东软信息安全管理办法Neusoft.doc

东软内部公开 东软信息安全管理办法 文件版本：  1.3  发布日期：  2018  年  11  月  30  日 东软集团股份有限公司  版权所有  Copyright ? Neusoft Corporation 文件修订说明 序号 修订要点 主要涉及条款 修订说明 1 增加了 “公司及相关方涉密信息的 第十四条 适应业务发展需要 范围 ”的内容 2 3  增加了对 “信息载体的管理 ”的要 第二十四、二十五、二 适应业务发展需要 求 十六条、二十七条 修订了 “个人信息保护 ”的内容 第四十四、四十五、四 适应业务发展需要 十六、四十七、四十八 条 4 修订了 “信息安全教育 ”的内容 第五十九、六十、六十 适应业务发展需要 一条 5 修订了 “员工的权利和义务 ” 第六十九条 适应业务发展需要 6 修订了 “个人信息 ”及 “相关方 ”的 第七、九条 适应业务发展需要 相关定义 7 增加了互联网行为的处罚内容 第七十条 适应业务发展需要 8 修订了 员工风险行为所对应的内 员工风险行为 法律责 适应业务发展需要 部责任 任对照表 - 2 - 第一章 总则 第一条 为加强东软集团股份有限公司（以下简称 “公司 ”）的信息安全管理，保护公司及相 关方信息安全和商业利益，保证公司业务持续、平稳运行，根据国家有关法律、法规、 部门规章和 行业规范要求，特制定本办法。 第二条 信息安全是公司及相关方正常经营的重要保障，公司遵照 “管理风险，保障信息安 全，提升经营持续性 ”的方针，通过风险管理，采取一切可能的控制措施，加强信息安全管理体系 的建设和管理。 第三条 公司全体员工均有参与信息安全管理、保护公司及相关方信息安全的义务和责任。 员工应积极参加各种形式的信息安全教育和培训，遵守国家有关法律、法规、部门规章和行业规 范，遵守公司信息安全管理要求。 第四条 本办法适用于公司各职能部门、事业部、分公司（以下如无特殊所指，均简称 “部 门 ”）、全资子公司、控股子公司及全体员工，参股公司等其它关联单位可参照本办法执行。 第二章 定义 第五条 本办法所称信息，是指以文字、数字、图形、符号、图像、声音等形式存在的，可 以存储在介质或人脑中的，具有约定含义的事物，包括但不限于源代码、文档、系统数据等。 第六条 本办法所称涉密信息，是指不为公众所知悉，并经公司及相关方采取保护措施的信 息。 第七条 本办法所称个人信息，是指以电子或其他方式记录的、能够单独或者与其他信息结 合，识别特定自然人身份或者反映特定自然人活动情况的各种信息，如姓名、出生日期、身份证件 号码、住址、电话号码、账号、密码、照片、各类记录等。 第八条 本办法所称信息安全，是指保证信息的保密性（ Confidentiality ）、完整性 Integrity ）和可用性（ Availability ）。 第九条 本办法所称相关方，是指公司的客户及与公司合作、支持公司业务运行的其它实 体，通常包括客户、网络服务提供商、顾客、 IT 系统运维服务商、外部审核机构、供应商等。 第十条 本办法所称信息安全管理体系文件，是按照 ISO27001 标准建立的公司日常信息安 全管理活动的执行依据。 第三章 组织和职责 第十一条 信息系统规划与建设委员会是公司信息安全工作的最高领导机构，负责制定公司信息安全管理方针和策略，审批公司信息安全管理计划及监督信息安全管理体系运行，由公司管 - 3 - 理层组成。信息系统规划与建设委员会下设公司级信息安全事件处理小组，由公司相关职能部门 负责人组成，组长由公司管理层担任，负责处理公司的重大信息安全事件与严重信息安全事件。 信息安全管理中心是公司信息系统规划与建设委员会的常设机构，负责贯彻、执行信息系统 规划与建设委员会制定的信息安全方针、策略和计划，组织、协调、管理公司日常信息安全活 动。 第十二条 各事业部、分公司设立部门级信息安全管理委员会，负责部门信息安全工作的规划和管理，由部门管理层组成。部门级信息安全管理委员会下设部门信息安全事件处理小组，负责处理与本部门相关的信息安全事件。 各部门设立信息安全主管及专员，负责部门日常的信息安全管理工作。 第十三条 对信息安全组织和职责的详细规定，参见公司信息安全管理体系文件之 《信息安全组织管理规范》。 第四章 涉密信息的范围及密级划分 第十四条 根据本办法第二章的规定，公司及相关方涉密信息的范围包括但不限于： （一）技术信息 计算机软件、硬件、软硬件一体机、医疗 / 健康设备等产品及技术信息：各类研究开发计划、设计方案、设计思想、技术方案、专有技术、源程序、算法、公式、核心数据、技术支持数 据、测试数据、产品规格和零件清单、 使用手册、说明文档、产品