信息安全和隱私管理手冊(cè)

文件編號(hào)：Y-IS/PTMS-001

受控狀態(tài)：受控

文檔秘級(jí)：秘密

信息安全和隱私管理手冊(cè)

撰寫(xiě)：

審核：

批準(zhǔn)：

發(fā)布：2021年4月1日

版本歷史

字號(hào)版本修訂內(nèi)容修訂部門(mén)/人修訂時(shí)間

1A0制定2021-4-1

目錄

第一章信息安全和隱私管理制度總則.......................................................5

一、公司簡(jiǎn)介.........................................................................5

二、組織架構(gòu)圖.......................................................................5

三、頒布令...........................................................................5

四、管理方針及目標(biāo)...................................................................7

4.1管理方針.....................................................................7

4.2具體闡述.....................................................................7

4.3目標(biāo).........................................................................7

五、授權(quán)書(shū)...........................................................................8

六、信息安全和隱私小組成立...........................................................9

七、信息安全和隙私小組成員職責(zé)......................................................10

第二章信息安全和隙私管理制度主體......................................................12

前言.................................................................................12

一、范圍............................................................................13

二、規(guī)范性引用文件..................................................................13

三、術(shù)語(yǔ)和定義......................................................................13

1.術(shù)語(yǔ).........................................................................13

2.縮寫(xiě).........................................................................14

四、總則............................................................................14

五、與IS0/IEC27001相關(guān)PIMS特定要求...............................................14

5.1總則........................................................................14

5.2組織環(huán)境....................................................................15

5.2.1.理解組織及其環(huán)境........................................................18

1.1外部環(huán)境.................................................................18

1.2內(nèi)部環(huán)境.................................................................19

5.2.2.理解相關(guān)方的需求和期望....................................................19

5.2.3.信息安全和隱私管理體系的范圍..............................................19

5.2.4.信息安全和隱私管理體系....................................................20

5.3領(lǐng)導(dǎo).........................................................................20

5.3.1.領(lǐng)導(dǎo)和承諾...............................................................20

5.3.2.方針......................................................................21

5.3.3.組織角色、職責(zé)和權(quán)限......................................................21

5.4規(guī)劃.........................................................................26

5.4.1應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的措施......................................................26

5.4.1.1總則...............................................................26

5.4.1.2信息安全風(fēng)險(xiǎn)評(píng)估....................................................27

5.4.1.3信息安全風(fēng)險(xiǎn)處置....................................................28

5.4.2信息安全目標(biāo)和規(guī)劃實(shí)現(xiàn).....................................................29

5.5支持.........................................................................：W

5.5.1資源......................................................................30

5.5.2能力......................................................................30

5.5.3意識(shí)......................................................................30

5.5.4溝通......................................................................31

5.5.5文件化信息................................................................31

5.6運(yùn)行........................................................................33

5.6.1運(yùn)行的規(guī)劃和控制..........................................................33

5.6.2信息安全風(fēng)險(xiǎn)評(píng)估..........................................................33

5.6.3信息安全風(fēng)險(xiǎn)處置..........................................................34

5.7績(jī)效評(píng)價(jià).....................................................................34

5.7.1監(jiān)視、測(cè)量、分析和評(píng)價(jià).....................................................34

5.7.2內(nèi)部審核..................................................................363

5.7.3管理評(píng)審..................................................................375

5.8改進(jìn).......................................................................376

5.8.1不符合和糾正措施.........................................................377

5.8.2持續(xù)改進(jìn).................................................................388

六、與IS0/IEC27002相關(guān)PIMS特定要求.................................................39

第一章信息安全和隱私管理制度總則

一、公司簡(jiǎn)介

二、組織架構(gòu)圖

總經(jīng)理

管理者代表

系

人

品

策

研

統(tǒng)

力

牌

財(cái)

略

發(fā)

運(yùn)

行

務(wù)

拓

中

中

部

維

政

展

心

心

部

部

部

三、頒布令

經(jīng)公司全體員工的共同努力依據(jù)GB/T22080-2016/IS0/IEC27001:2013.IS0/IEC

27701:2019標(biāo)準(zhǔn)建立的信息安全和隱私管理體系已得到建立。

指導(dǎo)管理體系運(yùn)行的公司《信息安全和隱私管理體系手冊(cè)》經(jīng)評(píng)審后，現(xiàn)予以批

準(zhǔn)發(fā)布。

《信息安全和隱私管理體系手冊(cè)》的發(fā)布，標(biāo)志著我公司從現(xiàn)在起，必須按照信息安

全和隱私管理體系標(biāo)準(zhǔn)的要求和公司《信息安全和隱私管理體系手冊(cè)》所描述的規(guī)定,

不斷增強(qiáng)持續(xù)滿(mǎn)足顧客要求、相關(guān)方要求和法律法規(guī)要求的能力，全心全意為顧客和

相關(guān)方提供優(yōu)質(zhì)業(yè)務(wù)活動(dòng)服務(wù)，以確立公司在社會(huì)上的良好信譽(yù)。

《信息安全和隱私管理體系手冊(cè)》是公司規(guī)范內(nèi)部管理的指導(dǎo)性文件，也是全體

員工在向顧客提供服務(wù)過(guò)程必須遵循的行動(dòng)準(zhǔn)則。《信息安全和隱私管理體系手冊(cè)》

一經(jīng)發(fā)布，就是強(qiáng)制性文件，全體員工必須認(rèn)真學(xué)習(xí)、切實(shí)執(zhí)行。

本手冊(cè)自2020年4月1m正式實(shí)施。

總經(jīng)理:

日期:

四、管理方針及目標(biāo)

4.1管理方針

全員參與、明確責(zé)任、預(yù)防為主、快速響應(yīng)、風(fēng)險(xiǎn)管控、持續(xù)改進(jìn)；

以尊重個(gè)人人格為理念，深刻意識(shí)到企業(yè)適當(dāng)處理隱私的社會(huì)賁任。

4.2具體闡述

在**************科技有限公司信息安全和隱私小組的領(lǐng)導(dǎo)下，全面貫徹國(guó)家和深

圳市關(guān)于信息安全和隱私工作的相關(guān)指導(dǎo)性文件精神，在**************科技有限公司

內(nèi)建立可持續(xù)改進(jìn)的信息安全和隱私管理體系。

全員參與信息安全和隱私管理體系建設(shè)，落實(shí)信息安全管理責(zé)任制，建立和完善各

項(xiàng)信息安全管理制度，使得信息安全管理有章可循。

通過(guò)定期地信息安全和隱私宣傳、教育與培訓(xùn)，不斷提高*************5?科技有限

公司所有人員的信息安全和隱私意識(shí)及能力。

推行預(yù)防為主的信息安全和隱私積極防御理念，同時(shí)發(fā)所發(fā)生的信息安全和隱私事

件進(jìn)行快速、有序地響應(yīng)。

貫徹風(fēng)險(xiǎn)管理的理念，定期對(duì)重要信息系統(tǒng)及業(yè)務(wù)流程活動(dòng)進(jìn)行風(fēng)險(xiǎn)評(píng)估和控制，

將信息安全和隱私風(fēng)險(xiǎn)控制在可接受的水平。

持續(xù)改進(jìn)**************科技有限公司信息安全和隱私各項(xiàng)工作，保障

X*************科技有限公司信息安全和隱私暢通與可控，保障所開(kāi)發(fā)和維護(hù)信息系統(tǒng)

的安全穩(wěn)定，為**************科技有限公司提供安全可靠的服務(wù)。

4.3目標(biāo)

信息和隱私泄漏事件W1次/年。

客戶(hù)針對(duì)信息安全和隱私事件的投訴W1次/年

重要信息設(shè)備丟失每年不超過(guò)1起

網(wǎng)絡(luò)中斷時(shí)間月累計(jì)不超過(guò)4H

大規(guī)模病毒爆發(fā)每年不超過(guò)1次

信息安全和隱私培訓(xùn)考核合格率：考核合格人數(shù)/培訓(xùn)人數(shù)＞=95%/月

五、授權(quán)書(shū)

為確保本公司信息安全和隱私管理體系的有效運(yùn)行，認(rèn)真貫徹信息安全管理方針，

實(shí)現(xiàn)各項(xiàng)信息安全目標(biāo)，特授權(quán)：

1.授權(quán)連王先生為公司信息安全和隱私管理體系的管理者代表，授權(quán)郭先生

為公司信息安全和隱私管理體系的副管理者代表，其主要職責(zé)(角色)和權(quán)限為：

(1)確保公司信息安全和隱私管理體系所需過(guò)程得到建立、實(shí)施、運(yùn)行和保持。確

%信息安全業(yè)務(wù)風(fēng)險(xiǎn)得到有效控制。

(2)向最高管理者報(bào)告信息安全和隱私管理體系業(yè)績(jī)(績(jī)效)和任何改善需求，為

最高管理層評(píng)審提供依據(jù)。

(3)確保滿(mǎn)足顧客和相關(guān)方要求、法律法規(guī)要求的信息安全和隱私意識(shí)和信息安全

風(fēng)險(xiǎn)意識(shí)在公司內(nèi)得到形成和提高。

(4)在信息安全和隱私管理體系事宜方面負(fù)責(zé)與外部的聯(lián)絡(luò)。

2.授權(quán)各部門(mén)負(fù)責(zé)人對(duì)本部門(mén)信息安全和隱私行使職權(quán)。

總經(jīng)理:

日期:

六、信息安全和隱私小組成立

為確保本公司信息安全和隱私管理體系的有效運(yùn)行，認(rèn)真貫徹信息安全和隱私管理

方針，實(shí)現(xiàn)信息安全和隱私目標(biāo)，公司批準(zhǔn)成立信息安全知隱私小組。具體職責(zé)：

1.研究決定信息安全和隱私工作涉及到的重大事項(xiàng)；

2.審定公司信息安全和隱私方針、目標(biāo)、工作計(jì)劃和重要文件；

3.為信息安全和隱私工作的有序推進(jìn)和信息安全和隱私管理體系的有效運(yùn)行提供

必要的支持。

信息安全和隱私工作小組成員名單：

組長(zhǎng)：

副組長(zhǎng)兼隱私專(zhuān)員：

組員：品牌拓展部、研究中心、策略中心、系統(tǒng)運(yùn)維部、人力行政部、財(cái)務(wù)部

信息安全和隱私管理體系主控部門(mén)：系統(tǒng)運(yùn)維部

總經(jīng)理:

日期:

七、信息安全和隱私小組成員職責(zé)

管理品牌系統(tǒng)人力

總經(jīng)研發(fā)策略財(cái)務(wù)

者代拓展運(yùn)維行政

理中心中心部

表部部部

44.1/5.2.1理解組織及其環(huán)境★★

/52,

4.2/5.2.2理解相關(guān)方的寄求和

組OO★★★★★★

期望

織

確定信息安全和隱私

環(huán)4.3/5.2.3

★★

境管理體系的范圍

4.4/5.2.4信息安全和隱私管理

★★O0O★OO

體系

5.1/5.3.1領(lǐng)導(dǎo)承諾★★O00OOO

5/5.3

5.2/5.3.2方針★★O0OOOO

5.3/5.3.3組織角色、職責(zé)和權(quán)限O★O0OOOO

6.1.1/5.4.1.1總則★OO0OOOO

6.1/5.4.1

4應(yīng)對(duì)風(fēng)險(xiǎn)6.1.2/5.4.1.2信息

/5.O★★★★★★★

6/規(guī)和機(jī)會(huì)的安全風(fēng)險(xiǎn)評(píng)估

劃措施6.1.3/5.4.1.3信息

★★★★★★★★

安全風(fēng)險(xiǎn)處置

6.2/5.4.2信息安全目標(biāo)和規(guī)劃

O★O0OOOO

實(shí)現(xiàn)

7.1/5.5.1資源★★O00OOO

7.2/5.5.2能力OOO0OO★O

7.3/5.5.3意識(shí)OOO0OOOO

7.4/5.5.4溝通OO★★★★★★

7/5.5

支持

7.5.1/5.5.5.1總則OOO0O★★O

7.5/5.5.57.5.2/5.5.5.2創(chuàng)建

文件化信OOO00★★O

和更新

息

7.5.3/5.5.5.3文件

OOO0O★★O

化信息的控制

為主控部門(mén);“O”為相關(guān)部門(mén)

管理品牌系統(tǒng)人力

總經(jīng)研發(fā)策略財(cái)務(wù)

者代拓展運(yùn)維行政

理中心中心部

表部部部

8.1/5.6.1運(yùn)行的規(guī)劃和控

★

制OOOOOOO

8/5.68.2/5.6.2信息安全風(fēng)險(xiǎn)評(píng)

★★★★★★

運(yùn)行估OO

8.3/5.6.3信息安全風(fēng)險(xiǎn)處

★★★★★★

置OO

9.1/5.7.1監(jiān)視、測(cè)量、分析

和評(píng)價(jià)OOOOOOOO

9/5.7

績(jī)效評(píng)9.2/5.7.2內(nèi)部審核OOOOOOOO

價(jià)

9.3/5.7.3管理評(píng)審OO★★★★★★

10.1/5.8.1不符合和糾正措OOOOOOOO

10/5.8施

改進(jìn)

10.2/5.8.2持續(xù)改進(jìn)OOOOOOOO

為主控部門(mén)；為相關(guān)部門(mén)

第二章信息安全和隱私管理制度主體

前言

**************科技有限公司《信息安全和隱私管理手冊(cè)》（以下簡(jiǎn)稱(chēng)本手冊(cè)），

1衣?lián)礼B/T22080-2016/1SO/IEC27001:2013《信息技術(shù)-安全技術(shù)-信息安全管理體系-

要求》、GB/T22081-2016/TS0/TEC27002:2013《信息技術(shù)-安全技術(shù)-信息安全控

制實(shí)踐指南》，ISO/IEC27701；2019《針對(duì)ISO/IEC27001和ISO/IEC27002在隱私信息

管理的擴(kuò)展-要求和指南》，絡(luò)合本行業(yè)信息安全和隱私的特點(diǎn)和公司實(shí)際編寫(xiě)。本手

出對(duì)本公司信息安全和隱私管理體系作出了概括性描述，為建立、實(shí)施和保持信息安全

和隱私管理體系提供框架。

一、范圍

為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息安全和隱私管理體系，

確定信息安全和隱私方針和目標(biāo)，對(duì)信息安全和隱私風(fēng)險(xiǎn)進(jìn)行有效管理，確保全體員工

浬解并遵照?qǐng)?zhí)行信息安全和隱私管理體系文件、持續(xù)改進(jìn)信息安全和隱私管理體系的有

效性，特制定本手冊(cè)。本手冊(cè)適用于本公司的產(chǎn)品研發(fā)、銷(xiāo)售、營(yíng)銷(xiāo)策略服務(wù)等相關(guān)活

動(dòng)有關(guān)的信息安全和隱私管理活動(dòng)。

二、規(guī)范性引用文件

下列文件中的條款通過(guò)本《信息安全和隱私管理手冊(cè)》的引用而成為本《信息安全

和隱私管理手冊(cè)》的條款。凡是標(biāo)注日期的引用文件，其隨后所有的修改單（不包括勘

浜的內(nèi)容）或修改版均不適用于本《信息安全和隱私管理令冊(cè)》，然而，信息安全和隱

私小組應(yīng)研究是否可使用這些文件的最新版本。凡是不注日期的引用文件、其最新版本

適用于本《信息安全和隱私管理手冊(cè)》O

GB/T29246-2017/ISO/IEC27000:2016信息技術(shù)-安全技術(shù)-信息安全和隱私管理

體系概述和詞匯。GB/T22080-2016/ISO/IEC27001：20和信息技術(shù)-安全技術(shù)-信息安

全管理體系要求。GB/T22081-2016/ISO/IEC全002:2013信息技術(shù)-安全技術(shù)-信息

安全控制實(shí)踐指南。ISO/IEC27701:2019《針對(duì)ISO/TEC27001和ISO/IEC27002在隱

私信息管理的擴(kuò)展-要求和指南》。

三、術(shù)語(yǔ)和定義

1.術(shù)語(yǔ)

GB/T22080-2016/IS0/1EC27001:2013《信息技術(shù)-安全技術(shù)-信息安全和隱私管

理體系-要求》、GB/T22081-2016/1S0/1EC27002:2013《信息技術(shù)-安全技術(shù)-信息

安全控制實(shí)踐指南》、ISO/IEC27701:2019《針對(duì)ISO/IEC27001和ISO/IEC27002

在隱私信息管理的擴(kuò)展-要求和指南》、ISO/IEC29100信息技術(shù)-安全技術(shù)-隱私框架

規(guī)定的術(shù)語(yǔ)和定義以及下述定義適用于本《信息安全和隱私管理手冊(cè)》。

?可用性：保證被授權(quán)的使用者需要時(shí)能夠訪(fǎng)問(wèn)信息及相關(guān)信息資產(chǎn)。

?保密性：保證信息只被授權(quán)的人訪(fǎng)問(wèn)。

?信息安全：保持信息的保密性、完整性和可用性。

?信息安全和隱私管理體系（ISMS）:是企業(yè)管理體系的一部分，建立用手控制

業(yè)務(wù)風(fēng)險(xiǎn)的一種方法，以確保在開(kāi)發(fā)、實(shí)施、完成、評(píng)審和維護(hù)信息的安全。

【注：管理體系包括組織的結(jié)構(gòu)、方針、計(jì)劃、活動(dòng)、責(zé)任、實(shí)踐、程序、過(guò)程和

資源】

?完整性：保護(hù)信息和處理過(guò)程的準(zhǔn)確和完整。

?風(fēng)險(xiǎn)接受：接受一個(gè)風(fēng)險(xiǎn)的決定。

?風(fēng)險(xiǎn)分析：系統(tǒng)化地使用信息識(shí)別來(lái)源和估計(jì)風(fēng)險(xiǎn)。

?風(fēng)險(xiǎn)評(píng)估：風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)的整個(gè)過(guò)程。

?風(fēng)險(xiǎn)評(píng)價(jià)：比較估計(jì)風(fēng)險(xiǎn)與給出的風(fēng)險(xiǎn)標(biāo)準(zhǔn)，確定風(fēng)險(xiǎn)嚴(yán)重性的過(guò)程。

?風(fēng)險(xiǎn)管理：指導(dǎo)和控制組織風(fēng)險(xiǎn)的聯(lián)合行動(dòng)。

?風(fēng)險(xiǎn)處理：選擇和實(shí)施措施以更改風(fēng)險(xiǎn)的處理過(guò)程。

?適用性聲明：描述適月于組織的ISMS范圍的控制目標(biāo)和控制措施?？刂颇繕?biāo)和

控制措施是建立在風(fēng)險(xiǎn)評(píng)估和處理過(guò)程的結(jié)論和結(jié)果基礎(chǔ)上。

?PTT主體：PIT關(guān)聯(lián)的自然人。

?PII控制者：決定PH處理目的和方法的隱私權(quán)利益相關(guān)方。

?聯(lián)合控制者：決定與一個(gè)或多個(gè)P11控制者聯(lián)合處理P11的目的和方式的PII

控制者。

?PH處理者：代表PII控制者，并按PH控制者的指示對(duì)PII進(jìn)行處理的隱私

權(quán)利益相關(guān)方.

?PH分包處理者：作為分包商處理個(gè)人數(shù)據(jù)的PH處理者。

2.縮寫(xiě)

ISMS：InformationSecurityManagementSystems信息安全和隱私管理體系；

PIMS：隱私信息管理體系，在處理PH過(guò)程中應(yīng)對(duì)可能潛在影響隱私保護(hù)的信息安

全管理體系。

PII：個(gè)人身份信息。

SoA：StatementofApplicability適用性聲明；

PDCA：PlanDoCheckAction計(jì)劃、實(shí)施、檢查、改進(jìn)；

本公司：**************科技有限公司

四、總則

4.1本標(biāo)準(zhǔn)架構(gòu)

本手冊(cè)是根據(jù)ISO/IEC27001：2013和ISO/I是27002：2013相關(guān)的特定領(lǐng)域標(biāo)

準(zhǔn)的要求制定的。本手冊(cè)專(zhuān)注于PIMS隱私信息管理體系領(lǐng)域的要求。遵守本手冊(cè)的制

定是遵守這些要求以及1S0/1EC27001：2013中的要求。在信息安全基礎(chǔ)上，本手冊(cè)還

擴(kuò)展了ISO/IEC27001：2013標(biāo)準(zhǔn)的相關(guān)隱私的要求。

本手冊(cè)第5章提供了適用于無(wú)論作為P1I控制者或者處理者的組織在實(shí)施

ISO/IEC27001：2013的要求時(shí)相關(guān)的PIVS特定要求以及其他信息。

本手冊(cè)第6章提供了適用于無(wú)論無(wú)論作為PII控制者或者處理者的組織在實(shí)施

ISO/IEC27002的控制時(shí)相關(guān)的PIMS特定要求以及其他信息。

本手冊(cè)第7章為PII控制者提供的ISO/IEC27002補(bǔ)充指南。

本手冊(cè)第8章為PTT處理者提供的TSO/TEC27002補(bǔ)充指南。

4.2ISO/IEC27001：2013要求的應(yīng)用

以下為PIMS特定要求的位置和實(shí)施ISO/IEC27001：2013中控制的其他信息

ISO/IEC27001：2013標(biāo)題本標(biāo)準(zhǔn)中的子備注

中的條款條款

4組織環(huán)境5.2補(bǔ)充要求

5領(lǐng)導(dǎo)5.3沒(méi)有特定于PIMS的要求

6規(guī)劃5.4補(bǔ)充要求

7支持5.5沒(méi)有特定于PIMS的要求

8運(yùn)行5.6沒(méi)有特定于PIMS的要求

9績(jī)效評(píng)價(jià)5.7沒(méi)有特定于P1MS的要求

10改進(jìn)5.8沒(méi)有特定于PIMS的要求

4.3ISO/IEC27002：2013指南的應(yīng)用

以下為PIMS特定指南的位置和實(shí)施在ISO/IEC27002：2013中控制的其他信息

ISO/IEC27002：標(biāo)題本標(biāo)準(zhǔn)中的子備注

2013中的條款條款

5信息安全策略6.2補(bǔ)充指南

6信息安全組織6.3補(bǔ)充指南

7人力資源安全6.4補(bǔ)充指南

8資產(chǎn)管理6.5補(bǔ)充指南

9訪(fǎng)問(wèn)控制6.6補(bǔ)充指南

10密碼6.7補(bǔ)充指南

11物理和環(huán)境安全6.8補(bǔ)充指南

12運(yùn)行安全6.9補(bǔ)充指南

13通信安全6.10補(bǔ)充指南

14系統(tǒng)的獲取、開(kāi)發(fā)和6.11補(bǔ)充指南

維護(hù)

15供應(yīng)商關(guān)系6.12補(bǔ)充指南

16信息安全事件管理6.13補(bǔ)充指南

17業(yè)務(wù)連續(xù)性管理的6.14沒(méi)有特定于PIMS的指南

信息安全方面

18符合性6.15補(bǔ)充指南

4.4顧客

客戶(hù)可以理解為：

a.與PH控制者簽訂合同的組織，例如PII控制者的客戶(hù)；

b.同PII處理者簽訂合同的PII控制者，如PH處理者的客戶(hù)；

c.與PII處理的分包商簽訂合同的PII處理者，如PII子處理者的客戶(hù);

五、與ISO/IEC27001相關(guān)的PIMS特定要求

5.1、總則

本手冊(cè)提及的IS0/IEC27001：2013中“信息安全”的要求擴(kuò)展到針對(duì)可能受PII

處理而產(chǎn)生潛在影響的隱私保護(hù)。

在ISO/IEC27001：2013中使用“信息安全”時(shí)，相當(dāng)于“信息安全和隱私”°

5.2、組織環(huán)境

5.2.1.理解組織及其環(huán)境

總經(jīng)理負(fù)賁組織對(duì)企業(yè)外部環(huán)境和內(nèi)部環(huán)境進(jìn)行分析C

本公司從事等互聯(lián)網(wǎng)軟件產(chǎn)品研發(fā)、銷(xiāo)售、智能營(yíng)銷(xiāo)策略服務(wù)等相關(guān)活動(dòng)有關(guān)的信

息安全管理活動(dòng)。具有從事上述業(yè)務(wù)有關(guān)的信息安全管理活動(dòng)的本行業(yè)專(zhuān)業(yè)化的管理人

才隊(duì)伍和優(yōu)秀技術(shù)工人，公司為滿(mǎn)足顧客要求，為企業(yè)自身利益需要，建立、實(shí)施、運(yùn)

行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息安全和隱私管理體系。為此應(yīng)確定影響公司

信息安全和隱私管理體系實(shí)現(xiàn)目標(biāo)能力的外部環(huán)境和內(nèi)部環(huán)境。

本公司確定在提供與消費(fèi)者運(yùn)營(yíng)工具平臺(tái)研發(fā)、消費(fèi)者運(yùn)營(yíng)策略服務(wù)中的角色如

下：

PII處理者：主要涉及處理內(nèi)容：開(kāi)發(fā)工具軟件給品牌使用，工具軟件在平臺(tái)上（阿

里、京東等）獲取存儲(chǔ)客戶(hù)相關(guān)信息（如瀏覽店鋪、收藏店鋪、下單、填寫(xiě)個(gè)人信息等），

工具軟件歸品牌管理，相關(guān)信息未經(jīng)品牌授權(quán)，本公司無(wú)權(quán)使用和接觸。因品牌開(kāi)發(fā)需

求或者消費(fèi)者運(yùn)營(yíng)策略服務(wù)需要，授權(quán)本公司員工可以接觸可以信息，本公司人員方可

在授權(quán)范圍內(nèi)進(jìn)行拉取相關(guān)信息和處理。

5.2.1.1外部環(huán)境

a.政府監(jiān)管、服務(wù)部門(mén)：工商局、質(zhì)量技術(shù)監(jiān)督局、通信管理局、互聯(lián)網(wǎng)協(xié)會(huì)等；

b.顧客：各大企業(yè)；

c.供應(yīng)商：京東、阿里等；

d.適用的信息安全和隱私法律；

e.適用的司法判決/行政決定/合同要求；

5.2.1.2內(nèi)部環(huán)境

a.基礎(chǔ)設(shè)施：辦公室、監(jiān)控系統(tǒng)、門(mén)禁系統(tǒng)、機(jī)房、網(wǎng)絡(luò)系統(tǒng)。

b.物理區(qū)域：機(jī)房。

c.內(nèi)部管理：建立保密制度、信息資產(chǎn)、風(fēng)險(xiǎn)管理制度、監(jiān)督、約束機(jī)制。

5.2.2.理解相關(guān)方的需求和期望

總經(jīng)理負(fù)責(zé)引導(dǎo)公司理解相關(guān)方的需求和期望。

由公司產(chǎn)品及業(yè)務(wù)方向決定，公司的相關(guān)方；

政府監(jiān)管、服務(wù)部門(mén)需要本公司遵章守法經(jīng)營(yíng)，配合其工作的開(kāi)展，維護(hù)其依法監(jiān)

管。期望本公司創(chuàng)新經(jīng)營(yíng)，信息安全、保持穩(wěn)定，無(wú)不良行為及不良影響，持續(xù)發(fā)展；

顧客需要本公司提供價(jià)格合理、質(zhì)量可靠安全的產(chǎn)品，并服務(wù)周到按期交付，確保

顧客的信息資產(chǎn)完整性、保密性、適用性。期望本公司滿(mǎn)足資質(zhì)能力要求和生產(chǎn)技術(shù)要

求；

公司內(nèi)部成員需要本公司具備持續(xù)滿(mǎn)足從事研發(fā)的設(shè)施設(shè)備，符合政府監(jiān)管部門(mén)和

顧客對(duì)從事產(chǎn)品業(yè)務(wù)活動(dòng)的要求。期望本公司在本行業(yè)各方面領(lǐng)先，持續(xù)發(fā)展，同時(shí)個(gè)

人得到發(fā)展。

公司的相關(guān)方還應(yīng)考慮與PH處理有關(guān)，有利益關(guān)系或負(fù)有責(zé)任的各方，以及PH

主體、PII控制者、PII處理者。

5.2.3.信息安全和P急私管理體系的范圍

總經(jīng)理負(fù)責(zé)確定木公司信息安全和隱私管理體系范圍。

本公司根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)確定了范圍和邊界：

ISMS/PIMS的范圍是：消費(fèi)者運(yùn)營(yíng)工具平臺(tái)研發(fā)、消費(fèi)者運(yùn)營(yíng)策略服務(wù)

地理位置：深圳

涉及部門(mén)：品牌拓展部、研發(fā)中心、策略中心、系統(tǒng)運(yùn)維部、人力行政部、財(cái)務(wù)部。

資產(chǎn)范圍：上述范圍內(nèi)涉及的所有信息資產(chǎn)，包括軟件、數(shù)據(jù)、硬件、人員、文檔、

服務(wù)和其它資產(chǎn)。詳見(jiàn)《資產(chǎn)清單》。

本公司《信息安全和隱私管理手冊(cè)》采用了GB/T22080-2016/ISO/IEC2700》2013

標(biāo)準(zhǔn)，IS0/IEC27701:2019《針對(duì)IS0/IEC27001和IS0/IEC27002在隱私信息管理的擴(kuò)

展-要求和指南》的全部?jī)?nèi)容，對(duì)本標(biāo)準(zhǔn)附錄部分的刪減及理由詳見(jiàn)《適用性聲明》；

管理者代表組織信息安全和隱私小組編制《適用性聲明》。該聲明包括以下方面的

內(nèi)容：所選擇控制目標(biāo)與控制措施的概要描述，以及選擇的原因。

5.2.4.信息安全和隱私管理體系

總經(jīng)理負(fù)責(zé)領(lǐng)導(dǎo)公司建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全和隱私

管理體系。

管理者代表主持信息安全和隱私小組按照GB/T22080-2016/TSO/IEC27001:2013

《信息技術(shù)安全技術(shù)信息安全和隱私管理體系要求》，結(jié)合公司實(shí)際業(yè)務(wù)和發(fā)展需

要，參照GB/T22081-2016/IS0/IEC27002:2013《信息技術(shù)-安全技術(shù)-信息安全管

理實(shí)踐指南》、ISO/IEC27701:2019《針對(duì)ISO/IEC27001和1SO/IEC27002在隱私信息

管理的擴(kuò)展-要求和指南》，建立文件化的信息安全和隱私管理體系，主要包括：信息

安全和隱私管理手冊(cè)，適用于各活動(dòng)的程序文件、控制策略和制度；各類(lèi)記錄等。體系

規(guī)范了各項(xiàng)管理活動(dòng)、技術(shù)活動(dòng)、支持性活動(dòng)的開(kāi)展，確保公司產(chǎn)品及服務(wù)的信息安全

能夠滿(mǎn)足客戶(hù)需求并持續(xù)提高。

5.3、領(lǐng)導(dǎo)

5.3.1.領(lǐng)導(dǎo)和承諾

本公司總經(jīng)理通過(guò)以下活動(dòng)，對(duì)建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)審、保持和改進(jìn)信息

安全和隱私管理體系的承諾提供證據(jù)：

a）建立信息安全和隱私方針；

b）確保信息安全和隱私目標(biāo)和計(jì)劃得以制定（見(jiàn)信息安全和隱私管理方針及目標(biāo)、

《風(fēng)險(xiǎn)處理計(jì)劃》及相關(guān)記錄）；

c）建立信息安全和隱私的角色和職責(zé)（見(jiàn)職責(zé)分配表）；

d）向組織傳達(dá)滿(mǎn)足信息安全和隱私目標(biāo)、符合信息安全和隱私方針、履行法律責(zé)

任和持續(xù)改進(jìn)的重要性；

e）提供充分的資源，以建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)審、保持并改進(jìn)信息安全和

隱私管理體系（見(jiàn)本7.1資源）；

f）決定接受風(fēng)險(xiǎn)的準(zhǔn)則和風(fēng)險(xiǎn)的可接受等級(jí)（見(jiàn)《信息安全風(fēng)險(xiǎn)評(píng)估控制程序》及

相關(guān)記錄）；

g）確保內(nèi)部信息安全和隱私管理體系審核（見(jiàn)內(nèi)部審核〉得以實(shí)施；

h）實(shí)施信息安全和隱私管理體系管理評(píng)審（見(jiàn)管理評(píng)審）。

5.3.2.方針

為了滿(mǎn)足適用法律法規(guī)及相關(guān)方要求，維持ISMS/PIMS范圍內(nèi)的業(yè)務(wù)正常進(jìn)行，實(shí)

現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展，本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)確

定了信息安全和隱私管理體系方針（見(jiàn)信息安全和隱私管理方針及目標(biāo)）。

ISMS/PIMS方針是本公司信息安全和隱私管理的綱領(lǐng)，ISMS/PIMS方針體現(xiàn)和包括了

以下內(nèi)容：闡述了有關(guān)信息安全和隱私行為的總體指導(dǎo)思想和原則，提供了制訂信息安

全和隱私管理目標(biāo)的框架；考慮了業(yè)務(wù)及法律或法規(guī)的要求，以及合同的安全和隱私義

務(wù)；體現(xiàn)了本公司建立和保持ISMS/PIMS作為公司的發(fā)展戰(zhàn)略和風(fēng)險(xiǎn)管理手段的信息安

全和隱私管理的長(zhǎng)期戰(zhàn)略要求；確立了風(fēng)險(xiǎn)評(píng)價(jià)的標(biāo)準(zhǔn)和風(fēng)險(xiǎn)評(píng)估的方法；體現(xiàn)公司管

浬層加強(qiáng)及支持信息安全和隱私管理的意圖和承諾。

信息安全和隱私方針由信息安全和隱私小組擬定，提交管理者代表審核，由最高管

理者-總經(jīng)理批準(zhǔn)分布，以適當(dāng)?shù)姆绞絺鬟_(dá)給員工。

5.3.3.組織角色、職責(zé)和權(quán)限

3.1本公司總經(jīng)理為信息安全和隱私最高責(zé)任者。職責(zé)：

（1）制定和批準(zhǔn)發(fā)布公司信息安全和隱私方針和目標(biāo)。

（2）批準(zhǔn)信息安全和隱私管理手冊(cè)和程序文件。

（3）為德立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息安全和隙私管

陛體系提供充足的資源。

（4）任命信息安全和隱私管理者代表、工作小組組長(zhǎng)。

（5）決定公司的機(jī)構(gòu)設(shè)置，規(guī)定部門(mén)的職責(zé)和權(quán)限。

（6）決定風(fēng)險(xiǎn)的可接受水平。

（7）定期組織管理評(píng)審。

（8）負(fù)責(zé)公司信息安全加隱私糾正和預(yù)防措施的落實(shí)，持續(xù)改進(jìn)信息安全和隱私

管理體系。

3.2管理者代表是由總經(jīng)理在公司管理層中指定，管理者代表無(wú)論在其他方面的

職責(zé)如何，對(duì)信息安全和隱私負(fù)有重要職責(zé)（見(jiàn)授權(quán)書(shū)）

3.3本公司成立信息安全和隱私領(lǐng)導(dǎo)機(jī)構(gòu)--信息安全和隱私小組（見(jiàn)信息安全和

隱私小組成立）

3.4公司管理層其他成員信息安全和隱私職責(zé)：

總經(jīng)理：

1）認(rèn)真理解掌握信息安全和隱私管理體系的管理思想，并在實(shí)踐中加以運(yùn)用；

2）帶頭執(zhí)行國(guó)家的有關(guān)法律法規(guī)，并向全體員工傳達(dá)增進(jìn)顧客滿(mǎn)意及遵守法律法規(guī)

的重要性；

3）組織策劃、建立管理體系；建立與管理體系相適應(yīng)的組織機(jī)構(gòu)，并確立各級(jí)各類(lèi)

員工的職責(zé)；

4）制定適宜的管理方針、目標(biāo)、指標(biāo)，確保目標(biāo)指標(biāo)在公司的各個(gè)層面上得到適宜

的分解；

5）任命管理者代表，以確保管理體系的過(guò)程得到建立、實(shí)施、保持和改進(jìn)；

6）提供管理體系正常運(yùn)行所必須的資源，如：具備能力的人員、設(shè)備，法規(guī)，工作

環(huán)境等；

7）建立溝通機(jī)制，創(chuàng)造良好的溝通氛圍，確保溝通有效進(jìn)行，使管理體系的各個(gè)過(guò)

程得以有效銜接：

8）按要求組織管理評(píng)審，評(píng)價(jià)管理體系的適宜性、充分性、有效性，以及管理體系

改進(jìn)的機(jī)會(huì)和變更的需要，包括：管理方針、目標(biāo)指標(biāo)、資源需求等。

管理者代表（副管理者代表）：

1）負(fù)責(zé)公司信息安全和隱私管理體系的建立，實(shí)施和保持，確保其符合標(biāo)準(zhǔn)要求，

具體工作包括：

a）組織修訂管理體系文件；

b）組織安排公司內(nèi)部審核；

c）負(fù)責(zé)管理評(píng)審的輸入（見(jiàn)管理評(píng)審控制程序）；

d）對(duì)管理評(píng)審中的糾正預(yù)防措施及持續(xù)改進(jìn)要求進(jìn)行跟蹤落實(shí)。

2）貫徹執(zhí)行國(guó)家有關(guān)的法律法規(guī)和條例，認(rèn)真理解掌握信息安全和隱私管理體系的

管理思想，確保公司管理體系的實(shí)施和維持；

3）協(xié)助總經(jīng)理開(kāi)展信息安全和隱私過(guò)程管理工作，并承擔(dān)相應(yīng)管理責(zé)任；

4）完善公司各部門(mén)管理目標(biāo)及管理制度；

5）向總經(jīng)理報(bào)告管理體系（顧客滿(mǎn)意度、管理方針/目標(biāo)的實(shí)現(xiàn)情況等）和任何改

進(jìn)的需求；

6）通過(guò)各種方式（如培訓(xùn)1/鼓勵(lì)/交流等）不斷加深全麻員工/供方對(duì)信息安全相關(guān)

要求和職責(zé)的了解以及對(duì)增進(jìn)顧客滿(mǎn)意重要性的理解和認(rèn)識(shí)；

7）作為公司的代表，就公司管理體系的有關(guān)問(wèn)題與顧客及其它相關(guān)方進(jìn)行內(nèi)外聯(lián)絡(luò)

與溝通；

8）在管理者代表外出期間，由副管理者代表負(fù)責(zé)相關(guān)事宜。

隱私專(zhuān)員：

1）跟蹤并研究國(guó)內(nèi)外網(wǎng)絡(luò)安全、個(gè)人信息保護(hù)、隱私安全等法規(guī)、政策、標(biāo)準(zhǔn)及

相關(guān)事件，評(píng)估對(duì)業(yè)務(wù)的影響和對(duì)策，分析預(yù)判合規(guī)走向和趨勢(shì)；

2）負(fù)責(zé)制定公司內(nèi)部隱私相關(guān)安全制度、流程和規(guī)范；

3）宣導(dǎo)相關(guān)隱私安全策咚、規(guī)范制度，提升員工安全合規(guī)意識(shí)；

4）根據(jù)業(yè)務(wù)部門(mén)申請(qǐng)或項(xiàng)目需要提供合規(guī)支撐，輸出分析及建議措施。

系統(tǒng)運(yùn)維部：

1）系統(tǒng)運(yùn)維部是公司信息安全和隱私管理體系的建立、實(shí)施和保持的具體執(zhí)行機(jī)

構(gòu)。負(fù)責(zé)建立公司信息安全和隱私管理體系，包括組織編制和修改體系文件及

文件管理；

2）負(fù)責(zé)信息安全和隱私管理體系的策劃，包括組織信息安全推行小組，及管理方案

的制定；

3）負(fù)責(zé)信息安全和隱私管理體系在公司內(nèi)的推行和保持，包括組織適當(dāng)?shù)幕?、組

織管理體系內(nèi)部審核、協(xié)助總經(jīng)理做好管理評(píng)審等；

4）負(fù)責(zé)對(duì)公司體系運(yùn)行所采取的糾正、預(yù)防和改進(jìn)措施的實(shí)施情況進(jìn)行監(jiān)督，以及

實(shí)施后的跟蹤和驗(yàn)證；

5）負(fù)責(zé)監(jiān)督信息安全管理方案及相關(guān)措施的落實(shí)，組織監(jiān)視和測(cè)量；

6）負(fù)責(zé)管理“7S”活動(dòng)；

7）負(fù)責(zé)內(nèi)部與信息安全和隱私管理體系的相關(guān)信息的怖調(diào)處理和溝通；

8）負(fù)責(zé)與管理體系有關(guān)的外部機(jī)構(gòu)進(jìn)行溝通和聯(lián)絡(luò)；

9）信息安全風(fēng)險(xiǎn)組織評(píng)估管理；

10）負(fù)責(zé)公司計(jì)算機(jī)系統(tǒng)的安全維護(hù)工作，保障公司所有計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)運(yùn)行正

常；

11）落實(shí)檢查安全維護(hù)技術(shù)措施，保障公司網(wǎng)絡(luò)的運(yùn)行安全和信息安全；

12）負(fù)責(zé)公司內(nèi)部和外部郵件系統(tǒng)的安全、維護(hù)，確保郵件系統(tǒng)收發(fā)正常；

13）負(fù)責(zé)公司網(wǎng)站的更新維護(hù)；

14）負(fù)責(zé)對(duì)公司電腦使用人員進(jìn)行必要的教育和培訓(xùn)；

15）負(fù)責(zé)機(jī)房管理，防止和制止違反機(jī)房各項(xiàng)管理制度的行為；

16）負(fù)責(zé)系統(tǒng)和重要軟件的收集及版本更新升級(jí)的組織協(xié)調(diào)工作；

17）負(fù)責(zé)公司E即系統(tǒng)的推廣及維護(hù)工作；

18）涉及本部門(mén)及IT相關(guān)信息安全風(fēng)險(xiǎn)評(píng)估；

19）負(fù)責(zé)本部門(mén)的信息安全資產(chǎn)識(shí)別及管理；

20）負(fù)責(zé)本部門(mén)的信息安全風(fēng)險(xiǎn)管理；

21）負(fù)責(zé)本部門(mén)的信息安全相關(guān)工作。

品牌拓展部：

1）在經(jīng)營(yíng)活動(dòng)中貫徹公司信息安全方針，制定目標(biāo)并確保其實(shí)現(xiàn)；

2）貫徹管理層的經(jīng)營(yíng)思想，開(kāi)拓市場(chǎng)，進(jìn)行項(xiàng)目的前期策劃跟進(jìn)工作；

3）組織投標(biāo)工作，確定顧客的要求，與顧客簽訂供貨合同，接受顧客的訂單，與

客戶(hù)簽訂相關(guān)保密協(xié)議；

4）負(fù)責(zé)有關(guān)招標(biāo)文件、信息、客戶(hù)檔案資料的收集及歸檔工作。

5）負(fù)責(zé)與顧客的溝通，搜集顧客及相關(guān)方的意見(jiàn)并及時(shí)進(jìn)行信息反饋和內(nèi)部溝通;

6）組織合同及訂單的評(píng)審；

7）負(fù)責(zé)組織并跟蹤合同及訂單的執(zhí)行，下達(dá)開(kāi)發(fā)指令，并就合同執(zhí)行過(guò)程中的問(wèn)

題，包括合同的變更等，與顧客進(jìn)行溝通；

8）負(fù)責(zé)與顧客確認(rèn)樣品；

9）負(fù)責(zé)產(chǎn)品的售后服務(wù)工作，包括顧客投訴的處理；

10）組織用戶(hù)回訪(fǎng)和顧客滿(mǎn)意度調(diào)查工作，統(tǒng)計(jì)顧客滿(mǎn)意度并報(bào)告；

11）負(fù)責(zé)客戶(hù)資料的保密管理；

12）對(duì)特定產(chǎn)品或訂單進(jìn)行品質(zhì)策劃，并指導(dǎo)各工序作業(yè)；

13）就售后技術(shù)問(wèn)題與顧客進(jìn)行溝通；

14）負(fù)責(zé)本部門(mén)的信息安全和隱私資產(chǎn)識(shí)別及管理；

15）負(fù)責(zé)本部門(mén)的信息安全和隱私風(fēng)險(xiǎn)管理；

16）負(fù)責(zé)本部門(mén)的信息安全和隱私相關(guān)工作。

人力行政部：

1）在本部門(mén)貫徹公司信息安全和隱私管理方針，制定本部門(mén)信息安全和隱私目標(biāo)

并確保目標(biāo)實(shí)現(xiàn)；

2）負(fù)責(zé)公司人才的引進(jìn)，培訓(xùn)計(jì)劃的編制、落實(shí)及統(tǒng)計(jì)，組織公司員工的各種培

訓(xùn)，包括管理體系的運(yùn)行培訓(xùn)、本企業(yè)文化理念的培訓(xùn)、崗前培訓(xùn)、專(zhuān)業(yè)培訓(xùn)

等；

3）負(fù)責(zé)公司行政文件的草擬以及人事檔案、技術(shù)檔案、培訓(xùn)記錄的管理；

4）理解公司管理層關(guān)于內(nèi)部溝通的方式，并具體組織落實(shí)，包括組織公司例會(huì)，

創(chuàng)造安全健康、融洽的工作環(huán)境；

5）負(fù)責(zé)公司的安全管理，包括應(yīng)急準(zhǔn)備和響應(yīng)；

10）負(fù)責(zé)員工的考勤管理及對(duì)員工的具體考核工作；

11）負(fù)責(zé)本部門(mén)的信息安全和隱私資產(chǎn)識(shí)別及管理；

12）負(fù)責(zé)本部門(mén)的信息安全和隱私風(fēng)險(xiǎn)管理；

13）負(fù)責(zé)本部門(mén)的信息安全和隱私相關(guān)工作。

財(cái)務(wù)部：

1）在經(jīng)營(yíng)活動(dòng)中貫徹公司信息安全和隱私方針，制定目標(biāo)并確保其實(shí)現(xiàn)；

2）編制并執(zhí)行財(cái)務(wù)收支計(jì)劃、資金籌措方案等，為公司各項(xiàng)經(jīng)營(yíng)活動(dòng)提供資金保

障；

3）分析、計(jì)劃、核算、金制成本費(fèi)用，對(duì)經(jīng)營(yíng)活動(dòng)中的財(cái)務(wù)指標(biāo)進(jìn)行考核，降低

消耗；

4）配合工商、財(cái)政、稅務(wù)、金融等有關(guān)部門(mén)了解、檢查公司財(cái)務(wù)工作；

5）負(fù)責(zé)公司生產(chǎn)經(jīng)營(yíng)報(bào)表的統(tǒng)計(jì)和上報(bào)工作；

6）負(fù)責(zé)本部門(mén)的信息安全和隱私資產(chǎn)識(shí)別及管理；

7）負(fù)責(zé)本部門(mén)的信息安全和隱私風(fēng)險(xiǎn)管理；

8）負(fù)責(zé)本部門(mén)的信息安全和隱私相關(guān)工作。

研發(fā)中心：

1）制定研發(fā)中心信息安全和隱私管理體系的工作目標(biāo)并落實(shí)；

2）具體組織研發(fā)，編制研發(fā)計(jì)劃并落實(shí)，保障合同的執(zhí)行；

3）組織研發(fā)過(guò)程各工序的信息安全過(guò)程管理交接和相關(guān)的工作例會(huì)；

4）組織對(duì)信息安全管理的監(jiān)督檢查，處理不符合，采取糾正/預(yù)防措施，確保泄密

事件的預(yù)防；

5）負(fù)責(zé)對(duì)研發(fā)環(huán)境的管理，確保研發(fā)環(huán)境處于良好運(yùn)行狀態(tài)，消除信息泄露的漏

洞；

6）負(fù)責(zé)研發(fā)人員的考勤和考核工作，確保信息安全無(wú)異常事件發(fā)生；

7）負(fù)責(zé)研發(fā)過(guò)程中的記錄管理；

8）負(fù)責(zé)本部門(mén)的信息安全和隱私資產(chǎn)識(shí)別及管理；

9）負(fù)責(zé)本部門(mén)的信息安全和隱私風(fēng)險(xiǎn)管理；

10）負(fù)責(zé)本部門(mén)的信息安全和隱私相關(guān)工作。

策略中心：

1）制定策略中心信息安全和隱私管理體系的工作目標(biāo)并落實(shí)；

2）具體組織客戶(hù)服務(wù)策略計(jì)劃，編制策略計(jì)劃并落實(shí)，保障合同的執(zhí)行；

4）組織策略服務(wù)各工序的信息安全過(guò)程管理交接和相關(guān)的工作例會(huì)；

5）組織對(duì)信息安全管理的監(jiān)督檢查，處理不符合，采取糾正/預(yù)防措施，確保泄

密事件的預(yù)防；

6）負(fù)責(zé)本部門(mén)的信息安全和隱私資產(chǎn)識(shí)別及管理；

7）負(fù)責(zé)本部門(mén)的信息安全和隱私風(fēng)險(xiǎn)管理；

8）負(fù)責(zé)本部門(mén)的信息安全和隱私相關(guān)工作。

信息安全和隱私小組：

1）信息安全和隱私工作人員發(fā)現(xiàn)本單位重大信息安全和隱私隱患，有權(quán)向總經(jīng)理

報(bào)告。

2）信息安全和隱私工作人員發(fā)現(xiàn)信息工作人員使用不當(dāng)，應(yīng)及時(shí)建議有關(guān)單位、

部門(mén)進(jìn)行調(diào)整。

3）信息安全工作人員必須嚴(yán)格遵守國(guó)家有關(guān)法律、法規(guī)和公司有關(guān)規(guī)章制度，嚴(yán)

守公司商業(yè)秘密。

4）負(fù)責(zé)信息安全和隱私管理的日常工作；

5）組織開(kāi)展信息安全和隱私檢查，對(duì)信息工作人員安全和隱私工作進(jìn)行指導(dǎo)和監(jiān)

督；

6）組織開(kāi)展信息安全和隱私知識(shí)的培訓(xùn)和宣傳工作；

7）監(jiān)控信息安全和隱私總體狀況，提出信息安全和隱私分析報(bào)告；

8）及時(shí)向信息安全和隱私領(lǐng)導(dǎo)小組和有關(guān)部門(mén)、單位報(bào)告信息安全事件。

9）信息安全和隱私工作人員包括信息安全和隱私管理人員、信息安全技術(shù)人員、

信息安全和隱私審計(jì)員，其相應(yīng)的職責(zé)分別如下：

內(nèi)部員工：

1）嚴(yán)格遵守所有與信息安全和隱私相關(guān)的國(guó)家法律、法規(guī)和政策，遵守公司所有

的信息安全政策，并簽字承諾遵守保密協(xié)議的有關(guān)規(guī)定；

2）以安全負(fù)責(zé)的方式使用公司的信息資產(chǎn)；

3）積極參加信息安全和隱私教育與培訓(xùn)，提高信息安全意識(shí)；

4）有責(zé)任將違反信息安全政策的事件與行為及時(shí)報(bào)告給本部門(mén)信息安全和隱私管

理員及其他相關(guān)人員。

信息安全技術(shù)人員職責(zé)：

1）負(fù)責(zé)信息安全和隱私相關(guān)設(shè)備（包括防火墻、入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)、

防病毒系統(tǒng)等）的日常運(yùn)行維護(hù)管理；

2）負(fù)責(zé)防火墻系統(tǒng)策略的安全配置；

3）負(fù)責(zé)漏洞掃描軟件（包括漏洞庫(kù)）的管理、更新和公布；

4）負(fù)責(zé)對(duì)網(wǎng)絡(luò)系統(tǒng)所有服務(wù)器和專(zhuān)用網(wǎng)絡(luò)設(shè)備的首次、周期性和緊急的漏洞掃描;

5）負(fù)責(zé)設(shè)備、系統(tǒng)等補(bǔ)丁升級(jí)、安全加固；

6）負(fù)責(zé)定期更新反病毒數(shù)據(jù)庫(kù)和程序模塊，定期執(zhí)行查殺病毒任務(wù)；

7）負(fù)責(zé)密切注意最新網(wǎng)絡(luò)攻擊行為的發(fā)生、發(fā)展情況，關(guān)注和追蹤業(yè)界公布的攻

擊事件；

8）負(fù)責(zé)密切注意最新漏洞的發(fā)生、發(fā)展情況，關(guān)注和追蹤業(yè)界公布的漏洞疫情；

9）負(fù)責(zé)密切關(guān)注權(quán)威機(jī)構(gòu)最近公布的病毒分析報(bào)告、最