信息安全管理手冊+適用性聲明+程序文件全套（27001 2022版）

【組織名稱】信息安全管理手冊+程序文件全套信息安全程序文件匯編 94 94 2.5文件的變更 96 96 5.1文件要素 5.2.1文件編寫 975.2.2文件審批 991.2適用范圍 992、術語、定義和縮略語 99 3.2.3管理評審后續(xù)問題處理編制管理評審報告 3.3流程輸入及輸出 4.管理評審相關表單 2適用范圍 4.1管理運營部 4.1.2負責識別與公司有關的法律法規(guī)，并檢驗是否滿足 4.3管理運營部 205.1法律符合性測量 205.1.1法律識別 20 205.1.3保護組織的記錄 21 21 21 215.2策略、標準和技術的符合性測量 21 215.2.2技術符合性測量 22 22 5.4審計過程和產品 22 23 23 24 241.1編寫目的 24 24 24 25 26 26 27 28 29 31 4.3總經(jīng)理 32 6.1體系教育與培訓 6.3培訓的目的 35 6.6培訓記錄 35 35 7.2資產歸還 35 357.4后期管理 36 37 37 39 4.10風險評估riskassessment 40 7.1資產識別 407.2資產賦值 40機密性賦值(x) 完整性賦值(y) 41 42 7.3威脅識別 447.3.1威脅分類 7.3.2威脅賦值(T) 477.4脆弱性識別 48 7.4.2脆弱性賦值(V) 49 7.6.3風險計算(R) 7.7風險處置 517.7.1風險處置計劃 4.1管理運營部 54 5.1密級的分類 55 4.2用戶訪問管理 a)權限申請人員；b)訪問權限的級別和范圍；c)申請理由；d)有效期 4.2.2權限變更 4.2.3用戶訪問權的維護和評審 4.2.4連接的控制 4.2.5會話與聯(lián)機時間的控制 4.2.6網(wǎng)上信息公布管理 4.2.7系統(tǒng)實用工具的使用 4.3用戶口令管理 4.3.1分配給用戶一個安全臨時口令，并通過安全渠道傳遞給用戶，并要求 4.4特殊權限管理 4.5訪問記錄控制 4.7遠程工作授權程序 4.7.3當不再需要遠程工作時，應及時取消該用戶的訪問權 4.8密碼設置 4.8.3密鑰分配 4.8.4密碼使用 2、適用范圍 4.1系統(tǒng)管理員 4.2.1負責按本程序的要求使用、保護、定期更換自己的密碼； 6.1.6密碼不能和用戶名或登錄名相同； 6.3.1一般不對密碼進行可記錄形式的儲存； 6.3.3可行時，系統(tǒng)管理員在定期更換密碼后保存歷史加密密碼，以防止密碼的重 6.4密碼的使用 6.5密碼變更、銷毀 66 66 4.5訪客管理 69 4.6設備安全 694.7消防管理 69 7記錄 73 4.1引進依賴 78 5信息處理設施的日常維護管理 5.4報廢處理 805.5筆記本電腦安全管理 5.6.2使用計算機時應遵循信息安全策略要求執(zhí)行 5.6.6不得使用計算機設備處理正常工作以外的事務 5.6.9嚴禁亂拉接電源，以防造成短路或失火 5.8支持性設施與布覽安全 5.9無人值守的用戶設備保護 6、信息處理設施的日常點檢 6.1計算機的日常點檢 6.4維修服務的外包安全控制 6.4.3不接受廠商通過遠程診斷端口進行遠程維護訪問授權 6.7信息處理設備可用性管理 7、其它要求 1.文檔介紹 1.1編寫目的 1.2適用范圍 3.3流程原則 3.3.1變更類型 3.3.2責任人原則 3.3.4審批原則 3.3.8回退原則 3.3.9關閉原則 3.4.1變更信息項 923.4.3變更分類 93 97 99 4.1.7更改控制 4.1.8源程序庫(程序源代碼)管理及技術文檔管理 4.2.2容量策劃 4.2.3變更策劃 4.2.4變更的實施 2、適用范圍 6、相關記錄 ISMS-P19事件管理程序 4.1.1信息安全事件的定義： 4.2.2故障、事故的響應 4.6風險處置流程 5.相關/支持性文件 3連續(xù)性管理流程 4相關文件 5.1.1法律識別 5.2.2技術符合性測量 5.3.1信息系統(tǒng)審計控制措施 5.3.2審計工具的保護 3職責 3.1管理運營部 4.1.1我公司的相關方包括以下團體或個人： 4.2.1相關部門應協(xié)調管理運營部識別外部相關方對信息資產和信息處理設施造 4.3外來人員管理 4.3.4外來人員的邏輯訪問按《訪問控制管理程序》進行 4.4第三方服務的管理 4.4.1第三方服務能力的評定 ISMS-P23相關方信息安全管理程序 2范圍 3.1管理運營部 4程序 4.3對外來人員的管理 5相關文件 受控狀態(tài)：受控【組織名稱】信息安全管理手冊文檔信息文檔編號：ISMS-M01-2023編寫：審核：批準：初次發(fā)布日期：生效日期：版本記錄//創(chuàng)建文檔0.1信息安全管理手冊發(fā)布令 0.2管理者代表委任書 27 2、規(guī)范性引用文件 283、定義和術語 283.1信息安全定義 4、組織環(huán)境 4.1理解組織及其環(huán)境 4.2理解相關方的需求和期望 4.3確定信息安全管理體系范圍 4.4信息安全管理體系 5.1領導和承諾 5.2方針 5.3組織的角色，責任和權限 6.1應對風險和機會的措施 6.2信息安全目標和實現(xiàn)規(guī)劃 6.3變更管理 7.4溝通 7.5文件化信息 37 37 9.3管理評審 9.3.1總則 40 40附件1組織結構圖 附錄2職能分配表 49附件4信息安全職責說明書 公司依據(jù)ISO/IECFDIS27001:2022《信息安全、網(wǎng)絡安全和隱私保護信息安全管理體系要求》(以下簡稱信息安全管理體系)標準的要求，結合公司的實際情況，在公司內部建立信息安全管理體系，組織編寫了《信息安全管理手冊》,經(jīng)審定符合國家、地方及行業(yè)的有關法律法規(guī)和本公司的實際情況，現(xiàn)予以發(fā)布?！缎畔踩芾硎謨浴肥枪救粘Ｐ畔⒘鬓D管理活動必須遵循的綱領性文件，本公司將按《信息安全管理手冊》的規(guī)定要求組織本公司進行各項業(yè)務活動。全體員工必須認真學習，準確理解其內容，并嚴格遵照執(zhí)行。自本手冊發(fā)布令簽批之日起，本公司信息安全管理體系進入實施運行階段?！窘M織名稱】為貫徹執(zhí)行ISO/IECFDIS27001:2022《信息安全、網(wǎng)絡安全和隱私保護信息安全管理體系要求》。加強對公司體系運作的領導，特委任任公司信息安全管理體系的管理者代表。管理者代表的職責是：(1)確保按照標準的要求，進行資產識別和風險評估，全面建立、實施、運行、監(jiān)視、評審、保持和改進信息安全管理體系，保證信息安全管理體系的持續(xù)適宜性和有效性；(2)就信息安全管理體系有關事宜進行內外部聯(lián)絡，組織、指揮、監(jiān)督、協(xié)調各部門體系的運作；(3)確保在整個組織內提高信息安全風險的意識；(4)審核風險評估報告、風險處理計劃，并監(jiān)督其執(zhí)行情況，并向總經(jīng)理匯報殘余風險；(5)收集整理各部門的管理評審輸入材料，進行匯總，并在管理評審會議上向總經(jīng)理報告；(6)向總經(jīng)理報告信息安全管理體系的現(xiàn)狀和任何改進的需求，包括信息安全管理體系運行情況、內外審核情況。本授權書自發(fā)布之日起生效執(zhí)行?！窘M織名稱】公司依據(jù)信息安全管理體系標準的要求編制《信息安全管理手冊》,并包括了風險評估及處置的要求。規(guī)定了公司的信息安全方針及管理目標，引用了信息安全管理體系的內容，對標準中的第4章到第10章的內容，不做任何刪減。c)體系范圍：。d)組織范圍：公司管理層、管理運營部、人力資源部、采購部、財務部、安全質量部、信息化中心。e)資產范圍：與1)所述業(yè)務活動2)組織范圍內及3)物理環(huán)境內相關的硬件、軟件、數(shù)據(jù)、文檔、人員及支持性服務等全部信息資產和相關技術手段。下列參考文件的部分或整體在本文檔中屬于標準化引用，對于本文件的應用必不可少。凡是注日期的引用文件，只有引用的版本適用于本標準；凡是不注日期的引用文件，其最新版本(包括任何修改)適用于本標準。信息安全、網(wǎng)絡安全和隱私保護信息安全管理體系要求—概述和詞匯。本手冊旨在防止業(yè)務過程中信息被非授權地訪問、使用、泄露、分解、修改和毀壞，以求保證信息的保密性、完整性、可用性和可追責性，使信息保障能正確實施、信息系統(tǒng)能按策劃運行、信息服務能滿足法律法規(guī)信息安全保密防止信息財產被故意的或偶然的非授權泄露、更改、破壞或使信息被非法的系統(tǒng)辨識，控制。即確保信息的完整性、保密性，可用性和可控性。避免攻擊者利用系統(tǒng)的安全保密漏洞進行竊聽、冒充、本手冊中使用術語的定義采用ISO/IECFDIS27001:2022《信息安全、網(wǎng)絡安全和隱私保護信息安全管理體系要求》中有關術語的定義。1.ISMS:Informationsecurity,cybersecuritymanagementsystems—Requirements信息安全、網(wǎng)絡安全和隱私保護信息安全管理體系要求；2.SOA:StatementofApplicability適用性聲明；3.PDCA:PlanDoCheckAction計劃、實施、檢查管理層確定與公司意圖相關的，且影響其實現(xiàn)信息安全管理體系預期結果能力的外部和內部事項。管理運營部應確定信息安全管理體系要求的相關方及其信息安全要求，相關的信息安全要求。對于利益相關方，可作為信息資產識別，并根據(jù)風險評估的結果，制定相應的控制措施，實施必要的管理。識別原因位發(fā)布周期關注政府網(wǎng)站服務機構符合體系標準和服務資質周期與認證機構聯(lián)系客戶業(yè)務往來/合同關系周期合同合同關系周期合同管理層決策公司的信息安全管理工作公司信息安全策略不定期定期不定期匯報、管理評審公司員工公司信息安全工作執(zhí)行層各職能部門實際工作中的信息安全要求不定期公司會議本公司ISMS的范圍包括a)物理范圍：b)業(yè)務范圍：。c)組織范圍：公司管理層、管理運營部、人力資源部、采購部、財務部、安全質量部、信息化中心。d)資產范圍：與所述業(yè)務活動、組織范圍內及物理環(huán)境內相關的硬件、軟件、數(shù)據(jù)、文檔、人員及支本公司按照信息安全管理體系標準的要求建立一個文件化的信息安全管理體系。同時考慮該體系的a)確保信息安全策略和信息安全目標已建立，并與公司戰(zhàn)略方向一致；b)確保將信息安全管理體系要求要求融合到日常管理過程中；d)向公司內部傳達有效的信息安全管理及符合信息安全管理體系要求要求的重要性；h)支持管理運營部及各部門的負責人，在其職責范圍內展現(xiàn)領導力。5.2方針b)包括信息安全目標(見6.2),或為建立信息安全目標提供框架；d)包括ISMS持續(xù)改進的承諾。預防為主，完善管理，持續(xù)改進，保證安全。將管理與技術相結合，建立完整的信息安全管理體系要求。安全管理的基本原理防大于亡羊補牢；采用適宜的、充分的、有效的控制措施來糾正和預防信息安全事態(tài)。控制風險是前提，風險自身是動態(tài)的過程。本公司在運行過程中需要審時度勢、量體裁衣、因地制應，逐步的修訂現(xiàn)有制上述方針的批準、發(fā)布及修訂由公司總經(jīng)理負責；信息安全方針是以文檔化的身份可用的，通過培、宣貫等方式使得本公司員工知曉并執(zhí)行相關內容；通過有效途徑告知服務相關方及客戶，以提高安全保5.3組織的角色，責任和權限公司管理層決定全公司的組織機構和各部門的職責(包括信息安全職責),并形成文件，具體內容見附錄3/4。各部門的信息安全管理職責決定本部門組織形式和業(yè)務分擔，并形成文件，具體內容見附錄B職能總經(jīng)理為本公司信息安全的最高責任者。各部門/項目組負責人為各部門應按照《信息安全適用性聲明》中規(guī)定的安全目標、控制措施(包括安全運行的各種控制程序)的要求實施信息安全控制措施。6、規(guī)劃6.1.1總則件/系統(tǒng)、數(shù)據(jù)/文檔、硬件/設施、人力資源及外包服務。對每一項信息資產，根管理運營部制定信息安全風險評估管理程序，經(jīng)管理運營部組長6.1.2信息安全風險評估風險評估的系統(tǒng)方法管理運營部制定信息安全風險評估管理程序，經(jīng)管理者代表審核，總經(jīng)理批準后組織實施。風險評估管理程序包括可接受風險準則和可接受水平。該程序的詳細內容適用于《信6.1.3信息安全風險處置管理運營部應組織有關部門根據(jù)風險評估的結果，形成《風險處理計劃》,該計劃應明確風險處理a)采用適當?shù)膬炔靠刂芺)接受某些風險(不可能將所有風險降低為零);c)回避某些風險(如物理隔離);d)轉移某些風險(如將風險轉移給保險者、供方、分包商)。管理運營部根據(jù)信息安全方針、業(yè)務發(fā)展要求及風險評估的結果，組織有關部門制定信息安全目標。控制目標及控制措施的選擇原則來源于附錄A。本公司根據(jù)信息安全管理的需要，可以選擇標準之a)所選擇控制目標與控制措施的概b)對ISO/IECFDIS27001:2022附錄A中未選用的控制目標及控制措施理由的說明。對風險處理后的殘余風險應形成《殘余風險評估報告》并得到總經(jīng)理的批準。管理運營部應保留信a)受控信息泄露的事態(tài)發(fā)生≤1起；b)顧客保密性投訴的次數(shù)每年不超過1起；c)信息安全培訓率≥99%;d)信息安全事件導致的故障/事態(tài)未能在規(guī)定時間內恢復的次數(shù)≤0起/年管理運營部根據(jù)《適用性聲明》、《信息資產風險評估表》中風險處理計劃所選擇的控制措施，明確控制措施改進時間表。對于各部門信息安全目標的完成情況，按照《信息安全目標及有效性測量程序》的要求，周期性在主責部門對各控制措施的目標進行測量，并記錄測量的結果。通過定期的內審、控制a)確定公司全體員工影響b)確保上述人員在適當?shù)慕逃?、培訓或?jīng)驗的基礎上能夠勝任其工作；d)保留適當?shù)奈募畔⒆鳛槟芰Φ淖C據(jù)。注：適用的措施可包括，對新入職員工進行的信息安全意識教育；定期對公司員工進行的業(yè)務實施b)個人其對公司信息安全管理體系有效性的貢獻，包括改進信息安全績效帶來的益處；c)不符合信息安全管理體系要求要求帶來的影響。溝通機制知下發(fā)按需管理運營部客戶意度調查改善服務，提升客戶滿意度客定期發(fā)生時管理運營部安全質量部員工全意識培訓制度要求信息安全職責不定期人力資源部項目合作郵件往來電話咨詢供應商服務評價公司信息安定期信息化中心7.5.1總則a)本標準要求的文件b)管理運營部確保信息安全管理體系的有效運行，需編制《文件控制程序》用以管理公司信息安7.5.2創(chuàng)建和更新a)標識和描述(例如標題、日期、作者或編號);b)格式(例如語言、軟件版本、圖表)和介質(例如紙質、電子介質);c)對適宜性和充分性的評審7.5.3文件化信息的控制a)在需要的地點和時間，是可用和b)得到充分的保護(如避免保密性損失、不恰當使用、完整性損失等)。c)為控制文件化信息，適用時，科技規(guī)劃部應開展以e)存儲和保護，包括保持f)控制變更(例如版本控制);a)形成《信息安全風險處理計劃》,以確定適當?shù)墓芾泶胧?、職責及安全保密控制措施的?yōu)先級，應特別注意公司外包過程的確定和控制；對于系統(tǒng)集成服務項目，項目經(jīng)理應在項目策劃階段識別所b)為實現(xiàn)已確定的安全保密目標、實施風險處理計劃，明確各崗位的信息安全職責；e)對信息安全體系的運作進行管理，控制計劃了的變更，評審非預期變更的后果，必要時采取措f)對信息安全所需資源進行管理；g)實施控制程序，對信息安全事故(或事件)進行迅速反應。管理運營部制定全公司的組織機構和各部門的職責(包括信息安全職責),并形成文件。管理運營部成員負責完成信息安全管理體系運行時必須的任務；對信息安全管理體系的運行情況和各部門負責人作為本部門信息安全的主要責任人，信息安全內審員負責管理體系要求的運行與實施，并形成文件；全體員工都應按保密各部門應按照《信息安全適用性聲明》中規(guī)定的安全保密目標、控制措施(包括安全保密運行的各種控制程序)的要求實施信息安全控制措施。管理運營部應對滿足信息安全要求及實施6.1中確定的措施所需的過程予以規(guī)劃、實施和控制，同時應實施計劃以實現(xiàn)6.2中確定的信息安全目標。公司按照組織《信息安全風險管理程序》的要求，每年定期或當重大變更提出或發(fā)生時，執(zhí)行信息安全風險評估。每次風險評估的過程均需形成記錄，并由管理運營部保留每次風險評估的記錄，如：風a)形成《風險處理計劃》,以確定適當?shù)墓芾泶胧?、職責及安全保密控制措施的?yōu)先級；b)為實現(xiàn)已確定的安全保密目標、實施風險處理計劃，明確各崗位的信息安全職責；c)實施所選擇的控制措施，以實現(xiàn)控制目標管理運營部負責組織相關人員，定期檢查風險處理計劃的執(zhí)行情9.1監(jiān)視、測量、分析和評價本公司通過實施定期的控制措施實施有效性檢查、事故報告調查處理、電子監(jiān)控a)及時發(fā)現(xiàn)c)使管理者掌握信息安全活動是否有效，并根據(jù)優(yōu)先級別確定所要采d)積累信息安全按照計劃的時間間隔(不超過一年)進行ISMS內部審核，內部審核的具體要求，見本手冊9.2要根據(jù)控制措施有效性檢查和內審檢查的結果以及來自相關方的建議和反饋，由最高責任者主持，每年對ISMS的有效性進行評審，其中包括信息安全范圍、方針、目標及控制措施有效性的評審。管理評審的具體要求，見本手冊9.3要求。管理者代表應組織有關部門按照《信息安全風險評估管理程序》的要求對風險處理后的殘余風險進行定期評審，以驗證殘余風險是否達到可接受的水平，對以下方面變更情況應及時進行風險評估：a)組織機構發(fā)生重大變更；b)信息處理技術發(fā)生重大變更；c)公司業(yè)務目標及流程發(fā)生重大變更；d)發(fā)現(xiàn)信息資產面臨重大威脅；e)外部環(huán)境，如法律法規(guī)或信息安全標準發(fā)生重大變更。f)保持上述活動和措施的記錄。以上活動的詳細程序規(guī)定于以下文件中：《監(jiān)視與測量管理程序》《信息安全風險評估管理程序》《內部審核管理程序》內部信息安全審核主要指內部信息安全管理體系審核，其目的是驗證公司信息安全管理體系運行的符合性和有效性并不斷改進和完善公司的信息技術-安全技術-信息安全管理體系要求。a)公司統(tǒng)一組織、管理內部信息安全審核工作，管理運營部負責制定《內部審核管理程序》并貫徹b)管理者代表負責領導和策劃內部審核工作，批準年度內審計劃和追加審核計劃，批準審核組成c)管理運營部負責對審核組長及成員提名，編制年度審核計劃和追加審核計劃，報管理者代表批準后執(zhí)行。d)審核組長組織和管理內部審核工作，根據(jù)實際情況和重要性安排審核順序實施審核。9.2.2實施審核a)審核組長編制的審核計劃，經(jīng)管理者代表批準后，負責在實施審核前5天向被審核方發(fā)出書9.2.3審核報告審核組長應在完成全部審核后，按規(guī)定格式編寫《內9.2.4糾正措施和跟蹤驗證a)被審核部門經(jīng)理制定糾正措施，填寫在《內審不合格項報告及糾正報告》中。b)糾正措施完成后后，應將糾正措施完成情況填寫到《內審不合格項報告及糾正報告》相應欄內，c)審核組長視具體情況通知審核組復查，跟蹤驗證糾正措施實施情況，并將驗證結果填寫在《內9.2.5審核記錄審核組長應收集所有內部信息安全審核中發(fā)生的計劃通知、內部審核檢查表、記錄、審核報告、總9.3.1總則總經(jīng)理為確認信息安全管理體系的適宜性、充分性和有效性，每年對信息安全管理體系進行一次全面評審。該管理評審應包括對信息技術-安全技術-信息安全管理體系要求是否需改進或變更的評價，以及對信息安全方針和信息安全管理目標的評價。管理評審的結果應形成書面記錄，并至少保存3年，按照《文9.3.2管理評審的輸入在管理評審時，管理運營部應組織相關部門提供以下資料，供信息安全管理最b)相關方的反饋(投訴、抱怨、建議);c)可以用來改進ISMS業(yè)績和有效性的新技術、產品或程序；e)信息安全事故或征兆，以往風險評估時未充分考慮到的薄弱點或威脅；f)上次管理評審時決定事項的實施情況；g)可能影響信息安全管理體系變更的事項(標準、法律法規(guī)、相關方要求);h)對信息安全管理體系改善的建議；i)有效性測量結果。9.3.3管理評審的輸出a)信息安全c)必要時，對影響信息安全的控制流程進行變更，以應對包括以下變化的內外部事件對信息安全d)對資源的需求。公司的持續(xù)改進是信息安全管理體系得以持續(xù)保持其有效性的保證，公司在其信息管理體系安全方針、安全目標、安全審核、監(jiān)視事態(tài)的分析、糾正措施以及管理評審方面都要持續(xù)改進信息安全管本公司開展以下活動，以確保ISMS的持續(xù)改進：a)實施每年管理評審、內部審核、安全檢查等活動以確定需改進b)按照《內部審核管理程序》、《糾正措施控制程序》的要求采取適當?shù)募m正和預防措施；c)吸取其他組織及本公司安全事故的經(jīng)驗教訓，不斷改進安全措施的有效性；d)對信息安全目標及分解進行適當?shù)墓芾?，確保改進達到預期的效果；不符合和糾正措施發(fā)生不符合事項的責任部門在查明原因的基礎上制定并實施相應的糾正措施，以消除不符和的原因，防止不符合事項再次發(fā)生。管理運營部負責制定《糾正措施控制程序》并組織問題發(fā)生部門針對發(fā)現(xiàn)的不符合現(xiàn)象分析原因、制定糾正措施，以消除不符合，并防止不符合的再次發(fā)生。對糾正措施的實施和驗證規(guī)定以下步驟：e)識別不符合；f)確定不符合的原因；g)評價確保不符合不再發(fā)生的措施要求；h)確定和實施所需的糾正措施；i)記錄所采取措施的結果；j)評審所采取的糾正措施，將重大糾正措施提交管理評審討論。附件1組織結構圖智慧城市事業(yè)部安全質量部采購保障部財務資產部人力資源部管理運營部智慧城市事業(yè)部安全質量部采購保障部財務資產部人力資源部管理運營部附錄2職能分配表備注：★主責部門部門管理層管理運營部安全質量部人力資源部采購部財務部信息化中心ISO27001標準要求4組織環(huán)境理解組織及其環(huán)境▲△△△△△△理解相關方的需求和期望▲△△△△△△確定信息安全管理體系范圍▲△△△△△△信息安全管理體系▲△△△△△△5領導力▲△△△△△△▲△△△△△△組織的角色，職責和權限▲△△△△△△6規(guī)劃▲△△△△△△信息安全目標和實現(xiàn)規(guī)劃▲△△△△△△變更的策劃▲△△△△△△7△△△△△△△資源▲△△△△△△能力△△△▲△△△意識△△△▲△△△△△△▲△△△文件化信息△▲△△△△△8運行運行規(guī)劃和控制△△▲△△△△△△▲△△△△△△▲△△△△9績效評價△△▲△△△△內部審核△△▲△△△△管理評審▲△△△△△△改進不符合及糾正措施△△▲△△△△持續(xù)改進▲△△△△△△組織控制▲△△△△△△信息安全角色和職責▲△△△△△△職責分離管理者職責▲△△△△△△與職能機構的聯(lián)系△▲△△△△△與特定相關方的聯(lián)系△▲△△△△△△△△△△△▲項目管理中的信息安全△△△△△△▲△△△△△△▲信息和其他相關資產的可接受使用△▲△△△△△A.5.1l資產歸還△▲△△△△△信息的分級△△△△△△▲△△△△△△▲△△△△△△▲訪問控制△△△△△△▲身份管理△△△△△△▲身份驗證信息△△△△△△▲△△△△△△▲△△△△▲△△△△△△▲△△ICT供應鏈的信息安全管理△△△△▲△△供應商服務的監(jiān)控、審查和變更管理△△△△▲△△使用云服務的信息安全△△△△△△▲△△△△△△▲△△△△△△▲△△△△△△▲從信息安全事件中學習△△△△△△▲△△△△△△▲中斷期間的信息安全△△△△△△▲ICT為業(yè)務連續(xù)性做好準備△△△△△△▲法律、法規(guī)、監(jiān)管和合同要求△▲△△△△△知識產權△▲△△△△△記錄的保護△▲△△△△△隱私和個人可識別信息保護△△△△△△▲信息安全獨立審核△△△△△△▲△△△△△△▲△▲△△△△△人員控制審查△△△▲△△△△△△▲△△△信息安全意識、教育和培訓△△△▲△△△△△△▲△△△△△△▲△△△保密或不泄露協(xié)議△△△▲△△△遠程工作△△△△△△▲△△△△△△▲物理控制△▲△△△△△物理入口△▲△△△△△辦公室、房間和設施的安全△▲△△△△△△▲△△△△△外部和環(huán)境威脅的安全防護△△△△△△▲在安全區(qū)域工作△△△△△△▲△△△△△△▲設備選址和保護△△△△△△▲組織場所外的資產安全△△△△△△▲存儲介質△▲△△△△△支持性設施△▲△△△△△△▲△△△△△設備維護△▲△△△△△設備的安全處置或再利用△▲△△△△△技術控制用戶終端設備△△△△△△▲△△△△△△▲信息訪問限制△△△△△△▲源代碼的訪問△△△△△△▲安全的身份驗證△△△△△△▲△△△△△△▲惡意軟件防范△△△△△△▲△△△△△△▲△△△△△△▲信息刪除△△△△△△▲數(shù)據(jù)屏蔽△△△△△△▲數(shù)據(jù)泄露防護△△△△△△▲△△△△△△▲△△△△△△▲記錄日志△△△△△△▲監(jiān)控活動△△△△△△▲時鐘同步△△△△△△▲特權實用程序的使用△△△△△△▲△△△△△△▲網(wǎng)絡安全△△△△△△▲網(wǎng)絡服務的安全△△△△△△▲網(wǎng)絡隔離△△△△△△▲網(wǎng)頁過濾△△△△△△▲加密技術的使用△△△△△△▲安全開發(fā)生命周期△△△△△△▲△△△△△△▲安全系統(tǒng)架構和工程原則△△△△△△▲安全編碼△△△△△△▲△△△△△△▲外包開發(fā)△△△△△△▲開發(fā)、測試和生產環(huán)境的分離△△△△△△▲△△△△△△▲測試信息△△△△△△▲審計測試期間信息系統(tǒng)的保護△△△△△△▲附件3部門職責管理運營部：1、公司集中的綜合行政管理部門，負責戰(zhàn)略發(fā)展與規(guī)劃管理、公司制度建設、對內協(xié)調與對外聯(lián)絡、法審、企業(yè)文化建設、檔案、資質管理、設備設施管理、后勤保障等相關業(yè)務。2、負責公司印章的管理；管理體系建設、維護、監(jiān)督和審計。人力資源部：1、人力資源管理工作：研究公司現(xiàn)階段及中長期人力資源需求情況，組織擬訂并實施公司的人力資源規(guī)劃；組織建立績效考核體系，并負責體系的有效運行；負責公司各類人才的招聘與選拔工作，滿足公司業(yè)務發(fā)展對人才的需求；制定并督促實施公司的人力資源培訓及開發(fā)計劃，對員工的使用和自身發(fā)展提供建議；協(xié)調勞資關系，為公司的正常經(jīng)營提供良好的人事環(huán)境；負責公司員工勞動合同管理工作；修制定公司薪酬體系和各項制度，負責監(jiān)督實施；負責組織實施公司職稱評審工作。2、黨建工作：負責公司黨的思想建設、負責公司黨的組織建設、負責開展公司精神文明創(chuàng)建工作、1、建立健全公司資產管理辦法、各項財務及資金管理、審計工作，各項資質財務數(shù)據(jù)的編制、申報工2、叁與擬訂財務計劃，審核、分析、監(jiān)督預算和財務計劃的執(zhí)行情況；3、負責編制公司月度、年度會計報表、年度會計決算及附注說明和利潤分配核算工作。信息化中心：1、信息化中心主要提供智慧城市建設，大數(shù)據(jù)交換、融合、共享及社會化服務應用的研發(fā)、運維及運營服務；2、負責自主研發(fā)了數(shù)據(jù)交換共享平臺、網(wǎng)格化管理服務平臺，智慧城市管理平臺集成業(yè)務領域包括硬件系統(tǒng)集成和應用系統(tǒng)集成兩部分內容，其中，硬件系統(tǒng)集成主要為計算機網(wǎng)絡系統(tǒng)集成，具體包括了主機系統(tǒng)、存儲備份系統(tǒng)、綜合布線系統(tǒng)、大屏幕顯示系統(tǒng)等內容；應用系統(tǒng)集成包括了基礎軟件平臺建設、應用系統(tǒng)部署、呼叫中心系統(tǒng)集成、視頻監(jiān)控系統(tǒng)集成等內容。安全質量部：負責公司安全保衛(wèi)、治安消防管理及公司工程質量管理。采購部：1、嚴格按采購計劃采購，做到及時、適用，合理降低物資積壓和采購成本；2、采購物資，驗收入庫，票物相符，手續(xù)完備。積極協(xié)助有關部門在現(xiàn)場使用過程中會出現(xiàn)的問題并妥善解決。序號角色信息安全職責1總經(jīng)理任命管理者代表，明確管代的職責和權限；確保在內部傳達滿足客戶和法律法規(guī)的符合性；為信息安全管理體系配備必要的資源；主持管理評審；負責公司信息安全管理和企業(yè)管理的計劃、組織、協(xié)調、監(jiān)督、控制和考核工遵守公司信息安全的相關規(guī)定及本崗位相關2管理者代表負責建立、實施、保持和改進信息安全管理體系，保證信息安全體系的有效運負責公司信息安全管理手冊的審核，程序文件的批準，組織并領導公司內部審核負責向總經(jīng)理報告信息安全體系運行的業(yè)績和任何改進的需求；3體系管理員協(xié)助管代在信息安全事務上的決策；負責信息安全管理體系的建立、實施和日常運行，起草信息安全政策，確定信息安全管理標準，督促各信息安全執(zhí)行單位對于信息安全政策、措施的實施；負責定期召開信息安全管理工作會議，定期總結運行情況以及安全事件記錄，并向管代匯報；協(xié)調各部門以及與外部組織間有關的信息安全工作，負責建立各部門、關聯(lián)公司、外部安全管理主管機構間的定期聯(lián)系和溝通機制；負責對ISMS體系進行內審，驗證體系的有效性和適宜性，并對發(fā)現(xiàn)的問題提出內部審核建議；負責對ISMS體系的具體實施、各部門的信息安全運行狀況進行定期審計或專項負責匯報審核結果，并督促審計整改工作的進行，落實糾正措施和預防措施；負責制定違反安全政策行為的標準，并對違反安全政策的人員和事件進行確認；負責調查信息安全事件，并維護安全事件的記錄報告，定期總結安全事件記錄報負責管理體系文件的控制；負責保存內部審核和管理評審的有關記錄；4各部門的信息安全主管領導部門的信息安全主管領導由本部門經(jīng)理擔任；負責協(xié)助信息安全管理運營部建立本部門的信息安全管理制度和流程；部門的信息安全主管領導系本部門信息安全管理責任人，負責本部門的信息安全管理工作，負責保護本部門所擁有和管理的信息資產的安全；負責采取有效辦法，落實和推動信息安全政策的實施；負責指導和要求本部門員工遵守信息安全政策；對違反安全政策的行為進行內部處罰；5部門信息安全員負責本部門日常的具體信息安全工作，并參加信息安全管理工作小組所要求的各項活動；負責按照ISMS體系的要求，對本部門所擁有和管理的信息資產進行維護，包括資產的識別和分類、資產的威脅和脆弱性識別及安全需求級別確定等工作；負責根據(jù)ISMS安全政策要求，在本部門提高員工安全意識，落實責任，保護信息資產的安全，并確保已建立的安全控制措施持續(xù)有效；負責向信息安全主管領導及管理運營部經(jīng)理報告信息安全事件和違反信息安全政策的行為，協(xié)助對違反安全政策的行為進行調查；協(xié)助本部門信息安全主管領導落實針對本部門的糾6內部員工嚴格遵守所有與信息安全相關的國家法律、法規(guī)和政策，遵守公司所有的信息安全政策，并簽字承諾遵守保密協(xié)議的有關規(guī)定；以安全負責的方式使用公司的信息資產；積極參加信息安全教育與培訓，提供信息安全意識；有責任將違反信息安全政策的事件與行為及時報告給本部門信息安全管理員及其他相關人員。受控狀態(tài)：受控【組織名稱】文檔編號：ISMS-MO2-2023審核：批準：初次發(fā)布日期：2022-12-1修改日期：2022-12-1發(fā)布日期：2022-12-1//創(chuàng)建文檔適用性聲明(StatementofApplicability)適用性A.5組織控制集信息安全策略和特定主題的策略應由管理層定義、批準、發(fā)布、傳達給相關人員和相關利益方，并由其確認，如果發(fā)生重大變化，應按計劃的時間間隔進行審查。信息安全策略應滿足以下要求：a)業(yè)務戰(zhàn)略和要求；b)法律、法規(guī)和合同；c)當前和預計的信息安全威脅環(huán)境。信息安全策略應包含以下內容的聲明：a)對信息安全的定義；b)信息安全目標或設置信息安全目標的框架；c)指導與信息安全有關的所有活動的原則；d)承諾滿足有關信息安全的適用要求；e)承諾持續(xù)改進信息安全管理系統(tǒng)；f)將信息安全管理的職責分配給已定義的角色；g)處理偏差和異常的程序。信息安全角色和職責應根據(jù)組織需要定義和分配信息安全角色和職責。職責分離管理者職責管理層應要求所有人員按照組織制定的信息安全策適當?shù)叵蛩麄兘榻B了他們的信息安全角色和職責；c)被授權執(zhí)行組織的信息安全政策和特定主題的政d)達到與其在組織內的角色和職責相關的信息安全意識水平(見6.3);e)符合雇傭、合同或協(xié)議的條款和條件，包括組織的信息安全政策和適當?shù)墓ぷ鞣椒ǎ籪)通過持續(xù)的專業(yè)教育，繼續(xù)擁有適當?shù)男畔踩寄芎唾Y格；定主題政策或信息安全程序的行為提供保密渠道。這可以允許匿名舉報，或者規(guī)定確保只有需要處理此類舉報的人知道舉報人的身份；h)為實施組織的安全相關過程和控制提供足夠的資與職能機構的聯(lián)系管機構、監(jiān)督機構),以及如何及時報告已識別的信與特定相關方的聯(lián)系會的適當聯(lián)系。a)提高有關最佳實踐的知識并及時了解相關安全信b)確保對信息安全環(huán)境的理解是最新的；c)接收有關攻擊和漏洞的警報、建議和補丁的早期d)獲得專家信息安全建議；e)共享和交換有關新技術、產品、服務、威脅或漏洞的信息；f)在處理信息安全事件時提供合適的聯(lián)絡點。聯(lián)系單》是威脅情報。威脅情報活動應包括：a)建立威脅情報生成的目標；息的必要和適當?shù)膬炔亢屯獠啃畔⒃?；c)從選定的來源收集信息，可以是內部的也可以是外部的；d)處理收集到的信息以準備分析(例如通過翻譯、格式化或證實信息);e)分析信息以了解其與組織的關系和意義；f)以一種可以理解的格式與相關個人進行交流和分享。應分析威脅情報并在以后使用：a)通過實施過程，將從威脅情報來源收集的信息納入組織的信息安全風險管理過程；單》案等技術預防和檢測控制的額外輸入；項目管理中的信息安全在整個項目生命周期中，定期作為項目風險的一部b)信息安全要求[例如應用程序安全要求(8.26)、到解決；c)在整個項目生命周期中考慮和處理與項目執(zhí)行相關的信息安全風險，例如內部和外部通信方面的安資產清單資產的可接受使用使用規(guī)則和處理程序資產歸還員工和其他相關方在任用、合同或協(xié)議終止時，應信息的分級整性、可用性和相關方要求進行分級信息標記程序應涵蓋所有格式的信息和其他相關資易于識別。考慮到信息的訪問方式或資產的處理方式(取決于存儲介質的類型),作量);送或存儲的信息；組織應建立并與所有相關方溝通特定主題的信息傳所涉及信息的分類。在組織和第三方之間傳輸信息時，應建立和維護傳輸協(xié)議(包括接收者身份驗理程序》訪問控制應根據(jù)業(yè)務和信息安全要求制定和實施控制信息和應給用戶和服務提供商提供一份訪問控制要滿足的b)信息分發(fā)和授權的策略，例如“需要則知道”的原則、信息安全級別和信息分類；c)不同系統(tǒng)和網(wǎng)絡的訪問權限和信息分類策略之間的一致性；d)關于限制訪問數(shù)據(jù)或服務的相關法律和合同義e)在認可各種可用連接類型的分布式和網(wǎng)絡化環(huán)境中的訪問權限的管理；f)訪問控制角色的分離，例如訪問請求、訪問授權、訪問管理；理程序》g)訪問請求的正式授權要求；h)訪問權限的定期評審要求；i)訪問權限的撤銷；j)關于用戶身份和秘密鑒別信息使用和管理的所有重大事件記錄的存檔；身份管理a)對于分配給人員的身份，特定身份僅與單個人員相關聯(lián)，以便能夠讓該人員對使用此特定身份執(zhí)行的操作負責；務或運營原因需要時才允許使用，并且需要經(jīng)過專門的批準和文件；c)分配給非人類實體的身份受到適當隔離的批準和獨立的持續(xù)監(jiān)督；d)如果不再需要身份(例如，如果其關聯(lián)實體被刪除或不再使用，或者與身份相關聯(lián)的人已離開組織或改變角色),則會及時禁用或刪除身份；復身份)];身份驗證信息身份驗證信息的分配和管理應通過一個管理過程進行控制，包括建議人員對認證信息進行適當?shù)奶庮}策略和訪問控制規(guī)則進行設置、評審、修改和刪供應商關系中的商提供的產品和服務相關的安全風險。這也應適用于組織對云服務提供商資源的使用。這些過供應商為開始使用供應商的產品或服務或終止使用供應商的產品和服務而實施的過程和程序。在供應商協(xié)議中的強調信息安全信息安全要求并達成一致。ICT供應鏈的信息安全管理控、審查和變更管理組織應定期監(jiān)控、審查、評估和管理供應商信息安使用云服務的信息安全應按照組織的信息安全要求，建立從云服務獲取、應定義并傳達其打算如何管理與使用云服務相關的的服務的現(xiàn)有方法的擴展或一部分。云服務的使用可能涉及信息安全的共同責任以及云力。云服務提供商和作為云服務客戶的組織的職責理策劃和準備劃和準備。序》信息安全事態(tài)的組織應評估信息安全事態(tài)，并決定它們是否歸類為信息安全事件。序》信息安全事件響應信息安全事件應按照文件記錄的程序進行響應。序》中學習應利用從信息安全事故中取得的知識加強和改進信息安全控制。序》組織應建立并實施與信息安全事件相關證據(jù)的識別、收集、采集和維護程序。序》中斷期間的信息安全當?shù)乃?。序》ICT業(yè)務連續(xù)性管理程序》管和合同要求持更新。程序》知識產權組織應實施保護知識產權的適當程序。理規(guī)定》記錄的保護問和未經(jīng)授權的泄露。組織應采取以下步驟來保護記錄的真實性、可靠管理的要求會隨著時間的推移而發(fā)生變化：序》理的特定主題政策和其他記錄要求保持一致；隱私和個人可識別信息保護組織應根據(jù)適用的法律法規(guī)和合同要求，識別并滿足有關隱私保護和PII保護的要求。《個人信息安信息安全獨立審核程和技術，應定期或在出現(xiàn)重大變化時進行獨立評《內部審核管信息安全策略、應定期檢查對組織信息安全策略、特定主題策略、管理、服務、產品或信息所有者應確定如何審查信息安全政策、特定主題政策、規(guī)則、標準和其他適a)識別不合規(guī)的原因；b)評估為實現(xiàn)合規(guī)而采取改進措施的必要性；c)實施適當?shù)母倪M措施；d)審查為驗證其有效性和識別任何缺陷或弱點而采《符合性管理程需要的人員。應為組織與信息安全相關的業(yè)務活動a)當活動需要多人以相同的方式進行時；被遺忘；c)當活動是新的，如果執(zhí)行不正確會帶來風險時；《文件控制程《記錄控制程a)責任人；b)系統(tǒng)的安全安裝和配置；c)自動和手動的信息處理和處置；d)備份(見8.13)和恢復力；e)調度要求，包括與其他系統(tǒng)的相互依賴關系；f)處理錯誤或其他可能在作業(yè)執(zhí)行期間出現(xiàn)的異常情況[例如對實用程序的使用限制(見8.1g)支持和升級聯(lián)系，包括在出現(xiàn)意外操作或技術困難時的外部支持聯(lián)系；h)存儲介質處理說明(見7.10和7.14);i)系統(tǒng)故障時使用的系統(tǒng)重啟和恢復程序；j)審計跟蹤和系統(tǒng)日志信息(見8.15和8.17)和視頻監(jiān)控系統(tǒng)(見7.4)的管理；k)諸如容量、性能和安全性的監(jiān)控程序(見8.6和下，應使用相同的程序、工具和實用程序對信息系A.6人員控制審查候選人員，同時考慮適用法律、法規(guī)和道德，并按《人力資源管勞動合同協(xié)議應明確員工和組織在信息安全方面的《人力資源管理程序》信息安全意識、組織和相關方人員應接受與工作職能相關的適當?shù)男畔踩庾R、教育和培訓，并定期更新組織的信息安全政策、特定主題的政策和程序。理程序》應正式建立紀律程序并進行溝通，以對違反信息安理程序》的責任終止或變更雇傭關系后仍有效的信息安全責任和義務應明確、執(zhí)行并傳達給相關人員和其他相關方。理程序》保密或不泄露協(xié)議署、反映組織保護信息需求的保密協(xié)議或保密協(xié)理程序》遠程工作當員工進行遠程工作時，應實施安全措施，保護在理程序》態(tài)組織應提供一種機制，讓員工通過適當?shù)那兰皶r序》A.7物理控制在適合物理安全邊界的情況下，應考慮并實施以下a)根據(jù)與邊界內資產相關的信息安全要求，定義安全邊界以及每個邊界的位置和強度；全的邊界(即邊界或容易發(fā)生闖入的區(qū)域不應有間隙)。工地的外部屋頂、墻壁、天花板和地板應該是堅固的結構，所有外門都應該通過控制機制(例如欄桿、警報器、鎖)進行適當?shù)谋Ｗo，以防止未安全管理程序》窗戶進行外部保護，特別是在地面上；還應考慮通c)警報、監(jiān)控和測試安全周邊的所有防火門以及墻壁，以根據(jù)適當?shù)臉藴蚀_定所需的阻力水平。它們應該以故障安全方式運行。物理入口護。辦公室、房間和設施的安全應為辦公室、房間和設施設計并采取物理安全措施.安全管理程營業(yè)場所應持續(xù)被監(jiān)控，防止未經(jīng)授權的物理訪者警報、閉路電視等視頻監(jiān)控系統(tǒng)以及內部或監(jiān)控外部和環(huán)境威脅的安全防護應設計和實施針對物理和環(huán)境威脅的保護措施，如自然災害和對基礎設施的其他有意或無意的物理威脅。在安全區(qū)域工作應設計并實施在安全區(qū)域工作的安全措施。則；針對信息處理設施，采用清理屏幕規(guī)則，并適當?shù)膱?zhí)行。設備選址和保護設備應安全放置并加以保護。應考慮以下準則來保護設備：免未經(jīng)授權的進入；b)仔細定位處理敏感數(shù)據(jù)的信息處理設施，以減少未經(jīng)授權的人員在使用過程中查看信息的風險；c)采取控制措施將潛在的物理和環(huán)境威脅的風險降至最低[例如盜竊、火災、爆炸物、煙霧、水(或供信干擾、電磁輻射和故意破壞];d)制定信息處理設施附近的飲食和吸煙指南；e)監(jiān)測可能對信息處理設施的運行產生不利影響的環(huán)境條件，例如溫度和濕度；f)對所有建筑物實施防雷保護，并在所有輸入電源和通信線路上安裝防雷過濾器；例如鍵盤膜；h)保護處理機密信息的設備，以盡量減少因電磁輻射而導致信息泄露的風險；i)在物理上將組織管理的信息處理設施與非組織管組織場所外的資(例如移動設備),包括組織擁有的設備和私人擁有并代表組織使用的設備(BYOD)都需要保護。這存儲介質應根據(jù)組織的分級方案和處理要求，對存儲介質的獲取、使用、運輸和處置的整個生命周期進行管交換管理規(guī)截獲、干擾或破壞。設備維護應正確維護設備，以確保信息的可用性、完整性和保密性。或再利用數(shù)據(jù)和許可軟件在處置或重新使用前已被刪除或安全覆蓋。理或通過用戶終端設備訪問的信息。應限制并控制特許訪問權的分配和使用。信息訪問限制信息和其他相關資產的訪問應根據(jù)既定的訪問控制專題策略加以限制。源代碼的訪問安全的身份驗證根據(jù)信息訪問限制和訪問控制的專題策略，實施安全的身份驗證技術和流程。資源的使用應根據(jù)當前和預期的容量要求進行監(jiān)測和調整。惡意軟件防范持。估組織對此類脆弱性的暴露，并采取適當措施。務和網(wǎng)絡的配置，包括安全配置。當不再需要時，應刪除存儲在信息系統(tǒng)、設備或任式(如電子覆蓋或加密擦除);b)記錄刪除結果作為證據(jù)；c)在使用信息刪除服務商時，向其獲取信息刪除證如果第三方代表其存儲組織的信息，則組織應考慮將信息刪除要求納入第三方協(xié)議，以在此類服務期如果需要考慮保護敏感數(shù)據(jù)(例如PII),組織應或其他敏感信息的真實身份，斷開PII與PII使用假名或匿名技術時，應驗證數(shù)據(jù)已被充分假名或匿名化。數(shù)據(jù)匿名化應考慮敏感信息的所有元素是有效的。例如，如果考慮不當，即使可以直接識識別該人的進一步數(shù)據(jù)來識別該人。數(shù)據(jù)泄露防護信息的系統(tǒng)、網(wǎng)絡和任何其他設備。組織應考慮以價模型和產品設計);b)監(jiān)控數(shù)據(jù)泄漏渠道(例如電子郵件、文件傳輸、移動設備和便攜式存儲設備);c)采取措施防止信息泄露(例如，隔離包含敏感信理規(guī)定》信息處理設施的日志監(jiān)控活動時鐘同步特權實用程序的使用理程序》網(wǎng)絡安全管理制度》網(wǎng)絡服務的安全應識別、實施和監(jiān)控網(wǎng)絡服務的安全機制、服務級管理制度》網(wǎng)絡隔離應考慮通過將大型網(wǎng)絡劃分為單獨的網(wǎng)絡域并將它管理制度》們與公共網(wǎng)絡(即互聯(lián)網(wǎng))分開來管理大型網(wǎng)絡的安全性?？梢愿鶕?jù)信任級別、關鍵性和敏感性(例如公共訪問域、桌面域、服務器域、低風險和高風險系統(tǒng))以及組織單位(例如人力資源、財務、營如果允許網(wǎng)絡域之間的訪問，則應使用網(wǎng)關(例如防火墻、過濾路由器)在外圍對其進行控制。將網(wǎng)基于對每個域的安全要求的評估。評估應符合特定主題的訪問控制政策(見5.15)、訪問要求、處理信息的價值和分類，并考慮結合適當網(wǎng)關技術的相網(wǎng)頁過濾應對外部網(wǎng)站的訪問進行管理，以減少惡意內容的組織應降低員工訪問包含非法信息或已知包含病毒或網(wǎng)絡釣魚材料的網(wǎng)站的風險。一種通過阻止相關網(wǎng)站的IP地址或域來實現(xiàn)此目的的技術。一些瀏覽器和反惡意軟件技術會自動執(zhí)行此操作或可以配加密技術的使用應定義和實施有效的加密技術使用規(guī)則，包括密鑰安全開發(fā)生命周期安全開發(fā)是構建安全服務、架構、軟件和系統(tǒng)的必a)開發(fā)、測試和生產環(huán)境的分離(見8.31);發(fā)與維護管理b)軟件開發(fā)生命周期中的安全指南：1)軟件開發(fā)方法的安全性(見8.28和8.27);2)使用的每種編程語言的安全編碼指南(見c)規(guī)范和設計階段的安全要求(見5.8);d)項目中的安全檢查點(見5.8);e)系統(tǒng)和安全測試，例如回歸測試、代碼掃描和滲透測試(見8.29);f)源代碼和配置的安全存儲庫(見8.4和g)版本控制中的安全性(見8.32);h)所需的應用安全知識和培訓(見8.28);i)開發(fā)人員預防、發(fā)現(xiàn)和修復漏洞的能力(見j)許可要求和替代方案，以確保具有成本效益的解決方案，同時避免未來的許可問題(見5.32)。如果開發(fā)是外包的，組織應確保供應商遵守組織的安全開發(fā)規(guī)則(見8.30)。求在開發(fā)或獲取應用程序時，應確定、規(guī)定和批準信息安全要求。發(fā)與維護管理安全系統(tǒng)架構和工程原則應用于任何信息系統(tǒng)開發(fā)活動。發(fā)與維護管理安全編碼軟件開發(fā)應采用安全編碼原則。發(fā)與維護管理開發(fā)和驗收中的應在開發(fā)生命周期中定義和實施安全測試過程。安全測試外包開發(fā)發(fā)與維護管理產環(huán)境的分離發(fā)與維護管理新系統(tǒng)的引入和對現(xiàn)有系統(tǒng)的重大變更應遵循商定的規(guī)則和文檔、規(guī)范、測試、質量控制和管理實施的正式流程。變更控制程序應形成文件并加以執(zhí)行，以確保信息處理設施和信息系統(tǒng)中信息的機密性、完整性和可用性，適用于從早期設計階段到所有后續(xù)維護工作的整個系統(tǒng)開發(fā)生命周期。測試信息作信息的保密性。不應將敏感信息(包括個人身份信息)復制到開發(fā)和測試環(huán)境中(見8.31)。測試信息應安全存儲(防止篡改，否則可能導致無發(fā)與維護管理審計測試期間信息系統(tǒng)的保護涉及運行系統(tǒng)的審計測試和其他評估保證活動應在受控狀態(tài)：受控【組織名稱】信息安全程序文件匯編文檔編號：ISMS-P00-2023編寫：審核：批準：生效日期：修訂日期：//創(chuàng)建文檔 1.1編寫目的 1.2適用范圍 2、術語、定義和縮略語 2.1管理體系文件 2.2管理手冊 2.3程序文件 2.4作業(yè)指導文件 3.3文件修改人的職責 4、體系文件階層及編碼 5.1文件要素 5.2文件控制 5.2.2文件審批975.2.3文件的監(jiān)督、核查 5.2.4文件保存與發(fā)放 5.2.7文件的作廢處置 5.2.8外來文件的管理 1.2適用范圍 2、術語、定義和縮略語 3、職責 4.1記錄的填寫規(guī)定 4.3記錄的儲存與維護 4.5記錄表格的修訂 4.5.1各部門的記錄表格在使用前均須經(jīng)過主管級以上批準 4.7當有追溯要求時，各部門的記錄應及時提供查閱 1、文檔介紹 4、作業(yè)內容 4.2作業(yè)說明 284.2.1內部審核的策劃內審計劃的制定 4.2.2實施內部審核 4.2.3執(zhí)行糾正措施 3.2管理評審程序 3.2.1管理評審策劃管理評審計劃制定 3.2.2管理評審實施1)管理評審準備 3.2.3管理評審后續(xù)問題處理編制管理評審報告 4.管理評審相關表單 2適用范圍 3術語和定義 4.1.2負責識別與公司有關的法律法規(guī)，并檢驗是否滿足 5工作程序 5.1法律符合性測量 205.1.1法律識別 20 5.1.3保護組織的記錄 215.1.4數(shù)據(jù)保護和個人信息的隱私 21 5.1.6密碼合法使用 5.2策略、標準和技術的符合性測量 21 215.2.2技術符合性測量 5.3信息系統(tǒng)審計 5.3.2審計工具的保護 5.4審計過程和產品 22 6記錄 24 24 24 24 26 26 27 28 29 3、引用文件 4、職責 4.1人力資源部 31 4.3總經(jīng)理 5.1安全角色與職責 1周內完成 325.3任用條款和條件 6、任用中 6.1體系教育與培訓 6.2.3教育培訓計劃經(jīng)總經(jīng)理批準后實施 6.3培訓的目的 6.4培訓的對象及內容 356.5.1培訓：由公司內、外部有專長的人員就某一專題進行講授 6.6培訓記錄 6.7紀律處理 7.3撤銷訪問權 37 39 40 40 40 機密性賦值(x) 41 42資產重要性等級(A) 43 447.3.1威脅分類 7.3.2威脅賦值(T) 47 7.4.1脆弱性識別內容 487.4.2脆弱性賦值(V) 7.6風險分析 7.6.3風險計算(R) 7.6.4風險結果判定 51 7.7.1風險處置計劃 7.7.2風險處置的可選措施 7.7.3風險處理工作的優(yōu)先級排序 2、規(guī)范性引用文件 4.2各部門 5.1密級的分類 6.2企業(yè)秘密的指令 6.4接收部門和使用目的、范圍的指定 6.5秘密文件的發(fā)放管理 6.6企業(yè)秘密的使用 7、企業(yè)秘密、受控指令的解除或變更 7.1解除或變更的條件 7.2解除或變更的方法 9、事故的處理 59 59 4.2用戶訪問管理 4.2.1權限申請 a)權限申請人員；b)訪問權限的級別和范圍；c)申請理由；d)有效期 4.2.2權限變更 4.2.4連接的控制 4.2.5會話與聯(lián)機時間的控制 62 4.3.1分配給用戶一個安全臨時口令，并通過安全渠道傳遞給用戶，并要求 4.4特殊權限管理 4.5訪問記錄控制 4.6遠程工作策略 4.7遠程工作授權程序 4.7.3當不再需要遠程工作時，應及時取消該用戶的訪問權 4.8密碼設置 4.8.2密碼存儲 4.8.5密碼變更、廢除、銷毀及恢復 2、適用范圍 633.1密碼：本程序中的密碼指用戶的認證信息，或叫口令； 4.1系統(tǒng)管理員 4.2.1負責按本程序的要求使用、保護、定期更換自己的密碼； 6.1密碼管理策略 6.1.4登錄成功時，盡可能顯示上一次登錄的日期和時間； 64 646.2密碼的分配與傳遞要求 6.3.1一般不對密碼進行可記錄形式的儲存； 6.3.3可行時，系統(tǒng)管理員在定期更換密碼后保存歷史加密密碼，以防止密碼的重 6.4密碼的使用 ISMS-P13物理與環(huán)境安全管理程序 4.1外來人員分類 1)本公司職工上下班必須認真準時打卡，不得有代打卡行為發(fā)生 1)出口玻璃門鎖早晨打開，晚上下班后上鎖 7)管理運營部負責對員工進行安全培訓，提高安全意識 4.5訪客管理 5)重要被邀訪客的登記，可由公司邀請部門直接填寫 4.6設備安全 4.7消防管理 1)與物業(yè)簽訂合同時，要記入相關消防安全項目，明確雙方責任 3)安全通道禁止擺放任何物品，并設置安全疏散標志 5、安全培訓 7記錄 3、數(shù)據(jù)保存管理 3.1數(shù)據(jù)導入和修改 3.2數(shù)據(jù)提取和發(fā)放 723.3.6通信線路傳輸數(shù)據(jù)的保密策略 3.4數(shù)據(jù)操作日志管理 4、保護關鍵數(shù)據(jù) 73 73 4.3備份操作管理 4.3.1對服務器要做好相應的備份 6、備份恢復 76 77 2、信息處理設施的分類 78 4.3編寫購入規(guī)格書 5信息處理設施的日常維護管理 5.1計算機設備管理 5.2計算機設備維護 805.6.2使用計算機時應遵循信息安全策略要求執(zhí)行 5.6.6不得使用計算機設備處理正常工作以外的事務 5.6.9嚴禁亂拉接電源，以防造成短路或失火 5.7網(wǎng)絡安全使用的要求 5.8支持性設施與布覽安全 5.9無人值守的用戶設備保護 6、信息處理設施的日常點檢 6.1計算機的日常點檢 6.2網(wǎng)絡設備的管理與維護 6.3點檢策略 6.3.2審核日志應該包括：事件(成功或失敗)發(fā)生的時間；事件的有關信息 6.4維修服務的外包安全控制 6.4.3不接受廠商通過遠程診斷端口進行遠程維護訪問授權 846.6網(wǎng)絡掃描工具的安全使用管理 6.7信息處理設備可用性管理 7、其它要求 1.文檔介紹 1.1編寫目的 1.2適用范圍 2.術語、定義和縮略語 3.變更管理流程 3.1流程解釋 3.2業(yè)務價值 3.3流程原則 903.3.2責任人原則 3.3.3風險判定原則 3.3.5目標解決時間原則 3.3.7前導時間原則 3.4.1變更信息項 3.4.3變更分類 3.5角色及職責 3.6流程輸入及輸出 3.6.1流程觸發(fā)條件 3.6.4流程關閉條件 3.7.1作業(yè)流程說明 3.9相關文件 4.1應用軟件設計開發(fā)的控制 4.1.1設計開發(fā)任務提出 974.1.2設計開發(fā)的策劃 97 4.1.4設計開發(fā)方案的技術評審 4.1.5設計開發(fā)的環(huán)境要求 4.1.8源程序庫(程序源代碼)管理及技術文檔管理 99 4.2.2容量策劃 4.2.3變更策劃 4.2.4變更的實施 4.2.6軟件包的變更 2、適用范圍 5.2控制指標 ISMS-P19事件管理程序 4.1信息安全事件定義與分類 4.1.2信息安全事件分類規(guī)范 4.2.2故障、事故的響