信息安全制度

总则第1条为标准信息安全治理工作，加强过程治理和根底设施管理的风险分析及防范，建立安全责任制，健全安全内把握度，保证信息系统的机密性、完整性、可用性，特制定本规定。适用范围2治理对象第3条治理对象指组成计算机信息系统的系统、设备和数据等信息资产和人员的安全。主要范围包括：人员安全、物理环境安全、资产识别和分类、风险治理、物理和规律访问把握、系统操作与运行安全、网络通讯安全、信息加密与解密、应急与灾难恢复、软件研发与应用安全、机密资源治理、第三方与外包安全、法律和标准的符合性、工程与工程安全控制、安全检查与审计等。DMZ完全开放给因特网。容量：分为系统容量和环境容量两方面。系统容量包括CPU、内存、硬盘存储等。环境容量包括电力供给、湿度、温度、空气质量等。序等。安全边界：用以明确划分安全区域，如围墙、大厦接待处、网段等。内容相当于一个完整的全备份。治理、维护工具、调试程序等。可以在硬件或软件上实施。信息处理设备：泛指处理信息的全部设备和信息系统，包括网络、~服-务器、个人电脑和笔记本电脑等。不行抵赖性效劳：用于解决交易纠纷中争议交易是否发生的机制。电子化办公系统：包括电子邮件、KOA系统以及用于业务信息传送及共享的企业内部网。5安全制度要求本制度的诠释4委员会的认可，否则都要坚决执行。其它的条款则是猛烈建议的，只要实际可行就应当被承受。5施足够的安全把握措施，以保护信息安全。第6条各部门的领导有责任确保其部门的员工了解本安全治理制度、相关的标准和程序以及日常的信息安全治理。7〔或其指派的人员〕将审核各部门安全把握措施实施的准确性和完整性，此过程是公司例行内部审计的一局部。5」.2制度公布8批准之后必需通知全部相关人员。制度复审第9条当环境转变、技术更或者业务本身发生变化时， 对安全制度重进展评审，并作出相应的修正，以确保能有效地保护公司的第10条安全治理委员会必需定期对本治理方法进展正式的复审，并依据复审所作的修正，指导相关员工实行相应的行动。6 组织安全方面6.1 组织内部安全信息安全体系治理第11条公司成立安全治理委员会，安全治理委员会是公司信息安全治理的最高决策机构，安全治理委员会的成员应包括总裁室主管IT司安全审计负责人、公司法律负责人等。第12条信息安全治理代表由信息安全治理委员会指定，一般应包含稽核ITIT岗。13条安全治理委员会通过清楚的方向、可见的承诺、具体的分工，乐观地支持信息安全工作，主要包括以下几方面：确定信息安全的目标符合公司的要求和相关制度；说明、复查和批准信息安全治理制度；复查信息安全治理制度执行的有效性；为信息安全的执行供给明确的指导和有效的支持；供给信息安全体系运作所需要的资源为信息安全在公司执行定义明确的角色和职责；批准信息安全推广和培训的打算和程序；确保信息安全把握措施在公司内被有效的执行。第14条安全治理委员会需要对内部或外部信息安全专家的建议进展评估，并检查和调整建议在公司内执行的结果。第15条必需进展信息安全治理睬议，会议成员包括安全治理委员会、安全治理代表和其他相关的公司高层治理人员。第16条信息安全治理睬议必需每年定期进展，争论和审批信息安全相关事宜，具体包括以下内容复审本治理制度的有效性复审技术变更带来的影响复审安全风险审批信息安全措施及程序审批信息安全建议确保任何工程规划已考虑信息安全的需求T)复审安全检查结果和安全事故报告T)复审安全把握实施的效果和影响宣导和推行公司高层对信息安全治理的指示第17条信息治理部门作为信息安全治理部门，负责信息安全治理策略制定及实施，其主要职责：〔一〕负责全公司信息安全治理和指导；信息系统工程建设的安全规划；〔三〕组织全公司安全检查；〔四〕协作全公司安全审计工作的开展；〔五〕 牵头组织全公司安全治理培训；〔六〕负责全公司安全方案的审核和安全产品的选型、购置。〔七依据本规定、安全标准、技术标准、操作手册实施各类安全策略。〔八〕负责各类安全策略的日常维护和治理。第18条各分公司信息治理部门作为信息安全治理部门，其主要职责：建立安全治理流程、手册；〔二〕组织实施内部安全检查；〔三〕组织安全培训；〔四〕负责机密信息和机密资源的安全治理；〔五〕负责安全技术产品的使用、维护、升级；〔六〕协作安全审计工作的开展；〔七〕定期上报本单位信息系统安全状况，反响安全技术和治理的意见和建议。全策略。信息处理设备的授权第19条设备的选购和设备部署的审批流程应当充分考虑信息安全的要求。20具体检查，以确保它们的安全性和兼容性。第21条除非获得安全治理委员会的授权，否则不允许使用私人的信息处理设备来处理公司业务信息或使用公司资源。独立的信息安全审核第22条必需对公司信息安全把握措施的实施状况进展独立地审核，确保公司的信息安全把握措施符合治理制度的要求。审核工作应由公司的审计部门或特地供给此类效劳的第三方组织负责执行。负责安全审核的人员必需具备相应的技能和阅历。236.2 第三方访问的安全性第24条必需对第三方对公司信息或信息系统的访问进展风险评估，并在风险被消退或降低到可承受的水寻常才允许其访问。25条第三方包括但不限于：硬件和软件厂商的支持人员和其他外包商监管机构、外部参谋、外部审计机构和合作伙伴临时员工、实习生清洁工和保安公司的客户26条第三方对公司信息或信息系统的访问类型包括但不限于：物理的访问，例如：访问公司大厦、职场、数据中心等；规律的访问，例如：访问公司的数据库、信息系统等；与第三方之间的网络连接，例如：固定的连接、临时的远程连第27条第三方全部的访问申请都必需经过信息安全治理代表的审批，只供给其工作所须的最小权限和满足其工作所需的最少资源，并且需要定期对第三方的访问权限进展复查。第三方对重要信息系统或地点的访问和操作必需有相关人员伴随。第28条公司负责与第三方沟通的人员必需在第三方接触公司信息或信息系统前，主动告知第三方的职责、义务和需要遵守的规定，第三方必需在清楚并同意后才能接触相应信息或信息系统。全部对第当与客户接触时强调信息安全29的安全需求。实行相应的保护措施保护客户访问的信息或信息系统。与第三方签订合约的安全要求第30条与第三方合约中应包含必要的安全要求，如：访问、处理、治理公司信息或信息系统的安全要求7 信息资产与人员安全7.1 资产责任31资产清单中标出，并准时维护更。这些资产包括但不限于：手册、业务连续性打算、系统恢复打算、备份信息和合同等。〔处理器、显示器、笔记本电脑、调制解调器等、通讯设备〔路由器、程控交换机、机等〕、存储设备、磁介质〔磁〔电源、空调器等〕、机房等。4〕效劳：通讯效劳〔专线〕。第32条资产清单必需每年至少审核一次。在购置资产之前必需进展一次，主要评估当前己部署安全把握措施的有效性。33资产的治理权第34条全部资产都应当被具体说明，必需指明具体的治理者治理者可以是个人，也可以是某个部门。治理者是部门的资产则由部门主管负责监护。35条资产治理者的职责是：确定资产的保密等级分类和访问治理方法；定期复查资产的分类和访问治理方法。资产的合理使用第36条必需识别信息和信息系统的使用准则，形成文件并实施。使用准则应包括：使用范围角色和权限使用者应负的责任与其他系统交互的要求第37条全部访问信息或信息系统的员工、第三方必需清楚要访问资〔包括个人电脑〕只能被使用于工作相关的活动，不得用来炒股、玩玩耍等。滥用信息处理设备的员工将受到纪律处分。7.2 信息分类信息分类原则第38条全部信息都应当依据其敏感性、重要性以及业务所要求的访问限制进展分类和标识。第39条信息治理者负责信息的分类，并对其进展定期检查，以确保分类的正确。当信息被公布到公司外部，或者经过一段时间后信息的敏感度发生转变时，信息需要重分类。第40条信息的保密程度从高到低分为绝密、机密、隐秘和非保密四种等级。以电子形式保存的信息或治理信息资产的系统，需依据信息的敏感度进展信息标记和处理第41条必需建立相应的保密信息处理标准。对于不同的保密等级，应明确说明如下信息活动的处理要求：1〕复制保存和保管(以物理或电子方式)传送(以邮寄、或电子邮件的方式)销毁第42条电子文档和系统输出的信息(打印报表和磁带等)应带有适当的信息分类标记。对于打印报表，其保密等级应显示在每页的顶端或底部。第43条将保密信息发送到公司以外时，负责传送信息的工作人员应在分发信息之前，先告知对方文档的保密等级及其相应的处理要求。7-3 人员安全信息安全意识、教育和培训第44条全部公司员工和第三方人员必需承受包括安全性要求、信息处理设备的正确使用等内容的培训，并应当准时了解和学习公司对安全治理制度和标准的更。第45条应当至少每年向员工供给一次安全意识培训，其内容包括但不限于：安全治理委员会下达的安全治理要求信息保密的责任一般性安全守则信息分类安全事故报告程序电脑病毒爆发时的应对措施灾难发生时的应对措施第46条应当对系统治理员、开发人员进展安全技能方面的培训，至少每年一次。员工和第三方人员在开头工作后90天内，必需进展技术和安全方面的培训。47条灾难恢复演习应至少每年进展一次。惩戒过程第48条违反公司安全治理制度、标准和程序的员工将受到纪律处分。在对信息安全大事调查完毕后，必需对大事中的相关人员依据公司的惩戒规定进展惩罚。纪律处分包括但不限于：通报批判警告记过解除劳动合同法律诉讼第49条当员工在承受可能涉及解除劳动合同和法律诉讼的违规调查时，其直接领导应暂停受调查员工的工作职务和其访问权限，包括物理访问、系统应用访问和网络访问等。员工在承受调查时可以陈述观点，提出异议，并有进一步申诉的权力。资产归还第50条在终止雇佣、合同或协议时，全部员工及第三方人员必需归还所使用的全部公司资产。需要归还的资产包括但不限于：帐号和访问权限公司的电子或纸质文档公司购置的硬件和软件资产公司购置的其他设备51,~~必需在带出公司前归还或删除公司的资产。删除访问权限第52条在终止或变更雇佣、合同、协议时，必需删除全部员工及第三方人员对信息和信息系统的访问权限，或依据变更进展相应的调整。全部删除和调整操作必需在最终上班日之前完成。第53条对于公用的资源，必需进展准时的调整，比方：公用的帐号必需马上更改密码。54条在已经确定员工或第三方终止或变更意向后，必需准时对他们的权限进展限制，只保存终止或变更所需要的权限。8.1 安全区域物理安全边界第55条在公司的物理环境里，应当对需要保护的区域〔比方机房〕应当部署相应的物理安全把握。第56条在大厦的统一入处必需设立有专人值守的接待区域，在特别重要的安全区域也应当设立类似的接待区域。第57条在非办公时间内，重要的安全区域必需安排保安定时巡察。任安全区域访问把握第58条在非办公时间，全部进入安全区域的入都应当受到把握，比方上锁。任何时候，重要安全区域的全部出入必需受到严格的访问把握，确保只有授权的员工才可以进入此区域。第59条对于设有访问把握的安全区域，必需定期审核并准时更其访问权限。全部员工都必需佩戴一个身份识别通行证，有责任确保通行证的安全并不得转借他人。员工离职时必需交还通行证，同时取消其全部访问权限。第60条全部来宾的有关资料都必需具体记载在来宾进出登记表中，并向获准进入的来宾发放来宾通行证。同时，必需有相应的程序以确保回收所发放的来宾通行证。来宾进出登记表必需至少保存1不限于：1)来宾姓名2)来宾身份3)来宾工作单位4)来访事由5)负责接待的员工7)进入的日期和时间来宾通行证号码8)离开的日期和时间办公场所和设施安全第61条放置敏感或重要设备的区域(例如机房)应尽量不引人注目，给外些区域还应当被赐予相应的保护，保护措施包括但不限于：全部出入必需安装物理访问把握措施使用来宾登记表以便记录来访信息严禁吸烟第62条必需对支持关键性业务活动的设备供给足够的物理访问把握。全部安全区域和出入必需通过闭路电视进展监控。一般会议室或其它公众场合必需与安全区域隔离开来。无人值守的时候，办公区中防范外部和环境威逼63。第64条机房必需增加额外的物理把握，选取的场地应尽量安全，并尽可能避开受到灾难的影响。机房必需有防火、防潮、防尘、防盗、防磁、防鼠等设施。第65条机房建设必需符合国标GB2887-89〈〈计算机场地技术条件》和GB9361-8866条机房的消防措施必需满足以下要求：必需安装消防设备，并定期检查。应当指定消防指挥员。机房内严禁存放易燃材料，每周例行检查一次。这些装备，确保它们能有效运作。必需在明显位置张贴火灾逃命路线图、灭火设备平面放置图以及安全出的位置。6)7)8)9)10)11)的过程。

安全出必需有明显标识。应当训练员工生疏使用消防设施。必需保证防火门在火灾发生时能够开启。在安全区域工作第67条员工进入机房的访问授权，不能超过其工作所需的范围。必需定期检查访问权限的安排并准时更。机房的访问权限应不同于进入大楼其它区域的权限。第68条全部需要进入机房的来宾都必需提前申请。 必需维护和准时更来宾记录，以把握来宾进入机房的具体状况。记录中应具体说明来宾的姓名、进入与离开的日期与时间，申请者以及进入的缘由。机房来宾记录至少保存一年。来宾必需得到明确许可后，在专人伴随下才能进入机房。69条机房的保护应在专家的指导下进展，必需安装适宜的安全防护和检测装置。机房内严禁吸烟、饮食和拍摄。机房操作日志70记录必需备份和维护并妥当保管，防止被破坏。第71条在机房值班人员交接时，上一班值班人员所遗留的问题以及从事的工作应明确交待给下一班，保证相关操作的连续性。2 设备安全设备的安置及保护第72条必需对设备实施安全把握，以削减环境危害和非法的访问。应当考虑的因素包括但不限于：水、火烟雾、灰尘震惊化学效应电源干扰、电磁辐射第73条设备必需放置在远离水灾的地方，并依据需要考虑安装漏水警报系统。应急开关如电闸、煤气开关和水闸等都必需清楚地做好标识，并且能简洁访问。放置设备的区域必需满足厂商供给的设备环境要求。设备的操作必需遵守厂商供给的操作标准。通信线路和电缆必需从物理上进展保护。支持设施第74条支持设施能够支持物理场所、设备等的正常运作，比方：电力设施、空调、排水设施、消防设施、静电保护设施等。必需验证电力供给是否满足厂商设备对电源的要求。每年应至少对支持设施进展一次安全检查。荷进展审核。〔UPS〕或发电机。对需要配备后备电源的设备装置进展审核，确保后备电源能够满足这些设备的正常工作。每年必需至少对备用电源/进展一次测试。切断电源。电缆应依据供电电压和频率的不同而相互隔离。全部电缆都应带有标签，标签上的编码应记录归档。电缆应从物理上加以保护。设备维护第75条全部生产设备必需有足够的维护保障，关键设备必需供给7x24的现场维护支持。全部生产设备必需定期进展预防性维护。只有经过批准的、受过专业培训的工作人员才能进展维护工作。设备获得批准并卸载其存储介质。第76条必需建立设备故障报告流程。对于需要进展重大修理的设备，流程还应当包含设备检修的报告，及换用备用设备的流程。管辖区域外设备安全第77条笔记本电脑用户必需保护好笔记本电脑的安全，防止笔记本电脑损坏或被偷窃。第78条假设将设备带出公司，设备拥有者必需亲白或指定专人保护设备的安全。设备拥有者必需对设备在公司场所外的安全负责。设备的安全处理或再利用79条再利用或报废之前，设备所含有的全部存储装置〔比方硬盘敏感数据的已损坏设备。9 通信和操作治理方面标准的操作程序80条必需为全部的业务系统建立操作程序，其内容包括但不限于：系统重启、备份和恢复的措施一般性错误处理的操作指南技术支持人员的联系方法与其它系统的依靠性和处理的优先级硬件的配置治理第81条操作程序必需征得治理者的同意才能对其进展修改。操作程序必需准时更，更条件包括但不限于：应用软件的变更硬件配置的变更变更把握第82条必需建立变更治理程序来把握系统的变更，全部变更都必需遵守变更治理程序的要求。程序内容包括但不限于：1)识别和记录变更恳求变更的测试审批的流程明确变更失败的恢复打算和责任人变更的验收第83条重要变更必需制定打算，并在测试环境下进展足够的测试对变更需要涉及的硬件、软件和信息等对象都应标识出来并进展相应评估。变更在实施前必需通知到相关人员。第84条变更的实施应当安排在对业务影响最小的时间段进展，尽量削减对业务正常运营的影响。在生产系统安装或更软件前，必需对系统进展。第85条必需对变更进展复查，以确保变更没有对原来的系统环境造成月复查一次。职责分别86条系统治理员和系统开发人员的职责必需明确分开。同一处理过程中的重要任务不应当由同一个人来完成，作的以防止欺诈和误操发生。评估以及治理监视等。开发、测试和生产系统分别第88条不应给开发人员供给超过其开发所需范围的权限。假设开发人员需要访问生产系统，必需经过运营人员的授权和治理。89条生产、测试和开发应分别使用不同的系统环境。开发人〕，并做好已有开发工具的访问把握。开发和测试环境使用的测试数据不能包含有敏感信息。大事治理程序第90条必需建立大事治理程序，并依据大事影响的严峻程度制订其所义响应的范围、时间和完成大事处理的时间。9192条全部大事报告必需记录归档，并由部门主管或指定人员跟进改进效果。 效劳交付93条第三方供给的效劳必需满足安全治理制度的要求。第三方供给的效劳必需满足公司业务连续性的要求。第94条必需保存第三方供给的效劳、报告和记录并定期评审，至少每半年一次。评审内容应包括：效劳内容和质量是否满足合同要求；效劳报告是否真实。第三方效劳的变更治理第95条效劳转变时，必需重对效劳是否满足安全治理方法进展评估。在效劳变更时需要考虑：效劳价格的增长；的效劳需求；公司信息安全治理制度的变化；公司在信息安全方面的把握。针对恶意软件的保护措施对恶意软件的把握第96条必需建立一套病毒防治体系，以便防止病毒对公司带来的影响。全部效劳器、个人电脑和笔记本电脑都应当安装公司规定的防病毒软件，并〔例如接收到的邮件、下载的文之前必需进展病毒扫描。97第98条公司内觉察的病毒、计算机或应用程序的特别行为，都必需作为安全大事进展报告。第99条必需定期审核把握恶意软件措施的有效性。一旦觉察感染病毒，连接到网络上。9.4 备份信息备份第1条全部效劳器、个人电脑和笔记本电脑必需依据业务需求定期进展备份。系统在重大变更之前和之后必需进展备份。第101条备份治理方法必需获得治理层的审批以确保符合业务需求。备份治理方法必需至少每季度进展一次复查，以确保没有发生未授权或意外的更改。10213期传送到异地进展保存。异地必需与主站点有确定的距离，以避开受主站点的灾难涉及。103和主站点相全都。必需定期测试备份介质，确保其可用性。必需定期检查和测试恢复步骤，确保它们的有效性。备份系统必需进展监控，以确保其稳定性和可用性。9.5 网络把握104使用网络治理系统。105性。106络设备的要求。任何预备接进网络的设备，在进网前都必需通过协议兼容性的评估和安全检查。107条必需对网络进展监控和治理。全部网络故障都必需向上级报第108条必需建立互联网的访问治理方法。除非得到授权，否则制止访问外部网络的效劳。9-6介质的治理可移动介质的治理109〔比方磁带、光盘等〕必需归档。第110条必需建立和维护介质清单，并对介质的借用和归还进展记录。应确保备有足够的存储介质，以备使用。第111条存放在存储介质内的绝密和机密信息必需受到妥当保护。112〔比方温度、湿度、空气质量等〕。第113条备份介质必需存储在防火柜中。应当对介质的寿命进展治理，在介质寿命完毕前一年，将信息拷贝到的介质中第114条应建立存储介质的报废标准，包括但不限于：1〕纸质文档2〕语音资料及其他录音带复写纸磁带磁盘光存储介质第115条全部不会被再利用的敏感文档都必需依据定义的信息密级米取适当的方式进展销毁。116信息处理程序第117条介质的信息分类，必需承受存放信息中的最高保密等级。第118条应依据介质中信息的分类级别，实行相应措施来保护介质的输出环境系统文档的安全1199.7 信息交换信息交换治理方法和程序第120条必需依据信息的类型和保密级别，定义信息在交换过程中应遵循的安全要求。121治理方法。122备。第123条使用加密技术保护信息的保密性、完整性和真实性。敏感信息带出公司必需获得直接领导或信息治理者的授权。124信设备进展交换的信息。125第126条在使用机中已存储的号码时，之前必需验证号码。第127条移动通讯设备〔比方手机，PDA等〕不应存储公司敏感信息。第128条跟外界进展信息和软件交换必需签署协议，其内容必需包括：发送方和接收方的责任明确发送和接收的方式制定信息封装和传输的技术标准数据丧失的相关责任声明信息的保密级别和保护要求声明信息和软件的全部权、版权和其他相关因素物理介质传输129应确保敏感信息的机密性、完整性和可用性在传输全程中受到保护130到损坏。第131条电子化办公系统必需建立相应的治理方法和把握机制，并说明以下内容：确定不能被共享的信息的类型或密级系统用户的权限系统的访问把握与系统相关的备份治理方法第132条除非获得安全治理委员会的授权，否则制止使用公司以外的电子系统〔比方BBS、MSN、QQ等〕进展跟公司相关的活动。133InternetIP134司有权查看和监控全部邮件。全部对外发送的邮件都必需加上责任声明业务信息系统1359.8 电子商务第136条必需实行适当措施，保证电子交易过程的机密性、完整性和可用性。137的责任。第138条电子交易必需设置并维护适当的访问把握。身份验证技术必需满足业务的实际要求。第139条必需保存并维护全部电子商务交易过程中的记录和日志。140子商务安全。在线交易第141条必需保护在线交易信息，避开不完整的传输、路由错误、未授权的消息更改、未授权的信息信息泄漏、复制和回复。第142条在线交易中必需使用数字证书保护交易安全。交易中必需使用加密技术对全部通信内容加密。在线交易必需使用安全的通讯协议。第143条在线交易信息必需保存在公司内部的存储环境，存Internet144条在线交易必需遵守国家、地区和行业相关的法律法规。公共信息第145条必需确保公共信息系统中信息的完整性，并防止非授权的修改。146息公布系统向内部和公众公布的信息都必需经过公司相关部门的检查和审息的处理和存储过程进展保护。日志第147条全部操作系统、应用系统都必需具有并启用日志记录功能。148ID;每项操作的日期和时间(至少要准确到秒)；来源的标识或位置；成功的系统访问尝试；失败或被拒绝的系统访问尝试；149应用日志；系统日志；安全日志；操作日志；问题记录。第150条必需确保日志记录功能在任何时候都能正常运行。151日志应当定期复查，至少每月一次。第152条不同的信息处理设备所要求的监控等级应当通过风险评估来打算，必需考虑以下要素：系统的访问；全部特权操作；未授权的访问尝试；系统警报或故障。第153条应每天定时监控网络(包括网络性能和网络故障)并依据产生的日志信息保护第154条必需保证日志不能被修改或删除，全部对于日志文件的访问(如删除、写、读或添加)尝试都应当有相应记录。1551治理员和操作员日志156157〕、与财务相关的操作等。第158条治理员和重要系统的操作员日志应当至少每周复查一次。对于重要的财务系统和业务系统每天都要复查。故障日志159160汇报并记录归档。第161条故障记录应妥当保管，防止被损坏，必要时应当进展备份。时钟同步162月一次的检查。10 访问把握方面10.1 访问把握要求访问把握治理方法165问把握列表应当进展周期性的检查以保证授权正确。166作实际所需的范围。必需依据“除非明确允许，否则一律制止”的原则来设置访问把握规章。167工的职责发生变化或离职时，其访问权限必需作相应调整或撤销。168用户注册169注册和注销程序。170171求的合法性。172120第173条帐号名不能透露用户的权限信息，比方治理员帐号Admin特权治理174并保证没有与系统和应用的安全相违反。第175条必需建立授权清单，记录和维护已安排的特权和其相对的用户信息。176户供给临时密码。第177条系统中统一治理帐号密码的模块保存的密码必需是加密的。178写在没有保护的介质上〔如纸张〕。179第180条系统应当设置定期的密码修改治理方法，并限制至3第181条系统必需启用登录失败的限制功能，假设连续10次登录失败，系统应当白动锁定相关帐号。182第183条制止帐号和密码被一起传送，例如用同一封邮件传送帐号和密码。184马上修改，然后把的密码装到信封里。用户访问权限的检查185次复查，关键系统必需每三个月复查一次。此过程应当包括但不限于：确认用户权限的有效性和合理性找出全部特别帐号(如长时间未使用和已离职人员的帐号等)，进行分析并实行相应措施第186条必需对可疑的或不明确的访问权限进展调查，并作为安全事故进展报告。10.3 密码的使用187形式保存密码。用户一旦疑心其帐号密码可能受到损害，应当准时修改密码。188须至少每半年修改一次密码。特权帐号的密码必需至少每3个月修改一次。用于系统之间认证帐号的密码必需至少每半年修改一次。第189条除非有技术限制，密码应当至少包含8个字符。此8第190条用户不应使用简洁被猜测的密码，例如字典中的单词、生日和号码等。前3次用过的密码不应当被重复使用。第191条密码不应当被保存于白动登录过程中，例如IE中的帐号白动保存。10.3.2去除桌面及屏幕治理方法192屏幕保护程序，激活等待时间应少于10分钟。第193条无人使用时，效劳器、个人电脑和复印机等必需保持注销状态。第194条不能将机密和绝密信息资料遗留在桌面上，而应当依据信息的保密等级进展处理。195当的保护措施。第196条打印完敏感信息之后，必需确认信息已从打印队列中去除10.4网络访问把握网络效劳使用治理方法198制访问。第199条全部系统都必需设置访问把握机制来防止未经授权的访问。外部连接的用户认证第2条对公司系统进展远程访问，必需建立适当的认证机制，米用的机制应通过风险评估来打算。201相关记录。第202条用于远程访问的调制解调器寻常必需保持关闭，只有在使用的时候才能翻开。203程办公，必需使用VPN进展连接。204条与外部合作伙伴进展信息交换，应当使用专线进展连接。远程诊断和配置端的保护205的安全机制进展保护。206议。207得到认证。208209间、执行者、执行动作和结果等。这些记录应当由系统