ISOIEC 38505-1 2017數(shù)據(jù)治理表單一整套

筆記本電腦1類別驗收部門綜合部調試結果可以是否需要退貨驗收日期打印機1類別驗收部門綜合部是否需要調試調試結果可以是否需要退貨驗收日期巡查內容：漏洞更新、病毒查殺、系統(tǒng)漏洞、故障。查殺工具：亞信殺毒軟件。巡查頻率：抽查/每月管理人電腦類型執(zhí)行人員臺式組裝機殺毒軟件病毒庫日期為2019-02-10,授權許可已過期卸載卡巴斯基、重新安裝360殺毒軟件及防毒軟件。設置自動修復及定時臺式組裝機正常(病毒庫、系統(tǒng)都已經(jīng)定時更新、病毒已經(jīng)按計劃定時查殺)臺式組裝機系統(tǒng)補丁未及時更新，發(fā)現(xiàn)存在5個系統(tǒng)漏洞，其中包括0作系統(tǒng)進行了系統(tǒng)補丁更新。并對系統(tǒng)設置了定期自動臺式組裝機正常臺式組裝機正常臺式組裝機正常臺式組裝機正常臺式組裝正常機臺式組裝機系統(tǒng)補丁未及時更新，發(fā)現(xiàn)存在2個系統(tǒng)漏洞。補丁更新。并對系統(tǒng)設置了定期自動臺式組裝機正常臺式組裝機正常臺式組裝機未安裝殺毒軟件安全衛(wèi)生殺毒軟件臺式組裝機正常臺式組裝機正常臺式組裝機未設置密碼進入系統(tǒng)立刻要求設置用戶臺式組裝機正常臺式組裝機正常臺式組裝機正常臺式組裝機正常臺式組裝機正常臺式組裝機殺毒軟件未及時更新病毒庫更新病毒庫臺式組裝機正常臺式組裝機系統(tǒng)盤爆滿臺式組裝機正常臺式組裝機正常臺式組裝機正常臺式組裝機系統(tǒng)補丁未更新臺式組裝機正常臺式組裝機正常臺式組裝機正常臺式組裝機殺毒軟件未及時更新病毒庫更新病毒庫臺式組裝機正常臺式組裝機系統(tǒng)盤爆滿用360電腦助手及時清理冗余文件。臺式組裝機正常臺式組裝機正常臺式組裝機正常臺式組裝機系統(tǒng)補丁未更新臺式組裝機正常臺式組裝機正常臺式組裝機正常臺式組裝機系統(tǒng)補丁未更新臺式組裝機正常臺式組裝機正常臺式組裝機正常臺式組裝機正常臺式組裝機正常臺式組裝機正常臺式組裝機正常臺式組裝機正常臺式組裝機正常序號申請日期變更部門變更原因變更類別變1綜合部解決一些系增加檔案系統(tǒng)新的功能增加檔案系統(tǒng)新的功能注：1、變更類別分為IT設備變更、操作系統(tǒng)軟件變更、自行開發(fā)軟件變更。2、變更過程需記錄變更前后的情況。郵箱地址管理員啟用日期1黃偉黃偉2weibin.cai@3王哲王哲4xiaohui.wang@bjchydat5baozhe.niu@bjchydata.c67wenxiang.fan@范文祥范文祥8yuhang.huang@bjchyda9kun.zhang@bjchydata張坤張坤供應商名稱：供應物資：辦公用品聯(lián)系人京東客服電話/傳真：地址：評審內容1供貨能力基本滿足■不滿足□2成批供應■零散供應口3提供產(chǎn)品質量4服務情況5按時交貨情況較好■一般口較差口6是否影響信息安全■不影響□影響調查結論：基本符合我公司合格供應商的要求。提交人：日期：2023/12/6門評價意見評審人簽字評審時間銷售部綜合實力強，長期合作單位綜合部付款方式可接受技術部供應產(chǎn)品質量穩(wěn)定評審結論：同意將該供應商列為我公司合格供應商?？偨?jīng)理：日期：2023/12/6復評審復評審結果復評人時間2024年度是否繼續(xù)保持為合格供方2025年度是否繼續(xù)保持為合格供方2026年度是否繼續(xù)保持為合格供方序號恢復數(shù)據(jù)恢復時間結果備注核心業(yè)務系統(tǒng)銷售資料文檔核心業(yè)務系統(tǒng)銷售資料文檔核心業(yè)務系統(tǒng)銷售資料文檔核心業(yè)務系統(tǒng)銷售資料文檔核心業(yè)務系統(tǒng)銷售資料文檔核心業(yè)務系統(tǒng)銷售資料文檔2023年度培計劃時間責任部門數(shù)據(jù)治理管理體系標準培訓管理人員2023年11月管理人員2023年12月編制：審核：周靜批準：日期：2023-11-82024年度培號：***-&&&&-B-15-001序號計劃時間責任部門數(shù)據(jù)治理內審員培訓內審員2024年1月管理者代表管理人員2024年2月數(shù)據(jù)治理風險評估培訓管理人員2024年3月管理制度及作業(yè)文件管理人員2024年4月數(shù)據(jù)保密制度管理人員2024年5月技術人員2024年6月數(shù)據(jù)設施的維護技術人員2024年7月知識產(chǎn)權的保護技術人員2024年8月故障處理培訓技術人員2024年9月保密措施培訓技術人員2024年10月數(shù)據(jù)治理管理體系標準培訓管理人員2024年11月管理人員2024年12月編制：審核：批準：日期：2024-1-3編號：001軟件名稱：涉密電腦日期：2023-12-261、運行視頻監(jiān)控系統(tǒng)；2、輸入選擇“1”,輸入軟件測試工程師資料；3、輸入工程師的籍貫時輸入“aaaaaaaaaaaaaaa”,超過10個字符不提示錯誤。編號：002軟件名稱：涉密電腦版本號：2.0日期：2024-01-11缺陷概述：輸入工程師資料時工齡輸入“0”或負數(shù)不提示錯誤詳細描述：1、運行視頻監(jiān)控系統(tǒng)；2、輸入選擇“1”,輸入軟件測試工程師資料；3、輸入工程師工齡時輸入“0”或“-4”,不提示錯誤。日志配置要求系統(tǒng)類型設備類型日志內容保存周期檢查周期1、用戶標識符(ID)3、成功的或失敗的登錄試圖≥6個月≥6個月安全掃描系統(tǒng)≥6個月網(wǎng)絡系統(tǒng)系統(tǒng)配置更改日志≥6個月≥6個月審核組長(成員)任命書根據(jù)公司數(shù)據(jù)治理管理規(guī)定，擬于2024-3-19日對公司進行為審核組成員，并做以下工作：1.于2024-3-12前提出此次審核計劃上報管理者代表審批；2.于2024-3-26前向管理者代表提交審核報告?？偨?jīng)理：黃偉編號備注3年3年數(shù)據(jù)治理風險評估計劃3年數(shù)據(jù)治理風險處置計劃數(shù)據(jù)治理風險評估報告數(shù)據(jù)治理剩余風險評估報告容量需求規(guī)劃方案外來文件清單不符合項報告審核組長(成員)任命書內部審核計劃內審簽到表內審檢查表內部審核報告內部審核報告發(fā)放記錄數(shù)據(jù)治理管理體系運行情況報告1年管理評審計劃管理評審會議簽到表管理評審會議記錄管理評審報告管理評審改進措施實施計劃1年數(shù)據(jù)安全事件調查處理報告懲戒申報單獎勵建議書員工崗位能力評價表人力資源年度發(fā)展規(guī)劃外來人員來訪登記表辦公電腦巡查記錄表計算機軟件安裝說明書筆記本外帶使用登記表電子郵箱一覽表電子郵箱使用情況檢查表系統(tǒng)訪問權限說明書驗收報告日志配置要求日志審核記錄數(shù)據(jù)治理目標及測量計劃編制：審核：序號文件編號文件名稱類備注一級二級二級二級糾正預防措施控制程序二級二級內部審核管理程序二級管理評審程序二級二級商業(yè)秘密管理程序二級二級知識產(chǎn)權管理程序二級二級二級二級二級二級二級網(wǎng)絡設備安全配置管理程序二級二級電子郵件管理程序二級二級二級二級二級二級二級二級二級口令控制策略電子郵件策略網(wǎng)絡訪問策略網(wǎng)絡配置安全策略即時通軟件使用策略涉密計算機安全保密責任書內部審核方案編制：審核：中國信息通信研究院北京市海淀區(qū)學院路40號北京市通信與互聯(lián)網(wǎng)協(xié)會西城區(qū)廣安門外大街383號部門日期：2024-3-27評審項目(1)數(shù)據(jù)治理管理方針適用性，目標的測量；數(shù)據(jù)治理管理方針和目標測量在本公司有效實施，符合目前公司的實際情況。(2)管理體系的審核結果，包括內審、外審結果及其它形式的審核結果；內審發(fā)現(xiàn)的問題，及時得以糾正；(3)用于改善數(shù)據(jù)治理管理體系性能和有效性的行等；無(4)改進、預防和糾正措施的狀況，包括對內部審核和日常發(fā)現(xiàn)的不合格項采取的糾正和預防措施的實施及其有效性的監(jiān)控結目前未發(fā)現(xiàn)糾正預防工作的失效.(5)以前風險評估中沒有充分表達的威脅和薄弱點，以及風險的重新評估；暫無發(fā)現(xiàn).(6)可能影響到數(shù)據(jù)治理管理體系的變更，包括公司組織結構、資源配置發(fā)生商業(yè)運作流程發(fā)生變化、數(shù)據(jù)治理法律、法規(guī)發(fā)生變等；無編制：審核：批準：筆記本電腦USB端口移動介質使用規(guī)定√殺毒軟件版本病毒防范規(guī)定√操作系統(tǒng)管理規(guī)定√√資產(chǎn)標簽資產(chǎn)清單√帶出物品管理帶出物品申請一覽表√臺式電腦USB端口移動介質使用規(guī)定√殺毒軟件版本病毒防范規(guī)定√操作系統(tǒng)管理規(guī)定√資產(chǎn)標簽資產(chǎn)清單√√網(wǎng)絡管理網(wǎng)絡服務使用規(guī)定√由于網(wǎng)絡故障導致部門業(yè)務中斷次數(shù)√小組√年底工作計劃一√年度工作總結一√職-√-√√打印登記表√公共管理電子郵件電子郵箱一覽表(通訊錄)√√一√檢查日期：2024-3-28筆記本電腦USB端口移動介質使用規(guī)定√殺毒軟件版本病毒防范規(guī)定√操作系統(tǒng)管理規(guī)定√√資產(chǎn)標簽資產(chǎn)清單√帶出物品管理帶出物品申請一覽表√臺式電腦USB端口移動介質使用規(guī)定√殺毒軟件版本病毒防范規(guī)定√操作系統(tǒng)管理規(guī)定√資產(chǎn)標簽資產(chǎn)清單√√網(wǎng)絡管理網(wǎng)絡服務使用規(guī)定√由于網(wǎng)絡故障導致部門業(yè)務中斷次數(shù)√小組一√年底工作計劃-√年度工作總結一√職一√一√一√打印登記表√公共管理電子郵件電子郵箱一覽表(通訊錄)√√一√外來人員來訪登記表:日期訪問人員接待人員接待部門綜合部綜合部客戶、內部員工允許登錄那些系統(tǒng)或系統(tǒng)的那級(訪問權限的級別和范圍),分類說明日志審核員操作員審核員內部員客戶一級二級四級二級三級三級無無一級二級四級二級三級三級三級四級安全掃描一級二級四級二級無無四級四級郵箱一級二級四級二級三級三級三級無權限說明：一級：管理員級別，具有賬號分配管理、數(shù)據(jù)讀寫、系統(tǒng)配置、數(shù)據(jù)備份等權限；二級：具有讀寫、系統(tǒng)配置、數(shù)據(jù)備份權限；三級：具有讀寫權限；四級：具有只讀權限；各部門的權限說明表只是說明部門對各個系統(tǒng)的最高權限職能范圍的說明，但不代表該部門全部成員都一定需要配置相應的權限，相關權限的授權以個別需要調整的需要向綜合部申請并在綜合部門備案評估后執(zhí)行。序號受訪設備名稱使用者項目ID申請日期使用期12345編號：***-&&&&-B-14-001報告部門銷售部報告人員處理人員時間發(fā)生時間處理時間事件解決時間事件等級信息密級公開級別公眾影響要素無影響無影響資產(chǎn)損失要素無損失綜合等級低級外圍保障設施故障外部人員無意事件處理過程及結果使用殺毒軟件查殺病毒，重新安裝Word程發(fā)生原因分析糾正必要的處罰數(shù)據(jù)治理管理體系(ISO/IEC38505-1:2017)總經(jīng)理合格管理者代表合格技術部合格銷售部合格綜合部合格有效性評價：經(jīng)過培訓，上述人員對所學知識有進一步的認識和提高，經(jīng)提問的現(xiàn)場操作，考核合格，合格率100%,本次培訓有效!簽名：酈勝藍黃偉總經(jīng)理合格管理者代表合格技術部合格銷售部合格綜合部合格有效性評價：經(jīng)過培訓，上述人員對所學知識有進一步的認識和提高，經(jīng)提問的現(xiàn)場操作，考核合格，合格率100%,本次培訓有效!管理者代表合格技術部合格銷售部合格綜合部合格有效性評價：經(jīng)過培訓，上述人員對所學知識有進一步的認識和提高，經(jīng)提問的現(xiàn)場操作，考核合格，合格率100%,本次培訓有效!考核方式：問答黃偉總經(jīng)理管理者代表技術部銷售部綜合部有效性評價：經(jīng)過培訓，上述人員對所學知識有進一步的認識和提高，經(jīng)提問的現(xiàn)場操作，考核合格，合格率100%,本次培訓有效!簽名：酈勝藍考核方式：問答黃偉總經(jīng)理管理者代表技術部銷售部綜合部有效性評價：經(jīng)過培訓，上述人員對所學知識有進一步的認識和提高，經(jīng)提問的現(xiàn)場操作，考核合格，合格率100%,本次培訓有效!簽名：酈勝藍考核方式：問答黃偉總經(jīng)理管理者代表技術部銷售部綜合部合格合格，合格率100%,本次培訓有效!簽名：酈勝藍查表時間檢查項目下半年000《電子郵箱申請表》和《電子郵箱一覽表》的一致性其他檢查情況：檢查人員時間檢查項目《電子郵箱申請表》和《電子郵箱一覽表》的一致性年其他檢查情況：無評審目的：一.對數(shù)據(jù)治理管理體系的適宜性、充分性和有效性等進行評價。二.對是否需要更改企業(yè)的數(shù)據(jù)治理管理體系質量方針和目標做出評價。三.對數(shù)據(jù)治理管理體系的現(xiàn)行狀況和改進機會進行評價。四.對申請認證審核的可行性提供依據(jù)。評審時間：2024-3-27地點：公司會議室管理評審輸入序號主要匯報部門1成情況；2內、外部審核結果和合規(guī)性評價的結果；3預防措施與糾正措施實施狀況；4風險評估未考慮的威脅和薄弱點；5有效性測量、考核情況及建議；6數(shù)據(jù)治理管理體系變更和改進的建議7銷售部8技術部9當前的人員和技術能力綜合部各部門需準備資料(包括口頭發(fā)言和建議):a)數(shù)據(jù)治理管理體系運行的改進建議；b)本部門相關的外部反饋意見；c)本部門改進數(shù)據(jù)治理管理體系績效的技術、產(chǎn)品和程序；d)預防和糾正措施的實施情況；e)本部門相關的有效性測量、考核情況及建議；f)風險評估未考慮的威脅和薄弱點；g)提供的資源滿足需要的情況；h)與本部門相關的其它情況；i)數(shù)據(jù)治理管理體系變更和改進的建議。j)顧客反饋1)當前的人員和技術能力采購范圍評審時間北京京東世紀信息技術有限公司辦公用品京東客服審核目的：檢查公司試運行數(shù)據(jù)治理管理體系四個月以來，內部數(shù)據(jù)治理管理體系涉及各部門的活動是否符合計劃安排及規(guī)定要求；數(shù)據(jù)治理管理體系是否有效地保持、實施和改進，為審核范圍：審核依據(jù)：在數(shù)據(jù)治理中的應用審核組成員：審核時間：計劃安排：日期時間審核員首次會議全體審核員構的職責、4.3治理機構的監(jiān)督機制、性、6.1總則、6.2收集、6.3獲取、6.4報告、6.5決定、6.6分發(fā)、6.7處置、7.1總則、7.2責任、7.3戰(zhàn)略、7.4收購、7.5績效、7.6人的行為、部要求、8.4評估、8.5監(jiān)測、9.1總則、9.2價值、9.3風險、9.4規(guī)則、10數(shù)據(jù)責任圖的應用綜合部6.2收集、7.2責任、7.7人的行為、10數(shù)據(jù)責任圖的應用銷售部7.2責任、7.7人的行為、10數(shù)據(jù)責任圖的應用技術部7.2責任、7.7人的行為、10數(shù)據(jù)責任圖的應用審核組內部會議，與領導層溝通編制：周靜批準：日期：2024-3-11日志審核記錄設備名1正常正常無/2正常正常無/3正常正常無/4正常正常無/5正常正常無/6正常正常無/文件名稱密級保管日期/絕密即時更新綜合部即時更新合同/機密即時更新綜合部即時更新協(xié)議合同/機密即時更新綜合部即時更新報告/機密即時更新綜合部即時更新/機密即時更新綜合部即時更新憑證/機密即時更新綜合部即時更新/機密即時更新銷售部即時更新銷售數(shù)據(jù)/機密即時更新銷售部即時更新資料/涉密即時更新銷售部即時更新/涉密即時更新綜合部即時更新月度匯總表、利潤預測/涉密即時更新綜合部即時更新/涉密即時更新銷售部即時更新/機密即時更新技術部即時更新“絕密事項”和“機密事項”的判斷為公司的涉密文件A)“絕密事項”:是指不可對外公開、若泄露或被篡改會對本公司的生產(chǎn)經(jīng)營造成嚴重損害，或者由于業(yè)務上的需要僅限有關人員知道的事項；B)“機密事項”:是指為了日常的業(yè)務能順利進行而向公司管理人員公開或者授權的情況下向基層員工公開的事項；C)“內部事項”是指可向公司內人員隨意公開的事項。信息資產(chǎn)密級根據(jù)《信息分類定義說明》進行確定。計劃測量時間測量目的確保數(shù)據(jù)治理管理體系的有效實施，根據(jù)本公司據(jù)治理目標，并規(guī)定數(shù)據(jù)治理目標的測量方法，以便測量范圍公司所有部門點對數(shù)據(jù)治理的保密性目標、完整性目標、可用性目標式評分測量小組成員及分工序號姓名123簽字：周靜日期：2024-4-3號部門日期1管理手冊三階文件匯編***-&&&&-B-01--***-&&&&-***-&&&&-C-01--***-&&&&-2管理手冊三階文件匯編***-&&&&-B-01--***-&&&&-***-&&&&-C-01--***-&&&&-管理者代表3管理手冊三階文件匯編***-&&&&-B-01--***-&&&&-***-&&&&-C-01--***-&&&&-4管理手冊三階文件匯編***-&&&&-B-01--***-&&&&-***-&&&&-C-01--***-&&&&-5管理手冊三階文件匯編***-&&&&-B-01--***-&&&&-***-&&&&-C-01--***-&&&&-文件名版本號簽收日期備注知識產(chǎn)權管理程序電子檔供應商管理程序電子檔北京市國家稅務局辦理國稅事項張先生北京市財政局辦理會計事項北京市人力資源和社會保障局員工社保事項北京市醫(yī)保局員工社保事項張小姐北京市住房公積金管理中心員工住房公積金事項陳小姐工商銀行公司對公業(yè)務工商銀行滴滴出行科技有限公司企業(yè)員工網(wǎng)約車/順豐速運有限公司公司快遞收派時間顯示屏已處理申請日期權限有效期訪問權限申請(變更)理由：讀取公司項目資料。訪問(變更)權限的級別和范圍：獲得公司權限。批準人：周靜日期：2023-12-19權限開放/變更/注銷時間開放權限的管理員備注：重要數(shù)據(jù)備份檢查記錄表備份時間介質地點數(shù)據(jù)導入1工作記錄文件拷貝1銷售資料文檔拷貝1數(shù)據(jù)導入1工作記錄文件拷貝1銷售資料文檔拷貝1數(shù)據(jù)導入1工作記錄文件拷貝1銷售資料文檔拷貝1數(shù)據(jù)導入1工作記錄文件拷貝1銷售資料文檔拷貝1數(shù)據(jù)導入1工作記錄文件拷貝1銷售資料文檔拷貝1數(shù)據(jù)導入1工作記錄文件拷貝1銷售資料文檔拷貝1戒申報單處罰原因：用移動硬盤拷貝客戶打印資料，感染宏病毒處罰對象：銷售部員工處罰措施：口頭教育報告人：報告時間：2024-3-20使用外來移動硬盤或者其他移動介質，要先進行病毒查部門負責人：時間：2024-3-20主管領導意見需求部門技術部需求人員需求物品需求使用日期筆記本電腦1需求原因辦公部門領導：主管領導意見從庫存出需要采購意見人：Y口能否調撥意見人：周靜采購日期采購人員吳素嫻筆記本電腦1人民幣(大寫)支票付款：制單：審核：周靜批準：周靜檢測人1:檢測人2:檢測人3:新購物品入帳Y■登記入帳人：領用人：需求部門綜合部需求人員需求物品物品名稱描述需求使用日期數(shù)量打印機彩打1需求原因需要打印公司文件，打印機數(shù)量不夠，給辦公部門領導：主管領導意見從庫存出需要采購意見人：Y口Y口被調撥部門領導意見能否調撥意見人：周靜采購日期采購人員預計成本數(shù)量單價彩打機人民幣(大寫)支票付款：858制單：審核：周靜批準：黃偉檢測人1:檢測人2:檢測人3:新購物品入帳Y■登記入帳人：領用人：需求部門綜合部需求人員需求物品物品名稱描述需求使用日期數(shù)量電腦筆記本電腦1需求原因假期和周末在家辦公使用主管領導意見從庫存出需要采購意見人：被調撥部門領導意見能否調撥意見人：周靜Y■N口采購日期采購人員預計成本數(shù)量單價戴爾筆記本電腦1借款金額人民幣(大寫)支票付款：3588制單：審核：周靜批準：黃偉檢測人1:檢測人2:檢測人3:新購物品入帳Y■登記入帳人：領用人：考核時段：2023-11-8至2024-4-30考核日期：2024-4-30供應商名稱材料類別交貨準時率30分總交貨次數(shù)準時交貨次數(shù)得分驗貨次數(shù)合格次數(shù)合格辦公用品備注：編制：審核：ISO/IEC38505-1:2017管理評審黃偉公司會議室序號簽到所在部門序號簽到所在部門1黃偉總經(jīng)理2管代/數(shù)據(jù)治理小組3技術部4銷售部5綜合部6789安裝人：安裝日期：2023-11-22計算機型號電腦資產(chǎn)編號使用部門綜合部安裝類別360殺毒軟件微信、offic辦公軟件、WPS辦公軟件、備注記錄借閱時間險評估報告2024-1-16歸還報告2024-3-27歸還資產(chǎn)清單2024-4-18歸還內審會議(首末次)公司會議室管理者代表首次會議詳見內審計劃，末次會議詳見內審報告首次會議(2024-3-19)末次會議(2024-3-19)姓名部門/職務簽到姓名簽到黃偉總經(jīng)理黃偉黃偉總經(jīng)理黃偉管代/數(shù)據(jù)治理小組組長組長銷售部銷售部技術部技術部綜合部綜合部風險評估時間：2023年12月26日至2023年12月29日評估目的：依據(jù)數(shù)據(jù)治理管理體系ISO/IEC38501-1:2017標準，對數(shù)據(jù)保障深圳市企啟信息科技有限公司數(shù)據(jù)資的安全計劃時間1數(shù)據(jù)資產(chǎn)識別、分組與登記數(shù)據(jù)資產(chǎn)分組一件、數(shù)據(jù)、人員、2023年12月26日《數(shù)據(jù)資產(chǎn)識別2資產(chǎn)和資產(chǎn)組賦值從保密性、完整方面對數(shù)據(jù)資產(chǎn)組內資產(chǎn)價值的資產(chǎn)組的價值。2023年12月27日《重要數(shù)據(jù)資產(chǎn)3識別并登記與資產(chǎn)組相關的主要威脅、弱點和現(xiàn)2023年12月28日《數(shù)據(jù)治理風險4根據(jù)預先定義的2023年12月29《數(shù)據(jù)治理風險險發(fā)生可能性和風險影響賦值，并通過資產(chǎn)組價值、風險發(fā)生可能性和風險影響日5根據(jù)風險計算結果，確定風險級接受的風險值。受風險標準為中、低風險。2023年12月29日6風險控制措施的接受標準的風險，企業(yè)要選擇術控制措施，以降低風險發(fā)生的實施時間按高風險處置計劃而定《風險處置計劃》在后續(xù)階段完成控制措施的日1、測量類別：保密性指標(C)1終端安全測量(C1)2賬號權限管理測量(C2)3保密管理(C3)4物理環(huán)境測量(C4)完整性指標(1)1記錄控制測量(11)可用性指標(A)1機房管理測量(A1)2系統(tǒng)監(jiān)控測量(A2)3備份管理測量(A3)4BCP有效性測量(A4)5變更管理測量(A5)6安全教育(A6)2、保密性測量：1.終端安表違規(guī)使用移動設備，發(fā)現(xiàn)一例000發(fā)現(xiàn)違規(guī)外聯(lián)記錄，發(fā)現(xiàn)一例扣20分。000終端內存放有未經(jīng)授權的秘密信息，發(fā)現(xiàn)一例扣5分。000內網(wǎng)終端未安裝或停用防病毒服務，發(fā)現(xiàn)一例扣5分。000口令不符合安全要求，發(fā)現(xiàn)一000000一例扣2分。000000限申請表臺賬抽查離職人員、部門異動人員記錄，每發(fā)現(xiàn)一人扣1分。0002.用戶賬號審在一周內刪除，扣5分。0003.保密管理(C3)1.崗位職責說明書未向新員工提供明確的數(shù)據(jù)治理職責聲明，每發(fā)現(xiàn)一人扣30-員工進行背景調查，或缺少背景調查記錄。每發(fā)現(xiàn)一人扣30--各部門資產(chǎn)識別表應完整、密級應準確，每發(fā)現(xiàn)一項錯誤扣000查出正當理由，每發(fā)現(xiàn)一個文件000件每發(fā)生一次信息泄密事件，扣0001.訪客登記少一條記錄扣2分。0-0一-扣3分。每發(fā)現(xiàn)一個不起作用設備扣2分。設備損壞超過1個月還未修復扣10分。0000門平均分。重要程度為低時，每項最多扣分不超過分，重要程度為高時，每項最多扣分不超過15示需考評部門門1.記錄控000000司得分為各部門平均分。重要程度為10分，重要程度為高時，每項最多扣需考評部門門1.機房管理測量(A1)1.機房管理記現(xiàn)一次5分。一0出登記表現(xiàn)漏記一次扣2分。03.機房設備出發(fā)現(xiàn)一件扣3分。00測量(A2)1、日志保存時間一覽表0一-處錯誤或警報信息沒有相應處理結果，扣3分(不含已確息)。0--錄，扣3分。--0測量(A3)1.備份策略一處不恰當，扣3分。0-一個備份失敗且未在當天重新進行備份扣3分。0--性測量(A4)練計劃練報告練，扣10分。0-0業(yè)務中斷事件，影響范圍大的，扣20分；影響范圍小的，扣10分；無影響的事0001.變更管理記錄匯總0006.安全教育1.新員工教育據(jù)治理培訓的，每發(fā)現(xiàn)一人扣2分。(出差人員除外)0002.安全教育織過全員安全教育，發(fā)現(xiàn)扣10分。000000門平均分。重要程度為低時，每項最多扣分不超過5分，重要程度為中時，每項最多扣分不超過10分，重要程度為高時，每項最多扣分不超過15分。評部門考評部門編號文件名實施時間引入時間使用保笠中華人民共和國產(chǎn)品質量法網(wǎng)上下裁在用電子檔中華人民共和國會計法網(wǎng)上下裁在用電子檔中華人民共和國商標法網(wǎng)上下裁在用電子檔中華人民共和國檔案法網(wǎng)上下裁在用電子檔中華人民共和國民法典網(wǎng)上下裁在用電子檔三年中華人民共和國勞動合同法網(wǎng)上下載在用電子檔三年商用密碼管理條例網(wǎng)上下裁在用電子檔網(wǎng)上在用電子檔中華人民共和國技術進出口管理條例網(wǎng)上下栽在用電子檔網(wǎng)上下載在用電子檔網(wǎng)上在用電子檔三中華人民共和國招標投標法網(wǎng)上在用電子檔年中華人民共和國專利法網(wǎng)上下裁在用電子檔中華人民共和國計算機信息系統(tǒng)安全保護條例網(wǎng)上下載在用電子檔中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定網(wǎng)上下裁在用電子檔中華人民共和國電子簽名法網(wǎng)上下裁在用電子檔中華人民共和國著作權法網(wǎng)上下栽在用電子檔三年互聯(lián)網(wǎng)安全保護技術措施規(guī)定網(wǎng)上下載在用電子檔中華人民共和國刑法網(wǎng)上下裁在用電子檔中華人民共和國國家安全法網(wǎng)上下裁在用電子檔中華人民共和國保守國家秘密法網(wǎng)上下裁在用電子檔三年網(wǎng)上下裁在用電子檔法網(wǎng)上下裁在用電子檔三年計算機軟件保護條例網(wǎng)上下載在用電子檔三年中華人民共和國反不正當競爭法網(wǎng)上下裁在用電子檔三年網(wǎng)上下裁在用電子檔三年中華人民共和國網(wǎng)絡安全法網(wǎng)上下栽在用電子檔三年世界知識產(chǎn)權組織版權條約(中國加入)網(wǎng)上下栽在用電子檔三年網(wǎng)上下裁在用電子檔三年GB/T29049-2013企業(yè)知識網(wǎng)上下裁在用電子檔三年“網(wǎng)絡數(shù)據(jù)一體化處理”改革工作的通知網(wǎng)上下裁在用電子檔三年工業(yè)和信息化部關于工業(yè)大數(shù)據(jù)發(fā)展的指導意見網(wǎng)上下載在用電子檔三年防聯(lián)控工作的通知網(wǎng)上下裁在用電子檔三年國家郵政局、商務部關于規(guī)范快遞與電子網(wǎng)上下裁在用電子檔網(wǎng)上下栽在用電子檔三年編制：審核：訪問授權主管部門：技術部序號評審時間評審人員意見結果合法用戶數(shù)非法或常50正常正常類別1分工作態(tài)度1主動性下的工作能力習慣照章行事，需不斷督促日常工作無需指示，但新任務需督促題2感責任心一般，不能主動承擔責任3性即使困難的工作，也主問題的解決方案擔4性與他人在工作上的協(xié)作人工作多方督促時才能配合他人工作，且效果不理想展工作5性自我約束力及是否違反自我約束差、時常出現(xiàn)違紀現(xiàn)象提示、要求下能夠遵守紀律和規(guī)章6力導安排的工作準確無誤工作能力1專業(yè)知識崗位必需專業(yè)知識的掌崗位必需及相關的專業(yè)知識掌握甚少活運用2情緒自控公私分明，工作中不帶以著手3驗由工作實踐積累的知識4力對事物、現(xiàn)象的甄別與斷定的能力只能判斷一些簡單事物、現(xiàn)象5堅韌性無特殊原因可以完成工作作6協(xié)調溝通際能力如何雖不影響工作，但溝通不夠主動7力8性性計劃9性是否有新意力力說明本考評為每年一次，作為員工晉升、調薪、調崗的依據(jù)，57分以上為優(yōu)，51-56分為良，類別1分工作態(tài)度1主動性下的工作能力習慣照章行事，需不斷督促日常工作無需指示，但新任務需督促題2責任感責任心一般，不能主動承擔責任3性即使困難的工作，也主問題的解決方案擔4性與他人在工作上的協(xié)作人工作多方督促時才能配合他人工作，且效果不理想展工作5性自我約束力及是否違反自我約束差、時常出現(xiàn)違紀現(xiàn)象提示、要求下能夠遵守紀律和規(guī)章6力導安排的工作準確無誤時聽從領導安排，有時上級工作能力1專業(yè)知識崗位必需專業(yè)知識的掌崗位必需及相關的專業(yè)知識掌握甚少活運用2情緒自控公私分明，工作中不帶以著手3驗由工作實踐積累的知識4力對事物、現(xiàn)象的甄別與斷定的能力只能判斷一些簡單事物、現(xiàn)象5堅韌性無特殊原因可以完成工作作6協(xié)調溝通際能力如何雖不影響工作，但溝通不夠主動7力8性計劃9性是否有新意力力較難融入公司文化理念的氛圍說明和調崗的依據(jù)類別1分工作態(tài)度1主動性下的工作能力習慣照章行事，需不斷督促日常工作無需指示，但新任務需督促題2責任感責任心一般，不能主動承擔責任3性即使困難的工作，也主問題的解決方案擔4性與他人在工作上的協(xié)作人工作多方督促時才能配合他人工作，且效果不理想展工作5性自我約束力及是否違反自我約束差、時常出現(xiàn)違紀現(xiàn)象提示、要求下能夠遵守紀律和規(guī)章6力導安排的工作準確無誤時聽從領導安排，有時上級工作能力1專業(yè)知識崗位必需專業(yè)知識的掌崗位必需及相關的專業(yè)知識掌握甚少活運用2情緒自控公私分明，工作中不帶以著手3驗由工作實踐積累的知識4力對事物、現(xiàn)象的甄別與斷定的能力只能判斷一些簡單事物、現(xiàn)象5堅韌性無特殊原因可以完成工作作6協(xié)調溝通際能力如何雖不影響工作，但溝通不夠主動7力8性計劃9性是否有新意力力較難融入公司文化理念的氛圍說明和調崗的依據(jù)部門：綜合部序號備份周期式檢查周期130天手動1手動20天2安全掃描30天自動1手動7天3456勵建議書獎勵原因：按質、按量完成項目，贏得客戶獎勵對象：銷售部獎勵措施：予以通報表揚并頒發(fā)公司正能量獎勵第2檔部門負責人：時間：2024-1-29主管領導意見主管部門負責人：周靜時間：2024-1-30會議時間會議地點公司會議室黃偉參與人員周靜、、、對數(shù)據(jù)治理管理體系試運行以來首次評審，對本公司現(xiàn)有數(shù)據(jù)治理范、策略等的有效性、符合性、適應性和執(zhí)行情況進行評審，提1.宣讀《內部審核報告》;2.各部門匯報ISO/IEC38505-1:2017體系運行以來的遇到的問題3.小組討論了現(xiàn)場在實施ISO/IEC38505-1:2017體系時遇到的一些問題4.總結發(fā)言b)公司的數(shù)據(jù)治理獎罰現(xiàn)在還沒有有效地實施起來，希望在以后真正d)對于我公司的數(shù)據(jù)治理運行無重大事件，向數(shù)據(jù)治理小經(jīng)過本次管理評審會議，編寫形成《管理評審報告》,并得到總經(jīng)理批準關會議決議參見《管理評審報告》內容。未決內容無。記錄銷毀時間備注審核日期：2024-3-19審核員：周靜、、、審核審核體系標準款項數(shù)據(jù)良好治理的處?是否確立了有效、高效并經(jīng)許相關事項進行負責?好治理的益處，并確立了有效、高效并經(jīng)許可的使用數(shù)據(jù)的原知識產(chǎn)權等相關事項進行了重點治理機構的職責治理機構人員是否清楚理解自己的職責并有效履行?自己在數(shù)據(jù)治理方面的職責不太清楚。合治理機構的監(jiān)督機制程度相適應的數(shù)據(jù)治理監(jiān)督機制，是否通過要求審計和獨立評估等程有效性。56總則組織是否理解數(shù)據(jù)責任圖的涵義，是否了解數(shù)據(jù)處理的生命周期?述。組織是如何實施數(shù)據(jù)收集活動的?察習以及從其他數(shù)據(jù)集(內部或外部)中提取記錄的過程，符合要求。組織是如何實施數(shù)據(jù)存儲活動的?察檢索的位置。組織是如何進行數(shù)據(jù)報告的?提取和分析數(shù)據(jù)，以支持決策、分發(fā)或處置。決定組織是如何進行數(shù)據(jù)決定的?出。組織是如何進行數(shù)據(jù)分發(fā)的?標準要求。組織是如何進行數(shù)據(jù)處置的?從數(shù)據(jù)存儲中永久刪除該數(shù)據(jù)和任何副本。7總則組織是否理解數(shù)據(jù)處理的原則?原則包括：責任、戰(zhàn)略、獲取、原則1責任的職責負責，并應確保組織內的人員理解并接受他們的職責。原則2戰(zhàn)略(包括當前和未來的能力)相一致的數(shù)據(jù)戰(zhàn)略。原則3獲取治理機構負通過收集或購買或作為商業(yè)活動的副產(chǎn)品獲數(shù)據(jù)。原則4績效治理機構確定有相關的績效指并在必要時采取補救行動。原則5一致性實施的?治理機構確保機構了解并遵守外部義務，并適當界定、執(zhí)行和原則6人的行為組織數(shù)據(jù)治理的人的行為原則是如何實施的?治理機構負責在整個組織內使用數(shù)據(jù)，確定并適當考慮人的行實施情況，有切實可行的方針和政策，執(zhí)行記錄完整。內部要求行?括購買和銷售數(shù)據(jù)。組織通過調整其戰(zhàn)略和政策，以壓力。的?壓力。此外還審查和判斷當前和今后對數(shù)據(jù)。監(jiān)測的?總則組織是否理解數(shù)據(jù)治理的特性?組織理解數(shù)據(jù)是具有許多相關屬能會對整個組織產(chǎn)生重大的戰(zhàn)略重要項目進行審議。1總則組織是否理解數(shù)據(jù)治理的價值?閱、出版物或網(wǎng)站等數(shù)據(jù)傳輸進行銷售，將其指定貨幣價值。2組織是否理解數(shù)據(jù)治理的質量，如何保證數(shù)據(jù)治理質量?的實際情況。3時效組織如何保證數(shù)據(jù)治理的時效性?據(jù)的時效性4組織是如何實施數(shù)據(jù)記錄的?行不同的處理。5組織是如何控制數(shù)據(jù)容量的?察治理的置信度，確保大量一致的心。1總則識別數(shù)據(jù)治理的風險?如何控制數(shù)據(jù)治理風險?,確定，作為數(shù)據(jù)在戰(zhàn)略、運營和財務等各方面對組織很重要，治的風險，以確保設置適當級別的“數(shù)據(jù)風險”,這與整體風險趨勢一致。2理的?察險管理框架進行修改，然后監(jiān)測修改后的框架的持續(xù)有效性。3組織如何實施數(shù)據(jù)分類方案?的敏感性進行分類。4組織是如何保證數(shù)據(jù)治理安全的?察架，實施具體的安全控制措施，采取ISO/IEC27018中云服務的安全。1總則組織是如何理解數(shù)據(jù)治理的規(guī)則的?則。這樣的規(guī)則可能限制(使用和分發(fā))數(shù)據(jù)潛在價值，包總。2組織條例和立法是如何實施的?3相結合的?組織的數(shù)據(jù)治理涉及到與社會的“隱含契約”,治理機構更明確如何根據(jù)數(shù)據(jù)做出決策。4組織如何實施數(shù)據(jù)治理策略的?除了對數(shù)據(jù)使用附加的外部需求略，以增加其價值，降低管理數(shù)險或滿足其他需求。數(shù)據(jù)責任圖的應用組織應用數(shù)據(jù)責任圖的?治理機構將表1用作評估、監(jiān)測和指導整個數(shù)據(jù)管理組織活動的時檢查數(shù)據(jù)特定方面，以明確需嚴格的政策。循“立足當前、面向未來、適度超前”的指導思想，堅持定性分析與定量測算、必要性和可行性相結合的原則，編制我公司2023--2025年人力資源發(fā)展規(guī)則。(一)用人需求根據(jù)公司2023--2025年發(fā)展計劃和經(jīng)營目標，綜合部協(xié)同各部門制定了公司2023--2025年的職務與人員配置計劃。隨著公司規(guī)模的不斷擴大，公司用(二)人員招聘招聘是用人單位員工的第一個“入口”,因此做好入口工作的把關會對用人1、制定人員招聘計劃根據(jù)本年度用人需求和員工結構現(xiàn)狀表可知道我體職務和數(shù)量是：技術人員為5人；儲備干部2人。技術人員：25-48歲，身體健康，專業(yè)與本公司對儲備干部：男女不限，20-40歲，大專以上學歷，具有較強的溝通能力、抗業(yè)務助理：女，20-35歲，大專以上學歷，熟練運用辦公軟件，有相關業(yè)務2、選擇合適的招聘方式(1)建立校招、社會招聘、網(wǎng)絡招聘等多渠道招聘平臺；(2)建立招聘蓄水池，保持人力所需；(3)通過“技術學院”提供所需的專業(yè)、穩(wěn)定的人力資源。3、做好員工招聘過程中的工作(1)招聘應堅持“公平競爭，擇優(yōu)錄用”,同時應堅持內部招聘與外部招聘(2)發(fā)布招聘數(shù)據(jù)時應對崗位要求與崗位職責有清楚的描述和說明。(3)簡歷的篩選要認真仔細，為了控制招聘成本又要招進優(yōu)秀人才，一方面不能讓來參加面試的人數(shù)過多，另一方面不能讓優(yōu)秀(4)面試過程中，初試可以只有綜合部門參加，但復試應由綜合部門和(5)面試過程中要給應聘者發(fā)言的機會，可以問一下應聘者對公司以及其所應聘的職位有什么要了解要詢問的，以便公司了解應聘者關心的是什么(可能(6)面試結果通知要快，以防優(yōu)秀人才被其他公司或競爭對手搶先錄用。(7)試崗、定崗，要把合適的人放在適合的崗位上，盡量不隨便給應聘者4、做好招聘的后續(xù)追蹤工作(三)員工培訓開發(fā)與職業(yè)發(fā)展(1)通過培訓機構，提升中高層管理人員管理技能、領導力、決策思維能(2)開展“儲備干部班”培訓，提升基層管理能力、促進員工成長；(3)推行學分制度，與晉升、晉級相掛勾；(4)建立由公司補助的在職學歷升級制度、提升在職人員的素質。2、培訓考核3、能力的提升公司通過素質測評的方法，從個人能力、崗位技能職業(yè)動力、等方面進行系統(tǒng)全面的測評。針對不同層次員工的特點，采用不同的方式。人員開發(fā)和職業(yè)生涯發(fā)展無論對員工，還是對公司而言，都至關重要，從公司角度，有效對員工進行開發(fā)和職業(yè)生涯規(guī)劃，將有效實現(xiàn)人事的匹配，人盡其才，將最大限度地促使公司的經(jīng)營目標的實現(xiàn)；而對員工個人來說，能夠充分實現(xiàn)自身的價值和職業(yè)發(fā)展目標，同時實現(xiàn)組織目標。管理需要不斷完善，人才需要持續(xù)激勵，只有持續(xù)的激勵才能持續(xù)地調動員工的積極性與創(chuàng)造性，使企業(yè)充滿活力與激情。從員工層面，隨著員工素質、員工水平的不斷提高，員工的需求不斷提高，隨之配套的激勵水準也需相應提高。從企業(yè)層面，根據(jù)“企業(yè)80%的利潤是由20%優(yōu)秀員工創(chuàng)立”的理論，持續(xù)激勵的重點將向重點部門、骨干員工傾斜。(一)招聘費用預算1、交流會費用：參加交流會4次，每次平均200元，共計800元。2、招聘會費用：參加招聘會10次，每次平均300元，共3000元。3、宣傳材料費用：3000元。4、報紙廣告費用：5000元。2023--2025年預計每年培訓費用約為18000元?？傊?，在整個企業(yè)的發(fā)展過程中，企業(yè)的人力資源狀況始終不可能自計劃和年度人力資源規(guī)劃的關系是相輔相成的，人了解員工的要求，還需要了解客戶的需要。將人力資源策源工作者加入到?jīng)Q策的隊伍中，具備人力資源管理實源開發(fā)的效益，從而有助于提高企業(yè)的經(jīng)營業(yè)績，具助人力資源從業(yè)者實現(xiàn)人力資源管理創(chuàng)新。人力資是不斷地調整人力資源結構，使企業(yè)的人力資源始終處于供需平衡狀態(tài)。只綜合部填表日期：2024-1-17申請人姓名深圳市企啟信息科技有限公司設備類型筆記本型號和配置筆記本項目實施處理涉密事項情況活動涉密數(shù)據(jù)信息密級項目實施合同中工作筆記本公司服務器綜合部審核意見銷售部經(jīng)理：總經(jīng)理審批意見總經(jīng)理：黃偉計算機設備配置和設備編號安裝安全措施■軟件加密□《涉密計算機安全保密責任書》口令策略設置類別□開機■屏?！跎婷鼙P符□涉密文件夾設置要求■數(shù)字+字母混合不少于8位口不超過30天目標類別質量目標統(tǒng)計公式統(tǒng)計周期11月12月標重要信息泄露統(tǒng)計重要信息移動介≤1次/年統(tǒng)計移動介質數(shù)據(jù)治發(fā)生≤2次/年數(shù)數(shù)部重要信息泄露統(tǒng)計重要信息移動介≤1次/年統(tǒng)計移動介質數(shù)據(jù)治≤2次/年數(shù)數(shù)發(fā)生部要信息泄露統(tǒng)計財務重要數(shù)數(shù)部與競業(yè)簽訂率(簽訂協(xié)議的人數(shù)/總人數(shù))總人數(shù)員工培訓合格率每月1111要信息泄露統(tǒng)計采購重要數(shù)數(shù)部項目重要信息泄露統(tǒng)計項目重要數(shù)數(shù)考核日期編制：審核：周靜序號用戶名稱部門崗位ID說明備注1黃偉管理層總經(jīng)理讀寫/2管理層管理者代表讀寫/3銷售部部門經(jīng)理只讀/4技術部只讀/5綜合部只讀/1、對數(shù)據(jù)治理管理體系的適宜性、充分性和有效性等進行評價。2、對是否需要更改企業(yè)的數(shù)據(jù)治理管理體系質量方針和目標做出評3、對數(shù)據(jù)治理管理體系的現(xiàn)行狀況和改進機會進行評價。評審內容：根據(jù)以下的評審輸入信息，得出任何改進建議(評審輸出),持續(xù)改進數(shù)據(jù)治理管理體1)市場形勢或法令、法規(guī)有重大變異的情況；2)2023-11-8公司試運行數(shù)據(jù)治理管理體系以來，各項糾正和預防措施的執(zhí)行情況和分析報告；3)2024-3-19內部審核檢查的結果和對不合格項的糾正情況、各部門數(shù)據(jù)治理管理體系運行情況；4)重要的預防和糾正措施狀況的評價；5)公司及各部門數(shù)據(jù)治理方針和目標貫徹以及實施情況；6)公司組織結構變更、重大人員變更等可能影響數(shù)據(jù)治理管理體系的變更情況；7)各部門認為公司數(shù)據(jù)治理管理體系需要改進的意見。8)其他數(shù)據(jù)治理信息。1.內審不符合項報告2.內部審核報告3.糾正和預防報告單4.數(shù)據(jù)治理風險評估報告內審狀況及其整改結果：發(fā)現(xiàn)1項不符合，已糾正，目前未發(fā)現(xiàn)失效.根據(jù)公司風險評估后的風險處理實施情況，以及對于殘余風險的評估，目前剩余風險為沒有3級及以上風險殘余。經(jīng)過剩余風險評估后接受準則定為可接受風險，同時也是剩余風險。數(shù)據(jù)治理小組決定，接受剩余風險等級為1級和2級的剩余風險，對于這些風險不需要相應的控制措施，總經(jīng)理表示評審結論：公司的數(shù)據(jù)治理體系基本上是適宜的、充分的和有效的，但也還存在一些待完善的地方，需要繼續(xù)持續(xù)改進，不斷優(yōu)化公司數(shù)據(jù)治理管理.加強標準的培訓。編制者：周靜編制日期：2024-3-27審批者：審批日期：2024-3-27內部審核報告本內部審核主要是檢查公司ISO/IEC38505-1:2017標準實施是否符合標準的要求以及管理體系要求，以便及時發(fā)現(xiàn)問題，采取糾正或改進措施，使管理體系得到有效實施和保持。1.2審核范圍本文檔適用于公司團隊關于ISO/IEC38505-1:2017標準體系的內部審核工作。ISO/IEC38505-1:2017內審范圍包括：管理體系范圍內所有定義的部門。2審核依據(jù)ISO/IEC38505-1:2017標準涉及的各條款以及有關的法律法規(guī)。3、審核部門管理層、數(shù)據(jù)治理小組、綜合部、銷售部、技術部4審核組內審組組長：周靜內審組成員：、、4.3審核日期和具體執(zhí)行情況審核時間：2024-3-19具體執(zhí)行情況詳見《內部審核計劃》5不合格報告1ISO/IEC38505-1:2017標準6體系有效性與符合性的結論公司的管理體系基本符合ISO/IEC38505-1:2017標準的要求。內部審核查出的隱患和不合格項，各部門應針對不符合內容及問題點水平展開討論，認真整改，進一步完善和提高。這次進行的管理體系內部審核，是公司體系經(jīng)過四個月以上的試運行后的第一次內審。由多人組成的審核組經(jīng)過充分的準備，對公司的各部門進行了為期一天的檢查驗證，達到了發(fā)現(xiàn)暴露問題和規(guī)定的內審目的，取得了較好的收效。從體系的整體內審情況可以看出，各部門在本部門所應實施的標準要求上，取得了一定的成績。內審過程中共發(fā)現(xiàn)1項不合格。具體不合格及糾正預防見《不符合項報告》,沒有發(fā)現(xiàn)重大不符合項。公司的ISO/IEC38505-1:2017管理體系基本符合整合體系標準的要求。內部審核查出的隱患和不合格項，各部門應針對不符合內容及問題點水平展開討論，認真整改，進一步完善和提高。公司的ISO/IEC38505-1:2017管理體系運行有效，具體表現(xiàn)在：能滿足充分性、符合性和有效性的要求。本次內審目的基本達到，效果明顯。各部門積極配合，發(fā)現(xiàn)了問題并限期整改，適時推動了體系的運行。7今后改進的建議公司的體系標準的實施動作已取得顯著效果，具備了依據(jù)ISO/IEC38505-1:2017標準作為對公司管理體系正常運行的條件，各部門要以此次內審為契機，對所發(fā)生的不合格及時采取糾正和預防措施，以保證管理體系的正常運行。編制：周靜批準：日期：2024-3-19部門：綜合部設備名稱及機號辦公電腦登記時間故障發(fā)生時間通知時間恢復時間故障歷時設備負責人故障現(xiàn)象故障原因用移動硬盤拷貝客戶打印資料，感染宏病毒處理經(jīng)過及結果使用殺毒軟件查殺病毒，重新安裝Word程序備注：部門：綜合部設備名稱及機號辦公電腦登記時間故障發(fā)生時間通知時間恢復時間故障歷時15分鐘設備負責人故障現(xiàn)象故障原因由于IE緩存文件太多，IE打開時總是讀取原有緩存文件，導致無法更新數(shù)據(jù)處理經(jīng)過及結果目標類別統(tǒng)計公式統(tǒng)計周期總目標統(tǒng)計重要信息泄露的次數(shù)≤1次/年統(tǒng)計移動介質遺失的次數(shù)≤2次/年統(tǒng)計數(shù)據(jù)治理事件發(fā)生的次數(shù)統(tǒng)計重要信息泄露的次數(shù)≤1次/年統(tǒng)計移動介質遺失的次數(shù)≤2次/年統(tǒng)計數(shù)據(jù)治理事件發(fā)生的次數(shù)綜合部統(tǒng)計財務重要信息泄露的次數(shù)(簽訂協(xié)議的人數(shù)/總人數(shù))*100%員工培訓合格率每月統(tǒng)計采購重要信息泄露的次數(shù)項目重要信息泄露統(tǒng)計項目重要信息泄露的次數(shù)序號管理評審改進決策實施計劃負責部門1加強標準培訓2024-04月份進行標準培訓管理者代表編制：審核：接收部門接收時間管理者代表綜合部資產(chǎn)類別責任部門終端總經(jīng)理電腦辦公總經(jīng)理終端管理者代表電腦辦公管理者代表終端銷售部經(jīng)理電腦辦公銷售部終端技術部經(jīng)理電腦辦公技術部『終端綜合部人員辦公電腦辦公綜合部辦公設備座機(1臺)辦公綜合部辦公設備打印機辦公綜合部辦公設備文件柜保障設備綜合部網(wǎng)絡設備無線路由器網(wǎng)絡設備綜合部網(wǎng)絡設備以太網(wǎng)交換機網(wǎng)絡設備綜合部移動硬盤辦公綜合部本文件資料享受著作權及其它專屬權利，未經(jīng)書面許可，不得將該等文件資料(其全部或任何部分)披露予任何第三方，或進行修改后使用。文件更改摘要：日期修訂說明辦公設備文件柜保障設備綜合部網(wǎng)絡設備無線路由器網(wǎng)絡設備綜合部網(wǎng)絡設備以太網(wǎng)交換機網(wǎng)絡設備綜合部移動硬盤辦公綜合部本文件資料享受著作權及其它專屬權利，未經(jīng)書面許可，不得將該等文件資料(其全部或任何部分)披露予任何第三方，或進行修改后使用。文件更改摘要：日期修訂說明 風險評估目的 風險評估日期 評估小組成員 評估方法綜述 評估具體方法及實施 風險評估概況 評估總結 數(shù)據(jù)治理風險評估報告風險評估目的通過科學的方法對公司存在風險進行評估，以便于制定出適合的方法，找到最合適的控制措施來對風險進行控制，以降低風險，達到提高公司數(shù)據(jù)治理的目的。風險評估日期2023年12月26日至2023年12月29日評估小組成員部門人員管理層銷售部數(shù)據(jù)治理員技術部數(shù)據(jù)治理員綜合部數(shù)據(jù)治理員評估方法綜述建立環(huán)境建立環(huán)境風險評估風險識別風險分析風險評價風險處理監(jiān)測和評審溝通和協(xié)商本次風險評估由于是公司組織的第一次風險評估，因此，評估涉及公司所有部門本次評估涉及計算機軟件開發(fā)和運維服務的數(shù)據(jù)治理管理活動。本次評估主要針對公司與數(shù)據(jù)相關的重要資產(chǎn)，包括：硬件、軟件公司存在風險主要存在于資產(chǎn)價值大于2的數(shù)據(jù)資產(chǎn)，貫穿于公司服務相關的所共識別數(shù)據(jù)資產(chǎn)25項，其中重要的數(shù)據(jù)資產(chǎn)17項；重要的數(shù)據(jù)資產(chǎn)中，其中軟件資產(chǎn)3項、數(shù)據(jù)資產(chǎn)1項、文檔資產(chǎn)11項、服務資產(chǎn)2項。本次風險評估共發(fā)現(xiàn)公司存在0個五級風險、0個四級風險、17個三級風險、8個二級風險和0個一級風險。各部門均已各自編制一份風險評估表，對數(shù)據(jù)資產(chǎn)及其存在的脆弱性和面臨的威脅風險予以識別，對風險發(fā)生的可能性、嚴重性進行判定，對風險值予以等批準人：黃偉日期：2023年12月29日納，并對其提出相應的建議采取的控制措施和建風險存在的部門具體風險建議采取的控制措施1所有部門公司機密泄漏，包括1)加強人員法律、安全意識教育；2)加強公司管理程序，包括訪問權限設置及審核；3)加強監(jiān)控管理；2綜合部硬件損壞導致數(shù)據(jù)1)定期的檢查并更新硬件；3綜合部誤操作導致數(shù)據(jù)丟1)加強文件標識管理；2)完善操作流程；(4)人員聘用前加強技術背景了解；4綜合部5綜合部1)網(wǎng)絡訪問的控制；2)防病毒軟件的安裝，并及時得到更新；6所有部門數(shù)據(jù)治理職責不明確導致數(shù)據(jù)治理管理3)建立數(shù)據(jù)治理小組，明確各相關部門的數(shù)據(jù)7所有部門部分記錄不完整導致相關法律糾紛。公司將在GDMS建立過程中進一步完善風險評估流程，并在今后的實施過程中不斷完善公司相關的作業(yè)、控制程序，制定更全面詳細的策略。ISO/IEC38505-1:2017標準考核方式：問答黃偉總經(jīng)理綜合部根據(jù)ISO/IEC38505-1:2017標準，我公司于2023年12月開展了數(shù)據(jù)治理風險評估工作，最終形成了《數(shù)據(jù)治理風險評估報告》,針對此輪信息資產(chǎn)風對剩余風險評估的結果統(tǒng)計，總共7項，按照風險級別來分，1級風險共1項，2級風險共6項，沒有3級及以上風險；剩余風險均為1-2級，沒有3級及以上風險。經(jīng)過剩余風險評估后得到資產(chǎn)的風險等級1-2級，根據(jù)風險接受準則定為可接受風險，同時也是剩余風險。數(shù)據(jù)治理小組建議，接受剩余風險等級為1-2級的剩余風險?？偨?jīng)理批準：黃偉日期：2023-12-29細表重要涉密電腦和設備日志明序號是否需要法日志保日志容量大小份合同存儲電腦3是日志記錄1周檢查3個月是11是日志記錄1周檢查3個月是4是日志記錄1周檢查3個月是考核方式：問答簽到簽到合格，合格率100%,本次培訓有效!簽名：酈勝藍使用部門外帶地點外帶事項送還日期綜合部維修點到保修點進行維修黃偉4注：所有外帶的筆記本，必須由本人在登記表上登記，并由公司的總經(jīng)理批準后方可帶出受審核單位管理層負責人審核員日期不符合項事實陳述：詢問治理機構人員，其對自己在數(shù)據(jù)治理方面的職責不太清楚，38505-1:2017標準4.2條款要求原因分析及糾正措施計劃：因體系運行不久，相關人員對ISO/IEC38505-1:2017標準4.2條款理解不夠，執(zhí)行不到位，沒有將數(shù)據(jù)治理方面的職責告知相關人員。審核員：2024-3-20糾正措施實施記錄：立即告知治理機構人員其在數(shù)據(jù)治理方面的職責，對相關人員培訓ISO/IEC38505-1:2017標準4.2條款內容。糾正措施驗證記錄：已告知治理機構人員其在數(shù)據(jù)治理方面的職責，已對相關人員進行培訓環(huán)境描述(國際、國內、區(qū)域或局部)社會和文化2政治345自然環(huán)境6競爭環(huán)境1234關系1財政部門監(jiān)管依法規(guī)范經(jīng)營