海油信息安全管理細則

目的規(guī)范計算機及計算機網絡信息平安管理，提高信息平安保障實力和水平，維護國家及企業(yè)平安。適用范圍公司機關及所屬單位。編制依據《信息平安管理方法》(IT-01-07，2011，中國海油)《信息系統(tǒng)平安等級愛護管理細則》(IT-01-07-02，2011，中國海油)《計算機信息網絡平安規(guī)范》(Q/HS5000-2009，中國海油)《信息平安管理方法》(AM-01-08，2015，公司)《信息系統(tǒng)平安等級愛護工作實施細則》(AM-01-08-01，2015，公司)職責行政管理部督促、檢查、指導公司及所屬單位計算機網絡信息運營的平安工作。公司機關部門及所屬單位履行計算機網絡信息平安的義務和責任。工作內容與要求平安防范基本要求各單位應按信息系統(tǒng)平安愛護級別對信息系統(tǒng)實行平安防范措施，并確保平安防范工作的有效落實。IT支持服務中心應實行必要措施，提高網絡的整體防護實力。各信息系統(tǒng)的數據、信息傳輸都應采納加密傳輸。各業(yè)務責任單位應制定其信息系統(tǒng)備份策略和災備策略。IT支持服務中心應供應備份和災備的相應資源、服務，定期備份數據、進行復原測試并做好記錄。各單位應對本單位信息系統(tǒng)的信息進行審查、檢查和復查，確保信息的合法性、合規(guī)性。員工對所運用的終端、網絡設施及其中的信息平安、賬號平安、賬號權限內的信息平安和上網行為負責，員工終端中嚴禁存儲涉密(此處涉密系指涉及國家隱私，下同)信息，終端中的商密文件不行設置為共享，工作郵箱電子郵件的收發(fā)要進行病毒查殺。員工發(fā)覺異樣或發(fā)覺其他人員非法運用計算機時，有剛好向所屬單位或公司報告的責任。各單位要對移動存儲介質進行登記、編號，移動存儲介質要經IT支持服務中心檢測合格、注冊后入網運用。涉及國家或企業(yè)隱私信息的存儲、傳輸等應指定專人負責，并嚴格執(zhí)行國家、中國海油及公司有關保密的法律、法規(guī)和相關管理規(guī)定。涉密信息未經批準，不得在網絡上發(fā)布或通過明碼（明文）傳輸。信息加密管理涉及國家隱私的信息，其電子文檔資料須加密存儲。涉及國家和公司利益的敏感信息的電子文檔資料應當加密存儲。涉及國家隱私、國家與公司利益和社會安定的隱私信息和敏感信息，在傳輸過程中應遵守國家的有關規(guī)定，視狀況采納文件加密傳輸或鏈路傳輸加密。適度采納先進的加密解密技術對公司其他電子文檔和數據進行加密管理。用戶賬號(ID)管理信息系統(tǒng)管理系統(tǒng)中或運維支持體系中應包括賬號管理流程。信息系統(tǒng)用戶要嚴格管理賬號，不得把自己賬號外借他人運用、不得在電腦、屏幕和辦公桌上貼條暴露賬號信息，禁止索要、盜取、運用、傳播任何未經授權運用的賬號。加強對離職員工的賬號管理，各單位在員工離職時應辦理注銷其賬號。用戶權限管理信息系統(tǒng)權限設計要符合平安管理要求，實現最小權限和權限互斥原則。信息系統(tǒng)的用戶權限要嚴格對應用戶工作職責，權限申請和變更應按流程辦理審批手續(xù)。禁止活動涉密計算機必需與互聯網物理隔離，禁止把涉密計算機干脆或間接連入公司局域網絡和互聯網，禁止在互聯網計算機中存儲或處理涉密信息。禁止利用信息網絡系統(tǒng)制作、傳播、復制有害信息。禁止非法違規(guī)入侵計算機和信息系統(tǒng)，禁止未經授權對信息網絡系統(tǒng)中存儲、處理或傳輸的信息進行增加、修改、復制和刪除等。禁止未經允許運用他人在信息網絡系統(tǒng)中未公開的信息。禁止未經授權查閱他人郵件和盜用他人名義發(fā)送電子郵件。禁止未經允許在互聯網公共郵箱、即時通訊工具、云盤、網盤或免費空間上處理、存儲、傳輸公司業(yè)務和信息。禁止有意干擾網絡的暢通運行。禁止其他危害公司信息網絡系統(tǒng)平安的活動。員工信息系統(tǒng)運用員工信息系統(tǒng)是指員工利用公司內部計算機技術對業(yè)務和信息進行集成處理的程序、數據、文檔以及計算機終端、各種存儲設備等公司重要資源的總稱，每個員工應當平安、牢靠、有效地運用員工信息系統(tǒng)并保證數據的完整性和精確性。員工在運用員工信息系統(tǒng)時應具備平安意識、保密意識和合規(guī)運用信息系統(tǒng)意識，應確保：a)設備平安；b)信息平安；c)信息系統(tǒng)平安。在運用員工信息系統(tǒng)前，員工應簽署信息系統(tǒng)運用平安保密協(xié)議。員工有愛護辦公計算機和設備物理平安的責任和義務，并按規(guī)定正確放置、保管、運用和歸還員工信息系統(tǒng)，具體要求如下：妥當保存可移動設備，不得存放涉密信息；運用便攜式計算機的員工，應當保管好計算機，防止遺竊；避開環(huán)境對計算機設備的損害，比如食物、煙火、液體、極高和極低濕度、極高和極低溫度等；禁止安裝、運用未經授權的非公司標準軟件和硬件；信息技術支持部門負責設備的安裝、拆卸、更改和遷移，員工不得自行進行以上操作；員工應當仔細保管公司安排的電子設備，未妥當保管而致丟失或損害的，應賠償。員工在運用公司供應的互聯網和員工信息系統(tǒng)時，應留意合法、平安和保密，具體要求如下：a)員工依據公司有關規(guī)定申請互聯網和員工信息系統(tǒng)的運用權；b)不得通過員工信息系統(tǒng)和互聯網從事非法的、不道德的、損害公司利益的活動；c)對通過員工信息系統(tǒng)和互聯網接收的可執(zhí)行文件進行病毒掃描檢查；d)禁止員工隨意改動計算機網絡參數配置；e)禁止企業(yè)網內的計算機通過MODEM撥號、私自搭建無線網絡等未經審批同意的方式聯通到互聯網；f)員工因工作須要運用公司電子郵件系統(tǒng)對200人以上群發(fā)郵件的，需經各單位信息化主管領導批準并報公司行政管理部備案；g)員工須以本人的真實身份和口令運用公司的信息系統(tǒng)，禁止以他人名義濫發(fā)郵件或盜用他人賬號；口令必需定期更改并具有肯定的困難性，口令規(guī)則應滿意：1)密碼長度為至少8位；2)密碼組成方式不能包含用戶的賬戶名，不能包含用戶姓名中超過兩個連續(xù)字符的部分；3)必需包含以下四類中的三類字符：英文大寫字母（A-Z）、英文小寫字母（a-z）、10個基本數字（0-9）、非字母字符（例如!、$、#、%）。示例：合格的密碼：PaSs1234或p!ss1234或Pass!$#%不合格的密碼：Cnooc或cnooPASS或PASS1234h)不得在信息系統(tǒng)上進行工作以外的活動；i)涉及公司隱私的信息，須遵守公司的保密規(guī)定，嚴禁在互聯網上披露涉及國家和公司隱私的信息。員工有防范病毒和惡意軟件方面的責任和義務，具體要求如下：a)員工應定期查看計算機是否更新了病毒數據代碼，若防病毒軟件工作異樣，病毒特征庫過舊（更新時間為兩周前）等，應當剛好通知計算機維護人員；b)限制來源不明的介質、不確定來源下載的軟件或文檔、不確定的郵件和超級鏈接等；c)嚴禁員工以任何方式卸載防病毒軟件、停止防病毒服務和更改防病毒軟件配置；d)員工發(fā)覺計算機感染病毒時應當馬上關閉計算機，并報告1331服務熱線或本單位的技術支持部門；e)員工在向信息系統(tǒng)上傳數據前要做好查毒、殺毒工作，確保信息文件無毒上傳；f)移動辦公計算機，應當定期接入公司企業(yè)網更新病毒庫和查殺病毒；g)外來移動存儲介質應檢查病毒、殺毒、檢測并注冊后，方可運用。員工應實行有效訪問限制措施，以確保訪問平安，具體要求如下：a)員工應明確和實行措施，愛護辦公計算機不受非法進入；b)員工有合法運用和愛護各類系統(tǒng)密碼的權利和義務；c)應妥當保管計算機設備賬號和密碼；d)必需設置屏保及密碼，屏保等待時間小于15分鐘，并在離開計算機時注銷登錄、啟動屏保；e)不能運用簡單被人破解的密碼；f)應定期更改密碼；g)不得向其他人公開密碼，在別人有可能已經獲知密碼時，須馬上更改密碼，不得將密碼記錄在簡單獲得的地方；h)不得索要、盜取、運用、傳播他人的任何賬號和密碼。員工在運用信息系統(tǒng)時應確保信息平安，具體要求如下：a)員工不得通過互聯網傳遞屬于國家和公司保密規(guī)定范圍內的任何信息；b)員工應對終端內公司業(yè)務文件數據的完整和平安負責，包括愛護公司的信息和軟件；c)公司商秘數據不得保留在私人計算機中；d)應定期備份工作計算機終端數據；e)需運用移動存儲介質向有關機關、單位供應信息時，應由該信息的負責人審批；須一事一盤，嚴禁供應與該項工作無關的其他涉密信息，傳遞時應檢查；f)員工在離開原工作崗位時，需將計算機、移動存儲及業(yè)務文件數據完整地交回所屬單位；g)員工未經授權，不得將獲得的信息數據與軟件擴散至第三方，因此而引起的法律糾紛應由擴散人員負責；h)敏感、重要信息不得遺留在打印設施，例如復印機、打印機和傳真機等；i)便攜式計算機在接入國際互聯網時，不得連接任何涉密移動存儲介質,不得訪問涉密信息；j)運用可移動辦公工具的員工，有義務保證公司業(yè)務數據的平安性和機密性，不得泄漏公司信息，不得處理涉密信息，不得運用未取得中國國家合法入網許可的移動辦公工具，并應自覺遵守公司制度，安裝正版軟件、公司統(tǒng)一的防護軟件并剛好升級，其移動辦公工具應設置開機口令和屏幕愛護口令，口令規(guī)則應滿意5.2.5款g)項所規(guī)定的要求；k)計算機終端和移動辦公工具須要外部人員修理時，應實行有效防護措施防止泄密或泄露公司信息。員工必需遵守國家關于學問產權愛護的法律法規(guī)，安裝新的軟件需經信息技術部門登記、檢查和授權，包括公司擁有全部權的、公司已經購買版權的、或者是員工或供應商運用公司資源開發(fā)的全部軟件。員工應正確運用移動郵件和遠程訪問。具體要求如下：a)應當妥當保管可訪問公司郵件的移動設備；b)應當設置肯定困難程度的開機密碼；c)丟失可訪問公司郵件的移動設備的，應剛好報告技術支持部門；d)除獲得授權的遠程漫游賬戶員工外，公司員工只能在公司內通過局域網訪問公司網絡資源，嚴禁以其它方式訪問；e)遠程漫游賬戶員工應遵守公司的相關制度，并實行以下措施以保證其計算機訪問公司網絡的平安：1)僅通過信息技術部門供應的加密漫游賬戶接入公司網絡；2)安裝并啟用公司規(guī)定的防病毒軟件，并保證剛好更新；3)安裝并啟用公司規(guī)定的防火墻軟件；4)保管好計算機、密碼。應當加強對第三方人員運用本公司信息系統(tǒng)的管理，具體要求如下：a)嚴格限制第三方人員在公司內運用計算機和網絡；b)第三方人員必需簽訂保密協(xié)議，限制必要的訪問權限（如公司內部網絡訪問權限、VPN訪問權限等），規(guī)定運用期限，明確公司內責任人；c)第三方人員運用本公司信息系統(tǒng)時，應遵守本規(guī)定。對外網站平安管理對外網站信息系統(tǒng)管理員應當嚴格依據制度規(guī)定實施管理，負責網站防病毒、防黑客攻擊及為網站的運行供應技術支持與保障。對外網站信息系統(tǒng)管理員須剛好向對外網站負責人報告網站信息平安事務及處理狀況。對外網站負責人須剛好向公司保密辦公室報告網站發(fā)生的重大平安事務，包括但不限于：對外網站被黑客攻擊；對外網站出現違法、不良信息；對外網站意外關閉3天以上；平安事務造成5萬元以上經濟損失；對外網站負責人認為需上報的其他平安事務。IT支持服務中心應于每季度平安評估公司對外網站，并向網站管理單位提出網站平安評估報告及加固建議。收到網站平安評估報告及加固建議后2周內，對外網站管理單位應完成網站加固工作，并向公司保密辦公室提交對外網站加固工作報告。系統(tǒng)平安補丁管理信息系統(tǒng)管理員負責跟進各產品的平安漏洞信息和產品廠商發(fā)布的平安補丁信息。平安補丁依據其對應漏洞的嚴峻程度分為三個級別：緊急平安補?。杭偃缦到y(tǒng)漏洞被利用，將對資產造成重大或完全損害，須在15天內完成安裝；重要平安補?。杭偃缦到y(tǒng)漏洞被利用，將對資產造成一般損害，須在1個月內完成安裝一般平安補?。杭偃缦到y(tǒng)漏洞被利用，將對資產造成較小或可忽視損害，須在6個月內完成安裝。信息系統(tǒng)管理員須從正式渠道獲得平安補丁，正式渠道包括中國海油信息技術中心發(fā)布、供應的平安補丁和產品廠商供應的平安補丁，不包括從網站下載的平安補丁。信息系統(tǒng)管理員應制定平安補丁的檢驗、測試、安裝以及系統(tǒng)測試、功能檢查的方案并報系統(tǒng)責任人審核、批準。信息系統(tǒng)管理員負責平安補丁的完整性校驗，確保獲得的平安補丁可用且未被修改。重要系統(tǒng)的平安補丁安裝前須通過嚴格的模擬環(huán)境測試或現網測試：模擬環(huán)境需與現網環(huán)境盡可能一樣，并考慮差異性帶來的風險；條件允許的狀況下（如有測試環(huán)境或備機）可實施現網測試。重要系統(tǒng)的平安補丁測試內容包括平安補丁安裝測試、平安補丁功能性測試、平安補丁兼容性測試和平安補丁回退測試：安裝測試主要測試平安補丁安裝過程是否正確無誤，平安補丁安裝后系統(tǒng)是否正常啟動；平安補丁功能性測試主要測試平安補丁是否修補了平安漏洞；平安補丁兼容性測試主要測試平安補丁安裝后是否對應用系統(tǒng)帶來影響，是否可正常運行。平安補丁回退測試主要包括平安補丁卸載測試、系統(tǒng)還原測試。系統(tǒng)管理員負責實施重要系統(tǒng)平安補丁測試工作，測試完成后需給出明確的書面測試結論。經測試并經系統(tǒng)責任人測試并審核通過的平安補丁方可安裝到生產系統(tǒng)。從平安漏洞發(fā)布到平安補丁安裝前，信息系統(tǒng)管理員應視須要實行應急措施加強網絡平安，各相關信息系統(tǒng)應依據建議實行適當的防護措施，并加強對系統(tǒng)的監(jiān)控，剛好發(fā)覺和報告平安事務。平安補丁安裝前，應做好數據備份，確保任何操作都可回退，在到達回退時間平安補丁安裝沒有完成時，啟動回退操作，保證系統(tǒng)正常運行。平安補丁應在信息系統(tǒng)業(yè)務空閑時間安裝。安裝核心信息系統(tǒng)的平安補丁，應當要求廠商工程師現場支持。平安補丁安裝完成后，信息系統(tǒng)管理員須查看系統(tǒng)信息，確保平安補丁已勝利安裝。信息系統(tǒng)管理員須嚴格測試安裝平安補丁后的系統(tǒng)，包括：平安補丁安裝后系統(tǒng)的性能，各項業(yè)務操作是否正常。平安補丁安裝后1周內，信息系統(tǒng)管理員應親密監(jiān)控系統(tǒng)性能和事務。信息系統(tǒng)管理員應記錄系統(tǒng)所安裝的平安補丁，對不能安裝平安補丁的系統(tǒng)應賜予說明。公司和公司各單位應定期審核補丁管理的執(zhí)行狀況，審核內容包括補丁安裝狀況、補丁版本信息的精確性和相關文檔的質量。IT支持服務中心審核人員應定期通過平安漏洞掃描和現場人工抽查檢查平安補丁管理狀況。流程圖和內控活動列表依據本章節(jié)內容制定的系統(tǒng)平安補丁管理流程圖見附件7.1、系統(tǒng)平安補丁管理流程內控活動列表見附件7.2。信息系統(tǒng)建設平安管理信息系統(tǒng)建設規(guī)劃中應包括平安規(guī)劃，平安規(guī)劃主要內容應包括信息平安保障系統(tǒng)技術框架總體規(guī)劃、平安管理體系規(guī)劃、網絡平安體系規(guī)劃、平安基礎設施應用系統(tǒng)平安規(guī)劃、實施安排及投資估算。立項單位應從業(yè)務角度明確提出信息系統(tǒng)的平安需求，包括但不限于：業(yè)務連續(xù)性、可用性、機密性、完整性、合規(guī)性、業(yè)務操作記錄、身份抗抵賴等。立項單位和建設單位依據業(yè)務需求從信息技術角度明確提出信息系統(tǒng)的平安需求，包括但不限于：數據平安、應用平安、主機平安、網絡平安、物理環(huán)境、日志記錄等。立項單位和建設單位應依據等級愛護要求，進行系統(tǒng)等級愛護的自定級工作，定級工作須要符合如下要求：明確信息系統(tǒng)的邊界和平安愛護等級；以書面的形式明確信息系統(tǒng)為某個平安愛護等級的方法和理由；定級結果應報公司行政管理部并應由中國海油信息化部批準；組織相關部門和有關平安技術專家論證、審定信息系統(tǒng)定級結果的合理性和正確性。立項單位和建設單位應依據信息系統(tǒng)業(yè)務和技術方面的平安需求，制定可以滿意信息系統(tǒng)平安需求、符合等級愛護要求的《信息系統(tǒng)平安設計子方案》，內容包括但不限于：按子系統(tǒng)描述系統(tǒng)的平安體系結構；描述每一個子系統(tǒng)所供應的平安功能；標識所要求的任何基礎性的硬件、固件或軟件，及其支持性愛護機制供應的功能表示；描述子系統(tǒng)全部接口的用途與運用方法，并適當供應影響、例外狀況和錯誤消息的細微環(huán)節(jié)；確保子系統(tǒng)（包括但不限于：外購系統(tǒng)以及自主開發(fā)系統(tǒng)）的平安功能指標滿意系統(tǒng)平安需求及等級愛護要求。立項單位和建設單位應依據系統(tǒng)的平安愛護等級選擇基本平安措施，并依據風險分析的結果補充和調整平安措施。立項單位和建設單位應依據信息系統(tǒng)的等級劃分狀況，統(tǒng)一考慮平安保障體系的總體平安策略、平安技術框架、平安管理策略、總體建設規(guī)劃和具體設計方案，形成配套文件。立項單位和建設單位應組織相關部門和有關平安技術專家對總體平安策略、平安技術框架、平安管理策略、總體建設規(guī)劃、具體設計方案等相關配套文件的合理性和正確性進行論證和審定，且經過信息平安負責人批準后，方可正式實施。立項單位和建設單位應依據等級測評、平安評估的結果定期調整和修訂總體平安策略、平安技術框架、平安管理策略、總體建設規(guī)劃、具體設計方案等相關配套文件。立項單位和建設單位應指定或授權特地的部門或人員負責管理工程實施過程，應依據信息系統(tǒng)平安設計方案要求，實施信息系統(tǒng)。立項單位和建設單位應制定工程實施方面的管理制度，明確說明實施過程的限制方法和人員行為準則。信息系統(tǒng)建設涉及程序開發(fā)的，應當進行源代碼平安測試，代碼平安應遵照中國海油《代碼編寫平安管理細則》執(zhí)行。在信息系統(tǒng)實施完成后，立項單位和建設單位應申請對信息系統(tǒng)的平安測試和測評，提交《信息系統(tǒng)平安整改報告》。測試和測評內容應包括：信息系統(tǒng)滲透性測試；信息系統(tǒng)技術風險評估，包括：脆弱性檢查、資產分析、威逼分析、綜合賦值等，其中脆弱性檢查又分為：漏洞檢查及配置核查；信息系統(tǒng)管理風險評估；信息系統(tǒng)合規(guī)性評估。在測試和測評驗收前，立項單位和建設單位應依據設計方案或合同要求等制定測試和測評驗收方案，在測試和測評驗收過程中應具體記錄測試和測評驗收結果，并形成驗收報告。立項單位和建設單位應書面規(guī)定系統(tǒng)測試和測評驗收的限制方法和人員行為準則，應指定或授權特地的機構負責系統(tǒng)測試和測評驗收的管理，并依據管理規(guī)定的要求完成系統(tǒng)測試和測評驗收工作，應組織相關部門和相關人員審定系統(tǒng)測試和測評驗收報告，并簽字確認。在《信息系統(tǒng)平安測試和測評報告》經信息平安負責人審批同意后，信息系統(tǒng)方可上線試運行，并在驗收后正式投入運用。信息系統(tǒng)業(yè)務單位和運用單位應按系統(tǒng)平安愛護級別開展運維工作，在系統(tǒng)應用過程中要加強日常信息平安管理，并對管理和技術層面上存在的不足，加以持續(xù)改進。應在信息系統(tǒng)后評價階段，對系統(tǒng)運維、項目實施過程或項目管理中涉及的平安管理狀況進行評估和檢查。信息系統(tǒng)停用下線后，由信息系統(tǒng)變更申請單位聯系IT支持服務中心對硬件資產進行評估，如無接著運用價值，則對硬件資產實施平安處理后進行報廢，信息系統(tǒng)全生命周期中涉及的電子文檔資料和系統(tǒng)中保存的數據資產依據公司《電子文件管理細則》進行處理。信息系統(tǒng)等級愛護管理遵照《信息系統(tǒng)平安等級愛護工作實施細則》（AM-01-08-02）執(zhí)行。流程圖和內控活動列表依據本章節(jié)內容制定的信息系統(tǒng)平安測試的流程圖見附件7.3、信息系統(tǒng)平安測試的內控活動列表見附件7.4。備份和災備管理公司統(tǒng)一指導、組織信息系統(tǒng)備份及災備中心的管理。IT支持服務中心應建立信息系統(tǒng)備份系統(tǒng)、災備中心、管理細則和流程(包括災難備份復原應急預案及演練安排)，確保信息系統(tǒng)平安備份、災備、運維和演練。IT支持服務中心應每半年開展備份系統(tǒng)、災備中心演練和評估、驗證數據可用性，依據演練、評估和驗證狀況，對應急預案和安排進行修訂。IT支持服務中心應記錄災備中心的運行狀況，每季度向公司提交運行狀況報告。執(zhí)行要求各單位應制定信息系統(tǒng)平安管理細則或流程，內容應包括平安管理策略、工作內容、責任和應急預案。各單位應加強對信息系統(tǒng)開發(fā)過程的信息平安管理，確保信息系統(tǒng)及其開發(fā)過程的平安性，應建立開發(fā)過程的平安限制措施,內容應包括：應在信息系統(tǒng)開發(fā)項目的可行性探討分析中包括信息平安方面的內容；應在信息系統(tǒng)需求分析中包括平安分析；應在信息系統(tǒng)設計過程中，設計確保業(yè)務平安的平安技術方案；應在信息系統(tǒng)開發(fā)實施過程中遵循最小權限原則，明確各崗位人員在開發(fā)過程中的職責和訪問權限；信息系統(tǒng)的開發(fā)環(huán)境應相對獨立，開發(fā)環(huán)境和現場應與運行環(huán)境相分別，并實行值班登記制度；應在信息系統(tǒng)測試過程中進行平安功能和機制的測試；信息系統(tǒng)移植至生產環(huán)境之前，應制定、檢查信息系統(tǒng)平安限制措施和應急預案，并進行用戶接受性測試；系統(tǒng)檢查驗收的文檔資料中應包括與平安相關的各類內容或文檔。應在信息系統(tǒng)運用過程中進行平安監(jiān)控和愛護，內容包括：信息系統(tǒng)安裝之前測試其平安性和牢靠性，信息系統(tǒng)安裝過程中應防范對信息系統(tǒng)學問產權的非法侵害（如被非法拷貝或運用盜版）；信息系統(tǒng)日常運用過程中應遵循平安等級制度（包括認證、授權、加密、加固、防惡意代碼和日志審計等）的各項基本要求，并應遵循職責分別的要求；應指派專人對信息系統(tǒng)進行日常備份、維護和技術支持，信息系統(tǒng)更新換代時應妥當處置原有信息系統(tǒng)。在公司硬件、軟件選購 過程中應運用適當的平安限制手段，內容包括：在購買之前，應對業(yè)務需求中的平安內容進行分析，確定平安要求；在選購 招標中，應明確平安特性、銷售許可證和平安資質的要求；在選購 完成后，應遵循第三方合作及外包平安管理要求簽訂平安協(xié)議。各單位應建立相關報告制度，將具體平安管理責任落實到人，剛好處理本單位范圍內出現的各種平安問題。各單位應記錄信息系統(tǒng)平安管理、平安測評、系平安事務調查與處理，并接受公司信息平安檢查。每一項與信息系統(tǒng)平安有關的活動，都應有兩人或多人在場，負責的平安活動范圍包括：訪問限制運用證件的發(fā)放與回收；信息處理系統(tǒng)運用的媒介發(fā)放與回收；處理保密信息；硬件和軟件的維護；系統(tǒng)軟件的設計、實現和修改；重要程序和數據的刪除和銷毀等。下面每組內的兩項信息系統(tǒng)維護管理工作應當盡可能分開，進行必要的職責分別：系統(tǒng)管理與計算機編程；機密資料的接收和傳送；平安管理和系統(tǒng)管理；訪問證件的管理與其它工作；數據庫管理和應用程序管理。各單位負責信息系統(tǒng)平安管理的部門應依據管理原則和該系統(tǒng)處理數據的保密性或主要程度，制訂相應的管理制度或采納相應的規(guī)范。具體工作是：依據工作的重要程度，確定該系統(tǒng)的平安等級；依據確定的平安等級，確定平安管理的范圍；制訂相應的機房出入管理制度；對于平安等級要求較高的系統(tǒng)，要實行分區(qū)限制，限制工作人員出入與己無關的區(qū)域。出入管理可采納證件識別或安裝自動識別登記系統(tǒng)，采納磁卡、身份卡等手段，對人員進行識別、登記和管理；制訂嚴格的操作規(guī)程；操作規(guī)程要依據職責明確和多人負責的原則，各負其責，不能超越自己的管轄范圍，對工作調動和離職人員要剛好調整相應的授權；制訂完備的系統(tǒng)維護制度；對系統(tǒng)進行維護時，應實行數據愛護措施，如數據備份等。維護時要首先經系統(tǒng)管理責任單位的批準，并有平安管理人員在場，故障的緣由、維護內容和維護前后的狀況要具體記錄；建立信息系統(tǒng)應急響應組織，定義組織角色和職責。建立信息系統(tǒng)應急響應流程，定義響應的每個階段和內容，使損失減至最小。IT支持服務中心應加強移動辦公系統(tǒng)和移動辦公工具的平安防護，確保員工的移動辦公工具在運用公司移動應用系統(tǒng)時與公司網絡互聯、數據傳輸和終端應用及數據的平安。應急響應當網絡和信息系統(tǒng)的生產系統(tǒng)出現停止服務、關鍵功能大面積失效或全局性重要業(yè)務無法運行的緊急事務時，公司啟動應急響應，解決和解除故障，復原生產系統(tǒng)的正常運行。公司信息化領導小組是緊急事務應急指揮小組，負責：a）統(tǒng)一指揮緊急事務應急處理；b）協(xié)調相關資源處理緊急事務；c）確定是否啟動備份系統(tǒng)；d）確定是否及如何通報緊急事務；f）建議各運用單位啟動緊急預案。應急辦公室設在行政管理部，負責幫助應急指揮小組處理緊急事務。緊急事務應急響應支持分為一級支持、二級支持和1331服務臺。一級支持由運用單位關鍵用戶及相關人員組成，對本單位用戶供應本地技術支持；一級支持就緊急事務進行解決與復原操作，通過1331服務臺上報二級支持。二級支持由IT支持服務中心支持人員組成，對各單位供應支持；二級支持負責：a）緊急事務推斷；b）就緊急事務進行解決與復原操作；c）與外部支持溝通，尋求相關支持；d）形成應急處理報告。1331服務臺處理客戶懇求，記錄緊急事務，派發(fā)或轉發(fā)工單。緊急事務應急處理范圍由于軟件產品存在缺陷或運用過程中出現的失誤，導致關鍵功能大面積失效或全局性重要業(yè)務無法運行。除5.8.5.1款緣由之外的其他故障導致系統(tǒng)停止服務，或導致關鍵功能大面積失效、全局性重要業(yè)務無法運行。緊急事務應急處理內容明確故障范圍，確定故障緣由和解除故障，削減對業(yè)務的影響。向領導匯報系統(tǒng)緊急事務狀態(tài)及處理狀況。向各運用單位通報緊急事務處理進度。緊急事務須依據規(guī)定的流程，在ITSM系統(tǒng)中精確、完整的完成事務的記錄、處理和分析總結。須對應急處理進行回顧和分析，并提出預防措施和建議。必要狀況下懇求啟動災備。緊急事務的上報一級支持人員不能剛好解決的事務，應剛好通過1331服務臺將事務升級上報至二級支持。二級支持人員對上報的事務進行初步評估，推斷緊急事務性質和影響，協(xié)調資源，確定問題范圍，實行應對措施，并將狀況通報應急辦公室。二級支持不能剛好解決的事務，應將狀況和擬實行的應對措施上報至應急指揮小組。緊急事務的處理應急指揮小組協(xié)調應急處理人員解決問題，應急處理人員剛好解除故障，具體記錄問題解決過程、操作步驟。應急辦公室向運用單位反饋系統(tǒng)緊急事務處理狀況。應急指揮小組參考運用單位的實際狀況，建議運用單位啟動應急預案，運用單位反饋應急預案執(zhí)行狀況。經過應急指揮小組的綜合推斷后，確定短時間內無法復原系統(tǒng)至正常運行狀態(tài)時，由應急指揮小組確定是否啟動災備系統(tǒng)。處理人員在處理過程中保留緊急事務處理過程記錄，對事務緣由和解決方案進行分析、總結，完善預防性措施，形成應急處理報告；在處理完成后，將緊急事務處理過程記錄及應急處理報告，交付應急辦公室。流程圖和內控活動列表依據本