ISO27001信息安全管理體系文件+表單

IS027001-2013體系文件全套目錄④ISMS-B-01信息安全風(fēng)險営理程序④ISMS-B-02］文イ牛控制程序宜!ISMS-B-03］記錄控制程序國ISMS-B-04］以正措獻制程序@ISMS-B-05］預(yù)防措施控制程序國ISMS-B-06］內(nèi)部畝核告理程序@ISMS-B-07］管理評畝程序由ISMS-B-08］信息縦言理程序宜|ISMS-B-09］商業(yè)秘密肯理程序@ISMS-B-10］信息安全法律法^告理程序④ISMS-B-11］知識產(chǎn)權(quán)管理程序?ISMS-B-12］重要信息備份管理程序團ISMS-B-13］業(yè)務(wù)持旗性曾理程序④ISMS-B-14］信息安全溝通協(xié)濶肯理程序@ISMS-B-15憎息安全事1牛告理程序@ISMS-B-16信息安全獎懲苣理程序@ISMS-B-17員エ聘用言理程序國ISMS-B-18員エ培訓(xùn)0程序宜|ISMS-B-19］員エ葡職管理程序宜!ISMS-B-20］相關(guān)方信息安全肯理程序@ISMS-B-21箋三方囲務(wù)?程序?ISMS-B-22安全區(qū)域肯理程序?ISMS-B-23門禁系統(tǒng)告建程序?ISMS-B-24網(wǎng)將殳備安全配置管理程序?ISMS-B-25計算機管理程序?ISMS-B-26］電子濟件管理程序?ISMS-B-27I惡意軟件管理程序?ISMS-B-28J可移動介質(zhì)営理程序?ISMS-B-29］用戶訪問営理程序?ISMS-B-30］信息處理設(shè)施安裝使用管理程序?ISMS-B-31］信息至統(tǒng)驗收肯理程序?ISMS-B-32］信息處理設(shè)施維護肯理程序?ISMS-B-33］變更管理程序?ISMS-B-34］信息系統(tǒng)訪問與使用監(jiān)控莒理程序?ISMS-B-35J軟件開發(fā)告理程序XXX有限公司信息安全風(fēng)險管理程序編號：ISMS-B-01版本號:VI.0編制:XXX 日期:20XX-08-19審核:XXX 日期:20XX-08-19批準(zhǔn):XXX 日期:20XX-08-19受控狀態(tài) 受控文件作者筆名:何姍1目的為了在考慮控制成本與風(fēng)險平衡的前提下選擇合適的控制目標(biāo)和控制方式,將信息安全風(fēng)險控制在可接受的水平,特制定本程序。2范圍本程序適用信息安全管理體系（ISMS）范圍內(nèi)信息安全風(fēng)險評估活動的管理。3職責(zé)3.1信息安全管理小組負責(zé)牽頭成立風(fēng)險評估小組。3.2風(fēng)險評估小組負責(zé)編制《信息安全風(fēng)險評估計劃》,確認評估結(jié)果，形成《信息安全風(fēng)險評估報告》。3.3各部門負責(zé)本部門使用或管理的資產(chǎn)的識別和風(fēng)險評估，并負責(zé)本部門所涉及的資產(chǎn)的具體安全控制工作。4相關(guān)文件《信息安全管理手冊》《商業(yè)秘密管理程序》5程序5.!風(fēng)險評估前準(zhǔn)備5.1.1成立風(fēng)險評估小組信息安全小組牽頭成立風(fēng)險評估小組，小組成員應(yīng)包含信息安全重要責(zé)任部門的成員。5.1.2制定計劃風(fēng)險評估小組制定《信息安全風(fēng)險評估計劃》,下發(fā)各部門。5.2資產(chǎn)賦值5.2.1部門賦值各部門風(fēng)險評估小組成員識別本部門資產(chǎn),并進行資產(chǎn)賦值。5.2.2賦值計算資產(chǎn)賦值的過程是對資產(chǎn)在保密性、完整性、可用性的達成程度進行分析,并在此基礎(chǔ)上得出綜合結(jié)果的過程。5.2.3保密性(C)賦值根據(jù)資產(chǎn)在保密性上的不同要求,將其分為五個不同的等級,分別對應(yīng)資產(chǎn)在保密性上的應(yīng)達成的不同程度或者保密性缺失時對整個組織的影響。保密性分類賦值方法級別價值分級描述1很低可對社會公開的信息公用的信息處理設(shè)備和系統(tǒng)資源等2低組織/部門內(nèi)公開僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息,向外擴散有可能對組織的利益造成輕微損害3中等組織的一般性秘密其泄露會使組織的安全和利益受到損害4高包含組織的重要秘密其泄露會使組織的安全和利益遭受嚴重損害5很高包含組織最重要的秘密關(guān)系未來發(fā)展的前途命運,對組織根本利益有著決定性的影響,如果泄露會造成災(zāi)難性的損害5.2.4完整性(D賦值根據(jù)資產(chǎn)在完整性上的不同要求，將其分為五個不同的等級，分別對應(yīng)資產(chǎn)在完整性上的達成的不同程度或者完整性缺失時對整個組織的影響。完整性(D賦值的方法級別價值分級描述

1很低完整性價值非常低未經(jīng)授權(quán)的修改或破壞對組織造成的影響可以忽略,對業(yè)務(wù)沖擊可以忽略2低完整性價值較低未經(jīng)授權(quán)的修改或破壞會對組織造成輕微影響,對業(yè)務(wù)沖擊輕微,容易彌補3中等完整性價值中等未經(jīng)授權(quán)的修改或破壞會對組織造成影響,對業(yè)務(wù)沖擊明顯4高完整性價值較高未經(jīng)授權(quán)的修改或破壞會對組織造成重大影響,對業(yè)務(wù)沖擊嚴重,較難彌補5很高完整性價值非常關(guān)鍵未經(jīng)授權(quán)的修改或破壞會對組織造成重大的或無法接受的影響,對業(yè)務(wù)沖擊重大,并可能造成嚴重的業(yè)務(wù)中斷,難以彌補5.2.5可用性(A)賦值根據(jù)資產(chǎn)在可用性上的不同要求,將其分為五個不同的等級,分別對應(yīng)資產(chǎn)在可用性上的達成的不同程度?？捎眯?A)賦值的方法級別價值分級描述1很低可用性價值可以忽略合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間低于25%2低可用性價值較低合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達至り25%以上,或系統(tǒng)允許中斷時間小于60min3中等可用性價值中等合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達到70%以上，或系統(tǒng)允許中斷時間小于30min4高可用性價值較高合法使用者對信息及信息系統(tǒng)的可用度達到每天90%以上,或系統(tǒng)允許中斷時間小于lOmin5很高可用性價值非常高合法使用者對信息及信息系統(tǒng)的可用度達到年度99.9%以上,或系統(tǒng)不允許中斷5.2.7導(dǎo)出資產(chǎn)清單識別出來的信息資產(chǎn)需要詳細登記在《信息資產(chǎn)清單》中。5.3判定重要資產(chǎn)根據(jù)信息資產(chǎn)的機密性、完整性和可用性賦值的結(jié)果相加除以3得出“資產(chǎn)價值”,對于《信息資產(chǎn)清單》中“資產(chǎn)價值”在大于等于4的資產(chǎn),作為重要信息資產(chǎn)記錄到《重要信息資產(chǎn)清單》。5.3.1審核確認風(fēng)險評估小組對各部門資產(chǎn)識別情況進行審核,確保沒有遺漏重要資產(chǎn),導(dǎo)

出《重要信息資產(chǎn)清單》,報總經(jīng)理確認。5.4風(fēng)險識別與分析5.4.1威脅識別與分析應(yīng)根據(jù)資產(chǎn)組內(nèi)的每ー項資產(chǎn),以及每ー項資產(chǎn)所處的環(huán)境條件、以前曾發(fā)威脅種類威脅示例TC01軟硬件故障設(shè)備硬件故障、通訊鏈路中斷、系統(tǒng)本身或軟件BugTC02物理環(huán)境威脅斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、水災(zāi)、地等環(huán)境問題和自然災(zāi)害；TC03無作為或操作失誤由于應(yīng)該執(zhí)行而沒有執(zhí)行相應(yīng)的操作,或無意地執(zhí)行了錯誤的操作，對系統(tǒng)造成影響TC04管理不到位安全管理無法落實,不到位,造成安全管理不規(guī)范，或者管理混亂,從而破壞信息系統(tǒng)正常有序運行TC05惡意代碼和病毒具有自我復(fù)制、自我傳播能力，對信息系統(tǒng)構(gòu)成破壞的程序代碼TC06越權(quán)或濫用通過采用ー些措施,超越自己的權(quán)限訪問了本來無權(quán)訪問的資源；或者濫用自己的職權(quán)，做出破壞信息系統(tǒng)的行為TC07黑客攻擊利用黑客工具和技術(shù)，例如偵察、密碼猜測攻擊、緩沖區(qū)溢出攻擊、安裝后門、嗅探、偽造和欺騙、拒絕服務(wù)攻擊等手段對信息系統(tǒng)進行攻擊和入侵TC08物理攻擊物理接觸、物理破壞、盜竊TC09泄密機密泄漏，機密信息泄漏給他人TC10篡改非法修改信息,破壞信息的完整性TC11抵賴不承認收到的信息和所作的操作和交易生的安全事件等情況來進行威脅識別。ー項資產(chǎn)可能面臨著多個威脅,同樣ー個威脅可能對不同的資產(chǎn)造成影響;5.4.2脆弱性識別與分析脆弱性評估將針對資產(chǎn)組內(nèi)所有資產(chǎn),找出該資產(chǎn)組可能被威脅利用的脆弱性,獲得脆弱性所采用的方法主要為:問卷調(diào)査、訪談、工具掃描、手動檢查、文檔審查、滲透測試等;類型脆弱性分類脆弱性示例物理環(huán)從機房場地、機房防火、機房供配電、機房防靜電、機

技術(shù)脆弱性.境房接地與防雷、電磁防護、通信線路的保護、機房區(qū)域防護、機房設(shè)備管理等方面進行識別。服務(wù)器（含操作系統(tǒng)）從物理保護、用戶帳號、口令策略、資源共享、事件審計、訪問控制、新系統(tǒng)配置（初始化）、注冊表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進行識別。網(wǎng)絡(luò)結(jié)構(gòu)從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計、邊界保護、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進行識別。數(shù)據(jù)庫從補丁安裝、鑒別機制、口令機制、訪問控制、網(wǎng)絡(luò)和服務(wù)設(shè)置、備份恢復(fù)機制、審計機制等方面進行識別。應(yīng)用系統(tǒng)審計機制、審計存儲、訪問控制策略、數(shù)據(jù)完整性、通信、鑒別機制、密碼保護等方面進行識別。管理脆弱性技術(shù)管理物理和環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護、業(yè)務(wù)連續(xù)性。組織管理安全策略、組織安全、資產(chǎn)分類與控制、人員安全、符合性5.4.3現(xiàn)有控制措施識別與分析在識別威脅和脆弱性的同時,評估人員應(yīng)對已采取的安全措施進行識別,對現(xiàn)有控制措施的有效性進行確認。在對威脅和脆弱性賦值時,需要考慮現(xiàn)有控制措施的有效性。5.5風(fēng)險評價本公司信息資產(chǎn)風(fēng)險值通過風(fēng)險各要素賦值相乘法來確定:風(fēng)險值計算公式:R=i*p其中,R表示安全風(fēng)險值;i表示風(fēng)險影響;p表示風(fēng)險發(fā)生可能性。風(fēng)險影響的賦值標(biāo)準(zhǔn):

風(fēng)險影響賦值等級風(fēng)險影響的不同維度相關(guān)方業(yè)務(wù)連續(xù)性5很高全部或大部分客戶、監(jiān)控機構(gòu)、其至社會公眾公司大部分或全部核心業(yè)務(wù)受到嚴重影響4高整個公司,或部分客戶公司大部分核心業(yè)務(wù)或日常活動受影響3中多個部門,或個別客戶公司個別業(yè)務(wù)受影響,或日常辦公活動中斷2低本部門或部門內(nèi)部人員公司業(yè)務(wù)不受影響,只是少部分日常辦公活動活動受影響1很低個人基本不影響本部門業(yè)務(wù)和日常辦公活動風(fēng)險發(fā)生可能性的賦值標(biāo)準(zhǔn):風(fēng)險發(fā)生可能性賦值等級風(fēng)險發(fā)生可能性時間頻率發(fā)生機率5很高出現(xiàn)的頻率很高（或＞1次/日）;或在大多數(shù)情況下幾乎不可避免;或可以證實經(jīng)常發(fā)生過。不可避免（＞99%）4ゝ咼出現(xiàn)的頻率較高（或）1次/周）;或在大多數(shù)情況下很有可能會發(fā)生;或可以證實多次發(fā)生過。非常有可能（90%?99%）3中出現(xiàn)的頻率中等（或）1次/月）；或在某種情況下可能會發(fā)生;或被證實曾經(jīng)發(fā)生過。可能(10%?90%)2低出現(xiàn)的頻率較?。ɑ颍?次/年）;或一般不大可能發(fā)生;或在某種情況下可能會發(fā)生?？赡苄院苄。??10%）1很低威脅幾乎不可能發(fā)生,僅可能在非常ギ見和例外的情況下發(fā)生，或沒有被證實發(fā)生過。不可能（＜1%）注:風(fēng)險的影響或發(fā)生可能性根據(jù)賦值標(biāo)準(zhǔn),可能同時適用于二個維度,這種情況下,賦值取這ニ個維度賦值的最大值。5.5.2確定風(fēng)險可接受標(biāo)準(zhǔn)風(fēng)險等級采用分值計算表示。分值越大,風(fēng)險越高。信息安全小組決定以下風(fēng)險等級標(biāo)準(zhǔn):賦值級別描述[15-25]高如果發(fā)生將使資產(chǎn)遭受嚴重破壞，組織利益受到嚴重損失[6-12]中發(fā)生后將使資產(chǎn)受到較重的破壞，組織利益受到損失[0-5]低發(fā)生后將使資產(chǎn)受到的破壞程度和利益損失比較輕微5.5.3風(fēng)險接受準(zhǔn)則對于信息資產(chǎn)評估的結(jié)果,本公司原則上以風(fēng)險值小于12分（包括12分）的風(fēng)險為可接受風(fēng)險，大于12分為不可接受風(fēng)險，要采取控制措施進行控制。對于不可接受的風(fēng)險，由于經(jīng)濟或技術(shù)原因,經(jīng)管理者代表批準(zhǔn)后,可以暫時接受風(fēng)險,待經(jīng)濟或技術(shù)具有可行性時再采取適當(dāng)?shù)拇胧┙档惋L(fēng)險。5.5.4風(fēng)險控制措施的選擇和實施對于不可接受的風(fēng)險，有四種風(fēng)險處置方式可以選擇:降低風(fēng)險、轉(zhuǎn)移風(fēng)險、消除風(fēng)險、接受風(fēng)險。最常見的風(fēng)險處置方式是降低風(fēng)險,降低風(fēng)險可以選擇ISO27001：2013標(biāo)準(zhǔn)提供的14個域114項中的ー項或幾項控制措施。5.5.5控制措施有效性測量在風(fēng)險控制措施全部或部分實施完成后,信息安全小組可以對風(fēng)險控制措施的有效性進行測量;測量的范圍可以測量全部的控制措施,也可以測量部分的控制措施,出于時間和經(jīng)濟成本的考慮,建議選取主要的控制措施進行測量,測試方法由信息安全小組視情況決定。5.6剩余風(fēng)險評估5.6.1再評估對采取安全措施處理后的風(fēng)險,信息安全小組應(yīng)進行再評估,以判斷實施安全措施后的殘余風(fēng)險是否已經(jīng)降低到可接受的水平。5.6.2再處理某些風(fēng)險可能在選擇了適當(dāng)?shù)陌踩胧┖笕蕴幱诓豢山邮艿娘L(fēng)險范圍內(nèi),應(yīng)考慮是否接受此風(fēng)險或進ー步增加相應(yīng)的安全措施。6.3審核批準(zhǔn)剩余風(fēng)險評估完成后,導(dǎo)出《信息安全殘余風(fēng)險評估報告》，報任繼中審核、最高管理者批準(zhǔn)。5.7信息安全風(fēng)險的連續(xù)評估5.7.1定期評估信息安全小組每年應(yīng)組織對信息安全風(fēng)險重新評估一次，以適應(yīng)信息資產(chǎn)的變化,確定是否存在新的威脅或脆弱性及是否需要增加新的控制措施。5.7.2非定期評估當(dāng)企業(yè)發(fā)生以下情況時需及時進行風(fēng)險評估:a）當(dāng)發(fā)生重大信息安全事故時;b）當(dāng)信息網(wǎng)絡(luò)系統(tǒng)發(fā)生重大更改時;c）信息安全小組確定有必要時。5.7.3更新資產(chǎn)各部門對新增加、轉(zhuǎn)移的或授權(quán)銷毀的資產(chǎn)應(yīng)及時更新資產(chǎn)清單。5.7.4調(diào)整控制措施信息安全小組應(yīng)分析信息資產(chǎn)的風(fēng)險變化情況,以便根據(jù)企業(yè)的資金和技術(shù),確定、增加或調(diào)整適當(dāng)?shù)男畔踩刂拼胧?/p>

6記錄《信息安全風(fēng)險評估計劃》《信息資產(chǎn)清單》《重要信息資產(chǎn)清單》《信息安全風(fēng)險評估表（含風(fēng)險處置計劃）》《信息安全殘余風(fēng)險評估報告》《信息安全風(fēng)險評估報告》XXX有限公司文件控制程序編號：ISMS-B-02版本號:VI.0編制:XXX日期:20XX-08-19審編制:XXX日期:20XX-08-19審核：XXX日期：20XX-08-19批準(zhǔn):XXX日期:20XX-08-19受控狀態(tài) I受控文件I目的為了對信息安全管理文件的編制、審核、批準(zhǔn)、標(biāo)識、發(fā)放、管理、使用、評審、更改、修訂、作廢等過程的實施有效控制,特制定本程序。2范圍本程序適用于與信息安全管理體系有關(guān)文件的管理與控制。3職責(zé)3.1總經(jīng)理負責(zé)批準(zhǔn)信息安全管理文件的制訂、修訂計劃,負責(zé)批準(zhǔn)《信息安全管理手冊》（含信息安全方針）和《信息安全適用性聲明》。3.2管理者代表負責(zé)審定信息安全管理文件,負責(zé)批準(zhǔn)信息安全程序文件和作業(yè)文件。3.3綜合管理部d）負責(zé)信息安全管理文件的歸ロ管理。e）負責(zé)組織信息安全管理文件的制訂、修訂和評審等管理工作。f）負責(zé)信息安全管理文件的標(biāo)識、作廢、回收等日常工作。4相關(guān)文件《信息安全管理手冊》《信息安全適用性聲明》《商業(yè)秘密管理程序》《信息安全法律法規(guī)管理程序》5程序管理內(nèi)容與要求文件分類信息安全管理文件:a）《信息安全管理手冊》（含信息安全方針、方針文件、目標(biāo)文件、信息安全適用性聲明）；b）信息安全管理程序文件;c）信息安全管理作業(yè)文件;d）信息安全管理記錄表格。其他文件:a）各種媒介加載的各種格式的非紙質(zhì)性文件;b）信息安全法律法規(guī)及設(shè)備說明書、國家標(biāo)準(zhǔn)等來自公司外部的文件。文件編制和修訂2.I要求信息安全管理文件編制和修訂前,編制人員充分了解相關(guān)方的要求和信息,廣泛收集有關(guān)的文件和資料。作為文件編寫的依據(jù),應(yīng)重點考慮以下幾個方面：a）相關(guān)的法律法規(guī)要求,國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、地方標(biāo)準(zhǔn)的要求,尤其是強制性標(biāo)準(zhǔn)的要求,上級主管部門頒發(fā)的標(biāo)準(zhǔn)、規(guī)章、規(guī)定等。b）對客戶和其他相關(guān)方的合同和承諾,客戶與其他相關(guān)方的需求和期望方面的信息。c）國內(nèi)外同行先進水平和發(fā)展方向的信息。d）本組織現(xiàn)有的有關(guān)文件,領(lǐng)導(dǎo)的意圖和要求。e）內(nèi)容應(yīng)與組織的實際情況相適應(yīng),并保證文件在現(xiàn)有的資源條件下，能得到有效實施。2.2文件編制部門a）信息安全管理文件由信息安全小組組織，相關(guān)職能部門參與進行編制。b）技術(shù)標(biāo)準(zhǔn)由產(chǎn)品研發(fā)部負責(zé),各相關(guān)部門參與。c）策劃的管理方案和管理活動的檢查考核記錄及其他管理、技術(shù)文件由相關(guān)職能部門、單位編制。5.3文件審批5.3.1審批信息安全管理文件發(fā)布前須經(jīng)審批。3.2權(quán)限信息安全管理文件的審批權(quán)限如下:a）《信息安全管理手冊》（含信息安全方針、方針文件、目標(biāo)文件、信息安全適用性聲明）由總經(jīng)理批準(zhǔn)發(fā)布。b）信息安全程序文件和作業(yè)文件由職能部門組織審核,管理者代表審核,總經(jīng)理批準(zhǔn)發(fā)布。c）策劃的管理方案由職能部門組織審核,管理者代表審核,總經(jīng)理批準(zhǔn)發(fā)布。d）其他管理、技術(shù)作業(yè)和相關(guān)支持性文件由歸ロ管理部門負責(zé)審核，部門負責(zé)人審核批準(zhǔn)。5.4文件標(biāo)識為確保在使用處獲得適用文件的有效版本，文件均要有明確的標(biāo)識，包括文件編號、版本號、分發(fā)號、發(fā)布和實施日期、密級等。信息安全管理文件編號規(guī)則如下:SANDST0NE-ISMS-A-01《信息安全管理手冊》SANDST0NE-ISMS-A-02《信息安全適用性聲明》SANDSTONE-ISMS-B-XX程序文件SANDSTONE-ISMS-C-XX作業(yè)文件ISMS-D-XX-XX記錄表單涉密文件應(yīng)按《商業(yè)秘密管理程序》的規(guī)定分類并標(biāo)識。5文件發(fā)放文件審批后,綜合管理部登記并制定《信息安全文件ー覽表》和《文件發(fā)放/回收ー覽表》,按《文件發(fā)放/回收ー覽表》規(guī)定的范圍進行發(fā)放。文件發(fā)放時,綜合管理部應(yīng)在文件第一頁注明發(fā)放部門和發(fā)布日期。并標(biāo)上“受控”標(biāo)識。所發(fā)放使用的信息安全管理體系文件均為受控文件,各文件使用部門嚴格保管，不得外借和復(fù)制,并保持文件清晰、易于識別。文件的更改及版本管理當(dāng)文件的當(dāng)前內(nèi)容和實施動作不一致時,綜合管理部提出更改文件要求，由文件對口部門和綜合管理部人員說明原因,填寫《文件修改通知單》，經(jīng)原審批部門批準(zhǔn)后,由文件歸口管理部門進行修改。版本號規(guī)定:初次發(fā)布的文件,版本號以L0作為標(biāo)識,當(dāng)文件發(fā)生修改時,版本號以下列方式進行編制:a）修改內(nèi)容不超過20%時,版本號以0.1位依次遞進,例:1.1；1.2……1.9；10；1.11以此類推;b）修改內(nèi)容超過20%時,版本號以1.0位依次遞進,例:1.0,2.0。文件按文件修改通知單上的內(nèi)容進行修改,并更新變更履歷,變更后由綜合管理部進行審核，總經(jīng)理批準(zhǔn),確保所有文件更改到位。對已經(jīng)過期,不適用本組織業(yè)務(wù)程序的文檔,要進行“報廢”處理;針對電子檔文件需在首頁打上“報廢”水印,在變更履歷中注明“報廢”原因;針對紙質(zhì)文件,蓋上“作廢”章,并及時銷毀處理。文件的評審當(dāng)出現(xiàn)以下情況,綜合管理部應(yīng)組織對文件進行評審、必要時予以更新并再次批準(zhǔn):a）信息安全管理體系結(jié)構(gòu)發(fā)生重大變化時;b）信息安全管理體系標(biāo)準(zhǔn)發(fā)生重大變化時;c）組織結(jié)構(gòu)發(fā)生重大變化時;d）信息安全活動、流程發(fā)生重大變化時。外來文件的控制組織的外來文件包括與運行維護有關(guān)的國家、地方、行業(yè)的法律、法規(guī)、部門規(guī)章、標(biāo)準(zhǔn),體現(xiàn)客戶有關(guān)要求的文件等。組織的外來文件由綜合管理部負責(zé)登記在《外來文件清單》上,《外來文件清單》應(yīng)注明分布部門,以供使用者查閱。對外來法律法規(guī)文件，按《信息安全法律法規(guī)管理程序》控制。綜合管理部須對受控中的外來文件進行編號管理，以便于查看。文件的銷毀若受控文件已不在適合本組織時,可對文件進行“回收”處理,判定文件是否可被銷毀,可以在信息安全內(nèi)部審核或管理評審時提出,由綜合管理部成員表決,總經(jīng)理批準(zhǔn)。如果文件被批準(zhǔn)銷毀，綜合管理部需重新修改《信息安全文件ー覽表》、并將最新信息登記到《文件發(fā)放/回收ー覽表》。電子文件可以仍然保存在服務(wù)器中,但名稱中要加入“作廢”標(biāo)記;同時,文件的“受控”標(biāo)識也要改為“作廢"標(biāo)識。6記錄

《文件發(fā)放/回收ー覽表》《文件修改通知單》《外來文件清單》XXX有限公司記錄控制程序編號：ISMS-B-03版本號:VI.0編制:XXX日期：20XX-08-19編制:XXX日期：20XX-08-19審核:XXX日期：20XX-08-19批準(zhǔn):XXX日期:20XX-08-19受控狀態(tài) 受控文件1目的為確保對信息安全記錄的標(biāo)識、貯存、保護、檢索、保存期限和處置實施有效管理,特制定本程序。2范圍本程序適用于本組織證實信息安全管理體系符合要求和有效運行的記錄管理。3職責(zé)綜合管理部負責(zé)信息安全記錄的管理。4相關(guān)文件《信息安全管理手冊》《商業(yè)秘密管理程序》《重要信息備份管理程序》《信息安全記錄分類與保存期限清單》記錄的標(biāo)識.1標(biāo)識信息安全記錄應(yīng)有追溯標(biāo)識（如流水號）,追溯標(biāo)識由各職能部門確定。文件編號按照《は八面51'0亞ー15乂54ー02］文件控制程序》“5.4文件標(biāo)識“中定義的規(guī)則進行。.2密級記錄的密級分類按《商業(yè)秘密管理程序》規(guī)定進行,涉密信息應(yīng)將密級標(biāo)識在記錄上。5.2記錄的保管5.2.1保管形式紙質(zhì)記錄由各保管部門按規(guī)定存放于文件夾/文件柜中,電子記錄由各保管部門以電子檔的形式保存在服務(wù)器上。5.2.2備份要求以電子媒體保管的場合,為預(yù)防意外,需做適當(dāng)?shù)膫浞荨浞莸陌踩髨?zhí)行《重要信息備份管理程序》。5.3.1權(quán)限因工作需要,借閱其他部門的秘密記錄,應(yīng)獲得記錄保管部門經(jīng)理授權(quán)后方可借閱,并填寫《記錄借閱登記表》,留下授權(quán)記錄。3.2控制借閱者在借閱期內(nèi)不得改動記錄,借閱完畢后,保管部門經(jīng)理刪除其訪問閱讀權(quán)限。5.4記錄的錯毀5.4.1廢棄超過保管期限的記錄,應(yīng)填寫《記錄銷毀記錄表》，經(jīng)綜合管理部批準(zhǔn)后,由保管部門作為秘密文件處理廢棄。6記錄《信息安全記錄ー覽表》《記錄借閱登記表》《記錄銷毀記錄表》XXX有限公司糾正措施控制程序編號:-ISMS-B-04版本號:VI.0編制:XXX日期:20XX-08-19審核：XXX 日期：20XX-08-19批準(zhǔn):XXX 日期:20XX-08-19受控狀態(tài) 受控文件I目的為消除與信息安全管理體系要求不符合的原因,防止其再次發(fā)生,持續(xù)改進和信息安全管理體系的有效性,特制定本程序。2范圍本程序適用于消除信息安全管理體系不符合原因所采取的糾正措施的管理。3職責(zé)3.1綜合管理部負責(zé)歸ロ管理糾正措施實施,組織相關(guān)部門制定糾正措施,并負責(zé)跟蹤驗證。3.2信息安全管理小組負責(zé)信息系統(tǒng)方面糾正措施的制定與實施。4相關(guān)文件《信息安全管理手冊》《文件控制程序》5程序不符合信息來源g）組織內(nèi)、外部審核中發(fā)現(xiàn)的問題;h）日常信息安全管理檢查、監(jiān)控及技術(shù)檢查中指出的不符合項;i）突發(fā)的信息安全事件;j）相關(guān)方的建議或抱怨;k）風(fēng)險評估報告。5.2不符合項分析各部門對本部門產(chǎn)生的不符合,應(yīng)分析產(chǎn)生的原因,評價糾正措施的需求。5.3糾正措施采取糾正措施應(yīng)與問題的影響程度相適應(yīng),對于以下情況的不符合應(yīng)采取糾正措施:a）可能造成信息安全事故;b）可能影響顧客滿意程度、造成顧客抱怨與投訴;c）可能影響本公司的企業(yè)形象與經(jīng)濟利益;d）可能造成生產(chǎn)經(jīng)營業(yè)務(wù)中斷。5.4重大事件范疇對于信息系統(tǒng)的重大事件，技術(shù)部應(yīng)進行原因分析，采取糾正措施,以下事件屬于重大事件范疇:a）網(wǎng)絡(luò)遭受大規(guī)模病毒攻擊;b）組織信息資產(chǎn)被盜用;c）公司應(yīng)用管理系統(tǒng)數(shù)據(jù)中斷。5.5糾正措施批準(zhǔn)需制定糾正措施時，應(yīng)將不符合原因填入《糾正與預(yù)防措施報告》,制定糾正措施對策,經(jīng)綜合管理部批準(zhǔn)后予以實施。6糾正措施結(jié)果記錄實施糾正措施的部門應(yīng)按照《糾正與預(yù)防措施報告》要求認真執(zhí)行,并將執(zhí)行結(jié)果記入相應(yīng)《糾正與預(yù)防措施報告》中。驗證綜合管理部對糾正措施實施結(jié)果進行驗證,并將驗證結(jié)果記錄在《糾正與預(yù)防措施報告》上。相關(guān)文件更改糾正措施需要涉及文件更改的,應(yīng)對文件進行評審,按《文件控制程序》更改文件。9保管責(zé)任綜合管理部應(yīng)做好糾正措施相關(guān)記錄的保存。5.10管理評審輸入管理評審前,將各部門所采取的糾正措施的有關(guān)情況匯總,提交管理評審。6記錄《糾正與預(yù)防措施報告》XXX有限公司預(yù)防措施控制程序編號：ISMS-B-05版本號:VI.0編制:XXX日期:20XX-08-19審核：XXX 日期：20XX-08-19批準(zhǔn):XXX 日期:20XX-08-19受控狀態(tài)受控文件I目的為消除潛在的與信息安全管理體系要求不符合的原因,防止其發(fā)生,持續(xù)改進和信息安全管理體系的有效性,特制定本程序。2范圍本程序適用于消除信息安全管理體系潛在不符合原因所采取的預(yù)防措施的管理。3職責(zé)綜合管理部負責(zé)組織相關(guān)部門進行信息安全數(shù)據(jù)的收集及分析,確定潛在不符合原因,評價預(yù)防措施的需求,組織相關(guān)部門制定預(yù)防措施,并負責(zé)跟蹤驗證。2信息安全管理小組負責(zé)收集和分析信息系統(tǒng)方面的事件和異常情況,確定潛在不符合原因，采取預(yù)防措施。4相關(guān)文件《信息安全管理手冊》《文件控制程序》5程序預(yù)防措施信息來源a）組織內(nèi)外安全事件記錄、事故報告、薄弱點報告;b）日常管理檢查及技術(shù)檢查中指出的不符合;c）信息安全監(jiān)控記錄;d）內(nèi)、外部審核報告及管理評審報告中的不符合項;e）相關(guān)方的建議或抱怨;f）風(fēng)險評估報告;g）其他有價值的信息等。執(zhí)行時機綜合管理部每半年組織相關(guān)部門利用5.1條款所規(guī)定的信息來源,分析確定潛在不符合及其原因,評價防止不符合發(fā)生的措施的需求,并形成《糾正與預(yù)防措施報告》。5.3預(yù)防措施要求采取預(yù)防措施應(yīng)與潛在問題的影響程度相適應(yīng)，對于以下情況的潛在不符合應(yīng)采取預(yù)防措施:a）可能造成信息安全事故;b）可能影響顧客滿意程度、造成顧客抱怨與投訴;c）可能影響本組織的組織形象與經(jīng)濟利益;d）可能造成業(yè)務(wù)中斷。原因分析對于信息系統(tǒng)發(fā)現(xiàn)報告的重大安全隱患（安全薄弱點）,綜合管理部應(yīng)組織有關(guān)部門進行原因分析,采取預(yù)防措施。批準(zhǔn)需制定預(yù)防措施時,應(yīng)將有關(guān)潛在的不符合信息及原因填入《糾正與預(yù)防措施報告》,組織有關(guān)部門制定預(yù)防措施對策,確定實施預(yù)防措施的部門,并將相關(guān)信息填入《糾正與預(yù)防措施報告》,經(jīng)綜合管理部批準(zhǔn)后予以實施。重大事項處理當(dāng)問題原因不確定或責(zé)任重大時,由采取預(yù)防措施的部門呈報公司總經(jīng)理。必要時，應(yīng)提交公司綜合管理部進行專題研究,商討對策。實施預(yù)防措施的部門應(yīng)按照《糾正與預(yù)防措施報告》要求認真執(zhí)行,并將執(zhí)行結(jié)果記入相應(yīng)《糾正與預(yù)防措施報告》中。5.8驗證綜合管理部對預(yù)防措施實施結(jié)果進行驗證,并將驗證結(jié)果記錄在《糾正與預(yù)防措施報告》上。驗證內(nèi)容包括:1）預(yù)防措施是否按預(yù)防措施計劃的要求實施;m）是否消除了潛在不符合的原因。9返工處理經(jīng)驗證效果不理想,負責(zé)制定預(yù)防措施的部門應(yīng)重新編制《糾正與預(yù)防措施報告》實施。文件更改預(yù)防措施需要涉及文件更改的，應(yīng)對文件進行評審,按《文件控制程序》更改文件。記錄的保存綜合管理部應(yīng)做好預(yù)防措施相關(guān)記錄的保存。管理評審輸入管理評審前,將各部門所采取的預(yù)防措施的有關(guān)情況匯總，提交管理評審。6記錄《糾正與預(yù)防措施報告》XXX有限公司內(nèi)部審核管理程序編號:ISMS-B-06版本號:VI.0編制:XXX 日期:20XX-08-19審核：XXX 日期：20XX-08-19批準(zhǔn):XXX 日期:20XX-08-19受控狀態(tài) 受控文件I目的為明確信息安全管理體系內(nèi)審的實施方法,保證內(nèi)審定期有效地實施,為管理評審和持續(xù)改進提供依據(jù),確保信息安全管理體系的有效運行,特制定本程序。2范圍本程序適用于本公司信息安全管理體系內(nèi)部審核（簡稱:內(nèi)審）工作的實施和管理。3職責(zé)綜合管理部負責(zé)制定年度審核計劃與每次的審核計劃,制定內(nèi)審檢查表以供各部門檢查各項活動是否在信息安全保障內(nèi);信息安全管理小組任命內(nèi)部審核小組可以進行內(nèi)審;負責(zé)管理和監(jiān)督內(nèi)審的進行與內(nèi)審結(jié)果的確認。3.3其他各部門配合內(nèi)部審核小組進行內(nèi)審,對內(nèi)審中發(fā)現(xiàn)的問題進行整改。4相關(guān)文件《信息安全管理手冊》年度內(nèi)審計劃計劃制定綜合管理部制定《年度審核計劃》,確認當(dāng)年年度的審核的目的范圍,受審部門及受審的時間安排。交由綜合管理部審批。5.2內(nèi)審5.2.1內(nèi)審時機內(nèi)部審核原則上每年進行ー次,由綜合管理部制定《內(nèi)部審核計劃》,經(jīng)總經(jīng)理批準(zhǔn)后實施;若在非內(nèi)審期內(nèi)發(fā)現(xiàn)特殊情況,如有重要信息安全事件發(fā)生,或公司重要業(yè)務(wù)發(fā)生變化，可由綜合管理部申請增加內(nèi)審的次數(shù)，由總經(jīng)理決定是否進行內(nèi)審。5.2.2任命每次審核前,由管理者代表任命審核組長,對參加信息安全審核的人員及部門進行任命。信息安全管理小組應(yīng)制定《內(nèi)部審核計劃》及《內(nèi)審檢查表》,經(jīng)總經(jīng)理批準(zhǔn),并由信息安全管理小組通知被審核部門,被審核部門到時應(yīng)選派有關(guān)人員配合審核。5.2.3內(nèi)部審核員5.2.3.1資格要求內(nèi)部審核員必須是熟悉本組織業(yè)務(wù)和信息系統(tǒng)情況,參加信息安全管理體系內(nèi)部審核員培訓(xùn)并考核合格的本組織人員。5.2.3.2獨立性要求內(nèi)部審核員應(yīng)來自于不同的職能部門,審核人員應(yīng)與被審活動無直接責(zé)任,以保持工作的獨立性。5.3內(nèi)部審核的實施3.1審核實施內(nèi)部審核員應(yīng)按《內(nèi)部審核計劃》規(guī)定實施審核，各有關(guān)部門應(yīng)積極配合。3.2不符合項開具對審核中發(fā)現(xiàn)的不符合項,由內(nèi)部審核員開出《不符合項報告》4糾正措施與跟蹤審核4.1糾正所有不符合項應(yīng)由不符合項的責(zé)任部門負責(zé)按以下要求制定糾正措施并認真實施:n）檢查本部門其他方面和其他各部門是否存在類似情況;〇）對所有存在的不符合的問題按有關(guān)規(guī)定改正過來;p）調(diào)查產(chǎn)生該不符合項的原因,填入《不符合項報告》的‘‘產(chǎn)生不符合項的原因”欄內(nèi),調(diào)查人要簽字,并寫明日期;q）列明消除不符合項產(chǎn)生原因的措施計劃,并說明具體步驟及完成日期,填入《不符合項報告》的“糾正措施”欄內(nèi),經(jīng)部門領(lǐng)導(dǎo)批準(zhǔn),并寫明日期;r）按制定的糾正措施認真實施，并將實施結(jié)果記入《不符合項報告》的“實施結(jié)果’‘欄內(nèi),記錄人要簽字,并寫明日期。5.4.2跟蹤內(nèi)部審核員在規(guī)定期限進行跟蹤審核，對糾正措施的實施及有效性進行驗證,并將驗證結(jié)果記入《不符合項報告》。5.5審核報告5.5.1審核報告內(nèi)部審核結(jié)束后,審核組長應(yīng)起草《內(nèi)部審核報告》，報總經(jīng)理審閱,總經(jīng)理簽署意見后發(fā)至各部門。5.5.2管理評審輸入內(nèi)部審核的結(jié)果應(yīng)作為管理評審輸入的一部分。5.5.3記錄保管綜合管理部應(yīng)妥善保存評審記錄。6記錄《年度內(nèi)審計劃》《內(nèi)部審核計劃》《內(nèi)審檢查表》《會議簽到表》《不符合項報告》《內(nèi)部審核報告》XXX有限公司管理評審程序編號：ISMS-B-07版本號:VI.0編制:XXX 日期:20XX-08-19審核：XXX 日期：20XX-08-19批準(zhǔn):XXX 日期:20XX-08-19受控狀態(tài) |受控文イ句1目的為確保組織信息安全管理體系持續(xù)的適宜性、充分性和有效性,評估組織信息安全管理體系改進和變更的需要,特制定本程序。2范圍本程序適用于對信息安全管理體系中要求進行的管理評審的實施程序的管理。3職責(zé)總經(jīng)理主持信息安全管理體系管理評審。綜合管理部負責(zé)信息安全管理體系管理評審的歸口管理。4相關(guān)文件《信息安全管理手冊》《文件控制程序》《記錄控制程序》5程序管理評審策劃管理評審的頻次定期管理評審由總經(jīng)理主持,通常每年進行ー次,一般在內(nèi)部審核后進行。.2非定期當(dāng)遇到下列情況時,可不受5.1.1.1的限制,由綜合管理部制定計劃,信息安全管理小組審核,報總經(jīng)理批準(zhǔn)后實施:s）當(dāng)出現(xiàn)重大信息安全事件時;t）當(dāng)信息安全管理體系發(fā)生較大變化時;u）當(dāng)客戶要求或外部環(huán)境條件發(fā)生重大變化時;v）內(nèi)部審核、客戶審核或ISO/IEC27001外部審核時,發(fā)現(xiàn)了對全組織有影響,屬信息安全管理體系上的重大不符合事項時。管理評審的方式管理評審以專題會議的方式進行,由總經(jīng)理主持管理評審,評審會議由總經(jīng)理、相關(guān)部門負責(zé)人參加,必要時可吸收對應(yīng)專業(yè)管理人員參加。管理評審的準(zhǔn)備5.1.3.1計劃編制綜合管理部根據(jù)管理評審要求組織編制《管理評審計劃》，報信息安全管理小組審核，總經(jīng)理批準(zhǔn)后，提前一周下發(fā)至各相關(guān)部門。相關(guān)準(zhǔn)備相關(guān)部門按《管理評審計劃》要求，對照信息安全管理體系運行情況進行自評,按各自職責(zé)做好相關(guān)信息、資料的準(zhǔn)備工作,并將有關(guān)信息、資料于管理評審會議召開前3天提供給綜合管理部。5.1.3.3資料匯總綜合管理部將各相關(guān)部門提供的材料匯總、分析后編寫《信息安全管理體系運行情況報告》于管理評審前1天交信息安全小組審核。5.1.3.4議程管理評審會議召開前1天，綜合管理部應(yīng)安排好會議的議程,通過總經(jīng)理批準(zhǔn)后填寫《管理評審?fù)ㄖ獑巍?，并發(fā)放至評審計劃要求參加的各相關(guān)部門（人員）。各相關(guān)部門接到《管理評審計劃》后應(yīng)向綜合管理部提供如下材料和信息:a）以往管理評審的措施的狀態(tài);b）與信息安全管理體系相關(guān)的外部和內(nèi)部問題的變更;c）信息安全績效的反饋,包括下列方面的趨勢:1）不符合和糾正措施;2）監(jiān)視和測量結(jié)果;3）審核結(jié)果;4）信息安全目標(biāo)的實現(xiàn);d）相關(guān)方的反饋;e）風(fēng)險評估的結(jié)果和風(fēng)險處置計劃的狀態(tài);f）持續(xù)改進的機會。5.3管理評審會議5.3.I會議簽到綜合管理部組織召開管理評審會議,與會人員在《管理評審會議簽到表》上簽到。5.3.2報告總經(jīng)理主持召開管理評審會議,綜合管理部提交《信息安全管理體系運行情況報告》,作信息安全管理體系運行情況的專題報告。5.3.3討論全體與會人員根據(jù)綜合管理部的專題報告,討論并評審信息安全管理體系的適宜性、充分性和有效性。3.4總結(jié)總經(jīng)理對管理評審作結(jié)論性評價,提出要求和決策。5.4管理評審輸出4.1報告內(nèi)容《管理評審報告》包括以下內(nèi)容:a）管理評審的目的、時間、參加人員及評審內(nèi)容;b）信息安全管理體系的適用性、充分性、有效性的綜合評價和需要改進的地方;c）方針、目標(biāo)、指標(biāo)適宜性的評價及需要的更改;d）風(fēng)險評估和風(fēng)險處理計劃的更新要求;e）修訂程序和控制措施的需求;f）管理評審確定的改進決定和措施、責(zé)任部門和完成日期。5.4.2批準(zhǔn)《管理評審報告》經(jīng)綜合管理部審核后交總經(jīng)理批準(zhǔn)。5.4.3發(fā)放及歸檔綜合管理部將經(jīng)過總經(jīng)理批準(zhǔn)的《管理評審報告》以文件形式下發(fā)各部門并存檔。5.5改進和驗證5.5.1改進根據(jù)《管理評審報告》提出的要求,綜合管理部組織各相關(guān)部門制定改進措施計劃,并對實施情況進行協(xié)調(diào)、監(jiān)督、檢查。5.5.2文件控制《管理評審報告》要求進行文件修改的,由綜合管理部按《文件控制程序》執(zhí)行。5.5.3驗證綜合管理部組織相關(guān)職能部門對確定的糾正與預(yù)防改進措施的實施情況進行跟蹤檢查,并做好記錄。5.5.4記錄歸檔管理評審資料、文件和記錄按《記錄控制程序》的要求歸檔和保管。6記錄《管理評審計劃》《信息安全管理體系運行情況報告》《管理評審?fù)ㄖ獑巍贰豆芾碓u審會議簽到表》《管理評審報告》XXX有限公司信息分類管理程序編號：ISMS-B-08版本號:VI.0編制:XXX 日期:20XX-08-19審核：XXX 日期：20XX-08-19批準(zhǔn):XXX 日期:20XX-08-19受控狀態(tài) 受控文件I目的為對組織的各類信息進行分類管理,防止因不恰當(dāng)使用或泄漏,特制定本程序。2范圍本程序適用于組織業(yè)務(wù)活動中產(chǎn)生的各類信息的分類管理。3職責(zé)3.1綜合管理部負責(zé)組織各類信息的分類管理。4相關(guān)文件《信息安全管理手冊》5程序信息資產(chǎn)的分類信息資產(chǎn)信息資產(chǎn)是組織信息安全所保護的有價值的任何事物,以多種形式存在,組織對信息資產(chǎn)進行科學(xué)識別,以便于進行信息資產(chǎn)的管理。信息資產(chǎn)范圍組織的信息資產(chǎn)包括:物理資產(chǎn)、人員資產(chǎn)、軟件資產(chǎn)、數(shù)據(jù)資產(chǎn)、文檔資產(chǎn)和服務(wù)資產(chǎn)。5.2.1定義文檔資產(chǎn)是指涉及組織秘密或機密的紙質(zhì)的各種文件、記錄、檢驗和實驗數(shù)據(jù)、配方、方案、計劃、報告、會議紀要等。5.2.2識別對涉密文檔應(yīng)進行識別,填入《信息資產(chǎn)清單》。5.3物理資產(chǎn)5.3.1設(shè)備范圍計算機硬件設(shè)備包括個人計算機、計算機附件（如打印機、掃描儀、傳真機、電話機）和網(wǎng)絡(luò)設(shè)備（如防火墻、服務(wù)器、交換機等）。3.2識別對所有個人計算機應(yīng)進行識別,填入《信息資產(chǎn)清單》。計算機系統(tǒng)和軟件對計算機系統(tǒng)和軟件應(yīng)進行識別和管理,填入《信息資產(chǎn)清單》。重要崗位和人員5.1識別各部門應(yīng)識別重要崗位，填入《信息資產(chǎn)清單》。綜合管理部負責(zé)為重要崗位配備人員,填入《信息資產(chǎn)清單》。安全區(qū)域綜合管理部負責(zé)識別重要安全區(qū)域,制定控制方案。信息資產(chǎn)的密級信息資產(chǎn)的密級分為:絕密、機密、秘密、敏感和一般共5類:"絕密’’:按《中華人民共和國保守國家秘密法》中指定的秘密和不可對外公開、若泄露或被篡改會對本組織的生產(chǎn)經(jīng)營造成特別嚴重損害的事項;“機密’’:是指不可對外公開、若泄露或被篡改會對本組織的業(yè)務(wù)造成嚴重損害,或者由于業(yè)務(wù)上的需要僅限有關(guān)人員知道的事項;c)"秘密'’:是指不可對外公開、若泄露或被篡改會對本組織的業(yè)務(wù)造成損害,或者由于業(yè)務(wù)上的需要僅限有關(guān)人員知道的事項;d)"敏感'':是指為了日常的業(yè)務(wù)能順利進行而向組織內(nèi)部員エ公開、但不可向組織以外人員隨意公開的事項;e)"一般"是指可向組織以外人員隨意公開的事項。5.8《信息資產(chǎn)清單》的評審針對完成的《信息資產(chǎn)清單》,綜合管理部負責(zé)人組織相關(guān)人員進行評審,評審?fù)ㄟ^オ認為該工作的完成。6記錄《信息資產(chǎn)清單》XXX有限公司商業(yè)秘密管理程序編號:ISMS-B-09

版本號:VLO編制:XXX 日期:20XX-08-19審核:XXX審核:XXX日期:20XX-08-19批準(zhǔn):XXX 日期:20XX-08-19受控狀態(tài)受控文件為更好地保護各相關(guān)方（包括客戶、合作方）和本組織在業(yè)務(wù)活動中產(chǎn)生的各類信息,防止因不恰當(dāng)使用或泄漏,使本公司蒙受經(jīng)濟損失或法律糾紛,特制定本程序。2范圍本程序適用于各相關(guān)方和本組織在業(yè)務(wù)中產(chǎn)生的各類信息的管理。3職責(zé)綜合管理部負責(zé)商業(yè)秘密的歸ロ管理。全體員エ遵守保密承諾、保守商業(yè)秘密。4相關(guān)文件《信息安全管理手冊》《保密協(xié)議》《安全區(qū)域管理程序》《信息安全事件管理程序》商業(yè)秘密分類本程序中所指的商業(yè)技術(shù)秘密分:絕密、機密、秘密、敏感和一般共5類:"絕密’’:按《中華人民共和國保守國家秘密法》中指定的秘密和不可對外公開、若泄露或被篡改會對本組織的業(yè)務(wù)造成特別嚴重損害的事項;“機密’’:是指不可對外公開、若泄露或被篡改會對本組織的業(yè)務(wù)造成嚴重損害,或者由于業(yè)務(wù)上的需要僅限有關(guān)人員知道的事項;y)“秘密’’:是指不可對外公開、若泄露或被篡改會對本組織的業(yè)務(wù)造成損害,或者由于業(yè)務(wù)上的需要僅限有關(guān)人員知道的事項;Z)"敏感'':是指為了日常的業(yè)務(wù)及正常工作能順利進行而向組織內(nèi)部員エ公開、但不可向組織以外人員隨意公開的事項。aa)“一般'':是指無須進行任何保密的信息或資料,可向外部公開。以上a)-d)4類事項以下簡稱秘密。5.2商業(yè)秘密的密級確定和標(biāo)識商業(yè)秘密由產(chǎn)生該事項的部門確定,員エ對產(chǎn)生的信息確定密級時,可隨時詢問部門領(lǐng)導(dǎo)。后者對前者的請求應(yīng)及時給予明確的處理。無法判明時,可請示更高ー級領(lǐng)導(dǎo)。編寫的文件一旦被指定為秘密文件，則負責(zé)人應(yīng)對編寫中和編寫后的無用稿件進行處置。5.3涉密文件的發(fā)放發(fā)送秘密文件時,指定者應(yīng)根據(jù)文件內(nèi)容指定接收部門和接收人。為了避免接收人因不清楚使用范圍而泄密，可在附件中指明使用目的和使用范圍,若從文件標(biāo)題和送付部門ー覽中能使接收者明確使用目的和范圍,可省略上述指定。組織內(nèi)發(fā)送的秘密文件,盡可能親自交給接收人,或裝入信封并標(biāo)明“親展’‘，封好后作為組織內(nèi)文件發(fā)送。非收件人不得隨便拆閱該文件。發(fā)往組織以外的秘密文件，原則上雙方應(yīng)簽署含有保密條款的合同,并經(jīng)部門主管以上的批準(zhǔn)后方可提供。特殊情況（無保密條款合同，但又必需提供）需事先準(zhǔn)備好保密協(xié)議書，經(jīng)部門主管以上批準(zhǔn)并要求對方在接收時簽收。5.4商業(yè)秘密的使用秘密文件的接收人應(yīng)按秘密文件的使用目的、使用范圍正確使用秘密文件。秘密文件的保管人員和秘密的實際操作人員未經(jīng)指定者許可不得擅自將秘密內(nèi)容向其它人員公開。秘密文件原則上嚴禁復(fù)印。因業(yè)務(wù)必需時應(yīng)填寫《涉密文件復(fù)印登記表》，并限制在最小限度，并且在使用后及時處置。未經(jīng)批準(zhǔn)嚴禁將秘密文件帶出公司使用。如工作必須,應(yīng)經(jīng)過部門經(jīng)理以上領(lǐng)導(dǎo)的批準(zhǔn)。5.6商業(yè)秘密的解除或變更5.6.1解除或變更的條件a）秘密因?qū)ν夤_發(fā)表而成為眾所周知的信息時，商業(yè)秘密的指定將自動解除。b）隨著時間的推移,某些秘密的內(nèi)容已過時的情況下。5.6.2解除或變更的方法a）解除或變更商業(yè)秘密指定時,由原編寫部門的指定者書面通知原接收者。b）解除/變更后的文件,按相應(yīng)的管理區(qū)分保管和使用。5.?回收/廢棄秘密文件,如無特別指定,原則上應(yīng)在使用后及時回收歸檔保存或廢棄。廢棄秘密文件時,紙類媒體可用粉碎的方法，其它媒體可用初始化或破壞媒體的方法處理。秘密文件改版發(fā)送時,應(yīng)同時回收舊版或通知接收方廢棄舊版。8保密教育為了使員エ能充分了解并徹底貫徹執(zhí)行商業(yè)秘密管理規(guī)定，應(yīng)對新入員エ及調(diào)職來的人員進行保守商業(yè)秘密教育。教育時應(yīng)作好教育記錄。員エ的保密義務(wù)按《保密協(xié)議》執(zhí)行。掌握組織重要業(yè)務(wù)信息、關(guān)鍵技術(shù)的從業(yè)人員離、退職時,本部門管理者應(yīng)對其進行面談,重申保守商業(yè)秘密的規(guī)定,防止將本組織商業(yè)秘密帶出或不正當(dāng)使用。5.9其它外來人員參觀，應(yīng)嚴格按組織的《安全區(qū)域管理程序》的規(guī)定辦理手續(xù)，經(jīng)批準(zhǔn)后按申請的時間和路線參觀。結(jié)束后,由接待責(zé)任部門負責(zé)送出。因業(yè)務(wù)需要來組織的相關(guān)訪,原則上應(yīng)使用組織的接待室洽談業(yè)務(wù)。需進入辦公室時,應(yīng)征得部門經(jīng)理以上管理者的同意。發(fā)現(xiàn)遺失秘密文件時,應(yīng)及時向綜合管理部報告并與原發(fā)行部門聯(lián)系。發(fā)現(xiàn)商業(yè)秘密泄漏、有泄漏征兆或管理上存在重大隱患時,發(fā)現(xiàn)者應(yīng)迅速向本部門經(jīng)理報告。拾到遺失的秘密文件時,應(yīng)迅速交給遺失者,關(guān)系者不明時,交給本部門經(jīng)理。發(fā)生以上情況時,相應(yīng)部門應(yīng)按《信息安全事件管理程序》的要求迅速調(diào)查原因,采取適當(dāng)?shù)募m正和再發(fā)防止措施,并將處置結(jié)果以書面的方式通知有關(guān)部門。6記錄《涉密文件復(fù)印登記表》XXX有限公司信息安全法律法規(guī)管理程序編號:ISMS-B-10版本號:VI.0

審核:XXX日期:20XX-08-19批準(zhǔn):XXX日期:20XX-08-19受控狀態(tài)受控文件編制:編制:XXX日期:20XX-08-19I目的為確保組織信息安全活動符合信息安全管理法律法規(guī)的要求,確保所應(yīng)用的信息安全管理法律法規(guī)和其他要求的適用性,特制定本程序。2范圍本程序適用于組織信息安全管理所涉及的相關(guān)法律、法規(guī)和其他要求的控制管理。3職責(zé)綜合管理部負責(zé)收集法律法規(guī)和其他要求,組織相關(guān)部門對法律法規(guī)和其他要求的適宜性和合規(guī)性進行評審。各部門負責(zé)對本部門的信息安全相關(guān)法律法規(guī)及其他要求的適宜性的識別、評審、更新,并負責(zé)將信息安全相關(guān)的法律法規(guī)及其他要求文件傳達給員エ遵照執(zhí)行。4引用文件《信息安全管理手冊》《文件控制程序》5程序法律、法規(guī)和其他要求的分類bb）國際性信息安全管理法律、法規(guī)和其他要求;cc）國家信息安全管理法律法規(guī)及標(biāo)準(zhǔn)規(guī)范;dd）地方和行業(yè)性信息安全管理規(guī)章及標(biāo)準(zhǔn)規(guī)范;ee）客戶與相關(guān)方的信息安全要求。2法律、法規(guī)和其他要求的獲取、識別綜合管理部從政府主管部門或相關(guān)權(quán)威部門獲取相關(guān)的國家及地方最新信息安全法律法規(guī)及其他要求,并通過政府機構(gòu)、行業(yè)協(xié)會、出版機構(gòu)、圖書館、報刊雜志、書店、相關(guān)方等渠道進行補充?？蛻襞c相關(guān)方信息安全要求,由相關(guān)專業(yè)部門依據(jù)專業(yè)工作情況由信息員負責(zé)采集并報綜合管理部統(tǒng)一管理。綜合管理部組織各部門對收集到的法律法規(guī)和其他要求逐一進行識別,確定出適合本組織的法律法規(guī)及其他要求,編制《信息安全法律法規(guī)及要求清單》,識別工作一般一年不少于一次。法律、法規(guī)和其他要求的文本管理綜合管理部獲取信息安全管理法律、法規(guī)和其他要求文本后,應(yīng)補充到《信息安全法律法規(guī)及要求清單》中。相關(guān)部門獲取信息安全管理法律、法規(guī)和其他要求文本后,應(yīng)及時將獲取的信息安全管理法律、法規(guī)和其他要求文本或信息向綜合管理部進行反饋，由綜合管理部補充到《信息安全法律法規(guī)及要求清單》。綜合管理部負責(zé)取得法律法規(guī)文本,獲得途徑可直接從網(wǎng)絡(luò)下載,并保存為電子檔。綜合管理部獲取的信息安全法律法規(guī)和其他要求的文本或信息應(yīng)負責(zé)匯總并向有關(guān)部門進行傳遞。法律、法規(guī)和其他要求的符合性評估組織范圍內(nèi)的適用的信息安全管理法律、法規(guī)和其他要求,由綜合管理部負責(zé)識別其適用的條款,形成《信息安全法律法規(guī)及要求清單》,并進行合規(guī)性評審。對適用的法律、法規(guī)和其他要求,綜合管理部負責(zé)制定為滿足這些要求的控制措施和職責(zé)，將相關(guān)內(nèi)容填入《信息安全法律法規(guī)及要求清單評價表》。法律、法規(guī)和其他要求的更新管理綜合管理部定期與政府相關(guān)部門進行溝通,向提供法律法規(guī)更新的專業(yè)機構(gòu)索取最新信息,并通過政府機構(gòu)、行業(yè)協(xié)會、出版機構(gòu)、報刊雜志、中國安全網(wǎng)、會議等渠道補充,以保持對法律法規(guī)及其他要求的及時跟蹤,獲取最新的法律法規(guī)和其他要求文件。當(dāng)法律、法規(guī)和其他要求更新或增加時,綜合管理部應(yīng)及時進行識別、并修正和補充《信息安全法律法規(guī)及要求清單》,及時下載最新版本。對過期或作廢的法律法規(guī)和其他要求文件,綜合管理部應(yīng)及時收回,并按《文件控制程序》的要求進行管理。組織至少每年組織ー次對《信息安全法律法規(guī)清單》及其他要求履行情況的合規(guī)性評審,形成最新的《信息安全法律法規(guī)及要求清單》，必要時更新實施控制措施。濫用信息設(shè)施的處罰組織員エ不得在未經(jīng)授權(quán)的前提下使用非公開的信息設(shè)施,或利用組織信息設(shè)施進行與法律相悖的行為。ー經(jīng)發(fā)現(xiàn)，組織有權(quán)對該員エ提出不同程度的處罰措施。包括扣除當(dāng)月獎金，解除勞動合約,當(dāng)發(fā)現(xiàn)員エ行為已經(jīng)觸犯法律時，組織有權(quán)對該員工保留法律訴訟的權(quán)利。6記錄《信息安全法律法規(guī)及要求清單》《信息安全法律法規(guī)及要求清單評價表》XXX有限公司知識產(chǎn)權(quán)管理程序編號:ISMS-B-11版本號:VI.0編制:XXX 日期:20XX-08-19審核：XXX 日期：20XX-08-19批準(zhǔn):XXX 日期:20XX-08-19受控狀態(tài) 受控文件I目的通過對知識產(chǎn)權(quán)的流程管理,規(guī)范整個知識產(chǎn)權(quán)管理工作,保證知識產(chǎn)權(quán)管理工作的每個環(huán)節(jié)的合理性、有效性和流暢,為組織的知識產(chǎn)權(quán)保護與管理奠定基礎(chǔ)。2范圍本程序適用于全公司知識產(chǎn)權(quán)的保護與管理。3職責(zé)3.1綜合管理部負責(zé)對專利、商標(biāo)、計算機軟件版權(quán)、商業(yè)秘密的管理,對相關(guān)部門主管領(lǐng)導(dǎo)提出具體的法律意見,針對不同的對象需求,提供諸如專利申請、版權(quán)登記、專利信息檢索等服務(wù)。負責(zé)有關(guān)科技成果的立項評審工作,作為申報知識產(chǎn)權(quán)的準(zhǔn)備。負責(zé)有關(guān)知識產(chǎn)權(quán)工作的文件制作與歸檔。3.2各部門負責(zé)本部門有關(guān)知識產(chǎn)權(quán)的收集和申報工作,在使用具有知識產(chǎn)權(quán)的材料和具有所有權(quán)的軟件產(chǎn)品是,符合公司相關(guān)知識產(chǎn)權(quán)規(guī)定和法律、法規(guī)和合同的要求。4引用文件《商業(yè)秘密管理程序》5程序5.1專利部分專利信息檢索工作流程圖?發(fā)部U需要有美ヤ利信堵寫專利信息檢素申語知識產(chǎn)權(quán)分析価委托專利

代理機恂進行ヤ利文獻松

索撰寫檢索根告（抵質(zhì)叉檔

キ電子文檔》送相美研發(fā)郃n研發(fā)部門反饋信息,如有

必要速行二次深度檢索彬成顯終檢案根告,送相

關(guān)橘發(fā)部門并を記、苗、

保存

附:專利信息檢索申請表專利信息檢索申請表申請日期:年月日部門申請人項目名稱項目簡介:關(guān)鍵詞:部門主管簽名:檢索目的及要求:檢索范圍國內(nèi)國外檢索結(jié)果:知識產(chǎn)權(quán)分析師:附:檢索報告完成日期:專利許可轉(zhuǎn)讓工作流程圖公出爾要取得他人ヤ利實

%許可、タ利枚內(nèi)止或者

他人也要裁得公司專利實

施許可、專利權(quán)特止相美部ns劭知識產(chǎn)權(quán)分

析師英團慄討專利許可先

止的可行性招美部仃與知識產(chǎn)權(quán)分析

而我冋參與相關(guān)專利許可

特止的談判工作知識產(chǎn)權(quán)分析所負費草後、

本査、制定有美キ利許可

特止的煙あ合同由ヤ利哲理機關(guān)を記各案臺冋釜訂后的保存、的.

監(jiān)貧氮行任何公団願員發(fā)現(xiàn)有侵犯公司ヤ利權(quán)現(xiàn)象,以及任何部門收到其他公団或個人的キ利侵權(quán)投訴,均成及"向知識產(chǎn)權(quán)分析而通根知識產(chǎn)權(quán)分?折而根悒區(qū)體旨況,會冋有關(guān)部11W論相應(yīng)專利巽給解決方案如果是他人侵犯公司專利枚,分階段采取雙方?和解?由《利e理機關(guān)検訴,向法院起訴與手段制止使權(quán)行為并要求慣害魁償如果是公司侵犯他人ヤ利權(quán),應(yīng)主勛檢討或停止侵權(quán)行為，分析原因，分別采取宜告有美專利權(quán)無效.雙方和解,積履應(yīng)訴ヨ手R,使我紛得以川利圓滿解決黃的參與和解詼判,如県足訴陰則制定訴訟第屯.罷寫代理外メ確通法3美Eキ利Wa解決后，撰寫電

培根告5.2計算機軟件版權(quán)計算機軟件版權(quán)登記工作流程橘發(fā)部n開發(fā)充成某腫辻変機就件,及時向知識產(chǎn)權(quán)分析師通告知識產(chǎn)權(quán)分析而依協(xié)具體餡況,會冋有美部n主甘す論相應(yīng)軟件是否以及如何申遺著作權(quán)登記知識產(chǎn)權(quán)分析而握供材科.

由研發(fā)部n認在熄寫，并

息備相關(guān)軟イ?源代碼、文

檔材斜由知識產(chǎn)權(quán)分析而向計梵

機軟件著作權(quán)登記中心餐

文黃記申語知識產(chǎn)權(quán)分析的負貢隈踩キ反饋,對申請材料作撲兒和修改知識產(chǎn)權(quán)分析而負費量納3腫を記申調(diào)費用取得軟件者作權(quán)依節(jié),&

記、保存、歸檔計算機軟件版權(quán)侵權(quán)糾紛解決工作流程圖任何公司員エ發(fā)發(fā)有侵犯

公団計気機軟件版權(quán)現(xiàn)象.

以及任何部門收到其他公

司或個人的計更機軟件版

枚俊權(quán)枚訴.均應(yīng)及片向

知識盧權(quán)分析師通根知識產(chǎn)權(quán)分析価報備具體情況,會同有關(guān)部nす論相應(yīng)使權(quán)觀給解決方案如果是他人侵犯公司計更機軟件版權(quán).分階段采取ア方和解.向版權(quán)付理機美校訴.向法院起訴ヨ手段制止侵權(quán)行為并要求悵害魅償如果是公団侵犯他人計迎機軟件版權(quán).應(yīng)主動核討ヰ停止侵權(quán)行為,分析反因.分別采取雙方和解、職及應(yīng)訴與手段,使紈紛得以胭利圓滿解決.》馬和蟀詼判,如果是訴訟則制定訴訟條屯.攝寫代理司?疏通法律關(guān)系W紛解決后,鬟寫總結(jié)根ル計算機軟件版權(quán)許可工作流程圖任何公司員エ發(fā)發(fā)有侵犯公団計気機軟件版權(quán)現(xiàn)象.以及任何部門收到其他公司或個人的計更機軟件版枚俊權(quán)枚訴.均應(yīng)及片向知識盧權(quán)分析師通根知識產(chǎn)權(quán)分析師依悒具體情況.會冋有關(guān)部iiw論用成侵權(quán)觀給解決方案如果是他人侵犯公司計更機軟件版權(quán).分階段采取ア方和解,向版權(quán)付理機美校訴.向法院起訴ヨ手段制止侵權(quán)行為并要求悵害魅償如果是公団侵犯他人計迎機軟件版權(quán).應(yīng)主動核討ヰ停止侵權(quán)行為.分析反因,分別采取雙方和解、職及應(yīng)訴與手段,使紈紛得以胭利圓滿解決.》馬和蟀詼判,如果是訴訟則制定訴訟條電,罷寫代理司?疏通法律關(guān)系￡?紛解決后,奴耳總結(jié)根商標(biāo)注冊工作流程圖公団甘瓊屋作出新商標(biāo)注

冊決定,通知知識產(chǎn)權(quán)分

析而知識盧權(quán)分析而會回商標(biāo)發(fā)計人員討論前的南杭發(fā)計方案知識產(chǎn)權(quán)分析師委托南標(biāo)

代援機崗施行曲折査倒對及有商標(biāo)及計方案窟行必要修改后綴出注川申遺.填寫申遺資科.繚他申遺費用知識產(chǎn)權(quán)分析而負費艱眸與反情,時間為18個月左右取得曲折注冊通后的保存

尾哲理注冊商標(biāo)轉(zhuǎn)讓與使用許可工作流程圖公用管理層梃出招美商標(biāo)特止或受止要求:悵枚他人使用公司注冊商標(biāo)或者取R他人注冊商標(biāo)使用許可的要求知識產(chǎn)權(quán)分析而梃山咨育知識產(chǎn)權(quán)分析師參キ招美商標(biāo)特止場使用許可的詼判知識產(chǎn)權(quán)分析師負壽草?,

本をタ制定商標(biāo)特止キ使

用許可臺冋知識產(chǎn)權(quán)分析而負費特止或許可使用合同向南折局的セ記與備案在新南標(biāo)特止片使用許可臺冋的保存、歸檔キ於管紋行商標(biāo)侵權(quán)糾紛處理工作流程圖任何公硏職員發(fā)況有侵犯公団在あ商標(biāo)雙敷.以及在何部n收到其他公団的商折使權(quán)検訴,均應(yīng)及rt向知識產(chǎn)權(quán)分?析師通恨知識產(chǎn)權(quán)分析師報備反體苗況,會冋有關(guān)部n討論相應(yīng)侵權(quán)州給解決方案如果是他人侵犯我公司定冊商標(biāo)專用權(quán),分階段采取雙方和解,向商標(biāo)局投訴,向法院起訴與手段制止侵權(quán)行為并要求憤害賠償如果是公司侵犯他人注命商標(biāo)專用權(quán).應(yīng)主動檢討并停止侵權(quán)行為.分析及因.分別采取雙方?和第.職極應(yīng)訴る手段.便我紛得以頰利圓滿解決》馬和蟀詼判,如果是訴訟則制定訴訟條屯.攝寫代理司,疏通法律關(guān)系￡?紛解決后,奴耳總結(jié)根保護商業(yè)秘密工作流程圖獨立偌金公明內(nèi)部的保定

制度里要部u建立H條制度,公団內(nèi)部文檔劃分"保冨級別人，行政部招白員エ的用

工例區(qū)以及情發(fā)部門項目

任務(wù)書中的保需條款侵害商業(yè)我密民事魅催訴

陰訴險中樂后,鬟寫總給根

青、公司內(nèi)部案例介緡XXX有限公司重要信息備份管理程序編號：ISMS-B-12版本號:VI.0編制:XXX 日期:20XX-08-19審核:XXX 日期:20XX-08-19批準(zhǔn):XXX 日期:20XX-08-19受控狀態(tài) 受控文件I目的為確保所有重要業(yè)務(wù)數(shù)據(jù)和軟件能在災(zāi)難（如地震、火災(zāi)）或存儲介質(zhì)損壞之后得以恢復(fù),保證信息處理及生產(chǎn)數(shù)據(jù)的完整性與可用性,特制定本程序。2范圍本程序適用于本公司重要數(shù)據(jù)及軟件的備份管理。3職責(zé)綜合管理部負責(zé)全組織信息備份工作的技術(shù)指導(dǎo)及對本部門維護的重要信息資產(chǎn)的數(shù)據(jù)和軟件實施備份。3.2各部門負責(zé)對本部門維護的重要信息資產(chǎn)的數(shù)據(jù)和軟件實施備份。4相關(guān)文件《信息安全管理手冊》《可移動介質(zhì)管理程序》《信息處理設(shè)施維護管理程序》《信息備份安全策略》5程序備份對象針對各部門的重要信息,決定備份對象為:服務(wù)器的操作系統(tǒng)和安裝工具軟件的所有軟件光盤,服務(wù)器中的數(shù)據(jù)庫,配置管理工具數(shù)據(jù)庫,電腦中重要應(yīng)用系統(tǒng)的數(shù)據(jù)庫;根據(jù)以上備份對象,制定相應(yīng)的備份周期。安全要求信息備份的安全要求包括:ff）根據(jù)風(fēng)險評估的結(jié)果，備份方案采取本地備份與異地備份兩種方式同時gg）備份周期根據(jù)需要可每周或每月,備份地點可根據(jù)重要程度決定異地或者本地備份。;備份周期各部門根據(jù)風(fēng)險評估的結(jié)果,制定《重要信息備份周期ー覽表》,在其中明確規(guī)定備份周期、備份方式、備份介質(zhì)及備份負責(zé)人。備份工作記錄要求《重要信息備份周期ー覽表》經(jīng)部門負責(zé)人批準(zhǔn)后予以實施;對于人工備份應(yīng)填寫《重要信息備份記錄》,信息備份的記錄應(yīng)予以保存。當(dāng)軟件發(fā)生更改時,當(dāng)備份數(shù)據(jù)恢復(fù)前,更換電腦及操作系統(tǒng)前,應(yīng)進行備份。5備份的標(biāo)識各部門應(yīng)采取適宜的方法對備份信息介質(zhì)進行標(biāo)識，防止備份信息的誤用,標(biāo)識的內(nèi)容包括:e）備份信息的名稱;f）備份的日期;g）版本號;h）必要時,應(yīng)標(biāo)識所需采用的備份/還原工具。5.6介質(zhì)管理數(shù)據(jù)備份介質(zhì)應(yīng)保存在適宜的環(huán)境并專人管理;涉及組織秘密的備份介質(zhì)應(yīng)按照《信息分類管理程序》進行標(biāo)注,只有授權(quán)的人員オ可以訪問,并保存在上鎖的文件柜或其他安全儲存場所。

重要備份信息使用的介質(zhì)管理請參見《可移動介質(zhì)管理程序》和《信息處理設(shè)施維護管理程序》。6記錄《重要信息備份周期ー覽表》《重要信息備份記錄》XXX有限公司業(yè)務(wù)持續(xù)性管理程序編號：ISMS-B-13版本號:VI.0編制:XXX日期：20XX-08-19編制:XXX日期：20XX-08-19審核:XXX日期：20XX-08-19批準(zhǔn):XXX日期:20XX-08-19受控狀態(tài)受控文件I目的確保組織的業(yè)務(wù)能夠持續(xù)穩(wěn)定的進行,最低限度的降低信息安全事件對業(yè)務(wù)的影響。2范圍組織的業(yè)務(wù)運作地點包括:深圳市羅湖區(qū)人民南路發(fā)展中心大廈34層。整個業(yè)務(wù)持續(xù)性管理體系（BCMS）的覆蓋范圍是:hh）屬于組織的一切受知識產(chǎn)權(quán)保護的信息;ii）在組織業(yè)務(wù)運作地點使用,屬于組織客戶的一切受知識產(chǎn)權(quán)保護的信息;JJ）屬于組織的一切物理實體,包括建筑物、辦公室以及其它的一切設(shè)施與設(shè)備。3職責(zé)綜合管理部審批業(yè)務(wù)連續(xù)性計劃,分配相關(guān)資源，確保業(yè)務(wù)連續(xù)性活動順利進行。各相關(guān)部門配合綜合管理部負責(zé)相關(guān)業(yè)務(wù)持續(xù)性計劃的實施。4相關(guān)文件《信息安全事件管理程序》5程序5.1業(yè)務(wù)持續(xù)性和影響的分析由綜合管理部負責(zé)組織識別對業(yè)務(wù)持續(xù)性造成嚴重影響的主要事件,如信息系統(tǒng)設(shè)備故障、自然災(zāi)害等,分析一旦這些事件發(fā)生會對業(yè)務(wù)活動造成的影響和損失，以及統(tǒng)計恢復(fù)業(yè)務(wù)所需費用等。業(yè)務(wù)持續(xù)性和影響分析應(yīng)包括以下內(nèi)容:a）識別關(guān)鍵業(yè)務(wù)的管理過程;b）識別可能引起業(yè)務(wù)活動中斷的主要事件;c）分析主要事件對信息系統(tǒng)和業(yè)務(wù)活動造成的影響;d）考慮關(guān)于系統(tǒng)恢復(fù)或替換的需求。5.2《業(yè)務(wù)持續(xù)性管理計劃》（簡稱BCP）的編制與實施綜合管理部負責(zé)確定影響業(yè)務(wù)持續(xù)性的關(guān)鍵功能或業(yè)務(wù)，編制《業(yè)務(wù)持續(xù)性管理計劃》?！稑I(yè)務(wù)持續(xù)性管理計劃》應(yīng)包括以下方面的內(nèi)容:a）計劃實施所涉及的部門/人員的職責(zé)及接口關(guān)系的描述;b）業(yè)務(wù)中斷的快速報告程序及要求;c）業(yè)務(wù)中斷的恢復(fù)程序及方法;d）業(yè)務(wù)中斷恢復(fù)的時限要求;e）保持本組織業(yè)務(wù)持續(xù)運作應(yīng)采取的應(yīng)急措施與備用措施;f）必要的技術(shù)支持及資源要求。重要系統(tǒng)一旦受到重大影響或中斷后,綜合管理部及相關(guān)部門應(yīng)立即執(zhí)行《業(yè)務(wù)持續(xù)性管理計劃》,對信息系統(tǒng)采取應(yīng)急措施,并進行恢復(fù),確保業(yè)務(wù)活動的持續(xù)運行。同時,應(yīng)按照《信息安全事件管理程序》做好事故處理記錄，記錄內(nèi)容應(yīng)包括:a）對業(yè)務(wù)中斷原因的調(diào)查分析;b）業(yè)務(wù)中斷造成損失的統(tǒng)計;c）采取的糾正措施;d）應(yīng)吸取經(jīng)驗教訓(xùn)及預(yù)防措施等。5.3業(yè)務(wù)持續(xù)性計劃的測試與評審每年年末由綜合管理部組織相關(guān)部門對《業(yè)務(wù)持續(xù)性管理計劃》進行測試,以判斷計劃的可行性和有效性。測試可采用以下方法進行:a）對已發(fā)生過的業(yè)務(wù)中斷及恢復(fù)措施實例進行討論;b）組織相關(guān)部門進行業(yè)務(wù)中斷及恢復(fù)的模擬演練;c）采用技術(shù)手段對系統(tǒng)運行及中斷恢復(fù)的相關(guān)參數(shù)進行測量;d）由外部服務(wù)供應(yīng)商提供服務(wù)和產(chǎn)品測試，確保所提供的外部服務(wù)和產(chǎn)品符合合同要求。測試完成后綜合管理部負責(zé)編制《業(yè)務(wù)持續(xù)性管理計劃測試報告》,并對計劃的適用性和有效性進行評審,形成《業(yè)務(wù)持續(xù)性管理計劃評審報告》。根據(jù)《業(yè)務(wù)持續(xù)性管理計劃評審報告》的要求,決定是否對《業(yè)務(wù)持續(xù)性管理計劃》進行修改。6記錄《業(yè)務(wù)持續(xù)性管理計劃》《業(yè)務(wù)持續(xù)性管理計劃測試報告》《業(yè)務(wù)持續(xù)性管理計劃評審報告》XXX有限公司信息安全溝通協(xié)調(diào)管理程序編號:ISMS-B-14版本號:VI.0編制:XXX 日期:20XX-08-19審核:XXX 日期:20XX-08-19批準(zhǔn):XXX 日期:20XX-08-19受控狀態(tài) 受控文件I目的為確保組織信息安全方面信息的內(nèi)外部溝通渠道的暢通,特制定本程序。2適用范圍適用于組織有關(guān)信息安全事務(wù)的協(xié)商和內(nèi)外信息交流的管理。3職責(zé)信息安全管理小組kk）負責(zé)組織范圍內(nèi)有關(guān)信息安全方面的信息交流和溝通活動的日常管理工作,組織召開信息安全協(xié)調(diào)會;11）與相關(guān)的權(quán)威機構(gòu)、專業(yè)團體或其他安全專家論壇以及專業(yè)協(xié)會建立和保持適當(dāng)?shù)穆?lián)系;mm）負責(zé)本組織信息安全管理信息向外部傳遞,與地方電信、消防、供電、供水公安等部門在信息安全管理方面保持聯(lián)系。其他部門a）根據(jù)職責(zé)分エ在各自業(yè)務(wù)內(nèi),負責(zé)與相關(guān)政府部門建立聯(lián)系并進行溝通;b）負責(zé)收集本部門安全管理信息,并進行傳遞、溝通;c）在各自業(yè)務(wù)內(nèi),負責(zé)與相關(guān)方之間在信息安全方面進行縱向橫向信息的交流與溝通。4相關(guān)文件《信息安全管理手冊》《信息安全法律法規(guī)管理程序》5程序.1信息安全溝通的內(nèi)容a）管理與信息安全有關(guān)的法律、法規(guī)和其他要求頒布與修訂制度的信息;b）信息安全的威脅、薄弱點及相關(guān)事件的信息;c）國內(nèi)外信息安全管理的進展及科技成果信息;d）公司信息安全管理檢查情況;e）相關(guān)方對公司信息安全管理的建議、要求和意見、投訴信息。.2信息安全的溝通方式d）各部門代表參加的溝通協(xié)調(diào)會議;e）電話傳達;f）書面通知;g）電子郵件、傳真;h）宣傳板報、公司網(wǎng)頁;i）信息安全管理工作報告、總結(jié)。3信息安全的協(xié)商組織在執(zhí)行下列活動時,應(yīng)與各部門協(xié)商:息安全方針的制定、修改和評審;理文件,特別是作業(yè)文件的修改和評審;息安全的資產(chǎn)識別與風(fēng)險評估;能影響到信息安全的任何活動。協(xié)商的方式有口頭或書面交流,文件審核,參與會議討論等,口頭協(xié)調(diào)方式必須有記錄可供參考。綜合管理部及時收集員エ的意見和建議，反饋并督促相關(guān)部門處理。內(nèi)部信息溝通管理信息安全管理小組是組織信息溝通的主管部門。組織依托各部門建立組織級信息安全網(wǎng)絡(luò),負責(zé)組織內(nèi)部信息的溝通管理（見《信息安全組織管理機構(gòu)及職責(zé)》）。信息安全管理小組負責(zé)信息安全管理體系的建立及實施過程中的溝通和協(xié)調(diào),負責(zé)與咨詢機構(gòu)、認證機構(gòu)、專業(yè)團體建立聯(lián)系，獲取相關(guān)的信息安全行業(yè)信息。組織根據(jù)需要建立信息安全管理專家組,包括有關(guān)信息安全和口方面的專家，形成《信息安全專家名單》,經(jīng)公司總經(jīng)理批準(zhǔn),組織就信息安全活動的事項向信息安全管理專家組進行咨詢，信息安全管理專家組負責(zé)解答。外部信息的溝通管理國家頒布的相關(guān)法律、法規(guī)和各級綜合管理部門制訂的相關(guān)要求,由信息安全管理小組按照《信息安全法律法規(guī)管理程序》的規(guī)定要求，進行必要的溝通和信息的采集、管理。相關(guān)方對組織的信息安全管理的建議、要求和投訴等信息及國家主管部門的監(jiān)督、檢查信息,由相關(guān)業(yè)務(wù)主管部門負責(zé)采集,并及時向信息安全管理小組傳遞。對客戶、監(jiān)理單位、承包商的有關(guān)信息安全溝通以會議、聯(lián)絡(luò)單、月報表、正告通知單等形式,由組織的業(yè)務(wù)主管部門負責(zé)。信息安全管理小組負責(zé)建立《信息安全專家名單》,與信息安全權(quán)威機構(gòu)（如公安部門的計算機安全部門）和相關(guān)團體（信息安全第三方服務(wù)機構(gòu)）建立聯(lián)系,及時報告信息安全事件（包括可能會違背法律的信息安全事件）,取得指導(dǎo)和支持。內(nèi)部信息的溝通管理組織的信息安全管理文件的修訂、審核和信息安全管理方針、目標(biāo)和指標(biāo)信息，由IT部組織實施傳遞與管理。組織的設(shè)計、生產(chǎn)、技術(shù)的信息安全管理信息,由u部采集與整理,并向信息安全管理小組傳遞。組織內(nèi)部在進行信息安全工作檢查時,如發(fā)現(xiàn)的問題需要內(nèi)部交流的,直接與職能部門溝通，必要時提請綜合管理部組織協(xié)調(diào)。信息安全管理小組至少每季度召開一次各部門負責(zé)人或部門代表參加的聯(lián)席會議,就組織的信息安全活動的事項進行溝通和協(xié)調(diào)。信息的處理信息安全管理小組負責(zé)收集并處理內(nèi)外部有關(guān)信息，包括相關(guān)方合理的意見和投訴,對可能引起的信息安全危害,必須提出處理措施和整改意見,報主管領(lǐng)導(dǎo)批準(zhǔn)后執(zhí)行,信息安全管理小組負責(zé)對處理措施有效性進行驗證。8信息管理記錄組織在實施信息溝通管理的同時,由實施信息采集或溝通的部門負責(zé)建立信息溝通記錄,向信息安全管理小組傳遞，信息安全管理小組保持信息溝通、處置記錄。相關(guān)方對組織的信息管理的建議、要求和投訴等需進行回復(fù)的信息，由信息安全管理小組建立信息回復(fù)和處置記錄。6記錄《信息安全專家名單》XXX有限公司信息安全事件管理程序編號：ISMS-B-15版本號:VI.0

編制:編制:XXX日期:20XX-08-19審核:XXX 日期:20XX-08-19批準(zhǔn):XXX 日期:20XX-08-19受控狀態(tài) 受控文件I目的為建立信息安全事件報告、反應(yīng)與處理機制,減少信息安全事件所造成的損失,采取有效的糾正與預(yù)防措施,特制定本程序。2范圍本程序適用于組織的信息安全事件的管理。3職責(zé)綜合管理部歸ロ管理信息安全事件的調(diào)查、處理及糾正措施管理。各系統(tǒng)使用人員負責(zé)相關(guān)信息安全事件的報告。4相關(guān)文件《信息安全管理手冊》《信息安全獎懲管理程序》5程序信息安全事件定義與分類信息設(shè)備故障、線路故障、軟件故障、惡意軟件危害、人員故意破壞或工作失職等原因直接造成下列影響（后果）之ー,均為信息安全事件:nn）組織的秘密、機密及絕密信息泄露或丟失;〇〇）重要業(yè)務(wù)部門停止工作五小時以上;PP）造成信息資產(chǎn)損失的火災(zāi)、洪水、雷擊等災(zāi)害;qq）損失在ー萬元以上的故障/事件。信息設(shè)備故障、線路故障、軟件故障、惡意軟件危害、人員故意破壞或工作失職等原因直接造成下列影響（后果）之ー,屬于重大信息安全事件:a）組織的機密及絕密信息泄露;b）重要業(yè)務(wù)部門停止工作十小時以上;c）造成重要信息設(shè)備毀滅的火災(zāi)、洪水、雷擊等災(zāi)害;d）損失在五萬以上的故障/事件。5.2事件的報告渠道與處理5.2.1事件報告要求事件的發(fā)現(xiàn)者應(yīng)按照以下要求履行報告任務(wù):a）各個信息管理系統(tǒng)使用者,在使用過程中如果發(fā)現(xiàn)軟硬件故障、事件,應(yīng)該向該系統(tǒng)歸ロ管理部門和綜合管理部報告;如故障、事件會影響或已經(jīng)影響業(yè)務(wù)運行,必須立即報告相關(guān)部門,采取必要措施,保證對業(yè)務(wù)的影響降至最低;b）發(fā)生火災(zāi)應(yīng)立即觸發(fā)火警并向綜合管理部報告,啟動消防應(yīng)急預(yù)案;c）涉及組織的秘密、機密及絕密泄露、丟失應(yīng)向綜合管理部報告;d）發(fā)現(xiàn)信息安全的弱點，應(yīng)該向事件處理部門進行報告;5.2.2事件的響應(yīng)事件處理部門接到報告以后,應(yīng)立即進行迅速、有效和有序的響應(yīng),包括采取以下適當(dāng)措施:a）報告者應(yīng)保護好故障、事件的現(xiàn)場,并采取適當(dāng)?shù)膽?yīng)急措施,防止事態(tài)的進ー步擴大;b）按照有關(guān)的事件處理文件（程序、作業(yè)手冊）排除故障,恢復(fù)系統(tǒng)或服務(wù),必要時,啟動業(yè)務(wù)持續(xù)性管理計劃。5.3事件調(diào)查處理與糾正措施故障處理部門應(yīng)對故障原因進行分析，必要時,采取糾正措施,故障的原因及采取措施的結(jié)果予以記錄。對于信息安全事件,在故障排除或采取必要措施后,綜合管理部會同事件責(zé)任部門,對事件的原因、類型、損失、責(zé)任進行鑒定,形成《信息安全事件調(diào)查處理報告》,報綜合管理部批準(zhǔn);對于違反組織的信息方針、程序及安全規(guī)章所造成的信息安全事件責(zé)任者依據(jù)《信息安全獎懲管理程序》予以懲戒,并在組織內(nèi)予以通報。綜合管理部要求事件責(zé)任部門制定糾正措施并實施,實施結(jié)果記錄在《信息安全事件調(diào)查處理報告》。由綜合管理部對實施情況進行跟蹤驗證,驗證結(jié)果記入《信息安全事件調(diào)查處理報告》。3重大信息安全事件處理要求重大信息安全事件處理,除需要按照信息安全事件處理之外,需要遵循以下要求:a）發(fā)生重大信息安全事件,事件受理部門應(yīng)向綜合管理部和有關(guān)領(lǐng)導(dǎo)報告;b）重大信息安全處理方案,應(yīng)該得到有關(guān)領(lǐng)導(dǎo)的審核和批準(zhǔn);c）重大信息安全事件處理完畢應(yīng)將其事件發(fā)生、處理、預(yù)防方案總結(jié)為知識,并傳達給相關(guān)人員。5.4證據(jù)的收集當(dāng)ー個信息安全事件涉及到訴訟（民事的或刑事的）,需要進ー步對個人或組織進行起訴時，應(yīng)收集、保留和呈遞證據(jù)，以使證據(jù)符