1) 数据保护和个人信息的隐私
谨慎遵守国家法律法规有关个人资料保密和隐私的规定,保护处理个人信息和数据安全。
2) 防止滥用信息处理设施
防止任何在受到管理的信息处理实施受到滥用。
3) 密码控制措施的规则
遵照《访问控制制度》执行密码策略。
如果需要加密措施,必须从法律顾问获取*建议以保证需要时符合有关规定。
为保证遵照有关规定需要采取以下控制措施:
a) 在获取加密技术前,要向*咨询并评估密码控制措施和要求;
b) 使用正式授权、购置和初始程序,保证遵照有关加密技术的法律;
c) 对受控加密项目与有关的执法机构(如国家商业密码办公室)进行合作。
保护组织的记录
所有的合同文件必须做如下保管:
a) 正版文件存档保存在安全区域;
b) 保存到文件所有者不用时为止。
对重要网络设备和服务器上的数据进行备份。
为防止公司的重要记录丢失、毁坏和被篡改。这些记录必须妥善保管,以符合法律法规要求,有利于重要的业务活动。此类记录包括但不限如下:
a) 可以作为证据证明运作符合法律法规规定的记录;
b) 可以确保能充分防范发生潜在的民事诉讼或刑事诉讼的记录;可以向主管部门、合作方和审计人员证实财务状况的记录。
信息保管的时间和数据内容根据国家法律法规而定。
存储和处理系统应该确保能够清楚识别记录以及法律法规规定的保管期。在保管期满后如果不再需要记录,则可以采用适当的方式予以销毁。
为了清楚地分析原因,过程和影响范围,确定级别和责任人,以利于改进,包括为可能涉及到的诉讼(民事的或刑事的)行为提供证据支持,在信息安全事件发生时,信息安全工作小组要进行证据的收集工作。
进行证据收集时要注意:
1) 及时性
重要的证据可能存在被故意或意外毁坏的危险,所以要在时间就要进行证据收集的工作。在证据收集追赶公司管辖权边界的情况下,应及时联系相关方面,包括委托相关组织或人员去收集需要的信息作证据。
2) 证据的份量:即证据的质量和完备性。
为了保证证据的份量,公司应当采取必要的控制措施来保证证据的质量和完备性控制要求,在从证据被发现到存储和处理的整个过程中,应通过一种强证据踪迹来论证。一般应该注意以下方面:
对纸面文档:原物应被安全保存且带有下列信息的记录:谁发现了这个文档,文档是在哪儿被发现的,文档是什么时候被发现的,谁来证明这个发现;任何调查应确保原物没有被篡改;
对计算机介质上的信息:任何可移动介质的镜像或拷贝(依赖于适用的要求)、硬盘或内存中的信息都应确保其可用性;拷贝过程中所有的行为日志都应保存下来,且应有证据证明该过程;原始的介质和日志(如果这一点不可能的话,那么至少有一个镜像或拷贝)应安全保存且不能改变。
任何法律*工作应仅在证据材料的拷贝上进行。所有证据材料的完整性应得到保护。证据材料的拷贝应在可信赖人员的监督下进行,什么时候在什么地方执行的拷贝过程,谁执行的拷贝活动,以及使用了哪种工具和程序,这些信息都应记录。
3) 证据的可容许性:即证据是否可在法庭上使用;
为了获得被容许的证据,公司应该确保信息系统符合任何公布的标准或实用规则来产生被容许的证据。
-/gbacfji/-
http://lsjsqd.b2b168.com
