日期版本擬制審核數據治理管理體系程序文件首次發布陳文學黃偉**信息科技有限公司對本文件資料享受著作權及其它專屬權得將該等文件資料(其全部或任何部分)披露予任何第三方，或進 2范圍 3 34相關文件 35風險管理過程 45.1建立環境 45.2制定溝通和協商 56風險評估 56.1風險評估的準備 56.2信息資產的識別 56.3資產賦值 66.4判定重要資產 76.5重要資產風險評估 86.6風險計算 6.7安全風險接受準則 6.8風險評估工具 6.9風險處理 6.10剩余風險評估 6.11數據治理風險的連續評估 ISMS程序文件文件編號：ZYWS-ISMS-B-01信息安全風險管理程序第3頁共161頁1目的為規范公司在開展數據治理的風險識別、評估和處置過程中的工作流程與方法，明確相關人員職責，特制定本規定。2范圍本規范適用于公司依據《ISO/IEC38505-1:2017信息技術·IT治理·數據治理第1部分：ISO/IEC38500在數據治理中的應用》、標準要求對數據治理資產進行風險評估與處置活動的管3職責3.1管理者代表負責牽頭成立數據治理風險評估小組。3.2風險評估小組負責編制《數據治理風險評估計劃》,確認評估結果，形成《數據治理風險評估報告》。3.3各部門負責本部門使用或管理的數據治理資產的識別和風險評估，并負責本部門所涉及的資產的具體安全控制工作。4相關文件《數據治理管理手冊》《商業秘密管理程序》ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第4頁共161頁5風險管理過程通過建立環境，明確組織目標，界定風險管理應該考慮的外部和內部參數，并設置風險管理過程的范圍和風險準則。根據各部門對內外部環境的分析，制定出《組織環境描述》。5.1.1建立外部環境外部環境是組織在實現目標過程中所面臨的外界環境的歷史、現在和未來的各種相關信息。為保證在制定風險準則時能充分考慮外部利益相關者的目標和關注點，組織需要了解外部環境。外部環境以組織所處的整體環境為基礎，包括法律和監管要求、利益相關者的訴求和與具體風險管理過程相關的其他方面的信息等。從以下方面識別公司的外部環境，并形成《外部環境描述》。(1)國際、國內、地區及當地的政治、經濟、文化、法律、法規、技術、金融以及自然環境和競爭環境；(2)影響組織目標實現的外部關鍵因素及其歷史和變化趨勢；(3)外部利益相關者及其訴求、價值觀、風險承受度；外部利益相關者與組織的關系等。5.1.2建立內部環境內部環境是組織在實現目標過程中所面臨的內在環境的歷史、現在和未來的各種相關信息。風險管理過程要與組織的文化、經營過程和結構相適應，包括組織內影響其風險管理的任何事物。從以下方面識別公司的內部環境，形成《內部環境描述》。(1)治理、組織結構、作用和責任；(2)方針、目標，為實現方針和目標制定的戰略；(3)基于資源和知識理解的能力(如：資金、時間、人員、過程、系統和技術);(4)與內部利益相關方的關系，內部利益相關者的觀點和價值觀；(5)組織的文化；(6)信息系統、信息流和決策過程；(7)組織所采用的標準、指南和模式；ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第5頁共161頁(8)合同關系的形式與范圍。5.2.1制定溝通和協商計劃與內部和外部利益相關者進行充分的溝通和協商，幫助識別內外部風險，并確保利益相關者認同和支持風險處理(應對)計劃。風險評估小組制定總的風險評估計劃，各部門制定與利益相關者的溝通和協商計劃，并在此基礎上識別出本部門的所有有關風險。5.2.2適當地幫助明確環境；1)確保利益相關者的利益被理解和考慮；2)幫助確保風險充分地被識別；3)將不同領域的專業知識一并用于分析風險；4)確保在界定風險準則和評定風險時，不同的觀點被恰當地考慮；5)確保認同和支持風險處理(應對)計劃；6)加強在風險管理過程中的變更管理；7)制定一個恰當的內部和外部溝通和協商計劃。6風險評估6.1.1成立風險評估小組管理者代表牽頭成立風險評估小組，小組成員應包含數據治理重要責任部門的成員。6.1.2制定計劃風險評估小組制定《數據治理風險評估計劃》,下發各部門。6.2.1本公司的數據治理資產范圍包括：1)數據：財務數據、項目數據、各業務系統機密文件、人力資源機密文件、普通文件。ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序第6頁共161頁2)軟件：辦公軟件、操作系統、業務系統軟件、安全軟件、工具軟件、應用軟件。4)硬件：工作站、網絡設備、終端、辦公設備、財務設備、存儲設備。5)人員：高層管理類人員、中層管理類人員、技術人員、職能人員、財務人員。6.3.1部門賦值各部門風險評估小組成員識別本部門資產，并進行資產賦值。6.3.2賦值計算資產賦值的過程是對資產在保密性、完整性、可用性的達成程度進行分析，并在此基礎上得出綜合結果的過程。根據資產在保密性上的不同要求，將其分為五個不同的等級，分別對應資產在保密性上的應達成的不同程度或者保密性缺失時對整個組織的影響。保密性賦值方法：級別1很低可對社會公開的信息公用的信息處理設備和系統資源等2低組織/部門內公開擴散有可能對組織的利益造成輕微損害3中等組織的一般性秘密其泄露會使組織的安全和利益受到損害4高包含組織的重要秘密其泄露會使組織的安全和利益遭受嚴重損害5包含組織最重要的秘密關系未來發展的前途命運，對組織根本利益有著決定性的影響，如果泄露會造成災難性的損害根據資產在完整性上的不同要求，將其分為五個不同的等級，分別對應資產在完整性上的達成的不同程度或者完整性缺失時對整個組織的影響。完整性(I)賦值的方法：級別1很低完整性價值非常低未經授權的修改或破壞對組織造成的影響可以忽略，對業務沖2低完整性價值較低微，容易彌補3中等未經授權的修改或破壞會對組織造成影響，對業務沖擊明顯4高未經授權的修改或破壞會對組織造成重大影響，對業務沖擊嚴重，較難彌補ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第7頁共161頁5完整性價值非常關鍵未經授權的修改或破壞會對組織造成重大的或無法接受6.3.5可用性(A)賦值：根據資產在可用性上的不同要求，將其分為五個不同的等級，分別對應資產在可用性上的達成的不同程度。級別1很低合法使用者對信息及信息系統的可用度在正常工作時間2低可用性價值較低合法使用者對信息及信息系統的可用度在正常工作時間3中等合法使用者對信息及信息系統的可用度在正常工作時間4高合法使用者對信息及信息系統的可用度達到每天90%以5以上，或系統不允許中斷6.3.6導出《數據治理資產清單》按照資產賦值的結果，經過相加法得出重要性值，從而得出重要性等級，資產重要性劃分為5級，級別越高表示資產重要性程度越高。重要性等級說明1不重要0<=值<=32不太重要3<值<=63一般重要6<值<=94重要9<值<=125很重要12<值<=15重要性等級為3,4和5的為重要資產。6.4.1審核確認風險評估小組對各部門資產識別情況進行審核，確保沒有遺漏重要資產，導出《重要數據資產識別清單》,報管理者代表確認。⑩ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序第8頁共161頁6.5重要資產風險評估6.5.1要求6.5.2識別威脅威脅作用形式可以是對信息系統直接或間接的攻擊，例如非授權的泄露、篡改、刪除等，在保密性、6.5.3識別脆弱性脆弱性是對一個或多個資產弱點的總稱。脆弱性是資產本身存在的，如果沒有相應的威脅發生，6.5.4識別威脅發生頻率分析威脅發生頻率1很低幾乎不可能出現的頻率極小(或<=1次/十年);僅可能在非常罕見和例外的情況下發生2低不太可能出現的頻率較小(或≈1次/兩年);或一般不太可能發生；ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第9頁共161頁3中可能出現的頻率中等(或≈1次/半年);或在某種情況下可能會4高很可能出現的頻率較高(或≈1次/月);或在大多數情況下很有可能會發生；或可以證實多次發生過5非常可能出現的頻率極高(或>=1次/周);或在大多數情況下幾乎不分析脆弱性被利用率1很低2低3中等脆弱，如果被威脅利用，30%<造成損害4高56.5.5已有安全措施的確認應對已采取的安全措施的有效性進行確認，對有效的安全措施繼續保持，以避免不必要的工作和費用，防止安全措施的重復實施。對于確認為不適當的安全措施應核實是否應被取消，或者用更合適的安全措施替代。安全措施可以分為預防性安全措施和保護性安全措施兩種。預防性安全措施可以降低威脅利用脆弱性導致安全事件發生的可能性，如入侵檢測系統；保護性安全措施可以減少因安全事件發生對信息系統造成的影響，如業務持續性計劃。已有安全措施的確認與脆弱性識別存在一定的聯系。一般來說，安全措施的使用將減少脆弱性，但安全措施的確認并不需要與脆弱性識別過程那樣具體到每個資產、組件的弱點，而是一類具體措施的集合。已有安全措施一般會通過控制資產的威脅和脆弱性降低資產的固有風險，因此需要對威脅程度和脆弱性進行打分。⑩ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序第10頁共161頁6.6風險計算6.6.1安全事件發生可能性等級(影響范圍和程度),并對Z的計算值四舍五入取整得到最終結果。Z=發生可能性X=威脅發生頻率Y=脆弱性被利用率1很低出現的頻率極小(或<=1次/十年);僅可能在非常罕見和例外的情況下發生2低出現的頻率較小(或≈1次/兩年);或一般不太可能發生；或沒有被證實3中等出現的頻率中等(或≈1次/半年);或在某種情況下可能會發生；或被證實曾經發生過4高出現的頻率較高(或≈1次/月);或在大多數情況下很有可能會發生；或5出現的頻率極高(或>=1次/周);或在大多數情況下幾乎不可避免；或可以證實經常發生過6.6.2安全事件損失等級z=f(x,y)=√x×y,,并對Z的計算值四舍五入取整得到最終結果。Z=損失程度X=資產的重要性Y=脆弱性被利用率等級標識定義1很低2低3中等4高56.6.3計算風險值風險值=發生可能性x損失程度6.6.4風險等級ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第11頁共161頁風險等級劃分12以上風險等級123451一旦發生造成的影響幾乎不存在，通過簡單的2一般風險3高風險一旦發生會造成一定的經濟、社會或生產經營影響，但影響面和影響4高風險一旦發生將產生較大的經濟或社會影響，在一定范圍內給組織的經營512以上高風險一旦發生將產生極大的經濟或社會影響，在很大范圍內給組織的經營543一般不可接收風險2有條件接受的風險(需經評估小組評審，判斷是否可以接受的風險)1不需要評審即可接受的風險根據風險等級，等級為3,4、5的為高風險，為不可接受的風險。導出《數據治理風險評估匯總表》,報管理者代表批準。6.8風險評估工具主要使用到的風險評估工具有：嗅探工具、掃描工具、滲透測試工具集等。ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第12頁共161頁6.9風險處理對風險應進行處理。對可接受風險，可保持已有的安全措施；如果是不可接受風險(高風險),則需要采取安全措施以降低、控制風險。對不可接受風險，應采取新的風險處理的措施，規定風險處理方式、責任部門和時間進度，高風險應得到優先的考慮。風險處理方式說明現有控制措施完全可以應付或防止此風險的控制現有控制措施不足或沒有控制措施，必須制作重新相控制現有風險所花費的成本過高、超出公司隨范圍且風險發生公司放棄可能涉及此風險的行為，以保證風險不會發生轉移將風險轉嫁至其他公司或第三方人員身上，公司內部不再對此風6.9.1計劃導出《數據治理風險處置計劃》。6.9.2報告風險評估小組導出《數據治理風險評估報告》,陳述數據治理管理現狀，分析存在的數據治理風險，提出數據治理管理(控制)的建議與措施，提交總經辦進行審核。總經辦考慮成本與風險的關系，對《數據治理風險評估報告》及《數據治理風險處置計劃》的相關內容審核，對認為不合適的控制或風險處理方式等提出說明，由風險評估小組協同相關部門重新考慮總經辦的意見，選擇其他的控制或風險處理方式，并重新提交總經辦審核，由管理者代表批準實施。各責任部門按照批準后的《數據治理風險處置計劃》的要求采取有效安全控制措施，確保所采取的控制措施是有效的。ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第13頁共161頁對采取安全措施處理后的風險，總經辦應進行再評估，以判斷實施安全措施后的殘余風險是否已經降低到可接受的水平。6.10.2再處理某些風險可能在選擇了適當的安全措施后仍處于不可接受的風險范圍內，應考慮是否接受此風險或進一步增加相應的安全措施。剩余風險評估完成后，導出《數據治理剩余風險評估報告》,報管理者代表批準。6.11數據治理風險的連續評估總經辦每年應組織對數據治理風險重新評估一次，以適應信息資產的變化，確定是否存在新的威脅或脆弱性及是否需要增加新的控制措施。6.11.2非定期評估當發生以下情況時需及時進行風險評估：a)當發生重大數據治理事故時；b)當信息網絡系統發生重大更改時；c)總經辦確定有必要時。6.11.3更新資產各部門對新增加、轉移的或授權銷毀的資產應及時更新資產清單。6.11.4調整控制措施總經辦應分析信息資產的風險變化情況，以便根據企業的資金和技術，確定、增加或調整適當的數據治理控制措施。ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第14頁共161頁7記錄《數據治理風險評估計劃》《數據資產識別清單》《重要數據資產識別清單》《數據治理風險評估匯總表》《數據治理風險處置計劃》《數據治理風險評估報告》《數據治理剩余風險評估報告》日期擬制審核陳文學黃偉⑩ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第15頁共161頁**信息科技有限公司對本文件資料享受著作權及其它專屬權利，未經文件資料(其全部或任何部分)披露予任何第三方，或進行目錄 2范圍 3職責 4相關文件 5程序 6記錄 ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第16頁共161頁為了對數據治理管理文件的編制、審核、批準、標識、發放、管理、使用、評審、更改、修訂、作廢等過程的實施有效控制，特制定本程序。2范圍本程序適用于文件管理。負責審定數據治理管理文件，負責批準數據治理程序文件和作業文件。負責批準數據治理管理文件的制訂、修訂計劃，負責批準《數據治理管理手冊》(含數據治理方針)和《數據治理適用性聲明》3.2數據治理小組d)負責數據治理管理文件的歸口管理。e)負責組織數據治理管理文件的制訂、修訂和評審等管理工作。f)負責數據治理管理文件的標識、作廢、回收等日常工作。4相關文件《數據治理管理手冊》《數據治理適用性聲明》《商業秘密管理程序》《數據治理法律法規管理程序》⑩ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第17頁共161頁a)《數據治理管理手冊》(含數據治理方針、方針文件、目標文件、數據治理適用性聲明);5.2文件編制和修訂a)相關的法律法規要求，國家標準、行業標準、地方標準的要求，b)對客戶和其他相關方的合同和承諾，客戶與其他相關方的需求和期望方面的信息。e)內容應與組織的實際情況相適應，并b)技術標準由相關綜合部門負責，各相關部門參與。ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第18頁共161頁5.3文件審批數據治理管理文件發布前須經審批。數據治理管理文件的審批權限如下：a)《數據治理管理手冊》(含數據治理方針、方針文件、目標文件、數據治理適用性聲明)由管理者代表批準發布。b)數據治理程序文件和作業文件由職能部門組織審核，綜合部審核，管理者代表批準發布。c)策劃的管理方案由職能部門組織審核，綜合部審核，管理者代表批準發布。d)其他管理、技術作業和相關支持性文件由歸口管理部門負責審核，部門負責人審核批準。5.4文件標識為確保在使用處獲得適用文件的有效版本，文件均要有明確的標識，包括文件編號、版本號、分發號、發布和實施日期等。數據治理管理文件編號規則如下：HYK-GDMS-A-01《數據治理管理手冊》HYK-GDMS-B-XX數據治理程序文件(含QMS共用文件)HYK-GDMS-C-XX作業文件、策略HYK-GDMS-B-XX-XXX記錄表單涉密文件應按《商業秘密管理程序》的規定分類并標識。5.5文件發放文件審批后，數據治理小組登記并制定《數據治理文件一覽表》和《文件發放/回收一覽表》,按《文件發放/回收一覽表》規定的范圍進行發放。文件發放時，數據治理小組應在文件第一頁注明發放部門和發布日期。并標上“受控”標識。所發放使用的數據治理管理體系文件均為受控文件，各文件使用部門嚴格保管，不得外借和復制，并保持文件清晰、易于識別。5.6文件的更改及版本管理當文件的當前內容和實施動作不一致時，綜合部提出更改文件要求，由文件對口部門和綜合部人員說明原因，填寫《文件修改通知單》,經原審批部門批準后，由文件歸口管理部門進行修改。ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第19頁共161頁版本號規定：初次發布的文件，版本號以A/0作為標識，當文件發生修改時，版本號以下列方式進行編制：a)修改內容不超過20%時，版本號以A/1位依次遞進，例：A/1;A/2……A/9;A/10;A/11以此類推；文件按文件修改通知單上的內容進行修改，并更新變更記錄，變更后由數據治理組長進行審核，管理者代表批準，確保所有文件更改到位。對已經過期，不適用本組織業務程序的文檔，要進行“報廢”處理；針對電子檔文件需在首頁打上“報廢”水印，在變更履歷中注明“報廢”原因；針對紙質文件，蓋上“作廢”章。5.7文件的評審當出現以下情況，綜合部應組織對文件進行評審、必要時予以更新并再次批準：a)數據治理管理體系結構發生重大變化時；b)數據治理管理體系標準發生重大變化時；c)組織結構發生重大變化時；d)數據治理活動、流程發生重大變化時。5.8外來文件的控制組織的外來文件包括與運行維護有關的國家、地方、行業的法律、法規、部門規章、標準，體現客戶有關要求的文件等。組織的外來文件由文件接收負責登記在《外來文件清單》上，《外來文件清單》應注明分布部門，以供使用者查閱。對外來法律法規文件，按《數據治理法律法規管理程序》控制。各部門對受控中的外來文件進行編號管理，以便于查看。若受控文件已不在適合本組織時，可對文件進行“回收”處理，判定文件是否可被銷毀，可以在數據治理內部審核或管理評審時提出，由綜合部成員表決，管理者代表批準。如果文件被批準銷毀，綜合部成員需重新修改《數據治理文件一覽表》、并將最新信息登記到《文件發放/回收一覽表》。電子文件可以仍然保存在服務器中，但名稱中要加入“作廢”標記；同時，文件的“受控”標識也要改為“作廢”標識。《數據治理文件一覽表》《文件發放/回收一覽表》**信息科技有限公司ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第20頁共161頁《外來文件清單》日期擬制審核數據治理管理體系程序文件首次發布陳文學黃偉**信息科技有限公司對本文件資料享受著作權及其它專屬權利，未經⑩ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第21頁共161頁文件資料(其全部或任何部分)披露予任何第三方，或進行 21 222范圍 223職責 22 225程序 6記錄 ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第22頁共161頁為確保對數據治理記錄的標識、貯存、保護、檢索、保存期限和處置實施有效管理，特制定本程序。2范圍本程序適用于本組織證實數據治理管理體系符合要求和有效運行的記錄管理。數據治理小組負責數據治理的管理。各部門負責本部門的記錄文件的日常管理。4相關文件《數據治理管理手冊》《數據治理管理文件標識規范》《商業秘密管理程序》《重要信息備份管理程序》《數據治理記錄分類與保存期限清單》5程序記錄文件的標識按《數據治理管理文件標識規范》進行。數據治理記錄應有追溯標識(如流水號),追溯標識由各職能部門確定。ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第23頁共161頁記錄的密級分類按《商業秘密管理程序》規定進行，涉密信息應將密級標識在記錄上。5.2記錄的保管紙質記錄由各保管部門按規定存放于文件夾/文件柜中，電子記錄由各保管部門以電子檔的形式保存在服務器上。以電子媒體保管的場合，為預防意外，需做適當的備份。備份的安全要求執行《重要信息備份管理程記錄保管部門應建立《數據治理記錄一覽表》,明確規定保管記錄類別、記錄保存期限等。記錄的保存應符合有關法律法規的要求。給外部的文件應建立《文件交接登記表》,由接收人簽字確認。5.3記錄的查閱因工作需要，借閱其他部門的秘密記錄，應獲得記錄保管部門經理授權后方可借閱，并填寫《記錄借閱登記表》,留下授權記錄。借閱者在借閱期內不得改動記錄，借閱完畢后，保管部門經理刪除其訪問閱讀權限。ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第24頁共161頁5.4記錄的銷毀超過保管期限的記錄，應填寫《記錄銷毀記錄表》,經本部門高管批準后，由保管部門作為秘密文件處理廢棄。《數據治理記錄一覽表》《記錄借閱登記表》《記錄銷毀記錄表》《文件交接登記表》**信息科技有限公司ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第25頁共161頁日期擬制審核數據治理管理體系程序文件首次發布陳文學黃偉**信息科技有限公司對本文件資料享受著作權及其它專屬權利，未經書件資料(其全部或任何部分)披露予任何第三方，或進行修改后使用。 262范圍 26 264相關文件 265程序 266記錄- 28ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第26頁共161頁為消除與數據治理管理體系要求不符合的原因，防止其再次發生，持續改進和數據治理管理體系的有效性，特制定本程序。2范圍本程序適用于消除數據治理管理體系不符合原因所采取的糾正預防措施的管理。負責歸口管理糾正措施實施，組織相關部門制定預防糾正措施，并負責跟蹤驗證。負責收集和分析信息系統方面的事件和異常情況，確定潛在不符合原因，采取預防措施。負責信息系統方面糾正措施的制定與實施。4相關文件《數據治理管理手冊》《文件控制程序》5程序g)組織內、外部審核中發現的問題；h)日常數據治理管理檢查、監控及技術檢查中指出的不符合項；ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第27頁共161頁5.2不符合項分析各部門對本部門產生的不符合，應分析產生5.3糾正預防措施采取糾正預防措施應與問題的影響程度相適應，對于信息系統發現報告的重大安全隱綜合部應組織有關部門進行原因分析，采取預防措施，對于以下情況的不符合應采對于信息系統的重大事件，綜合部應進行原因分析，采取糾正預防措施，以下事件屬于重大事件范需制定糾正預防措施時，應將不符合原因填入《不符合項報告及糾正預防報告單》,制定糾正預防措施對策，經綜合部批準后予以實施。5.6糾正措施結果記錄ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第28頁共161頁5.7驗證綜合部對糾正預防措施實施結果進行驗證，并將驗證結果記錄在《不符合項報告及糾正預防報告單》5.8相關文件更改糾正預防措施需要涉及文件更改的，應對文件進行評審，按《文件控制程序》更改文件。5.9保管責任綜合部應做好糾正措施相關記錄的保存。管理評審前，將各部門所采取的糾正措施的有關情況匯總，提交管理評審。《不符合項報告及糾正預防報告單》**信息科技有限公司ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第29頁共161頁日期擬制審核數據治理管理體系程序文件首次發布陳文學黃偉⑩ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第30頁共161頁**信息科技有限公司對本文件資料享受著作權及其它專屬權利，未經文件資料(其全部或任何部分)披露予任何第三方，或進行修改后使用。目錄 2范圍 313職責 313.1總經理 4程序 31 4.2供應商選擇 4.3方案的確定和實施 4.4系統測試和上線運行 4.5信息系統交付 4.6系統文件的安全 5滿足客戶要求 6引用文件 7記錄 ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第31頁共161頁為了對公司信息系統項目建設的策劃、開發、實施、檢查等進行有效的控制，特制定本程序。2范圍本程序規定了公司信息系統項目建設的策劃、開發、實施、檢查等控制要求，適用于信息系統開發建設的控制。負責批準各種信息系統的建設項目和建設方案。負責信息系統開發建設項目的研發，研發過程中控制信息系統開發建設項目的數據治理和技術支持。負責在業務范圍內提出信息系統開發建設需求提供，進行項目驗收和項目質量的監控等工作。4.1信息系統方案需求分析4.1.1綜合部應根據業務的應用需求，簡要提出新增信息系統或者現有信息系統更新、升級、由綜合部門完成的《信息系統開發需求書》。《信息系統開發需求書》包括以下內容：—-功能需求背景：簡單描述系統現狀及項目建設的必要性。——項目建設目標：描述項目建設或軟件開發擬達到的目標。—-項目建設原則：描述項目開發所依賴的主客觀條件。—-具體功能需求：詳細描述每一個具體功能需求。——項目進度要求：列出項目開發的時間要求4.1.2項目組應制定《開發計劃書》并通過項目干系人審核。《開發計劃書》應包括軟硬件結構、軟件性能要求、項目投資估算。并根據業務功能要求及數據治理要求，明確規定信息系統安全控制的要求，考慮整合到信息系統中的自動控制措施和支持人工控制的需要。在對系統驗證時應考慮：a)系統的安全特性及對現有系統安全的影響；ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第32頁共161頁b)系統容量的要求；c)由于系統安全的失效或缺失所帶來的業務破壞；d)設計過程中的安全控制要求。4.1.3如果僅是購買產品和軟件，在與供應商的合同中應提出已經識別的安全需求，有經過正式的測試說明。當產品和軟件的安全功能不能滿足指定的需求時，應在購買產品前進行風險評估和采取相關的控制措施。如果提供的附加功能引起安全風險，應對提議的控制結構進行評審以決定是否能從增強的功能中獲得利益。4.1.4《開發計劃書》和《信息系統開發需求書》應報綜合部經理批準。4.2.1綜合部按公司采購管理的要求選擇硬件供應商和/或軟件開發商。4.2.2硬件供應商和/或軟件開發商以及他們提供的產品和服務的控制按照《供應商管理程序》進行。4.3方案的確定和實施4.3.1《開發計劃書》審批后提交給各項目組。各項目組根據《信息系統開發需求書》,負責平臺的搭建等一系列環境準備工作。4.3.2應防止應用系統中的信息的錯誤、遺失、未授權的修改及誤用。在確定《信息系統開發需求書》時應考慮：a)應用系統內應設計合適的控制措施以確保正確處理。這些控制措施應包括對輸入數據、內部處理和輸出數據的驗證；b)識別確保真實性和保護消息完整性的要求，必要時采取適當的控制措施；c)使用密碼控制措施來保護信息，使用密碼時，應基于風險評估，確定需要的保護級別，并考慮需要的加密算法的類型、強度和質量，并符合《信息系統開發控制程序》的要求；4.3.4質量保證人員應監督軟件開發商按合同條款進行相關的開發或者部署。4.3.5綜合部負責信息系統的研發和實施。4.3.6如果需要對《開發計劃書》變更時，項目組應提出變更申請，經綜合部審核批準后實施。4.4系統測試和上線運行4.4.1系統正式上線前需進行測試，在測試前根據設計方案或合同要求等制訂測試驗收方案，在測試驗收過程中詳細記錄測試驗收結果。測試應按《信息系統開發需求書上的功能逐項進行，從中發現不滿足用戶需求的問題，確定開發的軟件是否合格，能否交付使用等。4.4.2測試應形成《測試報告》,包括測試計劃、測試用例和測試結果。綜合部全程參與，應注意對應用系統輸出的數據進行認真核對，對于關鍵或重要的輸出數據應由相應的作業流程所規定的人員進行確認。4.4.3需要提供業務操作手冊時由綜合部根據相關技術設計文檔、完成業務操作手冊及系統維護的文檔，并組織對相關人員進行培訓。4.4.4系統試運行。在軟件安裝在生產環境之前應檢測軟件包中可能存在的惡意代碼。綜合部門在試運行期間，應將使用中存在的問題及時反饋給綜合部進行協調修改。試運行結束后，應形成正式的《驗收報告》,由公司相關部門簽字認可。ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第33頁共161頁4.4.5正式上線。系統從試運行轉為正式投入使用，轉由綜合部負責系統的平穩運行和維護，并由綜合部對軟件版本的更新進行控制和管理。4.5信息系統交付4.5.1信息系統交付時，應根據用戶需求規定要求提供軟件源代碼，并審查軟件中可能存在的后門，4.5.2信息系統交付時，應制定詳細的《信息系統交付清單》,并根據交付清單對所交接的設備、外4.6系統文件的安全4.6.1在運行系統上安裝軟件應考慮：d)軟件的舊版本，連同所有需要的信息和參數、程序、配置細節，以及歸檔中保留有數據的支4.6.2應認真地選擇、保護和控制測試數據。應避免使用包含個人信息或其它秘密信息的運行數據庫用于測試。4.6.3不允許任何人以任何方式訪問程序源代碼。4.7變更管理4.7.1變更分類本公司涉及的變更分為以下幾類：a.信息系統網絡、信息處理設施的變更。b.操作系統變更。c.應用系統變更。4.7.2變更的策劃當信息系統需要變更時，應先分析其變更原因，公司信息系統變更主要有以下幾個方面：a.IT設備的維修、升級或更換，按《變更管理程序》進行控制。b.操作系統的升級或更換。c.應用系統的升級或更換。d.數據庫系統升級或更換。在明確變更原因后，綜合部負責對變更進行策劃，提出變更具體實施的《變更跟蹤表》,交由綜合部經理審批。對于重要設備和網絡系統的重大變更，應對變更影響進行評價：a.變更實施前，由綜合部及相關應用部門提出變更預期目的及影響預測，交總經理審核。b.變更實施后，首先由綜合部對變更的實際影響進行評估，提交總經理進行影響評估。c.變更實施后，應用部門和用戶對變更產生的影響進行評估，并將意見反饋給綜合部。4.7.3變更的實施變更實施前，綜合部負責將變更的信息傳達到所有相關用戶。ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第34頁共161頁軟件版本的升級，應同時按《信息系統開發控制程序》進行。應當由經過培訓的管理員，根據授權來執行操作系統軟件、應用程序軟件和程序庫的升級或更新。操作系統軟件、應用程序軟件和程序庫的升級或更新前，應進行數據備份，包括數據、程序和具體配置。變更如果影響業務連續性計劃，應對業務連續性計劃做適當調整或改變。在變更過程中，應采取措施防止信息泄漏(防止隱蔽通道或特洛伊木馬等)。4.7.4變更不成功的恢復措施在變更實施時，需要時刻注意對應用系統造成的影響，如影響超出可控范圍，需停止變更，并將系統恢復到變更前的狀態。在變更實施后，由綜合部和各應用管理部門及用戶對變更的影響作出測試或評估，確保對業務連續性和安全沒有不利影響。如評估結果為變更不成功，則應啟動變更恢復措施，將變更還原。4.7.5軟件包的變更軟件包更改時，應保留原始軟件，并在完全一樣的復制軟件上進行更改，更改實施前應得到綜合部和應用系統主管部門的授權。項目實施過程中，可以根據客戶要求進行形成項目實施記錄文件，但實施內容應遵循本控制程序。6引用文件《供應商管理規定》《信息系統開發控制程序》《變更管理程序》無**信息科技有限公司ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第35頁共161頁日期擬制審核數據治理管理體系程序文件首次發布陳文學黃偉**信息科技有限公司對本文件資料享受著作權及其它專屬權利，未經書面許可，不得將該等文件資料(其全部或任何部分)披露予任何第三方，或進行ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第36頁共161頁目錄 2范圍 3職責 3.1數據治理小組 3.3其他各部門 4相關文件 5.1年度內審計劃 5.4糾正措施與跟蹤審核 5.5審核報告 405.6外部審核 406記錄 41不符合項報告 41ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第37頁共161頁為明確數據治理管理體系內審的實施方法，保證內審定期有效地實施，為管理評審和持續改進提供依據，確保數據治理管理體系的有效運行，特制定本程序。2范圍本程序適用于本公司數據治理管理體系內部審核(簡稱：內審)工作的實施和管理。負責制定年度審核計劃與每次的審核計劃，制定內審檢查表以供各部門檢查各項活動是否在數據治理保障內；3.2數據治理小組任命內部審核小組可以進行內審；負責管理和監督內審的進行與內審結果的確認。3.3其他各部門配合內部審核小組進行內審，對內審中發現的問題進行整改。4相關文件《數據治理管理手冊》ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第38頁共161頁5.1年度內審計劃數據治理小組制定年度審核計劃，確認當年年度的審核的目的范圍，受審部門及受審的時間安排。交由管理代表審批。內部審核計劃和方案，應該評估審核過程中的風險，該審核方案應該考慮在執行的過程中數據治理的風險，審計方案應該得到管理者批準。5.2.1內審時機內部審核原則上每年進行1次，由數據治理小組制定《內部審核計劃》,經管理者代表批準后實施；若在非內審期內發現特殊情況，如有重要數據治理事件發生，或公司重要業務發生變化，可由綜合部申請增加內審的次數，由管理者代表決定是否進行內審。每次審核前，由數據治理小組組織內部審核人員參加數據治理審核工作。數據治理小組應制定《內部審核計劃》及《內部審核方案》,經管理者代表批準，并由數據治理小組通知被審核部門，被審核部門到時應選派有關人員配合審核。資格要求內部審核員必須是熟悉本組織業務和信息系統情況，參加數據治理管理體系內部審核員培訓并考核合格的本組織人員。內部審核員應來自于不同的職能部門，審核人員應與被審活動無直接責任，以保持工作的獨立性。ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第39頁共161頁數據治理小組選擇符合內部審核條件的人員，派往相關機構進行培訓合格后，填寫《內部審核員評定表》,由綜合部組織各部門代表評定合格后方可成為內部審核員。數據治理管理體系內部審核員為關鍵崗位，應按《數據治理重要崗位評定表》進行評定。5.3內部審核的實施內部審核員應按《內部審核計劃》規定實施審核，各有關部門應積極配合。對審核中發現的不符合項，由內部審核員開出《不符合項報告及糾正報告單》5.4糾正措施與跟蹤審核所有不符合項應由不符合項的責任部門負責按以下要求制定糾正措施并認真實施：o)檢查本部門其他方面和其他各部門是否存在類似情況；p)對所有存在的不符合的問題按有關規定改正過來；q)調查產生該不符合項的原因，填入《不符合項報告及糾正報告單》的"產生不符合項的原因"欄內，調查人要簽字，并寫明日期；r)列明消除不符合項產生原因的措施計劃，并說明具體步驟及完成日期，填入《不符合項報告及糾正報告單》的“糾正措施”欄內，經部門領導批準，并寫明日期；s)按制定的糾正措施認真實施，并將實施結果記入《不符合項報告及糾正報告單》的“實施結果”欄內，記錄人要簽字，并寫明日期。內部審核員在規定期限進行跟蹤審核，對糾正措施的實施及有效性進行驗證，并將驗證結果記入《不ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第40頁共161頁5.5審核報告內部審核結束后，審核組長應起草《內部審核報告》,編制《不符合項報告及糾正報告單分布表》。內部審核的結果應作為管理評審輸入的一部分。數據治理小組應妥善保存評審記錄。5.6外部審核5.6.1外部審核時機當在如下情況下可能會邀請外部機構對公司進行審核：1、當組織需要對數據治理體系進行評估審核時2、當技術安全需要時，如研發的某些重要軟件，需要邀請外部評估機構對系統的安全性做一些安全性方面的評估。1、當要開展外部審核時，應該制定審核計劃和方案，應該評估審核過程中的風險，該審核方案應該考慮在執行的過程中數據治理的風險，審計方案應該得到管理者批準。2、需要同第三方審核單位簽訂相關保密協議。當在審計過程中，需要使用某些工具時(如漏洞搜索軟件、黑客軟件等),這些審核工具的使用需要得到限制，除非授權的專業人員外，其他人員禁止安裝和使用。ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第41頁共161頁不符合項報告審核組長(成員)任命書內部審核員評定表內部審核計劃內審簽到表內審檢查表內部審核報告內部審核報告發放記錄日期擬制審核數據治理管理體系程序文件首次發布陳文學黃偉**信息科技有限公司⑧版權所有○ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第42頁共161頁**信息科技有限公司對本文件資料享受著作權及其它專屬權利，未經書件資料(其全部或任何部分)披露予任何第三方，或進行修改后使用。 42 43 46記錄- ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第43頁共161頁為確保組織數據治理管理體系持續的適宜性、充分性和有效性，評估組織數據治理管理體系改進和變更的需要，特制定本程序。2范圍本程序適用于對數據治理管理體系中要求進行的管理評審的實施程序的管理。3.1總經理主持數據治理管理體系管理評審。3.2數據治理小組負責信數據治理管理體系管理評審的歸口管理。4相關文件《數據治理管理手冊》《文件控制程序》《記錄控制程序》ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第44頁共161頁5程序管理評審由管理者代表主持，通常每年進行一次，一般在內部審核后一至兩個月內進行。當遇到下列情況時，可不受的限制，由數據治理小組制定計劃，報管理者代表批準后實施：t)當出現重大數據治理事件時；u)當數據治理管理體系發生較大變化時；v)當客戶要求或外部環境條件發生重大變化時；w)內部審核、客戶審核或ISO/IEC38505外部審核時，發現了對全組織有影響，屬數據治理管理體系上的重大不符合事項時。管理評審以專題會議的方式進行，由管理者代表主持管理評審，評審會議由管理者代表、綜合部、相關部門負責人參加，必要時可吸收對應專業管理人員參加。數據治理小組根據要求組織編制《管理評審計劃》,報管理者代表批準后，提前一周下發至各相關部相關部門按《管理評審計劃》要求，對照數據治理管理體系運行情況進行自評，按各自職責做好相關信息、資料的準備工作，并將有關信息、資料于管理評審會議召開前3天提供給綜合部。**信息科技有限公司ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第45頁共161頁評審前1天交綜合部審核。管理評審會議召開前1天，綜合部應安排好會議的議程，通過管理者代表批準后填寫《管理評審通知單》,并發放至評審計劃要求參加的各相關部門(人員)。5.2管理評審輸入各相關部門接到《管理評審計劃》后應向綜合部提供如下材料和信息：b)內、外部審核結果和合規性評價的結果；c)客戶反饋(客戶滿意度測量結果、客戶投訴、客戶抱怨、投訴和抱怨的處理結果);d)改進數據治理管理體系績效的技術、產品和程序；i)可能影響數據治理管理體系的變更的情況(如：內部員工的變化，法律、法規的變化，組織機構或產品、活動的變化，外部環境的變化等);j)數據治理管理體系變更和改進的建議。ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第46頁共161頁5.3管理評審會議數據治理小組組織召開管理評審會議，與會人員在《管理評審會議簽到表》上簽到。總經理主持召開管理評審會議，綜合部提交《數據治理管理體系運行情況報告》,作數據治理管理體系運行情況的專題報告。全體與會人員根據綜合部的專題報告，討論并評審數據治理管理體系的適宜性、充分性和有效性。管理者代表對管理評審作結論性評價，提出要求和決策。數據治理小組負責管理評審現場記錄，形成《管理評審會議記錄》。5.4管理評審輸出數據治理小組根據《管理評審會議記錄》編寫《管理評審報告》。《管理評審報告》包括以下內容：a)管理評審的目的、時間、參加人員及評審內容；b)數據治理管理體系的適用性、充分性、有效性的綜合評價和需要改進的地方；c)方針、目標、指標適宜性的評價及需要的更改；d)風險評估和風險處理計劃的更新要求；e)修訂程序和控制措施的需求；f)管理評審確定的改進決定和措施、責任部門和完成日期。ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第47頁共161頁《管理評審報告》經數據治理小組審核后交管理者代表批準。數據治理小組將經過管理者代表批準的《管理評審報告》以文件形式下發各部門并存檔。5.5改進和驗證根據《管理評審報告》提出的要求，數據治理小組組織各相關部門制定改進措施計劃，并對實施情況進行協調、監督、檢查。《管理評審報告》要求進行文件修改的，由數據治理小組按《文件控制程序》執行。數據治理小組組織相關職能部門對確定的糾正與預防改進措施的實施情況進行跟蹤檢查，并做好記錄。管理評審資料、文件和記錄按《記錄控制程序》的要求歸檔和保管。《管理評審計劃》《數據治理管理體系運行情況報告》《管理評審會議簽到表》《管理評審會議記錄》《管理評審報告》《管理評審改進措施實施計劃》《培訓記錄表(管理評審改進項)》**信息科技有限公司ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第48頁共161頁日期擬制審核數據治理管理體系程序文件首次發布陳文學黃偉ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第49頁共161頁**信息科技有限公司對本文件資料享受著作權及其它專屬權利，未經文件資料(其全部或任何部分)披露予任何第三方，或進行修改后使用。目錄 49 2范圍 3職責 5.2文檔 5.4計算機硬件設備 5.5計算機系統和軟件 5.6重要崗位和人員 5.8無形資產 5.9數據資產的密級 ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第50頁共161頁為對組織的各類數據進行分類管理，防止因不恰當使用或泄漏，特制定本程序。2范圍本程序適用于組織業務活動中產生的各類數據的分類管理。負責組織各類數據的分類管理。4相關文件《中華人民共和國保守國家秘密法》《數據治理管理手冊》5程序數據資產是組織數據治理所保護的有價值的任何事物，以多種形式存在，組織對數據資產進行科學識別，以便于進行數據資產的管理。ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第51頁共161頁組織的數據資產包括：硬件、軟件、人員、數據。5.2文檔文檔是指涉及組織秘密或機密的紙質的各種文件、記錄、測試數據、方案、計劃、報告、合同、會議紀要等。對涉密文檔應進行識別，填入《數據資產清單》。5.4計算機硬件設備計算機硬件設備包括個人計算機、計算機附件(如打印機、掃描儀、傳真機、電話機)和網絡設備(如防火墻、服務器、交換機等)。5.4.2識別對所有個人計算機應進行識別，填入《資產清單》。對計算機系統和軟件應進行識別和管理，填入《資產清單》。ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第52頁共161頁5.6重要崗位和人員各部門應識別重要崗位，填寫《數據治理重要崗位一覽表》。5.6.2人員配備綜合部負責為重要崗位配備人員，并將人員信息填入《數據治理重要崗位一覽表》。綜合部負責識別重要安全區域，制定控制方案。數據治理小組應識別組織的專有技術和專利產權，編制《專有技術一覽表》、《專利產權一覽表》。5.9數據資產的密級數據資產的密級分為：絕密、機密、秘密、秘密和一般共5類：a)“絕密”:不可對外公開、若泄露或被篡改會對本組織的生產經營造成特別嚴重損害的事項；b)“機密”:是指不可對外公開、若泄露或被篡改會對本組織的業務造成嚴重損害，或者由于業務上的需要僅限有關人員知道的事項；c)“秘密”:是指不可對外公開、若泄露或被篡改會對本組織的業務造成損害，或者由于業務上的需要僅限有關人員知道的事項；d)“秘密”:是指為了日常的業務能順利進行而向組織內部員工公開、但不可向組織以外人員隨意公開的事項；e)“一般”是指可向組織以外人員隨意公開的事項。**信息科技有限公司ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第53頁共161頁無日期擬制審核數據治理管理體系程序文件首次發布陳文學黃偉ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第54頁共161頁**信息科技有限公司對本文件資料享受著作權及其它專屬權利，未經書面資料(其全部或任何部分)披露予任何第三方，或進行目錄 2范圍 553職責 3.1公司數據治理小組 3.2各相關部門 4程序 4.1總則 4.2.1公司商業密級定義 4.2.2商業密級分類 4.2.3商業絕密 4.2.4商業機密 4.2.5商業秘密 4.2.6秘密信息(內部公開事項) 4.2.8商業密級評估 4.2.9商業密級的確定策略 4.3商業涉密文件的標識、制發 4.4涉密信息(文件資料)的管理 4.5物業服務過程的保密管理 4.6會議保密規定 4.7宣傳報道的保密規定 4.8通信保密規定 4.9網站管理 4.10事件處理 60 61 ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第55頁共161頁為了加強公司的數據治理管理，提高員工的保密意識，保護公司的商業秘密，特制定本程序。2范圍適用于對公司商業保密管理的所有活動。對國家秘密保密管理按照公司涉及國家秘密的相關管理制度執行。3職責負責公司商業秘密的管理工作。包括密級的確定，保密措施的檢查及評估等。3.2各相關部門負責本部門商業秘密的管理工作，負責將相關保密資料的傳閱、收集、整理。4.1總則4.1.1公司商業秘密屬于公司資產，受法律保護，公司所有員工均有保密義務。各部門應對工作人員，特別是新參加工作的人員進行保密教育。4.1.2數據治理小組應組織各部門對公司的涉密信息進行識別，并進行風險評估和風險管理。4.1.3各部門對外發送的任何涉密信息，須由本部門領導初審，數據治理負責領導審核，總經理批準方可外送。ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第56頁共161頁4.2商業密級的分類4.2.1公司商業密級定義公司的秘密是指關系公司發展和經濟利益，泄露后會給企業帶來損失，甚至重大損失的有關事項(信息)。企業秘密在一定時間內僅限一定范圍內相關業務人員知悉。4.2.2商業密級分類公司秘密等級分為商業絕密信息、商業機密信息、商業秘密信息、秘密信息(內部公開事項)四個等級。4.2.3商業絕密指涉及技術、商業等對企業發展產生較嚴重影響的重要秘密，泄露后會使企業利益遭受嚴重損害。商業絕密級秘密的范圍：1)通過特殊渠道獲得的對企業經營重要影響作用的技術、商務資料。2)本公司的自主創新與發明成果，本公司研究開發或引進開發的新項目和技術訣竅等3)尚未公開的或處于保密階段的商業計劃、市場戰略、重大技改方案、可行性研究報告、項目招標標底等。4)文件法律中規定所有屬于絕密的各類文件。4.2.4商業機密涉及公司發展的一般秘密，泄露后會使公司利益遭受一定的損害。商業機密級秘密的范圍：1)重要的營銷策略、營銷渠道、重要客戶資料、尚未公開的價格及經營信息。2)公司的整體企劃、正式合同和協議、開發的軟件文檔、代碼、數據及其他資料、重要會議的記錄、物業服務過程和品質管理的相關資料。3)還未確定的重要人事調整和委任狀況、針對于領導層的績效資料。4)公司印章、月份·季度·年度財務預算和決算報告以及各財務、統計報告表、PC密碼、重要ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第57頁共161頁硬盤、磁帶內容和保存場所。5)其他涉及影響公司發展與信譽形象的重要信息。4.2.5商業秘密1)本企業非重要密級產品的生產開發能力、作業指導書、控制指標、生產成本等各種技術資料。2)規定不得外傳的行業交流資料，統計數據等。3)勞資統計報表、人事信息檔案等。4)各部門涉及公司非重要密級技術、商務方面的基礎臺帳及統計的報表、數據等。5)公司調查的非法事件及責任人的狀況和記錄文件。6)綜合部、綜合部的安全保障的措施。7)文件法律中所規定所有屬于秘密的各類文件。4.2.6秘密信息(內部公開事項)為了日常的業務能順利進行而向公司員工公開、但暫不可向公司以外人員隨意公開的事項。主要1)體系文件及相關資料等。2)客戶的調查、市場狀況的預測。3)各設備的說明書、設計書、資料、技術通知及文件等。4)各檢查表和檢查結果。5)公司的各管理規定和通知。6)公司其它僅限于內部公開的事項。“一般”是指可向組織以外人員隨意公開的事項4.2.8商業密級評估對于關鍵的或顧客有嚴格保密要求的商業秘密，經過風險評估，可設立商業絕密等級，商業絕密等級的標識和控制要求，由公司數據治理小組制定風險控制方案和計劃，按風險控制方案和計劃進行ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第58頁共161頁管理。誰起草誰定密，部門領導審核，批準人員把關。商業涉密文件一經授權人員批準，其密級和保密期限即正式生效。起草人員對自己起草的信息需確定密級時，應隨時詢問領導。后者對前者的請求應及時給予明確的判定。無法判明時，可請示更高一級領導。4.3.1各部門產生的商業秘密事項應按確定的密級和保密期限，做好密級標識或加蓋識別印章，秘密信息事項不作標識。識別標識應標記在文件首頁左上方。4.3.2商業秘密解除或變更加蓋解除或變更識別印章，加蓋在秘級印章下方。4.3.3采用電磁等媒體記錄的秘密文件，應在其包裝盒上明顯的位置用標簽標明密級管理分類，使用的印章同上；計算機中儲存的涉密文件，應在文件夾名后加—M后綴，并設置訪問密碼，文件夾不得共享。4.3.4制作密件過程中形成的草稿、修改稿、電子文件等，凡需要保存的，應當按正式密件的密級和保密期限管理。不需保存的，必須粉碎銷毀，電子文件應刪除。4.3.5公司涉密文件一般不得委托外單位印刷和制作。必需到印刷廠印刷的密級資料，須經數據治理小組批準，并在公司專人監督下到指定的印刷廠印制，嚴格控制印刷份數，并應與指定的印刷廠簽署包括保密內容的協議。4.3.6應制定《涉密信息識別印章制作方案》,按方案制作涉密信息識別印章。4.4涉密信息(文件資料)的管理4.4.1一般級文件、資料，由發放部門根據工作需要，確定發放范圍。分發給各部門，有保密級的文件、資料必須登記，落實到專人管理，妥善保存，限期收回。因工作關系所獲得的有關秘密資料，涉及人員應妥善保管，個人不得帶到家里和公共場所，不得對外泄密。4.4.2涉密文件、記錄、磁盤、光盤或其它存貯媒體在不用時，應放在上鎖的文件柜、保險柜或其它形式的保險家具中，指定專人負責該鑰匙的保管。ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第59頁共161頁4.4.3電腦終端應按《計算機管理程序》的規定保證桌面安全。含有打印機、復印機、傳真機或其它能夠輸出、復制或傳輸的信息處理設施的綜合部或場所在人員不在時，應將門上鎖。4.4.4服務器終端在不用時實行鎖屏，屏幕保護程序設定時間不大于5分鐘。4.4.5在網絡中(Web服務器上)供內部職工使用的文檔，宜以PDF或WORD保護文檔形式供企業內部職工查詢。4.4.6因工作需要借閱涉密文件材料的，需填寫《文件借閱登記表》。借閱人應妥善保管涉密文件，用后及時歸還。4.4.7對超越保管期限、沒有保存價值的文件材料(包括各部門在工作中形成的文件、記錄),文件由發放部門負責回收，記錄由保管部門匯集，填寫《文件銷毀記錄》,報分管領導批準后，由兩人以上在指定的場所實行監銷，并做好監銷記錄。4.4.8員工在退休、調離、換崗時必須將全部文檔資料交給本部門負責人，不得私自帶走或私自處理。各部門加強本部門內信息資產的控制，在員工的文檔資料全部收回后，方可為員工辦理退休、離職、換崗的相關手續。4.5.1數據服務過程的涉密信息包括初始階段的信息、中期階段的信息、收尾階段的信息。4.5.2綜合部應對數據服務過程的涉密信息進行識別，并進行風險評估和風險管理。4.5.3反映顧客要求的文件，應為書面文件，并經雙方簽署，做好密級標識，按本程序妥善保存。4.5.5數據服務過程其他需交付給顧客的文件，應按顧客要求的方式交付給顧客。交付前，綜合部應填寫《信息系統交付清單》,經主管副總經理批準后交付。4.5.6采用電子郵件交付時，應按雙方約定進行加密。4.6會議保密規定4.6.1凡牽涉秘密的會議，會議組織人員根據需要，嚴格確定出席、列席會議人員。4.6.2任何參會人員不得向外泄露會議內容。4.6.3重要秘密內容，不印制文件，也不作記錄。4.6.4會議文件要劃定密級，統一編號，按照規定的范圍印發和傳達。會議結束時，對文件、資料進ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風險管理程序版本：A/0第60頁共161頁行清點，應收回的要全部收回。4.7宣傳報道的保密規定4.7.1對外宣傳、投稿、發表論文以及本公司刊物報道中，不得泄露本公司秘密，在宣傳報道中有可能涉及到本公司的某些機密時，應對報道內容進行適當處理，所有對外宣傳稿件、涉及公司技術內容的發表論文需經公司保密管理小組審核，總經理批準后蓋公司印章方可對外發布。4.7.2在接待工作中，應嚴格遵守公司的接待規定，外來人員需訪問公司現場時，填寫《外來人員出入登記表》后，由前臺接待人員聯系被訪人員，并由前臺接待人員將外來人員帶入指定區域。遇到需要保密的問題時，應主動及時向主管領導請示，防止以參觀為名竊取情報的事情發生。4.8通信保密規定4.8.1嚴禁用普通郵政、明碼電報、普通傳真、普通電話等傳遞涉密事項。公司各部門需發送涉密文件的，統一由綜合部辦理。4.8.2特別情況下，必須用電話通知時，在用語上要加以注意。一般秘密內容如果發傳真，應當加密。4.8.3使用電子郵件通信應按《電子郵件策略》規定的公司電子郵箱使用策略執行。4.9網站管理4.9.1公司網站由綜合部負責維護其內容更新，后臺數據的由綜合部負責維護。4.9.2信息的發布，經過主管副總或總經理批準，由綜合部進行更新。4.10.1發現丟失密級文件、資料或泄密，應按《數據治理事件管理程序》,及時報告數據治理負責人，并采取必要的補救措施，對當事人要教育、批評，嚴肅處理。4.10.2對員工及相關方違反公司策略、程序、保密協議條款，以及泄露秘密的情況視情節輕重，按《數據