東方中安信息技術PC機系統及桌面標準化說明（初稿）發布時間：2023.4發布部門：版本號：批準人：目錄一、統一電腦設置：8二、標準電腦軟件安裝及配置：8三、信息資產分類分級管理程序91.目的和范圍92.引用文件93.職責和權限104.信息資產的分類分級105.信息分級標識126.公司秘密信息使用管理137.保密原則19四、訪問控制制度221.目的和范圍222.引用文件223.職責和權限224.用戶管理225.權限管理236.操作系統訪問控制247.應用系統訪問控制258.網絡和網絡服務訪問控制259.網絡隔離2610.網絡設備2611.信息交流控制措施2612.遠程訪問管理2713.無線網絡訪問管理2814.筆記本使用及安全配置規定2815.外部人員使用筆記本的規定2916.服務器安全控制2917.實施策略2918.相關記錄29五、密碼控制管理制度311.目的和范圍312.引用文件313.職責和權限314.密碼控制32六、操作安全管理36補丁管理361.總則362.適用范圍363.職責分工364.補丁管理375.附則39防范病毒及惡意軟件管理規定401.目的和范圍402.引用文件403.職責和權限404.病毒防治管理415.惡意軟件管理416.實施策略427.相關記錄42軟件管理規定44目的和范圍441.引用文件442.職責和權限443.軟件管理444.軟件使用475相關記錄47數據備份管理規定491.目的和范圍492.引用文件493.職責和權限494.備份管理49系統監控管理規定521.目的522.引用文件523.職責和權限524.系統監控管理525.相關記錄54七、通信安全55通信安全管理規定551.目標552.引用文件553.職責和權限554.Internet訪問控制555.網絡隔離566.無線網絡訪問管理567.信息交流控制措施56電子郵件管理規定591.目標592.總則593.管理權限和職責594.郵箱管理流程595.郵箱使用60信息安全交流控制制度621.目標622.總則623.信息傳輸安全控制措施624.信息傳輸協議625.定期評審63八、信息安全事件管理制度651.目的和范圍652.引用文件653.職責和權限654.信息安全異?，F象665.信息安全事件686.安全事故處理流程：817.信息安全事件的緊急處置和業務恢復818.信息安全事件證據的收集829.信息安全事件和信息安全異常現象的報告和反饋8310.改進和預防工作8411.實施策略8412.支持文件8513.相關記錄85九、業務連續性管理制度871.目的和范圍872.引用文件873.職責和權限874.業務連續性管理流程885.制定應急預案906.演練與維護917.相關記錄92PC桌面標準化說明一、統一電腦設置：為規范公司的電腦配置與管理，提高工作效率，從而更好地為辦公服務。計算機機器名稱的統一規范化命名，便于通過計算機識別設備所在區域和用戶例：東方中安-JasonWINDOWS操作系統安裝公司采購的正版系統，開啟自動更新功能的實現，使每臺能夠上網的機器都能及時從互聯網上下載最新補丁程序，有效防范病毒等惡性事件的發生。取消域用戶的本地系統管理員權限（設為PowerUsers），防止用戶擅自安裝非法軟件和更改系統配置按新的密碼規則修改本地Administrator的密碼（新員工PC機初始密碼：000000）二、標準電腦軟件安裝及配置：常規系統及軟件1、Windows10系統及語言包2、賽門鐵克殺毒軟件及病毒庫數據更新（病毒庫每周更新一次）3、Altiris（硬件資產管理)4、Office2023中小企業版5、工具軟件：WinRAR（可以安裝，但不是標準軟件）6、AdobeReader7、其他需要安裝的軟件需和上級部門主管批準針對任何游戲軟件及非工作需要的軟件，均應立即卸載并刪除如果電腦有問題，請先排除故障后再做以下操作。三、信息資產分類分級管理程序目的和范圍為降低公司重要資產因遺失、損壞、篡改、外泄等事件帶來的潛在風險，這些風險將對公司的信譽、經營活動、經濟利益等造成較大或重大損失，需要規范信息資產保護方法和管理要求，特制訂本管理制度。本規定適用于本公司信息資產的安全管理，適用對象為本公司員工和所有外來人員。特殊崗位或特殊人員，另有規定的從其規定。公司信息資產是指一切關系公司安全和利益，在保護期內只限一定范圍內人員知悉、操作、維護的事物、文檔、項目、數據等資源。引用文件下列文件中的條款通過本規定的引用而成為本規定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內容）或修訂版均不適用于本標準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。GB/T22080-2023/ISO/IEC27001:2023信息技術-安全技術-信息安全管理體系要求GB/T22081-2023/ISO/IEC27002:2023信息技術-安全技術-信息安全管理實施細則《備份管理規定》《訪問控制程序》《文件控制程序》職責和權限本管理規定作為全公司范圍信息類資產的最低管理要求，各部門或各項目組，均可以根據客戶要求，添加補充策略，并在本部門、本項目組內實施，與本規定一起，作為信息安全管理的工作指南。信息安全管理領導人組：是本公司信息資產安全管理工作的最高領導組織，總體負責信息資產的安全。信息安全管理工作小組：負責具體的協調組織實施及解釋答疑等工作。各部門經理：作為本部門信息資產安全管理的最高責任者，有責任和權限保證本部門信息資產的安全。各信息的所有者：負責各信息資產的標識、分發和傳遞的控制；員工：應當熟悉本管理規定的內容，包括信息資產標識辦法和使用管理規定，并切實貫徹到日常工作中。信息資產的分類分級4.1信息資產的分類公司信息資產分為：硬件資產、軟件資產、數據資產、人員資產、外包服務資產、無形資產、文檔資產、環境資產、第三方服務資產等。區分標準如下：硬件資產：日常工作、公司運作或系統運行所依賴的可見電子設備、設施和工具。主要包括：辦公類用品，如桌椅、紙張等。計算機及配件、輔助設備類，如服務器、臺式機、筆記本電腦、移動存儲、打印機等。網絡設備，如網絡交換機等。其他設備，不屬于上述3類的設備設施，如飲水機等。軟件資產：依賴電子計算設備運行的非硬件資產。如：操作系統、殺毒軟件、源代碼、組件、程序、業務系統或平臺等。數據資產：計算機軟件運行時依賴的原始數據、配置數據，運行時產生的動態數據、結果數據以及能夠給公司經濟效益、信息安全帶來潛在影響的所有數據，這些數據如遺失、非法復制傳播、損壞等從經濟或安全上可能給公司造成損害。如客戶信息數據、系統配置數據、系統登錄帳號密碼、業務運行數據、號碼資源等。4.2信息資產的分級管理信息資產的分級管理制度引用如下文件：硬件資產分級管理制度軟件資產分級管理制度數據資產分級管理制度人員資產分級管理制度外包服務資產分級管理制度無形資產分級管理制度文檔資產分級管理制度環境資產分級管理制度第三方服務資產分級管理制度4.3信息資產分類指導公司各部門依據分類定義和示例，對部門《資產識別表》中的各類資產進行分級，并報請本部門經理審核確認。公司一級、公司二級信息資產需要報信息安全管理工作小組匯總、審核后，請公司總經理確認審批?！顿Y產識別表》需詳細登記所有信息資產，并確定其分級和管理責任人。信息分級標識5.1分級標識編號硬件資產（H-hard）：H1、H2分別代表一級硬件資產，二級硬件資產等。軟件資產(S-soft)：S1、S2分別代表一級軟件資產、二級軟件資產等。數據資產(D-data)：D1、D2分別代表一級數據資產、二級數據資產等。人員資產(P-person)：P1、P2分別代表一級人員資產、二級人員資產等。外包服務資產(T-team)：T1、T2分別代表一級外包服務資產、二級外包服務資產等。無形資產(N-none)：N1、N2分別代表一級無形資產、二級無形資產等。文檔資產(F-file)：F1、F2分別代表一級文檔資產、二級文檔資產等。環境資產(E-environmen)：E1、E2分別代表一級環境資產、二級環境資產等。第三方服務資產(TS-thirdservice)：TS1、TS2分別代表一級第三方服務資產、二級第三方服務資產等。5.2公司絕密、機密信息定義標記為一級和二級的文檔及敏感類的信息稱為公司機密信息，三類信息為秘密信息，四類為可內部公開的信息，五類為可公開的信息。絕密信息，除文檔資產外，不包含在其他信息資產的分級定義序列中，絕密信息一般由公司最高管理層負責管理和保密義務。5.3各密級知曉范圍公司絕密級：高層管理級人員及與公司絕密內容有直接關系的工作人員，對其他任何人都需要保密。掌握核心公司絕密的關鍵崗位人員的變更、離職須經總經理同意。公司機密級：部門經理級及以上的管理人員以及與公司機密內容有直接關系的工作人員，允許知曉與本工作相關的公司機密事項，對非相關人員需要保密。公司秘密級：部門骨干管理人員以及與公司秘密內容有直接關系的工作人員，允許知曉與本工作相關的公司秘密事項，但對其他部門應保密。內部公開：公司內部所有人員，允許知曉在公司內部范圍內屬于公開的信息，但未授權不得對公司以外人員泄露公司的內部公開信息。公開：公司外面所有人員，允許知曉由公司內的授權人員宣布可公開的信息?？晒_的文檔必須轉成PDF文檔后，或使用其他方法變成只讀不可修改的文檔后再行發布。5.4分級標識編號可作為分級標識使用公司固定資產硬件設備必須標記分級標識編號。作為電子文件時必須在文件的第一頁的顯著位置標識分級。對于紙質文檔，使用公司統一刻制的分級標識圖章進行標識，對于“公司絕密”文檔在需要時，通過騎縫章或每頁敲章的方式進行“絕密”標識。使用信封等封裝時，還需要在封裝上標記“絕密”標識及分級標識。對于模板文檔，其標識的分級是指填寫內容后的分級，而非空白時的分級。如果使用光盤/磁帶/軟盤等介質，需要直接在介質表面上標識分級。需要提交給客戶的信息資產（例如：項目開發成果物），必須有分級標識。對于應用系統中的顯示畫面、數據表單或打印輸出等內容，必須有分級標識。公司秘密信息使用管理6.1涉密信息的保管公司絕密、公司機密信息：應該保管在一般人員無法隨便進入的有安全保障的房間，比如：總裁辦公室、各部門主管辦公室、財務室、機房等。電子文檔必須有可靠的備份機制；除非特別批準公司絕密信息不應保管在個人用計算機上。紙質文件以及電子存儲介質（例如：移動硬盤/U盤/光盤/軟盤等）應該保存在加鎖的文件柜或保險柜內。在不使用或處于目光所及范圍之外時，應將資料存放在鎖閉的檔案柜、桌式書架或書柜內；在攜帶至辦公室以外的地方時，應將資料存放在隨身攜帶的鎖閉的箱包或手提箱內。其它涉密信息：也應該保存在安全的工作區域內。電子文檔也必須有可靠的備份機制。紙質文檔以及電子存儲介質應存放于書柜、檔案柜或桌式書架柜內，以防被非公司人員意外看到或獲得。技術成果技術轉讓、技術入股、技術引進等途徑獲取公司秘密的過程中，根據合同或協議中規定提供的公司秘密，承辦人應采取保密措施，保證不泄漏公司秘密。獲取的公司秘密應及時移交財務部歸檔，不得個人保存。工作成果物：每個人的工作成果物（工作成果物指需要向客戶或上級或組織提交的工作的結果）應該及時保存到指定場所。電子文檔應該保存到公用機器上的指定位置，從而得到可靠的備份和訪問控制，對于紙質文檔和電子介質應該保存到指定文件柜內（除非被批準，不得保存在個人文件柜內），并做好清晰標示，從而保證他們的可用性。員工在公司任職期間的工作成果歸公司所有，并按《保密協議》及本制度進行管理；客戶信息在公司日常業務（包括營銷等相關活動）中接觸到客戶的信息以及客戶提供的信息同樣應該作為公司的涉密信息實施管理和控制。重要信息應該被指定為公司絕密，其余都按照“公司秘密”密級來對待。特別是客戶真實數據，屬于“公司機密”，除非得到客戶明確授權，不得使用；使用時必須按照嚴格的流程和管理規定（事先備份等），不得在其它任何場合使用或透露相關信息。6.2涉密信息的訪問限制日常工作中需使用含公司絕密、公司機密性數據的設備，或需處理公司絕密、公司機密性數據的員工，須根據公司相關要求簽訂《知識產權及保密協議》；本公司委外開發或加工的外包合同/協議中須包含所涉及信息資產的保密條款，必要時，須與相關人員簽署保密協議；涉密信息的訪問范圍應限制在滿足需要的最小限度。公司絕密信息應該存放在非相關部門員工無法訪問的獨立的VLAN內，存放“公司絕密”信息的個人用計算機應該安裝防火墻，保證其他機器無法主動訪問，通過網絡共享目錄不允許存放“公司絕密”信息；存放涉密信息的計算機的用戶密碼必須得到嚴格控制和有效管理；“內部公開”及以上信息未經授權，嚴禁以任何方式向公司以外人員泄露。“公司絕密”信息由公司領導、信息安全主管部門和相關應用部門協商確定訪問權限，由信息安全主管部門委托人員（一般是總裁辦管理）具體控制。“公司機密”和“公司秘密”信息由各部門，各項目組的負責人確定訪問權限，由他們或委托可靠相關人員進行訪問權限的具體控制措施。為了保證涉密信息安全，全體員工必須嚴格遵守《訪問控制管理程序》中所具體規定的各項控制策略。6.3涉密信息的使用不得使用任何手段主動獲取與工作職責無關的涉密信息。不得以任何工作需要以外的目的復制、復印、摘抄涉密信息，未經管理者許可，禁止復制、復印“公司機密”以上級別信息。因工作需要將涉密信息復制到非相關設備或公用設備中時，必須在使用完畢后，立即刪除作業遺留的涉密信息。因工作需要復印的涉密信息，使用完畢后，按照涉密信息廢棄處置方法處置。涉密信息的使用必須嚴格限制在工作必須的物理和人員范圍內，除非工作需要并得到批準，不得把存放涉密信息的設備和存儲介質以及含有涉密信息的紙質文檔帶出公司?！肮窘^密”信息的使用必要時可以通過簽名登記的方式加以控制。因工作需要，需要對敏感的涉密信息共享時，必須對涉密信息進行加密處理。不在有非相關人員在場的情況下談論/使用涉密信息。包括：和客戶接觸時避免涉密信息的泄露，制作提供給客戶的資料文件時原則上使用PDF格式，并需要注意涉密信息的保護。不能在公共場所或者敞開辦公室、沒有良好隔音的會議室談論公司絕密信息。使用紙質文件是，要注意：“公司機密”以上級別信息的紙件不得重復使用，含其它涉密信息的紙件文件也不得跨項目使用；下班后應清理桌面，將含有重要涉密信息的紙質文件放入文件柜；發出打印命令后，及時去取打印文件，保證打印機處無遺留紙質文件。打印“公司絕密”信息時，盡量使用非公用打印機；復印完畢后注意檢查，保證復印機處無遺留紙質文件。復印“公司絕密”信息時，盡量在人少時段；完畢后注意檢查，保證機處無遺留紙質文件。對于外來的，應該馬上收取，再通知或送達收件人。對于涉密的技術文件的發放和回收，參考《文件控制程序》。計算機數據安全管理：在從事涉及保密信息的工作時，不得離開計算機，使之處于無人照看狀態；人員因故離開座位時，必須退出系統或使用屏幕密碼保護，防止賬號被盜用或數據被竊取。下班或因公外出離開辦公室前，必須關閉計算機設備并將桌面收拾干凈，避免保密信息失竊或系統被侵入；保管好所有的數據存儲設備，并作適當標識；公司絕密或公司機密性數據如需通過電子郵件傳送，應經加密處理后傳送；公司絕密或公司機密性數據，不得存放于無賬號權限、密碼限定的信息系統中。6.4涉密信息發送任何涉密信息的發送，都必須保證收件人的合法性；“內部公開”信息未經許可，嚴禁發送給公司以外人員；“公司秘密”，“公司機密”“公司絕密”只發給管理者授權的收件人。涉密信息傳送后，必須通過e-Mail/MSN/等手段，獲得對方的確認或主動向對方確認。在公司內部傳送紙質數據時，委托他人傳送時，必須加以封裝；“公司絕密”信息傳送時必須保證直接交給收件人本人；其他涉密信息傳送時，盡量直接交給收件人，如果放置在收件人坐席上必須將傳送的背面朝上，并且事后要和收件人確認。利用電子手段傳送數據時，“公司絕密”信息必須使用加密手段，而且密碼不得同時發送；在可能的條件下，鼓勵所有涉密信息都采用加密手段傳送。“公司絕密”信息除非特別需要必須使用公司的網絡服務傳送；所有涉密信息都應該盡量避免使用公司外部電子信箱以及MSN/QQ/Skype/公用FTP/網絡存儲空間等手段來進行傳送。必須利用最新的防病毒庫對收發的文件進行病毒檢查。利用進行涉密信息傳送時，不得委托非相關人員代為傳送；傳送時必須始終等待在側；傳送完畢后立刻回收；不特別必要，不利用方式進行“公司絕密”信息的傳送；收發“公司絕密”信息時，應事先和對方聯系，保證不經過其他人手。利用快遞/郵寄手段進行涉密信息傳送時：對傳送的信息必須加以封裝；不特別必要，“公司絕密”信息的傳送不利用快遞/郵寄手段進行，而應盡量利用公司內部人員以專程的形式來進行傳送工作；傳送“公司絕密”信息時，應事先和對方聯系；在確認收到時，還必須確認封裝沒有損壞；非收件人不得隨便拆閱。6.5涉密信息的廢棄處置過期或作廢的涉密文件需要廢棄處置處理時，首先需得到批準。“公司絕密”信息的廢棄處置要得到公司總經理書面批準，并指定可解除該信息人員實施或全程監督實施。其它涉密信息的廢棄處置要得到相關部門，相關工作組的負責人的批準，并指定人員實施。公司絕密數據必須退回資料來源處，或者在經資料來源處授權情況下，將其存放在安全的文件貯存處或加以銷毀；電子檔案必須采用總裁辦許可使用的專用銷毀文件的計算機磁盤工具予以消除，必須保留銷毀文件的記錄?！肮緳C密”和“公司秘密”信息，進行處理時，紙質文件要通過專門設備徹底粉碎；電子檔案必須采用行政部許可使用的專用銷毀文件的計算機磁盤工具予以消除，必須保留銷毀文件的記錄?？蛻舴矫嫣貏e提出要求時，按照客戶要求的方法實施。個人工作中使用的紙質文檔不得隨意丟棄或作其它用途，廢棄后要及時粉碎處理；電子文檔需要及時整理和清除。對一級硬件信息資產進行專人監督物理破壞。保密原則所有公司員工都有義務和責任保守公司公司秘密。嚴格遵守公司關于保密方面的各項政策和制度規定；保護并按照規定的方式處理包含公司保密信息的各種記錄、草稿、文本副本、打印機色帶和圖表；不在公司以外公共場合及同親友及家人談論公司的業務情況及保密信息；在向非公司員工發表演講、宣傳時不得援引保密信息；未經資料來源處授權，不得復制或復印任何公司保密數據資料；未經必要的審批手續，不得將公司保密數據資料從公司帶出；不得使用規定以外的其它方式，用電子手段傳送或調用保密數據材料；論文發表前，要經過部門領導和信息安全工作小組審核；員工必須具有保密意識，必須做到不該問的絕對不問，不該說的絕對不說，不該看的絕對不看。未經領導批準，不準開展本崗位外的業務活動，不準串崗。在日常工作中，全體人員都應該按照“知所必需”的原則，獲得完成其工作職責所必需的最小范圍的涉密信息和最小的邏輯訪問權限，并且以盡量安全的方式在最小范圍內使用。對公司公司秘密的知曉范圍執行壓縮控制的原則，員工只在管轄范圍內根據工作需要知曉相關的公司公司秘密。公司鼓勵員工在一定的程度上使用常識性的辦法來保護公司涉密信息，如果員工不知道某項資產的密級，默認情況下至少按“公司秘密”的密級來對待。對于研發進行中的項目，除公司統一制定的產品目標對客戶進行宣傳以外，公司任何員工均需對公司正在研發的項目內容、項目進度等信息進行保密，尤其是器件供應商，與競爭對手關系密切的客戶等。對于公司的商務信息僅限市場人員、商務人員及其管理人員知悉。不同市場區域之間的信息，原則上也要求保密。對外交往與合作中如需要提供公司的公司秘密事項，應先由部門經理批準，特殊情況須經公司相關領導審核、公司總經理批準。因工作需要知悉非本職范圍內的公司公司秘密的，須經相關領導批準，公司秘密級信息由部門經理批準，公司機密級信息由分管副總批準，公司絕密級信息由公司總經理批準；公司員工發現公司公司秘密已經泄露或可能泄露時，應立即采取補救措施并及時報告上級主管，上級主管須立即做出相應處理。文檔編號（由總裁辦填寫）密級內部公開文檔發布級別公司級文檔發布及實行范圍全員制度試行日期（可選）制度執行日期文檔起草人簽字：日期：文檔修訂人：簽字：日期：修訂說明：備注：文檔負責人：簽字：日期：文檔審批信息安全管理者代表簽字：日期：文檔審批人簽字：日期：四、訪問控制制度目的和范圍通過控制用戶權限正確管理用戶，實現控制辦公網系統和應用系統訪問權限與訪問權限的分配，防止對辦公網系統和應用系統的非法訪問，防止非法操作，保證生產系統的可用性、完整性、保密性，以及規范服務器的訪問。本訪問控制制度適用于系統維護部以及其他擁有系統權限的管理部門。引用文件下列文件中的條款通過本規定的引用而成為本規定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內容）或修訂版均不適用于本標準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。GB/T22080-2023/ISO/IEC27001:2023信息技術-安全技術-信息安全管理體系要求GB/T22081-2023/ISO/IEC27002:2023信息技術-安全技術-信息安全管理實施細則職責和權限各部門必須遵照本管理規范實行對用戶、口令和權限的管理，用戶必須按照本管理規范訪問公司辦公網系統和應用系統。用戶管理4.1用戶注冊只有授權用戶才可以申請系統賬號，賬號相應的權限應該以滿足用戶需要為原則，不得有與用戶職責無關的權限。一人一賬號，以便將用戶與其操作聯系起來，使用戶對其操作負責，禁止多人使用同一個賬號。用戶因工作變更或離職時，管理員要及時取消或者鎖定其所有賬號，對于無法鎖定或者刪除的用戶賬號采用更改口令等相應的措施規避該風險。管理員應每季度檢查并取消多余的用戶賬號。4.2用戶口令管理和使用引用文件：《密碼控制管理制度》權限管理5.1用戶權限管理原則所有的重要服務器應用系統要有明確的用戶清單及權限清單，每季度進行一次權限評審。重要設備的操作系統、數據庫、重要應用程序相關的特殊訪問權限的分配需進行嚴格管理。對一般用戶只擁有在注冊時所審批的權限。每個人分配的權限以完成相應工作最低標準為準。服務器日志的安全審查職責與日常工作權限責任分割。新賬號開通時提供給他們一個安全的臨時登錄密碼，并在首次使用時強制改變。為防止未授權的更改或誤用信息或服務的機會，按以下要求進行職責分配：a)系統管理職責與操作職責分離；b)信息安全審核具有獨立性。5.2用戶訪問權限設置步驟權限設置：對信息的訪問權限進行設置，添加該用戶的相應訪問權，設置權限，要再次確認，以保證權限設置正確。定期檢查用戶賬戶：管理員每季度對應用系統進行一次權限評審。取消訪問權：離開公司應立即取消或禁用其賬號及所有權限，將其所擁有的信息備份保存，或轉換接替者為持有人。用戶的崗位發生變化時，要對其訪問權限重新授權。操作系統訪問控制6.1安全登錄制度UNIX、LINUX系統使用SSH登錄系統。進入操作系統必須執行登錄操作，禁止將系統設定為自動登錄。記錄登錄成功與失敗的日志。日常非系統管理操作時，只能以普通用戶登錄。啟用操作系統的口令管理策略（如口令至少8位，字母數字組合等），保證用戶口令的安全性。6.2會話超時與聯機時間的限定重要服務器應設置會話超時限制，不活動會話應在一個設定的休止期5分鐘后關閉。應考慮對敏感的計算機應用程序，特別是安裝在高風險位置的應用程序，使用連機時間的控制措施。這種限制的示例包括：使用預先定義的時間間隔，如對批量文件傳輸，或定期的短期交互會話等情況使用指定的時間間隔；如果沒有超時或延時操作的要求，則將連機時間限于正常辦公時間；應用系統訪問控制根據《重要服務器-應用系統清單》，填寫《重要應用系統權限評審表》，每季度評審一次。各應用系統必須確定相應的系統管理員、數據庫管理員和應用管理員。應用系統的用戶訪問控制，用戶的申請應填寫相關系統的申請表，須經過應用系統的歸口主管部門審核同意，由系統管理員授權并登記備案后，方可使用相應的應用系統。如果發生人員崗位變動，業務部門信息安全主管通知部門信息安全員與相關應用系統管理員聯系，告知系統管理員具體的人員變動情況，便于系統管理員及時調整崗位變動人員的系統訪問權限。應用系統的用戶必須遵守各應用系統的相關管理規定，必須服從應用系統的管理部門的檢查監督和管理。禁止員工未經授權使用系統實用工具。應用系統用戶必須嚴格執行保密制度。對各自的用戶帳號負責，不得轉借他人使用。重要應用系統用戶清單及權限必須進行定期評審。網絡和網絡服務訪問控制所有員工在工作時間禁止利用公司網絡和互聯網專線訪問違法網站及內容?？蛻艏暗谌饺藛T不允許直接通過可訪問公司資源的有線或無線網絡訪問Internet，客戶及第三方人員如需訪問Internet應當在專設的隔離區進行。員工須通過VPN訪問公司相關網絡和網絡服務。需要訪問各種網絡服務的用戶須向本部門主管申請VPN帳號，由本部門主管通過郵件提交VPN帳號管理員，由VPN帳號管理員為其分配密鑰和帳號。網絡隔離公司與外部通過防火墻隔離，制定嚴格的VLAN劃分，對公司內重要部門的訪問進行控制。運行中心制定VLAN訪問控制說明。網絡設備網絡設備配置管理員帳號由系統服務部指定專人統一管理，保存帳號及密碼的電子文件需加密保存，并存放在可靠的安全環境下。系統管理員密碼須符合服務器安全控制的密碼安全規定；管理人員不得向任何非授權人員泄露網絡設備的管理員帳號及密碼。信息交流控制措施信息交流方式包括數據交流、電子郵件、、紙質文件、談話、錄音、會議、、短信、IM工具等；可交流的信息，須符合《信息資產分類分級管理制度》里的密級規定;公司使用的信息交流設施在安全性上應符合國家信息安全相關法律法規、上級主管機關以及本公司安全管理規定的要求；不能在公共場所或者敞開的辦公室、沒有屋頂防護的會議室談論機密信息；對信息交流應作適當的防范，如不要暴露敏感信息，避免被通過偷聽或截??；員工、合作方以及任何其他用戶不得損害公司的利益，如誹謗、騷擾、假冒、未經授權的采購等；不得將敏感或關鍵信息放在打印設施上，如復印機、打印機和，防止未經授權人員的訪問；在使用電子通信設施進行信息交流時，所考慮的控制包括：防止交流的信息被截取、備份、修改、誤傳以及破壞；保護以附件形式傳輸的電子信息的程序；有業務信件和消息的保持和處置原則，要符合相關的國家或地方法規；使用的人員注意下列問題：未經授權對內部存儲的信息進行訪問，獲取信息；故意的或無意的程序設定，向特定的號碼發送信息；向錯誤的號碼發送文件和信息，或者撥號錯誤或者使用的存儲在機器中的號碼是錯誤的。遠程訪問管理12.1遠程接入的用戶認證凡是接入公司的遠程用戶的訪問必須通過VPN并經過認證方可接入。認證用戶必須使用8位以上復雜密碼。任何遠程接入用戶不得將自己的用戶名、密碼提供給任何人，包括同事，家人。所有遠程接入用戶的客戶端或個人電腦必須安裝防病毒軟件并且病毒庫升級到最新。12.2遠程接入的審計遠程接入用戶的操作必須要經過接入設備的審計。應記錄相關日志，對用戶行為監控。無線網絡訪問管理行政部應協同系統服務部對無線網絡進行授權管理；對需要使用無線網絡的設備，通過綁定其MAC地址授權訪問，其他人員不允許通過公司無線網絡上網。如有已授權訪問的設備，取消授權，應即時對其MAC地址解綁。筆記本使用及安全配置規定筆記本電腦設備必須有嚴格的口令訪問控制措施，口令設置需滿足公司安全策略要求。對無人看守的筆記本電腦設備必須實施物理保護，必須放在帶鎖的辦公室、抽屜或文件柜里。重要業務筆記本電腦設備丟失或被竊后應及時報告給部門經理和行政部。凡帶出公司使用而遺失、被偷盜等均由個人負全責賠償。除自然損壞外，凡人為損壞（如撞壞、跌壞、電源插錯燒壞等）由本人負責修好，費用由個人承擔。筆記本電腦中除工作所需的軟件外，不得安裝與工作無關的軟件。授權使用的筆記本電腦設備必須安裝公司要求的防病毒軟件。各部門對筆記本電腦設備定期進行一次病毒軟件和操作系統補丁自檢，行政部進行不定期抽查。筆記本電腦外出時禁止托運，必須隨身攜帶。筆記本電腦上的重要資料應即時做好備份，防止意外丟失。備份的設備或介質應符合《信息資產分類分級管理制度》中的保護要求。外部人員使用筆記本的規定出于安全考慮，一般不予考慮來訪人員接入公司內部網絡。服務器安全控制引用文件：《訊鳥服務器安全管理規范》實施策略訪問控制制度涉及的包括《重要服務器-應用系統清單》《重要應用系統權限評審表》。用戶申請權限時，填寫相關系統的申請表。每季度評審并填寫《重要應用系統權限評審表》。相關記錄序號記錄名稱保存期限保存形式備注1重要服務器-應用系統清單三年電子2重要應用系統權限評審表三年電子文檔編號（由總裁辦填寫）密級內部公開 文檔發布級別公司級文檔發布及實行范圍全員制度試行日期（可選）制度執行日期文檔起草人簽字：日期：文檔修訂人簽字：日期：修訂說明合并網絡、網絡服務;增加了通過VPN訪問描述，增強了控制策略。備注：文檔負責人：簽字：日期：文檔審批信息安全管理者代表簽字：日期：文檔審批人簽字：日期：五、密碼控制管理制度目的和范圍為確保安全成為所開發的信息系統一個有機組成部分，保證開發過程安全，特制定本制度。適用于本公司所有信息系統的開發活動，信息系統內在安全性的管理。本制度作為軟件開發項目管理規定的補充，而不是作為軟件開發項目管理的整體規范。引用文件下列文件中的條款通過本規定的引用而成為本規定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內容）或修訂版均不適用于本標準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。GB/T22080-2023/ISO/IEC27001:2023信息技術-安全技術-信息安全管理體系要求GB/T22081-2023/ISO/IEC27002:2023信息技術-安全技術-信息安全管理實施細則職責和權限開發部門：確保適當和有效地使用密碼技術以保護信息的保密性、真實性和（或）完整性。密碼控制4.1使用密碼控制的策略控制描述應開發和實施使用密碼控制措施來保護信息的策略。實施指南制定密碼策略時，應考慮下列（但不僅限于）內容：組織間使用密碼控制的管理方法，包括保護業務信息的一般原則；使用加密技術保護通過可移動介質、設備或者通過通信線路傳輸的敏感信息；基于風險評估，應確定需要的保護級別，并考慮需要的加密算法的類型、強度和質量；加密可能帶來不利影響。由于某些控制措施依賴于內容檢查（例如病毒檢測等），要求數據處于未加密狀態。3)用戶口令管理初始密碼在創建用戶時設定，初次登錄時操作系統或者管理員必須強制修改密碼，不能使用缺省設置的密碼。初始密碼樣本：orient11用戶忘記口令時，管理員必須在對該用戶進行適當的身份識別后才能向其提供臨時口令。在向用戶提供臨時口令時，必須采用加密或其他安全傳輸途徑，以確保初始密碼不會被中途截取。不允許在計算機系統上以無保護的形式存儲口令。對于泄漏口令造成的損失，由用戶本人負責。不準與其他人互相借用各類工作賬號。測試環境的賬號與生產環境的賬號使用不同的口令。4)口令的使用用戶應保證口令安全，不得向其他任何人泄漏。應避免在紙上記錄口令，或以明文方式記錄計算機內。一旦有跡象表明系統或口令可能遭到破壞時，應立即更改口令?？诹畹倪x擇應參考以下規則：最少要有8個字符，且為數字和字母組合。密碼不可包含用戶帳號名稱的全部或部分文字。不要使用別人可以通過個人相關信息（如姓名、號碼、生日等）容易猜出或破解的口令。不要連續使用同一字符，不要全部使用數字，也不要全部使用字母，不要用英文單詞或重要記念日。系統用戶至少每季度更改一次口令，避免再次使用舊口令或半年內循環使用舊口令。檢查重要服務器的系統口令是否定期進行更改。首次登錄時應更改臨時口令。不要在任何自動登錄程序中使用口令，如在宏或功能鍵中存儲。不要共享個人用戶口令。4.2密鑰管理控制描述應有密鑰管理以支持組織使用密碼技術。實施指南應保護所有的密碼密鑰免遭修改、丟失和毀壞。另外，密碼和私有密鑰需要防范非授權的泄露。用來生成、存儲和歸檔密鑰的設備應進行物理保護。對于一些部門所使用的USBKEY密鑰必須做到專人保管、專人使用，不用時必須放置在保險柜內或帶鎖的鐵柜中妥善保管。軟件密鑰或證書須專人管理分發。4.3敏感數據加密1)控制描述組織就對敏感數據制定傳輸全程加密和保存進行加密制度，對敏感字段也要進行加密保存2）實施指南應保護所有敏感數據免遭修改、丟失、泄漏。對敏感數據內的敏感字段須加密保存。傳輸過程是要求全程不落地傳輸。在程序自動執行傳輸過程中，組織應定義對敏感數據進行全程加密和不落地傳輸的方案，并加以執行。文檔編號（由總裁辦填寫）密級內部公開文檔發布級別公司級文檔發布及實行范圍全員制度試行日期（可選）制度執行日期文檔起草人簽字：日期：文檔修訂人：簽字：日期：修訂說明：備注：文檔負責人：簽字：日期：文檔審批信息安全管理者代表簽字：日期：文檔審批人簽字：日期：六、操作安全管理補丁管理總則1.1為加強公司補丁的管理，規范補丁部署流程，保證信息系統補丁及時更新，確保公司企業信息網絡安全穩定的運行，特制定本規定。1.2本規定所涉及的補丁包括操作系統補丁、數據庫補丁和應用系統補丁。適用范圍本規定適用范圍為東方中安信息技術公司。職責分工3.1操作系統補丁管理員3.1.1負責各操作系統（含瀏覽器、辦公軟件）補丁的管理。3.1.2負責收集操作系統漏洞信息，跟蹤最新補丁信息，評估漏洞威脅、成因和嚴重性。3.1.3負責提出操作系統漏洞修補要求和相關防護措施審批變更計劃。3.2數據庫補丁管理員3.2.1負責各數據庫補丁的管理。3.2.2負責收集數據庫漏洞信息，跟蹤最新補丁信息，評估漏洞威脅、成因和嚴重性。3.2.3負責提出數據庫漏洞修補要求和相關防護措施，審批變更計劃。3.3應用系統補丁管理員3.3.1負責各應用系統（含中間件）補丁的管理。3.3.2負責收集應用系統漏洞信息，跟蹤最新補丁信息。評估漏洞威脅、成因和嚴重性。3.3.3負責提出應用系統漏洞修補要求和相關防護措施，審批變更計劃。3.4補丁測試員3.4.1負責搭建測試環境，負責測試補丁和測試結果的記錄。3.4.2負責跟蹤最新補丁信息和下載補丁。3.5補丁安裝員3.5.1負責補丁的安裝或分發，負責制訂補丁修補計劃。3.5.2負責解決補丁安裝或分發過程中出現的問題。補丁管理4.1補丁由測試部或系統服務部統一進行下載、測試和安裝，重要一級二級硬件或系統，未經許可不可私自下載安裝補丁。4.2補丁來源須為原廠商官方網站或原廠商工作人員，對于非法的補丁禁止安裝。4.34.3補丁安裝前應先做好系統和數據備份工作，避免出現問題進行回退。經嚴格測試通過后方可安裝。對測試不成功的補丁嚴禁安裝，測試結果記錄表見《補丁安裝計劃和實施方案》。4.4測試中發現的問題應做詳細分析，判斷發生問題的原因并及時解決如果不能解決，須記錄發生問題的環境，立即反饋給原廠商。4.5對于剛發布的嚴重等級漏洞，無補丁或未通過測試的補丁，可采用臨時解決辦法消除漏洞的威脅或者暫時接受該風險。4.6制訂補丁修補計劃須先分析信息資產、IT系統環境、IT網絡環境和信息資產重要等級，確定需要安裝的補丁和相應嚴重等級，同時明確修補時間、修補方式和修補范圍。4.7補丁安裝須先填寫變更工單，或工作票。相應補丁管理員和應用系統管理員對變更的必要性、風險和修補計劃進行評審，評審通過后由應用系統管理員安排各級系統服務人員全過程配合補丁安裝員完成補丁的安裝和應用系統的測試。4.8補丁安裝順序遵循“資產價值大、威脅等級高優先安裝”的原則。對于漏洞級別為嚴重的補丁，無特殊情況須在補丁發布后1星期內安裝。4.9補丁安裝完成后應進行全面檢查，以確認補丁安裝情況，同時制定補丁清單列表。附則文檔編號（由總裁辦填寫）密級內部公開文檔發布級別公司級文檔發布及實行范圍制度試行日期（可選）制度執行日期文檔起草人簽字：日期：文檔修訂人：簽字：日期：修訂說明：備注：文檔負責人：簽字：日期：文檔審批信息安全管理者代表簽字：日期：文檔審批人簽字：日期：防范病毒及惡意軟件管理規定目的和范圍為了加強對計算機病毒的預防和治理，保護計算機系統安全，保障計算機系統的應用與發展，特制定本規定。引用文件下列文件中的條款通過本規定的引用而成為本規定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內容）或修訂版均不適用于本標準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。GB/T22080-2023/ISO/IEC27001:2023信息技術-安全技術-信息安全管理體系要求GB/T22081-2023/ISO/IEC27002:2023信息技術-安全技術-信息安全管理實施細則《中華人民共和國計算機信息系統安全保護條例》《信息安全事件管理制度》職責和權限信息安全工作小組：是公司的病毒和惡意軟件防治管理部門，負責公司的計算機病毒及惡意軟件防治管理工作，建立公司的計算機病毒防治管理制度。采取計算機病毒安全技術防治措施。對公司計算機信息系統使用人員進行計算機病毒防治教育，及時檢測、清除計算機信息系統中的計算機病毒，并備有檢測、清除的記錄。病毒防治管理任何部門和個人必須在所管轄的計算機（包括虛擬系統，筆記本電腦）中安裝殺毒軟件。信息安全工作小組每個月對各部門的PC機和筆記本電腦的查殺毒情況進行抽查。當系統服務部或測試部發現重大系統漏洞時，將下發系統補丁安裝通知，信息安全小組負責收集和反饋安裝情況。任何部門和個人不得有下列傳播計算機病毒的行為：故意輸入計算機病毒，危害計算機信息系統安全。向他人提供含有計算機病毒的文件、軟件、媒體。其他傳播計算機病毒的行為。任何部門和個人應當接受對計算機病毒防治工作的監督、檢查和指導。任何部門和個人有違反本辦法規定的，將予以警告，并責令其限期改正，逾期不改正的或因違反本辦法規定而引發如計算機信息系統癱瘓、程序和數據嚴重破壞等重大事故的，按公司《信息安全事件管理制度》等相關規定處理。個人電腦必須啟用防火墻控制安全。惡意軟件管理所有計算機（包括服務器和個人電腦）都使用殺毒軟件對惡意軟件進行防護和檢查，并將軟件設置為自動升級病毒庫。自管服務器的責任人需要定期對服務器的病毒庫及掃描內容進行檢查并記錄。員工使用殺毒軟件對個人電腦進行掃描，每季度至少一次。實施策略信息安全工作小組抽查各部門個人電腦查殺病毒情況，每個月進行一次，填寫《電腦防病毒及軟件表》。相關記錄序號記錄名稱保存期限保存形式備注1電腦防病毒及軟件表（賽門鐵克）三年電子文檔編號（由總裁辦填寫）密級內部公開文檔發布級別公司級文檔發布及實行范圍全員制度試行日期（可選）制度執行日期文檔起草人簽字：日期：文檔修訂人：簽字：日期：修訂說明：備注：文檔負責人：簽字：日期：文檔審批信息安全管理者代表簽字：日期：文檔審批人簽字：日期：軟件管理規定目的和范圍為加強公司設備安裝軟件的管理，特制定本規定。引用文件職責和權限系統服務部：是辦公軟件的歸口管理部門，負責每個季度對公司辦公軟件的安裝情況進行檢查。各開發和測試部：是開發類軟件的管理部門。軟件管理3.1收集公司內軟件來源主要有以下幾個方面：購買商業軟件；自主開發的內部應用軟件；免費軟件的下載；系統服務部分發的辦公軟件。3.2登記信息安全工作小組登記分發的辦公軟件、公司購買的商業軟件的安裝情況。各部門負責《電腦防病毒及軟件表》的填寫。3.3商業軟件的歸檔和存放購買的商業軟件由公司自行歸檔和存放。購買的商業軟件統一存放于指定位置。磁盤文件存放于指定存儲空間中，由專人負責整理，各軟件建立獨立的文件夾，標識明確清晰，并做好軟件的備份工作。光盤統一存放入文件柜中，并有明顯易辨認的標識，便于整理和取用。3.4開源軟件的管理3.4.1開源軟件的選擇依據：(1)開源協議謹慎使用GPL協議，GPL協議規定使用了該開源庫的代碼也必須遵循GPL協議，即開源和免費。(2)功能、文檔、穩定性、擴展性功能是否能滿足業務需求，是否足夠穩定(穩定性測試)、文檔是否齊全、擴展性是否足夠。性能要求較高庫需要性能對比測試。(3)源碼修改a.個性化業務帶來的修改

盡量使用Wrap方式，而不要直接改源碼。實在繞不開，可在Git上打上Tag，并注明詳細原因。b.通用需求的修改

按源項目要求修改代碼，反饋回開源社區，請求合并進主分支。

源代碼修改原則：不要讓clone的副本變成孤島。(4)其他是否附有構建腳本（buildscript）該開源項目小組是否持續使用同一集成開發環境。該開源項目是否有清晰的roadmap。該項目是否設有問題跟蹤器（issuetracker）？是否很快就有社區補丁推出？在社區中，關于該項目的問題反饋是否迅速？其他的開發者是否樂于使用該開源項目，在社區中關于該項目的知識技巧是否很快傳播。有多少活躍的項目貢獻者？版本號管理是否清晰？對于來自社區的具體需求，該項目的改進和集成情況？3.4.2開源項目的標準(1)合適的文件和代碼合適的文件指的是要有自己的gitignore，合適的代碼是指代碼要符合代碼規范（如很簡單的四空格縮進很多Java開源項目都做不到）。(2)README.mdREADME.md是一個項目必不可少的，其中要求示例、文檔、引用方式、開源的Licence齊全。對Android來說示例可能包括DemoAPK、截圖。引用方式可以是Maven和Gradle引用方式。軟件使用各部門負責軟件的使用，如有問題及時反饋給信息安全工作小組。個人電腦辦公軟件首選安裝wps辦公軟件和任一款主流殺毒軟件。未經許可，任何人不得將內部使用的軟件外帶、傳播、販賣，不得將軟件用于任何違法或非正當用途。計算機設備使用人員不得使用計算機設備處理正常工作以外的事務，不得私自改變計算機的安全配置，不得私自安裝與工作無關的軟件。相關記錄序號記錄名稱保存期限保存形式備注1電腦防病毒及軟件表三年紙質/電子文檔編號（由總裁辦填寫）密級內部公開文檔發布級別公司級文檔發布及實行范圍全員制度試行日期（可選）制度執行日期文檔起草人簽字：日期：文檔修訂人：簽字：日期：修訂說明：備注：文檔負責人：簽字：日期：文檔審批信息安全管理者代表簽字：日期：文檔審批人簽字：日期：數據備份管理規定目的和范圍為確保數據的完整性及有效性，以便在發生信息安全事故時能夠準確及時的恢復數據，避免業務的中斷，特制定本規定。引用文件下列文件中的條款通過本規定的引用而成為本規定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內容）或修訂版均不適用于本標準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。GB/T22080-2023/ISO/IEC27001:2023信息技術-安全技術-信息安全管理體系要求職責和權限各部門：負責對各自部門的重要信息進行相關備份工作。備份管理4.1數據類型各部門根據業務的實際情況，識別需要備份的數據。備份數據包含但不僅限于各部門核心業務數據。涉及的部門備份數據如下：服務部：項目資料人力資源部：培訓資料、合同財務部：財務系統賬套研發服務體系：源代碼4.2備份過程人力資源部由專人負責合同備份，定期將合同掃描，備份到U盤并妥善保管；人力資源部由專人負責培訓資料的備份，出現新增內容時，將所有培訓資料備份到U盤并妥善保管；財務部的財務賬套由財務部自行進行備份；研發部源代碼均通過SVN或VSS服務器集中管理，服務器備份工作由系統服務部負責；生產系統備份數據存放于NAS或其他存儲設備上，相關設備放置于安全的區域，由系統服務部負責。每一月做一次恢復性測試。文檔編號（由總裁辦填寫）密級內部公開文檔發布級別公司級文檔發布及實行范圍全員制度試行日期（可選）制度執行日期文檔起草人簽字：日期：文檔修訂人：簽字：日期：修訂說明：備注：文檔負責人：簽字：日期：文檔審批信息安全管理者代表簽字：日期：文檔審批人簽字：日期：系統監控管理規定目的了解服務器的運行狀態，檢測未經授權的信息處理活動，為安全事故提供證據，確保業務系統的穩定性、可靠性、安全性。引用文件下列文件中的條款通過本規定的引用而成為本規定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內容）或修訂版均不適用于本標準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。GB/T22080-2023/ISO/IEC27001:2023信息技術-安全技術-信息安全管理體系要求GB/T22081-2023/ISO/IEC27002:2023信息技術-安全技術-信息安全管理實施細則職責和權限系統服務部：負責公司網絡和系統訪問活動的監控管理。系統監控管理4.1日志的分類需監控的日志包括但不僅限于以下類型：服務器事件日志管理員和操作員日志運行中心監控人員定期進行日志的檢查。4.2日志的管理只有超級用戶可以訪問和管理日志文件。由系統服務部管理員定期對服務器的日志進行檢查、處理，并記錄確認需要開啟的審計項目，服務器的操作系統要根據安全需求開啟安全日志審計功能，并對系統管理員組成員的系統活動進行審計。4.3容量管理系統管理員確定檢查頻率，監控人員定期登錄系統查看CPU，硬盤、內存的使用情況，發現問題時第一時間通知各產品線負責人。管理員要做預防性維護，在服務器沒有業務操作時，每個月對服務器重起，防止服務器內存泄露，防止系統意外崩潰；并查看服務器重起后所有服務是否啟動,業務系統是否正常運行。4.4時鐘同步設置時鐘同步，服務器及監控設備應保持時鐘的一致性，公司配置時鐘服務器，其他設備通過NTP服務與時鐘服務器同步。所有生產系統的時鐘同步工作由系統管理員完成。5.相關記錄序號記錄名稱保存期限保存形式備注1日志檢查評審記錄三年紙質/電子2重要服務器容量監控評審表三年紙質/電子3重要服務器和設備日志明細表三年紙質/電子文檔編號（由總裁辦填寫）密級內部公開文檔發布級別公司級文檔發布及實行范圍制度試行日期（可選）制度執行日期文檔起草人簽字：日期：文檔修訂人：簽字：日期：修訂說明：備注：文檔負責人：簽字：日期：文檔審批信息安全管理者代表簽字：日期：文檔審批人簽字：日期：七、通信安全通信安全管理規定目標通過控制網絡訪問權限以及公司與外部的信息傳遞，防止對辦公網系統和應用系統的非法訪問。引用文件下列文件中的條款通過本規定的引用而成為本規定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內容）或修訂版均不適用于本標準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。GB/T22080-2023/ISO/IEC27001:2023信息技術-安全技術-信息安全管理體系要求GB/T22081-2023/ISO/IEC27002:2023信息技術-安全技術-信息安全管理實施細則職責和權限各部門必須遵照本管理規范實行對網絡、口令和權限的管理，用戶必須按照本管理規范訪問公司辦公網系統和應用系統。Internet訪問控制所有員工在工作時間禁止利用公司網絡和互聯網專線訪問違法網站及內容。客戶及第三方人員不允許直接通過可訪問公司資源的有線或無線網絡訪問Internet，客戶及第三方人員如需訪問Internet應當在專設的隔離區進行。網絡隔離公司與外部通過防火墻隔離，制定嚴格的VLAN劃分，對公司內重要部門的訪問進行控制。系統服務部制定VLAN訪問控制說明。對不同的應用系統的用戶信息及其他信息進行網絡隔離。無線網絡訪問管理服務部對無線網絡進行密碼控制管理；員工對密碼的保密要求在《密碼控制管理制度》文件里做詳細規定。信息交流控制措施信息交流方式包括數據交流、電子郵件、、紙質文件、談話、錄音、會議、、短信、IM工具等；可交流的信息，須符合《信息資產分類分級管理制度》里的密級規定;公司使用的信息交流設施在安全性上應符合國家信息安全相關法律法規、上級主管機關以及本公司安全管理規定的要求；對信息交流應作適當的防范，如不要暴露敏感信息，避免被通過偷聽或截?。粏T工、合作方以及任何其他用戶不得損害公司的利益，如誹謗、騷擾、假冒、未經授權的采購等；不得將敏感或關鍵信息放在打印設施上，如復印機、打印機和，防止未經授權人員的訪問；在使用電子通信設施進行信息交流時，所考慮的控制包括：保護以附件形式傳輸的電子信息的程序；有業務信件和消息的保持和處置原則，要符合相關的國家或地方法規；在對外聯系中，應注意安全保密，用Email發送機密信息必須符合公司的相關規定；因工作需要而傳遞公司或項目保密文件時，經批準后，可通過加密渠道傳遞；通過E-MAIL發送機密附件時，如有必要，附件必須加密，密碼通過其他方式告知對方。使用的人員注意下列問題：故意的或無意的程序設定，向特定的號碼發送信息；發送時注意，禁止向錯誤的號碼發送文件和信息，不要撥錯號碼。所有員工簽署保密協議，在組織對信息安全需求有變化時進行評審。文檔編號（由總裁辦填寫）密級內部公開文檔發布級別公司級文檔發布及實行范圍全員制度試行日期（可選）制度執行日期文檔起草人簽字：日期：文檔修訂人：簽字：日期：修訂說明：備注：文檔負責人：簽字：日期：文檔審批信息安全管理者代表簽字：日期：文檔審批人簽字：日期：電子郵件管理規定目標維護公司以及個人信息的安全性、保障郵件傳輸的可靠性、保持工作的高效率，特制定本規定?？倓t1、公司對員工郵箱進行統一規劃和管理。2、公司鼓勵和提倡各下屬以及員工采用電子郵件進行內外交流。3、員工或部門以電子郵件對外聯系是必須提供公司提供的、以相應域名為后綴的郵箱***@orient-za。4、公司郵箱用戶的賬號名以員工中文姓名/英文姓名的全拼/縮寫字母為準，如有重名，允許用戶自定義1-3位的識別碼，已有賬號員工可保留原賬號不變。5、在職人員名片以及公司其他對外宣傳資料上必須印有公司域名為后綴的郵件地址。管理權限和職責系統服務部：統一管理公司的電子郵件服務器。人力資源部：負責電子郵件的開通、使用、維護和監督檢查工作。使用郵箱用戶：應熟練使用各種辦公軟件進行郵件的收發