信息安全政策方针模板.doc

广州xxx信息安全政策方针历史版本编写、批准、发布信息记录表版本号创建人/创建日期批准人/批准日期生效日期V1.0/文档修改记录序号修改章节文件更改通知单编号修改日期修改人批准人目 录第1章 基本方针4第2章 对策方针7第1节信息安全管理体制7第2节信息资产的保护对策8第3节信息的管理12第4节信息设备、媒体的管理14第5节个人信息的管理16第6节信息系统的使用人员管理17第7节访问控制19第8节系统管理员特权20第9节系统操作记录20第10节可用性对策21第11节网络安全22第12节互联网和电子邮件的利用24第13节计算机病毒对策25第14节安全漏洞对策26第15节软件的管理28第16节本单位信息系统的构筑、运用28第17节设备对策30第18节发生侵害信息安全时的对应30第19节外包管理32第20节单位成员就职、辞职和人事变动时的措施32第21节信息安全的维持活动34各种细则35第1章 基本方针（目的）第1条 本信息安全政策之“基本方针”以及“对策方针”（以下称“本政策”）阐明了广州xxx（以下称“本单位”）对信息资产管理和信息安全的观点，是针对信息安全对策的方针而制定的，以实现下述事项为目的。 保护客户以及本单位的知识产权（包括机密信息和私人信息） 明确应该保护的信息资产以及对策 与信息安全相关的风险管理以及安全等级的维持、均一化 统一采取信息安全对策方面的判断标准 提高单位成员对信息安全的意识 有法必依，照章行事（构成）第2条 本政策由规定本单位信息安全方面的基本且一般性方向的“基本方针”以及按各条款规定具体性事项以及指标的“对策方针”构成。2. “对策方针”是本单位在信息安全方面必须施行对策的条款中，所应该施行事项或者应该达到最低水平的指标，是基于以下构想而制定的。 从机密性、正确性、可用性的观点出发对信息资产的重要程度设立各个条款，将其分别设定为与上述重要程度相应的条款或指标。 对于信息资产的访问权（含浏览、更改、程序的起动）仅根据业务需要授权。 信息安全管理中，极力避免人员管理内容，积极采用信息技术，有组织地提高信息安全对策的可靠性为宗旨。（适用人员以及适用业务）第3条 本政策适用于就职于本单位的所有雇员及派遣员工。3. 外包对象，也必须遵守本政策。本政策中所提及的“外包对象”指： 合作单位及其员工 合同工（临时工等） 服务供应商及其员工（信息资产的对象）第4条 本政策信息资产对象包含各种文档以及数据等本单位的所有信息，此外还包括软硬件以及各种数据文件等信息技术性信息资产。 （经营职责）第5条 信息安全主管领导要在理解本政策宗旨以及内容的基础上，给予足够的重视，在遵守其规定的同时，还要按照本政策采取与信息安全有关的对策措施。 4. 信息安全主管领导要努力确保本政策所规定的条款稳定，不要随意变更，此外，当本政策所规定的条款存在不符合客观实际情况等不妥善之处时，要争取及时将其予以妥善修改。 5. 信息安全主管领导要率先推进乃至实行基于本政策的信息安全对策。（单位成员的职责）第6条 全体单位成员要在理解本政策的宗旨及内容的基础上给予足够的重视，遵守其规定。6. 全体单位成员要努力加深对信息安全的认识和理解。（信息安全管理组织）第7条 为了进行信息安全对策的起草提案以及维持管理，设置信息安全委员会（SM委员会），由信息安全主管领导指名任命信息安全委员会委员长（SM委员长）。 7. 各项目或各部的负责人（项目负责人、部长）要对各项目或各部遵守本政策以及有关规程进行管理，同时还要实施和审核信息安全对策。实施时，要指定各项目以及各部的信息安全主管（SM）。被指定的信息安全主管（SM）以信息安全委员会（SM委员会）的一员从事活动。 8. 组织体系依据本政策末尾所记载的信息安全管理组织图设立。（遵守法令等）第8条 除本政策以及有关规程外，当法令、行政机构、本行业团体制定有关信息安全的指针中有与本单位的指针一致的话，必须遵守。 第2章 对策方针第1节 信息安全管理体制（信息安全委员会委员长（SM委员长）第9条 信息安全委员会委员长（SM委员长）负责指挥、监督信息安全对策的实施、维持。 9. 信息安全委员会委员长（SM委员长）设置信息安全委员会，指挥信息安全对策的实施。 10. 信息安全委员会委员长（SM委员长）向总经理报告全单位的信息安全对策的实施情况。（信息安全委员会（SM委员会）第10条 信息安全委员会（SM委员会）由信息安全委员会委员长（SM委员长）设置，主管全单位信息安全对策推进、维持管理有关业务，执行信息安全有关业务的具体业务。 11. 信息安全委员会（SM委员会）是各个项目和各部申报、申请、出现紧急情况时报告的主管部署，在单位内起横向管理的作用。 12. 信息安全委员会（SM委员会）向主管领导报告全单位信息安全对策的实施情况。但重要事项要向信息安全委员会提出提案。13. 从信息安全委员会中选拔出以下负责人。各个负责人的作用如下： 设施管理人员对接受委托的开发环境等办公场所和服务器机房的出入进行管理。 网络管理人员与网络整体有关的管理。 电脑、服务器管理人员电脑和服务器安全对策的管理、设备管理。 数据管理人员测试数据和正式数据（书面、电子数据）的拿入和拿出、保管和复制、废弃、备份制作、开发文档类的管理。 （各个项目和各部的信息安全管理）第11条 各个项目和各部的项目负责人、部长作为各个项目和各部的信息安全对策负责人，实施信息安全对策的贯彻普及、维持管理。 14. 各个项目和各部的项目负责人、部长向信息安全委员会（SM委员会）报告各项目和各部信息安全对策的实施情况。 15. 各个项目和各部的项目负责人、部长为了在各项目或部内贯彻信息安全对策，可以指定信息安全主管（SM）。 16. 信息安全主管（SM）对项目或部内的信息安全对策实施提供支持，向项目负责人以及部长报告其实施情况。 （教育负责部署）第12条 教育负责部署的任务是为提高单位成员的安全意识，彻底贯彻落实本政策，开展教育计划的规划、起草、实施。（其他组织部门）第13条 构筑可与客户、服务提供商、信息安全专业机构等保持适当联系的信息安全有关体制。第2节 信息资产的保护对策（对来自单位外部组织信息的接收限制）第14条 除业务需要外，不擅自从客户或交易对方等单位外部组织获取重要信息。（根据重要度管理）第15条 对于本单位拥有的全部重要信息资产根据其重要度采取相应的管理和对策。（重要度的定义）第16条 信息的重要度从机密性（Confidentiality）完整性（Integrity）可用性（Availability）的观点来确定。此外，还规定：所谓机密性是指信息的隐匿性，只有正当的权限人员才能参阅信息；所谓完整性是指信息正确且具有整合性，信息之间不存在矛盾；所谓可用性是指信息以及信息系统在需要时随时可以提供。其各个等级定义如下：保护信息资产的观点等级定义机密性（Confidentiality）(非公开)4当开示或泄漏给无浏览权限的人时，会极大地损害来自客户的信赖，给本单位的经营带来巨大损害的信息，包括以下内容：- 客户编制的开发规章类、规格书、设计书、操作手册- 客户编制的程序源、软件（提高开发效率的工具等）- 客户系统环境相关信息（网络构成图等）- 客户（系统）办理的机密信息（含个人信息）- 客户企业的职工信息- 与客户企业的业务有关的现在或者未来的计划、方针- 含有由客户提供的技术或专业技能的信息 3当开示或泄漏给无浏览权限的人员时，有可能给本单位的经营造成损害的信息，包括以下内容： - 外包单位职工的信息（含各个职工的技能信息）- 与本单位经营战略有关的信息- 本单位的财务、人事信息（含职工的评价信息）- 与本单位系统有关的信息（含程序源、文档、测试数据等）21、3、4以外的信息(公开)1已经一般公开的信息保护信息资产的观点等级定义完整性（Integrity）3当信息被不当篡改或者与实际不符时，会给本单位的经营造成巨大损害的信息或者原本性高的信息，包括以下内容：- 接受客户委托的业务而编制的程序源- 接受客户委托的业务而编制的规格书、设计书、操作手册- 关于客户企业与本单位之间关系的信息（接受委托和委托关系、名称、内容）- 与本单位经营战略有关的信息- 本单位的财务、人事信息（含职工的评价信息）- 本单位系统有关的信息（含程序源、文档、测试数据等）2当信息被不当篡改或者与实际不符时，有可能给本单位的经营造成损害的信息，包括以下的内容：- 外包单位职工信息（含各个职工的技能信息）12、3以外的信息保护信息资产的观点等级定义可用性（Availability）3当无法使用时，会给本单位的经营或者客户造成巨大损害，因此要求随时可以使用的信息以及信息系统。2当无法使用时，会给本单位造成损害，但允许在一定时间内处于不能使用状态的信息以及信息系统，包括以下内容：- 电子邮件系统- 客户系统开发用服务器- 文件共享服务器（源程序和文档管理用服务器）12、3以外的信息以及信息系统（重要度的分类）第17条 彻底清查本单位所拥有的全部重要信息资产，编制出目录，根据重要度的定义进行重要度分类。（重要度的指定和维持管理）第18条 对信息的重要度，要适时进行重审。此外，当对信息的重要度进行变更时，要告知全体有关人员。 第3节 信息的管理（贴标签）第19条 当发布含有重要度高（等级2、3、4）的信息文书、可携带媒体（软磁盘、磁带、CD-ROM等）时，要根据其机密度贴上适当的标签。（保 管）第20条 信息资产的保管要确定管理负责人，根据其重要度确定保管场所、有效期限（保管期限）、保管方法、保管媒体。17. 特别是法定帐票或对事业维续不可缺少的信息、作为组织进行的记录、客户寄存的信息资产要严加保护，避免出现丢失/消失、损坏以及篡改等危险。此外，对于客户寄存的信息不要用于其目的以外的用途。18. 非公开信息不要放任不管，要进行适当的管理，做到不使其轻易地就能阅读到。19. 机密文件不要放在办公桌上（锁入柜子后回家）。离开位子时，应锁定计算机，不要让重要数据显示在屏幕上，并且使用带密码的屏保。（复制、分发）第21条 复制以及分发（包括从系统中下载）要控制在业务所需的最小限度范围内。20. 复制、分发客户寄存的信息资产时，原则上要事先征得客户的许可。通过电子邮件的发送或经由互联网的文件传送同样如此。21. 原则上严禁将重要信息带到单位外。因业务需要不得不带出时，要取得所属项目的项目负责人或所属部署负责人的同意。复制、分发重要信息时,要记录管理所分发的范围。22. 关于客户寄存的信息资产，未经客户许可，严禁将其带出客户许可保管以外的场所。（授受）第22条 由于业务上的需要与单位外组织进行信息授受时，要采取适当的保护措施。 （对交易对方明示）第23条 向交易对方或单位外组织明示信息时，要根据内容的重要度对明示范围、明示对象单位、明示期间、明示理由、明示状况等进行妥善管理。（对公众的公开）第24条 向大众媒体、大众的问询公开提供本单位的信息时，要向总经理以及管理该信息的项目或者部署申报公开范围、公开对象、公开期限、公开理由等并取得同意。此外，公开与有关客户的信息时，要事先征得客户的同意。 23. 总经理以及信息安全委员会（SM委员会）要充分掌握公开状况。24. 公开信息时，要采取妥善的保护措施，避免被篡改等风险。（向官方机构的明示）第25条 当收到官方机构等明示信息的要求时，要确认其根据的正当性，对其妥当性进行判断后方予以明示。（由单位进行的信息阅览）第26条 信息安全委员会委员长（SM委员长）认为有必要时，对单位内拥有的信息可以无事先通告进行阅览。 25. 但阅览信息时，在注意隐私的同时，严禁用于阅读以外的用途。（返还）第27条 客户寄存的信息资产原则上要返还。此外，该信息资产的管理负责人要确认已返还给客户，并就此与客户联系。（废弃）第28条 当废弃信息设备、媒体、纸张等时，要彻底抹消重要的数据或者被授予使用许可的软件等，或者进行粉碎处理、设备的粉碎等，使其变成难以读取的状态。（保密）第29条 与机密信息管理有关的详细步骤另行在保密规则中规定。要根据该规则妥善管理与业务有关的信息。第4节 信息设备、媒体的管理（管理负责人）第30条 要明确信息设备的管理责任人，采取妥善的保护措施。（登记管理）第31条 关于信息设备，要对资产管理编号（或者租赁合同编号等）、引进日、设置场所、负责人员等进行底帐管理。（设置情况的监查）第32条 要定期监查信息设备是否有丢失或者是否设置有非法的信息设备（调制解调器等）。 （设备的新追加、增设）第33条 当新追加或者增设信息设备时，要向信息安全委员会（SM委员会）报备。（向第三者的出借/返还）第34条 信息设备原则上不出借。当业务上需要时，要向信息安全委员会（SM委员会）申报借出对方、借出对方负责人（主管人）、借出方负责人（主管人）、期限、理由、目的等并取得批准。 （移送）第35条 当在网点之间移送收纳有重要信息（定义之例：任何一个CIA即便只有一个也属于1级）的信息设备或媒体时，要针对丢失、被盗、偷窥等采取妥善的保护措施。（设备的搬入/搬出）第36条 原则上严禁将信息设备搬入/搬出（包括可以存储信息的手机或便携式终端）。出于业务需要必须要搬入/搬出时，要向项目负责人、部长申报理由、信息设备名称等并取得批准。此外，在软件接受委托开发业务的环境下，原则上未经客户许可严禁将信息设备搬入/搬出，不过因业务需要必须搬入时，要向项目负责人、部长申报并取得批准。 (1) 设备的搬出 当要将保存有重要信息（任何一个CIA即便只有一个也是3级以上）的设备搬出时，必须施行用户ID密码认证以及硬盘等外存装置的加密，而且还要采取妥善的信息保护措施。 在电车内等公共场所中，要时刻注意周围的情况，防止被偷窥。 当不携带或者不使用时，要存放在笔记本电脑存放架（设置在规定场所）上，搬出时要在搬出管理簿上进行搬出登记。 (2) 设备的搬入 搬入设备时，在接入单位内网络之前，先通过更新病毒码文件或者补丁文件适用后的防毒软件杀毒，确认安全后再行接入。 （明确运用规则）第37条 关于共用的信息设备（含服务器），要规定明确的运用规则，进行妥善的保养管理。此外，要记录运用的作业履历。（修理和保养）第38条 进行信息设备的修理时，要通过信息安全委员会（SM委员会）规定的管理部门/主管人员施行。 26. 当因修理而需要搬运时，要采取妥善的管理办法（数据的删除、抹消、盖写）。当修理后返还时，要确认是否存在故障、是否有信息欠缺、是否被装入非法程序（包括病毒）。 第5节 个人信息的管理（收集）第39条 只对业务上必需的最小限度的信息通过合法且公正的方法进行收集，原则上在向本人说明使用目的后征得同意之后再行收集。 （使用）第40条 严禁用于收集时之目的以外的用途。（明示、修改、删除）第41条 个人信息的本人要求对自己的个人信息进行明示、修改、删除和停止利用时，在进行严格的本人确认后尽快予以施行。（对外委托）第42条 当将与个人信息有关的处理对外委托时，要求施行与在本单位内同等程度的管理。 （接受外部的委托）第43条 当接受外部委托进行有关个人信息的处理时，要遵守委托方的个人信息管理准则。 第6节 信息系统的使用人员管理（信息系统的使用原则）第44条 本单位向单位成员提供的信息系统（计算机、网络、业务系统等）原则上应以业务目的使用。（使用人员认证）第45条 访问本单位信息系统时，要根据重要度编入适当的使用者认证体制。 （ID管理）第46条 用户ID必须给每个使用者分配一个ID，严禁共用ID。有必要设定业务代理时，重新发行代理人使用的ID，并对其赋予权限。但是，统筹部署（管理该系统有关安全方面的部署）批准的情形不在此限。27. 被赋予ID的人员要在被认可的权限范围内使用，妥善地进行管理。28. 被赋予ID的人员要在被认可的权限范围内进行使用，对用自己的ID进行的全部操作负有责任，不得将ID借给他人。 29. 用户ID的发行必须按照信息安全委员会（SM委员会）批准的正式登记步骤进行管理。此外，对于ID发行的情况要进行底帐管理。 30. 因退职等原因而不再使用的ID要尽快停止其利用。此外，长时间不使用的ID要暂时停止或者停止其利用。31. ID（含管理员ID）要定期地（或者随时地）重审，核查是否存在业务上不必要的ID。（密码管理）第47条 要对密码的定期变更、使用难以推测的文字列、强制变更初始密码、限制再次使用过去使用过的密码、禁止使用密码保存功能等进行彻底地密码管理。 32. 不要将密码书写在纸上张贴，或者把密码告诉他人。输入密码时，务必由本人输入。33. 在设置密码时，不能使用可以从名字等个人信息中破解出的密码，或者英语单词等。密码应为字母数字组合、大小写组合，长度为8位以上，且每两个月必须更新。第7节 访问控制（访问控制）第48条 访问权限要限定在业务需要范围（阅览、更新、执行、删除、生成、连接时间等）内。 34. 访问权限的设定要按照信息安全委员会（SM委员会）批准的正式设定步骤进行管理。此外，针对权限赋予的情况要进行底帐管理。 35. 访问权限（包括管理员特权）要定期地（或者随时地）进行重审，核查是否授予了业务上不必要的访问权限。（离开座位时以及无人终端的保护）第49条 离开座位时或者为无人终端（服务器控制台等）时，要注销或者锁定画面。36. 要设定在一定时间内没有访问时，或者自动注销，或者需要再次认证的机制（带密码的屏幕保护程序等）。第8节 系统管理员特权（系统管理员特权）第50条 管理员特权的发行由信息安全委员会（SM委员会）进行全权管理。37. 因人事变动等原因而进行管理员特权交接时，要变更ID或者密码。 38. 将具有管理员特权的ID、密码发行给单位外部的人员时，要以书面形式明示所许可的行为，对于保密以及禁止超越委托业务范围的行为以及禁止泄露密码要让其提交誓约书。39. 此外，在紧急情况下需要发行管理员特权时，在信息安全委员会（SM委员会）批准的基础上，限于在必要的期间内发行暂用ID、密码，或者设定临时性的管理员特权。第9节 系统操作记录（获取日志的目的和必要性）第51条 为了迅速查明系统故障或者违章操作等原因，要对信息系统的利用人员、时间、利用内容获取相应的日志。（获取日志的项目）第52条 要根据信息的重要度以及系统环境（网络环境和物理性环境等）相应地确定获取日志的项目。 40. 关于重要信息（机密等级4）的日志，原则上要获取针对参阅、新建立、修改、删除、打印操作成功以及失败的日志。 41. 关于重要信息（机密等级32）的日志，原则上要获取参阅成功的日志。42. 根据信息安全委员会（SM委员会）的判断，根据需要对上述以外的信息也要获取日志。 43. 要获取的日志作为可以与诱发该事象的使用者进行对应的内容。（日志的保管与管理）第53条 获取的日志数据要根据信息的重要度以及系统环境（网络环境或物理性环境等），在适当的媒体（离线媒体等）上保管、管理适当的周期（至少3个月以上）。44. 获取的日志最好保存在离线媒体上。此外，与重要度高的信息（任一个CIA即便只有一个也为3级以上）有关的日志，最好收纳在不能写入的媒体（CD-R等）上。45. 为了确保日志数据解析的容易度以及证迹性，获取日志对象系统的时间要全部同步。（日志的监查）第54条 信息安全委员会（SM委员会）要定期地对获取的日志数据进行监查，调查是否存在违章操作。（日志的管理）第55条 日志数据要按信息资产对待，根据本政策采取妥善的对策。第10节 可用性对策（网络构成和运用时的可用性对策）第56条 新构筑、变更网络时，在设计阶段要对所设想到的高峰需求时的网络性能必要条件进行设定。 46. 为了业务服务的稳定运行以及早期发现故障，要根据重要度采用运用状态自动监视系统。 （冗长构成）第57条 要根据可用性的重要度，采取冗长构成、使障碍极小化构成、代替方法等对策。 对于重要信息（可用性等级3）的信息资产，采用使障碍极小化构成（设备的双重化等） 关于重要信息（可用性等级2）的信息资产，采取进行在线备份或者代替机的冷备份等可以迅速准备代替方法的措施。 关于重要信息（可用性等级1）的信息资产，采取进行离线备份等可以恢复到必要状态的措施。（备份的获取）第58条 对重要信息要定期获取备份。此外，进行备份的信息要根据信息的重要度进行妥善地保护。47. 备份要根据构成对象的信息的重要度确定时机、保管世代数、方法、保管期限、保管场所。（备份媒体的保管）第59条 备份媒体含有重要信息时，要保管在可以上锁的场所等，进行严格的管理。（保养和维护）第60条 当要求高度的可用性（3级）时，要根据容许停止时间，签定设备、软件的保养、维护合同。第11节 网络安全（单位内网络的管理）第61条 对每个网络设定必要的安全等级，不同等级的网络彼此连接时，要根据需要设置防火墙，将通信控制在只容许必要最小限度的通信内。尤其是在接受委托进行软件开发业务的开发环境中，原则上客户的不同项目要采用分隔网络环境的独立LAN构筑，严禁访问与客户达成协议以外的网络环境。 48. 远程访问本单位的单位内网络时，要使用严格的认证方法（一次性密码、呼叫回复、虚拟专用网络等），必要时采用每次插入调制解调器电源等方式，彻底落实访问管理。 （与单位外组织之间的网络连接）第62条 将本单位的网络与单位外的网络连接时（包括拨号连接），仅限于信息安全委员会（SM委员会）判断为业务上需要的情况。49. 将本单位的网络与单位外的网络连接时，尤其是与不特定多数连接的互联网连接时，在连接界限处要设置由信息安全委员会（SM委员会）规定的防火墙，将通信控制在容许必要最小限度的通信内。50. 将本单位的网络与单位外网络连接时，要根据机密性的重要度探讨妥善的防止信息泄露措施。51. 对可以访问单位外网络的计算机要进行底帐管理。52. 要求所连接的单位外组织对其信息安全对策的情况进行充分的说明。53. 对于所连接的单位外组织不要进行违章操作或访问。54. 要求所连接的单位外组织排除对本单位信息资产的违章或访问。55. 在重要的网络中，要进行故障监测以及违法入侵监视。（关于单位内无线LAN的使用）第63条 关于单位内无线局域网的使用， 在施行了路由加密或对接入点的访问控制、变更接入点识别ID等妥善安全对策的基础上，要征得信息安全委员会（SM委员会）的使用许可。此外，在安全对策方面，要考虑到发展趋向，进行重审、变更。 56. 被批准的接入点要由信息安全委员会（SM委员会）进行底帐管理。（设定内容以及设备的管理）第64条 要对防火墙和路由器的通信控制内容进行底帐管理。57. 严格管理网络设定信息。58. 防火墙和路由器等重要的网络设备要安装在上锁的区域。59. 要确定网络构成的构成变更步骤。（评估的实施）第65条 在与单位外的网络连接点中，根据风险评估的结果，确定是否需要定期地实施模拟入侵测试等安全机制的评估。第12节 互联网和电子邮件的利用（利用互联网的申请）第66条 当业务上需要使用互联网时，通过提交申请书，可许可单位成员利用互联网。60. 当需要在单位以外的场所使用单位的邮件系统时，需填写设备领出单申请开通VPN，并由相关领导批准方可使用。（利用电子邮件的申请）第67条 当业务上需要利用（单位外）电子邮件时，通过提交申请书，可许可单位成员利用（单位外）电子邮件。（电子邮件的发送内容）第68条 关于发送内容，要检查是否含有机密信息，表现是否适当。（严禁电子邮件的违法使用）第69条 不得故意违法使用电子邮件。此外，要充分考虑到电子邮件系统的特性和机制，在使用中要充分予以注意。例如，要注意以下几点： 只使用管理员授予的邮件地址，禁止使用其他的邮件地址。 禁止变更寄出用邮件地址 向不相关多数人群发邮件等不适合公开收件人地址时，在BCC中指定地址。 务必确认邮件的收件人后再发送 邮件的署名中不可包含多余的信息（尤其是严禁使用本单位名称以外的单位名称） 严禁向外部服务提供商转发邮件。 严禁使用免费邮箱,个人申请的服务提供商的邮箱等未经单位许可的邮箱。 原则上严禁使用在浏览器上可以收发邮件的WEB邮件（部分除外） 对来源不明的邮件和内容不确切的附件要加以注意 不使用邮件软件的预览功能（将未读邮件的最初几行自动显示的功能） 包含重要信息的文件，必须使用加密的压缩方式进行发送。（获取电子邮件使用日志）第70条 对于发往单位外的电子邮件，要获取发件人、收件人、邮件名的日志，根据需要检查该邮件内容。此外，对于获取的事实要使单位成员人人皆知。61. 经本单位设备处理的所有电子邮件短信归本单位所有。62. 只要信息安全委员会委员长（SM委员长）批准，有时可不经本人同意，对无论是发往单位内的、还是发往单位外的电子邮件，一律进行使用日志的监查。（获取互联网的使用日志）第71条 要获取互联网使用者和访问目的地的日志，根据需要检查其内容。此外，获取的事实要使单位成员人人皆知。63. 根据需要，要设定限制令互联网使用者无法浏览与业务无关的网站。第13节 计算机病毒对策（病毒对策的实施）第72条 单位成员使用的计算机中要使用信息安全委员会（SM委员会）指定的防病毒软件。64. 在互联网的连接点以及进行有可能感染病毒的文件的发送接收操作的单位外连接点中，在路由上要采用查毒网关。65. 要时常获取病毒信息，努力收集关于新型病毒的信息。66. 要使病毒码文件时常保持最新的状态。（指南手册的编制和教育）第73条 信息安全委员会（SM委员会）要事先编制感染病毒时的应对指南手册，令单位成员周知。（各种利用场合时的病毒检查）第74条 通过USB记忆体等可拆卸式媒体进行文件传递时，要进行病毒检查。 67. 通过电子邮件进行文件传递时要进行病毒检查。68. 通过互联网等网络下载文件时要进行病毒检查。（发现病毒时的处置）第75条 当发现病毒时，要立即将网线从计算机上拔下，防止受害的蔓延。随后与信息安全委员会取得联系，听取适当的指示。当在接受委托的软件开发业务环境中发现病毒时，还要与客户取得联系，由信息安全委员会（SM委员会）与客户彼此进行密切联系。 69. 信息安全委员会（SM委员会）要获取最新的病毒信息，给与适当的指示。此外，要根据需要与单位外有关组织进行联系。70. 当来自单位外的邮件等中混入病毒时，在与信息安全委员会协商的基础上，将其通知给该企业。（对单位外组织的请求）第76条 对于文件传递较频繁的单位外组织，要请求其实施防病毒对策。第14节 安全漏洞对策第77条 提高与信息安全有关的信息方面的意识，当开发商发表针对安全漏洞的补丁程序时，除了因使用补丁程序会引起重大功能障碍（对软件开发的影响等）外，要迅速地使用补丁程序。71. 原则上可以连接到互联网环境来实施最新的补丁程序适用。此外，不能连接互联网的环境要考虑对软件开发业务的影响以及由于不使用安全补丁而造成的风险，探讨使用时机。 72. 但是，客户要求进行适用时，原则上要尽快使用。第15节 软件的管理（软件的引进基准）第78条 要从与软件的引进有关的安全方面进行评估并向信息安全委员会（SM委员会）报告。原则上严禁引进业务上必要以外的软件。73. 关于接受委托进行的软件开发业务的开发环境，当引进业务上必要的软件时，要与客户联系并征得同意。（软件的安装）第79条 软件的安装在按批准的步骤进行的同时，还要按照另行规定的规则实施相应的安全设定。（使用许可管理和使用承诺）第80条 只引进正式获得使用许可的软件。 74. 要充分理解并遵守软件的使用承诺。（软件的使用情况）第81条 对引进的软件要实行底帐管理。此外，最好根据需要，引进收集软件的安装信息和设定信息的工具。 （引进后的运用管理体制）第82条 要根据需要，明确要引进软件的维护和开发商的支援体制。 （监查）第83条 信息安全委员会与信息安全小组要定期监查软件是否得到妥善地引进、使用。 第16节 本单位信息系统的构筑、运用（确保各工序的信息安全）第84条 为了在采取信息安全对策时确保完善的体制、充分的预算和期间，从计划阶段开始就要进行关于信息安全的讨论。75. 在设计、开发、测试、保养以及运用的各个阶段，要对安全功能的质量进行审评，并要得到信息安全委员会（SM委员会）的同意。（职务的分离）第85条 为了排除误用和恶意的行为，要将系统构筑业务（程序开发等）、系统运用业务（正式作业的运行等）、用户业务（输入数据的编制和变更、输出数据的存取等）等权限进行分离，编缉成彼此相互牵制的功能。因某种制约不能进行职务分离时，要进行行动监视和获取使用日志等。（环境的分离）第86条 除正式环境外还要备有另外的开发环境和测试环境，根据需要进行充分的测试后再移行到正式环境。另外，正式环境、开发环境和测试环境之间的访问要限定在必要的最小限度。76. 对于新引进的系统，要对基于设计时的对策方针编入的所有的安全性功能进行测试，取得信息安全委员会（SM委员会）的同意。另外，测试结果要用书面形式保存。（使用重要信息的测试）第87条 使用重要信息的测试，限定在本单位拥有的测试环境，测试结束后，要进行数据删除等适当的处理。另外，使用重要信息要进行记录。77. 实施使用重要信息的测试时，要采取数据伪装等保护数据泄露对策。（变更与维持管理）第88条 关于平常及紧急情况时的构成变更，要设定变更管理步骤。第17节 设备对策（安全区域的设置）第89条 本单位系统的主机原则上设置在符合有关机构规定的安全基准的数据中心或与之同等的设施内。78. 共享文件和各种服务器安装在本单位建筑内时，除业务上有要求的情况外，要设置在物理上安全的场所。特别是对于机密性高的信息资源要设置专用的区域。（软件开发区域的设置）第90条 在接受委托进行软件开发业务的开发环境中，原则上要将每个客户的项目进行区域分隔，通过引进出入室系统等，限定可以访问的人员。（出入室管理）第91条 设置处理重要信息服务器的场所平时要上锁，进行出入室管理。79. 能够进入设置处理重要信息服务器场所的人员必须获得信息安全委员会（SM委员会）的批准。80. 出入需要进行出入室管理房间时，要留取完善的记录。并且要定期监查其内容，调查是否有过违法侵入。另外，记录要保存一定的期间。第18节 发生侵害信息安全时的对应（发生侵害信息安全时的报告和对应）第92条 发现信息安全方面受到侵害时（信息被盗和泄露、篡改、不能使用等）或有该方面嫌疑时，不论原因如何，要迅速向项目负责人和部长以及信息安全委员会（SM委员会）报告。在有可能影响波及到客户的情况下，原则上要通过信息安全委员会委员长（SM委员长）与客户联系。另外，对报告内容要进行记录。81. 要明确报告途径。另外，当发生重大的信息安全侵害时，应能够上报到经营层。或者向相应的主管部门报告。（编制信息系统有关紧急情况时对应计划书）第93条 信息安全委员会（SM委员会）应编制信息安全有关紧急情况对应计划书并予以普及。（紧急情况应对计划的维持管理）第94条 要根据业务环境变化和信息安全技术的变化进行风险分析，适时地对紧急情况对应计划进行重审。（紧急情况对应的训练）第95条 信息安全委员会（SM委员会）要制定紧急情况对应的训练计划并予以实施。（信息安全侵害状况处理后的对应）第96条 采取相应的紧急对