中建信息化管理手冊(cè)

中建新疆建工(集團(tuán))有限公司cSCECXINJIANGCONSTRUCTION&ENGINEERINGGROUP二O二四年一月 1.4管理原則 1.5主要應(yīng)對(duì)風(fēng)險(xiǎn) 21.6術(shù)語(yǔ)和定義 22職責(zé)與權(quán)限 42.1管理職責(zé) 42.2審批權(quán)限 53管理要求 5 53.2信息系統(tǒng)推廣管理 3.5信息化情況報(bào)送 473.6網(wǎng)絡(luò)安全 4評(píng)價(jià)與改進(jìn) 1總則為深入學(xué)習(xí)貫徹習(xí)近平新時(shí)代中國(guó)特色社會(huì)主義思想和黨的二十《中國(guó)建筑股份有限公司信息化發(fā)展管理規(guī)定(2020版)》;《中國(guó)建筑股份有限公司信息化項(xiàng)目建設(shè)管理規(guī)定(2020版)》;《中國(guó)建筑股份有限公司電子郵件系統(tǒng)管理辦法(2020版)》。1.6.1信息化2職責(zé)與權(quán)限總部總部二級(jí)項(xiàng)目1規(guī)劃規(guī)劃√2建設(shè)設(shè)√√√3網(wǎng)絡(luò)建設(shè)√√√√√4設(shè)備建設(shè)√√√5視頻系統(tǒng)建設(shè)√√√√6信息系統(tǒng)建設(shè)√√7信息系統(tǒng)推廣管理信息系統(tǒng)推廣√√√√√9信息系統(tǒng)運(yùn)維√√√√√信息安全√√√√√理√√√設(shè)備管理√√√網(wǎng)絡(luò)管理√√√√√主數(shù)據(jù)管理√√√視頻系√√√√資產(chǎn)管理√√√√√送信息編審管理√√√信息編√網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全規(guī)劃√網(wǎng)絡(luò)安√√√網(wǎng)絡(luò)安√√√√√網(wǎng)絡(luò)安√√√理理√√√核核√1信息化專項(xiàng)規(guī)劃數(shù)字化和網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組2信息化考核分管領(lǐng)導(dǎo)分管領(lǐng)導(dǎo)3單項(xiàng)信息化投入(包含信息系統(tǒng)、IT基礎(chǔ)設(shè)施、數(shù)據(jù)中心、信息化服務(wù)等)預(yù)算少于50萬(wàn)(含)分管領(lǐng)導(dǎo)主要領(lǐng)導(dǎo)，報(bào)備上級(jí)主管部門預(yù)算大于50萬(wàn)批單位負(fù)責(zé)人，報(bào)上級(jí)主管部門審批3.1.1.1管理流程業(yè)務(wù)部門開(kāi)始提出需求結(jié)束IT基礎(chǔ)建設(shè)流程信息化管理部門 流程編號(hào)信息化分管領(lǐng)導(dǎo)表單/模板是是否分析需求編制方案采購(gòu)流程否是3.1.1.2工作要求時(shí)間責(zé)任部門相關(guān)部門1需要時(shí)業(yè)務(wù)部門2業(yè)務(wù)部門信息化管理部門書(shū)3分析需求分析業(yè)務(wù)部門提出功能要求部門業(yè)務(wù)部門4編制方案算資金，編制實(shí)施方案部門業(yè)務(wù)部門實(shí)施方案5組織實(shí)施部門業(yè)務(wù)部門(2)機(jī)房核心設(shè)備區(qū)應(yīng)保持恒溫，溫度應(yīng)保持20—24攝氏度，溫度變化率低于5攝氏度每小時(shí)，濕度保持在45%—65%;(3)機(jī)房主體結(jié)構(gòu)應(yīng)具有與其功能相適應(yīng)的耐久性、抗震性和耐火等級(jí)。變形縫和伸縮縫不應(yīng)穿過(guò)主機(jī)房；(4)機(jī)房的操作間和設(shè)備間應(yīng)作分割，應(yīng)有良好的人機(jī)工作環(huán)(1)評(píng)估信息系統(tǒng)負(fù)載；(2)評(píng)估已有硬件負(fù)載設(shè)備采購(gòu)(1)保證采購(gòu)硬件的先進(jìn)性和實(shí)用性，避免過(guò)早報(bào)廢。不搞超前消費(fèi)、造成資金浪費(fèi)；(2)購(gòu)置涉密設(shè)備時(shí)符合有關(guān)規(guī)定，確保設(shè)備的可靠性；(3)關(guān)鍵設(shè)備在高冗余環(huán)境下運(yùn)行(雙電源、雙網(wǎng)絡(luò)、高可用軟件在系統(tǒng)上部署);(4)按照采購(gòu)流程進(jìn)行采購(gòu)設(shè)備安裝須按照制造商安裝說(shuō)明要求安裝，以確保正確安裝避免損壞設(shè)備設(shè)備驗(yàn)收設(shè)備完好無(wú)損，參數(shù)符合需求，且能正常運(yùn)行因特網(wǎng)帶寬專線不低于100M;專線不低于50M;專線不低于20M;商建設(shè)自行建設(shè)自行建設(shè)自行建設(shè)企業(yè)網(wǎng)建工信息化管理部統(tǒng)一規(guī)劃、統(tǒng)一部署和統(tǒng)一建設(shè)局域網(wǎng)建設(shè)負(fù)責(zé)建工總部建設(shè)方案報(bào)建工信息化管理部審批后實(shí)施由上級(jí)信息化管理部門指導(dǎo)建設(shè)網(wǎng)絡(luò)設(shè)備企業(yè)級(jí)路由器、防火企業(yè)級(jí)路由器、防火企業(yè)級(jí)路由器品牌國(guó)產(chǎn)主流品牌，如華為、H3C、中興等3.1.5視頻會(huì)議系統(tǒng)建設(shè)要求建設(shè)建工總部負(fù)責(zé)建設(shè)總部指導(dǎo)建設(shè)二級(jí)單位指導(dǎo)建設(shè)覆蓋范圍三級(jí)單位及項(xiàng)目部項(xiàng)目部功能級(jí)聯(lián)與股份公司級(jí)聯(lián)與建工總部級(jí)聯(lián)與建工總部級(jí)聯(lián)設(shè)備品牌國(guó)產(chǎn)或與建工品牌一致注：建工各單位視頻系統(tǒng)方案報(bào)上級(jí)單位審批后方能實(shí)施。集團(tuán)信息化管理部門 否是技術(shù)需求說(shuō)明書(shū) 部署安裝培訓(xùn) 3.1.6.2工作要求活動(dòng)時(shí)間部門部門1務(wù)需求發(fā)展規(guī)劃和相關(guān)業(yè)務(wù)專項(xiàng)發(fā)展規(guī)劃，業(yè)務(wù)需求書(shū)中應(yīng)明確目標(biāo)和應(yīng)用價(jià)值，運(yùn)營(yíng)總部、二級(jí)單位的需求應(yīng)報(bào)建工相關(guān)業(yè)務(wù)部門，由建工業(yè)務(wù)部門統(tǒng)一編制部門2行性分析報(bào)告務(wù)需求和已有信息系統(tǒng)功能進(jìn)行評(píng)估信息化主管部門部門3審批性分析報(bào)告分管領(lǐng)導(dǎo)4性談判，必須選擇有實(shí)施經(jīng)驗(yàn)的供應(yīng)商。評(píng)標(biāo)組由信息部門、采購(gòu)管理部、財(cái)務(wù)資金部、合約法務(wù)部組成信息化主管部門5審按建工合約法務(wù)部制定的合同評(píng)審流程執(zhí)行信息化主管部門6成立項(xiàng)目組定工作說(shuō)明書(shū)，明確項(xiàng)目目標(biāo)、項(xiàng)目成員、工作方式、信息化主管部門需求部門《XXX項(xiàng)目工7案符合建工戰(zhàn)略發(fā)展規(guī)劃和相關(guān)業(yè)務(wù)規(guī)劃，應(yīng)明確數(shù)據(jù)源和業(yè)務(wù)流程，并充分考慮方案落地的可行性按照SOW項(xiàng)目計(jì)劃組圖方案》8開(kāi)發(fā)系統(tǒng)開(kāi)發(fā)系統(tǒng)應(yīng)采用最新技術(shù)，開(kāi)發(fā)系統(tǒng)應(yīng)充分考慮建工的IT基礎(chǔ)設(shè)施環(huán)境，充分按照SOW項(xiàng)目計(jì)劃組《XX系統(tǒng)部署9測(cè)試系統(tǒng)并組織進(jìn)行項(xiàng)目組內(nèi)部測(cè)按照SOW中項(xiàng)目計(jì)組結(jié)果系統(tǒng)如需功能切換，應(yīng)制訂詳細(xì)的系統(tǒng)切換方案。各試點(diǎn)單位和應(yīng)用單位應(yīng)充分參與系統(tǒng)初始化工作。組織好系統(tǒng)上線前的培訓(xùn)工作按照SOW中項(xiàng)目計(jì)組試點(diǎn)《操作手冊(cè)》《設(shè)置維護(hù)手冊(cè)》《系統(tǒng)切換信息系統(tǒng)應(yīng)用推廣管理流程集團(tuán)相關(guān)業(yè)務(wù)部門/集團(tuán)信息化管理部門 是 關(guān)鍵用戶培訓(xùn) 最終用戶培訓(xùn) 上線應(yīng)用 主責(zé)部門部門單位信息系統(tǒng)應(yīng)用鍵用戶(系統(tǒng)管理員)7工作日理部門主責(zé)部門部門2調(diào)研需求調(diào)研，分析差異性并明確上線應(yīng)用范圍10工作日務(wù)部門/信息化管理部門二級(jí)單位 3培訓(xùn)關(guān)鍵用戶建工/運(yùn)營(yíng)總部/二級(jí)單位安排業(yè)務(wù)骨干作為關(guān)鍵用戶，關(guān)鍵用戶(系統(tǒng)管理員)應(yīng)全職參與系統(tǒng)上線工作作日化管理部門建工/運(yùn)營(yíng)總部/二級(jí)一4數(shù)據(jù)和動(dòng)態(tài)數(shù)據(jù)建工/運(yùn)營(yíng)總部/二級(jí)單位關(guān)織本業(yè)務(wù)的人員進(jìn)行數(shù)據(jù)搜集，提供真實(shí)準(zhǔn)確的數(shù)據(jù)1.5月建工/運(yùn)營(yíng)總建工相關(guān)信息化管理部門5用戶建工/運(yùn)營(yíng)總部/二級(jí)單位應(yīng)組織最終用戶培訓(xùn)，最終用戶通過(guò)培訓(xùn)考核后才能應(yīng)用系統(tǒng)5工作日務(wù)部門/運(yùn)營(yíng)總部/信息化管理部門二級(jí)單位業(yè)務(wù)部門3.3.1.1信息系統(tǒng)檢查維護(hù)(1)管理流程系統(tǒng)管理員否是 否否是需要開(kāi)發(fā)否(2)工作要求活動(dòng)時(shí)間部門部門1月度管理員2異常分析因填寫(xiě)異常處理記錄表當(dāng)天處理管理員3理方案3天內(nèi)管理員4處理異常充分評(píng)估方案實(shí)施風(fēng)險(xiǎn)，做好數(shù)據(jù)備布公告，通知用戶3天內(nèi)管理員3.3.1.2人員賬號(hào)、權(quán)限變更管理(1)管理流程圖人員賬號(hào)、權(quán)限變更管理流程流程編號(hào)業(yè)務(wù)部門人力資源部/申請(qǐng)部門信息系統(tǒng)管理部門開(kāi)始 申請(qǐng)變更否是審批 結(jié)束(2)工作要求活動(dòng)時(shí)間責(zé)任部門部門1申請(qǐng)變更1.一般變更：業(yè)務(wù)部門提交申司領(lǐng)導(dǎo)賬號(hào)變更由辦公室提出申請(qǐng)；統(tǒng)建系統(tǒng)由人資系統(tǒng)變更后自動(dòng)推送等外部檢查使用)由業(yè)務(wù)主管部門申請(qǐng)審批生后一周內(nèi)業(yè)務(wù)部門21.一般變動(dòng)：按人力資源系統(tǒng)人員異動(dòng)審批結(jié)果分級(jí)變更1天內(nèi)管理部門活動(dòng)時(shí)間責(zé)任部門部門審批結(jié)果處理3權(quán)限檢查季度信息系統(tǒng)管理部門《權(quán)限檢注：賬號(hào)、權(quán)限變更包含用戶賬號(hào)新建、注銷、變更所屬組織3.3.1.3用戶問(wèn)題處理流程(1)管理流程用戶業(yè)務(wù)部門/關(guān)鍵用戶信息系統(tǒng)部門/信息化部門 否是 否是否需要開(kāi)發(fā)是問(wèn)題處理方案(2)工作要求活動(dòng)時(shí)間部門相關(guān)部門能正常登錄最終用戶活動(dòng)時(shí)間部門相關(guān)部門2分析錯(cuò)誤產(chǎn)生原因，再現(xiàn)問(wèn)解決費(fèi)用3天內(nèi)系統(tǒng)管理員用戶問(wèn)題3審批方案管理部門4發(fā)布方案在指定系統(tǒng)內(nèi)的相關(guān)欄目戶或管理員查閱及時(shí)系統(tǒng)管理員5幫助用戶解決系統(tǒng)問(wèn)題及時(shí)管理員3.3.1.4系統(tǒng)設(shè)置變更工作流程(1)管理流程評(píng)價(jià)編制方案是是啟用功能(2)工作要求活動(dòng)時(shí)間主責(zé)部門相關(guān)部門1提出需求他軟件建立接口等，填寫(xiě)功能申需要時(shí)門、關(guān)鍵用戶信息化管理部門2審批的安全性等3天內(nèi)管理部門信息化管理部門活動(dòng)時(shí)間主責(zé)部門相關(guān)部門3編制方案3天內(nèi)管理部門信息化管理部門4方案實(shí)施人員，按預(yù)定方案實(shí)施，并做好功能測(cè)試。應(yīng)提前發(fā)布公告。停機(jī)實(shí)施應(yīng)放在周末或節(jié)假日3天內(nèi)管理部門信息化管理部門5功能管理員應(yīng)反復(fù)測(cè)試、調(diào)整該功能，達(dá)到用戶需求目標(biāo)一周管理部門業(yè)務(wù)部門6時(shí)反饋問(wèn)題，以便調(diào)整3天內(nèi)門、關(guān)鍵用戶3.3.1.5兩化融合業(yè)務(wù)流程梳理(1)管理流程兩化融合業(yè)務(wù)流程梳理信息系統(tǒng)部門/信息化部門業(yè)務(wù)部門/關(guān)鍵用戶業(yè)務(wù)部門負(fù)責(zé)人、需求審核 是否標(biāo)準(zhǔn)化審核 結(jié)束(2)管理要求活動(dòng)時(shí)間部門部門需要活動(dòng)時(shí)間部門部門求理方式調(diào)整時(shí)門、關(guān)鍵用戶理與建設(shè)需求2需求審核信息系統(tǒng)管理員對(duì)業(yè)務(wù)需求的1天管理部門3板信息系統(tǒng)管理部門制定梳理系統(tǒng)功能與手冊(cè)管理要求模板內(nèi)信息系統(tǒng)管理部門信息化管理部門務(wù)梳理&建設(shè)需4功能梳理5日內(nèi)務(wù)部門5業(yè)務(wù)審核后續(xù)工作環(huán)節(jié)3日內(nèi)門負(fù)責(zé)管領(lǐng)導(dǎo)部門負(fù)責(zé)管領(lǐng)導(dǎo)6業(yè)務(wù)調(diào)研了解3日內(nèi)信息系統(tǒng)管理部門信息化管理部門7程等技術(shù)開(kāi)發(fā)系列流程工作7日內(nèi)信息系統(tǒng)管理部門信息化管理部門8發(fā)布為附錄隨本業(yè)務(wù)管理手冊(cè)同步管理務(wù)部門活動(dòng)時(shí)間部門部門計(jì)、測(cè)試完成經(jīng)業(yè)務(wù)部門驗(yàn)收務(wù)部門通知上線使用收日3.3.1.6應(yīng)用培訓(xùn)(1)管理流程信息系統(tǒng)部門/信息化部門 組織培訓(xùn)、相 審批 總結(jié)歸檔(2)管理要求時(shí)間部門相關(guān)部門1部門需要時(shí)部門部(見(jiàn)人資管理手冊(cè))2審批領(lǐng)導(dǎo)日部門及分管領(lǐng)導(dǎo)部門3組織培訓(xùn)、工作人員名單、參訓(xùn)人員接部門部門4準(zhǔn)備按培訓(xùn)申請(qǐng)內(nèi)容準(zhǔn)備培需求申個(gè)工作日部門部門時(shí)間部門相關(guān)部門5收集培訓(xùn)后參培人員對(duì)培訓(xùn)效果的意見(jiàn)反饋表培訓(xùn)后2工作日業(yè)務(wù)主管部門部門培訓(xùn)反饋表(見(jiàn)人資管理手冊(cè))6總結(jié)歸檔對(duì)培訓(xùn)的反饋意見(jiàn)做總結(jié)；對(duì)培訓(xùn)資料整理歸檔，形成知識(shí)積累工作日部門信息化管理部3.3.1.7信息審核(1)辦公平臺(tái)主要欄目權(quán)限審核責(zé)任部門公司新聞黨委工作部及時(shí)部門負(fù)責(zé)人各部門及時(shí)部門負(fù)責(zé)人通知公告各部門及時(shí)部門負(fù)責(zé)人規(guī)章制度企業(yè)策劃與管理部及時(shí)欄目專員黨委工作部/工會(huì)工作部及時(shí)欄目專員紀(jì)檢監(jiān)察紀(jì)檢監(jiān)督工作部及時(shí)欄目專員文件中心辦公室/黨委工作部/工會(huì)工作部/紀(jì)檢監(jiān)督工作部及時(shí)欄目專員辦公室/黨委工作部/工會(huì)工作部/紀(jì)檢監(jiān)督工作部及時(shí)欄目專員一周工作動(dòng)態(tài)辦公室及時(shí)欄目專員工作簡(jiǎn)報(bào)各部門及時(shí)部門負(fù)責(zé)人交流園地各部門及時(shí)部門負(fù)責(zé)人各部門及時(shí)部門負(fù)責(zé)人公文處理各部門及時(shí)部門負(fù)責(zé)人各部門及時(shí)部門負(fù)責(zé)人各部門及時(shí)部門負(fù)責(zé)人系統(tǒng)管理信息化管理部門及時(shí)欄目專員(2)建工互聯(lián)網(wǎng)信息發(fā)布權(quán)限審核責(zé)任部門企業(yè)簡(jiǎn)介黨委工作部部門負(fù)責(zé)人組織結(jié)構(gòu)企業(yè)策劃與管理部部門負(fù)責(zé)人責(zé)任部門管理團(tuán)隊(duì)辦公室部門負(fù)責(zé)人黨委工作部部門負(fù)責(zé)人公司快訊黨委工作部部門負(fù)責(zé)人圖片新聞黨委工作部部門負(fù)責(zé)人建工專題黨委工作部/紀(jì)檢監(jiān)督工作部企業(yè)刊物黨委工作部部門負(fù)責(zé)人市場(chǎng)部/海外部/投資部部門負(fù)責(zé)人科技部部門負(fù)責(zé)人和諧建工黨委工作部/工會(huì)工作部部門負(fù)責(zé)人職業(yè)發(fā)展人力資源部部門負(fù)責(zé)人資源配置項(xiàng)管部/采購(gòu)部部門負(fù)責(zé)人資質(zhì)榮譽(yù)黨委工作部/市場(chǎng)部部門負(fù)責(zé)人信息化管理部門部門負(fù)責(zé)人責(zé)任部門用戶維護(hù)審核用戶審核10A系統(tǒng)辦公室/信息化管理部√√√√√√2辦公室√√√√√3網(wǎng)站建工黨委工作部√√√√4財(cái)務(wù)資金部/信息化管理部√√√√√5辦公室/信息化管理部√√√√6郵件系統(tǒng)辦公室/信息化管理部√√7人力資源系統(tǒng)人力資源部√√√√責(zé)任部門用戶維護(hù)審核用戶審核8股份公司辦公平臺(tái)辦公室/信息化管理部√√9約法務(wù)部/項(xiàng)目管理部√√系統(tǒng)審計(jì)部√√管理平臺(tái)科技部√√約管理系統(tǒng)合約法務(wù)部√√股份公司投資管理系統(tǒng)投資部√√股份公司客戶管理系統(tǒng)市場(chǎng)部√√財(cái)務(wù)資金部√√實(shí)名制管理系統(tǒng)項(xiàng)目管理部√√管理系統(tǒng)企業(yè)策劃與管理部√√智聯(lián)平臺(tái)項(xiàng)目管理部√√門禁系統(tǒng)辦公室/信息化管理部√√√√√√辦公室/信息化管理部√√√√√財(cái)務(wù)一體化平臺(tái)財(cái)務(wù)資金部/信息化管理部√√√√√√主數(shù)據(jù)系統(tǒng)信息化管理部√√√√√√中建智慧安全平臺(tái)安全生產(chǎn)監(jiān)督管理部/信息化管理部√√√√√中建通信息化管理部門√√√√√√責(zé)任部門用戶維護(hù)信息審核用戶審核活動(dòng)1維護(hù)(1)日常檢查，指平臺(tái)管理員到崗后首先登錄平臺(tái)，查看登錄是否有異常。查看內(nèi)容包括登錄速度，是否有報(bào)錯(cuò)頁(yè)面，登錄人數(shù)，信息是否能正常查看。未發(fā)現(xiàn)異常不需留記錄；(2)月度檢查，指平臺(tái)管理員于每月初對(duì)辦公平臺(tái)做一次全面檢查，檢查內(nèi)容包括平臺(tái)用戶總數(shù)，信息發(fā)布總量，郵件總量，文件總量，日志，備份文件總量，應(yīng)用服務(wù)是否正常，遺留問(wèn)題處理進(jìn)度。填寫(xiě)月度檢查記錄表，報(bào)送部門負(fù)責(zé)人2設(shè)置變更包括增加欄目、增加流程、增加組織、設(shè)置權(quán)限、與其他軟件建立接口等系統(tǒng)管理工作3用戶(1)賬號(hào)變更包括：1增賬號(hào)；2.銷賬號(hào)；3.變更單位；4.離職停用，應(yīng)注明停用原因：退休、病退、死亡、離職；更1.新增賬號(hào)需以分配賬號(hào)為登錄賬號(hào)；2.臨時(shí)賬號(hào)應(yīng)設(shè)置使用期限；3.任何停用賬號(hào)不允許直接刪除，只做停用處理，退休、病退賬號(hào)回收崗位權(quán)限，信息發(fā)布權(quán)限，不做停用處理(3)做好賬戶管理維護(hù)臺(tái)賬4用戶問(wèn)題處理5備份3.3.2.2.20A流程效能管理3.3.2.2.2.1管理目的3.3.2.2.2.2管理內(nèi)容(1)運(yùn)用信息系統(tǒng)的流程統(tǒng)計(jì)分析工具，做好各類業(yè)務(wù)流程多層面的效能(2)工作要求時(shí)間部門部門1分析季度信息化管理部門企劃部2流程較多的人員(含所屬部門)排名，五個(gè)工作信息化管理部門企劃部3程(含流程名、時(shí)長(zhǎng))及人員(含所屬部門、時(shí)長(zhǎng))信息，督促提升流程使用效率。五個(gè)工作信息化管理部門企劃部4辦理效五個(gè)工作信息化管理部門企劃部5流程辦理情況統(tǒng)計(jì)五個(gè)信息化管理部企劃部時(shí)間部門部門工作3.3.2.3門禁系統(tǒng)維護(hù)規(guī)定1日常保養(yǎng)維護(hù)的門禁是否正常在線2用戶權(quán)限變更(1)新增門禁卡；(2)修改門禁卡權(quán)限；(3)補(bǔ)辦門禁卡；(4)回收門禁卡(1)門禁權(quán)限變更需要在辦公平臺(tái)中提交門禁卡業(yè)務(wù)辦理申請(qǐng)，按流程要求填寫(xiě)相應(yīng)信息，待審批結(jié)束后進(jìn)行業(yè)務(wù)辦(2)回收門禁卡，不應(yīng)對(duì)門禁卡進(jìn)行注銷，而是應(yīng)辦理停用34備份3.3.2.4服務(wù)器操作系統(tǒng)1檢查維護(hù)操作系統(tǒng)每月檢查一次，應(yīng)在業(yè)務(wù)系統(tǒng)應(yīng)用高峰時(shí)期檢查CPU,2設(shè)置變更按照業(yè)務(wù)系統(tǒng)應(yīng)用需求安裝操作系統(tǒng)版本，操作系統(tǒng)必須為正修改操作系統(tǒng)登記表中參數(shù)配置3用戶權(quán)限變更由管理員依據(jù)審核結(jié)果進(jìn)行處理4備份3.3.2.5數(shù)據(jù)庫(kù)系統(tǒng)1檢查維護(hù)檢查數(shù)據(jù)庫(kù)告警日志、檢查數(shù)據(jù)庫(kù)系統(tǒng)用戶登錄日志，檢查數(shù)據(jù)庫(kù)表空間，系統(tǒng)異常日志，備份日志和數(shù)據(jù)磁帶檢查2備份3.3.2.6郵件系統(tǒng)文檔建工總部(1)提供郵件系統(tǒng)應(yīng)用技術(shù)支持；(2)負(fù)責(zé)建工及派出機(jī)構(gòu)人員的郵箱賬號(hào)維護(hù)工作；(3)配置運(yùn)營(yíng)總部、二級(jí)單位郵箱管理員；(4)督導(dǎo)二級(jí)單位郵箱管理員做好郵箱管理及安全專項(xiàng)整治工作運(yùn)營(yíng)總部、二級(jí)單位、(1)申請(qǐng)開(kāi)通郵箱使用及申報(bào)系統(tǒng)管理員變更；(2)負(fù)責(zé)本單位所有郵箱用戶的管理維護(hù)及指導(dǎo)本單位員工使用工作系統(tǒng)申請(qǐng)表》推廣應(yīng)用手段提供信息交換的通信、交流方式，是中建股份基礎(chǔ)信息化服務(wù)之一；各級(jí)單位應(yīng)統(tǒng)一使用中國(guó)建筑電子郵件系統(tǒng)；本系統(tǒng)傳遞與工作無(wú)關(guān)的信息；賬戶收發(fā)電子郵件的結(jié)果負(fù)責(zé)；用戶承擔(dān)因箱被盜用的相關(guān)責(zé)任和后果；反者由中建股份移交相關(guān)證據(jù)至司法機(jī)關(guān)，追究當(dāng)事人法律責(zé)任；企業(yè)形象、涉及企業(yè)商業(yè)秘密及其他企業(yè)制度中規(guī)定禁止傳播的信息，違反者按照公司有關(guān)規(guī)定處理；個(gè)工作日內(nèi)對(duì)郵件賬戶進(jìn)行相應(yīng)變動(dòng)；賬戶及權(quán)限準(zhǔn)確；2組織賬戶命名(1)電子郵件系統(tǒng)中的組織機(jī)構(gòu)或部門名稱可以參照使用人力資源系統(tǒng)及主數(shù)據(jù)系統(tǒng)中的單位或部門名稱縮寫(xiě)；的一種符號(hào)進(jìn)行區(qū)分，符號(hào)不得重復(fù)使用；(3)郵件賬戶名中所有英文字母為小寫(xiě)半角英文，所有數(shù)字、符號(hào)均為半角?？紤]到員工可能在中建系統(tǒng)內(nèi)不同組織機(jī)構(gòu)間調(diào)動(dòng)，員工郵件賬戶中不建議包含組織機(jī)構(gòu)信息；(4)各單位、部門或?qū)I(yè)軟件系統(tǒng)使用的公共郵件賬戶應(yīng)包含組織3申請(qǐng)郵件維護(hù)(1)由人力資源部門發(fā)出人員異動(dòng)通知，本單位電子郵件系統(tǒng)管理員接到通知后開(kāi)通新賬戶；(2)新開(kāi)通賬戶需提供用戶姓名、性別、身份證號(hào)、手機(jī)號(hào)、所在部門及部門內(nèi)排序位置等信息。對(duì)于短期開(kāi)通的郵件賬戶需提供使用起止時(shí)間；(3)郵件賬戶中的個(gè)人信息由用戶本人維護(hù)和更新公共郵箱(專用郵箱):(1)各部門或下屬單位因業(yè)務(wù)需要，可由實(shí)際使用部門以郵件方式向所在單位郵件管理員提出申請(qǐng)，并由所在單位電子郵件系統(tǒng)管理員核實(shí)需求后開(kāi)設(shè)公共郵箱(專用郵箱);(2)申請(qǐng)部門需說(shuō)明郵箱用途，并提供郵箱名稱、空間需求、在企業(yè)通訊錄中排序位置、使用起止時(shí)間等信息，郵箱的責(zé)任人；(3)公共郵箱的基本信息由管理和使用的責(zé)任人維護(hù)和更新；(4)當(dāng)公共郵箱使用責(zé)任人發(fā)生變動(dòng)時(shí)，必須及時(shí)通知本單位電子郵件管理員變更相關(guān)信息4賬戶管理部門申請(qǐng)，再由建工總部向上級(jí)單位申請(qǐng)調(diào)整賬戶所屬機(jī)構(gòu)；(2)當(dāng)用戶在建工各二、三級(jí)單位間調(diào)動(dòng)時(shí)，由調(diào)入二、三級(jí)單位電子郵件管理員以電子郵件方式向上一級(jí)郵件管理員申請(qǐng)實(shí)施；(3)申請(qǐng)時(shí)需提供調(diào)動(dòng)原因、調(diào)動(dòng)郵件賬戶名稱、調(diào)職前后的單位及部門名稱、是否存在兼職情況等信息。對(duì)于短期借調(diào)的用戶，申請(qǐng)部門必須說(shuō)明該用戶臨時(shí)調(diào)入的起止時(shí)間。上到申請(qǐng)并核實(shí)后，在郵件系統(tǒng)中操作完成調(diào)動(dòng)5賬戶用戶退休或離職時(shí)，由用戶所屬單位人力資源管理部門向本單位電子郵件系統(tǒng)管理部門提供人員離職信息。電子郵件系統(tǒng)管理員接到信息后，在1個(gè)工作日內(nèi)對(duì)有關(guān)賬戶進(jìn)行鎖關(guān)賬號(hào)及郵件歷史信息后，在30日內(nèi)操作注銷。如有特殊保留需求的，該用戶所屬部門需向本單位電子郵件管理部門說(shuō)明郵件賬戶保留期限6用戶應(yīng)完善郵件賬戶資料，通過(guò)預(yù)設(shè)問(wèn)題或短信驗(yàn)證碼方式自主找回密碼。因郵件賬戶密碼丟失且無(wú)法找回的情況下，用戶需向本單7郵箱擴(kuò)容電子郵件系統(tǒng)為每個(gè)郵件賬戶默認(rèn)分配5GB郵件及附件存儲(chǔ)空如郵箱容量不能滿足用戶工作需要，可向電子郵件管理員申請(qǐng)擴(kuò)充3.3.2.7財(cái)務(wù)一體化平臺(tái)責(zé)任部門1系統(tǒng)運(yùn)維二級(jí)單位財(cái)務(wù)運(yùn)維人員及時(shí)響應(yīng)、處理本單位用戶反饋的系統(tǒng)應(yīng)用問(wèn)題，對(duì)無(wú)法處理的問(wèn)題及時(shí)提交建工信息化管理部，業(yè)務(wù)問(wèn)題由業(yè)務(wù)信息化管理部門財(cái)務(wù)資金部金融業(yè)務(wù)部2設(shè)置變更增加項(xiàng)目、人員、部門、客商、流程、組織、統(tǒng)管理工作信息化管理部財(cái)務(wù)資金部金融業(yè)務(wù)部3功能推廣組織實(shí)施財(cái)務(wù)一體化平臺(tái)新功能推廣應(yīng)用，包含功能測(cè)試、操作手冊(cè)編制、用戶培訓(xùn)、結(jié)果信息化管理部財(cái)務(wù)資金部金融業(yè)務(wù)部4用戶培訓(xùn)組織開(kāi)展財(cái)務(wù)一體化平臺(tái)基礎(chǔ)操作培訓(xùn)信息化管理部財(cái)務(wù)資金部金融業(yè)務(wù)部活動(dòng)時(shí)間1數(shù)據(jù)操作安全發(fā)生時(shí)管理部門2數(shù)據(jù)使用安全問(wèn)題及時(shí)糾正錯(cuò)誤；(2)一般操作用戶人員離開(kāi)工作崗位，賬號(hào)應(yīng)當(dāng)給予停用；(4)禁止使用私人渠道傳遞企業(yè)信息發(fā)生時(shí)管理部門3用戶口令用戶本人提出申請(qǐng)；(3)用戶要注重保管好賬戶與口發(fā)生時(shí)管理部門4辦公資料安全所有員工的辦公資料每月都需自單位及項(xiàng)目部3.3.3.2數(shù)據(jù)備份相關(guān)規(guī)定時(shí)間主責(zé)部門相關(guān)部門1備份月度對(duì)系統(tǒng)進(jìn)行全備份，每日對(duì)系統(tǒng)每月和每日部門/數(shù)據(jù)管理員日常備份2備份日志檢查檢查備份是否正常完成備份結(jié)束后部門/數(shù)據(jù)管理員日常備份3備份對(duì)備份完成情況確認(rèn)備份后部門負(fù)責(zé)人日常備份4異地保存數(shù)據(jù)對(duì)備份介質(zhì)進(jìn)行異備份后辦公室檔案管理員管理部門異地備份3.3.3.3防病毒相關(guān)規(guī)定時(shí)間部門1識(shí)(1)計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼；(2)對(duì)計(jì)算機(jī)信息系統(tǒng)使用人員進(jìn)行計(jì)算機(jī)病毒防治教育和培訓(xùn)發(fā)生時(shí)管理部門2建立防計(jì)算機(jī)病毒制度(1)建工總部和運(yùn)營(yíng)總部、二級(jí)單位必須建立網(wǎng)測(cè)、清除的記錄；(2)所有員工辦公電腦必須安裝正版殺毒軟件，并定期查殺一月管理部門3.3.4.1設(shè)備監(jiān)控文檔1建賬建立機(jī)房各類設(shè)備的臺(tái)賬，調(diào)整時(shí)及時(shí)更新《設(shè)備臺(tái)2以及調(diào)閱硬件運(yùn)作自檢報(bào)告每周3文檔4檢查溫濕度5電源月6月3.3.4.2出入管理活動(dòng)文檔1外來(lái)人員出入(1)非機(jī)房工作人員未經(jīng)允許不得隨意進(jìn)入機(jī)房；(2)外來(lái)人員進(jìn)入機(jī)房必須有機(jī)房主管部門批準(zhǔn)并進(jìn)行登記；(3)外來(lái)人員進(jìn)入機(jī)房必須有機(jī)房主管部門專人陪同員進(jìn)出登2(1)未經(jīng)允許，機(jī)房?jī)?nèi)不得隨意拍照和攝影；懾的物品；(3)機(jī)房所有的工作人員進(jìn)入機(jī)房必須穿戴防塵離開(kāi)機(jī)房要換去防塵鞋；(4)機(jī)房門必須隨時(shí)關(guān)閉上鎖，但不得反鎖文檔1對(duì)涉密場(chǎng)所周邊環(huán)境進(jìn)行檢查，對(duì)安保人員涉密場(chǎng)所外部環(huán)境的巡邏進(jìn)行檢查月見(jiàn)《涉密場(chǎng)所管理制2檢查物理防護(hù)設(shè)備態(tài)是否正常月3涉密場(chǎng)所監(jiān)控系統(tǒng)的運(yùn)行狀態(tài)月4月5檢查人員進(jìn)出檢查涉密場(chǎng)所人員進(jìn)出是否符合規(guī)定月6檢查設(shè)備使用檢查涉密場(chǎng)所設(shè)備使用是否符合規(guī)定月3.3.5.1.2出入管理文檔1外來(lái)人員出入(1)外來(lái)人員進(jìn)出機(jī)房必須有機(jī)房主管部門批準(zhǔn)并進(jìn)行登記；(2)工作人員離開(kāi)涉密場(chǎng)所，應(yīng)將信息設(shè)備鎖定；工作人員下班或節(jié)假日期間，應(yīng)關(guān)閉信息設(shè)備，鎖好門窗，切斷電源，涉密載體及相關(guān)保密設(shè)備應(yīng)放入保密柜中見(jiàn)《涉密2(1)嚴(yán)禁將具有拍照、錄音、錄像等信息存儲(chǔ)、無(wú)線傳輸功能(wifi、藍(lán)牙、紅外)的設(shè)備帶入涉密場(chǎng)所；(2)外來(lái)人員進(jìn)入涉密機(jī)房，必須有指定的涉密人員全程旁站陪同3.3.5.2.1設(shè)備使用管理部門1辦公室、信息化管理部門資質(zhì)文件2辦公室、信息化管理部門資質(zhì)文件3辦公室、信息化管理部門4辦公室、信息化管理部門3.3.5.2.2設(shè)備信息管理相關(guān)部門1涉密計(jì)算機(jī)禁止連接互聯(lián)網(wǎng)及非涉密網(wǎng)絡(luò)管理部門各業(yè)務(wù)部門及項(xiàng)目部2禁止在非涉密計(jì)算機(jī)上處理涉密信息；管理部門各業(yè)務(wù)部門及項(xiàng)目部3管理部門各業(yè)務(wù)部門及項(xiàng)目部相關(guān)部門4私自安裝計(jì)算機(jī)軟件和擅自拆卸計(jì)算機(jī)設(shè)備辦公室、信息化管理部門各業(yè)務(wù)部門及項(xiàng)目部5辦公室、信息化管理部門各業(yè)務(wù)部門及項(xiàng)目部3.3.5.2.3設(shè)備維護(hù)管理主責(zé)部門相關(guān)部門1常開(kāi)機(jī)、設(shè)備指示燈是否正常等)以及查閱硬件運(yùn)行日志辦公室、信息化管理部門2辦公室、信息化管理部門各業(yè)務(wù)部門及項(xiàng)目部3審核辦公室、信息化管理部門各業(yè)務(wù)部門及項(xiàng)目部4全保密措施(如將涉密信息轉(zhuǎn)存、刪除、異地轉(zhuǎn)移存儲(chǔ)媒體等)辦公室、信息化管理部門各業(yè)務(wù)部門及項(xiàng)目部5修時(shí)，應(yīng)全程旁站陪同辦公室、信息化管理部門各業(yè)務(wù)部門及項(xiàng)目部3.3.6設(shè)備管理3.3.6.1設(shè)備維修管理時(shí)間責(zé)任部門部門文檔1理方案及時(shí)信息化管理部門/系統(tǒng)管理員2處理故障及時(shí)信息化管理部門/系統(tǒng)管理員障維修記3.3.6.2設(shè)備升級(jí)更新管理(1)管理流程系統(tǒng)管理員信息化管理部門 否審核是否審批是 審批是(2)工作要求時(shí)間部門文檔1升級(jí)申請(qǐng)需要時(shí)部門申請(qǐng)表2升級(jí)方案部件和升級(jí)需要的費(fèi)用/管理員設(shè)備登記表3審批審批升級(jí)申請(qǐng)和升級(jí)方案時(shí)間部門文檔一周/管理員 文檔1管理網(wǎng)絡(luò)架構(gòu)維護(hù)網(wǎng)絡(luò)拓?fù)鋱D，有變動(dòng)，在變動(dòng)后一周內(nèi)更新網(wǎng)絡(luò)拓?fù)鋱D2管理網(wǎng)絡(luò)設(shè)備(1)網(wǎng)絡(luò)設(shè)備提供網(wǎng)絡(luò)服務(wù)必須保證全天運(yùn)行。必須有專人負(fù)責(zé)管理，網(wǎng)絡(luò)管理人員每天至少查看系統(tǒng)是否正常運(yùn)行，各項(xiàng)服務(wù)是否正常。發(fā)現(xiàn)異常及時(shí)解決，每天必須做《網(wǎng)絡(luò)設(shè)備清3設(shè)備日志網(wǎng)絡(luò)管理員必須每天做好網(wǎng)絡(luò)運(yùn)行日志，記錄重大網(wǎng)絡(luò)事件及時(shí)填寫(xiě)網(wǎng)絡(luò)運(yùn)行日志，并定期對(duì)日志進(jìn)行分析，提出改進(jìn)意見(jiàn)及措施4管理上網(wǎng)行為用視頻、P2P軟件下載、炒股、游戲和訪問(wèn)其它與工作無(wú)關(guān)的軟件。如工作需要，經(jīng)本部門領(lǐng)導(dǎo)同意，向信息化管《網(wǎng)絡(luò)開(kāi)放申5局域網(wǎng)IP管理網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)IP地址統(tǒng)一管理，有變動(dòng)及時(shí)更新6企業(yè)網(wǎng)IP管理建工信息化管理部負(fù)責(zé)企業(yè)網(wǎng)IP資源總體規(guī)劃，運(yùn)營(yíng)總部、二級(jí)單位信息化管理部門負(fù)責(zé)本企業(yè)IP地址分配和規(guī)劃工作7公網(wǎng)IP管理網(wǎng)絡(luò)地址由信息化管理部門統(tǒng)一管理，業(yè)務(wù)部門需要使用公網(wǎng)IP地址，需向信息化管理部門申請(qǐng)，經(jīng)信息化管理部門負(fù)責(zé)人批準(zhǔn)后，由網(wǎng)絡(luò)工程師配置發(fā)端口申請(qǐng)8(1)建工域名由建工信息化管理部備案、管理和維護(hù)；(2)運(yùn)營(yíng)總部、二級(jí)單位申請(qǐng)的域名由運(yùn)營(yíng)總部、二級(jí)單位信息化管理部門備案、管理和維護(hù)；(3)業(yè)務(wù)部門或運(yùn)營(yíng)總部、二級(jí)單位使用二級(jí)域名要向建工信息化管理部申請(qǐng)《域名使用申9《專線臺(tái)賬登網(wǎng)絡(luò)運(yùn)維培訓(xùn)結(jié)合各單位網(wǎng)絡(luò)運(yùn)維工作情況，適時(shí)開(kāi)展專項(xiàng)培訓(xùn)，學(xué)習(xí)掌握核心路由、防火墻、核心交換機(jī)、AP控制器等主要網(wǎng)文檔3.3.8視頻會(huì)議系統(tǒng)3.3.8.1管理流程圖申請(qǐng)視頻會(huì)議流程總部部門 申請(qǐng)召開(kāi)視頻會(huì)議 否范圍、聯(lián)調(diào)時(shí)間 視頻會(huì)議通知(參考)3.3.8.2工作要點(diǎn)時(shí)間主責(zé)部門相關(guān)部門1總部部門申請(qǐng)召開(kāi)視頻會(huì)議用于公司內(nèi)部召開(kāi)的提前3個(gè)工作日總部發(fā)起部門管理部《視頻會(huì)議臺(tái)2運(yùn)營(yíng)總部/二級(jí)單位申請(qǐng)召用于公司內(nèi)部召開(kāi)的一周管理部《視頻會(huì)議臺(tái)3審批備、賬號(hào)有無(wú)沖突管理部時(shí)間主責(zé)部門相關(guān)部門4建工總部端起部門5運(yùn)營(yíng)總部/二級(jí)單位確認(rèn)參會(huì)范圍確定參加會(huì)議的范圍6建工總部發(fā)起聯(lián)調(diào)調(diào)時(shí)間管理部7運(yùn)營(yíng)總部/二級(jí)單位發(fā)起聯(lián)調(diào)調(diào)時(shí)間8建工總部正式會(huì)議提前一小時(shí)管理部9運(yùn)營(yíng)總部/二提前一小時(shí)運(yùn)營(yíng)總部/二級(jí)單位填寫(xiě)按表單內(nèi)要求詳細(xì)填寫(xiě)內(nèi)3.3.8.3職責(zé)分工1部(1)負(fù)責(zé)制定建工視頻會(huì)議操作指引，規(guī)范視頻聯(lián)調(diào)保障工作；(3)負(fù)責(zé)總部視頻會(huì)議資源的按需分配、動(dòng)態(tài)調(diào)整及分級(jí)授權(quán)；(4)定期組織各級(jí)單位會(huì)議管理員開(kāi)展視頻會(huì)議培訓(xùn)；(5)對(duì)各分會(huì)場(chǎng)視頻會(huì)議日常工作情況進(jìn)行監(jiān)督檢查；(6)負(fù)責(zé)登記建工視頻會(huì)議臺(tái)賬2各業(yè)務(wù)部門(1)統(tǒng)計(jì)本部門視頻會(huì)議信息，提前一天將會(huì)議信息發(fā)送至信息化管理部視頻會(huì)議管理員；(2)預(yù)定視頻會(huì)議室，如會(huì)議室有沖突，需要協(xié)調(diào)會(huì)議室的使用；(3)負(fù)責(zé)視頻會(huì)議輔流的播放測(cè)試3二級(jí)單位信息化管理部門(1)負(fù)責(zé)配合建工總部做好日常視頻會(huì)議的保障；(2)做好本單位的視頻會(huì)議保障，指導(dǎo)下級(jí)單位(三級(jí)單位及項(xiàng)目部)視頻會(huì)議操作、臺(tái)賬登記等工作；(3)本單位會(huì)議設(shè)備日常維護(hù)管理，幫助下級(jí)單位做好設(shè)備維護(hù)管理(1)配合建工總部、二級(jí)單位做好日常視頻會(huì)議的保障工作，按時(shí)參加聯(lián)調(diào)及會(huì)議保障工作。(2)本單位會(huì)議設(shè)備的管理及維護(hù)3.3.8.4使用規(guī)定1主數(shù)據(jù)標(biāo)準(zhǔn)風(fēng)險(xiǎn)與合規(guī)管理要求防范應(yīng)對(duì)主數(shù)據(jù)標(biāo)準(zhǔn)不統(tǒng)一影響業(yè)務(wù)系統(tǒng)數(shù)據(jù)集成和連通，導(dǎo)致各業(yè)務(wù)系統(tǒng)數(shù)據(jù)統(tǒng)計(jì)分析口徑和結(jié)果不一致的風(fēng)險(xiǎn)2主數(shù)據(jù)質(zhì)量風(fēng)險(xiǎn)與合規(guī)管理要求防范應(yīng)對(duì)主數(shù)據(jù)質(zhì)量問(wèn)題導(dǎo)致各業(yè)務(wù)系統(tǒng)數(shù)據(jù)質(zhì)量不高，影響公司經(jīng)營(yíng)分析決策的風(fēng)險(xiǎn)，規(guī)避增3安全風(fēng)險(xiǎn)主數(shù)據(jù)安全風(fēng)險(xiǎn)與合規(guī)管理要求防范主數(shù)據(jù)在使用過(guò)程中，對(duì)安全技術(shù)措施規(guī)劃不周密、實(shí)施控制不嚴(yán)格，導(dǎo)致主數(shù)據(jù)被非法竊取、篡改產(chǎn)生的風(fēng)險(xiǎn)4主數(shù)據(jù)運(yùn)維風(fēng)險(xiǎn)與合規(guī)管理要求防范應(yīng)對(duì)主數(shù)據(jù)運(yùn)維過(guò)程中，由產(chǎn)生數(shù)據(jù)標(biāo)準(zhǔn)不統(tǒng)一、數(shù)據(jù)質(zhì)量不高及被非法竊取、篡改的風(fēng)險(xiǎn)3.3.9.3職責(zé)分工1管理部(1)根據(jù)股份公司主數(shù)據(jù)管理的各項(xiàng)制度、標(biāo)準(zhǔn)和規(guī)范，結(jié)合細(xì)則；(2)推動(dòng)股份公司主數(shù)據(jù)管理相關(guān)制度和細(xì)則在本單位的落參與股份公司主數(shù)據(jù)相關(guān)標(biāo)準(zhǔn)的梳理和制定；相關(guān)需求和問(wèn)題及時(shí)反饋至股份公司信息化管理部并跟進(jìn)落實(shí)；(4)負(fù)責(zé)數(shù)據(jù)質(zhì)量審核及系統(tǒng)運(yùn)維2各業(yè)務(wù)部門總部各業(yè)務(wù)部門根據(jù)自身管理的業(yè)務(wù)范圍，以及對(duì)數(shù)據(jù)的使用需求，承擔(dān)本部門主數(shù)據(jù)信息增加、變更及其他業(yè)務(wù)需求。各業(yè)務(wù)部門根據(jù)實(shí)際業(yè)務(wù)情況向本單位信息化管理部門提出相應(yīng)主數(shù)據(jù)的應(yīng)用需求、建議；及時(shí)反饋相關(guān)主數(shù)據(jù)在應(yīng)用過(guò)程中發(fā)現(xiàn)的各類問(wèn)題，并協(xié)助本單位信息化管理部開(kāi)展主數(shù)據(jù)管理工作3二級(jí)單位建工總部信息化管理部開(kāi)展主數(shù)據(jù)平臺(tái)數(shù)據(jù)治理，協(xié)助業(yè)務(wù)部門開(kāi)展統(tǒng)建系統(tǒng)數(shù)據(jù)梳理3.3.9.4主數(shù)據(jù)標(biāo)準(zhǔn)管理3.3.9.5主數(shù)據(jù)質(zhì)量管理3.3.9.5.1質(zhì)量檢查內(nèi)容內(nèi)容1準(zhǔn)的要求23時(shí)效性4一致性反映同一業(yè)務(wù)實(shí)體的主數(shù)據(jù)及其屬性是否具有一致的定義和含義5安全性主數(shù)據(jù)是否在可控、安全的范圍內(nèi)發(fā)布和使用6唯一性主數(shù)據(jù)是否唯一，是否存在重復(fù)項(xiàng)3.3.9.5.2質(zhì)量檢查方式1管理工具2針對(duì)主數(shù)據(jù)管理平臺(tái)尚未能支持的主數(shù)據(jù)質(zhì)量自動(dòng)檢核功能，由信息化管理部會(huì)同業(yè)務(wù)部門采用人工檢核方法進(jìn)行主數(shù)據(jù)質(zhì)量檢查3.3.9.5.3質(zhì)量問(wèn)題整改3.3.9.6主數(shù)據(jù)平臺(tái)運(yùn)維管理3.3.9.6.1主數(shù)據(jù)新增、變更管理主責(zé)部門1據(jù)人力資源部信息化管理部2公司主數(shù)據(jù)寫(xiě)公司基本信息推送主數(shù)據(jù)補(bǔ)錄其他主數(shù)據(jù)系統(tǒng)新增財(cái)務(wù)資金部信息化管理部企業(yè)策劃與管理部人力資源部文3據(jù)核各業(yè)務(wù)部門信息化管理部發(fā)票、收據(jù)(蓋章)等4主數(shù)據(jù)財(cái)務(wù)資金部科技質(zhì)量部信息化管理部項(xiàng)文件5項(xiàng)目主數(shù)據(jù)項(xiàng)目管理部在主數(shù)據(jù)系統(tǒng)發(fā)起項(xiàng)目新系統(tǒng)既定流程審核項(xiàng)目管理部財(cái)務(wù)資金部安全生產(chǎn)監(jiān)督管理部信息化管理部項(xiàng)目立項(xiàng)文件6項(xiàng)目部主數(shù)據(jù)安全部在主數(shù)據(jù)系統(tǒng)里發(fā)起項(xiàng)目部主安全生產(chǎn)監(jiān)督管理部信息化管理部項(xiàng)目部-新增7部門主數(shù)據(jù)財(cái)務(wù)資金部企業(yè)策劃與管理部信息化管理部文(1)管理流程二級(jí)單位業(yè)務(wù)部門/信息化管理部門數(shù)據(jù)新增、否核否是否審審(2)工作要求序號(hào)活動(dòng)時(shí)間主責(zé)部門部門2二級(jí)單位審核二級(jí)單位業(yè)務(wù)部門/信息化部門審核1工作日二級(jí)單位業(yè)務(wù)部門/信息化部門3建工總部審核實(shí)性、合理性和合規(guī)性1工作日信息化管理部4股份信息化管理部審批3工作日部3.3.9.6.3主數(shù)據(jù)權(quán)限管理3.3.9.6.3.1主數(shù)據(jù)角色權(quán)限申請(qǐng)管理(1)管理流程二級(jí)單位信息化部門 角色權(quán)限新增、 否審(2)工作要求序號(hào)活動(dòng)時(shí)間主責(zé)部門部門1角色權(quán)限新申請(qǐng)運(yùn)營(yíng)總部/二級(jí)單位/三級(jí)單位/項(xiàng)目部角色申請(qǐng)單2二級(jí)單位審核二級(jí)單位信息化部門審核用戶1工作日二級(jí)單位信息化部門3建工總部審核信息化管理部審核申報(bào)主數(shù)據(jù)的真實(shí)性、合理性和合規(guī)性1工作日部(1)管理流程二級(jí)單位信息化部門 數(shù)據(jù)權(quán)限新增、否是否審核是(2)工作管理活動(dòng)時(shí)間主責(zé)部門部門1用戶在主數(shù)據(jù)系統(tǒng)發(fā)起數(shù)據(jù)運(yùn)營(yíng)總部/二級(jí)單位/三級(jí)單位/項(xiàng)目部據(jù)權(quán)2二級(jí)單位審核二級(jí)單位信息化部門審核用1工作日二級(jí)單位信息化部門3建工總部審核1工作日部3.3.9.6.3.3主數(shù)據(jù)管理員申請(qǐng)管理(1)管理流程主數(shù)據(jù)管理員權(quán)限申請(qǐng)流程主數(shù)據(jù)管理員權(quán)限申請(qǐng)流程(2)工作管理活動(dòng)時(shí)間主責(zé)部門部門1管理員權(quán)限申請(qǐng)申請(qǐng)二級(jí)管理員權(quán)限二級(jí)單位信息化部門管理員申2建工總部審核信息化管理部審核申報(bào)主數(shù)據(jù)的真實(shí)性、合理性和合規(guī)性1工作日信息化管理部3管理部審批2工作日股份信息化管理部問(wèn)題1問(wèn)題由本單位運(yùn)維人員收集整理用戶反饋問(wèn)題予以解決，無(wú)法解決的問(wèn)題反饋至上一級(jí)2系統(tǒng)問(wèn)題(1)數(shù)據(jù)問(wèn)題：批量數(shù)據(jù)錯(cuò)誤，數(shù)據(jù)紊亂對(duì)主數(shù)據(jù)系統(tǒng)有影響并且需要系統(tǒng)廠商后臺(tái)協(xié)助處理的問(wèn)題；(2)BUG類問(wèn)題：系統(tǒng)運(yùn)行報(bào)錯(cuò)，系統(tǒng)操作報(bào)錯(cuò)致使系統(tǒng)不能正常進(jìn)行業(yè)務(wù)并且需要系統(tǒng)廠商后臺(tái)協(xié)助處理的問(wèn)題由信息化管理部收集3問(wèn)題工運(yùn)維人員提出系統(tǒng)功能優(yōu)化或系統(tǒng)邏輯優(yōu)化申請(qǐng)由本單位運(yùn)維人員收集整理用戶需求反饋至信息化管理部，經(jīng)分析、評(píng)估，提交股3.4.1.1管理流程圖是 部主管部門 否是否 子公司集團(tuán)否是是 結(jié)束3.4.1.2工作要點(diǎn)時(shí)間主責(zé)部門/崗部門1件著作申請(qǐng)書(shū)編寫(xiě)需要時(shí)軟件著作權(quán)申2審核審核申請(qǐng)資料，提出審批意見(jiàn)代碼和明書(shū)3審批審核申請(qǐng)資料，提出審批意見(jiàn)一周內(nèi)門/主管領(lǐng)導(dǎo)/4組織申報(bào)組織相關(guān)單位向國(guó)家知識(shí)產(chǎn)權(quán)局提出隨時(shí)門5權(quán)證書(shū)按時(shí)交納相關(guān)費(fèi)用，及時(shí)獲得軟件著作權(quán)證書(shū)隨時(shí)門6維護(hù)負(fù)責(zé)本單位獲取的著作權(quán)維護(hù)，并及時(shí)將授權(quán)、申請(qǐng)及變動(dòng)情況上報(bào)建工隨時(shí)單位信息化管理部門軟件著負(fù)責(zé)本單位獲取的著作權(quán)維護(hù)，及時(shí)更新著作權(quán)統(tǒng)計(jì)表隨時(shí)建工信息化管理部 3.4.1.3版權(quán)登記文檔建工信息化管理部(1)登記部署在建工管理的各信息系統(tǒng)使用的軟件；(2)登記建工總部機(jī)關(guān)及派出機(jī)關(guān)使用的軟件；(3)檢查二級(jí)單位正版軟件登記表版軟件登運(yùn)營(yíng)總部/二級(jí)單位信息化管理部門(1)本單位所有單位和項(xiàng)目使用軟件進(jìn)行登記；(2)負(fù)責(zé)本單位正版軟件的維護(hù)和升級(jí)3.4.1.4軟件正版化3.4.1.4.1工作原則數(shù)字化和網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組是軟件正版化工作的最高領(lǐng)導(dǎo)機(jī)3.4.1.4.2.2工作小組職責(zé)3.4.1.4.2.3軟件使用部門職責(zé)負(fù)責(zé)配合數(shù)字化和網(wǎng)絡(luò)安全工作小組做好軟件正版化工作，督促3.4.1.4.2.4員工職責(zé)不得故意規(guī)避或者破壞軟件著作權(quán)人為保護(hù)其著作權(quán)而采用的技3.4.1.4.2.5相關(guān)管理規(guī)定活動(dòng)部門部門部門活動(dòng)部門部門(2)軟件使用部門對(duì)工具軟件、專業(yè)軟件采購(gòu)計(jì)劃填寫(xiě)后報(bào)信息化部門進(jìn)行統(tǒng)一審核、費(fèi)用申請(qǐng)。計(jì)劃表2集中辦公電腦或服務(wù)器的系統(tǒng)軟件、工具軟件批量采購(gòu)時(shí)，應(yīng)通過(guò)集中采購(gòu)渠道采購(gòu)；各業(yè)務(wù)的專用軟件應(yīng)通過(guò)行業(yè)主管部門統(tǒng)一渠道采購(gòu)，并向本單位信息化部門報(bào)備管理部門3(1)信息化管理部門不得為任何單位和員工提造成的版權(quán)問(wèn)題由個(gè)人承擔(dān)；(3)業(yè)務(wù)部門負(fù)責(zé)專業(yè)軟件的使用、登記、保管；(4)信息化管理建立臺(tái)賬，詳實(shí)記錄每次采購(gòu)的信息(如采購(gòu)時(shí)間、名稱、版本號(hào)、授權(quán)期限等)管理部門/業(yè)務(wù)部門用戶軟件登記4管理建工信息化管理部、各業(yè)務(wù)系統(tǒng)、運(yùn)營(yíng)總部、子(分)公司開(kāi)發(fā)的應(yīng)用軟件(含軟件有關(guān)的文檔、部門5的檢查工作，抽查員工使用的電腦，發(fā)現(xiàn)使用非正版軟件(字體),立即進(jìn)行刪除處理管理部門6意識(shí)培訓(xùn)與宣傳定期開(kāi)展使用正版軟件意識(shí)培訓(xùn)宣傳工作，提高員工法律意識(shí)，規(guī)范員工使用正版軟件信息化管理部門用戶1同負(fù)責(zé)驗(yàn)收，并由購(gòu)買部門填寫(xiě)“固定資產(chǎn)驗(yàn)收清單”一式3份，在驗(yàn)收清單中應(yīng)詳細(xì)填寫(xiě)硬件固定資產(chǎn)名《固定資產(chǎn)驗(yàn)2登記設(shè)置硬件資產(chǎn)實(shí)物臺(tái)賬，及時(shí)更新臺(tái)賬表》3盤點(diǎn)年底進(jìn)行軟、硬件資產(chǎn)盤點(diǎn)4處置時(shí)調(diào)整資產(chǎn)臺(tái)賬表建工信息系統(tǒng)部門 審核是是 審核 3.5.4.2工作要求時(shí)間部門部門1制定信息年初管理部門2督導(dǎo)采集每月管理部門3提供信息的信息化工作動(dòng)態(tài)信息報(bào)送單每月28日前管理部門位、信息系統(tǒng)部門4審核性要求，如信息內(nèi)容、圖片質(zhì)量等每月28日前系統(tǒng)部門一5次月10日前管理部6統(tǒng)計(jì)分析統(tǒng)計(jì)分析和總結(jié)評(píng)價(jià)半年期管理部工作類別內(nèi)容1信息加職責(zé)落實(shí)中建股份及建工信息化工作要求，制定建工信息化信息報(bào)送工作方案，明確報(bào)送任務(wù)內(nèi)容、工作評(píng)價(jià)指標(biāo)等負(fù)責(zé)組織信息化工作宣傳報(bào)道寫(xiě)作培訓(xùn)負(fù)責(zé)每月一次，對(duì)提供信息進(jìn)行選擇、加工、修改、編寫(xiě)、匯集、定稿、送審工作加強(qiáng)對(duì)各單位信息提供人員的培訓(xùn)，培養(yǎng)一支信息化召開(kāi)業(yè)務(wù)例會(huì)，及時(shí)向主管部門負(fù)責(zé)人匯報(bào)工作，并接受負(fù)責(zé)人分派的其他負(fù)責(zé)統(tǒng)計(jì)每次各單位、部門提供信息及采用信息篇數(shù)，并編制形成信息臺(tái)賬2信息處理網(wǎng)上提供來(lái)的信息要及時(shí)放置各單位的信息提供文件夾內(nèi)，有疑問(wèn)要及時(shí)與提供者聯(lián)系3審定實(shí)行審核機(jī)制，信息加工編輯完成后，提交主管部門領(lǐng)導(dǎo)審定3.6.4.1主體責(zé)任3.6.4.2機(jī)構(gòu)組成2網(wǎng)絡(luò)安全辦公室公司網(wǎng)絡(luò)安全辦公室設(shè)在信息化管理部，是網(wǎng)絡(luò)安全工作的管理機(jī)構(gòu)，負(fù)責(zé)網(wǎng)絡(luò)安全工作的推進(jìn)與落實(shí)，執(zhí)行數(shù)字化與網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組交辦的各項(xiàng)工作3部門負(fù)責(zé)本部門相關(guān)業(yè)務(wù)信息系統(tǒng)建設(shè)與使用過(guò)程中與網(wǎng)絡(luò)安全相關(guān)工作的管理，配合落實(shí)完成網(wǎng)絡(luò)安全各項(xiàng)工作，并承擔(dān)相應(yīng)網(wǎng)絡(luò)安全責(zé)任3.6.4.3網(wǎng)絡(luò)安全組織職責(zé)1建工總部(1)負(fù)責(zé)審議公司網(wǎng)絡(luò)安全方針、策略；(2)負(fù)責(zé)提出公司網(wǎng)絡(luò)安全管理要求，審議網(wǎng)絡(luò)安全規(guī)(3)負(fù)責(zé)審議重大網(wǎng)絡(luò)安全(4)負(fù)責(zé)定期評(píng)審公司網(wǎng)絡(luò)安全管理工作情況；(5)負(fù)責(zé)對(duì)公司信息化項(xiàng)目建設(shè)立項(xiàng)進(jìn)行審批；(6)負(fù)責(zé)對(duì)公司重大網(wǎng)絡(luò)安(2)負(fù)責(zé)信息化項(xiàng)目建設(shè)過(guò)程中，與網(wǎng)絡(luò)安全相關(guān)工作的全流程管理；負(fù)責(zé)開(kāi)展網(wǎng)絡(luò)安應(yīng)急管理；負(fù)責(zé)與外部網(wǎng)絡(luò)安全專家或機(jī)構(gòu)之間的聯(lián)系溝通；整體協(xié)調(diào)、管理及運(yùn)營(yíng)工作負(fù)責(zé)攻防演習(xí)、重大網(wǎng)絡(luò)安全事件的具體協(xié)調(diào)和溝通工作2各子(1)負(fù)責(zé)參照建工總部要求提出本企業(yè)網(wǎng)絡(luò)安全管理要求及網(wǎng)絡(luò)安全規(guī)劃；(2)負(fù)責(zé)審議本企業(yè)網(wǎng)絡(luò)安全方針、策略；(3)負(fù)責(zé)審議本企業(yè)重大網(wǎng)絡(luò)安全活動(dòng)：(4)負(fù)責(zé)定期評(píng)審本企業(yè)網(wǎng)絡(luò)安全管理工作情況；(5)負(fù)責(zé)對(duì)本企業(yè)重大網(wǎng)絡(luò)安全事件進(jìn)行商議；(6)負(fù)責(zé)與建工總部領(lǐng)導(dǎo)小(1)負(fù)責(zé)制定本企業(yè)網(wǎng)絡(luò)安全方針、策略、建工總部；(2)負(fù)責(zé)配合建工開(kāi)展網(wǎng)絡(luò)安全檢查與評(píng)估、教育與培訓(xùn)；負(fù)責(zé)本企業(yè)網(wǎng)絡(luò)安全應(yīng)急管理；負(fù)責(zé)落實(shí)建工總部網(wǎng)絡(luò)安全績(jī)效考核各項(xiàng)指標(biāo)，做好網(wǎng)絡(luò)安全迎檢工作；備案；負(fù)責(zé)本企業(yè)網(wǎng)絡(luò)安全日常整體協(xié)調(diào)、管理及運(yùn)營(yíng)工作負(fù)責(zé)配合建工開(kāi)展攻防演習(xí)、重大網(wǎng)絡(luò)安全事件的具體協(xié)調(diào)和溝通工作3部門(1)負(fù)責(zé)本部門相關(guān)業(yè)務(wù)信息系統(tǒng)應(yīng)用層面的網(wǎng)絡(luò)安全管理及本部門網(wǎng)絡(luò)活動(dòng)安全；(2)負(fù)責(zé)將對(duì)口上級(jí)主管單位對(duì)業(yè)務(wù)的最新網(wǎng)絡(luò)安全要求提交網(wǎng)絡(luò)安全辦公室，并配合(3)負(fù)責(zé)配合網(wǎng)絡(luò)安全檢查及整改落實(shí)工作1安全審核機(jī)制2作機(jī)制(1)信息化管理部應(yīng)加強(qiáng)各類管理人員、內(nèi)部機(jī)構(gòu)之間的溝通與合作，討論網(wǎng)絡(luò)安全形勢(shì)，商議、處理網(wǎng)絡(luò)安全問(wèn)題。定期召開(kāi)協(xié)調(diào)會(huì)議，共同協(xié)作處理網(wǎng)絡(luò)安全問(wèn)題；(2)信息化管理部應(yīng)建立與監(jiān)管單位、公安機(jī)關(guān)、兄弟單位的溝通、合作機(jī)制，不定期組織網(wǎng)的時(shí)候能夠及時(shí)得到支持和幫助3安全檢查機(jī)制(1)網(wǎng)絡(luò)安全檢查分為內(nèi)部檢查和外部檢查。內(nèi)部檢查指信息化管理部定期執(zhí)行的網(wǎng)絡(luò)安全檢查；外部檢查包括網(wǎng)絡(luò)安全執(zhí)法檢查及行業(yè)監(jiān)管檢查；(2)信息化管理部執(zhí)行的網(wǎng)絡(luò)安全檢查內(nèi)容包括現(xiàn)有網(wǎng)絡(luò)安全技術(shù)措施的有效性、網(wǎng)絡(luò)安全配置與網(wǎng)絡(luò)安全策略的一致性、網(wǎng)絡(luò)安全管理制度的執(zhí)行情況、網(wǎng)絡(luò)安全策略及網(wǎng)絡(luò)安全記錄有效性、系統(tǒng)漏洞和數(shù)據(jù)備份情況等。網(wǎng)年組織一次4安全風(fēng)險(xiǎn)機(jī)制(1)信息化管理部制定風(fēng)險(xiǎn)評(píng)估計(jì)劃，根據(jù)實(shí)際情況選擇自評(píng)估險(xiǎn)評(píng)估結(jié)果實(shí)施整改；(2)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估流程包括網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估準(zhǔn)備、資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別、安全措施有效性分析、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)處置與管理等，應(yīng)明確各流程的操作方法和規(guī)范3.6.7人員網(wǎng)絡(luò)安全管理3.6.7.1職責(zé)分工1管理部負(fù)責(zé)公司全體員工(含實(shí)習(xí)生)在崗、轉(zhuǎn)崗、離崗及退休等過(guò)程的網(wǎng)絡(luò)安全管理工作，落實(shí)公司全體員工網(wǎng)絡(luò)安全教育培訓(xùn)工作，負(fù)責(zé)對(duì)各部門外部人員網(wǎng)絡(luò)安全管理落實(shí)情況進(jìn)行監(jiān)督2各業(yè)務(wù)部門負(fù)責(zé)本部門員工及外部人員網(wǎng)絡(luò)安全管理，并對(duì)其網(wǎng)絡(luò)安全行為負(fù)責(zé)3.6.7.2人員安全管理1內(nèi)部員工(1)員工轉(zhuǎn)崗、離崗前應(yīng)先終止崗位責(zé)任、歸還IT資產(chǎn)并撤銷相關(guān)訪問(wèn)權(quán)限；新員工在正式上崗前，信息化管理部應(yīng)組織崗位人員開(kāi)展專業(yè)技術(shù)培訓(xùn)，并進(jìn)行書(shū)面考核；員工賬號(hào)密碼設(shè)置及使用應(yīng)嚴(yán)格遵守密碼安全的相關(guān)管理要求，以保證賬號(hào)及密碼安全性；(2)員工應(yīng)嚴(yán)格遵守電子郵件使用管理要求，不得使用工作郵箱賬號(hào)發(fā)送與工作無(wú)關(guān)的內(nèi)容，提高對(duì)電子郵件病毒的防范意識(shí)；員工應(yīng)嚴(yán)格遵守信息化資產(chǎn)使用管理要求，不得擅自安裝未經(jīng)許可的軟件，桌面電腦操作系統(tǒng)和軟件必須使用正版，不允許私自重裝系統(tǒng)2外部人員(1)應(yīng)對(duì)外部人員進(jìn)行網(wǎng)絡(luò)安全宣貫，確保其知悉并遵守公司網(wǎng)絡(luò)安全相關(guān)制度；(2)應(yīng)明確外部人員在管理、使用和維護(hù)網(wǎng)絡(luò)系統(tǒng)，安裝部署網(wǎng)絡(luò)產(chǎn)品和提供信息技術(shù)服務(wù)等活動(dòng)中應(yīng)遵守的網(wǎng)絡(luò)安全要求，并明確其網(wǎng)絡(luò)安全角色和責(zé)任；(3)外部人員進(jìn)入辦公場(chǎng)地開(kāi)始工作前，應(yīng)確保其簽訂了保密(4)臨時(shí)外部人員進(jìn)入時(shí)，應(yīng)在前臺(tái)出示有效證件，登記相關(guān)信息，對(duì)接人負(fù)責(zé)領(lǐng)進(jìn)并全程陪同；(5)駐場(chǎng)外部人員進(jìn)入時(shí)，應(yīng)提交身份證復(fù)印件、工作證明及其他按合同應(yīng)提供資料，并在規(guī)定地點(diǎn)辦公，不得擅自變更辦公位置3.6.8.1職責(zé)分工1管理部(1)負(fù)責(zé)對(duì)信息系統(tǒng)安全設(shè)計(jì)方案進(jìn)行評(píng)審，并負(fù)責(zé)對(duì)信息系統(tǒng)安全設(shè)計(jì)、軟件開(kāi)發(fā)、實(shí)施過(guò)程、測(cè)試驗(yàn)收等全流程工作的落實(shí)情況進(jìn)行監(jiān)督檢查；負(fù)責(zé)指導(dǎo)開(kāi)展信息系統(tǒng)定級(jí)、備案、等級(jí)測(cè)評(píng)工作，并對(duì)等級(jí)測(cè)評(píng)工作落實(shí)情況進(jìn)行監(jiān)督檢查；(2)負(fù)責(zé)形成各系統(tǒng)等級(jí)保護(hù)對(duì)象相關(guān)產(chǎn)品的采購(gòu)候選供應(yīng)商選擇、服務(wù)監(jiān)督、供應(yīng)鏈管理等管理部(3)負(fù)責(zé)對(duì)各系統(tǒng)等級(jí)保護(hù)對(duì)象相關(guān)產(chǎn)品采購(gòu)需求進(jìn)行審核；負(fù)責(zé)對(duì)各系統(tǒng)服務(wù)供應(yīng)商網(wǎng)絡(luò)安全管理落實(shí)情況進(jìn)行監(jiān)督檢查；負(fù)責(zé)組織實(shí)施信息系統(tǒng)安全方案設(shè)計(jì)、軟件的工作；負(fù)責(zé)根據(jù)網(wǎng)絡(luò)安全等級(jí)保護(hù)要求開(kāi)展信息系統(tǒng)定級(jí)、備案和測(cè)評(píng)工作；2各業(yè)務(wù)部門心開(kāi)展信息系統(tǒng)定級(jí)、備案和測(cè)評(píng)工作1網(wǎng)絡(luò)安全應(yīng)制定明確的采購(gòu)流程，根據(jù)等級(jí)保護(hù)要求對(duì)擬選用的網(wǎng)絡(luò)安全產(chǎn)品進(jìn)行選型與測(cè)試，確保網(wǎng)絡(luò)安全產(chǎn)品采購(gòu)和使用符合國(guó)家有關(guān)規(guī)定和要求。在采購(gòu)密碼產(chǎn)品時(shí)，應(yīng)遵循相關(guān)法律標(biāo)準(zhǔn)和國(guó)家密碼管理部門的要求。產(chǎn)品采購(gòu)到貨后應(yīng)加強(qiáng)產(chǎn)品的交2網(wǎng)絡(luò)安全計(jì)規(guī)范。在需求分析與設(shè)計(jì)階段，應(yīng)確定保護(hù)對(duì)象等級(jí)，參照安全設(shè)計(jì)規(guī)范開(kāi)展網(wǎng)絡(luò)安全需求分析及方案設(shè)計(jì)工作，制定詳細(xì)的設(shè)計(jì)方案，經(jīng)信息化管理部審核或相關(guān)專家評(píng)審?fù)ㄟ^(guò)后正式進(jìn)行實(shí)施3軟件開(kāi)發(fā)安全發(fā)規(guī)范。在保護(hù)對(duì)象開(kāi)發(fā)與建設(shè)階段，應(yīng)對(duì)軟件開(kāi)發(fā)(含自行開(kāi)發(fā)和外包開(kāi)發(fā))、測(cè)試及上線、維護(hù)和支持全過(guò)程進(jìn)行網(wǎng)絡(luò)安全管理。應(yīng)確保開(kāi)發(fā)環(huán)境安全，將開(kāi)發(fā)環(huán)境、測(cè)試環(huán)境和生產(chǎn)環(huán)境隔離，并加強(qiáng)接入開(kāi)發(fā)和測(cè)試環(huán)境計(jì)算機(jī)設(shè)備和軟件的安全性保護(hù)。系統(tǒng)開(kāi)發(fā)過(guò)程中數(shù)據(jù)安全的管理應(yīng)嚴(yán)格遵守?cái)?shù)據(jù)安全管理的相關(guān)管理要求4實(shí)施過(guò)程安全詳細(xì)的工程實(shí)施方案。項(xiàng)目管理人員應(yīng)做好網(wǎng)絡(luò)安全工程實(shí)施過(guò)程的風(fēng)險(xiǎn)控制管理，避免因第三方人員惡意操作或誤操作帶來(lái)的網(wǎng)絡(luò)安全隱患5收與交付收工作。應(yīng)加強(qiáng)對(duì)項(xiàng)目的交付管理，并對(duì)系統(tǒng)運(yùn)維人員進(jìn)行相應(yīng)的技術(shù)培訓(xùn)6系統(tǒng)維護(hù)規(guī)范。應(yīng)明確系統(tǒng)的維護(hù)管理，系統(tǒng)管理員需對(duì)系統(tǒng)進(jìn)行監(jiān)控以掌握系統(tǒng)的安全狀況，定期對(duì)運(yùn)行日志進(jìn)行分析，形成分析形成分析報(bào)告3.6.8.3供應(yīng)商管理1責(zé)任書(shū)網(wǎng)絡(luò)安全責(zé)任及所需履行的網(wǎng)絡(luò)安全義務(wù)，并對(duì)其進(jìn)行監(jiān)督管理2監(jiān)督評(píng)審應(yīng)定期監(jiān)督、評(píng)審和審核供應(yīng)商提供的服務(wù)，并對(duì)其變更服務(wù)內(nèi)3外包商管理安全要求，并加強(qiáng)對(duì)外包軟件開(kāi)發(fā)服務(wù)全過(guò)程的網(wǎng)絡(luò)安全管理5員管理更、人員離場(chǎng)的各項(xiàng)網(wǎng)絡(luò)安全管理要求。應(yīng)明確供應(yīng)商的服務(wù)范圍、工作內(nèi)容及建工網(wǎng)絡(luò)安全管理要求，并明確違反公司網(wǎng)絡(luò)安全管理制度時(shí)所采取的措施6供應(yīng)商務(wù)機(jī)構(gòu)選聘管理辦法》的相關(guān)要求3.6.8.4合規(guī)性3.6.9.1職責(zé)分工1信息化管理部(1)負(fù)責(zé)定期對(duì)各部門IT資產(chǎn)管理、密碼安全管理情況進(jìn)行監(jiān)督檢查；負(fù)責(zé)對(duì)數(shù)據(jù)安全管理、操作安全管理、IT資產(chǎn)安全管理、網(wǎng)絡(luò)和通信安全管理以及業(yè)務(wù)連續(xù)性安全管理等的落實(shí)情況進(jìn)行監(jiān)督檢查；(2)負(fù)責(zé)統(tǒng)籌建工網(wǎng)絡(luò)安全事件報(bào)告與應(yīng)急管理工作，負(fù)責(zé)核實(shí)研判預(yù)警信息，指導(dǎo)相關(guān)部門開(kāi)展應(yīng)急響應(yīng)工作；負(fù)責(zé)數(shù)據(jù)安全、操作安全、訪問(wèn)控制、IT資產(chǎn)安全、網(wǎng)絡(luò)和通信安全、機(jī)房環(huán)境安全以及業(yè)務(wù)連續(xù)性安全的管理工作；負(fù)責(zé)制定漏洞掃描工作計(jì)劃，定期組織開(kāi)展漏洞掃描及修復(fù)工作；負(fù)責(zé)對(duì)惡意代碼防范及漏洞修復(fù)相關(guān)工作執(zhí)行情況進(jìn)行監(jiān)督檢查；負(fù)責(zé)變更方案、安全資源申請(qǐng)等的審批工作；處置與具體開(kāi)展工作；(4)負(fù)責(zé)制定網(wǎng)絡(luò)安全巡檢計(jì)劃，定期組織網(wǎng)絡(luò)安全巡檢工作，形成網(wǎng)絡(luò)安全巡檢報(bào)告；負(fù)責(zé)對(duì)網(wǎng)絡(luò)安全整改相關(guān)工作執(zhí)行情況進(jìn)行監(jiān)督檢查2務(wù)部門負(fù)責(zé)本部門數(shù)據(jù)安全、非涉密介質(zhì)安全、密碼安全、辦公環(huán)境安全等的管理工作；負(fù)責(zé)及時(shí)向信息化管理部報(bào)告所發(fā)現(xiàn)的網(wǎng)絡(luò)安全弱點(diǎn)和可疑事件；負(fù)責(zé)配合信息化管理部進(jìn)行網(wǎng)絡(luò)安全運(yùn)維的相關(guān)工作3.6.9.2數(shù)據(jù)安全管理1數(shù)據(jù)分級(jí)應(yīng)根據(jù)數(shù)據(jù)泄露或越權(quán)獲取對(duì)于建工利益造成的影響，劃分為一級(jí)敏感數(shù)據(jù)(高度敏感數(shù)據(jù))、二級(jí)敏感數(shù)據(jù)、三級(jí)敏感數(shù)據(jù)(內(nèi)部數(shù)據(jù))、四級(jí)敏感數(shù)據(jù)(公開(kāi)數(shù)據(jù))2針對(duì)特別類型的數(shù)據(jù)，如因數(shù)據(jù)所處時(shí)間階段或披露工利益影響的差異，則還應(yīng)針對(duì)其數(shù)據(jù)內(nèi)容確定數(shù)據(jù)敏感期限，如數(shù)據(jù)公3應(yīng)按照數(shù)據(jù)分類分級(jí)策略對(duì)數(shù)據(jù)進(jìn)行分類分級(jí)標(biāo)識(shí)，并針對(duì)不同類別和級(jí)別的數(shù)據(jù)制定相應(yīng)的安全管理策略、明確對(duì)應(yīng)的保障措施要求3.6.9.2.2數(shù)據(jù)采集1應(yīng)明確數(shù)據(jù)的收集獲取源、數(shù)據(jù)收集的范圍和頻度，確保數(shù)據(jù)收集和獲取范圍僅限業(yè)務(wù)所需的數(shù)據(jù)2應(yīng)制定數(shù)據(jù)的收集獲取操作規(guī)程，在獲取數(shù)據(jù)前規(guī)范數(shù)據(jù)收集和獲取渠道、3對(duì)數(shù)據(jù)收集和獲取環(huán)境(如采集渠道)、設(shè)施和技術(shù)采取必要的管控措施，確保采集數(shù)據(jù)的規(guī)范性、完整性、準(zhǔn)確性、4如存在收集重要數(shù)據(jù)的情況，應(yīng)制定相應(yīng)的管理規(guī)范和管理規(guī)則，以滿足相關(guān)法律法規(guī)、國(guó)家政策標(biāo)準(zhǔn)的合規(guī)要求5求，在數(shù)據(jù)收集階段明確告知數(shù)據(jù)主體收集數(shù)據(jù)的類型、收集和處理目的、處理方式、存儲(chǔ)期限、存儲(chǔ)位置、跨境傳輸限制、安全管理措施等6如在境外收集數(shù)據(jù)，應(yīng)按照當(dāng)?shù)胤煞ㄒ?guī)的規(guī)則；如境外收集的數(shù)據(jù)中包含個(gè)人信息，應(yīng)確保段符合當(dāng)?shù)胤煞ㄒ?guī)的合規(guī)要求3.6.9.2.3數(shù)據(jù)傳輸1應(yīng)嚴(yán)格遵守訪問(wèn)控制和網(wǎng)絡(luò)和通信安全的相關(guān)管理要求，保障數(shù)據(jù)在傳輸中的保密性、完整性和可用性2根據(jù)數(shù)據(jù)的分級(jí)，敏感數(shù)據(jù)(非公開(kāi)數(shù)據(jù))在傳3如需跨境傳輸數(shù)據(jù)，應(yīng)根據(jù)國(guó)家相關(guān)法律法規(guī)進(jìn)行數(shù)據(jù)出境安全評(píng)估并向相關(guān)監(jiān)管部門進(jìn)行申報(bào)申請(qǐng)，滿足各項(xiàng)要求后方可進(jìn)行數(shù)據(jù)的跨境傳輸4如需跨境傳輸個(gè)人信息，應(yīng)在跨境傳輸個(gè)人信息前向個(gè)人信息主體說(shuō)明數(shù)據(jù)出境的目的、范圍、內(nèi)容、接收方及接收方所在的國(guó)家或地區(qū)，并獲取其明確同意。未成年人個(gè)人信息出境須經(jīng)其監(jiān)護(hù)人同意5涉及將在境外收集獲取的數(shù)據(jù)或從海外公民處收按照當(dāng)?shù)胤煞ㄒ?guī)的要求制定相應(yīng)的管理規(guī)范和管理規(guī)則，確保數(shù)據(jù)跨境傳輸回國(guó)符合當(dāng)?shù)胤煞ㄒ?guī)的合規(guī)要求3.6.9.2.4數(shù)據(jù)交換1應(yīng)根據(jù)業(yè)務(wù)需要限定數(shù)據(jù)交換范圍，采用安全可靠的免數(shù)據(jù)交換過(guò)程中的數(shù)據(jù)丟失、泄露等風(fēng)險(xiǎn)2數(shù)據(jù)交換過(guò)程中，應(yīng)嚴(yán)格遵守訪問(wèn)控制的相關(guān)管理要求控制數(shù)據(jù)接口權(quán)限和3.6.9.2.5數(shù)據(jù)存儲(chǔ)1應(yīng)嚴(yán)格遵守訪問(wèn)控制的相關(guān)管理要求，制定數(shù)據(jù)、數(shù)據(jù)庫(kù)、數(shù)據(jù)存儲(chǔ)介質(zhì)的訪問(wèn)控制管理規(guī)范和管理規(guī)則，限制對(duì)于不同類別或不同級(jí)別數(shù)據(jù)的訪問(wèn)2根據(jù)數(shù)據(jù)的分級(jí)，敏感數(shù)據(jù)(非公開(kāi)數(shù)據(jù))應(yīng)加密存儲(chǔ)，個(gè)人信息必須加密3應(yīng)明確不同類別或級(jí)別數(shù)據(jù)的存儲(chǔ)方式、存儲(chǔ)有效時(shí)間；到期后，數(shù)據(jù)應(yīng)及時(shí)處理，進(jìn)行銷毀或脫敏處理4如數(shù)據(jù)存儲(chǔ)在境外，應(yīng)按照當(dāng)?shù)胤煞ㄒ?guī)的規(guī)則，確保數(shù)據(jù)存儲(chǔ)符合當(dāng)?shù)胤煞ㄒ?guī)的合規(guī)要求。如涉及存儲(chǔ)個(gè)人信息，應(yīng)根據(jù)數(shù)據(jù)收集階段告知數(shù)據(jù)主體的存儲(chǔ)期限、存儲(chǔ)存儲(chǔ)個(gè)人信息，未獲數(shù)據(jù)主體明確同意前，不得違背告知詳情；如因業(yè)務(wù)需要發(fā)生變化，變更數(shù)據(jù)存儲(chǔ)詳情，應(yīng)及時(shí)告知數(shù)據(jù)主體，并獲取其明確同意3.6.9.2.6數(shù)據(jù)處理1應(yīng)明確不同類別或級(jí)別數(shù)據(jù)的處理要求，根據(jù)其數(shù)據(jù)類型特殊要求及敏感級(jí)別制定管理規(guī)范和管理規(guī)則2如涉及處理個(gè)人信息，應(yīng)根據(jù)數(shù)據(jù)收集階段告應(yīng)及時(shí)告知數(shù)據(jù)主體，并獲取其明確同意3處理個(gè)人信息或敏感數(shù)據(jù)時(shí)，應(yīng)進(jìn)行數(shù)據(jù)匿名化、去標(biāo)識(shí)化處理或進(jìn)行數(shù)據(jù)脫敏，避免數(shù)據(jù)在處理過(guò)程中被泄露、破壞造成的對(duì)公司或數(shù)據(jù)主體的損失4數(shù)據(jù)使用者須保證其所使用數(shù)據(jù)來(lái)源的合法合規(guī)性，不得私自拷貝、使用、5應(yīng)建立完備的數(shù)據(jù)加工使用操作記錄和管理規(guī)范，以的識(shí)別和追述3.6.9.2.7數(shù)據(jù)銷毀1應(yīng)依照數(shù)據(jù)分類分級(jí)建立相應(yīng)的數(shù)據(jù)銷毀機(jī)制，明確銷毀方式、銷毀流程和2應(yīng)建立數(shù)據(jù)、存儲(chǔ)介質(zhì)銷毀審批機(jī)制，設(shè)置銷毀相關(guān)程3對(duì)于個(gè)人信息，如因特殊原因，在超出數(shù)據(jù)存儲(chǔ)期限后無(wú)法完全銷毀數(shù)據(jù)，則應(yīng)進(jìn)行去標(biāo)識(shí)化處理，避免留存數(shù)據(jù)仍可被識(shí)別到個(gè)人4如適用于境外法律法規(guī)，則應(yīng)按照當(dāng)?shù)匾笾贫ㄏ鄳?yīng)的管理規(guī)范和管理規(guī)則，確保數(shù)據(jù)銷毀符合當(dāng)?shù)胤煞ㄒ?guī)的合規(guī)要求3.6.9.2.8數(shù)據(jù)備份1應(yīng)根據(jù)業(yè)務(wù)連續(xù)性中的相關(guān)要求，制定數(shù)據(jù)及數(shù)據(jù)存?zhèn)浞菀?重要服務(wù)器上的數(shù)據(jù)必須進(jìn)行定期備份，根據(jù)業(yè)務(wù)系統(tǒng)需要制定備份策考慮全量、增量、實(shí)時(shí)備份等多種策略，滿足業(yè)務(wù)連續(xù)性要求。操作日志、3關(guān)鍵業(yè)務(wù)數(shù)據(jù)在充分考慮系統(tǒng)的應(yīng)用需求的基礎(chǔ)上必須采取有效備份措施，防止因異常事故發(fā)生而導(dǎo)致備份數(shù)據(jù)與業(yè)務(wù)數(shù)據(jù)被同時(shí)破壞4對(duì)于部署在云平臺(tái)的數(shù)據(jù)應(yīng)依據(jù)備份策略及時(shí)備份到本地；應(yīng)定期進(jìn)行數(shù)據(jù)備份與恢復(fù)演練，確保數(shù)據(jù)3.6.9.2.9數(shù)據(jù)安全能力認(rèn)證3.6.9.3操作安全1意代碼防范時(shí)不能修復(fù)的網(wǎng)絡(luò)安全漏洞和隱患，須采取其他有效防護(hù)措施，2應(yīng)明確各配置項(xiàng)的定義并進(jìn)行標(biāo)識(shí)，記錄和保存基本配置信息，包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、各個(gè)設(shè)備安裝的軟件組件、軟件組件的版本和補(bǔ)丁信息、各個(gè)設(shè)備或軟件組件的配置參數(shù)等，定期整理形成配置報(bào)告，確保各配置項(xiàng)的安全有效管理；應(yīng)將配置改變納入變更范疇，應(yīng)嚴(yán)格遵守變更安全管理的相關(guān)管理要求更新或改變配置信息3過(guò)評(píng)審，審批通過(guò)后方可實(shí)施；護(hù)對(duì)象和業(yè)務(wù)的影響3.6.9.4訪問(wèn)控制3.6.9.5安全管理IT資與完整；(3)IT資產(chǎn)的管理使用應(yīng)符合《中國(guó)建筑股份有限公司總部固2介質(zhì)應(yīng)制定非涉密介質(zhì)管理流程，明確介質(zhì)使用、3設(shè)備(1)應(yīng)規(guī)范設(shè)備選址存放、維護(hù)、使用等過(guò)程的網(wǎng)絡(luò)安全管理，保障設(shè)備安全；(2)應(yīng)對(duì)各種設(shè)備、線路等開(kāi)展定期維護(hù)管理，包括明確維護(hù)人員的責(zé)任、維護(hù)過(guò)程的監(jiān)督控制等；(3)應(yīng)加強(qiáng)對(duì)設(shè)備的處置和重用管理要求，含有存儲(chǔ)介質(zhì)的設(shè)備在報(bào)廢或重用前，應(yīng)進(jìn)行完全清除或被安全覆蓋，保證該設(shè)備上的敏感數(shù)據(jù)和授權(quán)軟件無(wú)法被恢復(fù)重用；(4)應(yīng)加強(qiáng)對(duì)設(shè)備的轉(zhuǎn)移和控制措施，信息處理設(shè)備應(yīng)經(jīng)過(guò)審批才能帶離機(jī)房或辦公地點(diǎn)，含有存儲(chǔ)介質(zhì)的設(shè)備帶出工作環(huán)境時(shí)其中重要數(shù)據(jù)必須加密；(5)對(duì)于公司外部的資產(chǎn)，應(yīng)同步考慮對(duì)場(chǎng)外設(shè)備的網(wǎng)絡(luò)安全管理要求；(6)設(shè)備的管理使用應(yīng)符合《中國(guó)建筑股份有限公司總部固定資產(chǎn)及低值易耗品管理規(guī)定》的相關(guān)要求4網(wǎng)絡(luò)通信應(yīng)加強(qiáng)無(wú)線網(wǎng)安全接入的管理，建工網(wǎng)絡(luò)結(jié)構(gòu)由信息化管理部統(tǒng)一規(guī)劃建設(shè)并負(fù)責(zé)管理維護(hù)，如需接入無(wú)線網(wǎng)，需統(tǒng)一向信息化管理部進(jìn)行申請(qǐng)，使用人須嚴(yán)格遵守?zé)o線網(wǎng)安全管理規(guī)范。應(yīng)對(duì)網(wǎng)全配置規(guī)范、配置信息、監(jiān)控審計(jì)等網(wǎng)絡(luò)安全運(yùn)5密碼安全行業(yè)標(biāo)準(zhǔn)，應(yīng)根據(jù)國(guó)家相關(guān)管理要求使用國(guó)家密碼管理部門認(rèn)證核準(zhǔn)的密碼技術(shù)和產(chǎn)品；(2)密碼設(shè)置長(zhǎng)度應(yīng)在12位并定期更換；(3)不得擅自將密碼與他人共享；6(1)應(yīng)加強(qiáng)機(jī)房環(huán)境安全管理工作，落實(shí)防火、防水、防盜、防靜電、防雷擊等措施，嚴(yán)格實(shí)行機(jī)房出入登記管理及運(yùn)維巡檢工作；(2)應(yīng)加強(qiáng)辦公環(huán)境安全管理工作，明確日常辦公及接待外部人員時(shí)應(yīng)7安全(1)應(yīng)加強(qiáng)網(wǎng)絡(luò)安全事件的報(bào)告與處置工作，明確網(wǎng)絡(luò)安全事件的分級(jí)分類、處理流程，規(guī)范網(wǎng)絡(luò)安全事件管理的各項(xiàng)要求。為檢驗(yàn)公司網(wǎng)絡(luò)安全事件響應(yīng)與處置的有效性，應(yīng)定期開(kāi)展網(wǎng)絡(luò)安全應(yīng)急演練工作，明確網(wǎng)絡(luò)安全應(yīng)急演練流程；(2)為最大限度的降低網(wǎng)絡(luò)安全事件對(duì)業(yè)務(wù)運(yùn)行造成的影響，應(yīng)制定網(wǎng)絡(luò)安全應(yīng)急預(yù)案，明確工作職責(zé)和各類網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)程序，及時(shí)進(jìn)行應(yīng)急事件的處置，并加強(qiáng)應(yīng)急預(yù)案的培訓(xùn)工作。應(yīng)急預(yù)案至少應(yīng)包含系統(tǒng)故障應(yīng)急預(yù)案、網(wǎng)絡(luò)攻應(yīng)急預(yù)案、機(jī)房突發(fā)事件應(yīng)急預(yù)案和網(wǎng)絡(luò)設(shè)備及應(yīng)用服務(wù)器異常事件的3.6.9.6業(yè)務(wù)連續(xù)性1災(zāi)難備份與恢復(fù)(2)根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對(duì)系統(tǒng)運(yùn)行的影響，制定數(shù)據(jù)的備份和恢復(fù)策略、備份和恢復(fù)程序等；的關(guān)鍵設(shè)備和電源的定期備份機(jī)制，明確備份方式、備份頻度、2并留存巡檢記錄；(2)巡檢內(nèi)容應(yīng)至少包含機(jī)房巡檢、服務(wù)器巡檢、數(shù)據(jù)庫(kù)巡檢、網(wǎng)絡(luò)設(shè)備巡檢、系統(tǒng)巡檢、日志巡檢等1部(1)負(fù)責(zé)批準(zhǔn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估計(jì)劃；負(fù)責(zé)審核網(wǎng)絡(luò)安全風(fēng)險(xiǎn)險(xiǎn)避免、轉(zhuǎn)移風(fēng)險(xiǎn)、接受風(fēng)險(xiǎn)等);(2)負(fù)責(zé)制定網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估計(jì)劃；負(fù)責(zé)組織開(kāi)展網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估工作，及時(shí)上報(bào)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估中發(fā)現(xiàn)的重大問(wèn)題和可能的全網(wǎng)共性問(wèn)題；(3)負(fù)責(zé)跟進(jìn)各部門網(wǎng)絡(luò)安全風(fēng)險(xiǎn)整改工作，不積極配合整改的部門，可發(fā)出整改通知單；對(duì)于拒不整改者，可對(duì)業(yè)務(wù)系統(tǒng)2各業(yè)務(wù)部門負(fù)責(zé)配合信息化管理部完成網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)整改工作3.6.10.2風(fēng)險(xiǎn)評(píng)估管理1自評(píng)估行的風(fēng)險(xiǎn)評(píng)估。通過(guò)自評(píng)估，可以更好的了解信息系統(tǒng)的網(wǎng)絡(luò)安全狀況及存在的風(fēng)險(xiǎn)，選擇合適的網(wǎng)絡(luò)安全防護(hù)措施，降低2行的風(fēng)險(xiǎn)評(píng)估。通過(guò)第三方評(píng)估可以更全面的了解信息系統(tǒng)的網(wǎng)絡(luò)安全狀況及存在的風(fēng)險(xiǎn)，并提出專業(yè)的風(fēng)險(xiǎn)處理建議，降3活動(dòng)或敏感時(shí)期，根據(jù)需要對(duì)信息系統(tǒng)啟動(dòng)專項(xiàng)評(píng)估。在重要系統(tǒng)入網(wǎng)、現(xiàn)網(wǎng)進(jìn)行大規(guī)模調(diào)整時(shí)，根據(jù)實(shí)際情況啟動(dòng)專項(xiàng)評(píng)估工作3.6.10.3風(fēng)險(xiǎn)評(píng)估過(guò)程(1)信息或數(shù)據(jù)(2)硬件和設(shè)備(4)文檔(5)支持設(shè)施(6)人員(7)公司形象及名譽(yù)機(jī)密等級(jí)分類詳細(xì)說(shuō)明1公開(kāi)資產(chǎn)承載一般性信息，公開(kāi)的信息處理設(shè)備和系統(tǒng)資源2內(nèi)部資產(chǎn)承載非敏感但僅限公司內(nèi)部使用的信息3秘密者4機(jī)密必須知道的人資產(chǎn)完整性I完整等級(jí)分類詳細(xì)說(shuō)明1低未經(jīng)授權(quán)的破壞或修改不會(huì)對(duì)信息系統(tǒng)有重大影響且(或)對(duì)2中3高未經(jīng)授權(quán)的破壞或修改對(duì)信息系統(tǒng)有重大影響且(或)對(duì)業(yè)務(wù)沖4未經(jīng)授權(quán)的破壞或修改對(duì)信息系統(tǒng)有重大影響且可能導(dǎo)致嚴(yán)可使用等級(jí)分類詳細(xì)說(shuō)明1低合法使用者對(duì)信息系統(tǒng)及信息的存取可用度在正常上班時(shí)間2中合法使用者對(duì)信息系統(tǒng)及信息的存取可用度在正常上班時(shí)間3高4面造成損害；也可能是偶發(fā)的、或蓄意的事件；(2)威脅可基于表現(xiàn)形式可分為軟硬件故障、物理環(huán)境威脅、用、網(wǎng)絡(luò)攻擊、黑客攻擊技術(shù)、物理攻擊、泄密信息、篡改、2考慮以下三個(gè)方面，以形成在某種評(píng)估環(huán)境中各種威脅出現(xiàn)的頻率：(1)以往網(wǎng)絡(luò)安全事件報(bào)告中出現(xiàn)過(guò)的威脅及其頻率的統(tǒng)計(jì)；(2)實(shí)際環(huán)境中通過(guò)檢測(cè)工具及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計(jì)；(3)近一兩年來(lái)國(guó)際組織發(fā)布的對(duì)于整個(gè)社會(huì)或特定行業(yè)的威威脅總1年威脅發(fā)生可能頻率為4次以下2中威脅34高威脅5極高威脅3.6.10.3.3脆弱性識(shí)別及賦值技術(shù)脆弱性包括機(jī)房場(chǎng)地、機(jī)房防火、機(jī)房供配電、機(jī)房防靜電、機(jī)房接地與防雷、電磁防護(hù)、通訊線路的保護(hù)、機(jī)房區(qū)域防護(hù)、機(jī)房設(shè)備管理等網(wǎng)絡(luò)結(jié)構(gòu)包括網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、網(wǎng)絡(luò)傳輸加密、網(wǎng)絡(luò)設(shè)備安全漏洞、邊界保護(hù)、系統(tǒng)軟件包括補(bǔ)丁安裝、物理保護(hù)、用戶賬號(hào)、口令策略、資源共享、事件審計(jì)、訪問(wèn)控制、新系統(tǒng)配置(初始化)、注冊(cè)表加固、網(wǎng)絡(luò)安全、系統(tǒng)軟件安全漏洞、軟件安全功能管理弱性包括補(bǔ)丁安裝、鑒別機(jī)制、口令機(jī)制、訪問(wèn)控制、網(wǎng)絡(luò)和服務(wù)設(shè)置、包括審計(jì)機(jī)制、審計(jì)存儲(chǔ)、訪問(wèn)控制策略、數(shù)據(jù)完整性、通訊、鑒別應(yīng)用中間管理脆弱性包括網(wǎng)絡(luò)安全策略、組織安全、IT資產(chǎn)分類與性等1風(fēng)險(xiǎn)降低(1)指將現(xiàn)有的風(fēng)險(xiǎn)等級(jí)經(jīng)過(guò)控制處理降低到可接受的水平以可選擇適當(dāng)?shù)目刂埔越档同F(xiàn)有的風(fēng)險(xiǎn)等級(jí)?？赏ㄟ^(guò)降低威脅和脆弱性的可能性或降低風(fēng)險(xiǎn)發(fā)生的沖擊來(lái)實(shí)現(xiàn)；(2)當(dāng)選擇控制手段和控制目標(biāo)時(shí)，將有許多限制影響到后續(xù)的執(zhí)行括：時(shí)間限制、財(cái)政限制、技術(shù)限制、環(huán)境律限制等。這些限制可能會(huì)影響到項(xiàng)目進(jìn)度的有效性。在采納風(fēng)險(xiǎn)評(píng)估報(bào)告提出的建議時(shí)也應(yīng)考慮以上的限制2(1)指采取措施避免組織面臨的風(fēng)險(xiǎn)。它描述了一切將資產(chǎn)與風(fēng)險(xiǎn)區(qū)域隔離的措施。以下是可能避免風(fēng)險(xiǎn)的幾種方法：不執(zhí)行某些特定的商業(yè)活動(dòng)、將資產(chǎn)搬離未進(jìn)行充分保護(hù)的區(qū)域、不處理特別的敏感信息；(2)在考慮風(fēng)險(xiǎn)避免時(shí)，應(yīng)評(píng)估執(zhí)行方案的可行性，因?yàn)橛锌赡鼙苊獾男袆?dòng)對(duì)于總的商業(yè)運(yùn)作來(lái)說(shuō)是不可能的，該情況下則要考慮風(fēng)險(xiǎn)降低或轉(zhuǎn)移的方法3風(fēng)險(xiǎn)轉(zhuǎn)移(1)是指將風(fēng)險(xiǎn)轉(zhuǎn)移或分擔(dān)部分風(fēng)險(xiǎn)給其他方。當(dāng)風(fēng)險(xiǎn)無(wú)法避或降低風(fēng)險(xiǎn)的花費(fèi)太大時(shí)應(yīng)考慮風(fēng)險(xiǎn)轉(zhuǎn)移；(2)轉(zhuǎn)移風(fēng)險(xiǎn)的其它解決方案是利用第三方或外部合作者處理風(fēng)險(xiǎn)區(qū)域的關(guān)鍵業(yè)務(wù)程序。這種情況下，應(yīng)通過(guò)合同來(lái)提出和界定網(wǎng)絡(luò)安全需求4(1)對(duì)于一些情況，可能由于很多因素的限制，最終無(wú)法通過(guò)執(zhí)行有效的控制來(lái)處理所有的風(fēng)險(xiǎn)。此時(shí)可選擇接受這類風(fēng)險(xiǎn)；(2)在作風(fēng)險(xiǎn)接受處理和確定可接受的風(fēng)險(xiǎn)時(shí)必須獲得信息化管理部的批準(zhǔn)。應(yīng)完全記錄和存檔接受風(fēng)險(xiǎn)的決定和相關(guān)原因3.6.10.3.5殘余風(fēng)險(xiǎn)管理可將屬于可接受風(fēng)險(xiǎn)等級(jí)的殘留風(fēng)險(xiǎn)歸類到公司可接受風(fēng)險(xiǎn)類別。施以管理這些風(fēng)險(xiǎn)。凡未經(jīng)過(guò)深思熟慮的風(fēng)險(xiǎn)均不可以輕易接受。1再評(píng)估對(duì)采取網(wǎng)絡(luò)安全措施處理后的風(fēng)險(xiǎn)，信息中心實(shí)施網(wǎng)絡(luò)安全措施后的殘余風(fēng)險(xiǎn)是否已經(jīng)降低到可接受的水平2某些風(fēng)險(xiǎn)可能在選擇了適當(dāng)?shù)木W(wǎng)絡(luò)安全措施后仍處于不可接受的3審核批準(zhǔn)并報(bào)信息化管理部審核3.6.11.2網(wǎng)絡(luò)安全通報(bào)內(nèi)容3.6.11.4二級(jí)單位報(bào)送內(nèi)容3.6.11.5網(wǎng)絡(luò)安全通報(bào)方式3.6.11.6網(wǎng)絡(luò)安全通報(bào)流程位存在安全風(fēng)險(xiǎn)或發(fā)生安全事件時(shí)，置等。對(duì)于來(lái)自監(jiān)管單位的通報(bào)，應(yīng)于1小時(shí)內(nèi)逐級(jí)向上報(bào)告，于6小時(shí)內(nèi)向?qū)俚匚痪W(wǎng)絡(luò)安全風(fēng)險(xiǎn)和事件。安全事件(三級(jí))以上應(yīng)于1小時(shí)內(nèi)報(bào)告。2各級(jí)單位接收外部監(jiān)管單位網(wǎng)絡(luò)安全通報(bào)、上級(jí)單位網(wǎng)絡(luò)安全通報(bào)，根據(jù)業(yè)務(wù)部門、下屬單位。3各級(jí)單位在常態(tài)化安全監(jiān)測(cè)和檢查工至相關(guān)業(yè)務(wù)部門、下屬單位。業(yè)團(tuán)隊(duì)進(jìn)行分析與整改，確保分析充分、4及時(shí)報(bào)告后續(xù)情況。各級(jí)單位應(yīng)按照通報(bào)要求時(shí)間向通報(bào)部門反饋整改報(bào)告。3.6.11.7重大活動(dòng)專項(xiàng)安全通報(bào)加強(qiáng)網(wǎng)絡(luò)安全防范和監(jiān)測(cè)預(yù)警，建立24小時(shí)應(yīng)急聯(lián)絡(luò)渠道，執(zhí)行3.6.11.8監(jiān)督與檢查1收到來(lái)自建工信息化管理部的網(wǎng)絡(luò)安全事件通報(bào)且內(nèi)容屬實(shí)的、收到來(lái)自監(jiān)管單位的通報(bào)且內(nèi)容屬實(shí)的、發(fā)生網(wǎng)絡(luò)安全事故的；2通報(bào)涉及單位反饋整改完成后，因同一風(fēng)險(xiǎn)、事件再次被通報(bào)的；3超過(guò)規(guī)定整改時(shí)限未完成整改被再次通報(bào)的；4收到的網(wǎng)絡(luò)安全通報(bào)中涉及未報(bào)送資產(chǎn)的；5在重要活動(dòng)、專項(xiàng)檢查工作期間未按照工作要求制定不力的。例如，在郵件系統(tǒng)賬號(hào)風(fēng)險(xiǎn)整改專項(xiàng)排查處置后，因弱密碼、長(zhǎng)期不登錄賬號(hào)等問(wèn)題發(fā)生郵箱失陷事件，將嚴(yán)格按照整改不力進(jìn)行扣分。若員工郵箱賬號(hào)出現(xiàn)兩次及以上弱口令問(wèn)題，二級(jí)單位應(yīng)按本單位員工管理相關(guān)制度給予嚴(yán)肅處理，處理結(jié)果報(bào)送建工信息化管理部備案。6對(duì)于拒不整改或者導(dǎo)致網(wǎng)絡(luò)安全危害的，將對(duì)其所在導(dǎo)及直接責(zé)任人進(jìn)行追責(zé)問(wèn)責(zé)。對(duì)于違反國(guó)家法律規(guī)定，對(duì)企業(yè)造成重大損失和負(fù)面影響的人員，將依法追究法律責(zé)任。3.6.12.1等級(jí)保護(hù)基本原則3.6.12.2職責(zé)分工信息化管理部負(fù)責(zé)組織制定建工網(wǎng)絡(luò)安全等級(jí)保護(hù)相關(guān)制度文件和標(biāo)準(zhǔn)規(guī)范，并依照國(guó)家、行業(yè)和股份公司網(wǎng)絡(luò)安全等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)業(yè)務(wù)部門負(fù)責(zé)配合信息化管理部開(kāi)展網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)工作。各子企業(yè)負(fù)責(zé)本單位網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)備案、等級(jí)測(cè)評(píng)、安全建設(shè)整改等實(shí)施工作，并對(duì)下屬單位的相關(guān)工作進(jìn)行監(jiān)督、檢查和指導(dǎo)3.6.12.3等級(jí)保護(hù)定級(jí)與備案第一級(jí)成一般損害，但不危害國(guó)家安全、社會(huì)秩序和公共利第二級(jí)成嚴(yán)重?fù)p害或特別嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成危但不危害國(guó)家安全。第三級(jí)等級(jí)保護(hù)對(duì)象受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重危第四級(jí)等級(jí)保護(hù)對(duì)象受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重危害，或者對(duì)國(guó)家安全造成嚴(yán)重危害。第五級(jí)等級(jí)保護(hù)對(duì)象受到破壞后會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重危害。各二級(jí)單位應(yīng)依據(jù)《GB/T22240信息安全技術(shù)信息系子企業(yè)應(yīng)匯總擬定為第二級(jí)及以上等級(jí)保護(hù)對(duì)象的定級(jí)結(jié)3.6.12.4總體安全規(guī)劃件，如邊界設(shè)備、網(wǎng)關(guān)設(shè)備、核心網(wǎng)絡(luò)設(shè)備、重要服務(wù)器設(shè)備、確定安全方針，制定安全策略等。對(duì)于新建的等級(jí)保護(hù)對(duì)象，應(yīng)3.6.12.5安全設(shè)計(jì)與實(shí)施1應(yīng)按照等級(jí)保護(hù)對(duì)象安全總體方案的要求，結(jié)設(shè)項(xiàng)目規(guī)劃，分期分步落實(shí)安全措施；2應(yīng)采購(gòu)、使用符合國(guó)家法律法規(guī)和有關(guān)標(biāo)準(zhǔn)規(guī)等級(jí)保護(hù)需求的網(wǎng)絡(luò)及密碼產(chǎn)品和服務(wù)，使用的網(wǎng)絡(luò)及密碼產(chǎn)品，應(yīng)當(dāng)委托專業(yè)測(cè)評(píng)機(jī)構(gòu)進(jìn)行專項(xiàng)測(cè)試，根據(jù)測(cè)試結(jié)果選擇符合要求的網(wǎng)絡(luò)及密碼產(chǎn)品。采購(gòu)網(wǎng)絡(luò)及密碼產(chǎn)品和服務(wù)，影響或可能影響國(guó)家安全的，應(yīng)當(dāng)依據(jù)國(guó)家網(wǎng)信部門制定的網(wǎng)絡(luò)安全審查辦法申報(bào)網(wǎng)絡(luò)安全3對(duì)于不能通過(guò)采購(gòu)現(xiàn)有網(wǎng)絡(luò)及密碼安全產(chǎn)品或服或者安全功能，應(yīng)通過(guò)專門的安全設(shè)計(jì)來(lái)實(shí)現(xiàn)。等級(jí)保護(hù)對(duì)象安全的開(kāi)發(fā)和應(yīng)用的開(kāi)發(fā)應(yīng)同步設(shè)計(jì)、同步實(shí)施；4等級(jí)保護(hù)對(duì)象進(jìn)行驗(yàn)收上線前應(yīng)委托具有資質(zhì)的第三方測(cè)評(píng)機(jī)構(gòu)對(duì)信息系統(tǒng)進(jìn)行安全性測(cè)試，并在驗(yàn)收時(shí)提供安全測(cè)試報(bào)告；5應(yīng)根據(jù)等級(jí)保護(hù)對(duì)象的安全管理需求，更新必范和操作規(guī)程，配置相應(yīng)的安全管理崗位和人員，明確崗位職責(zé)3.6.12.6安全運(yùn)行與維護(hù)1應(yīng)對(duì)運(yùn)行管理活動(dòng)或角色進(jìn)行劃分并授予相應(yīng)的管理權(quán)限，據(jù)此確定安全運(yùn)行管理的具體崗位和職責(zé)。應(yīng)至少劃分為系統(tǒng)管理員、安全管理員和安全審計(jì)員；2應(yīng)制定運(yùn)行管理操作規(guī)程，確定安全運(yùn)行管理人員的操作目的、操作內(nèi)容、操作時(shí)間與地點(diǎn)、操作方法和流程等。應(yīng)記錄操作過(guò)程，確保操作過(guò)程受控；3應(yīng)對(duì)運(yùn)行和維護(hù)過(guò)程中的變更進(jìn)行控制，確定變更的內(nèi)容和范圍4應(yīng)持續(xù)對(duì)等級(jí)保護(hù)對(duì)象進(jìn)行安全監(jiān)控，包括防火墻、入侵檢測(cè)、防病毒、核心路由器、核心交換機(jī)、關(guān)鍵服務(wù)器等，形成監(jiān)控狀態(tài)分析和5應(yīng)開(kāi)展等級(jí)保護(hù)對(duì)象的安全自查，為等級(jí)保護(hù)對(duì)象的持續(xù)改進(jìn)提供依據(jù)和建議，根據(jù)檢查結(jié)果制定改進(jìn)方案，補(bǔ)充必要的安全措施；6