信息安全管理規(guī)范

企業(yè)

版本信息

目前版本：

最新更新日期：

最新更新作者：

作者：

創(chuàng)立日期：

審批人：

審批日期：

修訂歷史

版本號(hào)更新日期修訂作者重要修訂摘要

TableofContents（目錄）

1.企業(yè)信息安全規(guī)定................................錯(cuò)誤床定義書簽。

1.1信息安全方針........................................錯(cuò)誤!未定義書簽。

1.2信息安全工作準(zhǔn)則...................................錯(cuò)誤味定義書簽。

1.3職責(zé)................................................錯(cuò)誤床定義書簽。

1.4信息資產(chǎn)的分類規(guī)定..................................錯(cuò)誤!未定義書簽。

1.5信息資產(chǎn)的分級(jí)（保密級(jí)別）規(guī)定.....................錯(cuò)誤味定義書簽。

1.6現(xiàn)行保密級(jí)別與原有保密級(jí)別對(duì)照表....................錯(cuò)誤床定義書簽。

1.7信息標(biāo)識(shí)與處置中的角色與職責(zé)........................錯(cuò)誤味定義書簽。

1.8信息資產(chǎn)標(biāo)注管理規(guī)定................................錯(cuò)誤味定義書簽。

1.9容許的信息互換方式..................................錯(cuò)誤味定義書簽。

1.10信息資產(chǎn)處理和保護(hù)規(guī)定對(duì)應(yīng)表.......................錯(cuò)誤!未定義書簽。

1.11口令使用方略........................................錯(cuò)誤味定義書簽。

1.12桌面、屏幕清空方略..................................錯(cuò)誤床定義書簽。

1.13遠(yuǎn)程工作安全方略....................................錯(cuò)誤味定義書簽。

2.2什么是信息安全？.................................................25

2.3信息安全的三要素...................................錯(cuò)誤味定義書簽。

2.4什么是信息安全管理體系？.........................................26

2.5建立信息安全管理體系的目的.........................錯(cuò)誤!未定義書簽。

2.6信息安全管理的PDCA模式............................錯(cuò)誤味定義書簽。

2.7安全管理?風(fēng)險(xiǎn)評(píng)估過程.............................錯(cuò)誤味定義書簽。

2.8信息安全管理體系原則（IS027001原則家族）................錯(cuò)誤!未定義書簽。

2.9信息安全控制目B勺與控制措施.........................錯(cuò)誤味定義書簽。

1.企業(yè)信息安全規(guī)定

1.1信息安全方針

■擁有信息資產(chǎn)，積累、共享并保護(hù)信息資產(chǎn)是我們共同的責(zé)任。

管理與技術(shù)并重，保證企業(yè)信息資產(chǎn)的安全，保障企業(yè)持續(xù)正常運(yùn)行。

履行對(duì)客戶知識(shí)產(chǎn)權(quán)的保護(hù)承諾，保障客戶信息資產(chǎn)的安全，滿足并超越客

戶信息安全需求。

1.2信息安全工作準(zhǔn)則

■保護(hù)信息B勺機(jī)密性、完整性和可用性，即保證信息僅供應(yīng)那些獲得授權(quán)的人

員使用、保護(hù)信息及信息處理措施H勺精確性和完整性、保證獲得授權(quán)的人

員能及時(shí)可靠地使用信息及信息系統(tǒng)；

■企業(yè)通過建立有效的信息安全管理體系和必要的技術(shù)手段，保障信息資產(chǎn)日勺

安全，減少信息安全風(fēng)險(xiǎn)；

■各級(jí)信息安全責(zé)任者負(fù)責(zé)所轄區(qū)域的信息安全，通過建立有關(guān)制度及有效的

保護(hù)措施，保證企業(yè)的信息安全方針得到可靠實(shí)行；

■全體員工應(yīng)只訪問或使用獲得授權(quán)的信息系統(tǒng)及其他信息資產(chǎn)，應(yīng)按規(guī)定選

擇和保護(hù)口令；

■未經(jīng)授權(quán)，彳丑可人不得對(duì)企業(yè)信息資產(chǎn)進(jìn)行復(fù)制、運(yùn)用或用于其他目的；

■應(yīng)及時(shí)檢測(cè)病毒，防止惡意軟件的襲擊；

■企業(yè)擁有為保護(hù)信息安全而使用監(jiān)控手段的權(quán)力，任何違反信息安全政策H勺

員工都將受到對(duì)應(yīng)處理；

通過建立有效和高效的信息安全管理體系，定期評(píng)估信息安全風(fēng)險(xiǎn)，持續(xù)改

善信息安全管理體系。

1.3職責(zé)

全體員工應(yīng)保護(hù)企業(yè)信息資產(chǎn)的安全。每個(gè)員工必須認(rèn)識(shí)到信息資產(chǎn)的價(jià)

值，負(fù)責(zé)保護(hù)好自己生成、管理或可觸及日勺波及時(shí)數(shù)據(jù)和信息。員工必須遵守

《信息標(biāo)識(shí)與處理程序》，理解信息的保密級(jí)別。對(duì)于不能確定與否為涉密信

息的內(nèi)容，必須征得有關(guān)管理部門確實(shí)認(rèn)才可對(duì)外披露。員工必須遵守信息安

全有關(guān)的各項(xiàng)制度和規(guī)定，保證B勺系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)僅用于的各項(xiàng)工作有關(guān)的

用途，不得濫用。

1.4信息資產(chǎn)的分類規(guī)定

企業(yè)的信息資產(chǎn)分為電子數(shù)據(jù)、軟件、硬件、實(shí)體信息、服務(wù)五大類。

類別闡明

電子數(shù)據(jù)存在信息媒介上的多種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫(kù)數(shù)據(jù)等多

種電子化B勺數(shù)據(jù)資料、項(xiàng)目文檔、管理文檔、運(yùn)行管理規(guī)程、計(jì)

戈人匯報(bào)、顧客手冊(cè)、作業(yè)指導(dǎo)書等多種電子化的數(shù)據(jù)資料。

軟件包括系統(tǒng)軟件、應(yīng)用軟件、共享軟件

系統(tǒng)軟件：操作系統(tǒng)、語(yǔ)言包、工具軟件、多種庫(kù)等；

應(yīng)用軟件：外部購(gòu)置時(shí)應(yīng)用軟件，辦公軟件等；

共享軟件：多種共享源代碼、共享可執(zhí)行程序等。

共享軟件：多種共享源代碼、共享可執(zhí)行程序等。

硬件網(wǎng)絡(luò)設(shè)備：路由器、網(wǎng)關(guān)、互換機(jī)等

計(jì)算機(jī)設(shè)備：大型機(jī)、服務(wù)器、工作站、臺(tái)式計(jì)算機(jī)、移動(dòng)計(jì)算

機(jī)等

存儲(chǔ)設(shè)備：磁帶機(jī)、磁盤陣列、工控機(jī)等

移動(dòng)存儲(chǔ)設(shè)備：磁帶、光盤、軟盤、U盤、移動(dòng)硬盤等

傳播線路：光纖、雙絞線等

基礎(chǔ)保障設(shè)備：（UPS、變電設(shè)備等）、空調(diào)、保險(xiǎn)柜、文獻(xiàn)

柜、門禁、消防設(shè)施等，如對(duì)基礎(chǔ)設(shè)施使用屬于租用形式，請(qǐng)將其識(shí)

別到服務(wù)類別中。

安全保障設(shè)備：硬件防火墻、入侵檢測(cè)系統(tǒng)、身份驗(yàn)證等

其他電子設(shè)備：打印機(jī)、復(fù)印機(jī)、掃描儀、機(jī)等

其他電子設(shè)備：打印機(jī)、復(fù)印機(jī)、掃描儀、機(jī)等

實(shí)體信息紙制的多種文獻(xiàn)、協(xié)議、、會(huì)議紀(jì)要、財(cái)務(wù)報(bào)表、證書、電

報(bào)、發(fā)展計(jì)劃以及各類其他材質(zhì)的證書獎(jiǎng)牌等O

服務(wù)通過多種協(xié)議方式固化下來(lái)的服務(wù)活動(dòng)、如物業(yè)、第三方、供應(yīng)

商、提供檢修服務(wù)的提供方等。

1.5信息資產(chǎn)的分級(jí)（保密級(jí)別）規(guī)定

信息資產(chǎn)名稱闡明

分為：-

般、內(nèi)部

公開、企

業(yè)秘密、

企業(yè)機(jī)密

4個(gè)保密

級(jí)別。

保密級(jí)別

1一般性信息，可以公開的信息、信息處理設(shè)備和系統(tǒng)

資源。

2內(nèi)部公非敏感但僅限企業(yè)內(nèi)部使用的信息、信息處理設(shè)備和

開系統(tǒng)資源。

3企業(yè)秘敏感的信息、信息處理設(shè)備和系統(tǒng)資源，只給必須懂

密得者。

4企業(yè)機(jī)敏感H勺信息、信息處理設(shè)備和系統(tǒng)資源，僅合用很少

密數(shù)必須懂得的人。

1.6現(xiàn)行保密級(jí)別與原有保密級(jí)別對(duì)照表

保密級(jí)別與企業(yè)原有的保密級(jí)別與之相稱的原有保密級(jí)別

的對(duì)照表如下：

現(xiàn)行口勺保密級(jí)^

一般一般

內(nèi)部公開秘密

企業(yè)秘密機(jī)密

企業(yè)機(jī)密絕密

1.7信息標(biāo)識(shí)與處置中的角色與職責(zé)

角色職責(zé)

負(fù)責(zé)人：信息資產(chǎn)B勺創(chuàng)立者，■理解和多種信息訪問活動(dòng)有關(guān)B勺安全風(fēng)

或者重要顧客所在組織、單位險(xiǎn)；

或部門的負(fù)責(zé)人。信息資產(chǎn)負(fù)■根據(jù)企業(yè)信息密級(jí)劃分原則來(lái)確定所屬信

責(zé)人對(duì)所屬信息資產(chǎn)負(fù)直接責(zé)息資產(chǎn)的級(jí)別;

任?！龈鶕?jù)企業(yè)有關(guān)方略確定并檢查信息訪問權(quán)

限；

■針對(duì)所屬信息資產(chǎn)提出恰當(dāng)B勺保護(hù)措施。

保管者：受信息資產(chǎn)負(fù)責(zé)人■根據(jù)企業(yè)有關(guān)方略和信息資產(chǎn)負(fù)責(zé)人的規(guī)

委托，對(duì)信息資產(chǎn)進(jìn)行平常定，負(fù)責(zé)信息資產(chǎn)的維護(hù)操作和平常管理

的管理，維護(hù)已經(jīng)建立的保事務(wù)；

護(hù)措施。資產(chǎn)保管者一般是■負(fù)責(zé)詳細(xì)設(shè)置信息訪問權(quán)限；

企業(yè)或部門的IT管理者或者■負(fù)責(zé)所管理的信息資產(chǎn)的安全控制；

代表（例如系統(tǒng)管理員）?！霾际鹎‘?dāng)?shù)陌踩珯C(jī)制，進(jìn)行備份和恢復(fù)操

作；

■按照信息資產(chǎn)負(fù)責(zé)人的規(guī)定實(shí)行其他控

制。

顧客：信息資產(chǎn)的使用者，除■向信息負(fù)責(zé)人申請(qǐng)信息訪問；

了企業(yè)內(nèi)部員工，也也許是由■按照企業(yè)信息安全方略規(guī)定合法訪問信息,

于業(yè)務(wù)需要而訪問企業(yè)信息的嚴(yán)禁非授權(quán)訪問；

客戶或第三方組織?！鱿蛴嘘P(guān)組織匯報(bào)隱患、故障或者違規(guī)事

件。

1.8信息資產(chǎn)標(biāo)注管理規(guī)定

(1)企業(yè)所屬的各類信息資產(chǎn)，無(wú)論其存在形式是電子、紙質(zhì)還是磁盤等，都

應(yīng)在明顯位置標(biāo)注其保密級(jí)別。

(2)一般電子或紙質(zhì)文檔應(yīng)在該文檔頁(yè)眉的右上角或頁(yè)腳上標(biāo)注其保密級(jí)別

或在文獻(xiàn)封面打上保密章，磁盤等介質(zhì)應(yīng)在其表面非數(shù)據(jù)區(qū)予以標(biāo)注其

保密級(jí)別。

(3)假如某存儲(chǔ)介質(zhì)中包括各個(gè)級(jí)別H勺信息，作為整體考慮，該存儲(chǔ)介質(zhì)。勺保

密級(jí)別標(biāo)注應(yīng)以最高為準(zhǔn)。

(4)假如沒有明顯的保密級(jí)別標(biāo)注，該信息資產(chǎn)以"一般"級(jí)別看待。

(5)對(duì)于對(duì)外公開的信息，需要得到有關(guān)負(fù)責(zé)人的核準(zhǔn)，并由對(duì)外信息公布部

門統(tǒng)一處理。

如需在信息資產(chǎn)上表述保密申明，可采用如下兩種表述方式：

表述方式一：”保密申明：企業(yè)資產(chǎn)，注意保密。"

表述方式二："保密申明：本文檔受國(guó)家有關(guān)法律和企業(yè)制度保護(hù)，不

得私自復(fù)制或擴(kuò)散。”

1.9容許的信息互換方式

企業(yè)容許的信息互換方式有：郵件、視頻、、網(wǎng)站內(nèi)容公布、文獻(xiàn)共

享、、光盤、磁盤、磁帶和紙張。

1.10信息斐產(chǎn)處理和保護(hù)規(guī)定對(duì)應(yīng)表

企業(yè)機(jī)密企業(yè)秘密內(nèi)部公開一般

授需得到負(fù)責(zé)人和需得到有關(guān)負(fù)責(zé)需得到負(fù)無(wú)尤其

權(quán)企業(yè)管理層同意人及部門領(lǐng)導(dǎo)同意責(zé)人同意規(guī)定

只能被得到授權(quán)只能被企業(yè)內(nèi)部可以被企任何企

B勺企業(yè)很少數(shù)關(guān)鍵或外部得到明確授業(yè)內(nèi)部或外業(yè)員工或

人員訪問權(quán)的人員訪問，訪問部由于業(yè)務(wù)外部人員

訪

者應(yīng)當(dāng)簽訂保密協(xié)需要的人員都可以訪

問

議訪問問

電子類的應(yīng)當(dāng)加電子類的應(yīng)當(dāng)妥電子類的以恰當(dāng)

密存儲(chǔ)在安全的計(jì)善保留在設(shè)有安全應(yīng)當(dāng)妥善保方式保留，

算機(jī)系統(tǒng)內(nèi)；硬拷控制的計(jì)算機(jī)系統(tǒng)管，可以進(jìn)行防止被非

貝應(yīng)當(dāng)鎖在安全日勺內(nèi)（提議進(jìn)行信息加密；紙質(zhì)授權(quán)人員

存

保險(xiǎn)柜內(nèi)；嚴(yán)禁以加密）；硬拷貝應(yīng)不成放在桌看到；存

儲(chǔ)

其他形式存儲(chǔ)或顯當(dāng)妥善保管，嚴(yán)禁擺面儲(chǔ)有信息

示放在桌面；使用白的介質(zhì)防

止丟失

板展小后應(yīng)立即擦

除

得到有關(guān)負(fù)責(zé)人須經(jīng)有關(guān)負(fù)責(zé)人經(jīng)有關(guān)負(fù)內(nèi)部復(fù)

及企業(yè)管理層同同意，并讓專人操作責(zé)人同意制無(wú)限制

復(fù)意；需要登記或監(jiān)督實(shí)行，需要登

制記

嚴(yán)禁打?。ɑ蛟陧毥?jīng)有關(guān)負(fù)責(zé)人經(jīng)有關(guān)負(fù)無(wú)限制，

授權(quán)狀況卜專人負(fù)許可，打印件標(biāo)注密責(zé)人許可，打打印件標(biāo)

責(zé)打印，不得打印到級(jí)并妥善管理，不得印件標(biāo)注密注密級(jí)

打

無(wú)人值守機(jī)）打印到無(wú)人值守機(jī)級(jí)并妥善管

印

理

嚴(yán)禁郵件直接發(fā)須經(jīng)有關(guān)負(fù)責(zé)人經(jīng)有關(guān)負(fù)無(wú)限制

送，經(jīng)授權(quán)后做電子許可，郵件發(fā)送應(yīng)做責(zé)人許可

簽名和加密控制，經(jīng)加密控制，保留記錄

郵

安全的途徑發(fā)送，保

件

留記錄

須經(jīng)有關(guān)負(fù)責(zé)人經(jīng)有關(guān)負(fù)無(wú)限制

許可后專人負(fù)責(zé)責(zé)人許可

經(jīng)授權(quán)后采用妥經(jīng)授權(quán)后，由簽經(jīng)授權(quán)后，無(wú)限制

善的保護(hù)措施，由專訂了特定安全協(xié)議由簽訂了特

人快遞定安全協(xié)議

快B勺專門的快遞企業(yè)

快遞的專門的快

遞

遞企業(yè)快遞

內(nèi)部分經(jīng)有關(guān)負(fù)責(zé)人和經(jīng)有關(guān)負(fù)責(zé)人同經(jīng)授權(quán)后，無(wú)限制

發(fā)企業(yè)管理層同意后，意后，密封分發(fā)，或以內(nèi)部郵件

密封分發(fā)，或以容許以容許的電子分發(fā)形式發(fā)放，或

的電子分發(fā)形式進(jìn)形式進(jìn)行安全的分直接進(jìn)行硬

行安全的分發(fā)發(fā)拷貝分發(fā)

經(jīng)有關(guān)負(fù)責(zé)人和經(jīng)有關(guān)負(fù)責(zé)人同經(jīng)授權(quán)后，經(jīng)授權(quán)

企業(yè)若埋層同意后意后分發(fā)，需簽訂保以郵件或者后，以容許

分發(fā)，需要簽訂特定密協(xié)議，需要進(jìn)行登快遞方式分日勺分發(fā)方

對(duì)外分

的保密協(xié)議，需要進(jìn)記發(fā)，提議簽訂式分發(fā)

發(fā)

行登記保密協(xié)議

碎紙機(jī)；徹底銷碎紙機(jī)；徹底捎保留件標(biāo)電子記

毀介質(zhì)；電子記錄毀介質(zhì)；電子記錄明作廢；電錄定期消

處定期消除；進(jìn)行檢定期消除；進(jìn)行檢子記錄定期除，介質(zhì)銷

理查確認(rèn)查確認(rèn)消除；介質(zhì)毀

銷毀

直接負(fù)責(zé)人應(yīng)有跟蹤文獻(xiàn)復(fù)制、無(wú)規(guī)定不提議

收件人、復(fù)制者、保留、瀏覽、銷毀

記錄跟E躺

保留者、瀏覽者、過程，應(yīng)有記錄

蹤

銷毀者的日志記錄

1.11口令使用方略

(1)全體員工在挑選和使用口令時(shí)，應(yīng):

(2)保證口令的機(jī)密。

(3)除非能安全保留，防止將口令記錄在紙上。

(4)只要有跡象表明系統(tǒng)或口令也許遭到破壞，應(yīng)立即更改口令。

A.選用高質(zhì)量?jī)?nèi)口令，至少要有6個(gè)字符，此外：

B.口令應(yīng)由字母加數(shù)字構(gòu)成；

C.口令不應(yīng)采用如姓名、號(hào)碼、生日等輕易猜出或破解的信息。

(5)每三個(gè)月更改或根據(jù)訪問次數(shù)更改口令(尤其是特權(quán)顧客)，防止再次

使用或循環(huán)使用舊口令。

(6)初次登錄時(shí)，應(yīng)立即更改臨時(shí)口令。

(7)不得共享個(gè)人顧客口令。

1.12桌面、屏幕清空方略

(1)為了減少在正常工作時(shí)間以外對(duì)信息進(jìn)行未經(jīng)授權(quán)訪問所帶來(lái)的風(fēng)險(xiǎn)、

損失和損害，員工應(yīng)：

(2)在閑置或工作時(shí)間之外將紙張或計(jì)算機(jī)存儲(chǔ)介質(zhì)儲(chǔ)存在合適的柜子或其

他形式的安全設(shè)備中。

(3)當(dāng)辦公室無(wú)人時(shí)將關(guān)鍵業(yè)務(wù)信息放置到安全地點(diǎn)(例如防火的保險(xiǎn)箱或

柜子中)0

(4)在無(wú)人使用時(shí)，將個(gè)人計(jì)算機(jī)、計(jì)算機(jī)終端和打印機(jī)、復(fù)印機(jī)設(shè)為鎖定

狀態(tài)。

為個(gè)人計(jì)算機(jī)、計(jì)算機(jī)終端設(shè)定密碼，同步設(shè)定屏保時(shí)間(＜二15分

鐘)。

在打印保密級(jí)別為企業(yè)機(jī)密、企業(yè)秘密的信息后，應(yīng)立即從打印機(jī)中清除

有關(guān)痕跡，并有效保護(hù)打印出來(lái)的信息內(nèi)容。

3遠(yuǎn)程工作安全方略

(1)必須保護(hù)好遠(yuǎn)程工作場(chǎng)所防止盜竊設(shè)備和信息、未經(jīng)授權(quán)公開信息、對(duì)

企業(yè)內(nèi)部系統(tǒng)進(jìn)行遠(yuǎn)程非法訪問或?yàn)E用設(shè)備等行為。員工應(yīng)：

(2)保障物理安全。

(3)對(duì)家人和客人使用設(shè)備進(jìn)行限制。假如必須要使用，應(yīng)在旁邊進(jìn)行監(jiān)督

和控制，保證關(guān)鍵業(yè)務(wù)信息的安全。

(4)遠(yuǎn)程工作活動(dòng)結(jié)束時(shí)，權(quán)限以及設(shè)備及時(shí)收回。

網(wǎng)絡(luò)遠(yuǎn)程登錄終端的撥號(hào)密碼即VPN帳號(hào)僅限本人使用，不容許他人使

用。

進(jìn)入企業(yè)或客戶B勺信息系統(tǒng)工作完畢后，必須立即退出系統(tǒng)。

1.14移動(dòng)辦公方略

(1)使用移動(dòng)辦公設(shè)備(如筆記本電腦)時(shí)，員工尤其應(yīng)當(dāng)注意保證業(yè)務(wù)信

息不受損壞、非法訪問或泄密：

(2)移動(dòng)辦公設(shè)備需要帶出企業(yè)工作場(chǎng)所時(shí)，應(yīng)進(jìn)行登記。

(3)在公共場(chǎng)所使用移動(dòng)辦公設(shè)備時(shí)，必須注意防備被未經(jīng)授權(quán)的人員窺視。

(4)應(yīng)實(shí)時(shí)更新用于防備惡意軟件的程序。

(5)應(yīng)對(duì)信息進(jìn)行以便快捷的備份。

(6)備份B勺信息應(yīng)當(dāng)予以合適B勺保護(hù)以防信息被盜或丟失。

(7)使用移動(dòng)辦公設(shè)備通過公共網(wǎng)對(duì)企業(yè)商務(wù)信息進(jìn)行遠(yuǎn)程訪問時(shí)必須進(jìn)行

身份識(shí)別和VPN訪問控制.

(8)防止移動(dòng)辦公設(shè)備被盜。

(9)防止保密級(jí)別為企業(yè)秘密級(jí)以上的信息所在的移動(dòng)辦公設(shè)備無(wú)人看守。

1.15介質(zhì)的申請(qǐng)、使用、掛失、報(bào)廢規(guī)定

介質(zhì)責(zé)任者任務(wù)有關(guān)文獻(xiàn)或記錄

的申

請(qǐng)：

序號(hào)

1資產(chǎn)管理員按照企業(yè)的固定資產(chǎn)或《固定資產(chǎn)管理制度》

消耗資材申領(lǐng)方式向企《計(jì)算機(jī)維護(hù)消耗資材管

業(yè)申領(lǐng)介質(zhì)。

理措施》

2資產(chǎn)管理員從企業(yè)領(lǐng)取介質(zhì)并登記《介質(zhì)登記表》

到《介質(zhì)登記表》中C

3資產(chǎn)管理員如通過設(shè)備管理，需通參見使用闡明

過usb使用的移動(dòng)存儲(chǔ)

介質(zhì)在中注冊(cè)。

4資產(chǎn)管理員在《介質(zhì)登記表》中登《介質(zhì)登記表》

記發(fā)放時(shí)間，使用人等

信息后發(fā)放介質(zhì)。

A.介質(zhì)的］使用：

B.如安裝了設(shè)備，所有工作中使用的USB存儲(chǔ)介質(zhì)都應(yīng)在中進(jìn)行注冊(cè)。

C.假如確認(rèn)介質(zhì)中的內(nèi)容不再需要，應(yīng)立即將其以可靠方式清除。

(1)假如數(shù)據(jù)需要保留，則使用人應(yīng)當(dāng)保留在有良好安全措施B勺個(gè)人計(jì)算機(jī)

和服務(wù)器上，而不應(yīng)當(dāng)放在計(jì)算機(jī)活動(dòng)介質(zhì)中。

（2）所有的備份介質(zhì)都應(yīng)寄存在安全可靠的地方，并符合生產(chǎn)廠家闡明書的

安全規(guī)定。

介質(zhì)責(zé)任者任務(wù)有關(guān)文獻(xiàn)或記錄

時(shí)掛

失：

序號(hào)

1使用者使用人立即向資產(chǎn)管理員申報(bào)掛失

2資產(chǎn)管理員假如是通過usb使用的移動(dòng)存儲(chǔ)介

質(zhì)被掛失且在上注冊(cè)過，則應(yīng)在上

進(jìn)行注銷。

3資產(chǎn)管理在介質(zhì)登記表中登記掛失《介質(zhì)登記表》

員

介質(zhì)責(zé)任者任務(wù)有關(guān)文獻(xiàn)或記錄

時(shí)報(bào)

廢：

序號(hào)

1使用者1）、書面文獻(xiàn)用碎紙機(jī)粉碎

2）、其他介質(zhì)報(bào)廢，使用人向

資產(chǎn)管理員申請(qǐng)介質(zhì)報(bào)廢。

2）、其他介質(zhì)報(bào)廢，使用人向

資產(chǎn)管理員申請(qǐng)介質(zhì)報(bào)廢。

2資產(chǎn)管理假如是通過usb使用H勺移動(dòng)存

員儲(chǔ)介質(zhì)且在上注冊(cè)過，則應(yīng)在上進(jìn)

行注銷。

3資產(chǎn)管理按照企業(yè)的固定資產(chǎn)和消耗資《固定資產(chǎn)管理制

員材日勺報(bào)廢流程實(shí)行。度》

《計(jì)算機(jī)維護(hù)消耗

資材管理措施》

4資產(chǎn)管理在介質(zhì)清單中登記已報(bào)廢《1介質(zhì)登記表》

員

1.16信息安全事件管理流程

(1)發(fā)現(xiàn)

A.企業(yè)全體員工均有責(zé)任和義務(wù)將已發(fā)現(xiàn)的或可疑的事件、故障和微

弱點(diǎn)及時(shí)匯報(bào)給有關(guān)部門或人員。

B.任何企圖阻攔、干擾、報(bào)復(fù)事件匯報(bào)者的行為都被視為違反企業(yè)方

略。

(2)匯報(bào)

(3)對(duì)于部門范圍內(nèi)的信息安全事件，當(dāng)事人可直接向部門負(fù)責(zé)人匯報(bào)，并按

照本部門規(guī)范遂行處理。事件處理者需填寫附錄中的《信息安全事件匯

報(bào)處理記錄單》，每月將有關(guān)記錄上交過程管理部。

(4)除部門內(nèi)可以自行處理的信息安全事件外，其他信息安全事件必須統(tǒng)一

上報(bào)給客服記錄。

(5)響應(yīng)

A.客服對(duì)信息安全事件做出最初響應(yīng)，:將技術(shù)方面H勺信息安全事件交

給系統(tǒng)服務(wù)部組織處理，將管理方面B勺信息安全事件交給過程管理

部組織有關(guān)部門進(jìn)行處理。

B.需要做深入調(diào)查的信息安全事件，當(dāng)其影響范圍波及整個(gè)企業(yè)或影

響程度嚴(yán)重阻礙了企業(yè)時(shí)正常運(yùn)行時(shí)，匯報(bào)給信息安全管理委員會(huì)。

■事件響應(yīng)及處理者在處理安全事件時(shí)應(yīng)考慮如下優(yōu)先次序：

■保護(hù)人員的生命與安全

■保護(hù)敏感的設(shè)備和資料

■保護(hù)重要的數(shù)據(jù)資源

■防止系統(tǒng)被損壞

■將企業(yè)遭受B勺損失降至最小

(6)假如發(fā)生違法事件，事件有關(guān)波及部門要采集并保留有效證據(jù)，上交過程

管理部匯報(bào)給企業(yè)最高管理者決策，由法務(wù)部向外部法律機(jī)構(gòu)匯報(bào)。必

要時(shí)，法務(wù)部可以尋求外部專家的支持。

(7)評(píng)價(jià)/調(diào)查

(8)安全事件或故障發(fā)生之后，事件處理者要對(duì)事件或故障的類型、嚴(yán)重程

度、發(fā)生的原因、性質(zhì)、產(chǎn)生的損失、負(fù)責(zé)人進(jìn)行調(diào)查確認(rèn)，形成事件

或故障評(píng)價(jià)資料。

(9)懲戒

A.要根據(jù)事件的嚴(yán)重程度、導(dǎo)致的損失、產(chǎn)生B勺原因?qū)`規(guī)者進(jìn)行

教育或者懲罰。

B.懲戒手段可包括通報(bào)批評(píng)、行政警告、經(jīng)濟(jì)懲罰、調(diào)離崗位、根

據(jù)協(xié)議予以解雇，對(duì)于觸犯刑律者可交司法機(jī)關(guān)處理。

C.詳細(xì)懲罰原則參見《信息安全管理職責(zé)程序》。

(10)公告

A.事件的調(diào)查成果要反饋給當(dāng)事部門領(lǐng)導(dǎo)。

B.當(dāng)事部門可組織有關(guān)B勺人員進(jìn)行學(xué)習(xí)和培訓(xùn)。

1.17電子郵件安全使用規(guī)范

(1)企業(yè)電子郵件系統(tǒng)嚴(yán)禁用于創(chuàng)立與分發(fā)任何具有破壞性、歧視性的信息,

包括對(duì)種族、性別、殘疾人、年齡、職業(yè)、性取向、宗教信奉、政治信

念、國(guó)籍等方面的襲擊性語(yǔ)言。企業(yè)的員工假如接受到任何具有此類信

息的郵件，應(yīng)立即向主管領(lǐng)導(dǎo)進(jìn)行匯報(bào)。

(2)嚴(yán)禁使用企業(yè)帳號(hào)發(fā)送連鎖信。嚴(yán)禁使用企業(yè)電子郵件帳號(hào)發(fā)送病毒或

惡意代碼警告郵件。這些規(guī)則也合用于當(dāng)企業(yè)員工接受到此類電子郵件

并進(jìn)行轉(zhuǎn)發(fā)的狀況。

(3)使用H勺郵件軟件客戶端要及時(shí)升級(jí)，減少由于軟件的漏洞而受到外部襲

擊，防止因此而導(dǎo)致的郵件丟失和系統(tǒng)中毒.

(4)郵件必須有標(biāo)題，盡量以文本方式瀏覽郵件。

(5)陌生人的郵件附件盡量不要打開，嚴(yán)禁撰寫、發(fā)送、轉(zhuǎn)發(fā)多種垃圾郵件,

嚴(yán)禁在未經(jīng)授權(quán)的狀況下運(yùn)用他人的計(jì)算機(jī)系統(tǒng)發(fā)送互聯(lián)網(wǎng)電子郵件。

(6)嚴(yán)禁使用工作郵箱從事任何非法活動(dòng)及其與工作無(wú)關(guān)的郵件。

(7)為了保證郵件安全嚴(yán)禁使用自動(dòng)轉(zhuǎn)發(fā)功能c

(8)企業(yè)業(yè)務(wù)信息郵件必須使用企業(yè)規(guī)定B勺業(yè)務(wù)專用郵箱發(fā)送，除了業(yè)務(wù)有

關(guān)郵件嚴(yán)禁使用業(yè)務(wù)郵箱發(fā)送其他郵件。

(9)郵件必須主題明確，可以通過郵件主題判斷業(yè)務(wù)類別。

做好郵件的病毒防護(hù)工作。發(fā)送郵件應(yīng)當(dāng)注意郵件的保密，防止泄漏企業(yè)

機(jī)密。

所有員工都要嚴(yán)格遵守《電子郵件安全使用規(guī)范》的有關(guān)規(guī)定，員工之間

應(yīng)互相監(jiān)督，及時(shí)制止違反規(guī)定的人員，對(duì)于使用企業(yè)郵箱傳播反動(dòng)言論、從事

任何與法律或企業(yè)制度相違活動(dòng)B勺人員將禁用或者注銷其郵箱，并根據(jù)情節(jié)嚴(yán)

重予以對(duì)應(yīng)懲罰或提交司法機(jī)關(guān)處理。

8設(shè)備報(bào)廢信息安全規(guī)定

報(bào)廢設(shè)備上交前，使用者自己負(fù)責(zé)將設(shè)備介質(zhì)中B勺信息進(jìn)行備份，機(jī)電一體

化產(chǎn)品事業(yè)部負(fù)責(zé)將設(shè)備介質(zhì)中B勺所有信息清除掉，以防信息泄漏。

1.19顧客注冊(cè)與權(quán)限管理方略

(1)對(duì)任何多顧客使用B勺信息系統(tǒng)和服務(wù)設(shè)施進(jìn)行訪問，應(yīng)：

(2)使用唯一的顧客名，以便將顧客與其操作聯(lián)絡(luò)起來(lái)，使顧客對(duì)其操作負(fù)責(zé)。

只有因工作需要才容許使用組顧客名。

(3)添加新顧客或顧客權(quán)限變更時(shí)應(yīng)有書面申請(qǐng)并通過審批。

(4)系統(tǒng)管理員對(duì)新注冊(cè)顧客進(jìn)行授權(quán)。

(5)應(yīng)記錄所有注冊(cè)顧客。

(6)顧客因工作變更或離開組織時(shí)，應(yīng)立即取消其訪問權(quán)限。

1.20系統(tǒng)權(quán)限管理的負(fù)責(zé)人應(yīng)定期組織檢查并刪除多出的

顧客名和賬戶，并對(duì)顧客的訪問權(quán)限進(jìn)行定期評(píng)審或在

變動(dòng)后進(jìn)行評(píng)審。

1.21系統(tǒng)權(quán)限管理的負(fù)責(zé)人需要嚴(yán)格控制特權(quán)的分派和使

用，要對(duì)特權(quán)的分派和使用狀況進(jìn)行評(píng)審，保證沒有非

法授予顧客特權(quán)，以保證對(duì)數(shù)據(jù)和信息服務(wù)的訪問進(jìn)行

了有效的控制。

1.22顧客口令管理

(1)在進(jìn)行信息系統(tǒng)的口令管理，應(yīng)：

(2)顧客需要自己維護(hù)口令，系統(tǒng)僅在開始時(shí)提供一種安全的臨時(shí)口令，顧客

需要立即更改臨時(shí)口令。顧客忘掉口令時(shí)，必須在對(duì)該顧客進(jìn)行合適的

身份核算后才能向其提供臨時(shí)口令。

(3)在向顧客提供臨時(shí)口令時(shí)必須保證其安全防止使用第三方或無(wú)保護(hù)時(shí)

(明文)電子郵件，顧客應(yīng)對(duì)收到的口令予以確認(rèn)。

(4)不容許在計(jì)算機(jī)系統(tǒng)上以無(wú)保護(hù)的形式存儲(chǔ)口令。

1.23保證個(gè)人口令安全，保證工作組口令僅在本組組員間共

享。

1.24終端網(wǎng)絡(luò)接入準(zhǔn)則

1.25企業(yè)網(wǎng)絡(luò)覆蓋范圍內(nèi)使用的每臺(tái)計(jì)算機(jī)，員工均應(yīng)安裝

企業(yè)規(guī)定的防毒軟件，不得私自使用其他防毒軟件。

1.26終端使用安全準(zhǔn)則

(1)每臺(tái)計(jì)算機(jī)應(yīng)啟動(dòng)實(shí)時(shí)監(jiān)控功能，定期進(jìn)行計(jì)算機(jī)病毒檢測(cè)，并及時(shí)對(duì)防

毒軟件或病毒特性庫(kù)進(jìn)行升級(jí)更新。

(2)每臺(tái)計(jì)算機(jī)應(yīng)定期連接企業(yè)網(wǎng)絡(luò)并從病毒服務(wù)器獲得防病毒軟件的最新

定義碼及掃描引擎。

(3)為防止計(jì)算機(jī)使用人員私自卸載客戶端及信息安全客戶端，卸載密碼和

工具由系統(tǒng)服務(wù)事業(yè)部統(tǒng)一管理。

(4)企業(yè)不定期組織有關(guān)部門對(duì)客戶端及信息安全客戶端安裝狀況進(jìn)行咕查。

抽查狀況將通報(bào)各有關(guān)部門并列入年度的績(jī)效考核。

(5)計(jì)算機(jī)使用人員在安裝、使用客戶端及信息安全客戶端中碰到技術(shù)問題，

可通過撥打客戶服務(wù)熱線尋求技術(shù)支持。

(6)為防止惡意代碼的侵?jǐn)_，每臺(tái)計(jì)算機(jī)必須按《訪問控制管理程序》第

5.2.1節(jié)的規(guī)定設(shè)置管理員口令；網(wǎng)絡(luò)共享文獻(xiàn)必須設(shè)置密碼和只讀權(quán)限。

(7)任何部門和個(gè)人不得制作、復(fù)制、傳播計(jì)算機(jī)病毒，任何部門和個(gè)人負(fù)

有清除或防治計(jì)算機(jī)病毒的義務(wù)。

1.27不使用來(lái)路不明或具有盜版軟件的軟盤與光盤，不隨意

安裝執(zhí)行從網(wǎng)絡(luò)上下載的多種程序。當(dāng)需要從計(jì)算機(jī)信

息網(wǎng)絡(luò)上下載程序、數(shù)據(jù)或者購(gòu)置、維修、借入計(jì)算機(jī)

設(shè)備時(shí)，應(yīng)當(dāng)進(jìn)行計(jì)算機(jī)病毒檢測(cè)。

1.28使用電子郵件，對(duì)來(lái)路不明的郵件(尤其是具有附件的

郵件),收到后不要打開，直接刪除并清空廢件箱。

1.29出口防火墻的平常管理規(guī)定

(1)為企業(yè)的出口防火墻設(shè)置只讀權(quán)限，便于監(jiān)視進(jìn)出我司的所有訪問。

(2)對(duì)防火墻的接口IP地址、顧客名、口令及配置文獻(xiàn)信息進(jìn)行嚴(yán)格管理。

(3)除授權(quán)人員外，嚴(yán)禁任何人員物理接觸防火墻；對(duì)防火墻的遠(yuǎn)程管理僅

限于指定IP地址、指定管理方式、指定顧客、指定顧客的管理權(quán)限。

(4)嚴(yán)禁連接企業(yè)網(wǎng)絡(luò)的任何J單位和人員以任何形式對(duì)防火墻進(jìn)行襲擊。

(5)集中搜集、存儲(chǔ)防火墻報(bào)警日志，定期檢查防火墻安全記錄，優(yōu)化防火墻

訪問規(guī)則，杜絕安全漏洞。

(6)定期使用安全評(píng)估系統(tǒng)檢查防火墻的各項(xiàng)服務(wù)與否有漏洞。

部門如有企業(yè)出口防火墻的變更需求，必須通過企業(yè)審批，立案在冊(cè)，由系

統(tǒng)服務(wù)部統(tǒng)一操作。

1.30局域網(wǎng)的平常管理規(guī)定

各部門不圖各私店構(gòu)建的局域網(wǎng)接入企業(yè)網(wǎng)絡(luò)。如需接入必須通過企業(yè)審

批，立案在冊(cè)，由系統(tǒng)服務(wù)部統(tǒng)一操作。

員工在辦公區(qū)域只能通過企業(yè)內(nèi)網(wǎng)聯(lián)入互聯(lián)網(wǎng)。

1.31集線器、互換機(jī).無(wú)線AP的平常管理規(guī)定

(1)各部門不得私自使用網(wǎng)絡(luò)訪問設(shè)備。

(2)嚴(yán)禁使用路由器及無(wú)線路由設(shè)備。

(3)如需使用集線器、互換機(jī)、無(wú)線AP,必須通過企業(yè)審批，立案在冊(cè)。

(4)無(wú)線AP必須設(shè)置符合安全規(guī)定的密碼(詳細(xì)規(guī)定參見管理文獻(xiàn)《訪問控

制管理程序》中5.2.1的規(guī)定)，只有被授權(quán)人員方可使用無(wú)線網(wǎng)絡(luò)。

(5)企業(yè)定期檢查集線器、互換機(jī)、無(wú)線AP的登記和使用狀況。

1.32網(wǎng)絡(luò)專線的平常管理規(guī)定

(1)各部門不得私自搭建網(wǎng)絡(luò)專線。如需使用網(wǎng)絡(luò)專線必須通過企業(yè)官批,

立案在冊(cè)。

(2)企業(yè)定期檢查網(wǎng)絡(luò)專線的登記和使用狀況c

1.33信息安全懲戒

(1)全體員工(含臨時(shí)員工、派遣員工、實(shí)習(xí)員工、常駐外包員工)均應(yīng)遵

守所有與信息安全有關(guān)的管理規(guī)定，不容許任何部門或人員有損害企業(yè)

信息安全的行為。

(2)對(duì)違反信息安全管理規(guī)定，并導(dǎo)致嚴(yán)重后果的部門或員工，由企業(yè)信息安

全管理委員會(huì)授權(quán)實(shí)行懲戒。

懲戒手段包括通告、行政警告、經(jīng)濟(jì)懲罰、調(diào)離崗位、根據(jù)協(xié)議予以解雇，

對(duì)于觸犯刑律者移交司法機(jī)關(guān)處理。

對(duì)于的協(xié)議承包商和外部顧客，假如違反了信息安全管理規(guī)定，企業(yè)信息安

全委員會(huì)有權(quán)提議企業(yè)中斷與他們的協(xié)議和協(xié)議C

2.信息安全知識(shí)

什么是信息？

是來(lái)自任何來(lái)源的知識(shí)。

＞在ISO27001的原則里：

＞信息是一種資產(chǎn)，就象其他重要的企業(yè)資產(chǎn)司樣，

＞信息資產(chǎn)對(duì)組織具有價(jià)值，因而需要受到妥善的保護(hù)。

＞信息是有生命周期的。

安全保護(hù)應(yīng)兼顧到從其創(chuàng)立或誕生，到被使用或操作，到存儲(chǔ)，再到被傳遞，直至其生

命期結(jié)束而被銷毀或丟棄。

2.1什么是信息安全？

2.2信息安全的目的是，保護(hù)信息不受多種威脅，以保證業(yè)務(wù)持續(xù),

將企業(yè)損失降至最低，將投資收益與商業(yè)機(jī)會(huì)最大化。

2.3信息安全的任務(wù)是，要采用措施（技術(shù)手段及有效管理）讓這

些信息資產(chǎn)免遭威脅，或者將威脅帶來(lái)的后果降到最低程度，

以此維護(hù)組織的正常運(yùn)作。

2.4信息安全的三要素

■機(jī)密性

■完整性

■可用性

注：

1）、機(jī)密性：信息不可用或不被泄漏給未授權(quán)的個(gè)人、實(shí)體或