5.3 信息安全风险评估

5.3.1 公司每年组织对信息安全风险重新评估一次，以适应信息资产的变化，确定是否存在新的威胁或薄弱点及是否需要增加新的控制措施。

5.3.2 行政人事部负责组织成立风险评估小组。

5.3.3 风险评估小组组长负责进行信息安全风险评估的策划，风险评估小组按策划进行风险评估。

5.3.4 公司各部门和集团下属单位负责按规定进行风险处理,并定期输出《信息安全风险评估报告》。

5.3.5 当公司发生以下情况时需及时进行风险评估：

    1）当发生重大信息安全事故时；

    2）当信息网络系统发生重大更改时；

3）管理者代表确定有必要时。

5.3.6 与外部公司签订合约时应进行信息安全风险评估。

5.4 信息安全事件报告和协查

5.4.1 对突发安全事件应建立应急预案管理制度和相关操作办法。

5.4.2 加强值班管理及时发现信息，安全事件和隐患。

5.4.3 一旦发现信息安全案事件，应详细、如实记录事件经过，保存相关日志，并形成相应分析报告，并及时通知有关人员，并与公安部门取得联系。

5.5.4 进行网络违法案件及其他信息安全检查时，有关人员必须积极配合。

5.5 知识产权保护

5.5.1 公司从正当渠道获取各类专利、专有技术和正版软件，以保证著作人的版权和知识产权不受侵害。

5.5.2 公司员工应遵守从互联网获得软件和信息的条款规定。

5.5.3 法律、法规和合同约定的要求有限制内容的，公司员工除非得到授权的许可，否则不得复制、转换到另一种格式以提取文件内容，不得整体或部分的复制其文档内容。

5.5.4 公司各部门保留各类专利、专有技术、软件的授权文件（证书）、软件母盘及手册等证明和证据。

5.5.5 公司在授权范围内使用经授权的专利或专有技术，并采取必要的技术和管理手段，尽一切努力保护其所有人的合法权益不受第三方侵害。

5.6 密码安全管理规定

公司所有计算机、（云）服务器、网络交换机等IT设备与信息系统必须按本规定要求设置相关密码。

5.6.1 用户的个人邮箱等办公账号必须按照要求设置初始密码，用户必须在首次使用时更改密码并妥善保管，不得散发或与他人共享。

5.6.2 用户密码的设置不应少于6位，最好包含大小写字母、数字和特殊字符。

5.6.3 信息系统管理员密码长度至少要求6位，必须包含字母、数字与特殊字符。

5.6.4 （云）服务器、防火墙、路由器、交换机、网络负载等重要IT设备的超级管理员密码长度应在10位以上，且必须包含字母、数字与特殊字符。