編號：ISMS-W00-2023

版本號：V1.0

受控狀態(tài)：受控

密級：內(nèi)部公開

信息安全指導文件

(ISO/IECFDIS27001:2022)

版權聲明和保密須知

本文件中出現(xiàn)的任何文字敘述、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明，版權均屬【XXX公司】所有,

受到有關產(chǎn)權及版權法保護。任何單位和個人未經(jīng)【XXX公司】的書面授雙許可，不得復制或引用本文件的任何片斷，無論

通過電子形式或非電子形式。

Copyright?2023[xxx公司】版權所有

文檔信息

文檔編號：ISMS-W00-2023文檔分類：內(nèi)部公開-受控

編寫：審核：批準：

初次發(fā)布日期:2023-1-1修改日期:2023-1-1發(fā)布日期：2023-1-1

變更記錄

變更日期版本變更說明編”審核批準

2023-1-1A/0創(chuàng)建

目錄

目錄.............................................................................2

1.崗位職責說明書..................................................................3

2.數(shù)據(jù)備份規(guī)范...................................................................8

3.公司內(nèi)外數(shù)據(jù)交換規(guī)范...........................................................9

4.硬件設備安全規(guī)范..............................................................1()

5.網(wǎng)絡安全規(guī)范...................................................................12

6.口令控制規(guī)范...................................................................14

7.清潔桌面和清屏策略.............................................................16

8.介質使用管理規(guī)范..............................................................17

9.信息系統(tǒng)安全管理規(guī)范..........................................................20

10.違規(guī)懲罰制度.................................................................23

11.法律法規(guī)識別及合規(guī)性評價規(guī)范.................................................24

12.知識產(chǎn)權管理規(guī)定.............................................................26

13.環(huán)境設施與物理設備管理規(guī)定...................................................28

M.信息資產(chǎn)管理規(guī)定..............................................................33

15.計算機文件保密制度...........................................................37

16.保密性協(xié)議評審...............................................................39

17.移動計算機安全策略...........................................................42

18.惡意軟件控制管理規(guī)定.........................................................43

19.消防管理制度.................................................................45

20.密碼策略.....................................................................47

21.公司公章證照管理制度..........................................................50

22.電子郵件使用規(guī)范.............................................................55

23遠程訪問管理制度...............................................................57

24信息系統(tǒng)安全集成服務規(guī)范......................................................61

25信息系統(tǒng)運維服務規(guī)范..........................................................69

2

崗位名稱行政主管所屬部門總經(jīng)辦

直接上級總經(jīng)理直接下級行政專員

崗位職責

1.負責為公司管理層提供支持，并負責跟蹤落實總經(jīng)理和總經(jīng)理辦公會的決議；

2.負責保證公司內(nèi)部管理體系的完整和平穩(wěn)運行；

3.負責制定辦公室工作計劃，實現(xiàn)工作目標；

4.負責公司形象推廣、公關活動；

5.公司企業(yè)文化建設；

6.統(tǒng)籌管理公司后勤服務工作；

7.部門內(nèi)部管理工作；

8.完成總經(jīng)理交辦的其他任務

資格要求

1、企業(yè)管理或相關專業(yè)；

2、?？埔陨蠈W歷，相關3年或以上管理經(jīng)歷；

3、掌握相應的行政管理、企業(yè)形象策劃和企業(yè)文化建設的知識，了解公關宣傳的常用做法；

4、熟練使用自動化辦公軟件，具備基本的網(wǎng)絡知識

5、領導能力、判斷與決策能力、人際能力、溝通能力、影響力、計劃與執(zhí)行能力

培訓要求

1、IS027001和IS020000基本矢口識培訓|；

2、信息安全和信息技術服務管理手冊；

3、管理類作業(yè)指導書；

4、產(chǎn)品基本知識;

5、公司規(guī)章制度；

1、相關法律法規(guī)。

特殊資格要求

無

4

崗位名稱人力資源所屬部門人事行政部

直接上級/直接下級助理

崗位職責

1、協(xié)助總經(jīng)理制定人力資源戰(zhàn)略規(guī)劃，為重大人事決策提供建議和信息支持

2、負責公司人力資源戰(zhàn)略的執(zhí)行

3、全面負責人力資源管理的各項事務

4、負責其他人事事務

5、負責總經(jīng)辦內(nèi)部的組織管理

6、完成總經(jīng)辦主管交辦的其他任務

資格要求：

1、大學本科以上

2、5年以上工作經(jīng)驗，3年以上管理經(jīng)驗，在部門經(jīng)理崗位上工作1年以上

3、精通人力資源管理知識，掌握行政管理、法律等知識

4、熟練使用自動化辦公軟件，具備基本的網(wǎng)絡知識

5、具有很強的領導能力、判斷與決策能力、人際能力、溝通能力、影響力、計劃與執(zhí)行能力

培訓要求

1、1S02700I和IS020000基本知識培訓|；

2、信息安全和信息技術服務管理手冊；

3、管理類作業(yè)指導書；

4、產(chǎn)品基本知識；

5、公司規(guī)章制度；

6、有關法律法規(guī)。

特殊資格要求

無

5

崗位名稱部門經(jīng)理所屬部門業(yè)務中心

直接上級總經(jīng)理直接下級商務人員

崗位職責：

1、根據(jù)公司發(fā)展戰(zhàn)略，組織制定銷售戰(zhàn)略規(guī)劃；

2、掌握市場動態(tài)，組織收集行業(yè)政策，分析市場發(fā)展趨勢;

3、建土銷售渠道和銷售人員：

4、執(zhí)行銷售動作，完成銷售任務；

5、負責項目回款；

6、維護客戶關系；

7、開展公司宣傳，推動品牌建設。

資格要求

1、大學本科以上

2、3年以上工作經(jīng)驗，1年以上部門管理工作經(jīng)歷

3、通曉行業(yè)動態(tài)，通曉市場營銷相關知識，具備法律等方面的知識，了解公司所經(jīng)營行業(yè)知

識

4、■練使用自動化辦公軟件，具備基本的網(wǎng)絡知識

5、具有很強的領導能力、判斷與決策能力、人際能力、溝通能力、影響力、計劃與執(zhí)行能力

培訓要求

1、IS027001和IS020000基本知識培訓;

2、信息安全和信息技術服務管理手冊；

3、管理類作業(yè)指導書；

4、產(chǎn)品基本知識；

5,公司規(guī)章制度；

6^有關法律法規(guī)。

特殊資格要求

無

6

崗位名稱部門經(jīng)理所屬部門產(chǎn)品中心

直接上級技術總監(jiān)直接下級技術人員

崗位職責

研究技術發(fā)展方向，根據(jù)公司發(fā)展規(guī)劃，制定公司技術發(fā)展規(guī)劃；分行業(yè)分技術類別開展技術

研究，對項目監(jiān)理和咨詢提供技術支持，對項目的實施情況進行評估，協(xié)助進行項目實施質量

管理；對項目實施過程中的技術難點組織公關；負責測試評估、安仝集成項目的實施。

■制定公司技術發(fā)展規(guī)劃；

■分行業(yè)分技術類別開展技術研究；

■提供技術支持，對項目實施過程中的技術難點組織公關；

■對項目的實施情況進行評估，協(xié)助進行項目實施質量管理；

■負責測試評估項目的實施，編制測試評估報告。

■負責安全集成項目的實施。

資格要求

1、具有二年以上相關管理經(jīng)驗；

2、了解微服務架構理念、實現(xiàn)技術；

6、參與過大型復雜業(yè)務系統(tǒng)架構設計開發(fā)者優(yōu)先；

7、擁有和工作年限相稱的廣度和（或）深度，有較強的邏輯思維能力，善于分析、歸納、描

述、溝通、和解決問題。

培訓要求

1、IS027001和IS020000基本知識培訓;

2、信息安全和信息技術服務管理手冊；

3、管理類作業(yè)指導書；

4、行業(yè)基本知識；

5、公司規(guī)章制度；

6、相關法律法規(guī)。

特殊資格要求

無

7

2.數(shù)據(jù)備份規(guī)范

ISMS-W102

1目的

為了防止各種由硬件、軟件和人為誤操作造成的數(shù)據(jù)丟失，盡可能在最短的時間內(nèi)恢復數(shù)

據(jù)，最小化數(shù)據(jù)的丟失，特制定本文件。

2范圍

主要指對公司的生產(chǎn)、經(jīng)營活動相關的重要數(shù)據(jù)的備份，主要內(nèi)容為：網(wǎng)絡服務器操作系

統(tǒng)、客戶端操作系統(tǒng)及應用軟件、數(shù)據(jù)庫信息、網(wǎng)站信息、文檔數(shù)據(jù)庫、共享資源平臺，郵件

數(shù)據(jù)信息等。

3職責

由總經(jīng)辦負責建立數(shù)據(jù)備份系統(tǒng)，及時做好重要數(shù)據(jù)的備份工作，防止系統(tǒng)、數(shù)據(jù)的丟失。

公司各個部門的電腦使用人負責所使用電腦的數(shù)據(jù)備份工作。

4備份指導

4.1機房服務器的數(shù)據(jù)備份由產(chǎn)品中心人員專門負責，并認真填寫《重要信息備份記錄表》。

4.2一旦發(fā)生數(shù)據(jù)丟失或數(shù)據(jù)破壞等情況，必須由總經(jīng)辦進行備份數(shù)據(jù)的恢復，以免造成不必

要的麻煩或更大的損失。

4.3公司文件服務器采用2塊硬盤同時工作，硬盤間互做鏡像備份。

4.4對服務器的操作系統(tǒng)進行完全備份，以備災難恢復。

4.5域控制器操作系統(tǒng)和郵件服務器操作系統(tǒng)每周備份一次，備份工作盡量安排在非工作時

間，減少運行負載。備份完成后及時將備份文件異地妥善保存，并做好標識和記錄。

4.6客戶端電腦操作系統(tǒng)由產(chǎn)品中心統(tǒng)一安裝，將系統(tǒng)文件備份到非系統(tǒng)盤符中，以便系統(tǒng)故

障進行恢復。

4.7客戶端電腦使用人每周至少備份數(shù)據(jù)文件一次，在各部門主管的監(jiān)督下進行。備份文件統(tǒng)

一存放在公司文件服務器中，每兩周通知系統(tǒng)管理員進行異地備份操作。

4.8制作的服務數(shù)據(jù)或外來的數(shù)據(jù)涉及業(yè)務的每個月備份一次。

4.9系統(tǒng)軟件經(jīng)過較大改動后，必須對系統(tǒng)進行重新完全備份；系統(tǒng)軟件經(jīng)過部分改動，必須

進行差量或增量備份。

4.：0備份數(shù)據(jù)和存儲介質要妥善保管，集中和異地保存，保存期限至少兩年。保管工作由專

人負責，嚴格保密，保管地點應有防火、防熱、防潮、防塵、防磁和防盜設施。

4.11對備份介質要定期檢查磁性的可用性，若發(fā)現(xiàn)介質已經(jīng)不能使用，應及時更新介質并對

重要數(shù)據(jù)進行轉存處理。

8

3.公司內(nèi)外數(shù)據(jù)交換規(guī)范

ISMS-W103

1目的

為了保證數(shù)據(jù)的安全性和有效性，保證數(shù)據(jù)信息不被非法訪問，有效地控制信息交換，特

制定本策略。

2范圍

本策略主要涵蓋公司內(nèi)部和內(nèi)部與外部交換數(shù)據(jù)的管理，保證數(shù)據(jù)的保密性和有效性。

3職責

由產(chǎn)品中心負責建立數(shù)據(jù)交換控制策略，統(tǒng)籌公司數(shù)據(jù)交換的管理。公司各個部門的電腦

使用人提高數(shù)據(jù)保護意識，安全有效地進行數(shù)據(jù)交換。

4工作內(nèi)容及方法

4.1產(chǎn)品中心負責建立信息交換策略、程序和控制措施，以保護通過使用各種類型的通信設

施的信息交換。

4.2公司配備專門的代理服務器，安裝雙網(wǎng)卡隔離外網(wǎng)網(wǎng)段和內(nèi)網(wǎng)網(wǎng)段。服務器安裝防火墻,

對內(nèi)網(wǎng)和外網(wǎng)的信息交換進行控制。

4.3公司局域網(wǎng)部署獨立的郵件服務器，負責內(nèi)部之間和內(nèi)外部電子郵件的傳遞，通過防火

墻進行發(fā)布。

4.4公司局域網(wǎng)部署文件服務器，用于內(nèi)部部門間數(shù)據(jù)的交換，依照部門建立獨立的文件夾

和個人文件夾，并分配用戶的使用權限。

4.5公司內(nèi)部數(shù)據(jù)的交換涉及保密的，必須通過電子郵件進行傳遞，附件文件需要增設密碼,

點對點密碼通訊，保證數(shù)據(jù)的保密性。

4.6服務數(shù)據(jù)交換規(guī)定：

4.6.1服務數(shù)據(jù)文件由業(yè)務中心交給總經(jīng)辦，檢驗數(shù)據(jù)并與業(yè)務單核對無誤后簽字確認。

4.6.2總經(jīng)辦將處理后的數(shù)據(jù)文件刻錄光盤或拷貝到專用移動介質，然后拷貝到內(nèi)部相關電

腦上，交接并簽字確認。

4.6.3捋貝完畢光盤交資料室存檔，資料管理員核對無誤后簽字確認。

4.6.4總經(jīng)辦定期按照《數(shù)據(jù)備份規(guī)范》進行數(shù)據(jù)文件備份。

4.6.5數(shù)據(jù)文件待使用并檢臉完畢后，總經(jīng)辦進行數(shù)據(jù)刪除，刪除后記錄刪除文件批次。

4.5總經(jīng)辦負責建立和實施保護與業(yè)務系統(tǒng)互聯(lián)的信息的措施。

9

4.硬件設備安全規(guī)范

ISMS-W104

1目的和適用范圍

為規(guī)范在公司范圍內(nèi)的個人PC機（電腦）及筆記本電腦等硬件設備設施的使用，防止因

違規(guī)造成的設備損壞及公司重要信息、數(shù)據(jù)的泄露或丟失，特制定本文件。

本規(guī)定主要涵蓋公司范圍內(nèi)的所有涉及信息安全的硬件設備，主要內(nèi)容為：網(wǎng)絡服務器、

客戶端計算機、UPS、路由器、網(wǎng)絡交換機、打印機、傳真機、復印機、顯示器、筆記本電腦、

可移動存儲介質等。

2職責

所有員工負責所使用范圍內(nèi)的電腦等硬件設備的日常安全管理，總經(jīng)辦負責公司所有計算

機的維修和維護，并負責資產(chǎn)管理及安全防護。

3工作內(nèi)容及方法

3.1電腦的日常使用

3.1.1電腦的網(wǎng)絡接入

電腦在初始化時為每臺PC分配有唯一的登錄賬戶，員工不得隨意更改所使用電腦的IP

地址，更不得使用他人的賬戶登錄，只允許使用自己的賬戶接入公司網(wǎng)絡。

3.1.2電腦的防病毒軟件

1）所有員工的電腦在接入公司網(wǎng)絡時都必須安裝網(wǎng)絡版的防病毒軟件。

2）所有員工不得隨意卸載電腦上的防病毒軟件，若發(fā)現(xiàn)防病毒軟件出現(xiàn)問題應及時通知

總經(jīng)辦進行解決。

3）總經(jīng)辦每日早上更新病毒庫服務器，病毒庫服務器將新的包分發(fā)到每一臺電腦上。

4）各類存儲介質，凡未經(jīng)過系統(tǒng)專門進行病毒掃描程序檢查的，嚴禁在公司的任何計算

機上使用。

3.1.3電腦的USB端口均已關閉。

3.1.4電腦時鐘進行同步設置。

3...5電腦軟件安裝

任何人員不得隨意在電腦上安裝軟件，需要安裝軟件時，向總經(jīng)辦提出申請，由總經(jīng)辦進

行軟件的安裝。任何人員也不得隨意升級電腦上安裝的軟件，只能通過總經(jīng)辦提供的升級包進

行軟件更新，在軟件更新前做好備份。

3.1.6電腦用戶設置

所有員工的電腦管理員賬號密碼都由總經(jīng)辦設置，該賬號只用做特殊情況的使用，個人不

允許登錄。

3.1.7電腦口令及屏保設置

1）所有的電腦須設置符合規(guī)定的登錄口令，所設詈的口令只能由使用人知道，其他人員

無權知曉。

2）所有人員的電腦口令須定期的更新（每三個月），

3）所有電腦的屏保都由域服務器統(tǒng)一分配下來，并使用密碼保護功能，等待時間不得長

于5分鐘。離開工位時必須啟動屏保（總經(jīng)辦通過域服務器策略設置）。

3.1.8電腦日常維護

1）使用者應愛護電腦及相關設備，不可以在電腦上涂畫、張貼，對電腦設備應按規(guī)范要

求操作，發(fā)現(xiàn)故障，應及時報總經(jīng)辦維修。

2）每臺電腦必須正確使用，非維護人員不能拆開電腦的任何部件或安裝任何設備（光驅、

軟驅、MODEM）,不能帶電插拔電腦的任何配件［鍵盤、顯示器等1

10

3）使用者不得隨意變更電腦及相關設備的位置和更改電腦及相關設備的系統(tǒng)設置，任何

部門或使用者要搬動電腦時必須經(jīng)部門主管同意，并通知總經(jīng)辦變更資料，

4）電腦主機不要直接擺放在地上，以免在清潔地板時意外損壞電腦。

5）使用者在下班時，要確保電腦或相關設備已關閉，特別是共用的電腦，最后使用者要

在離開前退出系統(tǒng)并關閉電腦、顯示器、電源；公司內(nèi)部郵件系統(tǒng)只作為辦公用，各

用戶不得利用公司的郵件系統(tǒng)傳輸任何與工作無關的郵件，所有郵件己在電腦機做了

備份，電腦使用者應當定期經(jīng)常刪除（徹底刪除）無用郵件，保持電腦能高效快速運

作.

6）使用者不得用辦公電腦玩游戲，聽CD,看VCD等；未經(jīng)電腦授權主人同意，不可以私

用其他部門或別人使用的電腦。

7）不可以刪除系統(tǒng)文件、備份文件、未知名文件及不屬于自己的文件。

8）公司服務器為經(jīng)常存儲重要文件的用戶建有一個獨立的個人文件夾和為每個用戶建立

了部門的公用文件夾，兩個文件夾只能存放與工作有關的文件，不得存放與工作無關

的文件（如個人的呼3、avi等文件），總經(jīng)辦有權在不通知使用者的情況下刪除這些

文件。

3.1.9電腦的變更

需要重新安裝系統(tǒng)、調整PC配置或需要調換PC時，員工必須向總經(jīng)辦提交申請，經(jīng)過批

準，才能實施變更，變更后總經(jīng)辦應及時更新設備清單。個人離職，需要填寫《離權人員交接

單》。

3.2其他硬件設備設施

公司范圍內(nèi)的信息安全管理范圍內(nèi)的硬件設備設施由使用部門負責日常維護管理，總經(jīng)辦

負責維修工作。如出現(xiàn)問題，使用部門及時聯(lián)系總經(jīng)辦進行處理，個人不得私自拆卸相關設備,

以防造成設備的損毀。

11

5.網(wǎng)絡安全規(guī)范

ISMS-W105

1目的和適用范圍

為加強公司網(wǎng)絡使用及管理的安全，防止重要數(shù)據(jù)、信息的泄露，特制定本規(guī)定。

本規(guī)定適用于公司所有的網(wǎng)絡設施及網(wǎng)絡設置。

2職責

網(wǎng)絡管理員負責公司網(wǎng)絡的建設和維護，并負責公司的計算機及網(wǎng)絡硬件設備1勺管理以及

安全防護，作。

3安全要求

3.1物理安全要求

物理安全策略的目的是保護計算機系統(tǒng)、網(wǎng)絡服務器、打印機等硬件實體和通信線路免受

自然災害、人為破壞和搭線攻擊；驗證用戶的身份和使用權限、防止用戶越權操作；確保計算

機系統(tǒng)有一個良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進入計算機控制

室和各種偷竊、破壞活動的發(fā)生。

3.2訪問控制安全要求

參見《用戶訪問控制程序》。

33信息力口密安全要求

信茴3口加*勺目的是保護網(wǎng)絡內(nèi)部的數(shù)據(jù)、文件、口令和控制信息，保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。

網(wǎng)絡加密常用的方法有鏈路加密、端點加密和節(jié)點加密三種。鏈路加密的目的是保護網(wǎng)絡節(jié)點

之間的鏈路信息安全；端一端加密的目的是對源端用戶到目的端用戶的數(shù)據(jù)提供保折；節(jié)點加

密的目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保尹。用戶可根據(jù)網(wǎng)絡情況酌情選擇加密

方式。

3.4防范惡意代碼要求

系統(tǒng)管理員負責實施惡意代碼的監(jiān)測、預防和恢復的控制措施；負責建立相關程序以提高

用戶安全意識。

3.4.1安塞儲定期升級病毒防護軟件，掃描計算機和介質。規(guī)定客戶端電腦的病毒掃描周期為

每月一次，時間間隔小于40天，做好病毒掃描記錄。服務器電腦的病毒掃描周期為每月兩次,

做好病毒掃描記錄。

3.4.2對于來源不明的文件都應進行病毒檢查；

3.4.3對于電子郵件的附件和下載都應在使用前進行惡意軟件檢查；

3.4.4產(chǎn)品中心負責建立系統(tǒng)的防病毒控制過程，培訓使用這些過程，報告和恢復病毒攻擊；

3.4.5為保證業(yè)務連續(xù)性，應制定計劃用于病毒攻擊的恢復，包括數(shù)據(jù)和軟件備份、恢復過程。

3.5網(wǎng)絡安全管理要求

在網(wǎng)絡安全中，加強網(wǎng)絡的安全管理，制定有關規(guī)章制度，對于確保網(wǎng)絡的安全、可靠地

運行，將起到十分有效的作用。

網(wǎng)絡的安全管理文件包括：《數(shù)據(jù)備份規(guī)范》、《公司內(nèi)外數(shù)據(jù)交換管理規(guī)范》、《信息分類

管理程序》、《口令控制規(guī)范》、《用戶訪問管理程序》等。

4工作內(nèi)容及方法

4.1內(nèi)部網(wǎng)絡管理

1）公司所有員工電腦都是通過域賬戶登錄的。

2）任何員工不得私自使用他人域賬戶，不能更改電腦的IP地址，以保證公司網(wǎng)絡的正常

運行。

3）因工作需要更改域賬戶權限的，須經(jīng)過部門負責人同意后報產(chǎn)品中心批準，由產(chǎn)品中

12

心人員對域賬戶進行設置。

4）個人PC在退出內(nèi)網(wǎng)時，須辦理相關手續(xù)，產(chǎn)品中心收回設備的同時更新域賬戶對應一

覽表。

4.2對外網(wǎng)絡管理

1）網(wǎng)絡管理員應將各部門中可以使用域賬戶外網(wǎng)的人員進行登記.（由ISA控制）

2）因工作需要而要下載文件的，本人找產(chǎn)品中心人員進行下載，但不能下載與工作不相

關的軟件。

3）公司員工在訪問互聯(lián)網(wǎng)時不得瀏覽、傳播具有政治傾向或不健康內(nèi)容的信息。不能上

國家法律不允許的網(wǎng)站。

4）網(wǎng)絡管理員每月對訪問外網(wǎng)的用戶權限進行審查。

4.3網(wǎng)絡設備的操作管理

1）所有員工不得破壞公司的網(wǎng)絡設備；

2）員工不得私自更換、修理網(wǎng)絡設備，公司的網(wǎng)絡設備只允許產(chǎn)品中心進行設置和維護;

3）公司內(nèi)的關鍵網(wǎng)絡設備只能由產(chǎn)品中心的指定專人進行操作，其他人員不得操作，關

鍵網(wǎng)絡設備的操作人員負責保管與設備相關的所有資料；

4）關鍵網(wǎng)絡服務器及主干網(wǎng)絡設備在機房中；

5）機房禁止無關人員進入。機房上鎖，一般情況下是處于鎖閉狀態(tài)。

4.4網(wǎng)絡服務

網(wǎng)絡管理員應確定網(wǎng)絡服務的安全特性、服務級別已經(jīng)管理要求，在與網(wǎng)絡服務提供商簽

署網(wǎng)絡服務協(xié)議時，包括這些要求。對網(wǎng)絡服務提供商的服務，產(chǎn)品中心應定期進行監(jiān)視。

所有員工只能使用分配的服務，嚴禁員工使用未授雙使用的服務。

4.5計算機網(wǎng)絡遠程診斷和配置端口的保護

對于公司重要服務器和網(wǎng)絡，由產(chǎn)品中心指定的管理人員才能使用遠程診斷和配置瑞口對計算

機和網(wǎng)絡進行診斷和配置，其他人員無權實施。公司重要服務器應放置到機房，以實現(xiàn)對遠程

診斷和配置端口實施物理隔離方式的保護，網(wǎng)絡診斷和配置端口應鎖定，使其他人員不能在物

理上和邏輯上訪問這些端口。

13

6.口令控制規(guī)范

ISMS-W106

1目的

為了保證用戶口令的安全性和有效性，保證網(wǎng)絡資源不被非法訪問，有效地保證公司網(wǎng)絡

的安全，特制定本策略。

2范圍

本策略主要涵蓋公司內(nèi)部合法用戶的口令管理，同時保證臨時遠程登陸用戶的口令安全。

3職責

由總經(jīng)辦負責建立口令控制策略，做好口令的保密，定期驗證口令的有效性，防止口令的

濫用和惡意破解。公司各個部門的電腦使用人提高口令保護意識，做好用戶口令的保密工作。

4控制策略

4.1統(tǒng)一分配口令

所有用戶賬號都必須有口令保護，在生成賬號時，系統(tǒng)管理員分配給合法用戶一個唯一的

口令，用戶在第一次登錄時需要更改口令，口令不以明文顯示。

4.2限制登錄嘗試次數(shù)

服務器操作系統(tǒng)設置在5次失敗的登錄嘗試后鎖定用戶賬號，協(xié)助防止口令猜測和惡意破

解，30分鐘后可以自動解除鎖定，或者由系統(tǒng)管理員手動解鎖。

4.3優(yōu)質口令屬性

用戶口令必須滿足至少包含8個字符，建議用戶使用由數(shù)字、字母和符號組合成的復雜口

令。系統(tǒng)自動存儲4個歷史口令，防止用戶口令的重復使用。

4.4定期更改口令

用戶口令更改后系統(tǒng)要求最少使用一天，最長使用時間為30天，口令過期后必須更改口

令，否則無法登陸。

4.5口令登陸日志

對用戶口令使用、成功登錄和失敗登錄進行日志記錄（包括日期、時間、用戶名或登錄名）。

用戶成功登錄后，服務器可以顯示上次成功或失敗登錄的日期和時間。

4.6保證遠程登陸用戶口令的安全

總經(jīng)辦負責分配遠程登陸用戶的口令，保證臨時使用臨時分配，使用完畢口令失效，確保

口令的有效性。

4.7口令變更

崗位變更的員工必須進行口令的變更

14

15

7.清潔桌面和清屏策略

ISMS-WI07

清潔桌面和清屏策略

應該實施清除桌面和清除屏幕方針，以降低對文件、介質以及信息處理設施

介紹

未經(jīng)授權訪問或破壞的風險。

該策略的目的是防止對信息和信息處理設施未經(jīng)授權的用戶訪問、破壞或盜

目的

竊。

適用范圍該策略適用于公司所有員工。

術語定義略

■含有涉密信息或重要信息的文件、記錄、磁盤、光盤或以其它形式存貯

的媒體在人員離開時，應鎖入文件柜、保險柜等；

清潔■所有計算機終端必須設立登錄口令，在人員離開時應該鎖屏、注銷或關

面

桌機；

清

和■在結束工作時，必須關閉所有計算機終端，并且將個人桌面上所有記錄

策

屏有敏感信息的介質鎖入文件柜；

咯

略■計算機終端應設置屏幕密碼保護，屏保時間不大于5分鐘；

■傳真機由總經(jīng)理辦公室負責管理，并落實責任人。

■打印或復印公司秘密、機密信息時，打印或復印設備現(xiàn)場應有可靠人員，

打印或復印完畢即從設備拿走。

違背該策略可能導致：員工以及臨時工被解雇、合同方或顧問的雇傭關系終

懲罰止、實習人員和志愿者失去繼續(xù)工作的機會、學生被開除；另外，這些人員

還可能遭受信息資源訪問權以及公民權的損失，甚至遭到法律起訴。

引用標準略

16

8.介質使用管理規(guī)范

ISMS-W108

1目的和適用范圍

為規(guī)范公司內(nèi)部各類介質的申請、借用、使用、管理以及在介質帶出公司外部時的要求，

以防止因不當操作發(fā)生信息泄露。

本規(guī)定適用于公司內(nèi)介質的使用、存放、銷毀過程，以及公司外介質的傳輸活動。

2職責

總經(jīng)辦負貢保管本項目使用的大容量存儲設備，負責開封得到申請批準人員的外接接口；

負責光盤的刻錄，回收及銷毀；負責對移動存儲介質的維護、維修；批準各部門因工作需要而

要長期使用大容量存儲設備（如：U盤等）

3工作內(nèi)容及方法

3.1介質的使用

用于存儲信息、數(shù)據(jù)資料的設備，媒介，如：大容量存儲設備、軟盤、刻錄光盤、磁帶、

M0等同類媒介及打卬或是復印的紙制介質。

3.1.1大容量存儲設備

該類存儲設備（如，硬盤、移動硬盤、U盤）在使月時須連接計算機的接口或外接接口，

每一個大容量存儲設備須有相對應的《大容量存儲設備使用記錄》

1）因工作需要各個部門在使用大容量存儲設備時須向設計與總經(jīng)辦提出借用申請（借用

申請須填寫《設備申請表》，并在表中注明設備為借用）并告之本部門的負責人。

2）總經(jīng)辦人員將借用的大容量存儲設備交給申請人員，并同時交給《大容量存儲設備使

用記錄》。

3）借用大容量存儲設備只能由一人進行使用（必須為申請人員），在使用時須填寫《大容

量存儲設備使用記錄》。

4）使用大容量存儲設備進行資料存儲前須得到項目負責人的批準；使用完畢后，須將不

使用的大容量存儲設備歸還總經(jīng)辦，并一起提交已填寫的《大容量存儲設備使用記錄》。

5）總經(jīng)辦人員在回收借用完畢的大容量存儲設備后須將其進行格式化以便下次使用，并

將填寫的使用記錄進行整理歸檔管理。

6）若因工作需要須長期使用大容量存儲設備的部門，可向信息安全管理領導小組申請，

信息安全管理領導小沮成員根據(jù)實際情況批準申請。因工作需要的特殊人員（如，財

務人員等，經(jīng)常需要拷貝公司敏感信息的人員）應配給加密的存儲設備。

7）任何職能部門在長期使用大容量存儲設備時不得在其上面存儲公司的敏感信息。

8）大容量存儲設備持有人不得私自將設備借于他人使用，若因工作需要需借給他人的須

經(jīng)過部門的負責人同意，使用時須由設備的持有人填寫《大容量存儲設備使用記錄》。

9）對于開放外接接口的計算機，若在三個月內(nèi)沒有使用記錄的將對其外接接口進行封閉。

10）任何員工不得私自打開公司計算機上的外接接口來使用大容量存儲設備，私自打開者

一經(jīng)被發(fā)現(xiàn)，將按制度的規(guī)定進行處理。

3.1.2刻錄光盤、磁帶、M0等同類媒介

該類媒介在使用時須借助其他設備來進行刻錄、錄制，如，使用刻錄光驅、磁帶機等。

1）在使用刻錄光盤、磁帶、M0等同類媒介進行存儲、刻錄的，錄制前須得到項目負責人

的批準。

2）在刻錄、錄制前項目負責人或其指定人員必須對要刻錄、錄制的內(nèi)容進行驗證。

3）在刻錄、錄制工作完成后，須進行登記，登記的內(nèi)容包括：部門、項目組、申請人、

日期、內(nèi)容、操作人。

17

4）在刻錄、錄制工作完成后應及時將刻錄、錄制完成的光盤、磁帶交給項目組。

5）所有員工不得私自在計算機上連接使用刻錄光驅等設備，一經(jīng)發(fā)現(xiàn)，將按制度的規(guī)定

進行處理。

3.1.3紙制介質

該類介質為打印，復印及傳真的書面資料。

1）所有員工在打印結束后應及時將打印的資料從打印區(qū)拿走。

2）對安全等級在秘密以上（含秘密）的紙張不允許重復打印使用。

3）在復印安全等級為秘密以上（含秘密）的資料前須經(jīng)過負責人的批準。

4）復印結束后應及時將與復印相關的資料拿走。

5）傳真安全等級為秘密以上（含秘密）的資料須得到負責人的批準。

6）打印、復印和傳真的紙張應注意平整、無污漬，以保證資料的清晰有效及防止操作設

備被損壞。

7）任何人員不得私自將印有項目涉密內(nèi)容的紙制貨料帶出工作場所，一經(jīng)發(fā)現(xiàn)，將按制

度的規(guī)定進行處理。

8）每口進行打印機、復印件區(qū)域監(jiān)測，發(fā)現(xiàn)問題及時更正。

3.2介質的存放

根據(jù)介質所存內(nèi)容安全等級的級別，對介質進行合理的存放，存放時應對介質進行登記、

標浜以便管理。

3.2.1大容量存儲設備

1）項目申請借用的大容量存儲設備須存放在借用人處。

2）對于長期使用的大容量存儲設備，持有人應妥善保管，未經(jīng)許可不得帶出工作場所。

3）大容量存儲設備應由設備的借用申請人或是項目負責人，部門的負責人進行保管。

4）存有安全等級為秘密以上（含秘密）內(nèi)容的移動存儲介質須由項目負責人或是部門負

責人進行標識和保管，應將設備保管在帶鎖的物理設施中，并填寫存放登記，登記的

內(nèi)容應包括：保管人、存儲內(nèi)容、保管期限。

5）存有安全等級為秘密以下內(nèi)容的存儲介質應由項目負責人進行保管，不得隨意放置。

6）存放時應注意周圍環(huán)境的可靠性及安全性，注意設備接口的保護。

3.2.2刻錄光盤、磁帶、M0等同類媒介

1）存有安全等級為秘密以上（含秘密）內(nèi)容的刻錄光盤、磁帶等同類介質應由項目負責

人進行標識和保管，應將刻錄光盤、磁帶保管在帶鎖的物理設施中，并填寫存放登記。

2）存有安全等級為秘密以下的刻錄光盤、磁帶等同類介質應由項目負責人指定專人進行

保管，不得隨意放置。

3）存放時應注意周圍環(huán)境的可靠性及安全性，同時須注意對光盤盤面、磁帶的保護。

4）紙制介質安全等級為秘密以上（含秘密）內(nèi)容的紙制介質應由項目負責人進行標識、

裝訂，保管在帶鎖的物理設施中，并填寫存放登記。

5）安全等級為秘密以下內(nèi)容的紙制介質小得隨意放置，應由項目負責人指定專人進行裝

訂、保管。

6）存放時應注意周圍環(huán)境的可靠性及安全性，注意紙張的防潮、防火及缺損。

3.3介質的銷毀

介質所存儲內(nèi)容不再使用時，不得將介質隨意丟棄，必須統(tǒng)一回收并進行專門的作廢處理。

3.3.1大容量存儲設備

1）大容量存儲設備不再使用時應徹底刪除其存儲的內(nèi)容（如，進行物理格式化），以便下

次使用°

2）刪除內(nèi)容后的存儲設備若是借用的，則應在使用完畢后及時歸還；若是項目組申請長

18

期使用存儲設備，則在格式化后交回項目負責人，部門負責人保管。

3.3.2刻錄光盤、磁帶、M0等同類媒介

1）當光盤、磁帶上的內(nèi)容作廢時，不得將光盤、磁帶隨意丟棄，應將其統(tǒng)一交給總經(jīng)辦

進行處理。

2）總經(jīng)辦應根據(jù)項目的要求對作廢光盤、磁帶等同類媒介保存一定的時期，并制作廢棄

光盤、磁帶等同類媒介的存放記錄，記錄內(nèi)容包括：部門、項目名稱、保存期限、保

管人。

3）在保管期限之后總經(jīng)辦應采用專業(yè)的方法對廢棄的光盤、磁帶進行處理，處理時須保

證上面的信息不被泄露。

4）光盤、磁帶在銷毀后應及時通知所屬項目組，并將存放記錄上的相關內(nèi)容進行標記。

3.3.3紙制介質

對于已作廢的打印、復印或傳真的紙制資料不得隨意丟棄，由專人進行切碎處理。

3.4介質的運輸

介質在帶出公司時應做必要的防護手段，防止資料泄露，在未得到批準的情況下所有人員

不得私自將存有安全等級為秘密以上（含秘密）的介質帶出公司，一經(jīng)發(fā)現(xiàn)將按制度的規(guī)定進

行處理。

3.4.1大容量存儲設備

1）對存有安全等級為秘密以上（含秘密）內(nèi)容的大容量存儲設備因工作需要帶出時須得

到項目負責人批準，并填寫帶出登記，登記內(nèi)容包括：帶出人、確認人、帶出日期、

帶出原因；

2）存儲設備的維修應由相關部門負責，在設備被帶出維修時，相關部門須保證存儲介質

所存儲的內(nèi)容在維修期間的保密性及完整性。因其他工作原因須將存儲介質帶出公司

時，須由指定的專人帶出；

3）大容量存儲設備在帶出時，攜帶人員須注意設備的安全，防止被他人使用而發(fā)生存儲

信息的泄露，必要時應帶具有加密功能的移動存儲設備，并對設備進行加密處理；

4）注意存儲設備的安全，防止設備本身遭到損壞，從而導致所存儲的內(nèi)容無法使用。

3.4.2刻錄光盤、磁帶、M0等同類媒介

1）對存有安全等級為秘密以上（含秘密）內(nèi)容的媒介在帶出時須得到項目負責人批準，

并填寫帶出登t己。

2）在光盤、磁“等同類女備帶出時應防止被他人使用而發(fā)生存儲信息的泄露。

3）應注意存儲媒介的安全，防止媒介本身遭到損壞，從而導致上面的內(nèi)容無法讀取。

3.4.3紙制介質

1）對存有安全等級為秘密以上（含秘密）內(nèi)容的紙制資料在帶出時，須得到項目負責人

批準并填寫帶出登記。

2）在紙制資料帶出時，攜帶人員須確保資料不被無關人員閱讀，安全等級在秘密以上（含

秘密）的資料應使用叉件夾攜帶。

3）紙制資料帶出時須進行裝訂，防止紙張丟失、破損

19

9.信息系統(tǒng)安全管理規(guī)范

ISMS-W109

1目的和適用范圍

為確保安全是信息系統(tǒng)的一個組成部分，防止應用系統(tǒng)中信息的錯誤、遺失、未授權的修

改以及誤用，對信息系統(tǒng)實施安全管理，特制定本文件。

本文件適用于公司所有的信息系統(tǒng)，包括已有的信息系統(tǒng)、新信息系統(tǒng)或增強己有的信息

系統(tǒng)。

2職責

各部門信息系統(tǒng)使用人員負責對自己使用的信息系統(tǒng)提出安全和性能要求，做好驗收工

作，并負責日常的安全維護。產(chǎn)品中心負責為安全設計提供建議，并做好日常的安全檢查。

3定義

信息系統(tǒng)：用于存儲、處理和傳輸信息的相互關聯(lián)、相互作用的一組要素，是基礎設施、

組織、人員、設備和信息的總和。

4信息系統(tǒng)的獲取

4.1系統(tǒng)計劃

新開發(fā)（新購買）或增強已有信息系統(tǒng)時，如果信息系統(tǒng)是全公司范圍內(nèi)使用，由產(chǎn)品中

心提出申請，總經(jīng)理批準；如果信息系統(tǒng)由某個部門使用，則該部門經(jīng)理提出申請，產(chǎn)品中心

和總經(jīng)理分別審批。

申請人應確保在信息系統(tǒng)的業(yè)務要求陳述中，包括了安全控制措施的要求：

4.1.1容量管理

申請人應預測信息系統(tǒng)未來的容量要求和系統(tǒng)性能要求，未來的容量要求應考慮新業(yè)務、

系統(tǒng)要求、公司信息處理的當前狀況和未來趨勢，做出對于未來能力需求的推測，以確保擁有

所需的系統(tǒng)性能。

申請人還必須對信息系統(tǒng)資源的使用進行監(jiān)視，識別并避免潛在服務瓶頸，制定容量計劃

以保證有充足的處理能力和存儲空間可用。

申請人應將容量計劃和能力管理的需求寫入申請中。

4.1.2安全要求

申請人應識別信息系統(tǒng)的安全要求，以防止應用系統(tǒng)內(nèi)的用戶數(shù)據(jù)遭到丟失、惡意或無意

的修改或誤用。控制措施包括但不限于：

1）輸入數(shù)據(jù)驗證

必須對輸入到應用系統(tǒng)內(nèi)的數(shù)據(jù)進行檢查以保證數(shù)據(jù)正確、適當。在數(shù)據(jù)處理之前對業(yè)務交易

及各種數(shù)據(jù)及表格的輸入進行檢查。需要對合理性測試及錯誤響應的責任和程序進行定義。

2）內(nèi)部處理控制

正確輸入的數(shù)據(jù)有可能因為處理過程的錯誤或人為操作被破壞。因此，應適用添加、修改

或刪除功能，以實現(xiàn)數(shù)據(jù)變更；使用適當?shù)墓收匣謴统绦?，以確保數(shù)據(jù)的正確處理；防范利用

緩沖區(qū)溢出而進行的攻擊。

3）消息完整性

信息系統(tǒng)中必須包含對消息完整性的控制，例如使用MAC碼或其他控制手段，來確保消息

的完整性。

4）輸出數(shù)據(jù)驗證

信息系統(tǒng)中必須包括輸出數(shù)據(jù)控制?？梢园ǎ汉侠硇詸z查，以測試輸出數(shù)據(jù)是否是合理

的；為后續(xù)的處理系統(tǒng)提供足夠的信息；響應輸出驗證測試的程序；創(chuàng)建在數(shù)據(jù)輸出驗證過程

中的活動日志°

20

5）差錯數(shù)據(jù)處理

信息系統(tǒng)必須具備差錯數(shù)據(jù)處理程序，以應對系統(tǒng)出現(xiàn)差錯時的情況。

6）密碼控制

如果信息系統(tǒng)需要使用密碼控制方法，必須制定密碼控制策略，包括：

a）確定需要保護的級別，考慮需要的加密算法的類型、強度和質量。

b）密鑰管理方法，包括密鑰的生成、傳輸、儲存、恢復、銷毀等。

c）使用密碼方法的角色和職責，例如誰負責策略的實施，誰負責密鑰管理等。

d）采用的密碼標準。

e）遵循國家對應用密碼技術的管理規(guī)定和限制。

4.2新系統(tǒng)的開發(fā)和購買

申請人提交申請，由總經(jīng)理批準，進行系統(tǒng)的開發(fā)或購買。信息系統(tǒng)開發(fā)和購買過程中，

必須確保開發(fā)或購買的信息系統(tǒng)考慮了申請中描述的安全控制和系統(tǒng)性能要求。

如果在系統(tǒng)開發(fā)過程中，涉及到軟件外包開發(fā)，負責軟件開發(fā)的外部公司、廠商應簽訂合

同或協(xié)議以保證外包的軟件開發(fā)可成功地滿足業(yè)務要求。以下各項應包括在內(nèi)：

1）許可證協(xié)議、代碼擁有和知識產(chǎn)權；

2）安全協(xié)議得到確認、明確表述和認可；

3）滿足《第三方服務管理程序》中對第三方服務的控制要求。

4.3系統(tǒng)驗收

系統(tǒng)申請人應該在開發(fā)前為新信息系統(tǒng)或升級版本制定驗收準則。新系統(tǒng)的驗收準則應作

明確定義，得到認可并作記錄。驗收準則應包括：

1）性能和計算機的容量要求。

2）差錯恢復和重啟程序以及應急計劃。

3）有效的人工操作程序。

4）業(yè)務連續(xù)性安排。

5）新系統(tǒng)的操作和使用培訓。

6）易用性等。

在系統(tǒng)開發(fā)結束后，申請人應組織相關人員按照系統(tǒng)驗收準則，對信息系統(tǒng)進行驗收。

5信息系統(tǒng)的維護

5.1確保系統(tǒng)文件安全

系統(tǒng)文件包含一系列敏感信息，例如，應用過程的描述、程序、數(shù)據(jù)結構、授權過程等等。

所以應保護系統(tǒng)文件以防止非授權訪問。

5.1.1運行軟件的控制

所有員工使用計算機或服務器時，不得隨意安裝軟件，也不得隨意對運行系統(tǒng)上的軟件包

進行變更，具體規(guī)定，參見《硬件設備安全管理規(guī)范》和《服務器管理規(guī)范》。

5.1.2開發(fā)、測試和運行環(huán)境的隔離（開發(fā)使用終端機，服務器在公司）

為防止操作問題，信息安全管理領導小組應識別運行、開發(fā)和測試環(huán)境之間的分類級別，

應確保：

1）開發(fā)和運行軟件要在不同的系統(tǒng)或計算機處理器上或在不同的域內(nèi)運行。

2）沒有必要時，編譯器、編輯器、其他開發(fā)工具或系統(tǒng)實用工具不應訪問運行系統(tǒng)。

3）測試系統(tǒng)環(huán)境應盡可能的仿效運行系統(tǒng)環(huán)境。

4）用戶應在運行和測試系統(tǒng)中使用不同的用戶輪廓，菜單要顯示合適的標識信息以減少

11］錯的風險

5）敏感數(shù)據(jù)不應拷貝到廁試系統(tǒng)環(huán)境中。

5.1.3測試數(shù)據(jù)的保護

21

所有系統(tǒng)測試人員應避免使用包含個人信息或其它敏感信息的運行數(shù)據(jù)庫用于測試。如果

測試使用了個人或其他敏感信息，那么在使用之前應去除或修改所有的敏感細節(jié)和內(nèi)容。當用

于測試時，應使用下列指南保護運行數(shù)據(jù)：

1）應用于運行應用系統(tǒng)的訪問控制程序，還應用于測試應用系統(tǒng)；

2）運行信息每次被拷貝到測試應用系統(tǒng)時應有獨立的授權；

3）在測試完成之后，應立即從測試應用系統(tǒng)清除運行信息；

4）應記錄運行信息的拷貝和使用日志以提供審核蹤跡。

5.2系統(tǒng)變更控制

為了保證信息系統(tǒng)和信息的安全，產(chǎn)品中心應嚴格控制系統(tǒng)支持進程，重點做好應用變更

管理。

產(chǎn)品中心必須建立和執(zhí)行正式的系統(tǒng)和應用變更控制程序，包括下列內(nèi)容：

1）評審變更的需求，如果沒有大的改進，不實施變更；

2）變更必須得到產(chǎn)品中心的批準；

3）變更前應對變更的內(nèi)容進行測試和評審，以避免系統(tǒng)變更后不適應業(yè)務要求；

4）系統(tǒng)變更后，應對業(yè)務進行評審和測試，以確保對組織的運行和安全沒有負面影響；

5）制定變更失敗的應急計劃，以應對可使系統(tǒng)變更中斷的事件；

6）做好整個變更活動的記錄；

7）變更后，應通知所有相關人員，按照變更后的系統(tǒng)進行操作。

5.3防止信息泄露

在信息系統(tǒng)開發(fā)和支持過程中，應防止信息泄露的可能性，應使用經(jīng)過評價的產(chǎn)品。

在現(xiàn)有法律或法規(guī)允許的情況下，定期監(jiān)視和評審個人和系統(tǒng)的活動，并監(jiān)視計算機

系統(tǒng)的資源使用，見《硬件設備安全管理規(guī)范》、《服務器管理規(guī)范》、《網(wǎng)絡安全規(guī)范》。

22

10.違規(guī)懲罰制度

ISMS-W110

1目的

為加強電腦使用管理，保證設備正常使用，保證信息資料、文件安全，特制訂本文件。

2具體要求

1）私自下載、安裝、使用（無論是工作時間還是休息時間）游戲軟件的員工，給予嚴重

警告處分。

2）_L作時間嚴禁開通和登陸QQ聊天，具，違規(guī)者給予嚴重警告處分，處罰50元。

3）工作時間不得瀏覽與工作無關的網(wǎng)頁網(wǎng)站，違規(guī)者給予書面警告。

4）公司電腦的桌面與屏,呆一律按統(tǒng)一要求的設定，不得私自設置桌面與屏保，違規(guī)者給

予書面警告。

5）為加強管理，員工工作用電腦必須設開機密碼，密碼必須在部門主管處備案。員工要

對自己工作用電腦儲存的文件和安裝的內(nèi)容負責，多人使用一臺電腦的，實行聯(lián)保，

分不清責任人的，由使用人共同承擔責任，接受處罰。

3公司部門主管有權對公司內(nèi)的電腦進行檢查，對違規(guī)行為進行制止和處罰。

4泄露公司電子文件秘密，尚未造成嚴重后果或經(jīng)濟損失的給予警告，并扣發(fā)工資，金額為

1000元以上5000元以下：

5故意或過失泄露公司電子信息秘密，造成嚴重后果或重大經(jīng)濟損失的，予以辭退并追究賠

償經(jīng)濟損失。

6違反公司電子文件保密制度規(guī)定，為他人竊取、刺探、收買或違章提供公司秘密的，予以

辭退并賠償經(jīng)濟損失。

7利用職權強制他人違反電子文件保密規(guī)定的，予以辭退并賠償經(jīng)濟損失并追究其刑事責

任。

23

1L法律法規(guī)識別及合規(guī)性評價規(guī)范

1目的

建立獲取、識別、更新法律法規(guī)和其它要求的渠道，確保本公司的管理活動符合相關法律

法規(guī)和其他要求；并且定期評價對適用法律法規(guī)和其他要求的遵守情況，以切實履行本公司遵

守法律法規(guī)和其他要求的承諾。

2適用范圍

適用于本公司對質量管理、環(huán)境管理和信息安全管理控制相關的法律、法規(guī)和其他要求的

控制。

3職責

3.:總經(jīng)辦負責質量管理、環(huán)境管理和信息安全管理控制的法律、法規(guī)和其他要求的識別、獲

取、更新和保管；并收集合規(guī)性證據(jù)。

3.2管理者代表負責對各項法律法規(guī)文件的適用性、合規(guī)性進行評價，并將相關信息傳遞到各

相關部門。

3.3各職能部門負責將相關法律法規(guī)和其他要求傳達給員工并遵照執(zhí)行。

4管理程序

4.1相關的法律、法規(guī)和其他要求應包括：

1）國際公約；

2）國家質量管理、環(huán)境管理和信息安全管理控制相關的法律、法規(guī)、標準和行政規(guī)章制

度；

3）公司所在地質量、環(huán)境和信息安全法律、法規(guī)、標準和行政規(guī)章制度；

4）執(zhí)法部門（如質量技術監(jiān)督局、檢驗檢疫局、環(huán)保局、消防局、勞動局、商標、條碼

安全生產(chǎn)監(jiān)察部門、安全生產(chǎn)和職業(yè)病防護部門等）的規(guī)定。

5）各相關方的其他要求，如客戶相關要求等。

4.2法律、法規(guī)和其他要求獲取方法和頻次。

4.2.1總經(jīng)辦可以從上述執(zhí)法部門和相關網(wǎng)站咨詢或認證機構獲取相關法律、法規(guī)、標準和其

他要求的最新版本，以保持走法律法規(guī)和其他要求的最新變化的及時跟蹤。

4.2.2總經(jīng)辦每個季度通過上述渠道搜索并收集一次法律法規(guī)和其他要求。

4.3法律、法規(guī)和其他要求的選擇確認

4.3.1總經(jīng)辦選擇、確認所獲取的各類法律、法規(guī)、標準和其他要求的適用性，制定《法律法

規(guī)清單》，經(jīng)管理者代表審批后，將清單中的相關文件分發(fā)給各相關部門。

4.3.2總經(jīng)辦耍按4.2條款隨時更新或增補，及時修正《法律法規(guī)清單》。對過時或作廢的舊

24

文件按《文件控制程序》的規(guī)定執(zhí)行。

4.4法律、法規(guī)和其他要求的執(zhí)行

4.4.1各部門要組織學習與本部門相關的適用法律法規(guī)和其他要求，必要的應納入相關的作業(yè)

指導書中。總經(jīng)辦應對法律法規(guī)和其他要求的執(zhí)行情況進行檢查，并且遵守有關產(chǎn)品不含有害

化學物質的管理規(guī)定，確保公司的質量/環(huán)境管理活動及表現(xiàn)與法律法規(guī)和其他要求相符。

4.4.2總經(jīng)辦依據(jù)法律法規(guī)和其他要求以及重要環(huán)境因素、危險源的相關規(guī)定及其監(jiān)測編制

《合規(guī)性評價記錄表》，強調環(huán)境因素和法律法規(guī)的對照情況。并且據(jù)此及時通報合規(guī)性評價

結果。

4.4.3總經(jīng)辦設立法制宣傳看板，定期或不定期擇要向員工宣傳法律法規(guī)和其他要求。

4.5合規(guī)性評價

4.5.1為履行遵守法律法規(guī)和其他要求的承諾，由管理者代表組織各部門每年對適用質量管

理、環(huán)境管理和信息安全管理控制的法律法規(guī)遵循情況至少進行一次合規(guī)性評價，以期通過評

價不斷改進公司的管理。

4.5.2產(chǎn)品中心負責對有關質量控制、目標和指標完成情況、法律法規(guī)遵循情況進行監(jiān)督檢查,

記錄質量目標管理月報，遞交公司高層管理者作為業(yè)績考核依據(jù)。

4.5.3各部門依據(jù)環(huán)境監(jiān)視和測量的結果在責任范圍內(nèi)對違反環(huán)境法規(guī)（含超標排放）的事件、

事故；對來自內(nèi)、外部審核或投訴發(fā)現(xiàn)的違規(guī)事件、事故，及時調查原因、制定措施、合規(guī)處

置。并提出事故報告，向公司高層管理者報告。

4.5.4各部門依據(jù)信息安仝監(jiān)視和測量的結果在責任范圍內(nèi)對違反信息安仝法規(guī)的事件、事

故；對來自內(nèi)、外部審核或投訴發(fā)現(xiàn)的違規(guī)事件、事故，及時調查原因、制定措施、合規(guī)處置。

并提出事故報告，向公司高層管理者報告。

4.5.5合規(guī)性評價活動可以以會議形式集中進行，但更適宜于管理體系審核、環(huán)境檢查活動、

質量保證檢查、信息安全管理等評價過程結合起來進行。及時記錄，然后匯總并定期編制和保

存《法律法規(guī)清單》及《合規(guī)性評價記錄表》。

5相關文件

《文件控制程序》

6記錄

《法律法規(guī)清單》

《合規(guī)性評價記錄表》

25

12.知識產(chǎn)權管理規(guī)定

ISMS-W112

1目的

為有效保護公司知識產(chǎn)權,鼓勵員工發(fā)明創(chuàng)造和智力創(chuàng)作的積極性，促進科技成果產(chǎn)業(yè)