信息安全惩戒管理规定

信息科技部

信息安全惩戒管理规定

A版

2011年6月1日发布2011年6月1日实施

目录

1 目的 (3)

2 围 (3)

3 相关文件 (3)

4 职责 (3)

5 程序 (4)

5.1 计算机信息系统的安保 (4)

5.2 计算机应用与管理违规行为处罚规定 (4)

5.3 计算机信息类违规处罚 (6)

5.4 奖惩记录 (6)

5.5 证据的收集 (6)

5.6 证据的保存及提供 (7)

6 记录 (7)

1 目的

为对违反信息安全方针、体系文件要求、法律法规、合同要求的员工实施公正有效的奖惩，并作为对可能在其它情况下有意轻视信息安全程序的员工的威慑，强化全体员工的信息安全意识，有效防止信息安全事故的发生，特制定本规定。

2 围

本程序适用于银行信息科技部对违反信息安全方针、体系文件要求、法律法规、合同要求的员工的奖惩及对信息安全做出贡献员工的奖励。

3 相关文件

4 职责

4.1 各副总经理负责自己区域的奖惩。

4.2 管理者代表负责对IT方面信息安全事故的奖惩管理。

4.3 信息安全管理委员会负责决定重大信息安全和事故的处罚。

4.4 综合管理员负责银行信息科技部部泄密或信息泄漏的调查。

5 程序

5.1 计算机信息系统的安保

5.1.1在计算机信息系统安全保护工作中成绩显著的单位和个人，由市行、市行所辖各单位或公安机关给予表彰、奖励。

5.1.2 存在计算机信息系统安全隐患的市行所辖单位，由市行或公安机关发出整改通知，限期整改。因不及时整改而发生重大事故和案件的，由市行对该单位的主管负责人和直接负责人予以行政处分；构成违反治安管理或者违反计算机管理监察行为的，由公安机关依法予以处罚；构成犯罪的，由司法机关依法追究刑事责任。

注：以上条款由银行信息科技部计算机信息系统安全保护小组负责解释。

5.2 计算机应用与管理违规行为处罚规定

5.2.1 计算机应用、维护及操作人员违反规定对账务、信息进行处理的，给予经济处罚或者警告至降级处分；造成严重后果的，给予撤职至开除处分。

5.2.2 违反规定，擅自编制、使用、修改业务应用程序、调整系统参数和业务数据的，给予主管人员和其他责任人员记过至撤职处分；造成严重后果的，给予主管人员和其他责任人员留用察看至开除处分。

5.2.3 利用计算机进行违规活动或者为违规活动提供条件的，给予主管人员和其他责任人员记过撤职处分；造成严重后果的，给予留用至开除处分。

5.2.4 违反规定，有下列危害银行网络安全行为之一的，给予有关责任人员经济处罚或者警告至记过处分；造成严重后果的，给予记大过至开除处分：（a）在生产经营用机上使用与业务无关的软件或者利用通讯手段非法侵入其他系统和网络的（含从银行的一个业务系统进入另一个业务系统，从银行以外的系统和设备侵入银行业务网络系统，以及从银行的业务网络系统进入银行以外的网络系统）；

（b）未经审批，私自使用银行部网络上的计算机拨号上国际互联网的；

（c）将非银行计算机设备接入银行网络系统的；

（d）私自卸载或屏蔽计算机安全软件的；

（e）私自修改计算机操作系统、网络系统安全设置的；

（f）未经审批，私自在银行网络系统开设游戏、论坛、聊天室等与工作无关的网络服务的；

（g）利用系统传播损害银行形象的的。

5.2.5利用银行的计算机设备和网络系统制造、传播计算机病毒，给予主管人员和其他责任人员记过至记大过处分；造成严重后果的，给予主管人员和其他责任人员降级至开除处分。

5.2.6 计算机房值班人员擅自离岗的，给予经济处罚或者警告处分；造成严重后果的，给予记过至开除处分。

5.2.7 系统管理和操作人员离开主机或者终端时没有按操作规程退出系统的，给予经济处罚或者警告至记过处分；造成严重后果的，给予记大过至开除处分。

5.2.8 违反规定将属于银行的计算机软件、文档、资料、客户信息等据为己有、复制或者借给外单位的，给予有关责任人员记过至撤职处分；造成严重后果的，给予留用察看至开除处分。

5.2.9 未按规定进行数据备份、没有妥善保管备份数据或备分数据无效的，给予主管人员和其他责任人员经济处罚或者警告至记过处分；造成严重后果的，给予记大过至开除处分。

5.2.10 在对面向客户的业务应用系统管理中，从事后台维护的技术人员，违反规定同时进行前台技术维护的，给予主管人员和其他责任人员记过至记大过处分；造成严重后果的，给予降级至开除处分。

5.2.11在核心业务系统、支付系统、国际业务系统、银行卡系统、网上银行系统及储蓄事后监督系统等面向客户的业务应用系统有关的各项业务操作过程中，技术人员代替业务人员操作，或业务员允许技术人员代替从事业务操作，给予主管人员和其他责任人员记过至开除处分。

5.2.12 在电子银行业务中，有下列行为之一的，给予主管人员和其他责任人员警告至降级处分；造成严重后果的，给予撤职至开除处分：

（a）违反规定，套取客户用户名、口令等信息的；

（b）违反规定，复制、截留客户电子证书的；

（c）冒用客户名义，伪造相关资料，骗取电子证书的。

5.2.13伪造电子银行转账信息的，给予主管人员和其他责任人员警告至降级处分；造成严重后果的，给予撤职至开除处分。

5.3 计算机信息类违规处罚

5.3.1信息科技部职工违规操作，给系统造成一定的影响，但没有影响业务正常运行或对业务造成轻微危害者，给当事人警告或严重警告、情节较重或严重者，视情节轻重给予当事人和主管领导200元以上1000元以下罚款。

5.3.2信息科技部职工违规操作导致系统发生问题，影响业务长时间正常运行，立即调离信息科技部，情节严重者，按照市行的有关规定处罚。

5.3.3支行系统员凡是不按要求管理，出现公网和网混网现象，或其它安全问题，一经发现，除全行通报批评外，处以200元罚款，情节严重者，调离系统员岗位。

5.3.4市行机关和支行所有计算机使用用户，违规私自修改网络地址进入不该进入的业务网段、或使用网主机进入internet网络者，若对系统和业务未造成影响，除全行通报批评外，处以当事人和相关责任人200元罚款，若对系统或业务造成影响着，视情节轻重，处以500以上10000元以下罚款。

5.3.5对全行所有营业网点每天晚间业务结束后，未做网点平账交易，除全行通报批评外，处以该网点200元罚款，该单位第二天必须向信息科技部出具事件说明报告。

5.3.6凡是利用非法手段窃取系统密钥，进入我行业务系统，盗取客户资料，向外界提供客户资料并造成客户损失或进入系统作案者，一经发现，立即开除行籍，情节严重者，送交司法机关处置。

5.4 奖惩记录

5.4.1 综合管理员根据银行信息科技部奖惩管理规定，对奖惩的实施进行记录并形成《奖惩记录单》记录完毕后由综合管理员进行留存。

5.5 证据的收集

5.5.1 当信息安全事件涉及到诉讼（民事的或刑事的），需要进一步对个人或组织进行起诉时，应收集、保留和呈递证据，以使证据符合相关诉讼管辖权。

5.5.2 证据在收集时不得侵犯个人权益，应在不侵犯个人权益时对证据进行收拾并且证实证据是否可在法庭上使用。

5.5.3 应保证证据的质量和完备性，防止未被授权的篡改和泄漏。

5.5.4 证据获得的保证：银行信息科技部应确保收集证据其信息系统符合任何公布的标准或实用规则来产生被容许的证据。

5.6 证据的保存及提供

5.6.1 提供证据的份量应符合任何适用的要求。对该证据的存储和处理的整个时期，应进行过程控制保证证据的质量和完备性。

5.6.2 纸面文档证据的提供：原物应被安全保存且带有下列信息的记录：谁发现了这个文档，文档是在哪儿被发现的，文档是什么时候被发现的，谁来证明这个发现；任何调查应确保原物没有被篡改；

5.6.3 对计算机介质上的信息：任何可移动介质的镜像或拷贝（依赖于适用的要求）、硬盘或存中的信息都应确保其可用性；拷贝过程中所有的行为日志都应保存下来，且应有证据证明该过程；原始的介质和日志（如果这一点不可能的话，那么至少有一个镜像或拷贝）应安全保存且不能改变

5.6.4 任何法律取证工作应仅在证据材料的拷贝上进行。所有证据材料的完整性应得到保护。证据材料的拷贝必须在可信耐人员的监督下进行，什么时候在什么地方执行的拷贝过程，谁执行的拷贝活动，以及使用了哪种工具和程序，这些信息都应记录作为日志。

6 记录

《奖惩记录单》

2018最新ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范)

最新ISO27001信息安全管理体系全套文件（手册+程序文件+作业规范）

信息安全管理体系程序文件目录

信息安全管理体系作业文件目录

1 适用 本程序适用于公司信息安全事故、薄弱点、故障和风险处置的管理。 2 目的 为建立一个适当信息安全事故、薄弱点、故障风险处置的报告、反应与处理机制，减少信息安全事故和故障所造成的损失，采取有效的纠正与预防措施，正确处置已经评价出的风险，特制定本程序。 3 职责 3.1 各系统归口管理部门主管相关的安全风险的调查、处理及纠正措施管理。 3.2 各系统使用人员负责相关系统安全事故、薄弱点、故障和风险的评价、处置报告。 4 程序 4.1 信息安全事故定义与分类： 4.1.1 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响（后果)之一，均为信息安全事故： a) 企业秘密、机密及国家秘密泄露或丢失； b) 服务器停运4 小时以上； c) 造成信息资产损失的火灾、洪水、雷击等灾害； d) 损失在十万元以上的故障/事件。 4.1.2 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响（后果)之一，属于重大信息安全事故： a) 企业机密及国家秘密泄露； b) 服务器停运8 小时以上； c) 造成机房设备毁灭的火灾、洪水、雷击等灾害； d) 损失在一百万元以上的故障/事件。 4.1.3 信息安全事件包括： a) 未产生恶劣影响的服务、设备或者实施的遗失； b) 未产生事故的系统故障或超载； c) 未产生不良结果的人为误操作； d) 未产生恶劣影响的物理进入的违规

信息安全管理方案计划经过流程

信息安全管理流程说明书 （S-I）

信息安全管理流程说明书 1 信息安全管理 1.1目的 本流程目的在于规范服务管理和提供人员在提供服务流程中应遵循和执行的相关活动，保证信息安全管理目标的实现，满足SLA中的信息安全性需求以及合同、法律和外部政策等的要求。 1) 在所有的服务活动中有效地管理信息安全； 2) 使用标准的方法和步骤有效而迅速的处理各种与信息安全相关的问题，识别并跟 踪组织内任何信息安全授权访问； 3) 满足服务级别协议、合同、相关法规所记录的各项外部信息安全需求； 4) 执行操作级别协议和基础合同范围内的信息安全需求。 1.2范围 本安全管理流程的规定主要是针对由公司承担完全维护和管理职责的IT系统、技术、资源所面临的风险的安全管理。 向客户提供服务的相关人员在服务提供流程中所应遵循的规则依据公司信息安全管理体系所设定的安全管理规定，以及客户自身的相关安全管理规定。 公司内部信息、信息系统等信息资产相关的安全管理也应遵循公司信息安全管理体系所设定的安全管理规定。 2术语和定义 2.1相关ISO20000的术语和定义 1) 资产（Asset）：任何对组织有价值的事物。 2) 可用性（Availability）：需要时，授权实体可以访问和使用的特性。 3) 保密性（Confidentiality）：信息不可用或不被泄漏给未授权的个人、实体和流程的 特性。 4) 完整性（Integrity）：保护资产的正确和完整的特性。

5) 信息安全（Information security）：保护信息的保密性、完整性、可用性及其他属 性，如：真实性、可核查性、可靠性、防抵赖性。 6) 信息安全管理体系（Information security management system ISMS）：整体管理 体系的一部分，基于业务风险方法以建立、实施、运行、监视、评审、保持和改 进信息安全。 7) 注：管理体系包括组织机构、策略、策划、活动、职责、惯例、程序、流程和资 源。 8) 风险分析（Risk analysis）：系统地使用信息以识别来源和估计风险。 9) 风险评价（Risk evaluation）：将估计的风险与既定的风险准则进行比较以确定重 要风险的流程。 10) 风险评估（Risk assessment）：风险分析和风险评价的全流程。 11) 风险处置（Risk treatment）：选择和实施措施以改变风险的流程。 12) 风险管理（Risk management）：指导和控制一个组织的风险的协调的活动。 13) 残余风险（Residual risk）：实施风险处置后仍旧残留的风险。 2.2其他术语和定义 1) 文件（document）：信息和存储信息的媒体； 注1：本标准中，应区分记录与文件，记录是活动的证据，文件是目标的证据； 注2：文件的例子，如策略声明、计划、程序、服务级别协议和合同； 2) 记录（record）：描述完成结果的文件或执行活动的证据； 注1：在本标准中，应区分记录与文件，记录是活动的证据，文件是目标的证据； 注2：记录的例子，如审核报告、变更请求、事故响应、人员培训记录； 3) KPI：Key Performance Indicators 即关键绩绩效指标；也作Key Process Indication即关键流程指标。是通过对组织内部流程的关键参数进行设置、取样、 计算、分析，衡量流程绩效的一种目标式量化管理指标，流程绩效管理的基础。

网络信息安全管理程序

历史修订记录

1 目的 为了防止信息的泄密，避免严重灾难的发生，特制定此程序。 2 适用范围 包括但不限于计算机网络、个人计算机、互联网、邮件、电子文件和其他电子服务等相关设备、设施或资源。 3 术语和定义 ePHI：电子受保护健康信息。 IIHI：个人可识别健康信息。 4 职责与权限 4.1信息安全负责人 i.负责批准《系统/软件账号申请单》； ii.负责安全事件的确认和处理。 4.2客服部 i.负责医数聚系统的管理。 4.3人力资源部 i.负责硬件和移动设备的管理； ii.负责钉钉、钉邮和微信的管理。 4.4质量管理部 i.负责监督网络信息安全管理的执行。 4.5各部门 i.负责按照网络信息安全管理要求执行。 5 程序 5.1个人ePHI不论存储媒介，包括但不限于：姓名、年龄、性别、病例、医疗数据； 均需要采取措施，防止泄露。 5.1.1员工获得IIHI的程度应基于员工的工作性质及其相关的职责，员工可以访问他 们完成工作所需的所有IIHI，但不能获得更多的访问权限。 5.1.2任何员工都不可获得比其清除水平更高的IIHI水平。 5.2硬件和移动设备的管理控制 5.2.1硬件和移动设备包括但不限于：计算机、笔记本电脑、移动硬盘、U盘、光碟。 5.2.2硬件和移动设备的领用

5.2.2.1员工办公用到的硬件和移动设备采取实名登记制，由人力资源部通过《硬件 和移动设备领用登记表》做好登录管理，并每年梳理一次，以保证信息的正确性。 5.2.2.2当员工领用新的硬件或移动设备后，应第一时间设置使用密码，密码设置不 可过于简单，避免使用姓名、生日、简单数字等，使用密码只可自己知悉，不可告知其他同事，更不可记录下存放在显眼易获取位置，当员工察觉密码存在泄漏、丢失、被获取的可能时，一小时内上报信息安全责任人知悉，由信息安全责任人按照《安全事件管理程序》执行。为了防止密码被获知，人力资源部需监督员工每半年更换一次使用密码。 5.2.2.3员工离岗超过五分钟需对工位的硬件和移动设备进行保密操作，如拔出移动 硬盘存放在带锁抽屉，启动计算机的屏保功能等。保密操作如可以由设备自动执行，人力资源部应监督员工提前设置好。 5.2.2.4因员工离职、调岗等原因需要退回或变更硬件或移动设备时，退回或变更的 硬件和移动设备，在使用前，由人力资源部对其进行使用痕迹的清除工作，并填写记录《硬件和移动设备使用痕迹清除记录表》，质量管理部监督执行情况。 5.2.3硬件和移动设备损坏需要维修时，以防信息的泄露不可将设备带出公司维修， 需请专业人士上门维修，且全程需要有人员陪同在监控覆盖区域进行，对维修单位或个人按照《业务伙伴的管理程序》执行。 5.3系统/软件管理控制 5.3.1我司现有涉及PHI传输的系统/软件：医数聚系统、钉钉、钉邮、微信。 5.3.2医数聚系统由客服部负责管理，钉钉、钉邮、微信由人力资源部负责管理。 5.3.3我司系统/软件实行一人一账号的原则，个人账号不得相互借用，员工因工作需 要需要登录系统/软件时，需填写《系统/软件账号申请单》，交部门负责人审核，信息安全责任人批准后，交给管理部门开通账号及相关权限，管理部门需建立系统/软件《用户管理一览表》，管理系统/软件的使用人员及其权限相关信息，当员工离职、调岗时，管理部门需在收到信息的第一时间对该账户状态或权限做变更处理。管理部门应不定期的对《用户管理一览表》进行信息确认，以确保其准确无误。 5.3.4员工获得系统/软件的账号及初始密码后，需更改初始密码，密码的管理参见 5.2.2.2。 5.3.5为了确保信息传输在监控下进行，相关部门和人员对外联络应使用公司提供的系 统或软件账号进行。 5.3.6与ePHI相关的信息传输，尽可能在医数聚系统中完成，如必须使用钉钉、钉邮、 微信等，应遵循文件的加密规定。 5.3.7医数聚系统操作控制 5.3.7.1医数聚系统中对每个订单的处理都会形成“订单操作记录”，客服部需每季度

信息安全管理规范模板

信息安全管理规范

信息安全管理规范公司

版本信息 修订历史

Table of Contents( 目录) 1. 公司信息安全要求............................................................. 错误!未定义书签。 1.1 信息安全方针 .................................................................... 错误!未定义书签。 1.2 信息安全工作准则 ............................................................ 错误!未定义书签。 1.3 职责 .................................................................................... 错误!未定义书签。 1.4 信息资产的分类规定 ........................................................ 错误!未定义书签。 1.5 信息资产的分级( 保密级别) 规定 ................................... 错误!未定义书签。 1.6 现行保密级别与原有保密级别对照表............................ 错误!未定义书签。 1.7 信息标识与处理中的角色与职责 .................................... 错误!未定义书签。 1.8 信息资产标注管理规定 .................................................... 错误!未定义书签。 1.9 允许的信息交换方式 ........................................................ 错误!未定义书签。 1.10 信息资产处理和保护要求对应表 ................................. 错误!未定义书签。 1.11 口令使用策略 ................................................................. 错误!未定义书签。 1.12 桌面、屏幕清空策略 .................................................... 错误!未定义书签。 1.13 远程工作安全策略 ......................................................... 错误!未定义书签。 1.14 移动办公策略 ................................................................. 错误!未定义书签。 1.15 介质的申请、使用、挂失、报废要求 ...................... 错误!未定义书签。 1.16 信息安全事件管理流程 ................................................. 错误!未定义书签。 1.17 电子邮件安全使用规范 ................................................. 错误!未定义书签。 1.18 设备报废信息安全要求 ................................................. 错误!未定义书签。

信息安全系统管理系统要求规范

信息安全管理规范公司

版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要

Table of Contents（目录） 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级（保密级别）规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息？ (21) 2.2什么是信息安全？ (21)

信息安全事件管理程序.docx

信息安全事件管理程序 1 目的 为建立一个适当的信息安全事件、薄弱点和故障报告、反应与处理机制，减少信息安全事件和故障所造成的损失，采取有效的纠正与预防措施，特制定本程序。 2 范围 本程序适用于XXX业务信息安全事件的管理。 3 职责 3.1 信息安全管理流程负责人 ? 确定信息安全目标和方针； ? 确定信息安全管理组织架构、角色和职责划分； ? 负责信息安全小组之间的协调，内部和外部的沟通； ? 负责信息安全评审的相关事宜； 3.2 信息安全日常管理员 ? 负责制定组织中的安全策略； ? 组织安全管理技术责任人进行风险评估； ? 组织安全管理技术责任人制定信息安全改进建议和控制措施； ? 编写风险改进计划； 3.3 信息安全管理技术责任人 ? 负责信息安全日常监控； ? 信息安全风险评估；

? 确定信息安全控制措施； ? 响应并处理安全事件。 4 工作程序 4.1 信息安全事件定义与分类 信息安全事件是指信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接影响（后果）的。 造成下列影响（后果）之一的，均为一般信息安全事件。 a) XXX秘密泄露； b) 导致业务中断两小时以上； c) 造成信息资产损失的火灾； d) 损失在一万元人民币（含）以上的故障/事件。 造成下列影响（后果）之一的，属于重大信息安全事件。 a) 组织机密泄露； b) 导致业务中断十小时以上； c) 造成机房设备毁灭的火灾； d) 损失在十万元人民币（含）以上的故障/事件。 4.2 信息安全事件管理流程 ? 由信息安全管理负责人组织相关的运维技术人员根据XXX对信息安全的要求，确认代码管理相关信息系统的安全需求； ? 对代码管理相关信息系统进行信息安全风险评估，预测风险类型、

信息管理与信息安全管理程序.docx

. . 1目的 明确公司信息化及信息资源管理要求，对内外部信息及信息系统进行有效管理，以确保各部门( 单位 ) 和岗位能及时、安全地识别、获取并有效运用、保存所需信息。 2适用范围 适用于公司信息化管理及信息收集、整理、转换、传输、利用与发布管理。 3术语和定义 3.1信息 有意义的数据、消息。公司的信息包括管理体系所涉及的质量、环境、职业健康安全、测量、标准 化、内部控制、三基等和生产经营管理中所有信息。 3.2企业信息化 建立先进的管理理念，应用先进的计算机网络技术，整合、提升企业现有的生产、经营、设计、制 造、管理方式，及时为企业各级人员的决策提供准确而有效的数据信息，以便对需求做出迅速的反应， 其本质是加强企业的“核心竞争力” 。 3.3信息披露 指公司以报告、报道、网络等形式，向总部、地方政府报告或向社会公众公开披露生产经营管理相 关信息的过程。 3.4 ERP 企业资源规划 3.5 MES 制造执行系统 3.6LIMS 实验室信息管理系统 3.7IT 信息技术 4职责 4.1信息化工作领导小组负责对公司信息化管理工作进行指导和监督、检查，对重大问题进行决策， 定期听取有关信息化管理的工作汇报，协调解决信息化过程中存在的有关问题。 4.2 ERP支持中心负责公司ERP系统运行、维护管理，每月召开ERP例会，分析总结系统运行情况， 协调处理有关问题，及时向总部支持中心上报月报、年报。 4.3信息中心是公司信息化工作的归口管理部门，主要职责： a) 负责制定并组织实施本程序及配套规章制度，对各部门( 单位 ) 信息化工作进行业务指导和督促； b)负责信息化建设管理，组织进行信息技术项目前期管理，编制信息建设专业发展规划并组织实施； c) 负责统一规划、组织、整合和管理公司信息资源系统，为各部门( 单位 ) 信息采集、整理、汇总和 发布等环节提供技术支持；对Internet用户、电子邮箱进行设置管理；统一管理分公司互联网出口； d) 负责计算机网络系统、信息门户和各类信息应用系统的安全运行和维护及计算机基础设施、计算

ISO27001信息安全惩戒管理规定

ISO27001信息安全惩戒管理规定 1 目的 为对违反信息安全方针、体系文件要求、法律法规、合同要求的员工实施公正有效的奖惩，并作为对可能在其它情况下有意轻视信息安全程序的员工的威慑，强化全体员工的信息安全意识，有效防止信息安全事故的发生，特制定本规定。 2 范围 本程序适用于DXC对违反信息安全方针、体系文件要求、法律法规、合同要求的员工的奖惩及对信息安全做出贡献员工的奖励。 3 相关文件 4 职责 4.1 各副总经理负责自己区域内的奖惩。 4.2 管理者代表负责对IT方面信息安全事故的奖惩管理。 4.3 信息安全管理委员会负责决定重大信息安全和事故的处罚。 4.4 综合管理员负责DXC内部泄密或信息泄漏的调查。 5 程序 5.1 计算机信息系统的安保 5.1.1在计算机信息系统安全保护工作中成绩显著的单位和个人，由市行、市行

所辖各单位或公安机关给予表彰、奖励。 5.1.2 存在计算机信息系统安全隐患的市行所辖单位，由市行或公安机关发出整改通知，限期整改。因不及时整改而发生重大事故和案件的，由市行对该单位的主管负责人和直接负责人予以行政处分；构成违反治安管理或者违反计算机管理监察行为的，由公安机关依法予以处罚；构成犯罪的，由司法机关依法追究刑事责任。 注：以上条款由DXC计算机信息系统安全保护小组负责解释。 5.2 计算机应用与管理违规行为处罚规定 5.2.1 计算机应用、维护及操作人员违反规定对账务、信息进行处理的，给予经济处罚或者警告至降级处分；造成严重后果的，给予撤职至开除处分。 5.2.2 违反规定，擅自编制、使用、修改业务应用程序、调整系统参数和业务数据的，给予主管人员和其他责任人员记过至撤职处分；造成严重后果的，给予主管人员和其他责任人员留用察看至开除处分。 5.2.3 利用计算机进行违法违规活动或者为违法违规活动提供条件的，给予主管人员和其他责任人员记过撤职处分；造成严重后果的，给予留用至开除处分。 5.2.4 违反规定，有下列危害网络安全行为之一的，给予有关责任人员经济处罚或者警告至记过处分；造成严重后果的，给予记大过至开除处分：（a）在生产经营用机上使用与业务无关的软件或者利用通讯手段非法侵入其他系统和网络的（含从的一个业务系统进入另一个业务系统，从以外的系统和设备侵入业务网络系统，以及从的业务网络系统进入以外的网络系统）； （b）未经审批，私自使用内部网络上的计算机拨号上国际互联网的； （c）将非计算机设备接入网络系统的； （d）私自卸载或屏蔽计算机安全软件的； （e）私自修改计算机操作系统、网络系统安全设置的； （f）未经审批，私自在网络系统内开设游戏网站、论坛、聊天室等与工作无关的网络服务的； （g）利用邮件系统传播损害形象的邮件的。

重大事件期间网络与信息安全管理规定

**集团有限公司 重大事件期间网络与信息安全管理规定（试行） 第一章总则 第一条为切实做好**集团有限公司网络与信息安全防护工作，建立有效的安全防护体系，进一步提高预防和控制网络与信息安全突发事件的能力和水平，减轻或消除突发事件的危害和影响，确保重大事件期间网络与信息安全，制定本管理规定。 第二条本规定所指的重大事件是指需要保供电的国家、省政府层面的重大活动，如重大会议、重大体育赛事等。 第三条集团公司重大事件期间网络与信息安全管理要坚持以加强领导，落实信息安全责任地；高度重视，强化安全防范措施；周密部署，加强各相关方协作为原则，以确保重大事件期间不出现因网络与信息安全问题造成不良的社会影响，确保重大事件期间不出现因网络与信息安全问题造成的安全生产事故为目标。 第四条集团公司重大事件期间网络与信息安全管理工作范围包括：集团广域网、各局域网、电力二次系统、重要信息系统以及信息安全。各单位的网络与信息安全专项工作组应在集团公司网络与信息安全应急工作小组的指导下，负责本单位网络与信息安全防范和整改工作。

第五条重大事件期间在时间上分为三个阶段，分别是准备阶段、实施阶段和总结阶段。时间划分为重大事件起始日期前两个月为准备阶段；从重大事件起始日期至结束日期为实施阶段；从重大事件结束日期后半个月为总结阶段。各阶段网络与信息安全的管理工作内容有所侧重。 第六条本规定适用于集团公司总部和系统各单位。 第七条集团公司重大事件期间网络与信息安全管理工作由集团公司信息中心归口管理。 第二章准备阶段管理 第八条组织开展网络与信息安全查检工作，网络与信息安全采取自查和现场抽查相结合的方式，先开展各单位内部的网络与信息安全自查，在各单位自查的基础上，由集团公司组织相关人员对部分单位进行现场专项检查。 第九条网络与信息安全检查内容至少应包括管理制度建设、网络边界完整性检查和访问控制、电力二次系统安全分区、电力二次系统网络接口及防护、电力二次系统通用防护措施、安全审计、已采取的防范网络攻击技术措施、重要网站网页自动恢复措施、网络设备防护、系统运行日志留存及数据备份措施等。具体的检查内容见附件1《网络与信息安全检查表》。 第十条对于检查发现的安全陷患，各单位应制定整改

信息安全管理程序

信息安全管理程序 1.目的 为了防止信息和技术的泄密,避免严重灾难的发生，特制定此安全规定。。2.适用范围 包括但不限于电子邮件、音频邮件、电子文件、个人计算机、计算机网络、互联网和其它电子服务等相关设备、设施或资源。 2.1权责 2.1.1人力资源部：负责信息相关政策的规划、制订、推行和监督。 2.2.2 IT部：负责计算机、计算机网络相关设备设施的维护保养以及信息数据的备份相关事务处理。 2.2.3全体员工：按照管理要求进行执行。 3.内容 3.1公司保密资料： 3.1.1公司年度工作总结，财务预算决算报告，缴纳税款、薪资核算、营销报表和各种综合统计报表。 3.1.2公司有关供货商资料，货源情报和供货商调研资料。 3.1.3公司生产、设计数据，技术数据和生产情况。 3.1.4公司所有各部门的公用盘共享数据，按不同权责划分。 3.2公司的信息安全制度 3.2.1 凡涉及公司内部秘密的文件数据的报废处理，必须碎纸后丢弃处理。 3.2.2 公司员工工作所持有的各种文件、数据、电子文件，当本人离开办公室外出时，须存放入文件柜或抽屉，不准随意乱放，更未经批准，不能复制抄录或携带外出。 3.2.3 未经公司领导批准，不得向外界提供公司的任何保密数据和任何客户数据。 3.2.4经理室要运用各种形式经常对所属员工进行信息安全教育，增强保密意识：3.2. 4.1在新员工入职培训中进行信息安全意识的培训，并经人事检测合格后,方可建立其网络账号及使用资格。 3.2. 4.2每年对所有计算机用户至少进行一次计算机安全检查，包括扫病,去除与工作无关的软件等。 3.2.5不要将机密档及可能是受保护档随意存放，文件存放在分类目录下指定位

信息安全惩戒管理规定

信息科技部 信息安全惩戒管理规定 A版 2011年6月1日发布2011年6月1日实施

目录 1 目的 (3) 2 围 (3) 3 相关文件 (3) 4 职责 (3) 5 程序 (4) 5.1 计算机信息系统的安保 (4) 5.2 计算机应用与管理违规行为处罚规定 (4) 5.3 计算机信息类违规处罚 (6) 5.4 奖惩记录 (6) 5.5 证据的收集 (6) 5.6 证据的保存及提供 (7) 6 记录 (7)

1 目的 为对违反信息安全方针、体系文件要求、法律法规、合同要求的员工实施公正有效的奖惩，并作为对可能在其它情况下有意轻视信息安全程序的员工的威慑，强化全体员工的信息安全意识，有效防止信息安全事故的发生，特制定本规定。 2 围 本程序适用于银行信息科技部对违反信息安全方针、体系文件要求、法律法规、合同要求的员工的奖惩及对信息安全做出贡献员工的奖励。 3 相关文件 4 职责 4.1 各副总经理负责自己区域的奖惩。 4.2 管理者代表负责对IT方面信息安全事故的奖惩管理。 4.3 信息安全管理委员会负责决定重大信息安全和事故的处罚。 4.4 综合管理员负责银行信息科技部部泄密或信息泄漏的调查。

5 程序 5.1 计算机信息系统的安保 5.1.1在计算机信息系统安全保护工作中成绩显著的单位和个人，由市行、市行所辖各单位或公安机关给予表彰、奖励。 5.1.2 存在计算机信息系统安全隐患的市行所辖单位，由市行或公安机关发出整改通知，限期整改。因不及时整改而发生重大事故和案件的，由市行对该单位的主管负责人和直接负责人予以行政处分；构成违反治安管理或者违反计算机管理监察行为的，由公安机关依法予以处罚；构成犯罪的，由司法机关依法追究刑事责任。 注：以上条款由银行信息科技部计算机信息系统安全保护小组负责解释。 5.2 计算机应用与管理违规行为处罚规定 5.2.1 计算机应用、维护及操作人员违反规定对账务、信息进行处理的，给予经济处罚或者警告至降级处分；造成严重后果的，给予撤职至开除处分。 5.2.2 违反规定，擅自编制、使用、修改业务应用程序、调整系统参数和业务数据的，给予主管人员和其他责任人员记过至撤职处分；造成严重后果的，给予主管人员和其他责任人员留用察看至开除处分。 5.2.3 利用计算机进行违规活动或者为违规活动提供条件的，给予主管人员和其他责任人员记过撤职处分；造成严重后果的，给予留用至开除处分。 5.2.4 违反规定，有下列危害银行网络安全行为之一的，给予有关责任人员经济处罚或者警告至记过处分；造成严重后果的，给予记大过至开除处分：（a）在生产经营用机上使用与业务无关的软件或者利用通讯手段非法侵入其他系统和网络的（含从银行的一个业务系统进入另一个业务系统，从银行以外的系统和设备侵入银行业务网络系统，以及从银行的业务网络系统进入银行以外的网络系统）； （b）未经审批，私自使用银行部网络上的计算机拨号上国际互联网的； （c）将非银行计算机设备接入银行网络系统的； （d）私自卸载或屏蔽计算机安全软件的； （e）私自修改计算机操作系统、网络系统安全设置的；

信息安全管理制度汇总

信息安全管理制度 为加强公司各信息系统管理，保证信息系统安全，根据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》，及上级信息管理部门的相关规定和要求，结合公司实际，制定本制度。 本制度包括网络安全管理、信息系统安全保密制度、信息安全风险应急预案 网络安全管理制度 第一条公司网络的安全管理，应当保障网络系统设备和配套设施的安全，保障信息的安全，保障运行环境的安全。 第二条任何单位和个人不得从事下列危害公司网络安全的活动： 1、任何单位或者个人利用公司网络从事危害公司计算机网络及信息系统的安全。 2、对于公司网络主结点设备、光缆、网线布线设施，以任何理由破坏、挪用、改动。 3、未经允许，对信息网络功能进行删除、修改或增加。 4、未经允许，对计算机信息网络中的共享文件和存储、处理或传输的数据和应用程序进行删除、修改或增加。 5、故意制作、传播计算机病毒等破坏性程序。

6、利用公司网络，访问带有“黄、赌、毒”、反动言论内容的网站。 7、向其它非本单位用户透露公司网络登录用户名和密码。 8、其他危害信息网络安全的行为。 第三条各单位信息管理部门负责本单位网络的安全和信息安全工作，对本单位单位所属计算机网络的运行进行巡检，发现问题及时上报信息中心。 第四条连入公司网络的用户必须在其本机上安装防病毒软件，一经发现个人计算机由感染病毒等原因影响到整体网络安全，信息中心将立即停止该用户使用公司网络，待其计算机系统安全之后方予开通。 第五条严禁利用公司网络私自对外提供互联网络接入服务，一经发现立即停止该用户的使用权。 第六条对网络病毒或其他原因影响整体网络安全的子网，信息中心对其提供指导，必要时可以中断其与骨干网的连接，待子网恢复正常后再恢复连接。

公司信息安全管理制度

信息安全管理制度 信息安全是指通过各种策略保证公司计算机设备、信息网络平台（内部网络系统及ERP、CRM、WMS、网站、企业邮箱等）、电子数据等的安全、稳定、正常，旨在规范与保护信息在传输、交换和存储、备份过程中的机密性、完整性和真实性。为加强公司信息安全的管理，预防信息安全事故的发生，特制定本管理制度。本制度适用于使用新合程计算机设备、信息系统、网络系统的所有人员。 1.计算机设备安全管理 1.1员工须使用公司提供的计算机设备（特殊情况的，经批准许可的方能使用自已的计算机），不得私自调换或拆卸并保持清洁、安全、良好的计算机设备工作环境，禁止在计算机使用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 1.2严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件，当计算机出现硬件故障时应及时向信息技术部报告，不允许私自处理和维修。 1.3员工对所使用的计算机及相关设备的安全负责，如暂时离开座位时须锁定系统，移动介质自行安全保管。未经许可，不得私自使用他人计算机或相关设备,不得私自将计算机等设备带离公司。

1.4因工作需要借用公司公共笔记本的，实行“谁借用、谁管理”的原则，切实做到为工作所用，使用结束后应及时还回公司。 2.电子资料文件安全管理。 2.1文件存储 重要的文件和工作资料不允许保存在C盘（含桌面），同时定期做好相应备份，以防丢失；不进行与工作无关的下载、游戏等行为，定期查杀病毒与清理垃圾文件；拷贝至公共计算机上使用的相关资料，使用完毕须注意删除；各部门自行负责对存放在公司文件服务器P盘的资料进行审核与安全管理；若因个人原因造成数据资料泄密、丢失的，将由其本人承担相关后果。 2.2文件加密 涉及公司机密或重要的信息文件，所有人员需进行必要加密并妥善保管；若因保管不 善，导致公司信息资料的外泄及其他损失，将由其本人承担一切责任。 2.3文件移动

信息安全奖惩管理办法

信息安全奖惩管理办法 1.目的 明确信息安全奖励与违规行为处罚的操作原则，强化执行，促进员工信息安全意识提升。 2.适用范围 本规范适用于深圳市XX公司 (后续简称为公司)。 3.定义 4.职责与权限

5.内容 5.1奖励、违规行为处罚原则 5.1.1及时激励原则 对长期妥善保护公司信息资产，有效避免信息资产的遗失、滥用、盗用等，或对于促进信息安全合理共享表现突出的个人或者集体，将及时奖励。 5.1.2举报保密原则 对于举报信息安全违规行为的人员，将对其进行奖励并严格保护其个人资料不公开。 5.1.3违规行为处罚原则 5.1.3.1法律追究原则 公司所有保密信息均为公司合法资产，受国家法律法规保护。任何损害公司保密信息的行为，公司均有权追究行为人法律责任。 5.1.3.2违规分级原则 根据违规行为的性质、造成的损失和影响的严重程度、违规人员是否有意对违规行为分级。涉及关键信息资产的，违规等级要升级；一次违反多条信息安全规定的人员按最高违规等级从重处罚；对多次违反信息安全规定的人员再次违规时要从重处罚。 5.1.3.3主动从宽原则 产生违规行为后主动报告，积极采取补救措施以减少影响和损失的人员，可减轻处罚；对问题隐瞒不报或者不及时上报而导致违规影响扩大的人员，加重处罚。

5.1.3.4过度防卫处罚原则 对阻碍信息合理流动与共享的人员要给予处罚。 5.1.3.5及时处理原则 对重大信息安全违规事件，要及时处理。任何拖延、推诿不处理的责任人，要给予问责。 5.2奖励等级与责任部门 5.2.1奖励等级与措施 5.2.2奖励责任部门 1）对于满足信息安全奖励标准的集体或者个人，IT部信息安全组可根据具体事迹定期进行申报，审批通过后由人力资源部根据公司财务制度进行发放奖金；

信息安全事件管理程序(正式版)

信息安全事件管理程序 Through the process agreement to achieve a unified action policy for different people, so as to coordinate action, reduce blindness, and make the work orderly. 编制：___________________ 日期：___________________

信息安全事件管理程序 温馨提示：该文件为本公司员工进行生产和各项管理工作共同的技术依据，通过对具体的工作环节进行规范、约束，以确保生产、管理活动的正常、有序、优质进行。 本文档可根据实际情况进行修改和使用。 1 目的 为建立一个适当的信息安全事件、薄弱点和故障报告、反应与处理机制, 减少信息安全事件和故障所造成的损失, 采取有效的纠正与预防措施, 特制定本程序。 2 范围 本程序适用于XXX业务信息安全事件的管理。 3 职责 3.1 信息安全管理流程负责人 确定信息安全目标和方针； 确定信息安全管理组织架构、角色和职责划分； 负责信息安全小组之间的协调, 内部和外部的沟通； 负责信息安全评审的相关事宜； 3.2 信息安全日常管理员 负责制定组织中的安全策略； 组织安全管理技术责任人进行风险评估；

组织安全管理技术责任人制定信息安全改进建议和控制措施； 编写风险改进计划； 3.3 信息安全管理技术责任人 负责信息安全日常监控； 信息安全风险评估； 确定信息安全控制措施； 响应并处理安全事件。 4 工作程序 4.1 信息安全事件定义与分类 信息安全事件是指信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接影响（后果）的。 造成下列影响（后果）之一的, 均为一般信息安全事件。 a) XXX秘密泄露； b) 导致业务中断两小时以上； c) 造成信息资产损失的火灾； d) 损失在一万元人民币（含）以上的故障/事件。 造成下列影响（后果）之一的, 属于重大信息安全事件。 a) 组织机密泄露；

信息管理与信息安全管理程序DOC

金陵石化公司一体化管理体系 信息管理与信息安全管理程序 文件编号JLSH-T20.32.00.027.2011 版本/修改A/0 第 1 页共16页1 目的 明确公司信息化及信息资源管理要求，对内外部信息及信息系统进行有效管理，以确保各部门(单位)和岗位能及时、安全地识别、获取并有效运用、保存所需信息。 2 适用范围 适用于公司信息化管理及信息收集、整理、转换、传输、利用与发布管理。 3 术语和定义 3.1 信息 有意义的数据、消息。公司的信息包括管理体系所涉及的质量、环境、职业健康安全、测量、标准化、内部控制、三基等和生产经营管理中所有信息。 3.2 企业信息化 建立先进的管理理念，应用先进的计算机网络技术，整合、提升企业现有的生产、经营、设计、制造、管理方式，及时为企业各级人员的决策提供准确而有效的数据信息，以便对需求做出迅速的反应，其本质是加强企业的“核心竞争力”。 3.3 信息披露 指公司以报告、报道、网络等形式，向总部、地方政府报告或向社会公众公开披露生产经营管理相关信息的过程。 3.4 ERP 企业资源规划 3.5 MES 制造执行系统 3.6 LIMS 实验室信息管理系统 3.7 IT 信息技术 4 职责 4.1 信息化工作领导小组负责对公司信息化管理工作进行指导和监督、检查，对重大问题进行决策，定期听取有关信息化管理的工作汇报，协调解决信息化过程中存在的有关问题。 4.2 ERP支持中心负责公司ERP系统运行、维护管理，每月召开ERP例会，分析总结系统运行情况，协调处理有关问题，及时向总部支持中心上报月报、年报。 4.3 信息中心是公司信息化工作的归口管理部门，主要职责： a)负责制定并组织实施本程序及配套规章制度，对各部门(单位)信息化工作进行业务指导和督促； b)负责信息化建设管理，组织进行信息技术项目前期管理，编制信息建设专业发展规划并组织实施；

信息安全事件报告和处置管理制度

安全事件报告和处置管理制度 文号：版本号： 编制：审核：批准： 一、目的 提高处置网络与信息安全突发公共事件的能力，形成科学、有效、反应迅速的应急工作机制，确保重要计算机信息系统的实体安全、运行安全和数据安全，最大限度地减轻网络与信息安全突发公共事件的危害，保障国家和人民生命财产的安全，保护公众利益，维护正常的政治、经济和社会秩序。 二、适用范围 本预案适用于本局发生的网络与信息安全突发公共事件和可能导致网络与信息安全突发公共事件的应对工作。 本预案启动后，本局其它网络与信息安全应急预案与本预案相冲突的，按照本预案执行；法律、法规和规章另有规定的从其规定。 三、职责 本预案由局信中心制订，报局领导批准后实施。局有关部门应根据本预案, 制定部门网络与信息安全应急预案，并报局信息中心备案。 结合信息网络快速发展和我局经济社会发展状况，配合相关法律法规的制定、修改和完善，适时修订本预案。 本预案自印发之日起实施。 四、要求 1.工作原则 预防为主：立足安全防护，加强预警，重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统，从预防、监控、应急处理、应急保障和打击犯罪等环节，在法律、管理、技术、人才等方面，采取多种措施，充分发挥各方面的作用，共

同构筑网络与信息安全保障体系。 快速反应：在网络与信息安全突发公共事件发生时，按照快速反应机制，及时获取充分而准确的信息，跟踪研判，果断决策，迅速处置，最大程度地减少危害和影响。 以人为本：把保障公共利益以及公民、法人和其他组织的合法权益的安全作为首要任务，及时采取措施，最大限度地避免公民财产遭受损失。 分级负责：按照谁主管谁负责、谁运营谁负责、谁使用谁负责”以及条块结合，以条为主”的原则，建立和完善安全责任制及联动工作机制。根据部门职能，各司其职，加强部门间、地局间的协调与配合，形成合力，共同履行应急处置工作的管理职责。 常备不懈：加强技术储备，规范应急处置措施与操作流程，定期进行预案演练，确保应急预案切实有效，实现网络与信息安全突发公共事件应急处置的科学化、程序化与规范化。 2组织指挥机构与职责 发生网络与信息安全突发公共事件后，应成立局网络与信息安全应急协调小组（以下简称局协调小组），为本局网络与信息安全应急处置的组织协调机构，负责领导、协调全局网络与信息安全突发公共事件的应急处置工作。局网络与信息安全协调小组下设办公室（以下简称局协调小组办公室），负责日常工作和综合协调，并与公安网监部门进行联系。 3先期处置 （1）当发生网络与信息安全突发公共事件时，事发部门应做好先期应急处置工作，立即采取措施控制事态，同时向相关局级主管部门通报。 （2）网络与信息安全事件分为四级：特别重大（I级）、重大（H级）、较大（皿级）、一般（W级）。 (3)局级主管部门在接到本系统网络与信息安全突发公共事件发生或可能发生的信息后，应加强与有关方面的联系，掌握最新发展态势。对皿级或W级的网络与信息安全突发公共事件，由该局级主管部门自行负责应急处置工作。对有可能演变为H级或I

两化融合信息安全管理程序

文件编号 xxx-II-0005 版号 A 页码1/4 1.目的 为加强XXX集团股份有限公司(以下简称“公司”)的信息设备管理,明确岗位职责,规范操作流程,维护网络正常运行,确保计算机信息安全,特制订本办法。 2.适用范围 在企业中组织建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理程序,提供必要的技术条件和设备设施保障,识别和管理可能存在的信息安全风险,确保信息安全事件的有效处理。 3.职责 信息中心负责公司两化融合信息安全管理工作,包括网络安全、终端安全、数据安全、机房安全和第三方人员管理。 3.1负责公司网络安全和运维工作,对公司信息网络的运行管理进行维护和检查。 3.2负责公司终端安全管理,为公司终端安全管理建设提供指导,提高对于分散终端的安全管理能力,规范系统中终端用户的行为,降低来自终端的安全威胁。 3.3负责公司电子数据安全管理,其中特指对主要信息系统相关的重要数据,采取适当的保护措施。 3.4负责机房安全管理,对可能影响机房安全的各种因素进行控制,确保机房内计算机系统、网络设备以及其他设施的正常运行,保障机房工作人员的人身安全。 3.5负责第三方人员安全管理,减少第三方人员对信息系统带来的安全风险。 4.正文

4.1 运行 4.1.1信息安全风险评估计划和控制 信息中心对信息安全风险评估工作进行规划和控制,并实施风险处置计划,确保信息安全目标的达成。 4.1.2 信息安全风险评估实施 公司每年开展 1 次信息资产识别和信息安全风险评估的工作,当出现下列情况时,管理者代表可以决定增加风险评估的次数: 公司的信息安全风险评估工作在公司整体风险管理的框架下进行,与公司整体风险管理的年度工作同步进行,评估所发现的风险作为公司整体风险的一部分。 4.1.3 信息安全风险控制措施实施 公司针对评估出的信息安全风险应制定并实施信息安全风险处置计划,并保留信息安全风险处置结果文档化信息以作为证据。 4.2安全管控 4.2.1网络安全管理 信息网络指公司的网络系统和网络应用系统等,包括网络服务系统、网络安全设施、网络存储系统等。 公司信息网络设备的管理与部署在网络中应合理部署入侵保护系统,入侵保护系统要求覆盖主要网络边界与主要服务器。