ISO27001数据库运行管理规范

信息系统安全管理规范1、目标此文档用于规范公司业务系统的安全管理，安全管理所达到的目标如下：确保业务系统中所有数据及文件的有效保护，未经许可的用户无法访问数据。

对用户权限进行合理规划，使系统在安全状态下满足工作的需求。

2、机房访问控制机房做为设备的集中地，对于进入有严格的要求。

只有公司指定的系统管理员及数据库管理员才有权限申请进入机房。

系统管理员及数据库管理员因工作需要进入机房前必须经过公司书面批准。

严格遵守机房管理制度。

3、操作系统访问控制保护系统数据安全的第一道防线是保障网络访问的安全，不允许未经许可的用户进入到公司网络中。

第二道防线就是要控制存放数据及应用文件的主机系统不能被未经许可的用户直接访问。

为防止主机系统被不安全访问，采取以下措施：操作系统级的超级管理用户口令、数据库管理用户口令、应用管理用户口令只能由系统管理员设定并经办公室审核，１个月做一次修改，口令要向其他人员保密。

在应用系统实施阶段，考虑到应用软件提供商需要对自己的产品进行调试，可以在调试时将应用管理用户口令暂时开放给应用软件提供商；调试一结束系统管理员马上更改口令。

对口令设定必需满足以下规范：5、数据库访问控制为有效的保障业务数据的安全，采取以下措施：数据库内具有较高权限的管理用户口令由办公室数据库管理员设定，并由办公室审核，不能向其他人开放。

口令必须１个月做一次修改。

业务系统后台数据库对象创建用户的口令由数据库管理员设定，由技术研发部审核。

不能向其他人开放。

口令必须1个月做一次修改。

对口令设定必需满足以下规范：根据操作需求，在数据库中分别建立对业务数据只有“增、删、改”权限的用户；对业务数据只有“查询”权限的用户。

不同的操作需求开放不同权限的用户。

除技术研发部的人员外，其他部门的任何人员均没有权限从后台数据库直接进行数据的“增、删、改”操作对于业务必须的后台job或批处理，必须由技术研发部人员执行。

6、应用系统访问控制应用系统访问依靠系统内部定义的操作用户权限来控制，操作用户权限控制到菜单一级，对于操作用户的安全管理有如下规范：所有应用级的操作用户及初始口令统一由技术研发部设定，以个人邮件的形式分别发给各部门的操作人员。

ISO27001信息设备和软件管理制度ISO27001信息设备和软件管理制度第一节总则第一条为进一步加强公司IT设备资产和软件资产的管理，保证其正常使用，特制定本规定。

第二条IT设备在本办法中指PC机、笔记本电脑、PC服务器、工作站、小型机、存储设备、防火墙、终端、打印机、扫描仪、UPS不间断电源、网络产品等用电子化资金购置的计算机设备（以下简称“设备”）。

软件资产包括作为公司无形资产公司购买的成熟外购软件和由公司自行或联合软件公司开发的软件。

第三条本制度适用于总部及各分公司信息技术单位对IT设备资产和软件资产的管理。

本制度中如有与公司资产管理制度冲突的内容，以公司资产管理制度为准。

第二节到货验收第四条设备和软件到货后，设备管理员和供货方根据合同规定当场拆箱验货；有条件的，应加电检查设备是否有损坏，备品、部件、资料、软件等是否齐全。

到货验收合格，由设备管理员签收到货单，并复印存档。

若到货验收不合格，设备管理员拒绝签收。

设备签收后，设备管理员应及时进行验收登记，认真填写验收记录。

第五条设备的系统软件的安装应由设备供应商操作、系统管理员验收：1 、安装系统软件的过程中，根据已制定的系统安全管理要求设置新安装的系统软件，确保与整体安全要求的一致性；2 、确定系统软件的安装步骤，并根据各安装步骤的预期结果制定安装手册；在系统软件安装过程中作详细记录，并根据安装手册保存操作结果；3 、比较安装过程中的操作结果和安装手册的要求，确保系统安装是按照安装要求进行；第三节入库第六条设备和软件正式入库时，设备管理员应填写《入库单》并在设备管理系统中登记。

入库设备和软件由设备管理员负责保管，设备管理员同时应将该设备的名称、型号、序列号、基本配置、购机日期等相关信息在《设备档案》卡片及设备管理系统上进行登记。

对于软件，需填写软件的版本情况。

第四节出库（设备和软件的领用）第七条有关人员领用设备和软件时，必须办理设备和软件的领用手续。

iso27001管理制度ISO 27001 管理制度ISO 27001 管理制度是指为了确保信息安全和提升组织安全水平而制定的一套规范、程序和控制措施。

该管理制度基于国际标准 ISO 27001，能够帮助组织建立、实施、监控、维护和持续改进信息安全管理体系（ISMS）。

一、概述ISO 27001 管理制度的目标是通过风险评估、安全控制和持续改进来确保信息资源的保密性、完整性和可用性。

它是一个全面的框架，涵盖了组织内所有与信息相关的活动、流程和资源。

二、范围ISO 27001 管理制度适用于任何类型、规模和性质的组织，无论其是商业企业、政府机构还是非营利组织。

它可以应用于整个组织，也可以限定在特定部门、流程或信息系统内。

三、主要内容ISO 27001 管理制度包含以下主要内容：1. 上级承诺与领导参与：组织的最高管理层需承诺并参与信息安全管理制度的制定、实施和持续改进，确保信息安全优先考虑。

2. 风险评估与处理：组织应进行全面的信息安全风险评估，确定信息资产的价值、相关威胁和漏洞，并采取适当的控制措施来降低风险。

3. 安全策略和目标：制定信息安全策略和目标，明确组织对信息安全的承诺和期望，并将其与组织的整体目标和战略相一致。

4. 组织和资源：明确信息安全管理制度的责任、职权和沟通渠道，合理配置和管理人力、物力、财力等资源来支持制度的有效实施。

5. 安全控制：建立必要的技术和操作性安全控制措施，以保护信息系统免受恶意攻击、未经授权访问和其他信息安全威胁。

6. 员工培训和教育：组织应提供必要的员工培训和教育，使其了解信息安全政策、操作规程和最佳实践，提高信息安全意识和能力。

7. 性能评估和监控：定期对信息安全管理制度进行内部和外部的性能评估和监控，以识别问题、发现机会，并及时采取改进措施。

8. 内部审核和持续改进：建立内部审核机制，对信息安全管理制度进行周期性审查，发现问题并带动持续改进，确保制度的有效性和符合性。

ISO27001：2013软件管理规定XXXXXX软件有限公司人性化科技提升业绩软件管理规定目录1. 目的和范围 (2)2. 引用文件 (2)3. 职责和权限 (2)4. 软件管理 (2)4.1.收集 (2)4.2.登记 (2)4.3.商业软件的归档和存放 (2)4.4.开源软件的管理 (3)4.5.软件使用 (5)5 相关记录 (5)目的和范围为加强公司设备安装软件的管理，特制定本规定。

1.引用文件2.职责和权限1）系统服务部：是办公软件的归口管理部门，负责每个季度对公司办公软件的安装情况进行检查。

2）各开发和测试部：是开发类软件的管理部门。

3.软件管理4.1. 收集公司内软件来源主要有以下几个方面：a)购买商业软件；b)自主开发的内部应用软件；c)免费软件的下载；d)系统服务部分发的办公软件。

4.2. 登记信息安全工作小组登记分发的办公软件、公司购买的商业软件的安装情况。

各部门负责《电脑防病毒及软件表》的填写。

4.3. 商业软件的归档和存放1)购买的商业软件由公司自行归档和存放。

2)购买的商业软件统一存放于指定位置。

磁盘文件存放于指定存储空间中，由专人负责整理，各软件建立独立的文件夹，标识明确清晰，并做好软件的备份工作。

光盘统一存放入文件柜中，并有明显易辨认的标识，便于整理和取用。

4.4. 开源软件的管理4.4.1开源软件的选择依据：(1)开源协议谨慎使用GPL 协议，GPL 协议规定使用了该开源库的代码也必须遵循GPL 协议，即开源和免费。

(2) 功能、文档、稳定性、扩展性功能是否能满足业务需求，是否足够稳定(稳定性测试)、文档是否齐全、扩展性是否足够。

性能要求较高库需要性能对比测试。

(3) 源码修改a. 个性化业务带来的修改尽量使用Wrap 方式，而不要直接改源码。

实在绕不开，可在Git 上打上Tag，并注明详细原因。

b. 通用需求的修改按源项目要求修改代码，反馈回开源社区，请求合并进主分支。

iso27001信息安全管理体系标准中文版ISO27001信息安全管理体系标准中文版ISO27001信息安全管理体系标准（ISO27001）是一项全球通用的信息安全管理标准，旨在帮助组织建立、实施、运行、监控、审查、维护和改进信息安全管理体系。

该标准为组织提供了一个全面的框架，用于管理和保护其信息资产，并确保信息得到适当的保护。

在ISO27001中文版中，该标准的内容和要求在全球范围内是通用的，但是以中文版的形式呈现，方便我国组织和从业人员更好地理解和应用。

全球范围内的信息安全管理标准在中文版中能够更好地适配国内环境和法规要求，为我国组织提供更具针对性和可操作性的信息安全管理要求。

在撰写这篇文章时，我将按照ISO27001信息安全管理体系标准的深度和广度要求，对该主题进行全面评估，并撰写一篇有价值的文章，以强调ISO27001中文版的重要性和适用性。

我将从ISO27001中文版的基本概念和原则开始，通过对其概览和关键要素的讲解，帮助你更好地理解该标准的框架和结构。

我将深入分析ISO27001中文版的核心要求，包括领导承诺、风险评估、信息资产管理、安全政策等内容，以便你能更深入地了解其实施和运行过程。

在文章的后半部分，我将着重回顾ISO27001中文版对组织的价值和意义，以及其对组织信息安全管理提升的实际效果。

我将共享我对ISO27001中文版的个人观点和理解，以及我在实践中的经验和体会。

我会在文章中多次提及ISO27001信息安全管理体系标准中文版，以确保文章内容的贴合度和专业性。

我将按照知识的文章格式进行撰写，使用序号标注来清晰地展现ISO27001中文版的相关内容，并确保文章总字数大于3000字，以保证全面深入地探讨该主题。

通过这篇文章的阅读，你将深入了解ISO27001信息安全管理体系标准中文版的重要性和适用性，以及学习如何将其应用于实践中。

希望这篇文章能够帮助你对信息安全管理体系有更全面、深刻和灵活的理解，为你的工作和学习带来有益的启发和帮助。

信息安全管理体系规范（Part I）（信息安全管理实施细则）目录前言一、信息安全范围二、术语与定义三、安全政策3.1 信息安全政策四、安全组织4.1信息安全基础架构4.2外部存取的安全管理4.3委外资源管理五、资产分类与管理5.1资产管理权责5.2信息分类六、个人信息安全守则6.1工作执掌及资源的安全管理6.2教育培训6.3易发事件及故障处理七、使用环境的信息安全管理7.1信息安全区7.2设备安全7.3日常管制八、通讯和操作过程管理8.1操作程序书及权责8.2系统规划及可行性8.3侵略性软件防护8.4储存管理8.5网络管理8.6媒体存取及安全性8.7信息及软件交换九、存取管理9.1存取管制的工作要求9.2使用者存取管理9.3使用者权责9.4网络存取管制9.5操作系统存取管理9.6应用软件存取管理9.7监控系统的存取及使用9.8移动计算机及拨接服务管理十、信息系统的开发和维护10.1信息系统的安全要求10.2应用软件的安全要求10.3资料加密技术管制10.4系统档案的安全性10.5开发和支持系统的安全性十一、维持运营管理11.1持续运营的方面十二、合法性12.1合乎法律要求12.2对信息安全政策和技术应用的审查12.3系统稽核的考虑前言何谓信息安全？对一个单位或组织来说，信息和其它商业资产一样有价值，因此要加以适当的保护。

信息安全就是保护信息免受来自各方面的众多威胁，从而使单位能够进行持续经营，使其对经营的危害降至最小程度，并将投资和商业机会得以最大化。

信息可以许多形式存在－可以印在或写在纸上，以电子方式进行储存，通过邮寄或电子方式传播，用影片显示或通过口头转述。

无论信息以何种方式存在，或以何种形式分享或储存，都要对其进行恰当保护。

信息安全的主要特征在于保护其－保密性：确保只有那些经过授权的人员可以接触信息－完整性：保护信息和信息处理办法的准确性和完整性－可得性：确保在需要时，经过授权的使用者可接触信息和相关的资产信息安全可通过一套管制手段得以实现；此管制手段可为政策、行为规范、流程、组织结构和软件功能。

文件制修订记录1、目的通过对各项控制措施满足控制目标的实现程度及法律、法规符合性的监视、测量与分析，为策划、实施、持续改进信息安全管理体系提供依据。

2、适用范围本程序适用于信息安全控制措施衡量、法律法规符合性验证、安全目标、方针贯彻。

3、术语和定义引用ISO/IEC27001:2022标准及本公司《信息安全管理手册》中的术语和定义。

4、职责1.1管理运营部负责信息安全控制措施有效性、安全方针和安全目标实现程度测量；识别与公司有关的法律法规，并检验是否满足。

1.2管理者代表负责掌握信息安全管理体系的总体运行情况，并向最高管理者汇报，对最高管理者负责；收集、评审信息安全管理体系的有效性、充分性、适宜性的改进建议；1.3管理运营部负责收集的顾客信息安全满意程度信息，并进行汇总、分析和传递；获取、识别、更新适用于本公司信息安全管理体系运行的所有法律法规，发布《信息安全法律法规清单》，对本程序的实施情况进行组织、监督和检查。

管理运营部负责法律法规的更新以及适用性的确认，并传达给各部门。

5、工作程序5.1法律符合性测量5.1.1法律识别由管理运营部负责每半年收集、更新与公司运营有关的信息安全法律法规，编制《信息安全法律法规清单》，解读法规要求，在制定公司信息安全规章制度时作为遵循条件之一，必要时对有关人员进行法律法规的理解培训。

有下列情况之一的，须进行相关的法律合规性评价活动1)原有的法律法规发生变化或者有新的相关法律法规出台时；2)外部环境标准发生变化或者环境体系进行换版时；3)公司内部或者周边工作环境发生变化时；4)有新的设备或者设施投入使用前；5)一般情况下每年末进行相关的法律合规性评价工作。

各部门根据信息系统日常运行及检测记录，对控制效果、过程的符合性进行相应评价。

必要时需召集相关人员进行评审，并留下相应的评审记录。

对法规符合性的评价结果，记录在《信息安全法律法规符合性评价》表中。

《信息安全法律法规符合性评估报告》经管理运营部经理审核后由管理者代表进行审批，管理运营部保存。

数据备份管理办法第一章总则第一条目的：为了加强数据安全管理，进一步规范数据的传输、归档、处置安全管理、以及数据备份行为，确保各类数据的完整性、保密性和可用性，特制定本管理办法。

第二条范围：本管理办法适用于成都万江港利科技有限公司。

第三条定义：本管理办法所指的数据指计算机系统存储的信息，包括战略规划信息、业务决策信息、市场信息、客户信息、项目信息、操作信息、系统信息、财务信息、管理和控制信息、人事信息等。

第二章数据的备份管理第四条数据备份采取定期备份与动态备份相结合的原则。

定期备份按一定周期有计划进行；动态备份是指当操作系统、应用系统发生较大变动后，实时进行的备份。

操作系统和数据库数据定期进行备份，在系统变更或较大应用调整前进行一次操作系统和应用软件备份，并同时同步备份机上相关内容；对系统和应用的配置备份定期进行。

第五条数据备份采用0级备份或增量备份。

数据备份策略的制定应综合系统性能、存储容量、数据量增长速度、业务需求、备份方式、存储介质、存储介质型号、有效期等因素。

备份策略的制定应考虑在特殊日、版本升级日增加备份（主要系统的数据备份见附件）。

第六条数据备份时，要仔细检查备份作业或备份程序的执行结果，核实目标备份与源备份内容一致，确保备份数据的完整性和正确性。

第七条数据备份时，应及时记录备份情况，包括备份作业，备份周期、时间、内容、数据保存期限，介质型号、介质容量、业务种类、转存情况、异地备份记录、相关变更记录等信息，并进行当日备份的问题记录。

第八条数据备份介质使用磁带、磁盘或光盘等存储介质，一般采取定期循环、覆盖使用的策略，但对关键的帐务类数据，备份介质须永久保存。

第九条对数据的保管，应编制数据存储介质保管清单，清单内容应包括介质编号、备份内容、备份时间和保留期限等重要信息。

第十条存放备份数据的介质必须具有明确的标识。

标识必须使用统一的命名规范，注明介质编号、备份内容、备份时间和有效期等。

第十一条按照数据保存期限，对于到期的数据存储介质应及时进行清理，并将清理后的存储介质转为可用介质。

存储介质管理制度
为进一步加强移动存储介质的管理，确保管理信息的安全，结合我公司实际情况，特制定本管理制度。

1、本规定所称移动存储介质，是指用于存储本单位保密信息的硬盘、软盘、U盘、光盘、磁带、存储卡等存储介质。

2、本公司移动存储设备要进行编号，不得借于他人使用，若需借于他人的，必须征得部门同意，并进行借还时间、借用人、审批人等详细登记。

3、新购计算机、移动存储等设备，要先进行保密标识和登记，再发放使用。

4、如使用移动设备转移存储保密数据，需在使用前格式化，并在使用后立即删除保密数据。

5、使用光盘备份的保密数据要登记编号，分类存放。

6、非本单位的移动存储设备一律不得和涉密计算机连接。

7、单位的涉密移动存储设备处理办法如下：
8、涉密和非涉密移动存储介质禁止交叉混用，即涉密移动存储介质不得在非涉密计算机中使用，非涉密移动存储介质不得在涉密计算机中使用。

9、存储过涉密信息的移动存储介质，不得与存储普通信息的移动存储介质混用；新启用存储涉密信息的移动存储介质或使用移动存储介质，必须进行安全检查和查杀病毒处理。

10、移动存储介质需要送外维修时，必须到指定的单位进行维修；涉密移动存储介质在淘汰和报废前，应到行政部进行消磁和粉碎处理。

严禁将涉密移动存储介质作为废品出售。

iso27001管理制度ISO 27001（国际标准化组织27001）是一项关于信息安全管理的国际标准。

作为全球最广泛应用的信息安全管理标准之一，ISO 27001管理制度为组织提供了一个有效的框架，以确保信息安全的保密性、完整性和可用性。

在当今信息爆炸的时代，保护组织的信息资产已经变得至关重要。

随着网络攻击和数据泄露的增加，组织需要制定一套明确而完善的信息安全管理制度，来保护其利益和客户的利益。

这正是ISO 27001管理制度所能提供的。

ISO 27001管理制度主要包括以下几个关键方面：1. 风险评估和治理：ISO 27001要求组织对其信息资产进行全面的风险评估，并根据评估结果采取相应的风险治理措施。

这些措施可能包括制定安全策略和规程、实施技术控制和加密措施、确保员工的安全意识培训等。

2. 安全控制和保护：ISO 27001要求组织建立一套有效的安全控制措施，以保护其信息资产免受未经授权的访问、使用、泄露、破坏和修改。

这些措施涵盖了物理安全、技术安全和组织安全等各个方面。

在物理安全方面，组织需要采取措施保护服务器房和数据中心，包括门禁控制、视频监控和防火墙等。

在技术安全方面，组织需要使用防病毒软件、防火墙、加密技术等来保护其信息系统的安全。

在组织安全方面，组织需要确保制定并执行适当的安全政策和规程，并监控其人员的行为和活动。

3. 安全意识和培训：ISO 27001要求组织确保其员工具备足够的安全意识和技能，以应对不断变化的信息安全威胁。

组织应该提供相关的培训和教育，以确保员工了解信息安全政策、规程和最佳实践，并能够正确处理机密信息和敏感数据。

4. 审计和持续改进：ISO 27001要求组织定期进行内部和外部的信息安全审计，以确保其信息安全管理制度的有效性和合规性。

通过审计，组织可以发现和修正潜在的安全风险和漏洞，并持续改进其信息安全管理制度。

ISO 27001管理制度的实施对组织具有多重价值。

服务器管理制度（V1.0）更改控制页1目的旨在对公司所有服务器的使用进行有效的管理，做到资源的充分利用和信息的安全保密。

2范围适用于XXX所有使用机房服务器的部门和员工。

3职责3.1研发中心负责对公司所有服务器内容进行管理。

3.2人力资源行政部负责所有服务器的硬件设备工作正常；负责服务器的工作环境符合机房的要求。

3.3各部门服务器管理员负责及时清理本部门的服务器内容；负责对服务器内容进行备份；负责监控服务器空间使用情况。

4内容4.1通用要求(1)服务器是公司重要的信息资产，须集中放置在机房内，不得自行配置或更换，更不能挪作它用。

(2)服务器机房要保持清洁、卫生，并由专人负责管理和维护(包括温度、湿度、电力系统、网络设备等)，除系统维护时间外，要保障服务器24小时正常运行。

(3)在服务器上使用软盘、光盘、移动硬盘等其他可移动存贮设备前必须进行病毒检测；(4)不得利用服务器从事工作以外的事情。

(5)无工作需要不得擅自拆卸服务器零部件，严禁更换服务器配套设备。

(6)不得故意破坏服务器系统；不得擅自修改服务器系统时间。

(7)服务器系统必须及时升级安装安全补丁，弥补系统漏洞；(8)必须为服务器系统做好病毒及木马的实时监测，及时升级病毒库。

(9)管理员对超级账户口令应严格保密、定期修改，以保证系统安全，防止对系统的非法入侵。

(10)服务器管理员每季度对服务器的访问权限进行一次评审，删除或者禁用作废的用户帐号，对各种用户的访问权限进行回顾、评审和确认，防止恶意破译。

(11)未发生故障或没有故障隐患时当班人员不可对网线及各种设备进行任何调试，对所发生的故障、处理过程和结果等应做好详细登记，填写《信息安全事件报告处理单》。

(12)严禁易燃易爆和强磁物品及其它与机房工作无关的物品进入机房。

进入机房应得到机房管理员的同意，并填写《机房进出登记表》。

(13)服务器管理员每月至少对系统监控日志进行一次评审，以期发现攻击行为并给予响应和处理。

数据安全管理相关规范标准随着网络技术的不断发展和普及，越来越多的企业和个人开始重视数据安全管理。

为了保障数据的安全和可靠性，各国政府和行业组织都制定了一系列的数据安全管理相关规范标准。

一、信息安全管理体系标准信息安全管理体系标准（ISO/IEC 27001）是国际上最为广泛应用的信息安全管理标准之一。

该标准旨在帮助企业建立健全的信息安全管理体系，提供一种可衡量和不断改进信息安全性的方法，并以具体证明形式为企业提供信息安全性的陈述。

信息安全管理体系标准包含了以下方面的要求：1. 管理制度方面：制定完善的信息安全管理策略、政策、程序和指南，并修订和执行这些文件。

2. 组织管理方面：确保信息安全政策得到践行和执行，组织和分配信息安全责任，实施安全培训和意识教育，严格控制系统访问权；3. 技术安全方面：添加安全机制，实施可行的安全防护措施，防范信息系统、网络和通信渠道可能存在的安全漏洞或隐蔽缺陷；4. 物理安全方面：为信息系统提供完备、适用的设施和物理环境。

二、数据安全标准数据安全标准是安全管理体系的重要组成部分，包括数据传输、数据备份、存储和访问等方面。

1. 数据传输方面：要求企业在数据传输环节中采用加密技术，以避免数据被盗窃或篡改。

使用加密技术可以提高数据安全性，并确保数据传输准确性，避免数据被劫持或篡改。

2. 数据备份方面：要求企业定期对数据进行备份，并将备份数据存储在异地，以防止数据丢失或泄露。

备份数据必须严格保密，且恢复能力要良好。

3. 数据存储方面：要求企业采取合适的数据存储措施，包括数据存储介质、存储硬件、存储规范等。

必须制定数据存储规范，确保数据在存储过程中的安全性，防止恶意人员盗取或篡改数据。

4. 数据访问方面：要求企业对数据的访问进行严格的控制和管理，确保只有有权的用户才能访问数据，加强对数据操作的监管和审核等。

三、密码学标准密码学标准要求在数据安全管理中应用合适的密码学算法和密钥管理技术，确保数据在传输、存储和访问过程中的安全性。

XXXXXX软件有限公司人性化科技提升业绩数据资产分级管理制度目录一、数据资产等级分类及责任部门 (2)二、管理部门职责： (4)三、数据资产使用监管单位： (6)数据资产分级管理制度一、数据资产等级分类及责任部门1、一级：重要敏感数据，包括公司数据资产，主要用于公司直接营收的数据，如提交给客户的客探结果数据，泄露会造成直接经济损失。

公司核心数据，经过加工的数据，有全方面的数据信息，需要严格管理，如客户肖像库，信息库，客户方提供的需要通过业务外包平台操作的数据，泄露后对公司可能造成全面损失。

这些数据被非法复制传播后，可造成经济上的重大损失和引发重大安全事故及涉诉事件。

由所涉及到的部门人员：服务部、如涉及财务数据由财务部共同承担安全管理责任。

标记为D1。

主要包括：●业务结果数据●客户信息数据●系统或网络安全控制配置数据，防火墙数据●业务帐号安全配置数据●业务运行配置数据●敏感客户业务原始数据●录音记录数据●财务帐目数据●其他敏感信息数据2、二级：非敏感重要数据，包括公司系统数据，由各种公司系统产生出的原始数据，限制范围使用，泄露对公司有可能造成某方面损失。

如启通宝系统通话记录，客探系统记录，被非法复制传播或丢失、损坏后，可造成一定的经济损失或引发客户投诉事件。

由所涉及到的部门人员：服务部承担安全管理责任。

标记为D2。

主要包括：●业务过程数据●启通宝通话记录●客探系统数据●系统运行日志数据●其他重要数据3、三级：公司内部非敏感数据及第三方非敏感数据，不对外公开，但公开对公司无损失的信息，如话术列表、在项目施工中或开发测试中涉及到的客户方提供的测试数据或业务数据。

由所涉及到的部门人员：服务部、测试部，销售部，研发部共同承担安全管理责任。

标记为D3。

主要包括：●员工通讯录●话述信息数据●系统测试业务数据●项目施工测试数据●项目施工过程数据●销售业绩数据●其他非敏感数据4、四级：普通数据，除上述数据以外的其他数据，包括公司可公开数据，可对外发布的各类信息，所有部门均可公开使用，如电话号段记录，城市区号记录。

14、数据安全管理程序###-ISMS-0302-20231 目的为加强公司电子数据信息的管理，有效维护电子数据信息的安全，特制定本程序。

2 范围适用于公司各部门、员工通过计算机网络或其他信息传输途径形成的具有规范格式、载有与公司生产经营活动有关的电子数据、图像、影像等电子数据文件的管理。

3 职责3.1 技术部负责对电子数据信息管理工作进行监督、技术支持与指导。

3.2 相关部门负责对本部门电子文件的管理，应指定专人对电子文件进行收集、整理。

4 程序4.1 电子数据及文件的分类和收集4.1.1 电子数据及文件分以下几类：a. 用文字处理技术和开发软件形成的电子文件(包括产品源代码)。

b. 用扫描仪、视频等设备获得的电子文件。

c. 用音频设备获得的文件。

d. 应用系统运行和信息处理等过程中涉及的各类数据。

4.1.2 电子数据收集时，应注意其文件的格式和属性，并注意收集其属性标识和相关软件。

4.2 电子数据及文件的备份4.2.1 各部门应识别本部门电子数据文件，重要数据应明确数据的备份策略（包括备份媒体、备份周期、备份保存地点、备份保存期限）。

技术部按备份策略进行备份，做好《数据备份记录》。

4.2.2对重要的数据备份文件，技术部应规定数据恢复要求和试验要求，并制定《数据恢复试验计划》，按计划进行数据恢复试验并做好记录。

4.2.3技术部应定期抽查电子文件备份整理的执行情况，对于未能及时备份整理而造成电子文件丢失或损坏的，追究相关部门责任。

4.2.4 公司连接互联网的计算机，不得含有涉密的电子数据信息。

4.3 电子数据文件的加密4.3.1 各电子数据文件的形成部门应识别重要数据的加密要求，对需要加密的信息，制定加密方案，经总经理批准后严格执行。

4.3.2 数据加密应使用经国家密码管理部门认可的商用密码产品，不得随意购买和使用自行研制的或者境外生产的密码产品。

4.3.3 任何人不得非法攻击商用密码，不得利用商用密码危害企业信息安全或者进行其他违法犯罪活动的要求。