信息安全管理规范hcrv.docx

《信息安全管理规范hcrv.docx》由会员分享，可在线阅读，更多相关《信息安全管理规范hcrv.docx（38页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全全管理规规范公司版本信息息当前版本本: 最新更新新日期:最新更新新作者: 作者: 创建日期期: 审批人: 审批日期期: 修订历史史版本号更新日期期修订作者者主要修订订摘要Tablle oof CConttentts（目目录）1.公公司信息息安全要要求51.1信息安安全方针针51.2信息安安全工作作准则51.3职责61.4信息资资产的分分类规定定61.5信息资资产的分分级（保保密级别别）规定定71.6现行保保密级别别与原有有保密级级别对照照表81.7信息标标识与处处置中的的角色与与职责81.8信息资资产标注注管理规规定91.9允许的的信息交交换方式式101.100信息资资产处理理和保护护

2、要求对对应表101.111口令使使用策略略121.122桌面、屏屏幕清空空策略131.133远程工工作安全全策略141.144移动办办公策略略141.155介质的的申请、使使用、挂挂失、报报废要求求151.166信息安安全事件件管理流流程171.177电子邮邮件安全全使用规规范191.188设备报报废信息息安全要要求201.199用户注注册与权权限管理理策略201.200用户口口令管理理211.211终端网网络接入入准则211.222终端使使用安全全准则221.233出口防防火墙的的日常管管理规定定231.244局域网网的日常常管理规规定231.255集线器器、交换换机、无无线APP的日常常管

3、理规规定231.266网络专专线的日日常管理理规定241.277信息安安全惩戒戒242.信信息安全全知识252.1什么是是信息？252.2什么是是信息安安全？252.3信息安安全的三三要素252.4什么是是信息安安全管理理体系？262.5建立信信息安全全管理体体系的目目的272.6信息安安全管理理的PDDCA模模式282.7安全管管理风风险评估估过程282.8信息安安全管理理体系标标准（IISO2270001标准准家族）292.9信息安安全控制制目标与与控制措措施301. 公司信息息安全要要求1.1 信息安全全方针n 拥有信息息资产，积积累、共共享并保保护信息息资产是是我们共共同的责责任。n

4、管理与技技术并重重，确保保公司信信息资产产的安全全，保障障公司持持续正常常运营。n 履行对客客户知识识产权的的保护承承诺，保保障客户户信息资资产的安安全，满满足并超超越客户户信息安安全需求求。1.2 信息安全全工作准准则n 保护信息息的机密密性、完完整性和和可用性性，即确确保信息息仅供给给那些获获得授权权的人员员使用、保保护信息息及信息息处理方方法的准准确性和和完整性性、确保保获得授授权的人人员能及及时可靠靠地使用用信息及及信息系系统；n 公司通过过建立有有效的信信息安全全管理体体系和必必要的技技术手段段，保障障信息资资产的安安全，降降低信息息安全风风险；n 各级信息息安全责责任者负负责所辖辖

5、区域的的信息安安全，通通过建立立相关制制度及有有效的保保护措施施，确保保公司的的信息安安全方针针得到可可靠实施施；n 全体员工工应只访访问或使使用获得得授权的的信息系系统及其其它信息息资产，应应按要求求选择和和保护口口令；n 未经授权权，任何何人不得得对公司司信息资资产进行行复制、利利用或用用于其它它目的；n 应及时检检测病毒毒，防止止恶意软软件的攻攻击；n 公司拥有有为保护护信息安安全而使使用监控控手段的的权力,任何违违反信息息安全政政策的员员工都将将受到相相应处理理；n 通过建立立有效和和高效的的信息安安全管理理体系，定定期评估估信息安安全风险险，持续续改进信信息安全全管理体体系。1.3

6、职责全体员工工应保护护公司信信息资产产的安全全。每个个员工必必须认识识到信息息资产的的价值，负负责保护护好自己己生成、管管理或可可触及的的涉及的的数据和和信息。员员工必须须遵守信信息标识识与处理理程序，了了解信息息的保密密级别。对对于不能能确定是是否为涉涉密信息息的内容容，必须须征得相相关管理理部门的的确认才才可对外外披露。员员工必须须遵守信信息安全全相关的的各项制制度和规规定，保保证的系系统、网网络、数数据仅用用于的各各项工作作相关的的用途，不不得滥用用。1.4 信息资产产的分类类规定 公司的的信息资资产分为为电子数数据、软软件、硬硬件、实实体信息息、服务务五大类类。类别说明电子数据据存在信

7、息息媒介上上的各种种数据资资料，包包括源代代码、数数据库数数据等各各种电子子化的数数据资料料、项目目文档、管管理文档档、运行行管理规规程、计计划、报报告、用用户手册册、作业业指导书书等各种种电子化化的数据据资料。软件包括系统统软件、应应用软件件、共享享软件系统软件件：操作作系统、语语言包、工工具软件件、各种种库等；应用软件件：外部部购买的的应用软软件，办办公软件件等；共享软件件：各种种共享源源代码、共共享可执执行程序序等。硬件网络设备备：路由由器、网网关、交交换机等等计算机设设备：大大型机、服服务器、工工作站、台台式计算算机、移移动计算算机等存储设备备：磁带带机、磁磁盘阵列列、工控控机等移动存

8、储储设备：磁带、光光盘、软软盘、UU盘、移移动硬盘盘等传输线路路：光纤纤、双绞绞线等基础保障障设备：（UPPS、变变电设备备等）、空空调、保保险柜、文文件柜、门门禁、消消防设施施等，如如对基础础设施使使用属于于租用形形式，请请将其识识别到服服务类别别中。安全保障障设备：硬件防防火墙、入入侵检测测系统、身身份验证证等其他电子子设备：打印机机、复印印机、扫扫描仪、传传真机等等实体信息息纸制的各各种文件件、合同同、传真真、会议议纪要、财财务报表表、证书书、电报报、发展展计划以以及各类类其他材材质的证证书奖牌牌等。服务通过各种种协议方方式固化化下来的的服务活活动、如如物业、第第三方、供供应商、提提供检

9、修修服务的的提供方方等。1.5 信息资产产的分级级（保密密级别）规规定信息资产产分为：一般、内内部公开开、企业业秘密、企企业机密密4个保保密级别别。保密级别别名称说明1一般一般性信信息，可可以公开开的信息息、信息息处理设设备和系系统资源源。2内部公开开非敏感但但仅限公公司内部部使用的的信息、信信息处理理设备和和系统资资源。3企业秘密密敏感的信信息、信信息处理理设备和和系统资资源，只只给必须须知道者者。4企业机密密敏感的信信息、信信息处理理设备和和系统资资源，仅仅适用极极少数必必须知道道的人。1.6 现行保密密级别与与原有保保密级别别对照表表保密级别别与公司司原有的的保密级级别的对对照表如如下：

10、现行的保保密级别别与之相当当的原有有保密级级别一般一般内部公开开秘密企业秘密密机密企业机密密绝密1.7 信息标识识与处置置中的角角色与职职责角色职责责任人：信息资资产的创创建者，或或者主要要用户所所在组织织、单位位或部门门的负责责人。信信息资产产责任人人对所属属信息资资产负直直接责任任。n 理解和各各种信息息访问活活动相关关的安全全风险；n 根据公司司信息密密级划分分标准来来确定所所属信息息资产的的级别；n 根据公司司相关策策略确定定并检查查信息访访问权限限；n 针对所属属信息资资产提出出恰当的的保护措措施。 保管者：受信息息资产责责任人委委托，对对信息资资产进行行日常的的管理，维维护已经经建

11、立的的保护措措施。资资产保管管者通常常是公司司或部门门的ITT管理者者或者代代表（例例如系统统管理员员）。 n 根据公司司相关策策略和信信息资产产责任人人的要求求，负责责信息资资产的维维护操作作和日常常管理事事务；n 负责具体体设置信信息访问问权限；n 负责所管管理的信信息资产产的安全全控制；n 部署恰当当的安全全机制，进进行备份份和恢复复操作；n 按照信息息资产责责任人的的要求实实施其他他控制。用户：信信息资产产的使用用者，除除了公司司内部员员工，也也可能是是因为业业务需要要而访问问公司信信息的客客户或第第三方组组织。n 向信息责责任人申申请信息息访问；n 按照公司司信息安安全策略略要求正正

12、当访问问信息，禁禁止非授授权访问问；n 向相关组组织报告告隐患、故故障或者者违规事事件。1.8 信息资产产标注管管理规定定（1） 公司所属属的各类类信息资资产，无无论其存存在形式式是电子子、纸质质还是磁磁盘等，都都应在显显著位置置标注其其保密级级别。（2） 一般电子子或纸质质文档应应在该文文档页眉眉的右上上角或页页脚上标标注其保保密级别别或在文文件封面面打上保保密章，磁磁盘等介介质应在在其表面面非数据据区予以以标注其其保密级级别。（3） 如果某存存储介质质中包含含各个级级别的信信息，作作为整体体考虑，该该存储介介质的保保密级别别标注应应以最高高为准。（4） 如果没有有明显的的保密级级别标注注，

13、该信信息资产产以“一一般”级级别看待待。（5） 对于对外外公开的的信息，需需要得到到相关责责任人的的核准，并并由对外外信息发发布部门门统一处处理。（6） 如需在信信息资产产上表述述保密声声明，可可采用以以下两种种表述方方式：表述方式式一：“保保密声明明：公司司资产，注注意保密密。”表述方式式二：“保保密声明明：本文文档受国国家相关关法律和和公司制制度保护护，不得得擅自复复制或扩扩散。”1.9 允许的信信息交换换方式 公司允允许的信信息交换换方式有有：邮件件、视频频、电话话、网站站内容发发布、文文件共享享、传真真、光盘盘、磁盘盘、磁带带和纸张张。1.10 信息资产产处理和和保护要要求对应应表 企

14、业机密密企业秘密密内部公开开一般授权需得到责责任人和和公司管管理层批批准需得到相相关责任任人及部部门领导导批准需得到责责任人批批准无特别要要求访问只能被得得到授权权的公司司极少数数核心人人员访问问只能被公公司内部部或外部部得到明明确授权权的人员员访问，访访问者应应该签署署保密协协议可以被公公司内部部或外部部因为业业务需要要的人员员访问任何公司司员工或或外部人人员都可可以访问问存储电子类的的应该加加密存储储在安全全的计算算机系统统内；硬硬拷贝应应该锁在在安全的的保险柜柜内；禁禁止以其其他形式式存储或或显示电子类的的应该妥妥善保存存在设有有安全控控制的计计算机系系统内（建建议进行行信息加加密）；硬

15、拷贝贝应该妥妥善保管管，严禁禁摆放在在桌面；使用白白板展示示后应立立即擦除除电子类的的应该妥妥善保管管，可以以进行加加密；纸纸质不应应放在桌桌面以恰当方方式保存存，避免免被非授授权人员员看到；存储有有信息的的介质避避免丢失失复制得到相关关责任人人及公司司管理层层批准；需要登登记须经相关关责任人人批准，并并让专人人操作或或监督实实施，需需要登记记经相关责责任人批批准内部复制制无限制制打印禁止打印印（或在在授权情情况下专专人负责责打印，不不得打印印到无人人值守机机）须经相关关责任人人许可，打打印件标标注密级级并妥善善管理，不不得打印印到无人人值守机机经相关责责任人许许可，打打印件标标注密级级并妥善

16、善管理无限制，打打印件标标注密级级邮件禁止邮件件直接发发送，经经授权后后做电子子签名和和加密控控制，经经安全的的途径发发送，保保留记录录须经相关关责任人人许可，邮邮件发送送应做加加密控制制，保留留记录经相关责责任人许许可无限制传真禁止传真真须经相关关责任人人许可后后专人负负责传真真经相关责责任人许许可无限制快递经授权后后采取妥妥善的保保护措施施，由专专人快递递经授权后后，由签签署了特特定安全全协议的的专门的的快递公公司快递递经授权后后，由签签署了特特定安全全协议的的专门的的快递公公司快递递无限制内部分发发经相关责责任人和和公司管管理层批批准后，密密封分发发，或以以允许的的电子分分发形式式进行安

17、安全的分分发经相关责责任人批批准后，密密封分发发，或以以允许的的电子分分发形式式进行安安全的分分发经授权后后，以内内部邮件件形式发发放，或或直接进进行硬拷拷贝分发发无限制对外分发发经相关责责任人和和公司管管理层批批准后分分发，需需要签署署特定的的保密协协议，需需要进行行登记经相关责责任人批批准后分分发，需需签署保保密协议议，需要要进行登登记经授权后后，以邮邮件或者者快递方方式分发发，建议议签署保保密协议议经授权后后，以允允许的分分发方式式分发处理碎纸机；彻底销销毁介质质；电子子记录定定期消除除；进行行检查确确认碎纸机；彻底销销毁介质质；电子子记录定定期消除除；进行行检查确确认保存件标标明作废废

18、；电子子记录定定期消除除；介质质销毁电子记录录定期消消除，介介质销毁毁记录跟踪踪直接责任任人应有有收件人人、复制制者、保保存者、浏浏览者、销销毁者的的日志记记录跟踪文件件复制、保保存、浏浏览、销销毁过程程，应有有记录无要求不建议跟跟踪1.11 口令使用用策略 全体员员工在挑挑选和使使用口令令时，应应：（1） 保证口令令的机密密。（2） 除非能安安全保存存，避免免将口令令记录在在纸上。（3） 只要有迹迹象表明明系统或或口令可可能遭到到破坏，应应立即更更改口令令。（4） 选用高质质量的口口令，最最少要有有6个字字符，另另外：A 口令应由由字母加加数字组组成；B 口令不应应采用如如姓名、电电话号码码

19、、生日日等容易易猜出或或破解的的信息。（5） 每三个月月更改或或根据访访问次数数更改口口令（特特别是特特权用户户），避避免再次次使用或或循环使使用旧口口令。（6） 首次登录录时，应应立即更更改临时时口令。（7） 不得共享享个人用用户口令令。1.12 桌面、屏屏幕清空空策略 为了降降低在正正常工作作时间以以外对信信息进行行未经授授权访问问所带来来的风险险、损失失和损害害，员工工应：（1） 在闲置或或工作时时间之外外将纸张张或计算算机存储储介质储储存在合合适的柜柜子或其其它形式式的安全全设备中中。（2） 当办公室室无人时时将关键键业务信信息放置置到安全全地点（比比如防火火的保险险箱或柜柜子中）。（

20、3） 在无人使使用时，将将个人计计算机、计计算机终终端和打打印机、复复印机设设为锁定定状态。（4） 为个人计计算机、计计算机终终端设定定密码，同同时设定定屏保时时间（=155分钟）。（5） 在打印保保密级别别为企业业机密、企企业秘密密的信息息后，应应立刻从从打印机机中清除除相关痕痕迹，并并有效保保护打印印出来的的信息内内容。1.13 远程工作作安全策策略必须保护护好远程程工作场场所防止止盗窃设设备和信信息、未未经授权权公开信信息、对对公司内内部系统统进行远远程非法法访问或或滥用设设备等行行为。员员工应：（1） 保障物理理安全。（2） 对家人和和客人使使用设备备进行限限制。如如果必须须要使用用，

21、应在在旁边进进行监督督和控制制，确保保关键业业务信息息的安全全。（3） 远程工作作活动结结束时，权权限以及及设备及及时收回回。（4） 网络远程程登录终终端的拨拨号密码码即VPPN帐号号仅限本本人使用用，不允允许他人人使用。（5） 进入公司司或客户户的信息息系统工工作完毕毕后，必必须立即即退出系系统。1.14 移动办公公策略使用移动动办公设设备（如如笔记本本电脑）时时，员工工尤其应应该注意意保证业业务信息息不受损损坏、非非法访问问或泄密密：（1） 移动办公公设备需需要带出出公司工工作场所所时，应应进行登登记。（2） 在公共场场所使用用移动办办公设备备时，必必须注意意防范被被未经授授权的人人员窥视

22、视。（3） 应实时更更新用于于防范恶恶意软件件的程序序。（4） 应对信息息进行方方便快捷捷的备份份。（5） 备份的信信息应该该予以适适当的保保护以防防信息被被盗或丢丢失。（6） 使用移动动办公设设备通过过公共网网对公司司商务信信息进行行远程访访问时必必须进行行身份识识别和VVPN访访问控制制。（7） 防止移动动办公设设备被盗盗。（8） 防止保密密级别为为企业秘秘密级以以上的信信息所在在的移动动办公设设备无人人看管。1.15 介质的申申请、使使用、挂挂失、报报废要求求 （1） 介质的申申请：序号责任者任务相关文件件或记录录1资产管理理员按照公司司的固定定资产或或消耗资资材申领领方式向向公司申申领

23、介质质。 固定定资产管管理制度度 计算算机维护护消耗资资材管理理办法2资产管理理员从公司领领取介质质并登记记到 介质登登记表中中。 介质质登记表表3资产管理理员如通过设设备管理理，需通通过ussb使用用的移动动存储介介质在中中注册。参见使用用说明4资产管理理员在 介介质登记记表中中登记发发放时间间，使用用人等信信息后发发放介质质。 介质质登记表表（2） 介质的使使用：A 如安装了了设备，所所有工作作中使用用的USSB存储储介质都都应在中中进行注注册。B 如果确认认介质中中的内容容不再需需要，应应立即将将其以可可靠方式式清除。C 如果数据据需要保保存，则则使用人人应该保保存在有有良好安安全措施施

24、的个人人计算机机和服务务器上，而而不应该该放在计计算机活活动介质质中。D 所有的备备份介质质都应存存放在安安全可靠靠的地方方，并符符合生产产厂家说说明书的的安全要要求。（3） 介质的挂挂失：序号责任者任务相关文件件或记录录1使用者使用人立立即向资资产管理理员申报报挂失2资产管理理员如果是通通过ussb使用用的移动动存储介介质被挂挂失且在在上注册册过，则则应在上上进行注注销。3资产管理理员在介质登登记表中中登记挂挂失介质登登记表（4） 介质的报报废：序号责任者任务相关文件件或记录录1使用者1）、书书面文件件用碎纸纸机粉碎碎2）、其其他介质质报废，使使用人向向资产管管理员申申请介质质报废。2资产管

25、理理员如果是通通过ussb使用用的移动动存储介介质且在在上注册册过，则则应在上上进行注注销。3资产管理理员按照公司司的固定定资产和和消耗资资材的报报废流程程实施。 固定定资产管管理制度度 计算算机维护护消耗资资材管理理办法4资产管理理员在介质清清单中登登记已报报废 1介介质登记记表1.16 信息安全全事件管管理流程程（1） 发现A 公司全体体员工都都有责任任和义务务将已发发现的或或可疑的的事件、故故障和薄薄弱点及及时报告告给相关关部门或或人员。B 任何企图图阻拦、干干扰、报报复事件件报告者者的行为为都被视视为违反反公司策策略。（2） 报告A 对于部门门范围内内的信息息安全事事件，当当事人可可直

26、接向向部门负负责人报报告，并并按照本本部门规规范进行行处理。事事件处理理者需填填写附录录中的 信息安安全事件件报告处处理记录录单，每每月将相相关记录录上交过过程管理理部。B 除部门内内可以自自行处理理的信息息安全事事件外，其其余信息息安全事事件必须须统一上上报给客客服记录录 。（3） 响应A 客服对信信息安全全事件做做出最初初响应，将将技术方方面的信信息安全全事件交交给系统统服务部部组织处处理，将将管理方方面的信信息安全全事件交交给过程程管理部部组织相相关部门门进行处处理。B 需要做进进一步调调查的信信息安全全事件，当当其影响响范围涉涉及整个个公司或或影响程程度严重重妨碍了了公司的的正常运运营

27、时，报报告给信信息安全全管理委委员会。C 事件响应应及处理理者在处处理安全全事件时时应考虑虑以下优优先次序序：n 保护人员员的生命命与安全全n 保护敏感感的设备备和资料料n 保护重要要的数据据资源n 防止系统统被损坏坏n 将公司遭遭受的损损失降至至最小D 如果发生生违法事事件，事事件相关关涉及部部门要采采集并保保存有效效证据，上上交过程程管理部部报告给给公司最最高管理理者决策策，由法法务部向向外部法法律机构构报告。必必要时，法法务部可可以寻求求外部专专家的支支持。（4） 评价/调调查安全事件件或故障障发生之之后，事事件处理理者要对对事件或或故障的的类型、严严重程度度、发生生的原因因、性质质、产

28、生生的损失失、责任任人进行行调查确确认，形形成事件件或故障障评价资资料。（5） 惩戒A 要根据事事件的严严重程度度、造成成的损失失、产生生的原因因对违规规者进行行教育或或者处罚罚。B 惩戒手段段可包括括通报批批评、行行政警告告、经济济处罚、调调离岗位位、依据据合同给给予辞退退，对于于触犯刑刑律者可可交司法法机关处处理。C 具体处罚罚标准参参见信信息安全全管理职职责程序序。（6） 公告A 事件的调调查结果果要反馈馈给当事事部门领领导。B 当事部门门可组织织相关的的人员进进行学习习和培训训。1.17 电子邮件件安全使使用规范范（1） 公司电子子邮件系系统禁止止用于创创建与分分发任何何含有破破坏性、

29、歧歧视性的的信息，包包括对种种族、性性别、残残疾人、年年龄、职职业、性性取向、宗宗教信仰仰、政治治信念、国国籍等方方面的攻攻击性语语言。公公司的员员工如果果接收到到任何含含有此类类信息的的邮件，应应立即向向主管领领导进行行汇报。（2） 禁止使用用公司帐帐号发送送连锁信信。禁止止使用公公司电子子邮件帐帐号发送送病毒或或恶意代代码警告告邮件。这这些规则则也适用用于当公公司员工工接收到到这类电电子邮件件并进行行转发的的情况。（3） 使用的邮邮件软件件客户端端要及时时升级，减减少由于于软件的的漏洞而而受到外外部攻击击，避免免因此而而导致的的邮件丢丢失和系系统中毒毒。（4） 邮件必须须有标题题，尽量量以

30、文本本方式浏浏览邮件件。（5） 陌生人的的邮件附附件尽量量不要打打开，禁禁止撰写写、发送送、转发发各种垃垃圾邮件件，禁止止在未经经授权的的情况下下利用他他人的计计算机系系统发送送互联网网电子邮邮件。（6） 禁止使用用工作邮邮箱从事事任何非非法活动动及其与与工作无无关的邮邮件。（7） 为了保证证邮件安安全禁止止使用自自动转发发功能。（8） 公司业务务信息邮邮件必须须使用公公司规定定的业务务专用邮邮箱发送送，除了了业务相相关邮件件禁止使使用业务务邮箱发发送其他他邮件。（9） 邮件必须须主题明明确，能能够通过过邮件主主题判断断业务类类别。（10） 做好邮件件的病毒毒防护工工作。发发送邮件件应该注注意

31、邮件件的保密密，避免免泄漏公公司机密密。（11） 所有员工工都要严严格遵守守电子子邮件安安全使用用规范的的相关规规定，员员工之间间应互相相监督，及及时制止止违反规规定的人人员，对对于使用用公司邮邮箱传播播反动言言论、从从事任何何与法律律或公司司制度相相违活动动的人员员将禁用用或者注注销其邮邮箱，并并根据情情节严重重给予相相应处罚罚或提交交司法机机关处理理。1.18 设备报废废信息安安全要求求报废设备备上交前前，使用用者自己己负责将将设备介介质中的的信息进进行备份份，机电电一体化化产品事事业部负负责将设设备介质质中的所所有信息息清除掉掉，以防防信息泄泄漏。1.19 用户注册册与权限限管理策策略

32、对任何何多用户户使用的的信息系系统和服服务设施施进行访访问，应应：（1） 使用唯一一的用户户名，以以便将用用户与其其操作联联系起来来，使用用户对其其操作负负责。只只有因工工作需要要才允许许使用组组用户名名。（2） 添加新用用户或用用户权限限变更时时应有书书面申请请并经过过审批。（3） 系统管理理员对新新注册用用户进行行授权。（4） 应记录所所有注册册用户。（5） 用户因工工作变更更或离开开组织时时，应立立即取消消其访问问权限。（6） 系统权限限管理的的责任人人应定期期组织检检查并删删除多余余的用户户名和账账户，并并对用户户的访问问权限进进行定期期评审或或在变动动后进行行评审。（7） 系统权限限

33、管理的的责任人人需要严严格控制制特权的的分配和和使用，要要对特权权的分配配和使用用情况进进行评审审，确保保没有非非法授予予用户特特权，以以保证对对数据和和信息服服务的访访问进行行了有效效的控制制。1.20 用户口令令管理在进行信信息系统统的口令令管理，应应：（1） 用户需要要自己维维护口令令，系统统仅在开开始时提提供一个个安全的的临时口口令，用用户需要要立即更更改临时时口令。用用户忘记记口令时时，必须须在对该该用户进进行适当当的身份份核实后后才能向向其提供供临时口口令。（2） 在向用户户提供临临时口令令时必须须确保其其安全，避避免使用用第三方方或无保保护的（明明文）电电子邮件件，用户户应对收收

34、到的口口令予以以确认。（3） 不允许在在计算机机系统上上以无保保护的形形式存储储口令。（4） 保证个人人口令安安全，确确保工作作组口令令仅在本本组成员员间共享享。1.21 终端网络络接入准准则公司网络络覆盖范范围内使使用的每每台计算算机，员员工均应应安装公公司规定定的防毒毒软件 ，不得得私自使使用其他他防毒软软件。1.22 终端使用用安全准准则（1） 每台计算算机应开开启实时时监控功功能，定定期进行行计算机机病毒检检测，并并及时对对防毒软软件或病病毒特征征库进行行升级更更新。（2） 每台计算算机应定定期连接接公司网网络并从从病毒服服务器获获得防病病毒软件件的最新新定义码码及扫描描引擎。（3）

35、为防止计计算机使使用人员员私自卸卸载客户户端及信信息安全全客户端端，卸载载密码和和工具由由系统服服务事业业部统一一管理。（4） 公司不定定期组织织相关部部门对客客户端及及信息安安全客户户端安装装情况进进行抽查查。抽查查情况将将通报各各相关部部门并列列入年度度的绩效效考核。（5） 计算机使使用人员员在安装装、使用用客户端端及信息息安全客客户端中中遇到技技术问题题，可通通过拨打打客户服服务热线线寻求技技术支持持。（6） 为防止恶恶意代码码的侵扰扰，每台台计算机机必须按按访问问控制管管理程序序第55.2.1节的的要求设设置管理理员口令令；网络络共享文文件必须须设置密密码和只只读权限限。（7） 任何部

36、门门和个人人不得制制作、复复制、传传播计算算机病毒毒，任何何部门和和个人负负有清除除或防治治计算机机病毒的的义务。（8） 不使用来来路不明明或含有有盗版软软件的软软盘与光光盘，不不随意安安装执行行从网络络上下载载的各种种程序。当当需要从从计算机机信息网网络上下下载程序序、数据据或者购购置、维维修、借借入计算算机设备备时，应应当进行行计算机机病毒检检测。（9） 使用电子子邮件，对对来路不不明的邮邮件（特特别是含含有附件件的邮件件），收收到后不不要打开开，直接接删除并并清空废废件箱。1.23 出口防火火墙的日日常管理理规定（1） 为公司的的出口防防火墙设设置只读读权限，便便于监视视进出本本公司的的

37、所有访访问。（2） 对防火墙墙的接口口IP地地址、用用户名、口口令及配配置文件件信息进进行严格格管理。（3） 除授权人人员外，禁禁止任何何人员物物理接触触防火墙墙；对防防火墙的的远程管管理仅限限于指定定IP地地址、指指定管理理方式、指指定用户户、指定定用户的的管理权权限。（4） 严禁连接接公司网网络的任任何单位位和人员员以任何何形式对对防火墙墙进行攻攻击。（5） 集中收集集、存储储防火墙墙报警日日志，定定期检查查防火墙墙安全记记录，优优化防火火墙访问问规则，杜杜绝安全全漏洞。（6） 定期使用用安全评评估系统统检查防防火墙的的各项服服务是否否有漏洞洞。（7） 部门如有有公司出出口防火火墙的变变更

38、需求求，必须须通过公公司审批批，备案案在册，由由系统服服务部统统一操作作。1.24 局域网的的日常管管理规定定各部门不不得将私私自构建建的局域域网接入入公司网网络。如如需接入入必须通通过公司司审批，备备案在册册，由系系统服务务部统一一操作。员工在办办公区域域只能通通过公司司内网联联入互联联网。1.25 集线器、交交换机、无无线APP的日常常管理规规定（1） 各部门不不得私自自使用网网络访问问设备。（2） 禁止使用用路由器器及无线线路由设设备。（3） 如需使用用集线器器、交换换机、无无线APP，必须须通过公公司审批批，备案案在册。（4） 无线APP必须设设置符合合安全要要求的密密码（具具体要求求

39、参见管管理文件件访问问控制管管理程序序中55.2.1的要要求），只只有被授授权人员员方可使使 用无无线网络络。（5） 公司定期期检查集集线器、交交换机、无无线APP的登记记和使用用情况。1.26 网络专线线的日常常管理规规定（1） 各部门不不得私自自搭建网网络专线线。如需需使用网网络专线线必须通通过公司司审批，备备案在册册。（2） 公司定期期检查网网络专线线的登记记和使用用情况。1.27 信息安全全惩戒（1） 全体员工工（含临临时员工工、派遣遣员工、实实习员工工、常驻驻外包员员工）均均应遵守守所有与与信息安安全相关关的管理理规定，不不允许任任何部门门或人员员有损害害公司信信息安全全的行为为。（

40、2） 对违反信信息安全全管理规规定，并并造成严严重后果果的部门门或员工工，由公公司信息息安全管管理委员员会授权权实施惩惩戒。（3） 惩戒手段段包括通通告、行行政警告告、经济济处罚、调调离岗位位、依据据合同予予以辞退退，对于于触犯刑刑律者移移交司法法机关处处理。（4） 对于的合合同承包包商和外外部用户户，如果果违反了了信息安安全管理理规定，公公司信息息安全委委员会有有权建议议公司中中止与他他们的合合同和协协议。2. 信息安全全知识2.1 什么是信信息？是来自任任何来源源的知识识。在ISOO 2770011的标准准里： 信息是一一种资产产，就象象其它重重要的企企业资产产一样， 信息资产产对组织织具

41、有价价值，因因而需要要受到妥妥善的保保护。 信息是有有生命周周期的。安全保护护应兼顾顾到从其其创建或或诞生，到到被使用用或操作作，到存存储，再再到被传传递，直直至其生生命期结结束而被被销毁或或丢弃。2.2 什么是信信息安全全？信息安全全的目的的是，保保护信息息不受各各种威胁胁，以确确保业务务连续，将将企业损损失降至至最低，将将投资收收益与商商业机会会最大化化。信息安全全的任务务是，要要采取措措施（技技术手段段及有效效管理）让让这些信信息资产产免遭威威胁，或或者将威威胁带来来的后果果降到最最低程度度，以此此维护组组织的正正常运作作。2.3 信息安全全的三要要素n 机密性n 完整性n 可用性注：1

42、）、机机密性：信息不不可用或或不被泄泄漏给未未授权的的个人、实实体或过过程的特特性，确确保只有有获得授授权的使使用者才才能使用用信息。2）、完完整性：保护资资产的精精确与完完整的特特性，确确保信息息在存储储、使用用、传输输的过程程中不会会被未授授权用户户篡改，同同时还要要防止授授权用户户对系统统及信息息进行不不恰当的的篡改，保保持信息息内、外外部表示示的一致致性。3）、可可用性：需要时时，授权权实体可可以访问问和使用用的特性性，确保保授权用用户或实实体对信信息及资资源的正正常使用用不会被被异常拒拒绝，允允许其可可靠而及及时地访访问信息息及资源源。2.4 什么是信信息安全全管理体体系？信息安全全

43、管理体体系是协协调的活活动以指指挥和控控制：n 一组被分分配职责责和权限限及关系系的人和和设备；n 保护信息息的机密密性、完完整性和和可用性性；n 此外，其其他的特特性，如如可鉴别别性、可可归责性性、不可可抵赖性性和可靠靠性也可可以考虑虑。2.5 建立信息息安全管管理体系系的目的的n 增强各种种类型的的组织机机构内部部管理的的信心。n 为各种类类型的组组织机构构开发、实实施、衡衡量安全全管理实实践的有有效性提提供了一一个基础础、依据据。n 为投资活活动提供供保障，防防止各种种安全事事故的发发生。方针与流程管理和审核数据隐私和完整性授权身份识别与鉴定启动方案实施原则，要干什么你是谁，如何证明谁有

44、权使用、查看、编辑.的潜在冲击ilities34343434343434343434343434343434343434343434343434343434343434343434343434343434343434343434343434343434343434343434343434343434343434343434343434343434343434343434343434343434343434343434343434343434343434343434343434343434创建、删除、复制数据谁发送的、谁可以阅读谁何时干了什么2.6 信息安全全管理的的PDCCA模式式2.7 安全

45、管理理风险险评估过过程Asset Identification and Valuation 资产鉴别与评价Identification of vulnerabilities脆弱性的鉴别Identification of Threats威胁的鉴别Evaluation of Impacts冲击的评估Review of Existing Security Controls现有的安全控制措施审查Identification of new Security Controls新安全控制措施的鉴别Policy and Procedures政策与程序Implementation and Risk Reduction实施与风险降低Risk Acceptance (Residual Risk)风险可接受度(残余风险)Risk Assessment风险评估Business Risk营运风险Risk ManagementRating/ranking of Risks风险的分级2.8 信息安全全管理体体系标准准（ISSO27700