网络信息通信和操作管理制度

1、网络信息通信和操作管理制度 9.1 操作程序和职责 9.1.1 规范的操作程序 第80条 必须为所有的业务系统建立操作程序，其内容包括但不限于： 1)系统重启、备份和恢复的措施 2)一般性错误处理的操作指南 3)技术支持人员的联系方法 4)与其它系统的依赖性和处理的优先级 5)硬件的配臵管理 第81条 操作程序必须征得管理者的同意才能对其进行修改。操作程序必须及时更新，更新条件包括但不限于： 1)应用软件的变更 2)硬件配臵的变更 9.1.2 变更控制 第82条 必须建立变更管理程序来控制系统的变更，所有变更都必须遵守变更管理程序的要求。程序内容包括但不限于 1)识别和记录变更请求 2)评估变更的可行性、变更计划和可能带来的潜在影响 3)变更的测试 4)审批的流程 5)明确变更失败的恢复计划和责任人 6)变更的验收 第83条 重要变更必须制定计划，并在测试环境下进行足够的测试后，才能在生产系统中实施。所有变更必须包括变更失败的应对措施和恢复计划。所有变更必须获得授权和批准，变更的申请和审批不得为同一个员工。对变更需要涉及的硬件、软件和信息等对象都应标识出来并进行相应评估。变更在实施前必

2、须通知到相关人员。 第84条 变更的实施应该安排在对业务影响最小的时间段进行，尽量减少对业务正常运营的影响。在生产系统安装或更新软件前，必须对系统进行备份。变更完成后，相关的文档（如系统需求文档、设计文档、操作手册、用户手册等）必须得到更新，旧的文档必须进行备份。 第85条 必须对变更进行复查，以确保变更没有对原来的系统环境造成破坏。必须完整记录整个变更过程，并将其妥善保管。变更的记录应至少每月复查一次。 9.1.3 职责分离 第86条 系统管理员和系统开发人员的职责必须明确分开。同一处理过程中的重要任务不应该由同一个人来完成，以防止欺诈和误操作的发生。 第87条 所有职责分离的控制必须记录归档，作为责任分工的依据。无法采取职责分离时，必须采取其它的控制，比如活动监控、审核跟踪评估以及管理监督等。 9.1.4 开发、测试和生产系统分离 第88条 不应给开发人员提供超过其开发所需范围的权限。如果开发人员需要访问生产系统，必须经过运营人员的授权和管理。 第89条 生产、测试和开发应分别使用不同的系统环境。开发人员不得在生产环境中更改编码或操作生产系统。不得在生产系统上擅自安装开发工具（比如

3、编译程序及其他系统公用程序等），并做好已有开发工具的访问控制。开发和测试环境使用的测试数据不能包含有敏感信息。 9.1.5 事件管理程序 第90条 必须建立事件管理程序，并根据事件影响的严重程度制订其所属类别，同时说明相应的处理方法和负责人。必须根据事件的严重程度，定义响应的范围、时间和完成事件处理的时间。 第91条 系统的修复必须得到系统管理者的批准方可执行。 第92条 所有事件报告必须记录归档，并由部门主管或指定人员妥善保管。必须对事件的处理情况进行监控，对超时的处理提出改进建议并跟进改进效果。 9.2 第三方服务交付管理 9.2.1 服务交付 第93条 第三方提供的服务必须满足安全管理制度的要求。第三方提供的服务必须满足公司业务连续性的要求。 第94条 必须保留第三方提供的服务、报告和记录并定期评审，至少每半年一次。评审内容应包括：1) 服务内容和质量是否满足合同要求； 2) 服务报告是否真实。 9.2.2 第三方服务的变更管理 第95条 服务改变时，必须重新对服务是否满足安全管理办法进行评估。在服务变更时需要考虑： 1) 服务价格的增长； 2) 新的服务需求； 3) 公司信息安

4、全管理制度的变化； 4) 公司在信息安全方面新的控制。 9.3 针对恶意软件的保护措施 9.3.1 对恶意软件的控制 第96条 必须建立一套病毒防治体系，以便防止病毒对公司带来的影响。所有服务器、个人电脑和笔记本电脑都应该安装公司规定的防病毒软件，并及时更新防病毒软件。所有存进计算机的信息（例如接收到的邮件、下载的文件等）都必须经过病毒扫描。员工和第三方厂商从外界带来的存储介质在使用之前必须进行病毒扫描。 第97条 所有员工都应该接受防病毒知识的培训和指导。 第98条 公司内发现的病毒、计算机或应用程序的异常行为，都必须作为安全事件进行报告。 第99条 必须定期审核控制恶意软件措施的有效性。一旦发现感染病毒，必须立刻把机器从网络中断开。在病毒没有被彻底清除之前，严禁将其重新连接到网络上。 9.4 备份 9.4.1 信息备份 第100条 所有服务器、个人电脑和笔记本电脑必须根据业务需求定期进行备份。系统在重大变更之前和之后必须进行备份。 第101条 备份管理办法必须获得管理层的审批以确保符合业务需求。备份管理办法必须至少每季度进行一次复查，以确保没有发生未授权或意外的更改。 第102条

5、应该保留多于1个备份周期的备份，但重要业务信息应至少保留3个备份周期的备份。备份资料和相应的恢复操作手册必须定期传送到异地进行保存。异地必须与主站点有一定的距离，以避免受主站点的灾难波及。 第103条 必须对异地保存的备份信息实施安全保护措施，其保护标准应和主站点相一致。必须定期测试备份介质，确保其可用性。必须定期检查和测试恢复步骤，确保它们的有效性。备份系统必须进行监控，以确保其稳定性和可用性。 9.5 网络管理 9.5.1 网络控制 第104条 网络管理和操作系统管理的职责应该彼此分离，并由不同的员工承担。必须明确定义网络管理的职责和义务。只有得到许可的员工才能够使用网络管理系统。 第105条 必须建立相应的控制机制，保护路由表和防火墙安全管理办法等网络参数的完整性。保护通过公网传送敏感数据的机密性、完整性和可用性。 第106条 进行网络协议兼容性的评估时应考虑将来新增网络设备的要求。任何准备接进网络的新设备，在进网前都必须通过协议兼容性的评估和安全检查。 第107条 必须对网络进行监控和管理。所有网络故障都必须向上级报告。 第108条 必须建立互联网的访问管理办法。除非得到授权，

6、否则禁止访问外部网络的服务。 9.6 介质的管理 9.6.1 可移动介质的管理 第109条 可移动计算机存储介质（比如磁带、光盘等）必须有适当的访问控制。存储介质上必须设臵标签，以标识其类型和用途。标签应使用代码，以避免直接标识存储介质上的内容。标识用的代码需要记录并归档。 第110条 必须建立和维护介质清单，并对介质的借用和归还进行记录。应确保备有足够的存储介质，以备使用。 第111条 存放在存储介质内的绝密和机密信息必须受到妥善保护。 第112条 存储介质的存放环境必须满足介质要求的环境条件（比如温度、湿度、空气质量等）。 第113条 备份介质必须存储在防火柜中。应该对介质的寿命进行管理，在介质寿命结束前一年，将信息拷贝到新的介质中。 9.6.2 介质的销毁 第114条 应建立存储介质的报废规范，包括但不限于： 1)纸质文档 2)语音资料及其他录音带 3)复写纸 4)磁带 5)磁盘 6)光存储介质 第115条 所有不会被再利用的敏感文档都必须根据定义的信息密级采取适当的方式进行销毁。 第116条 所有报废及过期的存储介质必须妥善销毁。 9.6.3 信息处理程序 第117条 介质的信

7、息分类，必须采用存放信息中的最高保密等级。 第118条 应根据介质中信息的分类级别，采取相应措施来保护介质的输出环境。 9.6.4 系统文档的安全 第119条 存取含有敏感信息的文档，必须获得相应文档管理者的批准。含有敏感信息的文档应保存在安全的地方，未经许可不得访问。含有敏感信息的文档通过内部网等提供访问的，应采用访问控制加以保护。 9.7 信息交换 9.7.1 信息交换管理办法和程序 第120条 必须根据信息的类型和保密级别，定义信息在交换过程中应遵循的安全要求。 第121条 所有员工和第三方人员都必须遵守公司的信息交换管理办法。 第122条 未经许可，公司内部不允许安装、使用无线通信设备。 第123条 使用加密技术保护信息的保密性、完整性和真实性。敏感信息带出公司必须获得直接领导或信息管理者的授权。 第124条 必须建立控制机制来保护利用音频、传真和视频通信设备进行交换的信息。 第125条 电话录音系统应该配臵密码，以防非法访问。 第126条 在使用传真机中已存储的号码时，传真之前必须验证号码。 第127条 移动通讯设备（比如手机，PDA等）不应存储公司敏感信息。 9.7.2 交

8、换协议 第128条 跟外界进行信息和软件交换必须签署协议，其内容必须包括： 1)发送方和接收方的责任 2)明确发送和接收的方式 3)制定信息封装和传输的技术标准 4)数据丢失的相关责任 5)声明信息的保密级别和保护要求 6)声明信息和软件的所有权、版权和其他相关因素 9.7.3 物理介质传输 第129条 必须建立传输存储介质的安全标准。应使用可靠的传输工具或传递人，授权的传递人必须接受适当监管并进行其身份的检查。应确保敏感信息的机密性、完整性和可用性在传输全程中受到保护。 第130条 存放介质的容器在运输过程前必须密封。信息分类不应该标识在容器的外面。包装应该非常结实，确保介质在运输过程中不受到损坏。 9.7.4 电子消息 第131条 电子化办公系统必须建立相应的管理办法和控制机制，并阐明下列内容： 1)确定不能被共享的信息的类型或密级 2)系统用户的权限 3)系统的访问控制 4)与系统相关的备份管理办法 第132条 除非获得安全管理委员会的授权，否则禁止使用公司以外的电子系统（比如BBS、MSN、QQ等）进行跟公司相关的活动。 第133条 电子邮件内的信息必须根据其信息分类的安全要求去处理和保护。用于连接外网的邮件网关必须安装防病毒软件，检查进出的电子邮件。必须对Internet屏蔽邮件系统的内网IP地址。 第134条 员工使用公司的邮件系统时只能进行与业务相关的活动。所有在公司的邮件系统上产生及存储的邮件都是公司资产。公司有权查看和监控所有邮件。未经授权，严禁使用公司以外的邮箱处理公司业务。所有对外发送的邮件都必须加上责任声明。 9.7.5 业务信息系统 第135条 在业务系统进行信息共享时，必须保证

《网络信息通信和操作管理制度》由会员给****分享，可在线阅读，更多相关《网络信息通信和操作管理制度》请在金锄头文库上搜索。