大模型備案-落實(shí)算法安全主體責(zé)任基本情況-XX集團(tuán)有限公司

大模型備案-落實(shí)算法安全主體責(zé)任基本情況【XX集團(tuán)有限公司】一、算法安全專職機(jī)構(gòu)公司依據(jù)《互聯(lián)網(wǎng)信息服務(wù)算法推薦管理規(guī)定》的有關(guān)規(guī)定，《互聯(lián)網(wǎng)信息服務(wù)管理辦法》等法律、行政法規(guī)，公司成立有專職算法安全專職機(jī)構(gòu)。1.專職機(jī)構(gòu)名稱：算法安全管理中心2.組織架構(gòu)XX集團(tuán)有限公司算法安全領(lǐng)導(dǎo)小組為XX集團(tuán)有限公司算法安全工作領(lǐng)導(dǎo)機(jī)構(gòu)，領(lǐng)導(dǎo)小組下設(shè)專職部門，由算法安全管理中心負(fù)責(zé)算法安全具體工作。3.部門職責(zé)范圍負(fù)責(zé)組織公司算法安全工作；負(fù)責(zé)制定公司算法安全管理制度、技術(shù)規(guī)定、應(yīng)急預(yù)案等，并督促執(zhí)行；負(fù)責(zé)對公司內(nèi)大模型開發(fā)中算法安全的設(shè)計、檢查和防護(hù)，及時處置安全風(fēng)險；負(fù)責(zé)算法安全事故的處置；負(fù)責(zé)組織算法安全培訓(xùn)和宣傳。4.負(fù)責(zé)人基本信息和工作職責(zé)工作職責(zé)：制定算法安全策略，協(xié)調(diào)各小組工作，監(jiān)督算法安全措施的實(shí)施。5.算法安全工作人員的任職要求熟悉常見網(wǎng)絡(luò)協(xié)議和安全架構(gòu)知識，了解常見的網(wǎng)絡(luò)攻防手段；具備扎實(shí)的計算機(jī)基礎(chǔ)理論知識，對計算機(jī)網(wǎng)絡(luò)有一定認(rèn)識和理解；有扎實(shí)的編程能力，能夠獨(dú)立承擔(dān)各種復(fù)雜問題的解決；有較強(qiáng)的邏輯思維能力和溝通能力，能吃苦耐勞，有良好的團(tuán)隊合作精神。6.算法安全工作人員配備的規(guī)模人員總配置XX人。7.算法安全技術(shù)保障措施公司對算法相關(guān)數(shù)據(jù)的存儲和傳輸進(jìn)行了全面的加密保護(hù)。對于敏感數(shù)據(jù)，公司實(shí)施基于角色的加密策略，確保只有授權(quán)用戶能夠訪問和解密相關(guān)信息。公司通過部署防火墻系統(tǒng)、分段網(wǎng)絡(luò)隔離等措施，嚴(yán)密監(jiān)控和管理網(wǎng)絡(luò)流量。入侵檢測與防御技術(shù)也在算法系統(tǒng)中起著至關(guān)重要的作用。通過部署入侵檢測系統(tǒng)和入侵防御系統(tǒng)，公司能夠?qū)崟r監(jiān)測系統(tǒng)的網(wǎng)絡(luò)流量和行為，識別潛在的安全威脅。在檢測到異常行為時，能夠自動采取措施進(jìn)行防護(hù)，確保威脅不擴(kuò)散。公司還引入了多因素身份驗(yàn)證，特別是在關(guān)鍵系統(tǒng)訪問中，通過增加驗(yàn)證(一)算法安全自評估制度建設(shè)1.算法自評估的制度設(shè)計考慮。算法安全自評估旨在確保公司設(shè)計的主要考慮因素：算法全生命周期覆蓋：評估涵蓋算法從設(shè)理和用戶保護(hù)的要求。自評估的靈活性與時效性：根據(jù)算法的風(fēng)險等級、應(yīng)用場景和法律法規(guī)的變化，定期或臨時啟動自評估，確保評估內(nèi)容能夠適應(yīng)算法的動態(tài)發(fā)展需求。保障落地性：通過明確的流程與職責(zé)分工，結(jié)合技術(shù)工具支持，確保自評估不僅停留在理論層面，而是能夠高效執(zhí)行和落地實(shí)施。2.算法安全自評估制度(1)算法安全自評估涵蓋內(nèi)容。數(shù)據(jù)使用合規(guī)性：確保算法使用的數(shù)據(jù)來源合法合規(guī)，使用方式符合用戶授權(quán)，敏感數(shù)據(jù)經(jīng)過脫敏處理，數(shù)據(jù)存儲和傳輸過程采取了加密等保護(hù)措施。算法設(shè)計與安全：評估算法模型選擇、邏輯設(shè)計、參數(shù)設(shè)置的合理性；驗(yàn)證模型的泛化能力、訓(xùn)練數(shù)據(jù)的代表性及訓(xùn)練過程的科學(xué)性；評估算法模型在抵抗對抗攻擊、保護(hù)模型機(jī)密性及輸出結(jié)果的合理性方面的安全性，防止因攻擊導(dǎo)致錯誤決策。算法安全性：檢查算法所在系統(tǒng)的網(wǎng)絡(luò)安全、設(shè)備安全、數(shù)據(jù)傳輸?shù)募用芮闆r，以及在不同算法運(yùn)行環(huán)境下的算法安全防護(hù)是否有效。用戶權(quán)益保護(hù)：評估算法是否保障用戶知情權(quán)、選擇權(quán)和控制權(quán)，是否在隱私保護(hù)、數(shù)據(jù)刪除請求、算法透明性等方面符合法律法規(guī)和公司要求。數(shù)據(jù)管理與運(yùn)行監(jiān)控：審查數(shù)據(jù)收集、存儲、處理、傳輸?shù)拳h(huán)節(jié)的安全性；算法上線后的性能監(jiān)控與異常檢測機(jī)制是否健全。倫理與隱私：評估算法是否存在歧視行為，用戶數(shù)據(jù)是否得到充分保護(hù)，決策是否公平透明。(2)算法安全自評估分類每季度進(jìn)行一次，確保算法日常運(yùn)行中的安全性和合規(guī)性；在算法發(fā)生重大更新、面臨新法規(guī)或政策調(diào)整、出現(xiàn)安全事件時，立即啟動專項(xiàng)評估，以排查潛在風(fēng)險和隱患；在算法上線前、運(yùn)行階段及退役時進(jìn)行關(guān)鍵節(jié)點(diǎn)評估，確保在算法的不同階段都能夠保障安全和合(3)算法安全自評估流程明確評估范圍，收集相關(guān)文檔、工具和數(shù)據(jù)，制定評估計劃；通過自動化工具與人工審查相結(jié)合，完成數(shù)據(jù)合規(guī)、模型安全、算法安全和用戶權(quán)益保護(hù)等方面的檢查；記錄評估發(fā)現(xiàn)的問題及其風(fēng)險等級，形成詳細(xì)的評估報告，報告應(yīng)涵蓋發(fā)現(xiàn)的問題、潛在影響及整改建議；各責(zé)任部門根據(jù)評估報告提出的建議進(jìn)行整改，整改后進(jìn)行復(fù)評，確保問題得到徹底解決。(4)算法安全自評估執(zhí)行保障措施技術(shù)支持。公司提供自動化評估工具和系統(tǒng)，支持大規(guī)模算法的高效評估，包括對模型和數(shù)據(jù)的安全檢測工具，以降低手工操作的復(fù)雜性和誤差。人員培訓(xùn)。定期對所有參與自評估的人員進(jìn)行培訓(xùn)，確保他們掌握最新的安全評估方法、工具使用技巧以及相關(guān)法規(guī)要求。通過技術(shù)培訓(xùn)和法規(guī)更新，確保評估團(tuán)隊具備應(yīng)對復(fù)雜評估任務(wù)的能力。數(shù)據(jù)保護(hù)。實(shí)施嚴(yán)格的數(shù)據(jù)訪問權(quán)限控制，確保數(shù)據(jù)在評估過程中的安全性。評估反饋機(jī)制。建立透明的反饋機(jī)制，評估報告應(yīng)提交給管理層及相關(guān)負(fù)責(zé)人，確保發(fā)現(xiàn)的問題能夠引起足夠重視，并由高層督促整改執(zhí)行。激勵與問責(zé)機(jī)制。對高效完成評估、發(fā)現(xiàn)并解決重大問題的團(tuán)隊和個人進(jìn)行表彰和獎勵；對于未能及時整改或存在重大安全隱患的責(zé)任人，根據(jù)公司規(guī)定進(jìn)行處罰，包括警告、降級或解除(二)算法安全監(jiān)測制度建設(shè)依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個人信息保護(hù)法》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《互聯(lián)網(wǎng)信息服務(wù)算法推薦管理規(guī)定》等有關(guān)規(guī)定，制定了《算法安全監(jiān)測制度》。1.算法安全監(jiān)測(1)監(jiān)測機(jī)制。信息內(nèi)容安全監(jiān)測：通過自然語言處理和內(nèi)容過濾技術(shù)，實(shí)時分析算法推薦內(nèi)容，防止違法、有害、虛假信息的傳播。監(jiān)測內(nèi)容包括但不限于新聞推薦、社交媒體內(nèi)容和廣告推送，確保推薦內(nèi)容符合國家法律和公司政策。信息源安全監(jiān)測：對算法推薦服務(wù)中使用的外部信息源進(jìn)行驗(yàn)證與審計，確保來源可信、安全。通過API接口審計和數(shù)據(jù)溯源技術(shù)，定期檢查并防止外部數(shù)據(jù)源提供惡意或不可靠的數(shù)據(jù)。系統(tǒng)通信安全監(jiān)測：采用實(shí)時網(wǎng)絡(luò)流量分析、深度包檢測(DPI)技術(shù)監(jiān)測通信線路狀態(tài)，確保數(shù)據(jù)傳輸過程的安全性，防止未經(jīng)授權(quán)的數(shù)據(jù)包入侵或篡改。確保網(wǎng)絡(luò)流量和內(nèi)容的安全。實(shí)時監(jiān)控服務(wù)器與應(yīng)用系統(tǒng)的運(yùn)行狀態(tài)，對通信線路、網(wǎng)絡(luò)設(shè)備等進(jìn)行全天候監(jiān)控，發(fā)現(xiàn)異常及時處理。采用內(nèi)容審核工具與算法，對信息源和推薦內(nèi)容進(jìn)行定期評估，確保推薦(1)監(jiān)測機(jī)制。數(shù)據(jù)安全管理：公司應(yīng)制定并執(zhí)行嚴(yán)格的數(shù)據(jù)安全管理制度，涵蓋算法推薦服務(wù)開發(fā)、測試、上線以及后續(xù)維護(hù)中的所有數(shù)據(jù)操作，確保數(shù)據(jù)使用的安全性。(2)技術(shù)保障措施。采用數(shù)據(jù)加密技術(shù)(如SSL、AES等)確保數(shù)據(jù)在傳輸和存儲過程中的安全性，防止數(shù)據(jù)被攔截或篡改。3.用戶個人算法安全監(jiān)測(1)監(jiān)測機(jī)制。用戶信息收集與處理合規(guī)性監(jiān)測：所有涉及用戶個人信息的操作，必須遵循《個人信息保護(hù)法》相關(guān)規(guī)定。通過合規(guī)管理系統(tǒng)監(jiān)控算法服務(wù)中的用戶數(shù)據(jù)處理，確保數(shù)據(jù)采集、存儲、使用和銷毀的合法性。(2)技術(shù)保障措施。使用匿名化、去標(biāo)識化技術(shù)處理用戶數(shù)據(jù)，確保個人信息在處理過程中不會被識別。4.算法安全監(jiān)測(1)監(jiān)測機(jī)制。公司定期審查算法推薦服務(wù)的安全性，確保算法在運(yùn)行過程中無漏洞或安全隱患，避免被惡意攻擊。(2)技術(shù)保障措施。部署算法監(jiān)控系統(tǒng)，實(shí)時監(jiān)測算法的運(yùn)行狀態(tài)，包括性能、輸出結(jié)果、異常情況等，及時發(fā)現(xiàn)和處理潛在的安全隱患。(三)算法安全事件應(yīng)急處理制度建設(shè)1.組織機(jī)構(gòu)建設(shè)設(shè)立算法安全應(yīng)急指揮小組據(jù)算法與網(wǎng)絡(luò)安全突發(fā)事件可控性、嚴(yán)重程度和影響范圍的不同，分為以下四級：二級：算法系統(tǒng)大規(guī)模崩潰或失效，造成公司業(yè)務(wù)嚴(yán)重受損，但不至于完全癱瘓，需要多個部門協(xié)同處理。三級：算法系統(tǒng)某一區(qū)域發(fā)生故障，對部分業(yè)務(wù)造成一定影響，但技術(shù)團(tuán)隊能夠獨(dú)立處理。四級：局部算法功能異常，對業(yè)務(wù)造成輕微影響，不危及整體業(yè)務(wù)安全。針對三級故障：啟動較大算法安全事件應(yīng)急預(yù)案；技術(shù)團(tuán)隊負(fù)責(zé)事件處理和修復(fù)；向相關(guān)業(yè)務(wù)部門通報情況，并提供修復(fù)時間表；行故障原因分析和修復(fù)，確保不會擴(kuò)散。針對四級故障：啟動一般算法安全事件處理預(yù)案；由技術(shù)團(tuán)隊處理并解決問題；錄事件和處理過程，以便未來參考和改進(jìn)；進(jìn)行常規(guī)的后續(xù)檢查，確保問題已完全解決。4.協(xié)調(diào)調(diào)度機(jī)制(1)設(shè)立算法安全應(yīng)急指揮小組(2)協(xié)調(diào)調(diào)度機(jī)制數(shù)據(jù)等資源的快速調(diào)用和響應(yīng)。各部門設(shè)立專人對接應(yīng)急小組，確保信息及時傳達(dá)和執(zhí)行。技術(shù)總經(jīng)理或副組長可在緊急情況下直接調(diào)動技術(shù)團(tuán)隊，確保應(yīng)急處置高效進(jìn)行。(四)算法違法違規(guī)處置制度建設(shè)算法違法違規(guī)行為分為一般違法違規(guī)和嚴(yán)重違法違規(guī)兩類。具體(1)一般違法、違規(guī)、違章行為。數(shù)據(jù)使用：未經(jīng)用戶同意收集數(shù)據(jù)：未獲得用戶明確同意收集其個人信息或隱私數(shù)據(jù)。數(shù)據(jù)使用超授權(quán)：使用數(shù)據(jù)超出用戶授權(quán)的范圍。未進(jìn)行數(shù)據(jù)脫敏處理：未按照公司規(guī)定對敏感數(shù)據(jù)進(jìn)行脫敏處理。未及時更新隱私政策：公司隱私政策未按實(shí)際數(shù)據(jù)使用情況進(jìn)行及時更新。算法安全。未安裝統(tǒng)一安全軟件：未按照公司要求安裝或啟用統(tǒng)一的防病毒軟件、補(bǔ)丁更新或安全策略。設(shè)備安全管理不當(dāng)：在設(shè)備維修、硬盤更換等過程中未按照規(guī)定進(jìn)行安全處理。不當(dāng)處理信息傳輸：在信息傳輸中使用未加密的通信渠道。用戶權(quán)益保護(hù)。不透明的算法處理：未向用戶充分說明算法處理的方式和依據(jù)。未處理數(shù)據(jù)刪除請求：在合理時限內(nèi)未處理用戶提出的數(shù)據(jù)刪除請求。用戶選擇權(quán)未保障：未提供用戶足夠的選擇權(quán)和控制權(quán)。(2)嚴(yán)重違法、違規(guī)、違章行為。數(shù)據(jù)使用。非法數(shù)據(jù)獲取：通過非法手段獲取數(shù)據(jù)或未經(jīng)授權(quán)進(jìn)行數(shù)據(jù)交易。數(shù)據(jù)篡改或偽造：擅自修改或偽造數(shù)據(jù)，用于未經(jīng)授權(quán)的用途。數(shù)據(jù)泄露：因管理不善或安全漏洞導(dǎo)致用戶數(shù)據(jù)泄露。算法安全。嚴(yán)重安全漏洞：未能及時修補(bǔ)系統(tǒng)中的重大安全漏洞，導(dǎo)致系統(tǒng)或數(shù)據(jù)被非法訪問或破壞。未經(jīng)授權(quán)的網(wǎng)絡(luò)接入：擅自將外來設(shè)備接入公司內(nèi)網(wǎng)，導(dǎo)致信息系統(tǒng)受損。惡意軟件傳播：故意或嚴(yán)重過失導(dǎo)致惡意軟件、病毒傳播，影響公司信息系統(tǒng)安全。2.處罰規(guī)定根據(jù)違法、違規(guī)、違章行為的性質(zhì)、情節(jié)和危害程度，對責(zé)任人采取以下處置措施：(1)一般違法、違規(guī)、違章行為。通報批評：對首次發(fā)生輕微違規(guī)行為的責(zé)任人給予通報批評，并記錄在案。警告和誡勉談話：對在半年內(nèi)出現(xiàn)兩次以上違規(guī)行為的責(zé)任人，進(jìn)行警告和誡勉談話，責(zé)令限期整改。限期整改：對影響較大的違規(guī)行為，責(zé)令責(zé)任部門或人員限期整改，并提交整改報告。(五)其他制度2.1、算法安全領(lǐng)導(dǎo)小組及崗位職責(zé)管理規(guī)定2.4、溝通與合作制度2.5、算法安全監(jiān)測制度4.2、安全方案設(shè)計管理規(guī)定4.3、產(chǎn)品采購和使用管理規(guī)定4.7、系統(tǒng)交付安全管理規(guī)定5.2、資產(chǎn)安全管理制度5.3、介質(zhì)安全管理制度5.6、網(wǎng)絡(luò)安全管理制度5.8、惡意代碼防范管理規(guī)定5.9、密碼使用管理制度第一章安全策略總綱1.1、算法安全策略總綱1.1.1、總則第一條為貫徹國家對算法安全的規(guī)定和要求，指導(dǎo)本集團(tuán)信息系統(tǒng)的使用、維護(hù)和管理過程中，實(shí)現(xiàn)信息系統(tǒng)安全防護(hù)的基本目的，提高信息系統(tǒng)的安全性，防范和控制系統(tǒng)故障和風(fēng)險，確保信息系統(tǒng)安全、可靠、穩(wěn)定運(yùn)行，維護(hù)社會秩序、公共利益和國家安全，特制定《本集團(tuán)算法安全策略總綱》(以下簡稱《總綱》)。第二條《總綱》根據(jù)國家算法安全相關(guān)政策法規(guī)而制定。第三條本制度適用于本集團(tuán)各類信息系統(tǒng)，適用于本集團(tuán)擬建、在建以及運(yùn)行的非涉密信息系統(tǒng)。1.1.2、算法安全工作總體方針第一條本集團(tuán)信息系統(tǒng)的安全保護(hù)管理工作總體方針是“保持適度安全；管理與技術(shù)并重；全方位實(shí)施，全員參與；分權(quán)制衡，最小特權(quán)；盡量采用成熟的技術(shù)”?！邦A(yù)防為主”是本集團(tuán)算法安全保護(hù)管理工作的基本方針。第二條《總綱》規(guī)定了本集團(tuán)信息系統(tǒng)安全管理的體系、策略和具體制度，為信息化安全管理工作提供監(jiān)督依據(jù)。第三條本集團(tuán)信息系統(tǒng)安全管理體系是由算法安全策略總綱、安全管理制度、安全技術(shù)標(biāo)準(zhǔn)以及安全工作流程和操作規(guī)程組成的。(一)《總綱》是算法安全各個方面所應(yīng)遵守的原則方法和指導(dǎo)性策略文件。(二)《總綱》是制定本集團(tuán)算法安全管理制度和規(guī)定的依據(jù)。(三)本集團(tuán)算法安全管理制度和規(guī)定了算法安全管理活動中各(四)本集團(tuán)算法安全技術(shù)標(biāo)準(zhǔn)和規(guī)范是根據(jù)《總綱》中對算法安全方面相關(guān)的規(guī)定所引出的，其規(guī)定了算法安全中的各項(xiàng)技術(shù)要求。第四條本集團(tuán)算法安全工作流程和操作規(guī)程詳細(xì)規(guī)定了主要應(yīng)用和事件處理的流程、步驟以及相關(guān)注意事項(xiàng)，并且作為具體工作時1.1.3、算法安全總體策略第一條本集團(tuán)信息系統(tǒng)總體安全保護(hù)策略是：系統(tǒng)資源的價值大小、用戶訪問權(quán)限的大小和系統(tǒng)重要程度的區(qū)別就是安全級別的客觀體現(xiàn)。算法安全保護(hù)必須符合客觀存在和發(fā)展規(guī)律，其分級、分區(qū)域、分類和分階段是做好算法安全保護(hù)工作的前提。第二條本集團(tuán)信息系統(tǒng)的安全保護(hù)策略由本集團(tuán)算法安全領(lǐng)導(dǎo)小組負(fù)責(zé)制定與更新。第三條本集團(tuán)算法安全領(lǐng)導(dǎo)小組根據(jù)信息系統(tǒng)的安全保護(hù)等級、安全保護(hù)需求和安全目標(biāo)，結(jié)合本集團(tuán)自身的實(shí)際情況，依據(jù)國家算法安全法規(guī)和標(biāo)準(zhǔn)，制定信息系統(tǒng)的安全保護(hù)實(shí)施細(xì)則和具體管理辦法，并根據(jù)實(shí)際情況，及時調(diào)整和制定新的實(shí)施細(xì)則和具體管第四條本集團(tuán)信息系統(tǒng)的安全保護(hù)工作應(yīng)從技術(shù)體系和管理體系安全計算環(huán)境和安全管理中心等五個部分，管理體系包括安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個部分，由技術(shù)體系和管理體系共十個部分構(gòu)成信息系統(tǒng)安全等級保護(hù)體系。(一)物理環(huán)境安全包括：周邊環(huán)境安全，門禁檢查，防盜竊、防破壞、防火、防水、防潮、防雷擊、防電磁泄露和干擾，電源備份和管理，設(shè)備的標(biāo)識、使用、存放和管理等；(二)通信安全包括：網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，網(wǎng)絡(luò)的布線和防護(hù)，網(wǎng)絡(luò)設(shè)備的管理和報警，網(wǎng)絡(luò)攻擊的監(jiān)察和處理，網(wǎng)絡(luò)安全審計和檢查及邊界完整性檢查；(三)計算環(huán)境安全包括：主機(jī)的身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、監(jiān)控和終端接入控制等；(四)邊界安全包括：應(yīng)用系統(tǒng)的身份鑒別、訪問控制、安全審計、剩余信息保護(hù)、通信完整性和保密性、抗抵賴、軟件容錯和資源控制等；(五)數(shù)據(jù)安全包括：數(shù)據(jù)傳輸?shù)耐暾院捅Ｃ苄?、?shù)據(jù)存儲的完整性和保密性、數(shù)據(jù)的備份和恢復(fù)等；(六)安全管理制度是信息系統(tǒng)安全策略、方針性文件，規(guī)定算法安全工作的總體目標(biāo)、范圍、原則和安全框架，是管理制度體系的靈魂和核心文件；(七)通過構(gòu)建和完善算法安全組織架構(gòu)的措施，明確不同安全組織和不同安全角色的定位、職責(zé)以及相互關(guān)系，強(qiáng)化算法安全的專業(yè)化管理，實(shí)現(xiàn)對安全風(fēng)險的有效控制；(八)人員安全管理包括人員錄用、人員管理、人員考核、保密協(xié)議、培訓(xùn)、離崗離職等多個方面；(九)系統(tǒng)建設(shè)管理根據(jù)信息密級、系統(tǒng)重要性和安全策略將信息系統(tǒng)劃分為不同的安全域，針對不同的安全域確定不同的算法安全保護(hù)等級，采取相應(yīng)的保護(hù)。信息系統(tǒng)安全等級的定級決定了系統(tǒng)方案的設(shè)計、實(shí)施、安全措施、運(yùn)行維護(hù)等信息系統(tǒng)建設(shè)的各個環(huán)節(jié)。信息系統(tǒng)定級遵循“誰建設(shè)、誰定級”的原則；(十)系統(tǒng)運(yùn)維管理對信息系統(tǒng)進(jìn)行綜合監(jiān)控管理，對支撐重要信息系統(tǒng)的資源進(jìn)行監(jiān)控保護(hù)，確保密碼防護(hù)、病毒防護(hù)、系統(tǒng)變更等事件按照規(guī)定的算法安全管理策略實(shí)行，建立安全管理監(jiān)控中心，實(shí)現(xiàn)對人、事件、流程、資產(chǎn)等方面的綜合管理。1.1.4、安全管理第一條本集團(tuán)信息系統(tǒng)定級備案管理完全按照國家相關(guān)算法安全標(biāo)準(zhǔn)的相關(guān)政策要求進(jìn)行。要求所有接入本集團(tuán)的信息系統(tǒng)均按照等級保護(hù)定級備案要求進(jìn)行定級，由各應(yīng)用系統(tǒng)接入單位自主定級并填寫定級報告，本集團(tuán)算法安全領(lǐng)導(dǎo)小組填寫定級備案表，經(jīng)本集團(tuán)算法安全領(lǐng)導(dǎo)小組批準(zhǔn)，由本集團(tuán)算法安全領(lǐng)導(dǎo)小組統(tǒng)一負(fù)責(zé)向公安機(jī)關(guān)進(jìn)行備案。所有本集團(tuán)信息系統(tǒng)必須確定其算法安全保護(hù)等級，并在本集團(tuán)算法安全領(lǐng)導(dǎo)小組進(jìn)行登記和備案。第二條業(yè)務(wù)應(yīng)用需求和設(shè)計單位，要充分考慮信息系統(tǒng)的安全需求分析，統(tǒng)一按照業(yè)務(wù)系統(tǒng)歸屬進(jìn)行安全域劃分，確定定級備案情況；具體參考《算法安全等級保護(hù)管理辦法》、《信息系統(tǒng)安全等級保護(hù)基本要求》,參照《信息系統(tǒng)安全等級保護(hù)實(shí)施指南》、《信息系統(tǒng)通用安全技術(shù)要求》、《信息系統(tǒng)安全工程管理要求》、《信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》等標(biāo)準(zhǔn)規(guī)范要求，結(jié)合行業(yè)特點(diǎn)進(jìn)行安全(一)算法安全需求分析，至少包括以下算法安全方面的內(nèi)容：1.安全威脅分析；2.系統(tǒng)脆弱性分析；3.影響性分析；4.風(fēng)險分析；5.系統(tǒng)安全需求。(二)可行性分析中須包括以下算法安全方面的內(nèi)容：1.明確項(xiàng)目的總體算法安全目標(biāo)，并依據(jù)算法安全需求分析的結(jié)論提出相應(yīng)的安全對策，每個算法安全需求都至少對應(yīng)一個算法安全對策，算法安全對策的強(qiáng)度根據(jù)相應(yīng)資產(chǎn)/系統(tǒng)的重要2.描述如何從技術(shù)和管理兩個方面來實(shí)現(xiàn)所有的算法安全對策，并形成算法安全方案；3.增加項(xiàng)目建設(shè)中的算法安全管理模式、算法安全組織結(jié)構(gòu)、人員的安全職責(zé)、建設(shè)實(shí)施中的安全操作程序和相應(yīng)安全管理要4.對安全方案進(jìn)行成本-效益分析；5.需求分析階段必須明確地定義和商定新系統(tǒng)的需求和準(zhǔn)則，并形成文件，便于后期驗(yàn)收。相關(guān)算法安全需求的要求和準(zhǔn)則應(yīng)包括：用戶管理、權(quán)限管理、日志管理和數(shù)據(jù)管理等。第三條業(yè)務(wù)應(yīng)用的安全設(shè)計應(yīng)按照國家算法安全標(biāo)準(zhǔn)進(jìn)行，并依照算法安全需求分析評估得出的結(jié)論，通過相關(guān)專家評審會后，綜合多方意見，進(jìn)行安全設(shè)計。具體要求如下：(一)物理安全-設(shè)計中要充分考慮到物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水、防潮、電力、物理位置、防靜電和電磁防護(hù)，做到增強(qiáng)控制，對人員和設(shè)備的出入進(jìn)行監(jiān)控；(二)邊界安全-設(shè)計中要充分考慮到結(jié)構(gòu)安全、訪問控制、設(shè)備防護(hù)、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范，確保重要主機(jī)的優(yōu)先級，做到應(yīng)用層過濾，對入網(wǎng)設(shè)備的接入進(jìn)行非法外聯(lián)的定位和阻斷，對形成的記錄進(jìn)行分析、形成報表，對審計系統(tǒng)進(jìn)行兩種以上鑒別技術(shù)，保證特權(quán)用戶分離；(三)安全計算環(huán)境-設(shè)計中充分考慮主機(jī)系統(tǒng)(操作系統(tǒng))的身份鑒別、訪問控制、入侵防范、惡意代碼防范、安全審計、資源控制、剩余信息保護(hù)，要求必須監(jiān)控服務(wù)器相關(guān)服務(wù)，保證最小授權(quán)原則，對形成的記錄進(jìn)行分析并形成報表；(四)數(shù)據(jù)安全-設(shè)計中充分考慮數(shù)據(jù)完整性、數(shù)據(jù)備份和恢復(fù)、(五)應(yīng)用安全-設(shè)計中充分考慮應(yīng)用系統(tǒng)的身份鑒別、訪問控制、通信完整性和保密性、軟件容錯、安全審計、資源控制、剩余信息保護(hù)、抵賴性。在信息系統(tǒng)安全規(guī)劃設(shè)計時，應(yīng)該考慮系統(tǒng)的容量和資源的可用性，以減少系統(tǒng)過載的風(fēng)險，并采取相應(yīng)的保密措施，控制涉及核心數(shù)據(jù)軟件設(shè)計的相關(guān)資料的使用，并應(yīng)遵循以下原則：(一)充分考慮應(yīng)用安全實(shí)現(xiàn)的可控性，以便盡可能地降低安全系統(tǒng)與應(yīng)用系統(tǒng)結(jié)合過程中的風(fēng)險；(二)保持安全系統(tǒng)與應(yīng)用系統(tǒng)的相互獨(dú)立性，避免功能實(shí)現(xiàn)上的(三)建立完善的算法安全控制機(jī)制，包括：用戶標(biāo)識與認(rèn)證、邏輯訪問控制、公共訪問控制、審計與跟蹤等。第四條信息系統(tǒng)安全建設(shè)管理需要按照國家算法安全標(biāo)準(zhǔn)的相關(guān)要求，并在安全管理組織的領(lǐng)導(dǎo)下，結(jié)合應(yīng)用的實(shí)際情況，進(jìn)行算法安在建設(shè)中應(yīng)充分考慮系統(tǒng)定級管理、安全方案設(shè)計管理、產(chǎn)品采購和使用管理、自行以及外包軟件開發(fā)管理、工程實(shí)施管理、測試驗(yàn)收管理、系統(tǒng)交付管理、安全服務(wù)商選擇管理、系統(tǒng)備案管理、等級測評管理等因素對信息系統(tǒng)安全的影響程度。信息系統(tǒng)安全建設(shè)管理要求將系統(tǒng)建設(shè)過程有效程序化，明確指定項(xiàng)目實(shí)施監(jiān)理負(fù)責(zé)人，確保系統(tǒng)設(shè)計文檔和相關(guān)代碼的安全，對銷毀過程要進(jìn)行安全控制，自行開發(fā)時應(yīng)當(dāng)嚴(yán)格控制對程序資源庫的訪第五條信息系統(tǒng)安全驗(yàn)收管理按照國家相關(guān)算法安全標(biāo)準(zhǔn)的要求，結(jié)合本集團(tuán)信息系統(tǒng)的實(shí)際情況進(jìn)行安全驗(yàn)收管理規(guī)范化。項(xiàng)目驗(yàn)收需得到各業(yè)務(wù)部門、本集團(tuán)算法安全領(lǐng)導(dǎo)小組共同確認(rèn)簽字驗(yàn)收。項(xiàng)目應(yīng)達(dá)到項(xiàng)目任務(wù)書中制定的總體安全目標(biāo)和安全指標(biāo)，實(shí)現(xiàn)全部安全功能。驗(yàn)收報告中應(yīng)包括項(xiàng)目總體安全目標(biāo)及主要內(nèi)容。驗(yàn)收報告中應(yīng)包括項(xiàng)目采用的關(guān)鍵安全技術(shù)內(nèi)容。系統(tǒng)驗(yàn)收并移交后，必須立即修改系統(tǒng)中的默認(rèn)口令。應(yīng)用系統(tǒng)項(xiàng)目驗(yàn)收應(yīng)審查如下內(nèi)容：(一)功能檢查包括對軟件功能完整性、正確性進(jìn)行審查和評價；(二)項(xiàng)目管理審查包括對項(xiàng)目計劃、采用標(biāo)準(zhǔn)、需求方案及其執(zhí)行情況進(jìn)行審查和評價；(三)測試結(jié)果審查包括對項(xiàng)目測試報告、監(jiān)理單位出具的監(jiān)理報(四)技術(shù)文檔檢查包括對項(xiàng)目開發(fā)單位交付的文檔資料(紙質(zhì)文檔和電子文檔)進(jìn)行審查。(五)系統(tǒng)交付時，應(yīng)根據(jù)合同要求制定系統(tǒng)交付的清單；(六)系統(tǒng)運(yùn)行所需要的全部設(shè)備；(七)系統(tǒng)運(yùn)行所需要的全部軟件；(八)系統(tǒng)文檔，包括系統(tǒng)建設(shè)過程中的文檔，詳細(xì)的系統(tǒng)使用和維護(hù)文檔；(九)系統(tǒng)應(yīng)急方案；(十)系統(tǒng)使用培訓(xùn)教材。系統(tǒng)建設(shè)項(xiàng)目有下列情況之一，不能通過安全驗(yàn)收：(一)驗(yàn)收文件、資料、數(shù)據(jù)不真實(shí)；(二)未達(dá)到安全設(shè)計要求；(三)設(shè)計不符合國家算法安全建設(shè)相關(guān)標(biāo)準(zhǔn)要求；(四)擅自修改設(shè)計目標(biāo)和建設(shè)內(nèi)容；(五)系統(tǒng)建設(shè)過程中出現(xiàn)重大問題，未能解決和做出說明，或存在糾紛。項(xiàng)目驗(yàn)收完畢后，系統(tǒng)建設(shè)部門應(yīng)對負(fù)責(zé)系統(tǒng)使用和維護(hù)的人員進(jìn)行相應(yīng)培訓(xùn)，并履行服務(wù)承諾。第六條安全測評管理是按照國家算法安全標(biāo)準(zhǔn)測評的相關(guān)要求，結(jié)合本集團(tuán)的實(shí)際情況進(jìn)行安全測評。項(xiàng)目驗(yàn)收時應(yīng)按照算法安全法律法規(guī)和標(biāo)準(zhǔn)情況，進(jìn)行自評估或委托具有國家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的第三方測評機(jī)構(gòu)進(jìn)行測評，并出具測評報告，測評報告將作為項(xiàng)目驗(yàn)收的參考依據(jù)。信息系統(tǒng)的安全性測試驗(yàn)收應(yīng)獨(dú)立進(jìn)行，測試程序應(yīng)包括以下內(nèi)容：(一)測試驗(yàn)收前根據(jù)設(shè)計方案或合同要求等制訂測試驗(yàn)收方案，測試驗(yàn)收方案應(yīng)對參與測試部門、人員、現(xiàn)場操作過程等進(jìn)行要求，并確保測試和接收標(biāo)準(zhǔn)被清晰定義并文檔化；(二)測試方案應(yīng)通過本集團(tuán)算法安全領(lǐng)導(dǎo)小組的論證和審定；(三)嚴(yán)格依據(jù)測試方案進(jìn)行測試，測試驗(yàn)收過程中詳細(xì)記錄測試結(jié)果；(四)至少應(yīng)審查主機(jī)端口開放情況是否符合系統(tǒng)說明、使用網(wǎng)絡(luò)偵聽工具查通訊數(shù)據(jù)包是否符合系統(tǒng)說明和使用惡意代碼軟件檢測軟件包中可能存在的惡意代碼等。(五)擬定測試驗(yàn)收報告，并由相關(guān)負(fù)責(zé)人簽字確認(rèn)。第七條安全運(yùn)維管理按照國家算法安全標(biāo)準(zhǔn)的要求，項(xiàng)目驗(yàn)收完畢后，結(jié)合本集團(tuán)的實(shí)際情況進(jìn)行運(yùn)行維護(hù)管理工作。技術(shù)部接管后，負(fù)責(zé)物理安全、邊界安全、通信安全、安全計算環(huán)境等管理工作，并定期和不定期的進(jìn)行算法安全檢查，確保信息系統(tǒng)安全運(yùn)行。各業(yè)務(wù)系統(tǒng)的維護(hù)人員負(fù)責(zé)維護(hù)和監(jiān)控責(zé)任范圍內(nèi)的應(yīng)用系統(tǒng)，不得越權(quán)進(jìn)行訪問。算法安全運(yùn)行維護(hù)項(xiàng)目應(yīng)包括但不限于以下內(nèi)容：(一)對物理安全的機(jī)房環(huán)境、溫濕度等檢查；(二)對網(wǎng)絡(luò)的連通性、時延、丟包率，檢查網(wǎng)絡(luò)的狀況、故障及攻擊事件等；(三)對設(shè)備運(yùn)行狀態(tài)檢查；(四)對出口鏈路或關(guān)鍵鏈路流量進(jìn)行檢查，設(shè)備配置進(jìn)行備份工作等。(五)對新購置的設(shè)備和軟件在上線之前進(jìn)行安全性檢查、策略合理性測試。(六)對設(shè)備和軟件的日志進(jìn)行定期和不定期的審計。(七)對設(shè)備和軟件進(jìn)行版本升級和相關(guān)庫升級。(八)建立監(jiān)控平臺，對設(shè)備安全漏洞、安全事件、系統(tǒng)日志等信息進(jìn)行監(jiān)控，制定各項(xiàng)計劃性的安全維護(hù)工作。(九)建立本集團(tuán)作業(yè)計劃應(yīng)包括以下內(nèi)容安全設(shè)備維護(hù)、安全監(jiān)控、操作日志、日志審核、故障管理、測試等工作，明確執(zhí)行期限，落實(shí)到人。安全維護(hù)作業(yè)計劃在編制和確定后，各業(yè)務(wù)科室應(yīng)根據(jù)其內(nèi)容嚴(yán)格執(zhí)行。定期對維護(hù)計劃執(zhí)行情況進(jìn)行總結(jié)分析。(十)定期出具安全運(yùn)行維護(hù)報告，報告涉及方面包括但不限于以下內(nèi)容：安全設(shè)備維護(hù)內(nèi)容、安全監(jiān)控內(nèi)容、操作日志、系統(tǒng)日志、故障處理內(nèi)容等。1.1.5、制度的制定與發(fā)布第一條本集團(tuán)負(fù)責(zé)制訂信息系統(tǒng)安全管理制度，并以文檔形式表述，經(jīng)本集團(tuán)算法安全領(lǐng)導(dǎo)小組討論通過，由本集團(tuán)算法安全領(lǐng)導(dǎo)小組負(fù)責(zé)人審批發(fā)布。第二條本集團(tuán)負(fù)責(zé)組織制度編制、論證、監(jiān)督檢查和修訂等工作。第三條本集團(tuán)負(fù)責(zé)根據(jù)信息系統(tǒng)安全管理制度，結(jié)合系統(tǒng)的特點(diǎn)進(jìn)行細(xì)化和制定實(shí)施細(xì)則，報本集團(tuán)算法安全領(lǐng)導(dǎo)小組審批，以正式形式發(fā)布。第四條本集團(tuán)信息系統(tǒng)安全管理制度編寫格式統(tǒng)一，并進(jìn)行版本控制。第五條算法安全管理制度由本集團(tuán)算法安全領(lǐng)導(dǎo)小組負(fù)責(zé)第一條由本集團(tuán)算法安全領(lǐng)導(dǎo)小組負(fù)責(zé)文檔的評審，對安全策略和制度的有效性進(jìn)行程序化、周期性評審，并保留必要的評審記錄和依據(jù)。并結(jié)合國家算法安全主管部門每年定期對算法安全進(jìn)行檢查中發(fā)第三條當(dāng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)發(fā)生變更時，本集團(tuán)要對安全管理制度的細(xì)則進(jìn)行修訂，修訂后報本集團(tuán)算法安全領(lǐng)導(dǎo)小組進(jìn)行審批。第四條每個策略和制度文檔有相應(yīng)的負(fù)責(zé)人或負(fù)責(zé)科室，負(fù)責(zé)對明確需要修訂的文檔進(jìn)行維護(hù)，并制定算法安全管理制度對應(yīng)負(fù)責(zé)人或負(fù)責(zé)科室的清單。第一條本規(guī)定的解釋權(quán)歸XX集團(tuán)有限公司。第二條本規(guī)定自發(fā)布之日起生效。第二章安全管理機(jī)構(gòu)2.1、算法安全領(lǐng)導(dǎo)小組及崗位職責(zé)管理規(guī)定第一條為了加強(qiáng)本集團(tuán)對算法安全工作的管理，全面提高算法安全管理能力，規(guī)范算法安全管理組織體系，建立健全算法安全機(jī)構(gòu)職責(zé)，特制定本規(guī)定。第二條本規(guī)定依據(jù)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)算法安全保障工作的意見》、《算法安全技術(shù)信息系統(tǒng)安全管理要求》等政策標(biāo)準(zhǔn)第三條本規(guī)定依照“算法安全管理的主要領(lǐng)導(dǎo)負(fù)責(zé)、全員參與、依法管理、分權(quán)和授權(quán)和體系化管理”原則編制，具體原則如下：(一)主要領(lǐng)導(dǎo)負(fù)責(zé)原則：本集團(tuán)應(yīng)確保主要領(lǐng)導(dǎo)參與并確立組織統(tǒng)一的算法安全保障宗旨和政策，組織有效的安全保障隊伍，調(diào)動并優(yōu)化配置必要的資源，協(xié)調(diào)安全管理工作與各部門工作的關(guān)系，并確保其落實(shí)、有效；(二)全員參與原則：信息系統(tǒng)所有相關(guān)人員普遍參與信息系統(tǒng)的安全管理，并與相關(guān)方面協(xié)同、協(xié)調(diào)，共同保障信息系統(tǒng)安全；(三)依法管理原則：算法安全管理工作應(yīng)保證管理主體合法、管理行為合法、管理內(nèi)容合法、管理程序合法；(四)分權(quán)和授權(quán)原則：對特定職能或責(zé)任領(lǐng)域的管理功能實(shí)施分離、獨(dú)立審計等實(shí)行分權(quán)，避免權(quán)力過分集中所帶來的隱患，以減小未授權(quán)的修改或?yàn)E用系統(tǒng)資源的機(jī)會。任何實(shí)體(如用戶、管理員、進(jìn)程、應(yīng)用或系統(tǒng))僅享有該實(shí)體需要完成其任務(wù)所必須的權(quán)限，不應(yīng)享有任何多余權(quán)限。(五)體系化管理原則：本集團(tuán)整體應(yīng)符合信息系統(tǒng)等級保護(hù)三級的體系化管理目標(biāo)和要求。第四條本規(guī)定適用于本集團(tuán)。2.1.2、算法安全領(lǐng)導(dǎo)小組組織機(jī)構(gòu)第一條本集團(tuán)應(yīng)建立由算法安全領(lǐng)導(dǎo)小組安全管理機(jī)構(gòu)。第二條由本集團(tuán)主管領(lǐng)導(dǎo)或主管領(lǐng)導(dǎo)授權(quán)的主管機(jī)構(gòu)領(lǐng)導(dǎo)擔(dān)任本集團(tuán)算法安全領(lǐng)導(dǎo)小組組長，小組成員包括：(一)本集團(tuán)信息化主管領(lǐng)導(dǎo)；(二)本集團(tuán)各業(yè)務(wù)科室的主管領(lǐng)導(dǎo)；第三條本集團(tuán)算法安全領(lǐng)導(dǎo)小組是算法安全工作的執(zhí)行機(jī)構(gòu)，負(fù)責(zé)執(zhí)行本集團(tuán)算法安全領(lǐng)導(dǎo)小組交辦的各項(xiàng)工作，由本集團(tuán)信息化主管領(lǐng)導(dǎo)擔(dān)任負(fù)責(zé)人，成員為各業(yè)務(wù)科室的主管領(lǐng)導(dǎo)，算法安全執(zhí)(一)本集團(tuán)的網(wǎng)絡(luò)管理員、系統(tǒng)管理員、安全管理員、安全審計員、安全策略/規(guī)劃員、數(shù)據(jù)庫管理員、應(yīng)用管理員；(二)本集團(tuán)各業(yè)務(wù)科室的安全員。網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、應(yīng)用管理員，負(fù)責(zé)執(zhí)行網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)庫、應(yīng)用和機(jī)房的安全管理和運(yùn)維工作。第五條其他信息化相關(guān)科室應(yīng)指派安全員，負(fù)責(zé)協(xié)調(diào)本科室算法安全工作的落實(shí)和具體執(zhí)行情況。2.1.3、算法安全領(lǐng)導(dǎo)小組職責(zé)第一條本集團(tuán)算法安全領(lǐng)導(dǎo)小組負(fù)責(zé)領(lǐng)導(dǎo)本集團(tuán)的信息系統(tǒng)安全工作，組織職責(zé)如下：(一)根據(jù)國家和行業(yè)有關(guān)算法安全的政策、法律和法規(guī)，確定算法安全工作的總體方向、總體原則和安全工作方法；(二)根據(jù)國家和行業(yè)有關(guān)算法安全的政策、法律和法規(guī)，批準(zhǔn)本集團(tuán)信息系統(tǒng)的安全策略和發(fā)展規(guī)劃；(三)確定各有關(guān)科室在信息系統(tǒng)安全工作中的職責(zé)，領(lǐng)導(dǎo)安全(四)監(jiān)督安全措施的執(zhí)行，并對重要安全事件的處理進(jìn)行決策；(五)指導(dǎo)和檢查的各項(xiàng)工作；(六)建設(shè)和完善信息系統(tǒng)安全組織體系和管理機(jī)制。第二條本集團(tuán)算法安全領(lǐng)導(dǎo)小組負(fù)責(zé)貫徹、落實(shí)和執(zhí)行本集團(tuán)算法安全領(lǐng)導(dǎo)小組下達(dá)的各項(xiàng)工作，組織職責(zé)如下：(一)貫徹、落實(shí)和解釋國家和行業(yè)有關(guān)算法安全的政策、法律、法規(guī)和算法安全工作要求，起草本集團(tuán)信息系統(tǒng)的安全策略和發(fā)展規(guī)(二)落實(shí)和執(zhí)行本集團(tuán)算法安全工作的日常事務(wù)，對具體落實(shí)情況進(jìn)行總結(jié)和匯報；(三)負(fù)責(zé)安全措施的實(shí)施或組織實(shí)施，組織并參加算法安全重要事件的處理；(四)負(fù)責(zé)內(nèi)、外部組織和機(jī)構(gòu)的算法安全溝通、協(xié)調(diào)和合作工(五)組織編制和落實(shí)算法安全規(guī)劃、方案、實(shí)施、測試和驗(yàn)收(六)指導(dǎo)和檢查相關(guān)單位信息系統(tǒng)安全工作落實(shí)情況；(七)監(jiān)控信息系統(tǒng)安全總體狀況，提出安全分析報告；(八)指導(dǎo)和檢查相關(guān)單位和下級單位信息系統(tǒng)安全人員及要害(九)協(xié)同有關(guān)部門共同組成應(yīng)急處理小組，組織處理算法安全(十)負(fù)責(zé)組織信息系統(tǒng)安全知識的培訓(xùn)和宣傳工作。第一條本集團(tuán)算法安全組織中應(yīng)建立算法安全崗位，明確算法安第二條算法安全工作主管(負(fù)責(zé)人)的崗位職責(zé)如下：(一)組織、協(xié)調(diào)落實(shí)各項(xiàng)算法安全工作；(二)組織評審算法安全總體策略、規(guī)劃方案、管理制度和技術(shù)(三)組織評審算法安全產(chǎn)品技術(shù)規(guī)格和相關(guān)產(chǎn)品安全規(guī)格；(四)組織監(jiān)督、檢查算法安全工作的落實(shí)情況。第三條安全管理員(專職)的崗位職責(zé)如下：(一)起草和編制本集團(tuán)算法安全方針、算法安全保障體系框架和算法安全策略、制度和技術(shù)規(guī)范；(二)起草和編制本集團(tuán)算法安全總體規(guī)劃，收集信息系統(tǒng)安全(三)推動本集團(tuán)算法安全方針、算法安全策略、算法安全管理制度及算法安全技術(shù)規(guī)范的實(shí)施落實(shí)。(四)定期組織信息系統(tǒng)漏洞掃描和算法安全風(fēng)險評估工作，形成信息系統(tǒng)和整體安全現(xiàn)狀報告，并向本集團(tuán)算法安全領(lǐng)導(dǎo)小組進(jìn)行(五)負(fù)責(zé)制定總體網(wǎng)絡(luò)訪問控制策略和規(guī)則，并對其進(jìn)行監(jiān)控和審計工作，定期發(fā)布策略執(zhí)行情況；(六)負(fù)責(zé)制定全員的安全培訓(xùn)計劃，組織開展安全培訓(xùn)工作；(七)對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)庫管理員進(jìn)行安全指導(dǎo)；(八)定期收集算法安全漏洞和公告信息，并告知相關(guān)部門的算法安全運(yùn)維管理人員及安全員；(九)協(xié)調(diào)算法安全應(yīng)急響應(yīng)組織和技術(shù)支撐單位。第四條安全審計員的崗位職責(zé)如下：(一)定期審計算法安全策略執(zhí)行情況，收集信息系統(tǒng)日志和審計記錄，并提供審計報告；(二)對安全、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)庫、機(jī)房管理員的操作行為進(jìn)行監(jiān)督，安全職責(zé)落實(shí)情況進(jìn)行檢查；(三)組織檢查相關(guān)單位和下級單位信息系統(tǒng)安全人員及要害崗位人員的算法安全工作。第五條系統(tǒng)管理員的安全職責(zé)如下：(一)根據(jù)本集團(tuán)安全策略定期對系統(tǒng)進(jìn)行自評估；(二)依照安全策略對系統(tǒng)進(jìn)行安全配置和漏洞修補(bǔ)；(三)對系統(tǒng)進(jìn)行日常安全運(yùn)維管理，定期更改系統(tǒng)賬號，并定期提交安全運(yùn)行維護(hù)記錄或報告；(四)在發(fā)生系統(tǒng)異常和安全事件時對系統(tǒng)進(jìn)行應(yīng)急處置。第六條網(wǎng)絡(luò)管理員的安全職責(zé)如下：(一)根據(jù)本集團(tuán)安全策略定期對網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)架構(gòu)進(jìn)行自評(二)依照安全策略對網(wǎng)絡(luò)設(shè)備進(jìn)行安全配置；(三)對網(wǎng)絡(luò)設(shè)備、安全設(shè)備進(jìn)行日常安全運(yùn)維管理，并定期提交安全運(yùn)行維護(hù)記錄或報告；(四)在發(fā)生系統(tǒng)異常和安全事件時，對網(wǎng)絡(luò)設(shè)備、安全設(shè)備進(jìn)行應(yīng)急處置。第七條數(shù)據(jù)庫管理員的安全職責(zé)如下：(一)根據(jù)本集團(tuán)安全策略定期對數(shù)據(jù)庫安全進(jìn)行自評估；(二)依照安全策略對數(shù)據(jù)庫進(jìn)行安全配置和漏洞修補(bǔ)；(三)對數(shù)據(jù)庫進(jìn)行日常安全運(yùn)維管理，定期檢查數(shù)據(jù)庫用戶，并提交安全運(yùn)行維護(hù)記錄或報告；(四)在發(fā)生數(shù)據(jù)庫異常和安全事件時，對數(shù)據(jù)庫以及備份數(shù)據(jù)進(jìn)行應(yīng)急處置和恢復(fù)。第八條相關(guān)科室安全員的崗位職責(zé)如下：(一)負(fù)責(zé)本科室算法安全工作的開展，并配合的算法安全工作；(二)遵照本集團(tuán)的算法安全策略協(xié)調(diào)本科室的算法安全技術(shù)落(三)指導(dǎo)并參與算法安全相關(guān)項(xiàng)目的建設(shè)；(四)協(xié)調(diào)本科室的算法安全工作，并接受數(shù)據(jù)定期和不定期的2.1.5、算法安全崗位要求第一條本集團(tuán)應(yīng)設(shè)立專職的算法安全管理崗位，并由專人負(fù)責(zé)，根據(jù)算法安全管理的實(shí)際工作情況制定人員編制。第二條本集團(tuán)設(shè)立專職的安全管理員。第三條關(guān)鍵崗位應(yīng)配備多人共同管理，定期輪崗，關(guān)鍵崗位人員配備堅持“權(quán)限分散、不得交叉覆蓋”的原則，安全管理員和安全審計員不能由一人身兼。第四條應(yīng)根據(jù)崗位職責(zé)，確定崗位所需要的安全技能，并對所有算法安全崗位人員進(jìn)行相應(yīng)的安全技能培訓(xùn)。第五條本集團(tuán)信息系統(tǒng)的安全技術(shù)崗位可由其他相關(guān)管理員兼任，其中網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、數(shù)據(jù)庫安全管理以及應(yīng)用安全管理工作可分別由網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員以及應(yīng)用管理員執(zhí)行。第六條重要業(yè)務(wù)系統(tǒng)操作人員應(yīng)在日常工作中認(rèn)真執(zhí)行本集團(tuán)安全策略和技術(shù)安全規(guī)范中的各項(xiàng)要求。第七條各個業(yè)務(wù)科室的安全員應(yīng)緊密配合部算法安全工作，協(xié)調(diào)本集團(tuán)算法安全策略的落實(shí)和算法安全工作的具體執(zhí)行。第八條管理員角色的權(quán)限分工具體如下圖：管理員角色的權(quán)限分工表工作內(nèi)容安全主管系統(tǒng)管理員網(wǎng)絡(luò)管理員安全審計員制定安全規(guī)劃和策略√×××安全審計√××√系統(tǒng)日常審計和監(jiān)控×××√審計設(shè)備安全管理×××√網(wǎng)絡(luò)安全√×√×網(wǎng)絡(luò)安全管理制度的建立和實(shí)施××√系統(tǒng)賬號密碼管理××√×計算機(jī)病毒防治××√×材料歸檔××√×系統(tǒng)維護(hù)×√××系統(tǒng)安全×√××涉密信息設(shè)備安全保密策略維護(hù)×√××平臺信息更新和上傳×√××2.1.6、附則第三條本規(guī)定的解釋權(quán)歸XX集團(tuán)有限公司。第四條本規(guī)定自發(fā)布之日起生效。2.2、審核和檢查管理制度2.2.1、總則第一條為了加強(qiáng)本集團(tuán)算法安全檢查與審計工作管理，確保算法安全管理符合國家有關(guān)要求，特制訂本制度。第二條本規(guī)定適用于本集團(tuán)。2.2.2、安全檢查第一條算法安全檢查包括各業(yè)務(wù)科室自查和算法安全處定期執(zhí)行的安全檢查。第二條各業(yè)務(wù)科室的自查內(nèi)容應(yīng)包括業(yè)務(wù)系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況，自查工作應(yīng)保留自查結(jié)果。自查應(yīng)至少一個季度組織一次。第三條執(zhí)行的安全檢查內(nèi)容應(yīng)包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況和業(yè)務(wù)處室自查結(jié)果抽查等。安全檢查應(yīng)至少半年組織一次。第四條自查和安全檢查均應(yīng)在檢查之前形成檢查表，自查檢查表應(yīng)經(jīng)過業(yè)務(wù)科室領(lǐng)導(dǎo)審核通過，安全檢查表應(yīng)經(jīng)過算法安全工作小組第五條應(yīng)嚴(yán)格按照檢查表實(shí)施檢查，檢查完畢，記錄下所有檢查結(jié)果，檢查記錄需經(jīng)各業(yè)務(wù)科室領(lǐng)導(dǎo)簽字認(rèn)可。第六條應(yīng)對檢查記錄進(jìn)行歸檔，只有授權(quán)人員可以訪問閱讀。第七條應(yīng)對檢查結(jié)果進(jìn)行匯總分析，形成安全檢查報告，檢查報告應(yīng)對問題進(jìn)行分析，提出解決建議。第八條應(yīng)制定措施防止安全檢查結(jié)果的非授權(quán)散布，只對經(jīng)過授權(quán)的人員通報安全檢查結(jié)果。第九條各業(yè)務(wù)科室應(yīng)閱讀并理解安全檢查報告，在算法安全工作小組的指導(dǎo)下對出現(xiàn)的問題進(jìn)行整改。應(yīng)對整改過程進(jìn)行監(jiān)督，并將整改結(jié)果報送算法安全工作小組。2.2.3、安全審計第一條安全審計作為整體審計工作的一個部份，依據(jù)審計工作相關(guān)管理辦法開展安全審計工作。第二條安全審計人員的配備應(yīng)根據(jù)實(shí)際情況，采用如下方法的一種，原則上應(yīng)以審計科室培養(yǎng)自身獨(dú)立的安全審計人員為主，其他手段為輔。1、由審計科室獨(dú)立完成，使用審計科室具備相應(yīng)技能的人員完2、由審計科室和業(yè)務(wù)科室共同完成，指派熟悉技術(shù)的人員配合審計科室完成審計工作，本情形需注意審計獨(dú)立的原則，進(jìn)3、聘請外部專業(yè)審計單位完成審計工作。第三條安全審計的內(nèi)容主要包括：1、相關(guān)法律法規(guī)的符合情況；2、管理部門的相關(guān)管理要求的符合情況；3、現(xiàn)有安全技術(shù)措施的有效性；4、安全配置與安全策略的一致性；5、安全管理制度的執(zhí)行情況；6、安全檢查和自查的檢查結(jié)果及檢查報告；7、日志信息是否完整記錄；8、各類重要記錄是否免受損失、破壞或偽造篡改；9、檢查系統(tǒng)是否存在漏洞；10、檢查數(shù)據(jù)是否具備安全保障措施。第四條安全審計工作應(yīng)具有獨(dú)立性，避免有舞弊的情況發(fā)生。第五條安全審計的方式分為：1、全面審計：即審計內(nèi)容覆蓋安全管理范圍內(nèi)的所有科室，以及所有算法安全控制措施要求的檢查。2、專項(xiàng)審計：即審計內(nèi)容只涉及部分科室，或部分算法安全控制措施要求的檢查。第六條無論是采用全面審計還是專項(xiàng)審計方式，安全審計應(yīng)每一年對所有的科室，以及所有的算法安全控制措施要求至少進(jìn)行過一次審計。第七條被審計方應(yīng)積極配合算法安全審計工作，應(yīng)對審計結(jié)果進(jìn)行確認(rèn)。第八條安全審計工作中發(fā)現(xiàn)的不符合事項(xiàng)應(yīng)按照審計管理相關(guān)制度要求進(jìn)行改進(jìn)。審計科室應(yīng)將改進(jìn)過程和結(jié)果通告給算法安全工作小組。第一條本制度的解釋權(quán)歸XX集團(tuán)有限公司。第二條本制度自發(fā)布之日起生效。2.3、授權(quán)審批與控制制度第一條為進(jìn)一步加強(qiáng)本集團(tuán)信息系統(tǒng)及重要場所訪問授權(quán)和審批的管理，依據(jù)算法安全方針精神，制定本管理制度。第二條本管理制度適用于對信息系統(tǒng)產(chǎn)生影響的各項(xiàng)重要活動。第三條網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組負(fù)責(zé)制定授權(quán)和審批事項(xiàng)，并定期審查、更新授權(quán)和審批的項(xiàng)目、審批部門、批準(zhǔn)人和審查周期2.3.2、授權(quán)和審批事項(xiàng)第四條授權(quán)和審批主要包括但不限于如下事項(xiàng)：(1)外部人員訪問機(jī)房(2)外部人員網(wǎng)絡(luò)接入(3)外部人員訪問重要信息系統(tǒng)(4)信息系統(tǒng)變更(5)應(yīng)用系統(tǒng)訪問授權(quán)第五條除以上必須設(shè)立的授權(quán)審批事項(xiàng)外，網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組應(yīng)根據(jù)算法安全需求對相關(guān)事項(xiàng)設(shè)立授權(quán)審批機(jī)制，制定授權(quán)審批申請單，并督促執(zhí)行。第六條以上的事項(xiàng)的授權(quán)審批必須通過填寫正式的審批單，經(jīng)過相關(guān)責(zé)任人和網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組領(lǐng)導(dǎo)逐級審批，簽字確認(rèn)后方可生效。第七條算法安全工作小組應(yīng)該歸檔保存所有的授權(quán)審批記錄，并指定專人管理。2.3.3、外來人員訪問中心機(jī)房第八條外部人員需要進(jìn)入機(jī)房進(jìn)行相關(guān)維護(hù)操作時，需填寫外部人員機(jī)房物理訪問申請表，注明進(jìn)入機(jī)房的事由，涉及的信息系統(tǒng)對象，進(jìn)入預(yù)計的時間范圍等。第九條外部人員機(jī)房物理訪問申請表填寫完成后，需先由安全管理員進(jìn)行確認(rèn)，在安全管理員確認(rèn)完成后，由算法安全工作小組領(lǐng)導(dǎo)進(jìn)行審批。在審批完成后，外部人員方可進(jìn)入機(jī)房進(jìn)行維護(hù)第十條外部人員進(jìn)入機(jī)房時需要填寫機(jī)房出入登記表，記錄進(jìn)入機(jī)房的事由和進(jìn)出時間，機(jī)房管理中心應(yīng)安排相關(guān)人員進(jìn)行全程陪同，對外部人員進(jìn)行全程監(jiān)控。2.3.4、外部人員網(wǎng)絡(luò)接入第十一條外部人員因?yàn)楣ぷ餍枰B接到內(nèi)部網(wǎng)絡(luò)中需要先填寫外部人員網(wǎng)絡(luò)接入申請表，注明接入網(wǎng)絡(luò)需要訪問的網(wǎng)絡(luò)和系統(tǒng)范圍，以及需要執(zhí)行的相關(guān)操作等，如涉及到對信息系統(tǒng)進(jìn)行變更，應(yīng)同時執(zhí)行系統(tǒng)變更的相關(guān)流程。第十二條外部人員網(wǎng)絡(luò)接入申請表填寫完成后，需先由安全管理員進(jìn)行確認(rèn)，在安全管理員確認(rèn)完成后，由算法安全工作小組領(lǐng)導(dǎo)進(jìn)行審批，在審批完成后，由網(wǎng)絡(luò)管理員負(fù)責(zé)提供網(wǎng)絡(luò)接入。第十三條在接入內(nèi)部網(wǎng)絡(luò)前，網(wǎng)絡(luò)管理員應(yīng)通過技術(shù)手段對接入內(nèi)部網(wǎng)絡(luò)的外部人員電腦進(jìn)行安全檢測，在安全檢測通過后允許接入到內(nèi)部網(wǎng)絡(luò)。第十四條網(wǎng)絡(luò)管理員應(yīng)根據(jù)外部人員申請訪問網(wǎng)絡(luò)和信息系統(tǒng)的范圍分配相應(yīng)的網(wǎng)絡(luò)訪問權(quán)限，分配給外部人員指定的線路和第十五條網(wǎng)絡(luò)管理員應(yīng)采取技術(shù)手段防止外部人員同時連接內(nèi)2.3.5、外部人員訪問重要信息系統(tǒng)第十六條外部人員是指與簽訂合作協(xié)議的單位做委派來進(jìn)行項(xiàng)第十七條外部人員因工作關(guān)系需要訪問內(nèi)部任何信息系統(tǒng)前，應(yīng)填寫外部人員訪問申請表，明確訪問系統(tǒng)對象、訪問原因、訪問時間、訪問方式等信息，必須經(jīng)過相關(guān)項(xiàng)目責(zé)任人及算法安全工第十八條信息系統(tǒng)工作人員在審批外部人員訪問信息系統(tǒng)請求若無需訪問也可以解決問題，則工作人員應(yīng)引導(dǎo)外部人員通過別的方式獲取信息系統(tǒng)必要信息，包括但不限于：提供信息內(nèi)容講第十九條當(dāng)內(nèi)部人員或外部人員需要對信息系統(tǒng)相關(guān)配置進(jìn)行修改和調(diào)整時，需要填寫信息系統(tǒng)變更申請表，注明信息系統(tǒng)變更內(nèi)容，同時需要提交信息系統(tǒng)變更方案，包括變更的步驟，可第二十條信息系統(tǒng)變更申請表填寫完成后與變更方案同時提交，需先由安全管理員進(jìn)行確認(rèn)，在安全管理員確認(rèn)完成后，由信息第二十一條當(dāng)單位內(nèi)部職工需要新申請業(yè)務(wù)賬號或調(diào)整相應(yīng)訪問權(quán)限時需要填寫信息系統(tǒng)賬號授權(quán)申請表，注明使用人，科室第二十二條信息系統(tǒng)變更申請表填寫完成后與變更方案同時提交，需先由申請人員科室領(lǐng)導(dǎo)簽字確認(rèn)后，再由應(yīng)用管理員進(jìn)行二次確認(rèn)，在確認(rèn)后由算法安全工作小組領(lǐng)導(dǎo)進(jìn)行審批，在審批第二十四條本制度自發(fā)布之日起生效。第二條算法安全例會由算法安全工作小組負(fù)責(zé)發(fā)起，至少每月需要組織一次常規(guī)的算法安全例會，例會參會人員至少要包括算法安全工作小組主要成員和執(zhí)行層各角色的管理人員。在發(fā)生小范圍內(nèi)算法安全事件時如需要，算法安全工作小組可隨時召集發(fā)起算法安全工作會議，通知相關(guān)人員參加，就算法安全管理各項(xiàng)制第三條常規(guī)的算法安全例會的主要內(nèi)容是就各階段的算法安全檢查結(jié)果進(jìn)行上會檢查和審批，對算法安全檢查中發(fā)現(xiàn)的各項(xiàng)問題提出解決辦法和規(guī)避措施，對外包運(yùn)維人員的工作內(nèi)容進(jìn)行確認(rèn)和審核，就發(fā)現(xiàn)的各類算法安全問題及時提出解決方案并落實(shí)第四條遇有工程或項(xiàng)目時，可根據(jù)工程和項(xiàng)目進(jìn)度情況或者工程和項(xiàng)目的需要隨時召開算法安全例會，且可不拘泥于算法安全工作小組范圍，可召集相關(guān)的合作單位、合作方、內(nèi)部相關(guān)科室的相關(guān)人員一起參加算法安全例會，并由技術(shù)部做好例會的記錄工第五條由算法安全工作小組負(fù)責(zé)建立并保持與兄弟單位如教育局、公安機(jī)關(guān)、電信公司等對口單位的合作與溝通，就兄弟單位板代替，但會議主題需注明為“合作溝通”,必要時建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息，以方便聯(lián)系。第六條由算法安全工作小組負(fù)責(zé)建立并加強(qiáng)與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織的合作與溝通，就最新算法安全技術(shù)、信息熱點(diǎn)事件等進(jìn)行交流和咨詢。如交流與合作內(nèi)容比較正式，且有正式的會議形式，則需要由技術(shù)部做好會議記錄工作，會議記錄的模板可用算法安全例會的模板代替，但會議主題需注明為“合作溝通”。第七條由算法安全領(lǐng)導(dǎo)小組聘請算法安全專家作為常年的算法安全顧問，指導(dǎo)算法安全建設(shè)，參與安全規(guī)劃和安全評審，由算法安全工作小組負(fù)責(zé)與算法安全專家的接口和合作。第八條本制度的解釋權(quán)歸XX集團(tuán)有限公司。第九條本制度自發(fā)布之日起生效執(zhí)行。2.5算法安全監(jiān)測制度第一章總則第一條為保障公司算法推薦服務(wù)的安全性，防范算法安全、數(shù)據(jù)安全、用戶個人信息泄露等問題，確保公司在大模型人工智能技術(shù)應(yīng)用中的安全和合規(guī)，依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個人信息保護(hù)法》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《互聯(lián)網(wǎng)信息服務(wù)算法推薦管理規(guī)定》等相關(guān)法律法規(guī)，結(jié)合公司業(yè)務(wù)實(shí)際，制定本制度。第二條本制度適用于公司內(nèi)部所有涉及算法推薦服務(wù)的研發(fā)、部署、使用、維護(hù)等相關(guān)部門和人員，涵蓋算法安全監(jiān)測、數(shù)據(jù)安全監(jiān)測、用戶個人算法安全監(jiān)測、算法安全監(jiān)測等方面，用以規(guī)范算法的開發(fā)和運(yùn)維管理，防止影響算法推薦服務(wù)安全的事件發(fā)生。第三條公司相關(guān)人員應(yīng)遵循“早發(fā)現(xiàn)、早報告、早處置”的原則，及時防范和應(yīng)對潛在的安全威脅，確保算法推薦服務(wù)的安全性、穩(wěn)定性和合規(guī)性。第二章算法安全監(jiān)測第四條監(jiān)測機(jī)制信息內(nèi)容安全監(jiān)測：通過自然語言處理和內(nèi)容過濾技術(shù)，實(shí)時分析算法推薦內(nèi)容，防止違法、有害、虛假信息的傳播。監(jiān)測內(nèi)容包括但不限于新聞推薦、社交媒體內(nèi)容和廣告推送，確保推薦內(nèi)容符合國家法律和公司政策。信息源安全監(jiān)測：對算法推薦服務(wù)中使用的外部信息源進(jìn)行驗(yàn)證與審計，確保來源可信、安全。通過API接口審計和數(shù)據(jù)溯源技術(shù)，定期檢查并防止外部數(shù)據(jù)源提供惡意或不可靠的數(shù)據(jù)。系統(tǒng)通信安全監(jiān)測：采用實(shí)時網(wǎng)絡(luò)流量分析、深度包檢測(DPI)技術(shù)監(jiān)測通信線路狀態(tài)，確保數(shù)據(jù)傳輸過程的安全性，防止未經(jīng)授權(quán)第五條技術(shù)保障措施部署防火墻、入侵檢測與防御系統(tǒng)(IDS/IPS),確保網(wǎng)絡(luò)流量和內(nèi)容的安全。實(shí)時監(jiān)控服務(wù)器與應(yīng)用系統(tǒng)的運(yùn)行狀態(tài)，對通信線路、網(wǎng)絡(luò)設(shè)備等進(jìn)行全天候監(jiān)控，發(fā)現(xiàn)異常及時處理。采用內(nèi)容審核工具與算法，對信息源和推薦內(nèi)容進(jìn)行定期評估，確保推薦內(nèi)容安全合法。第三章數(shù)據(jù)安全監(jiān)測第六條監(jiān)測機(jī)制數(shù)據(jù)安全管理：公司應(yīng)制定并執(zhí)行嚴(yán)格的數(shù)據(jù)安全管理制度，涵蓋算法推薦服務(wù)開發(fā)、測試、上線以及后續(xù)維護(hù)中的所有數(shù)據(jù)操作，確保數(shù)據(jù)使用的安全性。數(shù)據(jù)生命周期安全：公司應(yīng)對算法開發(fā)與應(yīng)用過程中涉及的所有數(shù)據(jù)，包括敏感數(shù)據(jù)、個人信息等進(jìn)行加密存儲和傳輸，防止未經(jīng)授權(quán)的訪問、泄露或篡改。第七條技術(shù)保障措施采用數(shù)據(jù)加密技術(shù)(如SSL、AES等)確保數(shù)據(jù)在傳輸和存儲過程中的安全性，防止數(shù)據(jù)被攔截或篡改。部署數(shù)據(jù)防泄露系統(tǒng)(DLP),實(shí)時監(jiān)控敏感數(shù)據(jù)流動，及時發(fā)現(xiàn)和處理數(shù)據(jù)泄露風(fēng)險。對數(shù)據(jù)訪問進(jìn)行嚴(yán)格的權(quán)限管理，確保只有授權(quán)人員能夠訪問敏感數(shù)據(jù)，減少數(shù)據(jù)泄露的風(fēng)險。第四章用戶個人算法安全監(jiān)測第八條監(jiān)測機(jī)制用戶信息收集與處理合規(guī)性監(jiān)測：所有涉及用戶個人信息的操作，必須遵循《個人信息保護(hù)法》相關(guān)規(guī)定。通過合規(guī)管理系統(tǒng)監(jiān)控算法實(shí)時監(jiān)控用戶個人信息在整個生命周期中的處理過程，確保用戶算法第九條技術(shù)保障措施使用匿名化、去標(biāo)識化技術(shù)處理用戶數(shù)據(jù)，確保個人信息在處理過程中不會被識別。部署日志監(jiān)控系統(tǒng)，記錄用戶數(shù)據(jù)訪問行為，及時發(fā)現(xiàn)異常情況并溯源處理，防止數(shù)據(jù)被惡意利用。設(shè)置嚴(yán)格的訪問控制，防止未經(jīng)授權(quán)的用戶訪問和濫用個人信息。第五章算法安全監(jiān)測第十條監(jiān)測機(jī)制算法漏洞監(jiān)測：公司應(yīng)定期審查算法推薦服務(wù)的安全性，確保算法在運(yùn)行過程中無漏洞或安全隱患，避免被惡意攻擊。算法惡意利用防護(hù)：建立算法操作監(jiān)控機(jī)制，防止算法被用于違法活動或被惡意操控。算法魯棒性測試：定期對算法模型進(jìn)行對抗性攻擊測試，確保算法在面對惡意輸入時具有足夠的抗攻擊能力。第十一條技術(shù)保障措施部署算法監(jiān)控系統(tǒng)，實(shí)時監(jiān)測算法的運(yùn)行狀態(tài)，包括性能、輸出結(jié)果、異常情況等，及時發(fā)現(xiàn)和處理潛在的安全隱患。采用對抗性測試技術(shù)(如白盒測試、黑盒測試等),評估算法模型的安全性和抗攻擊能力。通過算法解釋性工具監(jiān)控算法的決策過程，及時發(fā)現(xiàn)并糾正算法中的潛在偏見和安全風(fēng)險。第六章信息通報與責(zé)任追究第十二條各部門應(yīng)指定信息通報聯(lián)絡(luò)員，負(fù)責(zé)信息的上傳和下達(dá)，確保信息傳遞的及時性和準(zhǔn)確性。第十三條發(fā)現(xiàn)算法安全問題時，各部門應(yīng)立即按照《算法安全突發(fā)事件應(yīng)急預(yù)案》進(jìn)行處置，及時通報相關(guān)部門，確保安全隱患的快速解決。第十四條對未按要求處理安全事件、瞞報或緩報的個人或部門，公司將視情節(jié)嚴(yán)重程度追究相關(guān)責(zé)任，必要時依法追責(zé)。第七章附則第十五條本制度自發(fā)布之日起實(shí)施。2.6算法安全自評估制度第一章總則第一條為加強(qiáng)公司算法安全管理，確保公司在算法開發(fā)、應(yīng)用、運(yùn)行和維護(hù)中的安全合規(guī)，及時識別和解決潛在安全風(fēng)險，特制定本算法安全自評估制度。第二條本制度適用于公司內(nèi)部涉及人工智能算法開發(fā)、測試、部署、運(yùn)行等各個環(huán)節(jié)的安全自評估活動，涵蓋數(shù)據(jù)管理模型訓(xùn)練、性能監(jiān)控及倫理隱私等方面。第三條本制度依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個人信息保護(hù)法》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《互聯(lián)網(wǎng)信息服務(wù)算法推薦管理規(guī)定》及相關(guān)行業(yè)標(biāo)準(zhǔn)制定，結(jié)合公司現(xiàn)行的算法開發(fā)流程，設(shè)計完備性和可落地性的自評估制度。第四條本制度適用于公司所有與算法相關(guān)的開發(fā)、管理和運(yùn)營第三章自評估的范圍與內(nèi)容第五條算法安全自評估應(yīng)涵蓋以下內(nèi)容：數(shù)據(jù)使用合規(guī)性：確保算法使用的數(shù)據(jù)來源合法合規(guī)，使用方式符合用戶授權(quán)，敏感數(shù)據(jù)經(jīng)過脫敏處理，數(shù)據(jù)存儲和傳輸過程采取了加密等保護(hù)措施。算法設(shè)計與安全：評估算法模型選擇、邏輯設(shè)計、參數(shù)設(shè)置的合理性；驗(yàn)證模型的泛化能力、訓(xùn)練數(shù)據(jù)的代表性及訓(xùn)練評估算法模型在抵抗對抗攻擊、保護(hù)模型機(jī)密性及輸出結(jié)果的合理性方面的安全性，防止因攻擊導(dǎo)致錯誤決策。算法安全性：檢查算法所在系統(tǒng)的網(wǎng)絡(luò)安全、設(shè)備安全、數(shù)據(jù)傳輸?shù)募用芮闆r，以及在不同算法運(yùn)行環(huán)境下的算法安全防護(hù)是否有效。是否在隱私保護(hù)、數(shù)據(jù)刪除請求、算法透明性等方面符合法律法規(guī)和數(shù)據(jù)管理與運(yùn)行監(jiān)控：審查數(shù)據(jù)收集、存儲、處理、傳輸?shù)拳h(huán)節(jié)的安全性；算法上線后的性能監(jiān)控與異常檢測機(jī)制是否健全。倫理與隱私：評估算法是否存在歧視行為，用戶數(shù)據(jù)是否得到充分保護(hù)，決策是否公平透明。第六條自評估分類：常規(guī)自評估：每季度進(jìn)行一次，確保算法日常運(yùn)行中的安全性和專項(xiàng)自評估：在算法發(fā)生重大更新、面臨新法規(guī)或政策調(diào)整、出現(xiàn)安全事件時，立即啟動專項(xiàng)評估，以排查潛在風(fēng)險和隱患；全生命周期評估：在算法上線前、運(yùn)行階段及退役時進(jìn)行關(guān)鍵節(jié)點(diǎn)評估，確保在算法的不同階段都能夠保障安全和合規(guī)。第四章組織與職責(zé)第七條組織機(jī)構(gòu)公司成立“算法安全自評估委員會”,成員包括數(shù)據(jù)科學(xué)家、算法工程師、法律合規(guī)專家、安全專家及醫(yī)療顧問，負(fù)責(zé)策劃和執(zhí)行算第八條委員會職責(zé)制定評估計劃：根據(jù)算法的生命周期制定詳細(xì)的評估計劃。組織實(shí)施評估：對算法進(jìn)行數(shù)據(jù)審查、邏輯分析、模擬測試及安提出改進(jìn)建議：根據(jù)評估結(jié)果，向相關(guān)團(tuán)隊提出整改意見并監(jiān)督其執(zhí)行。第五章自評估流程第九條自評估流程：預(yù)評估準(zhǔn)備：明確評估范圍，收集相關(guān)文檔、工具和數(shù)據(jù)，制定實(shí)施評估：通過自動化工具與人工審查相結(jié)合，完成數(shù)據(jù)合規(guī)、模型安全、算法安全和用戶權(quán)益保護(hù)等方面的檢查；評估報告：記錄評估發(fā)現(xiàn)的問題及其風(fēng)險等級，形成詳細(xì)的評估報告，報告應(yīng)涵蓋發(fā)現(xiàn)的問題、潛在影響及整改建議；整改與復(fù)評：各責(zé)任部門根據(jù)評估報告提出的建議進(jìn)行整改，整改后進(jìn)行復(fù)評，確保問題得到徹底解決。第六章執(zhí)行保障第十條技術(shù)支持公司提供自動化評估工具和系統(tǒng)，支持大規(guī)模算法的高效評估，包括對模型和數(shù)據(jù)的安全檢測工具，以降低手工操作的復(fù)雜性和誤差。第十一條人員培訓(xùn)定期對所有參與自評估的人員進(jìn)行培訓(xùn)，確保他們掌握最新的安全評估方法、工具使用技巧以及相關(guān)法規(guī)要求。通過技術(shù)培訓(xùn)和法規(guī)更新，確保評估團(tuán)隊具備應(yīng)對復(fù)雜評估任務(wù)的能力。第十二條數(shù)據(jù)保護(hù)實(shí)施嚴(yán)格的數(shù)據(jù)訪問權(quán)限控制，確保數(shù)據(jù)在評估過程中的安全性。第十三條評估反饋機(jī)制建立透明的反饋機(jī)制，評估報告應(yīng)提交給管理層及相關(guān)負(fù)責(zé)人，確保發(fā)現(xiàn)的問題能夠引起足夠重視，并由高層督促整改執(zhí)行。第十四條激勵與問責(zé)機(jī)制對高效完成評估、發(fā)現(xiàn)并解決重大問題的團(tuán)隊和個人進(jìn)行表彰和獎勵；對于未能及時整改或存在重大安全隱患的責(zé)任人，根據(jù)公司規(guī)定進(jìn)行處罰，包括警告、降級或解除勞動合同。第七章監(jiān)督與持續(xù)改進(jìn)第十五條公司安全部門負(fù)責(zé)對自評估過程和結(jié)果進(jìn)行督查，確保評估工作的準(zhǔn)確性和客觀性。具體措施包括：定期檢查與專項(xiàng)督查：每季度進(jìn)行定期檢查，確保各部門嚴(yán)格按照制度執(zhí)行；針對重大安全事件或突發(fā)問題，組織專項(xiàng)督查。第十六條持續(xù)改進(jìn)根據(jù)自評估結(jié)果，針對發(fā)現(xiàn)的問題制定整改措施，建立問題跟蹤系統(tǒng)，持續(xù)跟進(jìn)整改效果，并在整改完成后進(jìn)行復(fù)查，確保算法安全第八章附則第十七條本制度由公司算法安全部負(fù)責(zé)解釋和修訂，自發(fā)布之日起生效，并根據(jù)實(shí)際需求和法律法規(guī)的變化及時調(diào)整。2.7算法安全突發(fā)事件應(yīng)急處理預(yù)案第一章總則第一條為科學(xué)應(yīng)對本公司算法安全突發(fā)事件、建立健全算法安全應(yīng)急響應(yīng)機(jī)制，有效預(yù)防、及時控制和最大限度地消除算法安全各類突發(fā)事件的危害和影響，特制定本應(yīng)急預(yù)案。第二條本制度適用于本公司。第二章組織機(jī)構(gòu)與職責(zé)第一條設(shè)立算法安全應(yīng)急指揮小組(簡稱“應(yīng)急指揮小組”),調(diào)查評估、信息發(fā)布、支撐保障等工作。應(yīng)急指揮主要成員由技術(shù)人組長：公司技術(shù)總經(jīng)理(丁峰)副組長：AI創(chuàng)研中心安全部主管(徐自敏)成員：Al創(chuàng)研中心安全部全體工作人員和其他支持部門應(yīng)急指揮小組主要職責(zé)是：(一)承擔(dān)值守應(yīng)急工作；(二)收集、分析工作信息，及時上報重要信息；(三)負(fù)責(zé)本公司算法與網(wǎng)絡(luò)安全的監(jiān)測預(yù)警和風(fēng)險評估控制、隱患排查整改工作；(四)組織制訂、修訂算法與網(wǎng)絡(luò)安全突發(fā)事件相關(guān)的應(yīng)急預(yù)案；(五)負(fù)責(zé)組織協(xié)調(diào)算法與網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急演練；(六)負(fù)責(zé)對本公司算法與網(wǎng)絡(luò)安全突發(fā)事件的宣傳教育與培訓(xùn)。第二條借助外部力量成立算法與網(wǎng)絡(luò)安全專家顧問組，專家顧(一)在算法與網(wǎng)絡(luò)安全突發(fā)事件預(yù)防與應(yīng)急處置時，提供咨詢(二)在制定算法與網(wǎng)絡(luò)安全應(yīng)急有關(guān)規(guī)定、預(yù)案、制度和項(xiàng)目建設(shè)的過程中提供參考意見；(三)及時反映算法與網(wǎng)絡(luò)安全應(yīng)急工作中存在的問題與不足，并提出改進(jìn)建議；(四)對本公司算法與網(wǎng)絡(luò)安全突發(fā)事件發(fā)生和發(fā)展趨勢、處置措施、恢復(fù)方案等進(jìn)行研究、評估，并提出相關(guān)建議；(五)參與算法與網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急培訓(xùn)及相關(guān)教材編審等工作。第三章安全事件應(yīng)急預(yù)案框架第一條應(yīng)急指揮根據(jù)需要，應(yīng)編制算法安全事件應(yīng)急預(yù)案，以指導(dǎo)安全事件的處理機(jī)制和流程。第二條安全事件應(yīng)急預(yù)案框架的內(nèi)容：(一)啟動應(yīng)急預(yù)案的條件。描述啟動每個計劃前應(yīng)遵循的過程；(二)應(yīng)急處理流程。描述危及業(yè)務(wù)操作的事故發(fā)生之后所要采取行動的應(yīng)急程序；(三)描述將算法推薦服務(wù)活動或支持服務(wù)移到替代的臨時地方，并在要求的時段內(nèi)使業(yè)務(wù)過程回到運(yùn)行狀態(tài)的動作的回退程序；(四)恢復(fù)和復(fù)原未完成時應(yīng)遵循的臨時操作程序；(五)描述恢復(fù)正常業(yè)務(wù)操作的動作的恢復(fù)程序；(六)規(guī)定如何及何時要檢驗(yàn)該計劃的維護(hù)時間表，以及維護(hù)該計劃的過程；(七)教育和培訓(xùn)活動，用來創(chuàng)建理解業(yè)務(wù)連續(xù)性過程，確保過(八)各個人的職責(zé)，描述誰負(fù)責(zé)執(zhí)行計劃的哪個部分。若需要，應(yīng)指定可替換的人；(九)實(shí)行緊急的、回退和恢復(fù)程序所需的關(guān)鍵資產(chǎn)和資源。第四章算法安全事件應(yīng)急預(yù)案事件分類第一條根據(jù)算法與網(wǎng)絡(luò)安全突發(fā)事件可控性、嚴(yán)重程度和影響范圍的不同，分為以下四級：l級(特別重大):算法系統(tǒng)核心組件如主算法模型或關(guān)鍵數(shù)據(jù)處理模塊的嚴(yán)重?fù)p壞或丟失，導(dǎo)致算法系統(tǒng)完全癱瘓或出現(xiàn)大規(guī)模系統(tǒng)性故障，影響公司核心業(yè)務(wù)的正常運(yùn)作。1.核心算法模型被惡意修改或刪除，無法恢復(fù)。2.關(guān)鍵數(shù)據(jù)集丟失，備份系統(tǒng)同樣遭到破壞。3.算法系統(tǒng)被外部攻擊導(dǎo)致全部功能癱瘓，影響公司所有業(yè)務(wù)運(yùn)作。I1級(重大):算法系統(tǒng)大規(guī)模崩潰或失效，造成公司業(yè)務(wù)嚴(yán)重受損，但不至于完全癱瘓，需要多個部門協(xié)同處理。1.大規(guī)模用戶數(shù)據(jù)泄露或篡改，影響多個業(yè)務(wù)部門。2.算法模塊存在嚴(yán)重漏洞，被廣泛利用，造成較大業(yè)務(wù)損害。3.部分核心業(yè)務(wù)算法失效，影響到大范圍的業(yè)務(wù)操作。I1l級(較大):算法系統(tǒng)某一區(qū)域發(fā)生故障，對部分業(yè)務(wù)造成一定影響，但技術(shù)團(tuán)隊能夠獨(dú)立處理。1.部分算法模塊出現(xiàn)故障，導(dǎo)致某些功能暫時無法使用。2.用戶數(shù)據(jù)保護(hù)措施失效，局部數(shù)據(jù)泄露或損壞。3.業(yè)務(wù)算法存在錯誤或異常，影響到單一業(yè)務(wù)部門的操作。IV級(一般):局部算法功能異常，對業(yè)務(wù)造成輕微影響，不危及整體業(yè)務(wù)安全。1.個別用戶遇到算法處理錯誤，影響用戶體驗(yàn)但無大規(guī)模影響。2.輕微的數(shù)據(jù)安全問題，如非敏感數(shù)據(jù)泄露或損壞。3.低優(yōu)先級的算法優(yōu)化問題，需要修復(fù)但不會影響核心功能。第五章應(yīng)急響應(yīng)程序與應(yīng)急處置方法第一條系統(tǒng)故障應(yīng)急預(yù)案(一)當(dāng)發(fā)生系統(tǒng)故障事件時，發(fā)現(xiàn)人應(yīng)及時通知，同時根據(jù)情況及時上報本公司算法安全領(lǐng)導(dǎo)小組；(二)領(lǐng)導(dǎo)組織安全管理員、系統(tǒng)管理員及網(wǎng)絡(luò)管理員等相關(guān)單位和人員及時分析事件發(fā)生源頭，切斷事件源頭，控制事件范圍，必要時停止系統(tǒng)運(yùn)行；(三)安全管理員應(yīng)及時查看安全審計日志對異常事件發(fā)生源頭、發(fā)生原因、影響范圍做出判斷，并提出補(bǔ)救措施；(四)系統(tǒng)管理員立即停止發(fā)生問題的應(yīng)用系統(tǒng)，對異常事件內(nèi)容和范圍予以確認(rèn)；(五)針對事件原因查找系統(tǒng)漏洞，提出系統(tǒng)安全策略調(diào)整方案，并報審批，填寫《應(yīng)急處置審批表》;(六)審批通過后根據(jù)系統(tǒng)安全策略調(diào)整方案，對安全設(shè)備、應(yīng)用系統(tǒng)等的安全控制策略做出相應(yīng)調(diào)整，確認(rèn)無誤后恢復(fù)系統(tǒng)運(yùn)行；(七)安全管理員詳細(xì)填寫《系統(tǒng)異常事件處理記錄》,并上報。第二條應(yīng)急處置方法針對I級故障：啟動特別重大算法安全事件應(yīng)急預(yù)案；立即向高層管理層匯報，并成立特別事件處理小組；啟動全公司范圍的聯(lián)動響應(yīng)，必要時尋求外部專業(yè)機(jī)構(gòu)協(xié)助；評估損害程度，并迅速制定恢針對I1級故障：啟動重大算法安全事件應(yīng)急預(yù)案；向各相關(guān)部門發(fā)出處理指令，協(xié)調(diào)各部門資源；組織應(yīng)急處理團(tuán)隊進(jìn)行全面調(diào)查和修復(fù)；向公司領(lǐng)導(dǎo)層匯報進(jìn)展，調(diào)整應(yīng)急策略。針對11l級故障：啟動較大算法安全事件應(yīng)急預(yù)案；技術(shù)團(tuán)隊負(fù)責(zé)事件處理和修復(fù)；向相關(guān)業(yè)務(wù)部門通報情況，并提供修復(fù)時間表；行故障原因分析和修復(fù)，確保不會擴(kuò)散。針對IV級故障：啟動一般算法安全事件處理預(yù)案；由技術(shù)團(tuán)隊處理并解決問題；錄事件和處理過程，以便未來參考和改進(jìn)；進(jìn)行常規(guī)的后續(xù)檢查，確保問題已完全解決。第三條其他情況處置方法(一)網(wǎng)絡(luò)攻擊事件處置器設(shè)備，斷開信息系統(tǒng)與攻擊來源的網(wǎng)絡(luò)物理連接，跟蹤并鎖定攻(二)病毒傳播(三)外部入侵位入侵的IP地址，及時關(guān)閉入侵的端口，限制入侵的IP地址的訪(四)內(nèi)部入侵(五)信息內(nèi)容安全事件處置找信息發(fā)布人并做好善后處理；對公安機(jī)關(guān)要求協(xié)查的外網(wǎng)不良信息事件，根據(jù)上網(wǎng)相關(guān)記錄查找信息發(fā)布人。(六)其它不確定安全事件處置可根據(jù)總的安全原則，結(jié)合具體情況，做出相應(yīng)處理。不能處理的及時咨詢算法安全公司或顧問。第六章算法安全事件應(yīng)急預(yù)案的撤消與恢復(fù)第一條算法安全部確認(rèn)故障信息系統(tǒng)恢復(fù)正常。第二條確認(rèn)網(wǎng)絡(luò)流量和系統(tǒng)響應(yīng)秩序恢復(fù)正常。第三條信息系統(tǒng)正常運(yùn)行10分鐘以上，算法安全部上報，由主管領(lǐng)導(dǎo)批準(zhǔn)撤消“算法安全事件應(yīng)急預(yù)案”。第四條在“算法安全事件應(yīng)急預(yù)案”撤消后24小時內(nèi)，算法安全部整理有關(guān)故障經(jīng)過，填報《信息系統(tǒng)應(yīng)急響應(yīng)報告》,上報算法安全領(lǐng)導(dǎo)小組和領(lǐng)導(dǎo)，必要時上報。第七章算法安全事件應(yīng)急預(yù)案的協(xié)調(diào)與善后第一條協(xié)調(diào)機(jī)制(一)應(yīng)急指揮小組負(fù)責(zé)統(tǒng)一調(diào)度公司內(nèi)各相關(guān)部門，確保信息、技術(shù)、數(shù)據(jù)等資源的快速調(diào)用和響應(yīng)。各部門設(shè)立專人對確保信息及時傳達(dá)和執(zhí)行。技術(shù)總經(jīng)理或副組長可在緊急情況下直接調(diào)動技術(shù)團(tuán)隊，確保應(yīng)急處置高效進(jìn)行。。(二)在重大及以上級別的事件中，公司可調(diào)動外部資源，如安全技術(shù)公司、第三方網(wǎng)絡(luò)安全服務(wù)提供商及相關(guān)監(jiān)管部門，確保獲得及時的技術(shù)支持和法律援助。公司應(yīng)與外部合作機(jī)構(gòu)建立長期合作機(jī)制，并定期進(jìn)行應(yīng)急演練，確保應(yīng)急響應(yīng)的協(xié)調(diào)性。(三)在突發(fā)事件處理過程中，各部門需實(shí)時向應(yīng)急指揮小組報告情況并保持信息共享。公司還需確保重大算法安全事件在法律規(guī)定時限內(nèi)向外部監(jiān)管機(jī)構(gòu)報告，維護(hù)企業(yè)合規(guī)。第二條應(yīng)急處置工作結(jié)束后，應(yīng)急指揮小組組織有關(guān)人員和技術(shù)專家組成事件調(diào)查組，對事件發(fā)生原因、性質(zhì)、影響、后果、責(zé)任及應(yīng)急處置能力、恢復(fù)重建等問題進(jìn)行全面調(diào)查評估，根據(jù)應(yīng)急處置中暴露出的管理、協(xié)調(diào)和技術(shù)問題，改進(jìn)和完善預(yù)案，實(shí)施針對性演練，總結(jié)經(jīng)驗(yàn)教訓(xùn)，整改存在隱患，組織恢復(fù)正常工作秩序。第八章監(jiān)督管理第一條宣傳教育和培訓(xùn)將算法與網(wǎng)絡(luò)安全應(yīng)急突發(fā)事件的應(yīng)急管理、工作流程等列為培訓(xùn)內(nèi)容，增強(qiáng)應(yīng)急處置能力。加強(qiáng)對算法與網(wǎng)絡(luò)安全應(yīng)急突發(fā)事件的技術(shù)準(zhǔn)備培訓(xùn)，提高技術(shù)人員的防范意識及技能。應(yīng)急指揮小組每年至少開展一次全公司范圍內(nèi)的信息網(wǎng)絡(luò)安全教育，提高算法安全防范意識和能力。第二條預(yù)案演練應(yīng)急指揮小組每年至少安排一次演練，建立應(yīng)急預(yù)案定期演練制度。通過演練，發(fā)現(xiàn)和解決應(yīng)急工作體系和工作機(jī)制存在的問題，不斷完善應(yīng)急預(yù)案，提高應(yīng)急處置能力。第三條責(zé)任與獎懲應(yīng)急指揮小組不定期組織對各項(xiàng)制度、計劃、方案、人員及物資等進(jìn)行檢查，對在算法與網(wǎng)絡(luò)安全應(yīng)急突發(fā)事件應(yīng)急處置中做出突出貢獻(xiàn)的集體和個人，提出表彰獎勵建議；對玩忽職守，造成不良影響或嚴(yán)重后果的，依法依規(guī)提出處理意見，追究其責(zé)任。第九章附則第一條預(yù)案更新每年須對應(yīng)急預(yù)案進(jìn)行評審，結(jié)合信息網(wǎng)絡(luò)快速發(fā)展和經(jīng)濟(jì)社會發(fā)展?fàn)顩r，配合相關(guān)法律法規(guī)的制定、修改和完善，適時修訂本預(yù)案。第二條預(yù)案實(shí)施本預(yù)案由集團(tuán)有限公司批準(zhǔn)后實(shí)施。第三條本制度的解釋權(quán)歸集團(tuán)有限公司。第三章安全管理人員3.1、內(nèi)部人員算法安全管理規(guī)定3.1.1、總則為保障本集團(tuán)人員算法安全管理的規(guī)范性，制定本規(guī)定。人員算法安全管理包括與信息化工作有關(guān)的人員錄用、崗位人選、人員轉(zhuǎn)崗和離崗、人員考核、人員懲戒、人員教育和培訓(xùn)等的算法安全管理。本規(guī)定適用于本集團(tuán)。3.1.2、人員錄用第一條本集團(tuán)員工錄用，應(yīng)該遵守相關(guān)人事和勞動法律法規(guī)。第二條本集團(tuán)本著量才適用、擇優(yōu)錄取的原則，公開、公平、公正地進(jìn)行人員錄用程序，為本集團(tuán)招錄適用的人才。第三條人事科室負(fù)責(zé)人員錄用工作的實(shí)施，用人科室協(xié)助執(zhí)行。第四條人事科室組織應(yīng)聘人員進(jìn)行筆試和面試。第五條應(yīng)嚴(yán)格考察該人員的學(xué)歷證書、業(yè)務(wù)技術(shù)水平及相關(guān)資質(zhì)認(rèn)證(相關(guān)計算機(jī)認(rèn)證證書等)。第六條人事科室組織應(yīng)聘人員進(jìn)行筆試和面試。第七條對人員背景進(jìn)行審查，不考慮錄用有犯罪前科、重大行政處分紀(jì)錄和“黑客”經(jīng)歷的人員。如有特殊情況，需要經(jīng)綜合部同意后，方可考慮錄用。第八條人員錄用時，本集團(tuán)與所有被錄用人員簽署《保密協(xié)議》,協(xié)議的內(nèi)容應(yīng)包括保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容。第九條對于本集團(tuán)關(guān)鍵崗位的人員必須是本集團(tuán)正式員工，并簽署包含崗位安全責(zé)任、違約責(zé)任、協(xié)議的有限期和責(zé)任負(fù)責(zé)人簽字等內(nèi)容的《崗位安全協(xié)議書》。3.1.3、崗位人選第一條明確所有算法安全崗位人員在信息系統(tǒng)安全保護(hù)中的職責(zé)和權(quán)限，其工作、活動范圍應(yīng)當(dāng)被限制在完成其任務(wù)的第二條安全管理員、安全審計員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、機(jī)房管理員等和算法安全有關(guān)的崗位人員，必須經(jīng)過嚴(yán)格的審查并考核其業(yè)務(wù)能力。3.1.4、人員轉(zhuǎn)崗和離崗第一條人員的轉(zhuǎn)崗和離崗由所在科室及時通知人事科室，只有具備經(jīng)過人事科室簽字的保密承諾文檔后才能辦理轉(zhuǎn)崗和離崗手續(xù)。第二條人員轉(zhuǎn)崗和離崗時，需及時終止離崗人員的所有訪問權(quán)限，及時變更轉(zhuǎn)崗人員的訪問權(quán)限。第三條對轉(zhuǎn)崗和離崗人員，要對設(shè)備上保留的數(shù)據(jù)進(jìn)行安全處理，包括備份需要留存的數(shù)據(jù)以及刪除不必要的數(shù)據(jù)。網(wǎng)絡(luò)拓?fù)鋱D、網(wǎng)絡(luò)布線圖、虛網(wǎng)劃分、IP地址分配等網(wǎng)絡(luò)機(jī)密資第六條隨機(jī)贈送的服務(wù)器、網(wǎng)絡(luò)通信設(shè)備攜帶的說明書、各種文字資料等網(wǎng)絡(luò)系統(tǒng)的重要資料。第七條有關(guān)網(wǎng)絡(luò)建設(shè)與信息化建設(shè)的各種合同。上級科室的各種批文，網(wǎng)絡(luò)管理和配備的各種規(guī)則、條例等文字材料。第八條離崗離職人員因職務(wù)上的需要所持有或保管的一切記錄著單位秘密信息的文件、資料、圖表、筆記、報告、信件、傳真、磁帶、磁盤、儀器以及其他任何形式的載體，均歸本集團(tuán)所有。第九條離崗離職人員應(yīng)在離崗離職時，或者向本集團(tuán)提出請求時，返還全部屬于本集團(tuán)的財物，包括記載著本集團(tuán)秘密信息的一切載體。若記錄著秘密信息的載體是由離崗離職人員自備的，則視為離崗離職人員已同意將這些載體物的所有權(quán)轉(zhuǎn)讓給單位，本集團(tuán)應(yīng)當(dāng)在離崗離職人員返還這些載體時，給予離崗離職人員相當(dāng)于載體本身價值的經(jīng)濟(jì)補(bǔ)償；但秘密信息可以從載體上消除或復(fù)制出來時，可以由本集團(tuán)將秘密信息復(fù)制到單位享有所有權(quán)的其他載體上，并把原載體上的秘密信息消除，此種情況下離崗離職人員無須將載體返還，技術(shù)部也無須給予離崗離職人員經(jīng)濟(jì)補(bǔ)償。第十條離崗離職人員離崗離職時，應(yīng)將工作時使用的電腦、U盤等其他一切存儲設(shè)備中與工作相關(guān)或與本集團(tuán)相關(guān)的信息、文件等內(nèi)容交接給本科室領(lǐng)導(dǎo)，不得在離崗離職后以任何形式帶走相關(guān)信息。第十一條對關(guān)鍵崗位的轉(zhuǎn)崗和離崗人員需重申調(diào)離后的保密義務(wù)，要求調(diào)離人員在保密承諾文檔上簽字，承諾相關(guān)保密義務(wù)后方可離3.1.5、人員考核第一條每年對所有崗位人員進(jìn)行算法安全考察，內(nèi)容如下：(一)對所有人員進(jìn)行算法安全意識考核；(二)對涉及算法安全管理、檢查和執(zhí)行的崗位人員，將定期進(jìn)行算法安全技能的考核，包括算法安全管理知識的掌握程度、所管理業(yè)務(wù)系統(tǒng)中安全產(chǎn)品的操作技能、所管理業(yè)務(wù)系統(tǒng)中使用的操作系統(tǒng)和應(yīng)用軟件的安全使用等；(三)每年發(fā)生的算法安全事故、算法安全檢查結(jié)果和算法安全審計結(jié)果將納入考察內(nèi)容。第二條算法安全考察結(jié)果將進(jìn)行存檔，以便查詢，及與上次考核進(jìn)行對比分析。第三條技術(shù)人員的技能考核每年進(jìn)行兩次考核，以理論考核、實(shí)操考核或其他方式進(jìn)行考核，每次考核有兩次機(jī)會；考核成績合格分三個檔次合格、良好、優(yōu)秀；技術(shù)人員考核成績不合格者要進(jìn)行補(bǔ)考，如不再不合格則調(diào)離響應(yīng)崗位。第四條對于考核中發(fā)現(xiàn)有違反算法安全法規(guī)行為的人員或發(fā)現(xiàn)不適于承擔(dān)算法安全關(guān)鍵崗位的人員要依據(jù)有關(guān)規(guī)定處理。第五條每年還將對算法安全三大員(系統(tǒng)管理員、安全管理員、安全審計員)的人員進(jìn)行一次工作督察，督察的內(nèi)容參照《安全組織人員崗位職責(zé)》中有關(guān)的要求執(zhí)行。3.1.6、人員懲戒第一條人員違反算法安全策略和規(guī)定時，依照相關(guān)規(guī)定進(jìn)行處理。第二條如該算法安全違規(guī)行為涉及法律層面，則將移交司法機(jī)關(guān)3.1.7、人員教育和培訓(xùn)第一條由制定培訓(xùn)計劃，實(shí)施算法安全教育和培訓(xùn)工作，培訓(xùn)計劃分層次、分階段，循序漸進(jìn)地進(jìn)行。分層次培訓(xùn)是指對不同層次和不同崗位的人員，如對管理層(包括決策層)、安全管理員、系統(tǒng)管理員和所有算法安全相關(guān)人員開展有針對性和不同側(cè)重點(diǎn)的培訓(xùn)。分階段培訓(xùn)是指在算法安全管理體系的建立、實(shí)施和保持的不同階段，實(shí)施不同的培訓(xùn)內(nèi)容。第二條新員工在正式上崗前，需進(jìn)行算法安全方面的培訓(xùn)，明確崗位所要求遵守的算法安全管理制度、技術(shù)規(guī)范以及操作流程。第三條對信息系統(tǒng)的維護(hù)人員和管理人員需定期開展算法安全技術(shù)教育培訓(xùn)(每年至少一次),明確如何安