作業(yè)文件匯編

PAGEPAGE2作業(yè)文件目錄序號(hào)文件名稱編號(hào)頁碼物理訪問制度ISMS-30013外部相關(guān)方信息安全管理規(guī)定ISMS-30025與政府相關(guān)資質(zhì)申報(bào)及年審相關(guān)管理規(guī)定ISMS-30037信息系統(tǒng)容量規(guī)劃及驗(yàn)收管理制度ISMS-30049信息安全崗位任職要求管理規(guī)定ISMS-300613應(yīng)用系統(tǒng)開發(fā)安全管理規(guī)范ISMS-300717信息資產(chǎn)密級(jí)管理規(guī)定ISMS-300822信息系統(tǒng)設(shè)備管理規(guī)定ISMS-300926機(jī)房管理規(guī)定ISMS-301030筆記本電腦管理規(guī)定ISMS-301134介質(zhì)管理規(guī)定ISMS-301238變更管理規(guī)定ISMS-301341第三方服務(wù)管理規(guī)定ISMS-301446數(shù)據(jù)備份管理規(guī)定ISMS-301549電子郵件管理工作規(guī)定ISMS-301651軟件管理規(guī)定ISMS-301755系統(tǒng)監(jiān)控管理規(guī)定ISMS-301858補(bǔ)丁管理規(guī)定ISMS-301961信息系統(tǒng)審核規(guī)范ISMS-302064

物理訪問制度ISMS-30011.0目的為了保障公司辦公區(qū)域資訊信息安全和員工人身及財(cái)物安全，防止公司財(cái)產(chǎn)流失，特制定本制度。2.0范圍本制度適用于公司員工外出及外來人員進(jìn)入公司出入管理。3.0職責(zé)3.1公司設(shè)立接待人員,負(fù)責(zé)來訪人員登記管理。4.0員工外出管理4.1員工因工作需要外出,需向相應(yīng)上一級(jí)主管作出事由說明,經(jīng)批準(zhǔn)后方可外出。4.2到客戶現(xiàn)場(chǎng)提供服務(wù)或工作的人員,需帶公司胸卡。5.0來賓出入管理規(guī)定5.1凡是來賓訪客（包括外包協(xié)作廠商、客戶及政府等來訪人員）進(jìn)入公司內(nèi)時(shí)，一律須出示其有效證件，說明來訪事由，經(jīng)被訪人同意后，方可允許相關(guān)人員進(jìn)入辦公區(qū)。5.2團(tuán)體來賓參觀時(shí)，在得到總經(jīng)理或副總的許可后，須由相關(guān)人員陪同方可進(jìn)入。5.3員工親友私事來訪時(shí)，除特殊緊急事故，經(jīng)其部門主管核準(zhǔn)外，不得在上班時(shí)間內(nèi)會(huì)客，親友須于會(huì)客區(qū)內(nèi)等候至下班時(shí)會(huì)見。5.4公司內(nèi)部核心區(qū)域出入管理規(guī)定5.4.1敏感區(qū)域公司敏感區(qū)域主要為內(nèi)部機(jī)房和經(jīng)理室.公司安裝監(jiān)控器;實(shí)施辦公區(qū)域24小時(shí)監(jiān)控.5.4.2如需進(jìn)入上述敏感區(qū)域，需經(jīng)管理者代表/總經(jīng)理同意,否則不得進(jìn)入。相關(guān)文件物理訪問控制程序相關(guān)記錄無外部相關(guān)方信息安全管理規(guī)程ISMS-30021目的為確保被外部相關(guān)方訪問、處理、共享、管理的組織信息及信息處理設(shè)施的安全，特制定本管理規(guī)定。2范圍本管理規(guī)定適用于公司外部相關(guān)方(包括顧客.供方.第三方)管理。3職責(zé)綜合部系統(tǒng)管理員負(fù)責(zé)制定本規(guī)定并負(fù)責(zé)執(zhí)行。4管理規(guī)定4.1第三方物理訪問須經(jīng)公司被訪問部門的授權(quán),具體執(zhí)行《訪客管理制度》.4.2公司與顧客需明確規(guī)定信息安全要求，公司規(guī)定在與客戶簽訂合同中需規(guī)定必要的安全要求。4.3服務(wù)器訪問權(quán)需由網(wǎng)絡(luò)技術(shù)部統(tǒng)一授權(quán)給用戶,一個(gè)用戶給予惟一賬號(hào),口令自行保管.4.4本公司公網(wǎng)接入服務(wù)提供方等為外包過程,此類外包服務(wù)商應(yīng)由綜合部組織簽訂服務(wù)協(xié)議/合同,并應(yīng)收集其相關(guān)資質(zhì),經(jīng)公司評(píng)估成為合格供方后方可與之進(jìn)行經(jīng)濟(jì)來往.4.5采購(gòu)供方或任何其它相關(guān)方人員現(xiàn)場(chǎng)訪問公司現(xiàn)場(chǎng)時(shí),需由綜合部接待,需要涉及到公司重要應(yīng)用軟件、重要設(shè)施及重要數(shù)據(jù)的訪問時(shí),必須由網(wǎng)絡(luò)技術(shù)部人員授權(quán)方可使用或查閱,涉及到資料復(fù)制名外借時(shí),公司重要數(shù)據(jù)和文件需征得總經(jīng)理同意.5.1《服務(wù)合同》1年與政府相關(guān)資質(zhì)申報(bào)及年審相關(guān)管理規(guī)定ISMS-3003目的:為公司對(duì)外與政府相關(guān)部門的相關(guān)業(yè)務(wù)聯(lián)系提供指導(dǎo);職責(zé):綜合部負(fù)責(zé)各項(xiàng)政府項(xiàng)目的申報(bào)。綜合部負(fù)責(zé)報(bào)稅和營(yíng)業(yè)執(zhí)照年審。綜合部相關(guān)管理要求:3．1申報(bào)相關(guān)流程;由綜合部按各政府部門項(xiàng)目申報(bào)的要求下載相關(guān)表格,并按要求組織填報(bào).3.2申報(bào)涉及到相關(guān)經(jīng)營(yíng)數(shù)據(jù)的審核相關(guān)經(jīng)營(yíng)數(shù)據(jù)在上報(bào)給政府部門前，先由核對(duì)數(shù)據(jù)，再交由綜合部，審核通過后由總經(jīng)理蓋公司公章。3．3．綜合部申報(bào)材料的備份管理所有上報(bào)給政府部門的文件數(shù)據(jù)都備份一份，由綜合部資質(zhì)人員整理歸檔保存在辦公室檔案室中，并記錄檔案文件編號(hào)。3．4材料保密要求所有檔案文件材料由綜合部專員負(fù)責(zé)看管，其他人員如要查閱，需先向綜合部申請(qǐng)，獲得總經(jīng)理批準(zhǔn)認(rèn)可后，到存放檔案的辦公室中查閱相關(guān)文件，檔案文件不允許帶出辦公室。4．相關(guān)資質(zhì)申報(bào)年審管理要求4．1報(bào)稅管理要求用政府財(cái)稅處相關(guān)報(bào)稅軟件，在線填寫企業(yè)經(jīng)營(yíng)數(shù)據(jù)，完成后由軟件系統(tǒng)上報(bào)。4．2營(yíng)業(yè)執(zhí)照管理要求接到政府相關(guān)部門通知后，持企業(yè)營(yíng)業(yè)執(zhí)照到指定政府辦事處辦理營(yíng)業(yè)執(zhí)照年審手續(xù)。信息系統(tǒng)容量規(guī)劃及驗(yàn)收管理制度ISMS-30041.0目的針對(duì)已確定的服務(wù)級(jí)別目標(biāo)和業(yè)務(wù)需求來設(shè)計(jì)、維持相應(yīng)的IT服務(wù)能力，從而確保實(shí)際的IT服務(wù)能夠滿足服務(wù)的要求。2.0范圍適用于公司所有硬件、軟件、外圍設(shè)備、人力資源容量管理。3.0職責(zé)網(wǎng)絡(luò)技術(shù)部負(fù)責(zé)確定、評(píng)估容量需求。4.0內(nèi)容4.1容量管理包括：服務(wù)器,重要網(wǎng)絡(luò)設(shè)備：LAN、WAN、防火墻、路由器等；所有外圍設(shè)備：存儲(chǔ)設(shè)備、打印機(jī)等；所有軟件：操作系統(tǒng)、網(wǎng)絡(luò)、內(nèi)部開發(fā)的軟件包和購(gòu)買的軟件包；人力資源：要維持有足夠技能的人員。4.2對(duì)于每一個(gè)新的和正在進(jìn)行的活動(dòng)來說，公司管理層應(yīng)識(shí)別容量要求。4.3公司管理層每年應(yīng)在管理評(píng)審時(shí)評(píng)審系統(tǒng)容量的可用性和效率。公司管理層應(yīng)特別關(guān)注與訂貨交貨周期或高成本相關(guān)的所有資源，并監(jiān)視關(guān)鍵系統(tǒng)資源的利用，識(shí)別和避免潛在的瓶頸及對(duì)關(guān)鍵員工的依賴。4.4網(wǎng)絡(luò)技術(shù)部應(yīng)根據(jù)業(yè)務(wù)規(guī)劃、預(yù)測(cè)、趨勢(shì)或業(yè)務(wù)需求,定期預(yù)測(cè)施加于IT系統(tǒng)上的未來的業(yè)務(wù)負(fù)荷以及組織信息處理能力，以適當(dāng)?shù)某杀竞惋L(fēng)險(xiǎn)按時(shí)獲得所需的容量,預(yù)測(cè)應(yīng)做好《容量監(jiān)控評(píng)審表》。5.0相關(guān)記錄《容量監(jiān)控評(píng)審表》信息安全崗位任職要求ISMS-30061主要內(nèi)容本標(biāo)準(zhǔn)規(guī)定了計(jì)算機(jī)應(yīng)用管理專業(yè)工作的任職要求。2范圍適用公司相關(guān)人員任職要求.1.網(wǎng)絡(luò)技術(shù)部主管任職條件:計(jì)算機(jī)相關(guān)專業(yè)本科以上學(xué)歷,五年以上VC6.0/VS2003/VS2005使用工作經(jīng)驗(yàn).熟練掌握VC6.0/VS2003/VS2005開發(fā)工具進(jìn)行界面設(shè)計(jì)，精通C++類的使用精通計(jì)算機(jī)網(wǎng)絡(luò)管理應(yīng)用的理論與專業(yè)知識(shí)。具備一定的協(xié)調(diào)有關(guān)部門以及專業(yè)人員之間的能力。具備相當(dāng)?shù)耐庹Z水平，能閱讀計(jì)算機(jī)專業(yè)文獻(xiàn)。了解有關(guān)本公司信息系統(tǒng)運(yùn)行的知識(shí)。2.軟件工程師任職條件計(jì)算機(jī)或相關(guān)專業(yè)，大專及以上學(xué)歷，一年以上VC6.0/VS2003/VS2005使用工作經(jīng)驗(yàn).熟練掌握VC6.0/VS2003/VS2005開發(fā)工具進(jìn)行界面設(shè)計(jì)，精通C++類的使用；3).能熟練熟練編寫SQL語句,熟悉SQLServer、Oracle、IBMDB2等數(shù)據(jù)庫，能夠利用ODBC、ADO等方式訪問數(shù)據(jù)庫；4).熟悉Linux系統(tǒng)下圖形圖像編程，熟練掌握鏈表、數(shù)組的使用，能夠利用多種算法對(duì)鏈表、數(shù)組中的對(duì)象進(jìn)行排序或快速查找。5)硬件開發(fā)工程師需機(jī)械/電子相關(guān)專業(yè);且需熟練CAD等繪圖軟件.3.綜合部主管任職條件大?；蛞陨蠈W(xué)歷;有行政管理三年以上工作經(jīng)驗(yàn);有較強(qiáng)的團(tuán)隊(duì)組織管理能力.4.市場(chǎng)部經(jīng)理任職條件專科或以上學(xué)歷;三年以上軟件行業(yè)管理工作經(jīng)驗(yàn);熟練掌握OFFICE辦公系列軟件操作；社會(huì)資源豐富，公關(guān)能力強(qiáng)。應(yīng)用系統(tǒng)開發(fā)及安全管理規(guī)范ISMS-3007目的和范圍明確本公司應(yīng)用開發(fā)過程在信息安全方面的基本要求和原則，為正在進(jìn)行和將要進(jìn)行開發(fā)的應(yīng)用系統(tǒng)提供涉及開發(fā)的參考依據(jù)。以保證應(yīng)用數(shù)據(jù)的機(jī)密性、完整性和可用性。本公司正在進(jìn)行開發(fā)以及將要進(jìn)行開發(fā)的項(xiàng)目可以參照本文檔。術(shù)語和定義無引用文件下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。ISO/IEC27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系要求ISO/IEC27002:2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則信息資產(chǎn)密級(jí)管理規(guī)定信息系統(tǒng)獲取、開發(fā)與維護(hù)程序職責(zé)和權(quán)限軟件部是信息系統(tǒng)開發(fā)過程中的安全管理部門,負(fù)責(zé)保證開發(fā)過程安全。應(yīng)用開發(fā)安全管理規(guī)范5.1應(yīng)用開發(fā)基本原則和框架應(yīng)用開發(fā)的安全原則應(yīng)當(dāng)參照“信息系統(tǒng)獲取開發(fā)與維護(hù)控制程序”的相關(guān)規(guī)定執(zhí)行。在應(yīng)用開發(fā)過程中參考以下模型：軟件能力成熟度模型CMMI（CapacityMaturityModel）；系統(tǒng)安全工程能力成熟模型（SSE-CMM）。應(yīng)當(dāng)根據(jù)本公司業(yè)務(wù)系統(tǒng)的特點(diǎn)，盡快規(guī)劃全局性的信息系統(tǒng)應(yīng)用安全架構(gòu)，明確應(yīng)用系統(tǒng)各個(gè)模塊之間、應(yīng)用系統(tǒng)與操作系統(tǒng)、數(shù)據(jù)庫之間、應(yīng)用系統(tǒng)與其他軟件之間的接口關(guān)系以及相關(guān)的安全需求。必須考慮用戶的集中統(tǒng)一管理和授權(quán)，所有應(yīng)用系統(tǒng)的開發(fā)必須遵照?qǐng)?zhí)行。5.2應(yīng)用系統(tǒng)設(shè)計(jì)安全安全需求必須在系統(tǒng)開發(fā)的需求分析階段進(jìn)行確認(rèn)。安全需求包括通用安全需求和特殊安全需求。通用安全需求至少包括：身份識(shí)別、身份認(rèn)證、權(quán)限授予；數(shù)據(jù)加密是用于保護(hù)信息機(jī)密性的技術(shù)。在保護(hù)敏感或關(guān)鍵信息時(shí)使用，對(duì)于重要信息的內(nèi)容傳遞過程應(yīng)當(dāng)采用加密措施進(jìn)行控制；輸入數(shù)據(jù)驗(yàn)證：對(duì)應(yīng)用系統(tǒng)的數(shù)據(jù)輸入進(jìn)行驗(yàn)證，保證輸入數(shù)據(jù)正確并合乎要求；數(shù)據(jù)的內(nèi)部處理：為防止正確的數(shù)據(jù)因處理錯(cuò)誤或故意人為等因素遭到破壞而采取的檢查和控制措施；輸出數(shù)據(jù)驗(yàn)證：對(duì)應(yīng)用系統(tǒng)輸出的數(shù)據(jù)進(jìn)行驗(yàn)證，保證對(duì)存儲(chǔ)信息的正確處理；消息驗(yàn)證：檢查傳輸?shù)碾娮酉?nèi)容是否有非法變更或破壞的技術(shù)手段?？梢杂眉用芗夹g(shù)作為實(shí)現(xiàn)消息驗(yàn)證的手段；數(shù)字簽名：保護(hù)電子文檔的真實(shí)性和完整性的方法。可以應(yīng)用于各種形式的電子處理文檔；不可否認(rèn)服務(wù)：幫助確定驗(yàn)證某個(gè)事件或行為是否發(fā)生的證據(jù)，通常通過加密和數(shù)字簽名技術(shù)實(shí)現(xiàn)；密鑰管理：防止密鑰的破壞或丟失；其他輔助的安全技術(shù)，如防火墻、IDS等。特殊需求包括根據(jù)應(yīng)用的特殊應(yīng)用情況而產(chǎn)生的具體安全技術(shù)要求，例如防偽、水印等。在設(shè)計(jì)過程當(dāng)中必須明確可能產(chǎn)生的所有數(shù)據(jù)的安全要求，即不同數(shù)據(jù)信息對(duì)機(jī)密性、可用性和保密性的要求。根據(jù)不同的特性要求在設(shè)計(jì)中特別制定相應(yīng)的措施。必須確定應(yīng)用中的用戶和角色管理，為不同級(jí)別的用戶制定不同級(jí)別的權(quán)限，以最小權(quán)限、分權(quán)管理為原則。應(yīng)用程序使用到的系統(tǒng)用戶不可以作為應(yīng)用維護(hù)的用戶，在設(shè)計(jì)時(shí)必須對(duì)這兩類用戶進(jìn)行分別的定義。應(yīng)用程序的用戶口令管理必須遵守《用戶名、口令安全管理規(guī)定》的要求，至少包括記錄用戶上次登錄時(shí)間，可以進(jìn)行用戶強(qiáng)口令校驗(yàn)，并可以定期強(qiáng)制用戶修改口令，有用戶口令修改功能，并強(qiáng)制用戶第一次登錄后必須修改口令等。禁止使用系統(tǒng)、數(shù)據(jù)庫、應(yīng)用軟件等的默認(rèn)管理員帳號(hào)，如果需要管理員權(quán)限應(yīng)當(dāng)使用其他的用戶名，且必須按照相關(guān)的口令策略執(zhí)行。禁止在應(yīng)用程序中以上述管理員賬號(hào)登錄、啟動(dòng)服務(wù)、啟動(dòng)計(jì)劃任務(wù)等。應(yīng)當(dāng)盡量避免應(yīng)用系統(tǒng)對(duì)操作系統(tǒng)的直接調(diào)用，最大限度降低操作系統(tǒng)崩潰的風(fēng)險(xiǎn)。必須明確應(yīng)用程序調(diào)用的系統(tǒng)服務(wù)和網(wǎng)絡(luò)端口的詳細(xì)信息。安全需求必須集成到系統(tǒng)設(shè)計(jì)規(guī)范書、招標(biāo)規(guī)范書和外包合同書之中。5.3開發(fā)過程安全必須分離生產(chǎn)環(huán)境和非生產(chǎn)環(huán)境。應(yīng)用開發(fā)人員不允許訪問生產(chǎn)環(huán)境，除非在有安全控制手段的前提下，應(yīng)用開發(fā)人員可以暫時(shí)獲得生產(chǎn)環(huán)境下的用戶名和口令以用于系統(tǒng)支持，必須保證在系統(tǒng)支持完成之后立即修改口令。必須對(duì)程序源代碼的訪問進(jìn)行嚴(yán)格控制。應(yīng)當(dāng)保護(hù)和控制測(cè)試數(shù)據(jù)。生產(chǎn)環(huán)境的變更必須遵守《變更管理規(guī)定》，并確保該規(guī)定能覆蓋系統(tǒng)任何部分的變更，包括系統(tǒng)基礎(chǔ)架構(gòu)、應(yīng)用編碼、軟件和硬件配置、流程和文檔。對(duì)程序/系統(tǒng)的變更必須有書面的申請(qǐng)和批準(zhǔn)文檔。當(dāng)軟件、硬件、數(shù)據(jù)庫和其他組件因沖突需要改善時(shí)，必須在進(jìn)行了影響評(píng)估之后再審批。當(dāng)軟件開發(fā)外包，和承包方簽訂的合約應(yīng)當(dāng)包含以下內(nèi)容：許可證管理；知識(shí)產(chǎn)權(quán)的歸屬；質(zhì)量管理；IT安全需求；驗(yàn)收標(biāo)準(zhǔn)。5.4應(yīng)用系統(tǒng)使用和變更系統(tǒng)軟件或配置的變更必須經(jīng)過檢查、測(cè)試以及后期監(jiān)控。必須遵守《補(bǔ)丁管理流程》，主動(dòng)地參與評(píng)估和測(cè)試廠商建議的補(bǔ)丁，包括那些與安全缺陷相關(guān)的補(bǔ)丁，補(bǔ)丁的更新應(yīng)遵循《變更管理規(guī)定》。所有應(yīng)用必須編寫應(yīng)用配置手冊(cè)，應(yīng)用配置手冊(cè)必須隨著操作系統(tǒng)軟件或應(yīng)用配置的改變而更新。生產(chǎn)系統(tǒng)的數(shù)據(jù)庫和系統(tǒng)的第三方軟件應(yīng)當(dāng)統(tǒng)一由網(wǎng)絡(luò)技術(shù)部管理，包括UNIX、Linux平臺(tái)和NT平臺(tái)。對(duì)于開發(fā)人員必須進(jìn)入生產(chǎn)環(huán)境維護(hù)的，可以臨時(shí)授予權(quán)限，開發(fā)人員支持完畢后，必須由相關(guān)部門立即收回權(quán)限。信息資產(chǎn)密級(jí)管理規(guī)定ISMS-30081目的確保公司營(yíng)運(yùn)利益，并防止與公司營(yíng)運(yùn)相關(guān)的保密信息泄漏。2范圍本辦法適用于公司所有員工。3保密信息定義保密信息指與公司營(yíng)運(yùn)相關(guān)且列入機(jī)密等級(jí)管理的相關(guān)信息。4秘密等級(jí)區(qū)分機(jī)密等級(jí)分為秘密、內(nèi)控、公開三類，區(qū)分標(biāo)準(zhǔn)如下：秘密：凡該信息泄漏后，足以嚴(yán)重?fù)p害本公司利益或有利于競(jìng)爭(zhēng)對(duì)手的。內(nèi)控：凡該信息泄漏后，雖不致直接影響本公司利益，但可能使本公司經(jīng)營(yíng)管理因而造成困擾，需限制其閱讀對(duì)象的。公開：指可對(duì)社會(huì)公開的信息，公用的信息處理設(shè)備和系統(tǒng)資源.5信息的分類信息資產(chǎn)的分類可參見附件＂信息分類表＂。如未列入分類表的信息資產(chǎn)，可依照下面的原則進(jìn)行判斷：秘密，由信息保管單位主管判定，且至少須為部門以上主管。內(nèi)控，由保密信息保管單位自行判定。6保密文件的標(biāo)識(shí)文件類的信息在判定等級(jí)后，加蓋印章于文件及附件各頁右上角或其它明顯處。如頁數(shù)太多，得酌情抽頁蓋騎縫章。但絕密級(jí)信息應(yīng)予編碼管控。非文件類的保密信息，包括檔案、電子郵件、投影片等，于判定等級(jí)后，應(yīng)于資料傳送／顯示前告知使用人或相關(guān)人員該項(xiàng)信息的密級(jí)。印章由綜合部統(tǒng)一刻制，發(fā)放給各個(gè)部門使用。7傳送內(nèi)部傳送秘密、內(nèi)控：保密信息保管單位應(yīng)將印刷形式保密信息密封后注明機(jī)密等級(jí)，再裝入傳遞袋中發(fā)送收件人;軟件形式定稿和完整信息以電子郵件方式傳遞時(shí)應(yīng)加密;內(nèi)控信息可不加密。外部傳送：印刷形式保密信息于外部傳送時(shí)應(yīng)以掛號(hào)函件或其它適當(dāng)方式寄送收件人。任何軟件形式的機(jī)密等級(jí)信息于公司外系統(tǒng)、或于公司外使用環(huán)境情況下，非經(jīng)加密均不得以電子郵件方式傳遞，以避免遭攔截轉(zhuǎn)送。其它未判定為任一機(jī)密等級(jí)但仍具有敏感性或半成品性質(zhì)的信息于傳送前可應(yīng)視情況加密。其它保密信息不得用于公司以外的公開活動(dòng)（如演講、授課、一般資料調(diào)查、出版發(fā)行等），如須于前述活動(dòng)使用，應(yīng)準(zhǔn)用第五條的規(guī)定，并經(jīng)管理者代表核準(zhǔn)。保密信息應(yīng)由管代/相關(guān)負(fù)責(zé)人妥善保管，并善盡管理保護(hù)職責(zé)。離職員工應(yīng)繳出其所持歸公司所有的一切資料及其任何形式復(fù)印件、副本，并確定確實(shí)歸還全部所持公司文件。新進(jìn)人員于入職當(dāng)天即應(yīng)簽署員工保密合約，在新進(jìn)人員簽署上述文件時(shí)，綜合部應(yīng)對(duì)合約書上有關(guān)企業(yè)保密信息等有關(guān)條文詳加說明與解釋，務(wù)必使新進(jìn)人員充分了解并遵守企業(yè)保密信息有關(guān)事項(xiàng)。保管人員判定保密信息無繼續(xù)保存的必要時(shí)，可經(jīng)各判定主管的上一級(jí)主管核準(zhǔn)后銷毀。絕密信息、機(jī)密信息無保存必要時(shí)，應(yīng)將正本連同復(fù)印的保密信息，由原保管單位統(tǒng)一收回銷毀。本辦法經(jīng)總經(jīng)理核準(zhǔn)后公告實(shí)施，修訂時(shí)亦同。信息系統(tǒng)設(shè)備管理規(guī)定ISMS-3009目的和范圍本程序是對(duì)信息資產(chǎn)分類中物理資產(chǎn)下的硬件設(shè)備的規(guī)劃、購(gòu)置、安裝、驗(yàn)收、使用、維護(hù)、處置等各階段進(jìn)行有效控制，在保證設(shè)備安全的前提下最大限度發(fā)揮設(shè)備的效能，同時(shí)減少由于設(shè)備入網(wǎng)造成安全安全風(fēng)險(xiǎn)。引用文件下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。ISO/IEC27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系要求ISO/IEC27002:2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則介質(zhì)管理規(guī)定筆記本電腦管理規(guī)定機(jī)房管理規(guī)定職責(zé)網(wǎng)絡(luò)技術(shù)部:負(fù)責(zé)信息設(shè)備的規(guī)劃、安裝、驗(yàn)收、使用、維護(hù)、處置。信息設(shè)備指公司IT建設(shè)方面所需的硬件設(shè)備。負(fù)責(zé)重大設(shè)備或新類設(shè)備的安全評(píng)估、風(fēng)險(xiǎn)分析和安全驗(yàn)收。設(shè)備管理流程4.1設(shè)備入網(wǎng)需按設(shè)備本身提供的“設(shè)備安全操作說明書”進(jìn)行正確操作和使用，設(shè)備在日常使用過程中應(yīng)注意安全；系統(tǒng)工程師應(yīng)查找有關(guān)的風(fēng)險(xiǎn)評(píng)估報(bào)告，確定準(zhǔn)備入網(wǎng)的設(shè)備是否已做過風(fēng)險(xiǎn)評(píng)估。如果沒有類似的設(shè)備做過風(fēng)險(xiǎn)分析和處置計(jì)劃，則應(yīng)按風(fēng)險(xiǎn)評(píng)估的要求，通知信息安全管理小組進(jìn)行。如果做過風(fēng)險(xiǎn)分析和處置計(jì)劃，則應(yīng)按照相關(guān)的處置計(jì)劃和實(shí)施要求，制定設(shè)備入網(wǎng)計(jì)劃。系統(tǒng)工程師對(duì)計(jì)劃入網(wǎng)的設(shè)備在獨(dú)立的測(cè)試環(huán)境中進(jìn)行測(cè)試，測(cè)試通過后提交網(wǎng)絡(luò)技術(shù)部審批。網(wǎng)絡(luò)技術(shù)部批準(zhǔn)入網(wǎng)申請(qǐng)后,由系統(tǒng)工程師組織設(shè)備入網(wǎng)。設(shè)備入網(wǎng)應(yīng)按照處置計(jì)劃和入網(wǎng)計(jì)劃對(duì)設(shè)備進(jìn)行安全加固。對(duì)入網(wǎng)系統(tǒng)進(jìn)行一段時(shí)間的監(jiān)控，以觀察入網(wǎng)是否生效。如果發(fā)現(xiàn)問題,要及時(shí)進(jìn)行處理,必要時(shí)要尋求供應(yīng)商的協(xié)助。監(jiān)控一段時(shí)間后，設(shè)備擔(dān)當(dāng)組織人員進(jìn)行驗(yàn)收，并通知信息安全管理小組對(duì)系統(tǒng)進(jìn)行安全檢測(cè)。4.2設(shè)備安置與保護(hù)4.2.1信息設(shè)備安裝管理網(wǎng)絡(luò)技術(shù)部對(duì)信息設(shè)備安全的安置與保護(hù)工作，包括對(duì)溫度、濕度的監(jiān)測(cè)和日常的巡檢等，詳見《機(jī)房管理規(guī)定》。信息安全設(shè)備的安置應(yīng)按照設(shè)備制造商的說明，安置工作由專業(yè)人員進(jìn)行。信息安全設(shè)備安置要選擇能夠避免或減少未授權(quán)訪問的物理場(chǎng)所，應(yīng)采取措施以減小潛在的物理威脅的風(fēng)險(xiǎn)。重要系統(tǒng)使用的信息設(shè)備安置在專用的機(jī)房?jī)?nèi)。安置在室外的信息設(shè)備要注意防盜、防雨、防雷、防塵、防腐蝕等工作。確保消防設(shè)備充足并隨時(shí)可用，定期進(jìn)行消防演練。4.2.2支持性設(shè)施安置管理網(wǎng)絡(luò)技術(shù)部負(fù)責(zé)信息安全設(shè)備支持性設(shè)施的管理工作，包括提供、維護(hù)、維修等。對(duì)支持關(guān)鍵業(yè)務(wù)操作的信息設(shè)備，使用不間斷電源（UPS）。UPS設(shè)備要定期地檢查，，詳見《機(jī)房管理規(guī)定》。應(yīng)急電源開關(guān)應(yīng)位于設(shè)備房間應(yīng)急出口附近，以便緊急情況時(shí)快速切斷電源。萬一主電源出現(xiàn)故障時(shí)要提供應(yīng)急照明。綜合部要確保通風(fēng)和空調(diào)系統(tǒng)等運(yùn)行良好，對(duì)其運(yùn)行情況可進(jìn)行定期檢查。4.2.3線纜安全公司網(wǎng)絡(luò)系統(tǒng)進(jìn)入信息設(shè)備的電源和電信線路布在地板上,要建有冗余線路或留有可替換線路，以保障線路的可用性。電纜要避開公眾區(qū)域,鋪設(shè)電纜要有線槽保護(hù)，以避免未授權(quán)竊聽或損壞的危害。為了防止干擾,電源電纜要與通信電纜分開布線。要采取切實(shí)有效的措施防范鼠患，防止電纜被鼠噬。電纜要使用牢固、清晰、可識(shí)別的標(biāo)記,使用文件化配線列表減少布線失誤的可能性,以使失誤最小化，詳見《機(jī)房管理規(guī)定》。4.3設(shè)備移動(dòng)在公司物理環(huán)境以外嚴(yán)禁放置服務(wù)器、交換機(jī)、電腦等信息設(shè)備。公司原則上禁止機(jī)房設(shè)備移出公司物理環(huán)境。如確因工作需要，如展會(huì)、維修等，需將公司的服務(wù)器、交換機(jī)、路由器等信息設(shè)備移到辦公地點(diǎn)外使用，需經(jīng)研發(fā)主管批準(zhǔn)后才能移出公司的物理環(huán)境。如需要供應(yīng)商將設(shè)備移出公司物理環(huán)境進(jìn)行維修時(shí)，在設(shè)備移出前，設(shè)備管理人員要將設(shè)備中敏感信息從設(shè)備中刪除或確保維護(hù)人員對(duì)其不可訪問或獲取。離開建筑物的信息設(shè)備和移動(dòng)介質(zhì)在公共場(chǎng)所要有專人看護(hù)和保管，不允許無人值守，適當(dāng)時(shí)，還要施加其它措施進(jìn)行控制，例如上鎖，以防止損壞、盜竊等事件發(fā)生。筆記本在公司辦公場(chǎng)所以外使用，依《筆記本電腦管理規(guī)定》。4.4維護(hù)、保養(yǎng)機(jī)器設(shè)備日常維護(hù)由設(shè)備使用者在日常使用時(shí)進(jìn)行，維護(hù)項(xiàng)目限于查看設(shè)備外觀有無明顯損壞、是否正常工作、是否通電正常等內(nèi)容。定期維護(hù)由網(wǎng)絡(luò)技術(shù)部專業(yè)工程師或供應(yīng)商進(jìn)行，定期維護(hù)根據(jù)不同設(shè)備決定不同的維護(hù)周期，從一周一次到半年一次不等，定期維護(hù)項(xiàng)目包括軟硬件更換、性能檢查、性能調(diào)優(yōu)等。定期維護(hù)和年底維護(hù)后，要將維護(hù)項(xiàng)目、維護(hù)過程、維護(hù)人員、維護(hù)結(jié)果等內(nèi)容詳細(xì)記錄在《設(shè)備維護(hù)記錄》中。4.5設(shè)備處置設(shè)備的處置由設(shè)備使用部門提出，經(jīng)經(jīng)總經(jīng)理批準(zhǔn)后，對(duì)設(shè)備進(jìn)行處理；信息設(shè)備在處置過程中須考慮信息安全。設(shè)備報(bào)廢前設(shè)備管理責(zé)任人要負(fù)責(zé)刪除所有信息，對(duì)包含敏感信息的設(shè)備要對(duì)其信息載體在物理上應(yīng)予以銷毀，或者采用使原始信息不可獲取的技術(shù)將其安全地重寫，如消磁。信息設(shè)備的報(bào)廢工作由網(wǎng)絡(luò)技術(shù)部負(fù)責(zé)，需要填寫《廢棄介質(zhì)處置記錄》,經(jīng)總經(jīng)理批準(zhǔn)后，才能進(jìn)行報(bào)廢。對(duì)于因閑置、人員離辭或設(shè)備換代等原因不再使用的信息設(shè)備，特別是個(gè)人電腦，在設(shè)備歸倉(cāng)前，要采用信息不可獲取的技術(shù)將其敏感信息、工作信息和個(gè)人信息刪除。以確保在設(shè)備重用時(shí)，重用者不會(huì)獲得與其工作無關(guān)的內(nèi)容。對(duì)試用設(shè)備和測(cè)試設(shè)備（無論是自有的還是供應(yīng)商的）中的信息在試用和測(cè)試后，由試用或測(cè)試人員立即清除，防止重要信息泄露。廢棄介質(zhì)處理方法參見《介質(zhì)管理規(guī)定》實(shí)施策略設(shè)備管理規(guī)定涉及到包括《設(shè)備維護(hù)記錄》共1個(gè)表單。對(duì)設(shè)備的定期維護(hù)等內(nèi)容詳細(xì)填寫《設(shè)備維護(hù)記錄》。相關(guān)記錄本程序發(fā)生的記錄匯總表見表1（表式見《ISMS文件日常應(yīng)用格式匯總》）。表號(hào)記錄編號(hào)記錄名稱保管場(chǎng)所保存期限保存形式備注表A.1ISMS-3009-01設(shè)備維護(hù)記錄表信息安全小組3年電子

機(jī)房管理規(guī)定ISMS-30101.目的和范圍為科學(xué)、有效地管理機(jī)房，促進(jìn)各信息系統(tǒng)在機(jī)房安全的、穩(wěn)定的、高效的運(yùn)行，特制定本規(guī)定。2引用文件下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。ISO/IEC27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系要求ISO/IEC27002:2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則設(shè)備管理規(guī)定訪問控制程序3職責(zé)和權(quán)限網(wǎng)絡(luò)技術(shù)部：負(fù)責(zé)責(zé)機(jī)房的日常檢查、維護(hù)和管理工作，及當(dāng)發(fā)生緊急事件時(shí)，按應(yīng)急預(yù)案進(jìn)行相應(yīng)的處置。4機(jī)房出入制度機(jī)房的進(jìn)出由網(wǎng)絡(luò)技術(shù)部嚴(yán)格管理。機(jī)房的鑰匙保存網(wǎng)絡(luò)技術(shù)部。如需進(jìn)入機(jī)房，必須得到網(wǎng)絡(luò)技術(shù)部的授權(quán)，在網(wǎng)絡(luò)技術(shù)部領(lǐng)取鑰匙后方可進(jìn)入。未經(jīng)許可不準(zhǔn)攜帶任何磁帶（盤）、磁介質(zhì)和資料進(jìn)入機(jī)房。經(jīng)特許攜帶的，必須由專人陪同方可進(jìn)入。未經(jīng)許可不允許使用攝影、錄像、筆記、或其它音像記錄設(shè)備等。5機(jī)房環(huán)境管理網(wǎng)絡(luò)技術(shù)部對(duì)機(jī)房環(huán)境每半月進(jìn)行一次檢查，對(duì)發(fā)現(xiàn)的問題要及時(shí)解決。填寫《機(jī)房巡檢記錄表》。機(jī)房?jī)?nèi)要保持設(shè)備無塵、布線整齊、物品就位、資料齊全。機(jī)房?jī)?nèi)嚴(yán)禁堆放與工作無關(guān)的其它物品及紙質(zhì)物品。做好消防滅火設(shè)備檢查工作機(jī)房?jī)?nèi)禁止飲食、吸煙、打鬧、大聲喧嘩，機(jī)房?jī)?nèi)不得會(huì)客、閑談。機(jī)房?jī)?nèi)備有溫度計(jì)和濕度計(jì)，溫度保持在18℃機(jī)房接地系統(tǒng)要符合相應(yīng)的技術(shù)標(biāo)準(zhǔn)，各個(gè)設(shè)備交流工作電源應(yīng)有工作接地，機(jī)柜應(yīng)有效接地。。機(jī)房配電柜要有防雷設(shè)施，進(jìn)出機(jī)房的電纜應(yīng)有防雷措施。機(jī)房用電要使用獨(dú)立的電線，專用變壓器、電源穩(wěn)壓器等。機(jī)房的環(huán)境應(yīng)達(dá)到機(jī)房建設(shè)的設(shè)計(jì)要求。6機(jī)房設(shè)備管理機(jī)房要有完整的網(wǎng)絡(luò)拓?fù)鋱D、物理拓?fù)鋱D。機(jī)房?jī)?nèi)的所有設(shè)備應(yīng)貼有設(shè)備標(biāo)簽，并注明設(shè)備的主要參數(shù)。主機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備的各類接線的兩端應(yīng)設(shè)置標(biāo)簽，網(wǎng)絡(luò)接口側(cè)應(yīng)注明連接的設(shè)備。對(duì)主要網(wǎng)絡(luò)設(shè)備如核心路由器、交換機(jī)、防火墻、IDS等設(shè)備的配置文件每6個(gè)月進(jìn)行進(jìn)行一次評(píng)審。對(duì)機(jī)房的主機(jī)設(shè)備及智能網(wǎng)絡(luò)交換裝置應(yīng)嚴(yán)格管理，做好事故預(yù)想，制定周密的故障應(yīng)急措施。嚴(yán)禁擅自在運(yùn)行的小型機(jī)、交換機(jī)、路由器等設(shè)備上進(jìn)行開發(fā)、維護(hù)、調(diào)試或?qū)W習(xí)培訓(xùn)等工作。實(shí)施策略機(jī)房管理規(guī)定涉及的《機(jī)房巡檢記錄表》共1個(gè)表單。9相關(guān)記錄本程序發(fā)生的記錄匯總表見表1（表式見《ISMS文件日常應(yīng)用格式匯總》）。表號(hào)記錄編號(hào)記錄名稱保管場(chǎng)所保存期限保存形式備注表A.1ISMS-3021-01機(jī)房巡檢記錄表信息安全小組3年紙質(zhì)筆記本電腦管理規(guī)定ISMS-30111.目的建立筆記本電腦設(shè)備的使用規(guī)定及其與互聯(lián)網(wǎng)的連接制度，這些規(guī)定是保持信息資源保密性、完整性和可用性所必需的。為加強(qiáng)業(yè)務(wù)筆記本電腦設(shè)備的合理利用與筆記本電腦設(shè)備信息安全管理，特制定該管理規(guī)定。適用所有業(yè)務(wù)部門員工和需在業(yè)務(wù)部門辦公室工作的人員。2.引用文件1.下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。2.ISO/IEC27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系要求3.ISO/IEC27002:2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則4.防范病毒及惡意軟件管理規(guī)定3.職責(zé)和權(quán)限總經(jīng)理：負(fù)責(zé)筆記本電腦申請(qǐng)的審批綜合部：負(fù)責(zé)筆記本電腦的發(fā)放管理使用人員：負(fù)責(zé)便攜計(jì)算機(jī)的日常使用保養(yǎng)和維護(hù)。4.筆記本電腦使用規(guī)定公司所有筆記本電腦由使用人員自行保管負(fù)責(zé),若是公司統(tǒng)一配置的在辭職時(shí)應(yīng)到綜合部辦理電腦交接手續(xù),并在《離職交接清單》中作好備注。網(wǎng)絡(luò)技術(shù)部和測(cè)試部授權(quán)使用的筆記本電腦未經(jīng)部門經(jīng)理同意嚴(yán)格禁止帶出公司。未經(jīng)許可，員工不得攜帶個(gè)人筆記本電腦設(shè)備進(jìn)入公司辦公場(chǎng)所。筆記本電腦設(shè)備必須有嚴(yán)格的口令訪問控制措施，口令設(shè)置需滿足公司安全策略要求。對(duì)無人看守的筆記本電腦設(shè)備必須實(shí)施物理保護(hù)，必須放在帶鎖的辦公室、抽屜或文件柜里；筆記本電腦設(shè)備丟失或被竊后應(yīng)及時(shí)報(bào)告給部門經(jīng)理和綜合部。除自然損壞外，凡人為損壞（如撞壞、跌壞、電源插錯(cuò)燒壞等）由本人負(fù)責(zé)修好，費(fèi)用由個(gè)人承擔(dān)。便攜機(jī)中除工作所需的軟件外，不導(dǎo)入其他與工作無關(guān)的軟件。特別要保證便攜機(jī)不帶病毒。5.安全配置規(guī)定授權(quán)使用的筆記本電腦設(shè)備必須安裝公司安全策略規(guī)定的防病毒軟件；筆記本電腦設(shè)備每月進(jìn)行一次病毒軟件和操作系統(tǒng)補(bǔ)丁檢查和評(píng)審,由電腦使用人員自行負(fù)責(zé).筆記本電腦設(shè)備若支持內(nèi)置的硬盤加密措施，應(yīng)啟用該措施，以免電腦或硬盤丟失后造成數(shù)據(jù)泄密。公司采用相關(guān)產(chǎn)品和方法對(duì)筆記本數(shù)據(jù)進(jìn)行加密處理和使用，防止信息泄密。公司采用相關(guān)產(chǎn)品和方法對(duì)筆記本進(jìn)行監(jiān)控公司內(nèi)部未經(jīng)授權(quán)禁止開啟無線網(wǎng)卡功能。禁止使用公司外部的未設(shè)安全機(jī)制的無線網(wǎng)絡(luò)，系統(tǒng)管理員要每月掃描一次公司能接受到的外部不安全網(wǎng)絡(luò)。公司的無線網(wǎng)絡(luò)僅供授權(quán)的技術(shù)支持人員使用，其他未經(jīng)綜合部授權(quán)禁止便攜機(jī)連入使用。7.外部人員使用筆記本的規(guī)定外部人員使用的筆記本電腦只能連接到公共上網(wǎng)區(qū)，通過獨(dú)立于公司內(nèi)部的專用網(wǎng)絡(luò)上網(wǎng)。出于安全考慮，一般不予考慮客人接入公司內(nèi)部網(wǎng)絡(luò)。外部人員接待負(fù)責(zé)人需提前通知綜合部該外部人員筆記本電腦使用的地點(diǎn)，便于綜合部配置相關(guān)網(wǎng)絡(luò)。若外部人員需要在業(yè)務(wù)辦公地點(diǎn)長(zhǎng)期工作（指超過2周時(shí)間），需經(jīng)綜合部經(jīng)理批準(zhǔn)。8.客戶現(xiàn)場(chǎng)管理規(guī)定在客戶現(xiàn)場(chǎng)進(jìn)行開發(fā)及維護(hù)等工作時(shí)，在遵守本公司管理規(guī)定時(shí)，同時(shí)要遵守客戶的管理方面相關(guān)規(guī)定。如在客戶現(xiàn)場(chǎng)工作時(shí)需要使用筆記本，相關(guān)部門人員應(yīng)盡量使用本部門公共筆記本，并進(jìn)行登記。在客戶現(xiàn)場(chǎng)使用筆記本工作時(shí)，必須注意信息的保密，防止筆記本內(nèi)信息泄露。筆記本內(nèi)新產(chǎn)生的數(shù)據(jù)應(yīng)及時(shí)在客戶備份系統(tǒng)或公司備份系統(tǒng)上進(jìn)行備份，防止數(shù)據(jù)丟失。9.實(shí)施策略自行保管負(fù)責(zé);無線網(wǎng)絡(luò)加密上網(wǎng);10.相關(guān)記錄無介質(zhì)管理規(guī)定ISMS-30121.目的和范圍任何信息設(shè)備，如：計(jì)算機(jī)、交換機(jī)、打印機(jī)、傳真機(jī)、復(fù)印機(jī)等，都需要介質(zhì)進(jìn)行存儲(chǔ)，當(dāng)存儲(chǔ)設(shè)備或可移動(dòng)介質(zhì)需要轉(zhuǎn)移或銷毀時(shí)，如果處理不當(dāng)，很容易造成信息泄漏。因此，必須按規(guī)定執(zhí)行處置。適用于移動(dòng)存儲(chǔ)設(shè)備/介質(zhì)在本公司辦公場(chǎng)所及房機(jī)內(nèi)的使用管理。2.引用文件下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。ISO/IEC27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系要求ISO/IEC27002:2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則3.職責(zé)和權(quán)限綜合部負(fù)責(zé)對(duì)公司各類的可移動(dòng)介質(zhì)和存儲(chǔ)介質(zhì)的發(fā)放、使用、處置的進(jìn)行管理。介質(zhì)使用部門和使用者由部門負(fù)責(zé)管理的介質(zhì)，由該部門領(lǐng)導(dǎo)指定專人負(fù)責(zé)保管。個(gè)人使用的介質(zhì)由本人負(fù)責(zé)保管。4.介質(zhì)管理4.1介質(zhì)分類綜合部對(duì)公司使用的介質(zhì)，進(jìn)行介質(zhì)分類，制定《介質(zhì)管理分類表》。介質(zhì)分為一般介質(zhì)和可移動(dòng)介質(zhì)，一般介質(zhì)包括：計(jì)算機(jī)存儲(chǔ)介質(zhì)，可移動(dòng)介質(zhì)是指U盤、移動(dòng)硬盤、數(shù)碼相機(jī)、光盤、光盤刻錄機(jī)、PDA、帶USB接口的MP3/MP4播放器等。4.2介質(zhì)使用管理一般情況下公司禁止使用可移動(dòng)介質(zhì)。確因工作需要使用移動(dòng)介質(zhì)，須經(jīng)本部門領(lǐng)導(dǎo)批準(zhǔn)后方可到綜合部領(lǐng)用。綜合部負(fù)責(zé)可移動(dòng)介質(zhì)的發(fā)放，并填寫《可移動(dòng)介質(zhì)授權(quán)使用表》。授權(quán)用戶要注意保護(hù)自己所屬可移動(dòng)介質(zhì)不被盜取。授權(quán)用戶要注意保護(hù)自己所屬可移動(dòng)介質(zhì)不被盜取。保管時(shí)要放置于安全的區(qū)域內(nèi)，如帶鎖的柜子；非本公司工作人員禁止在內(nèi)部網(wǎng)絡(luò)設(shè)備上使用可移動(dòng)介質(zhì)。各使用人必須每月一次對(duì)自己使用的移動(dòng)介質(zhì)進(jìn)行病毒掃描。使用可移動(dòng)介質(zhì)保存公司秘密數(shù)據(jù)時(shí)，移動(dòng)介質(zhì)必須采用必要的加密措施，防止信息泄露，有條件時(shí)使用帶有加密功能的可移動(dòng)介質(zhì)設(shè)備。用戶在將可移動(dòng)介質(zhì)帶離公司后，要為其上所有信息資源的安全負(fù)責(zé)，做好安全保護(hù)工作。一旦遺失，立刻上報(bào)綜合部進(jìn)行登記。光盤的刻錄：帶有公司標(biāo)志的光盤，只能刻錄公司自己的程序軟件，不得刻錄例如操作系統(tǒng)、數(shù)據(jù)庫等軟件。公司銷售時(shí)，必須刻錄光盤時(shí)，由網(wǎng)絡(luò)技術(shù)部專門負(fù)責(zé)人進(jìn)行刻錄，其他人員不得隨意刻錄光盤。4.3客戶現(xiàn)場(chǎng)使用規(guī)定必須嚴(yán)格將筆記本病毒防火墻升級(jí)到最新。能使用客戶提供的U盤、移動(dòng)硬盤的，使用客戶提供的設(shè)備。必須使用自己的U盤、移動(dòng)硬盤在客戶計(jì)算機(jī)上使用的，必須先對(duì)U盤、移動(dòng)硬盤進(jìn)行病毒掃描，保證提供給客戶的設(shè)備中不包含病毒。4.4介質(zhì)處置綜合部對(duì)介質(zhì)分類表內(nèi)的介質(zhì)的廢棄進(jìn)行統(tǒng)一管理，對(duì)廢棄的介質(zhì)采用恰當(dāng)?shù)慕橘|(zhì)處置方法。計(jì)算機(jī)硬盤、U盤、可移動(dòng)硬盤、光盤、數(shù)碼存儲(chǔ)介質(zhì)等報(bào)廢時(shí)必須粉碎處理。對(duì)廢棄的可移動(dòng)介質(zhì)在《可移動(dòng)介質(zhì)授權(quán)使用表》中跟蹤填寫廢棄記錄。對(duì)廢棄的一般介質(zhì)處理填寫《廢棄介質(zhì)處置記錄》介質(zhì)的銷毀方式一般分為一般格式化、低級(jí)格式化、專業(yè)軟件重寫、物理粉碎。對(duì)無敏感信息的介質(zhì)作一般格式化即可，在保證質(zhì)量的基礎(chǔ)上重新分配和使用。介質(zhì)中保存有敏感信息的存儲(chǔ)介質(zhì)應(yīng)當(dāng)?shù)玫桨踩拇娣藕吞幹谩?duì)于含有敏感信息的介質(zhì)應(yīng)采用低級(jí)格式化或?qū)I(yè)軟件重寫，反復(fù)次數(shù)為三次，才能重新分配和使用。保存有敏感信息的存儲(chǔ)介質(zhì)廢棄時(shí)，要進(jìn)行粉碎處理。5.實(shí)施策略介質(zhì)管理規(guī)定涉及的《介質(zhì)管理表》中包括《介質(zhì)管理分類表》、《可移動(dòng)介質(zhì)授權(quán)使用表》、《廢棄介質(zhì)處置記錄》。綜合部制定《介質(zhì)管理分類表》。綜合部負(fù)責(zé)可移動(dòng)介質(zhì)的發(fā)放，并填寫《可移動(dòng)介質(zhì)授權(quán)使用表》。對(duì)廢棄的可移動(dòng)介質(zhì)在《可移動(dòng)介質(zhì)授權(quán)使用表》中跟蹤填寫廢棄記錄。對(duì)廢棄的一般介質(zhì)處理填寫《廢棄介質(zhì)處置記錄》6.相關(guān)記錄;本程序發(fā)生的記錄匯總表見表1（表式見《ISMS文件日常應(yīng)用格式匯總》）。表號(hào)記錄編號(hào)記錄名稱保管場(chǎng)所保存期限保存形式備注表A.1ISMS-3012-01介質(zhì)管理分類表綜合部3年電子表A.2ISMS-3012-02可移動(dòng)介質(zhì)授權(quán)使用表綜合部3年紙質(zhì)表A.3ISMS-3012-03廢棄介質(zhì)處置記錄綜合部3年電子變更管理規(guī)定ISMS-30131.目的對(duì)信息處理設(shè)施和系統(tǒng)的變更缺乏控制是系統(tǒng)故障或安全失誤的常見原因，為規(guī)范本公司信息系統(tǒng)的變更，降低因信息系統(tǒng)變更帶來的風(fēng)險(xiǎn)，特制定本程序。2.引用文件下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。ISO/IEC27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系要求ISO/IEC27002:2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則3.職責(zé)和權(quán)限網(wǎng)絡(luò)技術(shù)部：網(wǎng)絡(luò)技術(shù)部是公司信息系統(tǒng)變更的歸口管理部門，負(fù)責(zé)批準(zhǔn)變更的計(jì)劃、實(shí)施、恢復(fù)，總體評(píng)價(jià)變更影響，決策管理；并實(shí)施變更。其他各部門：負(fù)責(zé)分管的各自工作系統(tǒng)的計(jì)劃申請(qǐng)和總體評(píng)價(jià)變更影響。4.變更步驟管理變更申請(qǐng)變更審批變更處理.5程序5.1變更分類a)IT設(shè)備變更：包括系統(tǒng)中服務(wù)器、網(wǎng)絡(luò)設(shè)備、傳輸線路及計(jì)算機(jī)終端的新增、減少及其設(shè)備本身的變化（包括設(shè)備的報(bào)廢）；b)操作系統(tǒng)軟件變更：包括新安裝、補(bǔ)丁、版本升級(jí)及更換（如打ZLJY2補(bǔ)?。?；c)開發(fā)軟件包的變更。5.2IT設(shè)備變更控制軟件設(shè)備（包括傳輸線路)的變更需求由變更管理部門根據(jù)組織業(yè)務(wù)發(fā)展的需要提出，填寫《變更申請(qǐng)審批處理表》，經(jīng)變更管理部門經(jīng)理批準(zhǔn)后予以實(shí)施。5.3操作系統(tǒng)軟件變更當(dāng)軟件廠商發(fā)布操作系統(tǒng)或應(yīng)用軟件的更新補(bǔ)丁或版本時(shí)，IT人員負(fù)責(zé)分析更新內(nèi)容對(duì)公司現(xiàn)有業(yè)務(wù)及工作的影響，IT人員可以先選一臺(tái)測(cè)試機(jī)安裝最新補(bǔ)丁，在未發(fā)現(xiàn)對(duì)工作業(yè)務(wù)產(chǎn)生重要負(fù)面影響的前提下，為使用該操作系統(tǒng)或應(yīng)用軟件的用戶安裝補(bǔ)丁。5.4軟件的變更控制當(dāng)客戶重新對(duì)項(xiàng)目的某一或某些模塊進(jìn)行重要要求時(shí)，項(xiàng)目組負(fù)責(zé)跟蹤客戶的新要求,進(jìn)行業(yè)務(wù)及可以行性分析，組織有關(guān)人員進(jìn)行方案評(píng)審，考慮系統(tǒng)改造對(duì)現(xiàn)有業(yè)務(wù)的影響，并制定有效的風(fēng)險(xiǎn)控制措施，方案在評(píng)審?fù)ㄟ^后，修改《需求開發(fā)說明書》，針對(duì)發(fā)生變更的模塊，修改相應(yīng)的詳細(xì)設(shè)計(jì)書，數(shù)據(jù)庫說明書，源程序。并對(duì)整個(gè)項(xiàng)目重新進(jìn)行測(cè)試。在軟件正式變更前，項(xiàng)目組應(yīng)考慮以下方面的安全要求：a)變更對(duì)目前業(yè)務(wù)的影響；b)變更對(duì)現(xiàn)有軟件的影響；c)變更實(shí)施前應(yīng)進(jìn)行安全測(cè)試；d)不成功的變更恢復(fù)措施。在變更實(shí)施前，由變更管理部門填寫《變更申請(qǐng)審批處理表》，明確變更的原因、變更范圍、變更影響的分析及對(duì)策（包括不成功變更的恢復(fù)措施），經(jīng)IT人員批準(zhǔn)后予以實(shí)施。5.5變更實(shí)施的安全要求在變更實(shí)施之前，必要時(shí)，將重要的數(shù)據(jù)、系統(tǒng)軟件進(jìn)行備份，以便變更不成功之后的恢復(fù)。在變更實(shí)施之前，必要時(shí)，應(yīng)和相關(guān)部門協(xié)商，以便確定適當(dāng)?shù)淖兏鼤r(shí)間，盡可能的將對(duì)業(yè)務(wù)的影響減至最低。5.6變更驗(yàn)收與記錄當(dāng)變更成功提交后，需由用戶進(jìn)行驗(yàn)收，確認(rèn)其是否已完成用戶所提的要求，達(dá)到預(yù)期的效果，并記錄此次變更操作。5.7設(shè)備報(bào)廢設(shè)備報(bào)廢應(yīng)得到網(wǎng)絡(luò)技術(shù)部批準(zhǔn)后實(shí)施。報(bào)廢設(shè)備中存有敏感信息，必須予以清除.5.8變更后軟件備份要求當(dāng)變更完成后，需將此次所運(yùn)行的軟件進(jìn)行備份，包括其相關(guān)資料，以便再一次變更以及資料查詢；如果此次變更涉及到一些資料文件，則這些資料文件也必須做相應(yīng)的變更并存檔。5.9變更不成功的恢復(fù)措施取消所做變更，從備份資料中獲得原始軟件資料，重新運(yùn)行，恢復(fù)原始狀態(tài)。根據(jù)變更操作記錄，查找變更失敗原因，以便再次做變更操作時(shí)避免同樣的錯(cuò)誤發(fā)生。6.相關(guān)記錄《變更申請(qǐng)審批處理表》ISMS-3013-01PAGE39第三方服務(wù)管理規(guī)定ISMS-30141.目的和范圍對(duì)第三方提供的服務(wù)進(jìn)行規(guī)范，減少由于服務(wù)不規(guī)范帶來的信息安全方面的風(fēng)險(xiǎn)。2.引用文件下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。ISO/IEC27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系要求ISO/IEC27002:2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則3.職責(zé)和權(quán)限網(wǎng)絡(luò)技術(shù)部：是信息安全方面的第三方服務(wù)的歸口管理部門，負(fù)責(zé)對(duì)信息安全方面的第三方服務(wù)的定期監(jiān)控和評(píng)審。綜合部：是日常行政管理方面的第三方服務(wù)的歸口管理部門，負(fù)責(zé)對(duì)行政方面的第三方服務(wù)的定期監(jiān)控和評(píng)審。負(fù)責(zé)第三方服務(wù)合同中條款的審核。4.第三方服務(wù)管理規(guī)定綜合部匯總各部門的資產(chǎn)識(shí)別表，整理出公司的《第三方服務(wù)匯總表》，明確需要按本規(guī)定進(jìn)行管理的第三方服務(wù)項(xiàng)目和其中重要的第三方服務(wù)。將設(shè)備、網(wǎng)絡(luò)、系統(tǒng)、軟件、信息安全、保安、保潔等事項(xiàng)進(jìn)行外包時(shí)，重要的第三方服務(wù)必須簽訂要與第三方服務(wù)提供方簽署《服務(wù)合同》，能接觸到公司敏感信息資產(chǎn)的服務(wù)項(xiàng)目的服務(wù)合同中應(yīng)包含第三方保密要求的內(nèi)容。所有的第三方服務(wù)的提供方需提供服務(wù)人員的姓名、聯(lián)系方式等信息，網(wǎng)絡(luò)技術(shù)部匯總《第三方服務(wù)廠商聯(lián)系表》重要的第三方服務(wù)人員服務(wù)時(shí)相關(guān)的原始服務(wù)單據(jù)由歸口管理部門負(fù)責(zé)驗(yàn)收簽字并保存好相關(guān)服務(wù)記錄。對(duì)服務(wù)提供方技術(shù)人員在現(xiàn)場(chǎng)處理需要設(shè)備入網(wǎng)時(shí)，必須經(jīng)網(wǎng)絡(luò)技術(shù)部門領(lǐng)導(dǎo)同意后方可入網(wǎng)。對(duì)第三方提供服務(wù)的能力進(jìn)行評(píng)定，必要時(shí)通過招投標(biāo)，確定合格第三方。要確保第三方保持充分的提供服務(wù)的能力，即便發(fā)生重大的服務(wù)故障或?yàn)?zāi)難也能保持服務(wù)的連貫性。每次第三方服務(wù)完成時(shí)指定專人按照服務(wù)合同要求對(duì)服務(wù)內(nèi)容和質(zhì)量進(jìn)行記錄和評(píng)審，并在相關(guān)服務(wù)原始記錄中作好驗(yàn)收簽字確認(rèn)。第三方服務(wù)歸口管理部門應(yīng)每年對(duì)服務(wù)提供商進(jìn)行定期評(píng)審，以確認(rèn)是否繼續(xù)列為合格服務(wù)商。當(dāng)服務(wù)提供方發(fā)生變更時(shí)，進(jìn)行服務(wù)提供方變更登記，并進(jìn)行服務(wù)、現(xiàn)有狀態(tài)的評(píng)估。對(duì)變更后的服務(wù)提供方進(jìn)行服務(wù)評(píng)估。5.實(shí)施策略第三方服務(wù)管理規(guī)定中涉及的《第三方服務(wù)管理總表》包括《第三方服務(wù)匯總表》、《第三方服務(wù)廠商聯(lián)系表》共2個(gè)表單。綜合部整理出公司的《第三方服務(wù)匯總表》重要的第三方服務(wù)必須簽訂要與第三方服務(wù)提供方簽署《服務(wù)合同》,能接觸到公司敏感信息資產(chǎn)的服務(wù)項(xiàng)目的服務(wù)合同中應(yīng)包含第三方保密要求的內(nèi)容。綜合部匯總《第三方服務(wù)廠商聯(lián)系表》。第三方服務(wù)歸口管理部門應(yīng)每年對(duì)服務(wù)提供商進(jìn)行定期評(píng)審,必要時(shí)調(diào)整服務(wù)供方.6.相關(guān)記錄本程序發(fā)生的記錄匯總表見表1（表式見《ISMS文件日常應(yīng)用格式匯總》）。表號(hào)記錄編號(hào)記錄名稱保管場(chǎng)所保存期限保存形式備注表A.1ISMS-3014-01第三方服務(wù)匯總表綜合部3年電子表A.2服務(wù)合同綜合部3年紙質(zhì)表A.3ISMS-3014-02第三方服務(wù)廠商聯(lián)系表綜合部3年電子

數(shù)據(jù)備份管理規(guī)定ISMS-30151.目的和范圍為確保數(shù)據(jù)的完整性及有效性，以便在發(fā)生信息安全事故時(shí)能夠準(zhǔn)確及時(shí)的恢復(fù)數(shù)據(jù)，避免業(yè)務(wù)的中斷，特制定本規(guī)定。2.引用文件1).下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。2)ISO/IEC27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系要求3)ISO/IEC17799:2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則4)系統(tǒng)維護(hù)與監(jiān)控管理規(guī)定3.職責(zé)和權(quán)限網(wǎng)絡(luò)技術(shù)部負(fù)責(zé)公司內(nèi)部系統(tǒng)運(yùn)營(yíng)相關(guān)數(shù)據(jù)的備份管理控制.網(wǎng)絡(luò)技術(shù)部負(fù)責(zé)本公司軟件開發(fā)所需相關(guān)數(shù)據(jù)的備份管理控制.其它各個(gè)部門根據(jù)自己部門的業(yè)務(wù)特點(diǎn)，建立各自的備份策略進(jìn)行備份。4.備份管理4.1備份策略公司各部門根據(jù)數(shù)據(jù)重要程度和工作需要提出需要備份的數(shù)據(jù)。信息安全小組根據(jù)各制定《備份策略明細(xì)表》，明確各項(xiàng)備份數(shù)據(jù)備份的詳細(xì)策略。信息安全小組每半年對(duì)備份策略進(jìn)行評(píng)審，確定是否滿足各部門備份要求。建立備份環(huán)境，安裝調(diào)試備份軟件。應(yīng)建立備份拷貝的準(zhǔn)確完整的記錄和文件化的恢復(fù)程序；備份的程度（例如全部備份或部分備份）和頻率應(yīng)反映組織的業(yè)務(wù)要求、涉及信息的安全要求和信息對(duì)組織持續(xù)運(yùn)作的關(guān)鍵度；備份要存儲(chǔ)在一個(gè)遠(yuǎn)程地點(diǎn)，有足夠距離，以避免主辦公場(chǎng)所災(zāi)難時(shí)受到損壞；若可行，要定期測(cè)試備份介質(zhì)，以確保當(dāng)需要應(yīng)急使用時(shí)可以依靠這些備份介質(zhì)；恢復(fù)程序應(yīng)定期檢查和測(cè)試，以確保他們有效，并能在操作程序恢復(fù)所分配的時(shí)間內(nèi)完成；在保密性十分重要的情況下，備份應(yīng)通過加密方法進(jìn)行保護(hù)4.2備份的驗(yàn)證備份負(fù)責(zé)人根據(jù)《備份策略明細(xì)表》，檢查備份的工作是否按照備份策略實(shí)際的進(jìn)行了。如果未按照備份策略進(jìn)行備份，備份負(fù)責(zé)人指令備份人重新進(jìn)行備份。備份負(fù)責(zé)人根據(jù)實(shí)際需要，確定哪些非常重要的數(shù)據(jù)需要做恢復(fù)測(cè)試，需要恢復(fù)測(cè)試數(shù)據(jù)的恢復(fù)測(cè)試頻率，對(duì)備份數(shù)據(jù)進(jìn)行定期驗(yàn)證。4.3備份數(shù)據(jù)的管理備份目錄應(yīng)進(jìn)行嚴(yán)格的權(quán)限管控，無關(guān)人員禁止訪問備份目錄。如無特殊聲明，備份數(shù)據(jù)永久保存。如需廢棄，需經(jīng)備份負(fù)責(zé)人批準(zhǔn)后，刪除備份數(shù)據(jù)。5相關(guān)記錄本程序發(fā)生的記錄匯總表見表1（表式見《ISMS文件日常應(yīng)用格式匯總》）表號(hào)記錄編號(hào)記錄名稱保管場(chǎng)所保存期限保存形式備注表A.1ISMS-3015-01備份策略明細(xì)表網(wǎng)絡(luò)技術(shù)部/網(wǎng)絡(luò)技術(shù)部三年電子表A.2ISMS-3015-02備份策略檢查表網(wǎng)絡(luò)技術(shù)部/網(wǎng)絡(luò)技術(shù)部三年電子表A.3ISMS-3015-03備份數(shù)據(jù)恢復(fù)測(cè)試記錄表網(wǎng)絡(luò)技術(shù)部/網(wǎng)絡(luò)技術(shù)部三年電子郵件管理規(guī)定ISMS-30161.目的和范圍為保證公司的業(yè)務(wù)的信息安全，必須對(duì)其進(jìn)行有效的管理，確保公司員工對(duì)郵件的合理使用，更好地促進(jìn)內(nèi)部并與第三方進(jìn)行相關(guān)工作信息的交流，適用于公司業(yè)務(wù)中被批準(zhǔn)、能夠通過Email發(fā)送、收取和存儲(chǔ)信息的所有人。每個(gè)業(yè)務(wù)的郵件使用者都應(yīng)該遵守該規(guī)章制度。2.引用文件下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。ISO/IEC27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系要求ISO/IEC27002:2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則3.職責(zé)和權(quán)限網(wǎng)絡(luò)技術(shù)部：負(fù)責(zé)電子郵件系統(tǒng)的規(guī)劃、建設(shè)和日常運(yùn)行維護(hù)；負(fù)責(zé)郵件的用戶名及密碼的分配和管理；如有必要，負(fù)責(zé)郵件的歸檔，過濾及監(jiān)控等工作。使用人員：申請(qǐng)公司的郵箱，按照公司的規(guī)定使用郵箱。4.電子郵件的帳戶管理4.1帳戶申請(qǐng)：目前無公司郵箱;工作人員均自行申請(qǐng)郵件賬號(hào)。5.電子郵件使用規(guī)定5.1明確禁止的行為在未授權(quán)的情況下發(fā)送公司機(jī)密文件、項(xiàng)目文檔或程序代碼等未授權(quán)的信息；發(fā)送或者群發(fā)與工作無關(guān)的郵件或垃圾郵件及個(gè)人信息；發(fā)送或者轉(zhuǎn)發(fā)虛假、黃色、反動(dòng)信息；發(fā)送或者轉(zhuǎn)發(fā)宣揚(yáng)個(gè)人政治傾向或者宗教信仰；利用電子郵件服務(wù)傳輸任何騷擾性的、中傷他人的、恐嚇性的、庸俗、淫穢以及其他違反國(guó)家規(guī)定內(nèi)容的信息資料；在非授權(quán)情況下以公司的名義發(fā)表或群發(fā)個(gè)人意見；利用電子郵件服務(wù)散布電腦病毒、木馬程序、干擾網(wǎng)絡(luò)上其他使用者或破壞網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行。5.2郵件使用規(guī)定除非特別批準(zhǔn)，使用白名單限制發(fā)送郵件的收件人地址。郵件系統(tǒng)為公司因工作需要而對(duì)外聯(lián)系所用，用戶必須以本人的真實(shí)身份使用用于辦公用途的電子郵箱，禁止以他人名義濫發(fā)郵件或盜用他人郵箱。郵箱用戶的登錄密碼，用戶必須嚴(yán)格保密，不得泄露。如將其借予他人使用，由此造成的一切安全后果由郵件帳號(hào)所有人承擔(dān)。用戶不得將電子郵件地址用于非工作目的(特別是以娛樂、購(gòu)物、交友等為目的身份注冊(cè))。Email賬號(hào)密碼必須符合口令策略的相關(guān)規(guī)定；未經(jīng)授權(quán)任何人不得嘗試以他人帳戶口令進(jìn)行登錄，閱讀他人郵件內(nèi)容。在對(duì)外聯(lián)系中，應(yīng)注意安全保密，用Email發(fā)送機(jī)密信息必須符合公司的相關(guān)規(guī)定；因工作需要而傳遞公司或項(xiàng)目保密文件時(shí)，經(jīng)批準(zhǔn)后，可通過加密渠道傳遞；通過E-MAIL發(fā)送機(jī)密附件時(shí)，如有必要，附件必須加密；請(qǐng)盡量壓縮傳送的文件，勿發(fā)送超過2M的附件，以免影響系統(tǒng)性能；對(duì)外聯(lián)系時(shí)請(qǐng)注意通信禮儀，保持公司良好的形象；使用防病毒工具的E-MAIL保護(hù)功能，并經(jīng)常查毒，有異常應(yīng)及時(shí)通知管理員；發(fā)送Email必須有清楚的主題，發(fā)送前再次確認(rèn)收件人列表內(nèi)的人員都是必需的和正確的；用戶不要閱讀和傳播來歷不明的郵件及附件，提高對(duì)于郵件病毒的防范意識(shí)，避免傳遞病毒郵件。6實(shí)施策略不得用個(gè)人郵箱發(fā)機(jī)密文件;7.相關(guān)記錄無

軟件管理規(guī)定ISMS-30171.目的和范圍本標(biāo)準(zhǔn)規(guī)定了公司軟件資產(chǎn)的收集、發(fā)放、管理、使用、更改、修訂、備份等過程的控制要求2.引用文件下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。ISO/IEC27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系要求ISO/IEC27002:2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則補(bǔ)丁管理規(guī)定3.職責(zé)與權(quán)限網(wǎng)絡(luò)技術(shù)部：是軟件資產(chǎn)(非自行開發(fā)軟件)的歸口管理部門。負(fù)責(zé)軟件的購(gòu)置、維護(hù)、作廢及各部門軟件資料、介質(zhì)的收集、統(tǒng)計(jì)、歸檔、存放和發(fā)放使用。網(wǎng)絡(luò)技術(shù)部是公司自行開發(fā)軟件的歸口管理部門。4.軟件管理4.1收集對(duì)公司信息系統(tǒng)涉及的軟件資產(chǎn)進(jìn)行收集整理、分類歸檔，填寫《信息資產(chǎn)識(shí)別表》中“軟件和系統(tǒng)”類資產(chǎn)。公司內(nèi)軟件來源主要有以下幾個(gè)方面：已有商業(yè)軟件購(gòu)買。網(wǎng)絡(luò)技術(shù)部開發(fā)內(nèi)部使用軟件。免費(fèi)軟件的下載。識(shí)別出資產(chǎn)識(shí)別表中重要的軟件和應(yīng)用系統(tǒng)。4.2審核、批準(zhǔn)、發(fā)布新的軟件使用前填寫《新軟件和系統(tǒng)登記表》，每季度根據(jù)此表內(nèi)容對(duì)《信息資產(chǎn)識(shí)別表》里的軟件和系統(tǒng)資產(chǎn)進(jìn)行更新。新的軟件由網(wǎng)絡(luò)技術(shù)部部進(jìn)行測(cè)試或使用檢驗(yàn)，測(cè)試應(yīng)當(dāng)包括可用性、安全性，對(duì)其它系統(tǒng)影響和用戶友好性，測(cè)試應(yīng)當(dāng)在與應(yīng)用系統(tǒng)隔離的系統(tǒng)中進(jìn)行。新的軟件測(cè)試或使用檢驗(yàn)合格后,經(jīng)相關(guān)部門領(lǐng)導(dǎo)審核并批準(zhǔn)后提交網(wǎng)絡(luò)技術(shù)部發(fā)布。4.3軟件歸檔和存放所有軟件收集后統(tǒng)一登記，包括軟件的開發(fā)廠家，軟件數(shù)量，軟件版本，許可證編號(hào)等。軟件登記好后統(tǒng)一存放于指定位置。磁盤文件存放于指定存儲(chǔ)空間中，由專人負(fù)責(zé)整理，各軟件建立獨(dú)立的文件夾，標(biāo)識(shí)明確清晰，并做好軟件的備份工作。光盤統(tǒng)一存放入文件柜中，并有明顯易辨認(rèn)的標(biāo)識(shí)，便于整理和取用。4.4軟件使用網(wǎng)絡(luò)技術(shù)部統(tǒng)一負(fù)責(zé)軟件的發(fā)放及安裝，做到及時(shí)升級(jí)和故障排除。各部門負(fù)責(zé)軟件的使用，如有問題及時(shí)反饋給網(wǎng)絡(luò)技術(shù)部。未經(jīng)許可，任何人不得將內(nèi)部使用的軟件外帶、傳播、販賣，不得將軟件用于任何違法或非正當(dāng)用途。軟件使用過程中應(yīng)加強(qiáng)保護(hù)，保持軟件完整、可用，不受病毒侵害。制作《授權(quán)使用軟件列表》，禁止使用未經(jīng)授權(quán)的軟件和未經(jīng)授權(quán)的系統(tǒng)實(shí)用工具軟件。對(duì)光盤介質(zhì)類軟件要考慮使用刻錄的副本，原光盤進(jìn)行存檔處理。4.5修訂與升級(jí)各部門和網(wǎng)絡(luò)技術(shù)部應(yīng)根據(jù)軟件的使用情況，提出軟件的修訂意見，相關(guān)部門領(lǐng)導(dǎo)批準(zhǔn)后，形成統(tǒng)一的修訂意見，由網(wǎng)絡(luò)技術(shù)部負(fù)責(zé)實(shí)施。軟件的升級(jí)／補(bǔ)丁按《補(bǔ)丁管理規(guī)定》進(jìn)行。4.6軟件作廢修訂軟件批準(zhǔn)生效后，原軟件應(yīng)予以作廢。軟件使用部門接到新版本軟件后，從新版本軟件實(shí)施之日起，原軟件作廢。填寫《作廢軟件登記表》。每季度根據(jù)此表內(nèi)容對(duì)《信息資產(chǎn)識(shí)別表》里的軟件和系統(tǒng)資產(chǎn)進(jìn)行更新。應(yīng)當(dāng)保留原軟件的以前版本作為應(yīng)急之用，包括所有需要的信息和參數(shù)、程序、具體配置，以及用于數(shù)據(jù)保留存檔的支持軟件。原軟件作廢版本的光盤應(yīng)有明確標(biāo)識(shí)，并與其他在用光盤分開存放，電子文件應(yīng)予以回收，避免引起作廢軟件的非預(yù)期使用。5.實(shí)施策略軟件管理規(guī)定涉及的表格包括《新軟件和系統(tǒng)登記表》.《授權(quán)使用軟件列表》共2個(gè)表單。收集整理、分類歸檔，填寫《信息資產(chǎn)識(shí)別表》中“軟件和系統(tǒng)”類資產(chǎn)。新的軟件使用前填寫《新軟件和系統(tǒng)登記表》。軟件作廢由網(wǎng)絡(luò)技術(shù)部批準(zhǔn);并更新軟件清單。網(wǎng)絡(luò)技術(shù)部制作《授權(quán)使用軟件列表》，禁止使用未經(jīng)授權(quán)的軟件和未經(jīng)授權(quán)的系統(tǒng)實(shí)用工具軟件.6.相關(guān)記錄本程序發(fā)生的記錄匯總表見表1（表式見《ISMS文件日常應(yīng)用格式匯總》）。表號(hào)記錄編號(hào)記錄名稱保管場(chǎng)所保存期限保存形式備注表A.1ISMS-3017-01新軟件和系統(tǒng)登記表網(wǎng)絡(luò)技術(shù)部3年電子表A.2ISMS-3017-02授權(quán)使用軟件列表網(wǎng)絡(luò)技術(shù)部3年電子系統(tǒng)監(jiān)控管理規(guī)定ISMS-30181.目的了解服務(wù)器的運(yùn)行狀態(tài)，檢測(cè)未經(jīng)授權(quán)的信息處理活動(dòng)，為安全事故提供證據(jù)，確保業(yè)務(wù)系統(tǒng)的穩(wěn)定性、可靠性、安全性。2.引用文件下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。ISO/IEC27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系要求ISO/IEC27002:2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則機(jī)房管理規(guī)定3.職責(zé)網(wǎng)絡(luò)技術(shù)部負(fù)責(zé)公司網(wǎng)絡(luò)和系統(tǒng)訪問活動(dòng)的監(jiān)控管理。4.系統(tǒng)監(jiān)控管理4.1日志的分類需監(jiān)控的日志包括但不僅限于以下類型：服務(wù)器日志：系統(tǒng)日志，應(yīng)用程序日志和安全日志。防火墻日志視頻監(jiān)控系統(tǒng)的記錄網(wǎng)管軟件的監(jiān)控記錄管理員和系統(tǒng)操作員記錄故障日志網(wǎng)絡(luò)技術(shù)部明確和制定《重要設(shè)備和服務(wù)器日志明細(xì)表》，確認(rèn)需要進(jìn)行監(jiān)控的重要服務(wù)器日志類型。4.2日志的管理明確日志的保存期限，日志容量大小，保證日志的設(shè)置滿足信息安全的需要。填寫在《重要設(shè)備和服務(wù)器日志明細(xì)表》中。明確需要備份的日志，對(duì)重要的日志必須進(jìn)行備份保護(hù)，填寫在《重要設(shè)備和服務(wù)器日志明細(xì)表》中。確認(rèn)需要開啟的審計(jì)項(xiàng)目，服務(wù)器的操作系統(tǒng)要根據(jù)安全需求開啟安全日志審計(jì)功能，并對(duì)系統(tǒng)管理員組成員的系統(tǒng)活動(dòng)進(jìn)行審計(jì)。明確需要監(jiān)控檢查的日志，檢查的策略頻率，對(duì)重要的日志進(jìn)行檢查，填寫《系統(tǒng)日志檢查評(píng)審記錄》表。對(duì)日志檢查中發(fā)現(xiàn)的故障問題，進(jìn)行記錄，并進(jìn)行處理，填寫在《系統(tǒng)日志檢查評(píng)審記錄》表中。設(shè)置時(shí)鐘同步，所有的關(guān)鍵服務(wù)器及監(jiān)控設(shè)備應(yīng)保持時(shí)鐘的一致性，由管理員手工進(jìn)行時(shí)鐘的同步。5.實(shí)施策略1)系統(tǒng)監(jiān)控管理規(guī)定涉及的表格包括《重要設(shè)備和服務(wù)器日志明細(xì)表》、《系統(tǒng)日志檢查評(píng)審記錄》共2個(gè)表單。2)網(wǎng)絡(luò)技術(shù)部明確和制定《重要設(shè)備和服務(wù)器日志明細(xì)表》網(wǎng)絡(luò)技術(shù)部對(duì)重要的日志進(jìn)行檢查，填寫《系統(tǒng)日志檢查評(píng)審記錄》表。6.相關(guān)記錄本程序發(fā)生的記錄匯總表見表1（表式見《ISMS文件日常應(yīng)用格式匯總》）表號(hào)記錄編號(hào)記錄名稱保管場(chǎng)所保存期限保存形式備注表A.1ISMS-3018-01重要