信息安全控制程序
1、目的
增强公司全体员工信息安全意识和技能。

建立包括信息安全承诺、要求、实施、监视、风险评估和管理的制度体系，建立信息安全事件管理规程，以及有效的信息安全事件应急处理机制，按照规程报告信息安全事件，并及时响应。

2、适用范围
适用于公司各信息系统所连接的各种设备设施、运行的各种软件系统、采集的各种数据与信息、相关用户的各种操作行为等。

3 职责
3.1 董事长负责重要的信息安全保护措施的审定。

3.2 管理者代表完善公司信息安全管理和防范机制，审核信息安全
管理制度并对重大信息安全事件的处置工作进行指导与监
督。

3.3 信息中心作为信息安全的主要管理部门，负责整体规划、建设
实施整改、制度建立、监督考核各部门的信息安全工作；负责
公司网络、服务器、计算机等软硬件设备的维护及升级工作。

3.4各部门负责提出信息安全需求，及本部门所涉及的信息安全管
理工作。

4 工作程序
4.1管理者代表综合考虑公司的信息安全状况，提出信息安全的具
体实施范围。

确立各部门对于信息安全所承担的责任，完善
信息安全管理和防范机制。

4.2公司各部门根据实际业务情况，提出信息安全需求，并报信息
中心统一汇总。

需求识别包括数据安全的需求，机房、设备等
安全风险的需求。

信息中心定期对公司员工进行信息安全培训
教育，确保全员认识到信息安全的重要性和紧迫性，增强信息
安全意识。

4.3信息中心组织相关部门及人员对汇总的信息安全进行评审确
定优先级，并相应提出信息安全解决方案。

最终形成文件上
报，审批后立即执行。

4.4信息中心负责制定公司的信息安全实施规范，并报公司管理者
代表和董事长审批通过发布执行。

4.5各部门在执行信息安全规范过程中出现的问题及时向信息中
心反馈。

5 信息安全日常管理
5.1 终端安全管理
5.1.1 个人办公终端须按照公司的要求安装相应的办公软件。

5.1.2 办公电脑仅限处理公司业务。

5.1.3 外来人员终端需接入公司内网时，相应部门须提交申请。

通过后方可接入。

5.2 数据安全管理
5.2.1 业务数据必须定期备份和异地备份，并由专人负责。

5.2.2 涉及商业机密和知识产权的信息未经授权不得以任何
形式对外发布。

5.2.3 未经授权不得传播公司信息。

5.2.4员工在使用移动存储介质如移动硬盘、U盘等进行数据
存储前，必须先进行杀毒处理方可使用。

5.3账号权限安全
5.3.1 员工所使用的账号及权限定期检查清理。

5.3.2 个人账号不得泄露或提供给他人使用。

5.3.3 员工调岗须所在部门及时提供变更申请。

5.3.4临时人员账号严格管理并定期检查清理。

5.4网络、服务器及应用系统安全管理
5.4.1公司机房应当安装防雷、防火设备及网络防火墙等。

5.4.2未经授权不得私自将IT设备接入公司网路。

5.4.3服务器须安装防病毒产品，定期检查版本漏洞，及时更新
安全补丁。

5.4.4.业务应用系统未经授权不得直接在互联网上发布，在互联
网环境访问公司业务系统必须通过安全认证方式连接。

5.5外包服务安全管理
5.5.1 外包服务必须与服务提供方签订保密协议，明确项目实
施过程及项目结项以后的信息安全具体责任与要求。

5.5.2外包商在项目验收前清除所有客户资料。

、
5.5.3服务合同须遵从本规定的相关要求。

5.6 信息中心定期对公司的信息安全设备设施进行检查，采集各
部门的反馈信息，实时监控公司的信息安全状况，定期向管理者代表和公司领导汇报公司的信息安全状况报告或应急预案。

5.7公司信息安全实施过程文档一式二份，一份由信息中心保存，
一份由行政部存档。