一、算法安全專職機(jī)構(gòu)公司為有效落實算法安全主體責(zé)任，確保算法安全工作，提升公司算法安全的保障能力，加強(qiáng)信息安全和技術(shù)防護(hù)工作，推動公司發(fā)展行穩(wěn)致遠(yuǎn)，公司依據(jù)《互聯(lián)網(wǎng)信息服務(wù)算法推薦管理規(guī)定》的有關(guān)規(guī)定，結(jié)合《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》等法律、行政法規(guī)，公司成立有專職算法安全專職機(jī)構(gòu)。1.專職機(jī)構(gòu)名稱：算法安全管理中心2.組織架構(gòu)XX集團(tuán)有限公司算法安全領(lǐng)導(dǎo)小組為XX集團(tuán)有限公司算法安全工作領(lǐng)導(dǎo)機(jī)構(gòu)，領(lǐng)導(dǎo)小組下設(shè)專職部門，由算法安全管理中心負(fù)責(zé)算法安全具體工作。算法安全管理中心負(fù)責(zé)人為算法安全第一責(zé)任人，負(fù)責(zé)是落實算法安全管理制度；其他部門負(fù)責(zé)人為算法安全次要責(zé)任人，負(fù)責(zé)配合落實算法安全管理制度。具體組織架構(gòu)為：成員：模型安全小組、安全監(jiān)測小組、應(yīng)急響應(yīng)小組3.部門職責(zé)范圍負(fù)責(zé)組織公司算法安全工作；負(fù)責(zé)制定公司算法安全管理制度、技術(shù)規(guī)定、應(yīng)急預(yù)案等，并督促執(zhí)行；負(fù)責(zé)對公司內(nèi)大模型開發(fā)中算法安全的設(shè)計、檢查和防護(hù)，及時處置安全風(fēng)險；負(fù)責(zé)算法安全事故的處置；負(fù)責(zé)組織算法安全培訓(xùn)和宣傳。4.負(fù)責(zé)人基本信息和工作職責(zé)工作職責(zé)：制定算法安全策略，協(xié)調(diào)各小組工作，監(jiān)督算法安全措施的實施。5.算法安全工作人員的任職要求熟悉常見網(wǎng)絡(luò)協(xié)議和安全架構(gòu)知識，了解常見的網(wǎng)絡(luò)攻防手段；具備扎實的計算機(jī)基礎(chǔ)理論知識，對計算機(jī)網(wǎng)絡(luò)有一定認(rèn)識和理解；有扎實的編程能力，能夠獨立承擔(dān)各種復(fù)雜問題的解決；有較強(qiáng)的邏輯思維能力和溝通能力，能吃苦耐勞，有良好的團(tuán)隊合作精神。6.算法安全工作人員配備的規(guī)模人員總配置17人，其中全職14人、兼職3人。7.算法安全技術(shù)保障措施首先，在加密技術(shù)方面，公司對算法相關(guān)數(shù)據(jù)的存儲和傳輸進(jìn)確保只有授權(quán)用戶能夠訪問和解密相關(guān)信息。在網(wǎng)絡(luò)安全防護(hù)方面，公司通過部署防火墻系統(tǒng)、分段網(wǎng)絡(luò)隔離等措施，嚴(yán)密監(jiān)控和管理網(wǎng)絡(luò)流量。入侵檢測與防御技術(shù)也在算法系統(tǒng)中起著至關(guān)重要的作用。通過部署入侵檢測系統(tǒng)和入侵防御系統(tǒng)，公司能夠?qū)崟r監(jiān)測系統(tǒng)的網(wǎng)絡(luò)流量和行為，識別潛在的安全威脅。在檢測到異常行為時，能夠自動采取措施進(jìn)行防護(hù)，確保威脅不擴(kuò)散。公司還引入了多因素身份驗證，特別是在關(guān)鍵系統(tǒng)訪問中，通過增加驗證環(huán)節(jié)確保用戶身份的真實性，防范憑據(jù)泄露帶來的風(fēng)險。動態(tài)訪問監(jiān)控技術(shù)則持續(xù)分析用戶行為，及時阻止任何異常訪問。公司對所有系統(tǒng)操作和日志進(jìn)行自動化記錄和審計，確保任何異?；顒佣寄軌虮患皶r發(fā)現(xiàn)和追溯。通過編制應(yīng)急預(yù)案、定期演練和災(zāi)備方案，公司確保在發(fā)生安全事件時能夠迅速采取措施，保障業(yè)務(wù)的連續(xù)性。二、算法安全管理制度建設(shè)公司依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個人信息保護(hù)法》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《互聯(lián)網(wǎng)信息服務(wù)算法推薦管理規(guī)定》及相關(guān)行業(yè)標(biāo)準(zhǔn)/規(guī)范，制定有完備的算法安全管理制度。(一)算法安全自評估制度建設(shè)1.算法自評估的制度設(shè)計考慮算法安全自評估旨在確保公司開發(fā)的人工智能算法在醫(yī)療健康領(lǐng)域應(yīng)用的安全性、合規(guī)性和有效性。通過定期的自我檢查和評估，及時發(fā)現(xiàn)并解決算法可能存在的安全風(fēng)險，保障患者和用戶的數(shù)據(jù)隱私，提升算法的可靠性和信任度。制度設(shè)計的主要考慮因素：算法全生命周期覆蓋：評估涵蓋算法從設(shè)計、開發(fā)、測試、部署、運行、維護(hù)到退役的各個階段，確保任何環(huán)節(jié)中的安全風(fēng)險都能被及時發(fā)現(xiàn)和解決。多維度評估：自評估制度不僅關(guān)注算法的技術(shù)安全性，還包括數(shù)據(jù)合規(guī)性、信息安全性和用戶權(quán)益保護(hù)，確保算法不僅能在技術(shù)上安全運行，還能符合法律法規(guī)對數(shù)據(jù)處理和用戶保護(hù)的要求。自評估的靈活性與時效性：根據(jù)算法的風(fēng)險等級、應(yīng)用場景和法律法規(guī)的變化，定期或臨時啟動自評估，確保評估內(nèi)容能夠適應(yīng)算法的動態(tài)發(fā)展確保自評估不僅停留在理論層面，而是能夠高效執(zhí)行和落地實施。2.算法安全自評估制度(1)算法安全自評估涵蓋內(nèi)容。數(shù)據(jù)使用合規(guī)性：確保算法使用的數(shù)據(jù)來源合法合規(guī)，使用方式符合用戶授權(quán)，敏感數(shù)據(jù)經(jīng)過脫敏評估算法模型選擇、邏輯設(shè)計、參數(shù)設(shè)置的合理性；驗證模型的泛化能力、訓(xùn)練數(shù)據(jù)的代表性及訓(xùn)練過程的科學(xué)性；評估算法模型在抵抗對抗攻擊、保護(hù)模型機(jī)密性及輸出結(jié)果的合理性方面的安全性，防止因攻擊導(dǎo)致錯誤決策。信息安全性：檢查算法所在系統(tǒng)的網(wǎng)絡(luò)安全、設(shè)備安全、數(shù)據(jù)傳輸?shù)募用芮闆r，以及在不同算法運行環(huán)境下的信息安全防護(hù)是否有效。用戶權(quán)益保護(hù)：評估算法是否保障用戶知情權(quán)、選擇權(quán)和控制權(quán)，是否在隱私保護(hù)、數(shù)據(jù)刪除請求、算法透明性等方面符合法律法規(guī)和公司要求。數(shù)據(jù)管理與運行監(jiān)控：審查數(shù)據(jù)收集、存儲、處理、傳輸?shù)拳h(huán)節(jié)的安全性；算法上線后的性能監(jiān)控與異常檢測機(jī)制是否健全。倫理與隱私：評估算法是否存在歧視行為，用戶數(shù)據(jù)是否得到充分保護(hù)，決策是否公平透明。(2)算法安全自評估分類每季度進(jìn)行一次，確保算法日常運行中的安全性和合規(guī)性；在算法發(fā)生重大更新、面臨新法規(guī)或政策調(diào)整、出現(xiàn)安全事件時，立即啟動專項評估，以排查潛在風(fēng)險和隱患；在算法上線前、運行階段及退役時進(jìn)行關(guān)鍵節(jié)點評估，確保在算法的不同階段都能夠保障安全和合(3)算法安全自評估流程明確評估范圍，收集相關(guān)文檔、工具和數(shù)據(jù)，制定評估計劃；通過自動化工具與人工審查相結(jié)合，完成數(shù)據(jù)合規(guī)、模型安全、信息安全和用戶權(quán)益保護(hù)等方面的檢查；記錄評估發(fā)現(xiàn)的問題及其風(fēng)險等級，形成詳細(xì)的評估報告，報告應(yīng)涵蓋發(fā)現(xiàn)的問題、潛在影響及整改建各責(zé)任部門根據(jù)評估報告提出的建議進(jìn)行整改，整改后進(jìn)行復(fù)評，確保問題得到徹底解決。(4)算法安全自評估執(zhí)行保障措施技術(shù)支持。公司提供自動化評估工具和系統(tǒng)，支持大規(guī)模算法的高效評估，包括對模型和數(shù)據(jù)的安全檢測工具，以降低手工操作的復(fù)雜性和誤差。人員培訓(xùn)。定期對所有參與自評估的人員進(jìn)行培訓(xùn)，確保他們掌握最新的安全評估方法、工具使用技巧以及相關(guān)法規(guī)要求。通過技術(shù)培訓(xùn)和法規(guī)更新，確保評估團(tuán)隊具備應(yīng)對復(fù)雜評估任務(wù)的能力。數(shù)據(jù)保護(hù)。實施嚴(yán)格的數(shù)據(jù)訪問權(quán)限控制，確保數(shù)據(jù)在評估過程中的安全性。評估反饋機(jī)制。建立透明的反饋機(jī)制，評估報告應(yīng)提交給管理層及相關(guān)負(fù)責(zé)人，確保發(fā)現(xiàn)的問題能夠引起足夠重視，并由高層督促整改執(zhí)行。激勵與問責(zé)機(jī)制。對高效完成評估、發(fā)現(xiàn)并解決重大問題的團(tuán)隊和個人進(jìn)行表彰和獎勵；對于未能及時整改或存在重大安全隱患的責(zé)任人，根據(jù)公司規(guī)定進(jìn)行處罰，包括警告、降級或解除勞動合同。(二)算法安全監(jiān)測制度建設(shè)依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個人信息保護(hù)法》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《互聯(lián)網(wǎng)信息服務(wù)算法推薦管理規(guī)定》等有關(guān)規(guī)定，制定了《算法安全監(jiān)測制度》。1.信息安全監(jiān)測(1)監(jiān)測機(jī)制。信息內(nèi)容安全監(jiān)測：通過自然語言處理和內(nèi)容過濾技術(shù)，實時分析算法推薦內(nèi)容，防止違法、有害、虛假信息的傳播。監(jiān)測內(nèi)容包括但不限于新聞推薦、社交媒體內(nèi)容和廣告推送，確保推薦內(nèi)容符合國家法律和公司政策。信息源安全監(jiān)測：對算法推薦服務(wù)中使用的外部信息源進(jìn)行驗證與審計，確保來源可信、安全。通過API接口審計和數(shù)據(jù)溯源技術(shù)，定期檢查并防止外部數(shù)據(jù)源提供惡意或不可靠的數(shù)據(jù)。系統(tǒng)通信安全監(jiān)測：采用實時網(wǎng)絡(luò)流量分析、深度包檢測(DPI)技術(shù)監(jiān)測通信線路狀態(tài)，確保數(shù)據(jù)傳輸過程的安全性，防止未經(jīng)授權(quán)的數(shù)據(jù)包入侵或篡改。確保網(wǎng)絡(luò)流量和內(nèi)容的安全。實時監(jiān)控服務(wù)器與應(yīng)用系統(tǒng)的運行狀態(tài)，對通信線路、網(wǎng)絡(luò)設(shè)備等進(jìn)行全天候監(jiān)控，發(fā)現(xiàn)異常及時處理。采用內(nèi)容審核工具與算法，對信息源和推薦內(nèi)容進(jìn)行定期評估，確保推薦內(nèi)容安全合法。2.數(shù)據(jù)安全監(jiān)測。(1)監(jiān)測機(jī)制。數(shù)據(jù)安全管理：公司應(yīng)制定并執(zhí)行嚴(yán)格的數(shù)據(jù)安全管理制度，涵蓋算法推薦服務(wù)開發(fā)、測試、上線以及后續(xù)維護(hù)中的所有數(shù)據(jù)操作，確保數(shù)據(jù)使用的安全性。(2)技術(shù)保障措施。采用數(shù)據(jù)加密技術(shù)(如SSL、AES等)確保數(shù)據(jù)在傳輸和存儲過程中的安全性，防止數(shù)據(jù)被攔截或篡改。3.用戶個人信息安全監(jiān)測(1)監(jiān)測機(jī)制。用戶信息收集與處理合規(guī)性監(jiān)測：所有涉及用戶個人信息的操作，必須遵循《個人信息保護(hù)法》相關(guān)規(guī)定。通過合規(guī)管理系統(tǒng)監(jiān)控算法服務(wù)中的用戶數(shù)據(jù)處理，確保數(shù)據(jù)采集、存儲、使用和銷毀的合法性。(2)技術(shù)保障措施。使用匿名化、去標(biāo)識化技術(shù)處理用戶數(shù)據(jù)，確保個人信息在處理過程中不會被識別。4.算法安全監(jiān)測(1)監(jiān)測機(jī)制。公司定期審查算法推薦服務(wù)的安全性，確保算法在運行過程中無漏洞或安全隱患，避免被惡意攻擊。(2)技術(shù)保障措施。部署算法監(jiān)控系統(tǒng)，實時監(jiān)測算法的運行狀態(tài)，包括性能、輸出結(jié)果、異常情況等，及時發(fā)現(xiàn)和處理潛在的安全隱患。(三)算法安全事件應(yīng)急處理制度建設(shè)1.組織機(jī)構(gòu)建設(shè)設(shè)立算法安全應(yīng)急指揮小組2.算法安全事件應(yīng)急預(yù)案事件分類據(jù)算法與網(wǎng)絡(luò)安全突發(fā)事件可控性、嚴(yán)重程度和影響范圍的不同，分為以下四級：I級(特別重大):算法系統(tǒng)核心組件如主算法模型或關(guān)鍵數(shù)據(jù)處理模塊的嚴(yán)重?fù)p壞或丟失，導(dǎo)致算法系統(tǒng)完全癱瘓或出現(xiàn)大規(guī)模系統(tǒng)大規(guī)模崩潰或失效，造成公司業(yè)務(wù)嚴(yán)重受損，但不至于完全癱瘓，需要多個部門協(xié)同處理。III級(較大):算法系統(tǒng)某一區(qū)域發(fā)生故般):局部算法功能異常，對業(yè)務(wù)造成輕微影響，不危及整體業(yè)務(wù)安3.應(yīng)急處置方法針對I級故障：啟動特別重大算法安全事件應(yīng)急預(yù)案；立即向高層管理層匯報，并成立特別事件處理小組；啟動全公司范圍的聯(lián)動響應(yīng)，必要時尋求外部專業(yè)機(jī)構(gòu)協(xié)助；評估損害程度，并迅速制定恢復(fù)計劃。針對II級故障：啟動重大算法安全事件應(yīng)急預(yù)案；向各相關(guān)部門發(fā)出處理指令，協(xié)調(diào)各部門資源；組織應(yīng)急處理團(tuán)隊進(jìn)行全面調(diào)查和修復(fù)；向公司領(lǐng)導(dǎo)層匯報進(jìn)展，調(diào)整應(yīng)急策略。針對III級故向相關(guān)業(yè)務(wù)部門通報情況，并提供修復(fù)時間表；行故障原因分析和修復(fù)，確保不會擴(kuò)散。針對IV級故障：啟動一般算法安全事件處理預(yù)案；由技術(shù)團(tuán)隊處理并解決問題；錄事件和處理過程，以便未來參考和改進(jìn)；進(jìn)行常規(guī)的后續(xù)檢查，確保問題已完全解決。4.協(xié)調(diào)調(diào)度機(jī)制(1)設(shè)立算法安全應(yīng)急指揮小組(2)協(xié)調(diào)調(diào)度機(jī)制數(shù)據(jù)等資源的快速調(diào)用和響應(yīng)。各部門設(shè)立專人對接應(yīng)急小組，確保信息及時傳達(dá)和執(zhí)行。技術(shù)總經(jīng)理或副組長可在緊急情況下直接調(diào)動技術(shù)團(tuán)隊，確保應(yīng)急處置高效進(jìn)行。(四)算法違法違規(guī)處置制度建設(shè)1.算法違規(guī)情形算法違法違規(guī)行為分為一般違法違規(guī)和嚴(yán)重違法違規(guī)兩類。具體行為如下：(1)一般違法、違規(guī)、違章行為。數(shù)據(jù)使用：未經(jīng)用戶同意收集數(shù)據(jù)：未獲得用戶明確同意收集其個人信息或隱私數(shù)據(jù)。數(shù)據(jù)使用超授權(quán)：使用數(shù)據(jù)超出用戶授權(quán)的范圍。未進(jìn)行數(shù)據(jù)脫敏處理：未按照公司規(guī)定對敏感數(shù)據(jù)進(jìn)行脫敏處理。未及時更新隱私政策：公司隱私政策未按實際數(shù)據(jù)使用情況進(jìn)行及時更新。信息安全。未安裝統(tǒng)一安全軟件：未按照公司要求安裝或啟用統(tǒng)一的防病毒軟件、補(bǔ)丁更新或安全策略。設(shè)備安全管理不當(dāng)：在設(shè)備維修、硬盤更換等過程中未按照規(guī)定進(jìn)行安全處理。不當(dāng)處理信息傳輸：在信息傳輸中使用未加密的通信渠道。用戶權(quán)益保護(hù)。不透明的算法處理：未向用戶充分說明算法處理的方式和依據(jù)。未處理數(shù)據(jù)刪除請求：在合理時限內(nèi)未處理用戶提出的數(shù)據(jù)刪除請求。用戶選擇權(quán)未保障：未提供用戶足夠的選擇權(quán)和控制權(quán)。(2)嚴(yán)重違法、違規(guī)、違章行為。數(shù)據(jù)使用。非法數(shù)據(jù)獲取：通過非法手段獲取數(shù)據(jù)或未經(jīng)授權(quán)進(jìn)行數(shù)據(jù)交易。數(shù)據(jù)篡改或偽造：擅自修改或偽造數(shù)據(jù)，用于未經(jīng)授權(quán)的用途。數(shù)據(jù)泄露：因管理不善或安全漏洞導(dǎo)致用戶數(shù)據(jù)泄露。信息安全。嚴(yán)重安全漏洞：未能及時修補(bǔ)系統(tǒng)中的重大安全漏洞，導(dǎo)致系統(tǒng)或數(shù)據(jù)被非法訪問或破壞。未經(jīng)授權(quán)的網(wǎng)絡(luò)接入：擅自將外來設(shè)備接入公司內(nèi)網(wǎng)，導(dǎo)致信息系統(tǒng)受損。惡意軟件傳播：故意或嚴(yán)重過失導(dǎo)致惡意軟件、病毒傳播，影響公司信息系統(tǒng)安全。2.處罰規(guī)定根據(jù)違法、違規(guī)、違章行為的性質(zhì)、情節(jié)和危害程度，對責(zé)任人采取以下處置措施：(1)一般違法、違規(guī)、違章行為。通報批評：對首次發(fā)生輕微違規(guī)行為的責(zé)任人給予通報批評，并記錄在案。警告和誡勉談話：對在半年內(nèi)出現(xiàn)兩次以上違規(guī)行為的責(zé)任人，進(jìn)行警告和誡勉談話，責(zé)令限期整改。限期整改：對影響較大的違規(guī)行為，責(zé)令責(zé)任部門或人員限期整改，并提交整改報告。(2)嚴(yán)重違法、違規(guī)、違章行為。暫停職務(wù)或降級：對情節(jié)嚴(yán)重或造成較大損害的責(zé)任人，予以暫停職務(wù)或降級處理。解除勞動合同：對屢次違反規(guī)定且整改不力，或造成重大損失的責(zé)任人，依據(jù)公司規(guī)章制度及勞動法規(guī)定，解除勞動合同。法律追究：涉嫌違法犯罪的，移送司法機(jī)關(guān)處理。(五)其他制度見附件現(xiàn)行規(guī)章制度見如下：第一章總則第一條為加強(qiáng)和規(guī)范XX集團(tuán)有限公司算法安全工作，提高算法安全整體防護(hù)水平，實現(xiàn)信息系統(tǒng)的安全管控，依據(jù)國家有關(guān)法律、法規(guī)的要求，制定本方針。第二條本方針為XX集團(tuán)有限公司算法安全管理提供一個總體性架構(gòu)文件，指導(dǎo)XX集團(tuán)有限公司算法安全管理體系建設(shè)，以實現(xiàn)統(tǒng)一的安全策略管理，提高整體的網(wǎng)絡(luò)與算法安全水平，保障網(wǎng)絡(luò)暢通和信息系統(tǒng)的正常運行。第三條本方針適用于XX集團(tuán)有限公司信息系統(tǒng)資產(chǎn)和算法安全人員的安全管理，適用于指導(dǎo)XX集團(tuán)有限公司算法安全策略的制定、安全方案的規(guī)劃、安全建設(shè)的實施和安全管理措施的選擇。第二章組織機(jī)構(gòu)與職責(zé)第四條XX集團(tuán)有限公司信息化建設(shè)領(lǐng)導(dǎo)小組為XX集團(tuán)有限公司算法安全工作領(lǐng)導(dǎo)機(jī)構(gòu)，領(lǐng)導(dǎo)小組下設(shè)辦公室，由算法安全管理中心負(fù)責(zé)算法安全具體工作。XX集團(tuán)有限公司其他部門主要負(fù)責(zé)人是落實算法安全管理制度的第一責(zé)任人。第五條XX集團(tuán)有限公司信息化建設(shè)領(lǐng)導(dǎo)小組負(fù)責(zé)統(tǒng)籌領(lǐng)導(dǎo)XX集團(tuán)有限公司算法安全工作，指導(dǎo)算法安全管理中心負(fù)責(zé)的重大的算第三章算法安全體系框架和目標(biāo)第六條XX集團(tuán)有限公司算法安全體系框架的組成是安全組織、安全策略、安全技術(shù)和安全運作，四大組成部分協(xié)同構(gòu)建、完成和實現(xiàn)XX集團(tuán)有限公司算法安全工作和目標(biāo)。第七條(一)算法安全組織工作目標(biāo)是建立健全的安全組織，加強(qiáng)人員的安全管理，為算法安全工作提供組織保障。(二)算法安全策略工作目標(biāo)是制定完善的算法安全管理制度和技術(shù)規(guī)范，并確保其有效發(fā)布、執(zhí)行和更新，規(guī)范XX集團(tuán)有限公司算法安全管理工作。(三)算法安全技術(shù)目標(biāo)是采用適當(dāng)?shù)募夹g(shù)手段，加強(qiáng)業(yè)務(wù)和支撐系統(tǒng)的安全防護(hù)，為算法安全工作提供技術(shù)工具支撐。(四)算法安全運作目標(biāo)是加強(qiáng)安全工作的運作管理，維護(hù)業(yè)務(wù)和支撐系統(tǒng)的安全運行，及時處理安全問題，為算法安全工作提供運行保障。第八條XX集團(tuán)有限公司算法安全工作的原則是：滿足和推動服務(wù)業(yè)務(wù)發(fā)展，算法安全架構(gòu)完整、統(tǒng)一，數(shù)據(jù)集中、信息共享，控制成本、提高工作效率，利用國家標(biāo)準(zhǔn)規(guī)范XX集團(tuán)有限公司管理。第九條XX集團(tuán)有限公司算法安全工作的目標(biāo)是：通過建立和完善算法安全的策略體系、組織體系、技術(shù)體系和運作體系，保障日常工作的開展和各信息系統(tǒng)的連續(xù)正常穩(wěn)定運行，維護(hù)信息系統(tǒng)的數(shù)據(jù)安全，促進(jìn)XX集團(tuán)有限公司信息化工作健康發(fā)展。第一章總則第一條本策略為XX集團(tuán)有限公司各項算法安全工作提供依據(jù)和第二條XX集團(tuán)有限公司算法安全工作由信息化建設(shè)領(lǐng)導(dǎo)小組牽頭，算法安全管理中心具體組織，各部門分塊負(fù)責(zé)，全員參與，專人第三條XX集團(tuán)有限公司算法安全工作以風(fēng)險管理為基礎(chǔ)，在安全、效率和成本之間始終堅持“安全第一”的原則。第四條XX集團(tuán)有限公司信息化建設(shè)領(lǐng)導(dǎo)小組(一)統(tǒng)籌領(lǐng)導(dǎo)XX集團(tuán)有限公司算法安全工作，指導(dǎo)算法安全管理中心負(fù)責(zé)的重大的算法安全工作；(二)審查和核準(zhǔn)算法安全策略及制度；(三)審核批準(zhǔn)重大的算法安全活動；(四)審核批準(zhǔn)對算法安全事故的處置意見。第五條算法安全管理中心(一)負(fù)責(zé)組織XX集團(tuán)有限公司算法安全工作；(二)負(fù)責(zé)制定XX集團(tuán)有限公司算法安全管理制度、技術(shù)規(guī)定、應(yīng)急預(yù)案等，并督促執(zhí)行；(三)負(fù)責(zé)對XX集團(tuán)有限公司內(nèi)各系統(tǒng)安全的檢查和防護(hù)，及時處置安全風(fēng)險；(四)負(fù)責(zé)對計算機(jī)病毒感染的預(yù)防、檢測和清除，定期維護(hù)計算機(jī)軟件和數(shù)據(jù)、對重要信息定期進(jìn)行檢查和備份；(五)負(fù)責(zé)算法安全事故的處置；(六)負(fù)責(zé)組織算法安全培訓(xùn)和宣傳。第六條算法安全責(zé)任XX集團(tuán)有限公司其他部門主要負(fù)責(zé)人是算法安全第一責(zé)任人，負(fù)責(zé)本部門所有與算法安全相關(guān)的活動。其他部門算法安全聯(lián)絡(luò)員負(fù)責(zé)配合算法安全相關(guān)的檢查、管理、上報及其他需協(xié)調(diào)的工作。第七條算法安全管理中心必須與接觸XX集團(tuán)有限公司敏感信息和核心技術(shù)資料的第三方簽署保密協(xié)議，并與在XX集團(tuán)有限公司工作的第三方人員簽署個人保密協(xié)議。第三章安全風(fēng)險管理第八條定期對操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、應(yīng)用系統(tǒng)等進(jìn)行漏洞識別與分析，對系統(tǒng)中所存在的高風(fēng)險漏洞按照流程進(jìn)行處第九條每年至少進(jìn)行一次全面的風(fēng)險評估，以確定是否存在新的威脅或薄弱點，并分析是否需要增加新的安全控制措施。第十條當(dāng)發(fā)生以下情況時需及時進(jìn)行風(fēng)險評估工作：(一)當(dāng)發(fā)生重大算法安全事件時；(二)當(dāng)信息系統(tǒng)發(fā)生重大變更時；(三)信息化建設(shè)領(lǐng)導(dǎo)小組確定必要時。第十一條針對風(fēng)險評估結(jié)果制定風(fēng)險控制措施及實施計劃。風(fēng)險整改后，應(yīng)再次進(jìn)行評估，以確保風(fēng)險得到正確規(guī)避。第四章資產(chǎn)安全管理第十二條信息資產(chǎn)是指有業(yè)務(wù)價值的實物或者虛擬的事物。第十三條各部門應(yīng)識別與信息生命周期有關(guān)的資產(chǎn)，形成資產(chǎn)清單，及時更新，并指定資產(chǎn)所有人，資產(chǎn)所有人負(fù)責(zé)資產(chǎn)的維護(hù)與安全，對資產(chǎn)進(jìn)行安全等級劃分。第十四條資產(chǎn)管理(一)對所管理的資產(chǎn)必須明確說明使用、發(fā)布、復(fù)制、存儲、傳輸、銷毀的過程并記錄；(二)資產(chǎn)所有人負(fù)責(zé)信息的授權(quán)，資產(chǎn)只能授權(quán)給工作必須的(三)信息的獲取應(yīng)該遵照工作需要原則、受控審批的原則，嚴(yán)禁未經(jīng)批準(zhǔn)的私下獲取行為；在對外提供任何可能涉及XX集團(tuán)有限還是第三方，都必須事先經(jīng)過資產(chǎn)所有人的審批許可；(四)未經(jīng)批準(zhǔn)，嚴(yán)禁泄露信息系統(tǒng)的安全控制機(jī)制。對外公布的信息必須經(jīng)過審批，不得在公開媒體上發(fā)布、談?wù)摵蛡鞑X集團(tuán)有限公司的數(shù)據(jù)和信息；(五)必須采用XX集團(tuán)有限公司批準(zhǔn)的銷毀方式銷毀信息。第五章人員安全管理第十五條聘用條款和保密協(xié)議(一)算法安全管理中心聘用人員的聘用條款應(yīng)明確算法安全責(zé)(二)所有算法安全相關(guān)人員需與XX集團(tuán)有限公司簽訂保密協(xié)議及崗位責(zé)任協(xié)議，明確各崗位安全職責(zé)。第十六條人員審查(一)對相關(guān)信息化供應(yīng)商以及工作人員應(yīng)按照相關(guān)法律法規(guī)和對應(yīng)的業(yè)務(wù)要求進(jìn)行安全資格審查；(二)必須對進(jìn)入關(guān)鍵崗位的職工進(jìn)行資格審查和技能考核。第十七條定期組織干部職工以及相關(guān)第三方人員學(xué)習(xí)算法安全知識，進(jìn)行安全意識、安全態(tài)勢培訓(xùn)。第十八條人員離職時應(yīng)及時收回所有涉及XX集團(tuán)有限公司業(yè)務(wù)內(nèi)容的資料、數(shù)據(jù)、信息，立即取消所有訪問信息系統(tǒng)的權(quán)限。第十九條人員調(diào)離其他單位，需提交調(diào)離申請，經(jīng)相關(guān)領(lǐng)導(dǎo)審批后進(jìn)行工作交接，并對XX集團(tuán)有限公司有關(guān)所有信息進(jìn)行保密，如若發(fā)現(xiàn)泄密，需承擔(dān)相關(guān)的法律責(zé)任。第六章物理和環(huán)境安全第二十條場地安全(一)算法安全管理中心應(yīng)根據(jù)國家相關(guān)標(biāo)準(zhǔn)以及工作性質(zhì)劃分相應(yīng)的安全級別，并建立相應(yīng)的準(zhǔn)入控制措施；(二)所有受控區(qū)域必須指定算法安全管理責(zé)任人。(三)應(yīng)建立外來人員訪問機(jī)制，確保只有授權(quán)人員才允許進(jìn)入受控區(qū)域。(四)應(yīng)建立受控區(qū)域安全操作規(guī)程，需要避免在受控區(qū)域進(jìn)行不受監(jiān)督的工作。第二十一條設(shè)備安全(一)將設(shè)備放置到相應(yīng)級別控制區(qū)域；(二)建立防盜、報警、環(huán)境監(jiān)控等保護(hù)措施；(三)應(yīng)保護(hù)設(shè)備使其免于支持性設(shè)施(電、溫濕度、通信)失效而引起設(shè)備故障。(四)采用專業(yè)技術(shù)人員對設(shè)備進(jìn)行維護(hù)，確保其持續(xù)的可用性和完整性。(五)設(shè)備、信息或軟件在授權(quán)之前不宜帶出受控區(qū)域。第二十二條環(huán)境安全(一)辦公室環(huán)境需滿足正常的保密要求。(二)辦公室照明需滿足目視及攝像頭觀測照度清晰要求。第七章網(wǎng)絡(luò)通信安全管理劃分進(jìn)行內(nèi)外網(wǎng)的物理和邏輯劃分，建立網(wǎng)絡(luò)安全區(qū)域，明確安全邊界，并進(jìn)行網(wǎng)絡(luò)訪問行為限制和監(jiān)控。第二十四條網(wǎng)絡(luò)設(shè)備(一)網(wǎng)絡(luò)設(shè)備的安裝、配置、變更、撤銷等操作必須經(jīng)過算法安全管理中心相關(guān)領(lǐng)導(dǎo)審批；(二)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、IP地址等信息未經(jīng)授權(quán)，嚴(yán)禁泄露；(三)網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程登錄操作應(yīng)限定在指定網(wǎng)段范圍內(nèi)。第二十五條所有與XX集團(tuán)有限公司的網(wǎng)絡(luò)進(jìn)行連接都需要經(jīng)過信息化建設(shè)領(lǐng)導(dǎo)小組的批準(zhǔn)；所有與XX集團(tuán)有限公司外部網(wǎng)絡(luò)相連的出入口處必須設(shè)立防火墻；通過接入服務(wù)器接入XX集團(tuán)有限公司內(nèi)部網(wǎng)絡(luò)時，必須經(jīng)過認(rèn)證。與XX集團(tuán)有限公司外部網(wǎng)絡(luò)相連接的系統(tǒng)必須有專人負(fù)責(zé)管理。第二十六條運作流程(一)必須明確并遵循信息系統(tǒng)運作的變更流程；(二)必須明確并遵循安全問題處理流程；(三)信息系統(tǒng)的生產(chǎn)環(huán)境和開發(fā)測試環(huán)境需要分離；(四)系統(tǒng)的超級管理權(quán)限應(yīng)采取雙人控制，互相制衡。第二十七條惡意軟件的防護(hù)(一)實施惡意軟件的監(jiān)測、預(yù)防和恢復(fù)的控制措施；(二)XX集團(tuán)有限公司的計算機(jī)系統(tǒng)都必須安裝、運行單位統(tǒng)一部署的防病毒軟件，并及時升級。未經(jīng)批準(zhǔn)，不能安裝其它的防病毒軟件；(三)接收和發(fā)布信息時須進(jìn)行病毒檢測；(四)服務(wù)器必須實時運行防病毒軟件；(五)定期對XX集團(tuán)有限公司的聯(lián)網(wǎng)辦公設(shè)備進(jìn)行掃描，及時發(fā)現(xiàn)漏洞并修復(fù)。第二十八條信息系統(tǒng)管理(一)建立備份策略，按照策略的要求，定期備份和測試信息、軟件及系統(tǒng)。(二)對系統(tǒng)操作人員的活動進(jìn)行日志記錄；(三)定期檢查和處理系統(tǒng)日志；(四)對一些重要的信息系統(tǒng)進(jìn)行實時監(jiān)控；(五)對組織內(nèi)部的辦公設(shè)施進(jìn)行時鐘同步；(六)非正版軟件不能安裝。第九章訪問控制第二十九條用戶訪問管理(一)帳戶開戶1.根據(jù)工作相關(guān)性原則并經(jīng)過審批后為個人分配權(quán)限；2.建立帳戶開戶和銷戶的閉環(huán)流程，控制用戶對系統(tǒng)的訪問權(quán)3.含有保密信息的系統(tǒng)禁止建立公用帳戶；4.用戶的崗位或職責(zé)發(fā)生變化時，應(yīng)立即變更或取消相應(yīng)的訪5.對分配的權(quán)限必須記錄和進(jìn)行維護(hù)。(二)口令管理1.口令的管理責(zé)任人為賬戶的使用者；2.口令的設(shè)置要遵循XX集團(tuán)有限公司有關(guān)規(guī)定。(三)對用戶訪問權(quán)限進(jìn)行定期檢查；(四)用戶責(zé)任1.用戶應(yīng)采取方式保證口令安全；2.不得共享個人的口令；3.定期更改口令。第三十條操作系統(tǒng)訪問控制(一)嚴(yán)格控制操作系統(tǒng)管理員對系統(tǒng)文件和業(yè)務(wù)數(shù)據(jù)的操作(二)根據(jù)工作相關(guān)性原則授予用戶相應(yīng)權(quán)限；(三)系統(tǒng)建立的日志必須滿足審計要求，系統(tǒng)日志必須安全存放，防止被非授權(quán)的訪問；(四)必須及時安裝系統(tǒng)安全補(bǔ)??；(五)關(guān)閉所有系統(tǒng)不需要的系統(tǒng)服務(wù)；(六)服務(wù)器的密碼文件須加密存放；(七)定期修改用戶口令。第三十一條應(yīng)用系統(tǒng)訪問控制(一)根據(jù)業(yè)務(wù)訪問控制策略對用戶嚴(yán)格授權(quán)；(二)嚴(yán)格限制業(yè)務(wù)人員越過應(yīng)用程序?qū)笈_數(shù)據(jù)庫或操作系(三)建立和維護(hù)應(yīng)用系統(tǒng)的用戶權(quán)限表；(四)刪除所有系統(tǒng)上不使用的帳號。第十章運行維護(hù)安全管理第三十二條建立日常維護(hù)相關(guān)操作規(guī)程和規(guī)范手冊，規(guī)范介質(zhì)管理、賬號口令管理、補(bǔ)丁管理、防病毒管理、服務(wù)器運行管理等日常運行維護(hù)操作。第十一章系統(tǒng)開發(fā)第三十三條確保安全貫穿系統(tǒng)整個生命周期的各個階段。第三十四條系統(tǒng)的規(guī)劃設(shè)計階段必須做安全需求分析、總體安全設(shè)計、安全建設(shè)規(guī)劃。第三十五條系統(tǒng)開發(fā)策略(一)建立并遵循安全開發(fā)標(biāo)準(zhǔn)；(二)、進(jìn)行風(fēng)險分析和風(fēng)險管理，確定系統(tǒng)安全控制機(jī)制；(三)操作人員只保留可執(zhí)行代碼；(四)程序源代碼盡可能不要保留在運行系統(tǒng)上；(五)在系統(tǒng)發(fā)布前，應(yīng)進(jìn)行安全測試。第三十六條加密策略(一)加密算法必須是經(jīng)過政府批準(zhǔn)的或符合業(yè)界標(biāo)準(zhǔn)；(二)密匙必須有明確的管理人員。(三)加密的數(shù)據(jù)和口令須分開傳遞；(四)使用加密保護(hù)敏感數(shù)據(jù)，明確密鑰管理員的職責(zé)；(五)密鑰產(chǎn)生、分發(fā)、存儲的相關(guān)信息必須防止泄露給未授權(quán)的人員，當(dāng)這些信息不再需要時，必須采用規(guī)定的方式予以銷毀。第三十七條各部門應(yīng)了解算法安全事件管理目標(biāo)，熟悉算法安全應(yīng)急響應(yīng)流程，確保能快速、有效和有序地響應(yīng)算法安全事件。第三十八條各部門相關(guān)人員應(yīng)盡可能早的將算法安全事件通告給部門負(fù)責(zé)人，算法安全管理中心根據(jù)安全事件的類型和級別定義判斷安全事件，根據(jù)安全事件處理流程進(jìn)行處理和匯報。第三十九條算法安全管理中心根據(jù)算法安全事件預(yù)案向信息化建設(shè)領(lǐng)導(dǎo)小組提出應(yīng)急恢復(fù)流程的啟動申請，經(jīng)批準(zhǔn)后，按照應(yīng)急恢第十三章應(yīng)急響應(yīng)管理第四十條建立統(tǒng)一的應(yīng)急預(yù)案框架，應(yīng)急預(yù)案框架應(yīng)包括啟動應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等第四十一條從人力、設(shè)備、技術(shù)和財務(wù)等方面確保應(yīng)急預(yù)案的執(zhí)行有足夠的資源保障。第四十二條應(yīng)對系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)，應(yīng)急預(yù)案的培訓(xùn)應(yīng)至少每年舉辦一次。定期對應(yīng)急預(yù)案進(jìn)行演練，根據(jù)不同的應(yīng)急恢復(fù)內(nèi)容，確定演練的周期。第四十三條XX集團(tuán)有限公司算法安全管理中心負(fù)責(zé)組織算法安全信息通報工作，必要時，向XX集團(tuán)有限公司各部門通報算法安全工作情況以及安全預(yù)警和病毒攻擊等信息。第四十四條各部門算法安全聯(lián)絡(luò)員負(fù)責(zé)收集和反饋本部門算法安全信息，并向算法安全管理中心報送。第四十五條將算法安全通報作為算法安全工作的重要環(huán)節(jié)。不能出現(xiàn)瞞報、緩報、謊報算法安全事件和推諉責(zé)任的行為。第一章總則第一條為規(guī)范XX集團(tuán)有限公司信息系統(tǒng)的技術(shù)管理和維護(hù)工作，確保系統(tǒng)安全運轉(zhuǎn)和系統(tǒng)運行管理的及時、高效，規(guī)范系統(tǒng)操作，加強(qiáng)內(nèi)部控制，最大程度地防范技術(shù)操作風(fēng)險，特制定本管理辦法。第二條本管理辦法適用于算法安全管理中心對信息系統(tǒng)的安全第二章系統(tǒng)安全管理第三條禁用不必要的服務(wù)，盡量將系統(tǒng)中不用的服務(wù)、尤其是一些暫時不用的網(wǎng)絡(luò)服務(wù)關(guān)閉，從而使系統(tǒng)遭受攻擊的可能性降至最第四條系統(tǒng)遵循最小權(quán)限原則，系統(tǒng)只能授予應(yīng)用程序和用戶必要的權(quán)限，而不能授予額外的權(quán)限。第五條服務(wù)器需安裝軟件防火墻，由算法安全管理中心統(tǒng)一部署，病毒庫統(tǒng)一升級。第六條對于重要的數(shù)據(jù)進(jìn)行加密。第七條安全性能評估，對于安全產(chǎn)品應(yīng)選用經(jīng)過國內(nèi)、國外權(quán)威第三方認(rèn)證的安全產(chǎn)品，系統(tǒng)管理員應(yīng)隨時保持警惕以預(yù)防攻擊事件的發(fā)生或者將攻擊的危害降至最低。第八條對系統(tǒng)漏洞情況每季度至少進(jìn)行一次掃描，對漏洞風(fēng)險持續(xù)跟蹤，在經(jīng)過充分的驗證測試后對必要的漏洞開展修補(bǔ)工作，實施漏洞掃描或漏洞修補(bǔ)前，對可能的風(fēng)險進(jìn)行評估和充分準(zhǔn)備，選擇恰當(dāng)時間，并做好數(shù)據(jù)備份和回退方案，漏洞掃描或漏洞修補(bǔ)后應(yīng)進(jìn)第九條持續(xù)跟蹤廠商提供的系統(tǒng)升級更新情況，應(yīng)在經(jīng)過充分的測試評估后對必要的補(bǔ)丁進(jìn)行及時更新，填寫《系統(tǒng)與網(wǎng)絡(luò)設(shè)備補(bǔ)丁分析評估表》(附件2),在安裝系統(tǒng)補(bǔ)丁前對現(xiàn)有的重要文件進(jìn)行備份，并對備份情況和系統(tǒng)升級情況進(jìn)行記錄，填寫《系統(tǒng)及網(wǎng)絡(luò)設(shè)備升級記錄表》(附件3)。第十條至少每月對運行日志和審計數(shù)據(jù)進(jìn)行分析。第三章系統(tǒng)訪問控制要求第十一條用戶或者應(yīng)用程序訪問系統(tǒng)資源時要求系統(tǒng)管理員通過設(shè)置必要的選項完成以下功能：(一)提供適當(dāng)?shù)纳矸蒡炞C方法。(二)識別和驗證身份。(三)記錄成功和失敗的系統(tǒng)訪問(日志信息)。(四)據(jù)情況限制用戶連接時間。第十二條登錄程序應(yīng)最大限度地減少公開的信息，以避免非法用戶使用。登錄程序應(yīng)：(一)在登錄過程未成功之前禁止顯示系統(tǒng)或應(yīng)用的標(biāo)識。(二)顯示一般性注意事項。提醒用戶只有合法用戶才能訪問計(三)登錄期間禁止提供幫助消息。(四)只有所有輸入數(shù)據(jù)完成后才能驗證登錄信息。(五)應(yīng)限制允許登錄的失敗次數(shù)為3次。(六)限制登錄程序允許的時間上限和下限。如果超過限制，則系統(tǒng)必須終止登錄過程。(七)成功登錄后，宜顯示以下信息：1、以前成功登錄的日期和時間。2、上次成功登錄以來登錄失敗的詳細(xì)情況。第十三條登錄超時要求(一)當(dāng)系統(tǒng)超時未激活時，應(yīng)能夠自動鎖住系統(tǒng)，防止非法訪問，但不宜關(guān)閉應(yīng)用或網(wǎng)絡(luò)會話。(二)超時的時間設(shè)置取決于連接系統(tǒng)的重要程度、終端風(fēng)險暴露程度以及終端上信息的業(yè)務(wù)價值。第四章用戶賬號安全第十四條用戶身份識別和驗證(一)信息系統(tǒng)所有用戶都應(yīng)擁有個人專用的唯一標(biāo)識符(用戶ID)以便操作能夠追溯到具體責(zé)任人。但是在認(rèn)證和授權(quán)體系沒有建立之前，特定操作系統(tǒng)內(nèi)所有的用戶必須有一個唯一的ID,并且該ID名稱不能讓人猜測到該用戶的權(quán)限級別，如管理員、主管等。(二)對于每一個申請使用系統(tǒng)的用戶，應(yīng)要求填寫《系統(tǒng)賬號申請表》(附件4),并在表格中包含XX集團(tuán)有限公司的密碼安全政策規(guī)范，明確違反該規(guī)范的后果和責(zé)任，同時要求用戶簽名以產(chǎn)生法律效力，并在《系統(tǒng)賬戶登記表》進(jìn)行登記。(三)對于用戶身份的驗證，宜采用多種身份驗證程序來加以證實?？诹钍且环N很常見的身份識別和驗證方法。采用加密方法和身份驗證協(xié)議也可達(dá)到同樣的效果。也可使用用戶的內(nèi)存標(biāo)記或智能卡等進(jìn)行身份識別和驗證。也可使用基于個人唯一特點或特性的生物統(tǒng)計學(xué)身份驗證技術(shù)來驗證用戶身份。將安全技術(shù)和安全機(jī)制結(jié)合起來可進(jìn)行更為嚴(yán)格的身份驗證。第十五條用戶賬號過期(一)設(shè)置用戶賬號的有效有效期為一年。(二)當(dāng)某一個用戶賬號過期時，系統(tǒng)維修檢查確認(rèn)該用戶賬號所對應(yīng)的員工是否還留在XX集團(tuán)有限公司，如果不是則將該賬號自動刪除，否則繼續(xù)激活該用戶賬號。(三)如果用戶賬號過期了但是用戶無法聯(lián)系到，先將其用戶賬號鎖住，等用戶回來以后按需要激活。第十六條Guest賬號(一)應(yīng)禁止長期保留Guest賬號。(二)當(dāng)系統(tǒng)安裝完成后必須視情況禁用Guest賬號，當(dāng)用戶確實需要Guest賬號進(jìn)行臨時的訪問時，才可將Guest賬號激(三)應(yīng)確保Guest賬號的口令安全。第十七條所有操作系統(tǒng)應(yīng)禁止使用無口令的用戶賬號。第十八條除非有特殊的要求，不應(yīng)有多個用戶共享一個用戶ID和口令，而應(yīng)使用用戶組的概念來代替。第十九條用戶賬號安全其它事項(一)用戶賬號重命名，也就是對默認(rèn)的賬號重命名。包括administrator、Guest以及其它一些在安裝統(tǒng)計時(如ISS)自動建立的賬號?！癮dministrator”的用戶，并設(shè)定一個難以推測的口令，但是不賦予其真正的管理員權(quán)限。第五章文件系統(tǒng)安全第二十條文件系統(tǒng)的安全是指系統(tǒng)中所有文件的安全，包括所有操作系統(tǒng)管理的設(shè)備資源的安全問題，例如打印機(jī)。文件系統(tǒng)的安全是系統(tǒng)安全的最后防線，主要通過兩種方式實現(xiàn)文件系統(tǒng)安全。(一)通過文件系統(tǒng)權(quán)限控制文件被惡意地址訪問或者在任何未經(jīng)適當(dāng)授權(quán)的情況下被訪問。(二)通過對文件進(jìn)行適當(dāng)?shù)丶用軐崿F(xiàn)。第一章總則第一條為加強(qiáng)公司算法安全管理，確保公司在算法開發(fā)、應(yīng)用、運行和維護(hù)中的安全合規(guī)，及時識別和解決潛在安全風(fēng)險，特制定本算法安全自評估制度。第二條本制度適用于公司內(nèi)部涉及人工智能算法開發(fā)、測試、部署、運行等各個環(huán)節(jié)的安全自評估活動，涵蓋數(shù)據(jù)管理、算法設(shè)計、模型訓(xùn)練、性能監(jiān)控及倫理隱私等方面。第三條本制度依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個人信息保護(hù)法》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《互聯(lián)網(wǎng)信息服務(wù)算法推薦管理規(guī)定》及相關(guān)行業(yè)標(biāo)準(zhǔn)制定，結(jié)合公司現(xiàn)行的算法開發(fā)流程，設(shè)計具有合理性、完備性和可落地性的自評估制度。第四條本制度適用于公司所有與算法相關(guān)的開發(fā)、管理和運營第三章自評估的范圍與內(nèi)容第五條算法安全自評估應(yīng)涵蓋以下內(nèi)容：數(shù)據(jù)使用合規(guī)性：確保算法使用的數(shù)據(jù)來源合法合規(guī)，使用方式符合用戶授權(quán)，敏感數(shù)據(jù)經(jīng)過脫敏處理，數(shù)據(jù)存儲和傳輸過程采取了加密等保護(hù)措施。算法設(shè)計與安全：評估算法模型選擇、邏輯設(shè)計、參數(shù)設(shè)置的合理性；驗證模型的泛化能力、訓(xùn)練數(shù)據(jù)的代表性及訓(xùn)練過程的科學(xué)性；評估算法模型在抵抗對抗攻擊、保護(hù)模型機(jī)密性及輸出結(jié)果的合理性方面的安全性，防止因攻擊導(dǎo)致錯誤決策。信息安全性：檢查算法所在系統(tǒng)的網(wǎng)絡(luò)安全、設(shè)備安全、數(shù)據(jù)傳輸?shù)募用芮闆r，以及在不同算法運行環(huán)境下的信息安全防護(hù)是否有效。用戶權(quán)益保護(hù)：評估算法是否保障用戶知情權(quán)、選擇權(quán)和控制權(quán)，是否在隱私保護(hù)、數(shù)據(jù)刪除請求、算法透明性等方面符合法律法規(guī)和公司要求。數(shù)據(jù)管理與運行監(jiān)控：審查數(shù)據(jù)收集、存儲、處理、傳輸?shù)拳h(huán)節(jié)的安全性；算法上線后的性能監(jiān)控與異常檢測機(jī)制是否健全。倫理與隱私：評估算法是否存在歧視行為，用戶數(shù)據(jù)是否得到充分保護(hù)，決策是否公平透明。第六條自評估分類：常規(guī)自評估：每季度進(jìn)行一次，確保算法日常運行中的安全性和合規(guī)性；專項自評估：在算法發(fā)生重大更新、面臨新法規(guī)或政策調(diào)整、出現(xiàn)安全事件時，立即啟動專項評估，以排查潛在風(fēng)險和隱患；全生命周期評估：在算法上線前、運行階段及退役時進(jìn)行關(guān)鍵節(jié)點評估，確保在算法的不同階段都能夠保障安全和合規(guī)。第四章組織與職責(zé)第七條組織機(jī)構(gòu)公司成立“算法安全自評估委員會”,成員包括數(shù)據(jù)科學(xué)家、算法工程師、法律合規(guī)專家、安全專家及醫(yī)療顧問，負(fù)責(zé)策劃和執(zhí)行算法安全評估。第八條委員會職責(zé)制定評估計劃：根據(jù)算法的生命周期制定詳細(xì)的評估計劃。組織實施評估：對算法進(jìn)行數(shù)據(jù)審查、邏輯分析、模擬測試及安全性驗證。提出改進(jìn)建議：根據(jù)評估結(jié)果，向相關(guān)團(tuán)隊提出整改意見并監(jiān)督其執(zhí)行。第五章自評估流程第九條自評估流程：預(yù)評估準(zhǔn)備：明確評估范圍，收集相關(guān)文檔、工具和數(shù)據(jù)，制定評估計劃；實施評估：通過自動化工具與人工審查相結(jié)合，完成數(shù)據(jù)合規(guī)、模型安全、信息安全和用戶權(quán)益保護(hù)等方面的檢查；評估報告：記錄評估發(fā)現(xiàn)的問題及其風(fēng)險等級，形成詳細(xì)的評估報告，報告應(yīng)涵蓋發(fā)現(xiàn)的問題、潛在影響及整改建議；整改與復(fù)評：各責(zé)任部門根據(jù)評估報告提出的建議進(jìn)行整改，整改后進(jìn)行復(fù)評，確保問題得到徹底解決。第六章執(zhí)行保障第十條技術(shù)支持公司提供自動化評估工具和系統(tǒng)，支持大規(guī)模算法的高效評估，包括對模型和數(shù)據(jù)的安全檢測工具，以降低手工操作的復(fù)雜性和誤差。第十一條人員培訓(xùn)定期對所有參與自評估的人員進(jìn)行培訓(xùn)，確保他們掌握最新的安全評估方法、工具使用技巧以及相關(guān)法規(guī)要求。通過技術(shù)培訓(xùn)和法規(guī)更新，確保評估團(tuán)隊具備應(yīng)對復(fù)雜評估任務(wù)的能力。第十二條數(shù)據(jù)保護(hù)實施嚴(yán)格的數(shù)據(jù)訪問權(quán)限控制，確保數(shù)據(jù)在評估過程中的安全性。第十三條評估反饋機(jī)制建立透明的反饋機(jī)制，評估報告應(yīng)提交給管理層及相關(guān)負(fù)責(zé)人，確保發(fā)現(xiàn)的問題能夠引起足夠重視，并由高層督促整改執(zhí)行。第十四條激勵與問責(zé)機(jī)制對高效完成評估、發(fā)現(xiàn)并解決重大問題的團(tuán)隊和個人進(jìn)行表彰和獎勵；對于未能及時整改或存在重大安全隱患的責(zé)任人，根據(jù)公司規(guī)定進(jìn)行處罰，包括警告、降級或解除勞動合同。第七章監(jiān)督與持續(xù)改進(jìn)第十五條公司安全部門負(fù)責(zé)對自評估過程和結(jié)果進(jìn)行督查，確保評估工作的準(zhǔn)確性和客觀性。具體措施包括：定期檢查與專項督查：每季度進(jìn)行定期檢查，確保各部門嚴(yán)格按照制度執(zhí)行；針對重大安全事件或突發(fā)問題，組織專項督查。第十六條持續(xù)改進(jìn)根據(jù)自評估結(jié)果，針對發(fā)現(xiàn)的問題制定整改措施，建立問題跟蹤系統(tǒng)，持續(xù)跟進(jìn)整改效果，并在整改完成后進(jìn)行復(fù)查，確保算法安全性逐步提升。第十七條本制度由公司算法安全部負(fù)責(zé)解釋和修訂，自發(fā)布之日起生效，并根據(jù)實際需求和法律法規(guī)的變化及時調(diào)整。網(wǎng)絡(luò)與算法安全管理崗位職責(zé)說明第一章總則第一條目的為規(guī)范算法安全管理系統(tǒng)中各安全崗位的人員職責(zé)，特制訂本規(guī)第二條范圍本規(guī)范適用于XX集團(tuán)有限公司各網(wǎng)絡(luò)與算法安全管理崗位和人第三條職責(zé)網(wǎng)絡(luò)與算法安全領(lǐng)導(dǎo)小組負(fù)責(zé)分配、協(xié)調(diào)各網(wǎng)絡(luò)與算法安全管理崗位的人員角色和日常工作，各崗位人員負(fù)責(zé)本崗位的日常算法安全第二章各安全管理崗位職責(zé)說明第四條算法安全各管理崗由網(wǎng)絡(luò)與算法安全領(lǐng)導(dǎo)小組授權(quán)或指定，是XX集團(tuán)有限公司算法安全管理體系的具體執(zhí)行者，設(shè)有安全管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員、審計管理員等。各崗位的人員組成及各崗位職責(zé)描述如下：領(lǐng)導(dǎo)各管理員進(jìn)行工作，根據(jù)需要適時召開安全工作小組會議，研究落實計算機(jī)系統(tǒng)隱患整改事宜及事故處理決定，討論有關(guān)規(guī)定及工作制度，布置有關(guān)工作，傳達(dá)學(xué)習(xí)有關(guān)規(guī)定。2、安全管理員職責(zé)：負(fù)責(zé)制定和實施網(wǎng)絡(luò)算法安全管理制度，以技術(shù)手段隔離不良信息，及時發(fā)布預(yù)知通告，發(fā)布計算機(jī)病毒、網(wǎng)絡(luò)病毒的危害程度、防殺措施、及補(bǔ)救辦法。教育計算機(jī)用戶和網(wǎng)絡(luò)用戶樹立安全意識，主動防范病毒、黑客的侵?jǐn)_，抵制不良信息；建立網(wǎng)絡(luò)算法安全監(jiān)管日志。負(fù)責(zé)信息化建設(shè)相關(guān)文件資料的收集、歸類與整理，做好資料收集、編目、建檔工作。負(fù)責(zé)算法安全管理中心設(shè)備、材料、軟件介質(zhì)等的建檔、編號與借用管理。3、系統(tǒng)管理員職責(zé)：負(fù)責(zé)服務(wù)器系統(tǒng)的設(shè)計、安裝、配置、管理和維護(hù)工作，為服務(wù)器的安全運行做技術(shù)保障。維持服務(wù)器系統(tǒng)的穩(wěn)定、正常運轉(zhuǎn)，及時解決服務(wù)器系統(tǒng)故障。做好服務(wù)器配置、安裝和改動記錄。如果服務(wù)器發(fā)生故障，必須記錄故障發(fā)生的時間、故障情況、處理方法，及預(yù)防措施等。定期對硬盤進(jìn)行整理，清除緩存或垃圾文件。定期保存系統(tǒng)日志。做好系統(tǒng)的硬件維護(hù)，對設(shè)備定期檢查，定期清潔、除塵，保持設(shè)備正常運行。負(fù)責(zé)定期對系統(tǒng)運行日志進(jìn)行審計，形成審計分析報告。4、網(wǎng)絡(luò)管理員職責(zé)：負(fù)責(zé)網(wǎng)絡(luò)系統(tǒng)的設(shè)計、安裝、配置、管理和維護(hù)工作，為網(wǎng)絡(luò)的安全運行做技術(shù)保障。維持網(wǎng)絡(luò)的穩(wěn)定、正常運轉(zhuǎn)，及時解決網(wǎng)絡(luò)故障。做好網(wǎng)絡(luò)設(shè)備配置、安裝和改動記錄。如果網(wǎng)絡(luò)發(fā)生故障，必須記錄故障發(fā)生的時間、故障情況、處理方法，及預(yù)防措施等。做好系統(tǒng)的硬件維護(hù)，對設(shè)備定期檢查，定期清潔、除塵，保持設(shè)備正常運5、數(shù)據(jù)庫管理員職責(zé)：負(fù)責(zé)數(shù)據(jù)庫系統(tǒng)的運行管理，實施系統(tǒng)安全策略。管理數(shù)據(jù)庫用戶權(quán)限，使單位算法安全運行。記錄系統(tǒng)安全事項，及時向安全管理員報告安全事件。對重要數(shù)據(jù)定期進(jìn)行備份及執(zhí)行備份恢復(fù)工作。監(jiān)督對系統(tǒng)進(jìn)行操作的其他人員。負(fù)責(zé)定期對主機(jī)系統(tǒng)、網(wǎng)絡(luò)產(chǎn)品、應(yīng)用系統(tǒng)的日志文件進(jìn)行分析審計，發(fā)現(xiàn)問題及時上報；負(fù)責(zé)對算法安全保障管理活動進(jìn)行獨立的監(jiān)督，提供內(nèi)部獨立的審計和評估工作，并根據(jù)需要可以協(xié)同外部審計評估機(jī)構(gòu)進(jìn)行評估和認(rèn)證，為決策領(lǐng)導(dǎo)提供信息系統(tǒng)和算法安全保障執(zhí)行狀況的客觀評價。7、人員配備姓名安全主管安全管理員系統(tǒng)管理員網(wǎng)絡(luò)管理員數(shù)據(jù)庫管理員審計管理員第一章總則第一條為規(guī)范單位算法安全管理各環(huán)節(jié)的審批流程和審批責(zé)任人，特制訂本規(guī)范。第二條本管理制度適用于信息系統(tǒng)相關(guān)的所有授權(quán)和審批事項，明確各相關(guān)管理環(huán)節(jié)授權(quán)和審批的部門和責(zé)任人。第三條算法安全管理中心負(fù)責(zé)制訂該規(guī)范并報網(wǎng)絡(luò)與算法安全領(lǐng)導(dǎo)小組審批通過后，由單位相關(guān)部門和相關(guān)人員參照執(zhí)行。第二章管理細(xì)則第四條內(nèi)部人員授權(quán)管理辦法：(1)根據(jù)網(wǎng)絡(luò)與算法安全領(lǐng)導(dǎo)小組的主要職責(zé)，算法安全主管由網(wǎng)絡(luò)與算法安全領(lǐng)導(dǎo)小組授權(quán)后生效。算法安全工作小組直接對網(wǎng)絡(luò)與算法安全領(lǐng)導(dǎo)小組負(fù)責(zé)。(2)根據(jù)算法安全工作小組的主要職責(zé)，算法安全各安全崗位的負(fù)責(zé)人員由算法安全工作小組授權(quán)后生效。各算法安全崗位管理人員對算法安全工作小組負(fù)責(zé)。(3)根據(jù)算法安全工作小組的主要職責(zé)，各業(yè)務(wù)信息系統(tǒng)的經(jīng)辦人員由各業(yè)務(wù)單元的相關(guān)部門提名產(chǎn)生，最終由算法安全工作小組授權(quán)后生效，各業(yè)務(wù)經(jīng)辦人員對算法安全工作小組負(fù)責(zé)。二、變更審批辦法：1、變更分類與審批的一般原則：(1)信息系統(tǒng)變更主要分兩大類別：功能優(yōu)化類變更和系統(tǒng)完(2)功能優(yōu)化類變更的發(fā)起人為各部門業(yè)務(wù)經(jīng)辦人員。(3)系統(tǒng)完善類變更的發(fā)起人為各部門業(yè)務(wù)經(jīng)辦人員、系統(tǒng)管理人員或系統(tǒng)運維外包廠商人員。(4)兩類變更的審批辦法和流程基本一致，原則是需要有效識別各類系統(tǒng)變更的風(fēng)險，并嚴(yán)格按照審批程序有效規(guī)避風(fēng)險、落實相關(guān)責(zé)任方。2、變更審批流程：(1)變更由上述變更發(fā)起人發(fā)起，根據(jù)變更的具體內(nèi)容填寫相關(guān)的變更管理表單。(2)功能優(yōu)化類變更審批的第一級部門是業(yè)務(wù)經(jīng)辦部門，因為不直接牽涉到信息系統(tǒng)的變更，該部分變更由業(yè)務(wù)經(jīng)辦部門審批，最后一個審批人須是業(yè)務(wù)經(jīng)辦部門的部門領(lǐng)導(dǎo)或者更高一級的主管領(lǐng)導(dǎo)，具體由業(yè)務(wù)經(jīng)辦部門自行決定。(3)功能優(yōu)化類變更審批的第二級審批部門是算法安全管理中心，由算法安全管理中心安排專人評估變更的風(fēng)險和可行性，評估結(jié)果可行后，有算法安全管理中心科長審批，算法安全管理中心科長審批后交由系統(tǒng)外包人員具體實施，完成系統(tǒng)變更。(4)系統(tǒng)完善類變更可能會涉及到系統(tǒng)的內(nèi)核，影響系統(tǒng)運行的穩(wěn)定性。此類變更一般由系統(tǒng)管理員發(fā)起，要求系統(tǒng)管理員在發(fā)起變更的同時需要就本次變更的潛在風(fēng)險和風(fēng)險規(guī)避措施進(jìn)行描述后報請算法安全管理中心科長進(jìn)行審批，算法安全管理中心科長審批后由系統(tǒng)管理員進(jìn)行具體實施，完成系統(tǒng)變更。(1)物理訪問、系統(tǒng)接入等其他對信息系統(tǒng)(包括業(yè)務(wù)網(wǎng)、主機(jī)房、各業(yè)務(wù)信息系統(tǒng))的訪問和修改操作，均由算法安全管理中心科長或算法安全管理中心科長授權(quán)的算法安全管理中心其他人員負(fù)責(zé)審批并監(jiān)督后續(xù)的訪問過程。(2)重要操作，如業(yè)務(wù)系統(tǒng)功能上的重大調(diào)整、重大升級變更、網(wǎng)絡(luò)架構(gòu)大的調(diào)整，均需要由算法安全管理中心科長召集相關(guān)人員論證后初審，初審的結(jié)果報網(wǎng)絡(luò)與算法安全領(lǐng)導(dǎo)小組做最后審批后進(jìn)行。第三章附則第五條本管理規(guī)范牽涉多個部門和人員，必須在每年的年中和年末由算法安全管理中心發(fā)起評審，進(jìn)行評審修訂，及時更新需授權(quán)和審批的項目、審批部門和審批人等信息。第六條遇單位組織機(jī)構(gòu)調(diào)整等其他影響原定審批制度情況，可由算法安全管理中心適時發(fā)起對于本規(guī)定的評審修訂工作，適時修訂第七條每次評審修訂由文檔專員在本制度的‘制度修訂一覽表’中如實記載評審修訂內(nèi)容，并更改制度版本號。第一章總則第八條為了加強(qiáng)和規(guī)范XX集團(tuán)有限公司算法安全檢查工作，保障相關(guān)算法安全運行，特制定本管理辦法。第九條算法安全檢查依據(jù)國家有關(guān)法律法規(guī)、行業(yè)有關(guān)規(guī)章制度，單位算法安全相關(guān)規(guī)章制度。第十條算法安全檢查對象為XX集團(tuán)有限公司的信息系統(tǒng)。第十一條信息技術(shù)工作檢查可采取日常檢查、組織自查、專項檢查、年度檢查等方式。年度檢查對象包括所有相關(guān)部門，且每年不少于二次。第二章組織機(jī)構(gòu)與職責(zé)第十二條算法安全管理中心負(fù)責(zé)算法安全檢查工作，根據(jù)當(dāng)前現(xiàn)狀明確檢查重點，制定檢查標(biāo)準(zhǔn)。第十三條算法安全管理中心成立算法安全檢查小組，具體負(fù)責(zé)算法安全檢查工作的實施。第三章算法安全檢查分類第十四條各部門及相關(guān)人員要配合各項算法安全檢查工作，并按要求完成檢查中發(fā)現(xiàn)問題項的整改工作。第十五條XX集團(tuán)有限公司的算法安全檢查包括算法安全主管部門對XX集團(tuán)有限公司進(jìn)行的專項算法安全檢查、算法安全認(rèn)證機(jī)構(gòu)對XX集團(tuán)有限公司的算法安全外部審核、風(fēng)險監(jiān)管部門主導(dǎo)的算法安全內(nèi)部審核和內(nèi)部算法安全技術(shù)檢查等。第四章算法安全檢查內(nèi)容第十六條計算機(jī)安全檢查1.計算機(jī)應(yīng)安裝殺毒、防護(hù)等軟件，及時更新系統(tǒng)，修復(fù)漏洞。2.非涉密計算機(jī)不得存儲涉密文件、敏感信息。3.涉密計算機(jī)和安裝了“三合一系統(tǒng)”的計算機(jī)必須按照相關(guān)規(guī)定嚴(yán)格管理，嚴(yán)禁違規(guī)外聯(lián)。第十七條系統(tǒng)安全與設(shè)備管理的檢查1.服務(wù)器(1)服務(wù)器應(yīng)具有充分的可靠性和充足的容量。(2)服務(wù)器應(yīng)具有一定的容錯特性，宜采用鏡像、陣列、雙機(jī)、群集等容錯技術(shù)。(3)服務(wù)器有安全可靠的備份措施。2.工作站(1)工作站應(yīng)具有良好的性能及可靠性。(2)除計算機(jī)機(jī)房外，一律使用無軟驅(qū)或光驅(qū)等可卸存儲裝置的網(wǎng)絡(luò)工作站。(3)重要工作站應(yīng)有冗余備份。第十八條安全管理情況的檢查1.建立由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面算法安全管理制度體系。2.嚴(yán)格按管理制度規(guī)定進(jìn)行管理，按操作規(guī)程進(jìn)行操作，并進(jìn)行第五章算法安全檢查實施第十九條實施檢查前，檢查小組根據(jù)檢查目的和被檢查部門情況，確定檢查范圍、檢查重點，制定檢查工作計劃，編制相應(yīng)檢查表第二十條組織進(jìn)行自查時，被檢查部門應(yīng)如實填寫自查表，對存在的問題隱瞞不報的，將追究相關(guān)部門和個人責(zé)任。第二十一條進(jìn)行現(xiàn)場檢查時，檢查小組應(yīng)提前通知被檢查部門，可根據(jù)需要要求被檢查部門進(jìn)行自查，以提高現(xiàn)場檢查工作效率。每次檢查前，檢查小組應(yīng)核查上次檢查提出的整改意見是否落實，整改措施是否有效。第二十二條被檢查部門應(yīng)積極配合檢查工作，按檢查人員要求第二十三條檢查過程中應(yīng)切實防范檢查操作風(fēng)險，不得對在線運行系統(tǒng)進(jìn)行檢查測試和網(wǎng)絡(luò)掃描檢測。因檢查需要需使用輔助檢測工具時，應(yīng)經(jīng)算法安全管理中心負(fù)責(zé)人審批同意后方可使用。第二十四條檢查過程中發(fā)現(xiàn)問題和安全隱患時，檢查小組應(yīng)及時與被檢查部門溝通確認(rèn)后，擬定整改建議。對于隨時可能引發(fā)事故的問題和安全隱患，應(yīng)要求立即整改。第六章算法安全檢查報告第二十五條檢查工作結(jié)束后，檢查小組應(yīng)及時撰寫檢查報告上報信息化建設(shè)領(lǐng)導(dǎo)小組，根據(jù)批示意見對檢查結(jié)果進(jìn)行通報，對存在問題和安全隱患的部門下發(fā)整改意見書，要求限期完成整改工作。第二十六條檢查小組應(yīng)跟蹤整改工作的落實情況，必要時可對整改工作落實情況進(jìn)行確認(rèn)檢查。算法安全違章行為責(zé)任追究辦法第一章總則第一條為加強(qiáng)XX集團(tuán)有限公司工作人員的算法安全責(zé)任意識，界定工作人員算法安全違章行為，明確算法安全違章責(zé)任追究和處罰依據(jù)，特制定本管理辦法。第二條算法安全違章行為分為一般違章和嚴(yán)重違章。算法安全違章行為由算法安全管理中心負(fù)責(zé)組織調(diào)查和認(rèn)定，并依據(jù)本辦法進(jìn)行責(zé)任追究。第三條本管理辦法中所稱“計算機(jī)”包括桌面計算機(jī)、便攜式計算機(jī)(含各類上網(wǎng)本),除特別說明，通指內(nèi)網(wǎng)計算機(jī)和外網(wǎng)計算第四條本管理辦法適用于所有與信息系統(tǒng)相關(guān)的人員。第二章違章行為界定第五條凡具有下列行為之一均屬違章行為：1.違反國家算法安全有關(guān)法律和法規(guī)。2.違反XX集團(tuán)有限公司算法安全管理規(guī)章制度。第六條一般違章界定(一)計算機(jī)未設(shè)置操作系統(tǒng)登錄口令；設(shè)置了操作系統(tǒng)登錄口令，但口令長度低于8位且不是由字母、數(shù)字或符號組合構(gòu)成；未啟用屏幕保護(hù)和超時鎖屏功能。(二)未按規(guī)定安裝運行或自行卸載單位統(tǒng)一的防病毒軟件、補(bǔ)丁更新策略、桌面終端管理軟件。(三)未按要求使用安全移動存儲介質(zhì)進(jìn)行內(nèi)外網(wǎng)信息交換，擅自刪除或破壞已注冊安全移動存儲介質(zhì)內(nèi)的管理軟件。(四)擅自卸載(含格式化)XX集團(tuán)有限公司規(guī)定安裝的操作系統(tǒng)和業(yè)務(wù)應(yīng)用系統(tǒng)客戶端。(五)未使用單位統(tǒng)一的外網(wǎng)郵件系統(tǒng)處理和發(fā)送與工作相關(guān)的(六)計算機(jī)外委維修時未拆除硬盤導(dǎo)致與工作有關(guān)的信息外泄；更換計算機(jī)和硬盤或在報廢處理前，未對原硬盤進(jìn)行信息不可恢復(fù)操作處理(如低級格式化等)。(七)在內(nèi)網(wǎng)計算機(jī)上對未關(guān)閉互聯(lián)網(wǎng)訪問功能的手機(jī)和PDA等設(shè)備進(jìn)行充電或數(shù)據(jù)同步導(dǎo)致發(fā)生違規(guī)外聯(lián)。開啟文件共享且不設(shè)置共享密碼或共享密碼過于簡單導(dǎo)致共享文件被非授權(quán)訪問和破壞。(八)移動存儲介質(zhì)丟失未向XX集團(tuán)有限公司算法安全管理中心和保密管理部門及時報告，并說明移動存儲介質(zhì)中包含哪些與工作相關(guān)的文件、數(shù)據(jù)和程序。(九)擅自將本人的門戶及應(yīng)用系統(tǒng)帳號和口令告訴他人由其長期代為進(jìn)行業(yè)務(wù)操作。(十)工作人員崗位異動后未及時向算法安全管理中心申請賬號和權(quán)限的變更。(十一)違反單位算法安全管理規(guī)定被認(rèn)定為一般違章的其他行第七條嚴(yán)重違章界定(一)未經(jīng)算法安全管理中心進(jìn)行安全檢測和許可，擅自將外來人員的計算機(jī)接入信息內(nèi)網(wǎng)或信息外網(wǎng)。(二)擅自更改計算機(jī)網(wǎng)卡的MAC地址或IP/MAC地址綁定策略。(三)在計算機(jī)上私自開啟DHCP、WWW、FTP、VOD、代理、游戲、論壇等服務(wù)對網(wǎng)絡(luò)訪問造成干擾或信息資源被非授權(quán)訪問。(四)在內(nèi)網(wǎng)計算機(jī)上利用電話線、電信運營商ADSL、無線上網(wǎng)卡或具備上網(wǎng)功能的手機(jī)和PDA等設(shè)備訪問互聯(lián)網(wǎng)，以及任何具備有意識或故意性質(zhì)使用內(nèi)網(wǎng)計算機(jī)訪問互聯(lián)網(wǎng)。(五)使用手機(jī)或PDA設(shè)備的無線WIFI功能訪問信息內(nèi)網(wǎng)或信息外網(wǎng)。(六)在計算機(jī)中存儲和處理國家、單位秘密信息，在外網(wǎng)計算機(jī)中存儲涉及單位重要敏感信息的電子文件。(七)在同一臺計算機(jī)(包括具備隔離卡和雙硬盤的計算機(jī))上安裝兩個操作系統(tǒng)或雙網(wǎng)卡分別接入信息內(nèi)網(wǎng)和信息外網(wǎng)。(八)安全移動介質(zhì)損壞后私自丟棄未交算法安全管理中心處理并造成單位重要信息外泄。(九)私自在網(wǎng)絡(luò)中接入任何具備網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)、MAC克隆等功能的網(wǎng)絡(luò)交換機(jī)和路由器等有線設(shè)備和無線設(shè)備。(十)擅自組建無線網(wǎng)絡(luò)并接入信息內(nèi)網(wǎng)。(十一)干擾他人正常工作行為，包括：發(fā)布不真實信息、垃圾信息；散布病毒及木馬；未經(jīng)授權(quán)或通過口令猜測和破解等手段使用他人設(shè)備、系統(tǒng)、郵箱等。(十二)擅自在計算機(jī)中安裝黑客程序、端口掃描或漏洞掃描軟件并使用其進(jìn)行網(wǎng)絡(luò)掃描或攻擊破壞。(十三)拒絕算法安全管理中心維護(hù)人員對計算機(jī)進(jìn)行安全性檢查和安裝單位統(tǒng)一要求的桌面終端管理軟件、防病毒軟件等。(十四)違反XX集團(tuán)有限公司算法安全管理規(guī)定被認(rèn)定為嚴(yán)重違章的其他行為。第三章督察與檢查第八條對違章的查處采用專項督查、日常檢查及應(yīng)用工具軟件檢查相結(jié)合的方式進(jìn)行。第九條發(fā)生算法安全違章，按照管理權(quán)限，實行分級查處、分級追究。(一)XX集團(tuán)有限公司各部門自查自糾發(fā)現(xiàn)的違章，參照本辦法自行處理。(二)算法安全管理中心組織的督查、日常檢查及采用單位統(tǒng)一部署工具軟件檢查發(fā)現(xiàn)的違章，按照本辦法規(guī)定處理。(三)單位督查、日常工作檢查及采用單位統(tǒng)一部署工具軟件檢查發(fā)現(xiàn)的違章，按本規(guī)定處理并將處理情況報告單位領(lǐng)導(dǎo)。第四章處罰規(guī)定第十條在年度內(nèi)第一次發(fā)生一般違章或嚴(yán)重違章，對當(dāng)事人給予誡勉談話；半年內(nèi)同一當(dāng)事人發(fā)生兩次一般違章或嚴(yán)重違章，對當(dāng)事人給予通報批評；一年內(nèi)同一當(dāng)事人發(fā)生三次一般違章或嚴(yán)重違章，對當(dāng)事人給予寫檢討并通報批評，并對當(dāng)事人所屬部門予以通報批評。安全教育和培訓(xùn)管理辦法第一章總則第一條為規(guī)范XX集團(tuán)有限公司算法安全培訓(xùn)及教育工作，對干部職工進(jìn)行有關(guān)算法安全管理的理論培訓(xùn)、安全管理制度教育、安全防范意識宣傳和專門安全技術(shù)訓(xùn)練，確保XX集團(tuán)有限公司算法安全策略、規(guī)章制度和技術(shù)規(guī)范的順利執(zhí)行，特制定本管理規(guī)定。第二章算法安全培訓(xùn)要求第二條算法安全培訓(xùn)工作需要分層次、分階段、循序漸進(jìn)地進(jìn)行，而且必須是能夠覆蓋全員的培訓(xùn)。第三條應(yīng)制定完善的《培訓(xùn)計劃》,計劃應(yīng)包含培訓(xùn)方式、培訓(xùn)類別、培訓(xùn)內(nèi)容、培訓(xùn)費用等信息，并且需要相關(guān)領(lǐng)導(dǎo)對培訓(xùn)計劃進(jìn)行審批。第四條分層次培訓(xùn)是指對不同層次的人員，如對管理層、算法安全管理人員，算法安全聯(lián)絡(luò)員和普通干部開展有針對性和不同側(cè)重點的培訓(xùn)。第五條分階段是指在算法安全管理體系的建立、實施和保持的不同階段，培訓(xùn)工作要有計劃地分步實施；算法安全培訓(xùn)要采用內(nèi)部和外部結(jié)合的方式進(jìn)行。第六條管理層培訓(xùn)(一)管理層培訓(xùn)目標(biāo)是明確建立算法安全體系的重要性，獲得管理層的支持和承諾。(二)管理層培訓(xùn)方式可以采用聘請外部算法安全培訓(xùn)、專業(yè)技術(shù)專家和咨詢顧問以專題講座、研討會等形式。第七條算法安全管理人員培訓(xùn)(一)算法安全管理人員培訓(xùn)目標(biāo)是理解及掌握算法安全原理和相關(guān)技術(shù)、強(qiáng)化算法安全意識、支撐算法安全體系的建立、實施和(二)算法安全管理人員培訓(xùn)方式可以采用聘請外部算法安全專業(yè)資格授證培訓(xùn)、參加算法安全專業(yè)培訓(xùn)、自學(xué)算法安全管理理論及技術(shù)和內(nèi)部學(xué)習(xí)研討的方式。第八條算法安全聯(lián)絡(luò)員培訓(xùn)(一)算法安全聯(lián)絡(luò)員培訓(xùn)目標(biāo)是掌握各系統(tǒng)相關(guān)專業(yè)安全技術(shù)，協(xié)助維護(hù)和保障系統(tǒng)正常、安全運行。(二)算法安全聯(lián)絡(luò)員培訓(xùn)方式可以采用外部和內(nèi)部相結(jié)合的培訓(xùn)以及自學(xué)的方式。第九條普通干部培訓(xùn)(一)普通干部培訓(xùn)目標(biāo)是了解相關(guān)算法安全制度和技術(shù)規(guī)范，并安全、高效地使用信息系統(tǒng)。(二)普通干部培訓(xùn)方式應(yīng)主要采取內(nèi)部培訓(xùn)的方式。第三章算法安全培訓(xùn)內(nèi)容第十條各級領(lǐng)導(dǎo)及職工應(yīng)明確了解算法安全體系，并明確各自的安全職責(zé)，明確自身對維護(hù)保障系統(tǒng)正常、安全運行所需承擔(dān)的相關(guān)責(zé)任和義務(wù)。第十一條針對業(yè)務(wù)需求進(jìn)行相應(yīng)安全意識培訓(xùn)，提高員工的安全意識和防范能力。第十二條針對系統(tǒng)的維護(hù)人員和管理員應(yīng)定期開展安全技術(shù)教育培訓(xùn)(每年至少一次),明確如何安全使用有關(guān)業(yè)務(wù)系統(tǒng)及普通計算機(jī)周邊硬件設(shè)備。第四章算法安全培訓(xùn)管理第十三條算法安全培訓(xùn)發(fā)起：(一)算法安全培訓(xùn)教育，納入XX集團(tuán)有限公司的整體培訓(xùn)計劃中。(二)具體操作過程遵守XX集團(tuán)有限公司的相關(guān)培訓(xùn)管理制第十四條算法安全培訓(xùn)實施：(一)算法安全培訓(xùn)的實施，主要由算法安全管理中心負(fù)責(zé)組(二)對專業(yè)性很強(qiáng)的安全培訓(xùn)，由算法安全管理中心負(fù)責(zé)聘請外部專家進(jìn)行安全培訓(xùn)。(三)具體操作過程遵守相關(guān)培訓(xùn)管理制度。第十五條算法安全培訓(xùn)過程中，要做好《培訓(xùn)簽到表》,并將參與培訓(xùn)人員整理、備案。外來人員安全訪問管理辦法第一章總則第一條為了規(guī)范第三方用戶訪問XX集團(tuán)有限公司內(nèi)部信息系統(tǒng)時的行為，保護(hù)XX集團(tuán)有限公司網(wǎng)絡(luò)與算法安全，特制定本管理辦第二章來訪人員出入管理第二條第三方人員進(jìn)入XX集團(tuán)有限公司所屬單位及其建筑物，應(yīng)遵守XX集團(tuán)有限公司相關(guān)安保制度。第三條未經(jīng)XX集團(tuán)有限公司特別許可，第三方人員不得在機(jī)關(guān)院內(nèi)攝影、拍照。第四條XX集團(tuán)有限公司干部職工要遵守相關(guān)安全保密規(guī)定，禁止與第三方人員談?wù)撆c其工作無關(guān)的內(nèi)容。第三章機(jī)房出入管理第五條除以下情況外，不得引領(lǐng)和允許第三方人員訪問機(jī)房等重要區(qū)域：(一)XX集團(tuán)有限公司領(lǐng)導(dǎo)批準(zhǔn)的參觀活動；(二)必要的儀器設(shè)備現(xiàn)場安裝、維修、調(diào)測；(三)第三方因業(yè)務(wù)需要進(jìn)入上述區(qū)域的其它情形。第四章網(wǎng)絡(luò)訪問管理第六條XX集團(tuán)有限公司算法安全管理人員有義務(wù)向第三方人員說明網(wǎng)絡(luò)接入安全要求。第七條第三方人員不允許私自連接機(jī)關(guān)網(wǎng)絡(luò)。如果必要，必須提出申請，征得算法安全管理中心允許后方可接入。第三方人員連接網(wǎng)絡(luò)要進(jìn)行相應(yīng)登記備案，并簽訂網(wǎng)絡(luò)使用安全協(xié)議。第八條長期使用內(nèi)部網(wǎng)絡(luò)的第三方人員的計算機(jī)必須接受XX集團(tuán)有限公司的統(tǒng)一客戶端管理，包括客戶端管理軟件的安裝、安全策略的配置等。第九條第三方人員如果需要訪問網(wǎng)絡(luò)資源，須提前明確申請要訪問資源的類型、范圍和方式，以便管理員進(jìn)行審批，并提供相應(yīng)的訪問權(quán)限和訪問方法。第十條第三方人員操作服務(wù)器或網(wǎng)絡(luò)設(shè)備，必須使用臨時帳號，使用之后由相應(yīng)的管理人員及時清除；對于長期在XX集團(tuán)有限公司工作的技術(shù)支持、顧問、服務(wù)人員，如果需要長期操作服務(wù)器或網(wǎng)絡(luò)設(shè)備，管理人員應(yīng)該為第三方人員創(chuàng)建單獨的帳號。第十一條XX集團(tuán)有限公司有權(quán)對第三方人員在機(jī)關(guān)內(nèi)部網(wǎng)絡(luò)的活動進(jìn)行檢查、審計和監(jiān)控。第十二條第三方人員的計算機(jī)要求安裝有防病毒軟件，不得攜帶有木馬、病毒等破壞性程序。第十三條第三方人員不準(zhǔn)使用XX集團(tuán)有限公司網(wǎng)絡(luò)從事同工作無關(guān)的網(wǎng)絡(luò)活動。第十四條第三方人員不準(zhǔn)在XX集團(tuán)有限公司網(wǎng)絡(luò)內(nèi)部通過撥號或其它手段直接建立到其它網(wǎng)絡(luò)的物理鏈路。第一章總則第一條為了加強(qiáng)XX集團(tuán)有限公司中心機(jī)房管理規(guī)范，保護(hù)重要服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)等系統(tǒng)安全，特制定本規(guī)定。第二章職責(zé)及權(quán)限第二條XX集團(tuán)有限公司算法安全管理中心是機(jī)房管理的主要部門，負(fù)責(zé)機(jī)房的日常檢查、維護(hù)和管理、應(yīng)急處置工作。第三章機(jī)房出入管理第三條非機(jī)房管理人員，一般情況下禁止進(jìn)入機(jī)房，特殊情況需進(jìn)入機(jī)房時須由機(jī)房管理人員全程陪同，并填寫《機(jī)房出入登記表》后方可進(jìn)入；第四條機(jī)房管理人員經(jīng)授權(quán)獲得門禁訪問權(quán)限后，憑機(jī)房門禁卡出入機(jī)房，并由門禁系統(tǒng)和視頻監(jiān)視系統(tǒng)記錄其在機(jī)房的行為；第五條未經(jīng)許可，進(jìn)入機(jī)房人員不得攜帶任何易燃、易爆、腐蝕性、強(qiáng)電磁、輻射性、流體物質(zhì)等對設(shè)備正常運行構(gòu)成威脅的物品，不準(zhǔn)攜帶任何磁帶(盤)、磁介質(zhì)和資料進(jìn)入機(jī)房。經(jīng)特許攜帶的，必須填寫《機(jī)房進(jìn)出登記表》中相關(guān)項后方可進(jìn)入；第六條未經(jīng)許可不允許使用攝影、錄像或其它音像記錄設(shè)備等機(jī)房內(nèi)各類設(shè)備、器材須經(jīng)算法安全管理中心機(jī)房維護(hù)人員批準(zhǔn)，方可進(jìn)出機(jī)房。對于需要經(jīng)常出入機(jī)房的設(shè)備，需在設(shè)備上張貼專用的標(biāo)記。第四章機(jī)房安全管理第七條機(jī)房維護(hù)人員隨時監(jiān)控中心設(shè)備運行狀況，發(fā)現(xiàn)異常情況應(yīng)立即按照預(yù)案規(guī)程進(jìn)行操作，并及時上報和詳細(xì)記錄；第八條非機(jī)房維護(hù)人員未經(jīng)許可不得擅自上機(jī)操作和對運行設(shè)備及各種配置進(jìn)行更改；第九條嚴(yán)格執(zhí)行密碼管理，對操作密碼定期更改，超級用戶密碼由系統(tǒng)管理員掌握；第十條機(jī)房維護(hù)人員應(yīng)恪守保密制度，不得擅自泄露機(jī)房各種信息資料與數(shù)據(jù)；第十一條機(jī)房維護(hù)人員應(yīng)對機(jī)房內(nèi)設(shè)置的消防器材、監(jiān)控設(shè)備進(jìn)行檢查，以保證其有效性。第十二條機(jī)房管理人員對機(jī)房環(huán)境每天進(jìn)行一次檢查，對發(fā)現(xiàn)的問題要及時解決，填寫《機(jī)房巡檢記錄表》;第十三條機(jī)房內(nèi)要保持設(shè)備無塵、布線整齊、物品就位、資料齊全，應(yīng)保持機(jī)房整潔；定期進(jìn)行清掃，進(jìn)行清掃時禁止使用帶水的潔具。每年至少應(yīng)聘請一次外部專業(yè)機(jī)房清潔單位對機(jī)房環(huán)境進(jìn)行清第十四條機(jī)房內(nèi)嚴(yán)禁堆放與工作無關(guān)的其它物品及紙質(zhì)物品。做好消防滅火設(shè)備檢查工作；第十五條機(jī)房內(nèi)禁止飲食、吸煙、打鬧、大聲喧嘩，機(jī)房內(nèi)不得會客、閑談；第十六條機(jī)房內(nèi)要保證足夠的照明度，備有緊急照明設(shè)備，并有專人負(fù)責(zé)，定期檢修；第十七條機(jī)房內(nèi)需對溫度和濕度進(jìn)行監(jiān)控，溫度保持在18℃-25℃,濕度保持在40%-60%;第十八條UPS必須定期年檢，并填寫檢查報告。第十九條機(jī)房接地系統(tǒng)要符合相應(yīng)的技術(shù)標(biāo)準(zhǔn)，各個設(shè)備交流工作電源應(yīng)有工作接地，機(jī)柜應(yīng)有效接地。第二十條機(jī)房配電柜要有防雷設(shè)施，進(jìn)出機(jī)房的電纜應(yīng)有防雷措施。第二十一條機(jī)房用電要使用獨立的電線，專用變壓器、電源穩(wěn)壓器等。第二十二條機(jī)房的環(huán)境應(yīng)達(dá)到機(jī)房建設(shè)的設(shè)計要求。第二十三條應(yīng)指定專人負(fù)責(zé)機(jī)房的操作管理。第二十四條機(jī)房值班人員必須密切監(jiān)視中心機(jī)房設(shè)備運行狀況以及各端口運行情況，確保安全、高效運行。第二十五條嚴(yán)格按規(guī)章制度要求做好各種數(shù)據(jù)、文件的備份工作。重要的服務(wù)器數(shù)據(jù)庫要定期進(jìn)行備份，并嚴(yán)格實行專人保管。所有重要文檔定期整理裝訂，專人保管，以備后查。第二十六條各類軟件系統(tǒng)的維護(hù)、增刪、配置的更改，各類硬件設(shè)備的添加、更換必需執(zhí)行變更管理流程；必須按規(guī)定進(jìn)行詳細(xì)登記和記錄，對各類軟件、現(xiàn)場資料、檔案整理存檔。第二十七條網(wǎng)絡(luò)與算法安全領(lǐng)導(dǎo)小組應(yīng)對制度的執(zhí)行情況進(jìn)行檢查，督促各項制度的落實，并作為人員考核之依據(jù)。第二十八條機(jī)房要有完整的網(wǎng)絡(luò)拓?fù)鋱D并定期進(jìn)行更新。第二十九條機(jī)房內(nèi)的所有設(shè)備應(yīng)貼有設(shè)備標(biāo)簽，并注明設(shè)備的主要參數(shù)。第三十條主機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備的各類接線的兩端應(yīng)設(shè)置標(biāo)簽，網(wǎng)絡(luò)接口側(cè)應(yīng)注明連接的設(shè)備。第三十一條對主要網(wǎng)絡(luò)設(shè)備如核心路由器、交換機(jī)、防火墻、IDS等設(shè)備的配置文件定期進(jìn)行一次評審。第三十二條對機(jī)房的主機(jī)設(shè)備及核心網(wǎng)絡(luò)交換裝置應(yīng)嚴(yán)格管理，做好應(yīng)急準(zhǔn)備，制定周密的故障應(yīng)急措施。第三十三條嚴(yán)禁擅自在運行的業(yè)務(wù)系統(tǒng)服務(wù)器、交換機(jī)、路由器等設(shè)備上進(jìn)行開發(fā)、調(diào)試或?qū)W習(xí)培訓(xùn)等工作。第三十四條進(jìn)入機(jī)房的服務(wù)器應(yīng)遵守機(jī)房規(guī)定，安裝最完整系統(tǒng)補(bǔ)丁、防病毒軟件、管理員責(zé)任明確，各設(shè)備需貼有資產(chǎn)標(biāo)識，并在標(biāo)識上明確該資產(chǎn)責(zé)任人，責(zé)任人發(fā)生變更時應(yīng)及時更新資產(chǎn)標(biāo)識。信息分類與標(biāo)識管理辦法第一章總則第一條為有利于XX集團(tuán)有限公司信息系統(tǒng)相關(guān)信息的識別、保護(hù)和利用，加強(qiáng)XX集團(tuán)有限公司信息系統(tǒng)相關(guān)信息的安全管理，特制訂本管理辦法。第二條本管理辦法適用于XX集團(tuán)有限公司信息系統(tǒng)相關(guān)信息的第二章信息分類的定義第三條XX集團(tuán)有限公司信息系統(tǒng)相關(guān)信息的分類和標(biāo)識的目的：(一)通過對XX集團(tuán)有限公司信息系統(tǒng)相關(guān)信息按無形性質(zhì)(非財務(wù))進(jìn)行分類和標(biāo)識，促進(jìn)信息的增值利用，提高信息的利用率；(二)促進(jìn)信息分布的合理化、促進(jìn)非結(jié)構(gòu)化信息向結(jié)構(gòu)化數(shù)字信息的轉(zhuǎn)換，降低信息管理成本；(三)掌握XX集團(tuán)有限公司信息系統(tǒng)相關(guān)信息的狀態(tài)，明確信息的使用方法、保存方式、放置位置、安全分類和責(zé)任人等，加強(qiáng)信息的管理，為信息系統(tǒng)的日常與應(yīng)急工作提供基本資料；第四條根據(jù)各種信息的敏感度和重要性的不同，制定對信息各種相應(yīng)的分類保護(hù)措施，對各類信息實施適當(dāng)程度的保護(hù)。信息指XX集團(tuán)有限公司在生產(chǎn)、經(jīng)營和管理過程中，所需要的以及所產(chǎn)生的，用以支持(或指導(dǎo)、或影響)XX集團(tuán)有限公司生產(chǎn)、經(jīng)營和管理的一切有用的數(shù)據(jù)和資料等非財務(wù)的無形信息，其范圍包括如下現(xiàn)在的和歷史的信息：(一)XX集團(tuán)有限公司的域名、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)IP地址及(二)系統(tǒng)配置數(shù)據(jù)、系統(tǒng)授權(quán)信息、口令文件、密鑰及算法文件、系統(tǒng)說明文檔、用戶手冊等系統(tǒng)基礎(chǔ)數(shù)據(jù)；(三)各類專業(yè)系統(tǒng)的應(yīng)用數(shù)據(jù)庫及數(shù)據(jù)文件、業(yè)務(wù)報表等系統(tǒng)業(yè)務(wù)數(shù)據(jù)；(四)各類專業(yè)系統(tǒng)的運行方案、運行記錄、變更記錄等系統(tǒng)運行數(shù)據(jù)以及應(yīng)急計劃；(五)各類專業(yè)的規(guī)劃、方案與策略、業(yè)務(wù)流程、業(yè)務(wù)規(guī)范、操(六)技術(shù)圖紙、技術(shù)文檔、工程資料等項目數(shù)據(jù)；(七)其他紙介質(zhì)的重要辦公文件(信件)、圖象、影象、錄音和照片等非結(jié)構(gòu)化辦公資料；(八)單個員工擁有的專家技能和經(jīng)驗等隱性數(shù)據(jù)。第五條XX集團(tuán)有限公司信息的安全分類：信息按信息的敏感度分類為機(jī)密信息、秘密信息、對內(nèi)公開信息、對外公開信息。第六條信息的存放介質(zhì)分別為電子介質(zhì)、紙介質(zhì)以及其他介質(zhì)，對于存儲介質(zhì)同時有電子介質(zhì)或紙介質(zhì)兩種情況的信息，其最終目標(biāo)應(yīng)該是信息存儲在電子介質(zhì)。第三章信息的管理與使用第七條信息的存放應(yīng)立足于管理和安全的考慮，為了便于保管、提取、查詢，信息應(yīng)盡量以電子介質(zhì)的形式存儲，因此，對于存儲在紙介質(zhì)等其他非結(jié)構(gòu)化的信息，如果技術(shù)上允許并且有必要的話，應(yīng)及時進(jìn)行適當(dāng)?shù)奶幚?，轉(zhuǎn)換為結(jié)構(gòu)化的電子信息，并以電子介質(zhì)的形第八條信息的存儲介質(zhì)存放的地點要求如下：(一)對于對外公開信息，存放地點沒有要求；(二)對于對內(nèi)公開信息，如果是結(jié)構(gòu)化的電子信息，應(yīng)存放在內(nèi)部服務(wù)網(wǎng)絡(luò)中的文件服務(wù)器等；如果是非結(jié)構(gòu)化的其他信息，應(yīng)存放在室內(nèi)文件柜中，并有明顯的分類標(biāo)識；(三)對于秘密信息，如果是結(jié)構(gòu)化的電子信息，應(yīng)存放在有嚴(yán)格管理制度、具有足夠的安全防護(hù)措施的機(jī)房環(huán)境中的相關(guān)服務(wù)器和存儲設(shè)備上；如果是非結(jié)構(gòu)化的其他信息，應(yīng)存放在室內(nèi)具有較強(qiáng)防盜竊能力的文件柜中，并造冊登記，分項存放；(四)對于機(jī)密信息，如果是聯(lián)機(jī)存儲的結(jié)構(gòu)化電子信息，應(yīng)存放在有嚴(yán)格管理制度、具有高強(qiáng)度的安全防護(hù)措施的機(jī)房環(huán)境中的相關(guān)服務(wù)器和存儲設(shè)備上；如果是脫機(jī)存儲的結(jié)構(gòu)化電子信息，以及非結(jié)構(gòu)化的其他信息，應(yīng)存放在具有嚴(yán)格保安措施的、專門的保管環(huán)境中(如機(jī)要室等),并造冊登記，分項存放。第九條信息的存儲介質(zhì)使用控制要求如下：(一)對于對外公開信息，介質(zhì)使用沒有限制要求，任何人在任(二)對于對內(nèi)公開信息，對于存儲在電子介質(zhì)上的信息，必須通過內(nèi)部網(wǎng)絡(luò)，以注冊的合法身份，登錄訪問和下載使用；對于非結(jié)構(gòu)化的其他信息，經(jīng)介質(zhì)保存部門同意，可以提取存儲信息的介質(zhì)使用，使用完畢放回原處；(三)對于秘密信息，對于存儲在電子介質(zhì)上的信息，原則上要求聯(lián)機(jī)使用，信息只能通過應(yīng)用系統(tǒng)專用界面使用，使用者必須具有足夠的使用權(quán)限；秘密信息的脫機(jī)提取或抄錄，必須有相關(guān)領(lǐng)導(dǎo)的書面批準(zhǔn)意見，其提取或抄錄的相關(guān)細(xì)節(jié)必須記錄在案，使用者必須對其提取或抄錄秘密信息的安全保密負(fù)責(zé)；對于非結(jié)構(gòu)化信息的使用，必須符合秘密級文件的相關(guān)使用規(guī)定，信息的提取或抄錄必須有相關(guān)領(lǐng)導(dǎo)的書面批準(zhǔn)意見，其相關(guān)細(xì)節(jié)必須記錄在案，使用者必須對其提取或抄錄秘密信息的安全保密負(fù)責(zé)；(四)對于機(jī)密信息，對于存儲在電子介質(zhì)上的信息，必須聯(lián)機(jī)使用，信息只能通過應(yīng)用系統(tǒng)專用界面使用，使用者必須具有足夠的使用權(quán)限；機(jī)密信息絕對禁止的脫機(jī)提取，特殊信息的抄錄，必須有相關(guān)領(lǐng)導(dǎo)及保密人員的書面批準(zhǔn)意見，抄錄的過程及內(nèi)容必須有保密人員現(xiàn)場監(jiān)督檢查，抄錄的相關(guān)細(xì)節(jié)必須記錄在案，使用者必須對其抄錄的機(jī)密信息的安全保密負(fù)責(zé)；對于非結(jié)構(gòu)化信息的使用，必須符合機(jī)密級文件的相關(guān)使用規(guī)定，特殊信息的抄錄必須有相關(guān)領(lǐng)導(dǎo)及保密人員的書面批準(zhǔn)意見，其相關(guān)細(xì)節(jié)必須記錄在案，使用者必須對其提取或抄錄秘密信息的安全保密負(fù)責(zé)。第一章總則第一條為加強(qiáng)XX集團(tuán)有限公司信息系統(tǒng)資產(chǎn)管理，保證信息系統(tǒng)資產(chǎn)的安全完整，提高其使用效率，根據(jù)XX集團(tuán)有限公司實際情況，特制定本管理辦法。第二條信息系統(tǒng)資產(chǎn)包括硬件資產(chǎn)和軟件資產(chǎn)，硬件資產(chǎn)包括服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、計算機(jī)設(shè)備、數(shù)據(jù)庫等，軟件資產(chǎn)包括應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和實用程序等。第三條本管理辦法適用于算法安全管理中心。第二章組織機(jī)構(gòu)與職責(zé)第四條XX集團(tuán)有限公司信息系統(tǒng)資產(chǎn)管理實行二級管理原則。一級管理：算法安全管理中心負(fù)責(zé)XX集團(tuán)有限公司的信息系統(tǒng)相關(guān)的硬件資產(chǎn)和軟件資產(chǎn)的管理，是其責(zé)任部門；二級管理：在算法安全管理中心監(jiān)督、指導(dǎo)下，個人使用的計算機(jī)設(shè)備由本人負(fù)責(zé)管理，對所使用的計算機(jī)設(shè)備的安全完整負(fù)責(zé)，是其責(zé)任人。第三章信息系統(tǒng)資產(chǎn)的驗收、登記及領(lǐng)用第五條XX集團(tuán)有限公司的信息系統(tǒng)相關(guān)資產(chǎn)購進(jìn)后，按規(guī)定程序辦理驗收、登記、領(lǐng)用手續(xù)。驗收。按歸口原則由算法安全管理中心組織專人辦理驗收手續(xù)。實物是否完好無損。登記。驗收合格后，算法安全管理中心的資產(chǎn)管理員對資產(chǎn)進(jìn)行分類編號，明細(xì)登記(編號、錄入)每項信息系統(tǒng)資產(chǎn)的資料(包括臺賬編號、實物編號、資產(chǎn)名稱、購置時間、數(shù)量、購置價格、存放地點、供應(yīng)商、保修期、購置人、驗收人、使用部門、使