華數(shù)傳媒信息安全管理條例 第一章 總 則 第一節(jié) 編制說明 第一條 為了加強(qiáng)信息安全管理，保障各種信息資產(chǎn)的機(jī)密性、完整性和可用性，特制定《信息安全管理制度》（以下簡稱“本制度”）。 第二條 本制度是信息安全管理的總原則。 第三條 本制度的解釋和修改權(quán)屬于華數(shù)數(shù)字電視IT管理部。 第二節(jié) 適用范圍 第四條 本制度適用于對公司信息資產(chǎn)各要素（包括：人員、數(shù)據(jù)、網(wǎng)絡(luò)、終端等）的安全管理，部門人員在涉及到信息安全時應(yīng)遵照執(zhí)行。 第三節(jié) 依據(jù)標(biāo)準(zhǔn)和參考文獻(xiàn) 第五條 本制度依據(jù)標(biāo)準(zhǔn)和參考文獻(xiàn)包括： 1、《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》（GB17859） 2、《信息安全管理體系標(biāo)準(zhǔn)》（BS7799/ISO17799） 3、《信息技術(shù)安全管理指南》（ISO13335） 4、《信息技術(shù)安全性通用評估準(zhǔn)則》（ISO15408/GB18336） 5、《計算機(jī)信息系統(tǒng)安全保護(hù)條例》（國務(wù)院令第147號） 6、《計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》 7、《計算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》 8、《計算機(jī)病毒防治管理辦法》（公安部令第51號令） 9、《計算機(jī)場地安全要求》（GB9361-88） 10、《BM21-2000涉及國家秘密的計算機(jī)信息系統(tǒng)保密技術(shù)要求》 第四節(jié) 名詞解釋 第六條 本制度使用以下定義： (1) 信息安全：指信息的機(jī)密性、完整性和可用性的保持。 機(jī)密性：確保只有那些被授予特定權(quán)限的人才能夠訪問到信息。 完整性：要保證信息和處理方法的正確性和完整性。 可用性：確保那些已被授權(quán)的用戶在他們需要的時候，確實可以訪問得到所需信息。 (2) 信息安全管理：規(guī)定機(jī)制，使信息安全得以執(zhí)行。 (3) 設(shè)備：包括服務(wù)器、存儲設(shè)備、終端、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等。 (4) 風(fēng)險評估：對信息、信息處理設(shè)施、信息處理過程和信息系統(tǒng)管理所受威脅、系統(tǒng)弱點保護(hù)不當(dāng)?shù)蕊L(fēng)險因素的發(fā)生可能性和后果影響的資產(chǎn)價值評估。 (5) 資產(chǎn)：指被組織賦予了價值，組織需要保護(hù)的有用資源。 (6) 信息資產(chǎn)：信息資產(chǎn)包含但不限于： Ø 數(shù)據(jù)與文檔：數(shù)據(jù)庫和數(shù)據(jù)文件、系統(tǒng)文件、用戶手冊、培訓(xùn)材料、運(yùn)行與支持程序、業(yè)務(wù)持續(xù)性計劃、應(yīng)急安排； Ø 軟件資產(chǎn)：應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和實用程序； Ø 物理資產(chǎn)：計算機(jī)、通訊設(shè)備、磁介質(zhì)（磁盤與磁帶） Ø 人員：員工、客戶等； Ø 服務(wù)：計算和通訊服務(wù)； (7) 內(nèi)部計算機(jī)網(wǎng)絡(luò)：指公司業(yè)務(wù)系統(tǒng)網(wǎng)、OA辦公網(wǎng)等在內(nèi)的全部內(nèi)部網(wǎng)絡(luò)。 (8) 安全事件：任何已經(jīng)發(fā)生的或可能發(fā)生導(dǎo)致信息安全受到損害的行為，或是違反安全程序的行為。 (9) 訪問控制：防止對資源的未授權(quán)使用，包括防止以未授權(quán)方式使用某一資源。 (10) 核心系統(tǒng)：維持正常生產(chǎn)所必須的實時性系統(tǒng)平臺的經(jīng)營業(yè)務(wù)數(shù)據(jù)。 (11) 重要系統(tǒng)：除核心系統(tǒng)外，維持經(jīng)營管理所必須的系統(tǒng)平臺和包含有公司內(nèi)部經(jīng)營管理信息的系統(tǒng)平臺 第五節(jié) 制度概述 第七條 制度概述： 第一章 總則：定義了本制度的適用范圍、依據(jù)標(biāo)準(zhǔn)和參考文獻(xiàn)、名詞解釋、責(zé)任要求以及制度執(zhí)行； 第二章 安全組織和人員職責(zé)描述：定義了信息安全的組織機(jī)構(gòu)和崗位安全管理方面的相關(guān)要求； 第三章 資產(chǎn)安全管理： 定義了信息資產(chǎn)的分類及安全管理方面的相關(guān)要求； 第四章 用戶帳號和口令安全管理：定義了用戶設(shè)置帳號、口令和權(quán)限的安全要求； 第五章 通用平臺安全管理：定義了主機(jī)設(shè)備、存儲設(shè)備、網(wǎng)絡(luò)設(shè)備和系統(tǒng)軟件等的安全管理要求； 第六章 網(wǎng)絡(luò)安全管理：定義了網(wǎng)絡(luò)安全管理方面的相關(guān)要求； 第七章 數(shù)據(jù)安全管理：定義了數(shù)據(jù)的傳遞、存儲、備份及恢復(fù)的相關(guān)安全要求； 第八章 保密安全管理：定義了涉密信息、涉密網(wǎng)絡(luò)以及涉密人員的安全保密要求； 第九章 防病毒安全管理：定義了管理員及員工的防病毒安全要求； 第十章 電子郵件安全管理：定義了電子郵件安全管理方面的相關(guān)要求； 第十一章 終端用戶安全管理：定義了對終端的安全管理以及終端用戶的行為要求； 第十二章 安裝及升級安全管理：定義了所有的信息設(shè)備、軟件在進(jìn)行系統(tǒng)安裝及升級時的安全要求； 第十三章 應(yīng)急安全管理：定義了因安全事件而引起重大信息災(zāi)害后，為盡可能減少系統(tǒng)損失而采取的應(yīng)急處理要求； 第十四章 安全培訓(xùn)：定義了對人員進(jìn)行安全培訓(xùn)的相關(guān)要求。 第六節(jié) 責(zé)任要求 第八條 公司所有員工必須遵守本制度的規(guī)定，如由于未遵循本制度導(dǎo)致出現(xiàn)安全問題，相關(guān)部門和人員負(fù)有責(zé)任。 第七節(jié) 制度執(zhí)行 第九條 本制度是信息安全管理的基礎(chǔ)性文件，公司人員的實施細(xì)則不能違反本制度。 第十條 本制度自下發(fā)之日起正式執(zhí)行 第二章 安全組織和人員職責(zé)描述 第一節(jié) 組織結(jié)構(gòu) 第十一條 信息安全實施統(tǒng)一領(lǐng)導(dǎo)、專業(yè)分工負(fù)責(zé)的原則。 信息安全采用二級管理體制，分為：部門經(jīng)理負(fù)責(zé)全部門總體的信息安全指導(dǎo)和運(yùn)行管理。各小組主管負(fù)責(zé)本組內(nèi)的信息安全指導(dǎo)、運(yùn)行和運(yùn)行管理。 部門經(jīng)理 各小組主管 第十二條 信息安全工作組 信息安全工作組是部門信息安全工作的具體執(zhí)行單位，負(fù)責(zé)具體的安全規(guī)劃、建設(shè)、運(yùn)行和管理的組織。 信息安全工作組由部門經(jīng)理牽頭，各小組主管人員參加組成。 信息安全工作組主要職能有： (1) 信息安全工作組負(fù)責(zé)部門信息安全策略的管理、系統(tǒng)配置的管理、安全事件的審計和安全事故的處理； (2) 按照部門規(guī)定進(jìn)行信息系統(tǒng)的運(yùn)行監(jiān)視、安全審核，根據(jù)安全狀況調(diào)整部門內(nèi)信息系統(tǒng)的統(tǒng)一安全策略； (3) 安全事件發(fā)生后，信息安全工作組協(xié)調(diào)應(yīng)急響應(yīng)組決定是否啟動應(yīng)急流程； (4) 組織編制修訂信息安全相關(guān)制度、規(guī)范和流程； (5) 監(jiān)督信息安全相關(guān)制度、規(guī)范和流程的執(zhí)行； (6) 組織部門的信息安全培訓(xùn)； 第二節(jié) 信息安全工作組成員職責(zé) 第十三條 信息安全工作組組長職責(zé) 信息安全工作組組長具體負(fù)責(zé)信息安全工作組的管理工作，；組織信息安全工作組制訂、修改安全策略；審核檢查安全策略的執(zhí)行情況；全面負(fù)責(zé)部門內(nèi)的信息安全管理和信息安全運(yùn)行。 第三節(jié) 信息安全運(yùn)行緊密相關(guān)人員安全職責(zé) 第十四條 網(wǎng)絡(luò)管理員安全職責(zé) (1) 負(fù)責(zé)防病毒管理、防火墻系統(tǒng)管理、入侵檢測管理、安全漏洞掃描管理等； (2) 參與網(wǎng)絡(luò)系統(tǒng)安全策略、計劃和事件處理程序的制定； (3) 承擔(dān)網(wǎng)絡(luò)安全事件的處理； (4) 參與網(wǎng)絡(luò)安全建設(shè)方案制定； (5) 負(fù)責(zé)網(wǎng)絡(luò)設(shè)備操作系統(tǒng)升級、補(bǔ)?。? (6) 負(fù)責(zé)網(wǎng)絡(luò)日常監(jiān)控、優(yōu)化和安全加固； (7) 負(fù)責(zé)網(wǎng)絡(luò)設(shè)備操作系統(tǒng)和配置數(shù)據(jù)備份。 第十五條 數(shù)據(jù)庫系統(tǒng)管理員安全職責(zé) (1) 參與數(shù)據(jù)庫系統(tǒng)安全策略、計劃和事件處理程序的制定； (2) 承擔(dān)數(shù)據(jù)庫系統(tǒng)安全事件的處理； (3) 負(fù)責(zé)數(shù)據(jù)庫系統(tǒng)升級、補(bǔ)丁和和安全加固； (4) 負(fù)責(zé)數(shù)據(jù)庫系統(tǒng)的日常安全監(jiān)控、配置和數(shù)據(jù)備份； (5) 負(fù)責(zé)數(shù)據(jù)庫系統(tǒng)權(quán)限和口令管理。 第十六條 操作系統(tǒng)管理員安全職責(zé) (1) 參與操作系統(tǒng)系統(tǒng)安全策略、計劃和事件處理程序的制定； (2) 承擔(dān)操作系統(tǒng)系統(tǒng)安全事件的處理； (3) 負(fù)責(zé)操作系統(tǒng)系統(tǒng)的升級、補(bǔ)丁和安全加固； (4) 負(fù)責(zé)操作系統(tǒng)的日常安全監(jiān)控和操作系統(tǒng)和文件系統(tǒng)的備份； (5) 負(fù)責(zé)操作系統(tǒng)權(quán)限和口令管理。 第十七條 業(yè)務(wù)系統(tǒng)管理員的安全職責(zé) (1) 參與應(yīng)用系統(tǒng)安全策略、計劃和事件處理程序的制定； (2) 承擔(dān)應(yīng)用系統(tǒng)安全事件的處理； (3) 負(fù)責(zé)應(yīng)用系統(tǒng)的安全加固； (4) 負(fù)責(zé)應(yīng)用系統(tǒng)的日常安全監(jiān)控和數(shù)據(jù)備份； (5) 負(fù)責(zé)應(yīng)用系統(tǒng)帳號權(quán)限和口令管理； (6) 負(fù)責(zé)應(yīng)用系統(tǒng)在操作系統(tǒng)和數(shù)據(jù)庫中帳號及該帳號下數(shù)據(jù)安全。 第十八條 資產(chǎn)管理員的安全職責(zé) (1) 按照資產(chǎn)存放環(huán)境要求存放相關(guān)物資和資料； (2) 根據(jù)信息資產(chǎn)的分類分級標(biāo)識的要求進(jìn)行資產(chǎn)、資料的標(biāo)識； (3) 根據(jù)資產(chǎn)的信息安全等級進(jìn)行物資的入庫、出庫、銷毀，資料的保管、借閱、銷毀； (4) 資產(chǎn)管理員應(yīng)特別注意以下內(nèi)容的安全管理：系統(tǒng)備份、數(shù)據(jù)備份載體及相應(yīng)文檔管理；業(yè)務(wù)數(shù)據(jù)、經(jīng)營數(shù)據(jù)、運(yùn)行數(shù)據(jù)的載體及相應(yīng)文檔的管理；軟件資料管理（包括軟件開發(fā)的源代碼、軟件設(shè)計說明書、使用說明書、許可證等）；硬件隨機(jī)文檔；系統(tǒng)設(shè)計方案、工程施工過程文檔、系統(tǒng)運(yùn)行維護(hù)文檔、招投標(biāo)過程文檔；其它文檔管理（包括各種規(guī)章制度、收發(fā)文、工作日志歸檔、設(shè)備清單、合同）等等。 第四節(jié) 信息系統(tǒng)安全分工 第十九條 公司各信息系統(tǒng)內(nèi)，應(yīng)有恰當(dāng)?shù)穆氊?zé)分離制度。若無法成立職責(zé)分離制度時，則應(yīng)建立適當(dāng)?shù)谋O(jiān)管機(jī)制，以監(jiān)督個人的表現(xiàn)與其矛盾的角色。 第二十條 系統(tǒng)職責(zé)分工明細(xì)表應(yīng)詳盡描述系統(tǒng)中各角色所對應(yīng)具體人員以及組織領(lǐng)導(dǎo)關(guān)系，明確權(quán)責(zé)關(guān)系。在人員角色變動時，需有正式文檔進(jìn)行變更記錄。 第三章 資產(chǎn)安全管理 第一節(jié) 信息資產(chǎn)的分類分級 第二十一條 為了保證信息資產(chǎn)得到適當(dāng)?shù)谋Ｗo(hù)，應(yīng)該對信息分類分級，指明其保護(hù)級別； 第二十二條 將信息資產(chǎn)分為不同的安全防護(hù)等級，有助于“應(yīng)級而異”地規(guī)劃、設(shè)計、實施相關(guān)的信息資產(chǎn)安全管理和保護(hù)措施，從而更有效地保障信息資產(chǎn)的機(jī)密性、完整性和可用性； 第二十三條 數(shù)據(jù)在信息資產(chǎn)中占有非常重要的地位，通常作為企業(yè)知識產(chǎn)權(quán)、競爭優(yōu)勢、商業(yè)秘密的載體。屬于需要重點評估、保護(hù)的對象； 第二十四條 信息資產(chǎn)的歸屬類別不是固定不變的，應(yīng)定期審查，更新其歸屬類別。 第二節(jié) 信息資產(chǎn)的標(biāo)識 第二十五條 對所有識別出并進(jìn)行分類的信息資產(chǎn)，應(yīng)當(dāng)建立資產(chǎn)目錄并進(jìn)行標(biāo)識，標(biāo)識方法可采用有形標(biāo)簽和電子標(biāo)簽； 第二十六條 對信息資產(chǎn)進(jìn)行標(biāo)識時，均應(yīng)同時標(biāo)識該信息資產(chǎn)的名稱、分類、責(zé)任人、安全級別等信息； 第二十七條 數(shù)據(jù)分類標(biāo)簽的對象包括各種存儲介質(zhì)、磁帶、軟盤以及其他介質(zhì)，所有印刷的、手寫的敏感信息都需要考慮在恰當(dāng)?shù)奈恢梅胖脴?biāo)簽； 第二十八條 裝訂的硬拷貝信息資料需要在開啟前頁、標(biāo)題頁和尾頁上放置安全級別標(biāo)簽； 第二十九條 對與無法采用物理標(biāo)簽的信息資產(chǎn)（如電子文檔），可采用電子標(biāo)簽的標(biāo)識方法。 第三節(jié) 信息資產(chǎn)的管理 第三十條 信息資產(chǎn)的存放 (1) 物理資產(chǎn)的存放地點應(yīng)通風(fēng)良好，溫濕度適宜并有消防安全設(shè)施； (2) 對于存放有特殊要求信息資產(chǎn)應(yīng)存放在其所需的存放環(huán)境中，以防數(shù)據(jù)丟失； (3) 定期進(jìn)行資產(chǎn)存放環(huán)境的檢查和清潔，對不符合存放要求的情況應(yīng)作出整改。 第三十一條 信息資產(chǎn)的管理責(zé)任制 (1) 建立信息資產(chǎn)與管理人員對應(yīng)列表，確保每項信息資產(chǎn)都由專人負(fù)責(zé)，明確安全責(zé)任； (2) 信息資產(chǎn)的管理人、安全等級等信息資產(chǎn)重要狀態(tài)變更，需要及時改變相應(yīng)標(biāo)識并同時通知相關(guān)的人員； (3) 電子數(shù)據(jù)、紙質(zhì)文檔等信息資產(chǎn)必須經(jīng)過信息安全工作組進(jìn)行安全等級確認(rèn)，在確認(rèn)之前不得將信息資產(chǎn)暴露于與確認(rèn)的安全等級無關(guān)的人員。 第三十二條 信息資產(chǎn)的檔案 (1) 對于每項信息資產(chǎn)都應(yīng)該建立資產(chǎn)管理檔案，詳細(xì)記錄資產(chǎn)的配置信息和變更信息； (2) 軟件資產(chǎn)應(yīng)妥善保管相關(guān)介質(zhì)和文檔，通過光盤刻錄的方式進(jìn)行備份。所有產(chǎn)品介質(zhì)和相關(guān)文檔統(tǒng)一由資產(chǎn)管理員保管并記錄于資產(chǎn)清單中，相關(guān)系統(tǒng)管理員單獨保存一份備份介質(zhì)。所有商業(yè)軟件到貨后應(yīng)在一周內(nèi)通過合適的渠道確認(rèn)、注冊License，軟件License維護(hù)由相應(yīng)管理員負(fù)責(zé)，并報送資產(chǎn)管理員； (3) 在信息資產(chǎn)管理檔案的基礎(chǔ)上進(jìn)行信息資產(chǎn)的分配，調(diào)撥和在用信息資產(chǎn)設(shè)備的維護(hù)管理； (4) 資產(chǎn)管理檔案應(yīng)及時更新，使信息資產(chǎn)管理檔案與實際情況相符合。 第三十三條 信息資產(chǎn)的淘汰 (1) 建立信息資產(chǎn)的淘汰制度； (2) 硬件和系統(tǒng)軟件淘汰首先要考慮是否可以利舊作為他用； (3) 對已損壞且無法修復(fù)的硬件資產(chǎn)可按固資管理規(guī)定進(jìn)行報廢處理； (4) 軟件不再使用并經(jīng)過正式的聲明后，可以從系統(tǒng)中刪除該軟件，其相關(guān)的數(shù)據(jù)應(yīng)予以歸檔并保留三個月，特殊情況下可以保留更長時間； (5) 淘汰或廢棄存有電子數(shù)據(jù)的硬盤、軟盤、光盤等存儲介質(zhì)以及打印有用戶數(shù)據(jù)、經(jīng)營數(shù)據(jù)、財務(wù)數(shù)據(jù)、運(yùn)營數(shù)據(jù)等的紙質(zhì)文檔需要進(jìn)行安全銷毀。 第四節(jié) 信息資產(chǎn)的審計和執(zhí)行 第三十四條 各小組主管及信息資產(chǎn)管理員應(yīng)當(dāng)對本部門各類信息資產(chǎn)進(jìn)行有效監(jiān)督和管理，對違反管理規(guī)定的行為要及時指正，對嚴(yán)重違反者要立即上報； 第三十五條 信息安全工作組應(yīng)當(dāng)定期/不定期組織對各個小組的信息資產(chǎn)的安全狀態(tài)進(jìn)行審計，對違反管理規(guī)定的情況要通報批評； 第三十六條 對嚴(yán)重違反規(guī)定，可能或者己經(jīng)造成重大損失的情況要立即匯報部門經(jīng)理。 第四章 用戶帳號與口令安全管理 第一節(jié) 口令設(shè)置原則 第三十七條 口令中至少應(yīng)包括以下三種：數(shù)字、大寫字母、小寫字母以及特殊字符（特殊符號舉例如下：!@#$%^&*()_+|~-=\`{}[]:”;’<>?,./）； 第三十八條 口令長度不應(yīng)小于8位； 第三十九條 口令避免以下選擇： (1) 親戚、朋友、同事、單位等的名字，生日、車牌號、電話號碼； (2) 一串相同的數(shù)字或字母； (3) 明顯的鍵盤序列； (4) 所有上面情況的逆序或前后加一個數(shù)字； (5) 常見的詞語或字典詞語。 第二節(jié) 用戶新增、注銷管理 第四十條 新增用戶：必須由申請小組提出正式申請，需填寫相關(guān)信息：使用者的姓名、聯(lián)系電話、職責(zé)（崗位）、MAC地址、使用時間、申請使用的系統(tǒng)范圍和權(quán)限等信息。由部門經(jīng)理審批后移交給信息安全工作組，審核后，下發(fā)至相應(yīng)的管理員，管理員根據(jù)申請的內(nèi)容進(jìn)行賦權(quán)；操作完成后，系統(tǒng)管理員通過郵件或其他安全方式通知相關(guān)人員或部門。 第四十一條 注銷用戶：由于人事變動，帳號的使用者發(fā)生崗位變動或者離職，人事部門發(fā)報人事變更訊息，通知至系統(tǒng)管理員所在小組。由系統(tǒng)管理員提出正式申請經(jīng)系統(tǒng)所在部門經(jīng)理審批后，立即進(jìn)行相應(yīng)的權(quán)限變動或帳號回收，嚴(yán)格防止由于崗位變動，帳號、權(quán)限沒有進(jìn)行變更的情況。 第三節(jié) 帳號配置與管理 第四十二條 帳號權(quán)限在建立/更新/取消時，用戶應(yīng)填寫系統(tǒng)帳號權(quán)限申請單（參見附件二）來申請；該表單應(yīng)由系統(tǒng)擁有者來審批和簽署。 第四十三條 系統(tǒng)管理員負(fù)責(zé)對應(yīng)用系統(tǒng)、網(wǎng)絡(luò)、服務(wù)器或其他信息設(shè)備的用戶帳號、權(quán)限進(jìn)行管理。對用戶帳號和權(quán)限進(jìn)行登記備案，至少每半年審核一次用戶帳號的使用情況，對長期未使用的或過期的帳號進(jìn)行清理； 第四十四條 在系統(tǒng)上線運(yùn)行前，系統(tǒng)管理員必須重新配置或更改廠商在開發(fā)、測試階段設(shè)置的應(yīng)用系統(tǒng)、網(wǎng)絡(luò)、服務(wù)器或其他信息設(shè)備的系統(tǒng)口令、用戶帳號及口令，更改數(shù)據(jù)庫內(nèi)置帳號的口令； 第四十五條 如果必須給予第三方人員(如廠商支持工程師)帳號口令，或當(dāng)外包方人員申請開通系統(tǒng)帳號時，須事先與系統(tǒng)擁有部門簽訂保密協(xié)議，按照普通用戶新增、注銷管理規(guī)定執(zhí)行。系統(tǒng)管理員必須予以登記并納入統(tǒng)一管理，同時對帳號安全負(fù)有責(zé)任； 第四十六條 帳號配置不允許由系統(tǒng)管理員外其他任何用戶操作，也不能在系統(tǒng)管理員使用的終端之外進(jìn)行安裝； 第四十七條 系統(tǒng)管理員給新增用戶分配帳號必須設(shè)置口令，并限定有效期。必須強(qiáng)制新用戶在第一次登陸時更改口令； 第四十八條 系統(tǒng)管理員必須有能力更改口令，幫助用戶開啟被鎖定的口令，對非法操作及時查明原因；解決口令使用過程中出現(xiàn)的問題；定期向小組主管和信息安全工作組匯報帳號、口令使用情況和需要解決的問題； 第四十九條 重大操作后、口令使用期滿、被其他人知悉或認(rèn)為口令不保密時，系統(tǒng)管理員應(yīng)按照口令更改流程變換口令?？诹罡鼡Q操作應(yīng)在保密條件下進(jìn)行； 第五十條 業(yè)務(wù)系統(tǒng)管理員在配置應(yīng)用系統(tǒng)用戶帳號時，必須采用加密口令格式，在登陸輸入口令過程中不能以任何方式顯示口令； 第五十一條 信息安全工作組應(yīng)每三個月對系統(tǒng)用戶和管理員的帳號、訪問權(quán)限和相應(yīng)的訪問及操作日志進(jìn)行審核，形成相應(yīng)的檢查記錄報告，由系統(tǒng)擁有者或部門經(jīng)理簽字確認(rèn)；對于涉及重要數(shù)據(jù)的賬號和權(quán)限應(yīng)提交系統(tǒng)擁有者審核確認(rèn)。 第五十二條 臨時帳號的申請單應(yīng)獨立存檔并由第三者(非批準(zhǔn)人)作至少每月進(jìn)行一次檢查；在使用期滿時，系統(tǒng)管理員應(yīng)審核臨時帳號操作日志記錄并形成相應(yīng)的檢查記錄報告，由系統(tǒng)擁有者或信息安全經(jīng)理簽字確認(rèn)。 第五十三條 嚴(yán)禁多人和多系統(tǒng)共用帳號。每個操作用戶必須有且只有一個專用帳號； 第五十四條 口令在數(shù)據(jù)庫中的存放和通過網(wǎng)絡(luò)傳輸不應(yīng)采用明碼方式，對口令的訪問和存取必須加以控制，以防止口令被非法修改或泄露； 第五十五條 具有口令功能的計算機(jī)、網(wǎng)絡(luò)設(shè)備等系統(tǒng)處理公司秘密信息，必須使用口令對用戶進(jìn)行身份驗證和確認(rèn)。 第四節(jié) 權(quán)限設(shè)置及變更管理 第五十六條 對系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)庫、信息的訪問采用分級管理，根據(jù)人員職責(zé)設(shè)定權(quán)限； 第五十七條 僅有操作系統(tǒng)管理員及DBA擁有數(shù)據(jù)庫的寫權(quán)限；應(yīng)用系統(tǒng)管理員只能擁有相關(guān)數(shù)據(jù)庫的讀權(quán)限；超級用戶權(quán)限只允許操作系統(tǒng)及數(shù)據(jù)庫管理員使用，其他用戶需要使用超級權(quán)限時需提出申請，經(jīng)審批后，由數(shù)據(jù)庫管理員作一次性授權(quán)，并在數(shù)據(jù)庫管理員監(jiān)督下操作； 第五十八條 員工只能擁有本崗位內(nèi)的權(quán)限，且采取最低可用原則配置；如因工作需要另外增加崗位外權(quán)限的，需要領(lǐng)導(dǎo)審批；經(jīng)使用員工所在小組主管和信息安全工作組同意后方可增加，增加后要保留操作日志和審批記錄； 第五十九條 系統(tǒng)管理員對到期的使用授權(quán)負(fù)責(zé)收回； 第六十條 在權(quán)限建立/更新/取消時，用戶應(yīng)填寫系統(tǒng)權(quán)限申請單來申請權(quán)限。該表單應(yīng)由系統(tǒng)擁有者來審批和簽署。操作人員在完成操作后需在《系統(tǒng)帳號權(quán)限申請表》中進(jìn)行情況說明并有第三者進(jìn)行確認(rèn)。 第五節(jié) 帳號、口令使用管理 第六十一條 用戶使用系統(tǒng)時，必須使用帳號以及口令進(jìn)行登陸，方可進(jìn)行操作 第六十二條 禁止使用系統(tǒng)內(nèi)置帳號進(jìn)行應(yīng)用系統(tǒng)數(shù)據(jù)的維護(hù)工作。嚴(yán)禁使用數(shù)據(jù)庫內(nèi)置帳號的口令進(jìn)行數(shù)據(jù)庫管理； 第六十三條 重要的設(shè)備、系統(tǒng)的管理員帳號口令在每次修改之后必須備案； 第六十四條 口令必須定期修改，口令使用周期不能超過3個月，在涉密較多、人員復(fù)雜、保密條件較差的地方應(yīng)盡可能縮短口令的使用時間； 第六十五條 用戶應(yīng)記住自己的帳號、口令，不允許記載在不保密的媒介物或貼在終端上。同時，避免泄漏口令，不要將口令告訴其他人。如果發(fā)現(xiàn)口令泄漏，應(yīng)立即通知系統(tǒng)管理員及時更改； 第六十六條 用戶通過公網(wǎng)連接到公司內(nèi)部網(wǎng)站時，需注意帳號、口令的保密，避免在公共場所泄漏帳號、口令； 第六十七條 企業(yè)內(nèi)用戶口令不應(yīng)當(dāng)用作其他非企業(yè)應(yīng)用的口令，如公網(wǎng)郵箱口令等。 第五章 通用平臺安全管理 第六十八條 通用平臺安全管理指系統(tǒng)中使用的主機(jī)設(shè)備、存儲設(shè)備、網(wǎng)絡(luò)設(shè)備和系統(tǒng)軟件等的安全管理: 原則如下： (1) 系統(tǒng)管理員至少要至三個月對涉及通用平臺配置的增、刪、修改等操作的配置更改記錄進(jìn)行審計； (2) 重要資源的訪問控制策略至少要每六個月審計一次。 (3) 如果在上述審計和檢查工作中發(fā)現(xiàn)有安全事故,應(yīng)遵照安全事故處理流程進(jìn)行處理。 (4) 各小組主管要對所有審計和檢查工作情況記錄登記 第六章 網(wǎng)絡(luò)安全管理 第一節(jié) 基礎(chǔ)管理 第六十九條 網(wǎng)絡(luò)結(jié)構(gòu)管理 (1) OA辦公網(wǎng)網(wǎng)絡(luò)整體的拓?fù)浣Y(jié)構(gòu)需進(jìn)行嚴(yán)格的規(guī)劃、設(shè)計和管理，一經(jīng)確定，不能輕易更改； (2) 如因業(yè)務(wù)需要，確需對網(wǎng)絡(luò)的整體拓?fù)浣Y(jié)構(gòu)進(jìn)行調(diào)整和改變，需按照相應(yīng)的運(yùn)維管理制度上報； (3) 網(wǎng)絡(luò)結(jié)構(gòu)要按照分層網(wǎng)絡(luò)設(shè)計的原則來進(jìn)行規(guī)劃，合理清晰的層次劃分和設(shè)計，可以保證網(wǎng)絡(luò)系統(tǒng)骨干穩(wěn)定可靠、接入安全、便于擴(kuò)充和管理、易于故障隔離和排除。 第七十條 網(wǎng)絡(luò)配置管理 (1) 所有的網(wǎng)絡(luò)配置工作都要有文檔記錄，網(wǎng)絡(luò)設(shè)備的配置文件需要定期備份； (2) 按照最小服務(wù)原則為每臺基礎(chǔ)網(wǎng)絡(luò)設(shè)備進(jìn)行安全配置； (3) 網(wǎng)絡(luò)需保持持續(xù)不斷的運(yùn)行，維護(hù)工作要在用戶使用量小的時候進(jìn)行。 第七十一條 網(wǎng)絡(luò)互連 (1) 網(wǎng)絡(luò)按訪問控制策略劃分不同的邏輯區(qū)域； (2) 公司內(nèi)部不同業(yè)務(wù)的計算機(jī)網(wǎng)絡(luò)之間的互連原則： Ø 互連點上必須實施安全措施，如安裝防火墻等； Ø 網(wǎng)絡(luò)之間互連點采取集中原則，并考慮安全冗余； (3) 公司內(nèi)部計算機(jī)網(wǎng)絡(luò)和第三方網(wǎng)絡(luò)之間的互連原則： Ø 網(wǎng)絡(luò)之間互連點采取集中原則，并考慮安全冗余； Ø 互連點上必須實施安全措施，如安裝防火墻、實施入侵檢測等； Ø 網(wǎng)絡(luò)互連點及安全設(shè)備必須納入到網(wǎng)管體系的監(jiān)控。 Ø 在公司內(nèi)部計算機(jī)網(wǎng)絡(luò)內(nèi)必須設(shè)置接口機(jī)或代理服務(wù)器，用于與第三方網(wǎng)絡(luò)連接，禁止生產(chǎn)用的主機(jī)、服務(wù)器與第三方網(wǎng)絡(luò)直接連接； Ø 與第三方網(wǎng)絡(luò)的連接中，在互連點上的防火墻上應(yīng)該進(jìn)行IP地址轉(zhuǎn)換，保護(hù)公司內(nèi)部接口機(jī)或代理服務(wù)器真實的IP地址； Ø 在防火墻上實施策略控制，嚴(yán)格限制訪問的地址和端口。 (4) 內(nèi)部計算機(jī)網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間的互連原則： Ø 禁止計費網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間直接連接； Ø 嚴(yán)格控制公司內(nèi)部的計算機(jī)網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接，由于業(yè)務(wù)需要，必須進(jìn)行連接的，必須實施嚴(yán)格的安全措施，如安裝防火墻、實施入侵檢測等； Ø 遵循公司內(nèi)部計算機(jī)網(wǎng)絡(luò)和第三方網(wǎng)絡(luò)之間的互連原則。 第七十二條 終端的接入管理 (1) 只有遵循本制度第十一章《終端用戶安全管理》的計算機(jī)終端方能接入公司內(nèi)部計算機(jī)網(wǎng)絡(luò)； (2) 外單位人員一般不允許接入公司內(nèi)部網(wǎng)，如因維護(hù)需要確需連入網(wǎng)絡(luò)，必須履行審批手續(xù)，并在相關(guān)人員隨工的情況下方可接入； (3) 確需通過網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問的，必須履行審批手續(xù)，在固定時間，通過身份驗證后接入。對連接時間、事由都要有詳細(xì)記錄。 第二節(jié) 運(yùn)行管理 第七十三條 網(wǎng)絡(luò)監(jiān)控管理 (1) 網(wǎng)絡(luò)管理小組負(fù)責(zé)網(wǎng)管系統(tǒng)和網(wǎng)絡(luò)安全的建設(shè)和維護(hù)，以實現(xiàn)對網(wǎng)元以及網(wǎng)絡(luò)安全情況的實時監(jiān)控和管理，確保整個網(wǎng)絡(luò)安全、穩(wěn)定運(yùn)行； (2) 各級網(wǎng)絡(luò)管理部門可使用入侵檢測、漏洞掃描等設(shè)備和技術(shù)定期對網(wǎng)絡(luò)安全情況進(jìn)行監(jiān)控和分析，對于監(jiān)控到的異常行為要有及時、有效的處理機(jī)制； (3) 網(wǎng)絡(luò)管理員負(fù)責(zé)網(wǎng)絡(luò)設(shè)備的日常檢查，監(jiān)測網(wǎng)絡(luò)設(shè)備性能參數(shù)和網(wǎng)絡(luò)運(yùn)行狀況；對關(guān)鍵設(shè)備要做到每日檢查，發(fā)現(xiàn)問題應(yīng)迅速解決，全部管理工作應(yīng)保留記錄； (4) 定期或不定期對備件及備用線路進(jìn)行檢測和維護(hù)； (5) 網(wǎng)絡(luò)安全監(jiān)控設(shè)備的運(yùn)行不能影響網(wǎng)絡(luò)的正常使用； (6) 各級網(wǎng)絡(luò)管理部門要對所有在線網(wǎng)絡(luò)設(shè)備運(yùn)行情況記錄登記，并定期向上級上報網(wǎng)絡(luò)運(yùn)行狀況報告。 第七十四條 網(wǎng)絡(luò)審計管理 (1) 系統(tǒng)管理員至少要每三個月對涉及網(wǎng)絡(luò)配置的增、刪、修改等操作的配置更改記錄進(jìn)行審計； (2) 安全監(jiān)督員至少要每三個月對系統(tǒng)用戶和管理員的訪問權(quán)限進(jìn)行審查； (3) 建立統(tǒng)一的時鐘服務(wù)器，保證日志信息的準(zhǔn)確性； (4) 重要資源的訪問控制策略至少要每六個月審計一次。 (5) 如果在上述審計和檢查工作中發(fā)現(xiàn)有安全事故,應(yīng)遵照安全事故處理流程進(jìn)行處理。 第七章 數(shù)據(jù)安全管理 第一節(jié) 數(shù)據(jù)安全范圍 第七十五條 數(shù)據(jù)安全范圍是指公司所有數(shù)據(jù)對象及其存在形式（如文本、程序、系統(tǒng)數(shù)據(jù)）等等；需要保護(hù)的重要數(shù)據(jù)包括：運(yùn)營支撐數(shù)據(jù)、業(yè)務(wù)支撐數(shù)據(jù)和管理支撐數(shù)據(jù)。 第二節(jié) 數(shù)據(jù)管理通則 第七十六條 數(shù)據(jù)的訪問范圍和權(quán)限設(shè)置必須由系統(tǒng)或業(yè)務(wù)系統(tǒng)管理員集中控制，并可以控制授權(quán)范圍內(nèi)的信息流向和行為方式。 第七十七條 數(shù)據(jù)訪問采用分級管理，數(shù)據(jù)的操作必須經(jīng)過嚴(yán)格的身份鑒別與權(quán)限控制，確保數(shù)據(jù)訪問遵循最小授權(quán)原則。關(guān)鍵業(yè)務(wù)數(shù)據(jù)和用戶帳號信息必須實行專人管理； 第七十八條 數(shù)據(jù)的更改應(yīng)嚴(yán)格遵循相關(guān)管理辦法及操作規(guī)范執(zhí)行。應(yīng)采取有效措施防止系統(tǒng)數(shù)據(jù)的非法生成、變更、泄漏、丟失與破壞。 第七十九條 嚴(yán)禁通過系統(tǒng)管理員帳號直接對系統(tǒng)中存儲、處理或傳輸?shù)臉I(yè)務(wù)數(shù)據(jù)信息進(jìn)行增加、修改、復(fù)制和刪除等； 第八十條 重要數(shù)據(jù)的更改必須兩人負(fù)責(zé)，一人操作，一人審核，防止使用過程中產(chǎn)生誤操作或被非法篡改； 第八十一條 應(yīng)用軟件必須確保各處理環(huán)節(jié)數(shù)據(jù)輸入、輸出的平衡，并進(jìn)行必要的稽核； 第八十二條 應(yīng)用軟件對重要數(shù)據(jù)應(yīng)進(jìn)行傳輸加密和完整性校驗處理； 第八十三條 網(wǎng)絡(luò)管理員應(yīng)定期改善網(wǎng)絡(luò)系統(tǒng)的安全策略設(shè)置，盡量減少安全漏洞； 第八十四條 對外提供系統(tǒng)業(yè)務(wù)數(shù)據(jù)的統(tǒng)計必須參照數(shù)據(jù)提取流程進(jìn)行審批，并簽訂保密協(xié)議，保障數(shù)據(jù)信息的使用范圍可控制； 第八十五條 系統(tǒng)管理員必須定期對系統(tǒng)數(shù)據(jù)的處理和傳輸進(jìn)行詳細(xì)的安全檢查和維護(hù)，避免因為系統(tǒng)崩潰和損壞而對系統(tǒng)內(nèi)的信息造成破壞和損失； 第八十六條 數(shù)據(jù)安全保密管理應(yīng)嚴(yán)格執(zhí)行第八章《保密安全管理》的規(guī)定。 第三節(jié) 存儲、備份與恢復(fù) 第八十七條 數(shù)據(jù)備份應(yīng)保證及時、完整、真實、準(zhǔn)確地轉(zhuǎn)儲到不可更改的介質(zhì)上，并規(guī)定保存期限； 第八十八條 備份介質(zhì)應(yīng)采用性能可靠、不易損壞的介質(zhì)，如磁帶、光盤等，并采取防盜、防毀、防電磁干擾等措施，保障數(shù)據(jù)安全； 第八十九條 備份介質(zhì)應(yīng)注明數(shù)據(jù)的來源、備份日期、恢復(fù)步驟等信息，并于安全環(huán)境保管； 第1條 備份數(shù)據(jù)（包括系統(tǒng)、網(wǎng)絡(luò)配置文件、應(yīng)用軟件和應(yīng)用數(shù)據(jù)信息）應(yīng)專人統(tǒng)一管理。要建立備份介質(zhì)保管登記制度，由專人負(fù)責(zé)。嚴(yán)防業(yè)務(wù)數(shù)據(jù)泄密或丟失。 第2條 備份數(shù)據(jù)盡量做到異地、異人保存； 第3條 根據(jù)系統(tǒng)特點制定詳細(xì)的備份恢復(fù)方案。重要系統(tǒng)自運(yùn)行開始必須作好備份與恢復(fù)等應(yīng)急措施，一旦系統(tǒng)出現(xiàn)問題能夠及時恢復(fù)正常； 第4條 定期對備份數(shù)據(jù)的可用性進(jìn)行檢查。要保證備份數(shù)據(jù)是可讀的，經(jīng)常對備份介質(zhì)進(jìn)行測試； 第5條 備份數(shù)據(jù)應(yīng)做到定期全備份和增量備份。備份內(nèi)容包括系統(tǒng)備份和數(shù)據(jù)備份兩部分。系統(tǒng)常規(guī)備份至少每月一次，關(guān)鍵業(yè)務(wù)數(shù)據(jù)備份至少每天一次； 第6條 系統(tǒng)進(jìn)行升級前必須進(jìn)行系統(tǒng)的完整備份； 第7條 網(wǎng)絡(luò)設(shè)備和主機(jī)的配置信息在每次更新后及時備份，更新前的備份按需要保存一定時間； 第8條 備份完成后要認(rèn)真填寫備份日志； 第9條 當(dāng)發(fā)現(xiàn)數(shù)據(jù)丟失后，應(yīng)保護(hù)好現(xiàn)場，停止任何操作，立即通知系統(tǒng)管理員，由系統(tǒng)管理員采取相應(yīng)恢復(fù)措施； 第10條 如系統(tǒng)管理員不能恢復(fù)數(shù)據(jù)，視數(shù)據(jù)的重要程度，通知相關(guān)領(lǐng)導(dǎo)和信息安全工作組，并聯(lián)系第三方工程師解決； 第11條 備份數(shù)據(jù)的恢復(fù)需經(jīng)主管人員簽字認(rèn)可后，方可進(jìn)行； 第12條 對存儲有涉密數(shù)據(jù)的設(shè)備故障，需交外單位人員修理時，本單位必須派專人在場監(jiān)督； 第13條 過期的備份數(shù)據(jù)應(yīng)經(jīng)主管人員認(rèn)可后，方可銷毀。 第八章 保密安全管理 第一節(jié) 涉密數(shù)據(jù)安全管理 第九十條 數(shù)據(jù)密級分類原則 數(shù)據(jù)密級根據(jù)其內(nèi)容重要性的不同，劃分為：機(jī)密、秘密、內(nèi)部、公共四個級別。其中，機(jī)密、秘密、內(nèi)部數(shù)據(jù)屬于涉密信息。 (1) 機(jī)密數(shù)據(jù) 機(jī)密數(shù)據(jù)是指那些具有最高安全級別，對企業(yè)正常經(jīng)營、管理和安全運(yùn)行起到至關(guān)重要作用，一旦被非法訪問或篡改，會導(dǎo)致災(zāi)難性的影響，并且這種影響在短時期內(nèi)是不可恢復(fù)的；或者會嚴(yán)重影響公司業(yè)務(wù)發(fā)展，使公司在市場競爭中非常被動的關(guān)鍵數(shù)據(jù)。 (2) 秘密數(shù)據(jù) 秘密數(shù)據(jù)是指那些必須在企業(yè)內(nèi)使用，并且有嚴(yán)格訪問控制的信息。任何對秘密數(shù)據(jù)的非法訪問、修改或刪除會嚴(yán)重影響企業(yè)內(nèi)計算機(jī)系統(tǒng)的安全，但這種影響是可以在短時期內(nèi)恢復(fù)的；或者會對公司業(yè)務(wù)拓展產(chǎn)生不利影響但通過努力可以逐漸扭轉(zhuǎn)的數(shù)據(jù)。 (3) 內(nèi)部數(shù)據(jù) 內(nèi)部數(shù)據(jù)通常是指那些只供公司內(nèi)部使用的信息資料，任何對內(nèi)部數(shù)據(jù)的非法訪問、修改或刪除可能會對企業(yè)安全造成一定的影響，但不可能是嚴(yán)重的或不可恢復(fù)的。 (4) 公共數(shù)據(jù) 公共數(shù)據(jù)是指可以公共訪問和對外發(fā)布的信息，并且公共數(shù)據(jù)可以自由散布而不會產(chǎn)生任何安全問題。 第九十一條 涉密數(shù)據(jù)密級確認(rèn) (1) 根據(jù)公司有關(guān)的保密文件，確定需要保密的信息內(nèi)容、劃分編發(fā)等級、明確信息提供范圍。對于未明確密級但內(nèi)容涉密的信息，要根據(jù)有關(guān)的保密規(guī)定，確定編發(fā)級別；對有涉密嫌疑又來源不明的信息不予編發(fā)； (2) 數(shù)據(jù)的管理者應(yīng)確保這些數(shù)據(jù)被恰當(dāng)?shù)姆诸悾⒋_保原創(chuàng)人或其他員工理解他們的責(zé)任； (3) 保密文件由擬制人根據(jù)文件密級不同，提交不同級別的領(lǐng)導(dǎo)進(jìn)行密級確認(rèn)，保密數(shù)據(jù)由業(yè)務(wù)系統(tǒng)管理員根據(jù)數(shù)據(jù)密級不同，做好數(shù)據(jù)密級分類記錄，提交不同級別的領(lǐng)導(dǎo)進(jìn)行密級確認(rèn)，數(shù)據(jù)密級分類記錄表可參考附件三,在確認(rèn)之前不得將文件內(nèi)容透露給與確認(rèn)密級無關(guān)的人； (4) 密級確認(rèn)的具體權(quán)限為： Ø 機(jī)密數(shù)據(jù)由公司一級部門以上的高層領(lǐng)導(dǎo)確認(rèn)； Ø 秘密數(shù)據(jù)由公司二級部門以上的領(lǐng)導(dǎo)確認(rèn)； Ø 內(nèi)部數(shù)據(jù)由各部門經(jīng)理確認(rèn)； Ø 公共數(shù)據(jù)由發(fā)文單位根據(jù)需要進(jìn)行確認(rèn)。 (5) 對涉密數(shù)據(jù)的密級，每年需要評審，密級變化后應(yīng)改變文檔的分類標(biāo)簽同時通知相關(guān)的人員； (6) 所有的涉密數(shù)據(jù)都有一段密級保持時間。 第九十二條 涉密數(shù)據(jù)的獲取 (1) 必須首先經(jīng)過申請批準(zhǔn)，才能查詢和閱讀文檔、數(shù)據(jù),。查閱權(quán)限申請流程： Ø 機(jī)密數(shù)據(jù)：公司總經(jīng)理及一級部門以上領(lǐng)導(dǎo)及其簽字批準(zhǔn)的人員； Ø 秘密數(shù)據(jù)：部門經(jīng)理以上領(lǐng)導(dǎo)及其簽字批準(zhǔn)的人員； Ø 內(nèi)部數(shù)據(jù)：部門副經(jīng)理以上領(lǐng)導(dǎo)及其簽字批準(zhǔn)的人員。 (2) 嚴(yán)禁復(fù)制機(jī)密數(shù)據(jù)。申請復(fù)制秘密數(shù)據(jù)必須由一級部門、部門經(jīng)理以上領(lǐng)導(dǎo)批準(zhǔn)，申請復(fù)制內(nèi)部數(shù)據(jù)由部門副經(jīng)理、三級部門主管簽字批準(zhǔn)； (3) 信息使用、加工處理部門及網(wǎng)絡(luò)管理部門，不得通過不正當(dāng)?shù)氖侄危綑?quán)限查看、使用、復(fù)制保密信息，也不能擅自降低保密級別，把涉密信息作為非涉密信息傳播。 (4) 管理者負(fù)責(zé)從那些不再需要的員工手中取回任何公司涉密數(shù)據(jù)； 第九十三條 涉密數(shù)據(jù)的傳遞 涉密數(shù)據(jù)的傳遞必須經(jīng)過審批并采用適當(dāng)?shù)姆绞竭M(jìn)行傳遞； 文檔的密級必須清楚地標(biāo)識在各種電子信息文檔的每一頁上，或每個電子文件的開始；如果不能標(biāo)識，原創(chuàng)人必須告知所有接受者數(shù)據(jù)的密級； 涉密數(shù)據(jù)的披露或分發(fā)應(yīng)當(dāng)有所記錄，涉密數(shù)據(jù)的分發(fā)必須發(fā)至收件人 本人，并由收件人簽收； 在對外合作中，如確實需向合作方提供公司涉密數(shù)據(jù)的，必須按密級由相應(yīng)領(lǐng)導(dǎo)書面批準(zhǔn)，并在提供前與之簽訂保密協(xié)議； 內(nèi)部公共數(shù)據(jù)可以按部門分發(fā)或在公司內(nèi)部公告欄內(nèi)張貼，也可以在公司內(nèi)部計算機(jī)網(wǎng)絡(luò)上發(fā)布； 機(jī)密、秘密數(shù)據(jù)嚴(yán)禁在計算機(jī)網(wǎng)絡(luò)上發(fā)布、公開和傳送，內(nèi)部數(shù)據(jù)如需在網(wǎng)絡(luò)上傳送，應(yīng)得到相應(yīng)領(lǐng)導(dǎo)的批準(zhǔn)； 計算機(jī)信息系統(tǒng)處理、傳遞、儲存涉密信息的文件、資料特別是涉及國家秘密信息的文件、資料時，公司應(yīng)采用相應(yīng)的防范措施，以從物理上、邏輯上確保重要數(shù)據(jù)存儲和傳輸?shù)陌踩?。通常會考慮采用數(shù)據(jù)加密、安全密鑰或侵入監(jiān)測系統(tǒng)加以監(jiān)控。 涉密數(shù)據(jù)保管、存檔 要加強(qiáng)對計算機(jī)介質(zhì)（軟盤、磁帶、光盤、磁卡等）的管理，對儲存有秘密文件、資料的計算機(jī)等設(shè)備要有專人或兼職人員操作，采取必要的防范措施，嚴(yán)格對涉密存儲介質(zhì)的管理，建立規(guī)范的管理制度，存儲有涉密內(nèi)容的介質(zhì)一律不得進(jìn)入互聯(lián)網(wǎng)絡(luò)使用； 機(jī)密、秘密數(shù)據(jù)由數(shù)據(jù)的簽收人和簽發(fā)人親自保管。內(nèi)部數(shù)據(jù)由收件人本人或本部門專人保管，內(nèi)部公共數(shù)據(jù)一般由各部門專人保管； 涉密數(shù)據(jù)的查閱和復(fù)制應(yīng)當(dāng)在文件保管人處進(jìn)行登記，以備核查； 如涉密數(shù)據(jù)的保管人不慎將文件丟失，應(yīng)立即向相應(yīng)的領(lǐng)導(dǎo)匯報情況，盡快挽回?fù)p失，減小影響； 公司機(jī)密以及行政機(jī)密、內(nèi)部數(shù)據(jù)在文件管理部門存檔； 各部門機(jī)密、秘密數(shù)據(jù)在部門內(nèi)存檔； 在文檔和程序中注明版權(quán)（非授權(quán)批準(zhǔn)）不允許傳遞（賣）給第三方； 時效性特別強(qiáng)的信息的處理不能通過EMAIL、電話等等，除非這些信息己經(jīng)公開發(fā)布； 在日常工作時間之外，含有涉密數(shù)據(jù)的必須加密，除非特別授權(quán)； 在無人照看的場所應(yīng)保護(hù)敏感信息（鎖在柜中、如果離開時間超過30分鐘房間應(yīng)上鎖）； 在個人計算機(jī)上的涉密數(shù)據(jù)存儲，必須加設(shè)訪問口令； 計算機(jī)存儲介質(zhì)不再用于涉密數(shù)據(jù)存儲時，必須要進(jìn)行消磁或者重新格式化；系統(tǒng)內(nèi)涉密數(shù)據(jù)數(shù)據(jù)不再有效時，應(yīng)由數(shù)據(jù)使用部門提出正式申請，系統(tǒng)擁有者或信息安全經(jīng)理簽字審批后，由系統(tǒng)管理員立即進(jìn)行徹底刪除，并由第三者進(jìn)行確認(rèn)。 不要在PC或者個人工作臺上保留涉密數(shù)據(jù)（除非信息安全組批準(zhǔn)并實施了控制方法）； 執(zhí)行公司或行業(yè)的其它信息保密制度。 第二節(jié) 涉密網(wǎng)絡(luò)安全管理 第九十四條 凡本部門使用互聯(lián)網(wǎng)絡(luò)的人員，必須有一位主管分管并指定專人負(fù)責(zé)本單位或本部門網(wǎng)絡(luò)節(jié)點內(nèi)安全保密工作，經(jīng)常進(jìn)行監(jiān)督、檢查，處理本單位涉及網(wǎng)絡(luò)安全保密的有關(guān)事宜，并協(xié)助主管部門開展安全保密工作的檢查指導(dǎo)； 第九十五條 計算機(jī)網(wǎng)絡(luò)用戶的口令和采取的安全措施，屬于秘密級事項；有調(diào)閱機(jī)密內(nèi)容權(quán)限的用戶口令和網(wǎng)絡(luò)系統(tǒng)級口令及安全措施屬于機(jī)密事項，不能轉(zhuǎn)告非授權(quán)用戶； 第九十六條 不得在網(wǎng)上擅自連接各類網(wǎng)絡(luò)設(shè)備。所有網(wǎng)絡(luò)設(shè)備的增減與變動，其技術(shù)方案必須經(jīng)過審批，并在華數(shù)數(shù)字電視IT管理部技術(shù)人員的監(jiān)督下執(zhí)行； 第九十七條 各部門需要安裝主機(jī)、服務(wù)器等設(shè)備時，必須預(yù)先報系統(tǒng)主管部門核準(zhǔn)，并由其進(jìn)行安全和技術(shù)審核，分配網(wǎng)絡(luò)地址和設(shè)置安全措施后，方可實施安裝； 第九十八條 各單位需要通過互聯(lián)網(wǎng)與外單位進(jìn)行信息（含數(shù)據(jù)）交換，應(yīng)經(jīng)過公司提供的統(tǒng)一網(wǎng)絡(luò)信道進(jìn)出。由于特殊原因個別部門要求建立獨立的網(wǎng)絡(luò)信息通道時，應(yīng)事先報部門經(jīng)理批準(zhǔn)并經(jīng)系統(tǒng)主管部門進(jìn)行內(nèi)部技術(shù)安全審查； 第九十九條 對預(yù)先未經(jīng)安全技術(shù)審核、批準(zhǔn)，而私自接入或使用網(wǎng)絡(luò)設(shè)備的單位以及進(jìn)行其他違章操作的單位，一經(jīng)發(fā)現(xiàn)，即停止該單位的入網(wǎng)資格，并拆除私自聯(lián)入的設(shè)備。造成損失的，要追究責(zé)任； 第一百條 凡屬公司涉密文件、資料一律不得輸入計算機(jī)互聯(lián)網(wǎng)絡(luò)，本單位、本部門科學(xué)研究方面的文件、資料、成果，如屬國家秘密范圍，不得進(jìn)入互聯(lián)網(wǎng)絡(luò)； 第一百〇一條 必須做好涉密數(shù)據(jù)的保管工作，管好秘密源頭。 第三節(jié) 涉密人員安全管理 第一百〇二條 必須簽訂保密協(xié)議，保密協(xié)議應(yīng)包括： 1.保密的內(nèi)容和范圍 2.保密的期限 3.雙方的義務(wù) 4.違約責(zé)任 第一百〇三條 基本保密義務(wù)： 應(yīng)當(dāng)遵守組織的保密制度，妥善保管其所保存的組織秘密資料，不得刺探與本職工作、本身業(yè)務(wù)無關(guān)的公司秘密，不得泄露公司的技術(shù)秘密； 非經(jīng)公司書面同意，不得利用公司的商業(yè)秘密進(jìn)行生產(chǎn)、經(jīng)營和兼職活動，不得利用公司的商業(yè)秘密組建新的企業(yè)； 如果發(fā)現(xiàn)公司秘密被泄露，應(yīng)當(dāng)采取有效措施防止泄密擴(kuò)大，并及時告知公司； 無論是在職還是離職，不得披露、使用或者允許他人使用公司的商業(yè)秘密，不得利用公司的商業(yè)秘密從事兼職活動，不得利用公司的商業(yè)秘密到其他單位任職； 員工離職時，應(yīng)當(dāng)將所持有的秘密資料如數(shù)歸還公司，不得保留拷貝； 員工離職后在約定期限內(nèi)不得泄露原公司機(jī)密。 第九章 防病毒安全管理 第一節(jié) 建立病毒預(yù)警機(jī)制 第一百〇四條 制定防病毒的管理制度和操作指南； 第一百〇五條 設(shè)立專門的管理員負(fù)責(zé)防病毒的管理工作； 第一百〇六條 管理員要及時了解防殺計算機(jī)病毒廠商公布的計算機(jī)病毒情報，關(guān)注新產(chǎn)生的、傳播面廣的計算機(jī)病毒，并知道它們的發(fā)作特征和存在形態(tài)，及時發(fā)現(xiàn)計算機(jī)系統(tǒng)出現(xiàn)的異常是否與新的計算機(jī)病毒有關(guān)； 第一百〇七條 管理員要及時了解操作系統(tǒng)廠商所發(fā)布的漏洞情況，對于很可能被病毒利用的遠(yuǎn)程控制的漏洞要及時提醒用戶安裝相關(guān)補(bǔ)??； 第一百〇八條 對有嚴(yán)重破壞力的計算機(jī)病毒的爆發(fā)日期或爆發(fā)條件，及時通知所有相關(guān)人員進(jìn)行相應(yīng)防范。 第一百〇九條 如遇病毒安全事故，則按照信息安全事件響應(yīng)。 第二節(jié) 防病毒軟件的安裝使用 第一百一十條 防病毒軟件的部署： 應(yīng)在全網(wǎng)范圍內(nèi)建立多層次的防病毒體系，要使用國家規(guī)定的、服務(wù)技術(shù)支持優(yōu)秀、具有計算機(jī)使用系統(tǒng)安全專用產(chǎn)品銷售許可證的網(wǎng)絡(luò)防病毒產(chǎn)品。 IT管理部負(fù)責(zé)對公司防病毒軟件的部署應(yīng)該做到統(tǒng)一規(guī)劃，統(tǒng)一部署，統(tǒng)一管理。 (1) 在Internet出口處部署網(wǎng)關(guān)型防病毒軟件，重點要對進(jìn)入網(wǎng)絡(luò)的SMTP郵件進(jìn)行實時病毒過濾； (2) 在群件系統(tǒng)上部署群件防病毒軟件，對郵件、文檔等進(jìn)行實時的病毒過濾，防止計算機(jī)病毒通過群件服務(wù)器擴(kuò)散、傳播； (3) 在所有的Windows服務(wù)器與客戶端中部署病毒實時監(jiān)控軟件； (4) 服務(wù)器和客戶端的防病毒系統(tǒng)必須能夠統(tǒng)一管理，可以統(tǒng)一升級、殺毒、監(jiān)控。 第一百一十一條 防病毒軟件的安裝： (1) 對新購進(jìn)的計算機(jī)及設(shè)備，在安裝完操作系統(tǒng)后，要在第一時間內(nèi)安裝防病毒軟件； (2) 沒有安裝防病毒軟件的Windows系統(tǒng)不得接入到生產(chǎn)網(wǎng)絡(luò)中； (3) 防病毒軟件的類型遵循統(tǒng)一規(guī)劃，不得私自安裝其他類型的軟件。 第一百一十二條 防病毒軟件的升級： (1) 病毒特征庫至少要做到每天自動升級檢查，自動部署； (2) 對病毒特征庫的升級情況應(yīng)該進(jìn)行手工檢查，將當(dāng)前版本與軟件廠商在網(wǎng)站上公布的版本進(jìn)行比較。應(yīng)該每周檢查一次； (3) 一旦出現(xiàn)傳播速度快，威脅大的新病毒，應(yīng)該立即進(jìn)行手工升級。 第一百一十三條 防病毒軟件的維護(hù)： (1) 防病毒系統(tǒng)管理員負(fù)責(zé)軟件的總體維護(hù)，定期（每天）檢查防病毒服務(wù)器端軟件的運(yùn)轉(zhuǎn)情況，如有異常及時處理； (2) 各個服務(wù)器系統(tǒng)的管理員有責(zé)任維護(hù)本機(jī)防病毒系統(tǒng)的正常運(yùn)轉(zhuǎn)，也需要定期對防病毒軟件的升級情況進(jìn)行監(jiān)控。如果遇到問題或者病毒報警，與防病毒管理員共同解決。 第三節(jié) 防范病毒措施 第一百一十四條 公司要求所有服務(wù)器及個人電腦均安裝防病毒軟件，并至少實現(xiàn)由防病毒軟件的服務(wù)器端強(qiáng)制所有終端聯(lián)網(wǎng)后可以自動實時更新病毒庫。 第一百一十五條 操作系統(tǒng)和重要應(yīng)用的管理員帳號的口令應(yīng)該具備一定的復(fù)雜度，防止被病毒利用，口令設(shè)置遵循本制度第四章《用戶帳號與口令安全管理》； 第一百一十六條 關(guān)鍵服務(wù)器要盡量做到專機(jī)專用，不應(yīng)該開啟任何網(wǎng)絡(luò)共享； 第一百一十七條 對共享的網(wǎng)絡(luò)文件服務(wù)器，應(yīng)特別加以維護(hù)，控制讀寫權(quán)限，盡量不在服務(wù)器上遠(yuǎn)程運(yùn)行軟件程序； 第一百一十八條 對于出現(xiàn)的最新病毒，在廠家沒有發(fā)布特征庫解決方案之前，要根據(jù)病毒自身特點在網(wǎng)關(guān)處進(jìn)行內(nèi)容過濾； 第一百一十九條 在網(wǎng)絡(luò)設(shè)備上關(guān)閉病毒的常用端口； 第一百二十條 IE安全級別設(shè)置在中以上，對ActiveX控件要確認(rèn)安全后才可打開； 第一百二十一條 建立網(wǎng)內(nèi)防病毒技術(shù)支持系統(tǒng)，使用電話、郵件等手段對用戶在防病毒方面進(jìn)行技術(shù)支持。 第四節(jié) 病毒處理 第一百二十二條 隔離受感染主機(jī)： 當(dāng)出現(xiàn)計算機(jī)病毒傳染跡象時，立即隔離被感染的系統(tǒng)和網(wǎng)絡(luò)，并進(jìn)行處理，原則上不應(yīng)帶“毒”繼續(xù)運(yùn)行； 第一百二十三條 確定病毒種類特征： 采用多種手段確定病毒的類型和傳播途徑，如查看防病毒軟件的報警信息、搜索互聯(lián)網(wǎng)相關(guān)信息、和防病毒廠商溝通等途徑。對于未知病毒，可以盡快提交給有關(guān)部門或廠商； 第一百二十四條 防止擴(kuò)散： 如果出現(xiàn)大面積傳播的趨勢，要根據(jù)病毒的傳播形式，采取網(wǎng)絡(luò)訪問控制、內(nèi)容過濾等手段控制病毒的擴(kuò)散； 第一百二十五條 查殺病毒： 盡量使用專殺工具對病毒進(jìn)行查殺，殺毒完成后，重啟計算機(jī)，再次用最新升級的防病毒軟件檢查系統(tǒng)中是否還存在該病毒，如是系統(tǒng)漏洞應(yīng)及時打上相應(yīng)補(bǔ)丁，并確定被感染破壞的數(shù)據(jù)是否確實完全恢復(fù)； 第一百二十六條 如果重要數(shù)據(jù)文件被感染，無法修復(fù)，可以請數(shù)據(jù)恢復(fù)的專業(yè)人員進(jìn)行處理。 第四節(jié) 員工防病毒安全管理 第一百二十七條 重視管理員發(fā)布的病毒和補(bǔ)丁通告，提高病毒的防范意識，及時安裝操作系統(tǒng)補(bǔ)??； 第一百二十八條 只有安裝了防病毒軟件的計算機(jī)系統(tǒng)才能夠接入公司內(nèi)部計算機(jī)網(wǎng)絡(luò)，防病毒軟件必須選擇公司統(tǒng)一指定的類型； 第一百二十九條 用戶有協(xié)助管理員維護(hù)本機(jī)系統(tǒng)防病毒軟件的義務(wù)，如果防病毒軟件出現(xiàn)工作異常，病毒特征庫過舊(更新時間為兩周前)等問題，應(yīng)該及時通知管理員進(jìn)行維護(hù)； 第一百三十條 嚴(yán)禁用戶以任何方式卸載防病毒軟件和停止防病毒服務(wù)； 第一百三十一條 軟盤、光盤等移動媒體，以及外來的系統(tǒng)和軟件，下載軟件等，要先進(jìn)行計算機(jī)病毒檢查，確認(rèn)無計算機(jī)病毒后才可以使用；嚴(yán)禁使用未經(jīng)清查的、來歷不明的軟盤、光盤等； 第一百三十二條 不要閱讀和傳播來歷不明的郵件，用郵件客戶端收取郵件時設(shè)置默認(rèn)為文本方式； 第一百三十三條 如果發(fā)現(xiàn)本機(jī)有感染病毒的跡象，應(yīng)立刻通知系統(tǒng)管理員，必要時拔掉網(wǎng)線。 第一百三十四條 定期對所有重要敏感數(shù)據(jù)進(jìn)行備份； 第一百三十五條 用戶有義務(wù)為自己的電腦設(shè)置帳戶口令，口令長度8位以上，不得設(shè)置簡單口令，口令設(shè)置遵循本制度第四章《用戶帳號與口令安全管理》； 第一百三十六條 定期對自己的電腦進(jìn)行殺毒和漏洞掃描； 第十章 電子郵件安全管理 第一節(jié) 電子郵件服務(wù)安全管理 第一百三十七條 郵件帳號管理 (1) 帳號口令的設(shè)置原則遵循本制度第四章《用戶帳號與口令安全管理》； (2) 如果確認(rèn)某個帳號的活動已經(jīng)威脅到整個系統(tǒng)的安全，應(yīng)立即禁用此帳號，并第一時間通知用戶； (3) 網(wǎng)絡(luò)應(yīng)能控制用戶登錄入郵件系統(tǒng)次數(shù)，應(yīng)對所有用戶的訪問進(jìn)行審計，如果多次輸入口令不正確，則認(rèn)為是非法用戶的入侵，應(yīng)給出報警信息； (4) 建立口令管理制度。做到口令專管專用、定期更改，失密后立即報告； (5) 系統(tǒng)管理員在應(yīng)用戶要求并且由部門接口人確認(rèn)后由部門接口人送郵件至IT管理部后，可以修改用戶口令； (6) 離職員工在離職日起必須對其持有的公司內(nèi)部員工郵件帳號進(jìn)行刪除； (7) 禁止匿名發(fā)送郵件，必須做身份認(rèn)證。 第一百三十八條 容量限制 (1) 限制用戶郵箱的總?cè)萘? 對用戶的郵箱應(yīng)根據(jù)系統(tǒng)容量及需求設(shè)置相應(yīng)的容量限制； (2) 限制郵件傳輸容量 Ø 對傳輸郵件的大小應(yīng)做相應(yīng)的限定。如果由于用戶發(fā)送的郵件超過規(guī)定限額，造成網(wǎng)絡(luò)擁塞，郵件服務(wù)器癱瘓等問題，系統(tǒng)管理員將限制該用戶的郵箱只能收，不能發(fā)，或者關(guān)閉該用戶的郵箱，直到該用戶重新申請郵箱為止。需緊急發(fā)送并超過限定大小的，請以網(wǎng)站下載、FTP或其它方式替代； Ø 為了避免郵件服務(wù)器資源被過量使用，堅決杜絕大規(guī)模群組發(fā)送郵件；如確有需要，應(yīng)分批發(fā)送。通知、公告一類的內(nèi)容應(yīng)盡量通過應(yīng)用中的公告牌發(fā)布。 第一百三十九條 隱私保護(hù) 不得違法公開、編輯或透露用戶的郵件內(nèi)容。 第二節(jié) 電子郵件用戶使用安全 第一百四十條 電子郵件內(nèi)容 (1) 禁止利用電子郵件服務(wù)發(fā)送連環(huán)郵件、分發(fā)垃圾郵件； (2) 禁止傳輸任何騷擾性的、中傷他人的、恐嚇性的、庸俗、淫穢以及其他違反國家和公司規(guī)定內(nèi)容的信息資料； (3) 禁止散布電腦病毒、木馬程序、干擾網(wǎng)絡(luò)上其他使用者及破壞網(wǎng)絡(luò)節(jié)點的軟硬件系統(tǒng)，或其它類似情形。 第一百四十一條 電子郵件操作 (1) 用戶必須以本人的真實身份使用用于辦公用途的電子郵件，禁止以他人名義濫發(fā)郵件或盜用他人郵箱。未經(jīng)授權(quán)任何人不得以他人帳戶口令進(jìn)行登錄，閱讀他人郵件內(nèi)容； (2) 郵箱用戶的登錄密碼（用戶口令），必須嚴(yán)格保密，不得泄露，用戶使用完郵件系統(tǒng)后，必須立即退出登錄，以防他人冒名使用。用戶必須使用本人的郵件帳號口令訪問系統(tǒng)。如將其借予他人使用，由此造成的一切安全后果由郵件帳號所有人承擔(dān)； (3) 用戶若發(fā)現(xiàn)任何非法使用該用戶帳號或其它系統(tǒng)安全漏洞情況，須立即通告系統(tǒng)管理員； (4) 不要閱讀和傳播來歷不明的郵件及附件，提高對于病毒郵件的防范意識，避免傳遞病毒郵件，具體措施遵循本制度第九章《防病毒安全管理》； (5) 用戶不得將公司提供的電子郵件地址用于非工作目的(特別是以娛樂、購物、交友等為目的身份注冊)，如果受到大量垃圾郵件的困擾應(yīng)該通知系統(tǒng)管理員； (6) 郵件用戶必須經(jīng)常清理各自的郵箱，防止郵箱超限。用戶要保留的郵件要及時拷貝到本地計算機(jī)上保留； (7) 郵件系統(tǒng)管理員必須遵守有關(guān)法律規(guī)定和職業(yè)道德規(guī)范，維護(hù)企業(yè)、用戶個人的隱私與安全。 第十一章 終端用戶安全管理 第一節(jié) 終端安全管理 第一百四十二條 根據(jù)終端用途的不同，將終端分為：普通辦公終端、營業(yè)終端和系統(tǒng)維護(hù)終端三大類。對終端管理要求如下： (1) 發(fā)現(xiàn)終端運(yùn)行異常，及時與終端維護(hù)部門或單位聯(lián)系，非專業(yè)管理人員不得擅自拆開終端調(diào)換設(shè)備配件； (2) 外來人員攜帶電腦需要接入公司內(nèi)部計算機(jī)網(wǎng)絡(luò)的，必須征得相關(guān)部門負(fù)責(zé)人允許方可接入，并且要在相關(guān)人員隨工的情況下完成操作； (3) 新購終端入網(wǎng)前要進(jìn)行病毒掃描并統(tǒng)一部署安全軟件； (4) 系統(tǒng)維護(hù)終端只能用來進(jìn)行系統(tǒng)維護(hù)管理和優(yōu)化操作，不得接入互聯(lián)網(wǎng)。 (5) 禁止?fàn)I業(yè)終端接入互聯(lián)網(wǎng)。 第二節(jié) 終端用戶帳戶與口令管理 第一百四十三條 終端用戶要嚴(yán)格遵循本制度第四章《用戶帳號與口令安全管理》中的有關(guān)規(guī)定，定期更換口令，并盡量避免口令泄露，否則按照安全事件的嚴(yán)重程度追究相應(yīng)人員的責(zé)任。 第三節(jié) 終端用戶行為規(guī)范 第一百四十四條 未經(jīng)授權(quán)嚴(yán)禁使用他人帳號口令進(jìn)行系統(tǒng)操作； 第一百四十五條 不得隨意將終端設(shè)備提供給他人使用，長時間離開時，應(yīng)將終端置于鎖定狀態(tài)或關(guān)機(jī)； 第一百四十六條 不得利用終端安裝或使用嗅探、掃描、攻擊等各類黑客軟件進(jìn)行信息竊取或攻擊他人或其他系統(tǒng)； 第一百四十七條 禁止利用終端從事危害國家安全、泄漏國家秘密等違法犯罪活動，禁止編制、運(yùn)行、傳播危害網(wǎng)絡(luò)安全的軟件，禁止制作、查閱、復(fù)制和傳播妨礙社會治安的信息和淫穢色情等信息； 第一百四十八條 禁止利用終端進(jìn)行大量占用網(wǎng)絡(luò)資源的操作，以免造成整體網(wǎng)絡(luò)處理性能的下降； 第一百四十九條 禁止用戶隨意改動自己的網(wǎng)絡(luò)參數(shù)配置，包括IP地址、網(wǎng)關(guān)、子網(wǎng)掩碼、DNS等； 第一百五十條 禁止用戶采用任何工具私自修改網(wǎng)卡的MAC地址。 第四節(jié) 終端用戶防病毒安全管理 第一百五十一條 終端用戶必須提高病毒的防范意識，嚴(yán)格遵循本制度第九章《防病毒安全管理》中的規(guī)定，統(tǒng)一部署殺毒軟件，及時更新病毒庫。 第五節(jié) 終端用戶電子郵件安全管理 第一百五十二條 終端用戶在使用終端進(jìn)行郵件收發(fā)時，須遵循本制度第十章《電子郵件安全管理》中的相關(guān)規(guī)定。 第十二章 安裝及升級安全管理 第一節(jié) 軟件安裝安全管理 第一百五十三條 所有新的應(yīng)用系統(tǒng)軟件或者軟件增強(qiáng)部分功能必須在用戶需求說明中詳細(xì)定義，并提交給業(yè)務(wù)系統(tǒng)管理員審核； 第一百五十四條 所有的應(yīng)用軟件包必須與公司首選并且認(rèn)證過的計算機(jī)系統(tǒng)平臺保持兼容； 第一百五十五條 為了遵守法規(guī)和取得賣方的各方面支持，軟件必須附帶包括各種條款的最終用戶授權(quán)協(xié)議； 第一百五十六條 新軟件和升級軟件在實施前必須搭建測試環(huán)境進(jìn)行功能、性能和兼容性測試。測試前應(yīng)提供測試方案，測試后提供詳細(xì)的測試報告。 第一百五十七條 公司應(yīng)有明確規(guī)定各類服務(wù)器設(shè)備、終端安裝的軟件，禁止安裝盜版軟件和非認(rèn)可軟件； 第一百五十八條 對于公司設(shè)備及所安裝的軟件及LICENSE應(yīng)有清晰的記錄； 第一百五十九條 對于非規(guī)定范圍內(nèi)的軟件安裝前應(yīng)由系統(tǒng)維護(hù)人員進(jìn)行評估和記錄，并交由信息安全經(jīng)理審核批準(zhǔn)后，方可認(rèn)為為認(rèn)可軟件，進(jìn)入系統(tǒng)使用。 第一百六十條 制定所有設(shè)備（含終端設(shè)備）所安裝軟件至少定期（6個月）和不定期檢查流程，并進(jìn)行結(jié)果通報；檢查內(nèi)容包括設(shè)備型號、具體配置、安裝的軟件名稱、用途、許可證號等。 第二節(jié) 主機(jī)設(shè)備安裝安全管理 第一百六十一條 每個操作系統(tǒng)必須要有系統(tǒng)加固手冊，信息安全工作組應(yīng)對每一平臺(如Linux, Solaris, Windows, HPUX, AIX等)的加固方式進(jìn)行評估。系統(tǒng)的加固手冊應(yīng)至少包括如下內(nèi)容： (1) 關(guān)閉不必要的服務(wù)； (2) 對系統(tǒng)中的密碼設(shè)置需要有如下限制，主要包括密碼長度不能少于8位;應(yīng)該有數(shù)字﹑字母和特殊字母三種組成;密碼的有效期最長為三個月，密碼輸入錯誤10次以上，用戶賬號應(yīng)該被鎖定； (3) 系統(tǒng)管理員可以鎖定賬號和為用戶賬號進(jìn)行解鎖；