【文章內(nèi)容簡介】 在公司內(nèi)部對信息安全措施的執(zhí)行情況與結(jié)果進(jìn)行有效的溝通。包括獲取外部信息安全專家的建議、信息安全政府行政主管部門、電信運(yùn)營商等組織的聯(lián)系及識(shí)別顧客對信息安全的要求等。如：管理評審會(huì)議、內(nèi)部審核報(bào)告、公司內(nèi)文件體系、內(nèi)部網(wǎng)絡(luò)和郵件系統(tǒng)、法律法規(guī)評估報(bào)告等。公司的信息安全管理方針：安全第一，預(yù)防為主；全員參與，綜治風(fēng)險(xiǎn)；遵紀(jì)守法，提高績效；成本可控，持續(xù)發(fā)展。對于信息安全方針的解釋：a) 滿足客戶要求：滿足顧客的要求是企業(yè)運(yùn)營的必然選擇。b) 保障信息安全：信息安全是企業(yè)管理的重中之重。c) 遵守法律法規(guī)：遵守法律法規(guī)是企業(yè)生存之前提，滿足法律法規(guī)及相關(guān)行業(yè)標(biāo)準(zhǔn)/技術(shù)規(guī)范的要求也是本公司必須承擔(dān)的社會(huì)責(zé)任。d) 持續(xù)改進(jìn)管理：控制風(fēng)險(xiǎn)是前提，風(fēng)險(xiǎn)自身是動(dòng)態(tài)的過程。通過各種方式提升公司員工的信息安全意識(shí)，提高公司的信息安全管理過程。本公司承諾提供一切可能的資源與先進(jìn)的技術(shù)，保證信息的保密性、可用性和完整性，有針對性地采取一切必要的安全措施。使用有效的風(fēng)險(xiǎn)評估的工具和方法，嚴(yán)格控制風(fēng)險(xiǎn)事故在可接受風(fēng)險(xiǎn)范圍之內(nèi)。制訂周密可靠的應(yīng)急方案并定期進(jìn)行演練，關(guān)鍵信息數(shù)據(jù)異地備份，制訂業(yè)務(wù)連續(xù)性計(jì)劃，以確保業(yè)務(wù)的持續(xù)進(jìn)行。為了滿足適用法律法規(guī)及相關(guān)方要求，維持計(jì)算機(jī)系統(tǒng)集成及服務(wù)、計(jì)算機(jī)應(yīng)用軟件的設(shè)計(jì)開發(fā)及服務(wù)活動(dòng)的正常進(jìn)行，本公司依據(jù)ISO/IEC27001:2013標(biāo)準(zhǔn)，建立信息安全管理體系，以保證與公司經(jīng)營管理相關(guān)信息的保密性、完整性、可用性和可追溯性，實(shí)現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展的目的。本公司將：a) 在公司內(nèi)各層次建立完整的信息安全管理組織機(jī)構(gòu)，確定信息安全方針、安全保密目標(biāo)和控制措施，明確信息安全的管理職責(zé)；b) 識(shí)別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求；c) 定期進(jìn)行信息安全風(fēng)險(xiǎn)評估，ISMS評審，采取糾正預(yù)防措施，保證體系的持續(xù)有效性；d) 采用先進(jìn)有效的設(shè)施和技術(shù)，處理、傳遞、儲(chǔ)存和保護(hù)各類信息，實(shí)現(xiàn)信息共享；e) 對全體員工進(jìn)行持續(xù)的信息安全教育和培訓(xùn)，不斷增強(qiáng)員工的信息安全意識(shí)和能力；f) 制定并保持完善的業(yè)務(wù)連續(xù)性計(jì)劃，實(shí)現(xiàn)可持續(xù)發(fā)展。上述方針的批準(zhǔn)、發(fā)布及修訂由公司信息安全最高責(zé)任者負(fù)責(zé)；通過培訓(xùn)、宣貫等方式使得本公司員工知曉并執(zhí)行相關(guān)內(nèi)容；通過有效途徑告知服務(wù)相關(guān)方及客戶，以提高安全保密意識(shí)及服務(wù)水平；并定期通過《管理評審控制程序》評審其適用性、充分性，必要時(shí)予以修訂。組織的角色，職責(zé)和權(quán)限公司經(jīng)營管理層決定全公司的組織機(jī)構(gòu)和各部門的職責(zé)（包括信息安全職責(zé)），并形成文件。各部門的信息安全管理職責(zé)決定本部門組織形式和業(yè)務(wù)分擔(dān)，并形成文件。總經(jīng)理為本公司信息安全最高責(zé)任者。各部門/項(xiàng)目組負(fù)責(zé)人為本部門/項(xiàng)目組信息安全管理責(zé)任者，全體員工都應(yīng)按保密承諾的要求自覺履行信息安全保密義務(wù)；各部門應(yīng)按照《信息安全適用性聲明》中規(guī)定的安全目標(biāo)、控制措施（包括安全運(yùn)行的各種控制程序）的要求實(shí)施信息安全控制措施。制度與規(guī)范、業(yè)務(wù)流程，維持安全可靠的計(jì)算機(jī)應(yīng)用環(huán)境，特制定本規(guī)定。、需求說明、設(shè)計(jì)變更、工作聯(lián)系單、工程洽商單、經(jīng)濟(jì)簽證單、公司內(nèi)部資料等必須由各部門信息管理員妥善管理，嚴(yán)禁外借，嚴(yán)禁非相關(guān)人員傳閱、查看。，必須符合一下規(guī)定：，不得擅自對處計(jì)算機(jī)及其相關(guān)設(shè)備的硬件部分進(jìn)行修改、改裝或拆卸配置，包括添加光驅(qū)、軟驅(qū)，掛接硬盤等讀寫設(shè)備，以及增加串口或并口外圍設(shè)備，如掃描儀、打印機(jī)等。，不得接入網(wǎng)絡(luò)系統(tǒng)。，必須遵守以下規(guī)定；，嚴(yán)禁非本項(xiàng)目工作人員使用除計(jì)算機(jī)及任何相關(guān)設(shè)備。，由辦公室負(fù)責(zé)上崗前的計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備系統(tǒng)安全及信息保密的技術(shù)培訓(xùn)工作。，任何人嚴(yán)禁將其以任何形式（如數(shù)據(jù)形式：Internet、軟盤、光盤、硬磁盤等；硬拷貝形式：圖紙打印、復(fù)印、照片等）復(fù)制、傳輸或?qū)ν馓峁?，不得擅自修改入庫?shù)據(jù)資料和修改他人數(shù)據(jù)資料。、有關(guān)保密、安全及辦公自動(dòng)化系統(tǒng)的有關(guān)法律、法規(guī)的規(guī)定和要求。各部門應(yīng)自覺按照有關(guān)規(guī)定和要求配合做好保密和信息安全工作。，必須嚴(yán)格遵守國家有關(guān)法律、法規(guī)。，必須配合網(wǎng)絡(luò)管理員做好防病毒工作。信息維護(hù)員負(fù)責(zé)實(shí)施防病毒的日常管理工作。，必須安裝防病毒程序，辦公室定期對防病毒程序進(jìn)行升級(jí)，增強(qiáng)對病毒的查殺能力。，由網(wǎng)絡(luò)管理員負(fù)責(zé)檢查、清查計(jì)算機(jī)病毒，確保沒有病毒后方可傳輸數(shù)據(jù)。，應(yīng)立即停止進(jìn)行任何程序并報(bào)告網(wǎng)絡(luò)管理員，如遇到現(xiàn)有防病毒程序無法清殺的病毒，網(wǎng)絡(luò)管理員必須先將受感染的計(jì)算機(jī)從網(wǎng)絡(luò)上隔開，協(xié)助員工做好數(shù)據(jù)備份工作，并為用戶恢復(fù)系統(tǒng)。，并將檢查結(jié)果向處保密工作小組匯報(bào)。，進(jìn)行保密工作承諾。 為規(guī)范公司重要文件的安全管理級(jí)別，通過文件外發(fā)控制以及加密管理，防止公司機(jī)密文件外泄，保障公司信息安全。 本管理制度適用于所有安裝加密軟件用戶。 需要保護(hù)的公司重要電子文檔包含：公司財(cái)務(wù)數(shù)據(jù)，公司人員信息總表，各部門培訓(xùn)課件，采購部商品分析表，薪資表，工程圖紙，市場部合同信息，公司vip信息匯總表。 所有安裝加密軟件用戶必須按照本制度規(guī)定進(jìn)行執(zhí)行；網(wǎng)管負(fù)責(zé)人負(fù)責(zé)加密軟件的日常維護(hù)，安裝管理，以及加密軟件權(quán)限分配；綜合部負(fù)責(zé)監(jiān)管。： 目前對所有安裝加密軟件的用戶電腦的重要文件進(jìn)行加密處理。；。所有通過U盤、Email、、MSN等工具傳送的重要文件，都必須經(jīng)過部門主管許可才允許。，如有必要需進(jìn)行申請，開放端口，并通過加密的方式進(jìn)行通訊。重要文件需要傳遞到?jīng)]有安裝加密軟件用戶或者外發(fā)到公司外部，必須由各部門制定人員經(jīng)過加密處理后才允許外發(fā)。.《員工手冊》的有關(guān)規(guī)定處理。、修改、執(zhí)行，自總經(jīng)理批準(zhǔn)之日起開始執(zhí)行。明確信息安全獎(jiǎng)勵(lì)與違規(guī)行為處罰的操作原則，強(qiáng)化執(zhí)行，促進(jìn)員工信息安全意識(shí)提升。本規(guī)范適用于我公司內(nèi)部信息安全事件的獎(jiǎng)懲。序號(hào)角色職責(zé)001信息安全事件指識(shí)別出的發(fā)生的系統(tǒng)、服務(wù)或網(wǎng)絡(luò)事件表明可能違反信息安全策略或防護(hù)措施失效；或以前未知的與安全相關(guān)的情況；其中一、二級(jí)信息安全事件稱為重大信息安全事件。002信息安全活動(dòng)為培養(yǎng)員工信息安全意識(shí)，提高公司整體安全水平而舉辦的活動(dòng)，形式包括但不限于：考試、培訓(xùn)、宣傳和自查。序號(hào)角色職責(zé)001員工遵守公司信息安全管理制度，積極配合、參與信息安全活動(dòng)。002各部門信息安全接口人協(xié)助公司信息安全管理制度、產(chǎn)品的宣傳與培訓(xùn)工作；負(fù)責(zé)對部門信息安全問題進(jìn)行匯總與反饋。003部門主管是部門信息安全的直接責(zé)任人，負(fù)責(zé)監(jiān)督和管理本部門員工的信息安全行為，并對潛在的信息安全風(fēng)險(xiǎn)進(jìn)行預(yù)警，預(yù)防信息安全事件。004部門經(jīng)理作為部門信息安全的間接責(zé)任人，熟悉公司信息安全戰(zhàn)略，并積極推動(dòng)信息安全策略的落地執(zhí)行。005部門副總對所負(fù)責(zé)部門的信息安全事件負(fù)相應(yīng)的管理責(zé)任。006IT部信息安全組對信息安全事件進(jìn)行跟蹤處理，并確定事件責(zé)任人。007總經(jīng)理最終審批信息安全事件處罰申請。008總經(jīng)理最終審批信息安全事件處罰申請。、違規(guī)行為處罰原則 及時(shí)激勵(lì)原則對長期妥善保護(hù)公司信息資產(chǎn)，有效避免信息資產(chǎn)的遺失、濫用、盜用等，或?qū)τ诖龠M(jìn)信息安全合理共享表現(xiàn)突出的個(gè)人或者集體，將及時(shí)獎(jiǎng)勵(lì)。舉報(bào)保密原則對于舉報(bào)信息安全違規(guī)行為的人員，將對其進(jìn)行獎(jiǎng)勵(lì)并嚴(yán)格保護(hù)其個(gè)人資料不公開。違規(guī)行為處罰原則216。 法律追究原則公司所有保密信息均為公司合法資產(chǎn)，受國家法律法規(guī)保護(hù)。任何損害公司保密信息的行為，公司均有權(quán)追究行為人法律責(zé)任。216。 違規(guī)分級(jí)原則根據(jù)違規(guī)行為的性質(zhì)、造成的損失和影響的嚴(yán)重程度、違規(guī)人員是否有意對違規(guī)行為分級(jí)。涉及關(guān)鍵信息資產(chǎn)的，違規(guī)等級(jí)要升級(jí)；一次違反多條信息安全規(guī)定的人員按最高違規(guī)等級(jí)從重處罰；對多次違反信息安全規(guī)定的人員再次違規(guī)時(shí)要從重處罰。216。 主動(dòng)從寬原則產(chǎn)生違規(guī)行為后主動(dòng)報(bào)告，積極采取補(bǔ)救措施以減少影響和損失的人員，可減輕處罰；對問題隱瞞不報(bào)或者不及時(shí)上報(bào)而導(dǎo)致違規(guī)影響擴(kuò)大的人員，加重處罰。216。 過度防衛(wèi)處罰原則對阻礙信息合理流動(dòng)與共享的人員要給予處罰。216。 及時(shí)處理原則對重大信息安全違規(guī)事件，要及時(shí)處理。任何拖延、推諉不處理的責(zé)任人，要給予問責(zé)。獎(jiǎng)勵(lì)等級(jí)與措施獎(jiǎng)勵(lì)事跡獎(jiǎng)勵(lì)等級(jí)獎(jiǎng)勵(lì)措施舉報(bào)或者制止泄密、竊密或者其他嚴(yán)重?fù)p害公司利益事件的集體或者個(gè)人一級(jí)根據(jù)具體情況給予8000元集體獎(jiǎng)勵(lì)或者5000元個(gè)人獎(jiǎng)勵(lì)；通報(bào)表揚(yáng)（遵循“舉報(bào)保密原則“淡化事跡并隱藏人員信息）。制止他人違規(guī)行為或者即時(shí)反映可能造成泄密、竊密或者其他重大安全隱患的個(gè)人，以及在信息安全方面做出表率或者突出貢獻(xiàn)的集體二級(jí)根據(jù)具體情況集體獎(jiǎng)5000元或者3000個(gè)人獎(jiǎng)勵(lì)；通報(bào)表揚(yáng)（遵循“舉報(bào)保密原則“淡化事跡并隱藏人員信息）。在信息安全管理中做出貢獻(xiàn)，反映信息安全隱患或者過度防衛(wèi)被核實(shí)、提出信息安全合理化建議并被采納的個(gè)人，以及在信息安全方面做出貢獻(xiàn)的集體三級(jí)根據(jù)具體情況給予3000元集體獎(jiǎng)勵(lì)或者1000元個(gè)人獎(jiǎng)勵(lì)。獎(jiǎng)勵(lì)責(zé)任部門1）對于滿足信息安全獎(jiǎng)勵(lì)標(biāo)準(zhǔn)的集體或者個(gè)人，IT部信息安全組可根據(jù)具體事跡定期進(jìn)行申報(bào)，審批通過后由綜合部根據(jù)公司財(cái)務(wù)制度進(jìn)行發(fā)放獎(jiǎng)金；2） 各部門信息安全接口人可自行組織對本部門優(yōu)秀信息安全集體或者個(gè)人進(jìn)行獎(jiǎng)勵(lì)。違規(guī)等級(jí)與措施違規(guī)事件違規(guī)等級(jí)處罰措施盜竊、故意泄露公司保密信息