2022版ISO27001信息安全管理手冊 (完整版)信息安全手冊

*********有限公司信息安全管理體系文件管理手珊依據(jù)IS0/IEC27001：2022標準編制編號:ZX-ITSMS-2023受控狀態(tài)：編審批制：核：準：發(fā)布日期：實施日期：受控編制小組******2023年01月01日2023年01月01日1概述．1.1頒布令1.2范圍1.3授權(quán)書．1.4手冊說明，1.5公司簡介，2規(guī)范性引用文件，3術(shù)語和定義3.1術(shù)語．3.2縮寫4組織環(huán)境4.1了解公司現(xiàn)狀及背景4.2理解相關(guān)方的需求和期望4.3確定信息安全管理體系的范圍4.4信息安全管理體系5領(lǐng)導作用5.1領(lǐng)導力和承諾5.2信息安全管理體系的方針5.3角色，責任和承諾.6策劃．6.1應(yīng)對風險和機遇的措施6.2信息安全目標和實現(xiàn)目標的規(guī)劃.6.3變更計劃作者：李柏偷翻版盜真必追究責任7．支持7.1資源提供7.2信息安全能力管理7.3意識556679999910101010101111111113131415161616167.4溝通7.5文檔化信息8運行．．8.1運行計劃及控制8.2信息安全風險評估8.3信息安全風險處置9績效評價9.1監(jiān)視、測量、分析和評價9.2內(nèi)部審核.9.3管理評審10改進．10.1持續(xù)改進10.2不符合及糾正措施附錄1組織架構(gòu)圖.附錄2職能分配表附錄3信息安全職責16171818181919191921.212122.232428序號修改內(nèi)容手冊的更改修改日期版本號修改人審核批準1.1頒布令1概述經(jīng)公司全體員工的共同努力依據(jù)IS0/IEC27001:2022標準建立我公司信息安全管理體系已得到建立。指導管理體系運行的公司《信息安全管理手冊》經(jīng)評審后，現(xiàn)予以批準發(fā)布，《信息安全管理手冊》的發(fā)布，標志著我公司從現(xiàn)在起，必須按照信息安全管理體系標準的要求和公司《信息安全管理手冊》所描述的規(guī)定，不斷增強持續(xù)滿足顧客要求、相關(guān)方要求和法律法規(guī)要求的能力，全心全意為顧客和相關(guān)方提供服務(wù)，以確立公司在社會上的良好信譽?！缎畔踩芾硎謨浴肥枪疽?guī)范內(nèi)部管理的指導性文件，也是全體員工在產(chǎn)品產(chǎn)品及對客戶的服務(wù)過程中必須遵循的行動準則。《信息安全管理手冊》一經(jīng)發(fā)布，就是強制性文件，全體員工必須認真學習、切實執(zhí)行。本手冊2023年01月01日式實施?？偨?jīng)理：***2023年01月01日1.2范圍本總綱所描述信息安全管理體系適用于公司所有部門，所涉及業(yè)務(wù)范圍包括信息技術(shù)處理設(shè)施的管理運維服務(wù)、信息技術(shù)系統(tǒng)的開發(fā)、獲取和運行維護、人員的信息安全、數(shù)據(jù)的安全等在內(nèi)的各項信息安全管理相關(guān)活動。1.3授權(quán)書為貫徹執(zhí)行IS0/IEC27001：2022《信息安全管理體系》，加強對信息管理體系運行的領(lǐng)導，特授權(quán)：1、授權(quán)***為公司管理者代表，其主要職責和權(quán)限為：1）確保公司信息安全管理體系所需過程得到建立、實施、運行和保持。確保信息安全業(yè)務(wù)風險得到有效控制。2）向最高管理者報告信息安全管理體系業(yè)績和任何改善需求，為最高管理者代表評審提供依據(jù)。3）確保滿足顧客和相關(guān)方要求、法律法規(guī)要求的信息安全意識和信息安全風險意識在公司內(nèi)得到形成和提高。4）在信息安全管理體系事宜方面負責與外部的聯(lián)絡(luò)2、授權(quán)***為ISMS信息安全管理項目責任人，其主要職責和權(quán)限為：確保信息安全管理方的控制措施得到形成、實施、運行和控制。3、授權(quán)各部門主管為信息安全管理體系在本部門的責任人，對ISMS要求在本部門的實施負責?？偨?jīng)理：***2023年01月01日1.4手冊說明1.4.1總則《信息安全管理手冊》的編制，是用以證明已建立并實施了一個完整的文件化的信息安全管理體系。通過對各項業(yè)務(wù)進行風險評估，識別出公司的關(guān)鍵資產(chǎn)，并根據(jù)資產(chǎn)的不同級別風險采取與之相對應(yīng)的處理措施。《信息安全管理手冊》為審核信息安全管理體系提供了文件依據(jù)。《信息安全管理手冊》證明公司已經(jīng)按照IS0/IEC27001：2022版標準的要求建立并實際運行一套信息安全管理體系。《信息安全管理手冊》的編制及頒布可以對公司信息安全管理各項活動進行控制，指導公司開展各項業(yè)務(wù)活動，并通過不斷的持續(xù)改進來完善信息安全管理體系。1.4.2信息安全管理手冊的批準綜合部負責組織編制《信息安全管理手冊》及其相關(guān)規(guī)章制度，總經(jīng)理負責批準。1.4.3信息安全管理手冊的發(fā)放、作廢與銷毀（1）綜合部負責按《文件管理程序》的要求，進行《信息安全管理手冊》的登記、發(fā)放、回收、歸檔、作廢與銷毀工作。（2）各相關(guān)部門按照受控文件的管理要求對收到的《信息安全管理手冊》進行使用和保管。（3）綜合部按照規(guī)定發(fā)放修改后的《信息安全管理手冊》，并收回失效的文件做出標識統(tǒng)一處理，確保有效文件的唯一性。（4）綜合部保留《信息安全管理手冊》修改內(nèi)容的記錄。1.4.4信息安全管理手冊的修改《信息安全管理手冊》如根據(jù)實際情況發(fā)生變化時，應(yīng)用信息安全體系相關(guān)部門提出申請，經(jīng)綜合部討論、商議，信息安全代表審核、總經(jīng)理批準后方可進行修改。為保證修改后的手冊能夠及時發(fā)放給相關(guān)人員，綜合部對手冊實施修改后，應(yīng)及時發(fā)布修改信息，通知相關(guān)人員。《信息安全管理手冊》的修改分為兩種：一是少量的文字性修改。此種修改不改變手冊的版本號，只需在本手冊的“文檔修改記錄”如實記錄即可，不需保存手冊修改前的文檔原件。二是大范圍的信息安全管理體系版本升級，即改版。在本手冊經(jīng)過多次修改、信息安全管理體系建立依據(jù)的標準發(fā)生變化、公司的業(yè)務(wù)范圍有較大調(diào)整的情況下，需要對本手冊進行改版。本手冊的改版應(yīng)該對改版前的《信息安全管理手冊》原件進行保存。在出現(xiàn)下列情況時，《信息安全管理手冊》可以進行修改：》信息安全管理體系運行過程中發(fā)現(xiàn)問題或信息安全管理體系需進一步改進》內(nèi)部信息安全提出新的需求》組織機構(gòu)和職能發(fā)生變化》經(jīng)營環(huán)境和產(chǎn)品結(jié)構(gòu)有調(diào)整》發(fā)現(xiàn)本手冊中存在差錯或不明確之處》引用的法規(guī)或體系標準有修改》體系審核或管理評審提出改進要求》本手冊的更改控制按《文件管理程序》執(zhí)行1.4.5信息安全管理手冊的換版《信息安全管理手冊》進行換版，換版應(yīng)在管理評審時形成決議，重新試試編制、審批工作。>當依據(jù)的IS0/IEC27001：2022信息安全管理體系有重大變化時，如組織結(jié)構(gòu)、內(nèi)外部環(huán)境、開發(fā)技術(shù)、信息安全風險等發(fā)生重大改變的。》相應(yīng)的法律法規(guī)發(fā)生重大變化時，如國家法律法規(guī)、政策、標準等發(fā)生改變的。》《信息安全管理手冊》發(fā)生需修改部分超過1/3時。》《信息安全管理手冊》執(zhí)行已滿三年時。1.4.6信息安全管理手冊的控制（1）《信息安全管理手冊》標識分受控文件和非受控文件：》受控文件發(fā)放范圍為公司領(lǐng)導、各相關(guān)部分的負責人、審計部或者內(nèi)審員?！贩鞘芸匚募≈瞥蓡涡斜?，作為投標書的資料、銷售目的等發(fā)給受控范圍以外的其他相關(guān)人員。（2）《信息安全管理手冊》分為書面文件和電子文件兩種。1.5公司簡介2規(guī)范性引用文件下列文件中的條款通過本《信息安全管理手冊》的引用而成為本《信息安全管理手冊》的條款。凡是標注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修改版均不適用于本《信息安全管理手冊》，然而，信息安全管理小組應(yīng)研究是否可使用這些文件的最新版本。凡是不注日期的引用文件、其最新版本適用于本《信息安全管理手冊》。IS0/IEC27001：2022《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》IS0/IEC27002：2022《信息技術(shù)-安全技術(shù)-信息安全管理實用規(guī)則》3術(shù)語和定義3.1術(shù)語IS0／IEC27000的術(shù)語和定義適用于本《信息安全管理手冊》。本組織、本公司、我公司：廣東悅伍紀網(wǎng)絡(luò)技術(shù)有限公司3.2縮寫ISMS：InformationSecurityManagementSystems信息安全管理體系；SOA：：StatementofApplicability適用性聲明；PDCA：：PlanDoCheckAction計劃、實施、檢查、改進。4組織環(huán)境4.1了解公司現(xiàn)狀及背景本公司根據(jù)內(nèi)外部環(huán)境因素，考慮公司的信息安全管理目的，這將作為公司實施信息安全管理體系的核心需求。4.2理解相關(guān)方的需求和期望本公司根據(jù)相關(guān)方提出的信息安全需求和期望，考慮建立信息安全管理體系，這些需求包括：法律法規(guī)、合同義務(wù)、地方規(guī)定等。相關(guān)方及期望主要以下：顧客-希望本公司提供的軟件產(chǎn)品與服務(wù)能滿足客戶需求，符合法規(guī)與合同要求：供應(yīng)商或服務(wù)商--對本公司提供產(chǎn)品或服務(wù)以支持本公司能夠安全有效持續(xù)運營公司內(nèi)部管理層與各部門符合信息安全需求及監(jiān)督運作是否合乎程序，確保機密資料作業(yè)流程受到保護，各部門保正公司持續(xù)運營，公司信息數(shù)據(jù)不受外泄或損毀。4.3確定信息安全管理體系的范圍本公司根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)確定了范圍和邊界：業(yè)務(wù)范圍：與軟件開發(fā)及計算機信息系統(tǒng)集成相關(guān)的信息安全管理活動組織范圍：全公司上下各部門與業(yè)務(wù)有直接相關(guān)的正式員工物理范圍：資產(chǎn)范圍：與a)所述業(yè)務(wù)活動b)組織范圍內(nèi)及c)物理環(huán)境內(nèi)相關(guān)的硬件、軟件、數(shù)據(jù)、文檔、人員及支持性服務(wù)等全部信息資產(chǎn)和相關(guān)技術(shù)手段《信息安全管理手冊》采用了IS0/IEC27001:2022準正文的全部內(nèi)容，對附錄A的刪減及理由詳見《信息安全適用性聲明SOA》；4.4信息安全管理體系本公司的信息安全管理體系按照IS0/IEC27001:2022《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》規(guī)定，參照IS0/IEC27002：2022《信息技術(shù)-安全技術(shù)-信息安全管理實用規(guī)則》標準建立、實施、運行、監(jiān)視、評審、保持和改進文件化的信息安全管理體系。5領(lǐng)導作用5.1領(lǐng)導力和承諾我公司管理者通過以下活動，對建立、實施、運作、監(jiān)視、評審、保持和改進信息安全管理體系的承諾提供證據(jù)：a）建立信息安全方針（見《信息安全方針》）；b）確保信息安全目標和計劃得以制定（見《信息安全目標》及相關(guān)記錄）；c）提供充分的資源，以建立、實施、運作、監(jiān)視、評審、保持并改進信息安全管理體系（見本手冊第7.1章）；d）建立信息安全的角色和職責（見本手冊附錄3（規(guī)范性附錄）《職責權(quán)限》和相應(yīng)的管理程序e）向組織傳達滿足信息安全目標、符合信息安全方針、履行法律責任和持續(xù)改進的重要性；f）實施信息安全管理體系管理評審，確保信息安全管理體系達到其預(yù)期的效果（見本手冊第9章）；g）指導和支持員工對信息安全管理體系作出有效的責獻；h）確保內(nèi)部信息安全管理體系審核得以實施，促進持續(xù)改進（見本手冊第9章）；i）支持其他相關(guān)管理角色來展示自已的領(lǐng)導力，因為它適用于他們的職責范圍。5.2信息安全管理體系的方針為了滿足適用法律法規(guī)及相關(guān)方要求，維持ISMS范圍內(nèi)的業(yè)務(wù)正常進行，實現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展，本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)確定了信息安全管理體系方針：滿足客戶要求，遵守法律法規(guī)，實施風險管理，確保信息安全，實現(xiàn)持續(xù)改進。5.3角色，責任和承諾5.3.1信息安全組織機構(gòu)本公司成立信息安全領(lǐng)導機構(gòu)一一信息安全管理小組，職責是實現(xiàn)信息安全管理體系方針和本公司承諾。具體職責是：研究決定信息安全工作涉及到的重大事項；審定公司信息安全方針、目標、工作計劃和重要文件；為信息安全工作的有序推進和信息安全管理體系的有效運行提供必要的資源。本公司的信息安全職能由信息安全管理小組承擔，其主要職責是：負責制訂、落實信息安全工作計劃，對單位、部門信息安全工作進行檢查、指導和協(xié)調(diào)，建立健全企業(yè)的信息安全管理體系，保持其有效、持續(xù)運行。本公司采取相關(guān)部門代表組成的協(xié)調(diào)會的方式，進行信息安全協(xié)調(diào)和協(xié)作，以：a）確保安全活動的執(zhí)行符合信息安全方針；b）確定怎樣處理不符合：批準信息安全的方法和過程，如風險評估、信息分類；cd）識別重大的威脅變化，以及信息和相關(guān)的信息處理設(shè)施對威脅的暴露；e）評估信息安全控制措施實施的充分性和協(xié)調(diào)性；f）有效的推動組織內(nèi)信息安全教育、培訓和意識；g）評價根據(jù)信息安全事件監(jiān)控和評審得出的信息，并根據(jù)識別的信息安全事件推薦適當?shù)拇胧?.3.2信息安全職責和權(quán)限本公司總經(jīng)理為信息安全最高責任者。總經(jīng)理指定信息安全管理者代表，無論信息安全管理者代表其他方面的職責如何，對信息安全負有以下職責：a）建立并實施信息安全管理體系必要的程序并維持其有效運行；b）對信息安全管理體系的運行情況和必要的改善措施向信息安全管理小組或最高責任者報告。各部門負責人為本部門信息安全管理責任者，全體員工都應(yīng)按保密承諾的要求自覺履行信息安全保密義務(wù)。各部門、人員有關(guān)信息安全職責分配見附錄3（規(guī)范性附錄）《職責權(quán)限》和相應(yīng)的程序文件（管理標準）、規(guī)定及崗位說明書。5.3.3承諾為實現(xiàn)信息安全管理體系方針，本公司承諾a）在公司內(nèi)各層次建立完整的信息安全管理組織機構(gòu)，確定信息安全方針、安全目標和控制措施，明確信息安全的管理職責；b）識別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求；c）定期進行信息安全風險評估，信息安全管理體系評審，采取糾正預(yù)防措施，保證體系的持續(xù)有效性；d）采用先進有效的設(shè)施和技術(shù)，處理、傳遞、儲存和保護各類信息，實現(xiàn)信息共享：e）對全體員工進行持續(xù)的信息安全教育和培訓，不斷增強員工的信息安全意識和能力；f）制定并保持完善的業(yè)務(wù)連續(xù)性計劃，實現(xiàn)可持續(xù)發(fā)展。6策劃6.1應(yīng)對風險和機遇的措施6.1.1總則公司制定《應(yīng)對風險和機遇措施控制程序》，在規(guī)劃信息安全管理體系時，應(yīng)考慮4.1中提到的問題和4.2中提到的要求，并確定需要解決的風險和機會，以：A)確保信息安全管理體系能夠?qū)崿F(xiàn)其預(yù)期結(jié)果；B)防止或減少不良影響：c)實現(xiàn)持續(xù)改進。組織應(yīng)規(guī)劃D)應(yīng)對這些風險和機遇的措施；和E)如何1)整合和實施這些措施并將其納入信息安全管理體系過程2)評估這些行動的有效性。6.1.2信息安全風險評估組織應(yīng)定義并應(yīng)用以下信息安全風險評估過程：A）建立并維護信息安全風險標準，包括：1)風險接受準則；和2)執(zhí)行信息安全風險評估的準則；B)確保重復(fù)的信息安全風險評估產(chǎn)生一致、有效和可比較的結(jié)果；C)識別信息安全風險：1)應(yīng)用信息安全風險評估流程，識別與信息安全管理體系范圍內(nèi)信息的保密性、完整性和可用性喪失相關(guān)的風險；而且2)識別風險所有者；D)分析信息安全風險：1)評估6.1.2c）1）中確定的風險成為現(xiàn)實將會產(chǎn)生的潛在后果；2)評估6.1.2c）1)中確定的風險發(fā)生的現(xiàn)實可能性；而且3)確定風險級別;E)評估信息安全風險：1)將風險分析結(jié)果與6.1.2a)中建立的風險標準進行比較；而且2)將分析的風險按優(yōu)先順序進行風險處理。公司定義并應(yīng)用風險評估過程，組織應(yīng)保留有關(guān)信息安全風險評估過程的文件化信息。6.1.3風險處置信息安全管理領(lǐng)導小組應(yīng)定義和實施信息安全風險處置過程：A)根據(jù)風險評估結(jié)果，選擇適當?shù)男畔踩L險處理方案；B)確定實施所選信息安全風險處理方案所需的所有控制措施；注1：組織可以根據(jù)需要設(shè)計控制措施，或從任何來源識別控制。c)將上述b)中確定的控制與附件A中的控制進行比較，并確認沒有遺漏必要的控制措施；注2：附件A包含可能的信息安全控制的列表。本文件的使用者請參閱附件A，以確保沒有必要的信息安全控制被忽略。注3：附件A所列的信息安全控制并非詳盡無遺和附加信息如果需要，可以包括安全控制。6.2信息安全目標和實現(xiàn)目標的規(guī)劃公司在相關(guān)職能和級別建立信息安全目標。信息安全目標應(yīng)：A)符合信息安全政策；B)可測量的(如果可行）；C)考慮適用的信息安全要求，以及風險評估和風險處理的結(jié)果；d)被監(jiān)控；e)溝通傳達；F)適當更新；G)作為文件信息提供，公司保留關(guān)于信息安全目標的文件化信息。公司在規(guī)劃如何實現(xiàn)其信息安全目標時，應(yīng)確定：H)將要做什么；I）需要什么資源；J)誰將負責；K)何時完成；而且L)如何評價結(jié)果。信息安全目標：根據(jù)公司的信息安全方針，經(jīng)過最高管理者確認，公司的信息安全管理目標為：1.客戶針對信息安全事件的投訴每年不超過1次2.重要信息設(shè)備丟失每年不超過1起3.機密和絕密信息泄漏事件每年不超過1次4.大規(guī)模病毒爆發(fā)每年不超過1次信息安全管理小組根據(jù)《適用性聲明》、《信息資產(chǎn)風險評估表》中風險處理計劃所選擇的控制措施，明確控制措施改進時間表。對于各部門信息安全目標的完成情況，按照《信息安全目標及有效性測量程序》的要求，周期性在主責部門對各控制措施的目標進行測量，并記錄測量的結(jié)果。通過定期的內(nèi)審、控制措施目標測量及管理評審活動評價公司信息安全目標的完成情況。6.3變更計劃6.3.1變更時機的確定本公司應(yīng)特別關(guān)注外部情況的動態(tài)變化，包括技術(shù)、市場、競爭或法律法規(guī)環(huán)境發(fā)生重大變化的征兆或早期跡象。當外部環(huán)境（包括：國家/行業(yè)/地方/法律法規(guī)、技術(shù)、競爭、文化、社會、經(jīng)濟和自然環(huán)境方面等）和內(nèi)部環(huán)境發(fā)生重大變化時，本公司應(yīng)對變更進行策劃，對變更前、變更中、變更后全過程加以控制。6.3.2變更的實施當本公司確定需要對信息安全管理體系進行變更時，變更應(yīng)按所策劃的方式實施，組織應(yīng)考慮：a）變更目的及其潛在后果（變更可能帶來好的結(jié)果，也可能帶來風險和挑戰(zhàn)，進行變更策劃時應(yīng)充分考慮）；b）信息安全管理體系的完整性（如工藝發(fā)生變更后，工藝文件要發(fā)生變更，對工人也需培訓新的工藝文件，這些均需充分考慮，以保持體系完整）；c）資源的可獲得性（體系變更后，關(guān)鍵是資源能否滿足動態(tài)的要求）；d）職責和權(quán)限的分配或再分配。7．支持7.1資源提供公司領(lǐng)導層應(yīng)確保提供以下方面所需的資源1）實施、保持管理體系并持續(xù)改進其有效性所需的各種資源；2）滿足客戶要求，提高客戶滿意度所需的各種資源。編制了《人力資源控制程序》，公司根據(jù)人員的學歷、技能和經(jīng)驗，組織面向全員的信息安全意識培訓及面向特定人員的專業(yè)IT技能培訓，確保其能勝任工作。7.2信息安全能力管理結(jié)合當前信息安全管理認證范圍，依據(jù)《人力資源控制程序》對員工信息安全能力管理主要從以下幾方面出發(fā)來實現(xiàn)：1）影響信息安全執(zhí)行工作的人員崗位，在崗位設(shè)立時應(yīng)明確信息安全能力的要求，并在招聘時嚴格把關(guān)（例如學歷教育、能力測試等）；2）確保人員在適當教育、培訓和經(jīng)驗的基礎(chǔ)上能夠勝任工作；在人員調(diào)崗時，應(yīng)考慮相關(guān)人員信息安全能力的確定和培養(yǎng)。3）保留培訓記錄作為能力培養(yǎng)的證據(jù)。本公司還確保所有相關(guān)人員意識到其所從事的信息安全活動的相關(guān)性和重要性，以及如何為實現(xiàn)信息安全管理體系目標做出貢獻7.3意識對公司全體人員通過培訓、學習、宣傳等方式提高人員信息安全意識，需了解到：a）信息安全方針；b）他們對信息安全管理體系有效性的貢獻，包括提高信息安全績效的收益；c）不符合信息安全管理體系要求所帶來的影響，。7.4溝通公司需通過適當?shù)氖侄伪３衷趦?nèi)部和外部在信息安全要求進行有效的溝通。包括獲取外部信息安全專家的建議、信息安全政府行政主管部門的聯(lián)系及識別顧客對信息安全的要求等，溝通方式在《信息安全溝通管理程序》進行規(guī)定。7.5文檔化信息7.5.1總則本公司信息安全管理體系文件包括：a）文件化的信息安全方針，在《信息安全管理手冊》中描述，選擇的控制目標在《適用性聲明SOA》中描述：b）《信息安全管理手冊》（本手冊，包括信息安全適用范圍及引用的標準）；IS0/IEC27001:2022準中規(guī)定需文件化的程序；c)d)本手冊涉及的相關(guān)支持性程序性文件，例如《風險評估與管理程序》；為確保有效策劃、運作和控制信息安全過程所制定的文件化操作程序；e)f）《風險處理計劃》以及信息安全管理體系要求的記錄類：相關(guān)的法律、法規(guī)和信息安全標準；g)h）《適用性聲明SOA》。7.5.2創(chuàng)建和更新信息安全管理小組按《文件控制程序》的要求，對信息安全管理體系所要求的文件進行管理。對《信息安全管理手冊》、程序文件、管理規(guī)定、作業(yè)指導書和為保證信息安全管理體系有效策劃、運行和控制所需的受控文件的編制、評審、批準、標識、發(fā)放、使用、修訂、作廢、回收等工作實施控制，以確保在使用場所能夠及時獲得適用文件的有效版本。文件的創(chuàng)建和更新應(yīng)確保：a）識別或描述文件時需包含標題、日期、作者、編號等b）文件格式可以是表、單、卡、臺帳、記錄本、報告、紀要、證、圖等多種適用的形式，可以是書面的或電子媒體的。c）文件發(fā)布前得到批準，以確保文件是充分的；d）必要時對文件進行評審、更新并再次批準：7.5.3文檔化信息的控制文件控制應(yīng)保證：a）確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別：b確保在使用時，可獲得相關(guān)文件的最新版本：c）確保文件可以為需要者所獲得，并根據(jù)適用于他們類別的程序進行標識、保護、檢索、轉(zhuǎn)移、存儲和最終的銷毀；確保外來文件得到識別：d)e）確保文件的分發(fā)得到控制：f）防止作廢文件的非預(yù)期使用：g）若因任何目的需保留作廢文件時，應(yīng)對其進行適當?shù)臉俗R。7.5.3.1外來文件管理外來文件包括信息安全法律、行政法規(guī)、部門規(guī)章、地方法規(guī)，按以下規(guī)定執(zhí)行：a）信息安全適用的法律法規(guī)按照《信息安全法律法規(guī)管理程序》規(guī)定執(zhí)行b）外來的文件按照《文件控制程序》和其他相關(guān)規(guī)定執(zhí)行；c）外來標準按本公司標準化管理的相關(guān)規(guī)定進行。8運行8.1運行計劃及控制為確保信息安全管理體系有效實施，對已識別的風險進行有效處理，本公司開展以下活動：a）形成《信息安全風險處理計劃》，以確定適當?shù)墓芾泶胧?、職責及安全控制措施的?yōu)先級；b）為實現(xiàn)已確定的安全目標、實施《信息安全風險處理計劃》，明確各崗位的信息安全職責；c）實施所選擇的控制措施，以實現(xiàn)控制目標的要求；d）確定如何測量所選擇的控制措施的有效性，并規(guī)定這些測量措施如何用于評估控制的有效性以得出可比較的、可重復(fù)的結(jié)果：對運行過程中發(fā)生的非計劃的變更進行規(guī)劃，以減輕不良的影響。e8.2信息安全風險評估信息安全管理小組每年應(yīng)組織對信息安全風險重新評估一次，以適應(yīng)信息資產(chǎn)的變化，確定是否存在新的風險及是否需要增加新的控制措施。信息安全管理小組組織有關(guān)部門按照《信風險評估與管理程序》的要求，對風險處理后的殘余風險進行定期評審，以驗證殘余風險是否達到可接受的水平，對以下方面變更情況應(yīng)及時進行風險評估：a）組織；b）技術(shù)；業(yè)務(wù)目標和過程；c)已識別的威脅；d)實施控制的有效性；e)外部事件，例如法律或規(guī)章環(huán)境的變化、合同責任的變化以及社會環(huán)境的變化。f8.3信息安全風險處置公司需保留信息安全風險處理計劃的執(zhí)行結(jié)果的文檔化的記錄。9績效評價9.1監(jiān)視、測量、分析和評價本公司通過實施不定期安全檢查、內(nèi)部審核、事故報告調(diào)查處理、電子監(jiān)控、定期技術(shù)檢查等控制措施并報告結(jié)果以實現(xiàn)：a）及時發(fā)現(xiàn)處理結(jié)果中的錯誤、信息安全管理體系的事故和隱患；b）及時了解識別失敗的和成功的安全破壞和事件、信息處理系統(tǒng)遭受的各類攻擊；c）使管理者確認人工或自動執(zhí)行的安全活動達到預(yù)期的結(jié)果：d)使管理者掌握信息安全活動和解決安全破壞所采取的措施是否有效；e）積累信息安全方面的經(jīng)驗。9.2內(nèi)部審核9.2.1總則要求本公司信息安全管理小組按《內(nèi)部審核管理程序》的要求策劃和實施信息安全管理體系內(nèi)部審核以及報告結(jié)果和保持記錄。活動本公司每年進行壹次信息安全管理體系內(nèi)部審核，以確定其信息安全管理體系的控制目標、控制措施、過程和程序是否：a）符合本標準的要求和相關(guān)法律法規(guī)的要求；b）符合已識別的信息安全要求；c）得到有效地實施和維護；d）按預(yù)期執(zhí)行。9.2.2內(nèi)審策劃信息安全管理小組策劃審核的過程、區(qū)域的狀況、重要性以及以往審核的結(jié)果，對審核工作進行策劃。應(yīng)編制《年度內(nèi)審計劃》，確定審核的準則、范圍、頻次和方法。每次審核前，信息安全管理小組應(yīng)編制《內(nèi)部審核計劃》，確定審核的準則、范圍、日程和審核組。審核員的選擇和審核的實施應(yīng)確保審核過程的客觀性和公正性。審核員不應(yīng)審核自己的工作?！秲?nèi)部審核計劃》，經(jīng)管理者代表批準，提前3天通知被審核部門，被審核部門到時應(yīng)選派有關(guān)人員配合審核，9.2.3內(nèi)審員內(nèi)部審核員必須是熟悉本公司信息安全管理情況，參加內(nèi)部審核員培訓并考核合格的人員。內(nèi)部審核員應(yīng)來自于不同的部門，審核人員應(yīng)與被審活動無直接責任，以保持工作的獨立性。各部門選擇符合內(nèi)部審核員條件的候選人，參加內(nèi)部審核員培訓并考試合格，填寫《內(nèi)部審核員評定表》，經(jīng)管理者代表批準，方取得內(nèi)部審核員資格。9.2.4內(nèi)審實施活動應(yīng)按審核計劃的要求實施審核，包括：a）進行首次會議，明確審核的目的和范圍，采用的方法和程序；實施現(xiàn)場審核，檢查相關(guān)文件、記錄和憑證，與相關(guān)人員進行交流，填寫審核發(fā)b)現(xiàn)；c）對檢查內(nèi)容進行分析，對審核發(fā)現(xiàn)的問題在《不符合項報告及糾正報告單》中開出不符合項：d）審核組長編制《內(nèi)部審核報告》。不符合處理對審核中提出的不符合項，責任部門應(yīng)制定糾正措施，由信息安全管理小組對糾正措施的實施情況進行跟蹤、驗證，將結(jié)果記入《不符合項報告及糾正報告單》。記錄內(nèi)部審核記錄由信息安全管理小組保存，并作為管理評審的輸入之一。9.3管理評審總經(jīng)理應(yīng)每年進行一次管理評審，以確保信息安全管理體系持續(xù)的適宜性、充分性和有效性，管理評審按《管理評審程序》進行。管理評審應(yīng)包括評價信息安全管理體系改進的機會和變更的需要，包括信息安全方針和信息安全目標。管理評審的結(jié)果應(yīng)清晰地形成文件，記錄應(yīng)加以保持。管理評審應(yīng)考慮：a）以往管理評審的跟蹤措施任何可能影響信息安全管理體系的變更；b)c）不符合項和糾正措施的狀況；d）有效性測量的結(jié)果；e)信息安全管理體系審核和評審的結(jié)果；f）信息安全目標的實現(xiàn)情況：相關(guān)方的反饋：g）h）風險評估的結(jié)果和風險處置的狀態(tài)；i）改進的機會和建議。10改進10.1持續(xù)改進本公司依據(jù)《持續(xù)改進控制程序》的要求，通過使用信息安全方針、信息安全目標、審核結(jié)果、監(jiān)控事件的分析、糾正和預(yù)防措施以及管理評審，持續(xù)改進信息安全管理體系的適宜性，充分性和有效性。我公司開展以下活動，以確保信息安全管理體系的持續(xù)改進：a）實施每年管理評審、內(nèi)部審核、安全檢查等活動以確定需改進的項目：b）按照本手冊的要求采取適當?shù)募m正和預(yù)防措施；吸取其他組織及本公司安全事故的經(jīng)驗教訓，不斷改進安全措施的有效性；c）通過適當?shù)氖侄伪３衷趦?nèi)部對信息安全措施的執(zhí)行情況與結(jié)果進行有效的溝通包括獲取外部信息安全專家的建議、信息安全政府行政主管部門的聯(lián)系及識別顧客對信息安全的要求等；d）對信息安全目標及分解進行適當?shù)墓芾恚_保改進達到預(yù)期的效果。10.2不符合及糾正措施本公司信息安全管理小組管理糾正措施，不符合事項的責任部門負責采取糾正措施以消除與信息安全管理體系要求不符合的原因，以防止再發(fā)生。糾正措施的實施按《持續(xù)改進控制程序》進行。糾正措施的制定和實施程序如下：識別信息安全事件及不符合；a)b)確定信息安全事件及不符合的原因；確定是否存在類似的不符合和發(fā)生的可能；c評價確保不符合不再發(fā)生的措施要求；d)e)確定和實施所需的糾正措施；f記錄所采取措施的結(jié)果：g）評審所采取的糾正措施，我公司信息安全管理小組定期組織進行風險評估，以識別變化的風險，并通過關(guān)注變化顯著的風險來識別糾正措施要求。糾正措施的優(yōu)先級應(yīng)基于風險評估結(jié)果來確定附錄1組織架構(gòu)圖綜合部總經(jīng)理程部管理者代表市場部附錄2職能分配表部門要素4.1了解組織及其環(huán)境4.2理解相關(guān)方的需求和期望部門4.3確定信息安全管理體系的范圍4.4信息安全管理體系5.1領(lǐng)導作用和承諾5.2方針5.3組織角色和權(quán)限6.1應(yīng)對風險和機遇的措施6.2信息安全目標及其實現(xiàn)的策劃7.1資源7.2能力7.3意識7.4溝通7.5文件化信息8.1運行計劃與控制8.2信息安全風險評估8.3信息安全風險處置9.1監(jiān)視、測量、分析和評價9.2內(nèi)部審核9.3管理評審10.1持續(xù)改進10.2不符合及糾正措施A5.1信息安全策略A5.2信息安全的角色和責任總經(jīng)理信息安全管理小組工程部綜合部市場部A5.3職責分離A5.4管理層責任A5.5與職能機構(gòu)的聯(lián)系A(chǔ)5.6與特定相關(guān)方的聯(lián)系A(chǔ)5.7威脅情報A5.8項目管理中的信息安全A5.9信息和其他相關(guān)資產(chǎn)的清單A5.10信息和其他相關(guān)資產(chǎn)的可接受的使用A5.11資產(chǎn)返還A5.12信息分類A5.13信息標簽A5.14信息傳遞A5.15訪問控制A5.16身份管理A5.17鑒別信息A5.18訪問權(quán)限A5.19供應(yīng)商關(guān)系中的信息安全A5.20解決供應(yīng)商協(xié)議中的信息安全問題A5.21管理ICT供應(yīng)鏈中的信息安全A5.22供應(yīng)商服務(wù)的監(jiān)控、審查和變更管理A5.23使用云服務(wù)的信息安全A5.24規(guī)劃和準備管理信息安全事故A5.25信息安全事件的評估和決策A5.26應(yīng)對信息安全事故A5.27從信息安全事故中吸取教訓A5.28收集證據(jù)A5.29中斷期間的信息安全AAAAAAA5.30關(guān)于業(yè)務(wù)連續(xù)性的ICT準備A5.31法律、法規(guī)、監(jiān)管和合同A5.32知識產(chǎn)權(quán)A5.33記錄保護A5.34PII隱私和保護A5.35信息安全獨立審查A5.36信息安全策略、規(guī)則和標準的遵從性A5.37文件化的操作程序A6人員控制A6.1篩選A6.2雇傭條款和條件A6.3信息安全意識、教育和培訓A6.4紀律程序A6.5雇傭關(guān)系終止或變更后的責任A6.6保密或不披露協(xié)議A6.7遠程工作A6.8報告信息安全事件A7物理控制A7.1物理安全邊界A7.2物理入口A7.3保護辦公室、房間和設(shè)施A7.4物理安全監(jiān)控A7.5抵御物理和環(huán)境威肋A7.6在安全區(qū)域工作A7.7桌面清理和屏幕清理A7.8設(shè)備安置和保護A7.9場外資產(chǎn)的安全A7.10存儲介質(zhì)A7.11支持性設(shè)施A44A7.12布線安全A7.13設(shè)備維護A7.14設(shè)備的安全作廢或再利用A8技術(shù)控制A8.1用戶終端設(shè)備A8.2特殊訪問權(quán)A8.3信息訪問約束A8.4獲取源代碼A8.5安全身份認證A8.6容量管理A8.7防范惡意軟件A8.8技術(shù)漏洞的管理A8.9配置管理A8.10信息刪除A8.11數(shù)據(jù)遮蓋A8.12防止數(shù)據(jù)泄漏A8.13信息備份A8.14信息處理設(shè)備的穴余A8.15日志A8.16活動監(jiān)測A8.17時鐘同步A8.18特權(quán)實用程序的使用A8.19在操作系統(tǒng)上安裝軟件A8.20網(wǎng)絡(luò)安全A8.21網(wǎng)絡(luò)服務(wù)的安全性A8.22網(wǎng)絡(luò)隔離A8.23網(wǎng)站過濾A8.24密碼學的使用A8.25安全開發(fā)生命周期A8.26應(yīng)用程序安全要求A8.27安全系統(tǒng)架構(gòu)和工程原理A8.28安全編碼A8.29開發(fā)和驗收中的安全性測試A8.30外包開發(fā)A8.31開發(fā)、測試和生產(chǎn)環(huán)境的分離A8.32變更管理A8.33測試信息A8.34審計測試期間信息系統(tǒng)的保護附錄3信息安全職責信息安全管理小組：不適用1）負責公司的整體信息安全管理工作，負責公司信息資產(chǎn)的安全；2）工程部是信息安全主管機構(gòu)、與各部門的溝通和交流，負責有關(guān)信息安全工作的落實和推行，并負責報告本公司有關(guān)信息安全狀況和重要事件；3）負責協(xié)調(diào)公司內(nèi)部信息安全工作，分配信息安全管理目標、職責，并支持和推動信息安全工作在公司范圍內(nèi)的實施；4）負責對與信息安全管理有關(guān)的重大事項進行決策，包括安全組織機構(gòu)調(diào)整、信息安全關(guān)鍵人事變動、以及信息安全管理重大策略變更、確認可接受的風險和風險水平等；5）負責對信息安全管理體系進行內(nèi)部評審和管理評審，審批和發(fā)布信息安全方針、信息安全規(guī)范及管理辦法以及與信息安全管理相關(guān)的重大事項；6）負責制定和實施與信息安全相關(guān)的獎懲措施和安全績效考核體系；7）評審與監(jiān)督重大信息安全事故的處理；8）對內(nèi)部評審整改意見承擔最終責任?？偨?jīng)理：1）負責信息安全方針制度、修訂及宣告。建立信息安全系統(tǒng)組織，整合各部門信息安全系統(tǒng)業(yè)務(wù)。2各項信息安全系統(tǒng)督導。3）4）主持管理評審會議。5）督導信息安全管理體系運作及目標制定。信息安全管理活動推行及考核以確保信息安全方針及控制目標有效達成。6）制定經(jīng)營目標，提示工作重點。78）人力資源分配，干部選任、調(diào)派、晉升及效率審查。有關(guān)管理制度及規(guī)章的研制、審查及推行。9）10）將公司信息安全控制目標轉(zhuǎn)換成具體可行的實施計劃，11）協(xié)助各部門改善并提升經(jīng)營質(zhì)量。管理者代表：1）負責建立、實施、保持和改進信息安全管理體系，保證信息安全體系的有效運行；2）負責公司信息安全管理手冊的審核，程序文件的批準，組織并領(lǐng)導公司內(nèi)部審核工作；3）負責向總經(jīng)理報告信息安全體系運行的業(yè)績和任何改進的需求；4）負責就信息安全管理體系有關(guān)事宜的對外聯(lián)絡(luò)。各部門的信息安全主管領(lǐng)導：1）部門的信息安全主管領(lǐng)導由本部門經(jīng)理擔任；2）負責協(xié)助信息安全工作小組建立本部門信息安全管理制度和流程：3）部門的信息安全主管領(lǐng)導系本部門信息安全管理責任人，負責本部門的信息安全管理工作，負責保護本部門所擁有和管理的信息資產(chǎn)的安全；4）負責采取有效辦法，落實和推動信息安全政策的實施：5）負責指導和要求本部門員工遵守信息安全政策；6）對違反安全政策的行為進行內(nèi)部處罰；7）落實針對本部門的糾正措施（包括內(nèi)部審核整改意見）和預(yù)防措施。部門信息安全工作小組成員：1）負責本部門日常的具體信息安全工作，并參加信息安全管理工作小組所要求的各項活動；2）負責按照ISMS體系的要求，對本部門所擁有和管理的信息資產(chǎn)進行維護，包括資產(chǎn)的識別和分類、資產(chǎn)的威脅和脆弱性識別及安全需求級別確定等工作；3）負責根據(jù)ISMS安全政策要求，在本部門提高員工安全意識，落實責任，保護信息資產(chǎn)的安全，并確保已建立的安全控制措施持續(xù)有效；4）負責向信息安全管理工作小組組長報告信息安全事件和違反信息安全政策的行為，協(xié)助對違反安全政策的行為進行調(diào)查；5）協(xié)助信息安全管理工作小組組長和本部門信息安全主管領(lǐng)導落實針對本部門的糾正措施（包括內(nèi)部審核整改意見）和預(yù)防措施。內(nèi)部員工：1）嚴格遵守所有與信息安全相關(guān)的國家法律、法規(guī)和政策，遵守公司所有的信息安全政策，并簽字承諾遵守保密協(xié)議的有關(guān)規(guī)定；2）以安全負責的方式使用公司的信息資產(chǎn)：3）積極參加信息安全教育與培訓，提高信息安全意識；4）有責任將違反信息安全政策的事件與行為及時報告給本部門信息安全管理員及其他相關(guān)人員。行政部：我公司信息安全管理體系的歸口管理部門。1）負責管理體系的建立、實施、保持、測量和改進。2）負責文件控制、記錄控制、內(nèi)部審核的組織、管理評審的組織和體系的改進。3）負責本公司保密工作的管理，4）負責安全區(qū)域的管理。5）負責涉密信息上網(wǎng)、涉密計算機運行、檢修、報廢的監(jiān)督管理。6）對信息安全日常工作實施動態(tài)考核，將信息安全管理作為企業(yè)管理的重要工作內(nèi)容。7）參與涉密及司法介入的信息安全事件的調(diào)查。8）負責公司人員安全管理，包括人員聘用管理，保密協(xié)議簽署，員工的能力、意識和培訓，員工離職管理。行政部（財務(wù)室）：1）負責公司的稅收，工資發(fā)放，公司財務(wù)預(yù)算中的信息安全管理。2）負責公司財務(wù)報表的編制。3）負責對重大項目和經(jīng)營活動實施評估、測算、分析工作，確定其成本、收益和風險，為管理層在企業(yè)的生產(chǎn)經(jīng)營、業(yè)務(wù)發(fā)展等事提供財務(wù)方面的分析和決策依據(jù)4）負責公司預(yù)算決算管理。5）負責新產(chǎn)品的成本核算，為新產(chǎn)品的研發(fā)工作提供支持。6）組織辦理各項資產(chǎn)的報廢、盤虧、毀損的核銷報批工作。7）負責公司的采購及供應(yīng)商的管理中的信息安全管理。工程部：1）公司的信息系統(tǒng)安全管理部門。2）負責局域網(wǎng)上所承擔的各類信息系統(tǒng)的管理職能。3）負責我公司信息系統(tǒng)安全日常管理。4）負責技術(shù)管理過程的信息安全管理。5）負責對影響我公司業(yè)務(wù)連續(xù)性的信息系統(tǒng)隱患進行管理。6）負責對公司在經(jīng)營過程中產(chǎn)生的數(shù)據(jù)進行備份和保護。7）負責公司服務(wù)器的運行維護和管理8）負責對公司網(wǎng)絡(luò)設(shè)備進行定期維護。9）負責對用戶訪問網(wǎng)絡(luò)實施授權(quán)管理，防止非授權(quán)用戶非法入侵公司信息系統(tǒng)。10）負責對網(wǎng)絡(luò)的運行情況進行監(jiān)控。11）負責對網(wǎng)絡(luò)設(shè)備的嚴格控制，以及網(wǎng)絡(luò)服務(wù)的管理。12）負責本部門職責范圍內(nèi)的信息安全管理體系運行工作。13）負責軟件開發(fā)、維護工作。14）負責公司的技術(shù)支持。15）用戶服務(wù)SLA響應(yīng)、處理、時效性檢查。16）軟件安裝過程中的信息安全管理。市場部：1）開拓客戶，簽訂合同，完善銷售業(yè)務(wù)中的信息安全管理。2）擴展公司在客戶中的影響力，提升市場份額中的信息安全管理。3）加強與顧客的溝通和聯(lián)系，及時處理顧客提出的要求，定期對重要顧客做滿意度調(diào)查、測量和分析，及時把顧客的意見向公司領(lǐng)導和相關(guān)部門匯報，采取必要措施，改進不足，確保顧客滿意度不斷提高。4）負責公司產(chǎn)品支持中的信息安全管理。5）負責職責范圍內(nèi)的信息安全管理體系運行工作。(完整版)信息安全手冊--第1頁XXXXXXXX有限公司信息安全管理手冊目錄1目的.2范圍3總體安全目標..信息安全5信息安全組織..5.1信息安全組織.5.2信息安全職責.5.3信息安全操作流程.6信息資產(chǎn)分類與控制...6.1信息資產(chǎn)所有人責任.6.1.1信息資產(chǎn)分類..6.1.2信息資產(chǎn)密級.6.2信息資產(chǎn)的標識和處理..7人員的安全管理...7.1聘用條款和保密協(xié)議7.1.1聘用條款中員工的信息安全責任7.1.2商業(yè)秘密，7.2人員背景審查..7.2.1審查流程..7.2.2員工背景調(diào)查表.7.3員工培訓..7.3.1培訓周期..7.3.2培訓效果檢查7..4人員離職...7.4.1離職人員信息交接流程..．違規(guī)處理..7.5.1信息安全違規(guī)級別.7.5.2信息安全違規(guī)處理流程7.5.3違規(guī)事件處理流程圖.8物理安全策略.8.1場地安全...8.1.1FBI受控區(qū)域的劃分，8.1.1.1受控區(qū)域級別劃分+++..++++-..++++..++8.1.1.2重要區(qū)域及受控區(qū)域管理責任劃分..8.1.1.3物理隔離...8..2出入控制.8.3名詞解釋.8.1.4人員管理..8.1.4.1人員進出管理流程8.1.4.1.1公司員工.8.1.4.1.2來訪人員8.1.5卡證管理規(guī)定未經(jīng)許可，不得擴散(完整版)信息安全手冊--第2頁文件密級：內(nèi)部公開+..++++-.++++-10...10..1011123.1314141415..15.15151617.17.18.18..18...19191919.19202328.1.5.1卡證分類8.1.5.2卡證申請.8.1.5.3卡證權(quán)限管理8.2設(shè)備安全...8.2.1設(shè)備安全規(guī)定..8.2.2設(shè)備進出管理流程.8.2..2..1設(shè)備進場.8.2.2.2設(shè)備出場8.2.3BBB辦公設(shè)備進出管理流程8.2.3.1設(shè)備進場8.2.3.2設(shè)備出場..8.2.4特殊存儲設(shè)備介質(zhì)管理規(guī)定8.2.5FBI場地設(shè)備加封規(guī)定.8.2.6FBI場地設(shè)備報修處理流程9IT安全管理.9.1網(wǎng)絡(luò)安全管理規(guī)定...9.2系統(tǒng)安全管理規(guī)定..9.3病毒處理管理流程.9.4權(quán)限管理9.4.1權(quán)限管理規(guī)定..9.4.2配置管理規(guī)定.9.4.3員工權(quán)限矩陣圖.9.5數(shù)據(jù)傳輸規(guī)定..9.6業(yè)務(wù)連續(xù)性...9.7FBI機房、實驗室管理，9.7.1門禁系統(tǒng)管理規(guī)定，9.7.2服務(wù)器管理規(guī)定7.3網(wǎng)絡(luò)管理規(guī)定..9.7.4監(jiān)控管理規(guī)定..9.7.5其它管理規(guī)定10信息安全事件和風險處理...10.1信息安全事件調(diào)查流程..10.1.1信息安全事件的分類10.1.2信息安全事件的分級10.1.3安全事件調(diào)查流程10.1.3.1一級安全事件處理流程10.1.3.2二級安全事件處理流程10.1.3.3三級安全事件處理流程.10.1.4信息安全事件的統(tǒng)計分析和審計11檢查、監(jiān)控和審計11.1檢查規(guī)定..1...2監(jiān)控11.2.1視頻監(jiān)控11.2.2系統(tǒng)、網(wǎng)絡(luò)監(jiān)控，+++++..++++AAAAA.未經(jīng)許可，不得擴散(完整版)信息安全手冊--第3頁文件密級：內(nèi)部公開.23.232424.2426..27.28.28..29.3031.31.31..31...++++++-..+++..2.3233.3333·35.36.36.37..37...37.38..3838.3939..39.39.40..40.1..42424343..43.4344311.3審計11.3.1審計規(guī)定11.3.2審計內(nèi)容12獎勵與處罰.12.1獎勵..12.1.1獎勵等級.12.2處罰..12.2.1處罰等級一級處罰.常見一級處罰..二級處罰……常見二級處罰。三級處罰常見三級處罰.四級處罰常見四級處罰..(完整版)信息安全手冊--第4頁未經(jīng)許可，不得擴散文件密級：內(nèi)部公開..46...4646464647..47..474747..4848.4848.49..491目的文件密級：內(nèi)部公開為了規(guī)范和明確XXXXXXXX有限公司業(yè)務(wù)發(fā)展的信息安全管理方面的總體要求，特制定本規(guī)定確保我司BBB項目符合BBB信息安全管理要求；有效保護雙方利益和和信息資產(chǎn)安全，特制定此規(guī)定，2范圍本規(guī)定適用于XXXXXXXX有限公司各部門及全體員工。3總體安全目標建立符合要求的信息安全管理體系，確保離岸外包項目運作中的信息安全，防止公司及客戶的技術(shù)秘密、商業(yè)秘密的泄露，保障公司外包業(yè)務(wù)的順利發(fā)展。4信息安全信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，信息服務(wù)不被中斷。5信息安全組織5.1信息安全組織為了響應(yīng)公司外包業(yè)務(wù)的離岸政策、適應(yīng)外包業(yè)務(wù)發(fā)展方向、使業(yè)務(wù)能夠順利回遷，建立符合公司及客戶要求的信息安全管理體系，保證業(yè)務(wù)離岸后的順利開展，本著尊重知識產(chǎn)權(quán)、維護公司、客戶的商業(yè)利益、為客戶的業(yè)務(wù)開展提供最安全的保障服務(wù)。經(jīng)公司研究決定成立信息安全管理組，各地域或場地可參照成立信息安全小組。未經(jīng)許可，不得擴散(完整版)信息安全手冊--第5頁HE關(guān)鍵崗位審查員服務(wù)器管理員系統(tǒng)安全管理員IT專員IT安全管理員網(wǎng)絡(luò)管理員網(wǎng)絡(luò)安全管理員5.2信息安全職責PMO經(jīng)理信息安全主任信息安全專員行政助理機要員桌面支持工程師PC安全管理員行政部安全崗文件密級：內(nèi)部公開行政部卡政管理員研發(fā)部門部門執(zhí)行主任PDU項目組安全員信息安全主任：根據(jù)公司信息安全要求及業(yè)務(wù)發(fā)展需求，對信息安全相關(guān)事務(wù)進行支持、決策，確保外包項目的信息安全，對所承接的BBB外包服務(wù)業(yè)務(wù)的信息安全負責。信息安全專員：建立信息安全組織，作為信息安全管理人員負責建立和維護ISMS（InformationSecurityManagementSystem信息安全管理體系）負責組織信息安全管理規(guī)定、標準和流程的制定、推行、檢查和安全事件調(diào)查工作。機要員：主要負責執(zhí)行信息安全制度中規(guī)定的及信息安全專員的指令，一個地域只有一個機要員，通常重要區(qū)域的鑰匙、密碼、門禁卡由其負責保管，所有物品出入FBI場地必須由機要員進行確認檢查，并做好相關(guān)的記錄。安全崗：執(zhí)行信息安全制度中規(guī)定的及信息安全專員的指令，根據(jù)信息安全制度的相關(guān)規(guī)定，執(zhí)行檢查、登記出入FBI場地人員及攜帶的物品，負責維護責任區(qū)域的安全。當有人員及人員攜帶物品強行出入FBI場地的時候，安全崗人員必須立即制止。IT專員：主要負責執(zhí)行信息安全制度中規(guī)定的及信息安全專員的指令，協(xié)助信息安全機要員做好信息安全方面的技術(shù)工作，F(xiàn)BI場地的機房網(wǎng)絡(luò)、內(nèi)外郵箱的設(shè)置，設(shè)備出場的數(shù)據(jù)處理，進場設(shè)備的存儲、端口的處理，信息安全技術(shù)工作方面的改進、優(yōu)化?？ㄗC專員：主要執(zhí)行規(guī)范公司員工及外來人員的出入卡證發(fā)放和門禁系統(tǒng)授權(quán)管理工作。根據(jù)信息安全制度的相關(guān)規(guī)定，結(jié)合卡證管理流程及權(quán)限，對卡證管理實行員工工卡、臨時工卡、來賓卡的識別、確認、登記、門禁授權(quán)、編碼、歸類、注銷等管理流程工作的實現(xiàn)。o未經(jīng)許可，不得擴散(完整版)信息安全手冊--第6頁文件密級：內(nèi)部公開部門執(zhí)行主任：主要負責本部門下屬的各項目組在FBI場地信息安全管理工作，并任命項目組中的具體信息安全執(zhí)行負責人，配合信息安全管理工作組的工作做好日常的信息安全管理及定期信息安全的檢查、監(jiān)控和審計工作。對部門下屬成員的信息安全違規(guī)、舉報行為執(zhí)行信息安全管理工作組規(guī)定的獎勵和處罰。項目組信息安全員：主要負責本項目組內(nèi)人員及設(shè)備的信息安全管理工作，配合信息安全管理工作組的工作做好日常的信息安全管理及定期信息安全的檢查、監(jiān)控和審計工作。對部門下屬成員的信息安全違規(guī)、舉報行為執(zhí)行信息安全管理工作組規(guī)定的獎勵和處罰。5.3信息安全操作流程分為：規(guī)劃、執(zhí)行、檢查、改進四個階段，每個階段都有明確的參與和執(zhí)行責任人。計劃組織信息安全需求和期望約定改進分別說明如下：-Plan-建立ISMS·Action維護和改進ISMS-Do-實施和運作ISMS-check-監(jiān)控和評審ISMS實施管理狀態(tài)下的信息安全檢查規(guī)劃：根據(jù)公司信息安全原則和業(yè)務(wù)發(fā)展的需求，信息安全管理工作組全體成員討論并制定詳細的管理流程。一般情況下由需求部門向信息安全專員提出需求，并由信息安全專員召集信息安全管理工作組的機要員、IT專員及需求申請部門人員進行需求的討論并給出解決方案，方案確定后由信息安全管理工作組主任進行審核、簽發(fā)。未經(jīng)許可，不得擴散(完整版)信息安全手冊--第7頁文件密級：內(nèi)部公開執(zhí)行：所有簽發(fā)的管理方案都必須嚴格執(zhí)行起來，一般情況下由需求部門、個人向信息安全專員提出申請，按照申請流程中規(guī)定進行操作，涉及到由申請者直接上級和部門領(lǐng)導審批同意，之后交由信息安全專員進行審核。審核后由機要員、IT專員、卡證專員進行具體的操作和處理，安全崗執(zhí)行人員要看到完整的流程審批以后才可以進行放行和記錄。檢查：信息安全管理工作組全體成員定期會對FBI場地內(nèi)的物理隔離、門禁權(quán)限、辦公設(shè)備、機房設(shè)備、FBI實驗室設(shè)備、監(jiān)控記錄及歷史存檔記錄會同業(yè)務(wù)部門的信息安全執(zhí)行主任進行檢查和審計。并將結(jié)果以報告的形式匯報給信息安全管理工作組主任。對發(fā)現(xiàn)信息安全方面的違規(guī)問題由信息安全專員以書面的形式向分公司進行發(fā)文進行通報。改進：原有管理方案不能繼續(xù)滿足業(yè)務(wù)發(fā)展需求時，由業(yè)務(wù)部門向信息安全專員提出申請，信息安全專員召集信息安全管理工作組的全體成員及需求部門進行管理方案的改進評審會議。在檢查中發(fā)現(xiàn)有信息安全漏洞的，由信息安全專員召集信息安全管理工作組的全體成員及需求部門進行管理方案的改進評審。最終由信息安全主任進行審核、簽發(fā)。6信息資產(chǎn)分類與控制為了規(guī)范文檔的保密制度，明確信息資產(chǎn)所有人責任、信息密級的劃分，信息資產(chǎn)的識別。公司所有文檔，無論是電子件或紙件，必須標有文件密級。文檔密級應(yīng)出現(xiàn)在文檔頁眉的醒目位置，頁腳應(yīng)出現(xiàn)”未經(jīng)許可，不得擴散”的字樣。信息是一種資產(chǎn)，像其它重要的業(yè)務(wù)資產(chǎn)一樣，對公司具有價值，因此需要妥善保護。6.1信息資產(chǎn)管理6.1.1信息資產(chǎn)分類數(shù)據(jù)與文檔：數(shù)據(jù)庫和數(shù)據(jù)文件、系統(tǒng)文件、用戶手冊、培訓材料、運行與支持程序、業(yè)務(wù)持續(xù)性計劃、應(yīng)急安排。書面文件：合同、指南、企業(yè)文件、包含重要業(yè)務(wù)結(jié)果的文件。軟件資產(chǎn)：應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和實用程序。物理資產(chǎn)：計算機、網(wǎng)絡(luò)設(shè)備、磁介質(zhì)（磁盤與磁帶）未經(jīng)許可，不得擴散(完整版)信息安全手冊--第8頁86.1.2信息資產(chǎn)密級文件密級：內(nèi)部公開秘密：是指一般的公司秘密，一旦泄露會使公司和客戶的安全和利益受到一定的危害和損失內(nèi)部公開：公司各部門、項目組內(nèi)部員工不受限制查閱的信息，未經(jīng)授權(quán)不得隨意外傳6.2信息資產(chǎn)的標識和處理6.2.1落實資產(chǎn)責任：為公司的資產(chǎn)提供適當?shù)谋Ｗo，為所有信息財產(chǎn)確定所有人，并且為維護適當?shù)墓芾泶胧┒峙湄熑??？梢晕蓤?zhí)行這些管理計劃的責任。被提名的資產(chǎn)所有者應(yīng)當承擔保護資產(chǎn)的責任。6.2.2控制措施一資產(chǎn)的清單：列出并維持一份與每個信息系統(tǒng)有關(guān)的所有重要資產(chǎn)的清單。在信息安全體系范圍內(nèi)為資產(chǎn)編制清單是一項重要工作，每項資產(chǎn)都應(yīng)該清晰定義，合理估價，在組織中明確資產(chǎn)所有權(quán)關(guān)系，進行安全分類，并以文件方式詳細記錄在案。6.2.3具體措施包括：公司可根據(jù)業(yè)務(wù)運作流程和信息系統(tǒng)基礎(chǔ)架構(gòu)識別出信息資產(chǎn)，按照信息資產(chǎn)所屬系統(tǒng)或所在部門列出資產(chǎn)清單，將每項資產(chǎn)的名稱、所處位置、價值、資產(chǎn)負責人等相關(guān)信息記錄在資產(chǎn)清單上；根據(jù)資產(chǎn)的相對價值大小來確定關(guān)鍵信息資產(chǎn)，并對其進行風險評估以確定適當?shù)目刂拼胧粚γ恳豁椥畔①Y產(chǎn)，組織的管理者應(yīng)指定專人負責其使用和保護，防止資產(chǎn)被盜、丟失與濫用：定期對信息資產(chǎn)進行清查盤點，確保資產(chǎn)賬物相符和完好無損，6.2.4信息的分類：確保信息資產(chǎn)得到適當程度的保護應(yīng)當將信息分類，指出其安全保護的具體要求、優(yōu)先級和保護程度。不同信息有不同的敏感性和重要性。有的信息資產(chǎn)可能需要額外保護或者特殊處理。應(yīng)當采用信息分類系統(tǒng)來定義適當?shù)陌踩Ｗo等級范圍，并傳達特殊處理措施的需要。6.2.5控制措施一信息資產(chǎn)分類原則：信息的分類及相關(guān)的保護控制，應(yīng)適合于公司運營對于信息分享或限制的需要，以及這些需要對企業(yè)營運所帶來的影響。信息的分類和相關(guān)保護措施應(yīng)當綜合考慮到信息共享和信息限制的業(yè)務(wù)需要，還要考慮對業(yè)務(wù)的影響，例如對信息未經(jīng)授權(quán)的訪問或者對信息的破壞。一般說來，信息分類是一種處理和保護該信息的簡捷方法。信息分類時要注意以下幾點：信息的分類等級要合理、信息的保密期限、誰對信息的分類負責。6.2.6控制措施一信息的標識與處理：應(yīng)當制定信息標識及處理的程序，以符合公司所采用的分類法則。為信息標識和處理定義一個符合組織分類標準的處理程序是非常重要的。這些程序要涵蓋實物形式和電子形式的信息。對于每種分類，應(yīng)當包含以下信息處理活動的程序：復(fù)制、存儲、通過郵局、傳真和電子郵件的信息發(fā)送、通過口頭語言的信息傳遞，包括通過移動電話、語音郵件和錄音電話傳送的信未經(jīng)許可，不得擴散(完整版)信息安全手冊--第9頁9文件密級：內(nèi)部公開息、銷毀。對于那些含有被劃定為敏感或者重要信息的應(yīng)用系統(tǒng)，其輸出應(yīng)當帶有適當?shù)姆诸悩俗R。該標識應(yīng)當反映根據(jù)組織規(guī)則而建立的分類。需要考慮的項目包括打印的報告、屏幕顯示、存儲介質(zhì)（磁帶、磁盤、CD、卡式盒帶）、電子消息和文檔傳輸、7人員的安全管理7.1聘用條款和保密協(xié)議（公司員工保密協(xié)摘錄）7.1.1聘用條款中員工的信息安全責任7.1.1.1知識產(chǎn)權(quán)：7.1.1.1.17.1.1.1.27.1.1.1.37.1.1.1.47.1.1.1.5知識產(chǎn)權(quán)是指根據(jù)法律法規(guī)有關(guān)規(guī)定或根據(jù)甲方與第三方簽署的協(xié)議由甲方所有、使用、支配、提供、擁有或者將要擁有的一切智力勞動成果，包括但不限于專利權(quán)、商標權(quán)、著作權(quán)、軟件、企業(yè)名稱、企業(yè)標記（Logo）、域名、網(wǎng)站、數(shù)據(jù)庫、經(jīng)營或開發(fā)成果、商譽、職務(wù)技術(shù)成果等。乙方承諾在與甲方的勞動合同關(guān)系存續(xù)期間及期滿后不對甲方的知識產(chǎn)權(quán)進行貶低、歪曲、破壞或者任何其它損害。在勞動合同有效期內(nèi)乙方應(yīng)努力維護、提高甲方知識產(chǎn)權(quán)的價值。乙方承諾，未經(jīng)甲方書面同意，不將第一條所提及的技術(shù)成果、作品、軟件、專利等用作商業(yè)目的或者許可他人用于商業(yè)目的。乙方在與甲方的勞動合同存續(xù)期間，及在勞動合同關(guān)系終止后二年內(nèi)，所有主要是利用在XXXXX的工作時間或利用XXXXX或派駐合作方的物質(zhì)技術(shù)條件所完成的，一切與甲方業(yè)務(wù)、產(chǎn)品、程序與服務(wù)有關(guān)的技術(shù)成果，包括但不限于發(fā)現(xiàn)、發(fā)明、思路、概念、過程產(chǎn)品、方法和改進或其一部分，不論是否可以或已經(jīng)受到知識產(chǎn)權(quán)法律保護，不論以何種形式存在，均為職務(wù)技術(shù)成果，其所產(chǎn)生的所有權(quán)利包括知識產(chǎn)權(quán)歸甲方、甲方合作方單獨或共同所有。未經(jīng)甲方書面許可不得以乙方和/或其它任何第三方的名義申請專利或者版權(quán)登記。乙方在結(jié)束與甲方的勞動合同關(guān)系一年內(nèi)，若有繼續(xù)完成與在甲方工作期間所擔任的課題或分配的任務(wù)有關(guān)而取得的技未成果，仍屬于申方或派駐合作方所有。未經(jīng)許可，不得擴散(完整版)信息安全手冊--第10頁107.1.1.1.67.1.1.1.77.1.1.1.8文件密級：內(nèi)部公開對于甲方實施、轉(zhuǎn)讓、許可他人使用職務(wù)技術(shù)成果或者將職務(wù)技術(shù)成果投入其它商業(yè)用途而引起的收益或者損失，乙方不提出任何權(quán)利主張也不承擔任何責任。但由于乙方職務(wù)技術(shù)成果固有的缺陷或者乙方在實施該職務(wù)技術(shù)成果的失誤造成的損害，乙方應(yīng)承擔責任。乙方承認所有在與甲方勞動關(guān)系存續(xù)期間產(chǎn)生或者接觸到的甲方提供的或通過甲方獲取的有關(guān)資料及其它信息載體都屬于甲方所有，未經(jīng)甲方書面許可，不得向任何第三方提及、出示及傳播。乙方承諾不向他人談?wù)摷追缴形磳ν夤嫉臉I(yè)務(wù)和技術(shù)發(fā)展動態(tài)。乙方承諾不設(shè)法獲取非本人工作所需的甲方保密的技術(shù)資料、技術(shù)文件和客戶檔案材料以及非本人工作所需的甲方內(nèi)部及對外的商業(yè)文件。乙方進一步承諾不利用甲方的客戶及渠道為自已或他人謀求利益。7.1.2商業(yè)秘密7.1.2.17.1.2.27.1.2.37.1.2.47.1.2.57.1.2.67.1.2.77.1.2.87.1.2.9符合法律法規(guī)有關(guān)規(guī)定或根據(jù)甲方與第三方簽署的協(xié)議由甲方所有、使用、支配、提供的具有商業(yè)價值的，非公知的并由甲方采取了保密措施的所有技術(shù)信息和/或經(jīng)營信息甲方在開發(fā)、銷售各類計算機軟件產(chǎn)品以及為各類軟件產(chǎn)品提供技術(shù)支持、信息咨詢服務(wù)及培訓的過程中，或是接受指派為本協(xié)議所面向的派駐合作方提供外包服務(wù)期間，本方和合作方所獨有的機密、專有技術(shù)及商業(yè)秘密性質(zhì)的情報均簡稱為“商業(yè)秘密”甲方的商業(yè)秘密包括但不限于檔案資料、技術(shù)資料、市場銷售資料、財務(wù)信息資料以及：甲方及派駐合作方開發(fā)或銷售的所有軟件，以及與此類軟件有關(guān)的文檔：包括程序的源編碼、目標碼部分、視聽部分、人工或機器可讀形式程序部分，還包括圖表、流程圖、樣圖、草圖、技術(shù)說明、設(shè)計圖數(shù)據(jù)教材、有關(guān)病毒的報告及客戶資料甲方的業(yè)務(wù)計劃、產(chǎn)品開發(fā)計劃、財務(wù)情況、內(nèi)部業(yè)務(wù)規(guī)程和客戶名單等信息；以及正在開發(fā)或構(gòu)思之中的商業(yè)思想、業(yè)務(wù)和技術(shù)發(fā)展動態(tài)、系統(tǒng)安全機制與實現(xiàn)等方面的信息、數(shù)據(jù)以及計算機數(shù)據(jù)庫、資料、源程序、目標程序、計算機軟件等：甲方現(xiàn)有的以及正在開發(fā)或者構(gòu)思之中的服務(wù)項目的信息和資料：甲方現(xiàn)有的或者正在開發(fā)之中的質(zhì)量管理方法、定價方法、銷售方法等方法；甲方應(yīng)對第三方負有保密責任的所有第三方的機密信息；甲方的股東資料、投資背景等以及其它被甲方標明或聲明為秘密的信息。未經(jīng)許可，不得擴散(完整版)信息安全手冊--第11頁117.1.2.107.1.2.117.1.2.12文件密級：內(nèi)部公開乙方承諾在與甲方的勞動合同關(guān)系存續(xù)期間以及解除后二年內(nèi)，保守甲方商業(yè)秘密，未經(jīng)申方書面許可，不向任何第三方以任何明示或者暗示的方式透露，包括與商業(yè)秘密無關(guān)的其它甲方雇員在內(nèi)。乙方承諾不設(shè)法獲取非其工作所必需的任何形式的甲方的商業(yè)秘密，并不得利用與甲方工作關(guān)系為自身謀求利益。除用于甲方安排或者委托的工作之外，乙方不得將商業(yè)秘密信息用于其它任何目的。在使用完畢之后，乙方應(yīng)立即向甲方交還或者按照甲方的要求銷毀商業(yè)秘密的載體，包括但不限于文件、磁盤、光盤、計算機內(nèi)存等。乙方只能在因工作需要必須使用的情況下提供給其它可靠的員工，并應(yīng)事先與其簽署與本協(xié)議充分相似的保密協(xié)議，提供程度僅限于可執(zhí)行一定的商業(yè)目的。并保證這些員工應(yīng)遵守本協(xié)議中約定的義務(wù)，不在無甲方及派駐合作方許可的前提下，向第三方（包顧問）透漏這些秘密信息，并應(yīng)約束其接觸本保密信息的員工遵守保密義務(wù)。7.1.2.13如為合作的目的確實需要向第三方披露甲方及派駐合作方的保密信息，需事先得到甲方及派駐合作方的書面許可，并與該第三方簽訂相應(yīng)的保密協(xié)議。7.1.2.147.1.2.157.1.2.167.1.2.177.1.2.17如果乙方根據(jù)法律程序或行政要求必須披露“商業(yè)秘密”，應(yīng)事先通知甲方及派駐合作方，并協(xié)助公司采取必要的保護措施，防止或限制保密信息的進一步擴散。乙方應(yīng)按照甲方要求對商業(yè)秘密或其載體進行妥善地保管、存儲、加密、回收、銷毀等，未經(jīng)甲方許可或非因工作需要，乙方不得將商業(yè)秘密信息或其載體帶出甲方住所。在與甲方的勞動合同關(guān)系中止、終止或解除時，乙方應(yīng)將所有包含、代表、顯示、記錄或者組成商業(yè)秘密的原件及拷貝，包括但不限于裝置、記錄、數(shù)據(jù)、筆記、報告、建議書、名單、信件、規(guī)格、圖紙、設(shè)備、材料、磁盤、光盤等，歸還甲方。員工在簽署勞動合同以后必須簽署保密協(xié)議員工職位晉升為PL、PM、SE等關(guān)鍵崗位，業(yè)務(wù)技能達到公司及BBB公司認可的三級及以上級別的，都必須與BBB公司簽署保密協(xié)議，各方都應(yīng)切實遵守保密協(xié)議中約定的保密義務(wù)。7.2人員背景審查目的：保障三級及以上工作崗位人員所掌握的信息安全。未經(jīng)許可，不得擴散(完整版)信息安全手冊--第12頁127.2.1審查流程7.2.1.17.2.1.27.2.1.3文件密級：內(nèi)部公開員工再進入三級及以上工作崗位時，由人力資源部和用人部門共同開展對人員背景的調(diào)查。具體調(diào)查內(nèi)容：身份審查、學歷審查、工作履歷審查、信用度審查、職業(yè)道德審查、職業(yè)背景審查、忠誠度審查。審查標準：審查的資料完整性、真實性，審核身份證原件、畢業(yè)證原件、各種技能職稱原件的真實性，是否相互吻合。2員工背景調(diào)查表7.2.2人員背景調(diào)查表基本信息被調(diào)查者姓名身份證號碼出生日期身份驗證被調(diào)查者的身份內(nèi)容身份證號碼年齡戶口所在地驗證來源：學歷驗證被調(diào)查者提供信息學校名稱學習時間所學專業(yè)證明人/機構(gòu)：專業(yè)資格驗證被調(diào)查者的身份內(nèi)容認證機構(gòu)獲得認證時間認證內(nèi)容證明人/機構(gòu)：工作履歷驗證被調(diào)查者的身份內(nèi)容雇主公司名稱雇主公司注冊地雇傭時間職務(wù)名稱完整版信息安全手冊--第13頁未經(jīng)許可，不得擴散性別戶口所在地年齡真實性說明是（）否（）是（）否（）是（）否（）真實性是（）否（）是（）否（）是（）否（）職位：真實性是（）否（）是（）否（）是（）否（）真實性是（）否（)）是（）否（）是（）否（）是（）否（）說明說明說明13直接上司職務(wù)被調(diào)查者是否與貴公司有勞動爭議被調(diào)查者是否存在信息安全違紀違規(guī)行為證明人：7.3員工培訓職務(wù)：是（）否（）是（）否（）是（）否（）調(diào)查時間：目的：宣傳、普及信息安全制度，增強員工的信息安全意識。培訓對象：新員工、在職員工培訓方式：授課+考核7.3.1培訓周期文件密級：內(nèi)部公開7.3.1.1新員工：所有部門新員工在入職當天由人力資源培訓部組織信息安全制度培訓，培訓簽到表歸檔。培訓結(jié)束后在一周之內(nèi)組織信息安全考試，考試及格線為23分（25分制），并將考試簽到表、考試成績進行歸檔。7.3.1.2在職員工：所有部門在職員工每半年組織一次信息安全培訓，培訓簽到表歸檔。培訓結(jié)束后在一周之內(nèi)組織信息安全考試，考試及格線為23分（25分制），并將考試簽到表、考試成績進行歸檔。7.3.2培訓效果檢查7.3.2.17.3.2.2定期以業(yè)務(wù)部門、項目組為單位進行信息安全知識檢查，對檢查結(jié)果低于90%的部門、團隊進行再次的全員覆蓋培訓并組織考試，對培訓簽到表、考試簽到表、考試成績歸檔并通知部門主管。不定期對FBI場地內(nèi)的研發(fā)人員進行信息安全知識的抽檢，對抽查成績低于23分（25分制）的員工組織培訓并考試，對培訓簽到表、考試簽到表、考試成績歸檔并通知業(yè)務(wù)部門直接領(lǐng)導和部門主管。未經(jīng)許可，不得擴散(完整版)信息安全手冊--第14頁147.4人員離職目的：保證離職人員不帶走公司任何信息資產(chǎn)。7.4.1離職人員信息交接流程7.4.1.17.4.1.27.4.1.37.4.1.47.4.1.57.4.1.67.4.1.7員工離職前，公司與離職員工簽署離職保密承諾。文件密級：內(nèi)部公開員工離職前公司將收回所有的工作資料的紙件、電子件及員工擁有的相關(guān)信息系統(tǒng)和資源的訪問使用權(quán)限。員工離職前收回員工門禁磁卡及工作證。員工在其離職兩年內(nèi)仍要按照進公司時簽訂的合同，承擔下列保密責任，否則將承擔違約的民事或刑事責任。不帶走從公司獲取的任何資料，包括但不限于記載的紙件或電子件上的文檔、文件、圖表、目錄，存儲于磁盤、光盤上的軟件、程序等，離職后兩年內(nèi)不得到與XXX公司或與客戶公司有競爭關(guān)系的公司從事與在XXX公司工作期間工作性質(zhì)相同或者相似的工作。未經(jīng)XXX公司書面同意，不向任何單位和個人透露或使用在公司就職期間獲得的商業(yè)秘密，包括技術(shù)秘密、商務(wù)秘密、財務(wù)秘密、管理秘密以及其它經(jīng)營秘密。7.5違規(guī)處理目的：建立正式的違規(guī)處理流程，對違反信息安全管理規(guī)定的員工進行相應(yīng)處理。7.5.1信息安全違規(guī)級別對于觸犯國家法律的，公司將移交國家司法機關(guān)依法處理。此外，則根據(jù)違規(guī)行為的后果、性質(zhì)以及違規(guī)人的主觀意愿，將違規(guī)行為分為如下四個等級：一級：有意盜竊、泄露公司保密信息，或有意違反信息安全管理規(guī)定，性質(zhì)嚴重造成重大損失。二級：有意違反信息安全管理規(guī)定，性質(zhì)嚴重或造成損失。三級：無意違反信息安全管理規(guī)定，造成公司損失；或者有意違反信息安全管理規(guī)定，但性質(zhì)不嚴重且沒有造成嚴重損失。未經(jīng)許可，不得擴散(完整版)信息安全手冊--第15頁15四級：違反信息安全管理規(guī)定，性質(zhì)較輕，沒有造成公司損失。7.5.2信息安全違規(guī)處理流程信息安全違規(guī)處理流程V1.0任務(wù)名稱事故定級組織信息安全工組會議執(zhí)行解決措施總結(jié)報告與預(yù)防措施程序人物、程序、重點及標準業(yè)務(wù)部門發(fā)生信息安全事故以后，項目組信息安全員應(yīng)在第一時間向信息安全專員進行匯報信息安全工作組核實情況后，對事故進行定級信息安全主任對事故級別審核BBB信管辦對事故級別審核重點對所發(fā)生的事故進行定級標準定級及時、準確程序信息安全專員組織事故部門召開臨時會議信息安全專員組織信息安全工作組召開臨時會議事故報BBB信管辦信息安全小組研究制定具體事故的解決措施事故解決措施報信息安全主任審批重點組織信息安全工作組召開臨時會議，制定具體事故的解決措施標準組織信息安全工作組召開臨時會議，措施合理程序事故解決措施審批通過后，由信息安全專員組織落實事故部門負責落實執(zhí)行，信息安全小組配合重點信息安全小組制定措施的落實標準措施落實及時、全面、準確程序事故發(fā)生部門將執(zhí)行結(jié)果反饋到信息安全小組信息安全專員輸出事故總結(jié)報告，并修訂事故預(yù)防措施事故總結(jié)報告、事故預(yù)防措施報信息安全主任審核事故總結(jié)報告、事故預(yù)防措施報BBB信管辦審核信息安全工作組將事故總結(jié)存檔未經(jīng)許可，不得擴散(完整版)信息安全手冊--第16頁文件密級：內(nèi)部公開時限即時1個工作日1個工作日1個工作日1個工作日1個工作日1個工作日2個工作日根據(jù)實際情況隨時1個工作日3個工作日1個工作日1個工作日即時相關(guān)資料1、參考國家相關(guān)法律公司人事制度2、3、公司信息安全制度1、公司信息安全制度2、事故調(diào)查報告1、公司信息安全制度2、公司人事制度1、公司信息安全制度2、事故調(diào)查報告16重點信息安全小組輸出事故總結(jié)報告，并修訂事故預(yù)防措施標準總結(jié)報告真實、客觀、全面預(yù)防措施及時、合理、可行7.5.3違規(guī)事件處理流程圖開始發(fā)生事放事故定級審報組織會議8物理安全策略8.1場地安全目的：明確公司FBI各工作區(qū)域的安全級別。參加會議未經(jīng)許可，不得擴散(完整版)信息安全手冊--第17頁文件密級：內(nèi)部公開研究制定處理方案組織執(zhí)行執(zhí)行處理結(jié)果反饋總結(jié)報告存檔記錄結(jié)束178.1.1FBI受控區(qū)域的劃分8.1.1.1受控區(qū)域級別劃分一級：FBI出入通道FBI研發(fā)區(qū)FBI實驗室IT機房公司后門二級：培訓室會議室三級：茶水間洗手間8.1.1.2重要區(qū)域及受控區(qū)域管理責任劃分公司前門：前臺負責管理。FBI出入通道：安全崗負責管理。FBI實驗室：實驗室管理員負責管理。IT機房：機房管理員負責管理。公司后門：信息安全工作組負責管理。FBI研發(fā)區(qū)：各項目組負責管理。FBI場內(nèi)會議室：使用者負責管理。培訓室：使用者負責管理。8.1.1.3物理隔離文件密級：內(nèi)部公開FBI研發(fā)區(qū)（包括FBI的辦公區(qū)、實驗室、會議室）與其它辦公區(qū)域進行了物理隔離。IT機房與其它辦公區(qū)域進行物理隔離。未經(jīng)許可，不得擴散(完整版)信息安全手冊--第18頁188.1.2出入控制文件密級：內(nèi)部公開安全崗負責FBI出入口的日常管理，對出入人員身份及設(shè)備的合法性進行識別和檢查。公司前門、FBI出入口、IT機房、FBI實驗室、公司后門都安裝有CCTV監(jiān)控系統(tǒng)，對受控區(qū)域進行360度無死角監(jiān)控，所有監(jiān)控記錄必須保存一個月以上。所有在公司FBI工作人員都必須刷卡出入，IT機房、FBI實驗室采取最小授權(quán)策略，未授權(quán)人員不得私自進入。所有進入FBI及受控區(qū)域的都必須進行申請，申請通過以后由卡證專員進行門禁卡的授權(quán)和發(fā)放，禁止未得到授權(quán)人員私自出入FBI及FBI內(nèi)的受控區(qū)域。所有在FBI研發(fā)區(qū)辦公人員都必須正確佩戴具有員工合法身份識別的公司工作證，未佩戴人員不得進入FBI。FBI出入口設(shè)置有特殊存儲設(shè)備禁止私自帶入的標識牌。因工作需要進入FBI的外來人員必須進行嚴格的申請、登記，審批通過后方可進入，接待人員必須全程陪同。未經(jīng)批準，禁止在FBI研發(fā)區(qū)及FB受控區(qū)域進行攝像、拍照、錄音。8.1.3名詞解釋8.1.4人員管理8.1.4.1人員進出管理流程8.1.4.1.1公司員工FBI研發(fā)區(qū)辦公人員需要刷門禁卡進出，且每人每次按順序刷卡進出，嚴禁一人刷卡多8.1.4.1.1.1人同時進出。FBI研發(fā)區(qū)辦公人員若未帶授權(quán)門禁卡進