信息安全管理方針和策略.doc

1、信息安全管理方針和策略范圍公司依據(jù)ISO/IEC27001:2013信息安全管理體系標(biāo)準(zhǔn)的要求編制信息安全管理手冊，并包括了風(fēng)險(xiǎn)評估及處置的要求。規(guī)定了公司的信息安全方針及管理目標(biāo)，引用了信息安全管理體系的內(nèi)容。1.1規(guī)范性引用文件下列參考文件的部分或整體在本文檔中屬于標(biāo)準(zhǔn)化引用，對于本文件的應(yīng)用必不可少。凡是注日期的引用文件，只有引用的版本適用于本標(biāo)準(zhǔn)；凡是不注日期的引用文件，其最新版本（包括任何修改）適用于本標(biāo)準(zhǔn)。ISO/IEC 27000，信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯。1.2術(shù)語和定義ISO/IEC 27000中的術(shù)語和定義適用于本文件。1.3公司環(huán)境1.3.1理解公司及其環(huán)境公司確定與公司業(yè)務(wù)目標(biāo)相關(guān)并影響實(shí)現(xiàn)信息安全管理體系預(yù)期結(jié)果的能力的外部和內(nèi)部問題，需考慮：明確外部狀況： 社會、文化、政治、法律法規(guī)、金融、技術(shù)、經(jīng)濟(jì)、自然和競爭環(huán)境，無論國際、國內(nèi)、區(qū)域，還是本地的； 影響組織目標(biāo)的主要?jiǎng)恿挖厔荩?與外部利益相關(guān)方的關(guān)系，外部利益相關(guān)方的觀點(diǎn)和價(jià)值觀。明確內(nèi)部狀況： 治理、組織結(jié)構(gòu)、作用和責(zé)任； 方針、目標(biāo)，為實(shí)現(xiàn)方針和目標(biāo)制定的戰(zhàn)略； 基于資源和知識理解的能力（如：資金、時(shí)間、人員、過程、系統(tǒng)和技術(shù)）； 與內(nèi)部利益相關(guān)方的關(guān)系，內(nèi)部利益相關(guān)方的觀點(diǎn)和價(jià)值觀； 組織的文化； 信息系統(tǒng)、信息流和決策過程（正式與非正式）； 組織所采用的標(biāo)準(zhǔn)、指南和模式； 合同關(guān)系的形式與范圍。明確風(fēng)險(xiǎn)管理過程狀況： 確定風(fēng)險(xiǎn)管理活動的目標(biāo)； 確定風(fēng)險(xiǎn)管理過程的職責(zé)； 確定所要開展的風(fēng)險(xiǎn)管理活動的范圍以及深度、廣度，包括具體的內(nèi)涵和外延； 以時(shí)間和地點(diǎn)，界定活動、過程、職能、項(xiàng)目、產(chǎn)品、服務(wù)或資產(chǎn)； 界定組織特定項(xiàng)目、過程或活動與其他項(xiàng)目、過程或活動之間的關(guān)系； 確定風(fēng)險(xiǎn)評價(jià)的方法； 確定評價(jià)風(fēng)險(xiǎn)管理的績效和有效性的方法； 識別和規(guī)定所必須要做出的決策； 確定所需的范圍或框架性研究，它們的程度和目標(biāo)，以及此種研究所需資源。確定風(fēng)險(xiǎn)準(zhǔn)則： 可以出現(xiàn)的致因和后果的性質(zhì)和類別，以及如何予以測量； 可能性如何確定； 可能性和（或）后果的時(shí)間范圍； 風(fēng)險(xiǎn)程度如何確定； 利益相關(guān)方的觀點(diǎn)； 風(fēng)險(xiǎn)可接受或可容許的程度； 多種風(fēng)險(xiǎn)的組合是否予以考慮，如果是，如何考慮及哪種風(fēng)險(xiǎn)組合宜予以考慮。1.3.2理解相關(guān)方的需求和期望信息安全管理小組應(yīng)確定信息安全管理體系的相關(guān)方及其信息安全要求，相關(guān)的信息安全要求。對于利益相關(guān)方，可作為信息資產(chǎn)識別，并根據(jù)風(fēng)險(xiǎn)評估的結(jié)果，制定相應(yīng)的控制措施，實(shí)施必要的管理。相關(guān)方的要求可包括法律法規(guī)要求和合同義務(wù)。1.3.3確定信息安全管理體系范圍本公司ISMS的范圍包括a) 物理范圍：b) 業(yè)務(wù)范圍：計(jì)算機(jī)軟件開發(fā)，計(jì)算機(jī)系統(tǒng)集成相關(guān)信息安全管理活動。c) 內(nèi)部管理結(jié)構(gòu)：辦公室、財(cái)務(wù)部、研發(fā)部、商務(wù)部、工程部、運(yùn)維部。d) 外部接口：向公司提供各種服務(wù)的第三方1.3.4信息安全管理體系本公司按照ISO/IEC27001:2013標(biāo)準(zhǔn)的要求建立一個(gè)文件化的信息安全管理體系。同時(shí)考慮該體系的實(shí)施、維持、持續(xù)改善，確保其有效性。ISMS體系所涉及的過程基于PDCA模式。1.4領(lǐng)導(dǎo)力總經(jīng)理應(yīng)通過以下方式證明信息安全管理體系的領(lǐng)導(dǎo)力和承諾：a) 確保信息安全方針和信息安全目標(biāo)已建立，并與公司戰(zhàn)略方向一致；b) 確保將信息安全管理體系要求融合到日常管理過程中；c) 確保信息安全管理體系所需資源可用；d) 向公司內(nèi)部傳達(dá)有效的信息安全管理及符合信息安全管理體系要求的重要性；e) 確保信息安全管理體系達(dá)到預(yù)期結(jié)果；f) 指導(dǎo)并支持相關(guān)人員為信息安全管理體系有效性做出貢獻(xiàn)；g) 促進(jìn)持續(xù)改進(jìn)；h) 支持信息安全管理小組及各部門的負(fù)責(zé)人，在其職責(zé)范圍內(nèi)展現(xiàn)領(lǐng)導(dǎo)力。1.5規(guī)劃1.5.1應(yīng)對風(fēng)險(xiǎn)和機(jī)會的措施1.5.1.1總則公司針對公司內(nèi)部和公司外部的實(shí)際情況，和相關(guān)方的要求，確定公司所需應(yīng)對的信息安全方面的風(fēng)險(xiǎn)。在已確定的ISMS范圍內(nèi)，針對業(yè)務(wù)全過程所涉及的所有信息資產(chǎn)進(jìn)行列表識別。信息資產(chǎn)包括軟件/系統(tǒng)、數(shù)據(jù)/文檔、硬件/設(shè)施、人力資源及外包服務(wù)。對每一項(xiàng)信息資產(chǎn)，根據(jù)信息資產(chǎn)判斷依據(jù)確定信息資產(chǎn)的重要性等級并對其重要度賦值。信息安全管理小組制定信息安全風(fēng)險(xiǎn)評估管理程序，經(jīng)信息安全管理小組組長批準(zhǔn)后組織實(shí)施。風(fēng)險(xiǎn)評估管理程序包括可接受風(fēng)險(xiǎn)準(zhǔn)則和可接受水平。該程序的詳細(xì)內(nèi)容見信息安全風(fēng)險(xiǎn)評估管理程序。1.5.1.1.1信息安全風(fēng)險(xiǎn)評估1.5.1.1.1.1風(fēng)險(xiǎn)評估的系統(tǒng)方法信息安全管理小組制定信息安全風(fēng)險(xiǎn)評估管理程序，經(jīng)管理者代表審核，總經(jīng)理批準(zhǔn)后組織實(shí)施。風(fēng)險(xiǎn)評估管理程序包括可接受風(fēng)險(xiǎn)準(zhǔn)則和可接受水平。該程序的詳細(xì)內(nèi)容適用于信息安全風(fēng)險(xiǎn)評估管理程序。1.5.1.1.1.2資產(chǎn)識別在已確定的ISMS范圍內(nèi)，對所有的信息資產(chǎn)進(jìn)行列表識別。信息資產(chǎn)包括軟件/系統(tǒng)、數(shù)據(jù)/文檔、硬件/設(shè)施及人力資源、服務(wù)等。對每一項(xiàng)信息資產(chǎn)，根據(jù)信息資產(chǎn)判斷依據(jù)確定信息資產(chǎn)的重要性等級并對其重要度賦值。1.5.1.1.1.3評估風(fēng)險(xiǎn)a) 針對每一項(xiàng)信息資產(chǎn)、記錄、信息資產(chǎn)所處的環(huán)境等因素，識別出所有信息資產(chǎn)所面臨的威脅；b) 針對每一項(xiàng)威脅，識別出被該威脅可能利用的薄弱點(diǎn)；c) 針對每一項(xiàng)薄弱點(diǎn)，列出現(xiàn)有的控制措施，并對控制措施有效性賦值；同時(shí)考慮威脅利用脆弱性的容易程度，并對容易度賦值；d) 判斷一個(gè)威脅發(fā)生后可能對信息資產(chǎn)在保密性(C)、完整性(I)和可用性(A)方面的損害，進(jìn)而對公司業(yè)務(wù)造成的影響，計(jì)算信息資產(chǎn)的安全事件的可能性和損失程度。e) 考慮安全事件的可能性和損失程度兩者的結(jié)合，計(jì)算信息資產(chǎn)的風(fēng)險(xiǎn)值。f) 根據(jù)信息安全風(fēng)險(xiǎn)評估管理程序的要求確定資產(chǎn)的風(fēng)險(xiǎn)等級。g) 對于信息安全風(fēng)險(xiǎn)，在考慮控制措施與費(fèi)用平衡的原則下制定風(fēng)險(xiǎn)接受準(zhǔn)則，按照該準(zhǔn)則確定何種等級的風(fēng)險(xiǎn)為不可接受風(fēng)險(xiǎn)，該準(zhǔn)則在信息安全風(fēng)險(xiǎn)評估管理程序有詳細(xì)規(guī)定，并在風(fēng)險(xiǎn)評估報(bào)告中進(jìn)行系統(tǒng)匯報(bào)并針對結(jié)果處理意見獲得最高管理者批準(zhǔn)。h) 獲得最高管理者對建議的殘余風(fēng)險(xiǎn)的批準(zhǔn)，殘余風(fēng)險(xiǎn)應(yīng)該在殘余風(fēng)險(xiǎn)評價(jià)報(bào)告上留下記錄，并記錄殘余風(fēng)險(xiǎn)處置批示報(bào)告。i) 獲得管理者對實(shí)施和運(yùn)行ISMS的授權(quán)。ISMS管理者代表的任命和授權(quán)、ISMS文檔的簽署可以作為實(shí)施和運(yùn)作ISMS的授權(quán)證據(jù)。1.5.1.1.2信息安全風(fēng)險(xiǎn)處置1.5.1.1.2.1風(fēng)險(xiǎn)處理方法的識別與評價(jià)信息安全管理小組應(yīng)組織有關(guān)部門根據(jù)風(fēng)險(xiǎn)評估的結(jié)果，形成風(fēng)險(xiǎn)處理計(jì)劃，該計(jì)劃應(yīng)明確風(fēng)險(xiǎn)處理責(zé)任部門、方法及時(shí)間。對于信息安全風(fēng)險(xiǎn)，應(yīng)考慮控制措施與費(fèi)用的平衡原則，選用以下適當(dāng)?shù)拇胧篴) 采用適當(dāng)?shù)膬?nèi)部控制措施；b) 接受某些風(fēng)險(xiǎn)（不可能將所有風(fēng)險(xiǎn)降低為零）；c) 回避某些風(fēng)險(xiǎn)（如物理隔離）；d) 轉(zhuǎn)移某些風(fēng)險(xiǎn)（如將風(fēng)險(xiǎn)轉(zhuǎn)移給保險(xiǎn)者、供方、分包商）。1.5.1.1.2.2選擇控制目標(biāo)與控制措施信息安全管理小組根據(jù)信息安全方針、業(yè)務(wù)發(fā)展要求及風(fēng)險(xiǎn)評估的結(jié)果，組織有關(guān)部門制定信息安全目標(biāo)。信息安全目標(biāo)應(yīng)獲得總裁的批準(zhǔn)?？刂颇繕?biāo)及控制措施的選擇原則來源于附錄A。本公司根據(jù)信息安全管理的需要，可以選擇標(biāo)準(zhǔn)之外的其他控制措施。1.5.1.1.2.3適用性聲明SoA信息安全管理小組編制信息安全適用性聲明（SoA）。該聲明包括以下方面的內(nèi)容：a) 所選擇控制目標(biāo)與控制措施的概要描述；b) 對ISO/IEC 27001:2013附錄A中未選用的控制目標(biāo)及控制措施理由的說明。1.5.1.1.2.3殘余風(fēng)險(xiǎn)對風(fēng)險(xiǎn)處理后的殘余風(fēng)險(xiǎn)應(yīng)形成殘余風(fēng)險(xiǎn)評估報(bào)告并得到信息安全最高責(zé)任人的批準(zhǔn)。信息安全管理小組應(yīng)保留信息安全風(fēng)險(xiǎn)處置過程的文件化信息。1.5.2信息安全目標(biāo)和實(shí)現(xiàn)規(guī)劃根據(jù)公司的信息安全方針，經(jīng)過最高管理者確認(rèn)，公司的信息安全管理目標(biāo)為：顧客保密性抱怨/投訴的次數(shù)不超過1起/年。受控信息泄露的事態(tài)發(fā)生不超過3起/年秘密信息泄露的事態(tài)不得發(fā)生。信息安全管理小組根據(jù)適用性聲明、信息資產(chǎn)風(fēng)險(xiǎn)評估表中風(fēng)險(xiǎn)處理計(jì)劃所選擇的控制措施，明確控制措施改進(jìn)時(shí)間表。對于各部門信息安全目標(biāo)的完成情況，按照信息安全目標(biāo)及有效性測量程序的要求，周期性在主責(zé)部門對各控制措施的目標(biāo)進(jìn)行測量，并記錄測量的結(jié)果。通過定期的內(nèi)審、控制措施目標(biāo)測量及管理評審活動評價(jià)公司信息安全目標(biāo)的完成情況。1.6支持1.6.1資源總經(jīng)理負(fù)責(zé)確定并提供建立、實(shí)施、保持和持續(xù)改進(jìn)信息安全管理體系所需的資源。1.6.2能力辦公室應(yīng)：a) 確定公司全體員工影響公司信息安全績效的必要能力；b) 確保上述人員在適當(dāng)?shù)慕逃?、培?xùn)或經(jīng)驗(yàn)的基礎(chǔ)上能夠勝任其工作；c) 適用時(shí)，采取措施以獲得必要的能力，并評估所采取措施的有效性；d) 保留適當(dāng)?shù)奈募畔⒆鳛槟芰Φ淖C據(jù)。注：適用的措施可包括，對新入職員工進(jìn)行的信息安全意識教育；定期對公司員工進(jìn)行的業(yè)務(wù)實(shí)施過程中的信息安全管理相關(guān)的培訓(xùn)等。1.6.3意識公司全體員工應(yīng)了解：a) 公司的信息安全方針；b) 個(gè)人其對公司信息安全管理體系有效性的貢獻(xiàn)，包括改進(jìn)信息安全績效帶來的益處；c) 不符合信息安全管理體系要求帶來的影響。1.6.4溝通信息安全管理小組負(fù)責(zé)確定與信息安全管理體系相關(guān)的內(nèi)部和外部的溝通需求，包括：a) 溝通內(nèi)容；b) 溝通時(shí)間；c) 溝通對象；d) 誰應(yīng)負(fù)責(zé)溝通；e) 影響溝通的過程。1.6.5文件化信息1.6.5.1總則公司的信息安全管理體系應(yīng)包括：a) 本標(biāo)準(zhǔn)要求的文件化信息；b) 信息安全管理小組確保信息安全管理體系的有效運(yùn)行，需編制文件控制程序用以管理公司信息安全管理體系的相關(guān)文件。1.6.5.2創(chuàng)建和更新創(chuàng)建和更新文件化信息時(shí)，信息安全管理小組應(yīng)確保適當(dāng)?shù)模篴) 標(biāo)識和描述（例如標(biāo)題、日期、作者或編號）；b) 格式（例如語言、軟件版本、圖表）和介質(zhì)（例如紙質(zhì)、電子介質(zhì)）；c) 對適宜性和充分性的評審和批準(zhǔn)。1.6.5.3文件化信息的控制信息安全管理體系及本標(biāo)準(zhǔn)所要求的文件化信息應(yīng)予以控制，以確保：a) 在需要的地點(diǎn)和時(shí)間，是可用和適宜的；b) 得到充分的保護(hù)（如避免保密性損失、不恰當(dāng)使用、完整性損失等）。c) 為控制文件化信息，適用時(shí)，科技規(guī)劃部應(yīng)開展以下活動：d) 分發(fā)，訪問，檢索和使用；e) 存儲和保護(hù)，包括保持可讀性；f) 控制變更（例如版本控制）；g) 保留和處置。信息安全管理小組需在文件控制程序中規(guī)劃和運(yùn)行信息安全管理體系所必需的外來的文件化信息，應(yīng)得到適當(dāng)?shù)淖R別，并予以控制。1.7運(yùn)行1.7.1運(yùn)行規(guī)劃和控制為確保ISMS有效實(shí)施，對已識別的風(fēng)險(xiǎn)進(jìn)行有效處理，本公司開展以下活動：a) 形成信息安全風(fēng)險(xiǎn)處理計(jì)劃，以確定適當(dāng)?shù)墓芾泶胧?、職?zé)及安全保密控制措施的優(yōu)先級，應(yīng)特別注意公司外包過程的確定和控制；對于系統(tǒng)集成和IT外包運(yùn)維服務(wù)項(xiàng)目，項(xiàng)目經(jīng)理應(yīng)在項(xiàng)目策劃階段識別所面臨的信息安全風(fēng)險(xiǎn)，并在項(xiàng)目全過程中對信息安全風(fēng)險(xiǎn)進(jìn)行監(jiān)控和更新。b) 為實(shí)現(xiàn)已確定的安全保密目標(biāo)、實(shí)施風(fēng)險(xiǎn)處理計(jì)劃，明確各崗位的信息安全職責(zé)；c) 實(shí)施所選擇的控制措施，以實(shí)現(xiàn)控制目標(biāo)的要求；d) 進(jìn)行信息安全培訓(xùn)，提高全員信息安全意識和能力；e) 對信息安全體系的運(yùn)作進(jìn)行管理，控制計(jì)劃了的變更，評審非預(yù)期變更的后果，必要時(shí)采取措施減緩負(fù)面影響；f) 對信息安全所需資源進(jìn)行管理；g) 實(shí)施控制程序，對信息安全事故（或事件）進(jìn)行迅速反應(yīng)。總經(jīng)理為本公司信息安全最高責(zé)任者。辦公室制定全公司的組織機(jī)構(gòu)和各部門的職責(zé)（包括信息安全職責(zé)），并形成文件。信息安全管理小組成員負(fù)責(zé)完成信息安全管理體系運(yùn)行時(shí)必須的任務(wù)；對信息安全管理體系的運(yùn)行情況和必要的改善措施向信息安全最高責(zé)任者報(bào)告。各部門負(fù)責(zé)人作為本部門信息安全的主要責(zé)任人，信息安全內(nèi)審員負(fù)責(zé)指導(dǎo)和監(jiān)督本部門信息安全管理體系的運(yùn)行與實(shí)施，并形成文件；全體員工都應(yīng)按保密承諾的要求自覺履行信息安全義務(wù)。各部門應(yīng)按照信息安全適用性聲明中規(guī)定的安全保密目標(biāo)、控制措施（包括安全保密運(yùn)行的各種控制程序）的要求實(shí)施信息安全控制措施。信息安全管理小組應(yīng)對滿足信息安全要求及實(shí)施6.1中確定的措施所需的過程予以規(guī)劃、實(shí)施和控制，同時(shí)應(yīng)實(shí)施計(jì)劃以實(shí)現(xiàn)6.2中確定的信息安全目標(biāo)。信息安全管理小組應(yīng)保持文件化信息達(dá)到必要的程度，以確信過程按計(jì)劃得到執(zhí)行。信息安全管理小組應(yīng)控制計(jì)劃內(nèi)的變更并評審非預(yù)期變更的后果，必要時(shí)采取措施減輕負(fù)面影響。各部門確定本部門業(yè)務(wù)過程中的外包活動，并對外包過程進(jìn)行必要的控制。1.7.2信息安全風(fēng)險(xiǎn)評估公司按照組織信息安全風(fēng)險(xiǎn)評估管理程序的要求，每年定期或當(dāng)重大變更提出或發(fā)生時(shí)，執(zhí)行信息安全風(fēng)險(xiǎn)評估。每次風(fēng)險(xiǎn)評估的過程均需形成記錄，并由信息安全管理小組保留每次風(fēng)險(xiǎn)評估的記錄，如：風(fēng)險(xiǎn)評估報(bào)告、風(fēng)險(xiǎn)處理計(jì)劃等。1.7.3信息安全風(fēng)險(xiǎn)處置為確保ISMS有效實(shí)施，對已識別的風(fēng)險(xiǎn)進(jìn)行有效處理，本公司開展以下活動：a) 形成風(fēng)險(xiǎn)處理計(jì)劃，以確定適當(dāng)?shù)墓芾泶胧?、職?zé)及安全保密控制措施的優(yōu)先級；b) 為實(shí)現(xiàn)已確定的安全保密目標(biāo)、實(shí)施風(fēng)險(xiǎn)處理計(jì)劃，明確各崗位的信息安全職責(zé)；c) 實(shí)施所選擇的控制措施，以實(shí)現(xiàn)控制目標(biāo)的要求；d) 進(jìn)行信息安全培訓(xùn)，提高全員信息安全意識和能力；e) 對信息安全體系的運(yùn)作進(jìn)行管理；f) 對信息安全所需資源進(jìn)行管理；信息安全管理小組負(fù)責(zé)組織相關(guān)人員，定期檢查風(fēng)險(xiǎn)處理計(jì)劃的執(zhí)行情況，并保留信息安全風(fēng)險(xiǎn)處置結(jié)果的文件化信息。1.8績效評價(jià)1.8.1監(jiān)視、測量、分析和評價(jià)本公司通過實(shí)施定期的控制措施實(shí)施有效性檢查、事故報(bào)告調(diào)查處理、電子監(jiān)控、技術(shù)檢查等檢查方式檢查信息安全管理體系運(yùn)行的情況，并報(bào)告結(jié)果以實(shí)現(xiàn)：a) 及時(shí)發(fā)現(xiàn)信息安全體系的事故和隱患；b) 及時(shí)了解信息處理系統(tǒng)遭受的各類攻擊；c) 使管理者掌握信息安全活動是否有效，并根據(jù)優(yōu)先級別確定所要采取的措施；d) 積累信息安全方面的經(jīng)驗(yàn)。按照計(jì)劃的時(shí)間間隔（不超過一年）進(jìn)行ISMS內(nèi)部審核，內(nèi)部審核的具體要求。根據(jù)控制措施有效性檢查和內(nèi)審檢查的結(jié)果以及來自相關(guān)方的建議和反饋，由最高責(zé)任者主持，每年對ISMS的有效性進(jìn)行評審，其中包括信息安全范圍、方針、目標(biāo)及控制措施有效性的評審。管理者代表應(yīng)組織有關(guān)部門按照信息安全風(fēng)險(xiǎn)評估管理程序的要求對風(fēng)險(xiǎn)處理后的殘余風(fēng)險(xiǎn)進(jìn)行定期評審，以驗(yàn)證殘余風(fēng)險(xiǎn)是否達(dá)到可接受的水平，對以下方面變更情況應(yīng)及時(shí)進(jìn)行風(fēng)險(xiǎn)評估：a) 組織機(jī)構(gòu)發(fā)生重大變更；b) 信息處理技術(shù)發(fā)生重大變更；c) 公司業(yè)務(wù)目標(biāo)及流程發(fā)生重大變更；d) 發(fā)現(xiàn)信息資產(chǎn)面臨重大威脅；e) 外部環(huán)境，如法律法規(guī)或信息安全標(biāo)準(zhǔn)發(fā)生重大變更。保持上述活動和措施的記錄。以上活動的詳細(xì)程序規(guī)定于以下文件中： 控制措施有效性的測量程序 信息安全職責(zé)權(quán)限劃分對照表 信息安全風(fēng)險(xiǎn)評估管理程序 內(nèi)部審核控制程序1.8.2內(nèi)部審核內(nèi)部信息安全審核主要指內(nèi)部信息安全管理體系審核，其目的是驗(yàn)證公司信息安全管理體系運(yùn)行的符合性和有效性并不斷改進(jìn)和完善公司的信息安全管理體系。1.8.2.1組織審核a) 公司統(tǒng)一組織、管理內(nèi)部信息安全審核工作，信息安全管理小組負(fù)責(zé)制定內(nèi)部審核控制程序并貫徹執(zhí)行；b) 管理者代表負(fù)責(zé)領(lǐng)導(dǎo)和策劃內(nèi)部審核工作，批準(zhǔn)年度內(nèi)審計(jì)劃和追加審核計(jì)劃，批準(zhǔn)審核組成員，批準(zhǔn)審核實(shí)施計(jì)劃，審批年度內(nèi)審報(bào)告；c) 信息安全管理小組負(fù)責(zé)對審核組長及成員提名，編制年度審核計(jì)劃和追加審核計(jì)劃，報(bào)管理者代表批準(zhǔn)后執(zhí)行。d) 審核組長組織和管理內(nèi)部審核工作，根據(jù)實(shí)際情況和重要性安排審核順序?qū)嵤徍?。e) 審核員不應(yīng)審核自己的工作。1.8.2.2實(shí)施審核a) 審核組長編制的審核計(jì)劃，經(jīng)管理者代表批準(zhǔn)后，負(fù)責(zé)在實(shí)施審核前5天向被審核方發(fā)出書面審核通知；b) 審核小組按內(nèi)部審核控制程序?qū)嵤徍?；c) 審核員收集客觀證據(jù)，通過分析整理做出公正判斷，填寫內(nèi)審不合格報(bào)告提交審核組長，并請被審核部門經(jīng)理在報(bào)告上簽字認(rèn)可。1.8.2.3審核報(bào)告審核組長應(yīng)在完成全部審核后，按規(guī)定格式編寫內(nèi)部管理體系審核報(bào)告提交信息安全管理小組，經(jīng)其審閱后報(bào)管理者代表，內(nèi)部管理體系審核報(bào)告作為管理評審的輸入證據(jù)。1.8.2.4糾正措施和跟蹤驗(yàn)證a) 被審核部門經(jīng)理制定糾正措施，填寫在內(nèi)審不合格報(bào)告中。b) 糾正措施完成后后，應(yīng)將糾正措施完成情況填寫到內(nèi)審不合格報(bào)告相應(yīng)欄內(nèi)，然后將內(nèi)審不合格報(bào)告交到審核組長。c) 審核組長視具體情況通知審核組復(fù)查，跟蹤驗(yàn)證糾正措施實(shí)施情況，并將驗(yàn)證結(jié)果填寫在內(nèi)審不合格報(bào)告中。1.8.2.5審核記錄審核組長應(yīng)收集所有內(nèi)部信息安全審核中發(fā)生的計(jì)劃通知、內(nèi)部審核檢查表、記錄、審核報(bào)告、總結(jié)等原始資料，整理后由信息安全管理小組負(fù)責(zé)保管內(nèi)審相關(guān)記錄。1.8.3ISMS管理評審1.8.3.1總則信息安全最高責(zé)任者為確認(rèn)信息安全管理體系的適宜性、充分性和有效性，每年對信息安全管理體系進(jìn)行一次全面評審。該管理評審應(yīng)包括對信息安全管理體系是否需改進(jìn)或變更的評價(jià)，以及對信息安全方針和信息安全管理目標(biāo)的評價(jià)。管理評審的結(jié)果應(yīng)形成書面記錄，并至少保存3年，按照文件控制程序的要求進(jìn)行受控訪問。1.8.3.2管理評審的輸入在管理評審時(shí)，信息安全管理小組應(yīng)組織相關(guān)部門提供以下資料，供信息安全管理最高責(zé)任者和各部門負(fù)責(zé)人進(jìn)行評審：a) ISMS體系內(nèi)、外部審核的結(jié)果；b) 相關(guān)方的反饋（投訴、抱怨、建議）；c) 可以用來改進(jìn)ISMS業(yè)績和有效性的新技術(shù)、產(chǎn)品或程序；d) 信息安全目標(biāo)達(dá)成情況，糾正和預(yù)防措施的實(shí)施情況；e) 信息安全事故或征兆，以往風(fēng)險(xiǎn)評估時(shí)未充分考慮到的薄弱點(diǎn)或威脅；f) 上次管理評審時(shí)決定事項(xiàng)的實(shí)施情況；g) 可能影響信息安全管理體系變更的事項(xiàng)（標(biāo)準(zhǔn)、法律法規(guī)、相關(guān)方要求）；h) 對信息安全管理體系改善的建議；i) 有效性測量結(jié)果。1.8.3.3管理評審的輸出信息安全管理最高責(zé)任者對以下事項(xiàng)做出必要的指示：a) 信息安全管理體系有效性的改善事項(xiàng)；b) 信息安全方針適宜性的評價(jià)；c) 必要時(shí)，對影響信息安全的控制流程進(jìn)行變更，以應(yīng)對包括以下變化的內(nèi)外部事件對信息安全體系的影響： 業(yè)務(wù)發(fā)展要求； 信息安全要求； 業(yè)務(wù)流程； 法律法規(guī)要求； 風(fēng)險(xiǎn)水平/可接受風(fēng)險(xiǎn)水平。d) 對資源的需求。以上內(nèi)容的詳細(xì)規(guī)定見管理評審控制程序。1.9改進(jìn)1.9.1不符合和糾正措施發(fā)生不符合事項(xiàng)的責(zé)任部門在查明原因的基礎(chǔ)上制定并實(shí)施相應(yīng)的糾正措施，以消除不符和的原因，防止不符合事項(xiàng)再次發(fā)生。信息安全管理小組負(fù)責(zé)制定糾正措施控制程序并組織問題發(fā)生部門針對發(fā)現(xiàn)的不符合現(xiàn)象分析原因、制定糾正措施，以消除不符合，并防止不符合的再次發(fā)生。對糾正措施的實(shí)施和驗(yàn)證規(guī)定以下步驟：a) 識別不符合；b) 確定不符合的原因；c) 評價(jià)確保不符合不再發(fā)生的措施要求；d) 確定和實(shí)施所需的糾正措施；e) 記錄所采取措施的結(jié)果；f) 評審所采取的糾正措施，將重大糾正措施提交管理評審討論。1.9.2持續(xù)改進(jìn)公司的持續(xù)改進(jìn)是信息安全管理體系得以持續(xù)保持其有效性的保證，公司在其信息管理體系安全方針、安全目標(biāo)、安全審核、監(jiān)視事態(tài)的分析、糾正措施以及管理評審方面都要持續(xù)改進(jìn)信息安全管理體系的有效性。本公司開展以下活動，以確保ISMS的持續(xù)改進(jìn)：a) 實(shí)施每年管理評審、內(nèi)部審核、安全檢查等活動以確定需改進(jìn)的項(xiàng)目；b) 按照內(nèi)部審核管理程序、糾正措施管理程序的要求采取適當(dāng)?shù)募m正和預(yù)防措施；c) 吸取其他組織及本公司安全事故的經(jīng)驗(yàn)教訓(xùn)，不斷改進(jìn)安全措施的有效性；d) 對信息安全目標(biāo)及分解進(jìn)行適當(dāng)?shù)墓芾?，確保改進(jìn)達(dá)到預(yù)期的效果；為了確保信息安全管理體系的持續(xù)有效，各級管理者應(yīng)通過適當(dāng)?shù)氖侄伪３衷诠緝?nèi)部對信息安全措施的執(zhí)行情況與結(jié)果進(jìn)行有效的溝通。包括獲取外部信息安全專家的建議、信息安全政府行政主管部門、電信運(yùn)營商等組織的聯(lián)系及識別顧客對信息安全的要求等。如：管理評審會議、內(nèi)部審核報(bào)告、公司內(nèi)文件體系、內(nèi)部網(wǎng)絡(luò)和郵件系統(tǒng)、法律法規(guī)評估報(bào)告等。1.10信息安全管理方針方針公司的信息安全管理方針：安全第一，預(yù)防為主；全員參與，綜治風(fēng)險(xiǎn)；遵紀(jì)守法，提高績效；成本可控，持續(xù)發(fā)展。對于信息安全方針的解釋：a) 滿足客戶要求：滿足顧客的要求是企業(yè)運(yùn)營的必然選擇。b) 保障信息安全：信息安全是企業(yè)管理的重中之重。c) 遵守法律法規(guī)：遵守法律法規(guī)是企業(yè)生存之前提，滿足法律法規(guī)及相關(guān)行業(yè)標(biāo)準(zhǔn)/技術(shù)規(guī)范的要求也是本公司必須承擔(dān)的社會責(zé)任。d) 持續(xù)改進(jìn)管理：控制風(fēng)險(xiǎn)是前提，風(fēng)險(xiǎn)自身是動態(tài)的過程。通過各種方式提升公司員工的信息安全意識，提高公司的信息安全管理過程。本公司承諾提供一切可能的資源與先進(jìn)的技術(shù)，保證信息的保密性、可用性和完整性，有針對性地采取一切必要的安全措施。使用有效的風(fēng)險(xiǎn)評估的工具和方法，嚴(yán)格控制風(fēng)險(xiǎn)事故在可接受風(fēng)險(xiǎn)范圍之內(nèi)。制訂周密可靠的應(yīng)急方案并定期進(jìn)行演練，關(guān)鍵信息數(shù)據(jù)異地備份，制訂業(yè)務(wù)連續(xù)性計(jì)劃，以確保業(yè)務(wù)的持續(xù)進(jìn)行。為了滿足適用法律法規(guī)及相關(guān)方要求，維持計(jì)算機(jī)系統(tǒng)集成及服務(wù)、計(jì)算機(jī)應(yīng)用軟件的設(shè)計(jì)開發(fā)及服務(wù)活動的正常進(jìn)行，本公司依據(jù)ISO/IEC27001:2013標(biāo)準(zhǔn)，建立信息安全管理體系，以保證與公司經(jīng)營管理相關(guān)信息的保密性、完整性、可用性和可追溯性，實(shí)現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展的目的。本公司將：a) 在公司內(nèi)各層次建立完整的信息安全管理組織機(jī)構(gòu)，確定信息安全方針、安全保密目標(biāo)和控制措施，明確信息安全的管理職責(zé)；b) 識別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求；c) 定期進(jìn)行信息安全風(fēng)險(xiǎn)評估，ISMS評審，采取糾正預(yù)防措施，保證體系的持續(xù)有效性；d) 采用先進(jìn)有效的設(shè)施和技術(shù)，處理、傳遞、儲存和保護(hù)各類信息，實(shí)現(xiàn)信息共享；e) 對全體員工進(jìn)行持續(xù)的信息安全教育和培訓(xùn)，不斷增強(qiáng)員工的信息安全意識和能力；f) 制定并保持完善的業(yè)務(wù)連續(xù)性計(jì)劃，實(shí)現(xiàn)可持續(xù)發(fā)展。上述方針的批準(zhǔn)、發(fā)布及修訂由公司信息安全最高責(zé)任者負(fù)責(zé)；通過培訓(xùn)、宣貫等方式使得本公司員工知曉并執(zhí)行相關(guān)內(nèi)容；通過有效途徑告知服務(wù)相關(guān)方及客戶，以提高安全保密意識及服務(wù)水平；并定期通過管理評審控制程序評審其適用性、充分性，必要時(shí)予以修訂。組織的角色，職責(zé)和權(quán)限公司經(jīng)營管理層決定全公司的組織機(jī)構(gòu)和各部門的職責(zé)（包括信息安全職責(zé)），并形成文件。各部門的信息安全管理職責(zé)決定本部門組織形式和業(yè)務(wù)分擔(dān)，并形成文件。總經(jīng)理為本公司信息安全最高責(zé)任者。各部門/項(xiàng)目組負(fù)責(zé)人為本部門/項(xiàng)目組信息安全管理責(zé)任者，全體員工都應(yīng)按保密承諾的要求自覺履行信息安全保密義務(wù)；各部門應(yīng)按照信息安全適用性聲明中規(guī)定的安全目標(biāo)、控制措施（包括安全運(yùn)行的各種控制程序）的要求實(shí)施信息安全控制措施。2、制度與規(guī)范、業(yè)務(wù)流程2.1信息安全與保密管理制度2.1.1為了保證項(xiàng)目網(wǎng)絡(luò)數(shù)據(jù)的安全保密，維持安全可靠的計(jì)算機(jī)應(yīng)用環(huán)境，特制定本規(guī)定。2.1.2凡項(xiàng)目組從事項(xiàng)目管理工作的員工都必須執(zhí)行本規(guī)定。2.1.3項(xiàng)目的合同、需求說明、設(shè)計(jì)變更、工作聯(lián)系單、工程洽商單、經(jīng)濟(jì)簽證單、公司內(nèi)部資料等必須由各部門信息管理員妥善管理，嚴(yán)禁外借，嚴(yán)禁非相關(guān)人員傳閱、查看。2.1.4對接入計(jì)算機(jī)及設(shè)備，必須符合一下規(guī)定：2.1.4.1在未經(jīng)許可的情況下，不得擅自對處計(jì)算機(jī)及其相關(guān)設(shè)備的硬件部分進(jìn)行修改、改裝或拆卸配置，包括添加光驅(qū)、軟驅(qū)，掛接硬盤等讀寫設(shè)備，以及增加串口或并口外圍設(shè)備，如掃描儀、打印機(jī)等。2.1.4.2非我項(xiàng)目的計(jì)算機(jī)及任何外設(shè)，不得接入網(wǎng)絡(luò)系統(tǒng)。2.1.4.3嚴(yán)禁私自開啟計(jì)算機(jī)機(jī)箱封條或機(jī)箱鎖。2.1.5凡使用項(xiàng)目配備計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的員工，必須遵守以下規(guī)定；2.1.5.1未經(jīng)批準(zhǔn)，嚴(yán)禁非本項(xiàng)目工作人員使用除計(jì)算機(jī)及任何相關(guān)設(shè)備。2.1.5.2對新上網(wǎng)使用辦公網(wǎng)絡(luò)系統(tǒng)的員工，由辦公室負(fù)責(zé)上崗前的計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備系統(tǒng)安全及信息保密的技術(shù)培訓(xùn)工作。2.1.5.3未經(jīng)批準(zhǔn)，任何人嚴(yán)禁將其以任何形式（如數(shù)據(jù)形式：Internet、軟盤、光盤、硬磁盤等；硬拷貝形式：圖紙打印、復(fù)印、照片等）復(fù)制、傳輸或?qū)ν馓峁?.1.5.4任何員工均不得超越權(quán)限侵入網(wǎng)絡(luò)中未開放的信息，不得擅自修改入庫數(shù)據(jù)資料和修改他人數(shù)據(jù)資料。2.1.6嚴(yán)格執(zhí)行國家、有關(guān)保密、安全及辦公自動化系統(tǒng)的有關(guān)法律、法規(guī)的規(guī)定和要求。各部門應(yīng)自覺按照有關(guān)規(guī)定和要求配合做好保密和信息安全工作。2.1.7任何經(jīng)由我公司外網(wǎng)接入互聯(lián)網(wǎng)的員工，必須嚴(yán)格遵守國家有關(guān)法律、法規(guī)。2.1.8凡使用公司網(wǎng)絡(luò)系統(tǒng)的員工，必須配合網(wǎng)絡(luò)管理員做好防病毒工作。2.1.8.1由辦公室負(fù)責(zé)網(wǎng)絡(luò)防病毒工作。信息維護(hù)員負(fù)責(zé)實(shí)施防病毒的日常管理工作。2.1.8.2凡裝有可與外界進(jìn)行數(shù)據(jù)傳輸?shù)脑O(shè)備的計(jì)算機(jī)，必須安裝防病毒程序，辦公室定期對防病毒程序進(jìn)行升級，增強(qiáng)對病毒的查殺能力。2.1.8.3凡需入網(wǎng)傳輸數(shù)據(jù)的盤片，由網(wǎng)絡(luò)管理員負(fù)責(zé)檢查、清查計(jì)算機(jī)病毒，確保沒有病毒后方可傳輸數(shù)據(jù)。2.1.8.4員工在使用過程中如發(fā)現(xiàn)計(jì)算機(jī)病毒，應(yīng)立即停止進(jìn)行任何程序并報(bào)告網(wǎng)絡(luò)管理員，如遇到現(xiàn)有防病毒程序無法清殺的病毒，網(wǎng)絡(luò)管理員必須先將受感染的計(jì)算機(jī)從網(wǎng)絡(luò)上隔開，協(xié)助員工做好數(shù)據(jù)備份工作，并為用戶恢復(fù)系統(tǒng)。2.1.9分公司辦公室定期對有關(guān)部門進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全和數(shù)據(jù)保密檢查，并將檢查結(jié)果向處保密工作小組匯報(bào)。2.1.10涉及項(xiàng)目信息安全與保密的管理人員均需要對本制度相關(guān)具體要求，進(jìn)行保密工作承諾。2.2文件加密管理制度2.2.1目的 為規(guī)范公司重要文件的安全管理級別，通過文件外發(fā)控制以及加密管理，防止公司機(jī)密文件外泄，保障公司信息安全。2.2.2范圍 本管理制度適用于所有安裝加密軟件用戶。2.2.3重要文件定義 需要保護(hù)的公司重要電子文檔包含：公司財(cái)務(wù)數(shù)據(jù)，公司人員信息總表，各部門培訓(xùn)課件，采購部商品分析表，薪資表，工程圖紙，市場部合同信息，公司vip信息匯總表。2.2.4職責(zé)與權(quán)限 所有安裝加密軟件用戶必須按照本制度規(guī)定進(jìn)行執(zhí)行；網(wǎng)管負(fù)責(zé)人負(fù)責(zé)加密軟件的日常維護(hù)，安裝管理，以及加密軟件權(quán)限分配；綜合部負(fù)責(zé)監(jiān)管。2.2.5規(guī)定描述：2.2.5.1文件加密類型 目前對所有安裝加密軟件的用戶電腦的重要文件進(jìn)行加密處理。2.2.5.2文件傳播方式控制2.2.5.3禁止通過復(fù)制/剪貼方式進(jìn)行外發(fā)信息；2.2.5.4重要文件在創(chuàng)建或編輯時(shí)必須在指定機(jī)器上操作并進(jìn)行加密。所有通過U盤、E-mail、QQ、MSN等工具傳送的重要文件，都必須經(jīng)過部門主管許可才允許。2.2.5.5公司部提倡遠(yuǎn)程工作及登錄服務(wù)器，如有必要需進(jìn)行申請，開放端口，并通過加密的方式進(jìn)行通訊。2.2.5.6文件外發(fā)控制管理重要文件需要傳遞到?jīng)]有安裝加密軟件用戶或者外發(fā)到公司外部，必須由各部門制定人員經(jīng)過加密處理后才允許外發(fā)。.2.2.6對違反本規(guī)定者按照員工手冊的有關(guān)規(guī)定處理。2.2.7.本制度由網(wǎng)管員編撰、修改、執(zhí)行，自總經(jīng)理批準(zhǔn)之日起開始執(zhí)行。2.3信息安全獎(jiǎng)懲管理辦法2.3.1目的明確信息安全獎(jiǎng)勵(lì)與違規(guī)行為處罰的操作原則，強(qiáng)化執(zhí)行，促進(jìn)員工信息安全意識提升。2.3.2適用范圍本規(guī)范適用于我公司內(nèi)部信息安全事件的獎(jiǎng)懲。2.3.3定義序號角色職責(zé)001信息安全事件指識別出的發(fā)生的系統(tǒng)、服務(wù)或網(wǎng)絡(luò)事件表明可能違反信息安全策略或防護(hù)措施失效；或以前未知的與安全相關(guān)的情況；其中一、二級信息安全事件稱為重大信息安全事件。002信息安全活動為培養(yǎng)員工信息安全意識，提高公司整體安全水平而舉辦的活動，形式包括但不限于：考試、培訓(xùn)、宣傳和自查。2.3.4職責(zé)與權(quán)限序號角色職責(zé)001員工遵守公司信息安全管理制度，積極配合、參與信息安全活動。002各部門信息安全接口人協(xié)助公司信息安全管理制度、產(chǎn)品的宣傳與培訓(xùn)工作；負(fù)責(zé)對部門信息安全問題進(jìn)行匯總與反饋。003部門主管是部門信息安全的直接責(zé)任人，負(fù)責(zé)監(jiān)督和管理本部門員工的信息安全行為，并對潛在的信息安全風(fēng)險(xiǎn)進(jìn)行預(yù)警，預(yù)防信息安全事件。004部門經(jīng)理作為部門信息安全的間接責(zé)任人，熟悉公司信息安全戰(zhàn)略，并積極推動信息安全策略的落地執(zhí)行。005部門副總對所負(fù)責(zé)部門的信息安全事件負(fù)相應(yīng)的管理責(zé)任。006IT部信息安全組對信息安全事件進(jìn)行跟蹤處理，并確定事件責(zé)任人。007總經(jīng)理最終審批信息安全事件處罰申請。008總經(jīng)理最終審批信息安全事件處罰申請。2.3.5內(nèi)容2.3.5.1獎(jiǎng)勵(lì)、違規(guī)行為處罰原則 及時(shí)激勵(lì)原則對長期妥善保護(hù)公司信息資產(chǎn)，有效避免信息資產(chǎn)的遺失、濫用、盜用等，或?qū)τ诖龠M(jìn)信息安全合理共享表現(xiàn)突出的個(gè)人或者集體，將及時(shí)獎(jiǎng)勵(lì)。舉報(bào)保密原則對于舉報(bào)信息安全違規(guī)行為的人員，將對其進(jìn)行獎(jiǎng)勵(lì)并嚴(yán)格保護(hù)其個(gè)人資料不公開。違規(guī)行為處罰原則 法律追究原則公司所有保密信息均為公司合法資產(chǎn)，受國家法律法規(guī)保護(hù)。任何損害公司保密信息的行為，公司均有權(quán)追究行為人法律責(zé)任。 違規(guī)分級原則根據(jù)違規(guī)行為的性質(zhì)、造成的損失和影響的嚴(yán)重程度、違規(guī)人員是否有意對違規(guī)行為分級。涉及關(guān)鍵信息資產(chǎn)的，違規(guī)等級要升級；一次違反多條信息安全規(guī)定的人員按最高違規(guī)等級從重處罰；對多次違反信息安全規(guī)定的人員再次違規(guī)時(shí)要從重處罰。 主動從寬原則產(chǎn)生違規(guī)行為后主動報(bào)告，積極采取補(bǔ)救措施以減少影響和損失的人員，可減輕處罰；對問題隱瞞不報(bào)或者不及時(shí)上報(bào)而導(dǎo)致違規(guī)影響擴(kuò)大的人員，加重處罰。 過度防衛(wèi)處罰原則對阻礙信息合理流動與共享的人員要給予處罰。 及時(shí)處理原則對重大信息安全違規(guī)事件，要及時(shí)處理。任何拖延、推諉不處理的責(zé)任人，要給予問責(zé)。2.3.5.2獎(jiǎng)勵(lì)等級與責(zé)任部門獎(jiǎng)勵(lì)等級與措施獎(jiǎng)勵(lì)事跡獎(jiǎng)勵(lì)等級獎(jiǎng)勵(lì)措施舉報(bào)或者制止泄密、竊密或者其他嚴(yán)重?fù)p害公司利益事件的集體或者個(gè)人一級根據(jù)具體情況給予8000元集體獎(jiǎng)勵(lì)或者5000元個(gè)人獎(jiǎng)勵(lì)；通報(bào)表揚(yáng)（遵循“舉報(bào)保密原則“淡化事跡并隱藏人員信息）。制止他人違規(guī)行為或者即時(shí)反映可能造成泄密、竊密或者其他重大安全隱患的個(gè)人，以及在信息安全方面做出表率或者突出貢獻(xiàn)的集體二級根據(jù)具體情況集體獎(jiǎng)5000元或者3000個(gè)人獎(jiǎng)勵(lì)；通報(bào)表揚(yáng)（遵循“舉報(bào)保密原則“淡化事跡并隱藏人員信息）。在信息安全管理中做出貢獻(xiàn)，反映信息安全隱患或者過度防衛(wèi)被核實(shí)、提出信息安全合理化建議并被采納的個(gè)人，以及在信息安全方面做出貢獻(xiàn)的集體三級根據(jù)具體情況給予3000元集體獎(jiǎng)勵(lì)或者1000元個(gè)人獎(jiǎng)勵(lì)。獎(jiǎng)勵(lì)責(zé)任部門1）對于滿足信息安全獎(jiǎng)勵(lì)標(biāo)準(zhǔn)的集體或者個(gè)人，IT部信息安全組可根據(jù)具體事跡定期進(jìn)行申報(bào)，審批通過后由綜合部根據(jù)公司財(cái)務(wù)制度進(jìn)行發(fā)放獎(jiǎng)金；2） 各部門信息安全接口人可自行組織對本部門優(yōu)秀信息安全集體或者個(gè)人進(jìn)行獎(jiǎng)勵(lì)。違規(guī)等級與措施違規(guī)事件違規(guī)等級處罰措施盜竊、故意泄露公司保密信息的，或故意違反信息安全管理規(guī)定，性質(zhì)嚴(yán)重造成重大影響或者風(fēng)險(xiǎn)一級1. 直接開除，永不錄用；2. 如違反法律法規(guī)由公司法務(wù)部移送公安機(jī)關(guān)處理；如給公司造成相關(guān)損失，須賠償公司損失。3. 全公司范圍內(nèi)通報(bào)處罰決定。故意違反信息安全規(guī)定，性質(zhì)嚴(yán)重；或者造成較大影響或較大風(fēng)險(xiǎn)二級1. 如給公司造成相關(guān)損失，須賠償公司損失；2. 擔(dān)任公司管理崗位的人員，進(jìn)行降職或者降薪處理；非公司管理崗位的人員，進(jìn)行降薪處理；3. 全公司范圍內(nèi)通報(bào)處罰決定。過失違反信息安全管理規(guī)定，造成一定影響或者風(fēng)險(xiǎn)的；或者故意違反信息安全管理規(guī)定，但性質(zhì)不嚴(yán)重且沒有造成嚴(yán)重影響或風(fēng)險(xiǎn)三級1. 記入關(guān)鍵事件考評結(jié)果減10分或罰款500元；2. 12個(gè)月內(nèi)2次三級違規(guī)升級為1次二級違規(guī)。3.部門內(nèi)部通報(bào)處罰決定。過失違反信息安全管理規(guī)定，性質(zhì)較輕，且造成輕微影響或者風(fēng)險(xiǎn)四級1.記入關(guān)鍵事件考評結(jié)果減5分或罰款300元；2.12個(gè)月內(nèi)2次四級違規(guī)升級為1次三級違規(guī)；3.部門內(nèi)部通報(bào)處罰決定。說明：1) 信息安全管理規(guī)定包括公司各部門正式發(fā)布的信息安全管理制度；2) 上表中“違規(guī)事件“的描述是定性的描述，是違規(guī)事件定級的參考原則。常見違規(guī)行為所適用違規(guī)等級具體參考附件1：常見違規(guī)行為及其適用處罰等級舉例，其他違規(guī)行為所使用等級可參考舉例進(jìn)行認(rèn)定。責(zé)任判定1）發(fā)生一、二級重大信息安全事件違規(guī)時(shí)，違規(guī)者直接上級和部門經(jīng)理承擔(dān)直接和間接責(zé)任，部門副總須承擔(dān)連帶管理責(zé)任，并按照常見違規(guī)行為及其適用處罰等級舉例V1.0適用條款進(jìn)行處罰；2）對于三、四級信息安全違規(guī)，根據(jù)以下條件判斷責(zé)任人直接上級是否連帶處罰： 員工無意違規(guī)，且責(zé)任人領(lǐng)導(dǎo)未進(jìn)行審批授權(quán)的，不進(jìn)行連帶處罰； 員工無意違規(guī)，但責(zé)任人領(lǐng)導(dǎo)進(jìn)行包庇的，在事實(shí)確認(rèn)的基礎(chǔ)上，進(jìn)行連帶處罰； 若所管理部門一個(gè)月內(nèi)發(fā)生2次（含）以上故意違規(guī)或者4次（含）以上無意違規(guī)事件，對直接上級進(jìn)行連帶處罰。處罰責(zé)任部門處罰等級處罰責(zé)任人批準(zhǔn)申訴一級總經(jīng)理/綜合部二級總經(jīng)理/綜合部三級部門分管副總IT部信息安全組綜合部四級部門分管副總IT部信息安全組綜合部說明：1）對于各類違規(guī)行為處罰應(yīng)當(dāng)慎重，應(yīng)建立在客觀事實(shí)的基礎(chǔ)上給出處罰意見。根據(jù)違規(guī)行為性質(zhì)、造成的損失和影響的大小，IT部信息安全組有權(quán)要求對當(dāng)事人加重或者減輕處罰；2）發(fā)現(xiàn)可疑事件的組織作為事件調(diào)查和處理的責(zé)任部門。為了加快一級違規(guī)行為的處理進(jìn)度，溝通時(shí)限和批準(zhǔn)期限都是2天；3）在違規(guī)事件處理過程中，IT部信息安全組協(xié)助與監(jiān)督處罰責(zé)任人完成處罰執(zhí)行工作。處罰責(zé)任人或其授權(quán)人員要做好與違規(guī)員工的溝通工作。對違規(guī)處罰過程中出現(xiàn)的拖延、推諉行為，IT部信息安全組可以行使否決權(quán)。維護(hù)與解釋1）本規(guī)定發(fā)布之日起生效；2）本規(guī)定由信息安全組至少每兩年審視一次，根據(jù)審核結(jié)果修訂標(biāo)準(zhǔn)并頒布執(zhí)行；3）本規(guī)定解釋權(quán)歸信息安全組。2.4計(jì)算機(jī)數(shù)據(jù)備份管理規(guī)定 為保證本公司計(jì)算機(jī)所保存的數(shù)據(jù)和信息安全，加強(qiáng)和規(guī)范公司計(jì)算機(jī)數(shù)據(jù)和信息管理，特制定本規(guī)定。本辦法適用于公司所有使用計(jì)算機(jī)進(jìn)行日常辦公、信息化系統(tǒng)操作、自動化控制系統(tǒng)操作的部門與員工，本規(guī)定自下發(fā)之日起執(zhí)行。2.4.1職責(zé)2.4.1.1 計(jì)算機(jī)使用者負(fù)責(zé)所使用計(jì)算機(jī)的數(shù)據(jù)備份操作，涉及到信息監(jiān)控系統(tǒng)、自動化控制系統(tǒng)用計(jì)算機(jī)，有關(guān)單位和部門要指定專人負(fù)責(zé)。2.4.1.2 各單位、部門的負(fù)責(zé)人是本部門數(shù)據(jù)備份管理、信息安全管理的第一責(zé)任人。各部門負(fù)責(zé)人要了解本部門需要備份的數(shù)據(jù)內(nèi)容與類型，落實(shí)備份要求，防范可能出現(xiàn)的數(shù)據(jù)風(fēng)險(xiǎn)，對本部門數(shù)據(jù)備份情況要進(jìn)行不定期抽查，對不按規(guī)定備份要立即予以糾正。2.4.1.3 研發(fā)部網(wǎng)絡(luò)管理員負(fù)責(zé)公司各部門數(shù)據(jù)備份技術(shù)支持、培訓(xùn)、監(jiān)督核查工作。2.4.2數(shù)據(jù)備份管理2.4.2.1 備份方法及要求2.4.2.1.1 數(shù)據(jù)備份采用人工備份的方式，備份分重要數(shù)據(jù)備份、重要文檔資料備份、信息監(jiān)控系統(tǒng)數(shù)據(jù)庫原始數(shù)據(jù)備份、計(jì)算機(jī)操作系統(tǒng)備份、應(yīng)用軟件備份。所有備份工作必須由操作人員做詳細(xì)記錄，要求記錄備份的內(nèi)容、時(shí)間及次數(shù)。2.4.2.1.2 計(jì)算機(jī)需要備份的數(shù)據(jù)、文檔資料要隨時(shí)歸檔備份并異地存放, 每周至少備份一次，日新增數(shù)據(jù)量大、財(cái)務(wù)、銷售、經(jīng)營調(diào)度等部門的數(shù)據(jù)必須每天備份一次，每月整理一次，備份方法實(shí)行三重備份方式，即本地硬盤、移動存儲設(shè)備（網(wǎng)絡(luò)硬盤）、光盤刻錄保存并進(jìn)行異地存儲。備份介質(zhì)由各部門自行準(zhǔn)備，并妥善保管。計(jì)算機(jī)操作系統(tǒng)應(yīng)使用正版軟件，每周打一次補(bǔ)丁，每季度用Ghost做鏡像備份。應(yīng)用軟件更新后，及時(shí)用光盤刻錄方式轉(zhuǎn)存。2.4.2.1.3 每年元月，各部門將上一年的所有數(shù)據(jù)分類，完整、真實(shí)、準(zhǔn)確地以刻錄光盤的形式存檔，然后交由部門負(fù)責(zé)人保管。2.4.2.1.4 應(yīng)定期檢查備份介質(zhì)的可用性，若發(fā)現(xiàn)介質(zhì)已經(jīng)不能使用，應(yīng)及時(shí)更換新介質(zhì)并對重要數(shù)據(jù)進(jìn)行轉(zhuǎn)存處理。2.4.2.1.5 備份數(shù)據(jù)資料保管地點(diǎn)必須滿足防火、防熱、防潮、防塵、防盜等條件，并指定專人保存。2.4.2.1.6 計(jì)算機(jī)需要重裝操作系統(tǒng)時(shí)，必須自行確認(rèn)其系統(tǒng)所在硬盤所有盤符中重要數(shù)據(jù)有異地備份，以防止意外發(fā)生（有少數(shù)計(jì)算機(jī)會因病毒、硬盤損壞或是磁盤分區(qū)問題，存在重裝系統(tǒng)后若干磁盤打不開提示格式化現(xiàn)象）。2.4.2.1.7 研發(fā)部軟件開發(fā)代碼及文檔備份必須同時(shí)滿足本地及云端要求。2.4.2.2 關(guān)于數(shù)據(jù)丟失2.4.2.2.1 網(wǎng)絡(luò)管理員在對各部門備份數(shù)據(jù)核查的過程中，發(fā)現(xiàn)數(shù)據(jù)未備份或是備份不及時(shí)、不完整的情況，應(yīng)及時(shí)指出，并向全公司通報(bào)。2.4.2.2.2 因可控的人為原因造成重要數(shù)據(jù)（例如行政辦公、技術(shù)、銷售、人事及財(cái)務(wù)等）遺失的，公司根據(jù)損失情況將對責(zé)任人進(jìn)行嚴(yán)厲處罰，涉及到企業(yè)安全的，依法追究刑事責(zé)任。2.4.2.2.3 如因違反計(jì)算機(jī)數(shù)據(jù)備份管理規(guī)定，造成備份數(shù)據(jù)不完整或丟失，由此造成的損失及數(shù)據(jù)恢復(fù)費(fèi)用由各部門自己承擔(dān)。2.4.2.2.4 各部門統(tǒng)一由研發(fā)部安裝正版網(wǎng)絡(luò)殺毒軟件，并定期更新病毒數(shù)據(jù)庫和定期查殺毒，如果因殺毒軟件誤操作破壞數(shù)據(jù)，各部門應(yīng)保持原始狀態(tài)，由研發(fā)部聯(lián)系殺毒軟件服務(wù)商進(jìn)行數(shù)據(jù)恢復(fù)。2.4.3 數(shù)據(jù)保密2.4.3.1 根據(jù)公司保密要求，嚴(yán)禁外泄備份的數(shù)據(jù)，否則以故意泄露公司商業(yè)機(jī)密論處。2.4.3.2 除公司數(shù)據(jù)備份管理人員外，任何人無權(quán)詢問、刺探、破解其他部門數(shù)據(jù)備份的信息內(nèi)容。2.4.3.3 員工離職時(shí)，必須將重要數(shù)據(jù)與本部門相關(guān)人員交接清楚。2.4.3.4 外請計(jì)算機(jī)維護(hù)人員進(jìn)行系統(tǒng)維護(hù)時(shí)，本部門人員必須全程陪同并監(jiān)督，嚴(yán)禁維護(hù)人員以任何形式拷貝任何資料。2.5服務(wù)器安全管理辦法2.5.1總則為本公司業(yè)務(wù)正常運(yùn)行，特制定本管理辦法。2.5.2日常管理第二條 服務(wù)器由維護(hù)組人員進(jìn)行管理并授權(quán)與建站服務(wù)相關(guān)的人員使用，明確各自服務(wù)器的用途、應(yīng)用范圍及使用對象，并對整個(gè)系統(tǒng)資源進(jìn)行合理的規(guī)劃。第三條 服務(wù)器管理員和服務(wù)器使用人員應(yīng)遵守服務(wù)器安裝工作流程，從系統(tǒng)劃分、安全設(shè)置等方面規(guī)范管理工作。第四條 系統(tǒng)管理員負(fù)責(zé)各自服務(wù)器的日常管理和維護(hù)，主要有：用戶帳戶的管理、網(wǎng)絡(luò)管理、數(shù)據(jù)庫管理、服務(wù)器系統(tǒng)運(yùn)行狀態(tài)的監(jiān)控、以及各應(yīng)用系統(tǒng)使用資源情況統(tǒng)計(jì)，并合理地分配系統(tǒng)資源。第五條 服務(wù)器使用員負(fù)責(zé)對自己上傳的網(wǎng)站或文件進(jìn)行日常的管理和維護(hù)，主要有文件的更新，修改，網(wǎng)站及網(wǎng)站相關(guān)的文件和代碼安全和漏洞的檢查和管理，病毒和木馬的清除。第六條 為確保系統(tǒng)安全性、可靠性及文件、數(shù)據(jù)的一致性和完整性，必須對系統(tǒng)進(jìn)行備份工作。管理員根據(jù)各自服務(wù)器的情況，制定出相應(yīng)的備份及恢復(fù)策略，定期進(jìn)行備份。第七條 系統(tǒng)管理員要深入了解系統(tǒng)的工作原理，不斷提高系統(tǒng)