Q/LB.□XXXXX-XXXXII前言本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件由內(nèi)蒙古嘉泰物業(yè)服務(wù)有限公司提出。本文件由內(nèi)蒙古標(biāo)準(zhǔn)化協(xié)會(huì)歸口。本文件起草單位：內(nèi)蒙古嘉泰物業(yè)服務(wù)有限公司、人網(wǎng)（北京）信息科技有限公司、內(nèi)蒙古宏泰物業(yè)服務(wù)評(píng)估監(jiān)理有限公司、內(nèi)蒙古中天億城物業(yè)服務(wù)集團(tuán)有限公司本文件主要起草人：苗文軍、周利兵、王改玲、王波、李樹綠、王鋒、杜云靜、劉欣、李精文、楊娟、宋艷、薛文萍、劉玲玲、李勇、呂文濤、趙利桃、皇甫燕、賈曉峰、安立文、徐秀冬、孫海濤、連海波、楊可心、王東物業(yè)項(xiàng)目信息安全管理規(guī)程范圍本文件規(guī)定了物業(yè)項(xiàng)目信息安全管理的基本要求、項(xiàng)目信息收集、項(xiàng)目信息安全存儲(chǔ)管理、項(xiàng)目信息使用及安全傳遞管理、人員管理與培訓(xùn)、信息安全檢查、應(yīng)急響應(yīng)與處置的要求。本文件適用于物業(yè)項(xiàng)目信息安全管理。規(guī)范性引用文件本文件沒有規(guī)范性引用文件。術(shù)語和定義本文件沒有需要界定的術(shù)語和定義?；疽笤O(shè)立信息安全管理部門，安全管理部門要求如下：設(shè)立負(fù)責(zé)人崗位，并定義負(fù)責(zé)人的職責(zé)。設(shè)立專門的管理員崗位，并定義管理人員崗位職責(zé)。根據(jù)各個(gè)部門和崗位的職責(zé)明確授權(quán)審批部門及批準(zhǔn)人，對(duì)信息收集、傳遞及查閱等關(guān)鍵活動(dòng)進(jìn)行審批，并保存關(guān)鍵活動(dòng)的審批過程記錄；管理員應(yīng)負(fù)責(zé)定期進(jìn)行信息資料安全檢查，檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、網(wǎng)絡(luò)環(huán)境、物理環(huán)境、數(shù)據(jù)備份等情況，并保存檢查記錄。信息收集按照相關(guān)法律法規(guī)對(duì)項(xiàng)目需要的信息進(jìn)行收集。項(xiàng)目信息收集內(nèi)容如下：物業(yè)項(xiàng)目建設(shè)信息；業(yè)主信息；財(cái)務(wù)數(shù)據(jù)；日常管理信息。信息安全存儲(chǔ)管理紙質(zhì)信息資料存儲(chǔ)要求：按照信息類別進(jìn)行分類；設(shè)立專門用于存儲(chǔ)信息檔案的空間設(shè)備；存儲(chǔ)空間應(yīng)干燥、整潔，配置相應(yīng)的防火、防鼠、防潮、防盜設(shè)施。電子檔案信息存儲(chǔ)要求：配置專用的電子信息存儲(chǔ)設(shè)備；設(shè)備和文件采用雙重加密的方式存儲(chǔ)；定期進(jìn)行信息資料的備份，備份件與原件存儲(chǔ)在不同的介質(zhì)中。信息使用及傳遞安全管理根據(jù)物業(yè)項(xiàng)目信息的敏感性、重要性等特征，將其劃分為不同等級(jí)。針對(duì)不同等級(jí)的信息，采取相應(yīng)的物理、技術(shù)和管理措施保護(hù)。根據(jù)職責(zé)和需要，分配相應(yīng)的信息使用及批準(zhǔn)權(quán)限，并定期進(jìn)行審查和更新，并建立信息使用審批流程。嚴(yán)格控制信息的使用權(quán)限，實(shí)行最小權(quán)限原則，確保只有經(jīng)過授權(quán)的人員才能使用相關(guān)信息。信息使用人要按照信息使用審批流程提起信息使用申請(qǐng)，信息管理人員要如實(shí)記錄信息使用日志，包括訪問時(shí)間、人員、操作內(nèi)容等，以便追溯與審計(jì)。通過網(wǎng)絡(luò)需要傳遞使用信息時(shí)，務(wù)必通過安全的、受控的通信通道進(jìn)行，使用強(qiáng)加密標(biāo)準(zhǔn)與協(xié)議，保障傳輸過程中信息的機(jī)密性與完整性，防止竊取和篡改。人員管理與培訓(xùn)人員管理人員錄用人員錄用要求如下：應(yīng)與被錄用人員簽署保密協(xié)議；應(yīng)規(guī)范人員錄用過程，對(duì)被錄用人員的身份、背景、專業(yè)資格和信用記錄等進(jìn)行審查，對(duì)其所具有的技術(shù)、技能進(jìn)行考核，并記錄審查內(nèi)容和審查結(jié)果。人員離崗人員離崗要求如下：應(yīng)規(guī)范人員離崗過程，及時(shí)終止離崗員工的所有訪問權(quán)限，并保存相關(guān)應(yīng)收回系統(tǒng)文件密碼、管理空間鑰匙以及部門提供的軟硬件設(shè)備，并保存相關(guān)記錄；應(yīng)做好信息文件交接，并保存相關(guān)記人員考核應(yīng)定期對(duì)信息管理各崗位的人員進(jìn)行工作考核，并對(duì)考核內(nèi)容和考核結(jié)果等內(nèi)容進(jìn)行記錄，對(duì)違反信息安全管理規(guī)定的人員給予嚴(yán)肅處理，對(duì)造成信息安全事故的依法追究當(dāng)事人和有關(guān)負(fù)責(zé)人的責(zé)任，并以適當(dāng)方式通報(bào)。人員培訓(xùn)針對(duì)不同崗位和職責(zé)，制定信息安全培訓(xùn)計(jì)劃。培訓(xùn)內(nèi)容可以包括信息安全政策、風(fēng)險(xiǎn)防范措施、密碼安全等內(nèi)容。定期開展信息安全培訓(xùn)活動(dòng)，通過宣傳、演練等方式，提高員工的信息安全意識(shí)和技能水平。鼓勵(lì)員工積極參與信息安全管理工作，提出改進(jìn)意見和建議，共同維護(hù)項(xiàng)目信息安全。參與物業(yè)信息系統(tǒng)的用戶、合作方等，也應(yīng)當(dāng)加強(qiáng)對(duì)信息系統(tǒng)安全意識(shí)的培訓(xùn)，提升信息安全保護(hù)認(rèn)知。信息安全檢查應(yīng)認(rèn)真組織開展信息安全檢查工作，掌握信息安全總體狀況和面臨的成脅，查找安全隱患，堵塞安全漏洞，完善安全措施，減少安全風(fēng)險(xiǎn)，提高安全防護(hù)能力。應(yīng)每年進(jìn)行一次全面的信息安全檢查，重點(diǎn)檢查辦公系統(tǒng)、業(yè)務(wù)系統(tǒng)、存儲(chǔ)空間的安全防護(hù)情況。應(yīng)加強(qiáng)檢查工作組織領(lǐng)導(dǎo)，建立檢查工作責(zé)任制，制定檢查工作方案并認(rèn)真落實(shí)。應(yīng)重視安全技術(shù)檢測(cè)，采取必要的技術(shù)檢測(cè)手段對(duì)信息存儲(chǔ)空間、信息存儲(chǔ)終端等進(jìn)行安全檢測(cè)?？筛鶕?jù)需要委托符合要求的檢測(cè)機(jī)構(gòu)進(jìn)行技術(shù)檢測(cè)。應(yīng)加強(qiáng)安全檢查過程中的保密管理和風(fēng)險(xiǎn)控制，嚴(yán)格檢查人員、有關(guān)文檔信息和數(shù)據(jù)信息的安全保密管理，制定安全檢查應(yīng)急預(yù)案，確保被檢查信息的正常。應(yīng)對(duì)安全檢查中發(fā)現(xiàn)的間題進(jìn)行分析研判，制定整改措施并及時(shí)整改。應(yīng)對(duì)年度安全檢查情況進(jìn)行全面總結(jié)，按照要求如實(shí)完成檢查報(bào)告并存檔備查。應(yīng)急響應(yīng)與處置應(yīng)急響應(yīng)應(yīng)建立健全信息安全應(yīng)急工作機(jī)制，提高應(yīng)對(duì)信息安應(yīng)制定信息安全事件應(yīng)急預(yù)案，原則上每年評(píng)估一次，并根據(jù)實(shí)際情況適時(shí)修訂。需要制定的應(yīng)急預(yù)案包括但不限于下列預(yù)案:網(wǎng)絡(luò)或系統(tǒng)故障應(yīng)急預(yù)案;數(shù)據(jù)泄露應(yīng)急預(yù)案;惡意攻擊應(yīng)急預(yù)案;硬件設(shè)備故障應(yīng)急預(yù)案;個(gè)人信息保護(hù)事件預(yù)案;數(shù)據(jù)備份與恢復(fù)預(yù)案;機(jī)房/存儲(chǔ)空間安全事故預(yù)案；自然災(zāi)害預(yù)案；內(nèi)部員工違規(guī)預(yù)案。應(yīng)組織開展應(yīng)急預(yù)案的宣貫培訓(xùn)，確保相關(guān)人員熟悉應(yīng)急預(yù)案。每年應(yīng)開展信息安全應(yīng)急演練，檢驗(yàn)應(yīng)急預(yù)案的可操作性，并將演練情況如實(shí)記錄存檔。應(yīng)建立信息安全事件報(bào)告和通報(bào)機(jī)制，提高預(yù)防預(yù)警能力。應(yīng)明確應(yīng)急技術(shù)支援隊(duì)伍，做好應(yīng)急技術(shù)支援準(zhǔn)備。應(yīng)做好信息安全應(yīng)急物資保障，確保必要的備機(jī)