【正文】 應(yīng)用軟件和數(shù)據(jù)庫系統(tǒng)的保密功能設(shè)置 ； 7）檢查主機(jī)房、配線房、終端設(shè)備房、網(wǎng)絡(luò)設(shè)備房、網(wǎng)絡(luò)布線的物理環(huán)境安全保密措施； 8）檢查系統(tǒng)或單機(jī)上因特網(wǎng)的安全保密措施； 9）檢查保密組織與保密制度的落實(shí)情況。 初步考察測(cè)試通過后， IT 部于 20日內(nèi)組織由有關(guān)專家、技術(shù)人員和有關(guān)職能部門組成的“涉密信息系統(tǒng)保密工作檢查評(píng)審組”對(duì)系統(tǒng)的安全保密情況進(jìn)行評(píng)估論證，填寫《涉密信息系統(tǒng)現(xiàn)場(chǎng)考察表》，必要時(shí)由 IT 部 上報(bào)公司有關(guān)領(lǐng)導(dǎo)。 IT 部根據(jù)評(píng)估情況和領(lǐng)導(dǎo)批示，核批《涉密信息系統(tǒng)使用申報(bào)表》，并返還申報(bào)單位。 管理控制 涉密信息系統(tǒng)應(yīng)設(shè)置系統(tǒng)安全保密員，保密員職責(zé)見本規(guī)定第 。 涉密信息系統(tǒng)應(yīng)設(shè)置用戶身份認(rèn)證、權(quán)限控制等鑒別機(jī)制?？诹畹氖褂煤凸芾響?yīng)符合《操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)帳號(hào)及口令管理規(guī)定》的要求。 涉密信息系統(tǒng)的訪問控制應(yīng)當(dāng)符合以下要求： 1）機(jī)密級(jí)、秘密級(jí)系統(tǒng)，訪問可按照用戶類別控制； 2）絕密級(jí)系統(tǒng)，訪問必須控制到單個(gè)用戶。 涉密信息的存儲(chǔ)、傳輸要采用加密措施，并應(yīng)符合下列要求： 1）絕密級(jí)信息應(yīng)當(dāng)加密存儲(chǔ)、加密傳輸； 2）秘密級(jí)、機(jī)密級(jí)和絕密級(jí)信 息系統(tǒng)運(yùn)行時(shí)，若通過電信公用網(wǎng)線（電）路傳輸信息，應(yīng)采用 SSL協(xié)議加密或通過專線進(jìn)行傳輸； 3）電子郵件系統(tǒng)必須通過安全的 HTTPS連接進(jìn)行訪問。 涉密信息系統(tǒng)要建立審計(jì)跟蹤、日志管理等監(jiān)督機(jī)制，并應(yīng)符合以下要求： 1）應(yīng)當(dāng)有詳細(xì)的系統(tǒng)日志，記錄每個(gè)用戶的每次活動(dòng)以及系統(tǒng)出錯(cuò)和配置修改等信息； 2）機(jī)密及秘密級(jí)信息系統(tǒng)，系統(tǒng)安全保密員應(yīng)當(dāng)定期審查系統(tǒng)日志并作審查記錄，審查周期不得長(zhǎng)于 30日； 3）絕密級(jí)系統(tǒng)，系統(tǒng)安全保密員應(yīng)當(dāng)定期審查系統(tǒng)日志并作審查記錄，審查周期不得長(zhǎng)于7日。 涉密計(jì)算機(jī)設(shè)備的維修應(yīng)確保密級(jí)數(shù)據(jù)不被泄露。對(duì)報(bào)廢計(jì)算機(jī)應(yīng)將硬盤拆除后，由專人負(fù)責(zé)集中銷毀；對(duì)廢棄的打印紙及磁介質(zhì)等，應(yīng)按國(guó)家有關(guān)規(guī)定進(jìn)行銷毀。 其它要求 審批未經(jīng)通過的涉密信息系統(tǒng)不得運(yùn)行。相關(guān)單位應(yīng)對(duì)系統(tǒng)存在的漏洞和問題采取補(bǔ)救和改進(jìn)措施，系統(tǒng)改進(jìn)后再履行審批手續(xù)。 系統(tǒng)正常使用后如涉密信息密級(jí)提高需更改系統(tǒng)級(jí)別的，應(yīng)按新級(jí)別重新評(píng)估并配置保密設(shè)施，按上述程序履行必要的審批手續(xù)。 涉密信息系統(tǒng)正常使用后由 IT 部 視情況不定期進(jìn)行系統(tǒng)保密性能檢查，發(fā)現(xiàn)問題 及時(shí)糾正。 7．附則 本規(guī)定所指公司層面信息系統(tǒng)是指在公司層面運(yùn)行的各類應(yīng)用系統(tǒng)（含自主開發(fā)的應(yīng)用軟件和所購置的商品軟件等）所涉及的軟硬件環(huán)境，包括硬件系統(tǒng)、系統(tǒng)軟件和應(yīng)用軟件三部分。 本規(guī)定自 2020 年 50月 1日起試行。 本規(guī)定由 IT 部負(fù)責(zé)解釋 IT 內(nèi)控體系內(nèi)部審核與管理評(píng)審程序規(guī)定（試行 ) 1．目的和范圍 為加強(qiáng)公司 IT 系統(tǒng)的內(nèi)部控制與管理，有效監(jiān)控 IT 相關(guān)的管理制度、辦法、規(guī)定、標(biāo)準(zhǔn)、技術(shù)規(guī)范等的執(zhí)行情況，實(shí)現(xiàn) IT 內(nèi)部控制的合規(guī)性，保證 IT 內(nèi)控管理體系的適宜性和持續(xù)有效， 營(yíng)造穩(wěn)定、健康、有序的 IT管理環(huán)境，特制定本規(guī)定。 本規(guī)定適用于公司范圍內(nèi)與 IT 相關(guān)的內(nèi)部審核與管理評(píng)審，主要針對(duì)公司層面 IT 系統(tǒng)有關(guān)的業(yè)務(wù)與管理。 2．相關(guān)部門 IT 部 、與 IT 業(yè)務(wù)相關(guān)的各部門。 3．職責(zé)與權(quán)限 IT 部 負(fù)責(zé)組織根據(jù)本規(guī)定對(duì) IT 相關(guān)規(guī)章制度及其執(zhí)行情況及 IT 項(xiàng)目的建設(shè)情況進(jìn)行監(jiān)督、監(jiān)控、審核與評(píng)價(jià)。 IT 部領(lǐng)導(dǎo)負(fù)責(zé)組織管理評(píng)審，并主持管理評(píng)審會(huì)議。 其他管理人員，包括相關(guān)部門 IT 系統(tǒng)負(fù)責(zé)人參加管理評(píng)審，并按職責(zé)范圍提供內(nèi)控體系運(yùn)行情況的信息和資料，形成書面材料向 管理評(píng)審會(huì)議匯報(bào)。 內(nèi)審組長(zhǎng)負(fù)責(zé)具體組織實(shí)施內(nèi)審工作。 內(nèi)審員負(fù)責(zé)協(xié)助內(nèi)審組長(zhǎng)完成內(nèi)審工作。 受審核部門負(fù)責(zé)協(xié)助并積極配合內(nèi)審工作。 4．管理內(nèi)容與流程 IT 內(nèi)部審核 年度審核計(jì)劃編制 每年第一季度， IT 部組織人員完成《年度 IT 內(nèi)部審核計(jì)劃》的編制，并提交 IT 部領(lǐng)導(dǎo)批準(zhǔn)。 “年度 IT 內(nèi)部審核計(jì)劃”要保證全年完成涉及 IT 體系中的全部要素和全部活動(dòng)以及所有場(chǎng)所與部門?！澳甓?IT 內(nèi)部審核計(jì)劃”的內(nèi)容應(yīng)包括： 1）審核的要素； 2）受審核的部門； 3）審核的時(shí)間安排； 4）編制、審核、批準(zhǔn)人簽字等。 在下列情況下，可追加審核或增加審核頻次： 1） IT 系統(tǒng)有關(guān)的領(lǐng)導(dǎo)層、組織結(jié)構(gòu)、人員、產(chǎn)品與服務(wù)等發(fā)生重大變化時(shí)； 2） IT 系統(tǒng)發(fā)生了嚴(yán)重的質(zhì)量問題或因質(zhì)量問題引起顧客重大投訴時(shí)。 審核的策劃和準(zhǔn)備 指定內(nèi)審組長(zhǎng)并組成內(nèi)審組 1）每次審核前由 IT 部 領(lǐng)導(dǎo)指定內(nèi)審組長(zhǎng)和內(nèi)審員，組成內(nèi)審組； 2）內(nèi)審組成員在業(yè)務(wù)水平和管理經(jīng)驗(yàn)等資格方面應(yīng)符合內(nèi)審要求，應(yīng)經(jīng)過相應(yīng)的培訓(xùn)，熟悉 IT 內(nèi)控體系文件， 辦事公道，并得到被審核部門的認(rèn)可； 3）只要人力資源允許，內(nèi)審組成員應(yīng)與被審核的部門無直接責(zé)任，獨(dú)立于被審核工作。 制訂《 IT 內(nèi)部審核實(shí)施計(jì)劃》 內(nèi)審組長(zhǎng)負(fù)責(zé)制訂審核實(shí)施計(jì)劃，內(nèi)容包括：審核目的、范圍、依據(jù)；審核的日程安排；內(nèi)審小組的組成和分工；受審核部門相關(guān)的過程、活動(dòng)及對(duì)應(yīng)的管理制度條款和體系要求；其他需明確的事項(xiàng)和要求等。 內(nèi)審組應(yīng)提前三個(gè)工作日將計(jì)劃發(fā)放到有關(guān)部門，以便確認(rèn)計(jì)劃安排。 內(nèi)審員應(yīng)根據(jù)任務(wù)分工編寫《 IT內(nèi)審檢查表》。 審核實(shí)施 首次會(huì)議 首次會(huì)議由內(nèi)審組長(zhǎng)主持，受審核部門負(fù)責(zé)人和審核組成員參加。 會(huì)議內(nèi)容包括：明確審核的目的與范圍、依據(jù)、要求和方法，介紹審核計(jì)劃，解決計(jì)劃中不明確的細(xì)節(jié)，建立聯(lián)系渠道，落實(shí)具體安排，確定末次會(huì)議時(shí)間等；首次會(huì)議要簽到。 現(xiàn)場(chǎng)審核 內(nèi)審員按審核計(jì)劃和檢查表實(shí)施審核。 通過交談、詢問、文件查閱、現(xiàn)場(chǎng)檢查 (即問、聽、看、查 )等方法收集客觀證據(jù)并記錄，應(yīng)使用正確的工作方法和審核技巧。 確定不合格項(xiàng) 內(nèi)審組評(píng)審檢查結(jié)果，確定不合格項(xiàng)。按不合格性質(zhì)分為：體系性不合格、 實(shí)施性不合格、效果性不合格；按嚴(yán)重程度分為：輕微不合格和嚴(yán)重不合格。 開具《 IT 內(nèi)審不合格報(bào)告》及《 IT內(nèi)審不合格報(bào)告執(zhí)行情況一覽表》 確定不合格項(xiàng)后，內(nèi)審員填寫不合格報(bào)告單。不合格報(bào)告單的內(nèi)容包括：審核員、審核時(shí)間、受審核部門及負(fù)責(zé)人、不合格事實(shí)描述、不合格類型、不符合條款等。不合格事實(shí)描述要具體，并經(jīng)受審核方確認(rèn)。 末次會(huì)議 由內(nèi)審組長(zhǎng)主持，受審核部門負(fù)責(zé)人和審核組成員參加。 會(huì)議內(nèi)容包括：重申審核目的、范圍和依據(jù)，說明審核過程，宣讀不合格報(bào)告，評(píng)價(jià)審核結(jié)果、提出糾正 措施要求等；末次會(huì)議要簽到。 編寫審核報(bào)告 內(nèi)審組長(zhǎng)負(fù)責(zé)編寫《 IT 內(nèi)審報(bào)告》，經(jīng) IT 部 領(lǐng)導(dǎo)批準(zhǔn)后發(fā)放到有關(guān)部門。審核報(bào)告的內(nèi)容應(yīng)包括： 1）審核目的、范圍和依據(jù)； 2）審核計(jì)劃完成情況及不合格項(xiàng)的匯總分析； 3）體系運(yùn)行結(jié)果的評(píng)價(jià)； 4）審核結(jié)論； 5）審核報(bào)告的分發(fā)范圍等。 糾正的實(shí)施與跟蹤驗(yàn)證 責(zé)任部門應(yīng)根據(jù)不合格項(xiàng)報(bào)告，認(rèn)真分析產(chǎn)生問題的原因，并針對(duì)原因制定和實(shí)施糾正措施。 內(nèi)審組負(fù)責(zé)糾正措施的跟蹤與驗(yàn)證，必要時(shí)進(jìn)行現(xiàn)場(chǎng)確認(rèn)。 內(nèi)審結(jié)果匯總分析 內(nèi)審組長(zhǎng)負(fù)責(zé)將 IT 內(nèi)審結(jié)果歸納總結(jié)并予以分析，形成體系運(yùn)行報(bào)告，作為管理評(píng)審的輸入。 報(bào)告內(nèi)容包括：審核計(jì)劃完成情況，不合格項(xiàng)匯總分析、糾正措施的跟蹤驗(yàn)證情況及對(duì)體系評(píng)價(jià)、薄弱環(huán)節(jié)分析和體系改進(jìn)建議等。 IT管理評(píng)審 管理評(píng)審計(jì)劃 IT部 領(lǐng)導(dǎo)負(fù)責(zé)主持 IT 管理評(píng)審并組織編制管理評(píng)審計(jì)劃，內(nèi)容包括：評(píng)審目的、評(píng)審內(nèi)容、被評(píng)審部門及參加人員、管理評(píng)審的時(shí)間和評(píng)審計(jì)劃的發(fā)放范圍等。 管理評(píng)審每年至少進(jìn)行一次，一般安排在內(nèi)部審核后進(jìn)行。 當(dāng)連續(xù)出現(xiàn) IT 方面重大事故或顧客投訴時(shí)以及公司領(lǐng)導(dǎo)層認(rèn)為需要時(shí)，可增加 管理評(píng)審的頻次。 管理評(píng)審參加的人員 1） IT 部領(lǐng)導(dǎo)； 2）各相關(guān)部門負(fù)責(zé)人及二級(jí)公司分管 IT業(yè)務(wù)的領(lǐng)導(dǎo)； 3）內(nèi)審員； 4）必要時(shí)可請(qǐng)公司分管領(lǐng)導(dǎo)參加。 管理評(píng)審的輸入 1）內(nèi)部審核的結(jié)果； 2） IT 目標(biāo)的執(zhí)行情況及總體有效性； 3）改進(jìn)的建議； 4）有關(guān)部門反饋的信息； 5）連續(xù)出現(xiàn)的重大事故報(bào)告； 6）糾正和預(yù)防措施的實(shí)施情況及效果； 7）可能影響 IT體系的變動(dòng)； 8） IT 相關(guān)各部門的工作業(yè)績(jī)和服務(wù)的質(zhì)量現(xiàn)狀； 9）上次 IT 管理評(píng)審的改進(jìn)措施等。 評(píng)審準(zhǔn)備 IT 部 應(yīng)提前三個(gè)工作日通知所有參加管理評(píng)審的人員。 各相關(guān)部門準(zhǔn)備與本部門有關(guān)的評(píng)審資料。 管理評(píng)審的實(shí)施 管理評(píng)審會(huì)議由 IT部 領(lǐng)導(dǎo)主持。 以會(huì)議形式對(duì)評(píng)審輸入中的各項(xiàng)內(nèi)容進(jìn)行評(píng)審。 分析 IT 體系的適宜性、充分性和有效性，做出是否需要改進(jìn)和完善的決議。 管理評(píng)審的輸出 IT 內(nèi)控體系及其過程有效性的改進(jìn)信息。 編寫《 IT 管理評(píng)審報(bào)告》 IT 部安排人員負(fù)責(zé)編寫“ IT 管理評(píng)審報(bào)告”，經(jīng) IT 部領(lǐng)導(dǎo)批準(zhǔn)后，發(fā)送各有關(guān)部門，相關(guān)記錄做好保存。 “ IT 管理評(píng)審報(bào)告”的內(nèi)容至 少應(yīng)包括： 1）評(píng)審的目的； 2）評(píng)審內(nèi)容； 3）評(píng)審日期及參加人員； 4）評(píng)審活動(dòng)的評(píng)價(jià)與結(jié)論； 5）采取相關(guān)的糾正和預(yù)防措施的要求； 6）評(píng)審報(bào)告的發(fā)放范圍等。 糾正和預(yù)防措施 各責(zé)任部門按 IT 管理評(píng)審提出的改進(jìn)要求進(jìn)行改進(jìn)， IT 部負(fù)責(zé)對(duì)其執(zhí)行情況及效果進(jìn)行跟蹤檢查和驗(yàn)證。 5．附則 本規(guī)定自 2020年 05月 01日起試行。 本規(guī)定由 IT 部負(fù)責(zé)解釋。 機(jī)房管理一般規(guī)定（試行） 1．總則 為了安全有效地管理公司機(jī)房，保障公司計(jì)算機(jī)信息系統(tǒng)的安全應(yīng)用和高效運(yùn)行，特制定本規(guī)定。 2．適用范圍 本規(guī)定適用于公司機(jī)房的管理。 各二級(jí)公司應(yīng)參照本規(guī)定制訂相應(yīng)的管理制度，組織管理好其內(nèi)部機(jī)房。 3．職責(zé) IT 部負(fù)責(zé)本規(guī)定的制訂和修訂，并負(fù)責(zé)對(duì)本規(guī)定的執(zhí)行情況開展定期或不定期的監(jiān)督檢查和指導(dǎo)工作。 機(jī)房管理部門負(fù)責(zé)機(jī)房的日常管理工作。 機(jī)房工作人員負(fù)責(zé)對(duì)機(jī)房設(shè)備進(jìn)行操作、管理和日常維護(hù)保養(yǎng)。 4．管理要求 一般管理 公司機(jī)房的管理應(yīng)參照國(guó)家《計(jì)算機(jī)場(chǎng)地安全要求》和《計(jì)算機(jī)場(chǎng)地技術(shù)條件》等標(biāo)準(zhǔn)，并結(jié)合公司機(jī)房設(shè)備的具體要求進(jìn)行實(shí)施。 機(jī)房應(yīng)保持清潔衛(wèi)生，定期進(jìn)行清理，對(duì)機(jī)器設(shè)備應(yīng)吸塵清潔。應(yīng)指定專人對(duì)機(jī)房進(jìn)行管理和維護(hù) (包括溫度、濕度、電力系統(tǒng)、機(jī)房設(shè)備等 )，機(jī)房溫濕度應(yīng)確保滿足設(shè)備的使用要求。 機(jī)房?jī)?nèi)嚴(yán)禁放置易燃、易爆、腐蝕、強(qiáng)磁性物品，應(yīng)保證機(jī)房防靜電、防火、防潮、防塵、防熱。禁止將機(jī)房?jī)?nèi)的電源引出挪做他用，確保機(jī)房安全。 機(jī)房管理部門應(yīng)經(jīng)常對(duì)機(jī)房?jī)?nèi)設(shè)置的消防器材、監(jiān)控設(shè)備等進(jìn)行檢查，確保其有效性，并嚴(yán)格按照設(shè)備規(guī)定的保養(yǎng)要求對(duì)機(jī)房設(shè)備進(jìn)行日常保養(yǎng)。 進(jìn)入機(jī)房人員應(yīng)遵守機(jī)房管理規(guī)定，填寫《 進(jìn)出機(jī)房人員登記臺(tái)帳》，更換專用工作鞋（或鞋套），不得攜帶任何易燃、易爆、腐蝕性、強(qiáng)電磁、輻射性、流體物質(zhì)等對(duì)設(shè)備正常運(yùn)行構(gòu)成威脅的物品。 機(jī)房工作人員應(yīng)做好安全工作，定時(shí)巡視并監(jiān)控機(jī)房設(shè)備運(yùn)行狀況，發(fā)現(xiàn)異常情況應(yīng)立即按照預(yù)案規(guī)程進(jìn)行操作，并及時(shí)上報(bào)和詳細(xì)記錄。 機(jī)房管理部門應(yīng)于每月底將機(jī)房監(jiān)控資料刻錄成光盤進(jìn)行保存，以備查詢。 機(jī)房設(shè)備所屬管理部門應(yīng)填寫《機(jī)房工作人員申請(qǐng)表》，報(bào)本部門領(lǐng)導(dǎo)及 IT 部 領(lǐng)導(dǎo)審批后列入機(jī)房工作人員名單。非在本名單中的人員一律視為非機(jī)房工作人員。嚴(yán)禁非機(jī) 房工作人員進(jìn)入機(jī)房，特殊情況（包括參觀人員進(jìn)入）需填寫《非機(jī)房工作人員進(jìn)入機(jī)房審批表》報(bào)本部門領(lǐng)導(dǎo)、 IT 部 領(lǐng)導(dǎo)及機(jī)房管理部門分管領(lǐng)導(dǎo)批準(zhǔn)后，由機(jī)房管理部門安排進(jìn)入。非機(jī)房工作人員進(jìn)入機(jī)房應(yīng)有機(jī)房工作人員全程陪同，不允許非機(jī)房工作人員單獨(dú)在機(jī)房逗留。 各類人員在攜帶設(shè)備進(jìn) /出機(jī)房時(shí)，應(yīng)填寫《設(shè)備進(jìn) /出機(jī)房審批表》，報(bào)本部門領(lǐng)導(dǎo)、IT 部 領(lǐng)導(dǎo)及機(jī)房管理部門分管領(lǐng)導(dǎo)批準(zhǔn)后，由機(jī)房管理部門安排進(jìn) /出。 嚴(yán)禁在機(jī)房?jī)?nèi)從事與工作無關(guān)的活動(dòng)。對(duì)違規(guī)人員，機(jī)房工作人員應(yīng)及時(shí)制止，并有權(quán)勒令其退出機(jī) 房。 機(jī)房工作人員應(yīng)恪守保密制度，不得擅自泄露各種信息資料與數(shù)據(jù)。在使用過程中應(yīng)注意信息保密，人員離開機(jī)房時(shí)必須退出所屬帳戶。 機(jī)房設(shè)備的資料包括說明書、驅(qū)動(dòng)程序、保修卡及重要隨機(jī)文件等應(yīng)統(tǒng)一管理。 機(jī)房設(shè)備的報(bào)廢須先進(jìn)行申請(qǐng)，經(jīng)公司相關(guān)職能部門進(jìn)行鑒定并確認(rèn)不符合使用要求后方可按報(bào)廢程序處理。 操作及運(yùn)行管理 機(jī)房工作人員應(yīng)遵守值班制度，不得擅自脫崗。 機(jī)房工作人員應(yīng)嚴(yán)格遵守機(jī)房設(shè)備操作規(guī)程，確保人身和設(shè)備的安全。 機(jī)房工作人員應(yīng)對(duì)機(jī)房設(shè)備建立日常管理臺(tái)帳，認(rèn)真、如實(shí)、詳細(xì)填寫《機(jī)房設(shè)備運(yùn)行情況日常檢查登記表》等各種登記簿，以備后查。 機(jī)房設(shè)備應(yīng)指定專人嚴(yán)格按照規(guī)定操作，嚴(yán)禁隨意開關(guān)；對(duì)需要變更操作流程等特殊情況應(yīng)事先進(jìn)行詳細(xì)安排并書面報(bào)經(jīng)設(shè)備所屬管理部門領(lǐng)導(dǎo)、 IT 部 領(lǐng)導(dǎo)及機(jī)房管理部門分管領(lǐng)導(dǎo)批準(zhǔn)簽字后方可執(zhí)行。所有操作變更必須有存檔記錄