網(wǎng)絡與信息安全工作管理辦法.doc

世茂房地產標準化文檔c6eb16b2a136a05f85e2dff182e446ec.pdf網(wǎng)絡與信息安全工作管理辦法世茂房地產控股有限公司資訊科技部內部資料，未經(jīng)同意，請勿翻印版本修訂日期修訂人審核人.目 錄第一節(jié)安全組織原則3第二節(jié)安全組織結構3第一節(jié)概 述4第二節(jié)安全規(guī)劃與建設4第三節(jié)物理安全管理5第四節(jié)人員安全管理6第五節(jié)安全培訓7第六節(jié)信息資產安全管理8第七節(jié)安全運維管理10第八節(jié)安全事件處理10第九節(jié)應急計劃11第十節(jié)系統(tǒng)開發(fā)與維護11第十一節(jié)符合性14第十二節(jié)管理審計與評估14第十三節(jié)獎懲15第一節(jié)概 述16第二節(jié)訪問控制16第三節(jié)身份認證16第四節(jié)冗余恢復17第五節(jié)日志審計與響應17第六節(jié)內容安全18第一章 總 則第一條 隨著上海世茂投資管理有限公司（以下簡稱：上海世茂）信息系統(tǒng)規(guī)模越來越大，隨之帶來的安全問題也不斷增多，為及時快速處理各種故障和安全事件，防范與化解安全風險，保障網(wǎng)絡連續(xù)性以及高質量的服務水平，特制定上海世茂網(wǎng)絡與信息安全工作管理辦法，以下簡稱“本辦法”。第二條 本辦法依據(jù)中華人民共和國計算機信息系統(tǒng)安全保護條例，參考ISO27001信息安全管理體系規(guī)范而制定。第三條 本辦法的適用范圍包括上海世茂信息系統(tǒng)在規(guī)劃、設計、開發(fā)、建設和運行維護過程中所涉及到的各種安全問題，包括組織管理、物理安全、操作系統(tǒng)安全、應用安全、數(shù)據(jù)安全、網(wǎng)絡架構安全、安全事件處理。第四條 上海世茂網(wǎng)絡與信息安全工作的管理原則1. 整體規(guī)劃，分步實施：需要對網(wǎng)絡與信息安全工作進行整體規(guī)劃，分步實施，逐漸建立完善的網(wǎng)絡與信息安全體系。2. 三同步原則：安全系統(tǒng)應與業(yè)務系統(tǒng)及網(wǎng)絡同步規(guī)劃、同步建設、同步運行。3. 適度安全：安全具有相對性和動態(tài)性的特點，必須做好安全建設的成本效益分析，在安全性和投入成本之間、安全性和易用性之間做好平衡工作。第五條 本辦法中的安全是指信息系統(tǒng)的安全。第二章 安全組織管理第一節(jié) 安全組織原則第六條 上海世茂安全工作管理由信息化領導小組統(tǒng)一來制定。第二節(jié) 安全組織結構第七條 成立上海世茂網(wǎng)絡與信息安全領導小組，全面負責上海世茂網(wǎng)絡與信息安全各項工作。第八條 領導小組下設IT總監(jiān)，貫徹“信息化領導小組”的安全管理決策，作為執(zhí)行管理機構。資訊科技部作為信息安全工作的主要執(zhí)行機構，負責信息安全日常工作，IT總監(jiān)下屬包括應用和運維兩個專業(yè)工作組。第三章 安全策略第九條 上海世茂安全策略體系是用于指導上海世茂的安全管理工作，明確信息安全的工作職責、內容、方法和流程的一套文檔，它覆蓋了IT系統(tǒng)的整個生命周期，對系統(tǒng)和網(wǎng)絡的規(guī)劃、設計、建設、運維以及檢查評估都提出了相應的安全要求。第十條 上海世茂安全策略由資訊科技部、各部門提出需求，由資訊科技部組織制定。第十一條 上海世茂的安全策略由上海世茂信息安全領導小組批準和發(fā)布，由資訊科技部組織宣傳和培訓，并監(jiān)督各部門執(zhí)行落實。第十二條 資訊科技部及各專業(yè)工作小組負責檢查和考核策略的貫徹和實施，并建立安全策略違反報告制度。第十三條 資訊科技部建立安全策略定期審核更新的制度和機制，定期對安全策略的有效性進行審核，并根據(jù)情況進行更新。第四章 安全管理制度第一節(jié) 概 述第十四條 為做好上海世茂網(wǎng)絡與信息安全管理，必須做好安全規(guī)劃和建設，完善物理環(huán)境安全，加強工作人員安全管理和教育，建立信息資產安全管理制度。完善安全運維、事件處理、應急響應等安全工作。第二節(jié) 安全規(guī)劃與建設第十五條 上海世茂安全規(guī)劃明確安全建設原則，為網(wǎng)絡與信息安全建設明確建設方向和藍圖。第十六條 安全規(guī)劃小組要根據(jù)上海世茂現(xiàn)有情況做好安全規(guī)劃工作，制定近期（12年）總體安全規(guī)劃和中長期（35年）安全建設目標，制定網(wǎng)絡建設規(guī)劃和人員計劃，滿足信息系統(tǒng)正常安全保障并適應未來的發(fā)展戰(zhàn)略。第十七條 安全規(guī)劃應考慮信息安全管理體系和安全技術架構的建設，根據(jù)網(wǎng)絡發(fā)展規(guī)劃適度超前建設，并考慮統(tǒng)一安全管理要求和統(tǒng)一安全技術基礎設施。第十八條 應在上海世茂信息系統(tǒng)規(guī)劃、設計、開發(fā)、實施、運維的整個生命周期中各個階段充分考慮并實施安全控制措施。第十九條 在特殊情況下，應預先明確風險，并指出應采取的控制措施。第二十條 應對網(wǎng)絡與系統(tǒng)建設過程中存在的安全風險進行嚴格的安全過程控制。第三節(jié) 物理安全管理第二十一條 物理安全管理的目標是通過加強工作環(huán)境安全，防止對上海世茂工作場所和信息資源的非法訪問、破壞和干擾。第二十二條 相關部門應按照上海世茂關于機房建設及管理等標準，對機房場地與設施進行安全建設，并進行分級、分區(qū)安全管理。機房安全建設和改造應通過資訊科技部的安全審批和驗收，并建立、健全嚴格的機房安全管理制度。第二十三條 信息資產主管部門及使用部門必須保證關鍵或敏感的數(shù)據(jù)信息處理設備放置在安全的區(qū)域，并使用適當?shù)奈锢矸雷o設備和訪問控制手段。第二十四條 應加強辦公區(qū)的物理訪問控制。第四節(jié) 人員安全管理第二十五條 信息安全管理人員應當政治過硬、業(yè)務素質高、遵紀守法、恪盡職守。第二十六條 應建立相應制度以及相應技術手段加強對第三方人員的安全管理。第二十七條 違反國家法律、法規(guī)和行業(yè)規(guī)章受到處罰的人員，不得從事信息安全管理工作。第二十八條 信息安全管理人員調離崗位，必須辦理調離手續(xù)，承諾其調離后的保密義務。第二十九條 信息安全崗位人員必須具備相應的資質并簽定保密協(xié)議。信息安全管理人員應定期接受政治思想教育、職業(yè)道德教育和安全保密教育。第三十條 信息安全管理人員職責：(1) 負責計算機安全管理的日常工作；(2) 開展計算機安全檢查工作，對要害崗位人員安全工作進行指導；(3) 開展計算機安全知識的培訓和宣傳工作；(4) 監(jiān)控計算機安全總體狀況，提出安全分析報告；了解行業(yè)動態(tài)，為改進和完善計算機安全管理工作，提出安全防范建議；(5) 及時向計算機安全工作領導小組和有關部門、單位報告計算機安全事件。第三十一條 信息安全管理人員發(fā)現(xiàn)本單位所使用信息系統(tǒng)中的重大安全隱患，有權向上級報告。第三十二條 信息安全管理人員發(fā)現(xiàn)系統(tǒng)操作人員使用不當，應及時建議有關單位、部門進行調整。第三十三條 信息安全管理人員必須嚴格遵守國家有關法律、法規(guī)和行業(yè)規(guī)章，嚴守國家、行業(yè)和崗位秘密。第三十四條 信息安全管理人員應定期參加下列計算機安全知識和技能的培訓：(1) 計算機安全法律法規(guī)及行業(yè)規(guī)章制度的培訓；(2) 計算機安全基本知識的培訓；(3) 計算機安全專項技能的培訓。第五節(jié) 安全培訓第三十五條 工作人員安全意識是安全管理工作開展的基礎和前提，安全管理工作組應建立安全意識教育計劃，通過持續(xù)的安全教育，提高人員安全意識。第三十六條 建立安全技術培訓計劃，通過各種培訓方式，提高各級管理人員和專業(yè)人員安全技能，降低安全操作風險。第六節(jié) 信息資產安全管理（一）資產管理第三十七條 上海世茂信息資產包括所擁有各種信息及其載體，存在有形資產和無形資產，包括計算機設備、系統(tǒng)軟件、應用軟件、數(shù)據(jù)、文檔等。第三十八條 嚴格執(zhí)行上海世茂設備管理部門有關設備管理的各項規(guī)章制度，對資訊科技部管理的設備進行編號、登記、建立完善、準確的臺帳。第三十九條 每半年，對全局計算機網(wǎng)絡設備進行一次全面檢查和維護。每年末，資訊科技部對固定資產清查一次。第四十條 各級信息資產責任者必須嚴格遵守相關制度，保證信息資產的機密性、完整性和可用性。第四十一條 信息系統(tǒng)資產管理具體辦法參見上海世茂信息資產安全管理辦法。（二）版權要求第四十二條 上海世茂與計算機信息系統(tǒng)承建商簽訂建設合同時，承建商應當保證產品無侵犯他人版權要求。第四十三條 承建商在計算機信息系統(tǒng)建設中使用第三方產品時，必須事先得到上海世茂資訊科技部認可并具有第三方產品書面授權。（三）安全專用產品第四十四條 本規(guī)定所稱安全專用產品，是指用于保護計算機信息系統(tǒng)安全的專用軟件、硬件產品。第四十五條 安全專用產品準入、選型、采購部署工作由資訊科技部統(tǒng)一組織實施。安全專用產品有下列情形之一的，取消其準入資格：(1) 安全專用產品的功能已發(fā)生變化，但未通過檢測的;(2) 經(jīng)使用發(fā)現(xiàn)有嚴重問題的;(3) 能提供良好售后服務的;(4) 國家有關部門取消其銷售資格的。第四十六條 安全專用產品在使用中，系統(tǒng)管理員應監(jiān)測生成的信息，對生成的信息應及時分析并作出分析報告；在監(jiān)測中如發(fā)現(xiàn)重大問題，應立即采取相應控制措施并將有關情況逐級上報；安全專用產品使用中產生的重要報告應備份存檔，并按密級資料管理方式履行有關手續(xù)。第七節(jié) 安全運維管理第四十七條 安全維護管理的目標是通過建立和執(zhí)行對網(wǎng)絡和操作系統(tǒng)的安全維護流程和安全維護作業(yè)計劃，來保障提供高質量的信息系統(tǒng)服務能力和通信能力。第四十八條 安全維護工作主要包括硬件入網(wǎng)管理、病毒防范管理、密碼管理、系統(tǒng)和數(shù)據(jù)備份、日志管理和審計、軟件版本管理和補丁加載。 第四十九條 網(wǎng)絡、主機的相關人員、維護計劃配置應隨網(wǎng)絡調整進行更新。第八節(jié) 安全事件處理第五十條 安全事件處理的原則是“積極預防、及時發(fā)現(xiàn)、快速響應、確?；謴汀?。第五十一條 系統(tǒng)宕機引起相關部門無法進行業(yè)務操作，非法侵入、破壞計算機信息系統(tǒng)，利用計算機實施詐騙、盜竊、貪污、挪用公款的計算機犯罪案件，以及造成不良社會影響的計算機安全事故，屬于信息安全事故。第五十二條 各相關部門根據(jù)要求建立詳細的安全事件響應機制，規(guī)定在安全事件的發(fā)現(xiàn)、上報、分析、處理、總結和獎懲階段的相關責任和程序，最大限度地減少安全事件造成的損害。第五十三條 對安全事件做好記錄和存檔工作，記錄內容包括事件的起因、處理過程、處理結果、建議改進的安全對策等。第九節(jié) 應急計劃第五十四條 針對不同的安全事件，必須制定相應的應急計劃，內容至少包括計劃的準備、演練、實施、系統(tǒng)恢復方案四個組成部分，各部門應定期上報應急計劃內容。第五十五條 通過應急計劃的演練測試檢查應急計劃的有效性和資源的可用性，并根據(jù)演練結果進行應急計劃的調整。第十節(jié) 系統(tǒng)開發(fā)與維護（一）承建商管理第五十六條 資訊科技部是全局計算機信息系統(tǒng)承建商管理的第一責任人。第五十七條 計算機信息系統(tǒng)承建商必須遵守上海世茂信息安全管理制度，必須簽署保密協(xié)議；在提供優(yōu)質的開發(fā)、維護服務的同時，不得擅自修改正式生產系統(tǒng)中的數(shù)據(jù)。（二）計算機信息系統(tǒng)建設第五十八條 計算機信息系統(tǒng)的規(guī)劃和建設應同步做好系統(tǒng)安全保護工作，以確保系統(tǒng)安全目標的實現(xiàn)。重要計算機信息系統(tǒng)立項的安全管理實行審批制度。對初審合格的項目申報材料，應進行安全性專項審查，提出審查意見后由資訊科技部最后審批。對沒有通過安全管理審查的項目，不得予以立項。第五十九條 計算機信息系統(tǒng)的開發(fā)必須符合軟件工程規(guī)范，并在軟件開發(fā)的各階段按照安全管理目標進行管理和實施。計算機信息系統(tǒng)的開發(fā)人員或參加開發(fā)的協(xié)作單位應經(jīng)過嚴格資格審查，并簽訂保密協(xié)議書，承諾其負有的安全保密責任和義務。計算機信息系統(tǒng)的開發(fā)環(huán)境和現(xiàn)場應當與生產環(huán)境和現(xiàn)場隔離。計算機信息系統(tǒng)開發(fā)完成后，開發(fā)人員或參加開發(fā)的外部單位應及時移交程序源代碼及其相關技術文檔。第六十條 計算機信息系統(tǒng)投入運行前，應向資訊科技部系統(tǒng)管理員提交性能測試報告；系統(tǒng)管理員對性能測試報告進行初步審查；初審合格后，安排生產環(huán)境部署。（三）計算機信息系統(tǒng)運行第六十一條 計算機信息系統(tǒng)的使用部門應當嚴格用戶和密碼（口令）的管理，業(yè)務操作員應嚴格按照操作培訓要求進行操作，保證系統(tǒng)安全運行；對計算機信息系統(tǒng)在運行過程中出現(xiàn)的異?，F(xiàn)象，有責任向部門領導和資訊科技部報告。第六十二條 計算機信息系統(tǒng)應定期進行數(shù)據(jù)備份，對備份介質應按有關規(guī)定指定專人妥善保管。重要計算機信息系統(tǒng)應當制定應急計劃，保證業(yè)務的不間斷運行。第六十三條 系統(tǒng)管理員應合理配置操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)所提供的安全審計功能，以達到相應安全等級標準，應及時安裝正式發(fā)布的系統(tǒng)補丁，修補系統(tǒng)存在的安全漏洞；并屏蔽與應用系統(tǒng)無關的所有網(wǎng)絡功能，防止非法用戶的侵入；第六十四條 系統(tǒng)管理員不得泄露操作系統(tǒng)、數(shù)據(jù)庫的系統(tǒng)管理員帳號、密碼。聯(lián)網(wǎng)設備的IP地址及網(wǎng)絡參數(shù)，必須按照網(wǎng)絡管理規(guī)范及其業(yè)務應用范圍進行設置，非系統(tǒng)管理人員不得修改。第六十五條 系統(tǒng)管理員應對重要業(yè)務的計算機信息系統(tǒng)進行日常巡檢，監(jiān)測系統(tǒng)運行日志，掌握系統(tǒng)運行狀況；發(fā)現(xiàn)系統(tǒng)運行異常應及時通報主管領導。（四）上線管理第六十六條 計算機信息系統(tǒng)正式使用前必須經(jīng)過系統(tǒng)使用部門的整體功能測試和性能測試（對原有系統(tǒng)的功能升級必須經(jīng)過系統(tǒng)操作員的功能認可），才能在正式生產環(huán)境部署。（五）驗收管理第六十七條 必須經(jīng)過資訊科技部評估，需要簽訂合同獨立開發(fā)的業(yè)務軟件系統(tǒng)必須進行系統(tǒng)驗收；第六十八條 需要驗收的系統(tǒng)必須經(jīng)項目管理與咨詢公司審核項目文檔以及上海世茂資訊科技部負責人審核確認后進行。（六）需求數(shù)據(jù)變更第六十九條 業(yè)務操作員對已經(jīng)上線運行的信息系統(tǒng)提出需求修改要求以及數(shù)據(jù)變更要求時，系統(tǒng)開發(fā)員需要準確紀錄需求，并整理為需求確認單或數(shù)據(jù)確認單。第七十條 系統(tǒng)開發(fā)員對業(yè)務操作員簽字確認后的需求確認單、數(shù)據(jù)確認單進行系統(tǒng)處理，處理后的結果由業(yè)務操作員進行確認。第十一節(jié) 符合性（一）正版軟件第七十一條 資訊科技部是全局推進使用正版化軟件工作的第一責任人。第七十二條 公司內軟件正版化工作實行使用責任制。各部門的主要負責人是本推進使用正版軟件工作的第一責任人，對本部門使用非正版軟件、損害公司形象的，承擔領導責任。軟件正版化工作列入各部門年終考核。（二）性能要求第七十三條 業(yè)務應用軟件開發(fā)類項目正式上線前必須進行性能測試，達到性能測試要求后部署正式環(huán)境；第十二節(jié) 管理審計與評估第七十四條 安全管理審計是參照一定的安全標準對運維過程和信息系統(tǒng)本身進行安全評價的過程。此過程重點關注運維管理工作是否有效地保護了信息系統(tǒng)的安全。第七十五條 風險評估主要依靠技術手段評估特定的內外威脅可能對信息系統(tǒng)造成的損失，此工作主要關注信息系統(tǒng)本身存在哪些漏洞、面臨哪些威脅、可能遭到什么樣的損害。第七十六條 上海世茂資訊科技部應制定安全巡檢機制，每半年組織一次安全管理內部審計，發(fā)現(xiàn)在安全運維管理方面存在的問題；并定期（間隔最長不超過半年）對網(wǎng)絡與信息系統(tǒng)進行風險評估，并對評估出來的問題和隱患進行及時整改。第七十七條 各部門根據(jù)實際情況對所轄系統(tǒng)不定期進行安全自評估。第十三節(jié) 獎懲第七十八條 執(zhí)行上海世茂計算機信息系統(tǒng)安全管理體系，計算機安全管理工作成績突出的部門與個人，由資訊科技部報領導小組后，對其進行通報表彰，并給予一定形式的獎勵。第七十九條 違反上海世茂計算機信息系統(tǒng)安全管理體系，造成重大安全事故或計算機犯罪的，根據(jù)有關部門法律法規(guī)，追究其主管領導、相關部門及其他直接責任人的責任。第八十條 違反上海世茂計算機信息系統(tǒng)安全管理體系的單位與個人，由資訊科技部報領導小組后，通報批評。第五章 安全技術體系第一節(jié) 概 述第八十一條 為切實防范網(wǎng)絡攻擊、保護上海世茂網(wǎng)絡和信息安全，解決網(wǎng)絡中存在的各種安全問題，需要運用訪問控制、身份認證、冗余恢復、審計響應、內容安全等多種安全技術構建上海世茂安全技術體系。第二節(jié) 訪問控制第八十二條 訪問控制的目標是通過設定對計算機資源（包括信息、網(wǎng)絡、系統(tǒng)、數(shù)據(jù)庫、應用等）的訪問策略，實現(xiàn)授權用戶通過正確的方式訪問資源，阻止未授權用戶有意或無意獲得訪問權限。第八十三條 設定訪問控制策略的原則是“除明確允許執(zhí)行情況外必須禁止”。第八十四條 安全域劃分是對系統(tǒng)實施分級安全保護的前題條件，安全管理工作組必須要對網(wǎng)絡劃分安全域，明確網(wǎng)絡邊界和保護等級，實現(xiàn)網(wǎng)絡之間的有效隔離和訪問控制。第八十五條 在網(wǎng)絡、系統(tǒng)和應用層面制定訪問控制和權限管理策略，并加強人員管理，保證安全有效的訪問控制。第三節(jié) 身份認證第八十六條 加強面向網(wǎng)絡和信息系統(tǒng)用戶的管理，包括用戶身份管理、帳號和口令管理、權限管理、認證和授權。第八十七條 用戶帳戶的設定應符合“職責分離”的原則。第八十八條 對于重要系統(tǒng)應采用雙因素或多因素認證機制。第八十九條 定期審計身份鑒別，對發(fā)現(xiàn)的異常進行及時處理，對累積性事件進行必要的趨勢分析。第四節(jié) 冗余恢復第九十條 冗余恢復主要是針對網(wǎng)絡、操作系統(tǒng)、應用系統(tǒng)以及數(shù)據(jù)可能發(fā)生的異常情況，為保障信息系統(tǒng)連續(xù)性所做的準備和防范措施。第九十一條 應根據(jù)系統(tǒng)的重要程度，制定數(shù)據(jù)與軟件的備份策略，明確備份周期和方法，并提供充足的備份設施，并定期進行備份數(shù)據(jù)恢復演練。第九十二條 系統(tǒng)內重要主機、支持重要應用的網(wǎng)絡設備應有冗余設置，應采用技術措施保證服務器出現(xiàn)故障經(jīng)更換或修復后，能夠自動安裝操作系統(tǒng)、應用軟件，并恢復數(shù)據(jù)。第五節(jié) 日志審計與響應第九十三條 日志審計是對主機、網(wǎng)絡的運行狀況，尤其是資源的訪問情況進行記錄、檢查、監(jiān)控以及完整性檢查等；響應主要指對網(wǎng)絡安全問題的實時檢測、告警和處理。第九十四條 系統(tǒng)內重要主機上應部署日志審計產品并定期進行漏洞掃描。第九十五條 重要的信息系統(tǒng)應部署入侵檢測設備，并配備相應的告警和處理機制。第六節(jié) 內容安全第九十六條 內容安全指防止傳輸和存儲的數(shù)據(jù)（信息）泄漏、甄別應用和數(shù)據(jù)的合法性。包括加密、防病毒、垃圾郵件過濾網(wǎng)關、內容過濾等產品。第九十七條 應部署覆蓋全網(wǎng)的多級防病毒系統(tǒng)，并定期進行病毒庫升級。第六章 安全檢查第九十八條 為提高各部門人員及管理人員安全意識，不斷促進安全防范及管理工作深入進行，信息安全委員會應制定對安全管理工作的檢查和考核制度并組織和執(zhí)行安全檢查工作。第九十九條 安全檢查的內容至少要包括安全組織、安全規(guī)劃建設、信息資產管理、人員安全、安全培訓、物理環(huán)境安全、安全運維、安全事件處理、設備配置安全、應急計劃、入網(wǎng)安全、管理審計與評估、軟件版權、訪問控制、身份認證、冗余恢復、日志審計與響應、內容安全等方面。第一百條 應將安全工作逐步納入到工作人員的績效考核體系中。第一章檢查內容第一節(jié) 組織結構第一條檢查安全組織機構建設情況：1. 安全組織；2. 專（兼）職安全管理員；3. 人員變動情況。第二條檢查人員管理情況：1. 健全的網(wǎng)絡與信息安全管理制度；2. 網(wǎng)絡與信息安全學習、培訓；3. 重要崗位安全管理。第二節(jié) 機房檢查第三條檢查機房環(huán)境：1. 外部供電系統(tǒng)；2. 內部供電系統(tǒng)；3. 應急照明；4. 主機房環(huán)境溫度、濕度控制；5. 防火系統(tǒng)；6. 場地監(jiān)控；7. 門禁保安；8. 緊急聯(lián)絡；9. 接地系統(tǒng)；10. 防盜設施；11. 靜電防護措施；12. 防電磁干擾措施；13. 防雷裝置。第四條檢查機房的日常管理：1. 工作交接手續(xù)；2. 各類數(shù)據(jù)和存儲介質管理；3. 過期報表和作廢文檔的銷毀；4. 硬件設備的管理和維護；5. 各種設施有效性的定期檢查；6. 機房工程改變、維修操作、設備的調出的審批。第五條檢查生產管理制度：1. 機房操作員、系統(tǒng)管理員崗位職責；2. 機房出入管理制度；3. 機房場地、設施及設備管理制度；4. 進出機房人員登記簿；5. 系統(tǒng)運行日志；6. 設備維護登記簿。第三節(jié) 網(wǎng)絡系統(tǒng)檢查第六條檢查網(wǎng)絡建設：1. 上海世茂集團網(wǎng)絡規(guī)劃、設計、改造過程中的安全考慮；2. 網(wǎng)絡建成后的安全評審；3. 設備備份和線路備份；4. 網(wǎng)絡設計、實施階段文檔；5. 文檔（包括：網(wǎng)絡設計方案、網(wǎng)絡拓撲結構圖、網(wǎng)絡配置參數(shù)、IP地址分配方案等）的保管。第七條檢查網(wǎng)絡安全規(guī)定：1. 網(wǎng)絡的管理和維護工作；2. 辦公網(wǎng)等內部網(wǎng)絡與互聯(lián)網(wǎng)之間的安全隔離措施；3. 專線連接中防火墻等安全措施；4. 撥號連接中防火墻、身份認證和回撥等安全措施；5. 網(wǎng)絡中身份認證、加密、訪問控制、數(shù)字簽名、事件審計等安全技術和措施；6. 互聯(lián)網(wǎng)上網(wǎng)管理辦法或規(guī)定；7. 對撥號上互聯(lián)網(wǎng)的計算機和調制解調器的登記記錄。第八條檢查網(wǎng)絡運維：1. 重要網(wǎng)絡設備口令的管理；2. 口令的定期更換；3. 網(wǎng)絡實時監(jiān)控和事件報警響應機制；4. 專人定期或不定期監(jiān)測網(wǎng)絡設備性能參數(shù)和網(wǎng)絡運行狀況；5. 對涉及網(wǎng)絡配置的增、刪、修改等操作的審批手續(xù)和配置更改記錄；6. 備