1. 目的和范围
2. 引用文件
3. 职责和权限
4. 符合法律要求
5. 符合安策略和标准以及技术符合性
6. 信息系统审核考虑
7. 附件
1. 目的和范围
本策略规定如何避免违反刑法、民法、法令、法规或合同义务以及信息系统设计、运行、使用和管理的安需求。
本制度适用于信息安管理体系要求的法律法规和其他要求的收集、评价、确定等活动的控制。
2. 引用文件
1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的版本。凡是不注日期的引用文件，其版本适用于本标准。
2) gb/t 22080-2016/iso/iec 27001:2013 信息技术-安技术-信息安管理体系要求
3) gb/t 22081-2016/iso/iec 27002:2013 信息技术-安技术-信息安管理实施细则
4) 《软件管理规定》
3. 职责和权限
1) 行政部：负责组织有关信息安管理体系的法律法规和其他要求的收集、更新、审核、评价，并提出项建议使公司的日常运营满足法律法规的要求。
2) 各部门：协助做好与本部门业务有关的相应法律法规和其它要求的收集、更新和合规性评价工作。
人员出入管理
⑴所有出入本公司的人员都需经过授权，员工可凭胸卡或指纹出入公司办公区域。三方人员必须凭借临时通行证出入办公区域，或可与被访者（值班人员）取得联系后，由值班人员带领到前台填写《来访客人登记表》/《面试登记表》后出入办公区域。
⑵所有员工出入公司都有义务随手关门，以公司及大家的财产安，违者按照《信息安奖惩规定》进行处罚。
⑶三方进入办公区域需由值班人员陪同，未经允许禁止摄影、拍照。
⑷本公司的e1办公区域：总裁办公室、高管办公室、财务办公室、机房等，三方人员未经允许不得出入。
⑸行政部有义务监督非临时三方临时通行证的佩戴情况，如发现未佩戴临时通行证的非临时三方应询问并确认其身份，并提醒其佩戴临时通行证。
⑹本公司谢推销，快递人员、送餐人员只能进入到前台可视范围内的办公区域。
⑺前台行政人员不宜在办公时间内久离前公区，如离开应通知行政主管来交接监管前公区。
1) 信息安事件或异常现象所涉及的部门应在信息安工作小组的协调指导下根据事件或异常现象报告中的再发防止措施考虑进行安体系的改进工作。
2) 信息安工作小组应监控并确认相关改进活动的执行，并向信息安小组报告。
3) 在需要启动内审和管理评审的情况下，根据规定启动相应的审核活动。
4) 信息安事件管理活动记录由信息安工作小组保存，作为内审和管理评审的输入。
实施策略
1) 发现信息安事故后，事件责任部门经理会同发现人，填写《信息安事件报告表》上报给信息安工作小组。
2) 信息安工作小组对事件进行判断，调查取证，根据事件的不同别采取相应的控制措施，填写《信息安事件报告表》。
3) 信息安事件处理之后，信息安工作小组应在《信息安事件报告表》的结论中总结教训，提出预防措施，由相关部门实施。以防止此类事件再次发生。
严重安事件处理流程：
a) 运营安工作人员将安事件发现情况或报告上报相应部门总监和运营安组长；
b) 相应部门总监负责随时跟踪运营安管理组长的处理解决问题过程。
c) 运营安组长记录分析安事件，对安事件进行处理，解决问题，并上报信息安管理小组；
d) 信息安小组指示信息安工作小组协调对事件进行深入分析，必要时可告知相关安厂商，由厂商协助运营安组长处理解决安事件；
e) 信息安工作小组负责协调安商、产品商、集成商配合部门人员共同解决严重安事件；
f) 如果未能解决事件，则转入安事故处理流程；
g) 如果成功处理事件，则做系统恢复和事件总结。
-/gbacfji/-