#/6第一章總則第一條為規(guī)范公司項目管理過程的信息安全，明晰項目管理過程的信息安全中信息安全職責(zé)特制定本制度。第二條本制度適用于公司ISMS體系的項目管理過程中信息安全的管理。第二章項目管理中的安全職責(zé)第三條在項目管理中項目經(jīng)理應(yīng)承擔(dān)如下責(zé)任：分析公司及與項目相關(guān)的法律法規(guī)的信息安全需求及項目信息安全風(fēng)險，在此基礎(chǔ)上制定有針對性的風(fēng)險處置計劃。對項目成員進(jìn)行信息安全的培訓(xùn)。對項目信息安全管理制度的執(zhí)行進(jìn)行監(jiān)控并記錄。對安全問題進(jìn)行定期匯報，并對信息安全事件進(jìn)行及時上報。進(jìn)行持續(xù)的風(fēng)險識別過程，根據(jù)實施過程中識別出的新的風(fēng)險、發(fā)現(xiàn)的問題或變更對風(fēng)險處置計劃進(jìn)行改進(jìn)或更新。第四條網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組辦公室應(yīng)對項目經(jīng)理擬定的風(fēng)險處置計劃進(jìn)行審批，確保計劃滿足公司信息安全的需求。對整個項目的信息安全管理工作進(jìn)行監(jiān)控和指導(dǎo)。對安全事件及時上報，所有信息安全事件應(yīng)第一時間上報到網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組。第三章項目啟動期信息安全第五條分析安全需求及識別風(fēng)險項目經(jīng)理根據(jù)項目的具體情況，分析項目的安全要求及相關(guān)風(fēng)險。項目經(jīng)理負(fù)責(zé)識別信息安全風(fēng)險，識別風(fēng)險時應(yīng)考慮：?風(fēng)險發(fā)生可能帶來的業(yè)務(wù)影響和后果。?風(fēng)險發(fā)生的現(xiàn)實可能性。?資產(chǎn)的主要威脅、脆弱點(diǎn)和影響以及已經(jīng)實施的安全控制措施。通過風(fēng)險識別，把相應(yīng)風(fēng)險記錄到《風(fēng)險評估列表&風(fēng)險處置》第六條制定風(fēng)險處置計劃項目經(jīng)理根據(jù)可接受風(fēng)險的準(zhǔn)則判斷是否可以接受，針對不可接受的風(fēng)險制訂相關(guān)的風(fēng)險處置計劃，經(jīng)批準(zhǔn)后執(zhí)行，風(fēng)險處置計劃記錄到《風(fēng)險評估列表&風(fēng)險處置》中。處置措施應(yīng)考慮技術(shù)措施和管理措施。第七條信息安全要求培訓(xùn)項目經(jīng)理必須對項目成員進(jìn)行項目信息安全要求的培訓(xùn)，培訓(xùn)內(nèi)容為項目的信息安全風(fēng)險、注意事項及要求維護(hù)類項目如有責(zé)任工程師，責(zé)任工程師必須參加培訓(xùn)。對于軟件實施類項目，項目實施組成員必須參加培訓(xùn)。對于持續(xù)時間較長的項目，項目信息安全要求培訓(xùn)至少每年一次。項目成員包括供應(yīng)方的項目人員。第四章項目實施階段第八條運(yùn)行、評估、改進(jìn)項目組根據(jù)《信息安全風(fēng)險評估與處置表》中風(fēng)險處置措施內(nèi)容開展風(fēng)險管理活動，以達(dá)到安全控制的目標(biāo)。項目經(jīng)理定期進(jìn)行信息安全管理評估活動，確保：?安全管理活動按期望實施。?及時發(fā)現(xiàn)過程中的問題。及時識別安全違規(guī)活動。識別安全管理活動的有效性。確定解決安全違規(guī)的行動是否有效。所有信息安全管理過程中的項目自身改進(jìn)，由項目經(jīng)理具體實施，并監(jiān)控改進(jìn)的實施。第九條信息安全事件的處置與上報項目經(jīng)理需定期向網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組辦公室匯報項目的信息安全管理情況（可單獨(dú)匯報，也可和其它項目管理問題一起匯報）。項目上一旦有信息安全事件的發(fā)生，除了通知網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組辦公室及相關(guān)責(zé)任人及時采取解決措施，盡量減少損失和降低影響外，必須上報網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組。對于重大信息安全事件，需網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組辦公室的調(diào)查工作，分析根本原因，并采取糾正措施，網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組辦公室對糾正措施進(jìn)行監(jiān)控。關(guān)于信息安全事件的處置參考《信息安全事件管理規(guī)范》。第十條持續(xù)運(yùn)行信息安全管理過程是在項目生命周期中持續(xù)運(yùn)行的管理過程，項目組需要定期分析信息安全需求及識別風(fēng)險，并對新的信息安全需求及風(fēng)險進(jìn)行評估，對不可接受風(fēng)險制定風(fēng)險處置措施。第五章項目結(jié)束階段第十一條項目結(jié)束階段應(yīng)對供應(yīng)商項目成員使用的資源（設(shè)備、信息、帳號、軟件）進(jìn)行歸還，數(shù)據(jù)進(jìn)行清理。在歸還資源時，確認(rèn)對其中信息進(jìn)行了清理。如使用公司帳號，項目經(jīng)理必須對帳號或密碼進(jìn)行變更。第六章項目信息安全管理注意事項第十二條項目人員到場/離場管理人員到場、離場管理對于駐場項目尤為重要。項目經(jīng)理需要制定人員到場、離場的管理計劃，以下幾點(diǎn)需要注意：1)人員到場?盡快完成項目信息安全要求的培訓(xùn)。?根據(jù)人員的角色及工作內(nèi)容申請帳號和權(quán)限。在申請帳號及權(quán)限時注意職責(zé)分離原則及最小權(quán)限原則。為到崗人員申請必須的資源，但需明確如何使用這些資源的要求，尤其是用到重要的設(shè)備和數(shù)據(jù)時。項目組成員到崗時應(yīng)及時簽署保密協(xié)議。2)人員離場人員離場時，項目經(jīng)理必須確認(rèn)所有使用的資源已經(jīng)歸還。確保帳號被及時刪除。第十三條帳號與權(quán)限管理帳號與權(quán)限管理適合各種類型項目。如果項目需要供應(yīng)商人員使用帳號登陸系統(tǒng)，供應(yīng)商人員的帳號與權(quán)限申請必須符合以下規(guī)則：1)根據(jù)人員的角色及工作內(nèi)容申請帳號和權(quán)限，不能因為方便給所有人都申請最大權(quán)限。2)申請帳號及權(quán)限時注意職責(zé)分離原則限制和控制特殊權(quán)限、特權(quán)帳號的使用。最小權(quán)限原則，能用更小的權(quán)限解決問題就不申請更大的權(quán)限。定期檢查原則，應(yīng)