中建信息化管理手册

中建新疆建工(集团)有限公司cSCECXINJIANGCONSTRUCTION&ENGINEERINGGROUP二O二四年一月 1.4管理原则 1.5主要应对风险 21.6术语和定义 22职责与权限 42.1管理职责 42.2审批权限 53管理要求 5 53.2信息系统推广管理 3.5信息化情况报送 473.6网络安全 4评价与改进 1总则为深入学习贯彻习近平新时代中国特色社会主义思想和党的二十《中国建筑股份有限公司信息化发展管理规定(2020版)》;《中国建筑股份有限公司信息化项目建设管理规定(2020版)》;《中国建筑股份有限公司电子邮件系统管理办法(2020版)》。1.6.1信息化2职责与权限总部总部二级项目1规划规划√2建设设√√√3网络建设√√√√√4设备建设√√√5视频系统建设√√√√6信息系统建设√√7信息系统推广管理信息系统推广√√√√√9信息系统运维√√√√√信息安全√√√√√理√√√设备管理√√√网络管理√√√√√主数据管理√√√视频系√√√√资产管理√√√√√送信息编审管理√√√信息编√网络安全网络安全规划√网络安√√√网络安√√√√√网络安√√√理理√√√核核√1信息化专项规划数字化和网络安全工作领导小组2信息化考核分管领导分管领导3单项信息化投入(包含信息系统、IT基础设施、数据中心、信息化服务等)预算少于50万(含)分管领导主要领导，报备上级主管部门预算大于50万批单位负责人，报上级主管部门审批3.1.1.1管理流程业务部门开始提出需求结束IT基础建设流程信息化管理部门 流程编号信息化分管领导表单/模板是是否分析需求编制方案采购流程否是3.1.1.2工作要求时间责任部门相关部门1需要时业务部门2业务部门信息化管理部门书3分析需求分析业务部门提出功能要求部门业务部门4编制方案算资金，编制实施方案部门业务部门实施方案5组织实施部门业务部门(2)机房核心设备区应保持恒温，温度应保持20—24摄氏度，温度变化率低于5摄氏度每小时，湿度保持在45%—65%;(3)机房主体结构应具有与其功能相适应的耐久性、抗震性和耐火等级。变形缝和伸缩缝不应穿过主机房；(4)机房的操作间和设备间应作分割，应有良好的人机工作环(1)评估信息系统负载；(2)评估已有硬件负载设备采购(1)保证采购硬件的先进性和实用性，避免过早报废。不搞超前消费、造成资金浪费；(2)购置涉密设备时符合有关规定，确保设备的可靠性；(3)关键设备在高冗余环境下运行(双电源、双网络、高可用软件在系统上部署);(4)按照采购流程进行采购设备安装须按照制造商安装说明要求安装，以确保正确安装避免损坏设备设备验收设备完好无损，参数符合需求，且能正常运行因特网带宽专线不低于100M;专线不低于50M;专线不低于20M;商建设自行建设自行建设自行建设企业网建工信息化管理部统一规划、统一部署和统一建设局域网建设负责建工总部建设方案报建工信息化管理部审批后实施由上级信息化管理部门指导建设网络设备企业级路由器、防火企业级路由器、防火企业级路由器品牌国产主流品牌，如华为、H3C、中兴等3.1.5视频会议系统建设要求建设建工总部负责建设总部指导建设二级单位指导建设覆盖范围三级单位及项目部项目部功能级联与股份公司级联与建工总部级联与建工总部级联设备品牌国产或与建工品牌一致注：建工各单位视频系统方案报上级单位审批后方能实施。集团信息化管理部门 否是技术需求说明书 部署安装培训 3.1.6.2工作要求活动时间部门部门1务需求发展规划和相关业务专项发展规划，业务需求书中应明确目标和应用价值，运营总部、二级单位的需求应报建工相关业务部门，由建工业务部门统一编制部门2行性分析报告务需求和已有信息系统功能进行评估信息化主管部门部门3审批性分析报告分管领导4性谈判，必须选择有实施经验的供应商。评标组由信息部门、采购管理部、财务资金部、合约法务部组成信息化主管部门5审按建工合约法务部制定的合同评审流程执行信息化主管部门6成立项目组定工作说明书，明确项目目标、项目成员、工作方式、信息化主管部门需求部门《XXX项目工7案符合建工战略发展规划和相关业务规划，应明确数据源和业务流程，并充分考虑方案落地的可行性按照SOW项目计划组图方案》8开发系统开发系统应采用最新技术，开发系统应充分考虑建工的IT基础设施环境，充分按照SOW项目计划组《XX系统部署9测试系统并组织进行项目组内部测按照SOW中项目计组结果系统如需功能切换，应制订详细的系统切换方案。各试点单位和应用单位应充分参与系统初始化工作。组织好系统上线前的培训工作按照SOW中项目计组试点《操作手册》《设置维护手册》《系统切换信息系统应用推广管理流程集团相关业务部门/集团信息化管理部门 是 关键用户培训 最终用户培训 上线应用 主责部门部门单位信息系统应用键用户(系统管理员)7工作日理部门主责部门部门2调研需求调研，分析差异性并明确上线应用范围10工作日务部门/信息化管理部门二级单位 3培训关键用户建工/运营总部/二级单位安排业务骨干作为关键用户，关键用户(系统管理员)应全职参与系统上线工作作日化管理部门建工/运营总部/二级一4数据和动态数据建工/运营总部/二级单位关织本业务的人员进行数据搜集，提供真实准确的数据1.5月建工/运营总建工相关信息化管理部门5用户建工/运营总部/二级单位应组织最终用户培训，最终用户通过培训考核后才能应用系统5工作日务部门/运营总部/信息化管理部门二级单位业务部门3.3.1.1信息系统检查维护(1)管理流程系统管理员否是 否否是需要开发否(2)工作要求活动时间部门部门1月度管理员2异常分析因填写异常处理记录表当天处理管理员3理方案3天内管理员4处理异常充分评估方案实施风险，做好数据备布公告，通知用户3天内管理员3.3.1.2人员账号、权限变更管理(1)管理流程图人员账号、权限变更管理流程流程编号业务部门人力资源部/申请部门信息系统管理部门开始 申请变更否是审批 结束(2)工作要求活动时间责任部门部门1申请变更1.一般变更：业务部门提交申司领导账号变更由办公室提出申请；统建系统由人资系统变更后自动推送等外部检查使用)由业务主管部门申请审批生后一周内业务部门21.一般变动：按人力资源系统人员异动审批结果分级变更1天内管理部门活动时间责任部门部门审批结果处理3权限检查季度信息系统管理部门《权限检注：账号、权限变更包含用户账号新建、注销、变更所属组织3.3.1.3用户问题处理流程(1)管理流程用户业务部门/关键用户信息系统部门/信息化部门 否是 否是否需要开发是问题处理方案(2)工作要求活动时间部门相关部门能正常登录最终用户活动时间部门相关部门2分析错误产生原因，再现问解决费用3天内系统管理员用户问题3审批方案管理部门4发布方案在指定系统内的相关栏目户或管理员查阅及时系统管理员5帮助用户解决系统问题及时管理员3.3.1.4系统设置变更工作流程(1)管理流程评价编制方案是是启用功能(2)工作要求活动时间主责部门相关部门1提出需求他软件建立接口等，填写功能申需要时门、关键用户信息化管理部门2审批的安全性等3天内管理部门信息化管理部门活动时间主责部门相关部门3编制方案3天内管理部门信息化管理部门4方案实施人员，按预定方案实施，并做好功能测试。应提前发布公告。停机实施应放在周末或节假日3天内管理部门信息化管理部门5功能管理员应反复测试、调整该功能，达到用户需求目标一周管理部门业务部门6时反馈问题，以便调整3天内门、关键用户3.3.1.5两化融合业务流程梳理(1)管理流程两化融合业务流程梳理信息系统部门/信息化部门业务部门/关键用户业务部门负责人、需求审核 是否标准化审核 结束(2)管理要求活动时间部门部门需要活动时间部门部门求理方式调整时门、关键用户理与建设需求2需求审核信息系统管理员对业务需求的1天管理部门3板信息系统管理部门制定梳理系统功能与手册管理要求模板内信息系统管理部门信息化管理部门务梳理&建设需4功能梳理5日内务部门5业务审核后续工作环节3日内门负责管领导部门负责管领导6业务调研了解3日内信息系统管理部门信息化管理部门7程等技术开发系列流程工作7日内信息系统管理部门信息化管理部门8发布为附录随本业务管理手册同步管理务部门活动时间部门部门计、测试完成经业务部门验收务部门通知上线使用收日3.3.1.6应用培训(1)管理流程信息系统部门/信息化部门 组织培训、相 审批 总结归档(2)管理要求时间部门相关部门1部门需要时部门部(见人资管理手册)2审批领导日部门及分管领导部门3组织培训、工作人员名单、参训人员接部门部门4准备按培训申请内容准备培需求申个工作日部门部门时间部门相关部门5收集培训后参培人员对培训效果的意见反馈表培训后2工作日业务主管部门部门培训反馈表(见人资管理手册)6总结归档对培训的反馈意见做总结；对培训资料整理归档，形成知识积累工作日部门信息化管理部3.3.1.7信息审核(1)办公平台主要栏目权限审核责任部门公司新闻党委工作部及时部门负责人各部门及时部门负责人通知公告各部门及时部门负责人规章制度企业策划与管理部及时栏目专员党委工作部/工会工作部及时栏目专员纪检监察纪检监督工作部及时栏目专员文件中心办公室/党委工作部/工会工作部/纪检监督工作部及时栏目专员办公室/党委工作部/工会工作部/纪检监督工作部及时栏目专员一周工作动态办公室及时栏目专员工作简报各部门及时部门负责人交流园地各部门及时部门负责人各部门及时部门负责人公文处理各部门及时部门负责人各部门及时部门负责人各部门及时部门负责人系统管理信息化管理部门及时栏目专员(2)建工互联网信息发布权限审核责任部门企业简介党委工作部部门负责人组织结构企业策划与管理部部门负责人责任部门管理团队办公室部门负责人党委工作部部门负责人公司快讯党委工作部部门负责人图片新闻党委工作部部门负责人建工专题党委工作部/纪检监督工作部企业刊物党委工作部部门负责人市场部/海外部/投资部部门负责人科技部部门负责人和谐建工党委工作部/工会工作部部门负责人职业发展人力资源部部门负责人资源配置项管部/采购部部门负责人资质荣誉党委工作部/市场部部门负责人信息化管理部门部门负责人责任部门用户维护审核用户审核10A系统办公室/信息化管理部√√√√√√2办公室√√√√√3网站建工党委工作部√√√√4财务资金部/信息化管理部√√√√√5办公室/信息化管理部√√√√6邮件系统办公室/信息化管理部√√7人力资源系统人力资源部√√√√责任部门用户维护审核用户审核8股份公司办公平台办公室/信息化管理部√√9约法务部/项目管理部√√系统审计部√√管理平台科技部√√约管理系统合约法务部√√股份公司投资管理系统投资部√√股份公司客户管理系统市场部√√财务资金部√√实名制管理系统项目管理部√√管理系统企业策划与管理部√√智联平台项目管理部√√门禁系统办公室/信息化管理部√√√√√√办公室/信息化管理部√√√√√财务一体化平台财务资金部/信息化管理部√√√√√√主数据系统信息化管理部√√√√√√中建智慧安全平台安全生产监督管理部/信息化管理部√√√√√中建通信息化管理部门√√√√√√责任部门用户维护信息审核用户审核活动1维护(1)日常检查，指平台管理员到岗后首先登录平台，查看登录是否有异常。查看内容包括登录速度，是否有报错页面，登录人数，信息是否能正常查看。未发现异常不需留记录；(2)月度检查，指平台管理员于每月初对办公平台做一次全面检查，检查内容包括平台用户总数，信息发布总量，邮件总量，文件总量，日志，备份文件总量，应用服务是否正常，遗留问题处理进度。填写月度检查记录表，报送部门负责人2设置变更包括增加栏目、增加流程、增加组织、设置权限、与其他软件建立接口等系统管理工作3用户(1)账号变更包括：1增账号；2.销账号；3.变更单位；4.离职停用，应注明停用原因：退休、病退、死亡、离职；更1.新增账号需以分配账号为登录账号；2.临时账号应设置使用期限；3.任何停用账号不允许直接删除，只做停用处理，退休、病退账号回收岗位权限，信息发布权限，不做停用处理(3)做好账户管理维护台账4用户问题处理5备份3.3.2.2.20A流程效能管理3.3.2.2.2.1管理目的3.3.2.2.2.2管理内容(1)运用信息系统的流程统计分析工具，做好各类业务流程多层面的效能(2)工作要求时间部门部门1分析季度信息化管理部门企划部2流程较多的人员(含所属部门)排名，五个工作信息化管理部门企划部3程(含流程名、时长)及人员(含所属部门、时长)信息，督促提升流程使用效率。五个工作信息化管理部门企划部4办理效五个工作信息化管理部门企划部5流程办理情况统计五个信息化管理部企划部时间部门部门工作3.3.2.3门禁系统维护规定1日常保养维护的门禁是否正常在线2用户权限变更(1)新增门禁卡；(2)修改门禁卡权限；(3)补办门禁卡；(4)回收门禁卡(1)门禁权限变更需要在办公平台中提交门禁卡业务办理申请，按流程要求填写相应信息，待审批结束后进行业务办(2)回收门禁卡，不应对门禁卡进行注销，而是应办理停用34备份3.3.2.4服务器操作系统1检查维护操作系统每月检查一次，应在业务系统应用高峰时期检查CPU,2设置变更按照业务系统应用需求安装操作系统版本，操作系统必须为正修改操作系统登记表中参数配置3用户权限变更由管理员依据审核结果进行处理4备份3.3.2.5数据库系统1检查维护检查数据库告警日志、检查数据库系统用户登录日志，检查数据库表空间，系统异常日志，备份日志和数据磁带检查2备份3.3.2.6邮件系统文档建工总部(1)提供邮件系统应用技术支持；(2)负责建工及派出机构人员的邮箱账号维护工作；(3)配置运营总部、二级单位邮箱管理员；(4)督导二级单位邮箱管理员做好邮箱管理及安全专项整治工作运营总部、二级单位、(1)申请开通邮箱使用及申报系统管理员变更；(2)负责本单位所有邮箱用户的管理维护及指导本单位员工使用工作系统申请表》推广应用手段提供信息交换的通信、交流方式，是中建股份基础信息化服务之一；各级单位应统一使用中国建筑电子邮件系统；本系统传递与工作无关的信息；账户收发电子邮件的结果负责；用户承担因箱被盗用的相关责任和后果；反者由中建股份移交相关证据至司法机关，追究当事人法律责任；企业形象、涉及企业商业秘密及其他企业制度中规定禁止传播的信息，违反者按照公司有关规定处理；个工作日内对邮件账户进行相应变动；账户及权限准确；2组织账户命名(1)电子邮件系统中的组织机构或部门名称可以参照使用人力资源系统及主数据系统中的单位或部门名称缩写；的一种符号进行区分，符号不得重复使用；(3)邮件账户名中所有英文字母为小写半角英文，所有数字、符号均为半角。考虑到员工可能在中建系统内不同组织机构间调动，员工邮件账户中不建议包含组织机构信息；(4)各单位、部门或专业软件系统使用的公共邮件账户应包含组织3申请邮件维护(1)由人力资源部门发出人员异动通知，本单位电子邮件系统管理员接到通知后开通新账户；(2)新开通账户需提供用户姓名、性别、身份证号、手机号、所在部门及部门内排序位置等信息。对于短期开通的邮件账户需提供使用起止时间；(3)邮件账户中的个人信息由用户本人维护和更新公共邮箱(专用邮箱):(1)各部门或下属单位因业务需要，可由实际使用部门以邮件方式向所在单位邮件管理员提出申请，并由所在单位电子邮件系统管理员核实需求后开设公共邮箱(专用邮箱);(2)申请部门需说明邮箱用途，并提供邮箱名称、空间需求、在企业通讯录中排序位置、使用起止时间等信息，邮箱的责任人；(3)公共邮箱的基本信息由管理和使用的责任人维护和更新；(4)当公共邮箱使用责任人发生变动时，必须及时通知本单位电子邮件管理员变更相关信息4账户管理部门申请，再由建工总部向上级单位申请调整账户所属机构；(2)当用户在建工各二、三级单位间调动时，由调入二、三级单位电子邮件管理员以电子邮件方式向上一级邮件管理员申请实施；(3)申请时需提供调动原因、调动邮件账户名称、调职前后的单位及部门名称、是否存在兼职情况等信息。对于短期借调的用户，申请部门必须说明该用户临时调入的起止时间。上到申请并核实后，在邮件系统中操作完成调动5账户用户退休或离职时，由用户所属单位人力资源管理部门向本单位电子邮件系统管理部门提供人员离职信息。电子邮件系统管理员接到信息后，在1个工作日内对有关账户进行锁关账号及邮件历史信息后，在30日内操作注销。如有特殊保留需求的，该用户所属部门需向本单位电子邮件管理部门说明邮件账户保留期限6用户应完善邮件账户资料，通过预设问题或短信验证码方式自主找回密码。因邮件账户密码丢失且无法找回的情况下，用户需向本单7邮箱扩容电子邮件系统为每个邮件账户默认分配5GB邮件及附件存储空如邮箱容量不能满足用户工作需要，可向电子邮件管理员申请扩充3.3.2.7财务一体化平台责任部门1系统运维二级单位财务运维人员及时响应、处理本单位用户反馈的系统应用问题，对无法处理的问题及时提交建工信息化管理部，业务问题由业务信息化管理部门财务资金部金融业务部2设置变更增加项目、人员、部门、客商、流程、组织、统管理工作信息化管理部财务资金部金融业务部3功能推广组织实施财务一体化平台新功能推广应用，包含功能测试、操作手册编制、用户培训、结果信息化管理部财务资金部金融业务部4用户培训组织开展财务一体化平台基础操作培训信息化管理部财务资金部金融业务部活动时间1数据操作安全发生时管理部门2数据使用安全问题及时纠正错误；(2)一般操作用户人员离开工作岗位，账号应当给予停用；(4)禁止使用私人渠道传递企业信息发生时管理部门3用户口令用户本人提出申请；(3)用户要注重保管好账户与口发生时管理部门4办公资料安全所有员工的办公资料每月都需自单位及项目部3.3.3.2数据备份相关规定时间主责部门相关部门1备份月度对系统进行全备份，每日对系统每月和每日部门/数据管理员日常备份2备份日志检查检查备份是否正常完成备份结束后部门/数据管理员日常备份3备份对备份完成情况确认备份后部门负责人日常备份4异地保存数据对备份介质进行异备份后办公室档案管理员管理部门异地备份3.3.3.3防病毒相关规定时间部门1识(1)计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码；(2)对计算机信息系统使用人员进行计算机病毒防治教育和培训发生时管理部门2建立防计算机病毒制度(1)建工总部和运营总部、二级单位必须建立网测、清除的记录；(2)所有员工办公电脑必须安装正版杀毒软件，并定期查杀一月管理部门3.3.4.1设备监控文档1建账建立机房各类设备的台账，调整时及时更新《设备台2以及调阅硬件运作自检报告每周3文档4检查温湿度5电源月6月3.3.4.2出入管理活动文档1外来人员出入(1)非机房工作人员未经允许不得随意进入机房；(2)外来人员进入机房必须有机房主管部门批准并进行登记；(3)外来人员进入机房必须有机房主管部门专人陪同员进出登2(1)未经允许，机房内不得随意拍照和摄影；慑的物品；(3)机房所有的工作人员进入机房必须穿戴防尘离开机房要换去防尘鞋；(4)机房门必须随时关闭上锁，但不得反锁文档1对涉密场所周边环境进行检查，对安保人员涉密场所外部环境的巡逻进行检查月见《涉密场所管理制2检查物理防护设备态是否正常月3涉密场所监控系统的运行状态月4月5检查人员进出检查涉密场所人员进出是否符合规定月6检查设备使用检查涉密场所设备使用是否符合规定月3.3.5.1.2出入管理文档1外来人员出入(1)外来人员进出机房必须有机房主管部门批准并进行登记；(2)工作人员离开涉密场所，应将信息设备锁定；工作人员下班或节假日期间，应关闭信息设备，锁好门窗，切断电源，涉密载体及相关保密设备应放入保密柜中见《涉密2(1)严禁将具有拍照、录音、录像等信息存储、无线传输功能(wifi、蓝牙、红外)的设备带入涉密场所；(2)外来人员进入涉密机房，必须有指定的涉密人员全程旁站陪同3.3.5.2.1设备使用管理部门1办公室、信息化管理部门资质文件2办公室、信息化管理部门资质文件3办公室、信息化管理部门4办公室、信息化管理部门3.3.5.2.2设备信息管理相关部门1涉密计算机禁止连接互联网及非涉密网络管理部门各业务部门及项目部2禁止在非涉密计算机上处理涉密信息；管理部门各业务部门及项目部3管理部门各业务部门及项目部相关部门4私自安装计算机软件和擅自拆卸计算机设备办公室、信息化管理部门各业务部门及项目部5办公室、信息化管理部门各业务部门及项目部3.3.5.2.3设备维护管理主责部门相关部门1常开机、设备指示灯是否正常等)以及查阅硬件运行日志办公室、信息化管理部门2办公室、信息化管理部门各业务部门及项目部3审核办公室、信息化管理部门各业务部门及项目部4全保密措施(如将涉密信息转存、删除、异地转移存储媒体等)办公室、信息化管理部门各业务部门及项目部5修时，应全程旁站陪同办公室、信息化管理部门各业务部门及项目部3.3.6设备管理3.3.6.1设备维修管理时间责任部门部门文档1理方案及时信息化管理部门/系统管理员2处理故障及时信息化管理部门/系统管理员障维修记3.3.6.2设备升级更新管理(1)管理流程系统管理员信息化管理部门 否审核是否审批是 审批是(2)工作要求时间部门文档1升级申请需要时部门申请表2升级方案部件和升级需要的费用/管理员设备登记表3审批审批升级申请和升级方案时间部门文档一周/管理员 文档1管理网络架构维护网络拓扑图，有变动，在变动后一周内更新网络拓扑图2管理网络设备(1)网络设备提供网络服务必须保证全天运行。必须有专人负责管理，网络管理人员每天至少查看系统是否正常运行，各项服务是否正常。发现异常及时解决，每天必须做《网络设备清3设备日志网络管理员必须每天做好网络运行日志，记录重大网络事件及时填写网络运行日志，并定期对日志进行分析，提出改进意见及措施4管理上网行为用视频、P2P软件下载、炒股、游戏和访问其它与工作无关的软件。如工作需要，经本部门领导同意，向信息化管《网络开放申5局域网IP管理网络管理员对网络IP地址统一管理，有变动及时更新6企业网IP管理建工信息化管理部负责企业网IP资源总体规划，运营总部、二级单位信息化管理部门负责本企业IP地址分配和规划工作7公网IP管理网络地址由信息化管理部门统一管理，业务部门需要使用公网IP地址，需向信息化管理部门申请，经信息化管理部门负责人批准后，由网络工程师配置发端口申请8(1)建工域名由建工信息化管理部备案、管理和维护；(2)运营总部、二级单位申请的域名由运营总部、二级单位信息化管理部门备案、管理和维护；(3)业务部门或运营总部、二级单位使用二级域名要向建工信息化管理部申请《域名使用申9《专线台账登网络运维培训结合各单位网络运维工作情况，适时开展专项培训，学习掌握核心路由、防火墙、核心交换机、AP控制器等主要网文档3.3.8视频会议系统3.3.8.1管理流程图申请视频会议流程总部部门 申请召开视频会议 否范围、联调时间 视频会议通知(参考)3.3.8.2工作要点时间主责部门相关部门1总部部门申请召开视频会议用于公司内部召开的提前3个工作日总部发起部门管理部《视频会议台2运营总部/二级单位申请召用于公司内部召开的一周管理部《视频会议台3审批备、账号有无冲突管理部时间主责部门相关部门4建工总部端起部门5运营总部/二级单位确认参会范围确定参加会议的范围6建工总部发起联调调时间管理部7运营总部/二级单位发起联调调时间8建工总部正式会议提前一小时管理部9运营总部/二提前一小时运营总部/二级单位填写按表单内要求详细填写内3.3.8.3职责分工1部(1)负责制定建工视频会议操作指引，规范视频联调保障工作；(3)负责总部视频会议资源的按需分配、动态调整及分级授权；(4)定期组织各级单位会议管理员开展视频会议培训；(5)对各分会场视频会议日常工作情况进行监督检查；(6)负责登记建工视频会议台账2各业务部门(1)统计本部门视频会议信息，提前一天将会议信息发送至信息化管理部视频会议管理员；(2)预定视频会议室，如会议室有冲突，需要协调会议室的使用；(3)负责视频会议辅流的播放测试3二级单位信息化管理部门(1)负责配合建工总部做好日常视频会议的保障；(2)做好本单位的视频会议保障，指导下级单位(三级单位及项目部)视频会议操作、台账登记等工作；(3)本单位会议设备日常维护管理，帮助下级单位做好设备维护管理(1)配合建工总部、二级单位做好日常视频会议的保障工作，按时参加联调及会议保障工作。(2)本单位会议设备的管理及维护3.3.8.4使用规定1主数据标准风险与合规管理要求防范应对主数据标准不统一影响业务系统数据集成和连通，导致各业务系统数据统计分析口径和结果不一致的风险2主数据质量风险与合规管理要求防范应对主数据质量问题导致各业务系统数据质量不高，影响公司经营分析决策的风险，规避增3安全风险主数据安全风险与合规管理要求防范主数据在使用过程中，对安全技术措施规划不周密、实施控制不严格，导致主数据被非法窃取、篡改产生的风险4主数据运维风险与合规管理要求防范应对主数据运维过程中，由产生数据标准不统一、数据质量不高及被非法窃取、篡改的风险3.3.9.3职责分工1管理部(1)根据股份公司主数据管理的各项制度、标准和规范，结合细则；(2)推动股份公司主数据管理相关制度和细则在本单位的落参与股份公司主数据相关标准的梳理和制定；相关需求和问题及时反馈至股份公司信息化管理部并跟进落实；(4)负责数据质量审核及系统运维2各业务部门总部各业务部门根据自身管理的业务范围，以及对数据的使用需求，承担本部门主数据信息增加、变更及其他业务需求。各业务部门根据实际业务情况向本单位信息化管理部门提出相应主数据的应用需求、建议；及时反馈相关主数据在应用过程中发现的各类问题，并协助本单位信息化管理部开展主数据管理工作3二级单位建工总部信息化管理部开展主数据平台数据治理，协助业务部门开展统建系统数据梳理3.3.9.4主数据标准管理3.3.9.5主数据质量管理3.3.9.5.1质量检查内容内容1准的要求23时效性4一致性反映同一业务实体的主数据及其属性是否具有一致的定义和含义5安全性主数据是否在可控、安全的范围内发布和使用6唯一性主数据是否唯一，是否存在重复项3.3.9.5.2质量检查方式1管理工具2针对主数据管理平台尚未能支持的主数据质量自动检核功能，由信息化管理部会同业务部门采用人工检核方法进行主数据质量检查3.3.9.5.3质量问题整改3.3.9.6主数据平台运维管理3.3.9.6.1主数据新增、变更管理主责部门1据人力资源部信息化管理部2公司主数据写公司基本信息推送主数据补录其他主数据系统新增财务资金部信息化管理部企业策划与管理部人力资源部文3据核各业务部门信息化管理部发票、收据(盖章)等4主数据财务资金部科技质量部信息化管理部项文件5项目主数据项目管理部在主数据系统发起项目新系统既定流程审核项目管理部财务资金部安全生产监督管理部信息化管理部项目立项文件6项目部主数据安全部在主数据系统里发起项目部主安全生产监督管理部信息化管理部项目部-新增7部门主数据财务资金部企业策划与管理部信息化管理部文(1)管理流程二级单位业务部门/信息化管理部门数据新增、否核否是否审审(2)工作要求序号活动时间主责部门部门2二级单位审核二级单位业务部门/信息化部门审核1工作日二级单位业务部门/信息化部门3建工总部审核实性、合理性和合规性1工作日信息化管理部4股份信息化管理部审批3工作日部3.3.9.6.3主数据权限管理3.3.9.6.3.1主数据角色权限申请管理(1)管理流程二级单位信息化部门 角色权限新增、 否审(2)工作要求序号活动时间主责部门部门1角色权限新申请运营总部/二级单位/三级单位/项目部角色申请单2二级单位审核二级单位信息化部门审核用户1工作日二级单位信息化部门3建工总部审核信息化管理部审核申报主数据的真实性、合理性和合规性1工作日部(1)管理流程二级单位信息化部门 数据权限新增、否是否审核是(2)工作管理活动时间主责部门部门1用户在主数据系统发起数据运营总部/二级单位/三级单位/项目部据权2二级单位审核二级单位信息化部门审核用1工作日二级单位信息化部门3建工总部审核1工作日部3.3.9.6.3.3主数据管理员申请管理(1)管理流程主数据管理员权限申请流程主数据管理员权限申请流程(2)工作管理活动时间主责部门部门1管理员权限申请申请二级管理员权限二级单位信息化部门管理员申2建工总部审核信息化管理部审核申报主数据的真实性、合理性和合规性1工作日信息化管理部3管理部审批2工作日股份信息化管理部问题1问题由本单位运维人员收集整理用户反馈问题予以解决，无法解决的问题反馈至上一级2系统问题(1)数据问题：批量数据错误，数据紊乱对主数据系统有影响并且需要系统厂商后台协助处理的问题；(2)BUG类问题：系统运行报错，系统操作报错致使系统不能正常进行业务并且需要系统厂商后台协助处理的问题由信息化管理部收集3问题工运维人员提出系统功能优化或系统逻辑优化申请由本单位运维人员收集整理用户需求反馈至信息化管理部，经分析、评估，提交股3.4.1.1管理流程图是 部主管部门 否是否 子公司集团否是是 结束3.4.1.2工作要点时间主责部门/岗部门1件著作申请书编写需要时软件著作权申2审核审核申请资料，提出审批意见代码和明书3审批审核申请资料，提出审批意见一周内门/主管领导/4组织申报组织相关单位向国家知识产权局提出随时门5权证书按时交纳相关费用，及时获得软件著作权证书随时门6维护负责本单位获取的著作权维护，并及时将授权、申请及变动情况上报建工随时单位信息化管理部门软件著负责本单位获取的著作权维护，及时更新著作权统计表随时建工信息化管理部 3.4.1.3版权登记文档建工信息化管理部(1)登记部署在建工管理的各信息系统使用的软件；(2)登记建工总部机关及派出机关使用的软件；(3)检查二级单位正版软件登记表版软件登运营总部/二级单位信息化管理部门(1)本单位所有单位和项目使用软件进行登记；(2)负责本单位正版软件的维护和升级3.4.1.4软件正版化3.4.1.4.1工作原则数字化和网络安全工作领导小组是软件正版化工作的最高领导机3.4.1.4.2.2工作小组职责3.4.1.4.2.3软件使用部门职责负责配合数字化和网络安全工作小组做好软件正版化工作，督促3.4.1.4.2.4员工职责不得故意规避或者破坏软件著作权人为保护其著作权而采用的技3.4.1.4.2.5相关管理规定活动部门部门部门活动部门部门(2)软件使用部门对工具软件、专业软件采购计划填写后报信息化部门进行统一审核、费用申请。计划表2集中办公电脑或服务器的系统软件、工具软件批量采购时，应通过集中采购渠道采购；各业务的专用软件应通过行业主管部门统一渠道采购，并向本单位信息化部门报备管理部门3(1)信息化管理部门不得为任何单位和员工提造成的版权问题由个人承担；(3)业务部门负责专业软件的使用、登记、保管；(4)信息化管理建立台账，详实记录每次采购的信息(如采购时间、名称、版本号、授权期限等)管理部门/业务部门用户软件登记4管理建工信息化管理部、各业务系统、运营总部、子(分)公司开发的应用软件(含软件有关的文档、部门5的检查工作，抽查员工使用的电脑，发现使用非正版软件(字体),立即进行删除处理管理部门6意识培训与宣传定期开展使用正版软件意识培训宣传工作，提高员工法律意识，规范员工使用正版软件信息化管理部门用户1同负责验收，并由购买部门填写“固定资产验收清单”一式3份，在验收清单中应详细填写硬件固定资产名《固定资产验2登记设置硬件资产实物台账，及时更新台账表》3盘点年底进行软、硬件资产盘点4处置时调整资产台账表建工信息系统部门 审核是是 审核 3.5.4.2工作要求时间部门部门1制定信息年初管理部门2督导采集每月管理部门3提供信息的信息化工作动态信息报送单每月28日前管理部门位、信息系统部门4审核性要求，如信息内容、图片质量等每月28日前系统部门一5次月10日前管理部6统计分析统计分析和总结评价半年期管理部工作类别内容1信息加职责落实中建股份及建工信息化工作要求，制定建工信息化信息报送工作方案，明确报送任务内容、工作评价指标等负责组织信息化工作宣传报道写作培训负责每月一次，对提供信息进行选择、加工、修改、编写、汇集、定稿、送审工作加强对各单位信息提供人员的培训，培养一支信息化召开业务例会，及时向主管部门负责人汇报工作，并接受负责人分派的其他负责统计每次各单位、部门提供信息及采用信息篇数，并编制形成信息台账2信息处理网上提供来的信息要及时放置各单位的信息提供文件夹内，有疑问要及时与提供者联系3审定实行审核机制，信息加工编辑完成后，提交主管部门领导审定3.6.4.1主体责任3.6.4.2机构组成2网络安全办公室公司网络安全办公室设在信息化管理部，是网络安全工作的管理机构，负责网络安全工作的推进与落实，执行数字化与网络安全工作领导小组交办的各项工作3部门负责本部门相关业务信息系统建设与使用过程中与网络安全相关工作的管理，配合落实完成网络安全各项工作，并承担相应网络安全责任3.6.4.3网络安全组织职责1建工总部(1)负责审议公司网络安全方针、策略；(2)负责提出公司网络安全管理要求，审议网络安全规(3)负责审议重大网络安全(4)负责定期评审公司网络安全管理工作情况；(5)负责对公司信息化项目建设立项进行审批；(6)负责对公司重大网络安(2)负责信息化项目建设过程中，与网络安全相关工作的全流程管理；负责开展网络安应急管理；负责与外部网络安全专家或机构之间的联系沟通；整体协调、管理及运营工作负责攻防演习、重大网络安全事件的具体协调和沟通工作2各子(1)负责参照建工总部要求提出本企业网络安全管理要求及网络安全规划；(2)负责审议本企业网络安全方针、策略；(3)负责审议本企业重大网络安全活动：(4)负责定期评审本企业网络安全管理工作情况；(5)负责对本企业重大网络安全事件进行商议；(6)负责与建工总部领导小(1)负责制定本企业网络安全方针、策略、建工总部；(2)负责配合建工开展网络安全检查与评估、教育与培训；负责本企业网络安全应急管理；负责落实建工总部网络安全绩效考核各项指标，做好网络安全迎检工作；备案；负责本企业网络安全日常整体协调、管理及运营工作负责配合建工开展攻防演习、重大网络安全事件的具体协调和沟通工作3部门(1)负责本部门相关业务信息系统应用层面的网络安全管理及本部门网络活动安全；(2)负责将对口上级主管单位对业务的最新网络安全要求提交网络安全办公室，并配合(3)负责配合网络安全检查及整改落实工作1安全审核机制2作机制(1)信息化管理部应加强各类管理人员、内部机构之间的沟通与合作，讨论网络安全形势，商议、处理网络安全问题。定期召开协调会议，共同协作处理网络安全问题；(2)信息化管理部应建立与监管单位、公安机关、兄弟单位的沟通、合作机制，不定期组织网的时候能够及时得到支持和帮助3安全检查机制(1)网络安全检查分为内部检查和外部检查。内部检查指信息化管理部定期执行的网络安全检查；外部检查包括网络安全执法检查及行业监管检查；(2)信息化管理部执行的网络安全检查内容包括现有网络安全技术措施的有效性、网络安全配置与网络安全策略的一致性、网络安全管理制度的执行情况、网络安全策略及网络安全记录有效性、系统漏洞和数据备份情况等。网年组织一次4安全风险机制(1)信息化管理部制定风险评估计划，根据实际情况选择自评估险评估结果实施整改；(2)网络安全风险评估流程包括网络安全风险评估准备、资产识别、威胁识别、脆弱性识别、安全措施有效性分析、网络安全风险分析、网络安全风险处置与管理等，应明确各流程的操作方法和规范3.6.7人员网络安全管理3.6.7.1职责分工1管理部负责公司全体员工(含实习生)在岗、转岗、离岗及退休等过程的网络安全管理工作，落实公司全体员工网络安全教育培训工作，负责对各部门外部人员网络安全管理落实情况进行监督2各业务部门负责本部门员工及外部人员网络安全管理，并对其网络安全行为负责3.6.7.2人员安全管理1内部员工(1)员工转岗、离岗前应先终止岗位责任、归还IT资产并撤销相关访问权限；新员工在正式上岗前，信息化管理部应组织岗位人员开展专业技术培训，并进行书面考核；员工账号密码设置及使用应严格遵守密码安全的相关管理要求，以保证账号及密码安全性；(2)员工应严格遵守电子邮件使用管理要求，不得使用工作邮箱账号发送与工作无关的内容，提高对电子邮件病毒的防范意识；员工应严格遵守信息化资产使用管理要求，不得擅自安装未经许可的软件，桌面电脑操作系统和软件必须使用正版，不允许私自重装系统2外部人员(1)应对外部人员进行网络安全宣贯，确保其知悉并遵守公司网络安全相关制度；(2)应明确外部人员在管理、使用和维护网络系统，安装部署网络产品和提供信息技术服务等活动中应遵守的网络安全要求，并明确其网络安全角色和责任；(3)外部人员进入办公场地开始工作前，应确保其签订了保密(4)临时外部人员进入时，应在前台出示有效证件，登记相关信息，对接人负责领进并全程陪同；(5)驻场外部人员进入时，应提交身份证复印件、工作证明及其他按合同应提供资料，并在规定地点办公，不得擅自变更办公位置3.6.8.1职责分工1管理部(1)负责对信息系统安全设计方案进行评审，并负责对信息系统安全设计、软件开发、实施过程、测试验收等全流程工作的落实情况进行监督检查；负责指导开展信息系统定级、备案、等级测评工作，并对等级测评工作落实情况进行监督检查；(2)负责形成各系统等级保护对象相关产品的采购候选供应商选择、服务监督、供应链管理等管理部(3)负责对各系统等级保护对象相关产品采购需求进行审核；负责对各系统服务供应商网络安全管理落实情况进行监督检查；负责组织实施信息系统安全方案设计、软件的工作；负责根据网络安全等级保护要求开展信息系统定级、备案和测评工作；2各业务部门心开展信息系统定级、备案和测评工作1网络安全应制定明确的采购流程，根据等级保护要求对拟选用的网络安全产品进行选型与测试，确保网络安全产品采购和使用符合国家有关规定和要求。在采购密码产品时，应遵循相关法律标准和国家密码管理部门的要求。产品采购到货后应加强产品的交2网络安全计规范。在需求分析与设计阶段，应确定保护对象等级，参照安全设计规范开展网络安全需求分析及方案设计工作，制定详细的设计方案，经信息化管理部审核或相关专家评审通过后正式进行实施3软件开发安全发规范。在保护对象开发与建设阶段，应对软件开发(含自行开发和外包开发)、测试及上线、维护和支持全过程进行网络安全管理。应确保开发环境安全，将开发环境、测试环境和生产环境隔离，并加强接入开发和测试环境计算机设备和软件的安全性保护。系统开发过程中数据安全的管理应严格遵守数据安全管理的相关管理要求4实施过程安全详细的工程实施方案。项目管理人员应做好网络安全工程实施过程的风险控制管理，避免因第三方人员恶意操作或误操作带来的网络安全隐患5收与交付收工作。应加强对项目的交付管理，并对系统运维人员进行相应的技术培训6系统维护规范。应明确系统的维护管理，系统管理员需对系统进行监控以掌握系统的安全状况，定期对运行日志进行分析，形成分析形成分析报告3.6.8.3供应商管理1责任书网络安全责任及所需履行的网络安全义务，并对其进行监督管理2监督评审应定期监督、评审和审核供应商提供的服务，并对其变更服务内3外包商管理安全要求，并加强对外包软件开发服务全过程的网络安全管理5员管理更、人员离场的各项网络安全管理要求。应明确供应商的服务范围、工作内容及建工网络安全管理要求，并明确违反公司网络安全管理制度时所采取的措施6供应商务机构选聘管理办法》的相关要求3.6.8.4合规性3.6.9.1职责分工1信息化管理部(1)负责定期对各部门IT资产管理、密码安全管理情况进行监督检查；负责对数据安全管理、操作安全管理、IT资产安全管理、网络和通信安全管理以及业务连续性安全管理等的落实情况进行监督检查；(2)负责统筹建工网络安全事件报告与应急管理工作，负责核实研判预警信息，指导相关部门开展应急响应工作；负责数据安全、操作安全、访问控制、IT资产安全、网络和通信安全、机房环境安全以及业务连续性安全的管理工作；负责制定漏洞扫描工作计划，定期组织开展漏洞扫描及修复工作；负责对恶意代码防范及漏洞修复相关工作执行情况进行监督检查；负责变更方案、安全资源申请等的审批工作；处置与具体开展工作；(4)负责制定网络安全巡检计划，定期组织网络安全巡检工作，形成网络安全巡检报告；负责对网络安全整改相关工作执行情况进行监督检查2务部门负责本部门数据安全、非涉密介质安全、密码安全、办公环境安全等的管理工作；负责及时向信息化管理部报告所发现的网络安全弱点和可疑事件；负责配合信息化管理部进行网络安全运维的相关工作3.6.9.2数据安全管理1数据分级应根据数据泄露或越权获取对于建工利益造成的影响，划分为一级敏感数据(高度敏感数据)、二级敏感数据、三级敏感数据(内部数据)、四级敏感数据(公开数据)2针对特别类型的数据，如因数据所处时间阶段或披露工利益影响的差异，则还应针对其数据内容确定数据敏感期限，如数据公3应按照数据分类分级策略对数据进行分类分级标识，并针对不同类别和级别的数据制定相应的安全管理策略、明确对应的保障措施要求3.6.9.2.2数据采集1应明确数据的收集获取源、数据收集的范围和频度，确保数据收集和获取范围仅限业务所需的数据2应制定数据的收集获取操作规程，在获取数据前规范数据收集和获取渠道、3对数据收集和获取环境(如采集渠道)、设施和技术采取必要的管控措施，确保采集数据的规范性、完整性、准确性、4如存在收集重要数据的情况，应制定相应的管理规范和管理规则，以满足相关法律法规、国家政策标准的合规要求5求，在数据收集阶段明确告知数据主体收集数据的类型、收集和处理目的、处理方式、存储期限、存储位置、跨境传输限制、安全管理措施等6如在境外收集数据，应按照当地法律法规的规则；如境外收集的数据中包含个人信息，应确保段符合当地法律法规的合规要求3.6.9.2.3数据传输1应严格遵守访问控制和网络和通信安全的相关管理要求，保障数据在传输中的保密性、完整性和可用性2根据数据的分级，敏感数据(非公开数据)在传3如需跨境传输数据，应根据国家相关法律法规进行数据出境安全评估并向相关监管部门进行申报申请，满足各项要求后方可进行数据的跨境传输4如需跨境传输个人信息，应在跨境传输个人信息前向个人信息主体说明数据出境的目的、范围、内容、接收方及接收方所在的国家或地区，并获取其明确同意。未成年人个人信息出境须经其监护人同意5涉及将在境外收集获取的数据或从海外公民处收按照当地法律法规的要求制定相应的管理规范和管理规则，确保数据跨境传输回国符合当地法律法规的合规要求3.6.9.2.4数据交换1应根据业务需要限定数据交换范围，采用安全可靠的免数据交换过程中的数据丢失、泄露等风险2数据交换过程中，应严格遵守访问控制的相关管理要求控制数据接口权限和3.6.9.2.5数据存储1应严格遵守访问控制的相关管理要求，制定数据、数据库、数据存储介质的访问控制管理规范和管理规则，限制对于不同类别或不同级别数据的访问2根据数据的分级，敏感数据(非公开数据)应加密存储，个人信息必须加密3应明确不同类别或级别数据的存储方式、存储有效时间；到期后，数据应及时处理，进行销毁或脱敏处理4如数据存储在境外，应按照当地法律法规的规则，确保数据存储符合当地法律法规的合规要求。如涉及存储个人信息，应根据数据收集阶段告知数据主体的存储期限、存储存储个人信息，未获数据主体明确同意前，不得违背告知详情；如因业务需要发生变化，变更数据存储详情，应及时告知数据主体，并获取其明确同意3.6.9.2.6数据处理1应明确不同类别或级别数据的处理要求，根据其数据类型特殊要求及敏感级别制定管理规范和管理规则2如涉及处理个人信息，应根据数据收集阶段告应及时告知数据主体，并获取其明确同意3处理个人信息或敏感数据时，应进行数据匿名化、去标识化处理或进行数据脱敏，避免数据在处理过程中被泄露、破坏造成的对公司或数据主体的损失4数据使用者须保证其所使用数据来源的合法合规性，不得私自拷贝、使用、5应建立完备的数据加工使用操作记录和管理规范，以的识别和追述3.6.9.2.7数据销毁1应依照数据分类分级建立相应的数据销毁机制，明确销毁方式、销毁流程和2应建立数据、存储介质销毁审批机制，设置销毁相关程3对于个人信息，如因特殊原因，在超出数据存储期限后无法完全销毁数据，则应进行去标识化处理，避免留存数据仍可被识别到个人4如适用于境外法律法规，则应按照当地要求制定相应的管理规范和管理规则，确保数据销毁符合当地法律法规的合规要求3.6.9.2.8数据备份1应根据业务连续性中的相关要求，制定数据及数据存备份要求2重要服务器上的数据必须进行定期备份，根据业务系统需要制定备份策考虑全量、增量、实时备份等多种策略，满足业务连续性要求。操作日志、3关键业务数据在充分考虑系统的应用需求的基础上必须采取有效备份措施，防止因异常事故发生而导致备份数据与业务数据被同时破坏4对于部署在云平台的数据应依据备份策略及时备份到本地；应定期进行数据备份与恢复演练，确保数据3.6.9.2.9数据安全能力认证3.6.9.3操作安全1意代码防范时不能修复的网络安全漏洞和隐患，须采取其他有效防护措施，2应明确各配置项的定义并进行标识，记录和保存基本配置信息，包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等，定期整理形成配置报告，确保各配置项的安全有效管理；应将配置改变纳入变更范畴，应严格遵守变更安全管理的相关管理要求更新或改变配置信息3过评审，审批通过后方可实施；护对象和业务的影响3.6.9.4访问控制3.6.9.5安全管理IT资与完整；(3)IT资产的管理使用应符合《中国建筑股份有限公司总部固2介质应制定非涉密介质管理流程，明确介质使用、3设备(1)应规范设备选址存放、维护、使用等过程的网络安全管理，保障设备安全；(2)应对各种设备、线路等开展定期维护管理，包括明确维护人员的责任、维护过程的监督控制等；(3)应加强对设备的处置和重用管理要求，含有存储介质的设备在报废或重用前，应进行完全清除或被安全覆盖，保证该设备上的敏感数据和授权软件无法被恢复重用；(4)应加强对设备的转移和控制措施，信息处理设备应经过审批才能带离机房或办公地点，含有存储介质的设备带出工作环境时其中重要数据必须加密；(5)对于公司外部的资产，应同步考虑对场外设备的网络安全管理要求；(6)设备的管理使用应符合《中国建筑股份有限公司总部固定资产及低值易耗品管理规定》的相关要求4网络通信应加强无线网安全接入的管理，建工网络结构由信息化管理部统一规划建设并负责管理维护，如需接入无线网，需统一向信息化管理部进行申请，使用人须严格遵守无线网安全管理规范。应对网全配置规范、配置信息、监控审计等网络安全运5密码安全行业标准，应根据国家相关管理要求使用国家密码管理部门认证核准的密码技术和产品；(2)密码设置长度应在12位并定期更换；(3)不得擅自将密码与他人共享；6(1)应加强机房环境安全管理工作，落实防火、防水、防盗、防静电、防雷击等措施，严格实行机房出入登记管理及运维巡检工作；(2)应加强办公环境安全管理工作，明确日常办公及接待外部人员时应7安全(1)应加强网络安全事件的报告与处置工作，明确网络安全事件的分级分类、处理流程，规范网络安全事件管理的各项要求。为检验公司网络安全事件响应与处置的有效性，应定期开展网络安全应急演练工作，明确网络安全应急演练流程；(2)为最大限度的降低网络安全事件对业务运行造成的影响，应制定网络安全应急预案，明确工作职责和各类网络安全事件应急响应程序，及时进行应急事件的处置，并加强应急预案的培训工作。应急预案至少应包含系统故障应急预案、网络攻应急预案、机房突发事件应急预案和网络设备及应用服务器异常事件的3.6.9.6业务连续性1灾难备份与恢复(2)根据数据的重要性和数据对系统运行的影响，制定数据的备份和恢复策略、备份和恢复程序等；的关键设备和电源的定期备份机制，明确备份方式、备份频度、2并留存巡检记录；(2)巡检内容应至少包含机房巡检、服务器巡检、数据库巡检、网络设备巡检、系统巡检、日志巡检等1部(1)负责批准网络安全风险评估计划；负责审核网络安全风险险避免、转移风险、接受风险等);(2)负责制定网络安全风险评估计划；负责组织开展网络安全风险评估工作，及时上报网络安全风险评估中发现的重大问题和可能的全网共性问题；(3)负责跟进各部门网络安全风险整改工作，不积极配合整改的部门，可发出整改通知单；对于拒不整改者，可对业务系统2各业务部门负责配合信息化管理部完成网络安全风险评估与风险整改工作3.6.10.2风险评估管理1自评估行的风险评估。通过自评估，可以更好的了解信息系统的网络安全状况及存在的风险，选择合适的网络安全防护措施，降低2行的风险评估。通过第三方评估可以更全面的了解信息系统的网络安全状况及存在的风险，并提出专业的风险处理建议，降3活动或敏感时期，根据需要对信息系统启动专项评估。在重要系统入网、现网进行大规模调整时，根据实际情况启动专项评估工作3.6.10.3风险评估过程(1)信息或数据(2)硬件和设备(4)文档(5)支持设施(6)人员(7)公司形象及名誉机密等级分类详细说明1公开资产承载一般性信息，公开的信息处理设备和系统资源2内部资产承载非敏感但仅限公司内部使用的信息3秘密者4机密必须知道的人资产完整性I完整等级分类详细说明1低未经授权的破坏或修改不会对信息系统有重大影响且(或)对2中3高未经授权的破坏或修改对信息系统有重大影响且(或)对业务冲4未经授权的破坏或修改对信息系统有重大影响且可能导致严可使用等级分类详细说明1低合法使用者对信息系统及信息的存取可用度在正常上班时间2中合法使用者对信息系统及信息的存取可用度在正常上班时间3高4面造成损害；也可能是偶发的、或蓄意的事件；(2)威胁可基于表现形式可分为软硬件故障、物理环境威胁、用、网络攻击、黑客攻击技术、物理攻击、泄密信息、篡改、2考虑以下三个方面，以形成在某种评估环境中各种威胁出现的频率：(1)以往网络安全事件报告中出现过的威胁及其频率的统计；(2)实际环境中通过检测工具及各种日志发现的威胁及其频率的统计；(3)近一两年来国际组织发布的对于整个社会或特定行业的威威胁总1年威胁发生可能频率为4次以下2中威胁34高威胁5极高威胁3.6.10.3.3脆弱性识别及赋值技术脆弱性包括机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通讯线路的保护、机房区域防护、机房设备管理等网络结构包括网络结构设计、网络传输加密、网络设备安全漏洞、边界保护、系统软件包括补丁安装、物理保护、用户账号、口令策略、资源共享、事件审计、访问控制、新系统配置(初始化)、注册表加固、网络安全、系统软件安全漏洞、软件安全功能管理弱性包括补丁安装、鉴别机制、口令机制、访问控制、网络和服务设置、包括审计机制、审计存储、访问控制策略、数据完整性、通讯、鉴别应用中间管理脆弱性包括网络安全策略、组织安全、IT资产分类与性等1风险降低(1)指将现有的风险等级经过控制处理降低到可接受的水平以可选择适当的控制以降低现有的风险等级。可通过降低威胁和脆弱性的可能性或降低风险发生的冲击来实现；(2)当选择控制手段和控制目标时，将有许多限制影响到后续的执行括：时间限制、财政限制、技术限制、环境律限制等。这些限制可能会影响到项目进度的有效性。在采纳风险评估报告提出的建议时也应考虑以上的限制2(1)指采取措施避免组织面临的风险。它描述了一切将资产与风险区域隔离的措施。以下是可能避免风险的几种方法：不执行某些特定的商业活动、将资产搬离未进行充分保护的区域、不处理特别的敏感信息；(2)在考虑风险避免时，应评估执行方案的可行性，因为有可能避免的行动对于总的商业运作来说是不可能的，该情况下则要考虑风险降低或转移的方法3风险转移(1)是指将风险转移或分担部分风险给其他方。当风险无法避或降低风险的花费太大时应考虑风险转移；(2)转移风险的其它解决方案是利用第三方或外部合作者处理风险区域的关键业务程序。这种情况下，应通过合同来提出和界定网络安全需求4(1)对于一些情况，可能由于很多因素的限制，最终无法通过执行有效的控制来处理所有的风险。此时可选择接受这类风险；(2)在作风险接受处理和确定可接受的风险时必须获得信息化管理部的批准。应完全记录和存档接受风险的决定和相关原因3.6.10.3.5残余风险管理可将属于可接受风险等级的残留风险归类到公司可接受风险类别。施以管理这些风险。凡未经过深思熟虑的风险均不可以轻易接受。1再评估对采取网络安全措施处理后的风险，信息中心实施网络安全措施后的残余风险是否已经降低到可接受的水平2某些风险可能在选择了适当的网络安全措施后仍处于不可接受的3审核批准并报信息化管理部审核3.6.11.2网络安全通报内容3.6.11.4二级单位报送内容3.6.11.5网络安全通报方式3.6.11.6网络安全通报流程位存在安全风险或发生安全事件时，置等。对于来自监管单位的通报，应于1小时内逐级向上报告，于6小时内向属地位网络安全风险和事件。安全事件(三级)以上应于1小时内报告。2各级单位接收外部监管单位网络安全通报、上级单位网络安全通报，根据业务部门、下属单位。3各级单位在常态化安全监测和检查工至相关业务部门、下属单位。业团队进行分析与整改，确保分析充分、4及时报告后续情况。各级单位应按照通报要求时间向通报部门反馈整改报告。3.6.11.7重大活动专项安全通报加强网络安全防范和监测预警，建立24小时应急联络渠道，执行3.6.11.8监督与检查1收到来自建工信息化管理部的网络安全事件通报且内容属实的、收到来自监管单位的通报且内容属实的、发生网络安全事故的；2通报涉及单位反馈整改完成后，因同一风险、事件再次被通报的；3超过规定整改时限未完成整改被再次通报的；4收到的网络安全通报中涉及未报送资产的；5在重要活动、专项检查工作期间未按照工作要求制定不力的。例如，在邮件系统账号风险整改专项排查处置后，因弱密码、长期不登录账号等问题发生邮箱失陷事件，将严格按照整改不力进行扣分。若员工邮箱账号出现两次及以上弱口令问题，二级单位应按本单位员工管理相关制度给予严肃处理，处理结果报送建工信息化管理部备案。6对于拒不整改或者导致网络安全危害的，将对其所在导及直接责任人进行追责问责。对于违反国家法律规定，对企业造成重大损失和负面影响的人员，将依法追究法律责任。3.6.12.1等级保护基本原则3.6.12.2职责分工信息化管理部负责组织制定建工网络安全等级保护相关制度文件和标准规范，并依照国家、行业和股份公司网络安全等级保护的管理规范和技术标业务部门负责配合信息化管理部开展网络安全等级测评工作。各子企业负责本单位网络安全等级保护定级备案、等级测评、安全建设整改等实施工作，并对下属单位的相关工作进行监督、检查和指导3.6.12.3等级保护定级与备案第一级成一般损害，但不危害国家安全、社会秩序和公共利第二级成严重损害或特别严重损害，或者对社会秩序和公共利益造成危但不危害国家安全。第三级等级保护对象受到破坏后，会对社会秩序和公共利益造成严重危第四级等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重危害，或者对国家安全造成严重危害。第五级等级保护对象受到破坏后会对国家安全造成特别严重危害。各二级单位应依据《GB/T22240信息安全技术信息系子企业应汇总拟定为第二级及以上等级保护对象的定级结3.6.12.4总体安全规划件，如边界设备、网关设备、核心网络设备、重要服务器设备、确定安全方针，制定安全策略等。对于新建的等级保护对象，应3.6.12.5安全设计与实施1应按照等级保护对象安全总体方案的要求，结设项目规划，分期分步落实安全措施；2应采购、使用符合国家法律法规和有关标准规等级保护需求的网络及密码产品和服务，使用的网络及密码产品，应当委托专业测评机构进行专项测试，根据测试结果选择符合要求的网络及密码产品。采购网络及密码产品和服务，影响或可能影响国家安全的，应当依据国家网信部门制定的网络安全审查办法申报网络安全3对于不能通过采购现有网络及密码安全产品或服或者安全功能，应通过专门的安全设计来实现。等级保护对象安全的开发和应用的开发应同步设计、同步实施；4等级保护对象进行验收上线前应委托具有资质的第三方测评机构对信息系统进行安全性测试，并在验收时提供安全测试报告；5应根据等级保护对象的安全管理需求，更新必范和操作规程，配置相应的安全管理岗位和人员，明确岗位职责3.6.12.6安全运行与维护1应对运行管理活动或角色进行划分并授予相应的管理权限，据此确定安全运行管理的具体岗位和职责。应至少划分为系统管理员、安全管理员和安全审计员；2应制定运行管理操作规程，确定安全运行管理人员的操作目的、操作内容、操作时间与地点、操作方法和流程等。应记录操作过程，确保操作过程受控；3应对运行和维护过程中的变更进行控制，确定变更的内容和范围4应持续对等级保护对象进行安全监控，包括防火墙、入侵检测、防病毒、核心路由器、核心交换机、关键服务器等，形成监控状态分析和5应开展等级保护对象的安全自查，为等级保护对象的持续改进提供依据和建议，根据检查结果制定改进方案，补充必要的安全措施；6