信息風(fēng)險(xiǎn)評(píng)估有關(guān)制度

信息安全管理有關(guān)制度

1總則

第1條為規(guī)范信息安全管理工作，加強(qiáng)過程管理和基本設(shè)施管

理的風(fēng)險(xiǎn)分析及防范，建立安全責(zé)任制，健全安全內(nèi)控制度，保證信

息系統(tǒng)的機(jī)密性、完整性、可用性，特制定本規(guī)定。

2合用范疇

第2條本規(guī)定合用于。

3管理對(duì)象

第3條管理對(duì)象指構(gòu)成計(jì)算機(jī)信息系統(tǒng)B勺系統(tǒng)、設(shè)備和數(shù)據(jù)等

信息資產(chǎn)和人員B勺安全。重要范疇涉及：人員安全、物理環(huán)境安全、

資產(chǎn)識(shí)別和分類、風(fēng)險(xiǎn)管理、物理和邏輯訪問控制、系統(tǒng)操作與運(yùn)營(yíng)

安全、網(wǎng)絡(luò)通訊安全、信息加密與解密、應(yīng)急與災(zāi)難恢復(fù)、軟件研發(fā)

與應(yīng)用安全、機(jī)密資源管理、第三方與外包安全、法律和原則日勺符合

性、項(xiàng)目與工程安全控制、安全檢查與審計(jì)等。

4第四章術(shù)語定義

DMZ:用于隔離內(nèi)網(wǎng)和外網(wǎng)B勺區(qū)域，此區(qū)域不屬于可信任B勺內(nèi)

網(wǎng)，也不是徹底開放給因特網(wǎng)。

容量：分為系統(tǒng)容量和環(huán)境容量?jī)煞矫?。系統(tǒng)容量涉及CPU、

內(nèi)存、硬盤存儲(chǔ)等C環(huán)境容量涉及電力供應(yīng)、濕度、溫度、空氣質(zhì)量

等。

安全制度：與信息安全有關(guān)的I制度文檔，涉及安全管理措施、原

則、指引和程序等。

安全邊界：用以明確劃分安全區(qū)域，如圍墻、大廈接待處、網(wǎng)段

等。

惡意軟件：涉及計(jì)算機(jī)病毒、網(wǎng)絡(luò)蠕蟲、木馬、流氓軟件、邏輯

炸彈等。

備份周期：根據(jù)備份管理措施制定的備份循環(huán)的周期，一種備份

周期的內(nèi)容相當(dāng)于一種完整B勺全備份。

系統(tǒng)工具：可以更改系統(tǒng)及應(yīng)用配備的程序被定義為系統(tǒng)工具，

如系統(tǒng)管理、維護(hù)工具、調(diào)試程序等。

消息驗(yàn)證：一種檢查傳播的電子消息與否有非法變更或者破壞B勺

技術(shù)，它可以在硬件或者軟件上實(shí)施。

數(shù)字簽名：一種保護(hù)電子文檔真實(shí)性和完整性B勺措施。例如，在

電子商務(wù)中可以使用它驗(yàn)證誰簽訂電子文檔，并檢查已簽訂文檔的內(nèi)

容與否被更改。

信息解決設(shè)備：泛指解決信息8勺所有設(shè)備和信息系統(tǒng)，涉及網(wǎng)絡(luò)、

服務(wù)器、個(gè)人電腦和筆記本電腦等。

不可抵賴性服務(wù)：用于解決交易糾紛中爭(zhēng)議交易與否發(fā)生B勺機(jī)

制。

電子化辦公系統(tǒng)：涉及電子郵件、KOA系統(tǒng)以及用于業(yè)務(wù)信息

傳送及共享的公司內(nèi)部網(wǎng)。

5安全制度方面

5.1安全制度規(guī)定

5.1.1本制度的詮釋

第4條所有帶有〃必須〃日勺條款都是強(qiáng)制性的。除非事先患上

到安全管理委員會(huì)的承認(rèn)，否則都要堅(jiān)決執(zhí)行。其他B勺條款則是強(qiáng)烈

建議的，只要實(shí)際可行就應(yīng)該被采用。

第5條所有員工都受本制度H勺約束，各部門領(lǐng)導(dǎo)有責(zé)任保證其

部門已實(shí)施足夠的安全控制措施，以保護(hù)信息安全。

第6條各部門的領(lǐng)導(dǎo)有責(zé)任保證其部門的員工理解本安全管

理制度、有關(guān)日勺原則和程序以及尋常B勺信息安全管理。

第7條安全管理代表（或者其指派的人員）將審核各部門安全

控制措施實(shí)施的精確性和完整性，此過程是公司例行內(nèi)部審計(jì)的一

部分。

5.1.2制度發(fā)布

第8條所有制度在創(chuàng)立和更新后，必須經(jīng)過相應(yīng)管理層的審

批。制度經(jīng)批準(zhǔn)之后必須告知所有有關(guān)人員。

5.1.3制度復(fù)審

第9條當(dāng)環(huán)境變化、技術(shù)更新或者業(yè)務(wù)自身發(fā)生變化時(shí)，必須

對(duì)安全制度重新進(jìn)行評(píng)審，并作出相應(yīng)的修正，以保證能有效地保護(hù)

公司的信息資產(chǎn)。

第10條安全管理委員會(huì)必須定期對(duì)本管理措施進(jìn)行正式的復(fù)

審，并根據(jù)復(fù)審所作的修正，指引有關(guān)員工采用相應(yīng)的行動(dòng)。

6組織安全方面

6.1組織內(nèi)部安全

6.1.1信息安全體系管理

第11條公司成立安全管理委員會(huì)，安全管理委員會(huì)是公司信息

安全管理B勺最高決策機(jī)構(gòu)，安全管理委員會(huì)H勺成員應(yīng)涉及總裁室主管

IT領(lǐng)導(dǎo)、公司安全審計(jì)負(fù)責(zé)人、公司法律負(fù)責(zé)人等。

第12條信息安全管理代表由信息安全管理委員會(huì)指定，普通應(yīng)

涉及稽核部IT稽核崗、信息管理部信息安全有關(guān)崗位及分公司IT崗。

第13條安全管理委員會(huì)通過清晰的方向、可見B勺承諾、具體的

分工，積極地支持信息安全工作，重要涉及如下幾方面：

1）擬定信息安全日勺目的符合公司B勺規(guī)定和有關(guān)制度；

2）闡明、復(fù)查和批準(zhǔn)信息安全管理制度；

3）復(fù)查信息安全管理制度執(zhí)行的有效性；

4）為信息安全的執(zhí)行提供明確B勺指弓|和有效的支持;

5）提供信息安全體系運(yùn)作所需要B勺資源

6）為信息安全在公司執(zhí)行定義明確的角色和職責(zé)；

7）批準(zhǔn)信息安全推廣和培訓(xùn)的籌畫和程序；

8）保證信息安全控制措施在公司內(nèi)被有效的執(zhí)行。

第14條安全管理委員會(huì)需要對(duì)內(nèi)部或者外部信息安全專家的

建議進(jìn)行評(píng)估，并檢查和調(diào)節(jié)建議在公司內(nèi)執(zhí)行的成果。

第15條必須舉辦信息安全管理會(huì)議，會(huì)議成員涉及安全管理委

員會(huì)、安全管理代表和其他有關(guān)的公司高層管理人員。

第16條信息安全管理會(huì)議必須每年定期舉辦，討論和審批信息

安全有關(guān)事宜，具體涉及如下內(nèi)容

1）復(fù)審本管理制度的有效性

2）復(fù)審技術(shù)變更帶來的影響

3）復(fù)審安全風(fēng)險(xiǎn)

4）審批信息安全措施及程序

5）審批信息安全建議

6）保證任何新項(xiàng)目規(guī)劃已考慮信息安全B勺需求

7）復(fù)審安全檢查成果和安全事故報(bào)告

8）復(fù)審安全控制實(shí)施H勺效果和影響

9）宣導(dǎo)和履行公司高層對(duì)信息安全管理日勺批示

6.1.2信息安全職責(zé)分配

第17條信息管理部門作為信息安全管理部門，負(fù)責(zé)信息安全管

理方略制定及實(shí)施，其重要職責(zé)：

（一）負(fù)責(zé)全公司信息安全管理和指引；

（二）牽頭制定全公司信息安全體系規(guī)范、原則和檢查指引，參

與我司信息系統(tǒng)工程建設(shè)的安全規(guī)劃；

（三）組織全公司安全檢查；

（四）配合全公司安全審計(jì)工作的開展；

（五）牽頭組織全公司安全管理培訓(xùn)；

（六）負(fù)責(zé)全公司安全方案日勺審核和安全產(chǎn)品B勺選型、購買。

（七）根據(jù)本規(guī)定、安全規(guī)范、技術(shù)原則、操作手冊(cè)實(shí)施各類安

全方略。

（八）負(fù)責(zé)各類安全方略的尋常維護(hù)和管理。

第18條各分公司信息管理部門作為信息安全管理部門，其重要

職責(zé)：

（一）根據(jù)本規(guī)定、信息安全體系規(guī)范、原則和檢查指引，組織

建立安全管理流程、手冊(cè)；

（二）組織實(shí)施內(nèi)部安全檢查；

（三）組織安全培訓(xùn)；

（四）負(fù)責(zé)機(jī)密信息和機(jī)密資源日勺安全管理；

（五）負(fù)責(zé)安全技術(shù)產(chǎn)品B勺使用、維護(hù)、升級(jí)；

（六）配合安全審計(jì)工作的開展；

（七）定期上報(bào)本單位信息系統(tǒng)安全狀況，反饋安全技術(shù)和管理

B勺意期口建議。

（八）根據(jù)本規(guī)定、安全規(guī)范、技術(shù)原則、操作手冊(cè)實(shí)施各類安

全方略。

（九）負(fù)責(zé)各類安全方略的尋常維護(hù)和管理。

6.1.3信息解決設(shè)備的授權(quán)

第19條新設(shè)備的采購和設(shè)備部署的審批流程應(yīng)該充分考慮信

息安全的規(guī)定。

第20條新設(shè)備在部署和使用之前，必須明確其用途和使用范

疇，并獲患上安全管理委員會(huì)的批準(zhǔn)。必須對(duì)新設(shè)備的硬件和軟件系

統(tǒng)進(jìn)行具體檢查，以保證它們的安全性和兼容性。

第21條除非獲患上安全管理委員會(huì)H勺授權(quán)，否則不容許使用私

人的信息解決設(shè)備來解決公司業(yè)務(wù)信息或者使用公司資源。

6.1.4獨(dú)立的信息安全審核

第22條必須對(duì)公司信息安全控制措施的實(shí)施狀況進(jìn)行獨(dú)立地

審核，保證公司的信息安全控制措施符合管理制度的規(guī)定。審核工作

應(yīng)由公司的審計(jì)部門或者專門提供此類服務(wù)的第三方組織負(fù)責(zé)執(zhí)行。

負(fù)責(zé)安全審核的人員必須具有相應(yīng)的技能和經(jīng)驗(yàn)。

第23條獨(dú)立日勺信息安全審核必須每年至少進(jìn)行一次。

6.2第三方訪問B勺安全性

6.2.1明確第三方訪問的風(fēng)險(xiǎn)

第24條必須對(duì)第三方對(duì)公司信息或者信息系統(tǒng)B勺訪問進(jìn)行風(fēng)

險(xiǎn)評(píng)估，并進(jìn)行嚴(yán)格控制，有關(guān)控制須考慮物理上和邏輯上訪問時(shí)

安全風(fēng)險(xiǎn)。惟獨(dú)在風(fēng)險(xiǎn)被消除或者降低至何接受的水平時(shí)才容許其

訪問。

第25條第三方涉及但不限于：

1）硬件和軟件廠商的支持人員和其他外包商

2）監(jiān)管機(jī)構(gòu)、外部顧問、外部審計(jì)機(jī)構(gòu)和合伙火伴

3）暫時(shí)員工、實(shí)習(xí)生

4）清潔工和保安

5）公司B勺客戶

第26條第三方對(duì)公司信息或者信息系統(tǒng)的訪問類型涉及但不

限于：

1）物理的訪問，例如：訪問公司大廈、職場(chǎng)、數(shù)據(jù)中心等；

2）邏輯的訪問，例如：訪問公司日勺數(shù)據(jù)庫、信息系統(tǒng)等；

3）與第三方之間的網(wǎng)絡(luò)連接，例如：固定的連接、暫時(shí)H勺遠(yuǎn)程連

接；

第27條第三方所有的訪問申請(qǐng)都必須經(jīng)過信息安全管理代表

B勺審批，只提供其工作所須的最小權(quán)限和滿足其工作所需B勺至少資

源，并且需要定期對(duì)第三方B勺訪問權(quán)限進(jìn)行復(fù)查。第三方對(duì)重要信息

系統(tǒng)或者地點(diǎn)的訪問和操作必須有有關(guān)人員陪伴。

第28條公司負(fù)責(zé)與第三方溝通B勺人員必須在第三方接觸公司

信息或者信息系統(tǒng)前,主動(dòng)告知第三方B勺職責(zé)、義務(wù)和需要遵守B勺規(guī)定,

第三方必須在清晰并批準(zhǔn)后才干接觸相應(yīng)信息或者信息系統(tǒng)。所有對(duì)

第三方日勺安全規(guī)定必須涉及在與其簽訂的合約中。

6.2.2當(dāng)與客戶接觸時(shí)強(qiáng)調(diào)信息安全

第29條必須在容許客戶訪問信息或者信息系統(tǒng)前識(shí)別并登口

其需要遵守的安全需求。采用相應(yīng)的保護(hù)措施保護(hù)客戶訪問的信息

或者信息系統(tǒng)。

6.2.3與第三方簽訂合約的安全規(guī)定

第30條與第三方合約中應(yīng)涉及必要的安全規(guī)定，如：訪問、

解決、管理公司信息或者信息系統(tǒng)的安全規(guī)定。

7信息資產(chǎn)與人員安全

7.1資產(chǎn)責(zé)任

7.1.1資產(chǎn)的清單

第31條應(yīng)清晰識(shí)別所有H勺資產(chǎn)，所有與信息有關(guān)的重要資產(chǎn)都

應(yīng)該在資產(chǎn)清單中標(biāo)出，并及時(shí)維護(hù)更新。這些資產(chǎn)涉及但不限于：

1）信息：數(shù)據(jù)庫和數(shù)據(jù)文獻(xiàn)、系統(tǒng)文檔、顧客手冊(cè)、培訓(xùn)材料、

操作手冊(cè)、業(yè)務(wù)持續(xù)性籌畫、系統(tǒng)恢復(fù)籌畫、備份信息和合同等。

2）軟件：應(yīng)用軟件、系統(tǒng)軟件、開辟工具以及實(shí)用工具等。

3）實(shí)體：計(jì)算機(jī)設(shè)備（解決器、顯示屏、筆記本電腦、調(diào)制解調(diào)

器等）、通訊設(shè)備（路由器、程控電話交換機(jī)、傳真機(jī)等）、存儲(chǔ)設(shè)備、

磁介質(zhì)（磁帶和磁盤等）、其他技術(shù)設(shè)備（電源、空調(diào)器等）、機(jī)房等。

4）服務(wù)：通訊服務(wù)（專線）。

第32條資產(chǎn)清單必須每年至少審核一次。在購買新資產(chǎn)之前必

須進(jìn)行安全評(píng)估。資產(chǎn)交付后，資產(chǎn)清單必須更新。資產(chǎn)的風(fēng)險(xiǎn)評(píng)估

必須每年至少一次，重要評(píng)估目前已部署安全控制措施的有效性。

第33條實(shí)體資產(chǎn)需要貼上合適的標(biāo)簽。

7.1.2資產(chǎn)的管理權(quán)

第34條所有資產(chǎn)都應(yīng)該被具體闡明，必須指明具體日勺管理者。

管壬里者可以是個(gè)人，也可以是某個(gè)部門。管理者是部門B勺資產(chǎn)則由部

門主管負(fù)責(zé)監(jiān)護(hù)。

第35條資產(chǎn)管理者的職責(zé)是：

1）擬定資產(chǎn)的保密級(jí)別分類和訪問管理措施；

2）定期復(fù)查資產(chǎn)的分類和訪問管理措施。

7.1.3資產(chǎn)的合理使用

第36條必須識(shí)別信息和信息系統(tǒng)的使用準(zhǔn)則，形成文獻(xiàn)并實(shí)

施。使用準(zhǔn)則應(yīng)涉及：

1）使用范疇

2）角色和權(quán)限

3）使用者應(yīng)負(fù)的責(zé)任

4）與其他系統(tǒng)交互H勺規(guī)定

第37條所有訪問信息或者信息系統(tǒng)B勺員工、第三方必須清晰要

訪問資源的使用準(zhǔn)則，并承擔(dān)他們的責(zé)任。公司的所有信息解決設(shè)備（

涉及個(gè)人電腦）只能被使用于工作有關(guān)日勺活動(dòng)，不患上用來炒股、

玩游戲等。濫用信息解決設(shè)備B勺員工將受到紀(jì)律處分。

7.2信息分類

7.2.1信息分類原則

第38條所有信息都應(yīng)該根據(jù)其敏感性、重要性以及業(yè)務(wù)所規(guī)定

B勺訪問限制進(jìn)行分類和標(biāo)記。

第39條信息管理者負(fù)責(zé)信息的分類,并對(duì)其進(jìn)行定期檢查，以

保證分類B勺對(duì)B勺。當(dāng)信息被發(fā)布到公司外部，或者經(jīng)過一段時(shí)間后信

息的敏感度發(fā)生變化時(shí)，信息需要重新分類。

第40條信息口勺保密限度從高到低分為絕密、機(jī)密、秘密和非

保密四種級(jí)別。以電子形式保存的信息或者管理信息資產(chǎn)的系統(tǒng)，需

根據(jù)信息的敏感度進(jìn)行標(biāo)記。具有不同分類信息B勺系統(tǒng)，必須按照

其中的最高保密級(jí)別進(jìn)行分類。

7.2.2信息標(biāo)記和解決

第41條必須建立相應(yīng)的保密信息解決規(guī)范。對(duì)于不同B勺保密級(jí)

別，應(yīng)明確闡明如下信息活動(dòng)的解決規(guī)定：

1）復(fù)制

2）保存和保管（以物理或者電子方式）

3）傳送（以郵寄、傳真或者電子郵件B勺方式）

4）銷毀

第42條電子文檔和系統(tǒng)輸出的信息（打印報(bào)表和磁帶等）應(yīng)帶

有合適的信息分類標(biāo)記。對(duì)于打印報(bào)表，其保密級(jí)別應(yīng)顯示在每頁的

頂端或者底部。

第43條將保密信息發(fā)送到公司以外時(shí)，負(fù)責(zé)傳送信息B勺工作人

員應(yīng)在分發(fā)信息之前，先告知對(duì)方文檔的保密級(jí)別及其相應(yīng)的解決規(guī)

定。

7.3人員安全

7.3.1信息安全意識(shí)、教育和培訓(xùn)

第44條所有公司員工和第三方人員必須接受涉及安全性規(guī)定、

信息解決設(shè)備的對(duì)的使用等內(nèi)容的培訓(xùn)，并應(yīng)該及時(shí)理解和學(xué)習(xí)公司

對(duì)安全管理制度和原則的更新。

第45條應(yīng)該至少每年向員工提供一次安全意識(shí)培訓(xùn)，其內(nèi)容涉

及但不限于：

1）安全管理委員會(huì)下達(dá)H勺安全管理規(guī)定

2）信息保密的責(zé)任

3）普通性安全守則

4）信息分類

5）安全事故報(bào)告程序

6）電腦病毒爆發(fā)時(shí)B勺應(yīng)對(duì)措施

7）災(zāi)難發(fā)生時(shí)的應(yīng)對(duì)措施

第46條應(yīng)該對(duì)系統(tǒng)管理員、開辟人員進(jìn)行安全技能方面的培

訓(xùn)，至少每年一次。員工和第三方人員在開始工作后90天內(nèi)，必須

進(jìn)行技術(shù)和安全方面日勺培訓(xùn)。

第47條災(zāi)難恢復(fù)演習(xí)應(yīng)至少每年舉辦一次。

7.3.2懲戒過程

第48條違背公司安全管理制度、原則和程序的員工將受到紀(jì)律

處分。在對(duì)信息安全事件調(diào)查結(jié)束后，必須對(duì)事件中B勺有關(guān)人員根據(jù)

公司B勺懲戒規(guī)定進(jìn)行懲罰。紀(jì)律處分涉及但不限于：

1）通報(bào)J比評(píng)

2）警告

3）記過

4）解除勞動(dòng)合同

5）法律訴訟

第49條當(dāng)員工在接受可能波及解除勞動(dòng)合同和法律訴訟的違

規(guī)調(diào)查時(shí)，其直接領(lǐng)導(dǎo)應(yīng)暫停受調(diào)查員工的工作職務(wù)和其訪問權(quán)限，

涉及物理訪問、系統(tǒng)應(yīng)用訪問和網(wǎng)絡(luò)訪問等。員工在接受調(diào)查時(shí)可以

陳述觀點(diǎn)，提出異議，并有進(jìn)一步申訴B勺權(quán)力。

7.3.3資產(chǎn)歸還

第50條在終結(jié)雇傭、合同或者合同時(shí)，所有員工及第三方人

員必須歸還所使用B勺全部公司資產(chǎn)。需要?dú)w還H勺資產(chǎn)涉及但不限于:

1）帳號(hào)和訪問權(quán)限

2）公司的電子或者紙質(zhì)文檔

3）公司購買B勺硬件和軟件資產(chǎn)

4）公司購買H勺其他設(shè)備

第51條如果在非公司資產(chǎn)上保存有公司日勺資產(chǎn)，必須在帶出公

司前歸還或者刪除公司的資產(chǎn)。

7.3.4刪除訪問權(quán)限

第52條在終結(jié)或者變更雇傭、合同、合同時(shí)，必須刪除所有員

工及第三方人員對(duì)信息和信息系統(tǒng)B勺訪問權(quán)限，或者根據(jù)變更進(jìn)行相

應(yīng)的調(diào)節(jié)。所有刪端口調(diào)節(jié)操作必須在最后上班日之前完畢。

第53條對(duì)于公用的資源，必須進(jìn)行及時(shí)的調(diào)節(jié)，例如：公用的

帳號(hào)必須即將更改密碼。

第54條在已經(jīng)擬定員工或者第三方終結(jié)或者變更意向后，必須

及時(shí)對(duì)他們?nèi)丈讬?quán)限進(jìn)行限制，只保存終結(jié)或者變更所需要的權(quán)限。

8物理和環(huán)境安全方面

8.1安全區(qū)域

8.1.1物理安全邊界

第55條在公司的物理環(huán)境里，應(yīng)該對(duì)需要保護(hù)B勺區(qū)域根據(jù)其重

要性劃分為不同B勺安全區(qū)域。特殊是有重要設(shè)備B勺安全區(qū)域（例如機(jī)

房）應(yīng)該部署相應(yīng)日勺物理安全控制。

第56條在大廈的統(tǒng)一入口處必須設(shè)立有專人值守的接待區(qū)域，

在特殊重要B勺安全區(qū)域也應(yīng)該設(shè)立類似的接待區(qū)域。

第57條在非辦公時(shí)間內(nèi)，重要的安全區(qū)域必須安排保安定時(shí)巡

視。任何時(shí)候，公司內(nèi)必須至少有一位保安值班。保安值班表應(yīng)至少

每月調(diào)節(jié)一次。

8.1.2安全區(qū)域訪問控制

第58條在非辦公時(shí)間，所有進(jìn)入安全區(qū)域B勺入口都應(yīng)該受到控

制，例如上鎖。任何時(shí)候，重要安全區(qū)域B勺所有出入口必須受到嚴(yán)格

的訪問控制，保證惟獨(dú)授權(quán)的員工才可以進(jìn)入此區(qū)域。

第59條對(duì)于設(shè)有訪問控制的）安全區(qū)域，必須定期審核并及E寸更

新其訪問權(quán)限。所有員工都必須佩戴一種身份識(shí)別通行證，有責(zé)任保

證通行證的安全并不患上轉(zhuǎn)借別人。員工離職時(shí)必須交還通行證，同

步取銷其所有訪問權(quán)限。

第60條所有來賓的有關(guān)資料都必須具體記載在來賓進(jìn)出登記

表中，并向獲準(zhǔn)進(jìn)入日勺來賓發(fā)放來賓通行證。同步，必須有相應(yīng)B勺程

序以保證回收所發(fā)放的來賓通行證。來賓進(jìn)出登記表必須至少保存1

年，記錄內(nèi)容應(yīng)涉及但不限于：

1）來賓姓名

2）來賓身份

3）來賓工作單位

4）來訪事由

5）負(fù)責(zé)接待的員工

6）來賓通行證號(hào)碼

7）進(jìn)入日勺日期和時(shí)間

8）離開H勺日期和時(shí)間

8.1.3辦公場(chǎng)所和設(shè)施安全

第61條放置敏感或者重要設(shè)備日勺區(qū)域（例如機(jī)房）應(yīng)盡量不引

人注目，給外面的信息應(yīng)盡量至少，不應(yīng)該有明顯的標(biāo)志指明敏感

區(qū)域B勺所在位置和用途。這些區(qū)域還應(yīng)該被予以相應(yīng)的保護(hù)，保護(hù)

措施涉及但不限于：

1）所有出入口必須安裝物理訪問控制措施

2）使用來賓登記表以便記錄來訪信息

3）嚴(yán)禁吸煙

第62條必須對(duì)支持核心性業(yè)務(wù)活動(dòng)的設(shè)備提供足夠B勺物理訪

問控制。所有安全區(qū)麻口出入口必須通過閉路電視進(jìn)行監(jiān)控。普通會(huì)

議室或者其他公眾場(chǎng)合必須與安全區(qū)域隔離開來。無人值守日勺時(shí)候，

辦公區(qū)中B勺信息解決設(shè)備必須從物理上進(jìn)行保護(hù)。門和窗戶必須鎖

好。

8.1.4防范外部和環(huán)境威脅

第63條辦公場(chǎng)所和機(jī)房B勺設(shè)計(jì)和建設(shè)必須充分考慮火災(zāi)、洪

水、地震、爆炸、騷亂等天災(zāi)或者人為災(zāi)難，并采用額外的控制措施

加以保護(hù)。

第64條機(jī)房必須增長(zhǎng)額外日勺物理控制，選用B勺場(chǎng)地應(yīng)盡量安

全，并盡量避免受到災(zāi)害的影響。機(jī)房必須有防火、防潮、防塵、防

盜、防磁、防鼠等設(shè)施。

第65條機(jī)房建設(shè)必須符合國(guó)標(biāo)GB2887-89《計(jì)算機(jī)場(chǎng)地技術(shù)

條件》和GB9361-88《計(jì)算站場(chǎng)地安全規(guī)定》中的規(guī)定。

第66條機(jī)房?jī)?nèi)消防措施必須滿足如下規(guī)定：

1）必須安裝消防設(shè)備，并定期檢查。

2）應(yīng)該指定消防指J軍員。

3）機(jī)房?jī)?nèi)嚴(yán)禁寄存易燃材料，每周例行檢查一次。

4）必須安裝煙感及其他火警探測(cè)器和滅火裝置。應(yīng)每季度定期檢

查這些裝備，保證它們能有效運(yùn)作。

5）必須在明顯位置張貼火災(zāi)逃生路線圖、滅火設(shè)備平面放置圖以

及安全出口B勺位置。

6）安全出口必須有明顯標(biāo)記。

7）應(yīng)該訓(xùn)練員工熟悉使用消防設(shè)施。

8）緊急事件發(fā)生時(shí)必須提供緊急照明。

9）所有疏散路線都必須時(shí)刻保持暢通。

10）必須保證防火門在火災(zāi)發(fā)生時(shí)可以啟動(dòng)。

11）每年應(yīng)至少舉辦一次火災(zāi)撤離演習(xí)，使工作人員熟知火災(zāi)撤

離的過程。

8.1.5在安全區(qū)域工作

第67條員工進(jìn)入機(jī)房日勺訪問授權(quán)，不能超過其工作所需的范

疇。必須定期檢查訪問權(quán)限B勺分配并及時(shí)更新。機(jī)房的訪問權(quán)限應(yīng)不

同于進(jìn)入大樓其他區(qū)域H勺權(quán)限。

第68條所有需要進(jìn)入機(jī)房的來賓都必須提前申請(qǐng)。必須維護(hù)和

及時(shí)更新來賓記錄，以掌握來賓進(jìn)入機(jī)房的具體狀況。記錄中應(yīng)具體

闡明來賓B勺姓名、進(jìn)入與離開B勺日期與時(shí)間,申請(qǐng)者以及進(jìn)入B勺因素。

機(jī)房來賓記錄至少保存一年。來賓必須患上到明確許可后，在專人陪

伴下才干進(jìn)入機(jī)房。

第69條機(jī)房B勺保護(hù)應(yīng)在專家B勺指引下進(jìn)行，必須安裝合適的安

全防護(hù)和檢測(cè)裝置。機(jī)房?jī)?nèi)嚴(yán)禁吸煙、飲食和拍攝。

8.1.6機(jī)房操作日志

第70條必須記錄機(jī)房管理員的操作行為,以便其行為可以追

蹤。操作記錄必須備份和維護(hù)并妥善保管，防止被破壞。

第71條在機(jī)房值班人員交接時(shí),上一班值班人員所遺留的問題

以及從事B勺工作應(yīng)明確交待給下一班，保證有關(guān)操作的延續(xù)性。

8.2設(shè)備安全

8.2.1設(shè)備的安頓及保護(hù)

第72條必須對(duì)設(shè)備實(shí)施安全控制，以減少環(huán)境危害和非法的訪

問。應(yīng)該考慮的因素涉及但不限于：

1）水、火

2）煙霧、灰塵

3）震動(dòng)

4）俗加

5）電源干擾、電磁輻射

第73條設(shè)備必須放置在遠(yuǎn)離水災(zāi)B勺地方，并根據(jù)需要考慮安裝

漏水警報(bào)系統(tǒng)。

應(yīng)急開關(guān)如電閘、煤氣開關(guān)和水閘等都必須清晰地做好標(biāo)記，并

且能容易訪問。

設(shè)備都應(yīng)該裝有合適的漏電保險(xiǎn)絲或者斷路器進(jìn)行保護(hù)。

放置設(shè)備B勺區(qū)域必須滿足廠商提供的設(shè)備環(huán)境規(guī)定。

設(shè)備的操作必須遵守廠商提供B勺操作規(guī)范。

通信路線和電纜必須從物理上進(jìn)行保護(hù)。

8.2.2支持設(shè)施

第74條支持設(shè)施可以朝物理場(chǎng)所、設(shè)備等B勺正常運(yùn)作，例如：

電力設(shè)施、空調(diào)、排水設(shè)施、消防設(shè)施、靜電保護(hù)設(shè)施等。

必須采用保護(hù)措施使設(shè)備免受電源故障或者電力異常的破壞。

必須驗(yàn)證電力供應(yīng)與否滿足廠商設(shè)備對(duì)電源B勺規(guī)定。

每年應(yīng)至少對(duì)支持設(shè)施進(jìn)行一次安全檢查。

工作環(huán)境中增長(zhǎng)新設(shè)備時(shí)，必須對(duì)電力、空調(diào)、地板等支持設(shè)施

日勺負(fù)荷進(jìn)行審核。

必須設(shè)立后備電源，例如不間斷電源(UPS)或者發(fā)機(jī)電。對(duì)需

要配備后備電源的設(shè)備裝置進(jìn)行審核，保證后備電源可以滿足這些

設(shè)備B勺正常工作。

每年必須至少對(duì)備用電源/進(jìn)行一次測(cè)試。

應(yīng)急電源開關(guān)應(yīng)位于機(jī)房B勺緊急出口附近，以便緊急狀況發(fā)生時(shí)

可以迅速切斷電源。

電纜應(yīng)根據(jù)供電電壓和頻率B勺不同而互相隔離。

所有電纜都應(yīng)帶有標(biāo)簽，標(biāo)簽上H勺編碼應(yīng)記錄歸檔。

電纜應(yīng)從物理上加以保護(hù)。

8.2.3設(shè)備維護(hù)

第75條所有生產(chǎn)設(shè)備必須有足夠的維護(hù)保障，核心設(shè)備必須提

供7x24的現(xiàn)場(chǎng)維護(hù)支持。所有生產(chǎn)設(shè)備必須定期進(jìn)行防止性維護(hù)。

惟獨(dú)經(jīng)過批準(zhǔn)B勺、受過專業(yè)培訓(xùn)的工作人員才干進(jìn)行維護(hù)工作。設(shè)備

的所有維護(hù)工作都應(yīng)該記錄歸檔。如果設(shè)備需要搬離安全區(qū)域進(jìn)行修

理，必須獲患上批準(zhǔn)并卸載其存儲(chǔ)介質(zhì)。

第76條必須建立設(shè)備故障報(bào)告流程。對(duì)于需要進(jìn)行重大維修B勺

設(shè)備，流程還應(yīng)該涉及設(shè)備檢修的報(bào)告,及換用備用設(shè)備B勺流程。

8.2.4管轄區(qū)域外設(shè)備安全

第77條筆記本電腦顧客必須保護(hù)好筆記本電腦的安全，防止筆

記本電腦損壞或者被盜竊。

第78條如果將設(shè)備帶出公司，設(shè)備擁有者必須親自或者指定專

人保護(hù)設(shè)備B勺安全。設(shè)備擁有者必須對(duì)設(shè)備在公司場(chǎng)所外B勺安全負(fù)

責(zé)。

8.2.5設(shè)備的安全解決或者再運(yùn)用

第79條再運(yùn)用或者報(bào)廢之前，設(shè)備所具有B勺所有存儲(chǔ)裝置（例

如硬盤等）都必須通過嚴(yán)格檢查，保證所有敏感數(shù)據(jù)和軟件已被刪

除或者改寫，并且不可能被恢復(fù)。應(yīng)該通過風(fēng)險(xiǎn)評(píng)估來決定與否徹

底銷毀、送修還是丟棄具有敏感數(shù)據(jù)時(shí)已損壞設(shè)備。

9通信和操作管理方

9.1操作程序和職責(zé)

9.1.1規(guī)范的操作程序

第80條必須為所有的業(yè)務(wù)系統(tǒng)建立操作程序,其內(nèi)容涉及但不

限于：

1）系統(tǒng)重啟、備份和恢復(fù)的措施

2）普通性錯(cuò)誤解決日勺操作指南

3）技術(shù)支持人員的聯(lián)系措施

4）與其他系統(tǒng)B勺依賴性和解決的優(yōu)先級(jí)

5）硬件的配備管理

第81條操作程序必須征患上管理者口勺批準(zhǔn)才干對(duì)其進(jìn)行修改。

操作程序必須及時(shí)更新，更新條件涉及但不限于：

1）應(yīng)用軟件口勺變更

2）硬件配備的變更

9.1.2變更控制

第82條必須建立變更管理程序來控制系統(tǒng)的變更，所有變更都

必須遵守變更管理程序B勺規(guī)定。程序內(nèi)容涉及但不限于：

1）識(shí)別和記錄變更祈求

2）評(píng)估變更B勺可行性、變更籌畫和可能帶來口勺潛在影響

3）變更的測(cè)試

4）審批的流程

5）明確變更失敗B勺恢復(fù)籌畫和負(fù)責(zé)人

6）變更B勺驗(yàn)收

第83條重要變更必須制定籌畫，并在測(cè)試環(huán)境下進(jìn)行足夠的測(cè)

試后，才干在生產(chǎn)系統(tǒng)中實(shí)施。所有變更必須涉及變更失敗B勺應(yīng)對(duì)?昔

施和恢復(fù)籌畫。所有變更必須獲患上授權(quán)和批準(zhǔn)，變更的申請(qǐng)和審批

不患上為同一種員工。對(duì)變更需要波及H勺硬件、軟件和信息等對(duì)象

都應(yīng)標(biāo)

記出來并進(jìn)行相應(yīng)評(píng)估。變更在實(shí)施前必須告知到有關(guān)人員。

第84條變更的實(shí)施應(yīng)該安排在對(duì)業(yè)務(wù)影響最小B勺時(shí)間段進(jìn)行，

盡量減少對(duì)業(yè)務(wù)正常運(yùn)營(yíng)的影響。在生產(chǎn)系統(tǒng)安裝或者更新軟件前，

必須對(duì)系統(tǒng)進(jìn)行備份。變更完畢后，有關(guān)的文檔（如系統(tǒng)需求文檔、

設(shè)計(jì)文檔、操作手冊(cè)、顧客手冊(cè)等）必須患上到更新，舊的文檔必

須進(jìn)行備份。

第85條必須對(duì)變更進(jìn)行復(fù)查，以保證變更沒有對(duì)原來的系統(tǒng)環(huán)

境導(dǎo)致破壞。必須完整記錄整個(gè)變更過程，并將其妥善保管。變更日勺

記錄應(yīng)至少每月復(fù)查一次。

9.1.3職責(zé)分離

第86條系統(tǒng)管理員和系統(tǒng)開辟人員B勺職責(zé)必須明確分開。同一

解決過程中B勺重要任務(wù)不應(yīng)該由同一種人來完畢，以防止欺詐和誤操

作B勺發(fā)生。

第87條所有職責(zé)分離的控制必須記錄歸檔，作為責(zé)任分工時(shí)根

據(jù)。無法采用職責(zé)分離時(shí)，必須采用其他N勺控制，例如活動(dòng)監(jiān)控、審

核跟蹤評(píng)估以及管理監(jiān)督等。

9.1.4開辟、測(cè)試和生產(chǎn)系統(tǒng)分離

第88條不應(yīng)給開辟人員提供超過其開辟所需范疇B勺權(quán)限。如果

開辟人員需要訪問生產(chǎn)系統(tǒng)，必須經(jīng)過運(yùn)營(yíng)人員的授權(quán)和管理。

第89條生產(chǎn)、測(cè)流口開辟應(yīng)分別使用不同的系統(tǒng)環(huán)境。開辟人

員不患上在生產(chǎn)環(huán)境中更改編碼或者操作生產(chǎn)系統(tǒng)。不患上在生產(chǎn)系

統(tǒng)上擅自安裝開辟工具（例如編譯程序及其他系統(tǒng)公用程序等），

并做好已有開辟工具B勺訪問控制。開辟和測(cè)試環(huán)境使用日勺測(cè)試數(shù)據(jù)

不能包具有敏感信息。

9.1.5事件管理程序

第90條必須建立事件管理程序,并根據(jù)事件影響的嚴(yán)重限度制

定其所屬類別,同步闡明相應(yīng)的解決措施和負(fù)責(zé)人。必須根據(jù)事件的

嚴(yán)重限度，定義響應(yīng)B勺范疇、時(shí)間和完畢事件解決B勺時(shí)間。

第91條系統(tǒng)B勺修復(fù)必須患上到系統(tǒng)管理者的批準(zhǔn)方可執(zhí)行。

第92條所有事件報(bào)告必須記錄歸檔,并由部門主管或者指定人

員妥善保管。必須對(duì)事件的解決狀況進(jìn)行監(jiān)控,對(duì)超時(shí)時(shí)解決提出

改善建議并跟進(jìn)改善效果。

9.2第三方服務(wù)交付管理

9.2.1服務(wù)交付

第93條第三方提供的服務(wù)必須滿足安全管理制度B勺規(guī)定。第三

方提供的服務(wù)必須滿足公司業(yè)務(wù)持續(xù)性H勺規(guī)定。

第94條必須保存第三方提供的服務(wù)、報(bào)告和記錄并定期評(píng)審,

至少每半年一次。評(píng)審內(nèi)容應(yīng)涉及：

1）服務(wù)內(nèi)容和質(zhì)量與否滿足合同規(guī)定；

2）服務(wù)報(bào)告與否真實(shí)。

9.2.2第三方服務(wù)的變更管理

第95條服務(wù)變化時(shí)，必須重新對(duì)服務(wù)與否滿足安全管理措施進(jìn)

行評(píng)估。在服務(wù)變更時(shí)需要考慮：

1）服務(wù)價(jià)格的增長(zhǎng)；

2）新B勺服務(wù)需求；

3）公司信息安全管理制度B勺變化；

4）公司在信息安全方面新的控制。

9'3針對(duì)惡意軟件B勺保護(hù)措施

9.3.1對(duì)惡意軟件的控制

第96條必須建立一套病毒防治體系，以便防止病毒對(duì)公司帶來

B勺影響。所有服務(wù)器、個(gè)人電腦和筆記本電腦都應(yīng)該安裝公司規(guī)定日勺

防病毒軟件，并及時(shí)更新防病毒軟件。所有存進(jìn)計(jì)算機(jī)B勺信息（例如

接收到的郵件、下載的文獻(xiàn)等）都必須經(jīng)過病毒掃描。員工和第三方

廠商從外界帶來的存儲(chǔ)介質(zhì)在使用之前必須進(jìn)行病毒掃描。

第97條所有員工都應(yīng)該接受防病毒知識(shí)B勺培訓(xùn)和指引。

第98條公司內(nèi)發(fā)現(xiàn)的病毒、計(jì)算機(jī)或者應(yīng)用程序的異常行為，

都必須作為安全事件進(jìn)行報(bào)告。

第99條必須定期審核控制惡意軟件措施B勺有效性。一旦發(fā)現(xiàn)感

染病毒,必須即將把機(jī)器從網(wǎng)絡(luò)中斷開。在病毒沒有被徹底清除之前,

嚴(yán)禁將其重新連接到網(wǎng)絡(luò)上。

9.4備份

9.2.1信息備份

第100條所有服務(wù)器、個(gè)人電腦和筆記本電腦必須根據(jù)業(yè)務(wù)需求

定期進(jìn)行備份。系統(tǒng)在重大變更之前和之后必須進(jìn)行備份。

第101條備份管理措施必須獲患上管理層B勺審批以保證符合業(yè)

務(wù)需求。備份管理措施必須至少每季度進(jìn)行一次復(fù)查,以保證沒有

發(fā)生未授權(quán)或者意外的更改。

第102條應(yīng)該保存多于1個(gè)備份周期的備份，但重要業(yè)務(wù)信息應(yīng)

至少保存3個(gè)備份周期B勺備份。備份資料和相應(yīng)的恢復(fù)操作手冊(cè)必須

定期傳送到異地進(jìn)行保存。異地必須與主站點(diǎn)有一定的距離，以避免

受主站點(diǎn)的災(zāi)難波及。

第103條必須對(duì)異地保存的備份信息實(shí)施安全保護(hù)措施,其保護(hù)

原則應(yīng)和主站點(diǎn)相一致。必須定期測(cè)試備份介質(zhì)，保證其可用性。必

須定期檢查和測(cè)試恢復(fù)環(huán)節(jié)，保證它們的有效性。備份系統(tǒng)必須進(jìn)行

監(jiān)控，以保證其穩(wěn)定性和可用性。

9.5網(wǎng)絡(luò)管理

9.5.1網(wǎng)絡(luò)控制

第104條網(wǎng)絡(luò)管理和操作系統(tǒng)管理B勺職責(zé)應(yīng)該彼此分離,并由不

同B勺員工承擔(dān)。必須明擬定義網(wǎng)絡(luò)管理的職責(zé)和義務(wù)。惟獨(dú)患」倒許

可時(shí)員工才可以使用網(wǎng)絡(luò)管理系統(tǒng)。

第105條必須建立相應(yīng)的控制機(jī)制，保護(hù)路由表和防火墻安全管

理措施等網(wǎng)絡(luò)參數(shù)的完整性。保護(hù)通過公網(wǎng)傳送敏感數(shù)據(jù)B勺機(jī)密性、

完整性和可用性。

第106條進(jìn)行網(wǎng)絡(luò)合同兼容性的評(píng)估時(shí)應(yīng)考慮將來新增網(wǎng)絡(luò)設(shè)

備B勺規(guī)定。任］即隹備接進(jìn)網(wǎng)絡(luò)B勺新設(shè)備，在進(jìn)網(wǎng)前都必須通過合同兼

容性的評(píng)估和安全檢查。

第107條必須對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)控和管理。所有網(wǎng)絡(luò)故障都必須向上

級(jí)報(bào)告。

第108條必須建立互聯(lián)網(wǎng)的訪問管理措施。除非患上到授權(quán),

否則禁止訪問外部網(wǎng)絡(luò)的服務(wù)。

9.6介質(zhì)的I管理

9.6.1可挪移介質(zhì)的管理

第109條可挪移計(jì)算機(jī)存儲(chǔ)介質(zhì)（例如磁帶、光盤等）必須有合

適時(shí)訪問控制。存儲(chǔ)介質(zhì)上必須設(shè)立標(biāo)簽，以標(biāo)記其類型和用途。標(biāo)

簽應(yīng)使用代碼，以避免直接標(biāo)記存儲(chǔ)介質(zhì)上的內(nèi)容。標(biāo)記用H勺代碼需

要記錄并歸檔。

第110條必須建立和維護(hù)介質(zhì)清單，并對(duì)介質(zhì)的借用和歸還進(jìn)行

記錄。應(yīng)保證備有足夠的存儲(chǔ)介質(zhì)，以備使用。

第111條寄存在存儲(chǔ)介質(zhì)內(nèi)的絕密和機(jī)密信息必須受到妥善保

護(hù)。

第112條存儲(chǔ)介質(zhì)B勺寄存環(huán)境必須滿足介質(zhì)規(guī)定的環(huán)境條件（例

如溫度、濕度、空氣質(zhì)量等）。

第U3條備份介質(zhì)必須存儲(chǔ)在防火柜中。應(yīng)該對(duì)介質(zhì)的壽命進(jìn)行

管理，在介質(zhì)壽命結(jié)束前一年，將信息拷貝到新B勺介質(zhì)中。

9.6.2介質(zhì)的銷毀

第U4條應(yīng)建立存儲(chǔ)介質(zhì)的報(bào)廢規(guī)范,涉及但不限于：

1）紙質(zhì)文檔

2）語音資料及其他錄音帶

3）復(fù)寫紙

4）磁帶

5）m

6）光存儲(chǔ)介質(zhì)

第115條所有不會(huì)被再運(yùn)用的敏感文檔都必須根據(jù)定義B勺信息

密級(jí)采用合適日勺方式進(jìn)行銷毀。

第U6條所有報(bào)廢及過期的存儲(chǔ)介質(zhì)必須妥善銷毀。

9.6.3信息解決程序

第117條介質(zhì)的信息分類，必須采用寄存信息中的最高保密級(jí)

別。

第118條應(yīng)根據(jù)介質(zhì)中信息的分類級(jí)別，采用相應(yīng)措施來保護(hù)介

質(zhì)B勺輸出環(huán)境。

9.6.4系統(tǒng)文檔的安全

第119條存取具有敏感信息的文檔，必須獲患上相應(yīng)文檔管理者

B勺批準(zhǔn)。具有敏感信息B勺文檔應(yīng)保存在安全B勺地方，未經(jīng)許可不患上

訪問。具有敏感信息的文檔通過內(nèi)部網(wǎng)等?是供訪問時(shí)，應(yīng)采用訪問控

制加以保護(hù)。

9.7信息交換

9.7.1信息交換管理措施和程序

第120條必須根據(jù)信息的類型和保密級(jí)別，定義信息在交換過程

中應(yīng)遵循的安全規(guī)定。

第121條所有員工和第三方人員都必須遵守公司的信息交換管

理措施。

第122條未經(jīng)許可，公司內(nèi)部不容許安裝、使用無線通信設(shè)備。

第123條使用加密技術(shù)保護(hù)信息B勺保密性、完整性和真實(shí)性。敏

感信息帶出公司必須獲患上直接領(lǐng)導(dǎo)或者信息管理者的授權(quán)。

第124條必須建立控制機(jī)制來保護(hù)運(yùn)用音頻、傳真和視頻通信設(shè)

備進(jìn)行交換的信息。

第125條電話錄音系統(tǒng)應(yīng)該配備密碼，以防非法訪問。

第126條在使用傳真機(jī)中已存儲(chǔ)的號(hào)碼時(shí)，傳真之前必須驗(yàn)證號(hào)

碼。

第127條挪移通訊設(shè)備（例如手機(jī),PDA等）不應(yīng)存儲(chǔ)公司敏

9.7.2交換合同

第128條跟外界進(jìn)行信息和軟件交換必須簽訂合同，其內(nèi)容必須

涉及：

1）發(fā)送方和接收方B勺責(zé)任

2）明確發(fā)送和接收B勺方式

3）制定信息封裝和傳播日勺技術(shù)原則

4）數(shù)據(jù)丟失的有關(guān)責(zé)任

5）聲明信息的保密級(jí)別和保護(hù)規(guī)定

6）聲明信息和軟件B勺所有權(quán)、版權(quán)和其他有關(guān)因素

9.7.3物理介質(zhì)傳播

第129條必須建立傳播存儲(chǔ)介質(zhì)的安全原則。應(yīng)使用可靠的傳播

工具或者傳遞人，授權(quán)B勺傳遞人必須接受合適監(jiān)管并進(jìn)行其身份B勺

檢查。應(yīng)保證敏感信息H勺機(jī)密性、完整性和可用性在傳播全程中受

到保護(hù)。

第130條寄存介質(zhì)的容器在運(yùn)送過程前必須密封。信息分類不應(yīng)

該標(biāo)記在容器口勺外面。包裝應(yīng)該非常結(jié)子，保證介質(zhì)在運(yùn)送過程中不

受到損壞。

9.7.4電子消息

第131條電子化辦公系統(tǒng)必須建立相應(yīng)日勺管理措施和控制機(jī)制，

并闡明下列內(nèi)容：

1）擬定不能被共享的信息B勺類型或者密級(jí)

2）系統(tǒng)顧客的權(quán)限

3）系統(tǒng)B勺訪問控制

4）與系統(tǒng)有關(guān)B勺備份管理措施

第132條除非獲患上安全管理委員會(huì)H勺授權(quán)，否則禁止使用公司

以外的電子系統(tǒng)（例如BBS、MSN、QQ等）進(jìn)行跟公司有關(guān)B勺活

動(dòng)。

第133條電子郵件內(nèi)的信息必須根據(jù)其信息分類的安全規(guī)定去

解決和保護(hù)。用于連接外網(wǎng)B勺郵件網(wǎng)關(guān)必須安裝防病毒軟件,檢查進(jìn)

出的電子郵件。必須對(duì)Internet屏蔽郵件系統(tǒng)的內(nèi)網(wǎng)IP地址。

第134條員工使用公司的郵件系統(tǒng)時(shí)只能進(jìn)行與業(yè)務(wù)有關(guān)B勺活

動(dòng)。所有在公司的郵件系統(tǒng)上產(chǎn)生及存儲(chǔ)的郵件都是公司資產(chǎn)。公司

有權(quán)查看和監(jiān)控所有郵件。

未經(jīng)授權(quán)，嚴(yán)禁使用公司以外B勺郵箱解決公司業(yè)務(wù)。

所有對(duì)外發(fā)送日勺郵件都必須加之責(zé)任聲明。

9.7.5業(yè)務(wù)信息系統(tǒng)

第135條在業(yè)務(wù)系統(tǒng)進(jìn)行信息共享時(shí)，必須保證信息的完整性、

可用行和保密性。必須保證重要信息在交換過程中日勺保密性。

9.8電子商務(wù)服務(wù)

9.8.1電子商務(wù)

第136條必須采用合適措施，保證電子交易過程日勺機(jī)密性、完整

性和可用性。

第137條電子商務(wù)B勺交易必須制定有關(guān)的交易聲明，以明確注意

事項(xiàng)和有關(guān)責(zé)任。在電子商務(wù)B勺合同中，必須明確欺詐行為和未能交

付B勺責(zé)任。

第138條電子交易必須設(shè)立并維護(hù)合適的訪問控制。身份驗(yàn)證技

術(shù)必須滿足業(yè)務(wù)的實(shí)際規(guī)定。

第139條必須保存并維護(hù)所有電子商務(wù)交易過程中的記錄和日

志。

第140條應(yīng)該使用加密、電子證書、數(shù)字簽名等技術(shù)保護(hù)電子商

務(wù)安仝。

9.8.2在線交易

第141條必須保護(hù)在線交易信息，避免不完整期專播、路由錯(cuò)誤、

未授權(quán)B勺消息更改、未授權(quán)的信息信息泄漏、復(fù)制和答復(fù)。

第142條在線交易中必須使用數(shù)字證書保護(hù)交易安全。交易中必

須使用加密技術(shù)對(duì)所有通信內(nèi)容加密。在線交易必須使用安全的通訊

合同。

第143條在線交易信息必須保存在公司內(nèi)部的存儲(chǔ)環(huán)境，存儲(chǔ)環(huán)

境不能被從Internet直接訪問。

第144條在線交易必須遵守國(guó)家、地區(qū)和行業(yè)有關(guān)的法律法規(guī)。

9.8.3公共信息

第145條必須保證公共信息系統(tǒng)中信息B勺完整性，并防止非授權(quán)

B勺修改。

第146條信息的發(fā)布必須遵守國(guó)家法律法規(guī)的規(guī)定。通過信息發(fā)

布系統(tǒng)向內(nèi)部和公眾發(fā)布B勺信息都必須經(jīng)過公司有關(guān)部門的檢查和

審批。信息在發(fā)布之前必須經(jīng)過核對(duì)，確認(rèn)其對(duì)日勺性和完整性。必須

對(duì)敏感信息的解決和存儲(chǔ)過程進(jìn)行保護(hù)。

9.9監(jiān)控

9.9.1日志

第147條所有操作系統(tǒng)、應(yīng)用系統(tǒng)都必須具有并啟用日志記錄功

能。

第148條日志記錄信息必須涉及但不限于：

1）顧客ID;

2）每項(xiàng)操作日勺日期和時(shí)間（至少要精確到秒）；

3）來源B勺標(biāo)記或者位置；

4）成功B勺系統(tǒng)訪問嘗試;

5）失敗或者被回絕的系統(tǒng)訪問嘗試；

第149條日志類型涉及但不限于：

1）應(yīng)用日志；

2）系統(tǒng)日志；

3）安全日志;

4）操作日志；

5）問題記錄。

第150條必須保證日志記錄功能在任何時(shí)候都能正常運(yùn)營(yíng)。應(yīng)該

有機(jī)制監(jiān)控日志B勺容量變化，在容量耗盡之前發(fā)出報(bào)警信息。

第151條除非特殊聲明，所有日志都必須被分類為〃機(jī)密〃。日

志應(yīng)該定期復(fù)查，至少每月一次。

9.9.1監(jiān)控系統(tǒng)的作用

第152條不同E勺信息解決設(shè)備所規(guī)定B勺監(jiān)控級(jí)別應(yīng)該通過風(fēng)險(xiǎn)

評(píng)估來決定，必須考慮下列要素：

1）系統(tǒng)B勺訪問；

2）所有特權(quán)操作；

3）未授權(quán)的訪問嘗試；

4）系統(tǒng)警報(bào)或者故障。

第153條應(yīng)每天定時(shí)監(jiān)控網(wǎng)絡(luò)（涉及網(wǎng)絡(luò)性能和網(wǎng)絡(luò)故障），并

根據(jù)產(chǎn)生的報(bào)告，對(duì)異常變化的網(wǎng)絡(luò)流量，作進(jìn)一步分析，以發(fā)現(xiàn)潛

在B勺網(wǎng)絡(luò)安全問題。

9.9.3日志信息保護(hù)

第154條必須保證日志不能被修改或者刪除，所有對(duì)于日志文獻(xiàn)

B勺訪問（如刪除、寫、讀或者添加）嘗試都應(yīng)該有相應(yīng)記錄。

第155條除非特殊聲明，日志必須至少保存1年。惟獨(dú)授權(quán)的員

工才干訪問并使用日志。必須采用控制措施保護(hù)日志的完整性。

9.9.4管理員和操作員日志

第156條系統(tǒng)管理員和操作員的操作必須被記錄日志。

第157條日志記錄應(yīng)涉及重要的操作，例如與顧客管理有關(guān)的操

作（顧客帳號(hào)時(shí)創(chuàng)立、刪除、權(quán)限設(shè)立、修改）、與財(cái)務(wù)有關(guān)的操作

等。

第158條管理員和重要系統(tǒng)的操作員日志應(yīng)該至少每周復(fù)查一

次。對(duì)于重要的財(cái)務(wù)系統(tǒng)和業(yè)務(wù)系統(tǒng)每天都要復(fù)查。

9.9.5故障日志

第159條必須啟動(dòng)故障日志功能。

第160條必須保證故障記錄時(shí)跟進(jìn)解決，保證問題患上到徹底

解決，并且其糾正措施不會(huì)帶來新的安全問題。所有故障記錄都應(yīng)

該向上級(jí)報(bào)告并記錄歸檔。

第161條故障記錄應(yīng)妥善保管，防止被損壞，必要時(shí)應(yīng)該進(jìn)行備

份。

9.9.8時(shí)鐘同步

第162條所有系統(tǒng)應(yīng)該使用時(shí)鐘同步服務(wù)，并使用同一時(shí)鐘源。

第163條所有系統(tǒng)中的時(shí)間容許最多一分鐘時(shí)偏差。

第164條對(duì)于不能進(jìn)行時(shí)鐘同步B勺系統(tǒng)，必須對(duì)時(shí)間進(jìn)行每月一

次B勺檢查。

40訪問控制方面

10.1訪問控制規(guī)定

40.4.4訪問控制管理措施

第165條所有系統(tǒng)和應(yīng)用都必須有訪問控制列表，由系統(tǒng)管理者

明擬定義訪問控制規(guī)則、顧客和顧客組B勺權(quán)限以及訪問控制機(jī)制。訪

問控制列表應(yīng)該進(jìn)行周期性的檢查以保證授權(quán)對(duì)時(shí)。

第166條訪問權(quán)限必須根據(jù)工作完畢B勺至少需求而定，不能超過

其工作實(shí)際所需的范疇。必須按照〃除非明確容許，否則一律禁止〃

H勺原則來設(shè)立訪問控制規(guī)則。

第167條所有訪問控制必須建立相應(yīng)日勺審批程序,以保證訪問授

權(quán)的合理性和戰(zhàn)性。必須禁用或者關(guān)閉任何具有越權(quán)訪問B勺功能。

員工的職責(zé)發(fā)生變化或者離職時(shí)，其訪問權(quán)限必須作相應(yīng)調(diào)節(jié)或者

撤銷。

第168條系統(tǒng)自帶的默認(rèn)帳號(hào)應(yīng)該禁用或者配備密碼進(jìn)行保護(hù)。

10『2顧客訪問管理

20.2.2顧客注冊(cè)

第169條開放給顧客訪問的信息系統(tǒng),必須建立正式的顧客注冊(cè)

和注銷程序。

第170條所有顧客的注冊(cè)都必須通過顧客注冊(cè)程序進(jìn)行申請(qǐng)，并

患上到部門領(lǐng)導(dǎo)或者其委托者H勺批準(zhǔn)。系統(tǒng)管理者對(duì)顧客具有最后B勺

授權(quán)決定權(quán)。必須保存和維護(hù)所有顧客B勺注冊(cè)信息B勺正式顧客記錄。

第171條負(fù)責(zé)顧客注冊(cè)的管理員必須驗(yàn)證顧客注冊(cè)和注銷祈求

B勺合）去性。

第172條每一個(gè)顧客必須被分配惟一B勺帳號(hào)，不容許共享顧客

帳號(hào)。顧客一旦發(fā)現(xiàn)其帳號(hào)異常，必須即將告知負(fù)責(zé)顧客注冊(cè)B勺管

理員進(jìn)行解決。如果顧客帳號(hào)持續(xù)120天沒有使用，必須禁用該帳

號(hào)V

第173條帳號(hào)名不能透露顧客的權(quán)限信息，例如管理員帳號(hào)不能

帶有Admin字樣。

20.2.2特權(quán)管理

第174條必須建立正式的授權(quán)程序，以保證授權(quán)患上到嚴(yán)格的評(píng)

估和審批，并保證沒有與系統(tǒng)和應(yīng)用的安全相違背。

第175條必須建立授權(quán)清單，記錄和維護(hù)已分配H勺特權(quán)和其相對(duì)

B勺顧客信息。

10.2.3顧客密碼管理

第176條惟獨(dú)在顧客身份被確認(rèn)后,才容許對(duì)忘記密碼B勺顧客提

供暫時(shí)密碼。

第177條系統(tǒng)中統(tǒng)一管理帳號(hào)密碼B勺模塊保存的密碼必須是加

密電

第178條密碼必須保密，不患上與別人分享、放在源代碼內(nèi)或者

寫在沒有保護(hù)B勺介質(zhì)上（如紙張）。

第179條必須強(qiáng)制顧客在第一次登錄時(shí)修改密碼。

第180條系統(tǒng)應(yīng)該設(shè)立定期的密碼修改管理措施，并限制至少近

來3個(gè)舊密碼B勺重用。

第181條系統(tǒng)必須啟用登錄失敗的限制功能,如果持續(xù)10次登

錄失敗，系統(tǒng)應(yīng)該自動(dòng)鎖定有關(guān)帳號(hào)。

第182條在通過電話傳送密碼此前必須確認(rèn)對(duì)方H勺身份。

第183條禁止帳號(hào)和密碼被一起傳送，例如用同一封郵件傳送帳

號(hào)和密碼。

第184條所有系統(tǒng)都應(yīng)該建立應(yīng)急帳號(hào)，應(yīng)急帳號(hào)資料必須放在

密封日勺信封內(nèi)妥善收藏,并控制好信封B勺存取。必須記錄所有應(yīng)急帳

號(hào)曰勺使用狀況，涉及有關(guān)的人、時(shí)間和因素等。應(yīng)急帳號(hào)B勺密碼在使

用后必須即將修改，然后把新的密碼裝到信封里。

1024顧客訪問權(quán)限時(shí)檢查

第185條必須半年對(duì)注冊(cè)顧客的訪問權(quán)限和系統(tǒng)特權(quán)進(jìn)行一次

復(fù)查，核心系統(tǒng)必須每三個(gè)月復(fù)查一次。此過程應(yīng)該涉及但不限于:

1）確認(rèn)顧客權(quán)限時(shí)有效性和合理性

2）找出所有異常帳號(hào)（如長(zhǎng)期未使用和已離職人員B勺帳號(hào)等），

進(jìn)行分析并采用相應(yīng)措施

第186條必須對(duì)可疑的或者不明確B勺訪問權(quán)限進(jìn)行調(diào)查，并作為

安全事故進(jìn)行報(bào)告。

10.3顧客8勺責(zé)任

10.3.1密碼時(shí)使用

第187條顧客必須對(duì)其帳號(hào)的安全和使用負(fù)責(zé)，無論在何種狀況

下,顧客都不應(yīng)該泄漏其密碼。顧客不應(yīng)該使用紙張或者未受保護(hù)B勺

電子形式保存密碼。顧客一旦懷疑其帳號(hào)密碼可能受到傷害，應(yīng)該

及時(shí)修改密碼。

第188條顧客在第一次使用帳號(hào)時(shí)，必須修改密碼。顧客必須至

少每半年修改一次密碼。特權(quán)帳號(hào)的密碼必須至少每3個(gè)月修改一

次。用于系統(tǒng)之間認(rèn)證帳號(hào)的密碼必須至少每半年修改一次。

第189條除非有技術(shù)限制，密碼應(yīng)該至少涉及8個(gè)字符。此8

個(gè)字符必須涉及數(shù)字和字母。

第190條顧客不應(yīng)使用容易被猜測(cè)的密碼，例如字典中的單詞、

生日和電話號(hào)碼等。前3次用過B勺密碼不應(yīng)該被反復(fù)使用。

第191條密碼不應(yīng)該被保存于自動(dòng)登錄過程中，例如IE中的帳

號(hào)自動(dòng)保存。

10.3.2清除桌面及屏幕管理措施

第192條所有服務(wù)器和個(gè)人電腦都必須啟用帶有口令保護(hù)的屏

幕保護(hù)程序，激活等待時(shí)間應(yīng)少于10分鐘。

第193條無人使用時(shí)，服務(wù)器、個(gè)人電腦和復(fù)印機(jī)等必須保持注

銷狀態(tài)。

第194條不能將機(jī)密和絕密信息資料遺留在桌面上，而應(yīng)該根據(jù)

信息的保密級(jí)別進(jìn)行解決。

第195條必須為信件收發(fā)區(qū)域以及無人看守的傳真機(jī)設(shè)立合適

B勺保護(hù)措施。

第196條打印完敏感信息之后，必須確認(rèn)信息已從打印隊(duì)列中清

除。

10.4網(wǎng)絡(luò)訪問控制

10.4.1網(wǎng)絡(luò)服務(wù)使用管理措施

第197條必須建立授權(quán)程序來管理網(wǎng)絡(luò)服務(wù)的使用。

第198條應(yīng)遵循業(yè)務(wù)規(guī)定中所闡明日勺訪問控制管理措施來限制

訪問。

第199條所有系統(tǒng)都必須設(shè)立訪問控制機(jī)制來防止未經(jīng)授權(quán)的

訪問。

10.4.2外部連接的顧客認(rèn)證

第200條對(duì)公司系統(tǒng)進(jìn)行遠(yuǎn)程訪問，必須建立合適的認(rèn)證機(jī)制，

采用的機(jī)制應(yīng)通過風(fēng)險(xiǎn)評(píng)估來決定。

第201條通過撥號(hào)進(jìn)行遠(yuǎn)程訪問必須經(jīng)過正式批準(zhǔn)，并做好有關(guān)

第202條用于遠(yuǎn)程訪問日勺調(diào)制解調(diào)器平時(shí)必須保持關(guān)閉，惟獨(dú)在

使用的時(shí)候才干打開。

第203條在公司外部進(jìn)行遠(yuǎn)程辦公，必須使用VPN進(jìn)行連接。

第204條與外部合伙火伴進(jìn)行信息交換，應(yīng)該使用專線進(jìn)行連

接。

10.4.3遠(yuǎn)程診斷和配備端口的保護(hù)

第205條在不使用的時(shí)候，診斷端口應(yīng)該被禁用或者通過恰當(dāng)B勺

安全機(jī)制進(jìn)行保護(hù)。

第206條如果第三方需要訪問診斷端口，必須簽訂正式B勺合同。

第207條對(duì)遠(yuǎn)程診斷端口的訪問,必須建立正式的注冊(cè)審批程

序。訪問者必須只被授予最小的訪問權(quán)限來完畢診斷任務(wù)，并且必須

患上認(rèn)證。

第208條所有遠(yuǎn)程的診斷訪問必須事先申請(qǐng)并獲患上批準(zhǔn)。

第209條在遠(yuǎn)程診斷會(huì)話期間,必須記錄所有執(zhí)行的活動(dòng)信息、,

涉及時(shí)間、執(zhí)行者、執(zhí)行動(dòng)作和成果等。這些記錄應(yīng)該由系統(tǒng)管理員

進(jìn)行檢查以保證訪問者只執(zhí)行了被授權(quán)B勺活動(dòng)。

10.4.4網(wǎng)絡(luò)的劃分

第210條必須將網(wǎng)絡(luò)劃分為不同B勺區(qū)域，以提供不同級(jí)別的安全

保護(hù)，滿足不同服務(wù)的安全需求。

第211條對(duì)于重要的網(wǎng)絡(luò)區(qū)域必須設(shè)立訪問控制以隔離其他網(wǎng)

絡(luò)區(qū)域。

第212條應(yīng)該使用風(fēng)險(xiǎn)評(píng)估來決定每一個(gè)區(qū)域的安全級(jí)別。

第213條公司外部和內(nèi)網(wǎng)之間應(yīng)該建立一種DMZO

10.4.5網(wǎng)絡(luò)連接的控制

第214條公司以外的網(wǎng)絡(luò)連接,在建立連接前必須對(duì)外部B勺接入

環(huán)境進(jìn)行評(píng)估，滿足公司管理措施后才干接入。

第215條所有網(wǎng)絡(luò)端口必須進(jìn)行限制，以防止非授權(quán)的電腦接入

公司網(wǎng)絡(luò)。限制規(guī)定至少應(yīng)涉及：

1）所有B勺端口默認(rèn)都是關(guān)閉日勺，惟獨(dú)在經(jīng)過正式批準(zhǔn)后才干開

通；

2）端口的關(guān)閉必須在員工離職和崗位變動(dòng)流程中體現(xiàn)；

3）暫時(shí)使用的端口或者位置變動(dòng)，員工必須主動(dòng)申請(qǐng)停用原有

端口，開通新端口前必須先關(guān)閉原有端口。

第216條必須將網(wǎng)絡(luò)接口和接入設(shè)備綁定，如果需要更換接入時(shí)

設(shè)備，必須經(jīng)過部門經(jīng)理的審批。

第217條所有接入公司網(wǎng)絡(luò)的主機(jī)必須經(jīng)過公司的原則化安裝。

第218條公司必須設(shè)立一種單獨(dú)日勺網(wǎng)絡(luò)區(qū)域供非公司原則化安

裝的電腦接入,此區(qū)域在網(wǎng)絡(luò)上是徹底封閉、獨(dú)立日勺。

10.4.6網(wǎng)絡(luò)路由的控制

第219條路由訪問控制列表必須基于合適B勺源地址和目H勺地址

檢查機(jī)制。所有對(duì)外提供網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)地址必須進(jìn)行地址轉(zhuǎn)換。

第220條所有重要服務(wù)器的管理端口必須通過指定的途徑進(jìn)行

訪問。

10.5操作系統(tǒng)訪問控制

10.5.1顧客識(shí)別和認(rèn)證

第221條所有顧客都應(yīng)該被識(shí)別和認(rèn)證。在每一個(gè)系統(tǒng)上創(chuàng)立實(shí)

名顧客，系統(tǒng)登陸必須使用實(shí)名顧客。如果因特殊因素不能使用實(shí)

名顧客登陸，必須經(jīng)過安全管理委員會(huì)批準(zhǔn)。

第222條顧客認(rèn)證失敗信息中,應(yīng)該不顯示具體日勺失敗因素。例

如不能顯示〃帳號(hào)不存在〃或者〃密碼不對(duì)日勺〃。

第223條如果由于業(yè)務(wù)規(guī)定需要使用共享顧客帳號(hào)，那末此共享

帳號(hào)應(yīng)該患上到正式的批準(zhǔn)并明文歸檔。

第224條系統(tǒng)管理員和應(yīng)用管理員必須使用不同B勺帳號(hào)。

第225條所有使用帳號(hào)密碼進(jìn)行認(rèn)證的系統(tǒng)，在帳號(hào)密碼傳送過

程中，應(yīng)該采用加密保護(hù)措施防止泄漏。

10.5.2密碼管理系統(tǒng)

第226條系統(tǒng)應(yīng)該強(qiáng)制顧客在第一次成功登錄后修改初始密碼。

修改密碼時(shí)，系統(tǒng)必須提示顧客確認(rèn)新密碼，以防止輸入錯(cuò)誤。不能

明文顯示輸入的密碼。

第227條密碼文獻(xiàn)應(yīng)該與應(yīng)用系統(tǒng)數(shù)據(jù)分開存儲(chǔ)。密碼解決時(shí)必

須使用單向加密。當(dāng)密碼接近失效期或者已經(jīng)過期時(shí)，系統(tǒng)應(yīng)該提示

或者強(qiáng)制顧客修改密碼。

第228條所有默認(rèn)的密碼都應(yīng)當(dāng)在軟件安裝后即將更改。系統(tǒng)應(yīng)

該容許顧客修改自己B勺密碼。

第229條系統(tǒng)的密碼管理措施必須滿足如下規(guī)定：

1）密碼長(zhǎng)度至少8個(gè)字符；

2）啟用密碼復(fù)雜度規(guī)定，至少涉及大寫字母、小寫字母、數(shù)字、

特殊字符中的三種；

3）管理員帳號(hào)密碼有效期是90天；

4）重要系統(tǒng)的顧客帳號(hào)密碼有效期是90天；

5）非重要系統(tǒng)B■勺普通帳號(hào)密碼有效期是180天；

6）記錄日勺歷史密碼次數(shù)不少于5個(gè)；

7）帳號(hào)密碼險(xiǎn)證失敗鎖定閥值是10次；

8）帳號(hào)被鎖定后必須由管理員解鎖。

9）如果因系統(tǒng)自身的功能限制不能滿足上述管理措施的規(guī)定，其

設(shè)立H勺密碼管理措施必須經(jīng)信息安全管理委員會(huì)審核批準(zhǔn)。

10.5.3系統(tǒng)工具的使用

第230條所有系統(tǒng)工具都應(yīng)當(dāng)被識(shí)^,不必要的工具必須從生產(chǎn)

系統(tǒng)中刪除。

10.5.4終端超時(shí)終結(jié)

第231條連接到服務(wù)器的所有終端,在30分鐘內(nèi)沒有活動(dòng)，都

應(yīng)該被終結(jié)連接。

10.5.5連接時(shí)間的限制

第232條對(duì)核心的信息系統(tǒng)（如前置機(jī)、合伙火伴主機(jī)等）提供

附加的安全保護(hù)，涉及但不限于：

1）只容許在之前商議好的時(shí)間段內(nèi)訪問（如：每天6點(diǎn)一6點(diǎn)

半）

2）只容許在正常的工作時(shí)間內(nèi)訪問（如：每周一至周五9點(diǎn)一

17點(diǎn)）

3）遠(yuǎn)程診斷modem在不使用時(shí)必須處在關(guān)閉狀態(tài),在使用后

必須即將關(guān)閉。

10.6應(yīng)用系統(tǒng)訪問控制

10.6.1信息訪問限制

第233條應(yīng)用系統(tǒng)應(yīng)該控制顧客B勺訪問權(quán)限,如讀寫權(quán)限、刪除

權(quán)限以及執(zhí)行權(quán)限。

第234條必須保證解決敏感信息的應(yīng)用系統(tǒng)僅輸出必需的信息

到授權(quán)B勺終端，同步應(yīng)對(duì)這些輸出功能進(jìn)行定期檢查，保證不存在輸

出多余的信息。

10.6.2敏感系統(tǒng)的隔離

第235條應(yīng)當(dāng)根據(jù)應(yīng)用系統(tǒng)的敏感限度對(duì)系統(tǒng)進(jìn)行合適日勺隔離

保護(hù)，例如：

1）運(yùn)營(yíng)于指定的計(jì)算機(jī)上

2）僅與信任時(shí)應(yīng)用系統(tǒng)共享資源

3）敏感系統(tǒng)B勺各個(gè)部份都應(yīng)當(dāng)以合適的方式進(jìn)行保護(hù)。

10.7挪移計(jì)算和遠(yuǎn)程辦公

10.7.1挪移計(jì)算

第236條挪移設(shè)備（涉及個(gè)人手持設(shè)備、筆記本電腦）和家庭辦

公個(gè)人電腦都應(yīng)該受到保護(hù)以防未授權(quán)訪問。

第237條進(jìn)行挪移和家庭辦公的員工，應(yīng)該對(duì)其使用的設(shè)備做好

物理保護(hù)，防止丟失、盜竊和破壞等。寄存在挪移設(shè)備中B勺敏感信息

必須做好保護(hù)，例如采用加密以防泄漏。

第238條挪移設(shè)備顧客必須做好防病毒工作。挪移設(shè)備中的公司

信息應(yīng)該做好備份工作，防止丟失。

10.7.2遠(yuǎn)程辦公

第239條必須建立遠(yuǎn)程辦公的使用原則和授權(quán)程序。

第240條遠(yuǎn)程辦公的訪問權(quán)限必須基于最小權(quán)限的原則進(jìn)行分

配，授權(quán)內(nèi)容應(yīng)該涉及：

1）容許訪問的系統(tǒng)和服務(wù)

2）容許進(jìn)行的工作

3）訪問時(shí)段

第241條遠(yuǎn)程辦公的訪問控制應(yīng)該采用雙重認(rèn)證的方式。遠(yuǎn)程辦

公B勺信息在傳播過程中必須加密。

第242條員工離職或者再也不使用遠(yuǎn)程辦公時(shí)，必須取銷其有關(guān)

的遠(yuǎn)程辦公訪問權(quán)限。必須定期對(duì)遠(yuǎn)程辦公實(shí)施審計(jì)和安全監(jiān)控。

11信息系統(tǒng)采購、開辟和維護(hù)方面

11.1系統(tǒng)安全需求

11.1.1系統(tǒng)的安全需求分析與范疇

第243條在系統(tǒng)開辟B勺整個(gè)過程（特殊是在系統(tǒng)需求階段渚B必

須考慮安全需求，涉及但不限于：

1）系統(tǒng)架構(gòu)

2）顧客認(rèn)證

3）訪問控制和授權(quán)

4）事務(wù)解決的機(jī)密性和完整性

5）日志記錄功能

6）系統(tǒng)配備

7）法律法規(guī)和兼容性規(guī)定

8）系統(tǒng)恢復(fù)

第244條在系統(tǒng)的需求和設(shè)計(jì)階段，需要對(duì)系統(tǒng)進(jìn)行安全方面B勺

評(píng)審。

第245條應(yīng)該在開辟的整個(gè)周期對(duì)安全需求實(shí)施的對(duì)的性進(jìn)行

階段性檢查，以保證其相應(yīng)的安全措施按照規(guī)定被定義、設(shè)計(jì)、部署

和測(cè)試。

第246條在使用商業(yè)軟件或者軟件包前，必須按照上述安全需求

進(jìn)行評(píng)估。對(duì)于軟件B勺安全控制規(guī)定應(yīng)該在評(píng)估之前定義好。

第247條軟件必須通過顧客B勺正式驗(yàn)收后才干投入生產(chǎn)。軟件在

正式使用前必須經(jīng)過安全方面的測(cè)試，測(cè)試內(nèi)容必須涉及所有設(shè)計(jì)文

檔中的安全規(guī)定。

第248條為了對(duì)顧客的操作進(jìn)行檢查和審計(jì)，系統(tǒng)必須提供日志

記錄功能。系統(tǒng)應(yīng)提供惟獨(dú)日志審計(jì)人員可以訪問時(shí)用來查看日志記

剝勺審計(jì)接口。