網(wǎng)絡(luò)安全管理制度

精品文檔精心整理精品文檔可編輯的精品文檔精品文檔精心整理精品文檔可編輯的精品文檔目的維護(hù)公司計(jì)算機(jī)網(wǎng)絡(luò)安全、正常運(yùn)行，確保服務(wù)器及各個(gè)終端正常使用。使網(wǎng)絡(luò)資源充分安全共享，為業(yè)務(wù)經(jīng)營(yíng)活動(dòng)提供安全的網(wǎng)絡(luò)環(huán)境。適用范圍適用于公司內(nèi)部辦公局域網(wǎng)絡(luò)，業(yè)務(wù)局域網(wǎng)絡(luò)、國(guó)大藥房、國(guó)瑞藥業(yè)、國(guó)藥物流的網(wǎng)絡(luò)。3職責(zé)3.1信息部3.1.1系統(tǒng)管理崗負(fù)責(zé)公司整體網(wǎng)絡(luò)安全的規(guī)劃、管理及其相關(guān)的技術(shù)支持。3.1.2系統(tǒng)管理崗負(fù)責(zé)公司網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)的安全備份。3.1.3其它崗位協(xié)助系統(tǒng)管理崗進(jìn)行公司網(wǎng)絡(luò)的安全管理。3.2各部門3.2.1負(fù)責(zé)各自部門使用的計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備的安全管理。3.2.2負(fù)責(zé)各自部門數(shù)據(jù)的安全備份。3.2.3負(fù)責(zé)及時(shí)通知信息部有關(guān)各自部門使用的計(jì)算機(jī)病毒發(fā)生情況及其它安全隱患情況。4工作程序4.1公司整體網(wǎng)絡(luò)安全的規(guī)劃、管理。網(wǎng)絡(luò)安全信息的追蹤，黑客、病毒的日常防護(hù)工作。4.2.1每天至少一次上網(wǎng)瀏覽相關(guān)網(wǎng)站，下載最新病毒代碼4.2.2跟蹤最新防病毒信息及其防殺方法，將其及時(shí)發(fā)布在公司內(nèi)部網(wǎng)絡(luò)上。4.2.3及時(shí)跟蹤防火墻的軟硬件升級(jí)信息。負(fù)責(zé)公司本部辦公網(wǎng)網(wǎng)絡(luò)安全防護(hù)工作。4.3.1及時(shí)升級(jí)本公司網(wǎng)絡(luò)的最新病毒代碼。4.3.2實(shí)時(shí)對(duì)各個(gè)工作終端進(jìn)行病毒監(jiān)測(cè)。4.3.3及時(shí)將染病毒的工作終端逐一脫離網(wǎng)絡(luò)。4.3.4對(duì)染毒終端逐一進(jìn)行全面查殺毒。4.3.5及時(shí)對(duì)防火墻軟硬件進(jìn)行升級(jí)。4.3.6建立日常病毒記錄日志，記錄病毒代碼。（參見《病毒記錄日志》）監(jiān)督、檢查、落實(shí)公司本部業(yè)務(wù)、國(guó)大藥房、國(guó)瑞藥業(yè)、國(guó)藥物流的網(wǎng)絡(luò)安全防護(hù)措施等工作。4.5協(xié)助本部相關(guān)部門進(jìn)行重要數(shù)據(jù)的定期備份。4.6業(yè)務(wù)、辦公網(wǎng)數(shù)據(jù)的交換和相關(guān)數(shù)據(jù)輸入輸出的管理。5相關(guān)文件《計(jì)算機(jī)及相關(guān)設(shè)備管理辦法》《計(jì)算機(jī)機(jī)房管理制度》6記錄《病毒記錄日志》精品文檔精心整理精品文檔可編輯的精品文檔目錄一、物理訪問制度ISMS-3001 11.目的 12.范圍 13.職責(zé) 14.員工外出管理 15.來賓出入管理規(guī)定 16.相關(guān)記錄無 2二、外部相關(guān)方信息安全管理規(guī)程ISMS-3002 21.目的 22.范圍 23.職責(zé) 24.管理規(guī)定 2三、與政府相關(guān)資質(zhì)申報(bào)及年審規(guī)定ISMS-3003 31.目的: 32.職責(zé): 33.技術(shù)部相關(guān)管理要求: 34.相關(guān)資質(zhì)申報(bào)年審管理要求 3四、信息系統(tǒng)容量規(guī)劃及驗(yàn)收管理制度ISMS-3004 41.目的 42.范圍 43.職責(zé) 44.內(nèi)容 4五、信息資產(chǎn)密級(jí)管理規(guī)定ISMS-3005 41.目的 52.范圍 53.保密信息定義 54.秘密等級(jí)區(qū)分 55.信息的分類 56.保密文件的標(biāo)識(shí) 57.傳送 68.其它 6六、信息系統(tǒng)設(shè)備管理規(guī)定ISMS-3006 61.目的和范圍 72.引用文件 73.職責(zé) 74.設(shè)備管理流程 75.實(shí)施策略 106.相關(guān)記錄 10七、機(jī)房管理規(guī)定ISMS-3007 101.目的和范圍 102.引用文件 113.職責(zé)和權(quán)限 114.機(jī)房出入制度 115.機(jī)房環(huán)境管理 116.機(jī)房設(shè)備管理 127.相關(guān)記錄 12八、筆記本電腦管理規(guī)定ISMS-3008 131.目的 132.引用文件 133.職責(zé)和權(quán)限 134.筆記本電腦使用規(guī)定 135.安全配置規(guī)定 146.外部人員使用筆記本的規(guī)定 147.客戶現(xiàn)場(chǎng)管理規(guī)定 158.實(shí)施策略 159.相關(guān)記錄 15九、介質(zhì)管理規(guī)定ISMS-3009 151.目的和范圍 152.引用文件 153.職責(zé)和權(quán)限 164.介質(zhì)管理 165.實(shí)施策略 186.相關(guān)記錄 18十、變更管理規(guī)定ISMS-3010 181.目的 182.引用文件 183.職責(zé)和權(quán)限 194.變更步驟管理 195.程序 19十一、第三方服務(wù)管理規(guī)定ISMS-3011 211.目的和范圍 212.引用文件 213.職責(zé)和權(quán)限 214.第三方服務(wù)管理規(guī)定 215.實(shí)施策略 22十二、數(shù)據(jù)備份管理規(guī)定ISMS-3012 231.目的和范圍 232.引用文件 233.職責(zé)和權(quán)限 234.備份管理 235.備份的驗(yàn)證 24十三、郵件管理規(guī)定ISMS-3013 251.目的和范圍 252.引用文件 253.職責(zé)和權(quán)限 254.電子郵件的帳戶管理 255.電子郵件使用規(guī)定 266.郵件使用規(guī)定 267.實(shí)施策略 278.相關(guān)記錄 27十四、軟件管理規(guī)定ISMS-3014 271.目的和范圍 272.引用文件 273.職責(zé)與權(quán)限 274.軟件管理 285.審核、批準(zhǔn)、發(fā)布 286.軟件歸檔和存放 287.軟件使用 298.修訂與升級(jí) 299.軟件作廢 2910.實(shí)施策略 2911.相關(guān)記錄 30十五、系統(tǒng)監(jiān)控管理規(guī)定ISMS-3015 301.目的 302.引用文件 303.職責(zé) 304.系統(tǒng)監(jiān)控管理 30十六、補(bǔ)丁管理規(guī)定ISMS-3016 311.目的 312.引用文件 313.職責(zé)與權(quán)限 314.補(bǔ)丁管理規(guī)定 315.其他補(bǔ)?。?326.實(shí)施策略 327.相關(guān)記錄 33十七、信息系統(tǒng)審核規(guī)范ISMS-3017 331.目的和范圍 332.術(shù)語和定義 333.引用文件 334.職責(zé)和權(quán)限 345.活動(dòng)描述 346.審核注意事項(xiàng)： 35十八、基礎(chǔ)設(shè)施及服務(wù)器網(wǎng)絡(luò)管理制度ISMS-3018 351.機(jī)房安全管理程序 352.重要信息備份管理程序 383.目的 394.機(jī)房設(shè)備維護(hù)管理制度 41十九、信息系統(tǒng)安全應(yīng)急預(yù)案ISMS-3019 421.電力系統(tǒng)故障的應(yīng)急處理 422.消防系統(tǒng)應(yīng)急處理 423.網(wǎng)絡(luò)信息系統(tǒng)故障的應(yīng)急處理 434.網(wǎng)站與應(yīng)用系統(tǒng)應(yīng)急處理 435.黑客入侵的應(yīng)急處理 446.大規(guī)模病毒（含惡意軟件）攻擊的應(yīng)急處理 44二十、終端計(jì)算機(jī)使用管理制度ISMS-3020 451.計(jì)算機(jī)使用管理 452.存儲(chǔ)介質(zhì)的管理 473.辦公軟件使用管理規(guī)定 48二十一、信息安全管理規(guī)范和操作指南ISMS-3021 511.總則 512.物理安全 523.計(jì)算機(jī)的物理安全管理 524.緊急情況 525.網(wǎng)絡(luò)系統(tǒng)安全管理 526.網(wǎng)絡(luò)安全檢測(cè)。 537.信息系統(tǒng)安全管理 538.信息系統(tǒng)的內(nèi)部管理 549.密碼管理 55物理訪問制度ISMS-3001目的為了保障公司辦公區(qū)域資訊信息安全和員工人身及財(cái)物安全，防止公司財(cái)產(chǎn)流失，特制定本制度。范圍本制度適用于公司員工外出及外來人員進(jìn)入公司出入管理。職責(zé)公司設(shè)立接待人員,負(fù)責(zé)來訪人員登記管理。員工外出管理員工因工作需要外出,需向相應(yīng)上一級(jí)主管作出事由說明,經(jīng)批準(zhǔn)后方可外出。到客戶現(xiàn)場(chǎng)提供服務(wù)或工作的人員,需帶公司胸卡。來賓出入管理規(guī)定(1)凡是來賓訪客（包括外包協(xié)作廠商、客戶及政府等來訪人員）進(jìn)入公司內(nèi)時(shí)，一律須出示其有效證件，說明來訪事由，經(jīng)被訪人同意后，方可允許相關(guān)人員進(jìn)入辦公區(qū)。(2)團(tuán)體來賓參觀時(shí)，在得到總經(jīng)理或副總的許可后，須由相關(guān)人員陪同方可進(jìn)入。(3)員工親友私事來訪時(shí)，除特殊緊急事故，經(jīng)其部門主管核準(zhǔn)外，不得在上班時(shí)間內(nèi)會(huì)客，親友須于會(huì)客區(qū)內(nèi)等候至下班時(shí)會(huì)見。(4)公司內(nèi)部核心區(qū)域出入管理規(guī)定1)敏感區(qū)域公司敏感區(qū)域主要為內(nèi)部機(jī)房和經(jīng)理室.公司安裝監(jiān)控器;實(shí)施辦公區(qū)域24小時(shí)監(jiān)控.2)如需進(jìn)入上述敏感區(qū)域，需經(jīng)管理者代表/總經(jīng)理同意,否則不得進(jìn)入。l 相關(guān)文件物理訪問控制程序相關(guān)記錄無外部相關(guān)方信息安全管理規(guī)程ISMS-3002目的為確保被外部相關(guān)方訪問、處理、共享、管理的組織信息及信息處理設(shè)施的安全，特制定本管理規(guī)定。范圍本管理規(guī)定適用于公司外部相關(guān)方(包括顧客.供方.第三方)管理。職責(zé)技術(shù)部系統(tǒng)管理員負(fù)責(zé)制定本規(guī)定并負(fù)責(zé)執(zhí)行。管理規(guī)定(1)第三方物理訪問須經(jīng)公司被訪問部門的授權(quán),具體執(zhí)行《訪客管理制度》.(2)公司與顧客需明確規(guī)定信息安全要求，公司規(guī)定在與客戶簽訂合同中需規(guī)定必要的安全要求。(3)服務(wù)器訪問權(quán)需由技術(shù)部統(tǒng)一授權(quán)給用戶,一個(gè)用戶給予惟一賬號(hào),口令自行保管.(4)本公司公網(wǎng)接入服務(wù)提供方等為外包過程,此類外包服務(wù)商應(yīng)由技術(shù)部組織簽訂服務(wù)協(xié)議/合同,并應(yīng)收集其相關(guān)資質(zhì),經(jīng)公司評(píng)估成為合格供方后方可與之進(jìn)行經(jīng)濟(jì)來往.(5)采購(gòu)供方或任何其它相關(guān)方人員現(xiàn)場(chǎng)訪問公司現(xiàn)場(chǎng)時(shí),需由技術(shù)部接待,需要涉及到公司重要應(yīng)用軟件、重要設(shè)施及重要數(shù)據(jù)的訪問時(shí),必須由技術(shù)部人員授權(quán)方可使用或查閱,涉及到資料復(fù)制名外借時(shí),公司重要數(shù)據(jù)和文件需征得總經(jīng)理同意.(6)《服務(wù)合同》1年注意更新。與政府相關(guān)資質(zhì)申報(bào)及年審規(guī)定ISMS-3003目的:為公司對(duì)外與政府相關(guān)部門的相關(guān)業(yè)務(wù)聯(lián)系提供指導(dǎo);職責(zé):技術(shù)部負(fù)責(zé)各項(xiàng)政府項(xiàng)目的申報(bào)。財(cái)務(wù)部負(fù)責(zé)報(bào)稅和營(yíng)業(yè)執(zhí)照年審。技術(shù)部相關(guān)管理要求:(1)申報(bào)相關(guān)流程;由技術(shù)部按各政府部門項(xiàng)目申報(bào)的要求下載相關(guān)表格,并按要求組織填報(bào).(2)申報(bào)涉及到相關(guān)經(jīng)營(yíng)數(shù)據(jù)的審核相關(guān)經(jīng)營(yíng)數(shù)據(jù)在上報(bào)給政府部門前，先由核對(duì)數(shù)據(jù)，再交由綜合部，審核通過后由總經(jīng)理蓋公司公章。(3)技術(shù)部申報(bào)材料的備份管理所有上報(bào)給政府部門的文件數(shù)據(jù)都備份一份，由技術(shù)部資質(zhì)人員整理歸檔保存在辦公室檔案室中，并記錄檔案文件編號(hào)。(4)材料保密要求所有檔案文件材料由技術(shù)部專員負(fù)責(zé)看管，其他人員如要查閱，需先向技術(shù)申請(qǐng)，獲得總經(jīng)理批準(zhǔn)認(rèn)可后，到存放檔案的辦公室中查閱相關(guān)文件，檔案文件不允許帶出辦公室。相關(guān)資質(zhì)申報(bào)年審管理要求(1)報(bào)稅管理要求用政府財(cái)稅處相關(guān)報(bào)稅軟件，在線填寫企業(yè)經(jīng)營(yíng)數(shù)據(jù)，完成后由軟件系統(tǒng)上報(bào)。(2)營(yíng)業(yè)執(zhí)照管理要求接到政府相關(guān)部門通知后，持企業(yè)營(yíng)業(yè)執(zhí)照到指定政府辦事處辦理營(yíng)業(yè)執(zhí)照年審手續(xù)。信息系統(tǒng)容量規(guī)劃及驗(yàn)收管理制度ISMS-3004目的針對(duì)已確定的服務(wù)級(jí)別目標(biāo)和業(yè)務(wù)需求來設(shè)計(jì)、維持相應(yīng)的技術(shù)部服務(wù)能力，從而確保實(shí)際的技術(shù)部服務(wù)能夠滿足服務(wù)要求。范圍適用于公司所有硬件、軟件、外圍設(shè)備、人力資源容量管理。職責(zé)技術(shù)部負(fù)責(zé)確定、評(píng)估容量需求。內(nèi)容(1)容量管理包括：服務(wù)器,重要網(wǎng)絡(luò)設(shè)備：LAN、WAN、防火墻、路由器等；所有外圍設(shè)備：存儲(chǔ)設(shè)備、打印機(jī)等；所有軟件：操作系統(tǒng)、網(wǎng)絡(luò)、內(nèi)部開發(fā)的軟件包和購(gòu)買的軟件包；人力資源：要維持有足夠技能的人員。(2)對(duì)于每一個(gè)新的和正在進(jìn)行的活動(dòng)來說，公司管理層應(yīng)識(shí)別容量要求。(3)公司管理層每年應(yīng)在管理評(píng)審時(shí)評(píng)審系統(tǒng)容量的可用性和效率。公司管理層應(yīng)特別關(guān)注與訂貨交貨周期或高成本相關(guān)的所有資源，并監(jiān)視關(guān)鍵系統(tǒng)資源的利用，識(shí)別和避免潛在的瓶頸及對(duì)關(guān)鍵員工的依賴。(4)技術(shù)部應(yīng)根據(jù)業(yè)務(wù)規(guī)劃、預(yù)測(cè)、趨勢(shì)或業(yè)務(wù)需求,定期預(yù)測(cè)施加于綜合部系統(tǒng)上的未來的業(yè)務(wù)負(fù)荷以及組織信息處理能力，以適當(dāng)?shù)某杀竞惋L(fēng)險(xiǎn)按時(shí)獲得所需的容量,信息資產(chǎn)密級(jí)管理規(guī)定ISMS-3005目的確保公司營(yíng)運(yùn)利益，并防止與公司營(yíng)運(yùn)相關(guān)的保密信息泄漏。范圍本辦法適用于公司所有員工。保密信息定義保密信息指與公司營(yíng)運(yùn)相關(guān)且列入等級(jí)管理的相關(guān)信息。秘密等級(jí)區(qū)分等級(jí)分為秘密、內(nèi)控、公開三類，區(qū)分標(biāo)準(zhǔn)如下： (1)秘密：凡該信息泄漏后，足以嚴(yán)重?fù)p害本公司利益或有利于競(jìng)爭(zhēng)對(duì)手的。(2)內(nèi)控：凡該信息泄漏后，雖不致直接影響本公司利益，但可能使本公司經(jīng)營(yíng)管理因而造成困擾，需限制其閱讀對(duì)象的。(3) 內(nèi)控：凡該信息泄漏后，雖不致直接影響本公司利益，但可能使本公司經(jīng)營(yíng)管理因而造成困擾，需限制其閱讀對(duì)象的。(4) 公開：指可對(duì)社會(huì)公開的信息，公用的信息處理設(shè)備和系統(tǒng)資源.信息的分類(1) 信息資產(chǎn)的分類可參見附件＂信息分類表＂。如未列入分類表的信息資產(chǎn)，可依照下面的原則進(jìn)行判斷：(2) 秘密，由信息保管單位主管判定，且至少須為部門以上主管。(3) 內(nèi)控，由保密信息保管單位自行判定。保密文件的標(biāo)識(shí)(1) 文件類的信息在判定等級(jí)后，加蓋印章于文件及附件各頁(yè)右上角或其它明顯處。如頁(yè)數(shù)太多，得酌情抽頁(yè)蓋騎縫章。但級(jí)信息應(yīng)予編碼管控。(2) 非文件類的保密信息，包括檔案、電子郵件、投影片等，于判定等級(jí)后，應(yīng)于資料傳送／顯示前告知使用人或相關(guān)人員該項(xiàng)信息的密級(jí)。(3) 印章由技術(shù)部統(tǒng)一刻制，發(fā)放給各個(gè)部門使用。傳送(1) 內(nèi)部傳送(2) 秘密、內(nèi)控：保密信息保管單位應(yīng)將印刷形式保密信息密封后注明等級(jí)，再裝入傳遞袋中發(fā)送收件人;軟件形式定稿和完整信息以電子郵件方式傳遞時(shí)應(yīng)加密;內(nèi)控信息可不加密。(3) 外部傳送：印刷形式保密信息于外部傳送時(shí)應(yīng)以掛號(hào)函件或其它適當(dāng)方式寄送收件人。任何軟件形式的等級(jí)信息于公司外系統(tǒng)、或于公司外使用環(huán)境情況下，非經(jīng)加密均不得以電子郵件方式傳遞，以避免遭攔截轉(zhuǎn)送。(4) 其它未判定為任一等級(jí)但仍具有敏感性或半成品性質(zhì)的信息于傳送前可應(yīng)視情況加密。其它(1) 保密信息不得用于公司以外的公開活動(dòng)（如演講、授課、一般資料調(diào)查、出版發(fā)行等），如須于前述活動(dòng)使用，應(yīng)準(zhǔn)用第五條的規(guī)定，并經(jīng)管理者代表核準(zhǔn)。(2) 保密信息應(yīng)由管代/相關(guān)負(fù)責(zé)人妥善保管，并善盡管理保護(hù)職責(zé)。(3) 離職員工應(yīng)繳出其所持歸公司所有的一切資料及其任何形式復(fù)印件、副本，并確定確實(shí)歸還全部所持公司文件。(4) 新進(jìn)人員于入職當(dāng)天即應(yīng)簽署員工保密合約，在新進(jìn)人員簽署上述文件時(shí)，綜合部應(yīng)對(duì)合約書上有關(guān)企業(yè)保密信息等有關(guān)條文詳加說明與解釋，務(wù)必使新進(jìn)人員充分了解并遵守企業(yè)保密信息有關(guān)事項(xiàng)。(5) 保管人員判定保密信息無繼續(xù)保存的必要時(shí)，可經(jīng)各判定主管的上一級(jí)主管核準(zhǔn)后銷毀。信息、信息無保存必要時(shí)，應(yīng)將正本連同復(fù)印的保密信息，由原保管單位統(tǒng)一收回銷毀。(6) 本辦法經(jīng)總經(jīng)理核準(zhǔn)后公告實(shí)施，修訂時(shí)亦同。信息系統(tǒng)設(shè)備管理規(guī)定ISMS-3006目的和范圍本程序是對(duì)信息資產(chǎn)分類中物理資產(chǎn)下的硬件設(shè)備的規(guī)劃、購(gòu)置、安裝、驗(yàn)收、使用、維護(hù)、處置等各階段進(jìn)行有效控制，在保證設(shè)備安全的前提下最大限度發(fā)揮設(shè)備的效能，同時(shí)減少由于設(shè)備入網(wǎng)造成安全安全風(fēng)險(xiǎn)。引用文件(1) 下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。(2) ISO/IEC27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系要求(3) ISO/IEC27002:2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則(4) 介質(zhì)管理規(guī)定(5) 筆記本電腦管理規(guī)定(6) 機(jī)房管理規(guī)定職責(zé)1) 技術(shù)部:負(fù)責(zé)信息設(shè)備的規(guī)劃、安裝、驗(yàn)收、使用、維護(hù)、處置。信息設(shè)備指公司綜合部建設(shè)方面所需的硬件設(shè)備。負(fù)責(zé)重大設(shè)備或新類設(shè)備的安全評(píng)估、風(fēng)險(xiǎn)分析和安全驗(yàn)收。設(shè)備管理流程(1)設(shè)備入網(wǎng)1) 需按設(shè)備本身提供的“設(shè)備安全操作說明書”進(jìn)行正確操作和使用，設(shè)備在日常使用過程中應(yīng)注意安全；2) 系統(tǒng)工程師應(yīng)查找有關(guān)的風(fēng)險(xiǎn)評(píng)估報(bào)告，確定準(zhǔn)備入網(wǎng)的設(shè)備是否已做過風(fēng)險(xiǎn)評(píng)估。3) 如果沒有類似的設(shè)備做過風(fēng)險(xiǎn)分析和處置計(jì)劃，則應(yīng)按風(fēng)險(xiǎn)評(píng)估的要求，通知信息安全管理小組進(jìn)行。4) 如果做過風(fēng)險(xiǎn)分析和處置計(jì)劃，則應(yīng)按照相關(guān)的處置計(jì)劃和實(shí)施要求，制定設(shè)備入網(wǎng)計(jì)劃。5) 系統(tǒng)工程師對(duì)計(jì)劃入網(wǎng)的設(shè)備在獨(dú)立的測(cè)試環(huán)境中進(jìn)行測(cè)試，測(cè)試通過后提交綜合部審批。6) 技術(shù)部批準(zhǔn)入網(wǎng)申請(qǐng)后,由系統(tǒng)工程師組織設(shè)備入網(wǎng)。7) 設(shè)備入網(wǎng)應(yīng)按照處置計(jì)劃和入網(wǎng)計(jì)劃對(duì)設(shè)備進(jìn)行安全加固。8) 對(duì)入網(wǎng)系統(tǒng)進(jìn)行一段時(shí)間的監(jiān)控，以觀察入網(wǎng)是否生效。如果發(fā)現(xiàn)問題,要及時(shí)進(jìn)行處理,必要時(shí)要尋求供應(yīng)商的協(xié)助。監(jiān)控一段時(shí)間后，設(shè)備擔(dān)當(dāng)組織人員進(jìn)行驗(yàn)收，并通知信息安全管理小組對(duì)系統(tǒng)進(jìn)行安全檢測(cè)。(2)設(shè)備安置與保護(hù)(3)信息設(shè)備安裝管理1) 技術(shù)部對(duì)信息設(shè)備安全的安置與保護(hù)工作，包括對(duì)溫度、濕度的監(jiān)測(cè)和日常的巡檢等，詳見《機(jī)房管理規(guī)定》。2) 信息安全設(shè)備的安置應(yīng)按照設(shè)備制造商的說明，安置工作由專業(yè)人員進(jìn)行。3) 信息安全設(shè)備安置要選擇能夠避免或減少未授權(quán)訪問的物理場(chǎng)所，應(yīng)采取措施以減小潛在的物理威脅的風(fēng)險(xiǎn)。4) 重要系統(tǒng)使用的信息設(shè)備安置在專用的機(jī)房?jī)?nèi)。5) 安置在室外的信息設(shè)備要注意防盜、防雨、防雷、防塵、防腐蝕等工作。6) 確保消防設(shè)備充足并隨時(shí)可用，定期進(jìn)行消防演練。(4)支持性設(shè)施安置管理1) 技術(shù)部負(fù)責(zé)信息安全設(shè)備支持性設(shè)施的管理工作，包括提供、維護(hù)、維修等。2) 對(duì)支持關(guān)鍵業(yè)務(wù)操作的信息設(shè)備，使用不間斷電源（UPS）。UPS設(shè)備要定期地檢查，，詳見《機(jī)房管理規(guī)定》。3) 應(yīng)急電源開關(guān)應(yīng)位于設(shè)備房間應(yīng)急出口附近，以便緊急情況時(shí)快速切斷電源。萬一主電源出現(xiàn)故障時(shí)要提供應(yīng)急照明。4) 技術(shù)部要確保通風(fēng)和空調(diào)系統(tǒng)等運(yùn)行良好，對(duì)其運(yùn)行情況可進(jìn)行定期檢查。(5)線纜安全1) 公司網(wǎng)絡(luò)系統(tǒng)進(jìn)入信息設(shè)備的電源和電信線路布在地板上,要建有冗余線路或留有可替換線路，以保障線路的可用性。2) 電纜要避開公眾區(qū)域,鋪設(shè)電纜要有線槽保護(hù)，以避免未授權(quán)竊聽或損壞的危害。為了防止干擾,電源電纜要與通信電纜分開布線。3) 要采取切實(shí)有效的措施防范鼠患，防止電纜被鼠噬。4) 電纜要使用牢固、清晰、可識(shí)別的標(biāo)記,使用文件化配線列表減少布線失誤的可能性,以使失誤最小化，詳見《機(jī)房管理規(guī)定》。(6)設(shè)備移動(dòng)1) 在公司物理環(huán)境以外嚴(yán)禁放置服務(wù)器、交換機(jī)、電腦等信息設(shè)備。2) 公司原則上禁止機(jī)房設(shè)備移出公司物理環(huán)境。如確因工作需要，如展會(huì)、維修等，需將公司的服務(wù)器、交換機(jī)、路由器等信息設(shè)備移到辦公地點(diǎn)外使用，需經(jīng)研發(fā)主管批準(zhǔn)后才能移出公司的物理環(huán)境。3) 如需要供應(yīng)商將設(shè)備移出公司物理環(huán)境進(jìn)行維修時(shí)，在設(shè)備移出前，設(shè)備管理人員要將設(shè)備中敏感信息從設(shè)備中刪除或確保維護(hù)人員對(duì)其不可訪問或獲取。4) 離開建筑物的信息設(shè)備和移動(dòng)介質(zhì)在公共場(chǎng)所要有專人看護(hù)和保管，不允許無人值守，適當(dāng)時(shí)，還要施加其它措施進(jìn)行控制，例如上鎖，以防止損壞、盜竊等事件發(fā)生。5) 筆記本在公司辦公場(chǎng)所以外使用，依《筆記本電腦管理規(guī)定》。(7)維護(hù)、保養(yǎng)1) 機(jī)器設(shè)備日常維護(hù)由設(shè)備使用者在日常使用時(shí)進(jìn)行，維護(hù)項(xiàng)目限于查看設(shè)備外觀有無明顯損壞、是否正常工作、是否通電正常等內(nèi)容。2) 定期維護(hù)由技術(shù)部專業(yè)工程師或供應(yīng)商進(jìn)行，定期維護(hù)根據(jù)不同設(shè)備決定不同的維護(hù)周期，從一周一次到半年一次不等，定期維護(hù)項(xiàng)目包括軟硬件更換、性能檢查、性能調(diào)優(yōu)等。3) 定期維護(hù)和年底維護(hù)后，要將維護(hù)項(xiàng)目、維護(hù)過程、維護(hù)人員、維護(hù)結(jié)果等內(nèi)容詳細(xì)記錄在《設(shè)備維護(hù)記錄》中。(8)設(shè)備處置1) 設(shè)備的處置由設(shè)備使用部門提出，經(jīng)經(jīng)總經(jīng)理批準(zhǔn)后，對(duì)設(shè)備進(jìn)行處理；2) 信息設(shè)備在處置過程中須考慮信息安全。3) 設(shè)備報(bào)廢前設(shè)備管理責(zé)任人要負(fù)責(zé)刪除所有信息，對(duì)包含敏感信息的設(shè)備要對(duì)其信息載體在物理上應(yīng)予以銷毀，或者采用使原始信息不可獲取的技術(shù)將其安全地重寫，如消磁。4) 信息設(shè)備的報(bào)廢工作由綜合部負(fù)責(zé)，需要填寫《廢棄介質(zhì)處置記錄》,經(jīng)總經(jīng)理批準(zhǔn)后，才能進(jìn)行報(bào)廢。5) 對(duì)于因閑置、人員離辭或設(shè)備換代等原因不再使用的信息設(shè)備，特別是個(gè)人電腦，在設(shè)備歸倉(cāng)前，要采用信息不可獲取的技術(shù)將其敏感信息、工作信息和個(gè)人信息刪除。以確保在設(shè)備重用時(shí)，重用者不會(huì)獲得與其工作無關(guān)的內(nèi)容。6) 對(duì)試用設(shè)備和測(cè)試設(shè)備（無論是自有的還是供應(yīng)商的）中的信息在試用和測(cè)試后，由試用或測(cè)試人員立即清除，防止重要信息泄露。7) 廢棄介質(zhì)處理方法參見《介質(zhì)管理規(guī)定》實(shí)施策略(1) 設(shè)備管理規(guī)定涉及到包括《設(shè)備維護(hù)記錄》共1個(gè)表單。(2) 對(duì)設(shè)備的定期維護(hù)等內(nèi)容詳細(xì)填寫《設(shè)備維護(hù)記錄》。相關(guān)記錄本程序發(fā)生的記錄匯總表 ISMS文件日常應(yīng)用表格表號(hào)記錄編號(hào)記錄名稱保管場(chǎng)所保存期限保存形式備注表A.1ISMS-3009-01設(shè)備維護(hù)記錄表技術(shù)部1年電子機(jī)房管理規(guī)定ISMS-3007目的和范圍為科學(xué)、有效地管理機(jī)房，促進(jìn)各信息系統(tǒng)在機(jī)房安全的、穩(wěn)定的、高效的運(yùn)行，特制定本規(guī)定。引用文件(1) 下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。(2) ISO/IEC27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系要求(3) ISO/IEC27002:2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)（4）設(shè)備管理規(guī)定（5）訪問控制程序職責(zé)和權(quán)限技術(shù)部：負(fù)責(zé)責(zé)機(jī)房的日常檢查、維護(hù)和管理工作，及當(dāng)發(fā)生緊急事件時(shí)，按應(yīng)急預(yù)案進(jìn)行相應(yīng)的處置。機(jī)房出入制度(1) 機(jī)房的進(jìn)出由技術(shù)部嚴(yán)格管理。機(jī)房的鑰匙保存技術(shù)部。如需進(jìn)入機(jī)房，必須得到技術(shù)部的授權(quán)，在技術(shù)部領(lǐng)取鑰匙后方可進(jìn)入。(2) 未經(jīng)許可不準(zhǔn)攜帶任何磁帶（盤）、磁介質(zhì)和資料進(jìn)入機(jī)房。經(jīng)特許攜帶的，必須由專人陪同方可進(jìn)入。(3) 未經(jīng)許可不允許使用攝影、錄像、筆記、或其它音像記錄設(shè)備等。機(jī)房環(huán)境管理(1) 技術(shù)部對(duì)機(jī)房環(huán)境每半月進(jìn)行一次檢查，對(duì)發(fā)現(xiàn)的問題要及時(shí)解決。填寫《機(jī)房巡檢記錄表》。(2) 機(jī)房?jī)?nèi)要保持設(shè)備無塵、布線整齊、物品就位、資料齊全。(3) 機(jī)房?jī)?nèi)嚴(yán)禁堆放與工作無關(guān)的其它物品及紙質(zhì)物品。做好消防滅火設(shè)備檢查工作(4) 機(jī)房?jī)?nèi)禁止飲食、吸煙、打鬧、大聲喧嘩，機(jī)房?jī)?nèi)不得會(huì)客、閑談。(5) 機(jī)房?jī)?nèi)備有溫度計(jì)和濕度計(jì)，溫度保持在18℃-25℃，濕度保持在40%-60%。溫度計(jì)和濕度計(jì)應(yīng)每年作一次檢測(cè)。(6) 機(jī)房接地系統(tǒng)要符合相應(yīng)的技術(shù)標(biāo)準(zhǔn)，各個(gè)設(shè)備交流工作電源應(yīng)有工作接地，機(jī)柜應(yīng)有效接地。。(7) 機(jī)房配電柜要有防雷設(shè)施，進(jìn)出機(jī)房的電纜應(yīng)有防雷措施。(8) 機(jī)房用電要使用獨(dú)立的電線，專用變壓器、電源穩(wěn)壓器等。(9) 機(jī)房的環(huán)境應(yīng)達(dá)到機(jī)房建設(shè)的設(shè)計(jì)要求。機(jī)房設(shè)備管理(1) 機(jī)房要有完整的網(wǎng)絡(luò)拓?fù)鋱D、物理拓?fù)鋱D。(2) 機(jī)房?jī)?nèi)的所有設(shè)備應(yīng)貼有設(shè)備標(biāo)簽，并注明設(shè)備的主要參數(shù)。(3) 主機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備的各類接線的兩端應(yīng)設(shè)置標(biāo)簽，網(wǎng)絡(luò)接口側(cè)應(yīng)注明連接的設(shè)備。(4) 對(duì)主要網(wǎng)絡(luò)設(shè)備如核心路由器、交換機(jī)、防火墻、IDS等設(shè)備的配置文件每6個(gè)月進(jìn)行進(jìn)行一次評(píng)審。(5)對(duì)機(jī)房的主機(jī)設(shè)備及智能網(wǎng)絡(luò)交換裝置應(yīng)嚴(yán)格管理，做好事故預(yù)想，制定周密的故障應(yīng)急措施。(6)嚴(yán)禁擅自在運(yùn)行的小型機(jī)、交換機(jī)、路由器等設(shè)備上進(jìn)行開發(fā)、維護(hù)、調(diào)試或?qū)W習(xí)培訓(xùn)等工作。(7)實(shí)施策略1) 機(jī)房管理規(guī)定涉及的《機(jī)房巡檢記錄表》共1個(gè)表單。相關(guān)記錄本程序發(fā)生的記錄匯總表 ISMS文件日常應(yīng)用表格表號(hào)記錄編號(hào)記錄名稱保管場(chǎng)所保存期限保存形式備注表A.1ISMS-3021-01機(jī)房巡檢記錄表信息安全小組1年紙質(zhì) 筆記本電腦管理規(guī)定ISMS-3008目的建立筆記本電腦設(shè)備的使用規(guī)定及其與互聯(lián)網(wǎng)的連接制度，這些規(guī)定是保持信息資源保密性、完整性和可用性所必需的。為加強(qiáng)業(yè)務(wù)筆記本電腦設(shè)備的合理利用與筆記本電腦設(shè)備信息安全管理，特制定該管理規(guī)定。適用所有業(yè)務(wù)部門員工和需在業(yè)務(wù)部門辦公室工作的人員。引用文件(1).下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。(2).ISO/IEC27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系要求(3).ISO/IEC27002:2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則(4).防范病毒及惡意軟件管理規(guī)定職責(zé)和權(quán)限(1) 總經(jīng)理：負(fù)責(zé)筆記本電腦申請(qǐng)的審批(2) 技術(shù)部：負(fù)責(zé)筆記本電腦的發(fā)放管理(3) 使用人員：負(fù)責(zé)便攜計(jì)算機(jī)的日常使用保養(yǎng)和維護(hù)。筆記本電腦使用規(guī)定(1) 公司所有筆記本電腦由使用人員自行保管負(fù)責(zé),若是公司統(tǒng)一配置的在辭職時(shí)應(yīng)到綜合部辦理電腦交接手續(xù),并在《離職交接清單》中作好備注。(2) 技術(shù)部授權(quán)使用的筆記本電腦未經(jīng)部門經(jīng)理同意嚴(yán)格禁止帶出公司。(3) 未經(jīng)許可，員工不得攜帶個(gè)人筆記本電腦設(shè)備進(jìn)入公司辦公場(chǎng)所。(4) 筆記本電腦設(shè)備必須有嚴(yán)格的口令訪問控制措施，口令設(shè)置需滿足公司安全策略要求。(5) 對(duì)無人看守的筆記本電腦設(shè)備必須實(shí)施物理保護(hù)，必須放在帶鎖的辦公室、抽屜或文件柜里；(6) 筆記本電腦設(shè)備丟失或被竊后應(yīng)及時(shí)報(bào)告給部門經(jīng)理和技術(shù)部。(7) 除自然損壞外，凡人為損壞（如撞壞、跌壞、電源插錯(cuò)燒壞等）由本人負(fù)責(zé)修好，費(fèi)用由個(gè)人承擔(dān)。(8) 便攜機(jī)中除工作所需的軟件外，不導(dǎo)入其他與工作無關(guān)的軟件。特別要保證便攜機(jī)不帶病毒。安全配置規(guī)定(1) 授權(quán)使用的筆記本電腦設(shè)備必須安裝公司安全策略規(guī)定的防病毒軟件；(2) 筆記本電腦設(shè)備每月進(jìn)行一次病毒軟件和操作系統(tǒng)補(bǔ)丁檢查和評(píng)審,由電腦使用人員自行負(fù)責(zé).(3) 筆記本電腦設(shè)備若支持內(nèi)置的硬盤加密措施，應(yīng)啟用該措施，以免電腦或硬盤丟失后造成數(shù)據(jù)泄密。(4) 公司采用相關(guān)產(chǎn)品和方法對(duì)筆記本數(shù)據(jù)進(jìn)行加密處理和使用，防止信息泄密。(5) 公司采用相關(guān)產(chǎn)品和方法對(duì)筆記本進(jìn)行監(jiān)控(6) 公司內(nèi)部未經(jīng)授權(quán)禁止開啟無線網(wǎng)卡功能。禁止使用公司外部的未設(shè)安全機(jī)制的無線網(wǎng)絡(luò)，系統(tǒng)管理員要每月掃描一次公司能接受到的外部不安全網(wǎng)絡(luò)。(7) 公司的無線網(wǎng)絡(luò)僅供授權(quán)的技術(shù)支持人員使用，其他未經(jīng)技術(shù)部授權(quán)禁止便攜機(jī)連入使用。外部人員使用筆記本的規(guī)定(1) 外部人員使用的筆記本電腦只能連接到公共上網(wǎng)區(qū)，通過獨(dú)立于公司內(nèi)部的專用網(wǎng)絡(luò)上網(wǎng)。出于安全考慮，一般不予考慮客人接入公司內(nèi)部網(wǎng)絡(luò)。(2) 外部人員接待負(fù)責(zé)人需提前通知技術(shù)部該外部人員筆記本電腦使用的地點(diǎn)，便于技術(shù)部配置相關(guān)網(wǎng)絡(luò)。(3) 若外部人員需要在業(yè)務(wù)辦公地點(diǎn)長(zhǎng)期工作（指超過2周時(shí)間），需經(jīng)技術(shù)部經(jīng)理批準(zhǔn)。客戶現(xiàn)場(chǎng)管理規(guī)定(1) 在客戶現(xiàn)場(chǎng)進(jìn)行開發(fā)及維護(hù)等工作時(shí)，在遵守本公司管理規(guī)定時(shí)，同時(shí)要遵守客戶的管理方面相關(guān)規(guī)定。(2) 如在客戶現(xiàn)場(chǎng)工作時(shí)需要使用筆記本，相關(guān)部門人員應(yīng)盡量使用本部門公共筆記本，并進(jìn)行登記。(3) 在客戶現(xiàn)場(chǎng)使用筆記本工作時(shí)，必須注意信息的保密，防止筆記本內(nèi)信息泄露。(4) 筆記本內(nèi)新產(chǎn)生的數(shù)據(jù)應(yīng)及時(shí)在客戶備份系統(tǒng)或公司備份系統(tǒng)上進(jìn)行備份，防止數(shù)據(jù)丟失。實(shí)施策略自行保管負(fù)責(zé);無線網(wǎng)絡(luò)加密上網(wǎng);相關(guān)記錄無介質(zhì)管理規(guī)定ISMS-3009目的和范圍任何信息設(shè)備，如：計(jì)算機(jī)、交換機(jī)、打印機(jī)、傳真機(jī)、復(fù)印機(jī)等，都需要介質(zhì)進(jìn)行存儲(chǔ)，當(dāng)存儲(chǔ)設(shè)備或可移動(dòng)介質(zhì)需要轉(zhuǎn)移或銷毀時(shí)，如果處理不當(dāng)，很容易造成信息泄漏。因此，必須按規(guī)定執(zhí)行處置。適用于移動(dòng)存儲(chǔ)設(shè)備/介質(zhì)在本公司辦公場(chǎng)所及房機(jī)內(nèi)的使用管理。引用文件(1) 下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。(2) ISO/IEC27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系要求(3) ISO/IEC27002:2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則職責(zé)和權(quán)限(1) 綜合部負(fù)責(zé)對(duì)公司各類的可移動(dòng)介質(zhì)和存儲(chǔ)介質(zhì)的發(fā)放、使用、處置的進(jìn)行管理。(2) 介質(zhì)使用部門和使用者(3)由部門負(fù)責(zé)管理的介質(zhì)，由該部門領(lǐng)導(dǎo)指定專人負(fù)責(zé)保管。個(gè)人使用的介質(zhì)由本人負(fù)責(zé)保管。介質(zhì)管理(1)介質(zhì)分類1) 技術(shù)部對(duì)公司使用的介質(zhì)，進(jìn)行介質(zhì)分類，制定《介質(zhì)管理分類表》。2) 介質(zhì)分為一般介質(zhì)和可移動(dòng)介質(zhì)，一般介質(zhì)包括：計(jì)算機(jī)存儲(chǔ)介質(zhì)，可移動(dòng)介質(zhì)是指U盤、移動(dòng)硬盤、數(shù)碼相機(jī)、光盤、光盤刻錄機(jī)、PDA、帶USB接口的MP3/MP4播放器等。(2)介質(zhì)使用管理1) 一般情況下公司禁止使用可移動(dòng)介質(zhì)。2) 確因工作需要使用移動(dòng)介質(zhì)，須經(jīng)本部門領(lǐng)導(dǎo)批準(zhǔn)后方可到技術(shù)部領(lǐng)用。3) 技術(shù)部負(fù)責(zé)可移動(dòng)介質(zhì)的發(fā)放，并填寫《可移動(dòng)介質(zhì)授權(quán)使用表》。4) 授權(quán)用戶要注意保護(hù)自己所屬可移動(dòng)介質(zhì)不被盜取。5) 授權(quán)用戶要注意保護(hù)自己所屬可移動(dòng)介質(zhì)不被盜取。保管時(shí)要放置于安全的區(qū)域內(nèi)，如帶鎖的柜子；6) 非本公司工作人員禁止在內(nèi)部網(wǎng)絡(luò)設(shè)備上使用可移動(dòng)介質(zhì)。7) 各使用人必須每月一次對(duì)自己使用的移動(dòng)介質(zhì)進(jìn)行病毒掃描。8) 使用可移動(dòng)介質(zhì)保存公司秘密數(shù)據(jù)時(shí)，移動(dòng)介質(zhì)必須采用必要的加密措施，防止信息泄露，有條件時(shí)使用帶有加密功能的可移動(dòng)介質(zhì)設(shè)備。9) 用戶在將可移動(dòng)介質(zhì)帶離公司后，要為其上所有信息資源的安全負(fù)責(zé)，做好安全保護(hù)工作。一旦遺失，立刻上報(bào)技術(shù)部進(jìn)行登記。10) 光盤的刻錄：a) 帶有公司標(biāo)志的光盤，只能刻錄公司自己的程序軟件，不得刻錄例如操作系統(tǒng)、數(shù)據(jù)庫(kù)等軟件。b) 公司銷售時(shí)，必須刻錄光盤時(shí)，由技術(shù)部專門負(fù)責(zé)人進(jìn)行刻錄，其他人員不得隨意刻錄光盤。(3)客戶現(xiàn)場(chǎng)使用規(guī)定1) 必須嚴(yán)格將筆記本病毒防火墻升級(jí)到最新。2) 能使用客戶提供的U盤、移動(dòng)硬盤的，使用客戶提供的設(shè)備。3) 必須使用自己的U盤、移動(dòng)硬盤在客戶計(jì)算機(jī)上使用的，必須先對(duì)U盤、移動(dòng)硬盤進(jìn)行病毒掃描，保證提供給客戶的設(shè)備中不包含病毒。(4)介質(zhì)處置1) 技術(shù)部對(duì)介質(zhì)分類表內(nèi)的介質(zhì)的廢棄進(jìn)行統(tǒng)一管理，對(duì)廢棄的介質(zhì)采用恰當(dāng)?shù)慕橘|(zhì)處置方法。2) 計(jì)算機(jī)硬盤、U盤、可移動(dòng)硬盤、光盤、數(shù)碼存儲(chǔ)介質(zhì)等報(bào)廢時(shí)必須粉碎處理。3) 對(duì)廢棄的可移動(dòng)介質(zhì)在《可移動(dòng)介質(zhì)授權(quán)使用表》中跟蹤填寫廢棄記錄。4) 對(duì)廢棄的一般介質(zhì)處理填寫《廢棄介質(zhì)處置記錄》5) 介質(zhì)的銷毀方式一般分為一般格式化、低級(jí)格式化、專業(yè)軟件重寫、物理粉碎。6) 對(duì)無敏感信息的介質(zhì)作一般格式化即可，在保證質(zhì)量的基礎(chǔ)上重新分配和使用。7) 介質(zhì)中保存有敏感信息的存儲(chǔ)介質(zhì)應(yīng)當(dāng)?shù)玫桨踩拇娣藕吞幹?。?duì)于含有敏感信息的介質(zhì)應(yīng)采用低級(jí)格式化或?qū)I(yè)軟件重寫，反復(fù)次數(shù)為三次，才能重新分配和使用。8) 保存有敏感信息的存儲(chǔ)介質(zhì)廢棄時(shí)，要進(jìn)行粉碎處理。實(shí)施策略(1) 介質(zhì)管理規(guī)定涉及的《介質(zhì)管理表》中包括《介質(zhì)管理分類表》、《可移動(dòng)介質(zhì)授權(quán)使用表》、《廢棄介質(zhì)處置記錄》。(2) 技術(shù)部制定《介質(zhì)管理分類表》。(3) 技術(shù)部負(fù)責(zé)可移動(dòng)介質(zhì)的發(fā)放，并填寫《可移動(dòng)介質(zhì)授權(quán)使用表》。(4) 對(duì)廢棄的可移動(dòng)介質(zhì)在《可移動(dòng)介質(zhì)授權(quán)使用表》中跟蹤填寫廢棄記錄。(5) 對(duì)廢棄的一般介質(zhì)處理填寫《廢棄介質(zhì)處置記錄》相關(guān)記錄本程序發(fā)生的記錄匯總表ISMS文件日常應(yīng)用表格表號(hào)記錄編號(hào)記錄名稱保管場(chǎng)所保存期限保存形式備注表A.1ISMS-3012-01介質(zhì)管理分類表技術(shù)部3年電子表A.2ISMS-3012-02可移動(dòng)介質(zhì)授權(quán)使用表技術(shù)部3年紙質(zhì)表A.3ISMS-3012-03廢棄介質(zhì)處置記錄技術(shù)部3年電子變更管理規(guī)定ISMS-3010目的對(duì)信息處理設(shè)施和系統(tǒng)的變更缺乏控制是系統(tǒng)故障或安全失誤的常見原因，為規(guī)范本公司信息系統(tǒng)的變更，降低因信息系統(tǒng)變更帶來的風(fēng)險(xiǎn)，特制定本程序。引用文件（1) 下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。（2) ISO/IEC27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系要求（3) ISO/IEC27002:2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則職責(zé)和權(quán)限（1) 技術(shù)部：技術(shù)部是公司信息系統(tǒng)變更的歸口管理部門，負(fù)責(zé)批準(zhǔn)變更的計(jì)劃、實(shí)施、恢復(fù)，總體評(píng)價(jià)變更影響，決策管理；并實(shí)施變更。(2) 其他各部門：負(fù)責(zé)分管的各自工作系統(tǒng)的計(jì)劃申請(qǐng)和總體評(píng)價(jià)變更影響。變更步驟管理變更申請(qǐng)---變更審批----變更處理.程序(1)變更分類1)技術(shù)部設(shè)備變更：包括系統(tǒng)中服務(wù)器、網(wǎng)絡(luò)設(shè)備、傳輸線路及計(jì)算機(jī)終端的新增、減少及其設(shè)備本身的變化（包括設(shè)備的報(bào)廢）；2)操作系統(tǒng)軟件變更：包括新安裝、補(bǔ)丁、版本升級(jí)及更換（如打ZLJY2補(bǔ)?。?；3)開發(fā)軟件包的變更。(2)技術(shù)部設(shè)備變更控制軟件設(shè)備（包括傳輸線路)的變更需求由技術(shù)部門根據(jù)組織業(yè)務(wù)發(fā)展的需要提出，填寫《變更申請(qǐng)審批處理表》，經(jīng)技術(shù)部門經(jīng)理批準(zhǔn)后予以實(shí)施。(3)操作系統(tǒng)軟件變更當(dāng)軟件廠商發(fā)布操作系統(tǒng)或應(yīng)用軟件的更新補(bǔ)丁或版本時(shí)，技術(shù)部人員負(fù)責(zé)分析更新內(nèi)容對(duì)公司現(xiàn)有業(yè)務(wù)及工作的影響，技術(shù)部人員可以先選一臺(tái)測(cè)試機(jī)安裝最新補(bǔ)丁，在未發(fā)現(xiàn)對(duì)工作業(yè)務(wù)產(chǎn)生重要負(fù)面影響的前提下，為使用該操作系統(tǒng)或應(yīng)用軟件的用戶安裝補(bǔ)丁。(4)軟件的變更控制當(dāng)客戶重新對(duì)項(xiàng)目的某一或某些模塊進(jìn)行重要要求時(shí)，項(xiàng)目組負(fù)責(zé)跟蹤客戶的新要求,進(jìn)行業(yè)務(wù)及可以行性分析，組織有關(guān)人員進(jìn)行方案評(píng)審，考慮系統(tǒng)改造對(duì)現(xiàn)有業(yè)務(wù)的影響，并制定有效的風(fēng)險(xiǎn)控制措施，方案在評(píng)審?fù)ㄟ^后，修改《需求開發(fā)說明書》，針對(duì)發(fā)生變更的模塊，修改相應(yīng)的詳細(xì)設(shè)計(jì)書，數(shù)據(jù)庫(kù)說明書，源程序。并對(duì)整個(gè)項(xiàng)目重新進(jìn)行測(cè)試。在軟件正式變更前，項(xiàng)目組應(yīng)考慮以下方面的安全要求：1)變更對(duì)目前業(yè)務(wù)的影響；2)變更對(duì)現(xiàn)有軟件的影響；3)變更實(shí)施前應(yīng)進(jìn)行安全測(cè)試；4)不成功的變更恢復(fù)措施。在變更實(shí)施前，由技術(shù)部門填寫《變更申請(qǐng)審批處理表》，明確變更的原因、變更范圍、變更影響的分析及對(duì)策（包括不成功變更的恢復(fù)措施），經(jīng)技術(shù)部人員批準(zhǔn)后予以實(shí)施。(5)變更實(shí)施的安全要求在變更實(shí)施之前，必要時(shí)，將重要的數(shù)據(jù)、系統(tǒng)軟件進(jìn)行備份，以便變更不成功之后的恢復(fù)。在變更實(shí)施之前，必要時(shí)，應(yīng)和相關(guān)部門協(xié)商，以便確定適當(dāng)?shù)淖兏鼤r(shí)間，盡可能的將對(duì)業(yè)務(wù)的影響減至最低。(6)變更驗(yàn)收與記錄當(dāng)變更成功提交后，需由用戶進(jìn)行驗(yàn)收，確認(rèn)其是否已完成用戶所提的要求，達(dá)到預(yù)期的效果，并記錄此次變更操作。(7)設(shè)備報(bào)廢設(shè)備報(bào)廢應(yīng)得到綜合部批準(zhǔn)后實(shí)施。報(bào)廢設(shè)備中存有敏感信息，必須予以清除.(8)變更后軟件備份要求當(dāng)變更完成后，需將此次所運(yùn)行的軟件進(jìn)行備份，包括其相關(guān)資料，以便再一次變更以及資料查詢；如果此次變更涉及到一些資料文件，則這些資料文件也必須做相應(yīng)的變更并存檔。(9)變更不成功的恢復(fù)措施取消所做變更，從備份資料中獲得原始軟件資料，重新運(yùn)行，恢復(fù)原始狀態(tài)。根據(jù)變更操作記錄，查找變更失敗原因，以便再次做變更操作時(shí)避免同樣的錯(cuò)誤發(fā)生。第三方服務(wù)管理規(guī)定ISMS-3011目的和范圍對(duì)第三方提供的服務(wù)進(jìn)行規(guī)范，減少由于服務(wù)不規(guī)范帶來的信息安全方面的風(fēng)險(xiǎn)。引用文件(1) 下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。(2) ISO/IEC27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系要求(3) ISO/IEC27002:2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則職責(zé)和權(quán)限(1) 技術(shù)部：是信息安全方面的第三方服務(wù)的歸口管理部門，負(fù)責(zé)對(duì)信息安全方面的第三方服務(wù)的定期監(jiān)控和評(píng)審。(2) 技術(shù)部：是日常行政管理方面的第三方服務(wù)的歸口管理部門，負(fù)責(zé)對(duì)行政方面的第三方服務(wù)的定期監(jiān)控和評(píng)審。負(fù)責(zé)第三方服務(wù)合同中條款的審核。第三方服務(wù)管理規(guī)定(1) 技術(shù)部匯總各部門的資產(chǎn)識(shí)別表，整理出公司的《第三方服務(wù)匯總表》，明確需要按本規(guī)定進(jìn)行管理的第三方服務(wù)項(xiàng)目和其中重要的第三方服務(wù)。(2) 將設(shè)備、網(wǎng)絡(luò)、系統(tǒng)、軟件、信息安全、保安、保潔等事項(xiàng)進(jìn)行外包時(shí)，重要的第三方服務(wù)必須簽訂要與第三方服務(wù)提供方簽署《服務(wù)合同》，能接觸到公司敏感信息資產(chǎn)的服務(wù)項(xiàng)目的服務(wù)合同中應(yīng)包含第三方保密要求的內(nèi)容。(3) 所有的第三方服務(wù)的提供方需提供服務(wù)人員的姓名、聯(lián)系方式等信息，技術(shù)部匯總《第三方服務(wù)廠商聯(lián)系表》(4) 重要的第三方服務(wù)人員服務(wù)時(shí)相關(guān)的原始服務(wù)單據(jù)由歸口管理部門負(fù)責(zé)驗(yàn)收簽字并保存好相關(guān)服務(wù)記錄。(5) 對(duì)服務(wù)提供方技術(shù)人員在現(xiàn)場(chǎng)處理需要設(shè)備入網(wǎng)時(shí)，必須經(jīng)技術(shù)部門領(lǐng)導(dǎo)同意后方可入網(wǎng)。(6) 對(duì)第三方提供服務(wù)的能力進(jìn)行評(píng)定，必要時(shí)通過招投標(biāo)，確定合格第三方。(7) 要確保第三方保持充分的提供服務(wù)的能力，即便發(fā)生重大的服務(wù)故障或?yàn)?zāi)難也能保持服務(wù)的連貫性。(8) 每次第三方服務(wù)完成時(shí)指定專人按照服務(wù)合同要求對(duì)服務(wù)內(nèi)容和質(zhì)量進(jìn)行記錄和評(píng)審，并在相關(guān)服務(wù)原始記錄中作好驗(yàn)收簽字確認(rèn)。(9) 第三方服務(wù)歸口管理部門應(yīng)每年對(duì)服務(wù)提供商進(jìn)行定期評(píng)審，以確認(rèn)是否繼續(xù)列為合格服務(wù)商。(10) 當(dāng)服務(wù)提供方發(fā)生變更時(shí)，進(jìn)行服務(wù)提供方變更登記，并進(jìn)行服務(wù)、現(xiàn)有狀態(tài)的評(píng)估。對(duì)變更后的服務(wù)提供方進(jìn)行服務(wù)評(píng)估。實(shí)施策略(1) 第三方服務(wù)管理規(guī)定中涉及的《第三方服務(wù)管理總表》包括《第三方服務(wù)匯總表》、《第三方服務(wù)廠商聯(lián)系表》共2個(gè)表單。(2) 技術(shù)部整理出公司的《第三方服務(wù)匯總表》(3) 重要的第三方服務(wù)必須簽訂要與第三方服務(wù)提供方簽署《服務(wù)合同》,能接觸到公司敏感信息資產(chǎn)的服務(wù)項(xiàng)目的服務(wù)合同中應(yīng)包含第三方保密要求的內(nèi)容。(4) 技術(shù)部匯總《第三方服務(wù)廠商聯(lián)系表》。(5) 第三方服務(wù)歸口管理部門應(yīng)每年對(duì)服務(wù)提供商進(jìn)行定期評(píng)審,必要時(shí)調(diào)整服務(wù)供方.(6).相關(guān)記錄本程序發(fā)生的記錄匯總表 ISMS文件日常應(yīng)用格式匯總表號(hào)記錄編號(hào)記錄名稱保管場(chǎng)所保存期限保存形式備注表A.1ISMS-3014-01第三方服務(wù)匯總表技術(shù)部3年電子表A.2服務(wù)合同技術(shù)部3年紙質(zhì)表A.3ISMS-3014-02第三方服務(wù)廠商聯(lián)系表技術(shù)部3年電子 數(shù)據(jù)備份管理規(guī)定ISMS-3012目的和范圍為確保數(shù)據(jù)的完整性及有效性，以便在發(fā)生信息安全事故時(shí)能夠準(zhǔn)確及時(shí)的恢復(fù)數(shù)據(jù)，避免業(yè)務(wù)的中斷，特制定本規(guī)定。引用文件(1).下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。(2)ISO/IEC27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系要求(3)ISO/IEC17799:2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則(4)系統(tǒng)維護(hù)與監(jiān)控管理規(guī)定職責(zé)和權(quán)限技術(shù)部負(fù)責(zé)公司內(nèi)部系統(tǒng)運(yùn)營(yíng)相關(guān)數(shù)據(jù)的備份管理控制.技術(shù)部負(fù)責(zé)本公司軟件開發(fā)所需相關(guān)數(shù)據(jù)的備份管理控制.其它各個(gè)部門根據(jù)自己部門的業(yè)務(wù)特點(diǎn)，建立各自的備份策略進(jìn)行備份。備份管理備份策略(1) 公司各部門根據(jù)數(shù)據(jù)重要程度和工作需要提出需要備份的數(shù)據(jù)。(2) 信息安全小組根據(jù)各制定《備份策略明細(xì)表》，明確各項(xiàng)備份數(shù)據(jù)備份的詳細(xì)策略。(3) 信息安全小組每半年對(duì)備份策略進(jìn)行評(píng)審，確定是否滿足各部門備份要求。(4) 建立備份環(huán)境，安裝調(diào)試備份軟件。(5) 應(yīng)建立備份拷貝的準(zhǔn)確完整的記錄和文件化的恢復(fù)程序；(6) 備份的程度（例如全部備份或部分備份）和頻率應(yīng)反映組織的業(yè)務(wù)要求、涉及信息的安全要求和信息對(duì)組織持續(xù)運(yùn)作的關(guān)鍵度；(7) 備份要存儲(chǔ)在一個(gè)遠(yuǎn)程地點(diǎn)，有足夠距離，以避免主辦公場(chǎng)所災(zāi)難時(shí)受到損壞；(8) 若可行，要定期測(cè)試備份介質(zhì)，以確保當(dāng)需要應(yīng)急使用時(shí)可以依靠這些備份介質(zhì)；(9) 恢復(fù)程序應(yīng)定期檢查和測(cè)試，以確保他們有效，并能在操作程序恢復(fù)所分配的時(shí)間內(nèi)完成；(10) 在保密性十分重要的情況下，備份應(yīng)通過加密方法進(jìn)行保護(hù)備份的驗(yàn)證(1) 備份負(fù)責(zé)人根據(jù)《備份策略明細(xì)表》，檢查備份的工作是否按照備份策略實(shí)際的進(jìn)行了。如果未按照備份策略進(jìn)行備份，備份負(fù)責(zé)人指令備份人重新進(jìn)行備份。(2) 備份負(fù)責(zé)人根據(jù)實(shí)際需要，確定哪些非常重要的數(shù)據(jù)需要做恢復(fù)測(cè)試，需要恢復(fù)測(cè)試數(shù)據(jù)的恢復(fù)測(cè)試頻率，對(duì)備份數(shù)據(jù)進(jìn)行定期驗(yàn)證。(3)備份數(shù)據(jù)的管理1) 備份目錄應(yīng)進(jìn)行嚴(yán)格的權(quán)限管控，無關(guān)人員禁止訪問備份目錄。2) 如無特殊聲明，備份數(shù)據(jù)永久保存。如需廢棄，需經(jīng)備份負(fù)責(zé)人批準(zhǔn)后，刪除備份數(shù)據(jù)。(4)相關(guān)記錄本程序發(fā)生的記錄匯總表ISMS文件日常應(yīng)用格式匯總表號(hào)記錄編號(hào)記錄名稱保管場(chǎng)所保存期限保存形式備注表A.1ISMS-3015-01備份策略明細(xì)表技術(shù)部三年電子表A.2ISMS-3015-02備份策略檢查表技術(shù)部三年電子表A.3ISMS-3015-03備份數(shù)據(jù)恢復(fù)測(cè)試記錄表技術(shù)部三年電子郵件管理規(guī)定ISMS-3013目的和范圍為保證公司的業(yè)務(wù)的信息安全，必須對(duì)其進(jìn)行有效的管理，確保公司員工對(duì)郵件的合理使用，更好地促進(jìn)內(nèi)部并與第三方進(jìn)行相關(guān)工作信息的交流，適用于公司業(yè)務(wù)中被批準(zhǔn)、能夠通過Email發(fā)送、收取和存儲(chǔ)信息的所有人。每個(gè)業(yè)務(wù)的郵件使用者都應(yīng)該遵守該規(guī)章制度。引用文件(1) 下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。(2) ISO/IEC27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系要求(3) ISO/IEC27002:2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則職責(zé)和權(quán)限(1) 技術(shù)部：負(fù)責(zé)電子郵件系統(tǒng)的規(guī)劃、建設(shè)和日常運(yùn)行維護(hù)；負(fù)責(zé)郵件的用戶名及密碼的分配和管理；如有必要，負(fù)責(zé)郵件的歸檔，過濾及監(jiān)控等工作。(2) 使用人員：申請(qǐng)公司的郵箱，按照公司的規(guī)定使用郵箱。電子郵件的帳戶管理(1)帳戶申請(qǐng)：公司郵箱：工作人員正式入職以后須向技術(shù)部申請(qǐng)郵件賬號(hào)。電子郵件使用規(guī)定(1)明確禁止的行為在未授權(quán)的情況下發(fā)送公司文件、項(xiàng)目文檔或程序代碼等未授權(quán)的信息；(2) 發(fā)送或者群發(fā)與工作無關(guān)的郵件或垃圾郵件及個(gè)人信息；(3) 發(fā)送或者轉(zhuǎn)發(fā)虛假、黃色、反動(dòng)信息；(4) 發(fā)送或者轉(zhuǎn)發(fā)宣揚(yáng)個(gè)人政治傾向或者宗教信仰；(5) 利用電子郵件服務(wù)傳輸任何騷擾性的、中傷他人的、恐嚇性的、庸俗、淫穢以及其他違反國(guó)家規(guī)定內(nèi)容的信息資料；(6) 在非授權(quán)情況下以公司的名義發(fā)表或群發(fā)個(gè)人意見；(7) 利用電子郵件服務(wù)散布電腦病毒、木馬程序、干擾網(wǎng)絡(luò)上其他使用者或破壞網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行。郵件使用規(guī)定(1) 除非特別批準(zhǔn)，使用白名單限制發(fā)送郵件的收件人地址。(2) 郵件系統(tǒng)為公司因工作需要而對(duì)外聯(lián)系所用，用戶必須以本人的真實(shí)身份使用用于辦公用途的電子郵箱，禁止以他人名義濫發(fā)郵件或盜用他人郵箱。(3) 郵箱用戶的登錄密碼，用戶必須嚴(yán)格保密，不得泄露。如將其借予他人使用，由此造成的一切安全后果由郵件帳號(hào)所有人承擔(dān)。(4) 用戶不得將電子郵件地址用于非工作目的(特別是以?shī)蕵?、?gòu)物、交友等為目的身份注冊(cè))。(5) Email賬號(hào)密碼必須符合口令策略的相關(guān)規(guī)定；(6) 未經(jīng)授權(quán)任何人不得嘗試以他人帳戶口令進(jìn)行登錄，閱讀他人郵件內(nèi)容。(7) 在對(duì)外聯(lián)系中，應(yīng)注意安全保密，用Email發(fā)送信息必須符合公司的相關(guān)規(guī)定；(8) 因工作需要而傳遞公司或項(xiàng)目保密文件時(shí)，經(jīng)批準(zhǔn)后，可通過加密渠道傳遞；(9) 通過E-MAIL發(fā)送附件時(shí)，如有必要，附件必須加密；(10) 請(qǐng)盡量壓縮傳送的文件，勿發(fā)送超過2M的附件，以免影響系統(tǒng)性能；(11) 對(duì)外聯(lián)系時(shí)請(qǐng)注意通信禮儀，保持公司良好的形象；(12) 使用防病毒工具的E-MAIL保護(hù)功能，并經(jīng)常查毒，有異常應(yīng)及時(shí)通知管理員；(13) 發(fā)送Email必須有清楚的主題，發(fā)送前再次確認(rèn)收件人列表內(nèi)的人員都是必需的和正確的；(14) 用戶不要閱讀和傳播來歷不明的郵件及附件，提高對(duì)于郵件病毒的防范意識(shí)，避免傳遞病毒郵件。(15) 工作人員離職必須向技術(shù)部申請(qǐng)郵箱收回。并做后期處理。實(shí)施策略不得用個(gè)人郵箱發(fā)文件;相關(guān)記錄無軟件管理規(guī)定ISMS-3014目的和范圍本標(biāo)準(zhǔn)規(guī)定了公司軟件資產(chǎn)的收集、發(fā)放、管理、使用、更改、修訂、備份等過程的控制要求引用文件(1) 下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。(2) ISO/IEC27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系要求(3) ISO/IEC27002:2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則(4) 補(bǔ)丁管理規(guī)定職責(zé)與權(quán)限技術(shù)部：是軟件資產(chǎn)(非自行開發(fā)軟件)的歸口管理部門。負(fù)責(zé)軟件的購(gòu)置、維護(hù)、作廢及各部門軟件資料、介質(zhì)的收集、統(tǒng)計(jì)、歸檔、存放和發(fā)放使用。技術(shù)部是公司自行開發(fā)軟件的歸口管理部門。軟件管理(1)收集對(duì)公司信息系統(tǒng)涉及的軟件資產(chǎn)進(jìn)行收集整理、分類歸檔，填寫《信息資產(chǎn)識(shí)別表》中“軟件和系統(tǒng)”類資產(chǎn)。公司內(nèi)軟件來源主要有以下幾個(gè)方面：(2) 已有商業(yè)軟件購(gòu)買。(3) 技術(shù)部開發(fā)內(nèi)部使用軟件。(4) 免費(fèi)軟件的下載。(5) 識(shí)別出資產(chǎn)識(shí)別表中重要的軟件和應(yīng)用系統(tǒng)。審核、批準(zhǔn)、發(fā)布(1) 新的軟件使用前填寫《新軟件和系統(tǒng)登記表》，每季度根據(jù)此表內(nèi)容對(duì)《信息資產(chǎn)識(shí)別表》里的軟件和系統(tǒng)資產(chǎn)進(jìn)行更新。(2) 新的軟件由技術(shù)部進(jìn)行測(cè)試或使用檢驗(yàn)，測(cè)試應(yīng)當(dāng)包括可用性、安全性，對(duì)其它系統(tǒng)影響和用戶友好性，測(cè)試應(yīng)當(dāng)在與應(yīng)用系統(tǒng)隔離的系統(tǒng)中進(jìn)行。(3) 新的軟件測(cè)試或使用檢驗(yàn)合格后,經(jīng)相關(guān)部門領(lǐng)導(dǎo)審核并批準(zhǔn)后提交技術(shù)部發(fā)布。軟件歸檔和存放(1) 所有軟件收集后統(tǒng)一登記，包括軟件的開發(fā)廠家，軟件數(shù)量，軟件版本，許可證編號(hào)等。(2) 軟件登記好后統(tǒng)一存放于指定位置。磁盤文件存放于指定存儲(chǔ)空間中，由專人負(fù)責(zé)整理，各軟件建立獨(dú)立的文件夾，標(biāo)識(shí)明確清晰，并做好軟件的備份工作。光盤統(tǒng)一存放入文件柜中，并有明顯易辨認(rèn)的標(biāo)識(shí)，便于整理和取用。軟件使用(1) 技術(shù)部統(tǒng)一負(fù)責(zé)軟件的發(fā)放及安裝，做到及時(shí)升級(jí)和故障排除。(2) 各部門負(fù)責(zé)軟件的使用，如有問題及時(shí)反饋給技術(shù)部。(3) 未經(jīng)許可，任何人不得將內(nèi)部使用的軟件外帶、傳播、販賣，不得將軟件用于任何違法或非正當(dāng)用途。(4) 軟件使用過程中應(yīng)加強(qiáng)保護(hù)，保持軟件完整、可用，不受病毒侵害。(5) 制作《授權(quán)使用軟件列表》，禁止使用未經(jīng)授權(quán)的軟件和未經(jīng)授權(quán)的系統(tǒng)實(shí)用工具軟件。(6) 對(duì)光盤介質(zhì)類軟件要考慮使用刻錄的副本，原光盤進(jìn)行存檔處理。修訂與升級(jí)(1) 各部門和技術(shù)部應(yīng)根據(jù)軟件的使用情況，提出軟件的修訂意見，相關(guān)部門領(lǐng)導(dǎo)批準(zhǔn)后，形成統(tǒng)一的修訂意見，由綜合部負(fù)責(zé)實(shí)施。(2) 軟件的升級(jí)／補(bǔ)丁按《補(bǔ)丁管理規(guī)定》進(jìn)行。軟件作廢(1) 修訂軟件批準(zhǔn)生效后，原軟件應(yīng)予以作廢。軟件使用部門接到新版本軟件后，從新版本軟件實(shí)施之日起，原軟件作廢。填寫《作廢軟件登記表》。每季度根據(jù)此表內(nèi)容對(duì)《信息資產(chǎn)識(shí)別表》里的軟件和系統(tǒng)資產(chǎn)進(jìn)行更新。(2) 應(yīng)當(dāng)保留原軟件的以前版本作為應(yīng)急之用，包括所有需要的信息和參數(shù)、程序、具體配置，以及用于數(shù)據(jù)保留存檔的支持軟件。(3) 原軟件作廢版本的光盤應(yīng)有明確標(biāo)識(shí)，并與其他在用光盤分開存放，電子文件應(yīng)予以回收，避免引起作廢軟件的非預(yù)期使用。實(shí)施策略(1) 軟件管理規(guī)定涉及的《授權(quán)使用軟件列表》表單。(2) 收集整理、分類歸檔，填寫《信息資產(chǎn)識(shí)別表》中“軟件和系統(tǒng)”類資產(chǎn)。(3) 軟件作廢由技術(shù)部批準(zhǔn);并更新軟件清單。(4) 綜合部制作《授權(quán)使用軟件列表》，禁止使用未經(jīng)授權(quán)的軟件和未經(jīng)授權(quán)的系統(tǒng)實(shí)用工具軟件.相關(guān)記錄本程序發(fā)生的記錄表ISMS文件日常應(yīng)用表表號(hào)記錄編號(hào)記錄名稱保管場(chǎng)所保存期限保存形式備注表A.1ISMS-3017-01授權(quán)使用軟件列表綜合部3年電子 系統(tǒng)監(jiān)控管理規(guī)定ISMS-3015目的了解服務(wù)器的運(yùn)行狀態(tài)，檢測(cè)未經(jīng)授權(quán)的信息處理活動(dòng)，為安全事故提供證據(jù)，確保業(yè)務(wù)系統(tǒng)的穩(wěn)定性、可靠性、安全性。引用文件(1) 下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。(2) ISO/IEC27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系要求(3) ISO/IEC27002:2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則(4) 機(jī)房管理規(guī)定職責(zé)技術(shù)部負(fù)責(zé)公司網(wǎng)絡(luò)和系統(tǒng)訪問活動(dòng)的監(jiān)控管理。系統(tǒng)監(jiān)控管理(1)日志的分類1) 需監(jiān)控的日志包括但不僅限于以下類型：2) 服務(wù)器日志：系統(tǒng)日志，應(yīng)用程序日志和安全日志。3) 防火墻日志4) 視頻監(jiān)控系統(tǒng)的記錄5) 網(wǎng)管軟件的監(jiān)控記錄6) 管理員和系統(tǒng)操作員記錄7) 故障日志補(bǔ)丁管理規(guī)定ISMS-3016目的為規(guī)范公司操作系統(tǒng)及其他網(wǎng)絡(luò)設(shè)備的安全補(bǔ)丁管理操作流程，保護(hù)信息系統(tǒng)安全，特制定本規(guī)定。引用文件(1) 下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。(2) ISO/IEC27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系要求(3) ISO/IEC27002:2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則職責(zé)與權(quán)限技術(shù)部：負(fù)責(zé)操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備安全補(bǔ)丁管理工作，包括補(bǔ)丁公告、補(bǔ)丁評(píng)估和補(bǔ)丁列表的維護(hù)工作：(1) 負(fù)責(zé)應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)相關(guān)安全補(bǔ)丁。(2) 負(fù)責(zé)WINDOWS平臺(tái)相關(guān)安全補(bǔ)丁（包括Office等MICROSOFT頒布的補(bǔ)丁）。(3) 負(fù)責(zé)網(wǎng)絡(luò)設(shè)備相關(guān)安全補(bǔ)丁。(4) 負(fù)責(zé)安全產(chǎn)品相關(guān)安全補(bǔ)丁。補(bǔ)丁管理規(guī)定Windows操作系統(tǒng)補(bǔ)?。?1) 公司重要服務(wù)器的補(bǔ)丁由技術(shù)部下載、測(cè)試及安裝。綜合部的開發(fā)服務(wù)器，由技術(shù)部進(jìn)行補(bǔ)丁的下載、測(cè)試及安裝。(2) 技術(shù)部在發(fā)現(xiàn)windows操作系統(tǒng)發(fā)布新補(bǔ)丁后，在公司的公共平臺(tái)上發(fā)出補(bǔ)丁更新通告，各部門的負(fù)責(zé)人統(tǒng)一安排部門進(jìn)行補(bǔ)丁升級(jí)。(3) 技術(shù)部每季度對(duì)補(bǔ)丁更新情況進(jìn)行抽查。其他補(bǔ)?。?1) 技術(shù)部制定《補(bǔ)丁管理策略明細(xì)表》，評(píng)審并明確需要進(jìn)行補(bǔ)丁管理的補(bǔ)丁類型。(2) 評(píng)審并明確需要進(jìn)行補(bǔ)丁測(cè)試的補(bǔ)丁類型。(3) 對(duì)重要服務(wù)器進(jìn)行評(píng)審，得出在升級(jí)系統(tǒng)補(bǔ)丁前應(yīng)進(jìn)行測(cè)評(píng)的服務(wù)器列表,填寫《重要服務(wù)器補(bǔ)丁測(cè)試記錄表》(4) 對(duì)需要手工下載管理的補(bǔ)丁類型，需要檢查補(bǔ)丁的來源是可靠的，如果可能，在收到補(bǔ)丁包后，用防病毒軟件檢查。(5) 服務(wù)器在安裝補(bǔ)丁應(yīng)采用手工升級(jí)，并延遲補(bǔ)丁發(fā)布后一星期，避免最新補(bǔ)丁本身問題給服務(wù)器帶來的風(fēng)險(xiǎn)。(6) 當(dāng)供應(yīng)商發(fā)布緊急的非常規(guī)的安全補(bǔ)丁時(shí)，系統(tǒng)管理員備份好系統(tǒng)后，必須立即進(jìn)行響應(yīng)。(7) 對(duì)重要服務(wù)器的補(bǔ)丁每季度進(jìn)行一次檢查。并填寫《重要服務(wù)器補(bǔ)丁檢查表》.(8) 重要網(wǎng)絡(luò)設(shè)備的補(bǔ)丁每季度進(jìn)行一次檢查。并填寫《網(wǎng)絡(luò)設(shè)備補(bǔ)丁檢查表》.實(shí)施策略(1) 補(bǔ)丁管理規(guī)定中涉及到的表單包括《補(bǔ)丁管理策略明細(xì)表》、《重要服務(wù)器補(bǔ)丁檢查表》、《重要服務(wù)器補(bǔ)丁測(cè)試記錄》、《網(wǎng)絡(luò)設(shè)備補(bǔ)丁檢查表》4個(gè)表單。(2) 技術(shù)部制定《補(bǔ)丁管理策略明細(xì)表》(3) 技術(shù)部對(duì)重要服務(wù)器在升級(jí)系統(tǒng)補(bǔ)丁前應(yīng)進(jìn)行測(cè)評(píng),填寫《重要服務(wù)器補(bǔ)丁測(cè)試記錄表》(4) 技術(shù)部對(duì)重要服務(wù)器/網(wǎng)絡(luò)設(shè)備的補(bǔ)丁每季度進(jìn)行一次檢查。并填寫《重要服務(wù)器補(bǔ)丁檢查表》和《網(wǎng)絡(luò)設(shè)備補(bǔ)丁檢查表》.相關(guān)記錄本程序發(fā)生的記錄匯總表ISMS文件日常應(yīng)用表表號(hào)記錄編號(hào)記錄名稱保管場(chǎng)所保存期限保存形式備注表A.1ISMS-3019-01補(bǔ)丁管理策略明細(xì)表綜合部3年電子表A.2ISMS-3019-02重要服務(wù)器補(bǔ)丁測(cè)試記錄表綜合部3年電子表A.3ISMS-3019-03重要服務(wù)器補(bǔ)丁檢查表綜合部3年紙質(zhì)表A.4ISMS-3019-04網(wǎng)絡(luò)設(shè)備補(bǔ)丁檢查表綜合部3年紙質(zhì)信息系統(tǒng)審核規(guī)范ISMS-3017目的和范圍確保本公司制定的信息安全策略和規(guī)定能夠定期評(píng)審和正確執(zhí)行。術(shù)語和定義ISO/IEC27001:2005《信息技術(shù)-安全技術(shù)-信息安全管理體系要求》ISO/IEC27002:2005《信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則》規(guī)定的術(shù)語適用于本標(biāo)準(zhǔn)。引用文件下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。ISO/IEC27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系要求ISO/IEC27002:2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則合規(guī)性管理程序補(bǔ)丁管理規(guī)定職責(zé)和權(quán)限(1) 制定信息系統(tǒng)安全審核策略(2) 對(duì)信息系統(tǒng)進(jìn)行定期審核活動(dòng)描述(1) 技術(shù)部根據(jù)公司情況，制定出公司在用戶管理、權(quán)限管理、漏洞掃描、滲透測(cè)試等方面的審核策略，必要時(shí)填寫《信息系統(tǒng)定期評(píng)審策略明細(xì)表》(2) 管理人員應(yīng)確保在其職責(zé)范圍內(nèi)的所有安全程序被正確地執(zhí)行，以確保符合安全策略及標(biāo)準(zhǔn)。(3) 管理人員應(yīng)對(duì)自己職責(zé)范圍內(nèi)的信息處理是否符合合適的安全策略、標(biāo)準(zhǔn)和任何其它安全要求進(jìn)行定期評(píng)審。(4) 信息系統(tǒng)應(yīng)被定期檢查是否符合安全實(shí)施標(biāo)準(zhǔn)。(5) 任何技術(shù)符合性檢查應(yīng)僅由有能力的、已授權(quán)的人員來完成，或在他們的監(jiān)督下完成。(6) 涉及對(duì)運(yùn)行系統(tǒng)檢查的審核要求和活動(dòng)，應(yīng)謹(jǐn)慎地加以規(guī)劃并取得批準(zhǔn)，以便最小化造成業(yè)務(wù)過程中斷的風(fēng)險(xiǎn)。(7) 漏洞掃描管理：1) 管理員應(yīng)定期進(jìn)行漏洞掃描，客戶端和服務(wù)器可考慮使用奇虎360工具進(jìn)行漏洞掃描。2) 根據(jù)漏洞掃描結(jié)果，管理員應(yīng)及時(shí)根據(jù)《補(bǔ)丁管理規(guī)定》及時(shí)修補(bǔ)系統(tǒng)漏洞。3) 滲透測(cè)試管理：4) 技術(shù)符合性檢查應(yīng)由有經(jīng)驗(yàn)的系統(tǒng)工程師手動(dòng)執(zhí)行（如需要，利用合適的軟件工具支持），或者由技術(shù)專家用自動(dòng)工具來執(zhí)行，此工具可生成供后續(xù)解釋的技術(shù)報(bào)告。5) 如果使用滲透測(cè)試或脆弱性評(píng)估，則應(yīng)格外小心，因?yàn)檫@些活動(dòng)可能導(dǎo)致系統(tǒng)安全的損害。這樣的測(cè)試應(yīng)預(yù)先計(jì)劃，形成文件，且重復(fù)執(zhí)行。審核注意事項(xiàng)：(1) 應(yīng)與合適的管理者商定審核要求；(2) 應(yīng)商定和控制檢查范圍；(3) 檢查應(yīng)限于對(duì)軟件和數(shù)據(jù)的只讀訪問；(4) 非只讀的訪問應(yīng)僅用于對(duì)系統(tǒng)文件的單獨(dú)拷貝，當(dāng)審核完成時(shí)，應(yīng)擦除這些拷貝，或者按照審核文件要求，具有保留這些文件的義務(wù)，則要給予適當(dāng)?shù)谋Ｗo(hù)；(5) 應(yīng)明確地識(shí)別和提供執(zhí)行檢查所需的資源；(6) 應(yīng)識(shí)別和商定特定的或另外的處理要求；(7) 應(yīng)監(jiān)視和記錄所有訪問，以產(chǎn)生參照蹤跡；對(duì)關(guān)鍵數(shù)據(jù)或系統(tǒng)，應(yīng)考慮使用時(shí)間戳參照蹤跡；(8) 應(yīng)將所有的程序、要求和職責(zé)形成文件；(9) 執(zhí)行審核的人員應(yīng)獨(dú)立于審核活動(dòng)。相關(guān)記錄信息系統(tǒng)定期評(píng)審表序號(hào)記錄編號(hào)報(bào)告/記錄名稱保管場(chǎng)所期限保存形式備注A.1ISMS-3020-01信息系統(tǒng)定期評(píng)審明細(xì)表技術(shù)部3年電子文檔基礎(chǔ)設(shè)施及服務(wù)器網(wǎng)絡(luò)管理制度ISMS-3018 機(jī)房安全管理程序（1） 總則1）為加強(qiáng)信息機(jī)房（計(jì)算機(jī)房）及其設(shè)備安全管理，預(yù)防信息設(shè)備事故發(fā)生，根據(jù)國(guó)家法律、法規(guī)及行業(yè)安全管理要求，制定本規(guī)定。2）信息機(jī)房是指公司為保證信息化管理工作需要，專門用于存放提供電子信息服務(wù)、信息儲(chǔ)存設(shè)備、服務(wù)器、電腦、交換機(jī)、備用電源等信息設(shè)備的場(chǎng)所。3）信息機(jī)房安全工作堅(jiān)持“安全第一、預(yù)防為主”的方針，貫徹執(zhí)行“誰主管，誰負(fù)責(zé)”的原則。（2） 職責(zé)1）技術(shù)部主要負(fù)責(zé)人公司信息中心機(jī)房安全管理第一責(zé)任人，并對(duì)公司信息設(shè)備安全工作進(jìn)行指導(dǎo)和監(jiān)督。2）公司技術(shù)部應(yīng)落實(shí)安全管理責(zé)任，指定專人負(fù)責(zé)機(jī)房安全管理工作，并對(duì)機(jī)房管理人員進(jìn)行必要的安全知識(shí)培訓(xùn)，使其具備機(jī)房安全管理的能力。3）信息機(jī)房管理人員定期檢查機(jī)房設(shè)備及線路，安全管理人員定期檢查消防器材、火災(zāi)自動(dòng)報(bào)警、火災(zāi)自動(dòng)滅火系統(tǒng)等消防設(shè)施，保證其狀態(tài)良好。4）信息機(jī)房鑰匙應(yīng)由機(jī)房管理人員保管，非信息中心工作人員未經(jīng)許可不得擅自入內(nèi)。（3） 安全管理1）信息機(jī)房建設(shè)應(yīng)符合《計(jì)算機(jī)場(chǎng)地安全要求》，滿足以下消防要求：l 機(jī)房環(huán)境應(yīng)避開易發(fā)生火災(zāi)危險(xiǎn)程度高的區(qū)域，l 機(jī)房的工作間與設(shè)備間應(yīng)作分隔，具有良好的人機(jī)工作環(huán)境，保障工作人員的安全與健康；l 機(jī)房應(yīng)安裝獨(dú)立空調(diào)設(shè)備；l 機(jī)房禁止使用水、干粉或泡沫等易產(chǎn)生二次破壞的滅火劑；l 機(jī)房應(yīng)有防火、防潮、防塵、防雷、防靜電、防鼠等措施；l 機(jī)房面積大于10平米以上應(yīng)配置應(yīng)急照明裝置和安全出口指示燈；l 機(jī)房應(yīng)配備實(shí)時(shí)監(jiān)視攝像設(shè)備，并與所在區(qū)域的視頻控制系統(tǒng)對(duì)接；（2）其他安全法規(guī)要求。l 機(jī)房?jī)?nèi)溫度應(yīng)控制在20℃～25℃之間，濕度應(yīng)控制在25％～60％之間。l 信息機(jī)房?jī)?nèi)面積大于10平米以上應(yīng)配置足夠的二氧化碳滅火器，信息機(jī)房除配置滅火器外，還應(yīng)安裝火災(zāi)自動(dòng)報(bào)警系統(tǒng)和氣體自動(dòng)滅火系統(tǒng)。l 信息機(jī)房應(yīng)有可靠的供電系統(tǒng)，應(yīng)有單獨(dú)的配電柜。l 信息機(jī)房應(yīng)配備不間斷電源設(shè)備，其容量應(yīng)保證機(jī)房設(shè)備和關(guān)鍵作業(yè)設(shè)備在斷電情況下，能夠持續(xù)供電1小時(shí)以上。l 電源變壓器一類的用電設(shè)備（如充電器、調(diào)制解調(diào)器電源、錄音機(jī)電源、錄音電話電源等），在通電狀態(tài)下不得直接放置在地毯或其它易燃物品上，以免發(fā)生火災(zāi)事故?！畔C(jī)房?jī)?nèi)各類通訊線路和設(shè)備應(yīng)有獨(dú)立的直流地、交流工作地和防雷保護(hù)地，定期檢測(cè)接地良好性，并增加相應(yīng)的防雷設(shè)施。（3）病毒防治管理l 計(jì)算機(jī)必須安裝經(jīng)過國(guó)家安全保密部門許可的查、殺毒軟件。l 每周升級(jí)和查、殺計(jì)算機(jī)病毒軟件的病毒樣本，確保病毒樣本始終處于最新版本。l 每周對(duì)計(jì)算機(jī)病毒進(jìn)行一次查、殺檢查。l 計(jì)算機(jī)應(yīng)限制信息入口，如軟盤、光盤、U盤、移動(dòng)硬盤等的使用。l 對(duì)必須使用的外來介質(zhì)（磁盤、光盤、U盤、移動(dòng)硬盤等）必須先進(jìn)行計(jì)算機(jī)病毒的查、殺處理，然后方可使用。l 對(duì)于因未經(jīng)許可而擅自使用外來介質(zhì)導(dǎo)致嚴(yán)重后果的，要嚴(yán)格追究使用人員的責(zé)任。（4） 故障應(yīng)急處置l 技術(shù)部網(wǎng)絡(luò)管理員/系統(tǒng)管理員在接到信息設(shè)備故障報(bào)告后，根據(jù)信息設(shè)備故障現(xiàn)象和系統(tǒng)警告信息等內(nèi)容對(duì)故障性質(zhì)進(jìn)行初步診斷，確定下一步故障排除方向。l 軟件故障處理中網(wǎng)絡(luò)管理員或系統(tǒng)管理員針對(duì)故障的原因進(jìn)行軟件調(diào)整，修復(fù)信息設(shè)備系統(tǒng)。對(duì)于應(yīng)用軟件功能性問題，則取得應(yīng)用軟件開發(fā)商的技術(shù)支持進(jìn)行故障排除。l 硬件故障處理中網(wǎng)絡(luò)管理員/或系統(tǒng)管理員對(duì)設(shè)備硬件損壞引發(fā)的故障，聯(lián)系設(shè)備供應(yīng)商或指定維修站進(jìn)行維修。l 網(wǎng)絡(luò)管理員/系統(tǒng)管理員在故障修復(fù)之前，對(duì)于信息設(shè)備內(nèi)的重要參數(shù)信息及文件資料要做好備份工作。在故障修復(fù)之后要使信息設(shè)備工作狀態(tài)還原至故障發(fā)生之前。l 系統(tǒng)管理員/網(wǎng)絡(luò)管理員必須詳細(xì)記錄信息設(shè)備故障處理的過程。（5）設(shè)備管理1）未經(jīng)管理人員允許，非專業(yè)維護(hù)人員不得拆裝計(jì)算機(jī)及相關(guān)設(shè)備，涉及電工作業(yè)的維修應(yīng)由電工進(jìn)行。2）管理人員應(yīng)按說明書要求對(duì)機(jī)房設(shè)備進(jìn)行使用、保養(yǎng)和維護(hù)，禁止帶電狀態(tài)下進(jìn)行設(shè)備維修。3）信息機(jī)房?jī)?nèi)不得擅自使用功率超過500W的臨時(shí)用電設(shè)備（如電爐、電暖器、電熨斗、電吹風(fēng)等），以免導(dǎo)致電源負(fù)荷超載而跳閘。重要信息備份管理程序(1)目的為確保所有重要業(yè)務(wù)數(shù)據(jù)和軟件能在災(zāi)難之后或存儲(chǔ)媒體損壞之后得以恢復(fù),保證信息處理及生產(chǎn)數(shù)據(jù)的完整性與可用性，特制定本程序。(2)范圍本程序適用于本公司重要數(shù)據(jù)（Exchange、OA、TUS）及軟件的備份管理。(3) 職責(zé)1)技術(shù)部負(fù)責(zé)全公司信息備份工作的技術(shù)指導(dǎo)及公司各部門重要信息資產(chǎn)的數(shù)據(jù)和軟件進(jìn)行備份。2)各部門負(fù)責(zé)對(duì)本部門維護(hù)的不適合公司自動(dòng)備份系統(tǒng)執(zhí)行的重要信息資產(chǎn)的數(shù)據(jù)和軟件進(jìn)行備份。(4) 程序1)各部門應(yīng)對(duì)重要信息資產(chǎn)清單確定的重要業(yè)務(wù)數(shù)據(jù)、操作系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)等其他重要信息進(jìn)行備份。2) 信息備份的安全要求包括：根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，明確備份周期和備份套數(shù)；3)對(duì)備份媒體進(jìn)行標(biāo)識(shí)；4)備份媒體存放于適宜的環(huán)境。5)財(cái)務(wù)重要數(shù)據(jù)采用文件加密和RAR加密的方式保存。6) 各部門根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，制定《重要信息備份周期一覽表》，在其中明確規(guī)定備份周期、備份方式、備份媒體及備份負(fù)責(zé)人。7) 《重要信息備份周期一覽表》經(jīng)部門負(fù)責(zé)人批準(zhǔn)后予以實(shí)施；對(duì)于人工備份應(yīng)填寫《數(shù)據(jù)/軟件備份記錄》，自動(dòng)備份的應(yīng)在備份軟件系統(tǒng)中保留備份日志，信息備份的記錄應(yīng)予以保存。8) 當(dāng)軟件發(fā)生更改時(shí)，應(yīng)進(jìn)行備份，并保障當(dāng)前使用軟件版本的唯一性。9) 各部門應(yīng)采取適宜的方法對(duì)備份信息媒體進(jìn)行標(biāo)識(shí)，防止備份信息的誤用，標(biāo)識(shí)的內(nèi)容包括：u 備份信息的名稱；u 備份的日期；u 版本號(hào)；u 必要時(shí)，備份/還原工具10) 數(shù)據(jù)備份媒體應(yīng)保存在適宜的環(huán)境并專人管理；涉及企業(yè)秘密的備份媒體應(yīng)按照《秘密文書管理規(guī)程》進(jìn)行標(biāo)注，只有授權(quán)的人員才可以訪問，并保存在上鎖的文件柜或其他安全儲(chǔ)存場(chǎng)所。11) 備份信息用于恢復(fù)的目的時(shí)應(yīng)由本部門負(fù)責(zé)人進(jìn)行審批，并填寫《數(shù)據(jù)/軟件備份恢復(fù)審批表》，根據(jù)信息備份的方法是由公司備份系統(tǒng)自動(dòng)執(zhí)行的還是手工備份的來決定由綜合部或本部門經(jīng)過授權(quán)的人員進(jìn)行備份的恢復(fù)。12) 記錄保存期限《重要信息備份周期一覽表》1年《數(shù)據(jù)/軟件備份記錄》1年《數(shù)據(jù)軟件備份恢復(fù)審批表》1年3 郵件安全管理 目的(1)隨著公司信息化建設(shè)的發(fā)展及互聯(lián)網(wǎng)絡(luò)的普及，電子郵件已逐步成為廣大員工在工作中進(jìn)行信息交流和業(yè)務(wù)往來的主要工具。為加強(qiáng)企業(yè)形象宣傳，規(guī)范公司電子郵件的使用管理，確保公司郵件傳輸?shù)目煽啃?、安全性和?yīng)用水平，提高公司整個(gè)網(wǎng)絡(luò)的運(yùn)行效率，以維持郵件服務(wù)器的正常運(yùn)轉(zhuǎn)，特制定本管理制度。(2) 范圍本制度適用于公司內(nèi)所有使用公司郵件系統(tǒng)的員工。(3)內(nèi)容使用管理l 1)公司員工以電子郵件對(duì)外聯(lián)系業(yè)務(wù)時(shí)必須使用公司提供的電子郵箱，公司對(duì)員工郵箱進(jìn)行統(tǒng)一規(guī)劃和管理。職員名片及公司其它對(duì)外宣傳資料上都統(tǒng)一標(biāo)注以公司域名為后綴的郵件地址，不得標(biāo)注其它的郵箱。l 2)公司員工應(yīng)根據(jù)工作需要，依照公司技術(shù)部的電子郵箱申請(qǐng)流程，申請(qǐng)開通電子郵件服務(wù)。l 3)公司各級(jí)員工應(yīng)根據(jù)崗位需求，在獲得相關(guān)領(lǐng)導(dǎo)批準(zhǔn)后，方可向技術(shù)部申請(qǐng)開通特定郵件組群的收發(fā)權(quán)限，并在調(diào)離該崗位或離職時(shí)，由HR通過電子流程通知技術(shù)部注銷此權(quán)限。l 4)每封電子郵件在對(duì)外發(fā)送時(shí)其附件大小不能超過50MB，從外部接收的郵件其附件大小不能超過50MB，否則將無法正常收發(fā)，或?qū)е鹿距]件網(wǎng)絡(luò)堵塞、癱瘓。l 5)不要打開一些不知名的、或有可疑的郵件，這樣有可能造成病毒入侵公司網(wǎng)絡(luò)，給公司造成直接的經(jīng)濟(jì)損失。l 6)嚴(yán)禁使用電子郵件群發(fā)與工作無關(guān)或帶有娛樂性質(zhì)的郵件。如確實(shí)需要在公司內(nèi)召集、組織集體娛樂活動(dòng)譬如球賽、集體出游等等，請(qǐng)將該郵件發(fā)送技術(shù)部負(fù)責(zé)人，由其負(fù)責(zé)群發(fā)。l 7)嚴(yán)禁跨部門或全公司群發(fā)郵件，以免干擾其他部門的正常工作秩序。l 8)嚴(yán)禁使用電子郵件群發(fā)供應(yīng)簡(jiǎn)歷郵件，類似“請(qǐng)給某某推薦工作”，除非是給HR推薦工作。征求簡(jiǎn)歷郵件，允許在內(nèi)部群發(fā)。l 9)員工收到公司群發(fā)的郵件后，嚴(yán)禁全部答復(fù)該郵件組群，以免給其他人員的工作造成干擾。(4) 責(zé)任說明1)員工應(yīng)及時(shí)修改初始密碼，并對(duì)郵箱帳號(hào)和密碼的安全負(fù)責(zé)。員工不得自行把自己的郵箱帳號(hào)提供給他人使用，須經(jīng)常改變郵箱密碼以防郵箱被他人盜用。若發(fā)現(xiàn)有任何非法使用自己的帳號(hào)或存在安全漏洞的情況，應(yīng)立即通知技術(shù)部門妥善處理。2)員工的電子郵箱只限工作交流使用，嚴(yán)禁傳播中傷他人的、辱罵性的、恐嚇性的，以及淫穢、反動(dòng)等違犯國(guó)家法律法規(guī)的內(nèi)容。3)嚴(yán)禁員工利用工作之便，向內(nèi)外部無關(guān)人員發(fā)送涉及崗位或公司的信息資料4) 違紀(jì)處理任何違犯上述規(guī)定的行為，視為破壞公司正常的工作秩序，一經(jīng)發(fā)現(xiàn)并核實(shí)，第一次將給予200元經(jīng)濟(jì)處罰；第二次將給予500元經(jīng)濟(jì)處罰，并按《員工手冊(cè)》中的A類違紀(jì)處理。 機(jī)房設(shè)備維護(hù)管理制度(1) 為妥善保證網(wǎng)絡(luò)工作的良好運(yùn)行，特制定此機(jī)房設(shè)備維護(hù)管理制度。(2) 信息網(wǎng)絡(luò)機(jī)房為用于放置、操作信息網(wǎng)絡(luò)設(shè)備的專用房間；機(jī)房設(shè)備的管理由系統(tǒng)管理員負(fù)責(zé)。(3) 信息網(wǎng)絡(luò)機(jī)房?jī)?nèi)須保持清潔、肅靜、設(shè)備整齊有序；嚴(yán)禁在機(jī)房?jī)?nèi)吸煙、不準(zhǔn)在計(jì)算機(jī)及工作臺(tái)附近放置可能危及設(shè)備安全的物品。(4) 信息網(wǎng)絡(luò)機(jī)房是重點(diǎn)防火防盜單位，必須設(shè)置專用滅火器具，并定期檢查。機(jī)房管理人員為機(jī)房的安全、衛(wèi)生負(fù)責(zé)人，負(fù)責(zé)機(jī)房的防火、防水、防盜等安全消防工作和日常衛(wèi)生管理工作。(5) 信息網(wǎng)絡(luò)機(jī)房?jī)?nèi)各種儀器設(shè)備由機(jī)房管理人員集中管理，耗材使用要嚴(yán)格登記，禁止用機(jī)房設(shè)施做與本職工作無關(guān)的事，外出時(shí)須做好交接工作。認(rèn)真做好機(jī)房?jī)?nèi)各類記錄介質(zhì)的保管工作，落實(shí)專人收集、保管，信息載體必須安全存放、保管、防止丟失或失效。機(jī)房資料外借必須經(jīng)批準(zhǔn)并履行手續(xù)，作廢資料嚴(yán)禁外泄(6) 信息網(wǎng)絡(luò)機(jī)房管理人員使用服務(wù)器、交換機(jī)、UPS、空調(diào)及其它儀器設(shè)備，必須嚴(yán)格遵守操作規(guī)程，必須先經(jīng)檢查確認(rèn)正常后再按順序依次開機(jī)；結(jié)束操作必須檢查確認(rèn)正常關(guān)機(jī)并切斷電源后方可離開。因操作不當(dāng)造成儀器設(shè)備損壞，由當(dāng)事人負(fù)責(zé)賠償。(7) 信息網(wǎng)絡(luò)機(jī)房設(shè)備應(yīng)由專業(yè)人員操作、使用，禁止非專業(yè)人員操作、使用。對(duì)各種設(shè)備應(yīng)按規(guī)范要求操作、保養(yǎng)。發(fā)現(xiàn)故障，應(yīng)及時(shí)報(bào)請(qǐng)維修，以免影響工作。機(jī)房工作人員對(duì)機(jī)房存在的隱患及設(shè)備故障要及時(shí)報(bào)告，并與有關(guān)部門及時(shí)聯(lián)系處理。非常情況下應(yīng)立即采取應(yīng)急措施并保護(hù)現(xiàn)場(chǎng)。(8) 外單位人員因工作需要進(jìn)入機(jī)房時(shí)，必須由相關(guān)部門辦理審批手續(xù)。進(jìn)入機(jī)房后聽從工作人員的指揮，未經(jīng)許可，不得亂動(dòng)機(jī)房?jī)?nèi)設(shè)施。外來人員參觀機(jī)房，須有指定人