ISOIEC 38505-1 2017數(shù)據(jù)治理程序文件一整套

日期版本擬制審核數(shù)據(jù)治理管理體系程序文件首次發(fā)布陳文學(xué)黃偉**信息科技有限公司對本文件資料享受著作權(quán)及其它專屬權(quán)得將該等文件資料(其全部或任何部分)披露予任何第三方，或進(jìn) 2范圍 3 34相關(guān)文件 35風(fēng)險管理過程 45.1建立環(huán)境 45.2制定溝通和協(xié)商 56風(fēng)險評估 56.1風(fēng)險評估的準(zhǔn)備 56.2信息資產(chǎn)的識別 56.3資產(chǎn)賦值 66.4判定重要資產(chǎn) 76.5重要資產(chǎn)風(fēng)險評估 86.6風(fēng)險計算 6.7安全風(fēng)險接受準(zhǔn)則 6.8風(fēng)險評估工具 6.9風(fēng)險處理 6.10剩余風(fēng)險評估 6.11數(shù)據(jù)治理風(fēng)險的連續(xù)評估 ISMS程序文件文件編號：ZYWS-ISMS-B-01信息安全風(fēng)險管理程序第3頁共161頁1目的為規(guī)范公司在開展數(shù)據(jù)治理的風(fēng)險識別、評估和處置過程中的工作流程與方法，明確相關(guān)人員職責(zé)，特制定本規(guī)定。2范圍本規(guī)范適用于公司依據(jù)《ISO/IEC38505-1:2017信息技術(shù)·IT治理·數(shù)據(jù)治理第1部分：ISO/IEC38500在數(shù)據(jù)治理中的應(yīng)用》、標(biāo)準(zhǔn)要求對數(shù)據(jù)治理資產(chǎn)進(jìn)行風(fēng)險評估與處置活動的管3職責(zé)3.1管理者代表負(fù)責(zé)牽頭成立數(shù)據(jù)治理風(fēng)險評估小組。3.2風(fēng)險評估小組負(fù)責(zé)編制《數(shù)據(jù)治理風(fēng)險評估計劃》,確認(rèn)評估結(jié)果，形成《數(shù)據(jù)治理風(fēng)險評估報告》。3.3各部門負(fù)責(zé)本部門使用或管理的數(shù)據(jù)治理資產(chǎn)的識別和風(fēng)險評估，并負(fù)責(zé)本部門所涉及的資產(chǎn)的具體安全控制工作。4相關(guān)文件《數(shù)據(jù)治理管理手冊》《商業(yè)秘密管理程序》ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第4頁共161頁5風(fēng)險管理過程通過建立環(huán)境，明確組織目標(biāo)，界定風(fēng)險管理應(yīng)該考慮的外部和內(nèi)部參數(shù)，并設(shè)置風(fēng)險管理過程的范圍和風(fēng)險準(zhǔn)則。根據(jù)各部門對內(nèi)外部環(huán)境的分析，制定出《組織環(huán)境描述》。5.1.1建立外部環(huán)境外部環(huán)境是組織在實(shí)現(xiàn)目標(biāo)過程中所面臨的外界環(huán)境的歷史、現(xiàn)在和未來的各種相關(guān)信息。為保證在制定風(fēng)險準(zhǔn)則時能充分考慮外部利益相關(guān)者的目標(biāo)和關(guān)注點(diǎn)，組織需要了解外部環(huán)境。外部環(huán)境以組織所處的整體環(huán)境為基礎(chǔ)，包括法律和監(jiān)管要求、利益相關(guān)者的訴求和與具體風(fēng)險管理過程相關(guān)的其他方面的信息等。從以下方面識別公司的外部環(huán)境，并形成《外部環(huán)境描述》。(1)國際、國內(nèi)、地區(qū)及當(dāng)?shù)氐恼?、?jīng)濟(jì)、文化、法律、法規(guī)、技術(shù)、金融以及自然環(huán)境和競爭環(huán)境；(2)影響組織目標(biāo)實(shí)現(xiàn)的外部關(guān)鍵因素及其歷史和變化趨勢；(3)外部利益相關(guān)者及其訴求、價值觀、風(fēng)險承受度；外部利益相關(guān)者與組織的關(guān)系等。5.1.2建立內(nèi)部環(huán)境內(nèi)部環(huán)境是組織在實(shí)現(xiàn)目標(biāo)過程中所面臨的內(nèi)在環(huán)境的歷史、現(xiàn)在和未來的各種相關(guān)信息。風(fēng)險管理過程要與組織的文化、經(jīng)營過程和結(jié)構(gòu)相適應(yīng)，包括組織內(nèi)影響其風(fēng)險管理的任何事物。從以下方面識別公司的內(nèi)部環(huán)境，形成《內(nèi)部環(huán)境描述》。(1)治理、組織結(jié)構(gòu)、作用和責(zé)任；(2)方針、目標(biāo)，為實(shí)現(xiàn)方針和目標(biāo)制定的戰(zhàn)略；(3)基于資源和知識理解的能力(如：資金、時間、人員、過程、系統(tǒng)和技術(shù));(4)與內(nèi)部利益相關(guān)方的關(guān)系，內(nèi)部利益相關(guān)者的觀點(diǎn)和價值觀；(5)組織的文化；(6)信息系統(tǒng)、信息流和決策過程；(7)組織所采用的標(biāo)準(zhǔn)、指南和模式；ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第5頁共161頁(8)合同關(guān)系的形式與范圍。5.2.1制定溝通和協(xié)商計劃與內(nèi)部和外部利益相關(guān)者進(jìn)行充分的溝通和協(xié)商，幫助識別內(nèi)外部風(fēng)險，并確保利益相關(guān)者認(rèn)同和支持風(fēng)險處理(應(yīng)對)計劃。風(fēng)險評估小組制定總的風(fēng)險評估計劃，各部門制定與利益相關(guān)者的溝通和協(xié)商計劃，并在此基礎(chǔ)上識別出本部門的所有有關(guān)風(fēng)險。5.2.2適當(dāng)?shù)貛椭鞔_環(huán)境；1)確保利益相關(guān)者的利益被理解和考慮；2)幫助確保風(fēng)險充分地被識別；3)將不同領(lǐng)域的專業(yè)知識一并用于分析風(fēng)險；4)確保在界定風(fēng)險準(zhǔn)則和評定風(fēng)險時，不同的觀點(diǎn)被恰當(dāng)?shù)乜紤]；5)確保認(rèn)同和支持風(fēng)險處理(應(yīng)對)計劃；6)加強(qiáng)在風(fēng)險管理過程中的變更管理；7)制定一個恰當(dāng)?shù)膬?nèi)部和外部溝通和協(xié)商計劃。6風(fēng)險評估6.1.1成立風(fēng)險評估小組管理者代表牽頭成立風(fēng)險評估小組，小組成員應(yīng)包含數(shù)據(jù)治理重要責(zé)任部門的成員。6.1.2制定計劃風(fēng)險評估小組制定《數(shù)據(jù)治理風(fēng)險評估計劃》,下發(fā)各部門。6.2.1本公司的數(shù)據(jù)治理資產(chǎn)范圍包括：1)數(shù)據(jù)：財務(wù)數(shù)據(jù)、項目數(shù)據(jù)、各業(yè)務(wù)系統(tǒng)機(jī)密文件、人力資源機(jī)密文件、普通文件。ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序第6頁共161頁2)軟件：辦公軟件、操作系統(tǒng)、業(yè)務(wù)系統(tǒng)軟件、安全軟件、工具軟件、應(yīng)用軟件。4)硬件：工作站、網(wǎng)絡(luò)設(shè)備、終端、辦公設(shè)備、財務(wù)設(shè)備、存儲設(shè)備。5)人員：高層管理類人員、中層管理類人員、技術(shù)人員、職能人員、財務(wù)人員。6.3.1部門賦值各部門風(fēng)險評估小組成員識別本部門資產(chǎn)，并進(jìn)行資產(chǎn)賦值。6.3.2賦值計算資產(chǎn)賦值的過程是對資產(chǎn)在保密性、完整性、可用性的達(dá)成程度進(jìn)行分析，并在此基礎(chǔ)上得出綜合結(jié)果的過程。根據(jù)資產(chǎn)在保密性上的不同要求，將其分為五個不同的等級，分別對應(yīng)資產(chǎn)在保密性上的應(yīng)達(dá)成的不同程度或者保密性缺失時對整個組織的影響。保密性賦值方法：級別1很低可對社會公開的信息公用的信息處理設(shè)備和系統(tǒng)資源等2低組織/部門內(nèi)公開擴(kuò)散有可能對組織的利益造成輕微損害3中等組織的一般性秘密其泄露會使組織的安全和利益受到損害4高包含組織的重要秘密其泄露會使組織的安全和利益遭受嚴(yán)重?fù)p害5包含組織最重要的秘密關(guān)系未來發(fā)展的前途命運(yùn)，對組織根本利益有著決定性的影響，如果泄露會造成災(zāi)難性的損害根據(jù)資產(chǎn)在完整性上的不同要求，將其分為五個不同的等級，分別對應(yīng)資產(chǎn)在完整性上的達(dá)成的不同程度或者完整性缺失時對整個組織的影響。完整性(I)賦值的方法：級別1很低完整性價值非常低未經(jīng)授權(quán)的修改或破壞對組織造成的影響可以忽略，對業(yè)務(wù)沖2低完整性價值較低微，容易彌補(bǔ)3中等未經(jīng)授權(quán)的修改或破壞會對組織造成影響，對業(yè)務(wù)沖擊明顯4高未經(jīng)授權(quán)的修改或破壞會對組織造成重大影響，對業(yè)務(wù)沖擊嚴(yán)重，較難彌補(bǔ)ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第7頁共161頁5完整性價值非常關(guān)鍵未經(jīng)授權(quán)的修改或破壞會對組織造成重大的或無法接受6.3.5可用性(A)賦值：根據(jù)資產(chǎn)在可用性上的不同要求，將其分為五個不同的等級，分別對應(yīng)資產(chǎn)在可用性上的達(dá)成的不同程度。級別1很低合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間2低可用性價值較低合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間3中等合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間4高合法使用者對信息及信息系統(tǒng)的可用度達(dá)到每天90%以5以上，或系統(tǒng)不允許中斷6.3.6導(dǎo)出《數(shù)據(jù)治理資產(chǎn)清單》按照資產(chǎn)賦值的結(jié)果，經(jīng)過相加法得出重要性值，從而得出重要性等級，資產(chǎn)重要性劃分為5級，級別越高表示資產(chǎn)重要性程度越高。重要性等級說明1不重要0<=值<=32不太重要3<值<=63一般重要6<值<=94重要9<值<=125很重要12<值<=15重要性等級為3,4和5的為重要資產(chǎn)。6.4.1審核確認(rèn)風(fēng)險評估小組對各部門資產(chǎn)識別情況進(jìn)行審核，確保沒有遺漏重要資產(chǎn)，導(dǎo)出《重要數(shù)據(jù)資產(chǎn)識別清單》,報管理者代表確認(rèn)。⑩ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序第8頁共161頁6.5重要資產(chǎn)風(fēng)險評估6.5.1要求6.5.2識別威脅威脅作用形式可以是對信息系統(tǒng)直接或間接的攻擊，例如非授權(quán)的泄露、篡改、刪除等，在保密性、6.5.3識別脆弱性脆弱性是對一個或多個資產(chǎn)弱點(diǎn)的總稱。脆弱性是資產(chǎn)本身存在的，如果沒有相應(yīng)的威脅發(fā)生，6.5.4識別威脅發(fā)生頻率分析威脅發(fā)生頻率1很低幾乎不可能出現(xiàn)的頻率極小(或<=1次/十年);僅可能在非常罕見和例外的情況下發(fā)生2低不太可能出現(xiàn)的頻率較小(或≈1次/兩年);或一般不太可能發(fā)生；ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第9頁共161頁3中可能出現(xiàn)的頻率中等(或≈1次/半年);或在某種情況下可能會4高很可能出現(xiàn)的頻率較高(或≈1次/月);或在大多數(shù)情況下很有可能會發(fā)生；或可以證實(shí)多次發(fā)生過5非?？赡艹霈F(xiàn)的頻率極高(或>=1次/周);或在大多數(shù)情況下幾乎不分析脆弱性被利用率1很低2低3中等脆弱，如果被威脅利用，30%<造成損害4高56.5.5已有安全措施的確認(rèn)應(yīng)對已采取的安全措施的有效性進(jìn)行確認(rèn)，對有效的安全措施繼續(xù)保持，以避免不必要的工作和費(fèi)用，防止安全措施的重復(fù)實(shí)施。對于確認(rèn)為不適當(dāng)?shù)陌踩胧?yīng)核實(shí)是否應(yīng)被取消，或者用更合適的安全措施替代。安全措施可以分為預(yù)防性安全措施和保護(hù)性安全措施兩種。預(yù)防性安全措施可以降低威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，如入侵檢測系統(tǒng)；保護(hù)性安全措施可以減少因安全事件發(fā)生對信息系統(tǒng)造成的影響，如業(yè)務(wù)持續(xù)性計劃。已有安全措施的確認(rèn)與脆弱性識別存在一定的聯(lián)系。一般來說，安全措施的使用將減少脆弱性，但安全措施的確認(rèn)并不需要與脆弱性識別過程那樣具體到每個資產(chǎn)、組件的弱點(diǎn)，而是一類具體措施的集合。已有安全措施一般會通過控制資產(chǎn)的威脅和脆弱性降低資產(chǎn)的固有風(fēng)險，因此需要對威脅程度和脆弱性進(jìn)行打分。⑩ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序第10頁共161頁6.6風(fēng)險計算6.6.1安全事件發(fā)生可能性等級(影響范圍和程度),并對Z的計算值四舍五入取整得到最終結(jié)果。Z=發(fā)生可能性X=威脅發(fā)生頻率Y=脆弱性被利用率1很低出現(xiàn)的頻率極小(或<=1次/十年);僅可能在非常罕見和例外的情況下發(fā)生2低出現(xiàn)的頻率較小(或≈1次/兩年);或一般不太可能發(fā)生；或沒有被證實(shí)3中等出現(xiàn)的頻率中等(或≈1次/半年);或在某種情況下可能會發(fā)生；或被證實(shí)曾經(jīng)發(fā)生過4高出現(xiàn)的頻率較高(或≈1次/月);或在大多數(shù)情況下很有可能會發(fā)生；或5出現(xiàn)的頻率極高(或>=1次/周);或在大多數(shù)情況下幾乎不可避免；或可以證實(shí)經(jīng)常發(fā)生過6.6.2安全事件損失等級z=f(x,y)=√x×y,,并對Z的計算值四舍五入取整得到最終結(jié)果。Z=損失程度X=資產(chǎn)的重要性Y=脆弱性被利用率等級標(biāo)識定義1很低2低3中等4高56.6.3計算風(fēng)險值風(fēng)險值=發(fā)生可能性x損失程度6.6.4風(fēng)險等級ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第11頁共161頁風(fēng)險等級劃分12以上風(fēng)險等級123451一旦發(fā)生造成的影響幾乎不存在，通過簡單的2一般風(fēng)險3高風(fēng)險一旦發(fā)生會造成一定的經(jīng)濟(jì)、社會或生產(chǎn)經(jīng)營影響，但影響面和影響4高風(fēng)險一旦發(fā)生將產(chǎn)生較大的經(jīng)濟(jì)或社會影響，在一定范圍內(nèi)給組織的經(jīng)營512以上高風(fēng)險一旦發(fā)生將產(chǎn)生極大的經(jīng)濟(jì)或社會影響，在很大范圍內(nèi)給組織的經(jīng)營543一般不可接收風(fēng)險2有條件接受的風(fēng)險(需經(jīng)評估小組評審，判斷是否可以接受的風(fēng)險)1不需要評審即可接受的風(fēng)險根據(jù)風(fēng)險等級，等級為3,4、5的為高風(fēng)險，為不可接受的風(fēng)險。導(dǎo)出《數(shù)據(jù)治理風(fēng)險評估匯總表》,報管理者代表批準(zhǔn)。6.8風(fēng)險評估工具主要使用到的風(fēng)險評估工具有：嗅探工具、掃描工具、滲透測試工具集等。ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第12頁共161頁6.9風(fēng)險處理對風(fēng)險應(yīng)進(jìn)行處理。對可接受風(fēng)險，可保持已有的安全措施；如果是不可接受風(fēng)險(高風(fēng)險),則需要采取安全措施以降低、控制風(fēng)險。對不可接受風(fēng)險，應(yīng)采取新的風(fēng)險處理的措施，規(guī)定風(fēng)險處理方式、責(zé)任部門和時間進(jìn)度，高風(fēng)險應(yīng)得到優(yōu)先的考慮。風(fēng)險處理方式說明現(xiàn)有控制措施完全可以應(yīng)付或防止此風(fēng)險的控制現(xiàn)有控制措施不足或沒有控制措施，必須制作重新相控制現(xiàn)有風(fēng)險所花費(fèi)的成本過高、超出公司隨范圍且風(fēng)險發(fā)生公司放棄可能涉及此風(fēng)險的行為，以保證風(fēng)險不會發(fā)生轉(zhuǎn)移將風(fēng)險轉(zhuǎn)嫁至其他公司或第三方人員身上，公司內(nèi)部不再對此風(fēng)6.9.1計劃導(dǎo)出《數(shù)據(jù)治理風(fēng)險處置計劃》。6.9.2報告風(fēng)險評估小組導(dǎo)出《數(shù)據(jù)治理風(fēng)險評估報告》,陳述數(shù)據(jù)治理管理現(xiàn)狀，分析存在的數(shù)據(jù)治理風(fēng)險，提出數(shù)據(jù)治理管理(控制)的建議與措施，提交總經(jīng)辦進(jìn)行審核?？偨?jīng)辦考慮成本與風(fēng)險的關(guān)系，對《數(shù)據(jù)治理風(fēng)險評估報告》及《數(shù)據(jù)治理風(fēng)險處置計劃》的相關(guān)內(nèi)容審核，對認(rèn)為不合適的控制或風(fēng)險處理方式等提出說明，由風(fēng)險評估小組協(xié)同相關(guān)部門重新考慮總經(jīng)辦的意見，選擇其他的控制或風(fēng)險處理方式，并重新提交總經(jīng)辦審核，由管理者代表批準(zhǔn)實(shí)施。各責(zé)任部門按照批準(zhǔn)后的《數(shù)據(jù)治理風(fēng)險處置計劃》的要求采取有效安全控制措施，確保所采取的控制措施是有效的。ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第13頁共161頁對采取安全措施處理后的風(fēng)險，總經(jīng)辦應(yīng)進(jìn)行再評估，以判斷實(shí)施安全措施后的殘余風(fēng)險是否已經(jīng)降低到可接受的水平。6.10.2再處理某些風(fēng)險可能在選擇了適當(dāng)?shù)陌踩胧┖笕蕴幱诓豢山邮艿娘L(fēng)險范圍內(nèi)，應(yīng)考慮是否接受此風(fēng)險或進(jìn)一步增加相應(yīng)的安全措施。剩余風(fēng)險評估完成后，導(dǎo)出《數(shù)據(jù)治理剩余風(fēng)險評估報告》,報管理者代表批準(zhǔn)。6.11數(shù)據(jù)治理風(fēng)險的連續(xù)評估總經(jīng)辦每年應(yīng)組織對數(shù)據(jù)治理風(fēng)險重新評估一次，以適應(yīng)信息資產(chǎn)的變化，確定是否存在新的威脅或脆弱性及是否需要增加新的控制措施。6.11.2非定期評估當(dāng)發(fā)生以下情況時需及時進(jìn)行風(fēng)險評估：a)當(dāng)發(fā)生重大數(shù)據(jù)治理事故時；b)當(dāng)信息網(wǎng)絡(luò)系統(tǒng)發(fā)生重大更改時；c)總經(jīng)辦確定有必要時。6.11.3更新資產(chǎn)各部門對新增加、轉(zhuǎn)移的或授權(quán)銷毀的資產(chǎn)應(yīng)及時更新資產(chǎn)清單。6.11.4調(diào)整控制措施總經(jīng)辦應(yīng)分析信息資產(chǎn)的風(fēng)險變化情況，以便根據(jù)企業(yè)的資金和技術(shù)，確定、增加或調(diào)整適當(dāng)?shù)臄?shù)據(jù)治理控制措施。ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第14頁共161頁7記錄《數(shù)據(jù)治理風(fēng)險評估計劃》《數(shù)據(jù)資產(chǎn)識別清單》《重要數(shù)據(jù)資產(chǎn)識別清單》《數(shù)據(jù)治理風(fēng)險評估匯總表》《數(shù)據(jù)治理風(fēng)險處置計劃》《數(shù)據(jù)治理風(fēng)險評估報告》《數(shù)據(jù)治理剩余風(fēng)險評估報告》日期擬制審核陳文學(xué)黃偉⑩ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第15頁共161頁**信息科技有限公司對本文件資料享受著作權(quán)及其它專屬權(quán)利，未經(jīng)文件資料(其全部或任何部分)披露予任何第三方，或進(jìn)行目錄 2范圍 3職責(zé) 4相關(guān)文件 5程序 6記錄 ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第16頁共161頁為了對數(shù)據(jù)治理管理文件的編制、審核、批準(zhǔn)、標(biāo)識、發(fā)放、管理、使用、評審、更改、修訂、作廢等過程的實(shí)施有效控制，特制定本程序。2范圍本程序適用于文件管理。負(fù)責(zé)審定數(shù)據(jù)治理管理文件，負(fù)責(zé)批準(zhǔn)數(shù)據(jù)治理程序文件和作業(yè)文件。負(fù)責(zé)批準(zhǔn)數(shù)據(jù)治理管理文件的制訂、修訂計劃，負(fù)責(zé)批準(zhǔn)《數(shù)據(jù)治理管理手冊》(含數(shù)據(jù)治理方針)和《數(shù)據(jù)治理適用性聲明》3.2數(shù)據(jù)治理小組d)負(fù)責(zé)數(shù)據(jù)治理管理文件的歸口管理。e)負(fù)責(zé)組織數(shù)據(jù)治理管理文件的制訂、修訂和評審等管理工作。f)負(fù)責(zé)數(shù)據(jù)治理管理文件的標(biāo)識、作廢、回收等日常工作。4相關(guān)文件《數(shù)據(jù)治理管理手冊》《數(shù)據(jù)治理適用性聲明》《商業(yè)秘密管理程序》《數(shù)據(jù)治理法律法規(guī)管理程序》⑩ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第17頁共161頁a)《數(shù)據(jù)治理管理手冊》(含數(shù)據(jù)治理方針、方針文件、目標(biāo)文件、數(shù)據(jù)治理適用性聲明);5.2文件編制和修訂a)相關(guān)的法律法規(guī)要求，國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、地方標(biāo)準(zhǔn)的要求，b)對客戶和其他相關(guān)方的合同和承諾，客戶與其他相關(guān)方的需求和期望方面的信息。e)內(nèi)容應(yīng)與組織的實(shí)際情況相適應(yīng)，并b)技術(shù)標(biāo)準(zhǔn)由相關(guān)綜合部門負(fù)責(zé)，各相關(guān)部門參與。ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第18頁共161頁5.3文件審批數(shù)據(jù)治理管理文件發(fā)布前須經(jīng)審批。數(shù)據(jù)治理管理文件的審批權(quán)限如下：a)《數(shù)據(jù)治理管理手冊》(含數(shù)據(jù)治理方針、方針文件、目標(biāo)文件、數(shù)據(jù)治理適用性聲明)由管理者代表批準(zhǔn)發(fā)布。b)數(shù)據(jù)治理程序文件和作業(yè)文件由職能部門組織審核，綜合部審核，管理者代表批準(zhǔn)發(fā)布。c)策劃的管理方案由職能部門組織審核，綜合部審核，管理者代表批準(zhǔn)發(fā)布。d)其他管理、技術(shù)作業(yè)和相關(guān)支持性文件由歸口管理部門負(fù)責(zé)審核，部門負(fù)責(zé)人審核批準(zhǔn)。5.4文件標(biāo)識為確保在使用處獲得適用文件的有效版本，文件均要有明確的標(biāo)識，包括文件編號、版本號、分發(fā)號、發(fā)布和實(shí)施日期等。數(shù)據(jù)治理管理文件編號規(guī)則如下：HYK-GDMS-A-01《數(shù)據(jù)治理管理手冊》HYK-GDMS-B-XX數(shù)據(jù)治理程序文件(含QMS共用文件)HYK-GDMS-C-XX作業(yè)文件、策略HYK-GDMS-B-XX-XXX記錄表單涉密文件應(yīng)按《商業(yè)秘密管理程序》的規(guī)定分類并標(biāo)識。5.5文件發(fā)放文件審批后，數(shù)據(jù)治理小組登記并制定《數(shù)據(jù)治理文件一覽表》和《文件發(fā)放/回收一覽表》,按《文件發(fā)放/回收一覽表》規(guī)定的范圍進(jìn)行發(fā)放。文件發(fā)放時，數(shù)據(jù)治理小組應(yīng)在文件第一頁注明發(fā)放部門和發(fā)布日期。并標(biāo)上“受控”標(biāo)識。所發(fā)放使用的數(shù)據(jù)治理管理體系文件均為受控文件，各文件使用部門嚴(yán)格保管，不得外借和復(fù)制，并保持文件清晰、易于識別。5.6文件的更改及版本管理當(dāng)文件的當(dāng)前內(nèi)容和實(shí)施動作不一致時，綜合部提出更改文件要求，由文件對口部門和綜合部人員說明原因，填寫《文件修改通知單》,經(jīng)原審批部門批準(zhǔn)后，由文件歸口管理部門進(jìn)行修改。ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第19頁共161頁版本號規(guī)定：初次發(fā)布的文件，版本號以A/0作為標(biāo)識，當(dāng)文件發(fā)生修改時，版本號以下列方式進(jìn)行編制：a)修改內(nèi)容不超過20%時，版本號以A/1位依次遞進(jìn)，例：A/1;A/2……A/9;A/10;A/11以此類推；文件按文件修改通知單上的內(nèi)容進(jìn)行修改，并更新變更記錄，變更后由數(shù)據(jù)治理組長進(jìn)行審核，管理者代表批準(zhǔn)，確保所有文件更改到位。對已經(jīng)過期，不適用本組織業(yè)務(wù)程序的文檔，要進(jìn)行“報廢”處理；針對電子檔文件需在首頁打上“報廢”水印，在變更履歷中注明“報廢”原因；針對紙質(zhì)文件，蓋上“作廢”章。5.7文件的評審當(dāng)出現(xiàn)以下情況，綜合部應(yīng)組織對文件進(jìn)行評審、必要時予以更新并再次批準(zhǔn)：a)數(shù)據(jù)治理管理體系結(jié)構(gòu)發(fā)生重大變化時；b)數(shù)據(jù)治理管理體系標(biāo)準(zhǔn)發(fā)生重大變化時；c)組織結(jié)構(gòu)發(fā)生重大變化時；d)數(shù)據(jù)治理活動、流程發(fā)生重大變化時。5.8外來文件的控制組織的外來文件包括與運(yùn)行維護(hù)有關(guān)的國家、地方、行業(yè)的法律、法規(guī)、部門規(guī)章、標(biāo)準(zhǔn)，體現(xiàn)客戶有關(guān)要求的文件等。組織的外來文件由文件接收負(fù)責(zé)登記在《外來文件清單》上，《外來文件清單》應(yīng)注明分布部門，以供使用者查閱。對外來法律法規(guī)文件，按《數(shù)據(jù)治理法律法規(guī)管理程序》控制。各部門對受控中的外來文件進(jìn)行編號管理，以便于查看。若受控文件已不在適合本組織時，可對文件進(jìn)行“回收”處理，判定文件是否可被銷毀，可以在數(shù)據(jù)治理內(nèi)部審核或管理評審時提出，由綜合部成員表決，管理者代表批準(zhǔn)。如果文件被批準(zhǔn)銷毀，綜合部成員需重新修改《數(shù)據(jù)治理文件一覽表》、并將最新信息登記到《文件發(fā)放/回收一覽表》。電子文件可以仍然保存在服務(wù)器中，但名稱中要加入“作廢”標(biāo)記；同時，文件的“受控”標(biāo)識也要改為“作廢”標(biāo)識?！稊?shù)據(jù)治理文件一覽表》《文件發(fā)放/回收一覽表》**信息科技有限公司ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第20頁共161頁《外來文件清單》日期擬制審核數(shù)據(jù)治理管理體系程序文件首次發(fā)布陳文學(xué)黃偉**信息科技有限公司對本文件資料享受著作權(quán)及其它專屬權(quán)利，未經(jīng)⑩ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第21頁共161頁文件資料(其全部或任何部分)披露予任何第三方，或進(jìn)行 21 222范圍 223職責(zé) 22 225程序 6記錄 ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第22頁共161頁為確保對數(shù)據(jù)治理記錄的標(biāo)識、貯存、保護(hù)、檢索、保存期限和處置實(shí)施有效管理，特制定本程序。2范圍本程序適用于本組織證實(shí)數(shù)據(jù)治理管理體系符合要求和有效運(yùn)行的記錄管理。數(shù)據(jù)治理小組負(fù)責(zé)數(shù)據(jù)治理的管理。各部門負(fù)責(zé)本部門的記錄文件的日常管理。4相關(guān)文件《數(shù)據(jù)治理管理手冊》《數(shù)據(jù)治理管理文件標(biāo)識規(guī)范》《商業(yè)秘密管理程序》《重要信息備份管理程序》《數(shù)據(jù)治理記錄分類與保存期限清單》5程序記錄文件的標(biāo)識按《數(shù)據(jù)治理管理文件標(biāo)識規(guī)范》進(jìn)行。數(shù)據(jù)治理記錄應(yīng)有追溯標(biāo)識(如流水號),追溯標(biāo)識由各職能部門確定。ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第23頁共161頁記錄的密級分類按《商業(yè)秘密管理程序》規(guī)定進(jìn)行，涉密信息應(yīng)將密級標(biāo)識在記錄上。5.2記錄的保管紙質(zhì)記錄由各保管部門按規(guī)定存放于文件夾/文件柜中，電子記錄由各保管部門以電子檔的形式保存在服務(wù)器上。以電子媒體保管的場合，為預(yù)防意外，需做適當(dāng)?shù)膫浞?。備份的安全要求?zhí)行《重要信息備份管理程記錄保管部門應(yīng)建立《數(shù)據(jù)治理記錄一覽表》,明確規(guī)定保管記錄類別、記錄保存期限等。記錄的保存應(yīng)符合有關(guān)法律法規(guī)的要求。給外部的文件應(yīng)建立《文件交接登記表》,由接收人簽字確認(rèn)。5.3記錄的查閱因工作需要，借閱其他部門的秘密記錄，應(yīng)獲得記錄保管部門經(jīng)理授權(quán)后方可借閱，并填寫《記錄借閱登記表》,留下授權(quán)記錄。借閱者在借閱期內(nèi)不得改動記錄，借閱完畢后，保管部門經(jīng)理刪除其訪問閱讀權(quán)限。ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第24頁共161頁5.4記錄的銷毀超過保管期限的記錄，應(yīng)填寫《記錄銷毀記錄表》,經(jīng)本部門高管批準(zhǔn)后，由保管部門作為秘密文件處理廢棄?！稊?shù)據(jù)治理記錄一覽表》《記錄借閱登記表》《記錄銷毀記錄表》《文件交接登記表》**信息科技有限公司ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第25頁共161頁日期擬制審核數(shù)據(jù)治理管理體系程序文件首次發(fā)布陳文學(xué)黃偉**信息科技有限公司對本文件資料享受著作權(quán)及其它專屬權(quán)利，未經(jīng)書件資料(其全部或任何部分)披露予任何第三方，或進(jìn)行修改后使用。 262范圍 26 264相關(guān)文件 265程序 266記錄- 28ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第26頁共161頁為消除與數(shù)據(jù)治理管理體系要求不符合的原因，防止其再次發(fā)生，持續(xù)改進(jìn)和數(shù)據(jù)治理管理體系的有效性，特制定本程序。2范圍本程序適用于消除數(shù)據(jù)治理管理體系不符合原因所采取的糾正預(yù)防措施的管理。負(fù)責(zé)歸口管理糾正措施實(shí)施，組織相關(guān)部門制定預(yù)防糾正措施，并負(fù)責(zé)跟蹤驗證。負(fù)責(zé)收集和分析信息系統(tǒng)方面的事件和異常情況，確定潛在不符合原因，采取預(yù)防措施。負(fù)責(zé)信息系統(tǒng)方面糾正措施的制定與實(shí)施。4相關(guān)文件《數(shù)據(jù)治理管理手冊》《文件控制程序》5程序g)組織內(nèi)、外部審核中發(fā)現(xiàn)的問題；h)日常數(shù)據(jù)治理管理檢查、監(jiān)控及技術(shù)檢查中指出的不符合項；ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第27頁共161頁5.2不符合項分析各部門對本部門產(chǎn)生的不符合，應(yīng)分析產(chǎn)生5.3糾正預(yù)防措施采取糾正預(yù)防措施應(yīng)與問題的影響程度相適應(yīng)，對于信息系統(tǒng)發(fā)現(xiàn)報告的重大安全隱綜合部應(yīng)組織有關(guān)部門進(jìn)行原因分析，采取預(yù)防措施，對于以下情況的不符合應(yīng)采對于信息系統(tǒng)的重大事件，綜合部應(yīng)進(jìn)行原因分析，采取糾正預(yù)防措施，以下事件屬于重大事件范需制定糾正預(yù)防措施時，應(yīng)將不符合原因填入《不符合項報告及糾正預(yù)防報告單》,制定糾正預(yù)防措施對策，經(jīng)綜合部批準(zhǔn)后予以實(shí)施。5.6糾正措施結(jié)果記錄ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第28頁共161頁5.7驗證綜合部對糾正預(yù)防措施實(shí)施結(jié)果進(jìn)行驗證，并將驗證結(jié)果記錄在《不符合項報告及糾正預(yù)防報告單》5.8相關(guān)文件更改糾正預(yù)防措施需要涉及文件更改的，應(yīng)對文件進(jìn)行評審，按《文件控制程序》更改文件。5.9保管責(zé)任綜合部應(yīng)做好糾正措施相關(guān)記錄的保存。管理評審前，將各部門所采取的糾正措施的有關(guān)情況匯總，提交管理評審。《不符合項報告及糾正預(yù)防報告單》**信息科技有限公司ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第29頁共161頁日期擬制審核數(shù)據(jù)治理管理體系程序文件首次發(fā)布陳文學(xué)黃偉⑩ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第30頁共161頁**信息科技有限公司對本文件資料享受著作權(quán)及其它專屬權(quán)利，未經(jīng)文件資料(其全部或任何部分)披露予任何第三方，或進(jìn)行修改后使用。目錄 2范圍 313職責(zé) 313.1總經(jīng)理 4程序 31 4.2供應(yīng)商選擇 4.3方案的確定和實(shí)施 4.4系統(tǒng)測試和上線運(yùn)行 4.5信息系統(tǒng)交付 4.6系統(tǒng)文件的安全 5滿足客戶要求 6引用文件 7記錄 ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第31頁共161頁為了對公司信息系統(tǒng)項目建設(shè)的策劃、開發(fā)、實(shí)施、檢查等進(jìn)行有效的控制，特制定本程序。2范圍本程序規(guī)定了公司信息系統(tǒng)項目建設(shè)的策劃、開發(fā)、實(shí)施、檢查等控制要求，適用于信息系統(tǒng)開發(fā)建設(shè)的控制。負(fù)責(zé)批準(zhǔn)各種信息系統(tǒng)的建設(shè)項目和建設(shè)方案。負(fù)責(zé)信息系統(tǒng)開發(fā)建設(shè)項目的研發(fā)，研發(fā)過程中控制信息系統(tǒng)開發(fā)建設(shè)項目的數(shù)據(jù)治理和技術(shù)支持。負(fù)責(zé)在業(yè)務(wù)范圍內(nèi)提出信息系統(tǒng)開發(fā)建設(shè)需求提供，進(jìn)行項目驗收和項目質(zhì)量的監(jiān)控等工作。4.1信息系統(tǒng)方案需求分析4.1.1綜合部應(yīng)根據(jù)業(yè)務(wù)的應(yīng)用需求，簡要提出新增信息系統(tǒng)或者現(xiàn)有信息系統(tǒng)更新、升級、由綜合部門完成的《信息系統(tǒng)開發(fā)需求書》。《信息系統(tǒng)開發(fā)需求書》包括以下內(nèi)容：—-功能需求背景：簡單描述系統(tǒng)現(xiàn)狀及項目建設(shè)的必要性?！椖拷ㄔO(shè)目標(biāo)：描述項目建設(shè)或軟件開發(fā)擬達(dá)到的目標(biāo)?！?項目建設(shè)原則：描述項目開發(fā)所依賴的主客觀條件?！?具體功能需求：詳細(xì)描述每一個具體功能需求?！椖窟M(jìn)度要求：列出項目開發(fā)的時間要求4.1.2項目組應(yīng)制定《開發(fā)計劃書》并通過項目干系人審核?！堕_發(fā)計劃書》應(yīng)包括軟硬件結(jié)構(gòu)、軟件性能要求、項目投資估算。并根據(jù)業(yè)務(wù)功能要求及數(shù)據(jù)治理要求，明確規(guī)定信息系統(tǒng)安全控制的要求，考慮整合到信息系統(tǒng)中的自動控制措施和支持人工控制的需要。在對系統(tǒng)驗證時應(yīng)考慮：a)系統(tǒng)的安全特性及對現(xiàn)有系統(tǒng)安全的影響；ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第32頁共161頁b)系統(tǒng)容量的要求；c)由于系統(tǒng)安全的失效或缺失所帶來的業(yè)務(wù)破壞；d)設(shè)計過程中的安全控制要求。4.1.3如果僅是購買產(chǎn)品和軟件，在與供應(yīng)商的合同中應(yīng)提出已經(jīng)識別的安全需求，有經(jīng)過正式的測試說明。當(dāng)產(chǎn)品和軟件的安全功能不能滿足指定的需求時，應(yīng)在購買產(chǎn)品前進(jìn)行風(fēng)險評估和采取相關(guān)的控制措施。如果提供的附加功能引起安全風(fēng)險，應(yīng)對提議的控制結(jié)構(gòu)進(jìn)行評審以決定是否能從增強(qiáng)的功能中獲得利益。4.1.4《開發(fā)計劃書》和《信息系統(tǒng)開發(fā)需求書》應(yīng)報綜合部經(jīng)理批準(zhǔn)。4.2.1綜合部按公司采購管理的要求選擇硬件供應(yīng)商和/或軟件開發(fā)商。4.2.2硬件供應(yīng)商和/或軟件開發(fā)商以及他們提供的產(chǎn)品和服務(wù)的控制按照《供應(yīng)商管理程序》進(jìn)行。4.3方案的確定和實(shí)施4.3.1《開發(fā)計劃書》審批后提交給各項目組。各項目組根據(jù)《信息系統(tǒng)開發(fā)需求書》,負(fù)責(zé)平臺的搭建等一系列環(huán)境準(zhǔn)備工作。4.3.2應(yīng)防止應(yīng)用系統(tǒng)中的信息的錯誤、遺失、未授權(quán)的修改及誤用。在確定《信息系統(tǒng)開發(fā)需求書》時應(yīng)考慮：a)應(yīng)用系統(tǒng)內(nèi)應(yīng)設(shè)計合適的控制措施以確保正確處理。這些控制措施應(yīng)包括對輸入數(shù)據(jù)、內(nèi)部處理和輸出數(shù)據(jù)的驗證；b)識別確保真實(shí)性和保護(hù)消息完整性的要求，必要時采取適當(dāng)?shù)目刂拼胧?；c)使用密碼控制措施來保護(hù)信息，使用密碼時，應(yīng)基于風(fēng)險評估，確定需要的保護(hù)級別，并考慮需要的加密算法的類型、強(qiáng)度和質(zhì)量，并符合《信息系統(tǒng)開發(fā)控制程序》的要求；4.3.4質(zhì)量保證人員應(yīng)監(jiān)督軟件開發(fā)商按合同條款進(jìn)行相關(guān)的開發(fā)或者部署。4.3.5綜合部負(fù)責(zé)信息系統(tǒng)的研發(fā)和實(shí)施。4.3.6如果需要對《開發(fā)計劃書》變更時，項目組應(yīng)提出變更申請，經(jīng)綜合部審核批準(zhǔn)后實(shí)施。4.4系統(tǒng)測試和上線運(yùn)行4.4.1系統(tǒng)正式上線前需進(jìn)行測試，在測試前根據(jù)設(shè)計方案或合同要求等制訂測試驗收方案，在測試驗收過程中詳細(xì)記錄測試驗收結(jié)果。測試應(yīng)按《信息系統(tǒng)開發(fā)需求書上的功能逐項進(jìn)行，從中發(fā)現(xiàn)不滿足用戶需求的問題，確定開發(fā)的軟件是否合格，能否交付使用等。4.4.2測試應(yīng)形成《測試報告》,包括測試計劃、測試用例和測試結(jié)果。綜合部全程參與，應(yīng)注意對應(yīng)用系統(tǒng)輸出的數(shù)據(jù)進(jìn)行認(rèn)真核對，對于關(guān)鍵或重要的輸出數(shù)據(jù)應(yīng)由相應(yīng)的作業(yè)流程所規(guī)定的人員進(jìn)行確認(rèn)。4.4.3需要提供業(yè)務(wù)操作手冊時由綜合部根據(jù)相關(guān)技術(shù)設(shè)計文檔、完成業(yè)務(wù)操作手冊及系統(tǒng)維護(hù)的文檔，并組織對相關(guān)人員進(jìn)行培訓(xùn)。4.4.4系統(tǒng)試運(yùn)行。在軟件安裝在生產(chǎn)環(huán)境之前應(yīng)檢測軟件包中可能存在的惡意代碼。綜合部門在試運(yùn)行期間，應(yīng)將使用中存在的問題及時反饋給綜合部進(jìn)行協(xié)調(diào)修改。試運(yùn)行結(jié)束后，應(yīng)形成正式的《驗收報告》,由公司相關(guān)部門簽字認(rèn)可。ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第33頁共161頁4.4.5正式上線。系統(tǒng)從試運(yùn)行轉(zhuǎn)為正式投入使用，轉(zhuǎn)由綜合部負(fù)責(zé)系統(tǒng)的平穩(wěn)運(yùn)行和維護(hù)，并由綜合部對軟件版本的更新進(jìn)行控制和管理。4.5信息系統(tǒng)交付4.5.1信息系統(tǒng)交付時，應(yīng)根據(jù)用戶需求規(guī)定要求提供軟件源代碼，并審查軟件中可能存在的后門，4.5.2信息系統(tǒng)交付時，應(yīng)制定詳細(xì)的《信息系統(tǒng)交付清單》,并根據(jù)交付清單對所交接的設(shè)備、外4.6系統(tǒng)文件的安全4.6.1在運(yùn)行系統(tǒng)上安裝軟件應(yīng)考慮：d)軟件的舊版本，連同所有需要的信息和參數(shù)、程序、配置細(xì)節(jié)，以及歸檔中保留有數(shù)據(jù)的支4.6.2應(yīng)認(rèn)真地選擇、保護(hù)和控制測試數(shù)據(jù)。應(yīng)避免使用包含個人信息或其它秘密信息的運(yùn)行數(shù)據(jù)庫用于測試。4.6.3不允許任何人以任何方式訪問程序源代碼。4.7變更管理4.7.1變更分類本公司涉及的變更分為以下幾類：a.信息系統(tǒng)網(wǎng)絡(luò)、信息處理設(shè)施的變更。b.操作系統(tǒng)變更。c.應(yīng)用系統(tǒng)變更。4.7.2變更的策劃當(dāng)信息系統(tǒng)需要變更時，應(yīng)先分析其變更原因，公司信息系統(tǒng)變更主要有以下幾個方面：a.IT設(shè)備的維修、升級或更換，按《變更管理程序》進(jìn)行控制。b.操作系統(tǒng)的升級或更換。c.應(yīng)用系統(tǒng)的升級或更換。d.數(shù)據(jù)庫系統(tǒng)升級或更換。在明確變更原因后，綜合部負(fù)責(zé)對變更進(jìn)行策劃，提出變更具體實(shí)施的《變更跟蹤表》,交由綜合部經(jīng)理審批。對于重要設(shè)備和網(wǎng)絡(luò)系統(tǒng)的重大變更，應(yīng)對變更影響進(jìn)行評價：a.變更實(shí)施前，由綜合部及相關(guān)應(yīng)用部門提出變更預(yù)期目的及影響預(yù)測，交總經(jīng)理審核。b.變更實(shí)施后，首先由綜合部對變更的實(shí)際影響進(jìn)行評估，提交總經(jīng)理進(jìn)行影響評估。c.變更實(shí)施后，應(yīng)用部門和用戶對變更產(chǎn)生的影響進(jìn)行評估，并將意見反饋給綜合部。4.7.3變更的實(shí)施變更實(shí)施前，綜合部負(fù)責(zé)將變更的信息傳達(dá)到所有相關(guān)用戶。ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第34頁共161頁軟件版本的升級，應(yīng)同時按《信息系統(tǒng)開發(fā)控制程序》進(jìn)行。應(yīng)當(dāng)由經(jīng)過培訓(xùn)的管理員，根據(jù)授權(quán)來執(zhí)行操作系統(tǒng)軟件、應(yīng)用程序軟件和程序庫的升級或更新。操作系統(tǒng)軟件、應(yīng)用程序軟件和程序庫的升級或更新前，應(yīng)進(jìn)行數(shù)據(jù)備份，包括數(shù)據(jù)、程序和具體配置。變更如果影響業(yè)務(wù)連續(xù)性計劃，應(yīng)對業(yè)務(wù)連續(xù)性計劃做適當(dāng)調(diào)整或改變。在變更過程中，應(yīng)采取措施防止信息泄漏(防止隱蔽通道或特洛伊木馬等)。4.7.4變更不成功的恢復(fù)措施在變更實(shí)施時，需要時刻注意對應(yīng)用系統(tǒng)造成的影響，如影響超出可控范圍，需停止變更，并將系統(tǒng)恢復(fù)到變更前的狀態(tài)。在變更實(shí)施后，由綜合部和各應(yīng)用管理部門及用戶對變更的影響作出測試或評估，確保對業(yè)務(wù)連續(xù)性和安全沒有不利影響。如評估結(jié)果為變更不成功，則應(yīng)啟動變更恢復(fù)措施，將變更還原。4.7.5軟件包的變更軟件包更改時，應(yīng)保留原始軟件，并在完全一樣的復(fù)制軟件上進(jìn)行更改，更改實(shí)施前應(yīng)得到綜合部和應(yīng)用系統(tǒng)主管部門的授權(quán)。項目實(shí)施過程中，可以根據(jù)客戶要求進(jìn)行形成項目實(shí)施記錄文件，但實(shí)施內(nèi)容應(yīng)遵循本控制程序。6引用文件《供應(yīng)商管理規(guī)定》《信息系統(tǒng)開發(fā)控制程序》《變更管理程序》無**信息科技有限公司ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第35頁共161頁日期擬制審核數(shù)據(jù)治理管理體系程序文件首次發(fā)布陳文學(xué)黃偉**信息科技有限公司對本文件資料享受著作權(quán)及其它專屬權(quán)利，未經(jīng)書面許可，不得將該等文件資料(其全部或任何部分)披露予任何第三方，或進(jìn)行ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第36頁共161頁目錄 2范圍 3職責(zé) 3.1數(shù)據(jù)治理小組 3.3其他各部門 4相關(guān)文件 5.1年度內(nèi)審計劃 5.4糾正措施與跟蹤審核 5.5審核報告 405.6外部審核 406記錄 41不符合項報告 41ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第37頁共161頁為明確數(shù)據(jù)治理管理體系內(nèi)審的實(shí)施方法，保證內(nèi)審定期有效地實(shí)施，為管理評審和持續(xù)改進(jìn)提供依據(jù)，確保數(shù)據(jù)治理管理體系的有效運(yùn)行，特制定本程序。2范圍本程序適用于本公司數(shù)據(jù)治理管理體系內(nèi)部審核(簡稱：內(nèi)審)工作的實(shí)施和管理。負(fù)責(zé)制定年度審核計劃與每次的審核計劃，制定內(nèi)審檢查表以供各部門檢查各項活動是否在數(shù)據(jù)治理保障內(nèi)；3.2數(shù)據(jù)治理小組任命內(nèi)部審核小組可以進(jìn)行內(nèi)審；負(fù)責(zé)管理和監(jiān)督內(nèi)審的進(jìn)行與內(nèi)審結(jié)果的確認(rèn)。3.3其他各部門配合內(nèi)部審核小組進(jìn)行內(nèi)審，對內(nèi)審中發(fā)現(xiàn)的問題進(jìn)行整改。4相關(guān)文件《數(shù)據(jù)治理管理手冊》ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第38頁共161頁5.1年度內(nèi)審計劃數(shù)據(jù)治理小組制定年度審核計劃，確認(rèn)當(dāng)年年度的審核的目的范圍，受審部門及受審的時間安排。交由管理代表審批。內(nèi)部審核計劃和方案，應(yīng)該評估審核過程中的風(fēng)險，該審核方案應(yīng)該考慮在執(zhí)行的過程中數(shù)據(jù)治理的風(fēng)險，審計方案應(yīng)該得到管理者批準(zhǔn)。5.2.1內(nèi)審時機(jī)內(nèi)部審核原則上每年進(jìn)行1次，由數(shù)據(jù)治理小組制定《內(nèi)部審核計劃》,經(jīng)管理者代表批準(zhǔn)后實(shí)施；若在非內(nèi)審期內(nèi)發(fā)現(xiàn)特殊情況，如有重要數(shù)據(jù)治理事件發(fā)生，或公司重要業(yè)務(wù)發(fā)生變化，可由綜合部申請增加內(nèi)審的次數(shù)，由管理者代表決定是否進(jìn)行內(nèi)審。每次審核前，由數(shù)據(jù)治理小組組織內(nèi)部審核人員參加數(shù)據(jù)治理審核工作。數(shù)據(jù)治理小組應(yīng)制定《內(nèi)部審核計劃》及《內(nèi)部審核方案》,經(jīng)管理者代表批準(zhǔn)，并由數(shù)據(jù)治理小組通知被審核部門，被審核部門到時應(yīng)選派有關(guān)人員配合審核。資格要求內(nèi)部審核員必須是熟悉本組織業(yè)務(wù)和信息系統(tǒng)情況，參加數(shù)據(jù)治理管理體系內(nèi)部審核員培訓(xùn)并考核合格的本組織人員。內(nèi)部審核員應(yīng)來自于不同的職能部門，審核人員應(yīng)與被審活動無直接責(zé)任，以保持工作的獨(dú)立性。ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第39頁共161頁數(shù)據(jù)治理小組選擇符合內(nèi)部審核條件的人員，派往相關(guān)機(jī)構(gòu)進(jìn)行培訓(xùn)合格后，填寫《內(nèi)部審核員評定表》,由綜合部組織各部門代表評定合格后方可成為內(nèi)部審核員。數(shù)據(jù)治理管理體系內(nèi)部審核員為關(guān)鍵崗位，應(yīng)按《數(shù)據(jù)治理重要崗位評定表》進(jìn)行評定。5.3內(nèi)部審核的實(shí)施內(nèi)部審核員應(yīng)按《內(nèi)部審核計劃》規(guī)定實(shí)施審核，各有關(guān)部門應(yīng)積極配合。對審核中發(fā)現(xiàn)的不符合項，由內(nèi)部審核員開出《不符合項報告及糾正報告單》5.4糾正措施與跟蹤審核所有不符合項應(yīng)由不符合項的責(zé)任部門負(fù)責(zé)按以下要求制定糾正措施并認(rèn)真實(shí)施：o)檢查本部門其他方面和其他各部門是否存在類似情況；p)對所有存在的不符合的問題按有關(guān)規(guī)定改正過來；q)調(diào)查產(chǎn)生該不符合項的原因，填入《不符合項報告及糾正報告單》的"產(chǎn)生不符合項的原因"欄內(nèi)，調(diào)查人要簽字，并寫明日期；r)列明消除不符合項產(chǎn)生原因的措施計劃，并說明具體步驟及完成日期，填入《不符合項報告及糾正報告單》的“糾正措施”欄內(nèi)，經(jīng)部門領(lǐng)導(dǎo)批準(zhǔn)，并寫明日期；s)按制定的糾正措施認(rèn)真實(shí)施，并將實(shí)施結(jié)果記入《不符合項報告及糾正報告單》的“實(shí)施結(jié)果”欄內(nèi)，記錄人要簽字，并寫明日期。內(nèi)部審核員在規(guī)定期限進(jìn)行跟蹤審核，對糾正措施的實(shí)施及有效性進(jìn)行驗證，并將驗證結(jié)果記入《不ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第40頁共161頁5.5審核報告內(nèi)部審核結(jié)束后，審核組長應(yīng)起草《內(nèi)部審核報告》,編制《不符合項報告及糾正報告單分布表》。內(nèi)部審核的結(jié)果應(yīng)作為管理評審輸入的一部分。數(shù)據(jù)治理小組應(yīng)妥善保存評審記錄。5.6外部審核5.6.1外部審核時機(jī)當(dāng)在如下情況下可能會邀請外部機(jī)構(gòu)對公司進(jìn)行審核：1、當(dāng)組織需要對數(shù)據(jù)治理體系進(jìn)行評估審核時2、當(dāng)技術(shù)安全需要時，如研發(fā)的某些重要軟件，需要邀請外部評估機(jī)構(gòu)對系統(tǒng)的安全性做一些安全性方面的評估。1、當(dāng)要開展外部審核時，應(yīng)該制定審核計劃和方案，應(yīng)該評估審核過程中的風(fēng)險，該審核方案應(yīng)該考慮在執(zhí)行的過程中數(shù)據(jù)治理的風(fēng)險，審計方案應(yīng)該得到管理者批準(zhǔn)。2、需要同第三方審核單位簽訂相關(guān)保密協(xié)議。當(dāng)在審計過程中，需要使用某些工具時(如漏洞搜索軟件、黑客軟件等),這些審核工具的使用需要得到限制，除非授權(quán)的專業(yè)人員外，其他人員禁止安裝和使用。ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第41頁共161頁不符合項報告審核組長(成員)任命書內(nèi)部審核員評定表內(nèi)部審核計劃內(nèi)審簽到表內(nèi)審檢查表內(nèi)部審核報告內(nèi)部審核報告發(fā)放記錄日期擬制審核數(shù)據(jù)治理管理體系程序文件首次發(fā)布陳文學(xué)黃偉**信息科技有限公司⑧版權(quán)所有○ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第42頁共161頁**信息科技有限公司對本文件資料享受著作權(quán)及其它專屬權(quán)利，未經(jīng)書件資料(其全部或任何部分)披露予任何第三方，或進(jìn)行修改后使用。 42 43 46記錄- ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第43頁共161頁為確保組織數(shù)據(jù)治理管理體系持續(xù)的適宜性、充分性和有效性，評估組織數(shù)據(jù)治理管理體系改進(jìn)和變更的需要，特制定本程序。2范圍本程序適用于對數(shù)據(jù)治理管理體系中要求進(jìn)行的管理評審的實(shí)施程序的管理。3.1總經(jīng)理主持?jǐn)?shù)據(jù)治理管理體系管理評審。3.2數(shù)據(jù)治理小組負(fù)責(zé)信數(shù)據(jù)治理管理體系管理評審的歸口管理。4相關(guān)文件《數(shù)據(jù)治理管理手冊》《文件控制程序》《記錄控制程序》ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第44頁共161頁5程序管理評審由管理者代表主持，通常每年進(jìn)行一次，一般在內(nèi)部審核后一至兩個月內(nèi)進(jìn)行。當(dāng)遇到下列情況時，可不受的限制，由數(shù)據(jù)治理小組制定計劃，報管理者代表批準(zhǔn)后實(shí)施：t)當(dāng)出現(xiàn)重大數(shù)據(jù)治理事件時；u)當(dāng)數(shù)據(jù)治理管理體系發(fā)生較大變化時；v)當(dāng)客戶要求或外部環(huán)境條件發(fā)生重大變化時；w)內(nèi)部審核、客戶審核或ISO/IEC38505外部審核時，發(fā)現(xiàn)了對全組織有影響，屬數(shù)據(jù)治理管理體系上的重大不符合事項時。管理評審以專題會議的方式進(jìn)行，由管理者代表主持管理評審，評審會議由管理者代表、綜合部、相關(guān)部門負(fù)責(zé)人參加，必要時可吸收對應(yīng)專業(yè)管理人員參加。數(shù)據(jù)治理小組根據(jù)要求組織編制《管理評審計劃》,報管理者代表批準(zhǔn)后，提前一周下發(fā)至各相關(guān)部相關(guān)部門按《管理評審計劃》要求，對照數(shù)據(jù)治理管理體系運(yùn)行情況進(jìn)行自評，按各自職責(zé)做好相關(guān)信息、資料的準(zhǔn)備工作，并將有關(guān)信息、資料于管理評審會議召開前3天提供給綜合部。**信息科技有限公司ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第45頁共161頁評審前1天交綜合部審核。管理評審會議召開前1天，綜合部應(yīng)安排好會議的議程，通過管理者代表批準(zhǔn)后填寫《管理評審?fù)ㄖ獑巍?并發(fā)放至評審計劃要求參加的各相關(guān)部門(人員)。5.2管理評審輸入各相關(guān)部門接到《管理評審計劃》后應(yīng)向綜合部提供如下材料和信息：b)內(nèi)、外部審核結(jié)果和合規(guī)性評價的結(jié)果；c)客戶反饋(客戶滿意度測量結(jié)果、客戶投訴、客戶抱怨、投訴和抱怨的處理結(jié)果);d)改進(jìn)數(shù)據(jù)治理管理體系績效的技術(shù)、產(chǎn)品和程序；i)可能影響數(shù)據(jù)治理管理體系的變更的情況(如：內(nèi)部員工的變化，法律、法規(guī)的變化，組織機(jī)構(gòu)或產(chǎn)品、活動的變化，外部環(huán)境的變化等);j)數(shù)據(jù)治理管理體系變更和改進(jìn)的建議。ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第46頁共161頁5.3管理評審會議數(shù)據(jù)治理小組組織召開管理評審會議，與會人員在《管理評審會議簽到表》上簽到?？偨?jīng)理主持召開管理評審會議，綜合部提交《數(shù)據(jù)治理管理體系運(yùn)行情況報告》,作數(shù)據(jù)治理管理體系運(yùn)行情況的專題報告。全體與會人員根據(jù)綜合部的專題報告，討論并評審數(shù)據(jù)治理管理體系的適宜性、充分性和有效性。管理者代表對管理評審作結(jié)論性評價，提出要求和決策。數(shù)據(jù)治理小組負(fù)責(zé)管理評審現(xiàn)場記錄，形成《管理評審會議記錄》。5.4管理評審輸出數(shù)據(jù)治理小組根據(jù)《管理評審會議記錄》編寫《管理評審報告》?！豆芾碓u審報告》包括以下內(nèi)容：a)管理評審的目的、時間、參加人員及評審內(nèi)容；b)數(shù)據(jù)治理管理體系的適用性、充分性、有效性的綜合評價和需要改進(jìn)的地方；c)方針、目標(biāo)、指標(biāo)適宜性的評價及需要的更改；d)風(fēng)險評估和風(fēng)險處理計劃的更新要求；e)修訂程序和控制措施的需求；f)管理評審確定的改進(jìn)決定和措施、責(zé)任部門和完成日期。ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第47頁共161頁《管理評審報告》經(jīng)數(shù)據(jù)治理小組審核后交管理者代表批準(zhǔn)。數(shù)據(jù)治理小組將經(jīng)過管理者代表批準(zhǔn)的《管理評審報告》以文件形式下發(fā)各部門并存檔。5.5改進(jìn)和驗證根據(jù)《管理評審報告》提出的要求，數(shù)據(jù)治理小組組織各相關(guān)部門制定改進(jìn)措施計劃，并對實(shí)施情況進(jìn)行協(xié)調(diào)、監(jiān)督、檢查。《管理評審報告》要求進(jìn)行文件修改的，由數(shù)據(jù)治理小組按《文件控制程序》執(zhí)行。數(shù)據(jù)治理小組組織相關(guān)職能部門對確定的糾正與預(yù)防改進(jìn)措施的實(shí)施情況進(jìn)行跟蹤檢查，并做好記錄。管理評審資料、文件和記錄按《記錄控制程序》的要求歸檔和保管?！豆芾碓u審計劃》《數(shù)據(jù)治理管理體系運(yùn)行情況報告》《管理評審會議簽到表》《管理評審會議記錄》《管理評審報告》《管理評審改進(jìn)措施實(shí)施計劃》《培訓(xùn)記錄表(管理評審改進(jìn)項)》**信息科技有限公司ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第48頁共161頁日期擬制審核數(shù)據(jù)治理管理體系程序文件首次發(fā)布陳文學(xué)黃偉ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第49頁共161頁**信息科技有限公司對本文件資料享受著作權(quán)及其它專屬權(quán)利，未經(jīng)文件資料(其全部或任何部分)披露予任何第三方，或進(jìn)行修改后使用。目錄 49 2范圍 3職責(zé) 5.2文檔 5.4計算機(jī)硬件設(shè)備 5.5計算機(jī)系統(tǒng)和軟件 5.6重要崗位和人員 5.8無形資產(chǎn) 5.9數(shù)據(jù)資產(chǎn)的密級 ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第50頁共161頁為對組織的各類數(shù)據(jù)進(jìn)行分類管理，防止因不恰當(dāng)使用或泄漏，特制定本程序。2范圍本程序適用于組織業(yè)務(wù)活動中產(chǎn)生的各類數(shù)據(jù)的分類管理。負(fù)責(zé)組織各類數(shù)據(jù)的分類管理。4相關(guān)文件《中華人民共和國保守國家秘密法》《數(shù)據(jù)治理管理手冊》5程序數(shù)據(jù)資產(chǎn)是組織數(shù)據(jù)治理所保護(hù)的有價值的任何事物，以多種形式存在，組織對數(shù)據(jù)資產(chǎn)進(jìn)行科學(xué)識別，以便于進(jìn)行數(shù)據(jù)資產(chǎn)的管理。ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第51頁共161頁組織的數(shù)據(jù)資產(chǎn)包括：硬件、軟件、人員、數(shù)據(jù)。5.2文檔文檔是指涉及組織秘密或機(jī)密的紙質(zhì)的各種文件、記錄、測試數(shù)據(jù)、方案、計劃、報告、合同、會議紀(jì)要等。對涉密文檔應(yīng)進(jìn)行識別，填入《數(shù)據(jù)資產(chǎn)清單》。5.4計算機(jī)硬件設(shè)備計算機(jī)硬件設(shè)備包括個人計算機(jī)、計算機(jī)附件(如打印機(jī)、掃描儀、傳真機(jī)、電話機(jī))和網(wǎng)絡(luò)設(shè)備(如防火墻、服務(wù)器、交換機(jī)等)。5.4.2識別對所有個人計算機(jī)應(yīng)進(jìn)行識別，填入《資產(chǎn)清單》。對計算機(jī)系統(tǒng)和軟件應(yīng)進(jìn)行識別和管理，填入《資產(chǎn)清單》。ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第52頁共161頁5.6重要崗位和人員各部門應(yīng)識別重要崗位，填寫《數(shù)據(jù)治理重要崗位一覽表》。5.6.2人員配備綜合部負(fù)責(zé)為重要崗位配備人員，并將人員信息填入《數(shù)據(jù)治理重要崗位一覽表》。綜合部負(fù)責(zé)識別重要安全區(qū)域，制定控制方案。數(shù)據(jù)治理小組應(yīng)識別組織的專有技術(shù)和專利產(chǎn)權(quán)，編制《專有技術(shù)一覽表》、《專利產(chǎn)權(quán)一覽表》。5.9數(shù)據(jù)資產(chǎn)的密級數(shù)據(jù)資產(chǎn)的密級分為：絕密、機(jī)密、秘密、秘密和一般共5類：a)“絕密”:不可對外公開、若泄露或被篡改會對本組織的生產(chǎn)經(jīng)營造成特別嚴(yán)重?fù)p害的事項；b)“機(jī)密”:是指不可對外公開、若泄露或被篡改會對本組織的業(yè)務(wù)造成嚴(yán)重?fù)p害，或者由于業(yè)務(wù)上的需要僅限有關(guān)人員知道的事項；c)“秘密”:是指不可對外公開、若泄露或被篡改會對本組織的業(yè)務(wù)造成損害，或者由于業(yè)務(wù)上的需要僅限有關(guān)人員知道的事項；d)“秘密”:是指為了日常的業(yè)務(wù)能順利進(jìn)行而向組織內(nèi)部員工公開、但不可向組織以外人員隨意公開的事項；e)“一般”是指可向組織以外人員隨意公開的事項。**信息科技有限公司ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第53頁共161頁無日期擬制審核數(shù)據(jù)治理管理體系程序文件首次發(fā)布陳文學(xué)黃偉ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第54頁共161頁**信息科技有限公司對本文件資料享受著作權(quán)及其它專屬權(quán)利，未經(jīng)書面資料(其全部或任何部分)披露予任何第三方，或進(jìn)行目錄 2范圍 553職責(zé) 3.1公司數(shù)據(jù)治理小組 3.2各相關(guān)部門 4程序 4.1總則 4.2.1公司商業(yè)密級定義 4.2.2商業(yè)密級分類 4.2.3商業(yè)絕密 4.2.4商業(yè)機(jī)密 4.2.5商業(yè)秘密 4.2.6秘密信息(內(nèi)部公開事項) 4.2.8商業(yè)密級評估 4.2.9商業(yè)密級的確定策略 4.3商業(yè)涉密文件的標(biāo)識、制發(fā) 4.4涉密信息(文件資料)的管理 4.5物業(yè)服務(wù)過程的保密管理 4.6會議保密規(guī)定 4.7宣傳報道的保密規(guī)定 4.8通信保密規(guī)定 4.9網(wǎng)站管理 4.10事件處理 60 61 ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第55頁共161頁為了加強(qiáng)公司的數(shù)據(jù)治理管理，提高員工的保密意識，保護(hù)公司的商業(yè)秘密，特制定本程序。2范圍適用于對公司商業(yè)保密管理的所有活動。對國家秘密保密管理按照公司涉及國家秘密的相關(guān)管理制度執(zhí)行。3職責(zé)負(fù)責(zé)公司商業(yè)秘密的管理工作。包括密級的確定，保密措施的檢查及評估等。3.2各相關(guān)部門負(fù)責(zé)本部門商業(yè)秘密的管理工作，負(fù)責(zé)將相關(guān)保密資料的傳閱、收集、整理。4.1總則4.1.1公司商業(yè)秘密屬于公司資產(chǎn)，受法律保護(hù)，公司所有員工均有保密義務(wù)。各部門應(yīng)對工作人員，特別是新參加工作的人員進(jìn)行保密教育。4.1.2數(shù)據(jù)治理小組應(yīng)組織各部門對公司的涉密信息進(jìn)行識別，并進(jìn)行風(fēng)險評估和風(fēng)險管理。4.1.3各部門對外發(fā)送的任何涉密信息，須由本部門領(lǐng)導(dǎo)初審，數(shù)據(jù)治理負(fù)責(zé)領(lǐng)導(dǎo)審核，總經(jīng)理批準(zhǔn)方可外送。ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第56頁共161頁4.2商業(yè)密級的分類4.2.1公司商業(yè)密級定義公司的秘密是指關(guān)系公司發(fā)展和經(jīng)濟(jì)利益，泄露后會給企業(yè)帶來損失，甚至重大損失的有關(guān)事項(信息)。企業(yè)秘密在一定時間內(nèi)僅限一定范圍內(nèi)相關(guān)業(yè)務(wù)人員知悉。4.2.2商業(yè)密級分類公司秘密等級分為商業(yè)絕密信息、商業(yè)機(jī)密信息、商業(yè)秘密信息、秘密信息(內(nèi)部公開事項)四個等級。4.2.3商業(yè)絕密指涉及技術(shù)、商業(yè)等對企業(yè)發(fā)展產(chǎn)生較嚴(yán)重影響的重要秘密，泄露后會使企業(yè)利益遭受嚴(yán)重?fù)p害。商業(yè)絕密級秘密的范圍：1)通過特殊渠道獲得的對企業(yè)經(jīng)營重要影響作用的技術(shù)、商務(wù)資料。2)本公司的自主創(chuàng)新與發(fā)明成果，本公司研究開發(fā)或引進(jìn)開發(fā)的新項目和技術(shù)訣竅等3)尚未公開的或處于保密階段的商業(yè)計劃、市場戰(zhàn)略、重大技改方案、可行性研究報告、項目招標(biāo)標(biāo)底等。4)文件法律中規(guī)定所有屬于絕密的各類文件。4.2.4商業(yè)機(jī)密涉及公司發(fā)展的一般秘密，泄露后會使公司利益遭受一定的損害。商業(yè)機(jī)密級秘密的范圍：1)重要的營銷策略、營銷渠道、重要客戶資料、尚未公開的價格及經(jīng)營信息。2)公司的整體企劃、正式合同和協(xié)議、開發(fā)的軟件文檔、代碼、數(shù)據(jù)及其他資料、重要會議的記錄、物業(yè)服務(wù)過程和品質(zhì)管理的相關(guān)資料。3)還未確定的重要人事調(diào)整和委任狀況、針對于領(lǐng)導(dǎo)層的績效資料。4)公司印章、月份·季度·年度財務(wù)預(yù)算和決算報告以及各財務(wù)、統(tǒng)計報告表、PC密碼、重要ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第57頁共161頁硬盤、磁帶內(nèi)容和保存場所。5)其他涉及影響公司發(fā)展與信譽(yù)形象的重要信息。4.2.5商業(yè)秘密1)本企業(yè)非重要密級產(chǎn)品的生產(chǎn)開發(fā)能力、作業(yè)指導(dǎo)書、控制指標(biāo)、生產(chǎn)成本等各種技術(shù)資料。2)規(guī)定不得外傳的行業(yè)交流資料，統(tǒng)計數(shù)據(jù)等。3)勞資統(tǒng)計報表、人事信息檔案等。4)各部門涉及公司非重要密級技術(shù)、商務(wù)方面的基礎(chǔ)臺帳及統(tǒng)計的報表、數(shù)據(jù)等。5)公司調(diào)查的非法事件及責(zé)任人的狀況和記錄文件。6)綜合部、綜合部的安全保障的措施。7)文件法律中所規(guī)定所有屬于秘密的各類文件。4.2.6秘密信息(內(nèi)部公開事項)為了日常的業(yè)務(wù)能順利進(jìn)行而向公司員工公開、但暫不可向公司以外人員隨意公開的事項。主要1)體系文件及相關(guān)資料等。2)客戶的調(diào)查、市場狀況的預(yù)測。3)各設(shè)備的說明書、設(shè)計書、資料、技術(shù)通知及文件等。4)各檢查表和檢查結(jié)果。5)公司的各管理規(guī)定和通知。6)公司其它僅限于內(nèi)部公開的事項。“一般”是指可向組織以外人員隨意公開的事項4.2.8商業(yè)密級評估對于關(guān)鍵的或顧客有嚴(yán)格保密要求的商業(yè)秘密，經(jīng)過風(fēng)險評估，可設(shè)立商業(yè)絕密等級，商業(yè)絕密等級的標(biāo)識和控制要求，由公司數(shù)據(jù)治理小組制定風(fēng)險控制方案和計劃，按風(fēng)險控制方案和計劃進(jìn)行ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第58頁共161頁管理。誰起草誰定密，部門領(lǐng)導(dǎo)審核，批準(zhǔn)人員把關(guān)。商業(yè)涉密文件一經(jīng)授權(quán)人員批準(zhǔn)，其密級和保密期限即正式生效。起草人員對自己起草的信息需確定密級時，應(yīng)隨時詢問領(lǐng)導(dǎo)。后者對前者的請求應(yīng)及時給予明確的判定。無法判明時，可請示更高一級領(lǐng)導(dǎo)。4.3.1各部門產(chǎn)生的商業(yè)秘密事項應(yīng)按確定的密級和保密期限，做好密級標(biāo)識或加蓋識別印章，秘密信息事項不作標(biāo)識。識別標(biāo)識應(yīng)標(biāo)記在文件首頁左上方。4.3.2商業(yè)秘密解除或變更加蓋解除或變更識別印章，加蓋在秘級印章下方。4.3.3采用電磁等媒體記錄的秘密文件，應(yīng)在其包裝盒上明顯的位置用標(biāo)簽標(biāo)明密級管理分類，使用的印章同上；計算機(jī)中儲存的涉密文件，應(yīng)在文件夾名后加—M后綴，并設(shè)置訪問密碼，文件夾不得共享。4.3.4制作密件過程中形成的草稿、修改稿、電子文件等，凡需要保存的，應(yīng)當(dāng)按正式密件的密級和保密期限管理。不需保存的，必須粉碎銷毀，電子文件應(yīng)刪除。4.3.5公司涉密文件一般不得委托外單位印刷和制作。必需到印刷廠印刷的密級資料，須經(jīng)數(shù)據(jù)治理小組批準(zhǔn)，并在公司專人監(jiān)督下到指定的印刷廠印制，嚴(yán)格控制印刷份數(shù)，并應(yīng)與指定的印刷廠簽署包括保密內(nèi)容的協(xié)議。4.3.6應(yīng)制定《涉密信息識別印章制作方案》,按方案制作涉密信息識別印章。4.4涉密信息(文件資料)的管理4.4.1一般級文件、資料，由發(fā)放部門根據(jù)工作需要，確定發(fā)放范圍。分發(fā)給各部門，有保密級的文件、資料必須登記，落實(shí)到專人管理，妥善保存，限期收回。因工作關(guān)系所獲得的有關(guān)秘密資料，涉及人員應(yīng)妥善保管，個人不得帶到家里和公共場所，不得對外泄密。4.4.2涉密文件、記錄、磁盤、光盤或其它存貯媒體在不用時，應(yīng)放在上鎖的文件柜、保險柜或其它形式的保險家具中，指定專人負(fù)責(zé)該鑰匙的保管。ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第59頁共161頁4.4.3電腦終端應(yīng)按《計算機(jī)管理程序》的規(guī)定保證桌面安全。含有打印機(jī)、復(fù)印機(jī)、傳真機(jī)或其它能夠輸出、復(fù)制或傳輸?shù)男畔⑻幚碓O(shè)施的綜合部或場所在人員不在時，應(yīng)將門上鎖。4.4.4服務(wù)器終端在不用時實(shí)行鎖屏，屏幕保護(hù)程序設(shè)定時間不大于5分鐘。4.4.5在網(wǎng)絡(luò)中(Web服務(wù)器上)供內(nèi)部職工使用的文檔，宜以PDF或WORD保護(hù)文檔形式供企業(yè)內(nèi)部職工查詢。4.4.6因工作需要借閱涉密文件材料的，需填寫《文件借閱登記表》。借閱人應(yīng)妥善保管涉密文件，用后及時歸還。4.4.7對超越保管期限、沒有保存價值的文件材料(包括各部門在工作中形成的文件、記錄),文件由發(fā)放部門負(fù)責(zé)回收，記錄由保管部門匯集，填寫《文件銷毀記錄》,報分管領(lǐng)導(dǎo)批準(zhǔn)后，由兩人以上在指定的場所實(shí)行監(jiān)銷，并做好監(jiān)銷記錄。4.4.8員工在退休、調(diào)離、換崗時必須將全部文檔資料交給本部門負(fù)責(zé)人，不得私自帶走或私自處理。各部門加強(qiáng)本部門內(nèi)信息資產(chǎn)的控制，在員工的文檔資料全部收回后，方可為員工辦理退休、離職、換崗的相關(guān)手續(xù)。4.5.1數(shù)據(jù)服務(wù)過程的涉密信息包括初始階段的信息、中期階段的信息、收尾階段的信息。4.5.2綜合部應(yīng)對數(shù)據(jù)服務(wù)過程的涉密信息進(jìn)行識別，并進(jìn)行風(fēng)險評估和風(fēng)險管理。4.5.3反映顧客要求的文件，應(yīng)為書面文件，并經(jīng)雙方簽署，做好密級標(biāo)識，按本程序妥善保存。4.5.5數(shù)據(jù)服務(wù)過程其他需交付給顧客的文件，應(yīng)按顧客要求的方式交付給顧客。交付前，綜合部應(yīng)填寫《信息系統(tǒng)交付清單》,經(jīng)主管副總經(jīng)理批準(zhǔn)后交付。4.5.6采用電子郵件交付時，應(yīng)按雙方約定進(jìn)行加密。4.6會議保密規(guī)定4.6.1凡牽涉秘密的會議，會議組織人員根據(jù)需要，嚴(yán)格確定出席、列席會議人員。4.6.2任何參會人員不得向外泄露會議內(nèi)容。4.6.3重要秘密內(nèi)容，不印制文件，也不作記錄。4.6.4會議文件要劃定密級，統(tǒng)一編號，按照規(guī)定的范圍印發(fā)和傳達(dá)。會議結(jié)束時，對文件、資料進(jìn)ISMS程序文件文件編號：YAXX-ISMS-B-01信息安全風(fēng)險管理程序版本：A/0第60頁共161頁行清點(diǎn)，應(yīng)收回的要全部收回。4.7宣傳報道的保密規(guī)定4.7.1對外宣傳、投稿、發(fā)表論文以及本公司刊物報道中，不得泄露本公司秘密，在宣傳報道中有可能涉及到本公司的某些機(jī)密時，應(yīng)對報道內(nèi)容進(jìn)行適當(dāng)處理，所有對外宣傳稿件、涉及公司技術(shù)內(nèi)容的發(fā)表論文需經(jīng)公司保密管理小組審核，總經(jīng)理批準(zhǔn)后蓋公司印章方可對外發(fā)布。4.7.2在接待工作中，應(yīng)嚴(yán)格遵守公司的接待規(guī)定，外來人員需訪問公司現(xiàn)場時，填寫《外來人員出入登記表》后，由前臺接待人員聯(lián)系被訪人員，并由前臺接待人員將外來人員帶入指定區(qū)域。遇到需要保密的問題時，應(yīng)主動及時向主管領(lǐng)導(dǎo)請示，防止以參觀為名竊取情報的事情發(fā)生。4.8通信保密規(guī)定4.8.1嚴(yán)禁用普通郵政、明碼電報、普通傳真、普通電話等傳遞涉密事項。公司各部門需發(fā)送涉密文件的，統(tǒng)一由綜合部辦理。4.8.2特別情況下，必須用電話通知時，在用語上要加以注意。一般秘密內(nèi)容如果發(fā)傳真，應(yīng)當(dāng)加密。4.8.3使用電子郵件通信應(yīng)按《電子郵件策略》規(guī)定的公司電子郵箱使用策略執(zhí)行。4.9網(wǎng)站管理4.9.1公司網(wǎng)站由綜合部負(fù)責(zé)維護(hù)其內(nèi)容更新，后臺數(shù)據(jù)的由綜合部負(fù)責(zé)維護(hù)。4.9.2信息的發(fā)布，經(jīng)過主管副總或總經(jīng)理批準(zhǔn)，由綜合部進(jìn)行更新。4.10.1發(fā)現(xiàn)丟失密級文件、資料或泄密，應(yīng)按《數(shù)據(jù)治理事件管理程序》,及時報告數(shù)據(jù)治理負(fù)責(zé)人，并采取必要的補(bǔ)救措施，對當(dāng)事人要教育、批評，嚴(yán)肅處理。4.10.2對員工及相關(guān)方違反公司策略、程序、保密協(xié)議條款，以及泄露秘密的情況視情節(jié)輕重，按《數(shù)據(jù)