《大模型备案落实算法安全主体责任相关制度汇编》由会员分享,可在线阅读,更多相关《大模型备案落实算法安全主体责任相关制度汇编(86页珍藏版)》请在金锄头文库上搜索。
1、大模型备案落实算法安全主体责任相关制度汇编XX集团有限公司2024年目 录算法安全总体方针1算法安全管理策略3算法安全管理办法13恶意代码防范管理办法24信息系统与算法变更管理办法27算法安全检查管理办法36算法安全违章行为责任追究办法40安全教育和培训管理办法44外来人员安全访问管理办法47信息分类与标识管理办法49信息系统与算法资产管理办法53介质安全管理办法55设备安全管理办法58网络安全管理办法60数据备份与恢复管理办法63算法安全事件报告管理办法71算法安全突发事件应急预案752算法安全总体方针第一章总则第一条为加强和规范XX集团公司算法安全工作,提高算法安全整体防护水平,实现信息系
2、统与算法的安全管控,依据国家有关法律、法规的要求,制定本方针。第二条本方针为XX集团公司算法安全管理提供一个总体性架构文件,指导XX集团公司算法安全管理体系建设,以实现统一的安全策略管理,提高整体的信息服务与算法安全水平,保障算法安全和信息系统与算法的正常运行。第三条本方针适用于XX集团公司信息系统与算法资产和算法安全人员的安全管理,适用于指导XX集团公司算法安全策略的制定、安全方案的规划、安全建设的实施和安全管理措施的选择。第二章组织机构与职责第四条XX集团公司智能创新与信息安全领导小组为XX集团公司算法安全工作领导机构,领导小组下设专职部门,由AI创新研究院安全部负责算法安全具体工作。AI
3、创新研究院安全部负责人为算法安全第一责任人,负责是落实算法安全管理制度;其他部门负责人为算法安全次要责任人,负责配合落实算法安全管理制度。第五条XX集团公司智能创新与信息安全领导小组负责统筹领导XX集团公司算法安全工作,指导AI创新研究院安全部负责的重大的算法安全工作。第三章算法安全体系框架和目标第六条XX集团公司算法安全体系框架的组成是安全组织、安全策略、安全技术和安全运作,四大组成部分协同构建、完成和实现XX集团公司算法安全工作和目标。第七条(一)算法安全组织工作目标是建立健全的安全组织,加强人员的安全管理,为算法安全工作提供组织保障。(二)算法安全策略工作目标是制定完善的算法安全管理制度
4、和技术规范,并确保其有效发布、执行和更新,规范XX集团公司算法安全管理工作。(三)算法安全技术目标是采用适当的技术手段,加强业务和支撑系统的安全防护,为算法安全工作提供技术工具支撑。(四)算法安全运作目标是加强安全工作的运作管理,维护业务和支撑系统的安全运行,及时处理安全问题,为算法安全工作提供运行保障。第四章算法安全建设原则和目标第八条XX集团公司算法安全工作的原则是:满足和推动服务业务发展,算法安全架构完整、统一,数据集中、信息共享,控制成本、提高工作效率,利用国家标准规范XX集团公司管理。第九条XX集团公司算法安全工作的目标是:通过建立和完善算法安全的策略体系、组织体系、技术体系和运作体
5、系,保障日常工作的开展和各信息系统与算法的连续正常稳定运行,维护信息系统与算法的数据安全,促进XX集团公司信息化工作健康发展。算法安全管理策略第一章总则第一条本策略为XX集团公司各项算法安全工作提供依据和指导。第二条XX集团公司算法安全工作由智能创新与信息安全领导小组牵头,AI创新研究院安全部具体组织,各部门分块负责,全员参与,专人管理。第三条XX集团公司算法安全工作以风险管理为基础,在安全、效率和成本之间始终坚持“安全第一”的原则。第二章算法安全组织及职责第四条XX集团公司AI创新与信息安全领导小组(一)统筹领导XX集团公司算法安全工作,指导AI创新研究院安全部负责的重大的算法安全工作;(二
6、)审查和核准算法安全策略及制度;(三)审核批准重大的算法安全活动;(四)审核批准对算法安全事故的处置意见。第五条AI创新研究院安全部(一) 负责组织公司算法安全工作;(二) 负责制定公司算法安全管理制度、技术规定、应急预案等,并督促执行;(三) 负责对公司内大模型开发中算法安全的设计、检查和防护,及时处置安全风险;(四) 负责算法安全事故的处置;(五) 负责组织算法安全培训和宣传。第六条算法安全责任XX集团公司其他部门主要负责人是算法安全第一责任人,负责本部门所有与算法安全相关的活动。其他部门算法安全联络员负责配合算法安全相关的检查、管理、上报及其他需协调的工作。第七条AI创新研究院安全部必须
7、与接触XX集团公司敏感信息和核心技术资料的第三方签署保密协议,并与在XX集团公司工作的第三方人员签署个人保密协议。第三章安全风险管理第八条定期对操作系统、数据库系统、网络系统、应用系统等进行漏洞识别与分析,对系统中所存在的高风险漏洞按照流程进行处置。第九条每年至少进行一次全面的风险评估,以确定是否存在新的威胁或薄弱点,并分析是否需要增加新的安全控制措施。第十条当发生以下情况时需及时进行风险评估工作:(一)当发生重大算法安全事件时;(二)当信息系统与算法发生重大变更时;(三)智能创新与信息安全领导小组确定必要时。第十一条针对风险评估结果制定风险控制措施及实施计划。风险整改后,应再次进行评估,以确
8、保风险得到正确规避。第四章资产安全管理第十二条信息资产是指有业务价值的实物或者虚拟的事物。第十三条各部门应识别与信息生命周期有关的资产,形成资产清单,及时更新,并指定资产所有人,资产所有人负责资产的维护与安全,对资产进行安全等级划分。第十四条资产管理(一)对所管理的资产必须明确说明使用、发布、复制、存储、传输、销毁的过程并记录;(二)资产所有人负责信息的授权,资产只能授权给工作必须的人员;(三)信息的获取应该遵照工作需要原则、受控审批的原则,严禁未经批准的私下获取行为;在对外提供任何可能涉及XX集团公司信息的资料、数据、信息之前,不管提供的对象是上级管理部门,还是第三方,都必须事先经过资产所有
9、人的审批许可;(四)未经批准,严禁泄露信息系统与算法的安全控制机制。对外公布的信息必须经过审批,不得在公开媒体上发布、谈论和传播XX集团公司的数据和信息;(五)必须采用XX集团公司批准的销毁方式销毁信息。第五章人员安全管理第十五条聘用条款和保密协议(一)AI创新研究院安全部聘用人员的聘用条款应明确算法安全责任;(二)所有算法安全相关人员需与XX集团公司签订保密协议及岗位责任协议,明确各岗位安全职责。第十六条人员审查(一)对相关信息化供应商以及工作人员应按照相关法律法规和对应的业务要求进行安全资格审查;(二)必须对进入关键岗位的职工进行资格审查和技能考核。第十七条定期组织干部职工以及相关第三方人
10、员学习算法安全知识,进行安全意识、安全态势培训。第十八条人员离职时应及时收回所有涉及XX集团公司业务内容的资料、数据、信息,立即取消所有访问信息系统与算法的权限。第十九条人员调离其他单位,需提交调离申请,经相关领导审批后进行工作交接,并对XX集团公司有关所有信息进行保密,如若发现泄密,需承担相关的法律责任。第六章物理和环境安全第二十条场地安全(一)AI创新研究院安全部应根据国家相关标准以及工作性质划分相应的安全级别,并建立相应的准入控制措施;(二)所有受控区域必须指定算法安全管理责任人。(三)应建立外来人员访问机制,确保只有授权人员才允许进入受控区域。(四)应建立受控区域安全操作规程,需要避免
11、在受控区域进行不受监督的工作。第二十一条设备安全(一)将设备放置到相应级别控制区域;(二)建立防盗、报警、环境监控等保护措施;(三)应保护设备使其免于支持性设施(电、温湿度、通信)失效而引起设备故障。(四)采用专业技术人员对设备进行维护,确保其持续的可用性和完整性。(五)设备、信息或软件在授权之前不宜带出受控区域。第二十二条环境安全(一)办公室环境需满足正常的保密要求。(二)办公室照明需满足目视及摄像头观测照度清晰要求。第七章网络通信安全管理第二十三条通过物理分离、防火墙、上网行为控制设备、VLAN划分进行内外网的物理和逻辑划分,建立网络安全区域,明确安全边界,并进行网络访问行为限制和监控。第
12、二十四条网络设备(一)网络设备的安装、配置、变更、撤销等操作必须经过AI创新研究院安全部相关领导审批;(二)网络的拓扑结构、IP地址等信息未经授权,严禁泄露;(三)网络设备的远程登录操作应限定在指定网段范围内。第二十五条所有与XX集团公司的网络进行连接都需要经过智能创新与信息安全领导小组的批准;所有与XX集团公司外部网络相连的出入口处必须设立防火墙;通过接入服务器接入XX集团公司内部网络时,必须经过认证。与XX集团公司外部网络相连接的系统必须有专人负责管理。第八章操作安全管理第二十六条运作流程(一)必须明确并遵循信息系统与算法运作的变更流程;(二)必须明确并遵循安全问题处理流程;(三)信息系统
13、与算法的生产环境和开发测试环境需要分离;(四)系统的超级管理权限应采取双人控制,互相制衡。第二十七条恶意软件的防护(一)实施恶意软件的监测、预防和恢复的控制措施;(二)XX集团公司的计算机系统都必须安装、运行单位统一部署的防病毒软件,并及时升级。未经批准,不能安装其它的防病毒软件;(三)接收和发布信息时须进行病毒检测;(四)服务器必须实时运行防病毒软件;(五)定期对XX集团公司的联网办公设备进行扫描,及时发现漏洞并修复。第二十八条信息系统与算法管理(一)建立备份策略,按照策略的要求,定期备份和测试信息、软件及系统。(二)对系统操作人员的活动进行日志记录;(三)定期检查和处理系统日志;(四)对一
14、些重要的信息系统与算法进行实时监控;(五)对组织内部的办公设施进行时钟同步;(六)非正版软件不能安装。第九章访问控制第二十九条用户访问管理(一)帐户开户1.根据工作相关性原则并经过审批后为个人分配权限;2.建立帐户开户和销户的闭环流程,控制用户对系统的访问权限;3.含有保密信息的系统禁止建立公用帐户;4.用户的岗位或职责发生变化时,应立即变更或取消相应的访问权限;5.对分配的权限必须记录和进行维护。(二)口令管理1.口令的管理责任人为账户的使用者;2.口令的设置要遵循XX集团公司有关规定。(三)对用户访问权限进行定期检查;(四)用户责任1.用户应采取方式保证口令安全;2.不得共享个人的口令;3
15、.定期更改口令。第三十条操作系统访问控制(一)严格控制操作系统管理员对系统文件和业务数据的操作权限;(二)根据工作相关性原则授予用户相应权限;(三)系统建立的日志必须满足审计要求,系统日志必须安全存放,防止被非授权的访问;(四)必须及时安装系统安全补丁;(五)关闭所有系统不需要的系统服务;(六)服务器的密码文件须加密存放;(七)定期修改用户口令。第三十一条应用系统访问控制(一)根据业务访问控制策略对用户严格授权;(二)严格限制业务人员越过应用程序对后台数据库或操作系统直接访问;(三)建立和维护应用系统的用户权限表;(四)删除所有系统上不使用的帐号。第十章运行维护安全管理第三十二条建立日常维护相关操作规程和规范手册,规范介质管理、账号口令管理、补丁管理、防病毒管理、服务器运行管理等日常运行维护操作。第十一章
