【法规名称】
【颁布部门】 商务部
【颁布时间】 2012-01-11
【实施时间】 2012-01-11
【效力属性】 有效
【法规编号】 580032 什么是编号?
【正 文】
第30页 商务部关于下发《境外中资企业机构和人员安全管理指南》的通知
|
[接上页] 获得授权之前,设备严禁被带出场所。移动设备,需要授权并做好相应的记录。 (5)设备处置和再利用 设备报废时,要做好检查,确保所有安全类信息被删除或被安全重写。设备再利用时,确保以前的安全类信息已完全被覆盖,不可恢复。 4.7.4 传输控制 传输是指通过对讲机、电台、网络电话、当地固定电话、移动电话、卫星电话、传真和网络交换等沟通和交流安全类信息的过程。计算机网络安全控制、网络访问控制等应遵守《计算机信息系统国际联网保密管理规定》有关管理办法的规定执行。使用通信设备时,应遵守驻在国(地)相关法律、法规。 (1)传输介质控制 驻在国(地)社会安全风险高及以上级别的,严禁通过对讲机、电台、移动电话和网络电话使用明语,交换和沟通敏感安全类信息,确实需要时,必须使用保密代码。鼓励尽量通过公司内部电话和卫星电话使用保密代码,交换和沟通安全类信息。保密代码应由境外中资企业及境外项目所属社会安全管理部门和相关部门编制并定期更换。不与非法电台、伪造呼号电台随意联通,不得谈论政治、军事等敏感安全类信息和话题。 (2)传输方式控制 严禁通过网络聊天工具交换和沟通安全类信息。禁止用编辑或存储敏感安全类信息的计算机上网,上网的计算机严禁涉及敏感安全类信息的工作。 (3)敏感类信息传输控制 通过传真和邮件交换和沟通安全类信息时,要对敏感安全类信息进行加密,确保数据不会发生增加、修改、丢失和泄露。密码按照国家密码主管部门和本企业相关规定进行配置。 (4)网络发布控制 非经授权,严禁在企业内网上发布安全类信息。 (5)场所外传输控制 严禁利用场所外的电话、传真和网络传输安全类信息。 4.7.5 信息控制 公开信息和安全类信息应分类别、分开存放。所有受控的文档不应该放在桌面上,对于密级较高的文档则应该放置在保险柜里。与当前活动无关的 文档应锁在他处;与当前活动相关的文档在一天工作结束时应锁在他处;高度敏感的信息在不用时应锁入安全箱或保险柜。对文件室和机房要做好外部和环境威胁的防护,做好涉密社会信息的备份。 (1)信息备份 要提供足够的备份设施,确保所有涉及安全的信息和软件在灾难或介质故障后及时恢复。 (2) 信息带出除非授权,严禁人员将安全类信息带出场所。 (3) 信息访问 所有员工、承包商人员和第三方人员对信息和信息处理设施的访问权应随着任用、合同或协议终止而终止,或在变化时及时调整。 4.7.6 软件控制 境外中资企业建设安全类管理信息系统应执行《计算机信息系统保密管理暂行规定》(国保发[1998]1 号)要求,参照《信息安全技术信息系统安全管理要求》(gb/t20269-2006)、《信息安全技术信息系统安全工程管理要求》(gb/t20282-2006)、《信息系统安全等级保护基本要求》等管理规范,制定并落实符合本系统安全保护等级要求的信息安全管理制度。 4.7.7 安全类信息安全事件管理 安全类信息安全事件由单个或一系列的有害或意外信息安全事件组成,它们具有损害业务运作和威胁信息安全的极大可能性。为了防止安全类信息安全事件的发生,所有员工、承包商和第三方用户应尽可能将观察到的或怀疑的任何缺陷或不符合项报告给主管经理、安全管理部门,或者直接报告给信息管理或相关部门。应制定安全类信息安全事件管理和应对程序,并得到管理层的确认和批准。所有人员应了解安全类信息安全事件沟通机制,如什么样的事件需要上报,如何报告等。应对涉及安全类信息安全事件管理的人员进行培训。 4.8 医疗卫生安全 4.8.1 出境前准备 (1) 境外医疗健康风险评估 健康风险评估的目的是识别、评估和控制潜在的与健康有关的危险源和风险,保护员工的健康。健康风险评估是作业现场有效健康管理的基石。健康风险评估广泛适用于所有作业活动;在项目开始的早期即应进行,要定期重新评估,并要在发生重大变化或有新的法规发布时得到及时地更新。覆盖人群:健康风险评估贯穿于作业过程的始终,为现场所有的职工、承包商员工以及第三方员工负责。 实施者:需要有专业人员和熟悉项目生产、运营的人员共同进行。 实施流程见图 4-9。(略) 健康危险源识别:识别风险的过程可采用物理因素、化学因素、地缘因素、生物因素和社会心理因素五种简化的分类方式来实施。详见 3.3.2。健康风险评估和分级:对已识别的健康风险源根据其严重性和可能性两个维度对其风险程度进行分级。不同的颜色代表着高、中、低危险因素,评估结果将作为制定健康管理战略计划和方案设计的依据。 |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!