信息安全管理方針和策略

1、1、信息息安全管管理方針針和策略略范圍公司依據(jù)據(jù)ISOO/IEEC2770011:20013信信息安全全管理體體系標(biāo)準(zhǔn)準(zhǔn)的要求求編制信息安安全管理理手冊(cè)，并包包括了風(fēng)風(fēng)險(xiǎn)評(píng)估估及處置置的要求求。規(guī)定定了公司司的信息息安全方方針及管管理目標(biāo)標(biāo)，引用用了信息息安全管管理體系系的內(nèi)容容。1.1規(guī)規(guī)范性引引用文件件下列參考考文件的的部分或或整體在在本文檔檔中屬于于標(biāo)準(zhǔn)化化引用，對(duì)于本本文件的的應(yīng)用必必不可少少。凡是是注日期期的引用用文件，只有引引用的版版本適用用于本標(biāo)標(biāo)準(zhǔn)；凡凡是不注注日期的的引用文文件，其其最新版版本（包包括任何何修改）適用于于本標(biāo)準(zhǔn)準(zhǔn)。ISO/IECC 2770000，信息息技術(shù)安

2、全全技術(shù)信息息安全管管理體系系概概述和詞詞匯。1.2術(shù)術(shù)語和定定義ISO/IECC 2770000中的術(shù)術(shù)語和定定義適用用于本文文件。1.3公公司環(huán)境境1.3.1理解解公司及及其環(huán)境境公司確定定與公司司業(yè)務(wù)目目標(biāo)相關(guān)關(guān)并影響響實(shí)現(xiàn)信信息安全全管理體體系預(yù)期期結(jié)果的的能力的的外部和和內(nèi)部問問題，需需考慮：明確外部部狀況：社會(huì)、文文化、政政治、法法律法規(guī)規(guī)、金融融、技術(shù)術(shù)、經(jīng)濟(jì)濟(jì)、自然然和競爭爭環(huán)境，無論國國際、國國內(nèi)、區(qū)區(qū)域，還還是本地地的；影響組織織目標(biāo)的的主要?jiǎng)觿?dòng)力和趨趨勢(shì)；與外部利利益相關(guān)關(guān)方的關(guān)關(guān)系，外外部利益益相關(guān)方方的觀點(diǎn)點(diǎn)和價(jià)值值觀。明確內(nèi)部部狀況：治理、組組織結(jié)構(gòu)構(gòu)、作用用和責(zé)任

3、任；方針、目目標(biāo)，為為實(shí)現(xiàn)方方針和目目標(biāo)制定定的戰(zhàn)略略；基于資源源和知識(shí)識(shí)理解的的能力（如：資資金、時(shí)時(shí)間、人人員、過過程、系系統(tǒng)和技技術(shù)）；與內(nèi)部利利益相關(guān)關(guān)方的關(guān)關(guān)系，內(nèi)內(nèi)部利益益相關(guān)方方的觀點(diǎn)點(diǎn)和價(jià)值值觀；組織的文文化；信息系統(tǒng)統(tǒng)、信息息流和決決策過程程（正式式與非正正式）；組織所采采用的標(biāo)標(biāo)準(zhǔn)、指指南和模模式；合同關(guān)系系的形式式與范圍圍。明確風(fēng)險(xiǎn)險(xiǎn)管理過過程狀況況：確定風(fēng)險(xiǎn)險(xiǎn)管理活活動(dòng)的目目標(biāo)；確定風(fēng)險(xiǎn)險(xiǎn)管理過過程的職職責(zé)；確定所要要開展的的風(fēng)險(xiǎn)管管理活動(dòng)動(dòng)的范圍圍以及深深度、廣廣度，包包括具體體的內(nèi)涵涵和外延延；以時(shí)間和和地點(diǎn)，界定活活動(dòng)、過過程、職職能、項(xiàng)項(xiàng)目、產(chǎn)產(chǎn)品、服服務(wù)或資資

4、產(chǎn)；界定組織織特定項(xiàng)項(xiàng)目、過過程或活活動(dòng)與其其他項(xiàng)目目、過程程或活動(dòng)動(dòng)之間的的關(guān)系；確定風(fēng)險(xiǎn)險(xiǎn)評(píng)價(jià)的的方法；確定評(píng)價(jià)價(jià)風(fēng)險(xiǎn)管管理的績績效和有有效性的的方法；識(shí)別和規(guī)規(guī)定所必必須要做做出的決決策；確定所需需的范圍圍或框架架性研究究，它們們的程度度和目標(biāo)標(biāo)，以及及此種研研究所需需資源。確定風(fēng)險(xiǎn)險(xiǎn)準(zhǔn)則：可以出現(xiàn)現(xiàn)的致因因和后果果的性質(zhì)質(zhì)和類別別，以及及如何予予以測量量；可能性如如何確定定；可能性和和（或）后果的的時(shí)間范范圍；風(fēng)險(xiǎn)程度度如何確確定；利益相關(guān)關(guān)方的觀觀點(diǎn)；風(fēng)險(xiǎn)可接接受或可可容許的的程度；多種風(fēng)險(xiǎn)險(xiǎn)的組合合是否予予以考慮慮，如果果是，如如何考慮慮及哪種種風(fēng)險(xiǎn)組組合宜予予以考慮慮。1.3.2

5、理解解相關(guān)方方的需求求和期望望信息安全全管理小小組應(yīng)確確定信息息安全管管理體系系的相關(guān)關(guān)方及其其信息安安全要求求，相關(guān)關(guān)的信息息安全要要求。對(duì)對(duì)于利益益相關(guān)方方，可作作為信息息資產(chǎn)識(shí)識(shí)別，并并根據(jù)風(fēng)風(fēng)險(xiǎn)評(píng)估估的結(jié)果果，制定定相應(yīng)的的控制措措施，實(shí)實(shí)施必要要的管理理。相關(guān)關(guān)方的要要求可包包括法律律法規(guī)要要求和合合同義務(wù)務(wù)。1.3.3確定定信息安安全管理理體系范范圍本公司IISMSS的范圍圍包括物理范圍圍：業(yè)務(wù)范圍圍：計(jì)算算機(jī)軟件件開發(fā)，計(jì)算機(jī)機(jī)系統(tǒng)集集成相關(guān)關(guān)信息安安全管理理活動(dòng)。內(nèi)部管理理結(jié)構(gòu)：辦公室室、財(cái)務(wù)務(wù)部、研研發(fā)部、商務(wù)部部、工程程部、運(yùn)運(yùn)維部。外部接口口：向公公司提供供各種服服務(wù)的第

6、第三方1.3.4信息息安全管管理體系系本公司按按照ISSO/IIEC2270001:220133標(biāo)準(zhǔn)的的要求建建立一個(gè)個(gè)文件化化的信息息安全管管理體系系。同時(shí)時(shí)考慮該該體系的的實(shí)施、維持、持續(xù)改改善，確確保其有有效性。ISMMS體系系所涉及及的過程程基于PPDCAA模式。1.4領(lǐng)領(lǐng)導(dǎo)力總經(jīng)理應(yīng)應(yīng)通過以以下方式式證明信信息安全全管理體體系的領(lǐng)領(lǐng)導(dǎo)力和和承諾：確保信息息安全方方針和信信息安全全目標(biāo)已已建立，并與公公司戰(zhàn)略略方向一一致；確保將信信息安全全管理體體系要求求融合到到日常管管理過程程中；確保信息息安全管管理體系系所需資資源可用用；向公司內(nèi)內(nèi)部傳達(dá)達(dá)有效的的信息安安全管理理及符合合信息安安全

7、管理理體系要要求的重重要性；確保信息息安全管管理體系系達(dá)到預(yù)預(yù)期結(jié)果果；指導(dǎo)并支支持相關(guān)關(guān)人員為為信息安安全管理理體系有有效性做做出貢獻(xiàn)獻(xiàn)；促進(jìn)持續(xù)續(xù)改進(jìn)；支持信息息安全管管理小組組及各部部門的負(fù)負(fù)責(zé)人，在其職職責(zé)范圍圍內(nèi)展現(xiàn)現(xiàn)領(lǐng)導(dǎo)力力。1.5規(guī)規(guī)劃1.5.1應(yīng)對(duì)對(duì)風(fēng)險(xiǎn)和和機(jī)會(huì)的的措施1.5.1.11總則公司針對(duì)對(duì)公司內(nèi)內(nèi)部和公公司外部部的實(shí)際際情況，和相關(guān)關(guān)方的要要求，確確定公司司所需應(yīng)應(yīng)對(duì)的信信息安全全方面的的風(fēng)險(xiǎn)。在已確確定的IISMSS范圍內(nèi)內(nèi)，針對(duì)對(duì)業(yè)務(wù)全全過程所所涉及的的所有信信息資產(chǎn)產(chǎn)進(jìn)行列列表識(shí)別別。信息息資產(chǎn)包包括軟件件/系統(tǒng)統(tǒng)、數(shù)據(jù)據(jù)/文檔檔、硬件件/設(shè)施施、人力力資源及及

8、外包服服務(wù)。對(duì)對(duì)每一項(xiàng)項(xiàng)信息資資產(chǎn)，根根據(jù)信息息資產(chǎn)判判斷依據(jù)據(jù)確定信信息資產(chǎn)產(chǎn)的重要要性等級(jí)級(jí)并對(duì)其其重要度度賦值。信息安全全管理小小組制定定信息安安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估管管理程序序，經(jīng)信信息安全全管理小小組組長長批準(zhǔn)后后組織實(shí)實(shí)施。風(fēng)風(fēng)險(xiǎn)評(píng)估估管理程程序包括括可接受受風(fēng)險(xiǎn)準(zhǔn)準(zhǔn)則和可可接受水水平。該該程序的的詳細(xì)內(nèi)內(nèi)容見信息安安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估管管理程序序。1.5.1.11.1信信息安全全風(fēng)險(xiǎn)評(píng)評(píng)估1.5.1.11.1.1風(fēng)險(xiǎn)險(xiǎn)評(píng)估的的系統(tǒng)方方法信息安全全管理小小組制定定信息安安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估管管理程序序，經(jīng)管管理者代代表審核核，總經(jīng)經(jīng)理批準(zhǔn)準(zhǔn)后組織織實(shí)施。風(fēng)險(xiǎn)評(píng)評(píng)估管理理程序包包括可接接受風(fēng)險(xiǎn)險(xiǎn)準(zhǔn)則和和

9、可接受受水平。該程序序的詳細(xì)細(xì)內(nèi)容適適用于信息安安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估管管理程序序。1.5.1.11.1.2資產(chǎn)產(chǎn)識(shí)別在已確定定的ISSMS范范圍內(nèi)，對(duì)所有有的信息息資產(chǎn)進(jìn)進(jìn)行列表表識(shí)別。信息資資產(chǎn)包括括軟件/系統(tǒng)、數(shù)據(jù)/文檔、硬件/設(shè)施及及人力資資源、服服務(wù)等。對(duì)每一一項(xiàng)信息息資產(chǎn)，根據(jù)信信息資產(chǎn)產(chǎn)判斷依依據(jù)確定定信息資資產(chǎn)的重重要性等等級(jí)并對(duì)對(duì)其重要要度賦值值。1.5.1.11.1.3評(píng)估估風(fēng)險(xiǎn)針對(duì)每一一項(xiàng)信息息資產(chǎn)、記錄、信息資資產(chǎn)所處處的環(huán)境境等因素素，識(shí)別別出所有有信息資資產(chǎn)所面面臨的威威脅；針對(duì)每一一項(xiàng)威脅脅，識(shí)別別出被該該威脅可可能利用用的薄弱弱點(diǎn)；針對(duì)每一一項(xiàng)薄弱弱點(diǎn)，列列出現(xiàn)有有的控

10、制制措施，并對(duì)控控制措施施有效性性賦值；同時(shí)考考慮威脅脅利用脆脆弱性的的容易程程度，并并對(duì)容易易度賦值值；判斷一個(gè)個(gè)威脅發(fā)發(fā)生后可可能對(duì)信信息資產(chǎn)產(chǎn)在保密密性(CC)、完完整性(I)和和可用性性(A)方面的的損害，進(jìn)而對(duì)對(duì)公司業(yè)業(yè)務(wù)造成成的影響響，計(jì)算算信息資資產(chǎn)的安安全事件件的可能能性和損損失程度度。考慮安全全事件的的可能性性和損失失程度兩兩者的結(jié)結(jié)合，計(jì)計(jì)算信息息資產(chǎn)的的風(fēng)險(xiǎn)值值。根據(jù)信信息安全全風(fēng)險(xiǎn)評(píng)評(píng)估管理理程序的要求求確定資資產(chǎn)的風(fēng)風(fēng)險(xiǎn)等級(jí)級(jí)。對(duì)于信息息安全風(fēng)風(fēng)險(xiǎn)，在在考慮控控制措施施與費(fèi)用用平衡的的原則下下制定風(fēng)風(fēng)險(xiǎn)接受受準(zhǔn)則，按照該該準(zhǔn)則確確定何種種等級(jí)的的風(fēng)險(xiǎn)為為不可接接受風(fēng)險(xiǎn)

11、險(xiǎn)，該準(zhǔn)準(zhǔn)則在信息安安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估管管理程序序有詳詳細(xì)規(guī)定定，并在在風(fēng)險(xiǎn)險(xiǎn)評(píng)估報(bào)報(bào)告中中進(jìn)行系系統(tǒng)匯報(bào)報(bào)并針對(duì)對(duì)結(jié)果處處理意見見獲得最最高管理理者批準(zhǔn)準(zhǔn)。獲得最高高管理者者對(duì)建議議的殘余余風(fēng)險(xiǎn)的的批準(zhǔn)，殘余風(fēng)風(fēng)險(xiǎn)應(yīng)該該在殘殘余風(fēng)險(xiǎn)險(xiǎn)評(píng)價(jià)報(bào)報(bào)告上上留下記記錄，并并記錄殘殘余風(fēng)險(xiǎn)險(xiǎn)處置批批示報(bào)告告。獲得管理理者對(duì)實(shí)實(shí)施和運(yùn)運(yùn)行ISSMS的的授權(quán)。ISMMS管理理者代表表的任命命和授權(quán)權(quán)、ISSMS文文檔的簽簽署可以以作為實(shí)實(shí)施和運(yùn)運(yùn)作ISSMS的的授權(quán)證證據(jù)。1.5.1.11.2信信息安全全風(fēng)險(xiǎn)處處置1.5.1.11.2.1風(fēng)險(xiǎn)險(xiǎn)處理方方法的識(shí)識(shí)別與評(píng)評(píng)價(jià)信息安全全管理小小組應(yīng)組組織有關(guān)關(guān)部門根根

12、據(jù)風(fēng)險(xiǎn)險(xiǎn)評(píng)估的的結(jié)果，形成風(fēng)險(xiǎn)處處理計(jì)劃劃，該該計(jì)劃應(yīng)應(yīng)明確風(fēng)風(fēng)險(xiǎn)處理理責(zé)任部部門、方方法及時(shí)時(shí)間。對(duì)于信息息安全風(fēng)風(fēng)險(xiǎn)，應(yīng)應(yīng)考慮控控制措施施與費(fèi)用用的平衡衡原則，選用以以下適當(dāng)當(dāng)?shù)拇胧┦翰捎眠m當(dāng)當(dāng)?shù)膬?nèi)部部控制措措施；接受某些些風(fēng)險(xiǎn)（不可能能將所有有風(fēng)險(xiǎn)降降低為零零）；回避某些些風(fēng)險(xiǎn)（如物理理隔離）；轉(zhuǎn)移某些些風(fēng)險(xiǎn)（如將風(fēng)風(fēng)險(xiǎn)轉(zhuǎn)移移給保險(xiǎn)險(xiǎn)者、供供方、分分包商）。1.5.1.11.2.2選擇擇控制目目標(biāo)與控控制措施施信息安全全管理小小組根據(jù)據(jù)信息安安全方針針、業(yè)務(wù)務(wù)發(fā)展要要求及風(fēng)風(fēng)險(xiǎn)評(píng)估估的結(jié)果果，組織織有關(guān)部部門制定定信息安安全目標(biāo)標(biāo)。信息息安全目目標(biāo)應(yīng)獲獲得總裁裁的批準(zhǔn)準(zhǔn)?？刂颇繕?biāo)標(biāo)及控

13、制制措施的的選擇原原則來源源于附錄錄A。本本公司根根據(jù)信息息安全管管理的需需要，可可以選擇擇標(biāo)準(zhǔn)之之外的其其他控制制措施。1.5.1.11.2.3適用用性聲明明SoAA信息安全全管理小小組編制制信息息安全適適用性聲聲明（SoAA）。該該聲明包包括以下下方面的的內(nèi)容：所選擇控控制目標(biāo)標(biāo)與控制制措施的的概要描描述；對(duì)ISOO/IEEC 2270001:220133附錄AA中未選選用的控控制目標(biāo)標(biāo)及控制制措施理理由的說說明。1.5.1.11.2.3殘余余風(fēng)險(xiǎn)對(duì)風(fēng)險(xiǎn)處處理后的的殘余風(fēng)風(fēng)險(xiǎn)應(yīng)形形成殘殘余風(fēng)險(xiǎn)險(xiǎn)評(píng)估報(bào)報(bào)告并并得到信信息安全全最高責(zé)責(zé)任人的的批準(zhǔn)。信息安安全管理理小組應(yīng)應(yīng)保留信信息安全全風(fēng)險(xiǎn)

14、處處置過程程的文件件化信息息。1.5.2信息息安全目目標(biāo)和實(shí)實(shí)現(xiàn)規(guī)劃劃根據(jù)公司司的信息安全全方針，經(jīng)過最最高管理理者確認(rèn)認(rèn)，公司司的信息息安全管管理目標(biāo)標(biāo)為：顧客保密密性抱怨怨/投訴訴的次數(shù)數(shù)不超過過1起/年。受控信息息泄露的的事態(tài)發(fā)發(fā)生不超超過3起起/年秘密信息息泄露的的事態(tài)不不得發(fā)生生。信息安全全管理小小組根據(jù)據(jù)適用用性聲明明、信息資資產(chǎn)風(fēng)險(xiǎn)險(xiǎn)評(píng)估表表中風(fēng)風(fēng)險(xiǎn)處理理計(jì)劃所所選擇的的控制措措施，明明確控制制措施改改進(jìn)時(shí)間間表。對(duì)對(duì)于各部部門信息息安全目目標(biāo)的完完成情況況，按照照信息息安全目目標(biāo)及有有效性測測量程序序的要要求，周周期性在在主責(zé)部部門對(duì)各各控制措措施的目目標(biāo)進(jìn)行行測量，并記錄錄測

15、量的的結(jié)果。通過定定期的內(nèi)內(nèi)審、控控制措施施目標(biāo)測測量及管管理評(píng)審審活動(dòng)評(píng)評(píng)價(jià)公司司信息安安全目標(biāo)標(biāo)的完成成情況。1.6支支持1.6.1資源源總經(jīng)理負(fù)負(fù)責(zé)確定定并提供供建立、實(shí)施、保持和和持續(xù)改改進(jìn)信息息安全管管理體系系所需的的資源。1.6.2能力力辦公室應(yīng)應(yīng)：確定公司司全體員員工影響響公司信信息安全全績效的的必要能能力；確保上述述人員在在適當(dāng)?shù)牡慕逃?、培?xùn)或或經(jīng)驗(yàn)的的基礎(chǔ)上上能夠勝勝任其工工作；適用時(shí)，采取措措施以獲獲得必要要的能力力，并評(píng)評(píng)估所采采取措施施的有效效性；保留適當(dāng)當(dāng)?shù)奈募畔⑾⒆鳛槟苣芰Φ淖C證據(jù)。注：適用用的措施施可包括括，對(duì)新新入職員員工進(jìn)行行的信息息安全意意識(shí)教育育；定

16、期期對(duì)公司司員工進(jìn)進(jìn)行的業(yè)業(yè)務(wù)實(shí)施施過程中中的信息息安全管管理相關(guān)關(guān)的培訓(xùn)訓(xùn)等。1.6.3意識(shí)識(shí)公司全體體員工應(yīng)應(yīng)了解：公司的信信息安全全方針；個(gè)人其對(duì)對(duì)公司信信息安全全管理體體系有效效性的貢貢獻(xiàn)，包包括改進(jìn)進(jìn)信息安安全績效效帶來的的益處；不符合信信息安全全管理體體系要求求帶來的的影響。1.6.4溝通通信息安全全管理小小組負(fù)責(zé)責(zé)確定與與信息安安全管理理體系相相關(guān)的內(nèi)內(nèi)部和外外部的溝溝通需求求，包括括：溝通內(nèi)容容；溝通時(shí)間間；溝通對(duì)象象；誰應(yīng)負(fù)責(zé)責(zé)溝通；影響溝通通的過程程。1.6.5文件件化信息息1.6.5.11總則公司的信信息安全全管理體體系應(yīng)包包括：本標(biāo)準(zhǔn)要要求的文文件化信信息；信息安全全管

17、理小小組確保保信息安安全管理理體系的的有效運(yùn)運(yùn)行，需需編制文件控控制程序序用以以管理公公司信息息安全管管理體系系的相關(guān)關(guān)文件。1.6.5.22創(chuàng)建和和更新創(chuàng)建和更更新文件件化信息息時(shí)，信信息安全全管理小小組應(yīng)確確保適當(dāng)當(dāng)?shù)模簶?biāo)識(shí)和描描述（例例如標(biāo)題題、日期期、作者者或編號(hào)號(hào)）；格式（例例如語言言、軟件件版本、圖表）和介質(zhì)質(zhì)（例如如紙質(zhì)、電子介介質(zhì)）；對(duì)適宜性性和充分分性的評(píng)評(píng)審和批批準(zhǔn)。1.6.5.33文件化化信息的的控制信息安全全管理體體系及本本標(biāo)準(zhǔn)所所要求的的文件化化信息應(yīng)應(yīng)予以控控制，以以確保：在需要的的地點(diǎn)和和時(shí)間，是可用用和適宜宜的；得到充分分的保護(hù)護(hù)（如避避免保密密性損失失、不恰恰

18、當(dāng)使用用、完整整性損失失等）。為控制文文件化信信息，適適用時(shí)，科技規(guī)規(guī)劃部應(yīng)應(yīng)開展以以下活動(dòng)動(dòng)：分發(fā)，訪訪問，檢檢索和使使用；存儲(chǔ)和保保護(hù)，包包括保持持可讀性性；控制變更更（例如如版本控控制）；保留和處處置。信息安全全管理小小組需在在文件件控制程程序中中規(guī)劃和和運(yùn)行信信息安全全管理體體系所必必需的外外來的文文件化信信息，應(yīng)應(yīng)得到適適當(dāng)?shù)淖R(shí)識(shí)別，并并予以控控制。1.7運(yùn)運(yùn)行1.7.1運(yùn)行行規(guī)劃和和控制為確保IISMSS有效實(shí)實(shí)施，對(duì)對(duì)已識(shí)別別的風(fēng)險(xiǎn)險(xiǎn)進(jìn)行有有效處理理，本公公司開展展以下活活動(dòng)：形成信信息安全全風(fēng)險(xiǎn)處處理計(jì)劃劃，以以確定適適當(dāng)?shù)墓芄芾泶胧┦⒙氊?zé)責(zé)及安全全保密控制制措施的的優(yōu)先級(jí)級(jí)

19、，應(yīng)特特別注意意公司外外包過程程的確定定和控制制；對(duì)于系系統(tǒng)集成成和ITT外包運(yùn)運(yùn)維服務(wù)務(wù)項(xiàng)目，項(xiàng)目經(jīng)經(jīng)理應(yīng)在在項(xiàng)目策策劃階段段識(shí)別所所面臨的的信息安安全風(fēng)險(xiǎn)險(xiǎn)，并在在項(xiàng)目全全過程中中對(duì)信息息安全風(fēng)風(fēng)險(xiǎn)進(jìn)行行監(jiān)控和和更新。為實(shí)現(xiàn)已已確定的的安全保保密目標(biāo)標(biāo)、實(shí)施施風(fēng)險(xiǎn)處處理計(jì)劃劃，明確確各崗位位的信息息安全職職責(zé)；實(shí)施所選選擇的控控制措施施，以實(shí)實(shí)現(xiàn)控制制目標(biāo)的的要求；進(jìn)行信息息安全培培訓(xùn)，提提高全員員信息安安全意識(shí)識(shí)和能力力；對(duì)信息安安全體系系的運(yùn)作作進(jìn)行管管理，控控制計(jì)劃劃了的變變更，評(píng)評(píng)審非預(yù)預(yù)期變更更的后果果，必要要時(shí)采取取措施減減緩負(fù)面面影響；對(duì)信息安安全所需需資源進(jìn)進(jìn)行管理理；實(shí)施

20、控制制程序，對(duì)信息息安全事事故（或或事件）進(jìn)行迅迅速反應(yīng)應(yīng)?？偨?jīng)理為為本公司司信息安安全最高高責(zé)任者者。辦公室制制定全公公司的組組織機(jī)構(gòu)構(gòu)和各部部門的職職責(zé)（包包括信息息安全職職責(zé)），并形成成文件。信息安全全管理小小組成員員負(fù)責(zé)完完成信息息安全管管理體系系運(yùn)行時(shí)時(shí)必須的的任務(wù)；對(duì)信息息安全管管理體系系的運(yùn)行行情況和和必要的的改善措措施向信信息安全全最高責(zé)責(zé)任者報(bào)報(bào)告。各部門負(fù)負(fù)責(zé)人作作為本部部門信息息安全的的主要責(zé)責(zé)任人，信息安安全內(nèi)審審員負(fù)責(zé)責(zé)指導(dǎo)和和監(jiān)督本本部門信信息安全全管理體體系的運(yùn)運(yùn)行與實(shí)實(shí)施，并并形成文文件；全全體員工工都應(yīng)按按保密承承諾的要要求自覺覺履行信信息安全全義務(wù)。各部門應(yīng)

21、應(yīng)按照信息安安全適用用性聲明明中規(guī)規(guī)定的安安全保密密目標(biāo)、控制措措施（包包括安全全保密運(yùn)運(yùn)行的各各種控制制程序）的要求求實(shí)施信信息安全全控制措措施。信息安全全管理小小組應(yīng)對(duì)對(duì)滿足信信息安全全要求及及實(shí)施66.1中中確定的的措施所所需的過過程予以以規(guī)劃、實(shí)施和和控制，同時(shí)應(yīng)應(yīng)實(shí)施計(jì)計(jì)劃以實(shí)實(shí)現(xiàn)6.2中確確定的信信息安全全目標(biāo)。信息安全全管理小小組應(yīng)保保持文件件化信息息達(dá)到必必要的程程度，以以確信過過程按計(jì)計(jì)劃得到到執(zhí)行。信息安全全管理小小組應(yīng)控控制計(jì)劃劃內(nèi)的變變更并評(píng)評(píng)審非預(yù)預(yù)期變更更的后果果，必要要時(shí)采取取措施減減輕負(fù)面面影響。各部門確確定本部部門業(yè)務(wù)務(wù)過程中中的外包包活動(dòng)，并對(duì)外外包過程程進(jìn)

22、行必必要的控控制。1.7.2信息息安全風(fēng)風(fēng)險(xiǎn)評(píng)估估公司按照照組織信息安安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估管管理程序序的要要求，每每年定期期或當(dāng)重重大變更更提出或或發(fā)生時(shí)時(shí)，執(zhí)行行信息安安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估。每次風(fēng)風(fēng)險(xiǎn)評(píng)估估的過程程均需形形成記錄錄，并由由信息安安全管理理小組保保留每次次風(fēng)險(xiǎn)評(píng)評(píng)估的記記錄，如如：風(fēng)險(xiǎn)險(xiǎn)評(píng)估報(bào)報(bào)告、風(fēng)風(fēng)險(xiǎn)處理理計(jì)劃等等。1.7.3信息息安全風(fēng)風(fēng)險(xiǎn)處置置為確保IISMSS有效實(shí)實(shí)施，對(duì)對(duì)已識(shí)別別的風(fēng)險(xiǎn)險(xiǎn)進(jìn)行有有效處理理，本公公司開展展以下活活動(dòng)：形成風(fēng)風(fēng)險(xiǎn)處理理計(jì)劃，以確確定適當(dāng)當(dāng)?shù)墓芾砝泶胧?、職?zé)及及安全保保密控制制措施的的優(yōu)先級(jí)級(jí)；為實(shí)現(xiàn)已已確定的的安全保保密目標(biāo)標(biāo)、實(shí)施施風(fēng)險(xiǎn)處處理計(jì)劃

23、劃，明確確各崗位位的信息息安全職職責(zé)；實(shí)施所選選擇的控控制措施施，以實(shí)實(shí)現(xiàn)控制制目標(biāo)的的要求；進(jìn)行信息息安全培培訓(xùn)，提提高全員員信息安安全意識(shí)識(shí)和能力力；對(duì)信息安安全體系系的運(yùn)作作進(jìn)行管管理；對(duì)信息安安全所需需資源進(jìn)進(jìn)行管理理；信息安全全管理小小組負(fù)責(zé)責(zé)組織相相關(guān)人員員，定期期檢查風(fēng)風(fēng)險(xiǎn)處理理計(jì)劃的的執(zhí)行情情況，并并保留信信息安全全風(fēng)險(xiǎn)處處置結(jié)果果的文件件化信息息。1.8績績效評(píng)價(jià)價(jià)1.8.1監(jiān)視視、測量量、分析析和評(píng)價(jià)價(jià)本公司通通過實(shí)施施定期的的控制措措施實(shí)施施有效性性檢查、事故報(bào)報(bào)告調(diào)查查處理、電子監(jiān)監(jiān)控、技技術(shù)檢查查等檢查查方式檢檢查信息息安全管管理體系系運(yùn)行的的情況，并報(bào)告告結(jié)果以以實(shí)

24、現(xiàn)：及時(shí)發(fā)現(xiàn)現(xiàn)信息安安全體系系的事故故和隱患患；及時(shí)了解解信息處處理系統(tǒng)統(tǒng)遭受的的各類攻攻擊；使管理者者掌握信信息安全全活動(dòng)是是否有效效，并根根據(jù)優(yōu)先先級(jí)別確確定所要要采取的的措施；積累信息息安全方方面的經(jīng)經(jīng)驗(yàn)。按照計(jì)劃劃的時(shí)間間間隔（不超過過一年）進(jìn)行IISMSS內(nèi)部審審核，內(nèi)內(nèi)部審核核的具體體要求。根據(jù)控制制措施有有效性檢檢查和內(nèi)內(nèi)審檢查查的結(jié)果果以及來來自相關(guān)關(guān)方的建建議和反反饋，由由最高責(zé)責(zé)任者主主持，每每年對(duì)IISMSS的有效效性進(jìn)行行評(píng)審，其中包包括信息息安全范范圍、方方針、目目標(biāo)及控控制措施施有效性性的評(píng)審審。管理者代代表應(yīng)組組織有關(guān)關(guān)部門按按照信信息安全全風(fēng)險(xiǎn)評(píng)評(píng)估管理理程序的

25、要求求對(duì)風(fēng)險(xiǎn)險(xiǎn)處理后后的殘余余風(fēng)險(xiǎn)進(jìn)進(jìn)行定期期評(píng)審，以驗(yàn)證證殘余風(fēng)風(fēng)險(xiǎn)是否否達(dá)到可可接受的的水平，對(duì)以下下方面變變更情況況應(yīng)及時(shí)時(shí)進(jìn)行風(fēng)風(fēng)險(xiǎn)評(píng)估估：組織機(jī)構(gòu)構(gòu)發(fā)生重重大變更更；信息處理理技術(shù)發(fā)發(fā)生重大大變更；公司業(yè)務(wù)務(wù)目標(biāo)及及流程發(fā)發(fā)生重大大變更；發(fā)現(xiàn)信息息資產(chǎn)面面臨重大大威脅；外部環(huán)境境，如法法律法規(guī)規(guī)或信息息安全標(biāo)標(biāo)準(zhǔn)發(fā)生生重大變變更。保持上述述活動(dòng)和和措施的的記錄。以上活動(dòng)動(dòng)的詳細(xì)細(xì)程序規(guī)規(guī)定于以以下文件件中：控制措措施有效效性的測測量程序序信息安安全職責(zé)責(zé)權(quán)限劃劃分對(duì)照照表信息安安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估管管理程序序內(nèi)部審審核控制制程序1.8.2內(nèi)部部審核內(nèi)部信息息安全審審核主要要指內(nèi)部部信息安安

26、全管理理體系審審核，其其目的是是驗(yàn)證公公司信息息安全管管理體系系運(yùn)行的的符合性性和有效效性并不不斷改進(jìn)進(jìn)和完善善公司的的信息安安全管理理體系。1.8.2.11組織審審核公司統(tǒng)一一組織、管理內(nèi)內(nèi)部信息息安全審審核工作作，信息息安全管管理小組組負(fù)責(zé)制制定內(nèi)內(nèi)部審核核控制程程序并并貫徹執(zhí)執(zhí)行；管理者代代表負(fù)責(zé)責(zé)領(lǐng)導(dǎo)和和策劃內(nèi)內(nèi)部審核核工作，批準(zhǔn)年年度內(nèi)審審計(jì)劃和和追加審審核計(jì)劃劃，批準(zhǔn)準(zhǔn)審核組組成員，批準(zhǔn)審審核實(shí)施施計(jì)劃，審批年年度內(nèi)審審報(bào)告；信息安全全管理小小組負(fù)責(zé)責(zé)對(duì)審核核組長及及成員提提名，編編制年度度審核計(jì)計(jì)劃和追追加審核核計(jì)劃，報(bào)管理理者代表表批準(zhǔn)后后執(zhí)行。審核組長長組織和和管理內(nèi)內(nèi)部審核

27、核工作，根據(jù)實(shí)實(shí)際情況況和重要要性安排排審核順順序?qū)嵤┦徍恕徍藛T不不應(yīng)審核核自己的的工作。1.8.2.22實(shí)施審審核審核組長長編制的的審核計(jì)計(jì)劃，經(jīng)經(jīng)管理者者代表批批準(zhǔn)后，負(fù)責(zé)在在實(shí)施審審核前55天向被被審核方方發(fā)出書書面審核核通知；審核小組組按內(nèi)內(nèi)部審核核控制程程序?qū)崒?shí)施審核核；審核員收收集客觀觀證據(jù)，通過分分析整理理做出公公正判斷斷，填寫寫內(nèi)審審不合格格報(bào)告提交審審核組長長，并請(qǐng)請(qǐng)被審核核部門經(jīng)經(jīng)理在報(bào)報(bào)告上簽簽字認(rèn)可可。1.8.2.33審核報(bào)報(bào)告審核組長長應(yīng)在完完成全部部審核后后，按規(guī)規(guī)定格式式編寫內(nèi)部管管理體系系審核報(bào)報(bào)告提提交信息息安全管管理小組組，經(jīng)其其審閱后后報(bào)管理理者代表表

28、，內(nèi)內(nèi)部管理理體系審審核報(bào)告告作為為管理評(píng)評(píng)審的輸輸入證據(jù)據(jù)。1.8.2.44糾正措措施和跟跟蹤驗(yàn)證證被審核部部門經(jīng)理理制定糾糾正措施施，填寫寫在內(nèi)內(nèi)審不合合格報(bào)告告中。糾正措施施完成后后后，應(yīng)應(yīng)將糾正正措施完完成情況況填寫到到內(nèi)審審不合格格報(bào)告相應(yīng)欄欄內(nèi)，然然后將內(nèi)審不不合格報(bào)報(bào)告交交到審核核組長。審核組長長視具體體情況通通知審核核組復(fù)查查，跟蹤蹤驗(yàn)證糾糾正措施施實(shí)施情情況，并并將驗(yàn)證證結(jié)果填填寫在內(nèi)審不不合格報(bào)報(bào)告中中。1.8.2.55審核記記錄審核組長長應(yīng)收集集所有內(nèi)內(nèi)部信息息安全審審核中發(fā)發(fā)生的計(jì)計(jì)劃通知知、內(nèi)部部審核檢檢查表、記錄、審核報(bào)報(bào)告、總總結(jié)等原原始資料料，整理理后由信信息安

29、全全管理小小組負(fù)責(zé)責(zé)保管內(nèi)內(nèi)審相關(guān)關(guān)記錄。1.8.3ISSMS管管理評(píng)審審1.8.3.11總則信息安全全最高責(zé)責(zé)任者為為確認(rèn)信信息安全全管理體體系的適適宜性、充分性性和有效效性，每每年對(duì)信信息安全全管理體體系進(jìn)行行一次全全面評(píng)審審。該管管理評(píng)審審應(yīng)包括括對(duì)信息息安全管管理體系系是否需需改進(jìn)或或變更的的評(píng)價(jià)，以及對(duì)對(duì)信息安安全方針針和信息息安全管管理目標(biāo)標(biāo)的評(píng)價(jià)價(jià)。管理理評(píng)審的的結(jié)果應(yīng)應(yīng)形成書書面記錄錄，并至至少保存存3年，按照文件控控制程序序的要要求進(jìn)行行受控訪訪問。1.8.3.22管理評(píng)評(píng)審的輸輸入在管理評(píng)評(píng)審時(shí)，信息安安全管理理小組應(yīng)應(yīng)組織相相關(guān)部門門提供以以下資料料，供信信息安全全管理最

30、最高責(zé)任任者和各各部門負(fù)負(fù)責(zé)人進(jìn)進(jìn)行評(píng)審審：ISMSS體系內(nèi)內(nèi)、外部部審核的的結(jié)果；相關(guān)方的的反饋（投訴、抱怨、建議）；可以用來來改進(jìn)IISMSS業(yè)績和和有效性性的新技技術(shù)、產(chǎn)產(chǎn)品或程程序；信息安全全目標(biāo)達(dá)達(dá)成情況況，糾正正和預(yù)防防措施的的實(shí)施情情況；信息安全全事故或或征兆，以往風(fēng)風(fēng)險(xiǎn)評(píng)估估時(shí)未充充分考慮慮到的薄薄弱點(diǎn)或或威脅；上次管理理評(píng)審時(shí)時(shí)決定事事項(xiàng)的實(shí)實(shí)施情況況；可能影響響信息安安全管理理體系變變更的事事項(xiàng)（標(biāo)標(biāo)準(zhǔn)、法法律法規(guī)規(guī)、相關(guān)關(guān)方要求求）；對(duì)信息安安全管理理體系改改善的建建議；有效性測測量結(jié)果果。1.8.3.33管理評(píng)評(píng)審的輸輸出信息安全全管理最最高責(zé)任任者對(duì)以以下事項(xiàng)項(xiàng)做出必

31、要要的指示示：信息安全全管理體體系有效效性的改改善事項(xiàng)項(xiàng)；信息安全全方針適適宜性的的評(píng)價(jià)；必要時(shí)，對(duì)影響響信息安安全的控控制流程程進(jìn)行變變更，以以應(yīng)對(duì)包包括以下下變化的的內(nèi)外部部事件對(duì)對(duì)信息安安全體系系的影響響：業(yè)務(wù)發(fā)展展要求；信息安全全要求；業(yè)務(wù)流程程；法律法規(guī)規(guī)要求；風(fēng)險(xiǎn)水平平/可接接受風(fēng)險(xiǎn)險(xiǎn)水平。對(duì)資源的的需求。以上內(nèi)容容的詳細(xì)細(xì)規(guī)定見見管理理評(píng)審控控制程序序。1.9改改進(jìn)1.9.1不符符合和糾糾正措施施發(fā)生不符符合事項(xiàng)項(xiàng)的責(zé)任任部門在在查明原原因的基基礎(chǔ)上制制定并實(shí)實(shí)施相應(yīng)應(yīng)的糾正正措施，以消除除不符和和的原因因，防止止不符合合事項(xiàng)再再次發(fā)生生。信息安全全管理小小組負(fù)責(zé)責(zé)制定糾正措措施

32、控制制程序并組織織問題發(fā)發(fā)生部門門針對(duì)發(fā)發(fā)現(xiàn)的不不符合現(xiàn)現(xiàn)象分析析原因、制定糾糾正措施施，以消消除不符符合，并并防止不不符合的的再次發(fā)發(fā)生。對(duì)糾正措措施的實(shí)實(shí)施和驗(yàn)驗(yàn)證規(guī)定定以下步步驟：識(shí)別不符符合；確定不符符合的原原因；評(píng)價(jià)確保保不符合合不再發(fā)發(fā)生的措措施要求求；確定和實(shí)實(shí)施所需需的糾正正措施；記錄所采采取措施施的結(jié)果果；評(píng)審所采采取的糾糾正措施施，將重重大糾正正措施提提交管理理評(píng)審討討論。1.9.2持續(xù)續(xù)改進(jìn)公司的持持續(xù)改進(jìn)進(jìn)是信息息安全管管理體系系得以持持續(xù)保持持其有效效性的保保證，公公司在其其信息管管理體系系安全方方針、安安全目標(biāo)標(biāo)、安全全審核、監(jiān)視事事態(tài)的分分析、糾糾正措施施以及管管

33、理評(píng)審審方面都都要持續(xù)續(xù)改進(jìn)信信息安全全管理體體系的有有效性。本公司開開展以下下活動(dòng)，以確保保ISMMS的持持續(xù)改進(jìn)進(jìn)：實(shí)施每年年管理評(píng)評(píng)審、內(nèi)內(nèi)部審核核、安全全檢查等等活動(dòng)以以確定需需改進(jìn)的的項(xiàng)目；按照內(nèi)內(nèi)部審核核管理程程序、糾正正措施管管理程序序的要要求采取取適當(dāng)?shù)牡募m正和和預(yù)防措措施；吸取其他他組織及及本公司司安全事事故的經(jīng)經(jīng)驗(yàn)教訓(xùn)訓(xùn)，不斷斷改進(jìn)安安全措施施的有效效性；對(duì)信息安安全目標(biāo)標(biāo)及分解解進(jìn)行適適當(dāng)?shù)墓芄芾?，確確保改進(jìn)進(jìn)達(dá)到預(yù)預(yù)期的效效果；為了確保保信息安安全管理理體系的的持續(xù)有有效，各各級(jí)管理理者應(yīng)通通過適當(dāng)當(dāng)?shù)氖侄味伪３衷谠诠緝?nèi)內(nèi)部對(duì)信信息安全全措施的的執(zhí)行情情況與結(jié)結(jié)果進(jìn)行

34、行有效的的溝通。包括獲獲取外部部信息安安全專家家的建議議、信息息安全政政府行政政主管部部門、電電信運(yùn)營營商等組組織的聯(lián)聯(lián)系及識(shí)識(shí)別顧客客對(duì)信息息安全的的要求等等。如：管理評(píng)評(píng)審會(huì)議議、內(nèi)部部審核報(bào)報(bào)告、公公司內(nèi)文文件體系系、內(nèi)部部網(wǎng)絡(luò)和和郵件系系統(tǒng)、法法律法規(guī)規(guī)評(píng)估報(bào)報(bào)告等。1.100信息安安全管理理方針方方針公司的信信息安全全管理方方針：安全第一一，預(yù)防防為主；全員參參與，綜綜治風(fēng)險(xiǎn)險(xiǎn)；遵紀(jì)守法法，提高高績效；成本可可控，持持續(xù)發(fā)展展。對(duì)于信息息安全方方針的解解釋：滿足客戶戶要求：滿足顧顧客的要要求是企企業(yè)運(yùn)營營的必然然選擇。保障信息息安全：信息安安全是企企業(yè)管理理的重中中之重。遵守法律律法

35、規(guī)：遵守法法律法規(guī)規(guī)是企業(yè)業(yè)生存之之前提，滿足法法律法規(guī)規(guī)及相關(guān)關(guān)行業(yè)標(biāo)標(biāo)準(zhǔn)/技技術(shù)規(guī)范范的要求求也是本本公司必必須承擔(dān)擔(dān)的社會(huì)會(huì)責(zé)任。持續(xù)改進(jìn)進(jìn)管理：控制風(fēng)風(fēng)險(xiǎn)是前前提，風(fēng)風(fēng)險(xiǎn)自身身是動(dòng)態(tài)態(tài)的過程程。通過過各種方方式提升升公司員員工的信信息安全全意識(shí)，提高公公司的信信息安全全管理過過程。本公司承承諾提供供一切可可能的資資源與先先進(jìn)的技技術(shù)，保保證信息息的保密密性、可可用性和和完整性性，有針針對(duì)性地地采取一一切必要要的安全全措施。使用有有效的風(fēng)風(fēng)險(xiǎn)評(píng)估估的工具具和方法法，嚴(yán)格格控制風(fēng)風(fēng)險(xiǎn)事故故在可接接受風(fēng)險(xiǎn)險(xiǎn)范圍之之內(nèi)。制制訂周密密可靠的的應(yīng)急方方案并定定期進(jìn)行行演練，關(guān)鍵信信息數(shù)據(jù)據(jù)異地備備

36、份，制制訂業(yè)務(wù)務(wù)連續(xù)性性計(jì)劃，以確保保業(yè)務(wù)的的持續(xù)進(jìn)進(jìn)行。為了滿足足適用法法律法規(guī)規(guī)及相關(guān)關(guān)方要求求，維持持計(jì)算機(jī)機(jī)系統(tǒng)集集成及服服務(wù)、計(jì)計(jì)算機(jī)應(yīng)應(yīng)用軟件件的設(shè)計(jì)計(jì)開發(fā)及及服務(wù)活活動(dòng)的正正常進(jìn)行行，本公公司依據(jù)據(jù)ISOO/IEEC2770011:20013標(biāo)標(biāo)準(zhǔn)，建建立信息息安全管管理體系系，以保保證與公司經(jīng)營營管理相相關(guān)信息息的保密密性、完完整性、可用性性和可追追溯性，實(shí)現(xiàn)業(yè)業(yè)務(wù)可持持續(xù)發(fā)展展的目的的。本公公司將：在公司內(nèi)內(nèi)各層次次建立完完整的信信息安全全管理組組織機(jī)構(gòu)構(gòu)，確定定信息安安全方針針、安全全保密目標(biāo)標(biāo)和控制制措施，明確信信息安全全的管理理職責(zé)；識(shí)別并滿滿足適用用法律、法規(guī)和和相關(guān)

37、方方信息安安全要求求；定期進(jìn)行行信息安安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估，ISMMS評(píng)審審，采取取糾正預(yù)預(yù)防措施施，保證證體系的的持續(xù)有有效性；采用先進(jìn)進(jìn)有效的的設(shè)施和和技術(shù)，處理、傳遞、儲(chǔ)存和和保護(hù)各各類信息息，實(shí)現(xiàn)現(xiàn)信息共共享；對(duì)全體員員工進(jìn)行行持續(xù)的的信息安安全教育育和培訓(xùn)訓(xùn)，不斷斷增強(qiáng)員員工的信信息安全全意識(shí)和和能力；制定并保保持完善善的業(yè)務(wù)務(wù)連續(xù)性性計(jì)劃，實(shí)現(xiàn)可可持續(xù)發(fā)發(fā)展。上述方針針的批準(zhǔn)、發(fā)布及修修訂由公公司信息息安全最最高責(zé)任任者負(fù)責(zé)責(zé)；通過過培訓(xùn)、宣貫等等方式使使得本公公司員工工知曉并并執(zhí)行相相關(guān)內(nèi)容容；通過過有效途途徑告知知服務(wù)相相關(guān)方及及客戶，以提高高安全保保密意識(shí)識(shí)及服務(wù)務(wù)水平；并定期期通

38、過管理評(píng)評(píng)審控制制程序評(píng)審其其適用性性、充分分性，必必要時(shí)予予以修訂訂。組織的角角色，職職責(zé)和權(quán)權(quán)限公司經(jīng)營營管理層層決定全全公司的的組織機(jī)機(jī)構(gòu)和各各部門的的職責(zé)（包括信信息安全全職責(zé)），并形形成文件件。各部門的的信息安安全管理理職責(zé)決決定本部部門組織織形式和和業(yè)務(wù)分分擔(dān)，并并形成文文件。總經(jīng)理為為本公司司信息安安全最高高責(zé)任者者。各部部門/項(xiàng)項(xiàng)目組負(fù)負(fù)責(zé)人為為本部門門/項(xiàng)目目組信息息安全管管理責(zé)任任者，全全體員工工都應(yīng)按按保密承承諾的要要求自覺覺履行信信息安全全保密義義務(wù)；各部門應(yīng)應(yīng)按照信息安安全適用用性聲明明中規(guī)規(guī)定的安安全目標(biāo)標(biāo)、控制制措施（包括安安全運(yùn)行行的各種種控制程程序）的的要求實(shí)

39、實(shí)施信息息安全控控制措施施。2、制度度與規(guī)范范、業(yè)務(wù)務(wù)流程2.1信信息安全全與保密密管理制制度2.1.1為了了保證項(xiàng)項(xiàng)目網(wǎng)絡(luò)絡(luò)數(shù)據(jù)的的安全保保密，維維持安全全可靠的的計(jì)算機(jī)機(jī)應(yīng)用環(huán)環(huán)境，特特制定本本規(guī)定。2.1.2凡項(xiàng)項(xiàng)目組從從事項(xiàng)目目管理工工作的員員工都必必須執(zhí)行行本規(guī)定定。2.1.3項(xiàng)目目的合同同、需求求說明、設(shè)計(jì)變變更、工工作聯(lián)系系單、工工程洽商商單、經(jīng)經(jīng)濟(jì)簽證證單、公公司內(nèi)部部資料等等必須由由各部門門信息管管理員妥妥善管理理，嚴(yán)禁禁外借，嚴(yán)禁非非相關(guān)人人員傳閱閱、查看看。2.1.4對(duì)接接入計(jì)算算機(jī)及設(shè)設(shè)備，必必須符合合一下規(guī)規(guī)定：2.1.4.11在未經(jīng)經(jīng)許可的的情況下下，不得得擅自對(duì)對(duì)

40、處計(jì)算算機(jī)及其其相關(guān)設(shè)設(shè)備的硬硬件部分分進(jìn)行修修改、改改裝或拆拆卸配置置，包括括添加光光驅(qū)、軟軟驅(qū)，掛掛接硬盤盤等讀寫寫設(shè)備，以及增增加串口口或并口口外圍設(shè)設(shè)備，如如掃描儀儀、打印印機(jī)等。2.1.4.22非我項(xiàng)項(xiàng)目的計(jì)計(jì)算機(jī)及及任何外外設(shè)，不不得接入入網(wǎng)絡(luò)系系統(tǒng)。2.1.4.33嚴(yán)禁私私自開啟啟計(jì)算機(jī)機(jī)機(jī)箱封封條或機(jī)機(jī)箱鎖。2.1.5凡使使用項(xiàng)目目配備計(jì)計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)系統(tǒng)統(tǒng)的員工工，必須須遵守以以下規(guī)定定；2.1.5.11未經(jīng)批批準(zhǔn)，嚴(yán)嚴(yán)禁非本本項(xiàng)目工工作人員員使用除除計(jì)算機(jī)機(jī)及任何何相關(guān)設(shè)設(shè)備。2.1.5.22對(duì)新上上網(wǎng)使用用辦公網(wǎng)網(wǎng)絡(luò)系統(tǒng)統(tǒng)的員工工，由辦辦公室負(fù)負(fù)責(zé)上崗崗前的計(jì)計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)設(shè)

41、備備系統(tǒng)安安全及信信息保密密的技術(shù)術(shù)培訓(xùn)工工作。2.1.5.33未經(jīng)批批準(zhǔn)，任任何人嚴(yán)嚴(yán)禁將其其以任何何形式（如數(shù)據(jù)據(jù)形式：Intternnet、軟盤、光盤、硬磁盤盤等；硬硬拷貝形形式：圖圖紙打印印、復(fù)印印、照片片等）復(fù)復(fù)制、傳傳輸或?qū)?duì)外提供供。2.1.5.44任何員員工均不不得超越越權(quán)限侵侵入網(wǎng)絡(luò)絡(luò)中未開開放的信信息，不不得擅自自修改入入庫數(shù)據(jù)據(jù)資料和和修改他他人數(shù)據(jù)據(jù)資料。2.1.6嚴(yán)格格執(zhí)行國國家、有有關(guān)保密密、安全全及辦公公自動(dòng)化化系統(tǒng)的的有關(guān)法法律、法法規(guī)的規(guī)規(guī)定和要要求。各各部門應(yīng)應(yīng)自覺按按照有關(guān)關(guān)規(guī)定和和要求配配合做好好保密和和信息安安全工作作。2.1.7任何何經(jīng)由我我公司外外

42、網(wǎng)接入入互聯(lián)網(wǎng)網(wǎng)的員工工，必須須嚴(yán)格遵遵守國家家有關(guān)法法律、法法規(guī)。2.1.8凡使使用公司司網(wǎng)絡(luò)系系統(tǒng)的員員工，必必須配合合網(wǎng)絡(luò)管管理員做做好防病病毒工作作。2.1.8.11由辦公公室負(fù)責(zé)責(zé)網(wǎng)絡(luò)防防病毒工工作。信信息維護(hù)護(hù)員負(fù)責(zé)責(zé)實(shí)施防防病毒的的日常管管理工作作。2.1.8.22凡裝有有可與外外界進(jìn)行行數(shù)據(jù)傳傳輸?shù)脑O(shè)設(shè)備的計(jì)計(jì)算機(jī)，必須安安裝防病病毒程序序，辦公公室定期期對(duì)防病病毒程序序進(jìn)行升升級(jí)，增增強(qiáng)對(duì)病病毒的查查殺能力力。2.1.8.33凡需入入網(wǎng)傳輸輸數(shù)據(jù)的的盤片，由網(wǎng)絡(luò)絡(luò)管理員員負(fù)責(zé)檢檢查、清清查計(jì)算算機(jī)病毒毒，確保保沒有病病毒后方方可傳輸輸數(shù)據(jù)。2.1.8.44員工在在使用過過程中

43、如如發(fā)現(xiàn)計(jì)計(jì)算機(jī)病病毒，應(yīng)應(yīng)立即停停止進(jìn)行行任何程程序并報(bào)報(bào)告網(wǎng)絡(luò)絡(luò)管理員員，如遇遇到現(xiàn)有有防病毒毒程序無無法清殺殺的病毒毒，網(wǎng)絡(luò)絡(luò)管理員員必須先先將受感感染的計(jì)計(jì)算機(jī)從從網(wǎng)絡(luò)上上隔開，協(xié)助員員工做好好數(shù)據(jù)備備份工作作，并為為用戶恢恢復(fù)系統(tǒng)統(tǒng)。2.1.9分公公司辦公公室定期期對(duì)有關(guān)關(guān)部門進(jìn)進(jìn)行計(jì)算算機(jī)網(wǎng)絡(luò)絡(luò)系統(tǒng)安安全和數(shù)數(shù)據(jù)保密密檢查，并將檢檢查結(jié)果果向處保保密工作作小組匯匯報(bào)。2.1.10涉涉及項(xiàng)目目信息安安全與保保密的管管理人員員均需要要對(duì)本制制度相關(guān)關(guān)具體要要求，進(jìn)進(jìn)行保密密工作承承諾。2.2文文件加密密管理制制度2.2.1目的的 為為規(guī)范公公司重要要文件的的安全管管理級(jí)別別，通過過文件

44、外外發(fā)控制制以及加加密管理理，防止止公司機(jī)機(jī)密文件件外泄，保障公公司信息息安全。2.2.2范圍圍 本本管理制制度適用用于所有有安裝加加密軟件件用戶。2.2.3重要要文件定定義 需需要保護(hù)護(hù)的公司司重要電電子文檔檔包含：公司財(cái)財(cái)務(wù)數(shù)據(jù)據(jù)，公司司人員信信息總表表，各部部門培訓(xùn)訓(xùn)課件，采購部部商品分分析表，薪資表表，工程程圖紙，市場部部合同信信息，公公司viip信息息匯總表表。2.2.4職責(zé)責(zé)與權(quán)限限 所所有安裝裝加密軟軟件用戶戶必須按按照本制制度規(guī)定定進(jìn)行執(zhí)執(zhí)行；網(wǎng)網(wǎng)管負(fù)責(zé)責(zé)人負(fù)責(zé)責(zé)加密軟軟件的日日常維護(hù)護(hù)，安裝裝管理，以及加加密軟件件權(quán)限分分配；綜綜合部負(fù)負(fù)責(zé)監(jiān)管管。2.2.5規(guī)定定描述：2.2

45、.5.11文件加加密類型型 目前對(duì)對(duì)所有安安裝加密密軟件的的用戶電電腦的重重要文件件進(jìn)行加加密處理理。2.2.5.22文件傳傳播方式式控制2.2.5.33禁止通通過復(fù)制制/剪貼貼方式進(jìn)進(jìn)行外發(fā)發(fā)信息；2.2.5.44重要文文件在創(chuàng)創(chuàng)建或編編輯時(shí)必必須在指指定機(jī)器器上操作作并進(jìn)行行加密。所有通通過U盤盤、E-maiil、QQQ、MMSN等等工具傳傳送的重重要文件件，都必必須經(jīng)過過部門主主管許可可才允許許。2.2.5.55公司部部提倡遠(yuǎn)遠(yuǎn)程工作作及登錄錄服務(wù)器器，如有有必要需需進(jìn)行申申請(qǐng)，開開放端口口，并通通過加密密的方式式進(jìn)行通通訊。2.2.5.66文件外外發(fā)控制制管理重要文件件需要傳傳遞到?jīng)]沒

46、有安裝裝加密軟軟件用戶戶或者外外發(fā)到公公司外部部，必須須由各部部門制定定人員經(jīng)經(jīng)過加密密處理后后才允許許外發(fā)。.2.2.6對(duì)違違反本規(guī)規(guī)定者按按照員員工手冊(cè)冊(cè)的有有關(guān)規(guī)定定處理。2.2.7.本本制度由由網(wǎng)管員員編撰、修改、執(zhí)行，自總經(jīng)經(jīng)理批準(zhǔn)準(zhǔn)之日起起開始執(zhí)執(zhí)行。2.3信信息安全全獎(jiǎng)懲管管理辦法法2.3.1目的的明確信息息安全獎(jiǎng)獎(jiǎng)勵(lì)與違違規(guī)行為為處罰的的操作原原則，強(qiáng)強(qiáng)化執(zhí)行行，促進(jìn)進(jìn)員工信信息安全全意識(shí)提提升。2.3.2適用用范圍本規(guī)范適適用于我我公司內(nèi)內(nèi)部信息息安全事事件的獎(jiǎng)獎(jiǎng)懲。2.3.3定義義序號(hào)角色職責(zé)001信息安全全事件指識(shí)別出出的發(fā)生生的系統(tǒng)統(tǒng)、服務(wù)務(wù)或網(wǎng)絡(luò)絡(luò)事件表表明可能能違反

47、信信息安全全策略或或防護(hù)措措施失效效；或以以前未知知的與安安全相關(guān)關(guān)的情況況；其中中一、二二級(jí)信息息安全事事件稱為為重大信信息安全全事件。002信息安全全活動(dòng)為培養(yǎng)員員工信息息安全意意識(shí)，提提高公司司整體安安全水平平而舉辦辦的活動(dòng)動(dòng)，形式式包括但但不限于于：考試試、培訓(xùn)訓(xùn)、宣傳傳和自查查。2.3.4職責(zé)責(zé)與權(quán)限限序號(hào)角色職責(zé)001員工遵守公司司信息安安全管理理制度，積極配配合、參參與信息息安全活活動(dòng)。002各部門信信息安全全接口人人協(xié)助公司司信息安安全管理理制度、產(chǎn)品的的宣傳與與培訓(xùn)工工作；負(fù)負(fù)責(zé)對(duì)部部門信息息安全問問題進(jìn)行行匯總與與反饋。003部門主管管是部門信信息安全全的直接接責(zé)任人人，負(fù)

48、責(zé)責(zé)監(jiān)督和和管理本本部門員員工的信信息安全全行為，并對(duì)潛潛在的信信息安全全風(fēng)險(xiǎn)進(jìn)進(jìn)行預(yù)警警，預(yù)防防信息安安全事件件。004部門經(jīng)理理作為部門門信息安安全的間間接責(zé)任任人，熟熟悉公司司信息安安全戰(zhàn)略略，并積積極推動(dòng)動(dòng)信息安安全策略略的落地地執(zhí)行。005部門副總總對(duì)所負(fù)責(zé)責(zé)部門的的信息安安全事件件負(fù)相應(yīng)應(yīng)的管理理責(zé)任。006IT部信信息安全全組對(duì)信息安安全事件件進(jìn)行跟跟蹤處理理，并確確定事件件責(zé)任人人。007總經(jīng)理最終審批批信息安安全事件件處罰申申請(qǐng)。008總經(jīng)理最終審批批信息安安全事件件處罰申申請(qǐng)。2.3.5內(nèi)容容2.3.5.11獎(jiǎng)勵(lì)、違規(guī)行行為處罰罰原則 及時(shí)激勵(lì)勵(lì)原則對(duì)長期妥妥善保護(hù)護(hù)公司信

49、信息資產(chǎn)產(chǎn)，有效效避免信信息資產(chǎn)產(chǎn)的遺失失、濫用用、盜用用等，或或?qū)τ诖俅龠M(jìn)信息息安全合合理共享享表現(xiàn)突突出的個(gè)個(gè)人或者者集體，將及時(shí)時(shí)獎(jiǎng)勵(lì)。舉報(bào)保密密原則對(duì)于舉報(bào)報(bào)信息安安全違規(guī)規(guī)行為的的人員，將對(duì)其其進(jìn)行獎(jiǎng)獎(jiǎng)勵(lì)并嚴(yán)嚴(yán)格保護(hù)護(hù)其個(gè)人人資料不不公開。違規(guī)行為為處罰原原則法律追究究原則公司所有有保密信信息均為為公司合合法資產(chǎn)產(chǎn)，受國國家法律律法規(guī)保保護(hù)。任任何損害害公司保保密信息息的行為為，公司司均有權(quán)權(quán)追究行行為人法法律責(zé)任任。違規(guī)分級(jí)級(jí)原則根據(jù)違規(guī)規(guī)行為的的性質(zhì)、造成的的損失和和影響的的嚴(yán)重程程度、違違規(guī)人員員是否有有意對(duì)違違規(guī)行為為分級(jí)。涉及關(guān)關(guān)鍵信息息資產(chǎn)的的，違規(guī)規(guī)等級(jí)要要升級(jí)；一次違

50、違反多條條信息安安全規(guī)定定的人員員按最高高違規(guī)等等級(jí)從重重處罰；對(duì)多次次違反信信息安全全規(guī)定的的人員再再次違規(guī)規(guī)時(shí)要從從重處罰罰。主動(dòng)從寬寬原則產(chǎn)生違規(guī)規(guī)行為后后主動(dòng)報(bào)報(bào)告，積積極采取取補(bǔ)救措措施以減減少影響響和損失失的人員員，可減減輕處罰罰；對(duì)問問題隱瞞瞞不報(bào)或或者不及及時(shí)上報(bào)報(bào)而導(dǎo)致致違規(guī)影影響擴(kuò)大大的人員員，加重重處罰。過度防衛(wèi)衛(wèi)處罰原原則對(duì)阻礙信信息合理理流動(dòng)與與共享的的人員要要給予處處罰。及時(shí)處理理原則對(duì)重大信信息安全全違規(guī)事事件，要要及時(shí)處處理。任任何拖延延、推諉諉不處理理的責(zé)任任人，要要給予問問責(zé)。2.3.5.22獎(jiǎng)勵(lì)等等級(jí)與責(zé)責(zé)任部門門獎(jiǎng)勵(lì)等級(jí)級(jí)與措施施獎(jiǎng)勵(lì)事跡跡獎(jiǎng)勵(lì)等級(jí)級(jí)獎(jiǎng)勵(lì)

51、措施施舉報(bào)或者者制止泄泄密、竊竊密或者者其他嚴(yán)嚴(yán)重?fù)p害害公司利利益事件件的集體體或者個(gè)個(gè)人一級(jí)根據(jù)具體體情況給給予80000元元集體獎(jiǎng)獎(jiǎng)勵(lì)或者者50000元個(gè)個(gè)人獎(jiǎng)勵(lì)勵(lì)；通報(bào)報(bào)表揚(yáng)（遵循“舉報(bào)保保密原則則“淡化化事跡并并隱藏人人員信息息）。制止他人人違規(guī)行行為或者者即時(shí)反反映可能能造成泄泄密、竊竊密或者者其他重重大安全全隱患的的個(gè)人，以及在在信息安安全方面面做出表表率或者者突出貢貢獻(xiàn)的集集體二級(jí)根據(jù)具體體情況集集體獎(jiǎng)550000元或者者30000個(gè)人人獎(jiǎng)勵(lì)；通報(bào)表表揚(yáng)（遵遵循“舉舉報(bào)保密密原則“淡化事事跡并隱隱藏人員員信息）。在信息安安全管理理中做出出貢獻(xiàn)，反映信信息安全全隱患或或者過度度防衛(wèi)

52、被被核實(shí)、提出信信息安全全合理化化建議并并被采納納的個(gè)人人，以及及在信息息安全方方面做出出貢獻(xiàn)的的集體三級(jí)根據(jù)具體體情況給給予30000元元集體獎(jiǎng)獎(jiǎng)勵(lì)或者者10000元個(gè)個(gè)人獎(jiǎng)勵(lì)勵(lì)。獎(jiǎng)勵(lì)責(zé)任任部門1）對(duì)于于滿足信信息安全全獎(jiǎng)勵(lì)標(biāo)標(biāo)準(zhǔn)的集集體或者者個(gè)人，IT部部信息安安全組可可根據(jù)具具體事跡跡定期進(jìn)進(jìn)行申報(bào)報(bào)，審批批通過后后由綜合合部根據(jù)據(jù)公司財(cái)財(cái)務(wù)制度度進(jìn)行發(fā)發(fā)放獎(jiǎng)金金；2） 各各部門信信息安全全接口人人可自行行組織對(duì)對(duì)本部門門優(yōu)秀信信息安全全集體或或者個(gè)人人進(jìn)行獎(jiǎng)獎(jiǎng)勵(lì)。違規(guī)等級(jí)級(jí)與措施施違規(guī)事件件違規(guī)等級(jí)級(jí)處罰措施施盜竊、故故意泄露露公司保保密信息息的，或或故意違違反信息息安全管管理規(guī)定定，

53、性質(zhì)質(zhì)嚴(yán)重造造成重大大影響或或者風(fēng)險(xiǎn)險(xiǎn)一級(jí)直接開除除，永不不錄用；如違反法法律法規(guī)規(guī)由公司司法務(wù)部部移送公公安機(jī)關(guān)關(guān)處理；如給公公司造成成相關(guān)損損失，須須賠償公公司損失失。全公司范范圍內(nèi)通通報(bào)處罰罰決定。故意違反反信息安安全規(guī)定定，性質(zhì)質(zhì)嚴(yán)重；或者造造成較大大影響或或較大風(fēng)風(fēng)險(xiǎn)二級(jí)如給公司司造成相相關(guān)損失失，須賠賠償公司司損失；擔(dān)任公司司管理崗崗位的人人員，進(jìn)進(jìn)行降職職或者降降薪處理理；非公公司管理理崗位的的人員，進(jìn)行降降薪處理理；全公司范范圍內(nèi)通通報(bào)處罰罰決定。過失違反反信息安安全管理理規(guī)定，造成一一定影響響或者風(fēng)風(fēng)險(xiǎn)的；或者故故意違反反信息安安全管理理規(guī)定，但性質(zhì)質(zhì)不嚴(yán)重重且沒有有造成嚴(yán)嚴(yán)

54、重影響響或風(fēng)險(xiǎn)險(xiǎn)三級(jí)1. 記記入關(guān)鍵鍵事件考考評(píng)結(jié)果果減100分或罰罰款5000元；2. 112個(gè)月月內(nèi)2次次三級(jí)違違規(guī)升級(jí)級(jí)為1次次二級(jí)違違規(guī)。3.部門門內(nèi)部通通報(bào)處罰罰決定。過失違反反信息安安全管理理規(guī)定，性質(zhì)較較輕，且且造成輕輕微影響響或者風(fēng)風(fēng)險(xiǎn)四級(jí)1.記入入關(guān)鍵事事件考評(píng)評(píng)結(jié)果減減5分或或罰款3300元元；2.122個(gè)月內(nèi)內(nèi)2次四四級(jí)違規(guī)規(guī)升級(jí)為為1次三三級(jí)違規(guī)規(guī)；3.部門門內(nèi)部通通報(bào)處罰罰決定。說明：信息安全全管理規(guī)規(guī)定包括括公司各各部門正正式發(fā)布布的信息息安全管管理制度度；上表中“違規(guī)事事件“的的描述是是定性的的描述，是違規(guī)規(guī)事件定定級(jí)的參參考原則則。常見見違規(guī)行行為所適適用違規(guī)規(guī)

55、等級(jí)具具體參考考附件11：常常見違規(guī)規(guī)行為及及其適用用處罰等等級(jí)舉例例，其其他違規(guī)規(guī)行為所所使用等等級(jí)可參參考舉例例進(jìn)行認(rèn)認(rèn)定。責(zé)任判定定1）發(fā)生生一、二二級(jí)重大大信息安安全事件件違規(guī)時(shí)時(shí)，違規(guī)規(guī)者直接接上級(jí)和和部門經(jīng)經(jīng)理承擔(dān)擔(dān)直接和和間接責(zé)責(zé)任，部部門副總總須承擔(dān)擔(dān)連帶管管理責(zé)任任，并按按照常常見違規(guī)規(guī)行為及及其適用用處罰等等級(jí)舉例例V1.0適適用條款款進(jìn)行處處罰；2）對(duì)于于三、四四級(jí)信息息安全違違規(guī)，根根據(jù)以下下條件判判斷責(zé)任任人直接接上級(jí)是是否連帶帶處罰：員工無意意違規(guī)，且責(zé)任任人領(lǐng)導(dǎo)導(dǎo)未進(jìn)行行審批授授權(quán)的，不進(jìn)行行連帶處處罰；員工無意意違規(guī)，但責(zé)任任人領(lǐng)導(dǎo)導(dǎo)進(jìn)行包包庇的，在事實(shí)實(shí)確認(rèn)的

56、的基礎(chǔ)上上，進(jìn)行行連帶處處罰；若所管理理部門一一個(gè)月內(nèi)內(nèi)發(fā)生22次（含含）以上上故意違違規(guī)或者者4次（含）以以上無意意違規(guī)事事件，對(duì)對(duì)直接上上級(jí)進(jìn)行行連帶處處罰。處罰責(zé)任任部門處罰等級(jí)級(jí)處罰責(zé)任任人批準(zhǔn)申訴一級(jí)總經(jīng)理/綜合部二級(jí)總經(jīng)理/綜合部三級(jí)部門分管管副總IT部信信息安全全組綜合部四級(jí)部門分管管副總IT部信信息安全全組綜合部說明：1）對(duì)于于各類違違規(guī)行為為處罰應(yīng)應(yīng)當(dāng)慎重重，應(yīng)建建立在客客觀事實(shí)實(shí)的基礎(chǔ)礎(chǔ)上給出出處罰意意見。根根據(jù)違規(guī)規(guī)行為性性質(zhì)、造造成的損損失和影影響的大大小，IIT部信信息安全全組有權(quán)權(quán)要求對(duì)對(duì)當(dāng)事人人加重或或者減輕輕處罰；2）發(fā)現(xiàn)現(xiàn)可疑事事件的組組織作為為事件調(diào)調(diào)查和處

57、處理的責(zé)責(zé)任部門門。為了了加快一一級(jí)違規(guī)規(guī)行為的的處理進(jìn)進(jìn)度，溝溝通時(shí)限限和批準(zhǔn)準(zhǔn)期限都都是2天天；3）在違違規(guī)事件件處理過過程中，IT部部信息安安全組協(xié)協(xié)助與監(jiān)監(jiān)督處罰罰責(zé)任人人完成處處罰執(zhí)行行工作。處罰責(zé)責(zé)任人或或其授權(quán)權(quán)人員要要做好與與違規(guī)員員工的溝溝通工作作。對(duì)違違規(guī)處罰罰過程中中出現(xiàn)的的拖延、推諉行行為，IIT部信信息安全全組可以以行使否否決權(quán)。維護(hù)與解解釋1）本規(guī)規(guī)定發(fā)布布之日起起生效；2）本規(guī)規(guī)定由信信息安全全組至少少每兩年年審視一一次，根根據(jù)審核核結(jié)果修修訂標(biāo)準(zhǔn)準(zhǔn)并頒布布執(zhí)行；3）本規(guī)規(guī)定解釋釋權(quán)歸信信息安全全組。2.4計(jì)計(jì)算機(jī)數(shù)數(shù)據(jù)備份份管理規(guī)規(guī)定 為保證證本公司司計(jì)算機(jī)機(jī)所

58、保存存的數(shù)據(jù)據(jù)和信息息安全，加強(qiáng)和和規(guī)范公公司計(jì)算算機(jī)數(shù)據(jù)據(jù)和信息息管理，特制定定本規(guī)定定。本辦法適適用于公公司所有有使用計(jì)計(jì)算機(jī)進(jìn)進(jìn)行日常常辦公、信息化化系統(tǒng)操操作、自自動(dòng)化控控制系統(tǒng)統(tǒng)操作的的部門與與員工，本規(guī)定定自下發(fā)發(fā)之日起起執(zhí)行。2.4.1職責(zé)責(zé)2.4.1.11 計(jì)算算機(jī)使用用者負(fù)責(zé)責(zé)所使用用計(jì)算機(jī)機(jī)的數(shù)據(jù)據(jù)備份操操作，涉涉及到信信息監(jiān)控控系統(tǒng)、自動(dòng)化化控制系系統(tǒng)用計(jì)計(jì)算機(jī)，有關(guān)單單位和部部門要指指定專人人負(fù)責(zé)。2.4.1.22 各單單位、部部門的負(fù)負(fù)責(zé)人是是本部門門數(shù)據(jù)備備份管理理、信息息安全管管理的第第一責(zé)任任人。各各部門負(fù)負(fù)責(zé)人要要了解本本部門需需要備份份的數(shù)據(jù)據(jù)內(nèi)容與與類型，

59、落實(shí)備備份要求求，防范范可能出出現(xiàn)的數(shù)數(shù)據(jù)風(fēng)險(xiǎn)險(xiǎn)，對(duì)本本部門數(shù)數(shù)據(jù)備份份情況要要進(jìn)行不不定期抽抽查，對(duì)對(duì)不按規(guī)規(guī)定備份份要立即即予以糾糾正。2.4.1.33 研發(fā)發(fā)部網(wǎng)絡(luò)絡(luò)管理員員負(fù)責(zé)公公司各部部門數(shù)據(jù)據(jù)備份技技術(shù)支持持、培訓(xùn)訓(xùn)、監(jiān)督督核查工工作。2.4.2數(shù)據(jù)據(jù)備份管管理2.4.2.11 備份份方法及及要求2.4.2.11.1 數(shù)據(jù)據(jù)備份采采用人工工備份的的方式，備份分分重要數(shù)數(shù)據(jù)備份份、重要要文檔資資料備份份、信息息監(jiān)控系系統(tǒng)數(shù)據(jù)據(jù)庫原始始數(shù)據(jù)備備份、計(jì)計(jì)算機(jī)操操作系統(tǒng)統(tǒng)備份、應(yīng)用軟軟件備份份。所有有備份工工作必須須由操作作人員做做詳細(xì)記記錄，要要求記錄錄備份的的內(nèi)容、時(shí)間及及次數(shù)。2.4

60、.2.11.2 計(jì)算算機(jī)需要要備份的的數(shù)據(jù)、文檔資資料要隨隨時(shí)歸檔檔備份并并異地存存放, 每周至至少備份份一次，日新增增數(shù)據(jù)量量大、財(cái)財(cái)務(wù)、銷銷售、經(jīng)經(jīng)營調(diào)度度等部門門的數(shù)據(jù)據(jù)必須每每天備份份一次，每月整整理一次次，備份份方法實(shí)實(shí)行三重重備份方方式，即即本地硬硬盤、移移動(dòng)存儲(chǔ)儲(chǔ)設(shè)備（網(wǎng)絡(luò)硬硬盤）、光盤刻刻錄保存存并進(jìn)行行異地存存儲(chǔ)。備備份介質(zhì)質(zhì)由各部部門自行行準(zhǔn)備，并妥善善保管。計(jì)算機(jī)機(jī)操作系系統(tǒng)應(yīng)使使用正版版軟件，每周打打一次補(bǔ)補(bǔ)丁，每每季度用用Ghoost做做鏡像備備份。應(yīng)應(yīng)用軟件件更新后后，及時(shí)時(shí)用光盤盤刻錄方方式轉(zhuǎn)存存。2.4.2.11.3 每年年元月，各部門門將上一一年的所所有數(shù)據(jù)據(jù)