数据仓库信息安全管理体系说明.docx

1、 供应商的信息安全管理体系说明1.1 信息安全管理手册之信息安全管理方针和策略范围公司依据ISO/IEC27001:2023信息安全管理体系标准的规定编制信息安全管理手册，并涉及了风险评估及处置的规定。规定了公司的信息安全方针及管理目的，引用了信息安全管理体系的内容。1.1规范性引用文献下列参考文献的部分或整体在本文档中属于标准化引用，对于本文献的应用必不可少。凡是注日期的引用文献，只有引用的版本合用于本标准；凡是不注日期的引用文献，其最新版本（涉及任何修改）合用于本标准。ISO/IEC 27000，信息技术安全技术信息安全管理体系概述和词汇。1.1.1 术语和定义ISO/IEC 27000中

2、的术语和定义合用于本文献。1.1.1 公司环境1.1.3.1理解公司及其环境公司拟定与公司业务目的相关并影响实现信息安全管理体系预期结果的能力的外部和内部问题，需考虑：明确外部状况： 社会、文化、政治、法律法规、金融、技术、经济、自然和竞争环境，无论国际、国内、区域，还是本地的； 影响组织目的的重要动力和趋势； 与外部利益相关方的关系，外部利益相关方的观点和价值观。明确内部状况： 治理、组织结构、作用和责任； 方针、目的，为实现方针和目的制定的战略； 基于资源和知识理解的能力（如：资金、时间、人员、过程、系统和技术）； 与内部利益相关方的关系，内部利益相关方的观点和价值观； 组织的文化； 信息

3、系统、信息流和决策过程（正式与非正式）； 组织所采用的标准、指南和模式； 协议关系的形式与范围。明确风险管理过程状况： 拟定风险管理活动的目的； 拟定风险管理过程的职责； 拟定所要开展的风险管理活动的范围以及深度、广度，涉及具体的内涵和外延； 以时间和地点，界定活动、过程、职能、项目、产品、服务或资产； 界定组织特定项目、过程或活动与其他项目、过程或活动之间的关系； 拟定风险评价的方法； 拟定评价风险管理的绩效和有效性的方法； 辨认和规定所必须要做出的决策； 拟定所需的范围或框架性研究，它们的限度和目的，以及此种研究所需资源。拟定风险准则： 可以出现的致因和后果的性质和类别，以及如何予以测量；

4、 也许性如何拟定； 也许性和（或）后果的时间范围； 风险限度如何拟定； 利益相关方的观点； 风险可接受或可允许的限度； 多种风险的组合是否予以考虑，假如是，如何考虑及哪种风险组合宜予以考虑。1.1.3.2理解相关方的需求和盼望信息安全管理小组应拟定信息安全管理体系的相关方及其信息安全规定，相关的信息安全规定。对于利益相关方，可作为信息资产辨认，并根据风险评估的结果，制定相应的控制措施，实行必要的管理。相关方的规定可涉及法律法规规定和协议义务。1.1.3.3拟定信息安全管理体系范围本公司ISMS的范围涉及a) 物理范围：b) 业务范围：计算机软件开发，计算机系统集成相关信息安全管理活动。c) 内

5、部管理结构：办公室、财务部、研发部、商务部、工程部、运维部。d) 外部接口：向公司提供各种服务的第三方。1.1.3.4信息安全管理体系本公司按照ISO/IEC27001:2023标准的规定建立一个文献化的信息安全管理体系。同时考虑该体系的实行、维持、连续改善，保证其有效性。ISMS体系所涉及的过程基于PDCA模式。1.1.2 领导力总经理应通过以下方式证明信息安全管理体系的领导力和承诺：a) 保证信息安全方针和信息安全目的已建立，并与公司战略方向一致；b) 保证将信息安全管理体系规定融合到平常管理过程中；c) 保证信息安全管理体系所需资源可用；d) 向公司内部传达有效的信息安全管理及符合信息安

6、全管理体系规定的重要性；e) 保证信息安全管理体系达成预期结果；f) 指导并支持相关人员为信息安全管理体系有效性做出奉献；g) 促进连续改善；h) 支持信息安全管理小组及各部门的负责人，在其职责范围内展现领导力。1.1.3 规划1.1.5.1应对风险和机会的措施（一）总则公司针对公司内部和公司外部的实际情况，和相关方的规定，拟定公司所需应对的信息安全面的风险。在已拟定的ISMS范围内，针对业务全过程所涉及的所有信息资产进行列表辨认。信息资产涉及软件/系统、数据/文档、硬件/设施、人力资源及外包服务。对每一项信息资产，根据信息资产判断依据拟定信息资产的重要性等级并对其重要度赋值。信息安全管理小组

7、制定信息安全风险评估管理程序，经信息安全管理小组组长批准后组织实行。风险评估管理程序涉及可接受风险准则和可接受水平。该程序的具体内容见信息安全风险评估管理程序。1）信息安全风险评估l 风险评估的系统方法信息安全管理小组制定信息安全风险评估管理程序，经管理者代表审核，总经理批准后组织实行。风险评估管理程序涉及可接受风险准则和可接受水平。该程序的具体内容合用于信息安全风险评估管理程序。l 资产辨认在已拟定的ISMS范围内，对所有的信息资产进行列表辨认。信息资产涉及软件/系统、数据/文档、硬件/设施及人力资源、服务等。对每一项信息资产，根据信息资产判断依据拟定信息资产的重要性等级并对其重要度赋值。l

8、 评估风险a) 针对每一项信息资产、记录、信息资产所处的环境等因素，辨认出所有信息资产所面临的威胁；b) 针对每一项威胁，辨认出被该威胁也许运用的薄弱点；c) 针对每一项薄弱点，列出现有的控制措施，并对控制措施有效性赋值；同时考虑威胁运用脆弱性的容易限度，并对容易度赋值；d) 判断一个威胁发生后也许对信息资产在保密性(C)、完整性(I)和可用性(A)方面的损害，进而对公司业务导致的影响，计算信息资产的安全事件的也许性和损失限度。e) 考虑安全事件的也许性和损失限度两者的结合，计算信息资产的风险值。f) 根据信息安全风险评估管理程序的规定拟定资产的风险等级。g) 对于信息安全风险，在考虑控制措施

9、与费用平衡的原则下制定风险接受准则，按照该准则拟定何种等级的风险为不可接受风险，该准则在信息安全风险评估管理程序有具体规定，并在风险评估报告中进行系统报告并针对结果解决意见获得最高管理者批准。h) 获得最高管理者对建议的残余风险的批准，残余风险应当在残余风险评价报告上留下记录，并记录残余风险处置批示报告。i) 获得管理者对实行和运营ISMS的授权。ISMS管理者代表的任命和授权、ISMS文档的签署可以作为实行和运作ISMS的授权证据。2）信息安全风险处置l 风险解决方法的辨认与评价信息安全管理小组应组织有关部门根据风险评估的结果，形成风险解决计划，该计划应明确风险解决责任部门、方法及时间。对于

10、信息安全风险，应考虑控制措施与费用的平衡原则，选用以下适当的措施：a) 采用适当的内部控制措施；b) 接受某些风险（不也许将所有风险减少为零）；c) 回避某些风险（如物理隔离）；d) 转移某些风险（如将风险转移给保险者、供方、分包商）。l 选择控制目的与控制措施信息安全管理小组根据信息安全方针、业务发展规定及风险评估的结果，组织有关部门制定信息安全目的。信息安全目的应获得总裁的批准。本公司根据信息安全管理的需要，可以选择标准之外的其他控制措施。l 合用性声明SoA信息安全管理小组编制信息安全合用性声明（SoA）。该声明涉及以下方面的内容：a) 所选择控制目的与控制措施的概要描述；b) 对ISO

11、/IEC 27001:2023附录A中未选用的控制目的及控制措施理由的说明。l 残余风险对风险解决后的残余风险应形成残余风险评估报告并得到信息安全最高负责人的批准。信息安全管理小组应保存信息安全风险处置过程的文献化信息。1.1.5.2信息安全目的和实现规划根据公司的信息安全方针，通过最高管理者确认，公司的信息安全管理目的为：顾客保密性抱怨/投诉的次数不超过1起/年受控信息泄露的事态发生不超过3起/年秘密信息泄露的事态不得发生。信息安全管理小组根据合用性声明、信息资产风险评估表中风险解决计划所选择的控制措施，明确控制措施改善时间表。对于各部门信息安全目的的完毕情况，按照信息安全目的及有效性测量程

12、序的规定，周期性在主责部门对各控制措施的目的进行测量，并记录测量的结果。通过定期的内审、控制措施目的测量及管理评审活动评价公司信息安全目的的完毕情况。1.1.4 支持1.1.6.1资源总经理负责拟定并提供建立、实行、保持和连续改善信息安全管理体系所需的资源。1.1.6.2能力办公室应：a) 拟定公司全体员工影响公司信息安全绩效的必要能力；b) 保证上述人员在适当的教育、培训或经验的基础上可以胜任其工作；c) 合用时，采用措施以获得必要的能力，并评估所采用措施的有效性；d) 保存适当的文献化信息作为能力的证据。注：合用的措施可涉及，对新入职工工进行的信息安全意识教育；定期对公司员工进行的业务实行

13、过程中的信息安全管理相关的培训等。1.1.6.3意识公司全体员工应了解：a) 公司的信息安全方针；b) 个人其对公司信息安全管理体系有效性的奉献，涉及改善信息安全绩效带来的益处；c) 不符合信息安全管理体系规定带来的影响。1.1.6.4沟通信息安全管理小组负责拟定与信息安全管理体系相关的内部和外部的沟通需求，涉及：a) 沟通内容；b) 沟通时间；c) 沟通对象；d) 谁应负责沟通；e) 影响沟通的过程。1.1.6.5文献化信息（一）总则公司的信息安全管理体系应涉及：a) 本标准规定的文献化信息；b) 信息安全管理小组保证信息安全管理体系的有效运营，需编制文献控制程序以管理公司信息安全管理体系的

14、相关文献。（二）创建和更新创建和更新文献化信息时，信息安全管理小组应保证适当的：a) 标记和描述（例如标题、日期、作者或编号）；b) 格式（例如语言、软件版本、图表）和介质（例如纸质、电子介质）；c) 对适宜性和充足性的评审和批准。（三）文献化信息的控制信息安全管理体系及本标准所规定的文献化信息应予以控制，以保证：a) 在需要的地点和时间，是可用和适宜的；b) 得到充足的保护（如避免保密性损失、不恰当使用、完整性损失等）；c) 为控制文献化信息，合用时，科技规划部应开展以下活动；d) 分发，访问，检索和使用；e) 存储和保护，涉及保持可读性；f) 控制变更（例如版本控制）；g) 保存和处置。信

15、息安全管理小组需在文献控制程序中规划和运营信息安全管理体系所必需的外来的文献化信息，应得到适当的辨认，并予以控制。1.1.5 运营1.1.7.1运营规划和控制为保证ISMS有效实行，对已辨认的风险进行有效解决，本公司开展以下活动：a) 形成信息安全风险解决计划，以拟定适当的管理措施、职责及安全保密控制措施的优先级，应特别注意公司外包过程的拟定和控制；对于系统集成和IT外包运维服务项目，项目经理应在项目策划阶段辨认所面临的信息安全风险，并在项目全过程中对信息安全风险进行监控和更新；b) 为实现已拟定的安全保密目的、实行风险解决计划，明确各岗位的信息安全职责；c) 实行所选择的控制措施，以实现控制

16、目的的规定；d) 进行信息安全培训，提高全员信息安全意识和能力；e) 对信息安全体系的运作进行管理，控制计划了的变更，评审非预期变更的后果，必要时采用措施减缓负面影响；f) 对信息安全所需资源进行管理；g) 实行控制程序，对信息安全事故（或事件）进行迅速反映。总经理为本公司信息安全最高责任者。办公室制定全公司的组织机构和各部门的职责（涉及信息安全职责），并形成文献。信息安全管理小组成员负责完毕信息安全管理体系运营时必须的任务；对信息安全管理体系的运营情况和必要的改善措施向信息安全最高责任者报告。各部门负责人作为本部门信息安全的重要负责人，信息安全内审员负责指导和监督本部门信息安全管理体系的运营

17、与实行，并形成文献；全体员工都应按保密承诺的规定自觉履行信息安全义务。各部门应按照信息安全合用性声明中规定的安全保密目的、控制措施（涉及安全保密运营的各种控制程序）的规定实行信息安全控制措施。信息安全管理小组应对满足信息安全规定及实行6.1中拟定的措施所需的过程予以规划、实行和控制，同时应实行计划以实现6.2中拟定的信息安全目的。信息安全管理小组应保持文献化信息达成必要的限度，以确信过程按计划得到执行。信息安全管理小组应控制计划内的变更并评审非预期变更的后果，必要时采用措施减轻负面影响。各部门拟定本部门业务过程中的外包活动，并对外包过程进行必要的控制。1.1.7.2信息安全风险评估公司按照组织

18、信息安全风险评估管理程序的规定，每年定期或当重大变更提出或发生时，执行信息安全风险评估。每次风险评估的过程均需形成记录，并由信息安全管理小组保存每次风险评估的记录，如：风险评估报告、风险解决计划等。1.1.7.3信息安全风险处置为保证ISMS有效实行，对已辨认的风险进行有效解决，本公司开展以下活动：a) 形成风险解决计划，以拟定适当的管理措施、职责及安全保密控制措施的优先级；b) 为实现已拟定的安全保密目的、实行风险解决计划，明确各岗位的信息安全职责；c) 实行所选择的控制措施，以实现控制目的的规定；d) 进行信息安全培训，提高全员信息安全意识和能力；e) 对信息安全体系的运作进行管理；f)

19、对信息安全所需资源进行管理；信息安全管理小组负责组织相关人员，定期检查风险解决计划的执行情况，并保存信息安全风险处置结果的文献化信息。1.1.6 绩效评价1.1.8.1监视、测量、分析和评价本公司通过实行定期的控制措施实行有效性检查、事故报告调查解决、电子监控、技术检查等检查方式检查信息安全管理体系运营的情况，并报告结果以实现：a) 及时发现信息安全体系的事故和隐患；b) 及时了解信息解决系统遭受的各类袭击；c) 使管理者掌握信息安全活动是否有效，并根据优先级别拟定所要采用的措施；d) 积累信息安全面的经验。按照计划的时间间隔（不超过一年）进行ISMS内部审核，内部审核的具体规定。根据控制措施

20、有效性检查和内审检查的结果以及来自相关方的建议和反馈，由最高责任者主持，每年对ISMS的有效性进行评审，其中涉及信息安全范围、方针、目的及控制措施有效性的评审。管理者代表应组织有关部门按照信息安全风险评估管理程序的规定对风险解决后的残余风险进行定期评审，以验证残余风险是否达成可接受的水平，对以下方面变更情况应及时进行风险评估：a) 组织机构发生重大变更；b) 信息解决技术发生重大变更；c) 公司业务目的及流程发生重大变更；d) 发现信息资产面临重大威胁；e) 外部环境，如法律法规或信息安全标准发生重大变更。保持上述活动和措施的记录。以上活动的具体程序规定于以下文献中： 控制措施有效性的测量程序

21、 信息安全职责权限划分对照表 信息安全风险评估管理程序 内部审核控制程序1.1.8.2内部审核内部信息安全审核重要指内部信息安全管理体系审核，其目的是验证公司信息安全管理体系运营的符合性和有效性并不断改善和完善公司的信息安全管理体系。（一）组织审核a) 公司统一组织、管理内部信息安全审核工作，信息安全管理小组负责制定内部审核控制程序并贯彻执行；b) 管理者代表负责领导和策划内部审核工作，批准年度内审计划和追加审核计划，批准审核组成员，批准审核算施计划，审批年度内审报告；c) 信息安全管理小组负责对审核组长及成员提名，编制年度审核计划和追加审核计划，报管理者代表批准后执行。d) 审核组长组织和管

22、理内部审核工作，根据实际情况和重要性安排审核顺序实行审核。e) 审核员不应审核自己的工作。（二）实行审核a) 审核组长编制的审核计划，经管理者代表批准后，负责在实行审核前5天向被审核方发出书面审核告知；b) 审核小组按内部审核控制程序实行审核；c) 审核员收集客观证据，通过度析整理做出公正判断，填写内审不合格报告提交审核组长，并请被审核部门经理在报告上签字认可。（三）审核报告审核组长应在完毕所有审核后，按规定格式编写内部管理体系审核报告提交信息安全管理小组，经其审阅后报管理者代表，内部管理体系审核报告作为管理评审的输入证据。（四）纠正措施和跟踪验证a) 被审核部门经理制定纠正措施，填写在内审不

23、合格报告中。b) 纠正措施完毕后后，应将纠正措施完毕情况填写到内审不合格报告相应栏内，然后将内审不合格报告交到审核组长。c) 审核组长视具体情况告知审核组复查，跟踪验证纠正措施实行情况，并将验证结果填写在内审不合格报告中。（五）审核记录审核组长应收集所有内部信息安全审核中发生的计划告知、内部审核检查表、记录、审核报告、总结等原始资料，整理后由信息安全管理小组负责保管内审相关记录。1.1.8.3 ISMS管理评审（一）总则信息安全最高责任者为确认信息安全管理体系的适宜性、充足性和有效性，每年对信息安全管理体系进行一次全面评审。该管理评审应涉及对信息安全管理体系是否需改善或变更的评价，以及对信息安

24、全方针和信息安全管理目的的评价。管理评审的结果应形成书面记录，并至少保存3年，按照文献控制程序的规定进行受控访问。（二）管理评审的输入在管理评审时，信息安全管理小组应组织相关部门提供以下资料，供信息安全管理最高责任者和各部门负责人进行评审：a) ISMS体系内、外部审核的结果；b) 相关方的反馈（投诉、抱怨、建议）；c) 可以用来改善ISMS业绩和有效性的新技术、产品或程序；d) 信息安全目的达成情况，纠正和防止措施的实行情况；e) 信息安全事故或征兆，以往风险评估时未充足考虑到的薄弱点或威胁；f) 上次管理评审时决定事项的实行情况；g) 也许影响信息安全管理体系变更的事项（标准、法律法规、相

25、关方规定）；h) 对信息安全管理体系改善的建议；i) 有效性测量结果。（三）管理评审的输出信息安全管理最高责任者对以下事项做出必要的指示：a) 信息安全管理体系有效性的改善事项；b) 信息安全方针适宜性的评价；c) 必要时，对影响信息安全的控制流程进行变更，以应对涉及以下变化的内外部事件对信息安全体系的影响： 业务发展规定； 信息安全规定； 业务流程； 法律法规规定； 风险水平/可接受风险水平。d) 对资源的需求。以上内容的具体规定见管理评审控制程序。1.1.7 改善1.1.9.1不符合和纠正措施发生不符合事项的责任部门在查明因素的基础上制定并实行相应的纠正措施，以消除不符和的因素，防止不符合

26、事项再次发生。信息安全管理小组负责制定纠正措施控制程序并组织问题发生部门针对发现的不符合现象分析因素、制定纠正措施，以消除不符合，并防止不符合的再次发生。对纠正措施的实行和验证规定以下环节：a) 辨认不符合；b) 拟定不符合的因素；c) 评价保证不符合不再发生的措施规定；d) 拟定和实行所需的纠正措施；e) 记录所采用措施的结果；f) 评审所采用的纠正措施，将重大纠正措施提交管理评审讨论。1.1.9.2连续改善公司的连续改善是信息安全管理体系得以连续保持其有效性的保证，公司在其信息管理体系安全方针、安全目的、安全审核、监视事态的分析、纠正措施以及管理评审方面都要连续改善信息安全管理体系的有效性

27、。本公司开展以下活动，以保证ISMS的连续改善：a) 实行每年管理评审、内部审核、安全检查等活动以拟定需改善的项目；b) 按照内部审核管理程序、纠正措施管理程序的规定采用适当的纠正和防止措施；c) 吸取其他组织及本公司安全事故的经验教训，不断改善安全措施的有效性；d) 对信息安全目的及分解进行适当的管理，保证改善达成预期的效果。为了保证信息安全管理体系的连续有效，各级管理者应通过适当的手段保持在公司内部对信息安全措施的执行情况与结果进行有效的沟通。涉及获取外部信息安全专家的建议、信息安全政府行政主管部门、电信运营商等组织的联系及辨认顾客对信息安全的规定等。如：管理评审会议、内部审核报告、公司内

28、文献体系、内部网络和邮件系统、法律法规评估报告等。1.1.8 信息安全管理方针公司的信息安全管理方针：安全第一，防止为主；全员参与，综治风险；遵纪守法，提高绩效；成本可控，连续发展。对于信息安全方针的解释：a) 满足客户规定：满足顾客的规定是公司运营的必然选择。b) 保障信息安全：信息安全是公司管理的重中之重。c) 遵守法律法规：遵守法律法规是公司生存之前提，满足法律法规及相关行业标准/技术规范的规定也是本公司必须承担的社会责任。d) 连续改善管理：控制风险是前提，风险自身是动态的过程。通过各种方式提高公司员工的信息安全意识，提高公司的信息安全管理过程。本公司承诺提供一切也许的资源与先进的技术

29、，保证信息的保密性、可用性和完整性，有针对性地采用一切必要的安全措施。使用有效的风险评估的工具和方法，严格控制风险事故在可接受风险范围之内。制订周密可靠的应急方案并定期进行演练，关键信息数据异地备份，制订业务连续性计划，以保证业务的连续进行。为了满足合用法律法规及相关方规定，维持计算机系统集成及服务、计算机应用软件的设计开发及服务活动的正常进行，本公司依据ISO/IEC27001:2023标准，建立信息安全管理体系，以保证与公司经营管理相关信息的保密性、完整性、可用性和可追溯性，实现业务可连续发展的目的。本公司将：a) 在公司内各层次建立完整的信息安全管理组织机构，拟定信息安全方针、安全保密目

30、的和控制措施，明确信息安全的管理职责；b) 辨认并满足合用法律、法规和相关方信息安全规定；c) 定期进行信息安全风险评估，ISMS评审，采用纠正防止措施，保证体系的连续有效性；d) 采用先进有效的设施和技术，解决、传递、储存和保护各类信息，实现信息共享；e) 对全体员工进行连续的信息安全教育和培训，不断增强员工的信息安全意识和能力；f) 制定并保持完善的业务连续性计划，实现可连续发展。上述方针的批准、发布及修订由公司信息安全最高责任者负责；通过培训、宣贯等方式使得本公司员工知晓并执行相关内容；通过有效途径告知服务相关方及客户，以提高安全保密意识及服务水平；并定期通过管理评审控制程序评审其合用性

31、、充足性，必要时予以修订。组织的角色，职责和权限公司经营管理层决定全公司的组织机构和各部门的职责（涉及信息安全职责），并形成文献。各部门的信息安全管理职责决定本部门组织形式和业务分担，并形成文献。总经理为本公司信息安全最高责任者。各部门/项目组负责人为本部门/项目组信息安全管理责任者，全体员工都应按保密承诺的规定自觉履行信息安全保密义务；各部门应按照信息安全合用性声明中规定的安全目的、控制措施（涉及安全运营的各种控制程序）的规定实行信息安全控制措施。1.2 信息安全管理手册之信息安全管理制度与规范、业务流程1.2.1 信息安全与保密管理制度1) 为了保证项目网络数据的安全保密，维持安全可靠的计

32、算机应用环境，特制定本规定。2) 凡项目组从事项目管理工作的员工都必须执行本规定。3) 项目的协议、需求说明、设计变更、工作联系单、工程洽商单、经济签证单、公司内部资料等必须由各部门信息管理员妥善管理，严禁外借，严禁非相关人员传阅、查看。4) 对接入计算机及设备，必须符合一下规定：a) 在未经许可的情况下，不得擅自对处计算机及其相关设备的硬件部分进行修改、改装或拆卸配置，涉及添加光驱、软驱，挂接硬盘等读写设备，以及增长串口或并口外围设备，如扫描仪、打印机等。b) 非我项目的计算机及任何外设，不得接入网络系统。c) 严禁私自启动计算机机箱封条或机箱锁。5) 凡使用项目配备计算机网络系统的员工，必

33、须遵守以下规定；a) 未经批准，严禁非本项目工作人员使用除计算机及任何相关设备。b) 对新上网使用办公网络系统的员工，由办公室负责上岗前的计算机网络设备系统安全及信息保密的技术培训工作。c) 未经批准，任何人严禁将其以任何形式（如数据形式：Internet、软盘、光盘、硬磁盘等；硬拷贝形式：图纸打印、复印、照片等）复制、传输或对外提供。d) 任何员工均不得超越权限侵入网络中未开放的信息，不得擅自修改入库数据资料和修改别人数据资料。6) 严格执行国家、有关保密、安全及办公自动化系统的有关法律、法规的规定和规定。各部门应自觉按照有关规定和规定配合做好保密和信息安全工作。7) 任何经由我公司外网接入

34、互联网的员工，必须严格遵守国家有关法律、法规。8) 凡使用公司网络系统的员工，必须配合网络管理员做好防病毒工作。a) 由办公室负责网络防病毒工作。信息维护员负责实行防病毒的平常管理工作。b) 凡装有可与外界进行数据传输的设备的计算机，必须安装防病毒程序，办公室定期对防病毒程序进行升级，增强对病毒的查杀能力。c) 凡需入网传输数据的盘片，由网络管理员负责检查、清查计算机病毒，保证没有病毒后方可传输数据。d) 员工在使用过程中如发现计算机病毒，应立即停止进行任何程序并报告网络管理员，如碰到现有防病毒程序无法清杀的病毒，网络管理员必须先将受感染的计算机从网络上隔开，协助员工做好数据备份工作，并为用户

35、恢复系统。9) 分公司办公室定期对有关部门进行计算机网络系统安全和数据保密检查，并将检查结果向处保密工作小组报告。10) 涉及项目信息安全与保密的管理人员均需要对本制度相关具体规定，进行保密工作承诺。1.2.2 文献加密管理制度1.2.2.1目的为规范公司重要文献的安全管理级别，通过文献外发控制以及加密管理，防止公司机密文献外泄，保障公司信息安全。1.2.2.2范围本管理制度合用于所有安装加密软件用户。1.2.2.3重要文献定义需要保护的公司重要电子文档包含：公司财务数据，公司人员信息总表，各部门培训课件，采购部商品分析表，薪资表，工程图纸，市场部协议信息，公司vip信息汇总表。1.2.2.4

36、职责与权限所有安装加密软件用户必须按照本制度规定进行执行；网管负责人负责加密软件的平常维护，安装管理，以及加密软件权限分派；综合部负责监管。1.2.2.5规定描述1) 文献加密类型 2) 目前对所有安装加密软件的用户电脑的重要文献进行加密解决。3) 文献传播方式控制4) 严禁通过复制/剪贴方式进行外发信息；5) 重要文献在创建或编辑时必须在指定机器上操作并进行加密。所有通过U盘、E-mail、QQ、MSN、微信、网盘等工具传送的重要文献，都必须通过部门主管许可才允许。6) 公司部提倡远程工作及登录服务器，如有必要需进行申请，开放端口，并通过加密的方式进行通讯。7) 文献外发控制管理重要文献需要

37、传递到没有安装加密软件用户或者外发到公司外部，必须由各部门制定人员通过加密解决后才允许外发。.对违反本规定者按照员工手册的有关规定解决。本制度由网管员编撰、修改、执行，自总经理批准之日起开始执行。1.2.3 信息安全奖惩管理办法1.2.3.1目的明确信息安全奖励与违规行为处罚的操作原则，强化执行，促进员工信息安全意识提高。1.2.3.2合用范围本规范合用于我公司内部信息安全事件的奖惩。1.2.3.3定义序号角色职责001信息安全事件指辨认出的发生的系统、服务或网络事件表白也许违反信息安全策略或防护措施失效；或以前未知的与安全相关的情况；其中一、二级信息安全事件称为重大信息安全事件。002信息安

38、全活动为培养员工信息安全意识，提高公司整体安全水平而举办的活动，形式涉及但不限于：考试、培训、宣传和自查。1.2.3.4职责与权限序号角色职责001员工遵守公司信息安全管理制度，积极配合、参与信息安全活动。002各部门信息安全接口人协助公司信息安全管理制度、产品的宣传与培训工作；负责对部门信息安全问题进行汇总与反馈。003部门主管是部门信息安全的直接负责人，负责监督和管理本部门员工的信息安全行为，并对潜在的信息安全风险进行预警，防止信息安全事件。004部门经理作为部门信息安全的间接负责人，熟悉公司信息安全战略，并积极推动信息安全策略的落地执行。005部门副总对所负责部门的信息安全事件负相应的管

39、理责任。006IT部信息安全组对信息安全事件进行跟踪解决，并拟定事件负责人。007总经理最终审批信息安全事件处罚申请。008总经理最终审批信息安全事件处罚申请。1.2.3.5内容（一）奖励、违规行为处罚原则 及时激励原则对长期妥善保护公司信息资产，有效避免信息资产的遗失、滥用、盗用等，或对于促进信息安全合理共享表现突出的个人或者集体，将及时奖励。举报保密原则对于举报信息安全违规行为的人员，将对其进行奖励并严格保护其个人资料不公开。违规行为处罚原则 法律追究原则公司所有保密信息均为公司合法资产，受国家法律法规保护。任何损害公司保密信息的行为，公司均有权追究行为人法律责任。 违规分级原则根据违规行

40、为的性质、导致的损失和影响的严重限度、违规人员是否故意对违规行为分级。涉及关键信息资产的，违规等级要升级；一次违反多条信息安全规定的人员按最高违规等级从重处罚；对多次违反信息安全规定的人员再次违规时要从重处罚。 积极从宽原则产生违规行为后积极报告，积极采用补救措施以减少影响和损失的人员，可减轻处罚；对问题隐瞒不报或者不及时上报而导致违规影响扩大的人员，加重处罚。 过度防卫处罚原则对阻碍信息合理流动与共享的人员要给予处罚。 及时解决原则对重大信息安全违规事件，要及时解决。任何迟延、推诿不解决的负责人，要给予问责。（二）奖励等级与责任部门奖励等级与措施奖励事迹奖励等级奖励措施举报或者制止泄密、窃密

41、或者其他严重损害公司利益事件的集体或者个人一级根据具体情况给予8000元集体奖励或者5000元个人奖励；通报表扬（遵循“举报保密原则“淡化事迹并隐藏人员信息）。制止别人违规行为或者即时反映也许导致泄密、窃密或者其他重大安全隐患的个人，以及在信息安全面做出表率或者突出奉献的集体二级根据具体情况集体奖5000元或者3000个人奖励；通报表扬（遵循“举报保密原则“淡化事迹并隐藏人员信息）。在信息安全管理中做出奉献，反映信息安全隐患或者过度防卫被核算、提出信息安全合理化建议并被采纳的个人，以及在信息安全面做出奉献的集体三级根据具体情况给予3000元集体奖励或者1000元个人奖励。奖励责任部门1）对于满

42、足信息安全奖励标准的集体或者个人，IT部信息安全组可根据具体事迹定期进行申报，审批通过后由综合部根据公司财务制度进行发放奖金；2） 各部门信息安全接口人可自行组织对本部门优秀信息安全集体或者个人进行奖励。违规等级与措施违规事件违规等级处罚措施盗窃、故意泄露公司保密信息的，或故意违反信息安全管理规定，性质严重导致重大影响或者风险一级1. 直接开除，永不录用；2. 如违反法律法规由公司法务部移送公安机关解决；如给公司导致相关损失，须补偿公司损失。3. 全公司范围内通报处罚决定。故意违反信息安全规定，性质严重；或者导致较大影响或较大风险二级1. 如给公司导致相关损失，须补偿公司损失；2. 担任公司管

43、理岗位的人员，进行降职或者降薪解决；非公司管理岗位的人员，进行降薪解决；3. 全公司范围内通报处罚决定。过失违反信息安全管理规定，导致一定影响或者风险的；或者故意违反信息安全管理规定，但性质不严重且没有导致严重影响或风险三级1. 记入关键事件考评结果减10分或罚款500元；2. 12个月内2次三级违规升级为1次二级违规。3.部门内部通报处罚决定。过失违反信息安全管理规定，性质较轻，且导致轻微影响或者风险四级1.记入关键事件考评结果减5分或罚款300元；2.12个月内2次四级违规升级为1次三级违规；3.部门内部通报处罚决定。说明：1) 信息安全管理规定涉及公司各部门正式发布的信息安全管理制度；2

44、) 上表中“违规事件“的描述是定性的描述，是违规事件定级的参考原则。常见违规行为所合用违规等级具体参考附件1：常见违规行为及其合用处罚等级举例，其他违规行为所使用等级可参考举例进行认定。责任鉴定1）发生一、二级重大信息安全事件违规时，违规者直接上级和部门经理承担直接和间接责任，部门副总须承担连带管理责任，并按照常见违规行为及其合用处罚等级举例V1.0合用条款进行处罚；2）对于三、四级信息安全违规，根据以下条件判断负责人直接上级是否连带处罚： 员工无意违规，且负责人领导未进行审批授权的，不进行连带处罚； 员工无意违规，但负责人领导进行包庇的，在事实确认的基础上，进行连带处罚； 若所管理部门一个月

45、内发生2次（含）以上故意违规或者4次（含）以上无意违规事件，对直接上级进行连带处罚。处罚责任部门处罚等级处罚负责人批准申诉一级总经理/综合部二级总经理/综合部三级部门分管副总IT部信息安全组综合部四级部门分管副总IT部信息安全组综合部说明：1）对于各类违规行为处罚应当慎重，应建立在客观事实的基础上给出处罚意见。根据违规行为性质、导致的损失和影响的大小，IT部信息安全组有权规定对当事人加重或者减轻处罚；2）发现可疑事件的组织作为事件调查和解决的责任部门。为了加快一级违规行为的解决进度，沟通时限和批如期限都是2天；3）在违规事件解决过程中，IT部信息安全组协助与监督处罚负责人完毕处罚执行工作。处罚

46、负责人或其授权人员要做好与违规员工的沟通工作。对违规处罚过程中出现的迟延、推诿行为，IT部信息安全组可以行使否决权。维护与解释1）本规定发布之日起生效；2）本规定由信息安全组至少每两年审阅一次，根据审核结果修订标准并颁布执行；3）本规定解释权归信息安全组。1.2.4 计算机数据备份管理规定为保证本公司计算机所保存的数据和信息安全，加强和规范公司计算机数据和信息管理，特制定本规定。本办法合用于公司所有使用计算机进行平常办公、信息化系统操作、自动化控制系统操作的部门与员工，本规定自下发之日起执行。1.2.4.1职责1) 计算机使用者负责所使用计算机的数据备份操作，涉及到信息监控系统、自动化控制系统用计算机，有关单位和部门要指定专人负责。2) 各单位、部门的负责人是本部门数据备份管理、信息安全管理的第一负责人。各部门负责人要了解本部门需要备份的数据内容与类型，贯彻备份规定，防范也许出现的数据风险，对本部门数据备份情况要进行