燃机热电有限公司信息管理制度汇编样本.doc

《燃机热电有限公司信息管理制度汇编样本.doc》由会员分享，可在线阅读，更多相关《燃机热电有限公司信息管理制度汇编样本.doc（56页珍藏版）》请在咨信网上搜索。

信 息 安 全 管 理 制 度 琥珀（安吉）燃机热电 .01.15 信息安全制度 1 总则 第1条 为规范信息安全管理工作，加强过程管理和基础设施管理风险分析及防范，建立安全责任制，健全安全内控制度，确保信息系统机密性、完整性、可用性，特制订本要求。 2 适用范围 第2条 本要求适适用于琥珀（安吉）燃机热电各部门及生产现场。 3 管理对象 第3条 管理对象指组成计算机信息系统系统、设备和数据等信息资产和人员安全。关键范围包含：人员安全、物理环境安全、资产识别和分类、风险管理、物理和逻辑访问控制、系统操作和运行安全、网络通讯安全、信息加密和解密、应急和灾难恢复、软件研发和应用安全、机密资源管理、第三方和外包安全、法律和标准符合性、项目和工程安全控制、安全检验和审计等。 4 术语定义 DMZ：用于隔离内网和外网区域，此区域不属于可信任内网，也不是完全开放给因特网。 容量：分为系统容量和环境容量两方面。系统容量包含CPU、内存、硬盘存放等。环境容量包含电力供给、湿度、温度、空气质量等。 安全制度：和信息安全相关制度文档，包含安全管理措施、标准、指导和程序等。 安全边界：用以明确划分安全区域，如围墙、办公大楼、网段等。 恶意软件：包含计算机病毒、网络蠕虫、木马、流氓软件、逻辑炸弹等。 备份周期：依据备份管理措施制订备份循环周期，一个备份周期内容相当于一个完整全备份。 系统工具：能够更改系统及应用配臵程序被定义为系统工具，如系统管理、维护工具、调试程序等。 消息验证：一个检验传输电子消息是否有非法变更或破坏技术，它能够在硬件或软件上实施。 数字署名：一个保护电子文档真实性和完整性方法。比如，在电子商务中能够使用它验证谁签署电子文档，并检验已签署文档内容是否被更改。 信息处理设备：泛指处理信息全部设备和信息系统，包含网络、服务器、个人电脑和笔记本电脑等。 不可抵赖性服务：用于处理交易纠纷中争议交易是否发生机制。 电子化办公系统：包含电子邮件、OA系统和用于业务信息传送及共享企业内部网。 5 安全制度方面 5.1 安全制度要求 5.1.1 本制度诠释 第4条 全部带有“必需”条款全部是强制性。除非事先得到安全管理委员会认可，不然全部要果断实施。 其它条款则是强烈提议，只要实际可行就应该被采取。 第5条 全部职员全部受本制度约束，各部门领导有责任确保其部门已实施足够安全控制方法，以保护信息安全。 第6条 各部门领导有责任确保其部门职员了解本安全管理制度、相关标准和程序和日常信息安全管理。 第7条 安全管理代表（或其指派人员）将审核各部门安全控制方法实施正确性和完整性，此过程是企业例行内部审计一部分。 5.1.2 制度公布 第8条 全部制度在创建和更新后，必需经过对应管理层审批。制度经同意以后必需通知全部相关人员。 5.1.3 制度复审 第9条 当环境改变、技术更新或业务本身发生改变时，必需对安全制度重新进行评审，并作出对应修正，以确保能有效地保护企业信息资产。 第10条 安全管理委员会必需定时对本管理措施进行正式复审，并依据复审所作修正，指导相关职员采取对应行动。 6 组织安全方面 6.1 组织内部安全 6.1.1 信息安全体系管理 第11条 企业成立安全管理委员会，安全管理委员会是企业信息安全管理最高决议机构，安全管理委员会组员应包含企业关键管理人、生产技术管理部责任人、企业安全审计责任人、企业计算机管理员、操作员等。 第12条 信息安全管理代表由信息安全管理委员会指定，通常应包含安全稽核岗、信息管理部信息安全相关岗位。 第13条 安全管理委员会经过清楚方向、可见承诺、具体分工，主动地支持信息安全工作，关键包含以下几方面： 1)确定信息安全目标符合企业要求和相关制度； 2)说明、复查和同意信息安全管理制度； 3)复查信息安全管理制度实施有效性； 4)为信息安全实施提供明确指导和有效支持； 5)提供信息安全体系运作所需要资源 6)为信息安全在企业实施定义明确角色和职责； 7)同意信息安全推广和培训计划和程序； 8)确保信息安全控制方法在企业内被有效实施。 第14条 安全管理委员会需要对内部或外部信息安全教授提议进行评定，并检验和调整提议在企业内实施结果。 第15条 必需举行信息安全管理会议，会议组员包含安全管理委员会、安全管理代表和其它相关企业高层管理人员。 第16条 信息安全管理会议必需每十二个月定时举行，讨论和审批信息安全相关事宜，具体包含以下内容: 1)复审本管理制度有效性；2)复审技术变更带来影响； 3)复审安全风险； 4)审批信息安全方法及程序； 5)审批信息安全提议； 6)确保任何新项目计划已考虑信息安全需求； 7)复审安全检验结果和安全事故汇报； 8)复审安全控制实施效果和影响； 9)宣导和推行企业高层对信息安全管理指示。 6.1.2 信息安全职责分配 第17条 信息管理部门作为信息安全管理部门，负责信息安全管理策略制订及实施，其关键职责： （一）负责全企业信息安全管理和指导； （二）牵头制订全企业信息安全体系规范、标准和检验指导，参与本企业信息系统工程建设安全计划； （三）组织全企业安全检验； （四）配合全企业安全审计工作开展； （五）牵头组织全企业安全管理培训； （六）负责全企业安全方案审核和安全产品选型、购臵。 （七）依据本要求、安全规范、技术标准、操作手册实施各类安全策略。 （八）负责各类安全策略日常维护和管理。 第18条 各分企业信息管理部门作为信息安全管理部门，其关键职责： （一）依据本要求、信息安全体系规范、标准和检验指导，组织建立安全管理步骤、手册； （二）组织实施内部安全检验； （三）组织安全培训； （四）负责机密信息和机密资源安全管理； （五）负责安全技术产品使用、维护、升级； （六）配合安全审计工作开展； （七）定时上报本单位信息系统安全情况，反馈安全技术和管理意见和提议。 （八）依据本要求、安全规范、技术标准、操作手册实施各类安全策略。 （九）负责各类安全策略日常维护和管理。 6.1.3 信息处理设备授权 第19条 新设备采购和设备布署审批步骤应该充足考虑信息安全要求。 第20条 新设备在布署和使用之前，必需明确其用途和使用范围，并取得安全管理委员会同意。必需对新设备硬件和软件系统进行具体检验，以确保它们安全性和兼容性。 第21条 除非取得安全管理委员会授权，不然不许可使用私人信息处理设备来处理企业业务信息或使用企业资源。 6.1.4 独立信息安全审核 第22条 必需对企业信息安全控制方法实施情况进行独立地审核，确保企业信息安全控制方法符合管理制度要求。审核工作应由企业审计部门或专门提供这类服务第三方组织负责实施。负责安全审核人员必需含有对应技能和经验。 第23条 独立信息安全审核必需每十二个月最少进行一次。 6.2 第三方访问安全性 6.2.1 明确第三方访问风险 第24条 必需对第三方对企业信息或信息系统访问进行风险评定，并进行严格控制，相关控制须考虑物理上和逻辑上访问安全风险。只有在风险被消除或降低到可接收水平时才许可其访问。 第25条 第三方包含但不限于： 1) 硬件和软件厂商支持人员和其它外包商 2) 监管机构、外部顾问、外部审计机构和合作伙伴 3) 临时职员、实习生 4) 清洁工和保安 5) 企业用户 第26条 第三方对企业信息或信息系统访问类型包含但不限于： 1) 物理访问，比如：访问企业机房、监控中心等； 2) 逻辑访问，比如：访问企业数据库、信息系统等； 3) 和第三方之间网络连接，比如：固定连接、临时远程连接； 第27条 第三方全部访问申请全部必需经过信息安全管理代表审批，只提供其工作所须最小权限和满足其工作所需最少资源，而且需要定时对第三方访问权限进行复查。第三方对关键信息系统或地点访问和操作必需有相关人员陪同。 第28条 企业负责和第三方沟通人员必需在第三方接触企业信息或信息系统前，主动通知第三方职责、义务和需要遵守要求，第三方必需在清楚并同意后才能接触对应信息或信息系统。全部对第三方安全要求必需包含在和其签署合约中。 6.2.2 当和用户接触时强调信息安全 第29条 必需在许可用户访问信息或信息系统前识别并通知其需要遵守安全需求。采取对应保护方法保护用户访问信息或信息系统。 6.2.3 和第三方签署合约安全要求 第30条 和第三方合约中应包含必需安全要求，如：访问、处理、管理企业信息或信息系统安全要求。 7 信息资产和人员安全 7.1 资产责任 7.1.1 资产清单 第31条 应清楚识别全部资产，全部和信息相关关键资产全部应该在资产清单中标出，并立即维护更新。这些资产包含但不限于∶ 1)信息：数据库和数据文件、系统文档、用户手册、培训材料、操作手册、业务连续性计划、系统恢复计划、备份信息和合相同。 2)软件：应用软件、系统软件、开发工具和实用工具等。 3)实体：计算机设备（处理器、显示器、笔记本电脑、调制解调器等）、通讯设备（路由器、程控电话交换机、传真机等）、存放设备、磁介质（磁带和磁盘等）、其它技术设备（电源、空调器等）、机房等。 4)服务：通讯服务（专线）。 第32条 资产清单必需每十二个月最少审核一次。在购置新资产之前必需进行安全评定。资产交付后，资产清单必需更新。资产风险评定必需每十二个月最少一次，关键评定目前已布署安全控制方法有效性。 第33条 实体资产需要贴上合适标签。 7.1.2 资产管理权 第34条 全部资产全部应该被具体说明，必需指明具体管理者。管理者能够是个人，也能够是某个部门。管理者是部门资产则由部门主管负责监护。 第35条 资产管理者职责是： 1)确定资产保密等级分类和访问管理措施； 2)定时复查资产分类和访问管理措施。 7.1.3 资产合理使用 第36条 必需识别信息和信息系统使用准则，形成文件并实施。使用准则应包含： 1)使用范围 2)角色和权限 3)使用者应负责任 4)和其它系统交互要求 第37条 全部访问信息或信息系统职员、第三方必需清楚要访问资源使用准则，并负担她们责任。企业全部信息处理设备（包含个人电脑）只能被使用于工作相关活动，不得用来炒股、玩游戏等。滥用信息处理设备职员将受到纪律处分。 7.2 信息分类 7.2.1 信息分类标准 第38条 全部信息全部应该依据其敏感性、关键性和业务所要求访问限制进行分类和标识。 第39条 信息管理者负责信息分类，并对其进行定时检验，以确保分类正确。当信息被公布到企业外部，或经过一段时间后信息敏感度发生改变时，信息需要重新分类。 第40条 信息保密程度从高到低分为绝密、机密、秘密和非保密四种等级。以电子形式保留信息或管理信息资产系统，需依据信息敏感度进行标识。含有不一样分类信息系统，必需根据其中最高保密等级进行分类。 7.2.2 信息标识和处理 第41条 必需建立对应保密信息处理规范。对于不一样保密等级，应明确说明以下信息活动处理要求： 1)复制 2)保留和保管（以物理或电子方法） 3)传送（以邮寄、传真或电子邮件方法） 4)销毁 第42条 电子文档和系统输出信息（打印报表和磁带等）应带有合适信息分类标识。对于打印报表，其保密等级应显示在每页顶端或底部。 第43条 将保密信息发送到企业以外时，负责传送信息工作人员应在分发信息之前，先通知对方文档保密等级及其对应处理要求。 7.3 人员安全 7.3.1 信息安全意识、教育和培训 第44条 全部企业职员和第三方人员必需接收包含安全性要求、信息处理设备正确使用等内容培训，并应该立即了解和学习企业对安全管理制度和标准更新。 第45条 应该最少每十二个月向职员提供一次安全意识培训，其内容包含但不限于： 1)安全管理委员会下达安全管理要求 2)信息保密责任 3)通常性安全守则 4)信息分类 5)安全事故汇报程序 6)电脑病毒爆发时应对方法 7)灾难发生时应对方法 第46条 应该对系统管理员、开发人员进行安全技能方面培训，最少每十二个月一次。职员和第三方人员在开始工作后90天内，必需进行技术和安全方面培训。 第47条 灾难恢复演练应最少每十二个月举行一次。 7.3.2 惩戒过程 第48条 违反企业安全管理制度、标准和程序职员将受到纪律处分。在对信息安全事件调查结束后，必需对事件中相关人员依据企业惩戒要求进行处罚。纪律处分包含但不限于： 1) 通报批评 2) 警告 3) 记过 4) 解除劳动协议 5) 法律诉讼 第49条 当职员在接收可能包含解除劳动协议和法律诉讼违规调查时，其直接领导应暂停受调查职员工作职务和其访问权限，包含物理访问、系统应用访问和网络访问等。职员在接收调查时能够陈说见解，提出异议，并有深入申诉权力。 7.3.3 资产归还 第50条 在终止雇佣、协议或协议时，全部职员及第三方人员必需归还所使用全部企业资产。需要归还资产包含但不限于： 1) 帐号和访问权限 2) 企业电子或纸质文档 3) 企业购置硬件和软件资产 4) 企业购置其它设备 第51条 假如在非企业资产上保留有企业资产，必需在带出企业前归还或删除企业资产。 7.3.4 删除访问权限 第52条 在终止或变更雇佣、协议、协议时，必需删除全部职员及第三方人员对信息和信息系统访问权限，或依据变更进行对应调整。全部删除和调整操作必需在最终上班日之前完成。 第53条 对于公用资源，必需进行立即调整，比如：公用帐号必需立即更改密码。 第54条 在已经确定职员或第三方终止或变更意向后，必需立即对她们权限进行限制，只保留终止或变更所需要权限。 8 物理和环境安全方面 8.1 安全区域 8.1.1 物理安全边界 第55条 在企业物理环境里，应该对需要保护区域依据其关键性划分为不一样安全区域。尤其是相关键设备安全区域（比如机房）应该布署对应物理安全控制。 第56条 在机房统一入口处必需设置有专员值守接待区域，在尤其关键安全区域也应该设置类似接待区域。 第57条 在非办公时间内，关键安全区域必需安排保安定时巡视。任何时候，机房必需最少有一位保安值班。 保安值班表应最少每个月调整一次。 8.1.2 安全区域访问控制 第58条 在非办公时间，全部进入安全区域入口全部应该受到控制，比如实施电子门禁或上锁。任何时候，关键安全区域全部出入口必需受到严格访问控制，确保只有授权职员才能够进入此区域。 第59条 对于设有访问控制安全区域，必需定时审核并立即更新其访问权限。全部职员全部必需佩戴一个身份识别通行证，有责任确保通行证安全并不得转借她人。职员离职时必需交还通行证，同时取消其全部访问权限。 第60条 全部贵宾相关资料全部必需具体记载在贵宾进出记录表中，并向获准进入贵宾发放贵宾通行证。同时，必需有对应程序以确保回收所发放贵宾通行证。贵宾进出记录表必需最少保留1年，统计内容应包含但不限于： 1)贵宾姓名 2)贵宾身份 3)贵宾工作单位 4)来访事由 5)负责接待职员 6)贵宾通行证号码 7)进入日期和时间 8)离开日期和时间 8.1.3 办公场所和设施安全 第61条 放臵敏感或关键设备区域（比如机房）应尽可能不引人注目，给外面信息应尽可能最少，不应该有显著标志指明敏感区域所在位臵和用途。这些区域还应该被给对应保护，保护方法包含但不限于： 1)全部出入口必需安装物理访问控制方法 2)使用贵宾记录表方便统计来访信息 3)严禁吸烟 第62条 必需对支持关键性业务活动设备提供足够物理访问控制。全部安全区域和出入口必需经过闭路电视进行监控。一般会议室或其它公众场所必需和安全区域隔离开来。无人值守时候，办公区中信息处理设备必需从物理上进行保护。门和窗户必需锁好。 8.1.4 防范外部和环境威胁 第63条 办公场所和机房设计和建设必需充足考虑火灾、洪水、地震、爆炸、骚乱等天灾或人为灾难，并采取额外控制方法加以保护。 第64条 机房必需增加额外物理控制，选择场地应尽可能安全，并尽可能避免受到灾难影响。机房必需有防火、防潮、防尘、防盗、防磁、防鼠等设施。 第65条 机房建设必需符合国家标准GB2887-89《计算机场地技术条件》和GB9361-88《计算站场地安全要求》中要求。 第66条 机房消防方法必需满足以下要求： 1) 必需安装消防设备，并定时检验。 2) 应该指定消防指挥员。 3) 机房内严禁存放易燃材料，每七天例行检验一次。 4) 必需安装烟感及其它火警探测器和灭火装臵。应每三个月定时检验这些装备，确保它们能有效运作。 5) 必需在显著位臵张贴火灾逃生路线图、灭火设备平面放臵图和安全出口位臵。 6) 安全出口必需有显著标识。 7) 应该训练职员熟悉使用消防设施。 8) 紧急事件发生时必需提供紧急照明。 9) 全部疏散路线全部必需时刻保持通畅。 10)必需确保防火门在火灾发生时能够开启。 11)每十二个月应最少举行一次火灾撤离演练，使工作人员熟知火灾撤离过程。 8.1.5 在安全区域工作 第67条 职员进入机房访问授权，不能超出其工作所需范围。必需定时检察访问权限分配并立即更新。机房访问权限应不一样于进入大楼其它区域权限。 第68条 全部需要进入机房贵宾全部必需提前申请。必需维护和立即更新贵宾统计，以掌握贵宾进入机房具体情况。统计中应具体说明贵宾姓名、进入和离开日期和时间，申请者和进入原因。机房贵宾统计最少保留十二个月。贵宾必需得到明确许可后，在专员陪同下才能进入机房。 第69条 机房保护应在教授指导下进行，必需安装适宜安全防护和检测装臵。机房内严禁吸烟、饮食和拍摄。 8.1.6 机房操作日志 第70条 必需统计机房管理员操作行为，方便其行为能够追踪。操作统计必需备份和维护并妥善保管，预防被破坏。 第71条 在机房值班人员交接时，上一班值班人员所遗留问题和从事工作应明确交待给下一班，确保相关操作延续性。 8.2 设备安全 8.2.1 设备安置及保护 第72条 必需对设备实施安全控制，以降低环境危害和非法访问。应该考虑原因包含但不限于： 1) 水、火 2) 烟雾、灰尘 3) 震动 4) 化学效应 5) 电源干扰、电磁辐射 第73条 设备必需放臵在远离水灾地方，并依据需要考虑安装漏水警报系统。 应急开关如电闸、煤气开关和水闸等全部必需清楚地做好标识，而且能轻易访问。 设备全部应该装有适宜漏电保险丝或断路器进行保护。 放臵设备区域必需满足厂商提供设备环境要求。 设备操作必需遵守厂商提供操作规范。 通信线路和电缆必需从物理上进行保护。 8.2.2 支持设施 第74条 支持设施能够支持物理场所、设备等正常运作，比如：电力设施、空调、排水设施、消防设施、静电保护设施等。必需采取保护方法使设备免受电源故障或电力异常破坏。必需验证电力供给是否满足厂商设备对电源要求。每十二个月应最少对支持设施进行一次安全检验。工作环境中增加新设备时，必需对电力、空调、地板等支持设施负荷进行审核。必需设臵后备电源，比如不间断电源（UPS）或发电机。对需要配置后备电源设备装臵进行审核，确保后备电源能够满足这些设备正常工作。每十二个月必需最少对备用电源/进行一次测试。应急电源开关应在机房紧急出口周围，方便紧急情况发生时能够快速切断电源。电缆应依据供电电压和频率不一样而相互隔离。全部电缆全部应带有标签，标签上编码应统计归档。电缆应从物理上加以保护。 8.2.3 设备维护 第75条 全部生产设备必需有足够维护保障，关键设备必需提供7x24现场维护支持。全部生产设备必需定时进行预防性维护。只有经过同意、受过专业培训工作人员才能进行维护工作。设备全部维护工作全部应该统计归档。假如设备需要搬离安全区域进行修理，必需取得同意并卸载其存放介质。 第76条 必需建立设备故障汇报步骤。对于需要进行重大维修设备，步骤还应该包含设备检修汇报，及换用备用设备步骤。 8.2.4 管辖区域外设备安全 第77条 笔记本电脑用户必需保护好笔记本电脑安全，预防笔记本电脑损坏或被偷窃。 第78条 假如将设备带出企业，设备拥有者必需亲自或指定专员保护设备安全。设备拥有者必需对设备在企业场所外安全负责。 8.2.5 设备安全处理或再利用 第79条 再利用或报废之前，设备所含有全部存放装臵（比如硬盘等）全部必需经过严格检验，确保全部敏感数据和软件已被删除或改写，而且不可能被恢复。应该经过风险评定来决定是否根本销毁、送修还是丢弃含有敏感数据已损坏设备。 9 通信和操作管理方面 9.1 操作程序和职责 9.1.1 规范操作程序 第80条 必需为全部业务系统建立操作程序，其内容包含但不限于： 1)系统重启、备份和恢复方法 2)通常性错误处理操作指南 3)技术支持人员联络方法 4)和其它系统依靠性和处理优先级 5)硬件配臵管理 第81条 操作程序必需取得管理者同意才能对其进行修改。操作程序必需立即更新，更新条件包含但不限于： 1)应用软件变更 2)硬件配臵变更 9.1.2 变更控制 第82条 必需建立变更管理程序来控制系统变更，全部变更全部必需遵守变更管理程序要求。程序内容包含但不限于∶ 1)识别和统计变更请求 2)评定变更可行性、变更计划和可能带来潜在影响 3)变更测试 4)审批步骤 5)明确变更失败恢复计划和责任人 6)变更验收 第83条 关键变更必需制订计划，并在测试环境下进行足够测试后，才能在生产系统中实施。全部变更必需包含变更失败应对方法和恢复计划。全部变更必需取得授权和同意，变更申请和审批不得为同一个职员。对变更需要包含硬件、软件和信息等对象全部应标识出来并进行对应评定。变更在实施前必需通知到相关人员。 第84条 变更实施应该安排在对业务影响最小时间段进行，尽可能降低对业务正常运行影响。在生产系统安装或更新软件前，必需对系统进行备份。变更完成后，相关文档（如系统需求文档、设计文档、操作手册、用户手册等）必需得到更新，旧文档必需进行备份。 第85条 必需对变更进行复查，以确保变更没有对原来系统环境造成破坏。必需完整统计整个变更过程，并将其妥善保管。变更统计应最少每个月复查一次。 9.1.3 职责分离 第86条 系统管理员和系统开发人员职责必需明确分开。同一处理过程中关键任务不应该由同一个人来完成，以预防欺诈和误操作发生。 第87条 全部职责分离控制必需统计归档，作为责任分工依据。无法采取职责分离时，必需采取其它控制，比如活动监控、审核跟踪评定和管理监督等。 9.1.4 开发、测试和生产系统分离 第88条 不应给开发人员提供超出其开发所需范围权限。假如开发人员需要访问生产系统，必需经过运行人员授权和管理。 第89条 生产、测试和开发应分别使用不一样系统环境。开发人员不得在生产环境中更改编码或操作生产系统。不得在生产系统上私自安装开发工具（比如编译程序及其它系统公用程序等），并做好已经有开发工具访问控制。开发和测试环境使用测试数据不能包含有敏感信息。 9.1.5 事件管理程序 第90条 必需建立事件管理程序，并依据事件影响严重程度制订其所属类别，同时说明对应处理方法和责任人。必需依据事件严重程度，定义响应范围、时间和完成事件处理时间。 第91条 系统修复必需得到系统管理者同意方可实施。 第92条 全部事件汇报必需统计归档，并由部门主管或指定人员妥善保管。必需对事件处理情况进行监控，对超时处理提出改善提议并跟进改善效果。 9.2 第三方服务交付管理 9.2.1 服务交付 第93条 第三方提供服务必需满足安全管理制度要求。第三方提供服务必需满足企业业务连续性要求。 第94条 必需保留第三方提供服务、汇报和统计并定时评审，最少每六个月一次。评审内容应包含： 1) 服务内容和质量是否满足协议要求； 2) 服务汇报是否真实。 9.2.2 第三方服务变更管理 第95条 服务改变时，必需重新对服务是否满足安全管理措施进行评定。在服务变更时需要考虑： 1) 服务价格增加； 2) 新服务需求； 3) 企业信息安全管理制度改变； 4) 企业在信息安全方面新控制。 9.3 针对恶意软件保护方法 9.3.1 对恶意软件控制 第96条 必需建立一套病毒防治体系，方便预防病毒对企业带来影响。全部服务器、个人电脑和笔记本电脑全部应该安装企业要求防病毒软件，并立即更新防病毒软件。全部存进计算机信息（比如接收到邮件、下载文件等）全部必需经过病毒扫描。职员和第三方厂商从外界带来存放介质在使用之前必需进行病毒扫描。 第97条 全部职员全部应该接收防病毒知识培训和指导。 第98条 企业内发觉病毒、计算机或应用程序异常行为，全部必需作为安全事件进行汇报。 第99条 必需定时审核控制恶意软件方法有效性。一旦发觉感染病毒，必需立即把机器从网络中止开。在病毒没有被根本清除之前，严禁将其重新连接到网络上。 9.4 备份 9.4.1 信息备份 第100条 全部服务器、个人电脑和笔记本电脑必需依据业务需求定时进行备份。系统在重大变更之前和以后必需进行备份。 第101条 备份管理措施必需取得管理层审批以确保符合业务需求。备份管理措施必需最少每三个月进行一次复查，以确保没有发生未授权或意外更改。 第102条 应该保留多于1个备份周期备份，但关键业务信息应最少保留3个备份周期备份。备份资料和对应恢复操作手册必需定时传送到异地进行保留。异地必需和主站点有一定距离，以避免受主站点灾难波及。 第103条 必需对异地保留备份信息实施安全保护方法，其保护标准应和主站点相一致。必需定时测试备份介质，确保其可用性。必需定时检验和测试恢复步骤，确保它们有效性。备份系统必需进行监控，以确保其稳定性和可用性。 9.5 网络管理 9.5.1 网络控制 第104条 网络管理和操作系统管理职责应该相互分离，并由不一样职员负担。必需明确定义网络管理职责和义务。只有得到许可职员才能够使用网络管理系统。 第105条 必需建立对应控制机制，保护路由表和防火墙安全管理措施等网络参数完整性。保护经过公网传送敏感数据机密性、完整性和可用性。 第106条 进行网络协议兼容性评定时应考虑未来新增网络设备要求。任何准备接进网络新设备，在进网前全部必需经过协议兼容性评定和安全检验。 第107条 必需对网络进行监控和管理。全部网络故障全部必需向上级汇报。 第108条 必需建立互联网访问管理措施。除非得到授权，不然严禁访问外部网络服务。 9.6 介质管理 9.6.1 可移动介质管理 第109条 可移动计算机存放介质（比如磁带、光盘等）必需有合适访问控制。存放介质上必需设臵标签，以标识其类型和用途。标签应使用代码，以避免直接标识存放介质上内容。标识用代码需要统计并归档。 第110条 必需建立和维护介质清单，并对介质借用和归还进行统计。应确保备有足够存放介质，以备使用。 第111条 存放在存放介质内绝密和机密信息必需受到妥善保护。 第112条 存放介质存放环境必需满足介质要求环境条件（比如温度、湿度、空气质量等）。 第113条 备份介质必需存放在防火柜中。应该对介质寿命进行管理，在介质寿命结束前十二个月，将信息拷贝到新介质中。 9.6.2 介质销毁 第114条 应建立存放介质报废规范，包含但不限于： 1)纸质文档 2)语音资料及其它录音带 3)复写纸 4)磁带 5)磁盘 6)光存放介质 第115条 全部不会被再利用敏感文档全部必需依据定义信息密级采取合适方法进行销毁。 第116条 全部报废及过期存放介质必需妥善销毁。 9.6.3 信息处理程序 第117条 介质信息分类，必需采取存放信息中最高保密等级。 第118条 应依据介质中信息分类等级，采取对应方法来保护介质输出环境。 9.6.4 系统文档安全 第119条 存取含有敏感信息文档，必需取得对应文档管理者同意。含有敏感信息文档应保留在安全地方，未经许可不得访问。含有敏感信息文档经过内部网等提供访问，应采取访问控制加以保护。 9.7 信息交换 9.7.1 信息交换管理措施和程序 第120条 必需依据信息类型和保密等级，定义信息在交换过程中应遵照安全要求。 第121条 全部职员和第三方人员全部必需遵守企业信息交换管理措施。 第122条 未经许可，企业内部不许可安装、使用无线通信设备。 第123条 使用加密技术保护信息保密性、完整性和真实性。敏感信息带出企业必需取得直接领导或信息管理者授权。 第124条 必需建立控制机制来保护利用音频、传真和视频通信设备进行交换信息。 第125条 电话录音系统应该配臵密码，以防非法访问。 第126条 在使用传真机中已存放号码时，传真之前必需验证号码。 第127条 移动通讯设备（比如手机，PDA等）不应存放企业敏感信息。 9.7.2 交换协议 第128条 跟外界进行信息和软件交换必需签署协议，其内容必需包含： 1)发送方和接收方责任 2)明确发送和接收方法 3)制订信息封装和传输技术标准 4)数据丢失相关责任 5)申明信息保密等级和保护要求 6)申明信息和软件全部权、版权和其它相关原因 9.7.3 物理介质传输 第129条 必需建立传输存放介质安全标准。应使用可靠传输工具或传输人，授权传输人必需接收合适监管并进行其身份检验。应确保敏感信息机密性、完整性和可用性在传输全程中受到保护。 第130条 存放介质容器在运输过程前必需密封。信息分类不应该标识在容器外面。包装应该很坚固，确保介质在运输过程中不受到损坏。 9.7.4 电子消息 第131条 电子化办公系统必需建立对应管理措施和控制机制，并说明下列内容： 1)确定不能被共享信息类型或密级 2)系统用户权限 3)系统访问控制 4)和系统相关备份管理措施 第132条 除非取得安全管理委员会授权，不然严禁使用企业以外电子系统（比如BBS、MSN、QQ等）进行跟企业相关活动。 第133条 电子邮件内信息必需依据其信息分类安全要求去处理和保护。用于连接外网邮件网关必需安装防病毒软件，检验进出电子邮件。必需对Internet屏蔽邮件系统内网IP地址。 第134条 职员使用企业邮件系统时只能进行和业务相关活动。全部在企业邮件系统上产生及存放邮件全部是企业资产。企业有权查看和监控全部邮件。未经授权，严禁使用企业以外邮箱处理企业业务。全部对外发送邮件全部必需加上责任申明。 9.7.5 业务信息系统 第135条 在业务系统进行信息共享时，必需确保信息完整性、可用行和保密性。必需确保关键信息在交换过程中保密性。 9.8 电子商务服务 9.8.1 电子商务 第136条 必需采取合适方法，确保电子交易过程机密性、完整性和可用性。 第137条 电子商务交易必需制订相关交易申明，以明确注意事项和相关责任。在电子商务协议中，必需明确欺诈行为和未能交付责任。 第138条 电子交易必需设臵并维护合适访问控制。身份验证技术必需满足业