PC桌面標(biāo)準(zhǔn)化說(shuō)明樣本

東方中安信息技術(shù)有限公司PC機(jī)系統(tǒng)及桌面原則化闡明（草稿）發(fā)布時(shí)間：.4發(fā)布部門(mén)：版本號(hào)：批準(zhǔn)人：目錄一、統(tǒng)一電腦設(shè)立： 8二、原則電腦軟件安裝及配備： 8三、信息資產(chǎn)分類(lèi)分級(jí)管理程序 91. 目和范疇 92. 引用文獻(xiàn) 93. 職責(zé)和權(quán)限 104. 信息資產(chǎn)分類(lèi)分級(jí) 105. 信息分級(jí)標(biāo)記 126. 公司秘密信息使用管理 137. 保密原則 19四、訪(fǎng)問(wèn)控制制度 221. 目和范疇 222. 引用文獻(xiàn) 223. 職責(zé)和權(quán)限 224. 顧客管理 225. 權(quán)限管理 236. 操作系統(tǒng)訪(fǎng)問(wèn)控制 247. 應(yīng)用系統(tǒng)訪(fǎng)問(wèn)控制 258. 網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)訪(fǎng)問(wèn)控制 259. 網(wǎng)絡(luò)隔離 2610. 網(wǎng)絡(luò)設(shè)備 2611. 信息交流控制辦法 2612. 遠(yuǎn)程訪(fǎng)問(wèn)管理 2713. 無(wú)線(xiàn)網(wǎng)絡(luò)訪(fǎng)問(wèn)管理 2814. 筆記本使用及安全配備規(guī)定 2815. 外部人員使用筆記本規(guī)定 2916. 服務(wù)器安全控制 2917. 實(shí)行方略 2918. 有關(guān)記錄 29五、密碼控制管理制度 311. 目和范疇 312. 引用文獻(xiàn) 313. 職責(zé)和權(quán)限 314. 密碼控制 32六、操作安全管理 36補(bǔ)丁管理 361. 總則 362. 合用范疇 363. 職責(zé)分工 364. 補(bǔ)丁管理 375. 附則 39防范病毒及惡意軟件管理規(guī)定 401. 目和范疇 402. 引用文獻(xiàn) 403. 職責(zé)和權(quán)限 404. 病毒防治管理 415. 惡意軟件管理 416. 實(shí)行方略 427. 有關(guān)記錄 42軟件管理規(guī)定 44目和范疇 441. 引用文獻(xiàn) 442. 職責(zé)和權(quán)限 443. 軟件管理 444. 軟件使用 475 有關(guān)記錄 47數(shù)據(jù)備份管理規(guī)定 491. 目和范疇 492. 引用文獻(xiàn) 493. 職責(zé)和權(quán)限 494. 備份管理 49系統(tǒng)監(jiān)控管理規(guī)定 521. 目 522. 引用文獻(xiàn) 523. 職責(zé)和權(quán)限 524. 系統(tǒng)監(jiān)控管理 525.有關(guān)記錄 54七、通信安全 55通信安全管理規(guī)定 551. 目的 552. 引用文獻(xiàn) 553. 職責(zé)和權(quán)限 554. Internet訪(fǎng)問(wèn)控制 555. 網(wǎng)絡(luò)隔離 566. 無(wú)線(xiàn)網(wǎng)絡(luò)訪(fǎng)問(wèn)管理 567. 信息交流控制辦法 56電子郵件管理規(guī)定 591. 目的 592. 總則 593. 管理權(quán)限和職責(zé) 594. 郵箱管理流程 595. 郵箱使用 60信息安全交流控制制度 621. 目的 622. 總則 623. 信息傳播安全控制辦法 624. 信息傳播合同 625. 定期評(píng)審 63八、信息安全事件管理制度 651. 目和范疇 652. 引用文獻(xiàn) 653. 職責(zé)和權(quán)限 654. 信息安全異常現(xiàn)象 665. 信息安全事件 686. 安全事故解決流程： 817. 信息安全事件緊急處置和業(yè)務(wù)恢復(fù) 818. 信息安全事件證據(jù)收集 829. 信息安全事件和信息安全異?，F(xiàn)象報(bào)告和反饋 8310. 改進(jìn)和防止工作 8411. 實(shí)行方略 8412. 支持文獻(xiàn) 8513. 有關(guān)記錄 85九、業(yè)務(wù)持續(xù)性管理制度 871. 目和范疇 872. 引用文獻(xiàn) 873. 職責(zé)和權(quán)限 874. 業(yè)務(wù)持續(xù)性管理流程 885. 制定應(yīng)急預(yù)案 906. 演習(xí)與維護(hù) 917. 有關(guān)記錄 92PC桌面原則化闡明一、統(tǒng)一電腦設(shè)立：為規(guī)范公司電腦配備與管理，提高工作效率，從而更好地為辦公服務(wù)。計(jì)算機(jī)機(jī)器名稱(chēng)統(tǒng)一規(guī)范化命名，便于通過(guò)計(jì)算機(jī)辨認(rèn)設(shè)備所在區(qū)域和顧客例：東方中安-JasonWINDOWS操作系統(tǒng)安裝公司采購(gòu)正版系統(tǒng)，啟動(dòng)自動(dòng)更新功能實(shí)現(xiàn)，使每臺(tái)可以上網(wǎng)機(jī)器都能及時(shí)從互聯(lián)網(wǎng)上下載最新補(bǔ)丁程序，有效防范病毒等惡性事件發(fā)生。取消域顧客本地系統(tǒng)管理員權(quán)限（設(shè)為PowerUsers），防止顧客擅自安裝非法軟件和更改系統(tǒng)配備按新密碼規(guī)則修改本地Administrator密碼（新員工PC機(jī)初始密碼：000000）二、原則電腦軟件安裝及配備：常規(guī)系統(tǒng)及軟件1、Windows10系統(tǒng)及語(yǔ)言包2、賽門(mén)鐵克殺毒軟件及病毒庫(kù)數(shù)據(jù)更新（病毒庫(kù)每周更新一次）3、Altiris（硬件資產(chǎn)管理)4、Office中小公司版5、工具軟件：WinRAR（可以安裝，但不是原則軟件）6、AdobeReader7、其她需要安裝軟件需和上級(jí)部門(mén)主管批準(zhǔn)針對(duì)任何游戲軟件及非工作需要軟件，均應(yīng)及時(shí)卸載并刪除如果電腦有問(wèn)題，請(qǐng)先排除故障后再做如下操作。三、信息資產(chǎn)分類(lèi)分級(jí)管理程序目和范疇為減少公司重要資產(chǎn)因遺失、損壞、篡改、外泄等事件帶來(lái)潛在風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)將對(duì)公司信譽(yù)、經(jīng)營(yíng)活動(dòng)、經(jīng)濟(jì)利益等導(dǎo)致較大或重大損失，需要規(guī)范信息資產(chǎn)保護(hù)辦法和管理規(guī)定，特制定本管理制度。本規(guī)定合用于我司信息資產(chǎn)安全管理，合用對(duì)象為我司員工和所有外來(lái)人員。特殊崗位或特殊人員，另有規(guī)定從其規(guī)定。公司信息資產(chǎn)是指一切關(guān)系公司安全和利益，在保護(hù)期內(nèi)只限一定范疇內(nèi)人員知悉、操作、維護(hù)事物、文檔、項(xiàng)目、數(shù)據(jù)等資源。引用文獻(xiàn)下列文獻(xiàn)中條款通過(guò)本規(guī)定引用而成為本規(guī)定條款。凡是注日期引用文獻(xiàn)，其隨后所有修改單（不涉及勘誤內(nèi)容）或修訂版均不合用于本原則，然而，勉勵(lì)各部門(mén)研究與否可使用這些文獻(xiàn)最新版本。凡是不注日期引用文獻(xiàn)，其最新版本合用于本原則。GB/T22080-/ISO/IEC27001：信息技術(shù)-安全技術(shù)-信息安全管理體系規(guī)定GB/T22081-/ISO/IEC27002：信息技術(shù)-安全技術(shù)-信息安全管理實(shí)行細(xì)則《備份管理規(guī)定》《訪(fǎng)問(wèn)控制程序》《文獻(xiàn)控制程序》職責(zé)和權(quán)限本管理規(guī)定作為全公司范疇信息類(lèi)資產(chǎn)最低管理規(guī)定，各部門(mén)或各項(xiàng)目組，均可以依照客戶(hù)規(guī)定，添加補(bǔ)充方略，并在本部門(mén)、本項(xiàng)目組內(nèi)實(shí)行，與本規(guī)定一起，作為信息安全管理工作指南。信息安全管理領(lǐng)導(dǎo)人組：是我司信息資產(chǎn)安全管理工作最高領(lǐng)導(dǎo)組織，總體負(fù)責(zé)信息資產(chǎn)安全。信息安全管理工作小組：負(fù)責(zé)詳細(xì)協(xié)調(diào)組織實(shí)行及解釋答疑等工作。各部門(mén)經(jīng)理：作為本部門(mén)信息資產(chǎn)安全管理最高責(zé)任者，有責(zé)任和權(quán)限保證本部門(mén)信息資產(chǎn)安全。各信息所有者：負(fù)責(zé)各信息資產(chǎn)標(biāo)記、分發(fā)和傳遞控制；員工：應(yīng)當(dāng)熟悉本管理規(guī)定內(nèi)容，涉及信息資產(chǎn)標(biāo)記辦法和使用管理規(guī)定，并切實(shí)貫徹到尋常工作中。信息資產(chǎn)分類(lèi)分級(jí)4.1信息資產(chǎn)分類(lèi)公司信息資產(chǎn)分為：硬件資產(chǎn)、軟件資產(chǎn)、數(shù)據(jù)資產(chǎn)、人員資產(chǎn)、外包服務(wù)資產(chǎn)、無(wú)形資產(chǎn)、文檔資產(chǎn)、環(huán)境資產(chǎn)、第三方服務(wù)資產(chǎn)等。區(qū)別原則如下：硬件資產(chǎn)：尋常工作、公司運(yùn)作或系統(tǒng)運(yùn)營(yíng)所依賴(lài)可見(jiàn)電子設(shè)備、設(shè)施和工具。重要涉及：辦公類(lèi)用品，如桌椅、紙張等。計(jì)算機(jī)及配件、輔助設(shè)備類(lèi)，如服務(wù)器、臺(tái)式機(jī)、筆記本電腦、移動(dòng)存儲(chǔ)、打印機(jī)等。網(wǎng)絡(luò)設(shè)備，如網(wǎng)絡(luò)互換機(jī)等。其她設(shè)備，不屬于上述3類(lèi)設(shè)備設(shè)施，如飲水機(jī)等。軟件資產(chǎn)：依賴(lài)電子計(jì)算設(shè)備運(yùn)營(yíng)非硬件資產(chǎn)。如：操作系統(tǒng)、殺毒軟件、源代碼、組件、程序、業(yè)務(wù)系統(tǒng)或平臺(tái)等。數(shù)據(jù)資產(chǎn)：計(jì)算機(jī)軟件運(yùn)營(yíng)時(shí)依賴(lài)原始數(shù)據(jù)、配備數(shù)據(jù)，運(yùn)營(yíng)時(shí)產(chǎn)生動(dòng)態(tài)數(shù)據(jù)、成果數(shù)據(jù)以及可以給公司經(jīng)濟(jì)效益、信息安全帶來(lái)潛在影響所有數(shù)據(jù)，這些數(shù)據(jù)如遺失、非法復(fù)制傳播、損壞等從經(jīng)濟(jì)或安全上也許給公司導(dǎo)致?lián)p害。如客戶(hù)信息數(shù)據(jù)、系統(tǒng)配備數(shù)據(jù)、系統(tǒng)登錄帳號(hào)密碼、業(yè)務(wù)運(yùn)營(yíng)數(shù)據(jù)、電話(huà)號(hào)碼資源等。4.2信息資產(chǎn)分級(jí)管理信息資產(chǎn)分級(jí)管理制度引用如下文獻(xiàn)：硬件資產(chǎn)分級(jí)管理制度軟件資產(chǎn)分級(jí)管理制度數(shù)據(jù)資產(chǎn)分級(jí)管理制度人員資產(chǎn)分級(jí)管理制度外包服務(wù)資產(chǎn)分級(jí)管理制度無(wú)形資產(chǎn)分級(jí)管理制度文檔資產(chǎn)分級(jí)管理制度環(huán)境資產(chǎn)分級(jí)管理制度第三方服務(wù)資產(chǎn)分級(jí)管理制度4.3信息資產(chǎn)分類(lèi)指引公司各部門(mén)根據(jù)分類(lèi)定義和示例，對(duì)部門(mén)《資產(chǎn)辨認(rèn)表》中各類(lèi)資產(chǎn)進(jìn)行分級(jí)，并報(bào)請(qǐng)本部門(mén)經(jīng)理審核確認(rèn)。公司一級(jí)、公司二級(jí)信息資產(chǎn)需要報(bào)信息安全管理工作小組匯總、審核后，請(qǐng)公司總經(jīng)理確認(rèn)審批?！顿Y產(chǎn)辨認(rèn)表》需詳細(xì)登記所有信息資產(chǎn)，并擬定其分級(jí)和管理負(fù)責(zé)人。信息分級(jí)標(biāo)記5.1分級(jí)標(biāo)記編號(hào)硬件資產(chǎn)（H-hard）：H1、H2分別代表一級(jí)硬件資產(chǎn)，二級(jí)硬件資產(chǎn)等。軟件資產(chǎn)(S-soft)：S1、S2分別代表一級(jí)軟件資產(chǎn)、二級(jí)軟件資產(chǎn)等。數(shù)據(jù)資產(chǎn)(D-data)：D1、D2分別代表一級(jí)數(shù)據(jù)資產(chǎn)、二級(jí)數(shù)據(jù)資產(chǎn)等。人員資產(chǎn)(P-person)：P1、P2分別代表一級(jí)人員資產(chǎn)、二級(jí)人員資產(chǎn)等。外包服務(wù)資產(chǎn)(T-team)：T1、T2分別代表一級(jí)外包服務(wù)資產(chǎn)、二級(jí)外包服務(wù)資產(chǎn)等。無(wú)形資產(chǎn)(N-none)：N1、N2分別代表一級(jí)無(wú)形資產(chǎn)、二級(jí)無(wú)形資產(chǎn)等。文檔資產(chǎn)(F-file)：F1、F2分別代表一級(jí)文檔資產(chǎn)、二級(jí)文檔資產(chǎn)等。環(huán)境資產(chǎn)(E-environmen)：E1、E2分別代表一級(jí)環(huán)境資產(chǎn)、二級(jí)環(huán)境資產(chǎn)等。第三方服務(wù)資產(chǎn)(TS-thirdservice)：TS1、TS2分別代表一級(jí)第三方服務(wù)資產(chǎn)、二級(jí)第三方服務(wù)資產(chǎn)等。5.2公司絕密、機(jī)密信息定義標(biāo)記為一級(jí)和二級(jí)文檔及敏感類(lèi)信息稱(chēng)為公司機(jī)密信息，三類(lèi)信息為秘密信息，四類(lèi)為可內(nèi)部公開(kāi)信息，五類(lèi)為可公開(kāi)信息。絕密信息，除文檔資產(chǎn)外，不包括在其她信息資產(chǎn)分級(jí)定義序列中，絕密信息普通由公司最高管理層負(fù)責(zé)管理和保密義務(wù)。5.3各密級(jí)知曉范疇公司絕密級(jí)：高層管理級(jí)人員及與公司絕密內(nèi)容有直接關(guān)系工作人員，對(duì)其她任何人都需要保密。掌握核心公司絕密核心崗位人員變更、離職須經(jīng)總經(jīng)理批準(zhǔn)。公司機(jī)密級(jí)：部門(mén)經(jīng)理級(jí)及以上管理人員以及與公司機(jī)密內(nèi)容有直接關(guān)系工作人員，容許知曉與本工作有關(guān)公司機(jī)密事項(xiàng)，對(duì)非有關(guān)人員需要保密。公司秘密級(jí)：部門(mén)骨干管理人員以及與公司秘密內(nèi)容有直接關(guān)系工作人員，容許知曉與本工作有關(guān)公司秘密事項(xiàng)，但對(duì)其她部門(mén)應(yīng)保密。內(nèi)部公開(kāi)：公司內(nèi)部所有人員，容許知曉在公司內(nèi)部范疇內(nèi)屬于公開(kāi)信息，但未授權(quán)不得對(duì)公司以外人員泄露公司內(nèi)部公開(kāi)信息。公開(kāi)：公司外面所有人員，容許知曉由公司內(nèi)授權(quán)人員宣布可公開(kāi)信息。可公開(kāi)文檔必要轉(zhuǎn)成PDF文檔后，或使用其她辦法變成只讀不可修改文檔后再行發(fā)布。5.4分級(jí)標(biāo)記編號(hào)可作為分級(jí)標(biāo)記使用公司固定資產(chǎn)硬件設(shè)備必要標(biāo)記分級(jí)標(biāo)記編號(hào)。作為電子文獻(xiàn)時(shí)必要在文獻(xiàn)第一頁(yè)明顯位置標(biāo)記分級(jí)。對(duì)于紙質(zhì)文檔，使用公司統(tǒng)一刻制分級(jí)標(biāo)記圖章進(jìn)行標(biāo)記，對(duì)于“公司絕密”文檔在需要時(shí)，通過(guò)騎縫章或每頁(yè)敲章方式進(jìn)行“絕密”標(biāo)記。使用信封等封裝時(shí)，還需要在封裝上標(biāo)記“絕密”標(biāo)記及分級(jí)標(biāo)記。對(duì)于模板文檔，其標(biāo)記分級(jí)是指填寫(xiě)內(nèi)容后分級(jí)，而非空白時(shí)分級(jí)。如果使用光盤(pán)/磁帶/軟盤(pán)等介質(zhì)，需要直接在介質(zhì)表面上標(biāo)記分級(jí)。需要提交給客戶(hù)信息資產(chǎn)（例如：項(xiàng)目開(kāi)發(fā)成果物），必要有分級(jí)標(biāo)記。對(duì)于應(yīng)用系統(tǒng)中顯示畫(huà)面、數(shù)據(jù)表單或打印輸出等內(nèi)容，必要有分級(jí)標(biāo)記。公司秘密信息使用管理6.1涉密信息保管公司絕密、公司機(jī)密信息：應(yīng)當(dāng)保管在普通人員無(wú)法隨便進(jìn)入有安全保障房間，例如：總裁辦公室、各部門(mén)主管辦公室、財(cái)務(wù)室、機(jī)房等。電子文檔必要有可靠備份機(jī)制；除非特別批準(zhǔn)公司絕密信息不應(yīng)保管在個(gè)人用計(jì)算機(jī)上。紙質(zhì)文獻(xiàn)以及電子存儲(chǔ)介質(zhì)（例如：移動(dòng)硬盤(pán)/U盤(pán)/光盤(pán)/軟盤(pán)等）應(yīng)當(dāng)保存在加鎖文獻(xiàn)柜或保險(xiǎn)柜內(nèi)。在不使用或處在目光所及范疇之外時(shí)，應(yīng)將資料存儲(chǔ)在鎖閉檔案柜、桌式書(shū)架或書(shū)柜內(nèi)；在攜帶至辦公室以外地方時(shí)，應(yīng)將資料存儲(chǔ)在隨身攜帶鎖閉箱包或手提箱內(nèi)。其他涉密信息：也應(yīng)當(dāng)保存在安全工作區(qū)域內(nèi)。電子文檔也必要有可靠備份機(jī)制。紙質(zhì)文檔以及電子存儲(chǔ)介質(zhì)應(yīng)存儲(chǔ)于書(shū)柜、檔案柜或桌式書(shū)架柜內(nèi)，以防被非公司人員意外看到或獲得。技術(shù)成果技術(shù)轉(zhuǎn)讓、技術(shù)入股、技術(shù)引進(jìn)等途徑獲取公司秘密過(guò)程中，依照合同或合同中規(guī)定提供公司秘密，承辦人應(yīng)采用保密辦法，保證不泄漏公司秘密。獲取公司秘密應(yīng)及時(shí)移送財(cái)務(wù)部歸檔，不得個(gè)人保存。工作成果物：每個(gè)人工作成果物（工作成果物指需要向客戶(hù)或上級(jí)或組織提交工作成果）應(yīng)當(dāng)及時(shí)保存到指定場(chǎng)合。電子文檔應(yīng)當(dāng)保存到公用機(jī)器上指定位置，從而得到可靠備份和訪(fǎng)問(wèn)控制，對(duì)于紙質(zhì)文檔和電子介質(zhì)應(yīng)當(dāng)保存到指定文獻(xiàn)柜內(nèi)（除非被批準(zhǔn)，不得保存在個(gè)人文獻(xiàn)柜內(nèi)），并做好清晰標(biāo)示，從而保證她們可用性。員工在公司任職期間工作成果歸公司所有，并按《保密合同》及本制度進(jìn)行管理；客戶(hù)信息在公司尋常業(yè)務(wù)（涉及營(yíng)銷(xiāo)等有關(guān)活動(dòng)）中接觸到客戶(hù)信息以及客戶(hù)提供信息同樣應(yīng)當(dāng)作為公司涉密信息實(shí)行管理和控制。重要信息應(yīng)當(dāng)被指定為公司絕密，別的都按照“公司秘密”密級(jí)來(lái)對(duì)待。特別是客戶(hù)真實(shí)數(shù)據(jù)，屬于“公司機(jī)密”，除非得到客戶(hù)明確授權(quán)，不得使用；使用時(shí)必要按照嚴(yán)格流程和管理規(guī)定（事先備份等），不得在其他任何場(chǎng)合使用或透露有關(guān)信息。6.2涉密信息訪(fǎng)問(wèn)限制尋常工作中需使用含公司絕密、公司機(jī)密性數(shù)據(jù)設(shè)備，或需解決公司絕密、公司機(jī)密性數(shù)據(jù)員工，須依照公司有關(guān)規(guī)定訂立《知識(shí)產(chǎn)權(quán)及保密合同》；我司委外開(kāi)發(fā)或加工外包合同/合同中須包括所涉及信息資產(chǎn)保密條款，必要時(shí)，須與有關(guān)人員訂立保密合同；涉密信息訪(fǎng)問(wèn)范疇?wèi)?yīng)限制在滿(mǎn)足需要最小限度。公司絕密信息應(yīng)當(dāng)存儲(chǔ)在非有關(guān)部門(mén)員工無(wú)法訪(fǎng)問(wèn)獨(dú)立VLAN內(nèi)，存儲(chǔ)“公司絕密”信息個(gè)人用計(jì)算機(jī)應(yīng)當(dāng)安裝防火墻，保證其她機(jī)器無(wú)法積極訪(fǎng)問(wèn)，通過(guò)網(wǎng)絡(luò)共享目錄不容許存儲(chǔ)“公司絕密”信息；存儲(chǔ)涉密信息計(jì)算機(jī)顧客密碼必要得到嚴(yán)格控制和有效管理；“內(nèi)部公開(kāi)”及以上信息未經(jīng)授權(quán)，禁止以任何方式向公司以外人員泄露?！肮窘^密”信息由公司領(lǐng)導(dǎo)、信息安全主管部門(mén)和有關(guān)應(yīng)用部門(mén)協(xié)商擬定訪(fǎng)問(wèn)權(quán)限，由信息安全主管部門(mén)委托人員（普通是總裁辦管理）詳細(xì)控制?！肮緳C(jī)密”和“公司秘密”信息由各部門(mén)，各項(xiàng)目組負(fù)責(zé)人擬定訪(fǎng)問(wèn)權(quán)限，由她們或委托可靠有關(guān)人員進(jìn)行訪(fǎng)問(wèn)權(quán)限詳細(xì)控制辦法。為了保證涉密信息安全，全體員工必要嚴(yán)格遵守《訪(fǎng)問(wèn)控制管理程序》中所詳細(xì)規(guī)定各項(xiàng)控制方略。6.3涉密信息使用不得使用任何手段積極獲取與工作職責(zé)無(wú)關(guān)涉密信息。不得以任何工作需要以外目復(fù)制、復(fù)印、摘抄涉密信息，未經(jīng)管理者允許，禁止復(fù)制、復(fù)印“公司機(jī)密”以上級(jí)別信息。因工作需要將涉密信息復(fù)制到非有關(guān)設(shè)備或公用設(shè)備中時(shí)，必要在使用完畢后，及時(shí)刪除作業(yè)遺留涉密信息。因工作需要復(fù)印涉密信息，使用完畢后，按照涉密信息廢棄處置辦法處置。涉密信息使用必要嚴(yán)格限制在工作必要物理和人員范疇內(nèi)，除非工作需要并得到批準(zhǔn)，不得把存儲(chǔ)涉密信息設(shè)備和存儲(chǔ)介質(zhì)以及具有涉密信息紙質(zhì)文檔帶出公司?！肮窘^密”信息使用必要時(shí)可以通過(guò)簽名登記方式加以控制。因工作需要，需要對(duì)敏感涉密信息共享時(shí)，必要對(duì)涉密信息進(jìn)行加密解決。不在有非有關(guān)人員在場(chǎng)狀況下談?wù)?使用涉密信息。涉及：和客戶(hù)接觸時(shí)避免涉密信息泄露，制作提供應(yīng)客戶(hù)資料文獻(xiàn)時(shí)原則上使用PDF格式，并需要注意涉密信息保護(hù)。不能在公共場(chǎng)合或者敞開(kāi)辦公室、沒(méi)有良好隔音會(huì)議室談?wù)摴窘^密信息。使用紙質(zhì)文獻(xiàn)是，要注意：“公司機(jī)密”以上級(jí)別信息紙件不得重復(fù)使用，含其他涉密信息紙件文獻(xiàn)也不得跨項(xiàng)目使用；下班后應(yīng)清理桌面，將具有重要涉密信息紙質(zhì)文獻(xiàn)放入文獻(xiàn)柜；發(fā)出打印命令后，及時(shí)去取打印文獻(xiàn)，保證打印機(jī)處無(wú)遺留紙質(zhì)文獻(xiàn)。打印“公司絕密”信息時(shí)，盡量使用非公用打印機(jī)；復(fù)印完畢后注意檢查，保證復(fù)印機(jī)處無(wú)遺留紙質(zhì)文獻(xiàn)。復(fù)印“公司絕密”信息時(shí)，盡量在人少時(shí)段；傳真完畢后注意檢查，保證傳真機(jī)處無(wú)遺留紙質(zhì)文獻(xiàn)。對(duì)于外來(lái)傳真，應(yīng)當(dāng)立即收取，再告知或送達(dá)收件人。對(duì)于涉密技術(shù)文獻(xiàn)發(fā)放和回收，參照《文獻(xiàn)控制程序》。計(jì)算機(jī)數(shù)據(jù)安全管理：在從事涉及保密信息工作時(shí)，不得離開(kāi)計(jì)算機(jī)，使之處在無(wú)人照看狀態(tài)；人員因故離開(kāi)座位時(shí)，必要退出系統(tǒng)或使用屏幕密碼保護(hù)，防止賬號(hào)被盜用或數(shù)據(jù)被竊取。下班或因公外出離開(kāi)辦公室前，必要關(guān)閉計(jì)算機(jī)設(shè)備并將桌面收拾干凈，避免保密信息失竊或系統(tǒng)被侵入；保管好所有數(shù)據(jù)存儲(chǔ)設(shè)備，并作恰當(dāng)標(biāo)記；公司絕密或公司機(jī)密性數(shù)據(jù)如需通過(guò)電子郵件傳送，應(yīng)經(jīng)加密解決后傳送；公司絕密或公司機(jī)密性數(shù)據(jù)，不得存儲(chǔ)于無(wú)賬號(hào)權(quán)限、密碼限定信息系統(tǒng)中。6.4涉密信息發(fā)送任何涉密信息發(fā)送，都必要保證收件人合法性；“內(nèi)部公開(kāi)”信息未經(jīng)允許，禁止發(fā)送給公司以外人員；“公司秘密”，“公司機(jī)密”“公司絕密”只發(fā)給管理者授權(quán)收件人。涉密信息傳送后，必要通過(guò)e-Mail/MSN/電話(huà)等手段，獲得對(duì)方確認(rèn)或積極向?qū)Ψ酱_認(rèn)。在公司內(nèi)部傳送紙質(zhì)數(shù)據(jù)時(shí)，委托她人傳送時(shí)，必要加以封裝；“公司絕密”信息傳送時(shí)必要保證直接交給收件人本人；其她涉密信息傳送時(shí)，盡量直接交給收件人，如果放置在收件人坐席上必要將傳送背面朝上，并且事后要和收件人確認(rèn)。運(yùn)用電子手段傳送數(shù)據(jù)時(shí)，“公司絕密”信息必要使用加密手段，并且密碼不得同步發(fā)送；在也許條件下，勉勵(lì)所有涉密信息都采用加密手段傳送?！肮窘^密”信息除非特別需要必要使用公司網(wǎng)絡(luò)服務(wù)傳送；所有涉密信息都應(yīng)當(dāng)盡量避免使用公司外部電子信箱以及MSN/QQ/Skype/公用FTP/網(wǎng)絡(luò)存儲(chǔ)空間等手段來(lái)進(jìn)行傳送。必要運(yùn)用最新防病毒庫(kù)對(duì)收發(fā)文獻(xiàn)進(jìn)行病毒檢查。運(yùn)用傳真進(jìn)行涉密信息傳送時(shí)，不得委托非有關(guān)人員代為傳送；傳送時(shí)必要始終等待在側(cè)；傳送完畢后立即回收；不特別必要，不運(yùn)用傳真方式進(jìn)行“公司絕密”信息傳送；收發(fā)“公司絕密”信息時(shí)，應(yīng)事先和對(duì)方聯(lián)系，保證傳真不通過(guò)其她人手。運(yùn)用快遞/郵寄手段進(jìn)行涉密信息傳送時(shí)：對(duì)傳送信息必要加以封裝；不特別必要，“公司絕密”信息傳送不運(yùn)用快遞/郵寄手段進(jìn)行，而應(yīng)盡量運(yùn)用公司內(nèi)部人員以專(zhuān)程形式來(lái)進(jìn)行傳送工作；傳送“公司絕密”信息時(shí)，應(yīng)事先和對(duì)方聯(lián)系；在確認(rèn)收屆時(shí)，還必要確認(rèn)封裝沒(méi)有損壞；非收件人不得隨便拆閱。6.5涉密信息廢棄處置過(guò)期或作廢涉密文獻(xiàn)需要廢棄處置解決時(shí)，一方面需得到批準(zhǔn)。“公司絕密”信息廢棄處置要得到公司總經(jīng)理書(shū)面批準(zhǔn)，并指定可解除該信息人員實(shí)行或全程監(jiān)督實(shí)行。其他涉密信息廢棄處置要得到有關(guān)部門(mén)，有關(guān)工作組負(fù)責(zé)人批準(zhǔn)，并指定人員實(shí)行。公司絕密數(shù)據(jù)必要退回資料來(lái)源處，或者在經(jīng)資料來(lái)源處授權(quán)狀況下，將其存儲(chǔ)在安全文獻(xiàn)貯存處或加以銷(xiāo)毀；電子檔案必要采用總裁辦允許使用專(zhuān)用銷(xiāo)毀文獻(xiàn)計(jì)算機(jī)磁盤(pán)工具予以消除，必要保存銷(xiāo)毀文獻(xiàn)記錄?！肮緳C(jī)密”和“公司秘密”信息，進(jìn)行解決時(shí)，紙質(zhì)文獻(xiàn)要通過(guò)專(zhuān)門(mén)設(shè)備徹底粉碎；電子檔案必要采用行政部允許使用專(zhuān)用銷(xiāo)毀文獻(xiàn)計(jì)算機(jī)磁盤(pán)工具予以消除，必要保存銷(xiāo)毀文獻(xiàn)記錄。客戶(hù)方面特別提出規(guī)定期，按照客戶(hù)規(guī)定辦法實(shí)行。個(gè)人工作中使用紙質(zhì)文檔不得隨意丟棄或作其他用途，廢棄后要及時(shí)粉碎解決；電子文檔需要及時(shí)整頓和清除。對(duì)一級(jí)硬件信息資產(chǎn)進(jìn)行專(zhuān)人監(jiān)督物理破壞。保密原則所有公司員工均有義務(wù)和責(zé)任保守公司公司秘密。嚴(yán)格遵守公司關(guān)于保密方面各項(xiàng)政策和制度規(guī)定；保護(hù)并按照規(guī)定方式解決包括公司保密信息各種記錄、草稿、文本副本、打印機(jī)色帶和圖表；不在公司以外公共場(chǎng)合及同親友及家人談?wù)摴緲I(yè)務(wù)狀況及保密信息；在向非公司員工刊登演講、宣傳時(shí)不得援引保密信息；未經(jīng)資料來(lái)源處授權(quán)，不得復(fù)制或復(fù)印任何公司保密數(shù)據(jù)資料；未經(jīng)必要審批手續(xù)，不得將公司保密數(shù)據(jù)資料從公司帶出；不得使用規(guī)定以外其他方式，用電子手段傳送或調(diào)用保密數(shù)據(jù)材料；論文刊登前，要通過(guò)部門(mén)領(lǐng)導(dǎo)和信息安全工作小組審核；員工必要具備保密意識(shí)，必要做到不該問(wèn)絕對(duì)不問(wèn)，不該說(shuō)絕對(duì)不說(shuō)，不該看絕對(duì)不看。未經(jīng)領(lǐng)導(dǎo)批準(zhǔn)，不準(zhǔn)開(kāi)展本崗位外業(yè)務(wù)活動(dòng)，不準(zhǔn)串崗。在尋常工作中，全體人員都應(yīng)當(dāng)按照“知所必須”原則，獲得完畢其工作職責(zé)所必須最小范疇涉密信息和最小邏輯訪(fǎng)問(wèn)權(quán)限，并且以盡量安全方式在最小范疇內(nèi)使用。對(duì)公司公司秘密知曉范疇執(zhí)行壓縮控制原則，員工只在管轄范疇內(nèi)依照工作需要知曉有關(guān)公司公司秘密。公司勉勵(lì)員工在一定限度上使用常識(shí)性辦法來(lái)保護(hù)公司涉密信息，如果員工不懂得某項(xiàng)資產(chǎn)密級(jí)，默認(rèn)狀況下至少按“公司秘密”密級(jí)來(lái)對(duì)待。對(duì)于研發(fā)進(jìn)行中項(xiàng)目，除公司統(tǒng)一制定產(chǎn)品目的對(duì)客戶(hù)進(jìn)行宣傳以外，公司任何員工均需對(duì)公司正在研發(fā)項(xiàng)目?jī)?nèi)容、項(xiàng)目進(jìn)度等信息進(jìn)行保密，特別是器件供應(yīng)商，與競(jìng)爭(zhēng)對(duì)手關(guān)系密切客戶(hù)等。對(duì)于公司商務(wù)信息僅限市場(chǎng)人員、商務(wù)人員及其管理人員知悉。不同市場(chǎng)區(qū)域之間信息，原則上也規(guī)定保密。對(duì)外交往與合伙中如需要提供公司公司秘密事項(xiàng)，應(yīng)先由部門(mén)經(jīng)理批準(zhǔn)，特殊狀況須經(jīng)公司有關(guān)領(lǐng)導(dǎo)審核、公司總經(jīng)理批準(zhǔn)。因工作需要知悉非本職范疇內(nèi)公司公司秘密，須經(jīng)有關(guān)領(lǐng)導(dǎo)批準(zhǔn)，公司秘密級(jí)信息由部門(mén)經(jīng)理批準(zhǔn)，公司機(jī)密級(jí)信息由分管副總批準(zhǔn)，公司絕密級(jí)信息由公司總經(jīng)理批準(zhǔn)；公司員工發(fā)現(xiàn)公司公司秘密已經(jīng)泄露或也許泄露時(shí)，應(yīng)及時(shí)采用補(bǔ)救辦法并及時(shí)報(bào)告上級(jí)主管，上級(jí)主管須及時(shí)做出相應(yīng)解決。文檔編號(hào)（由總裁辦填寫(xiě)）密級(jí)內(nèi)部公開(kāi)文檔發(fā)布級(jí)別公司級(jí)文檔發(fā)布及實(shí)行范疇全員制度試行日期（可選）制度執(zhí)行日期文檔起草人簽字：日期：文檔修訂人：簽字：日期：修訂闡明：備注：文檔負(fù)責(zé)人：簽字：日期：文檔審批信息安全管理者代表簽字：日期：文檔審批人簽字：日期：四、訪(fǎng)問(wèn)控制制度目和范疇通過(guò)控制顧客權(quán)限對(duì)的管理顧客，實(shí)現(xiàn)控制辦公網(wǎng)系統(tǒng)和應(yīng)用系統(tǒng)訪(fǎng)問(wèn)權(quán)限與訪(fǎng)問(wèn)權(quán)限分派，防止對(duì)辦公網(wǎng)系統(tǒng)和應(yīng)用系統(tǒng)非法訪(fǎng)問(wèn)，防止非法操作，保證生產(chǎn)系統(tǒng)可用性、完整性、保密性，以及規(guī)范服務(wù)器訪(fǎng)問(wèn)。本訪(fǎng)問(wèn)控制制度合用于系統(tǒng)維護(hù)部以及其她擁有系統(tǒng)權(quán)限管理部門(mén)。引用文獻(xiàn)下列文獻(xiàn)中條款通過(guò)本規(guī)定引用而成為本規(guī)定條款。凡是注日期引用文獻(xiàn)，其隨后所有修改單（不涉及勘誤內(nèi)容）或修訂版均不合用于本原則，然而，勉勵(lì)各部門(mén)研究與否可使用這些文獻(xiàn)最新版本。凡是不注日期引用文獻(xiàn)，其最新版本合用于本原則。GB/T22080-/ISO/IEC27001：信息技術(shù)-安全技術(shù)-信息安全管理體系規(guī)定GB/T22081-/ISO/IEC27002：信息技術(shù)-安全技術(shù)-信息安全管理實(shí)行細(xì)則職責(zé)和權(quán)限各部門(mén)必要遵循本管理規(guī)范實(shí)行對(duì)顧客、口令和權(quán)限管理，顧客必要按照本管理規(guī)范訪(fǎng)問(wèn)公司辦公網(wǎng)系統(tǒng)和應(yīng)用系統(tǒng)。顧客管理4.1顧客注冊(cè)只有授權(quán)顧客才可以申請(qǐng)系統(tǒng)賬號(hào)，賬號(hào)相應(yīng)權(quán)限應(yīng)當(dāng)以滿(mǎn)足顧客需要為原則，不得有與顧客職責(zé)無(wú)關(guān)權(quán)限。一人一賬號(hào)，以便將顧客與其操作聯(lián)系起來(lái)，使顧客對(duì)其操作負(fù)責(zé)，禁止多人使用同一種賬號(hào)。顧客因工作變更或離職時(shí)，管理員要及時(shí)取消或者鎖定其所有賬號(hào)，對(duì)于無(wú)法鎖定或者刪除顧客賬號(hào)采用更改口令等相應(yīng)辦法規(guī)避該風(fēng)險(xiǎn)。管理員應(yīng)每季度檢查并取消多余顧客賬號(hào)。4.2顧客口令管理和使用引用文獻(xiàn)：《密碼控制管理制度》權(quán)限管理5.1顧客權(quán)限管理原則所有重要服務(wù)器應(yīng)用系統(tǒng)要有明確顧客清單及權(quán)限清單，每季度進(jìn)行一次權(quán)限評(píng)審。重要設(shè)備操作系統(tǒng)、數(shù)據(jù)庫(kù)、重要應(yīng)用程序有關(guān)特殊訪(fǎng)問(wèn)權(quán)限分派需進(jìn)行嚴(yán)格管理。對(duì)普通顧客只擁有在注冊(cè)時(shí)所審批權(quán)限。每個(gè)人分派權(quán)限以完畢相應(yīng)工作最低原則為準(zhǔn)。服務(wù)器日記安全審查職責(zé)與尋常工作權(quán)限責(zé)任分割。新賬號(hào)開(kāi)通時(shí)提供應(yīng)她們一種安全暫時(shí)登錄密碼，并在初次使用時(shí)強(qiáng)制變化。為防止未授權(quán)更改或誤用信息或服務(wù)機(jī)會(huì)，按如下規(guī)定進(jìn)行職責(zé)分派：a)系統(tǒng)管理職責(zé)與操作職責(zé)分離；b)信息安全審核具備獨(dú)立性。5.2顧客訪(fǎng)問(wèn)權(quán)限設(shè)立環(huán)節(jié)權(quán)限設(shè)立：對(duì)信息訪(fǎng)問(wèn)權(quán)限進(jìn)行設(shè)立，添加該顧客相應(yīng)訪(fǎng)問(wèn)權(quán)，設(shè)立權(quán)限，要再次確認(rèn)，以保證權(quán)限設(shè)立對(duì)的。定期檢查顧客賬戶(hù)：管理員每季度相應(yīng)用系統(tǒng)進(jìn)行一次權(quán)限評(píng)審。取消訪(fǎng)問(wèn)權(quán)：離開(kāi)公司應(yīng)及時(shí)取消或禁用其賬號(hào)及所有權(quán)限，將其所擁有信息備份保存，或轉(zhuǎn)換接替者為持有人。顧客崗位發(fā)生變化時(shí)，要對(duì)其訪(fǎng)問(wèn)權(quán)限重新授權(quán)。操作系統(tǒng)訪(fǎng)問(wèn)控制6.1安全登錄制度UNIX、LINUX系統(tǒng)使用SSH登錄系統(tǒng)。進(jìn)入操作系統(tǒng)必要執(zhí)行登錄操作，禁止將系統(tǒng)設(shè)定為自動(dòng)登錄。記錄登錄成功與失敗日記。尋常非系統(tǒng)管理操作時(shí)，只能以普通顧客登錄。啟用操作系統(tǒng)口令管理方略（如口令至少8位，字母數(shù)字組合等），保證顧客口令安全性。6.2會(huì)話(huà)超時(shí)與聯(lián)機(jī)時(shí)間限定重要服務(wù)器應(yīng)設(shè)立會(huì)話(huà)超時(shí)限制，不活動(dòng)會(huì)話(huà)應(yīng)在一種設(shè)定休止期5分鐘后關(guān)閉。應(yīng)考慮對(duì)敏感計(jì)算機(jī)應(yīng)用程序，特別是安裝在高風(fēng)險(xiǎn)位置應(yīng)用程序，使用連機(jī)時(shí)間控制辦法。這種限制示例涉及：使用預(yù)先定義時(shí)間間隔，如對(duì)批量文獻(xiàn)傳播，或定期短期交互會(huì)話(huà)等狀況使用指定期間間隔；如果沒(méi)有超時(shí)或延時(shí)操作規(guī)定，則將連機(jī)時(shí)間限于正常辦公時(shí)間；應(yīng)用系統(tǒng)訪(fǎng)問(wèn)控制依照《重要服務(wù)器-應(yīng)用系統(tǒng)清單》，填寫(xiě)《重要應(yīng)用系統(tǒng)權(quán)限評(píng)審表》，每季度評(píng)審一次。各應(yīng)用系統(tǒng)必要擬定相應(yīng)系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員和應(yīng)用管理員。應(yīng)用系統(tǒng)顧客訪(fǎng)問(wèn)控制，顧客申請(qǐng)應(yīng)填寫(xiě)有關(guān)系統(tǒng)申請(qǐng)表，須通過(guò)應(yīng)用系統(tǒng)歸口主管部門(mén)審核批準(zhǔn)，由系統(tǒng)管理員授權(quán)并登記備案后，方可使用相應(yīng)應(yīng)用系統(tǒng)。如果發(fā)生人員崗位變動(dòng)，業(yè)務(wù)部門(mén)信息安全主管告知部門(mén)信息安全員與有關(guān)應(yīng)用系統(tǒng)管理員聯(lián)系，告知系統(tǒng)管理員詳細(xì)人員變動(dòng)狀況，便于系統(tǒng)管理員及時(shí)調(diào)節(jié)崗位變動(dòng)人員系統(tǒng)訪(fǎng)問(wèn)權(quán)限。應(yīng)用系統(tǒng)顧客必要遵守各應(yīng)用系統(tǒng)有關(guān)管理規(guī)定，必要服從應(yīng)用系統(tǒng)管理部門(mén)檢查監(jiān)督和管理。禁止員工未經(jīng)授權(quán)使用系統(tǒng)實(shí)用工具。應(yīng)用系統(tǒng)顧客必要嚴(yán)格執(zhí)行保密制度。對(duì)各自顧客帳號(hào)負(fù)責(zé)，不得轉(zhuǎn)借她人使用。重要應(yīng)用系統(tǒng)顧客清單及權(quán)限必要進(jìn)行定期評(píng)審。網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)訪(fǎng)問(wèn)控制所有員工在工作時(shí)間禁止運(yùn)用公司網(wǎng)絡(luò)和互聯(lián)網(wǎng)專(zhuān)線(xiàn)訪(fǎng)問(wèn)違法網(wǎng)站及內(nèi)容?？蛻?hù)及第三方人員不容許直接通過(guò)可訪(fǎng)問(wèn)公司資源有線(xiàn)或無(wú)線(xiàn)網(wǎng)絡(luò)訪(fǎng)問(wèn)Internet，客戶(hù)及第三方人員如需訪(fǎng)問(wèn)Internet應(yīng)當(dāng)在專(zhuān)設(shè)隔離區(qū)進(jìn)行。員工須通過(guò)VPN訪(fǎng)問(wèn)公司有關(guān)網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)。需要訪(fǎng)問(wèn)各種網(wǎng)絡(luò)服務(wù)顧客須向本部門(mén)主管申請(qǐng)VPN帳號(hào)，由本部門(mén)主管通過(guò)郵件提交VPN帳號(hào)管理員，由VPN帳號(hào)管理員為其分派密鑰和帳號(hào)。網(wǎng)絡(luò)隔離公司與外部通過(guò)防火墻隔離，制定嚴(yán)格VLAN劃分，對(duì)公司內(nèi)重要部門(mén)訪(fǎng)問(wèn)進(jìn)行控制。運(yùn)營(yíng)中心制定VLAN訪(fǎng)問(wèn)控制闡明。網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)設(shè)備配備管理員帳號(hào)由系統(tǒng)服務(wù)部指定專(zhuān)人統(tǒng)一管理，保存帳號(hào)及密碼電子文獻(xiàn)需加密保存，并存儲(chǔ)在可靠安全環(huán)境下。系統(tǒng)管理員密碼須符合服務(wù)器安全控制密碼安全規(guī)定；管理人員不得向任何非授權(quán)人員泄露網(wǎng)絡(luò)設(shè)備管理員帳號(hào)及密碼。信息交流控制辦法信息交流方式涉及數(shù)據(jù)交流、電子郵件、電話(huà)、紙質(zhì)文獻(xiàn)、談話(huà)、錄音、會(huì)議、傳真、短信、IM工具等；可交流信息，須符合《信息資產(chǎn)分類(lèi)分級(jí)管理制度》里密級(jí)規(guī)定;公司使用信息交流設(shè)施在安全性上應(yīng)符合國(guó)家信息安全有關(guān)法律法規(guī)、上級(jí)主管機(jī)關(guān)以及我司安全管理規(guī)定規(guī)定；不能在公共場(chǎng)合或者敞開(kāi)辦公室、沒(méi)有屋頂防護(hù)會(huì)議室談?wù)摍C(jī)密信息；對(duì)信息交流應(yīng)作恰當(dāng)防范，如不要暴露敏感信息，避免被通過(guò)電話(huà)偷聽(tīng)或截?。粏T工、合伙方以及任何其她顧客不得損害公司利益，如誹謗、騷擾、假冒、未經(jīng)授權(quán)采購(gòu)等；不得將敏感或核心信息放在打印設(shè)施上，如復(fù)印機(jī)、打印機(jī)和傳真，防止未經(jīng)授權(quán)人員訪(fǎng)問(wèn)；在使用電子通信設(shè)施進(jìn)行信息交流時(shí)，所考慮控制涉及：防止交流信息被截取、備份、修改、誤傳以及破壞；保護(hù)以附件形式傳播電子信息程序；有業(yè)務(wù)信件和消息保持和處置原則，要符合有關(guān)國(guó)家或地辦法規(guī)；使用傳真人員注意下列問(wèn)題：未經(jīng)授權(quán)對(duì)內(nèi)部存儲(chǔ)信息進(jìn)行訪(fǎng)問(wèn)，獲取信息；故意或無(wú)意程序設(shè)定，向特定號(hào)碼發(fā)送信息；向錯(cuò)誤號(hào)碼發(fā)送文獻(xiàn)和信息，或者撥號(hào)錯(cuò)誤或者使用存儲(chǔ)在機(jī)器中號(hào)碼是錯(cuò)誤。遠(yuǎn)程訪(fǎng)問(wèn)管理12.1遠(yuǎn)程接入顧客認(rèn)證凡是接入公司遠(yuǎn)程顧客訪(fǎng)問(wèn)必要通過(guò)VPN并通過(guò)認(rèn)證方可接入。認(rèn)證顧客必要使用8位以上復(fù)雜密碼。任何遠(yuǎn)程接入顧客不得將自己顧客名、密碼提供應(yīng)任何人，涉及同事，家人。所有遠(yuǎn)程接入顧客客戶(hù)端或個(gè)人電腦必要安裝防病毒軟件并且病毒庫(kù)升級(jí)到最新。12.2遠(yuǎn)程接入審計(jì)遠(yuǎn)程接入顧客操作必要要通過(guò)接入設(shè)備審計(jì)。應(yīng)記錄有關(guān)日記，對(duì)顧客行為監(jiān)控。無(wú)線(xiàn)網(wǎng)絡(luò)訪(fǎng)問(wèn)管理行政部應(yīng)協(xié)同系統(tǒng)服務(wù)部對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)進(jìn)行授權(quán)管理；對(duì)需要使用無(wú)線(xiàn)網(wǎng)絡(luò)設(shè)備，通過(guò)綁定其MAC地址授權(quán)訪(fǎng)問(wèn)，其她人員不容許通過(guò)公司無(wú)線(xiàn)網(wǎng)絡(luò)上網(wǎng)。如有已授權(quán)訪(fǎng)問(wèn)設(shè)備，取消授權(quán)，應(yīng)即時(shí)對(duì)其MAC地址解綁。筆記本使用及安全配備規(guī)定筆記本電腦設(shè)備必要有嚴(yán)格口令訪(fǎng)問(wèn)控制辦法，口令設(shè)立需滿(mǎn)足公司安全方略規(guī)定。對(duì)無(wú)人看守筆記本電腦設(shè)備必要實(shí)行物理保護(hù)，必要放在帶鎖辦公室、抽屜或文獻(xiàn)柜里。重要業(yè)務(wù)筆記本電腦設(shè)備丟失或被竊后應(yīng)及時(shí)報(bào)告給部門(mén)經(jīng)理和行政部。凡帶出公司使用而遺失、被偷盜等均由個(gè)人負(fù)全責(zé)補(bǔ)償。除自然損壞外，凡人為損壞（如撞壞、跌壞、電源插錯(cuò)燒壞等）由本人負(fù)責(zé)修好，費(fèi)用由個(gè)人承擔(dān)。筆記本電腦中除工作所需軟件外，不得安裝與工作無(wú)關(guān)軟件。授權(quán)使用筆記本電腦設(shè)備必要安裝公司規(guī)定防病毒軟件。各部門(mén)對(duì)筆記本電腦設(shè)備定期進(jìn)行一次病毒軟件和操作系統(tǒng)補(bǔ)丁自檢，行政部進(jìn)行不定期抽查。筆記本電腦外出時(shí)禁止托運(yùn)，必要隨身攜帶。筆記本電腦上重要資料應(yīng)即時(shí)做好備份，防止意外丟失。備份設(shè)備或介質(zhì)應(yīng)符合《信息資產(chǎn)分類(lèi)分級(jí)管理制度》中保護(hù)規(guī)定。外部人員使用筆記本規(guī)定出于安全考慮，普通不予考慮來(lái)訪(fǎng)人員接入公司內(nèi)部網(wǎng)絡(luò)。服務(wù)器安全控制引用文獻(xiàn)：《訊鳥(niǎo)服務(wù)器安全管理規(guī)范》實(shí)行方略訪(fǎng)問(wèn)控制制度涉及涉及《重要服務(wù)器-應(yīng)用系統(tǒng)清單》《重要應(yīng)用系統(tǒng)權(quán)限評(píng)審表》。顧客申請(qǐng)權(quán)限時(shí)，填寫(xiě)有關(guān)系統(tǒng)申請(qǐng)表。每季度評(píng)審并填寫(xiě)《重要應(yīng)用系統(tǒng)權(quán)限評(píng)審表》。有關(guān)記錄序號(hào)記錄名稱(chēng)保存期限保存形式備注1重要服務(wù)器-應(yīng)用系統(tǒng)清單三年電子2重要應(yīng)用系統(tǒng)權(quán)限評(píng)審表三年電子文檔編號(hào)（由總裁辦填寫(xiě)）密級(jí)內(nèi)部公開(kāi) 文檔發(fā)布級(jí)別公司級(jí)文檔發(fā)布及實(shí)行范疇全員制度試行日期（可選）制度執(zhí)行日期文檔起草人簽字：日期：文檔修訂人簽字：日期：修訂闡明合并網(wǎng)絡(luò)、網(wǎng)絡(luò)服務(wù);增長(zhǎng)了通過(guò)VPN訪(fǎng)問(wèn)描述，增強(qiáng)了控制方略。備注：文檔負(fù)責(zé)人：簽字：日期：文檔審批信息安全管理者代表簽字：日期：文檔審批人簽字：日期：五、密碼控制管理制度目和范疇為保證安全成為所開(kāi)發(fā)信息系統(tǒng)一種有機(jī)構(gòu)成某些，保證開(kāi)發(fā)過(guò)程安全，特制定本制度。合用于我司所有信息系統(tǒng)開(kāi)發(fā)活動(dòng)，信息系統(tǒng)內(nèi)在安全性管理。本制度作為軟件開(kāi)發(fā)項(xiàng)目管理規(guī)定補(bǔ)充，而不是作為軟件開(kāi)發(fā)項(xiàng)目管理整體規(guī)范。引用文獻(xiàn)下列文獻(xiàn)中條款通過(guò)本規(guī)定引用而成為本規(guī)定條款。凡是注日期引用文獻(xiàn)，其隨后所有修改單（不涉及勘誤內(nèi)容）或修訂版均不合用于本原則，然而，勉勵(lì)各部門(mén)研究與否可使用這些文獻(xiàn)最新版本。凡是不注日期引用文獻(xiàn)，其最新版本合用于本原則。GB/T22080-/ISO/IEC27001：信息技術(shù)-安全技術(shù)-信息安全管理體系規(guī)定GB/T22081-/ISO/IEC27002：信息技術(shù)-安全技術(shù)-信息安全管理實(shí)行細(xì)則職責(zé)和權(quán)限開(kāi)發(fā)部門(mén)：保證恰當(dāng)和有效地使用密碼技術(shù)以保護(hù)信息保密性、真實(shí)性和（或）完整性。密碼控制4.1使用密碼控制方略控制描述應(yīng)開(kāi)發(fā)和實(shí)行使用密碼控制辦法來(lái)保護(hù)信息方略。實(shí)行指南制定密碼方略時(shí)，應(yīng)考慮下列（但不但限于）內(nèi)容：組織間使用密碼控制管理辦法，涉及保護(hù)業(yè)務(wù)信息普通原則；使用加密技術(shù)保護(hù)通過(guò)可移動(dòng)介質(zhì)、設(shè)備或者通過(guò)通信線(xiàn)路傳播敏感信息；基于風(fēng)險(xiǎn)評(píng)估，應(yīng)擬定需要保護(hù)級(jí)別，并考慮需要加密算法類(lèi)型、強(qiáng)度和質(zhì)量；加密也許帶來(lái)不利影響。由于某些控制辦法依賴(lài)于內(nèi)容檢查（例如病毒檢測(cè)等），規(guī)定數(shù)據(jù)處在未加密狀態(tài)。3)顧客口令管理初始密碼在創(chuàng)立顧客時(shí)設(shè)定，初次登錄時(shí)操作系統(tǒng)或者管理員必要強(qiáng)制修改密碼，不能使用缺省設(shè)立密碼。初始密碼樣本：orient11顧客忘掉口令時(shí)，管理員必要在對(duì)該顧客進(jìn)行恰當(dāng)身份辨認(rèn)后才干向其提供暫時(shí)口令。在向顧客提供暫時(shí)口令時(shí)，必要采用加密或其她安全傳播途徑，以保證初始密碼不會(huì)被半途截取。不容許在計(jì)算機(jī)系統(tǒng)上以無(wú)保護(hù)形式存儲(chǔ)口令。對(duì)于泄漏口令導(dǎo)致?lián)p失，由顧客本人負(fù)責(zé)。不準(zhǔn)與其她人互相借用各類(lèi)工作賬號(hào)。測(cè)試環(huán)境賬號(hào)與生產(chǎn)環(huán)境賬號(hào)使用不同口令。4)口令使用顧客應(yīng)保證口令安全，不得向其她任何人泄漏。應(yīng)避免在紙上記錄口令，或以明文方式記錄計(jì)算機(jī)內(nèi)。一旦有跡象表白系統(tǒng)或口令也許遭到破壞時(shí)，應(yīng)及時(shí)更改口令?？诹钸x取應(yīng)參照如下規(guī)則：至少要有8個(gè)字符，且為數(shù)字和字母組合。密碼不可包括顧客帳號(hào)名稱(chēng)所有或某些文字。不要使用別人可以通過(guò)個(gè)人有關(guān)信息（如姓名、電話(huà)號(hào)碼、生日等）容易猜出或破解口令。不要持續(xù)使用同一字符，不要所有使用數(shù)字，也不要所有使用字母，不要用英文單詞或重要記念日。系統(tǒng)顧客至少每季度更改一次口令，避免再次使用舊口令或半年內(nèi)循環(huán)使用舊口令。檢查重要服務(wù)器系統(tǒng)口令與否定期進(jìn)行更改。初次登錄時(shí)應(yīng)更改暫時(shí)口令。不要在任何自動(dòng)登錄程序中使用口令，如在宏或功能鍵中存儲(chǔ)。不要共享個(gè)人顧客口令。4.2密鑰管理控制描述應(yīng)有密鑰管理以支持組織使用密碼技術(shù)。實(shí)行指南應(yīng)保護(hù)所有密碼密鑰免遭修改、丟失和毀壞。此外，密碼和私有密鑰需要防范非授權(quán)泄露。用來(lái)生成、存儲(chǔ)和歸檔密鑰設(shè)備應(yīng)進(jìn)行物理保護(hù)。對(duì)于某些部門(mén)所使用USBKEY密鑰必要做到專(zhuān)人保管、專(zhuān)人使用，不用時(shí)必要放置在保險(xiǎn)柜內(nèi)或帶鎖鐵柜中妥善保管。軟件密鑰或證書(shū)須專(zhuān)人管理分發(fā)。4.3敏感數(shù)據(jù)加密1)控制描述組織就對(duì)敏感數(shù)據(jù)制定傳播全程加密和保存進(jìn)行加密制度，對(duì)敏感字段也要進(jìn)行加密保存2）實(shí)行指南應(yīng)保護(hù)所有敏感數(shù)據(jù)免遭修改、丟失、泄漏。對(duì)敏感數(shù)據(jù)內(nèi)敏感字段須加密保存。傳播過(guò)程是規(guī)定全程不落地傳播。在程序自動(dòng)執(zhí)行傳播過(guò)程中，組織應(yīng)定義對(duì)敏感數(shù)據(jù)進(jìn)行全程加密和不落地傳播方案，并加以執(zhí)行。文檔編號(hào)（由總裁辦填寫(xiě)）密級(jí)內(nèi)部公開(kāi)文檔發(fā)布級(jí)別公司級(jí)文檔發(fā)布及實(shí)行范疇全員制度試行日期（可選）制度執(zhí)行日期文檔起草人簽字：日期：文檔修訂人：簽字：日期：修訂闡明：備注：文檔負(fù)責(zé)人：簽字：日期：文檔審批信息安全管理者代表簽字：日期：文檔審批人簽字：日期：六、操作安全管理補(bǔ)丁管理總則1.1為加強(qiáng)公司補(bǔ)丁管理，規(guī)范補(bǔ)丁布置流程，保證信息系統(tǒng)補(bǔ)丁及時(shí)更新，保證公司公司信息網(wǎng)絡(luò)安全穩(wěn)定運(yùn)營(yíng)，特制定本規(guī)定。1.2本規(guī)定所涉及補(bǔ)丁涉及操作系統(tǒng)補(bǔ)丁、數(shù)據(jù)庫(kù)補(bǔ)丁和應(yīng)用系統(tǒng)補(bǔ)丁。合用范疇本規(guī)定合用范疇為東方中安信息技術(shù)有限公司公司。職責(zé)分工3.1操作系統(tǒng)補(bǔ)丁管理員3.1.1負(fù)責(zé)各操作系統(tǒng)（含瀏覽器、辦公軟件）補(bǔ)丁管理。3.1.2負(fù)責(zé)收集操作系統(tǒng)漏洞信息，跟蹤最新補(bǔ)丁信息，評(píng)估漏洞威脅、成因和嚴(yán)重性。3.1.3負(fù)責(zé)提出操作系統(tǒng)漏洞修補(bǔ)規(guī)定和有關(guān)防護(hù)辦法審批變更籌劃。3.2數(shù)據(jù)庫(kù)補(bǔ)丁管理員3.2.1負(fù)責(zé)各數(shù)據(jù)庫(kù)補(bǔ)丁管理。3.2.2負(fù)責(zé)收集數(shù)據(jù)庫(kù)漏洞信息，跟蹤最新補(bǔ)丁信息，評(píng)估漏洞威脅、成因和嚴(yán)重性。3.2.3負(fù)責(zé)提出數(shù)據(jù)庫(kù)漏洞修補(bǔ)規(guī)定和有關(guān)防護(hù)辦法，審批變更籌劃。3.3應(yīng)用系統(tǒng)補(bǔ)丁管理員3.3.1負(fù)責(zé)各應(yīng)用系統(tǒng)（含中間件）補(bǔ)丁管理。3.3.2負(fù)責(zé)收集應(yīng)用系統(tǒng)漏洞信息，跟蹤最新補(bǔ)丁信息。評(píng)估漏洞威脅、成因和嚴(yán)重性。3.3.3負(fù)責(zé)提出應(yīng)用系統(tǒng)漏洞修補(bǔ)規(guī)定和有關(guān)防護(hù)辦法，審批變更籌劃。3.4補(bǔ)丁測(cè)試員3.4.1負(fù)責(zé)搭建測(cè)試環(huán)境，負(fù)責(zé)測(cè)試補(bǔ)丁和測(cè)試成果記錄。3.4.2負(fù)責(zé)跟蹤最新補(bǔ)丁信息和下載補(bǔ)丁。3.5補(bǔ)丁安裝員3.5.1負(fù)責(zé)補(bǔ)丁安裝或分發(fā)，負(fù)責(zé)制定補(bǔ)丁修補(bǔ)籌劃。3.5.2負(fù)責(zé)解決補(bǔ)丁安裝或分發(fā)過(guò)程中浮現(xiàn)問(wèn)題。補(bǔ)丁管理4.1補(bǔ)丁由測(cè)試部或系統(tǒng)服務(wù)部統(tǒng)一進(jìn)行下載、測(cè)試和安裝，重要一級(jí)二級(jí)硬件或系統(tǒng)，未經(jīng)允許不可擅自下載安裝補(bǔ)丁。4.2補(bǔ)丁來(lái)源須為原廠(chǎng)商官方網(wǎng)站或原廠(chǎng)商工作人員，對(duì)于非法補(bǔ)丁禁止安裝。4.34.3補(bǔ)丁安裝前應(yīng)先做好系統(tǒng)和數(shù)據(jù)備份工作，避免浮現(xiàn)問(wèn)題進(jìn)行回退。經(jīng)嚴(yán)格測(cè)試通過(guò)后方可安裝。對(duì)測(cè)試不成功補(bǔ)丁禁止安裝，測(cè)試成果登記表見(jiàn)《補(bǔ)丁安裝籌劃和實(shí)行方案》。4.4測(cè)試中發(fā)現(xiàn)問(wèn)題應(yīng)做詳細(xì)分析，判斷發(fā)生問(wèn)題因素并及時(shí)解決如果不能解決，須記錄發(fā)生問(wèn)題環(huán)境，及時(shí)反饋給原廠(chǎng)商。4.5對(duì)于剛發(fā)布嚴(yán)重級(jí)別漏洞，無(wú)補(bǔ)丁或未通過(guò)測(cè)試補(bǔ)丁，可采用暫時(shí)解決辦法消除漏洞威脅或者暫時(shí)接受該風(fēng)險(xiǎn)。4.6制定補(bǔ)丁修補(bǔ)籌劃須先分析信息資產(chǎn)、IT系統(tǒng)環(huán)境、IT網(wǎng)絡(luò)環(huán)境和信息資產(chǎn)重要級(jí)別，擬定需要安裝補(bǔ)丁和相應(yīng)嚴(yán)重級(jí)別，同步明確修補(bǔ)時(shí)間、修補(bǔ)方式和修補(bǔ)范疇。4.7補(bǔ)丁安裝須先填寫(xiě)變更工單，或工作票。相應(yīng)補(bǔ)丁管理員和應(yīng)用系統(tǒng)管理員對(duì)變更必要性、風(fēng)險(xiǎn)和修補(bǔ)籌劃進(jìn)行評(píng)審，評(píng)審?fù)ㄟ^(guò)后由應(yīng)用系統(tǒng)管理員安排各級(jí)系統(tǒng)服務(wù)人員全過(guò)程配合補(bǔ)丁安裝員完畢補(bǔ)丁安裝和應(yīng)用系統(tǒng)測(cè)試。4.8補(bǔ)丁安裝順序遵循“資產(chǎn)價(jià)值大、威脅級(jí)別高優(yōu)先安裝”原則。對(duì)于漏洞級(jí)別為嚴(yán)重補(bǔ)丁，無(wú)特殊狀況須在補(bǔ)丁發(fā)布后1星期內(nèi)安裝。4.9補(bǔ)丁安裝完畢后應(yīng)進(jìn)行全面檢查，以確認(rèn)補(bǔ)丁安裝狀況，同步制定補(bǔ)丁清單列表。附則文檔編號(hào)（由總裁辦填寫(xiě)）密級(jí)內(nèi)部公開(kāi)文檔發(fā)布級(jí)別公司級(jí)文檔發(fā)布及實(shí)行范疇制度試行日期（可選）制度執(zhí)行日期文檔起草人簽字：日期：文檔修訂人：簽字：日期：修訂闡明：備注：文檔負(fù)責(zé)人：簽字：日期：文檔審批信息安全管理者代表簽字：日期：文檔審批人簽字：日期：防范病毒及惡意軟件管理規(guī)定目和范疇為了加強(qiáng)對(duì)計(jì)算機(jī)病毒防止和治理，保護(hù)計(jì)算機(jī)系統(tǒng)安全，保障計(jì)算機(jī)系統(tǒng)應(yīng)用與發(fā)展，特制定本規(guī)定。引用文獻(xiàn)下列文獻(xiàn)中條款通過(guò)本規(guī)定引用而成為本規(guī)定條款。凡是注日期引用文獻(xiàn)，其隨后所有修改單（不涉及勘誤內(nèi)容）或修訂版均不合用于本原則，然而，勉勵(lì)各部門(mén)研究與否可使用這些文獻(xiàn)最新版本。凡是不注日期引用文獻(xiàn)，其最新版本合用于本原則。GB/T22080-/ISO/IEC27001：信息技術(shù)-安全技術(shù)-信息安全管理體系規(guī)定GB/T22081-/ISO/IEC27002：信息技術(shù)-安全技術(shù)-信息安全管理實(shí)行細(xì)則《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》《信息安全事件管理制度》職責(zé)和權(quán)限信息安全工作小組：是公司病毒和惡意軟件防治管理部門(mén)，負(fù)責(zé)公司計(jì)算機(jī)病毒及惡意軟件防治管理工作，建立公司計(jì)算機(jī)病毒防治管理制度。采用計(jì)算機(jī)病毒安全技術(shù)防治辦法。對(duì)公司計(jì)算機(jī)信息系統(tǒng)使用人員進(jìn)行計(jì)算機(jī)病毒防治教誨，及時(shí)檢測(cè)、清除計(jì)算機(jī)信息系統(tǒng)中計(jì)算機(jī)病毒，并備有檢測(cè)、清除記錄。病毒防治管理任何部門(mén)和個(gè)人必要在所管轄計(jì)算機(jī)（涉及虛擬系統(tǒng)，筆記本電腦）中安裝殺毒軟件。信息安全工作小組每月對(duì)各部門(mén)PC機(jī)和筆記本電腦查殺毒狀況進(jìn)行抽查。當(dāng)系統(tǒng)服務(wù)部或測(cè)試部發(fā)現(xiàn)重大系統(tǒng)漏洞時(shí)，將下發(fā)系統(tǒng)補(bǔ)丁安裝告知，信息安全小組負(fù)責(zé)收集和反饋安裝狀況。任何部門(mén)和個(gè)人不得有下列傳播計(jì)算機(jī)病毒行為：故意輸入計(jì)算機(jī)病毒，危害計(jì)算機(jī)信息系統(tǒng)安全。向她人提供具有計(jì)算機(jī)病毒文獻(xiàn)、軟件、媒體。其她傳播計(jì)算機(jī)病毒行為。任何部門(mén)和個(gè)人應(yīng)當(dāng)接受對(duì)計(jì)算機(jī)病毒防治工作監(jiān)督、檢查和指引。任何部門(mén)和個(gè)人有違背本辦法規(guī)定，將予以警告，并責(zé)令其限期改正，逾期不改正或因違背本辦法規(guī)定而引起如計(jì)算機(jī)信息系統(tǒng)癱瘓、程序和數(shù)據(jù)嚴(yán)重破壞等重大事故，按公司《信息安全事件管理制度》等有關(guān)規(guī)定解決。個(gè)人電腦必要啟用防火墻控制安全。惡意軟件管理所有計(jì)算機(jī)（涉及服務(wù)器和個(gè)人電腦）都使用殺毒軟件對(duì)惡意軟件進(jìn)行防護(hù)和檢查，并將軟件設(shè)立為自動(dòng)升級(jí)病毒庫(kù)。自管服務(wù)器負(fù)責(zé)人需要定期對(duì)服務(wù)器病毒庫(kù)及掃描內(nèi)容進(jìn)行檢查并記錄。員工使用殺毒軟件對(duì)個(gè)人電腦進(jìn)行掃描，每季度至少一次。實(shí)行方略信息安全工作小組抽查各部門(mén)個(gè)人電腦查殺病毒狀況，每月進(jìn)行一次，填寫(xiě)《電腦防病毒及軟件表》。有關(guān)記錄序號(hào)記錄名稱(chēng)保存期限保存形式備注1電腦防病毒及軟件表（賽門(mén)鐵克）三年電子文檔編號(hào)（由總裁辦填寫(xiě)）密級(jí)內(nèi)部公開(kāi)文檔發(fā)布級(jí)別公司級(jí)文檔發(fā)布及實(shí)行范疇全員制度試行日期（可選）制度執(zhí)行日期文檔起草人簽字：日期：文檔修訂人：簽字：日期：修訂闡明：備注：文檔負(fù)責(zé)人：簽字：日期：文檔審批信息安全管理者代表簽字：日期：文檔審批人簽字：日期：軟件管理規(guī)定目和范疇為加強(qiáng)公司設(shè)備安裝軟件管理，特制定本規(guī)定。引用文獻(xiàn)職責(zé)和權(quán)限系統(tǒng)服務(wù)部：是辦公軟件歸口管理部門(mén)，負(fù)責(zé)每個(gè)季度對(duì)公司辦公軟件安裝狀況進(jìn)行檢查。各開(kāi)發(fā)和測(cè)試部：是開(kāi)發(fā)類(lèi)軟件管理部門(mén)。軟件管理3.1收集公司內(nèi)軟件來(lái)源重要有如下幾種方面：購(gòu)買(mǎi)商業(yè)軟件；自主開(kāi)發(fā)內(nèi)部應(yīng)用軟件；免費(fèi)軟件下載；系統(tǒng)服務(wù)某些發(fā)辦公軟件。3.2登記信息安全工作小組登記分發(fā)辦公軟件、公司購(gòu)買(mǎi)商業(yè)軟件安裝狀況。各部門(mén)負(fù)責(zé)《電腦防病毒及軟件表》填寫(xiě)。3.3商業(yè)軟件歸檔和存儲(chǔ)購(gòu)買(mǎi)商業(yè)軟件由公司自行歸檔和存儲(chǔ)。購(gòu)買(mǎi)商業(yè)軟件統(tǒng)一存儲(chǔ)于指定位置。磁盤(pán)文獻(xiàn)存儲(chǔ)于指定存儲(chǔ)空間中，由專(zhuān)人負(fù)責(zé)整頓，各軟件建立獨(dú)立文獻(xiàn)夾，標(biāo)記明確清晰，并做好軟件備份工作。光盤(pán)統(tǒng)一存儲(chǔ)入文獻(xiàn)柜中，并有明顯易辨認(rèn)標(biāo)記，便于整頓和取用。3.4開(kāi)源軟件管理3.4.1開(kāi)源軟件選取根據(jù)：(1)開(kāi)源合同謹(jǐn)慎使用GPL合同，GPL合同規(guī)定使用了該開(kāi)源庫(kù)代碼也必要遵循GPL合同，即開(kāi)源和免費(fèi)。(2)功能、文檔、穩(wěn)定性、擴(kuò)展性功能與否能滿(mǎn)足業(yè)務(wù)需求，與否足夠穩(wěn)定(穩(wěn)定性測(cè)試)、文檔與否齊全、擴(kuò)展性與否足夠。性能規(guī)定較高庫(kù)需要性能對(duì)比測(cè)試。

(3)源碼修改a.個(gè)性化業(yè)務(wù)帶來(lái)修改

盡量使用Wrap方式，而不要直接改源碼。實(shí)在繞不開(kāi)，可在Git上打上Tag，并注明詳細(xì)因素。

b.通用需求修改

按源項(xiàng)目規(guī)定修改代碼，反饋回開(kāi)源社區(qū)，祈求合并進(jìn)主分支。

源代碼修改原則：不要讓clone副本變成孤島。(4)其她與否附有構(gòu)建腳本（buildscript）該開(kāi)源項(xiàng)目小組與否持續(xù)使用同一集成開(kāi)發(fā)環(huán)境。該開(kāi)源項(xiàng)目與否有清晰roadmap。該項(xiàng)目與否設(shè)有問(wèn)題跟蹤器（issuetracker）？與否不久就有社區(qū)補(bǔ)丁推出？在社區(qū)中，關(guān)于該項(xiàng)目問(wèn)題反饋與否迅速？其她開(kāi)發(fā)者與否樂(lè)于使用該開(kāi)源項(xiàng)目，在社區(qū)中關(guān)于該項(xiàng)目知識(shí)技巧與否不久傳播。有多少活躍項(xiàng)目貢獻(xiàn)者？版本號(hào)管理與否清晰？對(duì)于來(lái)自社區(qū)詳細(xì)需求，該項(xiàng)目改進(jìn)和集成狀況？3.4.2開(kāi)源項(xiàng)目原則(1)適當(dāng)文獻(xiàn)和代碼適當(dāng)文獻(xiàn)指是要有自己gitignore，適當(dāng)代碼是指代碼要符合代碼規(guī)范（如很簡(jiǎn)樸四空格縮進(jìn)諸多Java開(kāi)源項(xiàng)目都做不到）。

(2)README.mdREADME.md是一種項(xiàng)目必不可少，其中規(guī)定示例、文檔、引用方式、開(kāi)源Licence齊全。對(duì)Android來(lái)說(shuō)示例也許涉及DemoAPK、截圖。引用方式可以是Maven和Gradle引用方式。

軟件使用各部門(mén)負(fù)責(zé)軟件使用，如有問(wèn)題及時(shí)反饋給信息安全工作小組。個(gè)人電腦辦公軟件首選安裝wps辦公軟件和任一款主流殺毒軟件。未經(jīng)允許，任何人不得將內(nèi)部使用軟件外帶、傳播、販賣(mài)，不得將軟件用于任何違法或非合法用途。計(jì)算機(jī)設(shè)備使用人員不得使用計(jì)算機(jī)設(shè)備解決正常工作以外事務(wù)，不得擅自變化計(jì)算機(jī)安全配備，不得擅自安裝與工作無(wú)關(guān)軟件。有關(guān)記錄序號(hào)記錄名稱(chēng)保存期限保存形式備注1電腦防病毒及軟件表三年紙質(zhì)/電子文檔編號(hào)（由總裁辦填寫(xiě)）密級(jí)內(nèi)部公開(kāi)文檔發(fā)布級(jí)別公司級(jí)文檔發(fā)布及實(shí)行范疇全員制度試行日期（可選）制度執(zhí)行日期文檔起草人簽字：日期：文檔修訂人：簽字：日期：修訂闡明：備注：文檔負(fù)責(zé)人：簽字：日期：文檔審批信息安全管理者代表簽字：日期：文檔審批人簽字：日期：數(shù)據(jù)備份管理規(guī)定目和范疇為保證數(shù)據(jù)完整性及有效性，以便在發(fā)生信息安全事故時(shí)可以精確及時(shí)恢復(fù)數(shù)據(jù)，避免業(yè)務(wù)中斷，特制定本規(guī)定。引用文獻(xiàn)下列文獻(xiàn)中條款通過(guò)本規(guī)定引用而成為本規(guī)定條款。凡是注日期引用文獻(xiàn)，其隨后所有修改單（不涉及勘誤內(nèi)容）或修訂版均不合用于本原則，然而，勉勵(lì)各部門(mén)研究與否可使用這些文獻(xiàn)最新版本。凡是不注日期引用文獻(xiàn)，其最新版本合用于本原則。GB/T22080-/ISO/IEC27001：信息技術(shù)-安全技術(shù)-信息安全管理體系規(guī)定職責(zé)和權(quán)限各部門(mén)：負(fù)責(zé)對(duì)各自部門(mén)重要信息進(jìn)行有關(guān)備份工作。備份管理4.1數(shù)據(jù)類(lèi)型各部門(mén)依照業(yè)務(wù)實(shí)際狀況，辨認(rèn)需要備份數(shù)據(jù)。備份數(shù)據(jù)包括但不但限于各部門(mén)核心業(yè)務(wù)數(shù)據(jù)。涉及部門(mén)備份數(shù)據(jù)如下：服務(wù)部：項(xiàng)目資料人力資源部：培訓(xùn)資料、合同財(cái)務(wù)部：財(cái)務(wù)系統(tǒng)賬套研發(fā)服務(wù)體系：源代碼4.2備份過(guò)程人力資源部由專(zhuān)人負(fù)責(zé)合同備份，定期將合同掃描，備份到U盤(pán)并妥善保管；人力資源部由專(zhuān)人負(fù)責(zé)培訓(xùn)資料備份，浮現(xiàn)新增內(nèi)容時(shí)，將所有培訓(xùn)資料備份到U盤(pán)并妥善保管；財(cái)務(wù)部財(cái)務(wù)賬套由財(cái)務(wù)部自行進(jìn)行備份；研發(fā)部源代碼均通過(guò)SVN或VSS服務(wù)器集中管理，服務(wù)器備份工作由系統(tǒng)服務(wù)部負(fù)責(zé)；生產(chǎn)系統(tǒng)備份數(shù)據(jù)存儲(chǔ)于NAS或其她存儲(chǔ)設(shè)備上，有關(guān)設(shè)備放置于安全區(qū)域，由系統(tǒng)服務(wù)部負(fù)責(zé)。每一月做一次恢復(fù)性測(cè)試。文檔編號(hào)（由總裁辦填寫(xiě)）密級(jí)內(nèi)部公開(kāi)文檔發(fā)布級(jí)別公司級(jí)文檔發(fā)布及實(shí)行范疇全員制度試行日期（可選）制度執(zhí)行日期文檔起草人簽字：日期：文檔修訂人：簽字：日期：修訂闡明：備注：文檔負(fù)責(zé)人：簽字：日期：文檔審批信息安全管理者代表簽字：日期：文檔審批人簽字：日期：系統(tǒng)監(jiān)控管理規(guī)定目理解服務(wù)器運(yùn)營(yíng)狀態(tài)，檢測(cè)未經(jīng)授權(quán)信息解決活動(dòng)，為安全事故提供證據(jù)，保證業(yè)務(wù)系統(tǒng)穩(wěn)定性、可靠性、安全性。引用文獻(xiàn)下列文獻(xiàn)中條款通過(guò)本規(guī)定引用而成為本規(guī)定條款。凡是注日期引用文獻(xiàn)，其隨后所有修改單（不涉及勘誤內(nèi)容）或修訂版均不合用于本原則，然而，勉勵(lì)各部門(mén)研究與否可使用這些文獻(xiàn)最新版本。凡是不注日期引用文獻(xiàn)，其最新版本合用于本原則。GB/T22080-/ISO/IEC27001：信息技術(shù)-安全技術(shù)-信息安全管理體系規(guī)定GB/T22081-/ISO/IEC27002：信息技術(shù)-安全技術(shù)-信息安全管理實(shí)行細(xì)則職責(zé)和權(quán)限系統(tǒng)服務(wù)部：負(fù)責(zé)公司網(wǎng)絡(luò)和系統(tǒng)訪(fǎng)問(wèn)活動(dòng)監(jiān)控管理。系統(tǒng)監(jiān)控管理4.1日記分類(lèi)需監(jiān)控日記涉及但不但限于如下類(lèi)型：服務(wù)器事件日記管理員和操作員日記運(yùn)營(yíng)中心監(jiān)控人員定期進(jìn)行日記檢查。4.2日記管理只有超級(jí)顧客可以訪(fǎng)問(wèn)和管理日記文獻(xiàn)。由系統(tǒng)服務(wù)部管理員定期對(duì)服務(wù)器日記進(jìn)行檢查、解決，并記錄確認(rèn)需要啟動(dòng)審計(jì)項(xiàng)目，服務(wù)器操作系統(tǒng)要依照安全需求啟動(dòng)安全日記審計(jì)功能，并對(duì)系統(tǒng)管理員構(gòu)成員系統(tǒng)活動(dòng)進(jìn)行審計(jì)。4.3容量管理系統(tǒng)管理員擬定檢查頻率，監(jiān)控人員定期登錄系統(tǒng)查看CPU，硬盤(pán)、內(nèi)存使用狀況，發(fā)現(xiàn)問(wèn)題時(shí)第一時(shí)間告知各產(chǎn)品線(xiàn)負(fù)責(zé)人。管理員要做防止性維護(hù)，在服務(wù)器沒(méi)有業(yè)務(wù)操作時(shí)，每月對(duì)服務(wù)器重起，防止服務(wù)器內(nèi)存泄露，防止系統(tǒng)意外崩潰；并查看服務(wù)器重起后所有服務(wù)與否啟動(dòng),業(yè)務(wù)系統(tǒng)與否正常運(yùn)營(yíng)。4.4時(shí)鐘同步設(shè)立時(shí)鐘同步，服務(wù)器及監(jiān)控設(shè)備應(yīng)保持時(shí)鐘一致性，公司配備時(shí)鐘服務(wù)器，其她設(shè)備通過(guò)NTP服務(wù)與時(shí)鐘服務(wù)器同步。所有生產(chǎn)系統(tǒng)時(shí)鐘同步工作由系統(tǒng)管理員完畢。5.有關(guān)記錄序號(hào)記錄名稱(chēng)保存期限保存形式備注1日記檢查評(píng)審記錄三年紙質(zhì)/電子2重要服務(wù)器容量監(jiān)控評(píng)審表三年紙質(zhì)/電子3重要服務(wù)器和設(shè)備日記明細(xì)表三年紙質(zhì)/電子文檔編號(hào)（由總裁辦填寫(xiě)）密級(jí)內(nèi)部公開(kāi)文檔發(fā)布級(jí)別公司級(jí)文檔發(fā)布及實(shí)行范疇制度試行日期（可選）制度執(zhí)行日期文檔起草人簽字：日期：文檔修訂人：簽字：日期：修訂闡明：備注：文檔負(fù)責(zé)人：簽字：日期：文檔審批信息安全管理者代表簽字：日期：文檔審批人簽字：日期：七、通信安全通信安全管理規(guī)定目的通過(guò)控制網(wǎng)絡(luò)訪(fǎng)問(wèn)權(quán)限以及公司與外部信息傳遞，防止對(duì)辦公網(wǎng)系統(tǒng)和應(yīng)用系統(tǒng)非法訪(fǎng)問(wèn)。引用文獻(xiàn)下列文獻(xiàn)中條款通過(guò)本規(guī)定引用而成為本規(guī)定條款。凡是注日期引用文獻(xiàn)，其隨后所有修改單（不涉及勘誤內(nèi)容）或修訂版均不合用于本原則，然而，勉勵(lì)各部門(mén)研究與否可使用這些文獻(xiàn)最新版本。凡是不注日期引用文獻(xiàn)，其最新版本合用于本原則。GB/T22080-/ISO/IEC27001：信息技術(shù)-安全技術(shù)-信息安全管理體系規(guī)定GB/T22081-/ISO/IEC27002：信息技術(shù)-安全技術(shù)-信息安全管理實(shí)行細(xì)則職責(zé)和權(quán)限各部門(mén)必要遵循本管理規(guī)范實(shí)行對(duì)網(wǎng)絡(luò)、口令和權(quán)限管理，顧客必要按照本管理規(guī)范訪(fǎng)問(wèn)公司辦公網(wǎng)系統(tǒng)和應(yīng)用系統(tǒng)。Internet訪(fǎng)問(wèn)控制所有員工在工作時(shí)間禁止運(yùn)用公司網(wǎng)絡(luò)和互聯(lián)網(wǎng)專(zhuān)線(xiàn)訪(fǎng)問(wèn)違法網(wǎng)站及內(nèi)容?？蛻?hù)及第三方人員不容許直接通過(guò)可訪(fǎng)問(wèn)公司資源有線(xiàn)或無(wú)線(xiàn)網(wǎng)絡(luò)訪(fǎng)問(wèn)Internet，客戶(hù)及第三方人員如需訪(fǎng)問(wèn)Internet應(yīng)當(dāng)在專(zhuān)設(shè)隔離區(qū)進(jìn)行。網(wǎng)絡(luò)隔離公司與外部通過(guò)防火墻隔離，制定嚴(yán)格VLAN劃分，對(duì)公司內(nèi)重要部門(mén)訪(fǎng)問(wèn)進(jìn)行控制。系統(tǒng)服務(wù)部制定VLAN訪(fǎng)問(wèn)控制闡明。對(duì)不同應(yīng)用系統(tǒng)顧客信息及其她信息進(jìn)行網(wǎng)絡(luò)隔離。無(wú)線(xiàn)網(wǎng)絡(luò)訪(fǎng)問(wèn)管理服務(wù)部對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)進(jìn)行密碼控制管理；員工對(duì)密碼保密規(guī)定在《密碼控制管理制度》文獻(xiàn)里做詳細(xì)規(guī)定。信息交流控制辦法信息交流方式涉及數(shù)據(jù)交流、電子郵件、電話(huà)、紙質(zhì)文獻(xiàn)、談話(huà)、錄音、會(huì)議、傳真、短信、IM工具等；可交流信息，須符合《信息資產(chǎn)分類(lèi)分級(jí)管理制度》里密級(jí)規(guī)定;公司使用信息交流設(shè)施在安全性上應(yīng)符合國(guó)家信息安全有關(guān)法律法規(guī)、上級(jí)主管機(jī)關(guān)以及我司安全管理規(guī)定規(guī)定；對(duì)信息交流應(yīng)作恰當(dāng)防范，如不要暴露敏感信息，避免被通過(guò)電話(huà)偷聽(tīng)或截取；員工、合伙方以及任何其她顧客不得損害公司利益，如誹謗、騷擾、假冒、未經(jīng)授權(quán)采購(gòu)等；不得將敏感或核心信息放在打印設(shè)施上，如復(fù)印機(jī)、打印機(jī)和傳真，防止未經(jīng)授權(quán)人員訪(fǎng)問(wèn)；在使用電子通信設(shè)施進(jìn)行信息交流時(shí)，所考慮控制涉及：保護(hù)以附件形式傳播電子信息程序；有業(yè)務(wù)信件和消息保持和處置原則，要符合有關(guān)國(guó)家或地辦法規(guī)；在對(duì)外聯(lián)系中，應(yīng)注意安全保密，用Email發(fā)送機(jī)密信息必要符合公司有關(guān)規(guī)定；因工作需要而傳遞公司或項(xiàng)目保密文獻(xiàn)時(shí)，經(jīng)批準(zhǔn)后，可通過(guò)加密渠道傳遞；通過(guò)E-MAIL發(fā)送機(jī)密附件時(shí)，如有必要，附件必要加密，密碼通過(guò)其她方式告知對(duì)方。使用傳真人員注意下列問(wèn)題：故意或無(wú)意程序設(shè)定，向特定號(hào)碼發(fā)送信息；發(fā)送傳真時(shí)注意，禁止向錯(cuò)誤號(hào)碼發(fā)送文獻(xiàn)和信息，不要撥錯(cuò)號(hào)碼。所有員工訂立保密合同，在組織對(duì)信息安全需求有變化時(shí)進(jìn)行評(píng)審。文檔編號(hào)（由總裁辦填寫(xiě)）密級(jí)內(nèi)部公開(kāi)文檔發(fā)布級(jí)別公司級(jí)文檔發(fā)布及實(shí)行范疇全員制度試行日期（可選）制度執(zhí)行日期文檔起草人簽字：日期：文檔修訂人：簽字：日期：修訂闡明：備注：文檔負(fù)責(zé)人：簽字：日期：文檔審批信息安全管理者代表簽字：日期：文檔審批人簽字：日期：電子郵件管理規(guī)定目的維護(hù)公司以及個(gè)人信息安全性、保障郵件傳播可靠性、保持工作高效率，特制定本規(guī)定?？倓t1、公司對(duì)員工郵箱進(jìn)行統(tǒng)一規(guī)劃和管理。2、公司勉勵(lì)和倡導(dǎo)各下屬以及員工采用電子郵件進(jìn)行內(nèi)外交流。3、員工或部門(mén)以電子郵件對(duì)外聯(lián)系是必要提供公司提供、以相應(yīng)域名為后綴郵箱***@。4、公司郵箱顧客賬號(hào)名以員工中文姓名/英文姓名全拼/縮寫(xiě)字母為準(zhǔn)，如有重名，容許顧客自定義1-3位辨認(rèn)碼，已有賬號(hào)員工可保存原賬號(hào)不變。5、在職人員名片以及公司其她對(duì)外宣傳資料上必要印有公司域名為后綴郵件地址。管理權(quán)限和職責(zé)系統(tǒng)服務(wù)部：統(tǒng)一管理公司電子郵件服務(wù)器。人力資源部：負(fù)責(zé)電子郵件開(kāi)通、使用、維護(hù)和監(jiān)督檢查工作。使用郵箱顧客：應(yīng)純熟使用各種辦公軟件進(jìn)行郵件收發(fā)。郵箱管理流程1、郵箱開(kāi)通：?jiǎn)T工在入職時(shí)，辦理入職手續(xù)時(shí)，由人力資源部統(tǒng)一開(kāi)通。2、郵箱關(guān)閉：?jiǎn)T工因離職不再使用公司業(yè)務(wù)郵箱，由人力資源部執(zhí)行注銷(xiāo)，特殊人員郵箱賬號(hào)需要保存，需經(jīng)總經(jīng)理批準(zhǔn)后方可注銷(xiāo)。3、公司郵箱賬號(hào)限本人使用，禁止借用她人使用，禁止非工作用途將公司郵箱發(fā)布于外部網(wǎng)絡(luò)。4、如有需要，經(jīng)部門(mén)主管向人力資源部申請(qǐng)，可開(kāi)通部門(mén)郵箱。郵箱使用1、普通郵件內(nèi)容不應(yīng)超過(guò)10M，如需發(fā)送較大附件，建議將附件拆分后分發(fā)送。2、不得傳遞與本人工作無(wú)關(guān)以及有害社會(huì)、公司安定郵件。3、經(jīng)批準(zhǔn)用郵件訂閱報(bào)刊、新聞、論壇。4、部門(mén)員工可以向部門(mén)郵箱發(fā)送發(fā)給部門(mén)所有員工郵件。文檔編號(hào)（由總裁辦填寫(xiě)）密級(jí)內(nèi)部公開(kāi)文檔發(fā)布級(jí)別公司級(jí)文檔發(fā)布及實(shí)行范疇全員制度試行日期（可選）制度執(zhí)行日期文檔起草人簽字：日期：文檔修訂人：簽字：日期：修訂闡明：備注：文檔負(fù)責(zé)人：簽字：日期：文檔審批信息安全管理者代表簽字：日期：文檔審批人簽字：日期：信息安全交流控制制度目的解決組織與外部方之間業(yè)務(wù)信息安全傳播，保護(hù)通過(guò)使用各種類(lèi)型通信設(shè)施進(jìn)行信息傳播?？倓t1、公司對(duì)與外部組織或個(gè)人進(jìn)行信息傳播進(jìn)行統(tǒng)一規(guī)劃和管理。2、公司勉勵(lì)和倡導(dǎo)各下屬以及員工采用電子郵件進(jìn)行內(nèi)外交流，在采用了信息安全控制辦法狀況下，也可以使用其她方式對(duì)外進(jìn)行信息傳播。3、使用電子郵件應(yīng)符合《電子郵件管理規(guī)定》中有關(guān)規(guī)定。信息傳播安全控制辦法1、對(duì)傳播前信息進(jìn)行病毒掃描，防止病毒威脅擴(kuò)散。2、對(duì)一二級(jí)密級(jí)信息文獻(xiàn)須加密傳播。3、在使用任何通信手段前應(yīng)確認(rèn)接受方是真實(shí)可靠?？赏ㄟ^(guò)電話(huà)、短信等方式進(jìn)行身份驗(yàn)證。4、所傳播業(yè)務(wù)信息（涉及消息）保存和解決，要符合國(guó)家和地辦法律法規(guī)規(guī)定。信息傳播合同1、一級(jí)敏感信息采用全程不落地加密傳播方式進(jìn)行，對(duì)信息中敏感字段要進(jìn)行脫敏解決。對(duì)傳播完畢后源文獻(xiàn)，應(yīng)予以及時(shí)清除。2、對(duì)于二級(jí)敏感信息采用加密傳播方式進(jìn)行?？杀４娼?jīng)加密原文獻(xiàn)，未加密原文獻(xiàn)應(yīng)被清除。3、與外部交流重要信息，應(yīng)定義雙方辨認(rèn)標(biāo)記，進(jìn)行電子簽名，以辨認(rèn)信息來(lái)源，保證信息來(lái)源真實(shí)可靠。4、對(duì)重要信息交流，雙方需訂立交流合同，規(guī)定信息安全事態(tài)發(fā)生時(shí)責(zé)任和義務(wù)、以及有關(guān)保密責(zé)任和義務(wù)。5、信息系統(tǒng)或軟件自動(dòng)傳播需交流信息，須符合交流合同規(guī)定，并按密級(jí)保護(hù)規(guī)定操作。定期評(píng)審1、公司應(yīng)對(duì)信息安全交流管理以及信息安全管理體系每年度進(jìn)行一次安全評(píng)審2、公司應(yīng)與有關(guān)聯(lián)外部組織或內(nèi)部組織每年進(jìn)行一次信息安全管理溝通，以征求有關(guān)組織對(duì)公司信息安全評(píng)價(jià)，以便于改進(jìn)。3、公司與有關(guān)外部組織或內(nèi)部組織溝通狀況記入《信息安全管理體系意見(jiàn)表》，提交給信息安全管理領(lǐng)導(dǎo)小組，制定和貫徹整治辦法。文檔編號(hào)（由總裁辦填寫(xiě)）密級(jí)內(nèi)部公開(kāi)文檔發(fā)布級(jí)別公司級(jí)文檔發(fā)布及實(shí)行范疇全員制度試行日期（可選）制度執(zhí)行日期文檔起草人簽字：日期：文檔修訂人：簽字：日期：修訂闡明：備注：文檔負(fù)責(zé)人：簽字：日期：文檔審批信息安全管理者代表簽字：日期：文檔審批人簽字：日期：八、信息安全事件管理制度目和范疇為加強(qiáng)和改進(jìn)信息安全事件管理；在發(fā)生信息安全事件時(shí)能及時(shí)報(bào)告，迅速響應(yīng)，將損失控制在最小范疇；在發(fā)生信息安全事件后，可以分析事故因素及產(chǎn)生影響、反饋解決成果、吸取事故教訓(xùn)；在發(fā)現(xiàn)信息安全異?，F(xiàn)象時(shí)，能及時(shí)溝通，采用有效辦法，防止安全事故發(fā)生；特制定本管理制度。本制度合用于影響信息安全所有事故以及安全異?，F(xiàn)象以及全體人員（涉及外協(xié)人員、實(shí)習(xí)生、長(zhǎng)期客戶(hù)員工、來(lái)訪(fǎng)客戶(hù)等）。引用文獻(xiàn)下列文獻(xiàn)中條款通過(guò)本規(guī)定引用而成為本規(guī)定條款。凡是注日期引用文獻(xiàn)，其隨后所有修改單（不涉及勘誤內(nèi)容）或修訂版均不合用于本原則，然而，勉勵(lì)各部門(mén)研究與否可使用這些文獻(xiàn)最新版本。凡是不注日期引用文獻(xiàn)，其最新版本合用于本原則。GB/T22080-/ISO/IEC27001：信息技術(shù)-安全技術(shù)-信息安全管理體系規(guī)定GB/T22081-/ISO/IEC27002：信息技術(shù)-安全技術(shù)-信息安全管理實(shí)行細(xì)則《業(yè)務(wù)持續(xù)性管理制度》職責(zé)和權(quán)限信息安全管理領(lǐng)導(dǎo)小組：負(fù)責(zé)對(duì)內(nèi)部信息安全事件解決和獎(jiǎng)懲意見(jiàn)進(jìn)行審批；負(fù)責(zé)對(duì)糾正防止辦法進(jìn)行審批。信息安全工作小組：負(fù)責(zé)組織制定內(nèi)部信息安全事件解決制度；聽(tīng)取信息安全事件報(bào)告，負(fù)責(zé)對(duì)信息安全事件進(jìn)行調(diào)查取證，提出解決辦法，提出獎(jiǎng)懲意見(jiàn)以及糾正防止辦法，負(fù)責(zé)信息安全關(guān)于所有文獻(xiàn)管理與控制；負(fù)責(zé)組織制定項(xiàng)目信息安全事件解決制度；聽(tīng)取信息安全事件報(bào)告，負(fù)責(zé)對(duì)信息安全事件進(jìn)行調(diào)查取證，提出解決辦法，提出獎(jiǎng)懲意見(jiàn)以及糾正防止辦法，負(fù)責(zé)信息安全關(guān)于所有文獻(xiàn)管理與控制。各部門(mén)：積極防止信息安全事件發(fā)生；及時(shí)精確報(bào)告信息安全事件，配合信息安全事件調(diào)查取證工作；配合執(zhí)行解決辦法，獎(jiǎng)懲決定以及糾正防止辦法。異?，F(xiàn)象和事件發(fā)現(xiàn)人：異?，F(xiàn)象和事件發(fā)現(xiàn)人有義務(wù)及時(shí)精確地報(bào)告異?，F(xiàn)象和事件真實(shí)狀況，并采用恰當(dāng)暫時(shí)辦法制止事故進(jìn)一步擴(kuò)大。信息安全異?，F(xiàn)象4.1信息安全異?，F(xiàn)象定義信息安全異?，F(xiàn)象是指被辨認(rèn)一種系統(tǒng)、服務(wù)或網(wǎng)絡(luò)狀態(tài)發(fā)生，表白一次也許信息安全方略違規(guī)或某些防護(hù)辦法失效，或者一種也許與安全有關(guān)但此前不為人知一種狀況。4.2信息安全異?，F(xiàn)象解決流程圖1信息安全異常現(xiàn)象解決流程圖信息安全異?，F(xiàn)象解決流程：異常現(xiàn)象發(fā)現(xiàn)者應(yīng)及時(shí)上報(bào)信息安全工作小組，由工作小組指派相應(yīng)人員進(jìn)行解決。相應(yīng)人員判斷異常現(xiàn)象與否為信息安全事件，如果是話(huà)進(jìn)入信息安全事件解決流程；如果不是，由相應(yīng)人員對(duì)異?，F(xiàn)象進(jìn)行解決。信息安全事件5.1信息安全事件定義信息安全事件：是指辦公設(shè)備/計(jì)算機(jī)/網(wǎng)絡(luò)設(shè)備系統(tǒng)/信息管理系統(tǒng)硬件、軟件、數(shù)據(jù)因故障/非法襲擊/病毒入侵/惡意破壞/非授權(quán)外傳/遺失/劫難等安全因素而遭到破壞、更改、泄露而導(dǎo)致業(yè)務(wù)活動(dòng)不能正常進(jìn)行或者涉密信息泄露或者在其她方面導(dǎo)致?lián)p失事件。5.2信息安全事件分類(lèi)5.2.1有害程序事件（MI）有害程序事件是指蓄意制造、傳播有害程序，或是因受到有害程序影響而導(dǎo)致信息安全事件。有害程序是指插入到信息系統(tǒng)中一段程序，有害程序危害系統(tǒng)中數(shù)據(jù)、應(yīng)用程序或操作系統(tǒng)保密性、完整性或可用性，或影響信息系統(tǒng)正常運(yùn)營(yíng)。有害程序事件涉及計(jì)算機(jī)病毒事件、蠕蟲(chóng)事件、特洛伊木馬事件、僵尸網(wǎng)絡(luò)事件、混合襲擊程序事件、網(wǎng)頁(yè)內(nèi)嵌惡意代碼事件和其他有害程序事件等7個(gè)子類(lèi)，闡明如下：a)計(jì)算機(jī)病毒事件（CVI）是指蓄意制造、傳播計(jì)算機(jī)病毒，或是因受到計(jì)算機(jī)病毒影響而導(dǎo)致信息安全事件。計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入一組計(jì)算機(jī)指令或者程序代碼，它可以破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制；b)蠕蟲(chóng)事件（WI）是指蓄意制造、傳播蠕蟲(chóng)，或是因受到蠕蟲(chóng)影響而導(dǎo)致信息安全事件。蠕蟲(chóng)是指除計(jì)算機(jī)病毒以外，運(yùn)用信息系統(tǒng)缺陷，通過(guò)網(wǎng)絡(luò)自動(dòng)復(fù)制并傳播有害程序；c)特洛伊木馬事件（THI）是指蓄意制造、傳播特洛伊木馬程序，或是因受到特洛伊木馬程序影響而導(dǎo)致信息安全事件。特洛伊木馬程序是指?jìng)窝b在信息系統(tǒng)中一種有害程序，具備控制該信息系統(tǒng)或進(jìn)行信息竊取等對(duì)該信息系統(tǒng)有害功能；d)僵尸網(wǎng)絡(luò)事件（BI）是指運(yùn)用僵尸工具軟件，形成僵尸網(wǎng)絡(luò)而導(dǎo)致信息安全事件。僵尸網(wǎng)絡(luò)是指網(wǎng)絡(luò)上受到黑客集中控制一群計(jì)算機(jī)，它可以被用于伺機(jī)發(fā)起網(wǎng)絡(luò)襲擊，進(jìn)行信息竊取或傳播木馬、蠕蟲(chóng)等其她有害程序；e)混合襲擊程序事件（BAI）是指蓄意制造、傳播混合襲擊程序，或是因受到混合襲擊程序影響而導(dǎo)致信息安全事件?；旌弦u擊程序是指運(yùn)用各種辦法傳播和感染其他系統(tǒng)有害程序，也許兼有計(jì)算機(jī)病毒、蠕蟲(chóng)、木馬或僵尸網(wǎng)絡(luò)等各種特性?；旌弦u擊程序事件也可以是一系列有害程序綜合伙用成果，例如一種計(jì)算機(jī)病毒或蠕蟲(chóng)在侵入系統(tǒng)后安裝木馬程序等；f)網(wǎng)頁(yè)內(nèi)嵌惡意代碼事件（WBPI）是指蓄意制造、傳播網(wǎng)頁(yè)內(nèi)嵌惡意代碼，或是因受到網(wǎng)頁(yè)內(nèi)嵌惡意代碼影響而導(dǎo)致信息安全事件。網(wǎng)頁(yè)內(nèi)嵌惡意代碼是指內(nèi)嵌在網(wǎng)頁(yè)中，未經(jīng)容許由瀏覽器執(zhí)行，影響信息系統(tǒng)正常運(yùn)營(yíng)有害程序；g)其他有害程序事件（OMI）是指不能包括在以上6個(gè)子類(lèi)之中有害程序事件。5.2.2網(wǎng)絡(luò)襲擊事件（NAI）網(wǎng)絡(luò)襲擊事件是指通過(guò)網(wǎng)絡(luò)或其她技術(shù)手段，運(yùn)用信息系統(tǒng)配備缺陷、合同缺陷、程序缺陷或使用暴力襲擊對(duì)信息系統(tǒng)實(shí)行襲擊，并導(dǎo)致信息系統(tǒng)異?；?qū)π畔⑾到y(tǒng)當(dāng)前運(yùn)營(yíng)導(dǎo)致潛在危害信息安全事件。網(wǎng)絡(luò)襲擊事件涉及回絕服務(wù)襲擊事件、后門(mén)襲擊事件、漏洞襲擊事件、網(wǎng)絡(luò)掃描竊聽(tīng)事件、網(wǎng)絡(luò)釣魚(yú)事件、干擾事件和其她網(wǎng)絡(luò)襲擊事件等7個(gè)子類(lèi)，闡明如下：回絕服務(wù)襲擊事件（DOSAI）是指運(yùn)用信息系統(tǒng)缺陷、或通過(guò)暴力襲擊手段，以大量消耗信息系統(tǒng)CPU、內(nèi)存、磁盤(pán)空間或網(wǎng)絡(luò)帶寬等資源，從而影響信息系統(tǒng)正常運(yùn)營(yíng)為目信息安全事件；后門(mén)襲擊事件（BDAI）是指運(yùn)用軟件系統(tǒng)、硬件系統(tǒng)設(shè)計(jì)過(guò)程中留下后門(mén)或有害程序所設(shè)立后門(mén)而對(duì)信息系統(tǒng)實(shí)行襲擊信息安全事件；漏洞襲擊事件（VAI）是指除回絕服務(wù)襲擊事件和后門(mén)襲擊事件之外，運(yùn)用信息系統(tǒng)配備缺陷、合同缺陷、程序缺陷等漏洞，對(duì)信息系統(tǒng)實(shí)行襲擊信息安全事件；網(wǎng)絡(luò)掃描竊聽(tīng)事件（NSEI）是指運(yùn)用網(wǎng)絡(luò)掃描或竊聽(tīng)軟件，獲取信息系統(tǒng)網(wǎng)絡(luò)配備、端口、服務(wù)、存在脆弱性等特性而導(dǎo)致信息安全事件；網(wǎng)絡(luò)釣魚(yú)事件（PI）是指運(yùn)用欺騙性計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)，使顧客泄漏重要信息而導(dǎo)致信息安全事件。例如，運(yùn)用欺騙性電子郵件獲取顧客銀行帳號(hào)密碼等；干擾事件（II）是指通過(guò)技術(shù)手段對(duì)網(wǎng)絡(luò)進(jìn)行干擾，或?qū)V播電視有線(xiàn)或無(wú)線(xiàn)傳播網(wǎng)絡(luò)進(jìn)行插播，對(duì)衛(wèi)星廣播電視信號(hào)非法襲擊等導(dǎo)致信息安全事件；其她網(wǎng)絡(luò)襲擊事件（ONAI）是指不能被包括在以上6個(gè)子類(lèi)之中網(wǎng)絡(luò)襲擊事件。5.2.3信息破壞事件（IDI）信息破壞事件是指通過(guò)網(wǎng)絡(luò)或其她技術(shù)手段，導(dǎo)致信息系統(tǒng)中信息被篡改、假冒、泄漏、竊取等而導(dǎo)致信息安全事件。信息破壞事件涉及信息篡改事件、信息假冒事件、信息泄漏事件、信息竊取事件、信息丟失事件和其他信息破壞事件等6個(gè)子類(lèi)，闡明如下：信息篡改事件（IAI）是指未經(jīng)授權(quán)將信息系統(tǒng)中信息更換為襲擊者所提供信息而導(dǎo)致信息安全事件，例如網(wǎng)頁(yè)篡改等導(dǎo)致信息安全事件；信息假冒事件（IMI）是指通過(guò)假冒她人信息系統(tǒng)收發(fā)信息而導(dǎo)致信息安全事件，例如網(wǎng)頁(yè)假冒等導(dǎo)致信息安全事件；信息泄漏事件（ILEI）是指因誤操作、軟硬件缺陷或電磁泄漏等因素導(dǎo)致信息系統(tǒng)中保密、敏感、個(gè)人隱私等信息暴露于未經(jīng)授權(quán)者而導(dǎo)致信息安全事件；信息竊取事件（III）是指未經(jīng)授權(quán)顧客運(yùn)用也許技術(shù)手段惡意積極獲取信息系統(tǒng)中信息而導(dǎo)致信息安全事件；信息丟失事件（ILOI）是指因誤操作、人為蓄意或軟硬件缺陷等因素導(dǎo)致信息系統(tǒng)中信息丟失而導(dǎo)致信息安全事件；其他信息破壞事件（OIDI）是指不能被包括在以上5個(gè)子類(lèi)之中信息破壞事件。5.2.4信息內(nèi)容安全事件（ICSI）信息內(nèi)容安全事件是指運(yùn)用信息網(wǎng)絡(luò)發(fā)布、傳播危害國(guó)家安全、社會(huì)穩(wěn)定和公共利益內(nèi)容安全事件。信息內(nèi)容安全事件涉及如下4個(gè)子類(lèi)，闡明如下：違背憲法和法律、行政法規(guī)信息安全事件；針對(duì)社會(huì)事項(xiàng)進(jìn)行討論、評(píng)論形成網(wǎng)上敏感輿論熱點(diǎn)，浮現(xiàn)一定規(guī)模炒作信息安全事件；組織串連、煽動(dòng)集會(huì)游行信息安全事件；其她信息內(nèi)容安全事件等4個(gè)子類(lèi)。5.2.5設(shè)備設(shè)施故障（FF）設(shè)備設(shè)施故障是指由于信息系統(tǒng)自身故障或外圍保障設(shè)施故障而導(dǎo)致信息安全事件，以及人為使用非技術(shù)手段故意或無(wú)意導(dǎo)致信息系統(tǒng)破壞而導(dǎo)致信息安全事件。設(shè)備設(shè)施故障涉及軟硬件自身故障、外圍保障設(shè)施故障、人為破壞事故、和其他設(shè)備設(shè)施故障等4個(gè)子類(lèi)，闡明如下：軟硬件自身故障（SHF）是指因信息系統(tǒng)中硬件設(shè)備自然故障、軟硬件設(shè)計(jì)缺陷或者軟硬件運(yùn)營(yíng)環(huán)境發(fā)生變化等而導(dǎo)致信息安全事件；外圍保障設(shè)施故障（PSFF）是指由于保障信息系統(tǒng)正常運(yùn)營(yíng)所必要外部設(shè)施浮現(xiàn)故障而導(dǎo)致信息安全事件，例如電力故障、外圍網(wǎng)絡(luò)故障等導(dǎo)致信息安全事件；人為破壞事故（MDA）是指人為蓄意對(duì)保障信息系統(tǒng)正常運(yùn)營(yíng)硬件、軟件等實(shí)行竊取、破壞導(dǎo)致信息安全事件；或由于人為遺失、誤操作以及其她無(wú)意行為導(dǎo)致信息系統(tǒng)硬件、軟件等遭到破壞，影響信息系統(tǒng)正常運(yùn)營(yíng)信息安全事件；其他設(shè)備設(shè)施故障（IF-OT）是指不能被包括在以上3個(gè)子類(lèi)之中設(shè)備設(shè)施故障而導(dǎo)致信息安全事件。5.2.6災(zāi)害性事件（DI）災(zāi)害性事件是指由于不可抗力對(duì)信息系統(tǒng)導(dǎo)致物理破壞而導(dǎo)致信息安全事件。災(zāi)害性事件涉及水災(zāi)、臺(tái)風(fēng)、地震、雷擊、坍塌、火災(zāi)、恐怖襲擊、戰(zhàn)爭(zhēng)等導(dǎo)致信息安全事件。4.2.7其她事件（OI）其她事件類(lèi)別是指不能歸為以上6個(gè)基本分類(lèi)信息安全事件。5.3信息安全事件分級(jí)級(jí)別闡明安全事故（一級(jí)）導(dǎo)致業(yè)務(wù)系統(tǒng)運(yùn)營(yíng)中斷，嚴(yán)重影響業(yè)務(wù)活動(dòng)進(jìn)行;數(shù)據(jù)被破壞，無(wú)法恢復(fù)或者恢復(fù)時(shí)間過(guò)長(zhǎng)，超過(guò)30分鐘，嚴(yán)重影響業(yè)務(wù)活動(dòng)進(jìn)行;一級(jí)，二級(jí)機(jī)密信息泄露，給公司導(dǎo)致較大損害,或產(chǎn)生重大影響;其他涉密信息泄露，給公司導(dǎo)致極大損害，產(chǎn)生特別重大社會(huì)影響;將惡意代碼或其她有害程序傳播至公司，產(chǎn)生特別重大社會(huì)影響;客戶(hù)真實(shí)數(shù)據(jù)泄漏或者對(duì)客戶(hù)數(shù)據(jù)導(dǎo)致破壞，產(chǎn)生特別重大社會(huì)影響;內(nèi)部人員（涉及員工/外協(xié)人員/實(shí)習(xí)生/客戶(hù)/服務(wù)人員等）任何故意破壞信息系統(tǒng)/泄漏涉密信息行為,產(chǎn)生特別重大社會(huì)影響;網(wǎng)絡(luò)設(shè)備受到襲擊，影響網(wǎng)絡(luò)暢通安全事件，襲擊流量超過(guò)正常流量30％，或者持續(xù)時(shí)間不不大于15分鐘安全事件;相似業(yè)務(wù)一周重復(fù)浮現(xiàn)安全事件。運(yùn)用有關(guān)信息平臺(tái)，傳播違法等不良信息，產(chǎn)生特別重大社會(huì)影響;嚴(yán)重安全事件（二級(jí)）數(shù)據(jù)被破壞，恢復(fù)時(shí)間較長(zhǎng)，對(duì)業(yè)務(wù)活動(dòng)進(jìn)行導(dǎo)致相稱(chēng)影響;一二級(jí)涉密信息泄露，給公司導(dǎo)致一定損害;不遵守規(guī)章或者操作流程，導(dǎo)致客戶(hù)投訴或者給公司導(dǎo)致一定損害使用不安全渠道傳播信息，導(dǎo)致客戶(hù)投訴或者對(duì)公司潛在損害較大。影響到各業(yè)務(wù)數(shù)據(jù)庫(kù)，30分鐘內(nèi)可解決解決安全事件。網(wǎng)絡(luò)設(shè)備受到襲擊，影響網(wǎng)絡(luò)暢通安全事件，襲擊流量低于等于正常流量30％，并持續(xù)時(shí)間不大于等于15分鐘安全事件。運(yùn)用有關(guān)信息平臺(tái)，傳播違法等不良信息;30分鐘內(nèi)已查明因素，但沒(méi)有在60分鐘內(nèi)解決完畢普通安全事件30分鐘內(nèi)未查明因素普通安全事件。對(duì)影響惡劣普通安全事件，應(yīng)升級(jí)為重大安全事件頁(yè)面內(nèi)容篡改；泄漏顧客信息、顧客數(shù)據(jù)、顧客密碼；泄漏設(shè)備有關(guān)信息，涉及：管理權(quán)限、顧客使用權(quán)限、版本信息；普通安全事件（三級(jí)）對(duì)業(yè)務(wù)活動(dòng)進(jìn)行沒(méi)有導(dǎo)致太大影響，只影響到單臺(tái)應(yīng)用服務(wù)器，且為業(yè)務(wù)分布式服務(wù)器安全事件，30分鐘內(nèi)已查明因素，可以在60分鐘內(nèi)解決安全事件。數(shù)據(jù)被破壞，可以較快恢復(fù)，對(duì)業(yè)務(wù)活動(dòng)進(jìn)行沒(méi)有導(dǎo)致太大影響;涉密信息泄露，沒(méi)有給公司導(dǎo)致明顯損害;不遵守規(guī)章或者操作流程，沒(méi)有給公司導(dǎo)致明顯損害;任何外來(lái)非法襲擊/病毒入侵，尚沒(méi)有對(duì)業(yè)務(wù)活動(dòng)進(jìn)行導(dǎo)致明顯影響;已發(fā)布有關(guān)安全公示安全事件。信息安全事件解決流程5.3.1安全事件發(fā)現(xiàn)有關(guān)部門(mén)應(yīng)建立監(jiān)控辦法和日記查看