东软信息安全管理办法-Neusoft

东软信息安全管理办法
文件版本：1.3 发布日期：2018年11月30日 东软集团股份有限公司 版权所有
Copyright © Neusoft Corporation
东软内部公开
文件修订说明
第一章总则
第一条为加强东软集团股份有限公司（以下简称“公司”）的信息安全管理，保护公司及相关方信息安全和商业利益，保证公司业务持续、平稳运行，根据国家有关法律、法规、部门规章和行业规范要求，特制定本办法。

第二条信息安全是公司及相关方正常经营的重要保障，公司遵照“管理风险，保障信息安全，提升经营持续性”的方针，通过风险管理，采取一切可能的控制措施，加强信息安全管理体系的建设和管理。

第三条公司全体员工均有参与信息安全管理、保护公司及相关方信息安全的义务和责任。

员工应积极参加各种形式的信息安全教育和培训，遵守国家有关法律、法规、部门规章和行业规范，遵守公司信息安全管理要求。

第四条本办法适用于公司各职能部门、事业部、分公司（以下如无特殊所指，均简称“部门”）、全资子公司、控股子公司及全体员工，参股公司等其它关联单位可参照本办法执行。

第二章定义
第五条本办法所称信息，是指以文字、数字、图形、符号、图像、声音等形式存在的，可以存储在介质或人脑中的，具有约定含义的事物，包括但不限于源代码、文档、系统数据等。

第六条本办法所称涉密信息，是指不为公众所知悉，并经公司及相关方采取保护措施的信息。

第七条本办法所称个人信息，是指以电子或其他方式记录的、能够单独或者与其他信息结合，识别特定自然人身份或者反映特定自然人活动情况的各种信息，如姓名、出生日期、身份证件号码、住址、电话号码、账号、密码、照片、各类记录等。

第八条本办法所称信息安全，是指保证信息的保密性（Confidentiality）、完整性（Integrity）和可用性（Availability）。

第九条本办法所称相关方，是指公司的客户及与公司合作、支持公司业务运行的其它实体，通常包括客户、网络服务提供商、顾客、IT系统运维服务商、外部审核机构、供应商等。

第十条本办法所称信息安全管理体系文件，是按照ISO27001标准建立的公司日常信息安全管理活动的执行依据。

第三章组织和职责
第十一条信息系统规划与建设委员会是公司信息安全工作的最高领导机构，负责制定公司信息安全管理方针和策略，审批公司信息安全管理计划及监督信息安全管理体系运行，由公司管
理层组成。

信息系统规划与建设委员会下设公司级信息安全事件处理小组，由公司相关职能部门负责人组成，组长由公司管理层担任，负责处理公司的重大信息安全事件与严重信息安全事件。

信息安全管理中心是公司信息系统规划与建设委员会的常设机构，负责贯彻、执行信息系统规划与建设委员会制定的信息安全方针、策略和计划，组织、协调、管理公司日常信息安全活动。

第十二条各事业部、分公司设立部门级信息安全管理委员会，负责部门信息安全工作的规划和管理，由部门管理层组成。

部门级信息安全管理委员会下设部门信息安全事件处理小组，负责处理与本部门相关的信息安全事件。

各部门设立信息安全主管及专员，负责部门日常的信息安全管理工作。

第十三条对信息安全组织和职责的详细规定，参见公司信息安全管理体系文件之《信息安全组织管理规范》。

第四章涉密信息的范围及密级划分
第十四条根据本办法第二章的规定，公司及相关方涉密信息的范围包括但不限于：
（一）技术信息
计算机软件、硬件、软硬件一体机、医疗/健康设备等产品及技术信息：各类研究开发计划、设计方案、设计思想、技术方案、专有技术、源程序、算法、公式、核心数据、技术支持数据、测试数据、产品规格和零件清单、使用手册、说明文档、产品标准、著作权登记材料、专利未公开前的技术资料、未注册的商标图样、网络拓扑图、原型机、测试车辆、样品等；
（二）经营信息
1、经营策略：已实施或尚未付诸实施的经营策略、经营决策等信息；
2、经营计划：各项业务发展计划安排、商业模型、投资计划、资产重组、收购、兼并计划及方案等；
3、市场信息：营销策略、销售渠道、供求信息、销售及合作意向、投标机会、相关方名称及联系方式、公司及相关方需求、产品目录、服务标准、价格政策、利润分析、成本控制、经整理的竞争对手信息等；
4、运营及管理信息：计划参与的项目信息、现有的或正在开发中的内部流程与管理体系以及各种重要管理文件、招投标文件、公司及相关方所有合同内容、合同履行情况、合同执行过程文档、诉讼或仲裁案件情况等；
5、财务信息：未公开的财务预、决算报告及各类财务报表、统计报表、融资及贷款情况、资金计划、资信信息等；
6、人力资源信息：组织机构变动计划、人力资源策略及安排、工资、福利、职位体系、岗位或人员变动信息、培训课程体系、定制培养方案、培训教材、试题库、试卷等；
7、可能对公司股票价格产生重大影响的尚未公开的信息。

其它无论以任何形式和载体发送、传递、记录或存储的技术及经营等信息。

第十五条公司有权根据业务发展需要特别指定涉密信息。

公司根据涉密信息与公司发展策略和经营方针的关系，对市场竞争的影响程度以及是否能为公司带来收益等关键因素，将涉密信息按重要程度高低，依次分为“东软绝密”、“东软秘密”、“东软内部公开”三个级别，实施分级管理。

东软绝密信息是指最重要的涉密信息，一旦泄露将给公司的研究开发或生产经营造成特别严重的影响或使公司的利益遭受特别严重的损害。

东软秘密信息是指一般的涉密信息，一旦泄露将给公司的研究开发或生产经营造成严重的影响或使公司的利益遭受损害。

东软内部公开信息是指仅在公司内部或部门内部公开的涉密信息，一旦泄露将使公司的利益遭受影响。

国家对密级设定另有规定的，从其规定。

第十六条公司员工或相关方员工必须经过信息责任人授权后才能查阅、复制、传递、使用涉密信息。

第五章信息安全管理制度
第一节对区域的管理
第十七条公司区域划分为楼宇外、楼宇内公共区域、办公区域和重要区域。

楼宇外，指公司办公楼宇外至公司土地周界之间的所有区域。

楼宇内公共区域，指公司办公楼宇内远离办公区的公共空间，如大堂、休闲区、停车场、健身中心等。

办公区域，指公司进行正常办公的区域，如办公室、会议室、库房、测试间，以及以上区域周边的走廊。

重要区域，指公司业务的核心区域以及重要安全区域，如机房、变电所、强弱电间、档案室等。

第十八条不同区域之间应设置有效的隔离和明显的标识，并采取适当的出入管理。

员工应严格遵守各区域的出入管理要求，不得进入未授权的办公区域。

第十九条公司制作的员工卡为员工身份识别的有效依据，员工应按规定妥善保管及使用员工卡。

员工不得将员工卡借与他人使用，员工卡丢失应在24小时内上报相关主管部门。

第二十条员工在客户现场办公时必须严格遵守客户现场的物理安全管理要求，认真保管客户发放的门禁卡，退出客户现场时及时返还。

第二十一条未经公司相关部门批准，员工不得允许外部人员进入公司办公区域和重要区域。

第二十二条外部人员进入公司前需要登记，得到接待部门确认后，由接待部门员工陪同在规定区域内活动。

第二十三条对区域管理的详细规定，参见公司信息安全管理体系文件之《物理与环境安全管理规范》、《机房管理规范》。

第二节对信息载体的管理
第二十四条信息载体是指用于记录、传输、积累和保存信息的任何载体或者介质，包括但不限于纸质文件、草图、照片、模型、计算机硬盘、计算机移动存储设备、计算机网络存储设备、互联网或局域网电子邮件、录音、录像、软硬件一体机、医疗/健康设备、原型机、测试车辆、样品等。

第二十五条凡开发、生产、销售、经营、管理中的涉密信息、个人信息载体均应单独管理，严格执行编号、登记、使用、借用、返还等制度。

员工对使用、借用的涉密信息、个人信息载体负有谨慎的保管义务，涉密信息、个人信息载体损坏、丢失的，使用人、借用人应立即上报所在部门信息安全主管。

第二十六条使用、借用涉密信息、个人信息载体必须采取严格的保密措施，不得擅自扩大传阅范围，不得泄露。

原型机、测试车辆、样品或外观需要进行保护的设备须进行严格且有效的管理，并存放在安全区域。

如需带出安全区域，须有专人全程进行监控。

对于开发、生产、经营和管理过程中产生的废弃涉密信息、个人信息载体，须采用有效的方式彻底销毁。

严禁将涉密信息、个人信息载体作为废品出售、丢弃。

第二十七条对涉密信息、个人信息载体的详细规定，参见公司信息安全管理体系文件之《设备安全管理规范》、《信息管理规范》、《个人信息安全管理规范》。

第三节对计算机系统的管理
第二十八条公司IT管理部门负责信息基础设施的规划和建设，统一管理网络结构、线路、设备配置和参数，任何员工不可擅自调整。

第二十九条各部门必须建立计算机及相关设备清单并定期更新，明确设备责任人。

设备在借用、更换、维修及报废时，必须采取适当措施，包括备份原有信息、删除涉密信息/个人信息、格式化硬盘、物理破坏等，以防止设备中原有涉密信息、个人信息的泄露或丢失。

第三十条帐号和密码是访问计算机系统的重要控制措施，员工须妥善保管和正确使用。

密码的设置必须符合强密码策略，并定期修改。

第三十一条信息系统必须由专门指定的系统管理员进行管理，系统管理员权限应依据工作
需要及时进行调整。

系统管理员应严格遵守以下规定：
1、按照系统维护规定进行定期备份及恢复验证；
2、定期检查系统日志，及时处理发现的问题并上报；
3、按照操作流程进行系统配置的变更和系统功能的变更，并详细记录；
4、严格保管系统帐号及密码，禁止提供给他人使用；
5、按照系统的权限审批流程进行权限维护工作。

第三十二条外部人员对公司信息系统的访问必须得到公司相关管理部门的批准，并签署保
密协议或在合同中声明双方有关信息保密的责任与义务。

第三十三条对计算机系统的详细规定，参见公司信息安全管理体系文件之《计算机终端安
全管理规范》、《服务器管理规范》、《备份管理规范》、《网络安全管理规范》。

第四节软件使用的管理
第三十四条各部门使用的自用外购软件须由公司统一购买、统一管理。

第三十五条各部门应严格管理自用外购软件的相关资料，严禁对外泄露。

自用外购软件的更换和升级，应遵循相关购买与使用协议。

第三十六条各部门使用开源软件或其它非商业软件时，需遵守公司的相关规定及与相关方的合同约定；在公司重大项目或关键产品研发时，部门需与法律部一同对开源软件或其它非商业软件使用情况形成评估报告，报公司批准后执行。

第三十七条公司所有计算机系统必须按照公司或部门的软件清单要求安装软件。

禁止安装、使用与工作无关的任何软件，禁止下载和使用未经授权的软件。

第三十八条对自用外购软件使用管理的详细规定，参见公司《自用外购计算机软件管理制度》。

第五节客户信息资产的管理
第三十九条各部门须按照本办法的各项规定和客户的要求，对客户的信息资产实施严格的
保护。

第四十条各部门员工从客户处获得的涉密信息、个人信息，应根据合同内容或默示义务承
担保密责任。

必要时，由公司或者客户与接触该涉密信息、个人信息的员工签署保密协议。

第四十一条员工未经公司或客户许可，不得进行系统安装、软件维护、故障排除等可能对
客户信息系统带来不利影响的操作。

第四十二条一旦发生客户信息资产损失或泄密事件时，各部门必须及时上报公司信息安全
事件处理小组，并积极协助客户共同制定并实施补救措施。

第四十三条对客户信息资产的详细规定，参见公司信息安全管理体系文件之《信息管理规范》、《客户现场安全管理规范》。

第六节个人信息保护
第四十四条各部门应根据相关法律、法规、部门规章、行业规范、公司规定以及与相关方的合同约定，对个人信息进行管理、使用及保护。

第四十五条各部门应以合法手段，获取业务所必需的个人信息。

对于获取的非业务必需的个人信息，需按公司规定或相关方要求屏蔽或删除该个人信息。

第四十六条对自行获取的个人信息，各部门需在事先告知并获得个人信息所有人同意的情况下才能取得，并按事先声明的目的使用该个人信息；未经个人信息所有人同意，各部门不得在事先声明的目的之外使用该个人信息。

对从相关方获取的个人信息，应在个人信息所有人同意的使用目的范围内或相关方提出的（合同或其它方式）使用目的范围内对个人信息进行处理，不可超范围使用。

第四十七条各部门应采取必要的措施和技术手段，管理、使用及保护个人信息，防止公开、泄露、篡改、滥用、丢失、损毁和未经授权检索个人信息。

第四十八条对个人信息的详细规定，参见公司信息安全管理体系文件之《个人信息安全管理规范》。

第七节信息安全评测和供应商管理
第四十九条公司对关键软件业务系统进行信息安全评测，各部门应针对信息安全评测结果中的安全漏洞进行积极整改。

第五十条公司对软件与服务供应商实施满足业务需求的信息安全管理，并有权实施信息安全审计。

第五十一条公司的软件与服务供应商及其相关人员应承担对公司及相关方的涉密信息、个人信息的保密义务，与公司签署保密协议或承诺。

第五十二条公司的软件与服务供应商未经公司许可，不得使用包含第三方知识产权的软件或产品；未经公司许可，不得使用开源软件或其它非商业软件；不得实施在合同中公司明确禁止的行为。

第五十三条公司同软件与服务供应商的合作终止后，各部门需及时撤销供应商的相关权限。

第八节对外交流和合作的管理
第五十四条对于进入公司的特定外部人员，包括但不限于软件/硬件的支持/维护人员、保安、保洁和其它服务人员、学生及其它短期临时工作人员，公司与其派出单位签署保密协议，要求其遵守公司的信息安全管理制度。

第五十五条在公司的公关、宣传活动中，对发布可能涉及公司涉密信息的宣传报导、录音、录像等，以及参加国内、外展览会或举办项目推介会，可能导致技术方案公开或披露涉密信息，须经公司相关管理部门批准。

第五十六条各部门利用网络信息发布平台发布信息时，应确定信息是否为涉密信息，涉密信息不得通过外部网站及其它平台进行发布。

在网络信息发布平台发布的信息内容必须符合国家相关法律、法规规定，必须真实、准确、完整。

第五十七条在对外交流和合作过程中，如涉及涉密信息，各部门应视该涉密信息对公司业务的重要程度，与因业务往来需要知悉公司涉密信息的相关方人员签订保密协议。

第五十八条各部门申请加入商业性组织、商业性网络平台时，应坚持信息最小化披露原则。

第九节信息安全教育
第五十九条信息安全工作人人有责。

公司重视对员工的信息安全教育工作，采取一切可能手段提高员工信息安全意识，加强员工保护公司信息安全的责任感。

第六十条接受信息安全教育是公司所有员工的义务和责任。

第六十一条信息安全教育一般包括：
1、新入职员工在始业教育中必修《东软信息安全管理》课程；
2、定期的信息安全培训及日常信息安全知识普及教育；
3、针对进入特定业务、特定项目或相关方现场的员工进行专项信息安全教育；
4、信息安全事件发生后，组织相关人员进行专项信息安全教育；
5、对离职员工进行离职前信息安全教育及保密义务提示。

第十节审核和检查
第六十二条信息安全管理体系审核包括管理评审、内部审核、二方审核及认证审核，二方审核包括客户对公司、公司对第三方服务商进行的审核。

通过这些审核活动，检查公司信息安全管理体系是否有效运行，发现公司在信息安全管理中存在的问题。

第六十三条公司每年至少组织一次全公司范围的信息安全管理体系内部审核，各部门须配
合内部审核活动，并对审核中发现的问题及时整改。

公司不定期对各部门进行信息安全日常检查，及时通报检查结果并监控改进措施的落实。

第六十四条各部门需定期对本部门的信息安全工作进行内部自检，对于自检中发现的问题及时整改。

第六十五条对信息安全审核和检查的详细规定，参见公司信息安全管理体系文件之《信息安全管理体系审核与评价规范》。

第六章信息安全事件
第六十六条信息安全事件是指对公司及相关方信息资产的保密性、完整性、可用性造成危害，或者对公司或相关方造成负面影响的事件，主要包括信息的未授权泄露、信息的未授权修改或破坏、计算机系统或信息的使用中断等。

根据其对公司或相关方造成的影响及损失程度，信息安全事件分为重大事件、严重事件、一般事件。

重大事件是指有意窃取、泄露公司或相关方的涉密信息或个人信息，有意或无意破坏信息系统的运行导致业务中断，给公司或相关方造成重大影响或损失的行为，包括但不限于：引起客户重大投诉、丢失或损坏公司或相关方设备、泄露绝密信息、信息系统发生故障导致公司或相关方关键业务中断6小时以上等。

严重事件是指有意的系统攻击，泄露涉密信息、个人信息，大规模爆发病毒，损坏信息资产，给公司或相关方造成了一定影响或损失的行为，包括但不限于：企图访问重要信息系统、破坏重要服务或者网络、泄露秘密信息、破坏性地/大规模病毒爆发、信息系统发生故障导致公司或相关方关键业务中断2-6小时等。

一般事件是指违反公司或相关方信息安全管理规定，影响范围较小，给公司或相关方造成了较小的影响或损失的行为，包括但不限于信息系统发生故障导致公司或相关方关键业务中断2小时以内、小范围的病毒爆发等。

第六十七条员工如发现信息安全事件须在第一时间上报部门信息安全主管，由部门信息安全主管判断事件级别，并根据事件级别进行相应处理。

重大信息安全事件须在2小时内、严重信息安全事件须在12小时内，向公司信息安全事件处理小组报告。

第六十八条对信息安全事件报告及处理的详细规定，参见公司信息安全管理体系文件之《信息安全事件管理规范》。

第七章员工的权利和义务
第一节基本原则
第六十九条工作原因产生的涉密信息，所有权属于公司。

员工在职期间对公司及相关方的涉密信息和个人信息，负有仅为工作目的使用、谨慎保管、默示保密等义务；员工离职后对公司及相关方的涉密信息和个人信息负有无保留归还、销毁、不使用、默示保密等义务。

第七十条员工应承担以下义务：
1、遵守国家关于信息安全和保密的法律、法规、部门规章和行业规范，遵守公司的相关管理制度以及与公司和相关方签订的合同、协议、承诺的规定；
2、从事互联网业务的员工应遵守公司《互联网运营类业务管理办法》及相关管理制度、规范、流程等，不得有以下行为：
（1）对法律、行政法规禁止发布或传输的信息，未采取停止传输、消除等处置措施，保存有关记录，并向有关主管部门报告的；
（2）未履行安全管理义务，发现用户设置恶意程序，未采取停止提供服务、消除等处置措施，保存有关记录，并向有关主管部门报告的；
（3）不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，且出现下列情形之一的：致使违法信息大量传播的；致使用户信息泄露，造成严重后果的；致使刑事案件证据灭失，情节严重的；有其他严重情节的；
（4）对其产品、服务存在的安全缺陷、漏洞等风险，未立即采取补救措施，或者未按照规定及时告知用户并向有关主管部门报告的；
（5）擅自终止为产品、服务提供安全维护的；
（6）未要求用户提供真实身份信息，或者对不提供真实身份信息的用户提供相关服务的；
（7）未采取技术措施和其它必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失；
（8）在发生或者可能发生个人信息泄露、毁损、丢失的情况时，未立即采取补救措施，按照规定及时告知用户并向有关主管部门报告的；
（9）违反个人信息和重要数据“本地部署及跨境传输评估”规定的。

3、员工不得有以下行为：
（1）制作、复制、查阅和传播颠覆国家政权、推翻社会主义制度，或者分裂国家、破坏国家统一的信息；
（2）制作、复制、发布、传播反对宪法所确定的基本原则的信息；制作、复制、发布、传播损害国家荣誉和利益的信息；
（3）制作、复制、查阅和传播民族仇恨、民族歧视，破坏民族团结的信息；
（4）制作、复制、发布、传播扰乱社会秩序和破坏社会稳定的信息及谣言；
（5）制作、复制、发布、传播包含法律、行政法规禁止的其他内容的信息；
（6）窃取、泄露国家秘密、情报或者军事秘密、情报；
（7）组织和利用会道门、邪教组织或者利用迷信破坏国家法律、行政法规实施；。