内部使用 信息安全组织管理制度 版本号状态拟稿和修改时间说明 V1.0新建 2021/02/10 V2.0修改 2023/4/2第一章总则 第一条目的 为了北京思度文库股份有限公司（以下简称“公司”）建立完善的内外组 织系统，保证内外部组织渠道的畅通，及时了解公司体系运行情况，确保体系 有效运行，特制定公司信息安全组织管理制度。 第二条适用范围 本制度适用于公司业务组织的安全管理，包括： (一)内部之间的组织； (二)信息系统与外部系统之间的组织； (三)与供应商、客户等相关单位和个人间的组织。 第三条引用文件 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的 引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本 标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期 的引用文件，其最新版本适用于本标准。 GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全 管理体系要求 GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全 管理实施细则第二章职责与权限 第四条信息安全工作小组 维持内部的信息沟通，向公司内部人员传达与信息安全有关的法规资料及 政策，接收内部人员对信息安全管理体系的意见并采取相应行动。 第五条信息安全工作小组成员 收集员工对信息安全方面的意见，并向信息安全工作小组组长反映，协助 宣传及教育员工，使员工熟悉有关信息安全方面的知识。 第六条部门负责人 确保部门内容信息能及时有效沟通，对于公司内、外部所反馈的信息安全 方面的意见、建议进行审查，不断的改进、完善信息安全管理体系。 第三章内部组织及沟通 (一)信息安全工作小组组织各个部门通过公告、内部网络、宣传物品、 活动、通告、会议及培训把有关信息安全方面的政策及其它事项传达予各员工 ； (二)员工对公司信息安全管理体系有任何意见可向其部门主管或其所在 部门信息安全员建议、投诉；部门主管或信息安全员将员工的意见分类后向信 息安全工作小组反映； (三)信息安全管理体系的管理评审结果应由信息安全工作小组向各部门 负责人员讲解及监察其执行情况；(四)信息安全工作小组联同各部门建立及维护信息安全管理体系的文件 控制制度； (五)每月召开安全例会，传达公司安全精神和公司内部信息安全相关工 作； 第四章与监管机构联系 为及时了解政府相关监管机构新 出台的管理政策及法规，并 且依照相关管 理政策，公司应该遵守的通报规定，公司应与有关监管机构或相关政府机构定 期进行联系沟通，及时 掌握监管机构或政府部门 发布的相关信息，按照其相关 规定调整公司的经营方针、政策。对可能引 发的公司信息安全事件有所 预期， 在发生相关信息安全事件时可以及时取 得相关机构的协助。 公司对客户、员工、供应商等 利益相关方，需要定义与监管机构沟通的方 式、周期及接口部门。 第五章与特定利益集团联系 为及时了解行业相关 非营利机构新公布的信息，公司应保持与特定相关方 、 其他安全专家组和专业协会的适当联系，增进最佳实践的知识，掌握最新相关 安全信息； 获取以前的有关攻击和脆弱性的预警、公告和补丁； 获得信息安 全专家的建议； 共享和交换关于新的技术、产品、威胁或脆弱性的信息；当处 置信息安全事件时， 提供适当的联络点。 第六章项目管理中的信息安全 作为项目的一部份，信息安全 需整合到 组织的项目管理方法中，以确保识别并强调了信息安全风险。所有项目，无论其特征是什么，例如软件开发过程、 IT、设施管理和其他支持过程等方面的项目，均 需要使用以下的信息安全控制 措施进行管理： (一)重点项目启动前对人员和技术进行 风险评估及合同评估； (二)根据客户要求签订保密协议； (三)信息安全目的被纳入项目目的； (四)信息安全作为所采用的项目管理方法各个 阶段的一部分； (五)在所有项目中需定期评审信息安全 问题。 第七章笔记本电脑使用规定 (一)笔记本电脑设备必须 有严格的口令访问 控制措施，口令设置需满足 公司安全策略要求； (二)对无人看守的笔记本电脑设备必须 实施物理保护，必须放在带锁的 办公室、抽屉或文件柜里； (三)笔记本电脑设备丢失 或被窃后应及时报告给部门经理和行政部； (四)凡带出公司使用而遗失、被偷盗等均由个人负全责 赔偿； (五)除自然损坏外，凡人为损坏（如撞坏、跌坏、电源插错烧坏 等）由 本人负责修好，费用由个人承担； (六)笔记本电脑中除工作所需的软件外，不导入其他与工作无关的软件； (七)离开公司办公环境的设备和媒体在公共场所不能无人看管，出差员 工如需携带便携式计算 机，需要提前向直属领导/行政部提出申请 。在旅行时便 携式计算 机要作为手提行李携带不得托运，若可能宜伪装起来 。重要数据需加 密保存。第八章远程访问 管理 第七条远程接入的用户认证 (一)凡是接入公司的远程用户的访问必须 通过VPN并经过认证方可接 入； (二)认证用户必须使用8位以上复杂密码 ； (三)任何远程接入用户不得将自己的用户名、密码提供给任何人，包括 同事，家人； (四)所有远程接入用户的客户端或个人电脑必须 安装防病毒软 件并且病 毒库升级到最新。 第八条远程接入的审计 远程接入用户的操作必须要经过接入设备的审计。应记录相关日志，对用 户行为监控。 第九章实施策略 信息安全工作小组负责内部信息沟通的有效渠道建 设；