投标保密方案

2/2保密方案1.公司保密措施为保障信息安全，公司切实推行安全管理，积极预防风险，完善安全保密控制措施。为加强组织领导，公司特制定保密相关制度，对保密工作的审查范围、原则、程序、责任追究等各环节作了明确规定。公司按照“谁主管、谁使用、谁负责”的原则，各相关涉密人员均需与公司签署《保密协议》，明确各个部门和人员的保密责任、义务以及责任追究等事项。同时，公司做好各涉密人员的保密教育和管理工作，加强保密工作的重要性，提高涉密人员的保密工作素质。1.1建立有效的人员保密机制签订保密协议，用合同的机制规范相关人员的行为，一旦泄密相关人员需要支付巨额的赔偿。另外，公司建立了外包服务提供人员的解密、脱密机制。例如，A公司的C员工为B公司提供了IT外包服务。在项目完成之后，C员工在接下来的半年或一年解密、脱密期内不允许为与B公司存在竞争关系、业务相关或相近的公司提供服务，在解密、脱密期结束之后才能再次提供类似的服务，该保密机制有效保障了客户对外包服务提供商安全机制的信任。1.2建立有效的安全管理流程公司建立了有效的安全管理流程，对公司内外网络进行严格的隔离，内部和外部的邮件系统也进行了严格的隔离。信息的访问、存储、传递都必须按照严格的安全规范进行：未经授权不得访问相关信息，未经审批不得传递相关数据。整个公司内部的信息管理严格按照规范的安全流程进行管理。1.3严格的信息化设备管理（1）严禁将公司配发给员工用于办公的计算机转借给非公司员工使用，严禁将公司配发的笔记本电脑带回家使用，严禁利用公司信息化设备资源为第三方从事兼职工作。（2）公司所有硬件服务器统一放在机房内，由公司指定的部门承担管理职责，由专人负责服务器杀毒、升级、备份。（3）非本单位技术人员对我单位的设备、系统等进行维修、维护时，必须由本单位相关技术人员现场全程监督。计算机设备送外维修，必须经过部门负责人批准，并登记备案。送修前，需将设备存储介质内的应用软件和数据等涉及经营管理的内容备份后删除，并进行登记，方可送修。对修复的设备，设备维修人员对应设备进行验收、病毒检测和登记。（4）严格遵守计算机设备使用及安全操作规程和正确的使用方法。任何人不允许私自处理或找非本单位技术人员对信息化设备进行维修及操作，不得擅自拆卸、更换或破坏信息化设备及其部件。（5）计算机的使用部门和个人要保持清洁、安全、良好的计算机设备工作环境，禁止在计算机应用环境中放置易燃易爆、强腐蚀、强磁性等有害计算机设备安全的物品。（6）原则上公司所有终端电脑、服务器都必须设定开机登录密码和屏幕保护密码，对于交换机、防火墙、路由器等网络设备也必须设管理密码。（7）公司所有终端电脑、服务器都必须安装正版杀病毒软件，系统管理员必须对服务器进行定期杀毒、病毒库升级、补丁修复。1.4系统管理员安全管理（1）公司所有服务器，由指定的管理员集中管理。系统管理员权限必须经过公司管理层授权取得。（2）各部门拥有各类服务器的使用权，核心业务部门还拥有相应服务器的管理权，核心业务部门拥有服务器的管理权由公司批准后授予。（3）系统管理员负责各服务器的操作系统环境生成、维护，负责常规用户的技术支持和管理。（4）系统管理员对业务系统进行数据整理、备份、故障恢复等操作，必须有其上级授权，在完成备份后交由公司指定的备份管理部门保存，并做好备份管理登记。（5）系统管理员调离岗位，上级管理者或负责人应及时注销其管理密码并生成新的管理密码。1.5密码与权限管理（1）密码设置应具有安全性、保密性，不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码，也是保护用户自身权益的控制代码。密码设置不应是名字、生日、重复、顺序、规律数字等容易猜测的数字和字符串；（2）密码应每月定期修改，如发现或怀疑密码遗失或泄漏应立即修改，并在设置在机房的密码管理登记薄上记录用户名、修改时间、修改人等内容。（3）服务器、防火墙、路由器、交换机等重要设备的管理密码由指定专人（不参与系统开发和维护的人员）设置和管理，并由密码设置人员将密码装入密码信封，在启封出加盖个人名章或签字后交给密码管理人员存档并登记。如遇特殊情况需要启用封存的密码，必须经过相关部门负责人同意，由密码使用人员向密码管理人员索取，使用完毕后，须立即更改并封存，同时在：“密码管理登记薄”中登记。有关密码授权工作人员调离岗位，有关部门负责人须指定专人接替并对密码立即修改或用户删除同时在“密码管理登记薄”中登记。1.6信息安全管理（1）公司每一位员工都有保守公司信息安全防止泄密的责任，任何人不得向外的任何单位或个人泄露公司技术和商业机密，如因学术交流或论文发表涉及公司技术或商业机密，应提前向公司汇报，并在获得批准同意后，方能以认可的形式对外发布。（2）定期对公司重要信息包括软件代码进行备份，管理人员实施备份操作必须有两人在场，备份完成后，立即交由备份管理部门封存保管。（3）存放备份数据的介质包括U盘、移动硬盘、光盘和纸质，所有备份介质必须明确标识备份内容和时间，并实行异地存放。（4）计算机重要信息资料和数据存储介质的存放、运输安全和保密由公司指定的备份管理部门专人负责，保证存储介质的物理安全。（5）任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让废弃或销毁必须严格按照程序进行逐级审批，以保证备份数据安全完整。（6）数据恢复前，必须对原环境的数据进行备份，防止有用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行，出现问题时由技术部门进行现场技术支持。数据恢复后，必须进行验证、确认，确保数据恢复的完整性和可用性。（7）数据清理前必须对数据进行备份，在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或则永久保存。数据清理的实施应避开业务高峰期避免对联机业务运行造成影响。（8）需要长期保存的数据，数据管理部门须与相关部门指定转存方案，根据转存方案的查询使用方法要在介质有效期内进行转存，防止存储介质过期失效，通过有效的查询、使用方法保证数据的完整性和可用性。转存的数据必须有详细的文档记录。（9）管理部门应对报废设备中存有的程序、数据资料进行备份后清楚，并妥善处理废弃无用的资料和介质，防止泄密。（10）信息主管部门须指定专人负责计算机病毒的防范工作，建立本单位的计算机病毒防治管理制度，经常进行计算机病毒检查，发现病毒及时清除。1.7保密自查要求1.7.1做好日常保密检查工作严格落实保密检查制度，通过保密检查工作，使涉密人员提高保密认识，提高防范失、泄密意识，在日常工作按照保密法律法规、规章制度来规范自己的行为，将保密防范措施落到实处，遵守国家秘密及公司秘密。（1）每月完成对涉密部门（部位）和涉密人员考核检查，并填写自查表。（2）每季度完成对涉密部门负责人的考核检查。（3）加强对公司涉密计算机、非涉密计算机及办公自动化设备设施的检查管理工作。在日常的保密管理与保密检查中，对涉密计算机做好重点检查与监督，并且每半年对公司涉密和非涉密计算机、办公自动化设备进行一次全面的检查。（4）定期对公司保密主要负责人的工作进行检查。保密职责落实情况和各种保密规章制度落实情况。对各项检查，保密办都将做好记录和检查报告。1.7.2做好保密资格认证复查的各项准备工作保密资格认证的审查，监督审查部门高度重视此项工作，充分认识到保密资格复查对公司保密工作的有利作用。进一步健全保密组织机构，严格保密监督管理，加强保密检查与自查，及时整改保密工作中存在的问题，严格执行保密资格标准，落实各项保密工作要求。认真准备保密资格认证复查所需的各种资料，做好各项保密复查准备工作，争取通过保密资格认证的复查。1.7.3增强保密技术防范能力提升保密技术水平，推进保密设施装备建设是增强保密技术防范能力、实现保密管理现代化，加快保密技防设施设备的更新，切实增强防范窃密手段和发现泄密隐患的能力，提高公司技防的能力。尤其是要针对信息化条件下保密工作要求，加大计算机信息系统保密技术防范力度，切实按照要求配备保密设施设备。同时注意保密技术检查设备购买和补充，不断提高公司保密技术检查能力。

2.公司网络安全保密制度2.1保密信息“保密信息”指参与客户方信息化建设、实施和服务等相关工作中接触到的信息和数据。2.2保密人员管理人员、实施人员以及其他受委托、聘用等直接或间接接触客户方保密信息的人员均应履行保密义务，不因人员的流动而免责。2.3保密义务1.保密信息及利用保密信息所形成的工作成果非经客户方书面同意，应负保密责任，不得以任何方式就保密信息及工作成果之部分或全部泄漏、告知、复制、传播、或对外发表、或为自己及第三人使用。2.不得从事下列危害网络与信息安全的活动：(1)不窃取、出售或者非法向他人提供客户方网络攻防演习的企业敏感数据。(2)不为他人实施危害网络安全的活动提供技术支持。(3)不得利用客户方的网络进行任何网络攻击行为。(4)未经允许不可擅自使用拒绝服务攻击手段对客户方系统进行安全检查。(5)不得在运维的设备或系统中植入后门程序等恶意文件。3.遵守如下规定：（1）严格遵守《中华人民共和国网络安全法》、《全国人民代表大会常务委员会关于维护互联网安全的决定》《中华人民共和国电信条例》、《互联网信息服务管理办法》等法律法规和规章的有关规定，对国际互联网网站的信息行为承担法律、行政、民事责任。（2）对于在工作中接触的信息和数据严格保密，不得收集与提供的服务无关的信息，所获知的保密信息须在客户方内部谨慎使用。（3）不进行计算机病毒传播、网络入侵以及通过任何途径外泄涉及公司敏感信息文档、重要信息数据等网络行为（如通过QQ、微信等传输用户使用手册、代码等保密信息，在百度文库、百度云盘、网站上上传保密信息)。（4）不私自在客户方内网局域网中架设各类无线WIFI路由器、随身WIFI设备、集线器等网络设备。（5）在现场实施过程中，必须在客户方指定地点办公，并遵守客户方关于第三方人员管理规定要求。未经许可不得将保密信息带离办公场所。（6）不擅自打听或查阅与工作无关的信息，不利用信息知晓权利，泄露或篡改数据,不为他人获取保密信息提供便利。（7）不打开可疑邮件、垃圾邮件、不明来源邮件提供的附件或网址。（8）不使用非安全移动存储介质存储敏感信息。安全移动存储介质只用于存储工作信息，不用于其它用途。（9）未经授权不得对网络设备、服务器、计算机终端等信息设备进行任何形式的扫描、探测。（10）不得私自向第三方公开发现的漏洞详情及与漏洞相关的任何细节，透露给第三方造成的任何损失均由个人承担。（11）严禁在阿里云、腾讯云、华为云、百度云等互联网云平台或者其他非客户方运营的网络环境上私自搭建开发、测试及演示系统，如有发现应立即通知客户方并对相关系统进行下线、删除相关信息。4.在开展网络与信息安全漏洞和隐患识别相关工作时，不破坏被测系统及相关数据完整性、影响被测系统正常运行，测试结束后，不在系统或设备中驻留任何文件、程序。5.对实施过程中收集的用户信息和数据严