信息安全管理規(guī)范

企業(yè)

版本信息

目前版本：

最新更新日期：

最新更新作者：

作者：

創(chuàng)立日期：

審批人：

審批日期：

修訂歷史

版本號更新日期修訂作者重要修訂摘要

TableofContents（目錄）

1.企業(yè)信息安全規(guī)定................................錯誤床定義書簽。

1.1信息安全方針........................................錯誤!未定義書簽。

1.2信息安全工作準則...................................錯誤味定義書簽。

1.3職責................................................錯誤床定義書簽。

1.4信息資產(chǎn)的分類規(guī)定..................................錯誤!未定義書簽。

1.5信息資產(chǎn)的分級（保密級別）規(guī)定.....................錯誤味定義書簽。

1.6現(xiàn)行保密級別與原有保密級別對照表....................錯誤床定義書簽。

1.7信息標識與處置中的角色與職責........................錯誤味定義書簽。

1.8信息資產(chǎn)標注管理規(guī)定................................錯誤味定義書簽。

1.9容許的信息互換方式..................................錯誤味定義書簽。

1.10信息資產(chǎn)處理和保護規(guī)定對應表.......................錯誤!未定義書簽。

1.11口令使用方略........................................錯誤味定義書簽。

1.12桌面、屏幕清空方略..................................錯誤床定義書簽。

1.13遠程工作安全方略....................................錯誤味定義書簽。

2.2什么是信息安全？.................................................25

2.3信息安全的三要素...................................錯誤味定義書簽。

2.4什么是信息安全管理體系？.........................................26

2.5建立信息安全管理體系的目的.........................錯誤!未定義書簽。

2.6信息安全管理的PDCA模式............................錯誤味定義書簽。

2.7安全管理?風險評估過程.............................錯誤味定義書簽。

2.8信息安全管理體系原則（IS027001原則家族）................錯誤!未定義書簽。

2.9信息安全控制目B勺與控制措施.........................錯誤味定義書簽。

1.企業(yè)信息安全規(guī)定

1.1信息安全方針

■擁有信息資產(chǎn)，積累、共享并保護信息資產(chǎn)是我們共同的責任。

管理與技術并重，保證企業(yè)信息資產(chǎn)的安全，保障企業(yè)持續(xù)正常運行。

履行對客戶知識產(chǎn)權的保護承諾，保障客戶信息資產(chǎn)的安全，滿足并超越客

戶信息安全需求。

1.2信息安全工作準則

■保護信息B勺機密性、完整性和可用性，即保證信息僅供應那些獲得授權的人

員使用、保護信息及信息處理措施H勺精確性和完整性、保證獲得授權的人

員能及時可靠地使用信息及信息系統(tǒng)；

■企業(yè)通過建立有效的信息安全管理體系和必要的技術手段，保障信息資產(chǎn)日勺

安全，減少信息安全風險；

■各級信息安全責任者負責所轄區(qū)域的信息安全，通過建立有關制度及有效的

保護措施，保證企業(yè)的信息安全方針得到可靠實行；

■全體員工應只訪問或使用獲得授權的信息系統(tǒng)及其他信息資產(chǎn)，應按規(guī)定選

擇和保護口令；

■未經(jīng)授權，彳丑可人不得對企業(yè)信息資產(chǎn)進行復制、運用或用于其他目的；

■應及時檢測病毒，防止惡意軟件的襲擊；

■企業(yè)擁有為保護信息安全而使用監(jiān)控手段的權力，任何違反信息安全政策H勺

員工都將受到對應處理；

通過建立有效和高效的信息安全管理體系，定期評估信息安全風險，持續(xù)改

善信息安全管理體系。

1.3職責

全體員工應保護企業(yè)信息資產(chǎn)的安全。每個員工必須認識到信息資產(chǎn)的價

值，負責保護好自己生成、管理或可觸及日勺波及時數(shù)據(jù)和信息。員工必須遵守

《信息標識與處理程序》，理解信息的保密級別。對于不能確定與否為涉密信

息的內(nèi)容，必須征得有關管理部門確實認才可對外披露。員工必須遵守信息安

全有關的各項制度和規(guī)定，保證B勺系統(tǒng)、網(wǎng)絡、數(shù)據(jù)僅用于的各項工作有關的

用途，不得濫用。

1.4信息資產(chǎn)的分類規(guī)定

企業(yè)的信息資產(chǎn)分為電子數(shù)據(jù)、軟件、硬件、實體信息、服務五大類。

類別闡明

電子數(shù)據(jù)存在信息媒介上的多種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫數(shù)據(jù)等多

種電子化B勺數(shù)據(jù)資料、項目文檔、管理文檔、運行管理規(guī)程、計

戈人匯報、顧客手冊、作業(yè)指導書等多種電子化的數(shù)據(jù)資料。

軟件包括系統(tǒng)軟件、應用軟件、共享軟件

系統(tǒng)軟件：操作系統(tǒng)、語言包、工具軟件、多種庫等；

應用軟件：外部購置時應用軟件，辦公軟件等；

共享軟件：多種共享源代碼、共享可執(zhí)行程序等。

共享軟件：多種共享源代碼、共享可執(zhí)行程序等。

硬件網(wǎng)絡設備：路由器、網(wǎng)關、互換機等

計算機設備：大型機、服務器、工作站、臺式計算機、移動計算

機等

存儲設備：磁帶機、磁盤陣列、工控機等

移動存儲設備：磁帶、光盤、軟盤、U盤、移動硬盤等

傳播線路：光纖、雙絞線等

基礎保障設備：（UPS、變電設備等）、空調(diào)、保險柜、文獻

柜、門禁、消防設施等，如對基礎設施使用屬于租用形式，請將其識

別到服務類別中。

安全保障設備：硬件防火墻、入侵檢測系統(tǒng)、身份驗證等

其他電子設備：打印機、復印機、掃描儀、機等

其他電子設備：打印機、復印機、掃描儀、機等

實體信息紙制的多種文獻、協(xié)議、、會議紀要、財務報表、證書、電

報、發(fā)展計劃以及各類其他材質(zhì)的證書獎牌等O

服務通過多種協(xié)議方式固化下來的服務活動、如物業(yè)、第三方、供應

商、提供檢修服務的提供方等。

1.5信息資產(chǎn)的分級（保密級別）規(guī)定

信息資產(chǎn)名稱闡明

分為：-

般、內(nèi)部

公開、企

業(yè)秘密、

企業(yè)機密

4個保密

級別。

保密級別

1一般性信息，可以公開的信息、信息處理設備和系統(tǒng)

資源。

2內(nèi)部公非敏感但僅限企業(yè)內(nèi)部使用的信息、信息處理設備和

開系統(tǒng)資源。

3企業(yè)秘敏感的信息、信息處理設備和系統(tǒng)資源，只給必須懂

密得者。

4企業(yè)機敏感H勺信息、信息處理設備和系統(tǒng)資源，僅合用很少

密數(shù)必須懂得的人。

1.6現(xiàn)行保密級別與原有保密級別對照表

保密級別與企業(yè)原有的保密級別與之相稱的原有保密級別

的對照表如下：

現(xiàn)行口勺保密級^

一般一般

內(nèi)部公開秘密

企業(yè)秘密機密

企業(yè)機密絕密

1.7信息標識與處置中的角色與職責

角色職責

負責人：信息資產(chǎn)B勺創(chuàng)立者，■理解和多種信息訪問活動有關B勺安全風

或者重要顧客所在組織、單位險；

或部門的負責人。信息資產(chǎn)負■根據(jù)企業(yè)信息密級劃分原則來確定所屬信

責人對所屬信息資產(chǎn)負直接責息資產(chǎn)的級別;

任。■根據(jù)企業(yè)有關方略確定并檢查信息訪問權

限；

■針對所屬信息資產(chǎn)提出恰當B勺保護措施。

保管者：受信息資產(chǎn)負責人■根據(jù)企業(yè)有關方略和信息資產(chǎn)負責人的規(guī)

委托，對信息資產(chǎn)進行平常定，負責信息資產(chǎn)的維護操作和平常管理

的管理，維護已經(jīng)建立的保事務；

護措施。資產(chǎn)保管者一般是■負責詳細設置信息訪問權限；

企業(yè)或部門的IT管理者或者■負責所管理的信息資產(chǎn)的安全控制；

代表（例如系統(tǒng)管理員）。■布署恰當?shù)陌踩珯C制，進行備份和恢復操

作；

■按照信息資產(chǎn)負責人的規(guī)定實行其他控

制。

顧客：信息資產(chǎn)的使用者，除■向信息負責人申請信息訪問；

了企業(yè)內(nèi)部員工，也也許是由■按照企業(yè)信息安全方略規(guī)定合法訪問信息,

于業(yè)務需要而訪問企業(yè)信息的嚴禁非授權訪問；

客戶或第三方組織。■向有關組織匯報隱患、故障或者違規(guī)事

件。

1.8信息資產(chǎn)標注管理規(guī)定

(1)企業(yè)所屬的各類信息資產(chǎn)，無論其存在形式是電子、紙質(zhì)還是磁盤等，都

應在明顯位置標注其保密級別。

(2)一般電子或紙質(zhì)文檔應在該文檔頁眉的右上角或頁腳上標注其保密級別

或在文獻封面打上保密章，磁盤等介質(zhì)應在其表面非數(shù)據(jù)區(qū)予以標注其

保密級別。

(3)假如某存儲介質(zhì)中包括各個級別H勺信息，作為整體考慮，該存儲介質(zhì)。勺保

密級別標注應以最高為準。

(4)假如沒有明顯的保密級別標注，該信息資產(chǎn)以"一般"級別看待。

(5)對于對外公開的信息，需要得到有關負責人的核準，并由對外信息公布部

門統(tǒng)一處理。

如需在信息資產(chǎn)上表述保密申明，可采用如下兩種表述方式：

表述方式一：”保密申明：企業(yè)資產(chǎn)，注意保密。"

表述方式二："保密申明：本文檔受國家有關法律和企業(yè)制度保護，不

得私自復制或擴散。”

1.9容許的信息互換方式

企業(yè)容許的信息互換方式有：郵件、視頻、、網(wǎng)站內(nèi)容公布、文獻共

享、、光盤、磁盤、磁帶和紙張。

1.10信息斐產(chǎn)處理和保護規(guī)定對應表

企業(yè)機密企業(yè)秘密內(nèi)部公開一般

授需得到負責人和需得到有關負責需得到負無尤其

權企業(yè)管理層同意人及部門領導同意責人同意規(guī)定

只能被得到授權只能被企業(yè)內(nèi)部可以被企任何企

B勺企業(yè)很少數(shù)關鍵或外部得到明確授業(yè)內(nèi)部或外業(yè)員工或

人員訪問權的人員訪問，訪問部由于業(yè)務外部人員

訪

者應當簽訂保密協(xié)需要的人員都可以訪

問

議訪問問

電子類的應當加電子類的應當妥電子類的以恰當

密存儲在安全的計善保留在設有安全應當妥善保方式保留，

算機系統(tǒng)內(nèi)；硬拷控制的計算機系統(tǒng)管，可以進行防止被非

貝應當鎖在安全日勺內(nèi)（提議進行信息加密；紙質(zhì)授權人員

存

保險柜內(nèi)；嚴禁以加密）；硬拷貝應不成放在桌看到；存

儲

其他形式存儲或顯當妥善保管，嚴禁擺面儲有信息

示放在桌面；使用白的介質(zhì)防

止丟失

板展小后應立即擦

除

得到有關負責人須經(jīng)有關負責人經(jīng)有關負內(nèi)部復

及企業(yè)管理層同同意，并讓專人操作責人同意制無限制

復意；需要登記或監(jiān)督實行，需要登

制記

嚴禁打印（或在須經(jīng)有關負責人經(jīng)有關負無限制，

授權狀況卜專人負許可，打印件標注密責人許可，打打印件標

責打印，不得打印到級并妥善管理，不得印件標注密注密級

打

無人值守機）打印到無人值守機級并妥善管

印

理

嚴禁郵件直接發(fā)須經(jīng)有關負責人經(jīng)有關負無限制

送，經(jīng)授權后做電子許可，郵件發(fā)送應做責人許可

簽名和加密控制，經(jīng)加密控制，保留記錄

郵

安全的途徑發(fā)送，保

件

留記錄

須經(jīng)有關負責人經(jīng)有關負無限制

許可后專人負責責人許可

經(jīng)授權后采用妥經(jīng)授權后，由簽經(jīng)授權后，無限制

善的保護措施，由專訂了特定安全協(xié)議由簽訂了特

人快遞定安全協(xié)議

快B勺專門的快遞企業(yè)

快遞的專門的快

遞

遞企業(yè)快遞

內(nèi)部分經(jīng)有關負責人和經(jīng)有關負責人同經(jīng)授權后，無限制

發(fā)企業(yè)管理層同意后，意后，密封分發(fā)，或以內(nèi)部郵件

密封分發(fā)，或以容許以容許的電子分發(fā)形式發(fā)放，或

的電子分發(fā)形式進形式進行安全的分直接進行硬

行安全的分發(fā)發(fā)拷貝分發(fā)

經(jīng)有關負責人和經(jīng)有關負責人同經(jīng)授權后，經(jīng)授權

企業(yè)若埋層同意后意后分發(fā)，需簽訂保以郵件或者后，以容許

分發(fā)，需要簽訂特定密協(xié)議，需要進行登快遞方式分日勺分發(fā)方

對外分

的保密協(xié)議，需要進記發(fā)，提議簽訂式分發(fā)

發(fā)

行登記保密協(xié)議

碎紙機；徹底銷碎紙機；徹底捎保留件標電子記

毀介質(zhì)；電子記錄毀介質(zhì)；電子記錄明作廢；電錄定期消

處定期消除；進行檢定期消除；進行檢子記錄定期除，介質(zhì)銷

理查確認查確認消除；介質(zhì)毀

銷毀

直接負責人應有跟蹤文獻復制、無規(guī)定不提議

收件人、復制者、保留、瀏覽、銷毀

記錄跟E躺

保留者、瀏覽者、過程，應有記錄

蹤

銷毀者的日志記錄

1.11口令使用方略

(1)全體員工在挑選和使用口令時，應:

(2)保證口令的機密。

(3)除非能安全保留，防止將口令記錄在紙上。

(4)只要有跡象表明系統(tǒng)或口令也許遭到破壞，應立即更改口令。

A.選用高質(zhì)量內(nèi)口令，至少要有6個字符，此外：

B.口令應由字母加數(shù)字構成；

C.口令不應采用如姓名、號碼、生日等輕易猜出或破解的信息。

(5)每三個月更改或根據(jù)訪問次數(shù)更改口令(尤其是特權顧客)，防止再次

使用或循環(huán)使用舊口令。

(6)初次登錄時，應立即更改臨時口令。

(7)不得共享個人顧客口令。

1.12桌面、屏幕清空方略

(1)為了減少在正常工作時間以外對信息進行未經(jīng)授權訪問所帶來的風險、

損失和損害，員工應：

(2)在閑置或工作時間之外將紙張或計算機存儲介質(zhì)儲存在合適的柜子或其

他形式的安全設備中。

(3)當辦公室無人時將關鍵業(yè)務信息放置到安全地點(例如防火的保險箱或

柜子中)0

(4)在無人使用時，將個人計算機、計算機終端和打印機、復印機設為鎖定

狀態(tài)。

為個人計算機、計算機終端設定密碼，同步設定屏保時間(＜二15分

鐘)。

在打印保密級別為企業(yè)機密、企業(yè)秘密的信息后，應立即從打印機中清除

有關痕跡，并有效保護打印出來的信息內(nèi)容。

3遠程工作安全方略

(1)必須保護好遠程工作場所防止盜竊設備和信息、未經(jīng)授權公開信息、對

企業(yè)內(nèi)部系統(tǒng)進行遠程非法訪問或濫用設備等行為。員工應：

(2)保障物理安全。

(3)對家人和客人使用設備進行限制。假如必須要使用，應在旁邊進行監(jiān)督

和控制，保證關鍵業(yè)務信息的安全。

(4)遠程工作活動結束時，權限以及設備及時收回。

網(wǎng)絡遠程登錄終端的撥號密碼即VPN帳號僅限本人使用，不容許他人使

用。

進入企業(yè)或客戶B勺信息系統(tǒng)工作完畢后，必須立即退出系統(tǒng)。

1.14移動辦公方略

(1)使用移動辦公設備(如筆記本電腦)時，員工尤其應當注意保證業(yè)務信

息不受損壞、非法訪問或泄密：

(2)移動辦公設備需要帶出企業(yè)工作場所時，應進行登記。

(3)在公共場所使用移動辦公設備時，必須注意防備被未經(jīng)授權的人員窺視。

(4)應實時更新用于防備惡意軟件的程序。

(5)應對信息進行以便快捷的備份。

(6)備份B勺信息應當予以合適B勺保護以防信息被盜或丟失。

(7)使用移動辦公設備通過公共網(wǎng)對企業(yè)商務信息進行遠程訪問時必須進行

身份識別和VPN訪問控制.

(8)防止移動辦公設備被盜。

(9)防止保密級別為企業(yè)秘密級以上的信息所在的移動辦公設備無人看守。

1.15介質(zhì)的申請、使用、掛失、報廢規(guī)定

介質(zhì)責任者任務有關文獻或記錄

的申

請：

序號

1資產(chǎn)管理員按照企業(yè)的固定資產(chǎn)或《固定資產(chǎn)管理制度》

消耗資材申領方式向企《計算機維護消耗資材管

業(yè)申領介質(zhì)。

理措施》

2資產(chǎn)管理員從企業(yè)領取介質(zhì)并登記《介質(zhì)登記表》

到《介質(zhì)登記表》中C

3資產(chǎn)管理員如通過設備管理，需通參見使用闡明

過usb使用的移動存儲

介質(zhì)在中注冊。

4資產(chǎn)管理員在《介質(zhì)登記表》中登《介質(zhì)登記表》

記發(fā)放時間，使用人等

信息后發(fā)放介質(zhì)。

A.介質(zhì)的］使用：

B.如安裝了設備，所有工作中使用的USB存儲介質(zhì)都應在中進行注冊。

C.假如確認介質(zhì)中的內(nèi)容不再需要，應立即將其以可靠方式清除。

(1)假如數(shù)據(jù)需要保留，則使用人應當保留在有良好安全措施B勺個人計算機

和服務器上，而不應當放在計算機活動介質(zhì)中。

（2）所有的備份介質(zhì)都應寄存在安全可靠的地方，并符合生產(chǎn)廠家闡明書的

安全規(guī)定。

介質(zhì)責任者任務有關文獻或記錄

時掛

失：

序號

1使用者使用人立即向資產(chǎn)管理員申報掛失

2資產(chǎn)管理員假如是通過usb使用的移動存儲介

質(zhì)被掛失且在上注冊過，則應在上

進行注銷。

3資產(chǎn)管理在介質(zhì)登記表中登記掛失《介質(zhì)登記表》

員

介質(zhì)責任者任務有關文獻或記錄

時報

廢：

序號

1使用者1）、書面文獻用碎紙機粉碎

2）、其他介質(zhì)報廢，使用人向

資產(chǎn)管理員申請介質(zhì)報廢。

2）、其他介質(zhì)報廢，使用人向

資產(chǎn)管理員申請介質(zhì)報廢。

2資產(chǎn)管理假如是通過usb使用H勺移動存

員儲介質(zhì)且在上注冊過，則應在上進

行注銷。

3資產(chǎn)管理按照企業(yè)的固定資產(chǎn)和消耗資《固定資產(chǎn)管理制

員材日勺報廢流程實行。度》

《計算機維護消耗

資材管理措施》

4資產(chǎn)管理在介質(zhì)清單中登記已報廢《1介質(zhì)登記表》

員

1.16信息安全事件管理流程

(1)發(fā)現(xiàn)

A.企業(yè)全體員工均有責任和義務將已發(fā)現(xiàn)的或可疑的事件、故障和微

弱點及時匯報給有關部門或人員。

B.任何企圖阻攔、干擾、報復事件匯報者的行為都被視為違反企業(yè)方

略。

(2)匯報

(3)對于部門范圍內(nèi)的信息安全事件，當事人可直接向部門負責人匯報，并按

照本部門規(guī)范遂行處理。事件處理者需填寫附錄中的《信息安全事件匯

報處理記錄單》，每月將有關記錄上交過程管理部。

(4)除部門內(nèi)可以自行處理的信息安全事件外，其他信息安全事件必須統(tǒng)一

上報給客服記錄。

(5)響應

A.客服對信息安全事件做出最初響應，:將技術方面H勺信息安全事件交

給系統(tǒng)服務部組織處理，將管理方面B勺信息安全事件交給過程管理

部組織有關部門進行處理。

B.需要做深入調(diào)查的信息安全事件，當其影響范圍波及整個企業(yè)或影

響程度嚴重阻礙了企業(yè)時正常運行時，匯報給信息安全管理委員會。

■事件響應及處理者在處理安全事件時應考慮如下優(yōu)先次序：

■保護人員的生命與安全

■保護敏感的設備和資料

■保護重要的數(shù)據(jù)資源

■防止系統(tǒng)被損壞

■將企業(yè)遭受B勺損失降至最小

(6)假如發(fā)生違法事件，事件有關波及部門要采集并保留有效證據(jù)，上交過程

管理部匯報給企業(yè)最高管理者決策，由法務部向外部法律機構匯報。必

要時，法務部可以尋求外部專家的支持。

(7)評價/調(diào)查

(8)安全事件或故障發(fā)生之后，事件處理者要對事件或故障的類型、嚴重程

度、發(fā)生的原因、性質(zhì)、產(chǎn)生的損失、負責人進行調(diào)查確認，形成事件

或故障評價資料。

(9)懲戒

A.要根據(jù)事件的嚴重程度、導致的損失、產(chǎn)生B勺原因?qū)`規(guī)者進行

教育或者懲罰。

B.懲戒手段可包括通報批評、行政警告、經(jīng)濟懲罰、調(diào)離崗位、根

據(jù)協(xié)議予以解雇，對于觸犯刑律者可交司法機關處理。

C.詳細懲罰原則參見《信息安全管理職責程序》。

(10)公告

A.事件的調(diào)查成果要反饋給當事部門領導。

B.當事部門可組織有關B勺人員進行學習和培訓。

1.17電子郵件安全使用規(guī)范

(1)企業(yè)電子郵件系統(tǒng)嚴禁用于創(chuàng)立與分發(fā)任何具有破壞性、歧視性的信息,

包括對種族、性別、殘疾人、年齡、職業(yè)、性取向、宗教信奉、政治信

念、國籍等方面的襲擊性語言。企業(yè)的員工假如接受到任何具有此類信

息的郵件，應立即向主管領導進行匯報。

(2)嚴禁使用企業(yè)帳號發(fā)送連鎖信。嚴禁使用企業(yè)電子郵件帳號發(fā)送病毒或

惡意代碼警告郵件。這些規(guī)則也合用于當企業(yè)員工接受到此類電子郵件

并進行轉(zhuǎn)發(fā)的狀況。

(3)使用H勺郵件軟件客戶端要及時升級，減少由于軟件的漏洞而受到外部襲

擊，防止因此而導致的郵件丟失和系統(tǒng)中毒.

(4)郵件必須有標題，盡量以文本方式瀏覽郵件。

(5)陌生人的郵件附件盡量不要打開，嚴禁撰寫、發(fā)送、轉(zhuǎn)發(fā)多種垃圾郵件,

嚴禁在未經(jīng)授權的狀況下運用他人的計算機系統(tǒng)發(fā)送互聯(lián)網(wǎng)電子郵件。

(6)嚴禁使用工作郵箱從事任何非法活動及其與工作無關的郵件。

(7)為了保證郵件安全嚴禁使用自動轉(zhuǎn)發(fā)功能c

(8)企業(yè)業(yè)務信息郵件必須使用企業(yè)規(guī)定B勺業(yè)務專用郵箱發(fā)送，除了業(yè)務有

關郵件嚴禁使用業(yè)務郵箱發(fā)送其他郵件。

(9)郵件必須主題明確，可以通過郵件主題判斷業(yè)務類別。

做好郵件的病毒防護工作。發(fā)送郵件應當注意郵件的保密，防止泄漏企業(yè)

機密。

所有員工都要嚴格遵守《電子郵件安全使用規(guī)范》的有關規(guī)定，員工之間

應互相監(jiān)督，及時制止違反規(guī)定的人員，對于使用企業(yè)郵箱傳播反動言論、從事

任何與法律或企業(yè)制度相違活動B勺人員將禁用或者注銷其郵箱，并根據(jù)情節(jié)嚴

重予以對應懲罰或提交司法機關處理。

8設備報廢信息安全規(guī)定

報廢設備上交前，使用者自己負責將設備介質(zhì)中B勺信息進行備份，機電一體

化產(chǎn)品事業(yè)部負責將設備介質(zhì)中B勺所有信息清除掉，以防信息泄漏。

1.19顧客注冊與權限管理方略

(1)對任何多顧客使用B勺信息系統(tǒng)和服務設施進行訪問，應：

(2)使用唯一的顧客名，以便將顧客與其操作聯(lián)絡起來，使顧客對其操作負責。

只有因工作需要才容許使用組顧客名。

(3)添加新顧客或顧客權限變更時應有書面申請并通過審批。

(4)系統(tǒng)管理員對新注冊顧客進行授權。

(5)應記錄所有注冊顧客。

(6)顧客因工作變更或離開組織時，應立即取消其訪問權限。

1.20系統(tǒng)權限管理的負責人應定期組織檢查并刪除多出的

顧客名和賬戶，并對顧客的訪問權限進行定期評審或在

變動后進行評審。

1.21系統(tǒng)權限管理的負責人需要嚴格控制特權的分派和使

用，要對特權的分派和使用狀況進行評審，保證沒有非

法授予顧客特權，以保證對數(shù)據(jù)和信息服務的訪問進行

了有效的控制。

1.22顧客口令管理

(1)在進行信息系統(tǒng)的口令管理，應：

(2)顧客需要自己維護口令，系統(tǒng)僅在開始時提供一種安全的臨時口令，顧客

需要立即更改臨時口令。顧客忘掉口令時，必須在對該顧客進行合適的

身份核算后才能向其提供臨時口令。

(3)在向顧客提供臨時口令時必須保證其安全防止使用第三方或無保護時

(明文)電子郵件，顧客應對收到的口令予以確認。

(4)不容許在計算機系統(tǒng)上以無保護的形式存儲口令。

1.23保證個人口令安全，保證工作組口令僅在本組組員間共

享。

1.24終端網(wǎng)絡接入準則

1.25企業(yè)網(wǎng)絡覆蓋范圍內(nèi)使用的每臺計算機，員工均應安裝

企業(yè)規(guī)定的防毒軟件，不得私自使用其他防毒軟件。

1.26終端使用安全準則

(1)每臺計算機應啟動實時監(jiān)控功能，定期進行計算機病毒檢測，并及時對防

毒軟件或病毒特性庫進行升級更新。

(2)每臺計算機應定期連接企業(yè)網(wǎng)絡并從病毒服務器獲得防病毒軟件的最新

定義碼及掃描引擎。

(3)為防止計算機使用人員私自卸載客戶端及信息安全客戶端，卸載密碼和

工具由系統(tǒng)服務事業(yè)部統(tǒng)一管理。

(4)企業(yè)不定期組織有關部門對客戶端及信息安全客戶端安裝狀況進行咕查。

抽查狀況將通報各有關部門并列入年度的績效考核。

(5)計算機使用人員在安裝、使用客戶端及信息安全客戶端中碰到技術問題，

可通過撥打客戶服務熱線尋求技術支持。

(6)為防止惡意代碼的侵擾，每臺計算機必須按《訪問控制管理程序》第

5.2.1節(jié)的規(guī)定設置管理員口令；網(wǎng)絡共享文獻必須設置密碼和只讀權限。

(7)任何部門和個人不得制作、復制、傳播計算機病毒，任何部門和個人負

有清除或防治計算機病毒的義務。

1.27不使用來路不明或具有盜版軟件的軟盤與光盤，不隨意

安裝執(zhí)行從網(wǎng)絡上下載的多種程序。當需要從計算機信

息網(wǎng)絡上下載程序、數(shù)據(jù)或者購置、維修、借入計算機

設備時，應當進行計算機病毒檢測。

1.28使用電子郵件，對來路不明的郵件(尤其是具有附件的

郵件),收到后不要打開，直接刪除并清空廢件箱。

1.29出口防火墻的平常管理規(guī)定

(1)為企業(yè)的出口防火墻設置只讀權限，便于監(jiān)視進出我司的所有訪問。

(2)對防火墻的接口IP地址、顧客名、口令及配置文獻信息進行嚴格管理。

(3)除授權人員外，嚴禁任何人員物理接觸防火墻；對防火墻的遠程管理僅

限于指定IP地址、指定管理方式、指定顧客、指定顧客的管理權限。

(4)嚴禁連接企業(yè)網(wǎng)絡的任何J單位和人員以任何形式對防火墻進行襲擊。

(5)集中搜集、存儲防火墻報警日志，定期檢查防火墻安全記錄，優(yōu)化防火墻

訪問規(guī)則，杜絕安全漏洞。

(6)定期使用安全評估系統(tǒng)檢查防火墻的各項服務與否有漏洞。

部門如有企業(yè)出口防火墻的變更需求，必須通過企業(yè)審批，立案在冊，由系

統(tǒng)服務部統(tǒng)一操作。

1.30局域網(wǎng)的平常管理規(guī)定

各部門不圖各私店構建的局域網(wǎng)接入企業(yè)網(wǎng)絡。如需接入必須通過企業(yè)審

批，立案在冊，由系統(tǒng)服務部統(tǒng)一操作。

員工在辦公區(qū)域只能通過企業(yè)內(nèi)網(wǎng)聯(lián)入互聯(lián)網(wǎng)。

1.31集線器、互換機.無線AP的平常管理規(guī)定

(1)各部門不得私自使用網(wǎng)絡訪問設備。

(2)嚴禁使用路由器及無線路由設備。

(3)如需使用集線器、互換機、無線AP,必須通過企業(yè)審批，立案在冊。

(4)無線AP必須設置符合安全規(guī)定的密碼(詳細規(guī)定參見管理文獻《訪問控

制管理程序》中5.2.1的規(guī)定)，只有被授權人員方可使用無線網(wǎng)絡。

(5)企業(yè)定期檢查集線器、互換機、無線AP的登記和使用狀況。

1.32網(wǎng)絡專線的平常管理規(guī)定

(1)各部門不得私自搭建網(wǎng)絡專線。如需使用網(wǎng)絡專線必須通過企業(yè)官批,

立案在冊。

(2)企業(yè)定期檢查網(wǎng)絡專線的登記和使用狀況c

1.33信息安全懲戒

(1)全體員工(含臨時員工、派遣員工、實習員工、常駐外包員工)均應遵

守所有與信息安全有關的管理規(guī)定，不容許任何部門或人員有損害企業(yè)

信息安全的行為。

(2)對違反信息安全管理規(guī)定，并導致嚴重后果的部門或員工，由企業(yè)信息安

全管理委員會授權實行懲戒。

懲戒手段包括通告、行政警告、經(jīng)濟懲罰、調(diào)離崗位、根據(jù)協(xié)議予以解雇，

對于觸犯刑律者移交司法機關處理。

對于的協(xié)議承包商和外部顧客，假如違反了信息安全管理規(guī)定，企業(yè)信息安

全委員會有權提議企業(yè)中斷與他們的協(xié)議和協(xié)議C

2.信息安全知識

什么是信息？

是來自任何來源的知識。

＞在ISO27001的原則里：

＞信息是一種資產(chǎn)，就象其他重要的企業(yè)資產(chǎn)司樣，

＞信息資產(chǎn)對組織具有價值，因而需要受到妥善的保護。

＞信息是有生命周期的。

安全保護應兼顧到從其創(chuàng)立或誕生，到被使用或操作，到存儲，再到被傳遞，直至其生

命期結束而被銷毀或丟棄。

2.1什么是信息安全？

2.2信息安全的目的是，保護信息不受多種威脅，以保證業(yè)務持續(xù),

將企業(yè)損失降至最低，將投資收益與商業(yè)機會最大化。

2.3信息安全的任務是，要采用措施（技術手段及有效管理）讓這

些信息資產(chǎn)免遭威脅，或者將威脅帶來的后果降到最低程度，

以此維護組織的正常運作。

2.4信息安全的三要素

■機密性

■完整性

■可用性

注：

1）、機密性：信息不可用或不被泄漏給未授權的個人、實體或