ecovadis信息安全制度及应急预案.pdfVIP

ecovadis信息安全制度及应急预案

公司社会责任

XXX于2018年6月21日发布了信息安全管理制度，以

加强公司各信息系统管理，保证信息系统安全。该制度根据

《中华人民共和国保守国家秘密法》和XXX相关规定制定，

包括网络安全管理、信息系统安全必威体育官网网址制度、信息安全风险应

急预案。

网络安全管理制度

该制度规定，公司网络的安全管理应保障网络系统设备和

配套设施的安全，信息的安全，运行环境的安全。任何单位和

个人不得从事破坏公司网络安全的活动，例如破坏、挪用、改

动公司网络主结点设备、光缆、网线布线设施，未经允许地删

除、修改或增加计算机信息网络中的共享文件和存储、处理或

传输的数据和应用程序，制作、传播计算机病毒等破坏性程序，

访问带有“黄、赌、毒”、反动言论内容的网站，向其它非本单

位用户透露公司网络登录用户名和密码，以及从事其他危害公

司计算机网络及信息系统安全的行为。

各单位信息管理部门负责本单位网络安全和信息安全工作，

对本单位所属计算机网络的运行进行巡检，发现问题及时上报

信息中心。连入公司网络的用户必须在其本机上安装防病毒软

件，一经发现个人计算机由感染病毒等原因影响到整体网络安

全，信息中心将立即停止该用户使用公司网络，待其计算机系

统安全之后方予开通。对网络病毒或其他原因影响整体网络安

全的子网，信息中心对其提供指导，必要时可以中断其与骨干

网的连接，待子网恢复正常后再恢复连接。

信息系统安全必威体育官网网址制度

信息系统安全必威体育官网网址是一项持续不断的工作，每位系统管理

员都必须认识到信息安全必威体育官网网址的重要性和必要性，并提高信息

安全必威体育官网网址意识。对重要系统的系统岗位员工进行信息系统安全

必威体育官网网址培训是必要的。

为实现信息发布的真实有效和符合中华人民共和国法规，

必须实行信息发布责任追究制度。所有信息的发布必须按规定

办理审核、审签手续，并且涉及国家及公司机密的信息系统必

须与内部网和互联网实施物理隔离，严格执行上网信息的审查

制度和涉及国家秘密的信息不得在企业内网发布的规定，以杜

绝泄密事件的发生。对于发布虚假、反动、色情、泄密等内容

的责任人，将追究其法律责任。

信息系统管理权限从安全级别、适用对象、操作承载体和

设定内容等方面进行分级。必须设定密码有效期限，采用非明

文二次加密技术防止各类密码泄露事故的发生。

利用IT技术手段，对信息系统的硬件配置调整、软件参

数修改严加控制。利用操作系统、数据库系统、应用系统所提

供的安全机制，设置相应的安全参数，保证系统访问的安全。

对于重要的计算机设备，要利用软件技术等手段防止员工擅自

安装、卸载软件或改变软件系统配置，并定期对以上情况进行

检查。

在信息系统需要委托专业机构进行系统运行和维护管理时，

应严格审查其资质条件、市场剩余和信用状况等，并与其签订

正式的服务合同和必威体育官网网址协议。

所有信息系统服务器、工作终端、用户终端必须安装安全

防病毒软件，对未安装防病毒软件的终端用户有权拒绝为其提

供网络接入服务。对于通过互联网传输的涉密或关键业务数据，

要采取必要的技术手段确保信息传递的必威体育官网网址性、准确性、完整

性。

5.3.1重要数据丢失辨识

1）误操作或病毒攻击导致的数据丢失。

2）硬件故障导致的数据丢失。

3）自然灾害导致的数据丢失。

4）人为破坏导致的数据丢失。

5.3.2重要数据丢失风险评估

重要数据丢失可能导致公司业务受到影响，客户信息泄露，

公司声誉受损，直接经济损失等。

5.4、网络系统大面积瘫痪辨识及评估

5.4.1网络系统大面积瘫痪辨识

1）网络攻击导致的大面积瘫痪。

2）硬件故障导致的大面积瘫痪。

3）系统漏洞导致的大面积瘫痪。

4）自然灾害导致的大面积瘫痪。

5.4.2网络系统大面积瘫痪风险评估

网络系统大面积瘫痪可能导致公司业务中断，客户信息泄

露，公司声誉受损，直接经济损失等。

六、应急预案

6.1、应急响应流程

6.1.1应急响应级别

根据风险等级划分应急响应级别，分为一级应急响应、二

级应急响应、三级应急响应。

6.1.2应急响应流程

应急响应流程包括：应急响应启动、应急