ISO27001信息安全管理體系程序文件

ISO27001信息安全管理體系程序文件01互聯(lián)網使用策略互聯(lián)網使用策略發(fā)布部門生效時間批準人文件編號介紹互聯(lián)網是傳播和獲取信息的重要途徑。而信息是組織的重要資產。因此，建立該策略能夠：l確?；ヂ?lián)網的使用符合相應的、與信息資源管理相關的法令、規(guī)章及要求；l建立謹慎的、合理的互聯(lián)網使用慣例；l向使用互聯(lián)網或者企業(yè)內部網絡的員工告知其應負的責任。目的該策略的目的是規(guī)范互聯(lián)網以及公司內部網絡的使用，確保信息資源不會被泄漏、篡改和破壞。適用范圍該策略適用于有權訪問任何信息資源而又可以訪問互聯(lián)網以及公司內部網絡的所有人員。內容l提供給授權使用者的互聯(lián)網瀏覽軟件只能用于業(yè)務和研發(fā)；l所有用于訪問互聯(lián)網的軟件必須都經過批準，并且必須結合賣方提供的安全補??；l從互聯(lián)網下載的所有文件必須通過經過批準的病毒檢測軟件進行病毒掃描；l用于互聯(lián)網訪問的所有軟件都應該使用防火墻進行配置；l訪問的所有站點都必須符合信息資源使用策略；l所有Web站點上的內容都必須符合信息資源使用策略；l禁止通過Web站點訪問帶有攻擊性或騷擾性的資料；l互聯(lián)網不可以用于個人私利；l在不能確保資料只被授權的人員或組織使用時，數據不能通過Web站點獲??；l通過外部網絡傳送的所有敏感資料都必須經過加密；l文檔和文件的發(fā)送或接受必須以不引起法律責任或業(yè)務阻礙的方式進行；l使用互聯(lián)網應遵循法律法規(guī)要求，并不得利用國際聯(lián)網危害國家安全、泄露國家秘密，不得損害國家、社會、集體的利益和公民的合法權益，不得從事違法犯罪活動。02病毒防范策略03變更管理安全策略04便攜式計算機安全策略05安全培訓策略06軟件注冊策略07入侵檢測策略入侵檢測策略發(fā)布部門生效時間批準人文件編號介紹入侵檢測策略在實施和加強組織安全策略方面有重要作用。由于信息系統(tǒng)復雜程度越來越高，因此必須開發(fā)有效的安全系統(tǒng)。隨著分布式系統(tǒng)引入的薄弱點數量的增長，系統(tǒng)和網絡安全必須加以保證。入侵檢測系統(tǒng)可以提供一些保證。目的在保護信息資源方面，入侵檢測主要有以下兩項重要作用：l反饋器：能夠提供對安全系統(tǒng)其他組成部分有效的信息。如果有功能強大且有效的入侵檢測系統(tǒng)，那么檢測出的入侵行為就能為其他防御工作提供信號；l觸發(fā)器：是一種有效的機制，能夠確定何時對入侵事件啟動計劃的響應措施。適用范圍該策略適用于負責新信息資源安裝、現有信息資源運作的所有人員以及負責信息資源安全的人員。內容l在所有主機和服務器系統(tǒng)都必須啟動操作系統(tǒng)、用戶賬號以及應用軟件的審核記錄過程；l任何防火墻以及其他網絡訪問控制系統(tǒng)的警報和警示功能必須啟動；l任何防火墻以及其他網絡訪問控制系統(tǒng)的審核日志必須啟動；l網絡訪問控制系統(tǒng)的審核日志都必須由系統(tǒng)管理員監(jiān)控并評審；l防火墻以及其他網絡邊界訪問控制系統(tǒng)的系統(tǒng)完整性檢查必需按照規(guī)定的周期進行；l內部受保護的服務器以及主機和網絡的審核日志必須每周進行一次評審。系統(tǒng)管理員應該按照科技信息部的需要定期提供審核日志；l用作入侵工具的主機應該定期檢查；l所有問題報告都應該被評審，判斷其是否預示著入侵事件；l所有可疑的和/或經證實的任何成功的和/或嘗試性的入侵行為都必須立刻按照事故管理策略的要求進行報告；l應該培訓用戶如何報告系統(tǒng)性能的異常情況。08清潔桌面和清屏策略09口令策略10可移動代碼防范策略19生產管理程序31員工培訓控制程序32員工聘用控制程序33遠程工作控制程序34重要信息備份控制程序35電子郵件控制程序36信息安全獎懲管理程序37容量管理控制程序38適用性聲明指南39適用性聲明40各部門信息安全管理職責各部門信息安全管理職責1總經理（1）負責組織建立公司信息安全管理體系。（2）負責制定、發(fā)布公司信息安全方針。（3）負責組織各部門定期評審、更新公司信息安全方針。（4）負責向公司員工和外部提出信息安全管理承諾。（5）負責實施公司信息安全資源的配置。（6）負責公司信息安全管理體系評審工作。（7）負責組織公司信息安全管理體系持續(xù)改進工作。（8）負責公司信息安全管理體系內部協(xié)調工作。（9）負責公司各部門信息安全管理職責的審批工作。（10）負責組織公司信息安全管理體系符合安全策略和標準。（11）負責組建公司信息安全管理委員會。（12）負責任命公司信息安全管理者代表。2管理者代表（1）協(xié)助總經理建立公司信息安全管理體系。（2）協(xié)助總經理制定、發(fā)布公司信息安全方針。（3）協(xié)助總經理組織各部門定期評審、更新公司信息安全方針。（4）協(xié)助總經理向公司員工和外部提出信息安全管理承諾。（5）協(xié)助總經理實施公司信息安全資源的配置。（6）協(xié)助總經理公司信息安全管理體系評審工作。（7）協(xié)助總經理組織公司信息安全管理體系持續(xù)改進工作。（8）協(xié)助總經理公司信息安全管理體系內部協(xié)調工作。（9）協(xié)助總經理公司各部門信息安全管理職責的審批工作。（10）協(xié)助總經理組織公司信息安全管理體系符合安全策略和標準。（11）負責主持公司信息安全管理體系內部審核工作。3信息安全管理委員會（1）負責實施公司信息安全管理體系風險評估。（2）負責根據風險評估制定相關措施。（3）負責建立公司適用性聲明。（4）負責指導公司信息安全管理體系運行。（5）負責檢查改進公司信息安全管理體系。（6）負責對公司殘余風險進行評估。（7）配合開展公司信息安全管理體系內部審核和管理評審工作。4辦公室（1）負責公司信息安全管理體系文件控制工作。（2）負責與外部各方相關信息安全風險的識別。（3）負責處理公司與第三方協(xié)議中涉及的安全問題。（4）負責建立公司信息資產清單。（5）負責公司物理安全周邊的管理工作。（6）負責公司物理入口控制。（7）負責公司辦公室、房間和設施的安全保護工作。（8）負責公司外部和環(huán)境威脅的安全防護。（9）負責公司在安全區(qū)域工作的管理。（10）負責公司公共訪問交接區(qū)安全管理工作。（11）負責公司支持性設施管理工作。（12）負責公司布纜安全控制工作。（13）負責公司信息資產帶出公司的管理工作。（14）負責公司計算機軟件服務交付管理工作。（15）負責對第三方服務的監(jiān)視和評審工作。（16）負責第三方服務的變更管理工作。（17）負責公司訪問控制策略的建立和實施。（18）負責公司計算機清空桌面和清屏管理工作。（19）負責公司遠程工作的控制。（20）負責報告公司信息安全事件。（21）負責報告公司信息安全弱點。（22）負責建立公司信息安全處理職責和規(guī)程。（23）負責對公司信息安全事件進行總結。

（24）負責收集公司信息安全事件的證據。（25）負責對公司濫用信息處理設施行為進行控制。5人力資源部（1）負責公司員工信息安全意識、能力和培訓工作。（2）負責公司信息安全糾正措施的控制。（3）負責公司信息安全預防措施的控制。（4）負責建立公司信息分類指南，并組織對信息分類進行標識。（5）負責對公司員工任用之前進行信息安全管理和控制。（6）負責公司員工違反信息安全管理的處理控制。（7）負責對公司員工任用中止或變更的控制。（8）負責對公司信息設備的安全處置或再利用控制。（9）負責建立信息處理規(guī)程。（10）負責對公司電子消息發(fā)送進行控制。（11）負責對公司業(yè)務信息系統(tǒng)進行控制。（12）負責公司用戶注冊管理。（13）負責公司用戶口令管理。（14）負責公司用戶訪問權的復查工作。（15）負責公司口令使用控制。（16）負責公司遠程工作的控制。（17）負責公司數據保護和個人隱私的管理。（18）負責公司員工濫用信息處理設施的控制。6財務部（1）負責公司信息安全管理體系記錄的控制。（2）負責公司與相關方保密性協(xié)議的簽訂工作。（3）負責處理與第三方協(xié)議中涉及的安全問題。（4）負責公司可接受的資產使用控制。（5）負責公司信息分類指南的編制，并負責對信息分類進行標識。（6）負責公司外的信息設施安全控制。（7）負責公司財務信息的備份控制。（8）負責建立公司信息處理規(guī)程。（9）負責公司敏感信息系統(tǒng)的控制。（10）負責公司筆記本辦公實施有效安全管理。7技術部（1）負責策劃、建立、實施、改進公司的信息安全管理體系。（2）配合營銷中心開展信息安全管理體系培訓工作。（3）配合執(zhí)行公司信息安全方針，并定期配合開展信息安全方針的評審工作。（4）配合開展公司信息安全管理體系內部協(xié)調工作。（5）負責公司新的信息處理設施授權控制。（6）負責與特定利益集團的聯(lián)系控制。（7）負責公司與外部各方風險的識別工作。（8）負責公司信息資產清單的建立工作。（9）負責公司信息資產責任人的確定工作。（10）負責資產的可接受使用的控制。（11）負責公司信息分類指南的編制，并負責對信息分類進行標識。（12）配合開展公司員工信息安全管理體系意識、能力和培訓工作。（13）負責公司信息設備的安全管理工作。（14）負責公司信息設備的操作規(guī)程和職責的建立工作。（15）負責公司第三方服務交付管理工作。（16）負責公司信息系統(tǒng)規(guī)劃和驗收控制。（17）負責公司防范惡意和移動代碼控制。（18）負責公司信息備份控制。（19）負責公司網絡安全管理工作。（20）負責建立公司信息處理規(guī)程。（21）負責公司信息系統(tǒng)文件安全的管理。（22）負責公司業(yè)務信息系統(tǒng)管理。（23）負責公司公共可用信息管理。（24）負責公司信息系統(tǒng)的監(jiān)視控制。（25）負責建立公司訪問控制策略。（26）負責公司使用網絡服務策略的建立。（27）負責公司網絡訪問控制工作。（28）負責公司操作系統(tǒng)訪問控制。（29）負責公司信息訪問限制管理工作。（30）負責公司信息系統(tǒng)獲取、開發(fā)和維護控制。（31）負責公司業(yè)務連續(xù)性管理控制。（32）負責公司知識產權管理控制。（33）負責保護公司信息安全管理體系記錄。（34）負責公司密碼控制措施的規(guī)則制定。（35）負責公司技術性核查工作的控制。（36）負責公司信息系統(tǒng)審計控制工作。8市場部（1）負責處理與顧客有關的安全問題。（2）負責公司信息分類指南的編制，并負責對信息分類進行標識。（3）配合建立公司信息處理規(guī)程。（4）負責公司運輸中物理介質的管理。9客戶服務部（1）負責處理與顧客有關的安全問題。（2）負責公司信息分類指南的編制，并負責對信息分類進行標識。（3）負責與客戶有關的信息備份控制。（4）配合建立公司信息處理規(guī)程。（5）負責公司無人值守的用戶設備管理。（6）配合開展公司業(yè)務連續(xù)性管理。10公共關系發(fā)展部（1）負責與公司政府部門的聯(lián)系控制。（2）負責公司信息安全可用法律法規(guī)的識別控制和合規(guī)性評價。11營銷中心（1）負責組織公司員工信息安全管理培訓工作。（2）負責組織公司信息安全管理體系內部審核工作。（3）負責組織公司信息安全管理體系管理評審工作。（4）負責處理第三方協(xié)議中涉及的安全問題。（5）負責公司可移動介質的管理和處置工作。（6）負責對本部門筆記本電腦進行管理。（7）負責保證公司信息安全管理體系符合安全策略和標準。12服務外包辦公室（1）負責建立公司信息交換策略和規(guī)程。（2）負責編制公司信息交換協(xié)議。41信息安全管理崗位任職要求61用戶口令設置和分配設置策略62無人值守控制設備策略63信息系統(tǒng)網絡拓撲圖64網絡隔離控制策略65網絡連接控制策略66網絡路由控制策略網絡路由控制策略發(fā)布部門生效時間批準人文件編號介紹路由器是互聯(lián)網絡中必不可少的網絡設備之一，路由器是一種連接多個網絡或網段的網絡設備，它能將不同網絡或網段之間的數據信息進行“翻譯”，以使它們能夠相互“讀”懂對方的數據，從而構成一個更大的網絡。目的該策略的目的是為路由的管理、維護、擴展以及使用建立的規(guī)則。適用范圍該策略適用于訪問信息資源的所有人。內容l信息管理人員管理網絡路由并對其負責，而且還要對基礎設施的發(fā)展和增加進行管理l為了提供穩(wěn)固的網絡基礎設施，所有電纜必須由技術部（運維組）或被認可的合同方安裝l所有網絡連接設備必須按照技術部批準的規(guī)范進行配置l所有連接到網絡的硬件必須服從技術部管理和監(jiān)控l在沒有技術部（運維組）批準的情況下，不能連接網絡路由，更不能對活動的網絡路由的配置進行更改；l網絡路由與外部第三方網絡的所有連接都由技術部負責。l未經技術部（運維組）批準，用戶不可以安裝路由器、交換機、集線器或者無線訪問端口；l技術部（運維組）對網絡路由建立管理用戶，設置密碼，并建立相應權限。l信息管理人員每天對網絡路由進行運行情況進行檢查，并使用數據控制軟件對端口數據進行監(jiān)控，分析，以便于提前發(fā)現問題。67操作系統(tǒng)訪問策略68敏感系統(tǒng)隔離策略69程序源代碼保密策略70信息安全事件處理職責信息安全事件處理職責發(fā)布部門生效時間批準人文件編號介紹信息安全事件處理職責是對在信息安全管理和監(jiān)督過程中出現事故時對相關負責人的責任和權限進行一定程度的界定，以加強信息的安全系數。辦公室接到報告以后，應立即進行迅速、有序的反應，確保采取一致和有效的方法對信息安全事件進行管理。目的該職責的目的是確保信息安全的管理和監(jiān)督。適用范圍該職責適用于被授權管理和監(jiān)督信息訪問的所有工作人員。內容l該職責適用于管理和監(jiān)督信息安全的工作人員；l各個信息管理系統(tǒng)使用者，在使用過程中如果發(fā)現軟硬件故障、事件，應該向該系統(tǒng)歸口管理部門和辦公室報告；l發(fā)生火災應立即向辦公室報告，啟動消防應急預案；l涉及企業(yè)秘密、機密及絕密泄露、丟失應向辦公室報告；l發(fā)生重大信息安全事件，事件受理部門應向管理者代表和總經理報告；l事件處理部門接到報告以后，應立即進行迅速、有效和有序的響應，報告者應保護