staking la gi bảo vệ thông tin cá nhân và bảo mật dữ liệu xây dựng của Trung Quốc

The staking la gi bảo mật dữ liệu và bảo vệ thông tin cá nhân củaTập đoàn Kỹ thuật Xây dựng Nhà nước Trung Quốc Limited

一、Tổng quan

I Tổng quan

Tập đoàn TNHH Kỹ thuật Xây dựng Nhà nước Trung Quốc (sau đây gọi tắt là"Xây dựng Nhà nước Trung Quốc" hoặc "Công ty") tuân thủ staking la gi "lãnh đạo thống nhất, trách nhiệm phân cấp; lập kế hoạch tổng thể và cải tiến liên tục; nhấn mạnh bình đẳng vào phòng ngừa toàn diện và quản lý kỹ thuật; tham gia đầy đủ và nâng cao nhận thức" trong công tác quản lý bảo mật dữ liệu và mạng, tuân thủ nghiêm ngặt các yêu cầu bảo mật dữ liệu trong luật và quy định như Luật An ninh mạng của Cộng hòa Nhân dân Trung Hoa, Luật Bảo mật Dữ liệu của Cộng hòa Nhân dân Trung Hoa và Hệ thống Bảo vệ Cấp độ An ninh Mạng Quốc gia, thiết lập và cải thiện hệ thống quản lý bảo mật dữ liệu, và thực hiện quản lý và kiểm soát rủi ro bảo mật dữ liệu Các điểm chính trong staking la gi bảo vệ thông tin cá nhân và bảo mật dữ liệu của China Construction (sau đây gọi là "staking la gi này") được thiết kế để đảm bảo tính bảo mật, toàn vẹn và sẵn có của tài sản thông tin của công ty, bảo vệ lợi ích kinh doanh của công ty, quyền riêng tư của khách hàng và duy trì danh tiếng của công ty

Tập đoàn Kỹ thuật Xây dựng Nhà nước Trung QuốcGiới hạn(sau đây gọi là “CSCEC” hoặc “Công ty”) tuân thủ nguyên tắccủa “sự lãnh đạo thống nhất với trách nhiệm giải trình theo cấp bậc;lập kế hoạch tổng thể với sự tối ưu hóa liên tục; toàn diệnrủi rophòng ngừa với sự chú trọng ngang nhau về quản lý và công nghệ; và tham gia đầy đủ với nhận thức nâng cao” trong các hoạt động quản lý bảo mật dữ liệu và an ninh mạng của mình Công ty tuân thủ nghiêm ngặt các luật và quy định hiện hành quản lý bảo mật dữ liệu, bao gồm cảLuật An ninh mạng của Cộng hòa Nhân dân Trung Hoa, cáiLuật bảo mật dữ liệu của Cộng hòa Nhân dân Trung Hoa, Chương trình bảo vệ đa cấp quốc gia (MLPS) và các yêu cầu bảo mật dữ liệu theo luật định khác, the Công ty phát triển và lặp lại hệ thống quản trị bảo mật dữ liệu của mình, đồng thời cung cấp biện pháp kiểm soát rủi ro bảo mật dữ liệu trong toàn bộ vòng đời.TheNhững điểm chính trong staking la gi quản lý bảo mật dữ liệu và bảo vệ thông tin cá nhân của CSCEC (sau đây gọi tắt là “cái nàystaking la gi”) nhằm đảm bảo tính bảo mật, tính toàn vẹn và tính sẵn có của tài sản thông tin của Công ty, bảo vệ lợi ích kinh doanh của Công ty và quyền riêng tư của khách hàng cũng như bảo vệ danh tiếng của Công ty

二、Phạm vi staking la gi

II Phạm vi ứng dụng

staking la gi này áp dụng cho công ty chúng tôi, các văn phòng được cử đến và các công ty con Các tổ chức ở nước ngoài có thể thực hiện các sửa đổi phù hợp khi thực hiện các quy định này theo yêu cầu cụ thể của các quy định an ninh mạng có liên quan ở khu vực của họ Trong các lĩnh vực đặc biệt, yêu cầu cụ thể trong quy định này có thể được thực hiện theo yêu cầu cụ thể của đơn vị cấp trên tương ứng Công ty khuyến khích tất cả giám đốc, quản lý cấp cao và nhân viên cũng như các đối tác trong chuỗi giá trị (bao gồm nhà cung cấp dịch vụ, nhà cung cấp, đối tác, vv) tuân theo staking la gi này và cùng nhau bảo vệ thông tin và bảo mật quyền riêng tư

staking la gi này áp dụng cho Công ty, các văn phòng hiện trường và tất cả các công ty con Các tổ chức ở nước ngoài có thể thực hiện những điều chỉnh phù hợp khi thực hiện staking la gi này theo các yêu cầu cụ thể của luật và quy định về an ninh mạng hiện hành tại khu vực pháp lý tương ứng của họ Các thực thể hoạt động trong các lĩnh vực đặc biệt có thể, dựa trên yêu cầu cụ thể của cơ quan giám sát có thẩm quyền, thực hiện các quy định liên quan của staking la gi này bằng cách tham khảo Công ty khuyến khích tất cả các giám đốc, nhân viên quản lý cấp cao, nhân viên và đối tác trong chuỗi giá trị, bao gồm cả nhà cung cấp dịch vụ,nhà thầu/nhà thầu phụ/nhà cung cấpvà các đối tác kinh doanh phải tuân thủstaking la gi này và cùng nhau bảo vệ thông tin cũng như bảo mật quyền riêng tư

三、Quản lýCơ cấu tổ chức

III Cơ cấu tổ chức

Công ty đã thiết lập cơ cấu quản trị bảo mật dữ liệu bao gồm ban giám đốc, quản lý cấp cao, các tổ chức ở mọi cấp độ và phòng ban Công ty đã thành lập các nhóm lãnh đạo số hóa và an ninh mạng, các nhóm công tác số hóa và an ninh mạng, bộ phận quản lý thông tin, trung tâm thông tin và các cơ cấu tổ chức khác Nhóm Lãnh đạo An ninh Mạng và Kỹ thuật số, do Chủ tịch đứng đầu cùng một số giám đốc và đội ngũ quản lý cấp cao làm thành viên chính, là tổ chức lãnh đạo cao nhất về quản lý bảo mật dữ liệu Nó thực hiện các trách nhiệm liên quan đến quản lý bảo mật dữ liệu theo các quy định pháp lý và quy tắc của công ty, thường xuyên lắng nghe các báo cáo bảo mật dữ liệu và đưa ra các quyết định cũng như triển khai quan trọng, đồng thời chịu trách nhiệm hoàn toàn về công việc bảo mật mạng Nhóm công tác về số hóa và an ninh mạng chịu trách nhiệm thúc đẩy và triển khai công tác an ninh mạng,Phối hợp bảo vệ an ninh mạng và xử lý sự cố quan trọngBộ phận quản lý thông tin là tổ chức hàng ngày chịu trách nhiệm quản lý an ninh mạng và đảm nhận các chức năng quản lý an ninh mạng Trung tâm Thông tin chịu trách nhiệm thực hiện các nhiệm vụ khác nhau do Phòng Quản lý Thông tin giao, cung cấp việc xây dựng và bảo mật mạngHoạt độngvà các dịch vụ kỹ thuật khác Các bộ phận kinh doanh liên quan/Cơ quan được cử đi chịu trách nhiệm về bộ phận này/Quản lý công việc liên quan đến an ninh mạng trong quá trình xây dựng và sử dụng hệ thống thông tin kinh doanh có liên quan của các văn phòng được điều động, hợp tác thực hiện các nhiệm vụ an ninh mạng khác nhau và đảm nhận các trách nhiệm an ninh mạng tương ứng Mỗi công ty con có trách nhiệm thành lập tổ chức an ninh mạng riêng dựa trên tổ chức an ninh mạng của công ty cổ phần và báo cáo công ty cổ phần để lưu trữ

Chủ tịch công ty là người đầu tiên chịu trách nhiệm về an ninh mạng và bảo mật dữ liệu của công ty Các nhà quản lý cấp cao phụ trách an ninh mạng và bảo mật dữ liệu của công ty chịu trách nhiệm trực tiếp Họ báo cáo việc quản lý an ninh mạng và bảo mật dữ liệu cũng như việc thực hiện trách nhiệm với ban quản lý cấp cao hàng năm

Chủ tịch Công ty đóng vai trò là người chịu trách nhiệm chính về an ninh mạng và bảo mật dữ liệu Giám đốc điều hành cấp cao phụ trách an ninh mạng và bảo mật dữ liệu đóng vai trò là người chịu trách nhiệm trực tiếp Tình trạng quản lý an ninh mạng và bảo mật dữ liệu cũng như việc thực hiện các trách nhiệm liên quan phải được báo cáo hàng năm cho ban quản lý cấp cao

四、Cam kết và hành động quản lý bảo mật thông tin

IV Cam kết và hành động quản lý bảo mật thông tin

China State Construction cam kết liên tục thúc đẩy cải tiến và nâng cấp hệ thống quản lý an ninh thông tin, đồng thời thường xuyên tiến hành đánh giá theo chương trình và định kỳ về tính hiệu quả của hệ thống an ninh mạng Nếu cần thiết, Cục Quản lý thông tin sẽ tổ chức sửa đổi và cải tiến có mục tiêu hệ thống an ninh mạng Hệ thống sửa đổi sẽ được báo cáo lên văn phòng tổng giám đốc công ty để xem xét nhằm đảm bảo staking la gi bảo mật thông tin khoa học và hiệu quả

CSCEC cam kết liên tục tăng cường và nâng cấp hệ thống quản lý bảo mật thông tin của mình Công ty tiến hành đánh giá theo quy trình và định kỳ về tính hiệu quả của các staking la gi an ninh mạng của mình một cách thường xuyên Trong trường hợp cần thiết, Cục Quản lý công nghệ thông tin tổ chức sửa đổi và cải tiến có mục tiêu đối với các staking la gi an ninh mạng có liên quan Các staking la gi sửa đổi sẽ được đệ trình lên Cuộc họp Văn phòng Tổng Giám đốc để xem xét nhằm đảm bảo rằng các staking la gi bảo mật thông tin vẫn hợp lý và hiệu quả về mặt khoa học

1.Kiểm tra hệ thống quản lý bảo mật thông tin

1 Kiểm tra hệ thống quản lý bảo mật thông tin

Công ty tuân theo các tiêu chuẩn chứng nhận hệ thống quản lý bảo mật thông tin được quốc tế công nhận (ISO/IEC27001) và Hệ thống cơ bản bảo vệ cấp độ an ninh mạng quốc gia, tổ chức kiểm toán nội bộ và đánh giá quản lý hệ thống quản lý an ninh thông tin hàng năm, do bộ phận quản lý thông tin tổ chứcthực thiOK, nội dung kiểm tra bao gồm tính hiệu quả của các biện pháp kỹ thuật bảo mật mạng hiện có, tính nhất quán của cấu hình bảo mật mạng và staking la gi bảo mật mạng, việc triển khai hệ thống quản lý an ninh mạng, tính hiệu quả của staking la gi bảo mật mạng và hồ sơ bảo mật mạng, lỗ hổng hệ thống và sao lưu dữ liệu, vv Thanh tra bên ngoài bao gồm thanh tra thực thi luật an ninh mạng và thanh tra theo quy định của ngành Lời mời hàng năm cóIAF、CNAS、CMACác tổ chức chuyên nghiệp có trình độ thực hiện hệ thống quản lý bảo mật thông tin và kiểm tra bảo mật hệ thống thông tin

Công ty tuân theo các tiêu chuẩn chứng nhận hệ thống quản lý bảo mật thông tin được quốc tế công nhận(ISO/IEC 27001) và hệ thống cơ bản quốc gia về Bảo vệ an ninh mạng được phân loại (MLPS) Việc kiểm toán nội bộ và đánh giá quản lý hệ thống quản lý an toàn thông tin được thực hiện hàng năm dưới sự tổ chức của Cục Quản lý Công nghệ thông tin Việc kiểm tra bao gồm, trong số các vấn đề khác, tính hiệu quả của các biện pháp kỹ thuật an ninh mạng hiện có, tính nhất quán giữa cấu hình an ninh mạng và staking la gi an ninh mạng, việc triển khai hệ thống quản lý an ninh mạng, tính hiệu quả của staking la gi an ninh mạng và hồ sơ an ninh mạng, lỗ hổng hệ thống và sắp xếp sao lưu dữ liệukiểm tra tại chỗvà thanh tra theo quy định của ngành Mỗi năm Công ty đều tham gia tổ chức chứng nhận của bên thứ bađược IAF, CNAS và CMA công nhận để tiến hành kiểm tra hệ thống quản lý bảo mật thông tin và kiểm tra bảo mật hệ thống thông tin

2.Quản lý rủi ro bảo mật thông tin

2 Quản lý rủi ro bảo mật thông tin

Công ty tiến hành đánh giá rủi ro toàn diện đối với các hệ thống thông tin quan trọng hàng năm Trong các sự kiện lớn hoặc giai đoạn nhạy cảm, các đánh giá đặc biệt về hệ thống thông tin sẽ được đưa ra khi cần thiết Các phương pháp đánh giá được chia thành tự đánh giá và đánh giá của bên thứ ba, việc khắc phục được thực hiện dựa trên kết quả đánh giá rủi ro Công ty thường xuyên tiến hành quét và đánh giá lỗ hổng để xác định các lỗ hổng bảo mật mạng và các mối nguy hiểm tiềm ẩn Nó kịp thời đánh giá và sửa chữa các lỗi dữ liệu được phát hiện, lỗ hổng bảo mật mạng và các mối nguy hiểm tiềm ẩn Đối với những lỗ hổng an ninh mạng và những mối nguy hiểm tiềm ẩn không thể khắc phục tạm thời thì phải thực hiện các biện pháp bảo vệ hiệu quả khác để giảm thiểu rủi ro

Công ty tiến hành đánh giá rủi ro toàn diện đối với các hệ thống thông tin quan trọng của mình mỗi năm một lần Trong các sự kiện lớn hoặc giai đoạn nhạy cảm, các đánh giá đặc biệt về hệ thống thông tin có thể được thực hiện khi cần thiết Đánh giá rủi ro có thể được thực hiện thông qua tự đánh giá hoặc đánh giá của bên thứ ba và các hành động khắc phục sẽ được thực hiện dựa trên kết quả đánh giá Công ty thường xuyên thực hiện quét lỗ hổng và kiểm tra bảo mật để xác định các lỗ hổng và rủi ro an ninh mạng Mọi thiếu sót về dữ liệu, lỗ hổng an ninh mạng và rủi ro bảo mật được xác định sẽ được đánh giá và khắc phục kịp thời Trong trường hợp không thể giải quyết ngay các lỗ hổng hoặc rủi ro, các biện pháp bảo vệ hiệu quả khác sẽ được triển khai để giảm thiểu rủi ro liên quan

3.Quản lý bảo mật dữ liệu

3 Quản lý bảo mật dữ liệu

Công ty đã xây dựng "Các biện pháp quản lý dữ liệu của Tập đoàn Kỹ thuật Xây dựng Nhà nước Trung Quốc Limited" Theo yêu cầu của các biện pháp quản lý, dữ liệu được phân loại và phân loại, đồng thời làm rõ các yêu cầu kiểm soát và quản lý toàn bộ quy trình đối với các dữ liệu được phân loại và phân loại khác nhau

Công ty đã xây dựngCác biện pháp quản lý dữ liệu của Tập đoàn Kỹ thuật Xây dựng Nhà nước Trung Quốc Ltd, theo đó dữ liệu được phân loại và phân loại theo nội dung cũng như mục đích sử dụng, với các yêu cầu kiểm soát toàn bộ vòng đời được thiết lập cho các danh mục và loại khác nhausự hóa dữ liệu.

Trong giai đoạn thu thập dữ liệu, nguồn thu thập và thu thập dữ liệu, phạm vi và tần suất thu thập dữ liệu được xác định rõ ràng và phạm vi thu thập và thu thập dữ liệu được đảm bảo giới hạn ở dữ liệu mà doanh nghiệp yêu cầu Thực hiện các biện pháp kiểm soát cần thiết đối với môi trường thu thập và thu thập dữ liệu (như kênh thu thập), cơ sở vật chất và công nghệ để tránh mất, rò rỉ dữ liệu và các rủi ro khác trong quá trình thu thập dữ liệu Trong giai đoạn truyền dữ liệu, theo phân loại dữ liệu, dữ liệu nhạy cảm phải được mã hóa trong quá trình truyền và dữ liệu riêng tư cá nhân phải được mã hóa

Trong giai đoạn thu thập dữ liệu, nguồn, phạm vi và tần suất thu thập và thu thập dữ liệu phải được xác định rõ ràng để đảm bảo rằng chỉ những dữ liệu cần thiết cho hoạt động kinh doanh mới được thu thập và thu thập Các biện pháp kiểm soát cần thiết sẽ được thực hiện đối với môi trường thu thập và thu thập dữ liệu (như kênh thu thập), cơ sở vật chất và công nghệ để tránh những rủi ro như mất và rò rỉ dữ liệu trong quá trình thu thập dữ liệu Trong giai đoạn truyền dữ liệu, dữ liệu phải được bảo vệ theo cấp độ phân loại của chúng Dữ liệu nhạy cảm phải được mã hóa trong quá trình truyền và thông tin cá nhân phải được mã hóa trong quá trình truyền

Giai đoạn trao đổi dữ liệu nên giới hạn phạm vi trao đổi dữ liệu theo nhu cầu kinh doanh và sử dụng công nghệ trao đổi dữ liệu an toàn và đáng tin cậy để tránh các rủi ro như mất và rò rỉ dữ liệu trong quá trình trao đổi dữ liệu

Trong giai đoạn trao đổi dữ liệu, phạm vi trao đổi dữ liệu sẽ bị giới hạn theo nhu cầu kinh doanh Các công nghệ an toàn và đáng tin cậy sẽ được áp dụng để tạo điều kiện thuận lợi cho việc trao đổi dữ liệu và giảm thiểu rủi ro như mất dữ liệu và rò rỉ dữ liệu trong quá trình trao đổi

Trong giai đoạn lưu trữ dữ liệu, theo phân loại dữ liệu, dữ liệu nhạy cảm phải được mã hóa và lưu trữ mang tính cá nhânDữ liệu về quyền riêng tưPhải được lưu trữ ở dạng mã hóa

Trong giai đoạn lưu trữ dữ liệu, dữ liệu phải được bảo vệ theo cấp độ phân loại của chúng Dữ liệu nhạy cảm sẽ được lưu trữ ở dạng mã hóa và thông tin cá nhân phải được mã hóa khi lưu trữ

Xử lý dữ liệuXử lý cá nhân theo từng giai đoạnDữ liệu về quyền riêng tưKhi sử dụng dữ liệu nhạy cảm, nên thực hiện ẩn danh dữ liệu/Khử nhận dạng hoặc giải mẫn cảm dữ liệu để tránh dữ liệu bị rò rỉ và phá hủy trong quá trình xử lý

Trong giai đoạn xử lý dữ liệu, thông tin cá nhân hoặc dữ liệu nhạy cảm sẽtrải qua quá trình ẩn danh, khử nhận dạng hoặc giải mẫn cảm trước khi xử lý để ngăn chặn việc tiết lộ hoặc giả mạo trái phép.

Hủy bỏ dữ liệuGiai đoạn: Thiết lập cơ chế hủy dữ liệu tương ứng theo phân loại và phân loại dữ liệu, thiết lập vai trò giám sát liên quan đến việc hủy và giám sát quá trình vận hành

Trong giai đoạn hủy dữ liệu, các cơ chế hủy dữ liệu thích hợp sẽ được thiết lập dựa trên yêu cầu phân loại và phân loại dữ liệu Các vai trò giám sát liên quan sẽ được chỉ định để giám sát và giám sát quá trình tiêu hủy

4.Bảo vệ thông tin cá nhân khách hàng

4 Bảo vệ thông tin cá nhân của khách hàng

Công ty quy định trong giai đoạn thu thập thông tin cá nhân của khách hàng, chủ thể dữ liệu phải được thông báo về mục đích xử lý, phương pháp xử lý và các biện pháp quản lý an toàn để xử lý thông tin cá nhân Các chi tiết được thông báo sẽ không bị vi phạm nếu không có sự đồng ý rõ ràng của chủ thể dữ liệu Nếu nhu cầu kinh doanh thay đổi và mục đích cũng như phương pháp xử lý dữ liệu được thay đổi hoặc mở rộng, chủ thể dữ liệu phải được thông báo kịp thời và phải có sự đồng ý rõ ràng của họ Ẩn danh dữ liệu khi xử lý thông tin cá nhân hoặc dữ liệu nhạy cảm/Khử nhận dạng hoặc giải mẫn cảm dữ liệu để tránh dữ liệu bị rò rỉ và phá hủy trong quá trình xử lý Người dùng dữ liệu phải đảm bảo nguồn dữ liệu họ sử dụng tuân thủ pháp luật và không được sao chép, sử dụng, phổ biến hoặc lưu dữ liệu không liên quan đến công việc của họ một cách riêng tư Đối với thông tin cá nhân, nếu vì lý do đặc biệt, dữ liệu không thể bị hủy hoàn toàn sau khi hết thời gian lưu trữ dữ liệu thì nên thực hiện hủy nhận dạng để tránh trường hợp dữ liệu được lưu giữ vẫn có thể được nhận dạng là một cá nhân

Công ty yêu cầu rằng, trong quá trình thu thập thông tin cá nhân của khách hàng, chủ thể dữ liệu phải được thông báo về mục đích xử lý, phương pháp xử lý và các biện pháp quản lý bảo mật áp dụng cho thông tin cá nhân của họ Trước khi nhận được sự đồng ý rõ ràng của chủ thể dữ liệu, thông tin cá nhân sẽ không được xử lý ngoài các chi tiết đã thông báo trước đó hoặc dữ liệu nhạy cảm, các biện pháp ẩn danh, khử nhận dạng hoặc giải mẫn cảm dữ liệu phải được triển khai để ngăn dữ liệu bị tiết lộ hoặc bị xâm phạm trong quá trình xử lý Người dùng dữ liệu phải đảm bảo rằng dữ liệu họ sử dụng được lấy từ các nguồn hợp pháp và tuân thủ và không được sao chép, sử dụng, phổ biến hoặc lưu giữ dữ liệu không liên quan đến trách nhiệm công việc của họ mà không được phép Trong trường hợp thông tin cá nhân không thể bị hủy hoàn toàn sau khi hết thời hạn lưu giữ hiện hành do các trường hợp đặc biệt, các biện pháp hủy nhận dạng sẽ được áp dụng để đảm bảo rằng mọi dữ liệu được lưu giữ không còn có thể được sử dụng để nhận dạng các cá nhân cụ thể

5.Đảm bảo kinh doanh liên tục

5 Đảm bảo tính liên tục trong kinh doanh

Công ty đảm bảo hoạt động kinh doanh liên tục thông qua quản lý nhiệm vụ kiểm tra và dự phòng và khắc phục thảm họa Tùy theo tầm quan trọng của dữ liệu và tác động của dữ liệu đến vận hành hệ thống, xây dựng chiến lược sao lưu và phục hồi dữ liệu, quy trình sao lưu và phục hồi, vv Xây dựng cơ chế quản lý nhiệm vụ kiểm tra để tiến hành kiểm tra thường xuyên phòng máy tính, máy chủ, cơ sở dữ liệu, thiết bị mạng, hệ thống, nhật ký, vv để đảm bảo hoạt động kinh doanh liên tục

Công ty đảm bảo hoạt động kinh doanh liên tục thông qua quản lý dự phòng và khắc phục thảm họa cũng như cơ chế kiểm tra và quản lý nhiệm vụ Dựa trên tầm quan trọng của dữ liệu và tác động của nó đối với hoạt động của hệ thống, Công ty đã thiết lập các chiến lược, quy trình sao lưu và phục hồi dữ liệu cũng như các biện pháp liên quan Công ty cũng có đã thành lậpcơ chế kiểm tra và quản lý nhiệm vụ, trong đó các cuộc kiểm tra thường xuyên được tiến hành đối với phòng máy tính, máy chủ, cơ sở dữ liệu, thiết bị mạng, hệ thống và nhật ký để đảm bảo hoạt động kinh doanh được vận hành liên tục

6.Đào tạo bảo mật thông tin

6 Đào tạo về An toàn thông tin

Tăng cường giáo dục, đào tạo về nghĩa vụ bảo vệ thông tin, rủi ro và quy tắc ứng xử cho toàn thể nhân viên, nâng cao nhận thức và trách nhiệm bảo vệ thông tin của nhân viên, ký “Thỏa thuận bảo mật” khi gia nhập công ty và thực hiện giáo dục an toàn Thực hiện quản lý hợp đồng lao động và đào tạo nhân sự cho nhân sự ở các vị trí liên quan đến bí mật kinh doanh, bí mật công việc của công ty Thường xuyên tổ chức đào tạo nghiệp vụ, kỹ thuật cho nhân sự ở các vị trí chủ chốt về an ninh mạng và tiến hành đánh giá bằng văn bảnCông ty cũng sẽ tiến hành tuyên truyền về an ninh mạng cho nhân viên bên ngoài để đảm bảo rằng họ biết và tuân thủ các hệ thống liên quan đến an ninh mạng của công ty

Công ty tăng cường giáo dục và đào tạo cho tất cả nhân viên về nghĩa vụ bảo vệ thông tin, rủi ro và các yêu cầu về hành vi nhằm nâng caocủa họnhận thức và trách nhiệm bảo vệ thông tin Sau khi gia nhập, nhân viên phải ký vào bản cam kếtThỏa thuận bảo mậtvà được đào tạo nâng cao nhận thức về bảo mật Đối với những nhân viên có vị trí liên quan đến việc tiếp cận bí mật thương mại và thông tin kinh doanh bí mật của Công ty, Công ty sẽ triển khai các biện pháp quản lý hợp đồng lao động và đào tạo nhân sự phù hợp Đào tạo kỹ thuật chuyên nghiệp được cung cấp thường xuyên cho nhân viên đảm nhiệm các vị trí quan trọng về an ninh mạng và các đánh giá bằng văn bản cũng được tiến hành tương ứng Công ty cũng cung cấp chương trình đào tạo nâng cao nhận thức về an ninh mạng cho nhân viên bên ngoài để đảm bảo rằng họ hiểu và tuân thủ các staking la gi liên quan đến an ninh mạng của Công ty

7.Trách nhiệm chính của toàn thể nhân viên

7 Trách nhiệm chính của tất cả nhân viên

Tất cả nhân viên đều tham gia giám sát quản lý an ninh thông tin人Tất cả nhân viên phải tuân thủ nghiêm ngặt hệ thống quản lý bảo mật và an ninh thông tin của công ty và chủ động thực hiện quản lý bảo mật thông tinbản thânTrách nhiệm Nhân viên báo cáo các tình huống bất thường ảnh hưởng đến hoạt động kinh doanh tới trung tâm thông tin，Nhân viên vận hành và bảo trì an ninh mạng tìm các cảnh báo an ninh thông qua các công cụ giám sát và báo cáo cho trung tâm thông tin。

Tất cả nhân viên đều là người tham gia giám sát việc quản lý bảo mật thông tin và phải tuân thủ nghiêm ngặt các staking la gi quản lý bảo mật và bảo mật thông tin của Công ty cũng như chủ động thực hiện trách nhiệm bảo mật thông tin cá nhân của mình Nhân viên phát hiện tình huống bất thường có thể ảnh hưởng đến hoạt động kinh doanh có trách nhiệm báo cáo sự cố đó cho Trung tâm thông tin Nhân viên vận hành và bảo trì an ninh mạng xác định cảnh báo bảo mật thông qua các công cụ giám sát cũng phải báo cáo chúng cho Trung tâm thông tin

8.Quản lý đối tác

8 Quản lý đối tác

Công ty cần có đối tác (bao gồmNhà cung cấp）Phải đảm bảo rằng khả năng bảo vệ an ninh mạng của mình tuân thủ các quy định quốc gia có liên quan và tuân thủTuân thủ các yêu cầu liên quan của "Các biện pháp quản lý tuyển chọn và tuyển dụng đối với các tổ chức dịch vụ bên ngoài của Trụ sở Tập đoàn Kỹ thuật Xây dựng Nhà nước Trung Quốc" Công ty làm rõ trách nhiệm về an ninh mạng và các nghĩa vụ an ninh mạng bắt buộc bằng cách ký thư trách nhiệm về an ninh mạng, thỏa thuận dịch vụ và thỏa thuận bảo mật với các nhà cung cấp, đồng thời giám sát và quản lý chúng Công ty thường xuyên giám sát, đánh giá, kiểm toán các dịch vụ do nhà cung cấp cung cấp, đồng thời kiểm soát những thay đổi về nội dung dịch vụ để không ảnh hưởng đến tính bảo mật của nội dung dịch vụ

Công ty yêu cầu các đối tác của mình, bao gồm cả nhà cung cấp, đảm bảo rằng khả năng bảo vệ an ninh mạng của họ tuân thủ các yêu cầu hiện hành của quốc gia và đáp ứng các quy định có liên quan củaCác biện pháp lựa chọn và thu hút các nhà cung cấp dịch vụ bên ngoài tại Trụ sở chính của Tập đoàn Kỹ thuật Xây dựng Nhà nước Trung QuốcCông ty TNHH. Thông qua các cam kết về trách nhiệm an ninh mạng, thỏa thuận dịch vụ và thỏa thuận bảo mật được ký kết với các nhà cung cấp, Công ty xác định rõ trách nhiệm và nghĩa vụ an ninh mạng của mình cũng như tiến hành giám sát và quản lý tương ứng Công ty thường xuyên giám sát, đánh giá và kiểm tra các dịch vụ do nhà cung cấp cung cấp và thực hiện kiểm soát những thay đổi đối với nội dung dịch vụ nhằm ngăn chặn mọi tác động bất lợi đến tính bảo mật của các dịch vụ đó

五、Kênh báo cáo vấn đề bảo mật thông tin

V Kênh báo cáo sự cố bảo mật thông tin

Công ty đã thiết lập đường dây nóng báo cáo sự cố an ninh mạng Tất cả nhân viên đều hoàn thành trách nhiệm bảo mật mạng của mình và chủ động báo cáo các manh mối sự cố như email lừa đảo và thông tin có hại Đội ngũ bảo mật thông tin luôn túc trực 24/24, ghi lại các báo cáo theo thời gian thực và bắt đầu các quy trình điều tra sự cố để đảm bảo các kênh báo cáo thông suốt về các sự cố đáng ngờ cũng như khả năng ứng phó và xử lý hiệu quả Thành lập công ty24Điện thoại trực hàng giờ để tiếp nhận khiếu nại, phản ánh về sự cố an toàn thông tin từ khách hàng và công chúng

Công ty đã thiết lập đường dây nóng báo cáo sự cố an ninh mạng Tất cả nhân viên đềubắt buộc phải báo cáo những manh mối đáng ngờ như email lừa đảo và thông tin độc hại. Nhóm an ninh mạng nội bộ duy trì dịch vụ trực 24/7 để lưu trữ các báo cáo gửi đến và tiến hành điều tra ngay lập tức để xử lý sự cố hiệu quảCông ty cũng đã thiết lập đường dây nóng 24 giờ để tiếp nhận khiếu nại và báo cáo liên quan đến sự cố bảo mật thông tin từ khách hàng và công chúng

Công ty sẽ sửa đổi và cập nhật kịp thời các staking la gi liên quan dựa trên staking la gi quốc gia, yêu cầu pháp lý, sự phát triển của ngành và điều kiện nội bộ

Công tybảo lưu quyền sửa đổivà cập nhật các staking la gi liên quan khi thích hợp để đáp ứng các staking la gi quốc gia, yêu cầu pháp lý, sự phát triển của ngành và điều kiện nội bộ