網(wǎng)絡(luò)與XX信息安全工作管理辦法

1、-網(wǎng)絡(luò)與信息安全工作管理方法世茂房地產(chǎn)控股有限企業(yè)資訊科技部?jī)?nèi)部資料，未經(jīng)贊同，請(qǐng)勿翻印版本訂正日期訂正人審察人-目錄第一節(jié)安全組織原則3第二節(jié)安全組織構(gòu)造3第一節(jié)概括4第二節(jié)安全規(guī)劃與建設(shè)4第三節(jié)物理安全管理5第四節(jié)人員安全管理6第五節(jié)安全培訓(xùn)7第六節(jié)信息財(cái)產(chǎn)安全管理8第七節(jié)安全運(yùn)維管理10第八節(jié)安全事件辦理10第九節(jié)應(yīng)急計(jì)劃11第十節(jié)系統(tǒng)開發(fā)與保護(hù)11第十一節(jié)切合性14第十二節(jié)管理審計(jì)與評(píng)估14第十三節(jié)賞罰15第一節(jié)概括15第二節(jié)接見控制16第三節(jié)身份認(rèn)證16第四節(jié)冗余恢復(fù)17第五節(jié)日記審計(jì)與響應(yīng)17第六節(jié)內(nèi)容安全18-第一章總則第一條跟著上海世茂投資管理有限企業(yè)（以下簡(jiǎn)稱：上海世茂）信息

2、系統(tǒng)規(guī)模愈來愈大，隨之帶來的安全問題也不停增加，為及時(shí)迅速辦理各樣故障和安全事件，防備與化解安全風(fēng)險(xiǎn)，保障網(wǎng)絡(luò)連續(xù)性以及高質(zhì)量的服務(wù)水平，特?cái)M訂上海世茂網(wǎng)絡(luò)與信息安全工作管理方法，以下簡(jiǎn)稱“本方法”。第二條本方法依照中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例，參照ISO27001信息安全管理系統(tǒng)規(guī)范而擬訂。第三條本方法的合用范圍包含上海世茂信息系統(tǒng)在規(guī)劃、設(shè)計(jì)、開發(fā)、建設(shè)和運(yùn)轉(zhuǎn)保護(hù)過程中所波及到的各樣安全問題，包含組織管理、物理安全、操作系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全、網(wǎng)絡(luò)架構(gòu)安全、安全事件辦理。第四條上海世茂網(wǎng)絡(luò)與信息安全工作的管理原則整體規(guī)劃，分步實(shí)行：需要對(duì)網(wǎng)絡(luò)與信息安全工作進(jìn)行整體規(guī)劃，分

3、步實(shí)行，漸漸成立完美的網(wǎng)絡(luò)與信息安全系統(tǒng)。三同步原則：安全系統(tǒng)應(yīng)與業(yè)務(wù)系統(tǒng)及網(wǎng)絡(luò)同步規(guī)劃、同步建設(shè)、同步運(yùn)轉(zhuǎn)。適量安全：安全擁有相對(duì)性和動(dòng)向性的特色，一定做好安全建設(shè)的成本效益剖析，在安全性和投入成本之間、安全性和易用性-之間做好均衡工作。第五條本方法中的安全部是指信息系統(tǒng)的安全。第二章安全組織管理第一節(jié)安全組織原則第六條上海世茂安全工作管原由信息化領(lǐng)導(dǎo)小組一致來擬訂。第二節(jié)安全組織構(gòu)造第七條成立上海世茂網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組，全面負(fù)責(zé)上海世茂網(wǎng)絡(luò)與信息安全各項(xiàng)工作。第八條領(lǐng)導(dǎo)小組下設(shè)IT總監(jiān)，貫徹“信息化領(lǐng)導(dǎo)小組”的安全管理決議，作為執(zhí)行管理機(jī)構(gòu)。資訊科技部作為信息安全工作的主要執(zhí)行機(jī)構(gòu)，負(fù)

4、責(zé)信息安全平時(shí)工作，IT總監(jiān)部下包含應(yīng)用和運(yùn)維兩個(gè)專業(yè)工作組。第三章安全策略第九條上海世茂安全策略系統(tǒng)是用于指導(dǎo)上海世茂的安全管理工作，明確信息安全的工作職責(zé)、內(nèi)容、方法和流程的一套文檔，它覆蓋了IT系統(tǒng)的整個(gè)生命周期，對(duì)系統(tǒng)和網(wǎng)絡(luò)的規(guī)劃、設(shè)計(jì)、建設(shè)、運(yùn)維以及檢查評(píng)估都提出了相應(yīng)的安全要求。-第十條上海世茂安全策略由資訊科技部、各部門提出需求，由資訊科技部組織擬訂。第十一條上海世茂的安全策略由上海世茂信息安全領(lǐng)導(dǎo)小組贊同和公布，由資訊科技部組織宣傳和培訓(xùn)，并監(jiān)察各部門執(zhí)行落實(shí)。第十二條資訊科技部及各專業(yè)工作小組負(fù)責(zé)檢查和查核策略的貫徹和實(shí)行，并成立安全策略違犯報(bào)告制度。第十三條資訊科技部成立安

5、全策略按期審察更新的制度和體制，按期對(duì)安全策略的有效性進(jìn)行審察，并依據(jù)狀況進(jìn)行更新。第四章安全管理制度第一節(jié)概括第十四條為做好上海世茂網(wǎng)絡(luò)與信息安全管理，一定做好安全規(guī)劃和建設(shè)，完美物理環(huán)境安全，增強(qiáng)工作人員安全管理和教育，成立信息財(cái)產(chǎn)安全管理制度。完美安全運(yùn)維、事件辦理、應(yīng)急響應(yīng)等安全工作。第二節(jié)安全規(guī)劃與建設(shè)第十五條上海世茂安全規(guī)劃明確安全建設(shè)原則，為網(wǎng)絡(luò)與信息安全建設(shè)明確建設(shè)方向和宏圖。第十六條安全規(guī)劃小組要依據(jù)上海世茂現(xiàn)有狀況做好安全-規(guī)劃工作，擬訂近期（12年）整體安全規(guī)劃和中長(zhǎng)久（35年）安全建設(shè)目標(biāo)，擬訂網(wǎng)絡(luò)建設(shè)規(guī)劃和人員計(jì)劃，知足信息系統(tǒng)正常安全保障并適應(yīng)將來的發(fā)展戰(zhàn)略。第十七

6、條安全規(guī)劃應(yīng)試慮信息安全管理系統(tǒng)和安全技術(shù)架構(gòu)的建設(shè)，依據(jù)網(wǎng)絡(luò)發(fā)展規(guī)劃適量超前建設(shè)，并考慮一致安全管理要乞降一致安全技術(shù)基礎(chǔ)設(shè)備。第十八條應(yīng)在上海世茂信息系統(tǒng)規(guī)劃、設(shè)計(jì)、開發(fā)、實(shí)行、運(yùn)維的整個(gè)生命周期中各個(gè)階段充分考慮并實(shí)行安全控制舉措。第十九條在特別狀況下，應(yīng)早先明確風(fēng)險(xiǎn)，并指出應(yīng)采納的控制舉措。第二十條應(yīng)付網(wǎng)絡(luò)與系統(tǒng)建設(shè)過程中存在的安全風(fēng)險(xiǎn)進(jìn)行嚴(yán)格的安全過程控制。第三節(jié)物理安全管理第二十一條物理安全管理的目標(biāo)是經(jīng)過增強(qiáng)工作環(huán)境安全，防備對(duì)上海世茂工作場(chǎng)所和信息資源的非法接見、損壞和擾亂。第二十二條有關(guān)部門應(yīng)依照上海世茂對(duì)于機(jī)房建設(shè)及管理等標(biāo)準(zhǔn)，對(duì)機(jī)房場(chǎng)所與設(shè)備進(jìn)行安全建設(shè)，并進(jìn)行分級(jí)、分區(qū)

7、安全管理。機(jī)房安全建設(shè)和改造應(yīng)經(jīng)過資訊科技部的安全審批和查收，并成立、健全嚴(yán)格的機(jī)房安全管理制度。第二十三條信息財(cái)產(chǎn)主管部門及使用部門一定保證要點(diǎn)或敏-感的數(shù)據(jù)信息辦理設(shè)備擱置在安全的地區(qū)，并使用適合的物理防備設(shè)備和接見控制手段。第二十四條應(yīng)增強(qiáng)辦公區(qū)的物理接見控制。第四節(jié)人員安全管理第二十五條信息安全管理人員應(yīng)該政治過硬、業(yè)務(wù)素質(zhì)高、遵紀(jì)守紀(jì)、恪盡責(zé)責(zé)。第二十六條應(yīng)成立相應(yīng)制度以及相應(yīng)技術(shù)手段增強(qiáng)對(duì)第三方人員的安全管理。第二十七條違犯國(guó)家法律、法例和行業(yè)規(guī)章受各處分的人員，不得從事信息安全管理工作。第二十八條信息安全管理人員調(diào)離崗位，一定辦理調(diào)離手續(xù)，許諾其調(diào)離后的保密義務(wù)。第二十九條信息安

8、全崗位人員一定具備相應(yīng)的資質(zhì)并簽訂保密協(xié)議。信息安全管理人員應(yīng)按期接受政治思想教育、職業(yè)道德教育和安全保密教育。第三十條信息安全管理人員職責(zé)：負(fù)責(zé)計(jì)算機(jī)安全管理的平時(shí)工作；展開計(jì)算機(jī)安全檢查工作，對(duì)要害崗位人員安全工作進(jìn)行指導(dǎo)；-展開計(jì)算機(jī)安全知識(shí)的培訓(xùn)和宣傳工作；監(jiān)控計(jì)算機(jī)安全整體狀況，提出安全剖析報(bào)告；認(rèn)識(shí)行業(yè)動(dòng)向，為改良和完美計(jì)算機(jī)安全管理工作，提出安全防備建議；及時(shí)向計(jì)算機(jī)安全工作領(lǐng)導(dǎo)小組和有關(guān)部門、單位報(bào)告計(jì)算機(jī)安全事件。第三十一條信息安全管理人員發(fā)現(xiàn)本單位所使用信息系統(tǒng)中的重要安全隱患，有權(quán)向上司報(bào)告。第三十二條信息安全管理人員發(fā)現(xiàn)系統(tǒng)操作人員使用不妥，應(yīng)及時(shí)建議有關(guān)單位、部門進(jìn)行

9、調(diào)整。第三十三條信息安全管理人員一定嚴(yán)格恪守國(guó)家有關(guān)法律、法例和行業(yè)規(guī)章，嚴(yán)守國(guó)家、行業(yè)和崗位奧密。第三十四條信息安全管理人員應(yīng)按期參加以下計(jì)算機(jī)安全知識(shí)和技術(shù)的培訓(xùn)：計(jì)算機(jī)安全法律法例及行業(yè)規(guī)章制度的培訓(xùn)；計(jì)算機(jī)安全基本知識(shí)的培訓(xùn)；計(jì)算機(jī)安全專項(xiàng)技術(shù)的培訓(xùn)。第五節(jié)安全培訓(xùn)第三十五條工作人員安全意識(shí)是安全管理工作展開的基礎(chǔ)和-前提，安全管理工作組應(yīng)成立安全意識(shí)教育計(jì)劃，經(jīng)過連續(xù)的安全教育，提升人員安全意識(shí)。第三十六條成立安全技術(shù)培訓(xùn)計(jì)劃，經(jīng)過各樣培訓(xùn)方式，提升各級(jí)管理人員和專業(yè)人員安全技術(shù)，降低安全操作風(fēng)險(xiǎn)。第六節(jié)信息財(cái)產(chǎn)安全管理（一）財(cái)產(chǎn)管理第三十七條上海世茂信息財(cái)產(chǎn)包含所擁有各樣信息及其載

10、體，存在有形財(cái)產(chǎn)和無形財(cái)產(chǎn)，包含計(jì)算機(jī)設(shè)備、系統(tǒng)軟件、應(yīng)用軟件、數(shù)據(jù)、文檔等。第三十八條嚴(yán)格執(zhí)行上海世茂設(shè)備管理部門有關(guān)設(shè)備管理的各項(xiàng)規(guī)章制度，對(duì)資訊科技部管理的設(shè)備進(jìn)行編號(hào)、登記、成立完美、正確的臺(tái)帳。第三十九條每半年，對(duì)全局計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備進(jìn)行一次全面檢查和保護(hù)。每年關(guān)，資訊科技部對(duì)固定財(cái)產(chǎn)清點(diǎn)一次。第四十條各級(jí)信息財(cái)產(chǎn)責(zé)任者一定嚴(yán)格恪守有關(guān)制度，保證信息財(cái)產(chǎn)的機(jī)密性、完好性和可用性。第四十一條信息系統(tǒng)財(cái)產(chǎn)管理詳細(xì)方法拜見上海世茂信息財(cái)產(chǎn)安全管理方法。（二）版官僚求-第四十二條上海世茂與計(jì)算機(jī)信息系統(tǒng)承建商簽訂建設(shè)合同時(shí)，承建商應(yīng)該保證產(chǎn)品無入侵別人版官僚求。第四十三條承建商在計(jì)算機(jī)信息系統(tǒng)

11、建設(shè)中使用第三方產(chǎn)品時(shí)，一定早先獲取上海世茂資訊科技部認(rèn)同并擁有第三方產(chǎn)品書面受權(quán)。（三）安全專用產(chǎn)品第四十四條本規(guī)定所稱安全專用產(chǎn)品，是指用于保護(hù)計(jì)算機(jī)信息系統(tǒng)安全的專用軟件、硬件產(chǎn)品。第四十五條安全專用產(chǎn)品準(zhǔn)入、選型、采買部署工作由資訊科技部一致組織實(shí)行。安全專用產(chǎn)品有以下情況之一的，撤消其準(zhǔn)入資格：(1)安全專用產(chǎn)品的功能已發(fā)生變化，但未經(jīng)過檢測(cè)的;經(jīng)使用發(fā)現(xiàn)有嚴(yán)重問題的;能供給優(yōu)秀售后服務(wù)的;國(guó)家有關(guān)部門撤消其銷售資格的。第四十六條安全專用產(chǎn)品在使用中，系統(tǒng)管理員應(yīng)監(jiān)測(cè)生成的信息，對(duì)生成的信息應(yīng)及時(shí)剖析并作出剖析報(bào)告；在監(jiān)測(cè)中如發(fā)現(xiàn)重要問題，應(yīng)立刻采納相應(yīng)控制舉措并將有關(guān)狀況逐級(jí)上報(bào)；

12、安全專用產(chǎn)品使用中產(chǎn)生的重要報(bào)告應(yīng)備份存檔，并按密級(jí)資料管理方式執(zhí)行-有關(guān)手續(xù)。第七節(jié)安全運(yùn)維管理第四十七條安全保護(hù)管理的目標(biāo)是經(jīng)過成立和執(zhí)行對(duì)網(wǎng)絡(luò)和操作系統(tǒng)的安全保護(hù)流程和安全保護(hù)作業(yè)計(jì)劃，來保障供給高質(zhì)量的信息系統(tǒng)服務(wù)能力和通訊能力。第四十八條安全保護(hù)工作主要包含硬件入網(wǎng)管理、病毒防備管理、密碼管理、系統(tǒng)和數(shù)據(jù)備份、日記管理和審計(jì)、軟件版本管理和補(bǔ)丁加載。第四十九條網(wǎng)絡(luò)、主機(jī)的有關(guān)人員、保護(hù)計(jì)劃配置應(yīng)隨網(wǎng)絡(luò)調(diào)整進(jìn)行更新。第八節(jié)安全事件辦理第五十條安全事件辦理的原則是“踴躍預(yù)防、及時(shí)發(fā)現(xiàn)、迅速響應(yīng)、保證恢復(fù)”。第五十一條系統(tǒng)宕機(jī)惹起有關(guān)部門沒法進(jìn)行業(yè)務(wù)操作，非法侵入、損壞計(jì)算機(jī)信息系統(tǒng)，利用

13、計(jì)算機(jī)實(shí)行詐騙、偷竊、貪污、挪用公款的計(jì)算機(jī)犯法案件，以及造成不良社會(huì)影響的計(jì)算機(jī)安全事故，屬于信息安全事故。第五十二條各有關(guān)部門依據(jù)要求成立詳盡的安全事件響應(yīng)體制，規(guī)定在安全事件的發(fā)現(xiàn)、上報(bào)、剖析、辦理、總結(jié)和賞罰階段的有關(guān)責(zé)任和程序，最大限度地減少安全事件造成的傷害。-第五十三條對(duì)安全事件做好記錄和存檔工作，記錄內(nèi)容包含事件的因由、辦理過程、辦理結(jié)果、建議改良的安全對(duì)策等。第九節(jié)應(yīng)急計(jì)劃第五十四條針對(duì)不一樣的安全事件，一定擬訂相應(yīng)的應(yīng)急計(jì)劃，內(nèi)容起碼包含計(jì)劃的準(zhǔn)備、操練、實(shí)行、系統(tǒng)恢復(fù)方案四個(gè)構(gòu)成部分，各部門應(yīng)按期上報(bào)應(yīng)急計(jì)劃內(nèi)容。第五十五條經(jīng)過應(yīng)急計(jì)劃的操練測(cè)試檢查應(yīng)急計(jì)劃的有效性和資源

14、的可用性，并依據(jù)操練結(jié)果進(jìn)行應(yīng)急計(jì)劃的調(diào)整。第十節(jié)系統(tǒng)開發(fā)與保護(hù)（一）承建商管理第五十六條資訊科技部是全局計(jì)算機(jī)信息系統(tǒng)承建商管理的第一責(zé)任人。第五十七條計(jì)算機(jī)信息系統(tǒng)承建商一定恪守上海世茂信息安全管理制度，一定簽訂保密協(xié)議；在供給優(yōu)良的開發(fā)、保護(hù)服務(wù)的同時(shí)，不得私自修更正式生產(chǎn)系統(tǒng)中的數(shù)據(jù)。（二）計(jì)算機(jī)信息系統(tǒng)建設(shè)第五十八條計(jì)算機(jī)信息系統(tǒng)的規(guī)劃和建設(shè)應(yīng)同步做好系統(tǒng)安全保護(hù)工作，以保證系統(tǒng)安全目標(biāo)的實(shí)現(xiàn)。重要計(jì)算機(jī)信息系統(tǒng)立項(xiàng)的安全管理推行審批制度。對(duì)初審合格的項(xiàng)目申報(bào)資料，應(yīng)進(jìn)行安全性專項(xiàng)審察，提出審察建議后由資訊科技部最后審批。對(duì)沒有經(jīng)過安全-管理審察的項(xiàng)目，不得予以立項(xiàng)。第五十九條計(jì)算機(jī)

15、信息系統(tǒng)的開發(fā)一定切合軟件工程規(guī)范，并在軟件開發(fā)的各階段依照安全管理目標(biāo)進(jìn)行管理和實(shí)行。計(jì)算機(jī)信息系統(tǒng)的開發(fā)人員或參加開發(fā)的協(xié)作單位應(yīng)經(jīng)過嚴(yán)格資格審察，并簽訂保密協(xié)議書，許諾其負(fù)有的安全保密責(zé)任和義務(wù)。計(jì)算機(jī)信息系統(tǒng)的開發(fā)環(huán)境和現(xiàn)場(chǎng)應(yīng)該與生產(chǎn)環(huán)境和現(xiàn)場(chǎng)隔絕。計(jì)算機(jī)信息系統(tǒng)開發(fā)達(dá)成后，開發(fā)人員或參加開發(fā)的外面單位應(yīng)及時(shí)移交程序源代碼及其有關(guān)技術(shù)文檔。第六十條計(jì)算機(jī)信息系統(tǒng)投入運(yùn)轉(zhuǎn)前，應(yīng)向資訊科技部系統(tǒng)管理員提交性能測(cè)試報(bào)告；系統(tǒng)管理員對(duì)性能測(cè)試報(bào)告進(jìn)行初步審察；初審合格后，安排生產(chǎn)環(huán)境部署。（三）計(jì)算機(jī)信息系統(tǒng)運(yùn)轉(zhuǎn)第六十一條計(jì)算機(jī)信息系統(tǒng)的使用部門應(yīng)該嚴(yán)格用戶和密碼（口令）的管理，業(yè)務(wù)操作員應(yīng)嚴(yán)

16、格依照操作培訓(xùn)要求進(jìn)行操作，保證系統(tǒng)安全運(yùn)轉(zhuǎn)；對(duì)計(jì)算機(jī)信息系統(tǒng)在運(yùn)轉(zhuǎn)過程中出現(xiàn)的異樣現(xiàn)象，有責(zé)任向部門領(lǐng)導(dǎo)和資訊科技部報(bào)告。第六十二條計(jì)算機(jī)信息系統(tǒng)應(yīng)按期進(jìn)行數(shù)據(jù)備份，對(duì)備份介質(zhì)應(yīng)按有關(guān)規(guī)定指定專人妥當(dāng)保存。重要計(jì)算機(jī)信息系統(tǒng)應(yīng)該擬訂應(yīng)急計(jì)劃，保證業(yè)務(wù)的不中斷運(yùn)轉(zhuǎn)。第六十三條系統(tǒng)管理員應(yīng)合理配置操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)所供給的安全審計(jì)功能，以達(dá)到相應(yīng)安全等級(jí)標(biāo)準(zhǔn)，應(yīng)及時(shí)安裝正式-公布的系統(tǒng)補(bǔ)丁，修理系統(tǒng)存在的安全破綻；并障蔽與應(yīng)用系統(tǒng)沒關(guān)的全部網(wǎng)絡(luò)功能，防備非法用戶的侵入；第六十四條系統(tǒng)管理員不得泄漏操作系統(tǒng)、數(shù)據(jù)庫(kù)的系統(tǒng)管理員帳號(hào)、密碼。聯(lián)網(wǎng)設(shè)備的IP地點(diǎn)及網(wǎng)絡(luò)參數(shù)，一定依照網(wǎng)絡(luò)管理規(guī)范及其

17、業(yè)務(wù)應(yīng)用范圍進(jìn)行設(shè)置，非系統(tǒng)管理人員不得改正。第六十五條系統(tǒng)管理員應(yīng)付重要業(yè)務(wù)的計(jì)算機(jī)信息系統(tǒng)進(jìn)行平時(shí)巡檢，監(jiān)測(cè)系統(tǒng)運(yùn)轉(zhuǎn)日記，掌握系統(tǒng)運(yùn)轉(zhuǎn)狀況；發(fā)現(xiàn)系統(tǒng)運(yùn)轉(zhuǎn)異樣應(yīng)及時(shí)通告主管領(lǐng)導(dǎo)。（四）上線管理第六十六條計(jì)算機(jī)信息系統(tǒng)正式使用前一定經(jīng)過系統(tǒng)使用部門的整體功能測(cè)試和性能測(cè)試（對(duì)原有系統(tǒng)的功能升級(jí)一定經(jīng)過系統(tǒng)操作員的功能認(rèn)同），才能在正式生產(chǎn)環(huán)境部署。（五）查收管理第六十七條一定經(jīng)過資訊科技部評(píng)估，需要簽訂合同獨(dú)立開發(fā)的業(yè)務(wù)軟件系統(tǒng)一定進(jìn)行系統(tǒng)查收；第六十八條需要查收的系統(tǒng)一定經(jīng)項(xiàng)目管理與咨詢企業(yè)審察項(xiàng)目文檔以及上海世茂資訊科技部負(fù)責(zé)人審察確認(rèn)后進(jìn)行。（六）需求數(shù)據(jù)改正第六十九條業(yè)務(wù)操作員對(duì)已經(jīng)上

18、線運(yùn)轉(zhuǎn)的信息系統(tǒng)提出需求修改要求以及數(shù)據(jù)改正要求時(shí)，系統(tǒng)開發(fā)員需要正確紀(jì)錄需求，并整理為需求確認(rèn)單或數(shù)據(jù)確認(rèn)單。-第七十條系統(tǒng)開發(fā)員對(duì)業(yè)務(wù)操作員署名確認(rèn)后的需求確認(rèn)單、數(shù)據(jù)確認(rèn)單進(jìn)行系統(tǒng)辦理，辦理后的結(jié)果由業(yè)務(wù)操作員進(jìn)行確認(rèn)。第十一節(jié)切合性（一）正版軟件第七十一條資訊科技部是全局推動(dòng)使用正版化軟件工作的第一責(zé)任人。第七十二條企業(yè)內(nèi)軟件正版化工作推履行用責(zé)任制。各部門的主要負(fù)責(zé)人是本推動(dòng)使用正版軟件工作的第一責(zé)任人，對(duì)本部門使用非正版軟件、傷害企業(yè)形象的，擔(dān)當(dāng)領(lǐng)導(dǎo)責(zé)任。軟件正版化工作列入各部門年關(guān)查核。（二）性能要求第七十三條業(yè)務(wù)應(yīng)用軟件開發(fā)類項(xiàng)目正式上線前一定進(jìn)行性能測(cè)試，達(dá)到性能測(cè)試要求后部

19、署正式環(huán)境；第十二節(jié)管理審計(jì)與評(píng)估第七十四條安全管理審計(jì)是參照必定的安全標(biāo)準(zhǔn)對(duì)運(yùn)維過程和信息系統(tǒng)自己進(jìn)行安全評(píng)論的過程。此過程要點(diǎn)關(guān)注運(yùn)維管理工作能否有效地保護(hù)了信息系統(tǒng)的安全。第七十五條風(fēng)險(xiǎn)評(píng)估主要依賴技術(shù)手段評(píng)估特定的內(nèi)外威迫可能對(duì)信息系統(tǒng)造成的損失，此工作主要關(guān)注信息系統(tǒng)自己存在哪些漏-洞、面對(duì)哪些威迫、可能遇到什么樣的傷害。第七十六條上海世茂資訊科技部應(yīng)擬訂安全巡檢體制，每半年組織一次安全管理內(nèi)部審計(jì)，發(fā)此刻安全運(yùn)維管理方面存在的問題；并按期（間隔最長(zhǎng)不超出半年）對(duì)網(wǎng)絡(luò)與信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，并對(duì)評(píng)估出來的問題和隱患進(jìn)行及時(shí)整頓。第七十七條各部門依據(jù)實(shí)質(zhì)狀況對(duì)所轄系統(tǒng)不按期進(jìn)行安全自評(píng)

20、估。第十三節(jié)賞罰第七十八條執(zhí)行上海世茂計(jì)算機(jī)信息系統(tǒng)安全管理系統(tǒng)，計(jì)算機(jī)安全管理工作成績(jī)突出的部門與個(gè)人，由資訊科技部報(bào)領(lǐng)導(dǎo)小組后，對(duì)其進(jìn)行通告表彰，并賜予必定形式的獎(jiǎng)賞。第七十九條違犯上海世茂計(jì)算機(jī)信息系統(tǒng)安全管理系統(tǒng)，造成重要安全事故或計(jì)算機(jī)犯法的，依占有關(guān)部門法律法例，追查其主管領(lǐng)導(dǎo)、有關(guān)部門及其余直接責(zé)任人的責(zé)任。第八十條違犯上海世茂計(jì)算機(jī)信息系統(tǒng)安全管理系統(tǒng)的單位與個(gè)人，由資訊科技部報(bào)領(lǐng)導(dǎo)小組后，通告責(zé)備。第五章安全技術(shù)系統(tǒng)第一節(jié)概括第八十一條為確實(shí)防備網(wǎng)絡(luò)攻擊、保護(hù)上海世茂網(wǎng)絡(luò)和信息安-全，解決網(wǎng)絡(luò)中存在的各樣安全問題，需要運(yùn)用接見控制、身份認(rèn)證、冗余恢復(fù)、審計(jì)響應(yīng)、內(nèi)容安全等多種

21、安全技術(shù)建立上海世茂安全技術(shù)系統(tǒng)。第二節(jié)接見控制第八十二條接見控制的目標(biāo)是經(jīng)過設(shè)定對(duì)計(jì)算機(jī)資源（包含信息、網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用等）的接見策略，實(shí)現(xiàn)受權(quán)用戶經(jīng)過正確的方式接見資源，阻擋未受權(quán)用戶存心或無心獲取接見權(quán)限。第八十三條設(shè)定接見控制策略的原則是“除明確贊同執(zhí)行狀況外一定嚴(yán)禁”。第八十四條安全域區(qū)分是對(duì)系統(tǒng)實(shí)行分級(jí)安全保護(hù)的前題條件，安全管理工作組一定要對(duì)網(wǎng)絡(luò)區(qū)分安全域，明確網(wǎng)絡(luò)界限和保護(hù)等級(jí)，實(shí)現(xiàn)網(wǎng)絡(luò)之間的有效隔絕和接見控制。第八十五條在網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用層面擬訂接見控制和權(quán)限管理策略，并增強(qiáng)者員管理，保證安全有效的接見控制。第三節(jié)身份認(rèn)證第八十六條增強(qiáng)面向網(wǎng)絡(luò)和信息系統(tǒng)用戶的管理，包

22、含用戶身份管理、帳號(hào)和口令管理、權(quán)限管理、認(rèn)證和受權(quán)。第八十七條用戶帳戶的設(shè)定應(yīng)切合“職責(zé)分別”的原則。第八十八條對(duì)于重要系統(tǒng)應(yīng)采納雙要素或多要素認(rèn)證體制。第八十九條按期審計(jì)身份鑒識(shí)，對(duì)發(fā)現(xiàn)的異樣進(jìn)行及時(shí)辦理，-對(duì)積累性事件進(jìn)行必需的趨向剖析。第四節(jié)冗余恢復(fù)第九十條冗余恢復(fù)主假如針對(duì)網(wǎng)絡(luò)、操作系統(tǒng)、應(yīng)用系統(tǒng)以及數(shù)據(jù)可能發(fā)生的異樣狀況，為保障信息系統(tǒng)連續(xù)性所做的準(zhǔn)備和防備舉措。第九十一條應(yīng)依據(jù)系統(tǒng)的重要程度，擬訂數(shù)據(jù)與軟件的備份策略，明確備份周期和方法，并供給充分的備份設(shè)備，并按期進(jìn)行備份數(shù)據(jù)恢復(fù)操練。第九十二條系統(tǒng)內(nèi)重要主機(jī)、支持重要應(yīng)用的網(wǎng)絡(luò)設(shè)備應(yīng)有冗余設(shè)置，應(yīng)采納技術(shù)舉措保證服務(wù)器出現(xiàn)故障

23、經(jīng)改換或修復(fù)后，可以自動(dòng)安裝操作系統(tǒng)、應(yīng)用軟件，并恢復(fù)數(shù)據(jù)。第五節(jié)日記審計(jì)與響應(yīng)第九十三條日記審計(jì)是對(duì)主機(jī)、網(wǎng)絡(luò)的運(yùn)轉(zhuǎn)狀況，特別是資源的接見狀況進(jìn)行記錄、檢查、監(jiān)控以及完好性檢查等；響應(yīng)主要指對(duì)網(wǎng)絡(luò)安全問題的及時(shí)檢測(cè)、告警和辦理。第九十四條系統(tǒng)內(nèi)重要主機(jī)上應(yīng)部署日記審計(jì)產(chǎn)品并按期進(jìn)行破綻掃描。第九十五條重要的信息系統(tǒng)應(yīng)部署入侵檢測(cè)設(shè)備，并裝備相應(yīng)的告警和辦理體制。-第六節(jié)內(nèi)容安全第九十六條內(nèi)容安全指防備傳輸和儲(chǔ)存的數(shù)據(jù)（信息）泄漏、甄別應(yīng)用和數(shù)據(jù)的合法性。包含加密、防病毒、垃圾郵件過濾網(wǎng)關(guān)、內(nèi)容過濾等產(chǎn)品。第九十七條應(yīng)部署覆蓋全網(wǎng)的多級(jí)防病毒系統(tǒng)，并按期進(jìn)行病毒庫(kù)升級(jí)。第六章安全檢查第九十八條

24、為提升各部門人員及管理人員安全意識(shí)，不停促使安全防備及管理工作深入進(jìn)行，信息安全委員會(huì)應(yīng)擬訂對(duì)安全管理工作的檢查和查核制度并組織和執(zhí)行安全檢查工作。第九十九條安全檢查的內(nèi)容起碼要包含安全組織、安全規(guī)劃建設(shè)、信息財(cái)產(chǎn)管理、人員安全、安全培訓(xùn)、物理環(huán)境安全、安全運(yùn)維、安全事件辦理、設(shè)備配置安全、應(yīng)急計(jì)劃、入網(wǎng)安全、管理審計(jì)與評(píng)估、軟件版權(quán)、接見控制、身份認(rèn)證、冗余恢復(fù)、日記審計(jì)與響應(yīng)、內(nèi)容安全等方面。第一百條應(yīng)將安全工作逐漸歸入到工作人員的績(jī)效查核系統(tǒng)中。第一章檢查內(nèi)容第一節(jié)組織構(gòu)造第一條檢查安全組織機(jī)建立設(shè)狀況：-安全組織；專（兼）職安全管理員；人員改動(dòng)狀況。第二條檢查人員管理狀況：健全的網(wǎng)絡(luò)與

25、信息安全管理制度；網(wǎng)絡(luò)與信息安全學(xué)習(xí)、培訓(xùn)；重要崗位安全管理。第二節(jié)機(jī)房檢查第三條檢查機(jī)房環(huán)境：外面供電系統(tǒng)；內(nèi)部供電系統(tǒng)；應(yīng)急照明；主機(jī)房環(huán)境溫度、濕度控制；防火系統(tǒng)；場(chǎng)所監(jiān)控；門禁保安；緊迫聯(lián)系；接地系統(tǒng)；防盜設(shè)備；靜電防備舉措；防電磁擾亂舉措；防雷裝置。-第四條檢查機(jī)房的平時(shí)管理：工作交接手續(xù)；各種數(shù)據(jù)和儲(chǔ)存介質(zhì)管理；過期報(bào)表和作廢文檔的銷毀；硬件設(shè)備的管理和保護(hù)；各樣設(shè)備有效性的按期檢查；機(jī)房工程改變、維修操作、設(shè)備的調(diào)出的審批。第五條檢查生產(chǎn)管理制度：機(jī)房操作員、系統(tǒng)管理員崗位職責(zé)；機(jī)房進(jìn)出管理制度；機(jī)房場(chǎng)所、設(shè)備及設(shè)備管理制度；進(jìn)出機(jī)房人員登記簿；系統(tǒng)運(yùn)轉(zhuǎn)日記；設(shè)備保護(hù)登記簿。第三

26、節(jié)網(wǎng)絡(luò)系統(tǒng)檢查第六條檢查網(wǎng)絡(luò)建設(shè)：上海世茂企業(yè)網(wǎng)絡(luò)規(guī)劃、設(shè)計(jì)、改造過程中的安全考慮；網(wǎng)絡(luò)建成后的安全評(píng)審；設(shè)備備份和線路備份；網(wǎng)絡(luò)設(shè)計(jì)、實(shí)行階段文檔；文檔（包含：網(wǎng)絡(luò)設(shè)計(jì)方案、網(wǎng)絡(luò)拓?fù)錁?gòu)造圖、網(wǎng)絡(luò)配置參數(shù)、IP地點(diǎn)分派方案等）的保存。-第七條檢查網(wǎng)絡(luò)安全規(guī)定：網(wǎng)絡(luò)的管理和保護(hù)工作；辦公網(wǎng)等內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間的安全隔絕舉措；專線連結(jié)中防火墻等安全舉措；撥號(hào)連結(jié)中防火墻、身份認(rèn)證和回?fù)艿劝踩e措；網(wǎng)絡(luò)中身份認(rèn)證、加密、接見控制、數(shù)字署名、事件審計(jì)等安全技術(shù)和舉措；互聯(lián)網(wǎng)上網(wǎng)管理方法或規(guī)定；對(duì)撥號(hào)上互聯(lián)網(wǎng)的計(jì)算機(jī)和調(diào)制解調(diào)器的登記記錄。第八條檢查網(wǎng)絡(luò)運(yùn)維：重要網(wǎng)絡(luò)設(shè)備口令的管理；口令的按期改換；網(wǎng)絡(luò)及時(shí)監(jiān)控和事件