ISOIEC 38505-1 2017数据治理表单一整套

笔记本电脑1类别验收部门综合部调试结果可以是否需要退货验收日期打印机1类别验收部门综合部是否需要调试调试结果可以是否需要退货验收日期巡查内容：漏洞更新、病毒查杀、系统漏洞、故障。查杀工具：亚信杀毒软件。巡查频率：抽查/每月管理人电脑类型执行人员台式组装机杀毒软件病毒库日期为2019-02-10,授权许可已过期卸载卡巴斯基、重新安装360杀毒软件及防毒软件。设置自动修复及定时台式组装机正常(病毒库、系统都已经定时更新、病毒已经按计划定时查杀)台式组装机系统补丁未及时更新，发现存在5个系统漏洞，其中包括0作系统进行了系统补丁更新。并对系统设置了定期自动台式组装机正常台式组装机正常台式组装机正常台式组装机正常台式组装正常机台式组装机系统补丁未及时更新，发现存在2个系统漏洞。补丁更新。并对系统设置了定期自动台式组装机正常台式组装机正常台式组装机未安装杀毒软件安全卫生杀毒软件台式组装机正常台式组装机正常台式组装机未设置密码进入系统立刻要求设置用户台式组装机正常台式组装机正常台式组装机正常台式组装机正常台式组装机正常台式组装机杀毒软件未及时更新病毒库更新病毒库台式组装机正常台式组装机系统盘爆满台式组装机正常台式组装机正常台式组装机正常台式组装机系统补丁未更新台式组装机正常台式组装机正常台式组装机正常台式组装机杀毒软件未及时更新病毒库更新病毒库台式组装机正常台式组装机系统盘爆满用360电脑助手及时清理冗余文件。台式组装机正常台式组装机正常台式组装机正常台式组装机系统补丁未更新台式组装机正常台式组装机正常台式组装机正常台式组装机系统补丁未更新台式组装机正常台式组装机正常台式组装机正常台式组装机正常台式组装机正常台式组装机正常台式组装机正常台式组装机正常台式组装机正常序号申请日期变更部门变更原因变更类别变1综合部解决一些系增加档案系统新的功能增加档案系统新的功能注：1、变更类别分为IT设备变更、操作系统软件变更、自行开发软件变更。2、变更过程需记录变更前后的情况。邮箱地址管理员启用日期1黄伟黄伟2weibin.cai@3王哲王哲4xiaohui.wang@bjchydat5baozhe.niu@bjchydata.c67wenxiang.fan@范文祥范文祥8yuhang.huang@bjchyda9kun.zhang@bjchydata张坤张坤供应商名称：供应物资：办公用品联系人京东客服电话/传真：地址：评审内容1供货能力基本满足■不满足□2成批供应■零散供应口3提供产品质量4服务情况5按时交货情况较好■一般口较差口6是否影响信息安全■不影响□影响调查结论：基本符合我公司合格供应商的要求。提交人：日期：2023/12/6门评价意见评审人签字评审时间销售部综合实力强，长期合作单位综合部付款方式可接受技术部供应产品质量稳定评审结论：同意将该供应商列为我公司合格供应商。总经理：日期：2023/12/6复评审复评审结果复评人时间2024年度是否继续保持为合格供方2025年度是否继续保持为合格供方2026年度是否继续保持为合格供方序号恢复数据恢复时间结果备注核心业务系统销售资料文档核心业务系统销售资料文档核心业务系统销售资料文档核心业务系统销售资料文档核心业务系统销售资料文档核心业务系统销售资料文档2023年度培计划时间责任部门数据治理管理体系标准培训管理人员2023年11月管理人员2023年12月编制：审核：周静批准：日期：2023-11-82024年度培号：***-&&&&-B-15-001序号计划时间责任部门数据治理内审员培训内审员2024年1月管理者代表管理人员2024年2月数据治理风险评估培训管理人员2024年3月管理制度及作业文件管理人员2024年4月数据保密制度管理人员2024年5月技术人员2024年6月数据设施的维护技术人员2024年7月知识产权的保护技术人员2024年8月故障处理培训技术人员2024年9月保密措施培训技术人员2024年10月数据治理管理体系标准培训管理人员2024年11月管理人员2024年12月编制：审核：批准：日期：2024-1-3编号：001软件名称：涉密电脑日期：2023-12-261、运行视频监控系统；2、输入选择“1”,输入软件测试工程师资料；3、输入工程师的籍贯时输入“aaaaaaaaaaaaaaa”,超过10个字符不提示错误。编号：002软件名称：涉密电脑版本号：2.0日期：2024-01-11缺陷概述：输入工程师资料时工龄输入“0”或负数不提示错误详细描述：1、运行视频监控系统；2、输入选择“1”,输入软件测试工程师资料；3、输入工程师工龄时输入“0”或“-4”,不提示错误。日志配置要求系统类型设备类型日志内容保存周期检查周期1、用户标识符(ID)3、成功的或失败的登录试图≥6个月≥6个月安全扫描系统≥6个月网络系统系统配置更改日志≥6个月≥6个月审核组长(成员)任命书根据公司数据治理管理规定，拟于2024-3-19日对公司进行为审核组成员，并做以下工作：1.于2024-3-12前提出此次审核计划上报管理者代表审批；2.于2024-3-26前向管理者代表提交审核报告。总经理：黄伟编号备注3年3年数据治理风险评估计划3年数据治理风险处置计划数据治理风险评估报告数据治理剩余风险评估报告容量需求规划方案外来文件清单不符合项报告审核组长(成员)任命书内部审核计划内审签到表内审检查表内部审核报告内部审核报告发放记录数据治理管理体系运行情况报告1年管理评审计划管理评审会议签到表管理评审会议记录管理评审报告管理评审改进措施实施计划1年数据安全事件调查处理报告惩戒申报单奖励建议书员工岗位能力评价表人力资源年度发展规划外来人员来访登记表办公电脑巡查记录表计算机软件安装说明书笔记本外带使用登记表电子邮箱一览表电子邮箱使用情况检查表系统访问权限说明书验收报告日志配置要求日志审核记录数据治理目标及测量计划编制：审核：序号文件编号文件名称类备注一级二级二级二级纠正预防措施控制程序二级二级内部审核管理程序二级管理评审程序二级二级商业秘密管理程序二级二级知识产权管理程序二级二级二级二级二级二级二级网络设备安全配置管理程序二级二级电子邮件管理程序二级二级二级二级二级二级二级二级二级口令控制策略电子邮件策略网络访问策略网络配置安全策略即时通软件使用策略涉密计算机安全保密责任书内部审核方案编制：审核：中国信息通信研究院北京市海淀区学院路40号北京市通信与互联网协会西城区广安门外大街383号部门日期：2024-3-27评审项目(1)数据治理管理方针适用性，目标的测量；数据治理管理方针和目标测量在本公司有效实施，符合目前公司的实际情况。(2)管理体系的审核结果，包括内审、外审结果及其它形式的审核结果；内审发现的问题，及时得以纠正；(3)用于改善数据治理管理体系性能和有效性的行等；无(4)改进、预防和纠正措施的状况，包括对内部审核和日常发现的不合格项采取的纠正和预防措施的实施及其有效性的监控结目前未发现纠正预防工作的失效.(5)以前风险评估中没有充分表达的威胁和薄弱点，以及风险的重新评估；暂无发现.(6)可能影响到数据治理管理体系的变更，包括公司组织结构、资源配置发生商业运作流程发生变化、数据治理法律、法规发生变等；无编制：审核：批准：笔记本电脑USB端口移动介质使用规定√杀毒软件版本病毒防范规定√操作系统管理规定√√资产标签资产清单√带出物品管理带出物品申请一览表√台式电脑USB端口移动介质使用规定√杀毒软件版本病毒防范规定√操作系统管理规定√资产标签资产清单√√网络管理网络服务使用规定√由于网络故障导致部门业务中断次数√小组√年底工作计划一√年度工作总结一√职-√-√√打印登记表√公共管理电子邮件电子邮箱一览表(通讯录)√√一√检查日期：2024-3-28笔记本电脑USB端口移动介质使用规定√杀毒软件版本病毒防范规定√操作系统管理规定√√资产标签资产清单√带出物品管理带出物品申请一览表√台式电脑USB端口移动介质使用规定√杀毒软件版本病毒防范规定√操作系统管理规定√资产标签资产清单√√网络管理网络服务使用规定√由于网络故障导致部门业务中断次数√小组一√年底工作计划-√年度工作总结一√职一√一√一√打印登记表√公共管理电子邮件电子邮箱一览表(通讯录)√√一√外来人员来访登记表:日期访问人员接待人员接待部门综合部综合部客户、内部员工允许登录那些系统或系统的那级(访问权限的级别和范围),分类说明日志审核员操作员审核员内部员客户一级二级四级二级三级三级无无一级二级四级二级三级三级三级四级安全扫描一级二级四级二级无无四级四级邮箱一级二级四级二级三级三级三级无权限说明：一级：管理员级别，具有账号分配管理、数据读写、系统配置、数据备份等权限；二级：具有读写、系统配置、数据备份权限；三级：具有读写权限；四级：具有只读权限；各部门的权限说明表只是说明部门对各个系统的最高权限职能范围的说明，但不代表该部门全部成员都一定需要配置相应的权限，相关权限的授权以个别需要调整的需要向综合部申请并在综合部门备案评估后执行。序号受访设备名称使用者项目ID申请日期使用期12345编号：***-&&&&-B-14-001报告部门销售部报告人员处理人员时间发生时间处理时间事件解决时间事件等级信息密级公开级别公众影响要素无影响无影响资产损失要素无损失综合等级低级外围保障设施故障外部人员无意事件处理过程及结果使用杀毒软件查杀病毒，重新安装Word程发生原因分析纠正必要的处罚数据治理管理体系(ISO/IEC38505-1:2017)总经理合格管理者代表合格技术部合格销售部合格综合部合格有效性评价：经过培训，上述人员对所学知识有进一步的认识和提高，经提问的现场操作，考核合格，合格率100%,本次培训有效!签名：郦胜蓝黄伟总经理合格管理者代表合格技术部合格销售部合格综合部合格有效性评价：经过培训，上述人员对所学知识有进一步的认识和提高，经提问的现场操作，考核合格，合格率100%,本次培训有效!管理者代表合格技术部合格销售部合格综合部合格有效性评价：经过培训，上述人员对所学知识有进一步的认识和提高，经提问的现场操作，考核合格，合格率100%,本次培训有效!考核方式：问答黄伟总经理管理者代表技术部销售部综合部有效性评价：经过培训，上述人员对所学知识有进一步的认识和提高，经提问的现场操作，考核合格，合格率100%,本次培训有效!签名：郦胜蓝考核方式：问答黄伟总经理管理者代表技术部销售部综合部有效性评价：经过培训，上述人员对所学知识有进一步的认识和提高，经提问的现场操作，考核合格，合格率100%,本次培训有效!签名：郦胜蓝考核方式：问答黄伟总经理管理者代表技术部销售部综合部合格合格，合格率100%,本次培训有效!签名：郦胜蓝查表时间检查项目下半年000《电子邮箱申请表》和《电子邮箱一览表》的一致性其他检查情况：检查人员时间检查项目《电子邮箱申请表》和《电子邮箱一览表》的一致性年其他检查情况：无评审目的：一.对数据治理管理体系的适宜性、充分性和有效性等进行评价。二.对是否需要更改企业的数据治理管理体系质量方针和目标做出评价。三.对数据治理管理体系的现行状况和改进机会进行评价。四.对申请认证审核的可行性提供依据。评审时间：2024-3-27地点：公司会议室管理评审输入序号主要汇报部门1成情况；2内、外部审核结果和合规性评价的结果；3预防措施与纠正措施实施状况；4风险评估未考虑的威胁和薄弱点；5有效性测量、考核情况及建议；6数据治理管理体系变更和改进的建议7销售部8技术部9当前的人员和技术能力综合部各部门需准备资料(包括口头发言和建议):a)数据治理管理体系运行的改进建议；b)本部门相关的外部反馈意见；c)本部门改进数据治理管理体系绩效的技术、产品和程序；d)预防和纠正措施的实施情况；e)本部门相关的有效性测量、考核情况及建议；f)风险评估未考虑的威胁和薄弱点；g)提供的资源满足需要的情况；h)与本部门相关的其它情况；i)数据治理管理体系变更和改进的建议。j)顾客反馈1)当前的人员和技术能力采购范围评审时间北京京东世纪信息技术有限公司办公用品京东客服审核目的：检查公司试运行数据治理管理体系四个月以来，内部数据治理管理体系涉及各部门的活动是否符合计划安排及规定要求；数据治理管理体系是否有效地保持、实施和改进，为审核范围：审核依据：在数据治理中的应用审核组成员：审核时间：计划安排：日期时间审核员首次会议全体审核员构的职责、4.3治理机构的监督机制、性、6.1总则、6.2收集、6.3获取、6.4报告、6.5决定、6.6分发、6.7处置、7.1总则、7.2责任、7.3战略、7.4收购、7.5绩效、7.6人的行为、部要求、8.4评估、8.5监测、9.1总则、9.2价值、9.3风险、9.4规则、10数据责任图的应用综合部6.2收集、7.2责任、7.7人的行为、10数据责任图的应用销售部7.2责任、7.7人的行为、10数据责任图的应用技术部7.2责任、7.7人的行为、10数据责任图的应用审核组内部会议，与领导层沟通编制：周静批准：日期：2024-3-11日志审核记录设备名1正常正常无/2正常正常无/3正常正常无/4正常正常无/5正常正常无/6正常正常无/文件名称密级保管日期/绝密即时更新综合部即时更新合同/机密即时更新综合部即时更新协议合同/机密即时更新综合部即时更新报告/机密即时更新综合部即时更新/机密即时更新综合部即时更新凭证/机密即时更新综合部即时更新/机密即时更新销售部即时更新销售数据/机密即时更新销售部即时更新资料/涉密即时更新销售部即时更新/涉密即时更新综合部即时更新月度汇总表、利润预测/涉密即时更新综合部即时更新/涉密即时更新销售部即时更新/机密即时更新技术部即时更新“绝密事项”和“机密事项”的判断为公司的涉密文件A)“绝密事项”:是指不可对外公开、若泄露或被篡改会对本公司的生产经营造成严重损害，或者由于业务上的需要仅限有关人员知道的事项；B)“机密事项”:是指为了日常的业务能顺利进行而向公司管理人员公开或者授权的情况下向基层员工公开的事项；C)“内部事项”是指可向公司内人员随意公开的事项。信息资产密级根据《信息分类定义说明》进行确定。计划测量时间测量目的确保数据治理管理体系的有效实施，根据本公司据治理目标，并规定数据治理目标的测量方法，以便测量范围公司所有部门点对数据治理的保密性目标、完整性目标、可用性目标式评分测量小组成员及分工序号姓名123签字：周静日期：2024-4-3号部门日期1管理手册三阶文件汇编***-&&&&-B-01--***-&&&&-***-&&&&-C-01--***-&&&&-2管理手册三阶文件汇编***-&&&&-B-01--***-&&&&-***-&&&&-C-01--***-&&&&-管理者代表3管理手册三阶文件汇编***-&&&&-B-01--***-&&&&-***-&&&&-C-01--***-&&&&-4管理手册三阶文件汇编***-&&&&-B-01--***-&&&&-***-&&&&-C-01--***-&&&&-5管理手册三阶文件汇编***-&&&&-B-01--***-&&&&-***-&&&&-C-01--***-&&&&-文件名版本号签收日期备注知识产权管理程序电子档供应商管理程序电子档北京市国家税务局办理国税事项张先生北京市财政局办理会计事项北京市人力资源和社会保障局员工社保事项北京市医保局员工社保事项张小姐北京市住房公积金管理中心员工住房公积金事项陈小姐工商银行公司对公业务工商银行滴滴出行科技有限公司企业员工网约车/顺丰速运有限公司公司快递收派时间显示屏已处理申请日期权限有效期访问权限申请(变更)理由：读取公司项目资料。访问(变更)权限的级别和范围：获得公司权限。批准人：周静日期：2023-12-19权限开放/变更/注销时间开放权限的管理员备注：重要数据备份检查记录表备份时间介质地点数据导入1工作记录文件拷贝1销售资料文档拷贝1数据导入1工作记录文件拷贝1销售资料文档拷贝1数据导入1工作记录文件拷贝1销售资料文档拷贝1数据导入1工作记录文件拷贝1销售资料文档拷贝1数据导入1工作记录文件拷贝1销售资料文档拷贝1数据导入1工作记录文件拷贝1销售资料文档拷贝1戒申报单处罚原因：用移动硬盘拷贝客户打印资料，感染宏病毒处罚对象：销售部员工处罚措施：口头教育报告人：报告时间：2024-3-20使用外来移动硬盘或者其他移动介质，要先进行病毒查部门负责人：时间：2024-3-20主管领导意见需求部门技术部需求人员需求物品需求使用日期笔记本电脑1需求原因办公部门领导：主管领导意见从库存出需要采购意见人：Y口能否调拨意见人：周静采购日期采购人员吴素娴笔记本电脑1人民币(大写)支票付款：制单：审核：周静批准：周静检测人1:检测人2:检测人3:新购物品入帐Y■登记入帐人：领用人：需求部门综合部需求人员需求物品物品名称描述需求使用日期数量打印机彩打1需求原因需要打印公司文件，打印机数量不够，给办公部门领导：主管领导意见从库存出需要采购意见人：Y口Y口被调拨部门领导意见能否调拨意见人：周静采购日期采购人员预计成本数量单价彩打机人民币(大写)支票付款：858制单：审核：周静批准：黄伟检测人1:检测人2:检测人3:新购物品入帐Y■登记入帐人：领用人：需求部门综合部需求人员需求物品物品名称描述需求使用日期数量电脑笔记本电脑1需求原因假期和周末在家办公使用主管领导意见从库存出需要采购意见人：被调拨部门领导意见能否调拨意见人：周静Y■N口采购日期采购人员预计成本数量单价戴尔笔记本电脑1借款金额人民币(大写)支票付款：3588制单：审核：周静批准：黄伟检测人1:检测人2:检测人3:新购物品入帐Y■登记入帐人：领用人：考核时段：2023-11-8至2024-4-30考核日期：2024-4-30供应商名称材料类别交货准时率30分总交货次数准时交货次数得分验货次数合格次数合格办公用品备注：编制：审核：ISO/IEC38505-1:2017管理评审黄伟公司会议室序号签到所在部门序号签到所在部门1黄伟总经理2管代/数据治理小组3技术部4销售部5综合部6789安装人：安装日期：2023-11-22计算机型号电脑资产编号使用部门综合部安装类别360杀毒软件微信、offic办公软件、WPS办公软件、备注记录借阅时间险评估报告2024-1-16归还报告2024-3-27归还资产清单2024-4-18归还内审会议(首末次)公司会议室管理者代表首次会议详见内审计划，末次会议详见内审报告首次会议(2024-3-19)末次会议(2024-3-19)姓名部门/职务签到姓名签到黄伟总经理黄伟黄伟总经理黄伟管代/数据治理小组组长组长销售部销售部技术部技术部综合部综合部风险评估时间：2023年12月26日至2023年12月29日评估目的：依据数据治理管理体系ISO/IEC38501-1:2017标准，对数据保障深圳市企启信息科技有限公司数据资的安全计划时间1数据资产识别、分组与登记数据资产分组一件、数据、人员、2023年12月26日《数据资产识别2资产和资产组赋值从保密性、完整方面对数据资产组内资产价值的资产组的价值。2023年12月27日《重要数据资产3识别并登记与资产组相关的主要威胁、弱点和现2023年12月28日《数据治理风险4根据预先定义的2023年12月29《数据治理风险险发生可能性和风险影响赋值，并通过资产组价值、风险发生可能性和风险影响日5根据风险计算结果，确定风险级接受的风险值。受风险标准为中、低风险。2023年12月29日6风险控制措施的接受标准的风险，企业要选择术控制措施，以降低风险发生的实施时间按高风险处置计划而定《风险处置计划》在后续阶段完成控制措施的日1、测量类别：保密性指标(C)1终端安全测量(C1)2账号权限管理测量(C2)3保密管理(C3)4物理环境测量(C4)完整性指标(1)1记录控制测量(11)可用性指标(A)1机房管理测量(A1)2系统监控测量(A2)3备份管理测量(A3)4BCP有效性测量(A4)5变更管理测量(A5)6安全教育(A6)2、保密性测量：1.终端安表违规使用移动设备，发现一例000发现违规外联记录，发现一例扣20分。000终端内存放有未经授权的秘密信息，发现一例扣5分。000内网终端未安装或停用防病毒服务，发现一例扣5分。000口令不符合安全要求，发现一000000一例扣2分。000000限申请表台账抽查离职人员、部门异动人员记录，每发现一人扣1分。0002.用户账号审在一周内删除，扣5分。0003.保密管理(C3)1.岗位职责说明书未向新员工提供明确的数据治理职责声明，每发现一人扣30-员工进行背景调查，或缺少背景调查记录。每发现一人扣30--各部门资产识别表应完整、密级应准确，每发现一项错误扣000查出正当理由，每发现一个文件000件每发生一次信息泄密事件，扣0001.访客登记少一条记录扣2分。0-0一-扣3分。每发现一个不起作用设备扣2分。设备损坏超过1个月还未修复扣10分。0000门平均分。重要程度为低时，每项最多扣分不超过分，重要程度为高时，每项最多扣分不超过15示需考评部门门1.记录控000000司得分为各部门平均分。重要程度为10分，重要程度为高时，每项最多扣需考评部门门1.机房管理测量(A1)1.机房管理记现一次5分。一0出登记表现漏记一次扣2分。03.机房设备出发现一件扣3分。00测量(A2)1、日志保存时间一览表0一-处错误或警报信息没有相应处理结果，扣3分(不含已确息)。0--录，扣3分。--0测量(A3)1.备份策略一处不恰当，扣3分。0-一个备份失败且未在当天重新进行备份扣3分。0--性测量(A4)练计划练报告练，扣10分。0-0业务中断事件，影响范围大的，扣20分；影响范围小的，扣10分；无影响的事0001.变更管理记录汇总0006.安全教育1.新员工教育据治理培训的，每发现一人扣2分。(出差人员除外)0002.安全教育织过全员安全教育，发现扣10分。000000门平均分。重要程度为低时，每项最多扣分不超过5分，重要程度为中时，每项最多扣分不超过10分，重要程度为高时，每项最多扣分不超过15分。评部门考评部门编号文件名实施时间引入时间使用保笠中华人民共和国产品质量法网上下裁在用电子档中华人民共和国会计法网上下裁在用电子档中华人民共和国商标法网上下裁在用电子档中华人民共和国档案法网上下裁在用电子档中华人民共和国民法典网上下裁在用电子档三年中华人民共和国劳动合同法网上下载在用电子档三年商用密码管理条例网上下裁在用电子档网上在用电子档中华人民共和国技术进出口管理条例网上下栽在用电子档网上下载在用电子档网上在用电子档三中华人民共和国招标投标法网上在用电子档年中华人民共和国专利法网上下裁在用电子档中华人民共和国计算机信息系统安全保护条例网上下载在用电子档中华人民共和国计算机信息网络国际联网管理暂行规定网上下裁在用电子档中华人民共和国电子签名法网上下裁在用电子档中华人民共和国著作权法网上下栽在用电子档三年互联网安全保护技术措施规定网上下载在用电子档中华人民共和国刑法网上下裁在用电子档中华人民共和国国家安全法网上下裁在用电子档中华人民共和国保守国家秘密法网上下裁在用电子档三年网上下裁在用电子档法网上下裁在用电子档三年计算机软件保护条例网上下载在用电子档三年中华人民共和国反不正当竞争法网上下裁在用电子档三年网上下裁在用电子档三年中华人民共和国网络安全法网上下栽在用电子档三年世界知识产权组织版权条约(中国加入)网上下栽在用电子档三年网上下裁在用电子档三年GB/T29049-2013企业知识网上下裁在用电子档三年“网络数据一体化处理”改革工作的通知网上下裁在用电子档三年工业和信息化部关于工业大数据发展的指导意见网上下载在用电子档三年防联控工作的通知网上下裁在用电子档三年国家邮政局、商务部关于规范快递与电子网上下裁在用电子档网上下栽在用电子档三年编制：审核：访问授权主管部门：技术部序号评审时间评审人员意见结果合法用户数非法或常50正常正常类别1分工作态度1主动性下的工作能力习惯照章行事，需不断督促日常工作无需指示，但新任务需督促题2感责任心一般，不能主动承担责任3性即使困难的工作，也主问题的解决方案担4性与他人在工作上的协作人工作多方督促时才能配合他人工作，且效果不理想展工作5性自我约束力及是否违反自我约束差、时常出现违纪现象提示、要求下能够遵守纪律和规章6力导安排的工作准确无误工作能力1专业知识岗位必需专业知识的掌岗位必需及相关的专业知识掌握甚少活运用2情绪自控公私分明，工作中不带以着手3验由工作实践积累的知识4力对事物、现象的甄别与断定的能力只能判断一些简单事物、现象5坚韧性无特殊原因可以完成工作作6协调沟通际能力如何虽不影响工作，但沟通不够主动7力8性性计划9性是否有新意力力说明本考评为每年一次，作为员工晋升、调薪、调岗的依据，57分以上为优，51-56分为良，类别1分工作态度1主动性下的工作能力习惯照章行事，需不断督促日常工作无需指示，但新任务需督促题2责任感责任心一般，不能主动承担责任3性即使困难的工作，也主问题的解决方案担4性与他人在工作上的协作人工作多方督促时才能配合他人工作，且效果不理想展工作5性自我约束力及是否违反自我约束差、时常出现违纪现象提示、要求下能够遵守纪律和规章6力导安排的工作准确无误时听从领导安排，有时上级工作能力1专业知识岗位必需专业知识的掌岗位必需及相关的专业知识掌握甚少活运用2情绪自控公私分明，工作中不带以着手3验由工作实践积累的知识4力对事物、现象的甄别与断定的能力只能判断一些简单事物、现象5坚韧性无特殊原因可以完成工作作6协调沟通际能力如何虽不影响工作，但沟通不够主动7力8性计划9性是否有新意力力较难融入公司文化理念的氛围说明和调岗的依据类别1分工作态度1主动性下的工作能力习惯照章行事，需不断督促日常工作无需指示，但新任务需督促题2责任感责任心一般，不能主动承担责任3性即使困难的工作，也主问题的解决方案担4性与他人在工作上的协作人工作多方督促时才能配合他人工作，且效果不理想展工作5性自我约束力及是否违反自我约束差、时常出现违纪现象提示、要求下能够遵守纪律和规章6力导安排的工作准确无误时听从领导安排，有时上级工作能力1专业知识岗位必需专业知识的掌岗位必需及相关的专业知识掌握甚少活运用2情绪自控公私分明，工作中不带以着手3验由工作实践积累的知识4力对事物、现象的甄别与断定的能力只能判断一些简单事物、现象5坚韧性无特殊原因可以完成工作作6协调沟通际能力如何虽不影响工作，但沟通不够主动7力8性计划9性是否有新意力力较难融入公司文化理念的氛围说明和调岗的依据部门：综合部序号备份周期式检查周期130天手动1手动20天2安全扫描30天自动1手动7天3456励建议书奖励原因：按质、按量完成项目，赢得客户奖励对象：销售部奖励措施：予以通报表扬并颁发公司正能量奖励第2档部门负责人：时间：2024-1-29主管领导意见主管部门负责人：周静时间：2024-1-30会议时间会议地点公司会议室黄伟参与人员周静、、、对数据治理管理体系试运行以来首次评审，对本公司现有数据治理范、策略等的有效性、符合性、适应性和执行情况进行评审，提1.宣读《内部审核报告》;2.各部门汇报ISO/IEC38505-1:2017体系运行以来的遇到的问题3.小组讨论了现场在实施ISO/IEC38505-1:2017体系时遇到的一些问题4.总结发言b)公司的数据治理奖罚现在还没有有效地实施起来，希望在以后真正d)对于我公司的数据治理运行无重大事件，向数据治理小经过本次管理评审会议，编写形成《管理评审报告》,并得到总经理批准关会议决议参见《管理评审报告》内容。未决内容无。记录销毁时间备注审核日期：2024-3-19审核员：周静、、、审核审核体系标准款项数据良好治理的处?是否确立了有效、高效并经许相关事项进行负责?好治理的益处，并确立了有效、高效并经许可的使用数据的原知识产权等相关事项进行了重点治理机构的职责治理机构人员是否清楚理解自己的职责并有效履行?自己在数据治理方面的职责不太清楚。合治理机构的监督机制程度相适应的数据治理监督机制，是否通过要求审计和独立评估等程有效性。56总则组织是否理解数据责任图的涵义，是否了解数据处理的生命周期?述。组织是如何实施数据收集活动的?察习以及从其他数据集(内部或外部)中提取记录的过程，符合要求。组织是如何实施数据存储活动的?察检索的位置。组织是如何进行数据报告的?提取和分析数据，以支持决策、分发或处置。决定组织是如何进行数据决定的?出。组织是如何进行数据分发的?标准要求。组织是如何进行数据处置的?从数据存储中永久删除该数据和任何副本。7总则组织是否理解数据处理的原则?原则包括：责任、战略、获取、原则1责任的职责负责，并应确保组织内的人员理解并接受他们的职责。原则2战略(包括当前和未来的能力)相一致的数据战略。原则3获取治理机构负通过收集或购买或作为商业活动的副产品获数据。原则4绩效治理机构确定有相关的绩效指并在必要时采取补救行动。原则5一致性实施的?治理机构确保机构了解并遵守外部义务，并适当界定、执行和原则6人的行为组织数据治理的人的行为原则是如何实施的?治理机构负责在整个组织内使用数据，确定并适当考虑人的行实施情况，有切实可行的方针和政策，执行记录完整。内部要求行?括购买和销售数据。组织通过调整其战略和政策，以压力。的?压力。此外还审查和判断当前和今后对数据。监测的?总则组织是否理解数据治理的特性?组织理解数据是具有许多相关属能会对整个组织产生重大的战略重要项目进行审议。1总则组织是否理解数据治理的价值?阅、出版物或网站等数据传输进行销售，将其指定货币价值。2组织是否理解数据治理的质量，如何保证数据治理质量?的实际情况。3时效组织如何保证数据治理的时效性?据的时效性4组织是如何实施数据记录的?行不同的处理。5组织是如何控制数据容量的?察治理的置信度，确保大量一致的心。1总则识别数据治理的风险?如何控制数据治理风险?,确定，作为数据在战略、运营和财务等各方面对组织很重要，治的风险，以确保设置适当级别的“数据风险”,这与整体风险趋势一致。2理的?察险管理框架进行修改，然后监测修改后的框架的持续有效性。3组织如何实施数据分类方案?的敏感性进行分类。4组织是如何保证数据治理安全的?察架，实施具体的安全控制措施，采取ISO/IEC27018中云服务的安全。1总则组织是如何理解数据治理的规则的?则。这样的规则可能限制(使用和分发)数据潜在价值，包总。2组织条例和立法是如何实施的?3相结合的?组织的数据治理涉及到与社会的“隐含契约”,治理机构更明确如何根据数据做出决策。4组织如何实施数据治理策略的?除了对数据使用附加的外部需求略，以增加其价值，降低管理数险或满足其他需求。数据责任图的应用组织应用数据责任图的?治理机构将表1用作评估、监测和指导整个数据管理组织活动的时检查数据特定方面，以明确需严格的政策。循“立足当前、面向未来、适度超前”的指导思想，坚持定性分析与定量测算、必要性和可行性相结合的原则，编制我公司2023--2025年人力资源发展规则。(一)用人需求根据公司2023--2025年发展计划和经营目标，综合部协同各部门制定了公司2023--2025年的职务与人员配置计划。随着公司规模的不断扩大，公司用(二)人员招聘招聘是用人单位员工的第一个“入口”,因此做好入口工作的把关会对用人1、制定人员招聘计划根据本年度用人需求和员工结构现状表可知道我体职务和数量是：技术人员为5人；储备干部2人。技术人员：25-48岁，身体健康，专业与本公司对储备干部：男女不限，20-40岁，大专以上学历，具有较强的沟通能力、抗业务助理：女，20-35岁，大专以上学历，熟练运用办公软件，有相关业务2、选择合适的招聘方式(1)建立校招、社会招聘、网络招聘等多渠道招聘平台；(2)建立招聘蓄水池，保持人力所需；(3)通过“技术学院”提供所需的专业、稳定的人力资源。3、做好员工招聘过程中的工作(1)招聘应坚持“公平竞争，择优录用”,同时应坚持内部招聘与外部招聘(2)发布招聘数据时应对岗位要求与岗位职责有清楚的描述和说明。(3)简历的筛选要认真仔细，为了控制招聘成本又要招进优秀人才，一方面不能让来参加面试的人数过多，另一方面不能让优秀(4)面试过程中，初试可以只有综合部门参加，但复试应由综合部门和(5)面试过程中要给应聘者发言的机会，可以问一下应聘者对公司以及其所应聘的职位有什么要了解要询问的，以便公司了解应聘者关心的是什么(可能(6)面试结果通知要快，以防优秀人才被其他公司或竞争对手抢先录用。(7)试岗、定岗，要把合适的人放在适合的岗位上，尽量不随便给应聘者4、做好招聘的后续追踪工作(三)员工培训开发与职业发展(1)通过培训机构，提升中高层管理人员管理技能、领导力、决策思维能(2)开展“储备干部班”培训，提升基层管理能力、促进员工成长；(3)推行学分制度，与晋升、晋级相挂勾；(4)建立由公司补助的在职学历升级制度、提升在职人员的素质。2、培训考核3、能力的提升公司通过素质测评的方法，从个人能力、岗位技能职业动力、等方面进行系统全面的测评。针对不同层次员工的特点，采用不同的方式。人员开发和职业生涯发展无论对员工，还是对公司而言，都至关重要，从公司角度，有效对员工进行开发和职业生涯规划，将有效实现人事的匹配，人尽其才，将最大限度地促使公司的经营目标的实现；而对员工个人来说，能够充分实现自身的价值和职业发展目标，同时实现组织目标。管理需要不断完善，人才需要持续激励，只有持续的激励才能持续地调动员工的积极性与创造性，使企业充满活力与激情。从员工层面，随着员工素质、员工水平的不断提高，员工的需求不断提高，随之配套的激励水准也需相应提高。从企业层面，根据“企业80%的利润是由20%优秀员工创立”的理论，持续激励的重点将向重点部门、骨干员工倾斜。(一)招聘费用预算1、交流会费用：参加交流会4次，每次平均200元，共计800元。2、招聘会费用：参加招聘会10次，每次平均300元，共3000元。3、宣传材料费用：3000元。4、报纸广告费用：5000元。2023--2025年预计每年培训费用约为18000元。总之，在整个企业的发展过程中，企业的人力资源状况始终不可能自计划和年度人力资源规划的关系是相辅相成的，人了解员工的要求，还需要了解客户的需要。将人力资源策源工作者加入到决策的队伍中，具备人力资源管理实源开发的效益，从而有助于提高企业的经营业绩，具助人力资源从业者实现人力资源管理创新。人力资是不断地调整人力资源结构，使企业的人力资源始终处于供需平衡状态。只综合部填表日期：2024-1-17申请人姓名深圳市企启信息科技有限公司设备类型笔记本型号和配置笔记本项目实施处理涉密事项情况活动涉密数据信息密级项目实施合同中工作笔记本公司服务器综合部审核意见销售部经理：总经理审批意见总经理：黄伟计算机设备配置和设备编号安装安全措施■软件加密□《涉密计算机安全保密责任书》口令策略设置类别□开机■屏保□涉密盘符□涉密文件夹设置要求■数字+字母混合不少于8位口不超过30天目标类别质量目标统计公式统计周期11月12月标重要信息泄露统计重要信息移动介≤1次/年统计移动介质数据治发生≤2次/年数数部重要信息泄露统计重要信息移动介≤1次/年统计移动介质数据治≤2次/年数数发生部要信息泄露统计财务重要数数部与竞业签订率(签订协议的人数/总人数)总人数员工培训合格率每月1111要信息泄露统计采购重要数数部项目重要信息泄露统计项目重要数数考核日期编制：审核：周静序号用户名称部门岗位ID说明备注1黄伟管理层总经理读写/2管理层管理者代表读写/3销售部部门经理只读/4技术部只读/5综合部只读/1、对数据治理管理体系的适宜性、充分性和有效性等进行评价。2、对是否需要更改企业的数据治理管理体系质量方针和目标做出评3、对数据治理管理体系的现行状况和改进机会进行评价。评审内容：根据以下的评审输入信息，得出任何改进建议(评审输出),持续改进数据治理管理体1)市场形势或法令、法规有重大变异的情况；2)2023-11-8公司试运行数据治理管理体系以来，各项纠正和预防措施的执行情况和分析报告；3)2024-3-19内部审核检查的结果和对不合格项的纠正情况、各部门数据治理管理体系运行情况；4)重要的预防和纠正措施状况的评价；5)公司及各部门数据治理方针和目标贯彻以及实施情况；6)公司组织结构变更、重大人员变更等可能影响数据治理管理体系的变更情况；7)各部门认为公司数据治理管理体系需要改进的意见。8)其他数据治理信息。1.内审不符合项报告2.内部审核报告3.纠正和预防报告单4.数据治理风险评估报告内审状况及其整改结果：发现1项不符合，已纠正，目前未发现失效.根据公司风险评估后的风险处理实施情况，以及对于残余风险的评估，目前剩余风险为没有3级及以上风险残余。经过剩余风险评估后接受准则定为可接受风险，同时也是剩余风险。数据治理小组决定，接受剩余风险等级为1级和2级的剩余风险，对于这些风险不需要相应的控制措施，总经理表示评审结论：公司的数据治理体系基本上是适宜的、充分的和有效的，但也还存在一些待完善的地方，需要继续持续改进，不断优化公司数据治理管理.加强标准的培训。编制者：周静编制日期：2024-3-27审批者：审批日期：2024-3-27内部审核报告本内部审核主要是检查公司ISO/IEC38505-1:2017标准实施是否符合标准的要求以及管理体系要求，以便及时发现问题，采取纠正或改进措施，使管理体系得到有效实施和保持。1.2审核范围本文档适用于公司团队关于ISO/IEC38505-1:2017标准体系的内部审核工作。ISO/IEC38505-1:2017内审范围包括：管理体系范围内所有定义的部门。2审核依据ISO/IEC38505-1:2017标准涉及的各条款以及有关的法律法规。3、审核部门管理层、数据治理小组、综合部、销售部、技术部4审核组内审组组长：周静内审组成员：、、4.3审核日期和具体执行情况审核时间：2024-3-19具体执行情况详见《内部审核计划》5不合格报告1ISO/IEC38505-1:2017标准6体系有效性与符合性的结论公司的管理体系基本符合ISO/IEC38505-1:2017标准的要求。内部审核查出的隐患和不合格项，各部门应针对不符合内容及问题点水平展开讨论，认真整改，进一步完善和提高。这次进行的管理体系内部审核，是公司体系经过四个月以上的试运行后的第一次内审。由多人组成的审核组经过充分的准备，对公司的各部门进行了为期一天的检查验证，达到了发现暴露问题和规定的内审目的，取得了较好的收效。从体系的整体内审情况可以看出，各部门在本部门所应实施的标准要求上，取得了一定的成绩。内审过程中共发现1项不合格。具体不合格及纠正预防见《不符合项报告》,没有发现重大不符合项。公司的ISO/IEC38505-1:2017管理体系基本符合整合体系标准的要求。内部审核查出的隐患和不合格项，各部门应针对不符合内容及问题点水平展开讨论，认真整改，进一步完善和提高。公司的ISO/IEC38505-1:2017管理体系运行有效，具体表现在：能满足充分性、符合性和有效性的要求。本次内审目的基本达到，效果明显。各部门积极配合，发现了问题并限期整改，适时推动了体系的运行。7今后改进的建议公司的体系标准的实施动作已取得显著效果，具备了依据ISO/IEC38505-1:2017标准作为对公司管理体系正常运行的条件，各部门要以此次内审为契机，对所发生的不合格及时采取纠正和预防措施，以保证管理体系的正常运行。编制：周静批准：日期：2024-3-19部门：综合部设备名称及机号办公电脑登记时间故障发生时间通知时间恢复时间故障历时设备负责人故障现象故障原因用移动硬盘拷贝客户打印资料，感染宏病毒处理经过及结果使用杀毒软件查杀病毒，重新安装Word程序备注：部门：综合部设备名称及机号办公电脑登记时间故障发生时间通知时间恢复时间故障历时15分钟设备负责人故障现象故障原因由于IE缓存文件太多，IE打开时总是读取原有缓存文件，导致无法更新数据处理经过及结果目标类别统计公式统计周期总目标统计重要信息泄露的次数≤1次/年统计移动介质遗失的次数≤2次/年统计数据治理事件发生的次数统计重要信息泄露的次数≤1次/年统计移动介质遗失的次数≤2次/年统计数据治理事件发生的次数综合部统计财务重要信息泄露的次数(签订协议的人数/总人数)*100%员工培训合格率每月统计采购重要信息泄露的次数项目重要信息泄露统计项目重要信息泄露的次数序号管理评审改进决策实施计划负责部门1加强标准培训2024-04月份进行标准培训管理者代表编制：审核：接收部门接收时间管理者代表综合部资产类别责任部门终端总经理电脑办公总经理终端管理者代表电脑办公管理者代表终端销售部经理电脑办公销售部终端技术部经理电脑办公技术部『终端综合部人员办公电脑办公综合部办公设备座机(1台)办公综合部办公设备打印机办公综合部办公设备文件柜保障设备综合部网络设备无线路由器网络设备综合部网络设备以太网交换机网络设备综合部移动硬盘办公综合部本文件资料享受著作权及其它专属权利，未经书面许可，不得将该等文件资料(其全部或任何部分)披露予任何第三方，或进行修改后使用。文件更改摘要：日期修订说明办公设备文件柜保障设备综合部网络设备无线路由器网络设备综合部网络设备以太网交换机网络设备综合部移动硬盘办公综合部本文件资料享受著作权及其它专属权利，未经书面许可，不得将该等文件资料(其全部或任何部分)披露予任何第三方，或进行修改后使用。文件更改摘要：日期修订说明 风险评估目的 风险评估日期 评估小组成员 评估方法综述 评估具体方法及实施 风险评估概况 评估总结 数据治理风险评估报告风险评估目的通过科学的方法对公司存在风险进行评估，以便于制定出适合的方法，找到最合适的控制措施来对风险进行控制，以降低风险，达到提高公司数据治理的目的。风险评估日期2023年12月26日至2023年12月29日评估小组成员部门人员管理层销售部数据治理员技术部数据治理员综合部数据治理员评估方法综述建立环境建立环境风险评估风险识别风险分析风险评价风险处理监测和评审沟通和协商本次风险评估由于是公司组织的第一次风险评估，因此，评估涉及公司所有部门本次评估涉及计算机软件开发和运维服务的数据治理管理活动。本次评估主要针对公司与数据相关的重要资产，包括：硬件、软件公司存在风险主要存在于资产价值大于2的数据资产，贯穿于公司服务相关的所共识别数据资产25项，其中重要的数据资产17项；重要的数据资产中，其中软件资产3项、数据资产1项、文档资产11项、服务资产2项。本次风险评估共发现公司存在0个五级风险、0个四级风险、17个三级风险、8个二级风险和0个一级风险。各部门均已各自编制一份风险评估表，对数据资产及其存在的脆弱性和面临的威胁风险予以识别，对风险发生的可能性、严重性进行判定，对风险值予以等批准人：黄伟日期：2023年12月29日纳，并对其提出相应的建议采取的控制措施和建风险存在的部门具体风险建议采取的控制措施1所有部门公司机密泄漏，包括1)加强人员法律、安全意识教育；2)加强公司管理程序，包括访问权限设置及审核；3)加强监控管理；2综合部硬件损坏导致数据1)定期的检查并更新硬件；3综合部误操作导致数据丢1)加强文件标识管理；2)完善操作流程；(4)人员聘用前加强技术背景了解；4综合部5综合部1)网络访问的控制；2)防病毒软件的安装，并及时得到更新；6所有部门数据治理职责不明确导致数据治理管理3)建立数据治理小组，明确各相关部门的数据7所有部门部分记录不完整导致相关法律纠纷。公司将在GDMS建立过程中进一步完善风险评估流程，并在今后的实施过程中不断完善公司相关的作业、控制程序，制定更全面详细的策略。ISO/IEC38505-1:2017标准考核方式：问答黄伟总经理综合部根据ISO/IEC38505-1:2017标准，我公司于2023年12月开展了数据治理风险评估工作，最终形成了《数据治理风险评估报告》,针对此轮信息资产风对剩余风险评估的结果统计，总共7项，按照风险级别来分，1级风险共1项，2级风险共6项，没有3级及以上风险；剩余风险均为1-2级，没有3级及以上风险。经过剩余风险评估后得到资产的风险等级1-2级，根据风险接受准则定为可接受风险，同时也是剩余风险。数据治理小组建议，接受剩余风险等级为1-2级的剩余风险。总经理批准：黄伟日期：2023-12-29细表重要涉密电脑和设备日志明序号是否需要法日志保日志容量大小份合同存储电脑3是日志记录1周检查3个月是11是日志记录1周检查3个月是4是日志记录1周检查3个月是考核方式：问答签到签到合格，合格率100%,本次培训有效!签名：郦胜蓝使用部门外带地点外带事项送还日期综合部维修点到保修点进行维修黄伟4注：所有外带的笔记本，必须由本人在登记表上登记，并由公司的总经理批准后方可带出受审核单位管理层负责人审核员日期不符合项事实陈述：询问治理机构人员，其对自己在数据治理方面的职责不太清楚，38505-1:2017标准4.2条款要求原因分析及纠正措施计划：因体系运行不久，相关人员对ISO/IEC38505-1:2017标准4.2条款理解不够，执行不到位，没有将数据治理方面的职责告知相关人员。审核员：2024-3-20纠正措施实施记录：立即告知治理机构人员其在数据治理方面的职责，对相关人员培训ISO/IEC38505-1:2017标准4.2条款内容。纠正措施验证记录：已告知治理机构人员其在数据治理方面的职责，已对相关人员进行培训环境描述(国际、国内、区域或局部)社会和文化2政治345自然环境6竞争环境1234关系1财政部门监管依法规范经营