北京首創(chuàng)生態(tài)環(huán)保集團(tuán)股份有限公司
信息化安全管理辦法
?
第一章??總 ?則
?
第一條?為保護(hù)北京首創(chuàng)生態(tài)環(huán)保集團(tuán)股份有限公司(以下簡(jiǎn)稱“公司”)信息化安全�,促進(jìn)信息化在公司應(yīng)用及發(fā)展�,根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》�、《中華人民共和國(guó)數(shù)據(jù)安全法》�����、《中華人民共和國(guó)個(gè)人信息保護(hù)法》��、《中華人民共和國(guó)密碼法》��、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》以及其他相關(guān)法律法規(guī)����,結(jié)合公司實(shí)際,特制定本辦法�����。
第二條?術(shù)語(yǔ)釋義
(一)?信息化安全是指公司信息化狀態(tài)和信息技術(shù)體系不受外來(lái)的威脅與侵害��。涉及整體信息技術(shù)應(yīng)用的安全狀態(tài)���,包括各種信息系統(tǒng)���、網(wǎng)絡(luò)、數(shù)據(jù)等的安全防護(hù)����,確保信息的保密性(即只有授權(quán)人員才能訪問(wèn)和使用信息)、完整性(即信息不被篡改或損壞)和可用性(即信息可以在需要時(shí)被合法用戶訪問(wèn)和使用)�,同時(shí)關(guān)注信息的生命周期���,包括信息的采集�����、處理�����、存儲(chǔ)�����、傳輸和銷毀等各個(gè)階段的安全保障��。
(二)?信息系統(tǒng)是指由計(jì)算機(jī)及其相關(guān)的和配套的硬件、網(wǎng)絡(luò)����、通信設(shè)備�、計(jì)算機(jī)軟件、信息資源����、信息用戶和規(guī)章制度構(gòu)成的,按照一定的應(yīng)用框架�����、目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工���、存儲(chǔ)���、傳輸、檢索����、管理、分析和表達(dá)等處理信息流為目的的人機(jī)系統(tǒng)��。
(三)?計(jì)算機(jī)病毒是指故意編制的���,能夠修改����、破壞���、攻擊計(jì)算機(jī)(辦公電腦或服務(wù)器)操作系統(tǒng)功能�,能自我復(fù)制��,并能通過(guò)計(jì)算機(jī)媒體或網(wǎng)絡(luò)等途徑傳播的計(jì)算機(jī)程序�����。
(四)?計(jì)算機(jī)病毒疫情是指某種計(jì)算機(jī)病毒爆發(fā)�、流行的時(shí)間、范圍�、破壞特點(diǎn)、破壞后果等情況的報(bào)告或者預(yù)報(bào)�����。
(五)?信息介質(zhì)是指計(jì)算機(jī)軟盤����、硬盤、磁帶���、U盤�����、存儲(chǔ)卡�、光盤等��。
(六)?終端設(shè)備是指安裝應(yīng)用軟件系統(tǒng)的計(jì)算機(jī)設(shè)備��,包括:服務(wù)器、臺(tái)式個(gè)人計(jì)算機(jī)(PC)�、筆記本電腦、手機(jī)�����、平板電腦��、打印機(jī)及其它計(jì)算機(jī)附屬設(shè)備��。
(七)?數(shù)據(jù)是指任何以電子或者其他方式對(duì)信息的記錄����,包括但不限于以電子形式存儲(chǔ)的業(yè)務(wù)數(shù)據(jù)、辦公信息�����、系統(tǒng)運(yùn)行日志��、故障維護(hù)日志以及其他內(nèi)部資料���。
(八)?信息系統(tǒng)使用管理部門為各事業(yè)部及總部各相關(guān)部門���,負(fù)責(zé)相應(yīng)信息系統(tǒng)所涉及業(yè)務(wù)和管理的標(biāo)準(zhǔn)規(guī)范制定���、需求提出及系統(tǒng)上線后日常運(yùn)營(yíng)維護(hù)。信息系統(tǒng)維護(hù)管理部門為企業(yè)管理中心及各事業(yè)部�����,負(fù)責(zé)相應(yīng)信息系統(tǒng)的日常維護(hù)�����、故障處理和技術(shù)支持�����。
第三條?信息化安全管理按照國(guó)家相關(guān)法律法規(guī)要求����,實(shí)施信息系統(tǒng)安全等級(jí)保護(hù)�����,建立健全實(shí)用�、完整可靠的網(wǎng)絡(luò)和信息系統(tǒng)安全體系,保證系統(tǒng)和信息的完整性��、真實(shí)性、可用性�、保密性和可控性,保障網(wǎng)絡(luò)和信息化建設(shè)及應(yīng)用��,支撐業(yè)務(wù)系統(tǒng)的持續(xù)���、穩(wěn)定�����、健康發(fā)展���。
第四條?本辦法適用于公司、事業(yè)部�。具有獨(dú)立法人資格的事業(yè)部及各子企業(yè)應(yīng)參照制定符合本企業(yè)的信息化安全管理辦法,并上報(bào)企業(yè)管理中心備案�����。
?
第二章??管理職責(zé)
?
第五條?公司總經(jīng)理為公司信息化安全管理第一責(zé)任人��。
第六條?公司網(wǎng)絡(luò)安全與信息化委員會(huì)為公司總經(jīng)理辦公會(huì)授權(quán)成立范圍的專業(yè)化委員會(huì)��,全面負(fù)責(zé)公司信息化安全管理、建設(shè)和運(yùn)營(yíng)工作��。主要職責(zé)包括:
(一)落實(shí)國(guó)家有關(guān)網(wǎng)絡(luò)與信息系統(tǒng)安全法規(guī)���、方針����、政策���、標(biāo)準(zhǔn)和規(guī)范,落實(shí)國(guó)家和北京市有關(guān)部門相關(guān)安全工作�;
(二)審核網(wǎng)絡(luò)安全和信息化規(guī)劃;
(三)審核網(wǎng)絡(luò)安全和信息化架構(gòu)(業(yè)務(wù)總體架構(gòu))����;
(四)審核軟件正版化方案;
(五)審核網(wǎng)絡(luò)安全和信息化預(yù)算�;
(六)審核網(wǎng)絡(luò)安全和信息化管理制度;
(七)審核網(wǎng)絡(luò)安全和信息化標(biāo)準(zhǔn)和規(guī)范����;
(八)審核信息化系統(tǒng)的立項(xiàng)及驗(yàn)收;
(九)審批工作組工作計(jì)劃及工作評(píng)價(jià)���;
(十)選聘網(wǎng)絡(luò)安全和信息化外部專家��。
第七條?公司信息化安全主管部門為企業(yè)管理中心����,其主要職責(zé)包括:
(一)組織編制網(wǎng)絡(luò)安全和信息化規(guī)劃;
(二)組織編制�、審核網(wǎng)絡(luò)安全和信息化架構(gòu)(包括業(yè)務(wù)架構(gòu)、應(yīng)用架構(gòu)�、數(shù)據(jù)架構(gòu)、技術(shù)架構(gòu))���;
(三)組織編制網(wǎng)絡(luò)安全和信息化預(yù)算�����;
(四)參與網(wǎng)絡(luò)安全和信息化供應(yīng)商選擇與內(nèi)部定價(jià)審核����;
(五)審核網(wǎng)絡(luò)安全和信息化產(chǎn)品研發(fā)計(jì)劃���;
(六)組織網(wǎng)絡(luò)安全和信息化成果驗(yàn)收與評(píng)價(jià)����;
(七)組織編制網(wǎng)絡(luò)安全和信息化制度、標(biāo)準(zhǔn)和規(guī)范�����;
(八)執(zhí)行網(wǎng)絡(luò)安全管理�、信息系統(tǒng)安全管理、數(shù)據(jù)安全�����、機(jī)房安全管理���、終端設(shè)備安全管理等信息化安全管理工作���;
(九)執(zhí)行已審批的網(wǎng)絡(luò)安全和信息化制度�、標(biāo)準(zhǔn)和規(guī)范。
第八條?公司信息化安全配合部門為各部門及事業(yè)部����,其主要職責(zé)包括:
(一)配合網(wǎng)絡(luò)安全和信息化規(guī)劃編制;
(二)配合網(wǎng)絡(luò)安全和信息化預(yù)算編制�����;
(三)配合網(wǎng)絡(luò)安全和信息化落地執(zhí)行;
(四)配合網(wǎng)絡(luò)安全和信息化相關(guān)成果驗(yàn)收與評(píng)價(jià)��;
(五)執(zhí)行已審批的網(wǎng)絡(luò)安全和信息化制度����、標(biāo)準(zhǔn)和規(guī)范。
?
第三章??網(wǎng)絡(luò)安全管理
?
第一節(jié)?網(wǎng)絡(luò)管理
?
第九條?信息化安全主管部門負(fù)責(zé)加強(qiáng)網(wǎng)絡(luò)設(shè)備的安全管理:
(一)?禁用不必要的網(wǎng)絡(luò)服務(wù):對(duì)網(wǎng)絡(luò)設(shè)備的功能應(yīng)有明確的定義��,對(duì)于設(shè)計(jì)定義之外的網(wǎng)絡(luò)服務(wù)應(yīng)禁用�����,并禁用不必要的缺省服務(wù)�。
(二)?修改不安全的配置:仔細(xì)核對(duì)網(wǎng)絡(luò)設(shè)備的配置參數(shù),對(duì)可能引起系統(tǒng)安全問(wèn)題的配置參數(shù)必須修改���。
(三)?利用最小權(quán)限原則嚴(yán)格控制對(duì)網(wǎng)絡(luò)設(shè)備的訪問(wèn)�。
(四)?及時(shí)對(duì)存在已知安全問(wèn)題的系統(tǒng)進(jìn)行升級(jí)���。
第十條??信息化安全主管部門負(fù)責(zé)嚴(yán)格執(zhí)行網(wǎng)絡(luò)訪問(wèn)控制規(guī)范��,利用入網(wǎng)訪問(wèn)控制���、網(wǎng)絡(luò)權(quán)限控制����、目錄級(jí)安全控制����、屬性安全控制、服務(wù)器安全控制����、網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制、網(wǎng)絡(luò)端口和節(jié)點(diǎn)安全控制��、內(nèi)網(wǎng)VLAN間的安全控制等手段加強(qiáng)網(wǎng)絡(luò)訪問(wèn)控制�,保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn),確保網(wǎng)絡(luò)系統(tǒng)和網(wǎng)絡(luò)資源安全�。
第十一條?信息化安全主管部門負(fù)責(zé)采取技術(shù)和管理手段,對(duì)設(shè)備接入公司辦公網(wǎng)絡(luò)的行為進(jìn)行規(guī)范���,通過(guò)安裝網(wǎng)絡(luò)訪問(wèn)客戶端等手段提高辦公網(wǎng)絡(luò)接入安全:
(一)員工接入網(wǎng)絡(luò)管理
員工計(jì)算機(jī)或手持終端設(shè)備接入辦公網(wǎng)絡(luò)前,由信息化安全主管部門統(tǒng)一進(jìn)行客戶端配置和網(wǎng)絡(luò)資源分配���,嚴(yán)格執(zhí)行IP地址管理和網(wǎng)絡(luò)訪問(wèn)控制���,且作為長(zhǎng)期策略保存于網(wǎng)絡(luò)系統(tǒng)中�����。員工計(jì)算機(jī)需統(tǒng)一安裝網(wǎng)絡(luò)訪問(wèn)客戶端軟件方可接入辦公網(wǎng)絡(luò)���。
(二)訪客接入網(wǎng)絡(luò)管理
訪客計(jì)算機(jī)或手持終端設(shè)備接入辦公網(wǎng)絡(luò)時(shí),由訪客接待部門向信息化安全主管部門提出申請(qǐng)并進(jìn)行登記�����,信息化安全主管部門負(fù)責(zé)通過(guò)技術(shù)手段將訪客的網(wǎng)絡(luò)資源使用范圍��、數(shù)量及期限限制在核準(zhǔn)范圍之內(nèi)���。
第二節(jié) 網(wǎng)絡(luò)防護(hù)管理
第十二條??信息化安全主管部門負(fù)責(zé)利用防火墻�����、入侵防御系統(tǒng)��、防病毒系統(tǒng)����、漏洞掃描系統(tǒng)��、抗拒絕服務(wù)系統(tǒng)、WEB應(yīng)用防護(hù)系統(tǒng)���、態(tài)勢(shì)感知等技術(shù)或手段����,全面做好防入侵管理�,及時(shí)發(fā)現(xiàn)和阻止非法連接。
?
第四章??終端設(shè)備安全管理
?
第十三條?嚴(yán)禁制作計(jì)算機(jī)病毒��、傳播計(jì)算機(jī)病毒的行為:
(一)?故意輸入計(jì)算機(jī)病毒���,危害計(jì)算機(jī)信息系統(tǒng)安全�;
(二)?向他人傳送含有計(jì)算機(jī)病毒的文檔���、軟件�;
(三)?其他傳播計(jì)算機(jī)病毒的行為�。
第十四條?員工在從互聯(lián)網(wǎng)上下載軟件、程序�����、數(shù)據(jù)或使用各類信息介質(zhì)前應(yīng)先對(duì)其進(jìn)行計(jì)算機(jī)病毒檢測(cè)�����,確認(rèn)無(wú)病毒后方可使用���。
第十五條?員工在購(gòu)置���、維修、借入計(jì)算機(jī)設(shè)備時(shí)�,應(yīng)先進(jìn)行計(jì)算機(jī)病毒檢測(cè),確認(rèn)無(wú)病毒后方可使用��。
第十六條?信息化安全主管部門負(fù)責(zé)公司配備的服務(wù)器操作系統(tǒng)����、數(shù)據(jù)庫(kù)、中間件����、信息系統(tǒng)等軟件部署,做好防病毒軟件及相關(guān)安全補(bǔ)丁的安裝����,及時(shí)升級(jí)病毒庫(kù)、操作系統(tǒng)補(bǔ)丁程序��。
第十七條??員工在發(fā)現(xiàn)計(jì)算機(jī)感染病毒后,應(yīng)立即停止使用受感染的計(jì)算機(jī)�,切斷網(wǎng)絡(luò),隔離一切涉嫌感染病毒的信息介質(zhì)和設(shè)備����,同時(shí)報(bào)告信息化安全主管部門。?
?
第五章??信息系統(tǒng)安全管理
?
第一節(jié)?信息系統(tǒng)安全管理
第十八條?信息系統(tǒng)在設(shè)計(jì)及建設(shè)時(shí)應(yīng)有良好的安全技術(shù)體系:
(一)信息系統(tǒng)應(yīng)具備權(quán)限控制體系����,從技術(shù)上保障不同用戶群體只能查看和操作權(quán)限范圍內(nèi)的功能及信息。
(二)信息系統(tǒng)應(yīng)具備三層以上架構(gòu)�,從結(jié)構(gòu)上將數(shù)據(jù)服務(wù)、處理和存放分離�����;應(yīng)具有系統(tǒng)日志審計(jì)�、應(yīng)用操作審計(jì)及數(shù)據(jù)庫(kù)審計(jì)等功能;應(yīng)具有訪問(wèn)控制功能�,按訪問(wèn)權(quán)限對(duì)用戶的訪問(wèn)和操作進(jìn)行控制。系統(tǒng)上線前應(yīng)進(jìn)行安全測(cè)試�,檢測(cè)是否存在惡意代碼、木馬�����、后門等隱患�,上線后生產(chǎn)環(huán)境應(yīng)與開(kāi)發(fā)環(huán)境隔離。
(三)信息系統(tǒng)應(yīng)采用先進(jìn)安全可靠的技術(shù)體系���,防止系統(tǒng)本身原因造成的數(shù)據(jù)丟失����、泄露等事故發(fā)生����,并對(duì)數(shù)據(jù)采取加密技術(shù)。
第十九條?信息系統(tǒng)維護(hù)管理部門應(yīng)密切關(guān)注重大安全漏洞及其補(bǔ)丁發(fā)布���,及時(shí)采取補(bǔ)丁升級(jí)措施��。在補(bǔ)丁安裝前��,需對(duì)補(bǔ)丁進(jìn)行嚴(yán)格的安全評(píng)估和測(cè)試驗(yàn)證����。
第二十條?信息系統(tǒng)維護(hù)管理部門加強(qiáng)對(duì)信息系統(tǒng)后臺(tái)數(shù)據(jù)庫(kù)管理��,當(dāng)系統(tǒng)數(shù)據(jù)紊亂或確需對(duì)數(shù)據(jù)庫(kù)進(jìn)行修改或刪除時(shí),必須由軟件開(kāi)發(fā)商或供應(yīng)商的技術(shù)人員進(jìn)行評(píng)估�,提出切實(shí)可行的解決方案,履行審批程序后方可操作��。
第二十一條?信息系統(tǒng)使用管理部門應(yīng)指定系統(tǒng)管理員��,并建立系統(tǒng)管理員制度����。
系統(tǒng)管理員管理規(guī)范如下:
(一)?系統(tǒng)管理員嚴(yán)禁越權(quán)操作,對(duì)重要的計(jì)算機(jī)信息處理系統(tǒng)應(yīng)分級(jí)加設(shè)系統(tǒng)口令����,以防機(jī)密信息的泄露。
(二)?系統(tǒng)管理員要加強(qiáng)對(duì)系統(tǒng)運(yùn)行環(huán)境的監(jiān)控����,定期檢查并記錄檢查結(jié)果,發(fā)現(xiàn)問(wèn)題及時(shí)報(bào)告��,并保留原始記錄�����。對(duì)發(fā)現(xiàn)的問(wèn)題采取積極措施加以解決����。
(三)?系統(tǒng)管理員對(duì)重要的資料檔案要妥善保管��,以防丟失泄露���。
(四)?系統(tǒng)管理員必須嚴(yán)格遵守公司保密制度�����,保證系統(tǒng)數(shù)據(jù)����、信息、資料的準(zhǔn)確�、完整、安全����,未經(jīng)允許不得創(chuàng)建、刪除用戶賬號(hào)��,不得刪除系統(tǒng)日志和報(bào)警信息�����,不得更改權(quán)限和系統(tǒng)功能,嚴(yán)禁私自查看�����、復(fù)制或修改業(yè)務(wù)數(shù)據(jù)�����。
?
第六章??數(shù)據(jù)安全管理
?
第二十二條??信息化安全主管部門負(fù)責(zé)對(duì)信息系統(tǒng)中的數(shù)據(jù)實(shí)行分類分級(jí)管理����,按照不同類別對(duì)數(shù)據(jù)的產(chǎn)生、傳輸����、存儲(chǔ)和應(yīng)用采取相應(yīng)的安全管理措施。重要數(shù)據(jù)實(shí)行加密保存和傳輸��。
第二十三條?信息系統(tǒng)使用管理部門應(yīng)嚴(yán)格管理業(yè)務(wù)數(shù)據(jù)的增加���、修改�����、刪除等變更操作�����,適時(shí)進(jìn)行業(yè)務(wù)數(shù)據(jù)有效性檢查�����。信息系統(tǒng)維護(hù)管理部門按照既定備份策略執(zhí)行數(shù)據(jù)備份任務(wù)�����,并定期測(cè)試備份數(shù)據(jù)的有效性和預(yù)演數(shù)據(jù)恢復(fù)流程����。
第二十四條??信息系統(tǒng)應(yīng)定期進(jìn)行備份�����,按信息系統(tǒng)重要級(jí)別執(zhí)行實(shí)時(shí)���、每日�����、每周���、每月或定期備份�����,明確規(guī)定備份數(shù)據(jù)的保存時(shí)限�。
第二十五條??所有數(shù)據(jù)備份介質(zhì)應(yīng)注意防磁����、防潮、防塵�、防高溫、防擠壓存放�����,嚴(yán)禁亂丟亂放���。
第二十六條??涉密數(shù)據(jù)的存儲(chǔ)和傳輸應(yīng)當(dāng)按照《保守國(guó)家秘密法》的有關(guān)規(guī)定執(zhí)行����。
第二十七條??數(shù)據(jù)出境應(yīng)評(píng)估數(shù)據(jù)出境計(jì)劃的合法性和正當(dāng)性����,數(shù)據(jù)出境活動(dòng)不具有合法性和正當(dāng)性����,禁止跨境傳輸����。
第二十八條?應(yīng)評(píng)估數(shù)據(jù)出境計(jì)劃是否風(fēng)險(xiǎn)可控,避免數(shù)據(jù)出境及再轉(zhuǎn)移后被泄露�����、損毀�����、篡改�、濫用等�����。
第二十九條??關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)數(shù)據(jù)����、個(gè)人信息出境安全評(píng)估,重點(diǎn)評(píng)估以下內(nèi)容:
(一)是否符合國(guó)家有關(guān)法律法規(guī)和政策規(guī)定��;
(二)合同條款是否能夠充分保障個(gè)人信息主體合法權(quán)益;
(三)合同能否得到有效執(zhí)行�����;
(四)運(yùn)營(yíng)企業(yè)或接收者是否有損害個(gè)人信息主體合法權(quán)益的歷史����、是否發(fā)生過(guò)重大網(wǎng)絡(luò)安全事件;
(五)獲得信息是否合法�����、正當(dāng)�;
(六)其他應(yīng)當(dāng)評(píng)估的內(nèi)容。
第三十條?未履行網(wǎng)絡(luò)安全和信息化委員會(huì)��、總經(jīng)理辦公會(huì)審批程序����,公司任何部門及員工不得向境外提供數(shù)據(jù)和個(gè)人信息。
?
第七章??個(gè)人信息安全管理
?
第三十一條??信息系統(tǒng)在提供服務(wù)的過(guò)程中收集�、使用用戶個(gè)人信息,應(yīng)當(dāng)遵循合法����、正當(dāng)�、必要的原則����,應(yīng)當(dāng)對(duì)提供服務(wù)過(guò)程中收集、使用的用戶個(gè)人信息的安全負(fù)責(zé)���。
第三十二條??用戶個(gè)人信息����,是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息����。包括姓名、出生日期��、身份證件號(hào)碼��、個(gè)人生物識(shí)別信息��、住址�����、通信通訊聯(lián)系方式�����、通信記錄和內(nèi)容����、賬號(hào)密碼、財(cái)產(chǎn)信息��、征信信息���、行蹤軌跡�����、住宿信息��、健康生理信息����、交易信息等�。
?
第一節(jié)?信息收集和使用
?
第三十三條??信息系統(tǒng)未經(jīng)用戶同意,不得收集�����、使用用戶個(gè)人信息。
第三十四條??收集����、使用用戶個(gè)人信息時(shí),應(yīng)當(dāng)明確告知用戶收集�����、使用信息的目的�����、方式和范圍����,查詢、更正���、刪除個(gè)人信息的渠道�,注銷賬戶���、撤回同意的方法,以及拒絕提供信息的后果等事項(xiàng)。
第三十五條??不得收集非必須的用戶個(gè)人信息或者將信息用于提供服務(wù)之外的目的���,不得以欺騙��、誤導(dǎo)或者強(qiáng)迫等方式或者違反法律����、行政法規(guī)以及雙方的約定收集�、使用信息。
第三十六條?對(duì)在提供服務(wù)過(guò)程中收集��、使用的用戶個(gè)人信息應(yīng)當(dāng)嚴(yán)格保密�����,不得泄露����、篡改或者毀損,不得出售或者非法向他人提供�。
第三十七條??委托他人直接面向用戶服務(wù),涉及收集���、使用用戶個(gè)人信息的��,應(yīng)當(dāng)對(duì)代理人的用戶個(gè)人信息保護(hù)工作進(jìn)行監(jiān)督和管理���,不得委托不符合用戶個(gè)人信息保護(hù)要求的代理人代辦相關(guān)服務(wù)���。
第三十八條??信息系統(tǒng)使用管理部門建立用戶投訴處理機(jī)制,公布有效的聯(lián)系方式�����,接受與用戶個(gè)人信息保護(hù)有關(guān)的投訴�,并自接到投訴之日起一定時(shí)間內(nèi)答復(fù)投訴人。
?
第二節(jié)?信息的保存
?
第三十九條??信息系統(tǒng)個(gè)人信息保存期限應(yīng)為實(shí)現(xiàn)目的所必需的最短時(shí)間����。
第四十條??超出上述個(gè)人信息保存期限后,應(yīng)對(duì)個(gè)人信息進(jìn)行刪除或匿名化處理���。
第四十一條??收集個(gè)人信息后����,個(gè)人信息控制者宜立即進(jìn)行去標(biāo)識(shí)化處理�,并采取技術(shù)和管理方面的措施,將去標(biāo)識(shí)化后的數(shù)據(jù)與可用于恢復(fù)識(shí)別個(gè)人的信息分開(kāi)存儲(chǔ)���,并確保在后續(xù)的個(gè)人信息處理中不重新識(shí)別個(gè)人���。
第四十二條??傳輸和存儲(chǔ)個(gè)人敏感信息時(shí),應(yīng)采用加密等安全措施����。
?
第三節(jié)?安全保障措施
?
第四十三條??信息系統(tǒng)使用管理及維護(hù)管理部門應(yīng)當(dāng)采取以下措施防止用戶個(gè)人信息泄露、毀損�、篡改或者丟失:
(一)對(duì)后臺(tái)用戶實(shí)行權(quán)限管理,對(duì)批量導(dǎo)出�、復(fù)制、銷毀信息實(shí)行審批��,并采取防泄密措施��;
(二)妥善保管記錄用戶個(gè)人信息的紙介質(zhì)�����、光介質(zhì)�、電磁介質(zhì)等載體,并采取相應(yīng)的安全儲(chǔ)存措施�;
(三)對(duì)儲(chǔ)存用戶個(gè)人信息的信息系統(tǒng)實(shí)行接入審批,并采取防入侵�、防病毒等措施�;
(四)記錄對(duì)用戶個(gè)人信息進(jìn)行操作的人員�、時(shí)間、地點(diǎn)��、事項(xiàng)等信息��;
第四十四條?保管的用戶個(gè)人信息發(fā)生或者可能發(fā)生泄露���、毀損���、丟失的,應(yīng)當(dāng)立即采取補(bǔ)救措施���;造成或者可能造成嚴(yán)重后果的��,應(yīng)當(dāng)立即向信息化安全主管部門報(bào)告�����,并配合進(jìn)行相關(guān)調(diào)查處理����。
?
第八章??人員及相關(guān)方信息安全管理
?
第四十五條??加強(qiáng)員工從入職��、在職、離職����、退休等整個(gè)過(guò)程中信息化系統(tǒng)的授權(quán)管理,防止誤操作和濫用權(quán)限�����。信息化安全主管部門負(fù)責(zé)組織辦理員工入職���、崗位變更、離職和退休應(yīng)辦理相關(guān)賬號(hào)及權(quán)限的手續(xù)����。
第四十六條??信息化安全主管部門負(fù)責(zé)定期組織開(kāi)展網(wǎng)絡(luò)安全、數(shù)據(jù)安全知識(shí)宣傳�����,定期開(kāi)展網(wǎng)絡(luò)安全教育培訓(xùn)�����。
第四十七條??加強(qiáng)和規(guī)范提供信息化服務(wù)的中介機(jī)構(gòu)的信息化安全管理工作:
(一)加強(qiáng)第三方的資質(zhì)審核�����,確保第三方中介服務(wù)機(jī)構(gòu)具備相關(guān)業(yè)務(wù)的能力和信譽(yù)。
(二)提供信息化服務(wù)過(guò)程中應(yīng)與第三方中介機(jī)構(gòu)明確信息安全的要求�����;
(三)簽署信息化服務(wù)合同時(shí)�,須簽訂相應(yīng)的保密協(xié)議,以規(guī)范雙方的責(zé)任和義務(wù)����,確保公司信息安全。
(四)第三方服務(wù)人員需嚴(yán)格遵守公司信息安全管理的要求�����。
?
第九章??信息安全教育
?
第四十八條??信息化安全主管部門負(fù)責(zé)制定信息安全培訓(xùn)計(jì)劃�����,開(kāi)展信息安全教育和培訓(xùn)��,并保存信息安全教育和培訓(xùn)結(jié)果的書面記錄�。信息安全教育和培訓(xùn)的對(duì)象包括公司領(lǐng)導(dǎo)和全體員工。
信息安全教育和培訓(xùn)的內(nèi)容,主要包括:
(一)信息安全相關(guān)法律法規(guī)�����、規(guī)章制度和規(guī)范標(biāo)準(zhǔn)等����;
(二)信息安全相關(guān)管理知識(shí)、操作事項(xiàng)等�����;
(三)信息安全意識(shí)和防范電信詐騙知識(shí)等����;
(四)個(gè)人信息保護(hù)相關(guān)知識(shí)�����、技能和安全責(zé)任培訓(xùn)�����。
?
第十章??等級(jí)保護(hù)備案與測(cè)評(píng)
?
第四十九條??信息化安全主管部門負(fù)責(zé)定期組織開(kāi)展網(wǎng)絡(luò)安全等級(jí)保護(hù)的定級(jí)�、備案、建設(shè)���、測(cè)評(píng)與整改工作��。信息系統(tǒng)使用管理部門根據(jù)業(yè)務(wù)性質(zhì)�、重要性程度、涉密情況等確定信息系統(tǒng)的安全等級(jí)��,報(bào)信息化安全主管部門審核備案�,信息化安全主管部門匯總后向?qū)俚毓卜志中畔踩珰w口管理部門進(jìn)行備案,委托具備資質(zhì)的專業(yè)測(cè)評(píng)機(jī)構(gòu)開(kāi)展網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)工作信息系統(tǒng)�����。信息系統(tǒng)使用管理部門及維護(hù)管理部門應(yīng)積極配合上級(jí)監(jiān)管部門的網(wǎng)絡(luò)安全等級(jí)保護(hù)檢查和指導(dǎo)工作�,對(duì)于不符合管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的系統(tǒng),應(yīng)及時(shí)開(kāi)展落實(shí)相關(guān)整改工作�����。
第十一章??檢查��、監(jiān)督與獎(jiǎng)懲
?
第五十條?公司網(wǎng)絡(luò)安全和信息化委員會(huì)負(fù)責(zé)信息化安全檢查的總體部署工作����,信息化安全主管部門負(fù)責(zé)安全檢查方面的具體組織和實(shí)施工作,各信息系統(tǒng)使用管理部門及維護(hù)管理部門參與、配合安全檢查工作���。
第五十一條?信息系統(tǒng)維護(hù)管理部門應(yīng)定期開(kāi)展信息安全風(fēng)險(xiǎn)自查�,識(shí)別系統(tǒng)存在的安全風(fēng)險(xiǎn)�。檢查工作主要包括網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估����、控制措施有效性測(cè)量、內(nèi)部審核�、管理評(píng)審、等保測(cè)評(píng)���、漏洞掃描�����、滲透測(cè)試等。針對(duì)安全檢查與評(píng)估過(guò)程中發(fā)現(xiàn)的問(wèn)題�,由信息化安全主管部門組織,信息系統(tǒng)使用管理部門及維護(hù)管理部門共同參與��,分析問(wèn)題原因并采取糾正和預(yù)防措施��,對(duì)于漏洞掃描及滲透測(cè)試過(guò)程中發(fā)現(xiàn)的高危漏洞,自通報(bào)后一個(gè)月未修復(fù)成功的��,信息化安全主管部門可關(guān)閉信息系統(tǒng)的外網(wǎng)訪問(wèn)�。
第五十二條?信息化安全主管部門按照國(guó)家法律法規(guī)和公司的相關(guān)規(guī)定監(jiān)督各部門、事業(yè)部及子企業(yè)信息化安全相關(guān)工作的落實(shí)情況�����。
第五十三條?對(duì)在信息化安全保護(hù)工作中有突出貢獻(xiàn)的員工����,由信息化安全主管部門向公司提議給予表彰和獎(jiǎng)勵(lì),對(duì)違反本辦法規(guī)定的員工應(yīng)根據(jù)本辦法的規(guī)定或公司相關(guān)規(guī)定給予相應(yīng)的處罰�。
?
第十二章??附則
?
第五十四條?本辦法未盡事宜,或者與法律����、法規(guī)、上級(jí)管理機(jī)構(gòu)的規(guī)定不一致的���,以法律���、法規(guī)和上級(jí)管理機(jī)構(gòu)的相關(guān)規(guī)定為準(zhǔn)。
第五十五條?本辦法由企業(yè)管理中心負(fù)責(zé)解釋��。
第五十六條?本辦法經(jīng)總經(jīng)理辦公會(huì)審議通過(guò)自頒布之日起正式施行。