实施方法和程序，如风险评估、信息管
理分层等；主动采取部门内的信息安全措施，如安全意识培训及教育等；配合执行新系统或服务的特殊信息安全措施；审查对信息安全策略的遵循性；配合并参与安全评估事项；根据信息安全管理体系的要求，定期向上级主管领导和保密委员会报
告。
5分层管理与控制51公司计算机及信息系统管理分为涉密计算机管理、内部网络（局域网）
及计算机信息管理、互联网计算机信息管理三个管理层次。52涉密计算机只能处理涉及国家秘密的信息，实行物理隔离管理，只能由
公司涉密人员使用，由公司保密员管理。涉密计算机信息数据必须被保护以防止被泄漏、破坏或修改。
53内部网络（局域网）及计算机配置加密管理措施，与互联网隔离，配置保密管理措施，只能通过局域网传输、储存技术文档、软件等涉及公司商业机密信息。上述信息必须定期备份进行保护，以免破坏和非授权修改。
54互联网计算机主要处理来自于外部资源的普通信息，配置上网行为管理
2
f措施，同样在信息安全防护上进行安全考虑。55上述计算机及信息系统根据分层次管理的要求应当依据其分类进行物理
标记。
物理安全策略
64信息处理设备可接受的使用策略公司禁止工作人员滥用计算机及信息系统的计算机资源，仅为工作人员提供工作所需的信息处理设备。公司所有人员对系统网络和计算资源的使用（包括访问互联网）都必须遵守计算机及信息系统的安全策略和标准及所有适用的法律。公司的计算机及信息系统应能防止使用人员连接到访问含有色情、种族歧视及其他不良内容的网站及某些非业务网站。包括但不限于以下例子是不可接受的使用行为：使用信息系统资源故意从事影响他人工作和生活的行为。工作人员通过信息系统的网络服务及设备传输、存储任何非法的、有威
胁的、滥用的材料。任何工作人员使用信息系统的计算机工具、设备和互联网访问服务来从
事用于个人获益的商业活动（如炒股）。工作人员使用信息系统服务来参与任何政治或宗教活动。在没有信息安全管理部门的事先允许或审批的情况下，工作人员在使用
的计算机中更改或安装任何类型的计算机软件和硬件。在没有信息安全管理部门的事先允许或审批的情况下，工作人员拷贝、
安装、处理或使用任何未经许可的软件。65处理从互联网下载的软件和文件必须使用病毒检测软件对所有通过互联网（或任何其他公网）从信息系统之外的途径获得的软件和文件进行检查，同时，在获得这些软件和文件之前，信息安全管r