2020新ISO27001信息安全管理體系全套文件(手冊+程序文件+作業(yè)規(guī)范)1

最新ISO27001信息安全管理體系全套文件(手冊+程序文件+作業(yè)規(guī)范)系程序文件目錄文件編號文件名稱事故事件薄弱點(diǎn)與故障管理程序企業(yè)商業(yè)技術(shù)秘密管理程序信息安全人員考察與保密管理程序信息安全懲戒管理程序信息安全適用性聲明信息安全風(fēng)險評估管理程序內(nèi)審管理程序惡意軟件控制程序更改控制程序物理訪問管理程序用戶訪問控制程序管理評審控制程序系統(tǒng)開發(fā)與維護(hù)控制程序系統(tǒng)訪問與使用監(jiān)控管理程序計算機(jī)賬戶及密碼管理程序文件和資料管理程序重要信息備份管理程序預(yù)防措施程序文件編號文件名稱防火墻安全管理規(guī)定介質(zhì)銷毀管理規(guī)定信息機(jī)房管理制度信息中心安全事件報告和處置管理制度信息中心密碼管理制度信息系統(tǒng)訪問權(quán)限說明檔案鑒定銷毀工作規(guī)定移動介質(zhì)使用管理規(guī)定復(fù)印室管理制度重要文件加密解密管理制度*****有限公司文件名稱頁碼文件編號為建立一個適當(dāng)信息安全事故、薄弱點(diǎn)、故障風(fēng)險處置的報安全事故和故障所造成的損失，采取有效糾正與預(yù)防措3.1各系統(tǒng)歸口管理部門主管相關(guān)安全風(fēng)險的調(diào)查、處理及糾正措施管理。3.2各系統(tǒng)使用人員負(fù)責(zé)相關(guān)系統(tǒng)安全事故、薄弱點(diǎn)、故障和風(fēng)險的評價、處置報告。4.1信息安全事故定義與分類：4.1.1信息設(shè)備故障、線路故障、軟件故障、惡意軟件危害、人員故意破壞或工作失職等原因直接造成下列影響(后果)之一，均為信息安全事故：b)服務(wù)器停運(yùn)4小時以上；4.1.2信息設(shè)備故障、線路故障、軟件故障、惡意軟件危害、人員故意破壞或工作失職等原因直接造成下列影響(后果)之一，屬于重大信息安全事故：b)服務(wù)器停運(yùn)8小時以上；4.1.3信息安全事件包括：d)未產(chǎn)生惡劣影響的物理進(jìn)入的違規(guī)*****有限公司文件名稱頁碼文件編號4.2故障與事故的報告渠道與處理4.2.1故障、事故報告要求a)各個信息管理系統(tǒng)使用者，在使用過程中如果發(fā)現(xiàn)軟硬件故障、事故，應(yīng)該向該系統(tǒng)歸d)發(fā)生重大信息安全事故，事故受理部門應(yīng)向信息安全管理者代表和4.2.2故障、事故的響應(yīng)當(dāng)措施：a)報告者應(yīng)保護(hù)好故障、事故的現(xiàn)場，并采取適當(dāng)?shù)膽?yīng)急措施，防止事態(tài)的b)按照有關(guān)的故障、事故處理文件(程序、作業(yè)手冊)排除故障，恢復(fù)系統(tǒng)或服務(wù)，必要5.2《信息密級劃分、標(biāo)注及處理控制程序》6記錄保存期限6.1《信息安全風(fēng)險評估報*****有限公司文件名稱頁碼文件編號6.2《糾正/預(yù)防措施申請書》6.3《信息安全事故調(diào)查處理報告》6.4《信息安全薄弱點(diǎn)報告》*****有限公司文件名稱頁碼文件編號略計劃；制訂業(yè)務(wù)持續(xù)性管理實施計劃并實2相關(guān)文件2.1《信息安全管理手冊》2.2《信息資產(chǎn)的識別與風(fēng)險評估管理程序》2.3《事故、薄弱點(diǎn)與故障管理程序》3.1公司常務(wù)副總經(jīng)理負(fù)責(zé)公司業(yè)務(wù)中斷的恢復(fù)的總指揮與總協(xié)調(diào)。3.2集成部負(fù)責(zé)編制、修訂公司業(yè)務(wù)持續(xù)性管理程序，并協(xié)調(diào)、推進(jìn)公司業(yè)務(wù)持續(xù)性管理活3.4技術(shù)部負(fù)責(zé)項目實施過程中設(shè)備及軟件系統(tǒng)的故障處理及與之相關(guān)的作業(yè)中斷的恢復(fù)。3.5集成部負(fù)責(zé)后勤系統(tǒng)設(shè)備及網(wǎng)絡(luò)系統(tǒng)的故障處理及與之相關(guān)的作業(yè)中斷的恢復(fù)。3.6行政部負(fù)責(zé)本部門管理系統(tǒng)及與之相關(guān)的作業(yè)中斷的恢復(fù)。4工作程序4.1業(yè)務(wù)持續(xù)性管理過程*****有限公司文件名稱頁碼文件編號4.2業(yè)務(wù)持續(xù)性和影響的分析4.2.1公司在首次信息安全風(fēng)險評估后進(jìn)行業(yè)務(wù)持續(xù)性和影響的分析。4.2.2業(yè)務(wù)持續(xù)性和影響的分析由集成部組織，技術(shù)部、行政部、生產(chǎn)部及管理者代表指定的相關(guān)部門分別開展以下活動：a)對本部門的信息安全進(jìn)行風(fēng)險評估；b)識別出對本部門業(yè)務(wù)持續(xù)性造成嚴(yán)重影響的主要事件，如設(shè)備故障、火災(zāi)等；c)分析這些事件一旦發(fā)生對公司業(yè)務(wù)活動造成的影響和損失，以及恢復(fù)業(yè)務(wù)所需費(fèi)用等；d)編寫本部門《業(yè)務(wù)持續(xù)性和影響分析報告》(格式見ISMS-4341)。4.2.3《業(yè)務(wù)持續(xù)性和影響分析報告》應(yīng)包括以下內(nèi)容：a)識別關(guān)鍵業(yè)務(wù)的管理過程；b)可能引起公司業(yè)務(wù)活動中斷的主要事件；c)主要事件對本部門管理的信息系統(tǒng)的影響；d)信息系統(tǒng)故障或中斷對公司業(yè)務(wù)活動的影響；e)關(guān)于系統(tǒng)恢復(fù)或替換的費(fèi)用考慮。5記錄5.1《業(yè)務(wù)持續(xù)性和影響分析報告》5.2《業(yè)務(wù)持續(xù)性管理戰(zhàn)略計劃》5.3《業(yè)務(wù)持續(xù)性管理實施計劃》5.4《業(yè)務(wù)持續(xù)性管理計劃測試報告》5.5《業(yè)務(wù)持續(xù)性管理計劃評審報告*****有限公司文件名稱頁碼文件編號第一條為保障公司的合法權(quán)益，充分發(fā)揮作為公司重要資產(chǎn)的技術(shù)秘密、商業(yè)秘密的效益，鼓勵員工不斷創(chuàng)造并自覺維護(hù)技術(shù)秘密、商業(yè)秘密的積極性，根據(jù)《知識產(chǎn)權(quán)管理總則》制訂本制度。第二條公司技術(shù)秘密、商業(yè)秘密的管理目標(biāo)；技術(shù)秘密、商業(yè)秘密是本公司擁有的知識產(chǎn)權(quán)的組成部分，是公司的重要資產(chǎn)。要在公司內(nèi)牢固樹立技術(shù)秘密、商業(yè)秘密的保護(hù)意識；技術(shù)秘密、商業(yè)秘密的管理貫穿研究開發(fā)、生產(chǎn)和經(jīng)營的全過程。明確商業(yè)秘密的界定和保護(hù)。第三條公司內(nèi)的相關(guān)管理制度、合同、記錄等文獻(xiàn)所有文件均屬于商業(yè)機(jī)密。第二章技術(shù)秘密、商業(yè)秘密的定義、確立和管理機(jī)制第四條.本制度所稱的技術(shù)秘密、商業(yè)秘密，是指由公司員工在職務(wù)范圍內(nèi)創(chuàng)造或履行職務(wù)產(chǎn)生的、經(jīng)公司知識產(chǎn)權(quán)管理部門認(rèn)定并采取了保密措施、只在公司一定范圍內(nèi)流傳的、具有商業(yè)價值的所有信息或成果。這些信息或成果以各種紙質(zhì)材料、照片、錄像和計算機(jī)等數(shù)字存儲設(shè)備為載體而能夠為人所感知。具體包括：1.技術(shù)秘密。包括：公司現(xiàn)有的或正在開發(fā)或者構(gòu)思之中的或經(jīng)過技術(shù)創(chuàng)新確定不宜于申請專利的營銷方案，管理制度；2.經(jīng)營信息包括：公司的市場營銷計劃、廣告宣傳方案、銷售方法、供應(yīng)商和客戶名單、客戶的專門需求、未公開的銷售服務(wù)網(wǎng)絡(luò)以及公司現(xiàn)有的、正在開發(fā)或者構(gòu)思之中的經(jīng)營項目等信息及其承載物；3.依據(jù)法律和有關(guān)協(xié)議對第三方負(fù)有保密責(zé)任的第三方商業(yè)秘密。第五條.確定為技術(shù)秘密、商業(yè)秘密的信息及其承載物，歸公司所有。第六條.技術(shù)秘密、商業(yè)秘密的確定程序：1.由參與藥品研發(fā)創(chuàng)新，研發(fā)部就某一項或幾項信息，向公司行政管理部門申報；2.行政董事接到申報后采?。篴)指定參與者中一人專門保管成果或信息的承載物，可以采取加密措施。被指定人一般是項目或業(yè)務(wù)負(fù)責(zé)人或菜肴創(chuàng)造者本人；b)向公司常務(wù)董事匯報并提出是否構(gòu)成技術(shù)秘密、商業(yè)秘密建議。必要時會同指定人向公司常務(wù)董事匯報；c)公司行政董事在接到知識產(chǎn)權(quán)管理部門的匯報后應(yīng)立即作出是否確定為技術(shù)秘密、商業(yè)秘密的決定；d)對于被確定為技術(shù)秘密、商業(yè)秘密的信息或成果，按照本制度第三章和第四章的有關(guān)規(guī)定具體落實管理措施。e)技術(shù)秘密、商業(yè)秘密的確定遵循隨時產(chǎn)生隨時確定的原則，實行動態(tài)管理；第七條商業(yè)秘密管理機(jī)制。公司決策層負(fù)責(zé)技術(shù)秘密、商業(yè)秘密的整體工作。及時、高效地作出審核、批準(zhǔn)、否決等工作，定期檢查各部門的保密工作，作出獎懲決定。公司下屬部門的負(fù)責(zé)人負(fù)責(zé)本部門的日常技術(shù)秘密、商業(yè)秘密管理和保護(hù)工作。定期檢查本部門的保密工作，配合支持知識產(chǎn)權(quán)管理部門履行公司技術(shù)秘密、商業(yè)秘密保護(hù)工作。知識產(chǎn)權(quán)管理部門是公司技術(shù)秘密、商業(yè)秘密保護(hù)工作的職責(zé)機(jī)構(gòu)，具體操作落實與協(xié)調(diào)商業(yè)秘密保護(hù)文件名稱頁碼文件編號的各項工作.公司全體員工是技術(shù)秘密、商業(yè)秘密保護(hù)的實施者。全體員工應(yīng)當(dāng)牢固樹立知識產(chǎn)權(quán)意識，自覺維護(hù)公司的商業(yè)秘密。第三章技術(shù)秘密、商業(yè)秘密及其承載物的管理第八條根據(jù)本制度第六條的規(guī)定，被決策層確立為技術(shù)秘密、商業(yè)秘密的信息或成果，由知識產(chǎn)權(quán)管理部門確立密級和保密期限。密級劃分的標(biāo)準(zhǔn)、保密期限的確立，要參考該信息或成果同公司業(yè)務(wù)的聯(lián)系程度、與同行業(yè)競爭的影響力度、是否為公司運(yùn)營的關(guān)鍵等因案，由知識產(chǎn)權(quán)管理部門劃定。商業(yè)秘密的申報人應(yīng)當(dāng)提供意見。第九條按照技術(shù)秘密、商業(yè)秘密需要保密的程度，參考第八條的標(biāo)準(zhǔn)，技術(shù)秘密、商業(yè)秘密分為三級；絕密、機(jī)密、保密。引外，對于不宜于對外的信息，由行政管理部門確立為“內(nèi)部使用”的資料，參照本制度做好保密工作。絕密——是指一旦泄漏會使公司遭受嚴(yán)重危害和重大損失的信息或成果，包括；公司核心管理秘密、技術(shù)訣竅、財務(wù)報表、藥品研發(fā)工藝、特殊化合同。機(jī)密——是指理一旦泄漏會使公司遭受危害和較大損失的信息，包括：產(chǎn)品開發(fā)、市場營銷等各類工作計劃、公司內(nèi)部重要文件。保密——是指一旦泄漏會使公司遭受損失的信息，包括；藥品銷售情況，用戶名單及其分布，用戶需求信息，限于一定范圍閱讀的公司內(nèi)部文件等。內(nèi)部使用的信息或成果——是指一旦泄漏會對公司業(yè)務(wù)產(chǎn)生一定不良影響的可能的信息或成果，只限于內(nèi)部員工閱讀的公司內(nèi)部文件。第十條.保密資料由專人負(fù)責(zé)管理。公司財務(wù)部對交接來的技術(shù)秘密、商業(yè)秘密檔案材料，根據(jù)其密級于檔案卷宗封面加蓋保密印章，登記、編號后統(tǒng)一放置保密資料專門存放處保存，并建立臺帳登記，重要的資料柜實行雙鑰匙制度。公司各部門要設(shè)立保密資科柜，用于存放各部門經(jīng)常運(yùn)用的或暫時無法交存公司財務(wù)部門保存的技術(shù)秘密、商業(yè)秘密檔案材料，該資料拒應(yīng)由專人管理。第十一條.商業(yè)技術(shù)機(jī)密材料的借閱，必須經(jīng)公司行政董事批準(zhǔn)，確定借閱時間，使用后立即歸還，不得延期，更不得交與他人使用。第十二條.商業(yè)技術(shù)機(jī)密材料的復(fù)印，必須經(jīng)公司行政董事批準(zhǔn)后，由專人(理應(yīng)是財務(wù)部經(jīng)理)復(fù)印，未見公司行政董事批準(zhǔn)意見，一律不得復(fù)印。復(fù)印由專人負(fù)責(zé)，復(fù)印期間不得向他人泄漏，復(fù)印后應(yīng)當(dāng)立即將復(fù)印稿和原稿交還申請復(fù)印人，廢稿要立即銷毀，不得留存或隨意丟棄。第四章技術(shù)秘密、商業(yè)秘密的保障措施第十三條在本公司進(jìn)行技術(shù)創(chuàng)新過程中，任何研發(fā)項目從立項之日起，圍繞該項目的研發(fā)活動進(jìn)入技術(shù)秘密、商業(yè)秘密保護(hù)范圍內(nèi)，產(chǎn)生的任何信息或成果，不論最終產(chǎn)生的知識產(chǎn)權(quán)形式如何，均作為公司的技術(shù)秘密、商業(yè)秘密進(jìn)行保護(hù)。第十四條對于在研發(fā)過程中被確定為技術(shù)秘密、商業(yè)秘密的信息，由于處在不斷發(fā)展改進(jìn)的狀態(tài)下，其檔案材料可以經(jīng)公司知識產(chǎn)權(quán)主管領(lǐng)導(dǎo)批準(zhǔn)后保留在本部門，但必須設(shè)專門存放處保存，以計算機(jī)等保*****有限公司文件名稱頁碼文件編號研發(fā)中的階段性成果，必須形成檔案材料，依照保密措施保存，直到最終成果形成后，將各階段成果形第十五條對于開發(fā)完成的技術(shù)創(chuàng)新成果，除從本公司專利戰(zhàn)略及經(jīng)營實際出發(fā)需要公開的以外，經(jīng)過論專門保存檔案資料等的工作。參與技術(shù)創(chuàng)新的有關(guān)人員，在開發(fā)項目進(jìn)行中，第十六條公司所有員工有義務(wù)保護(hù)公司技術(shù)秘密、商業(yè)秘密的安全。所有員工對于公司技術(shù)秘密、商業(yè)第十七條員工在公司工作期間，因工作需要使用公司的技術(shù)秘密、商業(yè)秘密及其承載物，應(yīng)按照要求的范圍和程度使用，不得將實物、資料等擅自帶離工作崗位，未經(jīng)書面同意，不得隨意進(jìn)行復(fù)制、交流或第十八條員工在參加任何級別的學(xué)術(shù)交流活動、產(chǎn)品訂貨會、技術(shù)鑒定會等會議或活動時，必須注意保護(hù)公司的技術(shù)秘密、商業(yè)秘密，用以交流的文檔或資料事先要經(jīng)過上級審查批準(zhǔn)。第十九條.公司在對外發(fā)布新產(chǎn)品信息和廣告時，要注意避免泄漏公司的技術(shù)秘密、商業(yè)秘密。重要的新產(chǎn)品宣傳、廣告文第二十條公司在接受外公司人員的實習(xí)、合作研究、學(xué)習(xí)進(jìn)修等工作時，對公司的技術(shù)秘密、商業(yè)秘密第二十一條員工因工作需要或其他原因(包括離職、辭職、退休、開除等)調(diào)離原工作崗位或離開公司，應(yīng)將接觸到的所有包含職務(wù)開發(fā)中技術(shù)秘密、商業(yè)秘密的數(shù)據(jù)、文檔等的記錄、模型、軟磁盤、光盤及第五章技術(shù)秘密、商業(yè)秘密效益發(fā)揮的保證措施第二十二條公司在對外的技術(shù)合作過程中，以技術(shù)秘密、商業(yè)秘密為標(biāo)的或其他技術(shù)合同商業(yè)秘密許可的，對于技術(shù)秘密、商業(yè)秘密委托符合執(zhí)業(yè)要求的中介機(jī)構(gòu)完成，并通過合同約定嚴(yán)格的保密措施。明確雙方的第二十三條公司員工在主持或參與對外業(yè)務(wù)談判時要遵守公司的保密紀(jì)律。涉及公司商業(yè)秘密的談判，第二十四條在技術(shù)合作中產(chǎn)生的技術(shù)成果，其知識產(chǎn)權(quán)形式的確定和歸屬由合同約定，凡以技術(shù)秘密、第二十五條因員工開發(fā)或參與開發(fā)的技術(shù)創(chuàng)新項目、新產(chǎn)品技術(shù)或創(chuàng)造發(fā)明而形成的商業(yè)秘密，在對外第二十六條本公司所有正式，試用，兼職，實習(xí)員工無條件遵守*****有限公司文件名稱頁碼文件編號本程序適用于公司與IT相關(guān)各類信息處理設(shè)施(包括各類軟件、硬件、服務(wù)、傳輸線路)的引進(jìn)、本程序通過對技術(shù)選型、驗收、實施、維護(hù)等過程中相關(guān)控制的明確規(guī)定來確保引進(jìn)的信息處理設(shè)2信息處理設(shè)施的分類2.2業(yè)務(wù)管理系統(tǒng)、財務(wù)管理系統(tǒng)，包括2.3辦公用計算機(jī)設(shè)備，包括所有辦公室、會議室內(nèi)的計算機(jī)、打印機(jī)，域控制服務(wù)器，DN3.1XX部主要負(fù)責(zé)全公司與IT相關(guān)各類信息處理設(shè)施及其服務(wù)的引進(jìn)。包括制作技術(shù)規(guī)格書、進(jìn)行技4信息處理設(shè)施的引進(jìn)和安裝4.1引進(jìn)依賴各部門必須采購的信息處理設(shè)施、外包開發(fā)信息系統(tǒng)項目或外包信息系統(tǒng)服務(wù)，得到本部門經(jīng)理的批準(zhǔn)后，向XX部提交申請。XX部以設(shè)備投資計劃，技術(shù)開發(fā)計劃為依據(jù)，結(jié)合對*****有限公司文件名稱頁碼文件編號本公司禁止員工攜帶個人或私有信息處理設(shè)施(例如便攜式電腦、家用電腦或手持設(shè)備PDA等)處4.2進(jìn)行技術(shù)選型XX部負(fù)責(zé)對購入的信息處理設(shè)施的技術(shù)選型，并從技術(shù)角度對供應(yīng)4.3編寫購入規(guī)格書XX部根據(jù)要求，負(fù)責(zé)編寫即將購入的信息處理設(shè)施的購入關(guān)設(shè)施的性能(包括安全相關(guān)信息)、兼容性等要求，由XX部主管審批。4.4定貨4.5開箱檢查，安裝、調(diào)試，驗收a)開箱檢查設(shè)備到貨后，xx部應(yīng)負(fù)責(zé)開箱檢查，依照購買規(guī)格書和裝箱單核對數(shù)量及物品，確認(rèn)有無損壞并記b)安裝、調(diào)試引進(jìn)的設(shè)施到位后，根據(jù)合同要求，由相關(guān)人員進(jìn)行安裝、調(diào)試。在實施調(diào)試過程中出現(xiàn)的問題，c)驗收驗收原則上由XX部實施，必要時可要求相關(guān)部門參加。驗收的合格d)驗收合格后，可向相關(guān)的使用部門移交。*****有限公司文件名稱頁碼文件編號5.1計算機(jī)設(shè)備管理5.1.2各部門配備的計算機(jī)設(shè)備應(yīng)與本部門的日常經(jīng)營情況相適應(yīng)，不得配備與工作不相符的高檔次或不必要的計算機(jī)設(shè)備。辦公場所不配備多媒體類計算機(jī)設(shè)備，原則上部門經(jīng)理以上配備筆記本電腦，因工5.1.4計算機(jī)使用部門填寫《物品領(lǐng)用單》,經(jīng)過本部門經(jīng)理簽字后提交行政部后領(lǐng)取計算機(jī)設(shè)備。計算機(jī)及附屬設(shè)備屬公司信息資產(chǎn)，在行政部備案。有關(guān)計算機(jī)設(shè)備所帶技術(shù)說明書、軟件由行政部保存。使用部門的使用人應(yīng)妥善保管計算機(jī)及附屬設(shè)備，公用計算機(jī)設(shè)備由使用部門經(jīng)理指定專人負(fù)責(zé)使用管5.1.5離職時，應(yīng)將計算機(jī)交還XX部，由XX部注銷賬戶。5.2計算機(jī)設(shè)備維護(hù)5.2.1計算機(jī)使用部門應(yīng)將每部計算機(jī)落實到個人管理。計算機(jī)使用人員負(fù)責(zé)計XX部按照《惡意軟件控制程序》要求進(jìn)行5.2.2計算機(jī)使用部門發(fā)現(xiàn)故障或異常，可先報公司XX管理員處理，如其無法解決，則由XX管理員填5.3計算機(jī)調(diào)配與報廢管理5.3.1用戶計算機(jī)更新后，原來的計算機(jī)由XX部根據(jù)計算機(jī)的技術(shù)狀態(tài)決定調(diào)配使用或予以報廢處理。5.3.2含有敏感信息的計算機(jī)調(diào)配使用或報廢前，計算機(jī)使用部門5.3.3調(diào)配部門內(nèi)部的調(diào)配由使用部門自行處理，并通知XX部進(jìn)行計算機(jī)配置變更，變更執(zhí)行《更改控制程序》。*****有限公司文件名稱頁碼文件編號5.4報廢處理5.4.1計算機(jī)設(shè)備采用集中報廢處理。報廢前由XX部向行政部提出報廢，經(jīng)審核后由XX部實施報廢。5.4.2XX部按照批準(zhǔn)的處置方案進(jìn)行5.5筆記本電腦安全管理5.5.1筆記本電腦應(yīng)由被授權(quán)的使用人保管；對于需多人共用的筆記本電腦，應(yīng)由部門負(fù)責(zé)人指定專人保5.5.2筆記本所帶附件應(yīng)由使用者本人或部門負(fù)責(zé)人指定專人保管。5.5.4筆記本電腦在移動使用中，不能隨意拉接網(wǎng)絡(luò)，需通過填寫《用戶授權(quán)申請表》向XX部提前提出5.6計算機(jī)安全使用的要求5.6.2使用計算機(jī)時應(yīng)遵循信息安全策5.6.4新域用戶名為用戶姓名的拼音(有重名時另設(shè)),初始缺省密碼為XXXXX。用戶在第一次登錄系統(tǒng)時應(yīng)變更密碼，密碼需要設(shè)置在6位以上(英文字母、數(shù)字或符號組合的優(yōu)質(zhì)密碼)并注意保密。5.6.5各人使用自己的賬戶登錄，未經(jīng)許可不得以他人用戶名登錄。若用戶遺忘密碼，應(yīng)及時向研發(fā)部5.6.7計算機(jī)的軟硬件設(shè)置管理由研發(fā)部進(jìn)行，未經(jīng)許可，任何人不得更換計算機(jī)硬件和軟件。5.6.8研發(fā)部負(fù)責(zé)初始軟件的安裝，公司嚴(yán)禁個人私自安裝和更改任何軟件。計算機(jī)用戶的軟件安裝與5.6.9嚴(yán)禁亂拉接電源，以防造成短路5.6.10計算機(jī)桌面要保持清潔，不得將秘密和(或)受控文件直接放置在桌面；計算機(jī)桌面必須設(shè)置屏幕保護(hù)，恢復(fù)時需用密碼確認(rèn)(執(zhí)行密碼口令管理規(guī)定)。鎖屏?xí)r間可根據(jù)自己工作習(xí)慣設(shè)置鎖屏?xí)r間，但最高不得高于5分鐘。各部門負(fù)責(zé)人進(jìn)行監(jiān)督。*****有限公司文件名稱頁碼文件編號5.7網(wǎng)絡(luò)安全使用的要求5.7.2對內(nèi)設(shè)置必要的路由器防火墻，采用HTTP、FTP的連接方式，捆綁固定IP地址防止權(quán)限濫用。6信息處理設(shè)施的日常點(diǎn)檢6.1計算機(jī)的日常點(diǎn)檢6.2網(wǎng)絡(luò)設(shè)備的管理與維護(hù)點(diǎn)檢的流程、責(zé)任、項目、點(diǎn)檢周期和記錄表由XX部負(fù)責(zé)，特別的，在點(diǎn)檢中應(yīng)包括對MAIL的6.3點(diǎn)檢策略6.3.1所有存在于計算機(jī)、網(wǎng)絡(luò)設(shè)備上的服務(wù)、入侵檢測系統(tǒng)、防火墻和其他網(wǎng)絡(luò)邊界訪問控制系統(tǒng)的6.3.3審核日志必須由該系統(tǒng)管理員定期檢查，特權(quán)使用、非授權(quán)訪問的試圖、系統(tǒng)故障和異常等內(nèi)容6.3.4入侵檢測系統(tǒng)必須處于啟動狀態(tài)，日志保存一定的期限，定期評審異?，F(xiàn)象，對所有可疑或經(jīng)確設(shè)備類型日志內(nèi)容保存周期檢查周期對外提供服務(wù)的a)用戶標(biāo)識符(ID);b)登錄和注銷事件；c)若可能，終端位置；≥6個月≤2周直接用于設(shè)計、存儲、≥12個月≤2周≥6個月≤5周*****有限公司文件名稱頁碼文件編號≥6個月≤5周≥6個月≤5周防火墻和系統(tǒng)配置更改日志≥1個月≤5周訪問日志(方向、流量)≥1個月≤5周a)用戶標(biāo)識符(ID);b)登錄和注銷事件；c)終端位置；≥1周≤1周入侵檢測系統(tǒng)異常網(wǎng)絡(luò)連接的時間、IP、≥3個月≤5周遠(yuǎn)程訪問系統(tǒng)a)用戶標(biāo)識符(ID);b)登錄和注銷事件；c)終端位置；≥3個月≤5周6.3.6XX部網(wǎng)絡(luò)管理員根據(jù)系統(tǒng)的安全要求確認(rèn)其日志內(nèi)容、6.3.7XX部網(wǎng)絡(luò)管理員配置日志系統(tǒng)，并定期檢查日志內(nèi)容，評審安全情6.4資料的保存6.4.1設(shè)備的技術(shù)資料由設(shè)備所在的部門交由行政部保存并建立《受控文件和資料發(fā)放清單》,以備日后6.4.2設(shè)備廠商對設(shè)備進(jìn)行維修后提供的維修(維護(hù))記錄單，由XX部保存，以備日后查詢。6.5網(wǎng)絡(luò)掃描工具的安全使用管理6.5.1對網(wǎng)絡(luò)掃描工具的使用，必7其它要求涉及應(yīng)用系統(tǒng)軟件的開發(fā)(包括外包軟件開發(fā))的項目，還需執(zhí)行《系統(tǒng)開發(fā)與維護(hù)控制程序》的*****有限公司文件名稱頁碼文件編號8相關(guān)文件保存部門*****有限公司文件名稱頁碼文件編號1適用本規(guī)定適用于本公司的正式員工和借用員工聘用、任職期間及離職的安全考察與保密控制以及其他相關(guān)人員(合同方、臨時員工)的安全考察與控制。2目的為防止品質(zhì)不良或不具備一定技能的人員進(jìn)入本公司，或不具備一定資格條件的員工被安排在關(guān)鍵或重要崗位，降低員工所帶來人為差錯、盜竊、欺詐及濫用設(shè)施的風(fēng)3職責(zé)3.1行政部負(fù)責(zé)員工聘用、任職期間及離職的安全考察管理及保密協(xié)議的簽訂及其他相關(guān)人員(合同方、臨時員工)的安全考察與控制。4員工錄用4.1人員考察策略4.1.1所有員工在正式錄用(借用)前應(yīng)進(jìn)行以下方面考察：b)應(yīng)聘者學(xué)歷、個人簡歷的檢查(完整性和準(zhǔn)確性);4.2對錄用(借用)人員的考察4.2.1行政部對擬錄用(借用)人員重點(diǎn)進(jìn)行以下方面考察：b)根據(jù)應(yīng)聘者人事經(jīng)歷的記載，了解是否有重大懲戒及犯罪記錄；*****有限公司文件名稱頁碼文件編號d)了解其從事的專業(yè)和具備的技術(shù)水準(zhǔn)，是否符合該崗位的崗位說明書。4.2.3在考察中發(fā)現(xiàn)應(yīng)聘者存在不良傾向的，將不予錄用(借用)。5.3部門在員工離職后要采取相應(yīng)的技術(shù)防范措施(如變更口令、程序等),必要時應(yīng)與信息科技部協(xié)調(diào)。5.4公司和部門要做好員工離職的教育工作，告知其離職后，不得向第三方泄露其在6離職程序6.1員工必須在離職日前30天向本部門部長提出書面離職報告。意見后送行政部。6.3行政部在《員工特別事項處理意見表》上簽署意見后，報行政部部部長、分管副6.4員工離職得到批準(zhǔn)，由部門通知離職員工來人事科辦理離職手續(xù)。離職員工在離職日前必須把擔(dān)當(dāng)?shù)牟块T工作移交完畢。6.5辦理離職手續(xù)6.5.2離職員工按《員工離公司手續(xù)單》的內(nèi)容至公司各部門辦理移交手續(xù)，各相關(guān)部門負(fù)責(zé)按照《用戶訪問控制程序》取消離職員工的訪問權(quán)限。*****有限公司文件名稱頁碼文件編號6.5.3離職員工移交完畢后，由行政部將《退工通知單》和員工的《勞動手冊》交于離職者。6.5.4技術(shù)部門員工離職必須簽訂ISMS-4375《雙邊保密協(xié)定》。6.5.5員工離職后如發(fā)生泄密情況，應(yīng)承擔(dān)由此涉及的法律責(zé)任。7相關(guān)/支持性文件7.1《用戶訪問控制程序》7.2《秘密管理規(guī)程》7.3《人事工作審批程序》8記錄8.1《應(yīng)聘申請表》8.2《崗位調(diào)整審查表》8.3《員工特別事項處理意見表》8.4《員工離公司手續(xù)單》8.5《雙邊保密協(xié)定》*****有限公司文件名稱頁碼文件編號無*****有限公司文件名稱頁碼文件編號5.1計算機(jī)信息系統(tǒng)的安保5.1.1在計算機(jī)信息系統(tǒng)安全保護(hù)工作中成績顯著的單位和個人，由人事部給予表彰、獎勵。5.1.2存在計算機(jī)信息系統(tǒng)安全隱患，由人事部發(fā)出整改通知，限期整改。因不及時整改而發(fā)生重大事故和案件的，由市行對該單位的主管負(fù)責(zé)人和直接負(fù)責(zé)人予以行政處分；構(gòu)成違反治安管理或者違反計算機(jī)管理監(jiān)察行為的，由公安機(jī)關(guān)依法予以處罰；構(gòu)成犯罪的，由司法機(jī)關(guān)依法追究刑事責(zé)任。注：以上條款由本公司信息安全委員會負(fù)責(zé)解釋。*****有限公司文件名稱頁碼文件編號5.2計算機(jī)應(yīng)用與管理違規(guī)行為處罰規(guī)定5.2.1計算機(jī)應(yīng)用、維護(hù)及操作人員違反規(guī)定的，給予經(jīng)濟(jì)處罰或者警告至降級處分；造成嚴(yán)重后果的，給予撤職至開除處分。5.2.2違反規(guī)定，擅自編制、使用、修改業(yè)務(wù)應(yīng)用程序、調(diào)整系統(tǒng)參數(shù)和業(yè)務(wù)數(shù)據(jù)的，給予主管人員和其他責(zé)任人員記過至撤職處分；造成嚴(yán)重后果的，給予主管人員和其他責(zé)任人員留用察看至開除處分。5.2.3利用計算機(jī)進(jìn)行違法違規(guī)活動或者為違法違規(guī)活動提供條件的，給予主管人員和其他責(zé)任人員記過撤職處分；造成嚴(yán)重后果的，給予留用至開除處分。5.2.4違反規(guī)定，有下列危害網(wǎng)絡(luò)安全公司為之一的，給予有關(guān)責(zé)任人員經(jīng)濟(jì)處罰或者警告至記過處分；造成嚴(yán)重后果的，給予記大過至開除處分：(a)在生產(chǎn)經(jīng)營用機(jī)上使用與業(yè)務(wù)無關(guān)的軟件或者利用通訊手段非法侵入其他系統(tǒng)和網(wǎng)絡(luò)的(含從的一個業(yè)務(wù)系統(tǒng)進(jìn)入另一個業(yè)務(wù)系統(tǒng)，從以外的系統(tǒng)和設(shè)備侵入業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)，以及從的業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)進(jìn)入以外的網(wǎng)絡(luò)系統(tǒng));(b)未經(jīng)審批，私自使用內(nèi)部網(wǎng)絡(luò)上的計算機(jī)撥號上國際互聯(lián)網(wǎng)的；(c)將非計算機(jī)設(shè)備接入網(wǎng)絡(luò)系統(tǒng)的；(d)私自卸載或屏蔽計算機(jī)安全軟件的；(e)私自修改計算機(jī)操作系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)安全設(shè)置的；(f)未經(jīng)審批，私自在網(wǎng)絡(luò)系統(tǒng)內(nèi)開設(shè)游戲網(wǎng)站、論壇、聊天室等與工作無關(guān)的網(wǎng)絡(luò)(g)利用郵件系統(tǒng)傳播損害形象的郵件的。5.2.5利用的計算機(jī)設(shè)備和網(wǎng)絡(luò)系統(tǒng)制造、傳播計算機(jī)病毒，給予主管人員和其他責(zé)任人員記過至記大過處分；造成嚴(yán)重后果的，給予主管人員和其他責(zé)任人員降級至開除處分。5.2.6計算機(jī)房值班人員擅自離崗的，給予經(jīng)濟(jì)處罰或者警告處分；造成嚴(yán)重后果的，給予記過至開除處分。5.2.7系統(tǒng)管理和操作人員離開主機(jī)或者終端時沒有按操作規(guī)程退出系統(tǒng)的，給予經(jīng)濟(jì)處罰或者警告至記過處分；造成嚴(yán)重后果的，給予記大過至開除處分。5.2.8違反規(guī)定將屬于的計算機(jī)軟件、文檔、資料、客戶信息等據(jù)為己有、復(fù)制或者借給外單位的，給予有關(guān)責(zé)任人員記過至撤職處分；造成嚴(yán)重后果的，給予留用察看至開除處分。*****有限公司文件名稱頁碼文件編號5.2.9未按規(guī)定進(jìn)行數(shù)據(jù)備份、沒有妥善保管備份數(shù)據(jù)或備分?jǐn)?shù)據(jù)無效的，給予主管人員和其他責(zé)任人員經(jīng)濟(jì)處罰或者警告至記過處分；造成嚴(yán)重后果的，給予記大過至開除處分。5.2.10在對面向客戶的業(yè)務(wù)應(yīng)用系統(tǒng)管理中，從事后臺維護(hù)的技術(shù)人員，違反規(guī)定同時進(jìn)行前臺技術(shù)維護(hù)的，給予主管人員和其他責(zé)任人員記過至記大過處分；造成嚴(yán)重后果的，給予降級至開除處分。5.2.11在業(yè)務(wù)應(yīng)用系統(tǒng)有關(guān)的各項業(yè)務(wù)操作過程中，技術(shù)人員代替業(yè)務(wù)人員操作，或業(yè)務(wù)員允許技術(shù)人員代替從事業(yè)務(wù)操作，給予主管人員和其他責(zé)任人員記過至開除處分。5.2.12偽造信息的，給予主管人員和其他責(zé)任人員警告至降級處分；造成嚴(yán)重后果的，給予撤職至開除處分。*****有限公司文件名稱頁碼文件編號5.3計算機(jī)信息類違規(guī)處罰5.3.1本公司職工違規(guī)操作，給系統(tǒng)造成一定的影響，但沒有影響業(yè)務(wù)正常運(yùn)行或?qū)I(yè)務(wù)造成輕微危害者，給當(dāng)事人警告或嚴(yán)重警告、情節(jié)較重或嚴(yán)重者，視情節(jié)輕重給予當(dāng)事人和主管領(lǐng)導(dǎo)200元以上1000元以下罰款。5.3.2本公司職工違規(guī)操作導(dǎo)致系統(tǒng)發(fā)生問題，影響業(yè)務(wù)長時間正常運(yùn)行，視情況給予處罰，情節(jié)嚴(yán)重者，開除。5.3.3系統(tǒng)管理員凡是不按要求管理，出現(xiàn)公網(wǎng)和內(nèi)網(wǎng)混網(wǎng)現(xiàn)象，或其它安全問題，一經(jīng)發(fā)現(xiàn)，除全公司通報批評外，處以200元罰款，情節(jié)嚴(yán)重者，調(diào)離系統(tǒng)員崗位。5.3.4所有計算機(jī)使用用戶，違規(guī)私自修改網(wǎng)絡(luò)地址進(jìn)入不該進(jìn)入的業(yè)務(wù)網(wǎng)段、或使用內(nèi)網(wǎng)主機(jī)進(jìn)入internet網(wǎng)絡(luò)者，若對系統(tǒng)和業(yè)務(wù)未造成影響，除全公司通報批評外，處以當(dāng)事人和相關(guān)責(zé)任人200元罰款，若對系統(tǒng)或業(yè)務(wù)造成影響著，視情節(jié)輕重，處以500以上10000元以下罰款。5.3.5凡是利用非法手段竊取系統(tǒng)密鑰，進(jìn)入本公司業(yè)務(wù)系統(tǒng)，盜取客戶資料，向外界提供客戶資料并造成客戶損失或進(jìn)入系統(tǒng)作案者，一經(jīng)發(fā)現(xiàn)，立即開除，情節(jié)嚴(yán)重者，送交司法機(jī)關(guān)處置。*****有限公司文件名稱頁碼文件編號5.4獎懲記錄5.4.1系統(tǒng)管理員根據(jù)本公司獎懲管理規(guī)定，對獎懲的實施進(jìn)行記錄并形成《獎懲記錄單》記錄完畢后由系統(tǒng)管理員進(jìn)行留存。*****有限公司文件名稱頁碼文件編號5.5證據(jù)的收集5.5.1當(dāng)信息安全事件涉及到訴訟(民事的或刑事的),需要進(jìn)一步對個人或組織進(jìn)行起訴5.5.2證據(jù)在收集時不得侵犯個人權(quán)益，應(yīng)在不侵犯5.5.3應(yīng)保證證據(jù)的質(zhì)量和完備性，防止未被授權(quán)的篡改和泄5.5.4證據(jù)獲得的保證：本公司應(yīng)確保收集證據(jù)其信息系統(tǒng)符合任何公布的標(biāo)準(zhǔn)或?qū)嵱靡?guī)則*****有限公司文件名稱頁碼文件編號5.6證據(jù)的保存及提供5.6.1提供證據(jù)的份量應(yīng)符合任何適用的要求。對該證據(jù)的存儲和處理的整個時期內(nèi)，應(yīng)進(jìn)行過程控制保證證據(jù)的質(zhì)量和完備性。5.6.2紙面文檔證據(jù)的提供：原物應(yīng)被安全保存且?guī)в邢铝行畔⒌挠涗洠赫l發(fā)現(xiàn)了這個文檔，文檔是在哪兒被發(fā)現(xiàn)的，文檔是什么時候被發(fā)現(xiàn)的，誰來證明這個發(fā)現(xiàn)；任何調(diào)查應(yīng)確保原物沒有被篡改；5.6.3對計算機(jī)介質(zhì)上的信息：任何可移動介質(zhì)的鏡像或拷貝(依賴于適用的要求)、硬盤或內(nèi)存中的信息都應(yīng)確保其可用性；拷貝過程中所有的行為日志都應(yīng)保存下來，且應(yīng)有證據(jù)證明該過程；原始的介質(zhì)和日志(如果這一點(diǎn)不可能的話，那么至少有一個鏡像或拷貝)應(yīng)安全保存且不能改變5.6.4任何法律取證工作應(yīng)僅在證據(jù)材料的拷貝上進(jìn)行。所有證據(jù)材料的完整性應(yīng)得到保護(hù)。證據(jù)材料的拷貝必須在可信耐人員的監(jiān)督下進(jìn)行，什么時候在什么地方執(zhí)行的拷貝過程，誰執(zhí)行的拷貝活動，以及使用了哪種工具和程序，這些信息都應(yīng)記錄作為日志。《獎懲記錄單》*****有限公司文件名稱頁碼文件編號根據(jù)ISO/IEC27001:2013標(biāo)準(zhǔn)和公司實際管理需要，確定標(biāo)準(zhǔn)各條款對公司的適用性，特編適用于對ISO/IEC27001:2013標(biāo)準(zhǔn)于本公司的適用性管理。3.職責(zé)與權(quán)限3.1最高管理者3.2綜合部5.術(shù)語定義無*****有限公司文件名稱頁碼文件編號條款號目標(biāo)/控制是否指引目標(biāo)控制批準(zhǔn)發(fā)布。的評審控制確保方針持續(xù)的適應(yīng)性。條款號目標(biāo)/控制是否目標(biāo)管理組織內(nèi)部信息安全。和職責(zé)控制保持特定資產(chǎn)和完成特定安全過程的所有信息安全職責(zé)分離控制范圍，以減少對組織資產(chǎn)未經(jīng)授權(quán)訪問、無意修改或誤用的機(jī)會。與監(jiān)管機(jī)構(gòu)的聯(lián)系控制與相關(guān)監(jiān)管機(jī)構(gòu)保持適當(dāng)與特殊利益團(tuán)體的聯(lián)系控制項目管理中的信息安全控制實施任何項目時應(yīng)考慮信辦公目標(biāo)控制全措施管控使用移動設(shè)備遠(yuǎn)程辦公控制系統(tǒng)的情況，需要進(jìn)行安全控制。*****有限公司文件名稱頁碼文件編號條款號目標(biāo)/控制是否目標(biāo)控制件控制履行信息安全保密協(xié)議是聘用期間目標(biāo)管理職責(zé)控制缺乏管理職責(zé)，會使人員意識淡薄，從而對組織造成負(fù)面安全影響。信息安全意識、控制信息安全意識及必要的信息系統(tǒng)操作技能培訓(xùn)是信息安全管理工作的前提。懲戒過程控制化目標(biāo)控制務(wù)在任用終止或變更后仍傳達(dá)并執(zhí)行。條款號目標(biāo)/控制是否資產(chǎn)責(zé)任目標(biāo)對我司資產(chǎn)(包括顧客要求保密的數(shù)據(jù)、軟件及產(chǎn)品)進(jìn)行有效保護(hù)。資產(chǎn)清單控制建立重要資產(chǎn)清單并實施制程序》資產(chǎn)責(zé)任人控制有者”制程序》序》資產(chǎn)的合理使用控制識別與信息系統(tǒng)或服務(wù)相并將其文件化，并予以實序》*****有限公司文件名稱頁碼文件編號條款號目標(biāo)/控制是否資產(chǎn)的歸還控制所有員工和外部方人員應(yīng)退還所有他們持有的組織序》序》目標(biāo)我司根據(jù)信息的敏感性對信息進(jìn)行分類，明確保護(hù)要分類指南控制我司的信息安全涉及信息的敏感性，適當(dāng)?shù)姆诸惪刂剖潜匾?。南》信息?biāo)識控制南》資產(chǎn)處理控制類方法制定和實施資產(chǎn)處理程序序》目標(biāo)防止存儲在介質(zhì)上的信息被非授權(quán)泄露、修改、刪除控制我司存在含有敏感信息的告等可移動介質(zhì)?？刂飘?dāng)介質(zhì)不再需要時，對含有敏感信息介質(zhì)采用安全的控制護(hù)，防止未經(jīng)授權(quán)的訪問、濫用或在運(yùn)輸過程中的損壞。條款號目標(biāo)/控制是否需求目標(biāo)限制對信息和信息處理設(shè)施的訪問控制略，并根據(jù)業(yè)務(wù)和安全要求對策略進(jìn)行評審。務(wù)的訪問控制制定策略，明確用戶訪問網(wǎng)非授權(quán)的網(wǎng)絡(luò)訪問。目標(biāo)*****有限公司文件名稱頁碼文件編號條款號目標(biāo)/控制是否訪問。用戶注冊和注銷控制應(yīng)建立用戶登記和注銷登供控制有信息系統(tǒng)及服務(wù)的訪問?？刂茩?quán)不適當(dāng)?shù)氖褂脮斐上涤脩粽J(rèn)證信息的控制應(yīng)通過一個正式的管理過用戶訪問權(quán)限的評審控制對用戶訪問權(quán)限進(jìn)行評審是必要的，以防止非授權(quán)的訪問。撤銷或調(diào)整訪問控制在跟所有員工和承包商刪除或調(diào)整其信息和信息處理設(shè)施的訪問權(quán)限○《人力資源安全管理程《相關(guān)方服務(wù)管理程目標(biāo)確保用戶對認(rèn)證信息的保護(hù)負(fù)責(zé)。認(rèn)證信息的使用控制系統(tǒng)和應(yīng)用訪問控制目標(biāo)防止對系統(tǒng)和應(yīng)用的未授權(quán)訪問信息訪問限制控制我司信息訪問權(quán)限是根據(jù)業(yè)務(wù)運(yùn)做的需要及信息安問功能應(yīng)加以限制。安全登錄程序控制控制為減少非法訪問操作系統(tǒng)的機(jī)會，應(yīng)對密碼進(jìn)行管特權(quán)程序的使用控制全。控制《軟件開發(fā)安全控制程*****有限公司文件名稱頁碼文件編號標(biāo)準(zhǔn)條款號標(biāo)題目標(biāo)/控制是否問控制行限制。條款號目標(biāo)/控制是否加密控制目標(biāo)密性、真實性、完整性。使用加密控制的控制 定》控制司對密碼技術(shù)的使用 定》條款號目標(biāo)/控制是否安全區(qū)域目標(biāo)防止對組織信息和信息處理設(shè)施的未經(jīng)授權(quán)物理訪問、破壞和干擾?？刂莆宜居邪匾畔⒓靶畔⑻幚碓O(shè)施的區(qū)域，應(yīng)確定其安全周界對其實施保護(hù)。物理進(jìn)入控制控制未經(jīng)授權(quán)的非法訪問會對辦公室、房間及設(shè)施的安全控制部、房間和設(shè)施應(yīng)有特殊的安全要求。防范外部和環(huán)境控制范火災(zāi)、水災(zāi)、地震，以及其它形式的自然或人為災(zāi)害。在安全區(qū)域工作控制在安全區(qū)域工作的人員只保證安全區(qū)域安全?！断嚓P(guān)方服務(wù)管理程序》送貨和裝卸區(qū)控制問到的地點(diǎn)進(jìn)行控制，防止外來人員直接進(jìn)入重要安*****有限公司文件名稱頁碼文件編號條款號目標(biāo)/控制是否設(shè)備安全目標(biāo)防止資產(chǎn)的遺失、損壞、偷竊等導(dǎo)致的組織業(yè)務(wù)中設(shè)備安置及保護(hù)控制災(zāi)、吸煙、油污、未經(jīng)授權(quán)訪問等威脅。序》控制電力中斷或者其它支持設(shè)施故障而導(dǎo)致的中斷的影序》線纜安全控制通信電纜、光纜需要進(jìn)行正常的維護(hù)，以防止偵聽和損壞。設(shè)備維護(hù)控制設(shè)備保持良好的運(yùn)行狀態(tài)是保持信息的完整性及可序》資產(chǎn)轉(zhuǎn)移控制軟件帶到場所外。序》場外設(shè)備和資產(chǎn)安全控制我司有筆記本移動設(shè)備，離開正常的辦公場所應(yīng)進(jìn)行授權(quán)的訪問等危害的發(fā)生。序》設(shè)備報廢或重用控制對我司儲存有關(guān)敏感信息的設(shè)備，如服務(wù)器、硬盤，對其處置和再利用應(yīng)將其序》控制桌面清空及清屏控制幕策略，會受到資產(chǎn)丟失、失竊或遭到非法訪問的威脅。標(biāo)準(zhǔn)條款號標(biāo)題目標(biāo)/控制是否操作程序及職責(zé)目標(biāo)*****有限公司文件名稱頁碼文件編號條款號目標(biāo)/控制是否序控制控制未加以控制的信息處理設(shè)備和系統(tǒng)更改會造成系統(tǒng)序》控制為避免因系統(tǒng)容量不足導(dǎo)致系統(tǒng)故障，監(jiān)控容量需求并規(guī)劃將來容量是必須定》行環(huán)境的分離控制以降低未授權(quán)訪問或?qū)Σ僮飨到y(tǒng)變更的風(fēng)險序》防范惡意軟件目標(biāo)件?？刂圃诘?，應(yīng)實施惡意代碼的監(jiān)測、預(yù)防和恢復(fù)控制，以及適當(dāng)?shù)挠脩粢庾R培訓(xùn)目標(biāo)防止數(shù)據(jù)丟失控制份是必須的，以防止信息和軟件的丟失和不可用，日志記錄和監(jiān)控目標(biāo)事件日志控制立事件日志(審核日志)是定》日志信息保護(hù)控制日志記錄設(shè)施以及日志信息應(yīng)該被保護(hù)，防止被篡定》管理員和操作者日志控制定》時鐘同步控制實施時鐘同步，是生產(chǎn)、經(jīng)營與獲取客觀證據(jù)的需定》*****有限公司文件名稱頁碼文件編號條款號目標(biāo)/控制是否制目標(biāo)確保運(yùn)營中系統(tǒng)的完整性。控制應(yīng)建立程序?qū)\(yùn)營中的系統(tǒng)的軟件安裝進(jìn)行控制。目標(biāo)防止技術(shù)漏洞被利用。管理技術(shù)薄弱點(diǎn)控制及時獲得正在使用信息系統(tǒng)的技術(shù)薄弱點(diǎn)的相關(guān)信息，應(yīng)評估對這些薄弱點(diǎn)的暴露程度，并采取適當(dāng)?shù)姆椒ㄌ幚硐嚓P(guān)風(fēng)險。限制軟件安裝控制安裝規(guī)則。的考慮因素目標(biāo)最小化審計活動對系統(tǒng)運(yùn)營影響。信息系統(tǒng)審核控制控制驗證所涉及的審核要求和活動并獲得許可，以最小化中斷業(yè)務(wù)過程。條款號目標(biāo)/控制是否網(wǎng)絡(luò)安全管理目標(biāo)網(wǎng)絡(luò)控制控制制，以保護(hù)系統(tǒng)和應(yīng)用程網(wǎng)絡(luò)服務(wù)安全控制應(yīng)識別所有網(wǎng)絡(luò)服務(wù)的安全機(jī)制、服務(wù)等級和管務(wù)協(xié)議中，無論這種服務(wù)是由內(nèi)部提供的還是外包的。網(wǎng)絡(luò)隔離控制應(yīng)在網(wǎng)絡(luò)中按組隔離信息服務(wù)、用戶和信息系統(tǒng)○目標(biāo)確保信息在組織內(nèi)部或與外部組織之間傳輸?shù)陌踩：统绦蚩刂茟?yīng)建立正式的傳輸策略、*****有限公司文件名稱頁碼文件編號標(biāo)準(zhǔn)條款號標(biāo)題目標(biāo)/控制是否控制建立組織和外部各方之間的業(yè)務(wù)信息的安全傳電子消息控制應(yīng)適當(dāng)保護(hù)電子消息的保密或不披露協(xié)議控制應(yīng)制定并定期評審組織的信息安全保密協(xié)議或不披露協(xié)議，該協(xié)議應(yīng)反條款號目標(biāo)/控制是否信息系統(tǒng)安全需求目標(biāo)部分，包括通過公共網(wǎng)絡(luò)提供服務(wù)的信息系統(tǒng)的要析和規(guī)范控制有信息系統(tǒng)的需求中應(yīng)包括信息安全相關(guān)的要 公共網(wǎng)絡(luò)應(yīng)用服控制應(yīng)保護(hù)流經(jīng)公共網(wǎng)絡(luò)的控制應(yīng)保護(hù)應(yīng)用服務(wù)傳輸中的信息，以防止不完整的傳輸、路由錯誤、未授權(quán)的消息修改、未經(jīng)授權(quán)的泄漏、未授權(quán)的信息復(fù)制的安全目標(biāo)確保信息系統(tǒng)開發(fā)生命周期中設(shè)計和實施信息安控制序控制為防止未授權(quán)或不充分的更改，導(dǎo)致系統(tǒng)故障與中斷，需要實施嚴(yán)格更改控操作平臺變更后的技術(shù)評審控制應(yīng)用系統(tǒng)會造成嚴(yán)重的影軟件包變更限制控制文件名稱頁碼文件編號條款號目標(biāo)/控制是否安全系統(tǒng)工程原則控制用安全系統(tǒng)工程原則，并控制在整個系統(tǒng)開發(fā)生命周期的系統(tǒng)開發(fā)和集成工作中，應(yīng)建立并妥善保障開發(fā)環(huán)外包開發(fā)控制系統(tǒng)安全測試控制系統(tǒng)驗收測試控制級及新版本的驗收測試程測試數(shù)據(jù)目標(biāo)測試數(shù)據(jù)的保護(hù)控制條款號目標(biāo)/控制是否供應(yīng)商關(guān)系的目標(biāo)供應(yīng)商關(guān)系的控制為降低供應(yīng)商使用組織的資產(chǎn)相關(guān)的風(fēng)險，應(yīng)與供協(xié)議。中強(qiáng)調(diào)安全控制與每個供應(yīng)商簽訂的協(xié)議中應(yīng)覆蓋所有相關(guān)的安全要求。如可能涉及對組織的IT基礎(chǔ)設(shè)施組件、信息的訪問、處理、存儲、術(shù)的供應(yīng)鏈控制供應(yīng)商協(xié)議應(yīng)包括信息、目標(biāo)*****有限公司文件名稱頁碼文件編號條款號目標(biāo)/控制是否供應(yīng)商服務(wù)的監(jiān)督和評審控制組織應(yīng)定期監(jiān)督、評審和審核供應(yīng)商的服務(wù)交付。供應(yīng)商服務(wù)的控制條款號目標(biāo)/控制是否的管理和改進(jìn)目標(biāo)職責(zé)和程序控制以快速、有效和有序的響控制應(yīng)通過適當(dāng)?shù)墓芾硗緩奖M弱點(diǎn)控制和服務(wù)的員工和承包商注意并報告系統(tǒng)或服務(wù)中任何已發(fā)現(xiàn)或疑似的信息安評估和決策信息安全事件控制應(yīng)評估信息安全事件，以決定其是否被認(rèn)定為信息響應(yīng)信息安全控制應(yīng)按照文件化程序響應(yīng)信從信息安全事故中學(xué)習(xí)控制獲得的知識應(yīng)用來減少未來事故的可能性或影響。收集證據(jù)控制識別、收集、采集和保存標(biāo)準(zhǔn)條款號標(biāo)題目標(biāo)/控制是否*****有限公司文件名稱頁碼文件編號條款號目標(biāo)/控制是否目標(biāo)體系。的連續(xù)性控制管理的安全和連續(xù)性，如在危機(jī)或災(zāi)難時。實施信息安全的連續(xù)性控制性水平。估信息安全的控制組織應(yīng)定期驗證已建立并實施的信息安全連續(xù)性控制，以確保其有效并可在災(zāi)害情況下奏效。冗余目標(biāo)確保信息處理設(shè)施的可用性。的可用性控制夠的冗余以滿足可用性要求。條款號目標(biāo)/控制是否定的符合性目標(biāo)律法規(guī)和合同控制律、法規(guī)與合同的要求及組織件，并針對組織及每個信知識產(chǎn)權(quán)控制應(yīng)實施適當(dāng)?shù)某绦?，以確保對知識產(chǎn)權(quán)軟件產(chǎn)品的使用符合相關(guān)的法律、法控制應(yīng)按照法律法規(guī)、合同和業(yè)務(wù)要求，保護(hù)記錄免受損壞、破壞、未授權(quán)訪問和*****有限公司文件名稱頁碼文件編號條款號目標(biāo)/控制是否個人信息和隱私的保護(hù)控制護(hù)應(yīng)滿足相關(guān)法律法規(guī)的控制加密控制的使用應(yīng)遵循相信息安全評審目標(biāo)立評審控制(如，信息安全控制目標(biāo)、控制措施、策略、過程和程序)進(jìn)行獨(dú)立評審。控制管理層應(yīng)定期評審管轄范圍內(nèi)的信息處理過程符合安全策略、標(biāo)準(zhǔn)及其他安審控制織的信息安全策略、標(biāo)準(zhǔn)《技術(shù)符合性管理規(guī)*****有限公司文件名稱頁碼文件編號1.0目的在ISMS覆蓋范圍內(nèi)對信息安全現(xiàn)行狀況進(jìn)行系統(tǒng)風(fēng)險評估，形成評估報告，描述風(fēng)險等級，識別和評價供處理風(fēng)險的可選措施，選擇控制目標(biāo)和控制措施處理風(fēng)險。2.0適用范圍在ISMS覆蓋范圍內(nèi)主要信息資產(chǎn)3.0定義(無)4.0職責(zé)4.1各部門負(fù)責(zé)部門內(nèi)部資產(chǎn)的識別，確定資產(chǎn)價值。4.2信息安全部負(fù)責(zé)風(fēng)險評估和制訂控制措施。4.3CEO負(fù)責(zé)信息系統(tǒng)運(yùn)行的批準(zhǔn)。5.0流程圖*****有限公司文件名稱頁碼文件編號職責(zé)是否否是重要資產(chǎn)清單威脅/脆弱性因素表風(fēng)險評估表殘余風(fēng)險清單安全措施實施計劃*****有限公司文件名稱頁碼文件編號6.0內(nèi)容6.1資產(chǎn)的識別6.1.1各部門每年按照管理者代表的要求負(fù)責(zé)部門內(nèi)部資產(chǎn)的識別，確定資產(chǎn)價6.1.2資產(chǎn)分類員等類。6.1.3資產(chǎn)(A)賦值選擇對資產(chǎn)機(jī)密性、完整性和可用性最為重要(分值最高)的一個屬性的1)機(jī)密性賦值根據(jù)資產(chǎn)在機(jī)密性上的不同要求，將其分為五個不同的等級，分別對應(yīng)資產(chǎn)在機(jī)密性上的應(yīng)達(dá)成的不同程度或者機(jī)密性缺失時對整個組織的影賦值標(biāo)識定義5極高包含組織最重要的秘密，關(guān)系未來發(fā)展的前途命運(yùn)，對組織根本利益有著決定性影響，如果泄漏會造成災(zāi)難性的損害4高包含組織的重要秘密，其泄露會使組織的安全和利益遭受嚴(yán)重?fù)p害3中等包含組織的一般性秘密，其泄露會使組織的安全和利益受到損害2低包含僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息，向外擴(kuò)散有可能對組織的利益造成損害可忽略包含可對社會公開的信息，公用的信息處理設(shè)備和系統(tǒng)資源等2)完整性賦值根據(jù)資產(chǎn)在完整性上的不同要求，將其分為五個不同的等級，分別對應(yīng)*****有限公司文件名稱頁碼文件編號賦值標(biāo)識定義5極高完整性價值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會對組織造成重大的或無法接受的影響，對業(yè)務(wù)沖擊重大，并可能造成嚴(yán)重的業(yè)務(wù)中斷，難以彌補(bǔ)4高完整性價值較高，未經(jīng)授權(quán)的修改或破壞會對組織造成重大影響，對業(yè)務(wù)沖擊嚴(yán)重，比較難以彌補(bǔ)3中等完整性價值中等，未經(jīng)授權(quán)的修改或破壞會對組織造成影響，對業(yè)務(wù)沖擊明顯，但可以彌補(bǔ)2低完整性價值較低，未經(jīng)授權(quán)的修改或破壞會對組織造成輕微影響，可以忍受，對業(yè)務(wù)沖擊輕微，容易彌補(bǔ)可忽略的影響可以忽略，對業(yè)務(wù)沖擊可以忽略3)可用性賦值根據(jù)資產(chǎn)在可用性上的不同要求，將其分為五個不同的等級，分別對應(yīng)賦值標(biāo)識定義5極高可用性價值非常高，合法使用者對信息及信息系統(tǒng)的可用度達(dá)到年度99.9%以上4高可用性價值較高，合法使用者對信息及信息系統(tǒng)的可用度達(dá)到每天90%以上3中等可用性價值中等，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達(dá)到70%以上2低可用性價值較低，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達(dá)到25%以上可忽略可用性價值可以忽略，合法使用者對信息及信息系統(tǒng)的3分以上為重要資產(chǎn)，重要信息資產(chǎn)由信息安全部確立清單6.2威脅識別6.2.1威脅分類*****有限公司文件名稱頁碼文件編號6.2.2威脅(T)賦值評估者應(yīng)根據(jù)經(jīng)驗和(或)有關(guān)的統(tǒng)計數(shù)據(jù)來判斷威脅出現(xiàn)的頻率。威脅脅出現(xiàn)的頻率越高。威脅賦值見下表。等級標(biāo)識定義5很高以證實經(jīng)常發(fā)生過(每天)4高可以證實多次發(fā)生過(每周)3中經(jīng)發(fā)生過(每月、曾經(jīng)發(fā)生過)2低生過(每年)1很低生(特殊情況)6.3脆弱性識別6.3.1脆弱性識別內(nèi)容6.3.2脆弱性(V)嚴(yán)重程度賦值脆弱性嚴(yán)重程度的等級劃分為五級，分別代表資產(chǎn)脆弱性嚴(yán)重程度的高低。等級數(shù)值越大，脆弱性嚴(yán)重程度越高。脆弱性嚴(yán)重程度賦值見下表等級標(biāo)識定義5很高如果被威脅利用，將對資產(chǎn)造成完全損害(90%以上)4高如果被威脅利用，將對資產(chǎn)造成重大損害(70%)3中如果被威脅利用，將對資產(chǎn)造成一般損害(30%)2低如果被威脅利用，將對資產(chǎn)造成較小損害(10%)很低如果被威脅利用，將對資產(chǎn)造成的損害可以忽略(10%以下)*****有限公司文件名稱頁碼文件編號6.4已有安全措施的確認(rèn)ISMS小組應(yīng)對已采取的安全措施的有效性進(jìn)行確認(rèn)，對有效的安全措施繼續(xù)保持，以避免不必要的工作和費(fèi)用，防止安全措施的重復(fù)實施。對于確認(rèn)為不適當(dāng)?shù)陌踩胧?yīng)核實是否應(yīng)被取消，或者用更合適的安全措施替代。6.5風(fēng)險分析完成了資產(chǎn)識別、威脅識別、脆弱性識別，以及對已有安全措施確認(rèn)后，ISMS小組采用矩陣法確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，考慮安全事件一旦發(fā)生其所作用的資產(chǎn)的重要性及脆弱性的嚴(yán)重程度判斷安全事件造成的損失對組織的影響，即安全風(fēng)險。6.5.1安全事件發(fā)生的可能性等級P=(T*V)?.5,6.5.2安全事件發(fā)生后的損失等級L=(A*V)?.5,6.5.3風(fēng)險值R=(L*P),風(fēng)險等級風(fēng)險值風(fēng)險等級23456.5.4風(fēng)險管理策略完全的消除風(fēng)險是不可能和不實際的。公司需要有效和經(jīng)濟(jì)的運(yùn)轉(zhuǎn)，因此必須根據(jù)安全事件的可能性和對業(yè)務(wù)的影響來平衡費(fèi)用、時間、安全尺度幾個方面的問題。公司在考慮接受殘余風(fēng)險時的標(biāo)準(zhǔn)為只接受中或低范圍內(nèi)的風(fēng)險；但是對于必須投入很高的費(fèi)用才能將殘余風(fēng)險降為中或低的情況，則分階段實施控制。風(fēng)險值越高，安全事件發(fā)生的可能性就越高，安全事件對該資產(chǎn)以及業(yè)務(wù)的影響也就越大，風(fēng)險管理策略有以下：●接受風(fēng)險：接受潛在的風(fēng)險并繼續(xù)運(yùn)行信息系統(tǒng)，不對風(fēng)險進(jìn)行處理。●降低風(fēng)險：通過實現(xiàn)安全措施來降低風(fēng)險，從而將脆弱性被威脅源利用后可能帶來的不利影響最小化(如使用防火墻、漏洞掃描系統(tǒng)等安全產(chǎn)品)。●規(guī)避風(fēng)險：不介入風(fēng)險，通過消除風(fēng)險的原因和/或后果(如放棄系統(tǒng)某項功能或關(guān)閉系統(tǒng))來規(guī)避風(fēng)險?！褶D(zhuǎn)移風(fēng)險：通過使用其它措施來補(bǔ)償損失，從而轉(zhuǎn)移風(fēng)險，如購買保險。*****有限公司文件名稱頁碼文件編號風(fēng)險等級3(含)以上為不可接受風(fēng)險，3(不含)以下為可接受風(fēng)險。如果是可接受風(fēng)險，可保持已有的安全措施；如果是不可接受風(fēng)險，則需要采取安全措施以降低、控制風(fēng)險。安全措施的選擇應(yīng)兼顧管理與技術(shù)兩個方面，可以參照信息安全的相關(guān)標(biāo)準(zhǔn)實施。6.6確定控制目標(biāo)、控制措施和對策基于在風(fēng)險評估結(jié)果報告中提出的風(fēng)險級別，ISMS小組對風(fēng)險處理的工作進(jìn)行優(yōu)先級排序。高等級(例如被定義為“非常高”或“高”風(fēng)險級的風(fēng)險)的風(fēng)險項應(yīng)該最優(yōu)先處理?！裨u估所建議的安全措施●實施成本效益分析●選擇安全措施●制定安全措施的實現(xiàn)計劃●實現(xiàn)所選擇的安全措施6.7殘余風(fēng)險的監(jiān)視與處理風(fēng)險處理的最后過程中，ISMS小組應(yīng)列舉出信息系統(tǒng)中所有殘余風(fēng)險的清單。在信息系統(tǒng)的運(yùn)行中，應(yīng)密切監(jiān)視這些殘余風(fēng)險的變化，并及時處理。每年年初評估信息系統(tǒng)安全風(fēng)險時，對殘余風(fēng)險和已確定的可接受的風(fēng)險級別進(jìn)行評審時，應(yīng)考慮以下方面的變化：●外部事件，如法律法規(guī)環(huán)境的變更、合同義務(wù)的變更和社會環(huán)境的變更。6.8信息系統(tǒng)運(yùn)行的批準(zhǔn)ISMS小組考察風(fēng)險處理的結(jié)果，判斷殘余風(fēng)險是否處在可接受的水平之內(nèi)?；谶@一判斷，管理層將做出決策，決定是否允許信息系統(tǒng)運(yùn)行。如果信息系統(tǒng)的殘余風(fēng)險不可接受，而現(xiàn)實情況又要求系統(tǒng)必須投入運(yùn)行，且當(dāng)前沒有其它資源能勝任單位的使命。這時可以臨時批準(zhǔn)信息系統(tǒng)投入運(yùn)行。在這種情況下，必須由信息系統(tǒng)的主管者決定臨時運(yùn)行的時間段，制定出在此期間的應(yīng)急預(yù)案以及繼續(xù)處理風(fēng)險的措施。在臨時運(yùn)行的時間段結(jié)束后，應(yīng)重*****有限公司文件名稱頁碼文件編號新評估殘余風(fēng)險的可接受度。如果殘余風(fēng)險仍然不可接受，則一般不應(yīng)再批準(zhǔn)信息系統(tǒng)臨時運(yùn)行。7.0相關(guān)文件7.1《GB/T20984-2007信息安全風(fēng)險評估規(guī)范》7.2《信息資產(chǎn)管理制度》8.0記錄8.1《信息資產(chǎn)識別表》8.2《重要資產(chǎn)清單》8.3《威脅/脆弱性因素表》8.4《風(fēng)險評估表》8.5《安全措施實施計劃》8.6《殘余風(fēng)險清單》*****有限公司文件名稱頁碼文件編號通過驗證信息安全管理體系是否符合標(biāo)準(zhǔn)和策劃安排的要求，是否得到有效的保持、實施，確保管理體系的方針目標(biāo)實現(xiàn)并持續(xù)改進(jìn)。1、管理者代表負(fù)責(zé)批準(zhǔn)內(nèi)審計劃、內(nèi)審報告，并負(fù)責(zé)組織審核工作，任命審核組長。2、內(nèi)審組長編制內(nèi)審計劃，并負(fù)責(zé)審核的具體實施以及報告內(nèi)審結(jié)果。3、各單位負(fù)責(zé)配合內(nèi)部審核的實施，并對審核不符合情況進(jìn)行整改。1、內(nèi)審策劃1)根據(jù)公司信息安全的實際運(yùn)行狀況，并根據(jù)審核對象重要程度、結(jié)合以往審核的結(jié)果，整體策劃管理體系內(nèi)部審核的方案。2)根據(jù)需要，審核可覆蓋體系全部要求和單位，也可以專門針對某幾項要求或單位進(jìn)行重點(diǎn)審核，各單位也可根據(jù)各自的實際情況，分別組織審核。3)公司每年至少組織一次內(nèi)審，每年的審核必須覆蓋管理體系的全部單位和全部要求至少一次。4)出現(xiàn)以下情況時由管理者代表決定是否增加審核次數(shù)：●組織機(jī)構(gòu)、管理體系發(fā)生重大變化。●出現(xiàn)重大信息安全事故?！穹?、法規(guī)及其他外部要求的變更。●其他認(rèn)為必要時。2、審核前的準(zhǔn)備1)管理者代表負(fù)責(zé)組成審核組、任命內(nèi)審組長。內(nèi)審組長負(fù)責(zé)具體策劃審核安排，并編制《審核計劃》,報管理者代表批準(zhǔn)。實施計劃應(yīng)明確：●審核目的、范圍、時間、依據(jù)?！駥徍私M成員及分工安排，審核員應(yīng)與受審部門無直接責(zé)任關(guān)系。●受審核部門及審核要點(diǎn)，預(yù)定時間安排?！駥徍酥械淖⒁馐马棥?)組長應(yīng)組織審核組編寫《內(nèi)審檢查表》,明確審核的內(nèi)容、方法。3)《審核計劃》應(yīng)于內(nèi)審開始前發(fā)放至受審部門，受審部門對內(nèi)審安排如有異議，應(yīng)及時通知內(nèi)審組長。*****有限公司文件名稱頁碼文件編號4)內(nèi)部審核員應(yīng)經(jīng)專業(yè)機(jī)構(gòu)培訓(xùn)合格，經(jīng)管理者代表批準(zhǔn)資格。3、內(nèi)審的實施1)內(nèi)審開始，應(yīng)由內(nèi)審組長主持召開首次會議，領(lǐng)導(dǎo)層、內(nèi)審組成員及各受審核單位負(fù)責(zé)人參加并簽到。2)內(nèi)審組應(yīng)按照《審核計劃》的安排實施內(nèi)審。審核員應(yīng)根據(jù)《內(nèi)審檢查表》的要求，對受審單位、區(qū)域和工作的狀況及績效進(jìn)行調(diào)查取證，以評價受審核部門和區(qū)域的體系運(yùn)行的符合性、充分性和有效性。3)審核員應(yīng)在檢查表中準(zhǔn)確記錄現(xiàn)場審核發(fā)現(xiàn)，尤其是體系運(yùn)行不符合和有效性差的審核發(fā)現(xiàn)。內(nèi)審組長應(yīng)全面了解內(nèi)審情況，對不符合項報告進(jìn)行核對。4)審核員應(yīng)保持公正、客觀的態(tài)度，如實地反饋審核的情況。5)現(xiàn)場審核后，審核組長應(yīng)組織審核組綜合分析審核檢查結(jié)果，綜合評價審核單位、區(qū)域和工作的運(yùn)行狀況、績效以及體系持續(xù)改進(jìn)的狀況，作出審核結(jié)論。同時對照與顧客的合同、各項標(biāo)準(zhǔn)、體系文件及有關(guān)法律法規(guī)要求，對審核中發(fā)現(xiàn)的問題經(jīng)確認(rèn)為不合格項的，發(fā)出《不合格報告》,交相關(guān)單位負(fù)責(zé)人確認(rèn)。同時審核組應(yīng)進(jìn)行不符合項的分布情況分析。6)審核組長應(yīng)主持召開末次會議，由領(lǐng)導(dǎo)層、內(nèi)審組成員及各受審單位負(fù)責(zé)人參加。由內(nèi)審組長報告審核的計劃、實施過程及審核結(jié)論，宣讀不符合報告，提出對糾正措施的要求。7)審核結(jié)束，審核組長編制《審核報告》,報管理者代表批準(zhǔn)。審核報告內(nèi)容應(yīng)包括審核概況、審核計劃實施情況總結(jié)、不合格項數(shù)量及嚴(yán)重程度、分布分析、主要問題原因分析、管理體系有效性、符合性結(jié)論及今后應(yīng)改進(jìn)的地方。4、內(nèi)審報告應(yīng)提交公司管理評審。5、針對審核中發(fā)現(xiàn)的不符合項，相關(guān)部門應(yīng)組織分析原因，制定并實施糾正措施，報告措施的效果，經(jīng)審核員對實施結(jié)果跟蹤驗證，確保不符合不再發(fā)生，同時報告驗證結(jié)果，具體執(zhí)行《糾正預(yù)防措施控制程序》要求。1、《糾正預(yù)防措施控制程序》五、相關(guān)文件及記錄審核計劃內(nèi)審檢查表不合格報告內(nèi)審報告首(末)次會議簽到表*****有限公司文件名稱頁碼文件編號適用于本公司各部門對惡意軟件(包括軟件的隱蔽通道)的控制管理工作。為防止各類惡意軟件(包括軟件的隱蔽通道)造成破壞，確保公司的軟件和信息的保密性、完整性與可用性。3.1XX部是全公司惡意軟件管理控制工作的主管部門，負(fù)責(zé)全公司防病毒軟件的安裝及病毒庫的更新管理，為各部門信息處理設(shè)施的防范惡意軟件提供技術(shù)性支持和隱蔽通道的掃描。3.2各部門具體負(fù)責(zé)其部門信息處理設(shè)施的病毒清殺及其它預(yù)防措施的實施。4工作程序所謂惡意軟件，是指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能、毀壞數(shù)據(jù)、竊取數(shù)據(jù)，影響計算機(jī)使用，并能自我復(fù)制的一組計算機(jī)指令或者程序代碼，主要是指各類計算機(jī)病毒，如惡意代碼和移動代碼。4.1防范的措施，主要是安裝防火墻、入侵檢測系統(tǒng)、使用加密程序和安裝殺病毒軟件。4.1.1在對外互聯(lián)的網(wǎng)絡(luò)間，IT部安裝防火墻、入侵檢測系統(tǒng)、使用加密程序，同時在服務(wù)器和客戶端上安裝殺病毒軟件。各部門應(yīng)根據(jù)IT部的安排，從指定的網(wǎng)絡(luò)服務(wù)器上安裝企業(yè)版防病毒軟件；單獨(dú)成網(wǎng)或存在單機(jī)的部門，應(yīng)由本部門PC管理員或指定專人負(fù)責(zé)安裝防病毒軟件，并周期性(如每周)對病毒庫進(jìn)行升級。4.1.2對于配置低、不適宜安裝防病毒軟件的微機(jī)，則不能接入局域網(wǎng)，進(jìn)行病毒查殺和防范控制，加強(qiáng)日常點(diǎn)檢，應(yīng)做好點(diǎn)檢記錄。4.1.3XX部負(fù)責(zé)設(shè)置企業(yè)版防病毒服務(wù)器，每日通過互聯(lián)網(wǎng)自動進(jìn)行病毒庫的更新升級。XX部負(fù)責(zé)各類系統(tǒng)的補(bǔ)丁升級。4.1.4各部門聯(lián)網(wǎng)微機(jī)接受本公司防病毒服務(wù)器的管理，在每次開機(jī)時自動從防病毒服務(wù)器上下載最新*****有限公司文件名稱頁碼文件編號4.1.5特殊情況，如某種新惡性病司各部門立即進(jìn)行病毒庫更新升級，同時立即進(jìn)行病毒掃描，并對病毒情況匯報IT部部長。待病毒清除后方可使用，對于不能清除的病毒，應(yīng)及時報告XX部處理。4.1.7各部門用戶應(yīng)在計算機(jī)或其它電子信息處理設(shè)施的啟動后檢查是否已啟動病毒實時監(jiān)測系統(tǒng)。如4.1.8各部門在使用電子郵件或下載軟件時應(yīng)啟動病毒實時監(jiān)測系統(tǒng)的實時防護(hù)，以便對電子郵件進(jìn)行4.1.9XX部需加強(qiáng)對特洛e)其他必要措施。4.2XX部組織各部門進(jìn)行有關(guān)防病毒及其他后門程序等惡意軟件預(yù)防工作的培訓(xùn)，使各部門明確病毒4.3預(yù)防惡意軟件的通用要求保護(hù)不受惡意軟件攻擊的基礎(chǔ)是安全意識，適當(dāng)?shù)南到y(tǒng)權(quán)限。所有IT用戶應(yīng)養(yǎng)成良好的防范惡意軟4.4.1XX部應(yīng)與防火墻、入侵檢測系統(tǒng)供應(yīng)商保持聯(lián)系，確保*****有限公司文件名稱頁碼文件編號4.6如果發(fā)生信息處理設(shè)施受到病毒或其他種類的惡意軟件攻擊的事故，應(yīng)由IT部確認(rèn)事故原因后，對4.7對各個部門安裝的外購軟件和自行開發(fā)的軟件都必須由IT部測試其安全性，經(jīng)確認(rèn)后方可安裝。4.8對XX部測試發(fā)現(xiàn)的各種惡意軟件立即停止使用，各部門在使用過程中發(fā)現(xiàn)有惡意軟件及相應(yīng)跡象應(yīng)立即通知IT部。4.10各部門如受到各種惡意軟件攻擊，應(yīng)及時向XX部報告。5相關(guān)文件《重要信息備份管理程序》《信息處理設(shè)備管理程序》*****有限公司文件名稱頁碼文件編號第一條為規(guī)范軟件變更與維護(hù)管理，提高軟件管理水平，優(yōu)化軟件變更與維護(hù)管理流程，特制定本制度。第二條本制度適用于應(yīng)用系統(tǒng)已開發(fā)或采購?fù)戤叢⒄缴暇€、且由軟件開發(fā)組織移交給應(yīng)用管理組織之后，所發(fā)生的生產(chǎn)應(yīng)用系統(tǒng)(以下簡稱應(yīng)用系統(tǒng))運(yùn)行支持及系統(tǒng)變更工作。第二節(jié)變更流程第三條系統(tǒng)變更工作可分為下面三類類型：功能完善維護(hù)、系統(tǒng)缺陷修改、統(tǒng)計報表生成。功能完善維護(hù)指根據(jù)業(yè)務(wù)部門的需求，對系統(tǒng)進(jìn)行的功能完善性或適應(yīng)性維護(hù)；系統(tǒng)缺陷修改指對一些系統(tǒng)功能或使用上的問題所進(jìn)行的修復(fù)，這些問題是由于系統(tǒng)設(shè)計和實現(xiàn)上的缺陷而引發(fā)的；統(tǒng)計報表生成指為了滿足業(yè)務(wù)部門統(tǒng)計報表數(shù)據(jù)生成的需要，而進(jìn)行的不包含在應(yīng)用系統(tǒng)功能之內(nèi)的數(shù)據(jù)處理工作。第四條系統(tǒng)變更工作以任務(wù)形式由需求方(一般為業(yè)務(wù)部門)和維護(hù)方(一般為信息部門的應(yīng)用維護(hù)組織和軟件開發(fā)組織，還包括合作廠商)協(xié)作完成。系統(tǒng)變更過程類似軟件開發(fā)，大致可分為四個階段：任務(wù)提交和接受、任務(wù)實現(xiàn)、任務(wù)驗收和程序下發(fā)上線。第五條因問題處理引發(fā)的系統(tǒng)變更處理，具體流程參見《問題處理管理制度》。第六條需求部門提出系統(tǒng)變更需求，并將變更需求整理成《系統(tǒng)變更申請表》(附件一),由部門負(fù)責(zé)人審批后提交給系統(tǒng)管理員。第七條系統(tǒng)管理員負(fù)責(zé)接受需求并上報給信息部主管。信息部主管分析需求，并提出系統(tǒng)變更建議。信息部主管根據(jù)變更建議審批《系統(tǒng)變更申請表》。第八條系統(tǒng)管理員根據(jù)自行開發(fā)、合作開發(fā)和外包開發(fā)的不同要求組織實現(xiàn)系統(tǒng)變更需求，將需求提交至內(nèi)部開發(fā)人員、合作開發(fā)商或外包開發(fā)商，產(chǎn)生供發(fā)布的程序。第九條實現(xiàn)過程應(yīng)按照軟件開發(fā)過程規(guī)定進(jìn)行。系統(tǒng)變更過程應(yīng)遵循軟件開發(fā)過程相同的正式、統(tǒng)一的編碼標(biāo)準(zhǔn)，并經(jīng)過測試和正式驗收才能下發(fā)和上線。*****有限公司文件名稱頁碼文件編號系統(tǒng)管理員組織業(yè)務(wù)部門的系統(tǒng)最終用戶對系統(tǒng)程序變更進(jìn)行測試，并撰寫《用戶測試報告》(附件二),提交業(yè)務(wù)部門負(fù)責(zé)人和信息部主管領(lǐng)導(dǎo)簽字確認(rèn)通過。第十一條在系統(tǒng)變更完成后，系統(tǒng)管理員和業(yè)務(wù)部門的最終用戶共同撰寫《程序變更驗收報告》(附件三),經(jīng)業(yè)務(wù)部門負(fù)責(zé)人簽字驗收后，報送信息部經(jīng)理審批。第十二條培訓(xùn)管理員負(fù)責(zé)對系統(tǒng)變更過程的文檔進(jìn)行歸檔管理，變更過程中涉及的所有文檔應(yīng)至少保存兩年。第三節(jié)緊急變更流程第十三條對于緊急變更，需求部門可以通過電子郵件或傳真等書面形式提出申請。第十四條信息部根據(jù)重要性和緊迫性做判斷，確定其優(yōu)先級和影響程度，并進(jìn)行相應(yīng)處第十五條緊急變更過程中應(yīng)使用專設(shè)的系統(tǒng)用戶賬號，由專責(zé)部門或人員啟動緊急修改變更程序。信息部應(yīng)對緊急變更的處理進(jìn)行規(guī)范的文檔記錄。第十六條在緊急事件處理完成后，必須在一周內(nèi)補(bǔ)辦正式、完整的文檔，其中包括問題發(fā)現(xiàn)人填寫的緊急變更申請、問題發(fā)現(xiàn)人所在部門負(fù)責(zé)人對該申請的審批、需求部門/信息部測試記錄(包括簽字確認(rèn)測試結(jié)果)。第四節(jié)系統(tǒng)變更的權(quán)責(zé)分離第十七條系統(tǒng)變更過程中，應(yīng)采取各種措施保證維護(hù)環(huán)境程序代碼訪問權(quán)限受到良好控制。這些措施包括：1、通過系統(tǒng)用戶的授權(quán)管理，確保只有特定人員能進(jìn)行系統(tǒng)維護(hù)工作；2、如果使用專用程序開發(fā)工具，只有授權(quán)人員才能使用程序開發(fā)工具(通過只有特定開發(fā)人員擁有程序開發(fā)工具);3、通過對源代碼的訪問控制，限制只有授權(quán)人員才能獲得源代碼以進(jìn)行系統(tǒng)4、在進(jìn)行自有系統(tǒng)的程序變更時，應(yīng)建立版本控制制度確保每次在最新的代*****有限公司文件名稱頁碼文件編號碼基礎(chǔ)上進(jìn)行更改，當(dāng)多名程序員同時進(jìn)行更改工作時，能夠進(jìn)行適當(dāng)協(xié)調(diào)；5、通過對系統(tǒng)日志的審閱，監(jiān)督系統(tǒng)維護(hù)人員在系統(tǒng)中的操作，確認(rèn)維護(hù)工6、在進(jìn)行自有系統(tǒng)的程序變更時，應(yīng)防止源代碼在完成測試到正式上線之間的非授權(quán)修改。第十八條系統(tǒng)變更過程中，采取各種措施保證生產(chǎn)系統(tǒng)應(yīng)用程序訪問權(quán)限受到良好控制。這些措施包括：1、通過生產(chǎn)環(huán)境的訪問控制，限制對生產(chǎn)環(huán)境的訪問；2、通過物理隔離的手段，限制對生產(chǎn)環(huán)境的訪問；3、通過邏輯隔離的手段，限制對生產(chǎn)環(huán)境的訪問；4、對授權(quán)訪問生產(chǎn)環(huán)境的人員進(jìn)行詳細(xì)記錄，使用該記錄對生產(chǎn)環(huán)境訪問權(quán)限的檢查，確保只有經(jīng)授權(quán)人員才能訪問生產(chǎn)環(huán)境；5、普通用戶只能通過前臺登錄系統(tǒng)，不能通過后臺(如使用生產(chǎn)環(huán)境操作系統(tǒng)的命令行)進(jìn)行操作；6、信息技術(shù)人員不應(yīng)該擁有前臺應(yīng)用程序的業(yè)務(wù)操作訪問權(quán)限，更不應(yīng)該在前臺應(yīng)用程序中擔(dān)任實際的業(yè)務(wù)操作任務(wù)；7、從技術(shù)角度限制開發(fā)人員對生產(chǎn)環(huán)境中應(yīng)用程序文件夾的訪問權(quán)限，只有經(jīng)過授權(quán)的人員對程序擁有讀、寫和執(zhí)行的權(quán)限；8、禁止信息技術(shù)人員共享操作系統(tǒng)級別的賬號。第十九條本制度由信息部負(fù)責(zé)解釋和修訂。第二十條本制度自發(fā)布之日起開始執(zhí)行。*****有限公司文件名稱頁碼文件編號附件一系統(tǒng)變更申請表變更請求類型□用戶方變更□開發(fā)方變更□需求增加□需求修改□需求縮減□其它：請說明：申請日期實施人員原需求內(nèi)容描述變更的影響意見：簽字：信息部人員意見：簽字：備注：*****有限公司文件名稱頁碼文件編號1.基本信息測試依據(jù)例如：參照標(biāo)準(zhǔn)、客戶需求、需求規(guī)格說明書、測試用例等測試范圍測試驗收標(biāo)準(zhǔn)提示：可以把測試驅(qū)動程序當(dāng)作附件測試人員測試時間須注明每次回歸測試的時間測試工具測試用例編號期望結(jié)果測試結(jié)果缺陷密度是否執(zhí)行了回歸測試根據(jù)測試標(biāo)準(zhǔn)及測試結(jié)果，綜合評價軟件的開4.缺陷修改記錄提示：如果采用了缺陷管理工具，能自動產(chǎn)生缺陷缺陷名稱缺陷類型嚴(yán)重程度原因駐留時間*****有限公司文件名稱頁碼文件編號測試人員簽字/日期：*****有限公司文件名稱頁碼文件編號本程序適用于本公司員工及其他組織、人員(第三方)對本公司的物理訪問控制。加強(qiáng)和規(guī)范本公司員工及來訪本公司的相關(guān)人員的管理，充分有效地使用公司資源，為來賓提供高質(zhì)量、個性化的參觀接待；從而更好地推確保公司內(nèi)部安全防范和保密性，有效、有序4.1外來人員分類*****有限公司文件名稱頁碼文件編號j)來公司參觀、視察的貴賓或嘉賓；k)體系外的其他人員。4.2安全區(qū)域分類區(qū)域標(biāo)識盡量使用編號。序號防范措施1特別安全區(qū)1.數(shù)據(jù)存儲機(jī)房2.配電房1.專門負(fù)責(zé)(保安值勤)。2.監(jiān)控錄象裝置。3.進(jìn)出再登記，專人陪同(特別設(shè)置)。2普通安全區(qū)1.開發(fā)部辦公室2.管理中心3檔案室1.專人負(fù)責(zé)。2.監(jiān)控報警裝置。3.人離關(guān)門上鎖。4.巡邏檢查，群防群治。3一般區(qū)域1.大堂2.雜物室6.員工休息區(qū)*****有限公司文件名稱頁碼文件編號4.3訪問的授權(quán)訪問時間在一周內(nèi)特別安全區(qū)接待部門負(fù)責(zé)人同意且主管副總經(jīng)理批準(zhǔn)，公司人事部辦理相關(guān)手續(xù)普通安全區(qū)負(fù)責(zé)人事部辦理相關(guān)手續(xù)一般區(qū)域接待人員事部辦理相關(guān)手續(xù)4.4門禁出入規(guī)定識別。公司門禁卡的胸帶分為藍(lán)色和紅色2種，分別適用于以下人群：紅色胸帶：進(jìn)入公司的外部相關(guān)方人員*****有限公司文件名稱頁碼文件編號4.4.1員工門禁管理a)新員工門禁卡制作·人事部根據(jù)各部門助理提交的《新進(jìn)人員入職內(nèi)部準(zhǔn)備表》中的門禁權(quán)限予以制作；·各部門助理到行政部簽字領(lǐng)取制作好的門禁卡；b)員工門禁卡權(quán)限變更·門禁權(quán)限變更申請人提交《變更申請表》,完成審核批準(zhǔn)流程；·人事部根據(jù)《變更申請表》中的門禁變更信息予以制作；c)員工門禁卡丟失補(bǔ)辦·部門助理或員工本人提交員工門禁卡丟失；·按照員工原門禁權(quán)限重新制作門禁卡；·各部門助理或員工本人到人事部交納補(bǔ)辦卡罰款，簽字領(lǐng)取制作好的門禁卡；d)門禁權(quán)限定期審核·門禁權(quán)限由人事部定期和各部門經(jīng)理進(jìn)行審核，確認(rèn)員工門禁權(quán)限的準(zhǔn)確。*****有限公司文件名稱頁碼文件編號4.4.2來賓門禁管理·此類門禁卡用于需要在辦公區(qū)內(nèi)部出入、一定時間內(nèi)在公司內(nèi)部活動的來賓；·人事部負(fù)責(zé)制作來賓卡門禁權(quán)限；·來賓在前臺登記之后，由前臺負(fù)責(zé)人發(fā)放來賓門禁卡，離開時需要交還至前臺；·門禁卡正面印刷來賓卡標(biāo)志，門禁卡的胸帶為紅色；·任何進(jìn)入公司內(nèi)部物理空間的來賓都需要佩戴紅色胸帶的門禁卡。*****有限公司文件名稱頁碼文件編號4.4.3人員出入管理a)本公司員工·任何員工出入公司均須佩戴門禁卡；·遺忘或丟失門禁卡正在補(bǔ)辦中的，須在前臺領(lǐng)取無門禁權(quán)限來賓卡佩戴；·無佩戴任何門禁卡的人員禁止出入公司；b)非公司員工·陪同人員須前臺引領(lǐng)訪客、供應(yīng)商進(jìn)入公司，全程陪同；·訪客、供應(yīng)商進(jìn)入公司樓道、會議室區(qū)需佩戴紅色訪客胸帶；·滯留時間很短，且在固定時間，固定地點(diǎn)需要現(xiàn)場操作的供應(yīng)商(例如花卉維護(hù)、飲用水供應(yīng)等),需到人事部備案，由安保人員陪同監(jiān)視操作，無需佩戴胸帶。4.5訪問接待管理辦法*****有限公司文件名稱頁碼文件編號4.5.1參觀級別根據(jù)客戶重要程度，分為公司級來賓和部門級來賓。●公司級：公司一級：對公司發(fā)展有至關(guān)重要影響的來訪者，由公司副總裁以上成員陪同；公司二級：對公司發(fā)展有重大影響的來訪者，由公司總裁秘書陪同；●部門級：部門一級：對部門業(yè)務(wù)有至關(guān)重要影響的來訪者，由部門總經(jīng)理陪同；部門二級：對部門業(yè)務(wù)有重大影響的來訪者，由部門經(jīng)理陪同；部門三級：對部門業(yè)務(wù)有相當(dāng)影響的來訪者，由部門助理或員工陪同。*****有限公司文件名稱頁碼文件編號4.5.2接待管理1.外部人員來訪，在公司前臺進(jìn)行接待，填寫訪客登記表，并通知相應(yīng)接待人前來接待，并給訪客發(fā)放紅色胸帶的門禁卡；2.陪同人員須前臺引領(lǐng)訪客進(jìn)入公司，全程陪同，有效傳達(dá)公司最新信息；3.訪客進(jìn)入公司樓道、會議室區(qū)需佩戴紅色訪客胸帶；4.6員工出入、會客及接待管理1、員工在工作時間內(nèi)應(yīng)佩戴員工卡；2、員工卡應(yīng)妥善保管，如有丟失應(yīng)及時通知人事部；3、員工客人接待，須到前臺簽字登記，在會議室予以接待，不得帶入辦公區(qū)內(nèi)4、外來人員進(jìn)入公司樓道、會議室區(qū)需佩戴紅色訪客胸帶；5、員工攜帶物品出公司時(個人隨身攜帶的包除外),應(yīng)到人事部辦理“出門條”并加蓋公章，憑“出門條”出入大樓。4.7第三方訪客、供應(yīng)商接待管理1、陪同人員須前臺引領(lǐng)訪客、供應(yīng)商進(jìn)入公司，全程陪同；2、訪客、供應(yīng)商進(jìn)入公司樓道、會議室區(qū)需佩戴紅色訪客胸帶；3、滯留時間很短，且在固定時間，固定地點(diǎn)需要現(xiàn)場操作的供應(yīng)商，需到人事部備案(例如花卉維護(hù)、飲用水供應(yīng)等)。安全培訓(xùn)由人事部負(fù)責(zé)，視情況實施相關(guān)安全培訓(xùn)教育。6安全保