中建新疆建工(集團)有限公司cSCECXINJIANGCONSTRUCTION&ENGINEERINGGROUP二O二四年一月 1.4管理原則 1.5主要應對風險 21.6術語和定義 22職責與權限 42.1管理職責 42.2審批權限 53管理要求 5 53.2信息系統推廣管理 3.5信息化情況報送 473.6網絡安全 4評價與改進 1總則為深入學習貫徹習近平新時代中國特色社會主義思想和黨的二十《中國建筑股份有限公司信息化發展管理規定(2020版)》;《中國建筑股份有限公司信息化項目建設管理規定(2020版)》;《中國建筑股份有限公司電子郵件系統管理辦法(2020版)》。1.6.1信息化2職責與權限總部總部二級項目1規劃規劃√2建設設√√√3網絡建設√√√√√4設備建設√√√5視頻系統建設√√√√6信息系統建設√√7信息系統推廣管理信息系統推廣√√√√√9信息系統運維√√√√√信息安全√√√√√理√√√設備管理√√√網絡管理√√√√√主數據管理√√√視頻系√√√√資產管理√√√√√送信息編審管理√√√信息編√網絡安全網絡安全規劃√網絡安√√√網絡安√√√√√網絡安√√√理理√√√核核√1信息化專項規劃數字化和網絡安全工作領導小組2信息化考核分管領導分管領導3單項信息化投入(包含信息系統、IT基礎設施、數據中心、信息化服務等)預算少于50萬(含)分管領導主要領導，報備上級主管部門預算大于50萬批單位負責人，報上級主管部門審批3.1.1.1管理流程業務部門開始提出需求結束IT基礎建設流程信息化管理部門 流程編號信息化分管領導表單/模板是是否分析需求編制方案采購流程否是3.1.1.2工作要求時間責任部門相關部門1需要時業務部門2業務部門信息化管理部門書3分析需求分析業務部門提出功能要求部門業務部門4編制方案算資金，編制實施方案部門業務部門實施方案5組織實施部門業務部門(2)機房核心設備區應保持恒溫，溫度應保持20—24攝氏度，溫度變化率低于5攝氏度每小時，濕度保持在45%—65%;(3)機房主體結構應具有與其功能相適應的耐久性、抗震性和耐火等級。變形縫和伸縮縫不應穿過主機房；(4)機房的操作間和設備間應作分割，應有良好的人機工作環(1)評估信息系統負載；(2)評估已有硬件負載設備采購(1)保證采購硬件的先進性和實用性，避免過早報廢。不搞超前消費、造成資金浪費；(2)購置涉密設備時符合有關規定，確保設備的可靠性；(3)關鍵設備在高冗余環境下運行(雙電源、雙網絡、高可用軟件在系統上部署);(4)按照采購流程進行采購設備安裝須按照制造商安裝說明要求安裝，以確保正確安裝避免損壞設備設備驗收設備完好無損，參數符合需求，且能正常運行因特網帶寬專線不低于100M;專線不低于50M;專線不低于20M;商建設自行建設自行建設自行建設企業網建工信息化管理部統一規劃、統一部署和統一建設局域網建設負責建工總部建設方案報建工信息化管理部審批后實施由上級信息化管理部門指導建設網絡設備企業級路由器、防火企業級路由器、防火企業級路由器品牌國產主流品牌，如華為、H3C、中興等3.1.5視頻會議系統建設要求建設建工總部負責建設總部指導建設二級單位指導建設覆蓋范圍三級單位及項目部項目部功能級聯與股份公司級聯與建工總部級聯與建工總部級聯設備品牌國產或與建工品牌一致注：建工各單位視頻系統方案報上級單位審批后方能實施。集團信息化管理部門 否是技術需求說明書 部署安裝培訓 3.1.6.2工作要求活動時間部門部門1務需求發展規劃和相關業務專項發展規劃，業務需求書中應明確目標和應用價值，運營總部、二級單位的需求應報建工相關業務部門，由建工業務部門統一編制部門2行性分析報告務需求和已有信息系統功能進行評估信息化主管部門部門3審批性分析報告分管領導4性談判，必須選擇有實施經驗的供應商。評標組由信息部門、采購管理部、財務資金部、合約法務部組成信息化主管部門5審按建工合約法務部制定的合同評審流程執行信息化主管部門6成立項目組定工作說明書，明確項目目標、項目成員、工作方式、信息化主管部門需求部門《XXX項目工7案符合建工戰略發展規劃和相關業務規劃，應明確數據源和業務流程，并充分考慮方案落地的可行性按照SOW項目計劃組圖方案》8開發系統開發系統應采用最新技術，開發系統應充分考慮建工的IT基礎設施環境，充分按照SOW項目計劃組《XX系統部署9測試系統并組織進行項目組內部測按照SOW中項目計組結果系統如需功能切換，應制訂詳細的系統切換方案。各試點單位和應用單位應充分參與系統初始化工作。組織好系統上線前的培訓工作按照SOW中項目計組試點《操作手冊》《設置維護手冊》《系統切換信息系統應用推廣管理流程集團相關業務部門/集團信息化管理部門 是 關鍵用戶培訓 最終用戶培訓 上線應用 主責部門部門單位信息系統應用鍵用戶(系統管理員)7工作日理部門主責部門部門2調研需求調研，分析差異性并明確上線應用范圍10工作日務部門/信息化管理部門二級單位 3培訓關鍵用戶建工/運營總部/二級單位安排業務骨干作為關鍵用戶，關鍵用戶(系統管理員)應全職參與系統上線工作作日化管理部門建工/運營總部/二級一4數據和動態數據建工/運營總部/二級單位關織本業務的人員進行數據搜集，提供真實準確的數據1.5月建工/運營總建工相關信息化管理部門5用戶建工/運營總部/二級單位應組織最終用戶培訓，最終用戶通過培訓考核后才能應用系統5工作日務部門/運營總部/信息化管理部門二級單位業務部門3.3.1.1信息系統檢查維護(1)管理流程系統管理員否是 否否是需要開發否(2)工作要求活動時間部門部門1月度管理員2異常分析因填寫異常處理記錄表當天處理管理員3理方案3天內管理員4處理異常充分評估方案實施風險，做好數據備布公告，通知用戶3天內管理員3.3.1.2人員賬號、權限變更管理(1)管理流程圖人員賬號、權限變更管理流程流程編號業務部門人力資源部/申請部門信息系統管理部門開始 申請變更否是審批 結束(2)工作要求活動時間責任部門部門1申請變更1.一般變更：業務部門提交申司領導賬號變更由辦公室提出申請；統建系統由人資系統變更后自動推送等外部檢查使用)由業務主管部門申請審批生后一周內業務部門21.一般變動：按人力資源系統人員異動審批結果分級變更1天內管理部門活動時間責任部門部門審批結果處理3權限檢查季度信息系統管理部門《權限檢注：賬號、權限變更包含用戶賬號新建、注銷、變更所屬組織3.3.1.3用戶問題處理流程(1)管理流程用戶業務部門/關鍵用戶信息系統部門/信息化部門 否是 否是否需要開發是問題處理方案(2)工作要求活動時間部門相關部門能正常登錄最終用戶活動時間部門相關部門2分析錯誤產生原因，再現問解決費用3天內系統管理員用戶問題3審批方案管理部門4發布方案在指定系統內的相關欄目戶或管理員查閱及時系統管理員5幫助用戶解決系統問題及時管理員3.3.1.4系統設置變更工作流程(1)管理流程評價編制方案是是啟用功能(2)工作要求活動時間主責部門相關部門1提出需求他軟件建立接口等，填寫功能申需要時門、關鍵用戶信息化管理部門2審批的安全性等3天內管理部門信息化管理部門活動時間主責部門相關部門3編制方案3天內管理部門信息化管理部門4方案實施人員，按預定方案實施，并做好功能測試。應提前發布公告。停機實施應放在周末或節假日3天內管理部門信息化管理部門5功能管理員應反復測試、調整該功能，達到用戶需求目標一周管理部門業務部門6時反饋問題，以便調整3天內門、關鍵用戶3.3.1.5兩化融合業務流程梳理(1)管理流程兩化融合業務流程梳理信息系統部門/信息化部門業務部門/關鍵用戶業務部門負責人、需求審核 是否標準化審核 結束(2)管理要求活動時間部門部門需要活動時間部門部門求理方式調整時門、關鍵用戶理與建設需求2需求審核信息系統管理員對業務需求的1天管理部門3板信息系統管理部門制定梳理系統功能與手冊管理要求模板內信息系統管理部門信息化管理部門務梳理&建設需4功能梳理5日內務部門5業務審核后續工作環節3日內門負責管領導部門負責管領導6業務調研了解3日內信息系統管理部門信息化管理部門7程等技術開發系列流程工作7日內信息系統管理部門信息化管理部門8發布為附錄隨本業務管理手冊同步管理務部門活動時間部門部門計、測試完成經業務部門驗收務部門通知上線使用收日3.3.1.6應用培訓(1)管理流程信息系統部門/信息化部門 組織培訓、相 審批 總結歸檔(2)管理要求時間部門相關部門1部門需要時部門部(見人資管理手冊)2審批領導日部門及分管領導部門3組織培訓、工作人員名單、參訓人員接部門部門4準備按培訓申請內容準備培需求申個工作日部門部門時間部門相關部門5收集培訓后參培人員對培訓效果的意見反饋表培訓后2工作日業務主管部門部門培訓反饋表(見人資管理手冊)6總結歸檔對培訓的反饋意見做總結；對培訓資料整理歸檔，形成知識積累工作日部門信息化管理部3.3.1.7信息審核(1)辦公平臺主要欄目權限審核責任部門公司新聞黨委工作部及時部門負責人各部門及時部門負責人通知公告各部門及時部門負責人規章制度企業策劃與管理部及時欄目專員黨委工作部/工會工作部及時欄目專員紀檢監察紀檢監督工作部及時欄目專員文件中心辦公室/黨委工作部/工會工作部/紀檢監督工作部及時欄目專員辦公室/黨委工作部/工會工作部/紀檢監督工作部及時欄目專員一周工作動態辦公室及時欄目專員工作簡報各部門及時部門負責人交流園地各部門及時部門負責人各部門及時部門負責人公文處理各部門及時部門負責人各部門及時部門負責人各部門及時部門負責人系統管理信息化管理部門及時欄目專員(2)建工互聯網信息發布權限審核責任部門企業簡介黨委工作部部門負責人組織結構企業策劃與管理部部門負責人責任部門管理團隊辦公室部門負責人黨委工作部部門負責人公司快訊黨委工作部部門負責人圖片新聞黨委工作部部門負責人建工專題黨委工作部/紀檢監督工作部企業刊物黨委工作部部門負責人市場部/海外部/投資部部門負責人科技部部門負責人和諧建工黨委工作部/工會工作部部門負責人職業發展人力資源部部門負責人資源配置項管部/采購部部門負責人資質榮譽黨委工作部/市場部部門負責人信息化管理部門部門負責人責任部門用戶維護審核用戶審核10A系統辦公室/信息化管理部√√√√√√2辦公室√√√√√3網站建工黨委工作部√√√√4財務資金部/信息化管理部√√√√√5辦公室/信息化管理部√√√√6郵件系統辦公室/信息化管理部√√7人力資源系統人力資源部√√√√責任部門用戶維護審核用戶審核8股份公司辦公平臺辦公室/信息化管理部√√9約法務部/項目管理部√√系統審計部√√管理平臺科技部√√約管理系統合約法務部√√股份公司投資管理系統投資部√√股份公司客戶管理系統市場部√√財務資金部√√實名制管理系統項目管理部√√管理系統企業策劃與管理部√√智聯平臺項目管理部√√門禁系統辦公室/信息化管理部√√√√√√辦公室/信息化管理部√√√√√財務一體化平臺財務資金部/信息化管理部√√√√√√主數據系統信息化管理部√√√√√√中建智慧安全平臺安全生產監督管理部/信息化管理部√√√√√中建通信息化管理部門√√√√√√責任部門用戶維護信息審核用戶審核活動1維護(1)日常檢查，指平臺管理員到崗后首先登錄平臺，查看登錄是否有異常。查看內容包括登錄速度，是否有報錯頁面，登錄人數，信息是否能正常查看。未發現異常不需留記錄；(2)月度檢查，指平臺管理員于每月初對辦公平臺做一次全面檢查，檢查內容包括平臺用戶總數，信息發布總量，郵件總量，文件總量，日志，備份文件總量，應用服務是否正常，遺留問題處理進度。填寫月度檢查記錄表，報送部門負責人2設置變更包括增加欄目、增加流程、增加組織、設置權限、與其他軟件建立接口等系統管理工作3用戶(1)賬號變更包括：1增賬號；2.銷賬號；3.變更單位；4.離職停用，應注明停用原因：退休、病退、死亡、離職；更1.新增賬號需以分配賬號為登錄賬號；2.臨時賬號應設置使用期限；3.任何停用賬號不允許直接刪除，只做停用處理，退休、病退賬號回收崗位權限，信息發布權限，不做停用處理(3)做好賬戶管理維護臺賬4用戶問題處理5備份3.3.2.2.20A流程效能管理3.3.2.2.2.1管理目的3.3.2.2.2.2管理內容(1)運用信息系統的流程統計分析工具，做好各類業務流程多層面的效能(2)工作要求時間部門部門1分析季度信息化管理部門企劃部2流程較多的人員(含所屬部門)排名，五個工作信息化管理部門企劃部3程(含流程名、時長)及人員(含所屬部門、時長)信息，督促提升流程使用效率。五個工作信息化管理部門企劃部4辦理效五個工作信息化管理部門企劃部5流程辦理情況統計五個信息化管理部企劃部時間部門部門工作3.3.2.3門禁系統維護規定1日常保養維護的門禁是否正常在線2用戶權限變更(1)新增門禁卡；(2)修改門禁卡權限；(3)補辦門禁卡；(4)回收門禁卡(1)門禁權限變更需要在辦公平臺中提交門禁卡業務辦理申請，按流程要求填寫相應信息，待審批結束后進行業務辦(2)回收門禁卡，不應對門禁卡進行注銷，而是應辦理停用34備份3.3.2.4服務器操作系統1檢查維護操作系統每月檢查一次，應在業務系統應用高峰時期檢查CPU,2設置變更按照業務系統應用需求安裝操作系統版本，操作系統必須為正修改操作系統登記表中參數配置3用戶權限變更由管理員依據審核結果進行處理4備份3.3.2.5數據庫系統1檢查維護檢查數據庫告警日志、檢查數據庫系統用戶登錄日志，檢查數據庫表空間，系統異常日志，備份日志和數據磁帶檢查2備份3.3.2.6郵件系統文檔建工總部(1)提供郵件系統應用技術支持；(2)負責建工及派出機構人員的郵箱賬號維護工作；(3)配置運營總部、二級單位郵箱管理員；(4)督導二級單位郵箱管理員做好郵箱管理及安全專項整治工作運營總部、二級單位、(1)申請開通郵箱使用及申報系統管理員變更；(2)負責本單位所有郵箱用戶的管理維護及指導本單位員工使用工作系統申請表》推廣應用手段提供信息交換的通信、交流方式，是中建股份基礎信息化服務之一；各級單位應統一使用中國建筑電子郵件系統；本系統傳遞與工作無關的信息；賬戶收發電子郵件的結果負責；用戶承擔因箱被盜用的相關責任和后果；反者由中建股份移交相關證據至司法機關，追究當事人法律責任；企業形象、涉及企業商業秘密及其他企業制度中規定禁止傳播的信息，違反者按照公司有關規定處理；個工作日內對郵件賬戶進行相應變動；賬戶及權限準確；2組織賬戶命名(1)電子郵件系統中的組織機構或部門名稱可以參照使用人力資源系統及主數據系統中的單位或部門名稱縮寫；的一種符號進行區分，符號不得重復使用；(3)郵件賬戶名中所有英文字母為小寫半角英文，所有數字、符號均為半角。考慮到員工可能在中建系統內不同組織機構間調動，員工郵件賬戶中不建議包含組織機構信息；(4)各單位、部門或專業軟件系統使用的公共郵件賬戶應包含組織3申請郵件維護(1)由人力資源部門發出人員異動通知，本單位電子郵件系統管理員接到通知后開通新賬戶；(2)新開通賬戶需提供用戶姓名、性別、身份證號、手機號、所在部門及部門內排序位置等信息。對于短期開通的郵件賬戶需提供使用起止時間；(3)郵件賬戶中的個人信息由用戶本人維護和更新公共郵箱(專用郵箱):(1)各部門或下屬單位因業務需要，可由實際使用部門以郵件方式向所在單位郵件管理員提出申請，并由所在單位電子郵件系統管理員核實需求后開設公共郵箱(專用郵箱);(2)申請部門需說明郵箱用途，并提供郵箱名稱、空間需求、在企業通訊錄中排序位置、使用起止時間等信息，郵箱的責任人；(3)公共郵箱的基本信息由管理和使用的責任人維護和更新；(4)當公共郵箱使用責任人發生變動時，必須及時通知本單位電子郵件管理員變更相關信息4賬戶管理部門申請，再由建工總部向上級單位申請調整賬戶所屬機構；(2)當用戶在建工各二、三級單位間調動時，由調入二、三級單位電子郵件管理員以電子郵件方式向上一級郵件管理員申請實施；(3)申請時需提供調動原因、調動郵件賬戶名稱、調職前后的單位及部門名稱、是否存在兼職情況等信息。對于短期借調的用戶，申請部門必須說明該用戶臨時調入的起止時間。上到申請并核實后，在郵件系統中操作完成調動5賬戶用戶退休或離職時，由用戶所屬單位人力資源管理部門向本單位電子郵件系統管理部門提供人員離職信息。電子郵件系統管理員接到信息后，在1個工作日內對有關賬戶進行鎖關賬號及郵件歷史信息后，在30日內操作注銷。如有特殊保留需求的，該用戶所屬部門需向本單位電子郵件管理部門說明郵件賬戶保留期限6用戶應完善郵件賬戶資料，通過預設問題或短信驗證碼方式自主找回密碼。因郵件賬戶密碼丟失且無法找回的情況下，用戶需向本單7郵箱擴容電子郵件系統為每個郵件賬戶默認分配5GB郵件及附件存儲空如郵箱容量不能滿足用戶工作需要，可向電子郵件管理員申請擴充3.3.2.7財務一體化平臺責任部門1系統運維二級單位財務運維人員及時響應、處理本單位用戶反饋的系統應用問題，對無法處理的問題及時提交建工信息化管理部，業務問題由業務信息化管理部門財務資金部金融業務部2設置變更增加項目、人員、部門、客商、流程、組織、統管理工作信息化管理部財務資金部金融業務部3功能推廣組織實施財務一體化平臺新功能推廣應用，包含功能測試、操作手冊編制、用戶培訓、結果信息化管理部財務資金部金融業務部4用戶培訓組織開展財務一體化平臺基礎操作培訓信息化管理部財務資金部金融業務部活動時間1數據操作安全發生時管理部門2數據使用安全問題及時糾正錯誤；(2)一般操作用戶人員離開工作崗位，賬號應當給予停用；(4)禁止使用私人渠道傳遞企業信息發生時管理部門3用戶口令用戶本人提出申請；(3)用戶要注重保管好賬戶與口發生時管理部門4辦公資料安全所有員工的辦公資料每月都需自單位及項目部3.3.3.2數據備份相關規定時間主責部門相關部門1備份月度對系統進行全備份，每日對系統每月和每日部門/數據管理員日常備份2備份日志檢查檢查備份是否正常完成備份結束后部門/數據管理員日常備份3備份對備份完成情況確認備份后部門負責人日常備份4異地保存數據對備份介質進行異備份后辦公室檔案管理員管理部門異地備份3.3.3.3防病毒相關規定時間部門1識(1)計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼；(2)對計算機信息系統使用人員進行計算機病毒防治教育和培訓發生時管理部門2建立防計算機病毒制度(1)建工總部和運營總部、二級單位必須建立網測、清除的記錄；(2)所有員工辦公電腦必須安裝正版殺毒軟件，并定期查殺一月管理部門3.3.4.1設備監控文檔1建賬建立機房各類設備的臺賬，調整時及時更新《設備臺2以及調閱硬件運作自檢報告每周3文檔4檢查溫濕度5電源月6月3.3.4.2出入管理活動文檔1外來人員出入(1)非機房工作人員未經允許不得隨意進入機房；(2)外來人員進入機房必須有機房主管部門批準并進行登記；(3)外來人員進入機房必須有機房主管部門專人陪同員進出登2(1)未經允許，機房內不得隨意拍照和攝影；懾的物品；(3)機房所有的工作人員進入機房必須穿戴防塵離開機房要換去防塵鞋；(4)機房門必須隨時關閉上鎖，但不得反鎖文檔1對涉密場所周邊環境進行檢查，對安保人員涉密場所外部環境的巡邏進行檢查月見《涉密場所管理制2檢查物理防護設備態是否正常月3涉密場所監控系統的運行狀態月4月5檢查人員進出檢查涉密場所人員進出是否符合規定月6檢查設備使用檢查涉密場所設備使用是否符合規定月3.3.5.1.2出入管理文檔1外來人員出入(1)外來人員進出機房必須有機房主管部門批準并進行登記；(2)工作人員離開涉密場所，應將信息設備鎖定；工作人員下班或節假日期間，應關閉信息設備，鎖好門窗，切斷電源，涉密載體及相關保密設備應放入保密柜中見《涉密2(1)嚴禁將具有拍照、錄音、錄像等信息存儲、無線傳輸功能(wifi、藍牙、紅外)的設備帶入涉密場所；(2)外來人員進入涉密機房，必須有指定的涉密人員全程旁站陪同3.3.5.2.1設備使用管理部門1辦公室、信息化管理部門資質文件2辦公室、信息化管理部門資質文件3辦公室、信息化管理部門4辦公室、信息化管理部門3.3.5.2.2設備信息管理相關部門1涉密計算機禁止連接互聯網及非涉密網絡管理部門各業務部門及項目部2禁止在非涉密計算機上處理涉密信息；管理部門各業務部門及項目部3管理部門各業務部門及項目部相關部門4私自安裝計算機軟件和擅自拆卸計算機設備辦公室、信息化管理部門各業務部門及項目部5辦公室、信息化管理部門各業務部門及項目部3.3.5.2.3設備維護管理主責部門相關部門1常開機、設備指示燈是否正常等)以及查閱硬件運行日志辦公室、信息化管理部門2辦公室、信息化管理部門各業務部門及項目部3審核辦公室、信息化管理部門各業務部門及項目部4全保密措施(如將涉密信息轉存、刪除、異地轉移存儲媒體等)辦公室、信息化管理部門各業務部門及項目部5修時，應全程旁站陪同辦公室、信息化管理部門各業務部門及項目部3.3.6設備管理3.3.6.1設備維修管理時間責任部門部門文檔1理方案及時信息化管理部門/系統管理員2處理故障及時信息化管理部門/系統管理員障維修記3.3.6.2設備升級更新管理(1)管理流程系統管理員信息化管理部門 否審核是否審批是 審批是(2)工作要求時間部門文檔1升級申請需要時部門申請表2升級方案部件和升級需要的費用/管理員設備登記表3審批審批升級申請和升級方案時間部門文檔一周/管理員 文檔1管理網絡架構維護網絡拓撲圖，有變動，在變動后一周內更新網絡拓撲圖2管理網絡設備(1)網絡設備提供網絡服務必須保證全天運行。必須有專人負責管理，網絡管理人員每天至少查看系統是否正常運行，各項服務是否正常。發現異常及時解決，每天必須做《網絡設備清3設備日志網絡管理員必須每天做好網絡運行日志，記錄重大網絡事件及時填寫網絡運行日志，并定期對日志進行分析，提出改進意見及措施4管理上網行為用視頻、P2P軟件下載、炒股、游戲和訪問其它與工作無關的軟件。如工作需要，經本部門領導同意，向信息化管《網絡開放申5局域網IP管理網絡管理員對網絡IP地址統一管理，有變動及時更新6企業網IP管理建工信息化管理部負責企業網IP資源總體規劃，運營總部、二級單位信息化管理部門負責本企業IP地址分配和規劃工作7公網IP管理網絡地址由信息化管理部門統一管理，業務部門需要使用公網IP地址，需向信息化管理部門申請，經信息化管理部門負責人批準后，由網絡工程師配置發端口申請8(1)建工域名由建工信息化管理部備案、管理和維護；(2)運營總部、二級單位申請的域名由運營總部、二級單位信息化管理部門備案、管理和維護；(3)業務部門或運營總部、二級單位使用二級域名要向建工信息化管理部申請《域名使用申9《專線臺賬登網絡運維培訓結合各單位網絡運維工作情況，適時開展專項培訓，學習掌握核心路由、防火墻、核心交換機、AP控制器等主要網文檔3.3.8視頻會議系統3.3.8.1管理流程圖申請視頻會議流程總部部門 申請召開視頻會議 否范圍、聯調時間 視頻會議通知(參考)3.3.8.2工作要點時間主責部門相關部門1總部部門申請召開視頻會議用于公司內部召開的提前3個工作日總部發起部門管理部《視頻會議臺2運營總部/二級單位申請召用于公司內部召開的一周管理部《視頻會議臺3審批備、賬號有無沖突管理部時間主責部門相關部門4建工總部端起部門5運營總部/二級單位確認參會范圍確定參加會議的范圍6建工總部發起聯調調時間管理部7運營總部/二級單位發起聯調調時間8建工總部正式會議提前一小時管理部9運營總部/二提前一小時運營總部/二級單位填寫按表單內要求詳細填寫內3.3.8.3職責分工1部(1)負責制定建工視頻會議操作指引，規范視頻聯調保障工作；(3)負責總部視頻會議資源的按需分配、動態調整及分級授權；(4)定期組織各級單位會議管理員開展視頻會議培訓；(5)對各分會場視頻會議日常工作情況進行監督檢查；(6)負責登記建工視頻會議臺賬2各業務部門(1)統計本部門視頻會議信息，提前一天將會議信息發送至信息化管理部視頻會議管理員；(2)預定視頻會議室，如會議室有沖突，需要協調會議室的使用；(3)負責視頻會議輔流的播放測試3二級單位信息化管理部門(1)負責配合建工總部做好日常視頻會議的保障；(2)做好本單位的視頻會議保障，指導下級單位(三級單位及項目部)視頻會議操作、臺賬登記等工作；(3)本單位會議設備日常維護管理，幫助下級單位做好設備維護管理(1)配合建工總部、二級單位做好日常視頻會議的保障工作，按時參加聯調及會議保障工作。(2)本單位會議設備的管理及維護3.3.8.4使用規定1主數據標準風險與合規管理要求防范應對主數據標準不統一影響業務系統數據集成和連通，導致各業務系統數據統計分析口徑和結果不一致的風險2主數據質量風險與合規管理要求防范應對主數據質量問題導致各業務系統數據質量不高，影響公司經營分析決策的風險，規避增3安全風險主數據安全風險與合規管理要求防范主數據在使用過程中，對安全技術措施規劃不周密、實施控制不嚴格，導致主數據被非法竊取、篡改產生的風險4主數據運維風險與合規管理要求防范應對主數據運維過程中，由產生數據標準不統一、數據質量不高及被非法竊取、篡改的風險3.3.9.3職責分工1管理部(1)根據股份公司主數據管理的各項制度、標準和規范，結合細則；(2)推動股份公司主數據管理相關制度和細則在本單位的落參與股份公司主數據相關標準的梳理和制定；相關需求和問題及時反饋至股份公司信息化管理部并跟進落實；(4)負責數據質量審核及系統運維2各業務部門總部各業務部門根據自身管理的業務范圍，以及對數據的使用需求，承擔本部門主數據信息增加、變更及其他業務需求。各業務部門根據實際業務情況向本單位信息化管理部門提出相應主數據的應用需求、建議；及時反饋相關主數據在應用過程中發現的各類問題，并協助本單位信息化管理部開展主數據管理工作3二級單位建工總部信息化管理部開展主數據平臺數據治理，協助業務部門開展統建系統數據梳理3.3.9.4主數據標準管理3.3.9.5主數據質量管理3.3.9.5.1質量檢查內容內容1準的要求23時效性4一致性反映同一業務實體的主數據及其屬性是否具有一致的定義和含義5安全性主數據是否在可控、安全的范圍內發布和使用6唯一性主數據是否唯一，是否存在重復項3.3.9.5.2質量檢查方式1管理工具2針對主數據管理平臺尚未能支持的主數據質量自動檢核功能，由信息化管理部會同業務部門采用人工檢核方法進行主數據質量檢查3.3.9.5.3質量問題整改3.3.9.6主數據平臺運維管理3.3.9.6.1主數據新增、變更管理主責部門1據人力資源部信息化管理部2公司主數據寫公司基本信息推送主數據補錄其他主數據系統新增財務資金部信息化管理部企業策劃與管理部人力資源部文3據核各業務部門信息化管理部發票、收據(蓋章)等4主數據財務資金部科技質量部信息化管理部項文件5項目主數據項目管理部在主數據系統發起項目新系統既定流程審核項目管理部財務資金部安全生產監督管理部信息化管理部項目立項文件6項目部主數據安全部在主數據系統里發起項目部主安全生產監督管理部信息化管理部項目部-新增7部門主數據財務資金部企業策劃與管理部信息化管理部文(1)管理流程二級單位業務部門/信息化管理部門數據新增、否核否是否審審(2)工作要求序號活動時間主責部門部門2二級單位審核二級單位業務部門/信息化部門審核1工作日二級單位業務部門/信息化部門3建工總部審核實性、合理性和合規性1工作日信息化管理部4股份信息化管理部審批3工作日部3.3.9.6.3主數據權限管理3.3.9.6.3.1主數據角色權限申請管理(1)管理流程二級單位信息化部門 角色權限新增、 否審(2)工作要求序號活動時間主責部門部門1角色權限新申請運營總部/二級單位/三級單位/項目部角色申請單2二級單位審核二級單位信息化部門審核用戶1工作日二級單位信息化部門3建工總部審核信息化管理部審核申報主數據的真實性、合理性和合規性1工作日部(1)管理流程二級單位信息化部門 數據權限新增、否是否審核是(2)工作管理活動時間主責部門部門1用戶在主數據系統發起數據運營總部/二級單位/三級單位/項目部據權2二級單位審核二級單位信息化部門審核用1工作日二級單位信息化部門3建工總部審核1工作日部3.3.9.6.3.3主數據管理員申請管理(1)管理流程主數據管理員權限申請流程主數據管理員權限申請流程(2)工作管理活動時間主責部門部門1管理員權限申請申請二級管理員權限二級單位信息化部門管理員申2建工總部審核信息化管理部審核申報主數據的真實性、合理性和合規性1工作日信息化管理部3管理部審批2工作日股份信息化管理部問題1問題由本單位運維人員收集整理用戶反饋問題予以解決，無法解決的問題反饋至上一級2系統問題(1)數據問題：批量數據錯誤，數據紊亂對主數據系統有影響并且需要系統廠商后臺協助處理的問題；(2)BUG類問題：系統運行報錯，系統操作報錯致使系統不能正常進行業務并且需要系統廠商后臺協助處理的問題由信息化管理部收集3問題工運維人員提出系統功能優化或系統邏輯優化申請由本單位運維人員收集整理用戶需求反饋至信息化管理部，經分析、評估，提交股3.4.1.1管理流程圖是 部主管部門 否是否 子公司集團否是是 結束3.4.1.2工作要點時間主責部門/崗部門1件著作申請書編寫需要時軟件著作權申2審核審核申請資料，提出審批意見代碼和明書3審批審核申請資料，提出審批意見一周內門/主管領導/4組織申報組織相關單位向國家知識產權局提出隨時門5權證書按時交納相關費用，及時獲得軟件著作權證書隨時門6維護負責本單位獲取的著作權維護，并及時將授權、申請及變動情況上報建工隨時單位信息化管理部門軟件著負責本單位獲取的著作權維護，及時更新著作權統計表隨時建工信息化管理部 3.4.1.3版權登記文檔建工信息化管理部(1)登記部署在建工管理的各信息系統使用的軟件；(2)登記建工總部機關及派出機關使用的軟件；(3)檢查二級單位正版軟件登記表版軟件登運營總部/二級單位信息化管理部門(1)本單位所有單位和項目使用軟件進行登記；(2)負責本單位正版軟件的維護和升級3.4.1.4軟件正版化3.4.1.4.1工作原則數字化和網絡安全工作領導小組是軟件正版化工作的最高領導機3.4.1.4.2.2工作小組職責3.4.1.4.2.3軟件使用部門職責負責配合數字化和網絡安全工作小組做好軟件正版化工作，督促3.4.1.4.2.4員工職責不得故意規避或者破壞軟件著作權人為保護其著作權而采用的技3.4.1.4.2.5相關管理規定活動部門部門部門活動部門部門(2)軟件使用部門對工具軟件、專業軟件采購計劃填寫后報信息化部門進行統一審核、費用申請。計劃表2集中辦公電腦或服務器的系統軟件、工具軟件批量采購時，應通過集中采購渠道采購；各業務的專用軟件應通過行業主管部門統一渠道采購，并向本單位信息化部門報備管理部門3(1)信息化管理部門不得為任何單位和員工提造成的版權問題由個人承擔；(3)業務部門負責專業軟件的使用、登記、保管；(4)信息化管理建立臺賬，詳實記錄每次采購的信息(如采購時間、名稱、版本號、授權期限等)管理部門/業務部門用戶軟件登記4管理建工信息化管理部、各業務系統、運營總部、子(分)公司開發的應用軟件(含軟件有關的文檔、部門5的檢查工作，抽查員工使用的電腦，發現使用非正版軟件(字體),立即進行刪除處理管理部門6意識培訓與宣傳定期開展使用正版軟件意識培訓宣傳工作，提高員工法律意識，規范員工使用正版軟件信息化管理部門用戶1同負責驗收，并由購買部門填寫“固定資產驗收清單”一式3份，在驗收清單中應詳細填寫硬件固定資產名《固定資產驗2登記設置硬件資產實物臺賬，及時更新臺賬表》3盤點年底進行軟、硬件資產盤點4處置時調整資產臺賬表建工信息系統部門 審核是是 審核 3.5.4.2工作要求時間部門部門1制定信息年初管理部門2督導采集每月管理部門3提供信息的信息化工作動態信息報送單每月28日前管理部門位、信息系統部門4審核性要求，如信息內容、圖片質量等每月28日前系統部門一5次月10日前管理部6統計分析統計分析和總結評價半年期管理部工作類別內容1信息加職責落實中建股份及建工信息化工作要求，制定建工信息化信息報送工作方案，明確報送任務內容、工作評價指標等負責組織信息化工作宣傳報道寫作培訓負責每月一次，對提供信息進行選擇、加工、修改、編寫、匯集、定稿、送審工作加強對各單位信息提供人員的培訓，培養一支信息化召開業務例會，及時向主管部門負責人匯報工作，并接受負責人分派的其他負責統計每次各單位、部門提供信息及采用信息篇數，并編制形成信息臺賬2信息處理網上提供來的信息要及時放置各單位的信息提供文件夾內，有疑問要及時與提供者聯系3審定實行審核機制，信息加工編輯完成后，提交主管部門領導審定3.6.4.1主體責任3.6.4.2機構組成2網絡安全辦公室公司網絡安全辦公室設在信息化管理部，是網絡安全工作的管理機構，負責網絡安全工作的推進與落實，執行數字化與網絡安全工作領導小組交辦的各項工作3部門負責本部門相關業務信息系統建設與使用過程中與網絡安全相關工作的管理，配合落實完成網絡安全各項工作，并承擔相應網絡安全責任3.6.4.3網絡安全組織職責1建工總部(1)負責審議公司網絡安全方針、策略；(2)負責提出公司網絡安全管理要求，審議網絡安全規(3)負責審議重大網絡安全(4)負責定期評審公司網絡安全管理工作情況；(5)負責對公司信息化項目建設立項進行審批；(6)負責對公司重大網絡安(2)負責信息化項目建設過程中，與網絡安全相關工作的全流程管理；負責開展網絡安應急管理；負責與外部網絡安全專家或機構之間的聯系溝通；整體協調、管理及運營工作負責攻防演習、重大網絡安全事件的具體協調和溝通工作2各子(1)負責參照建工總部要求提出本企業網絡安全管理要求及網絡安全規劃；(2)負責審議本企業網絡安全方針、策略；(3)負責審議本企業重大網絡安全活動：(4)負責定期評審本企業網絡安全管理工作情況；(5)負責對本企業重大網絡安全事件進行商議；(6)負責與建工總部領導小(1)負責制定本企業網絡安全方針、策略、建工總部；(2)負責配合建工開展網絡安全檢查與評估、教育與培訓；負責本企業網絡安全應急管理；負責落實建工總部網絡安全績效考核各項指標，做好網絡安全迎檢工作；備案；負責本企業網絡安全日常整體協調、管理及運營工作負責配合建工開展攻防演習、重大網絡安全事件的具體協調和溝通工作3部門(1)負責本部門相關業務信息系統應用層面的網絡安全管理及本部門網絡活動安全；(2)負責將對口上級主管單位對業務的最新網絡安全要求提交網絡安全辦公室，并配合(3)負責配合網絡安全檢查及整改落實工作1安全審核機制2作機制(1)信息化管理部應加強各類管理人員、內部機構之間的溝通與合作，討論網絡安全形勢，商議、處理網絡安全問題。定期召開協調會議，共同協作處理網絡安全問題；(2)信息化管理部應建立與監管單位、公安機關、兄弟單位的溝通、合作機制，不定期組織網的時候能夠及時得到支持和幫助3安全檢查機制(1)網絡安全檢查分為內部檢查和外部檢查。內部檢查指信息化管理部定期執行的網絡安全檢查；外部檢查包括網絡安全執法檢查及行業監管檢查；(2)信息化管理部執行的網絡安全檢查內容包括現有網絡安全技術措施的有效性、網絡安全配置與網絡安全策略的一致性、網絡安全管理制度的執行情況、網絡安全策略及網絡安全記錄有效性、系統漏洞和數據備份情況等。網年組織一次4安全風險機制(1)信息化管理部制定風險評估計劃，根據實際情況選擇自評估險評估結果實施整改；(2)網絡安全風險評估流程包括網絡安全風險評估準備、資產識別、威脅識別、脆弱性識別、安全措施有效性分析、網絡安全風險分析、網絡安全風險處置與管理等，應明確各流程的操作方法和規范3.6.7人員網絡安全管理3.6.7.1職責分工1管理部負責公司全體員工(含實習生)在崗、轉崗、離崗及退休等過程的網絡安全管理工作，落實公司全體員工網絡安全教育培訓工作，負責對各部門外部人員網絡安全管理落實情況進行監督2各業務部門負責本部門員工及外部人員網絡安全管理，并對其網絡安全行為負責3.6.7.2人員安全管理1內部員工(1)員工轉崗、離崗前應先終止崗位責任、歸還IT資產并撤銷相關訪問權限；新員工在正式上崗前，信息化管理部應組織崗位人員開展專業技術培訓，并進行書面考核；員工賬號密碼設置及使用應嚴格遵守密碼安全的相關管理要求，以保證賬號及密碼安全性；(2)員工應嚴格遵守電子郵件使用管理要求，不得使用工作郵箱賬號發送與工作無關的內容，提高對電子郵件病毒的防范意識；員工應嚴格遵守信息化資產使用管理要求，不得擅自安裝未經許可的軟件，桌面電腦操作系統和軟件必須使用正版，不允許私自重裝系統2外部人員(1)應對外部人員進行網絡安全宣貫，確保其知悉并遵守公司網絡安全相關制度；(2)應明確外部人員在管理、使用和維護網絡系統，安裝部署網絡產品和提供信息技術服務等活動中應遵守的網絡安全要求，并明確其網絡安全角色和責任；(3)外部人員進入辦公場地開始工作前，應確保其簽訂了保密(4)臨時外部人員進入時，應在前臺出示有效證件，登記相關信息，對接人負責領進并全程陪同；(5)駐場外部人員進入時，應提交身份證復印件、工作證明及其他按合同應提供資料，并在規定地點辦公，不得擅自變更辦公位置3.6.8.1職責分工1管理部(1)負責對信息系統安全設計方案進行評審，并負責對信息系統安全設計、軟件開發、實施過程、測試驗收等全流程工作的落實情況進行監督檢查；負責指導開展信息系統定級、備案、等級測評工作，并對等級測評工作落實情況進行監督檢查；(2)負責形成各系統等級保護對象相關產品的采購候選供應商選擇、服務監督、供應鏈管理等管理部(3)負責對各系統等級保護對象相關產品采購需求進行審核；負責對各系統服務供應商網絡安全管理落實情況進行監督檢查；負責組織實施信息系統安全方案設計、軟件的工作；負責根據網絡安全等級保護要求開展信息系統定級、備案和測評工作；2各業務部門心開展信息系統定級、備案和測評工作1網絡安全應制定明確的采購流程，根據等級保護要求對擬選用的網絡安全產品進行選型與測試，確保網絡安全產品采購和使用符合國家有關規定和要求。在采購密碼產品時，應遵循相關法律標準和國家密碼管理部門的要求。產品采購到貨后應加強產品的交2網絡安全計規范。在需求分析與設計階段，應確定保護對象等級，參照安全設計規范開展網絡安全需求分析及方案設計工作，制定詳細的設計方案，經信息化管理部審核或相關專家評審通過后正式進行實施3軟件開發安全發規范。在保護對象開發與建設階段，應對軟件開發(含自行開發和外包開發)、測試及上線、維護和支持全過程進行網絡安全管理。應確保開發環境安全，將開發環境、測試環境和生產環境隔離，并加強接入開發和測試環境計算機設備和軟件的安全性保護。系統開發過程中數據安全的管理應嚴格遵守數據安全管理的相關管理要求4實施過程安全詳細的工程實施方案。項目管理人員應做好網絡安全工程實施過程的風險控制管理，避免因第三方人員惡意操作或誤操作帶來的網絡安全隱患5收與交付收工作。應加強對項目的交付管理，并對系統運維人員進行相應的技術培訓6系統維護規范。應明確系統的維護管理，系統管理員需對系統進行監控以掌握系統的安全狀況，定期對運行日志進行分析，形成分析形成分析報告3.6.8.3供應商管理1責任書網絡安全責任及所需履行的網絡安全義務，并對其進行監督管理2監督評審應定期監督、評審和審核供應商提供的服務，并對其變更服務內3外包商管理安全要求，并加強對外包軟件開發服務全過程的網絡安全管理5員管理更、人員離場的各項網絡安全管理要求。應明確供應商的服務范圍、工作內容及建工網絡安全管理要求，并明確違反公司網絡安全管理制度時所采取的措施6供應商務機構選聘管理辦法》的相關要求3.6.8.4合規性3.6.9.1職責分工1信息化管理部(1)負責定期對各部門IT資產管理、密碼安全管理情況進行監督檢查；負責對數據安全管理、操作安全管理、IT資產安全管理、網絡和通信安全管理以及業務連續性安全管理等的落實情況進行監督檢查；(2)負責統籌建工網絡安全事件報告與應急管理工作，負責核實研判預警信息，指導相關部門開展應急響應工作；負責數據安全、操作安全、訪問控制、IT資產安全、網絡和通信安全、機房環境安全以及業務連續性安全的管理工作；負責制定漏洞掃描工作計劃，定期組織開展漏洞掃描及修復工作；負責對惡意代碼防范及漏洞修復相關工作執行情況進行監督檢查；負責變更方案、安全資源申請等的審批工作；處置與具體開展工作；(4)負責制定網絡安全巡檢計劃，定期組織網絡安全巡檢工作，形成網絡安全巡檢報告；負責對網絡安全整改相關工作執行情況進行監督檢查2務部門負責本部門數據安全、非涉密介質安全、密碼安全、辦公環境安全等的管理工作；負責及時向信息化管理部報告所發現的網絡安全弱點和可疑事件；負責配合信息化管理部進行網絡安全運維的相關工作3.6.9.2數據安全管理1數據分級應根據數據泄露或越權獲取對于建工利益造成的影響，劃分為一級敏感數據(高度敏感數據)、二級敏感數據、三級敏感數據(內部數據)、四級敏感數據(公開數據)2針對特別類型的數據，如因數據所處時間階段或披露工利益影響的差異，則還應針對其數據內容確定數據敏感期限，如數據公3應按照數據分類分級策略對數據進行分類分級標識，并針對不同類別和級別的數據制定相應的安全管理策略、明確對應的保障措施要求3.6.9.2.2數據采集1應明確數據的收集獲取源、數據收集的范圍和頻度，確保數據收集和獲取范圍僅限業務所需的數據2應制定數據的收集獲取操作規程，在獲取數據前規范數據收集和獲取渠道、3對數據收集和獲取環境(如采集渠道)、設施和技術采取必要的管控措施，確保采集數據的規范性、完整性、準確性、4如存在收集重要數據的情況，應制定相應的管理規范和管理規則，以滿足相關法律法規、國家政策標準的合規要求5求，在數據收集階段明確告知數據主體收集數據的類型、收集和處理目的、處理方式、存儲期限、存儲位置、跨境傳輸限制、安全管理措施等6如在境外收集數據，應按照當地法律法規的規則；如境外收集的數據中包含個人信息，應確保段符合當地法律法規的合規要求3.6.9.2.3數據傳輸1應嚴格遵守訪問控制和網絡和通信安全的相關管理要求，保障數據在傳輸中的保密性、完整性和可用性2根據數據的分級，敏感數據(非公開數據)在傳3如需跨境傳輸數據，應根據國家相關法律法規進行數據出境安全評估并向相關監管部門進行申報申請，滿足各項要求后方可進行數據的跨境傳輸4如需跨境傳輸個人信息，應在跨境傳輸個人信息前向個人信息主體說明數據出境的目的、范圍、內容、接收方及接收方所在的國家或地區，并獲取其明確同意。未成年人個人信息出境須經其監護人同意5涉及將在境外收集獲取的數據或從海外公民處收按照當地法律法規的要求制定相應的管理規范和管理規則，確保數據跨境傳輸回國符合當地法律法規的合規要求3.6.9.2.4數據交換1應根據業務需要限定數據交換范圍，采用安全可靠的免數據交換過程中的數據丟失、泄露等風險2數據交換過程中，應嚴格遵守訪問控制的相關管理要求控制數據接口權限和3.6.9.2.5數據存儲1應嚴格遵守訪問控制的相關管理要求，制定數據、數據庫、數據存儲介質的訪問控制管理規范和管理規則，限制對于不同類別或不同級別數據的訪問2根據數據的分級，敏感數據(非公開數據)應加密存儲，個人信息必須加密3應明確不同類別或級別數據的存儲方式、存儲有效時間；到期后，數據應及時處理，進行銷毀或脫敏處理4如數據存儲在境外，應按照當地法律法規的規則，確保數據存儲符合當地法律法規的合規要求。如涉及存儲個人信息，應根據數據收集階段告知數據主體的存儲期限、存儲存儲個人信息，未獲數據主體明確同意前，不得違背告知詳情；如因業務需要發生變化，變更數據存儲詳情，應及時告知數據主體，并獲取其明確同意3.6.9.2.6數據處理1應明確不同類別或級別數據的處理要求，根據其數據類型特殊要求及敏感級別制定管理規范和管理規則2如涉及處理個人信息，應根據數據收集階段告應及時告知數據主體，并獲取其明確同意3處理個人信息或敏感數據時，應進行數據匿名化、去標識化處理或進行數據脫敏，避免數據在處理過程中被泄露、破壞造成的對公司或數據主體的損失4數據使用者須保證其所使用數據來源的合法合規性，不得私自拷貝、使用、5應建立完備的數據加工使用操作記錄和管理規范，以的識別和追述3.6.9.2.7數據銷毀1應依照數據分類分級建立相應的數據銷毀機制，明確銷毀方式、銷毀流程和2應建立數據、存儲介質銷毀審批機制，設置銷毀相關程3對于個人信息，如因特殊原因，在超出數據存儲期限后無法完全銷毀數據，則應進行去標識化處理，避免留存數據仍可被識別到個人4如適用于境外法律法規，則應按照當地要求制定相應的管理規范和管理規則，確保數據銷毀符合當地法律法規的合規要求3.6.9.2.8數據備份1應根據業務連續性中的相關要求，制定數據及數據存備份要求2重要服務器上的數據必須進行定期備份，根據業務系統需要制定備份策考慮全量、增量、實時備份等多種策略，滿足業務連續性要求。操作日志、3關鍵業務數據在充分考慮系統的應用需求的基礎上必須采取有效備份措施，防止因異常事故發生而導致備份數據與業務數據被同時破壞4對于部署在云平臺的數據應依據備份策略及時備份到本地；應定期進行數據備份與恢復演練，確保數據3.6.9.2.9數據安全能力認證3.6.9.3操作安全1意代碼防范時不能修復的網絡安全漏洞和隱患，須采取其他有效防護措施，2應明確各配置項的定義并進行標識，記錄和保存基本配置信息，包括網絡拓撲結構、各個設備安裝的軟件組件、軟件組件的版本和補丁信息、各個設備或軟件組件的配置參數等，定期整理形成配置報告，確保各配置項的安全有效管理；應將配置改變納入變更范疇，應嚴格遵守變更安全管理的相關管理要求更新或改變配置信息3過評審，審批通過后方可實施；護對象和業務的影響3.6.9.4訪問控制3.6.9.5安全管理IT資與完整；(3)IT資產的管理使用應符合《中國建筑股份有限公司總部固2介質應制定非涉密介質管理流程，明確介質使用、3設備(1)應規范設備選址存放、維護、使用等過程的網絡安全管理，保障設備安全；(2)應對各種設備、線路等開展定期維護管理，包括明確維護人員的責任、維護過程的監督控制等；(3)應加強對設備的處置和重用管理要求，含有存儲介質的設備在報廢或重用前，應進行完全清除或被安全覆蓋，保證該設備上的敏感數據和授權軟件無法被恢復重用；(4)應加強對設備的轉移和控制措施，信息處理設備應經過審批才能帶離機房或辦公地點，含有存儲介質的設備帶出工作環境時其中重要數據必須加密；(5)對于公司外部的資產，應同步考慮對場外設備的網絡安全管理要求；(6)設備的管理使用應符合《中國建筑股份有限公司總部固定資產及低值易耗品管理規定》的相關要求4網絡通信應加強無線網安全接入的管理，建工網絡結構由信息化管理部統一規劃建設并負責管理維護，如需接入無線網，需統一向信息化管理部進行申請，使用人須嚴格遵守無線網安全管理規范。應對網全配置規范、配置信息、監控審計等網絡安全運5密碼安全行業標準，應根據國家相關管理要求使用國家密碼管理部門認證核準的密碼技術和產品；(2)密碼設置長度應在12位并定期更換；(3)不得擅自將密碼與他人共享；6(1)應加強機房環境安全管理工作，落實防火、防水、防盜、防靜電、防雷擊等措施，嚴格實行機房出入登記管理及運維巡檢工作；(2)應加強辦公環境安全管理工作，明確日常辦公及接待外部人員時應7安全(1)應加強網絡安全事件的報告與處置工作，明確網絡安全事件的分級分類、處理流程，規范網絡安全事件管理的各項要求。為檢驗公司網絡安全事件響應與處置的有效性，應定期開展網絡安全應急演練工作，明確網絡安全應急演練流程；(2)為最大限度的降低網絡安全事件對業務運行造成的影響，應制定網絡安全應急預案，明確工作職責和各類網絡安全事件應急響應程序，及時進行應急事件的處置，并加強應急預案的培訓工作。應急預案至少應包含系統故障應急預案、網絡攻應急預案、機房突發事件應急預案和網絡設備及應用服務器異常事件的3.6.9.6業務連續性1災難備份與恢復(2)根據數據的重要性和數據對系統運行的影響，制定數據的備份和恢復策略、備份和恢復程序等；的關鍵設備和電源的定期備份機制，明確備份方式、備份頻度、2并留存巡檢記錄；(2)巡檢內容應至少包含機房巡檢、服務器巡檢、數據庫巡檢、網絡設備巡檢、系統巡檢、日志巡檢等1部(1)負責批準網絡安全風險評估計劃；負責審核網絡安全風險險避免、轉移風險、接受風險等);(2)負責制定網絡安全風險評估計劃；負責組織開展網絡安全風險評估工作，及時上報網絡安全風險評估中發現的重大問題和可能的全網共性問題；(3)負責跟進各部門網絡安全風險整改工作，不積極配合整改的部門，可發出整改通知單；對于拒不整改者，可對業務系統2各業務部門負責配合信息化管理部完成網絡安全風險評估與風險整改工作3.6.10.2風險評估管理1自評估行的風險評估。通過自評估，可以更好的了解信息系統的網絡安全狀況及存在的風險，選擇合適的網絡安全防護措施，降低2行的風險評估。通過第三方評估可以更全面的了解信息系統的網絡安全狀況及存在的風險，并提出專業的風險處理建議，降3活動或敏感時期，根據需要對信息系統啟動專項評估。在重要系統入網、現網進行大規模調整時，根據實際情況啟動專項評估工作3.6.10.3風險評估過程(1)信息或數據(2)硬件和設備(4)文檔(5)支持設施(6)人員(7)公司形象及名譽機密等級分類詳細說明1公開資產承載一般性信息，公開的信息處理設備和系統資源2內部資產承載非敏感但僅限公司內部使用的信息3秘密者4機密必須知道的人資產完整性I完整等級分類詳細說明1低未經授權的破壞或修改不會對信息系統有重大影響且(或)對2中3高未經授權的破壞或修改對信息系統有重大影響且(或)對業務沖4未經授權的破壞或修改對信息系統有重大影響且可能導致嚴可使用等級分類詳細說明1低合法使用者對信息系統及信息的存取可用度在正常上班時間2中合法使用者對信息系統及信息的存取可用度在正常上班時間3高4面造成損害；也可能是偶發的、或蓄意的事件；(2)威脅可基于表現形式可分為軟硬件故障、物理環境威脅、用、網絡攻擊、黑客攻擊技術、物理攻擊、泄密信息、篡改、2考慮以下三個方面，以形成在某種評估環境中各種威脅出現的頻率：(1)以往網絡安全事件報告中出現過的威脅及其頻率的統計；(2)實際環境中通過檢測工具及各種日志發現的威脅及其頻率的統計；(3)近一兩年來國際組織發布的對于整個社會或特定行業的威威脅總1年威脅發生可能頻率為4次以下2中威脅34高威脅5極高威脅3.6.10.3.3脆弱性識別及賦值技術脆弱性包括機房場地、機房防火、機房供配電、機房防靜電、機房接地與防雷、電磁防護、通訊線路的保護、機房區域防護、機房設備管理等網絡結構包括網絡結構設計、網絡傳輸加密、網絡設備安全漏洞、邊界保護、系統軟件包括補丁安裝、物理保護、用戶賬號、口令策略、資源共享、事件審計、訪問控制、新系統配置(初始化)、注冊表加固、網絡安全、系統軟件安全漏洞、軟件安全功能管理弱性包括補丁安裝、鑒別機制、口令機制、訪問控制、網絡和服務設置、包括審計機制、審計存儲、訪問控制策略、數據完整性、通訊、鑒別應用中間管理脆弱性包括網絡安全策略、組織安全、IT資產分類與性等1風險降低(1)指將現有的風險等級經過控制處理降低到可接受的水平以可選擇適當的控制以降低現有的風險等級。可通過降低威脅和脆弱性的可能性或降低風險發生的沖擊來實現；(2)當選擇控制手段和控制目標時，將有許多限制影響到后續的執行括：時間限制、財政限制、技術限制、環境律限制等。這些限制可能會影響到項目進度的有效性。在采納風險評估報告提出的建議時也應考慮以上的限制2(1)指采取措施避免組織面臨的風險。它描述了一切將資產與風險區域隔離的措施。以下是可能避免風險的幾種方法：不執行某些特定的商業活動、將資產搬離未進行充分保護的區域、不處理特別的敏感信息；(2)在考慮風險避免時，應評估執行方案的可行性，因為有可能避免的行動對于總的商業運作來說是不可能的，該情況下則要考慮風險降低或轉移的方法3風險轉移(1)是指將風險轉移或分擔部分風險給其他方。當風險無法避或降低風險的花費太大時應考慮風險轉移；(2)轉移風險的其它解決方案是利用第三方或外部合作者處理風險區域的關鍵業務程序。這種情況下，應通過合同來提出和界定網絡安全需求4(1)對于一些情況，可能由于很多因素的限制，最終無法通過執行有效的控制來處理所有的風險。此時可選擇接受這類風險；(2)在作風險接受處理和確定可接受的風險時必須獲得信息化管理部的批準。應完全記錄和存檔接受風險的決定和相關原因3.6.10.3.5殘余風險管理可將屬于可接受風險等級的殘留風險歸類到公司可接受風險類別。施以管理這些風險。凡未經過深思熟慮的風險均不可以輕易接受。1再評估對采取網絡安全措施處理后的風險，信息中心實施網絡安全措施后的殘余風險是否已經降低到可接受的水平2某些風險可能在選擇了適當的網絡安全措施后仍處于不可接受的3審核批準并報信息化管理部審核3.6.11.2網絡安全通報內容3.6.11.4二級單位報送內容3.6.11.5網絡安全通報方式3.6.11.6網絡安全通報流程位存在安全風險或發生安全事件時，置等。對于來自監管單位的通報，應于1小時內逐級向上報告，于6小時內向屬地位網絡安全風險和事件。安全事件(三級)以上應于1小時內報告。2各級單位接收外部監管單位網絡安全通報、上級單位網絡安全通報，根據業務部門、下屬單位。3各級單位在常態化安全監測和檢查工至相關業務部門、下屬單位。業團隊進行分析與整改，確保分析充分、4及時報告后續情況。各級單位應按照通報要求時間向通報部門反饋整改報告。3.6.11.7重大活動專項安全通報加強網絡安全防范和監測預警，建立24小時應急聯絡渠道，執行3.6.11.8監督與檢查1收到來自建工信息化管理部的網絡安全事件通報且內容屬實的、收到來自監管單位的通報且內容屬實的、發生網絡安全事故的；2通報涉及單位反饋整改完成后，因同一風險、事件再次被通報的；3超過規定整改時限未完成整改被再次通報的；4收到的網絡安全通報中涉及未報送資產的；5在重要活動、專項檢查工作期間未按照工作要求制定不力的。例如，在郵件系統賬號風險整改專項排查處置后，因弱密碼、長期不登錄賬號等問題發生郵箱失陷事件，將嚴格按照整改不力進行扣分。若員工郵箱賬號出現兩次及以上弱口令問題，二級單位應按本單位員工管理相關制度給予嚴肅處理，處理結果報送建工信息化管理部備案。6對于拒不整改或者導致網絡安全危害的，將對其所在導及直接責任人進行追責問責。對于違反國家法律規定，對企業造成重大損失和負面影響的人員，將依法追究法律責任。3.6.12.1等級保護基本原則3.6.12.2職責分工信息化管理部負責組織制定建工網絡安全等級保護相關制度文件和標準規范，并依照國家、行業和股份公司網絡安全等級保護的管理規范和技術標業務部門負責配合信息化管理部開展網絡安全等級測評工作。各子企業負責本單位網絡安全等級保護定級備案、等級測評、安全建設整改等實施工作，并對下屬單位的相關工作進行監督、檢查和指導3.6.12.3等級保護定級與備案第一級成一般損害，但不危害國家安全、社會秩序和公共利第二級成嚴重損害或特別嚴重損害，或者對社會秩序和公共利益造成危但不危害國家安全。第三級等級保護對象受到破壞后，會對社會秩序和公共利益造成嚴重危第四級等級保護對象受到破壞后，會對社會秩序和公共利益造成特別嚴重危害，或者對國家安全造成嚴重危害。第五級等級保護對象受到破壞后會對國家安全造成特別嚴重危害。各二級單位應依據《GB/T22240信息安全技術信息系子企業應匯總擬定為第二級及以上等級保護對象的定級結3.6.12.4總體安全規劃件，如邊界設備、網關設備、核心網絡設備、重要服務器設備、確定安全方針，制定安全策略等。對于新建的等級保護對象，應3.6.12.5安全設計與實施1應按照等級保護對象安全總體方案的要求，結設項目規劃，分期分步落實安全措施；2應采購、使用符合國家法律法規和有關標準規等級保護需求的網絡及密碼產品和服務，使用的網絡及密碼產品，應當委托專業測評機構進行專項測試，根據測試結果選擇符合要求的網絡及密碼產品。采購網絡及密碼產品和服務，影響或可能影響國家安全的，應當依據國家網信部門制定的網絡安全審查辦法申報網絡安全3對于不能通過采購現有網絡及密碼安全產品或服或者安全功能，應通過專門的安全設計來實現。等級保護對象安全的開發和應用的開發應同步設計、同步實施；4等級保護對象進行驗收上線前應委托具有資質的第三方測評機構對信息系統進行安全性測試，并在驗收時提供安全測試報告；5應根據等級保護對象的安全管理需求，更新必范和操作規程，配置相應的安全管理崗位和人員，明確崗位職責3.6.12.6安全運行與維護1應對運行管理活動或角色進行劃分并授予相應的管理權限，據此確定安全運行管理的具體崗位和職責。應至少劃分為系統管理員、安全管理員和安全審計員；2應制定運行管理操作規程，確定安全運行管理人員的操作目的、操作內容、操作時間與地點、操作方法和流程等。應記錄操作過程，確保操作過程受控；3應對運行和維護過程中的變更進行控制，確定變更的內容和范圍4應持續對等級保護對象進行安全監控，包括防火墻、入侵檢測、防病毒、核心路由器、核心交換機、關鍵服務器等，形成監控狀態分析和5應開展等級保護對象的安全自查，為等級保護對象的持續改進提供依據和建議，根據檢查結果制定改進方案，補充必要的安全措施；6