理信息（视信息类型不同，采取归还、归档或者销毁等操作），在未经授权的情况下不得擅自传播信息。第四十四条管理信息流转和使用的组织应致力于实现信息流转的程序化和自动化，减少信息流转环节，以及不必要的人为接触，提高信息安全和工作效率。
第7页共9页
f第六节安全事故和故障处理
第四十五条各个信息系统必须建立事故和故障的应急处理预案，尽量降低事故和故障对公司经营的影响。第四十六条安全事故汇报，将影响安全的事故通过适当的管理渠道尽快向管理层汇报。第四十七条安全部门定期发布安全漏洞报告，列举安全漏洞和安全风险，以及可以采取的解
决措施，相关部门积极配合改进。第四十八条安全事故发生后，回顾事故处理过程，分析事故原因，从事故中吸取教训。
第七节业务连续性管理
第四十九条公司重要的业务，特别是重要的IT应用和信息管理系统，必须考虑如何防止业务中断，保证重要业务流程不受重大故障和灾难的影响。第五十条重要IT系统需要制定和实施连续性计划，内容包括：
1确定并认可各项责任和应急程序；2确定执行应急程序可以在规定时间内恢复IT系统；3适当地对员工进行培训，让他们了解包括危机管理在内的应急程序；4应急程序定期演练。第五十一条业务连续性计划需要定期进行检查、维护，甚至重新分析。
第六章信息安全风险评估和审计
第五十二条信息安全风险评估主要是为了发现公司信息管理的安全漏洞，评估信息安全风险对公司的影响以及提出相应改进的措施。第五十三条信息安全风险评估主要由公司的安全部门和信息安全管理组织承担，由其制定相
关风险评估模型并定期对各系统和流程进行评估。第五十四条信息安全审计主要是为了审核各级组织和系统是否按照公司相关制度和流程进行
信息安全管理。第五十五条公司根据相关内部审计制度建立信息安全审计制度，各系统和组织、个人必须严
格按照安全审计规范执行相关工作，对于关键信息在其生命周期内都需要进行安全审
第8页共9页
f计。第五十六条任何涉及到信息安全的各系统和组织必须严格按照公司信息安全审计制度建立具
体的可审计机制，任何关键信息的安全管理过程必须是可以被审计的。第五十七条公司成立安全审计小组，定期审计各系统和组织的信息安全管理工作，各组织和
个人必须积极配合公司信息安全审计工作。
第七章培训
第五十八条培训部对新入司员工进行信息安全培训，使新员工明确公司在信息安全方面的基本政策。
第五十九条机要岗位员工上岗前必须r