文檔信息

 

修訂記錄

 

審批發布

 

 

 

 

 

 

 

 

 

 

 

 

一 總則

爲規範信息安全工作，確保全體員工理解信息安全工作與職責，並落實到日常工作中，推動信息安全保障工作的順利進行，結合實際情況，特制定本制度。

本管理制度所稱信息系統安全，包括計算機網絡和應用系統（以下簡稱信息系統）的硬件、軟件、數據及環境受到有效保護，信息系統的連續、穩定、安全運行得到可靠保障。

信息系統安全管理堅持“誰主管誰負責”的原則，單位的所有部門和員工都應各自履行相關的信息系統安全建設和管理的義務與責任。

信息系統安全工作的總體目標是：實施信息系統安全等級保護，建立健全先進實用、完整可靠的信息系統安全體系，保證系統和信息的完整性、真實性、可用性、保密性和可控性，保障信息化建設和應用，支撐單位業務持續、穩定、健康發展。

信息系統安全體系建設必須堅持“統一標准、保障應用、符合法規、綜合防範、集成共享”的原則。

本制度適用于所有部門和個人。

二 信息安全方針和目標

世界杯官网信息安全建設秉承“积极防御，综合防范”的信息安全方針，根据国家信息安全等级保护等有关政策和标准要求，建立完善的信息網絡安全体系。

信息安全目標是通過高標准、高要求、高質量的“PDCA”持續改進，全面提升世界杯官网的安全性，實現網絡與信息系統的整體安全防護能力達到國家信息安全等級保護的相關要求，進一步加強信息安全保障水平。

三 信息安全管理策略

1 安全组织结构

安全管理組織應形成由主管領導牽頭的信息安全領導小組、具體信息安全職能部門負責日常工作的組織。

1.1信息安全領導小組職責

信息安全領導小組是由主管領導牽頭，各部門的負責人爲組成成員的組織機構，主要負責批准世界杯官网安全策略、分配安全責任並協調安全策略能夠實施，確保安全管理工作有一個明確的方向，從管理和決策層角度對信息安全管理提供支持。信息安全領導小組的主要責任如下：

(1) 确定網絡与信息安全工作的总体方向、目标、总体原则和安全工作方法；

(2) 审查并批准政府的信息安全策略和安全责任；

(3) 分配和指导安全管理总体职责与工作；

(4) 在網絡与信息面临重大安全风险时，监督控制可能发生的重大变化；

(5) 对安全管理的重大更改事项（例如：组织机构调整、关键人事变动、信息系统更改等）进行決策；

(6) 指挥、协调、督促并审查重大安全事件的处理，并协调改进措施；

(7) 审核網絡安全建设和管理的重要活动，如重要安全项目建设、重要的安全管理措施出台等；

(8) 定期组织相关部門和相关人员对安全管理制度体系的合理性和适用性进行审定。

1.2 信息安全工作小組職責

信息安全工作小組是信息安全工作日常執行機構，內設專職的管理組織和崗位，負責日常具體安全工作的落實、組織和協調。信息安全工作小組的主要職責如下：

（1） 贯彻执行和解释信息安全领导小组的决议；

（2） 贯彻执行和解释国家主管机构下发的信息安全策略；

（3） 负责组织和协调各类信息安全规划、方案、实施、测试和验收评审会议；

（4） 负责落实和执行各类信息安全具体工作，并对具体落实情况进行总结和彙報；

（5） 负责内外部组织和机构的沟通、协调和合作工作；

（6） 负责制定所有信息安全相关的管理制度和规范；

（7） 负责针对信息安全相关的管理制度和规范具体落实工作进行监督、 检查、考核、指导及审批，例如现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。

1.3信息安全崗位

爲了有效落實信息安全各項工作，應設立以下專職的安全崗位，負責安全工作的落實和執行：

1.3.1 信息安全工作小組主管

（1）負責網絡與信息安全的日常整體協調、管理工作；

（2）負責組織人員制定信息安全管理制度，並對管理制度進行推廣、培訓和指導；

（3）負責重大安全事件的具體協調和溝通工作。

1.3.2 安全管理员岗位

（1）負責執行網絡與信息安全工作的日常協調、管理工作；

（2） 负责日常的安全监控管理，并对上报和发现的各类安全事件进行响应；

（3）負責系統、網絡和應用安全管理的協調和技術指導；

（4）負責安全管理平台安全策略制定，訪問控制策略審核；

（5）負責組織安全管理制度的推廣和培訓工作；

（6）負責定期進行安全檢查，檢查內容包括系統日常運行、系統漏洞和數據備份等情況。

1.3.3 安全审计员岗位

（1）負責安全管理制度落實情況的檢查、監督和指導；

（2）負責安全策略執行情況的審核。

1.3.4 系统管理员

（1）負責系統安全穩定運行的日常管理工作；

（2）負責保持系統的防病毒系統、補丁等保持最新，定期對系統進行安全加固，保持系統漏洞最小化。

1.3.5 網絡管理员

（1）負責網絡設備安全穩定運行的日常管理工作；

（2）負責保持網絡設備的漏洞最小化，定期對系統進行安全加固；

（3）負責保持網絡路由和交換策略與業務需求保護一致。

（4）根據日常的運行維護和管理工作，設置物理環境管理、數據庫管理、應用管理以及資産管理等崗位。

2 安全管理制度

2.1 安全管理制度体系

安全管理制度應建立信息安全方針、安全策略、安全管理制度、安全技術規範以及流程的一套信息安全管理制度體系。

2.2 安全方針和主策略

最高方針，綱領性的安全策略主文檔，陳述本策略的目的、適用範圍、信息安全的管理意圖、支持目標以及指導原則，信息安全各個方面所應遵守的原則方法和指導性策略。

2.3 安全管理制度和规范

各類管理規定、管理辦法和暫行規定。從安全策略主文檔中規定的安全各個方面所應遵守的原則方法和指導性策略引出的具體管理規定、管理辦法和實施辦法，是必須具有可操作性，而且必須得到有效推行和實施的。

技術標准和規範，包括各個安全等級區域網絡設備、主機操作系統和主要應用程序的應遵守的安全配置和管理的技術標准和規範。技術標准和規範將作爲各個網絡設備、主機操作系統和應用程序的安裝、配置、采購、項目評審、日常安全管理和維護時必須遵照的標准，不允許發生違背和沖突。編制如下安全管理制度和規範：

安全方針

安全策略

安全管理組織體系職責

內部人員安全管理規定

外部人員安全管理規定

等級保護安全管理規範

風險評估管理規範

軟件開發管理規定

IT外包管理規定

工程安全管理規定

産品采購安全管理規定

服務商安全管理規定

機房管理制度

辦公環境安全管理規定 

資産安全管理制度

設備安全管理規定

介質安全管理規定

運行維護安全管理規範

網絡安全管理规定

系統安全管理規定

防病毒安全管理規定

密碼使用管理制度

變更管理制度

備份與恢複管理規定

安全事件管理制度

應急預案

2.4 安全流程和操作規程

安全流程和操作規程，详细规定主要业务应用和事件处理的流程和步骤，和相关注意事项。作为具体工作时的具体依照，此部分必须具有可操作性，而且必须得到有效推行和实施的。

2.5 安全记录单

安全记录单，落实安全流程和操作規程的具体表单，根据不同等级信息系统的要求可以通过不同方式的安全记录单落实并在日常工作中具体执行。主要包括日常操作的记录、工作记录、流转记录以及审批记录等。

3 人员安全管理

世界杯官网人員錄用、調用、離崗應首先遵循世界杯官网人事處規定的相關要求。

內部人員的安全管理，從人員的錄用、調用、離崗和考核等各個方面提出針對信息安全的相關管理要求，具體管理要求包括：

3.1 錄用前

人員在錄用過程中要簽署保密協議；

應當進行嚴格的安全背景審核和權限審查；

關鍵崗位人員進行特殊的安全審核、權限管理和保密管理，簽署保密協議。

3.2 工作期間

所有人員根據其崗位職責的不同，應定期進行安全培訓和教育；

所有人員應學校的安全管理制度規範和約束安全操作行爲；

定期對各個崗位的人員進行不同層面的安全認知和安全技能考核，作爲人員是否適合當前崗位的參考；

對安全責任和懲戒措施進行書面規定並告知相關人員，對違反違背安全策略和規定的人員進行懲戒。

3.3 调离岗

人員離崗的安全管理工作首先遵循《世界杯官网人員安全管理制度》中的要求執行；

嚴格規範人員調離崗過程，及時終止離崗員工的所有訪問權限，取回各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備。

人員培訓

人員培訓从整体考虑，对人员技能需求进行分析，设计培訓内容，明确培訓方式。注意根据岗位特点，针对不同岗位制定不同的培訓计划，对培訓的情况和结果进行记录并归档保存。当员工违反安全策略或安全流程时，依据处罚条款进行惩戒，记录惩戒结果，并从惩戒事件本身进行总结，分析惩戒原因和规避措施。

人員考核

人員考核应形成文件化的岗位考核计划，有序的安排各岗位人员进行考核，至少应定期对涉及信息安全管理、检查和执行的岗位人员进行安全技能的考核，以及对各个岗位的人员进行安全认知的考核。

外部人員訪問管理。

外部人員通常是指軟件開發商，硬件供應商，系統集成商，設備維護商和服務提供商，實習生，臨時工等非內部人員。外部人員在訪問時可以分成物理訪問和信息訪問，具體如下：

（1） 物理訪問，如對辦公室、機房的物理訪問；

（2） 信息訪問，如對信息系統、主機、網絡設備、數據庫的訪問。

負責接待的部門和接待人對外部人員來訪的安全負責，並對訪問機房等敏感區域持謹慎態度。具體管理要求應包括：

（1） 必要時，應簽署保密協議和安全承諾協議，或在合同中規定相關內容；

（2） 對其維護目標的安全配置要求，必須符合相應的網絡設備、主機、操作系統、數據庫和通用應用程序等世界杯官网的安全配置標准文檔中相應規定；

（3） 對于關鍵區域、核心設備的訪問，外部人員應向信息安全工作小組提出申請，申請時，必須闡明其申請理由、訪問方式、要求權限、訪問時間和地點等內容，經審核批准後，方可允許其進行訪問，並盡可能不給超級用戶權限。

4 系統建設管理

等級保護管理

等級保護管理过程可划分为“系统定级”、“系统备案”、“等级测评”、“安全整改”、“安全自查”五部分工作，各部分的工作要求应参照《GB/T 22239-2019 信息安全技术信息系统安全等级保护基本要求》的相关要求执行。

系統設計與采購

爲了提高業務系統規劃建設和産品采購的安全水平，遵循“同步规划、同步建设、同步运行”的原则，应对系統設計與采購过程中的系统设计安全、产品采购与使用、安全服务商选择等阶段提出实施规范。

（1） 安全方案設計。遵循同步建設的原則，在系統建設的過程中進行相應的安全方案設計。安全方案的最終成型需要經過方案設計，論證和審定三個階段。根據信息系統的等級劃分的總體情況，統一考慮總體安全策略、總體建設規劃和詳細設計方案，並形成配套文件，並根據安全評估的結果進行定期調整和修訂。

（2） 産品采購與使用。産品的采購和使用必須符合國家的有關規定，産品的采購和使用應指定或授權專門的部門負責。

（3） 安全服務商選擇。安全服務包括安全咨詢、培訓、規劃、設計、實施、維護和響應及檢測評估等服務。應圍繞技術資質、財務能力、人員配置、行業經驗等環節制定安全服務商選擇的條件，以約束安全服務商的選擇。對于包含核心信息的信息系統的安全服務商選擇，應確保符合國家的有關規定。

系統開發與實施

（1） 外包軟件開發。外包軟件開發指單位將信息系統的開發委托給外部單位進行的開發。經過外包開發的信息系統由于單位自身不能具備全部的系統維護升級和風險控制能力，因此必須在外包方選擇，外包合同簽訂，外包開發過程以及軟件交付各個環節進行嚴格控制。

（2） 工程實施。工程實施應由信息中心負責，制定工程實施方面的管理制度，明確說明實施過程的控制方法和人員行爲准則。

系統測試驗收與交付

（1） 測試驗收。測試驗收的標准需要保證功能、性能和安全三方面滿足要求，由信息中心和相關業務部門負責，在系統測試驗收控制方法和人員行爲准則的約束下執行測試驗收工作。系統的安全性測試驗收應獨立進行，至少應審查主機端口開放情況是否符合系統說明、使用網絡偵聽工具審查通訊數據包是否符合系統說明和使用惡意代碼軟件檢測軟件包中可能存在的惡意代碼等。

（2） 系統交付。系統運營單位負責系統交付的管理工作，應對系統交付的要求，包括系統交付的控制方法和人員行爲准則進行規定，根據合同要求制定系統交付的清單，依據交付清單進行清點。系統建設單位應對負責系統使用和維護的人員進行相應培訓，並履行服務承諾。

5 系统运维管理

環境管理

（1） 信息中心負責中心機房安全，並配備機房安全管理人員，建立機房安全管理制度，對有關機房物理訪問，物品帶進、帶出機房和機房環境安全等方面的管理進行規定。

（2） 各部門负责本部門办公环境的安全管理工作，安全管理员定期对办公环境的日常安全管理进行监督检查。

信息資産管理

（1） 資産管理

建立資産安全管理制度，规定資産管理的责任人员或责任部門，规范资产的使用、传输、存储、维护和销毁等各种行为。

編制資産清單，資産清單應保留電子檔和紙質文件，在資産屬性發生變化或資産增減時應及時修改資産清單，保留修改記錄，並形成文件化的資産清單檢查程序，定期組織人員依據檢查程序對資産清單進行一致性檢查，保留檢查記錄。

對資産分類與標識方法做出規定，規定分類標識的原則和方法，明確標識的格式，明確標識的管理職責和方法。

（2） 介質管理。形成文件化的介質管理辦法，根據所承載數據和軟件的重要程度加強介質安全管理，即對存儲介質的使用、存儲、攜帶、記錄、清單等活動提供明確的安全管理方法。

（3） 設備管理。對信息系統相關的各種軟硬件設備、線路等進行規範化管理，防範對設備未經授權的使用，以及對設備放置區域的未經授權的訪問。

系統運行維護管理

（1） 網絡安全管理。对網絡安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期、配置文件备份和外部连接的授权和批准等方面做出规定，以审视世界杯官网的安全性，降低網絡系統存在的安全風險，確保網絡系統安全可靠地運行。

（2） 系統安全管理。對系統安全策略、安全配置、日志管理和日常操作流程、日志分析等方面做出規定，以保障信息系統安全運行和使用。

（3） 惡意代碼防範管理。內容包括防範意識、培訓要求、日常注意事項、防惡意代碼軟件使用等內容。所有終端需安裝基本的防病毒軟件以保護系統的正常運行，配備惡意代碼主動監控工具，發現並阻止惡意代碼的傳播，指定專人定期對網絡和主機進行惡意代碼檢測並保存檢測記錄。

（4） 密碼管理。识别国家密碼管理相关规定和要求，指导对密碼技术和产品的选择，使用符合国家密碼管理规定的密碼技术和产品。

變更管理

變更是指對系統/平台需求的增補或修改，所做增補或修改可能會影響生産環境的穩定性。規範學校變更管理流程，控制变更产生的影响，减少变更发生的问题，保障信息系统安全运行和使用，需建立變更管理制度。

備份與恢複管理

为保证备份和恢复策略与整体管理目标的一致性，应制定备份与恢复策略，并指定有关部門负责备份与恢复工作。对備份數據的備份方式、備份頻度、存儲介質、保存期和信息恢複等進行規範，對備份設備的維護和檢測進行規範。

應急管理

（1） 安全事件處置。應根據事件嚴重級別規範安全事件的處置機制。

（2） 應急计划管理。应制定统一的應急預案框架，在统一框架下制定不同事件的應急預案，應急預案框架应包括启动應急預案的条件、應急处理流程、系统恢复流程、事后教育和培訓等内容。

（3） 信息安全事件應急响应小组负责建立重要事件的應急預案，包括黑客入侵、病毒大规模传播、網絡和系统中断、火灾等灾难的應急預案，并对應急預案进行测试，保证其可以执行，保留测试记录。

（4） 应从人力、设备、技术和财务等方面确保應急預案的执行有足够的资源保障，对相关的人员进行應急預案培訓，保存培訓文档，應急預案的培訓应至少每年举办一次。

四 安全管理機構

1 关于管理制度制定和发布

所有信息安全管理制度的制定和修订均由指定和授权的专门部門或人员进行。

信息安全管理制度信息安全管理制度的制定應具有統一的格式，進行編號和版本控制。第一次制訂爲第一版，既以“V1.0”表示。若有重大或實質性內容修改時，版本號遞增1，即爲“V2.0”。若有細微修改，版本號遞增0.1，即爲“V1.1”。

安全管理制度在發布之前應通過相關人員的論證和審定，具體按照信息安全制度評審和修訂相關要求進行。

信息安全管理制度的制定流程：

（1）结合实际安全管理需求，指定或授权的专门部門或人员根据安全管理制度的制定要求制定覆盖物理、主机、網絡、应用、数据、建设和管理层面的安全管理制度和各类安全操作规程；

（2）针对已制定的安全管理制度，组织部門相关人员（可聘请信息安全专家）对各项安全管理制度的合理性和适用性等进行论证和审定，对评审过程进行记录和存档；

（3）若審定過程中存在不符合項，應在制度的制修訂人員做進一步的修改和完善後，組織相關人員按照評審要求進行複評審；

（4）安全管理制度通過論證和審定後，即可發布。

安全管理制度應通過正式、有效的方式（如正式發文、領導簽署和單位蓋章等）進行發布，並注明發布範圍。

2 評審和修訂

評審程序

信息安全管理組織需要定期（至少每年一次）開展信息安全管理體系和安全管理制度的評審工作，以確保整個信息安全管理體系和安全管理制度的合理性、適用性和有效性。

主要評審內容：

（1） 根據業務系統的性質和安全要求，確定（或複審）信息安全管理體系的範圍和安全管理制度的內容，建立（複審）信息安全管理體系，包括信息安全策略、制度標准和程序。

（2） 對信息安全管理體系和安全管理制度的審核結果進行評審，分析導致不符合項的原因。

（3） 審查審核對象的反饋信息。

（4） 總結已發現的安全事件和漏洞。

（5） 審查現行的安全控制措施和相關技術是否有效。

（6） 複查修訂措施的實施狀況。

（7） 檢查先前管理評審中所定義的措施的實施狀況。

（8） 審查改善措施的建議。

（9） 複查業務和法律法規方面的變更（比如：業務需求、客戶需求的變更和新頒布的法律法規）。

（10） 審查可能影響信息安全管理體系和安全管理制度內容的任何變更。

（11） 爲協調相關信息安全的實施，評審相關資源的充足性。

評審工作至少每年舉行一次，發生以下情況時，也需要啓動管理評審工作：

（1） 信息系統業務發生重大變更。

（2） 信息系統信息安全策略的重大變更。

（3） 目前信息安全管理體系和安全管理制度的執行不力。

（4） 信息系統信息安全管理體系和安全管理制度的範圍與內容發生變更。

（5） 相關標准法規發布修訂版本或有變更。

評審工作的會議記錄均需歸檔，以保存正式的記錄。

修訂程序

問題的識別及確認，采取修訂措施包括（但不限于）以下原因：

（1） 來自信息系統信息安全管理體系和安全管理制度相關人員的反饋信息或調查申請。

（2） 信息安全管理評審的會議討論中發現的問題。

（3） 信息安全管理體系和安全管理制度審核中發現的不符合項。

調查問題的起因：

（1） 由信息安全工作小組指派專門的人員負責對問題進行分析調查並確認問題的起因。

（2） 調查人員需提供盡可能多的關于整個問題調查的詳細結果。作爲修訂措施報告的一部分，也可以提供一些額外的補充信息。

執行修訂措施：

（1） 基于所調查出的問題起因，需確認並實施相應措施或對事故進行調查研究，負責上述行動的執行者需確保更新所有相關的文件或管理流程。比如：

n 准備制定或更新相關管理程序。

n 培訓/通知相關人員知曉。

（2） 執行人員負責跟蹤所執行修訂措施的效果。一旦發現效果不如預期，其相關負責人需進行評估分析並就進一步的應對措施進行確認。執行人員必須確保所實施的修訂措施是可證實和可驗證的，並保證修訂措施報告中均有詳細說明。

措施的驗證：

（1） 如果驗證出所采取的措施是達到預期效果的，則修訂措施才算成功，可以結束跟蹤，驗證階段包括以下兩個部分：

n 對所規定修訂措施的執行程度進行驗證。

n 對修訂措施的執行效果進行驗證。

（2） 措施驗證的結果必須中有詳細的說明，且對相關記錄進行保存。

3 关于设立信息安全工作小組说明

爲加強世界杯官网信息安全管理，保證學校信息安全各項工作科學、有效開展，有效防範和控制信息系統風險，根據《信息科技風險管理指引》要求，成立世界杯官网信息安全領導小組。現將有關事宜通知如下：

（1）組織架構

信息安全領導小組爲世界杯官网常設機構，設組長、副組長、成員

組長由張德超擔任；

副組長由紀文傑擔任；

成員由世界杯官网各部門负责人组成。

（2）主要職責

信息安全領導小組職責

安全領導小組是世界杯官网信息安全管理和監督落實的專設機構。其主要職責包括：

组织贯彻落实国家及监管部門有关信息安全法律法规、技術標准等，監督落實監管要求；

決策學校信息安全管理工作的重要事項，總體負責學校戰略規劃、重大項目的信息安全監督控制管理，推動學校信息安全管理工作；

審議學校信息安全評估報告；

審議學校信息安全標准、策略、實施計劃和持續維護計劃等；

定期向校長彙報網絡信息安全管理工作情況；

審議其他与信息安全管理相关的重大事项；

信息安全工作小組職責

安全領導小組負責世界杯官网信息安全日常管理工作。其主要職責包括：

負責起草學校信息安全評估報告，提交信息安全領導小组審議；

負責起草學校信息安全標准、策略、實施計劃和持續維護計劃；

負責信息安全領導小組會務工作，包括收集和起草相關會議資料、記錄會議內容、整理會議紀要、管理相關文檔等；

檢查、監督、落實信息安全領導小組交辦的事項，承担部門的协调沟通工作。

（3）工作規則

例會或報告制度：信息安全領導小組實行例會或報告制度。原则上每半年召开一次例会或由信息安全工作小組以报告形式彙報信息安全管理工作情况=。

特別會議：如遇重大事項，信息安全領導小組可以召開緊急會議對重大事項進行決議。

4 沟通和合作

4.1內部溝通

工作職責

（1）信息安全領導小組

規劃、建立、維持內部的信息溝通渠道；審核內部人員信息溝通與反饋渠道的有效性；向內部人員傳達與組織有關的法規資料及政策；接收內部人員對信息安全管理體系的意見並采取相應行動。

（2）信息安全工作小組

建立、維持內部的信息溝通渠道；收集員工對學校信息安全方面的意見，並向管理層反映；協助宣傳及教育員工有關信息安全方面的知識。

（3）一般工作人員

通过管理渠道，接受相应的知识、培訓，反馈相关的意见。

工作程序

（1）根据決策层的意见及工作需要，基于沟通类型和内容，确定沟通主体、沟通渠道（例如：文件、公告、内部網絡、宣传物品、会议及培訓等）和时间等事项。

（2）沟通的内容包括与信息安全管理有关的政策、法规以及其他事項。不同的沟通内容其沟通要求也不尽相同。

（3）信息安全管理體系相關法律及其它要求在修訂或更改後通過各種方式及時向所有員工有效傳達。

（4）信息安全体系改善计划及相关的信息安全管理方针、政策、方案等由信息安全领导小组向信息安全工作小組通过会议、培訓等方式进行传达。

（5）对安全知识、培訓课件等学习资料通过内部网站、内部电子邮件等方式送达所有员工。

（6）安全事件、安全威脅、安全管理活動等最新的動態信息，通過內部網站、內部電子郵件等方式送達所有信息安全相關成員；對于一些有教育意義的安全事件發給全部員工。

（7）在紧急事故发生时尽快通知應急小组人员，让有关人员即时执行應急程序；同时，通知信息安全管理者及可能受影响的员工和客户。信息安全领导小组成员与有关部門负责人就单位内的信息交流事宜通过日常讨论进行。

（8）内部或外部的信息安全管理体系的审核结果以书面形式传达给各部門负责人。

（9）员工对信息安全管理体系有任何意见向其部門主管或其所在部門信息安全管理员建议、投诉。

（10）部門主管或信息安全管理员将员工的意见分类后向信息安全工作小組反映，信息安全工作小組联同各部門进行跟进，最长不超过两天进行有关调查；原则上每月召开一次信息安全沟通会议，由信息安全工作小組组织，各部門负责人参加，记录《信息安全沟通会议记录》。

（11）信息安全工作小組每月對各種建議、意見進行彙總分析，向信息安全領導小組報告。

4.2外部溝通

溝通職責

（1）信息安全工作小組

向外界人士提供組織有關信息安全管理體系可公開的資料；接收外界人士向組織傳達的信息並采取相應的行動；維持組織與外界的信息溝通；對于組織內、外部所反潰的信息安全方面的意見、建議進行審查，不斷的改進、完善信息安全管理體系。

（2）各部門

协助在本部門宣传信息安全管理体系；协助接收国际互联网上的信息安全保护资讯；接受来自客户的意见和建议。

工作程序

（1）外界對學校的信息安全管理體系有任何查詢、投訴或要求時，由信息安全工作小組負責對外溝通，並于一周內回複；

（2）信息安全工作小組接收来自主管部門、政府等有关信息安全方面的意见、法律法规规范及规定，接受来自安全研究机构或组织的安全评测、安全管理要求和建议等信息，接受来自第三方安全服务商提供的各种咨询建议和安全预警信息等；对信息进行预处理后，进行进一步的分发处理；

（3）信息安全工作小組就向信息安全管理方面的問題向第三方進行咨詢並記錄；搜集來自互聯網的安全信息；

（4）透過國際互聯網向外界人士宣傳單位信息安全管理體系有關的信息；

（5）各部門向信息安全工作小組反映客户、合作伙伴等相关方对信息安全方面的意见；

（6）各部門向客户、合作伙伴等宣传单位信息安全管理方面的优势。

（7）根据与外部用户沟通交换内容的敏感程度，签订保密協議。

五 附則

對違反本辦法的人員，將按照世界杯官网有關規定進行處罰。

本辦法由信息安全工作小組負責解釋、修訂。

本辦法自發布之日起執行。

世界杯官网信息安全工作小組

2020年10月18日