投標(biāo)保密方案

2/2保密方案1.公司保密措施為保障信息安全，公司切實(shí)推行安全管理，積極預(yù)防風(fēng)險(xiǎn)，完善安全保密控制措施。為加強(qiáng)組織領(lǐng)導(dǎo)，公司特制定保密相關(guān)制度，對(duì)保密工作的審查范圍、原則、程序、責(zé)任追究等各環(huán)節(jié)作了明確規(guī)定。公司按照“誰主管、誰使用、誰負(fù)責(zé)”的原則，各相關(guān)涉密人員均需與公司簽署《保密協(xié)議》，明確各個(gè)部門和人員的保密責(zé)任、義務(wù)以及責(zé)任追究等事項(xiàng)。同時(shí)，公司做好各涉密人員的保密教育和管理工作，加強(qiáng)保密工作的重要性，提高涉密人員的保密工作素質(zhì)。1.1建立有效的人員保密機(jī)制簽訂保密協(xié)議，用合同的機(jī)制規(guī)范相關(guān)人員的行為，一旦泄密相關(guān)人員需要支付巨額的賠償。另外，公司建立了外包服務(wù)提供人員的解密、脫密機(jī)制。例如，A公司的C員工為B公司提供了IT外包服務(wù)。在項(xiàng)目完成之后，C員工在接下來的半年或一年解密、脫密期內(nèi)不允許為與B公司存在競(jìng)爭(zhēng)關(guān)系、業(yè)務(wù)相關(guān)或相近的公司提供服務(wù)，在解密、脫密期結(jié)束之后才能再次提供類似的服務(wù)，該保密機(jī)制有效保障了客戶對(duì)外包服務(wù)提供商安全機(jī)制的信任。1.2建立有效的安全管理流程公司建立了有效的安全管理流程，對(duì)公司內(nèi)外網(wǎng)絡(luò)進(jìn)行嚴(yán)格的隔離，內(nèi)部和外部的郵件系統(tǒng)也進(jìn)行了嚴(yán)格的隔離。信息的訪問、存儲(chǔ)、傳遞都必須按照嚴(yán)格的安全規(guī)范進(jìn)行：未經(jīng)授權(quán)不得訪問相關(guān)信息，未經(jīng)審批不得傳遞相關(guān)數(shù)據(jù)。整個(gè)公司內(nèi)部的信息管理嚴(yán)格按照規(guī)范的安全流程進(jìn)行管理。1.3嚴(yán)格的信息化設(shè)備管理（1）嚴(yán)禁將公司配發(fā)給員工用于辦公的計(jì)算機(jī)轉(zhuǎn)借給非公司員工使用，嚴(yán)禁將公司配發(fā)的筆記本電腦帶回家使用，嚴(yán)禁利用公司信息化設(shè)備資源為第三方從事兼職工作。（2）公司所有硬件服務(wù)器統(tǒng)一放在機(jī)房內(nèi)，由公司指定的部門承擔(dān)管理職責(zé)，由專人負(fù)責(zé)服務(wù)器殺毒、升級(jí)、備份。（3）非本單位技術(shù)人員對(duì)我單位的設(shè)備、系統(tǒng)等進(jìn)行維修、維護(hù)時(shí)，必須由本單位相關(guān)技術(shù)人員現(xiàn)場(chǎng)全程監(jiān)督。計(jì)算機(jī)設(shè)備送外維修，必須經(jīng)過部門負(fù)責(zé)人批準(zhǔn)，并登記備案。送修前，需將設(shè)備存儲(chǔ)介質(zhì)內(nèi)的應(yīng)用軟件和數(shù)據(jù)等涉及經(jīng)營管理的內(nèi)容備份后刪除，并進(jìn)行登記，方可送修。對(duì)修復(fù)的設(shè)備，設(shè)備維修人員對(duì)應(yīng)設(shè)備進(jìn)行驗(yàn)收、病毒檢測(cè)和登記。（4）嚴(yán)格遵守計(jì)算機(jī)設(shè)備使用及安全操作規(guī)程和正確的使用方法。任何人不允許私自處理或找非本單位技術(shù)人員對(duì)信息化設(shè)備進(jìn)行維修及操作，不得擅自拆卸、更換或破壞信息化設(shè)備及其部件。（5）計(jì)算機(jī)的使用部門和個(gè)人要保持清潔、安全、良好的計(jì)算機(jī)設(shè)備工作環(huán)境，禁止在計(jì)算機(jī)應(yīng)用環(huán)境中放置易燃易爆、強(qiáng)腐蝕、強(qiáng)磁性等有害計(jì)算機(jī)設(shè)備安全的物品。（6）原則上公司所有終端電腦、服務(wù)器都必須設(shè)定開機(jī)登錄密碼和屏幕保護(hù)密碼，對(duì)于交換機(jī)、防火墻、路由器等網(wǎng)絡(luò)設(shè)備也必須設(shè)管理密碼。（7）公司所有終端電腦、服務(wù)器都必須安裝正版殺病毒軟件，系統(tǒng)管理員必須對(duì)服務(wù)器進(jìn)行定期殺毒、病毒庫升級(jí)、補(bǔ)丁修復(fù)。1.4系統(tǒng)管理員安全管理（1）公司所有服務(wù)器，由指定的管理員集中管理。系統(tǒng)管理員權(quán)限必須經(jīng)過公司管理層授權(quán)取得。（2）各部門擁有各類服務(wù)器的使用權(quán)，核心業(yè)務(wù)部門還擁有相應(yīng)服務(wù)器的管理權(quán)，核心業(yè)務(wù)部門擁有服務(wù)器的管理權(quán)由公司批準(zhǔn)后授予。（3）系統(tǒng)管理員負(fù)責(zé)各服務(wù)器的操作系統(tǒng)環(huán)境生成、維護(hù)，負(fù)責(zé)常規(guī)用戶的技術(shù)支持和管理。（4）系統(tǒng)管理員對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行數(shù)據(jù)整理、備份、故障恢復(fù)等操作，必須有其上級(jí)授權(quán)，在完成備份后交由公司指定的備份管理部門保存，并做好備份管理登記。（5）系統(tǒng)管理員調(diào)離崗位，上級(jí)管理者或負(fù)責(zé)人應(yīng)及時(shí)注銷其管理密碼并生成新的管理密碼。1.5密碼與權(quán)限管理（1）密碼設(shè)置應(yīng)具有安全性、保密性，不能使用簡單的代碼和標(biāo)記。密碼是保護(hù)系統(tǒng)和數(shù)據(jù)安全的控制代碼，也是保護(hù)用戶自身權(quán)益的控制代碼。密碼設(shè)置不應(yīng)是名字、生日、重復(fù)、順序、規(guī)律數(shù)字等容易猜測(cè)的數(shù)字和字符串；（2）密碼應(yīng)每月定期修改，如發(fā)現(xiàn)或懷疑密碼遺失或泄漏應(yīng)立即修改，并在設(shè)置在機(jī)房的密碼管理登記薄上記錄用戶名、修改時(shí)間、修改人等內(nèi)容。（3）服務(wù)器、防火墻、路由器、交換機(jī)等重要設(shè)備的管理密碼由指定專人（不參與系統(tǒng)開發(fā)和維護(hù)的人員）設(shè)置和管理，并由密碼設(shè)置人員將密碼裝入密碼信封，在啟封出加蓋個(gè)人名章或簽字后交給密碼管理人員存檔并登記。如遇特殊情況需要啟用封存的密碼，必須經(jīng)過相關(guān)部門負(fù)責(zé)人同意，由密碼使用人員向密碼管理人員索取，使用完畢后，須立即更改并封存，同時(shí)在：“密碼管理登記薄”中登記。有關(guān)密碼授權(quán)工作人員調(diào)離崗位，有關(guān)部門負(fù)責(zé)人須指定專人接替并對(duì)密碼立即修改或用戶刪除同時(shí)在“密碼管理登記薄”中登記。1.6信息安全管理（1）公司每一位員工都有保守公司信息安全防止泄密的責(zé)任，任何人不得向外的任何單位或個(gè)人泄露公司技術(shù)和商業(yè)機(jī)密，如因?qū)W術(shù)交流或論文發(fā)表涉及公司技術(shù)或商業(yè)機(jī)密，應(yīng)提前向公司匯報(bào)，并在獲得批準(zhǔn)同意后，方能以認(rèn)可的形式對(duì)外發(fā)布。（2）定期對(duì)公司重要信息包括軟件代碼進(jìn)行備份，管理人員實(shí)施備份操作必須有兩人在場(chǎng)，備份完成后，立即交由備份管理部門封存保管。（3）存放備份數(shù)據(jù)的介質(zhì)包括U盤、移動(dòng)硬盤、光盤和紙質(zhì)，所有備份介質(zhì)必須明確標(biāo)識(shí)備份內(nèi)容和時(shí)間，并實(shí)行異地存放。（4）計(jì)算機(jī)重要信息資料和數(shù)據(jù)存儲(chǔ)介質(zhì)的存放、運(yùn)輸安全和保密由公司指定的備份管理部門專人負(fù)責(zé)，保證存儲(chǔ)介質(zhì)的物理安全。（5）任何非應(yīng)用性業(yè)務(wù)數(shù)據(jù)的使用及存放數(shù)據(jù)的設(shè)備或介質(zhì)的調(diào)撥、轉(zhuǎn)讓廢棄或銷毀必須嚴(yán)格按照程序進(jìn)行逐級(jí)審批，以保證備份數(shù)據(jù)安全完整。（6）數(shù)據(jù)恢復(fù)前，必須對(duì)原環(huán)境的數(shù)據(jù)進(jìn)行備份，防止有用數(shù)據(jù)的丟失。數(shù)據(jù)恢復(fù)過程中要嚴(yán)格按照數(shù)據(jù)恢復(fù)手冊(cè)執(zhí)行，出現(xiàn)問題時(shí)由技術(shù)部門進(jìn)行現(xiàn)場(chǎng)技術(shù)支持。數(shù)據(jù)恢復(fù)后，必須進(jìn)行驗(yàn)證、確認(rèn)，確保數(shù)據(jù)恢復(fù)的完整性和可用性。（7）數(shù)據(jù)清理前必須對(duì)數(shù)據(jù)進(jìn)行備份，在確認(rèn)備份正確后方可進(jìn)行清理操作。歷次清理前的備份數(shù)據(jù)要根據(jù)備份策略進(jìn)行定期保存或則永久保存。數(shù)據(jù)清理的實(shí)施應(yīng)避開業(yè)務(wù)高峰期避免對(duì)聯(lián)機(jī)業(yè)務(wù)運(yùn)行造成影響。（8）需要長期保存的數(shù)據(jù)，數(shù)據(jù)管理部門須與相關(guān)部門指定轉(zhuǎn)存方案，根據(jù)轉(zhuǎn)存方案的查詢使用方法要在介質(zhì)有效期內(nèi)進(jìn)行轉(zhuǎn)存，防止存儲(chǔ)介質(zhì)過期失效，通過有效的查詢、使用方法保證數(shù)據(jù)的完整性和可用性。轉(zhuǎn)存的數(shù)據(jù)必須有詳細(xì)的文檔記錄。（9）管理部門應(yīng)對(duì)報(bào)廢設(shè)備中存有的程序、數(shù)據(jù)資料進(jìn)行備份后清楚，并妥善處理廢棄無用的資料和介質(zhì)，防止泄密。（10）信息主管部門須指定專人負(fù)責(zé)計(jì)算機(jī)病毒的防范工作，建立本單位的計(jì)算機(jī)病毒防治管理制度，經(jīng)常進(jìn)行計(jì)算機(jī)病毒檢查，發(fā)現(xiàn)病毒及時(shí)清除。1.7保密自查要求1.7.1做好日常保密檢查工作嚴(yán)格落實(shí)保密檢查制度，通過保密檢查工作，使涉密人員提高保密認(rèn)識(shí)，提高防范失、泄密意識(shí)，在日常工作按照保密法律法規(guī)、規(guī)章制度來規(guī)范自己的行為，將保密防范措施落到實(shí)處，遵守國家秘密及公司秘密。（1）每月完成對(duì)涉密部門（部位）和涉密人員考核檢查，并填寫自查表。（2）每季度完成對(duì)涉密部門負(fù)責(zé)人的考核檢查。（3）加強(qiáng)對(duì)公司涉密計(jì)算機(jī)、非涉密計(jì)算機(jī)及辦公自動(dòng)化設(shè)備設(shè)施的檢查管理工作。在日常的保密管理與保密檢查中，對(duì)涉密計(jì)算機(jī)做好重點(diǎn)檢查與監(jiān)督，并且每半年對(duì)公司涉密和非涉密計(jì)算機(jī)、辦公自動(dòng)化設(shè)備進(jìn)行一次全面的檢查。（4）定期對(duì)公司保密主要負(fù)責(zé)人的工作進(jìn)行檢查。保密職責(zé)落實(shí)情況和各種保密規(guī)章制度落實(shí)情況。對(duì)各項(xiàng)檢查，保密辦都將做好記錄和檢查報(bào)告。1.7.2做好保密資格認(rèn)證復(fù)查的各項(xiàng)準(zhǔn)備工作保密資格認(rèn)證的審查，監(jiān)督審查部門高度重視此項(xiàng)工作，充分認(rèn)識(shí)到保密資格復(fù)查對(duì)公司保密工作的有利作用。進(jìn)一步健全保密組織機(jī)構(gòu)，嚴(yán)格保密監(jiān)督管理，加強(qiáng)保密檢查與自查，及時(shí)整改保密工作中存在的問題，嚴(yán)格執(zhí)行保密資格標(biāo)準(zhǔn)，落實(shí)各項(xiàng)保密工作要求。認(rèn)真準(zhǔn)備保密資格認(rèn)證復(fù)查所需的各種資料，做好各項(xiàng)保密復(fù)查準(zhǔn)備工作，爭(zhēng)取通過保密資格認(rèn)證的復(fù)查。1.7.3增強(qiáng)保密技術(shù)防范能力提升保密技術(shù)水平，推進(jìn)保密設(shè)施裝備建設(shè)是增強(qiáng)保密技術(shù)防范能力、實(shí)現(xiàn)保密管理現(xiàn)代化，加快保密技防設(shè)施設(shè)備的更新，切實(shí)增強(qiáng)防范竊密手段和發(fā)現(xiàn)泄密隱患的能力，提高公司技防的能力。尤其是要針對(duì)信息化條件下保密工作要求，加大計(jì)算機(jī)信息系統(tǒng)保密技術(shù)防范力度，切實(shí)按照要求配備保密設(shè)施設(shè)備。同時(shí)注意保密技術(shù)檢查設(shè)備購買和補(bǔ)充，不斷提高公司保密技術(shù)檢查能力。

2.公司網(wǎng)絡(luò)安全保密制度2.1保密信息“保密信息”指參與客戶方信息化建設(shè)、實(shí)施和服務(wù)等相關(guān)工作中接觸到的信息和數(shù)據(jù)。2.2保密人員管理人員、實(shí)施人員以及其他受委托、聘用等直接或間接接觸客戶方保密信息的人員均應(yīng)履行保密義務(wù)，不因人員的流動(dòng)而免責(zé)。2.3保密義務(wù)1.保密信息及利用保密信息所形成的工作成果非經(jīng)客戶方書面同意，應(yīng)負(fù)保密責(zé)任，不得以任何方式就保密信息及工作成果之部分或全部泄漏、告知、復(fù)制、傳播、或?qū)ν獍l(fā)表、或?yàn)樽约杭暗谌耸褂谩?.不得從事下列危害網(wǎng)絡(luò)與信息安全的活動(dòng)：(1)不竊取、出售或者非法向他人提供客戶方網(wǎng)絡(luò)攻防演習(xí)的企業(yè)敏感數(shù)據(jù)。(2)不為他人實(shí)施危害網(wǎng)絡(luò)安全的活動(dòng)提供技術(shù)支持。(3)不得利用客戶方的網(wǎng)絡(luò)進(jìn)行任何網(wǎng)絡(luò)攻擊行為。(4)未經(jīng)允許不可擅自使用拒絕服務(wù)攻擊手段對(duì)客戶方系統(tǒng)進(jìn)行安全檢查。(5)不得在運(yùn)維的設(shè)備或系統(tǒng)中植入后門程序等惡意文件。3.遵守如下規(guī)定：（1）嚴(yán)格遵守《中華人民共和國網(wǎng)絡(luò)安全法》、《全國人民代表大會(huì)常務(wù)委員會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》《中華人民共和國電信條例》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》等法律法規(guī)和規(guī)章的有關(guān)規(guī)定，對(duì)國際互聯(lián)網(wǎng)網(wǎng)站的信息行為承擔(dān)法律、行政、民事責(zé)任。（2）對(duì)于在工作中接觸的信息和數(shù)據(jù)嚴(yán)格保密，不得收集與提供的服務(wù)無關(guān)的信息，所獲知的保密信息須在客戶方內(nèi)部謹(jǐn)慎使用。（3）不進(jìn)行計(jì)算機(jī)病毒傳播、網(wǎng)絡(luò)入侵以及通過任何途徑外泄涉及公司敏感信息文檔、重要信息數(shù)據(jù)等網(wǎng)絡(luò)行為（如通過QQ、微信等傳輸用戶使用手冊(cè)、代碼等保密信息，在百度文庫、百度云盤、網(wǎng)站上上傳保密信息)。（4）不私自在客戶方內(nèi)網(wǎng)局域網(wǎng)中架設(shè)各類無線WIFI路由器、隨身WIFI設(shè)備、集線器等網(wǎng)絡(luò)設(shè)備。（5）在現(xiàn)場(chǎng)實(shí)施過程中，必須在客戶方指定地點(diǎn)辦公，并遵守客戶方關(guān)于第三方人員管理規(guī)定要求。未經(jīng)許可不得將保密信息帶離辦公場(chǎng)所。（6）不擅自打聽或查閱與工作無關(guān)的信息，不利用信息知曉權(quán)利，泄露或篡改數(shù)據(jù),不為他人獲取保密信息提供便利。（7）不打開可疑郵件、垃圾郵件、不明來源郵件提供的附件或網(wǎng)址。（8）不使用非安全移動(dòng)存儲(chǔ)介質(zhì)存儲(chǔ)敏感信息。安全移動(dòng)存儲(chǔ)介質(zhì)只用于存儲(chǔ)工作信息，不用于其它用途。（9）未經(jīng)授權(quán)不得對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器、計(jì)算機(jī)終端等信息設(shè)備進(jìn)行任何形式的掃描、探測(cè)。（10）不得私自向第三方公開發(fā)現(xiàn)的漏洞詳情及與漏洞相關(guān)的任何細(xì)節(jié)，透露給第三方造成的任何損失均由個(gè)人承擔(dān)。（11）嚴(yán)禁在阿里云、騰訊云、華為云、百度云等互聯(lián)網(wǎng)云平臺(tái)或者其他非客戶方運(yùn)營的網(wǎng)絡(luò)環(huán)境上私自搭建開發(fā)、測(cè)試及演示系統(tǒng)，如有發(fā)現(xiàn)應(yīng)立即通知客戶方并對(duì)相關(guān)系統(tǒng)進(jìn)行下線、刪除相關(guān)信息。4.在開展網(wǎng)絡(luò)與信息安全漏洞和隱患識(shí)別相關(guān)工作時(shí)，不破壞被測(cè)系統(tǒng)及相關(guān)數(shù)據(jù)完整性、影響被測(cè)系統(tǒng)正常運(yùn)行，測(cè)試結(jié)束后，不在系統(tǒng)或設(shè)備中駐留任何文件、程序。5.對(duì)實(shí)施過程中收集的用戶信息和數(shù)據(jù)嚴(yán)