ISO50001能源信息沟通管理程序

ISO50001信息沟通管理程序

1 目的

通过信息交流与沟通，使公司管理信息得到及时有效的传递和应用。

2 范围

适用于公司内部的信息收集、处理和传递，以及公司与外部相关方的信息交流沟通。

3 职责

3.1 管理者代表负责与认证机构的联络，通报公司能源管理体系的有关内容。各分管部门负责人负责批转处理外部相关方的投诉，监督责任部门完成。

3.2 生产技术部负责能源管理体系运行有关信息的收集、传递、分析和归档，负责有关能源法律法规及相关要求的收集、传递、分析和归档。

3.3 综合管理部负责组织协调相关部门向外来学习、参观人员传达公司管理的有关要求。

3.4 采购部、营销中心分别负责供方及顾客的信息收集、传递。

3.5 其他各职能部门负责本部门信息的收集、传递和应用。

3.6 员工参与能源管理方针的制订、评审；负责本岗位有关信息的应用和传递。

4 控制要求

4.1 工作程序

信息收集→信息交流→信息处理→信息反馈

4.2 依据信息来源渠道将能源方面的信息分为内部信息和外部信息，确保信息内容准确可靠，传递迅速无误。

4.2.1 内部信息指公司管理体系运行产生的所有信息，在公司内部传递和应用，主要包括以下信息：

a)能源绩效及能源管理体系的信息；

b)能源目标、指标和管理方案的检查、监测记录，内审和管理评审报告以

及管理体系运行的其他记录；

c)不符合或潜在不符合信息；

d)出现重大能源管理事故的信息及记录；

e)能源应急准备和响应情况；

f)培训情况；

g)各单位之间的日常联络、报表及其他信息沟通等；

h)相关方对方针的获取。

4.2.2 外部信息指有关的法律法规，上级部门、顾客、供方及其他相关方的信

息,由各

部门根据职责分工在公司内部及外部相关方之间进行传递和沟通，主要包括：

a)与能源方针、能源管理体系和能源绩效有关的信息；

b)来源于认证机构、节能行政主管部门、节能监察机构及能源监测机构监

督、检查或监测的结果及反馈的有关信息；

b) 法律法规、标准类信息；

c) 来源于顾客、供方及其他相关方的信息。

4.3 信息交流与沟通包括纵向和横向信息沟通:

a) 纵向信息沟通，指上下级之间的信息沟通。上级领导传递给下属的信息包括指示、命令、规章制度、工作程序和要求等；基层管理人员和员工传递给上级领导的信息，包括请示、汇报、报表、意见等；

b) 横向信息沟通，指组织内部各级领导与领导、部门与部门及员工与员工之间的沟通。

4.4 信息交流与沟通的方式：

a) 各种会议的传达和交流；

b) 书面文件、报表；

c) 口头报告或传达、汇报、通报；

d) 电话、联盟报、广播、宣传栏；

e) 来函及来信回复；

f) 对外宣传及媒体广告。

4.5 信息的收集与处理

4.5.1 生产技术部负责能源管理体系内审、管理评审、认证机构有关信息的收集，根据需要传递到公司领导及相关部门。

客户沟通管理程序a

目的以公司的實際生產的能力為基礎,達成客戶與公司之要求合二為一.從而滿足客戶的各方需求. 範圍配合香港的生產通知單,與客戶多作溝通,做好內外兩地的出貨. ３.權責 3.1接收與評估訂單. 3.2外部溝通. 3.3內部溝通. ４.定義 (無) ５.作業內容 5.1客戶溝通管理程序見附件一. 5.2當發貨部接收客戶訂單時,如有疑問或不清楚時由發貨部與客戶進行電話聯絡.將聯絡結果記錄在客戶原始訂單中,并注明聯絡結果、聯絡時間、聯絡人. 5.3當工藝設計過程中有疑問時或不清楚時,則由工程部按＜＜工藝設計管理程序＞＞與客戶進行電話聯絡.并將聯絡結果記錄在客戶原始工藝資料中.并由聯絡人簽名認可. 5.4當樣品確認過程中與客戶溝通應由工程部在客戶所提供之樣品確認資料中或客戶所確認之我公司樣品報告中記錄溝通情況、溝通人、時間. 5.5生產執行過程中出現疑問時或交期變更時,由發貨部與客戶聯絡,并將聯絡結果記錄在客戶原始訂單及＜交貨計劃表＞中． 5.6當客戶所提供之產品在驗證及使用過程中出現羿常時由發貨部與客戶聯絡,并將聯絡情況反映在相應之檢驗、報廢、羿常報告中依＜＜內部溝通管理程序＞＞回復各部門客戶之意見． 5.7出貨前,由發貨部與客戶就出貨時間、產品規格進行再確認并記錄在客戶原始訂單中及＜交貨計劃表＞中. 5.8客戶發生抱怨及退貨處理. 5.8.1當客戶發生抱怨及退貨時,由發貨部依客戶傳真或電話將客戶抱怨情況記錄在＜客戶投訴貨物料情況說明＞中交由副總并依＜＜糾正與預防管理程序＞＞執行.并由發貨部將處理完畢之＜客戶投訴貨物料情況說明＞交客戶確認.并在客戶原始傳真中記錄＜客戶投訴貨物料情況說明＞編號,以利追蹤. 5.9當客戶滿意度調查結果回傳公司后,由發貨部依＜＜內部溝通管理程序＞＞將調查結果交由品管部進行資料分析及提出改善,并由發貨部將改善情況回復客戶并在＜客戶滿意度調查表＞中注明回復情況及改善情況. 5.10相關質量記錄之管理依＜＜質量記錄管理程序＞＞執行. ６.相關文件 6.1＜＜工藝設計管理程序＞＞ 6.2＜＜內部溝通管理程序＞＞ 6.3＜＜糾正與預防措施管理程序＞＞

网络信息安全管理程序

历史修订记录

1 目的为了防止信息的泄密，避免严重灾难的发生，特制定此程序。 2 适用范围包括但不限于计算机网络、个人计算机、互联网、邮件、电子文件和其他电子服务等相关设备、设施或资源。 3 术语和定义 ePHI：电子受保护健康信息。 IIHI：个人可识别健康信息。 4 职责与权限 4.1信息安全负责人 i.负责批准《系统/软件账号申请单》； ii.负责安全事件的确认和处理。 4.2客服部 i.负责医数聚系统的管理。 4.3人力资源部 i.负责硬件和移动设备的管理； ii.负责钉钉、钉邮和微信的管理。 4.4质量管理部 i.负责监督网络信息安全管理的执行。 4.5各部门 i.负责按照网络信息安全管理要求执行。 5 程序 5.1个人ePHI不论存储媒介，包括但不限于：姓名、年龄、性别、病例、医疗数据；均需要采取措施，防止泄露。 5.1.1员工获得IIHI的程度应基于员工的工作性质及其相关的职责，员工可以访问他们完成工作所需的所有IIHI，但不能获得更多的访问权限。 5.1.2任何员工都不可获得比其清除水平更高的IIHI水平。 5.2硬件和移动设备的管理控制 5.2.1硬件和移动设备包括但不限于：计算机、笔记本电脑、移动硬盘、U盘、光碟。 5.2.2硬件和移动设备的领用

5.2.2.1员工办公用到的硬件和移动设备采取实名登记制，由人力资源部通过《硬件和移动设备领用登记表》做好登录管理，并每年梳理一次，以保证信息的正确性。 5.2.2.2当员工领用新的硬件或移动设备后，应第一时间设置使用密码，密码设置不可过于简单，避免使用姓名、生日、简单数字等，使用密码只可自己知悉，不可告知其他同事，更不可记录下存放在显眼易获取位置，当员工察觉密码存在泄漏、丢失、被获取的可能时，一小时内上报信息安全责任人知悉，由信息安全责任人按照《安全事件管理程序》执行。为了防止密码被获知，人力资源部需监督员工每半年更换一次使用密码。 5.2.2.3员工离岗超过五分钟需对工位的硬件和移动设备进行保密操作，如拔出移动硬盘存放在带锁抽屉，启动计算机的屏保功能等。保密操作如可以由设备自动执行，人力资源部应监督员工提前设置好。 5.2.2.4因员工离职、调岗等原因需要退回或变更硬件或移动设备时，退回或变更的硬件和移动设备，在使用前，由人力资源部对其进行使用痕迹的清除工作，并填写记录《硬件和移动设备使用痕迹清除记录表》，质量管理部监督执行情况。 5.2.3硬件和移动设备损坏需要维修时，以防信息的泄露不可将设备带出公司维修，需请专业人士上门维修，且全程需要有人员陪同在监控覆盖区域进行，对维修单位或个人按照《业务伙伴的管理程序》执行。 5.3系统/软件管理控制 5.3.1我司现有涉及PHI传输的系统/软件：医数聚系统、钉钉、钉邮、微信。 5.3.2医数聚系统由客服部负责管理，钉钉、钉邮、微信由人力资源部负责管理。 5.3.3我司系统/软件实行一人一账号的原则，个人账号不得相互借用，员工因工作需要需要登录系统/软件时，需填写《系统/软件账号申请单》，交部门负责人审核，信息安全责任人批准后，交给管理部门开通账号及相关权限，管理部门需建立系统/软件《用户管理一览表》，管理系统/软件的使用人员及其权限相关信息，当员工离职、调岗时，管理部门需在收到信息的第一时间对该账户状态或权限做变更处理。管理部门应不定期的对《用户管理一览表》进行信息确认，以确保其准确无误。 5.3.4员工获得系统/软件的账号及初始密码后，需更改初始密码，密码的管理参见 5.2.2.2。 5.3.5为了确保信息传输在监控下进行，相关部门和人员对外联络应使用公司提供的系统或软件账号进行。 5.3.6与ePHI相关的信息传输，尽可能在医数聚系统中完成，如必须使用钉钉、钉邮、微信等，应遵循文件的加密规定。 5.3.7医数聚系统操作控制 5.3.7.1医数聚系统中对每个订单的处理都会形成“订单操作记录”，客服部需每季度

信息安全管理方案计划经过流程

信息安全管理流程说明书（S-I）

信息安全管理流程说明书 1 信息安全管理 1.1目的本流程目的在于规范服务管理和提供人员在提供服务流程中应遵循和执行的相关活动，保证信息安全管理目标的实现，满足SLA中的信息安全性需求以及合同、法律和外部政策等的要求。 1) 在所有的服务活动中有效地管理信息安全； 2) 使用标准的方法和步骤有效而迅速的处理各种与信息安全相关的问题，识别并跟踪组织内任何信息安全授权访问； 3) 满足服务级别协议、合同、相关法规所记录的各项外部信息安全需求； 4) 执行操作级别协议和基础合同范围内的信息安全需求。 1.2范围本安全管理流程的规定主要是针对由公司承担完全维护和管理职责的IT系统、技术、资源所面临的风险的安全管理。向客户提供服务的相关人员在服务提供流程中所应遵循的规则依据公司信息安全管理体系所设定的安全管理规定，以及客户自身的相关安全管理规定。公司内部信息、信息系统等信息资产相关的安全管理也应遵循公司信息安全管理体系所设定的安全管理规定。 2术语和定义 2.1相关ISO20000的术语和定义 1) 资产（Asset）：任何对组织有价值的事物。 2) 可用性（Availability）：需要时，授权实体可以访问和使用的特性。 3) 保密性（Confidentiality）：信息不可用或不被泄漏给未授权的个人、实体和流程的特性。 4) 完整性（Integrity）：保护资产的正确和完整的特性。

5) 信息安全（Information security）：保护信息的保密性、完整性、可用性及其他属性，如：真实性、可核查性、可靠性、防抵赖性。 6) 信息安全管理体系（Information security management system ISMS）：整体管理体系的一部分，基于业务风险方法以建立、实施、运行、监视、评审、保持和改进信息安全。 7) 注：管理体系包括组织机构、策略、策划、活动、职责、惯例、程序、流程和资源。 8) 风险分析（Risk analysis）：系统地使用信息以识别来源和估计风险。 9) 风险评价（Risk evaluation）：将估计的风险与既定的风险准则进行比较以确定重要风险的流程。 10) 风险评估（Risk assessment）：风险分析和风险评价的全流程。 11) 风险处置（Risk treatment）：选择和实施措施以改变风险的流程。 12) 风险管理（Risk management）：指导和控制一个组织的风险的协调的活动。 13) 残余风险（Residual risk）：实施风险处置后仍旧残留的风险。 2.2其他术语和定义 1) 文件（document）：信息和存储信息的媒体；注1：本标准中，应区分记录与文件，记录是活动的证据，文件是目标的证据；注2：文件的例子，如策略声明、计划、程序、服务级别协议和合同； 2) 记录（record）：描述完成结果的文件或执行活动的证据；注1：在本标准中，应区分记录与文件，记录是活动的证据，文件是目标的证据；注2：记录的例子，如审核报告、变更请求、事故响应、人员培训记录； 3) KPI：Key Performance Indicators 即关键绩绩效指标；也作Key Process Indication即关键流程指标。是通过对组织内部流程的关键参数进行设置、取样、计算、分析，衡量流程绩效的一种目标式量化管理指标，流程绩效管理的基础。

能源资源管理控制程序

四川烟草工业有限责任公司文件川烟工安全〔2009〕62号四川烟草工业有限责任公司关于发布《EHS管理体系能源资源管理控制程序》的通知公司各部门、各分厂：为合理利用能源、资源，降低运行成本，减少由于能源、资源消耗带来的环境影响，特制定《EHS管理体系能源资源管理控制程序》，现予发布，请遵照执行。原B版《能源资源管理控制程序》（SCTI-EHS/CX-14-2007）及成都、什邡分厂相关程序文件同时废止。特此通知。

二ОО九年八月七日主题词：规章制度EHS体系控制程序四川烟草工业有限责任公司办公室2009年8月7日印发★四川烟草工业有限责任公司规章制度★EHS管理体系能源资源管理控制程序

1 目的合理利用能源、资源，降低运行成本，减少由于能源、资源消耗带来的环境影响。 2 范围适用于本公司水、电、气（天然气）、汽（蒸汽）、煤、原辅材料及其他资源等能源、资源的管理。 3 术语和定义无 4 职责 4.1 公司 4.1.1 生产设备管理部---负责公司能源资源的归口管理。 4.1.2 安全管理部---负责对公司能源、资源的管理工作进行监督。 4.1.3 各部门---负责本部门责任范围内的能源、资源合理使用和控制。 4.2 分厂 4.2.1 能源管理部门---负责指导、监督本分厂能源的合理使用；负责对本分厂能源控制指标进行分解、统计分析、日常检查、考核。 4.2.2 厂部办公室---负责本分厂能源、资源的综合统计工作。 4.2.3 安全管理科---负责对本分厂能源、资源管理工作进行监督。 4.2.4 各部门---负责本部门责任范围内能源、资源的合理使用和控制。 5 工作程序 5.1 水、电、气、汽、煤及原辅材料 5.1.1 计划 5.1.1.1 生产设备管理部根据年度生产计划和上级单位节能减排、降耗的要求，拟定公司节能、年度能源消耗及主要原辅材料消耗计划和指标。

信息管理与信息安全管理程序.docx

. . 1目的明确公司信息化及信息资源管理要求，对内外部信息及信息系统进行有效管理，以确保各部门( 单位 ) 和岗位能及时、安全地识别、获取并有效运用、保存所需信息。 2适用范围适用于公司信息化管理及信息收集、整理、转换、传输、利用与发布管理。 3术语和定义 3.1信息有意义的数据、消息。公司的信息包括管理体系所涉及的质量、环境、职业健康安全、测量、标准化、内部控制、三基等和生产经营管理中所有信息。 3.2企业信息化建立先进的管理理念，应用先进的计算机网络技术，整合、提升企业现有的生产、经营、设计、制造、管理方式，及时为企业各级人员的决策提供准确而有效的数据信息，以便对需求做出迅速的反应，其本质是加强企业的“核心竞争力” 。 3.3信息披露指公司以报告、报道、网络等形式，向总部、地方政府报告或向社会公众公开披露生产经营管理相关信息的过程。 3.4 ERP 企业资源规划 3.5 MES 制造执行系统 3.6LIMS 实验室信息管理系统 3.7IT 信息技术 4职责 4.1信息化工作领导小组负责对公司信息化管理工作进行指导和监督、检查，对重大问题进行决策，定期听取有关信息化管理的工作汇报，协调解决信息化过程中存在的有关问题。 4.2 ERP支持中心负责公司ERP系统运行、维护管理，每月召开ERP例会，分析总结系统运行情况，协调处理有关问题，及时向总部支持中心上报月报、年报。 4.3信息中心是公司信息化工作的归口管理部门，主要职责： a) 负责制定并组织实施本程序及配套规章制度，对各部门( 单位 ) 信息化工作进行业务指导和督促； b)负责信息化建设管理，组织进行信息技术项目前期管理，编制信息建设专业发展规划并组织实施； c) 负责统一规划、组织、整合和管理公司信息资源系统，为各部门( 单位 ) 信息采集、整理、汇总和发布等环节提供技术支持；对Internet用户、电子邮箱进行设置管理；统一管理分公司互联网出口； d) 负责计算机网络系统、信息门户和各类信息应用系统的安全运行和维护及计算机基础设施、计算

信息安全管理制度..

信息工作管理制度第一章总则第一条为了加强信息管理，规范信息安全操作行为，提高信息安全保障能力和水平，维护信息安全，促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等规定，以《环境信息网络管理维护规范》（环保部制定）等标准为基本管理操作准则，制订本管理制度。第二条本制度适用范围为信息与监控中心，其他单位可参照执行。第二章岗位管理第三条业务信息工作人员（包括监控与信息中心技术人员及机关业务系统管理人员）、机房运维人员（包括外包机构人员），应遵循《环境信息网络管理维护规范》等规定。第四条机房运维人员根据运维合同规定由机房管理部门对其实行管理。第五条信息工作人员岗位设置为系统管理员、业务管理员、网络管理员、安全管理员、安全审计员。人员岗位及职责（一）系统管理员系统管理员是从事服务器及存储设备运行管理的人

员，业务上应具备熟练掌握操作系统、熟练操作服务器和存储设备的能力。 1、负责指定的服务器、存储等设备的资料登记、软件保管及设备报修。 2、配合完成指定的业务软件运行环境的建立，正式运行后的服务器系统软硬件操作的监管，执行中心的备份策略。 3、在所负责的的服务器、存储设备发生硬件故障时,及时组织有关人员恢复系统的运行,针对系统事故找到系统事故原因。 4、负责指定的服务器操作系统的管理口令修改。 5、负责制定、执行服务器及存储设备故障应急预案。（二）业务管理员（业务联系人）业务管理员是部署在应用服务器上的操作系统及业务系统运行管理的人员，业务上应具备业务系统安装及基本调试操作的能力（业务软件厂家负责培训），业务系统及部署操作系统故障分析的能力，预防系统风险的能力。 1、负责维护业务系统的运行及业务系统的安装环境。 2、负责制定、执行业务系统及其数据的备份计划。 3、负责业务数据的数据备份及数据恢复。 4、负责制定执行本业务系统的故障应急预案。（三）网络管理员

信息安全管理程序

信息安全管理程序 1.目的为了防止信息和技术的泄密,避免严重灾难的发生，特制定此安全规定。。2.适用范围包括但不限于电子邮件、音频邮件、电子文件、个人计算机、计算机网络、互联网和其它电子服务等相关设备、设施或资源。 2.1权责 2.1.1人力资源部：负责信息相关政策的规划、制订、推行和监督。 2.2.2 IT部：负责计算机、计算机网络相关设备设施的维护保养以及信息数据的备份相关事务处理。 2.2.3全体员工：按照管理要求进行执行。 3.内容 3.1公司保密资料： 3.1.1公司年度工作总结，财务预算决算报告，缴纳税款、薪资核算、营销报表和各种综合统计报表。 3.1.2公司有关供货商资料，货源情报和供货商调研资料。 3.1.3公司生产、设计数据，技术数据和生产情况。 3.1.4公司所有各部门的公用盘共享数据，按不同权责划分。 3.2公司的信息安全制度 3.2.1 凡涉及公司内部秘密的文件数据的报废处理，必须碎纸后丢弃处理。 3.2.2 公司员工工作所持有的各种文件、数据、电子文件，当本人离开办公室外出时，须存放入文件柜或抽屉，不准随意乱放，更未经批准，不能复制抄录或携带外出。 3.2.3 未经公司领导批准，不得向外界提供公司的任何保密数据和任何客户数据。 3.2.4经理室要运用各种形式经常对所属员工进行信息安全教育，增强保密意识：3.2. 4.1在新员工入职培训中进行信息安全意识的培训，并经人事检测合格后,方可建立其网络账号及使用资格。 3.2. 4.2每年对所有计算机用户至少进行一次计算机安全检查，包括扫病,去除与工作无关的软件等。 3.2.5不要将机密档及可能是受保护档随意存放，文件存放在分类目录下指定位

信息安全管理机构

信息安全管理机构 1.组织架构中国文联文艺资源中心为适应单位发展，促进和加强信息化建设，确保信息化网络和设备安全、稳定运行，组织成立了信息化领导小组，信息化领导小组是信息安全管理的最高管理层，单位各相关部门负责日常管理工作。中国文联文艺资源中心员工需遵守相关的管理制度，配合信息安全检查工作。 2.信息安全管理组织结构图 3.信息安全机构管理职责 3.1.信息化领导小组信息化领导小组的最高领导由单位主管领导委任或授权。成员有：

委员会主任：向云驹委员会副主任：冉茂金、彭宽信息化领导小组职责（信息安全领导小组/信息安全工作委员会）：（1）负责指导和管理信息化建设和信息安全工作。（2）负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。 3.2.应急领导小组信息化领导小组下设应急领导小组。其成员包括：组长：向云驹副组长：冉茂金、彭宽下设领导小组办公室：下设领导小组办公室：由中国文联文艺资源中心综合部和各业务部门负责人组成。应急领导小组职责：（1）拟订或者组织拟订中国文联文艺资源中心应对信息安全突发事件的工作规划和应急预案并组织实施。（2）督促检查各处室应急预案的执行情况，并给予指导。（3）督促技术部信息安全突发事件监测、预警工作情况，并给予指导。（4）汇总有关信息安全突发事件的各种重要信息，进行综合分析，并提出建议。（5）监督检查、协调指导技术部及各部门信息安全突发事件预防、应急准备、应急处置和事后恢复与重建工作。（6）组织制订信息安全常识、应急知识的宣传培训计划和应急救援队伍的业务培训、演练计划，并督促落实。

信息安全事件管理程序

信息安全事件管理程序 1 目的为明确信息安全事件处理的责任和流程，有效处理信息安全事件，最大限度地减少和降低因信息安全事件给公司带来的损失，特制定本程序。 2 范围本程序适用于公司发生的各类信息安全事态或事件的检测、报告和处理。 3 术语和定义引用ISO/IEC27001和ISO/IEC27002相关术语和定义。注：本程序中的信息安全事件是标准中的“信息安全事态”和“信息安全事件”的总称。 4 职责与权限信息安全领导办公室批准关键业务恢复计划，并指导本程序的执行，对执行情况进行监督检查；各部门信息安全主管负责本程序在部门内的组织实施；部门信息安全员在信息安全主管的组织下具体实施相关活动。 5 相关活动 5.1 信息安全事件报告流程任何员工，一旦发生、发现或观察到已发生或潜在的信息安全事件，必须以电话、邮件、口头等方式立即报告给信息安全办公室，联系方式是：联系人：联系电话：邮件：接报人要填写《信息安全事件报告和处理表》。

5.2 处理根据信息安全事件的轻重缓急，区分以下情况组织资源处理事件：如果仅是误报，则取消事件响应，恢复到正常状态；如果信息安全事件已被控制，未影响关键业务活动，在部门信息安全主管组织下对信息安全事件进行处理，并记录所有信息用于信息安全事件的评审；如果信息安全事件已被控制，已影响关键业务活动，在XXX部负责下，实施《XXX关键业务活动恢复计划》，并记录所有信息用于信息安全事件的评审；如果信息安全事件失去控制，实施紧急救援，召集外部专业机构实施处理，见《对外联络表》，同时记录所有活动；并由XXX部负责填写《信息安全事件报告和处理表》。 5.3 改进信息安全事件处理完毕后，信息安全领导办公室应进行以下活动： ●进一步收集相关事件信息； ●从信息安全事件中总结教训，重点分析事件发展的趋势和模式； ●确定新的或经过变化的控制措施并制定计划付诸实施； ●适当时对相关人员进行信息安全事件的教育培训。 6 相关文件和记录业务连续性管理程序备份管理程序关键业务恢复计划对外联络表信息安全事件报告和处理表

金融机构信息安全管理指引

附件省银行业金融机构信息安全管理指引（试行）第一章总则第一条为切实加强省银行业金融机构（以下简称银行机构）信息安全工作的管理和指导，进一步增强银行机构信息安全保障能力，保障国家经济金融运行安全，保护金融消费权益和维护社会稳定，根据国家和人民银行总行有关规定和要求，特制订本指引。第二条本指引所称信息安全管理，是指在银行机构计算机系统建设、运行、维护、使用及废止等过程中，保障计算机数据信息、计算机系统、网络、机房基础设施等安全的一系列活动。第三条省人民银行分支机构按属地管理原则对辖银行机构信息安全工作进行管理、指导和协调。各银行机构负责本系统（单位）的信息安全管理，完成人民银行交办的信息安全管理任务、接受人民银行的监督和检查。第四条各银行机构信息安全管理工作的目标是：建立和完善与金融机构信息化发展相适应的信息安全保障体系，满足金融机构业务发展的安全性要求，保证信息系统和相关基础设施功能的正常发挥，有效防、控制和化解信息技术风险，增强信息系统安全预警、应急处置和灾难恢复能力，保障数据安全，显著提高金融机构业务持续运行保障水平。第五条各银行机构信息安全管理工作的主要任务是：（一）加强组织领导，健全信息安全管理体制,建立跨部门、

跨行业协调机制；（二）加强信息安全队伍建设，落实岗位职责制，不断提高信息安全队伍业务技能；（三）保证信息安全建设资金的投入，将信息安全纳入“五年”发展规划和年度工作计划，不断完善信息安全基础设施建设；（四）进一步加强信息安全制度和标准规体系建设；（五）加大信息安全监督检查力度；加快以密码技术应用为基础的网络信任体系建设；（六）加强安全运行监控体系建设；（七）大力开展信息安全风险评估，实施等级保护；（八）加快灾难恢复系统建设，建立和完善信息安全应急响应和信息通报机制；（九）广泛、深入开展信息安全宣传教育活动，增强全员安全意识。第六条本指引适用于在省设立的各政策性银行、国有商业银行、股份制银行、邮政储蓄银行、城市商业银行、农村商业银行、城市信用合作社、农村信用合作社、村镇银行的总部和分支机构。非银行机构参照执行。第二章组织机构第七条各银行机构应建立健全信息安全管理机构。应建立由行领导负责、相关部门负责人及部专家组成的信息安全领导机构，负责本系统（单位）信息安全管理工作，决策本系统（单位）信息安全重大事宜。

资源、能源管理控制程序(20201008143605)

资源、能源管理控制程序 1 . 目的为了有效的利用资源、能源，杜绝一切浪费现象，并使该项工作能够持续地予以改进。 2. 适用范围本程序适用于资源、能源的使用和管理，其中包括相关的设备及操作者，使用者。资源是指原材料、水、纸张等；能源是指电等。 3. 职责 3.1 办公室负责水、纸张的管理。 3.2 生技科负责原材料管理控制、电的管理 3.3 各部门负责资源、能源的日常管理。 4. 程序 4.1 教育与培训办公室负责组织员工节约资源、能源等方面的内容和要求的培训。 4.2 控制 4.2.1 资源（1）原材料（钢材、硫酸、机油等等）管理 a. 使用先进的工艺技术、充分利用原材料杜绝一切浪费现象； b. 使用先进的设备提高成品的合格率； c. 尽可能使用绿色环保产品进行加工生产，满足环保要求。（2）水 d. 生产用水采用循环用水，以减少对水的浪费。 e. 食堂用水采用节水笼头，以减少对水的浪费。如发现水资源的非正常消耗应立即采取措施, 将水资源的损失降低到最低限度。（3）纸张办公室负责公司办公用纸的使用和监督管理。办公室应对用纸的情况做出分析, 以便对用纸量进行总量控制。 I普通纸张 a. 员工领用工作用纸, 应事先填写《领料单》, 经部门主管签字审批后方可到仓库领取。 n复印用纸 a. 各部门复印时须在办公室登记后复印。 b. 复印后的废纸由办公室收集和处理。 c. 一般性的文件和资料提倡两面使用纸张, 以提高利用率。川传真用纸：传真用纸由办公室负责日常的管理。 4.2.2 能源 4.2.2.1 生技科负责公司电能源的管理工作。 a. 建立用电设备档案及保养制度, 尽量减少由于设备原因而告成电能浪费的现象。

信息安全管理制度汇总

信息安全管理制度为加强公司各信息系统管理，保证信息系统安全，根据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》，及上级信息管理部门的相关规定和要求，结合公司实际，制定本制度。本制度包括网络安全管理、信息系统安全保密制度、信息安全风险应急预案网络安全管理制度第一条公司网络的安全管理，应当保障网络系统设备和配套设施的安全，保障信息的安全，保障运行环境的安全。第二条任何单位和个人不得从事下列危害公司网络安全的活动： 1、任何单位或者个人利用公司网络从事危害公司计算机网络及信息系统的安全。 2、对于公司网络主结点设备、光缆、网线布线设施，以任何理由破坏、挪用、改动。 3、未经允许，对信息网络功能进行删除、修改或增加。 4、未经允许，对计算机信息网络中的共享文件和存储、处理或传输的数据和应用程序进行删除、修改或增加。 5、故意制作、传播计算机病毒等破坏性程序。

6、利用公司网络，访问带有“黄、赌、毒”、反动言论内容的网站。 7、向其它非本单位用户透露公司网络登录用户名和密码。 8、其他危害信息网络安全的行为。第三条各单位信息管理部门负责本单位网络的安全和信息安全工作，对本单位单位所属计算机网络的运行进行巡检，发现问题及时上报信息中心。第四条连入公司网络的用户必须在其本机上安装防病毒软件，一经发现个人计算机由感染病毒等原因影响到整体网络安全，信息中心将立即停止该用户使用公司网络，待其计算机系统安全之后方予开通。第五条严禁利用公司网络私自对外提供互联网络接入服务，一经发现立即停止该用户的使用权。第六条对网络病毒或其他原因影响整体网络安全的子网，信息中心对其提供指导，必要时可以中断其与骨干网的连接，待子网恢复正常后再恢复连接。

MHWJW04-信息安全领导机构组成与职责-V1.1-ok-网络安全等级保护(等保2.0)管理制度模板-安全管理机构

文档信息制度编号: 生效日期: 分发范围: 解释部门: 信息安全领导小组版次:Ver1.1 页数: 5 制定人: 信息安全工作小组审核人: 信息安全领导小组批准人: 版本记录 XX单位信息安全领导机构组成与职责 1总则 1.1目的为更好的实现对XX单位信息系统的安全管理，促进各项制度、措施的落实，经委领导研究决定成立以信息安全领导小组为管理机构、信息安全工作小组为执行机构的组织架构，负责XX单位信息安全建设及防护。 1.2范围本标准针对XX单位信息安全组织建设相关事务，规定了组织框架和角色责任，适用于XX单位所有纳入到信息安全管理体系范围的组织和个人。 1.3职责 1.信息安全工作小组负责起草、制定本标准，安全领导小组负责批准、发布本标准。 2.信息安全组织内相关人员承担本标准定义的相关角色，履行相应的信息安全管理职责。

2信息安全组织架构 XX单位信息安全组织架构如下： XXX 信息安全领导小组负责组织信息化建设总体规划和统筹安排，协调各科室与信息化之间的关系。信息安全领导小组组长由副主任XXX任，副组长信息中心主任XX任。信息安全领导小组成员如下：XXX 信息安全领导小组下设信息安全工作小组，信息安全工作小组人员设置如下：信息安全工作小组组长：XXX 信息安全工作小组副组长：XXX 信息安全工作小组成员：XXX 3机构和组织指责 3.1信息安全领导小组组长职责组长：负责信息化建设总体规划、设计决策、项目决策、流程决策、人员调配决策以及信息安全事故的应急协调和指挥。副组长：负责具体项目规划设计、人员召集、组织实施等工作，对工程质量负责，并负责人员培训，流程制定，需求确认，协助实施、安全事故应急响应等具体日程和事务。 3.2信息安全领导小组具体职责 (1)负责审定信息安全建设与应用总体规划、经费预算、技术标准、管理规范及相关政策措施。 (2)研究决定信息安全体系建设重大事项，监督信息安全体系规划的实施。 (3)及时解决项目建设过程中的决策问题，并对各项工作做出指示 (4)审批发布信息安全方针和管理体系。 (5)审批信息安全规划和项目的批准。 (6)提供信息安全资源保证。

ISO14001-2015能源资源管理程序

能源资源管理程序（ISO14001-2015） 1.0目的: 为了有效地配置和利用能源、资源，提高其利用率，减少对可利用能源和资源的浪费特制订本程序。 2.0适用范围: 本程序适用于节省能源、资源活动的实施及管理。 3.0定义:（无） 4.0职责: 4.1能源的管理职责范围： 4.1.1行政部负责对公司内使用能源的计划及统计、使用监督进行总体管理。 4.1.2管理者代表组织制定公司年度能源目标及指标。 4.1.3各部门主管领导对本部门的能源管理、资源负责。 4.2资源管理的职责范围： 4.2.1行政部负责对公司内纸张、水的计划使用，监督、统计进行总体的管理，同时负责统计全厂各部门的纸张、水消耗情况。 4.2.2仓库负责对材料的消耗进行控制。

4.2.3各部门主管负责对本部门能源、资源的计划，使用、统计、监督进行管理。 5.0作业程序: 5.1能源、资源分类 5.1.1能源:电、气 5.1.2资源:水、办公用品、生产材料等。 5.2整体措施 5.2.1新员工入职时行政部进行开源节流教育； 5.2.2各部门、全体职员工在日常工作、生活中注意节约能源、资源的使用，养成节约的良好习惯，做到人走灯灭、节约用水、用纸等； 5.2.3公司内各用水点、非感应式用电开关处张贴节水节电相关宣传牌； 5.2.4工程部针对公司内能耗大、效率低的设备、工序，应研究节能降耗的技改方案，报总经理批准后实施； 5.2.5公司在购入设备前，工程部负责对此设备的环境性能、能耗进行评估。在条件准许的情况下，选择低耗机种，并保证在投入使用后对环境的影响最小； 5.2.6工程部在制订生产工艺时，考虑加工工工艺合理、先进并保证品质； 5.2.7各部门制订有关措施，对能源、资源的节约及有效利用进行管理。 5.2.8各相关部门定期将资源、能源使用情况统计后报给管理者代表；需要时

014 信息沟通管理程序

1目的建立和疏通信息流通渠道，加强信息流通接口管理，确保与质量管理体系运作的相关信息能得到及时的沟通和处理。 2 范围适用于与本总经办整体运作有关的各类内外部信息沟通的管理。 3定义和术语无 4 职责 4.1 各部门负责工作范围内的企业内外部的信息收集和整理。 4.2 质量部负责与产品质量相关的信息，并做好相关传递、处理、汇总及保存工作。 4.3 市场部负责与市场动态相关的信息，并做好相关传递、处理、汇总及保存工作。 4.4 综合部负责与企业管理相关的信息，并做好相关传递、处理、汇总及保存工作。 4.5 协助总经理负责对信息收集、统筹及其在内部沟通全过程的监督和控制。 5 程序工作流程：沟通内容（信息）之分类→信息的收集→信息重要度分级→信息沟通→沟通效果评价→沟通改进→沟通内容（信息）的归档与保存 5.1 沟通内容（信息）之分类 5.1.1 外部信息 5.1.1.1 与产质量量有关的外部信息 a.客户、产品检查机构、质量技术监督机构、认证机构等检查或监测结果及反馈的信息。 b.产品标准类信息。 c.市场动态、行业动态（包括竞争对手）中与质量相关的信息。 d.供应商的质量信息及投诉等。 e.其它外部与产质量量相关的各类信息。 5.1.1.2 与企业管理相关的外部信息 a.政府及有关部门颁布的与企业运作有关的信息，如法律、法规、条例等。 b.市场、行业动态（包括竞争对手）中与企业管理相关的信息。 c.与企业有合作关系的社会机构、团体、企业的相关反馈信息。 5.1.2 内部信息 a. 体系运行情况、质量方针目标的实施情况、生产过程情况、产品检查情况等。 b. 员工对有关产品质量的建议和意见等。 c. 企业规章制度的建立、推行、运作效果等相关情况。 d. 财务、人事、行政、后勤、安全、卫生等情况。 e. 员工有关企业内部管理的建议和意见等。 5.2 信息的收集

公司信息安全管理制度

信息安全管理制度信息安全是指通过各种策略保证公司计算机设备、信息网络平台（内部网络系统及ERP、CRM、WMS、网站、企业邮箱等）、电子数据等的安全、稳定、正常，旨在规范与保护信息在传输、交换和存储、备份过程中的机密性、完整性和真实性。为加强公司信息安全的管理，预防信息安全事故的发生，特制定本管理制度。本制度适用于使用新合程计算机设备、信息系统、网络系统的所有人员。 1.计算机设备安全管理 1.1员工须使用公司提供的计算机设备（特殊情况的，经批准许可的方能使用自已的计算机），不得私自调换或拆卸并保持清洁、安全、良好的计算机设备工作环境，禁止在计算机使用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 1.2严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件，当计算机出现硬件故障时应及时向信息技术部报告，不允许私自处理和维修。 1.3员工对所使用的计算机及相关设备的安全负责，如暂时离开座位时须锁定系统，移动介质自行安全保管。未经许可，不得私自使用他人计算机或相关设备,不得私自将计算机等设备带离公司。

1.4因工作需要借用公司公共笔记本的，实行“谁借用、谁管理”的原则，切实做到为工作所用，使用结束后应及时还回公司。 2.电子资料文件安全管理。 2.1文件存储重要的文件和工作资料不允许保存在C盘（含桌面），同时定期做好相应备份，以防丢失；不进行与工作无关的下载、游戏等行为，定期查杀病毒与清理垃圾文件；拷贝至公共计算机上使用的相关资料，使用完毕须注意删除；各部门自行负责对存放在公司文件服务器P盘的资料进行审核与安全管理；若因个人原因造成数据资料泄密、丢失的，将由其本人承担相关后果。 2.2文件加密涉及公司机密或重要的信息文件，所有人员需进行必要加密并妥善保管；若因保管不善，导致公司信息资料的外泄及其他损失，将由其本人承担一切责任。 2.3文件移动

××信息安全应急处置管理规范

**信息安全事件与应急响应管理规范修订状况当前版本v1.0 第 I 页共 15 页

1.目的 (1) 2.适用范围 (1) 3.工作原则 (1) 4.组织体系和职责 (1) 5.信息安全事件分类和分级 (2) 5.1.信息安全事件分类 (2) 5.1.1信息系统攻击事件 (2) 5.1.2信息破坏事件 (2) 5.1.3信息内容安全事件 (3) 5.1.4发现安全漏洞事件 (3) 5.1.5其他信息安全事件 (3) 5.2.安全事件的分级 (3) 5.2.1重大信息安全事件（一级） (3) 5.2.2较大信息安全事件（二级） (3) 5.2.3一般信息安全事件（三级） (3) 6.上报流程 (4) 7.后期处置 (12) 8.解释 (12)

1.目的为建立健全**网络安全事件处理工作机制，提高网络安全事件处理能力和水平，保障公司的整体信息系统安全，减少信息安全事件所造成的损失，采取有效的纠正与预防措施。2.适用范围本文档适用于公司建立的信息安全管理体系。本文档将依据信息技术和信息安全技术的不断发展和信息安全风险与信息安全保护目标的不断变化而进行版本升级。本程序适用于公司全体员工；适用于公司的信息安全事故、弱点和故障的管理。 3.工作原则 ●统一指挥机制原则：在进行信息系统安全应急处置工作过程中，各部门的人员应服从各级信息系统突发安全执行小组的统一指挥。 ●谁运行谁主管谁处置的原则：各类业务模块的责任人要按照公司统一要求，制定和维护本部门业务模块运行安全应急预案，认真根据应急预案进行演练与应急处置工作。 ●最小损失原则：应对信息系统突发安全事件的各项措施最大程度地减少信息系统突发安全事件造成的危害和损失。 ●预防为主原则:高度重视信息系统突发安全事件预防工作。坚持做好信息系统日常监控与运行维护工作，坚持预防与应急相结合，做好应对突发安全事件的各项准备工作。 ●保密原则：参与信息系统突发安全事件处置工作的人员应严守公司保密规定，未经授权不得向外界提供与处置有关的工作信息，不得利用工作中获得的信息牟取私利。 4.组织体系和职责 ●所有人员（包含正式员工、合同雇佣人员、实习生、临时人员等）发现疑似信息安全异常事件时，都有实时通报的责任。 ●各部门和各业务模块的信息安全专员是信息安全事件的识别和响应的联络窗口，负责配合安全小组，进行安全事件处理（信息安全员应熟悉本部门负责的业务模块）。

《能源目标、指标及能源管理实施方案管理程序》

能源目标、指标及能源管理实施方案控制程序文件编号: 版本: 发放编号: 受控状态: 编写: 审核: 批准:

修改记录

能源目标、指标及能源管理实施方案控制程序 1 目的为了规定公司能源目标、指标和管理实施方案的制定方法、程序和要求，确保能源目标、指标和能源管理实施方案得到有效的管理和实施，特制定本程序。 2 适用范围本程序适用于能源目标、指标和能源管理实施方案的制定、实施、评审和控制管理。 3 职责 3.1 总经理负责发布能源目标和指标。 3.2 能源管理者代表负责评审能源目标、指标及能源管理实施方案。 3.3技术部负责建立和更新能源目标、指标及能源管理实施方案。 4 工作程序 4.1 能源目标、指标及能源管理实施方案的制定原则 4.1.1 能源目标和指标应与能源方针保持一致。能源指标应与能源目标保持一致，具体、可量化、具有时效性。 4.1.2 能源管理实施方案的制定是为实现能源目标和指标，需包括切实可行的行动和对策。 4.2 能源目标、指标及能源管理实施方案的制定依据 A 国家及行业有关法律法规、规范标准的要求； B 能源基准； C 《能源评审报告》； D 主要能源使用以及改进能源绩效的机会； E 提高能效的技术可行性以及财务、公司运营等相关影响因素。 4.3 能源目标、指标的确定 4.3.1 首次确定能源目标、指标及当管理评审结果认为需要对能源目标、指标进行调整时，技术部负责目标、指标的确定和变更。 4.3.2 能源目标和指标需包括以下几个方面：

A 能够反映公司整体能源利用水平、能够涵盖全部生产工艺的指标，如综合能耗、单位产品综合能耗等； B 能够反映主要工艺、作业环节的指标，如工序能耗； C 主要用能设备的能源绩效指标。 4.3.3 技术部按公司现行节能目标分解方案，将能源指标分解到各部门。 4.3.4 应将建立的能源目标和指标形成文件，包括《能源目标和指标记录表》。 4.4 能源目标、指标的评审 4.4.1技术部每年至少对能源目标、指标的完成情况进行一次评审。 4.4.2 能源目标、指标的评审记录应形成文件，包括《能源目标和指标记录表》，作为内部审核和管理评审的输入。 4.4.3 若能源目标、指标评审结果为未达到标准，技术部负责查找原因，必要时对《能源管理实施方案》进行调整。 4.5 能源管理实施方案的制定 4.5.1 制定能源管理实施方案的输入： A《能源评审报告》； B 例行检查、内部审核、管理评审的输出； C 项目可行性研究报告； 4.5.2 为保证能源目标、指标的实现，技术部负责根据4.5.1所述输入信息，编制《能源管理实施方案》，或在《能源评审报告中》以独立篇章的形式体现。 4.5.3 能源管理实施方案需包括以下内容： A 明确责任部门及其职责； B 针对主要能源使用制定的措施和预计实现的节能效果； C 确定需要配备的资源，包括人力和资金等； D 实施方案的时间进度安排； E 对实施效果进行验证的方法。 4.6 能源管理实施方案的评审 4.6.1技术部每年至少对能源管理实施方案的落实情况进行一次评审。

内外部沟通控制程序

*******有限公司程序文件内外部沟通控制程序文件编号： GC-QP5.5.3-2010-03 文件版本： B/1 编制/日期：审核/日期：批准/日期： 2010年10月20日发布 2010年10月20日实施 *******有限公司发布

程序文件.内外部沟通控制程序 1 目的运用有效的沟通方式,使公司全体员工在和谐、友好的氛围中开展工作,为更好地完成和实现公司工作任务与既定发展目标而达成共识,通力协作并有效地与相关方进行沟通协作以实现组织目标。 2 范围公司全体员工、各职能部门以及相关方。 3 职责 3.1人事行政部负责公司内横向、纵向的沟通协调工作；以及与外部相关方进行沟通联络。 3.2营销部负责与客户的沟通。 3.3品质部负责客户抱怨、供货商材料不良处理及内部各部门之间的沟通。 3.4 采购部负责与供应商及外发加工厂之间的有效沟通。 4.工作程序 4.1内部沟通 4.1.1内部沟通方式包括但不限于以下形式：内审会议、管理评审会议、公司大会、主管例会、部门会议、班组会议、书面联络、电子平台、现场交流、电话联络、公告、标语。 4.1.2内审会议、管理评审会议参照《内部审核控制程序》、《管理评审控制程序》规定执行。 4.1.3公司大会。 4.1.3.1会议内容包括：上月重大事件的回顾与总结，后期公司发展方向性展望与宣导。 4.1.3.2会议由行政部经理主持，公司全体人员必须参加。 4.1.4主管例会 4.1.4.1一般为每周一次。 a.会议内容包括上周各部门重大事件的回顾与总结，后期各部门发展的计划与展望，对各部门的合理建议。 b.主管例会由部门负责人轮流主持，由各部门负责人参加。必要时，部门负责人可带与会议相关的本部门员工参加会议。 c.会议记录执行情况由人事行政部追踪落实，并于下一次主管例会上公布。 4.1.5部门会议 4.1. 5.1各部门根据部门运作情况召开部门会议。 4.1. 5.2门会议一般由部门负责人主持，部门内中基层干部参加；必要时可全体参加，部门会议可形成记录。 4.1.6班组会议 4.1.6.1班组会议可采用早会、班前会等形式进行。 4.1.6.2班组会议由班组长主持，各班组员工参加。