2018最新ISO27001信息安全管理體系全套文件(手冊+程序文件+作業(yè)規(guī)范)

ISO27001（手冊+程序文件+作業(yè)規(guī)范）信息安全管理體系程序文件目錄文件編號文件名稱XX-ISMS-01事故事件薄弱點與故障管理程序XX-ISMS-02業(yè)務(wù)持續(xù)性管理程序XX-ISMS-03企業(yè)商業(yè)技術(shù)秘密管理程序XX-ISMS-04信息處理設(shè)施引進實施管理程XX-ISMS-05信息安全人員考察與保密管理程序XX-ISMS-06信息安全懲戒管理程序XX-ISMS-07信息安全適用性聲明XX-ISMS-08信息安全風(fēng)險評估管理程序XX-ISMS-09內(nèi)審管理程序XX-ISMS-10惡意軟件控制程序XX-ISMS-11更改控制程序XX-ISMS-12物理訪問管理程序XX-ISMS-13用戶訪問控制程序XX-ISMS-14管理評審控制程序XX-ISMS-15系統(tǒng)開發(fā)與維護控制程序XX-ISMS-16系統(tǒng)訪問與使用監(jiān)控管理程序XX-ISMS-17計算機賬戶及密碼管理程序XX-ISMS-18文件和資料管理程序XX-ISMS-19重要信息備份管理程序XX-ISMS-20預(yù)防措施程序信息安全管理體系作業(yè)文件目錄文件編號文件編號文件名稱XX-ISMS-SOP-01防火墻安全管理規(guī)定XX-ISMS-SOP-02介質(zhì)銷毀管理規(guī)定XX-ISMS-SOP-03信息機房管理制度XX-ISMS-SOP-04信息中心安全事件報告和處置管理制度XX-ISMS-SOP-05信息中心密碼管理制度XX-ISMS-SOP-06信息系統(tǒng)訪問權(quán)限說明XX-ISMS-SOP-07檔案鑒定銷毀工作規(guī)定XX-ISMS-SOP-08移動介質(zhì)使用管理規(guī)定XX-ISMS-SOP-09復(fù)印室管理制度XX-ISMS-SOP-10重要文件加密解密管理制度XXX有限公司文件名稱文件名稱事故事件薄弱點與故障管理程序版次A/0頁碼文件編號XX-ISMS-01日期2017.11.011/3適用本程序適用于公司信息安全事故、薄弱點、故障和風(fēng)險處置的管理。目的為建立一個適當(dāng)信息安全事故、薄弱點、故障風(fēng)險處置的報告、反應(yīng)與處理機制，減少信息安全事故和故障所造成的損失，采取有效的糾正與預(yù)防措施，正確處置已經(jīng)評價出的風(fēng)險，特制定本程序。職責(zé)各系統(tǒng)歸口管理部門主管相關(guān)的安全風(fēng)險的調(diào)查、處理及糾正措施管理。各系統(tǒng)使用人員負(fù)責(zé)相關(guān)系統(tǒng)安全事故、薄弱點、故障和風(fēng)險的評價、處置報告。程序信息安全事故定義與分類：原因直接造成下列影響（后果)之一，均為信息安全事故：企業(yè)秘密、機密及國家秘密泄露或丟失；4小時以上；造成信息資產(chǎn)損失的火災(zāi)、洪水、雷擊等災(zāi)害；損失在十萬元以上的故障/事件。因直接造成下列影響（后果)之一，屬于重大信息安全事故：企業(yè)機密及國家秘密泄露；8小時以上；造成機房設(shè)備毀滅的火災(zāi)、洪水、雷擊等災(zāi)害；損失在一百萬元以上的故障/事件。信息安全事件包括：未產(chǎn)生惡劣影響的服務(wù)、設(shè)備或者實施的遺失；未產(chǎn)生事故的系統(tǒng)故障或超載；未產(chǎn)生不良結(jié)果的人為誤操作；未產(chǎn)生惡劣影響的物理進入的違規(guī)文件名稱文件名稱事故事件薄弱點與故障管理程序版次A/0頁碼文件編號XX-ISMS-01日期2017.11.012/3未產(chǎn)生事故的未加控制的系統(tǒng)變更；策略、指南和績效的不符合；可恢復(fù)的軟件、硬件故障；未產(chǎn)生惡劣后果的非法訪問。故障與事故的報告渠道與處理故障、事故報告要求故障、事故的發(fā)現(xiàn)者應(yīng)按照以下要求履行報告任務(wù)：必要措施，保證對生產(chǎn)的影響降至最低；發(fā)生火災(zāi)應(yīng)立即觸發(fā)火警并向安全監(jiān)督部報告，啟動消防應(yīng)急預(yù)案；涉及企業(yè)秘密、機密及國家秘密泄露、丟失應(yīng)向行政部報告；發(fā)生重大信息安全事故，事故受理部門應(yīng)向信息安全管理者代表和有關(guān)公司領(lǐng)導(dǎo)報告。故障、事故的響應(yīng)當(dāng)措施：報告者應(yīng)保護好故障、事故的現(xiàn)場，并采取適當(dāng)?shù)膽?yīng)急措施，防止事態(tài)的進一步擴大；按照有關(guān)的故障、事故處理文件（程序、作業(yè)手冊）時，啟動業(yè)務(wù)持續(xù)性管理計劃。相關(guān)/支持性文件《預(yù)防措施控制程序》5.3《信息安全獎勵、懲戒規(guī)定》5.4I《法律法規(guī)與符合性評估程序》記錄保存期限《信息安全風(fēng)險評估報文件名稱文件名稱事故事件薄弱點與故障管理程序版次A/0頁碼文件編號XX-ISMS-01日期2017.11.013/3《糾正/預(yù)防措施申請書》《信息安全事故調(diào)查處理報告》《信息安全薄弱點報告》文件名稱文件名稱業(yè)務(wù)持續(xù)性管理程序版次A/0頁碼文件編號XX-ISMS-02日期2017.11.011/2目的與范圍本程序規(guī)定了當(dāng)發(fā)生重大信息安全事件或災(zāi)難時，為保護公司業(yè)務(wù)活動免受影響，迅速恢復(fù)已中斷的業(yè)務(wù)活動，實現(xiàn)公司業(yè)務(wù)持續(xù)發(fā)展而實施的管理活動。這些活動包括：建立業(yè)務(wù)持續(xù)性管理程序；進行業(yè)務(wù)持續(xù)性和影響分析；編制業(yè)務(wù)持續(xù)性戰(zhàn)略計劃；制訂業(yè)務(wù)持續(xù)性管理實施計劃并實施；對業(yè)務(wù)持續(xù)性管理計劃進行定期測試和評審等。本程序適應(yīng)于本公司應(yīng)用軟件的開發(fā)和系統(tǒng)集成的活動等主要業(yè)務(wù)的持續(xù)性管理。相關(guān)文件《信息安全管理手冊》《信息資產(chǎn)的識別與風(fēng)險評估管理程序》《事故、薄弱點與故障管理程序》職責(zé)公司常務(wù)副總經(jīng)理負(fù)責(zé)公司業(yè)務(wù)中斷的恢復(fù)的總指揮與總協(xié)調(diào)。動。各部門負(fù)責(zé)部門相關(guān)系統(tǒng)的故障處理及與之相關(guān)的作業(yè)中斷的恢復(fù)。技術(shù)部負(fù)責(zé)項目實施過程中設(shè)備及軟件系統(tǒng)的故障處理及與之相關(guān)的作業(yè)中斷的恢復(fù)。集成部負(fù)責(zé)后勤系統(tǒng)設(shè)備及網(wǎng)絡(luò)系統(tǒng)的故障處理及與之相關(guān)的作業(yè)中斷的恢復(fù)。行政部負(fù)責(zé)本部門管理系統(tǒng)及與之相關(guān)的作業(yè)中斷的恢復(fù)。數(shù)據(jù)，及時恢復(fù)中斷的業(yè)務(wù)活動。工作程序業(yè)務(wù)持續(xù)性管理過程公司業(yè)務(wù)持續(xù)性管理過程規(guī)定如下：文件名稱文件名稱業(yè)務(wù)持續(xù)性管理程序版次A/0頁碼文件編號XX-ISMS-02日期2017.11.012/2業(yè)務(wù)持續(xù)性和影響的分析公司在首次信息安全風(fēng)險評估后進行業(yè)務(wù)持續(xù)性和影響的分析。的相關(guān)部門分別開展以下活動：對本部門的信息安全進行風(fēng)險評估；識別出對本部門業(yè)務(wù)持續(xù)性造成嚴(yán)重影響的主要事件，如設(shè)備故障、火災(zāi)等；d)（ISMS-4341)。a)識別關(guān)鍵業(yè)務(wù)的管理過程；b)可能引起公司業(yè)務(wù)活動中斷的主要事件；c)d)信息系統(tǒng)故障或中斷對公司業(yè)務(wù)活動的影響；e)關(guān)于系統(tǒng)恢復(fù)或替換的費用考慮。記錄《業(yè)務(wù)持續(xù)性和影響分析報告》《業(yè)務(wù)持續(xù)性管理戰(zhàn)略計劃》《業(yè)務(wù)持續(xù)性管理實施計劃》《業(yè)務(wù)持續(xù)性管理計劃測試報告》《業(yè)務(wù)持續(xù)性管理計劃評審報告文件名稱文件名稱企業(yè)商業(yè)技術(shù)秘密管理程序版次A/0頁碼文件編號XX-ISMS-03日期2017.11.011/3第一章總則第一條為保障公司的合法權(quán)益，充分發(fā)揮作為公司重要資產(chǎn)的技術(shù)秘密、商業(yè)秘密的效益，鼓勵員工不斷創(chuàng)造并自覺維護技術(shù)秘密、商業(yè)秘密的積極性，根據(jù)《知識產(chǎn)權(quán)管理總則》制訂本制度。是公司的重要資產(chǎn)。要在公司內(nèi)牢固樹立技術(shù)秘密、商業(yè)秘密的保護意識；技術(shù)秘密、商業(yè)秘密的管理貫穿研究開發(fā)、生產(chǎn)和經(jīng)營的全過程。明確商業(yè)秘密的界定和保護。第三條公司內(nèi)的相關(guān)管理制度、合同、記錄等文獻所有文件均屬于商業(yè)機密。第二章技術(shù)秘密、商業(yè)秘密的定義、確立和管理機制第四條.公司知識產(chǎn)權(quán)管理部門認(rèn)定并采取了保密措施、只在公司一定范圍內(nèi)流傳的、具有商業(yè)價值的所有信息或成果。這些信息或成果以各種紙質(zhì)材料、照片、錄像和計算機等數(shù)字存儲設(shè)備為載體而能夠為人所感知。具體包括：案，管理制度；未公開的銷售服務(wù)網(wǎng)絡(luò)以及公司現(xiàn)有的、正在開發(fā)或者構(gòu)思之中的經(jīng)營項目等信息及其承載物；依據(jù)法律和有關(guān)協(xié)議對第三方負(fù)有保密責(zé)任的第三方商業(yè)秘密。第五條. 確定為技術(shù)秘密、商業(yè)秘密的信息及其承載物，歸公司所有第六條.技術(shù)秘密、商業(yè)秘密的確定程序：由參與藥品研發(fā)創(chuàng)新，研發(fā)部就某一項或幾項信息，向公司行政管理部門申報；行政董事接到申報后采取：人或菜肴創(chuàng)造者本人；向公司常務(wù)董事匯報并提出是否構(gòu)成技術(shù)秘密公司行政董事在接到知識產(chǎn)權(quán)管理部門的匯報后應(yīng)立即作出是否確定為技術(shù)秘密、商業(yè)秘密的決定；d)措施。e)第七條商業(yè)秘密管理機制。查各部門的保密工作，作出獎懲決定。工作，配合支持知識產(chǎn)權(quán)管理部門履行公司技術(shù)秘密、商業(yè)秘密保護工作。知識產(chǎn)權(quán)管理部門是公司技術(shù)秘密、商業(yè)秘密保護工作的職責(zé)機構(gòu)，具體操作落實與協(xié)調(diào)商業(yè)秘密保護文件名稱文件名稱企業(yè)商業(yè)技術(shù)秘密管理程序版次A/0頁碼文件編號XX-ISMS-03日期2017.11.012/3自覺維護公司的商業(yè)秘密。第三章技術(shù)秘密、商業(yè)秘密及其承載物的管理部門確立密級和保密期限。密級劃分的標(biāo)準(zhǔn)、保密期限的確立，要參考該信息或成果同公司業(yè)務(wù)的聯(lián)系程度、與同行業(yè)競爭的影響力度、是否為公司運營的關(guān)鍵等因案，由知識產(chǎn)權(quán)管理部門劃定。商業(yè)秘密的申報人應(yīng)當(dāng)提供意見?！钡馁Y料，參照本制度做好保密工作。絕密——術(shù)訣竅、財務(wù)報表、藥品研發(fā)工藝、特殊化合同。機密——計劃、公司內(nèi)部重要文件。保密——信息，限于一定范圍閱讀的公司內(nèi)部文件等?！獌?nèi)部員工閱讀的公司內(nèi)部文件。第十條.檔案卷宗封面加蓋保密印章，登記、編號后統(tǒng)一放置保密資料專門存放處保存，并建立臺帳登記，重要的資料柜實行雙鑰匙制度。密、商業(yè)秘密檔案材料，該資料拒應(yīng)由專人管理。第十一條.商業(yè)技術(shù)機密材料的借閱，必須經(jīng)公司行政董事批準(zhǔn)，確定借閱時間，使用后立即歸還，不得延期，更不得交與他人使用。第十二條.商業(yè)技術(shù)機密材料的復(fù)印，必須經(jīng)公司行政董事批準(zhǔn)后，由專人（理應(yīng)是財務(wù)部經(jīng)理）未見公司行政董事批準(zhǔn)意見，一律不得復(fù)印。復(fù)印由專人負(fù)責(zé)，復(fù)印期間不得向他人泄漏，復(fù)印后應(yīng)當(dāng)立即將復(fù)印稿和原稿交還申請復(fù)印人，廢稿要立即銷毀，不得留存或隨意丟棄。第四章技術(shù)秘密、商業(yè)秘密的保障措施秘密、商業(yè)秘密保護范圍內(nèi)，產(chǎn)生的任何信息或成果，不論最終產(chǎn)生的知識產(chǎn)權(quán)形式如何，均作為公司的技術(shù)秘密、商業(yè)秘密進行保護。第十四條對于在研發(fā)過程中被確定為技術(shù)秘密、商業(yè)秘密的信息，由于處在不斷發(fā)展改進的狀態(tài)下，其檔案材料可以經(jīng)公司知識產(chǎn)權(quán)主管領(lǐng)導(dǎo)批準(zhǔn)后保留在本部門，但必須設(shè)專門存放處保存，以計算機等保文件名稱文件名稱企業(yè)商業(yè)技術(shù)秘密管理程序版次A/0頁碼文件編號XX-ISMS-03日期2017.11.013/3存的，必須對該設(shè)備進行數(shù)字加密，密碼不得向任何無關(guān)該商業(yè)秘密的人透露。成的過程檔案進行保存、銷毀、解秘等措施。專門保存檔案資料等的工作。參與技術(shù)創(chuàng)新的有關(guān)人員，在開發(fā)項目進行中，應(yīng)履行商業(yè)秘密的保密工作。第十六條公司所有員工有義務(wù)保護公司技術(shù)秘密、商業(yè)秘密的安全。所有員工對于公司技術(shù)秘密、商業(yè)秘密的保護而產(chǎn)生的義務(wù)、權(quán)利及相應(yīng)獎勵、處罰。范圍和程度使用，不得將實物、資料等擅自帶離工作崗位，未經(jīng)書面同意，不得隨意進行復(fù)制、交流或轉(zhuǎn)移含有公司技術(shù)秘密、商業(yè)秘密的資料。第十八條員工在參加任何級別的學(xué)術(shù)交流活動、產(chǎn)品訂貨會、技術(shù)鑒定會等會議或活動時，必須注意保護公司的技術(shù)秘密、商業(yè)秘密，用以交流的文檔或資料事先要經(jīng)過上級審查批準(zhǔn)。第十九條.公司在對外發(fā)布新產(chǎn)品信息和廣告時，要注意避免泄漏公司的技術(shù)秘密、商業(yè)秘密。重要的新產(chǎn)品宣傳、廣告文稿必須經(jīng)公司行政董事審核批準(zhǔn)后才可發(fā)布。第二十條公司在接受外公司人員的實習(xí)、合作研究、學(xué)習(xí)進修等工作時，對公司的技術(shù)秘密、商業(yè)秘密負(fù)有保密的義務(wù)。（應(yīng)將接觸到的所有包含職務(wù)開發(fā)中技術(shù)秘密、商業(yè)秘密的數(shù)據(jù)、文檔等的記錄、模型、軟磁盤、光盤及數(shù)字存儲裝置以及其他媒介形式的資料如數(shù)交回公司。第五章技術(shù)秘密、商業(yè)秘密效益發(fā)揮的保證措施委托符合執(zhí)業(yè)要求的中介機構(gòu)完成，并通過合同約定嚴(yán)格的保密措施。明確雙方的權(quán)利和義務(wù)及合作方在合同末完全履行，泄漏公司技術(shù)秘密、商業(yè)秘密應(yīng)承擔(dān)的責(zé)任。事先制定談判提綱，該提綱經(jīng)行政董事批準(zhǔn)。第二十四條在技術(shù)合作中產(chǎn)生的技術(shù)成果，其知識產(chǎn)權(quán)形式的確定和歸屬由合同約定，凡以技術(shù)秘密、商業(yè)秘密約定歸屬本公司應(yīng)采取保密措施。第二十五條因員工開發(fā)或參與開發(fā)的技術(shù)創(chuàng)新項目、新產(chǎn)品技術(shù)或創(chuàng)造發(fā)明而形成的商業(yè)秘密，在對外的技術(shù)合作過程中產(chǎn)生收益，本公司將取得實際利益給予最大力度獎勵。第二十六條本公司所有正式，試用，兼職，實習(xí)員工無條件遵守本管理辦法。文件名稱文件名稱信息處理設(shè)施引進實施管理程版次A/0頁碼文件編號XX-ISMS-04日期2017.11.011/7適用與目的本程序適用于公司與IT相關(guān)各類信息處理設(shè)施（包括各類軟件、硬件、服務(wù)、傳輸線路）的引進、實施、維護等事宜的管理。施的保密性、完整性和可用性。信息處理設(shè)施的分類制系統(tǒng)終端設(shè)備。業(yè)務(wù)管理系統(tǒng)、財務(wù)管理系統(tǒng)，包括位于機房的服務(wù)器和位于使用區(qū)域的終端設(shè)備。服務(wù)器、Email服務(wù)器等。網(wǎng)絡(luò)設(shè)備，包括交換機、路由器、防火墻等。其它辦公設(shè)備，包括電話設(shè)備、復(fù)印機、傳真機等。職責(zé)XX部主要負(fù)責(zé)全公司與IT相關(guān)各類信息處理設(shè)施及其服務(wù)的引進。包括制作技術(shù)規(guī)格書、進行技XX日常管理與維護。各部負(fù)責(zé)項目實施過程中設(shè)備及軟件系統(tǒng)的管理制度的執(zhí)行與維護。XX/網(wǎng)絡(luò)通訊與辦公系統(tǒng)的管理與維護。信息處理設(shè)施的引進和安裝引進依賴各部門必須采購的信息處理設(shè)施、外包開發(fā)信息系統(tǒng)項目或外包信息系統(tǒng)服務(wù)，得到本部門經(jīng)理的批準(zhǔn)后，向XXXX是否引進的評價結(jié)果并向提出部門返回該信息。文件名稱文件名稱信息處理設(shè)施引進實施管理程版次A/0頁碼文件編號XX-ISMS-04日期2017.11.012/7本公司禁止員工攜帶個人或私有信息處理設(shè)施（例如便攜式電腦、家用電腦或手持設(shè)備PDA等）理業(yè)務(wù)信息。進行技術(shù)選型XX部負(fù)責(zé)對購入的信息處理設(shè)施的技術(shù)選型，并從技術(shù)角度對供應(yīng)商進行評價。技術(shù)選型應(yīng)該包含以下幾方面：性能、相關(guān)設(shè)施的兼容性、協(xié)作能力、技術(shù)發(fā)展能力等。編寫購入規(guī)格書XX關(guān)設(shè)施的性能（包括安全相關(guān)信息XX部主管審批。定貨由XX手續(xù)。開箱檢查，安裝、調(diào)試，驗收開箱檢查設(shè)備到貨后，xx部應(yīng)負(fù)責(zé)開箱檢查，依照購買規(guī)格書和裝箱單核對數(shù)量及物品，確認(rèn)有無損壞并記錄。必要時，應(yīng)通知有關(guān)部門到場協(xié)同檢查。安裝、調(diào)試必要時可通知相關(guān)部門共同進行。驗收安裝調(diào)試完成以后，XX部應(yīng)依據(jù)以下文件實施驗收：·購入規(guī)格書·采購合同及其相關(guān)附件·調(diào)試時故障履歷驗收原則上由XXXX斷。驗收合格后，可向相關(guān)的使用部門移交。文件名稱文件名稱信息處理設(shè)施引進實施管理程版次A/0頁碼文件編號XX-ISMS-04日期2017.11.013/7信息處理設(shè)施的日常維護管理計算機設(shè)備管理XX入該部門信息資產(chǎn)清單。必要的計算機設(shè)備。辦公場所不配備多媒體類計算機設(shè)備，原則上部門經(jīng)理以上配備筆記本電腦，因工作需要配備筆記本電腦的需經(jīng)主管副總批準(zhǔn)。的授權(quán)；遷移出公司，需要得到最高管理層的授權(quán)。機及附屬設(shè)備屬公司信息資產(chǎn)，在行政部備案。有關(guān)計算機設(shè)備所帶技術(shù)說明書、軟件由行政部保存。使用部門的使用人應(yīng)妥善保管計算機及附屬設(shè)備，公用計算機設(shè)備由使用部門經(jīng)理指定專人負(fù)責(zé)使用管理。離職時，應(yīng)將計算機交還XX部，由XX部注銷賬戶。計算機設(shè)備維護計算機使用部門應(yīng)將每部計算機落實到個人管理。計算機使用人員負(fù)責(zé)計算機的日常維護和保養(yǎng)；XX部按照《惡意軟件控制程序》要求進行計算機查毒和殺毒工作。計算機使用部門發(fā)現(xiàn)故障或異常，可先報公司XX管理員處理，如其無法解決，則由XX寫《事態(tài)事件脆弱性記錄》向供應(yīng)商申請維修。故障原因及處理結(jié)果應(yīng)記入《事態(tài)事件脆弱性記錄計算機調(diào)配與報廢管理用戶計算機更新后，原來的計算機由XX部根據(jù)計算機的技術(shù)狀態(tài)決定調(diào)配使用或予以報廢處理。含有敏感信息的計算機調(diào)配使用或報廢前，計算機使用部門應(yīng)與XX計算機內(nèi)的敏感信息清除。調(diào)配部門內(nèi)部的調(diào)配由使用部門自行處理，并通知XX5.1.3、5.1.4要求重新分配使用。文件名稱文件名稱信息處理設(shè)施引進實施管理程版次A/0頁碼文件編號XX-ISMS-04日期2017.11.014/7報廢處理計算機設(shè)備采用集中報廢處理。報廢前由XX部向行政部提出報廢，經(jīng)審核后由XX部實施報廢。XX部按照批準(zhǔn)的處置方案進行報廢處理，并變更固定資產(chǎn)清單。筆記本電腦安全管理管。筆記本所帶附件應(yīng)由使用者本人或部門負(fù)責(zé)人指定專人保管。部負(fù)責(zé)監(jiān)督。筆記本電腦在移動使用中，不能隨意拉接網(wǎng)絡(luò)，需通過填寫《用戶授權(quán)申請表》向XX部提前提出需求，經(jīng)XX部審批后方能接入網(wǎng)絡(luò)。計算機安全使用的要求計算機設(shè)備為公司財產(chǎn)，應(yīng)愛惜使用，按照正確的操作步驟操作。使用計算機時應(yīng)遵循信息安全策略要求執(zhí)行。員工入職時，由其所在部門的部門經(jīng)理根據(jù)該員工權(quán)限需要填寫《用戶授權(quán)申請表出用戶開戶申請；離職時也需填寫《用戶授權(quán)申請表》通知研發(fā)部辦理銷戶。新域用戶名為用戶姓名的拼音（有重名時另設(shè)，初始缺省密碼為XXXX6位以上（英文字母、數(shù)字或符號組合的優(yōu)質(zhì)密碼）并注意保密。申請新密碼后登錄。不得使用計算機設(shè)備處理正常工作以外的事務(wù)。計算機的軟硬件設(shè)置管理由研發(fā)部進行，未經(jīng)許可，任何人不得更換計算機硬件和軟件。升級按照《更改控制程序》執(zhí)行。拒絕使用來歷不明的軟件和光盤。嚴(yán)禁亂拉接電源，以防造成短路或失火。計算機桌面要保持清潔，不得將秘密和（或）幕保護，恢復(fù)時需用密碼確認(rèn)（執(zhí)行密碼口令管理規(guī)定。鎖屏?xí)r間可根據(jù)自己工作習(xí)慣設(shè)置鎖屏?xí)r間，5分鐘。各部門負(fù)責(zé)人進行監(jiān)督。文件名稱文件名稱信息處理設(shè)施引進實施管理程版次A/0頁碼文件編號XX-ISMS-04日期2017.11.015/7網(wǎng)絡(luò)安全使用的要求對于網(wǎng)絡(luò)連接供應(yīng)商，充分考慮其口碑和現(xiàn)有安全防范措施，在簽署保密協(xié)議的基礎(chǔ)上加以篩選。對內(nèi)設(shè)置必要的路由器防火墻，采用HTTP、FTP的連接方式，捆綁固定IP地址防止權(quán)限濫用。信息處理設(shè)施的日常點檢計算機的日常點檢需要在返回工作崗位時，立即補充完善。網(wǎng)絡(luò)設(shè)備的管理與維護點檢的流程、責(zé)任、項目、點檢周期和記錄表由XX部負(fù)責(zé)，特別的，在點檢中應(yīng)包括對MAIL的點檢。點檢策略系統(tǒng)審核、賬號審核和應(yīng)用審核日志必須打開，如果有警報和警示功能必須打開。審核日志必須保存一定的期限，任何個人和部門不得以任何理由刪除保存期之內(nèi)的日志。應(yīng)該得到評審，以查找違背信息安全的征兆和事實。認(rèn)的入侵行為和入侵企圖需及時匯報并采取相應(yīng)的措施。設(shè)備類型日志內(nèi)容設(shè)備類型日志內(nèi)容保存周期檢查周期服務(wù)系統(tǒng)對外提供服務(wù)的直接用于設(shè)計、存儲、a)用戶標(biāo)識符(ID)；≥6個月≥12個月≤2周≤2周檢測的控制、管理和查b)登錄和注銷事件；詢系統(tǒng) c)若可能，終端位置；全公司辦公系統(tǒng)d)成功的失敗的登錄試圖。≥6個月≤5周文件名稱文件名稱信息處理設(shè)施引進實施管理程版次A/0頁碼文件編號XX-ISMS-04日期2017.11.016/7防火墻和路由器部門內(nèi)部服務(wù)器其他服務(wù)器系統(tǒng)配置更改日志訪問日志(方向、流量)≥6個月≥6個月≥1個月≥1個月≤5周≤5周≤5周≤5周VPN網(wǎng)關(guān)a)用戶標(biāo)識符(ID)；b)登錄和注銷事件；c)終端位置；d)成功的失敗的登錄試圖?！?周≤1周入侵檢測異常網(wǎng)絡(luò)連接的時間、IP、≥3個月≤5周系統(tǒng)入侵類型遠程訪問系統(tǒng)a)用戶標(biāo)識符(ID)；b)登錄和注銷事件；c)終端位置；d)成功的失敗的登錄試圖?！?個月≤5周XXXX部主管或管理者代表的批準(zhǔn)和備案。XX問、特權(quán)操作、非授權(quán)的訪問試圖、系統(tǒng)故障與異常等情況，評審結(jié)束應(yīng)形成《日志檢查記錄資料的保存查閱。設(shè)備廠商對設(shè)備進行維修后提供的維修（維護）記錄單，由XX部保存，以備日后查詢。網(wǎng)絡(luò)掃描工具的安全使用管理對網(wǎng)絡(luò)掃描工具的使用，必須得到管理者代表的授權(quán)，并保存使用的記錄。其它要求涉及應(yīng)用系統(tǒng)軟件的開發(fā)（包括外包軟件開發(fā)）相關(guān)要求。文件名稱文件名稱信息處理設(shè)施引進實施管理程版次A/0頁碼文件編號XX-ISMS-04日期2017.11.017/7相關(guān)文件《系統(tǒng)開發(fā)與維護控制程序》《系統(tǒng)邏輯訪問管理制度》《日常點檢記錄表》3《日常點檢記錄表》3年記錄名稱保存部門保存期限《用戶授權(quán)申請表》《日志檢查評審記錄》《變更申請表》3年5年3年文件名稱文件名稱信息安全人員考察與保密管理程序版次A/0頁碼文件編號XX-ISMS-05日期2017.11.011/3與保密控制以及其他相關(guān)人員（合同方、臨時員工)的安全考察與控制。的員工被安排在關(guān)鍵或重要崗位，降低員工所帶來人為差錯、盜竊、欺詐及濫用設(shè)施的風(fēng)險，防止人員對于信息安全保密性、完整性、可用性的影響，特制定本程序。職責(zé)關(guān)人員（合同方、臨時員工)的安全考察與控制。各部門負(fù)責(zé)本部門員工的日?？疾旃芾砉ぷ?。員工錄用人員考察策略所有員工在正式錄用（借用)前應(yīng)進行以下方面考察：良好的性格特征，如誠實、守信等；應(yīng)聘者學(xué)歷、個人簡歷的檢查(完整性和準(zhǔn)確性)；學(xué)術(shù)或?qū)I(yè)資格的確認(rèn)；身份的查驗。員工從一般崗位轉(zhuǎn)到信息安全重要崗位，應(yīng)當(dāng)對其進行信用及能力考察。必要時，對承包商和臨時工進行同樣的考察。對錄用（借用)人員的考察行政部對擬錄用（借用)人員重點進行以下方面考察：根據(jù)應(yīng)聘資料及面試情況初判應(yīng)聘者的職業(yè)素質(zhì)；根據(jù)應(yīng)聘者人事經(jīng)歷的記載，了解是否有重大懲戒及犯罪記錄；文件名稱文件名稱信息安全人員考察與保密管理程序版次A/0頁碼文件編號XX-ISMS-05日期2017.11.012/3通過與應(yīng)聘者溝通，并了解其應(yīng)聘動機；了解其從事的專業(yè)和具備的技術(shù)水準(zhǔn)，是否符合該崗位的崗位說明書。在考察中發(fā)現(xiàn)應(yīng)聘者存在不良傾向的，將不予錄用（借用)。離職措施員工離職涉及《秘密管理規(guī)程》的保密事項，應(yīng)按要求采取相應(yīng)的保密措施。部門要加強員工離職時的涉密資料、口令等的交接工作。部門在員工離職后要采取相應(yīng)的技術(shù)防范措施（與信息科技部協(xié)調(diào)。任職期內(nèi)所獲得的公司的商業(yè)和技術(shù)秘密。離職程序員工必須在離職日前3０天向本部門部長提出書面離職報告。意見后送行政部?？偤涂偨?jīng)理審批。職日前必須把擔(dān)當(dāng)?shù)牟块T工作移交完畢。辦理離職手續(xù)離職員工到行政部索取ISMS-4374部門負(fù)責(zé)按照《用戶訪問控制程序》取消離職員工的訪問權(quán)限。文件名稱文件名稱信息安全人員考察與保密管理程序版次A/0頁碼文件編號XX-ISMS-05日期2017.11.013/3職者。技術(shù)部門員工離職必須簽訂ISMS-4375員工離職后如發(fā)生泄密情況，應(yīng)承擔(dān)由此涉及的法律責(zé)任。相關(guān)/支持性文件《用戶訪問控制程序》《秘密管理規(guī)程》《人事工作審批程序》記錄《應(yīng)聘申請表》《崗位調(diào)整審查表》《員工特別事項處理意見表》《員工離公司手續(xù)單》《雙邊保密協(xié)定》文件名稱文件名稱信息安全懲戒管理程序版次A/0頁碼文件編號XX-ISMS-06日期2017.11.011/8目的為對違反信息安全方針、體系文件要求、法律法規(guī)、合同要求的員工實施公正有效的獎懲，并作為對可能在其它情況下有意輕視信息安全程序的員工的威懾，強化全體員工的信息安全意識，有效防止信息安全事故的發(fā)生，特制定本規(guī)定。范圍本程序適用于本公司對違反信息安全方針、體系文件要求、法律法規(guī)、合同要求的員工的獎懲及對信息安全做出貢獻員工的獎勵。定義無職責(zé)各部門經(jīng)理負(fù)責(zé)自己區(qū)域內(nèi)的獎懲。IT信息安全管理委員會負(fù)責(zé)決定重大信息安全和事故的處罰。系統(tǒng)管理員負(fù)責(zé)本公司內(nèi)部泄密或信息泄漏的調(diào)查。程序文件名稱文件名稱信息安全懲戒管理程序版次A/0頁碼文件編號XX-ISMS-06日期2017.11.012/8計算機信息系統(tǒng)的安保法機關(guān)依法追究刑事責(zé)任。注：以上條款由本公司信息安全委員會負(fù)責(zé)解釋。文件名稱文件名稱信息安全懲戒管理程序版次A/0頁碼文件編號XX-ISMS-06日期2017.11.013/8計算機應(yīng)用與管理違規(guī)行為處罰規(guī)定嚴(yán)重后果的，給予撤職至開除處分。留用察看至開除處分。責(zé)任人員記過撤職處分；造成嚴(yán)重后果的，給予留用至開除處分。至記過處分；造成嚴(yán)重后果的，給予記大過至開除處分：在生產(chǎn)經(jīng)營用機上使用與業(yè)務(wù)無關(guān)的軟件或者利用通訊手段非法侵入其他系統(tǒng)和（以及從的業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)進入以外的網(wǎng)絡(luò)系統(tǒng)；未經(jīng)審批，私自使用內(nèi)部網(wǎng)絡(luò)上的計算機撥號上國際互聯(lián)網(wǎng)的；將非計算機設(shè)備接入網(wǎng)絡(luò)系統(tǒng)的；私自卸載或屏蔽計算機安全軟件的；私自修改計算機操作系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)安全設(shè)置的；服務(wù)的；利用郵件系統(tǒng)傳播損害形象的郵件的。記過至記大過處分；造成嚴(yán)重后果的，給予主管人員和其他責(zé)任人員降級至開除處分。記過至開除處分。或者警告至記過處分；造成嚴(yán)重后果的，給予記大過至開除處分。文件名稱文件名稱信息安全懲戒管理程序版次A/0頁碼文件編號XX-ISMS-06日期2017.11.014/8其他責(zé)任人員經(jīng)濟處罰或者警告至記過處分；造成嚴(yán)重后果的，給予記大過至開除處分。在對面向客戶的業(yè)務(wù)應(yīng)用系統(tǒng)管理中，從事后臺維護的技術(shù)人員，違反規(guī)定同時進予降級至開除處分。允許技術(shù)人員代替從事業(yè)務(wù)操作，給予主管人員和其他責(zé)任人員記過至開除處分。撤職至開除處分。文件名稱文件名稱信息安全懲戒管理程序版次A/0頁碼文件編號XX-ISMS-06日期2017.11.015/8計算機信息類違規(guī)處罰本公司職工違規(guī)操作，給系統(tǒng)造成一定的影響，但沒有影響業(yè)務(wù)正常運行或?qū)I(yè)務(wù)造2001000情節(jié)嚴(yán)重者，開除。200internet200500元以下罰款。凡是利用非法手段竊取系統(tǒng)密鑰，進入本公司業(yè)務(wù)系統(tǒng)，盜取客戶資料，向外界提供機關(guān)處置。文件名稱文件名稱信息安全懲戒管理程序版次A/0頁碼文件編號XX-ISMS-06日期2017.11.016/8獎懲記錄記錄完畢后由系統(tǒng)管理員進行留存。文件名稱文件名稱信息安全懲戒管理程序版次A/0頁碼文件編號XX-ISMS-06日期2017.11.017/8證據(jù)的收集當(dāng)信息安全事件涉及到訴訟（民事的或刑事的時，應(yīng)收集、保留和呈遞證據(jù)，以使證據(jù)符合相關(guān)訴訟管轄權(quán)。據(jù)是否可在法庭上使用。應(yīng)保證證據(jù)的質(zhì)量和完備性，防止未被授權(quán)的篡改和泄漏。來產(chǎn)生被容許的證據(jù)。文件名稱文件名稱信息安全懲戒管理程序版次A/0頁碼文件編號XX-ISMS-06日期2017.11.018/8證據(jù)的保存及提供行過程控制保證證據(jù)的質(zhì)量和完備性。文檔是在哪兒被發(fā)現(xiàn)的，文檔是什么時候被發(fā)現(xiàn)的，誰來證明這個發(fā)現(xiàn)；任何調(diào)查應(yīng)確保原物沒有被篡改；對計算機介質(zhì)上的信息：任何可移動介質(zhì)的鏡像或拷貝（依賴于適用的要求、硬盤證明該過程；原始的介質(zhì)和日志（如果這一點不可能的話，那么至少有一個鏡像或拷貝）安全保存且不能改變?nèi)魏畏扇∽C工作應(yīng)僅在證據(jù)材料的拷貝上進行。所有證據(jù)材料的完整性應(yīng)得到保誰執(zhí)行的拷貝活動，以及使用了哪種工具和程序，這些信息都應(yīng)記錄作為日志。記錄《獎懲記錄單》文件名稱文件名稱信息安全適用性聲明版次A/0頁碼文件編號XX-ISMS-07日期2017.11.011/14目的根據(jù)ISO/IEC27001:2013制本程序。范圍適用于對ISO/IEC27001:2013標(biāo)準(zhǔn)于本公司的適用性管理。職責(zé)與權(quán)限最高管理者負(fù)責(zé)信息安全適用性聲明的審批。綜合部負(fù)責(zé)信息安全適用性聲明的編制及修訂。相關(guān)文件a) 《信息安全管理手冊》術(shù)語定義無適用性聲明文件名稱文件名稱信息安全適用性聲明版次A/0頁碼文件編號XX-ISMS-07日期2017.11.012/14信息安全適用性聲明SOAA.5信息安全方針標(biāo)準(zhǔn)標(biāo)條款號題目標(biāo)/控制是否選擇選擇理由相關(guān)文件A.5.1信息安全管理目標(biāo)YES提供符合有關(guān)法律法規(guī)和業(yè)務(wù)需求的信息安全管理指指引引和支持。A.5.1.1信息安全方針控制YES信息安全方針應(yīng)由管理才 《信息安全管理手冊》批準(zhǔn)發(fā)布。A.5.1.2信息安全方針控制YES確保方針持續(xù)的適應(yīng)性。 《管理評審控制程序》的評審A.6信息安全組織標(biāo)準(zhǔn)標(biāo)題條款號目標(biāo)/控制是否選擇選擇理由相關(guān)文件A.6.1信息安全組織目標(biāo)YES管理組織內(nèi)部信息安全。A.6.1.1信息安全的角色控制YES保持特定資產(chǎn)和完成特定《信息安全管理手冊》和職責(zé)安全過程的所有信息安全職責(zé)需確定。A.6.1.2職責(zé)分離控制YES分離有沖突的職責(zé)和責(zé)任《信息安全管理手冊》范圍，以減少對組織資產(chǎn)未經(jīng)授權(quán)訪問、無意修改或誤用的機會。A.6.1.3與監(jiān)管機構(gòu)的聯(lián)控制YES與相關(guān)監(jiān)管機構(gòu)保持適當(dāng)《相關(guān)方服務(wù)管理程序》系聯(lián)系。A.6.1.4與特殊利益團體控制YES與特殊利益團體、其他專業(yè)《相關(guān)方服務(wù)管理程序》的聯(lián)系安全協(xié)會或行業(yè)協(xié)會應(yīng)保持適當(dāng)聯(lián)系。A.6.1.5項目管理中的信控制YES實施任何項目時應(yīng)考慮信《保密協(xié)議》息安全息安全相關(guān)要求?！断嚓P(guān)方管理程序》A.6.2移動設(shè)備和遠程目標(biāo)YES確保遠程辦公和使用移動設(shè)備的安全性辦公A.6.2.1移動設(shè)備策略控制YES采取安全策略和配套的安 《信息處理設(shè)施控制程全措施管控使用移動設(shè)備 序》帶來的風(fēng)險。 《計算機管理規(guī)定》《介質(zhì)管理程序》A.6.2.2遠程辦公控制YES我司有遠程訪問公司少數(shù) 《用戶訪問控制程序》系統(tǒng)的情況，需要進行安全控制。A.7人力資源安全A.7.2.2信息安全意識、A.7.2.2信息安全意識、教育和培訓(xùn)控制YESA.7.2.3懲戒過程控制YES信息安全意識及必要的信息系統(tǒng)操作技能培訓(xùn)是信《人力資源安全管理程序》《信息安全懲戒管理規(guī)A.7.3聘用中止和變化任用終止或變更的責(zé)任目標(biāo)該有一個正式的懲戒過程。定》YES A.7.3.1控制YES應(yīng)定義信息安全責(zé)任和義務(wù)在任用終止或變更后仍傳達并執(zhí)行?！度肆Y源安全管理程序》《相關(guān)方服務(wù)管理程序》文件名稱文件名稱信息安全適用性聲明版次A/0頁碼文件編號XX-ISMS-07日期2017.11.013/14標(biāo)準(zhǔn)條款號標(biāo)題目標(biāo)/控制是否選擇選擇理由相關(guān)文件A.7.1聘用前目標(biāo)YES確保員工、合同方人員適合他們所承擔(dān)的角色并理解他們的安全責(zé)任A.7.1.1人員篩選控制YES通過人員考察，防止人員帶《人力資源安全管理程來的信息安全風(fēng)險。 序》A.7.1.2雇傭條款和條控制YES履行信息安全保密協(xié)議是 《人力資源安全管理程件雇傭人員的一個基本條件。序》《保密協(xié)議》A.7.2聘用期間目標(biāo)YES確保員工和合同方了解并履行他們的信息安全責(zé)任。A.7.2.1管理職責(zé)控制YES面安全影響。 序》A.8資產(chǎn)管理標(biāo)準(zhǔn)條款號標(biāo)題目標(biāo)/控制是否選擇選擇理由相關(guān)文件A.8.1資產(chǎn)責(zé)任目標(biāo)YES對我司資產(chǎn)（包括顧客要求保密的數(shù)據(jù)、軟件及產(chǎn)品）進行有效保護。A.8.1.1資產(chǎn)清單控制YES建立重要資產(chǎn)清單并實施 《信息安全風(fēng)險評估控保護。 制程序》《重要資產(chǎn)清單》A.8.1.2資產(chǎn)責(zé)任人控制YES對所有的與信息處理設(shè)施 《信息安全風(fēng)險評估控有關(guān)的信息和資產(chǎn)指定“所制程序》有者” 《資產(chǎn)清單》《信息處理設(shè)施控制程序》A.8.1.3資產(chǎn)的合理使用控制YES識別與信息系統(tǒng)或服務(wù)相 《信息處理設(shè)施控制程關(guān)的資產(chǎn)的合理使用規(guī)則，序》并將其文件化，并予以實文件名稱信息安全適用性聲明版次文件名稱信息安全適用性聲明版次A/0頁碼務(wù)的訪問A.9.2用戶訪問管理目標(biāo)YES絡(luò)和網(wǎng)絡(luò)服務(wù)的范圍，防止非授權(quán)的網(wǎng)絡(luò)訪問。確保已授權(quán)用戶的訪問，預(yù)防對系統(tǒng)和服務(wù)的非授權(quán)文件編號XX-ISMS-07日期2017.11.01 4/14標(biāo)準(zhǔn)條款號標(biāo)題目標(biāo)/控制是否選擇選擇理由相關(guān)文件施。A.8.1.4資產(chǎn)的歸還控制YES所有員工和外部方人員應(yīng)退還所有他們持有的組織資產(chǎn)?！度肆Y源安全管理程序》《相關(guān)方服務(wù)管理程序》A.8.2信息分類目標(biāo)YES我司根據(jù)信息的敏感性對信息進行分類，明確保護要求、優(yōu)先權(quán)和等級，以確保對資產(chǎn)采取適當(dāng)?shù)谋Ｗo。A.8.2.1分類指南控制YES我司的信息安全涉及信息 《信息分類與處理指的敏感性，適當(dāng)?shù)姆诸惪刂颇稀肥潜匾摹.8.2.2信息標(biāo)識控制YES按分類方案進行標(biāo)注并規(guī) 《信息分類與處理指定信息處理的安全的要求。南》A.8.2.3資產(chǎn)處理控制YES根據(jù)組織采用的資產(chǎn)分類方法制定和實施資產(chǎn)處理程序《信息處理設(shè)施控制程序》A.8.3介質(zhì)處理目標(biāo)YES防止存儲在介質(zhì)上的信息被非授權(quán)泄露、修改、刪除或破壞。A.8.3.1可移動介質(zhì)管理控制YES我司存在含有敏感信息的 《介質(zhì)管理程序》磁盤、磁帶、光盤、打印報告等可移動介質(zhì)。A.8.3.2介質(zhì)處置控制YES當(dāng)介質(zhì)不再需要時，對含有《介質(zhì)管理程序》敏感信息介質(zhì)采用安全的處置辦法是必須。A.8.3.3物理介質(zhì)傳輸控制YES含有信息的介質(zhì)應(yīng)加以保 《信息交換管理程序》護，防止未經(jīng)授權(quán)的訪問、濫用或在運輸過程中的損壞。A.9訪問控制標(biāo)準(zhǔn)條款號標(biāo)題目標(biāo)/控制是否選擇選擇理由相關(guān)文件A.9.1訪問控制的業(yè)務(wù)目標(biāo)YES限制對信息和信息處理設(shè)施的訪問需求A.9.1.1訪問控制策略控制YES建立文件化的訪問控制策 《用戶訪問控制程序》略，并根據(jù)業(yè)務(wù)和安全要求對策略進行評審。A.9.1.2對網(wǎng)絡(luò)和網(wǎng)絡(luò)服控制YES制定策略，明確用戶訪問網(wǎng)《用戶訪問控制程序》文件名稱信息安全適用性聲明文件名稱信息安全適用性聲明版次A/0頁碼文件編號XX-ISMS-07日期2017.11.01 5/14標(biāo)準(zhǔn)條款號標(biāo)題目標(biāo)/控制是否選擇選擇理由相關(guān)文件訪問。A.9.2.1用戶注冊和注銷控制YES我司存在多用戶信息系統(tǒng)，《用戶訪問控制程序》應(yīng)建立用戶登記和注銷登記程序。A.9.2.2用戶訪問權(quán)限提控制YES應(yīng)有正式的用戶訪問分配《用戶訪問控制程序》供程序，以分配和撤銷對于所有信息系統(tǒng)及服務(wù)的訪問。A.9.2.3特權(quán)管理控制YES應(yīng)對特權(quán)帳號進行管理，特《用戶訪問控制程序》權(quán)不適當(dāng)?shù)氖褂脮斐上到y(tǒng)的破壞。A.9.2.4用戶認(rèn)證信息的控制YES用戶鑒別信息的權(quán)限分配《用戶訪問控制程序》安全管理應(yīng)通過一個正式的管理過程進行安全控制。A.9.2.5用戶訪問權(quán)限的控制YES對用戶訪問權(quán)限進行評審《用戶訪問控制程序》評審是必要的,以防止非授權(quán)的訪問。A.9.2.6撤銷或調(diào)整訪問權(quán)限控制YES在跟所有員工和承包商人員的就業(yè)合同或協(xié)議刪除或調(diào)整其信息和信《人力資源安全管理程序》《用戶訪問控制程序》息處理設(shè)施的訪問權(quán)限《相關(guān)方服務(wù)管理程。序》A.9.3用戶責(zé)任目標(biāo)YES確保用戶對認(rèn)證信息的保護負(fù)責(zé)。A.9.3.1認(rèn)證信息的使用控制YES應(yīng)要求用戶遵循組織的規(guī)《用戶訪問控制程序》則使用其認(rèn)證信息。A.9.4系統(tǒng)和應(yīng)用訪問目標(biāo)YES防止對系統(tǒng)和應(yīng)用的未授權(quán)訪問控制A.9.4.1信息訪問限制控制YES我司信息訪問權(quán)限是根據(jù) 《用戶訪問控制程序》業(yè)務(wù)運做的需要及信息安全考慮所規(guī)定的，系統(tǒng)的訪問功能應(yīng)加以限制。A.9.4.2安全登錄程序控制YES對操作系統(tǒng)的訪問應(yīng)有安 《用戶訪問控制程序》全登錄程序進行控制。A.9.4.3密碼管理系統(tǒng)控制YES為減少非法訪問操作系統(tǒng) 《用戶訪問控制程序》的機會，應(yīng)對密碼進行管理。A.9.4.4特權(quán)程序的使用控制YES對特權(quán)程序的使用應(yīng)嚴(yán)格 《用戶訪問控制程序》控制，防止惡意破壞系統(tǒng)安全。A.9.4.5對程序源碼的訪控制YES對程序源代碼的訪問應(yīng)進 《軟件開發(fā)安全控制程文件名稱文件名稱信息安全適用性聲明版次A/0頁碼文件編號XX-ISMS-07日期2017.11.016/14標(biāo)準(zhǔn)標(biāo)準(zhǔn)標(biāo)題目標(biāo)/控制是否選擇選擇理由相關(guān)文件問控制行限制。序》A.10加密技術(shù)標(biāo)準(zhǔn)條款號標(biāo)題目標(biāo)/控制是否選擇選擇理由相關(guān)文件A.10.1加密控制目標(biāo)YES確保適當(dāng)和有效地使用加密技術(shù)來保護信息的機密性、真實性、完整性。A.10.1.1使用加密控制的控制YES為保護信息，應(yīng)開發(fā)并實施《網(wǎng)絡(luò)安全管理程序》策略加密控制的使用策略 《技術(shù)符合性管理規(guī)定》A.10.1.2密鑰管理控制YES應(yīng)進行密鑰管理，以支持公《網(wǎng)絡(luò)安全管理程序》司對密碼技術(shù)的使用 《技術(shù)符合性管理規(guī)定》《計算機管理規(guī)定》A.11物理和環(huán)境安全標(biāo)準(zhǔn)標(biāo)題條款號目標(biāo)/控制是否選擇選擇理由相關(guān)文件A.11.1安全區(qū)域目標(biāo)YES防止對組織信息和信息處理設(shè)施的未經(jīng)授權(quán)物理訪問、破壞和干擾。A.11.1.1物理安全邊界控制YES我司有包含重要信息及信 《安全區(qū)域控制程序》息處理設(shè)施的區(qū)域,應(yīng)確定其安全周界對其實施保護。A.11.1.2物理進入控制控制YES安全區(qū)域進入應(yīng)經(jīng)過授權(quán),《安全區(qū)域控制程序》未經(jīng)授權(quán)的非法訪問會對信息安全構(gòu)成威脅。A.11.1.3辦公室、房間及控制YES對安全區(qū)域內(nèi)的綜合管理 《安全區(qū)域控制程序》設(shè)施的安全部、房間和設(shè)施應(yīng)有特殊的安全要求。A.11.1.4防范外部和環(huán)境控制YES加強我司物理安全控制，防《安全區(qū)域控制程序》威脅范火災(zāi)、水災(zāi)、地震，以及其它形式的自然或人為災(zāi)害。A.11.1.5在安全區(qū)域工作控制YES在安全區(qū)域工作的人員只 《安全區(qū)域控制程序》有嚴(yán)格遵守安全規(guī)則,才能《相關(guān)方服務(wù)管理程保證安全區(qū)域安全。 序》A.11.1.6送貨和裝卸區(qū)控制YES對未經(jīng)授權(quán)的人員可能訪 《安全區(qū)域控制程序》問到的地點進行控制，防止外來人員直接進入重要安文件名稱信息安全適用性聲明版次文件名稱信息安全適用性聲明版次A/0頁碼文件編號XX-ISMS-07日期2017.11.01 7/14標(biāo)準(zhǔn)條款號標(biāo)題目標(biāo)/控制是否選擇選擇理由相關(guān)文件全區(qū)域是必要的。A.11.2設(shè)備安全目標(biāo)YES防止資產(chǎn)的遺失、損壞、偷竊等導(dǎo)致的組織業(yè)務(wù)中斷。A.11.2.1設(shè)備安置及保護控制YES設(shè)備應(yīng)定位和保護，防止火《信息處理設(shè)施控制程災(zāi)、吸煙、油污、未經(jīng)授權(quán)序》訪問等威脅。A.11.2.2支持設(shè)施控制YES對設(shè)備加以保護使其免于 《信息處理設(shè)施控制程電力中斷或者其它支持設(shè) 序》施故障而導(dǎo)致的中斷的影響。A.11.2.3線纜安全控制YES通信電纜、光纜需要進行正《網(wǎng)絡(luò)安全管理程序》常的維護，以防止偵聽和損壞。A.11.2.4設(shè)備維護控制YES設(shè)備保持良好的運行狀態(tài) 《信息處理設(shè)施控制程是保持信息的完整性及可 序》用性的基礎(chǔ)。 《計算機管理規(guī)定》A.11.2.5資產(chǎn)轉(zhuǎn)移控制YES設(shè)備、信息、軟件未經(jīng)授權(quán)《信息處理設(shè)施控制程之前，不應(yīng)將設(shè)備、信息或序》軟件帶到場所外。A.11.2.6場外設(shè)備和資產(chǎn)控制YES我司有筆記本移動設(shè)備，離《信息處理設(shè)施控制程安全開正常的辦公場所應(yīng)進行 序》控制，防止其被盜竊、未經(jīng)《計算機管理規(guī)定》授權(quán)的訪問等危害的發(fā)生。《介質(zhì)管理程序》A.11.2.7設(shè)備報廢或重用控制YES對我司儲存有關(guān)敏感信息 《信息處理設(shè)施控制程的設(shè)備，如服務(wù)器、硬盤，序》對其處置和再利用應(yīng)將其 《介質(zhì)管理程序》信息清除。A.11.2.8無人值守的設(shè)備控制YES確保無人值守設(shè)備得到足 《計算機管理規(guī)定》夠的保護。A.11.2.9桌面清空及清屏控制YES不實行清除桌面或清除屏 《計算機管理規(guī)定》策略幕策略，會受到資產(chǎn)丟失、失竊或遭到非法訪問的威脅。A.12標(biāo)準(zhǔn)條款號標(biāo)題目標(biāo)/控制是否選擇選擇理由 相關(guān)文件A.12.1操作程序及職目標(biāo)YES確保信息處理設(shè)備的正確和安全使用。責(zé)文件名稱信息安全適用性聲明文件名稱信息安全適用性聲明版次A/0頁碼文件編號XX-ISMS-07日期2017.11.01 8/14標(biāo)準(zhǔn)條款號標(biāo)題目標(biāo)/控制是否選擇選擇理由相關(guān)文件A.12.1.1文件化操作程控制YES作業(yè)程序應(yīng)該文件化，并《文件控制程序》A.12.1.2序變更管理控制YES在需要時可用。未加以控制的信息處理設(shè)《信息處理設(shè)施控制程備和系統(tǒng)更改會造成系統(tǒng)序》A.12.1.3容量管理控制YES故障和安全故障。為避免因系統(tǒng)容量不足導(dǎo)《變更控制程序》《信息安全監(jiān)控管理規(guī)致系統(tǒng)故障，監(jiān)控容量需定》求并規(guī)劃將來容量是必須A.12.1.4開發(fā)、測試與運控制YES的。我司設(shè)有研發(fā)部門，應(yīng)分《軟件開發(fā)安全控制程行環(huán)境的分離離開發(fā)、測試和運營設(shè)施，序》以降低未授權(quán)訪問或?qū)Σ僮飨到y(tǒng)變更的風(fēng)險A.12.2防范惡意軟件目標(biāo)YES確保對信息和信息處理設(shè)施的保護，防止惡意軟件。A.12.2.1控制惡意軟件控制YES惡意軟件的威脅是客觀存 《防病毒管理規(guī)定》在的，應(yīng)實施惡意代碼的監(jiān)測、預(yù)防和恢復(fù)控制，以及適當(dāng)?shù)挠脩粢庾R培訓(xùn)A.12.3備份目標(biāo)YES的程序。防止數(shù)據(jù)丟失A.12.3.1數(shù)據(jù)備份控制YES對重要信息和軟件定期備 《數(shù)據(jù)備份管理程序》份是必須的，以防止信息和軟件的丟失和不可用，A.12.4日志記錄和監(jiān)目標(biāo)YES及支持業(yè)務(wù)可持續(xù)性。記錄事件和生成的證據(jù)A.12.4.1控事件日志控制YES為訪問監(jiān)測提供幫助，建 《信息安全監(jiān)控管理規(guī)立事件日志(審核日志)是定》A.12.4.2日志信息保護控制YES必須的。日志記錄設(shè)施以及日志信 《信息安全監(jiān)控管理規(guī)息應(yīng)該被保護，防止被篡 定》A.12.4.3管理員和操作控制YES改和未經(jīng)授權(quán)的訪問。應(yīng)根據(jù)需要，記錄系統(tǒng)管 《信息安全監(jiān)控管理規(guī)者日志理員和系統(tǒng)操作員的活定》A.12.4.4時鐘同步控制YES動。實施時鐘同步，是生產(chǎn)、 《信息安全監(jiān)控管理規(guī)經(jīng)營與獲取客觀證據(jù)的需 定》要。文件名稱文件名稱信息安全適用性聲明版次A/0頁碼文件編號XX-ISMS-07日期2017.11.019/14標(biāo)準(zhǔn)條款號標(biāo)題目標(biāo)/控制是否選擇選擇理由相關(guān)文件A.12.5運營中軟件控目標(biāo)YES確保運營中系統(tǒng)的完整性。制A.12.5.1運營系統(tǒng)的軟控制YES應(yīng)建立程序?qū)\營中的 《軟件控制程序》件安裝系統(tǒng)的軟件安裝進行控制。A.12.6技術(shù)漏洞管理目標(biāo)YES防止技術(shù)漏洞被利用。A.12.6.1管理技術(shù)薄弱控制YES及時獲得正在使用信息系 《技術(shù)薄弱點控制程點統(tǒng)的技術(shù)薄弱點的相關(guān)信 序息，應(yīng)評估對這些薄弱點的暴露程度，并采取適當(dāng)?shù)姆椒ㄌ幚硐嚓P(guān)風(fēng)險。A.12.6.2限制軟件安裝控制YES應(yīng)建立和實施用戶軟件 《軟件控制程序》安裝規(guī)則。A.12.7信息系統(tǒng)審計目標(biāo)YES最小化審計活動對系統(tǒng)運營影響。的考慮因素A.12.7.1信息系統(tǒng)審核控制YES應(yīng)謹(jǐn)慎策劃對系統(tǒng)運行 《內(nèi)部審核控制程序》控制驗證所涉及的審核要求和活動并獲得許可，以最小化中斷業(yè)務(wù)過程。標(biāo)準(zhǔn)條款號A.13.1標(biāo)準(zhǔn)條款號A.13.1A.13.1.1標(biāo)題目標(biāo)控制目標(biāo)控制是否選擇YESYES選擇理由相關(guān)文件網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)控制確保網(wǎng)絡(luò)及信息處理設(shè)施中信息的安全。應(yīng)對網(wǎng)絡(luò)進行管理和控制，以保護系統(tǒng)和應(yīng)用程序的信息?！毒W(wǎng)絡(luò)安全管理程序》《變更控制程序》A.13.2信息交換目標(biāo)YES確保信息在組織內(nèi)部或與外部組織之間傳輸?shù)陌踩?。A.13.2.1信息交換策略和程序控制YES應(yīng)建立正式的傳輸策略、程序和控制，以保護通過通訊設(shè)施傳輸?shù)乃蓄悺缎畔⒔粨Q管理程序》A.13.1.2網(wǎng)絡(luò)服務(wù)安全控制YES應(yīng)識別所有網(wǎng)絡(luò)服務(wù)的《網(wǎng)絡(luò)安全管理程序》安全機制、服務(wù)等級和管理要求，并包括在網(wǎng)絡(luò)服務(wù)協(xié)議中，無論這種服務(wù)是由內(nèi)部提供的還是外包的。A.13.1.3網(wǎng)絡(luò)隔離控制YES應(yīng)在網(wǎng)絡(luò)中按組隔離信《網(wǎng)絡(luò)安全管理程序》息服務(wù)、用戶和信息系統(tǒng)。文件名稱文件名稱信息安全適用性聲明版次A/0頁碼文件編號XX-ISMS-07日期2017.11.0110/14標(biāo)準(zhǔn)標(biāo)準(zhǔn)標(biāo)題目標(biāo)/控制是否選擇選擇理由相關(guān)文件A.13.2.2信息交換協(xié)議控制YES型信息的安全。建立組織和外部各方之間的業(yè)務(wù)信息的安全傳輸協(xié)議。應(yīng)適當(dāng)保護電子消息的信息。應(yīng)制定并定期評審組織的信息安全保密協(xié)議或映織對信息保護的要求。《信息交換管理程序》A.13.2.3電子消息控制YES《信息交換管理程序》A.13.2.4保密或不披露協(xié)議控制YES《保密協(xié)議》《相關(guān)方管理程序》標(biāo)準(zhǔn)標(biāo)題條款號

目標(biāo)/ 是否控制 選擇

選擇理由 相關(guān)文件A.14.1

信息系統(tǒng)安全需 目求

YES

確保信息安全成為信息系統(tǒng)整個生命周期的組成求。A.14.1.1 析和規(guī)范

控制

新建信息系統(tǒng)或增強現(xiàn)《網(wǎng)絡(luò)安全管理程序》有信息系統(tǒng)的需求中應(yīng)《技術(shù)符合性管理規(guī)包括信息安全相關(guān)的要求。定》A.14.1.2公共網(wǎng)絡(luò)應(yīng)用服控制YES應(yīng)保護流經(jīng)公共網(wǎng)絡(luò)的《網(wǎng)絡(luò)安全管理程序》務(wù)的安全應(yīng)用服務(wù)信息，以防止欺詐、合同爭議、未授權(quán)的泄漏和修改。A.14.1.3保護應(yīng)用服務(wù)控制YES應(yīng)保護應(yīng)用服務(wù)傳輸中的信息，以防止不完整的《網(wǎng)絡(luò)安全管理程序》傳輸、路由錯誤、未授權(quán)的消息修改、未經(jīng)授權(quán)的泄漏、未授權(quán)的信息復(fù)制和重放。A.14.2開發(fā)和支持過程目標(biāo)YES確保信息系統(tǒng)開發(fā)生命周期中設(shè)計和實施信息安的安全全。A.14.2.1開發(fā)的安全策略控制YES應(yīng)對軟件開發(fā)及系統(tǒng)建設(shè) 《軟件開發(fā)安全控制程的安全需求進行規(guī)范管理。序》A.14.2.2系統(tǒng)變更控制程控制YES為防止未授權(quán)或不充分的 《變更控制程序》序更改，導(dǎo)致系統(tǒng)故障與中斷，需要實施嚴(yán)格更改控制。A.14.2.3操作平臺變更后控制YES操作系統(tǒng)的不充分更改對 《變更控制程序》的技術(shù)評審應(yīng)用系統(tǒng)會造成嚴(yán)重的影響。A.14.2.4軟件包變更限制控制YES不鼓勵對軟件包進行變更，《變更控制程序》文件名稱信息安全適用性聲明版次文件名稱信息安全適用性聲明版次A/0頁碼文件編號XX-ISMS-07日期2017.11.01 11/14標(biāo)準(zhǔn)條款號標(biāo)題目標(biāo)/控制是否選擇選擇理由相關(guān)文件對必要的更改需嚴(yán)格控制。A.14.2.5安全系統(tǒng)工程原控制YES應(yīng)建立、文件化、維護和應(yīng)《軟件開發(fā)安全控制程則用安全系統(tǒng)工程原則，并序》應(yīng)用于任何信息系統(tǒng)工程。A.14.2.6開發(fā)環(huán)境安全控制YES在整個系統(tǒng)開發(fā)生命周期《軟件開發(fā)安全控制程的系統(tǒng)開發(fā)和集成工作中，序》應(yīng)建立并妥善保障開發(fā)環(huán)境的安全。A.14.2.7外包開發(fā)控制NO公司暫無軟件外包過程。A.14.2.8系統(tǒng)安全測試控制YES在開發(fā)過程中，應(yīng)進行安全《軟件開發(fā)安全控制程性的測試。序》A.14.2.9系統(tǒng)驗收測試控制YES應(yīng)建立新信息系統(tǒng)、系統(tǒng)升《軟件開發(fā)安全控制程級及新版本的驗收測試程序》序和相關(guān)準(zhǔn)則。A.14.3測試數(shù)據(jù)目標(biāo)YES確保測試數(shù)據(jù)安全。A.14.3.1測試數(shù)據(jù)的保護控制YES應(yīng)謹(jǐn)慎選擇測試數(shù)據(jù)，并《軟件開發(fā)安全控制程加以保護和控制。序》A.15供應(yīng)商關(guān)系標(biāo)準(zhǔn)條款號標(biāo)題目標(biāo)/控制是否選擇選擇理由相關(guān)文件A.15.1供應(yīng)商關(guān)系的目標(biāo)YES確保組織被供應(yīng)商訪問的信息的安全。信息安全A.15.1.1供應(yīng)商關(guān)系的控制YES為降低供應(yīng)商使用組織的 《保密協(xié)議》信息安全策略資產(chǎn)相關(guān)的風(fēng)險，應(yīng)與供應(yīng)商簽署安全要求的文件協(xié)議。A.15.1.2在供應(yīng)商協(xié)議控制YES與每個供應(yīng)商簽訂的協(xié)議 《保密協(xié)議》中強調(diào)安全中應(yīng)覆蓋所有相關(guān)的安全要求。如可能涉及對組織的IT基礎(chǔ)設(shè)施組件、信息的訪問、處理、存儲、溝通。A.15.1.3信息和通信技控制YES供應(yīng)商協(xié)議應(yīng)包括信息、《保密協(xié)議》術(shù)的供應(yīng)鏈通信技術(shù)服務(wù)和產(chǎn)品供應(yīng)鏈的相關(guān)信息安全風(fēng)A.15.2供應(yīng)商服務(wù)交目標(biāo)YES險。保持符合供應(yīng)商協(xié)議的信息安全和服務(wù)交付水付管理平。文件名稱文件名稱信息安全適用性聲明版次A/0頁碼文件編號XX-ISMS-07日期2017.11.0112/14標(biāo)準(zhǔn)條款號標(biāo)題目標(biāo)/控制是否選擇選擇理由相關(guān)文件A.15.2.1供應(yīng)商服務(wù)的控制YES組織應(yīng)定期監(jiān)督、評審和《相關(guān)方服務(wù)管理程A.15.2.2監(jiān)督和評審供應(yīng)商服務(wù)的控制YES審核供應(yīng)商的服務(wù)交付。應(yīng)管理供應(yīng)商服務(wù)的變序》《相關(guān)方服務(wù)管理程變更管理更，包括保持和改進現(xiàn)有序》信息安全策略、程序和控制措施，考慮對業(yè)務(wù)信息、系統(tǒng)、過程的關(guān)鍵性和風(fēng)險的再評估。A.16通信安全事件管理標(biāo)準(zhǔn)標(biāo)題條款號目標(biāo)/控制是否選擇選擇理由相關(guān)文件A.16.1信息安全事件目標(biāo)YES確保網(wǎng)絡(luò)及信息處理設(shè)施中信息的安全。A.16.1.1的管理和改進職責(zé)和程序控制YES應(yīng)建立管理職責(zé)和程序， 《信息安全事件管理程以快速、有效和有序的響 序》A.16.1.2報告信息安全控制YES應(yīng)信息安全事件。應(yīng)通過適當(dāng)?shù)墓芾硗緩奖M 《信息安全事件管理程A.16.1.3事態(tài)報告信息安全控制YES快報告信息安全事態(tài)。 序》應(yīng)要求使用組織信息系統(tǒng) 《信息安全事件管理程弱點和服務(wù)的員工和承包商注 序》意并報告系統(tǒng)或服務(wù)中任 《技術(shù)薄弱點的控制程何已發(fā)現(xiàn)或疑似的信息安 序》A.16.1.4評估和決策信控制YES全弱點。應(yīng)評估信息安全事件，以 《信息安全事件管理程息安全事件決定其是否被認(rèn)定為信息 序》A.16.1.5響應(yīng)信息安全控制YES安全事故。應(yīng)按照文件化程序響應(yīng)信 《信息安全事件管理程A.16.1.6事故從信息安全事控制YES息安全事故。 序》分析和解決信息安全事故 《信息安全事件管理程故中學(xué)習(xí)獲得的知識應(yīng)用來減少未 序》A.16.1.7收集證據(jù)控制YES來事故的可能性或影響。組織應(yīng)建立和采取程序， 《信息安全事件管理程識別、收集、采集和保存 序》可以作為證據(jù)的信息。A.17業(yè)務(wù)連續(xù)性管理中的信息安全標(biāo)準(zhǔn)標(biāo)準(zhǔn)標(biāo)題目標(biāo)/控制是否選擇選擇理由相關(guān)文件文件名稱文件名稱信息安全適用性聲明版次A/0頁碼文件編號XX-ISMS-07日期2017.11.0113/14標(biāo)準(zhǔn)條款號標(biāo)題目標(biāo)/控制是否選擇選擇理由相關(guān)文件A.17.1信息安全的連目標(biāo)YES信息安全連續(xù)性應(yīng)嵌入到組織的業(yè)務(wù)連續(xù)性管理續(xù)性體系。A.17.1.1規(guī)劃信息安全的連續(xù)性控制YES組織應(yīng)確定其需求，以保 《業(yè)務(wù)持續(xù)性管理程證在不利情況下信息安全 序》管理的安全和連續(xù)性，如在危機或災(zāi)難時。A.17.1.2實施信息安全的連續(xù)性控制YES組織應(yīng)建立、文件化、實 《業(yè)務(wù)持續(xù)性管理程施、維護程序和控制過程，序》以確保處理不利的情況過程中所需的信息安全連續(xù)性水平。A.17.1.3驗證，評審和評估信息安全的控制YES組織應(yīng)定期驗證已建立并 《業(yè)務(wù)持續(xù)性管理程實施的信息安全連續(xù)性控 序》連續(xù)性制，以確保其有效并可在災(zāi)害情況下奏效。A.17.2冗余目標(biāo)YES確保信息處理設(shè)施的可用性。A.17.2.1信息處理設(shè)施控制YES信息處理設(shè)施應(yīng)具備足 《業(yè)務(wù)持續(xù)性管理程的可用性夠的冗余以滿足可用性 序》要求。A.18符合性標(biāo)準(zhǔn)條款號標(biāo)題目標(biāo)/控制是否選擇選擇理由相關(guān)文件A.18.1法律和合同規(guī)目標(biāo)YES避免違反有關(guān)信息安全的法律、法規(guī)、規(guī)章或合同要定的符合性求以及任何安全要求。A.18.1.1識別適用的法控制YES應(yīng)清楚的識別所有相關(guān)法 《法律法規(guī)獲取識別控律法規(guī)和合同律、法規(guī)與合同的要求及 制程序》要求組織滿足要求的方法并形成文件，并針對組織及每個信息系統(tǒng)進行更新。A.18.1.2知識產(chǎn)權(quán)控制YES應(yīng)實施適當(dāng)?shù)某绦?，以確 《計算機管理規(guī)定》保對知識產(chǎn)權(quán)軟件產(chǎn)品的使用符合相關(guān)的法律、法規(guī)和合同要求。A.18.1.3保護記錄控制YES應(yīng)按照法律法規(guī)、合同和 《文件控制程序》業(yè)務(wù)要求，保護記錄免受 《信息安全事件管理程損 序》壞、破壞、未授權(quán)訪問和文件名稱信息安全適用性聲明文件名稱信息安全適用性聲明版次A/0頁碼文件編號XX-ISMS-07日期2017.11.0114/14標(biāo)準(zhǔn)條款號標(biāo)題目標(biāo)/控制是否選擇選擇理由相關(guān)文件未授權(quán)發(fā)布，或偽造篡改。A.18.1.4個人信息和隱私的保護控制YES個人身份信息和隱私的保護應(yīng)滿足相關(guān)法律法規(guī)的《文件控制程序》《檔案管理規(guī)定》要求。A.18.1.5加密控制法規(guī)控制YES加密控制的使用應(yīng)遵循相關(guān)的協(xié)議、法律法規(guī)?！队脩粼L問控制程序》A.18.2信息安全評審目標(biāo)YES確保依照組織的策略和程序?qū)嵤┬畔踩.18.2.1信息安全的獨立評審控制YES應(yīng)定期或發(fā)生重大變化《內(nèi)部審核控制程序》時，對組織的信息安全管(如，信息安全控制目標(biāo)、控制措施、策略、過程和程序）進行獨立評審。A.18.2.2符合安全策略和標(biāo)準(zhǔn)控制YES管理層應(yīng)定期評審管轄范 《管理評審控制程序》圍內(nèi)的信息處理過程符合安全策略、標(biāo)準(zhǔn)及其他安全要求。A.18.2.3技術(shù)符合性評審控制YES應(yīng)定期評審信息系統(tǒng)與組 《技術(shù)符合性管理規(guī)織的信息安全策略、標(biāo)準(zhǔn) 定》的符合程度。文件名稱文件名稱信息安全風(fēng)險評估管理程序版次A/0頁碼文件編號XX-ISMS-08日期2017.11.011/91.0目的在ISMS覆蓋范圍內(nèi)對信息安全現(xiàn)行狀況進行系統(tǒng)風(fēng)險評估，形成評估報告，描述風(fēng)險等級，識別和評價供處理風(fēng)險的可選措施，選擇控制目標(biāo)和控制措施處理風(fēng)險。2.0適用范圍在ISMS覆蓋范圍內(nèi)主要信息資產(chǎn)3.0定義（無）職責(zé)各部門負(fù)責(zé)部門內(nèi)部資產(chǎn)的識別，確定資產(chǎn)價值。信息安全部負(fù)責(zé)風(fēng)險評估和制訂控制措施。CEO負(fù)責(zé)信息系統(tǒng)運行的批準(zhǔn)。5.0流程圖文件名稱文件名稱信息安全風(fēng)險評估管理程序版次A/0頁碼文件編號XX-ISMS-08日期2017.11.012/9文件名稱文件名稱信息安全風(fēng)險評估管理程序版次A/0頁碼文件編號XX-ISMS-08日期2017.11.013/9職責(zé) 行動和流程 相關(guān)支持文件和記錄信息安全部 風(fēng)險評估準(zhǔn)備信息資產(chǎn)識別表各職能部門 資產(chǎn)識別 威脅識別 脆弱性識別 重要資產(chǎn)清單威脅/脆弱性因素表信息安全部 已有安全措施的確認(rèn)信息安全部 風(fēng)險計算 風(fēng)險評估表管理層 風(fēng)險是否接

是保持已有的安全措施否信息安全部 選擇適當(dāng)?shù)陌踩胧┎⒃u估殘余風(fēng)險

殘余風(fēng)險清單否管理層 是否接受殘余風(fēng)險是信息安全部 實施風(fēng)險管理 安全措施實施計劃文件名稱文件名稱信息安全風(fēng)險評估管理程序版次A/0頁碼文件編號XX-ISMS-08日期2017.11.014/9內(nèi)容資產(chǎn)的識別各部門每年按照管理者代表的要求負(fù)責(zé)部門內(nèi)部資產(chǎn)的識別，確定資產(chǎn)價值。資產(chǎn)分類員等類。資產(chǎn)（A）賦值資產(chǎn)賦值就是對資產(chǎn)在機密性、完整性和可用性上的達成程度進行分析，選擇對資產(chǎn)機密性、完整性和可用性最為重要（分值最高）重要性的高低。等級數(shù)值越大，資產(chǎn)價值越高。機密性賦值賦值標(biāo)識5賦值標(biāo)識5極高4高3中等21低可忽略定義根本利益有著決定性影響，如果泄漏會造成災(zāi)難性的損害損害外擴散有可能對組織的利益造成損害包含可對社會公開的信息，公用的信息處理設(shè)備和系統(tǒng)資源等完整性賦值根據(jù)資產(chǎn)在完整性上的不同要求，將其分為五個不同的等級，分別對應(yīng)資產(chǎn)在完整性上的達成的不同程度或者完整性缺失時對整個組織的影響。文件名稱文件名稱信息安全風(fēng)險評估管理程序版次A/0頁碼文件編號XX-ISMS-08日期2017.11.015/9賦值標(biāo)識定義5極高重的業(yè)務(wù)中斷，難以彌補4高4高3中等2低1可忽略影響，對業(yè)務(wù)沖擊嚴(yán)重，比較難以彌補響，對業(yè)務(wù)沖擊明顯，但可以彌補影響，可以忍受，對業(yè)務(wù)沖擊輕微，容易彌補完整性價值非常低，未經(jīng)授權(quán)的修改或破壞對組織造成的影響可以忽略，對業(yè)務(wù)沖擊可以忽略賦值標(biāo)識5賦值標(biāo)識5極高4高3中等21低可忽略定義用度達到年度99.9%以上度達到每天90%以上度在正常工作時間達到70%以上度在正常工作時間達到25%以上可用性價值可以忽略，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間低于25%3分以上為重要資產(chǎn)，重要信息資產(chǎn)由信息安全部確立清單威脅識別威脅分類對重要資產(chǎn)應(yīng)由ISMS小組識別其面臨的威脅。針對威脅來源，根據(jù)其表現(xiàn)形式將威脅分為軟硬件故障、物理環(huán)境威脅、無作為或操作失誤、管理文件名稱文件名稱信息安全風(fēng)險評估管理程序版次A/0頁碼文件編號XX-ISMS-08日期2017.11.016/9篡改和抵賴等。威脅(T)賦值等級標(biāo)識5很高等級標(biāo)識5很高4高3中2低1很低定義以證實經(jīng)常發(fā)生過（每天）可以證實多次發(fā)生過（每周）經(jīng)發(fā)生過（每月、曾經(jīng)發(fā)生過）生過（每年）威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生（特殊情況）脆弱性識別脆弱性識別內(nèi)容脆弱性識別主要從技術(shù)和管理兩個方面進行，技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個層面的安全問題。管理脆弱性又可分為技術(shù)管理和組織管理兩方面，前者與具體技術(shù)活動相關(guān)，后者與管理環(huán)境相關(guān)。脆弱性(V)嚴(yán)重程度賦值低。等級數(shù)值越大，脆弱性嚴(yán)重程度越高。脆弱性嚴(yán)重程度賦值見下表等級標(biāo)識定義5很高如果被威脅利用，將對資產(chǎn)造成完全損害（90％以上）4高如果被威脅利用，將對資產(chǎn)造成重大損害（70％）3中如果被威脅利用，將對資產(chǎn)造成一般損害（30％）2低如果被威脅利用，將對資產(chǎn)造成較小損害（10％）1很低（10％以下）文件名稱文件名稱信息安全風(fēng)險評估管理程序版次A/0頁碼文件編號XX-ISMS-08日期2017.11.017/9已有安全措施的確認(rèn)ISMS持，以避免不必要的工作和費用，防止安全措施的重復(fù)實施。對于確認(rèn)為不適當(dāng)?shù)陌踩胧?yīng)核實是否應(yīng)被取消，或者用更合適的安全措施替代。風(fēng)險分析小組采用矩陣法確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，考慮安全事件一旦發(fā)生其所作用的資產(chǎn)的重要性及脆弱性的嚴(yán)重程度判斷安全事件造成的損失對組織的影響，即安全風(fēng)險。安全事件發(fā)生的可能性等級P=(T*V)0.5,安全事件發(fā)生后的損失等級L＝(A*V)0.5,風(fēng)險值風(fēng)險等級風(fēng)險值風(fēng)險等級1－516－10211－15316－20421－255風(fēng)險管理策略因此必須根據(jù)安全事件的可能性和對業(yè)務(wù)的影響來平衡費用、時將殘余風(fēng)險降為中或低的情況，則分階段實施控制。及業(yè)務(wù)的影響也就越大，風(fēng)險管理策略有以下：接受風(fēng)險：接受潛在的風(fēng)險并繼續(xù)運行信息系統(tǒng)，不對風(fēng)險進行處理。降低風(fēng)險：通過實現(xiàn)安全措施來降低風(fēng)險，從而將脆弱性被威脅源利用后可能帶來的不利影響最小化（掃描系統(tǒng)等安全產(chǎn)品）。/或后果（如放棄系統(tǒng)某項功能或關(guān)閉系統(tǒng)）來規(guī)避風(fēng)險。購買保險。文件名稱文件名稱信息安全風(fēng)險評估管理程序版次A/0頁碼文件編號XX-ISMS-08日期2017.11.018/9風(fēng)險等級3（含）以上為不可接受風(fēng)險，3（不含）以下為可接受風(fēng)兼顧管理與技術(shù)兩個方面，可以參照信息安全的相關(guān)標(biāo)準(zhǔn)實施。確定控制目標(biāo)、控制措施和對策基于在風(fēng)險評估結(jié)果報告中提出的風(fēng)險級別，ISMS小組對風(fēng)險處理的工作進（例如被定義為“非常高”或“高”風(fēng)險級的風(fēng)險應(yīng)該最優(yōu)先處理。評估所建議的安全措施實施成本效益分析選擇安全措施制定安全措施的實現(xiàn)計劃實現(xiàn)所選擇的安全措施殘余風(fēng)險的監(jiān)視與處理S在信息系統(tǒng)的運行中，應(yīng)密切監(jiān)視這些殘余風(fēng)險的變化，并及時處理。進行評審時，應(yīng)考慮以下方面的變化：組織結(jié)構(gòu)；技術(shù)；業(yè)務(wù)目標(biāo)和過程；已識別的威脅；已實施控制措施的有效性；外部事件，如法律法規(guī)環(huán)境的變更、合同義務(wù)的變更和社會環(huán)境的變更。信息系統(tǒng)運行的批準(zhǔn)ISMS小組考察風(fēng)險處理的結(jié)果，判斷殘余風(fēng)險是否處在可接受的水平之內(nèi)?；谶@一判斷，管理層將做出決策，決定是否允許信息系統(tǒng)運行。文件名稱文件名稱信息安全風(fēng)險評估管理程序版次A/0頁碼文件編號XX-ISMS-08日期2017.11.019/9信息系統(tǒng)臨時運行。相關(guān)文件《GB/T20984-2007信息安全風(fēng)險評估規(guī)范》《信息資產(chǎn)管理制度》記錄《信息資產(chǎn)識別表》《重要資產(chǎn)清單》《威脅/脆弱性因素表》《風(fēng)險評估表》《安全措施實施計劃》《殘余風(fēng)險清單》文件名稱文件名稱內(nèi)審管理程序版次A/0頁碼文件編號XX-ISMS-09日期2017.11.011/2一、目的范圍通過驗證信息安全管理體系是否符合標(biāo)準(zhǔn)和策劃安排的要求，是否得到有效的保持、實施，確保管理體系的方針目標(biāo)實現(xiàn)并持續(xù)改進。二、職責(zé)1、管理者代表負(fù)責(zé)批準(zhǔn)內(nèi)審計劃、內(nèi)審報告，并負(fù)責(zé)組織審核工作，任命審核組長。2、內(nèi)審組長編制內(nèi)審計劃，并負(fù)責(zé)審核的具體實施以及報告內(nèi)審結(jié)果。3、各單位負(fù)責(zé)配合內(nèi)部審核的實施，并對審核不符合情況進行整改。三、工作程序1、內(nèi)審策劃重點審核，各單位也可根據(jù)各自的實際情況，分別組織審核。出現(xiàn)以下情況時由管理者代表決定是否增加審核次數(shù)：組織機構(gòu)、管理體系發(fā)生重大變化。出現(xiàn)重大信息安全事故。法律、法規(guī)及其他外部要求的變更。2、審核前的準(zhǔn)備審核目的、范圍、時間、依據(jù)。審核組成員及分工安排，審核員應(yīng)與受審部門無直接責(zé)任關(guān)系。受審核部門及審核要點，預(yù)定時間安排。審核中的注意事項。《審核計劃》應(yīng)于內(nèi)審開始前發(fā)放至受審部門，受審部門對內(nèi)審安排如有異議，應(yīng)文件名稱文件名稱內(nèi)審管理程序版次A/0頁碼文件編號XX-ISMS-09日期2017.11.012/2內(nèi)部審核員應(yīng)經(jīng)專業(yè)機構(gòu)培訓(xùn)合格，經(jīng)管理者代表批準(zhǔn)資格。3、內(nèi)審的實施責(zé)人參加并簽到。的符合性、充分性和有效性。核發(fā)現(xiàn)。內(nèi)審組長應(yīng)全面了解內(nèi)審情況，對不符合項報告進行核對。審核員應(yīng)保持公正、客觀的態(tài)度，如實地反饋審核的情況?，F(xiàn)場審核后，審核組長應(yīng)組織審核組綜合分析審核檢查結(jié)果，綜合評價審核單位、區(qū)域和工作的運行狀況、績效以及體系持續(xù)改進的狀況，作出審核結(jié)論。同時對照與顧客的合同、各項標(biāo)準(zhǔn)、體系文件及有關(guān)法律法規(guī)要求，對審核中發(fā)現(xiàn)的問題經(jīng)確認(rèn)為不合格項的，發(fā)出《不合格報告審核組長應(yīng)主持召開末次會議，由領(lǐng)導(dǎo)層、內(nèi)審組成員及各受審單位負(fù)責(zé)人參加。由管理體系有效性、符合性結(jié)論及今后應(yīng)改進的地方。4、內(nèi)審報告應(yīng)提交公司管理評審。5、針對審核中發(fā)現(xiàn)的不符合項，相關(guān)部門應(yīng)組織分析原因，制定并實施糾正措施，報告措施的效果，經(jīng)審核員對實施結(jié)果跟蹤驗證，確保不符合不再發(fā)生，同時報告驗證結(jié)果，具體執(zhí)行《糾正預(yù)防措施控制程序》要求。四、相關(guān)文件及記錄1五、相關(guān)文件及記錄審核計劃內(nèi)審報告首(末)次會議簽到表文件名稱文件名稱惡意軟件控制程序版次A/0頁碼文件編號XX-ISMS-10日期2017.11.011/3適用適用于本公司各部門對惡意軟件（包括軟件的隱蔽通道）的控制管理工作。目的為防止各類惡意軟件（包括軟件的隱蔽通道）可用性。職責(zé)XX管理，為各部門信息處理設(shè)施的防范惡意軟件提供技術(shù)性支持和隱蔽通道的掃描。各部門具體負(fù)責(zé)其部門信息處理設(shè)施的病毒清殺及其它預(yù)防措施的實施。工作程序移動代碼。防范的措施，主要是安裝防火墻、入侵檢測系統(tǒng)、使用加密程序和安裝殺病毒軟件。部安裝防火墻、入侵檢測系統(tǒng)、使用加密程序，同時在服務(wù)器和客戶端上安裝殺病毒軟件。各部門應(yīng)根據(jù)IT部的安排，從指定的網(wǎng)絡(luò)服務(wù)器上安裝企業(yè)版防病毒軟件；單獨成網(wǎng)或存在單機的部門，應(yīng)由本部門PC管理員或指定專人負(fù)責(zé)安裝防病毒軟件，并周期性（如每周）毒庫進行升級。強日常點檢，應(yīng)做好點檢記錄。XXXX類系統(tǒng)的補丁升級。各部門聯(lián)網(wǎng)微機接受本公司防病毒服務(wù)器的管理，在每次開機時自動從防病毒服務(wù)器上下載最新文件名稱文件名稱惡意軟件控制程序版次A/0頁碼文件編號XX-ISMS-10日期2017.11.012/3病毒庫。司各部門立即進行病毒庫更新升級，同時立即進行病毒掃描，并對病毒情況匯報IT部部長。待病毒清除后方可使用，對于不能清除的病毒，應(yīng)及時報告XX部處理。各部門用戶應(yīng)在計算機或其它電子信息處理設(shè)施的啟動后檢查是否已啟動病毒實時監(jiān)測系統(tǒng)。如未啟動，應(yīng)在進行其他操作前啟動病毒實時監(jiān)測系統(tǒng)。病毒檢查。XX部需加強對特洛伊木馬的探測與防治。通過以下措施予以控制：安裝反病毒軟件；使用正版軟件；對軟件更改進行控制；對軟件開發(fā)過程進行控制；其他必要措施。XX及其他惡意軟件的管理程序及責(zé)任。預(yù)防惡意軟件的通用要求保護不受惡意軟件攻擊的基礎(chǔ)是安全意識，適當(dāng)?shù)南到y(tǒng)權(quán)限。所有IT用戶應(yīng)養(yǎng)成良好的防范惡意軟件意識并遵守以下規(guī)定：按照本程序規(guī)定的要求使用防病毒軟件；禁止使用來歷不明的軟件；禁止微機在未安裝有效防病毒軟件的情況下從互聯(lián)網(wǎng)上下載軟件；刪除來歷不明的電子郵件；使用軟盤前應(yīng)進行病毒檢查。對重要系統(tǒng)的防范惡意軟件的特殊要求XX保本公司網(wǎng)絡(luò)的安全。對于涉及公司機密和國家秘密等重要系統(tǒng)嚴(yán)格實施網(wǎng)絡(luò)隔離政策，嚴(yán)禁與互聯(lián)網(wǎng)連接。文件名稱文件名稱惡意軟件控制程序版次A/0頁碼文件編號XX-ISMS-10日期2017.11.013/3《重要信息備份管理程序）進行重要數(shù)據(jù)和軟件的備份。IT被破壞數(shù)據(jù)或軟件進行恢復(fù)。對各個部門安裝的外購軟件和自行開發(fā)的軟件都必須由IT部測試其安全性，經(jīng)確認(rèn)后方可安裝。對XX應(yīng)立即通知IT部。各部門使用的軟件應(yīng)符合《信息處理設(shè)備管理程序各部門如受到各種惡意軟件攻擊，應(yīng)及時向XX部報告。相關(guān)文件《重要信息備份管理程序》《信息處理設(shè)備管理程序》文件名稱文件名稱更改控制程序版次A/0頁碼文件編號XX-ISMS-11日期2017.11.011/6第一節(jié)總 則第一條第二條第四條第七條第八條第九條

為規(guī)范軟件變更與維護管理，提高軟件管理水平，優(yōu)化軟件變更與維護管理流程，特制定本制度。本制度適用于應(yīng)用系統(tǒng)已開發(fā)或采購?fù)戤叢⒄缴暇€、且由軟件開發(fā)組織移交給應(yīng)用管理組織之后，所發(fā)生的生產(chǎn)應(yīng)用系統(tǒng)（以下簡稱應(yīng)用系統(tǒng)）運行支持及系統(tǒng)變更工作。變更流程系統(tǒng)變更工作可分為下面三類類型：功能完善維護、系統(tǒng)缺陷修改、統(tǒng)計報表生成。功能完善維護指根據(jù)業(yè)務(wù)部門的需求，對系統(tǒng)進行的功能完善性或適應(yīng)性維護；系統(tǒng)缺陷修改指對一些系統(tǒng)功能或使用上的問題所進行的修復(fù)，這些問題是由于系統(tǒng)設(shè)計和實現(xiàn)上的缺陷而引發(fā)的；統(tǒng)計報表生成指為了滿足業(yè)務(wù)部門統(tǒng)計報表數(shù)據(jù)生成的需要，而進行的不包含在應(yīng)用系統(tǒng)功能之內(nèi)的數(shù)據(jù)處理工作。系統(tǒng)變更工作以任務(wù)形式由需求方（一般為業(yè)務(wù)部門）和維護方（一般為信息部門的應(yīng)用維護組織和軟件開發(fā)組織，還包括合作廠商）協(xié)作完成。系統(tǒng)變更過程類似軟件開發(fā)，大致可分為四個階段：任務(wù)提交和接受、任務(wù)實現(xiàn)、任務(wù)驗收和程序下發(fā)上線。因問題