第第頁一、算法安全專職機構公司為有效落實算法安全主體責任，確保算法安全工作，提升公司算法安全的保障能力，加強信息安全和技術防護工作，推動公司發展行穩致遠，公司依據《互聯網信息服務算法推薦管理規定》的有關規定，結合《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》、《互聯網信息服務管理辦法》等法律、行政法規，公司成立有專職算法安全專職機構。1.專職機構名稱：算法安全管理中心2.組織架構XX集團有限公司算法安全領導小組為XX集團有限公司算法安全工作領導機構，領導小組下設專職部門，由算法安全管理中心負責算法安全具體工作。算法安全管理中心負責人為算法安全第一責任人，負責是落實算法安全管理制度；其他部門負責人為算法安全次要責任人，負責配合落實算法安全管理制度。具體組織架構為：集團領導：部門負責人：成員：模型安全小組、安全監測小組、應急響應小組3.部門職責范圍負責組織公司算法安全工作；負責制定公司算法安全管理制度、 技術規定、應急預案等，并督促執行；負責對公司內大模型開發中算法安全的設計、檢查和防護，及時處置安全風險；負責算法安全事故的處置；負責組織算法安全培訓和宣傳。聯系方式：聯系郵箱：工作職責：制定算法安全策略，協調各小組工作，監督算法安全措施的實施。5.算法安全工作人員的任職要求熟悉常見網絡協議和安全架構知識，了解常見的網絡攻防手段；具備扎實的計算機基礎理論知識，對計算機網絡有一定認識和理解；有扎實的編程能力，能夠獨立承擔各種復雜問題的解決；有較強的邏輯思維能力和溝通能力，能吃苦耐勞，有良好的團隊合作精神。6.算法安全工作人員配備的規模人員總配置17人，其中全職14人、兼職3人。首先，在加密技術方面，公司對算法相關數據的存儲和傳輸進行了全面的加密保護。對于敏感數據，公司實施基于角色的加密策略，確保只有授權用戶能夠訪問和解密相關信息。在網絡安全防護方面，公司通過部署防火墻系統、分段網絡隔離等措施，嚴密監控和管理網絡流量。入侵檢測與防御技術也在算法系統中起著至關重要的作用。通過部署入侵檢測系統和入侵防御系統，公司能夠實時監測系統的網絡流量和行為，識別潛在的安全威脅。在檢測到異常行為時，能夠自動采取措施進行防護，確保威脅不擴散。公司還引入了多因素身份驗證，特別是在關鍵系統訪問中，通過增加驗證環節確保用戶身份的真實性，防范憑據泄露帶來的風險。動態訪問監控技術則持續分析用戶行為，及時阻止任何異常訪問。公司對所有系統操作和日志進行自動化記錄和審計，確保任何異?；顒佣寄軌虮患皶r發現和追溯。通過編制應急預案、定期演練和災備方案，公司確保在發生安全事件時能夠迅速采取措施，保障業務的連續性。二、算法安全管理制度建設公司依據《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》、《互聯網信息服務管理辦法》、《互聯網信息服務算法推薦管理規定》及相關行業標準/規范，制定有完備的算法安全管理制度。(一)算法安全自評估制度建設1.算法自評估的制度設計考慮算法安全自評估旨在確保公司開發的人工智能算法在醫療健康領域應用的安全性、合規性和有效性。通過定期的自我檢查和評估，及時發現并解決算法可能存在的安全風險，保障患者和用戶的數據隱私，提升算法的可靠性和信任度。制度設計的主要考慮因素：算法全生命周期覆蓋：評估涵蓋算法從設計、開發、測試、部署、運行、維護到退役的各個階段，確保任何環節中的安全風險都能被及時發現和解決。多維度評估：自評估制度不僅關注算法的技術安全性，還包括數據合規性、信息安全性和用戶權益保護，確保算法不僅能在技術上安全運行，還能符合法律法規對數據處理和用戶保護的要求。自評估的靈活性與時效性：根據算法的風險等級、應用場景和法律法規的變化，定期或臨時啟動自評估，確保評估內容能夠適應算法的動態發展確保自評估不僅停留在理論層面，而是能夠高效執行和落地實施。2.算法安全自評估制度(1)算法安全自評估涵蓋內容。數據使用合規性：確保算法使用的數據來源合法合規，使用方式符合用戶授權，敏感數據經過脫敏評估算法模型選擇、邏輯設計、參數設置的合理性；驗證模型的泛化能力、訓練數據的代表性及訓練過程的科學性；評估算法模型在抵抗對抗攻擊、保護模型機密性及輸出結果的合理性方面的安全性，防止因攻擊導致錯誤決策。信息安全性：檢查算法所在系統的網絡安全、設備安全、數據傳輸的加密情況，以及在不同算法運行環境下的信息安全防護是否有效。用戶權益保護：評估算法是否保障用戶知情權、選擇權和控制權，是否在隱私保護、數據刪除請求、算法透明性等方面符合法律法規和公司要求。數據管理與運行監控：審查數據收集、存儲、處理、傳輸等環節的安全性；算法上線后的性能監控與異常檢測機制是否健全。倫理與隱私：評估算法是否存在歧視行為，用戶數據是否得到充分保護，決策是否公平透明。(2)算法安全自評估分類每季度進行一次，確保算法日常運行中的安全性和合規性；在算法發生重大更新、面臨新法規或政策調整、出現安全事件時，立即啟動專項評估，以排查潛在風險和隱患；在算法上線前、運行階段及退役時進行關鍵節點評估，確保在算法的不同階段都能夠保障安全和合(3)算法安全自評估流程明確評估范圍，收集相關文檔、工具和數據，制定評估計劃；通過自動化工具與人工審查相結合，完成數據合規、模型安全、信息安全和用戶權益保護等方面的檢查；記錄評估發現的問題及其風險等級，各責任部門根據評估報告提出的建議進行整改，整改后進行復評，確保問題得到徹底解決。(4)算法安全自評估執行保障措施技術支持。公司提供自動化評估工具和系統，支持大規模算法的高效評估，包括對模型和數據的安全檢測工具，以降低手工操作的復雜性和誤差。人員培訓。定期對所有參與自評估的人員進行培訓，確保他們掌握最新的安全評估方法、工具使用技巧以及相關法規要求。通過技術培訓和法規更新，確保評估團隊具備應對復雜評估任務的能力。數據保護。實施嚴格的數據訪問權限控制，確保數據在評估過程中的安全性。評估反饋機制。建立透明的反饋機制，評估報告應提交給管理層及相關負責人，確保發現的問題能夠引起足夠重視，并由高層督促整改執行。激勵與問責機制。對高效完成評估、發現并解決重大問題的團隊和個人進行表彰和獎勵；對于未能及時整改或存在重大安全隱患的責任人，根據公司規定進行處罰，包括警告、降級或解除(二)算法安全監測制度建設依據《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》、《互聯網信息服務管理辦法》、《互聯網信息服務算法推薦管理規定》等有關規定，制定了《算法安全監測制度》。1.信息安全監測(1)監測機制。信息內容安全監測：通過自然語言處理和內容過濾技術，實時分析算法推薦內容，防止違法、有害、虛假信息的傳播。監測內容包括但不限于新聞推薦、社交媒體內容和廣告推送，確保推薦內容符合國家法律和公司政策。信息源安全監測：對算法推薦服務中使用的外部信息源進行驗證與審計，確保來源可信、安全。通過API接口審計和數據溯源技術，定期檢查并防止外部數據源提供惡意或不可靠的數據。系統通信安全監測：采用實時網絡流量分析、深度包檢測(DPI)技術監測通信線路狀態，確保數據傳輸過程的安全性，防止未經授權的數據包入侵或篡改。確保網絡流量和內容的安全。實時監控服務器與應用系統的運行狀態，對通信線路、網絡設備等進行全天候監控，發現異常及時處理。采用內容審核工具與算法，對信息源和推薦內容進行定期評估，確保推薦2.數據安全監測。(1)監測機制。數據安全管理：公司應制定并執行嚴格的數據安全管理制度，涵蓋算法推薦服務開發、測試、上線以及后續維護中的所有數據操作，確保數據使用的安全性。(2)技術保障措施。采用數據加密技術(如SSL、AES等)確保數據在傳輸和存儲過程中的安全性，防止數據被攔截或篡改。3.用戶個人信息安全監測(1)監測機制。用戶信息收集與處理合規性監測：所有涉及用戶個人信息的操作，必須遵循《個人信息保護法》相關規定。通過合規管理系統監控算法服務中的用戶數據處理，確保數據采集、存儲、使用和銷毀的合法性。(2)技術保障措施。使用匿名化、去標識化技術處理用戶數據，確保個人信息在處理過程中不會被識別。4.算法安全監測(1)監測機制。公司定期審查算法推薦服務的安全性，確保算法在運行過程中無漏洞或安全隱患，避免被惡意攻擊。(2)技術保障措施。部署算法監控系統，實時監測算法的運行狀態，包括性能、輸出結果、異常情況等，及時發現和處理潛在的安全隱患。(三)算法安全事件應急處理制度建設1.組織機構建設設立算法安全應急指揮小組2.算法安全事件應急預案事件分類據算法與網絡安全突發事件可控性、嚴重程度和影響范圍的不同，I級(特別重大):算法系統核心組件如主算法模型或關鍵數據處理模塊的嚴重損壞或丟失，導致算法系統完全癱瘓或出現大規模系統大規模崩潰或失效，造成公司業務嚴重受損，但不至于完全癱瘓，需要多個部門協同處理。III級(較大):算法系統某一區域發生故障，對部分業務造成一定影響，但技術團隊能夠獨立處理。IV級(一般):局部算法功能異常，對業務造成輕微影響，不危及整體業務安3.應急處置方法針對I級故障：啟動特別重大算法安全事件應急預案；立即向高層管理層匯報，并成立特別事件處理小組；啟動全公司范圍的聯動響應，必要時尋求外部專業機構協助；評估損害程度，并迅速制定恢復計劃。針對II級故障：啟動重大算法安全事件應急預案；向各相關部門發出處理指令，協調各部門資源；組織應急處理團隊進行全面調查和修復；向公司領導層匯報進展，調整應急策略。針對III級故向相關業務部門通報情況，并提供修復時間表；行故障原因分析和修復，確保不會擴散。針對IV級故障：啟動一般算法安全事件處理預案；由技術團隊處理并解決問題；錄事件和處理過程，以便未來參考和改進；進行常規的后續檢查，確保問題已完全解決。4.協調調度機制(1)設立算法安全應急指揮小組(2)協調調度機制數據等資源的快速調用和響應。各部門設立專人對接應急小組，確保信息及時傳達和執行。技術總經理或副組長可在緊急情況下直接調動技術團隊，確保應急處置高效進行。(四)算法違法違規處置制度建設1.算法違規情形算法違法違規行為分為一般違法違規和嚴重違法違規兩類。具體(1)一般違法、違規、違章行為。數據使用：未經用戶同意收集數據：未獲得用戶明確同意收集其個人信息或隱私數據。數據使用超授權：使用數據超出用戶授權的范圍。未進行數據脫敏處理：未按照公司規定對敏感數據進行脫敏處理。未及時更新隱私政策：公司隱私政策未按實際數據使用情況進行及時更新。信息安全。未安裝統一安全軟件：未按照公司要求安裝或啟用統一的防病毒軟件、補丁更新或安全策略。設備安全管理不當：在設備維修、硬盤更換等過程中未按照規定進行安全處理。不當處理信息傳輸：在信息傳輸中使用未加密的通信渠道。用戶權益保護。不透明的算法處理：未向用戶充分說明算法處理的方式和依據。未處理數據刪除請求：在合理時限內未處理用戶提出的數據刪除請求。用戶選擇權未保障：未提供用戶足夠的選擇權和控制權。(2)嚴重違法、違規、違章行為。數據使用。非法數據獲?。和ㄟ^非法手段獲取數據或未經授權進行數據交易。數據篡改或偽造：擅自修改或偽造數據，用于未經授權的用途。數據泄露：因管理不善或安全漏洞導致用戶數據泄露。信息安全。嚴重安全漏洞：未能及時修補系統中的重大安全漏洞，導致系統或數據被非法訪問或破壞。未經授權的網絡接入：擅自將外來設備接入公司內網，導致信息系統受損。惡意軟件傳播：故意或嚴重過失導致惡意軟件、病毒傳播，影響公司信息系統安全。2.處罰規定根據違法、違規、違章行為的性質、情節和危害程度，對責任人(1)一般違法、違規、違章行為。通報批評：對首次發生輕微違規行為的責任人給予通報批評，并記錄在案。警告和誡勉談話：對在半年內出現兩次以上違規行為的責任人，進行警告和誡勉談話，責令限期整改。限期整改：對影響較大的違規行為，責令責任部門或人員限期整改，并提交整改報告。(2)嚴重違法、違規、違章行為。暫停職務或降級：對情節嚴重或造成較大損害的責任人，予以暫停職務或降級處理。解除勞動合同：對屢次違反規定且整改不力，或造成重大損失的責任人，依據公司規章制度及勞動法規定，解除勞動合同。法律追究：涉嫌違法犯罪的，移送司法機關處理。(五)其他制度見附件三、附件現行規章制度見如下：算法安全總體方針第一章總則第一條為加強和規范XX集團有限公司算法安全工作，提高算法安全整體防護水平，實現信息系統的安全管控，依據國家有關法律、法規的要求，制定本方針。第二條本方針為XX集團有限公司算法安全管理提供一個總體性架構文件，指導XX集團有限公司算法安全管理體系建設，以實現統一的安全策略管理，提高整體的網絡與算法安全水平，保障網絡暢通和信息系統的正常運行。第三條本方針適用于XX集團有限公司信息系統資產和算法安全人員的安全管理，適用于指導XX集團有限公司算法安全策略的制定、安全方案的規劃、安全建設的實施和安全管理措施的選擇。第四條XX集團有限公司信息化建設領導小組為XX集團有限公司算法安全工作領導機構，領導小組下設辦公室，由算法安全管理中心負責算法安全具體工作。XX集團有限公司其他部門主要負責人是落實算法安全管理制度的第一責任人。第五條XX集團有限公司信息化建設領導小組負責統籌領導XX集團有限公司算法安全工作，指導算法安全管理中心負責的重大的算法安全工作。第六條XX集團有限公司算法安全體系框架的組成是安全組織、安全策略、安全技術和安全運作，四大組成部分協同構建、完成和實現XX集團有限公司算法安全工作和目標。第七條(一)算法安全組織工作目標是建立健全的安全組織，加強人員的安全管理，為算法安全工作提供組織保障。(二)算法安全策略工作目標是制定完善的算法安全管理制度和技術規范，并確保其有效發布、執行和更新，規范XX集團有限公(三)算法安全技術目標是采用適當的技術手段，加強業務和支撐系統的安全防護，為算法安全工作提供技術工具支撐。(四)算法安全運作目標是加強安全工作的運作管理，維護業務和支撐系統的安全運行，及時處理安全問題，為算法安全工作提供第八條XX集團有限公司算法安全工作的原則是：滿足和推動服務業務發展，算法安全架構完整、統一，數據集中、信息共享，控制成本、提高工作效率，利用國家標準規范XX集團有限公司管理。第九條XX集團有限公司算法安全工作的目標是：通過建立和完善算法安全的策略體系、組織體系、技術體系和運作體系，保障日常工作的開展和各信息系統的連續正常穩定運行，維護信息系統的數據安全，促進XX集團有限公司信息化工作健康發展。算法安全管理策略第一章總則第一條本策略為XX集團有限公司各項算法安全工作提供依據和第二條XX集團有限公司算法安全工作由信息化建設領導小組牽頭，算法安全管理中心具體組織，各部門分塊負責，全員參與，專人第三條XX集團有限公司算法安全工作以風險管理為基礎，在安全、效率和成本之間始終堅持“安全第一”的原則。第二章算法安全組織及職責第四條XX集團有限公司信息化建設領導小組(一)統籌領導XX集團有限公司算法安全工作，指導算法安全管理中心負責的重大的算法安全工作；(二)審查和核準算法安全策略及制度；(三)審核批準重大的算法安全活動；(四)審核批準對算法安全事故的處置意見。第五條算法安全管理中心(一)負責組織XX集團有限公司算法安全工作；(二)負責制定XX集團有限公司算法安全管理制度、技術規定、應急預案等，并督促執行；(三)負責對XX集團有限公司內各系統安全的檢查和防護，及(四)負責對計算機病毒感染的預防、檢測和清除，定期維護計算機軟件和數據、對重要信息定期進行檢查和備份；(五)負責算法安全事故的處置；(六)負責組織算法安全培訓和宣傳。第六條算法安全責任XX集團有限公司其他部門主要負責人是算法安全第一責任人，負責本部門所有與算法安全相關的活動。其他部門算法安全聯絡員負責配合算法安全相關的檢查、管理、上報及其他需協調的工作。第七條算法安全管理中心必須與接觸XX集團有限公司敏感信息和核心技術資料的第三方簽署保密協議，并與在XX集團有限公司工作的第三方人員簽署個人保密協議。第八條定期對操作系統、數據庫系統、網絡系統、應用系統等進行漏洞識別與分析，對系統中所存在的高風險漏洞按照流程進行處第九條每年至少進行一次全面的風險評估，以確定是否存在新的威脅或薄弱點，并分析是否需要增加新的安全控制措施。第十條當發生以下情況時需及時進行風險評估工作：(一)當發生重大算法安全事件時；(二)當信息系統發生重大變更時；(三)信息化建設領導小組確定必要時。第十一條針對風險評估結果制定風險控制措施及實施計劃。風險整改后，應再次進行評估，以確保風險得到正確規避。第十二條信息資產是指有業務價值的實物或者虛擬的事物。第十三條各部門應識別與信息生命周期有關的資產，形成資產清單，及時更新，并指定資產所有人，資產所有人負責資產的維護與安全，對資產進行安全等級劃分。第十四條資產管理(一)對所管理的資產必須明確說明使用、發布、復制、存儲、傳輸、銷毀的過程并記錄；(二)資產所有人負責信息的授權，資產只能授權給工作必須的(三)信息的獲取應該遵照工作需要原則、受控審批的原則，嚴禁未經批準的私下獲取行為；在對外提供任何可能涉及XX集團有限還是第三方，都必須事先經過資產所有人的審批許可；(四)未經批準，嚴禁泄露信息系統的安全控制機制。對外公布的信息必須經過審批，不得在公開媒體上發布、談論和傳播XX集團有限公司的數據和信息；(五)必須采用XX集團有限公司批準的銷毀方式銷毀信息。第十五條聘用條款和保密協議(一)算法安全管理中心聘用人員的聘用條款應明確算法安全責(二)所有算法安全相關人員需與XX集團有限公司簽訂保密協議及崗位責任協議，明確各崗位安全職責。第十六條人員審查(一)對相關信息化供應商以及工作人員應按照相關法律法規和對應的業務要求進行安全資格審查；(二)必須對進入關鍵崗位的職工進行資格審查和技能考核。第十七條定期組織干部職工以及相關第三方人員學習算法安全知識，進行安全意識、安全態勢培訓。第十八條人員離職時應及時收回所有涉及XX集團有限公司業務內容的資料、數據、信息，立即取消所有訪問信息系統的權限。第十九條人員調離其他單位，需提交調離申請，經相關領導審批后進行工作交接，并對XX集團有限公司有關所有信息進行保密，如若發現泄密，需承擔相關的法律責任。第二十條場地安全(一)算法安全管理中心應根據國家相關標準以及工作性質劃分相應的安全級別，并建立相應的準入控制措施；(二)所有受控區域必須指定算法安全管理責任人。(三)應建立外來人員訪問機制，確保只有授權人員才允許進入(四)應建立受控區域安全操作規程，需要避免在受控區域進行不受監督的工作。第二十一條設備安全(一)將設備放置到相應級別控制區域；(二)建立防盜、報警、環境監控等保護措施；(三)應保護設備使其免于支持性設施(電、溫濕度、通信)失效而引起設備故障。(四)采用專業技術人員對設備進行維護，確保其持續的可用性(五)設備、信息或軟件在授權之前不宜帶出受控區域。第二十二條環境安全(一)辦公室環境需滿足正常的保密要求。(二)辦公室照明需滿足目視及攝像頭觀測照度清晰要求。第二十三條通過物理分離、防火墻、上網行為控制設備、VLAN劃分進行內外網的物理和邏輯劃分，建立網絡安全區域，明確安全邊界，并進行網絡訪問行為限制和監控。第二十四條網絡設備(一)網絡設備的安裝、配置、變更、撤銷等操作必須經過算法安全管理中心相關領導審批；(二)網絡的拓撲結構、IP地址等信息未經授權，嚴禁泄露；(三)網絡設備的遠程登錄操作應限定在指定網段范圍內。第二十五條所有與XX集團有限公司的網絡進行連接都需要經過信息化建設領導小組的批準；所有與XX集團有限公司外部網絡相連的出入口處必須設立防火墻；通過接入服務器接入XX集團有限公司內部網絡時，必須經過認證。與XX集團有限公司外部網絡相連接的系統必須有專人負責管理。第二十六條運作流程(一)必須明確并遵循信息系統運作的變更流程；(二)必須明確并遵循安全問題處理流程；(三)信息系統的生產環境和開發測試環境需要分離；(四)系統的超級管理權限應采取雙人控制，互相制衡。第二十七條惡意軟件的防護(一)實施惡意軟件的監測、預防和恢復的控制措施；(二)XX集團有限公司的計算機系統都必須安裝、運行單位統一部署的防病毒軟件，并及時升級。未經批準，不能安裝其它的防病毒軟件；(三)接收和發布信息時須進行病毒檢測；(四)服務器必須實時運行防病毒軟件；(五)定期對XX集團有限公司的聯網辦公設備進行掃描，及時發現漏洞并修復。第二十八條信息系統管理(一)建立備份策略，按照策略的要求，定期備份和測試信息、軟件及系統。(二)對系統操作人員的活動進行日志記錄；(三)定期檢查和處理系統日志；(四)對一些重要的信息系統進行實時監控；(五)對組織內部的辦公設施進行時鐘同步；(六)非正版軟件不能安裝。第二十九條用戶訪問管理(一)帳戶開戶1.根據工作相關性原則并經過審批后為個人分配權限；2.建立帳戶開戶和銷戶的閉環流程，控制用戶對系統的訪問權3.含有保密信息的系統禁止建立公用帳戶；4.用戶的崗位或職責發生變化時，應立即變更或取消相應的訪5.對分配的權限必須記錄和進行維護。(二)口令管理1.口令的管理責任人為賬戶的使用者；2.口令的設置要遵循XX集團有限公司有關規定。(三)對用戶訪問權限進行定期檢查；(四)用戶責任1.用戶應采取方式保證口令安全；2.不得共享個人的口令；3.定期更改口令。第三十條操作系統訪問控制(一)嚴格控制操作系統管理員對系統文件和業務數據的操作(二)根據工作相關性原則授予用戶相應權限；(三)系統建立的日志必須滿足審計要求，系統日志必須安全存放，防止被非授權的訪問；(四)必須及時安裝系統安全補?。?五)關閉所有系統不需要的系統服務；(六)服務器的密碼文件須加密存放；(七)定期修改用戶口令。第三十一條應用系統訪問控制(一)根據業務訪問控制策略對用戶嚴格授權；(二)嚴格限制業務人員越過應用程序對后臺數據庫或操作系統直接訪問；(三)建立和維護應用系統的用戶權限表；(四)刪除所有系統上不使用的帳號。第三十二條建立日常維護相關操作規程和規范手冊，規范介質管理、賬號口令管理、補丁管理、防病毒管理、服務器運行管理等日常運行維護操作。第三十三條確保安全貫穿系統整個生命周期的各個階段。第三十四條系統的規劃設計階段必須做安全需求分析、總體安全設計、安全建設規劃。第三十五條系統開發策略(一)建立并遵循安全開發標準；(二)、進行風險分析和風險管理，確定系統安全控制機制；(三)操作人員只保留可執行代碼；(四)程序源代碼盡可能不要保留在運行系統上；(五)在系統發布前，應進行安全測試。第三十六條加密策略(一)加密算法必須是經過政府批準的或符合業界標準；(二)密匙必須有明確的管理人員。(三)加密的數據和口令須分開傳遞；(四)使用加密保護敏感數據，明確密鑰管理員的職責；(五)密鑰產生、分發、存儲的相關信息必須防止泄露給未授權的人員，當這些信息不再需要時，必須采用規定的方式予以銷毀。第三十七條各部門應了解算法安全事件管理目標，熟悉算法安全應急響應流程，確保能快速、有效和有序地響應算法安全事件。第三十八條各部門相關人員應盡可能早的將算法安全事件通告給部門負責人，算法安全管理中心根據安全事件的類型和級別定義判斷安全事件，根據安全事件處理流程進行處理和匯報。第三十九條算法安全管理中心根據算法安全事件預案向信息化建設領導小組提出應急恢復流程的啟動申請，經批準后，按照應急恢第四十條建立統一的應急預案框架，應急預案框架應包括啟動應急預案的條件、應急處理流程、系統恢復流程、事后教育和培訓等第四十一條從人力、設備、技術和財務等方面確保應急預案的執行有足夠的資源保障。第四十二條應對系統相關的人員進行應急預案培訓，應急預案的培訓應至少每年舉辦一次。定期對應急預案進行演練，根據不同的應急恢復內容，確定演練的周期。第四十三條XX集團有限公司算法安全管理中心負責組織算法安全信息通報工作，必要時，向XX集團有限公司各部門通報算法安全工作情況以及安全預警和病毒攻擊等信息。第四十四條各部門算法安全聯絡員負責收集和反饋本部門算法安全信息，并向算法安全管理中心報送。第四十五條將算法安全通報作為算法安全工作的重要環節。不能出現瞞報、緩報、謊報算法安全事件和推諉責任的行為。算法安全管理辦法第一章總則第一條為規范XX集團有限公司信息系統的技術管理和維護工作，確保系統安全運轉和系統運行管理的及時、高效，規范系統操作，加強內部控制，最大程度地防范技術操作風險，特制定本管理辦法。第二條本管理辦法適用于算法安全管理中心對信息系統的安全第三條禁用不必要的服務，盡量將系統中不用的服務、尤其是一些暫時不用的網絡服務關閉，從而使系統遭受攻擊的可能性降至最第四條系統遵循最小權限原則，系統只能授予應用程序和用戶必要的權限，而不能授予額外的權限。第五條服務器需安裝軟件防火墻，由算法安全管理中心統一部署，病毒庫統一升級。第六條對于重要的數據進行加密。第七條安全性能評估，對于安全產品應選用經過國內、國外權威第三方認證的安全產品，系統管理員應隨時保持警惕以預防攻擊事件的發生或者將攻擊的危害降至最低。第八條對系統漏洞情況每季度至少進行一次掃描，對漏洞風險持續跟蹤，在經過充分的驗證測試后對必要的漏洞開展修補工作，實施漏洞掃描或漏洞修補前，對可能的風險進行評估和充分準備，選擇恰當時間，并做好數據備份和回退方案，漏洞掃描或漏洞修補后應進統安全掃描情況記錄表》(附件1)。第九條持續跟蹤廠商提供的系統升級更新情況，應在經過充分的測試評估后對必要的補丁進行及時更新，填寫《系統與網絡設備補丁分析評估表》(附件2),在安裝系統補丁前對現有的重要文件進行備份，并對備份情況和系統升級情況進行記錄，填寫《系統及網絡設備升級記錄表》(附件3)。第十條至少每月對運行日志和審計數據進行分析。第十一條用戶或者應用程序訪問系統資源時要求系統管理員通過設置必要的選項完成以下功能：(一)提供適當的身份驗證方法。(二)識別和驗證身份。(三)記錄成功和失敗的系統訪問(日志信息)。(四)據情況限制用戶連接時間。第十二條登錄程序應最大限度地減少公開的信息，以避免非法用戶使用。登錄程序應：(一)在登錄過程未成功之前禁止顯示系統或應用的標識。(二)顯示一般性注意事項。提醒用戶只有合法用戶才能訪問計(三)登錄期間禁止提供幫助消息。(四)只有所有輸入數據完成后才能驗證登錄信息。(五)應限制允許登錄的失敗次數為3次。(六)限制登錄程序允許的時間上限和下限。如果超過限制，則系統必須終止登錄過程。(七)成功登錄后，宜顯示以下信息：1、以前成功登錄的日期和時間。2、上次成功登錄以來登錄失敗的詳細情況。第十三條登錄超時要求(一)當系統超時未激活時，應能夠自動鎖住系統，防止非法訪問，但不宜關閉應用或網絡會話。(二)超時的時間設置取決于連接系統的重要程度、終端風險暴露程度以及終端上信息的業務價值。第十四條用戶身份識別和驗證(一)信息系統所有用戶都應擁有個人專用的唯一標識符(用戶ID)以便操作能夠追溯到具體責任人。但是在認證和授權體系沒有建立之前，特定操作系統內所有的用戶必須有一個唯一的ID,并且該ID名稱不能讓人猜測到該用戶的權限級別，如管理員、主管等。(二)對于每一個申請使用系統的用戶，應要求填寫《系統賬號申請表》(附件4),并在表格中包含XX集團有限公司的密碼安全政策規范，明確違反該規范的后果和責任，同時要求用戶簽名以產生法律效力，并在《系統賬戶登記表》進行登記。(三)對于用戶身份的驗證，宜采用多種身份驗證程序來加以證實?？诹钍且环N很常見的身份識別和驗證方法。采用加密方法和身份驗證協議也可達到同樣的效果。也可使用用戶的內存標記或智能卡等進行身份識別和驗證。也可使用基于個人唯一特點或特性的生物統計學身份驗證技術來驗證用戶身份。將安全技術和安全機制結合起來可進行更為嚴格的身份驗證。第十五條用戶賬號過期(一)設置用戶賬號的有效有效期為一年。(二)當某一個用戶賬號過期時，系統維修檢查確認該用戶賬號所對應的員工是否還留在XX集團有限公司，如果不是則將該賬號自動刪除，否則繼續激活該用戶賬號。(三)如果用戶賬號過期了但是用戶無法聯系到，先將其用戶賬號鎖住，等用戶回來以后按需要激活。第十六條Guest賬號(一)應禁止長期保留Guest賬號。(二)當系統安裝完成后必須視情況禁用Guest賬號，當用戶確實需要Guest賬號進行臨時的訪問時，才可將Guest賬號激(三)應確保Guest賬號的口令安全。第十七條所有操作系統應禁止使用無口令的用戶賬號。第十八條除非有特殊的要求，不應有多個用戶共享一個用戶ID和口令，而應使用用戶組的概念來代替。第十九條用戶賬號安全其它事項(一)用戶賬號重命名，也就是對默認的賬號重命名。包括administrator、Guest以及其它一些在安裝統計時(如ISS)自動建“administrator”的用戶，并設定一個難以推測的口令，但是不賦予其真正的管理員權限。第五章文件系統安全第二十條文件系統的安全是指系統中所有文件的安全，包括所有操作系統管理的設備資源的安全問題，例如打印機。文件系統的安全是系統安全的最后防線，主要通過兩種方式實現文件系統安全。(一)通過文件系統權限控制文件被惡意地址訪問或者在任何未經適當授權的情況下被訪問。(二)通過對文件進行適當地加密實現。第一章總則第一條為加強公司算法安全管理，確保公司在算法開發、應用、運行和維護中的安全合規，及時識別和解決潛在安全風險，特制定本算法安全自評估制度。第二條本制度適用于公司內部涉及人工智能算法開發、測試、部署、運行等各個環節的安全自評估活動，涵蓋數據管理、算法設計、模型訓練、性能監控及倫理隱私等方面。第三條本制度依據《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》、《互聯網信息服務管理辦法》、《互聯網信息服務算法推薦管理規定》及相關行業標準制定，結合公司現行的算法開發流程，設計具有合理性、完備性和可落地性的自評估制度。第四條本制度適用于公司所有與算法相關的開發、管理和運營第三章自評估的范圍與內容第五條算法安全自評估應涵蓋以下內容：數據使用合規性：確保算法使用的數據來源合法合規，使用方式符合用戶授權，敏感數據經過脫敏處理，數據存儲和傳輸過程采取了加密等保護措施。算法設計與安全：評估算法模型選擇、邏輯設計、參數設置的合理性；驗證模型的泛化能力、訓練數據的代表性及訓練過程的科學性；評估算法模型在抵抗對抗攻擊、保護模型機密性及輸出結果的合理性方面的安全性，防止因攻擊導致錯誤決策。信息安全性：檢查算法所在系統的網絡安全、設備安全、數據傳輸的加密情況，以及在不同算法運行環境下的信息安全防護是否有效。用戶權益保護：評估算法是否保障用戶知情權、選擇權和控制權，是否在隱私保護、數據刪除請求、算法透明性等方面符合法律法規和公司要求。數據管理與運行監控：審查數據收集、存儲、處理、傳輸等環節的安全性；算法上線后的性能監控與異常檢測機制是否健全。倫理與隱私：評估算法是否存在歧視行為，用戶數據是否得到充分保護，決策是否公平透明。第六條自評估分類：常規自評估：每季度進行一次，確保算法日常運行中的安全性和專項自評估：在算法發生重大更新、面臨新法規或政策調整、出現安全事件時，立即啟動專項評估，以排查潛在風險和隱患；全生命周期評估：在算法上線前、運行階段及退役時進行關鍵節點評估，確保在算法的不同階段都能夠保障安全和合規。第四章組織與職責第七條組織機構公司成立“算法安全自評估委員會”,成員包括數據科學家、算法工程師、法律合規專家、安全專家及醫療顧問，負責策劃和執行算法安全評估。第八條委員會職責制定評估計劃：根據算法的生命周期制定詳細的評估計劃。組織實施評估：對算法進行數據審查、邏輯分析、模擬測試及安全性驗證。提出改進建議：根據評估結果，向相關團隊提出整改意見并監督其執行。第五章自評估流程第九條自評估流程：預評估準備：明確評估范圍，收集相關文檔、工具和數據，制定評估計劃；實施評估：通過自動化工具與人工審查相結合，完成數據合規、模型安全、信息安全和用戶權益保護等方面的檢查；評估報告：記錄評估發現的問題及其風險等級，形成詳細的評估報告，報告應涵蓋發現的問題、潛在影響及整改建議；整改與復評：各責任部門根據評估報告提出的建議進行整改，整改后進行復評，確保問題得到徹底解決。第六章執行保障第十條技術支持公司提供自動化評估工具和系統，支持大規模算法的高效評估，包括對模型和數據的安全檢測工具，以降低手工操作的復雜性和誤差。第十一條人員培訓定期對所有參與自評估的人員進行培訓，確保他們掌握最新的安全評估方法、工具使用技巧以及相關法規要求。通過技術培訓和法規更新，確保評估團隊具備應對復雜評估任務的能力。第十二條數據保護實施嚴格的數據訪問權限控制，確保數據在評估過程中的安全性。第十三條評估反饋機制建立透明的反饋機制，評估報告應提交給管理層及相關負責人，確保發現的問題能夠引起足夠重視，并由高層督促整改執行。第十四條激勵與問責機制對高效完成評估、發現并解決重大問題的團隊和個人進行表彰和獎勵；對于未能及時整改或存在重大安全隱患的責任人，根據公司規定進行處罰，包括警告、降級或解除勞動合同。第七章監督與持續改進第十五條公司安全部門負責對自評估過程和結果進行督查，確保評估工作的準確性和客觀性。具體措施包括：定期檢查與專項督查：每季度進行定期檢查，確保各部門嚴格按照制度執行；針對重大安全事件或突發問題，組織專項督查。第十六條持續改進根據自評估結果，針對發現的問題制定整改措施，建立問題跟蹤系統，持續跟進整改效果，并在整改完成后進行復查，確保算法安全性逐步提升。第八章附則第十七條本制度由公司算法安全部負責解釋和修訂，自發布之日起生效，并根據實際需求和法律法規的變化及時調整。網絡與算法安全管理崗位職責說明第一章總則為規范算法安全管理系統中各安全崗位的人員職責，特制訂本規第二條范圍本規范適用于XX集團有限公司各網絡與算法安全管理崗位和人第三條職責網絡與算法安全領導小組負責分配、協調各網絡與算法安全管理崗位的人員角色和日常工作，各崗位人員負責本崗位的日常算法安全第四條算法安全各管理崗由網絡與算法安全領導小組授權或指定，是XX集團有限公司算法安全管理體系的具體執行者，設有安全管理員、系統管理員、網絡管理員、數據庫管理員、審計管理員等。各崗位的人員組成及各崗位職責描述如下：領導各管理員進行工作，根據需要適時召開安全工作小組會議，研究落實計算機系統隱患整改事宜及事故處理決定，討論有關規定及工作制度，布置有關工作，傳達學習有關規定。2、安全管理員職責：負責制定和實施網絡算法安全管理制度，以技術手段隔離不良信息，及時發布預知通告，發布計算機病毒、網絡病毒的危害程度、防殺措施、及補救辦法。教育計算機用戶和網絡用戶樹立安全意識，主動防范病毒、黑客的侵擾，抵制不良信息；建立網絡算法安全監管日志。負責信息化建設相關文件資料的收集、歸類與整理，做好資料收集、編目、建檔工作。負責算法安全管理中心設備、材料、軟件介質等的建檔、編號與借用管理。3、系統管理員職責：負責服務器系統的設計、安裝、配置、管理和維護工作，為服務器的安全運行做技術保障。維持服務器系統的穩定、正常運轉，及時解決服務器系統故障。做好服務器配置、安裝和改動記錄。如果服務器發生故障，必須記錄故障發生的時間、故障情況、處理方法，及預防措施等。定期對硬盤進行整理，清除緩存或垃圾文件。定期保存系統日志。做好系統的硬件維護，對設備定期檢查，定期清潔、除塵，保持設備正常運行。負責定期對系統運行日志進行審計，形成審計分4、網絡管理員職責：負責網絡系統的設計、安裝、配置、管理和維護工作，為網絡的安全運行做技術保障。維持網絡的穩定、正常運轉，及時解決網絡故障。做好網絡設備配置、安裝和改動記錄。如果網絡發生故障，必須記錄故障發生的時間、故障情況、處理方法，及預防措施等。做好系統的硬件維護，對設備定期檢查，定期清潔、除塵，保持設備正常運5、數據庫管理員職責：負責數據庫系統的運行管理，實施系統安全策略。管理數據庫用戶權限，使單位算法安全運行。記錄系統安全事項，及時向安全管理員報告安全事件。對重要數據定期進行備份及執行備份恢復工作。監督對系統進行操作的其他人員。6、審計管理員職責：負責定期對主機系統、網絡產品、應用系統的日志文件進行分析審計，發現問題及時上報；負責對算法安全保障管理活動進行獨立的監督，提供內部獨立的審計和評估工作，并根據需要可以協同外部審計評估機構進行評估和認證，為決策領導提供信息系統和算法安全保障執行狀況的客觀評價。7、人員配備姓名安全主管安全管理員系統管理員網絡管理員數據庫管理員審計管理員授權和審批管理辦法第一章總則第一條為規范單位算法安全管理各環節的審批流程和審批責任人，特制訂本規范。第二條本管理制度適用于信息系統相關的所有授權和審批事項，明確各相關管理環節授權和審批的部門和責任人。第三條算法安全管理中心負責制訂該規范并報網絡與算法安全領導小組審批通過后，由單位相關部門和相關人員參照執行。第二章管理細則第四條內部人員授權管理辦法：(1)根據網絡與算法安全領導小組的主要職責，算法安全主管由網絡與算法安全領導小組授權后生效。算法安全工作小組直接對網絡與算法安全領導小組負責。(2)根據算法安全工作小組的主要職責，算法安全各安全崗位的負責人員由算法安全工作小組授權后生效。各算法安全崗位管理人員對算法安全工作小組負責。(3)根據算法安全工作小組的主要職責，各業務信息系統的經辦人員由各業務單元的相關部門提名產生，最終由算法安全工作小組授權后生效，各業務經辦人員對算法安全工作小組負責。1、變更分類與審批的一般原則：(1)信息系統變更主要分兩大類別：功能優化類變更和系統完善類(bug修訂，補丁修復)變更。(2)功能優化類變更的發起人為各部門業務經辦人員。(3)系統完善類變更的發起人為各部門業務經辦人員、系統管理人員或系統運維外包廠商人員。(4)兩類變更的審批辦法和流程基本一致，原則是需要有效識別各類系統變更的風險，并嚴格按照審批程序有效規避風險、落實相2、變更審批流程：(1)變更由上述變更發起人發起，根據變更的具體內容填寫相關的變更管理表單。(2)功能優化類變更審批的第一級部門是業務經辦部門，因為不直接牽涉到信息系統的變更，該部分變更由業務經辦部門審批，最后一個審批人須是業務經辦部門的部門領導或者更高一級的主管領導，具體由業務經辦部門自行決定。(3)功能優化類變更審批的第二級審批部門是算法安全管理中心，由算法安全管理中心安排專人評估變更的風險和可行性，評估結果可行后，有算法安全管理中心科長審批，算法安全管理中心科長審批后交由系統外包人員具體實施，完成系統變更。(4)系統完善類變更可能會涉及到系統的內核，影響系統運行的穩定性。此類變更一般由系統管理員發起，要求系統管理員在發起變更的同時需要就本次變更的潛在風險和風險規避措施進行描述后報請算法安全管理中心科長進行審批，算法安全管理中心科長審批后由系統管理員進行具體實施，完成系統變更。(1)物理訪問、系統接入等其他對信息系統(包括業務網、主機房、各業務信息系統)的訪問和修改操作，均由算法安全管理中心科長或算法安全管理中心科長授權的算法安全管理中心其他人員負責審批并監督后續的訪問過程。(2)重要操作，如業務系統功能上的重大調整、重大升級變更、網絡架構大的調整，均需要由算法安全管理中心科長召集相關人員論證后初審，初審的結果報網絡與算法安全領導小組做最后審批后進行。第三章附則第五條本管理規范牽涉多個部門和人員，必須在每年的年中和年末由算法安全管理中心發起評審，進行評審修訂，及時更新需授權和審批的項目、審批部門和審批人等信息。第六條遇單位組織機構調整等其他影響原定審批制度情況，可由算法安全管理中心適時發起對于本規定的評審修訂工作，適時修訂各變動項目。第七條每次評審修訂由文檔專員在本制度的‘制度修訂一覽表’中如實記載評審修訂內容，并更改制度版本號。第一章總則第八條為了加強和規范XX集團有限公司算法安全檢查工作，保障相關算法安全運行，特制定本管理辦法。第九條算法安全檢查依據國家有關法律法規、行業有關規章制度，單位算法安全相關規章制度。第十條算法安全檢查對象為XX集團有限公司的信息系統。第十一條信息技術工作檢查可采取日常檢查、組織自查、專項檢查、年度檢查等方式。年度檢查對象包括所有相關部門，且每年不第十二條算法安全管理中心負責算法安全檢查工作，根據當前現狀明確檢查重點，制定檢查標準。第十三條算法安全管理中心成立算法安全檢查小組，具體負責算法安全檢查工作的實施。第十四條各部門及相關人員要配合各項算法安全檢查工作，并按要求完成檢查中發現問題項的整改工作。第十五條XX集團有限公司的算法安全檢查包括算法安全主管部門對XX集團有限公司進行的專項算法安全檢查、算法安全認證機構對XX集團有限公司的算法安全外部審核、風險監管部門主導的算法安全內部審核和內部算法安全技術檢查等。第十六條計算機安全檢查1.計算機應安裝殺毒、防護等軟件，及時更新系統，修復漏洞。2.非涉密計算機不得存儲涉密文件、敏感信息。3.涉密計算機和安裝了“三合一系統”的計算機必須按照相關規定嚴格管理，嚴禁違規外聯。第十七條系統安全與設備管理的檢查1.服務器(1)服務器應具有充分的可靠性和充足的容量。(2)服務器應具有一定的容錯特性，宜采用鏡像、陣列、雙機、群集等容錯技術。(3)服務器有安全可靠的備份措施。2.工作站(1)工作站應具有良好的性能及可靠性。(2)除計算機機房外，一律使用無軟驅或光驅等可卸存儲裝置(3)重要工作站應有冗余備份。第十八條安全管理情況的檢查1.建立由安全策略、管理制度、操作規程等構成的全面算法安全2.嚴格按管理制度規定進行管理，按操作規程進行操作，并進行第十九條實施檢查前，檢查小組根據檢查目的和被檢查部門情況，確定檢查范圍、檢查重點，制定檢查工作計劃，編制相應檢查表第二十條組織進行自查時，被檢查部門應如實填寫自查表，對存在的問題隱瞞不報的，將追究相關部門和個人責任。第二十一條進行現場檢查時，檢查小組應提前通知被檢查部門，可根據需要要求被檢查部門進行自查，以提高現場檢查工作效率。每次檢查前，檢查小組應核查上次檢查提出的整改意見是否落實，整改第二十二條被檢查部門應積極配合檢查工作，按檢查人員要求提供與檢查工作相關的資料，并對所提供資料的真實性、完整性負責。第二十三條檢查過程中應切實防范檢查操作風險，不得對在線運行系統進行檢查測試和網絡掃描檢測。因檢查需要需使用輔助檢測工具時，應經算法安全管理中心負責人審批同意后方可使用。第二十四條檢查過程中發現問題和安全隱患時，檢查小組應及時與被檢查部門溝通確認后，擬定整改建議。對于隨時可能引發事故的問題和安全隱患，應要求立即整改。第二十五條檢查工作結束后，檢查小組應及時撰寫檢查報告上報信息化建設領導小組，根據批示意見對檢查結果進行通報，對存在問題和安全隱患的部門下發整改意見書，要求限期完成整改工作。第二十六條檢查小組應跟蹤整改工作的落實情況，必要時可對整改工作落實情況進行確認檢查。第一章總則第一條為加強XX集團有限公司工作人員的算法安全責任意識，界定工作人員算法安全違章行為，明確算法安全違章責任追究和處罰依據，特制定本管理辦法。第二條算法安全違章行為分為一般違章和嚴重違章。算法安全違章行為由算法安全管理中心負責組織調查和認定，并依據本辦法進第三條本管理辦法中所稱“計算機”包括桌面計算機、便攜式計算機(含各類上網本),除特別說明，通指內網計算機和外網計算第四條本管理辦法適用于所有與信息系統相關的人員。第五條凡具有下列行為之一均屬違章行為：1.違反國家算法安全有關法律和法規。2.違反XX集團有限公司算法安全管理規章制度。第六條一般違章界定(一)計算機未設置操作系統登錄口令；設置了操作系統登錄口令，但口令長度低于8位且不是由字母、數字或符號組合構成；未啟用屏幕保護和超時鎖屏功能。(二)未按規定安裝運行或自行卸載單位統一的防病毒軟件、補丁更新策略、桌面終端管理軟件。(三)未按要求使用安全移動存儲介質進行內外網信息交換，擅自刪除或破壞已注冊安全移動存儲介質內的管理軟件。(四)擅自卸載(含格式化)XX集團有限公司規定安裝的操作系統和業務應用系統客戶端。(五)未使用單位統一的外網郵件系統處理和發送與工作相關的(六)計算機外委維修時未拆除硬盤導致與工作有關的信息外泄；更換計算機和硬盤或在報廢處理前，未對原硬盤進行信息不可恢復操作處理(如低級格式化等)。(七)在內網計算機上對未關閉互聯網訪問功能的手機和PDA等設備進行充電或數據同步導致發生違規外聯。開啟文件共享且不設置共享密碼或共享密碼過于簡單導致共享文件被非授權訪問和破壞。(八)移動存儲介質丟失未向XX集團有限公司算法安全管理中心和保密管理部門及時報告，并說明移動存儲介質中包含哪些與工作相關的文件、數據和程序。(九)擅自將本人的門戶及應用系統帳號和口令告訴他人由其長期代為進行業務操作。(十)工作人員崗位異動后未及時向算法安全管理中心申請賬號(十一)違反單位算法安全管理規定被認定為一般違章的其他行第七條嚴重違章界定(一)未經算法安全管理中心進行安全檢測和許可，擅自將外來人員的計算機接入信息內網或信息外網。(二)擅自更改計算機網卡的MAC地址或IP/MAC地址綁定策略。(三)在計算機上私自開啟DHCP、WWW、FTP、VOD、代理、游戲、論壇等服務對網絡訪問造成干擾或信息資源被非授權訪問。(四)在內網計算機上利用電話線、電信運營商ADSL、無線上網卡或具備上網功能的手機和PDA等設備訪問互聯網，以及任何具備有意識或故意性質使用內網計算機訪問互聯網。(五)使用手機或PDA設備的無線WIFI功能訪問信息內網或信息外網。(六)在計算機中存儲和處理國家、單位秘密信息，在外網計算機中存儲涉及單位重要敏感信息的電子文件。(七)在同一臺計算機(包括具備隔離卡和雙硬盤的計算機)上安裝兩個操作系統或雙網卡分別接入信息內網和信息外網。(八)安全移動介質損壞后私自丟棄未交算法安全管理中心處理并造成單位重要信息外泄。(九)私自在網絡中接入任何具備網絡地址轉換(NAT)、MAC克隆等功能的網絡交換機和路由器等有線設備和無線設備。(十)擅自組建無線網絡并接入信息內網。(十一)干擾他人正常工作行為，包括：發布不真實信息、垃圾信息；散布病毒及木馬；未經授權或通過口令猜測和破解等手段使用他人設備、系統、郵箱等。(十二)擅自在計算機中安裝黑客程序、端口掃描或漏洞掃描軟件并使用其進行網絡掃描或攻擊破壞。(十三)拒絕算法安全管理中心維護人員對計算機進行安全性檢查和安裝單位統一要求的桌面終端管理軟件、防病毒軟件等。(十四)違反XX集團有限公司算法安全管理規定被認定為嚴重違章的其他行為。第三章督察與檢查第八條對違章的查處采用專項督查、日常檢查及應用工具軟件檢查相結合的方式進行。第九條發生算法安全違章，按照管理權限，實行分級查處、分(一)XX集團有限公司各部門自查自糾發現的違章，參照本辦(二)算法安全管理中心組織的督查、日常檢查及采用單位統一部署工具軟件檢查發現的違章，按照本辦法規定處理。(三)單位督查、日常工作檢查及采用單位統一部署工具軟件檢查發現的違章，按本規定處理并將處理情況報告單位領導。第四章處罰規定第十條在年度內第一次發生一般違章或嚴重違章，對當事人給予誡勉談話；半年內同一當事人發生兩次一般違章或嚴重違章，對當事人給予通報批評；一年內同一當事人發生三次一般違章或嚴重違章，對當事人給予寫檢討并通報批評，并對當事人所屬部門予以通報批評。安全教育和培訓管理辦法第一章總則第一條為規范XX集團有限公司算法安全培訓及教育工作，對干部職工進行有關算法安全管理的理論培訓、安全管理制度教育、安全防范意識宣傳和專門安全技術訓練，確保XX集團有限公司算法安全策略、規章制度和技術規范的順利執行，特制定本管理規定。第二條算法安全培訓工作需要分層次、分階段、循序漸進地進行，而且必須是能夠覆蓋全員的培訓。第三條應制定完善的《培訓計劃》,計劃應包含培訓方式、培訓類別、培訓內容、培訓費用等信息，并且需要相關領導對培訓計劃第四條分層次培訓是指對不同層次的人員，如對管理層、算法安全管理人員，算法安全聯絡員和普通干部開展有針對性和不同側重第五條分階段是指在算法安全管理體系的建立、實施和保持的不同階段，培訓工作要有計劃地分步實施；算法安全培訓要采用內部和外部結合的方式進行。第六條管理層培訓(一)管理層培訓目標是明確建立算法安全體系的重要性，獲得管理層的支持和承諾。(二)管理層培訓方式可以采用聘請外部算法安全培訓、專業技術專家和咨詢顧問以專題講座、研討會等形式。第七條算法安全管理人員培訓(一)算法安全管理人員培訓目標是理解及掌握算法安全原理和相關技術、強化算法安全意識、支撐算法安全體系的建立、實施和(二)算法安全管理人員培訓方式可以采用聘請外部算法安全專業資格授證培訓、參加算法安全專業培訓、自學算法安全管理理論及技術和內部學習研討的方式。第八條算法安全聯絡員培訓(一)算法安全聯絡員培訓目標是掌握各系統相關專業安全技術，協助維護和保障系統正常、安全運行。(二)算法安全聯絡員培訓方式可以采用外部和內部相結合的培訓以及自學的方式。第九條普通干部培訓(一)普通干部培訓目標是了解相關算法安全制度和技術規范，并安全、高效地使用信息系統。(二)普通干部培訓方式應主要采取內部培訓的方式。第三章算法安全培訓內容第十條各級領導及職工應明確了解算法安全體系，并明確各自的安全職責，明確自身對維護保障系統正常、安全運行所需承擔的相第十一條針對業務需求進行相應安全意識培訓，提高員工的安全意識和防范能力。第十二條針對系統的維護人員和管理員應定期開展安全技術教育培訓(每年至少一次),明確如何安全使用有關業務系統及普通計算機周邊硬件設備。第十三條算法安全培訓發起：(一)算法安全培訓教育，納入XX集團有限公司的整體培訓(二)具體操作過程遵守XX集團有限公司的相關培訓管理制第十四條算法安全培訓實施：(一)算法安全培訓的實施，主要由算法安全管理中心負責組(二)對專業性很強的安全培訓，由算法安全管理中心負責聘請外部專家進行安全培訓。(三)具體操作過程遵守相關培訓管理制度。第十五條算法安全培訓過程中，要做好《培訓簽到表》,并將參與培訓人員整理、備案。第一章總則第一條為了規范第三方用戶訪問XX集團有限公司內部信息系統時的行為，保護XX集團有限公司網絡與算法安全，特制定本管理辦第二章來訪人員出入管理第二條第三方人員進入XX集團有限公司所屬單位及其建筑物，應遵守XX集團有限公司相關安保制度。第三條未經XX集團有限公司特別許可，第三方人員不得在機關第四條XX集團有限公司干部職工要遵守相關安全保密規定，禁止與第三方人員談論與其工作無關的內容。第三章機房出入管理第五條除以下情況外，不得引領和允許第三方人員訪問機房等重要區域：(一)XX集團有限公司領導批準的參觀活動；(二)必要的儀器設備現場安裝、維修、調測；(三)第三方因業務需要進入上述區域的其它情形。第四章網絡訪問管理第六條XX集團有限公司算法安全管理人員有義務向第三方人員說明網絡接入安全要求。第七條第三方人員不允許私自連接機關網絡。如果必要，必須提出申請，征得算法安全管理中心允許后方可接入。第三方人員連接網絡要進行相應登記備案，并簽訂網絡使用安全協議。第八條長期使用內部網絡的第三方人員的計算機必須接受XX集團有限公司的統一客戶端管理，包括客戶端管理軟件的安裝、安全策第九條第三方人員如果需要訪問網絡資源，須提前明確申請要訪問資源的類型、范圍和方式，以便管理員進行審批，并提供相應的訪問權限和訪問方法。第十條第三方人員操作服務器或網絡設備，必須使用臨時帳號，使用之后由相應的管理人員及時清除；對于長期在XX集團有限公司工作的技術支持、顧問、服務人員，如果需要長期操作服務器或網絡設備，管理人員應該為第三方人員創建單獨的帳號。第十一條XX集團有限公司有權對第三方人員在機關內部網絡的活動進行檢查、審計和監控。第十二條第三方人員的計算機要求安裝有防病毒軟件，不得攜帶有木馬、病毒等破壞性程序。第十三條第三方人員不準使用XX集團有限公司網絡從事同工作無關的網絡活動。第十四條第三方人員不準在XX集團有限公司網絡內部通過撥號或其它手段直接建立到其它網絡的物理鏈路。中心機房運行管理辦法第一章總則第一條為了加強XX集團有限公司中心機房管理規范，保護重要服務器、網絡設備、安全設備、應用系統等系統安全，特制定本規定。第二章職責及權限第二條XX集團有限公司算法安全管理中心是機房管理的主要部門，負責機房的日常檢查、維護和管理、應急處置工作。第三條非機房管理人員，一般情況下禁止進入機房，特殊情況需進入機房時須由機房管理人員全程陪同，并填寫《機房出入登記表》后方可進入；第四條機房管理人員經授權獲得門禁訪問權限后，憑機房門禁卡出入機房，并由門禁系統和視頻監視系統記錄其在機房的行為；第五條未經許可，進入機房人員不得攜帶任何易燃、易爆、腐蝕性、強電磁、輻射性、流體物質等對設備正常運行構成威脅的物品，不準攜帶任何磁帶(盤)、磁介質和資料進入機房。經特許攜帶的，必須填寫《機房進出登記表》中相關項后方可進入；第六條未經許可不允許使用攝影、錄像或其它音像記錄設備等機房內各類設備、器材須經算法安全管理中心機房維護人員批準，方可進出機房。對于需要經常出入機房的設備，需在設備上張貼專用的第七條機房維護人員隨時監控中心設備運行狀況，發現異常情況應立即按照預案規程進行操作，并及時上報和詳細記錄；第八條非機房維護人員未經許可不得擅自上機操作和對運行設備及各種配置進行更改；第九條嚴格執行密碼管理，對操作密碼定期更改，超級用戶密碼由系統管理員掌握；第十條機房維護人員應恪守保密制度，不得擅自泄露機房各種第十一條機房維護人員應對機房內設置的消防器材、監控設備進行檢查，以保證其有效性。第十二條機房管理人員對機房環境每天進行一次檢查，對發現的問題要及時解決，填寫《機房巡檢記錄表》;第十三條機房內要保持設備無塵、布線整齊、物品就位、資料齊全，應保持機房整潔；定期進行清掃，進行清掃時禁止使用帶水的潔具。每年至少應聘請一次外部專業機房清潔單位對機房環境進行清第十四條機房內嚴禁堆放與工作無關的其它物品及紙質物品。做好消防滅火設備檢查工作；第十五條機房內禁止飲食、吸煙、打鬧、大聲喧嘩，機房內不第十六條機房內要保證足夠的照明度，備有緊急照明設備，并有專人負責，定期檢修；第十七條機房內需對溫度和濕度進行監控，溫度保持在18℃-25℃,濕度保持在40%-60%;第十九條機房接地系統要符合相應的技術標準，各個設備交流工作電源應有工作接地，機柜應有效接地。第二十條機房配電柜要有防雷設施，進出機房的電纜應有防雷措施。第二十一條機房用電要使用獨立的電線，專用變壓器、電源穩壓器等。第二十四條機房值班人員必須密切監視中心機房設備運行狀況以及各端口運行情況，確保安全、高效運行。第二十五條嚴格按規章制度要求做好各種數據、文件的備份工作。重要的服務器數據庫要定期進行備份，并嚴格實行專人保管。所有重要文檔定期整理裝訂，專人保管，以備后查。第二十六條各類軟件系統的維護、增刪、配置的更改，各類硬件設備的添加、更換必需執行變更管理流程；必須按規定進行詳細登記和記錄，對各類軟件、現場資料、檔案整理存檔。第二十七條網絡與算法安全領導小組應對制度的執行情況進行檢查，督促各項制度的落實，并作為人員考核之依據。第二十八條機房要有完整的網絡拓撲圖并定期進行更新。第二十九條機房內的所有設備應貼有設備標簽，并注明設備的第三十條主機系統和網絡設備的各類接線的兩端應設置標簽，網絡接口側應注明連接的設備。第三十一條對主要網絡設備如核心路由器、交換機、防火墻、IDS等設備的配置文件定期進行一次評審。第三十二條對機房的主機設備及核心網絡交換裝置應嚴格管理，做好應急準備，制定周密的故障應急措施。第三十三條嚴禁擅自在運行的業務系統服務器、交換機、路由器等設備上進行開發、調試或學習培訓等工作。第三十四條進入機房的服務器應遵守機房規定，安裝最完整系統補丁、防病毒軟件、管理員責任明確，各設備需貼有資產標識，并在標識上明確該資產責任人，責任人發生變更時應及時更新資產標識。第一章總則第一條為有利于XX集團有限公司信息系統相關信息的識別、保護和利用，加強XX集團有限公司信息系統相關信息的安全管理，特制訂本管理辦法。第二條本管理辦法適用于XX集團有限公司信息系統相關信息的第三條XX集團有限公司信息系統相關信息的分類和標識的目的：(一)通過對XX集團有限公司信息系統相關信息按無形性質(非財務)進行分類和標識，促進信息的增值利用，提高信息的利用率；(二)促進信息分布的合理化、促進非結構化信息向結構化數字信息的轉換，降低信息管理成本；(三)掌握XX集團有限公司信息系統相關信息的狀態，明確信息的使用方法、保存方式、放置位置、安全分類和責任人等，加強信息的管理，為信息系統的日常與應急工作提供基本資料；第四條根據各種信息的敏感度和重要性的不同，制定對信息各種相應的分類保護措施，對各類信息實施適當程度的保護。信息指XX集團有限公司在生產、經營和管理過程中，所需要的以及所產生的，用以支持(或指導、或影響)XX集團有限公司生產、經營和管理的一切有用的數據和資料等非財務的無形信息，其范圍包括如下現(一)XX集團有限公司的域名、網絡拓撲結構、網絡IP地址及(二)系統配置數據、系統授權信息、口令文件、密鑰及算法文件、系統說明文檔、用戶手冊等系統基礎數據；(三)各類專業系統的應用數據庫及數據文件、業務報表等系統(四)各類專業系統的運行方案、運行記錄、變更記錄等系統運行數據以及應急計劃；(五)各類專業的規劃、方案與策略、業務流程、業務規范、操(六)技術圖紙、技術文檔、工程資料等項目數據；(七)其他紙介質的重要辦公文件(信件)、圖象、影象、錄音和照片等非結構化辦公資料；(八)單個員工擁有的專家技能和經驗等隱性數據。第五條XX集團有限公司信息的安全分類：信息按信息的敏感度分類為機密信息、秘密信息、對內公開信息、對外公開信息。第六條信息的存放介質分別為電子介質、紙介質以及其他介質，對于存儲介質同時有電子介質或紙介質兩種情況的信息，其最終目標應該是信息存儲在電子介質。第七條信息的存放應立足于管理和安全的考慮，為了便于保管、提取、查詢，信息應盡量以電子介質的形式存儲，因此，對于存儲在紙介質等其他非結構化的信息，如果技術上允許并且有必要的話，應及時進行適當的處理，轉換為結構化的電子信息，并以電子介質的形式存儲。第八條信息的存儲介質存放的地點要求如下：(一)對于對外公開信息，存放地點沒有要求；(二)對于對內公開信息，如果是結構化的電子信息，應存放在內部服務網絡中的文件服務器等；如果是非結構化的其他信息，應存放在室內文件柜中，并有明顯的分類標識；(三)對于秘密信息，如果是結構化的電子信息，應存放在有嚴格管理制度、具有足夠的安全防護措施的機房環境中的相關服務器和存儲設備上；如果是非結構化的其他信息，應存放在室內具有較強防盜竊能力的文件柜中，并造冊登記，分項存放；(四)對于機密信息，如果是聯機存儲的結構化電子信息，應存放在有嚴格管理制度、具有高強度的安全防護措施的機房環境中的相關服務器和存儲設備上；如果是脫機存儲的結構化電子信息，以及非結構化的其他信息，應存放在具有嚴格保安措施的、專門的保管環境中(如機要室等),并造冊登記，分項存放。第九條信息的存儲介質使用控制要求如下：(一)對于對外公開信息，介質使用沒有限制要求，任何人在任何場合均可以使用；(二)對于對內公開信息，對于存儲在電子介質上的信息，必須通過內部網絡，以注冊的合法身份，登錄訪問和下載使用；對于非結構化的其他信息，經介質保存部門同意，可以提取存儲信息的介質使用，使用完畢放回原處；(三)對于秘密信息，對于存儲在電子介質上的信息，原則上要求聯機使用，信息只能通過應用系統專用界面使用，使用者必須具有足夠的使用權限；秘密信息的脫機提取或抄錄，必須有相關領導的書面批準意見，其提取或抄錄的相關細節必須記錄在案，使用者必須對其提取或抄錄秘密信息的安全保密負責；對于非結構化信息的使用，必須符合秘密級文件的相關使用規定，信息的提取或抄錄必須有相關領導的書面批準意見，其相關細節必須記錄在案，使用者必須對其提取或抄錄秘密信息的安全保密負責；(四)對于機密信息，對于存儲在電子介質上的信息，必須聯機使用，信息只能通過應用系統專用界面使用，使用者必須具有足夠的使用權限；機密信息絕對禁止的脫機提取，特殊信息的抄錄，必須有相關領導及保密人員的書面批準意見，抄錄的過程及內容必須有保密人員現場監督檢查，抄錄的相關細節必須記錄在案，使用者必須對其抄錄的機密信息的安全保密負責；對于非結構化信息的使用，必須符合機密級文件的相關使用規定，特殊信息的抄錄必須有相關領導及保密人員的書面批準意見，其相關細節必須記錄在案，使用者必須對其提取或抄錄秘密信息的安全保密負責。第一章總則第一條為加強XX集團有限公司信息系統資產管理，保證信息系統資產的安全完整，提高其使用效率，根據XX集團有限公司實際情況，特制定本管理辦法。第二條信息系統資產包括硬件資產和軟件資產，硬件資產包括服務器、網絡設備、安全設備、計算機設備、數據庫等，軟件資產包括應用軟件、系統軟件、開發工具和實用程序等。第三條本管理辦法適用于算法安全管理中心。第四條XX集團有限公司信息系統資產管理實行二級管理原則。一級管理：算法安全管理中心負責XX集團有限公司的信息系統相關的硬件資產和軟件資產的管理，是其責任部門；二級管理：在算法安全管理中心監督、指導下，個人使用的計算機設備由本人負責管理，對所使用的計算機設備的安全完整負責，是第五條XX集團有限公司的信息系統相關資產購進后，按規定程序辦理驗收、登記、領用手續。驗收。按歸口原則由算法安全管理中心組織專人辦理驗收手續。驗收內容主要包括：核對發票所列項目、數量、價格與實物是否完好無損。登記。驗收合格后，算法安全管理中心的資產管理員對資產進行分類編號，明細登記(編號、錄入)每項信息系統資產的資料(包括臺賬編號、實物編號、資產名稱、購置時間、數量、購置價格、存放地點、供應商、保修期、購置人、驗收人、使用部門、使用人等)。領用。辦理驗收、登記后，由XX集團有限公司總體資產管理部門安排信息系統資產的領用，并辦理有關領用手續。第六條算法安全管理中心應定期對信息系統資產進行維護保養，以保證信息系統資產處于良好狀態，充分發揮其效能。信息系統資產使用期間發生故障或損壞時，運維人員應立即通知算法安全管理中心負責人，及時組織維修。重要或大宗信息系統資產由算法安全管理中心安排維保單位定期進行修理。第七條所有信息系統資產因公用或維修搬出辦公樓必須進行出第八條算法安全管理中心負責建立健全信息系統資產實物臺賬。信息系統資產管理員具體負責對資產入庫、處置、清查盤點、報廢等的臺賬記錄和管理。第九條實物臺賬登記的基本要求：(一)按信息系統資產類別和編號進行明細登記。(二)信息系統資產購建后，按規定程序辦理驗收入庫、登記領用手續，同時進行分類登記。(三)信息系統資產