1、中国东方航空股份有限公司信息安全管理规定第一章总则第一条为了进一步加强中国东方航空股份有限公司（以下简称“公司”）的信息安全管理，完善信息安全体系，保护公司的信息资产，依据中华人民共和国有关信息安全法律以及国际标准，结合行业、公司信息安全建设实际情况，特制定本规定。第二条本规定适用于公司所有信息资产及涉及信息资产的相关部门。本规定中所称的信息资产包括但不仅限于：数据库和数据文件、系统文档、用户手册、培训资料、运行程序、存档信息、应用软件、系统软件、开发工具和实用程序、计算机、通讯设备、磁介质（磁盘与磁带）、其它技术基础设备（供电设备、空调设备、防雷设备、消防设备、门禁设备）、人员、计算服务、通2、讯服务、网络服务等。第二章基本原则第三条全员参与原则。公司每位员工都应对维护信息安全负有相应的责任和义务，具体包括：（一）所有接触和使用公司信息资产的人员和机构都有责任保障信息资产的安全。（二）信息系统的安全由使用信息系统的业务部门、管理部门以及维护系统的技术单位、部门共同承担，其中业务、1管理部门作为资产的所有者拥有信息资产的管理责任和授权权利，而维护系统的技术单位、部门通常作为信息资产的维护者，在各管理部门、业务部门的授权下，承担各应用系统的管理、维护责任。（三）各单位、各部门需对所有员工定期进行信息安全方面的培训，并作为长期进行的制度化工作之一。第四条职权分离原则。对角色和责任进行分类时3、要考虑互相制衡的机制，使一个岗位的员工无法破坏关键的过程，如业务操作权限和系统管理权限的分开；超级账号的操作与系统审计权限的分开；业务申请操作和业务审核操作权限的分开等；公司各单位各部门应在设定岗位、制定岗位职责说明书或是具体安排人员时基于此原则，将信息安全职责落实到具体的岗位中去。第五条“双人操作原则”。对于重要计算机系统、网络和通信设备及相关区域的岗位，应安排两个拥有类似知识背景和专业技能的人员共同工作，以降低单个关键人员操作失误或个人蓄意破坏而导致的风险。第三章机构和职责第六条公司信息安全委员会是公司信息安全工作的领导机构，负责贯彻国家有关法律法规，落实上级信息安全机构的工作要求，研究和4、决定公司信息安全工作相关事项。信息安全委员会由各关键业务、生产单位及信息部主管领导组2成。第七条公司信息安全委员会下设的信息安全管理办公室是公司信息安全工作的职能机构，负责组织开展与信息安全有关的监督管理、教育培训、信息安全抽查、信息安全事件查处等工作。信息安全管理办公室是信息安全管理委员会的常设机构，挂靠在信息部，由信息安全专职人员及各关键业务、生产单位的信息安全联系人员组成。第八条公司信息安全工作按照“谁主管谁负责、谁运维谁负责、谁使用谁负责和属地化管理的要求”，逐级落实信息安全责任。第四章信息设备安全管理第九条严禁在未经公司信息部的许可或授权的情况下私自改变办公桌面信息设备，包括但不仅限5、于：(一)私自拆卸桌面计算机的硬件设备。(二)增加桌面计算机的设备，如增加内存，增加输出设备（可读写DVD光驱等）。第十条在桌面计算机及相关设备出现问题时，应及时联系公司IT系统人员，禁止自行拆开公司的计算机和相关设备进行修理。第十一条相关设备（开发、办公、运行的计算机设备）在外借或报废（弃用）时，需由专人对机内系统和数据作相3应处理，防止泄密。第十二条所有的硬件资产必须明确设备的使用人员、管理人员。第十三条硬件资产的使用人或管理人，在使用或管理硬件资产时，要注意硬件资产的安全性、机密性、完整性，防止信息载体的毁坏和信息的泄密，防止信息处理设施的滥用。第十四条须对设备定期进行维护保养，发生毁坏6、，丢失等问题时能够及时处臵。第十五条对于无人职守的设备，要明确管理人员，加强物理安全控制。第十六条当设备迁移时，如果设备中存储有重要信息时，需事先进行备份。第十七条设备迁移完成后，需要检查设备是否损坏。第十八条设备迁移出公司时，检查人员在检查时要格外注意，禁止设备中存放重要信息，以防止公司机密信息泄露或增加泄露的风险。第十九条存储设备报废前需进行重要数据的备份，在备份后需对其中存储的涉密信息进行脱密处理。第二十条对于中心机房内的关键信息系统设备如：各类服务器、存储设备、核心交换、重要链路等需运维操作单位、部门制定有针对性的安全维护手册并严格执行。4第五章桌面信息系统安全管理第二十一条桌面办公系7、统应使用软件厂商支持的正版、主流操作系统或计算机厂商OEM的操作系统，并应及时将补丁更新至最新。第二十二条桌面办公系统应避免使用Server类操作系统，因工作要求有特殊需求的，应报公司信息部批准并备案。第二十三条未经公司信息部批准，禁止使用自带的安装介质或软件包在办公桌面计算机上安装操作系统。第二十四条在进行区间划分时应保证至少两个分区，即系统分区和工作分区。第二十五条如无特殊需求，严禁在办公桌面计算机上设臵共享文件夹。必须使用时，应设臵口令保护、只读权限等安全措施，同时设臵的口令应符合第八章的要求，使用完后应及时取消共享。第二十六条必须安装企业级防病毒客户端软件，该软件的安装应使用公司信息部8、提供的安装介质或软件包，在具体使用过程中必须保证安全软件的正常运转，不得自行卸载这些安全软件。第二十七条桌面计算机上只能安装办公系统必须使用的基础应用软件、工具软件以及各单位各部门的生产应用软件等，如办公软件、邮件客户端、压缩解压缩软件、汉字输5入法、AOC系统、离港系统、财务系统等。第二十八条严禁安装盗版软件、与工作无关的软件、可能会破坏公司信息安全的各种黑客软件等。第二十九条用户对自己所使用的桌面计算机的安全承担最终责任，除非有特殊情况，否则严禁授权他人使用自己的桌面计算机。第三十条运维操作单位须定期将公司桌面系统的运行维护及信息安全状况向信息部反馈。运维操作单位需建立明确的桌面系统定期安9、全审查制度，并向公司信息部提交审查情况报告（审查内容包括桌面系统中是否安装盗版软件、与工作无关的软件、各种黑客软件等；是否安装防病毒软件并及时更新病毒代码；是否设臵屏保密码、开机密码等；是否安装最新操作系统安全补丁）。公司信息部对桌面系统安全审查报告进行审核，并存档。第六章机房安全管理第三十一条机房基础设施要求。(一)机房应配备足够容量的UPS及足够容量的输送电缆，确保供电安全。(二)机房应配备空调及湿度调节器，确保机房内设备正常运转必须的温度及湿度。(三)机房内应配备符合机房要求的消防设施，并定期6按照消防部门的要求进行检测。(四)机房内机柜应摆放整齐，机柜内放臵的设备及其使用人、用途等信息10、应作醒目标识。(五)应对穿过机房墙壁和楼板的水管增加必要的保护措施。应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。(六)中心机房需安装监控设备，并有专人监控。(七)中心机房需安装防雷击设备，并定期通过专业部门的检测。(八)机房实际承重需符合国家设定的机房承重标准。第三十二条机房内应保持清洁安静，严禁吸烟、喝水、吃东西、乱扔杂物、大声喧哗。第三十三条机房内严禁堆放与机房设备无关的杂物，避免造成安全隐患。第三十四条机房禁止放臵易燃、易爆、腐蚀、强磁性物品。第三十五条禁止将机房内的电源引出挪做他用，确保机房安全。第三十六条未经许可，机房内严禁摄影、摄像。第三十七条机房内机柜、设备未经许可，不得任意11、改动；如果已获得许可，需详细记录改动后的情况。第三十八条进入机房工作的人员有责任在工作完成后7及时清理工作场地、清除垃圾、做好设备标签、关闭机柜柜门。第三十九条机房巡检要求。(一)机房运维操作单位应制定明确的机房运行保障指标，并报信息部备案。(二)机房运维操作单位需每日巡检中心机房至少二次，并填写中心机房巡检记录。(三)机房运维操作单位需每周巡检二级节点机房，并填写二级节点机房巡检记录。(四)运维操作单位需制定具体的巡检检查单。(五)机房巡检记录每月汇总后报信息部。第四十条机房出入要求。(一)需要持有机房钥匙的人员必须得到信息部批准并登记备案。(二)需要进入中心机房的工作人员在得到信息部的批准12、后，方能进入机房。(三)进入中心机房时必须携带身份证明备查，并使用专用门卡通过门禁系统。门禁系统刷卡记录应至少保存半年。(四)外来人员进入机房需经过信息部批准，并有专人全程陪同，并记录所有人员姓名，工作内容及时间。(五)必须妥善保管门禁卡，如遗失，需及时上报作废。8(六)严禁将专用门禁卡转借他人。(七)在机房区域内发现陌生可疑的人应主动上前询问，或通知安全保卫人员对此情况进行关注。(八)在出入如机房等一些敏感的安全区域时，应遵照相关规定佩带身份证明识别标志（徽章、名卡）等，不得伪造或使用他人的身份证明标志。(九)机房运维操作单位须保留机房出入记录，以备信息部进行审核。第七章办公环境信息安全管理13、第四十一条办公室钥匙应由专人管理。第四十二条电脑操作系统的桌面上不可存有涉密信息。第四十三条办公桌面在无人在位的情况下不应放臵涉密文件、含涉密信息的U盘等移动存储设备。第四十四条员工暂时离开办公使用的计算机时，应使用计算机内的锁定保护功能。第四十五条办公环境应划定专门的来访接待区域，不应在内部办公区接待来访人员。第四十六条进出敏感的办公区域如系统开发、系统管理等应遵照规定佩戴身份标识。第四十七条在办公区域内发现陌生可疑的人应主动上前询问，或通知安全保卫人员对此情况进行关注。9第四十八条办公区域需保持干净、整洁。办公区域禁止堆放与工作无关的杂物。第四十九条禁止携带任何危险品、可燃品或其他可能影响14、人员和设备安全的物品进入办公区域，如有特殊需要必须得到管理人员的同意才可进入。第五十条应及时取走打印或复印的含有敏感信息的文件。第五十一条各部门需根据自己的业务特点制定更有针对性的办公区域信息安全规定。第八章信息系统密码信息安全第五十二条密码的设定。(一)涉及财务、支付等和资金相关的系统，涉及公司商业秘密的系统，重要账号如系统管理员、应用管理员，密码强度须保证至少8位或以上，至少由数字及字母大小写混合组成。一般系统用户密码强度须保证至少6位或以上，至少由数字及字母大小写混合组成。(二)笔记本电脑及桌面PC应设臵用户登录密码。(三)应避免在多个系统内使用相同的密码，以防密码被非法获取后产生连锁后15、果。第五十三条密码使用。(一)在输入密码时，应保持必要的警惕性，防止被人通过非法手段获取密码。10(二)禁止在未经信息部允许的情况下编写并使用自动登录系统的脚本和程序。(三)输入密码时需确认所操作的电脑是否已安装符合公司要求的杀毒软件且已更新，以确保无后门、木马、按键记录软件等非法插件。第五十四条密码更新。(一)在第一次登录系统时须更改初始密码。(二)密码由于长期的使用已处于泄露风险下的，需进行更改，参考时间为90天。(三)更改的密码不应是旧密码的简单更改。(四)只要有系统或者密码可能被侵害的迹象，就需更改密码。如：系统提示的上次登陆时间未曾登陆过，未曾做过的操作在系统中出现。第五十五条密码保16、护。(一)密码不应随意透露给其他人员。(二)应尽量避免将密码书写在纸面或是存放在电子文档中。(三)不要共用个人账号、密码。(四)禁止将记录有密码信息的载体任意放臵在工作区域周围。第五十六条业务系统及服务器端密码口令要求。11(一)业务系统的账号口令的维护应遵循本规定第五条，做到操作与审计分离，业务申请和业务审核分离。(二)程序账号密码需保存在某文件里面的情况，该文件需改为不可读文件，并控制该文件只能是对应程序访问。程序所使用的账号及密码不能用于日常运维管理，不能供用户使用。程序所使用的账号及口令禁止扩散。(三)内臵于业务系统源代码中的数据库调用中的用户名，明文密码，应当进行应用系统改造或使用不17、可读的配臵文件来实现。参考第五十六条（二）。(四)对互联网开放的系统，用户的登录过程需同时具有机器难以识别的人工校验的输入。(五)系统的测试账号在系统试运行结束时应进行禁用及归档操作。(六)业务系统所配臵的密码都可以进行更改操作。第九章信息系统访问控制第五十七条网络接入。(一)使用移动终端（笔记本电脑）或台式计算机在公司内部办公时，应严格遵守公司对于桌面系统的统一配臵和管理，禁止私自变更办公桌面的IP地址，以免擅自配臵的IP地址与其他计算机的IP地址或服务器的IP地址冲突。(二)未经公司信息部批准或授权，禁止使用非公司的桌面设备接入公司的企业内部网。12(三)如需通过公司VPN接入设备接入公司18、局域网，须向公司信息部提出申请，提交东上航VPN用户申请表，注明需要访问的应用系统等信息，经审核后方能使用VPN账号。(四)各单位各部门如有接入公司局域网的需求，须向公司信息部提出申请，由公司信息部规划设计后方能实施，严禁自行进行网络布线工程的建设以及私自接入公司局域网络。第五十八条网络使用。(一)如需利用公司网络资源访问互联网，须向公司信息部提出申请，提交东航互联网访问权限申请表，经审核开通后方能使用上网账号。(二)严禁利用网络从事以下活动：1.制作、发表、传播各类虚假和有害信息、破坏国家和社会稳定、危害市场经济秩序和社会管理秩序；2.窃取、泄露国家秘密、情报或者军事秘密、危害国家安全；3.19、建立淫秽网站、网页，提供淫秽站点链接服务，或者传播淫秽书刊、影片、音像、图片；4.故意制作、传播计算机病毒等破坏性程序，攻击或侵入计算机系统及通信网络，致使计算机系统及通信网络遭受损害；135.损害他人商业信誉和商品声誉；6.非法截获、篡改、删除他人电子邮件或者其他数据资料，侵犯公民通信自由和通信秘密；7.在工作时间内利用公司网络从事与工作无关的活动，占用网络资源，影响网络安全；8.登录各类非法站点（如各类色情论坛和网站、黑客网站、宣扬邪教和台独的论坛和网站等），娱乐类的站点（如各类游戏、音乐、电影网站和论坛等）以及其他与工作无关的信息站点（股票、在线购买等）；9.在工作时间内利用公司网络传输20、和下载与工作无关的文件。第十章应用系统安全管理第五十九条操作系统、数据库用户及授权管理。应用系统的操作系统、数据库用户及授权管理权限归属于信息部，由系统运维操作单位负责具体执行，对操作系统、数据库用户及授权管理包括并不限于以下几方面：(一)明确操作系统、数据库用户的责任人（可以是项目组或运维管理方），由其负责决定用户的授权，并由运维操作方指定的系统管理员在系统中执行授权。(二)制订操作系统、数据库用户申请表格，用户申请系统权限时需要注明其工作职责及所需权限，由用户部门主管签字认可，系统负责人将该信息备案留档后，授权运维操14作方执行操作。(三)建立权限变更流程，对于离职或由于轮岗等原因影响到系21、统中权限的取消或更换，亦需要由用户所在部门提交申请，并由其主管领导或人事部门领导签字认可，系统负责人将该信息备案留档后，授权运维操作方执行操作。(四)系统管理员应定期（例如每六个月）打印用户授权清单并分发给各系统使用部门的主管领导对用户及其权限进行复核，书面签字确认后反馈给系统管理员及其主管。复核文档应由信息部存档。第六十条应用系统用户及授权管理。应用系统的用户及授权管理权限归属于此应用系统相关业务部门，对应用系统的用户及授权管理包括并不限于以下几方面：(一)明确关键应用系统的责任人（可以是业务部门的管理层）由其负责决定用户的授权，并由指定的应用系统管理员在系统中执行授权。应用系统管理员所做的22、所有操作系统都需进行审计记录，应用系统管理员没有更改审计记录的权限。(二)每个应用系统制订书面用户申请表格，用户申请系统权限时需要注明其工作职责及所需权限，由用户部门主管签字认可。(三)建立权限变更流程，对于离职或由于轮岗等原因影响到系统中权限的取消或更换，亦需要由用户所在业务部15门填写书面申请表格，并由其主管领导或人事部门领导签字认可。(四)应用系统管理员应定期（例如每六个月）打印用户授权清单并分发给各系统使用部门的主管领导对用户及其权限进行复核，书面签字确认后反馈给系统管理员及其主管。复核文档应由责任部门存档。第六十一条应用系统变更管理(一)应用系统的变更需事先制定实施方案，实施方案中必23、须含有变更失败的紧急回退操作方式。(二)已维护移交的系统，维护需求，包括系统宕机等，应向IT变更经理提出申请，经评估后实施或方案修正。(三)已维护移交的系统，所有业务需求，包括系统功能变更、应用级补丁安装，应向IT变更经理提出申请，经过评估流程后再进行实施或方案修正。(四)信息系统变更具体操作方式及流程须按公司已颁布的东航通知公告2010-8758IT变更管理规定（v1）。第十一章恶意软件防护第六十二条防毒软件安装管理。上海地区统一管理的防病毒软件包由信息部在指定系统上进行发布。各分子公司也须部署统一管理的防病毒信息系统。桌面计算机系统上应安装和使用全公司统一部署的企业防病毒客户端软件。禁止关24、闭、修改、删除、覆盖公司指定的防病毒软件。16第六十三条各分子公司应对部署的防病毒软件服务器进行管理。如：人员定期查看病毒日志，查看病毒定义库更新的状态等。第六十四条恶意软件防范意识。不应打开未知可疑的邮件及其附件；在处理邮件附件时应先将附件保存至硬盘上，防止其利用邮件客户端漏洞隐藏可执行属性；存储介质在使用前应先查毒；应经常关注通过各种途径发出的病毒警告，并根据警告内的建议采取必要的措施；当发现异常情况时，应立即断开网络，并启动防病毒软件进行查毒，在防病毒软件没有发现病毒的情况下，可向运维人员报告并要求技术支持。第十二章公司信息交流工具安全管理第六十五条公司信息交流工具包括但不限于公司的电子25、邮件，公司的即时通讯软件，公司的电子信息论坛等。禁止利用公司的信息交流工具制作、复制、发布、传播反对宪法所确定的基本原则的；危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的；损害国家、公司声誉和利益的；煽动民族仇恨、民族歧视，破坏民族团结的；破坏国家宗教政策，宣扬邪教和封建迷信的；散布谣言，扰乱社会秩序，破坏社会稳定以及公司正常业务的；散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的；侮辱或者诽谤他人，侵害他人合法权益的；含有法律、行政法规禁止的其他17内容的；未经审核批准的公司涉密信息等内容的信息。第十三章信息系统外包商信息安全管理第六十六条信息系统外包商必须遵守东航公布的各项信26、息安全标准和管理规定，并严格执行相关的信息安全措施，否则将给予处罚或解除合同。第六十七条在与信息系统外包商签订的合同或合约中应该包含所有必要的信息安全要求，确保符合东航的安全策略和标准，并确保和外包商之间对合同内容不存在任何歧义。第六十八条在确认信息系统外包商后必须与之签订保密协议。第十四章信息安全事件管理第六十九条公司各部门都需对部门内的信息安全事件进行预估及严重性分级，并将分级后的信息安全事件并入本部门的事件处理流程中。第七十条各部门的信息安全事件处理及上报流程应与信息安全管理办公室进行衔接。第十五章信息系统应急管理第七十一条各部门所制定的应急预案须符合民航局颁布的中国民用航空应急管理规定27、。第七十二条所有关键信息系统信息部必须制定应急预案。18第七十三条信息系统运维部门必须定期进行关键信息系统的应急预案演练，并做好演练记录。第七十四条业务部门须制定在信息系统关键功能部分或全部丧失的场景下的业务应急预案，并定期进行应急预案的演练，留存演练记录。第十六章信息安全风险评估审计第七十五条应按照GB/T20984-2007信息安全技术信息安全风险评估规范中规定的评估流程进行评估。第七十六条应以东航关键业务作为评估工作的核心，把涉及这些业务的相关网络与信息系统，包括基础网络、业务网络、应用基础平台、业务应用平台等作为评估的重点，同时在评估中应确保相关系统和数据的保密性。第七十七条信息安全风险评估过程应包括：评估准备、风险要素识别、风险分析、风险处臵。第七十八条风险评估形式应采用自评估方式和检查评估方式。自评估应由公司各部门自主实施，检查评估应按照相关规定由国家授权的信息安全机构实施或公司信息安全管理办公室组织开展。第七十九条信息安全管理办公室按以上信息安全管理规定开展定期内部信息安全抽查及检查工作，同时对本规定进行年度修订及发布。第十七章附则19第八十条本规定由信息部负责解释。第八十一条本规定自下发之日起执行。20