ISO27001信息安全管理程序全套-硅橡膠塑膠模具行業(yè)

公司LOGOXXXX有限公司文件編號(hào)HH-ISMS-XX版本A/0類別XXX管理程序生效日期20XX-XX-XX程序文件頁次PagePAGE2ofNUMPAGES5信息安全程序文件(依據(jù)ISO/IEC27001:2013標(biāo)準(zhǔn)編制) 受控狀態(tài)：■受控□非受控制定部門制定/日期審核/日期批準(zhǔn)/日期文件發(fā)行欄□采購部□PMC部□工程部□設(shè)計(jì)&開發(fā)部□固態(tài)成型部□液態(tài)成型部□注塑部□加工部□噴涂部□AP中心□品管部□倉務(wù)部□工模部□人力資源部□信息資訊部□市場部□體系部□管理者代表□總經(jīng)辦□企劃中心□財(cái)務(wù)部□其他：

修改履歷序號(hào)章節(jié)版次制訂或修改內(nèi)容日期1全部A/0新版發(fā)行2021-09-28

目錄目錄2文件更改履歷3ISMS-02-01文件控制程序4ISMS-02-02記錄控制程序7ISMS-02-03內(nèi)審和改進(jìn)控制程序11ISMS-02-04管理評審控制程序18ISMS-02-05信息安全風(fēng)險(xiǎn)控制程序24ISMS-02-06環(huán)境設(shè)施與物理設(shè)備控制程序37ISMS-02-07用戶訪問控制程序43ISMS-02-08信息資產(chǎn)管理控制程序46ISMS-02-09人力資源控制程序56ISMS-02-10通信與操作控制程序64ISMS-02-11遠(yuǎn)程工作控制程序78ISMS-02-12信息系統(tǒng)獲得、開發(fā)與維護(hù)控制程序83ISMS-02-13信息安全事件控制程序88ISMS-02-14業(yè)務(wù)連續(xù)性控制程序97ISMS-02-15監(jiān)視和測量控制程序102ISMS-02-16符合性控制程序106ISMS-02-17糾正和預(yù)防措施控制程序107

文件控制程序ISMS-02-011目的對與信息安全、信息技術(shù)服務(wù)管理體系有關(guān)的文件進(jìn)行控制，確保各相關(guān)場所使用的文件均為適用的有效版本。2范圍本程序適用于信息安全、信息技術(shù)服務(wù)管理體系文件（包括外來文件）的控制。3職責(zé)3.1總經(jīng)理負(fù)責(zé)批準(zhǔn)發(fā)布信息安全、信息技術(shù)服務(wù)管理體系文件。3.2管理者代表組織編寫信息安全、信息技術(shù)服務(wù)管理體系文件。3.3綜合管理部負(fù)責(zé)ISMS體系文件的制訂、發(fā)布、標(biāo)識(shí)、版本控制和修訂管理。4程序4.1文件的劃分4.1.1一級(jí)：信息安全手冊(包括方針、目標(biāo)）。4.1.2二級(jí)：程序文件。4.1.3三級(jí)：規(guī)范制度4.1.4四級(jí)：記錄。4.3文件的編號(hào)4.3.1文件編號(hào)是文件的標(biāo)識(shí)，一種文件只有一種編號(hào)。4.4文件的狀態(tài)標(biāo)識(shí)4.4.1文件分為"受控"和"非受控"二種版本?！笆芸亍鳖愇募侵腹緝?nèi)部使用的與管理體系密切相關(guān)的文件，“非受控”類文件是指發(fā)往外部無跟蹤要求的體系文件。4.4.2為了識(shí)別文件的現(xiàn)行修訂狀態(tài)，綜合管理部編制《文件清單》。4.5文件的發(fā)放4.5.1文件均通過電子形式發(fā)放，統(tǒng)一由綜合管理部進(jìn)行發(fā)布。4.6文件的更改4.6.1文件的更改，由提出更改的人員填寫《文件修改申請單》后，由總經(jīng)理批準(zhǔn)后，進(jìn)行修訂。4.6.2當(dāng)文件多次更改或一次更改篇幅較大、內(nèi)容較多時(shí)，應(yīng)進(jìn)行換頁或換版，由文件編制人員重新制作相關(guān)文件，經(jīng)管理者代表或分管領(lǐng)導(dǎo)審批后換頁或換版，換頁文件的修訂狀態(tài)由原來的A/0變?yōu)锽/1，依次類推，新版文件的修改狀態(tài)由原來的A/0變?yōu)镃/0，依次類推。4.7文件的保管4.7.1ISMS文件由綜合管理部定期進(jìn)行備份。4.8文件的作廢4.8.1文件作廢后，以新版本更新舊版本，在綜合管理部只保留最近一次的舊版本。4.8.2文件作廢需填寫《文件廢止表》由專人負(fù)責(zé)實(shí)施。4.9外來文件的控制4.9.1外來文件包括國內(nèi)外技術(shù)標(biāo)準(zhǔn)、產(chǎn)品標(biāo)準(zhǔn)、國家法規(guī)文件，客戶提供的資料等。4.9.2各部門收到外來文件時(shí)，需識(shí)別其適用性并及時(shí)將外來文件的原件或底稿上交相關(guān)部門歸檔并填寫《文件清單》，以控制分發(fā)。4.9.3每年年初由綜合管理部負(fù)責(zé)組織有關(guān)部門檢查外來文件的有效性，確保使用有效版本。5相關(guān)記錄《文件發(fā)放、回收記錄》《文件清單》《文件修改申請單》《文件廢止表》

記錄控制程序ISMS-02-021目的對記錄的標(biāo)識(shí)、貯存、保護(hù)和處置進(jìn)行控制，為證明產(chǎn)品和服務(wù)符合IT服務(wù)、信息安全管理體系規(guī)定的要求及IT服務(wù)、信息安全管理體系有效運(yùn)行提供證據(jù)，同時(shí)也為提供服務(wù)信息安全、IT服務(wù)的可追溯性及制定糾正、預(yù)防措施以及持續(xù)改進(jìn)IT服務(wù)、信息安全管理體系提供依據(jù)。2范圍本程序適用于本公司對IT服務(wù)、信息安全管理體系所要求的記錄的控制。3職責(zé)3.1綜合管理部負(fù)責(zé)記錄的控制和管理。3.2各崗位人員負(fù)責(zé)本崗位產(chǎn)生、接收的記錄的保管和控制工作。4程序4.1記錄內(nèi)容和要求4.1.1記錄名稱：記錄名稱應(yīng)簡短，并能準(zhǔn)確反映記錄對象或主題內(nèi)容，必要時(shí)應(yīng)在記錄對象前加以說明，以明確與其他類似記錄的區(qū)別。4.1.2記錄編號(hào)：為了更好地實(shí)現(xiàn)可追溯性，記錄應(yīng)單獨(dú)編號(hào)，按日期或版本進(jìn)行編號(hào)。4.1.3記錄內(nèi)容：按記錄對象不同的具體要求，確定編寫記錄內(nèi)容。4.1.4記錄人員：由有關(guān)工作人員、檢查人員、技術(shù)人員、管理人員及審批人員按需要進(jìn)行簽字。4.1.5記錄時(shí)間：按活動(dòng)程序的時(shí)間進(jìn)行填寫4.2記錄的形成4.2.1IT服務(wù)服務(wù)、信息安全管理記錄形成于管理體系運(yùn)行的各階段，應(yīng)收集各種原始數(shù)據(jù)和資料，根據(jù)所收集的資料，按記錄表格的有關(guān)規(guī)定填寫記錄。4.2.2公司有統(tǒng)一規(guī)定的記錄表格（含沒有編號(hào)的記錄表格〕，按規(guī)定的記錄表格執(zhí)行，沒有規(guī)定的記錄表格，由各使用部門自行設(shè)計(jì)，部門審批、編號(hào)、登記后使用。4.2.3各部門可根據(jù)工作需要提出記錄表格設(shè)計(jì)更改，按《文件控制程序》中有關(guān)文件更改的規(guī)定執(zhí)行。4.2.4記錄必須在活動(dòng)中及時(shí)進(jìn)行填寫，內(nèi)容應(yīng)完整、數(shù)據(jù)齊全、真實(shí)準(zhǔn)確、字跡清楚。4.3記錄的收集、整理4.3.1記錄人員在完成記錄以后應(yīng)進(jìn)行自查，必要時(shí)，每日下班前交部門負(fù)責(zé)人審查。4.3.2紙質(zhì)記錄不能涂改，無法避免時(shí)必須在原處劃一橫線，再在旁邊填寫糾正后的內(nèi)容，必要時(shí)，由更改人員在改動(dòng)處簽名或加蓋印章。電子文檔修訂時(shí)，以修訂線的方式進(jìn)行修訂。4.3.3經(jīng)審核后的記錄，由記錄形成部門按時(shí)間先后順序和類別裝訂成冊，并在封面上做出標(biāo)識(shí)，標(biāo)識(shí)應(yīng)包括記錄的名稱、編號(hào)、記錄順序號(hào)、起止年月等。4.3.4對直接錄入電腦的記錄，錄入人員應(yīng)按公司的規(guī)定執(zhí)行，錄入后應(yīng)認(rèn)真核對，確保其正確。4.4記錄的貯存、保管4.4.1各部門負(fù)責(zé)填寫本部門《記錄清單》，報(bào)綜合管理部負(fù)責(zé)匯總公司《記錄清單》，包括記錄的名稱、編號(hào)、保管部門、保存期限等內(nèi)容，各部門按規(guī)定的期限保存記錄。4.4.2對電子媒體形式的記錄，如磁盤、光盤、照片等應(yīng)作好標(biāo)識(shí)，保存在防磁、防熱、防潮的環(huán)境條件下。4.4.3記錄應(yīng)分類存放于文件柜中，以存取和檢索，并有適宜的環(huán)境條件，避免丟失或損壞。4.5記錄的查閱4.5.1公司內(nèi)部人員借閱、查看記錄，應(yīng)及時(shí)歸還。4.5.2客戶若要查閱記錄或合同規(guī)定（除法律法規(guī)規(guī)定的以外）時(shí)，經(jīng)相關(guān)部門負(fù)責(zé)人同意后，可在本公司內(nèi)就地查閱，原則上不借出公司。4.6記錄的處理4.6.1記錄的保存期限至少三年（國家或行業(yè)有規(guī)定的依其規(guī)定〕。超過保存期，可以直接銷毀。4.6.2銷毀記錄應(yīng)在指定的地方進(jìn)行，必要時(shí)派人監(jiān)督。5相關(guān)記錄《記錄清單》內(nèi)審和改進(jìn)控制程序ISMS-02-031.目的:驗(yàn)證信息安全、IT服務(wù)管理體系是否符合準(zhǔn)則要求，是否得到有效地保持、實(shí)施和改進(jìn)。2.范圍本程序適用于對本公司信息安全、IT服務(wù)管理體系覆蓋的所有區(qū)域和所有要求的內(nèi)部審核。對不符合采取的糾正和預(yù)防措施以及改進(jìn)的控制。職責(zé)3.1管理者代表負(fù)責(zé)批準(zhǔn)年度內(nèi)審計(jì)劃和每次內(nèi)審的實(shí)施計(jì)劃；負(fù)責(zé)確定審核組長及審核員；負(fù)責(zé)審批內(nèi)部審核報(bào)告。3.2內(nèi)審組長負(fù)責(zé)編制年度內(nèi)審計(jì)劃，全面負(fù)責(zé)組織、實(shí)施內(nèi)部審核工作。3.3內(nèi)審組長負(fù)責(zé)編制、實(shí)施內(nèi)審計(jì)劃，編寫內(nèi)審報(bào)告。4.程序4.1年度內(nèi)審計(jì)劃4.1.1根據(jù)擬定審核的活動(dòng)和區(qū)域的狀況和重要程度，及以往審核的結(jié)果，由管理者代表負(fù)責(zé)策劃全年審核方案，編制《內(nèi)部審核計(jì)劃》，確定審核的范圍、頻次和方法，經(jīng)管理者代表批準(zhǔn)后實(shí)施。每年至少進(jìn)行一次內(nèi)審，二次內(nèi)審的時(shí)間間隔不超過12個(gè)月。當(dāng)出現(xiàn)以下情況時(shí)，由管理者代表及時(shí)組織進(jìn)行內(nèi)部審核：當(dāng)組織機(jī)構(gòu)、信息安全管理體系發(fā)生重大變化時(shí)；當(dāng)出現(xiàn)重大信息安全事故，或客戶對某一環(huán)節(jié)連續(xù)投訴時(shí)；當(dāng)法律、法規(guī)及其他外部要求的變更時(shí)；在第二、第三方審核之前；當(dāng)信息安全、IT服務(wù)管理體系認(rèn)證證書到期換證前。4.1.2根據(jù)需要，可審核信息安全、IT服務(wù)管理體系覆蓋的全部要求和部門，也可以專門針對某幾項(xiàng)要求或部門進(jìn)行重點(diǎn)審核；但全年的內(nèi)部審核必須覆蓋信息安全、IT服務(wù)管理體系全部要求和部門。4.2審核前的準(zhǔn)備4.2.1管理者代表任命內(nèi)審組長和內(nèi)審組成員。內(nèi)審員不能審核自己所在部門的工作。4.2.2由內(nèi)審組長策劃并編制本次《內(nèi)部審核計(jì)劃》，交管理者代表審批。計(jì)劃的編制要具有嚴(yán)肅性和靈活性，其內(nèi)容主要包括：審核目的、范圍、方法、依據(jù)；內(nèi)部審核的工作安排；審核組成員；審核時(shí)間、地點(diǎn)；受審部門及審核要點(diǎn)；開會(huì)時(shí)間。4.2.3在了解受審核部門的具體情況后，由內(nèi)審組長組織內(nèi)審小組成員編寫《內(nèi)審檢查表》，內(nèi)審檢查表要詳細(xì)列出審核項(xiàng)目、依據(jù)、方法，確保審核能順利進(jìn)行。4.2.4內(nèi)審組長于內(nèi)審前將《內(nèi)部審核計(jì)劃》發(fā)給受審人員，受審人員對內(nèi)審時(shí)間如有異議，應(yīng)在內(nèi)審前三天通知內(nèi)審組長。4.2.5內(nèi)審員應(yīng)經(jīng)國家認(rèn)可的信息安全體系認(rèn)證和咨詢機(jī)構(gòu)培訓(xùn)、考核合格后方能擔(dān)任。4.3內(nèi)審的實(shí)施4.3.1首次會(huì)議會(huì)議人員：公司領(lǐng)導(dǎo)層、管理者代表、各部門負(fù)責(zé)人、內(nèi)審組成員，與會(huì)者簽到，審核組長主持會(huì)議。會(huì)議內(nèi)容：由組長介紹內(nèi)審目的、范圍、依據(jù)、方式、組員和內(nèi)審日程安排及其他有關(guān)事項(xiàng)。4.3.2現(xiàn)場審核內(nèi)審組根據(jù)《內(nèi)審檢查表》對受審核部門的流程、文件等執(zhí)行情況進(jìn)行現(xiàn)場審核，將體系運(yùn)行效果及不符合項(xiàng)詳細(xì)記錄在《內(nèi)審檢查表》中。內(nèi)審組長需每日召開審核組內(nèi)部會(huì)議，全面了解該當(dāng)日內(nèi)審情況，對《不符合項(xiàng)報(bào)告》進(jìn)行核對。內(nèi)審時(shí)審核員要公正而又客觀地對待問題。4.3.3現(xiàn)場審核后，審核組長召開審核組會(huì)議，綜合分析、檢查結(jié)果、依據(jù)標(biāo)準(zhǔn)、管理體系文件及有關(guān)法律法規(guī)要求，必要時(shí)還要依據(jù)與客戶簽訂的合同要求，確認(rèn)不符合項(xiàng)，并發(fā)出《不符合項(xiàng)報(bào)告》給相關(guān)部門負(fù)責(zé)人確認(rèn)。4.3.4末次會(huì)議參加人員：公司領(lǐng)導(dǎo)層、管理者代表、各部門負(fù)責(zé)人及內(nèi)審組成員，與會(huì)者簽到，并由綜合管理部作好會(huì)議記錄。審核組長主持會(huì)議。會(huì)議內(nèi)容：內(nèi)審組長重申審核目的，宣讀《不符合項(xiàng)報(bào)告》并提出完成糾正措施的要求及日期；對本次內(nèi)部審核情況進(jìn)行評價(jià)；由公司領(lǐng)導(dǎo)和管理者代表講話。4.3.5審核報(bào)告審核組長完成《內(nèi)部審核報(bào)告》，交管理者代表審批。審核報(bào)告內(nèi)容：審核目的、范圍、方法和依據(jù)；審核組成員、受審核方代表；審核計(jì)劃實(shí)施情況總結(jié)；不符合項(xiàng)分布情況分析、不符合數(shù)量及嚴(yán)重程度；存在的主要問題分析；對本公司管理體系有效性、符合性結(jié)論及今后應(yīng)改進(jìn)的地方。4.3.6現(xiàn)場審核后，責(zé)任部門應(yīng)針對《不符合項(xiàng)報(bào)告》分析原因，制定糾正措施。經(jīng)內(nèi)審組確認(rèn)后實(shí)施糾正，內(nèi)審核組負(fù)責(zé)對實(shí)施結(jié)果跟蹤驗(yàn)證，并報(bào)告驗(yàn)證結(jié)果。4.3.7綜合管理部負(fù)責(zé)保存內(nèi)部審核過程中所有的記錄，作為管理評審的輸入之一。5.糾正和預(yù)防措施5.1.本公司ISMS、ITSMS不合格和潛在不合格的來源：5.1.1.發(fā)現(xiàn)的不合格或預(yù)估潛在的不合格；5.1.2.內(nèi)部審核、管理評審發(fā)現(xiàn)的體系出現(xiàn)的不合格或潛在不合格；5.1.3.本公司內(nèi)部或各部門人員發(fā)現(xiàn)的本公司信息安全方面出現(xiàn)的不合格或潛在不合格；5.1.4.上級(jí)監(jiān)管部門發(fā)現(xiàn)的本公司在信息安全方面存在的不合格或潛在不合格；5.1.5.客戶對本公司的投訴、意見或建議；5.1.6.供應(yīng)商或其它協(xié)作方對本公司的意見和建議；5.1.7.重大信息安全事件或重大潛在的安全隱患；5.1.8.其它渠道發(fā)現(xiàn)的不合格或潛在不合格。5.2評價(jià)糾正和預(yù)防措施5.2.1.綜合管理部應(yīng)組織相關(guān)人員評估避免不合格或潛在不合格發(fā)生須采取的措施需求，并向責(zé)任人員下發(fā)《糾正和預(yù)防措施處理表》5.2.2.責(zé)任部門針對不合格或潛在不合格項(xiàng)制定糾正預(yù)防措施。綜合管理部對糾正預(yù)防措施進(jìn)行評審并確定預(yù)防或糾正措施。由責(zé)任部門填寫《糾正和預(yù)防措施處理表》，包括：不合格或潛在不合格描述，包括問題的證據(jù)和細(xì)節(jié)；不合格或潛在不合格的提出部門和責(zé)任部門；不合格或潛在不合格的原因分析；擬采取的糾正、糾正預(yù)防措施；評審糾正、糾正預(yù)防措施，評價(jià)糾正能否改善不合格項(xiàng)，糾正措施是否能確保類似不合格不再發(fā)生，評價(jià)預(yù)防措施是否能確保潛在不合格不發(fā)生；確定糾正、糾正預(yù)防措施；糾正、糾正預(yù)防措施實(shí)施情況驗(yàn)證。5.2.3.經(jīng)評定可行的《糾正和預(yù)防措施處理表》，由綜合管理部負(fù)責(zé)登記、匯總、分發(fā)執(zhí)行部門。對于重大的糾正、糾正預(yù)防措施，需要單獨(dú)制訂詳細(xì)的實(shí)施方案。5.2.4.對難度較大或重大的預(yù)防和糾正措施，綜合管理部負(fù)責(zé)協(xié)調(diào)有關(guān)實(shí)施安排。5.3.責(zé)任部門應(yīng)在計(jì)劃時(shí)間內(nèi)組織糾正預(yù)防措施的實(shí)施。5.4.重大糾正預(yù)防措施信息由信綜合管理部匯總，向綜合管理部反饋，并將其作為管理評審的輸入內(nèi)容之一。5.5.糾正預(yù)防措施實(shí)施過程中如涉及到文件修改，依據(jù)《糾正和預(yù)防措施處理表》的相關(guān)規(guī)定進(jìn)行。5.6.綜合管理部組織相關(guān)人員對糾正預(yù)防措施的有效性進(jìn)行驗(yàn)證，并將實(shí)施評審意見傳遞到相關(guān)責(zé)任人員。6.附則6.1.本文件由綜合管理部負(fù)責(zé)解釋。6.2.本文件自發(fā)布之日起施行。7相關(guān)記錄《內(nèi)部審核計(jì)劃》《內(nèi)審檢查表》《不符合項(xiàng)報(bào)告》《內(nèi)部審核報(bào)告》《會(huì)議簽到表》

管理評審控制程序ISMS-02-041目的為確保信息安全、信息技術(shù)服務(wù)管理體系持續(xù)的適宜性、充分性、有效性，對信息安全、信息技術(shù)服務(wù)管理體系的方針和目標(biāo)進(jìn)行定期評審，并保證與法律、法規(guī)、公司其他制度、原則性文件不相悖的前提下制定本程序。2適用范圍本程序適用于最高管理者對信息安全、信息技術(shù)服務(wù)管理體系的評審。3職責(zé)與權(quán)限3.1公司總經(jīng)理主持召開管理評審大會(huì)；批準(zhǔn)《管理評審報(bào)告》3.2管理者代表批準(zhǔn)《管理評審計(jì)劃》；組織召開管理評審會(huì)；組織撰寫《管理評審報(bào)告》3.3綜合管理部制定《管理評審會(huì)議通知》、《管理評審計(jì)劃》；負(fù)責(zé)搜集并提供管理評審資料；負(fù)責(zé)對評審后的糾正、預(yù)防措施進(jìn)行跟蹤和驗(yàn)證3.4各部門準(zhǔn)備、提供與本部門工作相關(guān)的評審所需資料；負(fù)責(zé)實(shí)施管理評審中提出的相關(guān)的糾正、預(yù)防措施。4程序和工作流程4.1制定年度管理評審計(jì)劃4.1.1年度管理評審計(jì)劃綜合管理部根據(jù)信息安全、信息技術(shù)服務(wù)管理體系的運(yùn)營情況，根據(jù)《管理手冊》以及ISO2000/ISO27001的標(biāo)準(zhǔn)要求，制定《管理評審計(jì)劃》?！豆芾碓u審計(jì)劃》由管理者代表審批后方可生效。4.1.2年度管理評審計(jì)劃的內(nèi)容管理評審計(jì)劃的主要內(nèi)容包括：審核目的、審核范圍、審核準(zhǔn)則、審核組的組建、審核員的資質(zhì)等的要求、審核的時(shí)間、參與評審的部門等。4.1.3管理評審的頻次管理評審一般每年進(jìn)行一次，一般在同一年度最后一次內(nèi)部審核完成后進(jìn)行。也可根據(jù)需要安排。當(dāng)出現(xiàn)下列情況之一時(shí)可適當(dāng)增加管理評審頻次：公司組織機(jī)構(gòu)、服務(wù)范圍、資源配置發(fā)生重大變化時(shí)；發(fā)生重大安全事故或用戶關(guān)于信息安全有嚴(yán)重投訴或投訴連續(xù)發(fā)生時(shí)；當(dāng)法律、法規(guī)、標(biāo)準(zhǔn)及其他要求有變化時(shí)；市場需求發(fā)生重大變化時(shí)；即將進(jìn)行第二、三方審核時(shí)；審核中發(fā)現(xiàn)嚴(yán)重不合格時(shí)。4.2管理評審的準(zhǔn)備4.2.1《管理評審計(jì)劃》管理評審實(shí)施計(jì)劃由主管體系建設(shè)部門組織制定。綜合管理部小組于每次管理評審前一個(gè)月編制《管理評審計(jì)劃》，報(bào)管理者代表審批。計(jì)劃主要內(nèi)容包括：評審時(shí)間；評審目的；評審依據(jù)；評審內(nèi)容；評審范圍及評審重點(diǎn)；參加評審部門（人員）；各部門應(yīng)該準(zhǔn)備的資料以及提交時(shí)間。4.2.2資料準(zhǔn)備預(yù)定評審前一周，綜合管理部組織、指導(dǎo)、督促各部門完成本部門應(yīng)該提交的資料，以書面形式向管理者代表匯報(bào)。管理者代表認(rèn)為資料準(zhǔn)備不全，信息不夠充分的，綜合管理部小組組織相關(guān)責(zé)任部門按照管理者代表的要求進(jìn)一步補(bǔ)充完善。4.3管理評審輸入對于信息安全、信息技術(shù)服務(wù)管理體系，管理評審時(shí)主要應(yīng)考慮如下內(nèi)容：服務(wù)（安全）方針和目標(biāo)的適宜性；內(nèi)部審核和外部審核結(jié)果；糾正和預(yù)防措施的實(shí)施情況；管理系統(tǒng)運(yùn)行的情況；風(fēng)險(xiǎn)評估的結(jié)果與風(fēng)險(xiǎn)管理情況；有效性測量結(jié)果；相關(guān)方信息反饋；適用性聲明的適用情況；可能影響管理體系和各項(xiàng)服務(wù)的變化；法律法規(guī)的符合性與法律法規(guī)要求的變化；改進(jìn)的建議。4.4管理評審會(huì)議管理評審會(huì)議召開前2～7天，會(huì)議組織者應(yīng)向與會(huì)人員以書面或郵件形式發(fā)送《管理評審會(huì)議通知》，并整理與會(huì)人員的反饋，以確定與會(huì)人員的實(shí)際人數(shù)。管理者代表主持管理評審會(huì)議，各部門負(fù)責(zé)人和有關(guān)人員對評審輸入做出評價(jià)，對于發(fā)現(xiàn)的不合格或潛在的不合格項(xiàng)提出糾正和預(yù)防措施，確定責(zé)任人和整改時(shí)間。管理者代表所涉及的評審內(nèi)容做出結(jié)論（包括進(jìn)一步調(diào)查、驗(yàn)證等）。管理評審采取什么方式進(jìn)行由管理者代表請示公司領(lǐng)導(dǎo)后決定，一般默認(rèn)情況下以會(huì)議形式進(jìn)行。管理評審會(huì)議應(yīng)指定專人做會(huì)議記錄。4.5管理評審輸出管理評審的輸出應(yīng)包括以下方面有關(guān)的措施：信息安全、信息技術(shù)服務(wù)管理體系及其過程的改進(jìn)，包括對信息安全（服務(wù)）方針、信息安全（服務(wù)）目標(biāo)、組織結(jié)構(gòu)、過程控制等方面的評價(jià)；信息安全、信息技術(shù)服務(wù)管理體系運(yùn)行有效性評價(jià)；與客戶要求有關(guān)的產(chǎn)品的改進(jìn)，對現(xiàn)有產(chǎn)品符合要求的評價(jià)，包括是否需要進(jìn)行產(chǎn)品、過程審核等與評審內(nèi)容相關(guān)的要求；資源需求等。本次管理評審的輸出可以作為下次管理評審的輸入。4.6管理評審報(bào)告管理評審大會(huì)結(jié)束后，由綜合管理部根據(jù)管理評審輸出的要求和管理評審大會(huì)的會(huì)議記錄進(jìn)行總結(jié)，在管理者代表的指導(dǎo)下撰寫《管理評審報(bào)告》，經(jīng)管理者代表審核，交總經(jīng)理批準(zhǔn)后，發(fā)至相關(guān)部門并由綜合管理部負(fù)責(zé)監(jiān)控執(zhí)行。如果評審結(jié)果引起文件更改，應(yīng)執(zhí)行《文件控制程序》。管理評審產(chǎn)生的相關(guān)的記錄應(yīng)由綜合管理部按《記錄控制程序》保管，包括管理評審計(jì)劃、評審前各部門準(zhǔn)備的評審資料、評審會(huì)議記錄及管理評審報(bào)告等。5相關(guān)支持性文件《文件控制程序》《記錄控制程序》《內(nèi)審和改進(jìn)控制程序》6相關(guān)記錄《管理評審計(jì)劃》《管理評審報(bào)告》

信息安全風(fēng)險(xiǎn)控制程序ISMS-02-051目的為明確本公司信息資產(chǎn)風(fēng)險(xiǎn)評估的準(zhǔn)則，指導(dǎo)風(fēng)險(xiǎn)評估的實(shí)施和風(fēng)險(xiǎn)控制措施的改善工作,制訂本文件。2適用范圍本文件適用于海宏科技（東莞）有限公司的信息資產(chǎn)風(fēng)險(xiǎn)評估。3參考文件《ISO27001:2013信息安全管理體系要求》《ISO/IEC13335信息技術(shù)安全管理指南》4定義資產(chǎn)（asset），即信息資產(chǎn)，對組織具有價(jià)值的信息或資源，是安全策略保護(hù)的對象。資產(chǎn)組（AssetTeam），又稱資產(chǎn)組合，是指具有相同或相近的業(yè)務(wù)功能的資產(chǎn)組合；如由硬件、軟件、配置信息等組成的應(yīng)用系統(tǒng)資產(chǎn)組，由電子文件、紙質(zhì)文檔組成的信息資產(chǎn)組。資產(chǎn)價(jià)值（assetvalue），資產(chǎn)的重要程度或敏感程度的表征。資產(chǎn)價(jià)值是資產(chǎn)的屬性，也是進(jìn)行資產(chǎn)識(shí)別的主要內(nèi)容。機(jī)密性〔confidentiality〕，數(shù)據(jù)所具有的特性，即表示數(shù)據(jù)所達(dá)到的未提供或未泄露給未授權(quán)的個(gè)人、過程或其他實(shí)體的程度。完整性(integrity)，保證信息及信息系統(tǒng)不會(huì)被非授權(quán)更改或破壞的特性，包括數(shù)據(jù)完整性和系統(tǒng)完整性?？捎眯?availability)，數(shù)據(jù)或資源的特性，被授權(quán)實(shí)體按要求能訪問和使用數(shù)據(jù)或資源。殘余風(fēng)險(xiǎn)〔residualrisk〕，采取了安全措施后，仍然可能存在的風(fēng)險(xiǎn)。威脅(threat)，可能導(dǎo)致對系統(tǒng)或組織危害的不希望事故潛在原因。脆弱性(vulnerability),是指可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的弱點(diǎn)，又稱弱點(diǎn)，脆弱性和資產(chǎn)本身的特點(diǎn)和性能有關(guān)。5控制程序本公司信息資產(chǎn)的風(fēng)險(xiǎn)評估過程分為如下9個(gè)過程，每個(gè)過程內(nèi)的詳細(xì)活動(dòng)如下表:序號(hào)過程活動(dòng)過程內(nèi)容1信息資產(chǎn)識(shí)別、分組與登記根據(jù)資產(chǎn)分類表，對評估范圍內(nèi)的資產(chǎn)進(jìn)行識(shí)別、分組和登記；信息資產(chǎn)分組一般分硬件、軟件、信息、人員、環(huán)境設(shè)施、外購服務(wù)和無形資產(chǎn)7種。2資產(chǎn)賦值從保密性、完整性和可用性三個(gè)方面對信息資產(chǎn)進(jìn)行賦值。3風(fēng)險(xiǎn)識(shí)別與分析識(shí)別并登記與資產(chǎn)組相關(guān)的主要威脅、弱點(diǎn)和現(xiàn)有控制措施。4風(fēng)險(xiǎn)評價(jià)根據(jù)預(yù)先定義的賦值標(biāo)準(zhǔn)，對風(fēng)險(xiǎn)發(fā)生可能性和風(fēng)險(xiǎn)影響賦值，并通過資產(chǎn)價(jià)值、風(fēng)險(xiǎn)發(fā)生可能性和風(fēng)險(xiǎn)影響計(jì)算出風(fēng)險(xiǎn)值5確定風(fēng)險(xiǎn)可接受標(biāo)準(zhǔn)根據(jù)風(fēng)險(xiǎn)計(jì)算結(jié)果，確定風(fēng)險(xiǎn)級(jí)別，確定公司可接受的風(fēng)險(xiǎn)值。一般來說，風(fēng)險(xiǎn)可接受標(biāo)準(zhǔn)為低風(fēng)險(xiǎn)的分界線。6風(fēng)險(xiǎn)控制措施的選擇和實(shí)施對于超過風(fēng)險(xiǎn)可接受標(biāo)準(zhǔn)的風(fēng)險(xiǎn)，公司要選擇和實(shí)施管理或技術(shù)控制措施，以降低風(fēng)險(xiǎn)發(fā)生的可能性或影響程度。選擇風(fēng)險(xiǎn)控制措施要考慮預(yù)估的殘余風(fēng)險(xiǎn)值。7控制措施有效制訂或利用一定的測量方法，對采取的全部或部分控制措施進(jìn)行測量，以判斷控制措施的有效性，對無效或效果不明顯的進(jìn)行整改。8風(fēng)險(xiǎn)評估更新根據(jù)風(fēng)險(xiǎn)評估周期，周期性進(jìn)行風(fēng)險(xiǎn)評估與處置9殘余風(fēng)險(xiǎn)處置對于風(fēng)險(xiǎn)評估更新后，對于仍超過可接受標(biāo)準(zhǔn)的風(fēng)險(xiǎn)可以采取新的控制措施，也可以接受風(fēng)險(xiǎn)。5.1信息資產(chǎn)識(shí)別、與登記5.1.1信息資產(chǎn)識(shí)別資產(chǎn)是本公司直接賦予價(jià)值因而需要保護(hù)的有用資源，以多種形式存在。信息資產(chǎn)分為：硬件類、軟件類、環(huán)境設(shè)施類、信息、外購服務(wù)類、人員類、無形資產(chǎn)類七大類。對《信息資產(chǎn)登記表》中資產(chǎn)價(jià)值大于等于4級(jí)以上的資產(chǎn)，作為重要信息資產(chǎn)進(jìn)行抽出，做出《重要信息資產(chǎn)登記表》信息資產(chǎn)識(shí)別由信息安全管理小組統(tǒng)一組織進(jìn)行，相關(guān)人員要予以協(xié)助。5.1.2信息資產(chǎn)分組對于識(shí)別出來的信息資產(chǎn)，要根據(jù)資產(chǎn)的不同類型和價(jià)值進(jìn)行必要的組合，形成資產(chǎn)組。5.1.3信息資產(chǎn)登記識(shí)別出來的信息資產(chǎn)需要詳細(xì)登記在《信息資產(chǎn)登記表》中。5.1.4資產(chǎn)和資產(chǎn)組賦值資產(chǎn)賦值信息資產(chǎn)的賦值通過信息資產(chǎn)的機(jī)密性、完整性和可用性賦值確定，信息資產(chǎn)的機(jī)密性、完整性、可用性賦值如下：等級(jí)C一機(jī)密性I一完整性Ａ—可用性5(很高）包含組織最重要的秘密，關(guān)系未來發(fā)展的前途命運(yùn)，對組織根本利益有著決定性影響，如果泄漏會(huì)造成災(zāi)難性的損害。完整性價(jià)值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會(huì)對組織造成重大的或無法接受的影響，對業(yè)務(wù)沖擊重大，并可能造成嚴(yán)重的業(yè)務(wù)中斷，難以彌補(bǔ)?？捎眯詢r(jià)值非常高，合法使用者對信息及信息系統(tǒng)的可用度達(dá)到年度99.9%。以上。4〔高）含組織的重要秘密，其泄露會(huì)使組織的安全和利益遭受嚴(yán)重?fù)p害。完整性價(jià)值較高，未經(jīng)授權(quán)的修改或破壞會(huì)對組織造成重大影響，對業(yè)務(wù)沖擊嚴(yán)重，比較難以彌補(bǔ)?？捎眯詢r(jià)值較高，合法使用者對信息及信息系統(tǒng)的可用度達(dá)到每天90%以上。3〔中）包含組織的一般性秘密，其泄露會(huì)使組織的安全和利益受到損害。完整性價(jià)值中等，未經(jīng)授權(quán)的修改或破壞會(huì)對組織造成影響，對業(yè)務(wù)沖擊明顯，但可以彌補(bǔ)。可用性價(jià)值中等，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到70%以上。2〔低）包含僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息，向外擴(kuò)散有可能對組織的利益造成損害。完整性價(jià)值較低，未經(jīng)授權(quán)的修改或破壞會(huì)對組織造成輕微影響，可以忍受，對業(yè)務(wù)沖擊輕微，容易彌補(bǔ)。可用性價(jià)值較低，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到25%以上。1（很低）包含可對社會(huì)公開的信息，公用的信息處理設(shè)備和系統(tǒng)資源等。完整性價(jià)值非常低，未經(jīng)授權(quán)的修改或破壞對組織造成的影響可以忽略，對業(yè)務(wù)沖擊可以忽略?？捎眯詢r(jià)值可以忽略，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時(shí)間低于25%。5.2風(fēng)險(xiǎn)識(shí)別與分析5.2.1威脅識(shí)別與分析應(yīng)根據(jù)資產(chǎn)組內(nèi)的每一項(xiàng)資產(chǎn)，以及每一項(xiàng)資產(chǎn)所處的環(huán)境條件、以前曾發(fā)生的安全事件等情況來進(jìn)行威脅識(shí)別。一項(xiàng)資產(chǎn)可能面臨著多個(gè)威脅，同樣一個(gè)威脅可能對不同的資產(chǎn)造成影響；威脅種類威脅示例TC01軟硬件故障設(shè)備硬件故障、通訊鏈路中斷、系統(tǒng)本身或軟件BugTC02物理環(huán)境威脅斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、水災(zāi)、地等環(huán)境問題和自然災(zāi)害；TC03無作為或操作失誤由于應(yīng)該執(zhí)行而沒有執(zhí)行相應(yīng)的操作，或無意地執(zhí)行了錯(cuò)誤的操作，對系統(tǒng)造成影響TC04管理不到位安全管理無法落實(shí)，不到位，造成安全管理不規(guī)范，或者管理混亂，從而破壞信息系統(tǒng)正常有序運(yùn)行TC05惡意代碼和病毒具有自我復(fù)制、自我傳播能力，對信息系統(tǒng)構(gòu)成破壞的程序代碼TC06越權(quán)或?yàn)E用通過采用一些措施，超越自己的權(quán)限訪問了本來無權(quán)訪問的資源；或者濫用自己的職權(quán)，做出破壞信息系統(tǒng)的行為TC07黑客攻擊利用黑客工具和技術(shù)，例如偵察、密碼猜測攻擊、緩沖區(qū)溢出攻擊、安裝后門、嗅探、偽造和欺騙、拒絕服務(wù)攻擊等手段對信息系統(tǒng)進(jìn)行攻擊和入侵TC08物理攻擊物理接觸、物理破壞、盜竊TC09泄密機(jī)密泄漏，機(jī)密信息泄漏給他人TC10篡改非法修改信息，破壞信息的完整性TC11抵賴不承認(rèn)收到的信息和所作的操作和交易5.2.2脆弱性識(shí)別與分析脆弱性評估將針對資產(chǎn)組內(nèi)所有資產(chǎn)，找出該資產(chǎn)組可能被威脅利用的脆弱性，獲得脆弱性所采用的方法主要為：問卷調(diào)查、訪談、工具掃描、手動(dòng)檢查、文檔審查、滲透測試等；類型脆弱性分類脆弱性示例技術(shù)脆弱性物理環(huán)境從機(jī)房場地、機(jī)房防火、機(jī)房供配電、機(jī)房防靜電、機(jī)房接地與防雷、電磁防護(hù)、通信線路的保護(hù)、機(jī)房區(qū)域防護(hù)、機(jī)房設(shè)備管理等方面進(jìn)行識(shí)別。服務(wù)器〔含操作系統(tǒng)）從物理保護(hù)、用戶帳號(hào)、口令策略、資源共享、事件審計(jì)、訪問控制、新系統(tǒng)配置（初始化）、注冊表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進(jìn)行識(shí)別。網(wǎng)絡(luò)結(jié)構(gòu)從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、邊界保護(hù)、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進(jìn)行識(shí)別。數(shù)據(jù)庫從補(bǔ)丁安裝、鑒別機(jī)制、口令機(jī)制、訪問控制、網(wǎng)絡(luò)和服務(wù)設(shè)置、備份恢復(fù)機(jī)制、審計(jì)機(jī)制等方面進(jìn)行識(shí)別。應(yīng)用系統(tǒng)審計(jì)機(jī)制、審計(jì)存儲(chǔ)、訪問控制策略、數(shù)據(jù)完整性、通信、鑒別機(jī)制、密碼保護(hù)等方面進(jìn)行識(shí)別。管理脆弱性技術(shù)管理物理和環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護(hù)、業(yè)務(wù)連續(xù)性。組織管理安全策略、組織安全、資產(chǎn)分類與控制、人員安全、符合性5.2.3現(xiàn)有控制措施識(shí)別與分析在識(shí)別威脅和脆弱性的同時(shí)，評估人員應(yīng)對已采取的安全措施進(jìn)行識(shí)別，對現(xiàn)有控制措施的有效性進(jìn)行確認(rèn)。在對威脅和脆弱性賦值時(shí),需要考慮現(xiàn)有控制措施的有效性。5.2.4風(fēng)險(xiǎn)評價(jià)本公司信息資產(chǎn)風(fēng)險(xiǎn)值通過風(fēng)險(xiǎn)各要素賦值相乘法來確定:風(fēng)險(xiǎn)值計(jì)算公式：R=a*i*p其中，R表示安全風(fēng)險(xiǎn)值；a表示資產(chǎn)組價(jià)值；i表示風(fēng)險(xiǎn)影響；p表示風(fēng)險(xiǎn)發(fā)生可能性。風(fēng)險(xiǎn)影響的賦值標(biāo)準(zhǔn):風(fēng)險(xiǎn)影響賦值等級(jí)風(fēng)險(xiǎn)影響的不同維度相關(guān)方業(yè)務(wù)連續(xù)性5很高全部或大部分客戶、監(jiān)控機(jī)構(gòu)、甚至社會(huì)公眾公司大部分或全部核心業(yè)務(wù)受到嚴(yán)重影響4高整個(gè)公司，或部分客戶公司大部分核心業(yè)務(wù)或日?；顒?dòng)受影響3中多個(gè)部門，或個(gè)別客戶公司個(gè)別業(yè)務(wù)受影響，或日常辦公活動(dòng)中斷2低本部門或部門內(nèi)部人員公司業(yè)務(wù)不受影響，只是少部分日常辦公活動(dòng)活動(dòng)受影響1很低個(gè)人基本不影響本部門業(yè)務(wù)和日常辦公活動(dòng)風(fēng)險(xiǎn)發(fā)生可能性的賦值標(biāo)準(zhǔn):風(fēng)險(xiǎn)發(fā)生可能性賦值等級(jí)風(fēng)險(xiǎn)發(fā)生可能性時(shí)間頻率發(fā)生機(jī)率5很高出現(xiàn)的頻率很高（或≥1次/日）；或在大多數(shù)情況下幾乎不可避免；或可以證實(shí)經(jīng)常發(fā)生過。不可避免（≥99%）4高出現(xiàn)的頻率較高（或≥1次/周）；或在大多數(shù)情況下很有可能會(huì)發(fā)生；或可以證實(shí)多次發(fā)生過。非常有可能〔90%～99%〕3中出現(xiàn)的頻率中等（或≥1次/月）；或在某種情況下可能會(huì)發(fā)生；或被證實(shí)曾經(jīng)發(fā)生過?？赡堋?0%～90%〕2低出現(xiàn)的頻率較小（或≥1次/年）；或一般不太可能發(fā)生；或在某種情況下可能會(huì)發(fā)生?？赡苄院苄　?～10%〕1很低威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生，或沒有被證實(shí)發(fā)生過。不可能（≤1%)注：風(fēng)險(xiǎn)的影響或發(fā)生可能性根據(jù)賦值標(biāo)準(zhǔn)，可能同時(shí)適用于二個(gè)維度，這種情況下，賦值取這二個(gè)維度賦值的最大值。5.2.5確定風(fēng)險(xiǎn)可接受標(biāo)準(zhǔn)風(fēng)險(xiǎn)等級(jí)采用分值計(jì)算表示。分值越大，風(fēng)險(xiǎn)越高。信息安全管理小組決定以下風(fēng)險(xiǎn)等級(jí)標(biāo)準(zhǔn)：賦值級(jí)別描述[32-125]高如果發(fā)生將使資產(chǎn)遭受嚴(yán)重破壞，組織利益受到嚴(yán)重?fù)p失[16-31]中發(fā)生后將使資產(chǎn)受到較重的破壞，組織利益受到損失[0-15]低發(fā)生后將使資產(chǎn)受到的破壞程度和利益損失比較輕微5.2.6風(fēng)險(xiǎn)接受準(zhǔn)則對于信息資產(chǎn)評估的結(jié)果，本公司原則上以風(fēng)險(xiǎn)值小于16分〔不包括16分）的風(fēng)險(xiǎn)為可接受風(fēng)險(xiǎn)，大于等于16分為不可接受風(fēng)險(xiǎn)，要采取控制措施進(jìn)行控制。對于不可接受的風(fēng)險(xiǎn)，由于經(jīng)濟(jì)或技術(shù)原因，經(jīng)綜合管理部批準(zhǔn)后，可以暫時(shí)接受風(fēng)險(xiǎn)，待經(jīng)濟(jì)或技術(shù)具有可行性時(shí)再采取適當(dāng)?shù)拇胧┙档惋L(fēng)險(xiǎn)。5.2.7風(fēng)險(xiǎn)控制措施的選擇和實(shí)施對于不可接受的風(fēng)險(xiǎn)，有四種風(fēng)險(xiǎn)處置方式可以選擇：降低風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)、消除風(fēng)險(xiǎn)、接受風(fēng)險(xiǎn)。最常見的風(fēng)險(xiǎn)處置方式是降低風(fēng)險(xiǎn)，降低風(fēng)險(xiǎn)可以選擇ISO27001：2013標(biāo)準(zhǔn)提供的14個(gè)域114項(xiàng)中的一項(xiàng)或幾項(xiàng)控制措施。5.2.8控制措施有效性測量在風(fēng)險(xiǎn)控制措施全部或部分實(shí)施完成后，信息安全管理小組可以對風(fēng)險(xiǎn)控制措施的有效性進(jìn)行測量；測量的范圍可以測量全部的控制措施，也可以測量部分的控制措施，出于時(shí)間和經(jīng)濟(jì)成本的考慮，建議選取主要的控制措施進(jìn)行測量，測試方法由信息安全管理小組視情況決定。5.2.9風(fēng)險(xiǎn)評估更新風(fēng)險(xiǎn)評估需要至少每年進(jìn)行一次，重新進(jìn)行風(fēng)險(xiǎn)評估時(shí)，各部門需要對本公司信息資產(chǎn)登記表和風(fēng)險(xiǎn)管理表進(jìn)行更新。在發(fā)生以下情況時(shí)，可以增加風(fēng)險(xiǎn)評估次數(shù)：1、當(dāng)信息系統(tǒng)發(fā)生重大變更時(shí)；2、當(dāng)公司業(yè)務(wù)或信息資產(chǎn)發(fā)生重大變化時(shí)；3、發(fā)生嚴(yán)重信息安全事件時(shí)；4、企業(yè)認(rèn)為有必要時(shí)。5.2.10殘余風(fēng)險(xiǎn)處置對于低于風(fēng)險(xiǎn)可接受標(biāo)準(zhǔn)的殘余風(fēng)險(xiǎn)，本公司接受這樣的風(fēng)險(xiǎn)，也可以繼續(xù)采取措施，進(jìn)一步減少該風(fēng)險(xiǎn)。對于高于本公司風(fēng)險(xiǎn)可接受標(biāo)準(zhǔn)的殘余風(fēng)險(xiǎn)，由于費(fèi)用或技術(shù)等原因不能增加新的控制措施，經(jīng)綜合管理部批準(zhǔn)可以決定暫時(shí)接受此風(fēng)險(xiǎn)，并由綜合管理部積極跟蹤相關(guān)技術(shù)和產(chǎn)品的發(fā)展情況，以盡快采取新的技術(shù)或方法，降低風(fēng)險(xiǎn)；對于可以繼續(xù)實(shí)施控制措施的，由各部門繼續(xù)實(shí)施相應(yīng)的信息安全控制措施。6附則本文件由綜合管理部負(fù)責(zé)解釋。本文件自發(fā)布之日起施行。7相關(guān)記錄《信息資產(chǎn)登記表》《信息風(fēng)險(xiǎn)評估表及處置表》《風(fēng)險(xiǎn)評估報(bào)告》

環(huán)境設(shè)施與物理設(shè)備控制程序ISMS-02-061目的 為加強(qiáng)對公司辦公場所和設(shè)備的物理環(huán)境安全管理，制定本程序。2適用范圍本程序適用于公司所有物理區(qū)域和設(shè)備設(shè)施的管理。3參考文件《ISO27001：2013信息安全管理體系要求》4定義物理安全區(qū)域：本公司的物理安全區(qū)域包括公司使用、租借或交換的物理場所，包括存放網(wǎng)絡(luò)設(shè)備的機(jī)房、檔案室、領(lǐng)導(dǎo)、綜合管理部和公共辦公區(qū)域、來訪接待區(qū)域等。5崗位職責(zé)綜合管理部負(fù)責(zé)公司辦公場地的物理環(huán)境安全，包括物理安全區(qū)域的安全管理、門禁管理、人員物品進(jìn)出管理、IT設(shè)備的物理環(huán)境安全管理。6控制程序6.1場地的物理安全管理6.1.1物理安全邊界以公司大門為界，大門以內(nèi)的物理區(qū)域均為本公司的物理安全區(qū)域。6.1.2物理安全控制原則外來人員進(jìn)入公司需要進(jìn)行登記；攜帶物品離開公司，要事先向綜合管理部申請辦理《攜帶物品出入登記單》，憑授權(quán)人簽字的《攜帶物品出入登記單》方可攜帶物品離開公司；6.1.3人員進(jìn)出公司控制6.1.3.1公司員工的控制公司員工在進(jìn)出公司時(shí)，要防止不明身份人員尾隨進(jìn)入公司物理安全區(qū)域。公司所有員工有義務(wù)監(jiān)督內(nèi)、外部人員的非授權(quán)訪問活動(dòng)，任何人員均有責(zé)任立即制止其活動(dòng)，并及時(shí)報(bào)告部門負(fù)責(zé)人或信息安全管理小組。6.1.3.2第三方的控制外來人員在《人員出入登記表》上詳細(xì)填寫姓名、證件號(hào)碼、聯(lián)系人、事由等事項(xiàng)，經(jīng)綜合管理部與被訪人員確認(rèn)來訪人身份無誤后發(fā)放訪客證，方可訪問進(jìn)行公司進(jìn)行訪問活動(dòng)。外來人員進(jìn)入公司辦公區(qū)時(shí)，由接待人員全程陪同；6.1.4外部和環(huán)境威脅的安全防護(hù)危險(xiǎn)或易燃材料應(yīng)在遠(yuǎn)離安全區(qū)域安全距離以外的地方存放；應(yīng)提供適當(dāng)?shù)臏缁鹪O(shè)備，并應(yīng)放在合適的地點(diǎn)。6.1.5交接區(qū)安全公司在門口為交接區(qū)，同時(shí)：向公司發(fā)送貨物必須預(yù)先通知貨物接收人；送貨公司名稱和交貨時(shí)間應(yīng)當(dāng)在接收貨物之前由貨物接收人確認(rèn)；貨物資產(chǎn)接收人員應(yīng)組織檢驗(yàn)貨物，以保證符合驗(yàn)收標(biāo)準(zhǔn)且沒有潛在的危害。6.2設(shè)備的物理環(huán)境安全管理6.2.1設(shè)備安置與保護(hù)設(shè)備設(shè)施安置時(shí)，應(yīng)考慮以下物理環(huán)境安全控制措施：設(shè)備應(yīng)進(jìn)行適當(dāng)安置，以盡量減少對工作區(qū)域不必要的訪問；應(yīng)把處理敏感數(shù)據(jù)的信息處理設(shè)施放在適當(dāng)?shù)南拗朴^測的位置，以減少在其使用期間信息被非授權(quán)訪問的風(fēng)險(xiǎn)；應(yīng)采取控制措施以減小潛在的物理威脅的風(fēng)險(xiǎn)，例如偷竊、火災(zāi)、爆炸、煙霧、水(或供水故障)、塵埃、振動(dòng)、化學(xué)影響、電源干擾、通信干擾、電磁輻射和故意破壞等；應(yīng)禁止在信息處理設(shè)施附近進(jìn)食、喝飲料和抽煙等行為；對于可能對信息處理設(shè)施運(yùn)行狀態(tài)產(chǎn)生負(fù)面影響的環(huán)境條件（例如溫度和濕度）要予以監(jiān)視；6.2.2支持性設(shè)施應(yīng)有足夠的支持性設(shè)施（例如電、通風(fēng)和空調(diào)）來支持系統(tǒng)。支持性設(shè)施應(yīng)定期檢查并適當(dāng)?shù)臏y試以確保他們的功能，減少由于他們的故障或失效帶來的風(fēng)險(xiǎn)。應(yīng)按照設(shè)備制造商的說明提供合適的供電。應(yīng)急電源開關(guān)應(yīng)位于設(shè)備房間應(yīng)急出口附近，以便緊急情況時(shí)快速切斷電源。如果主電源出現(xiàn)故障時(shí)要提供應(yīng)急照明。6.2.3線纜安全鋪設(shè)到公司內(nèi)各個(gè)區(qū)域的線纜的保護(hù)方式如下：網(wǎng)絡(luò)布纜要免受未授權(quán)竊聽或損壞，例如，利用電纜管道或使路由避開公眾區(qū)域；為了防止干擾，電源電纜要與通信電纜分開。6.2.4IT設(shè)備維護(hù)只有已授權(quán)的維護(hù)人員才可對IT設(shè)備進(jìn)行修理和服務(wù)；當(dāng)對設(shè)備安排維護(hù)時(shí)，應(yīng)實(shí)施適當(dāng)?shù)目刂?，維護(hù)工作一般情況下都由內(nèi)部人員執(zhí)行；如果情況特殊需要由外部人員來執(zhí)行時(shí)，如硬盤數(shù)據(jù)恢復(fù)，首先需要選擇可靠的第三方設(shè)備維護(hù)方和維護(hù)人員，與第三方服務(wù)方及維護(hù)人員簽訂保密協(xié)議。必要時(shí)，敏感信息需要事先從設(shè)備中清除刪除。6.2.5場外設(shè)備的安全離開辦公場所的設(shè)備的保護(hù)應(yīng)考慮下列措施：帶離辦公場所的設(shè)備和介質(zhì)在公共場所不應(yīng)無人看管。如：在旅行時(shí)便攜式計(jì)算機(jī)要作為手提行李攜帶，若可能宜偽裝起來；使用掩蔽物保護(hù)離開辦公場所的設(shè)備；在家辦公時(shí)的信息安全控制措施可包括：清理桌面、對計(jì)算機(jī)的訪問控制以及注意通信安全等；6.2.6設(shè)備的安全處置與重新使用設(shè)備重用或報(bào)廢處置時(shí)，存儲(chǔ)在設(shè)備中的敏感信息要?jiǎng)h除。如辦公電腦的系統(tǒng)盤要格式化后重新裝系統(tǒng)，非系統(tǒng)盤清空。6.2.7設(shè)備的移動(dòng)應(yīng)考慮如下措施：IT設(shè)備移出時(shí)公司物理安全區(qū)域時(shí)，需要經(jīng)過部門負(fù)責(zé)人批準(zhǔn)或授權(quán)的情況下，其它設(shè)備需要信息安全管理小組負(fù)責(zé)人批準(zhǔn)；可以設(shè)置設(shè)備移動(dòng)的時(shí)間限制，并在返還時(shí)執(zhí)行符合性檢查；應(yīng)進(jìn)行適當(dāng)?shù)臋z查，防止設(shè)備的非授權(quán)移動(dòng)和危險(xiǎn)物品進(jìn)入公司辦公區(qū)域。7附則:本文件由綜合管理部負(fù)責(zé)解釋。本文件自印發(fā)之日起施行。8相關(guān)記錄《攜帶物品出入公司登記表》《設(shè)備維修記錄》

用戶訪問控制程序ISMS-02-071目的防止非法的計(jì)算機(jī)訪問。2職責(zé)計(jì)算機(jī)的使用者，負(fù)責(zé)維護(hù)的部門有責(zé)任通過本管理辦法，保證計(jì)算機(jī)不被非法訪問。3范圍公司內(nèi)所有操作系統(tǒng)和應(yīng)用程序。4術(shù)語與定義系統(tǒng)管理員賬號(hào)/特權(quán)賬號(hào)：指對系統(tǒng)具有超級(jí)權(quán)限和特殊權(quán)限的賬號(hào)。普通賬號(hào)：普通賬號(hào)是用戶用于維護(hù)或訪問業(yè)務(wù)系統(tǒng)，實(shí)現(xiàn)日常業(yè)務(wù)操作的賬號(hào)，是最為常見的用戶類型。監(jiān)控系統(tǒng)：包括監(jiān)控、審計(jì)系統(tǒng)。5系統(tǒng)訪問安全要求5.1系統(tǒng)的訪問使用域用戶登陸系統(tǒng)。使用路由進(jìn)行控制。按照公司規(guī)定的路由策略實(shí)施訪問。記錄登錄成功與失敗的日志。登錄時(shí)禁止顯示系統(tǒng)版本信息。登錄后10分鐘內(nèi)未有任何操作，系統(tǒng)將自動(dòng)開啟屏幕保護(hù)功能，需要使用密碼方可登陸。日常非系統(tǒng)管理，只能以普通域用戶登錄。啟用操作系統(tǒng)的口令管理策略（如口令至少10位，字母數(shù)字組合等），保證用戶口令的安全性。操作系統(tǒng)的登錄口令的更改參見《賬號(hào)、口令和權(quán)限管理規(guī)定》。5.2應(yīng)用程序的訪問１)應(yīng)用程序的超級(jí)用戶賬號(hào)只能由一個(gè)人擁有。２)對于應(yīng)用程序，只有程序擁有部門的負(fù)責(zé)人才有權(quán)對軟件進(jìn)行變更或升級(jí)。5.3監(jiān)控系統(tǒng)的訪問和使用１）針對系統(tǒng)需要，啟用相應(yīng)的日志記錄包括：登錄、登出，系統(tǒng)報(bào)警，安全日志，重要應(yīng)用程序日志，重要文件訪問日志。為保證日志的準(zhǔn)確性，應(yīng)正確設(shè)置計(jì)算機(jī)時(shí)鐘。２）系統(tǒng)管理員必須每周檢查系統(tǒng)日志，對發(fā)現(xiàn)的問題依據(jù)嚴(yán)重程度，開出《信息安全事件報(bào)告》，并及時(shí)糾正。３）對于系統(tǒng)管理的程序或工具必須設(shè)置日志，記錄使用情況，包括：用戶、時(shí)間、操作等。４）發(fā)現(xiàn)違反安全訪問策略的情況，及時(shí)處理，并通知當(dāng)事人，必要時(shí)進(jìn)行懲罰。５）按照《通信與操作控制程序》對系統(tǒng)進(jìn)行維護(hù)。６）對日志文件進(jìn)行定期收集與備份。5.4公用電腦的訪問1）公司配備可以登錄外網(wǎng)的電腦2）相關(guān)人員可以根據(jù)工作需要使用該電腦5.5程控電話的使用1）公司配備電話分機(jī)2）相關(guān)人員可以根據(jù)工作需要使用相應(yīng)權(quán)限要填寫申請。6.相關(guān)記錄《信息安全事件報(bào)告》《網(wǎng)絡(luò)權(quán)限申請表》《賬戶、口令和權(quán)限控制程序》

信息資產(chǎn)管理控制程序ISMS-02-081目的:為加強(qiáng)對本公司信息資產(chǎn)的管理，保障信息資產(chǎn)安全，制定本程序。2適用范圍:本公司的信息資產(chǎn)可分為以下七類資產(chǎn)：硬件類資產(chǎn)：包括網(wǎng)絡(luò)設(shè)備、服務(wù)器、主機(jī)、傳輸線路/設(shè)備、空調(diào)、打印/復(fù)印機(jī)、傳真機(jī)、碎紙機(jī)、投影儀等等。軟件類資產(chǎn)：包括應(yīng)用軟件、操作系統(tǒng)、數(shù)據(jù)庫、開發(fā)工具和實(shí)用程序等軟件。信息類資產(chǎn)：包括配置信息、帳戶權(quán)限信息、口令信息、系統(tǒng)各類文檔、源代碼和安裝包等。人員類資產(chǎn)：包括內(nèi)部人員和外部人員。環(huán)境設(shè)施類資產(chǎn)：如保險(xiǎn)柜、文件柜、空調(diào)、UPS等。外購服務(wù)類資產(chǎn)：包括供電、通訊、保潔、快遞服務(wù)、IT服務(wù)、網(wǎng)站托管等。無形類資產(chǎn)：包括聲譽(yù)和形象、業(yè)務(wù)和技術(shù)經(jīng)驗(yàn)等。3定義信息：有價(jià)值的符號(hào)、數(shù)據(jù)、圖片和語音，它能夠被企業(yè)創(chuàng)建、使用、處理、存儲(chǔ)及傳輸。信息是必須依賴介質(zhì)存在。信息資產(chǎn)：與信息相關(guān)且對企業(yè)有價(jià)值，信息資產(chǎn)包括在信息收集、輸入、傳輸、處理、輸出和存儲(chǔ)中產(chǎn)生的數(shù)據(jù)、使用的工具和服務(wù)、承載的介質(zhì)及處理和使用的人員，如：計(jì)算機(jī)硬件、通信設(shè)施、運(yùn)行環(huán)境、數(shù)據(jù)庫、軟件、文檔資料、信息服務(wù)和人員等。4崗位職責(zé)角色職責(zé)所有者（ower）指個(gè)人或?qū)嶓w擁有授權(quán)/指派(被公司最高層)的控制資產(chǎn)的生產(chǎn)、開發(fā)、維護(hù)、使用以及安全管理的責(zé)任，所有者并不意味對某項(xiàng)資產(chǎn)擁有任何的所有權(quán)（財(cái)產(chǎn)權(quán))。對信息資產(chǎn)進(jìn)行定義、識(shí)別和分類；定期對信息資產(chǎn)進(jìn)行回顧和修訂；識(shí)別信息資產(chǎn)的安全需求；將信息資產(chǎn)的安全需求傳達(dá)給信息資產(chǎn)的保管者和使用者；委派管理者維護(hù)資產(chǎn)清單；識(shí)別對信息資產(chǎn)訪問活動(dòng)中相關(guān)的安全風(fēng)險(xiǎn)，并根據(jù)公司相關(guān)訪問控制策略批準(zhǔn)對信息資產(chǎn)的訪問權(quán)限；確保信息資產(chǎn)符合信息資產(chǎn)生命周期管控的安全需求；針對所屬信息資產(chǎn)提出恰當(dāng)?shù)谋Ｗo(hù)措施；可將信息資產(chǎn)的日常管理工作委托給他人，但需要對其進(jìn)行監(jiān)控和審計(jì)。管理者（Custodian）

受信息資產(chǎn)責(zé)任人委托，對信息資產(chǎn)進(jìn)行日常的管理的人，維護(hù)已經(jīng)建立的保護(hù)措施。對所管理的信息資產(chǎn)進(jìn)行標(biāo)識(shí)，定期對資產(chǎn)清單進(jìn)行回顧和修訂；選擇適當(dāng)?shù)目刂拼胧﹣肀Ｗo(hù)所管理的信息資產(chǎn)，并且實(shí)施的控制措施應(yīng)滿足其安全需求；將實(shí)施的控制措施匯報(bào)給信息資產(chǎn)所有者；根據(jù)公司相關(guān)策略和信息資產(chǎn)責(zé)任人的要求，負(fù)責(zé)信息資產(chǎn)的維護(hù)操作和日常管理事務(wù)；負(fù)責(zé)具體設(shè)置信息訪問權(quán)限；負(fù)責(zé)所管理的信息資產(chǎn)的安全控制；部署恰當(dāng)?shù)陌踩珯C(jī)制，進(jìn)行備份和恢復(fù)操作；按照信息資產(chǎn)責(zé)任人的要求實(shí)施其他控制。向資產(chǎn)所有者和信息安全管理小組報(bào)告隱患、故障或者違規(guī)事件。使用者（User）

信息資產(chǎn)的使用者，除了公司內(nèi)部員工，也可能是因?yàn)闃I(yè)務(wù)需要而訪問公司信息的客戶或第三方組織。使用者如在信息公開范圍內(nèi)，可以訪問和使用；不在信息公開范圍內(nèi)的使用者需要訪問和使用信息時(shí)，應(yīng)向信息所有者申請對信息訪問；按照公司信息安全策略要求正當(dāng)訪問信息，禁止非授權(quán)訪問；按照公司的信息安全策略來保護(hù)所使用的信息資產(chǎn)向資產(chǎn)所有者或信息安全管理小組報(bào)告隱患、故障5信息資產(chǎn)管理內(nèi)容5.1機(jī)密性分類方法制定信息資產(chǎn)機(jī)密性分類方法是為了幫助本公司員工和全體外部人員判斷哪些信息資產(chǎn)屬于敏感信息資產(chǎn)，以便更好地加以保護(hù)。機(jī)密性即機(jī)密性。全體員工應(yīng)當(dāng)熟悉本規(guī)定所確定的信息資產(chǎn)分類及標(biāo)識(shí)辦法，及敏感信息管理指南。員工可以根據(jù)分類定義標(biāo)準(zhǔn)和管理指南來保護(hù)信息資產(chǎn)，另一方面也可以采用通用最佳實(shí)踐的辦法來保護(hù)組織的敏感信息。信息資產(chǎn)的機(jī)密性進(jìn)行分類如下：機(jī)密等級(jí)機(jī)密性標(biāo)識(shí)方式機(jī)密性5(非常髙)機(jī)密包含組織最重要的秘密，關(guān)系未來發(fā)展的前途命運(yùn)，對組織根本利益有著決定性影響，如果泄漏會(huì)造成災(zāi)難性的損害4(髙)秘密包含組織的重要秘密，其泄露會(huì)使組織的安全和利益遭受嚴(yán)重?fù)p害3(中)敏感包含組織的一般性秘密，一般僅能在組商秘八）織某一或幾個(gè)部門內(nèi)部公開，其泄露會(huì)使組織的安全和利益受到損害2(低)內(nèi)部使用包含組織較低級(jí)別秘密，僅能在組織內(nèi)部公開的信息，向外擴(kuò)散有可能對組織的利益造成損害1(可忽略)公開信息(不標(biāo)識(shí))包含可對社會(huì)公開的信息，公用的信息處理設(shè)備和系統(tǒng)資源等本公司鼓勵(lì)員工在一定的程度上使用常識(shí)性的辦法來保護(hù)本公司敏感信息資產(chǎn)，如果員工不知道某種特定信息的機(jī)密性程度，默認(rèn)情況下至少按"內(nèi)部使用"的保護(hù)辦法來對待。5.2信息資產(chǎn)的使用管理5.2.1硬件類和環(huán)境設(shè)施類資產(chǎn)的使用硬件類和環(huán)境設(shè)施類資產(chǎn)的接收和發(fā)出按本公司固定資產(chǎn)管理方面的控制程序執(zhí)行；供應(yīng)商送貨到本公司后，接收人員對貨物的品牌、型號(hào)、數(shù)量、包裝和送貨單據(jù)等核對無誤后，在送單據(jù)上簽收確認(rèn)；領(lǐng)用時(shí)，發(fā)放人員要對領(lǐng)用情況進(jìn)行登記，并由領(lǐng)用人員簽字。接收到新的信息資產(chǎn)后，接收人員對信息資產(chǎn)機(jī)密性進(jìn)行標(biāo)識(shí)。信息資產(chǎn)發(fā)生變化時(shí)，要及時(shí)更新《信息資產(chǎn)登記表》。新增的硬件設(shè)備在經(jīng)過必要的安裝、配置和性能調(diào)優(yōu)后，才能并入公司的網(wǎng)絡(luò)系統(tǒng)。報(bào)廢硬件設(shè)備必須要填寫《報(bào)廢申請表》，經(jīng)過部門經(jīng)理批準(zhǔn)后方可報(bào)廢。5.2.2軟件類資產(chǎn)的使用在公司范圍使用符合本公司安全性要求的軟件，系統(tǒng)軟件按需要及時(shí)進(jìn)行補(bǔ)丁更新。在本公司網(wǎng)絡(luò)內(nèi)使用的電腦，只能安裝本公司授權(quán)的軟件。本公司采取必要的措施防范病毒、木馬和流氓軟件等惡意程序。采購軟件類資產(chǎn)，要選擇軟件系統(tǒng)商，進(jìn)行軟件測試，必要時(shí)要進(jìn)行源代碼審查，以確保采購軟件安全。軟件系統(tǒng)時(shí)，要確保在軟件系統(tǒng)需求中包含足夠的安全需求，在軟件系統(tǒng)和測試中這些要求能夠得到滿足，防范開發(fā)的軟件中留有后門或惡意代碼。禁止在本公司辦公電腦上安裝未經(jīng)本公司許可的軟件和程序，終端原則上只安裝滿足其業(yè)務(wù)要求的最小范圍的軟件。所有貯存軟件的介質(zhì)應(yīng)當(dāng)妥善保存，并登記入冊。信息類資產(chǎn)的用管理5.2.3"公司機(jī)密"類信息的使用"公司機(jī)密"類信息是極其敏感的信息，對本公司來說，在沒有相應(yīng)授權(quán)的前提下，嚴(yán)格禁止本公司內(nèi)部員工和外部人員對"公司機(jī)密"類信息的訪問，一旦發(fā)現(xiàn)有對"公司機(jī)密"類信息的非授權(quán)使用或授權(quán)的濫用情況，必須立即作為安全事故向信息安全管理小組匯報(bào)。"公司機(jī)密"類信息傳遞到外網(wǎng)時(shí)，要設(shè)置8位以上的強(qiáng)口令。5.2.4"公司秘密"類信息的使用"公司秘密"類信息是較敏感的信息，本公司的內(nèi)部員工和外部人員在使用"公司秘密"類信息時(shí)，應(yīng)當(dāng)特別謹(jǐn)慎以防止信息資產(chǎn)的丟失、被盜和敏感信息的泄露。一切人員都應(yīng)按照"知所必須"的原則，獲得完成其工作職責(zé)所必須的最小范圍的"公司秘密"信息。禁止在公共場合討論該類信息，"公司秘密"類信息限制打印或復(fù)制，多余的份數(shù)應(yīng)粉碎或安全刪除；必要時(shí)，"公司秘密"類信息分發(fā)時(shí)，要建立詳細(xì)傳閱清單。5.2.5"內(nèi)部使用"類信息的使用僅限于本公司內(nèi)部員工使用，一般避免向外擴(kuò)散，外部人員要使用"內(nèi)部使用"類信息，需要得到必要的授權(quán)。5.2.6其它類信息資產(chǎn)的使用人員類資產(chǎn)的使用管理依照《人力資源控制程序》執(zhí)行。外購服務(wù)類資產(chǎn)的使用要防止資源的浪費(fèi)和節(jié)約能源，如占用網(wǎng)絡(luò)帶寬進(jìn)行與工作無關(guān)的下載，下班后不關(guān)電腦、照明、空調(diào)等的電源等等無形資產(chǎn)對本公司而言非常重要，要維護(hù)好這些無形資產(chǎn)，可以通過以下方面體現(xiàn)：商標(biāo)保護(hù)\商譽(yù)維護(hù)\慶典活動(dòng)組織\企業(yè)文化活動(dòng)\企業(yè)形象設(shè)計(jì)\辦公禮儀參與各類社會(huì)活動(dòng)的專業(yè)性和權(quán)威性\客戶服務(wù)水平的提升;緊急事件的圓滿處理;其它方面。5.3資產(chǎn)的保密期限硬件類、軟件類信息資產(chǎn)的保密期限為"五年"。信息類資產(chǎn)的保密期限原則性規(guī)定為："公司機(jī)密"和"公司秘密"類至少為五年，"內(nèi)部使用"類至少為三年。國家有明確規(guī)定的依國家相關(guān)規(guī)定，如會(huì)計(jì)檔案的保存期限；各機(jī)構(gòu)對于管理檔案等資料的保密期限另有規(guī)定的，依相關(guān)規(guī)定，但保密期限不得少于原則性規(guī)定期限。在保密期限內(nèi)的信息類資產(chǎn)，當(dāng)客觀環(huán)境發(fā)生變化或因商業(yè)目的，不再需要繼續(xù)保持較高密級(jí)或不需要再保密時(shí)，經(jīng)公司管理層或授權(quán)的部門書面批準(zhǔn)（紙質(zhì)或電子文檔均可）后，可以提前解密，解密后，密級(jí)為"公開使用"；但國家有明確規(guī)定不能提前解密的按國家相關(guān)規(guī)定辦理。信息類資產(chǎn)的保密期限開始時(shí)間，如有特別注明生效時(shí)間的，為注明的生效時(shí)間；如無特別注明，需要批準(zhǔn)的文檔的生效時(shí)間為最后批準(zhǔn)人的批準(zhǔn)時(shí)間，不需要批準(zhǔn)的文檔生效時(shí)間為文檔編寫人的編寫完成時(shí)間。6附則:本文件由綜合管理部負(fù)責(zé)解釋。本文件自發(fā)布之日起施行。7相關(guān)記錄:《設(shè)備銷毀記錄表》《信息資產(chǎn)登記表》

人力資源控制程序ISMS-02-091目的:為規(guī)范針對公司員工在任用前、任用中、任用后的相關(guān)安全職責(zé)以及行為的管理，特制定本程序。2適用范圍:本程序適用于本公司員工，包括正式員工與實(shí)習(xí)人員及學(xué)員。3崗位職責(zé)綜合管理部負(fù)責(zé)公司人員信息安全職責(zé)制訂、任用前的人員資料核實(shí)和背景調(diào)查、任用中的信息安全培訓(xùn)組織和紀(jì)律處理、任用變更或終止時(shí)的資產(chǎn)歸還和訪問權(quán)限撤銷的流程提起。4控制程序4.1任用前綜合管理部需確保人員在任用前，在適當(dāng)?shù)膷徫幻枋?、任用條款和條件中明確說明其應(yīng)履行的信息安全、IT服務(wù)管理的職責(zé)，確保人員理解其信息安全、IT服務(wù)管理的職責(zé)，確保人員承擔(dān)的角色符合公司的信息安全、IT服務(wù)管理的要求，以降低設(shè)施被盜竊、濫用和誤用的風(fēng)險(xiǎn)。要對任用的員工、第三方的候選人員進(jìn)行充分的審查，特別是對于關(guān)鍵崗位、關(guān)鍵職務(wù)人員，以及其他會(huì)大量接觸敏感信息的人員。4.1.1員工篩選綜合管理部負(fù)責(zé)組織對公司各個(gè)職位的應(yīng)聘人員進(jìn)行篩選、對應(yīng)聘人員進(jìn)行面試、資料核實(shí)和背景調(diào)查。背景調(diào)查時(shí)應(yīng)考慮個(gè)人簡歷、職業(yè)推薦信、原單位離職證明、身份證明、學(xué)歷和職業(yè)資格證件等。對員工的背景調(diào)查應(yīng)在申請職位時(shí)進(jìn)行。調(diào)查包括以下內(nèi)容：1）是否有適當(dāng)?shù)耐扑]人，申請人的工作能力和個(gè)人職業(yè)道德情況；2）檢查申請人的簡歷是否完整及準(zhǔn)確；3）確認(rèn)其聲明的學(xué)歷和職業(yè)資格是否真實(shí)；4）身份證明（包括身份證、護(hù)照或其它文件）檢查；5）監(jiān)管部門要求；6）其它需要調(diào)查的內(nèi)容。各部門負(fù)責(zé)人可根據(jù)本部門對上崗員工的特殊要求，提出必要的附加調(diào)查內(nèi)容，并反饋給綜合管理部，以便選出合適的人員。對于第三方服務(wù)人員也要執(zhí)行人員背景調(diào)查過程。與第三方的合同中要清晰地規(guī)定第三方負(fù)有對其為本公司提供服務(wù)的人員進(jìn)行人員背景調(diào)查的職責(zé)，并對背景調(diào)查的結(jié)果負(fù)責(zé)。同樣，與第三方的協(xié)議或約定中應(yīng)清晰的界定背景調(diào)查的職責(zé)歸屬問題。出于背景調(diào)查目的收集、處理被調(diào)查人員信息時(shí)，應(yīng)在不違反相關(guān)的法律法規(guī)的前提下進(jìn)行。4.1.2安全職責(zé)對于員工，必須通過書面的崗位職責(zé)對其安全角色和職責(zé)進(jìn)行描述和說明。對于第三方的安全角色和職責(zé)，應(yīng)按照組織的信息安全制度進(jìn)行定義，清晰地傳達(dá)給相關(guān)人員，并要求其簽署保密協(xié)議和信息安全承諾書。安全職責(zé)應(yīng)包括但不限于以下要求：1）遵守公司信息安全方面的各項(xiàng)規(guī)章制度；2）按照公司的要求實(shí)施各項(xiàng)安全措施控制；3）按照要求組織、參與或配合公司的各項(xiàng)信息安全檢查活動(dòng)；4）保護(hù)公司的信息資產(chǎn)免受非授權(quán)訪問、泄露、修改和破壞；5）積極參加各項(xiàng)信息安全培訓(xùn)；6）報(bào)告安全事件、潛在安全事件、以及其他可能引發(fā)安全風(fēng)險(xiǎn)的事件。4.1.3任用條款和條件綜合管理部每年需要組織員工簽署保密協(xié)議，所有員工都需要簽署。公司應(yīng)與第三方在公司層面簽訂保密協(xié)議（或合同中包含保密條款）。對口部門負(fù)責(zé)組織第三方人員簽訂《保密協(xié)議》，并以此作為其獲準(zhǔn)為本公司提供服務(wù)、接觸本公司敏感信息的前提條件；保密協(xié)議由公司綜合管理部統(tǒng)一保存。保密條款或保密協(xié)議具有法律效力，保密協(xié)議或包含保密條款的合同在簽訂前，要經(jīng)過公司相關(guān)部門的合規(guī)性審查，以避免法律法規(guī)風(fēng)險(xiǎn)。4.2任用中員工、第三方如需申請使用公司網(wǎng)絡(luò)訪問權(quán)限或應(yīng)用系統(tǒng)訪問權(quán)限，必須通過審批通過后，才能授予工作所需的最小權(quán)限。員工、第三方的工作崗位發(fā)生變化時(shí)，必須通過公司相關(guān)部門審批，對其訪問權(quán)限進(jìn)行相應(yīng)的調(diào)整。4.2.1管理職責(zé)綜合管理部應(yīng)采取必要措施，保證員工、第三方嚴(yán)格遵守公司已建立的各項(xiàng)信息安全制度。管理職責(zé)應(yīng)包括但不限于以下內(nèi)容：確保員工、第三方在被授權(quán)訪問敏感信息或敏感信息系統(tǒng)前，了解其信息安全的角色和職責(zé)；建立恰當(dāng)?shù)男畔踩?jiǎng)懲機(jī)制；監(jiān)督員工、第三方遵守任用條款和條件，以及相關(guān)的信息安全制度；制定并頒布各項(xiàng)信息安全制度、操作指引、實(shí)施指南等；負(fù)責(zé)人力資源和信息技術(shù)的部門負(fù)責(zé)組織公司員工（適當(dāng)時(shí)也可以包括第三方人員）進(jìn)行與其工作職能相關(guān)的信息安全意識(shí)培訓(xùn)和教育。4.2.2信息安全培訓(xùn)信息安全、IT服務(wù)知識(shí)培訓(xùn)納入公司統(tǒng)一的培訓(xùn)體系內(nèi)，由綜合管理部負(fù)責(zé)組織、實(shí)施及考核。信息安全、IT服務(wù)知識(shí)培訓(xùn)作為公司每年度全員培訓(xùn)計(jì)劃的必設(shè)內(nèi)容。從事信息安全、IT服務(wù)管理工作的人員和各部門信息安全、IT服務(wù)管理員，每年必須參加專門的信息安全、IT服務(wù)技術(shù)與標(biāo)準(zhǔn)培訓(xùn)。全員信息安全、IT服務(wù)培訓(xùn)每年度不少于一次，培訓(xùn)可采用多種方式，培訓(xùn)內(nèi)容包括崗位安全職責(zé)、信息安全、IT服務(wù)管理體系文件、信息安全、IT服務(wù)知識(shí)和技術(shù)等。新員工必須參加信息安全培訓(xùn)，培訓(xùn)內(nèi)容包括工作人員信息安全守則、基本的信息安全意識(shí)、知識(shí)和技術(shù)等。各部門可根據(jù)工作需要，在部門內(nèi)組織信息安全培訓(xùn)，信息安全管理工作小組可提供協(xié)助，培訓(xùn)內(nèi)容可以包括崗位信息安全知識(shí)培訓(xùn)、專項(xiàng)信息安全知識(shí)培訓(xùn)等。綜合管理部按照年度信息安全培訓(xùn)計(jì)劃，組織相關(guān)人員進(jìn)行培訓(xùn)，為加強(qiáng)培訓(xùn)效果，可以有針對性的安排考核和計(jì)分?？己藘?nèi)容可以包括理論考核、實(shí)際操作技能考核等；考核形式可以包括問答、問卷、試驗(yàn)等；培訓(xùn)講師負(fù)責(zé)登記考核和計(jì)分結(jié)果。參與培訓(xùn)的人員通過調(diào)查問卷等方式，對講師的授課技巧、培訓(xùn)的組織、培訓(xùn)效果等情況進(jìn)行評估，培訓(xùn)課程評價(jià)結(jié)果由綜合管理部分析匯總。4.2.3紀(jì)律處理過程對于信息安全、IT服務(wù)違規(guī)的人員，在正式紀(jì)律處理之前應(yīng)有一個(gè)信息安全違規(guī)的確認(rèn)過程，對于第三方人員的紀(jì)律處理需要第三方代表的參與；正式的紀(jì)律處理過程應(yīng)確保正確、公平、公正地對待被懷疑信息安全、IT服務(wù)違規(guī)的人員；對內(nèi)部員工的具體紀(jì)律處理按公司相關(guān)控制程序執(zhí)行；對第三方的紀(jì)律處理依照相關(guān)法律法規(guī)、合同處理，如法規(guī)或合同中均無規(guī)定，可雙方協(xié)商處理。4.3任用變更或終止4.3.1任用變更與終止職責(zé)應(yīng)清晰地定義和分配員工、第三方的任用變更或任用終止的信息安全職責(zé)。變更或終止的傳達(dá)應(yīng)包括信息安全要求和法律職責(zé)，必要時(shí)，在與員工、第三方人員的雇傭合同、保密協(xié)議、信息安全責(zé)任書或信息安全承諾書中應(yīng)包含在任用終止后仍然有效的信息安全職責(zé)和義務(wù)內(nèi)容。內(nèi)部員工的任用變更或終止由所在部門、綜合管理部等負(fù)責(zé)處理，第三方的任用變更或終止由對口部門、綜合管理部負(fù)責(zé)處理。4.3.2資產(chǎn)歸還所有的員工、第三方在終止任用合同或協(xié)議時(shí)，應(yīng)歸還其使用的所有公司資產(chǎn)。需要交接的信息資產(chǎn)包括計(jì)算機(jī)設(shè)備、身份識(shí)別卡、紙質(zhì)文件資料和存儲(chǔ)于電子介質(zhì)中的文檔、數(shù)據(jù)等。轉(zhuǎn)崗或離職人員辦公電腦中的數(shù)據(jù)由其所在部門決定如何處置，歸還后的辦公和業(yè)務(wù)電腦中硬盤由系統(tǒng)管理員進(jìn)行格式化。當(dāng)員工、第三方人員在公司工作期間，利用公司信息資產(chǎn)產(chǎn)生的信息及其知識(shí)產(chǎn)權(quán)，除另有約定外，屬于公司所有。4.3.3變更、撤銷訪問權(quán)限所有員工、第三方人員對信息和信息處理設(shè)施的訪問權(quán)限應(yīng)在崗位發(fā)生變更時(shí)進(jìn)行調(diào)整或在任用終止時(shí)注銷或刪除。應(yīng)注銷或刪除或改變訪問權(quán)的內(nèi)容包括物理訪問授權(quán)、邏輯訪問授權(quán)。必要時(shí)，在對信息和信息處理設(shè)施的訪問權(quán)限進(jìn)行變更或終止前需要進(jìn)行風(fēng)險(xiǎn)評估。5附則:本文件由綜合管理部負(fù)責(zé)解釋。本文件自印發(fā)之日起施行。6相關(guān)記錄;《保密協(xié)議》（對內(nèi)）《保密協(xié)議》（對外）《年度培訓(xùn)計(jì)劃》《培訓(xùn)記錄》《員工離職表》

通信與操作控制程序ISMS-02-101目的 為確保正確、安全地操作信息處理設(shè)施，通過確定一些關(guān)鍵控制點(diǎn)，建立信息處理設(shè)施的管理與操作的職責(zé)和流程，實(shí)施責(zé)任分割，以減少誤用系統(tǒng)的風(fēng)險(xiǎn)，制訂本文件。2適用范圍本文檔適用于深圳匯銀資產(chǎn)管理有限公司信息安全管理體系范圍之內(nèi)的所有部門和人員。3定義移動(dòng)代碼：移動(dòng)代碼是能夠從主機(jī)傳輸?shù)娇蛻舳擞?jì)算機(jī)上并執(zhí)行的代碼，它通常是作為病毒，蠕蟲，或是特洛伊木馬的一部分被傳送到客戶計(jì)算機(jī)上的。通常用于編寫移動(dòng)代碼的工具包括Javaapplets，ActiveX，JavaScript和VBScript。4控制程序4.1文件化的管理制度通信和操作相關(guān)的信息安全活動(dòng)應(yīng)形成固定流程，重要的流程應(yīng)該形成文件，例如應(yīng)用系統(tǒng)運(yùn)行維護(hù)、網(wǎng)絡(luò)系統(tǒng)管理、數(shù)據(jù)備份、IP地址管理、計(jì)算機(jī)病毒防治、備份介質(zhì)管理、移動(dòng)介質(zhì)管理、計(jì)算機(jī)機(jī)房管理、電子郵件管理等。所有用戶應(yīng)能夠獲得并遵循相關(guān)的管理制度。通信與操作相關(guān)的安全管理制度應(yīng)包括每項(xiàng)工作的管理職責(zé)、安全控制要點(diǎn)等內(nèi)容。4.2變更管理控制各部門對操作系統(tǒng)和應(yīng)用軟件應(yīng)執(zhí)行嚴(yán)格的變更管理控制，變更管理控制應(yīng)考慮如下:變更前進(jìn)行充分的變更測試；變更的潛在影響的評估，包括安全影響；向相關(guān)人員傳達(dá)變更細(xì)節(jié)和影響；將變更情況記錄在《變更記錄》中；回退計(jì)劃，包括從不成功變更和未預(yù)料事件中退出和恢復(fù)的程序與職責(zé)。變更操作人員按變更計(jì)劃安排的時(shí)間實(shí)施變更，并確保不會(huì)對現(xiàn)有信息處理設(shè)施和系統(tǒng)造成意外的服務(wù)影響。4.3責(zé)任分離通過界定信息處理設(shè)施和系統(tǒng)的安全管理職責(zé)，以降低非授權(quán)或無意識(shí)的修改或者不當(dāng)使用對信息處理設(shè)施和系統(tǒng)造成的危害。開發(fā)、測試環(huán)境分離開發(fā)、測試職責(zé)分離開發(fā)與測試系統(tǒng)應(yīng)當(dāng)分離，清晰界定系統(tǒng)用途及相關(guān)責(zé)任人；開發(fā)、測試和生產(chǎn)環(huán)境尚未完成分離的，要盡快實(shí)現(xiàn)分離。4.4第三方服務(wù)交付管理4.4.1服務(wù)交付外部相關(guān)方提供的第三方服務(wù)包括：電信或移動(dòng)提供的網(wǎng)絡(luò)通信服務(wù)、網(wǎng)站托管、公司郵箱托管、快遞、物業(yè)管理等。內(nèi)部相關(guān)方提供的第三方服務(wù)包括：人力資源管理、辦公環(huán)境管理等。4.4.2第三方服務(wù)的監(jiān)督和評審應(yīng)定期對第三方的服務(wù)安全性進(jìn)行審查，審查內(nèi)容包括：供電是否正常；網(wǎng)絡(luò)線路是否暢通；網(wǎng)站是否被入侵、篡改；公司域名是否可以解析；公司郵箱是否可用、郵件丟失等；快遞資料是否有丟失、泄露或破損；招聘的人員資料是否真實(shí)可靠；辦公環(huán)境中的安全問題（如門鎖壞掉、電腦丟失）。對于發(fā)現(xiàn)的第三方服務(wù)中的問題，及時(shí)與相關(guān)方溝通，并協(xié)商解決，必要時(shí)，要求第三方進(jìn)行賠償。4.4.3第三方服務(wù)的變更管理應(yīng)對第三方服務(wù)變更（不論是公司提供的變更，還是第三方提起的變更，如第三方額外提供增值服務(wù)），變更時(shí)要考慮變更對公司信息資產(chǎn)保密性、完整性和可用性的影響，對有關(guān)風(fēng)險(xiǎn)進(jìn)行評估，如果風(fēng)險(xiǎn)在公司可接受范圍內(nèi)，可以接受變更，否則可以拒絕變更。4.5系統(tǒng)規(guī)劃與驗(yàn)收4.5.1系統(tǒng)需求各部門應(yīng)對系統(tǒng)未來的容量、功能和性能等要求進(jìn)行預(yù)測，這些預(yù)測要考慮信息系統(tǒng)的當(dāng)前狀況和未來發(fā)展趨勢。各部門基于采購成本和使用年限的考慮，對于主要應(yīng)用系統(tǒng)的容量規(guī)劃需要重點(diǎn)關(guān)注，系統(tǒng)管理員應(yīng)當(dāng)對主要應(yīng)用系統(tǒng)資源的使用情況進(jìn)行監(jiān)視，包括處理器、內(nèi)存、儲(chǔ)存系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)等。各部門應(yīng)當(dāng)運(yùn)用上述信息來識(shí)別并避免可能對系統(tǒng)安全或應(yīng)用服務(wù)提供構(gòu)成隱患的潛在瓶頸，并事先確定適當(dāng)?shù)难a(bǔ)救恢復(fù)措施。4.5.2系統(tǒng)驗(yàn)收應(yīng)用系統(tǒng)的驗(yàn)收參照相應(yīng)的技術(shù)驗(yàn)收文檔或合同執(zhí)行。在技術(shù)驗(yàn)收文檔中，技術(shù)管理中心要清楚說明新系統(tǒng)的安全驗(yàn)收要求和標(biāo)準(zhǔn)，要保證所采用的升級(jí)、補(bǔ)丁和新的版本不會(huì)影響正常的操作過程。對任何新的信息系統(tǒng)都要進(jìn)行驗(yàn)收測試，并遵照已定的標(biāo)準(zhǔn)進(jìn)行系統(tǒng)驗(yàn)收。系統(tǒng)驗(yàn)收標(biāo)準(zhǔn)：要對所有相關(guān)的日常操作流程進(jìn)行驗(yàn)收，以保證在切換新系統(tǒng)后，能正確地恢復(fù)日常的操作；在任何新系統(tǒng)上線前都需要進(jìn)行安全檢查。檢查內(nèi)容包括操作系統(tǒng)版本、補(bǔ)丁等級(jí)、安全修補(bǔ)等。要對關(guān)鍵系統(tǒng)的網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)進(jìn)行加固；對變更進(jìn)行控制，以確保變更可能造成的系統(tǒng)停機(jī)不會(huì)影響業(yè)務(wù)的持續(xù)性；確保所有的系統(tǒng)變更都盡可能安排在空閑時(shí)間內(nèi)，以減輕對業(yè)務(wù)的影響；確保系統(tǒng)變更后不會(huì)減弱的整體安全性；安排必要的測試以證實(shí)符合系統(tǒng)驗(yàn)收標(biāo)準(zhǔn)；新系統(tǒng)上線前需對操作員進(jìn)行相關(guān)培訓(xùn)，系統(tǒng)的驗(yàn)收還應(yīng)包括對相關(guān)文檔的交付的驗(yàn)收，如運(yùn)維管理手冊、用戶手冊等。4.6防止惡意和移動(dòng)代碼4.6.1防范惡意代碼辦公和業(yè)務(wù)電腦都需要安裝防病毒軟件，以防范惡意代碼和移動(dòng)代碼，并定期（至少每月一次）查殺病毒，定期（至少每月一次）進(jìn)行病毒升級(jí)。網(wǎng)絡(luò)中安裝防火墻，通過網(wǎng)關(guān)、路由及域管理。辦公和業(yè)務(wù)電腦要及時(shí)更新操作系統(tǒng)補(bǔ)丁。員工訪問互聯(lián)網(wǎng)時(shí)，應(yīng)做到：不要從不信任的網(wǎng)站下載程序；未經(jīng)允許不允許使用移動(dòng)存儲(chǔ)介質(zhì)；謹(jǐn)慎處理帶有可疑附件的郵件（先不要打開、先進(jìn)行病毒查殺，確認(rèn)沒有病毒后才能打開）。如發(fā)現(xiàn)重大病毒入侵事件，需要填寫《病毒入侵報(bào)告》技術(shù)管理中心要定期安排相關(guān)人員評審辦公和業(yè)務(wù)電腦上安裝的各種軟件的安全性；除非特殊需要，公司不允許使用安全性比較低的軟件(如有較多漏洞且一直未有成熟解決方案)。4.6.2控制移動(dòng)代碼技術(shù)管理中心使用源代碼時(shí)，按照"滿足工作需要且權(quán)限和數(shù)量最小化"的原則，控制技術(shù)人員對源代碼的獲得。技術(shù)管理中心應(yīng)考慮下列措施以防止移動(dòng)代碼執(zhí)行未授權(quán)的活動(dòng)：技術(shù)人員的業(yè)務(wù)電腦上只存儲(chǔ)目前開發(fā)項(xiàng)目有關(guān)的代碼；技術(shù)人員將新版代碼及時(shí)發(fā)給技術(shù)管理中心經(jīng)理，由技術(shù)管理中心經(jīng)理負(fù)責(zé)保管，只有技術(shù)管理中心經(jīng)理有管理員權(quán)限。4.7備份4.7.1信息備份技術(shù)管理中心經(jīng)理負(fù)責(zé)定期（至少每天一次）將備份數(shù)據(jù)上傳到指定的位置。備份數(shù)據(jù)的恢復(fù)能力應(yīng)滿足的業(yè)務(wù)連續(xù)性計(jì)劃的要求。4.8網(wǎng)絡(luò)安全管理技術(shù)管理中心負(fù)責(zé)網(wǎng)絡(luò)管理，網(wǎng)絡(luò)管理方面需要做到如下要求：公司內(nèi)外網(wǎng)間通過網(wǎng)關(guān)配置與更新，以減少來自于互聯(lián)網(wǎng)的威脅；技術(shù)管理中心的網(wǎng)絡(luò)與其它部門的網(wǎng)絡(luò)間通過技術(shù)手段進(jìn)行隔離，技術(shù)管理中心內(nèi)部的開發(fā)與測試環(huán)境間通過技術(shù)手段進(jìn)行隔離；進(jìn)行網(wǎng)絡(luò)監(jiān)控，發(fā)現(xiàn)網(wǎng)絡(luò)流量異?；蚓W(wǎng)絡(luò)入侵事件，要及時(shí)進(jìn)行處理；外來人員電腦需要接入本公司網(wǎng)絡(luò)時(shí)，必須接入至我公司開放公用來賓網(wǎng)絡(luò)，不得在未授權(quán)的情況下接入我公司開發(fā)或測試網(wǎng)絡(luò)。所有允許互聯(lián)網(wǎng)用戶訪問的內(nèi)部系統(tǒng)，必須置于防火墻后；需要時(shí)候使用訪問控制列表ACL；使用無線網(wǎng)絡(luò)時(shí)，要設(shè)置用戶密碼，并定期更改。4.9介質(zhì)處置4.9.1可移動(dòng)介質(zhì)的管理公司移動(dòng)介質(zhì)使用需申請并做好記錄，不允許隨意使用私人介質(zhì)。詳見《移動(dòng)存儲(chǔ)介質(zhì)管理制度》。4.9.2備份介質(zhì)的管理存放備份數(shù)據(jù)的光盤，按照以下規(guī)定嚴(yán)格管理：存放在文件柜中并上鎖；備份介質(zhì)存放環(huán)境要求：常溫、防潮、防火、防水、防磁、防輻射；4.9.3介質(zhì)處置為保證信息安全，必須在處理介質(zhì)前擦除有關(guān)的敏感信息，包括如下：用碎紙機(jī)銷毀所有的敏感紙質(zhì)記錄，廢紙可在碎紙后立即處置掉；存儲(chǔ)介質(zhì)必須在報(bào)廢前進(jìn)行將數(shù)據(jù)刪除，并砸成小塊后才能丟棄。由專人負(fù)責(zé)監(jiān)督并填寫《資料廢止登記表》4.10系統(tǒng)文件的安全系統(tǒng)管理員由技術(shù)管理中心指定人員擔(dān)任。辦公和業(yè)務(wù)電腦、網(wǎng)絡(luò)設(shè)備等的系統(tǒng)文件只能由擁有系統(tǒng)管理員權(quán)限的人員經(jīng)用戶驗(yàn)證后進(jìn)行訪問。系統(tǒng)文件只能由系統(tǒng)管理員訪問，為保護(hù)辦公和業(yè)務(wù)電腦的系統(tǒng)文件不被破壞（如病毒感染〕，辦公和業(yè)務(wù)電腦用戶要使用普通用戶登錄，不要使用系統(tǒng)管理員用戶帳戶登錄。4.11信息的交換4.11.1信息交換策略和程序公司和外部相關(guān)方進(jìn)行信息交換時(shí)，通過郵件、傳真等方式進(jìn)行，與內(nèi)部相關(guān)方通過郵件方式進(jìn)行。和其它組織之間交換信息時(shí)，需要考慮采取如下控制措施：敏感信息交換行為經(jīng)過相關(guān)負(fù)責(zé)人批準(zhǔn)或同意；以附件形式傳輸?shù)拿舾须娮余]件要設(shè)定打開密碼；復(fù)印、打印和傳真后，及時(shí)將文件取走；防止未授權(quán)訪問；提醒工作人員采取相應(yīng)預(yù)防措施不泄露敏感信息，避免打電話時(shí)被無意聽到或竊聽；不要將辦公郵箱、辦公電話號(hào)碼等個(gè)人隱私信息用于社交網(wǎng)站的注冊，避免隱私信息被未授權(quán)人員收集避免傳真機(jī)和影印機(jī)中頁面緩沖內(nèi)容被打印。不要在公共場所、開放綜合管理部和薄圍墻的會(huì)場進(jìn)行機(jī)密會(huì)談。信息交換設(shè)施應(yīng)符合相關(guān)的法律要求。4.11.2電子信息管理收發(fā)的所有電子文件都必須經(jīng)過病毒掃描。重要的電子郵件附件發(fā)放時(shí)可以設(shè)置打開密碼。禁止利用電子郵件從事以下活動(dòng)：利用電子郵件服務(wù)傳輸任何騷擾性的、中傷他人的、恐嚇性的、庸俗的、淫穢的以及其他違反法律法規(guī)和本公司規(guī)定的內(nèi)容；利用電子郵件服務(wù)散布電腦病毒、木馬軟件、間諜軟件等惡意軟件，干擾他人或破壞網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行；其他的利用電子郵件服務(wù)發(fā)送與工作無關(guān)的郵件。電子郵件操作安全規(guī)定如下：必須以本人的真實(shí)身份使用電子郵箱，禁止以他人名義或匿名濫發(fā)郵件，禁止盜用他人郵箱；未經(jīng)授權(quán)任何人不得嘗試以他人帳戶和口令登錄電子郵件系統(tǒng)，不得閱讀、下載、保存、編輯、公開或透露他人的電子郵件；用戶必須嚴(yán)格保密其登錄電子郵件系統(tǒng)的密碼，不得泄露，如將其借與他人使用，由此造成的一切后果由電子郵件帳戶所有人承擔(dān)；用戶若發(fā)現(xiàn)任何電子郵件系統(tǒng)的漏洞，或任何非法使用電子郵件系統(tǒng)的情況，須及時(shí)報(bào)告信息技術(shù)管理中心；用戶不要閱讀和傳播來歷不明的電子郵件及其附件，提高對電子郵件病毒的防范意識(shí)，避免傳播電子郵件病毒；用戶不得將本公司提供的電子郵件用于非工作目的，特別是以娛樂、購物、交友等為目的的身份注冊；如因工作需要，必須通過電子郵件系統(tǒng)發(fā)送保密信息的，應(yīng)經(jīng)部門負(fù)責(zé)人許可或采取加密等有效安全保護(hù)措施。電子郵件歸檔：所有的電子郵件都需要進(jìn)行保存和歸檔，存放在郵箱服務(wù)方統(tǒng)一進(jìn)行備份保存，下載到本地的電子郵件要存放非系統(tǒng)盤中。4.12業(yè)務(wù)信息系統(tǒng)具體控制措施如下:只有系統(tǒng)管理員擁有信息系統(tǒng)管理權(quán)限；網(wǎng)絡(luò)設(shè)備停機(jī)和重啟需要技術(shù)管理中心負(fù)責(zé)人同意并登記。4.13公共可用信息網(wǎng)站內(nèi)容改變，必須確保：網(wǎng)站內(nèi)容變更前已經(jīng)經(jīng)過反復(fù)核對，內(nèi)容無誤；定期查看網(wǎng)站是否被篡改或注入，如有，及時(shí)通知技術(shù)管理中心進(jìn)行維護(hù)。4.14監(jiān)控4.14.1審計(jì)日志網(wǎng)絡(luò)設(shè)備日志要記錄以下內(nèi)容：關(guān)鍵網(wǎng)絡(luò)安全事件；關(guān)鍵服務(wù)安全事件。關(guān)鍵網(wǎng)絡(luò)安全事件和關(guān)鍵服務(wù)安全事件應(yīng)記錄在事件日志中，其內(nèi)容建議包括以下信息：用戶驗(yàn)證用的用戶帳號(hào)；網(wǎng)絡(luò)地址；系統(tǒng)登錄成敗(驗(yàn)證結(jié)果)；事件日期和事件內(nèi)容。4.14.2監(jiān)控系統(tǒng)的使用建立互聯(lián)網(wǎng)信息監(jiān)控系統(tǒng)。按照規(guī)定的事件日志記錄格式，監(jiān)控信息系統(tǒng)的運(yùn)行狀態(tài)，如果發(fā)生不良事件可能影響網(wǎng)絡(luò)安全，檢測到關(guān)鍵服務(wù)安全事件，應(yīng)執(zhí)行《信息安全事件控制程序》。安全監(jiān)控范圍如下：

合法訪問，包括如下內(nèi)容：1）用戶ID；2）重要事件的日期和時(shí)間；3）事件類型；所有特權(quán)操作，如：1）特權(quán)帳號(hào)的使用；2）系統(tǒng)啟動(dòng)和停止；非法訪問，如：1）失敗次數(shù)；2）訪問策略的違反情況。系統(tǒng)預(yù)警或故障，如：1）控制臺(tái)預(yù)警或消息；2）系統(tǒng)日志異常情況；4.14.3保護(hù)日志信息日志審核包括了解系統(tǒng)面臨的威脅以及這些威脅出現(xiàn)的方式。有些事件可能在發(fā)生安全事件時(shí)要求進(jìn)行進(jìn)一步調(diào)查。系統(tǒng)日志通常包括大量的信息，多數(shù)與安全監(jiān)控?zé)o關(guān)。為了識(shí)別用于安全監(jiān)控目的的重要事件，應(yīng)使用工具進(jìn)行安全事件的監(jiān)控和管理。應(yīng)采取措施監(jiān)控非法更改和操作問題，包括：正在停用日志記錄工具；對所記錄的消息類型進(jìn)行更改；正在編輯或刪除日志文件；日志文件介質(zhì)即將填滿，或者無法記錄事件，或者重寫。只有系統(tǒng)管理員可以查看日志信息4.14.4管理員和操作員日志系統(tǒng)管理員和系統(tǒng)操作員的活動(dòng)應(yīng)記入日志。日志要包括：事件（成功的或失敗的）發(fā)生的時(shí)間；關(guān)于事件（例如處理的文件）或故障（發(fā)生的差錯(cuò)和采取的糾正措施）的信息；事件涉及的用戶帳號(hào)、系統(tǒng)管理員或業(yè)務(wù)操作員；事件涉及的過程。系統(tǒng)操作員和操作員日志須定期審核。4.14.5故障日志故障日志記錄包含以下內(nèi)容：故障/錯(cuò)誤發(fā)生和恢復(fù)的日期和時(shí)間；故障/錯(cuò)誤報(bào)告/探測和處理情況；故障等級(jí)；聯(lián)系的技術(shù)支持。技術(shù)管理中心要負(fù)責(zé)審核故障日志，確保錯(cuò)誤恢復(fù)并且無任何安全問題。如果故障仍留有安全問題，應(yīng)當(dāng)通知技術(shù)管理中心總監(jiān)。技術(shù)管理中心總監(jiān)應(yīng)與有關(guān)方評審事故并落實(shí)為防止再發(fā)生錯(cuò)誤所采取的糾正措施。4.14.6時(shí)鐘同步所有相關(guān)信息處理設(shè)施的時(shí)鐘應(yīng)使用精確時(shí)間源進(jìn)行同步。使用WIN時(shí)鐘同步功能。對于重要的應(yīng)用系統(tǒng)，為防止系統(tǒng)時(shí)間與標(biāo)準(zhǔn)時(shí)間源發(fā)生重大偏移，應(yīng)定期校驗(yàn)和較準(zhǔn)該重大變化。正確設(shè)置計(jì)算機(jī)時(shí)鐘對確保審核日志的準(zhǔn)確性是重要的，審核日志可用于法律調(diào)查，作為法律證據(jù)。不準(zhǔn)確的審核日志可能妨礙調(diào)查，并損害這種證據(jù)的可信性。本公司根據(jù)業(yè)務(wù)要求時(shí)間的誤差在5分鐘以內(nèi)，不會(huì)對業(yè)務(wù)造成影響。

遠(yuǎn)