2020最新ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范)
ISO27001 信息安全管理体系
17
第二部分的内容
信息安全管理体系需求: • 10项控制细则 • 36个控制目标 • 127个控制方式
18
第二部份-章节
• • • • Chapter ⒈范围 Chapter ⒉术语和定义 Chapter ⒊信息安全管理体系要求 Chapter ⒋控制细则(与第一部份对应)
19
第二部份-章节
• • • • • 4. 1安全方针 4.2组织安全 4.3资产分类和控制 4.4人员安全 4.5实物和环境安全系统开发和维护 4.9商务连续性管理 4.10符合性
Source:Worldtalk Corporation E-mail surveillance programme.& Computer weekly 1999/09/19
6
安全需求
• 安全风险 • 法律和合约的需求 • 内部的原则,目标和需求 从收集控制方式与适当的需求等级开始!
7
ISMS发展历史
24
c:cure 标志
ISO17799/BS7799 c:cure
25
认证流程
保密协定
追踪审核
ISMS
证书
桌面审查 桌面
第一阶段 正式审核
第二阶段 正式审核
〈13周
〈13周
〈2周
审核小组 包含技术专家
26
ISO17799/BS7799 信息安全管理体系简介
什么是信息?
• Information is an asset which,like other important business assets,has value to an organization and consequently needs to be suitably protected.
最新ISO27001:2013信息安全管理体系一整套文件(手册+程序)
最新ISO27001:2013信息安全管理体系一整套文件(手册+程序)最新ISO27001:2013信息安全管理体系一整套文件(手册+程序)1.信息安全管理手册2.信息安全管理程序文件XXXXXX技术服务有限公司版本:A/0受控状态:XXXXXX技术服务有限公司信息安全管理手册(依据GB/T22080-2016)编制:文件编写小组审批: XXX版本:A/0受控状态:受控文件编号:LHXR-ANSC-20182018年4月20日发布 2018年4月20日实施管理手册修改记录页:序号修改原因修改内容版本日期修改者审核者目录0.1 颁布令 (5)0.2 管理者代表任命书 (6)0.3关于成立管理体系工作小组的决定 (7)0.4 公司简介 (8)0.5 组织结构 (8)0.6 信息安全方针与目标 (9)1.0 信息安全方针 (9)2.0 信息安全目标 (9)1.0 范围 (9)1.1 总则 (9)1.2 适用范围 (10)1.3 删减说明 (10)2.0规范性引用文件 (10)3.0 术语与定义 (11)3.3计算机病毒 (11)3.15 相关方 (12)3.16本公司 (12)3.17管理体系 (12)4.0 组织环境 (12)4.1理解组织及其环境 (12)4.2利益相关方的需求和期望 (13)4.3确定信息安全管理体系范围 (13)4.4信息安全管理体系 (14)5.0 领导力 (14)5.1领导和承诺 (14)5.2方针 (15)5.3组织的角色、责任和权限 (15)6.0 规划 (18)6.1 应对风险和机会的措施 (18)6.2 信息安全目标及其实现规划 (20)7.0 支持 (20)7.1资源 (20)7.2能力 (21)7.3意识 (21)7.4沟通 (21)7.5文件化信息 (22)8.0 运行 (24)8.1运行规划和控制 (24)8.2信息安全风险评估 (25)8.3信息安全风险处置 (25)9.0 绩效评价 (25)9.1 监视、测量、分析和评价 (25)9.2 内部审核 (25)9.3 管理评审 (26)10.0 改进 (28)10.1不符合及纠正措施 (28)10.2 持续改进 (29)附1信息安全管理体系职责对照表 (30)0.1 颁布令为提高XXXXXX技术服务有限公司的信息安全管理水平,保障我公司业务活动的正常进行,防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失,我公司于2018年4月开展贯彻GB/T22080-2016《信息技术-安全技术-信息安全管理体系要求》国际标准工作,建立、实施和持续改进文件化的信息安全管理体系,制定了XXXXXX技术服务有限公司《信息安全管理手册》。
ISO27001-信息安全管理体系最新版标准
ISO27001-信息安全管理体系最新版标准
简介
ISO是国际标准化组织制定的信息安全管理体系的国际标准。
它提供了关于如何确保组织的信息安全的最佳实践指南。
ISO的最新版标准提供了更全面和严格的要求,以适应不断变化的信息安全环境。
标准概述
ISO最新版标准包括以下主要内容:
信息安全管理体系(ISMS)
ISO要求组织建立、实施、维护和持续改进信息安全管理体系(ISMS)。
ISMS是一个结构化的框架,旨在确保组织的信息资产得到适当的保护。
风险评估和管理
ISO要求组织进行风险评估,识别潜在的信息安全风险,并采取适当的措施进行管理。
风险管理涉及确定风险的可能性和影响,并制定控制措施来减轻风险对组织的影响。
控制措施
ISO列出了一系列的控制措施,组织可以根据其具体需求对其进行实施。
这些控制措施涵盖了多个方面,如组织安全政策、人员安全、物理安全、通信和运营管理等。
内部审计和管理审查
ISO要求组织进行定期的内部审计,以确保ISMS的有效性和合规性。
此外,组织还需要进行管理审查,对ISMS进行评估和改进。
核心好处
ISO最新版标准的实施带来以下核心好处:
- 提升组织的信息安全意识和文化;
- 风险管理的全面性和效率性提升;
- 提供可信赖的信息安全保障,提高客户和利益相关者的信任度;
- 合规性的证明和遵循法规的要求。
总结
ISO27001-信息安全管理体系最新版标准为组织提供了一个全面的框架,以确保信息资产的适当保护。
实施该标准不仅可以提高信息安全水平,还有助于提升组织的业务竞争力和客户信任度。
iso27001信息安全管理体系标准中文版
iso27001信息安全管理体系标准中文版ISO27001信息安全管理体系标准中文版ISO27001信息安全管理体系标准(ISO27001)是一项全球通用的信息安全管理标准,旨在帮助组织建立、实施、运行、监控、审查、维护和改进信息安全管理体系。
该标准为组织提供了一个全面的框架,用于管理和保护其信息资产,并确保信息得到适当的保护。
在ISO27001中文版中,该标准的内容和要求在全球范围内是通用的,但是以中文版的形式呈现,方便我国组织和从业人员更好地理解和应用。
全球范围内的信息安全管理标准在中文版中能够更好地适配国内环境和法规要求,为我国组织提供更具针对性和可操作性的信息安全管理要求。
在撰写这篇文章时,我将按照ISO27001信息安全管理体系标准的深度和广度要求,对该主题进行全面评估,并撰写一篇有价值的文章,以强调ISO27001中文版的重要性和适用性。
我将从ISO27001中文版的基本概念和原则开始,通过对其概览和关键要素的讲解,帮助你更好地理解该标准的框架和结构。
我将深入分析ISO27001中文版的核心要求,包括领导承诺、风险评估、信息资产管理、安全政策等内容,以便你能更深入地了解其实施和运行过程。
在文章的后半部分,我将着重回顾ISO27001中文版对组织的价值和意义,以及其对组织信息安全管理提升的实际效果。
我将共享我对ISO27001中文版的个人观点和理解,以及我在实践中的经验和体会。
我会在文章中多次提及ISO27001信息安全管理体系标准中文版,以确保文章内容的贴合度和专业性。
我将按照知识的文章格式进行撰写,使用序号标注来清晰地展现ISO27001中文版的相关内容,并确保文章总字数大于3000字,以保证全面深入地探讨该主题。
通过这篇文章的阅读,你将深入了解ISO27001信息安全管理体系标准中文版的重要性和适用性,以及学习如何将其应用于实践中。
希望这篇文章能够帮助你对信息安全管理体系有更全面、深刻和灵活的理解,为你的工作和学习带来有益的启发和帮助。
2019最新ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范)
2019最新ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范)最新ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范)信息安全管理体系程序文件目录信息安全管理体系作业文件目录1 适用本程序适用于公司信息安全事故、薄弱点、故障和风险处置的管理。
2 目的为建立一个适当信息安全事故、薄弱点、故障风险处置的报告、反应与处理机制,减少信息安全事故和故障所造成的损失,采取有效的纠正与预防措施,正确处置已经评价出的风险,特制定本程序。
3 职责3.1 各系统归口管理部门主管相关的安全风险的调查、处理及纠正措施管理。
3.2 各系统使用人员负责相关系统安全事故、薄弱点、故障和风险的评价、处置报告。
4 程序4.1 信息安全事故定义与分类:4.1.1 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,均为信息安全事故:a) 企业秘密、机密及国家秘密泄露或丢失;b) 服务器停运4 小时以上;c) 造成信息资产损失的火灾、洪水、雷击等灾害;d) 损失在十万元以上的故障/事件。
4.1.2 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,属于重大信息安全事故:a) 企业机密及国家秘密泄露;b) 服务器停运8 小时以上;c) 造成机房设备毁灭的火灾、洪水、雷击等灾害;d) 损失在一百万元以上的故障/事件。
4.1.3 信息安全事件包括:a) 未产生恶劣影响的服务、设备或者实施的遗失;b) 未产生事故的系统故障或超载;c) 未产生不良结果的人为误操作;d) 未产生恶劣影响的物理进入的违规e) 未产生事故的未加控制的系统变更;f) 策略、指南和绩效的不符合;g) 可恢复的软件、硬件故障;h) 未产生恶劣后果的非法访问。
4.2 故障与事故的报告渠道与处理4.2.1 故障、事故报告要求故障、事故的发现者应按照以下要求履行报告任务:a) 各个信息管理系统使用者,在使用过程中如果发现软硬件故障、事故,应该向该系统归口管理部门报告;如故障、事故会影响或已经影响线上生产,必须立即报告相关部门,采取必要措施,保证对生产的影响降至最低;b) 发生火灾应立即触发火警并向安全监督部报告,启动消防应急预案;c) 涉及企业秘密、机密及国家秘密泄露、丢失应向行政部报告;d) 发生重大信息安全事故,事故受理部门应向信息安全管理者代表和有关公司领导报告。
ISO27001 信息安全管理体系
什么是信息?
• Information is an asset which,like other important business assets,has value to an organization and consequently needs to be suitably protected.
• 信息是一种资产,就如同其他的商业资产一样, 对一个组织而言是具有价值的,因而需要妥善 保护。 • ISO17799/BS7799 Part 1:1999
2
信息的类型
• • • • • • • • • • 政府信息-国内重要的信息 内部信息-不希望竞争对手得到的信息 客户信息-不希望被泄露的信息 与贸易伙伴共享的信息 公开信息-任何人都可以自由使用的 列印或写在纸张上的 用电子方式储存的 以邮件传输(包括电子邮件) 以影视或胶片方式表现的 语言交谈
20
信息安全管理体系的实施
安全方针
管理评审
评估
能法律法规的符合性 安全方针符合性 安全技术的符合性
计划
持续改善 检查
确定范围 风险分析 控制目标与控制方式 适用性声明 业务持续计划
组织安全 资产分类与控制 执行 人员安全 实物与环境安全 重要作业的保护包含保护的资料
21
风险评估和风险管理
重要度
移动
3
什么需要保护?
• • • • • • • 保护重要的商业“信息”资产 维持竞争优势 法律的要求 商业形象 安全威胁 安全脆弱 分瘠的安全技术
4
为何信息安全是如此重要?
• • • • • • 信息-成长及成功的关键因素 15000份的医疗日志培圾桶中在被发现 30000个用户密码在Internet上公布 推广的照片提前出现在新闻书刊上 银行支付数百万元给勒索者 25位开发部的同事跳槽至竞争者公司
ISO27001-文件控制程序
文件控制程序目录1. 目的 (3)2. 范围 (3)3. 职责与权限 (3)4. 相关文件 (3)5. 术语定义 (3)6. 控制程序 (4)7. 附件、记录 (7)1. 目的制订本程序以确保公司文件制订、修订、发放、回收、废止,保管均得到有效的管制,使过时作废的文件及时撤离各使用场所,并能随时获得有效之最新版本。
2. 范围凡属本公司与信息安全管理体系有关的管理文件和资料的制作与管理均适用之。
(例如:管理手册、程序文件、作业标准文件、指导书、技术资料、表格、ISO 27001标准有关的文件等)。
3. 职责与权限3.1 内部文件管制权限表:3.2 (策划和运行管理体系所需)外来文件管制权限表4. 相关文件a) 记录控制程序5. 术语定义5.1 管理手册(一阶文件):是为让客户或公司员工了解公司信息安全管理体系要项的主要文件。
5.2 程序文件(二阶文件):就是将如何进行活动的步骤,管制项目及管制结果记录的一种管理文件。
例:管理责任、合约审查、内部审核等质量手册内所订定的各项程序。
5.3 作业标准文件(三阶文件):为支持管理程序于执行阶段时重要的依据或指导文件。
例:作业指导书、检验规范等。
5.4 表单(四阶文件):表单是为显示管理结果所使用的单据。
例:“空白表单”。
5.5 受控文件:受更改控制的文件。
5.6 非受控文件:不受更改控制的文件。
(例如:在投标时提供给客户的《管理手册》等)。
6. 控制程序6.1 文件之制定与修订作业6.1.1 文件制定需求之时机:a) 由于各部门运作上之必要而需制定。
b) 由于各部门间为协调之必要而需制定。
c) 内部审核或管理审查决议而需制定。
d) 由于经营政策上之需要,奉上级批示制定。
6.1.2 文件制定、修订:文件若经稽核单位或制定部门、运作部门认为不合实际需要,需增订修改时,得由提出单位填写文件制修废申请单,经部门经理审核,管理代表核准后,由制定单位研拟增修之。
注:文件首次制定可不用文件修废申请单。
27001(信息安全管理体系)
27001(信息安全管理体系)27001(信息安全管理体系)信息安全管理是现代社会重要的一部分,而ISO/IEC 27001国际标准则成为了信息安全管理体系最重要的标准之一。
本文将介绍ISO/IEC 27001标准的背景和重要性,以及实施该标准的好处和步骤。
一、背景和重要性ISO/IEC 27001是由国际标准化组织(ISO)和国际电工委员会(IEC)联合制定的信息安全管理体系国际标准。
该标准于2005年首次发布,为组织建立、实施、维护和持续改进信息安全管理体系提供了指南。
信息安全是指保护信息免受意外的、非法的或恶意的访问、使用、泄露、破坏、修改或泄露的措施。
随着信息技术的迅猛发展和互联网的普及应用,信息安全问题也变得日益严重。
信息安全管理的重要性仍然不可忽视。
二、实施ISO/IEC 27001的好处1. 增强组织的安全意识和文化:实施ISO/IEC 27001标准可以促进组织内部在信息安全意识和文化方面的提升。
员工将更加关注信息安全,并制定相应的安全措施。
2. 减少信息安全风险:通过ISO/IEC 27001标准的实施,组织可以识别和评估潜在的信息安全风险,并采取相应的控制措施,从而减少信息安全事件的发生。
3. 提升合作伙伴和客户的信任:ISO/IEC 27001认证是证明组织在信息安全管理方面具备专业能力的重要标志。
拥有ISO/IEC 27001认证将帮助组织提升合作伙伴和客户对其信息安全能力的信任度。
4. 符合法律法规要求:随着信息安全相关法律法规的不断完善,组织需要履行相应的法律责任。
ISO/IEC 27001标准的实施可以帮助组织确保其信息安全管理体系与法律法规要求相一致。
三、ISO/IEC 27001的实施步骤1. 制定信息安全政策:组织需制定明确的信息安全政策,并将该政策与组织的整体战略和目标相一致。
2. 进行信息安全风险评估:组织需要对其信息资产进行风险评估,识别潜在的信息安全风险,并确定相应的风险处理方案。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2020最新ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范)最新ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范)信息安全管理体系程序文件目录信息安全管理体系作业文件目录1 适用本程序适用于公司信息安全事故、薄弱点、故障和风险处置的管理。
2 目的为建立一个适当信息安全事故、薄弱点、故障风险处置的报告、反应与处理机制,减少信息安全事故和故障所造成的损失,采取有效的纠正与预防措施,正确处置已经评价出的风险,特制定本程序。
3 职责3.1 各系统归口管理部门主管相关的安全风险的调查、处理及纠正措施管理。
3.2 各系统使用人员负责相关系统安全事故、薄弱点、故障和风险的评价、处置报告。
4 程序4.1 信息安全事故定义与分类:4.1.1 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,均为信息安全事故:a) 企业秘密、机密及国家秘密泄露或丢失;b) 服务器停运4 小时以上;c) 造成信息资产损失的火灾、洪水、雷击等灾害;d) 损失在十万元以上的故障/事件。
4.1.2 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,属于重大信息安全事故:a) 企业机密及国家秘密泄露;b) 服务器停运8 小时以上;c) 造成机房设备毁灭的火灾、洪水、雷击等灾害;d) 损失在一百万元以上的故障/事件。
4.1.3 信息安全事件包括:a) 未产生恶劣影响的服务、设备或者实施的遗失;b) 未产生事故的系统故障或超载;c) 未产生不良结果的人为误操作;d) 未产生恶劣影响的物理进入的违规e) 未产生事故的未加控制的系统变更;f) 策略、指南和绩效的不符合;g) 可恢复的软件、硬件故障;h) 未产生恶劣后果的非法访问。
4.2 故障与事故的报告渠道与处理4.2.1 故障、事故报告要求故障、事故的发现者应按照以下要求履行报告任务:a) 各个信息管理系统使用者,在使用过程中如果发现软硬件故障、事故,应该向该系统归口管理部门报告;如故障、事故会影响或已经影响线上生产,必须立即报告相关部门,采取必要措施,保证对生产的影响降至最低;b) 发生火灾应立即触发火警并向安全监督部报告,启动消防应急预案;c) 涉及企业秘密、机密及国家秘密泄露、丢失应向行政部报告;d) 发生重大信息安全事故,事故受理部门应向信息安全管理者代表和有关公司领导报告。
4.2.2 故障、事故的响应故障、事故处理部门接到报告以后,应立即进行迅速、有效和有序的响应,包括采取以下适当措施:a) 报告者应保护好故障、事故的现场,并采取适当的应急措施,防止事态的进一步扩大;b) 按照有关的故障、事故处理文件(程序、作业手册)排除故障,恢复系统或服务,必要时,启动业务持续性管理计划。
5 相关/支持性文件5.1《预防措施控制程序》5.2 《信息密级划分、标注及处理控制程序》5.3《信息安全奖励、惩戒规定》5.4 I《法律法规与符合性评估程序》6 记录保存期限6.1《信息安全风险评估报6.2《纠正/预防措施申请书》6.3《信息安全事故调查处理报告》6.4《信息安全薄弱点报告》1 目的与范围本程序规定了当发生重大信息安全事件或灾难时,为保护公司业务活动免受影响,迅速恢复已中断的业务活动,实现公司业务持续发展而实施的管理活动。
这些活动包括:建立业务持续性管理程序;进行业务持续性和影响分析;编制业务持续性战略计划;制订业务持续性管理实施计划并实施;对业务持续性管理计划进行定期测试和评审等。
本程序适应于本公司应用软件的开发和系统集成的活动等主要业务的持续性管理。
2 相关文件2.1《信息安全管理手册》2.2《信息资产的识别与风险评估管理程序》2.3《事故、薄弱点与故障管理程序》3 职责3.1 公司常务副总经理负责公司业务中断的恢复的总指挥与总协调。
3.2 集成部负责编制、修订公司业务持续性管理程序,并协调、推进公司业务持续性管理活动。
3.3 各部门负责部门相关系统的故障处理及与之相关的作业中断的恢复。
3.4 技术部负责项目实施过程中设备及软件系统的故障处理及与之相关的作业中断的恢复。
3.5 集成部负责后勤系统设备及网络系统的故障处理及与之相关的作业中断的恢复。
3.6 行政部负责本部门管理系统及与之相关的作业中断的恢复。
3.7 公司各部门在发生重大信息安全事件或灾难时,负责保护本部门使用的信息系统及业务数据,及时恢复中断的业务活动。
4 工作程序4.1 业务持续性管理过程公司业务持续性管理过程规定如下:4.2 业务持续性和影响的分析4.2.1 公司在首次信息安全风险评估后进行业务持续性和影响的分析。
4.2.2 业务持续性和影响的分析由集成部组织,技术部、行政部、生产部及管理者代表指定的相关部门分别开展以下活动:a)对本部门的信息安全进行风险评估;b)识别出对本部门业务持续性造成严重影响的主要事件,如设备故障、火灾等;c)分析这些事件一旦发生对公司业务活动造成的影响和损失,以及恢复业务所需费用等;d)编写本部门《业务持续性和影响分析报告》(格式见ISMS-4341)。
4.2.3《业务持续性和影响分析报告》应包括以下内容:a)识别关键业务的管理过程;b)可能引起公司业务活动中断的主要事件;c)主要事件对本部门管理的信息系统的影响;d)信息系统故障或中断对公司业务活动的影响;e)关于系统恢复或替换的费用考虑。
5 记录5.1《业务持续性和影响分析报告》5.2《业务持续性管理战略计划》5.3《业务持续性管理实施计划》5.4《业务持续性管理计划测试报告》5.5《业务持续性管理计划评审报告第一章总则第一条为保障公司的合法权益,充分发挥作为公司重要资产的技术秘密、商业秘密的效益,鼓励员工不断创造并自觉维护技术秘密、商业秘密的积极性,根据《知识产权管理总则》制订本制度。
第二条公司技术秘密、商业秘密的管理目标;技术秘密、商业秘密是本公司拥有的知识产权的组成部分,是公司的重要资产。
要在公司内牢固树立技术秘密、商业秘密的保护意识;技术秘密、商业秘密的管理贯穿研究开发、生产和经营的全过程。
明确商业秘密的界定和保护。
第三条公司内的相关管理制度、合同、记录等文献所有文件均属于商业机密。
第二章技术秘密、商业秘密的定义、确立和管理机制第四条 .本制度所称的技术秘密、商业秘密,是指由公司员工在职务范围内创造或履行职务产生的、经公司知识产权管理部门认定并采取了保密措施、只在公司一定范围内流传的、具有商业价值的所有信息或成果。
这些信息或成果以各种纸质材料、照片、录像和计算机等数字存储设备为载体而能够为人所感知。
具体包括:1.技术秘密。
包括:公司现有的或正在开发或者构思之中的或经过技术创新确定不宜于申请专利的营销方案,管理制度;2.经营信息包括:公司的市场营销计划、广告宣传方案、销售方法、供应商和客户名单、客户的专门需求、未公开的销售服务网络以及公司现有的、正在开发或者构思之中的经营项目等信息及其承载物;3.依据法律和有关协议对第三方负有保密责任的第三方商业秘密。
第五条. 确定为技术秘密、商业秘密的信息及其承载物,归公司所有。
第六条 . 技术秘密、商业秘密的确定程序:1.由参与药品研发创新,研发部就某一项或几项信息,向公司行政管理部门申报;2.行政董事接到申报后采取:a)指定参与者中一人专门保管成果或信息的承载物,可以采取加密措施。
被指定人一般是项目或业务负责人或菜肴创造者本人;b)向公司常务董事汇报并提出是否构成技术秘密、商业秘密建议。
必要时会同指定人向公司常务董事汇报;c) 公司行政董事在接到知识产权管理部门的汇报后应立即作出是否确定为技术秘密、商业秘密的决定;d)对于被确定为技术秘密、商业秘密的信息或成果,按照本制度第三章和第四章的有关规定具体落实管理措施。
e) 技术秘密、商业秘密的确定遵循随时产生随时确定的原则,实行动态管理;第七条商业秘密管理机制。
公司决策层负责技术秘密、商业秘密的整体工作。
及时、高效地作出审核、批准、否决等工作,定期检查各部门的保密工作,作出奖惩决定。
公司下属部门的负责人负责本部门的日常技术秘密、商业秘密管理和保护工作。
定期检查本部门的保密工作,配合支持知识产权管理部门履行公司技术秘密、商业秘密保护工作。
知识产权管理部门是公司技术秘密、商业秘密保护工作的职责机构,具体操作落实与协调商业秘密保护的各项工作.公司全体员工是技术秘密、商业秘密保护的实施者。
全体员工应当牢固树立知识产权意识,自觉维护公司的商业秘密。
第三章技术秘密、商业秘密及其承载物的管理第八条根据本制度第六条的规定,被决策层确立为技术秘密、商业秘密的信息或成果,由知识产权管理部门确立密级和保密期限。
密级划分的标准、保密期限的确立,要参考该信息或成果同公司业务的联系程度、与同行业竞争的影响力度、是否为公司运营的关键等因案,由知识产权管理部门划定。
商业秘密的申报人应当提供意见。
第九条按照技术秘密、商业秘密需要保密的程度,参考第八条的标准,技术秘密、商业秘密分为三级;绝密、机密、保密。
引外,对于不宜于对外的信息,由行政管理部门确立为“内部使用”的资料,参照本制度做好保密工作。
绝密——是指一旦泄漏会使公司遭受严重危害和重大损失的信息或成果,包括;公司核心管理秘密、技术诀窍、财务报表、药品研发工艺、特殊化合同。
机密——是指理一旦泄漏会使公司遭受危害和较大损失的信息,包括:产品开发、市场营销等各类工作计划、公司内部重要文件。
保密——是指一旦泄漏会使公司遭受损失的信息,包括;药品销售情况,用户名单及其分布,用户需求信息,限于一定范围阅读的公司内部文件等。
内部使用的信息或成果——是指一旦泄漏会对公司业务产生一定不良影响的可能的信息或成果,只限于内部员工阅读的公司内部文件。
第十条. 保密资料由专人负责管理。
公司财务部对交接来的技术秘密、商业秘密档案材料,根据其密级于档案卷宗封面加盖保密印章,登记、编号后统一放置保密资料专门存放处保存,并建立台帐登记,重要的资料柜实行双钥匙制度。
公司各部门要设立保密资科柜,用于存放各部门经常运用的或暂时无法交存公司财务部门保存的技术秘密、商业秘密档案材料,该资料拒应由专人管理。
第十一条 . 商业技术机密材料的借阅,必须经公司行政董事批准,确定借阅时间,使用后立即归还,不得延期,更不得交与他人使用。
第十二条 . 商业技术机密材料的复印,必须经公司行政董事批准后,由专人(理应是财务部经理)复印,未见公司行政董事批准意见,一律不得复印。
复印由专人负责,复印期间不得向他人泄漏,复印后应当立即将复印稿和原稿交还申请复印人,废稿要立即销毁,不得留存或随意丢弃。