信息安全策略

1、 第 PAGE 34頁 共 NUMPAGES 34頁第 PAGE 1頁 共 NUMPAGES 34頁信息安全全策略文檔編號號編制審核批準發(fā)布日期期備注本公司對對本文件件資料享享受著作作權及其其它專屬屬權利，未經(jīng)書書面許可可，不得得將該等等文件資資料（其其全部或或任何部部分）披披露予任任何第三三方，或或進行修修改后使使用。目錄TOC o 1-2 h z u STRPERLINK l _Toc427163184 1.信信息資源源保密策策略 PAGEREF _Toc427163184 h 3 STRPERLINK l _Toc427163185 2.網(wǎng)網(wǎng)絡訪問問策略 PAGEREF _Toc4271

2、63185 h 4 STRPERLINK l _Toc427163186 3.訪訪問控制制策略 PAGEREF _Toc427163186 h 5 STRPERLINK l _Toc427163187 4.物物理訪問問策略 PAGEREF _Toc427163187 h 6 STRPERLINK l _Toc427163188 5.供供應商訪訪問策略略 PAGEREF _Toc427163188 h 8 STRPERLINK l _Toc427163189 6.雇雇員訪問問策略 PAGEREF _Toc427163189 h 10 STRPERLINK l _Toc427163190 7.設設

3、備及布布纜安全全策略 PAGEREF _Toc427163190 h 11 STRPERLINK l _Toc427163191 8.變變更管理理安全策策略 PAGEREF _Toc427163191 h 14 STRPERLINK l _Toc427163192 9.病病毒防范范策略 PAGEREF _Toc427163192 h 16 STRPERLINK l _Toc427163193 10.可移動動代碼防防范策略略 PAGEREF _Toc427163193 h 17 STRPERLINK l _Toc427163194 11.信息備備份安全全策略 PAGEREF _Toc427163

4、194 h 18 STRPERLINK l _Toc427163195 12.網(wǎng)絡配配置安全全策略 PAGEREF _Toc427163195 h 19 STRPERLINK l _Toc427163196 13.信息交交換策略 PAGEREF _Toc427163196 h 20 STRPERLINK l _Toc427163197 14.運輸中中物理介介質安全全策略 PAGEREF _Toc427163197 h 21 STRPERLINK l _Toc427163198 15.電子郵郵件策略略 PAGEREF _Toc427163198 h 22 STRPERLINK l _Toc427

5、163199 16.信息安安全監(jiān)控控策略 PAGEREF _Toc427163199 h 23 STRPERLINK l _Toc427163200 17.特權訪訪問管理理策略 PAGEREF _Toc427163200 h 25 STRPERLINK l _Toc427163201 18.口令控控制策略略 PAGEREF _Toc427163201 h 26 STRPERLINK l _Toc427163202 19.清潔桌桌面和清清屏策略略 PAGEREF _Toc427163202 h 28 STRPERLINK l _Toc427163203 20.互聯(lián)網(wǎng)網(wǎng)使用策策略 PAGEREF

6、_Toc427163203 h 29 STRPERLINK l _Toc427163204 21.便攜式式計算機機安全策策略 PAGEREF _Toc427163204 h 31 STRPERLINK l _Toc427163205 22.事件管管理策略略 PAGEREF _Toc427163205 h 32 STRPERLINK l _Toc427163206 23.個人信信息使用用策略 PAGEREF _Toc427163206 h 33 STRPERLINK l _Toc427163207 24.業(yè)務信信息系統(tǒng)統(tǒng)使用策策略 PAGEREF _Toc427163207 h 34 STRPE

7、RLINK l _Toc427163208 25.遠程工工作策略略 PAGEREF _Toc427163208 h 35 STRPERLINK l _Toc427163209 26.安全開開發(fā)策略略 PAGEREF _Toc427163209 h 361信息資資源保密密策略發(fā)布部門門信息安全全小組生效時間間20166年111月011日介紹保密策略略是用于于為信息息資源用用戶建立立限制和和期望的的機制。內(nèi)部用用戶不期期望信息息資源保保密。外外部用戶戶期望信信息資源源擁有完完整的保保密性，除了在在發(fā)生可可疑的破破壞行為為的情況況下。目 的該策略的的目的是是明確的的溝通信信息資源源用戶的的信息服服務

8、保密密期望。適用范圍圍該策略適適用于使使用信息息資源的的所有人人員。術語定義義略信息資源保密策略在公司內(nèi)內(nèi)部保存存和控制制的電子子文件應應該公開開，并且且可以被被信息服服務人員員訪問；為了管理理系統(tǒng)并并加強安安全，信信息 技技術部小小組可以以記錄、評審，同時也也可以使使用其信信息資源源系統(tǒng)中中存儲和和傳遞的的任何信信息。為為了達到到此目的的，信息息 技術術部小組組還可以以捕獲任任何用戶戶活動，如撥號號號碼以以及訪問問的網(wǎng)站站；為了商業(yè)業(yè)目的，第三方方將信息息委托給給公司內(nèi)內(nèi)部保管管，那么么信息 技術部部小組的的所有工工作人員員都必須須盡最大大的努力力保護這這些信息息的保密密性和安安全性。對這些

9、些第三方方來說最最重要的的就是個個人消費費者，因因此消費費者的賬賬戶數(shù)據(jù)據(jù)應該保保密，并并且對這這些數(shù)據(jù)據(jù)的訪問問也應該該依據(jù)商商業(yè)需求求進行嚴嚴格限制制；用戶必須須向適當當?shù)墓芾砝碚邎蟾娓婀緝?nèi)內(nèi)部計算算機安全全的任何何薄弱點點，可能能的誤用用事故或或者相應應授權協(xié)協(xié)議的違違背情況況；在未經(jīng)授授權或獲獲得明確確同意的的情況下下，用戶戶不可以以嘗試訪訪問公司司內(nèi)部系系統(tǒng)中包包含的任任何數(shù)據(jù)據(jù)或程序序。懲罰違背該策策略可能能導致：員工以以及臨時時工被解解雇、合合同方或或顧問的的雇傭關關系終止止、實習習人員和和志愿者者失去繼繼續(xù)工作作的機會會、學生生被開除除；另外外， 這這些人員員還可能能遭受信信

10、息資源源訪問權權以及公公民權的的損失，甚至遭遭到法律律起訴。引用標準準略2網(wǎng)絡訪訪問策略略發(fā)布部門門信息安全全小組生效時間間20166年111月011日介紹網(wǎng)絡基礎礎設施是是提供給給所有信信息資源源用戶的的中心設設施。重重要的是是這些基基礎設施施（包括括電纜以以及相關關的設備備）要持持續(xù)不斷斷的發(fā)展展以滿足足需求，然而也也要求同同時高速速發(fā)展網(wǎng)網(wǎng)絡 技技術部以以便將來來提供功功能更強強大的用用戶服務務。目 的該策略的的目的是是建立網(wǎng)網(wǎng)絡基礎礎設施的的訪問和和使用規(guī)規(guī)則。這這些規(guī)則則是保持持信息完完整性、可用性性和保密密性所必必需的。適用范圍圍該策略適適用于訪訪問任何何信息資資源的所所有人。術語

11、定義義略網(wǎng)絡訪問策略用戶不可可以以任任何方式式擴散或或再次傳傳播網(wǎng)絡絡服務。未經(jīng)信信息安全全小組批批準不可可以安裝裝路由器器、交換換機、集集線器或或者無線線訪問端端口；在未經(jīng)信信息安全全小組批批準的情情況下，用戶不不可以安安裝提供供網(wǎng)絡服服務的硬硬件或軟軟件；需要網(wǎng)絡絡連接的的計算機機系統(tǒng)必必須符合合信息服服務規(guī)范范；用戶不可可以私自自下載、安裝或或運行安安全程序序或應用用程序，發(fā)現(xiàn)或或揭露系系統(tǒng)的安安全薄弱弱點。例例如，在在以任何何方式連連接到互互聯(lián)網(wǎng)基基礎設施施時，未未經(jīng)信息息安全小小組批準準用戶不不可以運運行口令令破解程程序、監(jiān)監(jiān)聽器、網(wǎng)絡繪繪圖工具具、或端端口掃描描工具；不允許用用戶以

12、任任何方式式更換網(wǎng)網(wǎng)絡硬件件；在局域網(wǎng)網(wǎng)上進行行文件共共享時必必須指定定訪問權權限，機機密信息息嚴禁使使用evveryyonee權限。任何員工工在訪問問網(wǎng)絡資資源時必必須使用用專屬于于自己的的帳號IID，不不得使用用他人的的帳號訪訪問網(wǎng)絡絡資源。網(wǎng)絡分為為辦公網(wǎng)網(wǎng)絡和生生產(chǎn)環(huán)境境網(wǎng)絡，辦公網(wǎng)網(wǎng)絡又分分為日常常辦公網(wǎng)網(wǎng)絡和專專門遠程程訪問網(wǎng)網(wǎng)絡生產(chǎn)環(huán)境境網(wǎng)絡必必須使用用vpnn由專人人專機訪訪問，必必須要提提前向上上級領導導申請報報告不得從生生產(chǎn)環(huán)境境下載拷拷貝等操操作只能從公公司指定定辦公網(wǎng)網(wǎng)絡（公公司專門門的網(wǎng)絡絡通道）訪問遠遠程的服服務器修改遠程程服務器器的內(nèi)容容必須要要提前申申請報告告，

13、且要要有詳細細的操作作步驟懲罰違背該策策略可能能導致：員工以以及臨時時工被解解雇、合合同方或或顧問的的雇傭關關系終止止、實習習人員和和志愿者者失去繼繼續(xù)工作作的機會會、學生生被開除除；另外外， 這這些人員員還可能能遭受信信息資源源訪問權權以及公公民權的的損失，甚至遭遭到法律律起訴。引用標準準略3.訪問問控制策策略發(fā)布部門門信息安全全小組生效時間間20166年111月011日介紹應根據(jù)業(yè)業(yè)務和安安全要求求，控制制對信息息和信息息系統(tǒng)的的訪問。目 的該策略的的目的是是為了控控制對信信息和信信息系統(tǒng)統(tǒng)的訪問問。適用范圍圍該策略適適用于進進行信息息和信息息系統(tǒng)訪訪問的所所有人員員。術語定義義略訪問控制

14、策略公司內(nèi)部部可公開開的信息息不作特特別限定定，允許許所有用用戶訪問問；公司內(nèi)部部分公開開信息，根據(jù)業(yè)業(yè)務需求求訪問，訪問人人員提出出申請，經(jīng)訪問問授權管管理部門門認可，訪問授授權實施施部門實實施后用用戶方可可訪問；公司網(wǎng)絡絡、信息息系統(tǒng)根根據(jù)業(yè)務務需求訪訪問，訪訪問人員員提出申申請，經(jīng)經(jīng)信息安安全小組組認可，實施后后用戶方方可訪問問；信息安全全小組安安全管理理員按規(guī)規(guī)定周期期對訪問問授權進進行檢查查和評審審；訪問權限限應及時時撤銷，如在申申請訪問問時限結結束時、員工聘聘用期限限結束時時、第三三方服務務協(xié)議中中止時；用戶不得得訪問或或嘗試訪訪問未經(jīng)經(jīng)授權的的網(wǎng)絡、系統(tǒng)、文件和和服務；遠程用戶戶

15、應該通通過公司司批準的的連接方方式；在防火墻墻內(nèi)部連連接內(nèi)部部網(wǎng)絡的的計算機機不允許許連接IINTEERNEET ，除非獲獲得信息息安全小小組的批批準；用戶不得得以任何何方式私私自安裝裝路由器器、交換換機、代代理服務務器、無無線網(wǎng)絡絡訪問點點 ( 包括軟軟件和硬硬件 ) 等；在信息網(wǎng)網(wǎng)、外聯(lián)聯(lián)網(wǎng)安裝裝新的服服務 ( 包括括軟件和和硬件 ) 必必須獲得得信息安安全小組組的批準準；用戶不得得私自撤撤除或更更換網(wǎng)絡絡設備。懲罰違背該策策略可能能導致：員工以以及臨時時工被解解雇、合合同方或或顧問的的雇傭關關系終止止、實習習人員和和志愿者者失去繼繼續(xù)工作作的機會會、學生生被開除除；另外外， 這這些人員員

16、還可能能遭受信信息資源源訪問權權以及公公民權的的損失，甚至遭遭到法律律起訴。引用標準準略物理訪問問策略發(fā)布部門門信息安全全小組生效時間間20166年111月011日介紹 技術部部支持人人員、安安全管理理員、IIT管理理員以及及其他人人員可能能因工作作需要訪訪問信息息資源物物理設施施。對信信息資源源設施物物理訪問問的批準準、控制制以及監(jiān)監(jiān)控對于于全局的的安全是是極其重重要的。目 的該策略的的目的是是為信息息資源設設施物理理訪問的的批準、控制、監(jiān)控和和刪除建建立規(guī)則則。適用范圍圍該策略適適用于組組織中負負責信息息資源安安裝和支支持的所所有人員員，負責責信息資資源安全全的人員員以及數(shù)數(shù)據(jù)的所所有者。

17、術語定義義略物理訪問策略所有物理理安全系系統(tǒng)必須須符合相相應的法法規(guī)，但但不僅限限于建設設法規(guī)以以及消防防法規(guī)；對所有受受限制的的信息資資源設施施的物理理訪問必必須形成成文件并并進行控控制；所有信息息資源設設施必須須依據(jù)其其功能的的關鍵程程度或重重要程度度進行物物理保護護；對信息資資源設施施的訪問問必須只只授權給給因職責責需要訪訪問設施施的支持持人員和和合同方方；授權使用用卡和/或鑰匙匙訪問信信息資源源設施的的過程中中必須包包括設施施負責人人的批準準；擁有信息息資源設設施訪問問權的每每一個人人員都必必須接受受設施應應急程序序培訓，并且必必須簽署署相應的的訪問和和不泄密密協(xié)議；訪問請求求必須發(fā)發(fā)

18、自相應應的數(shù)據(jù)據(jù)/系統(tǒng)統(tǒng)所有者者；訪問卡和和/或鑰鑰匙不可可以與他他人共享享或借給給他人；訪問卡和和/或鑰鑰匙不需需要時必必須退還還給信息息資源設設施負責責人。在在退還的的過程中中，卡不不可以再再分配給給另一個個人；訪問卡和和/或鑰鑰匙丟失失或被盜盜必須向向信息資資源設施施的負責責人報告告；卡和/或或鑰匙上上除了退退回的地地址外不不可以有有標志性性信息；所有允許許來賓訪訪問的信信息資源源設施都都必須使使用簽字字出/入入記錄來來追蹤來來賓的訪訪問；信息資源源設施的的持卡訪訪問記錄錄以及來來賓記錄錄必須保保存，并并依據(jù)被被保護信信息資源源的關鍵鍵程度定定期評審審；在持卡和和/或鑰鑰匙的人人員發(fā)生生

19、變化或或離職時時，信息息資源設設施的負負責人必必須刪除除其訪問問權限；在信息資資源設施施的持卡卡訪問區(qū)區(qū)，來賓賓必須由由專人陪陪同；信息資源源設施的的負責人人必須定定期評審審訪問記記錄以及及來賓記記錄，并并要對異異常訪問問進行調(diào)調(diào)查；信息資源源設施的的負責人人必須定定期評審審卡和/或鑰匙匙訪問權權，并刪刪除不再再需要訪訪問的人人員的權權限；對限制訪訪問的房房間和場場所必須須進行標標記，但但是描述述其重要要性的信信息應盡盡可能少少。懲罰違背該策策略可能能導致：員工以以及臨時時工被解解雇、合合同方或或顧問的的雇傭關關系終止止、實習習人員和和志愿者者失去繼繼續(xù)工作作的機會會、學生生被開除除；另外外，

20、 這這些人員員還可能能遭受信信息資源源訪問權權以及公公民權的的損失，甚至遭遭到法律律起訴。引用標準準略供應商訪訪問策略略發(fā)布部門門信息安全全小組生效時間間 20016年年11月月01日日介紹供應商在在支持硬硬件和軟軟件管理理以及客客戶運作作方面有有重要作作用。供供應商可可以遠程程對 數(shù)數(shù)據(jù)和審審核日志志進行評評審、備備份和修修改，他他們可以以糾正軟軟件和操操作系統(tǒng)統(tǒng)中的問問題，可可以監(jiān)控控并調(diào)整整系統(tǒng)性性能，可可以監(jiān)控控硬件性性能和錯錯誤，可可以修改改周遭系系統(tǒng)，并并重新設設置警告告極限。由供應應商設置置的限制制和控制制可以消消除或降降低收入入、信譽譽損失或或遭破壞壞的風險險。目 的該策略的的

21、目的是是為減緩緩供應商商訪問組組織資產(chǎn)產(chǎn)帶來的的風險。適用范圍圍該策略適適用于所所有需要要訪問組組織的供供應商。術語定義義略第三方訪問策略供應商必必須遵守守相應的的策略、操作標標準以及及協(xié)議，包括但但不僅限限于： 安全策略略；保密策略略；審核策略略；信息資源源使用策策略。供應商協(xié)協(xié)議和合合同必須須規(guī)定：供應商應應該訪問問的信息息；供應商怎怎樣保護護信息；合同結束束時供應應商所擁擁有的信信息返回回、毀滅滅或處置置方法；供應商只只能使用用用于商商業(yè)協(xié)議議目的的的信息和和信息資資源；在合同期期間供應應商所獲獲得的任任何信息息都不能能用于供供應商自自己的目目的或泄泄漏給他他人。 應該向信信息安全全小組

22、提提供與供供應商的的合同要要點。合合同要點點能確保保供應商商符合策策略的要要求 ；為供應商商分配類類型，如如IT基基礎組件件運維服服務、系系統(tǒng)維護護服務、網(wǎng)絡維維護服務務等；需定義不不同類型型供應商商可以訪訪問的信信息類型型，以及及如何進進行監(jiān)視視和工作作訪問的的權限；供應商訪訪問信息息的人員員范圍僅僅限于工工作需要要的人員員，授權權需獲得得信息安安全小組組的批準準；供應商權權限人員員不得將將已授權權的身份份識別信信息和相相關設備備透露、借用給給其他人人員，工工作結束束后應該該立即注注銷訪問問權限及及清空資資料；針對與供供應商人人員交互互的組織織人員開開展意識識培訓，培訓內(nèi)內(nèi)容涉及及基于供供應

23、商類類型和 供應商商訪問組組織系統(tǒng)統(tǒng)及信息息級別的的參與規(guī)規(guī)則和行行為；如適合可可與供應應商就關關系中的的信息安安全簽署署保密或或交換協(xié)協(xié)議；每一個供供應商必必須提供供在為合合同工作作的所有有員工清清單。員員工發(fā)生生變更時時必須在在 244 小時時之內(nèi)更更新并提提供；每一個在在組織場場所內(nèi)工工作的供供應商員員工都必必須佩帶帶身份識識別卡。當合同同結束時時，此卡卡應該歸歸還；可以訪問問機密信信息資源源的每一一個供應應商員工工都不能能處理這這些信息息；供應商員員工應該該直接向向恰當?shù)牡娜藛T直直接報告告所有安安全事故故；如果供應應商參與與安全事事故管理理，那么么必須在在合同中中明確規(guī)規(guī)定其職職責；供

24、應商必必須遵守守所有適適用的更更改控制制過程和和程序；定期進行行的工作作任務和和時間必必須在合合同中規(guī)規(guī)定。規(guī)規(guī)定條件件之外的的工作必必須由相相應的管管理者書書面批準準；必須對供供應商訪訪問進行行唯一標標識，并并且對其其進行的的口令管管理必須須符合口口令實施施規(guī)范和和特殊訪訪問實施施規(guī)范。供應商商主要的的工作活活動必須須形成日日志并且且在管理理者需要要的時候候可以訪訪問。日日志的內(nèi)內(nèi)容包括括但不僅僅限于：人員變變化、口口令變化化、項目目進度重重要事件件、啟動動和結束束時；當供應商商員工離離職時，供應商商必須確確保所有有機密信信息在224小時時內(nèi)被收收回或銷銷毀；在合同或或邀請結結束時，供應商商

25、應該將將所有信信息返回回或銷毀毀，并在在 244 小時時內(nèi)提交交一份返返回或銷銷毀的書書面證明明；在合同或或邀請結結束時，供應商商必須立立即交出出所有身身份識別別卡、 訪問卡卡以及設設備和供供應品。由供應應商保留留的設備備和 / 或供供應品必必須被管管理者書書面授權權；要求供應應商必須須遵守所所有規(guī)定定和審核核要求，包括對對供應商商工作的的審核；在提供服服務時，供應商商使用的的所有軟軟件必須須進行相相應的清清點并許許可。懲罰違背該策策略可能能導致：員工以以及臨時時工被解解雇、合合同方或或顧問的的雇傭關關系終止止、實習習人員和和志愿者者失去繼繼續(xù)工作作的機會會、學生生被開除除；另外外，這些些人員

26、還還可能遭遭受信息息資源訪訪問權以以及公民民權的損損失，甚甚至遭到到法律起起訴。引用標準準略雇員訪問問策略發(fā)布部門門信息安全全小組生效時間間20166年111月011日介紹雇員工作作在信息息安全區(qū)區(qū)域，工工作中需需要使用用公司的的各種信信息處理理設施，需要訪訪問公司司的各種種信息資資產(chǎn)，因因此每一一個雇員員有義務務和責任任保護好好公司信信息資產(chǎn)產(chǎn)的安全全。目 的本策略未未訪問本本公司信信息資源源的全體體雇員，這種訪問問是出于業(yè)業(yè)務需要要的，涉及物物理和行行政安全全管理需需求的網(wǎng)網(wǎng)絡連接接、雇員員的職責責及信息息保護的的準則。適用范圍圍該策略適適用于公公司的任任何雇員員，雇員員對信息息資源的的訪

27、問，包括信息息處理設設施設備備和 技技術部資資源。術語定義義略雇員訪問策略 雇員必必須遵守守相應的的策略、操作標標準以及及協(xié)議，包括但但不僅限限于： 信息資資源保密密策略；病毒防防范策略略；可移動動代碼防防范策略略；信息交交換策略略；清潔桌桌面和清清屏策略略；網(wǎng)絡訪訪問策略略；便攜式式計算機機安全策策略； 互聯(lián)網(wǎng)網(wǎng)使用策策略；電子郵郵件策略略。雇員在意意識到有有安全事事件發(fā)生生時應該該第一時時間向上上層領導導報告；雇員應該該直接向向恰當?shù)牡娜藛T直直接報告告所有安安全事故故；雇員必須須遵守所所有適用用的變更更管理程程序；當雇員離離職時，必須確確保所有有機密信信息在224小時時內(nèi)被收收回或銷銷毀；

28、在合同結結束時，雇員應應該將所所有信息息返回或或銷毀，并在 24 小時內(nèi)內(nèi)提交一一份返回回或銷毀毀的書面面證明，并由資資產(chǎn)責任任人簽字字認可；在合同結結束時，雇員必必須立即即交出所所有身份份識別卡卡、訪問問卡以及及設備和和供應品品。由雇雇員保管管的設備備和 /或供應應品的回回收必須須由資產(chǎn)產(chǎn)責任人人簽字認認可；要求雇員員必須遵遵守所有有規(guī)定和和審核要要求。懲罰違背該方方針可能能導致：員工被被解雇、合同方方或顧問問的雇傭傭關系終終止、實實習人員員失去繼繼續(xù)工作作的機會會、員工工受到經(jīng)經(jīng)濟性懲懲罰等；另外，這些人人員的信信息資源源訪問權權以及公公民權可可能受到到侵害，甚至遭遭到法律律起訴。引用標準

29、準略設備及布布纜安全全策略發(fā)布部門門信息安全全小組生效時間間 20016年年11月月01日日介紹網(wǎng)絡基礎礎設施是是向所有有信息資資源用戶戶提供服服務的中中心設施施。這些些基礎設設施（包包括電源源饋送和和數(shù)據(jù)傳傳輸?shù)碾婋娎|以及及相關的的設備）需要持持續(xù)不斷斷的發(fā)展展以滿足足用戶需需求，然然而同時時也要求求網(wǎng)絡 技術部部高速發(fā)發(fā)展以便便將來能能夠提供供功能更更強大的的用戶服服務。目 的該方針的的目的保保護設備備免受物物理的和和環(huán)境的的威脅，減少未未授權訪訪問信息息的風險險。防止止資產(chǎn)的的丟失、損壞、失竊或或危及資資產(chǎn)安全全以及組組織活動動的中斷斷；為了安置置或保護護設備，以減少少由環(huán)境境威脅和和危

30、險所所造成的的各種風風險以及及未授權權訪問的的機會；為了保護護設備使使其免于于由支持持性設施施的失效效而引起起的電源源故障和和其他中中斷，應應有足夠夠的支持持性設施施（供電電、供水水、通風風和空調(diào)調(diào)等）來來支持系系統(tǒng)；為了保證證傳輸數(shù)數(shù)據(jù)或支支持信息息服務的的電源布布纜和通通信布纜纜免受竊竊聽或損損壞，電電源饋送送和數(shù)據(jù)據(jù)通訊的的電纜必必須確保保安全；為了確保保設備持持續(xù)的可可用性和和完整性性，設備備應予以以正確地地維護；為了對組組織非現(xiàn)現(xiàn)場設備備采取安安全措施施，要考考慮工作作在組織織場所以以外的不不同風險險；為了確保保涉密信信息不泄泄露，在在存儲介介質銷毀毀之前，任何機機密信息息和注冊冊軟

31、件已已被刪除除或安全全重寫；為了確保保涉密信信息不泄泄露，設設備、信信息或軟軟件在授授權之前前不應帶帶出組織織場所。適用范圍圍該方針適適用于網(wǎng)網(wǎng)絡設備備設施的的建設和和維護人人員。術語定義義略設備及布纜安全策略設備安置置和保護護方針設備應進進行適當當安置，以盡量量減少不不必要的的對工作作區(qū)域的的訪問；應把處理理機密數(shù)數(shù)據(jù)的信信息處理理設施放放在適當當?shù)南拗浦朴^測的的位置，以減少少在其使使用期間間信息被被窺視的的風險，還應保保護儲存存設施以以防止未未授權訪訪問；要求專門門保護的的部件要要予以隔隔離，以以降低所所要求的的總體保保護等級級；應采取控控制措施施以減小小潛在的的物理威威脅的風風險，例例如

32、偷竊竊、火災災、爆炸炸、煙霧霧、水（或供水水故障）、塵埃埃、振動動、化學學影響、電源干干擾、通通信干擾擾、電磁磁輻射和和故意破破壞；對于可能能對信息息處理設設施運行行狀態(tài)產(chǎn)產(chǎn)生負面面影響的的環(huán)境條條件（例例如溫度度和濕度度）要予予以監(jiān)視視；所有建筑筑物都應應采用避避雷保護護；應保護處處理機密密信息的的設備，以減少少由于輻輻射而導導致信息息泄露的的風險；支持性設設施方針針支持性設設施應定定期檢查查并適當當?shù)臏y試試以確保保他們的的功能，減少由由于他們們的故障障或失效效帶來的的風險。應按照照設備制制造商的的說明提提供合適適的供電電；對支持關關鍵業(yè)務務操作的的設備，必須使使用支持持有序關關機或連連續(xù)運

33、行行的不間間斷電源源（UPPS）；電源應急急計劃要要包括UUPS故故障時要要采取的的措施。UPSS設備和和發(fā)電機機要定期期地檢查查，以確確保它們們擁有足足夠能力力，并按按照制造造商的建建議予以以測試；布纜安全全方針：進入信息息處理設設施的電電源和通通信線路路宜在地地下，若若可能，或提供供足夠的的可替換換的保護護；網(wǎng)絡布纜纜要免受受未授權權竊聽或或損壞，例如，利用電電纜管道道或使路路由避開開公眾區(qū)區(qū)域；為了防止止干擾，電源電電纜要與與通信電電纜分開開；使用清晰晰的可識識別的電電纜和設設備記號號，以使使處理失失誤最小小化，例例如，錯錯誤網(wǎng)絡絡電纜的的意外配配線；用文件化化配線列列表減少少失誤的的可

34、能性性；對于機密密的或關關鍵的系系統(tǒng)，更更進一步步的控制制考慮應應包括：* 在檢檢查點和和終接點點處安裝裝鎧裝電電纜管道道和上鎖鎖的房間間或盒子子；* 使用用可替換換的路由由選擇和和/或傳傳輸介質質，以提提供適當當?shù)陌踩胧? 使用用纖維光光纜；* 使用用電磁防防輻射裝裝置保護護電纜；* 對于于電纜連連接的未未授權裝裝置要主主動實施施 技術術部清除除、物理理檢查；* 控制制對配線線盤和電電纜室的的訪問；設備維護護方針要按照供供應商推推薦的服服務時間間間隔和和規(guī)范對對設備進進行維護護；只有已授授權的維維護人員員才可對對設備進進行修理理和服務務；要保存所所有可疑疑的或實實際的故故障以及及所有預

35、預防和糾糾正維護護的記錄錄；當對設備備安排維維護時，應實施施適當?shù)牡目刂?，要考慮慮維護是是由場所所內(nèi)部人人員執(zhí)行行還是由由外部人人員執(zhí)行行；當需需要時，機密信信息需要要從設備備中刪除除或者維維護人員員應該是是足夠可可靠的；應遵守由由保險策策略所施施加的所所有要求求。組織場所所外的設設備安全全方針無論責任任人是誰誰，在組組織場所所外使用用任何信信息處理理設備都都要通過過管理者者授權；離開建筑筑物的設設備和介介質在公公共場所所不應無無人看管管。在旅旅行時便便攜式計計算機要要作為手手提行李李攜帶，若可能能宜偽裝裝起來；制造商的的設備保保護說明明要始終終加以遵遵守，例例如，防防止暴露露于強電電磁場內(nèi)內(nèi)

36、；家庭工作作的控制制措施應應根據(jù)風風險評估估確定，當適合合時，要要施加合合適的控控制措施施，例如如，可上上鎖的存存檔柜、清理桌桌面策略略、對計計算機的的訪問控控制以及及與辦公公室的安安全通信信；足夠的安安全保障障掩蔽物物宜到位位，以保保護離開開辦公場場所的設設備。安安全風險險在不同同場所可可能有顯顯著不同同，例如如，損壞壞、盜竊竊和截取取，要考考慮確定定最合適適的控制制措施。設備的安安全處置置和再利利用方針針包含機密密信息的的設備在在物理上上應予以以摧毀，或者采采用使原原始信息息不可獲獲取的 技術部部破壞、刪除、覆蓋信信息，而而不能采采用標準準的刪除除或格式式化功能能；包含機密密信息的的已損壞

37、壞的設備備可能需需要實施施風險評評估，以以確定這這些設備備是否要要進行銷銷毀、而而不是送送去修理理或丟棄棄。資產(chǎn)移動動方針在未經(jīng)事事先授權權的情況況下，不不允許讓讓設備、信息或或軟件離離開辦公公場所；應明確識識別有權權允許資資產(chǎn)移動動，離開開辦公場場所的雇雇員、承承包方人人員和供供應商人人員；應設置設設備移動動的時間間限制，并在返返還時執(zhí)執(zhí)行符合合性檢查查；若需要并并合適，要對設設備作出出移出記記錄，當當返回時時，要作作出送回回記錄；應執(zhí)行檢檢測未授授權資產(chǎn)產(chǎn)移動的的抽查，以檢測測未授權權的記錄錄裝置，防止他他們進入入辦公場場所。這這樣的抽抽查應按按照相關關規(guī)章制制度執(zhí)行行。應讓讓每個人人都知

38、道道將進行行抽查，并且只只能在法法律法規(guī)規(guī)要求的的適當授授權下執(zhí)執(zhí)行檢查查。懲罰違背該方方針可能能導致：員工被被解雇、合同方方或顧問問的雇傭傭關系終終止、實實習人員員失去繼繼續(xù)工作作的機會會、員工工受到經(jīng)經(jīng)濟性懲懲罰等；另外，這些人人員的信信息資源源訪問權權以及公公民權可可能受到到侵害，甚至遭遭到法律律起訴。引用標準準略變更管理理安全策策略發(fā)布部門門信息安全全小組生效時間間20166年111月011日介紹信息資源源基礎設設施正在在逐步擴擴大并且且越來越越復雜。越來越越多的人人依賴網(wǎng)網(wǎng)絡、更更多的客客戶服務務機構、未升級級和擴展展的管理理系統(tǒng)以以及更多多應用程程序 。由于信信息資源源基礎設設施之

39、間間的互相相依賴程程度越來來越高，因此有有必要加加強變更更管理過過程。 有時每每一個信信息資源源組成部部分需要要暫停運運行，按按計劃進進行升級級、維護護或調(diào)整整，另外外也可能能由于為為計劃的的升級、維護或或調(diào)整而而導致暫暫停運行行。管理理這些變變更是提提供堅固固的、有有價值的的信息資資源基礎礎設施的的關鍵組組成部分分。目 的該策略的的目的是是以一種種合理的的、可預預知的方方式管理理變更，以便員員工和客客戶能進進行相應應的計劃劃。變更更需要事事先嚴格格計劃、仔細監(jiān)監(jiān)控并要要進行追追蹤評價價，以降降低對用用戶群的的負面影影響，增增加信息息資源的的價值。適用范圍圍該策略適適用于安安裝、操操作或維維護

40、信息息資源的的所有人人員。術語定義義略變更管理安全策略對信息資資源的每每一次變變更，如如操作系系統(tǒng)、計計算機硬硬件、網(wǎng)網(wǎng)絡以及及應用程程序都要要服從變變更管理理策略，并且必必須遵守守變更管管理程序序；所有影響響計算機機環(huán)境設設備的變變更(如如空調(diào)、水、熱熱、管道道、電)需要向向變更管管理過程程的領導導者報告告，并與與之協(xié)調(diào)調(diào)處理；無論是事事先有計計劃的變變更還是是事先無無計劃的的變更必必須都提提交書面面的變更更申請；所有事先先有計劃劃的變更更申請必必須按照照變更管管理程序序的規(guī)定定提交，以便信信息安全全小組有有足夠的的時間評評審申請請，確定定并重新新評審潛潛在的失失敗，并并決定申申請被批批準還

41、是是延期執(zhí)執(zhí)行；每一個事事先計劃劃的變更更申請在在執(zhí)行前前必須受受到信息息安全小小組的正正式批準準；指定的信信息安全全小組領領導在下下列情況況下有權權拒絕任任何申請請：不充充分的策策劃、不不充分的的刪除計計劃、變變更的時時間等會會對關鍵鍵的業(yè)務務過程造造成負面面影響，或者會會造成沒沒有充分分的資源源可用；在變更管管理程序序實施前前，必須須完成對對所有客客戶的通通知；每一次變變更必須須進行變變更評審審，無論論是計劃劃還是未未計劃的的，成功功的還是是失敗的的；所有變更更必須保保留變更更管理日日志，必必須保留留的日志志包括但但不限于于下列內(nèi)內(nèi)容：變更的提提交和執(zhí)執(zhí)行日期期；所有者和和保管者者信息；變

42、更的特特性；成功或失失敗的標標志。所有信息息系統(tǒng)必必須遵照照上述規(guī)規(guī)定進行行信息資資源的變變更。懲罰違背該策策略可能能導致：員工以以及臨時時工被解解雇、合合同方或或顧問的的雇傭關關系終止止、實習習人員和和志愿者者失去繼繼續(xù)工作作的機會會、學生生被開除除；另外外，這些些人員還還可能遭遭受信息息資源訪訪問權以以及公民民權的損損失，甚甚至遭到到法律起起訴。引用標準準略病毒防范范策略發(fā)布部門門信息安全全小組生效時間間20166年111月011日介紹計算機安安全事故故的數(shù)量量以及由由業(yè)務中中斷服務務恢復所所導致的的費用日日益攀升升。實施施穩(wěn)固的的安全策策略，防防止對網(wǎng)網(wǎng)絡和計計算機不不必要的的訪問，較早

43、的的發(fā)現(xiàn)并并減輕安安全事故故可以有有效地降降低風險險以及安安全事故故造成的的費用。目 的該策略的的目的是是描述計計算機病病毒、蠕蠕蟲以及及特洛伊伊木馬防防御、檢檢測以及及清除的的要求。適用范圍圍該策略適適用于使使用信息息資源的的所有人人員。術語定義義略病毒防范策略所有連接接到局域域網(wǎng)的工工作站必必須使用用信息安安全小組組批準的的病毒保保護軟件件和配置置；病毒保護護軟件必必須不能能被禁用用或被繞繞過；病毒保護護軟件的的更改不不能降低低軟件的的有效性性；不能為了了降低病病毒保護護軟件的的自動更更新頻率率而對其其進行更更改；與局域網(wǎng)網(wǎng)連接的的每一個個文件服服務器必必須使用用信息安安全小組組批準的的病

44、毒保保護軟件件，并要要進行設設置檢測測、清除除可能感感染共享享文件的的病毒；由病毒保保護軟件件不能自自動清除除并引起起安全事事故的病病毒，必必須向信信息安全全小組報報告。懲罰違背該策策略可能能導致：員工以以及臨時時工被解解雇、合合同方或或顧問的的雇傭關關系終止止、實習習人員和和志愿者者失去繼繼續(xù)工作作的機會會、學生生被開除除；另外外， 這這些人員員還可能能遭受信信息資源源訪問權權以及公公民權的的損失，甚至遭遭到法律律起訴。引用標準準略可移動代代碼防范范策略發(fā)布部門門信息安全全小組生效時間間20166年111月011日介紹未經(jīng)授權權的移動動代碼危危害信息息系統(tǒng)，應實施施對惡意意代碼的的監(jiān)測、預防

45、和和恢復控控制，以以及適當當?shù)挠脩魬粢庾R培培訓。目 的該策略的的目的阻阻止和發(fā)發(fā)現(xiàn)未經(jīng)經(jīng)授權的的移動代代碼的引引入，實實施對惡惡意代碼碼的監(jiān)測測、預防防和恢復復控制。適用范圍圍該策略適適用于使使用信息息資源的的所有人人員。術語定義義略可移動代碼防范策略禁止使用用未經(jīng)授授權的軟軟件。防范經(jīng)過過外部網(wǎng)網(wǎng)絡或任任何其它它媒介引引入文件件和軟件件相關的的風險，并采取取適當?shù)牡念A防措措施。定期對支支持關鍵鍵業(yè)務過過程的系系統(tǒng)中的的軟件和和數(shù)據(jù)進進行評審審；無論論出現(xiàn)任任何未經(jīng)經(jīng)驗收的的文件或或者未經(jīng)經(jīng)授權的的修改，都要進進行正式式調(diào)查。安裝并定定期升級級防病毒毒的檢測測軟件和和修復軟軟件，定定期掃描描計

46、算機機和存儲儲介質，檢測應應包括： 在使用前前，對存存儲媒體體，以及及通過網(wǎng)網(wǎng)絡接收收的文檔檔進行惡惡意代碼碼檢測；在使用前前，通過過郵件服服務器對對電子郵郵件附件件及下載載文件進進行惡意意代碼檢檢測；信息安全全小組負負責惡意意代碼防防護、使使用培訓訓、病毒毒襲擊和和恢復報報告。為從惡意意代碼攻攻擊中恢恢復，需需要制定定適當?shù)牡臉I(yè)務持持續(xù)性計計劃。包包括所有有必要的的數(shù)據(jù)、軟件備備份以及及恢復安安排。信息安全全小組應應制定并并實施文文件化的的程序，驗證所所有與惡惡意軟件件相關的的信息并并且確保保警報公公告的內(nèi)內(nèi)容準確確詳實。管理員員應當確確保使用用合格的的信息資資源，防防止引入入真正的的惡意代

47、代碼。所所有用戶戶應有防防欺騙的的意識，并知道道收到欺欺騙信息息時如何何處置。懲罰違背該策策略可能能導致：員工以以及臨時時工被解解雇、合合同方或或顧問的的雇傭關關系終止止、實習習人員和和志愿者者失去繼繼續(xù)工作作的機會會、學生生被開除除；另外外， 這這些人員員還可能能遭受信信息資源源訪問權權以及公公民權的的損失，甚至遭遭到法律律起訴。引用標準準略信息備份份安全策策略發(fā)布部門門信息安全全小組生效時間間20166年111月011日介紹電子備份份是一項項必需的的業(yè)務要要求，能能使數(shù)據(jù)據(jù)和應用用程序在在發(fā)生意意想不到到的事件件時得以以恢復，這些事事件包括括：自然然災害、系統(tǒng)磁磁盤故障障、間諜諜活動、數(shù)據(jù)

48、輸輸入錯誤誤或系統(tǒng)統(tǒng)操作錯錯誤等。目 的該策略的的目的是是設置電電子信息息的備份份和存儲儲職責。適用范圍圍該策略適適用于組組織中負負責信息息資源安安裝和支支持的所所有人員員，以及及負責信信息資源源安全的的人員和和數(shù)據(jù)所所有者。術語定義義略信息備份安全策略信息備份份周期和和方式必必須依據(jù)據(jù)信息的的重要性性以及數(shù)數(shù)據(jù)所有有者確定定的可接接受風險險確定；供應商提提供的場場所外備備份存儲儲必須達達到信息息存儲的的最高等等級；場所外備備份存儲儲區(qū)的物物理訪問問控制的的實施必必須滿足足并超過過原系統(tǒng)統(tǒng)的物理理訪問控控制，另另外備份份介質必必須依據(jù)據(jù)信息存存儲的最最高安全全等級進進行保護護 ；必須建立立并實

49、施施對電子子信息備備份成功功與否的的驗證過過程；必須對場場所外備備份存儲儲供應商商每年進進行評審審；為了容易易識別介介質和或關聯(lián)聯(lián)系統(tǒng)，備份介介質至少少應該被被標注下下列信息息：系統(tǒng)名；創(chuàng)建日期期；機密度分分級以以相應的的電子記記錄保持持法規(guī)為為基礎；包含的信信息。懲罰違背該策策略可能能導致：員工以以及臨時時工被解解雇、合合同方或或顧問的的雇傭關關系終止止、實習習人員和和志愿者者失去繼繼續(xù)工作作的機會會、學生生被開除除；另外外， 這這些人員員還可能能遭受信信息資源源訪問權權以及公公民權的的損失，甚至遭遭到法律律起訴。引用標準準略網(wǎng)絡配置置安全策策略發(fā)布部門門信息安全全小組生效時間間20166年

50、111月011日介紹網(wǎng)絡基礎礎設施是是提供給給所有信信息資源源用戶的的中心設設施。重重要的是是這些基基礎設施施（包括括電纜以以及相關關的設備備，如路路由器、交換機機）要持持續(xù)不斷斷的發(fā)展展以滿足足用戶需需求，然然而也要要求同時時高速發(fā)發(fā)展網(wǎng)絡絡 技術術部以便便將來提提供功能能更強大大的用戶戶服務。目 的該策略的的目的是是為網(wǎng)絡絡基礎設設施的維維護、擴擴展以及及使用建建立規(guī)則則。該規(guī)規(guī)則是保保持信息息完整性性、可用用性和保保密性所所必需的的。適用范圍圍該策略適適用于訪訪問信息息資源的的所有人人。術語定義義略網(wǎng)絡配置安全策略信息安全全小組擁擁有網(wǎng)絡絡基礎設設施并對對其負責責，而且且還要對對基礎設設

51、施的發(fā)發(fā)展和增增加進行行管理；為了提供供穩(wěn)固的的網(wǎng)絡基基礎設施施，所有有電纜必必須由信信息安全全小組或或被認可可的合同同方安裝裝；所有網(wǎng)絡絡連接設設備必須須按照改改為：信信息安全全小組批批準的規(guī)規(guī)范進行行配置；所有連接接到網(wǎng)絡絡的硬件件必須服服從信息息安全小小組的管管理和監(jiān)監(jiān)控標準準；在沒有信信息安全全小組批批準的情情況下，不能對對活動的的網(wǎng)絡管管理設備備的配置置進行更更改；網(wǎng)絡基礎礎設施支支持一系系列合理理定義的的、被認認可的網(wǎng)網(wǎng)絡協(xié)議議。使用用任何未未經(jīng)認可可的協(xié)議議都必須須經(jīng)過信信息安全全小組的的批準；支持協(xié)議議的網(wǎng)絡絡地址由由信息安安全小組組集中分分配、注注冊和管管理；網(wǎng)絡基礎礎設施與

52、與外部供供應商網(wǎng)網(wǎng)絡的所所有連接接都由信信息安全全小組負負責。這這包括與與外部電電話網(wǎng)絡絡的連接接；信息安全全小組的的防火墻墻必須按按照防火火墻實施施規(guī)范文文件進行行安裝和和配置；在未獲得得信息安安全小組組書面授授權的情情況下，部門不不得使用用防火墻墻；用戶不可可以以任任何方式式擴散或或再次傳傳播網(wǎng)絡絡服務。這就意意味著未未經(jīng)信息息安全小小組批準準不可以以安裝路路由器、交換機機、集線線器或者者無線訪訪問端口口；在未經(jīng)信信息安全全小組批批準的情情況下，用戶不不得安裝裝網(wǎng)絡硬硬件或軟軟件提供供網(wǎng)絡服服務；不允許用用戶以任任何方式式更換網(wǎng)網(wǎng)絡硬件件。懲罰違背該策策略可能能導致：員工以以及臨時時工被解

53、解雇、合合同方或或顧問的的雇傭關關系終止止、實習習人員和和志愿者者失去繼繼續(xù)工作作的機會會、學生生被開除除；另外外， 這這些人員員還可能能遭受信信息資源源訪問權權以及公公民權的的損失，甚至遭遭到法律律起訴。引用標準準略信息交換換策略發(fā)布部門門信息安全全小組生效時間間20166年111月011日介紹在組織之之間交換換信息和和軟件應應當遵守守根據(jù)交交換協(xié)議議所制定定的正式式的交換換方針，并且應應當服從從所有相相關的法法律。目 的保持在組組織內(nèi)部部及任何何外部機機構之間間所交換換的信息息和軟件件的安全全。適用范圍圍該策略適適用于進進行信息息交換的的所有人人員。術語定義義略信息交換策略不能在公公共場所

54、所或者敞敞開的辦辦公室、沒有屋屋頂防護護的會議議室談論論機密信信息。對信息交交流應作作適當?shù)牡姆婪?，如不要要暴露機機密信息息，避免免被通過過電話偷偷聽或截截取。員工、合合作方以以及任何何其他用用戶不得得損害本本局的利利益，如如誹謗、騷擾、假冒、未經(jīng)授授權的采采購等。不得將包包含機密密信息的的訊息放放在自動動應答系系統(tǒng)中。不得將機機密或關關鍵信息息放在打打印設施施上，如如復印機機、打印印機和傳傳真，防防止未經(jīng)經(jīng)授權人人員的訪訪問。做應用系系統(tǒng)之間間接口、協(xié)議時時，不能能影響雙雙方應用用的正常常運行；在實施施之前應應充分考考慮應用用系統(tǒng)的的資源是是否足夠夠；保證證數(shù)據(jù)交交換的權權限最小小化。在進行

55、與與相關方方信息交交換時，需提前前指定雙雙方的信信息交換換人員、交換方方式、交交換保密密方法，以防止止信息的的泄露。懲罰違背該策策略可能能導致：員工以以及臨時時工被解解雇、合合同方或或顧問的的雇傭關關系終止止、實習習人員和和志愿者者失去繼繼續(xù)工作作的機會會、學生生被開除除；另外外， 這這些人員員還可能能遭受信信息資源源訪問權權以及公公民權的的損失，甚至遭遭到法律律起訴引用標準準略運輸中物物理介質質安全策策略發(fā)布部門門信息安全全小組生效時間間20166年111月011日介紹物理介質質是信息息資源的的載體，在運送送過程中中必須對對其安全全進行管管理。建建立該方方針是為為了確保保包含信信息的介介質在

56、組組織的物物理邊界界以外運運送時，防止未未授權的的訪問、不當?shù)牡氖褂没蚧驓?。?的略適用范圍圍該方針適適用于在在組織安安全邊界界外運輸輸組織物物理介質質的所有有人員。術語定義義略運輸中物理介質安全策略應考慮下下列方針針以保護護不同地地點間傳傳輸?shù)男判畔⒔橘|質：應使用可可靠的運運輸或送送信人；授權的送送信人列列表應經(jīng)經(jīng)管理者者批準；包裝要足足以保護護信息免免遭在運運輸期間間可能出出現(xiàn)的任任何物理理損壞，并且符符合制造造商的規(guī)規(guī)范（例例如軟件件），例例如防止止可能減減少介質質恢復效效力的任任何環(huán)境境因素，例如暴暴露于過過熱、潮潮濕或電電磁區(qū)域域；若需要，應采取取專門的的控制，以保護護機密信信息免

57、遭遭未授權權泄露或或修改；例子包包括：使用可上上鎖的容容器；手工交付付；防篡改的的包裝（它可以以揭示任任何想獲獲得訪問問的企圖圖）；在異常情情況下，把托運運貨物分分解成多多次交付付，并且且通過不不同的路路線發(fā)送送。懲罰違背該方方針可能能導致：員工被被解雇、合同方方或顧問問的雇傭傭關系終終止、實實習人員員失去繼繼續(xù)工作作的機會會、員工工受到經(jīng)經(jīng)濟性懲懲罰等；另外，這些人人員的信信息資源源訪問權權以及公公民權可可能受到到侵害，甚至遭遭到法律律起訴。引用標準準略電子郵件件策略發(fā)布部門門信息安全全小組生效時間間20166年111月011日介紹信息資源源是組織織的資產(chǎn)產(chǎn)，必須須對其進進行有效效地管理理，

58、因而而建立該該策略是是為了：確保員工工知曉在在 Emmaill 的過過程中好好的操作作方法；明確 EEmaiil 使使用過程程中的責責任。目 的為了建立立某公司司的 EEmaiil 使使用規(guī)則則，保證證 Emmaill 的合合理發(fā)送送、收取取和存儲儲。適用范圍圍該策略適適用于被被批準的的、能夠夠通過 Emaail 發(fā)送、收取和和存儲信信息的所所有人員員。術語定義義略電子郵件策略下列行為為是策略略所禁止止的： 發(fā)送或者者轉發(fā)虛虛假、黃黃色、反反動信息息；發(fā)送或者者轉發(fā)宣宣揚個人人政治傾傾向或者者宗教信信仰；發(fā)送或者者轉發(fā)發(fā)發(fā)送垃圾圾信息；發(fā)送或者者轉發(fā)能能夠引起起連鎖發(fā)發(fā)送的恐恐嚇、祝祝賀等信信

59、息；Emaiil 附附件大小小超過限限制100M；發(fā)送口令令、密鑰鑰、信用用卡等的的機密信信息；用個人信信息處理理設備收收發(fā)公司司內(nèi)部 Emaail ；用公司外外部賬號號發(fā)送、轉發(fā)、收取公公司機密密信息；在非授權權情況下下以公司司的名義義發(fā)表個個人意見見；發(fā)送或者者轉發(fā)可可能有計計算機病病毒的信信息；使用非授授權的電電子郵件件收發(fā)軟軟件；下列行為為是策略略所要求求的： 每位員工工都有一一個 EEmaiil 賬賬號，賬賬號密碼碼必須符符合口令令策略的的相關規(guī)規(guī)定；用 Emmaill 經(jīng)過過外部網(wǎng)網(wǎng)絡發(fā)送送機密信信息必須須經(jīng)過加加密，加加密必須須符合加加密策略略的相關關規(guī)定；發(fā)送 EEmaiil

60、必必須有清清楚的主主題；Emaiil 的的處理和和存儲必必須符合合信息的的分類、標識和和存儲策策略的相相關規(guī)定定；管理授權權 公司有權權對職員員的 EEmaiil 進進行監(jiān)視視和記錄錄；公司有權權對 EEmaiil 的的內(nèi)容進進行存儲儲備份以以用于法法律目的的；懲罰違背該策策略可能能導致：員工以以及臨時時工被解解雇、合合同方或或顧問的的雇傭關關系終止止、實習習人員和和志愿者者失去繼繼續(xù)工作作的機會會、學生生被開除除；另外外， 這這些人員員還可能能遭受信信息資源源訪問權權以及公公民權的的損失，甚至遭遭到法律律起訴。引用標準準略信息安全全監(jiān)控策策略發(fā)布部門門信息安全全小組生效時間間20166年11