竊聽(tīng)事件（NSEI）是指利用網(wǎng)絡(luò)掃描或竊聽(tīng)軟件，獲取信息系統(tǒng)網(wǎng)絡(luò)配置、端口、服務(wù)、存在的脆弱性等特征而導(dǎo)致的信息安全事件；網(wǎng)絡(luò)釣魚(yú)事件（PI）是指利用欺騙性的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)，使用戶泄漏重要信息而導(dǎo)致的信息安全事件。例如，利用欺騙性電子郵件獲取用戶銀行帳號(hào)密碼等；干擾事件（II）是指通過(guò)技術(shù)手段對(duì)網(wǎng)絡(luò)進(jìn)行干擾，或?qū)V播電視有線或無(wú)線傳輸網(wǎng)絡(luò)進(jìn)行插播，對(duì)衛(wèi)星廣播電視信號(hào)非法攻擊等導(dǎo)致的信息安全事件；其他網(wǎng)絡(luò)攻擊事件（ONAI）是指不能被包含在以上6個(gè)子類之中的網(wǎng)絡(luò)攻擊事件。5.2.3信息破壞事件（IDI）信息破壞事件是指通過(guò)網(wǎng)絡(luò)或其他技術(shù)手段，造成信息系統(tǒng)中的信息被篡改、假冒、泄漏、竊取等而導(dǎo)致的信息安全事件。信息破壞事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息竊取事件、信息丟失事件和其它信息破壞事件等6個(gè)子類，說(shuō)明如下：信息篡改事件（IAI）是指未經(jīng)授權(quán)將信息系統(tǒng)中的信息更換為攻擊者所提供的信息而導(dǎo)致的信息安全事件，例如網(wǎng)頁(yè)篡改等導(dǎo)致的信息安全事件；信息假冒事件（IMI）是指通過(guò)假冒他人信息系統(tǒng)收發(fā)信息而導(dǎo)致的信息安全事件，例如網(wǎng)頁(yè)假冒等導(dǎo)致的信息安全事件；信息泄漏事件（ILEI）是指因誤操作、軟硬件缺陷或電磁泄漏等因素導(dǎo)致信息系統(tǒng)中的保密、敏感、個(gè)人隱私等信息暴露于未經(jīng)授權(quán)者而導(dǎo)致的信息安全事件；信息竊取事件（III）是指未經(jīng)授權(quán)用戶利用可能的技術(shù)手段惡意主動(dòng)獲取信息系統(tǒng)中信息而導(dǎo)致的信息安全事件；信息丟失事件（ILOI）是指因誤操作、人為蓄意或軟硬件缺陷等因素導(dǎo)致信息系統(tǒng)中的信息丟失而導(dǎo)致的信息安全事件；其它信息破壞事件（OIDI）是指不能被包含在以上5個(gè)子類之中的信息破壞事件。5.2.4信息內(nèi)容安全事件（ICSI）信息內(nèi)容安全事件是指利用信息網(wǎng)絡(luò)發(fā)布、傳播危害國(guó)家安全、社會(huì)穩(wěn)定和公共利益的內(nèi)容的安全事件。信息內(nèi)容安全事件包括以下4個(gè)子類，說(shuō)明如下：違反憲法和法律、行政法規(guī)的信息安全事件；針對(duì)社會(huì)事項(xiàng)進(jìn)行討論、評(píng)論形成網(wǎng)上敏感的輿論熱點(diǎn)，出現(xiàn)一定規(guī)模炒作的信息安全事件；組織串連、煽動(dòng)集會(huì)游行的信息安全事件；其他信息內(nèi)容安全事件等4個(gè)子類。5.2.5設(shè)備設(shè)施故障（FF）設(shè)備設(shè)施故障是指由于信息系統(tǒng)自身故障或外圍保障設(shè)施故障而導(dǎo)致的信息安全事件，以及人為的使用非技術(shù)手段有意或無(wú)意的造成信息系統(tǒng)破壞而導(dǎo)致的信息安全事件。設(shè)備設(shè)施故障包括軟硬件自身故障、外圍保障設(shè)施故障、人為破壞事故、和其它設(shè)備設(shè)施故障等4個(gè)子類，說(shuō)明如下：軟硬件自身故障（SHF）是指因信息系統(tǒng)中硬件設(shè)備的自然故障、軟硬件設(shè)計(jì)缺陷或者軟硬件運(yùn)行環(huán)境發(fā)生變化等而導(dǎo)致的信息安全事件；外圍保障設(shè)施故障（PSFF）是指由于保障信息系統(tǒng)正常運(yùn)行所必須的外部設(shè)施出現(xiàn)故障而導(dǎo)致的信息安全事件，例如電力故障、外圍網(wǎng)絡(luò)故障等導(dǎo)致的信息安全事件；人為破壞事故（MDA）是指人為蓄意的對(duì)保障信息系統(tǒng)正常運(yùn)行的硬件、軟件等實(shí)施竊取、破壞造成的信息安全事件；或由于人為的遺失、誤操作以及其他無(wú)意行為造成信息系統(tǒng)硬件、軟件等遭到破壞，影響信息系統(tǒng)正常運(yùn)行的信息安全事件；其它設(shè)備設(shè)施故障（IF-OT）是指不能被包含在以上3個(gè)子類之中的設(shè)備設(shè)施故障而導(dǎo)致的信息安全事件。5.2.6災(zāi)害性事件（DI）災(zāi)害性事件是指由于不可抗力對(duì)信息系統(tǒng)造成物理破壞而導(dǎo)致的信息安全事件。災(zāi)害性事件包括水災(zāi)、臺(tái)風(fēng)、地震、雷擊、坍塌、火災(zāi)、恐怖襲擊、戰(zhàn)爭(zhēng)等導(dǎo)致的信息安全事件。4.2.7其他事件（OI）其他事件類別是指不能歸為以上6個(gè)基本分類的信息安全事件。5.3信息安全事件分級(jí)級(jí)別說(shuō)明安全事故（一級(jí)）造成業(yè)務(wù)系統(tǒng)運(yùn)行中斷，嚴(yán)重影響業(yè)務(wù)活動(dòng)進(jìn)行的;數(shù)據(jù)被破壞，無(wú)法恢復(fù)或者恢復(fù)時(shí)間過(guò)長(zhǎng)，超過(guò)30分鐘，嚴(yán)重影響業(yè)務(wù)活動(dòng)進(jìn)行的;一級(jí)，二級(jí)機(jī)密信息泄露，給公司造成較大損害的,或產(chǎn)生重大影響的;其它涉密信息泄露，給公司造成極大損害的，產(chǎn)生特別重大的社會(huì)影響的;將惡意代碼或其他有害程序傳播至公司，產(chǎn)生特別重大的社會(huì)影響的;客戶真實(shí)數(shù)據(jù)泄漏或者對(duì)客戶數(shù)據(jù)造成破壞的，產(chǎn)生特別重大的社會(huì)影響的;內(nèi)部人員（包括員工/外協(xié)人員/實(shí)習(xí)生/客戶/服務(wù)人員等）任何故意破壞信息系統(tǒng)/泄漏涉密信息的行為,產(chǎn)生特別重大的社會(huì)影響的;網(wǎng)絡(luò)設(shè)備受到攻擊，影響網(wǎng)絡(luò)暢通的安全事件，攻擊流量超過(guò)正常流量的30％，或者持續(xù)時(shí)間大于15分鐘的安全事件;相同業(yè)務(wù)一周重復(fù)出現(xiàn)的安全事件。利用相關(guān)信息平臺(tái)，傳播違法等不良信息，產(chǎn)生特別重大的社會(huì)影響的;嚴(yán)重安全事件（二級(jí)）數(shù)據(jù)被破壞，恢復(fù)時(shí)間較長(zhǎng)，對(duì)業(yè)務(wù)活動(dòng)進(jìn)行造成相當(dāng)影響的;一二級(jí)涉密信息泄露，給公司造成一定損害的;不遵守規(guī)章或者操作流程，造成客戶投訴或者給公司造成一定損害的使用不安全渠道傳輸信息，造成客戶投訴或者對(duì)公司潛在損害較大的。影響到各業(yè)務(wù)數(shù)據(jù)庫(kù)的，30分鐘內(nèi)可處理解決的安全事件。網(wǎng)絡(luò)設(shè)備受到攻擊，影響網(wǎng)絡(luò)暢通的安全事件，攻擊流量低于等于正常流量的30％，并持續(xù)時(shí)間小于等于15分鐘的安全事件。利用相關(guān)信息平臺(tái)，傳播違法等不良信息的;30分鐘內(nèi)已查明原因，但沒(méi)有在60分鐘內(nèi)解決完成的一般安全事件30分鐘內(nèi)未查明原因的一般安全事件。對(duì)影響惡劣的一般安全事件，應(yīng)升級(jí)為重大安全事件頁(yè)面內(nèi)容篡改；泄漏用戶信息、用戶數(shù)據(jù)、用戶密碼；泄漏設(shè)備相關(guān)信息，包括：管理權(quán)限、用戶使用權(quán)限、版本信息；一般安全事件（三級(jí)）對(duì)業(yè)務(wù)活動(dòng)進(jìn)行沒(méi)有造成太大影響，只影響到單臺(tái)應(yīng)用服務(wù)器，且為業(yè)務(wù)分布式服務(wù)器的安全事件，30分鐘內(nèi)已查明原因，可以在60分鐘內(nèi)解決的安全事件。數(shù)據(jù)被破壞，可以較快恢復(fù)，對(duì)業(yè)務(wù)活動(dòng)進(jìn)行沒(méi)有造成太大影響的;涉密信息泄露，沒(méi)有給公司造成明顯損害的;不遵守規(guī)章或者操作流程，沒(méi)有給公司造成明顯損害的;任何外來(lái)的非法攻擊/病毒入侵，尚沒(méi)有對(duì)業(yè)務(wù)活動(dòng)進(jìn)行造成明顯影響的;已發(fā)布相關(guān)安全公告的安全事件。信息安全事件處理流程5.3.1安全事件的發(fā)現(xiàn)相關(guān)部門應(yīng)建立監(jiān)控措施和日志查看制度，采用必要的技術(shù)手段，確保及時(shí)發(fā)現(xiàn)安全事件；相關(guān)部門根據(jù)風(fēng)險(xiǎn)評(píng)估、安全事件和安全告警的內(nèi)容，及時(shí)發(fā)現(xiàn)潛在安全事件；應(yīng)向所有員工和第三方服務(wù)商提供培訓(xùn)，使之認(rèn)識(shí)到發(fā)現(xiàn)并報(bào)告安全事件是其應(yīng)盡的義務(wù)。5.3.2安全事件的處理一般安全事件處理流程圖圖2一般安全事件處理流程圖一般安全事件處理流程：相關(guān)工程師、管理人員、運(yùn)營(yíng)安全工作人員在日常維護(hù)、巡檢、日志檢查等過(guò)程中發(fā)現(xiàn)異常，或接到其他人員的異常報(bào)告，并判斷為安全事件；事件發(fā)現(xiàn)者將事件發(fā)生時(shí)的情況，內(nèi)容包括事件發(fā)生的時(shí)間、地點(diǎn)系統(tǒng)名稱、現(xiàn)象描述、初步分析等，用郵件或電話報(bào)告給運(yùn)營(yíng)安全工作人員，并確認(rèn)相關(guān)人員可立即收到和處理。運(yùn)營(yíng)安全工作人員判斷事件安全級(jí)別，無(wú)法判斷或非一般安全事件則上報(bào)運(yùn)營(yíng)安全組長(zhǎng)按照嚴(yán)重安全事件處理；對(duì)于嚴(yán)重安全事件，啟動(dòng)相應(yīng)級(jí)別事件響應(yīng)流程；對(duì)于一般安全事件，運(yùn)營(yíng)安全工作人員應(yīng)協(xié)助運(yùn)營(yíng)安全副組長(zhǎng)直接處理解決問(wèn)題。一般應(yīng)在30分鐘內(nèi)查明原因，并且在60分鐘內(nèi)能夠處理完成并解決了問(wèn)題。如果在規(guī)定的時(shí)間范圍內(nèi)無(wú)法解決問(wèn)題，運(yùn)營(yíng)安全工作人員應(yīng)通過(guò)電話、傳真等方式通知報(bào)告運(yùn)營(yíng)安全組長(zhǎng)，并說(shuō)明對(duì)處理情況的反饋要求，啟動(dòng)相應(yīng)級(jí)別事件響應(yīng)流程。嚴(yán)重安全事件處理流程圖圖3嚴(yán)重安全事件處理