【法规名称】
【颁布部门】 商务部
【颁布时间】 2012-01-11
【实施时间】 2012-01-11
【效力属性】 有效
【法规编号】 580032 什么是编号?
【正 文】
第29页 商务部关于下发《境外中资企业机构和人员安全管理指南》的通知
|
[接上页] 表 4‐4 物流风险控制表 (略) 4.6.3 安全检查与审核 对于物流中可能会因社会安全风险造成国际业务供应链中断的高风险环节,境外项目应从采购开始到结束安排专门人员进行跟踪、监督和审核,如果供应商采取的措施不能防止或将社会安全风险降低到可接受的程度,依据“最低合理可行(as low as reasonably practically,alarp)”的原则,应依据合适的方式要求其必须采取改进和补救性措施。境外项目应对供应商的社会安全管理工作开展以下检查和审核,检查和审核内容包括但不限于如下项目内容。 (1)能力评估与培训检查 境外中资企业应根据本指南第六章有关培训的规定和物流安全风险的评估结果,要求供应商制订年度或定期的培训计划,对所有受到安全风险影响的人员提供适宜的社会安全能力培训,包括社会安全风险的意识、防范能力,以及必要的应急技能等。确保供应商人员具备相应的社会安全风险防范与处置的意识和技能,能够安全有效地履行合同职责,确保国际业务社会安全管理体系的有效运行。 供应商开展的各项社会安全培训活动和人员能力评估应保留相应的记录,以便追溯。 (2)应急演练的检查 物流所涉及的单位应针对业务实施中存在的安全风险制定相应的应急预案,并组织定期演练,并评估和记录应急演练的结果。境外中资企业应根据企业实际情况,检查、评估并确定相关单位的应急演练形式,确保应急预案在物流相关环节实施中的良好衔接和有效实施。 (3)运行控制的检查 境外中资企业和相关供应商,应根据物流业务中实际存在的社会安全风险,编制社会安全计划、作业程序等具体的运行控制程序文件,并在实际业务实施过程中,检查各项人防、物防、技防等具体风险处置管理措施的实施落实情况。 (4)体系审核 经过评估后被认为对物流的社会安全风险存在重要影响的关键产品/服务供应商,境外中资企业应对其开展定期社会安全管理体系审核,以检查供应商社会安全管理工作的符合性和合规性,并通过体系审核和措施纠正,使供应商不断提高社会安全风险管理能力,达到持续改进的目标。 4.7 信息安全 信息的管理主要指信息的分类和控制等,还包括相关事件的监督和记录程序。 分类:应当评估和应用适当的文件对安全类信息进行密级分类。 控制:境外中资企业要对安全类信息相关的场所、人员、设备、传输、软件进行相应控制。 4.7.1 场所安全控制 场所是指产生、储存和传输涉及安全类信息的办公室、会议室、文件室、机房和员工公寓。 场所投入使用前和使用中,应定期检查是否被安装了窃听和偷拍等装置。场所所在区域的物理入口和场所外部的门要使用控制措施进行保护,防止未授权进入。对于外访人员进入实行登记访问制度。活动场所的窗户外要加设防盗护网/栏,尤其是地面一层的窗户。无人活动场所的门和窗户应上锁。 4.7.2 人员控制 人员是指在场所工作或可以进出场所的员工、承包商人员和第三方人员。人员在场所活动时应受到相应的监督,重要场所除非经过授权,不允许携带照相机、摄像机和录音笔等有关记录设备进入,并设置相应禁止标识。人员进入场所工作前,要接受保密培训和教育,要签订保密责任书。对涉密部门、部位的岗位人员任用前要进行涉密资格审查。 4.7.3 设备控制 设备是指产生、储存和传输安全类信息的计算机、通信设备、可移动存储介质和其他设备,重点控制其物理安全。 (1)设备管理 设备分涉密和非涉密两类,应采取统一申报购置、登记建档、分色标识、备案管理和报废处置的方法管理。对所有处理涉密安全类信息的计算机,要采取实用、有效的安全防护软件、系统升级和补丁程序等控制程序,防范恶意代码和移动代码。对涉密计算机和可移动存储介质的管理,应按照国家有关涉密计算机及移动存储介质保密管理要求执行。 (2)设备安置 设备安置应采取正确的方式,安置在正确的地方,确保数据传输通信布缆免受窃听和支持设备电源布缆免受损坏,确保设备的支持性设施(如通风、发电等)正常运行,规避或减少自然和物理威胁,保证业务的连续性。 (3)设备维护78 制定并严格遵守设备维护管理制度,确保设备的可用性、完整性和连续性。 (4)设备移动 |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!