【正文】 數(shù)據(jù)信息的系統(tǒng)，系統(tǒng)的級(jí)別應(yīng)與數(shù)據(jù)信息的最高密級(jí)一致。 以上分級(jí)標(biāo)準(zhǔn)與公司保密辦所規(guī)定的標(biāo)準(zhǔn)不一致時(shí)，以保密辦規(guī)定的等級(jí)為準(zhǔn)。 5．?dāng)?shù)據(jù)信 息與信息系統(tǒng)的分級(jí)原則 數(shù)據(jù)信息的分級(jí) 數(shù)據(jù)信息可根據(jù)其重要程度分為絕密、機(jī)密、秘密和一般四個(gè)級(jí)別。 該部門(mén)還可以基于本規(guī)定的評(píng)估結(jié)果來(lái)決定信息系統(tǒng)的安全措施是否滿(mǎn)足安全需求，是否將重要資產(chǎn)的風(fēng)險(xiǎn)降低到可接受的范圍內(nèi)，并依據(jù)本規(guī)定進(jìn)行持續(xù)性評(píng)估，以不斷識(shí)別信息系統(tǒng)面臨的風(fēng)險(xiǎn)。 具體負(fù)責(zé)公司層面某個(gè)應(yīng)用系統(tǒng)的開(kāi)發(fā)和維護(hù)公司層面某個(gè)商品軟件的單位，在本規(guī)定中被視為公司層面該信息系統(tǒng)的管理部門(mén)。 3．定義 數(shù)據(jù)信息是指在計(jì)算機(jī)系統(tǒng)中存儲(chǔ)的與企業(yè)生產(chǎn)經(jīng)營(yíng)活動(dòng)有關(guān)的各類(lèi)數(shù)據(jù)及信息的總和，包括但不限于以下內(nèi)容： 1）公司重大決策中的秘密事項(xiàng)； 2）公司尚未付諸實(shí)施的經(jīng)營(yíng)戰(zhàn)略、經(jīng)營(yíng)方向、經(jīng)營(yíng)規(guī)劃、經(jīng)營(yíng)項(xiàng)目及經(jīng)營(yíng)決策； 3）公司內(nèi)部掌握的合同、協(xié)議、意見(jiàn)書(shū)及可行性報(bào)告、主要會(huì)議記錄； 4）上市規(guī)則不要求披露的公司財(cái)務(wù)預(yù)結(jié)算報(bào)告及各類(lèi)財(cái)務(wù)報(bào)表、統(tǒng)計(jì)報(bào)表； 5）公司產(chǎn)品及零部件的庫(kù)存信息、供應(yīng)商等配套廠家協(xié)議、合同、供貨價(jià)格、公司內(nèi)部互供價(jià)格、客戶(hù)信息； 6）企業(yè)的產(chǎn)品訂 單信息及各類(lèi)銷(xiāo)售信息； 7）公司所掌握的尚未進(jìn)入市場(chǎng)或尚未公開(kāi)的各類(lèi)信息； 8）公司職員人事檔案，工資收入及資料； 9）企業(yè)產(chǎn)品數(shù)據(jù)及以各類(lèi)形式存儲(chǔ)的產(chǎn)品圖紙； 10）其他經(jīng)公司確定應(yīng)當(dāng)保密的事項(xiàng)。 2．適用范圍 本規(guī)定用于公司層面信息系統(tǒng)的分級(jí)及安全控制。 為明確企業(yè)數(shù)據(jù)信息的等級(jí)，規(guī)范和加強(qiáng)公司對(duì)數(shù)據(jù)信息的管理，特別是加強(qiáng)對(duì)信息系統(tǒng)所涉及的重要數(shù)據(jù)的安全控制，特制訂本規(guī)定。 本辦法由 IT 部 負(fù)責(zé)解釋。 各層次風(fēng)險(xiǎn)管理單位負(fù)責(zé)建立相應(yīng)的風(fēng)險(xiǎn)預(yù)警及監(jiān)控機(jī)制，嚴(yán)密監(jiān)控風(fēng)險(xiǎn)的發(fā)生，當(dāng)風(fēng)險(xiǎn)值接近閾值時(shí)啟動(dòng)預(yù)警機(jī)制。 6．后續(xù)處理 根據(jù)《信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告表》， IT 部 負(fù)責(zé)組織人員針對(duì)不同的風(fēng)險(xiǎn)級(jí)別，制定相應(yīng)的措施及部署針對(duì)性計(jì)劃。 實(shí)施：評(píng)估小組按照實(shí)施方案開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作。 檢查評(píng)估的循環(huán)周期為兩年。 檢查評(píng)估 檢查評(píng)估是指由 IT 部 牽頭發(fā)起的，依據(jù)公司的有關(guān)規(guī)定及國(guó)家有關(guān)法規(guī)與標(biāo)準(zhǔn)，對(duì)公司層面信息系統(tǒng)進(jìn)行的具有強(qiáng)制性的檢查評(píng)估活動(dòng)。 自評(píng)估由各單位自行組織，參照國(guó)家相關(guān)技術(shù)標(biāo)準(zhǔn)和規(guī)定的實(shí)施流程、評(píng)估內(nèi)容進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估工作。 自評(píng)估 自評(píng)估是指由網(wǎng)絡(luò)與信息系統(tǒng)的擁有、運(yùn)營(yíng)或使用單位發(fā)起的，對(duì)本單位信息系統(tǒng)進(jìn)行的信息安全風(fēng)險(xiǎn)評(píng)估。 5．評(píng) 估實(shí)施 原則與形式 信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)當(dāng)按照“嚴(yán)密組織，規(guī)范操作，講究科學(xué)，注重實(shí)效”的原則開(kāi)展。 各二級(jí)公司負(fù)責(zé)根據(jù)本辦法制訂和完善本公司的管理辦法，建立本公司信息安全風(fēng)險(xiǎn)評(píng)估制度，具體負(fù)責(zé)本公司內(nèi)部的信息安全風(fēng)險(xiǎn)評(píng)估工作，并將信息安全風(fēng)險(xiǎn)評(píng)估工作納入本公司信息安全體系建設(shè)中。 4．職責(zé) IT 部 負(fù)責(zé)本辦法的制訂和修訂，負(fù)責(zé)對(duì)本辦 法的執(zhí)行情況開(kāi)展定期或不定期的監(jiān)督檢查和指導(dǎo)工作。 信息安全風(fēng)險(xiǎn)評(píng)估 指的是依據(jù)有關(guān)信息安全技術(shù)和管理制度，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的機(jī)密性、完整性和可用性等安全屬性進(jìn)行評(píng)價(jià)的過(guò)程。 3．術(shù)語(yǔ)與定義 信息系統(tǒng) 指的是由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施 (含網(wǎng)絡(luò) )構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)劃實(shí)現(xiàn)對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、檢索等功能的系統(tǒng)。 HOPERISE IT 制度管理匯編 目錄 信息安全風(fēng)險(xiǎn)評(píng)估管理辦法 .............................................................................................. 2 企業(yè)數(shù)據(jù)信息分級(jí)原則及管理規(guī)定（試行） ..................................................................... 3 IT內(nèi)控體系內(nèi)部審核 與管理評(píng)審程序規(guī)定（試行 ) ............................................................ 6 機(jī)房管理一般規(guī)定（試行） .............................................................................................. 9 網(wǎng)絡(luò)管理一般規(guī)定（試行） ............................................................................................ 11 IT系統(tǒng)相關(guān)人員職責(zé)劃分管理規(guī)定 （試行） .................................................................. 12 IT系統(tǒng)運(yùn)營(yíng)保障管理辦法（試行） ................................................................................ 15 應(yīng)用系統(tǒng)開(kāi)發(fā)管理辦法（試行） ..................................................................................... 20 數(shù)據(jù)轉(zhuǎn)換 /移植管理辦法（試行） .................................................................................... 22 應(yīng)用系統(tǒng)上線管理辦法（試行） ..................................................................................... 23 應(yīng)用系統(tǒng)變更管理辦法（試行） ..................................................................................... 24 企業(yè)數(shù)據(jù)備份管理規(guī)定（試行） ..................................................................................... 26 局域網(wǎng)用戶(hù)訪問(wèn) Inter網(wǎng)絡(luò)管理規(guī)定（試行） ............................................................. 27 操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)帳號(hào)及口令管理規(guī)定（試行） ........................................... 28 電子郵件系統(tǒng)管理規(guī)定（試行） ..................................................................................... 30 VPN帳號(hào)管理規(guī)定（試行） ........................................................................................... 31 計(jì)算機(jī)病毒防范管理辦法（試行） ................................................................................. 32 企業(yè)計(jì)算機(jī)信息系統(tǒng)安全管理規(guī)定（試行） ................................................................... 33 信息安全風(fēng)險(xiǎn)評(píng)估管理辦法 1．總則 為推進(jìn)公司信息安全風(fēng)險(xiǎn)評(píng)估工作的開(kāi)展，確保信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施的科學(xué)性、規(guī)范性和客觀性，特制定本辦法。 2．適用范圍 本辦法適用對(duì)公司層面信息系統(tǒng)安全風(fēng)險(xiǎn)的評(píng)估，二級(jí)公司內(nèi)部的信息系統(tǒng)安全風(fēng)險(xiǎn)的評(píng)估可參照?qǐng)?zhí)行。典型的信息系統(tǒng)由三部分 組成：硬件系統(tǒng) (計(jì)算機(jī)硬件系統(tǒng)和網(wǎng)絡(luò)硬件系統(tǒng) )；系統(tǒng)軟件 (計(jì)算機(jī)系統(tǒng)軟件和網(wǎng)絡(luò)系統(tǒng)軟件 )；應(yīng)用軟件 (包括由其處理和存儲(chǔ)的信息 )。信息安全風(fēng)險(xiǎn)評(píng)估的主要內(nèi)容是評(píng)估信息系統(tǒng)中資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來(lái)判斷安全事件一旦發(fā)生所造成的影響。 IT 部 信息技術(shù)室負(fù)責(zé)組織公司層面信息安全風(fēng)險(xiǎn)評(píng)估工作，結(jié)合信息安全戰(zhàn)略發(fā)展規(guī)劃提出信息安全風(fēng)險(xiǎn)評(píng)估的基本管理政策和工作要求。 評(píng)估小組負(fù)責(zé)公司層面信息安全風(fēng)險(xiǎn)的具體評(píng)估，可由 IT 部 和公司二級(jí)單位的相關(guān)人員組成，包括信息主管、業(yè)務(wù)骨干、監(jiān)審及財(cái)務(wù)等人員。 信息安全風(fēng)險(xiǎn)評(píng)估分為自評(píng)估和檢查評(píng)估兩種形式。自評(píng)估可依托自身技術(shù)力量進(jìn)行，也可委托第三方機(jī)構(gòu)提供技術(shù)支持。 評(píng)估完成后，編寫(xiě)信息安全風(fēng)險(xiǎn)評(píng)估綜合報(bào)告，將《信 息安全風(fēng)險(xiǎn)評(píng)估報(bào)告表》上報(bào)公司 IT 部 備案。必要時(shí)，檢查評(píng)估可由 IT 部 委托專(zhuān)業(yè)信息安全風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)進(jìn)行。 準(zhǔn)備： IT 部 將開(kāi)展檢查評(píng)估工作計(jì)劃和相關(guān)事項(xiàng)通知被評(píng)估單位；被評(píng)估單位配合評(píng)估機(jī)構(gòu)做好準(zhǔn)備；雙方成立評(píng)估小組，并制定信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施方案。 總結(jié)：評(píng)估小組對(duì)評(píng)估工作進(jìn)行總結(jié)，編寫(xiě)信息安全風(fēng)險(xiǎn)評(píng)估綜合報(bào)告，將《信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告表》報(bào) IT部 備案。 就公司各層次的信息安全風(fēng)險(xiǎn)評(píng)估文檔， IT 部 負(fù)責(zé)組織進(jìn)行分析，提出各類(lèi)風(fēng)險(xiǎn)的閾值。 7．附則 本辦法自 2020年 10月 1日起試行。 企業(yè)數(shù)據(jù)信息分級(jí)原則及管理規(guī)定（試行） 1．總則 企業(yè)信息化建設(shè)的快速發(fā)展對(duì)計(jì)算機(jī)信息系統(tǒng)的依賴(lài)程度日益增強(qiáng)，采用風(fēng)險(xiǎn)管理的理念去識(shí)別安全風(fēng)險(xiǎn)從而解決信息安全問(wèn)題得到了廣泛的認(rèn)識(shí)和應(yīng)用。 本規(guī)定定義了數(shù)據(jù)信息的概念，根據(jù)重要程度對(duì)數(shù)據(jù)信息和信息系統(tǒng)進(jìn)行了分級(jí)，并制定了安全標(biāo)準(zhǔn)及控制要求。 各二級(jí) 公司應(yīng)參照本規(guī)定實(shí)施內(nèi)部信息系統(tǒng)的管理。 4．職責(zé)與權(quán)限 IT 部 是公司層面涉密信息系統(tǒng)保密工作的歸口管理部門(mén)，負(fù)責(zé)依據(jù)本規(guī)定對(duì)公司層面信息系統(tǒng)及其管理進(jìn)行安全檢查，推動(dòng)信息安全風(fēng)險(xiǎn)管理的實(shí)施。 該部門(mén)負(fù)責(zé)根據(jù)本規(guī)定為其 相關(guān)數(shù)據(jù)選擇安全級(jí)別，為實(shí)施信息系統(tǒng)保護(hù)提供技術(shù)支持，依據(jù)本規(guī)定中提出的安全風(fēng)險(xiǎn)理念選擇技術(shù)與管理控制措施。 系統(tǒng)安全保密員負(fù)責(zé)對(duì)系統(tǒng)的運(yùn)行進(jìn)行安全保密監(jiān)視，發(fā)現(xiàn)異常情況時(shí)，要查明原因，及時(shí)處理和報(bào)告；對(duì)系統(tǒng)的安全保密可信程度進(jìn)行定期評(píng)估；有權(quán)對(duì)系統(tǒng)日志進(jìn)行審查；承擔(dān)對(duì)系統(tǒng)使用人員進(jìn)行系統(tǒng)安全保密教育培訓(xùn)的義務(wù)。 1）絕密級(jí)：公司經(jīng)營(yíng)發(fā)展中，直接影響公司權(quán)益和利益的重要決策性文件資料等； 2）機(jī)密級(jí)：公司的規(guī)劃、財(cái)務(wù)報(bào)表、統(tǒng)計(jì)資料、重要會(huì)議記錄、公司經(jīng)營(yíng)情況、重大合同、公司產(chǎn)品數(shù)據(jù)、圖紙及實(shí)物庫(kù)存信息、供應(yīng)商等配套廠家數(shù)據(jù)、客戶(hù)信息等； 3）秘密級(jí)：公司人事檔案、一般合同、協(xié)議、職員工資性收入、尚未進(jìn)入市場(chǎng)或尚未公開(kāi)的各類(lèi)信息、企業(yè)的產(chǎn)品訂單信息及各類(lèi)銷(xiāo)售物流信息等； 4）一般級(jí)：一般性決定、決議、通告、通 知、行政管理資料等內(nèi)部文件和公司網(wǎng)站公開(kāi)的內(nèi)容等，不屬于保密范圍。 涉密信息系統(tǒng)的分級(jí) 涉密信息系統(tǒng)的級(jí)別應(yīng)與系統(tǒng)設(shè)備（含各種服務(wù)器、存儲(chǔ)備份設(shè)備、計(jì)算機(jī)工作終端、打印掃描設(shè)備、音視頻設(shè)備、網(wǎng)絡(luò)設(shè)備、通信傳輸設(shè)備等）中采集、存儲(chǔ)、處理、傳輸?shù)臄?shù)據(jù)信息的密級(jí)一致。 6．管理規(guī)定 數(shù)據(jù)信息分級(jí)及相應(yīng)信息系統(tǒng)的分級(jí)和規(guī)劃 公司層面某個(gè)信息系統(tǒng)的管理部 門(mén)在該應(yīng)用系統(tǒng)開(kāi)發(fā)的分析階段或在規(guī)劃購(gòu)買(mǎi)商品軟件時(shí)應(yīng)同時(shí)進(jìn)行信息系統(tǒng)的保密分析，以確認(rèn)方案的可行性。申請(qǐng)應(yīng)包括信息系統(tǒng)的用途、用戶(hù)、涉及數(shù)據(jù)信息、數(shù)據(jù)信息描述及適用范圍、擬采用的保密措施等。 涉密信息系統(tǒng)的保密驗(yàn)收 涉密信息系統(tǒng)建成投入使用前，該信息系統(tǒng)的管理部門(mén)應(yīng)填寫(xiě)《涉密信息系統(tǒng)使用申報(bào)表》一式三份，連同以下書(shū)面材料報(bào)單位分管領(lǐng)導(dǎo)簽署意見(jiàn)后，報(bào) IT部 ： 1）系統(tǒng)的用途、結(jié)構(gòu)及軟硬件配置的基本情況（含各種技術(shù)資料及網(wǎng)絡(luò)結(jié)構(gòu)圖、設(shè)備連接圖等）； 2）系統(tǒng)所處理信息的最高密級(jí)和涉密信息的運(yùn)行狀況； 3）系統(tǒng)口令設(shè)置、口令傳輸與口令文件存儲(chǔ)情況；訪問(wèn)控制權(quán)限的設(shè)置情況及實(shí)現(xiàn)方法；審計(jì)跟蹤措施與審查制度； 4）系統(tǒng)采取的安 全保密技術(shù)措施以及有關(guān)的認(rèn)證結(jié)論或?qū)徟◤?fù)印件）； 5）秘密級(jí)系統(tǒng)直接或間接聯(lián)因特網(wǎng)情況； 6）系統(tǒng)保密組織與保密管理制度?？疾鞙y(cè)試主要項(xiàng)目包括但不限于： 1）檢查安全保密技術(shù)設(shè)備和設(shè)施的認(rèn)證審批情況； 2）檢測(cè)與分析網(wǎng)絡(luò)的安全保密性能及通信保密措施； 3）檢查系統(tǒng)口令設(shè)置及口令的存儲(chǔ)與傳輸情況； 4）檢查涉密信息的訪問(wèn)控制情況； 5）檢查系統(tǒng)審計(jì)跟蹤、日志管理情況； 6）檢查應(yīng)用軟件和數(shù)據(jù)庫(kù)系統(tǒng)的保密功能設(shè)置 ； 7）檢查主機(jī)房、配線房、終端設(shè)備房、網(wǎng)絡(luò)設(shè)備房、網(wǎng)絡(luò)布線的物理環(huán)境安全保密措施； 8）檢查系統(tǒng)或單機(jī)上因特網(wǎng)的安全保密措施； 9）檢查保密組織與保密制度的落實(shí)情況。 IT 部根據(jù)評(píng)估情況和領(lǐng)導(dǎo)批示，核批《涉密信息系統(tǒng)使用申報(bào)表》，并返還申報(bào)單位。 涉密信息系統(tǒng)應(yīng)設(shè)置用戶(hù)身份認(rèn)證、權(quán)限控制等鑒別機(jī)制。 涉密信息系統(tǒng)的訪問(wèn)控制應(yīng)當(dāng)符合以下要求： 1）機(jī)密級(jí)、秘密級(jí)系統(tǒng)，訪問(wèn)可按照用戶(hù)類(lèi)別控制；