2010信息處理設(shè)備管理程序

1、ISMS-2010信息處理設(shè)備管理程序編號(hào)：ISMS-2010狀態(tài)：受控編寫：200X年XX月XX日審核：200X年XX月XX日撲匕準(zhǔn)：200X年XX月XX日發(fā)布版次：第A/0版200X年XX月XX日生效日期200X年XX月XX日分發(fā)：各部門（或XXX）接受部門：第1頁(yè)共9第1頁(yè)共9頁(yè)變更記錄變更日期版本變更說明編寫審核批準(zhǔn)2009-XX-XXA/0初始版本XXXXXXXXXISMS-2010ISMS-2010信息處理設(shè)備管理程序1適用與目的本程序適用于公司與IT相關(guān)各類信息處理設(shè)施（包括各類軟件、硬件、服務(wù)、傳輸線 路）的引進(jìn)、實(shí)施、維護(hù)等事宜的管理。本程序通過對(duì)技術(shù)選型、驗(yàn)收、實(shí)施、維護(hù)等

2、過程中相關(guān)控制的明確規(guī)定來確保引進(jìn)的 信息處理設(shè)施的保密性、完整性和可用性。2信息處理設(shè)施的分類研發(fā)控制系統(tǒng)、數(shù)據(jù)存儲(chǔ)控制系統(tǒng)及其子系統(tǒng)設(shè)備，包括位于機(jī)房的服務(wù)器和位于使用 區(qū)域的使用控制系統(tǒng)終端設(shè)備。業(yè)務(wù)管理系統(tǒng)、財(cái)務(wù)管理系統(tǒng)，包括位于機(jī)房的服務(wù)器和位于使用區(qū)域的終端設(shè)備。辦公用計(jì)算機(jī)設(shè)備，包括所有辦公室、會(huì)議室內(nèi)的計(jì)算機(jī)、打印機(jī)，域控制服務(wù)器，DNS 服務(wù)器、Email服務(wù)器等。網(wǎng)絡(luò)設(shè)備，包括交換機(jī)、路由器、防火墻等。其它辦公設(shè)備，包括電話設(shè)備、復(fù)印機(jī)、傳真機(jī)等。3職責(zé)XX部主要負(fù)責(zé)全公司與IT相關(guān)各類信息處理設(shè)施及其服務(wù)的引進(jìn)。包括制作技術(shù)規(guī) 格書、進(jìn)行技術(shù)選型、安裝和驗(yàn)收等。XX部同時(shí)

3、負(fù)責(zé)全公司網(wǎng)絡(luò)設(shè)備、研發(fā)控制系統(tǒng)、業(yè) 務(wù)管理系統(tǒng)、財(cái)務(wù)管理系統(tǒng)日常管理與維護(hù)。各部負(fù)責(zé)項(xiàng)目實(shí)施過程中設(shè)備及軟件系統(tǒng)的管理制度的執(zhí)行與維護(hù)。XX部負(fù)責(zé)后勤系統(tǒng)設(shè)備及網(wǎng)絡(luò)系統(tǒng)、電話/網(wǎng)絡(luò)通訊與辦公系統(tǒng)的管理與維護(hù)。4信息處理設(shè)施的引進(jìn)和安裝引進(jìn)依賴各部門必須采購(gòu)的信息處理設(shè)施、外包開發(fā)信息系統(tǒng)項(xiàng)目或外包信息系統(tǒng)服務(wù)，得到本第3頁(yè)共9頁(yè)XXXXXXXX有限公司 部門經(jīng)理的批準(zhǔn)后，向第3頁(yè)共9頁(yè)本公司禁止員工攜帶個(gè)人或私有信息處理設(shè)施（例如便攜式電腦、家用電腦或手持設(shè)備 PDA等）處理業(yè)務(wù)信息。進(jìn)行技術(shù)選型XX部負(fù)責(zé)對(duì)購(gòu)入的信息處理設(shè)施的技術(shù)選型，并從技術(shù)角度對(duì)供應(yīng)商進(jìn)行評(píng)價(jià)。技術(shù) 選型應(yīng)該包含以下幾

4、方面：性能、相關(guān)設(shè)施的兼容性、協(xié)作能力、技術(shù)發(fā)展能力等。編寫購(gòu)入規(guī)格書XX部根據(jù)要求，負(fù)責(zé)編寫即將購(gòu)入的信息處理設(shè)施的購(gòu)入規(guī)格書。規(guī)格書中應(yīng)該包含 技術(shù)規(guī)格、相關(guān)設(shè)施的性能（包括安全相關(guān)信息）、兼容性等要求，由XX部主管審批。定貨由XX部按照公司采購(gòu)流程，向經(jīng)理層提出購(gòu)買要求，并提供選型結(jié)果。經(jīng)理層應(yīng)按照 要求辦理定貨手續(xù)。開箱檢查，安裝、調(diào)試，驗(yàn)收a）開箱檢查設(shè)備到貨后，xx部應(yīng)負(fù)責(zé)開箱檢查，依照購(gòu)買規(guī)格書和裝箱單核對(duì)數(shù)量及物品，確認(rèn) 有無損壞并記錄。必要時(shí)，應(yīng)通知有關(guān)部門到場(chǎng)協(xié)同檢查。b）安裝、調(diào)試引進(jìn)的設(shè)施到位后，根據(jù)合同要求，由相關(guān)人員進(jìn)行安裝、調(diào)試。在實(shí)施調(diào)試過程中出 現(xiàn)的問題，必要

5、時(shí)可通知相關(guān)部門共同進(jìn)行。c）驗(yàn)收安裝調(diào)試完成以后，XX部應(yīng)依據(jù)以下文件實(shí)施驗(yàn)收：購(gòu)入規(guī)格書采購(gòu)合同及其相關(guān)附件調(diào)試時(shí)故障履歷驗(yàn)收原則上由XX部實(shí)施，必要時(shí)可要求相關(guān)部門參加。驗(yàn)收的合格與否最終由XX部 負(fù)責(zé)人作出判斷。d）驗(yàn)收合格后，可向相關(guān)的使用部門移交。ISMS-20105信息處理設(shè)施的日常維護(hù)管理計(jì)算機(jī)設(shè)備管理XX部負(fù)責(zé)計(jì)算機(jī)固定資產(chǎn)的標(biāo)識(shí)，標(biāo)識(shí)隨具體設(shè)備到使用各部門。計(jì)算機(jī)保管使用部 門將計(jì)算機(jī)列入該部門信息資產(chǎn)清單。各部門配備的計(jì)算機(jī)設(shè)備應(yīng)與本部門的日常經(jīng)營(yíng)情況相適應(yīng)，不得配備與工作不相符 的高檔次或不必要的計(jì)算機(jī)設(shè)備。辦公場(chǎng)所不配備多媒體類計(jì)算機(jī)設(shè)備，原則上部門經(jīng)理以 上配備筆記

6、本電腦，因工作需要配備筆記本電腦的需經(jīng)主管副總批準(zhǔn)。計(jì)算機(jī)使用部門需配備計(jì)算機(jī)設(shè)備時(shí)，應(yīng)按照本規(guī)定執(zhí)行。資產(chǎn)搬離安置場(chǎng)所，需要 獲得部門經(jīng)理的授權(quán)；遷移出公司，需要得到最高管理層的授權(quán)。計(jì)算機(jī)使用部門填寫物品領(lǐng)用單，經(jīng)過本部門經(jīng)理簽字后提交行政部后領(lǐng)取計(jì)算機(jī) 設(shè)備。計(jì)算機(jī)及附屬設(shè)備屬公司信息資產(chǎn)，在行政部備案。有關(guān)計(jì)算機(jī)設(shè)備所帶技術(shù)說明書、 軟件由行政部保存。使用部門的使用人應(yīng)妥善保管計(jì)算機(jī)及附屬設(shè)備，公用計(jì)算機(jī)設(shè)備由使 用部門經(jīng)理指定專人負(fù)責(zé)使用管理。離職時(shí)，應(yīng)將計(jì)算機(jī)交還XX部，由XX部注銷賬戶。計(jì)算機(jī)設(shè)備維護(hù)計(jì)算機(jī)使用部門應(yīng)將每部計(jì)算機(jī)落實(shí)到個(gè)人管理。計(jì)算機(jī)使用人員負(fù)責(zé)計(jì)算機(jī)的日常 維護(hù)

7、和保養(yǎng)；XX部按照惡意軟件控制程序要求進(jìn)行計(jì)算機(jī)查毒和殺毒工作。計(jì)算機(jī)使用部門發(fā)現(xiàn)故障或異常，可先報(bào)公司XX管理員處理，如其無法解決，則由 XX管理員填寫事態(tài)事件脆弱性記錄向供應(yīng)商申請(qǐng)維修。故障原因及處理結(jié)果應(yīng)記入事 態(tài)事件脆弱性記錄。計(jì)算機(jī)調(diào)配與報(bào)廢管理用戶計(jì)算機(jī)更新后，原來的計(jì)算機(jī)由XX部根據(jù)計(jì)算機(jī)的技術(shù)狀態(tài)決定調(diào)配使用或予 以報(bào)廢處理。含有敏感信息的計(jì)算機(jī)調(diào)配使用或報(bào)廢前，計(jì)算機(jī)使用部門應(yīng)與XX部共同采取安全 可靠的方法將計(jì)算機(jī)內(nèi)的敏感信息清除。調(diào)配部門內(nèi)部的調(diào)配由使用部門自行處理，并通知XX部進(jìn)行計(jì)算機(jī)配置變更，變更執(zhí) 行更改控制程序。部門間的調(diào)配管理：XX部收回因更新等原因不用的計(jì)算

8、機(jī)設(shè)備，由變更部門變更信 息資產(chǎn)清單，并按照本程序5.1.3、5.1.4要求重新分配使用。XXXXXXXXXX有限公司報(bào)廢處理計(jì)算機(jī)設(shè)備采用集中報(bào)廢處理。報(bào)廢前由XX部向行政部提出報(bào)廢，經(jīng)審核后由XX 部實(shí)施報(bào)廢。XX部按照批準(zhǔn)的處置方案進(jìn)行報(bào)廢處理，并變更固定資產(chǎn)清單。筆記本電腦安全管理筆記本電腦應(yīng)由被授權(quán)的使用人保管；對(duì)于需多人共用的筆記本電腦，應(yīng)由部門負(fù)責(zé) 人指定專人保管。筆記本所帶附件應(yīng)由使用者本人或部門負(fù)責(zé)人指定專人保管。筆記本電腦使用時(shí)應(yīng)防止惡意軟件的侵害，在系統(tǒng)中應(yīng)安裝防病毒軟件，并由使用人 對(duì)其定期升級(jí)，對(duì)系統(tǒng)定期查殺，XX部負(fù)責(zé)監(jiān)督。筆記本電腦在移動(dòng)使用中，不能隨意拉接網(wǎng)絡(luò)，

9、需通過填寫用戶授權(quán)申請(qǐng)表向XX 部提前提出需求，經(jīng)XX部審批后方能接入網(wǎng)絡(luò)。計(jì)算機(jī)安全使用的要求計(jì)算機(jī)設(shè)備為公司財(cái)產(chǎn)，應(yīng)愛惜使用，按照正確的操作步驟操作。使用計(jì)算機(jī)時(shí)應(yīng)遵循信息安全策略要求執(zhí)行。員工入職時(shí)，由其所在部門的部門經(jīng)理根據(jù)該員工權(quán)限需要填寫用戶授權(quán)申請(qǐng)表， 向研發(fā)部提出用戶開戶申請(qǐng)；離職時(shí)也需填寫用戶授權(quán)申請(qǐng)表通知研發(fā)部辦理銷戶。新域用戶名為用戶姓名的拼音（有重名時(shí)另設(shè)），初始缺省密碼為XXXXX。用戶在 第一次登錄系統(tǒng)時(shí)應(yīng)變更密碼，密碼需要設(shè)置在6位以上（英文字母、數(shù)字或符號(hào)組合的優(yōu) 質(zhì)密碼）并注意保密。各人使用自己的賬戶登錄，未經(jīng)許可不得以他人用戶名登錄。若用戶遺忘密碼，應(yīng)及 時(shí)

10、向研發(fā)部申請(qǐng)新密碼后登錄。不得使用計(jì)算機(jī)設(shè)備處理正常工作以外的事務(wù)。計(jì)算機(jī)的軟硬件設(shè)置管理由研發(fā)部進(jìn)行，未經(jīng)許可，任何人不得更換計(jì)算機(jī)硬件和軟 件。研發(fā)部負(fù)責(zé)初始軟件的安裝，公司嚴(yán)禁個(gè)人私自安裝和更改任何軟件。計(jì)算機(jī)用戶的 軟件安裝與升級(jí)按照更改控制程序執(zhí)行。拒絕使用來歷不明的軟件和光盤。嚴(yán)禁亂拉接電源，以防造成短路或失火。計(jì)算機(jī)桌面要保持清潔，不得將秘密和（或）受控文件直接放置在桌面；計(jì)算機(jī)桌 面必須設(shè)置屏幕保護(hù)，恢復(fù)時(shí)需用密碼確認(rèn)（執(zhí)行密碼口令管理規(guī)定）。鎖屏?xí)r間可根據(jù)自 己工作習(xí)慣設(shè)置鎖屏?xí)r間，但最高不得高于5分鐘。各部門負(fù)責(zé)人進(jìn)行監(jiān)督。ISMS-2010網(wǎng)絡(luò)安全使用的要求對(duì)于網(wǎng)絡(luò)連接供

11、應(yīng)商，充分考慮其口碑和現(xiàn)有安全防范措施，在簽署保密協(xié)議的基礎(chǔ) 上加以篩選。對(duì)內(nèi)設(shè)置必要的路由器防火墻，采用HTTP、FTP的連接方式，捆綁固定IP地址防 止權(quán)限濫用。6信息處理設(shè)施的日常點(diǎn)檢計(jì)算機(jī)的日常點(diǎn)檢日常點(diǎn)檢的目的是確認(rèn)系統(tǒng)硬件是否運(yùn)行良好，有無硬件及程序上的報(bào)警，備份是否正 常進(jìn)行等。點(diǎn)檢的流程、責(zé)任、項(xiàng)目、點(diǎn)檢周期和記錄表詳由相應(yīng)部門制定。如出現(xiàn)在檢查 期人員外出等不在崗情況，需要在返回工作崗位時(shí)，立即補(bǔ)充完善。網(wǎng)絡(luò)設(shè)備的管理與維護(hù)點(diǎn)檢的流程、責(zé)任、項(xiàng)目、點(diǎn)檢周期和記錄表由XX部負(fù)責(zé)，特別的，在點(diǎn)檢中應(yīng)包括 對(duì)MAIL的點(diǎn)檢。點(diǎn)檢策略所有存在于計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備上的服務(wù)、入侵檢測(cè)系統(tǒng)、

12、防火墻和其他網(wǎng)絡(luò)邊界訪問 控制系統(tǒng)的系統(tǒng)審核、賬號(hào)審核和應(yīng)用審核日志必須打開，如果有警報(bào)和警示功能必須打開。審核日志必須保存一定的期限，任何個(gè)人和部門不得以任何理由刪除保存期之內(nèi)的日 志。審核日志必須由該系統(tǒng)管理員定期檢查，特權(quán)使用、非授權(quán)訪問的試圖、系統(tǒng)故障和 異常等內(nèi)容應(yīng)該得到評(píng)審，以查找違背信息安全的征兆和事實(shí)。入侵檢測(cè)系統(tǒng)必須處于啟動(dòng)狀態(tài)，日志保存一定的期限，定期評(píng)審異?，F(xiàn)象，對(duì)所有 可疑或經(jīng)確認(rèn)的入侵行為和入侵企圖需及時(shí)匯報(bào)并采取相應(yīng)的措施。6.3.5日志的配置最低要求設(shè)備類型日志內(nèi)容保存周期檢查周期服務(wù)系統(tǒng)對(duì)外提供服務(wù)的a)用戶標(biāo)識(shí)符(ID)；b)登錄和注銷事件； 口若可能，終端位

13、置；三6個(gè)月W2周直接用于設(shè)計(jì)、存儲(chǔ)、 檢測(cè)的控制、管理和查 詢系統(tǒng)三12個(gè)月W2周XXXXXXXXXX有限公司第7頁(yè)共9頁(yè)全公司辦公系統(tǒng)d）成功的失敗的登錄試圖。三6個(gè)月W5周部門內(nèi)部服務(wù)器三6個(gè)月W5周其他服務(wù)器三6個(gè)月W5周防火墻和 路由器系統(tǒng)配置更改日志三1個(gè)月W5周訪問日志（方向、流量）三1個(gè)月W5周VPN網(wǎng)關(guān)a）用戶標(biāo)識(shí)符（ID）；b）登錄和注銷事件；c）終端位置；d）成功的失敗的登錄試圖。三1周W1周入侵檢測(cè) 系統(tǒng)異常網(wǎng)絡(luò)連接的時(shí)間、IP、 入侵類型三3個(gè)月W5周遠(yuǎn)程訪問 系統(tǒng)a）用戶標(biāo)識(shí)符（ID）；b）登錄和注銷事件；c）終端位置；d）成功的失敗的登錄試圖。三3個(gè)月W5周XX部網(wǎng)絡(luò)管理員根據(jù)系統(tǒng)的安全要求確認(rèn)其日志內(nèi)容、保存周期、檢查周期，其最 低要求不得低于上表的要求。如果因?yàn)槿罩鞠到y(tǒng)本身原因不能滿足上表的最低要求，需要降 低標(biāo)準(zhǔn)的，必須得到XX部主管或管理者代表的批準(zhǔn)和備案。XX部網(wǎng)絡(luò)管理員配置日志系統(tǒng)，并定期檢查日志內(nèi)容，評(píng)審安全情況。評(píng)審的內(nèi)容 包括：授權(quán)訪問、特權(quán)操作、非授權(quán)的訪問試圖、系統(tǒng)故障與異常等情況，評(píng)審結(jié)束應(yīng)形成 日志檢查記錄。資料的保存設(shè)備的技術(shù)資料由設(shè)備所在的部門交由行政部保存并建立受控文件和資料發(fā)放清 單，以備日后查閱。設(shè)備廠商對(duì)設(shè)備進(jìn)行維修后提供的維修（維護(hù)）記