信息安全管理方針和策略.doc

1、信息安全管理方針和策略范圍公司依據(jù)ISO/IEC27001:2013信息安全管理體系標(biāo)準(zhǔn)的要求編制信息安全管理手冊(cè)，并包括了風(fēng)險(xiǎn)評(píng)估及處置的要求。規(guī)定了公司的信息安全方針及管理目標(biāo)，引用了信息安全管理體系的內(nèi)容。1.1規(guī)范性引用文件下列參考文件的部分或整體在本文檔中屬于標(biāo)準(zhǔn)化引用，對(duì)于本文件的應(yīng)用必不可少。凡是注日期的引用文件，只有引用的版本適用于本標(biāo)準(zhǔn)；凡是不注日期的引用文件，其最新版本（包括任何修改）適用于本標(biāo)準(zhǔn)。ISO/IEC 27000，信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯。1.2術(shù)語(yǔ)和定義ISO/IEC 27000中的術(shù)語(yǔ)和定義適用于本文件。1.3公司環(huán)境1.3.1理解公司及其環(huán)境公司確定與公司業(yè)務(wù)目標(biāo)相關(guān)并影響實(shí)現(xiàn)信息安全管理體系預(yù)期結(jié)果的能力的外部和內(nèi)部問(wèn)題，需考慮：明確外部狀況： 社會(huì)、文化、政治、法律法規(guī)、金融、技術(shù)、經(jīng)濟(jì)、自然和競(jìng)爭(zhēng)環(huán)境，無(wú)論國(guó)際、國(guó)內(nèi)、區(qū)域，還是本地的； 影響組織目標(biāo)的主要?jiǎng)恿挖厔?shì)； 與外部利益相關(guān)方的關(guān)系，外部利益相關(guān)方的觀點(diǎn)和價(jià)值觀。明確內(nèi)部狀況： 治理、組織結(jié)構(gòu)、作用和責(zé)任； 方針、目標(biāo)，為實(shí)現(xiàn)方針和目標(biāo)制定的戰(zhàn)略； 基于資源和知識(shí)理解的能力（如：資金、時(shí)間、人員、過(guò)程、系統(tǒng)和技術(shù)）； 與內(nèi)部利益相關(guān)方的關(guān)系，內(nèi)部利益相關(guān)方的觀點(diǎn)和價(jià)值觀； 組織的文化； 信息系統(tǒng)、信息流和決策過(guò)程（正式與非正式）； 組織所采用的標(biāo)準(zhǔn)、指南和模式； 合同關(guān)系的形式與范圍。明確風(fēng)險(xiǎn)管理過(guò)程狀況： 確定風(fēng)險(xiǎn)管理活動(dòng)的目標(biāo)； 確定風(fēng)險(xiǎn)管理過(guò)程的職責(zé)； 確定所要開(kāi)展的風(fēng)險(xiǎn)管理活動(dòng)的范圍以及深度、廣度，包括具體的內(nèi)涵和外延； 以時(shí)間和地點(diǎn)，界定活動(dòng)、過(guò)程、職能、項(xiàng)目、產(chǎn)品、服務(wù)或資產(chǎn)； 界定組織特定項(xiàng)目、過(guò)程或活動(dòng)與其他項(xiàng)目、過(guò)程或活動(dòng)之間的關(guān)系； 確定風(fēng)險(xiǎn)評(píng)價(jià)的方法； 確定評(píng)價(jià)風(fēng)險(xiǎn)管理的績(jī)效和有效性的方法； 識(shí)別和規(guī)定所必須要做出的決策； 確定所需的范圍或框架性研究，它們的程度和目標(biāo)，以及此種研究所需資源。確定風(fēng)險(xiǎn)準(zhǔn)則： 可以出現(xiàn)的致因和后果的性質(zhì)和類(lèi)別，以及如何予以測(cè)量； 可能性如何確定； 可能性和（或）后果的時(shí)間范圍； 風(fēng)險(xiǎn)程度如何確定； 利益相關(guān)方的觀點(diǎn)； 風(fēng)險(xiǎn)可接受或可容許的程度； 多種風(fēng)險(xiǎn)的組合是否予以考慮，如果是，如何考慮及哪種風(fēng)險(xiǎn)組合宜予以考慮。1.3.2理解相關(guān)方的需求和期望信息安全管理小組應(yīng)確定信息安全管理體系的相關(guān)方及其信息安全要求，相關(guān)的信息安全要求。對(duì)于利益相關(guān)方，可作為信息資產(chǎn)識(shí)別，并根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，制定相應(yīng)的控制措施，實(shí)施必要的管理。相關(guān)方的要求可包括法律法規(guī)要求和合同義務(wù)。1.3.3確定信息安全管理體系范圍本公司ISMS的范圍包括a) 物理范圍：b) 業(yè)務(wù)范圍：計(jì)算機(jī)軟件開(kāi)發(fā)，計(jì)算機(jī)系統(tǒng)集成相關(guān)信息安全管理活動(dòng)。c) 內(nèi)部管理結(jié)構(gòu)：辦公室、財(cái)務(wù)部、研發(fā)部、商務(wù)部、工程部、運(yùn)維部。d) 外部接口：向公司提供各種服務(wù)的第三方1.3.4信息安全管理體系本公司按照ISO/IEC27001:2013標(biāo)準(zhǔn)的要求建立一個(gè)文件化的信息安全管理體系。同時(shí)考慮該體系的實(shí)施、維持、持續(xù)改善，確保其有效性。ISMS體系所涉及的過(guò)程基于PDCA模式。1.4領(lǐng)導(dǎo)力總經(jīng)理應(yīng)通過(guò)以下方式證明信息安全管理體系的領(lǐng)導(dǎo)力和承諾：a) 確保信息安全方針和信息安全目標(biāo)已建立，并與公司戰(zhàn)略方向一致；b) 確保將信息安全管理體系要求融合到日常管理過(guò)程中；c) 確保信息安全管理體系所需資源可用；d) 向公司內(nèi)部傳達(dá)有效的信息安全管理及符合信息安全管理體系要求的重要性；e) 確保信息安全管理體系達(dá)到預(yù)期結(jié)果；f) 指導(dǎo)并支持相關(guān)人員為信息安全管理體系有效性做出貢獻(xiàn)；g) 促進(jìn)持續(xù)改進(jìn)；h) 支持信息安全管理小組及各部門(mén)的負(fù)責(zé)人，在其職責(zé)范圍內(nèi)展現(xiàn)領(lǐng)導(dǎo)力。1.5規(guī)劃1.5.1應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的措施1.5.1.1總則公司針對(duì)公司內(nèi)部和公司外部的實(shí)際情況，和相關(guān)方的要求，確定公司所需應(yīng)對(duì)的信息安全方面的風(fēng)險(xiǎn)。在已確定的ISMS范圍內(nèi)，針對(duì)業(yè)務(wù)全過(guò)程所涉及的所有信息資產(chǎn)進(jìn)行列表識(shí)別。信息資產(chǎn)包括軟件/系統(tǒng)、數(shù)據(jù)/文檔、硬件/設(shè)施、人力資源及外包服務(wù)。對(duì)每一項(xiàng)信息資產(chǎn)，根據(jù)信息資產(chǎn)判斷依據(jù)確定信息資產(chǎn)的重要性等級(jí)并對(duì)其重要度賦值。信息安全管理小組制定信息安全風(fēng)險(xiǎn)評(píng)估管理程序，經(jīng)信息安全管理小組組長(zhǎng)批準(zhǔn)后組織實(shí)施。風(fēng)險(xiǎn)評(píng)估管理程序包括可接受風(fēng)險(xiǎn)準(zhǔn)則和可接受水平。該程序的詳細(xì)內(nèi)容見(jiàn)信息安全風(fēng)險(xiǎn)評(píng)估管理程序。1.5.1.1.1信息安全風(fēng)險(xiǎn)評(píng)估1.5.1.1.1.1風(fēng)險(xiǎn)評(píng)估的系統(tǒng)方法信息安全管理小組制定信息安全風(fēng)險(xiǎn)評(píng)估管理程序，經(jīng)管理者代表審核，總經(jīng)理批準(zhǔn)后組織實(shí)施。風(fēng)險(xiǎn)評(píng)估管理程序包括可接受風(fēng)險(xiǎn)準(zhǔn)則和可接受水平。該程序的詳細(xì)內(nèi)容適用于信息安全風(fēng)險(xiǎn)評(píng)估管理程序。1.5.1.1.1.2資產(chǎn)識(shí)別在已確定的ISMS范圍內(nèi)，對(duì)所有的信息資產(chǎn)進(jìn)行列表識(shí)別。信息資產(chǎn)包括軟件/系統(tǒng)、數(shù)據(jù)/文檔、硬件/設(shè)施及人力資源、服務(wù)等。對(duì)每一項(xiàng)信息資產(chǎn)，根據(jù)信息資產(chǎn)判斷依據(jù)確定信息資產(chǎn)的重要性等級(jí)并對(duì)其重要度賦值。1.5.1.1.1.3評(píng)估風(fēng)險(xiǎn)a) 針對(duì)每一項(xiàng)信息資產(chǎn)、記錄、信息資產(chǎn)所處的環(huán)境等因素，識(shí)別出所有信息資產(chǎn)所面臨的威脅；b) 針對(duì)每一項(xiàng)威脅，識(shí)別出被該威脅可能利用的薄弱點(diǎn)；c) 針對(duì)每一項(xiàng)薄弱點(diǎn)，列出現(xiàn)有的控制措施，并對(duì)控制措施有效性賦值；同時(shí)考慮威脅利用脆弱性的容易程度，并對(duì)容易度賦值；d) 判斷一個(gè)威脅發(fā)生后可能對(duì)信息資產(chǎn)在保密性(C)、完整性(I)和可用性(A)方面的損害，進(jìn)而對(duì)公司業(yè)務(wù)造成的影響，計(jì)算信息資產(chǎn)的安全事件的可能性和損失程度。e) 考慮安全事件的可能性和損失程度兩者的結(jié)合，計(jì)算信息資產(chǎn)的風(fēng)險(xiǎn)值。f) 根據(jù)信息安全風(fēng)險(xiǎn)評(píng)估管理程序的要求確定資產(chǎn)的風(fēng)險(xiǎn)等級(jí)。g) 對(duì)于信息安全風(fēng)險(xiǎn)，在考慮控制措施與費(fèi)用平衡的原則下制定風(fēng)險(xiǎn)接受準(zhǔn)則，按照該準(zhǔn)則確定何種等級(jí)的風(fēng)險(xiǎn)為不可接受風(fēng)險(xiǎn)，該準(zhǔn)則在信息安全風(fēng)險(xiǎn)評(píng)估管理程序有詳細(xì)規(guī)定，并在風(fēng)險(xiǎn)評(píng)估報(bào)告中進(jìn)行系統(tǒng)匯報(bào)并針對(duì)結(jié)果處理意見(jiàn)獲得最高管理者批準(zhǔn)。h) 獲得最高管理者對(duì)建議的殘余風(fēng)險(xiǎn)的批準(zhǔn)，殘余風(fēng)險(xiǎn)應(yīng)該在殘余風(fēng)險(xiǎn)評(píng)價(jià)報(bào)告上留下記錄，并記錄殘余風(fēng)險(xiǎn)處置批示報(bào)告。i) 獲得管理者對(duì)實(shí)施和運(yùn)行ISMS的授權(quán)。ISMS管理者代表的任命和授權(quán)、ISMS文檔的簽署可以作為實(shí)施和運(yùn)作ISMS的授權(quán)證據(jù)。1.5.1.1.2信息安全風(fēng)險(xiǎn)處置1.5.1.1.2.1風(fēng)險(xiǎn)處理方法的識(shí)別與評(píng)價(jià)信息安全管理小組應(yīng)組織有關(guān)部門(mén)根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，形成風(fēng)險(xiǎn)處理計(jì)劃，該計(jì)劃應(yīng)明確風(fēng)險(xiǎn)處理責(zé)任部門(mén)、方法及時(shí)間。對(duì)于信息安全風(fēng)險(xiǎn)，應(yīng)考慮控制措施與費(fèi)用的平衡原則，選用以下適當(dāng)?shù)拇胧篴) 采用適當(dāng)?shù)膬?nèi)部控制措施；b) 接受某些風(fēng)險(xiǎn)（不可能將所有風(fēng)險(xiǎn)降低為零）；c) 回避某些風(fēng)險(xiǎn)（如物理隔離）；d) 轉(zhuǎn)移某些風(fēng)險(xiǎn)（如將風(fēng)險(xiǎn)轉(zhuǎn)移給保險(xiǎn)者、供方、分包商）。1.5.1.1.2.2選擇控制目標(biāo)與控制措施信息安全管理小組根據(jù)信息安全方針、業(yè)務(wù)發(fā)展要求及風(fēng)險(xiǎn)評(píng)估的結(jié)果，組織有關(guān)部門(mén)制定信息安全目標(biāo)。信息安全目標(biāo)應(yīng)獲得總裁的批準(zhǔn)?？刂颇繕?biāo)及控制措施的選擇原則來(lái)源于附錄A。本公司根據(jù)信息安全管理的需要，可以選擇標(biāo)準(zhǔn)之外的其他控制措施。1.5.1.1.2.3適用性聲明SoA信息安全管理小組編制信息安全適用性聲明（SoA）。該聲明包括以下方面的內(nèi)容：a) 所選擇控制目標(biāo)與控制措施的概要描述；b) 對(duì)ISO/IEC 27001:2013附錄A中未選用的控制目標(biāo)及控制措施理由的說(shuō)明。1.5.1.1.2.3殘余風(fēng)險(xiǎn)對(duì)風(fēng)險(xiǎn)處理后的殘余風(fēng)險(xiǎn)應(yīng)形成殘余風(fēng)險(xiǎn)評(píng)估報(bào)告并得到信息安全最高責(zé)任人的批準(zhǔn)。信息安全管理小組應(yīng)保留信息安全風(fēng)險(xiǎn)處置過(guò)程的文件化信息。1.5.2信息安全目標(biāo)和實(shí)現(xiàn)規(guī)劃根據(jù)公司的信息安全方針，經(jīng)過(guò)最高管理者確認(rèn)，公司的信息安全管理目標(biāo)為：顧客保密性抱怨/投訴的次數(shù)不超過(guò)1起/年。受控信息泄露的事態(tài)發(fā)生不超過(guò)3起/年秘密信息泄露的事態(tài)不得發(fā)生。信息安全管理小組根據(jù)適用性聲明、信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估表中風(fēng)險(xiǎn)處理計(jì)劃所選擇的控制措施，明確控制措施改進(jìn)時(shí)間表。對(duì)于各部門(mén)信息安全目標(biāo)的完成情況，按照信息安全目標(biāo)及有效性測(cè)量程序的要求，周期性在主責(zé)部門(mén)對(duì)各控制措施的目標(biāo)進(jìn)行測(cè)量，并記錄測(cè)量的結(jié)果。通過(guò)定期的內(nèi)審、控制措施目標(biāo)測(cè)量及管理評(píng)審活動(dòng)評(píng)價(jià)公司信息安全目標(biāo)的完成情況。1.6支持1.6.1資源總經(jīng)理負(fù)責(zé)確定并提供建立、實(shí)施、保持和持續(xù)改進(jìn)信息安全管理體系所需的資源。1.6.2能力辦公室應(yīng)：a) 確定公司全體員工影響公司信息安全績(jī)效的必要能力；b) 確保上述人員在適當(dāng)?shù)慕逃?、培?xùn)或經(jīng)驗(yàn)的基礎(chǔ)上能夠勝任其工作；c) 適用時(shí)，采取措施以獲得必要的能力，并評(píng)估所采取措施的有效性；d) 保留適當(dāng)?shù)奈募畔⒆鳛槟芰Φ淖C據(jù)。注：適用的措施可包括，對(duì)新入職員工進(jìn)行的信息安全意識(shí)教育；定期對(duì)公司員工進(jìn)行的業(yè)務(wù)實(shí)施過(guò)程中的信息安全管理相關(guān)的培訓(xùn)等。1.6.3意識(shí)公司全體員工應(yīng)了解：a) 公司的信息安全方針；b) 個(gè)人其對(duì)公司信息安全管理體系有效性的貢獻(xiàn)，包括改進(jìn)信息安全績(jī)效帶來(lái)的益處；c) 不符合信息安全管理體系要求帶來(lái)的影響。1.6.4溝通信息安全管理小組負(fù)責(zé)確定與信息安全管理體系相關(guān)的內(nèi)部和外部的溝通需求，包括：a) 溝通內(nèi)容；b) 溝通時(shí)間；c) 溝通對(duì)象；d) 誰(shuí)應(yīng)負(fù)責(zé)溝通；e) 影響溝通的過(guò)程。1.6.5文件化信息1.6.5.1總則公司的信息安全管理體系應(yīng)包括：a) 本標(biāo)準(zhǔn)要求的文件化信息；b) 信息安全管理小組確保信息安全管理體系的有效運(yùn)行，需編制文件控制程序用以管理公司信息安全管理體系的相關(guān)文件。1.6.5.2創(chuàng)建和更新創(chuàng)建和更新文件化信息時(shí)，信息安全管理小組應(yīng)確保適當(dāng)?shù)模篴) 標(biāo)識(shí)和描述（例如標(biāo)題、日期、作者或編號(hào)）；b) 格式（例如語(yǔ)言、軟件版本、圖表）和介質(zhì)（例如紙質(zhì)、電子介質(zhì)）；c) 對(duì)適宜性和充分性的評(píng)審和批準(zhǔn)。1.6.5.3文件化信息的控制信息安全管理體系及本標(biāo)準(zhǔn)所要求的文件化信息應(yīng)予以控制，以確保：a) 在需要的地點(diǎn)和時(shí)間，是可用和適宜的；b) 得到充分的保護(hù)（如避免保密性損失、不恰當(dāng)使用、完整性損失等）。c) 為控制文件化信息，適用時(shí)，科技規(guī)劃部應(yīng)開(kāi)展以下活動(dòng)：d) 分發(fā)，訪問(wèn)，檢索和使用；e) 存儲(chǔ)和保護(hù)，包括保持可讀性；f) 控制變更（例如版本控制）；g) 保留和處置。信息安全管理小組需在文件控制程序中規(guī)劃和運(yùn)行信息安全管理體系所必需的外來(lái)的文件化信息，應(yīng)得到適當(dāng)?shù)淖R(shí)別，并予以控制。1.7運(yùn)行1.7.1運(yùn)行規(guī)劃和控制為確保ISMS有效實(shí)施，對(duì)已識(shí)別的風(fēng)險(xiǎn)進(jìn)行有效處理，本公司開(kāi)展以下活動(dòng)：a) 形成信息安全風(fēng)險(xiǎn)處理計(jì)劃，以確定適當(dāng)?shù)墓芾泶胧?、職?zé)及安全保密控制措施的優(yōu)先級(jí)，應(yīng)特別注意公司外包過(guò)程的確定和控制；對(duì)于系統(tǒng)集成和IT外包運(yùn)維服務(wù)項(xiàng)目，項(xiàng)目經(jīng)理應(yīng)在項(xiàng)目策劃階段識(shí)別所面臨的信息安全風(fēng)險(xiǎn)，并在項(xiàng)目全過(guò)程中對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行監(jiān)控和更新。b) 為實(shí)現(xiàn)已確定的安全保密目標(biāo)、實(shí)施風(fēng)險(xiǎn)處理計(jì)劃，明確各崗位的信息安全職責(zé)；c) 實(shí)施所選擇的控制措施，以實(shí)現(xiàn)控制目標(biāo)的要求；d) 進(jìn)行信息安全培訓(xùn)，提高全員信息安全意識(shí)和能力；e) 對(duì)信息安全體系的運(yùn)作進(jìn)行管理，控制計(jì)劃了的變更，評(píng)審非預(yù)期變更的后果，必要時(shí)采取措施減緩負(fù)面影響；f) 對(duì)信息安全所需資源進(jìn)行管理；g) 實(shí)施控制程序，對(duì)信息安全事故（或事件）進(jìn)行迅速反應(yīng)。總經(jīng)理為本公司信息安全最高責(zé)任者。辦公室制定全公司的組織機(jī)構(gòu)和各部門(mén)的職責(zé)（包括信息安全職責(zé)），并形成文件。信息安全管理小組成員負(fù)責(zé)完成信息安全管理體系運(yùn)行時(shí)必須的任務(wù)；對(duì)信息安全管理體系的運(yùn)行情況和必要的改善措施向信息安全最高責(zé)任者報(bào)告。各部門(mén)負(fù)責(zé)人作為本部門(mén)信息安全的主要責(zé)任人，信息安全內(nèi)審員負(fù)責(zé)指導(dǎo)和監(jiān)督本部門(mén)信息安全管理體系的運(yùn)行與實(shí)施，并形成文件；全體員工都應(yīng)按保密承諾的要求自覺(jué)履行信息安全義務(wù)。各部門(mén)應(yīng)按照信息安全適用性聲明中規(guī)定的安全保密目標(biāo)、控制措施（包括安全保密運(yùn)行的各種控制程序）的要求實(shí)施信息安全控制措施。信息安全管理小組應(yīng)對(duì)滿足信息安全要求及實(shí)施6.1中確定的措施所需的過(guò)程予以規(guī)劃、實(shí)施和控制，同時(shí)應(yīng)實(shí)施計(jì)劃以實(shí)現(xiàn)6.2中確定的信息安全目標(biāo)。信息安全管理小組應(yīng)保持文件化信息達(dá)到必要的程度，以確信過(guò)程按計(jì)劃得到執(zhí)行。信息安全管理小組應(yīng)控制計(jì)劃內(nèi)的變更并評(píng)審非預(yù)期變更的后果，必要時(shí)采取措施減輕負(fù)面影響。各部門(mén)確定本部門(mén)業(yè)務(wù)過(guò)程中的外包活動(dòng)，并對(duì)外包過(guò)程進(jìn)行必要的控制。1.7.2信息安全風(fēng)險(xiǎn)評(píng)估公司按照組織信息安全風(fēng)險(xiǎn)評(píng)估管理程序的要求，每年定期或當(dāng)重大變更提出或發(fā)生時(shí)，執(zhí)行信息安全風(fēng)險(xiǎn)評(píng)估。每次風(fēng)險(xiǎn)評(píng)估的過(guò)程均需形成記錄，并由信息安全管理小組保留每次風(fēng)險(xiǎn)評(píng)估的記錄，如：風(fēng)險(xiǎn)評(píng)估報(bào)告、風(fēng)險(xiǎn)處理計(jì)劃等。1.7.3信息安全風(fēng)險(xiǎn)處置為確保ISMS有效實(shí)施，對(duì)已識(shí)別的風(fēng)險(xiǎn)進(jìn)行有效處理，本公司開(kāi)展以下活動(dòng)：a) 形成風(fēng)險(xiǎn)處理計(jì)劃，以確定適當(dāng)?shù)墓芾泶胧⒙氊?zé)及安全保密控制措施的優(yōu)先級(jí)；b) 為實(shí)現(xiàn)已確定的安全保密目標(biāo)、實(shí)施風(fēng)險(xiǎn)處理計(jì)劃，明確各崗位的信息安全職責(zé)；c) 實(shí)施所選擇的控制措施，以實(shí)現(xiàn)控制目標(biāo)的要求；d) 進(jìn)行信息安全培訓(xùn)，提高全員信息安全意識(shí)和能力；e) 對(duì)信息安全體系的運(yùn)作進(jìn)行管理；f) 對(duì)信息安全所需資源進(jìn)行管理；信息安全管理小組負(fù)責(zé)組織相關(guān)人員，定期檢查風(fēng)險(xiǎn)處理計(jì)劃的執(zhí)行情況，并保留信息安全風(fēng)險(xiǎn)處置結(jié)果的文件化信息。1.8績(jī)效評(píng)價(jià)1.8.1監(jiān)視、測(cè)量、分析和評(píng)價(jià)本公司通過(guò)實(shí)施定期的控制措施實(shí)施有效性檢查、事故報(bào)告調(diào)查處理、電子監(jiān)控、技術(shù)檢查等檢查方式檢查信息安全管理體系運(yùn)行的情況，并報(bào)告結(jié)果以實(shí)現(xiàn)：a) 及時(shí)發(fā)現(xiàn)信息安全體系的事故和隱患；b) 及時(shí)了解信息處理系統(tǒng)遭受的各類(lèi)攻擊；c) 使管理者掌握信息安全活動(dòng)是否有效，并根據(jù)優(yōu)先級(jí)別確定所要采取的措施；d) 積累信息安全方面的經(jīng)驗(yàn)。按照計(jì)劃的時(shí)間間隔（不超過(guò)一年）進(jìn)行ISMS內(nèi)部審核，內(nèi)部審核的具體要求。根據(jù)控制措施有效性檢查和內(nèi)審檢查的結(jié)果以及來(lái)自相關(guān)方的建議和反饋，由最高責(zé)任者主持，每年對(duì)ISMS的有效性進(jìn)行評(píng)審，其中包括信息安全范圍、方針、目標(biāo)及控制措施有效性的評(píng)審。管理者代表應(yīng)組織有關(guān)部門(mén)按照信息安全風(fēng)險(xiǎn)評(píng)估管理程序的要求對(duì)風(fēng)險(xiǎn)處理后的殘余風(fēng)險(xiǎn)進(jìn)行定期評(píng)審，以驗(yàn)證殘余風(fēng)險(xiǎn)是否達(dá)到可接受的水平，對(duì)以下方面變更情況應(yīng)及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估：a) 組織機(jī)構(gòu)發(fā)生重大變更；b) 信息處理技術(shù)發(fā)生重大變更；c) 公司業(yè)務(wù)目標(biāo)及流程發(fā)生重大變更；d) 發(fā)現(xiàn)信息資產(chǎn)面臨重大威脅；e) 外部環(huán)境，如法律法規(guī)或信息安全標(biāo)準(zhǔn)發(fā)生重大變更。保持上述活動(dòng)和措施的記錄。以上活動(dòng)的詳細(xì)程序規(guī)定于以下文件中： 控制措施有效性的測(cè)量程序 信息安全職責(zé)權(quán)限劃分對(duì)照表 信息安全風(fēng)險(xiǎn)評(píng)估管理程序 內(nèi)部審核控制程序1.8.2內(nèi)部審核內(nèi)部信息安全審核主要指內(nèi)部信息安全管理體系審核，其目的是驗(yàn)證公司信息安全管理體系運(yùn)行的符合性和有效性并不斷改進(jìn)和完善公司的信息安全管理體系。1.8.2.1組織審核a) 公司統(tǒng)一組織、管理內(nèi)部信息安全審核工作，信息安全管理小組負(fù)責(zé)制定內(nèi)部審核控制程序并貫徹執(zhí)行；b) 管理者代表負(fù)責(zé)領(lǐng)導(dǎo)和策劃內(nèi)部審核工作，批準(zhǔn)年度內(nèi)審計(jì)劃和追加審核計(jì)劃，批準(zhǔn)審核組成員，批準(zhǔn)審核實(shí)施計(jì)劃，審批年度內(nèi)審報(bào)告；c) 信息安全管理小組負(fù)責(zé)對(duì)審核組長(zhǎng)及成員提名，編制年度審核計(jì)劃和追加審核計(jì)劃，報(bào)管理者代表批準(zhǔn)后執(zhí)行。d) 審核組長(zhǎng)組織和管理內(nèi)部審核工作，根據(jù)實(shí)際情況和重要性安排審核順序?qū)嵤徍?。e) 審核員不應(yīng)審核自己的工作。1.8.2.2實(shí)施審核a) 審核組長(zhǎng)編制的審核計(jì)劃，經(jīng)管理者代表批準(zhǔn)后，負(fù)責(zé)在實(shí)施審核前5天向被審核方發(fā)出書(shū)面審核通知；b) 審核小組按內(nèi)部審核控制程序?qū)嵤徍?；c) 審核員收集客觀證據(jù)，通過(guò)分析整理做出公正判斷，填寫(xiě)內(nèi)審不合格報(bào)告提交審核組長(zhǎng)，并請(qǐng)被審核部門(mén)經(jīng)理在報(bào)告上簽字認(rèn)可。1.8.2.3審核報(bào)告審核組長(zhǎng)應(yīng)在完成全部審核后，按規(guī)定格式編寫(xiě)內(nèi)部管理體系審核報(bào)告提交信息安全管理小組，經(jīng)其審閱后報(bào)管理者代表，內(nèi)部管理體系審核報(bào)告作為管理評(píng)審的輸入證據(jù)。1.8.2.4糾正措施和跟蹤驗(yàn)證a) 被審核部門(mén)經(jīng)理制定糾正措施，填寫(xiě)在內(nèi)審不合格報(bào)告中。b) 糾正措施完成后后，應(yīng)將糾正措施完成情況填寫(xiě)到內(nèi)審不合格報(bào)告相應(yīng)欄內(nèi)，然后將內(nèi)審不合格報(bào)告交到審核組長(zhǎng)。c) 審核組長(zhǎng)視具體情況通知審核組復(fù)查，跟蹤驗(yàn)證糾正措施實(shí)施情況，并將驗(yàn)證結(jié)果填寫(xiě)在內(nèi)審不合格報(bào)告中。1.8.2.5審核記錄審核組長(zhǎng)應(yīng)收集所有內(nèi)部信息安全審核中發(fā)生的計(jì)劃通知、內(nèi)部審核檢查表、記錄、審核報(bào)告、總結(jié)等原始資料，整理后由信息安全管理小組負(fù)責(zé)保管內(nèi)審相關(guān)記錄。1.8.3ISMS管理評(píng)審1.8.3.1總則信息安全最高責(zé)任者為確認(rèn)信息安全管理體系的適宜性、充分性和有效性，每年對(duì)信息安全管理體系進(jìn)行一次全面評(píng)審。該管理評(píng)審應(yīng)包括對(duì)信息安全管理體系是否需改進(jìn)或變更的評(píng)價(jià)，以及對(duì)信息安全方針和信息安全管理目標(biāo)的評(píng)價(jià)。管理評(píng)審的結(jié)果應(yīng)形成書(shū)面記錄，并至少保存3年，按照文件控制程序的要求進(jìn)行受控訪問(wèn)。1.8.3.2管理評(píng)審的輸入在管理評(píng)審時(shí)，信息安全管理小組應(yīng)組織相關(guān)部門(mén)提供以下資料，供信息安全管理最高責(zé)任者和各部門(mén)負(fù)責(zé)人進(jìn)行評(píng)審：a) ISMS體系內(nèi)、外部審核的結(jié)果；b) 相關(guān)方的反饋（投訴、抱怨、建議）；c) 可以用來(lái)改進(jìn)ISMS業(yè)績(jī)和有效性的新技術(shù)、產(chǎn)品或程序；d) 信息安全目標(biāo)達(dá)成情況，糾正和預(yù)防措施的實(shí)施情況；e) 信息安全事故或征兆，以往風(fēng)險(xiǎn)評(píng)估時(shí)未充分考慮到的薄弱點(diǎn)或威脅；f) 上次管理評(píng)審時(shí)決定事項(xiàng)的實(shí)施情況；g) 可能影響信息安全管理體系變更的事項(xiàng)（標(biāo)準(zhǔn)、法律法規(guī)、相關(guān)方要求）；h) 對(duì)信息安全管理體系改善的建議；i) 有效性測(cè)量結(jié)果。1.8.3.3管理評(píng)審的輸出信息安全管理最高責(zé)任者對(duì)以下事項(xiàng)做出必要的指示：a) 信息安全管理體系有效性的改善事項(xiàng)；b) 信息安全方針適宜性的評(píng)價(jià)；c) 必要時(shí)，對(duì)影響信息安全的控制流程進(jìn)行變更，以應(yīng)對(duì)包括以下變化的內(nèi)外部事件對(duì)信息安全體系的影響： 業(yè)務(wù)發(fā)展要求； 信息安全要求； 業(yè)務(wù)流程； 法律法規(guī)要求； 風(fēng)險(xiǎn)水平/可接受風(fēng)險(xiǎn)水平。d) 對(duì)資源的需求。以上內(nèi)容的詳細(xì)規(guī)定見(jiàn)管理評(píng)審控制程序。1.9改進(jìn)1.9.1不符合和糾正措施發(fā)生不符合事項(xiàng)的責(zé)任部門(mén)在查明原因的基礎(chǔ)上制定并實(shí)施相應(yīng)的糾正措施，以消除不符和的原因，防止不符合事項(xiàng)再次發(fā)生。信息安全管理小組負(fù)責(zé)制定糾正措施控制程序并組織問(wèn)題發(fā)生部門(mén)針對(duì)發(fā)現(xiàn)的不符合現(xiàn)象分析原因、制定糾正措施，以消除不符合，并防止不符合的再次發(fā)生。對(duì)糾正措施的實(shí)施和驗(yàn)證規(guī)定以下步驟：a) 識(shí)別不符合；b) 確定不符合的原因；c) 評(píng)價(jià)確保不符合不再發(fā)生的措施要求；d) 確定和實(shí)施所需的糾正措施；e) 記錄所采取措施的結(jié)果；f) 評(píng)審所采取的糾正措施，將重大糾正措施提交管理評(píng)審討論。1.9.2持續(xù)改進(jìn)公司的持續(xù)改進(jìn)是信息安全管理體系得以持續(xù)保持其有效性的保證，公司在其信息管理體系安全方針、安全目標(biāo)、安全審核、監(jiān)視事態(tài)的分析、糾正措施以及管理評(píng)審方面都要持續(xù)改進(jìn)信息安全管理體系的有效性。本公司開(kāi)展以下活動(dòng)，以確保ISMS的持續(xù)改進(jìn)：a) 實(shí)施每年管理評(píng)審、內(nèi)部審核、安全檢查等活動(dòng)以確定需改進(jìn)的項(xiàng)目；b) 按照內(nèi)部審核管理程序、糾正措施管理程序的要求采取適當(dāng)?shù)募m正和預(yù)防措施；c) 吸取其他組織及本公司安全事故的經(jīng)驗(yàn)教訓(xùn)，不斷改進(jìn)安全措施的有效性；d) 對(duì)信息安全目標(biāo)及分解進(jìn)行適當(dāng)?shù)墓芾恚_保改進(jìn)達(dá)到預(yù)期的效果；為了確保信息安全管理體系的持續(xù)有效，各級(jí)管理者應(yīng)通過(guò)適當(dāng)?shù)氖侄伪３衷诠緝?nèi)部對(duì)信息安全措施的執(zhí)行情況與結(jié)果進(jìn)行有效的溝通。包括獲取外部信息安全專(zhuān)家的建議、信息安全政府行政主管部門(mén)、電信運(yùn)營(yíng)商等組織的聯(lián)系及識(shí)別顧客對(duì)信息安全的要求等。如：管理評(píng)審會(huì)議、內(nèi)部審核報(bào)告、公司內(nèi)文件體系、內(nèi)部網(wǎng)絡(luò)和郵件系統(tǒng)、法律法規(guī)評(píng)估報(bào)告等。1.10信息安全管理方針?lè)结樄镜男畔踩芾矸结槪喊踩谝?，預(yù)防為主；全員參與，綜治風(fēng)險(xiǎn)；遵紀(jì)守法，提高績(jī)效；成本可控，持續(xù)發(fā)展。對(duì)于信息安全方針的解釋?zhuān)篴) 滿足客戶要求：滿足顧客的要求是企業(yè)運(yùn)營(yíng)的必然選擇。b) 保障信息安全：信息安全是企業(yè)管理的重中之重。c) 遵守法律法規(guī)：遵守法律法規(guī)是企業(yè)生存之前提，滿足法律法規(guī)及相關(guān)行業(yè)標(biāo)準(zhǔn)/技術(shù)規(guī)范的要求也是本公司必須承擔(dān)的社會(huì)責(zé)任。d) 持續(xù)改進(jìn)管理：控制風(fēng)險(xiǎn)是前提，風(fēng)險(xiǎn)自身是動(dòng)態(tài)的過(guò)程。通過(guò)各種方式提升公司員工的信息安全意識(shí)，提高公司的信息安全管理過(guò)程。本公司承諾提供一切可能的資源與先進(jìn)的技術(shù)，保證信息的保密性、可用性和完整性，有針對(duì)性地采取一切必要的安全措施。使用有效的風(fēng)險(xiǎn)評(píng)估的工具和方法，嚴(yán)格控制風(fēng)險(xiǎn)事故在可接受風(fēng)險(xiǎn)范圍之內(nèi)。制訂周密可靠的應(yīng)急方案并定期進(jìn)行演練，關(guān)鍵信息數(shù)據(jù)異地備份，制訂業(yè)務(wù)連續(xù)性計(jì)劃，以確保業(yè)務(wù)的持續(xù)進(jìn)行。為了滿足適用法律法規(guī)及相關(guān)方要求，維持計(jì)算機(jī)系統(tǒng)集成及服務(wù)、計(jì)算機(jī)應(yīng)用軟件的設(shè)計(jì)開(kāi)發(fā)及服務(wù)活動(dòng)的正常進(jìn)行，本公司依據(jù)ISO/IEC27001:2013標(biāo)準(zhǔn)，建立信息安全管理體系，以保證與公司經(jīng)營(yíng)管理相關(guān)信息的保密性、完整性、可用性和可追溯性，實(shí)現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展的目的。本公司將：a) 在公司內(nèi)各層次建立完整的信息安全管理組織機(jī)構(gòu)，確定信息安全方針、安全保密目標(biāo)和控制措施，明確信息安全的管理職責(zé)；b) 識(shí)別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求；c) 定期進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估，ISMS評(píng)審，采取糾正預(yù)防措施，保證體系的持續(xù)有效性；d) 采用先進(jìn)有效的設(shè)施和技術(shù)，處理、傳遞、儲(chǔ)存和保護(hù)各類(lèi)信息，實(shí)現(xiàn)信息共享；e) 對(duì)全體員工進(jìn)行持續(xù)的信息安全教育和培訓(xùn)，不斷增強(qiáng)員工的信息安全意識(shí)和能力；f) 制定并保持完善的業(yè)務(wù)連續(xù)性計(jì)劃，實(shí)現(xiàn)可持續(xù)發(fā)展。上述方針的批準(zhǔn)、發(fā)布及修訂由公司信息安全最高責(zé)任者負(fù)責(zé)；通過(guò)培訓(xùn)、宣貫等方式使得本公司員工知曉并執(zhí)行相關(guān)內(nèi)容；通過(guò)有效途徑告知服務(wù)相關(guān)方及客戶，以提高安全保密意識(shí)及服務(wù)水平；并定期通過(guò)管理評(píng)審控制程序評(píng)審其適用性、充分性，必要時(shí)予以修訂。組織的角色，職責(zé)和權(quán)限公司經(jīng)營(yíng)管理層決定全公司的組織機(jī)構(gòu)和各部門(mén)的職責(zé)（包括信息安全職責(zé)），并形成文件。各部門(mén)的信息安全管理職責(zé)決定本部門(mén)組織形式和業(yè)務(wù)分擔(dān)，并形成文件?？偨?jīng)理為本公司信息安全最高責(zé)任者。各部門(mén)/項(xiàng)目組負(fù)責(zé)人為本部門(mén)/項(xiàng)目組信息安全管理責(zé)任者，全體員工都應(yīng)按保密承諾的要求自覺(jué)履行信息安全保密義務(wù)；各部門(mén)應(yīng)按照信息安全適用性聲明中規(guī)定的安全目標(biāo)、控制措施（包括安全運(yùn)行的各種控制程序）的要求實(shí)施信息安全控制措施。2、制度與規(guī)范、業(yè)務(wù)流程2.1信息安全與保密管理制度2.1.1為了保證項(xiàng)目網(wǎng)絡(luò)數(shù)據(jù)的安全保密，維持安全可靠的計(jì)算機(jī)應(yīng)用環(huán)境，特制定本規(guī)定。2.1.2凡項(xiàng)目組從事項(xiàng)目管理工作的員工都必須執(zhí)行本規(guī)定。2.1.3項(xiàng)目的合同、需求說(shuō)明、設(shè)計(jì)變更、工作聯(lián)系單、工程洽商單、經(jīng)濟(jì)簽證單、公司內(nèi)部資料等必須由各部門(mén)信息管理員妥善管理，嚴(yán)禁外借，嚴(yán)禁非相關(guān)人員傳閱、查看。2.1.4對(duì)接入計(jì)算機(jī)及設(shè)備，必須符合一下規(guī)定：2.1.4.1在未經(jīng)許可的情況下，不得擅自對(duì)處計(jì)算機(jī)及其相關(guān)設(shè)備的硬件部分進(jìn)行修改、改裝或拆卸配置，包括添加光驅(qū)、軟驅(qū)，掛接硬盤(pán)等讀寫(xiě)設(shè)備，以及增加串口或并口外圍設(shè)備，如掃描儀、打印機(jī)等。2.1.4.2非我項(xiàng)目的計(jì)算機(jī)及任何外設(shè)，不得接入網(wǎng)絡(luò)系統(tǒng)。2.1.4.3嚴(yán)禁私自開(kāi)啟計(jì)算機(jī)機(jī)箱封條或機(jī)箱鎖。2.1.5凡使用項(xiàng)目配備計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的員工，必須遵守以下規(guī)定；2.1.5.1未經(jīng)批準(zhǔn)，嚴(yán)禁非本項(xiàng)目工作人員使用除計(jì)算機(jī)及任何相關(guān)設(shè)備。2.1.5.2對(duì)新上網(wǎng)使用辦公網(wǎng)絡(luò)系統(tǒng)的員工，由辦公室負(fù)責(zé)上崗前的計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備系統(tǒng)安全及信息保密的技術(shù)培訓(xùn)工作。2.1.5.3未經(jīng)批準(zhǔn)，任何人嚴(yán)禁將其以任何形式（如數(shù)據(jù)形式：Internet、軟盤(pán)、光盤(pán)、硬磁盤(pán)等；硬拷貝形式：圖紙打印、復(fù)印、照片等）復(fù)制、傳輸或?qū)ν馓峁?.1.5.4任何員工均不得超越權(quán)限侵入網(wǎng)絡(luò)中未開(kāi)放的信息，不得擅自修改入庫(kù)數(shù)據(jù)資料和修改他人數(shù)據(jù)資料。2.1.6嚴(yán)格執(zhí)行國(guó)家、有關(guān)保密、安全及辦公自動(dòng)化系統(tǒng)的有關(guān)法律、法規(guī)的規(guī)定和要求。各部門(mén)應(yīng)自覺(jué)按照有關(guān)規(guī)定和要求配合做好保密和信息安全工作。2.1.7任何經(jīng)由我公司外網(wǎng)接入互聯(lián)網(wǎng)的員工，必須嚴(yán)格遵守國(guó)家有關(guān)法律、法規(guī)。2.1.8凡使用公司網(wǎng)絡(luò)系統(tǒng)的員工，必須配合網(wǎng)絡(luò)管理員做好防病毒工作。2.1.8.1由辦公室負(fù)責(zé)網(wǎng)絡(luò)防病毒工作。信息維護(hù)員負(fù)責(zé)實(shí)施防病毒的日常管理工作。2.1.8.2凡裝有可與外界進(jìn)行數(shù)據(jù)傳輸?shù)脑O(shè)備的計(jì)算機(jī)，必須安裝防病毒程序，辦公室定期對(duì)防病毒程序進(jìn)行升級(jí)，增強(qiáng)對(duì)病毒的查殺能力。2.1.8.3凡需入網(wǎng)傳輸數(shù)據(jù)的盤(pán)片，由網(wǎng)絡(luò)管理員負(fù)責(zé)檢查、清查計(jì)算機(jī)病毒，確保沒(méi)有病毒后方可傳輸數(shù)據(jù)。2.1.8.4員工在使用過(guò)程中如發(fā)現(xiàn)計(jì)算機(jī)病毒，應(yīng)立即停止進(jìn)行任何程序并報(bào)告網(wǎng)絡(luò)管理員，如遇到現(xiàn)有防病毒程序無(wú)法清殺的病毒，網(wǎng)絡(luò)管理員必須先將受感染的計(jì)算機(jī)從網(wǎng)絡(luò)上隔開(kāi)，協(xié)助員工做好數(shù)據(jù)備份工作，并為用戶恢復(fù)系統(tǒng)。2.1.9分公司辦公室定期對(duì)有關(guān)部門(mén)進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全和數(shù)據(jù)保密檢查，并將檢查結(jié)果向處保密工作小組匯報(bào)。2.1.10涉及項(xiàng)目信息安全與保密的管理人員均需要對(duì)本制度相關(guān)具體要求，進(jìn)行保密工作承諾。2.2文件加密管理制度2.2.1目的 為規(guī)范公司重要文件的安全管理級(jí)別，通過(guò)文件外發(fā)控制以及加密管理，防止公司機(jī)密文件外泄，保障公司信息安全。2.2.2范圍 本管理制度適用于所有安裝加密軟件用戶。2.2.3重要文件定義 需要保護(hù)的公司重要電子文檔包含：公司財(cái)務(wù)數(shù)據(jù)，公司人員信息總表，各部門(mén)培訓(xùn)課件，采購(gòu)部商品分析表，薪資表，工程圖紙，市場(chǎng)部合同信息，公司vip信息匯總表。2.2.4職責(zé)與權(quán)限 所有安裝加密軟件用戶必須按照本制度規(guī)定進(jìn)行執(zhí)行；網(wǎng)管負(fù)責(zé)人負(fù)責(zé)加密軟件的日常維護(hù)，安裝管理，以及加密軟件權(quán)限分配；綜合部負(fù)責(zé)監(jiān)管。2.2.5規(guī)定描述：2.2.5.1文件加密類(lèi)型 目前對(duì)所有安裝加密軟件的用戶電腦的重要文件進(jìn)行加密處理。2.2.5.2文件傳播方式控制2.2.5.3禁止通過(guò)復(fù)制/剪貼方式進(jìn)行外發(fā)信息；2.2.5.4重要文件在創(chuàng)建或編輯時(shí)必須在指定機(jī)器上操作并進(jìn)行加密。所有通過(guò)U盤(pán)、E-mail、QQ、MSN等工具傳送的重要文件，都必須經(jīng)過(guò)部門(mén)主管許可才允許。2.2.5.5公司部提倡遠(yuǎn)程工作及登錄服務(wù)器，如有必要需進(jìn)行申請(qǐng)，開(kāi)放端口，并通過(guò)加密的方式進(jìn)行通訊。2.2.5.6文件外發(fā)控制管理重要文件需要傳遞到?jīng)]有安裝加密軟件用戶或者外發(fā)到公司外部，必須由各部門(mén)制定人員經(jīng)過(guò)加密處理后才允許外發(fā)。.2.2.6對(duì)違反本規(guī)定者按照員工手冊(cè)的有關(guān)規(guī)定處理。2.2.7.本制度由網(wǎng)管員編撰、修改、執(zhí)行，自總經(jīng)理批準(zhǔn)之日起開(kāi)始執(zhí)行。2.3信息安全獎(jiǎng)懲管理辦法2.3.1目的明確信息安全獎(jiǎng)勵(lì)與違規(guī)行為處罰的操作原則，強(qiáng)化執(zhí)行，促進(jìn)員工信息安全意識(shí)提升。2.3.2適用范圍本規(guī)范適用于我公司內(nèi)部信息安全事件的獎(jiǎng)懲。2.3.3定義序號(hào)角色職責(zé)001信息安全事件指識(shí)別出的發(fā)生的系統(tǒng)、服務(wù)或網(wǎng)絡(luò)事件表明可能違反信息安全策略或防護(hù)措施失效；或以前未知的與安全相關(guān)的情況；其中一、二級(jí)信息安全事件稱(chēng)為重大信息安全事件。002信息安全活動(dòng)為培養(yǎng)員工信息安全意識(shí)，提高公司整體安全水平而舉辦的活動(dòng)，形式包括但不限于：考試、培訓(xùn)、宣傳和自查。2.3.4職責(zé)與權(quán)限序號(hào)角色職責(zé)001員工遵守公司信息安全管理制度，積極配合、參與信息安全活動(dòng)。002各部門(mén)信息安全接口人協(xié)助公司信息安全管理制度、產(chǎn)品的宣傳與培訓(xùn)工作；負(fù)責(zé)對(duì)部門(mén)信息安全問(wèn)題進(jìn)行匯總與反饋。003部門(mén)主管是部門(mén)信息安全的直接責(zé)任人，負(fù)責(zé)監(jiān)督和管理本部門(mén)員工的信息安全行為，并對(duì)潛在的信息安全風(fēng)險(xiǎn)進(jìn)行預(yù)警，預(yù)防信息安全事件。004部門(mén)經(jīng)理作為部門(mén)信息安全的間接責(zé)任人，熟悉公司信息安全戰(zhàn)略，并積極推動(dòng)信息安全策略的落地執(zhí)行。005部門(mén)副總對(duì)所負(fù)責(zé)部門(mén)的信息安全事件負(fù)相應(yīng)的管理責(zé)任。006IT部信息安全組對(duì)信息安全事件進(jìn)行跟蹤處理，并確定事件責(zé)任人。007總經(jīng)理最終審批信息安全事件處罰申請(qǐng)。008總經(jīng)理最終審批信息安全事件處罰申請(qǐng)。2.3.5內(nèi)容2.3.5.1獎(jiǎng)勵(lì)、違規(guī)行為處罰原則 及時(shí)激勵(lì)原則對(duì)長(zhǎng)期妥善保護(hù)公司信息資產(chǎn)，有效避免信息資產(chǎn)的遺失、濫用、盜用等，或?qū)τ诖龠M(jìn)信息安全合理共享表現(xiàn)突出的個(gè)人或者集體，將及時(shí)獎(jiǎng)勵(lì)。舉報(bào)保密原則對(duì)于舉報(bào)信息安全違規(guī)行為的人員，將對(duì)其進(jìn)行獎(jiǎng)勵(lì)并嚴(yán)格保護(hù)其個(gè)人資料不公開(kāi)。違規(guī)行為處罰原則 法律追究原則公司所有保密信息均為公司合法資產(chǎn)，受?chē)?guó)家法律法規(guī)保護(hù)。任何損害公司保密信息的行為，公司均有權(quán)追究行為人法律責(zé)任。 違規(guī)分級(jí)原則根據(jù)違規(guī)行為的性質(zhì)、造成的損失和影響的嚴(yán)重程度、違規(guī)人員是否有意對(duì)違規(guī)行為分級(jí)。涉及關(guān)鍵信息資產(chǎn)的，違規(guī)等級(jí)要升級(jí)；一次違反多條信息安全規(guī)定的人員按最高違規(guī)等級(jí)從重處罰；對(duì)多次違反信息安全規(guī)定的人員再次違規(guī)時(shí)要從重處罰。 主動(dòng)從寬原則產(chǎn)生違規(guī)行為后主動(dòng)報(bào)告，積極采取補(bǔ)救措施以減少影響和損失的人員，可減輕處罰；對(duì)問(wèn)題隱瞞不報(bào)或者不及時(shí)上報(bào)而導(dǎo)致違規(guī)影響擴(kuò)大的人員，加重處罰。 過(guò)度防衛(wèi)處罰原則對(duì)阻礙信息合理流動(dòng)與共享的人員要給予處罰。 及時(shí)處理原則對(duì)重大信息安全違規(guī)事件，要及時(shí)處理。任何拖延、推諉不處理的責(zé)任人，要給予問(wèn)責(zé)。2.3.5.2獎(jiǎng)勵(lì)等級(jí)與責(zé)任部門(mén)獎(jiǎng)勵(lì)等級(jí)與措施獎(jiǎng)勵(lì)事跡獎(jiǎng)勵(lì)等級(jí)獎(jiǎng)勵(lì)措施舉報(bào)或者制止泄密、竊密或者其他嚴(yán)重?fù)p害公司利益事件的集體或者個(gè)人一級(jí)根據(jù)具體情況給予8000元集體獎(jiǎng)勵(lì)或者5000元個(gè)人獎(jiǎng)勵(lì)；通報(bào)表?yè)P(yáng)（遵循“舉報(bào)保密原則“淡化事跡并隱藏人員信息）。制止他人違規(guī)行為或者即時(shí)反映可能造成泄密、竊密或者其他重大安全隱患的個(gè)人，以及在信息安全方面做出表率或者突出貢獻(xiàn)的集體二級(jí)根據(jù)具體情況集體獎(jiǎng)5000元或者3000個(gè)人獎(jiǎng)勵(lì)；通報(bào)表?yè)P(yáng)（遵循“舉報(bào)保密原則“淡化事跡并隱藏人員信息）。在信息安全管理中做出貢獻(xiàn)，反映信息安全隱患或者過(guò)度防衛(wèi)被核實(shí)、提出信息安全合理化建議并被采納的個(gè)人，以及在信息安全方面做出貢獻(xiàn)的集體三級(jí)根據(jù)具體情況給予3000元集體獎(jiǎng)勵(lì)或者1000元個(gè)人獎(jiǎng)勵(lì)。獎(jiǎng)勵(lì)責(zé)任部門(mén)1）對(duì)于滿足信息安全獎(jiǎng)勵(lì)標(biāo)準(zhǔn)的集體或者個(gè)人，IT部信息安全組可根據(jù)具體事跡定期進(jìn)行申報(bào)，審批通過(guò)后由綜合部根據(jù)公司財(cái)務(wù)制度進(jìn)行發(fā)放獎(jiǎng)金；2） 各部門(mén)信息安全接口人可自行組織對(duì)本部門(mén)優(yōu)秀信息安全集體或者個(gè)人進(jìn)行獎(jiǎng)勵(lì)。違規(guī)等級(jí)與措施違規(guī)事件違規(guī)等級(jí)處罰措施盜竊、故意泄露公司保密信息的，或故意違反信息安全管理規(guī)定，性質(zhì)嚴(yán)重造成重大影響或者風(fēng)險(xiǎn)一級(jí)1. 直接開(kāi)除，永不錄用；2. 如違反法律法規(guī)由公司法務(wù)部移送公安機(jī)關(guān)處理；如給公司造成相關(guān)損失，須賠償公司損失。3. 全公司范圍內(nèi)通報(bào)處罰決定。故意違反信息安全規(guī)定，性質(zhì)嚴(yán)重；或者造成較大影響或較大風(fēng)險(xiǎn)二級(jí)1. 如給公司造成相關(guān)損失，須賠償公司損失；2. 擔(dān)任公司管理崗位的人員，進(jìn)行降職或者降薪處理；非公司管理崗位的人員，進(jìn)行降薪處理；3. 全公司范圍內(nèi)通報(bào)處罰決定。過(guò)失違反信息安全管理規(guī)定，造成一定影響或者風(fēng)險(xiǎn)的；或者故意違反信息安全管理規(guī)定，但性質(zhì)不嚴(yán)重且沒(méi)有造成嚴(yán)重影響或風(fēng)險(xiǎn)三級(jí)1. 記入關(guān)鍵事件考評(píng)結(jié)果減10分或罰款500元；2. 12個(gè)月內(nèi)2次三級(jí)違規(guī)升級(jí)為1次二級(jí)違規(guī)。3.部門(mén)內(nèi)部通報(bào)處罰決定。過(guò)失違反信息安全管理規(guī)定，性質(zhì)較輕，且造成輕微影響或者風(fēng)險(xiǎn)四級(jí)1.記入關(guān)鍵事件考評(píng)結(jié)果減5分或罰款300元；2.12個(gè)月內(nèi)2次四級(jí)違規(guī)升級(jí)為1次三級(jí)違規(guī)；3.部門(mén)內(nèi)部通報(bào)處罰決定。說(shuō)明：1) 信息安全管理規(guī)定包括公司各部門(mén)正式發(fā)布的信息安全管理制度；2) 上表中“違規(guī)事件“的描述是定性的描述，是違規(guī)事件定級(jí)的參考原則。常見(jiàn)違規(guī)行為所適用違規(guī)等級(jí)具體參考附件1：常見(jiàn)違規(guī)行為及其適用處罰等級(jí)舉例，其他違規(guī)行為所使用等級(jí)可參考舉例進(jìn)行認(rèn)定。責(zé)任判定1）發(fā)生一、二級(jí)重大信息安全事件違規(guī)時(shí)，違規(guī)者直接上級(jí)和部門(mén)經(jīng)理承擔(dān)直接和間接責(zé)任，部門(mén)副總須承擔(dān)連帶管理責(zé)任，并按照常見(jiàn)違規(guī)行為及其適用處罰等級(jí)舉例V1.0適用條款進(jìn)行處罰；2）對(duì)于三、四級(jí)信息安全違規(guī)，根據(jù)以下條件判斷責(zé)任人直接上級(jí)是否連帶處罰： 員工無(wú)意違規(guī)，且責(zé)任人領(lǐng)導(dǎo)未進(jìn)行審批授權(quán)的，不進(jìn)行連帶處罰； 員工無(wú)意違規(guī)，但責(zé)任人領(lǐng)導(dǎo)進(jìn)行包庇的，在事實(shí)確認(rèn)的基礎(chǔ)上，進(jìn)行連帶處罰； 若所管理部門(mén)一個(gè)月內(nèi)發(fā)生2次（含）以上故意違規(guī)或者4次（含）以上無(wú)意違規(guī)事件，對(duì)直接上級(jí)進(jìn)行連帶處罰。處罰責(zé)任部門(mén)處罰等級(jí)處罰責(zé)任人批準(zhǔn)申訴一級(jí)總經(jīng)理/綜合部二級(jí)總經(jīng)理/綜合部三級(jí)部門(mén)分管副總IT部信息安全組綜合部四級(jí)部門(mén)分管副總IT部信息安全組綜合部說(shuō)明：1）對(duì)于各類(lèi)違規(guī)行為處罰應(yīng)當(dāng)慎重，應(yīng)建立在客觀事實(shí)的基礎(chǔ)上給出處罰意見(jiàn)。根據(jù)違規(guī)行為性質(zhì)、造成的損失和影響的大小，IT部信息安全組有權(quán)要求對(duì)當(dāng)事人加重或者減輕處罰；2）發(fā)現(xiàn)可疑事件的組織作為事件調(diào)查和處理的責(zé)任部門(mén)。為了加快一級(jí)違規(guī)行為的處理進(jìn)度，溝通時(shí)限和批準(zhǔn)期限都是2天；3）在違規(guī)事件處理過(guò)程中，IT部信息安全組協(xié)助與監(jiān)督處罰責(zé)任人完成處罰執(zhí)行工作。處罰責(zé)任人或其授權(quán)人員要做好與違規(guī)員工的溝通工作。對(duì)違規(guī)處罰過(guò)程中出現(xiàn)的拖延、推諉行為，IT部信息安全組可以行使否決權(quán)。維護(hù)與解釋1）本規(guī)定發(fā)布之日起生效；2）本規(guī)定由信息安全組至少每?jī)赡陮徱曇淮?，根?jù)審核結(jié)果修訂標(biāo)準(zhǔn)并頒布執(zhí)行；3）本規(guī)定解釋權(quán)歸信息安全組。2.4計(jì)算機(jī)數(shù)據(jù)備份管理規(guī)定 為保證本公司計(jì)算機(jī)所保存的數(shù)據(jù)和信息安全，加強(qiáng)和規(guī)范公司計(jì)算機(jī)數(shù)據(jù)和信息管理，特制定本規(guī)定。本辦法適用于公司所有使用計(jì)算機(jī)進(jìn)行日常辦公、信息化系統(tǒng)操作、自動(dòng)化控制系統(tǒng)操作的部門(mén)與員工，本規(guī)定自下發(fā)之日起執(zhí)行。2.4.1職責(zé)2.4.1.1 計(jì)算機(jī)使用者負(fù)責(zé)所使用計(jì)算機(jī)的數(shù)據(jù)備份操作，涉及到信息監(jiān)控系統(tǒng)、自動(dòng)化控制系統(tǒng)用計(jì)算機(jī)，有關(guān)單位和部門(mén)要指定專(zhuān)人負(fù)責(zé)。2.4.1.2 各單位、部門(mén)的負(fù)責(zé)人是本部門(mén)數(shù)據(jù)備份管理、信息安全管理的第一責(zé)任人。各部門(mén)負(fù)責(zé)人要了解本部門(mén)需要備份的數(shù)據(jù)內(nèi)容與類(lèi)型，落實(shí)備份要求，防范可能出現(xiàn)的數(shù)據(jù)風(fēng)險(xiǎn)，對(duì)本部門(mén)數(shù)據(jù)備份情況要進(jìn)行不定期抽查，對(duì)不按規(guī)定備份要立即予以糾正。2.4.1.3 研發(fā)部網(wǎng)絡(luò)管理員負(fù)責(zé)公司各部門(mén)數(shù)據(jù)備份技術(shù)支持、培訓(xùn)、監(jiān)督核查工作。2.4.2數(shù)據(jù)備份管理2.4.2.1 備份方法及要求2.4.2.1.1 數(shù)據(jù)備份采用人工備份的方式，備份分重要數(shù)據(jù)備份、重要文檔資料備份、信息監(jiān)控系統(tǒng)數(shù)據(jù)庫(kù)原始數(shù)據(jù)備份、計(jì)算機(jī)操作系統(tǒng)備份、應(yīng)用軟件備份。所有備份工作必須由操作人員做詳細(xì)記錄，要求記錄備份的內(nèi)容、時(shí)間及次數(shù)。2.4.2.1.2 計(jì)算機(jī)需要備份的數(shù)據(jù)、文檔資料要隨時(shí)歸檔備份并異地存放, 每周至少備份一次，日新增數(shù)據(jù)量大、財(cái)務(wù)、銷(xiāo)售、經(jīng)營(yíng)調(diào)度等部門(mén)的數(shù)據(jù)必須每天備份一次，每月整理一次，備份方法實(shí)行三重備份方式，即本地硬盤(pán)、移動(dòng)存儲(chǔ)設(shè)備（網(wǎng)絡(luò)硬盤(pán)）、光盤(pán)刻錄保存并進(jìn)行異地存儲(chǔ)。備份介質(zhì)由各部門(mén)自行準(zhǔn)備，并妥善保管。計(jì)算機(jī)操作系統(tǒng)應(yīng)使用正版軟件，每周打一次補(bǔ)丁，每季度用Ghost做鏡像備份。應(yīng)用軟件更新后，及時(shí)用光盤(pán)刻錄方式轉(zhuǎn)存。2.4.2.1.3 每年元月，各部門(mén)將上一年的所有數(shù)據(jù)分類(lèi)，完整、真實(shí)、準(zhǔn)確地以刻錄光盤(pán)的形式存檔，然后交由部門(mén)負(fù)責(zé)人保管。2.4.2.1.4 應(yīng)定期檢查備份介質(zhì)的可用性，若發(fā)現(xiàn)介質(zhì)已經(jīng)不能使用，應(yīng)及時(shí)更換新介質(zhì)并對(duì)重要數(shù)據(jù)進(jìn)行轉(zhuǎn)存處理。2.4.2.1.5 備份數(shù)據(jù)資料保管地點(diǎn)必須滿足防火、防熱、防潮、防塵、防盜等條件，并指定專(zhuān)人保存。2.4.2.1.6 計(jì)算機(jī)需要重裝操作系統(tǒng)時(shí)，必須自行確認(rèn)其系統(tǒng)所在硬盤(pán)所有盤(pán)符中重要數(shù)據(jù)有異地備份，以防止意外發(fā)生（有少數(shù)計(jì)算機(jī)會(huì)因病毒、硬盤(pán)損壞或是磁盤(pán)分區(qū)問(wèn)題，存在重裝系統(tǒng)后若干磁盤(pán)打不開(kāi)提示格式化現(xiàn)象）。2.4.2.1.7 研發(fā)部軟件開(kāi)發(fā)代碼及文檔備份必須同時(shí)滿足本地及云端要求。2.4.2.2 關(guān)于數(shù)據(jù)丟失2.4.2.2.1 網(wǎng)絡(luò)管理員在對(duì)各部門(mén)備份數(shù)據(jù)核查的過(guò)程中，發(fā)現(xiàn)數(shù)據(jù)未備份或是備份不及時(shí)、不完整的情況，應(yīng)及時(shí)指出，并向全公司通報(bào)。2.4.2.2.2 因可控的人為原因造成重要數(shù)據(jù)（例如行政辦公、技術(shù)、銷(xiāo)售、人事及財(cái)務(wù)等）遺失的，公司根據(jù)損失情況將對(duì)責(zé)任人進(jìn)行嚴(yán)厲處罰，涉及到企業(yè)安全的，依法追究刑事責(zé)任。2.4.2.2.3 如因違反計(jì)算機(jī)數(shù)據(jù)備份管理規(guī)定，造成備份數(shù)據(jù)不完整或丟失，由此造成的損失及數(shù)據(jù)恢復(fù)費(fèi)用由各部門(mén)自己承擔(dān)。2.4.2.2.4 各部門(mén)統(tǒng)一由研發(fā)部安裝正版網(wǎng)絡(luò)殺毒軟件，并定期更新病毒數(shù)據(jù)庫(kù)和定期查殺毒，如果因殺毒軟件誤操作破壞數(shù)據(jù)，各部門(mén)應(yīng)保持原始狀態(tài)，由研發(fā)部聯(lián)系殺毒軟件服務(wù)商進(jìn)行數(shù)據(jù)恢復(fù)。2.4.3 數(shù)據(jù)保密2.4.3.1 根據(jù)公司保密要求，嚴(yán)禁外泄備份的數(shù)據(jù)，否則以故意泄露公司商業(yè)機(jī)密論處。2.4.3.2 除公司數(shù)據(jù)備份管理人員外，任何人無(wú)權(quán)詢問(wèn)、刺探、破解其他部門(mén)數(shù)據(jù)備份的信息內(nèi)容。2.4.3.3 員工離職時(shí)，必須將重要數(shù)據(jù)與本部門(mén)相關(guān)人員交接清楚。2.4.3.4 外請(qǐng)計(jì)算機(jī)維護(hù)人員進(jìn)行系統(tǒng)維護(hù)時(shí)，本部門(mén)人員必須全程陪同并監(jiān)督，嚴(yán)禁維護(hù)人員以任何形式拷貝任何資料。2.5服務(wù)器安全管理辦法2.5.1總則為本公司業(yè)務(wù)正常運(yùn)行，特制定本管理辦法。2.5.2日常管理第二條 服務(wù)器由維護(hù)組人員進(jìn)行管理并授權(quán)與建站服務(wù)相關(guān)的人員使用，明確各自服務(wù)器的用途、應(yīng)用范圍及使用對(duì)象，并對(duì)整個(gè)系統(tǒng)資源進(jìn)行合理的規(guī)劃。第三條 服務(wù)器管理員和服務(wù)器使用人員應(yīng)遵守服務(wù)器安裝工作流程，從系統(tǒng)劃分、安全設(shè)置等方面規(guī)范管理工作。第四條 系統(tǒng)管理員負(fù)責(zé)各自服務(wù)器的日常管理和維護(hù)，主要有：用戶帳戶的管理、網(wǎng)絡(luò)管理、數(shù)據(jù)庫(kù)管理、服務(wù)器系統(tǒng)運(yùn)行狀態(tài)的監(jiān)控、以及各應(yīng)用系統(tǒng)使用資源情況統(tǒng)計(jì)，并合理地分配系統(tǒng)資源。第五條 服務(wù)器使用員負(fù)責(zé)對(duì)自己上傳的網(wǎng)站或文件進(jìn)行日常的管理和維護(hù)，主要有文件的更新，修改，網(wǎng)站及網(wǎng)站相關(guān)的文件和代碼安全和漏洞的檢查和管理，病毒和木馬的清除。第六條 為確保系統(tǒng)安全性、可靠性及文件、數(shù)據(jù)的一致性和完整性，必須對(duì)系統(tǒng)進(jìn)行備份工作。管理員根據(jù)各自服務(wù)器的情況，制定出相應(yīng)的備份及恢復(fù)策略，定期進(jìn)行備份。第七條 系統(tǒng)管理員要深入了解系統(tǒng)的工作原理，不斷提高系統(tǒng)