網(wǎng)絡(luò)信息通信和操作管理制度

1、網(wǎng)絡(luò)信息通信和操作管理制度 9.1 操作程序和職責 9.1.1 規(guī)范的操作程序 第80條 必須為所有的業(yè)務(wù)系統(tǒng)建立操作程序，其內(nèi)容包括但不限于： 1)系統(tǒng)重啟、備份和恢復(fù)的措施 2)一般性錯誤處理的操作指南 3)技術(shù)支持人員的聯(lián)系方法 4)與其它系統(tǒng)的依賴性和處理的優(yōu)先級 5)硬件的配臵管理 第81條 操作程序必須征得管理者的同意才能對其進行修改。操作程序必須及時更新，更新條件包括但不限于： 1)應(yīng)用軟件的變更 2)硬件配臵的變更 9.1.2 變更控制 第82條 必須建立變更管理程序來控制系統(tǒng)的變更，所有變更都必須遵守變更管理程序的要求。程序內(nèi)容包括但不限于 1)識別和記錄變更請求 2)評估變

2、更的可行性、變更計劃和可能帶來的潛在影響 3)變更的測試 4)審批的流程 5)明確變更失敗的恢復(fù)計劃和責任人 6)變更的驗收 第83條 重要變更必須制定計劃，并在測試環(huán)境下進行足夠的測試后，才能在生產(chǎn)系統(tǒng)中實施。所有變更必須包括變更失敗的應(yīng)對措施和恢復(fù)計劃。所有變更必須獲得授權(quán)和批準，變更的申請和審批不得為同一個員工。對變更需要涉及的硬件、軟件和信息等對象都應(yīng)標識出來并進行相應(yīng)評估。變更在實施前必須通知到相關(guān)人員。 第84條 變更的實施應(yīng)該安排在對業(yè)務(wù)影響最小的時間段進行，盡量減少對業(yè)務(wù)正常運營的影響。在生產(chǎn)系統(tǒng)安裝或更新軟件前，必須對系統(tǒng)進行備份。變更完成后，相關(guān)的文檔（如系統(tǒng)需求文檔、設(shè)計

3、文檔、操作手冊、用戶手冊等）必須得到更新，舊的文檔必須進行備份。 第85條 必須對變更進行復(fù)查，以確保變更沒有對原來的系統(tǒng)環(huán)境造成破壞。必須完整記錄整個變更過程，并將其妥善保管。變更的記錄應(yīng)至少每月復(fù)查一次。 9.1.3 職責分離 第86條 系統(tǒng)管理員和系統(tǒng)開發(fā)人員的職責必須明確分開。同一處理過程中的重要任務(wù)不應(yīng)該由同一個人來完成，以防止欺詐和誤操作的發(fā)生。 第87條 所有職責分離的控制必須記錄歸檔，作為責任分工的依據(jù)。無法采取職責分離時，必須采取其它的控制，比如活動監(jiān)控、審核跟蹤評估以及管理監(jiān)督等。 9.1.4 開發(fā)、測試和生產(chǎn)系統(tǒng)分離 第88條 不應(yīng)給開發(fā)人員提供超過其開發(fā)所需范圍的權(quán)限。

4、如果開發(fā)人員需要訪問生產(chǎn)系統(tǒng)，必須經(jīng)過運營人員的授權(quán)和管理。 第89條 生產(chǎn)、測試和開發(fā)應(yīng)分別使用不同的系統(tǒng)環(huán)境。開發(fā)人員不得在生產(chǎn)環(huán)境中更改編碼或操作生產(chǎn)系統(tǒng)。不得在生產(chǎn)系統(tǒng)上擅自安裝開發(fā)工具（比如編譯程序及其他系統(tǒng)公用程序等），并做好已有開發(fā)工具的訪問控制。開發(fā)和測試環(huán)境使用的測試數(shù)據(jù)不能包含有敏感信息。 9.1.5 事件管理程序 第90條 必須建立事件管理程序，并根據(jù)事件影響的嚴重程度制訂其所屬類別，同時說明相應(yīng)的處理方法和負責人。必須根據(jù)事件的嚴重程度，定義響應(yīng)的范圍、時間和完成事件處理的時間。 第91條 系統(tǒng)的修復(fù)必須得到系統(tǒng)管理者的批準方可執(zhí)行。 第92條 所有事件報告必須記錄歸檔

5、，并由部門主管或指定人員妥善保管。必須對事件的處理情況進行監(jiān)控，對超時的處理提出改進建議并跟進改進效果。 9.2 第三方服務(wù)交付管理 9.2.1 服務(wù)交付 第93條 第三方提供的服務(wù)必須滿足安全管理制度的要求。第三方提供的服務(wù)必須滿足公司業(yè)務(wù)連續(xù)性的要求。 第94條 必須保留第三方提供的服務(wù)、報告和記錄并定期評審，至少每半年一次。評審內(nèi)容應(yīng)包括：1) 服務(wù)內(nèi)容和質(zhì)量是否滿足合同要求； 2) 服務(wù)報告是否真實。 9.2.2 第三方服務(wù)的變更管理 第95條 服務(wù)改變時，必須重新對服務(wù)是否滿足安全管理辦法進行評估。在服務(wù)變更時需要考慮： 1) 服務(wù)價格的增長； 2) 新的服務(wù)需求； 3) 公司信息安

6、全管理制度的變化； 4) 公司在信息安全方面新的控制。 9.3 針對惡意軟件的保護措施 9.3.1 對惡意軟件的控制 第96條 必須建立一套病毒防治體系，以便防止病毒對公司帶來的影響。所有服務(wù)器、個人電腦和筆記本電腦都應(yīng)該安裝公司規(guī)定的防病毒軟件，并及時更新防病毒軟件。所有存進計算機的信息（例如接收到的郵件、下載的文件等）都必須經(jīng)過病毒掃描。員工和第三方廠商從外界帶來的存儲介質(zhì)在使用之前必須進行病毒掃描。 第97條 所有員工都應(yīng)該接受防病毒知識的培訓和指導(dǎo)。 第98條 公司內(nèi)發(fā)現(xiàn)的病毒、計算機或應(yīng)用程序的異常行為，都必須作為安全事件進行報告。 第99條 必須定期審核控制惡意軟件措施的有效性。一

7、旦發(fā)現(xiàn)感染病毒，必須立刻把機器從網(wǎng)絡(luò)中斷開。在病毒沒有被徹底清除之前，嚴禁將其重新連接到網(wǎng)絡(luò)上。 9.4 備份 9.4.1 信息備份 第100條 所有服務(wù)器、個人電腦和筆記本電腦必須根據(jù)業(yè)務(wù)需求定期進行備份。系統(tǒng)在重大變更之前和之后必須進行備份。 第101條 備份管理辦法必須獲得管理層的審批以確保符合業(yè)務(wù)需求。備份管理辦法必須至少每季度進行一次復(fù)查，以確保沒有發(fā)生未授權(quán)或意外的更改。 第102條 應(yīng)該保留多于1個備份周期的備份，但重要業(yè)務(wù)信息應(yīng)至少保留3個備份周期的備份。備份資料和相應(yīng)的恢復(fù)操作手冊必須定期傳送到異地進行保存。異地必須與主站點有一定的距離，以避免受主站點的災(zāi)難波及。 第103條

8、 必須對異地保存的備份信息實施安全保護措施，其保護標準應(yīng)和主站點相一致。必須定期測試備份介質(zhì)，確保其可用性。必須定期檢查和測試恢復(fù)步驟，確保它們的有效性。備份系統(tǒng)必須進行監(jiān)控，以確保其穩(wěn)定性和可用性。 9.5 網(wǎng)絡(luò)管理 9.5.1 網(wǎng)絡(luò)控制 第104條 網(wǎng)絡(luò)管理和操作系統(tǒng)管理的職責應(yīng)該彼此分離，并由不同的員工承擔。必須明確定義網(wǎng)絡(luò)管理的職責和義務(wù)。只有得到許可的員工才能夠使用網(wǎng)絡(luò)管理系統(tǒng)。 第105條 必須建立相應(yīng)的控制機制，保護路由表和防火墻安全管理辦法等網(wǎng)絡(luò)參數(shù)的完整性。保護通過公網(wǎng)傳送敏感數(shù)據(jù)的機密性、完整性和可用性。 第106條 進行網(wǎng)絡(luò)協(xié)議兼容性的評估時應(yīng)考慮將來新增網(wǎng)絡(luò)設(shè)備的要求。

9、任何準備接進網(wǎng)絡(luò)的新設(shè)備，在進網(wǎng)前都必須通過協(xié)議兼容性的評估和安全檢查。 第107條 必須對網(wǎng)絡(luò)進行監(jiān)控和管理。所有網(wǎng)絡(luò)故障都必須向上級報告。 第108條 必須建立互聯(lián)網(wǎng)的訪問管理辦法。除非得到授權(quán)，否則禁止訪問外部網(wǎng)絡(luò)的服務(wù)。 9.6 介質(zhì)的管理 9.6.1 可移動介質(zhì)的管理 第109條 可移動計算機存儲介質(zhì)（比如磁帶、光盤等）必須有適當?shù)脑L問控制。存儲介質(zhì)上必須設(shè)臵標簽，以標識其類型和用途。標簽應(yīng)使用代碼，以避免直接標識存儲介質(zhì)上的內(nèi)容。標識用的代碼需要記錄并歸檔。 第110條 必須建立和維護介質(zhì)清單，并對介質(zhì)的借用和歸還進行記錄。應(yīng)確保備有足夠的存儲介質(zhì)，以備使用。 第111條 存放在存

10、儲介質(zhì)內(nèi)的絕密和機密信息必須受到妥善保護。 第112條 存儲介質(zhì)的存放環(huán)境必須滿足介質(zhì)要求的環(huán)境條件（比如溫度、濕度、空氣質(zhì)量等）。 第113條 備份介質(zhì)必須存儲在防火柜中。應(yīng)該對介質(zhì)的壽命進行管理，在介質(zhì)壽命結(jié)束前一年，將信息拷貝到新的介質(zhì)中。 9.6.2 介質(zhì)的銷毀 第114條 應(yīng)建立存儲介質(zhì)的報廢規(guī)范，包括但不限于： 1)紙質(zhì)文檔 2)語音資料及其他錄音帶 3)復(fù)寫紙 4)磁帶 5)磁盤 6)光存儲介質(zhì) 第115條 所有不會被再利用的敏感文檔都必須根據(jù)定義的信息密級采取適當?shù)姆绞竭M行銷毀。 第116條 所有報廢及過期的存儲介質(zhì)必須妥善銷毀。 9.6.3 信息處理程序 第117條 介質(zhì)的信

11、息分類，必須采用存放信息中的最高保密等級。 第118條 應(yīng)根據(jù)介質(zhì)中信息的分類級別，采取相應(yīng)措施來保護介質(zhì)的輸出環(huán)境。 9.6.4 系統(tǒng)文檔的安全 第119條 存取含有敏感信息的文檔，必須獲得相應(yīng)文檔管理者的批準。含有敏感信息的文檔應(yīng)保存在安全的地方，未經(jīng)許可不得訪問。含有敏感信息的文檔通過內(nèi)部網(wǎng)等提供訪問的，應(yīng)采用訪問控制加以保護。 9.7 信息交換 9.7.1 信息交換管理辦法和程序 第120條 必須根據(jù)信息的類型和保密級別，定義信息在交換過程中應(yīng)遵循的安全要求。 第121條 所有員工和第三方人員都必須遵守公司的信息交換管理辦法。 第122條 未經(jīng)許可，公司內(nèi)部不允許安裝、使用無線通信設(shè)備

12、。 第123條 使用加密技術(shù)保護信息的保密性、完整性和真實性。敏感信息帶出公司必須獲得直接領(lǐng)導(dǎo)或信息管理者的授權(quán)。 第124條 必須建立控制機制來保護利用音頻、傳真和視頻通信設(shè)備進行交換的信息。 第125條 電話錄音系統(tǒng)應(yīng)該配臵密碼，以防非法訪問。 第126條 在使用傳真機中已存儲的號碼時，傳真之前必須驗證號碼。 第127條 移動通訊設(shè)備（比如手機，PDA等）不應(yīng)存儲公司敏感信息。 9.7.2 交換協(xié)議 第128條 跟外界進行信息和軟件交換必須簽署協(xié)議，其內(nèi)容必須包括： 1)發(fā)送方和接收方的責任 2)明確發(fā)送和接收的方式 3)制定信息封裝和傳輸?shù)募夹g(shù)標準 4)數(shù)據(jù)丟失的相關(guān)責任 5)聲明信息的

13、保密級別和保護要求 6)聲明信息和軟件的所有權(quán)、版權(quán)和其他相關(guān)因素 9.7.3 物理介質(zhì)傳輸 第129條 必須建立傳輸存儲介質(zhì)的安全標準。應(yīng)使用可靠的傳輸工具或傳遞人，授權(quán)的傳遞人必須接受適當監(jiān)管并進行其身份的檢查。應(yīng)確保敏感信息的機密性、完整性和可用性在傳輸全程中受到保護。 第130條 存放介質(zhì)的容器在運輸過程前必須密封。信息分類不應(yīng)該標識在容器的外面。包裝應(yīng)該非常結(jié)實，確保介質(zhì)在運輸過程中不受到損壞。 9.7.4 電子消息 第131條 電子化辦公系統(tǒng)必須建立相應(yīng)的管理辦法和控制機制，并闡明下列內(nèi)容： 1)確定不能被共享的信息的類型或密級 2)系統(tǒng)用戶的權(quán)限 3)系統(tǒng)的訪問控制 4)與系統(tǒng)相

14、關(guān)的備份管理辦法 第132條 除非獲得安全管理委員會的授權(quán)，否則禁止使用公司以外的電子系統(tǒng)（比如BBS、MSN、QQ等）進行跟公司相關(guān)的活動。 第133條 電子郵件內(nèi)的信息必須根據(jù)其信息分類的安全要求去處理和保護。用于連接外網(wǎng)的郵件網(wǎng)關(guān)必須安裝防病毒軟件，檢查進出的電子郵件。必須對Internet屏蔽郵件系統(tǒng)的內(nèi)網(wǎng)IP地址。 第134條 員工使用公司的郵件系統(tǒng)時只能進行與業(yè)務(wù)相關(guān)的活動。所有在公司的郵件系統(tǒng)上產(chǎn)生及存儲的郵件都是公司資產(chǎn)。公司有權(quán)查看和監(jiān)控所有郵件。未經(jīng)授權(quán)，嚴禁使用公司以外的郵箱處理公司業(yè)務(wù)。所有對外發(fā)送的郵件都必須加上責任聲明。 9.7.5 業(yè)務(wù)信息系統(tǒng) 第135條 在業(yè)務(wù)

15、系統(tǒng)進行信息共享時，必須保證信息的完整性、可用行和保密性。必須保證重要信息在交換過程中的保密性。 9.8 電子商務(wù)服務(wù) 9.8.1 電子商務(wù) 第136條 必須采取適當措施，保證電子交易過程的機密性、完整性和可用性。 第137條 電子商務(wù)的交易必須制定相關(guān)的交易聲明，以明確注意事項和相關(guān)責任。在電子商務(wù)的協(xié)議中，必須明確欺詐行為和未能交付的責任。 第138條 電子交易必須設(shè)臵并維護適當?shù)脑L問控制。身份驗證技術(shù)必須滿足業(yè)務(wù)的實際要求。 第139條 必須保留并維護所有電子商務(wù)交易過程中的記錄和日志。 第140條 應(yīng)該使用加密、電子證書、數(shù)字簽名等技術(shù)保護電子商務(wù)安全。 9.8.2 在線交易 第141

16、條 必須保護在線交易信息，避免不完整的傳輸、路由錯誤、未授權(quán)的消息更改、未授權(quán)的信息信息泄漏、復(fù)制和回復(fù)。 第142條 在線交易中必須使用數(shù)字證書保護交易安全。交易中必須使用加密技術(shù)對所有通信內(nèi)容加密。在線交易必須使用安全的通訊協(xié)議。 第143條 在線交易信息必須保存在公司內(nèi)部的存儲環(huán)境，存儲環(huán)境不能被從Internet直接訪問。 第144條 在線交易必須遵守國家、地區(qū)和行業(yè)相關(guān)的法律法規(guī)。 9.8.3 公共信息 第145條 必須確保公共信息系統(tǒng)中信息的完整性，并防止非授權(quán)的修改。 第146條 信息的發(fā)布必須遵守國家法律法規(guī)的要求。通過信息發(fā)布系統(tǒng)向內(nèi)部和公眾發(fā)布的信息都必須經(jīng)過公司相關(guān)部門的

17、檢查和審批。信息在發(fā)布之前必須經(jīng)過核對，確認其正確性和完整性。必須對敏感信息的處理和存儲過程進行保護。 9.9 監(jiān)控 9.9.1 日志 第147條 所有操作系統(tǒng)、應(yīng)用系統(tǒng)都必須具有并啟用日志記錄功能。 第148條 日志記錄信息必須包括但不限于： 1)用戶ID； 2)每項操作的日期和時間（至少要精確到秒）； 3)來源的標識或位臵； 4)成功的系統(tǒng)訪問嘗試； 5)失敗或被拒絕的系統(tǒng)訪問嘗試； 第149條 日志類型包括但不限于： 1)應(yīng)用日志； 2)系統(tǒng)日志； 3)安全日志； 4)操作日志； 5)問題記錄。 第150條 必須確保日志記錄功能在任何時候都能正常運行。應(yīng)該有機制監(jiān)控日志的容量變化，在容量

18、耗盡之前發(fā)出報警信息。 第151條 除非特別聲明，所有日志都必須被分類為“機密”。日志應(yīng)該定期復(fù)查，至少每月一次。 9.9.2 監(jiān)控系統(tǒng)的使用 第152條 不同的信息處理設(shè)備所要求的監(jiān)控等級應(yīng)該通過風險評估來決定，必須考慮下列要素： 1)系統(tǒng)的訪問； 2)所有特權(quán)操作； 3)未授權(quán)的訪問嘗試； 4)系統(tǒng)警報或故障。 第153條 應(yīng)每天定時監(jiān)控網(wǎng)絡(luò)（包括網(wǎng)絡(luò)性能和網(wǎng)絡(luò)故障），并根據(jù)產(chǎn)生的報告，對異常變化的網(wǎng)絡(luò)流量，作進一步分析，以發(fā)現(xiàn)潛在的網(wǎng)絡(luò)安全問題。 9.9.3 日志信息保護 第154條 必須保證日志不能被修改或刪除，所有對于日志文件的訪問（如刪除、寫、讀或添加）嘗試都應(yīng)該有相應(yīng)記錄。 第155條 除非特別聲明，日志必須至少保存1年。只有授權(quán)的員工才能訪問并使用日志。必須采取控制措施保護日志的完整性。 9.9.4 管理員和操作員日志 第156條 系統(tǒng)管理員和操作員的操作必須被記錄日志。 第157條 日志記錄應(yīng)包括重要的操作，例如與用戶管理相關(guān)的操作（用戶帳號的創(chuàng)建、刪除、權(quán)限設(shè)臵、修改）、與財務(wù)相關(guān)的操