中国东方航空股份有限公司信息安全管理规定第一章总则第一条为了进一步加强中国东方航空股份有限公司（以下简称“公司”）的信息安全管理，完善信息安全体系，保护公司的信息资产，依据中华人民共和国有关信息安全法律以及国际标准，结合行业、公司信息安全建设实际情况，特制定本规定。

第二条本规定适用于公司所有信息资产及涉及信息资产的相关部门。

本规定中所称的信息资产包括但不仅限于：数据库和数据文件、系统文档、用户手册、培训资料、运行程序、存档信息、应用软件、系统软件、开发工具和实用程序、计算机、通讯设备、磁介质（磁盘与磁带）、其它技术基础设备（供电设备、空调设备、防雷设备、消防设备、门禁设备）、人员、计算服务、通讯服务、网络服务等。

第二章基本原则第三条全员参与原则。

公司每位员工都应对维护信息安全负有相应的责任和义务，具体包括：（一）所有接触和使用公司信息资产的人员和机构都有责任保障信息资产的安全。

（二）信息系统的安全由使用信息系统的业务部门、管理部门以及维护系统的技术单位、部门共同承担，其中业务、管理部门作为资产的所有者拥有信息资产的管理责任和授权权利，而维护系统的技术单位、部门通常作为信息资产的维护者，在各管理部门、业务部门的授权下，承担各应用系统的管理、维护责任。

（三）各单位、各部门需对所有员工定期进行信息安全方面的培训，并作为长期进行的制度化工作之一。

第四条职权分离原则。

对角色和责任进行分类时要考虑互相制衡的机制，使一个岗位的员工无法破坏关键的过程，如业务操作权限和系统管理权限的分开；超级账号的操作与系统审计权限的分开；业务申请操作和业务审核操作权限的分开等；公司各单位各部门应在设定岗位、制定岗位职责说明书或是具体安排人员时基于此原则，将信息安全职责落实到具体的岗位中去。

第五条“双人操作原则”。

对于重要计算机系统、网络和通信设备及相关区域的岗位，应安排两个拥有类似知识背景和专业技能的人员共同工作，以降低单个关键人员操作失误或个人蓄意破坏而导致的风险。

第三章机构和职责第六条公司信息安全委员会是公司信息安全工作的领导机构，负责贯彻国家有关法律法规，落实上级信息安全机构的工作要求，研究和决定公司信息安全工作相关事项。

信息安全委员会由各关键业务、生产单位及信息部主管领导组成。

第七条公司信息安全委员会下设的信息安全管理办公室是公司信息安全工作的职能机构，负责组织开展与信息安全有关的监督管理、教育培训、信息安全抽查、信息安全事件查处等工作。

信息安全管理办公室是信息安全管理委员会的常设机构，挂靠在信息部，由信息安全专职人员及各关键业务、生产单位的信息安全联系人员组成。

第八条公司信息安全工作按照“谁主管谁负责、谁运维谁负责、谁使用谁负责和属地化管理的要求”，逐级落实信息安全责任。

第四章信息设备安全管理第九条严禁在未经公司信息部的许可或授权的情况下私自改变办公桌面信息设备，包括但不仅限于：(一)私自拆卸桌面计算机的硬件设备。

(二)增加桌面计算机的设备，如增加内存，增加输出设备（可读写DVD光驱等）。

第十条在桌面计算机及相关设备出现问题时，应及时联系公司IT系统人员，禁止自行拆开公司的计算机和相关设备进行修理。

第十一条相关设备（开发、办公、运行的计算机设备）在外借或报废（弃用）时，需由专人对机内系统和数据作相应处理，防止泄密。

第十二条所有的硬件资产必须明确设备的使用人员、管理人员。

第十三条硬件资产的使用人或管理人，在使用或管理硬件资产时，要注意硬件资产的安全性、机密性、完整性，防止信息载体的毁坏和信息的泄密，防止信息处理设施的滥用。

第十四条须对设备定期进行维护保养，发生毁坏，丢失等问题时能够及时处置。

第十五条对于无人职守的设备，要明确管理人员，加强物理安全控制。

第十六条当设备迁移时，如果设备中存储有重要信息时，需事先进行备份。

第十七条设备迁移完成后，需要检查设备是否损坏。

第十八条设备迁移出公司时，检查人员在检查时要格外注意，禁止设备中存放重要信息，以防止公司机密信息泄露或增加泄露的风险。

第十九条存储设备报废前需进行重要数据的备份，在备份后需对其中存储的涉密信息进行脱密处理。

第二十条对于中心机房内的关键信息系统设备如：各类服务器、存储设备、核心交换、重要链路等需运维操作单位、部门制定有针对性的安全维护手册并严格执行。

第五章桌面信息系统安全管理第二十一条桌面办公系统应使用软件厂商支持的正版、主流操作系统或计算机厂商OEM的操作系统，并应及时将补丁更新至最新。

第二十二条桌面办公系统应避免使用Server类操作系统，因工作要求有特殊需求的，应报公司信息部批准并备案。

第二十三条未经公司信息部批准，禁止使用自带的安装介质或软件包在办公桌面计算机上安装操作系统。

第二十四条在进行区间划分时应保证至少两个分区，即系统分区和工作分区。

第二十五条如无特殊需求，严禁在办公桌面计算机上设置共享文件夹。

必须使用时，应设置口令保护、只读权限等安全措施，同时设置的口令应符合第八章的要求，使用完后应及时取消共享。

第二十六条必须安装企业级防病毒客户端软件，该软件的安装应使用公司信息部提供的安装介质或软件包，在具体使用过程中必须保证安全软件的正常运转，不得自行卸载这些安全软件。

第二十七条桌面计算机上只能安装办公系统必须使用的基础应用软件、工具软件以及各单位各部门的生产应用软件等，如办公软件、邮件客户端、压缩解压缩软件、汉字输入法、AOC系统、离港系统、财务系统等。

第二十八条严禁安装盗版软件、与工作无关的软件、可能会破坏公司信息安全的各种黑客软件等。

第二十九条用户对自己所使用的桌面计算机的安全承担最终责任，除非有特殊情况，否则严禁授权他人使用自己的桌面计算机。

第三十条运维操作单位须定期将公司桌面系统的运行维护及信息安全状况向信息部反馈。

运维操作单位需建立明确的桌面系统定期安全审查制度，并向公司信息部提交审查情况报告（审查内容包括桌面系统中是否安装盗版软件、与工作无关的软件、各种黑客软件等；是否安装防病毒软件并及时更新病毒代码；是否设置屏保密码、开机密码等；是否安装最新操作系统安全补丁）。

公司信息部对桌面系统安全审查报告进行审核，并存档。

第六章机房安全管理第三十一条机房基础设施要求。

(一)机房应配备足够容量的UPS及足够容量的输送电缆，确保供电安全。

(二)机房应配备空调及湿度调节器，确保机房内设备正常运转必须的温度及湿度。

(三)机房内应配备符合机房要求的消防设施，并定期按照消防部门的要求进行检测。

(四)机房内机柜应摆放整齐，机柜内放置的设备及其使用人、用途等信息应作醒目标识。

(五)应对穿过机房墙壁和楼板的水管增加必要的保护措施。

应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。

(六)中心机房需安装监控设备，并有专人监控。

(七)中心机房需安装防雷击设备，并定期通过专业部门的检测。

(八)机房实际承重需符合国家设定的机房承重标准。

第三十二条机房内应保持清洁安静，严禁吸烟、喝水、吃东西、乱扔杂物、大声喧哗。

第三十三条机房内严禁堆放与机房设备无关的杂物，避免造成安全隐患。

第三十四条机房禁止放置易燃、易爆、腐蚀、强磁性物品。

第三十五条禁止将机房内的电源引出挪做他用，确保机房安全。

第三十六条未经许可，机房内严禁摄影、摄像。

第三十七条机房内机柜、设备未经许可，不得任意改动；如果已获得许可，需详细记录改动后的情况。

第三十八条进入机房工作的人员有责任在工作完成后及时清理工作场地、清除垃圾、做好设备标签、关闭机柜柜门。

第三十九条机房巡检要求。

(一)机房运维操作单位应制定明确的机房运行保障指标，并报信息部备案。

(二)机房运维操作单位需每日巡检中心机房至少二次，并填写中心机房巡检记录。

(三)机房运维操作单位需每周巡检二级节点机房，并填写二级节点机房巡检记录。

(四)运维操作单位需制定具体的巡检检查单。

(五)机房巡检记录每月汇总后报信息部。

第四十条机房出入要求。

(一)需要持有机房钥匙的人员必须得到信息部批准并登记备案。

(二)需要进入中心机房的工作人员在得到信息部的批准后，方能进入机房。

(三)进入中心机房时必须携带身份证明备查，并使用专用门卡通过门禁系统。

门禁系统刷卡记录应至少保存半年。

(四)外来人员进入机房需经过信息部批准，并有专人全程陪同，并记录所有人员姓名，工作内容及时间。

(五)必须妥善保管门禁卡，如遗失，需及时上报作废。

(六)严禁将专用门禁卡转借他人。

(七)在机房区域内发现陌生可疑的人应主动上前询问，或通知安全保卫人员对此情况进行关注。

(八)在出入如机房等一些敏感的安全区域时，应遵照相关规定佩带身份证明识别标志（徽章、名卡）等，不得伪造或使用他人的身份证明标志。

(九)机房运维操作单位须保留机房出入记录，以备信息部进行审核。

第七章办公环境信息安全管理第四十一条办公室钥匙应由专人管理。

第四十二条电脑操作系统的桌面上不可存有涉密信息。

第四十三条办公桌面在无人在位的情况下不应放置涉密文件、含涉密信息的U盘等移动存储设备。

第四十四条员工暂时离开办公使用的计算机时，应使用计算机内的锁定保护功能。

第四十五条办公环境应划定专门的来访接待区域，不应在内部办公区接待来访人员。

第四十六条进出敏感的办公区域如系统开发、系统管理等应遵照规定佩戴身份标识。

第四十七条在办公区域内发现陌生可疑的人应主动上前询问，或通知安全保卫人员对此情况进行关注。

第四十八条办公区域需保持干净、整洁。

办公区域禁止堆放与工作无关的杂物。

第四十九条禁止携带任何危险品、可燃品或其他可能影响人员和设备安全的物品进入办公区域，如有特殊需要必须得到管理人员的同意才可进入。

第五十条应及时取走打印或复印的含有敏感信息的文件。

第五十一条各部门需根据自己的业务特点制定更有针对性的办公区域信息安全规定。

第八章信息系统密码信息安全第五十二条密码的设定。

(一)涉及财务、支付等和资金相关的系统，涉及公司商业秘密的系统，重要账号如系统管理员、应用管理员，密码强度须保证至少8位或以上，至少由数字及字母大小写混合组成。

一般系统用户密码强度须保证至少6位或以上，至少由数字及字母大小写混合组成。

(二)笔记本电脑及桌面PC应设置用户登录密码。

(三)应避免在多个系统内使用相同的密码，以防密码被非法获取后产生连锁后果。

第五十三条密码使用。

(一)在输入密码时，应保持必要的警惕性，防止被人通过非法手段获取密码。

(二)禁止在未经信息部允许的情况下编写并使用自动登录系统的脚本和程序。

(三)输入密码时需确认所操作的电脑是否已安装符合公司要求的杀毒软件且已更新，以确保无后门、木马、按键记录软件等非法插件。

第五十四条密码更新。

(一)在第一次登录系统时须更改初始密码。

(二)密码由于长期的使用已处于泄露风险下的，需进行更改，参考时间为90天。

(三)更改的密码不应是旧密码的简单更改。