ISO27001认证信息安全管理体系认证咨询顾问辅导培训办理

知识产权

 1 公司尊重知识产权，按法律、法规和合同约定保护知识产权，公司的知识产权控制策略是：

a. 公司从正当渠道获取各类软件、专利或专有技术，以保证其合法版权和产权不受侵害；

b. 公司保留各类软件和技术的所有权证书、母盘、手册等证明和证据；

c. 公司员工应遵守从公众网络获得软件和信息时的其限制条款规定；

d. 法律、法规和合同约定的要求有限制内容的，公司员工除非得到版权的许可，否则不得复制、转换到另一种格式以提取文件内容,不得整体或部分的复制书、文章、报告和其他文档。

 2 公司在物业服务项目开发、实施过程中，应按照合同规定进行知识产权保护。

 3 公司物业服务在对外合作、使用时应明确使用权限和限制内容。

 记录的保护

 1 记录根据不同的类型进行妥善保存，书面文档、电子文档记录的保存见《记录控制程序》。

 .2 各部门应妥善保护重要记录，以满足法律法规、合同或业务的要求。

 数据保护和个人信息的隐私

 1数据保护和隐私策略：

个人档案信息为公司秘密信息，由人力资源部妥善保管，凡涉及个人档案信息的数据不得通过网络传递，未经本人同意，除非法律规定，公司不向任何单位提供个人档案信息。

 2 该策略应通知到涉及私人信息处理的所有人员。

  防止信息处理设施的滥用

 1 信息处理设施的使用授权按授权范围进行，其他人员（包括外部人员）使用信息处理设施的应经批准。任何未经授权使用信息处理设施，均为信息处理设施的滥用。

 2 所有用户应知道允许其访问的准确范围，任何越权的访问均为信息处理设施的滥用。

 3任何出于非业务目的使用信息处理设施，均为信息处理设施的滥用。

 4任何信息处理设施的滥用一经发现，按《信息安全事件处理程序》进行处罚。

 密码控制措施的规则

 1 公司根据业务要求确定是否使用商用密码产品，商用密码产品的使用按相关要求进行。

 2 应使用经国家密码管理机构认可的商用密码产品。

 3生成密码的密钥由办公室负责保存，要防范密钥非授权的泄露。用来生成、存储和归档密钥的设备应进行物理保护。

 4任何员工不得非法攻击商用密码，不得利用商用密码危害国家的安全和利益、危害社会治安或者进行其他违法犯罪活动的要求。

  信息安全检查

 1信息安全管理委员会负责组织信息安全的检查，信息安全的检查每月进行一次，检查应形成《信息安全检查表》。

 2信息安全的检查内容至少包括但不限于：

a) 公司信息安全的方针策略、程序、制度执行情况；

b) 公司人力资源安全管理情况；

c) 公司安全区域管理情况；

d) 公司涉密文件管理情况； 

e) 公司知识产权保护情况；

f) 公司信息系统安全情况；

g) 公司相关方管理和第三方服务管理情况；

h) 信息安全的事件管理情况。

 3 在检查过程中，检查人员不得越权访问涉密信息，必要时，应经CEO批准，以防止由于检查带来的信息安全风险。

 4 对检查发现的问题和薄弱点，检查人员应现场通知被检查部门的负责人，被检查部门的负责人应立即组织纠正。

 5 对检查发现的安全薄弱点，检查人员除进行记录上报外，有义务进行保密。

 6 对检查发现的问题，被检查部门的负责人应制定纠正措施并实施，同时将纠正措施及实施情况报信息安全管理委员会。信息安全管理委员会应对纠正措施实施情况进行检查。