检测恶意软件的入侵信息系统或设备，防范措施必须由安全部门制定或经过安全部门审核。第二十六条根据信息使用特性建立备份策略和恢复流程，留存一个或多个数据备份，并演练数据恢复流程。第二十七条信息系统应记录操作日志、事件日志和错误日志，根据信息等级和类型制定日志信息的保存期限，并且在适当的时候可监视设备运行和操作环境情况。
第三节访问控制
第二十八条制定正式流程控制信息系统访问权限与服务使用权限的分配。这些流程应该涉及用户访问生命周期的各个阶段，从初期的新用户注册到用户因不再要求对信息系统和服务进行访问而最终取消注册，定期对用户访问权限进行检查。第二十九条公司统一建立员工的身份信息库，并为每位员工配备相应身份卡，所有信息必须
使用实名访问，除非信息明确标注可被匿名访问或使用其他认证策略。对于纸质文档的借阅、复印等需用身份卡进行实名登记，对于信息系统的访问必须使用统一的用户实名认证。第三十条信息的逻辑访问权仅应授予合法用户，信息系统应该满足以下要求：1根据已经确定的业务访问控制策略来控制信息系统功能的用户访问权；2防止能够越过系统访问控制措施的实用程序和操作系统软件的非法访问；3不妨害其它与之共享信息资源的系统的安全；
第5页共9页
f4仅能向信息所有者、其它指定的合法个人或定义的用户组提供信息访问。
第四节系统开发和维护
第三十一条新系统和改进系统在建设过程中都应该考虑信息安全的需求，并采取相应的防范措施，包括：
1系统包括基础设施、自主开发的业务应用程序和第三方开发的应用程序；2涉及关键或敏感信息的基础设施和自主开发程序的安全设计方案必须经过信息安全管理组织审核；3从外部采购商用软件或系统需要进行安全评估，需要达到公司信息安全要求。第三十二条系统开发过程的产物（如设计文档，源代码，算法等）应严格管理，确保无关人员无法接触，并可有效控制这些产物传播范围。第三十三条对于系统中不可避免需要暴露的敏感信息，必须采取有效措施确保信息不会被无关人员获取或者确保信息不可被非法使用。第三十四条系统开发过程必须有配套的项目管理工作，以保证相关项目中可能涉及到信息得到有效的管理。第三十五条系统维护必须做到权限清晰，系统中的重要数据必须指定专人负责数据管。第三十六条开发、测试和线上环境分开，重要系统的开发、测试和维护职责必须分离。系统开发或变更结束，开发团队应与维护团队进行正式的r