午啪啪夜福利无码亚洲,亚洲欧美suv精品,欧洲尺码日本尺码专线美国,老狼影院成年女人大片

1、中國東方航空股份有限公司信息安全管理規定第一章總則第一條為了進一步加強中國東方航空股份有限公司（以下簡稱“公司”）的信息安全管理，完善信息安全體系，保護公司的信息資產，依據中華人民共和國有關信息安全法律以及國際標準，結合行業、公司信息安全建設實際情況，特制定本規定。第二條本規定適用于公司所有信息資產及涉及信息資產的相關部門。本規定中所稱的信息資產包括但不僅限于：數據庫和數據文件、系統文檔、用戶手冊、培訓資料、運行程序、存檔信息、應用軟件、系統軟件、開發工具和實用程序、計算機、通訊設備、磁介質（磁盤與磁帶）、其它技術基礎設備（供電設備、空調設備、防雷設備、消防設備、門禁設備）、人員、計算服務、通2、訊服務、網絡服務等。第二章基本原則第三條全員參與原則。公司每位員工都應對維護信息安全負有相應的責任和義務，具體包括：（一）所有接觸和使用公司信息資產的人員和機構都有責任保障信息資產的安全。（二）信息系統的安全由使用信息系統的業務部門、管理部門以及維護系統的技術單位、部門共同承擔，其中業務、1管理部門作為資產的所有者擁有信息資產的管理責任和授權權利，而維護系統的技術單位、部門通常作為信息資產的維護者，在各管理部門、業務部門的授權下，承擔各應用系統的管理、維護責任。（三）各單位、各部門需對所有員工定期進行信息安全方面的培訓，并作為長期進行的制度化工作之一。第四條職權分離原則。對角色和責任進行分類時3、要考慮互相制衡的機制，使一個崗位的員工無法破壞關鍵的過程，如業務操作權限和系統管理權限的分開；超級賬號的操作與系統審計權限的分開；業務申請操作和業務審核操作權限的分開等；公司各單位各部門應在設定崗位、制定崗位職責說明書或是具體安排人員時基于此原則，將信息安全職責落實到具體的崗位中去。第五條“雙人操作原則”。對于重要計算機系統、網絡和通信設備及相關區域的崗位，應安排兩個擁有類似知識背景和專業技能的人員共同工作，以降低單個關鍵人員操作失誤或個人蓄意破壞而導致的風險。第三章機構和職責第六條公司信息安全委員會是公司信息安全工作的領導機構，負責貫徹國家有關法律法規，落實上級信息安全機構的工作要求，研究和4、決定公司信息安全工作相關事項。信息安全委員會由各關鍵業務、生產單位及信息部主管領導組2成。第七條公司信息安全委員會下設的信息安全管理辦公室是公司信息安全工作的職能機構，負責組織開展與信息安全有關的監督管理、教育培訓、信息安全抽查、信息安全事件查處等工作。信息安全管理辦公室是信息安全管理委員會的常設機構，掛靠在信息部，由信息安全專職人員及各關鍵業務、生產單位的信息安全聯系人員組成。第八條公司信息安全工作按照“誰主管誰負責、誰運維誰負責、誰使用誰負責和屬地化管理的要求”，逐級落實信息安全責任。第四章信息設備安全管理第九條嚴禁在未經公司信息部的許可或授權的情況下私自改變辦公桌面信息設備，包括但不僅限5、于：(一)私自拆卸桌面計算機的硬件設備。(二)增加桌面計算機的設備，如增加內存，增加輸出設備（可讀寫DVD光驅等）。第十條在桌面計算機及相關設備出現問題時，應及時聯系公司IT系統人員，禁止自行拆開公司的計算機和相關設備進行修理。第十一條相關設備（開發、辦公、運行的計算機設備）在外借或報廢（棄用）時，需由專人對機內系統和數據作相3應處理，防止泄密。第十二條所有的硬件資產必須明確設備的使用人員、管理人員。第十三條硬件資產的使用人或管理人，在使用或管理硬件資產時，要注意硬件資產的安全性、機密性、完整性，防止信息載體的毀壞和信息的泄密，防止信息處理設施的濫用。第十四條須對設備定期進行維護保養，發生毀壞6、，丟失等問題時能夠及時處臵。第十五條對于無人職守的設備，要明確管理人員，加強物理安全控制。第十六條當設備遷移時，如果設備中存儲有重要信息時，需事先進行備份。第十七條設備遷移完成后，需要檢查設備是否損壞。第十八條設備遷移出公司時，檢查人員在檢查時要格外注意，禁止設備中存放重要信息，以防止公司機密信息泄露或增加泄露的風險。第十九條存儲設備報廢前需進行重要數據的備份，在備份后需對其中存儲的涉密信息進行脫密處理。第二十條對于中心機房內的關鍵信息系統設備如：各類服務器、存儲設備、核心交換、重要鏈路等需運維操作單位、部門制定有針對性的安全維護手冊并嚴格執行。4第五章桌面信息系統安全管理第二十一條桌面辦公系7、統應使用軟件廠商支持的正版、主流操作系統或計算機廠商OEM的操作系統，并應及時將補丁更新至最新。第二十二條桌面辦公系統應避免使用Server類操作系統，因工作要求有特殊需求的，應報公司信息部批準并備案。第二十三條未經公司信息部批準，禁止使用自帶的安裝介質或軟件包在辦公桌面計算機上安裝操作系統。第二十四條在進行區間劃分時應保證至少兩個分區，即系統分區和工作分區。第二十五條如無特殊需求，嚴禁在辦公桌面計算機上設臵共享文件夾。必須使用時，應設臵口令保護、只讀權限等安全措施，同時設臵的口令應符合第八章的要求，使用完后應及時取消共享。第二十六條必須安裝企業級防病毒客戶端軟件，該軟件的安裝應使用公司信息部8、提供的安裝介質或軟件包，在具體使用過程中必須保證安全軟件的正常運轉，不得自行卸載這些安全軟件。第二十七條桌面計算機上只能安裝辦公系統必須使用的基礎應用軟件、工具軟件以及各單位各部門的生產應用軟件等，如辦公軟件、郵件客戶端、壓縮解壓縮軟件、漢字輸5入法、AOC系統、離港系統、財務系統等。第二十八條嚴禁安裝盜版軟件、與工作無關的軟件、可能會破壞公司信息安全的各種黑客軟件等。第二十九條用戶對自己所使用的桌面計算機的安全承擔最終責任，除非有特殊情況，否則嚴禁授權他人使用自己的桌面計算機。第三十條運維操作單位須定期將公司桌面系統的運行維護及信息安全狀況向信息部反饋。運維操作單位需建立明確的桌面系統定期安9、全審查制度，并向公司信息部提交審查情況報告（審查內容包括桌面系統中是否安裝盜版軟件、與工作無關的軟件、各種黑客軟件等；是否安裝防病毒軟件并及時更新病毒代碼；是否設臵屏保密碼、開機密碼等；是否安裝最新操作系統安全補丁）。公司信息部對桌面系統安全審查報告進行審核，并存檔。第六章機房安全管理第三十一條機房基礎設施要求。(一)機房應配備足夠容量的UPS及足夠容量的輸送電纜，確保供電安全。(二)機房應配備空調及濕度調節器，確保機房內設備正常運轉必須的溫度及濕度。(三)機房內應配備符合機房要求的消防設施，并定期6按照消防部門的要求進行檢測。(四)機房內機柜應擺放整齊，機柜內放臵的設備及其使用人、用途等信息10、應作醒目標識。(五)應對穿過機房墻壁和樓板的水管增加必要的保護措施。應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透。(六)中心機房需安裝監控設備，并有專人監控。(七)中心機房需安裝防雷擊設備，并定期通過專業部門的檢測。(八)機房實際承重需符合國家設定的機房承重標準。第三十二條機房內應保持清潔安靜，嚴禁吸煙、喝水、吃東西、亂扔雜物、大聲喧嘩。第三十三條機房內嚴禁堆放與機房設備無關的雜物，避免造成安全隱患。第三十四條機房禁止放臵易燃、易爆、腐蝕、強磁性物品。第三十五條禁止將機房內的電源引出挪做他用，確保機房安全。第三十六條未經許可，機房內嚴禁攝影、攝像。第三十七條機房內機柜、設備未經許可，不得任意11、改動；如果已獲得許可，需詳細記錄改動后的情況。第三十八條進入機房工作的人員有責任在工作完成后7及時清理工作場地、清除垃圾、做好設備標簽、關閉機柜柜門。第三十九條機房巡檢要求。(一)機房運維操作單位應制定明確的機房運行保障指標，并報信息部備案。(二)機房運維操作單位需每日巡檢中心機房至少二次，并填寫中心機房巡檢記錄。(三)機房運維操作單位需每周巡檢二級節點機房，并填寫二級節點機房巡檢記錄。(四)運維操作單位需制定具體的巡檢檢查單。(五)機房巡檢記錄每月匯總后報信息部。第四十條機房出入要求。(一)需要持有機房鑰匙的人員必須得到信息部批準并登記備案。(二)需要進入中心機房的工作人員在得到信息部的批準12、后，方能進入機房。(三)進入中心機房時必須攜帶身份證明備查，并使用專用門卡通過門禁系統。門禁系統刷卡記錄應至少保存半年。(四)外來人員進入機房需經過信息部批準，并有專人全程陪同，并記錄所有人員姓名，工作內容及時間。(五)必須妥善保管門禁卡，如遺失，需及時上報作廢。8(六)嚴禁將專用門禁卡轉借他人。(七)在機房區域內發現陌生可疑的人應主動上前詢問，或通知安全保衛人員對此情況進行關注。(八)在出入如機房等一些敏感的安全區域時，應遵照相關規定佩帶身份證明識別標志（徽章、名卡）等，不得偽造或使用他人的身份證明標志。(九)機房運維操作單位須保留機房出入記錄，以備信息部進行審核。第七章辦公環境信息安全管理13、第四十一條辦公室鑰匙應由專人管理。第四十二條電腦操作系統的桌面上不可存有涉密信息。第四十三條辦公桌面在無人在位的情況下不應放臵涉密文件、含涉密信息的U盤等移動存儲設備。第四十四條員工暫時離開辦公使用的計算機時，應使用計算機內的鎖定保護功能。第四十五條辦公環境應劃定專門的來訪接待區域，不應在內部辦公區接待來訪人員。第四十六條進出敏感的辦公區域如系統開發、系統管理等應遵照規定佩戴身份標識。第四十七條在辦公區域內發現陌生可疑的人應主動上前詢問，或通知安全保衛人員對此情況進行關注。9第四十八條辦公區域需保持干凈、整潔。辦公區域禁止堆放與工作無關的雜物。第四十九條禁止攜帶任何危險品、可燃品或其他可能影響14、人員和設備安全的物品進入辦公區域，如有特殊需要必須得到管理人員的同意才可進入。第五十條應及時取走打印或復印的含有敏感信息的文件。第五十一條各部門需根據自己的業務特點制定更有針對性的辦公區域信息安全規定。第八章信息系統密碼信息安全第五十二條密碼的設定。(一)涉及財務、支付等和資金相關的系統，涉及公司商業秘密的系統，重要賬號如系統管理員、應用管理員，密碼強度須保證至少8位或以上，至少由數字及字母大小寫混合組成。一般系統用戶密碼強度須保證至少6位或以上，至少由數字及字母大小寫混合組成。(二)筆記本電腦及桌面PC應設臵用戶登錄密碼。(三)應避免在多個系統內使用相同的密碼，以防密碼被非法獲取后產生連鎖后15、果。第五十三條密碼使用。(一)在輸入密碼時，應保持必要的警惕性，防止被人通過非法手段獲取密碼。10(二)禁止在未經信息部允許的情況下編寫并使用自動登錄系統的腳本和程序。(三)輸入密碼時需確認所操作的電腦是否已安裝符合公司要求的殺毒軟件且已更新，以確保無后門、木馬、按鍵記錄軟件等非法插件。第五十四條密碼更新。(一)在第一次登錄系統時須更改初始密碼。(二)密碼由于長期的使用已處于泄露風險下的，需進行更改，參考時間為90天。(三)更改的密碼不應是舊密碼的簡單更改。(四)只要有系統或者密碼可能被侵害的跡象，就需更改密碼。如：系統提示的上次登陸時間未曾登陸過，未曾做過的操作在系統中出現。第五十五條密碼保16、護。(一)密碼不應隨意透露給其他人員。(二)應盡量避免將密碼書寫在紙面或是存放在電子文檔中。(三)不要共用個人賬號、密碼。(四)禁止將記錄有密碼信息的載體任意放臵在工作區域周圍。第五十六條業務系統及服務器端密碼口令要求。11(一)業務系統的賬號口令的維護應遵循本規定第五條，做到操作與審計分離，業務申請和業務審核分離。(二)程序賬號密碼需保存在某文件里面的情況，該文件需改為不可讀文件，并控制該文件只能是對應程序訪問。程序所使用的賬號及密碼不能用于日常運維管理，不能供用戶使用。程序所使用的賬號及口令禁止擴散。(三)內臵于業務系統源代碼中的數據庫調用中的用戶名，明文密碼，應當進行應用系統改造或使用不17、可讀的配臵文件來實現。參考第五十六條（二）。(四)對互聯網開放的系統，用戶的登錄過程需同時具有機器難以識別的人工校驗的輸入。(五)系統的測試賬號在系統試運行結束時應進行禁用及歸檔操作。(六)業務系統所配臵的密碼都可以進行更改操作。第九章信息系統訪問控制第五十七條網絡接入。(一)使用移動終端（筆記本電腦）或臺式計算機在公司內部辦公時，應嚴格遵守公司對于桌面系統的統一配臵和管理，禁止私自變更辦公桌面的IP地址，以免擅自配臵的IP地址與其他計算機的IP地址或服務器的IP地址沖突。(二)未經公司信息部批準或授權，禁止使用非公司的桌面設備接入公司的企業內部網。12(三)如需通過公司VPN接入設備接入公司18、局域網，須向公司信息部提出申請，提交東上航VPN用戶申請表，注明需要訪問的應用系統等信息，經審核后方能使用VPN賬號。(四)各單位各部門如有接入公司局域網的需求，須向公司信息部提出申請，由公司信息部規劃設計后方能實施，嚴禁自行進行網絡布線工程的建設以及私自接入公司局域網絡。第五十八條網絡使用。(一)如需利用公司網絡資源訪問互聯網，須向公司信息部提出申請，提交東航互聯網訪問權限申請表，經審核開通后方能使用上網賬號。(二)嚴禁利用網絡從事以下活動：1.制作、發表、傳播各類虛假和有害信息、破壞國家和社會穩定、危害市場經濟秩序和社會管理秩序；2.竊取、泄露國家秘密、情報或者軍事秘密、危害國家安全；3.19、建立淫穢網站、網頁，提供淫穢站點鏈接服務，或者傳播淫穢書刊、影片、音像、圖片；4.故意制作、傳播計算機病毒等破壞性程序，攻擊或侵入計算機系統及通信網絡，致使計算機系統及通信網絡遭受損害；135.損害他人商業信譽和商品聲譽；6.非法截獲、篡改、刪除他人電子郵件或者其他數據資料，侵犯公民通信自由和通信秘密；7.在工作時間內利用公司網絡從事與工作無關的活動，占用網絡資源，影響網絡安全；8.登錄各類非法站點（如各類色情論壇和網站、黑客網站、宣揚邪教和臺獨的論壇和網站等），娛樂類的站點（如各類游戲、音樂、電影網站和論壇等）以及其他與工作無關的信息站點（股票、在線購買等）；9.在工作時間內利用公司網絡傳輸20、和下載與工作無關的文件。第十章應用系統安全管理第五十九條操作系統、數據庫用戶及授權管理。應用系統的操作系統、數據庫用戶及授權管理權限歸屬于信息部，由系統運維操作單位負責具體執行，對操作系統、數據庫用戶及授權管理包括并不限于以下幾方面：(一)明確操作系統、數據庫用戶的責任人（可以是項目組或運維管理方），由其負責決定用戶的授權，并由運維操作方指定的系統管理員在系統中執行授權。(二)制訂操作系統、數據庫用戶申請表格，用戶申請系統權限時需要注明其工作職責及所需權限，由用戶部門主管簽字認可，系統負責人將該信息備案留檔后，授權運維操14作方執行操作。(三)建立權限變更流程，對于離職或由于輪崗等原因影響到系21、統中權限的取消或更換，亦需要由用戶所在部門提交申請，并由其主管領導或人事部門領導簽字認可，系統負責人將該信息備案留檔后，授權運維操作方執行操作。(四)系統管理員應定期（例如每六個月）打印用戶授權清單并分發給各系統使用部門的主管領導對用戶及其權限進行復核，書面簽字確認后反饋給系統管理員及其主管。復核文檔應由信息部存檔。第六十條應用系統用戶及授權管理。應用系統的用戶及授權管理權限歸屬于此應用系統相關業務部門，對應用系統的用戶及授權管理包括并不限于以下幾方面：(一)明確關鍵應用系統的責任人（可以是業務部門的管理層）由其負責決定用戶的授權，并由指定的應用系統管理員在系統中執行授權。應用系統管理員所做的22、所有操作系統都需進行審計記錄，應用系統管理員沒有更改審計記錄的權限。(二)每個應用系統制訂書面用戶申請表格，用戶申請系統權限時需要注明其工作職責及所需權限，由用戶部門主管簽字認可。(三)建立權限變更流程，對于離職或由于輪崗等原因影響到系統中權限的取消或更換，亦需要由用戶所在業務部15門填寫書面申請表格，并由其主管領導或人事部門領導簽字認可。(四)應用系統管理員應定期（例如每六個月）打印用戶授權清單并分發給各系統使用部門的主管領導對用戶及其權限進行復核，書面簽字確認后反饋給系統管理員及其主管。復核文檔應由責任部門存檔。第六十一條應用系統變更管理(一)應用系統的變更需事先制定實施方案，實施方案中必23、須含有變更失敗的緊急回退操作方式。(二)已維護移交的系統，維護需求，包括系統宕機等，應向IT變更經理提出申請，經評估后實施或方案修正。(三)已維護移交的系統，所有業務需求，包括系統功能變更、應用級補丁安裝，應向IT變更經理提出申請，經過評估流程后再進行實施或方案修正。(四)信息系統變更具體操作方式及流程須按公司已頒布的東航通知公告2010-8758IT變更管理規定（v1）。第十一章惡意軟件防護第六十二條防毒軟件安裝管理。上海地區統一管理的防病毒軟件包由信息部在指定系統上進行發布。各分子公司也須部署統一管理的防病毒信息系統。桌面計算機系統上應安裝和使用全公司統一部署的企業防病毒客戶端軟件。禁止關24、閉、修改、刪除、覆蓋公司指定的防病毒軟件。16第六十三條各分子公司應對部署的防病毒軟件服務器進行管理。如：人員定期查看病毒日志，查看病毒定義庫更新的狀態等。第六十四條惡意軟件防范意識。不應打開未知可疑的郵件及其附件；在處理郵件附件時應先將附件保存至硬盤上，防止其利用郵件客戶端漏洞隱藏可執行屬性；存儲介質在使用前應先查毒；應經常關注通過各種途徑發出的病毒警告，并根據警告內的建議采取必要的措施；當發現異常情況時，應立即斷開網絡，并啟動防病毒軟件進行查毒，在防病毒軟件沒有發現病毒的情況下，可向運維人員報告并要求技術支持。第十二章公司信息交流工具安全管理第六十五條公司信息交流工具包括但不限于公司的電子25、郵件，公司的即時通訊軟件，公司的電子信息論壇等。禁止利用公司的信息交流工具制作、復制、發布、傳播反對憲法所確定的基本原則的；危害國家安全，泄露國家秘密，顛覆國家政權，破壞國家統一的；損害國家、公司聲譽和利益的；煽動民族仇恨、民族歧視，破壞民族團結的；破壞國家宗教政策，宣揚邪教和封建迷信的；散布謠言，擾亂社會秩序，破壞社會穩定以及公司正常業務的；散布淫穢、色情、賭博、暴力、兇殺、恐怖或者教唆犯罪的；侮辱或者誹謗他人，侵害他人合法權益的；含有法律、行政法規禁止的其他17內容的；未經審核批準的公司涉密信息等內容的信息。第十三章信息系統外包商信息安全管理第六十六條信息系統外包商必須遵守東航公布的各項信26、息安全標準和管理規定，并嚴格執行相關的信息安全措施，否則將給予處罰或解除合同。第六十七條在與信息系統外包商簽訂的合同或合約中應該包含所有必要的信息安全要求，確保符合東航的安全策略和標準，并確保和外包商之間對合同內容不存在任何歧義。第六十八條在確認信息系統外包商后必須與之簽訂保密協議。第十四章信息安全事件管理第六十九條公司各部門都需對部門內的信息安全事件進行預估及嚴重性分級，并將分級后的信息安全事件并入本部門的事件處理流程中。第七十條各部門的信息安全事件處理及上報流程應與信息安全管理辦公室進行銜接。第十五章信息系統應急管理第七十一條各部門所制定的應急預案須符合民航局頒布的中國民用航空應急管理規定27、。第七十二條所有關鍵信息系統信息部必須制定應急預案。18第七十三條信息系統運維部門必須定期進行關鍵信息系統的應急預案演練，并做好演練記錄。第七十四條業務部門須制定在信息系統關鍵功能部分或全部喪失的場景下的業務應急預案，并定期進行應急預案的演練，留存演練記錄。第十六章信息安全風險評估審計第七十五條應按照GB/T20984-2007信息安全技術信息安全風險評估規范中規定的評估流程進行評估。第七十六條應以東航關鍵業務作為評估工作的核心，把涉及這些業務的相關網絡與信息系統，包括基礎網絡、業務網絡、應用基礎平臺、業務應用平臺等作為評估的重點，同時在評估中應確保相關系統和數據的保密性。第七十七條信息安全風險評估過程應包括：評估準備、風險要素識別、風險分析、風險處臵。第七十八條風險評估形式應采用自評估方式和檢查評估方式。自評估應由公司各部門自主實施，檢查評估應按照相關規定由國家授權的信息安全機構實施或公司信息安全管理辦公室組織開展。第七十九條信息安全管理辦公室按以上信息安全管理規定開展定期內部信息安全抽查及檢查工作，同時對本規定進行年度修訂及發布。第十七章附則19第八十條本規定由信息部負責解釋。第八十一條本規定自下發之日起執行。20