信息安全策略目的：本規范旨在規范公司的電腦設置、IT權限，保護公司和客戶機密資料。適用范圍：本規范適用于公司電腦、網絡、人員、客戶機密信息資料。職責：3.1IT部門：IT部門負責制定公司的信息安全策略，并定期對信息安全策略進行評價，以確保其適宜性。策略的制定：4.1信息安全策略的制定、評審：4.1.1IT部門根據公司內部網絡資訊規劃的要求、國家信息安全法律法規要求及客戶信息安全要求定期制定信息安全策略，并確保信息安全策略的有效實施。4.1.2IT部門每年需對信息安全策略進行評價，并填寫《信息安全策略適用性評審列表》以確保策略的適宜性，并將評價的結果納入年度部門管理評審報告輸入中。4.2信息安全策略集：信息安全策略是在信息安全現狀調研的基礎上，公司領導的認可，遵守國家的法律法規、政策和相關標準建立的通用行之有效的安全機制。公司信息安全策略包括如下：a)病毒防范策略b)網絡服務訪問策略c)備份策略d)訪問控制策略e)密碼策略f)鑰管理策略g)賬號管理策略h)清潔桌面和鎖屏策略i)移動設備和遠程工作策略j)服務器加強策略k)時間同步策略l)電子郵件策略m)日志和監視策略n)網絡與信息傳輸安全策略o)設備安全策略p)介質處理策略q)第三方訪問策略r)變更管理安全策略s)計算機管理策略t)打印、復印機管理策略4.3病毒防范策略：4.3.1IT部門負責統一部署防病毒工具的安裝和升級工作，時發布計算機病毒疫情公告及防范措施，處理網點和個人上報的病毒入侵事件，定期檢查和督促網點的病毒防治工作，并將重大的病毒入侵事件及時向上級部門和安全機關報告。4.3.2IT部門人員負責定期對自己管理的計算機系統進行升級、殺毒，并對因計算機病毒引起的信息系統故障，及時向人事部報告。4.3.3病毒防范基本要求：a)任何部門和個人不得制作計算機病毒。b)任何部門和個人不得有下列傳播計算機病毒的行為：故意輸入計算機病毒，危害計算機信息系統安全；向他人提供含有計算機病毒的文件、軟件、媒體；銷售、出租、附贈含有計算機病毒的媒體；其他傳播計算機病毒的行為。c)任何部門和個人不得發布虛假的計算機病毒疫情。d)所有計算機設備應經辦公室同意后接入相應的內部工作網或互聯網，嚴禁私自接入。i)應根據不同的業務需求和安全等級，對內部工作網和互聯網進行物理隔離，確保內部網絡和外部網絡的安全性。j)所有工作用機必須由IT部門統一管理，并安裝指定的防病毒軟件，及時更新病毒庫。未安裝或安裝其他防病毒軟件而造成不良后果的相關人員將被追究責任。k)所有員工在使用介質交換信息前，應進行病毒預檢測。l)未經IT部門同意，嚴禁在工作用機上從互聯網下載、安裝、使用各類文件或程序。對于由此引起的計算機病毒感染，相關人員將被追究責任。經同意下載的軟件，在使用前需進行殺毒。m)禁止將與工作無關的數據存放在工作用機上，禁止在工作用機上進行與工作無關的計算機操作。n)計算機使用人員應做好重要數據、文檔的備份，防止因病毒或其他因素造成系統無法恢復而導致重要數據、文檔的丟失。o)對因計算機病毒引起的信息系統癱瘓、程序和數據嚴重破壞等重大事故，應及時向人事部報告，并保護現場，以便采取相應的措施。4.3.4.IT部門需定期查看防病毒系統中的掃描日志和病毒歷史以及入侵監測日志，檢查病毒的感染和清除情況。根據查看到的防病毒監控日志和入侵監測日志制定安全策略。統一部署防病毒軟件客戶端。負責受理網點計算機病毒上報工作。負責跟蹤計算機病毒防治信息，及時發布計算機病毒疫情公告及防范措施。4.3.5.病毒查殺：a)各計算機使用單位發現病毒必須及時向IT部門報告，并做好必要的協助工作，防止病毒疫情進一步擴大。b)發現的病毒包括計算機使用單位報告的病毒和防病毒系統監控發現的病毒。c)當因病毒入侵導致無法正常運行或數據損失時，應及時采取措施挽回損失。當防病毒系統本身受到病毒入侵而不能正常工作時，負責恢復防病毒系統的正常運行。對于未能清除的病毒，應根據病毒的種類采取相應措施，盡快查找專殺工具，確保病毒不會發作和傳播。對于防病毒軟件不能查殺的病毒，應及時向上級匯報更新防病毒系統。定期整理病毒感染情況報告，并及時清理過期的日志信息。4.4.網絡服務訪問策略4.4.1.此策略旨在保障及加強公司在使用互聯網傳輸、處理信息時的安全。用戶應只能訪問經過明確授權使用的服務，從而降低未授權和不安全連接對組織的影響。該策略適用于公司辦公場所內能使用互聯網的區域及人員，以及公司員工使用公司移動計算機在公司以外的地方使用互聯網的范圍。4.4.2.基礎要求：其進行分類，根據不同等級的安全需求，制定相應的訪問控制策略，包括但不限于密碼策略、賬號策略、權限策略等。b)對于訪問公司信息資產的人員，應進行身份驗證，包括但不限于密碼驗證、指紋驗證等。c)對于不同等級的人員，應制定不同的訪問控制策略，包括但不限于員工、臨時工、合同方、顧問、實習人員等。d)應定期對訪問控制策略進行審查，及時發現和糾正問題，確保訪問控制的有效性。e)應對所有訪問控制事件進行記錄和審查，及時發現和處理異常事件，保障信息資產的安全。1.對于互聯網資源的使用，我們采取了明確的規定，禁止連接財務網、涉密計算機和部分指定用于處理商業秘密、從事軟件開發的計算機或虛擬機等設備上網。2.使用互聯網資源的部門和個人應該認識到，對互聯網資源的使用取決于工作需要。公司應該根據崗位情況來限制對該資源的使用與否。3.在使用互聯網資源時，使用者應該有意識地保護公司信息資產。不能通過互聯網從事任何有損公司利益或違反法律法規的事宜，包括發布任何有損公司利益的信息。4.違反該策略可能導致員工以及臨時工被解雇、合同方或顧問的雇傭關系終止、實習人員等繼續工作的機會。另外，這些人員還可能遭受信息資源訪問權以及公民權的損失，甚至遭到法律起訴。5.我們根據公司業務需求，識別需要備份的數據信息。備份的信息應當包含但不限于操作系統、數據庫系統、系統軟件、設備配置、網站內容等。這是為了保護信息資產的可用性和恢復性，確保公司數據信息安全可靠。適用于ISMS所覆蓋的所有部門。6.我們根據不同重要程度的數據信息，確定采取的備份手段，包括但不限于硬盤備份、冗余主機備份、冗余網絡設備和冗余鏈路。7.我們確定數據的備份周期，根據數據的備份需要，確定增量備份、全備份的周期。應按照計劃實施備份，并確保備份實施成功，應保留備份記錄以備審查。8.每個月對服務器中用戶存儲的數據進行檢查，確保與工作無關之數據不被存入服務器。對于存放違規數據情況，行成報告并上報公司予以相應的處理。每三個月對存入于服務器上的用戶數據進行一次完全備份，每天進行一次差異備份，并在服務器上保留前一次三個月的完整備份數據。數據庫備份及數據存檔保存期限所有數據庫的備份每天進行一次完整備份，并保留近三個月的備份。郵件系統數據的存檔保存期限為兩年。ERP系統數據的存檔永久保存，采取異地備份策略，每季度進行一次備份。9.我們應該定期對備份的數據進行恢復測試，以保證備份數據的可用性等。10.為了對公司資產范圍內所有的操作系統、數據庫系統、應用系統、開發測試系統及網絡系統所提供的服務的訪問進行合理控制，確保信息被合法使用，禁止非法使用，我們特制定了本管理策略。11.對于需要進行訪問控制的操作系統、數據庫系統、應用系統、開發測試系統及網絡系統，要對其進行分類，根據不同等級的安全需求，制定相應的訪問控制策略，包括但不限于密碼策略、賬號策略、權限策略等。12.對于訪問公司信息資產的人員，應進行身份驗證，包括但不限于密碼驗證、指紋驗證等。13.對于不同等級的人員，應制定不同的訪問控制策略，包括但不限于員工、臨時工、合同方、顧問、實習人員等。14.應定期對訪問控制策略進行審查，及時發現和糾正問題，確保訪問控制的有效性。15.應對所有訪問控制事件進行記錄和審查，及時發現和處理異常事件，保障信息資產的安全。為確保系統安全，必須在進入系統前進行登錄操作，并記錄登錄成功和失敗的日志。對于具有身份驗證功能的系統程序，應該建立登錄程序的用戶，并對有權限的人授權。對于沒有用戶驗證功能的程序，要通過系統的訪問權限控制對程序的訪問。研發網和測試網應該實現物理隔離，并對核心設備設置特別的物理訪問控制，并建立訪問日志。對于信息資源的訪問，應該通過目錄或具體文件設置用戶可用的最低權限，并通過屬性權限和安全權限控制用戶權限。訪問控制權限設置的基本規則是除明確允許執行情況外一般必須禁止。訪問控制的規則和權限應該符合公司業務要求，并記錄在案。對網絡系統訪問時，通過為用戶注冊唯一的ID來實現對用戶的控制。系統管理員必須確保用戶的權限被限定在許可的范圍內，并能夠訪問到有權訪問的信息。用戶必須使用符合安全要求的口令，并對口令保密。系統管理員必須對分配的權限和口令進行定期檢查，防止權限被濫用。明確用戶訪問的權限與所擔負的責任。系統管理員必須保證網絡服務可用，保證使用網絡服務的權限得到合理的分配與控制。系統管理員制定操作系統訪問的規則，用戶必須按相關規則訪問操作系統。對各部門使用的應用系統或測試系統，由該部門制定訪問規定并按規定執行。對信息處理設施的使用情況進行監控，及時發現問題并采取必要的安全措施。為加強信息安全，防止網絡、主機和系統的非授權訪問，制定密碼管理策略。IT部負責信息中心網絡、主機和系統的密碼管理。根據業務安全需要，IT部可強制用戶在登錄時更改密碼，當出現提示密碼過期時，用戶需自行完成密碼的修改，否則將無法登陸系統。如業務需求對密碼期限進行限制，可保證密碼永久有效，或設定一定的期限，在一定的期限內有效。根據需要，可使某一賬號暫時禁用。設定規定登錄次數，超過5次數，賬號禁用，以防用戶猜測密碼。密碼必須八位或以上字符，包含大小寫、符號、數字三個或以上的組合，禁止使用易被猜測的密碼。每三個月對相關密碼必須重新設定。密碼僅限于使用者掌握，未經許可不得將密碼告知他人，否則由使用者負全責。禁止員工通過任何途徑竊取或破解密碼。密碼管理策略旨在通過適當和有效的加密方法保護信息的機密性、真實性和完整性，適用于需要密碼控制的信息系統和所有需要密鑰訪問信息資源的人員。該策略要求密鑰的整個生命周期中始終貫穿著密鑰的生成、存儲、歸檔、檢索、分發、回收和銷毀。組織間使用密碼控制的管理方法，包括保護業務信息的一般原則。所有密鑰都需要防止修改、丟失和毀壞。秘密和私有密鑰需要防止非授權泄露。用于生成、存儲和歸檔密鑰的設備需要進行物理保護。密鑰管理系統應基于已商定的標準、規程和安全方法，以便生成用于不同密碼系統和不同應用的密鑰，生成和獲得公開密鑰證書，分發密鑰給預期用戶，包括在收到密鑰時如何激活，存儲密鑰，包括已授權用戶如何訪問密鑰，變更或更新密鑰，包括何時變更密鑰和如何變更密鑰的規則，處理已損害的密鑰，撤銷密鑰，包括如何撤消或解除激活的密鑰，例如，當密鑰已損害時或當用戶離開組織時（在這種情況下，密鑰也要歸檔），恢復已丟失或損壞的密鑰，備份或歸檔密鑰，銷毀密鑰，記錄和審核與密鑰管理相關的活動。為減少不恰當使用的可能性，應規定密鑰的激活日期和解除激活日期，以使它們只能用于相關密鑰管理策略定義的時間段。除了安全地管理秘密和私有密鑰外，還應考慮公開密鑰的真實性。這一鑒別過程可以由證書認證機構正式頒發的公鑰證書來完成，該認證機構應是一個具有合適的控制措施和規程以提供所需的信任度的公認組織。密鑰的管理對于有效使用密碼技術來說是必需的。GB/T17901提供了更多關于密鑰管理的信息。賬號管理策略是為了保證各個系統的賬號和口令管理保持在一個一致的水平上，因為業務發展內部員工大量使用基于操作系統的賬號、基于數據庫的賬號和基于應用系統的賬號，大量賬號和口令的使用導致管理極大的復雜化。帳號指在系統內設定的可以訪問本系統內部資源的ID或其他許可形式。管理員帳號指在系統中具有較大權限，對網絡的運行和安全具有巨大影響的帳號，典型用戶為系統管理員。前后兩次的密碼不能相同或相似。程工作人員。a)所有移動設備必須進行加密，包括但不限于筆記本電腦、移動硬盤、U盤等；b)所有移動設備必須安裝殺毒軟件，并定期更新病毒庫；c)所有移動設備必須設立登錄口令，且口令必須復雜且定期更換；d)所有移動設備必須定期備份數據，并存儲在安全的地方；e)所有移動設備必須在使用結束后歸還公司，并進行安全清除；f)遠程工作必須通過公司提供的安全通道進行，不得使用公共網絡；g)遠程工作必須使用公司提供的安全軟件進行訪問；h)遠程工作必須定期更換登錄口令，并使用多因素認證；i)遠程工作必須在公司提供的安全環境下進行，不得在公共場所或不安全的環境下操作。4.11.2.違背該策略可能導致：公司信息泄露、公司資產損失、公司聲譽受損等問題，同時也可能對員工個人信息和隱私造成損害。4.9.2.賬號管理原則：a)只有授權用戶才能申請系統帳號；b)必須按照規定的流程進行帳號設立；c)員工應接受適當的培訓，以避免對系統安全造成隱患；d)帳號權限應滿足用戶需要，不得與用戶職責無關；e)公司外部人員必須根據《IT信息管理規范》相關流程申請注冊；f)公用帳號不得具有訪問保密信息和對系統寫的權限，應設立責任人負責帳號的正常使用及維護；g)匿名帳號只能訪問系統中可公開的資源，對匿名用戶的訪問必須有詳細記錄。4.10.清潔桌面和鎖屏策略：4.10.1.該策略旨在防止未經授權的用戶訪問、破壞或盜竊信息和信息處理設施。適用于公司所有電子設備。a)含有涉密信息或重要信息的媒體應在人員離開時鎖入文件柜、保險柜等；b)所有計算機終端必須設立登錄口令，并在人員離開時鎖屏、注銷和關機；c)結束工作時，必須關閉所有計算機終端，并將個人桌面上所有記錄有敏感信息的介質鎖入文件柜；d)計算機終端應設置屏幕密碼保護；e)傳真機由綜合管理部負責管理，并落實到責任人；f)打印或復印公司秘密、機密信息時，必須經公司審批，由保密管理員監督完成。4.10.2.違反該策略可能導致員工被解雇、合同終止、實習機會喪失，甚至遭受法律起訴。4.11.移動設備和遠程工作策略：4.11.1.該策略旨在確保遠程工作及移動設備在使用過程中的信息安全，適用于公司移動設備和遠程工作人員。a)所有移動設備必須進行加密，安裝殺毒軟件并定期更新病毒庫；b)所有移動設備必須設立復雜登錄口令，并定期更換；c)所有移動設備必須定期備份數據，并存儲在安全的地方；d)所有移動設備使用結束后必須歸還公司，并進行安全清除；e)遠程工作必須通過公司提供的安全通道進行，不得使用公共網絡；f)遠程工作必須使用公司提供的安全軟件進行訪問；g)遠程工作必須定期更換登錄口令，并使用多因素認證；h)遠程工作必須在公司提供的安全環境下進行，不得在公共場所或不安全的環境下操作。4.11.2.違反該策略可能導致公司信息泄露、資產損失、聲譽受損，同時也可能對員工個人信息和隱私造成損害。在公司工作中，員工經常需要使用各種移動設備，包括筆記本電腦、平板電腦、PDA和智能手機等。同時，遠程工作也成為了一種常見的工作方式，可以讓員工在組織場所外固定地點通過遠程進入公司網絡工作。移動設備管理方面，移動設備持有人員需要妥善保管設備，嚴禁故意損毀或破壞。同時，應及時對操作系統安全補丁進行升級，并設置登錄口令并保證口令保密。在移動設備上，嚴禁安裝與工作無關的應用軟件和游戲，以及從事與工作無關的活動。還需要在移動設備上安裝管控軟件，限定用戶對移動設備進行系統還原及共享權限，默認開通指定公司服務，禁止登陸私人郵箱，做工作無關的操作，禁止通過FTP，云盤等手段上傳文件等，限定移動存儲介質的寫入權限。遠程工作管理方面，員工需要通過VPN撥號方式遠程接入公司內部網絡，并進行加密處理以實現安全的遠程訪問公司內部網絡資源。遠程工作的方式必須獲得保安部和IT部的批準，任何部門和個人不得私設可以遠程訪問的接口。遠程工作應僅限于申請的設備和地點，VPN賬戶需綁定地址進行授權限制登錄，嚴禁在公共計算機設備上進行。遠程工作人員范圍僅限于工作需要的人員，并需要獲得部門負責人的授權和IT部的批準。此外，遠程工作人員不得將遠程工作身份識別信息和相關設備透漏、借用給其他人員，工作結束后應該注銷并斷開遠程連接。遠程工作的相關通信和設備必須接受信息安全管理小組的相關配置和監控，并且訪問權限不允許超過該人員在公司內部網絡的正常訪問權限。當外部第三方需要連接本公司網絡進行系統維護或故障診斷時，應經過信息安全保密小組的批準，并由IT部人員監督執行，遠程訪問時應做好記錄，維護結束后應立即斷開連接。最后，為了加強公司服務器的安全管理工作，保障信息系統安全、穩定運行，充分發揮系統效用，公司制定了服務器加強策略，適用于所有服務器。a)系統應及時安裝各種系統應用補丁及防毒軟件，并且管理員應該每周至少進行一次檢測。此外，管理員還應該對服務器時間進行檢驗，以確保服務器時間的準確性。b)系統的防病毒軟件應該24小時不間斷地開啟，任何人都不得停止服務。管理員至少每兩天手動檢測一次病毒庫，并設置殺毒軟件每天22點整自動查殺。此外，病毒庫也應該及時更新。c)除了系統服務必須使用的端口，其他端口應該一律關閉停止服務。d)服務器的口令必須符合密碼復雜性，密碼長度應該為12位以上，并且必須包含大寫、小寫、數字及數字符號。具體要求可以參考《公司電腦使用管理規范》。e)密碼的生存期限為30天，管理員必須在30天內更換一次密碼，否則系統將禁止該管理員登錄。f)服務器的日常操作和維護應該由系統管理員負責。未經許可其他人不得對服務器進行任何操作。g)如非管理員需要登錄服務器調試等，必須要在管理員處出示具有相關領導批示的《服務器使用申請表》。h)操作人員必須在管理人員的陪同下進行相關操作。i)如果要更新服務器的應用，必須提供程序測試報告，并且該程序經過測試可以上線試運行。j)每次服務器進行數據操作及維護后，必須填寫《服務器維護記錄表》進行登記，用來備查。此外，應該加強服務器檢查，每月對數據存放硬盤空間、CPU使用、內存空間等環境進行檢查。發現硬盤存儲空間、CPU異常、內存異常等問題要及時處理，不能及時處理的問題應該向領導及時報告，并采取積極措施盡快解決。4.13時間同步策略4.13.1為了保證公司網絡中設備日志的準確及有效性，特此指定本策略。此策略適用于公司所有網絡設備及計算機設備。公司所有聯網電腦應該使用NTP時間服務器同步時間，未聯網電腦需由電腦負責人每月定期對時間進行效驗。IT部應該對所有網絡設備時鐘進行檢驗，保證同步至NTP時間服務器，并且每月進行檢驗。4.14電子郵件策略4.14.1為了規范公司內部郵件系統的使用，充分發揮電子郵件系統的作用，為公司辦公及業務系統的安全可靠運行提供必要的保障，防止惡意程序和垃圾郵件的傳輸，確保電子郵件的信息安全。此策略適用于日常使用公司郵件系統進行郵件接收和發送的部門和人員。4.14.2IT部應該負責郵件系統的安裝與設置、系統技術支持和系統運行監視。.維護郵件系統并保證服務器和郵件系統正常運行，及時處理并解決用戶問題。.遇到重大問題時，向IT部門領導報告。.IT部門負責郵件帳號的開通、注銷和郵件系統日常管理等。4.14.3.郵箱使用人員應當：.嚴格遵守國家有關保密法規法令，不得泄露國家和公司機密，不得侵犯公司和其他員工的合法權益，不得從事違法犯罪活動。.設置密碼時，必須保證密碼長度為6位或以上，并且足夠復雜（如字母和數字混用，有大小寫區別等）。密碼使用期限為6個月，過期后需要更改密碼。.嚴格保密郵箱密碼，不得泄露。.普通員工發送和接收郵件的大小限制為15M。.定期清理個人郵箱，防止郵箱爆滿，影響正常通郵。員工的郵件應在本地PC機上保存。.禁止以電子郵件工具破壞、干擾他人正常工作或無目的地亂發郵件；禁止傳遞游戲、MP3等與辦公無關的郵件。.發送文件時，發件人應主動使用查病毒軟件檢查并確認安全后方可發出，從而盡可能避免病毒通過網絡擴散。.禁止制作、傳播計算機病毒等破壞性程序及其他危害電子郵件安全的活動。4.14.4.服務要求如下：.禁止在郵件服務器上安裝與郵件系統無關的軟件。.對違反操作規定、影響辦公應用或給郵件系統造成嚴重問題的管理員，人力資源部門給予警告等處罰。.郵件進出郵件服務器需經過郵件過濾和病毒掃描。.郵件系統應允許用戶自行更改密碼。.郵件服務器應納入防火墻的管理，防火墻策略應只打開郵件服務必需的端口。.定期對郵件服務器進行安全掃描，保證郵件服務器及時更新。.保證現行的各項保護措施發揮作用，保證郵件服務器所采用的安全補丁的有效性。.應建立郵件服務器的日志文件記錄機制，記錄所有成功和未成功的入侵行為以及所有可疑行為。.應定期對郵件系統進行備份。0.辦公室負責郵件帳號的管理，在員工入職時開通郵件帳號；員工離職時應及時注銷離職員工的郵件帳號信息。1.電子郵件使用規定：在使用公司電子郵件時，嚴禁制作、復制和傳播以下信息：a)捏造或歪曲事實、散布謠言；b)傳播封建迷信或黃色淫穢等不健康的信息；c)公然侮辱他人或捏造事實誹謗他人；d)損害國家或公司信譽的信息；e)其他違反憲法和法律、行政法規的信息。對于違反郵件管理規定的人員，視情節輕重，分別給以批評、教育、警告處理。4.15.日志和監視策略：為了保障公司內部服務器和網絡設備的安全運轉，特制定以下監視策略，適用于公司所有電子設備：a)啟用服務器和網絡設備的日志記錄功能，記錄重要事件日志，包括人員登錄信息和操作信息；b)定期對服務器日志和網絡設備日志進行檢查，以便發現可疑的登錄信息或操作信息；c)日志檢查應保留檢查記錄，未經授權不得刪除日志信息；d)制定對服務器進行定時系統檢查的計劃，檢查內容應包括：硬件有無報錯、系統存儲空間、CPU和內存利用率、中間件狀態、數據庫狀態等；e)制定對網絡設備進行定時系統檢查的計劃，檢查內容應包括：硬件有無報錯、系統存儲空間、CPU和內存利用率、端口狀態、路由表狀態等；f)若發現系統異常，應立即進行異常分析和處理，并保留異常分析和處理記錄。4.16.網絡與信息傳輸安全策略：為保障信息在計算機網絡與信息傳輸過程中的安全，特制定以下策略，適用于公司整個計算機網絡：a)根據信息重要程度等因素，在公司內部網絡中劃分不同的子網或網段，并按照方便管理和控制的原則為各子網、網段分配地址段；b)重要網段與其他網段之間采取可靠的技術隔離手段。公司辦公網和測試網采取物理隔離，辦公網和測試網內部網絡采取邏輯隔離；c)重要網段的網絡接口設備通過網絡地址轉換（NAT）隱藏網絡的內部信息，并提供嚴格的訪問控制策略；d)網絡設備的身份鑒別信息應采取具有防冒性的特點，并采用復雜度適度的口令并設定合理的有效期；e)使用網絡設備對鑒別信息進行保護，避免明文傳輸；f)在網絡設備上使能流量抑制，用于控制廣播、組播以及未知單播報文，防止這三類報文引起廣播風暴；g)在業務終端與業務服務器之間進行路由控制建立安全的訪問路徑。H.公司的無線局域網絡必須確保只有授權的設備才能發送和接收相關的通信內容。I.阻止非授權設備私自連接到公司內部網絡，以及內部網絡用戶私自聯到外部網絡的行為。J.邊界設備必須啟用防攻擊功能，檢測可預見的入侵行為和系統攻擊，并阻斷網絡設備的入侵行為和系統攻擊。K.遠程訪問管理的網絡設備和網絡基礎服務系統應采用安全的遠程訪問機制，并默認關閉遠程訪問管理功能。對遠程連接訪問資源進行限制和檢測功能，防止非授權的遠程連接訪問系統資源。員工通過互聯網遠程訪問內部網必須通過安全的方式連接。L.網絡設備和網絡基礎服務系統應支持脆弱性修補和加固的功能，按企業統一加固升級策略進行維護。4.17.設備安全策略A.所有使用的口令必須具有一定的復雜性和不可猜測性。B.定期更換網絡設備和服務器設備登錄口令。C.嚴格控制對網絡設備和服務器的遠程訪問，只允許指定用戶或指定網絡地址對設備進行訪問。D.關閉網絡設備上不必要的服務。E.所有用于外聯接入的網絡設備必須配置訪問控制列表。F.禁止在網絡設備上接入無關節點。定期檢查路由器配置，刪除多余信息，如路由信息、無關節點信息等，確保沒有無關節點接入。G.確保網絡設備和服務器的物理安全，嚴禁任何人員進行非授權訪問。張貼警告標識和設備標識卡需明確用途。H.非相關人員對接口、電源等操作違反以上要求需對違規操作者進行警告或處罰。4.18.介質處理策略4.18.1.此策略旨在防止未經授權的泄漏、修改、移動和損壞資產，以及對業務活動的干擾。適用于公司所有存儲介質的管理。A.妥善保管移動介質，不得將載有重要信息的移動介質隨意存放。未經安全責任人授權，不得帶出相關區域。B.如移動介質的內容不再需要，應立即清除。備份和存放重要信息的介質應采取焚化或粉碎的方法，或將數據擦除供組織內其他應用使用。C.對長期需要保護的移動介質，應在介質老化前轉儲，以防止介質失效造成的損失。D.在處理大量移動介質時，宜考慮大量不敏感信息成為敏感信息的集聚效應。E.將所有介質存儲在符合制造商說明書的安全、保密環境中。F.移動介質需進行登記，以減少數據丟失的機會。4.19.第三方訪問策略2)資產的標識和分類；3)資產的保護措施，包括物理和邏輯控制；4)資產的備份和恢復；5)資產的處置；c)訪問控制方面，包括：1)訪問控制政策和程序；2)訪問控制技術；3)訪問控制的監測和審計；d)信息安全事件管理方面，包括：1)安全事件的報告程序；2)安全事件的應急響應程序；3)安全事件的調查和糾正措施；e)隱私保護方面，包括：1)隱私保護政策和程序；2)個人信息的保護；3)隱私事件的報告和應對程序；f)合規性方面，包括：1)法律和法規的遵守；2)標準和規范的遵守；3)合同和協議的遵守；g)風險管理方面，包括：1)風險評估和風險處理程序；2)安全控制措施的監測和審計；3)安全控制措施的改進和優化；h)其他方面，包括：1)服務級別協議；2)費用和付款方式；3)違約責任和賠償；4)爭議解決方式。為保證第三方訪問組織內部信息處理設備和信息資產時的安全性及權限控制，需要對訪問進行風險評估，并在合同中明確定義控制措施。訪問類型和訪問原因也是需要考慮的因素，例如物理訪問和邏輯訪問，以及硬件和軟件支持人員、貿易伙伴或合資伙伴等。現場承包方也可能帶來安全隱患，因此需要采取適當的控制措施和簽訂涵蓋連接和訪問條件的合同。合同中需要包括信息安全的總體方針、資產保護、訪問控制、信息安全事件管理、隱私保護、合規性、風險管理和其他方面的條款。只有在實施了適當的控制措施并簽訂了涵蓋連接和訪問條件的合同之后，第三方方可訪問信息和信息處理設備。2.確認資產是否受到危害的程序包括檢查數據是否丟失或被篡改。3.確保在合同截止時或合同執行期間某一雙方同意的時間，信息得到歸還或銷毀控制措施的管理。4.保證信息的完整性和可用性。5.限制信息的復制和泄漏。c.描述可用服務的內容。d.確定服務的目標水平和不可接受的級別。e.規定人員調整的規則。f.確定協約方各自的責任。g.考慮法律責任，如數據保護法規。如果合同涉及到其他國家的組織，還應特別考慮不同國家法律體系之間的差異。h.確定知識產權和版權轉讓以及合作成果保護的規定。4.20變更管理安全策略4.20.1.本策略旨在規范軟件變更與維護管理，提高軟件管理水平，優化軟件變更與維護管理流程。適用于已經開發或采購完畢并正式上線的應用系統，由軟件開發組織移交給應用管理組織后，所發生的生產應用系統（以下簡稱應用系統）運行支持及系統變更工作。4.20.2.系統變更工作分為三類類型：功能完善維護、系統缺陷修改、統計報表生成。功能完善維護是指根據業務部門需求，對系統進行的功能完善性或適應性維護。系統缺陷修改是指對一些系統功能或使用上的問題所進行的修復，這些問題是由于系統設計和實現上的缺陷引發的。統計報表生成是指為了滿足業務部門統計報表數據生成的需要，而進行的不包含在應用系統功能之內的數據處理工作。4.20.3.系統變更工作以任務形式由需求方（一般為業務部門）和維護方（一般為信息部門的應用維護組織和軟件開發組織，還包括合作廠商）協作完成。系統變更過程類似于軟件開發，大致可分為四個階段：任務提交和接受、任務實現、任務驗收和程序下發上線。4.20.4.需求部門提出系統變更需求，并將變更需求整理成《系統變更申請表》，由部門負責人審批后提交給系統管理員。4.20.5.IT部門負責接受需求并上報給主管。開發主管分析需求，并提出系統變更建議。開發主管根據變更建議審批《系統變更申請表》。4.20.6.IT部門根據自行開發、合作開發和外包開發的不同要求組織實現系統變更需求，并將需求提交至內部開發人員、合作開發商或外包開發商，產生供發布的程序。4.20.7.實現過程應按照軟件開發過程規定進行。系統變更過程應遵循軟件開發過程相同的正式、統一的編碼標準，并經過測試和正式驗收才能下發和上線。4.20.8.系統變更后，業務部門的最終用戶需要對系統程序進行測試，并提交《用戶測試報告》給業務部門負責人和開發主管領導簽字確認通過。4.20.9.系統變更完成后，IT部門和業務部門的最終用戶需要共同撰寫《程序變更驗收報告》，經業務部門負責人簽字驗收后，報送IT部經理審批。4.20.10.培訓管理員需要負責對系統變更過程中的文檔進行歸檔管理，所有涉及變更過程的文檔應至少保存兩年。4.20.11.對于緊急變更，需求部門可以通過書面形式（如電子郵件或傳真）提出申請。4.20.12.IT部門需要根據緊急變更的重要性和緊迫性進行判斷，確定其優先級和影響程度，并進行相應處理。4.20.13.在緊急變更過程中，應使用專設的系統用戶賬號，由專責部門或人員啟動緊急修改變更程序。項目管理辦公室需要對緊急變更的處理進行規范的文檔記錄。4.20.14.在緊急事件處理完成后，必須在一周內補辦正式、完整的文檔，其中包括問題發現人填寫的緊急變更申請、問題發現人所在部門負責人對該申請的審批、項目管理人員測試記錄（包括簽字確認測試結果）。4.20.15.系統變更過程中，應采取各種措施保證維護環境程序代碼訪問權限受到良好控制。這些措施包括：a)通過系統用戶的授權管理，確保只有特定人員能進行系統維護工作；b)如果使用專用程序開發工具，只有授權人員才能使用程序開發工具；c)通過對源代碼的訪問控制，限制只有授權人員才能獲得源代碼以進行系統維護；d)在進行自有系統的程序變更時，應建立版本控制制度確保每次在最新的代碼基礎上進行更改，當多名程序員同時進行更改工作時，能夠進行適當協調；e)通過對系統日志的審閱，監督系統維護人員在系統中的操作，確認維護工作的授權；f)在進行自有系統的程序變更時，應防止源代碼在完成測試到正式上線之間的非授權修改。4.20.16.系統變更過程中，采取各種措施保證生產系統應用程序訪問權限受到良好控制。這些措施包括：a)通過生產環境的訪問控制，限制對生產環境的訪問；b)通過物理隔離的手段，限制對生產環境的訪問；c)通過邏輯隔離的手段，限制對生產環境的訪問；d)對授權訪問生產環境的人員進行詳細記錄，使用該記錄對生產環境訪問權限的檢查，確保只有經授權人員才能訪問生產環境。E)普通用戶只能通過前臺登錄系統，無法使用生產環境操作系統的命令行進行操作。F)信息技術人員不應該擁有前臺應用程序的業務操作訪問權限，更不應該在前臺應用程序中擔任實際的業務操作任務。G)從技術角度限制開發人員對生產環境中應用程序文件夾的訪問權限，只有經過授權的人員才能對程序擁有讀、寫和執行的權限。H)禁止信息技術人員共享操作系統級別的賬號。4.20.17設備用途參數變更在業務使用過程中，如果需要變更設備用途及系統參數，需填寫《系統變更申請表》，并經IT部領導確認后才能進行變更處理。同時，還需要形成《系統變更記錄表》。4.20.18系統及設備的整體變更如果在業務驗收過程中出現涉及到系統、設備用途及系統參數等不符合項目規劃的情況，需要填寫《系統變更申請表》明確變更目標，并由IT部領導確認后才能進行變更處理。同時，還需要形成《系統變更記錄表》。4.21計算機管理策略該策略旨在規范公司電腦的使用，保證公司資訊安全及計算機正常工作，防止各種計算機病毒的入侵，提高電腦的利用效率。適用于公司所有電腦，相關規定可參考《公司電腦使用管理規范》。4.22打印、復印管理策略該策略旨在保證公司信息安全，避免隨意打印、復印造成信息泄漏。適用于公司所有打印機。A)任何人員不允許私自連接打印機、復印機，必須經過IT部技術人員連接。使用部門需要指定人員對部門打印機、復印機進行使用及維護管理。必要時，打印機、復印機管理人員需要對打印機、復印機設置使用密碼。B)如因打印復印造成的信息安全泄密，安保部將對導致信息泄漏或信息安全風險的事件進行調查。C)人事行政部負責協助中央保安部對違規部門進行調查及處罰。D)所有打印機、復印機均需要做好《打印、復印記錄》，記錄打印的內容