ISO 27001 工作準(zhǔn)備事項(xiàng)及負(fù)責(zé)人

ISO27001審核工作準(zhǔn)備事項(xiàng),,,

人力資源安全,,,

序號(hào),名稱(chēng),備注,負(fù)責(zé)部門(mén)

1,花名冊(cè),全體員工,人力資源部

2,人事資料,全體員工,人力資源部

3,保密協(xié)議,全體員工,人力資源部

4,人員訪問(wèn)權(quán)限清單,權(quán)限包括：可使用的網(wǎng)絡(luò)、可使用的軟件、可使用的系統(tǒng)、可使用系統(tǒng)的權(quán)限、可進(jìn)入的物理區(qū)域、可訪問(wèn)的信息文件、電腦賬戶(hù)名稱(chēng)（ID）,信息資訊部

5,離職資料,離職交接，最近半年,人力資源部

6,涉密人員及涉密事項(xiàng)清單,要注明涉密事項(xiàng)，及使用電腦編號(hào)及ID,咨詢(xún)老師提供范本/信息資訊部

7,涉密人員任職條件要求及權(quán)利義務(wù),,咨詢(xún)老師提供范本

8,涉密員工背景調(diào)查及證書(shū),背景調(diào)查包括：?jiǎn)T工履歷核查、學(xué)術(shù)及專(zhuān)業(yè)資質(zhì)核查、個(gè)人身份核查、信用核查、犯罪核查。,人力資源部

9,信息安全培訓(xùn)計(jì)劃,,人力資源部

10,信息安全培訓(xùn)記錄,,人力資源部

11,信息安全違規(guī)處罰記錄,暫無(wú),/

資產(chǎn)管理,,,

序號(hào),名稱(chēng),備注,負(fù)責(zé)部門(mén)

1,信息資產(chǎn)清單,"1.信息資產(chǎn)包括：電腦、路由器、打印機(jī)、復(fù)印機(jī)、傳真

機(jī)、電話、機(jī)房中的設(shè)施、移動(dòng)硬盤(pán)（U盤(pán)）2.所有信息資產(chǎn)必須編號(hào)，寫(xiě)明負(fù)責(zé)人（IT）及使用人員3.要列明信息資產(chǎn)中所存放的信息是什么，如：合同、技術(shù)資料、安裝的軟件、安裝的系統(tǒng)等。4.要列明信息資產(chǎn)的用途是什么，如：辦公用、軟件開(kāi)發(fā)

用等。5.信息資產(chǎn)必須必須張貼信息資產(chǎn)標(biāo)簽，標(biāo)簽上要寫(xiě)明：信息資產(chǎn)編號(hào)、負(fù)責(zé)人（IT）、使用人。",信息資訊部

2,重要信息資產(chǎn)清單,存放重要信息或涉密信息的信息資產(chǎn)。重要信息資產(chǎn)清單中的項(xiàng)目?jī)?nèi)容同上。重要信息資產(chǎn)必須在限值區(qū)域（保密區(qū)域）使用，所配套的打印機(jī)、復(fù)印機(jī)、傳真機(jī)應(yīng)為專(zhuān)用。,信息資訊部

3,筆記本電腦或可以用辦公用設(shè)備/介質(zhì)，如：移動(dòng)硬盤(pán)（U盤(pán)）、文件等,1.信息資產(chǎn)中不要有筆記本電腦，因信息安全不提倡遠(yuǎn)程或移動(dòng)辦公。2.移動(dòng)硬盤(pán)（U盤(pán)）必須為公司所有，在使用時(shí)必須經(jīng)過(guò)同意，并登記；不得使用私人移動(dòng)硬盤(pán)（U盤(pán)）。3.只有指定的幾臺(tái)電腦有USB接口，其他電腦中的USB接口必須為堵死或未安裝狀態(tài)，使用移動(dòng)硬盤(pán)（U盤(pán)）只能在指定的這幾臺(tái)電腦上使用。,信息資訊部

4,信息傳遞記錄,信息在傳遞時(shí)要有收發(fā)記錄，并注明：1.用途2.并注明臨時(shí)性拷貝還是永久性拷貝3.要有拷貝后的處理措施4.要有處理人簽字5.要有人審批6.要注明日期和時(shí)間。,咨詢(xún)老師提供范本/信息資訊部

5,介質(zhì)處置記錄,粉碎報(bào)廢,信息資訊部

6,信息資產(chǎn)移動(dòng)記錄,若發(fā)生,信息資訊部

7,信息資產(chǎn)處置記錄,報(bào)廢、廢止等,信息資訊部

8,信息分類(lèi)及信息標(biāo)記,1.信息分類(lèi)的重要度一般分為5類(lèi):國(guó)家秘密事項(xiàng)、企業(yè)秘密事項(xiàng)、敏感信息事項(xiàng)、一般事項(xiàng)和公開(kāi)事項(xiàng)。（企業(yè)可自主制定）2.要在可傳遞的信息上標(biāo)記信息分類(lèi)?？蓚鬟f的信息包括：打印出來(lái)的紙質(zhì)內(nèi)容，U盤(pán)內(nèi)容或其他信息。3.信息管理要求：國(guó)家秘密事項(xiàng)、企業(yè)秘密事項(xiàng)、敏感信息事項(xiàng)、一般事項(xiàng)和公開(kāi)事項(xiàng)是怎么管理的要求，如：接觸人員要求、傳遞管理要求、拷貝要求等。,信息資訊部

,訪問(wèn)控制,,

序號(hào),名稱(chēng),,負(fù)責(zé)部門(mén)

1,網(wǎng)絡(luò)拓?fù)鋱D,公共環(huán)境、研發(fā)環(huán)境、測(cè)試環(huán)境及運(yùn)行環(huán)境網(wǎng)絡(luò)環(huán)境要分開(kāi),信息資訊部

物理和環(huán)境安全,,,

序號(hào),名稱(chēng),備注,負(fù)責(zé)部門(mén)

1,公司平面圖,,體系部

2,布纜圖,,信息資訊部

3,人員訪問(wèn)權(quán)限清單,權(quán)限包括：可使用的網(wǎng)絡(luò)、可使用的軟件、可使用的系統(tǒng)、可使用系統(tǒng)的權(quán)限、可進(jìn)入的物理區(qū)域、可訪問(wèn)的信息文件、電腦賬戶(hù)名稱(chēng)（ID）,信息資訊部

4,限制區(qū)域進(jìn)出記錄,需要包含進(jìn)入原因及攜帶物品，需有陪同人、出門(mén)檢查及審批。,各限制區(qū)域

5,屏幕保護(hù)和清理桌面,1.電腦屏幕應(yīng)在不適用30秒內(nèi)鎖屏。2.電腦桌面上不得存放涉密信息。,信息資訊部/使用電腦者全員

操作安全,,,

序號(hào),名稱(chēng),備注,負(fù)責(zé)部門(mén)

1,文件服務(wù)器磁盤(pán)空間使用率監(jiān)控表,要滿足冗余要求,咨詢(xún)老師提供范本/信息資訊部

2,殺毒軟件清單,至少兩種殺毒軟件，要注明殺毒軟件更新時(shí)間,咨詢(xún)老師提供范本/信息資訊部

3,病毒查殺記錄,每月至少一次,咨詢(xún)老師提供范本/信息資訊部

4,病毒攻擊及防范記錄,自動(dòng)生成,信息資訊部

5,信息安全事件處理記錄,當(dāng)發(fā)生違規(guī)操作或病毒攻擊時(shí)的處理記錄,咨詢(xún)老師提供范本/信息資訊部

6,信息備份策略,,信息資訊部

7,信息備份記錄,,信息資訊部

8,時(shí)鐘同步,所有電腦上的時(shí)間必須為一致的,信息資訊部/使用電腦者全員

9,限制軟件安裝,電腦上只允許安裝辦公軟件，不得安裝QQ/微信、游戲等其他軟件，信息傳輸必須使用指定軟件傳輸，并列入信息資產(chǎn)清單,信息資訊部

通訊安全,,,

序號(hào),名稱(chēng),備注,負(fù)責(zé)部門(mén)

1,網(wǎng)絡(luò)安全管理,限制內(nèi)網(wǎng)接入、使用正規(guī)外網(wǎng)、使用正規(guī)郵箱服務(wù)商,信息資訊部

系統(tǒng)獲取開(kāi)發(fā)和維護(hù),,,

序號(hào),名稱(chēng),備注,負(fù)責(zé)部門(mén)

1,正版編程軟件的使用并定期更新,,信息資訊部

2,計(jì)算機(jī)軟件開(kāi)發(fā)記錄,,咨詢(xún)老師提供范本/信息資訊部

3,計(jì)算機(jī)軟件驗(yàn)收記錄,,咨詢(xún)老師提供范本/信息資訊部

供應(yīng)商關(guān)系,,,

序號(hào),名稱(chēng),備注,負(fù)責(zé)部門(mén)

1,合格供應(yīng)商清單,包括:云服務(wù)供應(yīng)商、網(wǎng)絡(luò)供應(yīng)商、IT硬件設(shè)備供應(yīng)商等,采購(gòu)部

2,供應(yīng)商評(píng)估記錄,,采購(gòu)部

信息安全事件管理,,,

序號(hào),名稱(chēng),備注,負(fù)責(zé)部門(mén)

1,信息安全事件處理記錄,當(dāng)發(fā)生違規(guī)操作或病毒攻擊時(shí)的處理記錄,咨詢(xún)老師提供范本/信息資訊部

業(yè)務(wù)連續(xù)性管理,,,

序號(hào),名稱(chēng),備注,負(fù)責(zé)部門(mén)

1,業(yè)務(wù)連續(xù)性計(jì)劃,斷網(wǎng)、火災(zāi)、失竊、病毒攻擊、被人破壞的計(jì)劃,信息資訊部

2,業(yè)務(wù)連續(xù)