GBT22080：2016信息安全管理體系一整套程序文件

2023年05月20日發(fā)布2023年05月20日實(shí)施XXXXXX技術(shù)服務(wù)有限公司受控狀態(tài)：受控修改記錄頁：序號修改原因修改內(nèi)容版本日期修改者審核者 4二、文件管理程序 20五、管理評審程序 25七、人力資源管理程序 27八、信息安全事件管理程序 九、法律法規(guī)管理程序 十一、監(jiān)視和測量管理程序 43十二、用戶訪問管理程序 47十三、物理訪問管理程序 50十四、惡意軟件管理程序 十五、重要信息備份管理程序 57十六、系統(tǒng)獲取、開發(fā)與維護(hù)管理程序 十七、第三方服務(wù)管理程序 十八、事故、事件、薄弱點(diǎn)與故障管理程序 十九、信息安全獎(jiǎng)懲管理程序 根據(jù)國家標(biāo)準(zhǔn)GB/T20984—2007《信本程序適用于本公司信息資產(chǎn)的風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)控制。2.職責(zé)(1)綜合部負(fù)責(zé)制定信息資產(chǎn)評估準(zhǔn)則，確定風(fēng)險(xiǎn)評估方法，經(jīng)總經(jīng)理批準(zhǔn)后實(shí)施。(3)綜合部負(fù)責(zé)對各部門風(fēng)險(xiǎn)評估過程及結(jié)果進(jìn)行評審，并總結(jié)形成風(fēng)險(xiǎn)評估報(bào)告，由本公司總經(jīng)理對風(fēng)險(xiǎn)評估報(bào)告進(jìn)行審批。(4)綜合部負(fù)責(zé)監(jiān)督風(fēng)險(xiǎn)處理計(jì)劃的實(shí)施。3.1風(fēng)險(xiǎn)要素關(guān)系未被滿足降低第5頁共72頁(1)業(yè)務(wù)戰(zhàn)略的實(shí)現(xiàn)對資產(chǎn)具有依賴性，依賴程度越高，要求其風(fēng)險(xiǎn)越??；(2)資產(chǎn)是有價(jià)值的，公司的業(yè)務(wù)戰(zhàn)略對資產(chǎn)的依賴程度越高，資產(chǎn)價(jià)值就越大；(3)風(fēng)險(xiǎn)是由威脅引發(fā)的，資產(chǎn)面臨的威脅越多則風(fēng)險(xiǎn)越大，并可能演變成為安全事件；(4)資產(chǎn)的脆弱性可能暴露資產(chǎn)的價(jià)值，資產(chǎn)具有的脆弱性越多則風(fēng)險(xiǎn)越大；(5)脆弱性是未被滿足的安全需求，威脅利用脆弱性危害資產(chǎn)；(6)風(fēng)險(xiǎn)的存在及對風(fēng)險(xiǎn)的認(rèn)識導(dǎo)出安全需求；(7)安全需求可通過安全措施得以滿足，需要結(jié)合資產(chǎn)價(jià)值考慮實(shí)施成本；(8)安全措施可抵御威脅，降低風(fēng)險(xiǎn)；(9)殘余風(fēng)險(xiǎn)有些是安全措施不當(dāng)或無效，需要加強(qiáng)才可控制的風(fēng)險(xiǎn)；而有些則是在綜合考慮了安全成本與效益后不去控制的風(fēng)險(xiǎn)；(10)殘余風(fēng)險(xiǎn)應(yīng)受到密切監(jiān)視，它可能會在將來誘發(fā)新的安全事件。3.2風(fēng)險(xiǎn)分析原理風(fēng)險(xiǎn)分析中涉及資產(chǎn)、威脅、脆弱性三個(gè)基本要素。風(fēng)險(xiǎn)分析的主要內(nèi)容為：(1)對資產(chǎn)進(jìn)行識別，并對資產(chǎn)的價(jià)值進(jìn)行賦值；(2)對威脅進(jìn)行識別，描述威脅的屬性，并對威脅出現(xiàn)的頻率賦值；(3)對脆弱性進(jìn)行識別，并對具體資產(chǎn)的脆弱性的嚴(yán)重程度賦值；(4)根據(jù)威脅及威脅利用脆弱性的難易程度判斷安全事件發(fā)生的可能性；(5)根據(jù)脆弱性的嚴(yán)重程度及安全事件所作用的資產(chǎn)的價(jià)值計(jì)算安全事件造成的損失；(6)根據(jù)安全事件發(fā)生的可能性以及安全事件出現(xiàn)后的損失，計(jì)算安全事件第6頁共72頁一旦發(fā)生對組織的影響，即風(fēng)險(xiǎn)值。3.3實(shí)施流程評估過程文檔風(fēng)險(xiǎn)分析評估過程文檔否是否接受殘余風(fēng)險(xiǎn)評估過程文檔是風(fēng)險(xiǎn)評估文檔記錄是風(fēng)險(xiǎn)評估實(shí)施流程的詳細(xì)說明如下：3.4風(fēng)險(xiǎn)評估準(zhǔn)備風(fēng)險(xiǎn)評估準(zhǔn)備是整個(gè)風(fēng)險(xiǎn)評估過程有效性的保證。具體內(nèi)容包括：(1)確定風(fēng)險(xiǎn)評估的目標(biāo)：根據(jù)滿足本公司業(yè)務(wù)持續(xù)發(fā)展在安全方面的需要、法律法規(guī)的規(guī)定等內(nèi)容，識別現(xiàn)有信息系統(tǒng)及管理上的不足，以及可能造成的風(fēng)險(xiǎn)大小。(2)確定風(fēng)險(xiǎn)評估的范圍：包括本公司全部的信息及與信息處理相關(guān)的各類資產(chǎn)、管理機(jī)構(gòu)，或某個(gè)獨(dú)立的信息系統(tǒng)、關(guān)鍵業(yè)務(wù)流程、與客戶知識產(chǎn)權(quán)相關(guān)的系統(tǒng)或部門等。(3)確定評估管理與實(shí)施團(tuán)隊(duì)：由綜合部、相關(guān)部門相關(guān)業(yè)務(wù)骨干人員組成風(fēng)險(xiǎn)評估小組。(4)進(jìn)行系統(tǒng)調(diào)研：是確定被評估對象的過程，風(fēng)險(xiǎn)評估小組應(yīng)進(jìn)行充分的系統(tǒng)調(diào)研，為風(fēng)險(xiǎn)評估依據(jù)和方法的選擇、評估內(nèi)容的實(shí)施奠定基礎(chǔ)。第7頁共72頁(5)確定評估依據(jù)和方法：根據(jù)系統(tǒng)調(diào)研結(jié)果，確定評估依據(jù)和評估方法，評估依據(jù)包括(但不僅限于):現(xiàn)有國際、國家、行業(yè)的標(biāo)準(zhǔn)，系統(tǒng)安全保護(hù)等級要求，系統(tǒng)本身的實(shí)時(shí)性或性能要求等。根據(jù)評估依據(jù)來選擇具體的風(fēng)險(xiǎn)計(jì)算方法，使之能夠與本公司環(huán)境和安全要求相適應(yīng)。(6)制定風(fēng)險(xiǎn)評估方案：目的是為后面的風(fēng)險(xiǎn)評估實(shí)施活動(dòng)提供一個(gè)總體計(jì)劃，用于指導(dǎo)實(shí)施方開展后續(xù)工作。包括：團(tuán)隊(duì)組織、工作計(jì)劃、時(shí)間進(jìn)度安排等內(nèi)容。(7)獲得支持：在形成完整的風(fēng)險(xiǎn)評估實(shí)施方案后，經(jīng)總經(jīng)理批準(zhǔn)，對相關(guān)人員進(jìn)行傳達(dá)，并進(jìn)行必要的培訓(xùn)，以明確有關(guān)人員在風(fēng)險(xiǎn)評估中的任務(wù)。3.5資產(chǎn)識別(1)資產(chǎn)分類保密性、完整性和可用性是評價(jià)資產(chǎn)的三個(gè)安全屬性。風(fēng)險(xiǎn)評估中資產(chǎn)的價(jià)值不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來衡量，而是由資產(chǎn)在這三個(gè)安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成時(shí)所造成的影響程度來決定的。安全屬性達(dá)成程度的不同將使資產(chǎn)具有不同的價(jià)值，而資產(chǎn)面臨的威脅、存在的脆弱性、以及已采用的安全措施都將對資產(chǎn)安全屬性的達(dá)成程度產(chǎn)生影響。為此，首先要對本公司的資產(chǎn)進(jìn)行識別。根據(jù)資產(chǎn)的表現(xiàn)形式，將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、服務(wù)、人員等類型，如下表1-1所列：示例數(shù)據(jù)系統(tǒng)軟件：操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、語句包、開發(fā)系統(tǒng)等網(wǎng)絡(luò)設(shè)備：路由器、網(wǎng)關(guān)、交換機(jī)等保障設(shè)備：UPS、變電設(shè)備、空調(diào)、保險(xiǎn)柜、文件安全設(shè)備：防火墻、入侵檢測系統(tǒng)、身份鑒別等網(wǎng)絡(luò)服務(wù)：各種網(wǎng)絡(luò)設(shè)備、設(shè)施提供的網(wǎng)絡(luò)連接服務(wù)務(wù)示例人員掌握重要信息和核心業(yè)務(wù)的人員，如主機(jī)維護(hù)主管、網(wǎng)絡(luò)維護(hù)主管及應(yīng)用項(xiàng)目總經(jīng)理等其它企業(yè)形象、客戶關(guān)系(2)資產(chǎn)賦值1)保密性賦值根據(jù)資產(chǎn)在保密性上的不同要求，將其分為五個(gè)不同的等級，如下表1-2所表1-2資產(chǎn)保密性賦值表賦定義5包含組織最重要的秘密，關(guān)系未來發(fā)展的前途命運(yùn)，對組織根本響，如果泄露會造成災(zāi)難性的損害4高包含組織的重要秘密，其泄露會使組織的安全和3中等組織的一般性秘密，其泄露會使組織的安全和利益受到損害2低僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息，向外擴(kuò)散有可能1很低2)完整性賦值根據(jù)資產(chǎn)在完整性上的不同要求，將其分為五個(gè)不同的等級，如下表1-3所表1-3資產(chǎn)完整性賦值表定義5完整性價(jià)值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會對組織造成響，對業(yè)務(wù)沖擊重大，并可能造成嚴(yán)重的業(yè)務(wù)中斷，難以彌補(bǔ)4高完整性價(jià)值較高，未經(jīng)授權(quán)的修改或破壞會對組織造成重大影響，對業(yè)務(wù)沖擊嚴(yán)3中等完整性價(jià)值中等，未經(jīng)授權(quán)的修改或破壞會對組織造成影響，2低完整性價(jià)值較低，未經(jīng)授權(quán)的修改或破壞會對組織造成輕微影響，對業(yè)務(wù)沖擊輕1很低完整性價(jià)值非常低，未經(jīng)授權(quán)的修改或破壞對組織造成3)可用性賦值根據(jù)資產(chǎn)在可用性上的不同要求，將其分為五個(gè)不同的等級，如下表1-4所表1-4資產(chǎn)可用性賦值表定義5可用性價(jià)值非常高，合法使用者對信息及信息系統(tǒng)的可用度達(dá)到年4高可用性價(jià)值較高，合法使用者對信息及信息系統(tǒng)的可用度達(dá)到每3中等可用性價(jià)值中等，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到70%以第9頁共72頁2低可用性價(jià)值較低，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到25%以1很低可用性價(jià)值可以忽略，合法使用者對信息及信息系統(tǒng)的可用(3)資產(chǎn)重要性等級資產(chǎn)價(jià)值依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級相加得出。根據(jù)資產(chǎn)價(jià)值將資產(chǎn)劃分為五級，如下表1-5所列：資產(chǎn)價(jià)54高3中等比較重要，其安全屬性破壞后可能對組織造成中等程度的損失2低1很低不重要，其安全屬性破壞后對組織造成導(dǎo)很進(jìn)行風(fēng)險(xiǎn)評估。如單項(xiàng)賦值為5即為重要信息資產(chǎn)。3.6威脅識別(1)威脅分類威脅可以通過威脅主體、資源、動(dòng)機(jī)、途徑等多種屬性來描述。造成威脅的因素可分為人為因素和環(huán)境因素。根據(jù)威脅的動(dòng)機(jī)，人為因素又可分為惡意和非惡意兩種。環(huán)境因素包括自然界不可抗的因素和其它物理因素。威脅作用形式可以是對信息系統(tǒng)直接或間接的攻擊，在保密性、完整性和可用性等方面造成損害；也可能是偶發(fā)的、或蓄意的事件。表1-6威脅來源列表斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震、意外事故等環(huán)境危害或自然災(zāi)害，以及軟件、硬件、數(shù)據(jù)人員不滿的或有預(yù)謀的內(nèi)部人員對信息系統(tǒng)進(jìn)行惡意破壞；采用外部人員利用信息系統(tǒng)的脆弱性，對網(wǎng)絡(luò)或系統(tǒng)的以獲取利益或炫耀能力非惡意人員內(nèi)部人員由于缺乏責(zé)任心，或者由于不關(guān)心或不專注，或者沒有遵循規(guī)章制度和操作流程而導(dǎo)致故障或信息損壞；內(nèi)部人員由于缺乏培訓(xùn)、專業(yè)技能不足、不具備崗位技能要求而導(dǎo)致信息系統(tǒng)故障或被攻擊針對上表的威脅來源，根據(jù)其表現(xiàn)形式將威脅分類，如下表1-7所列：第10頁共72頁響的設(shè)備硬件故障、通訊鏈路中斷、系統(tǒng)本身或軟件缺陷等問題設(shè)備硬件故障、傳輸設(shè)備故障、存儲故障、數(shù)據(jù)庫軟件故障、開發(fā)環(huán)境故障等物理環(huán)境影響對信息系統(tǒng)正常運(yùn)行造成影響的物理環(huán)境問題和自然災(zāi)害斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地?zé)o作為或操作失誤作，或無意執(zhí)行了錯(cuò)誤的操作維護(hù)錯(cuò)誤、操作失誤等管理不到位安全管理無法落實(shí)或不到位，行管理制度和策略不完善、管理規(guī)程缺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健故意在計(jì)算機(jī)系統(tǒng)上執(zhí)行惡意病毒、特洛伊木馬、蠕蟲、陷門、間越權(quán)或?yàn)E用的權(quán)限訪問了本來無權(quán)訪問的資源，或者濫用自己的權(quán)限，非授權(quán)訪問網(wǎng)絡(luò)資源、非授權(quán)訪問系統(tǒng)資源、濫用權(quán)限非正常修改系統(tǒng)配網(wǎng)絡(luò)攻擊利用工具和技術(shù)通過網(wǎng)絡(luò)對信息系統(tǒng)進(jìn)行攻擊和入侵網(wǎng)絡(luò)探測和信息采集、漏洞探測、嗅探(帳號、口令、權(quán)限等)、用戶身份偽造和欺騙、用戶或業(yè)務(wù)數(shù)據(jù)的竊取和破壞、系統(tǒng)運(yùn)行的控制和破壞等通過物理的接觸造成對軟件、泄密內(nèi)部信息泄露、外部信息泄露等非法修改信息，破壞信息的完整性使系統(tǒng)的安全性降低或信息不可用篡改網(wǎng)絡(luò)配置信息、篡改系統(tǒng)配置信息、篡改安全配置信息、篡改用戶身不承認(rèn)收到的信息和所作的操作和交易原發(fā)抵賴、接收抵賴、第三方抵賴等(2)威脅賦值判斷威脅出現(xiàn)的頻率是威脅賦值的重要內(nèi)容，在評估中，綜合考慮以下三個(gè)方面，來判斷各種威脅出現(xiàn)的頻率：以往安全事件報(bào)告中出現(xiàn)過的威脅及其頻率的統(tǒng)計(jì)；實(shí)際環(huán)境中通過檢測工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計(jì)；近一兩年來國際組織發(fā)布的對于整個(gè)社會或特定行業(yè)的威脅及其頻率統(tǒng)計(jì)，以及發(fā)布的威脅預(yù)警。定義5威脅出現(xiàn)的頻率很高，在大多數(shù)情況下幾乎不可4高威脅出現(xiàn)的頻率高，在大多數(shù)情況下很有可能會發(fā)生或者可3中等威脅性中等，,在某種情況下可能會發(fā)生或被證實(shí)曾經(jīng)發(fā)生過(每月、曾經(jīng)發(fā)生過)2低威脅性較低，一般不太可能發(fā)生，也沒有被證實(shí)發(fā)生過(每年)1很低威脅性非常低，威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況)3.7脆弱性識別(1)脆弱性識別內(nèi)容行，具體脆弱性識別內(nèi)容如下表1-8所列：表1-8脆弱性識別內(nèi)容表類型象識別內(nèi)容類境從機(jī)房場地、機(jī)房防火、機(jī)房供配電、機(jī)房防靜電、機(jī)房接地與防雷、電磁防護(hù)、通信線路的保護(hù)、機(jī)房區(qū)域防護(hù)、機(jī)房設(shè)備管理等方面進(jìn)行識別網(wǎng)絡(luò)結(jié)構(gòu)略、網(wǎng)絡(luò)設(shè)備安全配置等方面進(jìn)行識別系統(tǒng)軟件從補(bǔ)丁安裝、物理保護(hù)、用戶帳號、口令策略、資源共享、事件審計(jì)、訪問控制、新系統(tǒng)配置、注冊表加固、網(wǎng)方面進(jìn)行識別應(yīng)用系統(tǒng)從審計(jì)機(jī)制、審計(jì)存儲、訪問控制策略、數(shù)據(jù)完整性、通信、鑒別機(jī)制、密碼保護(hù)等方面進(jìn)行識別進(jìn)行識別技術(shù)管理管理類組織管理面進(jìn)行識別第12頁共72頁類型象識別內(nèi)容人員管理動(dòng)、勞動(dòng)合同、崗位職責(zé)、備份機(jī)制等方面進(jìn)行識別信息類數(shù)據(jù)文檔從信息準(zhǔn)確性、及時(shí)性、傳播性、毀損、丟失等方面識別(二)脆弱性賦值定義5脆弱性非常高，如果被威脅利用，將對資產(chǎn)造成完全損害(90%以上)4高脆弱性高，如果被威脅利用，將對資產(chǎn)造成重大損害(70%)3中等脆弱性中等，如果被威脅利用，將對資產(chǎn)造成一般損害(30%)2低脆弱性較低，如果被威脅利用，將對資產(chǎn)造成1很低脆弱性非常低，如果被威脅利用，將對資產(chǎn)造成的損害可以3.8已有安全措施確認(rèn)在識別脆弱性的同時(shí)，對已采取的安全措施的有效性進(jìn)行確認(rèn)，即是否真正地降低了系統(tǒng)的脆弱性，抵御了威脅。對有效的安全措施繼續(xù)保持，而對確認(rèn)為不適當(dāng)?shù)陌踩胧┖藢?shí)是否應(yīng)被取消或?qū)ζ溥M(jìn)行修正，或用更合適的安全措施替代。安全措施可以分為預(yù)防性安全措施和保護(hù)性安全措施兩種。安全措施的使用將減少系統(tǒng)技術(shù)或管理上的脆弱性，為風(fēng)險(xiǎn)處理計(jì)劃的制定提供依據(jù)和參考。3.9風(fēng)險(xiǎn)評估實(shí)施(1)風(fēng)險(xiǎn)計(jì)算在完成了資產(chǎn)識別、威脅識別、脆弱性識別，以及已有安全措施確認(rèn)后，將采用預(yù)定義價(jià)值矩陣法計(jì)算風(fēng)險(xiǎn)數(shù)值，具體如下表1-9所列：第13頁共72頁值12345脆弱性嚴(yán)重度工2345工2345工2345工2345工2345資產(chǎn)等級1工234523456345674567856789223456345674567856789678933456745678567896789789445678567896789789895567896789789899(2)風(fēng)險(xiǎn)結(jié)果判定為實(shí)現(xiàn)對風(fēng)險(xiǎn)的控制與管理，對風(fēng)險(xiǎn)評估的結(jié)果進(jìn)行等級化處理。根據(jù)風(fēng)險(xiǎn)數(shù)值，將風(fēng)險(xiǎn)劃分為五級，如下表1-10所列：5一旦發(fā)生將產(chǎn)生非常嚴(yán)重的經(jīng)濟(jì)或社會影響，如4高一旦發(fā)生將產(chǎn)生較大的經(jīng)濟(jì)或社會影響，在一定3中等一旦發(fā)生會造成一定的經(jīng)濟(jì)、社會或生產(chǎn)經(jīng)營影響，但影響面和影響程度2低一旦發(fā)生造成的影響程度較低，一般僅限于組織1很低一旦發(fā)生造成的影響幾乎不存在，通過簡單的措施就能彌補(bǔ)對于評估為四級、五級的風(fēng)險(xiǎn)，責(zé)任部門應(yīng)制訂《風(fēng)險(xiǎn)處置計(jì)劃》,將選擇的風(fēng)險(xiǎn)處置方法及具體措施記入《信息資產(chǎn)風(fēng)險(xiǎn)評估表》,并向風(fēng)險(xiǎn)評估小組報(bào)告。風(fēng)險(xiǎn)控制措施可以是技術(shù)型的也可以是管理型的，選擇風(fēng)險(xiǎn)控制措施應(yīng)滿足法律法規(guī)要求、合同方要求并考慮本公司成本要求。對于評估為四級、五級的可能需要采取接受風(fēng)險(xiǎn)處置的風(fēng)險(xiǎn)，責(zé)任部門必須提出殘余風(fēng)險(xiǎn)申請，報(bào)告風(fēng)險(xiǎn)評估小組，并最終由總經(jīng)理批準(zhǔn)。評估為三級及以下的風(fēng)險(xiǎn)，直接視為可接受風(fēng)險(xiǎn)，進(jìn)行登記管理。4.3風(fēng)險(xiǎn)控制處置的跟蹤每年責(zé)任部門應(yīng)跟蹤風(fēng)險(xiǎn)處置的結(jié)果并進(jìn)行風(fēng)險(xiǎn)評估，記入《信息資產(chǎn)風(fēng)險(xiǎn)評估表》,并向風(fēng)險(xiǎn)評估小組報(bào)告。對風(fēng)險(xiǎn)評估再次評定為四級、五級的信息資4.4可接受風(fēng)險(xiǎn)(1)滿足法律法規(guī)或者合同方要求；(2)對本公司業(yè)務(wù)持續(xù)性影響較??；4.4.2可接受風(fēng)險(xiǎn)的水平(1)三級及以下風(fēng)險(xiǎn)為可接受風(fēng)險(xiǎn)；(2)在滿足公司信息方針、法律法規(guī)要求、合同方要求的前提下，對被評4.4.3殘余風(fēng)險(xiǎn)的申請與批準(zhǔn)4.5風(fēng)險(xiǎn)評估結(jié)果的運(yùn)用(1)信息安全的目標(biāo)、管理方案、運(yùn)行控制及監(jiān)視測量的實(shí)施和運(yùn)行；(3)保證信息資產(chǎn)安全的設(shè)備、設(shè)施的設(shè)定；(4)內(nèi)外部的審核；(5)風(fēng)險(xiǎn)預(yù)防、控制管理規(guī)定的設(shè)定。4.6變更評估與周期性評審4.7風(fēng)險(xiǎn)評估結(jié)果、風(fēng)險(xiǎn)處置的文件管理(1)各部門根據(jù)《記錄管理程序》要求，管理所屬的風(fēng)險(xiǎn)評估結(jié)果、風(fēng)險(xiǎn)(2)風(fēng)險(xiǎn)評估小組對各部門報(bào)告的《信息資產(chǎn)風(fēng)險(xiǎn)評估表》進(jìn)行匯總，形4.8當(dāng)企業(yè)發(fā)生以下情況時(shí)需及時(shí)進(jìn)行風(fēng)險(xiǎn)評估：(1)當(dāng)發(fā)生重大信息安全事故時(shí)；(2)當(dāng)信息網(wǎng)絡(luò)系統(tǒng)發(fā)生重大更改時(shí)；為對與信息安全管理體系相關(guān)的文件實(shí)施有效3.2管理者代表第16頁共72頁負(fù)責(zé)《信息安全管理手冊》的審核、程序文件的批準(zhǔn)工作。3.3綜合部3.4相關(guān)職能部門負(fù)責(zé)主管業(yè)務(wù)范圍內(nèi)體系文件的編制、修訂等工作。企業(yè)文件：(1)信息安全管理手冊；(2)信息安全適用性聲明等；(4)操作規(guī)程等。外來文件：(1)通信系統(tǒng)發(fā)布的相關(guān)文件(2)發(fā)布的相關(guān)文件(3)相關(guān)聯(lián)系方的文件4.1.2信息安全管理體系文件的標(biāo)識(2)企業(yè)代號一般采用企業(yè)的英文或拼音縮寫來表示，如果企業(yè)有固定的英第17頁共72頁文標(biāo)志應(yīng)優(yōu)先采用；(3)文件版本號用該文件初次形成時(shí)的年代來表示；(4)記錄文件順序號采用遞增的編號方式，如01-02-03;(5)文件應(yīng)按《信息資產(chǎn)密級管理規(guī)定》的規(guī)定分為“企業(yè)秘密、內(nèi)部公開、外部公開”三類?！捌髽I(yè)秘密、內(nèi)部公開”的文件為受控文件。標(biāo)識受控文件采用以下方法：加蓋“受控”章。4.1.3外來文件的標(biāo)識4.2文件的批準(zhǔn)(3)其他文件由管理者代表批準(zhǔn)后實(shí)施。4.3文件的發(fā)放公示。作廢后，有相關(guān)負(fù)責(zé)人/部門(一般為綜合部負(fù)責(zé)人)負(fù)責(zé)回收。4.4文件的更改單》,說明更改原因，由文件資料的原審批人審批。原審批人不在原職時(shí)，應(yīng)由XXXX技術(shù)服務(wù)有限公司版本：A/0(4)文件修訂換版時(shí)可不填寫《文件更改通知單》,但應(yīng)經(jīng)該文件的原批準(zhǔn)(5)作廢的文件由綜合部負(fù)責(zé)人填寫《文件銷毀記錄》,經(jīng)原批準(zhǔn)人批準(zhǔn)后3.2各相關(guān)部門第19頁共72頁4.程序(1)記錄的范圍，包括所有與公司信息安全管理體系有關(guān)的記錄及相關(guān)方(2)綜合部人員根據(jù)程序文件的要求及各部門具體實(shí)施的需要，適當(dāng)考慮(3)記錄的格式由使用部門設(shè)計(jì)，綜合部人員統(tǒng)一審核，對管理內(nèi)容相同(4)記錄的密級分類按《信息資產(chǎn)密級管理規(guī)定》中關(guān)于資產(chǎn)保密級別的(5)記錄的填寫必須實(shí)事求是，字跡清晰，按規(guī)定的份數(shù)及時(shí)傳遞，如發(fā)(8)因工作需要借閱記錄的，借閱部門應(yīng)填寫《記錄借閱登記表》由記錄(9)到期作廢的記錄，由持有部門填寫《記錄銷毀記錄》,綜合部負(fù)責(zé)人(10)采用電子媒體形式的記錄，應(yīng)做好備份，重要記錄要作雙重備份，使錄的時(shí)間精確到“日”,確保記錄日期與實(shí)際發(fā)生日期一致性。電子記錄，要求記錄的時(shí)間精確到“分”,負(fù)責(zé)記錄日志，備份等系統(tǒng)，與其他主機(jī)時(shí)間同步。主機(jī)時(shí)鐘同步，采用同一網(wǎng)絡(luò)時(shí)間服務(wù)器，如等。無法XXXX技術(shù)服務(wù)有限公司版本：A/0《風(fēng)險(xiǎn)評估管理程序》3.2管理者代表3.3內(nèi)審小組第21頁共72頁負(fù)責(zé)信息安全管理體系內(nèi)部審核的管理工作。(1)內(nèi)部審核每年進(jìn)行一次，由內(nèi)審小組制定《年度內(nèi)部審核計(jì)劃》,經(jīng)本(2)每次審核前審核組長應(yīng)制定《內(nèi)部審核計(jì)劃》,經(jīng)本公司總經(jīng)理批準(zhǔn)，提前1-3天通知被審核部門，被審核部門到時(shí)應(yīng)選派有關(guān)人員配合審核。4.2內(nèi)部審核員(1)內(nèi)部審核員必須是熟悉本公司生產(chǎn)經(jīng)營情況，參加內(nèi)部審核員培訓(xùn)并(2)內(nèi)部審核員應(yīng)來自于不同的部門，審核人員應(yīng)與被審活動(dòng)無直接責(zé)任，(3)綜合部人員選擇符合內(nèi)部審核條件的人員填寫《內(nèi)部審核員評定表》,4.3內(nèi)部審核的實(shí)施(1)內(nèi)部審核員應(yīng)按《內(nèi)部審核計(jì)劃》規(guī)定實(shí)施審核，各有關(guān)部門應(yīng)積極(2)對審核中發(fā)現(xiàn)的不符合項(xiàng)，由審核員開出《不符合項(xiàng)報(bào)告》交被審核4.4糾正措施與跟蹤審核(1)所有不符合項(xiàng)應(yīng)由不符合項(xiàng)的責(zé)任部門負(fù)責(zé)按以下要求制定糾正措施①檢查本部門其他方面和其他各部門是否存在類似情況；②對所有存在的不符合的問題按有關(guān)規(guī)定改正過來；原因”欄內(nèi)，調(diào)查人要簽字，并寫明日期；入《不符合項(xiàng)報(bào)告》的“糾正措施”欄內(nèi)，經(jīng)部門領(lǐng)導(dǎo)批準(zhǔn)，并寫明日期；XXXX技術(shù)服務(wù)有限公司版本：A/0(2)內(nèi)審小組安排內(nèi)審員在規(guī)定期限進(jìn)行跟蹤審核，對糾正措施的實(shí)施及4.5審核報(bào)告(1)內(nèi)部審核結(jié)束后，審核組長應(yīng)起草《內(nèi)部審核報(bào)告》,報(bào)總經(jīng)理審核、(2)內(nèi)部審核的結(jié)果應(yīng)作為管理評審輸入的一部分。(3)綜合部人員應(yīng)妥善保存內(nèi)審記錄。信息安全管理體系4.作業(yè)流程第23頁共72頁權(quán)責(zé)部門單管理評審計(jì)劃管理者代表安全管理委員會批準(zhǔn)·管理者代表通知各部門主管管理評審準(zhǔn)管理者代表資料，管理者代表將資料統(tǒng)一匯總管理評審輸入資料管理者代表門管理者代表相關(guān)部門 決議事項(xiàng)執(zhí)管理者代表相關(guān)部門糾正和預(yù)防措效果確認(rèn)N·執(zhí)行：相關(guān)部門文件管理程序 資料處綜合部5.作業(yè)內(nèi)容(1)管理評審委員會由信息安全管理委員會、管理者代表及各部門主管共同組成。(2)管理評審委員會依評審范圍對信息安全管理體系審查，并依《糾正和糾正措施管理程序》執(zhí)行改善事項(xiàng)。(3)管理者代表通過管理評審的進(jìn)行，促使本公司全體員工確實(shí)遵守信息安全管理手冊中相關(guān)作業(yè)程序的規(guī)定。并依據(jù)糾正措施整理相關(guān)績效報(bào)告，呈報(bào)XXXX技術(shù)服務(wù)有限公司版本：A/0信息安全管理委員會。(4)評審頻率：①在體系導(dǎo)入初期的文件試行階段，應(yīng)進(jìn)行臨時(shí)性的管理評審會議，以加強(qiáng)文件審查及信息安全管理體系審核成效核對與改善追蹤。②在體系正式實(shí)施運(yùn)作后，配合《內(nèi)審管理程序》的實(shí)施，每年至少召開一次管理評審會議，兩次間隔時(shí)間不超過12個(gè)月。③如有重大信息安全事故或公司經(jīng)營發(fā)生重大變革，由信息安全管理委員會核準(zhǔn)召開臨時(shí)性的管理評審會議?！耋w系文件重大修改或補(bǔ)充時(shí)；●發(fā)生重大信息安全事故或重要客戶多次投訴、退貨時(shí)。(5)評審事項(xiàng)①信息安全體系運(yùn)作時(shí)，信息安全文件、方針、目標(biāo)的適合性、有效性及充分性的達(dá)成狀況的檢討；②本公司內(nèi)部、外部信息安全審核成效核對和問題點(diǎn)改善追蹤；③重大信息安全異常事件的檢討及可能影響到信息安全管理體系的更改；④客戶反饋事項(xiàng)；⑤上次管理評審后的問題點(diǎn)改善成效確認(rèn)；⑥過程業(yè)績和產(chǎn)品符合性；⑦預(yù)防和糾正措施的狀態(tài)；⑧以往風(fēng)險(xiǎn)評估沒有充分強(qiáng)調(diào)的脆弱性或威脅；⑨信息安全有效性量的結(jié)果；⑩改進(jìn)的建議。(6)決議事項(xiàng)①對信息安全管理體系及其過程有效性的改進(jìn)的決策和措施；②與客戶要求有關(guān)的產(chǎn)品的改進(jìn)的決策和措施；③資源要求。④更新風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)處理計(jì)劃；第25頁共72頁⑤必要時(shí)，修訂影響信息安全的程序和控制措施，以反映可能影響ISMS的內(nèi)外事件，包括以下方面的變化：●業(yè)務(wù)要求；●安全要求；●影響現(xiàn)有業(yè)務(wù)要求的業(yè)務(wù)過程；●法律法規(guī)要求；●合同責(zé)任；●風(fēng)險(xiǎn)等級和(或)風(fēng)險(xiǎn)接受準(zhǔn)則。⑥改進(jìn)測量控制措施有效性的方式。通過消除信息安全事件或潛在信息安全隱患，將信息安全事件、事故降低到最低程度，確保信息安全體系的有效運(yùn)行。本程序適用于信息安全體系運(yùn)行全過程。(1)綜合部是糾正和預(yù)防措施的主控部門，負(fù)責(zé)組織實(shí)施、驗(yàn)證糾正和預(yù)防措施。(1)各責(zé)任部門負(fù)責(zé)制定和實(shí)施糾正和預(yù)防措施。4.管理程序(1)糾正措施的制訂和實(shí)施①綜合部負(fù)責(zé)收集以下的有關(guān)信息，進(jìn)行調(diào)查分析，確定是否采取糾正措施：第26頁共72頁●信息安全體系內(nèi)審及第三方驗(yàn)證的不符合項(xiàng)報(bào)告和管理評審報(bào)告以及日常體系運(yùn)行監(jiān)督檢查的結(jié)果；●顧客意見及處理情況；●實(shí)施監(jiān)督和測量中發(fā)現(xiàn)的問題；●各部門執(zhí)行本公司經(jīng)營生產(chǎn)計(jì)劃中發(fā)現(xiàn)的問題。②網(wǎng)絡(luò)管理員根據(jù)上述信息，對存在的不合格(包括顧客的投訴和意見)進(jìn)行評價(jià)，確定需要采取糾正措施的對象，填寫《不符合項(xiàng)報(bào)告》、《糾正預(yù)防措施通知單》等，下發(fā)責(zé)任部門。③責(zé)任部門接到《不符合項(xiàng)報(bào)告》、《糾正預(yù)防措施通知單》后，應(yīng)分析發(fā)生不合格的原因，針對性地制定糾正措施，3天內(nèi)反饋管理者代表，由責(zé)任部門負(fù)責(zé)人和管理者代表部門負(fù)責(zé)人批準(zhǔn)后進(jìn)行實(shí)施，重大糾正措施由信息安全工作小組進(jìn)行審批。(2)預(yù)防措施的制訂和實(shí)施①綜合部負(fù)責(zé)組織有關(guān)部門，對本程序4.1.1條款規(guī)定的信息進(jìn)行分析，體系運(yùn)行過程中存在的潛在不合格，調(diào)查分析原因，填寫《信息安全薄弱點(diǎn)報(bào)告》。②根據(jù)調(diào)查分析的結(jié)果和需要進(jìn)行改進(jìn)的項(xiàng)目和目標(biāo)，由綜合部確定應(yīng)采取預(yù)防措施的對象，填寫《糾正預(yù)防措施通知單》,下發(fā)責(zé)任部門。③責(zé)任部門接到“糾正和預(yù)防措施通知單”后，應(yīng)分析潛在不合格的原因，針對性地制定預(yù)防措施，3天內(nèi)反饋管理者代表，由責(zé)任部門負(fù)責(zé)人和管理者代表部門負(fù)責(zé)人批準(zhǔn)后進(jìn)行實(shí)施，重大糾正措施由信息安全工作小組進(jìn)行審批。(3)糾正和預(yù)防措施的驗(yàn)證①各部門嚴(yán)格按照制訂的糾正和預(yù)防措施進(jìn)行實(shí)施，消除不合格或潛在不合格的原因。②綜合部負(fù)責(zé)監(jiān)督檢查糾正和預(yù)防措施的實(shí)施，驗(yàn)證糾正措施的完成情況，并對實(shí)施糾正和預(yù)防措施的有效性進(jìn)行評審，對效果不明顯或無效時(shí)，應(yīng)重新進(jìn)行調(diào)查分析，采取新的糾正和預(yù)防措施。③當(dāng)因?qū)嵤┘m正預(yù)防措施需要對有關(guān)的信息安全體系文件進(jìn)行修改時(shí)，由綜合部代表負(fù)責(zé)依據(jù)《文件管理程序》的規(guī)定，進(jìn)行文件的修改。(4)各部門對實(shí)施糾正和預(yù)防措施的結(jié)果，要予以記錄，執(zhí)行《記錄管理程序》。第27頁共72頁《文件管理程序》《記錄管理程序》為了保證對本公司與信息安全有關(guān)的人員進(jìn)行招聘、培訓(xùn)、入離職等方面進(jìn)行有效管理，特制定本程序。適用于與信息安全管理體系有關(guān)的人員的招聘、培訓(xùn)、入離職等活動(dòng)的管理。負(fù)責(zé)招聘制度制定、招聘流程確定，本公司人員招聘、背調(diào)、檔案管理、員工入離職等人力資源方面的管理工作；負(fù)責(zé)本公司部門培訓(xùn)工作。3.2各部門根據(jù)本部門業(yè)務(wù)發(fā)展規(guī)劃，整理招聘需求；配合綜合部對本部門的人員進(jìn)行信息安全方面的培訓(xùn)。XXXX技術(shù)服務(wù)有限公司版本：A/04.1.2招聘程序在一般情況下，參加面試的應(yīng)聘者須填寫《應(yīng)聘登記表》,也可用符合要求的能力素質(zhì)(包括技術(shù)能力)進(jìn)行評估記錄。XXXX技術(shù)服務(wù)有限公司版本：A/0要包括其學(xué)歷、工作經(jīng)歷的真實(shí)性、能力水平和工作表現(xiàn)、個(gè)人品質(zhì)、勞動(dòng)用工合法性等方面的情況。綜合部負(fù)責(zé)本公司員工背調(diào)資料的保管。4.1.3聘用程序(1)錄用報(bào)批流程根據(jù)復(fù)試結(jié)果確定聘用的人選由綜合部上報(bào)公司領(lǐng)導(dǎo)審批。根據(jù)審批結(jié)果與聘用人員聯(lián)系，確定報(bào)到時(shí)間等相關(guān)事宜。(2)報(bào)到手續(xù)新員工報(bào)到當(dāng)日，先到綜合部辦理入職，綜合部做好接待服務(wù)工作。報(bào)到時(shí)需提交下列資料：畢業(yè)證書、社?？ā⑸矸葑C復(fù)印件、離職證明原件等，填寫員工基本信息表，簽訂勞動(dòng)合同和保密協(xié)議、個(gè)人聲明，開通郵箱和釘釘打卡等。新員工在本公司的入職接待服務(wù)工作由綜合部負(fù)責(zé)。(3)試用期對初次聘用的新員工實(shí)行試用期。試用期限按國家有關(guān)規(guī)定執(zhí)行。試用期自報(bào)到之日起計(jì)算。4.1.4關(guān)鍵崗位聘用管理(1)各部門應(yīng)根據(jù)公司業(yè)務(wù)要求，考慮技術(shù)性要求、保密性要求、業(yè)務(wù)依賴程度、可替代性等因素，明確本部門的關(guān)鍵工作崗位及任職要求，由綜合部審核，報(bào)本公司總經(jīng)理批準(zhǔn)。(2)對于關(guān)鍵崗位人員的聘用，一般采用內(nèi)部招聘的方式進(jìn)行(應(yīng)聘人員在本單位工作不少于半年)。(3)對于調(diào)整/提拔到關(guān)鍵崗位的員工，在任職前應(yīng)根據(jù)《員工崗位職責(zé)表》的任職要求，由綜合部負(fù)責(zé)簽署《員工保密協(xié)議書》,《員工保密協(xié)議書》需要每年評審，以便及時(shí)修改《員工保密協(xié)議書》中的條款，使其符合公司現(xiàn)狀。4.2聘用中(1)綜合部是公司人員的管理部門，承擔(dān)管理職責(zé)，保管員工資料。(2)從事被分配信息安全管理體系規(guī)定職責(zé)的所有人員均應(yīng)有能力勝任其工(3)綜合部在公司崗位職責(zé)文件中確定從事信息安全管理體系工作的人員所必要的能力。(4)通過培訓(xùn)確保員工意識到所從事活動(dòng)的相關(guān)性和重要性，以及如何為實(shí)XXXX技術(shù)服務(wù)有限公司版本：A/04.3培訓(xùn)綜合部負(fù)責(zé)制定本公司的《員工年度培訓(xùn)計(jì)劃》,報(bào)本公司總經(jīng)理審批。4.3.2培訓(xùn)形式包括：課程或階段課程(包括研討會、講座等形式)及一些行業(yè)內(nèi)技術(shù)大會。4.3.3培訓(xùn)種類包括：(1)新員工培訓(xùn)(包括信息安全意識、職業(yè)道德培訓(xùn));(3)信息安全教育培訓(xùn)；(5)管理層培訓(xùn)(管理培訓(xùn)和領(lǐng)導(dǎo)力培訓(xùn))。4.4員工調(diào)崗/離職管理②員工所在部門根據(jù)變化調(diào)整，及時(shí)通知公司綜合部終止其訪問權(quán)限。4.4.2員工本人辭職(1)員工本人撰寫辭職申請(需本人親筆簽名)并應(yīng)按規(guī)定提前30天遞交部門負(fù)責(zé)人。簽有保密協(xié)議并在協(xié)議期內(nèi)的員工，應(yīng)提前提交辭職申請，以便脫離所從事的商業(yè)及技術(shù)秘密。(2)部門負(fù)責(zé)人應(yīng)立即進(jìn)行離職訪談，通知公司網(wǎng)管終止其訪問權(quán)限，并將辭職申請報(bào)綜合部。(3)綜合部報(bào)總經(jīng)理審批，審批通過后，通知員工辦理相關(guān)離職手續(xù)。4.4.3調(diào)崗(1)部門內(nèi)的崗位變動(dòng)，由調(diào)崗人員填寫《員工崗位變動(dòng)表》提交給綜合部，關(guān)鍵崗位人員崗位發(fā)生變動(dòng)時(shí)，由所在部門通知公司綜合部終止或授權(quán)其訪問權(quán)(2)部門間的崗位變動(dòng)，由調(diào)崗人員填寫《員工崗位變動(dòng)表》,相關(guān)部門領(lǐng)導(dǎo)簽字完畢，提交綜合部并及時(shí)通知公司網(wǎng)管終止其訪問權(quán)限。4.4.4離職/調(diào)崗手續(xù)(1)如無特殊情況，離職/調(diào)崗手續(xù)須由員工本人親自辦理。(2)離職/調(diào)崗手續(xù)應(yīng)先辦理工作交接，經(jīng)部門負(fù)責(zé)人確認(rèn)工作交接完成以后方可辦理后續(xù)項(xiàng)目。(3)離職/調(diào)崗手續(xù)包括：各種保密文件回收、身份證件退還、原所在辦公室門鎖和辦公桌鑰匙退還、固定資產(chǎn)(軟硬件設(shè)備)退還、財(cái)務(wù)清款、法律事務(wù)清查、工作交接、訪問權(quán)限的收回確認(rèn)。(4)關(guān)鍵崗位人員離職/調(diào)崗前應(yīng)承諾保密義務(wù)，必要時(shí)應(yīng)簽署競業(yè)限制協(xié)(5)離職員工辦理完上述手續(xù)后，將《員工離職交接單》交綜合部審核，審核無誤后由綜合部辦理退工(解除合同證明)、轉(zhuǎn)移社保關(guān)系、退檔等手續(xù)。4.4.5績效考核管理辦法詳見《績效考核管理辦法》。XXXX技術(shù)服務(wù)有限公司版本：A/01.范圍本標(biāo)準(zhǔn)規(guī)定了公司信息安全的事件管理，包括事故分類、薄弱點(diǎn)與故障分類、報(bào)告的途徑、方法與時(shí)限要求、響應(yīng)、事故的調(diào)查處理、防止再發(fā)生的措施。2.適用范圍本標(biāo)準(zhǔn)適用于公司體系覆蓋各部門。3.術(shù)語和定義《信息技術(shù)-安全技術(shù)-信息安全管理體系要求》規(guī)定的術(shù)語適用于本標(biāo)準(zhǔn)。4.職責(zé)和權(quán)限公司網(wǎng)絡(luò)與信息安全工作遵守分級管理、逐級負(fù)責(zé)制度。各部門做好本部門的信息安全工作，共同構(gòu)建信息安全聯(lián)合防護(hù)體系。本公司總經(jīng)理是信息安全最高決策人，負(fù)責(zé)網(wǎng)絡(luò)與信息安全重大事項(xiàng)的決策和協(xié)調(diào)，并對信息安全工作負(fù)責(zé)。XXXX技術(shù)服務(wù)有限公司版本：A/0公司各部門設(shè)立專(兼)職信息安全員崗位。 (兼)職信息安全員應(yīng)及時(shí)識別安全薄弱點(diǎn)及可能的安全威脅，一旦發(fā)現(xiàn)應(yīng)及時(shí)5.2技術(shù)管理建設(shè)(1)通過入侵的方式進(jìn)入到未被授權(quán)訪問的網(wǎng)絡(luò)中，而導(dǎo)致數(shù)據(jù)信息泄漏；(2)發(fā)現(xiàn)有人在不斷強(qiáng)行嘗試登錄系統(tǒng)；(3)在系統(tǒng)日志中發(fā)現(xiàn)非法登錄者；6.1.2信息泄密XXXX技術(shù)服務(wù)有限公司版本：A/06.1.3拒絕服務(wù)(1)正常用戶不能正常訪問服務(wù)器提供的相關(guān)服務(wù)；(2)有不明的進(jìn)程運(yùn)行并占用大量的CPU處理時(shí)間；6.1.4病毒攻擊6.1.5帳號安全6.1.6惡意入侵(1)管理員收到來自其它站點(diǎn)系統(tǒng)管理員的警告信，指出系統(tǒng)可能被威脅；(2)文件的訪問權(quán)限被修改；(3)因安全漏洞導(dǎo)致的系統(tǒng)問題；6.1.7其它的入侵行為。6.2安全事件級別6.2.2信息安全事故6.3薄弱點(diǎn)/事件/事故報(bào)告6.4事件調(diào)查處理與糾正措施薄弱點(diǎn)發(fā)現(xiàn)者填寫《信息安全事件報(bào)告》,提交綜合部，確定是否采用預(yù)防第35頁共72頁門，對事故的原因、類型、損失、責(zé)任進(jìn)行鑒定，對于違反公司信息方針、程序及安全規(guī)章所造成的信息安全事故責(zé)任者予以通報(bào)。事件責(zé)任部門應(yīng)按《糾正與糾正措施管理程序》制定糾正措施并實(shí)施。6.5應(yīng)急與防范(1)應(yīng)建立健全安全事件的防范體系，定期進(jìn)行事件防范演習(xí)，針對薄弱環(huán)節(jié)不斷改進(jìn)完善。(2)應(yīng)制定事件發(fā)生時(shí)的應(yīng)急預(yù)案，以快速、合理、有效地處理事件，減少影響范圍。(3)建立和規(guī)范信息安全事件的發(fā)現(xiàn)、分析、通報(bào)、預(yù)警及處置的工作機(jī)制，實(shí)現(xiàn)統(tǒng)一行動(dòng)，聯(lián)合防護(hù)，確保一旦發(fā)生信息安全事件時(shí)，能夠及時(shí)有效處置，以減少損失、縮小影響范圍。(4)信息安全事件處理總結(jié)與分析①信息安全事件處理完畢后，系統(tǒng)恢復(fù)正常運(yùn)行后，生產(chǎn)部要對整個(gè)事故進(jìn)行分析研究，總結(jié)經(jīng)驗(yàn)教訓(xùn)，并形成安全事件處理報(bào)告。②報(bào)告中應(yīng)詳細(xì)記錄事件的起因、處理過程、建議改進(jìn)的安全方案，造成的直接損失等。③對于安全事故、事件的處理報(bào)告首先應(yīng)上報(bào)總經(jīng)理，由總經(jīng)理審核并反饋相關(guān)意見，最后報(bào)告由綜合部歸檔備案。XXXX技術(shù)服務(wù)有限公司版本：A/0No.調(diào)查與診斷解決與恢復(fù)事故?No.安全信息通報(bào).為確保組織信息安全活動(dòng)符合信息安全管理法律法規(guī)的要求，確保所應(yīng)用的信息安全管理法律法規(guī)和其他要求的適用性，特制定本程序。第37頁共72頁3.2各部門a)國際性信息安全管理法律、法規(guī)和其他要求；b)國家信息安全管理法律法規(guī)及標(biāo)準(zhǔn)規(guī)范；c)地方和行業(yè)性信息安全管理規(guī)章及標(biāo)準(zhǔn)規(guī)范；d)客戶與相關(guān)方的信息安全要求。4.2法律、法規(guī)和其他要求的獲取、識別法務(wù)部從政府主管部門或相關(guān)權(quán)威部門獲取相關(guān)的國家及地方最新信息安合本組織的法律法規(guī)及其他要求，編制《法律法規(guī)清單》,識別工作一般一年不4.3法律、法規(guī)和其他要求的文本管理法務(wù)部獲取信息安全管理法律、法規(guī)和其他要求文本后，應(yīng)補(bǔ)充到《法律法XXXX技術(shù)服務(wù)有限公司版本：A/0法務(wù)部獲取的信息安全法律法規(guī)和其他要求的文本或信息應(yīng)負(fù)責(zé)匯總并向4.4法律、法規(guī)和其他要求的符合性評估別其適用的條款，形成《法律法規(guī)清單》,并進(jìn)行合規(guī)性評審。4.5法律、法規(guī)和其他要求的更新管理補(bǔ)充《法律法規(guī)清單》,及時(shí)下載最新版本。合規(guī)性評審，形成最新的《法律法規(guī)清單》,必要時(shí)更新實(shí)施控制措施。4.6濫用信息設(shè)施的處罰XXXX技術(shù)服務(wù)有限公司版本：A/0第40頁共72頁制業(yè)務(wù)持續(xù)性戰(zhàn)略計(jì)劃；制訂業(yè)務(wù)持續(xù)性管理實(shí)施計(jì)劃并實(shí)施；對業(yè)務(wù)持續(xù)性管理計(jì)劃進(jìn)行定期測試和評審等。本程序適應(yīng)于本公司軟件研發(fā)、銷售、運(yùn)維、售后等主要業(yè)務(wù)的持續(xù)性管理。2.職責(zé)(1)信息安全管理委員會負(fù)責(zé)本公司業(yè)務(wù)中斷恢復(fù)的總指揮與總協(xié)調(diào)。(2)運(yùn)維部網(wǎng)絡(luò)管理員負(fù)責(zé)編制、修訂本公司業(yè)務(wù)持續(xù)性管理程序，并協(xié)調(diào)、推進(jìn)本公司業(yè)務(wù)持續(xù)性管理活動(dòng)。(3)運(yùn)維部網(wǎng)絡(luò)管理員負(fù)責(zé)電話/網(wǎng)絡(luò)通訊與辦公系統(tǒng)的故障處理及與之相關(guān)的作業(yè)中斷的恢復(fù)。(4)運(yùn)維部網(wǎng)絡(luò)管理員負(fù)責(zé)生產(chǎn)設(shè)備及軟件系統(tǒng)的故障處理及與之相關(guān)的作業(yè)中斷的恢復(fù)。(5)運(yùn)維部部網(wǎng)絡(luò)管理員負(fù)責(zé)網(wǎng)絡(luò)系統(tǒng)的故障處理及與之相關(guān)的作業(yè)中斷的恢復(fù)。(6)運(yùn)維部網(wǎng)絡(luò)管理員負(fù)責(zé)本部門服務(wù)器網(wǎng)絡(luò)系統(tǒng)、PC終端網(wǎng)絡(luò)系統(tǒng)的故障處理及與之相關(guān)的作業(yè)中斷的恢復(fù)。(7)本公司各網(wǎng)絡(luò)管理員部門在發(fā)生重大信息安全事件或?yàn)?zāi)難時(shí)，負(fù)責(zé)保3.程序內(nèi)容本公司業(yè)務(wù)持續(xù)性管理過程規(guī)定如下：第41頁共72頁必要時(shí)，對必要時(shí)，對業(yè)務(wù)連續(xù)性定期業(yè)務(wù)連續(xù)性管理業(yè)務(wù)連續(xù)性管理業(yè)務(wù)連續(xù)性和影業(yè)務(wù)連續(xù)性與影編制業(yè)務(wù)連續(xù)性業(yè)務(wù)連續(xù)性管理3.2業(yè)務(wù)持續(xù)性和影響的分析(1)本公司在首次信息安全風(fēng)險(xiǎn)評估后進(jìn)行業(yè)務(wù)持續(xù)性和影響的分析。(2)業(yè)務(wù)持續(xù)性和影響的分析由技術(shù)支持部組織，其他各部門及管理者代表指定的相關(guān)部門分別開展以下活動(dòng)：①對本部門的信息安全進(jìn)行風(fēng)險(xiǎn)評估；災(zāi)等；業(yè)務(wù)所需費(fèi)用等；④編寫《業(yè)務(wù)持續(xù)性和影響分析報(bào)告》(格式不限)。(3)《業(yè)務(wù)持續(xù)性和影響分析報(bào)告》應(yīng)包括以下內(nèi)容：①識別關(guān)鍵業(yè)務(wù)的管理過程；②可能引起本公司業(yè)務(wù)活動(dòng)中斷的主要事件；③主要事件對本部門管理的信息系統(tǒng)的影響；④信息系統(tǒng)故障或中斷對本公司業(yè)務(wù)活動(dòng)的影響；⑤關(guān)于系統(tǒng)恢復(fù)或替換的費(fèi)用考慮。3.3編制《業(yè)務(wù)持續(xù)性管理實(shí)施計(jì)劃》由風(fēng)險(xiǎn)評估小組制訂組織級《業(yè)務(wù)持續(xù)性管理實(shí)施指南》,并提交信息安全XXXX技術(shù)服務(wù)有限公司版本：A/0工作小組討論，經(jīng)批準(zhǔn)后予以執(zhí)行。(1)根據(jù)組織級《業(yè)務(wù)持續(xù)性管理實(shí)施指南》,各相關(guān)部門分別編制本部門管理的信息系統(tǒng)的《業(yè)務(wù)持續(xù)性管理實(shí)施計(jì)劃》,并由信息安全工作小組批準(zhǔn)，以便在這些系統(tǒng)發(fā)生中斷時(shí)實(shí)施。(2)部門《業(yè)務(wù)持續(xù)性管理實(shí)施計(jì)劃》的編寫分工為：①運(yùn)維部：電話/網(wǎng)絡(luò)通訊與辦公系統(tǒng)，服務(wù)器網(wǎng)絡(luò)系統(tǒng)②綜合部：人力資源、辦公環(huán)境(3)《業(yè)務(wù)持續(xù)性管理實(shí)施計(jì)劃》應(yīng)包括以下方面的內(nèi)容：①計(jì)劃實(shí)施所涉及的部門/人員的職責(zé)、權(quán)限及接口關(guān)系的描述；②系統(tǒng)中斷的速報(bào)程序及要求；③系統(tǒng)中斷的恢復(fù)程序及方法；④系統(tǒng)中斷的恢復(fù)時(shí)限要求；⑤保持本公司業(yè)務(wù)運(yùn)作連續(xù)應(yīng)采取的應(yīng)急措施與備用措施；⑥必要的技術(shù)支持及資源要求。3.4《業(yè)務(wù)持續(xù)性管理實(shí)施計(jì)劃》的實(shí)施要求上述重要系統(tǒng)一旦受到重大影響或中斷后，有關(guān)部門應(yīng)立即執(zhí)行《業(yè)務(wù)持續(xù)性管理實(shí)施計(jì)劃》,對系統(tǒng)采取應(yīng)急措施、進(jìn)行恢復(fù)，確保本公司生產(chǎn)運(yùn)營的持續(xù)運(yùn)行。同時(shí)，應(yīng)做好事故處理記錄，記錄內(nèi)容應(yīng)包括：(1)對系統(tǒng)中斷原因的調(diào)查分析；(2)系統(tǒng)中斷造成損失的統(tǒng)計(jì)；(3)采取的糾正措施；(4)應(yīng)吸取經(jīng)驗(yàn)教訓(xùn)及預(yù)防措施等。3.5業(yè)務(wù)持續(xù)性計(jì)劃的測試與評審每年下半年由技術(shù)支持部網(wǎng)絡(luò)管理員組織有關(guān)部門對《業(yè)務(wù)持續(xù)性管理實(shí)施計(jì)劃》進(jìn)行測試，以判斷計(jì)劃的可行性和有效性。測試可采用以下方法進(jìn)行：(1)對已發(fā)生過的業(yè)務(wù)中斷及恢復(fù)措施實(shí)例進(jìn)行討論；(2)組織有關(guān)部門進(jìn)行業(yè)務(wù)中斷及恢復(fù)的模擬演練；(3)采用技術(shù)手段對系統(tǒng)運(yùn)行及中斷恢復(fù)的相關(guān)參數(shù)進(jìn)行測量；(4)由供應(yīng)商提供測試服務(wù)，確保所提供的外部服務(wù)和產(chǎn)品符合合同要求。(5)測試完成后填寫《業(yè)務(wù)持續(xù)性管理計(jì)劃評測報(bào)告》4.相關(guān)文件《信息安全管理手冊》《風(fēng)險(xiǎn)評估管理程序》通過對各項(xiàng)控制措施滿足控制目標(biāo)的實(shí)現(xiàn)程度及法律、法規(guī)符合性的監(jiān)視、測量與分析，為策劃、實(shí)施、持續(xù)改進(jìn)信息安全管理體系提供依據(jù)。XXXX技術(shù)服務(wù)有限公司版本：A/0(1)負(fù)責(zé)掌握信息安全管理體系的總體運(yùn)行情況，并向最高管理者匯報(bào)，4.1.2負(fù)責(zé)每半年組織對本本公司職能部門目4.2法務(wù)部(1)負(fù)責(zé)本程序的編制、修訂和監(jiān)督實(shí)施。(2)負(fù)責(zé)每半年對各職能業(yè)務(wù)部門進(jìn)行監(jiān)視和測量，對各職能業(yè)務(wù)部門的監(jiān)視和測量執(zhí)行情況進(jìn)行監(jiān)督、檢查和指導(dǎo)，為糾正和預(yù)防提供信息。(3)負(fù)責(zé)收集的客戶信息安全方面信息，并進(jìn)行匯總、分析和傳遞。(4)法務(wù)部負(fù)責(zé)獲取、識別、更新適用于本公司信息安全管理體系運(yùn)行的所有法律法規(guī)，發(fā)布《法律法規(guī)清單》,對本程序的實(shí)施情況進(jìn)行組織、監(jiān)督和(5)法務(wù)部根據(jù)法律法規(guī)、客戶合同以及相關(guān)信息安全保密要求組織對已(1)根據(jù)本公司業(yè)務(wù)范圍內(nèi)信息資產(chǎn)的控制范圍，確定監(jiān)視和測量范圍。(2)測量的范圍一般包括：性控制措施；事故、事件和其它不良的績效；XXXX技術(shù)服務(wù)有限公司版本：A/0④客戶信息安全保密的滿意程度。(3)監(jiān)視和測量的依據(jù)是法律法規(guī)、技術(shù)標(biāo)準(zhǔn)、客戶合同、適用性聲明、管理手冊、程序文件等。5.2監(jiān)視和測量的要求應(yīng)按照國家及地方技術(shù)規(guī)范規(guī)定和客戶要求的檢驗(yàn)和試驗(yàn)項(xiàng)目、標(biāo)準(zhǔn)、方法進(jìn)行監(jiān)視和測量。必要時(shí)，本公司各部門指定專人編寫作業(yè)文件予以規(guī)定，規(guī)定的嚴(yán)格程度應(yīng)與問題的復(fù)雜程度和風(fēng)險(xiǎn)相適應(yīng)。5.3監(jiān)視和測量的實(shí)施(1)綜合部根據(jù)各部門確立的監(jiān)視和測量范圍，確定監(jiān)視和測量的依據(jù)、項(xiàng)目、關(guān)鍵特性、頻次、使用的儀器設(shè)備等。(2)監(jiān)視和測量可選擇的方法①對控制過程進(jìn)行日常檢查；②信息安全保密措施狀況的抽查；③設(shè)備裝置的檢查；④作業(yè)環(huán)境的監(jiān)視；⑤記錄檢查。(3)控制過程的監(jiān)視和測量①綜合部負(fù)責(zé)組織控制措施實(shí)施過程的監(jiān)視和測量。②信息處理設(shè)備出/入庫前，必須按照采購計(jì)劃對物資設(shè)備的數(shù)量、規(guī)格、信息安全保密要求進(jìn)行驗(yàn)證，審核產(chǎn)品證明文件的符合性。驗(yàn)證方法應(yīng)符《信息系統(tǒng)設(shè)備管理規(guī)定》,并保留相應(yīng)的原始記錄。③使用前必須經(jīng)過復(fù)驗(yàn)、檢驗(yàn)的物資，按相應(yīng)的標(biāo)準(zhǔn)、規(guī)范進(jìn)行復(fù)驗(yàn)。④未經(jīng)監(jiān)視和測量的信息處理硬件軟件不得投入使用，對驗(yàn)證不合格的，按照《事故、事件、薄弱點(diǎn)與故障管理程序》執(zhí)行。⑤因工作急需，未經(jīng)檢驗(yàn)和試驗(yàn)放行(硬件、軟件),必須具備放行后一旦發(fā)現(xiàn)問題能夠追回的條件。⑥緊急放行后，應(yīng)及時(shí)進(jìn)行檢驗(yàn)和試驗(yàn)，發(fā)現(xiàn)問題及時(shí)追回或處理。⑦為控制措施目標(biāo)所需的主動(dòng)監(jiān)視和測量，以巡檢、設(shè)施監(jiān)控、統(tǒng)計(jì)分析等適用的方法進(jìn)行。(4)本公司不可接受風(fēng)險(xiǎn)處置計(jì)劃關(guān)鍵特性和績效的監(jiān)視和測量，由綜合XXXX技術(shù)服務(wù)有限公司版本：A/0部按照計(jì)劃策劃的時(shí)間間隔，對特性的效果與IT專家協(xié)商測試方法，執(zhí)行本程序。對不易測評績效的關(guān)鍵特性，采用觀察現(xiàn)場表現(xiàn)的監(jiān)視和測量方式。有必要時(shí)，可委托有資格的外部檢測機(jī)構(gòu)實(shí)施。對事態(tài)、事件和其他不良績效的測量，由綜合部組織，事發(fā)部門協(xié)同，利用統(tǒng)計(jì)報(bào)告并結(jié)合《事態(tài)、事件、薄弱點(diǎn)與故障管理程序》進(jìn)行分析和改進(jìn)。(5)管理體系運(yùn)行過程的監(jiān)視和測量①管理體系運(yùn)行要遵守法律、法規(guī)的要求。綜合部要對本公司各部門適用的法律、法規(guī)、標(biāo)準(zhǔn)、規(guī)范的獲取和識別，進(jìn)行監(jiān)視和測量。②管理體系運(yùn)行過程的檢查職能業(yè)務(wù)部門要每半年對管理管理體系的目標(biāo)及管理體系運(yùn)行情況進(jìn)行監(jiān)視和測量。③以上的監(jiān)視和測量由檢查部門填寫《信息安全法律法規(guī)符合性評估報(bào)告》。(6)客戶信息安全滿意程度的監(jiān)視和測量客戶信息安全滿意程度信息的收集與傳遞①客戶信息安全滿意程度信息包括滿意信息和不滿意信息，客戶滿意程度信息的收集采取書面形式。②客服人員與客戶進(jìn)行溝通，收集來自客戶的對信息安全保密滿意程度信息，并在內(nèi)部進(jìn)行傳遞，作為方針、目標(biāo)、管理評審的依據(jù)。③對客戶投訴的問題和回訪中發(fā)現(xiàn)的問題，由綜合部指定問題項(xiàng)目負(fù)責(zé)人組織有關(guān)人員對問題進(jìn)行復(fù)查，與客戶共同分析原因，按照《事態(tài)、事件薄弱點(diǎn)與故障管理程序》、《糾正預(yù)防措施管理程序》及時(shí)做出處理。(7)證據(jù)收集，當(dāng)本公司與其他本公司或某個(gè)人(包括內(nèi)部與外部人員)發(fā)生法律糾紛時(shí)，涉及法律糾紛的部門應(yīng)立即書面報(bào)告總經(jīng)理，由綜合部、法律顧問會同該部門進(jìn)行證據(jù)收集，準(zhǔn)備實(shí)施法律訴訟；證據(jù)收集應(yīng)符合以下要求：①所呈證據(jù)應(yīng)符合國家有關(guān)的證據(jù)法規(guī)；②符合用于提供可接受證據(jù)的任何已發(fā)布的標(biāo)準(zhǔn)或法規(guī)；③對已收集到的證據(jù)進(jìn)行安全的保管，防止未經(jīng)授權(quán)的更改或破壞；④收集到的證據(jù)符合法庭所要求的形式。(8)控制目標(biāo)的符合性主要通過實(shí)施定期評估的方法來實(shí)現(xiàn)，頻次與法律法規(guī)符合性評價(jià)相同，具體方法如下：①歷史統(tǒng)計(jì)模式：雖然完成了某些控制措施，但看不到控制措施被采用的證據(jù)，而只能看到現(xiàn)在管理的狀態(tài)，經(jīng)過統(tǒng)計(jì)現(xiàn)在狀態(tài)的績效與原有績效的比較，XXXX技術(shù)服務(wù)有限公司版本：A/0可以推導(dǎo)出是否達(dá)到了控制目標(biāo)的要求和是否按照要求才去了措施。②文本審閱模式：文本審閱法是通過翻閱控制措施要求的相關(guān)的文件、檔案來了解控制措施過程，獲得書證。③實(shí)地觀察模式：通過實(shí)地查看某些控制措施的實(shí)施過程，核對策劃的實(shí)施程序，判斷完成現(xiàn)有目標(biāo)的績效，獲得過程物證。總之，要用“嘴”問，要用耳“聽”,要用“腦”判斷與分析。得出一個(gè)客觀的評價(jià)結(jié)果，記錄在《信息安全法律法規(guī)符合性評估報(bào)告》。5.4監(jiān)視和測量的結(jié)果綜合部每年要針對本公司與信息安全保密法律法規(guī)遵循情況編寫全本公司法律法規(guī)符合性評估報(bào)告，對于不符合的情況，責(zé)任部門應(yīng)實(shí)施糾正措施并實(shí)施。6.法律法規(guī)符合性的監(jiān)視測量執(zhí)行《法律法規(guī)管理程序》1.適用適用于本公司各種應(yīng)用系統(tǒng)涉及到的邏輯訪問的控制。XXXX技術(shù)服務(wù)有限公司版本：A/0為對本公司各種應(yīng)用系統(tǒng)的用戶訪問權(quán)限(包括特權(quán)用戶及第三方用戶)實(shí)施有效控制，杜絕非法訪問，確保系統(tǒng)和信息的安全保密，特制定本程序。3.職責(zé)(1)綜合部負(fù)責(zé)訪問權(quán)限的分配、審批、實(shí)施以及技術(shù)管理。(2)綜合部負(fù)責(zé)向各部門通知人事變動(dòng)情況。4.程序4.1訪問控制策略(1)本公司內(nèi)部可公開的信息不作特別限定，允許所有用戶訪問。(2)本公司內(nèi)部部分不公開信息，經(jīng)運(yùn)維部認(rèn)可，訪問授權(quán)實(shí)施部門實(shí)施后用戶方可訪問。(3)本公司限制使用無線網(wǎng)絡(luò)，使用密碼限制無線網(wǎng)絡(luò)連接。(4)用戶不得訪問或嘗試訪問未經(jīng)授權(quán)的網(wǎng)絡(luò)、系統(tǒng)、文件和服務(wù)。4.2用戶訪問管理4.2.1權(quán)限申請(1)授權(quán)流程部門申請——綜合部審批實(shí)施。所有用戶，包括第三方人員均需要履行訪問授權(quán)手續(xù)。申請部門根據(jù)日常管理工作的需要，確定需要訪問的系統(tǒng)和訪問權(quán)限，經(jīng)過本部門負(fù)責(zé)人同意后，向運(yùn)維部提交《用戶授權(quán)申請表》,經(jīng)運(yùn)維部審核批準(zhǔn)后實(shí)施。第三方和合同方人員的訪問申請由負(fù)責(zé)接待的部門按照上述要求予以辦理。第三方和合同方人員一般不允許成為特權(quán)用戶。必要時(shí)，第三方、合同方人員需與訪問接待部門簽訂《第三方服務(wù)保密協(xié)議》。(2)《用戶授權(quán)申請表》應(yīng)對以下內(nèi)容予以明確：①權(quán)限申請人員②訪問權(quán)限的級別和范圍③申請理由④有效期4.2.2權(quán)限變更第49頁共72頁(1)對發(fā)生以下情況對其訪問權(quán)應(yīng)從系統(tǒng)中予以注銷：①內(nèi)部用戶員工合同終止時(shí)；②內(nèi)部用戶因崗位調(diào)整不再需要此項(xiàng)訪問服務(wù)時(shí)；③第三方、合同方訪問合同終止時(shí)；④其它情況必須注銷時(shí)。(2)由于用戶變換崗位等原因造成訪問權(quán)限變更時(shí)，用授權(quán)申請表》,按照本程序4.2.1的要求履行授權(quán)手續(xù)。(3)綜合部、合同方應(yīng)將人事變動(dòng)情況及時(shí)通知各部門，訪問授權(quán)實(shí)施部門管理員進(jìn)行權(quán)限設(shè)置更改。4.2.3用戶訪問權(quán)的維護(hù)和評審(1)對于任何權(quán)限的改變(包括權(quán)限的創(chuàng)建、變更以及注銷),運(yùn)維部應(yīng)進(jìn)行記錄，填寫《用戶授權(quán)申請表》包括：①權(quán)限開放/變更/注銷時(shí)間；②權(quán)限內(nèi)容；③開放權(quán)限的管理員(2)運(yùn)維部每半年應(yīng)對訪問權(quán)限進(jìn)行檢查，發(fā)現(xiàn)不恰當(dāng)?shù)臋?quán)限設(shè)置，應(yīng)予以調(diào)整。(3)運(yùn)維部每季度應(yīng)對特權(quán)用戶訪問權(quán)限進(jìn)行檢查，發(fā)現(xiàn)過期的權(quán)限設(shè)置，應(yīng)予以注銷。(4)運(yùn)維部應(yīng)對訪問權(quán)限的檢查結(jié)果予以記錄。4.2.4連接的控制(1)本公司專線和回?fù)苷{(diào)制解調(diào)器等與外部網(wǎng)絡(luò)的連接設(shè)置口令。WEB服務(wù)器、郵件服務(wù)器的使用執(zhí)行相應(yīng)作業(yè)文件。(2)本公司網(wǎng)絡(luò)管理員為了限制網(wǎng)絡(luò)連接的不同身份與權(quán)限，通過設(shè)置網(wǎng)關(guān)來加以控制。4.2.5會話與聯(lián)機(jī)時(shí)間的控制(1)各系統(tǒng)管理員在其管理的服務(wù)器處于不活動(dòng)時(shí)，應(yīng)利用鎖屏清除屏幕，第50頁共72頁及時(shí)啟用帶有口令保護(hù)的自動(dòng)屏保功能。為20分鐘/次。4.3用戶口令管理(1)運(yùn)維部網(wǎng)絡(luò)管理員，應(yīng)按以下過程對被授權(quán)訪問該系統(tǒng)的用戶口令予以所有計(jì)算機(jī)用戶在使用口令時(shí)應(yīng)遵循以下原則：①保守口令的機(jī)密性，避免保留口令的字面記錄，明文存儲或明文網(wǎng)絡(luò)傳遞。③口令最小長度8位，不要采用電話號碼、生日等別人容易猜測或得到的口令，不要用連續(xù)的數(shù)字或字母群。戶口令的變更會影響應(yīng)用程序運(yùn)行的情況，該用戶的口令可以在適當(dāng)?shù)臅r(shí)機(jī)予⑤在第一次登錄時(shí)，需要更換臨時(shí)口令。⑥口令應(yīng)妥善保存，不要共享個(gè)人用戶口令。4.4訪問記錄管理需要保留系統(tǒng)訪問的記錄，包括系統(tǒng)日志和訪問日志等。本程序適用于本公司員工及其他組織、人員(客戶方、第三方)對本公司的物理訪問控制。第51頁共72頁加強(qiáng)和規(guī)范本公司員工及來訪本公司的相關(guān)人員的管理，確?？蛻簟⒈竟緝?nèi)部信息安全和保密，特制定本程序。綜合部負(fù)責(zé)確保本公司內(nèi)部安全防范和保密性，有效、有序地規(guī)范管理本公司員工及來訪本公司的相關(guān)人員，本公司其他相關(guān)部門也要按照各自職責(zé)負(fù)責(zé)加強(qiáng)和管理來訪本部門的相關(guān)人員。本公司借用實(shí)習(xí)人員；●業(yè)務(wù)合作人員；●設(shè)備廠商技術(shù)人員；●施工安裝單位作業(yè)人員；●貨運(yùn)接送或銷售人員等；●合同方人員；●上級單位領(lǐng)導(dǎo)；●來本公司聯(lián)系業(yè)務(wù)的人員；●來本公司參觀、視察的貴賓或嘉賓；●體系外的其他人員。4.2安全區(qū)域分類區(qū)域標(biāo)識盡量使用編號：序號防范措施序號防范措施1一級安全區(qū)1.研發(fā)辦公區(qū)、機(jī)房2.領(lǐng)導(dǎo)辦公室、財(cái)務(wù)室3.檔案庫房和檔案作業(yè)區(qū)1.進(jìn)出再登記，專人陪同(特別設(shè)2二級安全區(qū)1.人事、經(jīng)營、1.專人負(fù)責(zé)。2.監(jiān)督檢查，群防群治3三級安全區(qū)1、接待區(qū)、會議室1.專人查詢、登記4.3訪問的授權(quán)訪問時(shí)間在一周內(nèi)一級安全區(qū)準(zhǔn)綜合部辦理相關(guān)手續(xù)二級安全區(qū)負(fù)責(zé)人理相關(guān)手續(xù)三級安全區(qū)接待人員4.4門禁出入規(guī)定指紋：為了提升公司整體形象，規(guī)范員工管理工作，及維護(hù)公司秩序，公司的每位員工需刷指紋門禁進(jìn)入，便于員工身份識別。4.4.1門禁管理(1)新員工門禁登記：新入職的員工需由管理者帶去綜合部進(jìn)行指紋登記。(2)門禁權(quán)限定期審核：門禁權(quán)限綜合部定期和各部門負(fù)責(zé)人進(jìn)行審核，確認(rèn)員工門禁權(quán)限的準(zhǔn)確。(3)非本公司員工陪同人員須前臺引領(lǐng)訪客、供應(yīng)商進(jìn)入本公司，全程陪同，并登記《來訪客人登記表》;滯留時(shí)間很短，且在固定時(shí)間，固定地點(diǎn)需要現(xiàn)場操作的供應(yīng)商(例如花卉維護(hù)、飲用水供應(yīng)等),需到行政部備案。第53頁共72頁4.5訪問接待管理辦法(1)參觀級別根據(jù)客戶重要程度，分為中心級來賓和部門級來賓?！裰行募墸孩偻獠咳藛T來訪，由前臺進(jìn)行接待，填寫《來訪客人登記表》,并通知相應(yīng)④訪客進(jìn)入本公司內(nèi)部、會議室區(qū)需前臺進(jìn)行陪同；4.6員工出入、會客及接待管理區(qū)內(nèi)(5)員工外出辦公時(shí)，應(yīng)到行政部登記《員工外出登記表》。4.7第三方訪客、供應(yīng)商接待管理(1)陪同人員須前臺引領(lǐng)訪客、供應(yīng)商進(jìn)入本公司，全程陪同；行政部備案(例如花卉維護(hù)、飲用水供應(yīng)等)。安全培訓(xùn)由綜合部負(fù)責(zé)，視情況實(shí)施相關(guān)安全保密培訓(xùn)教育。XXXX技術(shù)服務(wù)有限公司版本：A/0根據(jù)本公司相關(guān)規(guī)定，室內(nèi)環(huán)境禁止拍照，如有特殊情況，需各部門提交書面申請，由主管負(fù)責(zé)人簽字同意后方可進(jìn)行。7.在安全區(qū)域工作的安全要求①模范地遵守國家法律、法規(guī)和本公司的規(guī)章制度；②堅(jiān)守崗位，忠于職守，嚴(yán)守紀(jì)律，保守秘密；③不違章作業(yè)，不冒險(xiǎn)作業(yè)，并勸阻他人不違章作業(yè)；⑤發(fā)現(xiàn)危及本公司安全的隱患，及時(shí)向本部門和信息安全保密辦公室報(bào)告。1.適用適用于本公司各部門對惡意軟件(包括軟件的隱蔽通道)的控制管理工作。XXXX技術(shù)服務(wù)有限公司版本：A/0為防止各類惡意軟件(包括軟件的隱蔽通道)造成破壞，確保本公司的軟件和信息的保密性、完整性與可用性。3.職責(zé)(1)運(yùn)維部是全本公司惡意軟件管理控制工作的主管部門，負(fù)責(zé)本公司防病毒軟件的安裝及病毒庫的更新管理，為各部門信息處理設(shè)施的防范惡意軟件提供技術(shù)性支持和隱蔽通道的掃描。(2)各部門具體負(fù)責(zé)其部門信息處理設(shè)施的病毒清殺及其它預(yù)防措施的實(shí)4.工作程序所謂惡意軟件，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能、毀壞數(shù)據(jù)、竊取數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼，主要是指各類計(jì)算機(jī)病毒，如惡意代碼和移動(dòng)代碼。(1)防范的措施，主要是安裝防火墻、入侵檢測系統(tǒng)、使用加密程序和安裝殺病毒軟件。在對外互聯(lián)的網(wǎng)絡(luò)間，運(yùn)維部安裝防火墻、入侵檢測系統(tǒng)、使用加密程序，同時(shí)在服務(wù)器和客戶端上安裝殺病毒軟件。各部門應(yīng)根據(jù)運(yùn)維部的安排，從指定的網(wǎng)絡(luò)服務(wù)器上安裝企業(yè)版防病毒軟件；單獨(dú)成網(wǎng)或存在單機(jī)的部門，應(yīng)由本部門PC管理員或指定專人負(fù)責(zé)安裝防病毒軟件，并周期性(如每周)對病毒庫進(jìn)行升級。對于配置低、不適宜安裝防病毒軟件的微機(jī)，則不能接入局域網(wǎng)，進(jìn)行病毒查殺和防范控制，并填寫《信息系統(tǒng)日常巡檢記錄》。特殊情況，如某種新惡性病毒大規(guī)模爆發(fā)，運(yùn)維部網(wǎng)絡(luò)管理員應(yīng)緊急通知本公司各部門立即進(jìn)行病毒庫更新升級，同時(shí)立即進(jìn)行病毒掃描，并對病毒情況匯報(bào)行運(yùn)維部負(fù)責(zé)人。各部門在使用部門以外的任何電子媒體前都應(yīng)對其進(jìn)行病毒掃描，對發(fā)現(xiàn)病毒的電子媒體應(yīng)禁用，待病毒清除后方可使用，對于不能清除的病毒，應(yīng)及時(shí)報(bào)告綜合部處理。各部門用戶應(yīng)在計(jì)算機(jī)或其它電子信息處理設(shè)施的啟動(dòng)后檢查是否已啟動(dòng)第56頁共72頁病毒實(shí)時(shí)監(jiān)測系統(tǒng)。如未啟動(dòng)，應(yīng)在進(jìn)行其他操作前以便對電子郵件進(jìn)行病毒檢查。(一)安裝反病毒軟件；(二)對軟件更改進(jìn)行控制；(三)其他必要措施。(2)預(yù)防惡意軟件的通用要求保護(hù)不受惡意軟件攻擊的基礎(chǔ)是安全意識，適當(dāng)?shù)南到y(tǒng)權(quán)限。所有IT用戶應(yīng)養(yǎng)成良好的防范惡意軟件意識并遵守以下規(guī)①按照本程序規(guī)定的要求使用防病毒軟件；②禁止使用來歷不明的軟件；④刪除來歷不明的電子郵件；⑤使用存儲設(shè)備前應(yīng)進(jìn)行病毒檢查。實(shí)施嚴(yán)密的安全策略，確保本公司網(wǎng)絡(luò)的安全。與互聯(lián)網(wǎng)連接。(4)各部門應(yīng)按照信息備份的要求(見《重要信息備份管理程序》)進(jìn)行重要數(shù)據(jù)和軟件的備份。(8)各部門如受到各種惡意軟件攻擊，應(yīng)及時(shí)向綜合部報(bào)告。5.相關(guān)文件XXXX技術(shù)服務(wù)有限公司版本：A/0《重要信息備份管理程序》本程序適用于本公司重要數(shù)據(jù)及軟件的備份管理。XXXX技術(shù)服務(wù)有限公司版本：A/0復(fù)，保證信息處理及生產(chǎn)數(shù)據(jù)的保密性、完整性與可用性，特制定本程序。(1)運(yùn)維部負(fù)責(zé)管理范圍內(nèi)的信息備份工作的技術(shù)指導(dǎo)，及本部門維護(hù)的(2)各部門負(fù)責(zé)對本部門維護(hù)的重要信息資產(chǎn)的數(shù)據(jù)和軟件進(jìn)行備份。4.程序(1)各部門應(yīng)對重要信息資產(chǎn)清單確定的重要業(yè)務(wù)數(shù)據(jù)、操作系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫等其他重要信息進(jìn)行備份。(2)信息備份的安全保密要求包括：②重要信息備份應(yīng)盡量做到異地(不同房間、不同樓層等)存放，妥善管理；本地、異地(不同機(jī))、移動(dòng)硬盤三套備份，本地、異地位于機(jī)房，移動(dòng)硬盤放于本公司文件柜內(nèi)由系統(tǒng)管理員保管。③對備份媒體進(jìn)行標(biāo)識；備份媒體存放于適宜的環(huán)境；本地、異地位于機(jī)(3)人工備份應(yīng)填寫《備份記錄表》,信息備份的記錄應(yīng)予以保存。(4)當(dāng)軟件發(fā)生更改時(shí)，應(yīng)進(jìn)行備份。(5)各部門應(yīng)采取適宜的方法對備份信息媒體進(jìn)行標(biāo)識，防止備份信息的誤用，標(biāo)識的內(nèi)容包括：(6)源代碼、數(shù)據(jù)庫及文檔等采用gat的方式進(jìn)行備份和保存。XXXX技術(shù)服務(wù)有限公司版本：A/0(7)數(shù)據(jù)備份媒體應(yīng)保存在適宜的環(huán)境并專人管理；涉及企業(yè)秘密的備份并保存在上鎖的文件柜或其他安全儲存場所。本程序適用于本公司應(yīng)用系統(tǒng)軟件的采購、開發(fā)第60頁共72頁各項(xiàng)安全要求得到識別并執(zhí)行，保證系統(tǒng)安全，特制定本程序。(1)各部門負(fù)責(zé)應(yīng)用軟件的需求的提出。(2)運(yùn)維部負(fù)責(zé)對本公司范圍內(nèi)的信息網(wǎng)絡(luò)系統(tǒng)的容量進(jìn)行規(guī)劃。(1)各部門根據(jù)日常經(jīng)營管理工作的需要，經(jīng)過本部門負(fù)責(zé)人批準(zhǔn)后，提交綜合部進(jìn)行采購。(2)采購的策劃采購在接到任務(wù)通知后，首先要判斷可行性，明確規(guī)定采①軟件功能要求；②詳盡的業(yè)務(wù)流程；③信息安全保密要求；④時(shí)間進(jìn)度要求；⑨采購的各個(gè)階段評審與測試要求；⑥采購人員的職責(zé)與權(quán)限；⑩其它要求。(3)采購方案的技術(shù)評審①采購負(fù)責(zé)人應(yīng)根據(jù)軟件采購計(jì)劃的要求，編制軟件采購方案，由部門負(fù)責(zé)人對方案的技術(shù)可行性及系統(tǒng)的安全性進(jìn)行確認(rèn)。家共同進(jìn)行評審。③軟件采購方案應(yīng)包括以下內(nèi)容：(一確定軟件采購工具；第61頁共72頁(四輸入數(shù)據(jù)確認(rèn)要求；(五)必要時(shí)，系統(tǒng)內(nèi)部數(shù)據(jù)確認(rèn)檢查的要求；(八對系統(tǒng)硬件配置的要求；系統(tǒng)驗(yàn)收標(biāo)準(zhǔn)、方案確認(rèn)與審批的結(jié)果及任何必要的措施應(yīng)予以記錄。4.2軟件設(shè)計(jì)開發(fā)的控制(1)設(shè)計(jì)開發(fā)流程管理軟件開發(fā)按照本公司相關(guān)規(guī)范的要求進(jìn)行。(2)軟件設(shè)計(jì)開發(fā)方案的管理軟件設(shè)計(jì)方案應(yīng)包括以下內(nèi)容：①確定軟件開發(fā)工具；②應(yīng)用系統(tǒng)功能；③業(yè)務(wù)實(shí)現(xiàn)流程；④輸入數(shù)據(jù)確認(rèn)要求；⑤必要時(shí)，系統(tǒng)內(nèi)部數(shù)據(jù)確認(rèn)檢查的要求；⑥輸出數(shù)據(jù)的確認(rèn)要求；⑦應(yīng)用系統(tǒng)的安全要求；⑧對系統(tǒng)硬件配置的要求；⑨系統(tǒng)驗(yàn)收標(biāo)準(zhǔn)。方案確認(rèn)與審批的結(jié)果及任何必要的措施應(yīng)予以記錄。在進(jìn)行軟件開發(fā)時(shí)，應(yīng)采取適宜的方法將開發(fā)與運(yùn)作設(shè)施分離：①開發(fā)和運(yùn)行應(yīng)當(dāng)在不同的環(huán)境；②測試系統(tǒng)應(yīng)該獨(dú)立于運(yùn)行系統(tǒng)。(1)應(yīng)在規(guī)定的測試環(huán)境條件并依據(jù)軟件測試要求由軟件負(fù)責(zé)人組織有關(guān)人員測試活動(dòng)，填寫《應(yīng)用軟件測試報(bào)告》。(2)當(dāng)軟件含有數(shù)據(jù)處理功能時(shí)，軟件測試活動(dòng)應(yīng)包括以下方面的內(nèi)容：①應(yīng)用測試數(shù)據(jù)，驗(yàn)證內(nèi)部數(shù)據(jù)處理的正確性；②應(yīng)用測試數(shù)據(jù)，確認(rèn)輸出數(shù)據(jù)的正確性并與環(huán)境相適(3)當(dāng)系統(tǒng)測試數(shù)據(jù)使用業(yè)務(wù)數(shù)據(jù)，并且包含敏感信息時(shí)，應(yīng)按以下要求第62頁共72頁對測試數(shù)據(jù)進(jìn)行保護(hù)：①用于運(yùn)作系統(tǒng)的訪問控制過程也應(yīng)用于測試系統(tǒng)；④測試完成之后，應(yīng)立即從測試系統(tǒng)中消除。(4)應(yīng)用部門在試運(yùn)行期間，應(yīng)將使用中存在的問題及時(shí)反饋給綜合部組織修改。試運(yùn)行結(jié)束后，應(yīng)形成正式的《系統(tǒng)驗(yàn)收報(bào)告》,由各部門負(fù)責(zé)人簽字4.4測試數(shù)據(jù)的保護(hù)容。當(dāng)用于測試時(shí)，應(yīng)使用下列(但不僅限于)指南保護(hù)運(yùn)行數(shù)據(jù)：b)運(yùn)行信息每次被拷貝到測試應(yīng)用系統(tǒng)時(shí)應(yīng)有獨(dú)立的授權(quán)；c)在測試完成之后，應(yīng)立即從測試應(yīng)用系統(tǒng)清除運(yùn)行信息；4.6源程序庫(程序源代碼)管理及技術(shù)文檔管理(1)為降低計(jì)算機(jī)程序被破壞的可能性，采購軟件的源程序庫應(yīng)按以下要求實(shí)施管理：①源程序庫不應(yīng)保存在運(yùn)作系統(tǒng)中；②各項(xiàng)應(yīng)用應(yīng)指定源程序庫管理員；③信息技術(shù)維護(hù)人員不應(yīng)自由訪問源程序庫。源程序的管理應(yīng)包括歷史版本的管理。4.7系統(tǒng)的維護(hù)管理(1)為確保系統(tǒng)的安全，系統(tǒng)主管部門應(yīng)對以下方面實(shí)施控制：XXXX技術(shù)服務(wù)有限公司版本：A/0①系統(tǒng)容量策劃；②系統(tǒng)更改；③操作系統(tǒng)更改；④軟件包變更。4.8容量策劃運(yùn)維部和各部門應(yīng)對信息網(wǎng)絡(luò)系統(tǒng)的容量(CPU利用率、內(nèi)存和硬盤空間大小、傳輸線路帶寬)需求進(jìn)行監(jiān)控，并對將來容量需求進(jìn)行策劃，在必要的情況下編制《系統(tǒng)容量規(guī)劃》報(bào)負(fù)責(zé)人批準(zhǔn)后，適當(dāng)時(shí)機(jī)進(jìn)行容量擴(kuò)充。執(zhí)行IT服務(wù)體系容量規(guī)劃的規(guī)定。4.9服務(wù)交易保護(hù)公司服務(wù)交易針對客戶與XXXXXX技術(shù)服務(wù)有限公司發(fā)生的網(wǎng)上交易，互聯(lián)網(wǎng)為開放平臺，容易發(fā)生信息泄露與資金丟失情況。所以按照公司要求，公司交易一律采用微信與支付寶的形式進(jìn)行交易，發(fā)生的所有交易需要遵循微信與支付寶的支付的安全規(guī)則進(jìn)行。4.10軟件的安裝和升級引用《變更管理規(guī)定》。4.11防范木馬程序。對軟件的采購、使用及變更有關(guān)部門應(yīng)加以控制和檢查以防止可能的隱藏通道和特洛伊碼，具體執(zhí)行《惡意軟件管理陳程序》。4.12系統(tǒng)事故與故障當(dāng)系統(tǒng)發(fā)生事故與故障時(shí)，系統(tǒng)維護(hù)主管部門應(yīng)立即進(jìn)行處理，確保系統(tǒng)安全，具體執(zhí)行《事故、事件、薄弱點(diǎn)與故障管理程序》。為對第三方服務(wù)提供商(合作商)進(jìn)行管控，減少安全風(fēng)險(xiǎn)，防范本公司信息資產(chǎn)損失，特制定本程序。2.范圍適用于本公司信息安全保密第三方服務(wù)管理活動(dòng)，包括第三方確定過程、第三方的服務(wù)安全保密控制措施、第三方的服務(wù)監(jiān)督和評審方法、第三方的變更3.職責(zé)(1)綜合部主責(zé)管理第三方服務(wù)的控制活動(dòng)，相關(guān)部門負(fù)責(zé)具體管理職責(zé)范圍內(nèi)的第三服務(wù)。運(yùn)維部參與負(fù)責(zé)信息處理設(shè)備、網(wǎng)絡(luò)、系統(tǒng)、軟件的采購和維護(hù)第三方服務(wù)的管理。(2)其他相關(guān)部門①負(fù)責(zé)確定合格的第三方服務(wù)商，并與第三方服務(wù)商簽訂服務(wù)合同和保密協(xié)②負(fù)責(zé)對第三方服務(wù)商的服務(wù)進(jìn)行安全控制；③負(fù)責(zé)定期對第三方服務(wù)商進(jìn)行監(jiān)督和評審；⑤負(fù)責(zé)做好第三方服務(wù)商的變更管理。4.程序4.1第三方服務(wù)的確定本公司所需的第三方服務(wù)包括：①信息處理設(shè)備、網(wǎng)絡(luò)、系統(tǒng)、軟件需要第三方進(jìn)行安裝調(diào)試和維護(hù)；②信息安全保密等需要委托第三方提供服務(wù)；③其他服務(wù)提供方。在與第三方簽署服務(wù)合同前，相關(guān)的主管部門應(yīng)明確第三方服務(wù)的內(nèi)容和要求，評估由于第三方服務(wù)帶來的信息安全風(fēng)險(xiǎn)，第65頁共72頁的能力，并且具備有效的工作計(jì)劃，即便發(fā)生重大的服務(wù)故障或?yàn)?zāi)難也能保持服務(wù)的連貫性，必要時(shí)可以通過招投標(biāo)，確定合格的第三方服務(wù)提供商。對重要的第三方服務(wù)提供商，應(yīng)確定其信息安全保密管理要求和提供服務(wù)的能力要求并進(jìn)行現(xiàn)場評定。確定合格的第三方服務(wù)提供商后，相關(guān)主管部門應(yīng)與第三方簽署第三方服務(wù)合同(SLA),并在服務(wù)合同中體現(xiàn)信息安全風(fēng)險(xiǎn)金。如果服務(wù)中涉及需要第三方保密的信息，必須明確