第一篇：三級(jí)保密資質(zhì)歸口管理制度

保密歸口管理制度

為切實(shí)推動(dòng)建立健全公司保密管理體系建設(shè)，落實(shí)“業(yè)務(wù)工作誰主管，保密工作誰負(fù)責(zé)”的原則，根據(jù)《軍工保密資格認(rèn)定工作指導(dǎo)手冊(cè)》（2017年版）規(guī)定，結(jié)合本公司實(shí)際，特制定本制度。

一、技術(shù)部負(fù)責(zé)公司定密工作

技術(shù)部根據(jù)任務(wù)或者項(xiàng)目原始秘級(jí)和有關(guān)保密范圍，制定本公司《國(guó)家秘密事項(xiàng)范圍細(xì)目》，經(jīng)單位法定定密責(zé)任人審批后生效。技術(shù)部根據(jù)《國(guó)家秘密事項(xiàng)范圍細(xì)目》提出擬定密級(jí)、保密期限和知悉范圍的建議，經(jīng)審批后生效。

二、人力資源負(fù)責(zé)公司涉密人員的管理

人力資源負(fù)責(zé)涉密人員審查、考核、績(jī)效評(píng)定、獎(jiǎng)懲、出入境管理、離崗離職脫密管理、保密補(bǔ)貼發(fā)放等工作。

三、人力資源負(fù)責(zé)公司保密教育培訓(xùn)

人力資源負(fù)責(zé)擬定年度保密培訓(xùn)計(jì)劃，負(fù)責(zé)保密法規(guī)知識(shí)的宣傳、教育、培訓(xùn)工作。

四、綜合辦公室負(fù)責(zé)公司涉密載體的管理。

綜合辦公室負(fù)責(zé)公司涉密載體收發(fā)、傳遞、借閱、使用、銷毀和保管工作。

五、生產(chǎn)部負(fù)責(zé)公司密品管理

生產(chǎn)部應(yīng)當(dāng)明確密品的密級(jí)、建立臺(tái)賬。對(duì)密品的運(yùn)輸、銷毀過程負(fù)責(zé)。

六、保密公室負(fù)責(zé)公司保密要害部門部位的管理

保密辦公室對(duì)保密要害部位部門采取出入口控制、入侵報(bào)警、視頻監(jiān)控等技防措施。

七、技術(shù)部負(fù)責(zé)公司信息設(shè)備和存儲(chǔ)設(shè)備的管理和運(yùn)行維護(hù)工作

技術(shù)部對(duì)公司信息設(shè)備、存儲(chǔ)設(shè)備實(shí)施全生命周期管理，并按照要求對(duì)設(shè)備進(jìn)行標(biāo)識(shí)。對(duì)其運(yùn)行過程進(jìn)行維護(hù)。

八、市場(chǎng)部負(fù)責(zé)公司新聞宣傳的管理

市場(chǎng)部對(duì)宣傳報(bào)道、展覽、知識(shí)產(chǎn)權(quán)、論文等內(nèi)容進(jìn)行審批，對(duì)于含有涉密信息的資料要經(jīng)過甲方單位審批。

九、綜合辦公室負(fù)責(zé)公司涉密會(huì)議的管理工作

綜合辦公室在舉辦涉密會(huì)議時(shí)，需要在具備安全保密條件的場(chǎng)所舉行，做好涉密會(huì)議檢查工作，對(duì)參會(huì)人員、涉密載體的發(fā)放、清退、保管、銷毀等指定專人負(fù)責(zé)。

十、技術(shù)部負(fù)責(zé)公司的外場(chǎng)試驗(yàn)

在進(jìn)行外場(chǎng)試驗(yàn)時(shí)，要制定保密方案，并指定保密責(zé)任人。

十一、綜合辦公室負(fù)責(zé)協(xié)助配套管理

綜合辦公室應(yīng)選擇具有相應(yīng)保密資格的單位進(jìn)行合作，要與協(xié)作單位人員簽訂合同保密條款或簽訂保密責(zé)任書。

十二、綜合辦公室負(fù)責(zé)涉外管理

綜合辦公室進(jìn)行對(duì)外交流、合作、談判等工作時(shí)應(yīng)該制定保密方案；接待境外人員來訪時(shí)，要明確身份、明確活動(dòng)區(qū)域。

十三、公司的保密檢查工作由保密辦公室、人力資源、各相關(guān)部門負(fù)責(zé)，其中具體檢查工作安排參考保密監(jiān)督檢查制度。

第二篇：三級(jí)資質(zhì)

三級(jí)資質(zhì)

（一）綜合條件

1、企業(yè)是在中華人民共和國(guó)境內(nèi)注冊(cè)的企業(yè)法人，變革發(fā)展歷程清晰、產(chǎn)權(quán)關(guān)系明確，取得計(jì)算機(jī)信息系統(tǒng)集成企業(yè)四級(jí)資質(zhì)的時(shí)間不少于一年，或從事系統(tǒng)集成業(yè)務(wù)的時(shí)間不少于兩年；

2、企業(yè)不擁有信息系統(tǒng)工程監(jiān)理單位資質(zhì)；

3、企業(yè)主業(yè)是系統(tǒng)集成，近三年的系統(tǒng)集成收入總額占營(yíng)業(yè)收入總額的比例不低于50％；

4、企業(yè)注冊(cè)資本和實(shí)收資本均不少于200萬元。

（二）財(cái)務(wù)狀況

1、企業(yè)近三年的系統(tǒng)集成收入總額不少于5000萬元（或不少于4000萬元且近三年完成的系統(tǒng)集成項(xiàng)目總額中軟件和信息技術(shù)服務(wù)費(fèi)總額所占比例不低于70％），財(cái)務(wù)數(shù)據(jù)真實(shí)可信，須經(jīng)在中華人民共和國(guó)境內(nèi)登記的會(huì)計(jì)師事務(wù)所審計(jì)；

2、企業(yè)財(cái)務(wù)狀況良好，最近沒有出現(xiàn)虧損。

（三）信譽(yù)

1、企業(yè)有良好的資信，近三年無觸犯國(guó)家法律法規(guī)的行為；

2、企業(yè)有良好的知識(shí)產(chǎn)權(quán)保護(hù)意識(shí)，近三年完成的系統(tǒng)集成項(xiàng)目中無銷售或提供非正版軟件的行為；

3、企業(yè)有良好的履約能力，近三年沒有因企業(yè)原因造成驗(yàn)收未通過的項(xiàng)目或應(yīng)由企業(yè)承擔(dān)責(zé)任的用戶重大投訴；

4、企業(yè)近三年無不正當(dāng)競(jìng)爭(zhēng)行為；

5、企業(yè)遵守計(jì)算機(jī)信息系統(tǒng)集成企業(yè)資質(zhì)管理相關(guān)規(guī)定，在資質(zhì)申報(bào)和資質(zhì)證書使用過程中誠(chéng)實(shí)守信，近三年無不良行為。

（四）業(yè)績(jī)

1、近三年完成的系統(tǒng)集成項(xiàng)目總額不少于5000萬元（或不少于4000萬元且近三年完成的系統(tǒng)集成項(xiàng)目總額中軟件和信息技術(shù)服務(wù)費(fèi)總額所占比例不低于70％）。這些項(xiàng)目已通過驗(yàn)收；

2、近三年至少完成1個(gè)合同額不少于300萬元的系統(tǒng)集成項(xiàng)目，或所完成合同額不少于100萬元的系統(tǒng)集成項(xiàng)目總額不少于300萬元，或所完成合同額不少于50萬元的純軟件和信息技術(shù)服務(wù)項(xiàng)目總額不少于150萬元；

3、近三年完成的系統(tǒng)集成項(xiàng)目總額中軟件和信息技術(shù)服務(wù)費(fèi)總額所占比例不低于30％，或軟件和信息技術(shù)服務(wù)費(fèi)總額不少于1500萬元，或軟件開發(fā)費(fèi)總額不少于800萬元。

（五）管理能力

1、已建立質(zhì)量管理體系，通過國(guó)家認(rèn)可的第三方認(rèn)證機(jī)構(gòu)認(rèn)證，并能有效運(yùn)行；

2、已建立完備的客戶服務(wù)體系，能及時(shí)、有效地為客戶提供服務(wù)；

3、企業(yè)的主要負(fù)責(zé)人從事信息技術(shù)領(lǐng)域企業(yè)管理的經(jīng)歷不少于3年，主要技術(shù)負(fù)責(zé)人應(yīng)具有計(jì)算機(jī)信息系統(tǒng)集成項(xiàng)目管理人員資質(zhì)或電子信息類專業(yè)碩士及以上學(xué)位或電子信息類中級(jí)及以上技術(shù)職稱、且從事系統(tǒng)集成技術(shù)工作的經(jīng)歷不少于3年，財(cái)務(wù)負(fù)責(zé)人應(yīng)具有財(cái)務(wù)系列初級(jí)及以上職稱。

（六）技術(shù)實(shí)力

1、在主要業(yè)務(wù)領(lǐng)域具有較強(qiáng)的技術(shù)實(shí)力；

2、經(jīng)過登記的自主開發(fā)的軟件產(chǎn)品不少于3個(gè)，且部分軟件產(chǎn)品在近三年已完成的項(xiàng)目中得到了應(yīng)用；

3、有專門從事軟件或系統(tǒng)集成技術(shù)開發(fā)的研發(fā)人員，已建立基本的軟件開發(fā)與測(cè)試體系，研發(fā)及辦公場(chǎng)地面積不少于300平米。

（七）人才實(shí)力

1、從事軟件開發(fā)與系統(tǒng)集成相關(guān)工作的人員不少于50人，其中大學(xué)本科及以上學(xué)歷人員所占比例不低于60％；

2、具有計(jì)算機(jī)信息系統(tǒng)集成項(xiàng)目管理人員資質(zhì)的人數(shù)不少于6名，其中高級(jí)項(xiàng)目經(jīng)理人數(shù)不少于1名；

3、已建立合理的人力資源培訓(xùn)與考核制度，并能有效實(shí)施。

第三篇：三級(jí)保密資質(zhì)信息系統(tǒng)安全策略文件V2.0

內(nèi)部資料 注意保存

信息設(shè)備與存儲(chǔ)設(shè)備安全策略

目錄

第一條 概述..................................................................................................................2 第二條 適用范圍..........................................................................................................2 第三條 目標(biāo)..................................................................................................................2 第四條 安全原則..........................................................................................................2 第五條 安全方針..........................................................................................................4 第六條 安全組織機(jī)構(gòu)..................................................................................................4 第七條 安全管理人員策略..........................................................................................5 第八條 安全保密產(chǎn)品和工具......................................................................................7 第九條 物理和環(huán)境安全策略......................................................................................8 第十條 運(yùn)行管理策略..................................................................................................9 第十一條 通訊和傳輸安全管理策略..........................................................................9 第十二條 信息設(shè)備安全策略....................................................................................10 第十三條 存儲(chǔ)設(shè)備安全............................................................................................11 第十四條 操作安全策略............................................................................................11 第十五條 訪問控制策略............................................................................................12 第十六條 導(dǎo)入導(dǎo)出策略............................................................................................13 第十七條 備份與恢復(fù)策略........................................................................................13 第十八條 設(shè)備維修策略............................................................................................14 第十九條設(shè)備報(bào)廢策略..............................................................................................14 第二十條 風(fēng)險(xiǎn)管理及安全審計(jì)策略........................................................................14 第二十一條 信息系統(tǒng)應(yīng)急計(jì)劃和響應(yīng)策略............................................................15 第二十二條 遵循性....................................................................................................15 第一條 概述

根據(jù)《中華人民共和國(guó)保守國(guó)家秘密法》、《武器裝備科研生產(chǎn)單位保密資格審查認(rèn)證管理辦法》、《武器裝備科研生產(chǎn)單位三級(jí)保密資格標(biāo)準(zhǔn)》等文件精神，結(jié)合本公司實(shí)際，特制定本安全策略文件。

信息系統(tǒng)安全策略文件是公司計(jì)算機(jī)和信息系統(tǒng)全體管理和使用人員必須遵循的信息安全行為準(zhǔn)則，由公司信息安全管理部門制訂及解釋，由公司保密委員會(huì)審批發(fā)布，并由信息安全管理部門組織公司全體人員學(xué)習(xí)與貫徹。

公司涉密計(jì)算機(jī)及信息系統(tǒng)涉及到存儲(chǔ)、傳輸、處理國(guó)家秘密、公司商業(yè)秘密和業(yè)務(wù)關(guān)鍵信息，關(guān)系到公司的形象和公司業(yè)務(wù)的持續(xù)運(yùn)行，必須保證其安全。因此，必須從技術(shù)、管理、運(yùn)行等方面制定確保涉密計(jì)算機(jī)和信息系統(tǒng)持續(xù)可靠運(yùn)行的安全策略，做好安全保障。第二條 適用范圍

2.1本策略所稱的計(jì)算機(jī)和信息系統(tǒng)指公司所有通過計(jì)算機(jī)及信息系統(tǒng)存貯、處理或傳輸?shù)男畔⒓按尜A、處理或傳輸這些信息的硬件、軟件及固件。

2.2本策略適用于我單位信息系統(tǒng)資產(chǎn)和信息技術(shù)人員的安全管理，適用于指導(dǎo)我單位信息系統(tǒng)安全策略的制定、安全方案的規(guī)劃和安全建設(shè)的實(shí)施，適用于我單位安全管理體系中安全管理措施的選擇。第三條 目標(biāo)

本方針的目的是為本公司信息系統(tǒng)安全管理提供一個(gè)總體性架構(gòu)文件，該文件將指導(dǎo)本公司信息系統(tǒng)的安全管理體系建設(shè)。安全管理體系以實(shí)現(xiàn)統(tǒng)一的安全策略管理、提高整體的網(wǎng)絡(luò)與信息安全水平、確保安全控制措施落實(shí)到位、保障網(wǎng)絡(luò)通信暢通和業(yè)務(wù)系統(tǒng)的正常運(yùn)營(yíng)為建設(shè)目的。并通過一系列預(yù)防措施將信息安全可能受到的危害降到最低。信息安全管理應(yīng)在確保信息和計(jì)算機(jī)受到保護(hù)的同時(shí)，確保計(jì)算機(jī)和信息系統(tǒng)能夠在允許的范圍內(nèi)正常運(yùn)行使用。

同時(shí)，本策略的目的也是讓所有員工能夠了解信息安全問題以及明確各自的信息安全職責(zé)，嚴(yán)格遵守本安全策略，并遵守國(guó)家相關(guān)的計(jì)算機(jī)或信息安全法律要求。

第四條 安全原則

(一)基于安全需求原則 技術(shù)部根據(jù)公司信息系統(tǒng)擔(dān)負(fù)的業(yè)務(wù)功能、積累的信息資產(chǎn)的重要性、可能受到的威脅及面臨的風(fēng)險(xiǎn)分析安全需求，按照信息系統(tǒng)等級(jí)保護(hù)要求確定相應(yīng)的信息系統(tǒng)安全保護(hù)等級(jí)，遵從相應(yīng)等級(jí)的規(guī)范要求，從全局上平衡安全投入與效果；

(二)主要領(lǐng)導(dǎo)負(fù)責(zé)原則

主要領(lǐng)導(dǎo)應(yīng)確立統(tǒng)一的信息安全保障宗旨和政策，負(fù)責(zé)指導(dǎo)提高全員安全意識(shí)的教育方法、培養(yǎng)優(yōu)秀的安全技術(shù)隊(duì)伍、調(diào)動(dòng)并優(yōu)化資源的配置、協(xié)調(diào)安全管理工作與各部門工作的關(guān)系，并確保其有效落實(shí)；

(三)全員參與原則

信息系統(tǒng)涉及的所有相關(guān)人員應(yīng)積極參與信息系統(tǒng)的安全管理，并與相關(guān)方面協(xié)調(diào)，共同保障信息系統(tǒng)的安全；

(四)系統(tǒng)方法原則

按照系統(tǒng)工程的要求，識(shí)別和理解信息安全保障相互關(guān)聯(lián)的層面和過程，采用管理和技術(shù)相結(jié)合的方法，保證安全保障工作的高效有序進(jìn)行；

(五)持續(xù)改進(jìn)原則

安全管理是一種動(dòng)態(tài)反饋過程，貫穿整個(gè)安全管理的生存周期，隨著安全需求和系統(tǒng)脆弱性的時(shí)空分布變化，威脅程度的提高，系統(tǒng)環(huán)境的變化以及對(duì)系統(tǒng)安全認(rèn)識(shí)的深化等，應(yīng)及時(shí)地將現(xiàn)有的安全策略、風(fēng)險(xiǎn)接受程度和保護(hù)措施進(jìn)行復(fù)查、修改、調(diào)整以至提升安全管理等級(jí)，維護(hù)和持續(xù)改進(jìn)信息安全管理體系的有效性；

(六)依法管理原則

信息安全管理工作主要體現(xiàn)為管理行為，應(yīng)保證信息系統(tǒng)安全管理主體合法、管理行為合法、管理內(nèi)容合法、管理程序合法。對(duì)安全事件的處理，應(yīng)由授權(quán)者適時(shí)發(fā)布準(zhǔn)確一致的有關(guān)信息，避免帶來不良的社會(huì)影響；

(七)分權(quán)和授權(quán)原則

對(duì)特定職能或責(zé)任領(lǐng)域的管理功能實(shí)施分離、獨(dú)立審計(jì)等實(shí)行分權(quán)，避免權(quán)力過分集中，帶來隱患，以減少未授權(quán)的修改或?yàn)E用系統(tǒng)資源的機(jī)會(huì)。任何實(shí)體（如用戶、管理員、進(jìn)程、應(yīng)用或系統(tǒng)）僅享有該實(shí)體需要完成其任務(wù)所必須的最小權(quán)限，不應(yīng)享有任何多余權(quán)限；(八)選用成熟技術(shù)原則

成熟的技術(shù)具有較好的可靠性和穩(wěn)定性，采用新技術(shù)時(shí)要重視其成熟度，并應(yīng)首先局部試點(diǎn)然后逐步推廣，以減少或避免可能出現(xiàn)的失誤；

(九)分等級(jí)保護(hù)原則

按等級(jí)劃分標(biāo)準(zhǔn)確定信息系統(tǒng)的安全保護(hù)等級(jí)，實(shí)行分等級(jí)保護(hù)；對(duì)多個(gè)子系統(tǒng)構(gòu)成的大型信息系統(tǒng)，確定系統(tǒng)的基本安全保護(hù)等級(jí)，并根據(jù)實(shí)際安全需求，分別確定各子系統(tǒng)的安全保護(hù)等級(jí)，實(shí)行多級(jí)安全保護(hù)；

(十)管理與技術(shù)并重原則

堅(jiān)持積極防御和綜合防范相結(jié)合，全面提高信息系統(tǒng)安全防護(hù)能力，立足國(guó)情，采用管理科學(xué)性和技術(shù)前瞻性結(jié)合的方法，保障信息系統(tǒng)的安全性達(dá)到所要求的目標(biāo)；

(十一)自主保護(hù)和國(guó)家監(jiān)管結(jié)合原則

對(duì)信息系統(tǒng)安全實(shí)行自主保護(hù)和國(guó)家保護(hù)相結(jié)合。組織機(jī)構(gòu)要對(duì)自己的信息系統(tǒng)安全保護(hù)負(fù)責(zé)，相關(guān)部門有責(zé)任對(duì)信息系統(tǒng)的安全進(jìn)行指導(dǎo)、監(jiān)督和檢查，形成自管、自查、自評(píng)和國(guó)家監(jiān)管相結(jié)合的管理模式，提高信息系統(tǒng)的安全保護(hù)能力和水平，保障國(guó)家信息安全。

第八條 在規(guī)劃和建設(shè)信息系統(tǒng)時(shí)，信息系統(tǒng)安全防護(hù)措施應(yīng)按照“三同步”原則，與信息系統(tǒng)建設(shè)同步規(guī)劃、同步建設(shè)、同步投入運(yùn)行。第五條 安全方針

信息系統(tǒng)安全建設(shè)堅(jiān)持“安全第一、預(yù)防為主，管理和技術(shù)并重，綜合防范”的總體方針，依照總體安全防護(hù)策略，執(zhí)行信息系統(tǒng)安全等級(jí)保護(hù)制度，信息網(wǎng)絡(luò)實(shí)行涉密電腦與其他電腦物理隔離，公司內(nèi)、外網(wǎng)之間物理隔離的方法。第六條 安全組織機(jī)構(gòu)

保密委員會(huì)保密辦公室涉密部門4

定密小組6.1公司設(shè)立保密委員會(huì)，保密委員會(huì)主任由總經(jīng)理擔(dān)任，保密工作實(shí)行總經(jīng)理負(fù)責(zé)制，保密委員會(huì)由公司相關(guān)領(lǐng)導(dǎo)和部門主管組成，下設(shè)保密辦公室作為保密委員會(huì)的常設(shè)工作機(jī)構(gòu)，并配備保密員，配備系統(tǒng)管理員、安全保密管理員、安全審計(jì)員；設(shè)置定密工作小組，明確定密責(zé)任人，按“業(yè)務(wù)誰主管、保密工作誰負(fù)責(zé)”原則，各部門主管負(fù)責(zé)本部門的保密管理工作。

6.2技術(shù)部是信息系統(tǒng)安全管理的領(lǐng)導(dǎo)機(jī)關(guān)，負(fù)責(zé)領(lǐng)導(dǎo)信息安全管理體系的建立和信息安全管理的實(shí)施，主要包括：

? 提供清晰的指導(dǎo)方向，可見的管理支持，明確的信息安全職責(zé)授權(quán)； ? 審查、批準(zhǔn)信息安全策略和崗位職責(zé)； ? 審查業(yè)務(wù)關(guān)鍵安全事件；

? 批準(zhǔn)增強(qiáng)信息安全保障能力的關(guān)鍵措施和機(jī)制；

? 保證必要的資源分配，以實(shí)現(xiàn)數(shù)據(jù)有效性以及信息安全管理體系的持續(xù)發(fā)展。

6.3技術(shù)部具體負(fù)責(zé)建立和維持信息安全管理體系，協(xié)調(diào)相關(guān)活動(dòng)，主要承擔(dān)如下職責(zé)：

? 調(diào)整并制定所有必要的信息安全管理規(guī)程、制度以及實(shí)施指南等； ? 提議并配合執(zhí)行信息安全相關(guān)的實(shí)施方法和程序，如風(fēng)險(xiǎn)評(píng)估、信息管理分層等；

? 主動(dòng)采取部門內(nèi)的信息安全措施，如安全意識(shí)培訓(xùn)及教育等； ? 配合執(zhí)行新系統(tǒng)或服務(wù)的特殊信息安全措施； ? 審查對(duì)信息安全策略的遵循性； ? 配合并參與安全評(píng)估事項(xiàng)；

? 根據(jù)信息安全管理體系的要求，定期向上級(jí)主管領(lǐng)導(dǎo)和保密委員會(huì)報(bào)告。

第七條 安全管理人員策略

為避免信息遭受人為過失、竊取、欺騙、濫用的風(fēng)險(xiǎn)，應(yīng)當(dāng)識(shí)別信息系統(tǒng)系統(tǒng)內(nèi)部每項(xiàng)工作的信息安全職責(zé)并補(bǔ)充相關(guān)的程序文件。公司全體人員都應(yīng)該了解計(jì)算機(jī)及系統(tǒng)的網(wǎng)絡(luò)與信息安全需求，公司必須為全體人員提供足夠的培訓(xùn)以達(dá)到該安全目的，并為他們提供報(bào)告安全事件和威脅的渠道。7.1工作定義及資源的安全

工作人員從事或離開崗位時(shí)必須進(jìn)行信息安全考慮，相關(guān)的安全事項(xiàng)必須包括在工作描述或合同中。包括：

? 對(duì)涉及訪問秘密或關(guān)鍵信息，或者訪問處理這些信息的系統(tǒng)的工作人員應(yīng)進(jìn)行嚴(yán)格審查和挑選；

? 對(duì)信息系統(tǒng)具有特殊訪問權(quán)限的工作人員應(yīng)該簽署承諾，保證不會(huì)濫用權(quán)限；

? 當(dāng)工作人員離開公司時(shí)應(yīng)該移交信息系統(tǒng)的訪問權(quán)限，或工作人員在公司內(nèi)部更換工作崗位時(shí)應(yīng)該重新檢查并調(diào)整其訪問權(quán)限。7.2員工培訓(xùn)

公司全體人員應(yīng)了解計(jì)算機(jī)及信息系統(tǒng)的安全需求，并對(duì)如何安全地使用信息及相關(guān)系統(tǒng)和工具、信息安全策略和相關(guān)管理規(guī)定接受培訓(xùn)，熟悉信息安全的實(shí)施并加強(qiáng)安全意識(shí)。

7.3事件報(bào)告

必須建立有效的信息反饋渠道，以便于公司人員一旦發(fā)現(xiàn)安全威脅、事件和故障，能及時(shí)向有關(guān)領(lǐng)導(dǎo)報(bào)告。

7.4信息處理設(shè)備可接受的使用策略

公司禁止工作人員濫用計(jì)算機(jī)及信息系統(tǒng)的計(jì)算機(jī)資源，僅為工作人員提供工作所需的信息處理設(shè)備。公司所有人員對(duì)系統(tǒng)網(wǎng)絡(luò)和計(jì)算資源的使用（包括訪問互聯(lián)網(wǎng)）都必須遵守計(jì)算機(jī)及信息系統(tǒng)的安全策略和標(biāo)準(zhǔn)及所有適用的法律。

公司的計(jì)算機(jī)及信息系統(tǒng)應(yīng)能防止使用人員連接到訪問含有色情、種族歧視及其他不良內(nèi)容的網(wǎng)站及某些非業(yè)務(wù)網(wǎng)站。

包括但不限于以下例子是不可接受的使用行為：

? 使用信息系統(tǒng)資源故意從事影響他人工作和生活的行為。

? 工作人員通過信息系統(tǒng)的網(wǎng)絡(luò)服務(wù)及設(shè)備傳輸、存儲(chǔ)任何非法的、有威脅的、濫用的材料。

? 任何工作人員使用信息系統(tǒng)的計(jì)算機(jī)工具、設(shè)備和互聯(lián)網(wǎng)訪問服務(wù)來從事用于個(gè)人獲益的商業(yè)活動(dòng)（如炒股）。

? 工作人員使用信息系統(tǒng)服務(wù)來參與任何政治或宗教活動(dòng)。? 在沒有信息安全管理部門的事先允許或?qū)徟那闆r下，工作人員在使用的計(jì)算機(jī)中更改或安裝任何類型的計(jì)算機(jī)軟件和硬件。

? 在沒有信息安全管理部門的事先允許或?qū)徟那闆r下，工作人員拷貝、安裝、處理或使用任何未經(jīng)許可的軟件。7.5處理從互聯(lián)網(wǎng)下載的軟件和文件

必須使用病毒檢測(cè)軟件對(duì)所有通過互聯(lián)網(wǎng)（或任何其他公網(wǎng)）從信息系統(tǒng)之外的途徑獲得的軟件和文件進(jìn)行檢查，同時(shí)，在獲得這些軟件和文件之前，信息安全管理部門必須研究和確認(rèn)使用這些工具的必要性。

7.6工作人員保密協(xié)議

公司所有人員必須在開始工作前，親自簽訂信息系統(tǒng)保密協(xié)議。7.7知識(shí)產(chǎn)權(quán)權(quán)利

尊重互聯(lián)網(wǎng)上他人的知識(shí)產(chǎn)權(quán)。

公司工作人員在被雇傭期間使用公司系統(tǒng)資源開發(fā)或設(shè)計(jì)的產(chǎn)品，無論是以何種方式涉及業(yè)務(wù)、產(chǎn)品、技術(shù)、處理器、服務(wù)或研發(fā)的資產(chǎn)，都是公司的專有資產(chǎn)。

第八條 安全保密產(chǎn)品和工具

8.1安全保密產(chǎn)品

為了構(gòu)建計(jì)算機(jī)良好的安全保密環(huán)境，每臺(tái)涉密機(jī)都必須安裝有安全保密產(chǎn)品。通過硬件、軟件倆個(gè)方面多角度的保護(hù)涉密機(jī)的信息安全。

? 安全保密產(chǎn)品主要包括“三合一”安全系統(tǒng)、主機(jī)審計(jì)系統(tǒng)、防輻射干擾器等相關(guān)保密產(chǎn)品。

? 提供安全保密產(chǎn)品的單位必須具備相應(yīng)的保密資質(zhì)和相關(guān)產(chǎn)品的檢測(cè)證書；

? 任何需求安裝安全保密產(chǎn)品的部門，保密辦都須直接參與，并由保密辦辦理相關(guān)手續(xù)后，即可使用；

? 安全保密產(chǎn)品一旦安裝，未經(jīng)批準(zhǔn)任何人不可私自修改、卸載； ? 按照要求正確使用安全保密產(chǎn)品,如有問題可以隨時(shí)詢問計(jì)算機(jī)安全管理員；

? 凡是安全保密產(chǎn)品涉及到的USB-Key、遙控器、單項(xiàng)導(dǎo)入盒等，相關(guān)負(fù) 責(zé)人使用完畢后應(yīng)盡快放入密碼柜中妥善保管；

8.2安全保密檢查工具

公司配備保密檢查工具。通過保密檢查工具能夠及時(shí)的發(fā)現(xiàn)問題。第九條 物理和環(huán)境安全策略

計(jì)算機(jī)信息和其他用于存儲(chǔ)、處理或傳輸信息的物理設(shè)施，例如硬件、磁介質(zhì)、電纜等，對(duì)于物理破壞來說是易受攻擊的，同時(shí)也不可能完全消除這些風(fēng)險(xiǎn)。因此，應(yīng)該將這些信息及物理設(shè)施放置于適當(dāng)?shù)沫h(huán)境中并在物理上給予保護(hù)使之免受安全威脅和環(huán)境危害。

9.1安全區(qū)域

根據(jù)信息安全的分層管理，應(yīng)將支持涉密信息或關(guān)鍵業(yè)務(wù)活動(dòng)的信息技術(shù)設(shè)備放置在安全區(qū)域中。安全區(qū)域應(yīng)當(dāng)考慮物理安全邊界控制及有適當(dāng)?shù)倪M(jìn)出控制措施保護(hù)，安全區(qū)域防護(hù)等級(jí)應(yīng)當(dāng)與安全區(qū)域內(nèi)的信息安全等級(jí)一致，安全區(qū)域的訪問權(quán)限應(yīng)該被嚴(yán)格控制。

辦公區(qū)、生產(chǎn)區(qū)重要部位及通道設(shè)置紅外視頻監(jiān)控系統(tǒng)，出入通道設(shè)置管理員值守。

9.2設(shè)備安全

對(duì)支持涉密信息或關(guān)鍵業(yè)務(wù)過程（包括備份設(shè)備和存儲(chǔ)過程）的設(shè)備應(yīng)該適當(dāng)?shù)卦谖锢砩线M(jìn)行保護(hù)以避免安全威脅和環(huán)境危險(xiǎn)。包括：

? 應(yīng)該對(duì)計(jì)算機(jī)介質(zhì)進(jìn)行控制，涉密機(jī)的USB-Key必須進(jìn)行物理保護(hù)； ? 涉密筆記本待用時(shí)，必須存放在密碼柜中；

? 對(duì)設(shè)備應(yīng)該進(jìn)行保護(hù)，定期檢查電源插排，防止電力異常而造成損壞等保護(hù)措施；

? 對(duì)計(jì)算機(jī)和設(shè)備環(huán)境應(yīng)該進(jìn)行監(jiān)控，檢查環(huán)境的影響因素，溫度和濕度是否超過正常界限（正常工作室溫：10℃—35℃；相對(duì)濕度:35%—80%）； ? 設(shè)備應(yīng)該按照生產(chǎn)商的說明進(jìn)行有序的維護(hù)與保養(yǎng)； 9.3物理訪問控制

信息安全管理部門應(yīng)建立訪問控制程序，控制并限制所有對(duì)計(jì)算計(jì)及信息系統(tǒng)計(jì)算、存儲(chǔ)和通訊系統(tǒng)設(shè)施的物理訪問。應(yīng)有合適的出入控制來保護(hù)安全場(chǎng)所，確保只允許授權(quán)的人員進(jìn)入。必須僅限公司工作人員和技術(shù)維護(hù)人員訪問公司辦 公場(chǎng)所、布線室、機(jī)房和計(jì)算基礎(chǔ)設(shè)施。

9.4建筑和環(huán)境的安全管理

為確保計(jì)算機(jī)處理設(shè)施能正確的、連續(xù)的運(yùn)行，應(yīng)至少考慮及防范以下威脅：偷竊、火災(zāi)、溫度、濕度、水、電力供應(yīng)中斷、爆炸物、吸煙、灰塵、振動(dòng)、化學(xué)影響等。

必須在安全區(qū)域建立環(huán)境狀況監(jiān)控機(jī)制，以監(jiān)控廠商建議范圍外的可能影響信息處理設(shè)施的環(huán)境狀況。應(yīng)在運(yùn)營(yíng)范圍內(nèi)安裝自動(dòng)滅火系統(tǒng)。定期測(cè)試、檢查并維護(hù)環(huán)境監(jiān)控警告機(jī)制，并至少每年操作一次滅火設(shè)備。

9.5保密室、計(jì)算機(jī)房訪問記錄管理

保密室、計(jì)算機(jī)房應(yīng)設(shè)立物理訪問記錄，信息安全管理部門應(yīng)定期檢查物理訪問記錄本，以確保正確使用了這項(xiàng)控制。物理訪問記錄應(yīng)至少保留12個(gè)月，以便協(xié)助事件調(diào)查。應(yīng)經(jīng)信息安全管理部門批準(zhǔn)后才可以處置記錄，并應(yīng)用碎紙機(jī)處理。

第十條 運(yùn)行管理策略

? 為避免信息遭受人為過失、竊取、欺騙、濫用的風(fēng)險(xiǎn)，應(yīng)當(dāng)識(shí)別計(jì)算機(jī)及信息系統(tǒng)內(nèi)部每項(xiàng)工作的信息安全職責(zé)，并補(bǔ)充相關(guān)的程序文件。公司全體相關(guān)人員都應(yīng)該了解計(jì)算機(jī)及系統(tǒng)的網(wǎng)絡(luò)與信息安全需求。? 信息設(shè)備和存儲(chǔ)介質(zhì)應(yīng)當(dāng)具有標(biāo)識(shí)、涉密的應(yīng)當(dāng)標(biāo)明密級(jí)，非密的應(yīng)當(dāng)標(biāo)明用途；

? 涉密計(jì)算機(jī)應(yīng)當(dāng)與內(nèi)部非涉密網(wǎng)絡(luò)和互聯(lián)網(wǎng)計(jì)算機(jī)實(shí)行物理隔離； ? 只有指定的涉密人員才能訪問秘密、關(guān)鍵信息并處理這些信息； ? 禁止使用非涉密的計(jì)算機(jī)和存儲(chǔ)介質(zhì)存儲(chǔ)和處理涉密信息； ? 未經(jīng)保密辦審批，禁止對(duì)計(jì)算機(jī)系統(tǒng)格式化或重裝系統(tǒng)；

? 涉密人員在使用白名單軟件時(shí)可以自行修改安裝，但名單以外的軟件必須事先通過保密辦的審批；

? 當(dāng)涉密人員離開公司時(shí)應(yīng)該移交信息系統(tǒng)的訪問權(quán)限，或涉密人員在公司內(nèi)部更換工作崗位時(shí)應(yīng)該重新檢查并調(diào)整其訪問權(quán)限

第十一條 通訊和傳輸安全管理策略

計(jì)算機(jī)和信息系統(tǒng)所擁有的和使用的大多數(shù)信息都在計(jì)算機(jī)上進(jìn)行處理和 存儲(chǔ)。為了保護(hù)這些信息，需要使用安全且受控的方式管理和操作這些計(jì)算機(jī)，使它們擁有充分的資源。

11.1公司計(jì)算機(jī)網(wǎng)絡(luò)結(jié)構(gòu)

公司計(jì)算機(jī)及信息系統(tǒng)管理分為涉密計(jì)算機(jī)管理、內(nèi)部網(wǎng)絡(luò)（局域網(wǎng)）及計(jì)算機(jī)信息管理、互聯(lián)網(wǎng)計(jì)算機(jī)信息管理三個(gè)管理層次。

涉密計(jì)算機(jī)只能處理涉及國(guó)家秘密的信息，實(shí)行物理隔離管理，只能由公司涉密人員使用，由公司保密員管理。涉密計(jì)算機(jī)信息數(shù)據(jù)必須被保護(hù)以防止被泄漏、破壞或修改。

內(nèi)部網(wǎng)絡(luò)（局域網(wǎng)）及計(jì)算機(jī)配置加密管理措施，與互聯(lián)網(wǎng)隔離，配置保密管理措施，只能通過局域網(wǎng)傳輸、儲(chǔ)存技術(shù)文檔、軟件等涉及公司商業(yè)機(jī)密信息。上述信息必須定期備份進(jìn)行保護(hù)，以免破壞和非授權(quán)修改。

互聯(lián)網(wǎng)計(jì)算機(jī)主要處理來自于外部資源的普通信息，配置上網(wǎng)行為管理措施，同樣在信息安全防護(hù)上進(jìn)行安全考慮。

上述計(jì)算機(jī)及信息系統(tǒng)根據(jù)分層次管理的要求應(yīng)當(dāng)依據(jù)其分類進(jìn)行物理標(biāo)記。

由于公司計(jì)算機(jī)和信息系統(tǒng)采用三層管理模式，不排除聯(lián)接到外部網(wǎng)絡(luò)，計(jì)算機(jī)和信息系統(tǒng)的運(yùn)行必須使用可控且安全的方式來管理，網(wǎng)絡(luò)軟件、數(shù)據(jù)和服務(wù)的完整性和可用性必須受到保護(hù)。第十二條 信息設(shè)備安全策略

為保護(hù)存儲(chǔ)計(jì)算機(jī)的數(shù)據(jù)信息的安全性、完整性、可用性，保護(hù)系統(tǒng)中的信息免受惡意的或偶然的篡改、偽造和竊取，有效控制內(nèi)部泄密的途徑，防范來自外部的破壞，制訂以下安全措施。

? 設(shè)置屏幕保護(hù)，要求設(shè)置保護(hù)時(shí)間為10分種，恢復(fù)時(shí)有密碼保護(hù)； ? 終端計(jì)算機(jī)禁止安裝多啟動(dòng)操作系統(tǒng)，只能安裝一個(gè)操作系統(tǒng)； ? 及時(shí)安裝操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用程序的升級(jí)補(bǔ)丁；

? 禁用終端危險(xiǎn)服務(wù)（包括遠(yuǎn)程注冊(cè)表管理、共享服務(wù)、終端服務(wù)等）； ? 拆除便攜式移動(dòng)計(jì)算機(jī)中具有無線聯(lián)網(wǎng)功能的硬件模塊； ? 涉密計(jì)算機(jī)應(yīng)配備電磁泄露發(fā)射防護(hù)裝置；

? 非涉密機(jī)向涉密機(jī)導(dǎo)入信息時(shí)，必須通過涉密中間機(jī)轉(zhuǎn)換，然后通過三 合一設(shè)備導(dǎo)入涉密計(jì)算機(jī)；

? 涉密機(jī)之間導(dǎo)入導(dǎo)出信息時(shí)，須采用一次性寫入光盤，也可申請(qǐng)使用單項(xiàng)導(dǎo)入設(shè)備；

第十三條 存儲(chǔ)設(shè)備安全

應(yīng)該對(duì)存儲(chǔ)介質(zhì)進(jìn)行控制，如果必要的話需要進(jìn)行物理保護(hù)： ? 可移動(dòng)的計(jì)算機(jī)介質(zhì)應(yīng)該受控；

? 應(yīng)該制定并遵守處理包含機(jī)密或關(guān)鍵數(shù)據(jù)的介質(zhì)的規(guī)程； ? 與計(jì)算相關(guān)的介質(zhì)應(yīng)該在不再需要時(shí)被妥善處理。第十四條 操作安全策略

14.1操作規(guī)程和職責(zé)

應(yīng)該制定管理和操作所有計(jì)算機(jī)和網(wǎng)絡(luò)所必須的職責(zé)和規(guī)程，來指導(dǎo)正確的和安全的操作。這些規(guī)程包括：

? 數(shù)據(jù)文件處理規(guī)程，包括驗(yàn)證網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)；

? 對(duì)所有計(jì)劃好的系統(tǒng)開發(fā)、維護(hù)和測(cè)試工作的變更管理規(guī)程； ? 為意外事件準(zhǔn)備的錯(cuò)誤處理和意外事件處理規(guī)程；

? 問題管理規(guī)程，包括記錄所有網(wǎng)絡(luò)問題和解決辦法（包括怎樣處理和誰處理）； ? 事故管理規(guī)程；

? 為所有新的或變更的硬件或軟件，制定包括性能、可用性、可靠性、可控性、可恢復(fù)性和錯(cuò)誤處理能力等方面的測(cè)試/評(píng)估規(guī)程；

? 日常管理活動(dòng)，例如啟動(dòng)和關(guān)閉規(guī)程，數(shù)據(jù)備份，設(shè)備維護(hù)，計(jì)算機(jī)和網(wǎng)絡(luò)管理，安全方法或需求；

? 當(dāng)出現(xiàn)意外操作或技術(shù)難題時(shí)的技術(shù)支持。14.2操作變更控制

對(duì)信息處理設(shè)施和系統(tǒng)控制不力是導(dǎo)致系統(tǒng)或安全故障的常見原因，所以應(yīng)該控制對(duì)信息處理設(shè)施和系統(tǒng)的變動(dòng)。應(yīng)落實(shí)正式的管理責(zé)任和措施，確保對(duì)設(shè)備、軟件或程序的所有變更得到滿意的控制。

14.3操作人員日志

操作人員應(yīng)保留日志記錄。根據(jù)需要，日志記錄應(yīng)包括： ? 系統(tǒng)及應(yīng)用啟動(dòng)和結(jié)束時(shí)間； ? 系統(tǒng)及應(yīng)用錯(cuò)誤和采取的糾正措施； ? 所處理的數(shù)據(jù)文件和計(jì)算機(jī)輸出； ? 操作日志建立和維護(hù)的人員名單。14.4錯(cuò)誤日志記錄

對(duì)錯(cuò)誤及時(shí)報(bào)告并采取措施予以糾正。應(yīng)記錄報(bào)告的關(guān)于信息處理錯(cuò)誤或通信系統(tǒng)故障。應(yīng)有一個(gè)明確的處理錯(cuò)誤報(bào)告的規(guī)則，包括：1）審查錯(cuò)誤日志，確保錯(cuò)誤已經(jīng)得到滿意的解決；2）審查糾正措施，確保沒有違反控制措施，并且采取的行動(dòng)都得到充分的授權(quán)。

14.5病毒防范策略

病毒防范包括預(yù)防和檢查病毒（包括實(shí)時(shí)掃描/過濾和定期檢查），主要內(nèi)容包括：

? 控制病毒入侵途徑，外來資料必須進(jìn)過安全殺毒后才能使用； ? 安裝可靠的防病毒軟件，公司殺毒軟件使用360殺毒系統(tǒng)；

? 對(duì)系統(tǒng)進(jìn)行實(shí)時(shí)檢測(cè)和過濾，執(zhí)行檢測(cè)和過濾的過程以自查為主，發(fā)現(xiàn)問題及時(shí)向計(jì)算機(jī)管理員報(bào)告；

? 定期殺毒并及時(shí)查殺計(jì)算機(jī)安全管理員應(yīng)及時(shí)對(duì)發(fā)現(xiàn)的病毒進(jìn)行處理并記錄，查殺不了的及時(shí)向有關(guān)部門報(bào)告； ? 防病毒軟件的安裝和使用由計(jì)算機(jī)安全管理員執(zhí)行；

嚴(yán)格控制盜版軟件及其它第三方軟件的使用，必要時(shí)，在運(yùn)行前先對(duì)其進(jìn)行病毒檢查。

第十五條 訪問控制策略

為了保護(hù)計(jì)算機(jī)系統(tǒng)中信息不被非授權(quán)的訪問、操作或破壞，必須對(duì)信息系統(tǒng)和數(shù)據(jù)實(shí)行控制訪問。

計(jì)算機(jī)系統(tǒng)控制訪問包括建立和使用正式的規(guī)程來分配權(quán)限，并培訓(xùn)工作人員安全地使用系統(tǒng)。對(duì)系統(tǒng)進(jìn)行監(jiān)控檢查是否遵守所制定的規(guī)程。

計(jì)算機(jī)訪問控制

應(yīng)該根據(jù)相關(guān)國(guó)家法律的要求和指導(dǎo)方針控制對(duì)信息系統(tǒng)和數(shù)據(jù)的訪問： ? 計(jì)算機(jī)活動(dòng)應(yīng)可以被追蹤到人； ? 訪問所有多用戶計(jì)算機(jī)系統(tǒng)應(yīng)有正式的用戶登記和注銷規(guī)程； ? 應(yīng)使用有效的訪問系統(tǒng)來鑒別用戶； ? 應(yīng)通過安全登錄進(jìn)程訪問多用戶計(jì)算機(jī)系統(tǒng)； ? 特殊權(quán)限的分配應(yīng)被安全地控制；

? 用戶選擇和使用密碼時(shí)應(yīng)慎重參考良好的安全慣例； ? 用戶應(yīng)確保無人看管的設(shè)備受到了適當(dāng)?shù)陌踩Ｗo(hù)； ? 應(yīng)根據(jù)系統(tǒng)的重要性制定監(jiān)控系統(tǒng)的使用規(guī)程。? 必須維護(hù)監(jiān)控系統(tǒng)安全事件的審計(jì)跟蹤記錄； ? 為準(zhǔn)確記錄安全事件，計(jì)算機(jī)時(shí)鐘應(yīng)被同步。第十六條 導(dǎo)入導(dǎo)出策略

? 輸入輸出應(yīng)實(shí)行“集中管理、有效控制、過程審計(jì)”的管理原則； ? 涉密中間機(jī)、涉密打印機(jī)、涉密一體機(jī)、涉密計(jì)算機(jī)，只可單一方向?qū)牖驅(qū)С觯?/p>

? 掃描輸入時(shí)須由部門領(lǐng)導(dǎo)審批，完成后保密辦收回紙介質(zhì)；

? 電子文檔錄入時(shí)須經(jīng)部門領(lǐng)導(dǎo)同意，才可將電子信息輸入到固定文件夾內(nèi)；

? 電子輸出時(shí)只可采取一次性光盤導(dǎo)出，或者申請(qǐng)單導(dǎo)設(shè)備。寫入光盤時(shí)須粘貼條碼，標(biāo)識(shí)光盤密級(jí)；

? 涉密信息打印時(shí)須經(jīng)領(lǐng)導(dǎo)同意，打印完成后做涉密載體登記 第十七條 備份與恢復(fù)策略

定義計(jì)算機(jī)及信息系統(tǒng)備份與恢復(fù)應(yīng)該采用的基本措施： ? 建立有效的備份與恢復(fù)機(jī)制；

? 定期檢測(cè)自動(dòng)備份系統(tǒng)是否正常工作；

? 明確備份的操作人員職責(zé)、工作流程和工作審批制度； ? 建立完善的備份工作操作技術(shù)文檔；

? 明確恢復(fù)的操作人員職責(zé)、工作流程和工作審批制度； ? 建立完善的恢復(fù)工作操作技術(shù)文檔； ? 針對(duì)建立的備份與恢復(fù)機(jī)制進(jìn)行演習(xí)； ? 對(duì)備份的類型和恢復(fù)的方式進(jìn)行明確的定義； ? 妥善保管備份介質(zhì)。第十八條 設(shè)備維修策略

涉密計(jì)算機(jī)及相關(guān)設(shè)備維修，應(yīng)當(dāng)在本單位內(nèi)部現(xiàn)場(chǎng)進(jìn)行，并指定專人全程監(jiān)督，嚴(yán)禁維修人員讀取和復(fù)制涉密信息；確需送外維修的，應(yīng)當(dāng)拆除涉密信息存儲(chǔ)部件。選擇本系統(tǒng)涉密單位或者保密行政管理部門批準(zhǔn)或授權(quán)的維修機(jī)構(gòu),并由信息化管理部門與維修單位簽訂維修合同和保密協(xié)議。特殊設(shè)備維修,由單位制定相應(yīng)制度與措施,履行審批手續(xù),滿足旁站陪同等保密要求。無法拆除硬件和固件的,一般不得送修。第十九條設(shè)備報(bào)廢策略

涉密計(jì)算機(jī)及相關(guān)設(shè)備不再用于處理涉密信息或報(bào)廢時(shí)，應(yīng)當(dāng)將涉密信息存儲(chǔ)部件拆除或及時(shí)銷毀。

計(jì)算機(jī)、打印機(jī)等信息設(shè)備的主板、內(nèi)存、顯卡等不能進(jìn)行信息清除,只能做報(bào)廢銷毀處理。銷毀前,應(yīng)當(dāng)將待銷毀設(shè)備與清單一一核對(duì),經(jīng)保密辦公室部門指定的銷毀機(jī)構(gòu)進(jìn)行銷毀。單位自行銷毀的,應(yīng)當(dāng)保存銷毀清單和相關(guān)記錄,對(duì)涉密信息設(shè)備和涉密存儲(chǔ)設(shè)備的名稱、等級(jí)、序列號(hào)、經(jīng)辦人、采取的銷毀方法和控制措施,以及銷毀后殘留物的最終去向等情況詳細(xì)記錄并存檔。

涉密硒鼓屬于涉密外部設(shè)施設(shè)備，應(yīng)履行審批手續(xù),逐一登記有關(guān)要素信息，送國(guó)家保密行政管理部門指定的銷毀機(jī)構(gòu)進(jìn)行銷毀。銷毀證明和清單應(yīng)當(dāng)妥善保存。同時(shí),拆下的報(bào)廢硒鼓應(yīng)當(dāng)建立臺(tái)賬，粘貼標(biāo)識(shí)，集中管理，統(tǒng)按照保密要求進(jìn)行報(bào)廢和銷毀處理。

第二十條 風(fēng)險(xiǎn)管理及安全審計(jì)策略

信息安全審計(jì)及風(fēng)險(xiǎn)管理對(duì)于幫助公司識(shí)別和理解信息被攻擊、更改和不可用所帶來的（直接和間接的）潛在業(yè)務(wù)影響來說至關(guān)重要。所有信息內(nèi)容和信息技術(shù)過程應(yīng)通過信息安全審計(jì)活動(dòng)及風(fēng)險(xiǎn)評(píng)估活動(dòng)來識(shí)別與它們相關(guān)的安全風(fēng)險(xiǎn)并執(zhí)行適當(dāng)?shù)陌踩珜?duì)策。

計(jì)算機(jī)及信息系統(tǒng)的信息安全審計(jì)活動(dòng)和風(fēng)險(xiǎn)評(píng)估應(yīng)當(dāng)定期執(zhí)行。特別是系統(tǒng)建設(shè)前或系統(tǒng)進(jìn)行重大變更前，必須進(jìn)行風(fēng)險(xiǎn)評(píng)估工作。

涉密信息設(shè)備每季度審計(jì)一次； 內(nèi)部計(jì)算機(jī)每半年審計(jì)一次； 互聯(lián)網(wǎng)計(jì)算機(jī)每季度審計(jì)一次。

安全審計(jì)內(nèi)容主要內(nèi)容包括：；策略改動(dòng)、登錄/注銷、系統(tǒng)事件、詳細(xì)追蹤、賬戶登錄和賬戶管理、文件拷貝、文件打印、U盤操作、網(wǎng)絡(luò)連接、上網(wǎng)、文件操作、安全事件、應(yīng)用程序事件等，并形成文檔化的信息安全審計(jì)報(bào)告。

信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)當(dāng)至少1年一次，可由公司自己組織進(jìn)行或委托有信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估資質(zhì)的第三方機(jī)構(gòu)進(jìn)行。信息安全風(fēng)險(xiǎn)評(píng)估必須形成文檔化的風(fēng)險(xiǎn)評(píng)估報(bào)告。

第二十一條 信息系統(tǒng)應(yīng)急計(jì)劃和響應(yīng)策略

21.1信息應(yīng)急計(jì)劃和響應(yīng)的必要性

應(yīng)該制定和實(shí)施應(yīng)急計(jì)劃和響應(yīng)管理程序，將預(yù)防和恢復(fù)控制措施相結(jié)合，將災(zāi)難和安全故障（可能是由于自然災(zāi)害、事故、設(shè)備故障和蓄意破壞等引起）造成的影響降低到可以接受的水平。

應(yīng)該分析災(zāi)難、安全故障和服務(wù)損失的后果。制定和實(shí)施應(yīng)急計(jì)劃，確保能夠在要求的時(shí)間內(nèi)恢復(fù)業(yè)務(wù)的流程。應(yīng)該維護(hù)和執(zhí)行此類計(jì)劃，使之成為其它所有管理程序的一部分。

21.2應(yīng)急計(jì)劃和響應(yīng)管理程序

應(yīng)該在整個(gè)計(jì)算機(jī)信息系統(tǒng)內(nèi)部制定應(yīng)急計(jì)劃和響應(yīng)的管理流程。包括以下主要內(nèi)容：

? 考慮突發(fā)事件的可能性和影響。

? 了解中斷信息系統(tǒng)服務(wù)可能對(duì)業(yè)務(wù)造成的影響（必須找到適當(dāng)?shù)慕鉀Q方案，正確處理較小事故以及可能威脅組織生存的大事故），并確定信息處理設(shè)施的業(yè)務(wù)目標(biāo)。

? 適當(dāng)考慮風(fēng)險(xiǎn)處理措施，可以將其作為業(yè)務(wù)連續(xù)性程序的一部分。? 定期對(duì)應(yīng)急計(jì)劃和響應(yīng)程序進(jìn)行檢查和進(jìn)行必要的演練，確保其始終有效。

? 適當(dāng)?shù)貙?duì)技術(shù)人員進(jìn)行培訓(xùn)，讓他們了解包括危機(jī)管理在內(nèi)的應(yīng)急程序。

第二十二條 遵循性

計(jì)算機(jī)及信息系統(tǒng)必須遵守國(guó)家法律和法規(guī)的要求。公司所有工作人員都有責(zé)任學(xué)習(xí)、理解并遵守安全策略，以確保公司敏感信息的安全。對(duì)違反安全策略的行為，根據(jù)事件性質(zhì)和違規(guī)的嚴(yán)重程度，采取相應(yīng)的處罰措施。信息安全管理部門應(yīng)根據(jù)違規(guī)的嚴(yán)重程度向相關(guān)領(lǐng)導(dǎo)提出建議懲罰措施。除本安全策略中涉及的要求之外，所有部門和工作人員同樣需要遵守相關(guān)國(guó)家法律和法規(guī)的要求。

計(jì)算機(jī)和信息系統(tǒng)安全策略文件由信息安全管理部門負(fù)責(zé)制定和解釋，由公司保密委員會(huì)審批發(fā)布。

公司已存在的但內(nèi)容與本安全策略文件不符的管理規(guī)定，應(yīng)以本安全策略的要求為準(zhǔn)，并參考本安全策略及時(shí)進(jìn)行修訂。

第四篇：三級(jí)資質(zhì)核準(zhǔn)范文

天津市前期物業(yè)管理備案程序

為貫徹落實(shí)國(guó)務(wù)院《物業(yè)管理?xiàng)l例》和《天津市物業(yè)管理?xiàng)l例》及《天津市商品房管理?xiàng)l例》的規(guī)定，保護(hù)行政管理相對(duì)人合法權(quán)益，提高行政效率，特制定本程序。

一、申請(qǐng)

開發(fā)建設(shè)單位在辦理商品房銷售許可證之前，應(yīng)當(dāng)會(huì)同物業(yè)服務(wù)企業(yè)向天津市國(guó)土資源和房屋管理局物業(yè)管理處提出備案申請(qǐng)，填寫《天津市前期物業(yè)管理備案申請(qǐng)書》（一式兩份），并同時(shí)提交下列材料：

（一）物業(yè)服務(wù)企業(yè)營(yíng)業(yè)執(zhí)照和資質(zhì)證書；

（二）《建設(shè)工程規(guī)劃許可證》和規(guī)劃行政主管部門出具的符合《天津市物業(yè)管理服務(wù)用房管理辦法》規(guī)定的規(guī)劃詳圖或規(guī)劃總平面圖；

（三）分期辦理前期物業(yè)管理備案的項(xiàng)目，要在辦理最后一期前，提供房地產(chǎn)行政主管部門出具的物業(yè)管理用房測(cè)繪報(bào)告；

（四）經(jīng)地名主管部門核準(zhǔn)的《標(biāo)準(zhǔn)地名證書》；

（五）簽訂的《前期物業(yè)服務(wù)合同》；

（六）物業(yè)管理服務(wù)方案；

（七）《臨時(shí)管理規(guī)約》；

（八）住宅項(xiàng)目建筑規(guī)模在3萬平方米以上或者非住宅項(xiàng)目建筑規(guī)模在1萬平方米以上的，提供天津市物業(yè)管理招投標(biāo)中心出具的《中標(biāo)通知書》或《議標(biāo)結(jié)果通知書》；住宅項(xiàng)目建筑規(guī)模在3萬平方米以下或者非住宅項(xiàng)目建筑規(guī)模在1萬平方米以下的，提供區(qū)、縣物業(yè)管理行政主管部門出具的《協(xié)議選聘物業(yè)服務(wù)企業(yè)備案通知》；

（九）政府保障性住房提供物價(jià)局核定的物業(yè)管理服務(wù)費(fèi)收費(fèi)等級(jí)和中準(zhǔn)價(jià)格標(biāo)準(zhǔn)。

以上第（一）、（二）、（三）、（四）、（九）項(xiàng)要件需核對(duì)原件后留存復(fù)印件，經(jīng)核對(duì)內(nèi)容無誤后，在留存的復(fù)印件空白處加蓋專用章。

二、受理

申請(qǐng)人提交申請(qǐng)要件齊全的，市國(guó)土資源和房屋管理局物業(yè)管理處當(dāng)場(chǎng)受理備案申請(qǐng)，接件后給申請(qǐng)人出具加蓋本機(jī)關(guān)受理專用印章的“申請(qǐng)受理通知書”。

三、審查

市國(guó)土資源和房屋管理局物業(yè)管理處受理后，需對(duì)下列事項(xiàng)進(jìn)行審查：

（一）所提供的要件和資料是否齊全；

（二）接受委托的物業(yè)服務(wù)企業(yè)是否具備管理資格；

（三）物業(yè)管理區(qū)域劃分是否符合有關(guān)規(guī)定；

（四）《前期物業(yè)服務(wù)合同》、《臨時(shí)管理規(guī)約》約定的內(nèi)容是否符合物業(yè)管理的有關(guān)法律、法規(guī)和規(guī)章的規(guī)定；

（五）物業(yè)管理服務(wù)方案，包括：房屋、環(huán)境衛(wèi)生、公共秩序、綠化、裝修及內(nèi)部管理等物業(yè)管理服務(wù)制度是否健全，服務(wù)內(nèi)容及標(biāo)準(zhǔn)是否明確；

（六）物業(yè)服務(wù)用房的配置是否符合規(guī)定

經(jīng)審查符合條件的出具《前期物業(yè)管理備案證明》。不符合條件的，說明理由，書面告知申請(qǐng)人補(bǔ)正事項(xiàng)。

四、辦理時(shí)限

自受理申請(qǐng)之日起3個(gè)工作日內(nèi)，對(duì)符合條件的出具《前期物業(yè)管理備案證明》。

一、申請(qǐng)三級(jí)物業(yè)服務(wù)企業(yè)資質(zhì)等級(jí)核準(zhǔn)需具備的條件

（一）新設(shè)立的物業(yè)服務(wù)企業(yè)應(yīng)當(dāng)自領(lǐng)取營(yíng)業(yè)執(zhí)照之日起30日內(nèi)，向工商注冊(cè)地房地產(chǎn)行政主管部門申請(qǐng)資質(zhì)核準(zhǔn)。

1、注冊(cè)資本人民幣50萬元以上；

2、物業(yè)管理專業(yè)人員以及工程、管理、經(jīng)濟(jì)等相關(guān)專業(yè)類的專職管理和技術(shù)人員不少于10人。其中，具有中級(jí)以上職稱的人員不少于5人，工程、財(cái)務(wù)等業(yè)務(wù)負(fù)責(zé)人具有相應(yīng)專業(yè)中級(jí)以上職稱；

3、物業(yè)管理專業(yè)人員按照國(guó)家有關(guān)規(guī)定取得職業(yè)資格證書；

4、建立并嚴(yán)格執(zhí)行服務(wù)質(zhì)量、服務(wù)收費(fèi)等企業(yè)管理制度和標(biāo)準(zhǔn)，建立企業(yè)信用檔案系統(tǒng)。

二、需要提交的材料目錄

（一）新設(shè)立物業(yè)服務(wù)企業(yè)資質(zhì)核準(zhǔn)需要提交材料：

1、營(yíng)業(yè)執(zhí)照；

2、企業(yè)章程；

3、驗(yàn)資證明；

4、企業(yè)法定代表人的身份證明；

5、物業(yè)管理專業(yè)人員的職業(yè)資格證書和勞動(dòng)合同，管理和技術(shù)人員的職稱證書和勞動(dòng)合同。

以上第（1）、（3）、（4）、（5）項(xiàng)要件需核對(duì)原件后留存復(fù)印件，經(jīng)核對(duì)內(nèi)容無誤后，在留存的復(fù)印件上加蓋專用章。

第五篇：施工三級(jí)資質(zhì)

公路施工總承包企業(yè)需要省級(jí)建委（建設(shè)局）和省級(jí)交通廳雙重審批，審批的難度非常大。

公路施工總承包三級(jí)企業(yè)資質(zhì)標(biāo)準(zhǔn)：

1、企業(yè)經(jīng)理具有6年以上從事工程管理工作經(jīng)歷或具有中級(jí)以上職稱；技術(shù)負(fù)責(zé)人具有6年以上從事公路工程施工技術(shù)管理工作經(jīng)歷并具有本專業(yè)中級(jí)以上職稱；財(cái)務(wù)負(fù)責(zé)人具有中級(jí)以上會(huì)計(jì)職稱。

2、企業(yè)有職稱的工程技術(shù)和經(jīng)濟(jì)管理人員不少于60人，其中工程技術(shù)人員不少于40人；工程技術(shù)人員中，具有中級(jí)以上職稱的人員不少于20人，其中具有公路工程系列中級(jí)以上職稱的人員不少于15人。

3、企業(yè)具有的本專業(yè)三級(jí)資質(zhì)以上建造師不少于10人。

4、企業(yè)注冊(cè)資本金1000萬元以上，企業(yè)凈資產(chǎn)1500萬元以上。

5、企業(yè)具有與承包工程范圍相適應(yīng)的施工機(jī)械和質(zhì)量檢測(cè)設(shè)備，并至少具有：

（1）60噸／小時(shí)以上瀝青混凝土拌和設(shè)備1臺(tái)，40立方米/小時(shí)以上水泥混凝土拌和設(shè)備1臺(tái)；

（2）攤鋪寬度4．5米以上瀝青混凝土攤鋪設(shè)備2臺(tái)；

（3）120千瓦以上平地機(jī)2臺(tái)；

（4）0.8立方米以上挖掘機(jī)2臺(tái)；

（5）100千瓦以上推土機(jī)2臺(tái)；

（6）各型壓路機(jī)5臺(tái)（其中瀝青混凝土壓實(shí)設(shè)備2臺(tái)，大型土方振動(dòng)壓實(shí)設(shè)備1臺(tái)）；

（7）30噸以上吊車1臺(tái)。

工程可承接業(yè)務(wù)范圍

三級(jí)企業(yè)：可承擔(dān)單項(xiàng)合同額不超過企業(yè)注冊(cè)資本金5倍的二級(jí)標(biāo)準(zhǔn)及以下公路、單座橋長(zhǎng)＜500米、單跨跨度＜40米的橋梁工程的施工。

注：公路工程包括公路（含廠礦和林業(yè)專用公路）及其橋梁、隧道和沿線設(shè)施工程。