信息安全策略

1、（北京）科技有限公司信息安全策略2016年8月版本控制版本修改時(shí)間修改內(nèi)容修改人員審核人員V1.02016-08-25新增陳達(dá)隆吳為問第一章總則第一條為了建立、健全三二一（北京）科技有限公司的信息安全管理制度，按照相關(guān)的國家標(biāo)準(zhǔn)，確定信息安全方針和目標(biāo)，對信息安全風(fēng)險(xiǎn)進(jìn)行有效管理，確保全體員工理解并遵照信息安全管理制度的相關(guān)規(guī)定執(zhí)行，改進(jìn)信息安全管理制度的有效性，特制定信息安全策略文檔。第二條本文檔適用于三二一（北京）科技有限公司信息安全管理活動。第二章信息安全范圍第三條信息安全策略涉及的范圍包括：（一）公司全體員工。（二）公司所有業(yè)務(wù)系統(tǒng)。（三）公司現(xiàn)有信息資產(chǎn)，包括與上述業(yè)務(wù)系統(tǒng)相關(guān)的數(shù)據(jù)

2、、硬件、軟件、服務(wù)及文檔等。（四）公司辦公場所和上述信息資產(chǎn)所處的物理位置。第三章信息安全總體目標(biāo)第四條通過建立健全公司各項(xiàng)信息安全管理制度、加強(qiáng)公司員工的信息安全培訓(xùn)和教育工作，制定適合公司的風(fēng)險(xiǎn)控制措施，有效控制信息系統(tǒng)面臨的安全風(fēng)險(xiǎn)，保障信息系統(tǒng)的正常穩(wěn)定運(yùn)行。第四章信息安全方針第五條公司主管領(lǐng)導(dǎo)定期組織相關(guān)人員召開信息安全會議，對有關(guān)的信息安全重大問題做出決策。第六條清晰識別所有資產(chǎn)，實(shí)施等級標(biāo)記，對資產(chǎn)進(jìn)行分級、分類管理，并編制和維護(hù)所有重要資產(chǎn)的清單。第七條綜合使用訪問控制、監(jiān)測、審計(jì)和身份鑒別等方法來保證數(shù)據(jù)、網(wǎng)絡(luò)、信息資源的安全，并加強(qiáng)對外單位人員訪問信息系統(tǒng)的控制，降低系統(tǒng)被

3、非法入侵的風(fēng)險(xiǎn)。第八條啟動服務(wù)器操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用軟件的日志功能，定期進(jìn)行審計(jì)并作相應(yīng)的記錄。第九條明確全體員工的信息安全責(zé)任，所有員工必須接受信息安全教育培訓(xùn)，提高信息安全意識。針對不同崗位，制定不同等級培訓(xùn)計(jì)劃，并定期對各個(gè)崗位人員進(jìn)行安全技能及安全認(rèn)知考核。第十條建立安全事件報(bào)告、事故應(yīng)答和分類機(jī)制，確定報(bào)告可疑的和發(fā)生的信息安全事故的流程，并使所有的員工和相關(guān)方都能理解和執(zhí)行事故處理流程，同時(shí)妥善保存安全事件的相關(guān)記錄與證據(jù)。第十一條對用戶權(quán)限和口令進(jìn)行嚴(yán)格管理，防止對信息系統(tǒng)的非法訪問。第十二條制定完善的數(shù)據(jù)備份策略，對重要數(shù)據(jù)進(jìn)行備份。數(shù)據(jù)備份定期進(jìn)行還原測試，備份

4、介質(zhì)與原信息所在場所應(yīng)保持安全距離。第十三條與外單位的外包（服務(wù)）合同應(yīng)明確規(guī)定合同參與方的安全要求、安全責(zé)任和安全規(guī)定等相關(guān)安全內(nèi)容，并采取相應(yīng)措施嚴(yán)格保證對協(xié)議安全內(nèi)容的執(zhí)行。第十四條在開發(fā)新業(yè)務(wù)系統(tǒng)時(shí)，應(yīng)充分考慮相關(guān)的安全需求，并嚴(yán)格控制對項(xiàng)目相關(guān)文件和源代碼等敏感數(shù)據(jù)的訪問。第十五條定期對信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評估，并根據(jù)風(fēng)險(xiǎn)評估的結(jié)果采取相應(yīng)措施進(jìn)行風(fēng)險(xiǎn)控制。第十六條上述方針由信息安全管理委員會批準(zhǔn)發(fā)布，并定期評審其適用性和充分性，必要時(shí)予以修訂。第五章信息安全職責(zé)第十七條信息安全管理委員會負(fù)責(zé)批準(zhǔn)信息安全策略文件并且保證本文件被公司的各部門執(zhí)行，同時(shí)負(fù)責(zé)對三二一（北京）科技有限公司信息系

5、統(tǒng)信息安全方面的指導(dǎo)方向、安全建設(shè)等重大問題做出決策，協(xié)調(diào)各個(gè)部門之間的安全協(xié)同工作，支持和推動信息安全工作在整個(gè)公司范圍內(nèi)的實(shí)施。第十八條信息技術(shù)部負(fù)責(zé)具體執(zhí)行安全管理策略文件的建立、實(shí)施、運(yùn)作、監(jiān)控、評審、維護(hù)和改進(jìn)工作。第十九條三二一（北京）科技有限公司所有員工有責(zé)任了解自身在信息系統(tǒng)信息安全方面的責(zé)任并認(rèn)真執(zhí)行。第六章信息安全管理原則第二十條信息安全管理工作實(shí)行“積極防范、突出重點(diǎn)、職責(zé)到位、保障業(yè)務(wù)”和“誰主管、誰負(fù)責(zé)”的管理原則。第七章信息安全策略一、安全管理制度策略第二十一條由公司統(tǒng)一制定信息安全工作的總體方針和安全策略，說明安全工作的總體目標(biāo)、范圍、原則和安全框架，形成由安全策

6、略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體系。第二十二條信息技術(shù)部負(fù)責(zé)安全管理制度的制定，安全管理制度應(yīng)具有統(tǒng)一的格式和版本控制，同時(shí)并組織相關(guān)人員對制定的安全管理制度進(jìn)行論證和審定，并通過臍橙金融網(wǎng)絡(luò)借貸信息中介平臺進(jìn)行發(fā)布。第二十三條信息安全管理委員會負(fù)責(zé)定期組織相關(guān)部門和相關(guān)人員對安全管理制度體系的合理性和適用性進(jìn)行審定，對存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂。二、安全管理機(jī)構(gòu)策略第二十四條成立信息安全管理委員會，全面負(fù)責(zé)信息安全工作。第二十五條信息技術(shù)部作為信息安全管理工作的職能部門，并設(shè)立安全管理專員，并設(shè)立應(yīng)用系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員等崗位，并定義各崗位

7、的職責(zé)。第二十六條關(guān)鍵事務(wù)崗位應(yīng)配備AB角。第二十七條針對系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項(xiàng)建立審批程序，按照審批程序執(zhí)行審批過程，對重要活動建立逐級審批制度，并定期審查審批事項(xiàng)，及時(shí)更新需授權(quán)和審批的項(xiàng)目、審批部門和審批人等信息，并記錄審批過程并保存審批文檔。第二十八條加強(qiáng)組織內(nèi)部的合作與溝通，定期召開協(xié)調(diào)會議，共同協(xié)作處理信息安全問題，并加強(qiáng)外聯(lián)單位合作與溝通，并制定外聯(lián)單位聯(lián)系列表。第二十九條制定安全審核和安全檢查制度，規(guī)范安全審核和安全檢查工作，定期按照程序進(jìn)行安全審核和安全檢查活動。三、人員安全策略第三十條人力行政部負(fù)責(zé)員工錄用，嚴(yán)格規(guī)范人員錄用過程，對被錄用人的身份、背景

8、、專業(yè)資格和資質(zhì)等進(jìn)行審查，對其所具有的技術(shù)技能進(jìn)行考核，并簽署保密協(xié)議。第三十一條員工應(yīng)根據(jù)崗位職責(zé)要求嚴(yán)格履行其安全角色和職責(zé)，主要包括：保護(hù)資產(chǎn)免受未授權(quán)的訪問、泄漏、修改、銷毀或干擾，執(zhí)行特定的安全過程或活動，報(bào)告安全事件或其他風(fēng)險(xiǎn)。安全角色和職責(zé)必須清晰的傳達(dá)給所有員工，確保他們能清楚各自的安全責(zé)任。第三十二條定期對各個(gè)崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核，對關(guān)鍵崗位的人員要進(jìn)行全面、嚴(yán)格的安全審查和技能考核。第三十三條外單位人員在訪問公司信息處理設(shè)施前必須簽署保密協(xié)議，保密協(xié)議內(nèi)容包括外單位人員訪問信息資產(chǎn)的權(quán)利、承擔(dān)的安全責(zé)任、違反職責(zé)要承擔(dān)的后果等。負(fù)責(zé)接待人員或部門要保證外

9、單位人員了解保密協(xié)議的條款和內(nèi)容，并同意協(xié)議規(guī)定的權(quán)利和責(zé)任第三十四條公司主要領(lǐng)導(dǎo)承擔(dān)管理職責(zé)，保證所有員工和外單位人員能按照安全方針、策略和程序進(jìn)行日常工作。管理職責(zé)包括使所有員工和外單位人員清晰了解各自的安全角色和安全職責(zé)、提高他們的安全意識和安全技能等。第三十五條定期對所有員工進(jìn)行安全培訓(xùn)，培訓(xùn)內(nèi)容包括安全方針、策略、程序、信息處理設(shè)施正確使用方法、安全意識等。根據(jù)人員的安全角色和職責(zé)制定不同的培訓(xùn)計(jì)劃，保證所有員工和外單位人員能認(rèn)識到信息安全問題和信息安全事件，并能按照各自的安全角色履行安全職責(zé)。第三十六條制定正式的紀(jì)律處理過程，來嚴(yán)肅處理安全違規(guī)的員工，并威懾其他員工，防止他們違反安

10、全策略、程序和其他安全違規(guī)。紀(jì)律處理要正確、公平，要根據(jù)違規(guī)的性質(zhì)、重要性和對業(yè)務(wù)的影響等因素區(qū)別對待。第三十七條當(dāng)員工離職或調(diào)離其他崗位、外單位人員合同期滿時(shí)，立即終止原來的安全角色和安全職責(zé)，并通知中心所有員工，使所有員工能及時(shí)清楚人員的變化。第三十八條當(dāng)員工離職或調(diào)離其他崗位、外單位人員合同期滿時(shí)，及時(shí)歸還其使用的所有資產(chǎn)，如設(shè)備、軟件、文件、訪問卡、電子資料等，防止對資產(chǎn)的非授權(quán)使用，及時(shí)刪除其對信息和信息處理設(shè)施的訪問權(quán)限。四、系統(tǒng)建設(shè)策略第三十九條信息技術(shù)部負(fù)責(zé)對信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，制定近期和遠(yuǎn)期的安全建設(shè)工作計(jì)劃；信息技術(shù)部根據(jù)信息系統(tǒng)的等級劃分情況，統(tǒng)一考慮安全保障

11、體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計(jì)方案，并形成配套文件。第四十條應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的合理性和正確性進(jìn)行論證和審定，并且經(jīng)過批準(zhǔn)后，才能正式實(shí)施。第四十一條信息技術(shù)部負(fù)責(zé)安全產(chǎn)品的采購，確保安全產(chǎn)品采購和使用符合國家的有關(guān)規(guī)定，而密碼產(chǎn)品采購和使用符合國家密碼主管部門的要求，在采購前應(yīng)預(yù)先對產(chǎn)品進(jìn)行選型測試，確定產(chǎn)品的候選范圍，并定期審定和更新候選產(chǎn)品名單。第四十二條業(yè)務(wù)系統(tǒng)的開發(fā)、測試和運(yùn)行設(shè)施要分離并進(jìn)行控制，控制措施包括敏感數(shù)據(jù)不能拷貝到測試系統(tǒng)環(huán)境中、禁止

12、開發(fā)和測試人員訪問運(yùn)行系統(tǒng)及其信息等，以減少對運(yùn)行設(shè)施及其信息的未授權(quán)訪問和帶來的潛在風(fēng)險(xiǎn)。第四十三條定期根據(jù)外包服務(wù)協(xié)議中的安全要求，監(jiān)視、評審由外單位提供的服務(wù)、報(bào)告和記錄，監(jiān)督協(xié)議規(guī)定的信息安全條款和條件的嚴(yán)格執(zhí)行。監(jiān)視、評審內(nèi)容包括監(jiān)視服務(wù)執(zhí)行效率，評審服務(wù)報(bào)告，審查外包服務(wù)的安全事件、操作問題、故障、失誤追蹤和破壞的記錄。第四十四條授權(quán)信息技術(shù)部負(fù)責(zé)工程實(shí)施過程的管理，工程實(shí)施前應(yīng)制定詳細(xì)的工程實(shí)施方案控制實(shí)施過程，并要求工程實(shí)施單位能正式地執(zhí)行安全工程過程，并制定工程實(shí)施方面的管理制度，明確說明實(shí)施過程的控制方法和人員行為準(zhǔn)則。第四十五條新業(yè)務(wù)系統(tǒng)或升級版本在正式上線前，要進(jìn)行合適

13、的測試，并根據(jù)驗(yàn)收要求和標(biāo)準(zhǔn)進(jìn)行正式的驗(yàn)收，以證實(shí)全部驗(yàn)收準(zhǔn)則完全被滿足。第四十六條系統(tǒng)建設(shè)完成后應(yīng)制定詳細(xì)的系統(tǒng)交付清單，并根據(jù)交付清單對所交接的設(shè)備、軟件和文檔等進(jìn)行清點(diǎn)；應(yīng)提供系統(tǒng)建設(shè)過程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)行維護(hù)的文檔，同時(shí)對負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)。第四十七條信息技術(shù)部負(fù)責(zé)等級測評的管理，并在系統(tǒng)運(yùn)行過程中，對信息系統(tǒng)應(yīng)每年進(jìn)行一次等級測評，應(yīng)選擇具有國家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的測評單位，發(fā)現(xiàn)不符合相應(yīng)等級保護(hù)標(biāo)準(zhǔn)要求的及時(shí)整改；同時(shí)在系統(tǒng)發(fā)生變更時(shí)及時(shí)對系統(tǒng)進(jìn)行等級測評，發(fā)現(xiàn)級別發(fā)生變化的及時(shí)調(diào)整級別并進(jìn)行安全改造，發(fā)現(xiàn)不符合相應(yīng)等級保護(hù)標(biāo)準(zhǔn)要求的及時(shí)整

14、改。第四十八條在選擇安全服務(wù)商時(shí)應(yīng)符合國家的有關(guān)規(guī)定，并與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議，明確約定相關(guān)責(zé)任，同時(shí)確保選定的安全服務(wù)商提供技術(shù)培訓(xùn)和服務(wù)承諾，必要的與其簽訂服務(wù)合同。五、系統(tǒng)運(yùn)維策略第四十九條所有的資產(chǎn)要指定專人責(zé)任，并對責(zé)任人賦予相應(yīng)的職責(zé)，確保所有資產(chǎn)都可以核查。第五十條根據(jù)資產(chǎn)的重要性、業(yè)務(wù)價(jià)值、依賴程度，對所有資產(chǎn)進(jìn)行分類、分級，編制資產(chǎn)的清單。對資產(chǎn)清單妥善保管，并在資產(chǎn)變更時(shí)及時(shí)更新清單，確?？梢詫Y產(chǎn)進(jìn)行有效的保護(hù)。第五十一條應(yīng)對磁帶、磁盤、閃盤、可移動硬件驅(qū)動器、CDDVD打印媒體等進(jìn)行有效的管理，防止非授權(quán)的使用和破壞。對可移動存儲介質(zhì)的管理包括所有介質(zhì)應(yīng)

15、存儲在符合制造商說明的安全、保密環(huán)境中，使用介質(zhì)要進(jìn)行授權(quán)、登記并追蹤審計(jì)等。第五十二條應(yīng)對不再需要的介質(zhì)進(jìn)行安全處置，降低介質(zhì)敏感信息泄漏給未授權(quán)人員的風(fēng)險(xiǎn)。第五十三條應(yīng)對信息系統(tǒng)相關(guān)的各種設(shè)備（包括備份和冗余設(shè)備）、線路等指定專門的部門或人員定期進(jìn)行維護(hù)管理。第五十四條應(yīng)建立配套設(shè)施、軟硬件維護(hù)方面的管理制度，對其維護(hù)進(jìn)行有效的管理，包括明確維護(hù)人員的責(zé)任、涉外維修和服務(wù)的審批、維修過程的監(jiān)督控制等，應(yīng)確保信息處理設(shè)備必須經(jīng)過審批才能帶離機(jī)房或辦公地點(diǎn)。第五十五條重要的紙質(zhì)文檔應(yīng)實(shí)行借閱登記制度，未經(jīng)信息技術(shù)部領(lǐng)導(dǎo)批準(zhǔn)，任何人不得將技術(shù)文檔轉(zhuǎn)借、復(fù)制或?qū)ν夤_；重要的電子文檔應(yīng)建立OA等電

16、子化辦公審批平臺進(jìn)行管理。第五十六條應(yīng)對通信線路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行監(jiān)測和報(bào)警，形成記錄并妥善保存；同時(shí)組織相關(guān)人員定期對監(jiān)測和報(bào)警記錄進(jìn)行分析、評審，發(fā)現(xiàn)可疑行為，形成分析報(bào)告，并采取必要的應(yīng)對措施。第五十七條應(yīng)指定專人對網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測并保存檢測記錄；定期檢查信息系統(tǒng)內(nèi)各種產(chǎn)品的惡意代碼庫的升級情況并進(jìn)行記錄，對主機(jī)防病毒產(chǎn)品、防病毒網(wǎng)關(guān)和郵件防病毒網(wǎng)關(guān)上截獲的危險(xiǎn)病毒或惡意代碼進(jìn)行及時(shí)分析處理，并形成書面的報(bào)表和總結(jié)匯報(bào)。第五十八條應(yīng)建立對所有密鑰的產(chǎn)生、分發(fā)和接收、使用、存儲、更新、銷毀等方面進(jìn)行管理的制度，密鑰管理人員必須是本機(jī)構(gòu)在

17、編的正式員工。第五十九條應(yīng)建立變更管理制度，系統(tǒng)發(fā)生變更前，制定變更方案，同時(shí)向主管領(lǐng)導(dǎo)申請，變更和變更方案經(jīng)過評審、審批后方可實(shí)施變更，并在實(shí)施后將變更情況向相關(guān)人員通告。第六十條遵照信息安全事故報(bào)告機(jī)制，報(bào)告可能對中心的信息資產(chǎn)安全造成影響的不同種類的安全事故和弱點(diǎn)，并確保所有的員工、合同方和外單位人員都遵守執(zhí)行這套報(bào)告程序。第六十一條對安全事故進(jìn)行分類和分級，及時(shí)對信息安全事故的類型、頻率和影響等進(jìn)行評估，并采取適當(dāng)措施防止事故再次發(fā)生。第六十二條應(yīng)建立有效的技術(shù)保障機(jī)制，確保在安全事件處置過程中不會因技術(shù)能力缺乏而導(dǎo)致處置中斷或延長應(yīng)急處置時(shí)間。第六十三條應(yīng)建立應(yīng)急預(yù)案，在統(tǒng)一的應(yīng)急預(yù)

18、案框架下制定不同事件的應(yīng)急預(yù)案，應(yīng)急預(yù)案框架應(yīng)包括啟動應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容；同時(shí)應(yīng)從人力、設(shè)備、技術(shù)和財(cái)務(wù)等方面確保應(yīng)急預(yù)案的執(zhí)行有足夠的資源保障。六、物理安全策略第六十四條運(yùn)營維護(hù)部負(fù)責(zé)機(jī)房安全，并配備機(jī)房安全管理人員，對機(jī)房的出入、服務(wù)器的開機(jī)或關(guān)機(jī)等工作進(jìn)行管理；應(yīng)定期對機(jī)房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行維護(hù)管理。第六十五條應(yīng)建立機(jī)房安全管理制度，對有關(guān)機(jī)房物理訪問，物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面的管理作出規(guī)定。第六十六條在機(jī)房內(nèi)設(shè)置安全防盜報(bào)警裝置和監(jiān)控系統(tǒng)來實(shí)現(xiàn)防盜、防毀、保障設(shè)備的安全。第六十七條按照相關(guān)設(shè)計(jì)規(guī)范和技術(shù)要求，在

19、機(jī)房設(shè)計(jì)和建設(shè)中做好靜電防護(hù)設(shè)施、防雷裝置和接地保護(hù)系統(tǒng)。第六十八條必須建立警報(bào)系統(tǒng)，在發(fā)現(xiàn)擅自進(jìn)入受控區(qū)域時(shí)發(fā)出警報(bào)。第六十九條對于重要的數(shù)據(jù)要進(jìn)行備份，備份數(shù)據(jù)的存放位置應(yīng)符合GBJ45-82中規(guī)定的一級耐火等級，符合防火、防高溫、防水、防震等要求；定期對備份數(shù)據(jù)進(jìn)行檢查，保證其可用性。第七十條對于辦公環(huán)境，應(yīng)加強(qiáng)公司人員的保密性管理，工作人員調(diào)離辦公室應(yīng)立即交還該辦公室鑰匙、不在辦公區(qū)接待來訪人員、離開電腦時(shí)應(yīng)鎖屏、在辦公桌面不得擺放含有公司客戶數(shù)據(jù)等敏感信息的文件。七、主機(jī)安全策略第七十一條應(yīng)指定專人對系統(tǒng)進(jìn)行管理，劃分系統(tǒng)管理員角色,明確各個(gè)角色的權(quán)限、責(zé)任和風(fēng)險(xiǎn)，權(quán)限設(shè)定應(yīng)當(dāng)遵循最

20、小授權(quán)原則；并建立系統(tǒng)安全管理制度，對系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面作出具體規(guī)定；同時(shí)依據(jù)操作手冊對系統(tǒng)進(jìn)行維護(hù)，詳細(xì)記錄操作日志，包括重要的日常操作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容，嚴(yán)禁進(jìn)行未經(jīng)授權(quán)的操作。第七十二條應(yīng)提高全體用戶的防病毒意識，安裝防病毒軟件，及時(shí)告知防病毒軟件版本，在讀取移動存儲設(shè)備上的數(shù)據(jù)以及網(wǎng)絡(luò)上接收文件或郵件之前，先進(jìn)行病毒檢查，對外來計(jì)算機(jī)或存儲設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前也應(yīng)進(jìn)行病毒檢查。第七十三條當(dāng)因內(nèi)外部審核、軟件開發(fā)、軟件安裝或其他規(guī)定需求而需要特殊的訪問賬號時(shí)，賬號必須被授權(quán)；創(chuàng)建的日期期限必須明確；工作結(jié)束時(shí)此賬號必須刪除。第七十四條

21、所有賬號都必須使用分配的用戶進(jìn)行唯一性標(biāo)識。第七十五條應(yīng)指派專人負(fù)責(zé)刪除個(gè)人賬號；必須將修改用戶賬號相關(guān)信息的過程文件化；必須定期評審現(xiàn)有賬號的有效性，并將此過程文件化。第七十六條操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。第七十七條應(yīng)定期的對服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶進(jìn)行審計(jì)，審計(jì)內(nèi)容包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件。第七十八條在訪問操作系統(tǒng)過程中，對于不活動的會話必須設(shè)定在一個(gè)不活動周期后關(guān)閉，以防止未授權(quán)人員訪問和拒絕服務(wù)攻擊。第七十九條記錄系統(tǒng)管理

22、員和系統(tǒng)操作員的操作日志，并定期評審這些日志信息。系統(tǒng)管理員和系統(tǒng)操作員的日志應(yīng)包括事件發(fā)生的時(shí)間，涉及的帳號和管理員或操作員，事件或故障的信息內(nèi)容等信息。八、網(wǎng)絡(luò)安全策略第八十條應(yīng)建立網(wǎng)絡(luò)安全管理制度，對網(wǎng)絡(luò)安全配置、日志保存時(shí)間、安全策略、升級與打補(bǔ)丁、口令更新周期等方面作出規(guī)定；同時(shí)應(yīng)指定專人對網(wǎng)絡(luò)進(jìn)行管理，負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報(bào)警信息分析和處理工作；應(yīng)實(shí)現(xiàn)設(shè)備的最小服務(wù)配置，并對配置文件進(jìn)行定期離線備份；第八十一條應(yīng)定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描，對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進(jìn)行及時(shí)的修補(bǔ)；應(yīng)根據(jù)廠家提供的軟件升級版本對網(wǎng)絡(luò)設(shè)備進(jìn)行更新，并在更新前對現(xiàn)有的重要文件進(jìn)行備份。第八十二條應(yīng)保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn)；并依據(jù)安全策略允許或者拒絕便攜式和移動式設(shè)備的網(wǎng)絡(luò)接入；同時(shí)定期檢查違反規(guī)定撥號上網(wǎng)或其他違反網(wǎng)絡(luò)安全策略的行為。第八十三條計(jì)算機(jī)設(shè)備如果無人值守必須啟動口令保護(hù)（屏?；蜃N）。第八十四條網(wǎng)絡(luò)基礎(chǔ)設(shè)施支持一系列合理定義的、被認(rèn)可的