(完整版)信息安全手冊(cè)

1、XXXXXXXX 有限公司信息安全管理手冊(cè)文件密級(jí)：內(nèi)部公開目錄1目的52范圍53總體安全目標(biāo)54信息安全55信息安全組織55.1 信息安全組織55.2 信息安全職責(zé)65.3 信息安全操作流程 76信息資產(chǎn)分類與控制86.1 信息資產(chǎn)所有人責(zé)任 86.1.1 信息資產(chǎn)分類 86.1.2 信息資產(chǎn)密級(jí)96.2 信息資產(chǎn)的標(biāo)識(shí)和處理 97人員的安全管理107.1 聘用條款和保密協(xié)議 107.1.1 聘用條款中員工的信息安全責(zé)任 107.1.2 商業(yè)秘密117.2 人員背景審查127.2.1 審查流程137.2.2 員工背景調(diào)查表137.3 員工培訓(xùn)147.3.1 培訓(xùn)周期 147.3.2 培訓(xùn)效果

2、檢查147.4 人員離職157.4.1 離職人員信息交接流程 157.5 違規(guī)處理157.5.1 信息安全違規(guī)級(jí)別 157.5.2 信息安全違規(guī)處理流程 167.5.3 違規(guī)事件處理流程圖 178物理安全策略178.1 場(chǎng)地安全178.1.1 FBI受控區(qū)域的劃分 188.1.1.1 受控區(qū)域級(jí)別劃分 188.1.1.2 重要區(qū)域及受控區(qū)域管理責(zé)任劃分 188.1.1.3 物理隔離 188.1.2 出入控制198.1.3 名詞解釋198.1.4 人員管理 198.1.4.1 人員進(jìn)出管理流程 198.1.4.1.1 公司員工 198.1.4.1.2 來訪人員 208.1.5 卡證管理規(guī)定 23

3、8.1.5.1 卡證分類238.1.5.2 卡證申請(qǐng)238.1.5.3 卡證權(quán)限管理248.2 設(shè)備安全248.2.1 設(shè)備安全規(guī)定248.2.2 設(shè)備進(jìn)出管理流程 268.2.2.1 設(shè)備進(jìn)場(chǎng)268.2.2.2 設(shè)備出場(chǎng) 278.2.3BBB辦公設(shè)備進(jìn)出管理流程 281.1.1 .1設(shè)備進(jìn)場(chǎng)281.1.2 .2設(shè)備出場(chǎng)298.2.4 特殊存儲(chǔ)設(shè)備介質(zhì)管理規(guī)定 308.2.5 FBI場(chǎng)地設(shè)備加封規(guī)定 318.2.6 FBI場(chǎng)地設(shè)備報(bào)修處理流程 319 IT安全管理319.1 網(wǎng)絡(luò)安全管理規(guī)定 319.2 系統(tǒng)安全管理規(guī)定 329.3 病毒處理管理流程 329.4 權(quán)限管理339.4.1 權(quán)限管

4、理規(guī)定339.4.2 配置管理規(guī)定339.4.3 員工權(quán)限矩陣圖 359.5 數(shù)據(jù)傳車俞規(guī)定 369.6 業(yè)務(wù)連續(xù)性369.7 FBI機(jī)房、實(shí)驗(yàn)室管理 379.7.1 門禁系統(tǒng)管理規(guī)定 379.7.2 服務(wù)器管理規(guī)定 379.7.3 網(wǎng)絡(luò)管理規(guī)定 389.7.4 監(jiān)控管理規(guī)定 389.7.5 其它管理規(guī)定3810信息安全事件和風(fēng)險(xiǎn)處理 3910.1 信息安全事件調(diào)查流程 3910.1.1 信息安全事彳牛的分類 3910.1.2 信息安全事彳牛的分級(jí) 3910.1.3 安全事件調(diào)查流程 4010.1.3.1 一級(jí)安全事件處理流程 4010.1.3.2 二級(jí)安全事件處理流程 4110.1.3.3

5、三級(jí)安全事件處理流程 4210.1.4 信息安全事件的統(tǒng)計(jì)分析和審計(jì) 4211檢查、監(jiān)控和審計(jì) 4311.1 檢查規(guī)定4311.2 監(jiān)控4311.2.1 視頻監(jiān)控4311.2.2 系統(tǒng)、網(wǎng)絡(luò)監(jiān)控 4411.3 審計(jì)4611.3.1 審計(jì)規(guī)定4611.3.2 審計(jì)內(nèi)容 4612獎(jiǎng)勵(lì)與處罰4612.1 獎(jiǎng)勵(lì)4612.1.1 獎(jiǎng)勵(lì)等級(jí)4712.2 處罰4712.2.1處罰等級(jí)47一級(jí)處罰47常見一級(jí)處罰47二級(jí)處罰48常見二級(jí)處罰48三級(jí)處罰48常見三級(jí)處罰48四級(jí)處罰49常見四級(jí)處罰4910未經(jīng)許可，不得擴(kuò)散目的為了規(guī)范和明確 XXXXXXXX 有限公司業(yè)務(wù)發(fā)展的信息安全管理方面的總體要求，特制定

6、本規(guī)定。 確保我司BBB項(xiàng)目符合BBB信息安全管理要求；有效保護(hù)雙方利益和和信息資產(chǎn)安全，特制定此規(guī)定。2范圍本規(guī)定適用于 XXXXXXXX 有限公司各部門及全體員工。3總體安全目標(biāo)建立符合要求的信息安全管理體系，確保離岸外包項(xiàng)目運(yùn)作中的信息安全，防止公司及客戶的技術(shù) 秘密、商業(yè)秘密的泄露，保障公司外包業(yè)務(wù)的順利發(fā)展。4信息安全信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因 而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不被中斷。5信息安全組織5.1 信息安全組織為了響應(yīng)公司外包業(yè)務(wù)的離岸政策、適應(yīng)外包業(yè)務(wù)發(fā)展方向、使業(yè)務(wù)能夠順利回遷，建立符合公司

7、 及客戶要求的信息安全管理體系，保證業(yè)務(wù)離岸后的順利開展，本著尊重知識(shí)產(chǎn)權(quán)、維護(hù)公司、客戶的 商業(yè)利益、為客戶的業(yè)務(wù)開展提供最安全的保障服務(wù)。經(jīng)公司研究決定成立信息安全管理組，各地域或 場(chǎng)地可參照成立信息安全小組。5.2 信息安全職責(zé)信息安全主任：根據(jù)公司信息安全要求及業(yè)務(wù)發(fā)展需求，對(duì)信息安全相關(guān)事務(wù)進(jìn)行支持、決策，確保外包項(xiàng)目的信息安全，對(duì)所承接的BBB外包服務(wù)業(yè)務(wù)的信息安全負(fù)責(zé)。信息安全專員：建立信息安全組織，作為信息安全管理人員負(fù)責(zé)建立和維護(hù)ISMS （InformationSecurity Management System信息安全管理體系）負(fù)責(zé)組織信息安全管理規(guī)定、標(biāo)準(zhǔn)和流程的制定、

8、推行、檢查和安全事件調(diào)查工作。機(jī)要員：主要負(fù)責(zé)執(zhí)行信息安全制度中規(guī)定的及信息安全專員的指令，一個(gè)地域只有一個(gè)機(jī)要員，通常重要區(qū)域的鑰匙、密碼、門禁卡由其負(fù)責(zé)保管，所有物品出入FBI場(chǎng)地必須由機(jī)要員進(jìn)行確認(rèn)檢查，并做好相關(guān)的記錄。安全崗：執(zhí)行信息安全制度中規(guī)定的及信息安全專員的指令，根據(jù)信息安全制度的相關(guān)規(guī)定，執(zhí)行檢查、登記出入 FBI場(chǎng)地人員及攜帶的物品，負(fù)責(zé)維護(hù)責(zé)任區(qū)域的安全。當(dāng)有人員及人員攜帶物品強(qiáng) 行出入FBI場(chǎng)地的時(shí)候，安全崗人員必須立即制止。IT專員：主要負(fù)責(zé)執(zhí)行信息安全制度中規(guī)定的及信息安全專員的指令，協(xié)助信息安全機(jī)要員做好信息安全方面的技術(shù)工作，F(xiàn)BI場(chǎng)地的機(jī)房網(wǎng)絡(luò)、內(nèi)外郵箱的設(shè)

9、置，設(shè)備出場(chǎng)的數(shù)據(jù)處理，進(jìn)場(chǎng)設(shè)備的存儲(chǔ)、端口的處理，信息安全技術(shù)工作方面的改進(jìn)、優(yōu)化?？ㄗC專員：主要執(zhí)行規(guī)范公司員工及外來人員的出入卡證發(fā)放和門禁系統(tǒng)授權(quán)管理工作。根據(jù)信息安全制度的相關(guān)規(guī)定，結(jié)合卡證管理流程及權(quán)限，對(duì)卡證管理實(shí)行員工工卡、臨時(shí)工卡、來賓卡的識(shí)別、 確認(rèn)、登記、門禁授權(quán)、編碼、歸類、注銷等管理流程工作的實(shí)現(xiàn)。部門執(zhí)行主任：主要負(fù)責(zé)本部門下屬的各項(xiàng)目組在 FBI場(chǎng)地信息安全管理工作，并任命項(xiàng)目組中的具體信息安全執(zhí)行負(fù)責(zé)人，配合信息安全管理工作組的工作做好日常的信息安全管理及定期信息安全的 檢查、監(jiān)控和審計(jì)工作。對(duì)部門下屬成員的信息安全違規(guī)、舉報(bào)行為執(zhí)行信息安全管理工作組規(guī)定的獎(jiǎng)

10、勵(lì)和處罰。項(xiàng)目組信息安全員：主要負(fù)責(zé)本項(xiàng)目組內(nèi)人員及設(shè)備的信息安全管理工作，配合信息安全管理工作 組的工作做好日常的信息安全管理及定期信息安全的檢查、監(jiān)控和審計(jì)工作。對(duì)部門下屬成員的信息安 全違規(guī)、舉報(bào)行為執(zhí)行信息安全管理工作組規(guī)定的獎(jiǎng)勵(lì)和處罰。5.3 信息安全操作流程分為：規(guī)劃、執(zhí)行、檢查、改進(jìn)四個(gè)階段，每個(gè)階段都有明確的參與和執(zhí)行責(zé)任人。分別說明如下：規(guī)劃：根據(jù)公司信息安全原則和業(yè)務(wù)發(fā)展的需求，信息安全管理工作組全體成員討論并制定詳細(xì)的 管理流程。一般情況下由需求部門向信息安全專員提出需求，并由信息安全專員召集信息安全管理工作 組的機(jī)要員、IT專員及需求申請(qǐng)部門人員進(jìn)行需求的討論并給出解決

11、方案，方案確定后由信息安全管理 工作組主任進(jìn)行審核、簽發(fā)。執(zhí)行：所有簽發(fā)的管理方案都必須嚴(yán)格執(zhí)行起來，一般情況下由需求部門、個(gè)人向信息安全專員提 出申請(qǐng)，按照申請(qǐng)流程中規(guī)定進(jìn)行操作，涉及到由申請(qǐng)者直接上級(jí)和部門領(lǐng)導(dǎo)審批同意，之后交由信息 安全專員進(jìn)行審核。審核后由機(jī)要員、IT專員、卡證專員進(jìn)行具體的操作和處理，安全崗執(zhí)行人員要看到完整的流程審批以后才可以進(jìn)行放行和記錄。檢查：信息安全管理工作組全體成員定期會(huì)對(duì)FBI場(chǎng)地內(nèi)的物理隔離、門禁權(quán)限、辦公設(shè)備、機(jī)房設(shè)備、FBI實(shí)驗(yàn)室設(shè)備、監(jiān)控記錄及歷史存檔記錄會(huì)同業(yè)務(wù)部門的信息安全執(zhí)行主任進(jìn)行檢查和審計(jì)。并 將結(jié)果以報(bào)告的形式匯報(bào)給信息安全管理工作組主

12、任。對(duì)發(fā)現(xiàn)信息安全方面的違規(guī)問題由信息安全專員 以書面的形式向分公司進(jìn)行發(fā)文進(jìn)行通報(bào)。改進(jìn)：原有管理方案不能繼續(xù)滿足業(yè)務(wù)發(fā)展需求時(shí)，由業(yè)務(wù)部門向信息安全專員提出申請(qǐng)，信息安 全專員召集信息安全管理工作組的全體成員及需求部門進(jìn)行管理方案的改進(jìn)評(píng)審會(huì)議。在檢查中發(fā)現(xiàn)有 信息安全漏洞的，由信息安全專員召集信息安全管理工作組的全體成員及需求部門進(jìn)行管理方案的改進(jìn) 評(píng)審。最終由信息安全主任進(jìn)行審核、簽發(fā)。6信息資產(chǎn)分類與控制為了規(guī)范文檔的保密制度，明確信息資產(chǎn)所有人責(zé)任、信息密級(jí)的劃分，信息資產(chǎn)的識(shí)別。公司所 有文檔，無論是電子件或紙件，必須標(biāo)有文件密級(jí)。文檔密級(jí)應(yīng)出現(xiàn)在文檔頁(yè)眉的醒目位置，頁(yè)腳應(yīng)出 現(xiàn)

13、"未經(jīng)許可，不得擴(kuò)散”的字樣。信息是一種資產(chǎn)，像其它重要的業(yè)務(wù)資產(chǎn)一樣，對(duì)公司具有價(jià)值，因 此需要妥善保護(hù)。6.1 信息資產(chǎn)管理6.1.1 信息資產(chǎn)分類數(shù)據(jù)與文檔：數(shù)據(jù)庫(kù)和數(shù)據(jù)文件、系統(tǒng)文件、用戶手冊(cè)、培訓(xùn)材料、運(yùn)行與支持程序、業(yè)務(wù)持續(xù)性 計(jì)劃、應(yīng)急安排。書面文件：合同、指南、企業(yè)文件、包含重要業(yè)務(wù)結(jié)果的文件。軟件資產(chǎn)：應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和實(shí)用程序。物理資產(chǎn)：計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備、磁介質(zhì)（磁盤與磁帶）6.1.2 信息資產(chǎn)密級(jí)秘密：是指一般的公司秘密，一旦泄露會(huì)使公司和客戶的安全和利益受到一定的危害和損失。內(nèi)部公開：公司各部門、項(xiàng)目組內(nèi)部員工不受限制查閱的信息，未經(jīng)授權(quán)不得隨意外

14、傳。6.2 信息資產(chǎn)的標(biāo)識(shí)和處理6.2.1 落實(shí)資產(chǎn)責(zé)任：為公司的資產(chǎn)提供適當(dāng)?shù)谋Ｗo(hù)，為所有信息財(cái)產(chǎn)確定所有人，并且為維護(hù)適當(dāng) 的管理措施而分配責(zé)任。可以委派執(zhí)行這些管理計(jì)劃的責(zé)任。被提名的資產(chǎn)所有者應(yīng)當(dāng)承擔(dān)保護(hù)資產(chǎn)的 責(zé)任。6.2.2 控制措施一資產(chǎn)的清單：列出并維持一份與每個(gè)信息系統(tǒng)有關(guān)的所有重要資產(chǎn)的清單。在信息 安全體系范圍內(nèi)為資產(chǎn)編制清單是一項(xiàng)重要工作，每項(xiàng)資產(chǎn)都應(yīng)該清晰定義，合理估價(jià)，在組織中明確 資產(chǎn)所有權(quán)關(guān)系，進(jìn)行安全分類，并以文件方式詳細(xì)記錄在案。6.2.3 具體措施包括：公司可根據(jù)業(yè)務(wù)運(yùn)作流程和信息系統(tǒng)基礎(chǔ)架構(gòu)識(shí)別出信息資產(chǎn)，按照信息資產(chǎn) 所屬系統(tǒng)或所在部門列出資產(chǎn)清單，將

15、每項(xiàng)資產(chǎn)的名稱、所處位置、價(jià)值、資產(chǎn)負(fù)責(zé)人等相關(guān)信息記錄 在資產(chǎn)清單上；根據(jù)資產(chǎn)的相對(duì)價(jià)值大小來確定關(guān)鍵信息資產(chǎn)，并對(duì)其進(jìn)行風(fēng)險(xiǎn)評(píng)估以確定適當(dāng)?shù)目刂?措施；對(duì)每一項(xiàng)信息資產(chǎn)，組織的管理者應(yīng)指定專人負(fù)責(zé)其使用和保護(hù)，防止資產(chǎn)被盜、丟失與濫用； 定期對(duì)信息資產(chǎn)進(jìn)行清查盤點(diǎn)，確保資產(chǎn)賬物相符和完好無損。6.2.4 信息的分類：確保信息資產(chǎn)得到適當(dāng)程度的保護(hù)應(yīng)當(dāng)將信息分類，指出其安全保護(hù)的具體要求、優(yōu)先級(jí)和保護(hù)程度。不同信息有不同的敏感性和重要性。有的信息資產(chǎn)可能需要額外保護(hù)或者特殊處理。應(yīng)當(dāng)采用信息分類系統(tǒng)來定義適當(dāng)?shù)陌踩Ｗo(hù)等級(jí)范圍，并傳達(dá)特殊處理措施的需要。6.2.5 控制措施一信息資產(chǎn)分類原則

16、：信息的分類及相關(guān)的保護(hù)控制，應(yīng)適合于公司運(yùn)營(yíng)對(duì)于信息分 享或限制的需要，以及這些需要對(duì)企業(yè)營(yíng)運(yùn)所帶來的影響。信息的分類和相關(guān)保護(hù)措施應(yīng)當(dāng)綜合考慮到 信息共享和信息限制的業(yè)務(wù)需要，還要考慮對(duì)業(yè)務(wù)的影響，例如對(duì)信息未經(jīng)授權(quán)的訪問或者對(duì)信息的破 壞。一般說來，信息分類是一種處理和保護(hù)該信息的簡(jiǎn)捷方法。信息分類時(shí)要注意以下幾點(diǎn)：信息的分 類等級(jí)要合理、信息的保密期限、誰(shuí)對(duì)信息的分類負(fù)責(zé)。6.2.6 控制措施一信息的標(biāo)識(shí)與處理：應(yīng)當(dāng)制定信息標(biāo)識(shí)及處理的程序，以符合公司所采用的分類法 則。為信息標(biāo)識(shí)和處理定義一個(gè)符合組織分類標(biāo)準(zhǔn)的處理程序是非常重要的。這些程序要涵蓋實(shí)物形式 和電子形式的信息。對(duì)于每種分

17、類，應(yīng)當(dāng)包含以下信息處理活動(dòng)的程序：復(fù)制、存儲(chǔ)、通過郵局、傳真 和電子郵件的信息發(fā)送、通過口頭語(yǔ)言的信息傳遞，包括通過移動(dòng)電話、語(yǔ)音郵件和錄音電話傳送的信息、銷毀。對(duì)于那些含有被劃定為敏感或者重要信息的應(yīng)用系統(tǒng)，其輸出應(yīng)當(dāng)帶有適當(dāng)?shù)姆诸悩?biāo)識(shí)。該 標(biāo)識(shí)應(yīng)當(dāng)反映根據(jù)組織規(guī)則而建立的分類。需要考慮的項(xiàng)目包括打印的報(bào)告、屏幕顯示、存儲(chǔ)介質(zhì)（磁 帶、磁盤、CD、卡式盒帶）、電子消息和文檔傳輸。7人員的安全管理7.1 聘用條款和保密協(xié)議（公司員工保密協(xié)摘錄）7.1.1 聘用條款中員工的信息安全責(zé)任7.1.1.1.1 知識(shí)產(chǎn)權(quán)是指根據(jù)法律法規(guī)有關(guān)規(guī)定或根據(jù)甲方與第三方簽署的協(xié)議由甲方所有、使用、支配、提供、

18、擁有或者將要擁有的一切智力勞動(dòng)成果，包括但不限于專利權(quán)、商標(biāo) 權(quán)、著作權(quán)、軟件、企業(yè)名稱、企業(yè)標(biāo)記（ Logo）、域名、網(wǎng)站、數(shù)據(jù)庫(kù)、經(jīng)營(yíng)或開發(fā) 成果、商譽(yù)、職務(wù)技術(shù)成果等。7.1.1.1.2 乙方承諾在與甲方的勞動(dòng)合同關(guān)系存續(xù)期間及期滿后不對(duì)甲方的知識(shí)產(chǎn)權(quán)進(jìn)行貶低、歪曲、破壞或者任何其它損害。在勞動(dòng)合同有效期內(nèi)乙方應(yīng)努力維護(hù)、提高甲方知識(shí)產(chǎn)權(quán) 的價(jià)值。7.1.1.1.3 乙方承諾，未經(jīng)甲方書面同意，不將第一條所提及的技術(shù)成果、作品、軟件、專利等用作商業(yè)目的或者許可他人用于商業(yè)目的。7.1.1.1.4 乙方在與甲方的勞動(dòng)合同存續(xù)期間，及在勞動(dòng)合同關(guān)系終止后二年內(nèi)，所有主要是利用在XXXX）的工

19、作時(shí)間或利用XXXX或派駐合作方的物質(zhì)技術(shù)條件所完成的，一切與甲方業(yè)務(wù)、產(chǎn)品、程序與服務(wù)有關(guān)的技術(shù)成果，包括但不限于發(fā)現(xiàn)、發(fā)明、思路、概念、過程、 產(chǎn)品、方法和改進(jìn)或其一部分，不論是否可以或已經(jīng)受到知識(shí)產(chǎn)權(quán)法律保護(hù)，不論以何 種形式存在，均為職務(wù)技術(shù)成果，其所產(chǎn)生的所有權(quán)利包括知識(shí)產(chǎn)權(quán)歸甲方、甲方合作 方單獨(dú)或共同所有。未經(jīng)甲方書面許可不得以乙方和/或其它任何第三方的名義申請(qǐng)專利或者版權(quán)登記。7.1.1.1.5 乙方在結(jié)束與甲方的勞動(dòng)合同關(guān)系一年內(nèi)，若有繼續(xù)完成與在甲方工作期間所擔(dān)任的課題或分配的任務(wù)有關(guān)而取得的技術(shù)成果，仍屬于甲方或派駐合作方所有。文件密級(jí)：內(nèi)部公開7.1.1.1.6對(duì)于甲方

20、實(shí)施、轉(zhuǎn)讓、許可他人使用職務(wù)技術(shù)成果或者將職務(wù)技術(shù)成果投入其它商業(yè)用 途而引起的收益或者損失，乙方不提出任何權(quán)利主張也不承擔(dān)任何責(zé)任。但由于乙方職 務(wù)技術(shù)成果固有的缺陷或者乙方在實(shí)施該職務(wù)技術(shù)成果的失誤造成的損害，乙方應(yīng)承擔(dān) 責(zé)任。7.1.1.1.7乙方承認(rèn)所有在與甲方勞動(dòng)關(guān)系存續(xù)期間產(chǎn)生或者接觸到的甲方提供的或通過甲方獲 取的有美資料及其它信息載體都屬于甲方所有，未經(jīng)甲方書面許可，不得向任何第二方 提及、出示及傳播。7.1.1.1.8乙方承諾不向他人談?wù)摷追缴形磳?duì)外公布的業(yè)務(wù)和技術(shù)發(fā)展動(dòng)態(tài)。乙方承諾不設(shè)法獲取 非本人工作所需的甲方保密的技術(shù)資料、技術(shù)文件和客戶檔案材料以及非本人工作所需 的甲

21、方內(nèi)部及對(duì)外的商業(yè)文件。乙方進(jìn)一步承諾不利用甲方的客戶及渠道為自己或他人 謀求利益。7.1.2商業(yè)秘密7.1.2.1符合法律法規(guī)有美規(guī)定或根據(jù)甲方與第二方簽署的協(xié)議由甲方所有、使用、支配、提供的具有商業(yè)價(jià)值的，非公知的并由甲方采取了保密措施的所有技術(shù)信息和/或經(jīng)營(yíng)信息。7.1.2.2甲方在開發(fā)、銷售各類計(jì)算機(jī)軟件產(chǎn)品以及為各類軟件產(chǎn)品提供技術(shù)支持、信息咨詢服務(wù)及培訓(xùn)的過程中，或是接受指派為本協(xié)議所面向的派駐合作方提供外包服務(wù)期間，本方和合作方所獨(dú)有的機(jī)密、專有技術(shù)及商業(yè)秘密性質(zhì)的情報(bào)均簡(jiǎn)稱為“商業(yè)秘密”。7.1.2.3甲方的商業(yè)秘密包括但不限于檔案資料、技術(shù)資料、市場(chǎng)銷售資料、財(cái)務(wù)信息資料以及

22、：7.1.2.4甲方及派駐合作方開發(fā)或銷售的所有軟件,以及與此類軟件有關(guān)的文檔：包括程序的源 編碼、目標(biāo)碼部分、視聽部分、人H或機(jī)器可讀形式程序部分，還包括圖表、流程圖、 樣圖、草圖、技術(shù)說明、設(shè)計(jì)圖數(shù)據(jù)教材、有關(guān)病毒的報(bào)告及客戶資料。7.1.2.5甲方的業(yè)務(wù)計(jì)劃、產(chǎn)品開發(fā)計(jì)劃、財(cái)務(wù)情況、內(nèi)部業(yè)務(wù)規(guī)程和客戶名單等信息；以及正 在開發(fā)或構(gòu)思之中的商業(yè)思想、業(yè)務(wù)和技術(shù)發(fā)展動(dòng)態(tài)、系統(tǒng)安全機(jī)制與實(shí)現(xiàn)等方面的信 息、數(shù)據(jù)以及計(jì)算機(jī)數(shù)據(jù)庫(kù)、資料、源程序、目標(biāo)程序、計(jì)算機(jī)軟件等；7.1.2.6甲方現(xiàn)有的以及正在開發(fā)或者構(gòu)思之中的服務(wù)項(xiàng)目的信息和資料；7.1.2.7甲方現(xiàn)有的或者正在開發(fā)之中的質(zhì)量管理方法、定

23、價(jià)方法、銷售方法等方法；7.1.2.8甲方應(yīng)對(duì)第三方負(fù)有保密責(zé)任的所有第二方的機(jī)密信息；7.1.2.9甲方的股東資料、投資背景等以及其它被甲方標(biāo)明或聲明為秘密的信息。1.1.2.10 乙方承諾在與甲方的勞動(dòng)合同關(guān)系存續(xù)期間以及解除后二年內(nèi)，保守甲方商業(yè)秘密，未經(jīng)甲方書面許可，不向任何第三方以任何明示或者暗示的方式透露，包括與商業(yè)秘密無 關(guān)的其它甲方雇員在內(nèi)。乙方承諾不設(shè)法獲取非其工作所必需的任何形式的甲方的商業(yè) 秘密，并不得利用與甲方工作關(guān)系為自身謀求利益。1.1.2.11 除用于甲方安排或者委托的工作之外，乙方不得將商業(yè)秘密信息用于其它任何目的。在使用完畢之后，乙方應(yīng)立即向甲方交還或者按照甲

24、方的要求銷毀商業(yè)秘密的載體，包括 但不限于文件、磁盤、光盤、計(jì)算機(jī)內(nèi)存等。1.1.2.12 乙方只能在因工作需要必須使用的情況下提供給其它可靠的員工，并應(yīng)事先與其簽署與本協(xié)議充分相似的保密協(xié)議，提供程度僅限于可執(zhí)行一定的商業(yè)目的。并保證這些員工 應(yīng)遵守本協(xié)議中約定的義務(wù)，不在無甲方及派駐合作方許可的前提下，向第三方（包括 顧問）透漏這些秘密信息，并應(yīng)約束其接觸本保密信息的員工遵守保密義務(wù)。1.1.2.13 如為合作的目的確實(shí)需要向第三方披露甲方及派駐合作方的保密信息，需事先得到甲方及派駐合作方的書面許可，并與該第三方簽訂相應(yīng)的保密協(xié)議。1.1.2.14 如果乙方根據(jù)法律程序或行政要求必須披露“

25、商業(yè)秘密”，應(yīng)事先通知甲方及派駐合作方，并協(xié)助公司采取必要的保護(hù)措施，防止或限制保密信息的進(jìn)一步擴(kuò)散。1.1.2.15 乙方應(yīng)按照甲方要求對(duì)商業(yè)秘密或其載體進(jìn)行妥善地保管、存儲(chǔ)、加密、回收、銷毀等。未經(jīng)甲方許可或非因工作需要，乙方不得將商業(yè)秘密信息或其載體帶出甲方住所。1.1.2.16 在與甲方的勞動(dòng)合同關(guān)系中止、終止或解除時(shí)，乙方應(yīng)將所有包含、代表、顯示、記錄或者組成商業(yè)秘密的原件及拷貝，包括但不限于裝置、記錄、數(shù)據(jù)、筆記、報(bào)告、建議 書、名單、信件、規(guī)格、圖紙、設(shè)備、材料、磁盤、光盤等，歸還甲方。7.1.2.17員工在簽署勞動(dòng)合同以后必須簽署保密協(xié)議。1.1.2.17 員工職位晉升為 PL

26、、PM SE等關(guān)鍵崗位，業(yè)務(wù)技能達(dá)到公司及BBB公司認(rèn)可的三級(jí)及以上級(jí)別的，都必須與 BBB公司簽署保密協(xié)議，各方都應(yīng)切實(shí)遵守保密協(xié)議中約定的保 密義務(wù)。7.2 人員背景審查目的：保障三級(jí)及以上工作崗位人員所掌握的信息安全。7.2.1 審查流程7.2.1.1 員工再進(jìn)入三級(jí)及以上工作崗位時(shí)，由人力資源部和用人部門共同開展對(duì)人員背景的調(diào)查。7.2.1.2 具體調(diào)查內(nèi)容：身份審查、學(xué)歷審查、工作履歷審查、信用度審查、職業(yè)道德審查、職業(yè)背景審查、忠誠(chéng)度審查。7.2.1.3 審查標(biāo)準(zhǔn)：審查的資料完整性、真實(shí)性，審核身份證原件、畢業(yè)證原件、各種技能職稱 原件的真實(shí)性，是否相互吻合。7.2.2 員工背景調(diào)

27、查表人員背景調(diào)查表基本信息被調(diào)查者姓名性別身份證號(hào)碼戶口所在地出生日期年齡身份驗(yàn)證被調(diào)查者的身份內(nèi)容真實(shí)性說明身份證號(hào)碼是（）否（）年齡是（）否（）戶口所在地是（）否（）驗(yàn)證來源：學(xué)歷驗(yàn)證被調(diào)查者提供信息真實(shí)性說明學(xué)校名稱是（）否（）學(xué)習(xí)時(shí)間是（）否（）所學(xué)專業(yè)是（）否（）證明人/機(jī)構(gòu)：職位：專業(yè)資格驗(yàn)證被調(diào)查者的身份內(nèi)容真實(shí)性說明認(rèn)證機(jī)構(gòu)是（）否（）獲得認(rèn)證時(shí)間是（）否（）認(rèn)證內(nèi)容是（）否（）證明人/機(jī)構(gòu)：工作履歷驗(yàn)證被調(diào)查者的身份內(nèi)容真實(shí)性說明雇主公司名稱是（）否（）雇主公司注冊(cè)地是（）否（）雇傭時(shí)間是（）否（）職務(wù)名稱是（）否（）直接上司職務(wù)是（）否（）被調(diào)查者是否與貴公司 府勞動(dòng)爭(zhēng)議是

28、（）否（）被調(diào)查者是否存在信息 安全違紀(jì)違規(guī)行為是（）否（）證明人：職務(wù)：調(diào)查時(shí)間：7.3 員工培訓(xùn)目的：宣傳、普及信息安全制度，增強(qiáng)員工的信息安全意識(shí)。培訓(xùn)對(duì)象：新員工、在職員工培訓(xùn)方式：授課+考核7.3.1 培訓(xùn)周期7.3.1.1 新員工：所有部門新員工在入職當(dāng)天由人力資源培訓(xùn)部組織信息安全制度培訓(xùn)，培訓(xùn)簽到表 歸檔。培訓(xùn)結(jié)束后在一周之內(nèi)組織信息安全考試，考試及格線為23分（25分制），并將考試簽到表、考試成績(jī)進(jìn)行歸檔。7.3.1.2 在職員工：所有部門在職員工每半年組織一次信息安全培訓(xùn)，培訓(xùn)簽到表歸檔。培訓(xùn)結(jié)束后 在一周之內(nèi)組織信息安全考試，考試及格線為23分（25分制），并將考試簽到表

29、、考試成績(jī)進(jìn)行歸檔。7.3.2 培訓(xùn)效果檢查7.3.2.1 定期以業(yè)務(wù)部門、項(xiàng)目組為單位進(jìn)行信息安全知識(shí)檢查，對(duì)檢查結(jié)果低于90%的部門、團(tuán)隊(duì)進(jìn)行再次的全員覆蓋培訓(xùn)并組織考試，對(duì)培訓(xùn)簽到表、考試簽到表、考試成績(jī)歸檔 并通知部門主管。7.3.2.2 不定期對(duì)FBI場(chǎng)地內(nèi)的研發(fā)人員進(jìn)行信息安全知識(shí)的抽檢，對(duì)抽查成績(jī)低于23分（25分制）的員工組織培訓(xùn)并考試，對(duì)培訓(xùn)簽到表、考試簽到表、考試成績(jī)歸檔并通知業(yè)務(wù) 部門直接領(lǐng)導(dǎo)和部門主管。7.4 人員離職目的：保證離職人員不帶走公司任何信息資產(chǎn)。7.4.1 離職人員信息交接流程7.4.1.1 員工離職前，公司與離職員工簽署離職保密承諾。7.4.1.2 員工

30、離職前公司將收回所有的工作資料的紙件、電子件及員工擁有的相關(guān)信息系統(tǒng)和資源的訪問使用權(quán)限。7.4.1.3 員工離職前收回員工門禁磁卡及工作證。7.4.1.4 員工在其離職兩年內(nèi)仍要按照進(jìn)公司時(shí)簽訂的合同，承擔(dān)下列保密責(zé)任，否則將承擔(dān)違約的民事或刑事責(zé)任。7.4.1.5 不帶走從公司獲取的任何資料，包括但不限于記載的紙件或電子件上的文檔、文件、圖表、目錄，存儲(chǔ)于磁盤、光盤上的軟件、程序等。7.4.1.6 離職后兩年內(nèi)不得到與 XXX公司或與客戶公司有競(jìng)爭(zhēng)關(guān)系的公司從事與在XXX公司工作期間工作性質(zhì)相同或者相似的工作。7.4.1.7 未經(jīng)XXX公司書面同意，不向任何單位和個(gè)人透露或使用在公司就職期

31、間獲得的商業(yè)秘 密，包括技術(shù)秘密、商務(wù)秘密、財(cái)務(wù)秘密、管理秘密以及其它經(jīng)營(yíng)秘密。7.5 違規(guī)處理目的：建立正式的違規(guī)處理流程，對(duì)違反信息安全管理規(guī)定的員工進(jìn)行相應(yīng)處理。7.5.1 信息安全違規(guī)級(jí)別對(duì)于觸犯國(guó)家法律的，公司將移交國(guó)家司法機(jī)關(guān)依法處理。此外，則根據(jù)違規(guī)行為的后果、性質(zhì)以及違規(guī)人的主觀意愿，將違規(guī)行為分為如下四個(gè)等級(jí)：一級(jí)：有意盜竊、泄露公司保密信息，或有意違反信息安全管理規(guī)定，性質(zhì)嚴(yán)重造成重大損失。二級(jí)：有意違反信息安全管理規(guī)定，性質(zhì)嚴(yán)重或造成損失。三級(jí)：無意違反信息安全管理規(guī)定，造成公司損失；或者有意違反信息安全管理規(guī)定，但性質(zhì)不嚴(yán)重且沒有造成嚴(yán)重?fù)p失。四級(jí)：違反信息安全管理規(guī)定

32、，性質(zhì)較輕，沒有造成公司損失。7.5.2 信息安全違規(guī)處理流程信息安全違規(guī)處理流程V1.0任務(wù)名稱人物、程序、重點(diǎn)及標(biāo)準(zhǔn)時(shí)限相關(guān)資料事故 定級(jí)程序1、經(jīng)乍國(guó)豕相關(guān)法律2、公司人事制度3、公司信息安全制度業(yè)務(wù)部門發(fā)生信息安全事故以后，項(xiàng)目組信息安全員 應(yīng)在A時(shí)間向信息安全專員進(jìn)行匯報(bào)即時(shí)信息安全工作組核實(shí)情況后，對(duì)事故進(jìn)行定級(jí)1個(gè)工作日信息安全主任對(duì)事故級(jí)別審核1個(gè)工作日BBB信管辦對(duì)事故級(jí)別審核1個(gè)工作日重點(diǎn)對(duì)所發(fā)生的事故進(jìn)行定級(jí)標(biāo)準(zhǔn)定級(jí)及時(shí)、準(zhǔn)確組織 信息 安全 工組 會(huì)議程序1、公司信息安全制度2、事故調(diào)查報(bào)告信息安全專員組織事故部門召開臨時(shí)會(huì)議1個(gè)工作日信息安全專員組織信息安全工作組召開

33、臨時(shí)會(huì)議1個(gè)工作日事故報(bào)BBB信管辦1個(gè)工作日信息安全小組研究制定具體事故的解決措施2個(gè)工作日事故解決措施報(bào)信息安全主任審批重點(diǎn)組織信息安全工作組召開臨時(shí)會(huì)議，制定具體事故的 解決措施標(biāo)準(zhǔn)組織信息安全工作組召開臨時(shí)會(huì)議，措施合理執(zhí)行 解決 措施程序1、公司信息安全制度2、公司人事制度事故解決措施審批通過后，由信息安全專員組織落實(shí)根據(jù)實(shí) 際情況事故部門負(fù)責(zé)落實(shí)執(zhí)行，信息安全小組配合隨時(shí)重點(diǎn)信息安全小組制定措施的落實(shí)標(biāo)準(zhǔn)措施落實(shí)及時(shí)、全面、準(zhǔn)確總結(jié) 報(bào)告 與頂 防措施程序1、公司信息安全制度2、事故倜查報(bào)告事故發(fā)生部門將執(zhí)行結(jié)果反饋到信息安全小組1個(gè)工作日信息安全專員輸出事故總結(jié)報(bào)告，并修訂事故預(yù)

34、防措 施3個(gè)工作日事故總結(jié)報(bào)告、事故預(yù)防措施報(bào)信息安全主任審核1個(gè)工作日事故總結(jié)報(bào)告、事故預(yù)防措施報(bào)BBB信管辦審核1個(gè)工作日信息安全工作組將事故總結(jié)存檔即時(shí)重點(diǎn)信息安全小組輸出事故總結(jié)報(bào)告，并修訂事故預(yù)防 措施標(biāo)準(zhǔn)總結(jié)報(bào)告真實(shí)、客觀、全面預(yù)防措施及時(shí)、合理、可行7.5.3 違規(guī)事件處理流程圖8物理安全策略8.1 場(chǎng)地安全目的：明確公司 FBI各工作區(qū)域的安全級(jí)另I。8.1.1 FBI受控區(qū)域的劃分8.1.1.1 受控區(qū)域級(jí)別劃分一級(jí)：FBI出入通道FBI研發(fā)區(qū)FBI實(shí)驗(yàn)室IT機(jī)房公司后門二級(jí)：培訓(xùn)室會(huì)議室三級(jí)：茶水間洗手間8.1.1.2 重要區(qū)域及受控區(qū)域管理責(zé)任劃分公司前門：前臺(tái)負(fù)責(zé)管理。

35、FBI出入通道：安全崗負(fù)責(zé)管理。FBI實(shí)驗(yàn)室：實(shí)驗(yàn)室管理員負(fù)責(zé)管理。IT機(jī)房：機(jī)房管理員負(fù)責(zé)管理。公司后門：信息安全工作組負(fù)責(zé)管理。FBI研發(fā)區(qū)：各項(xiàng)目組負(fù)責(zé)管理。FBI場(chǎng)內(nèi)會(huì)議室：使用者負(fù)責(zé)管理。培訓(xùn)室：使用者負(fù)責(zé)管理。8.1.1.3 物理隔離FBI研發(fā)區(qū)（包括 FBI的辦公區(qū)、實(shí)驗(yàn)室、會(huì)議室）與其它辦公區(qū)域進(jìn)行了物理隔離。IT機(jī)房與其它辦公區(qū)域進(jìn)行物理隔離。8.1.2 由入控制安全崗負(fù)責(zé)FBI出入口的日常管理，對(duì)出入人員身份及設(shè)備的合法性進(jìn)行識(shí)別和檢查。公司前門、 FBI出入口、 IT機(jī)房、FBI實(shí)驗(yàn)室、公司后門都安裝有CCTV監(jiān)控系統(tǒng)，對(duì)受控區(qū)域進(jìn)行 360度無死角監(jiān)控，所有監(jiān)控記錄必須

36、保存一個(gè)月以上。所有在公司FBI工作人員都必須刷卡出入，IT機(jī)房、FBI實(shí)驗(yàn)室采取最小授權(quán)策略，未授權(quán)人員不得私自進(jìn)入。所有進(jìn)入FBI及受控區(qū)域的都必須進(jìn)行申請(qǐng)，申請(qǐng)通過以后由卡證專員進(jìn)行門禁卡的授權(quán)和發(fā)放，禁止未得到授權(quán)人員私自出入FBI及FBI內(nèi)的受控區(qū)域。所有在FBI研發(fā)區(qū)辦公人員都必須正確佩戴具有員工合法身份識(shí)別的公司工作證，未佩戴人員不得進(jìn)入 FBI。FBI出入口設(shè)置有特殊存儲(chǔ)設(shè)備禁止私自帶入的標(biāo)識(shí)牌。因工作需要進(jìn)入FBI的外來人員必須進(jìn)行嚴(yán)格的申請(qǐng)、登記，審批通過后方可進(jìn)入，接待人員必須全程陪同。未經(jīng)批準(zhǔn)，禁止在FBI研發(fā)區(qū)及FBI受控區(qū)域進(jìn)行攝像、拍照、錄音。8.1.3 名詞解釋

37、8.1.4 人員管理8.1.4.1 人員進(jìn)生管理流程8.1.4.1.1公司員工8.1.4.1.1.1 FBI研發(fā)區(qū)辦公人員需要刷門禁卡進(jìn)出，且每人每次按順序刷卡進(jìn)出，嚴(yán)禁一人刷卡多人同時(shí)進(jìn)出。FBI研發(fā)區(qū)辦公人員若未帶授權(quán)門禁卡進(jìn)出時(shí)必須在安全崗處的 FBI人 員出入登記表上面進(jìn)行登記。xxxxxxxXt限公司FBI人員出入登記表 V1.0序號(hào)日期姓名工號(hào)所屬 部門進(jìn)入 目的進(jìn)入 時(shí)間離開 時(shí)間核實(shí)人備注1234568.1.4.1.1.2 辦公區(qū)人員因工作需要進(jìn)入FBI時(shí)必須在安全崗處的FBI人員出入登記表上面FBI來訪人員申請(qǐng)表V1.0進(jìn)行登記。8.1.4.1.1.3 FBI辦公人員隨身攜帶

38、了移動(dòng)存儲(chǔ)設(shè)備在進(jìn)入辦公區(qū)之前必須在前臺(tái)的設(shè)備寄存登記表上面進(jìn)行登記，并交由前臺(tái)進(jìn)行保管在寄存柜內(nèi)，離開時(shí)領(lǐng)取。設(shè)備寄存登記表V1.0序號(hào)存放 日期存放 時(shí)間設(shè)備 名稱設(shè)備序 列號(hào)寄存 人領(lǐng)取 時(shí)間接待人經(jīng)辦人備注123456788.1.4.1.2來訪人員8.1.4.1.2.1 外部來訪人員進(jìn)入公司大廳以后，首先必須在前臺(tái)的來訪人員登記表上面登記并從前 臺(tái)處用自己的有效證件換取我司的來賓卡，由接待人員在來訪人員登記表上簽字確認(rèn) 后方可進(jìn)入辦公區(qū)。8.1.4.1.2.2 來訪人員隨身攜帶了移動(dòng)存儲(chǔ)設(shè)備在進(jìn)入辦公區(qū)之前必須在設(shè)備寄存登記表 上面進(jìn)行登記，并交由前臺(tái)進(jìn)行保管在保險(xiǎn)箱內(nèi)，離開時(shí)領(lǐng)取。8

39、.1.4.1.2.3 來訪人員因公需要進(jìn)入 FBI,必須由接待人員提前從信息安全專員處領(lǐng)取 FBI來訪人員 申請(qǐng)表進(jìn)行填寫并提交給部門上級(jí)領(lǐng)導(dǎo)簽字確認(rèn)后交給安全崗人員歸檔，來訪人員在進(jìn) 入FBI之前必須在安全崗處的FBI人員出入登記表上面進(jìn)行登記。樹#欄制#日期制#人工號(hào)部門進(jìn)場(chǎng)人員信息單位姓名證件證件號(hào)碼進(jìn)場(chǎng)事由審批欄項(xiàng)目經(jīng)理審批部門負(fù)責(zé)人審批機(jī)要員審核信息安全專員審批安全崗放行確認(rèn)記錄進(jìn)入FBI場(chǎng)地說明：1、進(jìn)場(chǎng)后不得擅自走動(dòng)；2、不得私自動(dòng)用他人的設(shè)備；3、不得刻意窺探IT機(jī)房及FBI實(shí)驗(yàn)室；4、不得蓄意破壞場(chǎng)地內(nèi)任何設(shè)備及設(shè)施；5、如有違反我司信息安全規(guī)定者根據(jù)，f節(jié)嚴(yán)重程度追究其法律

40、責(zé)任。進(jìn)入公司辦公區(qū)的任何人員不允許攜帶任何移動(dòng)存儲(chǔ)設(shè)備（包括具有照相，藍(lán)牙，紅外功能的手機(jī)，）禁止進(jìn)入FBI。持有該類設(shè)備的人員在進(jìn)入公司后必須在設(shè)備寄存登記表上面進(jìn)行登記，并交由前臺(tái)進(jìn) 行保管在保險(xiǎn)箱內(nèi)，離開時(shí)領(lǐng)取。a）來訪人員因工作、業(yè)務(wù)需要在我司FBI辦公的，需要辦理我司的門禁卡，必須走 FBI臨時(shí)門禁卡申請(qǐng)表。FBI臨時(shí)門禁卡申請(qǐng)表V2.0朝#欄朝#日期朝#人工號(hào)部門進(jìn)場(chǎng)人員信息單位姓名證件證件號(hào)碼申請(qǐng)門禁 權(quán)限范圍權(quán)限生 效日期權(quán)限失 效日期50未經(jīng)許可，不得擴(kuò)散進(jìn)場(chǎng)事由審批欄項(xiàng)目經(jīng)理審批部門負(fù)責(zé)人審批機(jī)要員核實(shí)信息安全專員審批卡證專員發(fā)卡記錄臨時(shí)門禁卡說明：1、此權(quán)限有效期最長(zhǎng)只

41、能一個(gè)月，到期后須重新申請(qǐng)；2、門禁卡不得隨意轉(zhuǎn)借他人使用；3、不得損壞門禁卡；4、離場(chǎng)時(shí)歸還至卡證專員處。8.1.5卡證管理規(guī)定目的：規(guī)范卡證使用權(quán)限及流程，本著重要信道及區(qū)域。8.1.5.1 卡證分類8.1.5.1.1 員工卡：簽署我司勞動(dòng)合同的正式員工每人發(fā)放一張，根據(jù)員工所屬部門、職務(wù)不同，卡證的門禁系統(tǒng)權(quán)限也不同。（研發(fā)部門一般門禁系統(tǒng)權(quán)限：公司大門、FBI出入門禁權(quán)限，后勤支撐部門門禁系統(tǒng)權(quán)限：公司大門）8.1.5.1.2 臨時(shí)通行卡：來訪人員來我司辦理相關(guān)業(yè)務(wù)、工作等需要佩戴。（無任何門禁系統(tǒng)權(quán)限，只是作為身份的標(biāo)示）8.1.5.1.3 來賓卡：合作方客戶、重要領(lǐng)導(dǎo)等來訪時(shí)佩戴。

42、（無任何門禁系統(tǒng)權(quán)限，只是作為身份的標(biāo)示）8.1.5.2 卡證申請(qǐng)8.1.5.2.1 員工卡：入職后由部門相關(guān)負(fù)責(zé)人統(tǒng)一向卡證管理專員申請(qǐng)，必須注明的是員工卡所 具有的門禁系統(tǒng)權(quán)限。8.1.5.2.2 臨時(shí)通行卡、來賓卡：由前臺(tái)統(tǒng)一進(jìn)行管理和發(fā)放，每張卡上面都有唯一的編號(hào)。8.1.5.3 卡證權(quán)限管理8.1.5.3.1 所有員工權(quán)限必須經(jīng)過申請(qǐng)以后才可以進(jìn)行授權(quán)發(fā)放；8.1.5.3.2 離職員工必須在離開前將員工卡上交卡證管理專員進(jìn)行門禁系統(tǒng)權(quán)限的取消及記錄。8.1.5.3.3 IT機(jī)房管理員不得獨(dú)有機(jī)房和實(shí)驗(yàn)室的門禁權(quán)限，必須采用的策略是：鑰匙+卡+密碼的形式進(jìn)入，規(guī)定卡由機(jī)要員掌握、密碼由

43、管理員掌握，必須是兩人同時(shí)在場(chǎng)地操作才可以進(jìn)入機(jī)房。8.1.5.3.4 FBI實(shí)驗(yàn)室作為開發(fā)和測(cè)試設(shè)備環(huán)境存放點(diǎn)，業(yè)務(wù)部門的普通開發(fā)人員因工作需要允許申請(qǐng)此門禁權(quán)限，權(quán)限周期一般為一個(gè)月，到期可申請(qǐng)延期使用。業(yè)務(wù)部門主管嚴(yán)禁 申請(qǐng)此權(quán)限。8.1.5.3.5 門禁卡丟失必須及時(shí)向卡證專員知會(huì)并申請(qǐng)補(bǔ)辦。門禁卡發(fā)放統(tǒng)計(jì)表姓名工號(hào)部門權(quán)限PM審批主管 審批個(gè)人 簽領(lǐng)日期公司前門公司 后門FBI研發(fā)區(qū)實(shí)驗(yàn)室（南）實(shí)驗(yàn)室（北）IT機(jī)房配置機(jī)房8.2設(shè)備安全目的：建立設(shè)備安全出入FBI規(guī)定、流程，確保研發(fā)數(shù)據(jù)安全。8.2.1 設(shè)備安全規(guī)定8.2.1.1 FBI內(nèi)各部門新申領(lǐng)電腦后，需通知信息安全負(fù)責(zé)人、固

44、定資產(chǎn)管理員和IT專員對(duì)機(jī)器端口進(jìn)行封膠、拆除前面板 US蓑口，粘貼”激光防偽標(biāo)簽"防拆機(jī)箱，并設(shè)置 BIOS密碼，屏蔽USB 接口，BIOS密碼由IT專員統(tǒng)一管理。管理員賬戶及密碼，使用者不能私自刪除管理員賬戶和 修改管理員密碼。8.2.1.2 實(shí)驗(yàn)室設(shè)備加封封條、外置接口粘貼"設(shè)備防偽標(biāo)簽”，包括但不限于：服務(wù)器、PC硬盤、特殊接口、刻錄光驅(qū)、磁帶機(jī)等。8.2.1.3 未經(jīng)批準(zhǔn)，禁止將特殊存儲(chǔ)設(shè)備、便攜機(jī)帶入FBI,因工作需要必須走特殊設(shè)備入場(chǎng)審批流程。8.2.1.4 因工作需要設(shè)備出場(chǎng)時(shí)，IT專員必須對(duì)設(shè)備中存儲(chǔ)設(shè)備進(jìn)行低級(jí)格式化清空里面所有的數(shù)據(jù)，方可出場(chǎng)。8.2.

45、1.5 因特殊需要設(shè)備出場(chǎng)需要保存設(shè)備中的數(shù)據(jù)時(shí)，IT專員必須對(duì)設(shè)備的電源接口、外置 I/O接口進(jìn)行加封，并郵件通知搬遷目的地的信息安全專員及信息安全主管和接收人，相關(guān)郵件至少 保留一年。在機(jī)要員、安全崗和設(shè)備使用人護(hù)送移交給接收人，接收人在設(shè)備移交清單 上簽字確認(rèn)設(shè)備加封電源、外置 I/O接口及存儲(chǔ)數(shù)據(jù)完好無損。8.2.1.6 辦公電腦必須設(shè)置登陸密碼，密碼長(zhǎng)度不得低于6位，且須字母數(shù)字混編，同時(shí)設(shè)置屏幕保護(hù)程序（啟動(dòng)屏保時(shí)間不大于8分鐘）和省電模式（省電模式啟動(dòng)時(shí)間不大于15分鐘），離開辦公位置時(shí)，必須鎖定系統(tǒng)。8.2.1.7 設(shè)備存儲(chǔ)介質(zhì)發(fā)生故障時(shí)，必須在機(jī)要員、IT專員和設(shè)備使用人同時(shí)

46、在場(chǎng)的情況下，方可進(jìn)行更換，對(duì)需要帶出場(chǎng)地維修的存儲(chǔ)設(shè)備必須進(jìn)行低級(jí)格式化。8.2.1.8 存儲(chǔ)介質(zhì)銷毀前必須走存儲(chǔ)設(shè)備銷毀申請(qǐng)表，并由項(xiàng)目經(jīng)理、地域主管郵件向合作方接口人、BBB言管辦進(jìn)行申請(qǐng)說明。申請(qǐng)批準(zhǔn)后由IT專員、機(jī)要員、使用人同時(shí)在場(chǎng)的情況下方可進(jìn)行銷毀，相關(guān)郵件至少保存一年。銷毀方式為物理破壞。存儲(chǔ)設(shè)備銷毀申請(qǐng)表V1.0P請(qǐng)欄姓名工號(hào)部門申請(qǐng)日期1設(shè)備名稱設(shè)備 數(shù)量設(shè)備編號(hào)銷毀原因?qū)徟鷻谥苯由?級(jí)確認(rèn)地域主 管審批部門經(jīng) 理審批機(jī)要員核 實(shí)銷毀設(shè) 備編會(huì)IT專員進(jìn) 行設(shè)備銷 毀確認(rèn)機(jī)要員核 實(shí)銷毀并 記錄備注銷毀說明：1、銷毀設(shè)備必須是因物理故障而無法修復(fù)；2、銷毀設(shè)備必須確認(rèn)銷毀

47、并記錄。8.2.2 設(shè)備進(jìn)由管理流程8.2.2.1設(shè)備進(jìn)場(chǎng)8.2.2.1.1 除臺(tái)式機(jī)和服務(wù)器，其它任何移動(dòng)存儲(chǔ)設(shè)備禁止進(jìn)入FBI研發(fā)區(qū)。持有該類設(shè)備的人員在進(jìn)入公司前必須在設(shè)備寄存登記表上面進(jìn)行登記，并交由前臺(tái)進(jìn)行保管在保險(xiǎn)箱內(nèi)，離開 時(shí)領(lǐng)取。8.2.2.1.2 臺(tái)式機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備進(jìn)入FBI場(chǎng)地前，需在信息安全專員處領(lǐng)取設(shè)備入場(chǎng)審批表走審批流程，流程審批通過后將此表交由安全崗處，并在安全崗處的設(shè)備出入FBI登記表上面進(jìn)行登記后設(shè)備方可進(jìn)入。XXXXXW限公司設(shè)備入場(chǎng)審批表V2.0申請(qǐng)欄部門姓名工號(hào)朝#日期設(shè)備名稱設(shè)備編號(hào)搬遷目的地入場(chǎng)原因?qū)徟鷻谥苯由霞?jí)審批部門審批IT專員設(shè)備處理確認(rèn)信

48、息安全 專員確認(rèn)備注設(shè)備入場(chǎng)說明：1、所有進(jìn)入FBI研發(fā)場(chǎng)地的設(shè)備入場(chǎng)前 IT專員必須進(jìn)行信息端口加封、屏蔽處理；2、如是BBB辦公設(shè)備入場(chǎng)需要另走 BBB辦公設(shè)備入場(chǎng)申請(qǐng)單；3、此表同樣適用便攜機(jī)特殊設(shè)備入場(chǎng)申請(qǐng)。設(shè)備出入FBI登記表V1.0序 號(hào)資產(chǎn)編號(hào)資產(chǎn)名稱資產(chǎn) 所屬者資產(chǎn)責(zé) 任人遷入/遷出 時(shí)間本司項(xiàng)目 組責(zé)任人經(jīng)辦人備注1遷入遷出2遷入遷出3遷入遷出4遷入遷出5遷入遷出6遷入遷出8.2.2.2設(shè)備由場(chǎng)8.2.2.2.1 所有設(shè)備遷出FBI前必須走設(shè)備出場(chǎng)審批表，交由安全崗人員處登記后方可放行。信息安全機(jī)要員又芯f出 FBI的存儲(chǔ)設(shè)備進(jìn)行嚴(yán)格檢查，遷出的電腦設(shè)備硬盤必須進(jìn)行低級(jí)格式化

49、后 方可帶出公司。xxxxXt限公司設(shè)備出場(chǎng)審批表 V2.0申請(qǐng)欄部門姓名工號(hào)日期設(shè)備名稱設(shè)備編號(hào)是否免格搬遷目的地出場(chǎng)原因?qū)徟鷻谥苯由霞?jí)審批部門審批IT專員設(shè) 備處理確 認(rèn)信息安全 專員確認(rèn)設(shè)備出場(chǎng)說明：1、FBI研發(fā)場(chǎng)地PG服務(wù)器設(shè)備出場(chǎng)前 IT專員必須對(duì)存儲(chǔ)設(shè)備進(jìn)行低格處理；2、FBI研發(fā)場(chǎng)地出場(chǎng)設(shè)備申請(qǐng)免格的，部門領(lǐng)導(dǎo)必須在審批過程加以說明，IT專員必須對(duì)設(shè)備進(jìn)行標(biāo)簽加封處理。8.2.2.2.1因特殊需求設(shè)備出場(chǎng)要求保留存儲(chǔ)設(shè)備里面的數(shù)據(jù)時(shí)（即免格申請(qǐng)） ，要走設(shè)備出場(chǎng)審批表，IT專員要對(duì)設(shè)備的外置信息接口、電源接口進(jìn)行加封并安排專車和機(jī)要員進(jìn)行護(hù)送至 搬遷目的地，移交給對(duì)方接受人并要

50、求接受人檢查設(shè)備的數(shù)量、外觀、外置信息接口、電源 接口封條是否完好無損，并在設(shè)備移交清單上面簽字確認(rèn)。XXXXXW限公司設(shè)備移交清單護(hù)送人及設(shè)備信息護(hù)送人姓名部門地域主管項(xiàng)目組設(shè)備名稱設(shè)備數(shù)量設(shè)備編號(hào)封簽編號(hào)護(hù)送目的地接收人姓名聯(lián)系方式護(hù)送日期設(shè)備移交確認(rèn)信息設(shè)備數(shù)量電源接口外置接口簽收日期接收人 簽字確認(rèn)公司部門工號(hào)備注設(shè)備移交說明：1、護(hù)送人員必須確保設(shè)備的運(yùn)輸安全；2、必須直接移交給指定接收人；3、接收人必須簽字確認(rèn)。8.2.3BBB辦公設(shè)備進(jìn)由管理流程1.1.1.1 設(shè)備進(jìn)場(chǎng)分為臺(tái)式機(jī)和筆記本電腦兩類，入場(chǎng)前IT專員根據(jù)BBB信管辦要求檢查設(shè)備是否安裝了BBB公司指定的監(jiān)控軟件，并申請(qǐng)

51、填寫 BBB辦公設(shè)備入場(chǎng)審批表。對(duì)于未安裝監(jiān)控軟件的辦公設(shè)備禁止入場(chǎng)辦公，并通知BBB信管辦。XXXXXf限公司BBB辦公設(shè)備入場(chǎng)審批表 V1.0樹#欄部門姓名工號(hào)日期設(shè)備名稱設(shè)備 編號(hào)是否安裝 監(jiān)控軟件部門 項(xiàng)目組入場(chǎng) 原因?qū)徟鷻谥苯由?級(jí)審批部門審批機(jī)要員登記 資產(chǎn)信息IT專員設(shè)備 處理確認(rèn)機(jī)要員核實(shí) 處理結(jié)果信息安全 專員審批備注設(shè)備入場(chǎng)說明：1、BBB辦公設(shè)備入場(chǎng)之前IT專員必須檢查是否已經(jīng)安裝了監(jiān)控軟件。1.1.1.2 設(shè)備由場(chǎng)分為臺(tái)式機(jī)和筆記本電腦兩類，出場(chǎng)前IT專員根據(jù)BBB信管辦要求檢查設(shè)備里面安裝的BBB公司指定的監(jiān)控軟件是否完好無損，并申請(qǐng)?zhí)顚態(tài)BB辦公設(shè)備出場(chǎng)審批表。對(duì)于已經(jīng)卸載監(jiān)控軟件的辦公設(shè)備禁止出場(chǎng)辦公，并通知 BBB信管辦進(jìn)行調(diào)查。XXXXXW限公司BBB辦公設(shè)備出場(chǎng)審批表 V1.0樹#欄部門姓名工號(hào)日期設(shè)備 名稱設(shè)備 編p監(jiān)控軟件 是否完好部門 項(xiàng)目組出場(chǎng) 原因?qū)徟鷻谥苯由霞?jí)審批部門審批機(jī)要員核實(shí) 資產(chǎn)信息IT專員數(shù)據(jù) 處理確認(rèn)機(jī)要員核實(shí) 處理結(jié)果信息安