燃机热电有限公司信息管理制度汇编样本

信息安全管理制度琥珀（安吉）燃机热电.01.15信息安全制度1总则第1条为规范信息安全管理工作，加强过程管理和基础设施管理风险分析及防范，建立安全责任制，健全安全内控制度，确保信息系统机密性、完整性、可用性，特制订本要求。2适用范围第2条本要求适适用于琥珀（安吉）燃机热电各部门及生产现场。3管理对象第3条管理对象指组成计算机信息系统系统、设备和数据等信息资产和人员安全。关键范围包含：人员安全、物理环境安全、资产识别和分类、风险管理、物理和逻辑访问控制、系统操作和运行安全、网络通讯安全、信息加密和解密、应急和灾难恢复、软件研发和应用安全、机密资源管理、第三方和外包安全、法律和标准符合性、项目和工程安全控制、安全检验和审计等。4术语定义DMZ：用于隔离内网和外网区域，此区域不属于可信任内网，也不是完全开放给因特网。容量：分为系统容量和环境容量两方面。系统容量包含CPU、内存、硬盘存放等。环境容量包含电力供给、湿度、温度、空气质量等。安全制度：和信息安全相关制度文档，包含安全管理措施、标准、指导和程序等。安全边界：用以明确划分安全区域，如围墙、办公大楼、网段等。恶意软件：包含计算机病毒、网络蠕虫、木马、流氓软件、逻辑炸弹等。备份周期：依据备份管理措施制订备份循环周期，一个备份周期内容相当于一个完整全备份。系统工具：能够更改系统及应用配臵程序被定义为系统工具，如系统管理、维护工具、调试程序等。消息验证：一个检验传输电子消息是否有非法变更或破坏技术，它能够在硬件或软件上实施。数字署名：一个保护电子文档真实性和完整性方法。比如，在电子商务中能够使用它验证谁签署电子文档，并检验已签署文档内容是否被更改。信息处理设备：泛指处理信息全部设备和信息系统，包含网络、服务器、个人电脑和笔记本电脑等。不可抵赖性服务：用于处理交易纠纷中争议交易是否发生机制。电子化办公系统：包含电子邮件、OA系统和用于业务信息传送及共享企业内部网。5安全制度方面5.1安全制度要求5.1.1本制度诠释第4条全部带有“必需”条款全部是强制性。除非事先得到安全管理委员会认可，不然全部要果断实施。其它条款则是强烈提议，只要实际可行就应该被采取。第5条全部职员全部受本制度约束，各部门领导有责任确保其部门已实施足够安全控制方法，以保护信息安全。第6条各部门领导有责任确保其部门职员了解本安全管理制度、相关标准和程序和日常信息安全管理。第7条安全管理代表（或其指派人员）将审核各部门安全控制方法实施正确性和完整性，此过程是企业例行内部审计一部分。5.1.2制度公布第8条全部制度在创建和更新后，必需经过对应管理层审批。制度经同意以后必需通知全部相关人员。5.1.3制度复审第9条当环境改变、技术更新或业务本身发生改变时，必需对安全制度重新进行评审，并作出对应修正，以确保能有效地保护企业信息资产。第10条安全管理委员会必需定时对本管理措施进行正式复审，并依据复审所作修正，指导相关职员采取对应行动。6组织安全方面6.1组织内部安全6.1.1信息安全体系管理第11条企业成立安全管理委员会，安全管理委员会是企业信息安全管理最高决议机构，安全管理委员会组员应包含企业关键管理人、生产技术管理部责任人、企业安全审计责任人、企业计算机管理员、操作员等。第12条信息安全管理代表由信息安全管理委员会指定，通常应包含安全稽核岗、信息管理部信息安全相关岗位。第13条安全管理委员会经过清楚方向、可见承诺、具体分工，主动地支持信息安全工作，关键包含以下几方面：1)确定信息安全目标符合企业要求和相关制度；2)说明、复查和同意信息安全管理制度；3)复查信息安全管理制度实施有效性；4)为信息安全实施提供明确指导和有效支持；5)提供信息安全体系运作所需要资源6)为信息安全在企业实施定义明确角色和职责；7)同意信息安全推广和培训计划和程序；8)确保信息安全控制方法在企业内被有效实施。第14条安全管理委员会需要对内部或外部信息安全教授提议进行评定，并检验和调整提议在企业内实施结果。第15条必需举行信息安全管理会议，会议组员包含安全管理委员会、安全管理代表和其它相关企业高层管理人员。第16条信息安全管理会议必需每十二个月定时举行，讨论和审批信息安全相关事宜，具体包含以下内容:1)复审本管理制度有效性；2)复审技术变更带来影响；3)复审安全风险；4)审批信息安全方法及程序；5)审批信息安全提议；6)确保任何新项目计划已考虑信息安全需求；7)复审安全检验结果和安全事故汇报；8)复审安全控制实施效果和影响；9)宣导和推行企业高层对信息安全管理指示。6.1.2信息安全职责分配信息管理部门作为信息安全管理部门，负责信息安全管理策略制订及实施，其关键职责：（一）负责全企业信息安全管理和指导；（二）牵头制订全企业信息安全体系规范、标准和检验指导，参与本企业信息系统工程建设安全计划；（三）组织全企业安全检验；（四）配合全企业安全审计工作开展；（五）牵头组织全企业安全管理培训；（六）负责全企业安全方案审核和安全产品选型、购臵。（七）依据本要求、安全规范、技术标准、操作手册实施各类安全策略。（八）负责各类安全策略日常维护和管理。各分企业信息管理部门作为信息安全管理部门，其关键职责：（一）依据本要求、信息安全体系规范、标准和检验指导，组织建立安全管理步骤、手册；（二）组织实施内部安全检验；（三）组织安全培训；（四）负责机密信息和机密资源安全管理；（五）负责安全技术产品使用、维护、升级；（六）配合安全审计工作开展；（七）定时上报本单位信息系统安全情况，反馈安全技术和管理意见和提议。（八）依据本要求、安全规范、技术标准、操作手册实施各类安全策略。（九）负责各类安全策略日常维护和管理。6.1.3信息处理设备授权第19条新设备采购和设备布署审批步骤应该充足考虑信息安全要求。第20条新设备在布署和使用之前，必需明确其用途和使用范围，并取得安全管理委员会同意。必需对新设备硬件和软件系统进行具体检验，以确保它们安全性和兼容性。第21条除非取得安全管理委员会授权，不然不许可使用私人信息处理设备来处理企业业务信息或使用企业资源。6.1.4独立信息安全审核第22条必需对企业信息安全控制方法实施情况进行独立地审核，确保企业信息安全控制方法符合管理制度要求。审核工作应由企业审计部门或专门提供这类服务第三方组织负责实施。负责安全审核人员必需含有对应技能和经验。第23条独立信息安全审核必需每十二个月最少进行一次。6.2第三方访问安全性6.2.1明确第三方访问风险第24条必需对第三方对企业信息或信息系统访问进行风险评定，并进行严格控制，相关控制须考虑物理上和逻辑上访问安全风险。只有在风险被消除或降低到可接收水平时才许可其访问。第25条第三方包含但不限于：1)硬件和软件厂商支持人员和其它外包商2)监管机构、外部顾问、外部审计机构和合作伙伴3)临时职员、实习生4)清洁工和保安5)企业用户第26条第三方对企业信息或信息系统访问类型包含但不限于：1)物理访问，比如：访问企业机房、监控中心等；2)逻辑访问，比如：访问企业数据库、信息系统等；3)和第三方之间网络连接，比如：固定连接、临时远程连接；第27条第三方全部访问申请全部必需经过信息安全管理代表审批，只提供其工作所须最小权限和满足其工作所需最少资源，而且需要定时对第三方访问权限进行复查。第三方对关键信息系统或地点访问和操作必需有相关人员陪同。第28条企业负责和第三方沟通人员必需在第三方接触企业信息或信息系统前，主动通知第三方职责、义务和需要遵守要求，第三方必需在清楚并同意后才能接触对应信息或信息系统。全部对第三方安全要求必需包含在和其签署合约中。6.2.2当和用户接触时强调信息安全第29条必需在许可用户访问信息或信息系统前识别并通知其需要遵守安全需求。采取对应保护方法保护用户访问信息或信息系统。6.2.3和第三方签署合约安全要求第30条和第三方合约中应包含必需安全要求，如：访问、处理、管理企业信息或信息系统安全要求。7信息资产和人员安全7.1资产责任7.1.1资产清单第31条应清楚识别全部资产，全部和信息相关关键资产全部应该在资产清单中标出，并立即维护更新。这些资产包含但不限于∶1)信息：数据库和数据文件、系统文档、用户手册、培训材料、操作手册、业务连续性计划、系统恢复计划、备份信息和合相同。2)软件：应用软件、系统软件、开发工具和实用工具等。3)实体：计算机设备（处理器、显示器、笔记本电脑、调制解调器等）、通讯设备（路由器、程控电话交换机、传真机等）、存放设备、磁介质（磁带和磁盘等）、其它技术设备（电源、空调器等）、机房等。4)服务：通讯服务（专线）。第32条资产清单必需每十二个月最少审核一次。在购置新资产之前必需进行安全评定。资产交付后，资产清单必需更新。资产风险评定必需每十二个月最少一次，关键评定目前已布署安全控制方法有效性。第33条实体资产需要贴上合适标签。7.1.2资产管理权第34条全部资产全部应该被具体说明，必需指明具体管理者。管理者能够是个人，也能够是某个部门。管理者是部门资产则由部门主管负责监护。第35条资产管理者职责是：1)确定资产保密等级分类和访问管理措施；2)定时复查资产分类和访问管理措施。7.1.3资产合理使用第36条必需识别信息和信息系统使用准则，形成文件并实施。使用准则应包含：1)使用范围2)角色和权限3)使用者应负责任4)和其它系统交互要求第37条全部访问信息或信息系统职员、第三方必需清楚要访问资源使用准则，并负担她们责任。企业全部信息处理设备（包含个人电脑）只能被使用于工作相关活动，不得用来炒股、玩游戏等。滥用信息处理设备职员将受到纪律处分。7.2信息分类7.2.1信息分类标准第38条全部信息全部应该依据其敏感性、关键性和业务所要求访问限制进行分类和标识。第39条信息管理者负责信息分类，并对其进行定时检验，以确保分类正确。当信息被公布到企业外部，或经过一段时间后信息敏感度发生改变时，信息需要重新分类。第40条信息保密程度从高到低分为绝密、机密、秘密和非保密四种等级。以电子形式保留信息或管理信息资产系统，需依据信息敏感度进行标识。含有不一样分类信息系统，必需根据其中最高保密等级进行分类。7.2.2信息标识和处理第41条必需建立对应保密信息处理规范。对于不一样保密等级，应明确说明以下信息活动处理要求：1)复制2)保留和保管（以物理或电子方法）3)传送（以邮寄、传真或电子邮件方法）4)销毁第42条电子文档和系统输出信息（打印报表和磁带等）应带有合适信息分类标识。对于打印报表，其保密等级应显示在每页顶端或底部。第43条将保密信息发送到企业以外时，负责传送信息工作人员应在分发信息之前，先通知对方文档保密等级及其对应处理要求。7.3人员安全7.3.1信息安全意识、教育和培训第44条全部企业职员和第三方人员必需接收包含安全性要求、信息处理设备正确使用等内容培训，并应该立即了解和学习企业对安全管理制度和标准更新。第45条应该最少每十二个月向职员提供一次安全意识培训，其内容包含但不限于：1)安全管理委员会下达安全管理要求2)信息保密责任3)通常性安全守则4)信息分类5)安全事故汇报程序6)电脑病毒爆发时应对方法7)灾难发生时应对方法第46条应该对系统管理员、开发人员进行安全技能方面培训，最少每十二个月一次。职员和第三方人员在开始工作后90天内，必需进行技术和安全方面培训。第47条灾难恢复演练应最少每十二个月举行一次。7.3.2惩戒过程第48条违反企业安全管理制度、标准和程序职员将受到纪律处分。在对信息安全事件调查结束后，必需对事件中相关人员依据企业惩戒要求进行处罚。纪律处分包含但不限于：1)通报批评2)警告3)记过4)解除劳动协议5)法律诉讼第49条当职员在接收可能包含解除劳动协议和法律诉讼违规调查时，其直接领导应暂停受调查职员工作职务和其访问权限，包含物理访问、系统应用访问和网络访问等。职员在接收调查时能够陈说见解，提出异议，并有深入申诉权力。7.3.3资产归还第50条在终止雇佣、协议或协议时，全部职员及第三方人员必需归还所使用全部企业资产。需要归还资产包含但不限于：1)帐号和访问权限2)企业电子或纸质文档3)企业购置硬件和软件资产4)企业购置其它设备第51条假如在非企业资产上保留有企业资产，必需在带出企业前归还或删除企业资产。7.3.4删除访问权限第52条在终止或变更雇佣、协议、协议时，必需删除全部职员及第三方人员对信息和信息系统访问权限，或依据变更进行对应调整。全部删除和调整操作必需在最终上班日之前完成。第53条对于公用资源，必需进行立即调整，比如：公用帐号必需立即更改密码。第54条在已经确定职员或第三方终止或变更意向后，必需立即对她们权限进行限制，只保留终止或变更所需要权限。8物理和环境安全方面8.1安全区域8.1.1物理安全边界第55条在企业物理环境里，应该对需要保护区域依据其关键性划分为不一样安全区域。尤其是相关键设备安全区域（比如机房）应该布署对应物理安全控制。第56条在机房统一入口处必需设置有专员值守接待区域，在尤其关键安全区域也应该设置类似接待区域。第57条在非办公时间内，关键安全区域必需安排保安定时巡视。任何时候，机房必需最少有一位保安值班。保安值班表应最少每个月调整一次。8.1.2安全区域访问控制第58条在非办公时间，全部进入安全区域入口全部应该受到控制，比如实施电子门禁或上锁。任何时候，关键安全区域全部出入口必需受到严格访问控制，确保只有授权职员才能够进入此区域。第59条对于设有访问控制安全区域，必需定时审核并立即更新其访问权限。全部职员全部必需佩戴一个身份识别通行证，有责任确保通行证安全并不得转借她人。职员离职时必需交还通行证，同时取消其全部访问权限。第60条全部贵宾相关资料全部必需具体记载在贵宾进出记录表中，并向获准进入贵宾发放贵宾通行证。同时，必需有对应程序以确保回收所发放贵宾通行证。贵宾进出记录表必需最少保留1年，统计内容应包含但不限于：1)贵宾姓名2)贵宾身份3)贵宾工作单位4)来访事由5)负责接待职员6)贵宾通行证号码7)进入日期和时间8)离开日期和时间8.1.3办公场所和设施安全第61条放臵敏感或关键设备区域（比如机房）应尽可能不引人注目，给外面信息应尽可能最少，不应该有显著标志指明敏感区域所在位臵和用途。这些区域还应该被给对应保护，保护方法包含但不限于：1)全部出入口必需安装物理访问控制方法2)使用贵宾记录表方便统计来访信息3)严禁吸烟第62条必需对支持关键性业务活动设备提供足够物理访问控制。全部安全区域和出入口必需经过闭路电视进行监控。一般会议室或其它公众场所必需和安全区域隔离开来。无人值守时候，办公区中信息处理设备必需从物理上进行保护。门和窗户必需锁好。8.1.4防范外部和环境威胁第63条办公场所和机房设计和建设必需充足考虑火灾、洪水、地震、爆炸、骚乱等天灾或人为灾难，并采取额外控制方法加以保护。第64条机房必需增加额外物理控制，选择场地应尽可能安全，并尽可能避免受到灾难影响。机房必需有防火、防潮、防尘、防盗、防磁、防鼠等设施。第65条机房建设必需符合国家标准GB2887-89《计算机场地技术条件》和GB9361-88《计算站场地安全要求》中要求。第66条机房消防方法必需满足以下要求：1)必需安装消防设备，并定时检验。2)应该指定消防指挥员。3)机房内严禁存放易燃材料，每七天例行检验一次。4)必需安装烟感及其它火警探测器和灭火装臵。应每三个月定时检验这些装备，确保它们能有效运作。5)必需在显著位臵张贴火灾逃生路线图、灭火设备平面放臵图和安全出口位臵。6)安全出口必需有显著标识。7)应该训练职员熟悉使用消防设施。8)紧急事件发生时必需提供紧急照明。9)全部疏散路线全部必需时刻保持通畅。10)必需确保防火门在火灾发生时能够开启。11)每十二个月应最少举行一次火灾撤离演练，使工作人员熟知火灾撤离过程。8.1.5在安全区域工作第67条职员进入机房访问授权，不能超出其工作所需范围。必需定时检察访问权限分配并立即更新。机房访问权限应不一样于进入大楼其它区域权限。第68条全部需要进入机房贵宾全部必需提前申请。必需维护和立即更新贵宾统计，以掌握贵宾进入机房具体情况。统计中应具体说明贵宾姓名、进入和离开日期和时间，申请者和进入原因。机房贵宾统计最少保留十二个月。贵宾必需得到明确许可后，在专员陪同下才能进入机房。第69条机房保护应在教授指导下进行，必需安装适宜安全防护和检测装臵。机房内严禁吸烟、饮食和拍摄。8.1.6机房操作日志第70条必需统计机房管理员操作行为，方便其行为能够追踪。操作统计必需备份和维护并妥善保管，预防被破坏。第71条在机房值班人员交接时，上一班值班人员所遗留问题和从事工作应明确交待给下一班，确保相关操作延续性。8.2设备安全8.2.1设备安置及保护第72条必需对设备实施安全控制，以降低环境危害和非法访问。应该考虑原因包含但不限于：1)水、火2)烟雾、灰尘3)震动4)化学效应5)电源干扰、电磁辐射第73条设备必需放臵在远离水灾地方，并依据需要考虑安装漏水警报系统。应急开关如电闸、煤气开关和水闸等全部必需清楚地做好标识，而且能轻易访问。设备全部应该装有适宜漏电保险丝或断路器进行保护。放臵设备区域必需满足厂商提供设备环境要求。设备操作必需遵守厂商提供操作规范。通信线路和电缆必需从物理上进行保护。8.2.2支持设施支持设施能够支持物理场所、设备等正常运作，比如：电力设施、空调、排水设施、消防设施、静电保护设施等。必需采取保护方法使设备免受电源故障或电力异常破坏。必需验证电力供给是否满足厂商设备对电源要求。每十二个月应最少对支持设施进行一次安全检验。工作环境中增加新设备时，必需对电力、空调、地板等支持设施负荷进行审核。必需设臵后备电源，比如不间断电源（UPS）或发电机。对需要配置后备电源设备装臵进行审核，确保后备电源能够满足这些设备正常工作。每十二个月必需最少对备用电源/进行一次测试。应急电源开关应在机房紧急出口周围，方便紧急情况发生时能够快速切断电源。电缆应依据供电电压和频率不一样而相互隔离。全部电缆全部应带有标签，标签上编码应统计归档。电缆应从物理上加以保护。8.2.3设备维护第75条全部生产设备必需有足够维护保障，关键设备必需提供7x24现场维护支持。全部生产设备必需定时进行预防性维护。只有经过同意、受过专业培训工作人员才能进行维护工作。设备全部维护工作全部应该统计归档。假如设备需要搬离安全区域进行修理，必需取得同意并卸载其存放介质。第76条必需建立设备故障汇报步骤。对于需要进行重大维修设备，步骤还应该包含设备检修汇报，及换用备用设备步骤。8.2.4管辖区域外设备安全第77条笔记本电脑用户必需保护好笔记本电脑安全，预防笔记本电脑损坏或被偷窃。第78条假如将设备带出企业，设备拥有者必需亲自或指定专员保护设备安全。设备拥有者必需对设备在企业场所外安全负责。8.2.5设备安全处理或再利用第79条再利用或报废之前，设备所含有全部存放装臵（比如硬盘等）全部必需经过严格检验，确保全部敏感数据和软件已被删除或改写，而且不可能被恢复。应该经过风险评定来决定是否根本销毁、送修还是丢弃含有敏感数据已损坏设备。9通信和操作管理方面9.1操作程序和职责9.1.1规范操作程序第80条必需为全部业务系统建立操作程序，其内容包含但不限于：1)系统重启、备份和恢复方法2)通常性错误处理操作指南3)技术支持人员联络方法4)和其它系统依靠性和处理优先级5)硬件配臵管理第81条操作程序必需取得管理者同意才能对其进行修改。操作程序必需立即更新，更新条件包含但不限于：1)应用软件变更2)硬件配臵变更9.1.2变更控制第82条必需建立变更管理程序来控制系统变更，全部变更全部必需遵守变更管理程序要求。程序内容包含但不限于∶1)识别和统计变更请求2)评定变更可行性、变更计划和可能带来潜在影响3)变更测试4)审批步骤5)明确变更失败恢复计划和责任人6)变更验收第83条关键变更必需制订计划，并在测试环境下进行足够测试后，才能在生产系统中实施。全部变更必需包含变更失败应对方法和恢复计划。全部变更必需取得授权和同意，变更申请和审批不得为同一个职员。对变更需要包含硬件、软件和信息等对象全部应标识出来并进行对应评定。变更在实施前必需通知到相关人员。第84条变更实施应该安排在对业务影响最小时间段进行，尽可能降低对业务正常运行影响。在生产系统安装或更新软件前，必需对系统进行备份。变更完成后，相关文档（如系统需求文档、设计文档、操作手册、用户手册等）必需得到更新，旧文档必需进行备份。第85条必需对变更进行复查，以确保变更没有对原来系统环境造成破坏。必需完整统计整个变更过程，并将其妥善保管。变更统计应最少每个月复查一次。9.1.3职责分离第86条系统管理员和系统开发人员职责必需明确分开。同一处理过程中关键任务不应该由同一个人来完成，以预防欺诈和误操作发生。第87条全部职责分离控制必需统计归档，作为责任分工依据。无法采取职责分离时，必需采取其它控制，比如活动监控、审核跟踪评定和管理监督等。9.1.4开发、测试和生产系统分离第88条不应给开发人员提供超出其开发所需范围权限。假如开发人员需要访问生产系统，必需经过运行人员授权和管理。第89条生产、测试和开发应分别使用不一样系统环境。开发人员不得在生产环境中更改编码或操作生产系统。不得在生产系统上私自安装开发工具（比如编译程序及其它系统公用程序等），并做好已经有开发工具访问控制。开发和测试环境使用测试数据不能包含有敏感信息。9.1.5事件管理程序第90条必需建立事件管理程序，并依据事件影响严重程度制订其所属类别，同时说明对应处理方法和责任人。必需依据事件严重程度，定义响应范围、时间和完成事件处理时间。第91条系统修复必需得到系统管理者同意方可实施。第92条全部事件汇报必需统计归档，并由部门主管或指定人员妥善保管。必需对事件处理情况进行监控，对超时处理提出改善提议并跟进改善效果。9.2第三方服务交付管理9.2.1服务交付第93条第三方提供服务必需满足安全管理制度要求。第三方提供服务必需满足企业业务连续性要求。第94条必需保留第三方提供服务、汇报和统计并定时评审，最少每六个月一次。评审内容应包含：1)服务内容和质量是否满足协议要求；2)服务汇报是否真实。9.2.2第三方服务变更管理第95条服务改变时，必需重新对服务是否满足安全管理措施进行评定。在服务变更时需要考虑：1)服务价格增加；2)新服务需求；3)企业信息安全管理制度改变；4)企业在信息安全方面新控制。9.3针对恶意软件保护方法9.3.1对恶意软件控制第96条必需建立一套病毒防治体系，方便预防病毒对企业带来影响。全部服务器、个人电脑和笔记本电脑全部应该安装企业要求防病毒软件，并立即更新防病毒软件。全部存进计算机信息（比如接收到邮件、下载文件等）全部必需经过病毒扫描。职员和第三方厂商从外界带来存放介质在使用之前必需进行病毒扫描。第97条全部职员全部应该接收防病毒知识培训和指导。第98条企业内发觉病毒、计算机或应用程序异常行为，全部必需作为安全事件进行汇报。第99条必需定时审核控制恶意软件方法有效性。一旦发觉感染病毒，必需立即把机器从网络中止开。在病毒没有被根本清除之前，严禁将其重新连接到网络上。9.4备份9.4.1信息备份第100条全部服务器、个人电脑和笔记本电脑必需依据业务需求定时进行备份。系统在重大变更之前和以后必需进行备份。第101条备份管理措施必需取得管理层审批以确保符合业务需求。备份管理措施必需最少每三个月进行一次复查，以确保没有发生未授权或意外更改。第102条应该保留多于1个备份周期备份，但关键业务信息应最少保留3个备份周期备份。备份资料和对应恢复操作手册必需定时传送到异地进行保留。异地必需和主站点有一定距离，以避免受主站点灾难波及。第103条必需对异地保留备份信息实施安全保护方法，其保护标准应和主站点相一致。必需定时测试备份介质，确保其可用性。必需定时检验和测试恢复步骤，确保它们有效性。备份系统必需进行监控，以确保其稳定性和可用性。9.5网络管理9.5.1网络控制第104条网络管理和操作系统管理职责应该相互分离，并由不一样职员负担。必需明确定义网络管理职责和义务。只有得到许可职员才能够使用网络管理系统。第105条必需建立对应控制机制，保护路由表和防火墙安全管理措施等网络参数完整性。保护经过公网传送敏感数据机密性、完整性和可用性。第106条进行网络协议兼容性评定时应考虑未来新增网络设备要求。任何准备接进网络新设备，在进网前全部必需经过协议兼容性评定和安全检验。第107条必需对网络进行监控和管理。全部网络故障全部必需向上级汇报。第108条必需建立互联网访问管理措施。除非得到授权，不然严禁访问外部网络服务。9.6介质管理9.6.1可移动介质管理第109条可移动计算机存放介质（比如磁带、光盘等）必需有合适访问控制。存放介质上必需设臵标签，以标识其类型和用途。标签应使用代码，以避免直接标识存放介质上内容。标识用代码需要统计并归档。第110条必需建立和维护介质清单，并对介质借用和归还进行统计。应确保备有足够存放介质，以备使用。第111条存放在存放介质内绝密和机密信息必需受到妥善保护。第112条存放介质存放环境必需满足介质要求环境条件（比如温度、湿度、空气质量等）。第113条备份介质必需存放在防火柜中。应该对介质寿命进行管理，在介质寿命结束前十二个月，将信息拷贝到新介质中。9.6.2介质销毁第114条应建立存放介质报废规范，包含但不限于：1)纸质文档2)语音资料及其它录音带3)复写纸4)磁带5)磁盘6)光存放介质第115条全部不会被再利用敏感文档全部必需依据定义信息密级采取合适方法进行销毁。第116条全部报废及过期存放介质必需妥善销毁。9.6.3信息处理程序第117条介质信息分类，必需采取存放信息中最高保密等级。第118条应依据介质中信息分类等级，采取对应方法来保护介质输出环境。9.6.4系统文档安全第119条存取含有敏感信息文档，必需取得对应文档管理者同意。含有敏感信息文档应保留在安全地方，未经许可不得访问。含有敏感信息文档经过内部网等提供访问，应采取访问控制加以保护。9.7信息交换9.7.1信息交换管理措施和程序第120条必需依据信息类型和保密等级，定义信息在交换过程中应遵照安全要求。第121条全部职员和第三方人员全部必需遵守企业信息交换管理措施。第122条未经许可，企业内部不许可安装、使用无线通信设备。第123条使用加密技术保护信息保密性、完整性和真实性。敏感信息带出企业必需取得直接领导或信息管理者授权。第124条必需建立控制机制来保护利用音频、传真和视频通信设备进行交换信息。第125条电话录音系统应该配臵密码，以防非法访问。第126条在使用传真机中已存放号码时，传真之前必需验证号码。第127条移动通讯设备（比如手机，PDA等）不应存放企业敏感信息。9.7.2交换协议第128条跟外界进行信息和软件交换必需签署协议，其内容必需包含：1)发送方和接收方责任2)明确发送和接收方法3)制订信息封装和传输技术标准4)数据丢失相关责任5)申明信息保密等级和保护要求6)申明信息和软件全部权、版权和其它相关原因9.7.3物理介质传输第129条必需建立传输存放介质安全标准。应使用可靠传输工具或传输人，授权传输人必需接收合适监管并进行其身份检验。应确保敏感信息机密性、完整性和可用性在传输全程中受到保护。第130条存放介质容器在运输过程前必需密封。信息分类不应该标识在容器外面。包装应该很坚固，确保介质在运输过程中不受到损坏。9.7.4电子消息第131条电子化办公系统必需建立对应管理措施和控制机制，并说明下列内容：1)确定不能被共享信息类型或密级2)系统用户权限3)系统访问控制4)和系统相关备份管理措施第132条除非取得安全管理委员会授权，不然严禁使用企业以外电子系统（比如BBS、MSN、QQ等）进行跟企业相关活动。第133条电子邮件内信息必需依据其信息分类安全要求去处理和保护。用于连接外网邮件网关必需安装防病毒软件，检验进出电子邮件。必需对Internet屏蔽邮件系统内网IP地址。第134条职员使用企业邮件系统时只能进行和业务相关活动。全部在企业邮件系统上产生及存放邮件全部是企业资产。企业有权查看和监控全部邮件。未经授权，严禁使用企业以外邮箱处理企业业务。全部对外发送邮件全部必需加上责任申明。9.7.5业务信息系统第135条在业务系统进行信息共享时，必需确保信息完整性、可用行和保密性。必需确保关键信息在交换过程中保密性。9.8电子商务服务9.8.1电子商务第136条必需采取合适方法，确保电子交易过程机密性、完整性和可用性。第137条电子商务交易必需制订相关交易申明，以明确注意事项和相关责任。在电子商务协议中，必需明确欺诈行为和未能交付责任。第138条电子交易必需设臵并维护合适访问控制。身份验证技术必需满足业务实际要求。第139条必需保留并维护全部电子商务交易过程中统计和日志。第140条应该使用加密、电子证书、数字署名等技术保护电子商务安全。9.8.2在线交易第141条必需保护在线交易信息，避免不完整传输、路由错误、未授权消息更改、未授权信息信息泄漏、复制和回复。第142条在线交易中必需使用数字证书保护交易安全。交易中必需使用加密技术对全部通信内容加密。在线交易必需使用安全通讯协议。第143条在线交易信息必需保留在企业内部存放环境，存放环境不能被从Internet直接访问。第144条在线交易必需遵守国家、地域和行业相关法律法规。9.8.3公共信息第145条必需确保公共信息系统中信息完整性，并预防非授权修改。第146条信息公布必需遵守国家法律法规要求。经过信息公布系统向内部和公众公布信息全部必需经过企业相关部门检验和审批。信息在公布之前必需经过查对，确定其正确性和完整性。必需对敏感信息处理和存放过程进行保护。9.9监控9.9.1日志第147条全部操作系统、应用系统全部必需含有并启用日志统计功效。第148条日志统计信息必需包含但不限于：1)用户ID；2)每项操作日期和时间（最少要正确到秒）；3)起源标识或位臵；4)成功系统访问尝试；5)失败或被拒绝系统访问尝试；第149条日志类型包含但不限于：1)应用日志；2)系统日志；3)安全日志；4)操作日志；5)问题统计。第150条必需确保日志统计功效在任何时候全部能正常运行。应该有机制监控日志容量改变，在容量耗尽之前发出报警信息。第151条除非尤其申明，全部日志全部必需被分类为“机密”。日志应该定时复查，最少每个月一次。9.9.2监控系统使用第152条不一样信息处理设备所要求监控等级应该经过风险评定来决定，必需考虑下列要素：1)系统访问；2)全部特权操作；3)未授权访问尝试；4)系统警报或故障。第153条应天天定时监控网络（包含网络性能和网络故障），并依据产生汇报，对异常改变网络流量，作深入分析，以发觉潜在网络安全问题。9.9.3日志信息保护第154条必需确保日志不能被修改或删除，全部对于日志文件访问（如删除、写、读或添加）尝试全部应该有对应统计。第155条除非尤其申明，日志必需最少保留1年。只有授权职员才能访问并使用日志。必需采取控制方法保护日志完整性。9.9.4管理员和操作员日志第156条系统管理员和操作员操作必需被统计日志。第157条日志统计应包含关键操作，比如和用户管理相关操作（用户帐号创建、删除、权限设臵、修改）、和财务相关操作等。第158条管理员和关键系统操作员日志应该最少每七天复查一次。对于关键财务系统和业务系统天天全部要复查。9.9.5故障日志第159条必需开启故障日志功效。第160条必需确保故障统计跟进处理，确保问题得到完全处理，而且其纠正方法不会带来新安全问题。全部故障统计全部应该向上级汇报并统计归档。第161条故障统计应妥善保管，预防被损坏，必需时应该进行备份。9.9.6时钟同时第162条全部系统应该使用时钟同时服务，并使用同一时钟源。第163条全部系统中时间许可最多一分钟偏差。第164条对于不能进行时钟同时系统，必需对时间进行每个月一次检验。10访问控制方面10.1访问控制要求10.1.1访问控制管理措施第165条全部系统和应用全部必需有访问控制列表，由系统管理者明确定义访问控制规则、用户和用户组权限和访问控制机制。访问控制列表应该进行周期性检验以确保授权正确。第166条访问权限必需依据工作完成最少需求而定，不能超出其工作实际所需范围。必需根据“除非明确许可，不然一律严禁”标准来设臵访问控制规则。第167条全部访问控制必需建立对应审批程序，以确保访问授权合理性和有效性。必需禁用或关闭任何含有越权访问功效。职员职责发生改变或离职时，其访问权限必需作对应调整或撤销。第168条系统自带默认帐号应该禁用或配臵密码进行保护。10.2用户访问管理10.2.1用户注册第169条开放给用户访问信息系统，必需建立正式用户注册和注销程序。第170条全部用户注册全部必需经过用户注册程序进行申请，并得到部门领导或其委托者同意。系统管理者对用户含有最终授权决定权。必需保留和维护全部用户注册信息正式用户统计。第171条负责用户注册管理员必需验证用户注册和注销请求正当性。第172条每个用户必需被分配唯一帐号，不许可共享用户帐号。用户一旦发觉其帐号异常，必需立即通知负责用户注册管理员进行处理。假如用户帐号连续120天没有使用，必需禁用该帐号。第173条帐号名不能透露用户权限信息，比如管理员帐号不能带有Admin字样。10.2.2特权管理第174条必需建立正式授权程序，以确保授权得到严格评定和审批，并确保没有和系统和应用安全相违反。第175条必需建立授权清单，统计和维护已分配特权和其相正确用户信息。10.2.3用户密码管理第176条只有在用户身份被确定后，才许可对忘记密码用户提供临时密码。第177条系统中统一管理帐号密码模块保留密码必需是加密。第178条密码必需保密，不得和她人分享、放在源代码内或写在没有保护介质上（如纸张）。第179条必需强制用户在第一次登录时修改密码。第180条系统应该设臵定时密码修改管理措施，并限制最少最近3个旧密码重用。第181条系统必需启用登录失败限制功效，假如连续10次登录失败，系统应该自动锁定相关帐号。第182条在经过电话传送密码以前必需确定对方身份。第183条严禁帐号和密码被一起传送，比如用同一封邮件传送帐号和密码。第184条全部系统全部应该建立应急帐号，应急帐号资料必需放在密封信封内妥善收藏，并控制好信封存取。必需统计全部应急帐号使用情况，包含相关人、时间和原因等。应急帐号密码在使用后必需立即修改，然后把新密码装到信封里。10.2.4用户访问权限检验第185条必需六个月对注册用户访问权限和系统特权进行一次复查，关键系统必需每三个月复查一次。此过程应该包含但不限于：1)确定用户权限有效性和合理性2)找出全部异常帐号（如长时间未使用和已离职人员帐号等），进行分析并采取对应方法第186条必需对可疑或不明确访问权限进行调查，并作为安全事故进行汇报。10.3用户责任10.3.1密码使用第187条用户必需对其帐号安全和使用负责，不管在何种情况下，用户全部不应该泄漏其密码。用户不应该使用纸张或未受保护电子形式保留密码。用户一旦怀疑其帐号密码可能受到损害，应该立即修改密码。第188条用户在第一次使用帐号时，必需修改密码。用户必需最少每六个月修改一次密码。特权帐号密码必需最少每3个月修改一次。用于系统之间认证帐号密码必需最少每六个月修改一次。第189条除非有技术限制，密码应该最少包含8个字符。此8个字符必需包含数字和字母。第190条用户不应使用轻易被猜测密码，比如字典中单词、生日和电话号码等。前3次用过密码不应该被反复使用。第191条密码不应该被保留于自动登录过程中，比如IE中帐号自动保留。10.3.2清除桌面及屏幕管理措施第192条全部服务器和个人电脑全部必需启用带有口令保护屏幕保护程序，激活等候时间应少于10分钟。第193条无人使用时，服务器、个人电脑和复印机等必需保持注销状态。第194条不能将机密和绝密信息资料遗留在桌面上，而应该依据信息保密等级进行处理。第195条必需为信件收发区域和无人看管传真机设臵合适保护方法。第196条打印完敏感信息以后，必需确定信息已从打印队列中清除。10.4网络访问控制10.4.1网络服务使用管理措施第197条必需建立授权程序来管理网络服务使用。第198条应遵照业务要求中所说明访问控制管理措施来限制访问。第199条全部系统全部必需设臵访问控制机制来预防未经授权访问。10.4.2外部连接用户认证第200条对企业系统进行远程访问，必需建立合适认证机制，采取机制应经过风险评定来决定。第201条经过拨号进行远程访问必需经过正式同意，并做好相关统计。第202条用于远程访问调制解调器平时必需保持关闭，只有在使用时候才能打开。第203条在企业外部进行远程办公，必需使用VPN进行连接。第204条和外部合作伙伴进行信息交换，应该使用专线进行连接。10.4.3远程诊疗和配置端口保护第205条在不使用时候，诊疗端口应该被禁用或经过合适安全机制进行保护。第206条假如第三方需要访问诊疗端口，必需签署正式协议。第207条对远程诊疗端口访问，必需建立正式注册审批程序。访问者必需只被授予最小访问权限来完成诊疗任务，而且必需得到认证。第208条全部远程诊疗访问必需事先申请并取得同意。第209条在远程诊疗会话期间，必需统计全部实施活动信息，包含时间、实施者、实施动作和结果等。这些统计应该由系统管理员进行检验以确保访问者只实施了被授权活动。10.4.4网络划分第210条必需将网络划分为不一样区域，以提供不一样等级安全保护，满足不一样服务安全需求。第211条对于关键网络区域必需设臵访问控制以隔离其它网络区域。第212条应该使用风险评定来决定每个区域安全等级。第213条企业外部和内网之间应该建立一个DMZ。10.4.5网络连接控制第214条企业以外网络连接，在建立连接前必需对外部接入环境进行评定，满足企业管理措施后才能接入。第215条全部网络端口必需进行限制，以预防非授权电脑接入企业网络。限制要求最少应包含：1)全部端口默认全部是关闭，只有在经过正式同意后才能开通；2)端口关闭必需在职员离职和岗位变动步骤中表现；3)临时使用端口或位臵变动，职员必需主动申请停用原有端口，开通新端口前必需先关闭原有端口。第216条必需将网络接口和接入设备绑定，假如需要更换接入设备，必需经过部门经理审批。第217条全部接入企业网络主机必需经过企业标准化安装。第218条企业必需设置一个单独网络区域供非企业标准化安装电脑接入，此区域在网络上是完全封闭、独立。10.4.6网络路由控制第219条路由访问控制列表必需基于合适源地址和目标地址检验机制。全部对外提供网络服务网络地址必需进行地址转换。第220条全部关键服务器管理端口必需经过指定路径进行访问。10.5操作系统访问控制10.5.1用户识别和认证第221条全部用户全部应该被识别和认证。在每个系统上创建实名用户，系统登陆必需使用实名用户。假如因特殊原因不能使用实名用户登陆，必需经过安全管理委员会同意。第222条用户认证失败信息中，应该不显示具体失败原因。比如不能显示“帐号不存在”或“密码不正确”。第223条假如因为业务要求需要使用共享用户帐号，那么此共享帐号应该得到正式同意并明文归档。第224条系统管理员和应用管理员必需使用不一样帐号。第225条全部使用帐号密码进行认证系统，在帐号密码传送过程中，应该采取加密保护方法预防泄漏。10.5.2密码管理系统第226条系统应该强制用户在第一次成功登录后修改初始密码。修改密码时，系统必需提醒用户确定新密码，以预防输入错误。不能明文显示输入密码。第227条密码文件应该和应用系统数据分开存放。密码处理时必需使用单向加密。当密码靠近失效期或已经过期时，系统应该提醒或强制用户修改密码。第228条全部默认密码全部应该在软件安装后立即更改。系统应该许可用户修改自己密码。第229条系统密码管理措施必需满足以下要求：1)密码长度最少8个字符；2)启用密码复杂度要求，最少包含大写字母、小写字母、数字、特殊字符中三种；3)管理员帐号密码使用期是90天；4)关键系统用户帐号密码使用期是90天；5)非关键系统一般帐号密码使用期是180天；6)统计历史密码次数不少于5个；7)帐号密码验证失败锁定阀值是10次；8)帐号被锁定后必需由管理员解锁。9)假如因系统本身功效限制不能满足上述管理措施要求，其设臵密码管理措施必需经信息安全管理委员会审核同意。10.5.3系统工具使用第230条全部系统工具全部应该被识别，无须要工具必需从生产系统中删除。10.5.4终端超时终止第231条连接到服务器全部终端，在30分钟内没有活动，全部应该被终止连接。10.5.5连接时间限制第232条对关键信息系统（如前臵机、合作伙伴主机等）提供附加安全保护，包含但不限于：1）只许可在之前协商好时间段内访问（如：天天6点—6点半）2）只许可在正常工作时间内访问（如：每七天一至周五9点—17点）3）远程诊疗modem在不使用时必需处于关闭状态，在使用后必需立即关闭。10.6应用系统访问控制10.6.1信息访问限制第233条应用系统应该控制用户访问权限，如读写权限、删除权限和实施权限。第234条必需确保处理敏感信息应用系统仅输出必需信息到授权终端，同时应对这些输出功效进行定时检验，确保不存在输出多出信息。10.6.2敏感系统隔离第235条应该依据应用系统敏感程度对系统进行合适隔离保护，比如：1)运行于指定计算机上2)仅和信任应用系统共享资源3）敏感系统各个部分全部应该以合适方法进行保护。10.7移动计算和远程办公10.7.1移动计算第236条移动设备（包含个人手持设备、笔记本电脑）和家庭办公个人电脑全部应该受到保护以防未授权访问。第237条进行移动和家庭办公职员，应该对其使用设备做好物理保护，预防丢失、偷窃和破坏等。存放在移动设备中敏感信息必需做好保护，比如采取加密以防泄漏。第238条移动设备用户必需做好防病毒工作。移动设备中企业信息应该做好备份工作，预防丢失。10.7.2远程办公第239条必需建立远程办公使用标准和授权程序。第240条远程办公访问权限必需基于最小权限标准进行分配，授权内容应该包含：1)许可访问系统和服务2)许可进行工作3)访问时段第241条远程办公访问控制应该采取双重认证方法。远程办公信息在传输过程中必需加密。第242条职员离职或不再使用远程办公时，必需取消其相关远程办公访问权限。必需定时对远程办公实施审计和安全监控。11信息系统采购、开发和维护方面11.1系统安全需求11.1.1系统安全需求分析和范围第243条在系统开发整个过程（尤其是在系统需求阶段）全部必需考虑安全需求，包含但不限于：1)系统架构2)用户认证3)访问控制和授权4)事务处理机密性和完整性5)日志统计功效6)系统配臵7)法律法规和兼容性要求8)系统恢复第244条在系统需求和设计阶段，需要对系统进行安全方面评审。第245条应该在开发整个周期对安全需求实施正确性进行阶段性检验，以确保其对应安全方法根据要求被定义、设计、布署和测试。第246条在使用商业软件或软件包前，必需根据上述安全需求进行评定。对于软件安全控制要求应该在评定之前定义好。第247条软件必需经过用户正式验收后才能投入生产。软件在正式使用前必需经过安全方面测试，测试内容必需包含全部设计文档中安全要求。第248条为了对用户操作进行检验和审计，系统必需提供日志统计功效。系统应提供只有日志审计人员能够访问用来查看日志统计审计接口。日志文件必需设臵严格访问控制，包含系统管理员、日志审核员在内全部角色全部只能有查看权限。11.2应用系统中安全11.2.1数据输入验证第249条全部接收数据输入入口必需有对应验证处理，包含但不限于：1)数据长度2)数据类型3)数据范围4)字符限制第250条依据业务需要，对于根据纸面信息输入数据，系统应该提供“数据在输入被确定”以后才能提交功效。第251条系统应该对错误输入数据提供有帮助提醒信息。必需对数据输入验证功效进行全方面测试，以确保其正确性和有效性。系统在使用过程中，应该明确定义参与数据输入各步骤全部相关人员职责。11.2.2内部处理控制第252条应用系统设计应该考虑以下原因，预防正确输入数据因错误处理或人为原因等遭到破坏：1)程序应该有处理校验机制2)程序应该有对应例外处理机制3)对于有前后实施次序程序或程序模块，内部必需有实施次序限制机制第253条控制方法选择应依据应用性质和数据受损对业务造成影响而定，可选择方法包含但不限于：1)会话或批处理控制方法，在事务更新后协调相关数据文件一致性2)验证系统生成数据正确性3)检验数据完整性，尤其是在计算机之间传输数据4)计算统计和文件哈希值方便验证5)确保程序以正确次序运行，在出现故障时终止，在问题处理前暂停处理11.2.3消息验证第254条对需要确保消息内容完整性应用（比如电子交易）应该使用消息验证。第255条在采取消息验证之前，应该经过安全风险评定，以确定其是否能满足需要或采取其它更适合处理方法。11.2.4数据输出验证第256条应该使用检验输出数据合理性机制。应该使用确保数据被全部处理机制。第257条输出数据应该含有相关标志，方便判定数据状态（比如是否正确、是否完整等）。必需对数据输出验证功效进行全方面测试，以确保其正确性和有效性。第258条系统在使用过程中，应该明确定义参与数据输出各步骤全部相关人员职责。11.3加密控制11.3.1加密使用管理措施第259条敏感信息应该依据信息分类要求采取加密方法进行保护。第260条加密方法采取不仅要考虑到信息存放，也应该考虑到信息传输要求。应该使用被企业认可标准加密算法。第261条未经安全管理委员会同意，用户不能安装任何未经授权加密软件。第262条加密算法应该依据算法强度和密钥长度进行选择，以符合信息保护要求。第263条数字署名使用必需符合国家电子署名法相关要求。11.3.2密钥管理第264条密钥管理系统应该包含以下活动：1)密钥产生2)密钥变更3)密钥存放4)密钥交换和分发5)密钥注销6)密钥恢复和备份7)密钥销毁11.4系统文件安全11.4.1生产系统应用软件控制第265条生产系统应用软件更新必需由取得授权管理员来实施。第266条严禁在生产系统中保留应用软件源代码。必需建立程序库统一保管和维护应用程序可实施代码。第267条在测试成功、用户验收完成或相关程序库被更新前，严禁更新生产系统中可实施代码。第268条必需对程序库做好访问控制，并对程序库更新进行日志统计。第269条应用软件必需做好版本控制管理，每一个版本全部必需有对应备份。源代码全部版本全部必需保留，并标识版本号，每个版本之间差异描述要文档化。11.4.2测试数据保护第270条测试系统应该参考生产系统访问控制规则进行访问控制。第271条每次从生产系统中复制数据到测试系统中必需取得授权，并做好统计。从生产系统中复制数据必需经过处理，去掉相关财务和个人隐私信息。11.4.3对程序源代码库访问控制第272条应该建立程序源代码库，并由指定人员进行统一管理。正在开发或修改程序不应该保留在程序源代码库中。第273条更新程序源代码库和向程序员提供程序源代码，应经过指定程序源代码库管理员来实施，而且取得管理层授权。程序源代码必需保留在安全环境中。第274条必需控制程序源代码库访问，只提供工作需要最小权限。程序源代码访问必需做好相关统计。第275条程序源代码必需做好版本控制管理，每一个版本全部必需有对应备份。11.5开发和维护过程中安全11.5.1变更控制步骤第276条全部应用软件变更必需取得同意。第277条应用软件变更需求应该由业务部门授权资深人员提出。应用软件变更不应破坏软件本身可靠性和已经有控制方法。第278条变更需求中应该包含对运行环境要求（如硬件资源、软件资源等）。第279条变更设计方案必需经过正式同意才能开始编码。变更在布署之前必需经过验收。第280条变更布署必需尽可能降低对业务正常运行影响。第281条变更完成后，相关文档（如系统需求文档、设计文档、操作手册、用户手册等）必需得到更新，旧文档必需进行备份。第282条必需维护全部软件更新版本控制。必需维护全部变更需求统计。11.5.2操作系统变更技术检验第283条操作系统变更之前必需进行评定，以确保应用程序完整性和控制方法不会受到破坏。操作系统变更之前必需通知相关人员，方便她们有足够时间去做相关评定。第284条操作系统变更以后必需对业务连续性计划作对应修正。11.5.3商业软件修改限制第285条由厂家提供商业软件不应该被修改。假如需要修改商业软件，必需评定下列影响：1)软件功效和内部控制方法是否会受到破坏2)是否会造成厂家升级包不能使用3)原厂商对修改过软件是否不提供维护支持第286条在进行任何修改之前，必需得到厂家许可，以确保不侵犯其知识产权。11.5.4信息泄漏第287条软件开发、采购和使用全部应该受到控制和检验，以防范可能隐秘通道、逻辑炸弹、木马等。以下几点必需被考虑到：1)只从信誉良好厂家购置软件2)关键系统上工作必需由值得信任职员担任3)购置取得国家相关机构认可软件4)全部开发代码全部必需进行安全检验，确定无问题后才能够布署在生产环境。第288条全部源代码应该进行合适注释，以方便检验。11.5.5软件开发外包第289条全部外包开发软件，必需签定正式协议，协议内容包含但不限于：1)确定软件许可证范围和数量2)明确代码全部权和知识产权归属3)对代码质量要求4)有权对软件开发过程进行审计5)软件维护要求第290条外包软件在正式使用前，必需经过病毒检测和充足测试。对于提供源代码外包软件，必需