信息安全文档.xlsxVIP

1.信息安全管理验收标准

信息安全管理审核检查表

参考

列表

标准

口令安全

1.1终端电脑登录需要采用复杂口令（8位口令，采用英文大小写字母，数字及字符）。

1.2终端电脑登录口令应做到定期修改（至少90天修改一次）。

1.3终端电脑登录密码不允许通过任何渠道（例如电子邮件、短信、电话、纸质文件等）向任何人透露密码

下。班或离开办公桌１分钟以上，应关闭或锁定计算机。桌面上不能放有秘密级以上文件。秘密级以上文

1.4

件应放在带锁抽屉或必威体育官网网址柜内。

禁止在终端电脑上保存密码，不允许将密码书写于纸张或卡片上等任何可能让他人看到或得到的地方，

1.5

也不允许使用类似提供密码记忆的软件或功能。

主机安全

2.1默认情况下用户登陆账号不应具有本机管理员权限。

默认情况下终端电脑BIOS应该设管理员密码，防止用户私自修改BIOS设置。BIOS应该设定禁止曾第三

2.2

方设备启动电脑。

默认情况下终端电脑应设定禁用USB大存储设备（USBMass-storage），MTP设备（Android/IOS智能

2.3

手机传输协议），蓝牙，红外，E-SATA等外部设备。

默认情况下终端电脑应开启WindowsUpdate（或者使用企业授权的WSUS，SCCM）进行常规安全补

2.4

丁的升级部署。

2.5默认情况下应为员工配备台式机电脑，尽量避免配备可移动的笔记本电脑。

互联网访问安全

对Internet的访问应该做白名单控制，只允许访问，以taobao，alipay，tmall，alibaba为后缀名的网

3.1页，以及自己的内网、共享、录音系统、服务监控系统、运营数据查询系统、旺旺，和特定的网站等）

。

对该Internet白名单内的公网网站访问时，应禁止用户访问具有数据上传功能的网站（例如Webmail，

3.2

网盘等），同时应限制用户从Internet下载数据/软件等。

3.3禁止用户在非外包工作网络通过远程访问（如VPN，RDP等）的方式，访问外包工作环境。

3.4工作时间应该禁止进行非工作相关的网上聊天、游戏、娱乐、炒股、或者收发非工作邮件。

3.5禁止用户将各类登录用户名、密码保存于操作系统或者浏览器中。

内部网络应用安全

4.1禁止用户自行更改计算机名和网络配置或将私人计算机接入工作网络。

4.2未经许可，禁止使用远程登陆程序登陆其他人的计算机。

禁止用户完全共享计算机本机磁盘，如因工作需要需建立共享，共享目录应设定一定的访问控制，档案

4.3

共享完毕后应该及时关闭本机共享目录。

4.4禁止用户将本机电脑网络接入其他工位网络。

默认情况下不开通用户的网络打印机连接权限，如需使用网络打印机，需向IT管理员申请获的相关业务

4.5

部门主管审批后开启，并最终在信息安全部门备案，禁止未经授权的私自连接打印机，IT对打印记录生

网络边界安成全日志。

外包工作网络应与其他网络进行有效的安全隔离，限制外包网络对其他网络资源以及其他网络对外包网

5.1

络资源的非授权访问。(本条适用于非驻场外包环境)

外包工作环境网络对其他网络的访问ACL规则（如交换机ACL，防火墙规则）应采用白名单机制，仅开

5.2放受限的访问资源。同时应该避免开放FTP，SFTP，telnet，SSH等具有数据传输功能的协议。(本条适

用于非驻场外包环境)

5.3外包工作网络已经采取一定的网络准入控制（例如MAC地址验证，NAC等），防止非授权的设备计入外包网络。

日常使用/物理安全

6.1分级授权管理，运营部门的非本项目运营成员（运营经理级别以下），不能进入本项目区域

6.2监控符合工作及安全需求

6.3独立区域设置储物柜用于放置手机等通讯和存储设备

6.4员工禁止将U盘、MP3、MP