ecovadis信息安全制度及应急预案

ecovadis信息安全制度及应急预案
公司社会责任
XXX于2018年6月21日发布了信息安全管理制度，以
加强公司各信息系统管理，保证信息系统安全。

该制度根据《中华人民共和国保守国家秘密法》和XXX相关规定制定，
包括网络安全管理、信息系统安全保密制度、信息安全风险应急预案。

网络安全管理制度
该制度规定，公司网络的安全管理应保障网络系统设备和配套设施的安全，信息的安全，运行环境的安全。

任何单位和个人不得从事破坏公司网络安全的活动，例如破坏、挪用、改动公司网络主结点设备、光缆、网线布线设施，未经允许地删除、修改或增加计算机信息网络中的共享文件和存储、处理或传输的数据和应用程序，制作、传播计算机病毒等破坏性程序，访问带有“黄、赌、毒”、反动言论内容的网站，向其它非本单
位用户透露公司网络登录用户名和密码，以及从事其他危害公司计算机网络及信息系统安全的行为。

各单位信息管理部门负责本单位网络安全和信息安全工作，对本单位所属计算机网络的运行进行巡检，发现问题及时上报信息中心。

连入公司网络的用户必须在其本机上安装防病毒软件，一经发现个人计算机由感染病毒等原因影响到整体网络安全，信息中心将立即停止该用户使用公司网络，待其计算机系统安全之后方予开通。

对网络病毒或其他原因影响整体网络安全的子网，信息中心对其提供指导，必要时可以中断其与骨干网的连接，待子网恢复正常后再恢复连接。

信息系统安全保密制度
信息系统安全保密是一项持续不断的工作，每位系统管理员都必须认识到信息安全保密的重要性和必要性，并提高信息安全保密意识。

对重要系统的系统岗位员工进行信息系统安全保密培训是必要的。

为实现信息发布的真实有效和符合中华人民共和国法规，必须实行信息发布责任追究制度。

所有信息的发布必须按规定
办理审核、审签手续，并且涉及国家及公司机密的信息系统必须与内部网和互联网实施物理隔离，严格执行上网信息的审查制度和涉及国家秘密的信息不得在企业内网发布的规定，以杜绝泄密事件的发生。

对于发布虚假、反动、色情、泄密等内容的责任人，将追究其法律责任。

信息系统管理权限从安全级别、适用对象、操作承载体和设定内容等方面进行分级。

必须设定密码有效期限，采用非明文二次加密技术防止各类密码泄露事故的发生。

利用IT技术手段，对信息系统的硬件配置调整、软件参
数修改严加控制。

利用操作系统、数据库系统、应用系统所提供的安全机制，设置相应的安全参数，保证系统访问的安全。

对于重要的计算机设备，要利用软件技术等手段防止员工擅自安装、卸载软件或改变软件系统配置，并定期对以上情况进行检查。

在信息系统需要委托专业机构进行系统运行和维护管理时，应严格审查其资质条件、市场剩余和信用状况等，并与其签订正式的服务合同和保密协议。

所有信息系统服务器、工作终端、用户终端必须安装安全防病毒软件，对未安装防病毒软件的终端用户有权拒绝为其提供网络接入服务。

对于通过互联网传输的涉密或关键业务数据，要采取必要的技术手段确保信息传递的保密性、准确性、完整性。

5.3.1重要数据丢失辨识
1）误操作或病毒攻击导致的数据丢失。

2）硬件故障导致的数据丢失。

3）自然灾害导致的数据丢失。

4）人为破坏导致的数据丢失。

5.3.2重要数据丢失风险评估
重要数据丢失可能导致公司业务受到影响，客户信息泄露，公司声誉受损，直接经济损失等。

5.4、网络系统大面积瘫痪辨识及评估
5.4.1网络系统大面积瘫痪辨识
1）网络攻击导致的大面积瘫痪。

2）硬件故障导致的大面积瘫痪。

3）系统漏洞导致的大面积瘫痪。

4）自然灾害导致的大面积瘫痪。

5.4.2网络系统大面积瘫痪风险评估
网络系统大面积瘫痪可能导致公司业务中断，客户信息泄露，公司声誉受损，直接经济损失等。

六、应急预案
6.1、应急响应流程
6.1.1应急响应级别
根据风险等级划分应急响应级别，分为一级应急响应、二级应急响应、三级应急响应。

6.1.2应急响应流程
应急响应流程包括：应急响应启动、应急响应组成和职责、应急响应措施、应急响应结束等环节。

6.2、应急预案实施
6.2.1应急预案演练
定期开展应急预案演练，检验应急预案的可行性和有效性。

6.2.2应急预案修订
根据实际情况和演练结果，及时修订应急预案，保证应急预案的及时性、准确性和完整性。

5.3.1 重要数据丢失辨识
重要数据丢失可能由以下原因引起：
1.意外断电
2.服务器故障
3.数据库损坏
5.3.2 重要数据丢失风险评估
1.安全软件系统数据丢失可能影响矿井安全生产的监控和数据采集。

2.数据库系统数据丢失可能影响公司相关部门的经营管理工作和日常办公。

5.4 网络系统大面积瘫痪
5.4.1 网络系统大面积瘫痪辨识
网络系统大面积瘫痪可能由以下原因引起：
1.核心交换机和防火墙故障或损坏
2.通信线路中断
3.服务器故障或损坏
5.4.2 网络系统大面积瘫痪风险评估
1.网络系统大面积瘫痪可能导致公司与生产矿井之间的信息传输中断，影响安全生产的监管。

2.网络系统大面积瘫痪可能影响公司的日常办公。

5.5 高空作业辨识及评估
5.5.1 高空作业辨识
高空作业可能造成人身伤害，包括日常高空维修和工程高空施工。

5.5.2 高空作业风险评估
高空作业可能影响公司的安全生产，导致工作人员的人身伤害和精神伤害。

6.安全风险应急预案及措施
根据各单位存在的主要风险源和风险评估，制定本预案及措施，以保障安全生产工作有序进行。

6.1 火灾应急预案及处置措施
6.1.1 应急预案
发生特大火灾时，值班人员应立即逃离火灾范围，启动火灾应急预案和响应级别，拉响警报，并向公司总调度室、本单位负责人、单位安监部门汇报。

在确保人身安全的情况下，组
织人员利用灭火器进行灭火。

如果火势过大，人员无法靠近时，应立即拨打火警119，求助消防部门进行灭火。

当发生重要数据丢失时，值班人员应立即启动相应的应急预案，根据风险等级向公司总调度室及本单位安监部门汇报，组织技术人员对重要数据进行恢复和备份，同时尽可能找出数据丢失的原因，以便进行改进和预防措施。

6.3.2处置措施
1）发现重要数据丢失时，值班人员应立即启动相应的应
急预案。

2）根据风险等级向公司总调度室及本单位安监部门汇报。

3）组织技术人员对重要数据进行恢复和备份，尽快恢复
正常运行。

4）查找数据丢失的原因，并采取预防措施，避免类似事
故再次发生。

5）搜集重要数据丢失的相关信息并作好记录，为事故处
理提供依据。

1) 当意外断电导致重要数据丢失时，值班人员应根据风
险等级启动相应的响应等级。

他们应向公司总调度室和安监部门汇报，并邀请专业电力维修人员进行故障排查，恢复供电正
常。

如果机房设备和数据出现故障和丢失，应立即组织相关技术人员进行恢复。

2) 当服务器故障导致数据丢失时，值班人员应根据风险
等级启动相应的响应等级。

他们应向公司总调度室和安监部门汇报，并组织技术人员进行服务器维修和数据恢复。

如果服务器和数据无法维修和恢复，应向本单位负责人汇报并外请专业人员进行维修，以确保设备和数据的安全。

3) 当数据库无法启动导致数据丢失时，值班人员应根据
风险等级启动相应的响应等级。

他们应向公司总调度室和安监部门汇报，并组织技术人员进行数据恢复。

如果数据无法恢复，应向本单位负责人汇报并外请专业人员进行数据恢复，以确保数据的安全。

4) 当本单位技术人员无法恢复丢失数据时，应向本单位
负责人汇报并外请专业人员进行数据恢复，以确保数据的安全。

同时，应做好数据丢失与恢复过程的记录。

5) 在高空作业中，如果发生人员坠落风险，坠落人员处于清醒状态时，应立即拨打120送往医院进行急救。

如果坠落人员处于昏迷状态，其他维修人员应立即进行简单的急救，并拨打120急救电话送往医院进行抢救。

同时，应向公司总调度室、本单位负责人及安监部门汇报。

日常进行高空维修时，必须确保维修人员的人身安全。

如果无法保证安全，维修作业就不能进行。

在进行高空维修时，必须至少有两个人一起工作。

如果只有一个人，则维修人员有权拒绝进行维修工作。

高空维修人员必须佩戴安全绳索，并使用安全梯子进行高空作业。

如果没有这些安全措施，就不能进行高空维修作业。

在发生事故后，必须详细记录事故经过，以便进行事故处理。