最新ISO27001信息安全管理體系全套文件程序文件

1、最新IS027001信息安全管理體系全套程序文件信息安全管理體系程序文件目錄文件編號文件名稱XX-ISMS-01棗故事件薄弱點與故障管理程序XX-ISMS-02業(yè)務(wù)持續(xù)性管理程序XX-ISMS-03企業(yè)商業(yè)技術(shù)秘密管理程序XX-ISMS-04信息處理設(shè)施引進實施管理程XX-1SMS-05信息安全人員考察與保密管理程序XX-ISMS-06信息安全懲戒管理程序XX-ISMS-07信息安全適用性聲明XX-ISMS-08信息安全風(fēng)險評估管理程序XX-ISMS-09內(nèi)審管理程序XX-ISMS-10惡意軟件控制程序XX-ISMS-11更改控制程序XX-ISMS-12物理訪問管理程序XX-ISMS-13用戶

2、訪問控制程序XX-ISMS-14管理評審控制程序XX-1SMS-15系統(tǒng)開發(fā)與維護控制程序XX-ISMS-16系統(tǒng)訪問與使用監(jiān)控管理程序XX-ISMS-17計算機賬戶及密碼管理程序XX-ISMS-18文件和資料管理程序XX-ISMS-19重要信息備份管理程序XX-ISMS-20預(yù)防措施程序信息安全管理體系作業(yè)文件目錄文件編號文件名稱XX-ISMS-S0P-01防火墻安全管理規(guī)定XX-ISMS-S0P-02介質(zhì)銷毀管理規(guī)定XX-ISMS-S0P-03信息機房管理制度XX-ISMS-S0P-04信息中心安全事件報告和處置管理制度XX-ISMS-S0P-05信息中心密碼管理制度XX-TSMS-S0P

3、-06信息系統(tǒng)訪問權(quán)限說明XX-ISMS-SOP-07檔案鑒定銷毀工作規(guī)定XX-ISMS-S0P-08移動介質(zhì)使用管理規(guī)定XX-ISMS-S0P-09復(fù)印室管理制度XX-ISMS-S0P-10重要文件加密解密管理制度東莞市XXX有限公司文件名稱事故事件薄弱點與故障管理程序版次A/0頁碼文件編號XX-ISMS-01日期2017. 11.011/31適用本程序適用于公司信息安全事故、薄弱點、故障和風(fēng)險處置的管理。2目的為建立一個適當信息安全事故、薄弱點、故障風(fēng)險處置的報告、反應(yīng)與處理機制，減少信息 安全事故和故障所造成的損失，采取有效的糾正與預(yù)防措施，正確處置已經(jīng)評價出的風(fēng)險， 特制定本程序。3職

4、責(zé)3.1各系統(tǒng)歸口管理部門主管相關(guān)的安全風(fēng)險的調(diào)查、處理及糾正措施管理。3.2各系統(tǒng)使用人員負責(zé)相關(guān)系統(tǒng)安全事故、薄弱點、故障和風(fēng)險的評價、處置報告。4程序1信息安全事故定義與分類：4.1.1信息設(shè)備故障、線路故障、軟件故障、惡意軟件危害、人員故意破壞或工作失職等原因直接造成下列影響（后果）之一，均為信息安全事故：R企業(yè)秘密、機密及國家秘密泄露或丟失；b）服務(wù)器停運4小時以上；c）造成信息資產(chǎn)損失的火災(zāi)、洪水、雷擊等災(zāi)害；d）損失在十萬元以上的故障/事件。4.1.2信息設(shè)備故障、線路故障、軟件故障、惡意軟件危害、人員故意破壞或工作失職等原 因直接造成下列影響（后果）之一，屬于重大信息安全事故：

5、a）企業(yè)機密及國家秘密泄露；b）服務(wù)器停運8小時以上；c）造成機房設(shè)備毀滅的火災(zāi)、洪水、雷擊等災(zāi)害；d）損失在一百萬元以上的故障/事件。1.3信息安全事件包括：a）未產(chǎn)生惡劣影響的服務(wù)、設(shè)備或者實施的遺失；b）未產(chǎn)生事故的系統(tǒng)故障或超載；c）未產(chǎn)生不良結(jié)果的人為誤操作；d）未產(chǎn)生惡劣影響的物理進入的違規(guī)文件名稱事故事件薄弱點與故障管理程序版次A/0頁碼文件編號XX-ISMS-01日期2017. 11.012/3e）未產(chǎn)生事故的未加控制的系統(tǒng)變更；f）策略、指南和績效的不符合；g）可恢復(fù)的軟件、硬件故障；h）未產(chǎn)生惡劣后果的非法訪問。4.2故障與事故的報告渠道與處理4.2. 1故障、事故報告要求

6、故障、事故的發(fā)現(xiàn)者應(yīng)按照以卜要求履行報告任務(wù)：a）各個信息管理系統(tǒng)使用者，在使用過程中如果發(fā)現(xiàn)軟硬件故障、事故，應(yīng)該向該系統(tǒng)歸 口管理部門報告；如故障、事故會影響或已經(jīng)影響線上生產(chǎn)，必須立即報告相關(guān)部門，采取 必要措施，保證對生產(chǎn)的影響降至最低；b）發(fā)生火災(zāi)應(yīng)立即觸發(fā)火警并向安全監(jiān)督部報告，啟動消防應(yīng)急預(yù)案；c）涉及企業(yè)秘密、機密及國家秘密泄露、丟失應(yīng)向行政部報告；d）發(fā)生重大信息安全事故，事故受理部門應(yīng)向信息安全管理者代表和有關(guān)公司領(lǐng)導(dǎo)報告。4.2.2故障、事故的響應(yīng)故障、事故處理部門接到報告以后，應(yīng)立即進行迅速、有效和有序的響應(yīng)，包括采取以下適 當措施：a）報告者應(yīng)保護好故障、事故的現(xiàn)場，

7、并采取適當?shù)膽?yīng)急措施，防止事態(tài)的進步擴大；b）按照有關(guān)的故障、事故處理文件（程序、作業(yè)手冊）排除故障，恢復(fù)系統(tǒng)或服務(wù)，必要 時，啟動業(yè)務(wù)持續(xù)性管理計劃。5相關(guān)/支持性文件1預(yù)防措施控制程序 5.2信息密級劃分、標注及處理控制程序文件名稱事故事件薄弱點與故障管理程序版次A/0頁碼文件編號XX-ISMS-01日期2017. 11.012/35.3信息安全獎勵、懲戒規(guī)定4 I法律法規(guī)與符合性評估程序6記錄保存期限1信息安全風(fēng)險評估報文件名稱事故事件薄弱點與故障管理程序版次A/0頁碼文件編號XX-ISMS-01日期2017. 11.013/36.2糾正/預(yù)防措施申請書6.3信息安全事故調(diào)查處理報告6.

8、4信息安全薄弱點報告文件名稱業(yè)務(wù)持續(xù)性管理程序版次A/0頁碼文件編號XX-ISMS02日期2017. 11.011 /21目的與范圍本程序規(guī)定了當發(fā)生重大信息安全事件或災(zāi)難時，為保護公司業(yè)務(wù)活動免受影響，迅速恢復(fù) 已中斷的業(yè)務(wù)活動，實現(xiàn)公司業(yè)務(wù)持續(xù)發(fā)展而實施的管理活動。這些活動包括：建立業(yè)務(wù)持續(xù)性管理程序；進行業(yè)務(wù)持續(xù)性和影響分析；編制業(yè)務(wù)持續(xù)性戰(zhàn) 略計劃；制訂業(yè)務(wù)持續(xù)性管理實施計劃并實施；對業(yè)務(wù)持續(xù)性管理計劃進行定期測試和評審 等。本程序適應(yīng)于本公司應(yīng)用軟件的開發(fā)和系統(tǒng)集成的活動等主要業(yè)務(wù)的持續(xù)性管理。2相關(guān)文件1信息安全管理手冊2.2信息資產(chǎn)的識別與風(fēng)險評估管理程序2.3事故、薄弱點與故障

9、管理程序3職責(zé)1公司常務(wù)副總經(jīng)理負責(zé)公司業(yè)務(wù)中斷的恢復(fù)的總指揮與總協(xié)調(diào)。3.2集成部負責(zé)編制、修訂公司業(yè)務(wù)持續(xù)性管理程序，并協(xié)調(diào)、推進公司業(yè)務(wù)持續(xù)性管理活 動。3各部門負責(zé)部門相關(guān)系統(tǒng)的故障處理及與之相關(guān)的作業(yè)中斷的恢復(fù)。3.4技術(shù)部負責(zé)項目實施過程中設(shè)備及軟件系統(tǒng)的故障處理及與之相關(guān)的作業(yè)中斷的恢復(fù)。5集成部負責(zé)后勤系統(tǒng)設(shè)備及網(wǎng)絡(luò)系統(tǒng)的故障處理及與之相關(guān)的作業(yè)中斷的恢復(fù)。3. 6行政部負責(zé)本部門管理系統(tǒng)及與之相關(guān)的作業(yè)中斷的恢復(fù)。3.7公司各部門在發(fā)生重大信息安全事件或災(zāi)難時，負責(zé)保護本部門使用的信息系統(tǒng)及業(yè)務(wù)文件名稱業(yè)務(wù)持續(xù)性管理程序版次A/0頁碼文件編號XX-ISMS02日期2017.

10、11.012/2數(shù)據(jù)，及時恢復(fù)中斷的業(yè)務(wù)活動。4工作程序1業(yè)務(wù)持續(xù)性管理過程公司業(yè)務(wù)持續(xù)性管理過程規(guī)定如下：4.2業(yè)務(wù)持續(xù)性和影響的分析2. 1公司在首次信息安全風(fēng)險評估后進行業(yè)務(wù)持續(xù)性和影響的分析。4.2.2業(yè)務(wù)持續(xù)性和影響的分析由集成部組織，技術(shù)部、行政部、生產(chǎn)部及管理者代表指定的相關(guān)部門分別開展以下活動：a）對本部門的信息安全進行風(fēng)險評估；b）識別岀對本部門業(yè)務(wù)持續(xù)性造成嚴重影響的主要事件，如設(shè)備故障、火災(zāi)等；c）分析這些事件一旦發(fā)生對公司業(yè)務(wù)活動造成的影響和損失，以及恢復(fù)業(yè)務(wù)所需費用等；d）編寫本部門業(yè)務(wù)持續(xù)性和影響分析報告（格式見ISMS-4341）O2.3業(yè)務(wù)持續(xù)性和影響分析報告應(yīng)

11、包括以下內(nèi)容：R識別關(guān)鍵業(yè)務(wù)的管理過程；b）可能引起公司業(yè)務(wù)活動中斷的主要事件；c）主要事件對本部門管理的信息系統(tǒng)的影響；d）信息系統(tǒng)故障或中斷対公司業(yè)務(wù)活動的影響；e）關(guān)于系統(tǒng)恢復(fù)或替換的費用考慮。5記錄1業(yè)務(wù)持續(xù)性和影響分析報告文件名稱業(yè)務(wù)持續(xù)性管理程序版次A/0頁碼文件編號XX-ISMS02日期2017. 11.013/25.2業(yè)務(wù)持續(xù)性管理戰(zhàn)略計劃3業(yè)務(wù)持續(xù)性管理實施計劃5.4業(yè)務(wù)持續(xù)性管理計劃測試報告5業(yè)務(wù)持續(xù)性管理計劃評審報告文件名稱企業(yè)商業(yè)技術(shù)秘密管理程序版次A/0頁碼文件編號XX-ISMS-03日期2017. 11.011/3第一章總則第一條 為保障公司的合法權(quán)益，充分發(fā)揮作為

12、公司重要資產(chǎn)的技術(shù)秘密、商業(yè)秘密的效益，鼓勵員工不 斷創(chuàng)造并自覺維護技術(shù)秘密、商業(yè)秘密的積極性，根據(jù)知識產(chǎn)權(quán)管理總則制訂木制度。第二條 公司技術(shù)秘密、商業(yè)秘密的管理目標：技術(shù)秘密、商業(yè)秘密是本公司擁有的知識產(chǎn)權(quán)的組成部分, 是公司的重要資產(chǎn)。要在公司內(nèi)牢固樹立技術(shù)秘密、商業(yè)秘密的保護意識；技術(shù)秘密、商業(yè)秘密的管理 貫穿研究開發(fā)、生產(chǎn)和經(jīng)營的全過程。明確商業(yè)秘密的界定和保護。第三條 公司內(nèi)的相關(guān)管理制度、合同、記錄等文獻所有文件均屬于商業(yè)機密。第二章 技術(shù)秘密、商業(yè)秘密的定義、確立和管理機制第四條.本制度所稱的技術(shù)秘密、商業(yè)秘密，是指由公司員工在職務(wù)范圍內(nèi)創(chuàng)造或履行職務(wù)產(chǎn)生的、經(jīng) 公司知識產(chǎn)權(quán)管

13、理部門認定并采取了保密措施、只在公司-定范圍內(nèi)流傳的、具有商業(yè)價值的所有信息 或成果。這些信息或成果以各種紙質(zhì)材料、照片、錄像和計算機等數(shù)字存儲設(shè)備為載體而能夠為人所感 知。具體包括：技術(shù)秘密。包括：公司現(xiàn)有的或正在開發(fā)或者構(gòu)思之中的或經(jīng)過技術(shù)創(chuàng)新確定不宜于申請專利的營銷方 案，管理制度；經(jīng)營信息包括：公司的市場營銷計劃、廣告宣傳方案、銷售方法、供應(yīng)商和客戶名單、客戶的專門需求、 未公開的銷借服務(wù)網(wǎng)絡(luò)以及公司現(xiàn)有的、正在開發(fā)或者構(gòu)思之中的經(jīng)營項目等信息及其承載物；依據(jù)法律和有關(guān)協(xié)議對第三方負有保密責(zé)任的第三方商業(yè)秘密。第五條.確定為技術(shù)秘密、商業(yè)秘密的信息及其承載物，歸公司所有。第六條技術(shù)秘密

14、、商業(yè)秘密的確定程序：1 由參與藥品研發(fā)創(chuàng)新，研發(fā)部就某一項或幾項信息，向公司行政管理部門申報；2行政董事接到中報后采取：a）指定參與者中一人專門保管成果或信息的承載物，口J以采取加密措施。被指定人一般是項目或業(yè)務(wù)負責(zé) 人或菜肴創(chuàng)造者本人；b）向公司常務(wù)莆事匯報并提出是否構(gòu)成技術(shù)秘密、商業(yè)秘密建議。必要時會同指定人向公司常務(wù)葷事匯報:c）公司行政董事在接到知識產(chǎn)權(quán)管理部門的匯報后應(yīng)立即作出是否確定為技術(shù)秘密、商業(yè)秘密的決定；d）對于被確定為技術(shù)秘密、商業(yè)秘密的信息或成果，按照本制度第三章和第四章的有關(guān)規(guī)定具體落實管理 措施。e）技術(shù)秘密、商業(yè)秘密的確定遵循隨吋產(chǎn)生隨吋確定的原則，實行動態(tài)管理：

15、第七條商業(yè)秘密管理機制。公司決策層負責(zé)技術(shù)秘密、商業(yè)秘密的整體工作。及時、高效地作出審核、批準、否決等工作，定期檢 查各部門的保密工作，作出獎懲決定。公司下屬部門的負責(zé)人負貴本部門的日常技術(shù)秘密、商業(yè)秘密管理和保護工作。定期檢查本部門的保密 工作，配合支持知識產(chǎn)權(quán)管理部門履行公司技術(shù)秘密、商業(yè)秘密保護工作。文件名稱企業(yè)商業(yè)技術(shù)秘密管理程序版次A/0頁碼文件編號XX-ISMS-03日期2017. 11.012/3知識產(chǎn)權(quán)管理部門是公司技術(shù)秘密、商業(yè)秘密保護工作的職責(zé)機構(gòu)，具體操作落實與協(xié)調(diào)商業(yè)秘密保護 的各項工作.公司全體員工是技術(shù)秘密、商業(yè)秘密保護的實施者。全體員工應(yīng)當牢固樹立知識產(chǎn)權(quán)意識，

16、自覺維護公司的商業(yè)秘密。第三章技術(shù)秘密、商業(yè)秘密及其承載物的管理第八條 根據(jù)本制度第六條的規(guī)定，被決策層確立為技術(shù)秘密、商業(yè)秘密的信息或成果，由知識產(chǎn)權(quán)管理 部門確立密級和保密期限。密級劃分的標準、保密期限的確立，要參考該信息或成果同公司業(yè)務(wù)的聯(lián)系 程度、與同行業(yè)競爭的影響力度、是否為公司運營的關(guān)鍵等因案，由知識產(chǎn)權(quán)管理部門劃定。商業(yè)秘密 的申報人應(yīng)當提供意見。第九條 按照技術(shù)秘密、商業(yè)秘密需要保密的程度，參考第八條的標準，技術(shù)秘密、商業(yè)秘密分為三級； 絕密、機密、保密。引外，對于不宜于對外的信息，由行政管理部門確立為“內(nèi)部使用”的資料，參照本制 度做好保密工作。絕密一是指一旦泄漏會使公司遭受

17、嚴重危害和重大損失的信息或成果，包括；公司核心管理秘密、技 術(shù)訣竅、財務(wù)報表、藥品研發(fā)工藝、特殊化合同。機密一是指理一旦泄漏會使公司遭受危害和較大損失的信息，包括：產(chǎn)品開發(fā)、市場營銷等各類工作 計劃、公司內(nèi)部重要文件。保密一是指一旦泄漏會使公司遭受損失的信息，包括；藥品銷售情況，用戶名單及其分布，用戶需求 信息，限于一定范圍閱讀的公司內(nèi)部文件等。內(nèi)部使用的信息或成果一是指一旦泄漏會對公司業(yè)務(wù)產(chǎn)生一定不良影響的可能的信息或成果，只限于 內(nèi)部員工閱讀的公司內(nèi)部文件。第十條.保密資料由專人負責(zé)管理。公司財務(wù)部對交接來的技術(shù)秘密、商業(yè)秘密檔案材料，根據(jù)其密級于 檔案卷宗封面加蓋保密印章，登記、編號后統(tǒng)

18、一放置保密資料專門存放處保存，并建立臺帳登記，重要 的資料柜實行雙鑰匙制度。公司各部門要設(shè)立保密資科柜，用于存放各部門經(jīng)常運用的或暫時無法交存公司財務(wù)部門保存的技術(shù)秘 密、商業(yè)秘密檔案材料，該資料拒應(yīng)由專人管理。第十一條.商業(yè)技術(shù)機密材料的借閱，必須經(jīng)公司行政董事批準，確定借閱時間，使用后立即歸還，不 得延期，更不得交與他人使用。第十二條.商業(yè)技術(shù)機密材料的復(fù)印，必須經(jīng)公司行政董事批準后，由專人（理應(yīng)是財務(wù)部經(jīng)理）復(fù)印， 未見公司行政董爭批準意見，律不得復(fù)印。復(fù)印由專人負責(zé)，復(fù)印期間不得向他人泄漏，復(fù)印后應(yīng)當 立即將復(fù)印稿和原稿交還申請復(fù)印人，廢稿要立即銷毀，不得留存或隨意丟棄。第四章 技術(shù)秘

19、密、商業(yè)秘密的保障措施第十三條 在本公司進行技術(shù)創(chuàng)新過程中，任何研發(fā)項目從立項之日起，圍繞該項目的研發(fā)活動進入技術(shù) 秘密、商業(yè)秘密保護范圍內(nèi)，產(chǎn)生的任何信息或成果，不論最終產(chǎn)生的知識產(chǎn)權(quán)形式如何，均作為公司 的技術(shù)秘密、商業(yè)秘密進行保護。文件名稱企業(yè)商業(yè)技術(shù)秘密管理程序版次A/0頁碼文件編號XX-ISMS-03日期2017. 11.013/3第十四條對于在研發(fā)過程中被確定為技術(shù)秘密、商業(yè)秘密的信息，由于處在不斷發(fā)展改進的狀態(tài)下，其 檔案材料可以經(jīng)公司知識產(chǎn)權(quán)主管領(lǐng)導(dǎo)批準后保留在本部門，但必須設(shè)專門存放處保存，以計算機等保 存的，必須對該設(shè)備進行數(shù)字加密，密碼不得向任何無關(guān)該商業(yè)秘密的人透露。研

20、發(fā)中的階段性成果，必須形成檔案材料，依照保密措施保存，直到最終成果形成后，將各階段成果形 成的過程檔案進行保存、銷毀、解秘等措施。第十五條 對于開發(fā)完成的技術(shù)創(chuàng)新成果，除從本公司專利戰(zhàn)略及經(jīng)營實際岀發(fā)需要公開的以外，經(jīng)過論 證不適于中請專利的，將其完全納入公司商業(yè)秘密保護范圍內(nèi)，按照商業(yè)秘密的確立、密級劃分、建檔、 專門保存檔案資料等的工作。參與技術(shù)創(chuàng)新的有關(guān)人員，在開發(fā)項目進行中，應(yīng)履行商業(yè)秘密的保密工 作。第十六條 公司所有員工有義務(wù)保護公司技術(shù)秘密、商業(yè)秘密的安全。所有員工對于公司技術(shù)秘密、商業(yè) 秘密的保護而產(chǎn)生的義務(wù)、權(quán)利及相應(yīng)獎勵、處罰。第十七條 員工在公司工作期間，因工作需要使用公

21、司的技術(shù)秘密、商業(yè)秘密及其承載物，應(yīng)按照要求的 范圍和程度使用，不得將實物、資料等擅白帶離工作崗位，未經(jīng)書面同意，不得隨意進行復(fù)制、交流或 轉(zhuǎn)移含有公司技術(shù)秘密、商業(yè)秘密的資料。第十八條 員工在參加任何級別的學(xué)術(shù)交流活動、產(chǎn)品訂貨會、技術(shù)鑒定會等會議或活動時，必須注意保 護公司的技術(shù)秘密、商業(yè)秘密，用以交流的文檔或資料事先要經(jīng)過上級審查批準。第十九條公司在對 外發(fā)布新產(chǎn)品信息和廣告時，要注意避免泄漏公司的技術(shù)秘密、商業(yè)秘密。重要的新產(chǎn)品宣傳、廣告文 稿必須經(jīng)公司行政董事審核批準后才口 I發(fā)布。第二十條 公司在接受外公司人員的實習(xí)、合作研究、學(xué)習(xí)進修等工作時，對公司的技術(shù)秘密、商業(yè)秘密 負有保密

22、的義務(wù)。第二十一條 員工因工作需要或其他原因（包括離職、辭職、退休、開除等）調(diào)離原工作崗位或離開公司， 應(yīng)將接觸到的所有包含職務(wù)開發(fā)中技術(shù)秘密、商業(yè)秘密的數(shù)據(jù)、文檔等的記錄、模型、軟磁盤、光盤及 數(shù)字存儲裝置以及其他媒介形式的資料如數(shù)交回公司。第五章技術(shù)秘密、商業(yè)秘密效益發(fā)揮的保證措施第二十二條公司在對外的技術(shù)合作過程中，以技術(shù)秘密、商業(yè)秘密為標的或其他技術(shù)合同涉及技術(shù)秘密、 商業(yè)秘密許可的，對于技術(shù)秘密、商業(yè)秘密的價值通過與合作方協(xié)商確定。需要進行第三方價值評估的， 委托符合執(zhí)業(yè)要求的中介機構(gòu)完成，并通過合同約定嚴格的保密措施。明確雙方的權(quán)利和義務(wù)及合作方 在合同末完全履行，泄漏公司技術(shù)秘密

23、、商業(yè)秘密應(yīng)承擔的責(zé)任。第二十三條公司員工在主持或參與對外業(yè)務(wù)談判時要遵守公司的保密紀律。涉及公司商業(yè)秘密的談判， 事先制定談判提綱，該提綱經(jīng)行政董事批準。第二十四條 在技術(shù)合作中產(chǎn)生的技術(shù)成果，其知識產(chǎn)權(quán)形式的確定和歸屬由合同約定，凡以技術(shù)秘密、 商業(yè)秘密約定歸屬本公司應(yīng)采取保密措施。第二十五條 因員工開發(fā)或參與開發(fā)的技術(shù)創(chuàng)新項目、新產(chǎn)品技術(shù)或創(chuàng)造發(fā)明而形成的商業(yè)秘密，在對外 的技術(shù)合作過程中產(chǎn)生收益，本公司將取得實際利益給予最大力度獎勵。文件名稱企業(yè)商業(yè)技術(shù)秘密管理程序版次A/0頁碼文件編號XX-ISMS-03日期2017. 11.014/3第二十六條 本公司所有正式，試用，兼職，實習(xí)員工

24、無條件遵守本管理辦法。文件名稱信息處理設(shè)施引進實施管理程版次A/0頁碼文件編號XX-ISMS04日期2017. 11.011/71適用與目的本程序適用于公司與IT相關(guān)各類信息處理設(shè)施（包括各類軟件、硬件、服務(wù)、傳輸線路）的引進、 實施、維護等事宜的管理。木程序通過對技術(shù)選型、驗收、實施、維護等過程中相關(guān)控制的明確規(guī)定來確保引進的信息處理設(shè) 施的保密性、完整性和可用性。2信息處理設(shè)施的分類2.1研發(fā)控制系統(tǒng)、數(shù)據(jù)存儲控制系統(tǒng)及其子系統(tǒng)設(shè)備，包括位于機房的服務(wù)器和位于使用區(qū)域的使用控 制系統(tǒng)終端設(shè)備。2.2業(yè)務(wù)管理系統(tǒng)、財務(wù)管理系統(tǒng)，包括位于機房的服務(wù)器和位于使用區(qū)域的終端設(shè)備。2.3辦公用計算機

25、設(shè)備，包括所有辦公室、會議室內(nèi)的計算機、打印機，域控制服務(wù)器，DNS服務(wù)器、 Email服務(wù)器等。2.4網(wǎng)絡(luò)設(shè)備，包括交換機、路由器、防火墻等。2.5其它辦公設(shè)備，包括電話設(shè)備、復(fù)印機、傳真機等。3職責(zé)XX部主要負責(zé)全公司與IT相關(guān)各類信息處理設(shè)施及其服務(wù)的引進。包括制作技術(shù)規(guī)格書、進行技 術(shù)選型、安裝和驗收等。XX部同時負責(zé)全公司網(wǎng)絡(luò)設(shè)備、研發(fā)控制系統(tǒng)、業(yè)務(wù)管理系統(tǒng)、財務(wù)管理系統(tǒng) 日常管理與維護。3.2各部負責(zé)項目實施過程中設(shè)備及軟件系統(tǒng)的管理制度的執(zhí)行與維護。3.3 XX部負責(zé)后勤系統(tǒng)設(shè)備及網(wǎng)絡(luò)系統(tǒng)、電話/網(wǎng)絡(luò)通訊與辦公系統(tǒng)的管理與維護。4信息處理設(shè)施的引進和安裝4.1引進依賴各部門必須采

26、購的信息處理設(shè)施、外包開發(fā)信息系統(tǒng)項目或外包信息系統(tǒng)服務(wù)，得到本部門經(jīng)理的 批準后，向XX部提交申請。XX部以設(shè)備投資計劃，技術(shù)開發(fā)計劃為依據(jù)，結(jié)合對新技術(shù)的調(diào)查，作出 是否引進的評價結(jié)果并向提出部門返回該信息。文件名稱信息處理設(shè)施引進實施管理程版次A/0頁碼文件編號XX-ISMS04日期2017. 11.012/7本公司禁止員工攜帶個人或私有信息處理設(shè)施（例如便攜式電腦、家用電腦或手持設(shè)備PDA等）處 理業(yè)務(wù)信息。4.2進行技術(shù)選型XX部負責(zé)對購入的信息處理設(shè)施的技術(shù)選型，并從技術(shù)角度對供應(yīng)商進行評價。技術(shù)選型應(yīng)該包含 以下幾方面：性能、相關(guān)設(shè)施的兼容性、協(xié)作能力、技術(shù)發(fā)展能力等。4.3編寫

27、購入規(guī)格書XX部根據(jù)要求，負責(zé)編寫即將購入的信息處理設(shè)施的購入規(guī)格書。規(guī)格書中應(yīng)該包含技術(shù)規(guī)格、相 關(guān)設(shè)施的性能（包括安全相關(guān)信息）、兼容性等要求，由XX部主管審批。4.4定貨由XX部按照公司采購流程，向經(jīng)理層提出購買要求，并提供選型結(jié)果。經(jīng)理層應(yīng)按照要求辦理定貨 手續(xù)。45開箱檢査，安裝、調(diào)試，驗收a）開箱檢查設(shè)備到貨后，xx部應(yīng)負責(zé)開箱檢查，依照購買規(guī)格書和裝箱單核對數(shù)量及物品，確認有無損壞并記 錄。必要時，應(yīng)通知有關(guān)部門到場協(xié)同檢查。b）安裝、調(diào)試引進的設(shè)施到位后，根據(jù)合同要求，由相關(guān)人員進行安裝、調(diào)試。在實施調(diào)試過程中岀現(xiàn)的問題， 必要時可通知相關(guān)部門共同進行。c）驗收安裝調(diào)試完成以后

28、，XX部應(yīng)依據(jù)以下文件實施驗收：購入規(guī)格書采購合同及其相關(guān)附件調(diào)試時故障履歷驗收原則上由XX部實施，必要時可要求相關(guān)部門參加。驗收的合格與否最終由XX部負責(zé)人作出判 斷。d）驗收合格后，可向相關(guān)的使用部門移交。文件名稱信息處理設(shè)施引進實施管理程版次A/0頁碼文件編號XX-ISMS04日期2017. 11.013/75信息處理設(shè)施的日常維護管理5.1計算機設(shè)備管理XX部負責(zé)計算機固定資產(chǎn)的標識，標識隨具體設(shè)備到使用各部門。計算機保管使用部門將計算機列 入該部門信息資產(chǎn)清單。5.1.2各部門配備的計算機設(shè)備應(yīng)與本部門的日常經(jīng)營情況相適應(yīng)，不得配備與工作不相符的高檔次或不 必要的計算機設(shè)備。辦公場所

29、不配備多媒體類計算機設(shè)備，原則上部門經(jīng)理以上配備筆記本電腦，因工 作需要配備筆記本電腦的需經(jīng)主管副總批準。5.1.3計算機使用部門需配備計算機設(shè)備時，應(yīng)按照本規(guī)定執(zhí)行。資產(chǎn)搬離安置場所，需要獲得部門經(jīng)理 的授權(quán)；遷移出公司，需要得到最高管理層的授權(quán)。5.1.4計算機使用部門填寫物品領(lǐng)用單，經(jīng)過本部門經(jīng)理簽字后提交行政部后領(lǐng)取計算機設(shè)備。計算 機及附屬設(shè)備屬公司信息資產(chǎn)，在行政部備案。有關(guān)計算機設(shè)備所帶技術(shù)說明書、軟件由行政部保存。 使用部門的使用人應(yīng)妥善保管計算機及附屬設(shè)備，公用計算機設(shè)備由使用部門經(jīng)理指定專人負責(zé)使用管 理。5.1.5離職時，應(yīng)將計算機交還XX部，由XX部注銷賬戶。5.2計算

30、機設(shè)備維護5.2.1計算機使用部門應(yīng)將每部計算機落實到個人管理。計算機使用人員負貴計算機的日常維護和保養(yǎng)； XX部按照惡意軟件控制程序要求進行計算機查毒和殺毒工作。5.2.2計算機使用部門發(fā)現(xiàn)故障或異常，可先報公司XX管理員處理，如其無法解決，則由XX管理員填 寫事態(tài)事件脆弱性記錄向供應(yīng)商申請維修。故障原因及處理結(jié)果應(yīng)記入事態(tài)事件脆弱性記錄。5.3計算機調(diào)配與報廢管理5.3.1用戶計算機更新后，原來的計算機由XX部根據(jù)計算機的技術(shù)狀態(tài)決定調(diào)配使用或予以報廢處理。5.3.2含有敏感信息的計算機調(diào)配使用或報廢前，計算機使用部門應(yīng)與XX部共同采取安全可靠的方法將 計算機內(nèi)的敏感信息清除。5.3.3調(diào)

31、配部門內(nèi)部的調(diào)配由使用部門自行處理，并通知XX部進行計算機配置變更，變更執(zhí)行更改控制 程序。53.3.2部門間的調(diào)配管理：XX部收回因更新等原因不用的計算機設(shè)備，由變更部門變更信息資產(chǎn)清單， 并按照木程序5.1.3、5.4要求重新分配使用。文件名稱信息處理設(shè)施引進實施管理程版次A/0頁碼文件編號XX-ISMS04日期2017. 11.014/75.4報廢處理5.4.1計算機設(shè)備采用集中報廢處理。報廢前itlXX部向行政部提出報廢，經(jīng)審核后由XX部實施報廢。XX部按照批準的處置方案進行報廢處理，并變更固定資產(chǎn)清單。5.5筆記本電腦安全管理5.5.1筆記本電腦應(yīng)由被授權(quán)的使用人保管；對于需多人共用

32、的筆記本電腦，應(yīng)由部門負責(zé)人指定專人保 管。5.5.2筆記本所帶附件應(yīng)由使用者本人或部門負責(zé)人指定專人保管。5.5.3筆記本電腦使用時應(yīng)防止惡意軟件的侵害，在系統(tǒng)中應(yīng)安裝防病毒軟件，并由使用人對其定期升級， 對系統(tǒng)定期查殺，XX部負責(zé)監(jiān)督。5.5.4筆記本電腦在移動使用中，不能隨意拉接網(wǎng)絡(luò)，需通過填寫用戶授權(quán)申請表向XX部提前提出 需求，經(jīng)XX部審批后方能接入網(wǎng)絡(luò)。5.6計算機安全使用的要求5.6.1計算機設(shè)備為公司財產(chǎn)，應(yīng)愛惜使用，按照正確的操作步驟操作。5.6.2使用計算機時應(yīng)遵循信息安全策略要求執(zhí)行。5.6.3員工入職吋，由其所在部門的部門經(jīng)理根據(jù)該員工權(quán)限需要填寫用戶授權(quán)申請表，向研發(fā)

33、部提 出用戶開戶申請；離職時也需填寫用戶授權(quán)中請表通知研發(fā)部辦理銷戶。5.6.4新域用戶名為用戶姓名的拼音（有重名時另設(shè)），初始缺省密碼為XXXXXo用戶在第次登錄系 統(tǒng)時應(yīng)變更密碼，密碼需要設(shè)置在6位以上（英文字母、數(shù)字或符號組合的優(yōu)質(zhì)密碼）并注意保密。5.6.5各人使用自己的賬戶登錄，未經(jīng)許可不得以他人用戶名登錄。若用戶遺忘密碼，應(yīng)及時向研發(fā)部 中請新密碼后登錄。5.6.6不得使用計算機設(shè)備處理正常工作以外的爭務(wù)。5.6.7計算機的軟硬件設(shè)置管理由研發(fā)部進行，未經(jīng)許可，任何人不得更換計算機硬件和軟件。5.6.8研發(fā)部負責(zé)初始軟件的安裝，公司嚴禁個人私自安裝和更改任何軟件。計算機用戶的軟件安

34、裝與 升級按照更改控制程序執(zhí)行。拒絕使用來歷不明的軟件和光盤。5.6.9嚴禁亂拉接電源，以防造成短路或失火。5.6.10計算機桌而要保持清潔，不得將秘密和（或）受控文件直接放置在桌面；計算機桌面必須設(shè)置屏 幕保護，恢復(fù)時需用密碼確認（執(zhí)行密碼口令管理規(guī)定）。鎖屏?xí)r間可根據(jù)自己工作習(xí)慣設(shè)置鎖屏吋間， 但最高不得高于5分鐘。各部門負責(zé)人進行監(jiān)督。文件名稱信息處理設(shè)施引進實施管理程版次A/0頁碼文件編號XX-ISMS04日期2017. 11.015/75.7網(wǎng)絡(luò)安全使用的要求5.7.1對于網(wǎng)絡(luò)連接供應(yīng)商，充分考慮其口碑和現(xiàn)有安全防范措施，在簽署保密協(xié)議的基礎(chǔ)上加以篩選。5.7.2對內(nèi)設(shè)置必要的路由器

35、防火墻，采用HTTP、FTP的連接方式，捆綁固定IP地址防止權(quán)限濫用。6信息處理設(shè)施的日常點檢6.1計算機的日常點檢日常點檢的目的是確認系統(tǒng)硬件是否運行良好，有無硬件及程序上的報警，備份是否正常進行等。點 檢的流程、責(zé)任、項目、點檢周期和記錄表詳由相應(yīng)部門制定。如岀現(xiàn)在檢查期人員外出等不在崗情況, 需要在返回工作崗位時，立即補充完善。6.2網(wǎng)絡(luò)設(shè)備的管理與維護點檢的流程、責(zé)任、項目、點檢周期和記錄表由XX部負責(zé)，特別的，在點檢中應(yīng)包括對MAIL的 點檢。6.3點檢策略6.3.1所有存在于計算機、網(wǎng)絡(luò)設(shè)備上的服務(wù)、入侵檢測系統(tǒng)、防火墻和其他網(wǎng)絡(luò)邊界訪問控制系統(tǒng)的 系統(tǒng)審核、賬號審核和應(yīng)用審核日志

36、必須打開，如果有警報和警示功能必須打開。6.3.2審核日志必須保存定的期限，任何個人和部門不得以任何理由刪除保存期之內(nèi)的日志。6.3.3審核日志必須由該系統(tǒng)管理員定期檢查，特權(quán)使用、非授權(quán)訪問的試圖、系統(tǒng)故障和異常等內(nèi)容 應(yīng)該得到評審，以查找違背信息安全的征兆和事實。6.3.4入侵檢測系統(tǒng)必須處于啟動狀態(tài)，日志保存一定的期限，定期評審異常現(xiàn)象，對所有可疑或經(jīng)確 認的入侵行為和入侵企圖需及吋匯報并采取相應(yīng)的措施。6.3.5日志的配置最低要求設(shè)備類型日志內(nèi)容保存周期檢查周期服務(wù)系統(tǒng)對外提供服務(wù)的a）用戶標識符（ID）；b）登錄和注銷事件；c）若可能，終端位置；d）成功的失敗的登錄試圖。$6個月W2

37、周直接用于設(shè)計、存儲、 檢測的控制、管理和查 詢系統(tǒng)M12個月W2周全公司辦公系統(tǒng)26個月W5周文件名稱信息處理設(shè)施引進實施管理程版次A/0頁碼文件編號XX-ISMS04日期2017. 11.016/7部門內(nèi)部服務(wù)器N6個月W5周其他服務(wù)器26個月W5周防火墻和路由器系統(tǒng)配置更改日志$1個月W5周訪問日志（方向、流量）Ml個月W5周VPN網(wǎng)關(guān)町用戶標識符（ID）；b）登錄和注銷事件；C）終端位置；d）成功的失敗的登錄試圖。21周W1周入侵檢測系統(tǒng)異常網(wǎng)絡(luò)連接的時間、IP、 入侵類型M3個月W5周遠程訪問系統(tǒng)a）用戶標識符（ID）；b）登錄和注銷事件；C）終端位置；d）成功的失敗的登錄試圖。M3

38、個月W5周XX部網(wǎng)絡(luò)管理員根據(jù)系統(tǒng)的安全要求確認其日志內(nèi)容、保存周期、檢查周期，其最低要求不得低 于上表的要求。如果因為日志系統(tǒng)木身原因不能滿足上表的最低要求，需要降低標準的，必須得到XX部 主管或管理者代表的批準和備案。XX部網(wǎng)絡(luò)管理員配置日志系統(tǒng)，并定期檢查日志內(nèi)容，評審安全情況。評審的內(nèi)容包括：授權(quán)訪 問、特權(quán)操作、非授權(quán)的訪問試圖、系統(tǒng)故障與異常等情況，評審結(jié)束應(yīng)形成日志檢查記錄。6.4資料的保存6.4.1設(shè)備的技術(shù)資料由設(shè)備所在的部門交由行政部保存并建立受控文件和資料發(fā)放清單，以備日后 查閱。6.4.2設(shè)備廠商對設(shè)備進行維修后提供的維修（維護）記錄單，由XX部保存，以備日后查詢。6.

39、5網(wǎng)絡(luò)掃描工具的安全使用管理6.5.1對網(wǎng)絡(luò)掃描工具的使用，必須得到管理者代表的授權(quán)，并保存使用的記錄。7其它要求涉及應(yīng)用系統(tǒng)軟件的開發(fā)（包括外包軟件開發(fā)）的項目，還需執(zhí)行系統(tǒng)開發(fā)與維護控制程序的 相關(guān)要求。文件名稱信息處理設(shè)施引進實施管理程版次A/0頁碼文件編號XX-ISMS06日期2017. 11.011 /81目的為對違反信息安全方針、體系文件要求、法律法規(guī)、合同要求的員工實施公正有效的獎 懲，并作為對可能在其它情況下有意輕視信息安全程序的員工的威懾，強化全體員工的信息 安全意識，有效防止信息安全事故的發(fā)生，特制定本規(guī)定。2范圍本程序適用于本公司對違反信息安全方針、體系文件要求、法律法規(guī)

40、、合同要求的員工 的獎懲及對信息安全做出貢獻員工的獎勵。3定義無4職責(zé)1各部門經(jīng)理負責(zé)自己區(qū)域內(nèi)的獎懲。4.2管理者代表負責(zé)對IT方面信息安全事故的獎懲管理。4.3信息安全管理委員會負責(zé)決定重大信息安全和事故的處罰。4.4系統(tǒng)管理員負責(zé)本公司內(nèi)部泄密或信息泄漏的調(diào)查。5程序文件名稱信息安全懲戒管理程序版次A/0頁碼文件編號XX-ISMS06日期2017. 11.012/85. 1計算機信息系統(tǒng)的安保1. 1在計算機信息系統(tǒng)安全保護工作中成績顯著的單位和個人，由人事部給予表彰、獎勵。1.2存在計算機信息系統(tǒng)安全隱患，由人事部發(fā)出整改通知，限期整改。因不及時整改而 發(fā)生重大事故和案件的，由市行對該

41、單位的主管負責(zé)人和直接負責(zé)人予以行政處分；構(gòu)成違 反治安管理或者違反計算機管理監(jiān)察行為的，由公安機關(guān)依法予以處罰；構(gòu)成犯罪的，由司 法機關(guān)依法追究刑事責(zé)任。注：以上條款由本公司信息安全委員會負責(zé)解釋。文件名稱信息安全懲戒管理程序版次A/0頁碼文件編號XX-ISMS06日期2017. 11.013/85.2計算機應(yīng)用與管理違規(guī)行為處罰規(guī)定5.2.1計算機應(yīng)用、維護及操作人員違反規(guī)定的，給予經(jīng)濟處罰或者警告至降級處分；造成 嚴重后果的，給予撤職至開除處分。2.2違反規(guī)定，擅自編制、使用、修改業(yè)務(wù)應(yīng)用程序、調(diào)整系統(tǒng)參數(shù)和業(yè)務(wù)數(shù)據(jù)的，給予 主管人員和其他責(zé)任人員記過至撤職處分；造成嚴重后果的，給予主管

42、人員和其他責(zé)任人員 留用察看至開除處分。5.2.3利用計算機進行違法違規(guī)活動或者為違法違規(guī)活動提供條件的，給予主管人員和其他 責(zé)任人員記過撤職處分；造成嚴重后果的，給予留用至開除處分。2.4違反規(guī)定，有下列危害網(wǎng)絡(luò)安全公司為之一的，給予有關(guān)責(zé)任人員經(jīng)濟處罰或者警告 至記過處分；造成嚴重后果的，給予記大過至開除處分：在生產(chǎn)經(jīng)營用機上使用與業(yè)務(wù)無關(guān)的軟件或者利用通訊手段非法侵入其他系統(tǒng)和 網(wǎng)絡(luò)的(含從的一個業(yè)務(wù)系統(tǒng)進入另一個業(yè)務(wù)系統(tǒng)，從以外的系統(tǒng)和設(shè)備侵入業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng), 以及從的業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)進入以外的網(wǎng)絡(luò)系統(tǒng))；未經(jīng)審批，私自使用內(nèi)部網(wǎng)絡(luò)上的計算機撥號上國際互聯(lián)網(wǎng)的；將非計算機設(shè)備接入網(wǎng)絡(luò)系統(tǒng)的；

43、私自卸載或屏蔽計算機安全軟件的；私自修改計算機操作系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)安全設(shè)置的；未經(jīng)審批，私自在網(wǎng)絡(luò)系統(tǒng)內(nèi)開設(shè)游戲網(wǎng)站、論壇、聊天室等與工作無關(guān)的網(wǎng)絡(luò) 服務(wù)的；利用郵件系統(tǒng)傳播損害形象的郵件的。5. 2.5利用的計算機設(shè)備和網(wǎng)絡(luò)系統(tǒng)制造、傳播計算機病毒，給予主管人員和其他責(zé)任人員 記過至記大過處分；造成嚴重后果的，給予主管人員和其他責(zé)任人員降級至開除處分。5.2.6計算機房值班人員擅自離崗的，給予經(jīng)濟處罰或者警告處分；造成嚴重后果的，給予 記過至開除處分。5. 2.7系統(tǒng)管理和操作人員離開主機或者終端時沒有按操作規(guī)程退出系統(tǒng)的，給予經(jīng)濟處罰 或者警告至記過處分；造成嚴重后果的，給予記大過至開除處分

44、。5. 2.8違反規(guī)定將屬于的計算機軟件、文檔、資料、客戶信息等據(jù)為己有、復(fù)制或者借給外 單位的，給予有關(guān)責(zé)任人員記過至撤職處分；造成嚴重后果的，給予留用察看至開除處分。文件名稱信息安全懲戒管理程序版次A/0頁碼文件編號XX-ISMS06日期2017. 11.014/85. 2.9未按規(guī)定進行數(shù)據(jù)備份、沒有妥善保管備份數(shù)據(jù)或備分數(shù)據(jù)無效的，給予主管人員和 其他責(zé)任人員經(jīng)濟處罰或者警告至記過處分；造成嚴重后果的，給予記大過至開除處分。5. 2. 10在對面向客戶的業(yè)務(wù)應(yīng)用系統(tǒng)管理中，從事后臺維護的技術(shù)人員，違反規(guī)定同時進 行前臺技術(shù)維護的，給予主管人員和其他責(zé)任人員記過至記大過處分；造成嚴重后果

45、的，給 予降級至開除處分。5. 2. 11在業(yè)務(wù)應(yīng)用系統(tǒng)有關(guān)的各項業(yè)務(wù)操作過程中，技術(shù)人員代替業(yè)務(wù)人員操作，或業(yè)務(wù)員 允許技術(shù)人員代替從事業(yè)務(wù)操作，給予主管人員和其他責(zé)任人員記過至開除處分。5.2. 12偽造信息的，給予主管人員和其他責(zé)任人員警告至降級處分；造成嚴重后果的，給予 撤職至開除處分。文件名稱信息安全懲戒管理程序版次A/0頁碼文件編號XX-ISMS06日期2017. 11.015/85.3計算機信息類違規(guī)處罰5.3. 1本公司職工違規(guī)操作，給系統(tǒng)造成一定的影響，但沒有影響業(yè)務(wù)正常運行或?qū)I(yè)務(wù)造 成輕微危害者，給當事人警告或嚴重警告、情節(jié)較重或嚴重者，視情節(jié)輕重給予當事人和主 管領(lǐng)導(dǎo)2

46、00元以上1000元以下罰款。5.3.2本公司職工違規(guī)操作導(dǎo)致系統(tǒng)發(fā)生問題，影響業(yè)務(wù)長時間正常運行，視情況給予處罰， 情節(jié)嚴重者，開除。5.3.3系統(tǒng)管理員凡是不按要求管理，出現(xiàn)公網(wǎng)和內(nèi)網(wǎng)混網(wǎng)現(xiàn)象，或其它安全問題，一經(jīng)發(fā) 現(xiàn)，除全公司通報批評外，處以200元罰款，情節(jié)嚴重者，調(diào)離系統(tǒng)員崗位。5.3.4所有計算機使用用戶，違規(guī)私自修改網(wǎng)絡(luò)地址進入不該進入的業(yè)務(wù)網(wǎng)段、或使用內(nèi)網(wǎng) 主機進入internet網(wǎng)絡(luò)者，若對系統(tǒng)和業(yè)務(wù)未造成影響，除全公司通報批評外，處以當事 人和相關(guān)責(zé)任人200元罰款，若對系統(tǒng)或業(yè)務(wù)造成影響著，視情節(jié)輕重，處以500以上10000 元以下罰款。5.3.5凡是利用非法手段竊取

47、系統(tǒng)密鑰，進入本公司業(yè)務(wù)系統(tǒng)，盜取客戶資料，向外界提供 客戶資料并造成客戶損失或進入系統(tǒng)作案者，一經(jīng)發(fā)現(xiàn)，立即開除，情節(jié)嚴重者，送交司法 機關(guān)處置。文件名稱信息安全懲戒管理程序版次A/0頁碼文件編號XX-ISMS06日期2017. 11.016/85.4獎懲記錄5. 4.1系統(tǒng)管理員根據(jù)本公司獎懲管理規(guī)定，對獎懲的實施進行記錄并形成獎懲記錄單 記錄完畢后由系統(tǒng)管理員進行留存。文件名稱信息安全懲戒管理程序版次A/0頁碼文件編號XX-ISMS06日期2017. 11.017/85. 5證據(jù)的收集5. 5.1當信息安全事件涉及到訴訟（民事的或刑事的），需要進一步對個人或組織進行起訴 時，應(yīng)收集、保留

48、和呈遞證據(jù)，以使證據(jù)符合相關(guān)訴訟管轄權(quán)。5. 5.2證據(jù)在收集時不得侵犯個人權(quán)益，應(yīng)在不侵犯個人權(quán)益時對證據(jù)進行收拾并且證實證 據(jù)是否可在法庭上使用。5. 5.3應(yīng)保證證據(jù)的質(zhì)量和完備性，防止未被授權(quán)的篡改和泄漏。5. 5.4證據(jù)獲得的保證：本公司應(yīng)確保收集證據(jù)其信息系統(tǒng)符合任何公布的標準或?qū)嵱靡?guī)則 來產(chǎn)生被容許的證據(jù)。文件名稱信息安全懲戒管理程序版次A/0頁碼文件編號XX-ISMS06日期2017. 11.018/85.6證據(jù)的保存及提供5.6.1提供證據(jù)的份量應(yīng)符合任何適用的要求。對該證據(jù)的存儲和處理的整個時期內(nèi)，應(yīng)進 行過程控制保證證據(jù)的質(zhì)量和完備性。5. 6.2紙面文檔證據(jù)的提供：原物

49、應(yīng)被安全保存且?guī)в邢铝行畔⒌挠涗洠赫l發(fā)現(xiàn)了這個文檔, 文檔是在哪兒被發(fā)現(xiàn)的，文檔是什么時候被發(fā)現(xiàn)的，誰來證明這個發(fā)現(xiàn)；任何調(diào)查應(yīng)確保原 物沒有被篡改；5. 6.3對計算機介質(zhì)上的信息：任何可移動介質(zhì)的鏡像或拷貝（依賴于適用的要求）、硬盤 或內(nèi)存中的信息都應(yīng)確保其可用性；拷貝過程中所有的行為日志都應(yīng)保存下來，且應(yīng)有證據(jù) 證明該過程；原始的介質(zhì)和日志（如果這一點不可能的話，那么至少有一個鏡像或拷貝）應(yīng) 安全保存且不能改變5. 6.4任何法律取證工作應(yīng)僅在證據(jù)材料的拷貝上進行。所有證據(jù)材料的完整性應(yīng)得到保 護。證據(jù)材料的拷貝必須在可信耐人員的監(jiān)督下進行，什么時候在什么地方執(zhí)行的拷貝過程, 誰執(zhí)行的拷

50、貝活動，以及使用了哪種工具和程序，這些信息都應(yīng)記錄作為日志。6記錄獎懲記錄單文件名稱信息安全適用性聲明版次A/0頁碼文件編號XX-ISMS*07日期2017. 11.011 /14目的根據(jù)ISO/IEC27001:2013標準和公司實際管理需要，確定標準各條款對公司的適用性，特編 制本程序。范圍適用于對ISO/IEC27001:2013標準于本公司的適用性管理。職責(zé)與權(quán)限3.1最高管理者負責(zé)信息安全適用性聲明的審批。3.2綜合部負責(zé)信息安全適用性聲明的編制及修訂。相關(guān)文件a）信息安全管理手冊術(shù)語定義無6.適用性聲明文件名稱信息安全適用性聲明版次A/0頁碼文件編號XX-ISMS*07日期2017

51、. 11.012/14信息安全適用性聲明SOAA. 5信息安全方針標準 條款號標題目標/ 控制是否 選擇選擇理由相關(guān)文件A.5信息安全管理指引目標YES提供符合有關(guān)法律法規(guī)和業(yè)務(wù)需求的信息安全管理指 引和支持。A.5信息安全方針控制YES信息安全方針應(yīng)由管理才 批準發(fā)布。信息安全管理手冊A51.2信息安全方針 的評審控制YES確保方針持續(xù)的適應(yīng)性。管理評審控制程序A. 6信息安全組織標準 條款號標題目標/ 控制是否 選擇選擇理由相關(guān)文件A.6.1信息安全組織目標YES管理組織內(nèi)部信息安全。A6I.1信息安全的角色 和職責(zé)控制YES保持特定資產(chǎn)和完成特定 安全過程的所有信息安全 職責(zé)需確定。信息

52、安全管理手冊A.6.1.2職責(zé)分離控制YES分離有沖突的職責(zé)和責(zé)任 范圍，以減少對組織資產(chǎn)未 經(jīng)授權(quán)訪問、無意修改或誤 用的機會。信息安全管理手冊A.6.1.3與監(jiān)管機構(gòu)的聯(lián) 系控制YES與相關(guān)監(jiān)管機構(gòu)保持適當 聯(lián)系。相關(guān)方服務(wù)管理程序A.6.1.4與特殊利益團體 的聯(lián)系控制YES與特殊利益團體、其他專業(yè) 安全協(xié)會或行業(yè)協(xié)會應(yīng)保 持適當聯(lián)系。相關(guān)方服務(wù)管理程序A.6.1.5項目管理中的信 息安全控制YES實施任何項目時應(yīng)考慮信 息安全相關(guān)要求。保密協(xié)議相關(guān)方管理程序A.6.2移動設(shè)備和遠程 辦公目標YES確保遠程辦公和使用移動設(shè)備的安全性A.6.2移動設(shè)備策略控制YES采取安全策略和配套的安

53、全措施管控使用移動設(shè)備 帶來的風(fēng)險。信息處理設(shè)施控制程 序計算機管理規(guī)定介質(zhì)管理程序A.6.2.2遠程辦公控制YES我司有遠程訪問公司少數(shù) 系統(tǒng)的情況，需要進行安全 控制。用戶訪問控制程序A. 7人力資源安全文件名稱信息安全適用性聲明版次A/0頁碼文件編號XX-ISMS*07日期2017. 11.013/14標準 條款號標題目標/ 控制是否 選擇選擇理由相關(guān)文件A.7聘用前目標YES確保員工、合同方人員適合他們所承擔的角色并理解 他們的安全責(zé)任A.7人員篩選控制YES通過人員考察，防止人員帶 來的信息安全風(fēng)險。人力資源安全管理程 序A.7J.2雇傭條款和條 件控制YES履行信息安全保密協(xié)議是

54、雇傭人員的一個基木條件。人力資源安全管理程 序保密協(xié)議A.7.2聘用期間目標YES確保員工和合同方了解并履行他們的信息安全責(zé)任。A.7.2管理職責(zé)控制YES缺乏管理職責(zé)，會使人員意 識淡薄，從而對組織造成負 面安全影響。信息安全管理手冊人力資源安全管理程 序A.7.2.2信息安全意識、 教育和培訓(xùn)控制YES信息安全意識及必要的信 息系統(tǒng)操作技能培訓(xùn)是信 息安全管理工作的前提。人力資源安全管理程 序A.7.2.3懲戒過程控制YES對造成安全破壞的員工應(yīng) 該有一個正式的懲戒過程。信息安全懲戒管理規(guī) 定A.7.3聘用中止和變 化目標YES在任用變更或中止過程保護組織利益。A.7.3.1任用終止或變

55、更的責(zé)任控制YES應(yīng)定義信息安全責(zé)任和義 務(wù)在任用終止或變更后仍 然有效，并向員工利合同方 傳達并執(zhí)行。人力資源安全管理程 序相關(guān)方服務(wù)管理程 序A. 8資產(chǎn)管理標準 條款號標題目標/ 控制是否選擇選擇理由相關(guān)文件A.8.1資產(chǎn)責(zé)任目標YES對我司資產(chǎn)（包括顧客要求彳 進行有效保護。呆密的數(shù)據(jù)、軟件及產(chǎn)品）A.&1資產(chǎn)清單控制YES建立重要資產(chǎn)清單并實施 保護。信息安全風(fēng)險評估控 制程序重要資產(chǎn)清單A.&1.2資產(chǎn)責(zé)任人控制YES對所有的與信息處理設(shè)施 有關(guān)的信息和資產(chǎn)指定“所 有者”信息安全風(fēng)險評估控 制程序資產(chǎn)消單信息處理設(shè)施控制程序A.&1.3資產(chǎn)的合理使用控制YES識別與信息系統(tǒng)或服務(wù)

56、相 關(guān)的資產(chǎn)的合理使用規(guī)則， 并將其文件化，并予以實信息處理設(shè)施控制程 序文件名稱信息安全適用性聲明版次A/0頁碼文件編號XX-ISMS*07日期2017. 11.014/14標準 條款號標題目標/ 控制是否 選擇選擇理由相關(guān)文件施。A.8.1.4資產(chǎn)的歸還控制YES在勞動合同或協(xié)議終止后， 所有員工和外部方人員應(yīng) 退還所有他們持有的組織 資產(chǎn)。人力資源安全管理程 序相關(guān)方服務(wù)管理程 序A.8.2信息分類目標YES我司根據(jù)信息的敏感性對信息進行分類，明確保護要 求、優(yōu)先權(quán)和等級，以確保對資產(chǎn)采取適當?shù)谋Ｗo。A.8.2分類指南控制YES我司的信息安全涉及信息 的敏感性，適當?shù)姆诸惪刂?是必要的。

57、信息分類與處理指 南A.8.2.2信息標識控制YES按分類方案進行標注并規(guī) 定信息處理的安全的要求。信息分類與處理指 南A.8.2.3資產(chǎn)處理控制YES根據(jù)組織采用的資產(chǎn)分 類方法制定和實施資產(chǎn) 處理程序信息處理設(shè)施控制程 序A.8.3介質(zhì)處理目標YES防止存儲在介質(zhì)上的信息被非授權(quán)泄露、修改、刪除 或破壞。A.8.3可移動介質(zhì)管理控制YES我司存在含有敏感信息的 磁盤、磁帶、光盤、打印報 告等可移動介質(zhì)。介質(zhì)管理程序A.8.3.2介質(zhì)處置控制YES當介質(zhì)不再需要時,對含有 敏感信息介質(zhì)采用安全的 處置辦法是必須。介質(zhì)管理程序A.8.3.3物理介質(zhì)傳輸控制YES含有信息的介質(zhì)應(yīng)加以保 護，防止

58、未經(jīng)授權(quán)的訪問、 濫用或在運輸過程中的損 壞。信息交換管理程序A.9訪問控制標準 條款號標題目標/ 控制是否 選擇選擇理由相關(guān)文件A.9.1訪問控制的業(yè)務(wù) 需求H標YES限制對信息和信息處理設(shè)施的訪問A.9訪問控制策略控制YES建立文件化的訪問控制策 略，并根據(jù)業(yè)務(wù)和安全要求 對策略進行評審。用戶訪問控制程序A.9J.2對網(wǎng)絡(luò)和網(wǎng)絡(luò)服 務(wù)的訪問控制YES制定策略，明確用戶訪問網(wǎng) 絡(luò)和網(wǎng)絡(luò)服務(wù)的范圍，防止 非授權(quán)的網(wǎng)絡(luò)訪問。用戶訪問控制程序A.9.2用戶訪問管理目標YES確保己授權(quán)用戶的訪問，預(yù)防對系統(tǒng)和服務(wù)的非授權(quán)文件名稱信息安全適用性聲明版次A/0頁碼文件編號XX-ISMS*07日期2017

59、. 11.015/14標準 條款號標題目標/ 控制是否 選擇選擇理由相關(guān)文件訪問。A.9.2.1用戶注冊和注銷控制YES我司存在多用戶信息系統(tǒng)， 應(yīng)建立用戶登記和注銷登 記程序。用戶訪問控制程序A.9.2.2用戶訪問權(quán)限提 供控制YES應(yīng)有正式的用戶訪問分配 程序，以分配和撤銷對于所 有信息系統(tǒng)及服務(wù)的訪問。用戶訪問控制程序A.9.2.3特權(quán)管理控制YES應(yīng)對特權(quán)帳號進行管理，特 權(quán)不適當?shù)氖褂脮斐上?統(tǒng)的破壞。用戶訪問控制程序A.9.2.4用戶認證信息的 安全管理控制YES用戶鑒別信息的權(quán)限分配 應(yīng)通過一個正式的管理過 程進行安全控制。用戶訪問控制程序A.9.2.5用戶訪問權(quán)限的 評審控制

60、YES對用戶訪問權(quán)限進行評審 是必要的，以防止非授權(quán)的 訪問。用戶訪問控制程序A.9.2.6撤銷或調(diào)整訪問 權(quán)限控制YES在跟所有員工和承包商 人員的就業(yè)合同或協(xié)議 終止和調(diào)整后，應(yīng)相應(yīng)得 刪除或調(diào)整其信息和信 息處理設(shè)施的訪問權(quán)限0人力資源安全管理程 序用戶訪問控制程序相關(guān)方服務(wù)管理程 序A.9.3用戶貴任目標YES確保用戶對認證信息的保護負責(zé)0A.9.3認證信息的使用控制YES應(yīng)要求用戶遵循組織的規(guī) 則使用其認證信息。用戶訪問控制程序A.9.4系統(tǒng)和應(yīng)用訪問 控制目標YES防止對系統(tǒng)和應(yīng)用的未授權(quán)訪問A.9.4信息訪問限制控制YES我司信息訪問權(quán)限是根據(jù) 業(yè)務(wù)運做的需要及信息安 全考慮所規(guī)