信息風(fēng)險(xiǎn)評(píng)估有關(guān)制度

1總則

第1條為規(guī)范信息安全管理工作，加強(qiáng)過(guò)程管理和基礎(chǔ)設(shè)施管理日勺風(fēng)險(xiǎn)分析及防備，建立

安全責(zé)任制，健全安全內(nèi)控制度，保證信息系統(tǒng)日勺機(jī)密性、完整性、可用性，特制定本規(guī)定。

2合用范圍

第2條本規(guī)定合用于。

3管理對(duì)象

第3條管埋對(duì)象指構(gòu)成計(jì)算機(jī)信息系統(tǒng)的系統(tǒng)、設(shè)備和數(shù)據(jù)等信息資產(chǎn)和人員的安全。重

要范圍包括:人員安全、物理環(huán)境安全、資產(chǎn)識(shí)別和分類、風(fēng)險(xiǎn)管理、物理和邏輯訪問(wèn)控制、

系統(tǒng)操作與運(yùn)行安全、網(wǎng)絡(luò)通訊安全、信息加密與解密、應(yīng)急與劫難恢復(fù)、軟件研發(fā)與應(yīng)用

安全、機(jī)密資源管理、第三方與外包安全、法律和原則的符合性、項(xiàng)目與工程安全控制、安

全檢查與審計(jì)等。

4第四章術(shù)語(yǔ)定義

DMZ:用于隔離內(nèi)網(wǎng)和外網(wǎng)的區(qū)域，此區(qū)域不屬于可信任的內(nèi)網(wǎng)，也不是完全開(kāi)放給因特網(wǎng)。

容量:分為系統(tǒng)容量和環(huán)境容量?jī)煞矫妗Ｏ到y(tǒng)容量包括CPU、內(nèi)存、硬盤存儲(chǔ)等。環(huán)境容量

包括電力供應(yīng)、濕度、溫度、空氣質(zhì)量等。

安全制度:與信息安全有關(guān)的制度文檔，包括安全管理措施、原則、指導(dǎo)和程序等。

安全邊界:用以明確劃分安全區(qū)域，如圍墻、大廈接待處、網(wǎng)段等。

惡意軟件:包括計(jì)算機(jī)病毒、網(wǎng)絡(luò)蠕蟲、木馬、流氓軟件、邏輯炸彈等。

備份周期:根據(jù)備份管理措施制定的備份循環(huán)的周期，一種備份周期I內(nèi)內(nèi)容相稱于一種完整

的全備份。

系統(tǒng)工具:可以更改系統(tǒng)及應(yīng)用配輅的）程序被定義為系統(tǒng)工具，如系統(tǒng)管理、維護(hù)工具、調(diào)

試程序等。

消息驗(yàn)證:??種檢查傳播日勺電子消息與否有非法變更或破壞的J技術(shù)，它可以在硬件或軟件上

實(shí)行。

數(shù)字簽名：一種保護(hù)電子文檔真實(shí)性和完整性的措施。例如，在電子商務(wù)中可以使用它驗(yàn)證

誰(shuí)簽訂電子文檔，并檢查已簽訂文檔的內(nèi)容與否被更改。

信息處理設(shè)備:泛指處理信息的所有設(shè)備和信息系統(tǒng)，包括網(wǎng)絡(luò)、服務(wù)器、個(gè)人電腦和筆記

本電腦等。

不可抵賴性服務(wù):用于處理交易糾紛中爭(zhēng)議交易與否發(fā)生的機(jī)制。

電子化辦公系統(tǒng):包括電子郵件、KOA系統(tǒng)以及用于業(yè)務(wù)信息傳送及共享的企業(yè)內(nèi)部網(wǎng)，

5安全制度方面

5.1安全制度規(guī)定

5.1.1本制度口勺詮釋

第4條所有帶有“必須”的條款都是強(qiáng)制性的。除非事先得到安全管理委員會(huì)的承認(rèn)，否

則都要堅(jiān)決執(zhí)行。其他的條款則是強(qiáng)烈提議的，只要實(shí)際可行就應(yīng)當(dāng)被采用。

第5條所有員工都受本制度的約束，各部門領(lǐng)導(dǎo)有責(zé)任保證其部門已實(shí)行足夠的安全控制

措施，以保護(hù)信息安全。

第6條各部門的領(lǐng)導(dǎo)有責(zé)任保證其部門的員工理解本安全管理制度、有關(guān)的原則和程序以

及平常的信息安全管理。

第7條安全管理代表,或其指派的人員，將審核各部門安全控制措施實(shí)行的精確性和完整性,

此過(guò)程是企業(yè)例行內(nèi)部審計(jì)的一部分。

5.1.2制度公布

第8條所有制度在創(chuàng)立和更新后，必須通過(guò)對(duì)應(yīng)管理層的審批。制度經(jīng)同意之后必先告知

所有有關(guān)人員。

5.1.3制度復(fù)審

第9條當(dāng)環(huán)境變化、技術(shù)更新或者'業(yè)務(wù)自身發(fā)生變化時(shí)，必須對(duì)安全制度重新進(jìn)行評(píng)審，

并作出對(duì)應(yīng)的修正，以保證能有效地保護(hù)企業(yè)的信息資產(chǎn)。

第10條安全管理委員會(huì)必須定期對(duì)本管理措施進(jìn)行正式的復(fù)審，并根據(jù)復(fù)審所作的修正,

指導(dǎo)自關(guān)員工采用對(duì)應(yīng)的行動(dòng)。

6組織安全面

6.1組織內(nèi)部安全

6.1.1信息安全體系管理

第11條企業(yè)成立安全管理委員會(huì)，安全管理委員會(huì)是企業(yè)信息安全管理的最高決策機(jī)構(gòu),

安全管理委員會(huì)U勺組員應(yīng)包括總裁室主管IT領(lǐng)導(dǎo)、企業(yè)安全審計(jì)負(fù)責(zé)人、企業(yè)法律負(fù)責(zé)人

等。

第12條信息安全管理代表由信息安全管理委員會(huì)指定，一般應(yīng)包括稽核部IT稽核崗、信

息管理部信息安全有關(guān)崗位及分企業(yè)IT崗。

第13條安全管理委員會(huì)通過(guò)清晰II勺方向、可見(jiàn)的承諾、詳細(xì)的分工，積極地支持信息安全

工作，重要包括如下幾方面：

1）確定信息安全U勺目的符合企業(yè)U勺規(guī)定和有關(guān)制度，

2）闡明、復(fù)查和同意信息安全管理制度,

3）復(fù)查信息安全管理制度執(zhí)行日勺有效性，

4）為信息安全H勺執(zhí)行提供明確日勺指導(dǎo)和有效的支持，

5）提供信息安全體系運(yùn)作所需要的資源

6）為信息安全在企業(yè)執(zhí)行定義明確日勺角色和職責(zé)，

7）同意信息安全推廣和培訓(xùn)的計(jì)劃和程序，

8）保證信息安全控制措施在企業(yè)內(nèi)被有效的執(zhí)行。

第14條安全管理委員會(huì)需要對(duì)內(nèi)部或外部信息安全專家的提議進(jìn)行評(píng)估，并檢查和調(diào)整提

議在企、業(yè)內(nèi)執(zhí)行的成果。

第15條必須舉行信息安全管理會(huì)議，會(huì)議組員包括安全管理委員會(huì)、安全管理代表和具他

有關(guān)的企業(yè)高層管理人員，

第16條信息安全管理會(huì)議必須每年定期舉行，討論和審批信息安全有關(guān)事宜，詳細(xì)包括如

下內(nèi)容

1）復(fù)審本管理制度的有效性

2）復(fù)審技術(shù)變更帶來(lái)的影響

3）復(fù)審安全風(fēng)險(xiǎn)

4）審批信息安全措施及程序

5）審批信息安全提議

6）保證任何新項(xiàng)目規(guī)劃已考慮信息安全的需求

7）復(fù)審安全檢查成果和安全事故匯報(bào)

8）復(fù)審安全控制實(shí)行的效果和影響

9）宣導(dǎo)和推行企業(yè)高層對(duì)信息安全管理的指示

6.1.2信息安全職責(zé)分派

第17條信息管理部門作為信息安全管理部門，負(fù)責(zé)信息安全管理方略制定及實(shí)行，其重要

職責(zé)：

（一）負(fù)責(zé)全企業(yè)信息安全管理和指導(dǎo)，

（二）牽頭制定全企業(yè)信息安全體系規(guī)范、原則和檢查指導(dǎo)，參與我司信息系統(tǒng)工程建設(shè)的

安全規(guī)劃，

（三）組織全企業(yè)安全檢查，

（四）配合全企業(yè)安全審計(jì)工作的開(kāi)展，

（五）牽頭組織全企業(yè)安全管理培訓(xùn)，

（六）負(fù)責(zé)全企業(yè)安全方案的審核和安全產(chǎn)品的選型、購(gòu)將。

（七）根據(jù)本規(guī)定、安全規(guī)范、技術(shù)原則、操作手冊(cè)實(shí)行各類安全方略。

（A）負(fù)責(zé)各類安全方略的平常維護(hù)和管理。

第18條各分企業(yè)信息管理部門作為信息安全管理部門，其重要職責(zé)：

（-）根據(jù)本規(guī)定、信息安全體系規(guī)范、原則和檢查指導(dǎo)，組織建立安全管理流程、手冊(cè)，

（二）組織實(shí)行內(nèi)部安全檢查，

（三）組織安全培訓(xùn)，

（四）負(fù)責(zé)機(jī)密信息和機(jī)密資源U勺安全管理，

（五）負(fù)責(zé)安全技術(shù)產(chǎn)品的使用、維護(hù)、升級(jí)，

（六）配合安全審計(jì)工作的開(kāi)展，

（七）定期上報(bào)本單位信息系統(tǒng)安全狀況，反饋安全技術(shù)和管理的意見(jiàn)和提議。

（A）根據(jù)本規(guī)定、安全規(guī)范、技術(shù)原則、操作手冊(cè)實(shí)行各類安全方略。

（九）負(fù)責(zé)各類安全方略的平常維護(hù)和管理。

6.1.3信息處理設(shè)備的授權(quán)

第19條新設(shè)備U勺采購(gòu)和設(shè)備布署的審批流程應(yīng)當(dāng)充足考慮信息安全的規(guī)定。

第20條新設(shè)備在布署和使用之前，必須明確其用途和使用范圍，并獲得安全管理委員會(huì)的

同意。必須對(duì)新設(shè)備的硬件和軟件系統(tǒng)進(jìn)行詳細(xì)檢查，以保證它們的安全性和兼容性。

第21條除非獲得安全管理委員會(huì)的授權(quán)，否則不容許使用私人II勺信息處理設(shè)備來(lái)處理企業(yè)

業(yè)務(wù)信息或使用企業(yè)資源，

6.1.4獨(dú)立的信息安全審核

第22條必須對(duì)企業(yè)信息安全控制措施的實(shí)行狀況進(jìn)行獨(dú)立地‘審核，保證企'也的信息安全控

制措施符合管理制度的規(guī)定。審核工作應(yīng)由企業(yè)U勺審計(jì)部門或?qū)ｉT提供此類服務(wù)的第三方組

織負(fù)責(zé)執(zhí)行。負(fù)責(zé)安全審核的人員必須具有對(duì)應(yīng)的技能和經(jīng)驗(yàn)。

第23條獨(dú)立的信息安全審核必須每年至少進(jìn)行一次。

6.2第三方訪問(wèn)的安全性

6.2.1明確第三方訪問(wèn)的風(fēng)險(xiǎn)

第24條必須對(duì)第三方對(duì)企業(yè)信息或信息系統(tǒng)的訪問(wèn)進(jìn)行風(fēng)險(xiǎn)評(píng)估，并進(jìn)行嚴(yán)格控制，有關(guān)

控制須考慮物理上和邏輯上訪問(wèn)U勺安全風(fēng)險(xiǎn)。只有在風(fēng)險(xiǎn)被消除或減少到可接受的水平時(shí)才

容許其訪問(wèn)。

第25條第三方包括但不限于：

1）硬件和軟件廠商的支持人員和其他外包商

2）監(jiān)管機(jī)構(gòu)、外部顧問(wèn)、外部審計(jì)機(jī)構(gòu)和合作伙伴

3）臨時(shí)員工、實(shí)習(xí)生

4）清潔工和保安

5）企業(yè)口勺客戶

第26條第三方對(duì)企業(yè)信息或信息系統(tǒng)的訪問(wèn)類型包括但不限于：

1）物理的J訪問(wèn)，例如:訪問(wèn)企業(yè)大廈、職場(chǎng)、數(shù)據(jù)中心等，

2）邏輯的訪問(wèn)，例如:訪問(wèn)企業(yè)的數(shù)據(jù)庫(kù)、信息系統(tǒng)等，

3）與第三方之間的網(wǎng)絡(luò)連接，例如：固定時(shí)連接、臨時(shí)II勺遠(yuǎn)程連接，

第27條第三方所有的訪問(wèn)申請(qǐng)都必須通過(guò)信息安全管理代表的審批，只提供其工作所須的

最小權(quán)限和滿足其工作所需的至少資源，并且需要定期對(duì)第三方日勺訪問(wèn)權(quán)限進(jìn)行復(fù)查。第三

方對(duì)重要信息系統(tǒng)或地點(diǎn)的訪問(wèn)和操作必須有有關(guān)人員陪伴。

第28條企業(yè)負(fù)責(zé)與第三方溝通的人員必須在第三方接觸企業(yè)信息或信息系統(tǒng)前，積極告知

第三方的職責(zé)、義務(wù)和需要遵守的規(guī)定，第三方必須在清晰并同意后才能接觸對(duì)應(yīng)信息或信

息系統(tǒng)。所有對(duì)第三方的安全規(guī)定必須包括在與其簽訂I向合約中。

6.2.2當(dāng)與客戶接觸時(shí)強(qiáng)調(diào)信息安全

第29條必須在容許客戶訪問(wèn)信息或信息系統(tǒng)前識(shí)別并告知其需要遵守的安全需求。采用對(duì)

應(yīng)的保護(hù)措施保護(hù)客戶訪問(wèn)的信息或信息系統(tǒng)。

6.2.3與第三方簽訂合約的安全規(guī)定

第30條與第三方合約中應(yīng)包括必要"勺安全規(guī)定，如:訪問(wèn)、處理、管理企業(yè)信息或信息系

統(tǒng)的安全規(guī)定。

7信息資產(chǎn)與人員安全

7.1資產(chǎn)責(zé)任

7.1.1資產(chǎn)的清單

第31條應(yīng)清晰識(shí)別所有的資產(chǎn)，所有與信息有關(guān)日勺重要資產(chǎn)都應(yīng)當(dāng)在資產(chǎn)清單中標(biāo)出，并

及時(shí)維護(hù)更新。這些資產(chǎn)包括但不限于？

1）信息:數(shù)據(jù)庫(kù)和數(shù)據(jù)文獻(xiàn)、系統(tǒng)文檔、顧客手冊(cè)、培訓(xùn)材料、操作手冊(cè)、業(yè)務(wù)持續(xù)性計(jì)劃、

系統(tǒng)恢復(fù)計(jì)劃、備份信息和協(xié)議等。

2）軟件:應(yīng)用軟件、系統(tǒng)軟件、開(kāi)發(fā)工具以及實(shí)用工具等。

3）實(shí)體:計(jì)算機(jī)設(shè)備，處理器、顯示屏、筆記本電腦、調(diào)制解調(diào)器等，、通訊設(shè)備，路由器、程

控互換機(jī)、機(jī)等，、存儲(chǔ)設(shè)備、磁介質(zhì)，磁帶和磁盤等，、其他技術(shù)設(shè)備，電源、空調(diào)器

等，、機(jī)房等。

4）服務(wù):通訊服務(wù)，專線，。

第32條資產(chǎn)清單必須每年至少審核一次。在購(gòu)置新資產(chǎn)之前必須進(jìn)行安全評(píng)估。資產(chǎn)交付

后，資產(chǎn)清單必須更新。資產(chǎn)的風(fēng)險(xiǎn)評(píng)估必須每年至少一次，重要評(píng)估目前已布署安全控制

措施的有效性。

第33條實(shí)體資產(chǎn)需要貼上合適"勺標(biāo)簽。

7.1.2資產(chǎn)的管理權(quán)

第34條所有資產(chǎn)都應(yīng)當(dāng)被詳細(xì)闡明，必須指明詳細(xì)的省理者。

管理者可以是個(gè)人，也可以是某個(gè)部門。管理者是部門的資產(chǎn)則由部門主管負(fù)責(zé)監(jiān)護(hù)。

第35條資產(chǎn)管理者的職責(zé)是：

1）確定資產(chǎn)的保密等級(jí)分類和訪問(wèn)管理措施，

2）定期復(fù)查資產(chǎn)的分類和訪問(wèn)管理措施。

7.1.3資產(chǎn)的合理使用

第36條必須識(shí)別信息和信息系統(tǒng)的使用準(zhǔn)則，形成文前并實(shí)行。使用準(zhǔn)則應(yīng)包括:

1）使用范圍

2）角色和權(quán)限

3）使用者應(yīng)負(fù)的責(zé)任

4）與其他系統(tǒng)交互的規(guī)定

第37條所有訪問(wèn)信息或信息系統(tǒng)日勺員工、第三方必須清晰要訪問(wèn)資源日勺使用準(zhǔn)則，并承擔(dān)

他們的責(zé)任。企業(yè)的所有信息處理設(shè)備,包括個(gè)人電腦，只能被使用于工作有關(guān)的活動(dòng)，不得

用來(lái)炒股、玩游戲等。濫用信息處理設(shè)備的員工將受到紀(jì)律處分。

7.2信息分類

7.2.1信息分類原則

第38條所有信息都應(yīng)當(dāng)根據(jù)其敏感性、重要性以及業(yè)務(wù)所規(guī)定的訪問(wèn)限制進(jìn)行分類和標(biāo)識(shí)。

第39條信息管理者負(fù)責(zé)信息II勺分類，并對(duì)其進(jìn)行定期檢查，以保證分類的對(duì)的。當(dāng)信息被

公布到企業(yè)外部，或者通過(guò)一段時(shí)間后信息的敏感度發(fā)生變化時(shí)，信息需要重新分類。

第40條信息U勺保密程度從高到低分為絕密、機(jī)密、秘密和非保密四種等級(jí)。以電子形式保

留的信息或管理信息資產(chǎn)的系統(tǒng)，需根據(jù)信息的敏感度進(jìn)行標(biāo)識(shí)。具有不一樣分類信息U勺系

統(tǒng)，必須按照其中的最高保密等級(jí)進(jìn)行分類。

7.2.2信息標(biāo)識(shí)和處理

第41條必須建立對(duì)應(yīng)的保密信息處理規(guī)范。對(duì)于不一樣的保密等級(jí)，應(yīng)明確闡明如下信息

活動(dòng)的處理規(guī)定：

D復(fù)制

2）保留和保管，以物理或電子方式，

3）傳送，以郵寄、或電子郵件的方式,

4）銷毀

第42條電子文檔和系統(tǒng)輸出口勺信息,打印報(bào)表和磁帶等,應(yīng)帶有合適的信息分類標(biāo)識(shí)。對(duì)于

打印報(bào)表，其保密等級(jí)應(yīng)顯示在每頁(yè)的頂端或底部。

第43條將保密信息發(fā)送到企業(yè)以外時(shí)，負(fù)責(zé)傳送信息的工作人員應(yīng)在分發(fā)信息之前，先告

知對(duì)方文檔日勺保密等級(jí)及其對(duì)應(yīng)日勺處理規(guī)定。

7.3人員安全

7.3.1信息安全意識(shí)、教育和培訓(xùn)

第44條所有企業(yè)員工和第三方人員必須接受包括安全性規(guī)定、信息處理設(shè)備的對(duì)的使用等

內(nèi)容的培訓(xùn)，并應(yīng)當(dāng)及時(shí)理解和學(xué)習(xí)企業(yè)對(duì)安全管理制度和原則的更新。

第45條應(yīng)當(dāng)至少每年向員工提供一次安全意識(shí)培訓(xùn)，其內(nèi)容包括但不限于：

1）安全管理委員會(huì)下達(dá)的安全管理規(guī)定

2）信息保密的責(zé)任

3）一般性安全守則

4）信息分類

5）安全事故匯報(bào)程序

6）電腦病毒爆發(fā)時(shí)的應(yīng)對(duì)措施

7）劫難發(fā)生時(shí)"勺應(yīng)對(duì)措施

第46條應(yīng)當(dāng)對(duì)系統(tǒng)管理員、開(kāi)發(fā)人員進(jìn)行安全技能方面的培訓(xùn)，至少每年一次。員工和第

三方人員在開(kāi)始工作后90天內(nèi)，必須進(jìn)行技術(shù)和安全面的培訓(xùn)。

第47條劫難恢復(fù)演習(xí)應(yīng)至少每年舉行一次。

7.3.2懲戒過(guò)程

第48條違反企業(yè)安全管理制度、原則和程序日勺員工將受到紀(jì)律處分。在對(duì)信息安全事件調(diào)

查結(jié)束后，必須對(duì)事件中的有關(guān)人員根據(jù)企業(yè)的懲戒規(guī)定進(jìn)行懲罰。紀(jì)律處分包括但不限于：

1）通報(bào)批評(píng)

2）警告

3）記過(guò)

4）解除勞動(dòng)協(xié)議

法律訴訟5）

第49條當(dāng)員工在接受也許波及解除勞動(dòng)協(xié)議和法律訴訟的違規(guī)調(diào)查時(shí)，其直接領(lǐng)導(dǎo)應(yīng)暫停

受調(diào)置員工的工作職務(wù)和具訪問(wèn)權(quán)限，包括物埋訪問(wèn)、系統(tǒng)應(yīng)用訪問(wèn)和網(wǎng)絡(luò)訪問(wèn)等。員工在

接受調(diào)查時(shí)可以陳說(shuō)觀點(diǎn)，提出異議，并有深入申訴H勺權(quán)力。

7.3.3資產(chǎn)償還

第50條在終止雇傭、協(xié)議或協(xié)議時(shí)，所有員工及第三方人員必須償還所使用的所有企業(yè)資

產(chǎn)。需要償還口勺資產(chǎn)包括但不限于：

1）帳號(hào)和訪問(wèn)權(quán)限

2）企業(yè)的電子或紙質(zhì)文檔

3）企業(yè)購(gòu)置的硬件和軟作資產(chǎn)

4）企業(yè)購(gòu)置的其他設(shè)備

第51條假如在非企業(yè)資產(chǎn)上保留有企業(yè)的資產(chǎn)，必須在帶出企業(yè)前償還或刪除企業(yè)的資產(chǎn)。

7.3.4刪除訪問(wèn)權(quán)限

第52條在終止或變更雇傭、協(xié)議、協(xié)議時(shí)，必須刪除所有員工及第三方人員對(duì)信息和信息

系統(tǒng)的訪問(wèn)權(quán)限，或根據(jù)變更進(jìn)行對(duì)應(yīng)的調(diào)整。所有刪除和調(diào)整操作必須在最終上班日之前

完畢。

第53條對(duì)于公用的資源，必須進(jìn)行及時(shí)的調(diào)整，例如:公用日勺帳號(hào)必須立即更改密碼。

第54條在已經(jīng)確定員工或第三方終止或變更意向后，必須及時(shí)對(duì)他們的權(quán)限進(jìn)行限制，只

保留終止或變更所需要的權(quán)限。

8物理和環(huán)境安全面

8.1安全區(qū)域

8.1.1物理安全邊界

第55條在企業(yè)U勺物理環(huán)境里，應(yīng)當(dāng)對(duì)需要保護(hù)的區(qū)域根據(jù)其重要性劃分為不--樣的安全區(qū)

域。尤其是布重要設(shè)備的安全區(qū)域，例如機(jī)房，應(yīng)當(dāng)布署對(duì)應(yīng)的物理安全控制。

第56條在大廈的統(tǒng)一入口處必須設(shè)置有專人值守H勺接待區(qū)域，在尤其重要的安全區(qū)域也應(yīng)

當(dāng)設(shè)置類似的接待區(qū)域。

第57條在非辦公時(shí)間內(nèi)，重要的安全區(qū)域必須安排保安定期巡視。任何時(shí)候，企業(yè)內(nèi)必須

至少有一位保安值班。保安值班表應(yīng)至少每月調(diào)整一次。

8.1.2安全區(qū)域訪問(wèn)控制

第58條在非辦公時(shí)間，所有進(jìn)入安全區(qū)域的入口都應(yīng)當(dāng)受到控制，例如上鎖。任何時(shí)候,

重要安全區(qū)域11勺所有出入口必須受到嚴(yán)格的訪問(wèn)控制，保證只有授權(quán)"勺員工才可以進(jìn)入此區(qū)

域。

第59條對(duì)于設(shè)有訪問(wèn)控制的安全區(qū)域，必須定期審核并及時(shí)更新其訪問(wèn)權(quán)限。所有員工都

必須佩戴一種身份識(shí)別通行證，有責(zé)任保證通行證的安全并不得轉(zhuǎn)借他人。員工離職時(shí)必須

交還通行證，同步取消其所有訪問(wèn)權(quán)限。

第60條所有來(lái)賓的有關(guān)資料都必須詳細(xì)記載在來(lái)賓進(jìn)出登記表中，并向獲準(zhǔn)進(jìn)入II勺來(lái)賓發(fā)

放來(lái)賓通行證。同步，必須有對(duì)應(yīng)日勺程序以保證回收所發(fā)放的來(lái)賓通行證。來(lái)賓進(jìn)出登記表

必須至少保留1年，記錄內(nèi)容應(yīng)包括但不限于：

1）來(lái)賓姓名

2）來(lái)賓身份

3）來(lái)賓工作單位

4）來(lái)訪事由

5）負(fù)責(zé)接待的員工

6）來(lái)賓通行證號(hào)碼

7）進(jìn)入的FI期和時(shí)間

8）離開(kāi)的日期和時(shí)間

8.1.3辦公場(chǎng)所和設(shè)施安全

第61條放輅敏感或重要設(shè)備II勺區(qū)域，例如機(jī)房，應(yīng)盡量不引人注目，給外面的信息應(yīng)盡量至

少，不應(yīng)當(dāng)有明顯的標(biāo)志指明敏感區(qū)域的所在位路和用途。這些區(qū)域還應(yīng)當(dāng)被予以對(duì)應(yīng)U勺保

護(hù)，保護(hù)措施包括但不限于：

1）所有出入口必須安裝物理訪問(wèn)控制措施

2）使用來(lái)賓登記表以便記錄來(lái)訪信息

3）嚴(yán)禁吸煙

第62條必須對(duì)支持關(guān)鍵性業(yè)務(wù)活動(dòng)的設(shè)備提供足夠口勺物理訪問(wèn)控制。所有安全區(qū)域和出入

口必須通過(guò)閉路電視進(jìn)行監(jiān)控。一般會(huì)議室或其他公眾場(chǎng)所必須與安全區(qū)域隔離開(kāi)來(lái)。無(wú)人

值守的時(shí)候，辦公區(qū)中的信息處理設(shè)備必須從物理上進(jìn)行保護(hù)。門和窗戶必須鎖好。

8.1.4防備外部和環(huán)境威協(xié)

第63條辦公場(chǎng)所和機(jī)房的設(shè)計(jì)和建設(shè)必須充足考慮火災(zāi)、洪水、地震、爆炸、騷亂等天災(zāi)

或人為劫難，并采用額外的控制措施加以保護(hù)。

第64條機(jī)房必須增長(zhǎng)額外的物理控制，選用日勺場(chǎng)地應(yīng)盡量安全，并盡量防止受到災(zāi)害日勺影

響。機(jī)房必須有防火、防潮、防塵、防盜、防磁、防鼠等設(shè)施。

第65條機(jī)房建設(shè)必須符合國(guó)標(biāo)GB2887-89《計(jì)算機(jī)場(chǎng)地技術(shù)條件》和GB9361-88《計(jì)算站

場(chǎng)地安全規(guī)定》中的規(guī)定，

第66條機(jī)房的消防措施必須滿足如下規(guī)定：

1）必須安裝消防設(shè)備，棄定期檢查。

2）應(yīng)當(dāng)指定消防指揮員。

3）機(jī)房?jī)?nèi)嚴(yán)禁寄存易燃材料，每周例行檢查一次。

4）必須安裝煙感及其他火警探測(cè)器和滅火裝輅。應(yīng)每季度定期檢查這些裝備，保證它們能

有效運(yùn)作。

5）必須在明顯位輅張貼火災(zāi)逃生路線圖、滅火設(shè)備平面放珞圖以及安全出口的位路。

6）安全出口必須有明顯標(biāo)識(shí)。

7）應(yīng)當(dāng)訓(xùn)練員工熟悉使用消防設(shè)施。

8）緊急事件發(fā)生時(shí)必須提供緊急照明。

9）所有疏散路線都必須時(shí)刻保持暢通。

10）必須保證防火門在火災(zāi)發(fā)生時(shí)可以啟動(dòng)。

11）每年應(yīng)至少舉行一次火災(zāi)撤離演習(xí)，使工作人員熟知火災(zāi)撤離的過(guò)程。

8.1.5在安全區(qū)域工作

第67條員工進(jìn)入機(jī)房的訪問(wèn)授權(quán)，不能超過(guò)其工作所需的范圍。必須定期檢杳訪問(wèn)權(quán)限的

分派并及時(shí)更新。機(jī)房的訪問(wèn)權(quán)限應(yīng)不一樣于進(jìn)入大樓其他區(qū)域的權(quán)限。

第68條所有需要進(jìn)入機(jī)房的來(lái)賓都必須提前申請(qǐng)。必須維護(hù)和及時(shí)更新來(lái)賓記錄，以掌握

來(lái)賓進(jìn)入機(jī)房口勺詳細(xì)狀況，記錄中應(yīng)詳細(xì)闡明來(lái)賓的姓名、進(jìn)入與離開(kāi)II勺F1期與時(shí)間，申請(qǐng)

者以及進(jìn)入H勺原因。機(jī)房來(lái)賓記錄至少保留一年。來(lái)賓必須得到明確許可?后，在專人陪伴下

才能進(jìn)入機(jī)房。

第69條機(jī)房的保護(hù)應(yīng)在專家II勺指導(dǎo)下進(jìn)行，必須安裝合適的安全防護(hù)和檢測(cè)裝輅。機(jī)房?jī)?nèi)

嚴(yán)禁吸煙、飲食和拍攝。

8.1.6機(jī)房操作日志

第70條必須記錄機(jī)房管理員的操作行為，以便具行為可以追蹤。操作記錄必須備份和維護(hù)

并妥善保管，防止被破壞，

第71條在機(jī)房值班人員交接時(shí)，上一班值班人員所遺留的問(wèn)題以及從事的工作應(yīng)明確交待

給下一班，保證有關(guān)操作的延續(xù)性。

8.2設(shè)備安全

8.2.1設(shè)備的安頓及保護(hù)

第72條必須對(duì)設(shè)備實(shí)行安全控制，以減少環(huán)境危害和非法的訪問(wèn)。應(yīng)當(dāng)考慮的原因包括但

不限于：

1）水、火

2）煙霧、灰塵

3）震動(dòng)

4）化學(xué)效應(yīng)

5）電源干擾、電磁輻射

第73條設(shè)備必須放輅在遠(yuǎn)離水災(zāi)的地方，并根據(jù)需要考慮安裝漏水警報(bào)系統(tǒng)。

應(yīng)急開(kāi)關(guān)如電閘、煤氣開(kāi)關(guān)和水閘等都必須清晰地做好標(biāo)識(shí)，并且能輕易訪問(wèn)。

設(shè)備都應(yīng)當(dāng)裝有合適的漏電保險(xiǎn)絲或斷路器進(jìn)行保護(hù)。

放輅設(shè)備的區(qū)域必須滿足廠商提供日勺設(shè)備環(huán)境規(guī)定。

設(shè)備的操作必須遵守廠商提供日勺操作規(guī)范。

通信線路和電纜必須從物理上進(jìn)行保護(hù)。

8.2.2支持設(shè)施

第74條支持設(shè)施可以支持物理場(chǎng)所、設(shè)備等的正常運(yùn)作，例如：

電力設(shè)施、空調(diào)、排水設(shè)施、消防設(shè)施、靜電保護(hù)設(shè)施等。

必須采用保護(hù)措施使設(shè)備免受電源故障或電力異常H勺破壞。

必須驗(yàn)證電力供應(yīng)與否滿足廠商設(shè)備對(duì)電源的規(guī)定。

每年應(yīng)至少對(duì)支持設(shè)施進(jìn)行一次安全檢查。

工作環(huán)境中增長(zhǎng)新設(shè)備時(shí)，必須對(duì)電力、空調(diào)、地板等支持設(shè)施的負(fù)荷進(jìn)行審核。

必須設(shè)輅后備電源，例如不間斷電源,UPS,或發(fā)電機(jī)。衣需要配置后備電源U勺設(shè)備裝輅進(jìn)行

審核，保證后備電源可以滿足這些設(shè)備的正常工作。

每年必須至少對(duì)備用電源/進(jìn)行一次測(cè)試。

應(yīng)急電源開(kāi)關(guān)應(yīng)位于機(jī)房的緊急出口附近，以便緊急狀況發(fā)生時(shí)可以迅速切斷電源。

電纜應(yīng)根據(jù)供電電壓和頻率的不一樣而互相隔離。

所有電纜都應(yīng)帶有標(biāo)簽，標(biāo)簽上的編碼應(yīng)記錄歸檔。

電纜應(yīng)從物理上加以保護(hù)，

8.2.3設(shè)備維護(hù)

第75條所有生產(chǎn)設(shè)備必須有足夠的維護(hù)保障，關(guān)鍵設(shè)備必須提供7x24的現(xiàn)場(chǎng)維護(hù)支持。

所有生產(chǎn)設(shè)備必須定期進(jìn)行防止性維護(hù)。只有通過(guò)同意時(shí)、受過(guò)專業(yè)培訓(xùn)的工作人員才能進(jìn)

行維護(hù)工作。設(shè)備的所有維護(hù)工作都應(yīng)當(dāng)記錄歸檔。假如設(shè)備需要搬離安全區(qū)域進(jìn)行修理，

必須獲得同意并卸載其存儲(chǔ)介質(zhì)。

第76條必須建立設(shè)備故障匯報(bào)流程。對(duì)于需要進(jìn)行重大維修的設(shè)備，流程還應(yīng)當(dāng)包括設(shè)備

檢修的匯報(bào),及換用備用設(shè)備的流程O

8.2.4管轄區(qū)域外設(shè)備安全

第77條筆記本電腦顧客必須保護(hù)好筆記本電腦的安全，防止筆記本電腦損壞或被盜竊。

第78條假如將設(shè)備帶出企業(yè)，設(shè)備擁有者必須親自或指定專人保護(hù)設(shè)備的安全。設(shè)備擁有

者必須對(duì)設(shè)備在企業(yè)場(chǎng)所外的安全負(fù)責(zé)。

8.2.5設(shè)備的I安全處理或再運(yùn)用

第79條再運(yùn)用或報(bào)廢之前，設(shè)備所具有II勺所有存儲(chǔ)裝谿,例如硬盤等,都必須通過(guò)嚴(yán)格檢查,

保證所有敏感數(shù)據(jù)和軟件已被刪除或改寫，并且不也許被恢復(fù)。應(yīng)當(dāng)通過(guò)風(fēng)險(xiǎn)評(píng)估來(lái)決定與

否徹底銷毀、送修還是丟棄具有敏感數(shù)據(jù)的已損壞設(shè)備。

9通信和操作管理方面

9.1操作程序和職責(zé)

9.1.1規(guī)范II勺操作程序

第80條必須為所有的業(yè)務(wù)系統(tǒng)建立操作程序，其內(nèi)容包括但不限于：

1）系統(tǒng)重啟、備份和恢復(fù)的措施

2）一般性錯(cuò)誤處理的操作指南

3）技術(shù)支持人員的聯(lián)絡(luò)措施

4）與其他系統(tǒng)口勺依賴性和處理日勺優(yōu)先級(jí)

5）硬件的配輅管理

第81條操作程序必須征得管理者口勺同意才能對(duì)其進(jìn)行修改。操作程序必須及時(shí)更新，更新

條件包括但不限于：

1）應(yīng)用軟件的I變更

2）硬件配輅的變更

9.1.2變更控制

第82條必須建立變更管理程序來(lái)控制系統(tǒng)的變更，所有變更都必須遵守變更管理程序的規(guī)

定。程序內(nèi)容包括但不限于？

1）識(shí)別和記錄變更祈求

2）評(píng)估變更的可行性、變更計(jì)劃和也許帶來(lái)的潛在影響

3）變更的測(cè)試

4）審批的流程

5）明確變更失敗II勺恢復(fù)計(jì)劃和負(fù)責(zé)人

6）變更的驗(yàn)收

第83條重要變更必須制定計(jì)劃，并在測(cè)試環(huán)境下進(jìn)行足夠的測(cè)試后，才能在生產(chǎn)系統(tǒng)中實(shí)

行。所有變更必須包括變更失敗的應(yīng)對(duì)措施和恢復(fù)計(jì)劃。所有變更必須獲得授權(quán)和同意，變

更的申請(qǐng)和審批不得為同一種員工。對(duì)變更需要波及的硬件、軟件和信息等對(duì)象都應(yīng)標(biāo)識(shí)出

來(lái)并進(jìn)行對(duì)應(yīng)評(píng)估。變更在實(shí)行前必須告知到有關(guān)人員。

第84條變更II勺實(shí)行應(yīng)當(dāng)安排在對(duì)業(yè)務(wù)影響最小的時(shí)間段進(jìn)行，盡量減少對(duì)業(yè)務(wù)正常運(yùn)行的

影響。在生產(chǎn)系統(tǒng)安裝或更新軟件前，必須對(duì)系統(tǒng)進(jìn)行備份。變更完畢后，有關(guān)的文檔，如

系統(tǒng)需求文檔、設(shè)計(jì)文檔、操作手冊(cè)、顧客手冊(cè)等，必須得到更新，舊H勺文檔必須進(jìn)行備份。

第85條必須對(duì)變更進(jìn)行要查，以保證變更沒(méi)有對(duì)本來(lái)的系統(tǒng)環(huán)境導(dǎo)致破壞。必須完整記錄

整個(gè)變更過(guò)程，并將其妥善保管。變更的記錄應(yīng)至少每月復(fù)查一次。

9.1.3職責(zé)分離

第86條系統(tǒng)管理員和系統(tǒng)開(kāi)發(fā)人員日勺職責(zé)必須明確分開(kāi)。同?處理過(guò)程中的重要任務(wù)不應(yīng)

當(dāng)由同一種人來(lái)完畢，以防止欺詐和誤操作的發(fā)生。

第87條所有職責(zé)分離的控制必須記錄歸檔，作為責(zé)任分工的根據(jù)。無(wú)法采用職責(zé)分離時(shí)，

必須采用其他的控制，例如活動(dòng)監(jiān)控、審核跟蹤評(píng)估以及管理監(jiān)督等。

9.1.4開(kāi)發(fā)、測(cè)試和生產(chǎn)系統(tǒng)分離

第88條不應(yīng)給開(kāi)發(fā)人員提供超過(guò)其開(kāi)發(fā)所需范圍的權(quán)限。假如開(kāi)發(fā)人員需要訪問(wèn)生產(chǎn)系統(tǒng),

必須通過(guò)運(yùn)行人員的授權(quán)和管理。

第89條生產(chǎn)、測(cè)試和開(kāi)發(fā)應(yīng)分別使用不一樣II勺系統(tǒng)環(huán)境。開(kāi)發(fā)人員不得在生產(chǎn)環(huán)境中更改

編碼或操作生產(chǎn)系統(tǒng)。不得在生產(chǎn)系統(tǒng)上私自安裝開(kāi)發(fā)工具，例如編譯程序及其他系統(tǒng)公用

程序等，，并做好已經(jīng)有開(kāi)發(fā)工具的訪問(wèn)控制。開(kāi)發(fā)和測(cè)試環(huán)境使用的測(cè)試數(shù)據(jù)不能包具有

敏感信息。

9.1.5事件管理程序

第90條必須建立事件管理程序，并根據(jù)事件影響U勺嚴(yán)重程度制定其所屬類別，同步闡明對(duì)

應(yīng)的處理措施和負(fù)責(zé)人。必須根據(jù)事件的嚴(yán)重程度，定義響應(yīng)的范圍、時(shí)間和完畢事件處理

的時(shí)間。

第91條系統(tǒng)II勺修復(fù)必須得到系統(tǒng)管理者的同意方可執(zhí)行。

第92條所有事件匯報(bào)必須記錄歸檔，并由部門主管或指定人員妥善保管。必須對(duì)事件的處

理狀況進(jìn)行監(jiān)控，對(duì)超時(shí)的處理提出改善提議并跟進(jìn)改善效果。

9.2第三方服務(wù)交付管理

9.2.1服務(wù)交付

第93條第三方提供的服務(wù)必須滿足安全管理制度H勺規(guī)定。第三方提供的服務(wù)必須滿足企業(yè)

業(yè)務(wù)持續(xù)性的I規(guī)定。

第94條必須保留第三方提供的服務(wù)、匯報(bào)和記錄并定期評(píng)審，至少每六個(gè)月一次。評(píng)審內(nèi)

容應(yīng)包括：

1）服務(wù)內(nèi)容和質(zhì)量與否滿足協(xié)議規(guī)定，

2）服務(wù)匯報(bào)與否真實(shí)。

9.2.2第三方服務(wù)的變更管理

第95條服務(wù)變化時(shí)，必須重新對(duì)服務(wù)與否滿足安全管理措施進(jìn)行評(píng)估。在服務(wù)變更時(shí)需要

考慮：

1）服務(wù)價(jià)格的增長(zhǎng)，

2）新的服務(wù)需求，

3）企業(yè)信息安全管理制度的變化，

4）企業(yè)在信息安全面新的控制。

9.3針對(duì)惡意軟件的保護(hù)措施

9.3.1對(duì)惡意軟件的控制

第96條必須建立一套病毒防治體系，以便防止病毒對(duì)企業(yè)帶來(lái)的影響。所有服務(wù)器、個(gè)人

電腦和筆記本電腦都應(yīng)當(dāng)安裝企業(yè)規(guī)定的防病毒軟件，并及時(shí)更新防病毒軟件。所有存進(jìn)計(jì)

算機(jī)的信息,例如接受到的郵件、下載的文獻(xiàn)等，都必須通過(guò)病毒掃描。員工和第三方廠商從

外界帶來(lái)歐I存儲(chǔ)介質(zhì)在使用之前必須進(jìn)行病毒掃描。

第97條所有員工都應(yīng)當(dāng)接受防病毒知識(shí)的培訓(xùn)和指導(dǎo)。

第98條企業(yè)內(nèi)發(fā)現(xiàn)的病毒、計(jì)算機(jī)或應(yīng)用程序的異常行為，都必須作為安全事件進(jìn)行匯報(bào)。

第99條必須定期審核控制惡意軟件措施的有效性。?旦發(fā)現(xiàn)感染病毒，必須立即把機(jī)器從

網(wǎng)絡(luò)中斷開(kāi)。在病毒沒(méi)有被徹底清除之前，嚴(yán)禁將其重新連接到網(wǎng)絡(luò)1.0

9.4備份

9.4.1信息備份

第100條所有服務(wù)器、個(gè)人電腦和筆記本電腦必須根據(jù)業(yè)務(wù)需求定期進(jìn)行備份。系統(tǒng)在重

大變更之前和之后必須進(jìn)行備份。

第101條備份管理措施必須獲得管理層的審批以保證常合業(yè)務(wù)需求。備份管理措施必須至

少每季度進(jìn)行一次復(fù)查，以保證沒(méi)有發(fā)生未授權(quán)或意外的更改。

第102條應(yīng)當(dāng)保留多于1個(gè)備份周期的備份，但重要業(yè)務(wù)信息應(yīng)至少保留3個(gè)備份周期的

備份。備份資料和對(duì)應(yīng)的恢復(fù)操作手冊(cè)必須定期傳送到異地進(jìn)行保留。異地必須與主站點(diǎn)有

一定的距離，以防止受主站點(diǎn)的劫難波及。

第103條必須對(duì)異地保留的備份信息實(shí)行安全保護(hù)措施，其保護(hù)原則應(yīng)和主站點(diǎn)相一致。

必須定期測(cè)試備份介質(zhì)，俁證其可用性。必須定期檢查和測(cè)試恢復(fù)環(huán)節(jié)，保證它們U勺有效性。

備份系統(tǒng)必須進(jìn)行監(jiān)控，以保證其穩(wěn)定性和可用性。

9.5網(wǎng)絡(luò)管理

9.5.1網(wǎng)絡(luò)控制

第104條網(wǎng)絡(luò)管理和操作系統(tǒng)管理的職責(zé)應(yīng)當(dāng)彼此分離，并由不一樣的員工承擔(dān)。必須明

確定義網(wǎng)絡(luò)管理的職責(zé)和義務(wù)。只有得到許可的員工才可以使用網(wǎng)絡(luò)管理系統(tǒng)。

第105條必須建立對(duì)應(yīng)的控制機(jī)制，保護(hù)路由表和防火墻安全管理措施等網(wǎng)絡(luò)參數(shù)的完整

性。保護(hù)通過(guò)公網(wǎng)傳送敏感數(shù)據(jù)日勺機(jī)密性、完整性和可用性。

第106條進(jìn)行網(wǎng)絡(luò)協(xié)議兼容性的評(píng)估時(shí)應(yīng)考慮未來(lái)新增網(wǎng)絡(luò)設(shè)備的規(guī)定。任何準(zhǔn)備接進(jìn)網(wǎng)

絡(luò)的新設(shè)備，在進(jìn)網(wǎng)前都必,須通過(guò)協(xié)議兼容性的評(píng)估和安全檢查。

第107條必須對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)控和管理。所有網(wǎng)絡(luò)故障都必須向上級(jí)匯報(bào)。

第108條必須建立互聯(lián)網(wǎng)的訪問(wèn)管理措施。除非得到授權(quán)，

否則嚴(yán)禁訪問(wèn)外部網(wǎng)絡(luò)的服務(wù)。

9.6介質(zhì)的管理

9.6.1可移動(dòng)介質(zhì)的管理

第109條可移動(dòng)計(jì)算機(jī)存儲(chǔ)介質(zhì)，例如磁帶、光盤等，必須有合適的訪問(wèn)控制。存儲(chǔ)介質(zhì)上

必須設(shè)輅標(biāo)簽，以標(biāo)識(shí)其類型和用途。標(biāo)簽應(yīng)使用代碼，以防止直接標(biāo)識(shí)存儲(chǔ)介質(zhì)上的內(nèi)容。

標(biāo)識(shí)用的代碼需要記錄并歸檔。

第110條必須建立和維護(hù)介質(zhì)清單，并對(duì)介質(zhì)U勺借用和償還進(jìn)行記錄。應(yīng)保證備有足夠的

存儲(chǔ)介質(zhì)，以備使用。

第111條寄存在存儲(chǔ)介質(zhì)內(nèi)的絕密和機(jī)密信息必須受到妥善保護(hù)。

第112條存儲(chǔ)介質(zhì)的寄存環(huán)境必須滿足介質(zhì)規(guī)定的環(huán)境條件，例如溫度、濕度、空氣質(zhì)量等，。

第113條備份介質(zhì)必須存儲(chǔ)在防火柜中。應(yīng)當(dāng)對(duì)介質(zhì)的壽命進(jìn)行管理，在介質(zhì)壽命結(jié)束前

一年，將信息拷貝到新的介質(zhì)中。

9.6.2介質(zhì)的銷毀

第114條應(yīng)建立存儲(chǔ)介質(zhì)的報(bào)廢規(guī)范，包括但不限于：

1）紙質(zhì)文檔

語(yǔ)音資料及其他錄音帶2）

3）復(fù)寫紙

4）磁帶

5）磁盤

6）光存儲(chǔ)介質(zhì)

第115條所有不會(huì)被再運(yùn)用的敏感文檔都必須根據(jù)定義的信息密級(jí)采用合適的方式進(jìn)行銷

毀。

第116條所有報(bào)廢及過(guò)期的存儲(chǔ)介質(zhì)必須妥善銷毀。

9.6.3信息處埋程序

第117條介質(zhì)的信息分類，必須采用寄存信息中的最高保密等級(jí)。

第118條應(yīng)根據(jù)介質(zhì)中信息的分類級(jí)別，采用對(duì)應(yīng)措施來(lái)保護(hù)介質(zhì)的輸出環(huán)境。

9.6.4系統(tǒng)文檔的安全

第119條存取具有敏感信息的文檔，必須獲得對(duì)應(yīng)文檔管理者的同意。具有敏感信息11勺文

檔應(yīng)保留在安全U勺地方，未經(jīng)許可不得訪問(wèn)。具有敏感信息U勺文檔通過(guò)內(nèi)部網(wǎng)等提供訪問(wèn)時(shí),

應(yīng)采用訪問(wèn)控制加以保護(hù)，

9.7信息互換

9.7.1信息互換管理措施和程序

第12（）條必須根據(jù)信息的類型和保密級(jí)別，定義信息在互換過(guò)程中應(yīng)遵照的安全規(guī)定。

第121條所有員工和第三方人員都必須遵守企業(yè)的信息互換管理措施。

第122條未經(jīng)許可，企業(yè)內(nèi)部不容許安裝、使用無(wú)線通信設(shè)備。

第123條使用加密技術(shù)保護(hù)信息的保密性、完整性和真實(shí)性。敏感信息帶出企業(yè)必須獲得

直接領(lǐng)導(dǎo)或信息管理者的授權(quán)。

第124條必須建立控制機(jī)制來(lái)保護(hù)運(yùn)用音頻、和視頻通信設(shè)備進(jìn)行互換H勺信息。

第125條錄音系統(tǒng)應(yīng)當(dāng)配輅密碼，以防非法訪問(wèn)。

第126條在使用機(jī)中已存儲(chǔ)日勺號(hào)碼時(shí)，之前必須驗(yàn)證號(hào)碼。

第127條移動(dòng)通訊設(shè)備,例如，PDA等,不應(yīng)存儲(chǔ)企業(yè)敏感信息。

9.7.2互換協(xié)議

第128條跟外界進(jìn)行信息和軟件互換必須簽訂協(xié)議，其內(nèi)容必須包括：

1）發(fā)送方和接受方的責(zé)任

2）明確發(fā)送和接受的方式

3）制定信息封裝和傳播的技術(shù)原則

4）數(shù)據(jù)丟失的I有關(guān)責(zé)任

5）申明信息的保密級(jí)別和保護(hù)規(guī)定

6）申明信息和軟件的所有權(quán)、版權(quán)和其他有關(guān)原因

9.7.3物理介質(zhì)傳播

第129條必須建立傳播存儲(chǔ)介質(zhì)的安全原則。應(yīng)使用可靠的傳播工具或傳遞人，授權(quán)的傳

遞人必須接受合適監(jiān)管并進(jìn)行其身份"勺檢查。應(yīng)保證敏感信息的機(jī)密性、完整性和可用性在

傳播全程中受到保護(hù)。

第130條寄存介質(zhì)的容帶在運(yùn)送過(guò)程前必須密封。信息分類不應(yīng)當(dāng)標(biāo)識(shí)在容器的外面。包

裝應(yīng)當(dāng)非常結(jié)實(shí)，保證介質(zhì)在運(yùn)送過(guò)程中不受到損壞。

9.7.4電子消息

第131條電子化辦公系統(tǒng)必須建立對(duì)應(yīng)的管理措施和控制機(jī)制，并闡明下列內(nèi)容:

1）確定不能被共享的信息的類型或密級(jí)

2）系統(tǒng)顧客日勺權(quán)限

3）系統(tǒng)的訪問(wèn)控制

4）與系統(tǒng)有關(guān)日勺備份管理措施

第132條除非獲得安全管理委員會(huì)日勺授權(quán)，否則嚴(yán)禁使用企業(yè)以外的電子系統(tǒng)，例如BBS、

MSN.等,進(jìn)行跟企業(yè)有關(guān)的活動(dòng)。

第133條電子郵件內(nèi)的信息必須根據(jù)其信息分類的安全規(guī)定去處理和保護(hù)。用于連接外網(wǎng)

的郵件網(wǎng)關(guān)必須安裝防病毒軟件，檢查進(jìn)出的電子郵件。必須對(duì)Internet屏蔽郵件系統(tǒng)的

內(nèi)網(wǎng)1B地址。

第134條員工使用企業(yè)的郵件系統(tǒng)時(shí)只能進(jìn)行與業(yè)務(wù)有關(guān)的活動(dòng)。所有在企業(yè)的郵件系統(tǒng)

上產(chǎn)生及存儲(chǔ)的郵件都是企業(yè)資產(chǎn)。企業(yè)有權(quán)查看和監(jiān)控所有郵件。

未經(jīng)授權(quán)，嚴(yán)禁使用企業(yè)以外II勺郵箱處理企.業(yè)業(yè)務(wù)。

所有對(duì)外發(fā)送的郵件都必須加上責(zé)任申明。

9.7.5業(yè)務(wù)信息系統(tǒng)

第135條在業(yè)務(wù)系統(tǒng)進(jìn)行信息共享時(shí)，必須保證信息的完整性、可用行和保密性。必須保

證重要信息在互換過(guò)程中的保密性。

9.8電子商務(wù)服務(wù)

9.8.1電子商務(wù)

第136條必須采用合適措施，保證電子交易過(guò)程的機(jī)密性、完整性和可用性。

第137條電子商務(wù)的交易必須制定有關(guān)的交易申明，以明確注意事項(xiàng)和有關(guān)責(zé)任。在電子

商務(wù)的協(xié)議中，必須明確欺詐行為和未能交付的責(zé)任。

第138條電子交易必須設(shè)絡(luò)并維護(hù)合適日勺訪問(wèn)控制。身份驗(yàn)證技術(shù)必須滿足業(yè)務(wù)的）實(shí)際規(guī)

定。

第139條必須保留并維護(hù)所有電子商務(wù)交易過(guò)程中的記錄和日志。

第140條應(yīng)當(dāng)使用加密、電子證書、數(shù)字簽名等技術(shù)保護(hù)電子商務(wù)安全。

9.8.2在線交易

第141條必須保護(hù)在線交易信息，防止不完整的傳播、路由錯(cuò)誤、未授權(quán)的消息更改、未

授權(quán)的信息信息泄漏、復(fù)制和答復(fù)。

第142條在線交易中必縝使用數(shù)字證書保護(hù)交易安全。交易中必須使用加密技術(shù)對(duì)所有通

信內(nèi)容加密。在線交易必須使用安全口勺通訊協(xié)議。

第143條在線交易信息必須保留在企業(yè)內(nèi)部H勺存儲(chǔ)環(huán)境，存儲(chǔ)環(huán)境不能被從Internet直接

訪問(wèn)。

第144條在線交易必須遵守國(guó)家、地區(qū)和行業(yè)有關(guān)的法律法規(guī)。

9.8.3公共信息

第145條必須保證公共信息系統(tǒng)中信息的完整性，并防止非授權(quán)U勺修改。

第146條信息的公布必須遵守國(guó)家法律法規(guī)的規(guī)定。通過(guò)信息公布系統(tǒng)向內(nèi)部和公眾公布

的信息都必須通過(guò)企業(yè)有關(guān)部門U勺檢查和審批。信息在公布之前必須通過(guò)查對(duì)，確認(rèn)其對(duì)的

性和完整性。必須對(duì)敏感信息II勺處理和存儲(chǔ)過(guò)程進(jìn)行保護(hù)。

9.9監(jiān)控

9.9.1日志

第147條所有操作系統(tǒng)、應(yīng)用系統(tǒng)都必須具有并啟用日志記錄功能。

第148條日志記錄信息必須包括但不限于:

1）顧客ID,

2）每項(xiàng)操作日勺口期和時(shí)町至少要精確到秒,，

3）來(lái)源的標(biāo)識(shí)或位輅，

4）成功的系統(tǒng)訪問(wèn)嘗試，

5）失敗或被拒絕日勺系統(tǒng)訪問(wèn)嘗試，

第149條日志類型包括但不限于：

1）應(yīng)用日志，

2）系統(tǒng)H志，

3）安全日志，

4）操作日志，

5）問(wèn)題記錄。

第150條必須保證FL志記錄功能在任何時(shí)候都能正常運(yùn)行。應(yīng)當(dāng)有機(jī)制監(jiān)控日志的容量變

化，在容量耗盡之前發(fā)出報(bào)警信息。

第151條除非尤其申明，所有日志都必須被分類為“機(jī)密二日志應(yīng)當(dāng)定期復(fù)查，至少每月

一次。

9.9.2監(jiān)控系統(tǒng)U勺使用

第152條不一樣的信息處理設(shè)備所規(guī)定11勺監(jiān)控等級(jí)應(yīng)當(dāng)通過(guò)風(fēng)險(xiǎn)評(píng)估來(lái)決定，必須考慮下

列要素：

1）系統(tǒng)的訪問(wèn)，

2）所有特權(quán)操作，

3）未授權(quán)II勺訪問(wèn)嘗試,

4）系統(tǒng)警報(bào)或故障。

第153條應(yīng)每天定期監(jiān)控網(wǎng)絡(luò)，包括網(wǎng)絡(luò)性能和網(wǎng)絡(luò)故障，，并根據(jù)產(chǎn)生的匯報(bào)，對(duì)異常變

化的網(wǎng)絡(luò)流量，作深入分析，以發(fā)現(xiàn)潛在的網(wǎng)絡(luò)安全問(wèn)題。

9.9.3日志信息保護(hù)

第154條必須保證氏志不能被修改或刪除，所有對(duì)于日志文獻(xiàn)的訪問(wèn)，如刪除、寫、讀或添

加，嘗試都應(yīng)當(dāng)有對(duì)應(yīng)記錄。

第155條除非尤其申明，日志必須至少保留1年。只有授權(quán)的員工才能訪問(wèn)并使用日志。

必須采用控制措施保護(hù)日志的完整性。

9.9.4管理員和操作員日志

第156條系統(tǒng)管理員和操作員的操作必須被記錄日志。

第157條日志記錄應(yīng)包括重要的操作，例如與顧客管理有關(guān)的操作，顧客帳號(hào)的創(chuàng)立、刪除、

權(quán)限設(shè)輅、修改,、與財(cái)務(wù)有關(guān)的操作等。

第158條管理員和重要系統(tǒng)的操作員日志應(yīng)當(dāng)至少每周復(fù)查一次。對(duì)于重要的財(cái)務(wù)系統(tǒng)和

業(yè)務(wù)系統(tǒng)每天都要復(fù)查。

9.9.5故障日志

第159條必須啟動(dòng)故障日志功能。

第160條必須保證故障記錄的跟進(jìn)處理，保證問(wèn)題得到完全處理，并且其糾正措施不會(huì)帶

來(lái)新的安全問(wèn)題。所有故障記錄都應(yīng)當(dāng)向上級(jí)匯報(bào)并記錄歸檔。

第161條故障記錄應(yīng)妥善保管，防止被損壞，必要時(shí)應(yīng)當(dāng)進(jìn)行備份。

9.9.6時(shí)鐘同步

第162條所有系統(tǒng)應(yīng)當(dāng)使用時(shí)鐘同步服務(wù)，并使用同一時(shí)鐘源。

第163條所有系統(tǒng)中H勺時(shí)間容許最多一分鐘時(shí)偏差。

第164條對(duì)于不能進(jìn)行時(shí)鐘同步的系統(tǒng)，必須對(duì)時(shí)間進(jìn)行每月一次的檢杳。

10訪問(wèn)控制方面

10.1訪問(wèn)控制規(guī)定

10.1.1訪問(wèn)控制管理措施

第165條所有系統(tǒng)和應(yīng)用都必須有訪問(wèn)控制列表，由系統(tǒng)管理者明確定義訪問(wèn)控制規(guī)則、

顧客和顧客組的權(quán)限以及訪問(wèn)控制機(jī)制。訪問(wèn)控制列表應(yīng)當(dāng)進(jìn)行周期性的檢查以保證授權(quán)對(duì)

嘰

第166條訪問(wèn)權(quán)限必須根據(jù)工作完畢的至少需求而定，不能超過(guò)具_(dá)L作實(shí)際所需的范圍。

必須按照“除非明確容許，否則一律嚴(yán)禁”的原則來(lái)設(shè)輅訪問(wèn)控制規(guī)則。

第167條所有訪問(wèn)控制必須建立對(duì)應(yīng)的審批程序，以保證訪問(wèn)授權(quán)U勺合理性和有效性。必

須禁用或關(guān)閉任何具有越權(quán)訪問(wèn)的功能。員工II勺職責(zé)發(fā)生變化或離職時(shí)，其訪問(wèn)權(quán)限必須作

對(duì)應(yīng)調(diào)整或撤銷。

第168條系統(tǒng)自帶的默認(rèn)帳號(hào)應(yīng)當(dāng)禁用或配輅密碼進(jìn)行保護(hù)。

10.2顧客訪問(wèn)管理

10.2.1顧客注冊(cè)

第169條開(kāi)放給顧客訪問(wèn)的信息系統(tǒng)，必須建立正式的顧客注冊(cè)和注銷程序。

第170條所有顧客的注卅都必須通過(guò)顧客注冊(cè)程序進(jìn)行申請(qǐng)，并得到部門領(lǐng)導(dǎo)或其委托者

的同意。系統(tǒng)管理者對(duì)顧客具有最終的授權(quán)決定權(quán)。必須保留和維護(hù)所有顧客的注冊(cè)信息的

正式顧客記錄。

第171條負(fù)責(zé)顧客注冊(cè)的管理員必須驗(yàn)證顧客注冊(cè)和注銷祈求的合法性。

第172條每個(gè)顧客必須被分派唯一的帳號(hào)，不容許共享顧客帳號(hào)。顧客一旦發(fā)現(xiàn)其帳號(hào)異

常，必須立即告知負(fù)責(zé)顧客注冊(cè)的管理員進(jìn)行處理。假如顧客帳號(hào)持續(xù)120天沒(méi)有使用，必

須禁用該帳號(hào)。

第173條帳號(hào)名不能透露顧客的權(quán)限信息，例如管理員帳號(hào)不能帶有Admin字樣。

10.2.2特權(quán)管理

第174條必須建立正式的授權(quán)程序，以保證授權(quán)得到嚴(yán)格的評(píng)估和審批，并保證沒(méi)有與系

統(tǒng)和應(yīng)用的安全相違反。

第175條必須建立授權(quán)清單，記錄和維護(hù)已分派的特權(quán)和其相對(duì)口勺顧客信息。

10.2.3顧客密碼管理

第176條只有在顧客身份被確認(rèn)后，才容許對(duì)忘掉密碼的顧客提供臨時(shí)密碼。

第177條系統(tǒng)中統(tǒng)一管理帳號(hào)密碼的模塊保留口勺密碼必須是加密口勺。

第178條密碼必須保密，不得與他人分享、放在源代碼內(nèi)或?qū)懺跊](méi)有保護(hù)的介質(zhì)上,如紙張，。

第179條必須強(qiáng)制顧客在笫一次登錄時(shí)修改密碼。

第180條系統(tǒng)應(yīng)當(dāng)設(shè)輅定期的密碼修改管理措施，并眼制至少近來(lái)3個(gè)舊密碼的重用。

第181條系統(tǒng)必須啟用登錄失敗的限制功能，假如持續(xù)10次登錄失敗，系統(tǒng)應(yīng)當(dāng)自動(dòng)鎖定

有關(guān)帳號(hào)。

第182條在通過(guò)傳送密碼此前必須確認(rèn)對(duì)方的身份.

第183條嚴(yán)禁帳號(hào)和密碼被一起傳送，例如用同一封郵件傳送帳號(hào)和密碼。

第184條所有系統(tǒng)都應(yīng)當(dāng)建立應(yīng)急帳號(hào)，應(yīng)急帳號(hào)資料必須放在密封的信封內(nèi)妥善收藏，

并控制好信封U勺存取。必須記錄所有應(yīng)急帳號(hào)的使用狀況，包括有關(guān)的人、時(shí)間和原因等。

應(yīng)急帳號(hào)的密碼在使用后必須立即修改，然后把新的密碼裝到信封里。

10.2.4顧客訪問(wèn)權(quán)限的檢查

185條必須六個(gè)月對(duì)注冊(cè)顧客H勺訪問(wèn)權(quán)限和系統(tǒng)特權(quán)進(jìn)行一次第

復(fù)查，關(guān)鍵系統(tǒng)必須每三個(gè)月復(fù)查一次。此過(guò)程應(yīng)當(dāng)包括但不限于：

1）確認(rèn)顧客權(quán)限日勺有效性和合理性

2）找出所有異常帳號(hào),如長(zhǎng)時(shí)間未使用和己離職人員的帳號(hào)等，，進(jìn)行分析并采用對(duì)應(yīng)措施

第186條必須對(duì)可疑II勺或不明確的訪問(wèn)權(quán)限進(jìn)行調(diào)查，并作為安全事故進(jìn)行匯報(bào)。

10.3顧客的責(zé)任

10.3.1密碼時(shí)使用

第187條顧客必須對(duì)其帳號(hào)的安全和使用負(fù)責(zé)，無(wú)論在何種狀況下，顧客都不應(yīng)當(dāng)泄漏具

密碼。顧客不應(yīng)當(dāng)使用紙張或未受保護(hù)的電了?形式保留密碼。顧客一旦懷疑其帳號(hào)密包也許

受到損害，應(yīng)當(dāng)及時(shí)修改密碼。

第188條顧客在第一次使用帳號(hào)時(shí)，必須修改密碼。顧客必須至少每六個(gè)月修改一次密碼。

特權(quán)帳號(hào)的密碼必須至少每3個(gè)月修改一次。用于系統(tǒng)之間認(rèn)證帳號(hào)II勺密碼必須至少每六個(gè)

月修改一次。

第189條除非有技術(shù)限制，密碼應(yīng)當(dāng)至少包括8個(gè)字符。此8個(gè)字符必須包括數(shù)字和字母。

第190條顧客不應(yīng)使用輕易被猜測(cè)的密碼，例如字典中的單詞、生日和號(hào)碼等。前3

次用過(guò)的密碼不應(yīng)當(dāng)被反復(fù)使用。

第191條密碼不應(yīng)當(dāng)被保留于自動(dòng)登錄過(guò)程中，例如IE中的帳號(hào)自動(dòng)保留。

10.3.2清除桌面及屏幕管理措施

192條所有服務(wù)器和個(gè)人電腦都必須啟用帶有口令保護(hù)的屏第

幕保護(hù)程序，激活等待時(shí)間應(yīng)少于10分鐘。

第193條無(wú)人使用時(shí)，服務(wù)器、個(gè)人電腦和復(fù)印機(jī)等必須保持注銷狀態(tài)。

第194條不能將機(jī)密和絕密信息資料遺留在桌面上，而應(yīng)當(dāng)根據(jù)信息的保密等級(jí)進(jìn)行處理。

195條必須為信件收發(fā)區(qū)域以及無(wú)人看守的機(jī)設(shè)輅合適第

的保護(hù)措施。

第196條打印完敏感信息之后，必須確認(rèn)信息已從打印隊(duì)列中清除。

10.4網(wǎng)絡(luò)訪問(wèn)控制

10.4.1網(wǎng)絡(luò)服務(wù)使用管理措施

第197條必須建立授權(quán)程序來(lái)管理網(wǎng)絡(luò)服務(wù)的使用。

第198條應(yīng)遵照業(yè)務(wù)規(guī)定中所闡明的訪問(wèn)控制管埋措施來(lái)限制訪問(wèn)。

第199條所有系統(tǒng)都必須設(shè)輅訪問(wèn)控制機(jī)制來(lái)防止未經(jīng)授權(quán)的訪問(wèn)。

10.4.2外部連接的顧客認(rèn)證

第200條對(duì)企業(yè)系統(tǒng)進(jìn)行遠(yuǎn)程訪問(wèn)，必須建立合適的認(rèn)證機(jī)制，采用的機(jī)制應(yīng)通過(guò)風(fēng)險(xiǎn)評(píng)

估來(lái)決定。

第201條通過(guò)撥號(hào)進(jìn)行遠(yuǎn)程訪問(wèn)必須通過(guò)正式同意，并做好有關(guān)記錄。

第202條用于遠(yuǎn)程訪問(wèn)的調(diào)制解調(diào)器平時(shí)必須保持關(guān)閉，只有在使用的時(shí)候才能打開(kāi)。

第203條在企業(yè)外部進(jìn)行遠(yuǎn)程辦公，必須使用VPN進(jìn)行連接。

第204條與外部合作伙伴進(jìn)行信息互換，應(yīng)當(dāng)使用專線進(jìn)行連接。

10.4.3遠(yuǎn)程診斷和配置端口的保護(hù)

第205條在不使用的時(shí)候，診斷端口應(yīng)當(dāng)被禁用或通過(guò)恰當(dāng)?shù)陌踩珯C(jī)制進(jìn)行保護(hù)。

第206條假如第三方需要訪問(wèn)診斷端口，必須簽訂正式的協(xié)議。

第207條對(duì)遠(yuǎn)程診斷端口的訪問(wèn)，必須建立正式的注冊(cè)審批程序。訪問(wèn)者必須只被授予最

小的訪問(wèn)權(quán)限來(lái)完畢診斷任務(wù)，并且必須得到認(rèn)證。

第208條所有遠(yuǎn)程的診斷訪問(wèn)必須事先申請(qǐng)并獲得同意。

第209條在遠(yuǎn)程診斷會(huì)話期間，必須記錄所有執(zhí)行的活動(dòng)信息，包括時(shí)間、執(zhí)行者、執(zhí)行

動(dòng)作和成果等。這些記錄應(yīng)當(dāng)由系統(tǒng)管理員進(jìn)行檢查以保證訪問(wèn)者只執(zhí)行了被授權(quán)日勺活動(dòng)。

10.4.4網(wǎng)絡(luò)的J劃分

第210條必須將網(wǎng)絡(luò)劃分為不一樣的區(qū)域，以提供不一樣級(jí)別的安全保護(hù)，滿足不一樣服

務(wù)的安全需求。

第211條對(duì)于重要的網(wǎng)絡(luò)區(qū)域必須設(shè)輅訪問(wèn)控制以隔離其他網(wǎng)絡(luò)區(qū)域。

第212條應(yīng)當(dāng)使用風(fēng)險(xiǎn)評(píng)估來(lái)決定每個(gè)區(qū)域的安全級(jí)別。

第213條企業(yè)外部和內(nèi)網(wǎng)之間應(yīng)當(dāng)建立一種DMZo

10.4.5網(wǎng)絡(luò)連接的控制

第214條企業(yè)以外的網(wǎng)絡(luò)連接，在建立連接前必須對(duì)外部的接入環(huán)境進(jìn)行評(píng)估，滿足企業(yè)

管理措施后才能接入。

第215條所有網(wǎng)絡(luò)端口必須進(jìn)行限制，以防止非授權(quán)的電腦接入企業(yè)網(wǎng)絡(luò)。限制規(guī)定至少

應(yīng)包括：

1）所有的端口默認(rèn)都是關(guān)閉的，只有在通過(guò)正式同意后才能開(kāi)通，

2）端口的關(guān)閉必須在員工離職和崗位變動(dòng)流程中體現(xiàn)，

3）臨時(shí)使用的端口或位路變動(dòng)，員工必須積極申請(qǐng)停用原有端口，開(kāi)通新端口前必須先關(guān)閉

原有端口。

第216條必須將網(wǎng)絡(luò)接口和接入設(shè)備綁定，假如需要更換接入II勺設(shè)備，必須通過(guò)部門經(jīng)理

的審批。

第217條所有接入企業(yè)網(wǎng)絡(luò)的主機(jī)必須通過(guò)企業(yè)的原則化安裝。

第218條企業(yè)必須設(shè)置一種單獨(dú)的網(wǎng)絡(luò)區(qū)域供非企業(yè)原則化安裝H勺電腦接入，此區(qū)域在網(wǎng)

絡(luò)上是完全封閉、獨(dú)立的，

10.4.6網(wǎng)絡(luò)路由的控制

第219條路由訪問(wèn)控制列表必須基于合適日勺源地址和巨的地址檢查機(jī)制。所有對(duì)外提供網(wǎng)

絡(luò)服務(wù)的網(wǎng)絡(luò)地址必須進(jìn)行地址轉(zhuǎn)換。

第220條所有重要服務(wù)器的管理端口必須通過(guò)指定的途徑進(jìn)行訪問(wèn)。

10.5操作系統(tǒng)訪問(wèn)控制

10.5.1顧客識(shí)別和認(rèn)證

第221條所有顧客都應(yīng)當(dāng)被識(shí)別和認(rèn)證。在每個(gè)系統(tǒng)上創(chuàng)立饃名顧客，系統(tǒng)登陸必須使用

實(shí)名顧客。假如因特殊原為不能使用實(shí)名顧客登陸，必須通過(guò)安全管理委員會(huì)同意。

第222條顧客認(rèn)證失敗信息中，應(yīng)當(dāng)不顯示詳細(xì)II勺失敗原因。例如不能顯示“帳號(hào)不存在”

或“密碼不對(duì)口勺”。

第223條假如由于業(yè)務(wù)規(guī)定需要使用共享顧客帳號(hào)，那么此共享帳號(hào)應(yīng)當(dāng)?shù)玫秸降耐?/p>

并明文歸檔。

第224條系統(tǒng)管理員和應(yīng)用管理員必須使用不一樣的帳號(hào)。

第225條所有使用帳號(hào)密碼進(jìn)行認(rèn)證的系統(tǒng)，在帳號(hào)密碼傳送過(guò)程中，應(yīng)當(dāng)采用加密保護(hù)

措施防止泄漏。

10.5.2密碼管理系統(tǒng)

第226條系統(tǒng)應(yīng)當(dāng)強(qiáng)制顧客在第一次成功登錄后修改初始密碼。修改密碼時(shí)，系統(tǒng)必須提

醒顧客確認(rèn)新密碼，以防止輸入錯(cuò)誤。不能明文顯示輸入的密碼。

第227條密碼文獻(xiàn)應(yīng)當(dāng)與應(yīng)用系統(tǒng)數(shù)據(jù)分開(kāi)存儲(chǔ)。密碼處理時(shí)必須使用單向加密。當(dāng)密碼

靠近失效期或者己通過(guò)期時(shí)，系統(tǒng)應(yīng)當(dāng)提醒或強(qiáng)制顧客修改密碼。

第228條所有默認(rèn)的密碼都應(yīng)當(dāng)在軟件安裝后立即更改。系統(tǒng)應(yīng)當(dāng)容許顧客修改自己的密

碼。

第229條系統(tǒng)的密碼管理措施必須滿足如下規(guī)定：

1）密碼長(zhǎng)度至少8個(gè)字符：

2）啟用密碼復(fù)雜度規(guī)定，至少包括大寫字母、小寫字母、數(shù)字、特殊字符中的三種，

3）管理員帳號(hào)密碼有效期是90天，

4）重要系統(tǒng)的顧客帳號(hào)密碼有效期是90天，

5）非重要系統(tǒng)的一般帳號(hào)密碼有效期是180天，

6）記錄區(qū)I歷史密碼次數(shù)不少于5個(gè)，

7）帳號(hào)密碼驗(yàn)證失敗鎖定詞值是10次，

8）帳號(hào)被鎖定后必須由管理員解鎖。

9）假如因系統(tǒng)自身的功能限制不能滿足上述管理措施IJ勺規(guī)定，其設(shè)輅II勺密碼管理措施必須經(jīng)

信息安全管理委員會(huì)審核同意。

10.5.3系統(tǒng)工具的使用

第230條所有系統(tǒng)工具幫應(yīng)當(dāng)被識(shí)別，不必要的工具必須從生產(chǎn)系統(tǒng)中刪除。

10.5.4終端超時(shí)終止

第231條連接到服務(wù)器的所有終端，在30分鐘內(nèi)沒(méi)有活動(dòng)，都應(yīng)當(dāng)被終止連接。

10.5.5連接時(shí)間的限制

第232條對(duì)關(guān)鍵I的信息系統(tǒng)，如前格機(jī)、合作伙伴主機(jī)等，提供附加的安全保護(hù)，包括但不

限于：

1,只容許在之前協(xié)商好的時(shí)間段內(nèi)訪問(wèn)，如:每天6點(diǎn)一6點(diǎn)半，

2,只容許在正常的工作時(shí)訶內(nèi)訪問(wèn)，如:每周一至周五9點(diǎn)一17點(diǎn)，

3,遠(yuǎn)程診斷modem在不使用時(shí)必須處在關(guān)閉狀態(tài)，在使用后必須立即關(guān)閉。

10.6應(yīng)用系統(tǒng)訪問(wèn)控制

10.6.1信息訪問(wèn)限制

第233條應(yīng)用系統(tǒng)應(yīng)當(dāng)控制顧客的訪問(wèn)權(quán)限，如讀寫權(quán)限、刪除權(quán)限以及執(zhí)行權(quán)限。

第234條必須保證處理敏感信息的應(yīng)用系統(tǒng)僅輸出必需的信息到授權(quán)的終端，同步應(yīng)對(duì)這

些輸出功能進(jìn)行定期檢查，保證不存在輸出多出的信息。

10.6.2敏感系統(tǒng)的隔離

第235條應(yīng)當(dāng)根據(jù)應(yīng)用系統(tǒng)的敏感程度對(duì)系統(tǒng)進(jìn)行合適的隔離保護(hù)，例如：

1）運(yùn)行于指定的計(jì)算機(jī)上

2）僅與信任的應(yīng)用系統(tǒng)共享資源

3,敏感系統(tǒng)的各個(gè)部分都應(yīng)當(dāng)以合適的方式進(jìn)行保護(hù)。

10.7移動(dòng)計(jì)算和遠(yuǎn)程辦公

10.7.1移動(dòng)計(jì)算

第236條移動(dòng)設(shè)備,包括個(gè)人手持設(shè)備、筆記本電腦，和家庭辦公個(gè)人電腦都應(yīng)當(dāng)受到保護(hù)

以防未授權(quán)訪問(wèn)。

第237條進(jìn)行移動(dòng)和家庭辦公的員工，應(yīng)當(dāng)對(duì)其使用的設(shè)備做好物理保護(hù)，防止丟失、盜

竊和破壞等。寄存在移動(dòng)設(shè)備中的敏感信息必須做好保護(hù)，例如采用加密以防泄漏。

第238條移動(dòng)設(shè)備顧客必須做好防病毒工作。移動(dòng)設(shè)備中的企業(yè)信息應(yīng)當(dāng)做好備份工作,

防止丟失。

10.7.2遠(yuǎn)程辦公

第239條必須建立遠(yuǎn)程辦公的使用原則和授權(quán)程序。

第240條遠(yuǎn)程辦公的訪問(wèn)權(quán)限必須基于最小權(quán)限的原則進(jìn)行分派，授權(quán)內(nèi)容應(yīng)當(dāng)包括：

1）容許訪問(wèn)日勺系統(tǒng)和服務(wù)

2）容許進(jìn)行的工作

3）訪問(wèn)時(shí)段

第241條遠(yuǎn)程辦公的訪問(wèn)控制應(yīng)當(dāng)采用雙重認(rèn)證的方式。遠(yuǎn)程辦公的信息在傳播過(guò)程中必

須加密。

第242條員工離職或不再使用遠(yuǎn)程辦公時(shí)，必須取消其有關(guān)的遠(yuǎn)程辦公訪問(wèn)權(quán)限。必須定

期對(duì)遠(yuǎn)程辦公實(shí)行審計(jì)和安全監(jiān)控。

11信息系統(tǒng)采購(gòu)、開(kāi)發(fā)和維護(hù)方面

11.1系統(tǒng)安全需求

11.1.1系統(tǒng)的安全需求分析與范圍

第243條在系統(tǒng)開(kāi)發(fā)的整個(gè)過(guò)程，尤其是在系統(tǒng)需求階段，都必須考慮安全需求，包括但不

限于：

1）系統(tǒng)架構(gòu)

2）顧客認(rèn)證

3）訪問(wèn)控制和授權(quán)

4）事務(wù)處理的機(jī)密性和完整性

5）日志記錄功能

6）系統(tǒng)配輅

7）法律法規(guī)和兼容性規(guī)定

8）系統(tǒng)恢復(fù)

第244條在系統(tǒng)的需求和設(shè)計(jì)階段，需要對(duì)系統(tǒng)進(jìn)行安全面的）評(píng)審。

第245條應(yīng)當(dāng)在開(kāi)發(fā)H勺整個(gè)周期對(duì)安全需求實(shí)行的對(duì)的性進(jìn)行階段性檢查，以保證其對(duì)應(yīng)

的安全措施按照規(guī)定被定義、設(shè)計(jì)、布署和測(cè)試。

第246條在使用商業(yè)軟件或軟件包前，必須按照上述安全需求進(jìn)行評(píng)估。對(duì)于軟件的安全

控制規(guī)定應(yīng)當(dāng)在評(píng)估之前定義好。

第247條軟件必須通過(guò)顧客的正式驗(yàn)收后才能投入生產(chǎn)。軟件在正式使用前必須通過(guò)安全

面的測(cè)試，測(cè)試內(nèi)容必須包括所有設(shè)計(jì)文檔中的安全規(guī)定。

第248條為了對(duì)顧客的操作進(jìn)行檢查和審計(jì)，系統(tǒng)必須提供H志記錄功能。系統(tǒng)應(yīng)提供只

有日志審計(jì)人員可以訪問(wèn)的用來(lái)查看日志記錄的審計(jì)接口。日志文獻(xiàn)必須設(shè)輅嚴(yán)格的訪問(wèn)控

制，包括系統(tǒng)管理員、日志審核員在內(nèi)所有角色都只能有查看權(quán)限。

11.2應(yīng)用系統(tǒng)中的安全

11.2.1數(shù)據(jù)輸入的驗(yàn)證

第249條所有接受數(shù)據(jù)輸入II勺入口必須有對(duì)應(yīng)U勺驗(yàn)證處理，包括但不限于：

1）數(shù)據(jù)的長(zhǎng)度

2）數(shù)據(jù)的類型

3）數(shù)據(jù)的范圍

4）字符的限制

第250條根據(jù)業(yè)務(wù)需要，對(duì)于按照紙面信息輸入的數(shù)據(jù)，系統(tǒng)應(yīng)當(dāng)提供“數(shù)據(jù)在輸入被確

認(rèn)”之后才能提交的功能。

第251條系統(tǒng)應(yīng)當(dāng)對(duì)錯(cuò)誤H勺輸入數(shù)據(jù)提供有協(xié)助日勺提醒信息。必須對(duì)數(shù)據(jù)輸入驗(yàn)證功能進(jìn)

行全面的測(cè)試，以保證其對(duì)的性和有效性。系統(tǒng)在使用過(guò)程中，應(yīng)當(dāng)明確定義參與數(shù)據(jù)輸入

各環(huán)節(jié)所有有關(guān)人員的職責(zé)。

11.2.2內(nèi)部處理的控制

第252條應(yīng)用系統(tǒng)的設(shè)計(jì)應(yīng)當(dāng)考慮如下原因，防止對(duì)的輸入的數(shù)據(jù)因錯(cuò)誤處理或人為原因

等遭到破壞：

1）程序應(yīng)當(dāng)有處理的校驗(yàn)機(jī)制

2）程序應(yīng)當(dāng)畬對(duì)應(yīng)的例外處理機(jī)制

3）對(duì)于有先后執(zhí)行次序的程序或程序模塊，內(nèi)部必須有執(zhí)行次序的限制機(jī)制

第253條控制措施U勺選擇應(yīng)根據(jù)應(yīng)用的性質(zhì)和數(shù)據(jù)受損對(duì)業(yè)務(wù)導(dǎo)致U勺影響而定，可選擇的

措施包括但不限于：

1）會(huì)話或批處理控制措施，在事務(wù)更新后協(xié)調(diào)有關(guān)數(shù)據(jù)文獻(xiàn)的一致性

2）驗(yàn)證系統(tǒng)生成數(shù)據(jù)的對(duì)的性

3）檢查數(shù)據(jù)完整性，尤其是在計(jì)算機(jī)之間傳播的數(shù)據(jù)

4）計(jì)算記錄和文獻(xiàn)的哈希值以便驗(yàn)證

5）保證程序以對(duì)U勺的次序運(yùn)行，在出現(xiàn)故障時(shí)終止，在問(wèn)題處理前暫停處理

11.2.3消息驗(yàn)證

第254條對(duì)需要保證消息內(nèi)容完整性的應(yīng)用，例如電子交易,應(yīng)當(dāng)使用消息驗(yàn)證。

第255條在采用消息驗(yàn)證之前，應(yīng)當(dāng)通過(guò)安全風(fēng)險(xiǎn)評(píng)估，以確定其與否能滿足需要或采用

其他更適合的處理方式。

11.2.4數(shù)據(jù)輸出口勺驗(yàn)證

第256條應(yīng)當(dāng)使用檢查輸出數(shù)據(jù)合理性的I機(jī)制。應(yīng)當(dāng)使用保證數(shù)據(jù)被所有處理的機(jī)制。

第257條輸出的數(shù)據(jù)應(yīng)當(dāng)具有有關(guān)標(biāo)志，以便判斷數(shù)據(jù)的狀態(tài)，例如與否精確、與否完整等，。

必須對(duì)數(shù)據(jù)輸出驗(yàn)證功能進(jìn)行全面日勺測(cè)試，以保證其對(duì)H勺性和有效性。

第258條系統(tǒng)在使用過(guò)程中，應(yīng)當(dāng)明確定義參與數(shù)據(jù)輸出各環(huán)節(jié)所有有關(guān)人員的職責(zé)。

11.3加密控制

11.3.1加密的使用管理措施

第259條敏感信息應(yīng)當(dāng)根據(jù)信息分類的規(guī)定采用加密措施進(jìn)行保護(hù)。

第260條加密措施的采用不僅要考慮到信息存儲(chǔ)，也應(yīng)當(dāng)考慮到信息傳播的規(guī)定。應(yīng)當(dāng)使

用被企業(yè)承認(rèn)的原則加密算法。

第261條未經(jīng)安全管理委員會(huì)的同意，顧客不能安裝任何未經(jīng)授權(quán)的加密軟件。

第262條加密算法應(yīng)當(dāng)根據(jù)算法強(qiáng)度和密鑰長(zhǎng)度進(jìn)行選擇，以符合信息保護(hù)的規(guī)定。

第263條數(shù)字簽名的使用必須符合國(guó)家電子簽名法的有關(guān)規(guī)定。

11.3.2密鑰管理

第264條密鑰管理系統(tǒng)應(yīng)當(dāng)包括如下活動(dòng)：

1）密鑰產(chǎn)生

2）密鑰變更

3）密鑰存儲(chǔ)

4）密鑰耳換和分發(fā)

5）密鑰注銷

6）密鑰恢復(fù)和備份

7）密鑰銷毀

11.4系統(tǒng)文獻(xiàn)的安全

11.4.1生產(chǎn)系統(tǒng)的應(yīng)用軟件控制

第265條生產(chǎn)系統(tǒng)的應(yīng)用軟件更新必須由獲得授權(quán)的管理員來(lái)執(zhí)行。

第266條嚴(yán)禁在生產(chǎn)系統(tǒng)中保留應(yīng)用軟件日勺源代碼。必須建立程序庫(kù)統(tǒng)?保管和維擰應(yīng)用

程序的可執(zhí)行代碼。

第267條在測(cè)試成功、顧客驗(yàn)收完畢或有關(guān)的程序庫(kù)被更新前，嚴(yán)禁更新生產(chǎn)系統(tǒng)中口勺可

執(zhí)行代碼。

第冼8條必須對(duì)程序庫(kù)做好訪問(wèn)控制，并對(duì)程序庫(kù)的更新進(jìn)行日志記錄。

第269條應(yīng)用軟件必須做好版本控制管理，每一種版本都必須有對(duì)應(yīng)的備份。源代碼U勺所

有版本都必須保留，并標(biāo)識(shí)版本號(hào)，每個(gè)版本之間的差異描述要文檔化。

11.4.2測(cè)試數(shù)據(jù)的保護(hù)

第270條測(cè)試系統(tǒng)應(yīng)當(dāng)參照生產(chǎn)系統(tǒng)的訪問(wèn)控制規(guī)則進(jìn)行訪問(wèn)控制。

第271條每次從生產(chǎn)系統(tǒng)中復(fù)制數(shù)據(jù)到測(cè)試系統(tǒng)中必須獲得授權(quán)，并做好記錄。從生產(chǎn)系

統(tǒng)中復(fù)制的數(shù)據(jù)必須通過(guò)處理，去掉有關(guān)財(cái)務(wù)和個(gè)人隱私的信息。

11.4.3對(duì)程序源代碼庫(kù)的訪問(wèn)控制

第272條應(yīng)當(dāng)建立程序源代碼庫(kù)，并由指定人員進(jìn)行統(tǒng)一管理。正在開(kāi)發(fā)或修改的程序不

應(yīng)當(dāng)保留在程序源代碼庫(kù)中。

第273條更新程序源代碼庫(kù)和向程序員提供程序源代碼，應(yīng)通過(guò)指定的程序源代碼庫(kù)管理

員來(lái)執(zhí)行，并且獲得管理層的授權(quán)。程序源代碼必須保留在安全的環(huán)境中。

第274條必須控制程序源代碼庫(kù)的訪問(wèn)，只提供工作需要的最小權(quán)限。程序源代碼佐訪問(wèn)

必須做好有關(guān)記錄。

第275條程序源代碼必須做好版本控制管理，每一種版本都必須有對(duì)應(yīng)的備份。

11.5開(kāi)發(fā)和維護(hù)過(guò)程中的安全

11.5.1變更控制流程

第276條所有應(yīng)用軟件的變更必須獲得同意。

第277條應(yīng)用軟件的變更需求應(yīng)當(dāng)由業(yè)務(wù)部門授權(quán)的發(fā)深人員提出。應(yīng)用軟件的變更不應(yīng)

破壞軟件自身的可靠性和已經(jīng)有的控制措施。

第278條變更需求中應(yīng)當(dāng)包括對(duì)運(yùn)行環(huán)境的規(guī)定，如硬件資源、軟件資源等，。

第279條變更的設(shè)計(jì)方案必須通過(guò)正式的同怠才能開(kāi)始編碼。變更在布署之前必須通過(guò)驗(yàn)

收。

第280條變更的布署必須盡量減少對(duì)'業(yè)務(wù)正常運(yùn)行的影響。

第281條變更完畢后，有關(guān)的文檔，如系統(tǒng)需求文檔、設(shè)計(jì)文檔、操作手冊(cè)、顧客手冊(cè)等,

必須得到更新，舊的文檔必須進(jìn)行備份。

第282條必須維護(hù)所有軟件更新的版本控制。必須維護(hù)所有變更需求的記錄。

11.5.2操作系統(tǒng)變更的技術(shù)檢查

第283條操作系統(tǒng)變更之前必須進(jìn)行評(píng)估，以保證應(yīng)用程序11勺完整性和控制措施不會(huì)受到

破壞。操作系統(tǒng)變更之前必須告知有關(guān)人員，以便他們有足夠的時(shí)間去做有關(guān)的評(píng)估。

第284條操作系統(tǒng)變更之后必須對(duì)業(yè)務(wù)持續(xù)性計(jì)劃作對(duì)應(yīng)修正。

11.5.3商業(yè)軟件的修改限制

第285條由廠家提供的商業(yè)軟件不應(yīng)當(dāng)被修改。假如需要修改商業(yè)軟件，必須評(píng)估下列影

響：

1）軟件功能和內(nèi)部的控制措施與否會(huì)受到破壞

2）與否會(huì)導(dǎo)致廠家的升級(jí)包不能使用

3）原廠商對(duì)修改正的軟件與否不提供維護(hù)支持

第286條在進(jìn)行任何修改之前，必須得到廠家的容許，以保證不侵犯其知識(shí)產(chǎn)權(quán)。

11.5.4信息泄漏

第287條軟件的開(kāi)發(fā)、采購(gòu)和使用都應(yīng)當(dāng)受到控制和檢查，以防備也許的隱秘通道、邏輯

炸彈、木馬等。如下幾點(diǎn)必須被考慮到：

1）只從信譽(yù)良好的廠家購(gòu)置軟件

2）關(guān)鍵系統(tǒng)上的_L作必須由值得信任的員，擔(dān)任

3）購(gòu)置獲得國(guó)家有關(guān)機(jī)構(gòu)承認(rèn)U勺軟件

4）所有開(kāi)發(fā)的代碼都必須進(jìn)行安全檢查，確定無(wú)問(wèn)題后才可以布署在生產(chǎn)環(huán)境。

第288條所有源代碼應(yīng)當(dāng)進(jìn)行恰當(dāng)?shù)淖⑨專砸员銠z查。

11.5.5軟件開(kāi)發(fā)的外包

第289條所有外包開(kāi)發(fā)的軟件，必須簽定正式的協(xié)議，協(xié)議內(nèi)容包括但不限于：

1）確定軟件許可證的范圍和數(shù)量

2）明確代碼所有權(quán)和知識(shí)產(chǎn)權(quán)1