版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
信息安全管理手冊(cè)+程序文件表單全套(依據(jù)ISO/IEC27001:2022標(biāo)準(zhǔn)編制)信息安全管理手冊(cè)(依據(jù)ISO/IEC27001:2022標(biāo)準(zhǔn)編制)編號(hào):ISMS-A-01批準(zhǔn):日期:202X-11-01受控狀態(tài)修訂記錄版本編寫人審核人批準(zhǔn)人修訂日期修訂說(shuō)明 1 1 2 32規(guī)范性引用文件 53術(shù)語(yǔ)和定義 54組織環(huán)境 5 54.2理解相關(guān)方的需求和期望 6.2信息安全目標(biāo)及其實(shí)現(xiàn)規(guī)劃 附錄1-組織簡(jiǎn)介 附錄2-組織架構(gòu)圖 附錄4-信息安全小組成員 附錄5-服務(wù)器拓?fù)鋱D 附錄6-信息安全職責(zé)說(shuō)明 為提高我公司的信息安全管理水平,保障公司業(yè)務(wù)活動(dòng)的正常進(jìn)行,防止由于信息安全事件(信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密)導(dǎo)致的公司和客戶的損失,我公司開展貫徹ISO/IEC27001:2022《信息安全管理體系要求》標(biāo)準(zhǔn)工作,建立、實(shí)施和持續(xù)改進(jìn)文件化的信息安全管理體系,制訂了XXX有限公司《信息安全管理手冊(cè)》?!缎畔踩芾硎謨?cè)》經(jīng)評(píng)審后,現(xiàn)予以批準(zhǔn)發(fā)布。《信息安全管理手冊(cè)》的發(fā)布,標(biāo)志著我公司從現(xiàn)在起,必須按照信息安全管理體系標(biāo)準(zhǔn)的要求和公司《信息安全管理手冊(cè)》所描述的規(guī)定,不斷增強(qiáng)持續(xù)滿足顧客要求、相關(guān)方要求和法律法規(guī)要求的能力,全心全意為顧客和相關(guān)方提供優(yōu)質(zhì)、安全的自助服務(wù)終端軟硬件的研發(fā)及運(yùn)行維護(hù)服務(wù),以確立公司在社會(huì)上的良好信譽(yù)?!缎畔踩芾硎謨?cè)》是公司規(guī)范內(nèi)部管理的指導(dǎo)性文件,也是全體員工在向顧客提供服務(wù)過(guò)程必須遵循的行動(dòng)準(zhǔn)則?!缎畔踩芾硎謨?cè)》一經(jīng)發(fā)布,就是強(qiáng)制性文件,全體員工必須認(rèn)真學(xué)習(xí)、切實(shí)執(zhí)行。XXX有限公司總經(jīng)理:XXX202X年11月01日任命書為貫徹執(zhí)行ISO/IEC27001:2022《信息安全管理體系要求》,加強(qiáng)對(duì)信息管理體系運(yùn)行的領(lǐng)導(dǎo),特任命曹飛澎為公司管理者代表。授權(quán)信息安全管理者代表有如下職責(zé)和權(quán)限:1)確保按照標(biāo)準(zhǔn)的要求,進(jìn)行資產(chǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估,全面建立、實(shí)施和保持信息安全管理體系;2)負(fù)責(zé)與信息安全管理體系有關(guān)的協(xié)調(diào)和聯(lián)絡(luò)工作;3)確保在整個(gè)組織內(nèi)提高信息安全風(fēng)險(xiǎn)的意識(shí);4)審核風(fēng)險(xiǎn)評(píng)估報(bào)告、風(fēng)險(xiǎn)處理計(jì)劃;5)批準(zhǔn)發(fā)布程序文件;6)主持信息安全管理體系內(nèi)部審核,任命審核組長(zhǎng),批準(zhǔn)內(nèi)審工作報(bào)告;7)向最高管理者報(bào)告信息安全管理體系的業(yè)績(jī)和改進(jìn)要求,包括信息安全管理體系運(yùn)行情況、內(nèi)外部審核情況。本任命書自任命日起生效執(zhí)行。XXX有限公司總經(jīng)理:XXX202X年11月01日《信息安全管理手冊(cè)》的編制,是用以證明已建立并實(shí)施了一個(gè)完整的文件化的信息安全管理體系。通過(guò)對(duì)各項(xiàng)業(yè)務(wù)進(jìn)行風(fēng)險(xiǎn)評(píng)估,識(shí)別出公司的關(guān)鍵資產(chǎn),并根據(jù)資產(chǎn)的不同級(jí)別風(fēng)險(xiǎn)采取與之相對(duì)應(yīng)的處理措施。《信息安全管理手冊(cè)》為審核信息安全管理體系提供了文件依據(jù)?!缎畔踩芾硎謨?cè)》證明公司已經(jīng)按照ISO/IEC27001:2022標(biāo)準(zhǔn)的要求建立并實(shí)際運(yùn)行一套信息安全管理體系?!缎畔踩芾硎謨?cè)》的編制及頒布可以對(duì)公司信息安全管理各項(xiàng)活動(dòng)進(jìn)行控制,指導(dǎo)公司開展各項(xiàng)業(yè)務(wù)活動(dòng),并通過(guò)不斷的持續(xù)改進(jìn)來(lái)完善信息安全管理體系。1.3.2信息安全管理手冊(cè)的批準(zhǔn)管理者代表負(fù)責(zé)組織信息安全小組編制《信息安全管理手冊(cè)》及其相關(guān)規(guī)章制度,總經(jīng)理負(fù)責(zé)批準(zhǔn)。(1)綜合管理部負(fù)責(zé)按《文件控制程序》的要求,進(jìn)行《信息安全管理手冊(cè)》的登記、發(fā)放、回收、歸檔、作廢與銷毀工作。(2)各相關(guān)部門按照受控文件的管理要求對(duì)收到的《信息安全管理手冊(cè)》進(jìn)行使用和保管。(3)綜合管理部按照規(guī)定發(fā)放修改后的《信息安全管理手冊(cè)》,并收回失效的文件做出標(biāo)識(shí)統(tǒng)一處理,確保有效文件的唯一性。(4)綜合管理部保留《信息安全管理手冊(cè)》修改內(nèi)容的記錄。《信息安全管理手冊(cè)》如根據(jù)實(shí)際情況發(fā)生變化時(shí),應(yīng)用信息安全體系相關(guān)部門提出申請(qǐng),經(jīng)綜合管理部討論、商議,信息安全代表審核、總經(jīng)理批準(zhǔn)后方可進(jìn)行修改。為保證修改后的手冊(cè)能夠及時(shí)發(fā)放給相關(guān)人員,綜合管理部對(duì)手冊(cè)實(shí)施修改后,應(yīng)及時(shí)發(fā)布修改信息,通知相關(guān)人員?!缎畔踩芾硎謨?cè)》的修改分為兩種:一是少量的文字性修改。此種修改不改變手冊(cè)的版本號(hào),只需在本手冊(cè)的“文檔修改記錄”如實(shí)記錄即可,不需保存手冊(cè)修改前的文檔原件。二是大范圍的信息安全管理體系版本升級(jí),即改版。在本手冊(cè)經(jīng)過(guò)多次修改、信息安全管理體系建立依據(jù)的標(biāo)準(zhǔn)發(fā)生變化、公司的業(yè)務(wù)范圍有較大調(diào)整的情況下,需要對(duì)本手冊(cè)進(jìn)行改版。本手冊(cè)的改版應(yīng)該對(duì)改版前的《信息安全管理手冊(cè)》原件進(jìn)行保存。在出現(xiàn)下列情況時(shí),《信息安全管理手冊(cè)》可以進(jìn)行修改:信息安全管理體系運(yùn)行過(guò)程中發(fā)現(xiàn)問(wèn)題或信息安全管理體系需進(jìn)一步改進(jìn)內(nèi)部信息安全提出新的需求組織機(jī)構(gòu)和職能發(fā)生變化經(jīng)營(yíng)環(huán)境和產(chǎn)品結(jié)構(gòu)有調(diào)整發(fā)現(xiàn)本手冊(cè)中存在差錯(cuò)或不明確之處引用的法規(guī)或體系標(biāo)準(zhǔn)有修改體系審核或管理評(píng)審提出改進(jìn)要求本手冊(cè)的更改控制按《文件管理程序》執(zhí)行《信息安全管理手冊(cè)》進(jìn)行換版,換版應(yīng)在管理評(píng)審時(shí)形成決議,重新編制、審批工作。當(dāng)依據(jù)的ISO/IEC27001:2022信息安全管理體系有重大變化時(shí),如組織結(jié)構(gòu)、內(nèi)外部環(huán)境、開發(fā)技術(shù)、信息安全風(fēng)險(xiǎn)等發(fā)生重大改變的。相應(yīng)的法律法規(guī)發(fā)生重大變化時(shí),如國(guó)家法律法規(guī)、政策、標(biāo)準(zhǔn)等發(fā)生改變的?!缎畔踩芾硎謨?cè)》發(fā)生需修改部分超過(guò)1/3時(shí)?!缎畔踩芾硎謨?cè)》執(zhí)行已滿三年時(shí)。(1)《信息安全管理手冊(cè)》標(biāo)識(shí)分受控文件和非受控文件:受控文件發(fā)放范圍為公司領(lǐng)導(dǎo)、各相關(guān)部分的負(fù)責(zé)人、審計(jì)部或者內(nèi)審員。非受控文件印制成單行本,作為投標(biāo)書的資料、銷售目的等發(fā)給受控范圍以外的其他相關(guān)人員。(2)《信息安全管理手冊(cè)》分為書面文件和電子文件兩種。2規(guī)范性引用文件GB/T22080-2016信息技術(shù)安全技術(shù)信息安全管理體系要求;GB/T22081-2016信息安全管理實(shí)用規(guī)則;與公司運(yùn)營(yíng)相關(guān)的法律法規(guī)和技術(shù)標(biāo)準(zhǔn)。本手冊(cè)采用ISO/IEC27001:2022標(biāo)準(zhǔn)的術(shù)語(yǔ)和定義,并根據(jù)需要在相應(yīng)章節(jié)所描述的要求中,增補(bǔ)了所涉及的術(shù)語(yǔ)和定義;本手冊(cè)出現(xiàn)的術(shù)語(yǔ)“產(chǎn)品”指的是公司提供的產(chǎn)品和服務(wù);ISMS-IntegratedManagementSystem的縮寫,代表“信息安全管理體系”;公司定期識(shí)別和信息安全管理目標(biāo)相關(guān),并影響實(shí)現(xiàn)信息安全管理預(yù)期結(jié)果的內(nèi)外部問(wèn)題。4.2理解相關(guān)方的需求和期望本公司確定:b)這些相關(guān)方與信息安全有關(guān)的要求。應(yīng)用范圍:本《信息安全管理手冊(cè)》規(guī)定了<XXX有限公司>信息安全管理體系涉及的開發(fā)和維護(hù)信息安全管理、職責(zé)管理、內(nèi)部審核、管理評(píng)審和信息安全管理體系持續(xù)改進(jìn)等方面內(nèi)容。產(chǎn)品和服務(wù)范圍:與計(jì)算機(jī)應(yīng)用軟件的設(shè)計(jì)、開發(fā)及售后服務(wù)相關(guān)的信息安全管理活動(dòng)區(qū)域范圍:廣東省深圳市八卦嶺八卦路31號(hào)眾鑫科技大廈1310室組織機(jī)構(gòu)范圍:管理層、技術(shù)部、銷售部、綜合管理部為了建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、持續(xù)改進(jìn)信息管理管理體系,提高全員的信息安全意識(shí),對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行有效管理,使全公司貫徹落實(shí)安全方針和各項(xiàng)安全措施,保護(hù)用戶信息和資料,保證的信息資產(chǎn)免遭破壞,降低可能影響到信息安全的各種風(fēng)險(xiǎn),防止安全事故的發(fā)生。同時(shí)確保全體員工理解并遵守執(zhí)行信息安全管理體系文件,持續(xù)改進(jìn)信息安全管理體系的有效性,樹立公司良好的服務(wù)形象,增強(qiáng)用戶對(duì)公司的技術(shù)和管理水平的信心,保證公司業(yè)務(wù)可持續(xù)開展,特制定本《信息安全管理手冊(cè)》??偨?jīng)理領(lǐng)導(dǎo)信息安全工作,并確定相應(yīng)的職責(zé)和作用。制定信息安全方針和信息安全目標(biāo),建立和完善公司的信息安全管理體系。向公司傳達(dá)滿足信息安全目標(biāo)以及信息安全方針,以及法律責(zé)任和持續(xù)改進(jìn)的重要性。提供足夠的資源建立、實(shí)施、運(yùn)行、監(jiān)控、評(píng)審、為何和改進(jìn)ISMS;決定可接受風(fēng)險(xiǎn)的標(biāo)準(zhǔn)和可接受風(fēng)險(xiǎn)的等級(jí);確保按照標(biāo)準(zhǔn)嚴(yán)格執(zhí)行ISMS內(nèi)部審核并進(jìn)行管理評(píng)審。一、信息安全管理方針為了滿足適用法律法規(guī)及相關(guān)方要求,維持ISMS范圍內(nèi)的業(yè)務(wù)正常進(jìn)行,實(shí)現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展,本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)確定了信息安全管理體系方針:滿足客戶要求,保障信息安全,遵守法律法規(guī),持續(xù)改進(jìn)管理。二、信息安全管理目標(biāo)1.針對(duì)客戶信息安全事件的投訴每年不超過(guò)1次2.重要信息設(shè)備丟失每年不超過(guò)1起3.機(jī)密和絕密信息泄漏事件每年不超過(guò)1次三、信息安全管理適用范圍本信息安全管理方針適用于公司全體員工、業(yè)務(wù)合作伙伴、外聘人員及第三方的工作人員等所有與信息資產(chǎn)相關(guān)的部門與人員。附錄2-組織架構(gòu)圖見附錄3-職能分配表見附錄8-信息安全職責(zé)說(shuō)明信息安全小組組織有關(guān)部門根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果,形成《風(fēng)險(xiǎn)處理計(jì)劃》,該計(jì)劃明確了風(fēng)險(xiǎn)處理責(zé)任部門、負(fù)責(zé)人、處理方法及完成時(shí)間。對(duì)于信息安全風(fēng)險(xiǎn)和給予,應(yīng)考慮控制措施與費(fèi)用的平衡原則,選用以下適當(dāng)?shù)拇胧嚎刂骑L(fēng)險(xiǎn),采用適當(dāng)?shù)膬?nèi)部控制措施。接受風(fēng)險(xiǎn)(不可能將所有風(fēng)險(xiǎn)降低為零);避免風(fēng)險(xiǎn)(如物理隔離轉(zhuǎn)移風(fēng)險(xiǎn)(如將風(fēng)險(xiǎn)轉(zhuǎn)移給保險(xiǎn)者、供方、分包商)。6.2信息安全目標(biāo)及其實(shí)現(xiàn)規(guī)劃6.2.1公司在相關(guān)職能、層次和信息安全管理體系所需的過(guò)程建立信息安全目標(biāo)。信息安全目標(biāo)應(yīng):a)與信息安全方針保持一致b)可測(cè)量;c)考慮適用的要求,以及風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置的結(jié)果;d)得到溝通;e)適時(shí)更新。組織應(yīng)保持有關(guān)信息安全目標(biāo)的文件化信息。6.2.2在策劃信息安全目標(biāo)的實(shí)現(xiàn)時(shí),公司確定:a)采取的措施;d)完成的時(shí)間表;總經(jīng)理以及部門經(jīng)理應(yīng)確定、提供為建立、實(shí)施、保持和改進(jìn)ISMS管理體系所需的資源,應(yīng)考慮現(xiàn)有的資源、能力、局限;組織應(yīng)識(shí)別、提供并保持實(shí)現(xiàn)產(chǎn)品/服務(wù)符合性所需的基礎(chǔ)設(shè)施,這些設(shè)施包括:工作場(chǎng)所相應(yīng)的設(shè)施(辦公電腦、服務(wù)器、軟硬件、機(jī)房等);服務(wù)過(guò)程設(shè)備,如各種通訊設(shè)備、監(jiān)控設(shè)備和客戶服務(wù)管理系統(tǒng)、業(yè)務(wù)系統(tǒng)(軟件)等;維修保養(yǎng)和保障設(shè)施(各種輔助設(shè)施、安全防護(hù)設(shè)施等);支持性服務(wù),如運(yùn)輸、通訊信息系統(tǒng)等。公司各部門應(yīng)識(shí)別提供產(chǎn)品/服務(wù)所需環(huán)境中人和物的因素,并對(duì)其加以有效的控制,保證提供產(chǎn)品/服務(wù)過(guò)程中的人員、財(cái)產(chǎn)安全。過(guò)程環(huán)境可包括物理的、社會(huì)的、心理的和環(huán)境的因素。對(duì)照國(guó)際或國(guó)家的測(cè)量標(biāo)準(zhǔn),在規(guī)定的時(shí)間間隔或在使用前進(jìn)行校準(zhǔn)和檢定,如果沒(méi)有上述標(biāo)準(zhǔn)的,應(yīng)記錄校準(zhǔn)或檢定(驗(yàn)證)的依據(jù),以確保下列設(shè)備處于正常狀態(tài):開發(fā)用途的電腦設(shè)備;測(cè)試用途的電腦設(shè)備;開發(fā)用途的軟件;測(cè)試用途的軟件;集成項(xiàng)目使用的設(shè)備。處于正常狀態(tài)的設(shè)備應(yīng)具備下列特征:設(shè)備的型號(hào)能夠符合預(yù)期的使用目的;無(wú)論設(shè)備處于待用狀態(tài)還是處于使用狀態(tài),設(shè)備均是正常的;設(shè)備得到周期性的養(yǎng)護(hù)和校正,并標(biāo)識(shí)其校準(zhǔn)狀態(tài);必要時(shí),各部門使用設(shè)備進(jìn)行測(cè)量前,應(yīng)再次校準(zhǔn)設(shè)備;測(cè)試軟件應(yīng)確認(rèn)其具有滿足預(yù)期用途的能力,初次使用前應(yīng)進(jìn)行確認(rèn),必要時(shí)可以進(jìn)行重新確認(rèn)。當(dāng)發(fā)現(xiàn)軟件或設(shè)備不符合要求時(shí),應(yīng)對(duì)以往的測(cè)量結(jié)果進(jìn)行有效性評(píng)價(jià)和記錄,并對(duì)受影響的產(chǎn)品采取適當(dāng)?shù)拇胧?。校?zhǔn)和檢定結(jié)果的記錄應(yīng)予保存。公司應(yīng)確保ISMS管理體系運(yùn)行過(guò)程中,提供產(chǎn)品/服務(wù)的符合性和顧客滿意所需的知識(shí)。這些知識(shí)應(yīng)得到保持、保護(hù)、需要時(shí)便于獲取。在應(yīng)對(duì)變化的需求和趨勢(shì)時(shí),組織應(yīng)考慮現(xiàn)有的知識(shí)基礎(chǔ),確定如何獲取必需的更公司應(yīng)根據(jù)崗位所需的教育、培訓(xùn)、技能和經(jīng)驗(yàn)要求,安排人員,以確保影響產(chǎn)品/服務(wù)質(zhì)量和信息安全的人員素質(zhì)滿足崗位的需要,能勝任其工作。對(duì)于人員的配置,公司人事行政部應(yīng)定崗定編并制定完善的崗位說(shuō)明文件。公司在《員工培訓(xùn)管理程序》中對(duì)在職培訓(xùn)、人員的意識(shí)的灌輸和工作能力的增長(zhǎng)作了要求,以便:確定從事影響產(chǎn)品/服務(wù)質(zhì)量和信息安全的人員(包含營(yíng)銷、服務(wù)提供、質(zhì)量檢查、IT開發(fā)、顧客溝通、顧客信息反饋等)所必須的工作能力及培訓(xùn)需求;提供培訓(xùn)或采取其他措施,以滿足所確定的需求并確保達(dá)成必須的能力;對(duì)培訓(xùn)的有效性進(jìn)行評(píng)價(jià);確保員工能意識(shí)到他們工作的相關(guān)性和重要性,以及他們?nèi)绾螢檫_(dá)到ISMS目標(biāo)做出努力;保存有關(guān)教育、經(jīng)驗(yàn)、培訓(xùn)、資格的適當(dāng)?shù)挠涗洝9緫?yīng)確保工作的人員意識(shí)到:ISMS管理方針;相關(guān)的信息安全目標(biāo);他們對(duì)信息安全管理體系有效性的貢獻(xiàn),包括改進(jìn)績(jī)效的益處;偏離信息安全管理體系要求的后果。管理者代表為信息安全溝通交流主管部門,負(fù)責(zé)內(nèi)、外部信息的交流與管理,及時(shí)將信息進(jìn)行處理傳遞給有關(guān)部門。各部門負(fù)責(zé)涉及自身職責(zé)范圍內(nèi)的信息安全信息的溝通交流工作,收集與外部相關(guān)方的信息資料,并保存回復(fù)的證據(jù)?!べY產(chǎn)識(shí)別與風(fēng)險(xiǎn)評(píng)估·職責(zé)與權(quán)限的傳達(dá)與落實(shí)·培訓(xùn)教育的實(shí)施與效果·監(jiān)控與測(cè)量結(jié)果的反饋及法律、法規(guī)的符合情況·不符合的糾正和預(yù)防措施的執(zhí)行情況·緊急狀態(tài)下的信息等·信息安全方針通報(bào)相關(guān)方,對(duì)外宣傳;·法律、法規(guī)的獲取與監(jiān)測(cè)及執(zhí)法部門的聯(lián)絡(luò);·監(jiān)控、檢測(cè)結(jié)果的外部聯(lián)絡(luò)和接受、答復(fù);息安全溝通協(xié)調(diào)管理程序》規(guī)范信息安全溝通過(guò)程,必要時(shí),保留信息交流相關(guān)證據(jù)。信息安全管理體系的文件由上而下分為四個(gè)層次,如下圖所示:信息安全管理體系文件包括:(1)管理手冊(cè)(信息安全手冊(cè)、信息安全策略):規(guī)定信息安全管理體系的文件,是公司內(nèi)部的信息安全法規(guī),闡述了信息安全管理體系的方針、目標(biāo)、范圍、組織結(jié)構(gòu)和職責(zé)權(quán)限,同時(shí)描述了信息安全管理體系的主體文件(程序文件),是信息安全管理體系的綱領(lǐng)性文件。(2)程序文件:是信息安全手冊(cè)的支持性文件,規(guī)定了實(shí)施與信息安全管理體系有關(guān)的各項(xiàng)活動(dòng)的途徑和方法,是各項(xiàng)活動(dòng)得以有效實(shí)施的保障。與信息安全管理體系有關(guān)的各項(xiàng)活動(dòng)必須按照程序文件規(guī)定實(shí)施,并定期對(duì)其進(jìn)行評(píng)審,保持其有效性。(3)作業(yè)指導(dǎo)、規(guī)范規(guī)章制度、計(jì)劃等:是現(xiàn)場(chǎng)或崗位使用的詳細(xì)工作文件,是程序文件的支撐和補(bǔ)充性文件,是信息安全管理體系過(guò)程得以有效策劃、運(yùn)行、控制所需要的文件,也是信息安全活動(dòng)的基礎(chǔ)文件。(4)表單記錄:通過(guò)表單模板,對(duì)信息安全管理體系實(shí)施的一系列活動(dòng)進(jìn)行規(guī)范,形成記錄文件,用于作為管理評(píng)審、內(nèi)部審核、外部審核、持續(xù)改進(jìn)的客觀證據(jù)。信息安全手冊(cè)、程序文件和作業(yè)指導(dǎo)、規(guī)范規(guī)章制度、表單記錄等四層文件由信息安全小組組織協(xié)調(diào)各相關(guān)部門共同完成編寫。支持文件:●《文件控制程序》綜合管理部組織編制《文件控制程序》,確保信息安全管理體系的文件在以下幾個(gè)方面得到控制:(1)文件發(fā)布前得到批準(zhǔn),以確保文件是充分與適宜的。(2)管理體系文件應(yīng)定期進(jìn)行評(píng)審、修訂完善,并再次批準(zhǔn)以保持文件要求與實(shí)際運(yùn)作的一致性,充分保障文件的有效性、充分性和適宜性。(3)確保文件的更改和現(xiàn)行修訂狀態(tài)得到識(shí)別。(4)確保在使用處可獲得適用文件的有關(guān)版本。(5)確保文件保持清晰、易于識(shí)別。(6)確保綜合管理部確定的體系所需的外來(lái)文件得到識(shí)別,并控制其分發(fā)。(7)防止作廢文件的非預(yù)期使用,若因任何原因而保留作廢文件時(shí),對(duì)這些文件進(jìn)行適當(dāng)?shù)臉?biāo)識(shí)。(8)具體執(zhí)行按《文件控制程序》的規(guī)定,對(duì)文件的審核、批準(zhǔn)、發(fā)布、變更、修改、廢止等環(huán)節(jié)進(jìn)行控制。支持文件:●《文件控制程序》信息安全管理體系所要求的記錄是體系符合標(biāo)準(zhǔn)要求和有效運(yùn)行的依據(jù),對(duì)記錄的標(biāo)識(shí)、儲(chǔ)存、保護(hù)、檢索、保管、廢棄等事項(xiàng)進(jìn)行了規(guī)定,各部門應(yīng)根據(jù)《記錄控制程序》的要求采取適當(dāng)?shù)姆绞酵咨票9苄畔踩涗?,具體記錄如下:(1)建立并保持記錄,以提供符合要求和信息安全管理體系有效運(yùn)行的證據(jù)。(2)保護(hù)并控制記錄。信息安全管理體系應(yīng)考慮相關(guān)的法律要求和合同責(zé)任。記錄應(yīng)保持合法,易于識(shí)別和檢索。(3)編制形成文件的程序,以規(guī)定記錄的標(biāo)識(shí)、儲(chǔ)存、保護(hù)、檢索、保存期限和處置所需的控制。(4)記錄的要求和管理:真實(shí)、完整、字跡清晰,可識(shí)別是何種產(chǎn)品或項(xiàng)目的何種活動(dòng)。填寫及時(shí)、禁止未經(jīng)許可的更改。各部門應(yīng)對(duì)本部門的記錄自行歸檔保存,保存環(huán)境應(yīng)適宜,以防止記錄損壞、變質(zhì)和丟失,保管方式便于存取和檢索。記錄的保存期限應(yīng)根據(jù)產(chǎn)品的特點(diǎn)、法規(guī)要求及合同要求來(lái)決定,見“記錄清超過(guò)保存期的質(zhì)量記錄處理應(yīng)按審批規(guī)定進(jìn)行處置。支持文件:●《記錄控制程序》公司規(guī)定了實(shí)現(xiàn)與計(jì)算機(jī)應(yīng)用軟件的設(shè)計(jì)、開發(fā)及售后服務(wù)所需的過(guò)程,這些過(guò)程與公司ISMS管理體系中的其他要求相一致并對(duì)其順序和相互作用予以確定。公司識(shí)別每一過(guò)程對(duì)滿足客戶服務(wù)要求的能力的影響,并確保營(yíng)運(yùn)活動(dòng)中每個(gè)質(zhì)量特性都受到有效控制。●實(shí)現(xiàn)過(guò)程的策劃中應(yīng)明確:●質(zhì)量目標(biāo)和要求;●明確各崗位的信息安全職責(zé);●服務(wù)標(biāo)準(zhǔn)●明確過(guò)程控制的準(zhǔn)則和方法,制定必要的作業(yè)指導(dǎo)文件,為產(chǎn)品和服務(wù)實(shí)現(xiàn)提供資源和設(shè)施,保證其所需的工作環(huán)境;●保留服務(wù)過(guò)程提供及過(guò)程測(cè)量和檢查結(jié)果的記錄。經(jīng)識(shí)別公司沒(méi)有外包過(guò)程。對(duì)于公司的服務(wù)商,綜合管理部按照《第三方服務(wù)管理程序》進(jìn)行管理。信息安全小組負(fù)責(zé)組織編制《信息安全風(fēng)險(xiǎn)管理程序》,建立識(shí)別適用于信息安全管理體系和已經(jīng)識(shí)別的業(yè)務(wù)信息安全、法律法規(guī)要求的風(fēng)險(xiǎn)評(píng)估方法,在決定風(fēng)險(xiǎn)的可接受范圍內(nèi),采取適當(dāng)?shù)娘L(fēng)險(xiǎn)控制措施。在信息安全管理體系范圍內(nèi),對(duì)所有信息資產(chǎn)進(jìn)行識(shí)別評(píng)價(jià),識(shí)別資產(chǎn)面臨的威脅以及脆弱性、識(shí)別保密性完整性和可用性對(duì)資產(chǎn)造成的影響程度、識(shí)別資產(chǎn)面臨的風(fēng)險(xiǎn),并通過(guò)這些項(xiàng)目的風(fēng)險(xiǎn)標(biāo)識(shí)推算出對(duì)重要資產(chǎn)造成的影響。針對(duì)每一項(xiàng)信息資產(chǎn),識(shí)別出其面臨的所有威脅,并考慮現(xiàn)有的控制措施,識(shí)別出被該威脅可能利用的薄弱點(diǎn)。針對(duì)每一項(xiàng)威脅、薄弱點(diǎn),對(duì)資產(chǎn)造成的影響,考慮現(xiàn)有的控制措施,判斷安全失效發(fā)生的可能性。根據(jù)《信息安全風(fēng)險(xiǎn)管理程序》計(jì)算風(fēng)險(xiǎn)等級(jí)以及風(fēng)險(xiǎn)接受準(zhǔn)則,判斷風(fēng)險(xiǎn)為可接受或需要處理。項(xiàng)目風(fēng)險(xiǎn)的識(shí)別貫穿整個(gè)業(yè)務(wù)活動(dòng)過(guò)程,明確哪些風(fēng)險(xiǎn)可能影響項(xiàng)目造成影響、記錄這些風(fēng)險(xiǎn)的各方面特征。在記錄風(fēng)險(xiǎn)的基礎(chǔ)上對(duì)項(xiàng)目進(jìn)行初步分析,依據(jù)影響對(duì)項(xiàng)目風(fēng)險(xiǎn)進(jìn)行優(yōu)先級(jí)排序。綜合管理部根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果,形成《信息安全風(fēng)險(xiǎn)評(píng)估表(含<風(fēng)險(xiǎn)處理計(jì)劃>)》,該計(jì)劃明確了風(fēng)險(xiǎn)處理責(zé)任部門、負(fù)責(zé)人、目的、范圍以及處理策略,具體措施如下:(1)適時(shí)適當(dāng)?shù)目刂拼胧?。?)規(guī)避風(fēng)險(xiǎn),采取有效的控制措施避免風(fēng)險(xiǎn)的發(fā)生。(3)接受風(fēng)險(xiǎn),在一定程度上有意識(shí)、有目的地接受風(fēng)險(xiǎn)。(4)風(fēng)險(xiǎn)轉(zhuǎn)移,轉(zhuǎn)移相關(guān)業(yè)務(wù)風(fēng)險(xiǎn)到其他方面。(5)消減風(fēng)險(xiǎn),通過(guò)適當(dāng)?shù)目刂拼胧┙档惋L(fēng)險(xiǎn)發(fā)生的可能性。組織應(yīng)實(shí)施信息安全風(fēng)險(xiǎn)處置計(jì)劃。保留信息安全風(fēng)險(xiǎn)處置結(jié)果的文件記錄信息。詳見《信息安全風(fēng)險(xiǎn)管理程序》●《信息安全風(fēng)險(xiǎn)管理程序》為了保證服務(wù)的符合性及實(shí)施必要的改進(jìn),應(yīng)規(guī)定、策劃和實(shí)施所需的測(cè)量和監(jiān)視活動(dòng)。在策劃時(shí),應(yīng)確定統(tǒng)計(jì)技術(shù)及其他適用的方法的需要和使用。需要監(jiān)視和測(cè)量的過(guò)程和措施包括:客戶滿意度測(cè)量、過(guò)程的監(jiān)視和測(cè)量、產(chǎn)品的監(jiān)視和測(cè)量。綜合管理部應(yīng)組織相關(guān)部門,對(duì)質(zhì)量服務(wù)信息安全措施的績(jī)效和體系的有效性進(jìn)行評(píng)價(jià)。綜合管理部應(yīng)與各部門協(xié)調(diào),根據(jù)公司管理的實(shí)際需要,建立恰當(dāng)?shù)亩攘矿w系,以度量員工、項(xiàng)目組的工作業(yè)績(jī)。由綜合管理部組織實(shí)施監(jiān)視和測(cè)量,每年至少一次對(duì)對(duì)監(jiān)視和測(cè)量的結(jié)果進(jìn)行分析和評(píng)價(jià),由總經(jīng)理以及各部門經(jīng)理分析和評(píng)價(jià)這些結(jié)果,保留相關(guān)的監(jiān)視和測(cè)量證據(jù)。公司應(yīng)按計(jì)劃的時(shí)間要求進(jìn)行ISMS內(nèi)部審核,以確定控制目標(biāo)、控制措施、過(guò)程和程序是否:符合標(biāo)準(zhǔn)及相關(guān)法律法規(guī)的要求;符合確定的信息安全要求;得到有效地實(shí)施和維護(hù);按期望運(yùn)行。內(nèi)部審核程序應(yīng)進(jìn)行計(jì)劃,并考慮受審核的狀況、重要性和受審核的區(qū)域以及上次審核結(jié)果,應(yīng)規(guī)定審核準(zhǔn)則、范圍、頻次和方式,審核員的選擇和審核活動(dòng)應(yīng)保證審核過(guò)程的客觀和公正,審核員不能審核自己的工作。為確保信息安全管理體系持續(xù)運(yùn)行,具體如下:(1)管理者代表組織并編制《管理評(píng)審程序》,指導(dǎo)管理評(píng)審工作的執(zhí)行。(2)管理評(píng)審由最高管理者或其授權(quán)人員組織,每年至少一次。一般情況下,采取會(huì)議的形式,安排在內(nèi)部審核之后。當(dāng)出現(xiàn)下列情況之一時(shí),應(yīng)及時(shí)進(jìn)行管理評(píng)審:公司管理體系發(fā)生重大變化。國(guó)家法律法規(guī)、相關(guān)標(biāo)準(zhǔn)發(fā)生重大變化。外審之前。其他認(rèn)為需要評(píng)審時(shí)。(3)各部門負(fù)責(zé)均需參加管理評(píng)審活動(dòng),需要時(shí),由總經(jīng)理或其授權(quán)人員決定具體的參加人員。(4)管理評(píng)審會(huì)議的決議事項(xiàng)以會(huì)議紀(jì)要形式體現(xiàn),由各相關(guān)部門負(fù)責(zé)配合執(zhí)行,并對(duì)執(zhí)行狀況予以跟蹤評(píng)估。在管理評(píng)審時(shí),管理者代表應(yīng)組織各相關(guān)部門提供以下資料,以供評(píng)審:a)以往管理評(píng)審的措施的狀態(tài);b)與信息安全管理體系相關(guān)的外部和內(nèi)部問(wèn)題的變更;c)信息安全績(jī)效的反饋,包括下列方面的趨勢(shì):1)不符合和糾正措施;2)監(jiān)視和測(cè)量結(jié)果;4)信息安全目標(biāo)的實(shí)現(xiàn);d)相關(guān)方的反饋;e)風(fēng)險(xiǎn)評(píng)估的結(jié)果和風(fēng)險(xiǎn)處置計(jì)劃的狀態(tài);f)持續(xù)改進(jìn)的機(jī)會(huì)。按照信息安全管理與安全方針和目標(biāo)對(duì)上述信息進(jìn)行全面的討論、評(píng)價(jià)、分析,管理評(píng)審輸出包括以下方面有關(guān)的任何決定和措施:(1)信息安全管理體系有效性的改進(jìn),應(yīng)考慮業(yè)務(wù)需求、安全需求、影響已有業(yè)務(wù)需求的業(yè)務(wù)過(guò)程、法律法規(guī)環(huán)境、合同責(zé)任義務(wù)、風(fēng)險(xiǎn)以及風(fēng)險(xiǎn)接受等級(jí)等。(2)信息安全管理方針和目標(biāo)的修訂。(3)與相關(guān)方/第三方有關(guān)的改進(jìn)措施等。(4)風(fēng)險(xiǎn)的等級(jí)或可接受風(fēng)險(xiǎn)的水平,更新風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)評(píng)估表等。(5)業(yè)務(wù)需求的變更。(6)安全需求的變更。(7)資源需求以及影響現(xiàn)有業(yè)務(wù)需求的業(yè)務(wù)過(guò)程;(8)法律法規(guī)的環(huán)境。(9)改進(jìn)測(cè)量控制措施有效性的方式。(10)對(duì)現(xiàn)有信息安全管理體系的評(píng)價(jià)結(jié)論以及對(duì)現(xiàn)有服務(wù)是否符合要求的評(píng)價(jià)。以上內(nèi)容的詳細(xì)規(guī)定見《管理評(píng)審程序》。公司應(yīng)保留文件記錄作為管理評(píng)審結(jié)果的證據(jù)。當(dāng)發(fā)生不符合時(shí),應(yīng):●對(duì)不符合作出反應(yīng),采取措施控制并糾正不符合;處理不符合造成的后果;●評(píng)價(jià)消除不符合原因的措施的需求,通過(guò)采取以下措施防止不符合再次發(fā)生或在其他區(qū)域發(fā)生:評(píng)審不符合;確定不符合的原因;確定類似不符合是否存在,或可能潛在發(fā)生●實(shí)施所需的措施;●評(píng)審所采取糾正措施的有效性;●必要時(shí),對(duì)體系實(shí)施變更。應(yīng)將以下信息形成文件:●不符合的性質(zhì)及隨后采取的措施●糾正措施的結(jié)果上述要求參見《糾正措施控制程序》。通過(guò)制定和改進(jìn)管理方針和管理目標(biāo)、進(jìn)行管理評(píng)審、進(jìn)行內(nèi)部/外部審核、落實(shí)糾正與預(yù)防措施工作、對(duì)信息安全事件和服務(wù)異常事件的監(jiān)控分析等方式開展信息安全管理體系的改進(jìn)工作,必要時(shí)征求所有相關(guān)方對(duì)管理體系的意見,從而保證管理體系的持續(xù)有效性和運(yùn)行效率。關(guān)注客戶的投訴、抱怨、記錄、評(píng)估服務(wù)改進(jìn)建議,制定服務(wù)改進(jìn)計(jì)劃,評(píng)估服務(wù)改進(jìn)情況,確保各項(xiàng)服務(wù)改進(jìn)措施均已落實(shí)執(zhí)行,并實(shí)現(xiàn)預(yù)期的目標(biāo),從而改進(jìn)完善服務(wù)過(guò)程,提升服務(wù)質(zhì)量,提高客戶的滿意度。規(guī)定各部門在持續(xù)改進(jìn)活動(dòng)中的角色和職責(zé),并從服務(wù)過(guò)程的所有方面考慮服務(wù)改進(jìn)要求。計(jì)劃通過(guò)以下途徑持續(xù)改進(jìn)信息安全管理的有效性:(1)通過(guò)信息安全管理體系方針的建立與實(shí)施,對(duì)持續(xù)改進(jìn)做出正式的承諾。(2)通過(guò)信息安全管理體系目標(biāo)的建立與實(shí)施,對(duì)持續(xù)改進(jìn)進(jìn)行評(píng)價(jià)。(3)通過(guò)內(nèi)部審核不斷發(fā)現(xiàn)問(wèn)題,尋找體系改進(jìn)的機(jī)會(huì)并予以實(shí)施。(4)通過(guò)數(shù)據(jù)分析不斷尋求改進(jìn)的機(jī)會(huì),并做出適當(dāng)?shù)母倪M(jìn)活動(dòng)安排。(5)通過(guò)實(shí)施糾正和預(yù)防措施實(shí)現(xiàn)改進(jìn)的活動(dòng)。(6)監(jiān)控安全事件并對(duì)事件進(jìn)行分析。(7)確定糾正措施和預(yù)防措施的有效性。(8)根據(jù)管理評(píng)審的結(jié)果尋求改進(jìn)體系的機(jī)會(huì)。(9)根據(jù)客戶滿意度調(diào)查尋求改進(jìn)體系的機(jī)會(huì)。支持文件:●《糾正措施控制程序》●《預(yù)防措施控制程序》●《內(nèi)部審核管理程序》對(duì)于發(fā)現(xiàn)的不合格項(xiàng),不僅要求責(zé)任人要糾正不合格行為,而且為了消除不合格項(xiàng)、與實(shí)施和運(yùn)行信息安全管理體系有關(guān)的原因,人事行政部要求責(zé)任人應(yīng)該制定糾正措施,以便防止不合格的再次發(fā)生。糾正措施的控制應(yīng)該滿足如下要求:(1)識(shí)別實(shí)施和運(yùn)行信息安全管理體系的不合格事件。(2)分析并確定不合格的原因。(3)評(píng)價(jià)確保不合格不再發(fā)生的相關(guān)因素。(4)確定和實(shí)施所需的糾正措施。(5)檢查、驗(yàn)證糾正措施的結(jié)果。(6)評(píng)審所采取的糾正措施的有效性。支持文件:●《糾正措施控制程序》●《預(yù)防措施控制程序》●《內(nèi)部審核管理程序》在信息安全管理體系運(yùn)行的過(guò)程中,通過(guò)日常的過(guò)程控制、結(jié)果驗(yàn)證、體系審核等方式發(fā)現(xiàn)的一些可能影響體系運(yùn)行的、不受控制將會(huì)導(dǎo)致不合格產(chǎn)生的安全事件,應(yīng)該及時(shí)采取預(yù)防措施控制事態(tài)的進(jìn)一步擴(kuò)大。預(yù)防措施應(yīng)該滿足如下幾方面的要求:(1)識(shí)別潛在的信息安全事件及其原因,并確定。(2)評(píng)價(jià)預(yù)防不合格發(fā)生的措施的需求。(3)確定和實(shí)施所需的預(yù)防措施。(4)評(píng)價(jià)預(yù)防措施的有效性,并對(duì)所采取措施的結(jié)果進(jìn)行記錄。(5)識(shí)別并控制重大的已變更的防線。支持文件:●《糾正措施控制程序》●《預(yù)防措施控制程序》附錄1-組織簡(jiǎn)介XXX有限公司是一家總部位于中國(guó)深圳的全方位IT及解決方案服務(wù)提供商。主要致力于航空領(lǐng)域,提供航空IT產(chǎn)品、IT服務(wù)及解決方案、航空教育的一體化專業(yè)公司。依靠與多家航空領(lǐng)域的企事業(yè)單位建立的良好合作關(guān)系,不斷吸取各方先進(jìn)技術(shù)與管理經(jīng)驗(yàn),打造了一支經(jīng)驗(yàn)豐富的管理團(tuán)隊(duì)。在堅(jiān)持高品質(zhì)的產(chǎn)品質(zhì)量、雄厚的技術(shù)力量的支持下,研發(fā)了多項(xiàng)擁有自主知識(shí)產(chǎn)權(quán)的產(chǎn)品,同時(shí)具備了向市場(chǎng)提供綜合化服務(wù)的實(shí)我們的服務(wù):公司一直堅(jiān)持“滿足客戶的需求就是我們的追求的服務(wù)“宗旨”,我們將以最優(yōu)質(zhì)的服務(wù)為客戶提供全方位的IT服務(wù),提升客戶的企業(yè)價(jià)值,提高客戶的市場(chǎng)競(jìng)爭(zhēng)力。技術(shù)實(shí)力:公司擁有蓬勃向上,充滿朝氣的創(chuàng)業(yè)型領(lǐng)導(dǎo)核心,海外留學(xué)背景,多年IT研發(fā)、管理經(jīng)濟(jì)的高層管理團(tuán)隊(duì);經(jīng)驗(yàn)豐富的研發(fā)團(tuán)隊(duì)—為客戶提供專業(yè)發(fā)展戰(zhàn)略:提供自主研發(fā)的一流軟件和服務(wù),持續(xù)為客戶創(chuàng)造最大價(jià)值核心價(jià)值觀公司理念:幫助客戶創(chuàng)造價(jià)值,幫助員工實(shí)現(xiàn)夢(mèng)想誠(chéng)信:最重要的無(wú)形資產(chǎn),是我們贏得客戶信任的基礎(chǔ)專注:建立核心競(jìng)爭(zhēng)力的關(guān)鍵創(chuàng)新:企業(yè)持續(xù)性發(fā)展的必備基因是我們贏得客戶信任的基礎(chǔ)附錄2-組織架構(gòu)圖總經(jīng)理信息安全小組管理者代表附錄3-職能分配表管理單位體系要求信息安全小組總經(jīng)理管理者代表綜合管理部技術(shù)部銷售部△▲△△△△4.2理解相關(guān)方的需求和期望△▲△△△△4.3明確信息安全管理體系的范圍△▲▲△△△4.4信息安全管理體系△△▲△△△△▲△△△△△▲△△△△5.3組織角色、職責(zé)和權(quán)力△▲△△△△▲▲△△△△6.2信息安全目標(biāo)的計(jì)劃和實(shí)現(xiàn)△▲△△△△△▲△△△△△△△▲△△△△△▲△△▲▲▲△△△△△△▲△△▲△△△△△8.2信息安全風(fēng)險(xiǎn)評(píng)估▲△△△△△8.3信息安全風(fēng)險(xiǎn)處置▲△△△△△9績(jī)效評(píng)價(jià)9.1監(jiān)視、測(cè)量、分析和評(píng)價(jià)▲△△△△△▲△△△△△△▲△△△△△▲△△△△△▲△△△△△△▲△△△△▲▲△△△△△△△▲▲△△△▲△△△△△▲△△△△△▲△△△△△▲▲▲△△△▲△△△△△▲▲▲△△△▲△△△△△▲△△△△△▲△△△△△▲△△△△△▲△△△△△▲△△△△△▲△△△△△▲△△△△△▲▲▲△△△▲▲▲△△△▲△△△△△▲△△△△△▲△△△△△▲△△△△▲△△△△▲△△A.14系統(tǒng)的獲取、開發(fā)及維護(hù)△△△△▲△△△△△▲△△△△△▲△△△△▲△△△△△▲△△A.16信息安全事件管理▲△△△△△▲△△△△△▲△△▲▲▲▲△△▲▲▲▲△△△△△▲△△△△△▲△△△△△▲△△△△△A.17業(yè)務(wù)連續(xù)性管理中的信息安全△△△▲△△△△△▲△△△△△▲△△▲△△△△△*注:負(fù)責(zé)部門以“▲”表示;相關(guān)部門以“△”表示。附錄4-信息安全小組成員為確保本公司信息安全管理體系的有效運(yùn)行,認(rèn)真貫徹信息安全管理方針,特授權(quán)以下人員組成信息安全管理小組。成員名單如下:組長(zhǎng):XXX(總經(jīng)理)執(zhí)行組長(zhǎng):曹飛澎成員:綜合管理部:張小波、銷售部:曹飛澎、技術(shù)部:嚴(yán)玉成。附錄5-服務(wù)器拓?fù)鋱D附錄6-信息安全職責(zé)說(shuō)明一、總經(jīng)理1、負(fù)責(zé)主持制定本公司的信息安全體系方針和目標(biāo),確保員工貫徹執(zhí)行;2、制定公司戰(zhàn)略,進(jìn)行經(jīng)營(yíng)、營(yíng)銷、項(xiàng)目管理規(guī)劃,承擔(dān)公司的全面經(jīng)營(yíng)管理工作,包括人事、行政、財(cái)務(wù)、采購(gòu)、管理等。3、確保實(shí)現(xiàn)方針和目標(biāo)的相關(guān)資源;4、任命管理者代表,并授予其相應(yīng)的職責(zé)和權(quán)限;5、負(fù)責(zé)對(duì)本公司組織結(jié)構(gòu)的設(shè)置,規(guī)定各級(jí)人員的職責(zé)、權(quán)限,規(guī)定和各部門的職能及其在組織內(nèi)的相互關(guān)系,具體崗位職責(zé)描述,參見相關(guān)《職位說(shuō)明書》;6、組織制定項(xiàng)目整體施工組織計(jì)劃;根據(jù)項(xiàng)目整體計(jì)劃,審定年度、季、月進(jìn)度計(jì)劃,并貫徹執(zhí)行;對(duì)直接下屬進(jìn)行績(jī)效考核,對(duì)其進(jìn)行提拔、獎(jiǎng)勵(lì)、懲處。7、嚴(yán)格執(zhí)行公司財(cái)務(wù)制度,根據(jù)授權(quán)審批公司各項(xiàng)開支,但受董事長(zhǎng)監(jiān)督,各項(xiàng)開支在審批后,需報(bào)送董事長(zhǎng)核準(zhǔn)簽名確認(rèn);制定公司的資金計(jì)劃,資金運(yùn)作管理,并按授權(quán)進(jìn)行費(fèi)用與合同審批二、管理者代表1、負(fù)責(zé)體系文件控制,審核信息安全手冊(cè)、方針、目標(biāo);指導(dǎo)各部門負(fù)責(zé)人對(duì)相關(guān)文件之使用、保管、收集、整理與歸檔。負(fù)責(zé)對(duì)現(xiàn)有體系文件定期評(píng)審。2、審查各部門編制信息安全記錄在案格式,并審批;指導(dǎo)各部門對(duì)信心安全記錄之整理和保管。3、向企業(yè)負(fù)責(zé)人報(bào)告信息安全體系運(yùn)行情況,提出改進(jìn)建議;制定管理評(píng)審計(jì)劃、收集并提供管理評(píng)審所需之資料,編寫管理評(píng)4、建立文件化的程序,確保認(rèn)證標(biāo)志的妥善保管和使用;5、建立信息安全體系,符合法律法規(guī)及其它要求,與外部各方聯(lián)絡(luò)。三、信息安全管理小組1、直接對(duì)信息安全管理代表負(fù)責(zé),承擔(dān)信息安全管理具體操作以及決策2、負(fù)責(zé)管理體系建立、實(shí)施和日常運(yùn)行,起草信息安全政策,確定信息安全管理標(biāo)準(zhǔn),3、負(fù)責(zé)對(duì)ISMS體系進(jìn)行審核,以有效性和健全性提出內(nèi)審建議;4、負(fù)責(zé)匯報(bào)審計(jì)結(jié)果并監(jiān)督整改、改版工作,落實(shí)糾正措施和預(yù)防措施;5、負(fù)責(zé)調(diào)查安全事件,并維護(hù)安全事件的記錄報(bào)告6、關(guān)注公司所有法律法規(guī),行業(yè)主管部門頒發(fā)規(guī)章制度,審核ISMS體系文檔的合規(guī)性。四、銷售部1,實(shí)施信息安全管理體系有關(guān)的程序文件,針對(duì)不合格項(xiàng)判定實(shí)施糾正預(yù)防措施;2、負(fù)責(zé)公司的項(xiàng)目銷售工作,完成公司的項(xiàng)目銷售目標(biāo);3、圍繞公司下達(dá)的項(xiàng)目銷售目標(biāo)制定策略計(jì)劃;d)負(fù)責(zé)維護(hù)已有項(xiàng)目用戶的客戶關(guān)系;4、把握重點(diǎn)客戶關(guān)系,參與銷售談判;f)負(fù)責(zé)與公司業(yè)務(wù)相關(guān)的市場(chǎng)開拓;5、組織公司技術(shù)部門與用戶進(jìn)行相關(guān)技術(shù)交流;6、發(fā)起合同評(píng)審,并根據(jù)評(píng)審結(jié)果,修訂銷售合同;7、做好項(xiàng)目前期交流、項(xiàng)目合同簽訂、驗(yàn)收收款的協(xié)調(diào)工作;8,配合公司收集相關(guān)銷售信息,并反饋給主管領(lǐng)導(dǎo);9,完成公司主管交辦的其他工作五、技術(shù)部1,負(fù)責(zé)按照的指派,為客戶提供軟件開發(fā)、軟硬件運(yùn)維服務(wù);3,負(fù)責(zé)公司內(nèi)部IT網(wǎng)絡(luò)環(huán)境、服務(wù)器、交換機(jī)的正常運(yùn)轉(zhuǎn);負(fù)責(zé)如實(shí)向顧客介紹產(chǎn)品、投標(biāo)、與顧客洽談合同和簽訂合同,確保所簽合同規(guī)范、有效和可行;4,負(fù)責(zé)常規(guī)合同評(píng)審,組織有特殊要求合同的評(píng)審。5,參與組織對(duì)顧客技術(shù)培訓(xùn)。6,保持公司信息安全體系文件相關(guān)要素在本部門的貫徹實(shí)施,并管理相關(guān)記錄;六、綜合管理部1、根據(jù)公司發(fā)展戰(zhàn)略制定用人規(guī)劃、年度招聘計(jì)劃、培訓(xùn)需求、績(jī)效考核流程及體系、薪酬發(fā)展體系、推廣企業(yè)文化、解決投訴與沖突、組織各類員工活動(dòng)。2、根據(jù)公司發(fā)展需要制定日常辦公管理等行政制度、申報(bào)公司經(jīng)營(yíng)相關(guān)資質(zhì)、證件、籌備辦公會(huì)議及形成會(huì)議紀(jì)要、確保公司IT系統(tǒng)的有效實(shí)施和運(yùn)轉(zhuǎn)(監(jiān)控系統(tǒng),門禁系統(tǒng),廣播系統(tǒng)、OA系統(tǒng)、郵箱系統(tǒng)、財(cái)務(wù)系統(tǒng)、服務(wù)器、電話交換機(jī)、網(wǎng)絡(luò)寬帶等)。3、培訓(xùn)發(fā)展管理:公司年度培訓(xùn)計(jì)劃的制訂與實(shí)施以及制訂公司年度教育培訓(xùn)經(jīng)費(fèi)的預(yù)算并進(jìn)行管理和使用。4、負(fù)責(zé)體系文件的發(fā)放、回收管理。5、負(fù)責(zé)相關(guān)法律、法規(guī)的識(shí)別與收集、合規(guī)性評(píng)價(jià)、文件控制及記錄控制。6、負(fù)責(zé)網(wǎng)絡(luò)的訪問(wèn)管理、機(jī)房設(shè)備管理。6、信息安全事件的調(diào)查及協(xié)助處理。7、對(duì)新供應(yīng)商的開發(fā)、選擇及監(jiān)督;8、對(duì)供應(yīng)商資質(zhì)進(jìn)行審核及維護(hù)。9、制定供應(yīng)商現(xiàn)場(chǎng)評(píng)審表,并參與供應(yīng)商現(xiàn)場(chǎng)評(píng)審。10、負(fù)責(zé)對(duì)供應(yīng)商的交貨及時(shí)率、配合度交貨進(jìn)行評(píng)估;對(duì)外協(xié)產(chǎn)品品質(zhì)問(wèn)題的處理及改善措施進(jìn)行監(jiān)督,并提供月度的相關(guān)考核數(shù)據(jù),參與供應(yīng)商績(jī)效評(píng)審。11、負(fù)責(zé)公司合同條款的審核。12、信息安全事件的調(diào)查及協(xié)助處理。XXX有限公司信息安全告知書TS-ISMS-202X-0101(內(nèi)部受控)202X-11-1發(fā)布202X-11-1實(shí)施XXX有限公司修改履歷版本版本制訂者修改時(shí)間更改內(nèi)容審批人審核意見變更申請(qǐng)單號(hào)XXXXXX202X-11-1202X-11-1發(fā)布實(shí)施XXXXXX同意同意XXX有限公司文件編號(hào)ISMS-A-01信息安全管理手冊(cè)文件版本密級(jí)秘密各顧客、供應(yīng)商、承包方和所有相關(guān)方:感謝您對(duì)公司一貫支持,為創(chuàng)造一個(gè)完善安全的信息溝通和傳遞途徑,共同保障各方信息的安全,公司自202X年11月1日起按照ISO27001:2013標(biāo)準(zhǔn)建立并實(shí)施信息安全管理體系,為確保管理體系實(shí)施的有效性,需要各相關(guān)方在工作交往及合作中給予大力配合。現(xiàn)將有關(guān)事宜敬告如下:1、本公司特制訂如下信息安全方針和信息安全目標(biāo):關(guān)注客戶需求,保障信息安全.完善安全措施,改進(jìn)信息技術(shù).關(guān)注客戶需求,保障信息安全:客戶的安全需求為公司安全建設(shè)的重要輸入,按照標(biāo)準(zhǔn)要求建設(shè)信息安全框架,保障公司整體的信息安全。完善安全措施,改進(jìn)信息技術(shù):關(guān)注新的信息安全技術(shù),不斷獲取新技術(shù)或新產(chǎn)品,改進(jìn)信息技術(shù),通過(guò)風(fēng)險(xiǎn)管理,持續(xù)完善安全措施,并且保證措施的實(shí)施效果。顧客保密性抱怨/投訴的次數(shù)不超過(guò)1起/年。受控信息泄露的事態(tài)發(fā)生不超過(guò)2起/年。機(jī)密信息泄露的事態(tài)不得發(fā)生。重要信息設(shè)備丟失每年不超過(guò)0起年度信息安全培訓(xùn)人員覆蓋率100%大面積內(nèi)網(wǎng)中斷時(shí)間每年累計(jì)不超過(guò)240分鐘大規(guī)模病毒爆發(fā)每年不超過(guò)2次本公司信息安全管理體系方針?lè)弦韵乱螅篴)為信息安全目標(biāo)建立了框架,并為信息安全活動(dòng)建立整體的方向和原則;b)識(shí)別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求;c)與組織戰(zhàn)略和風(fēng)險(xiǎn)管理相一致的環(huán)境下,建立和保持信息安全管理體系;d)建立了風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)則;e)經(jīng)總經(jīng)理批準(zhǔn),并定期評(píng)審其適用性、充分性,必要時(shí)予以修訂。為實(shí)現(xiàn)信息安全管理體系方針,本公司承諾:a)在公司內(nèi)各層次建立完整的信息安全管理組織機(jī)構(gòu),確定信息安全方針、安全目標(biāo)和控制措施,明確信息安全的管理職責(zé);b)識(shí)別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求;c)定期進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估,信息安全管理體系評(píng)審,采取糾正預(yù)防措施,保證體系的持續(xù)有效性;d)采用先進(jìn)有效的設(shè)施和技術(shù),處理、傳遞、儲(chǔ)存和保護(hù)各類信息,實(shí)現(xiàn)信息共e)對(duì)全體員工進(jìn)行持續(xù)的信息安全教育和培訓(xùn),不斷增強(qiáng)員工的信息安全意識(shí)和f)制定并保持完善的業(yè)務(wù)連續(xù)性計(jì)劃,實(shí)現(xiàn)可持續(xù)發(fā)展。1XXXXXX有限公司文件編號(hào)ISMS-A-02信息安全適用性聲明文件版本密級(jí)秘密XXX有限公司信息安全適用性聲明(依據(jù)ISO/IEC27001:2022標(biāo)準(zhǔn)編制)編號(hào):SANDSTONE-ISMS-A-02編制:XXX日期:202X-11-01審核:XX日期:202X-11-01批準(zhǔn):XX日期:202X-11-01受控狀態(tài)2XXXXXX有限公司文件編號(hào)ISMS-A-02信息安全適用性聲明文件版本密級(jí)秘密本聲明描述了在ISO/IEC27001:2022附錄A中,適用于本公司信息安全管理體系的目標(biāo)/控制、是否選擇這些目標(biāo)/控制的理由、公司現(xiàn)行的控制方式、以及實(shí)施這些控制所涉及的相關(guān)文件。2相關(guān)文件信息安全管理手冊(cè)、程序文件、策略文件信息安全適用性聲明由信息安全小組編制、修訂,總經(jīng)理批準(zhǔn)。本公司按ISO/IEC27001:2022建立信息安全管理體系。根據(jù)公司風(fēng)險(xiǎn)評(píng)估的結(jié)果和風(fēng)險(xiǎn)可接受水平,ISO27001:2022附錄A的所有條款適用于本公信息安全管理體系,無(wú)刪減條款。3XXX有限公司文件編號(hào)ISMS-A-02信息安全適用性聲明文件版本密級(jí)秘密標(biāo)準(zhǔn)條款號(hào)控制是否選擇選擇理由控制描述相關(guān)文件信息安全方針YES依據(jù)業(yè)務(wù)要求和相關(guān)的法律法規(guī)提供管理指導(dǎo)并支持信息安全。信息安全方針文件控制YES信息安全管理實(shí)施的需要。信息安全方針由公司總經(jīng)理制定,在《信息安全管理手冊(cè)》中描述,由公司總經(jīng)理批準(zhǔn)發(fā)布。通過(guò)培訓(xùn)、發(fā)放《信息安全管理手冊(cè)》等方式傳達(dá)到每一員工?!缎畔踩芾硎謨?cè)》信息安全方針評(píng)審控制YES確保方針持續(xù)的適宜性。每年利用管理評(píng)審對(duì)方針的適宜性進(jìn)行評(píng)價(jià),必要時(shí)對(duì)方針進(jìn)行修《管理評(píng)審程序》標(biāo)準(zhǔn)條款號(hào)控制是否選擇選擇理由控制描述相關(guān)文件內(nèi)部組織YES建立一個(gè)有效的信息安全管理組織機(jī)構(gòu)。信息安全角色和職控制YES對(duì)于所有的安全職責(zé)都給與充分的定義和分配雇員、承包方人員和第三方人員的安全角色和職責(zé)應(yīng)按照組織的信息安全方針定義并形成文件?!缎畔踩芾硎謨?cè)》《部門職責(zé)》職責(zé)分割控制YES保持特定資產(chǎn)和完成特定安全過(guò)程的職責(zé)需確定。公司設(shè)立信息安全管理者代表,全面負(fù)責(zé)公司ISMS的建立、實(shí)施與保持工作。對(duì)每一項(xiàng)重要信息資產(chǎn)指定信息安全責(zé)任人。與ISMS有關(guān)各部門的信息安全職責(zé)在《信息安全管理手冊(cè)》中予以描述,關(guān)于具體的信息安全活動(dòng)的職責(zé)在程序及作業(yè)文件中予以明確?!缎畔踩芾硎謨?cè)》4·XXX有限公司文件編號(hào)ISMS-A-02信息安全適用性聲明文件版本密級(jí)秘密與政府部門的聯(lián)系控制YES與法律實(shí)施部門、標(biāo)準(zhǔn)機(jī)構(gòu)等組織保持適當(dāng)?shù)穆?lián)系是必須的,以獲得必要的安全管理、標(biāo)準(zhǔn)、法律法規(guī)方面的信息。公司就電話/網(wǎng)絡(luò)通訊系統(tǒng)的安全問(wèn)題與市信息主管部門及標(biāo)準(zhǔn)制定部門保持聯(lián)系,其他部門與相應(yīng)的政府職能部門及社會(huì)服務(wù)機(jī)構(gòu)保持聯(lián)系,以便及時(shí)掌握信息安全的法律法規(guī),及時(shí)獲得安全事故的預(yù)防和糾正信息,并得到相應(yīng)的支持。信息安全交流時(shí),確保本公司的敏感信息不傳給未經(jīng)授權(quán)的人。相關(guān)方聯(lián)系表與特定利益團(tuán)體的聯(lián)系控制YES為更好掌握信息安全的新技術(shù)及安全方面的有益建議,需獲得內(nèi)外部信息安全專家的建議。本公司設(shè)內(nèi)部信息安全顧問(wèn),必要時(shí)聘請(qǐng)外部專家,與特定利益群體保持溝通,解答有關(guān)信息安全的問(wèn)題。顧問(wèn)與專家名單由本公司綜合管理部提出,管理者代表批準(zhǔn)。內(nèi)部信息安全顧問(wèn)負(fù)責(zé):a)按照專業(yè)分工負(fù)責(zé)解答公司有關(guān)信息安全的問(wèn)題并提供信息安全的建議;b)收集與本公司信息安全有關(guān)的信息、新技術(shù)變化,經(jīng)本部門負(fù)責(zé)人審核同意,利用本公司電子郵件系統(tǒng)或采用其它方式傳遞到相關(guān)部門和人員;c)必要時(shí),參與信息安全事故的調(diào)查工作。相關(guān)方聯(lián)系表項(xiàng)目管理中的信息安全控制YES信息安全融入到項(xiàng)目管理a)信息安全目標(biāo)納入項(xiàng)目目標(biāo);b)在項(xiàng)目的早期階段進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估,以識(shí)別必要的控制措施;c)信息安全監(jiān)控成為項(xiàng)目每個(gè)階段的組成部分?!缎畔踩录芾沓绦颉芬苿?dòng)設(shè)備和遠(yuǎn)程工YES確保遠(yuǎn)程工作和移動(dòng)設(shè)備使用的安全。移動(dòng)設(shè)備策略控制YES本公司有筆記本電腦移動(dòng)設(shè)備,離開公司辦公場(chǎng)所應(yīng)進(jìn)行控制,防止其被盜竊、未經(jīng)授權(quán)的訪問(wèn)等危害的發(fā)生。筆記本電腦在進(jìn)入、離開規(guī)定的區(qū)域時(shí),經(jīng)過(guò)部門領(lǐng)導(dǎo)授權(quán)并對(duì)其進(jìn)行嚴(yán)格控制,防止其丟失和未經(jīng)授權(quán)的訪問(wèn)?!队?jì)算機(jī)管理程序》5A.A.6.2.2遠(yuǎn)程工作控制YES宜實(shí)施策略和支持性安全措施來(lái)保護(hù)在遠(yuǎn)程站點(diǎn)訪問(wèn),處理或存儲(chǔ)的信息《遠(yuǎn)程工作策略》·XXX有限公司文件編號(hào)ISMS-A-02信息安全適用性聲明文件版本密級(jí)秘密標(biāo)準(zhǔn)條款號(hào)控制是否選擇選擇理由控制描述相關(guān)文件任用之前YES確保雇員、承包方人員理解其職責(zé)、考慮對(duì)其承擔(dān)的角色是合適的控制YES通過(guò)人員考察,防止人員帶來(lái)的信息安全風(fēng)險(xiǎn)。綜合管理部負(fù)責(zé)對(duì)初始錄用員工進(jìn)行能力、信用考察,每年對(duì)關(guān)鍵信息安全崗位進(jìn)行年度考察,對(duì)于不符合安全要求的不得錄用或進(jìn)行崗位調(diào)整?!秵T工聘用管理程序》任用條款和條件控制YES履行信息安全保密協(xié)議是雇傭人員的一個(gè)基本條件。在《勞動(dòng)合同》中明確規(guī)定保密的義務(wù)及違約的責(zé)任?!秵T工聘用管理程序》《保密協(xié)議》任用中控制YES確保所有的雇員和合同方意識(shí)到并履行其信息安全責(zé)任管理職責(zé)控制YES缺乏管理職責(zé),會(huì)使人員意識(shí)淡薄,從而對(duì)組織造成負(fù)面安全影響。公司管理層要求員工、合作方以及第三方用戶加強(qiáng)信息安全意識(shí),依據(jù)建立的方針和程序來(lái)應(yīng)用安全,服從公司管理,當(dāng)有其他的管理制度與信息安全管理制度沖突時(shí),首選信息安全管理制度執(zhí)行?!秵T工聘用管理程序》信息安全教育和培訓(xùn)控制YES安全意識(shí)及必要的信息系統(tǒng)操作技能培訓(xùn)是信息安全管理工與ISMS有關(guān)的所有員工,有關(guān)的物理訪問(wèn)者,應(yīng)該接受安全意識(shí)、方針、程序的培訓(xùn)。方針、程序變更后應(yīng)及時(shí)傳達(dá)到全體員工。綜合管理部通過(guò)組織實(shí)施《信息安全人員保密考察與審批管理程序》,確保員工安全意識(shí)的提高與有能力勝任所承擔(dān)的信息安全工作?!秵T工培訓(xùn)管理程序》紀(jì)律處理過(guò)程控制YES對(duì)造成安全破壞的員工應(yīng)該有一個(gè)正式的懲戒過(guò)程。違背組織安全方針和程序的員工,公司將根據(jù)違反程度及造成的影響進(jìn)行處罰,處罰在安全破壞經(jīng)過(guò)證實(shí)的情況下進(jìn)行。處罰的形式包括精神和物質(zhì)兩方面?!缎畔踩?jiǎng)懲管理程序》任用的終止或變YES宜將保護(hù)組織的利益融入到任用變化或終止的處理流程中。6《勞動(dòng)合同》《員工離職管理程序》《保密協(xié)議》任用終止或變化《勞動(dòng)合同》《員工離職管理程序》《保密協(xié)議》任用終止或變化的職責(zé)執(zhí)行工作終止或工作變化的職責(zé)應(yīng)清晰的定義和分配。在員工離職前和第三方用戶完成合同時(shí),應(yīng)進(jìn)行明確終止責(zé)任的溝通。再次溝通保密協(xié)議和重申是否有競(jìng)業(yè)禁止要求等??刂芛ESXXX有限公司文件編號(hào)ISMS-A-02信息安全適用性聲明文件版本密級(jí)秘密標(biāo)準(zhǔn)條款號(hào)控制是否選擇選擇理由控制描述相關(guān)文件對(duì)資產(chǎn)責(zé)任YES實(shí)現(xiàn)和保持對(duì)組織資產(chǎn)的適當(dāng)保護(hù)資產(chǎn)清單控制YES公司需建立重要資產(chǎn)清單并實(shí)施保護(hù)。管理層按照《信息安全風(fēng)險(xiǎn)管理程序》組織各部門按業(yè)務(wù)流程識(shí)別所有信息資產(chǎn)。根據(jù)重要信息資產(chǎn)判斷準(zhǔn)則確定公司的重要信息資產(chǎn),建立《重要信息資產(chǎn)清單》,并明確資產(chǎn)負(fù)責(zé)人。當(dāng)信息資產(chǎn)增添或報(bào)廢時(shí),組織資產(chǎn)使用部門對(duì)《重要信息資產(chǎn)清單》進(jìn)行修訂?!缎畔踩L(fēng)險(xiǎn)管理程序》資產(chǎn)負(fù)責(zé)人控制YES需要對(duì)所有的與信息處理設(shè)施有關(guān)的信息和資產(chǎn)指定責(zé)任人。管理層組織相關(guān)部門依據(jù)《信息安全風(fēng)險(xiǎn)管理程序》中的要求和方法識(shí)別資產(chǎn)并指定資產(chǎn)負(fù)責(zé)人,形成《信息資產(chǎn)清單》?!缎畔踩L(fēng)險(xiǎn)管理程序》資產(chǎn)的可接受使用控制YES識(shí)別與信息系統(tǒng)或服務(wù)相關(guān)的資產(chǎn)的合理使用規(guī)則,并將其文件化,予以實(shí)施。制定相應(yīng)的業(yè)務(wù)系統(tǒng)應(yīng)用管理制度,重要設(shè)備有使用說(shuō)明書,規(guī)定了資產(chǎn)的合理使用規(guī)則。使用或訪問(wèn)組織資產(chǎn)的員工、合作方以及第三方用戶應(yīng)該了解與信息處理設(shè)施和資源相關(guān)的信息和資產(chǎn)方面的限制。并對(duì)信息資源的使用,以及發(fā)生在其責(zé)任下的使用負(fù)責(zé)。對(duì)于電子郵件和互聯(lián)網(wǎng)的使用規(guī)則見本文件中的A10.8中的描述;《信息安全風(fēng)險(xiǎn)管理程序》7·XXX有限公司文件編號(hào)ISMS-A-02信息安全適用性聲明文件版本密級(jí)秘密資產(chǎn)歸還YES所有員工、合作方以及第三方用戶應(yīng)該在聘用期限、合同或協(xié)議終止時(shí)歸還所負(fù)責(zé)的所有資產(chǎn)。員工離職或工作變動(dòng)前,應(yīng)辦理資產(chǎn)歸還手續(xù),然后方能辦理移交手續(xù)?!缎畔踩L(fēng)險(xiǎn)管理程序》信息分類YES確保信息受到與其對(duì)組織的重要性保持一致適當(dāng)級(jí)別的保護(hù)信息分類控制YES本公司的信息安全涉及信息的敏感性(包括來(lái)自顧客的要求適當(dāng)?shù)姆诸惪刂剖潜匾摹1竟镜男畔⒚芗?jí)劃分為:絕密、機(jī)密、秘密、敏感和一般。不同密級(jí)事項(xiàng)的界定,由涉及秘密事項(xiàng)產(chǎn)生部門按照《商業(yè)秘密管理程序》規(guī)定的原則進(jìn)行。《信息分類管理程序》信息的標(biāo)記控制YES按分類方案進(jìn)行標(biāo)注對(duì)于屬于機(jī)密信息的文件(無(wú)論任何媒體密級(jí)確定部門按《商業(yè)秘密管理程序》里關(guān)于密級(jí)的要求進(jìn)行適當(dāng)?shù)臉?biāo)注;公開信息不需要標(biāo)注,其余均標(biāo)注受控或機(jī)密?!渡虡I(yè)秘密管理程序》《信息分類管理程序》資產(chǎn)處理控制YES規(guī)定信息處理的安全的要信息的使用、傳輸、存儲(chǔ)等處理活動(dòng)按《商業(yè)秘密管理程序》等進(jìn)行控《商業(yè)秘密管理程序》《信息分類管理程序》介質(zhì)處置YES防止存儲(chǔ)在介質(zhì)上的信息遭受未授權(quán)的泄露、修改、移動(dòng)或銷毀。移動(dòng)介質(zhì)的管理控制YES本公司存在含有敏感信息的磁盤、磁帶、光盤、打印報(bào)告等可移動(dòng)媒體。可移動(dòng)計(jì)算媒體包括光盤、磁帶、磁盤、盒式磁帶和已經(jīng)印刷好的報(bào)告,各部門按其管理權(quán)限并根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果對(duì)其實(shí)施有效的控制。媒體移動(dòng)的記錄予以保持?!犊梢苿?dòng)介質(zhì)管理程序》《運(yùn)輸中物理介質(zhì)安全策略》8XXXXXX有限公司·信息安全適用性聲明控制置部門按照《重要信息備份管理程序》的要求,采取安全可靠處置的方法將其信息清除。處置辦法。為避免被傳送的介質(zhì)在傳送(運(yùn)輸)過(guò)程中發(fā)生丟失、未經(jīng)授權(quán)的訪問(wèn)或毀壞,造成信息的泄露、不完整或不可用,負(fù)責(zé)介質(zhì)(包括保密產(chǎn)品的運(yùn)輸)傳送的部門采用以下方法進(jìn)行控制:a)選擇適宜的安全傳送方式,對(duì)保密產(chǎn)品運(yùn)輸供方進(jìn)行選擇與評(píng)價(jià),并與之簽訂保密協(xié)議;b)保持傳送活動(dòng)記錄。本公司存在如文件、技術(shù)資料等信息介質(zhì)傳送及保密制品的運(yùn)輸活動(dòng),確定安全的傳送方法是必要的。當(dāng)介質(zhì)不再需要時(shí),必須對(duì)含有敏感信息的媒體(包括《可移動(dòng)介質(zhì)管理程序》《運(yùn)輸中物理介質(zhì)安全策略》《可移動(dòng)介質(zhì)管理程序》《運(yùn)輸中物理介質(zhì)安全策略》ISMS-A-02秘密對(duì)于含有敏感信息或重要信息的介質(zhì)在不需要或再使用時(shí),介質(zhì)處文件編號(hào)文件版本密級(jí)控制YESYES訪問(wèn)控制的業(yè)務(wù)要求YES限制信息與信息處理設(shè)施的訪問(wèn)訪問(wèn)控制策略控制YES明確訪問(wèn)的業(yè)務(wù)要求,并符合信息安全方針的規(guī)定要求,對(duì)信息訪問(wèn)實(shí)施有效控本公司基于以下原則制定文件化的訪問(wèn)控制策略(在《用戶訪問(wèn)管理程序》中描述明確規(guī)定訪問(wèn)的控制要求,規(guī)定訪問(wèn)控制規(guī)則和每個(gè)用戶或用戶組的訪問(wèn)權(quán)力,訪問(wèn)規(guī)則的制定基于以下方面考a)每個(gè)業(yè)務(wù)應(yīng)用的安全要求;b)在不同系統(tǒng)與網(wǎng)絡(luò)間,訪問(wèn)控制與信息分類策略要保持一致;c)數(shù)據(jù)和服務(wù)訪問(wèn)符合有關(guān)法律和合同義務(wù)的要求;d)對(duì)各種訪問(wèn)權(quán)限的實(shí)施管理?!队脩粼L問(wèn)管理程序》使用網(wǎng)絡(luò)服務(wù)的策略控制YES制定策略,明確用戶訪問(wèn)網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的范圍,防止非授權(quán)的網(wǎng)絡(luò)訪問(wèn)。本公司建立并實(shí)施網(wǎng)絡(luò)服務(wù)安全策略,以確保網(wǎng)絡(luò)服務(wù)安全與服務(wù)質(zhì)量?!队脩粼L問(wèn)管理程序》《網(wǎng)絡(luò)訪問(wèn)策略》9·XXX有限公司文件編號(hào)ISMS-A-02信息安全適用性聲明文件版本密級(jí)秘密用戶訪問(wèn)管理YES確保授權(quán)用戶訪問(wèn)系統(tǒng)和服務(wù),并防止未授權(quán)的訪問(wèn)用戶注冊(cè)和注消控制YES本公司存在多用戶信息系統(tǒng),應(yīng)建立用戶登記和解除登記程序。根據(jù)訪問(wèn)控制策略確定的訪問(wèn)規(guī)則,訪問(wèn)權(quán)限管理部門對(duì)用戶(包括第三方用戶)進(jìn)行書面訪問(wèn)授權(quán),若發(fā)生以下情況,對(duì)其訪問(wèn)權(quán)將從系統(tǒng)中予以注銷:a)內(nèi)部用戶雇傭合同終止時(shí);b)內(nèi)部用戶因崗位調(diào)整不再需要此項(xiàng)訪問(wèn)服務(wù)時(shí);c)物理訪問(wèn)合同終止時(shí);d)其它情況必須注銷時(shí)?!队脩粼L問(wèn)管理程序》用戶訪問(wèn)提供控制YES內(nèi)部用戶會(huì)發(fā)生崗位變化,或有的用戶的訪問(wèn)權(quán)是有時(shí)限要求的,為防止非授權(quán)的訪問(wèn),對(duì)用戶訪問(wèn)的評(píng)審是必要的。用戶訪問(wèn)權(quán)限主管部門每半年對(duì)一般用戶訪問(wèn)權(quán)進(jìn)行評(píng)審,對(duì)特權(quán)用戶每季度進(jìn)行評(píng)審一次,注銷非法用戶或過(guò)期無(wú)效用戶的訪問(wèn)權(quán),評(píng)審結(jié)果應(yīng)予以保持?!队脩粼L問(wèn)管理程序》特殊權(quán)限管理控制YES本公司網(wǎng)絡(luò)系統(tǒng)管理員擁有特權(quán),特權(quán)不適當(dāng)?shù)氖褂脮?huì)造成系統(tǒng)的破壞。(Event-SK/event)為基礎(chǔ),即需要時(shí)僅以它們的功能角色的最低要求為據(jù),有些特權(quán)在完成特定的任務(wù)后將被收回,確保特權(quán)擁有者的特權(quán)是工作所需要的且不存在多余的特權(quán)(最小特權(quán)原則)。系統(tǒng)管理員,只有經(jīng)過(guò)書面授權(quán),其特權(quán)才被認(rèn)可。當(dāng)特權(quán)擁有者因公出差或其它原因暫時(shí)離開工作崗位時(shí),特權(quán)部門負(fù)責(zé)人應(yīng)對(duì)特權(quán)實(shí)行緊急安排,將特權(quán)臨時(shí)轉(zhuǎn)交可靠人員,以保證系統(tǒng)正常運(yùn)行;當(dāng)特權(quán)擁有者返回工作崗位時(shí),及時(shí)收回特權(quán);特權(quán)的交接應(yīng)有可靠安全的方法?!队脩粼L問(wèn)管理程序》《特權(quán)訪問(wèn)管理策略》用戶安全鑒別信息的管理控制YES用戶訪問(wèn)信息系統(tǒng)和服務(wù)是并擁有口令,因此建立正式的管理過(guò)程對(duì)口令進(jìn)行分配系統(tǒng)管理員按以下過(guò)程對(duì)被授權(quán)訪問(wèn)該系統(tǒng)的用戶口令予以分配:a)管理員根據(jù)入職員工的工作崗位分配相關(guān)臨時(shí)口令。b)當(dāng)用戶忘記口令時(shí),可由系統(tǒng)管理員幫其找回或重新分配安全的《用戶訪問(wèn)管理程序》·XXX有限公司文件編號(hào)ISMS-A-02信息安全適用性聲明文件版本密級(jí)秘密并控制是必須的。c)禁止將口令以無(wú)保護(hù)的形式存儲(chǔ)在計(jì)算機(jī)系統(tǒng)內(nèi)。用戶訪問(wèn)權(quán)的復(fù)查控制YES內(nèi)部用戶會(huì)發(fā)生崗位變化,或有的用戶的訪問(wèn)權(quán)是有時(shí)限要求的,為防止非授權(quán)的訪問(wèn),對(duì)用戶訪問(wèn)的評(píng)審是必要的。用戶訪問(wèn)權(quán)限主管部門每半年對(duì)一般用戶訪問(wèn)權(quán)進(jìn)行評(píng)審,對(duì)特權(quán)用戶每季度進(jìn)行評(píng)審一次,注銷非法用戶或過(guò)期無(wú)效用戶的訪問(wèn)權(quán),評(píng)審結(jié)果應(yīng)予以保持。《用戶訪問(wèn)管理程序》撤銷或調(diào)整訪問(wèn)權(quán)限控制YES所有是雇員和第三方人員對(duì)信息安全和信息處理設(shè)施的訪問(wèn)權(quán)應(yīng)在任用、合同或協(xié)議終止時(shí)刪除,或在變化時(shí)調(diào)整用戶職責(zé)YES確保用戶對(duì)保護(hù)他們的鑒別信息負(fù)有責(zé)任安全鑒別信息的使用控制YES使用戶遵循口令使用規(guī)則,防止口令泄密或被解密。本公司明確規(guī)定了口令安全選擇與使用要求,所有用戶須嚴(yán)格遵守。實(shí)施口令定期變更策略?!队脩粼L問(wèn)管理程序》系統(tǒng)和應(yīng)用的訪問(wèn)控制YES防止對(duì)系統(tǒng)和應(yīng)用的非授權(quán)訪問(wèn)。信息訪問(wèn)限制控制YES為減少非授權(quán)訪問(wèn)的機(jī)會(huì),對(duì)信息服務(wù)系統(tǒng)的訪問(wèn)采用安全登錄過(guò)程。本公司通過(guò)域登錄等技術(shù)手段提供安全的系統(tǒng)登錄過(guò)程?!队脩粼L問(wèn)管理程序》安全登陸規(guī)程控制YES為追溯行為的個(gè)人責(zé)任,對(duì)連接到網(wǎng)絡(luò)終端應(yīng)有唯一的用戶ID。用戶有唯一的識(shí)別符(USERID),以便用戶單獨(dú)使用時(shí),能追溯行為的個(gè)人責(zé)任。用戶ID由系統(tǒng)管理員根據(jù)授權(quán)的規(guī)定予以設(shè)置,用戶識(shí)別符(USERID)不在多個(gè)用戶之間共享。用戶識(shí)別符(USERID)可以由用戶名稱加口令或其它適宜方式組成。《用戶訪問(wèn)管理程序》口令管理系統(tǒng)控制YES為減少非法訪問(wèn)操作系統(tǒng)的機(jī)會(huì),應(yīng)建立口令管理系統(tǒng)。公司部署實(shí)施口令管理,通過(guò)技術(shù)手段提供有效的、互動(dòng)的設(shè)施以確??诹钯|(zhì)量。除非一次性的口令系統(tǒng),通過(guò)操作系統(tǒng)的強(qiáng)制措施要求用戶定期變更口令?!队脩粼L問(wèn)管理程序》《口令控制策略》XXX有限公司文件編號(hào)ISMS-A-02信息安全適用性聲明文件版本密級(jí)秘密特權(quán)使用程序的使用控制YES對(duì)系統(tǒng)工具程序的使用應(yīng)控制,防止惡意破壞系統(tǒng)安全。綜合管理部應(yīng)對(duì)系統(tǒng)工具程序(SystemUtilityProgram)的使用進(jìn)行限制和嚴(yán)格控制,只有經(jīng)過(guò)授權(quán)的系統(tǒng)管理員才可以使用系統(tǒng)工具程序,如漏洞掃描工具等?!队脩粼L問(wèn)管理程序》《特權(quán)訪問(wèn)管理策略》對(duì)程序源代碼的訪問(wèn)控制控制YES本公司有軟件開發(fā)活動(dòng),有程序源庫(kù)(源代碼)存在,需要控制。為降低計(jì)算機(jī)程序被破壞的可能性,綜合管理部按以下要求對(duì)源程序庫(kù)(源代碼)實(shí)施管理:a)可能的話,不將源程序庫(kù)保存在運(yùn)作系統(tǒng)中,源程序盡量與應(yīng)用分開;b)各項(xiàng)應(yīng)用應(yīng)指定程序庫(kù)管理員;c)信息技術(shù)支持人員不應(yīng)當(dāng)自由訪問(wèn)源程序庫(kù);d)源程序庫(kù)的更新和向程序員發(fā)布的源程序,應(yīng)由指定的程序庫(kù)管理員根據(jù)授權(quán)來(lái)完成?!盾浖_發(fā)控制程序》A10密碼標(biāo)準(zhǔn)條款號(hào)控制是否選擇選擇理由控制描述相關(guān)文件密碼學(xué)YES確保適當(dāng)并有效的密碼的使用來(lái)保護(hù)信息的保密性,真是性或完整性使用加密控制的策略控制YES與外部信息交換過(guò)程需要有加密控制措施來(lái)保護(hù)信息的安全識(shí)別需要采用加密保護(hù)的信息以及保護(hù)的手段,本公司在與外部信息交換過(guò)程中涉及的需用加密控制的信息有:客戶從外部遠(yuǎn)程輸送數(shù)據(jù),針對(duì)此類信息與外部交換的過(guò)程應(yīng)使用加密控制。《口令控制策略》密鑰管理控制YES使用密鑰來(lái)支持組織使用的加密技術(shù)公司對(duì)識(shí)別的需要使用加密控制技術(shù)的信息,若在采用加密手段時(shí)要對(duì)密鑰的使用進(jìn)行管理《密鑰管理策略》XXX有限公司文件編號(hào)ISMS-A-02信息安全適用性聲明文件版本密級(jí)秘密A11物理和環(huán)境安全標(biāo)準(zhǔn)條款號(hào)控制是否選擇選擇理由控制描述相關(guān)文件安全區(qū)域YES防止對(duì)組織信息和信息處理設(shè)施的未授權(quán)物理訪問(wèn)、損害和干擾物理安全周邊控制YES本公司有包含重要信息處理設(shè)施的區(qū)域和儲(chǔ)存重要信息資產(chǎn)及保密制品的區(qū)域。本公司安全區(qū)域包括總經(jīng)理辦公室、綜合管理部、銷售部、技術(shù)部、會(huì)議室和前臺(tái)接待區(qū)。各安全區(qū)域都有物理邊界,并根據(jù)其安全屬性采取必要的保護(hù)措施。機(jī)密文件存放于帶鎖的文件柜里?!栋踩珔^(qū)域管理程序》物理入口控制控制YES安全區(qū)域進(jìn)入應(yīng)經(jīng)過(guò)授權(quán),未經(jīng)授權(quán)的非法訪問(wèn)會(huì)對(duì)信息安全構(gòu)成威脅。外來(lái)人員進(jìn)入公司區(qū)域要在前臺(tái)進(jìn)行登記。第三方人員進(jìn)入特別安全區(qū)域須被授權(quán),進(jìn)出有記錄。員工加班也需登記?!栋踩珔^(qū)域管理程序》設(shè)施控制YES對(duì)安全區(qū)域內(nèi)的后勤管理部、房間和設(shè)施應(yīng)有特殊的安全要求。當(dāng)有緊急自然災(zāi)害發(fā)生,則需要提前示警。本公司制定《安全區(qū)域管理程序》,避免出現(xiàn)對(duì)辦公室、房間和設(shè)施的未授權(quán)訪問(wèn)。對(duì)特別安全區(qū)域內(nèi)的計(jì)算機(jī)和設(shè)施進(jìn)行必要的控制,以防止火災(zāi)、盜竊或其它形式的危害,這些控制措施包括:a)大樓配備有一定數(shù)量的消防設(shè)施;b)房間裝修符合消防安全的要求;c)易燃、易爆物品嚴(yán)禁存放在安全區(qū)域內(nèi),并與安全區(qū)域保持一定的安全距離;d)辦公室或房間無(wú)人時(shí),應(yīng)關(guān)緊窗戶,鎖好門;《安全區(qū)域管理程序》外部和環(huán)境威脅的安全保護(hù)控制YES加強(qiáng)公司物理安全控制,防范火災(zāi)、水災(zāi)、地震,以及其它形式的自然或人為災(zāi)害。公司設(shè)備具有防范火災(zāi)、水災(zāi)、雷擊等自然、人為災(zāi)害的安全控制措施。《安全區(qū)域管理程序》在安全區(qū)域工作控制YES在安全區(qū)域工作的人員只有嚴(yán)格遵守安全規(guī)則,才能保證處理敏感信息的設(shè)備不易被窺視。公司范圍內(nèi)禁止吸煙。公司建立《安全區(qū)域管理程序》,明確規(guī)定員工在有關(guān)安全區(qū)域工《安全區(qū)域管理程序》·XXX有限公司文件編號(hào)ISMS-A-02信息安全適用性聲明文件版本密級(jí)秘密安全區(qū)域安全。作的基本安全要求,并要求員工嚴(yán)格遵守。交接區(qū)安全控制YES對(duì)特別安全區(qū)域,禁止外來(lái)人員直接進(jìn)入傳送物資是必要公司外的送水人員、郵件快件投遞人員、送貨人員在送水、投遞、送貨送餐過(guò)程中,未經(jīng)允許不得進(jìn)入前臺(tái)接待區(qū)以外的安全區(qū)域?!栋踩珔^(qū)域管理程序》設(shè)備安全YES防止資產(chǎn)的損失、損壞、失竊或危機(jī)資產(chǎn)安全以組織的運(yùn)營(yíng)設(shè)備的安置和保護(hù)控制YES設(shè)備存在火災(zāi)、吸煙、油污、未經(jīng)授權(quán)訪問(wèn)等威脅。設(shè)備使用部門負(fù)責(zé)對(duì)設(shè)備進(jìn)行定置管理和保護(hù)。為降低來(lái)自環(huán)境威脅和危害的風(fēng)險(xiǎn),減少未經(jīng)授權(quán)的訪問(wèn)機(jī)會(huì),特采取以下措施:a)設(shè)備的定置,要考慮到盡可能減少對(duì)工作區(qū)不必要的訪問(wèn);b)對(duì)需要特別保護(hù)的設(shè)備加以隔離;c)采取措施,以盡量降低盜竊、火災(zāi)、爆炸、吸煙、灰塵、震動(dòng)、化學(xué)影響、電源干憂、電磁輻射等威脅造成的潛在的風(fēng)險(xiǎn);d)禁止在信息處理設(shè)施附近飲食、吸煙?!缎畔⑻幚碓O(shè)施維護(hù)管理程序》支持性設(shè)施控制YES供電中斷或異常會(huì)給信息系統(tǒng)造成影響,甚至影響正常的生產(chǎn)作業(yè)。針對(duì)重要服務(wù)器及設(shè)備提供ups,確保不間斷供電,其他辦公電腦和網(wǎng)絡(luò)連接設(shè)備經(jīng)風(fēng)險(xiǎn)評(píng)估可以接受供電中斷的風(fēng)險(xiǎn)?!缎畔⑻幚碓O(shè)施維護(hù)管理程序》布纜的安全控制YES通信電纜、光纜需要進(jìn)行正常的維護(hù),以防止偵聽和損壞。綜合管理部按照《網(wǎng)絡(luò)和計(jì)算機(jī)策略》對(duì)傳輸線路進(jìn)行維護(hù),防止線路故障。通信電纜與電力電纜分開鋪設(shè),防止干擾?!缎畔⑻幚碓O(shè)施維護(hù)管理程序》設(shè)備維護(hù)控制YES設(shè)備保持良好的運(yùn)行狀態(tài)是保持信息的完整性及可用性的基礎(chǔ)。計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)設(shè)備及用戶計(jì)算機(jī)終端(包括筆記本電腦)、各信息系統(tǒng)由綜合管理部按照《信息處理設(shè)施維護(hù)管理程序》進(jìn)行維護(hù)?!缎畔⑻幚碓O(shè)施維護(hù)管理程序》資產(chǎn)的移動(dòng)控制YES設(shè)備、信息、軟件等重要信息重要信息設(shè)備、保密信息的遷移應(yīng)被授權(quán),遷移活動(dòng)應(yīng)被記錄?!缎畔⑻幚碓O(shè)施維護(hù)管理程序》·XXX有限公司文件編號(hào)ISMS-A-02信息安全適用性聲明文件版本密級(jí)秘密資產(chǎn)未經(jīng)授權(quán)的遷移會(huì)造成其丟失或非法訪問(wèn)的危害。信息處理設(shè)施(網(wǎng)絡(luò)設(shè)備及計(jì)算機(jī)終端)的遷移控制執(zhí)行《網(wǎng)絡(luò)和計(jì)算機(jī)策略》。組織場(chǎng)所外的設(shè)備和資產(chǎn)安全控制YES本公司有筆記本電腦移動(dòng)設(shè)備,離開公司辦公場(chǎng)所應(yīng)進(jìn)行控制,防止其被盜竊、未經(jīng)授權(quán)的訪問(wèn)等危害的發(fā)生。筆記本電腦在進(jìn)入、離開規(guī)定的區(qū)域時(shí),經(jīng)過(guò)部門領(lǐng)導(dǎo)授權(quán)并對(duì)其進(jìn)行嚴(yán)格控制,防止其丟失和未經(jīng)授權(quán)的訪問(wèn)。《信息處理設(shè)施維護(hù)管理程序》《計(jì)算機(jī)管理程序》設(shè)備的安全處置或再利用控制YES對(duì)本公司儲(chǔ)存有關(guān)敏感信息的設(shè)備,如系統(tǒng)集成部的源代碼,對(duì)其處置和再利用應(yīng)將其信息清除。含有敏感信息的設(shè)備在報(bào)廢或改作他用時(shí),由使用部門用安全的處置方法,將設(shè)備中存儲(chǔ)的敏感信息清除并保存清除記錄?!缎畔⑻幚碓O(shè)施維護(hù)管理程序》無(wú)人值守的用戶設(shè)備控制YES設(shè)備、信息、軟件等重要信息資產(chǎn)未經(jīng)授權(quán)的遷移會(huì)造成其丟失或非法訪問(wèn)的危害。重要信息設(shè)備、保密信息的遷移應(yīng)被授權(quán),遷移活動(dòng)應(yīng)被記錄。信息處理設(shè)施(網(wǎng)絡(luò)設(shè)備及計(jì)算機(jī)終端)的遷移控制執(zhí)行《網(wǎng)絡(luò)和計(jì)算機(jī)策略》。《信息處理設(shè)施維護(hù)管理程序》清潔桌面和清屏策略控制YES不實(shí)行清除桌面或清除屏幕策略,會(huì)受到資產(chǎn)丟失、失竊或遭到非法訪問(wèn)的威脅。本公司在《用戶訪問(wèn)管理程序》中制定清除桌面、清除屏幕的策略并實(shí)施,各部門負(fù)責(zé)人負(fù)責(zé)監(jiān)督。各部門員工自覺(jué)履行該策略的日常實(shí)施。《清潔桌面和清屏策略》標(biāo)準(zhǔn)條款號(hào)控制是否選擇選擇理由控制描述相關(guān)文件操作程序和職責(zé)YES確保正確、安全的操作信息處理設(shè)施?!XX有限公司文件編號(hào)ISMS-A-02信息安全適用性聲明文件版本密級(jí)秘密文件化操作程序控制YES標(biāo)準(zhǔn)規(guī)定的文件化程序要求必須予以滿足。本公司按照信息安全方針的要求,建立并實(shí)施文件化的作業(yè)程序,文件化程序的控制執(zhí)行《文件控制程序》?!段募刂瞥绦颉纷兏芾砜刂芛ES未加以控制的系統(tǒng)更改會(huì)造成系統(tǒng)故障和安全故障。對(duì)信息處理設(shè)施、軟件等方面的更改實(shí)施嚴(yán)格控制。在更改前評(píng)估更改所帶來(lái)的潛在影響,正式更改前履行更改審批手續(xù),并采取必要的措施確保不成功更改的恢復(fù)。信息處理設(shè)施更改控制執(zhí)行《變更管理程序》?!蹲兏芾沓绦颉啡萘抗芾砜刂芛ES為避免因系統(tǒng)容量不足導(dǎo)致系統(tǒng)故障,必須監(jiān)控容量需求并規(guī)劃將來(lái)容量。公司負(fù)責(zé)對(duì)信息網(wǎng)絡(luò)系統(tǒng)的容量(CPU利用率、內(nèi)存和硬盤空間大小、傳輸線路帶寬)需求進(jìn)行監(jiān)控,并對(duì)將來(lái)容量需求進(jìn)行策劃,適當(dāng)時(shí)機(jī)進(jìn)行容量擴(kuò)充?!缎畔⑻幚碓O(shè)施安裝使用管理程序》開發(fā)、測(cè)試和運(yùn)行設(shè)施分離控制YES系統(tǒng)集成部具有應(yīng)用軟件和測(cè)試程序的開發(fā)能力,開發(fā)與業(yè)務(wù)設(shè)施必須進(jìn)行分離,以防止意外的系統(tǒng)的更改或未授權(quán)的訪問(wèn)。技術(shù)部是在一個(gè)獨(dú)立的測(cè)試環(huán)境中測(cè)試軟件,并與業(yè)務(wù)設(shè)施分離。操作系統(tǒng)管理員與用戶分離?!盾浖_發(fā)管理程序》防范惡意軟件YES確保對(duì)信息和信息處理設(shè)施的保護(hù),防止惡意軟件控制惡意軟件控制YES惡意軟件的威脅是客觀存在的,特別是本公司許多電腦終端可以訪問(wèn)Internet互聯(lián)防范惡意軟件宜基于惡意軟件檢測(cè)和修復(fù)軟件、信息安全意識(shí)、適當(dāng)?shù)南到y(tǒng)訪問(wèn)和變更管理控制。《惡意軟件管理程序》備份YES防止數(shù)據(jù)丟失信息備份控制YES必須對(duì)重要信息和軟件定期備份,以防止信息和軟件的丟失和不可用,及支持業(yè)務(wù)可持續(xù)性。應(yīng)按照已設(shè)的備份策略,定期備份和測(cè)試信息和軟件?!吨匾畔浞莨芾沓绦颉贰XX有限公司文件編號(hào)ISMS-A-02信息安全適用性聲明文件版本密級(jí)秘密日志記錄和監(jiān)視YES記錄事件并生成證據(jù)控制YES為訪問(wèn)監(jiān)測(cè)提供幫助,建立事件記錄(審核日志)是必須的。所有的事態(tài)記錄日志處于打開狀態(tài),專人進(jìn)行事態(tài)記錄,記錄用戶活動(dòng)、異常情況、故障和信息安全事態(tài)。《信息安全事件管理程序》日志信息的保護(hù)控制YES日志記錄設(shè)施以及日志信息應(yīng)該被保護(hù),防止被篡改和未經(jīng)授權(quán)的訪問(wèn)。記錄日志的設(shè)施和日志信息應(yīng)加以保護(hù),以防止篡改和未授權(quán)的訪《信息系統(tǒng)訪問(wèn)與使用監(jiān)控管理程序》管理員和操作員控制YES應(yīng)記錄系統(tǒng)管理員和系統(tǒng)操作員的活動(dòng)。系統(tǒng)管理員和系統(tǒng)操作員活動(dòng)應(yīng)記入日志?!缎畔⑾到y(tǒng)訪問(wèn)與使用監(jiān)控管理程序》控制YES采取適當(dāng)?shù)拇胧?shí)施時(shí)鐘同步,是日常經(jīng)營(yíng)與獲取客觀證據(jù)的需要。一個(gè)組織或安全域內(nèi)的所有相關(guān)信息處理設(shè)施的時(shí)鐘應(yīng)使用已設(shè)的精確時(shí)間源進(jìn)行同步?!缎畔⑾到y(tǒng)訪問(wèn)與使用監(jiān)控管理程序》運(yùn)行軟件的控制YES確保運(yùn)行系統(tǒng)的完整性運(yùn)行系統(tǒng)軟件安控制YES對(duì)軟件在作業(yè)系統(tǒng)中的執(zhí)行應(yīng)予以控制,否則易受到未經(jīng)授權(quán)的軟件安裝和更改的影響,導(dǎo)致系統(tǒng)及數(shù)據(jù)完整性丟失。綜合管理部應(yīng)對(duì)軟件在作業(yè)系統(tǒng)的執(zhí)行進(jìn)行嚴(yán)格控制,在新軟件安裝或軟件升級(jí)之前,應(yīng)經(jīng)主管部門負(fù)責(zé)人審核同意后方可進(jìn)行。計(jì)算機(jī)終端用戶除非授權(quán),否則嚴(yán)禁私自安裝任何軟件?!缎畔⑻幚碓O(shè)施安裝使用管理程序》技術(shù)脆弱性管理YES防止技術(shù)脆弱性被利用技術(shù)脆弱性管理控制YES及時(shí)獲得正在使用信息系統(tǒng)的技術(shù)脆弱性的相關(guān)信息,應(yīng)評(píng)估對(duì)這些脆弱性的暴露程度,并采取適當(dāng)?shù)姆椒ㄌ幘C合管理部對(duì)技術(shù)脆弱性應(yīng)進(jìn)行風(fēng)險(xiǎn)評(píng)估,進(jìn)行專項(xiàng)分析,制訂風(fēng)險(xiǎn)處理計(jì)劃,根據(jù)風(fēng)險(xiǎn)處理計(jì)劃采取對(duì)應(yīng)的技術(shù)和管理措施?!缎畔⑻幚碓O(shè)施安裝使用管理程序》XXX有限公司信息安全適用性聲明XXX有限公司信息安全適用性聲明理相關(guān)風(fēng)險(xiǎn)。文件編號(hào)文件版本密級(jí)ISMS-A-02秘密應(yīng)建立并實(shí)施用戶安裝軟件應(yīng)建立并實(shí)施用戶安裝軟件制定軟件的安裝規(guī)范控制的規(guī)則將審計(jì)活動(dòng)對(duì)運(yùn)行系統(tǒng)的影響最小化慮涉及對(duì)運(yùn)行系統(tǒng)核查的審計(jì)要求和活動(dòng),應(yīng)謹(jǐn)慎地加以規(guī)劃并取得批準(zhǔn),以便最小化造成業(yè)務(wù)過(guò)程中斷的風(fēng)險(xiǎn)策劃并實(shí)施監(jiān)視和審計(jì)活動(dòng)并保存監(jiān)視和審計(jì)活動(dòng)的記錄。信息系統(tǒng)審計(jì)控制措施《信息處理設(shè)施安裝使用管理程序》《信息處理設(shè)施安裝使用管理程序》信息系統(tǒng)審計(jì)考軟件安裝的限制控制控制YESYESYESA13網(wǎng)絡(luò)安全管理YES確保對(duì)網(wǎng)絡(luò)及信息處理設(shè)施中信息收到保護(hù)網(wǎng)絡(luò)控制控制YES本公司已建立設(shè)計(jì)、制造應(yīng)用系統(tǒng)和各種管理應(yīng)用系統(tǒng),網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)單,實(shí)施網(wǎng)絡(luò)控制是必須的。本公司網(wǎng)絡(luò)安全控制措施包括:a)內(nèi)外網(wǎng)物理隔離;b)專用網(wǎng)絡(luò)與生產(chǎn)網(wǎng)絡(luò)隔離;特定項(xiàng)目網(wǎng)絡(luò)隔離;c)對(duì)網(wǎng)絡(luò)設(shè)備定期維護(hù);d)對(duì)防火墻、交換機(jī)等實(shí)施安全配置管理;e)對(duì)用戶訪問(wèn)網(wǎng)絡(luò)實(shí)施授權(quán)管理;f)實(shí)施有效的安全策略;g)對(duì)系統(tǒng)的變更進(jìn)行嚴(yán)格控制;h)對(duì)網(wǎng)絡(luò)的運(yùn)行情況進(jìn)行監(jiān)控;i)對(duì)網(wǎng)絡(luò)設(shè)備的變更進(jìn)行控制;j)對(duì)網(wǎng)絡(luò)系統(tǒng)管理與操作人員的管理?!毒W(wǎng)絡(luò)設(shè)備安全配置管理程序》網(wǎng)絡(luò)服務(wù)的安全控制YES明確規(guī)定網(wǎng)絡(luò)服務(wù)安全屬性公司根據(jù)組織的安全策略,識(shí)別現(xiàn)有的網(wǎng)絡(luò)服務(wù),由授權(quán)的系統(tǒng)管《網(wǎng)絡(luò)設(shè)備安全配置管理程序》·XXX有限公司文件編號(hào)ISMS-A-02信息安全適用性聲明文件版本密級(jí)秘密是實(shí)施網(wǎng)絡(luò)安全管理的需理員進(jìn)行參數(shù)配置與維護(hù)管理。選擇資源良好的多家網(wǎng)絡(luò)接入供應(yīng)商??刂芛ES涉密網(wǎng)絡(luò)(如研發(fā))應(yīng)予以為確保本公司網(wǎng)絡(luò)安全,采用物理和邏輯兩種方式進(jìn)行網(wǎng)絡(luò)隔離:a)通過(guò)防火墻將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)實(shí)施邏輯隔離;b)專用網(wǎng)絡(luò)與其他網(wǎng)絡(luò)物理隔離?!毒W(wǎng)絡(luò)設(shè)備安全配置管理程序》信息傳輸YES保持組織內(nèi)以及與組織外信息傳輸?shù)陌踩畔⒔粨Q策略和規(guī)程控制YES應(yīng)有正式的交換策略、規(guī)程和控制措施,以保護(hù)通過(guò)使用各類型通信設(shè)施的信息交換可通過(guò)使用多種不同類型的通信設(shè)施進(jìn)行信息傳輸,例如電子郵件、聲音、傳真和視頻??赏ㄟ^(guò)多種不同類型的介質(zhì)進(jìn)行軟件傳輸,包括從互聯(lián)網(wǎng)下載和從出售現(xiàn)貨的供應(yīng)商處獲得。宜考慮與電子數(shù)據(jù)交換、電子商務(wù)、電子通信和控制要求相關(guān)的業(yè)務(wù)、法律和安全的含義?!峨娮余]件管理程序》《信息交換策略》信息傳輸協(xié)議控制YES應(yīng)建立組織和外部各方之間的業(yè)務(wù)信息的安全傳輸協(xié)議協(xié)議可以是電子的或手寫的,并可采取正式合同或任用條款的形式。對(duì)保密信息而言,信息傳輸使用的特定機(jī)制對(duì)于所有組織和各種協(xié)議宜是一致的?!峨娮余]件管理程序》《信息交換策略》電子消息發(fā)送控制YES包含在電子消息發(fā)送中的信息應(yīng)給予適當(dāng)?shù)谋Wo(hù)存在多種類型的電子消息發(fā)送,例如電子郵件、電子數(shù)據(jù)交換以及社交網(wǎng)絡(luò),在業(yè)務(wù)通信中扮演了一個(gè)角色?!峨娮余]件管理程序》保密或不泄露協(xié)控制YES應(yīng)識(shí)別、定期評(píng)審反應(yīng)組織信息保護(hù)需要的保密性或不可泄露協(xié)議的要求,并將其形成文檔保密性和不泄密協(xié)議保護(hù)組織信息,并告知簽署者以授權(quán)、負(fù)責(zé)的方式來(lái)保護(hù)、使用和披露信息的責(zé)任。對(duì)于一個(gè)組織來(lái)說(shuō),可能需要在不同環(huán)境中使用保密性或不泄密協(xié)議的不同形式?!侗C軈f(xié)議》A.14系統(tǒng)獲取、開發(fā)和維護(hù)信息系統(tǒng)安全要YES確保信息安全成為信息系統(tǒng)生命周期的組成部份,包括向公共網(wǎng)絡(luò)提供服務(wù)的信息系統(tǒng)的特定安全要求·XXX有限公司文件編號(hào)ISMS-A-02信息安全適用性聲明文件版本密級(jí)秘密安全要求分析和說(shuō)明控制YES為確保系統(tǒng)具有一定的安全功能及規(guī)避開發(fā)過(guò)程的安全風(fēng)險(xiǎn),增加新系統(tǒng)或擴(kuò)大原有系統(tǒng),應(yīng)確定控制要求。技術(shù)部在進(jìn)行新系統(tǒng)開發(fā)或系統(tǒng)更新時(shí),首先對(duì)系統(tǒng)進(jìn)行分析,根據(jù)業(yè)務(wù)功能要求及信息安全要求明確
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 洛陽(yáng)職業(yè)技術(shù)學(xué)院《城市設(shè)計(jì)概論》2023-2024學(xué)年第一學(xué)期期末試卷
- 2025其他傷害個(gè)體磚廠與農(nóng)民工簽訂“生死合同”案
- 2024年度商品混凝土供貨與施工安全監(jiān)管合同3篇
- 社區(qū)安全防護(hù)指南
- 墻面手繪施工合同餐飲店
- 技術(shù)管理質(zhì)量管理辦法
- 鐵路道口安全管理辦法
- 2024年度藝術(shù)品買賣合同擔(dān)保與鑒定評(píng)估服務(wù)條款3篇
- 項(xiàng)目執(zhí)行溝通管理手冊(cè)
- 2024年槽罐車液態(tài)化學(xué)品運(yùn)輸安全合同
- 科學(xué)認(rèn)識(shí)天氣智慧樹知到答案章節(jié)測(cè)試2023年中國(guó)海洋大學(xué)
- 家居風(fēng)格分類說(shuō)明PPT講座
- 高標(biāo)準(zhǔn)農(nóng)田施工合同
- J.P. 摩根-全球電氣設(shè)備行業(yè)-自動(dòng)化產(chǎn)業(yè):摩根大通系統(tǒng)集成商調(diào)查-2021.5.20-58正式版
- GB/T 28035-2011軟件系統(tǒng)驗(yàn)收規(guī)范
- 介紹北京英文
- 醫(yī)生、護(hù)士工作服技術(shù)參數(shù)要求
- GB 29518-2013柴油發(fā)動(dòng)機(jī)氮氧化物還原劑尿素水溶液(AUS 32)
- 《經(jīng)濟(jì)學(xué)基礎(chǔ)》試題庫(kù)(附答案)
- 醫(yī)師臨床三基訓(xùn)練綜合試卷
- 激光雷達(dá)測(cè)風(fēng)技術(shù)完整版課件
評(píng)論
0/150
提交評(píng)論