ISO 27040-2015 信息技術(shù)安全技術(shù)存儲(chǔ)安全程序文件一整套

程序文件受控狀態(tài)：深圳市XX數(shù)字科技有限公司發(fā)布發(fā)布日期：2023-4-3實(shí)施日期：編寫部門劉海燕變更記錄變更說(shuō)明審核編寫部門劉海燕.人力資源管理程序文件控制程序記錄控制程序存儲(chǔ)安全管理程序安全風(fēng)險(xiǎn)評(píng)估管理程序供應(yīng)商管理程序管理評(píng)審程序糾正措施控制程序內(nèi)部審核管理程序設(shè)備管理程序可移動(dòng)介質(zhì)管理程序編寫部門劉海燕法律法規(guī)與符合性評(píng)估程序數(shù)據(jù)操作管理程序網(wǎng)絡(luò)設(shè)備安全配置管理程序用戶訪問(wèn)控制程序重要信息備份管理程序資產(chǎn)密級(jí)管理程序惡意軟件管理程序數(shù)據(jù)清理管理程序存儲(chǔ)安全設(shè)計(jì)管理程序業(yè)務(wù)持續(xù)性管理程序信息分類管理程序信息安全獎(jiǎng)懲管理程序信息安全事件管理程序信息安全目標(biāo)測(cè)量控制程序的規(guī)定要求，對(duì)承擔(dān)存儲(chǔ)安全管理體系職責(zé)的人編寫部門劉海燕3.職責(zé)3.1綜合行政部3.2其他部門編寫部門劉海燕3.3總經(jīng)理4.任用前4.1安全角色與職責(zé)4.1.1綜合行政部負(fù)責(zé)組織編制和保存《崗位說(shuō)明書》,對(duì)本公司內(nèi)每個(gè)職位的《崗位說(shuō)明書》規(guī)定人員的角色4.1.2綜合行政部對(duì)員工下發(fā)《崗位說(shuō)明書》,保證員工對(duì)責(zé)任說(shuō)明的理解和接受。這個(gè)工作必須在員工上崗前4.1.3員工的職責(zé)發(fā)生變化時(shí)，綜合行政部要負(fù)責(zé)立即更新員工的《崗位說(shuō)明書》。綜合行政部應(yīng)負(fù)責(zé)保證更新的《崗位說(shuō)明書》確定的傳達(dá)給員工。這一工作必須在員工職責(zé)發(fā)生變化起1周內(nèi)完成。4.2人員選拔如果該職位是涉密職位，應(yīng)對(duì)應(yīng)聘者進(jìn)行背景調(diào)查。背景調(diào)查時(shí)應(yīng)考慮：個(gè)人和職業(yè)推薦信，身份，學(xué)歷和/或

檢查申請(qǐng)人的簡(jiǎn)歷是否完整及準(zhǔn)確；

確認(rèn)其聲明的學(xué)歷及職業(yè)資格是否真實(shí)；編寫部門劉海燕

獨(dú)立的身份檢查(身份證、護(hù)照或其它文件)。4.2.3各部門負(fù)責(zé)人可根據(jù)本部門對(duì)上崗員工的特殊要求，提出必要的附加調(diào)查內(nèi)容，并反饋給綜合行政部，以4.3任用條款和條件5.1存儲(chǔ)安全教育與培訓(xùn)5.1.1綜合行政部應(yīng)持續(xù)對(duì)新老員工進(jìn)行存儲(chǔ)安全意識(shí)與技能方面的培訓(xùn)，對(duì)員工的培訓(xùn)需要安排存儲(chǔ)安全方面1)本公司存儲(chǔ)安全方針、策略和安全控制措施；2)本公司管理的所有系統(tǒng)和服務(wù)的安全設(shè)計(jì)和操作；3)與員工崗位日常工作相關(guān)的安全問(wèn)題與措施；4)存儲(chǔ)安全獎(jiǎng)懲規(guī)定5)其他與存儲(chǔ)安全相關(guān)的知識(shí)與技能。6)對(duì)于課堂培訓(xùn)與自學(xué)的內(nèi)容可根據(jù)需要，安排進(jìn)行必要的考核，以評(píng)價(jià)員工的學(xué)習(xí)效果，同時(shí)也作為培5.1.2存儲(chǔ)安全小組及各部門的安全管理員可在不同的層面上對(duì)員工進(jìn)行安全意識(shí)與技能的培訓(xùn)，并通知綜合行編寫部門劉海燕5.2培訓(xùn)計(jì)劃的制定與審批5.2.1各部門向綜合行政部提出培訓(xùn)需求申請(qǐng)；新入職員工培訓(xùn)由綜合行政部發(fā)出入職培訓(xùn)通知，具體實(shí)施部門5.2.4培訓(xùn)計(jì)劃的內(nèi)容包括培訓(xùn)的目的，培訓(xùn)的對(duì)象、內(nèi)容、需求及要求，培訓(xùn)的形式，培訓(xùn)的時(shí)間安排。5.2.5培訓(xùn)結(jié)束后，對(duì)接收培訓(xùn)人員進(jìn)行培訓(xùn)考核，填寫培訓(xùn)考核記5.2.6培訓(xùn)考核后，綜合行政部進(jìn)行培訓(xùn)質(zhì)量評(píng)估，參加培訓(xùn)人員每個(gè)人填寫培訓(xùn)質(zhì)量評(píng)估表。5.3培訓(xùn)的目的2)違反相關(guān)要求所造成的后果；5)公司鼓勵(lì)員工參與信息安全管理，為實(shí)現(xiàn)存儲(chǔ)安全目標(biāo)做出貢獻(xiàn)。5.4培訓(xùn)的對(duì)象及內(nèi)容編寫部門劉海燕5.4.2新員工1)公司基礎(chǔ)教育：包括公司簡(jiǎn)介、公司相關(guān)制度、存儲(chǔ)安全方針和存儲(chǔ)安全目標(biāo)、存儲(chǔ)安全意識(shí)、相關(guān)法律法規(guī)、存儲(chǔ)安全管理體系標(biāo)準(zhǔn)基礎(chǔ)知識(shí)等的2)崗位技能培訓(xùn)：采取一幫一的方式，員工入職后，各部門負(fù)責(zé)人指定專人指導(dǎo)新員工進(jìn)行崗前的學(xué)習(xí)，5.4.3在崗人員：按培訓(xùn)計(jì)劃為在崗員工安排各類培訓(xùn)，包括技能類、素質(zhì)類和5.5培訓(xùn)的形式5.5.1培訓(xùn)：由公司內(nèi)、外部有專長(zhǎng)的人員就某一專題進(jìn)行講授5.5.2外部培訓(xùn)：由公司聘請(qǐng)外部專業(yè)人員到公司培訓(xùn)或公司員工報(bào)名去外部參5.6培訓(xùn)記錄5.6.1每次培訓(xùn)各相關(guān)部門應(yīng)記錄培訓(xùn)人員、時(shí)間、地點(diǎn)、教師、內(nèi)容等，培訓(xùn)后將有關(guān)記錄、試卷或考核記錄5.7紀(jì)律處理6.任用終止或變更編寫部門劉海燕6.1終止職責(zé)6.1.1綜合行政部門應(yīng)清晰規(guī)定和分配任用終止或變更的責(zé)任。終止職責(zé)應(yīng)包括必要的安全需求和法律職責(zé)，必6.1.2規(guī)定職責(zé)和義務(wù)在任用終止后仍然有效的內(nèi)容，應(yīng)當(dāng)在任用前就包含在員6.2資產(chǎn)歸還6.3撤銷訪問(wèn)權(quán)6.4后期管理6.4.1對(duì)于擔(dān)任重要崗位的員工辭職、解聘，公司應(yīng)在一定范圍內(nèi)發(fā)布相關(guān)解聘信息。6.4.2有關(guān)部門應(yīng)及時(shí)分析員工離職原因、認(rèn)清員工離職前兆，避免核心人員流失7.相關(guān)記錄《應(yīng)聘人員背景調(diào)查表》《員工保密協(xié)議書》編寫部門劉海燕1.0目的2.0范圍3.0工作職責(zé)3.1總經(jīng)理負(fù)責(zé)手冊(cè)、程序文件的批準(zhǔn)及頒布，并負(fù)責(zé)內(nèi)部管理文件的批準(zhǔn)。3.2存儲(chǔ)安全小組組長(zhǎng)負(fù)責(zé)存儲(chǔ)安全管理手冊(cè)、程序文件及公司管理文件的審核。3.3存儲(chǔ)安全小組負(fù)責(zé)存儲(chǔ)安全管理手冊(cè)及程序文件的編制3.4各部門負(fù)責(zé)本部門存儲(chǔ)安全管理體系程序文件、管理文件、作業(yè)文件的編制。3.5綜合行政部負(fù)責(zé)復(fù)印、發(fā)放、更改及管理，并負(fù)責(zé)公司文件、外來(lái)文件的保管工作。4.0程序4.1文件的構(gòu)成編寫部門劉海燕編寫部門劉海燕4.2存儲(chǔ)安全管理體系文件的編號(hào)———代表一級(jí)文件代表信息安全管理體系深圳市啟企數(shù)字科技有限公司4.2.2存儲(chǔ)安全管理體系程序文件的編號(hào)方法如下：X——代表年號(hào) 代表程序文件—代表信息安全管理體系深圳市啟企數(shù)字科技有限公司—代表年號(hào)代表程序文件編寫部門劉海燕4.2.4存儲(chǔ)安全記錄的編號(hào)方法如下： 代表順序號(hào)——代表信息安全記錄4.2.5文件的版本號(hào)說(shuō)明：4.3文件的編寫、審核、批準(zhǔn)a)存儲(chǔ)安全管理體系手冊(cè)、程序文件由存儲(chǔ)安全小組編寫，管代審核，總經(jīng)理批準(zhǔn)發(fā)布；b)各部門作業(yè)文件由各部門負(fù)責(zé)人組織編寫、匯總，由存儲(chǔ)安全小組組長(zhǎng)審核批準(zhǔn)。4.4文件的發(fā)放a)受控的所有文件的發(fā)放由綜合行政部建立<文件發(fā)放、回收、借閱、銷毀記錄表>,包括記編寫部門劉海燕4.5文件的受控狀態(tài)4.6文件的更改a)存儲(chǔ)安全管理手冊(cè)和程序文件由存儲(chǔ)安全小組組織更改，填寫<文件更改申請(qǐng)單>,經(jīng)存儲(chǔ)b)其他文件的更改由使用部門填寫<文件更改申請(qǐng)單>,經(jīng)原審批部門審批；再由各相應(yīng)部門c)具體更改方式由綜合行政部按<文件發(fā)放、回收、d)所有被換頁(yè)的原文件必須由相應(yīng)主管部門收回，以確保有效文件的唯一性。4.7外來(lái)文件的控制b)綜合行政部負(fù)責(zé)收集到有關(guān)國(guó)家、行業(yè)或國(guó)際標(biāo)準(zhǔn)的最新版本，加蓋受控印章，分發(fā)到相c)外來(lái)文件的發(fā)放方式按4.4執(zhí)行。4.8文件的作廢與銷毀a)所有失效或作廢文件由相關(guān)部門及時(shí)從所有發(fā)放或使用場(chǎng)所撤出，進(jìn)行登記，確保防止作b)由于某種原因需保留的任何已作廢的文件，都應(yīng)進(jìn)行適當(dāng)?shù)臉?biāo)識(shí)；c)對(duì)要銷毀的作廢文件，由相關(guān)部門填寫<文件發(fā)放、回收、借閱、銷毀記錄表>,經(jīng)存儲(chǔ)安編寫部門劉海燕4.9每年由存儲(chǔ)安全小組組織對(duì)現(xiàn)有存儲(chǔ)安全管理體系文件進(jìn)行評(píng)審，各部行適時(shí)評(píng)審，必要時(shí)予以修改，具體按4.6的有關(guān)規(guī)定實(shí)施。5.0支持性文件6.0記錄清單《文件更改申請(qǐng)單》《文件發(fā)放、回收記錄表》《文件借閱記錄表1.0目的2.0范圍3.0工作職責(zé)3.1綜合行政部負(fù)責(zé)存儲(chǔ)安全管理體系中的所有存儲(chǔ)安全記錄的歸口管理。3.2各部門負(fù)責(zé)本部門存儲(chǔ)安全記錄的編制、填寫、傳遞和保管。4.0程序4.1記錄的標(biāo)識(shí)編號(hào)4.2記錄清單的編制a)由綜合行政部負(fù)責(zé)編制《記錄清單》,規(guī)定記錄的保存期限；b)《記錄清單》制訂后報(bào)存儲(chǔ)安全小組組長(zhǎng)(存儲(chǔ)安全小組組長(zhǎng))批準(zhǔn)附于本程序之后。4.3記錄的填寫編寫部門劉海燕4.3.1記錄填寫要及時(shí)、真實(shí)、內(nèi)容完整、字跡清晰，不得隨意涂改，如因某種因素不能填寫的項(xiàng)目，應(yīng)將該項(xiàng)用單杠劃去，各相關(guān)欄目負(fù)責(zé)人簽名不允許空白。4.3.2如因筆誤或計(jì)算錯(cuò)誤要修改原記錄，應(yīng)采用單杠劃去原記錄，在其上方寫上更改后的記錄，加蓋或簽上更改人的印章或姓名及日期。各部門必須把所有記錄分類、依日期順序整理好，存放于通風(fēng)、干燥的地方，所有的記錄保持清潔，字跡清晰，各部門對(duì)本部門填寫的有關(guān)的記錄按月移交綜合行政部保存，綜合行政部按規(guī)定的期限保存記錄。綜合行政部對(duì)保存的記錄每年進(jìn)行一次檢查，對(duì)于超過(guò)保存期限的記錄參見(jiàn)《文件控制程序》4.8執(zhí)行。《文件控制程序》《記錄清單》1目的本文件旨確保所有存儲(chǔ)信息的可用性和性能、更高的數(shù)據(jù)保護(hù)和安全性、集中的審核以及滿足法規(guī)遵從性要求。編寫部門劉海燕3.2各責(zé)任部門：負(fù)責(zé)本部門各崗位依據(jù)信息存儲(chǔ)安全要求的實(shí)施。4相關(guān)文件《ISO27040-2015信息技術(shù).安全技術(shù).存儲(chǔ)技術(shù)標(biāo)準(zhǔn)》5定義6程序6.1存儲(chǔ)設(shè)備管理1)綜合行政部對(duì)所有跟存儲(chǔ)有關(guān)的設(shè)備包括電腦硬盤，U盤，移動(dòng)硬盤，筆記本電腦等進(jìn)行2)所有可移動(dòng)存儲(chǔ)設(shè)備必須進(jìn)行物理上保護(hù)：在不使用后必須存放在轉(zhuǎn)移存儲(chǔ)柜并上鎖保存編寫部門劉海燕6.2認(rèn)證和授權(quán)：A、所有用戶應(yīng)具有唯一標(biāo)識(shí)符(用戶ID),僅供個(gè)人使用；>強(qiáng)身份驗(yàn)證；>多因素身份驗(yàn)證，例如生物測(cè)定數(shù)據(jù)(如指紋驗(yàn)證、簽名驗(yàn)證)和硬件令牌(如智能卡)的使用。6.2.2授權(quán)●安全管理員：具有查看和修改權(quán)限，以建立和管理帳戶、創(chuàng)建和關(guān)聯(lián)角色/權(quán)限、審核日志配置和內(nèi)容(審核日志事件項(xiàng)永遠(yuǎn)不能更改)、與IT基礎(chǔ)結(jié)構(gòu)建立信任關(guān)系、管理證編寫部門劉海燕●安全審計(jì)員：此角色具有允許權(quán)限審查、安全參數(shù)和配置驗(yàn)證以及審核日志檢查的查看權(quán)●存儲(chǔ)審核員：類似于操作員的角色，具有允許驗(yàn)證存儲(chǔ)參數(shù)和配置以及檢查運(yùn)行狀況/故6.2保護(hù)管理接口1)存儲(chǔ)系統(tǒng)的物理接口包括：串行端口(如RS-232、DB9、DB25等)、局域網(wǎng)、調(diào)制解調(diào)器，用于數(shù)據(jù)路徑的技術(shù)(如光纖通道)等C、將用于管理的LAN接口與其他LAN通信量使用物理形式隔離，但至少應(yīng)使用邏輯隔離(如對(duì)簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)的支持以及處理帶內(nèi)管理(即通過(guò)數(shù)據(jù)路徑)的基于服務(wù)器的代理。編寫部門劉海燕A、使用防火墻和TCP包裝器將對(duì)管理網(wǎng)絡(luò)的訪問(wèn)限制為授權(quán)的系統(tǒng)和協(xié)議；B、使用FC-SP-2AUTH-A對(duì)執(zhí)行帶內(nèi)管理的實(shí)體進(jìn)行身份驗(yàn)證，D、使用具有適當(dāng)安全控制的ICT基礎(chǔ)設(shè)施；E、使用適當(dāng)?shù)奶貦?quán)用戶控件，包括身份驗(yàn)證、授權(quán)和安全審核/監(jiān)視；F、確保操作系統(tǒng)和應(yīng)用程序是最新的，并且對(duì)攻擊有足夠的防御能力。3)遠(yuǎn)程管理存儲(chǔ)系統(tǒng)時(shí)，應(yīng)使用以下附加安全措施A、對(duì)所有遠(yuǎn)程訪問(wèn)使用安全通道(虛擬專用網(wǎng)或VPN、TLS、安全外殼或SSH、超文本傳輸協(xié)議安全或HTTPS),采用強(qiáng)認(rèn)證或多因素認(rèn)證；B、將權(quán)限限制在所需的最小權(quán)限；6.3安全審計(jì)和監(jiān)控合規(guī)法規(guī)和合同條款通常包括監(jiān)測(cè)和報(bào)告要求，從存儲(chǔ)安全的角度來(lái)看，事件日志記錄和系統(tǒng)記帳是幫助解決安全審計(jì)和監(jiān)控需求的關(guān)鍵功能。《安全審計(jì)、會(huì)計(jì)和監(jiān)控安全策略》已明確要求如何實(shí)施安全審計(jì)和監(jiān)控活動(dòng)。6.4系統(tǒng)強(qiáng)化所有操作系統(tǒng)、虛擬機(jī)監(jiān)控程序和有關(guān)于存儲(chǔ)系統(tǒng)的應(yīng)用程序都必須定期進(jìn)行系統(tǒng)強(qiáng)化。具體實(shí)施策略參考《系統(tǒng)強(qiáng)化安全策略》編寫部門劉海燕《存儲(chǔ)設(shè)備、介質(zhì)清單》編寫部門劉海燕存儲(chǔ)安全小組成員擔(dān)任公司風(fēng)險(xiǎn)評(píng)估活動(dòng)。存儲(chǔ)安全小組每年至少一次，或當(dāng)體系、組織、業(yè)務(wù)、技術(shù)、環(huán)境、客戶、主要供應(yīng)商、法律法規(guī)等影響企業(yè)的重大事項(xiàng)發(fā)生變更、重大事故事件發(fā)生后，負(fù)責(zé)編制存儲(chǔ)安全風(fēng)險(xiǎn)評(píng)估計(jì)劃，確認(rèn)評(píng)估結(jié)果，形成《存儲(chǔ)安全風(fēng)險(xiǎn)評(píng)估報(bào)告》。各部門的存儲(chǔ)安全員負(fù)責(zé)本部門使用或管理的存儲(chǔ)資產(chǎn)的識(shí)別和風(fēng)險(xiǎn)評(píng)估，并負(fù)責(zé)本部門所涉及的存儲(chǔ)資產(chǎn)的具體安全控制工作。4.3.1存儲(chǔ)安全小組組長(zhǎng)：負(fù)責(zé)審核各部門的存儲(chǔ)資產(chǎn)識(shí)別。4.3.2存儲(chǔ)安全小組：負(fù)責(zé)匯總、校對(duì)全公司的存儲(chǔ)資產(chǎn)。4.3.3存儲(chǔ)安全小組：負(fù)責(zé)風(fēng)險(xiǎn)評(píng)估的策劃。4.3.4存儲(chǔ)安全小組：負(fù)責(zé)組織進(jìn)行第一次評(píng)估與定期的再評(píng)估。5程序編寫部門5.1風(fēng)險(xiǎn)評(píng)估前準(zhǔn)備5.2存儲(chǔ)資產(chǎn)的識(shí)別存儲(chǔ)資產(chǎn)1)數(shù)據(jù)：數(shù)據(jù)庫(kù)和數(shù)據(jù)文件、系統(tǒng)文件、用戶手冊(cè)、培訓(xùn)資料、操作與維護(hù)程序、知識(shí)產(chǎn)權(quán)、業(yè)務(wù)持續(xù)性計(jì)劃、應(yīng)急安排等。2)文件：合同、公司文件、人事記錄、財(cái)務(wù)記錄、采購(gòu)文件、發(fā)票等。3)軟件：應(yīng)用軟件、系統(tǒng)軟件、開(kāi)發(fā)工具和實(shí)用程序等。4)硬件：計(jì)算機(jī)、服務(wù)器、路由器、集線器、防火墻、通訊設(shè)備、其它技術(shù)設(shè)備(供電設(shè)備、空調(diào)設(shè)備)、辦公場(chǎng)所等。5)人員：?jiǎn)T工、客戶、合同工等。評(píng)估程序本評(píng)估應(yīng)考慮：范圍、目的、時(shí)間、效果、組織文化、人員素質(zhì)以及具體開(kāi)展的程度等因素來(lái)確定，使之能夠與組織的環(huán)境和安全要求相適應(yīng)。5.2.2資產(chǎn)屬性賦值識(shí)別資產(chǎn)并判斷資產(chǎn)重要性，建立《存儲(chǔ)資產(chǎn)清單》。資產(chǎn)重要性賦值應(yīng)考慮資產(chǎn)的使命、資產(chǎn)本身的價(jià)值、資產(chǎn)對(duì)于應(yīng)用系統(tǒng)的重要程度、業(yè)務(wù)系統(tǒng)對(duì)于資產(chǎn)的依賴程度、部署位置及其影響范圍等因素評(píng)估資產(chǎn)價(jià)值。在評(píng)估中，采用主資產(chǎn)+附屬資產(chǎn)的方法進(jìn)行資產(chǎn)賦值，即：硬件設(shè)備+安裝軟件+承載數(shù)據(jù)/業(yè)務(wù)；人員+業(yè)務(wù)系統(tǒng)權(quán)限+離職影響，對(duì)不同類型資產(chǎn)考慮其機(jī)密性、完整性和可用性安全要求，通過(guò)對(duì)資產(chǎn)三個(gè)安全要求的判定，取三者之中最大值，作為資產(chǎn)的最終重要程度。編寫部門劉海燕保密性賦值：12345完整性賦值：12345編寫部門劉海燕可用性賦值：12時(shí)間達(dá)到25%以上，或系統(tǒng)允許一次中斷時(shí)間小于60分鐘。3時(shí)間達(dá)到70%以上，或系統(tǒng)允許一次中斷時(shí)間小于30分鐘。4時(shí)間達(dá)到90%以上，或系統(tǒng)允許一次中斷時(shí)間小于10分鐘。5工作時(shí)間達(dá)到99%以上，或系統(tǒng)不允許中斷。5.3存儲(chǔ)資產(chǎn)風(fēng)險(xiǎn)評(píng)估/殘余風(fēng)險(xiǎn)評(píng)價(jià)的過(guò)程1.威脅識(shí)別威脅識(shí)別是指通過(guò)統(tǒng)計(jì)數(shù)據(jù)和經(jīng)驗(yàn)判斷來(lái)確定資產(chǎn)所面臨威脅的過(guò)程，需要根據(jù)資產(chǎn)運(yùn)行環(huán)境來(lái)確定所面臨的威脅來(lái)源。編寫部門劉海燕2.脆弱性識(shí)別屬性(機(jī)密性、可用性、完整性)的損害及影響程度評(píng)價(jià)對(duì)應(yīng)的影響級(jí)別。如表5-1和5-1所表5-1影響分析的定義(機(jī)密性和完整性)5資產(chǎn)嚴(yán)重或完全損害，例如，從外部可接觸，并影響業(yè)務(wù)利潤(rùn)或成敗4嚴(yán)重但對(duì)資產(chǎn)造成不完全損害，例如，影響業(yè)務(wù)利潤(rùn)或成敗，可從外部接觸到。3中等損壞或損失，例如影響內(nèi)部業(yè)務(wù)實(shí)施，導(dǎo)致運(yùn)作成本增加或利潤(rùn)減少編寫部門劉海燕2低損害或損失，例如，影響內(nèi)部業(yè)務(wù)實(shí)行，無(wú)法評(píng)定成本的增加1資產(chǎn)有輕微更改或無(wú)更改表5-2影響分析的定義(可用性)5停工實(shí)質(zhì)性支持成本或業(yè)務(wù)承諾被取消4工作中斷支持成本或業(yè)務(wù)承諾延遲可量化增長(zhǎng)3工作延遲定的業(yè)務(wù)影響2工作受干擾無(wú)可評(píng)定的影響，支持或基礎(chǔ)結(jié)構(gòu)成本有少量增加1由正常業(yè)務(wù)操作吸收對(duì)支持成本/工作效率或業(yè)務(wù)承諾無(wú)可評(píng)定的影響4.現(xiàn)有存儲(chǔ)安全措施識(shí)別編寫部門劉海燕6.可能性分析實(shí)可能性，可能性級(jí)別判斷準(zhǔn)則如5-3所示。表5-3可能性賦值準(zhǔn)則考慮社會(huì)上和其它組織的經(jīng)驗(yàn)，結(jié)合公司實(shí)際情況，已實(shí)施控制措施的有效性，威脅可頻繁利用脆弱性導(dǎo)致安全事件的發(fā)生，如每周發(fā)生考慮社會(huì)上和其它組織的經(jīng)驗(yàn)，結(jié)合公司實(shí)際情況，已實(shí)施控制措施的有效性，威脅可經(jīng)常利用脆弱性導(dǎo)致安全事件的發(fā)生，如每月發(fā)生考慮社會(huì)上和其它組織的經(jīng)驗(yàn)，結(jié)合公司實(shí)際情況，已實(shí)施控制措施的有效性，威脅可偶爾利用脆弱性導(dǎo)致安全事件的發(fā)生，如每年發(fā)生7.風(fēng)險(xiǎn)計(jì)算編寫部門劉海燕風(fēng)險(xiǎn)級(jí)別=資產(chǎn)賦值*組織影響級(jí)別*可能性級(jí)別8.風(fēng)險(xiǎn)評(píng)價(jià)公司將75個(gè)風(fēng)險(xiǎn)級(jí)別，重新映射為高、中、低3個(gè)風(fēng)險(xiǎn)度，以更有助于普通員工感性的理解。風(fēng)險(xiǎn)大小為48(含)以上時(shí)表示為高風(fēng)險(xiǎn)，18~48表示為中風(fēng)險(xiǎn)，18(不含)以下表示低，公風(fēng)險(xiǎn)大小高同時(shí)必須編制應(yīng)急計(jì)劃。中低如果被評(píng)估為低風(fēng)險(xiǎn)，可以接受，可需要持續(xù)觀察。9.風(fēng)險(xiǎn)接受等級(jí)下表表示：風(fēng)險(xiǎn)級(jí)別風(fēng)險(xiǎn)大小風(fēng)險(xiǎn)接受準(zhǔn)則A不可接受的風(fēng)險(xiǎn)。BC不需要評(píng)審即可接受的風(fēng)險(xiǎn)編寫部門劉海燕10.編制風(fēng)險(xiǎn)評(píng)估報(bào)告1)風(fēng)險(xiǎn)評(píng)估起止日期2)風(fēng)險(xiǎn)評(píng)估工作組組成3)風(fēng)險(xiǎn)評(píng)估范圍4)資產(chǎn)、風(fēng)險(xiǎn)和風(fēng)險(xiǎn)值排序表11.后續(xù)活動(dòng)1)針對(duì)可接受級(jí)別之上的風(fēng)險(xiǎn)，確定風(fēng)險(xiǎn)處理選項(xiàng)：c)風(fēng)險(xiǎn)規(guī)避：采取措施避免風(fēng)險(xiǎn)的發(fā)生；d)風(fēng)險(xiǎn)轉(zhuǎn)移：將相關(guān)業(yè)務(wù)風(fēng)險(xiǎn)轉(zhuǎn)移到其他方。2)為處理風(fēng)險(xiǎn)選擇控制目標(biāo)和控制措施a)選擇和實(shí)施控制目標(biāo)和控制措施，以滿足風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置過(guò)程中所識(shí)別的要求，b)可從ISO/IEC27001:2013標(biāo)準(zhǔn)附錄A中選擇適當(dāng)?shù)目刂颇繕?biāo)和控制措施，以滿足這c)ISO/IEC27001:2013標(biāo)準(zhǔn)附錄A所列的控制目標(biāo)和控制措施并不是所有的控制目標(biāo)3)為管理存儲(chǔ)安全風(fēng)險(xiǎn)識(shí)別適當(dāng)?shù)墓芾泶胧①Y源、職責(zé)和順序，制定風(fēng)險(xiǎn)處理計(jì)劃。編寫部門劉海燕12.記錄和匯總上述6個(gè)步驟需要形成相關(guān)的文件及記錄，考慮以下控制：(1)文件發(fā)布前得到批準(zhǔn)，以確保文件是充分的；(2)必要時(shí)對(duì)文件進(jìn)行評(píng)審、更新并再次批準(zhǔn)；(3)確保文件的更改和現(xiàn)行修訂狀態(tài)得到識(shí)別；(4)確保在使用時(shí)，可獲得有關(guān)版本的適用文件；(5)確保文件保持清晰、易于識(shí)別；(6)確保外來(lái)文件得到識(shí)別；(7)確保文件的分發(fā)得到適當(dāng)?shù)目刂疲?8)防止作廢文件的非預(yù)期使用，若因任何目的需保留作廢文件時(shí)，應(yīng)對(duì)這些文件進(jìn)行適當(dāng)7相關(guān)記錄>存儲(chǔ)資產(chǎn)清單>風(fēng)險(xiǎn)評(píng)估報(bào)告>風(fēng)險(xiǎn)處理計(jì)劃>殘余風(fēng)險(xiǎn)計(jì)算表>殘余風(fēng)險(xiǎn)評(píng)價(jià)報(bào)告編寫部門1文檔介紹2適用范圍3名詞定義3.1供應(yīng)商3.2服務(wù)方案3.3服務(wù)水平要求3.4服務(wù)評(píng)價(jià)編寫部門劉海燕是后續(xù)是否續(xù)簽合同的重要依據(jù)。4角色與職責(zé)4.1綜合行政部1)制定供應(yīng)商管理規(guī)范，綜合管理各供應(yīng)商；2)匯總《供應(yīng)商列表》;3)審批供應(yīng)商的合同或協(xié)議，以確保與供應(yīng)商簽訂的合同或協(xié)議滿足IT服務(wù)團(tuán)隊(duì)與客戶簽訂的服務(wù)承諾；4)負(fù)責(zé)與本項(xiàng)目的供應(yīng)商簽訂合同和協(xié)議，與供應(yīng)商的關(guān)系應(yīng)清晰記錄到《供應(yīng)商列表》;5)項(xiàng)目執(zhí)行過(guò)程中每年至少進(jìn)行一次合同和協(xié)議的檢查，確保業(yè)務(wù)需求與合同條款相符；6)清晰了解并記錄主供應(yīng)商與分包供應(yīng)商之間的角色和關(guān)系，要求主供應(yīng)商確保分包供應(yīng)商可7)編寫《供應(yīng)商評(píng)價(jià)表》;8)定期監(jiān)控和檢查服務(wù)的執(zhí)行情況，每年度至少進(jìn)行一次供應(yīng)商評(píng)價(jià)，并提供《供應(yīng)商年度管理報(bào)告》。4.2體系各部門1)提交供應(yīng)商服務(wù)的需求；2)物色候選供應(yīng)商；3)提交候選供應(yīng)商的資料及本部門評(píng)價(jià)意見(jiàn)；4)提交供應(yīng)商談判合同條款意見(jiàn)；編寫部門劉海燕5)按公司規(guī)定配合辦理合同簽署手續(xù)。5管理內(nèi)容5.1服務(wù)定義本公司與供應(yīng)商之間應(yīng)就服務(wù)需求、提供的服務(wù)、服務(wù)的范圍、服務(wù)級(jí)別和溝通流程充分協(xié)商，并得到相關(guān)各方的書面認(rèn)可。與供應(yīng)商簽訂的服務(wù)支持協(xié)議應(yīng)滿足服務(wù)團(tuán)隊(duì)與用戶簽訂的服務(wù)目標(biāo)。應(yīng)和每個(gè)供應(yīng)商就每項(xiàng)服務(wù)清晰定義以下內(nèi)容：1)服務(wù)、角色、職責(zé)的定義；2)服務(wù)范圍；3)合同管理流程和合同結(jié)束計(jì)劃；4)相關(guān)支付條款；5)約定需提交報(bào)告的內(nèi)容和服務(wù)成果記錄。5.2供應(yīng)商的選擇1)體系各部門明確服務(wù)需求后，在新找供應(yīng)商或者有意更換原供應(yīng)商的情況下，負(fù)責(zé)聯(lián)系合適的服務(wù)提供商。通過(guò)比較，從中挑選出候選服務(wù)商；2)由項(xiàng)目帶進(jìn)而非部門自行選擇的供應(yīng)商，供應(yīng)商管理部門應(yīng)嚴(yán)格按照公司與供應(yīng)商簽訂的合3)候選的供應(yīng)商應(yīng)具有保障信息安全的能力，這里主要指供應(yīng)商是否自身已經(jīng)建立信息安全體系，有否通過(guò)相關(guān)認(rèn)證，過(guò)往有無(wú)違反信息安全規(guī)范的記錄。5.3合同管理編寫部門劉海燕5.3.1總則1)為每個(gè)供應(yīng)商指派一名合同經(jīng)理(由供應(yīng)商經(jīng)理兼任),負(fù)責(zé)與供應(yīng)商的合同和協(xié)議。與供應(yīng)商的關(guān)系應(yīng)清晰記錄到《供應(yīng)商列表》中；2)涉及到合同終止或者續(xù)約時(shí)，根據(jù)合同周期進(jìn)行評(píng)審。確保業(yè)務(wù)需求與合同條款相符；3)所有涉及合同的變更操作，按照公司相關(guān)制度執(zhí)行；4)發(fā)生合同糾紛時(shí)，合同經(jīng)理應(yīng)按照合同規(guī)定的流程處理；5)發(fā)生服務(wù)結(jié)束、服務(wù)提前終止或服務(wù)轉(zhuǎn)移給其他供應(yīng)商時(shí)應(yīng)，合同經(jīng)理應(yīng)按照合同規(guī)定的流程處理。5.3.2合同內(nèi)容簽訂的合同內(nèi)容需遵循我公司總部相關(guān)規(guī)章制度。具體可參見(jiàn)公司的《詢價(jià)采購(gòu)管理規(guī)范》或其他相關(guān)管理制度。供應(yīng)商服務(wù)合同內(nèi)容主要包括但不限于以下：1)明確服務(wù)方式：a)現(xiàn)場(chǎng)服務(wù)：進(jìn)入我公司現(xiàn)場(chǎng)提供服務(wù)；b)非現(xiàn)場(chǎng)服務(wù)：不進(jìn)入我公司現(xiàn)場(chǎng)提供服務(wù)；c)現(xiàn)場(chǎng)服務(wù)+非現(xiàn)場(chǎng)服務(wù)：視服務(wù)需要采取現(xiàn)場(chǎng)服務(wù)或非現(xiàn)場(chǎng)服務(wù)。2)列明提供的服務(wù)種類，描述各服務(wù)種類的內(nèi)容；3)根據(jù)服務(wù)方式、服務(wù)種類，確定信息安全管理手段：a)物理環(huán)境訪問(wèn)權(quán)限的設(shè)置與說(shuō)明。編寫部門劉海燕b)供應(yīng)商使用設(shè)備的管理，在服務(wù)過(guò)程中明確對(duì)設(shè)備的授權(quán)方式、監(jiān)視和撤消用戶活動(dòng)的權(quán)限。c)簽署保密協(xié)議。d)明確服務(wù)人員要求：包括人員資格要求、撤換服務(wù)人員的規(guī)定、安全規(guī)范的遵守。e)明確服務(wù)水平要求：1.確定服務(wù)報(bào)告的格式與服務(wù)報(bào)告被確認(rèn)的標(biāo)準(zhǔn)；2.供應(yīng)商服務(wù)過(guò)程中提供物品的要求，如零備件、消耗品等的數(shù)量與質(zhì)量要求；3.明確供應(yīng)商服務(wù)響應(yīng)時(shí)間的要求與衡量方式；4.列明期望的服務(wù)水平與不可接受的服務(wù)水平。f)服務(wù)過(guò)程中異常事件的通報(bào)與處理機(jī)制：1.確定正常工作程序；2.明確供應(yīng)商工作過(guò)程中的變更授權(quán)流程；3.異常情況，報(bào)告機(jī)制，包括報(bào)告時(shí)間、向誰(shuí)報(bào)告；4.安全事故處理機(jī)制，包括如何調(diào)查、通知、處理。5.提供處理信息安全事件的聯(lián)絡(luò)方式。g)制訂供應(yīng)商所提供服務(wù)不能滿足服務(wù)水平要求的懲罰條款；h)明確檢查供應(yīng)商工作的權(quán)利：有權(quán)監(jiān)視、審核、評(píng)估服務(wù)商所提供服務(wù)的狀況，并且根據(jù)合同予以相應(yīng)獎(jiǎng)懲。5.3.3合同簽訂編寫部門劉海燕簽訂合同需遵循總部相關(guān)規(guī)章制度。具體可參見(jiàn)公司的《詢價(jià)采購(gòu)管理規(guī)范》或其他相關(guān)管理制度。5.4服務(wù)的管理1)現(xiàn)場(chǎng)服務(wù)的供應(yīng)商工作時(shí)必須遵守公司人員、設(shè)備準(zhǔn)入、病毒防護(hù)、用戶密碼管理等相關(guān)要2)非現(xiàn)場(chǎng)服務(wù)的供應(yīng)商通過(guò)遠(yuǎn)程登錄的方式開(kāi)展工作必須遵守我公司關(guān)于遠(yuǎn)程登錄、網(wǎng)絡(luò)安全3)供應(yīng)商在工作過(guò)程中，所發(fā)現(xiàn)到生產(chǎn)設(shè)備的異常，應(yīng)形成相應(yīng)的報(bào)告，按事件管理進(jìn)行處理；4)供應(yīng)商在工作過(guò)程中，如涉及到對(duì)生產(chǎn)設(shè)備、系統(tǒng)、數(shù)據(jù)的變動(dòng)，也應(yīng)按變更管理進(jìn)行處理；5)體系各部門應(yīng)將本公司安全管理策略和程序的更改以及改進(jìn)安全的新的控制措施及時(shí)通知供應(yīng)商，以便其遵守；6)體系各部門對(duì)供應(yīng)商提出的新技術(shù)、新產(chǎn)品的采用應(yīng)在評(píng)估后報(bào)深圳市思源計(jì)算機(jī)軟件股份有限公司確認(rèn)及審批。5.5多重供應(yīng)商管理當(dāng)存在直接供應(yīng)商和分包供應(yīng)商時(shí)，公司只負(fù)責(zé)管理直接供應(yīng)商，分包供應(yīng)商則由直接供應(yīng)商負(fù)責(zé)管理；直接供應(yīng)商應(yīng)向本公司提供自己與分包供應(yīng)商之間關(guān)系及責(zé)任劃分的相關(guān)材料，確保分包供應(yīng)商承諾的各項(xiàng)指標(biāo)不低于自己承諾的各項(xiàng)指標(biāo)。5.6評(píng)價(jià)供應(yīng)商每一個(gè)合同結(jié)束或終止時(shí)，供應(yīng)商經(jīng)理應(yīng)根據(jù)公司相關(guān)流程要求，對(duì)合同或協(xié)議進(jìn)行評(píng)審。供應(yīng)商經(jīng)理需根據(jù)《供應(yīng)商評(píng)價(jià)表》定期監(jiān)控和檢查服務(wù)的執(zhí)行情況，每年度至少進(jìn)行一次供編寫部門劉海燕應(yīng)商評(píng)價(jià)。同時(shí)應(yīng)記錄供應(yīng)商的改進(jìn)措施，并作為服務(wù)改進(jìn)計(jì)劃的依據(jù)同時(shí)應(yīng)記錄供應(yīng)商的改進(jìn)措施，并作為服務(wù)改進(jìn)計(jì)劃的依據(jù)。6輸出文件《供應(yīng)商列表》《供應(yīng)商評(píng)價(jià)表》1.0目的按計(jì)劃定期對(duì)本公司的存儲(chǔ)安全管理體系的適應(yīng)性，有效性進(jìn)行評(píng)審，確保其持續(xù)有效地滿足公司標(biāo)準(zhǔn)要求，確保其適應(yīng)于本公司的存儲(chǔ)安全方針和目標(biāo)的要求。2.0主要內(nèi)容和適用范圍適用于總經(jīng)理評(píng)價(jià)公司存儲(chǔ)安全管理體系關(guān)于改進(jìn)和變更需求，以及評(píng)價(jià)存儲(chǔ)安全方針和目標(biāo)。3.0工作職責(zé)3.1總經(jīng)理主持管理評(píng)審；3.2存儲(chǔ)安全小組組長(zhǎng)負(fù)責(zé)向總經(jīng)理報(bào)告存儲(chǔ)安全管理體系運(yùn)行情況，提出改進(jìn)建議，編寫《管理評(píng)審報(bào)告》;3.3存儲(chǔ)安全小組負(fù)責(zé)存儲(chǔ)安全管理體系評(píng)審計(jì)劃的制定，提供管理評(píng)審所需的資料；3.4存儲(chǔ)安全小組組長(zhǎng)負(fù)責(zé)實(shí)施管理評(píng)審后的糾正措施進(jìn)行跟蹤驗(yàn)證；3.5各部門負(fù)責(zé)準(zhǔn)備提供與本部門工作有關(guān)的評(píng)審所需資料，并負(fù)責(zé)實(shí)施管理評(píng)審中提出的相關(guān)的編寫部門劉海燕糾正措施。4.0程序4.1管理評(píng)審計(jì)劃4.1.1管理評(píng)審一般情況下每間隔12個(gè)月份進(jìn)行一次，特殊情況可增加評(píng)審。4.1.2存儲(chǔ)安全小組在管理評(píng)審前10個(gè)工作日編制《管理評(píng)審計(jì)劃及通知單》,報(bào)總經(jīng)理批準(zhǔn)，計(jì)劃內(nèi)容包括：a.評(píng)審時(shí)間；b.評(píng)審目的；c.評(píng)審范圍及評(píng)審重點(diǎn)；d.參加評(píng)審部門或人員；e.評(píng)審依據(jù)；f.評(píng)審內(nèi)容；4.1.3當(dāng)出現(xiàn)下列情況之一時(shí)可增加管理評(píng)審頻次：a.公司組織機(jī)構(gòu)、資源配置發(fā)生重大變化時(shí)；b.發(fā)生重大存儲(chǔ)安全事故或用戶關(guān)于存儲(chǔ)安全方面有嚴(yán)重投訴或投訴連續(xù)發(fā)生時(shí)；c.當(dāng)法律、法規(guī)、標(biāo)準(zhǔn)及其他要求有變化時(shí)；d.市場(chǎng)需求發(fā)生重大變化時(shí)；e.即將進(jìn)行第二、三方審核或法律法規(guī)規(guī)定審核時(shí)。編寫部門劉海燕4.2管理評(píng)審輸入管理評(píng)審輸入應(yīng)包括以下內(nèi)容：a.審核結(jié)果，包括第一方、第二方、第三方存儲(chǔ)安全管理體系審核等的結(jié)果；b.顧客的反饋包括滿意程度的測(cè)量結(jié)果及與顧客溝通的結(jié)果等；c.改進(jìn)、糾正措施的情況，包括對(duì)內(nèi)部審核和日常發(fā)現(xiàn)的不合格項(xiàng)采取的糾正措施的實(shí)施及其有效性的監(jiān)控結(jié)果；d.過(guò)程的符合性，包括過(guò)程、產(chǎn)品的測(cè)量和監(jiān)控的結(jié)果；e.以往管理評(píng)審跟蹤措施的實(shí)施及有效性；f.可能影響存儲(chǔ)安全管理體系的各種變化，包括內(nèi)外環(huán)境的變化，如法律法規(guī)的變化，新技術(shù)、g.存儲(chǔ)安全管理體系運(yùn)行狀況，包括存儲(chǔ)安全方針和目標(biāo)的適宜性和有效性；4.3審核準(zhǔn)備4.3.1管理評(píng)審前10天，公司各部門向存儲(chǔ)安全小組組長(zhǎng)匯報(bào)現(xiàn)階段信息安全管理體系運(yùn)行情況；4.3.2存儲(chǔ)安全小組組長(zhǎng)在各部門提供資料的基礎(chǔ)上，于會(huì)前一周內(nèi)準(zhǔn)備好全面的存儲(chǔ)安全管理體4.3.3存儲(chǔ)安全小組組長(zhǎng)以《管理評(píng)審計(jì)劃及通知單》通知參加評(píng)審人員，準(zhǔn)備相關(guān)的資料。4.4管理評(píng)審會(huì)議a.總經(jīng)理主持管理評(píng)審會(huì)議，各部門負(fù)責(zé)人和有關(guān)人員對(duì)評(píng)審輸入做出評(píng)價(jià)，對(duì)于存在或潛在的不合格項(xiàng)提出糾正和預(yù)防措施，確定責(zé)任人和整改時(shí)間；編寫部門劉海燕b.總經(jīng)理對(duì)所涉及的評(píng)審內(nèi)容做出結(jié)論。a.存儲(chǔ)安全管理體系及其過(guò)程的改進(jìn)，包括對(duì)存儲(chǔ)安全方針、存儲(chǔ)安全目標(biāo)、組織結(jié)構(gòu)、過(guò)程控制等方面的評(píng)價(jià)；b.與顧客要求有關(guān)的產(chǎn)品改進(jìn)，對(duì)現(xiàn)有產(chǎn)品符合要求的評(píng)價(jià)，包括是否需要進(jìn)行產(chǎn)品、過(guò)程c.資源需求等。4.5.2會(huì)議結(jié)束后，由存儲(chǔ)安全小組組長(zhǎng)根據(jù)管理評(píng)審輸出的要求進(jìn)行總結(jié)，編寫《管理評(píng)審報(bào)告》,交總經(jīng)理批準(zhǔn)，存儲(chǔ)安全小組發(fā)至相關(guān)部門監(jiān)督執(zhí)行。本次管理評(píng)審的輸出可以作為下次管理評(píng)存儲(chǔ)安全小組組長(zhǎng)根據(jù)《糾正措施控制程序》的規(guī)定，并填寫《整改/改進(jìn)措施計(jì)劃》對(duì)改進(jìn)、糾正措施的實(shí)施效果進(jìn)行跟蹤驗(yàn)證。4.8管理評(píng)審產(chǎn)生的相關(guān)的記錄應(yīng)由人力綜合部按《記錄控制程序》保管，包括管理評(píng)審計(jì)劃、評(píng)審資料、評(píng)審會(huì)議記錄及管理評(píng)審報(bào)告等。5.1《記錄控制程序》編寫部門劉海燕6.0記錄表格6.2《管理評(píng)審會(huì)議記錄》6.3《管理評(píng)審報(bào)告》6.4《會(huì)議簽到表》6.5《整改/改進(jìn)措施計(jì)劃》1.0目的2.0范圍3.0工作職責(zé)3.1存儲(chǔ)安全小組是存儲(chǔ)安全管理體系糾正措施的歸口管理。3.2各部門負(fù)責(zé)檢查本部門不合格原因及采取糾正措施，保證其有效性。3.3存儲(chǔ)安全小組組長(zhǎng)負(fù)責(zé)監(jiān)督、協(xié)調(diào)糾正措施的實(shí)施。4.0工作程序4.1糾正措施對(duì)于存在的不合格應(yīng)采取糾正措施，以消除不合格原編寫部門劉海燕4.1.1識(shí)別不合格對(duì)存儲(chǔ)安全管理體系各過(guò)程輸出的信息進(jìn)行識(shí)別：a.過(guò)程、產(chǎn)品質(zhì)量出現(xiàn)重大問(wèn)題時(shí)；b.管理評(píng)審發(fā)現(xiàn)不合格時(shí)；c.顧客對(duì)產(chǎn)品質(zhì)量投訴時(shí)；d.內(nèi)審發(fā)現(xiàn)不合格時(shí)；e.出現(xiàn)重大操作事故；f.供方產(chǎn)品或服務(wù)出現(xiàn)嚴(yán)重不合格；g.其他不符合存儲(chǔ)安全方針和目標(biāo)或存儲(chǔ)安全管理體系文件要求的情況。4.1.2分析不合格原因責(zé)任部門對(duì)不合格原因進(jìn)行分析，確定產(chǎn)生不合格的主要原因。4.1.3措施的制定、實(shí)施與驗(yàn)證a.對(duì)某個(gè)部門的存儲(chǔ)安全問(wèn)題，由存儲(chǔ)安全小組填寫“糾正措施處理單”,經(jīng)存儲(chǔ)安全小組組長(zhǎng)批準(zhǔn)，交責(zé)任部門負(fù)責(zé)改進(jìn)。b.對(duì)涉及多個(gè)部門的存儲(chǔ)安全問(wèn)題，由存儲(chǔ)安全小組請(qǐng)示存儲(chǔ)安全小組組長(zhǎng)，由存儲(chǔ)安全小組組長(zhǎng)組織公司有關(guān)部門召開(kāi)存儲(chǔ)安全問(wèn)題專題分析會(huì)，分析問(wèn)題產(chǎn)生的原因，落實(shí)責(zé)任部門，由存儲(chǔ)安全小組根據(jù)專題會(huì)議的決定，填寫“糾正措施處理單”,經(jīng)存儲(chǔ)安全小組組長(zhǎng)批準(zhǔn)后，發(fā)至責(zé)任部門處理、改進(jìn)。4.2糾正措施的實(shí)施控制4.2.1糾正措施的實(shí)施過(guò)程中，存儲(chǔ)安全小組組長(zhǎng)負(fù)責(zé)監(jiān)督措施實(shí)施的過(guò)程。編寫部門劉海燕4.2.2存儲(chǔ)安全小組負(fù)責(zé)對(duì)糾正措施實(shí)施效果進(jìn)行跟蹤檢查、實(shí)施控制，保證有效，并作好記錄，由存儲(chǔ)安全小組組長(zhǎng)負(fù)責(zé)驗(yàn)證。4.3對(duì)有效果的糾正措施若涉及到存儲(chǔ)安全管理體系文件的更改，應(yīng)經(jīng)審批后納入存儲(chǔ)安全管理體系文件。4.4對(duì)在規(guī)定時(shí)間內(nèi)未能完成的糾正措施，存儲(chǔ)安全小組應(yīng)對(duì)此進(jìn)行調(diào)查，查明未能完成的原因，向存儲(chǔ)安全小組組長(zhǎng)報(bào)告，責(zé)任部門無(wú)正當(dāng)理由，應(yīng)追究部門負(fù)責(zé)人的責(zé)任。4.5對(duì)重要糾正措施的相關(guān)記錄及有關(guān)信息應(yīng)提交下次管理評(píng)審輸入資料之一。5.0相關(guān)文件《內(nèi)部審核控制程序》《存儲(chǔ)安全管理控制程序》《存儲(chǔ)安全管理手冊(cè)》《管理評(píng)審控制程序》6.0記錄表格6.1《糾正預(yù)防行動(dòng)實(shí)施報(bào)告》1.0目的按計(jì)劃進(jìn)行內(nèi)部存儲(chǔ)安全管理體系審核，確保本公司存儲(chǔ)安全管理體系認(rèn)證適合性和有效性。2.0范圍適用于本公司內(nèi)部存儲(chǔ)安全管理體系審核活動(dòng)。3.0工作職責(zé)編寫部門劉海燕3.1存儲(chǔ)安全小組組長(zhǎng)全面負(fù)責(zé)內(nèi)部存儲(chǔ)安全管理體系審核活動(dòng)。3.2存儲(chǔ)安全小組組織實(shí)施內(nèi)部存儲(chǔ)安全管理體系審核活動(dòng)。3.3各相關(guān)部門做好內(nèi)部存儲(chǔ)安全管理體系審核的配合工作4.0工作程序4.1.內(nèi)部信息安全管理體系審核安排4.1.1.公司每年組織一次集中的內(nèi)部存儲(chǔ)安全管理體系審核，審核覆蓋公司內(nèi)部存儲(chǔ)安全管理體系的所有要求和所有部門。另外如出現(xiàn)一下情況，由存儲(chǔ)安全小組組長(zhǎng)決定組織特定的內(nèi)部信息安全管理體系審核：a.組織機(jī)構(gòu)、管理體系發(fā)生重大變化；b.出現(xiàn)重大存儲(chǔ)安全事故或者客戶對(duì)某一環(huán)節(jié)連續(xù)投訴；c.法律、法規(guī)及其他外部要求的變更；d.在接收第二、第三方審核之前。4.1.2.內(nèi)部審核員須經(jīng)過(guò)必要的培訓(xùn)，各審核員的審核范圍不能包括其所在的部門4.2審核的準(zhǔn)備4.2.1存儲(chǔ)安全小組組長(zhǎng)全面負(fù)責(zé)內(nèi)審工作，編制《年度內(nèi)審計(jì)劃》,選定內(nèi)審組長(zhǎng)及審核員，審核《內(nèi)審報(bào)告》和《內(nèi)審實(shí)施計(jì)劃》,報(bào)總經(jīng)理批準(zhǔn)后下發(fā)各部門。4.2.2內(nèi)審組長(zhǎng)根據(jù)《年度內(nèi)審計(jì)劃》編寫《內(nèi)審實(shí)施計(jì)劃》,控制審核全過(guò)程，編寫《內(nèi)審報(bào)告》,指定內(nèi)審員跟蹤驗(yàn)證不合格報(bào)告中的糾正預(yù)防措施。4.2.3審核員參與編制檢查表，跟蹤驗(yàn)證糾正措施，公平、客觀地進(jìn)行審核工作認(rèn)真完成審核記錄。4.2.4受審部門接到《內(nèi)審實(shí)施計(jì)劃》后，如果對(duì)審核日期和條款有異議，可在一天內(nèi)通知審核組，編寫部門劉海燕以便經(jīng)過(guò)協(xié)商，再進(jìn)行安排。4.2.5受審部門應(yīng)確定審核陪同人員，并通知審核組，同時(shí)做好必要的準(zhǔn)備工作。4.3內(nèi)審的實(shí)施4.3.1首次會(huì)議a.參加會(huì)議人員：公司領(lǐng)導(dǎo)、內(nèi)審組成員及各部門負(fù)責(zé)人，與會(huì)者簽到，并由存儲(chǔ)安全小組保留會(huì)議記錄，審核組長(zhǎng)主持會(huì)議；b.會(huì)議內(nèi)容：由組長(zhǎng)介紹內(nèi)審目的、范圍、依據(jù)、方式，組員和內(nèi)審日程安排及其他事項(xiàng)。4.3.2現(xiàn)場(chǎng)審核a.內(nèi)審組根據(jù)《內(nèi)審檢查表》對(duì)受審核部門進(jìn)行現(xiàn)場(chǎng)審核，將存儲(chǔ)安全管理體系運(yùn)行效果及不符合項(xiàng)詳細(xì)記錄在檢查表中；b.內(nèi)審組長(zhǎng)召開(kāi)內(nèi)審會(huì)議，全面介紹內(nèi)審情況，對(duì)《不合格報(bào)告》進(jìn)行核對(duì)；c.內(nèi)審時(shí)審核員要公正客觀地對(duì)待審核的問(wèn)題。4.3.3審核報(bào)告現(xiàn)場(chǎng)審核后，審核組長(zhǎng)召開(kāi)審核組會(huì)，綜合分析檢查結(jié)果，依據(jù)標(biāo)準(zhǔn)，體系文件及有關(guān)法律法規(guī)要求，必要時(shí)依據(jù)合同要求，確認(rèn)不合格項(xiàng)，并發(fā)出不合格報(bào)告給相關(guān)部門領(lǐng)導(dǎo)確認(rèn)后，由相關(guān)部門分析原因，制訂糾正措施，經(jīng)信息安全小組組長(zhǎng)批準(zhǔn)后實(shí)施。審核員負(fù)責(zé)對(duì)實(shí)施結(jié)果跟蹤驗(yàn)證，并報(bào)告驗(yàn)證結(jié)果；審核組填寫《不合格項(xiàng)分布表》,記錄不合格分布情況；現(xiàn)場(chǎng)審核組長(zhǎng)完成《內(nèi)部存儲(chǔ)安全管理體系審核報(bào)告》,經(jīng)存儲(chǔ)安全小組組長(zhǎng)審核，交公司總經(jīng)理批準(zhǔn)。編寫部門劉海燕審核報(bào)告的內(nèi)容：a.審核目的、范圍、方法和依據(jù)；b.審核組成員、受審核方負(fù)責(zé)人；c.審核計(jì)劃實(shí)施情況總結(jié)；d.不合格分布情況分析、不合格數(shù)量及嚴(yán)重程度；e.存在的主要問(wèn)題分析；f.對(duì)公司存儲(chǔ)安全管理體系有效性，符合性結(jié)論及今后改進(jìn)的意見(jiàn)。4.3.4末次會(huì)議a.參加人員、公司領(lǐng)導(dǎo)、內(nèi)審組成員及各部門領(lǐng)導(dǎo)、與會(huì)者簽到，并由存儲(chǔ)安全小組保留記錄，審核組長(zhǎng)主持會(huì)議。b.會(huì)議內(nèi)容：內(nèi)審組長(zhǎng)重申審核目的，宣讀不合格報(bào)告，宣讀《內(nèi)部存儲(chǔ)安全管理體系審核報(bào)告》;提出完成糾正措施的要求及日期，由公司領(lǐng)導(dǎo)講話；c.存儲(chǔ)安全小組組長(zhǎng)發(fā)放《內(nèi)部存儲(chǔ)安全管理體系審核報(bào)告》到各相關(guān)部門。本次內(nèi)審結(jié)果要提交公司的管理評(píng)審。4.4存檔所有內(nèi)審文件記錄，由職能部保管存檔，各部門也應(yīng)保管好與本部門有關(guān)的內(nèi)審記錄。年終保5.0相關(guān)文件《文件控制程序》《記錄控制程序》編寫部門劉海燕6.0記錄表格6.1《年度審核計(jì)劃》6.2《審核實(shí)施計(jì)劃》6.3《內(nèi)審檢查表》6.4《不合格報(bào)告》6.5《內(nèi)部審核報(bào)告》6.6《會(huì)議簽到表》6.7《不合格項(xiàng)分布表》1適用與目的本程序適用于公司與IT相關(guān)各類存儲(chǔ)處理設(shè)施(包括各類軟件、硬件、服務(wù)、傳輸線路)的引進(jìn)、實(shí)施、維護(hù)等事宜的管理。本程序通過(guò)對(duì)技術(shù)選型、驗(yàn)收、實(shí)施、維護(hù)等過(guò)程中相關(guān)控制的明確規(guī)定來(lái)確保引進(jìn)的存儲(chǔ)處理設(shè)施的保密性、完整性和可用性。2.1辦公用計(jì)算機(jī)設(shè)備，包括所有綜合行政部、會(huì)議室內(nèi)的計(jì)算機(jī)、打印機(jī)、投影儀。編寫部門劉海燕2.3其它辦公設(shè)備，包括電話設(shè)備、復(fù)印機(jī)、傳真機(jī)等。3.1銷售部主要負(fù)責(zé)全公司與IT相關(guān)各類存儲(chǔ)處理設(shè)施及其服務(wù)的引進(jìn)。包括制作技術(shù)規(guī)格書、4.1引進(jìn)依賴本公司禁止員工攜帶個(gè)人或私有存儲(chǔ)處理設(shè)施(例如便攜式電腦、家用電腦或手持設(shè)備PDA等)處理業(yè)務(wù)信息。4.2進(jìn)行技術(shù)選型編寫部門劉海燕4.3編寫購(gòu)入規(guī)格書格、相關(guān)設(shè)施的性能(包括安全相關(guān)信息)、兼容性等要求，由銷售部部長(zhǎng)審批。4.4定貨a)開(kāi)箱檢查b)安裝、調(diào)試c)驗(yàn)收編寫部門劉海燕驗(yàn)收原則上由銷售部實(shí)施，必要時(shí)可要求相關(guān)部門參加。驗(yàn)收結(jié)果記入《硬件軟件驗(yàn)收?qǐng)?bào)告》。技術(shù)驗(yàn)收的合格與否最終由銷售部經(jīng)理做出判斷。d)驗(yàn)收合格后，可向相關(guān)的使用部門移交。5.1計(jì)算機(jī)設(shè)備管理5.1.1銷售部負(fù)責(zé)計(jì)算機(jī)固定資產(chǎn)的標(biāo)識(shí)，標(biāo)識(shí)具體設(shè)備到各使用部門。計(jì)算機(jī)保管使用部門將計(jì)算機(jī)列入該部門存儲(chǔ)資產(chǎn)清單。5.1.2各部門配備的計(jì)算機(jī)設(shè)備應(yīng)與本部門的日常經(jīng)營(yíng)情況相適應(yīng)，不得配備與工作不相符的高檔次或不必要的計(jì)算機(jī)設(shè)備。辦公場(chǎng)所不配備多媒體類計(jì)算機(jī)設(shè)備，原則上部門經(jīng)理以上配備筆記本電腦，因工作需要配備筆記本電腦的需經(jīng)主管副總批準(zhǔn)。5.1.3計(jì)算機(jī)使用部門需配備計(jì)算機(jī)設(shè)備時(shí)，應(yīng)按照本規(guī)定執(zhí)行。資產(chǎn)搬離安置場(chǎng)所，需要獲得部門經(jīng)理的授權(quán)；遷移出公司，需要得到最高管理層的授權(quán)。5.1.4計(jì)算機(jī)及附屬設(shè)備屬公司信息資產(chǎn)，在銷售部備案。有關(guān)計(jì)算機(jī)設(shè)備所帶技術(shù)說(shuō)明書、軟件由銷售部保存。使用部門的使用人應(yīng)妥善保管計(jì)算機(jī)及附屬設(shè)備，公用計(jì)算機(jī)設(shè)備由使用部門經(jīng)理指定專人負(fù)責(zé)使用管理。5.1.5離職時(shí)，應(yīng)將計(jì)算機(jī)交還銷售部，由銷售部注銷賬戶。5.1.6本公司網(wǎng)絡(luò)中的計(jì)算機(jī)設(shè)備采用自動(dòng)獲取IP地址，管理員負(fù)責(zé)對(duì)公司網(wǎng)絡(luò)進(jìn)行更新和維護(hù)。編寫部門劉海燕5.2計(jì)算機(jī)設(shè)備維護(hù)5.2.1計(jì)算機(jī)使用部門應(yīng)將每部計(jì)算機(jī)落實(shí)到個(gè)人管理。計(jì)算機(jī)使用人員負(fù)責(zé)計(jì)算機(jī)的日常維護(hù)和保養(yǎng)；銷售部按照《惡意軟件管理規(guī)定》要求進(jìn)行計(jì)算機(jī)查毒和殺毒工作，結(jié)果填寫在《設(shè)備防病毒檢查表》中。5.2.2計(jì)算機(jī)使用部門發(fā)現(xiàn)故障或異常，可先報(bào)公司管理員處理，如其無(wú)法解決，則由管理員填寫《事態(tài)事件脆弱性記錄》向供應(yīng)商申請(qǐng)維修。故障原因及處理結(jié)果應(yīng)記入《事態(tài)事件脆弱性記錄》。5.3計(jì)算機(jī)調(diào)配與報(bào)廢管理5.3.1用戶計(jì)算機(jī)更新后，原來(lái)的計(jì)算機(jī)由銷售部根據(jù)計(jì)算機(jī)的技術(shù)狀態(tài)決定調(diào)配使用或予以報(bào)廢處理。5.3.2含有敏感信息的計(jì)算機(jī)調(diào)配使用或報(bào)廢前，計(jì)算機(jī)使用部門應(yīng)與銷售部共同采取安全可靠的方法將計(jì)算機(jī)內(nèi)的敏感信息清除。部門內(nèi)部的調(diào)配由使用部門自行處理，并通知銷售部進(jìn)行計(jì)算機(jī)配置變更，變更執(zhí)行《變更管理程序》。部門間的調(diào)配管理：銷售部收回因更新等原因不用的計(jì)算機(jī)設(shè)備，由變更部門變更信息資產(chǎn)清單，并按照本程序5.1要求重新分配使用。5.4報(bào)廢處理5.4.1計(jì)算機(jī)設(shè)備采用集中報(bào)廢處理。報(bào)廢前由銷售部向銷售部提出報(bào)廢，經(jīng)審核后由銷售部實(shí)施報(bào)廢。5.4.2銷售部按照批準(zhǔn)的處置方案進(jìn)行報(bào)廢處理，并變更固定資產(chǎn)清單。編寫部門劉海燕5.5筆記本電腦安全管理5.5.1筆記本電腦應(yīng)由被授權(quán)的使用人保管；對(duì)于需多人共用的筆記本電腦，應(yīng)由部門負(fù)責(zé)人指定專人保管。5.5.2筆記本所帶附件應(yīng)由使用者本人或部門負(fù)責(zé)人指定專人保管。5.5.3筆記本電腦使用時(shí)應(yīng)防止惡意軟件的侵害，在系統(tǒng)中應(yīng)安裝防病毒軟件，并由使用人對(duì)其定期升級(jí)，對(duì)系統(tǒng)定期查殺，銷售部負(fù)責(zé)監(jiān)督。5.5.4筆記本電腦在移動(dòng)使用中，按公司網(wǎng)絡(luò)管理使用規(guī)定接入公司網(wǎng)絡(luò)系統(tǒng)中。5.6計(jì)算機(jī)安全使用的要求5.6.1計(jì)算機(jī)設(shè)備為公司財(cái)產(chǎn)，應(yīng)愛(ài)惜使用，按照正確的操作步驟操作。5.6.2使用計(jì)算機(jī)時(shí)應(yīng)遵循信息安全策略要求執(zhí)行。5.6.3員工入職時(shí)，由其所在部門的部門經(jīng)理根據(jù)該員工權(quán)限需要填寫《用戶授權(quán)申請(qǐng)表》,向銷售部提出用戶開(kāi)戶申請(qǐng)；離職時(shí)也需通知銷售部辦理銷戶。5.6.4用戶名為用戶姓名的拼音(有重名時(shí)另設(shè)),初始缺省密碼為1234。用戶在第一次登錄系統(tǒng)時(shí)應(yīng)變更密碼，密碼需要設(shè)置在6位以上(英文字母、數(shù)字或符號(hào)組合的優(yōu)質(zhì)密碼)并注意保密。5.6.5各人使用自己的賬戶登錄，未經(jīng)許可不得以他人用戶名登錄。若用戶遺忘密碼，應(yīng)及時(shí)向銷售部申請(qǐng)新密碼后登錄。5.6.6不得使用計(jì)算機(jī)設(shè)備處理正常工作以外的事務(wù)。5.6.7計(jì)算機(jī)的軟硬件設(shè)置管理由銷售部進(jìn)行，未經(jīng)許可，任何人不得更換計(jì)算機(jī)硬件和軟件。5.6.8銷售部負(fù)責(zé)初始軟件的安裝，公司嚴(yán)禁個(gè)人私自安裝和更改任何軟件。計(jì)算機(jī)用戶的軟件安編寫部門劉海燕5.6.9嚴(yán)禁亂拉接電源，以防造成短路或失火。5.6.10計(jì)算機(jī)桌面要保持清潔，不得將秘密和(或)受控文件直接放置在桌面；計(jì)算機(jī)桌面必須設(shè)置屏幕保護(hù)，恢復(fù)時(shí)需用密碼確認(rèn)(執(zhí)行密碼口令管理規(guī)定)。鎖屏?xí)r間可根據(jù)自己工作習(xí)慣設(shè)置鎖屏?xí)r間，但最高不得高于5分鐘。各部門負(fù)責(zé)人進(jìn)行監(jiān)督。5.7.2對(duì)內(nèi)設(shè)置必要的路由器防火墻，采用HTTP、FTP的連接方式。的要求，故不需要單獨(dú)配備UPS。其他辦公電腦和網(wǎng)絡(luò)連接設(shè)備經(jīng)風(fēng)險(xiǎn)評(píng)估可以接受供電中斷的a)信息處理設(shè)施的電源和通信線路不得采用明線布置，應(yīng)在地下、墻內(nèi)或采用線槽保護(hù)。編寫部門劉海燕5.9無(wú)人值守的用戶設(shè)備保護(hù)5.9.2當(dāng)會(huì)話結(jié)束時(shí)退出計(jì)算機(jī)、服務(wù)器和辦公PC。6.2網(wǎng)絡(luò)設(shè)備的管理與維護(hù)6.3點(diǎn)檢策略6.3.1所有存在于計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備上的服務(wù)、防火墻和其他網(wǎng)絡(luò)邊界訪問(wèn)控制系統(tǒng)的系統(tǒng)審核、編寫部門劉海燕設(shè)備類型日志內(nèi)容對(duì)外提供服務(wù)的a)用戶標(biāo)識(shí)符(ID);c)若可能，終端位置；d)成功的失敗的登錄試圖?！?個(gè)月≤2周直接用于設(shè)計(jì)、存儲(chǔ)、檢測(cè)的控制、管理和查詢系統(tǒng)≥12個(gè)月≤2周≥6個(gè)月≤5周≥6個(gè)月≤5周≥6個(gè)月≤5周防火墻和路由器系統(tǒng)配置更改日志≥1個(gè)月≤5周訪問(wèn)日志(方向、流量)≥1個(gè)月≤5周6.4維修服務(wù)的外包安全控制6.4.1銷售部應(yīng)與廠商簽訂設(shè)備維護(hù)(維修)服務(wù)合同，合同應(yīng)包含信息安全方面的特殊條款，例編寫部門劉海燕6.5資料的保存?zhèn)淙蘸蟛殚啞?記錄編寫部門劉海燕3.1綜合行政部3.2可移動(dòng)介質(zhì)使用部門4相關(guān)文件5.1總則編寫部門劉海燕可移動(dòng)介質(zhì)處置原則：按照正式的程序可靠、安全的處置，使敏感信息泄露給未經(jīng)授權(quán)的人員的風(fēng)險(xiǎn)最小化。5.2可移動(dòng)介質(zhì)處置可移動(dòng)介質(zhì)的處置應(yīng)該與信息的敏感程度相一致，可移動(dòng)介質(zhì)的敏感程度應(yīng)考慮風(fēng)險(xiǎn)評(píng)估的結(jié)可移動(dòng)介質(zhì)處置應(yīng)考慮下列原則：所有的可移動(dòng)介質(zhì)都應(yīng)由部門經(jīng)理指定人員負(fù)責(zé)保管；可移動(dòng)介質(zhì)的處置前應(yīng)該識(shí)別需要安全處置的項(xiàng)目；銷毀方式一般分為一般格式化、低級(jí)格式化、專業(yè)軟件重寫、粉碎；對(duì)無(wú)敏感信息的可移動(dòng)介質(zhì)作一般格式化即可，在保證質(zhì)量的基礎(chǔ)上重新分配和使用；保存有敏感信息的可移動(dòng)介質(zhì)應(yīng)當(dāng)?shù)玫桨踩拇娣藕吞幹茫粚?duì)于含有敏感信息的可移動(dòng)介質(zhì)應(yīng)采用低級(jí)格式化或?qū)I(yè)軟件重寫，反復(fù)次數(shù)為三次，再進(jìn)行粉碎；應(yīng)對(duì)含有敏感信息的存儲(chǔ)可移動(dòng)介質(zhì)的處置做出記錄，以備審查；銷毀的可移動(dòng)介質(zhì)在處理后保存三個(gè)月后再作處理。處置措施可以是：a)移動(dòng)硬盤：文件先做刪除，高級(jí)格式化后，低級(jí)格式化。報(bào)廢的硬盤，需要粉碎報(bào)廢。循環(huán)使用的硬盤，低級(jí)格式化后，拷入大量數(shù)據(jù)，覆蓋無(wú)用信息后，高級(jí)格式化，再使用。b)U盤：報(bào)廢后能正常使用的寫入大量數(shù)據(jù)并格式化后粉碎，不能正常使用的直接粉碎。c)光盤：一次性光盤，粉碎?？刹翆懝獗P，格式化后再使用。編寫部門劉海燕5.3可移動(dòng)介質(zhì)處理5.3.1可移動(dòng)介質(zhì)管理5.3.2復(fù)制和移出5.3.3重復(fù)使用5.3.4保存可移動(dòng)介質(zhì)的的保管部門應(yīng)按可移動(dòng)介質(zhì)要求的保存環(huán)境來(lái)保存含有涉密信息或重要信息的5.3.5廢棄編寫部門3.1存儲(chǔ)安全小組負(fù)責(zé)收集與信息安全管理有關(guān)的法律、3.2存儲(chǔ)安全小組組長(zhǎng)負(fù)責(zé)法律法規(guī)的更新以及適用性的確認(rèn)，并傳達(dá)給各部門。3.3各部門負(fù)責(zé)執(zhí)行適用的法律法規(guī)。編寫部門劉海燕4工作內(nèi)容4.1原則：遵守所有適用的國(guó)家、地方及行業(yè)內(nèi)與信息安全有關(guān)的法律、法規(guī)的要求。4.2收集范圍a國(guó)家頒布的刑法、民法、公司法、財(cái)務(wù)法、知識(shí)產(chǎn)權(quán)保護(hù)法和國(guó)務(wù)院、部委或行業(yè)頒布行政b對(duì)本公司重要記錄(包括其保存期)實(shí)施保護(hù)應(yīng)遵守的相關(guān)法律、法規(guī)；c控制個(gè)人數(shù)據(jù)處理和傳輸?shù)姆伞⒎ㄒ?guī)；d防止濫用信息處理設(shè)施的法律、法規(guī)；e關(guān)于信息設(shè)備密碼控制的法律、法規(guī)。4.3法律法規(guī)的識(shí)別、獲取和管理4.3.1存儲(chǔ)安全小組通過(guò)定期訪問(wèn)相關(guān)網(wǎng)絡(luò)獲取國(guó)家頒布的與信息安全有關(guān)的法律法規(guī)及其更新的信息。4.3.2存儲(chǔ)安全小組對(duì)適用本公司的相關(guān)的法律、法規(guī)等統(tǒng)一管理并進(jìn)行分類登記，建立適用的法律法規(guī)目錄，經(jīng)存儲(chǔ)安全小組組長(zhǎng)批準(zhǔn)后予以公布。4.4法律法規(guī)的適用性評(píng)價(jià)、更新和傳達(dá)4.4.1存儲(chǔ)安全小組對(duì)本公司已獲取的與信息安全有關(guān)的法律、法規(guī)做出適用性評(píng)價(jià)。4.4.2由存儲(chǔ)安全小組編寫并更新本公司的《法律法規(guī)清單》,并通過(guò)電子郵件通知各相關(guān)部門在公司指定位置獲取。4.4.3存儲(chǔ)安全小組每年核查一次《法律法規(guī)清單》,如有變更，通過(guò)電子郵件通知各部門更編寫部門劉海燕換新的《法律法規(guī)清單》,舊的《法律法規(guī)清單》同時(shí)由各部門自行作廢。4.4.4各部門結(jié)合本部門信息安全管理的實(shí)際情況從存儲(chǔ)安全小組獲取適用于本部門的信息安全法律、法規(guī)等，并將其相關(guān)信息要求傳達(dá)給本部門的員工及與本部門有關(guān)的第三方(包括顧客、承包方、加工方、外來(lái)施工方、參觀者等)。4.5法律法規(guī)執(zhí)行與符合性評(píng)估4.5.1保護(hù)知識(shí)產(chǎn)權(quán)綜合行政部系統(tǒng)管理員根據(jù)公司軟件需求，提出軟件采購(gòu)技術(shù)要求，由采購(gòu)人員實(shí)施采購(gòu)。對(duì)公司所采購(gòu)的軟件，由系統(tǒng)管理員負(fù)責(zé)軟件版權(quán)的審核工作，各部門應(yīng)嚴(yán)格執(zhí)行國(guó)家有關(guān)知識(shí)產(chǎn)權(quán)方面的法律法規(guī)，保證使用合法的正版軟件。公司統(tǒng)一采購(gòu)的軟件(包括購(gòu)買存儲(chǔ)處理設(shè)施所附帶的軟件)所帶版權(quán)許可、操作手冊(cè)等擁有者的證明、證件，系統(tǒng)管理員應(yīng)進(jìn)行登記，并妥善保管，防止丟失。系統(tǒng)管理員每年對(duì)軟件的使用情況進(jìn)行一次檢查并核對(duì)軟件信息資產(chǎn)清單，確保安裝使用認(rèn)可的軟件和特許的產(chǎn)品。對(duì)于本公司自主開(kāi)發(fā)或外包開(kāi)發(fā)的軟件的使用權(quán)歸本公司所有，未經(jīng)本公司授權(quán)不得以任何形式轉(zhuǎn)讓給其他公司或人員。4.5.2組織記錄的保護(hù)各部門應(yīng)按照有關(guān)法律、法規(guī)要求，明確規(guī)定重要記錄的保存期限并提供適當(dāng)?shù)谋Ｗo(hù)，防止丟失、損壞和偽造。4.5.3數(shù)據(jù)保護(hù)和個(gè)人信息保密編寫部門劉海燕對(duì)處理與個(gè)人數(shù)據(jù)與信息有關(guān)的部門(人事及綜合行政部門)應(yīng)按照國(guó)家有關(guān)規(guī)定對(duì)個(gè)人信息(如：人事檔案、工資表等)進(jìn)行妥善管理與保護(hù)，防止丟失或泄露個(gè)人秘密。4.5.4防止濫用存儲(chǔ)處理設(shè)施本公司所有員工應(yīng)嚴(yán)格按照存儲(chǔ)處理設(shè)施的授權(quán)范圍使用存儲(chǔ)處4.5.5存儲(chǔ)安全小組每年要針對(duì)本公司與信息安全法律法規(guī)遵循情況填性評(píng)估表》,對(duì)于不符合的情況，責(zé)任部門應(yīng)實(shí)施糾正措施并實(shí)施。4.5.6密碼控制措施的規(guī)則4.6符合安全策略和標(biāo)準(zhǔn)以及技術(shù)符合性4.6.1符合安全策略和標(biāo)準(zhǔn)4.6.2技術(shù)符合性核查4.7存儲(chǔ)系統(tǒng)審計(jì)的考慮事項(xiàng)編寫部門劉海燕2)對(duì)于存儲(chǔ)系統(tǒng)審計(jì)工具的訪問(wèn)宜加以保護(hù)，以防止任何可能的濫用或損害。5相關(guān)記錄>《法律法規(guī)符合性評(píng)估表》為規(guī)范數(shù)據(jù)操作管理工作，降低數(shù)據(jù)被非法生成、變更、泄露、丟失及破壞的風(fēng)險(xiǎn)；保護(hù)關(guān)鍵數(shù)據(jù)(包括服務(wù)器數(shù)據(jù)、網(wǎng)絡(luò)設(shè)備配置信息、監(jiān)控系統(tǒng)數(shù)據(jù)等)的安全性，規(guī)范關(guān)鍵數(shù)據(jù)的存儲(chǔ)；合理存儲(chǔ)歷史數(shù)據(jù)，保證數(shù)據(jù)的安全性、完整性和準(zhǔn)確性，特制定本程序。本程序中數(shù)據(jù)是指存儲(chǔ)系統(tǒng)中的各種業(yè)務(wù)數(shù)據(jù)。3.數(shù)據(jù)保存管理●對(duì)于與財(cái)務(wù)報(bào)告相關(guān)的關(guān)鍵業(yè)務(wù)數(shù)據(jù)，須保存3年以上?！裰匾臉I(yè)務(wù)數(shù)據(jù)要保證物理上的安全，存放數(shù)據(jù)的介質(zhì)必須放在安全的地方，非授權(quán)人員不得訪問(wèn)。3.1數(shù)據(jù)導(dǎo)入和修改3.1.1數(shù)據(jù)導(dǎo)入指應(yīng)數(shù)據(jù)擁有部門要求，通過(guò)后臺(tái)數(shù)據(jù)庫(kù)，將數(shù)據(jù)導(dǎo)入運(yùn)行環(huán)境的操作。3.1.2數(shù)據(jù)修改指應(yīng)數(shù)據(jù)擁有部門要求，對(duì)公司信息系統(tǒng)中的數(shù)據(jù)在后臺(tái)數(shù)據(jù)庫(kù)中進(jìn)行修改。數(shù)據(jù)修改包含數(shù)據(jù)內(nèi)容的修改以及數(shù)據(jù)庫(kù)結(jié)構(gòu)的變更。3.1.3數(shù)據(jù)導(dǎo)入/修改必須遵循統(tǒng)一的數(shù)據(jù)導(dǎo)入/修改申請(qǐng)流程。任何人不得在未經(jīng)授權(quán)的情況下對(duì)應(yīng)用系統(tǒng)數(shù)據(jù)庫(kù)進(jìn)行數(shù)據(jù)導(dǎo)入/修改的操作。編寫部門劉海燕3.1.4數(shù)據(jù)導(dǎo)入/修改流程中的申請(qǐng)、審批、操作工作需分別由不同人員承擔(dān)。數(shù)據(jù)導(dǎo)入/修改操作只能由技術(shù)部負(fù)責(zé)人指定的人員執(zhí)行，導(dǎo)入/修改權(quán)限必須按照規(guī)范通過(guò)系統(tǒng)設(shè)定分配給指定人員。技術(shù)部負(fù)責(zé)人每半年委派人員對(duì)數(shù)據(jù)操作日志進(jìn)行核對(duì)，確保所有數(shù)據(jù)導(dǎo)入/修改行為均經(jīng)過(guò)了有效的審批以及數(shù)據(jù)導(dǎo)入/修改是準(zhǔn)確的。3.2數(shù)據(jù)提取和發(fā)放3.2.1數(shù)據(jù)提取指應(yīng)數(shù)據(jù)擁有部門要求，對(duì)公司信息系統(tǒng)中的數(shù)據(jù)從后臺(tái)數(shù)據(jù)庫(kù)中進(jìn)行的提取。數(shù)據(jù)提取和發(fā)放須遵循統(tǒng)一的數(shù)據(jù)提取申請(qǐng)流程。任何人不得在未經(jīng)授權(quán)的情況下對(duì)應(yīng)用系統(tǒng)數(shù)據(jù)庫(kù)進(jìn)行提取和發(fā)放操作。3.2.2數(shù)據(jù)提取中的申請(qǐng)、審批、操作及檢查工作需分別由不同人員承擔(dān)。數(shù)據(jù)提取的操作只能由技術(shù)部負(fù)責(zé)人指定的人員進(jìn)行，提取權(quán)限應(yīng)按照規(guī)范通過(guò)系統(tǒng)設(shè)定分配指定人員。3.2.3技術(shù)部負(fù)責(zé)人只能把提取出的數(shù)據(jù)發(fā)放給申請(qǐng)人，不能發(fā)放給其他人員。對(duì)存放數(shù)據(jù)的介質(zhì)，確保只有授權(quán)人員能夠訪問(wèn)。3.3應(yīng)對(duì)數(shù)據(jù)傳輸進(jìn)行控制3.3.1數(shù)據(jù)傳輸須有身份驗(yàn)證；3.3.2敏感數(shù)據(jù)傳輸需要保留相關(guān)記錄。當(dāng)數(shù)據(jù)在系統(tǒng)之間自動(dòng)傳輸時(shí)，系統(tǒng)中必須增加數(shù)據(jù)檢查功能，確保所傳數(shù)據(jù)的完整性、準(zhǔn)確性、合理性。3.3.3應(yīng)通過(guò)對(duì)防火墻、路由器等網(wǎng)絡(luò)設(shè)備的設(shè)置，限制訪問(wèn)權(quán)限及控制數(shù)據(jù)傳輸路徑。網(wǎng)絡(luò)管理人員對(duì)數(shù)據(jù)傳輸路徑的設(shè)置進(jìn)行規(guī)范記錄，并定期對(duì)網(wǎng)絡(luò)設(shè)置進(jìn)行評(píng)估，確保當(dāng)前的設(shè)置編寫部門劉海燕能夠滿足數(shù)據(jù)傳輸?shù)陌踩孕枨蟆?.3.4傳輸路徑需要變更時(shí)，必須提出正式申請(qǐng)，在獲得批準(zhǔn)后方可進(jìn)行變更。3.3.5在數(shù)據(jù)傳輸和傳遞過(guò)程中，公司應(yīng)采取措施保護(hù)敏感數(shù)據(jù)，通過(guò)權(quán)限設(shè)置，防止對(duì)數(shù)據(jù)未經(jīng)授權(quán)的訪問(wèn)、修改，以及通過(guò)數(shù)據(jù)加密，保證數(shù)據(jù)傳輸過(guò)程中不被非法獲取。3.3.6通信線路傳輸數(shù)據(jù)的保密策略本公司使用遠(yuǎn)程登錄技術(shù)保證通信線路中傳輸數(shù)據(jù)的完整性和保密性，使用遠(yuǎn)程桌面、SSH等方式實(shí)現(xiàn)聯(lián)機(jī)互訪。主要采用隧道技術(shù)、加解密技術(shù)和使用者與設(shè)備身份認(rèn)證技術(shù)。綜合行政部在與客戶之間的交流的重要郵件采用加密的方式進(jìn)行傳輸。3.4數(shù)據(jù)操作日志管理技術(shù)部負(fù)責(zé)人應(yīng)指派專門人員，定期對(duì)數(shù)據(jù)庫(kù)的操作日志進(jìn)行檢查。如果發(fā)現(xiàn)異常，及時(shí)進(jìn)行分析解決。4.保護(hù)關(guān)鍵數(shù)據(jù)4.1關(guān)鍵數(shù)據(jù)的認(rèn)定與存檔4.1.1關(guān)鍵數(shù)據(jù)的認(rèn)定，由數(shù)據(jù)持有部門根據(jù)數(shù)據(jù)對(duì)公司正常運(yùn)行所起的重要程度向技術(shù)部提出申請(qǐng)，由技術(shù)部負(fù)責(zé)人會(huì)同申請(qǐng)部門及相關(guān)管理者及技術(shù)人員鑒定，由技術(shù)部指定專門人員對(duì)所申請(qǐng)的數(shù)據(jù)進(jìn)行備份并保存。4.1.2關(guān)鍵數(shù)據(jù)存檔可參照本章中的相關(guān)規(guī)定由公司技術(shù)部統(tǒng)一執(zhí)行。對(duì)關(guān)鍵數(shù)據(jù)保存的介質(zhì)要有“關(guān)鍵數(shù)據(jù)”的標(biāo)識(shí)，且要與其他非關(guān)鍵數(shù)據(jù)分開(kāi)存檔，以免混淆。4.1.3公司技術(shù)部要指定專人對(duì)公司的關(guān)鍵數(shù)據(jù)進(jìn)行定期檢查登記，以便數(shù)據(jù)保管人員對(duì)關(guān)鍵數(shù)據(jù)編寫部門劉海燕更加有效的保存與維護(hù)。4.2關(guān)鍵數(shù)據(jù)介質(zhì)的保存4.2.1備份頻率：對(duì)于與財(cái)務(wù)報(bào)告相關(guān)的各種業(yè)務(wù)系統(tǒng)數(shù)據(jù)須每周做備份；對(duì)于人力資源管理的相關(guān)業(yè)務(wù)數(shù)據(jù)以每個(gè)考勤周期做為備份周期；在數(shù)據(jù)被大規(guī)模更新前后，須對(duì)數(shù)據(jù)做備份；在操作系統(tǒng)和應(yīng)用程序發(fā)生重大改變前后，須對(duì)系統(tǒng)和應(yīng)用程序做備份。4.2.2備份數(shù)據(jù)保留時(shí)間：對(duì)不同的備份對(duì)象根據(jù)需要及其重要性分別制定保存期限。4.2.3備份存儲(chǔ)和備份介質(zhì)管理：對(duì)數(shù)據(jù)、操作系統(tǒng)以及程序做備份的時(shí)候，須備份在兩份備份介質(zhì)中，一份放在本地，另一份定期存放在異地；備份介質(zhì)，無(wú)論是存放在本地還是異地，須確保存放場(chǎng)所的安全，保證只有授權(quán)人員可以訪問(wèn)；在備份介質(zhì)上，必須有唯一標(biāo)識(shí)，標(biāo)明備份的內(nèi)容和日期和密級(jí)程度；建立一份備份介質(zhì)目錄清單，用以記錄備份介質(zhì)的位置、內(nèi)容、數(shù)據(jù)保留期限。4.2.4備份恢復(fù)測(cè)試：備份介質(zhì)中的數(shù)據(jù)須每半年進(jìn)行恢復(fù)測(cè)試，以確保備份的有效性和備份恢復(fù)的可行性。4.2.5備份介質(zhì)銷毀：編寫部門劉海燕備份介質(zhì)的銷毀必須經(jīng)過(guò)數(shù)據(jù)擁有部門負(fù)責(zé)人以及技術(shù)部負(fù)責(zé)人授權(quán)后才可執(zhí)行，并記錄該銷若備份介質(zhì)中存放機(jī)密數(shù)據(jù)，在銷毀之前，對(duì)備份介質(zhì)進(jìn)行處理，使得備份介質(zhì)中的數(shù)據(jù)處于不可讀狀態(tài)。4.3備份操作管理4.3.1對(duì)服務(wù)器要做好相應(yīng)的備份。4.3.2備份遵循統(tǒng)一的審批流程，需要經(jīng)過(guò)數(shù)據(jù)擁有部門以及技術(shù)部部門負(fù)責(zé)人審批。4.3.3需按照數(shù)據(jù)的重要程度對(duì)不同備份對(duì)象進(jìn)行分類，對(duì)不同的備份對(duì)象根據(jù)類別制定備份策略。4.3.4備份策略應(yīng)包含備份對(duì)象、備份要求、備份方法、備份頻率、保存時(shí)限等內(nèi)容。備份策略制定后應(yīng)制定相應(yīng)的備份操作手冊(cè)(包含備份失敗的處理方法)指導(dǎo)備份工作。4.3.5備份操作人員(可設(shè)定為系統(tǒng)管理員)須檢查每次的備份工作是否成功，并填寫備份工作檢查、審核記錄，對(duì)失敗的備份操作處理需進(jìn)行記錄、匯報(bào)及跟進(jìn)。4.3.6備份對(duì)象發(fā)生變更后，需調(diào)整備份策略和備份操作手冊(cè)。備份策略的變更應(yīng)得到數(shù)據(jù)擁有部門以及技術(shù)部部門負(fù)責(zé)人審批。4.3.7技術(shù)部負(fù)責(zé)人每半年自行或指定專人對(duì)備份工作進(jìn)行審核，核對(duì)系統(tǒng)中的備份策略與備份申請(qǐng)是否吻合，以保證備份是按照要求進(jìn)行的；核對(duì)系統(tǒng)中的備份日志與備份工作匯總記錄，以保證備份的有效性、完整性以及出現(xiàn)的問(wèn)題已得到適當(dāng)處理。5.備份介質(zhì)存放和管理5.1存放在本地和異地的備份介質(zhì)必須具有明確的標(biāo)識(shí)，建立統(tǒng)一的目錄清單。保存?zhèn)浞萁橘|(zhì)的庫(kù)(柜)亦應(yīng)建立統(tǒng)一格式的目錄清單。編寫部門劉海燕份檢查記錄》,保證本地和異地均有備份介質(zhì)清單。在備份介質(zhì)運(yùn)送過(guò)程5.3無(wú)論備份介質(zhì)放在本地還是異地，介質(zhì)存放場(chǎng)求。存儲(chǔ)介質(zhì)庫(kù)(柜)必須由介質(zhì)保管人員存取，其他人員不經(jīng)批準(zhǔn)不準(zhǔn)操作。5.4所有備份介質(zhì)任何人員不得擅自借用。若要借用需要數(shù)據(jù)擁有部門和技術(shù)部負(fù)責(zé)人批準(zhǔn)，并填據(jù)備份檢查記錄》,對(duì)備份介質(zhì)進(jìn)行盤點(diǎn)，確保備份介質(zhì)的完整性和標(biāo)識(shí)的規(guī)范性，并做好記錄。6.備份恢復(fù)6.1技術(shù)部負(fù)責(zé)人應(yīng)制定相應(yīng)的備份恢復(fù)計(jì)劃及災(zāi)6.2在備份操作手冊(cè)中還須包含備份前的準(zhǔn)備工作(更新系統(tǒng)設(shè)置、通知系統(tǒng)使用者備份恢復(fù)時(shí)間等)、備份恢復(fù)的操作步驟、恢復(fù)失敗的處理方法和跟進(jìn)步驟等。6.3需要恢復(fù)備份數(shù)據(jù)時(shí)，需求部門應(yīng)填寫數(shù)據(jù)恢復(fù)申請(qǐng)表，由數(shù)據(jù)擁有部門以及技術(shù)部負(fù)責(zé)人審6.4備份操作人員將備份恢復(fù)的審批文檔及備份恢復(fù)工作的系統(tǒng)日志保存歸檔。技術(shù)部每半年自行6.5備份操作人員須每年對(duì)備份進(jìn)行恢復(fù)測(cè)試，確保備份恢復(fù)工作能夠順利進(jìn)行。備份恢復(fù)測(cè)試應(yīng)編寫部門劉海燕6.6備份操作人員根據(jù)測(cè)試結(jié)果更新備份7.相關(guān)記錄3.1綜合行政部4相關(guān)文件編寫部門劉海燕5.1網(wǎng)絡(luò)設(shè)備安全配置策略5.1.1通用策略◆設(shè)備系統(tǒng)日志的記錄內(nèi)容和保存期限應(yīng)該符合《信息系統(tǒng)訪問(wèn)與使用監(jiān)控管理程序》。5.1.2防火墻安全配置策略b.除內(nèi)部向外部提供的服務(wù)相關(guān)部分外，內(nèi)部向外部的訪問(wèn)需經(jīng)需求部門經(jīng)理以及綜合行政c.內(nèi)部需要對(duì)外部提供服務(wù)，需經(jīng)運(yùn)營(yíng)總監(jiān)、需求部門經(jīng)理、c.除內(nèi)部向外部提供的服務(wù)相關(guān)部分外，內(nèi)部向外部的訪問(wèn)需經(jīng)需求部門經(jīng)理、綜合行政部編寫部門劉海燕5.1.3網(wǎng)關(guān)設(shè)備安全配置策略b.對(duì)許可的訪問(wèn)發(fā)起者的身份認(rèn)證應(yīng)至少在兩項(xiàng)或以上；d.許可的訪問(wèn)發(fā)起者應(yīng)體現(xiàn)相對(duì)靜態(tài)的信息記5.1.4網(wǎng)絡(luò)交換機(jī)設(shè)備安全配置策略◆關(guān)鍵路徑網(wǎng)絡(luò)交換機(jī)安全配置策略b.關(guān)鍵路徑網(wǎng)絡(luò)交換機(jī)安全配置策略應(yīng)考慮和周邊網(wǎng)絡(luò)設(shè)備的連接的兼容性、安全性、可靠c.關(guān)鍵路徑網(wǎng)絡(luò)交換機(jī)安全配置策略應(yīng)盡量減少不必要的限定以◆周邊網(wǎng)絡(luò)交換機(jī)安全配置策略a.周邊網(wǎng)絡(luò)交換機(jī)是指位于公司網(wǎng)絡(luò)非中間節(jié)b.周邊網(wǎng)絡(luò)交換機(jī)安全配置策略應(yīng)考慮和關(guān)鍵路徑網(wǎng)絡(luò)設(shè)備的連接的兼容性、安全性、可靠c.關(guān)鍵路徑網(wǎng)絡(luò)交換機(jī)安全配置策略應(yīng)根據(jù)需要減少不必要信息向更高級(jí)的網(wǎng)絡(luò)層的傳輸。編寫部門劉海燕5.2網(wǎng)絡(luò)中間設(shè)備配置過(guò)程綜合行政部人員根據(jù)安全配置策略和特定安全要求填寫《網(wǎng)絡(luò)設(shè)備安全配置表》,經(jīng)部門經(jīng)理審核批準(zhǔn)后，對(duì)網(wǎng)絡(luò)設(shè)備參數(shù)進(jìn)行配置。配置實(shí)施后必須進(jìn)行檢查，測(cè)試，填寫《網(wǎng)絡(luò)設(shè)備安全配置表》簽署姓名和日期。《網(wǎng)絡(luò)設(shè)備安全配置表》適用于本公司的各種應(yīng)用系統(tǒng)涉及到的邏輯訪問(wèn)的控制。為對(duì)本公司各種應(yīng)用系統(tǒng)的用戶訪問(wèn)權(quán)限(包括特權(quán)用戶及第三方用戶)實(shí)施有效控制，杜絕非法訪問(wèn)，確保系統(tǒng)和信息的安全，特制定本程序。3.1各系統(tǒng)的訪問(wèn)授權(quán)由綜合行政部負(fù)責(zé)訪問(wèn)權(quán)限的分配、審批。3.2各系統(tǒng)的訪問(wèn)授權(quán)實(shí)施部門負(fù)責(zé)訪問(wèn)控制的技術(shù)管理以及訪問(wèn)權(quán)限控制和實(shí)施。3.3綜合行政部負(fù)責(zé)向各部門通知人事變動(dòng)情況。編寫部門劉海燕4程序4.1.1公司內(nèi)部可公開(kāi)的信息不作特別限定，允許所有用戶訪問(wèn)。4.1.2公司內(nèi)部部分不公開(kāi)信息，經(jīng)訪問(wèn)授權(quán)部門認(rèn)可，訪問(wèn)授權(quán)實(shí)施部門實(shí)施后用戶方可訪問(wèn)。4.1.3根據(jù)辦公需要，個(gè)別區(qū)域可使用無(wú)線網(wǎng)絡(luò)。對(duì)連接到互聯(lián)網(wǎng)和局域網(wǎng)的設(shè)備采用粘貼標(biāo)簽的方法清晰的標(biāo)明設(shè)備的連接屬性(根據(jù)敏感程度，可查表獲得權(quán)限，如IP列表)4.1.4用戶不得訪問(wèn)或嘗試訪問(wèn)未經(jīng)授權(quán)的網(wǎng)絡(luò)、系統(tǒng)、文件和服務(wù)。4.1.5各系統(tǒng)訪問(wèn)授權(quán)部門應(yīng)編制《物理邏輯訪問(wèn)權(quán)限說(shuō)明書》,明確規(guī)定訪問(wèn)規(guī)則。4.1.6為確保含有敏感信息的系統(tǒng)不發(fā)生泄密事故，采取措施對(duì)敏感系統(tǒng)予以隔離。采用最小權(quán)限、最少用戶原則。4.2.1權(quán)限申請(qǐng)授權(quán)流程部門申請(qǐng)——授權(quán)綜合行政部審批——綜合行政部實(shí)施授權(quán)所有用戶，包括第三方人員均需要履行訪問(wèn)授權(quán)手續(xù)。申請(qǐng)部門根據(jù)日常管理工作的需要，確定需要訪問(wèn)的系統(tǒng)和訪問(wèn)權(quán)限，經(jīng)過(guò)本部門經(jīng)理同意后，向訪問(wèn)授權(quán)綜合行政部門提交《用戶授權(quán)申請(qǐng)表》,經(jīng)訪問(wèn)授權(quán)綜合行政部門審核批準(zhǔn)后，將《用戶授權(quán)申請(qǐng)表》交訪問(wèn)授權(quán)實(shí)施部門實(shí)施。第三方人員的訪問(wèn)申請(qǐng)由負(fù)責(zé)接待的部門按照上述要求予以辦理。編寫部門劉海燕第三方人員一般不允許成為特權(quán)用戶。必要時(shí)，第三方人員需與訪問(wèn)接待部門簽訂《第三方保密協(xié)議》。(見(jiàn)《供應(yīng)商控制辦法》)a)權(quán)限申請(qǐng)人員；b)訪問(wèn)權(quán)限的級(jí)別和范圍；c)申請(qǐng)理由；d)有效期4.2.2權(quán)限變更對(duì)發(fā)生以下情況對(duì)其訪問(wèn)權(quán)應(yīng)從系統(tǒng)中予以注銷：a)內(nèi)部用戶雇傭合同終止時(shí)；b)內(nèi)部用戶因崗位調(diào)整不再需要此項(xiàng)訪問(wèn)服務(wù)時(shí)；c)第三方訪問(wèn)合同終止時(shí)；d)其它情況必須注銷時(shí)。由于用戶變換崗位等原因造成訪問(wèn)權(quán)限變更時(shí)，用戶應(yīng)重新填寫《用戶授權(quán)申請(qǐng)表》,按照本程序4.2.1的要求履行授權(quán)手續(xù)。綜合行政部應(yīng)將人事變動(dòng)情況及時(shí)通知各部門，訪問(wèn)授權(quán)實(shí)施部門管理員進(jìn)行權(quán)限設(shè)置更特權(quán)用戶因故暫時(shí)不能履行特權(quán)職責(zé)時(shí)，根據(jù)需要可以經(jīng)授權(quán)部門經(jīng)理批準(zhǔn)后，將特權(quán)臨時(shí)轉(zhuǎn)交可靠人員；特權(quán)用戶返回工作崗位時(shí)，收回臨時(shí)特權(quán)人員的特權(quán)。4.2.3用戶訪問(wèn)權(quán)的維護(hù)和評(píng)審對(duì)于任何權(quán)限的改變(包括權(quán)限的創(chuàng)建、變更以及注銷),訪問(wèn)授權(quán)實(shí)施部門應(yīng)進(jìn)行記錄，填寫《用戶授權(quán)申請(qǐng)表》包括：編寫部門劉海燕a)權(quán)限開(kāi)放/變更/注銷時(shí)間；b)變化后權(quán)限內(nèi)容；c)開(kāi)放權(quán)限的管理員綜合行政部每半年應(yīng)對(duì)訪問(wèn)權(quán)限進(jìn)行檢查，發(fā)現(xiàn)不恰當(dāng)?shù)臋?quán)限設(shè)置，應(yīng)通知訪問(wèn)授權(quán)實(shí)施部門予以調(diào)整。特權(quán)授權(quán)，綜合行政部每季度應(yīng)對(duì)特權(quán)用戶訪問(wèn)權(quán)限進(jìn)行檢查，發(fā)現(xiàn)過(guò)期的權(quán)限設(shè)置，應(yīng)通知訪問(wèn)授權(quán)實(shí)施部門予以注銷。綜合行政部應(yīng)對(duì)訪問(wèn)權(quán)限的檢查結(jié)果予以記錄。4.2.4連接的控制本公司個(gè)別區(qū)域根據(jù)工作需要，可使用無(wú)線網(wǎng)絡(luò)。本公司為了限制網(wǎng)絡(luò)連接的不同身份與權(quán)限，通過(guò)設(shè)置網(wǎng)關(guān)來(lái)加以控制。本公司禁止使用遠(yuǎn)程診斷端口，局域網(wǎng)的端口不限制。4.2.5會(huì)話與聯(lián)機(jī)時(shí)間的控制各系統(tǒng)管理員在其管理的服務(wù)器處于不活動(dòng)時(shí)，應(yīng)利用鎖屏(LOCKSCREEN)清除屏幕，以防止非授權(quán)的訪問(wèn)，但不關(guān)閉應(yīng)用或網(wǎng)絡(luò)話路。終端用戶應(yīng)在暫停操作控制時(shí)，及時(shí)啟用帶有口令保護(hù)的自動(dòng)屏保功能。本公司將連機(jī)時(shí)間限于正常的辦公時(shí)間；對(duì)服務(wù)器的連接時(shí)間設(shè)定為2小時(shí)/次。4.2.6網(wǎng)上信息公布管理所有在對(duì)外公共網(wǎng)站上(包括公司網(wǎng)站、人才招聘網(wǎng)站、大型門戶網(wǎng)站、公共社區(qū)、論壇等)發(fā)布的與本公司有直接相關(guān)的信息都需經(jīng)過(guò)公司管代或者總經(jīng)理的審批和簽字，其記錄填寫在《網(wǎng)站信息發(fā)布審查表》中；編寫部門劉海燕嚴(yán)禁員工冒充公司名義發(fā)布與公司相關(guān)的虛假公共信息，違者視情節(jié)嚴(yán)重程度予以處罰或追究其法律責(zé)任。4.2.7系統(tǒng)實(shí)用工具的使用銷售部應(yīng)對(duì)系統(tǒng)實(shí)用程序(SystemUtilityProgram)的使用進(jìn)行限制和嚴(yán)格控制，只有經(jīng)過(guò)授權(quán)的系統(tǒng)管理員才可以使用實(shí)用程序，如優(yōu)化大師，超級(jí)兔子等。4.3.1分配給用戶一個(gè)安全臨時(shí)口令，并通過(guò)安全渠道傳遞給用戶，并要求用戶在第一次登錄時(shí)更改臨時(shí)口令；當(dāng)用戶忘記口令時(shí)，系統(tǒng)管理員在獲得用戶的確認(rèn)后可以為其重新分配口令。4.3.2口令的選擇與使用要求所有計(jì)算機(jī)用戶在使用口令時(shí)應(yīng)遵循以下原則：保守口令的機(jī)密性，避免保留口令的字面記錄，明文存儲(chǔ)或明文網(wǎng)絡(luò)傳遞。任何時(shí)候有跡象表明系統(tǒng)或口令可能受到損害，就要更換口令?？诹钭钚￠L(zhǎng)度6位，不要采用姓名、電話號(hào)碼、生日等別人容易猜測(cè)或得到的口令，不要用連續(xù)的數(shù)字或字母群。一般用戶口令至少3個(gè)月變更一次，特權(quán)用戶口令每季度變更一次；對(duì)于用戶口令的變更會(huì)影響應(yīng)用程序運(yùn)行的情況，該用戶的口令可以在適當(dāng)?shù)臅r(shí)機(jī)予以變更。在第一次登錄時(shí)，需要更換臨時(shí)口令?？诹顟?yīng)妥善保存，不要共享個(gè)人用戶口令。編寫部門劉海燕作所需要的且不存在富裕的特權(quán)(最小特權(quán)原則)。5記錄>用戶授權(quán)申請(qǐng)表>網(wǎng)站信息發(fā)布審查表編寫部門劉海燕3.1綜合行政部負(fù)責(zé)全組織信息備份工作的技術(shù)指導(dǎo)及對(duì)本部門維護(hù)的重要信息資產(chǎn)的數(shù)據(jù)和軟件實(shí)施備份。3.2各部門負(fù)責(zé)對(duì)本部門維護(hù)的重要信息資產(chǎn)的數(shù)據(jù)和軟件實(shí)施備份。4相關(guān)文件《信息安全管理手冊(cè)》《可移動(dòng)介質(zhì)管理程序》《信息處理設(shè)施維護(hù)管理程序》《信息備份安全策略》5.1備份對(duì)象針對(duì)各部門的重要信息，決定備份對(duì)象為：服務(wù)器的操作系統(tǒng)和安裝工具軟件的所有軟件光盤；服務(wù)器中的數(shù)據(jù)庫(kù)，配置管理工具數(shù)據(jù)庫(kù)；根據(jù)以上備份對(duì)象，制定相應(yīng)的備份周期。5.2安全要求信息備份的安全要求包括：編寫部門劉海燕a)根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，備份方案采取本地備份方式；b)本地備份每周五進(jìn)行一次，備份文件復(fù)制到服務(wù)器其他盤中，由技術(shù)人員將備份文件做成光盤或備份到移動(dòng)硬盤。5.3備份周期各部門根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，制定《重要信息備份周期一覽表》,在其中明確規(guī)定備份周期、備份方式、備份介質(zhì)及備份負(fù)責(zé)人。5.4備份工作記錄要求《重要信息備份周期一覽表》經(jīng)部門負(fù)責(zé)人批準(zhǔn)后予以實(shí)施；對(duì)于人工備份應(yīng)填寫《重要信息備份記錄》,信息備份的記錄應(yīng)予以保存。當(dāng)軟件發(fā)生更改時(shí)，應(yīng)進(jìn)行備份。5.5備份的標(biāo)識(shí)各部門應(yīng)采取適宜的方法對(duì)備份信息介質(zhì)進(jìn)行標(biāo)識(shí)，防止備份信息的誤用，標(biāo)識(shí)的內(nèi)容包括：a)備份信息的名稱；b)備份的日期；d)必要時(shí)，應(yīng)標(biāo)識(shí)所需采用的備份/還原工具。5.6介質(zhì)管理數(shù)據(jù)備份介質(zhì)應(yīng)保存在適宜的環(huán)境并專人管理；涉及組織秘密的備份介質(zhì)應(yīng)按照《信息分類管理程序》進(jìn)行標(biāo)注，只有授權(quán)的人員才可以訪問(wèn)，并保存在上鎖的文件柜或其他安全儲(chǔ)存場(chǎng)所。編寫部門劉海燕6記錄《重要信息備份周期一覽表》《重要信息備份記錄》1范圍為更好地管理客戶和本公司在服務(wù)、技術(shù)、經(jīng)營(yíng)等活動(dòng)中產(chǎn)生的各類信息，防止因不恰當(dāng)使用或泄漏，使本公司蒙受經(jīng)濟(jì)損失或法律糾紛，特制定本管理規(guī)程。本標(biāo)準(zhǔn)規(guī)定了信息密級(jí)劃分、標(biāo)注及處理控制目標(biāo)和控制方式。2規(guī)范性引用文件下列文件中的條款通過(guò)本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的修改單(不包括勘誤的內(nèi)容)或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。>ISO/IEC27001:2013《信息技術(shù)-安全技術(shù)-信息安全管理體系要求》>ISO/IEC27002:2013《信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則》3術(shù)語(yǔ)和定義所有ISO/IEC27001:2013《信息技術(shù)-安全技術(shù)-信息安全管理體系要求》和ISO/IEC編寫部門劉海燕27002:2013《信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則》規(guī)定的術(shù)語(yǔ)適用于本文件。4職責(zé)和權(quán)限綜合行政部負(fù)責(zé)信息密級(jí)劃分、標(biāo)注及處理控制。各部門負(fù)責(zé)本部門使用或管理的信息密級(jí)劃分、標(biāo)注及處理控制。信息的密級(jí)分為3類：企業(yè)秘密事項(xiàng)(秘密)、內(nèi)部信息事項(xiàng)(受控)和公開(kāi)事項(xiàng)。信息分類定義：a)“秘密”:《中華人民共和國(guó)保守國(guó)家秘密法》中指定的秘密事項(xiàng)；或不可對(duì)外公開(kāi)、若泄露或被篡改會(huì)對(duì)本公司的日常經(jīng)營(yíng)造成嚴(yán)重?fù)p害，或者由于業(yè)務(wù)上的需要僅限有關(guān)人員知道的事項(xiàng)；介質(zhì)包括但不限于：紙類、電磁類及其它媒體(紙張、軟盤、硬盤、光盤、磁帶、膠片)。資產(chǎn)分級(jí)定義為1.b)“受控”:不可對(duì)外公開(kāi)、若泄露或被篡改會(huì)對(duì)本公司的日常經(jīng)營(yíng)造成損害，或者由于業(yè)務(wù)上的需要僅限有關(guān)人員知道的事項(xiàng)；或是指為了日常的業(yè)務(wù)能順利進(jìn)行而向公司員工公開(kāi)、但不可向公司以外人員隨意公開(kāi)的事項(xiàng)。資產(chǎn)分級(jí)定義為2編寫部門劉海燕c)“公開(kāi)”:秘密事項(xiàng)以外，僅用來(lái)傳遞信息、昭示承諾或?qū)ν庑麄魉婕暗氖马?xiàng)。資產(chǎn)分級(jí)定義為3.企業(yè)秘密管理的最高責(zé)任者為公司執(zhí)行總經(jīng)理，各部門的管理責(zé)任者為本部門經(jīng)理。全體員工都負(fù)有遵守保密承諾、保守企業(yè)秘密的義務(wù)。6.2.1“秘密”按《中華人民共和國(guó)保守國(guó)家秘密法》的有關(guān)規(guī)定執(zhí)行。企業(yè)秘密事項(xiàng)由經(jīng)營(yíng)管理機(jī)構(gòu)指定，企業(yè)秘密及敏感信息事項(xiàng)由產(chǎn)生該事項(xiàng)的部門經(jīng)理級(jí)以上(含副經(jīng)理)人員指定。指定秘密事項(xiàng)時(shí)，應(yīng)參考附錄1的示例，并充分考慮該事項(xiàng)的性質(zhì)及重要程度等因素。6.2.2員工對(duì)自己編寫的信息需判斷是否為企業(yè)秘密及管理分類(秘密、受控)時(shí)，可隨時(shí)詢問(wèn)經(jīng)理級(jí)以上領(lǐng)導(dǎo)。后者對(duì)前者的請(qǐng)求應(yīng)及時(shí)給予明確的處理。無(wú)法判明時(shí)，可請(qǐng)示更高一級(jí)領(lǐng)導(dǎo)。6.2.3編寫的文件一旦被指定為秘密、受控文件，則負(fù)責(zé)人應(yīng)按本規(guī)定的要求對(duì)編寫中和編寫后的無(wú)用稿件進(jìn)行處置。由編寫部門在文件封面標(biāo)明“秘密”,受控文件，由編寫部門在文件封面標(biāo)明“受控”,顏色注：采用電磁等媒體記錄的秘密、受控文件，應(yīng)在其包裝盒上明顯的位置用標(biāo)簽標(biāo)明秘密、受控管理分類，使用的印章方法同上。編寫部門劉海燕6.4.1發(fā)送秘密文件時(shí)，制訂者應(yīng)根據(jù)文件內(nèi)容指定接收部門和接收人。6.4.2為了避免接收人因不清楚使用范圍而泄密，可在附件中指明使用目的