2021ISO27001信息安全管理體系文件(手冊+程序文件+作業(yè)規(guī)范)

最新IS027001信息安全管理體系全套文件

（手冊+程序文件+作業(yè)規(guī)范）

2021最新IS027001信息安全管理體系全套文件（手冊+程序文件+作業(yè)規(guī)范）

信息安全管理體系程序文件目錄

文件編號文件名稱

XX-ISMS-01事故事件薄弱點與故障管理程序

XX-ISMS-02業(yè)務持續(xù)性管理程序

XX-ISMS-03企業(yè)商業(yè)技術秘密管理程序

XX-ISMS-04信息處理設施引進實施管理程

XX-ISMS-05信息安全人員考察與保密管理程序

XX-ISMS-06信息安全懲戒管理程序

XX-ISMS-07信息安全適用性聲明

XX-ISMS-08信息安全風險評估管理程序

XX-ISMS-09內審管理程序

XX-ISMS-10惡意軟件控制程序

XX-ISMS-11更改控制程序

XX-ISMS-12物理訪問管理程序

XX-ISMS-13用戶訪問控制程序

XX-ISMS-14管理評審控制程序

XX-ISMS-15系統(tǒng)開發(fā)與維護控制程序

XX-ISMS-16系統(tǒng)訪問與使用監(jiān)控管理程序

XX-ISMS-17計算機賬戶及密碼管理程序

XX-ISMS-18文件和資料管理程序

XX-ISMS-19重要信息備份管理程序

XX-ISMS-20預防措施程序

2021最新IS027001信息安全管理體系全套文件（手冊+程序文件+作業(yè)規(guī)范）

信息安全管理體系作業(yè)文件目錄

文件編號文件名稱

XX-ISMS-S0P-01防火墻安全管理規(guī)定

XX-ISMS-SOP-02介質銷毀管理規(guī)定

XX-ISMS-S0P-03信息機房管理制度

XX-ISMS-S0P-04信息中心安全事件報告和處置管理制度

XX-ISMS-S0P-05信息中心密碼管理制度

XX-ISMS-S0P-06信息系統(tǒng)訪問權限說明

XX-ISMS-S0P-07檔案鑒定銷毀工作規(guī)定

XX-ISMS-SOP-08移動介質使用管理規(guī)定

XX-ISMS-S0P-09復印室管理制度

XX-ISMS-S0P-10重要文件加密解密管理制度

2021最新IS027001信息安全管理體系全套文件（手冊+程序文件+作業(yè)規(guī)范）

1適用

本程序適用于公司信息安全事故、薄弱點、故障和風險處置的管理。

2目的

為建立一個適當信息安全事故、薄弱點、故障風險處置的報告、反應與處理機制，減少信息

安全事故和故障所造成的損失，采取有效的糾正與預防措施，正確處置已經評價出的風險，

特制定本程序。

3職責

3.1各系統(tǒng)歸口管理部門主管相關的安全風險的調查、處理及糾正措施管理。

3.2各系統(tǒng)使用人員負責相關系統(tǒng)安全事故、薄弱點、故障和風險的評價、處置報告。

4程序

4.1信息安全事故定義與分類：

4.1.1信息設備故障、線路故障、軟件故障、惡意軟件危害、人員故意破壞或工作失職等

原因直接造成下列影響（后果）之一，均為信息安全事故：

a）企業(yè)秘密、機密及國家秘密泄露或丟失；

b）服務器停運4小時以上；

c）造成信息資產損失的火災、洪水、雷擊等災害；

d）損失在十萬元以上的故障/事件。

4.1.2信息設備故障、線路故障、軟件故障、惡意軟件危害、人員故意破壞或工作失職等原

因直接造成下列影響（后果）之一，屬于重大信息安全事故：

a）企業(yè)機密及國家秘密泄露；

b）服務器停運8小時以上；

c）造成機房設備毀滅的火災、洪水、雷擊等災害；

d）損失在一百萬元以上的故障/事件。

4.1.3信息安全事件包括：

a）未產生惡劣影響的服務、設備或者實施的遺失；

b）未產生事故的系統(tǒng)故障或超載；

c）未產生不良結果的人為誤操作；

d）未產生惡劣影響的物理進入的違規(guī)

2021最新IS027001信息安全管理體系全套文件（手冊+程序文件+作業(yè)規(guī)范）

e）未產生事故的未加控制的系統(tǒng)變更；

f）策略、指南和績效的不符合；

g）可恢復的軟件、硬件故障；

h）未產生惡劣后果的非法訪問。

4.2故障與事故的報告渠道與處理

4.2.1故障、事故報告要求

故障、事故的發(fā)現者應按照以下要求履行報告任務：

a）各個信息管理系統(tǒng)使用者，在使用過程中如果發(fā)現軟硬件故障、事故，應該向該系統(tǒng)歸

口管理部門報告；如故障、事故會影響或己經影響線上生產，必須立即報告相關部門，采取

必要措施，保證對生產的影響降至最低；

b）發(fā)生火災應立即觸發(fā)火警并向安全監(jiān)督部報告，啟動消防應急預案；

c）涉及企業(yè)秘密、機密及國家秘密泄露、丟失應向行政部報告；

d）發(fā)生重大信息安全事故，事故受理部門應向信息安全管理者代表和有關公司領導報告。

4.2.2故障、事故的響應

故障、事故處理部門接到報告以后，應立即進行迅速、有效和有序的響應，包括采取以下適

當措施：

a）報告者應保護好故障、事故的現場，并采取適當的應急措施，防止事態(tài)的進一步擴大；

b）按照有關的故障、事故處理文件（程序、作業(yè)手冊）排除故障，恢復系統(tǒng)或服務，必要

時，啟動業(yè)務持續(xù)性管理計劃。

5相關/支持性文件

5.1《預防措施控制程序》

5.2信《息密級劃分、標注及處理控制程序》

5.3《信息安全獎勵、懲戒規(guī)定》

5.4I《法律法規(guī)與符合性評估程序》

6記錄保存期限

6.1《信息安全風險評估報

2021最新IS027001信息安全管理體系全套文件（手冊+程序文件+作業(yè)規(guī)范）

6.2《糾正/預防措施申請書》

6.3《信息安全事故調查處理報告》

6.4《信息安全薄弱點報告》

2021最新IS027001信息安全管理體系全套文件（手冊+程序文件+作業(yè)規(guī)范）

1目的與范圍

本程序規(guī)定了當發(fā)生重大信息安全事件或災難時，為保護公司業(yè)務活動免受影響，迅速恢復

已中斷的業(yè)務活動，實現公司業(yè)務持續(xù)發(fā)展而實施的管理活動。

這些活動包括：建立業(yè)務持續(xù)性管理程序；進行業(yè)務持續(xù)性和影響分析；編制業(yè)務持續(xù)性戰(zhàn)

略計劃；制訂業(yè)務持續(xù)性管理實施計劃并實施；對業(yè)務持續(xù)性管理計劃進行定期測試和評審

等。

本程序適應于本公司應用軟件的開發(fā)和系統(tǒng)集成的活動等主要業(yè)務的持續(xù)性管理。

2相關文件

2.1《信息安全管理手冊》

2.2《信息資產的識別與風險評估管理程序》

2.3《事故、薄弱點與故障管理程序》

3職責

3.1公司常務副總經理負責公司業(yè)務中斷的恢復的總指揮與總協調。

3.2集成部負責編制、修訂公司業(yè)務持續(xù)性管理程序，并協調、推進公司業(yè)務持續(xù)性管理活

動。

3.3各部門負責部門相關系統(tǒng)的故障處理及與之相關的作業(yè)中斷的恢復。

3.4技術部負責項目實施過程中設備及軟件系統(tǒng)的故障處理及與之相關的作業(yè)中斷的恢復。

3.5集成部負責后勤系統(tǒng)設備及網絡系統(tǒng)的故障處理及與之相關的作業(yè)中斷的恢復。

3.6行政部負責本部門管理系統(tǒng)及與之相關的作業(yè)中斷的恢復。

3.7公司各部門在發(fā)生重大信息安全事件或災難時，負責保護本部門使用的信息系統(tǒng)及業(yè)務

數據，及時恢復中斷的業(yè)務活動。

4工作程序

4.1業(yè)務持續(xù)性管理過程

公司業(yè)務持續(xù)性管理過程規(guī)定如下：

4.2業(yè)務持續(xù)性和影響的分析

4.2.1公司在首次信息安全風險評估后進行業(yè)務持續(xù)性和影響的分析。

4.2.2業(yè)務持續(xù)性和影響的分析由集成部組織，技術部、行政部、生產部及管理者代表指定

2021最新IS027001信息安全管理體系全套文件（手冊+程序文件+作業(yè)規(guī)范）

的相關部門分別開展以下活動：

a）對本部門的信息安全進行風險評估；

b）識別出對本部門業(yè)務持續(xù)性造成嚴重影響的主要事件，如設備故障、火災等；

C）分析這些事件一旦發(fā)生對公司業(yè)務活動造成的影響和損失，以及恢復業(yè)務所需費用等;

d）編寫本部門《業(yè)務持續(xù)性和影響分析報告》（格式見ISMS-4341）。

4.2.3《業(yè)務持續(xù)性和影響分析報告》應包括以下內容：

a）識別關鍵業(yè)務的管理過程；

b）可能引起公司業(yè)務活動中斷的主要事件；

c）主要事件對本部門管理的信息系統(tǒng)的影響；

d）信息系統(tǒng)故障或中斷對公司業(yè)務活動的影響；

e）關于系統(tǒng)恢復或替換的費用考慮。

5記錄

5.1《業(yè)務持續(xù)性和影響分析報告》

5.2《業(yè)務持續(xù)性管理戰(zhàn)略計劃》

5.3《業(yè)務持續(xù)性管理實施計劃》

5.4《業(yè)務持續(xù)性管理計劃測試報告》

5.5《業(yè)務持續(xù)性管理計劃評審報告

2021最新IS027001信息安全管理體系全套文件（手冊+程序文件+作業(yè)規(guī)范）

第一章總則

第一條為保障公司的合法權益，充分發(fā)揮作為公司重要資產的技術秘密、商業(yè)秘密的效益，鼓勵員工不

斷創(chuàng)造并自覺維護技術秘密、商業(yè)秘密的積極性，根據《知識產權管理總則》制訂本制度。

第二條公司技術秘密、商業(yè)秘密的管理目標；技術秘密、商業(yè)秘密是本公司擁有的知識產權的組成部分,

是公司的重要資產。要在公司內牢固樹立技術秘密、商業(yè)秘密的保護意識；技術秘密、商業(yè)秘密的管理

貫穿研究開發(fā)、生產和經營的全過程。明確商業(yè)秘密的界定和保護。

第三條公司內的相關管理制度、合同、記錄等文獻所有文件均屬于商業(yè)機密。

第二章技術秘密、商業(yè)秘密的定義、確立和管理機制

第四條.本制度所稱的技術秘密、商業(yè)秘密，是指由公司員工在職務范圍內創(chuàng)造或履行職務產生的、經

公司知識產權管理部門認定并采取了保密措施、只在公司一定范圍內流傳的、具有商業(yè)價值的所有信息

或成果。這些信息或成果以各種紙質材料、照片、錄像和計算機等數字存儲設備為載體而能夠為人所感

知。具體包括：

1.技術秘密。包括：公司現有的或正在開發(fā)或者構思之中的或經過技術創(chuàng)新確定不宜于申請專利的營銷方

案，管理制度；

2.經營信息包括：公司的市場營銷計劃、廣告宣傳方案、銷售方法、供應商和客戶名單、客戶的專門需求、

未公開的銷售服務網絡以及公司現有的、正在開發(fā)或者構思之中的經營項目等信息及其承載物；

3.依據法律和有關協議對第三方負有保密責任的第三方商業(yè)秘密。

第五條.確定為技術秘密、商業(yè)秘密的信息及其承載物，歸公司所有。

第六條.技術秘密、商業(yè)秘密的確定程序：

1.由參與藥品研發(fā)創(chuàng)新，研發(fā)部就某一項或幾項信息，向公司行政管理部門申報；

2.行政董事接到申報后采?。?/p>

a）指定參與者中一人專門保管成果或信息的承載物，可以采取加密措施。被指定人一般是項目或業(yè)務負責

人或菜肴創(chuàng)造者本人；

b）向公司常務董事匯報并提出是否構成技術秘密、商業(yè)秘密建議。必要時會同指定人向公司常務董事匯報;

c）公司行政董事在接到知識產權管理部門的匯報后應立即作出是否確定為技術秘密、商業(yè)秘密的決定；

d）對于被確定為技術秘密、商業(yè)秘密的信息或成果，按照本制度第三章和第四章的有關規(guī)定具體落實管理

措施。

e）技術秘密、商業(yè)秘密的確定遵循隨時產生隨時確定的原則，實行動態(tài)管理；

第七條商業(yè)秘密管理機制。

公司決策層負責技術秘密、商業(yè)秘密的整體工作。及時、高效地作出審核、批準、否決等工作，定期檢

查各部門的保密工作，作出獎懲決定。

公司下屬部門的負責人負責本部門的日常技術秘密、商業(yè)秘密管理和保護工作。定期檢查本部門的保密

工作，配合支持知識產權管理部門履行公司技術秘密、商業(yè)秘密保護工作。

知識產權管理部門是公司技術秘密、商業(yè)秘密保護工作的職責機構，具體操作落實與協調商業(yè)秘密保護

的各項工作.公司全體員工是技術秘密、商業(yè)秘密保護的實施者。全體員工應當牢固樹立知識產權意識，

自覺維護公司的商業(yè)秘密。

第三章技術秘密、商業(yè)秘密及其承載物的管理

2021最新IS027001信息安全管理體系全套文件（手冊+程序文件+作業(yè)規(guī)范）

第八條根據本制度第六條的規(guī)定，被決策層確立為技術秘密、商業(yè)秘密的信息或成果，由知識產權管理

部門確立密級和保密期限。密級劃分的標準、保密期限的確立，要參考該信息或成果同公司業(yè)務的聯系

程度、與同行業(yè)競爭的影響力度、是否為公司運營的關鍵等因案，由知識產權管理部門劃定。商業(yè)秘密

的申報人應當提供意見。

第九條按照技術秘密、商業(yè)秘密需要保密的程度，參考第八條的標準，技術秘密、商業(yè)秘密分為三級；

絕密、機密、保密。弓I外，對于不宜于對外的信息，由行政管理部門確立為“內部使用”的資料，參照本制

度做好保密工作。

絕密——是指一旦泄漏會使公司遭受嚴重危害和重大損失的信息或成果，包括：公司核心管理秘密、技

術訣竅、財務報表、藥品研發(fā)工藝、特殊化合同。

機密——是指理一旦泄漏會使公司遭受危害和較大損失的信息，包括：產品開發(fā)、市場營銷等各類工作

計劃、公司內部重要文件。

保密——是指一旦泄漏會使公司遭受損失的信息，包括；藥品銷售情況，用戶名單及其分布，用戶需求

信息，限于一定范圍閱讀的公司內部文件等。

內部使用的信息或成果——是指一旦泄漏會對公司業(yè)務產生一定不良影響的可能的信息或成果，只限于

內部員工閱讀的公司內部文件。

第十條.保密資料由專人負責管理。公司財務部對交接來的技術秘密、商業(yè)秘密檔案材料，根據其密級于

檔案卷宗封面加蓋保密印章，登記、編號后統(tǒng)一放置保密資料專門存放處保存，并建立臺帳登記，重要

的資料柜實行雙鑰匙制度。

公司各部門要設立保密資科柜，用于存放各部門經常運用的或暫時無法交存公司財務部門保存的技術秘

密、商業(yè)秘密檔案材料，該資料拒應由專人管理。

第十一條.商業(yè)技術機密材料的借閱，必須經公司行政董事批準，確定借閱時間，使用后立即歸還，不

得延期，更不得交與他人使用。

第十二條.商業(yè)技術機密材料的復印，必須經公司行政董事批準后，由專人（理應是財務部經理）復印,

未見公司行政董事批準意見，一律不得復印。復印由專人負責，復印期間不得向他人泄漏，復印后應當

立即將復印稿和原稿交還申請復印人，廢稿要立即銷毀，不得留存或隨意丟棄。

第四章技術秘密、商業(yè)秘密的保障措施

第十三條在本公司進行技術創(chuàng)新過程中，任何研發(fā)項目從立項之日起，圍繞該項目的研發(fā)活動進入技術

秘密、商業(yè)秘密保護范圍內，產生的任何信息或成果，不論最終產生的知識產權形式如何，均作為公司

的技術秘密、商業(yè)秘密進行保護。

第十四條對于在研發(fā)過程中被確定為技術秘密、商業(yè)秘密的信息，由于處在不斷發(fā)展改進的狀態(tài)下，其

檔案材料可以經公司知識產權主管領導批準后保留在本部門，但必須設專門存放處保存，以計算機等保

存的，必須對該設備進行數字加密，密碼不得向任何無關該商業(yè)秘密的人透露。

研發(fā)中的階段性成果，必須形成檔案材料，依照保密措施保存，直到最終成果形成后，將各階段成果形

成的過程檔案進行保存、銷毀、解秘等措施。

第十五條對于開發(fā)完成的技術創(chuàng)新成果，除從本公司專利戰(zhàn)略及經營實際出發(fā)需要公開的以外，經過論

證不適于申請專利的，將其完全納入公司商業(yè)秘密保護范圍內，按照商業(yè)秘密的確立、密級劃分、建檔、

專門保存檔案資料等的工作。參與技術創(chuàng)新的有關人員，在開發(fā)項目進行中，應履行商業(yè)秘密的保密工

2021最新IS027001信息安全管理體系全套文件（手冊+程序文件+作業(yè)規(guī)范）

作。

第十六條公司所有員工有義務保護公司技術秘密、商業(yè)秘密的安全。所有員工對于公司技術秘密、商業(yè)

秘密的保護而產生的義務、權利及相應獎勵、處罰。

第十七條員工在公司工作期間，因工作需要使用公司的技術秘密、商業(yè)秘密及其承載物，應按照要求的

范圍和程度使用，不得將實物、資料等擅自帶離工作崗位，未經書面同意，不得隨意進行復制、交流或

轉移含有公司技術秘密、商業(yè)秘密的資料。

第十八條員工在參加任何級別的學術交流活動、產品訂貨會、技術鑒定會等會議或活動時，必須注意保

護公司的技術秘密、商業(yè)秘密，用以交流的文檔或資料事先要經過上級審查批準。第十九條.公司在對

外發(fā)布新產品信息和廣告時，要注意避免泄漏公司的技術秘密、商業(yè)秘密。重要的新產品宣傳、廣告文

稿必須經公司行政董事審核批準后才可發(fā)布。

第二十條公司在接受外公司人員的實習、合作研究、學習進修等工作時，對公司的技術秘密、商業(yè)秘密

負有保密的義務。

第二十一條員工因工作需要或其他原因（包括離職、辭職、退休、開除等）調離原工作崗位或離開公司，

應將接觸到的所有包含職務開發(fā)中技術秘密、商業(yè)秘密的數據、文檔等的記錄、模型、軟磁盤、光盤及

數字存儲裝置以及其他媒介形式的資料如數交回公司。

第五章技術秘密、商業(yè)秘密效益發(fā)揮的保證措施

第二十二條公司在對外的技術合作過程中，以技術秘密、商業(yè)秘密為標的或其他技術合同涉及技術秘密、

商業(yè)秘密許可的，對于技術秘密、商業(yè)秘密的價值通過與合作方協商確定。需要進行第三方價值評估的,

委托符合執(zhí)業(yè)要求的中介機構完成，并通過合同約定嚴格的保密措施。明確雙方的權利和義務及合作方

在合同末完全履行，泄漏公司技術秘密、商業(yè)秘密應承擔的責任。

第二十三條公司員工在主持或參與對外業(yè)務談判時要遵守公司的保密紀律。涉及公司商業(yè)秘密的談判，

事先制定談判提綱，該提綱經行政董事批準。

第二十四條在技術合作中產生的技術成果，其知識產權形式的確定和歸屬由合同約定，凡以技術秘密、

商業(yè)秘密約定歸屬本公司應采取保密措施。

第二十五條因員工開發(fā)或參與開發(fā)的技術創(chuàng)新項目、新產品技術或創(chuàng)造發(fā)明而形成的商業(yè)秘密，在對外

的技術合作過程中產生收益，本公司將取得實際利益給予最大力度獎勵。

第二十六條本公司所有正式，試用，兼職，實習員工無條件遵守本管理辦法。

2021最新IS027001信息安全管理體系全套文件（手冊+程序文件+作業(yè)規(guī)范）

1適用與目的

本程序適用于公司與IT相關各類信息處理設施（包括各類軟件、硬件、服務、傳輸線路）的引進、

實施、維護等事宜的管理。

本程序通過對技術選型、驗收、實施、維護等過程中相關控制的明確規(guī)定來確保引進的信息處理設

施的保密性、完整性和可用性。

2信息處理設施的分類

2.1研發(fā)控制系統(tǒng)、數據存儲控制系統(tǒng)及其子系統(tǒng)設備，包括位于機房的服務器和位于使用區(qū)域的使用控

制系統(tǒng)終端設備。

2.2業(yè)務管理系統(tǒng)、財務管理系統(tǒng)，包括位于機房的服務器和位于使用區(qū)域的終端設備。

2.3辦公用計算機設備，包括所有辦公室、會議室內的計算機、打印機，域控制服務器，DNS服務器、

Email服務器等。

2.4網絡設備，包括交換機、路由器、防火墻等。

2.5其它辦公設備，包括電話設備、復印機、傳真機等。

3職責

3.1XX部主要負責全公司與IT相關各類信息處理設施及其服務的引進。包括制作技術規(guī)格書、進行技

術選型、安裝和驗收等。XX部同時負責全公司網絡設備、研發(fā)控制系統(tǒng)、業(yè)務管理系統(tǒng)、財務管理系統(tǒng)

日常管理與維護。

3.2各部負責項目實施過程中設備及軟件系統(tǒng)的管理制度的執(zhí)行與維護。

3.3XX部負責后勤系統(tǒng)設備及網絡系統(tǒng)、電話/網絡通訊與辦公系統(tǒng)的管理與維護。

4信息處理設施的引進和安裝

4.1引進依賴

各部門必須采購的信息處理設施、外包開發(fā)信息系統(tǒng)項目或外包信息系統(tǒng)服務，得到本部門經理的

批準后，向XX部提交申請。XX部以設備投資計戈IJ,技術開發(fā)計劃為依據，結合對新技術的調查，作出

是否引進的評價結果并向提出部門返回該信息。

本公司禁止員工攜帶個人或私有信息處理設施（例如便攜式電腦、家用電腦或手持設備PDA等）處

理業(yè)務信息。

2021最新IS027001信息安全管理體系全套文件（手冊+程序文件+作業(yè)規(guī)范）

4.2進行技術選型

XX部負責對購入的信息處理設施的技術選型，并從技術角度對供應商進行評價。技術選型應該包含

以下幾方面：性能、相關設施的兼容性、協作能力、技術發(fā)展能力等。

4.3編寫購入規(guī)格書

XX部根據要求，負責編寫即將購入的信息處理設施的購入規(guī)格書。規(guī)格書中應該包含技術規(guī)格、相

關設施的性能（包括安全相關信息）、兼容性等要求，由XX部主管審批。

4.4定貨

由XX部按照公司采購流程，向經理層提出購買要求，并提供選型結果。經理層應按照要求辦理定貨

手續(xù)。

4.5開箱檢查，安裝、調試，驗收

a）開箱檢查

設備到貨后，xx部應負責開箱檢查，依照購買規(guī)格書和裝箱單核對數量及物品，確認有無損壞并記

錄。必要時，應通知有關部門到場協同檢查。

b）安裝、調試

引進的設施到位后，根據合同要求，由相關人員進行安裝、調試。在實施調試過程中出現的問題，

必要時可通知相關部門共同進行。

c）驗收

安裝調試完成以后，XX部應依據以下文件實施驗收：

?購入規(guī)格書

?采購合同及其相關附件

?調試時故障履歷

驗收原則上由XX部實施，必要時可要求相關部門參加。驗收的合格與否最終由XX部負責人作出判

斷。

d）驗收合格后，可向相關的使用部門移交。

5信息處理設施的日常維護管理

5.1計算機設備管理

5.1.1XX部負責計算機固定資產的標識，標識隨具體設備到使用各部門。計算機保管使用部門將計算機列

入該部門信息資產清單。

5.1.2各部門配備的計算機設備應與本部門的日常經營情況相適應，不得配備與工作不相符的高檔次或不

必要的計算機設備。辦公場所不配備多媒體類計算機設備，原則上部門經理以上配備筆記本電腦，因工

2021最新IS027001信息安全管理體系全套文件（手冊+程序文件+作業(yè)規(guī)范）

作需要配備筆記本電腦的需經主管副總批準。

5.1.3計算機使用部門需配備計算機設備時，應按照本規(guī)定執(zhí)行。資產搬離安置場所，需要獲得部門經理

的授權；遷移出公司，需要得到最高管理層的授權。

5.1.4計算機使用部門填寫《物品領用單》，經過本部門經理簽字后提交行政部后領取計算機設備。計算

機及附屬設備屬公司信息資產，在行政部備案。有關計算機設備所帶技術說明書、軟件由行政部保存。

使用部門的使用人應妥善保管計算機及附屬設備，公用計算機設備由使用部門經理指定專人負責使用管

理。

5.1.5離職時，應將計算機交還XX部，由XX部注銷賬戶。

5.2計算機設備維護

5.2.1計算機使用部門應將每部計算機落實到個人管理。計算機使用人員負責計算機的日常維護和保養(yǎng)；

XX部按照《惡意軟件控制程序》要求進行計算機查毒和殺毒工作。

5.2.2計算機使用部門發(fā)現故障或異常，可先報公司XX管理員處理，如其無法解決，則由XX管理員填

寫《事態(tài)事件脆弱性記錄》向供應商申請維修。故障原因及處理結果應記入《事態(tài)事件脆弱性記錄》。

5.3計算機調配與報廢管理

5.3.1用戶計算機更新后，原來的計算機由XX部根據計算機的技術狀態(tài)決定調配使用或予以報廢處理。

5.3.2含有敏感信息的計算機調配使用或報廢前，計算機使用部門應與XX部共同采取安全可靠的方法將

計算機內的敏感信息清除。

5.3.3調配

部門內部的調配由使用部門自行處理，并通知XX部進行計算機配置變更，變更執(zhí)行《更改控制

程序》。

5.332部門間的調配管理：XX部收回因更新等原因不用的計算機設備，由變更部門變更信息資產清單，

并按照本程序5.1.3、5.1.4要求重新分配使用。

5.4報廢處理

5.4.1計算機設備采用集中報廢處理。報廢前由XX部向行政部提出報廢，經審核后由XX部實施報廢。

5.4.2XX部按照批準的處置方案進行報廢處理，并變更固定資產清單。

5.5筆記本電腦安全管理

5.5.1筆記本電腦應由被授權的使用人保管；對于需多人共用的筆記本電腦，應由部門負責人指定專人保

管。

5.5.2筆記本所帶附件應由使用者本人或部門負責人指定專人保管。

5.5.3筆記本電腦使用時應防止惡意軟件的侵害，在系統(tǒng)中應安裝防病毒軟件，并由使用人對其定期升級,

對系統(tǒng)定期查殺，XX部負責監(jiān)督。

5.5.4筆記本電腦在移動使用中，不能隨意拉接網絡，需通過填寫《用戶授權申請表》向XX部提前提出

2021最新IS027001信息安全管理體系全套文件（手冊+程序文件+作業(yè)規(guī)范）

需求，經XX部審批后方能接入網絡。

5.6計算機安全使用的要求

5.6.1計算機設備為公司財產，應愛惜使用，按照正確的操作步驟操作。

5.6.2使用計算機時應遵循信息安全策略要求執(zhí)行。

5.6.3員工入職時，由其所在部門的部門經理根據該員工權限需要填寫《用戶授權申請表》，向研發(fā)部提

出用戶開戶申請；離職時也需填寫《用戶授權申請表》通知研發(fā)部辦理銷戶。

5.6.4新域用戶名為用戶姓名的拼音（有重名時另設），初始缺省密碼為XXXXX。用戶在第一次登錄系

統(tǒng)時應變更密碼，密碼需要設置在6位以上（英文字母、數字或符號組合的優(yōu)質密碼）并注意保密。

5.6.5各人使用自己的賬戶登錄，未經許可不得以他人用戶名登錄。若用戶遺忘密碼，應及時向研發(fā)部

申請新密碼后登錄。

5.6.6不得使用計算機設備處理正常工作以外的事務。

5.6.7計算機的軟硬件設置管理由研發(fā)部進行，未經許可，任何人不得更換計算機硬件和軟件。

5.6.8研發(fā)部負責初始軟件的安裝，公司嚴禁個人私自安裝和更改任何軟件。計算機用戶的軟件安裝與

升級按照《更改控制程序》執(zhí)行。拒絕使用來歷不明的軟件和光盤。

5.6.9嚴禁亂拉接電源，以防造成短路或失火。

5.6.10計算機桌面要保持清潔，不得將秘密和（或）受控文件直接放置在桌面：計算機桌面必須設置屏

幕保護，恢復時需用密碼確認（執(zhí)行密碼口令管理規(guī)定）。鎖屏時間可根據自己工作習慣設置鎖屏時間，

但最高不得高于5分鐘。各部門負責人進行監(jiān)督。

5.7網絡安全使用的要求

5.7.1對于網絡連接供應商，充分考慮其口碑和現有安全防范措施，在簽署保密協議的基礎上加以篩選。

5.7.2對內設置必要的路由器防火墻，采用HTTP、FTP的連接方式，捆綁固定IP地址防止權限濫用。

6信息處理設施的日常點檢

6.1計算機的日常點檢

日常點檢的目的是確認系統(tǒng)硬件是否運行良好，有無硬件及程序上的報警，備份是否正常進行等。點

檢的流程、責任、項目、點檢周期和記錄表詳由相應部門制定。如出現在檢查期人員外出等不在崗情況,

需要在返回工作崗位時，立即補充完善。

6.2網絡設備的管理與維護

點檢的流程、責任、項目、點檢周期和記錄表由XX部負責，特別的，在點檢中應包括對MAIL的

點檢。

2021最新IS027001信息安全管理體系全套文件（手冊+程序文件+作業(yè)規(guī)范）

6.3點檢策略

6.3.1所有存在于計算機、網絡設備上的服務、入侵檢測系統(tǒng)、防火墻和其他網絡邊界訪問控制系統(tǒng)的

系統(tǒng)審核、賬號審核和應用審核日志必須打開，如果有警報和警示功能必須打開。

6.3.2審核日志必須保存一定的期限，任何個人和部門不得以任何理由刪除保存期之內的日志。

6.3.3審核日志必須由該系統(tǒng)管理員定期檢查，特權使用、非授權訪問的試圖、系統(tǒng)故障和異常等內容

應該得到評審，以查找違背信息安全的征兆和事實。

6.3.4入侵檢測系統(tǒng)必須處于啟動狀態(tài)，日志保存一定的期限，定期評審異常現象，對所有可疑或經確

認的入侵行為和入侵企圖需及時匯報并采取相應的措施。

6.3.5II志的配置最低要求

設備類型日志內容保存周期檢查周期

服務系統(tǒng)對外提供服務的》6個月W2周

直接用于設計、存儲、a）用戶標識符（ID）；212個月W2周

檢測的控制、管理和查b）登錄和注銷事件；

詢系統(tǒng)c）若可能，終端位置；

全公司辦公系統(tǒng)d）成功的失敗的登錄試圖。個月W5周

部門內部服務器》6個月W5周

其他服務器》6個月W5周

防火墻和系統(tǒng)配置更改日志21個月W5周

路由器訪問日志（方向、流量）個月W5周

VPN網關a）用戶標識符（ID）；周W1周

b）登錄和注銷事件；

C）終端位置；

d）成功的失敗的登錄試圖。

入侵檢測異常網絡連接的時間、IP、23個月《5周

系統(tǒng)入侵類型

遠程訪問a）用戶標識符（ID）；個月W5周

系統(tǒng)b）登錄和注銷事件；

C）終端位置；

d）成功的失敗的登錄試圖。

6.3.6XX部網絡管理員根據系統(tǒng)的安全要求確認其日志內容、保存周期、檢查周期，其最低要求不得低

于上表的要求。如果因為日志系統(tǒng)本身原因不能滿足上表的最低要求，需要降低標準的，必須得到XX部

主管或管理者代表的批準和備案。

6.3.7XX部網絡管理員配置日志系統(tǒng)，并定期檢查日志內容，評審安全情況。評審的內容包括：授權訪

問、特權操作、非授權的訪問試圖、系統(tǒng)故障與異常等情況，評審結束應形成《日志檢查記錄》。

2021最新IS027001信息安全管理體系全套文件（手冊+程序文件+作業(yè)規(guī)范）

6.4資料的保存

6.4.1設備的技術資料由設備所在的部門交由行政部保存并建立《受控文件和資料發(fā)放清單》，以備日后

查閱。

6.4.2設備廠商對設備進行維修后提供的維修（維護）記錄單，由XX部保存，以備日后查詢。

6.5網絡掃描工具的安全使用管理

6.5.1對網絡掃描工具的使用，必須得到管理者代表的授權，并保存使用的記錄。

7其它要求

涉及應用系統(tǒng)軟件的開發(fā)（包括外包軟件開發(fā)）的項目，還需執(zhí)行《系統(tǒng)開發(fā)與維護控制程序》的

相關要求。

8相關文件

令《系統(tǒng)開發(fā)與維護控制程序》

令《系統(tǒng)邏輯訪問管理制度》

9記錄

記錄名稱保存部門保存期限

《用戶授權申請表》3年

《日志檢查評審記錄》5年

《變更申請表》3年

《日常點檢記錄表》3年

2021最新IS027001信息安全管理體系全套文件（手冊+程序文件+作業(yè)規(guī)范）

1適用本規(guī)定適用于本公司的正式員工和借用員工聘用、任職期間及離職的安全考察

與保密控制以及其他相關人員（合同方、臨時員工）的安全考察與控制。

2目的為防止品質不良或不具備一定技能的人員進入本公司，或不具備一定資格條件

的員工被安排在關鍵或重要崗位，降低員工所帶來人為差錯、盜竊、欺詐及濫用設施的風

險，防止人員對于信息安全保密性、完整性、可用性的影響，特制定本程序。

3職責

3.1行政部負責員工聘用、任職期間及離職的安全考察管理及保密協議的簽訂及其他相

關人員（合同方、臨時員工）的安全考察與控制。

3.2各部門負責本部門員工的日常考察管理工作。

4員工錄用

4.1人員考察策略

4.1.1所有員工在正式錄用（借用）前應進行以下方面考察：

a）良好的性格特征，如誠實、守信等；

b）應聘者學歷、個人簡歷的檢查（完整性和準確性）；

c）學術或專業(yè)資格的確認；

d）身份的查驗。

4.1.2員工從一般崗位轉到信息安全重要崗位，應當對其進行信用及能力考察。

4.1.3必要時，對承包商和臨時工進行同樣的考察。

4.2對錄用（借用）人員的考察

4.2.1行政部對擬錄用（借用）人員重點進行以下方面考察：

a）根據應聘資料及面試情況初判應聘者的職業(yè)素質；

b）根據應聘者人事經歷的記載，了解是否有重大懲戒及犯罪記錄；

c）通過與應聘者溝通，并了解其應聘動機；

d）了解其從事的專業(yè)和具備的技術水準，是否符合該崗位的崗位說明書。

2021最新IS027001信息安全管理體系全套文件（手冊+程序文件+作業(yè)規(guī)范）

4.2.2考察的結果應記入《應聘申請表》。

4.2.3在考察中發(fā)現應聘者存在不良傾向的，將不予錄用（借用）。

5離職措施

5.1員工離職涉及《秘密管理規(guī)程》的保密事項，應按要求采取相應的保密措施。

5.2部門要加強員工離職時的涉密資料、口令等的交接工作。

5.3部門在員工離職后要采取相應的技術防范措施（如變更口令、程序等），必要時應

與信息科技部協調。

5.4公司和部門要做好員工離職的教育工作，告知其離職后，不得向第三方泄露其在

任職期內所獲得的公司的商業(yè)和技術秘密。

6離職程序

6.1員工必須在離職日前30天向本部門部長提出書面離職報告。

6.2部門長接到員工離職報告后，填寫ISMS-4373《員工特別事項處理意見表》，簽署

意見后送行政部。

6.3行政部在《員工特別事項處理意見表》上簽署意見后，報行政部部部長、分管副

總和總經理審批。

6.4員工離職得到批準，由部門通知離職員工來人事科辦理離職手續(xù)。離職員工在離

職日前必須把擔當的部門工作移交完畢。

6.5辦理離職手續(xù)

6.5.1離職員工到行政部索取ISMS-4374《員工離公司手續(xù)單》。

6.5.2離職員工按《員工離公司手續(xù)單》的內容至公司各部門辦理移交手續(xù)，各相關

部門負責按照《用戶訪問控制程序》取消離職員工的訪問權限。

6.5.3離職員工移交完畢后，由行政部將《退工通知單》和員工的《勞動手冊》交于離

職者。

6.5.4技術部門員工離職必須簽訂ISMS-4375《雙邊保密協定》。

6.5.5員工離職后如發(fā)生泄密情況，應承擔由此涉及的法律責任。

2021最新IS027001信息安全管理體系全套文件（手冊+程序文件+作業(yè)規(guī)范）

7相關/支持性文件

7.1《用戶訪問控制程序》

7.2《秘密管理規(guī)程》

7.3《人事工作審批程序》

8記錄

8.1《應聘申請表》

8.2《崗位調整審查表》

8.3《員工特別事項處理意見表》

8.4《員工離公司手續(xù)單》

8.5《雙邊保密協定》

2021最新IS02700I信息安全管理體系全套文件（手冊+程序文件+作業(yè)規(guī)范）

1目的

為對違反信息安全方針、體系文件要求、法律法規(guī)、合同要求的員工實施公正有效的獎

懲，并作為對可能在其它情況下有意輕視信息安全程序的員工的威懾，強化全體員工的信息

安全意識，有效防止信息安全事故的發(fā)生，特制定本規(guī)定。

2范圍

本程序適用于本公司對違反信息安全方針、體系文件要求、法律法規(guī)、合同要求的員工

的獎懲及對信息安全做出貢獻員工的獎勵。

3定義

無

4職責

4.1各部門經理負責自己區(qū)域內的獎懲。

4.2管理者代表負責對IT方面信息安全事故的獎懲管理。

4.3信息安全管理委員會負責決定重大信息安全和事故的處罰。

4.4系統(tǒng)管理員負責本公司內部泄密或信息泄漏的調查。

5程序

2021最新IS02700I信息安全管理體系全套文件（手冊+程序文件+作業(yè)規(guī)范）

5.1計算機信息系統(tǒng)的安保

5.1.1在計算機信息系統(tǒng)安全保護工作中成績顯著的單位和個人，由人事部給予表彰、獎勵。

5.1.2存在計算機信息系統(tǒng)安全隱患，由人事部發(fā)出整改通知，限期整改。因不及時整改而

發(fā)生重大事故和案件的，由市行對該單位的主管負責人和直接負責人予以行政處分；構成違

反治安管理或者違反計算機管理監(jiān)察行為的，由公安機關依法予以處罰；構成犯罪的，由司

法機關依法追究刑事責任。

注：以上條款由本公司信息安全委員會負責解釋。

2021最新IS02700I信息安全管理體系全套文件(手冊+程序文件+作業(yè)規(guī)范)

5.2計算機應用與管理違規(guī)行為處罰規(guī)定

5.2.1計算機應用、維護及操作人員違反規(guī)定的，給予經濟處罰或者警告至降級處分；造成

嚴重后果的，給予撤職至開除處分。

5.2.2違反規(guī)定，擅自編制、使用、修改業(yè)務應用程序、調整系統(tǒng)參數和業(yè)務數據的，給予

主管人員和其他責任人員記過至撤職處分；造成嚴重后果的，給予主管人員和其他責任人員

留用察看至開除處分。

5.2.3利用計算機進行違法違規(guī)活動或者為違法違規(guī)活動提供條件的，給予主管人員和其他

責任人員記過撤職處分；造成嚴重后果的，給予留用至開除處分。

5.2.4違反規(guī)定，有下列危害網絡安全公司為之一的，給予有關責任人員經濟處罰或者警告

至記過處分；造成嚴重后果的，給予記大過至開除處分：

(a)在生產經營用機上使用與業(yè)務無關的軟件或者利用通訊手段非法侵入其他系統(tǒng)和

網絡的(含從的一個業(yè)務系統(tǒng)進入另一個業(yè)務系統(tǒng)，從以外的系統(tǒng)和設備侵入業(yè)務網絡系統(tǒng),

以及從的業(yè)務網絡系統(tǒng)進入以外的網絡系統(tǒng))；

(b)未經審批，私自使用內部網絡上的計算機撥號上國際互聯網的；

(c)將非計算機設備接入網絡系統(tǒng)的；

(d)私自卸載或屏蔽計算機安全軟件的；

(e)私自修改計算機操作系統(tǒng)、網絡系統(tǒng)安全設置的；

(f)未經審批，私自在網絡系統(tǒng)內開設游戲網站、論壇、聊天室等與工作無關的網絡

服務的；

(g)利用郵件系統(tǒng)傳播損害形象的郵件的。

5.2.5利用的計算機設備和網絡系統(tǒng)制造、傳播計算機病毒，給予主管人員和其他責任人員

記過至記大過處分；造成嚴重后果的，給予主管人員和其他責任人員降級至開除處分。

5.2.6計算機房值班人員擅自離崗的，給予經濟處罰或者警告處分；造成嚴重后果的，給予

記過至開除處分。

5.2.7系統(tǒng)管理和操作人員離開主機或者終端時沒有按操作規(guī)程退出系統(tǒng)的，給予經濟處罰

或者警告至記過處分；造成嚴重后果的，給予記大過至開除處分。

5.2.8違反規(guī)定將屬于的計算機軟件、文檔、資料、客戶信息等據為己有、復制或者借給外

單位的，給予有關責任人員記過至撤職處分；造成嚴重后果的，給予留用察看至開除處分。

5.2.9未按規(guī)定進行數據備份、沒有妥善保管備份數據或備分數據無效的，給予主管人員和

其他責任人員經濟處罰或者警告至記過處分；造成嚴重后果的，給予記大過至開除處分。

2021最新IS027001信息安全管理體系全套文件（手冊+程序文件+作業(yè)規(guī)范）

5.2.10在對面向客戶的業(yè)務應用系統(tǒng)管理中，從事后臺維護的技術人員，違反規(guī)定同時進

行前臺技術維護的，給予主管人員和其他責任人員記過至記大過處分；造成嚴重后果的，給

予降級至開除處分。

5.2.11在業(yè)務應用系統(tǒng)有關的各項業(yè)務操作過程中，技術人員代替業(yè)務人員操作，或業(yè)務員

允許技術人員代替從事業(yè)務操作，給予主管人員和其他責任人員記過至開除處分。

5.2.12偽造信息的，給予主管人員和其他責任人員警告至降級處分；造成嚴重后果的，給予

撤職至開除處分。

2021最新IS02700I信息安全管理體系全套文件（手冊+程序文件+作業(yè)規(guī)范）

5.3計算機信息類違規(guī)處罰

5.3.1本公司職工違規(guī)操作，給系統(tǒng)造成一定的影響，但沒有影響業(yè)務正常運行或對業(yè)務造

成輕微危害者，給當事人警告或嚴重警告、情節(jié)較重或嚴重者，視情節(jié)輕重給予當事人和主

管領導200元以上1000元以下罰款。

5.3.2本公司職工違規(guī)操作導致系統(tǒng)發(fā)生問題，影響業(yè)務長時間正常運行，視情況給予處罰，

情節(jié)嚴重者，開除。

5.3.3系統(tǒng)管理員凡是不按要求管理，出現公網和內網混網現象，或其它安全問題，一經發(fā)

現，除全公司通報批評外，處以200元罰款，情節(jié)嚴重者，調離系統(tǒng)員崗位。

5.3.4所有計算機使用用戶，違規(guī)私自修改網絡地址進入不該進入的業(yè)務網段、或使用內網

主機進入internet網絡者，若對系統(tǒng)和業(yè)務未造成影響，除全公司通報批評外，處以當事

人和相關責任人200元罰款，若對系統(tǒng)或業(yè)務造成影響著，視情節(jié)輕重，處以500以上10000

元以下罰款。

5.3.5凡是利用非法手段竊取系統(tǒng)密鑰，進入本公司業(yè)務系統(tǒng)，盜取客戶資料，向外界提供

客戶資料并造成客戶損失或進入系統(tǒng)作案者，一經發(fā)現，立即開除，情節(jié)嚴重者，送交司法

機關處置。

2021最新IS027Q01信息安全管理體系全套文件（手冊+程序文件+作業(yè)規(guī)范）

5.4獎懲記錄

5.4.1系統(tǒng)管理員根據本公司獎懲管理規(guī)定，對獎懲的實施進行記錄并形成《獎懲記錄單》

記錄完畢后由系統(tǒng)管理員進行留存。

2021最新IS02700I信息安全管理體系全套文件（手冊+程序文件+作業(yè)規(guī)范）

5.5證據的收集

5.5.1當信息安全事件涉及到訴訟（民事的或刑事的），需要進一步對個人或組織進行起訴

時，應收集、保留和呈遞證據，以使證據符合相關訴訟管轄權。

5.5.2證據在收集時不得侵犯個人權益，應在不侵犯個人權益時對證據進行收拾并且證實證

據是否可在法庭上使用。

5.5.3應保證證據的質量和完備性，防止未被授權的篡改和泄漏。

5.5.4證據獲得的保證：本公司應確保收集證據其信息系統(tǒng)符合任何公布的標準或實用規(guī)則

來產生被容許的證據。

2021最新IS02700I信息安全管理體系全套文件（手冊+程序文件+作業(yè)規(guī)范）

5.6證據的保存及提供

5.6.1提供證據的份量應符合任何適用的要求。對該證據的存儲和處理的整個時期內，應進

行過程控制保證證據的質量和完備性。

5.6.2紙面文檔證據的提供：原物應被安全保存且?guī)в邢铝行畔⒌挠涗洠赫l發(fā)現了這個文檔,

文檔是在哪兒被發(fā)現的，文檔是什么時候被發(fā)現的，誰來證明這個發(fā)現；任何調查應確保原

物沒有被篡改；

5.6.3對計算機介質上的信息：任何可移動介質的鏡像或拷貝（依賴于適用的要求）、硬盤

或內存中的信息都應確保其可用性；拷貝過程中所有的行為日志都應保存下來，且應有證據

證明該過程；原始的介質和日志（如果這一點不可能的話，那么至少有一個鏡像或拷貝）應

安全保存且不能改變

5.6.4任何法律取證工作應僅在證據材料的拷貝上進行。所有證據材料的完整性應得到保

護。證據材料的拷貝必須在可信耐人員的監(jiān)督下進行，什么時候在什么地方執(zhí)行的拷貝過程,

誰執(zhí)行的拷貝活動，以及使用了哪種工具和程序，這些信息都應記錄作為日志。

6記錄

《獎懲記錄單》

2021最新IS027001信息安全管理體系全套文件（手冊+程序文件+作業(yè)規(guī)范）

1.目的

根據ISO/IEC27001:2013標準和公司實際管理需要，確定標準各條款對公司的適用性，特編

制本程序。

2.范圍

適用于對ISO/IEC27001:2013標準于本公司的適用性管理。

3.職責與權限

3.1最高管理者

負責信息安全適用性聲明的審批。

3.2綜合部

負責信息安全適用性聲明的編制及修訂。

4.相關文件

a）《信息安全管理手冊》

5.術語定義

無

6.適用性聲明

2021最新IS027001信息安全管理體系全套文件（手冊+程序文件+作業(yè)規(guī)范）

信息安全適用性聲明S0A

A.5信息安全方針

標準目標/是否

標題選擇理由相關文件

條款號控制選擇

A.5.1信息安全管理目標YES提供符合有關法律法規(guī)和業(yè)務需求的信息安全管理指

指引引和支持。

A.5.1.1信息安全方針控制YES信息安全方針應由管理才《信息安全管理手冊》

批準發(fā)布。

A.5.1.2信息安全方針控制YES確保方針持續(xù)的適應性?！豆芾碓u審控制程序》

的評審

A.6信息安全組織

標準目標/是否

標題選擇理由相關文件

條款號控制選擇

A.6.1信息安全組織目標YES管理組織內部信息安全。

A.6.1.1信息安全的角色控制YES保持特定資產和完成特定《信息安全管理手冊》

和職責安全過程的所有信息安全

職貢需確定。

A.6.1.2職責分離控制YES分離有沖突的職責和責任《信息安全管理手冊》

范圍，以減少對組織資產未

經授權訪問、無意修改或誤

用的機會。

A.6.1.3與監(jiān)管機構的聯控制YES與相關監(jiān)管機構保持適當《相關方服務管理程序》

系聯系。

A.6.1.4與特殊利益團體控制YES與特殊利益團體、其他專業(yè)《相關方服務管理程序》

的聯系安全協會或行業(yè)協會應保

持適當聯系。

A.6.1.5項目管理中的信控制YES實施任何項目時應考慮信《保密協議》

息安全息安全相關要求?！断嚓P方管理程序》

A.6.2移動設備和遠程11標YES確保遠程辦公和使用移動設備的安全性

辦公

A.6.2.1移動設備策略控^刷YES采取安全策略和配套的安《信息處理設施控制程

全措施管控使用移動設備序》

帶來的風險?！队嬎銠C管理規(guī)定》

《介質管理程序》

A.6.2.2遠程辦公控制YES我司有遠程訪問公司少數《用戶訪問控制程序》

系統(tǒng)的情況，需要進行安全

控制。

A.7人力資源安全

標準目標/是否

標題選擇理由相關文件

條款號控制選擇

A.7.1聘用前目標YES確保員工、合同方人員適合他們所承擔的角色并理解

他們的安全責任

2021最新IS027001信息安全管理體系全套文件（手冊+程序文件+作業(yè)規(guī)范）

標準H標/是否

標題選擇理由相關文件

條款號控制選擇

A.7.1.1人員篩選控制YES通過人員考察，防止人員帶《人力資源安全管理程

來的信息安全風險。序》

A.7.1.2雇傭條款和條控制YES履行信息安全保密協議是《人力資源安全管理程

件雇傭人員的一個基本條件。序》

《保密協議》

A.7.2聘用期間目標YES確保員工和合同方了解并履行他們的信息安全責任。

A.7.2.1管理職責缺乏管理職責，會使人員意《信息安全管理手冊》

控制YES識淡薄，從而對組織造成負《人力資源安全管理程

面安全影響。序》

信息安全意識及必要的信《人力資源安全管理程

信息安全意識、

A.7.2.2控制YES息系統(tǒng)操作技能培訓是信序》

教育和培訓

息安全管理工作的前提。

A.7.2.3懲戒過程控制YES對造成安全破壞的員工應《信息安全懲戒管理規(guī)

該有一個正式的懲戒過程。定》

A.7.3聘用中止和變目標YES在任用變更或中止過程保護組織利益。

化

A.7.3.1任用終止或變控制YES應定義信息安全責任和義《人力資源安全管理程

更的責任務在任用終止或變更后仍序》

然有效，并向員工和合同方《相關方服務管理程

傳達并執(zhí)行。序》

A.8資產管理

標準目標/是否

標題選擇理由相關文件

條款號捽1削選擇

A.8.1資產責任目標YES對我司資產（包括顧客要求保密的數據、軟件及產品）

進行有效保護。

A.8.1.1資產清單控制YES建立重要資產清單并實施《信息安全風險評估控

保護。制程序》

《重要資產清單》

A.8.1.2資產責任人控制YES對所有的與信息處理設施《信息安全風險評估控

有關