2020ISO27001信息安全管理體系全套文件(手冊+程序文件+作業(yè)規(guī)范)1

(手冊+程序文件+作業(yè)規(guī)范)文件編號文件名稱事故事件薄弱點與故障管理程序企業(yè)商業(yè)技術秘密管理程序信息安全人員考察與保密管理程序信息安全懲戒管理程序信息安全適用性聲明信息安全風險評估管理程序內審管理程序惡意軟件控制程序更改控制程序物理訪問管理程序用戶訪問控制程序管理評審控制程序系統(tǒng)開發(fā)與維護控制程序系統(tǒng)訪問與使用監(jiān)控管理程序計算機賬戶及密碼管理程序文件和資料管理程序重要信息備份管理程序預防措施程序文件編號文件名稱防火墻安全管理規(guī)定介質銷毀管理規(guī)定信息機房管理制度信息中心安全事件報告和處置管理制度信息中心密碼管理制度信息系統(tǒng)訪問權限說明檔案鑒定銷毀工作規(guī)定移動介質使用管理規(guī)定復印室管理制度重要文件加密解密管理制度東莞市XXX有限公司文件名稱頁碼文件編號b)服務器停運4小時以上；b)服務器停運8小時以上；東莞市XXX有限公司文件名稱頁碼文件編號4.2故障與事故的報告渠道與處理4.2.2故障、事故的響應 5相關/支持性文件6記錄保存期限東莞市XXX有限公司文件名稱頁碼文件編號東莞市XXX有限公司文件名稱頁碼文件編號2相關文件4工作程序4.1業(yè)務持續(xù)性管理過程東莞市XXX有限公司文件名稱頁碼文件編號4.2業(yè)務持續(xù)性和影響的分析東莞市XXX有限公司文件名稱頁碼文件編號第一章總則第七條商業(yè)秘密管理機制。東莞市XXX有限公司文件名稱頁碼文件編號東莞市XXX有限公司文件名稱頁碼文件編號東莞市XXX有限公司文件名稱頁碼文件編號1適用與目的4信息處理設施的引進和安裝4.1引進依賴東莞市XXX有限公司文件名稱頁碼文件編號4.2進行技術選型4.3編寫購入規(guī)格書4.4定貨4.5開箱檢查，安裝、調試，驗收c)驗收東莞市XXX有限公司文件名稱頁碼文件編號5.2計算機設備維護5.3計算機調配與報廢管理東莞市XXX有限公司文件名稱頁碼文件編號5.4報廢處理5.5筆記本電腦安全管理5.6計算機安全使用的要求東莞市XXX有限公司文件名稱頁碼文件編號5.7網絡安全使用的要求6信息處理設施的日常點檢6.1計算機的日常點檢6.2網絡設備的管理與維護6.3點檢策略設備類型日志內容保存周期檢查周期對外提供服務的a)用戶標識符(ID);b)登錄和注銷事件；c)若可能，終端位置；≥6個月≤2周直接用于設計、存儲、≥12個月≤2周≥6個月≤5周東莞市XXX有限公司文件名稱頁碼文件編號部門內部服務器≥6個月≤5周≥6個月≤5周防火墻和系統(tǒng)配置更改日志≥1個月≤5周訪問日志(方向、流量)≥1個月≤5周a)用戶標識符(ID):c)終端位置：≥1周≤1周入侵檢測系統(tǒng)≥3個月≤5周遠程訪問系統(tǒng)a)用戶標識符(ID):c)終端位置；≥3個月≤5周6.4資料的保存6.5網絡掃描工具的安全使用管理7其它要求東莞市XXX有限公司文件名稱頁碼文件編號8相關文件保存部門3年5年3年3年東莞市XXX有限公司文件名稱頁碼文件編號3職責4.2對錄用(借用)人員的考察東莞市XXX有限公司文件名稱頁碼文件編號與信息科技部協調。意見后送行政部。東莞市XXX有限公司文件名稱頁碼文件編號8記錄東莞市XXX有限公司文件名稱頁碼文件編號無東莞市XXX有限公司文件名稱頁碼文件編號5.1計算機信息系統(tǒng)的安保5.1.2存在計算機信息系統(tǒng)安全隱患，由人事部發(fā)出整改通知，限期整改。因不及時整改而東莞市XXX有限公司文件名稱頁碼文件編號5.2計算機應用與管理違規(guī)行為處罰規(guī)定東莞市XXX有限公司文件名稱頁碼文件編號5.2.9未按規(guī)定進行數據備份、沒有妥善保管備份數據或備分數據無效的，給予主管人員和5.2.10在對面向客戶的業(yè)務應用系統(tǒng)管理中，從事后臺維護的技術人員，違反規(guī)定同時進5.2.11在業(yè)務應用系統(tǒng)有關的各項業(yè)務操作過程中，技術東莞市XXX有限公司文件名稱頁碼文件編號5.3計算機信息類違規(guī)處罰管領導200元以上1000元以下罰款。東莞市XXX有限公司文件名稱頁碼文件編號5.4獎懲記錄5.4.1系統(tǒng)管理員根據本公司獎懲管理規(guī)定，對獎懲的實施進行記錄并形成《獎懲記錄單》東莞市XXX有限公司文件名稱頁碼文件編號5.5證據的收集東莞市XXX有限公司文件名稱頁碼文件編號5.6證據的保存及提供5.6.1提供證據的份量應符合任何適用的要求。對該證據的存儲和處理的整個時期內，應進5.6.3對計算機介質上的信息：任何可移動介質的鏡像或拷貝(依賴于適用的要求)、硬盤證明該過程；原始的介質和日志(如果這一點不可能的話，那么至少有一個鏡像或拷貝)應5.6.4任何法律取證工作應僅在證據材料的拷貝上進行。所有證據材料的完整性應得到保東莞市XXX有限公司文件名稱頁碼文件編號2.范圍3.1最高管理者無東莞市XXX有限公司文件名稱頁碼文件編號信息安全適用性聲明S0A條款號目標/控制是否指引目標控制批準發(fā)布。的評審控制確保方針持續(xù)的適應性。條款號目標/控制是否目標和職責控制保持特定資產和完成特定安全過程的所有信息安全職責分離控制范圍，以減少對組織資產未經授權訪問、無意修改或誤用的機會。與監(jiān)管機構的聯系控制與相關監(jiān)管機構保持適當與特殊利益團體的聯系控制項目管理中的信息安全控制實施任何項目時應考慮信辦公目標控制全措施管控使用移動設備遠程辦公控制系統(tǒng)的情況，需要進行安全控制。東莞市XXX有限公司文件名稱頁碼文件編號條款號目標控制是否目標控制件控制履行信息安全保密協議是雇傭人員的一個基本條件。聘用期間目標管理職責控制缺乏管理職責，會使人員意識淡薄，從而對組織造成負面安全影響。信息安全意識、教育和培訓控制信息安全意識及必要的信息系統(tǒng)操作技能培訓是信息安全管理工作的前提。懲戒過程控制該有一個正式的懲戒過程?；繕丝刂苿赵谌斡媒K止或變更后仍傳達并執(zhí)行。《相關方服務管理程條款號目標/控制是否資產責任目標對我司資產(包括顧客要求保密的數據、軟件及產品)資產清單控制建立重要資產清單并實施資產責任人控制有者”資產的合理使用控制識別與信息系統(tǒng)或服務相關的資產的合理使用規(guī)則，并將其文件化，并子以實東莞市XXX有限公司文件名稱頁碼文件編號條款號目標/控制是否資產的歸還控制在勞動合同或協議終止后，所有員工和外部方人員應退還所有他們持有的組織目標我司根據信息的敏感性對信息進行分類，明確保護要分類指南控制我司的信息安全涉及信息的敏感性，適當的分類控制是必要的。信息標識控制定信息處理的安全的要求。資產處理控制類方法制定和實施資產處理程序目標防止存儲在介質上的信息被非授權泄露、修改、刪除控制我司存在含有敏感信息的告等可移動介質?？刂飘斀橘|不再需要時，對含有敏感信息介質采用安全的控制護，防止未經投權的訪問、濫用或在運輸過程中的損條款號目標/控制是否需求目標限制對信息和信息處理設施的訪問控制略，并根據業(yè)務和安全要求對策略進行評審。務的訪問控制制定策略，明確用戶訪問網非投權的網絡訪問。目標東莞市XXX有限公司文件名稱頁碼文件編號條款號目標/控制是否用戶注冊和注銷控制我司存在多用戶信息系統(tǒng)，應建立用戶登記和注銷登供控制有信息系統(tǒng)及服務的訪問?？刂茩嗖贿m當的使用會造成系用戶認證信息的控制應通過一個正式的管理過用戶訪問權限的評審控制對用戶訪問權限進行評審是必要的，以防止非投權的訪問。撤銷或調整訪問控制在跟所有員工和承包商刪除或調整其信息和信息處理設施的訪問權限0《人力資源安全管理程《相關方服務管理程目標認證信息的使用控制系統(tǒng)和應用訪問控制目標防止對系統(tǒng)和應用的未授權訪問信息訪問限制控制我司信息訪問權限是根據問功能應加以限制。安全登錄程序控制控制為減少非法訪問操作系統(tǒng)的機會，應對密碼進行管特權程序的使用控制全?？刂啤盾浖_發(fā)安全控制程東莞市XXX有限公司文件名稱頁碼文件編號標準條款號標題目標/控制是否問控制行限制。條款號標題目標/控制是否加密控制目標密性、真實性、完整性。使用加密控制的控制 控制司對密碼技術的使用條款號目標/控制是否安全區(qū)域目標防止對組織信息和信息處理設施的未經授權物理控制我司有包含重要信息及信息處理設施的區(qū)域，應確定其安全周界對其實施保護。物理進入控制控制安全區(qū)域進入應經過投權，未經授權的非法訪問會對辦公室、房間及設施的安全控制部、房間和設施應有特殊的安全要求。防范外部和環(huán)境控制范火災、水災、地震，以及其它形式的自然或人為災在安全區(qū)域工作控制在安全區(qū)域工作的人員只保證安全區(qū)域安全，《相關方服務管理程送貨和裝卸區(qū)控制問到的地點進行控制，防止外來人員直接進入重要安東莞市XXX有限公司文件名稱頁碼文件編號條款號目標/控制是否全區(qū)域是必要的設備安全目標防止資產的遺失、損壞、偷竊等導致的組織業(yè)務中設備安置及保護控制災、吸煙、油污、未經授權訪問等威脅?？刂齐娏χ袛嗷蛘咂渌С衷O施故障而導致的中斷的影線纜安全控制通信電纜、光纜需要進行正常的維護，以防止偵聽和損壞。設備維護控制設備保持良好的運行狀態(tài)是保持信息的完整性及可資產轉移控制軟件帶到場所外。場外設備和資產安全控制我司有筆記本移動設備，離授權的訪問等危害的發(fā)生。設備報廢或重用控制對我司儲存有關敏感信息的設備，如服務器、硬盤，對其處置和再利用應將其信息清除。控制桌面清空及清屏控制幕策略，會受到資產丟失、失竊或遭到非法訪問的威標準條款號標題目標/控制是否操作程序及職責目標東莞市XXX有限公司文件名稱頁碼文件編號條款號目標/控制是否序控制控制未加以控制的信息處理設備和系統(tǒng)更改會造成系統(tǒng)控制為避免因系統(tǒng)容量不足導致系統(tǒng)故障，監(jiān)控容量需求并規(guī)劃將來容量是必須行環(huán)境的分離控制以降低未授權訪問或對操作系統(tǒng)變更的風險防范惡意軟件目標控制在的，應實施惡意代碼的監(jiān)測、預防和恢復控制，以及適當的用戶意識培訓目標防止數據丟失控制份是必須的，以防止信息和軟件的丟失和不可用，日志記錄和監(jiān)控目標事件日志控制立事件日志(審核日志)是日志信息保護控制日志記錄設施以及日志信息應該被保護，防止被算管理員和操作者日志控制時鐘同步控制實施時鐘同步，是生產、經營與獲取客觀證據的需東莞市XXX有限公司文件名稱頁碼文件編號條款號標題目標/控制是否制目標確保運營中系統(tǒng)的完整性?？刂茟⒊绦驅\營中的系統(tǒng)的軟件安裝進行控目標防止技術漏洞被利用。管理技術薄弱點控制及時獲得正在使用信息系統(tǒng)的技術薄弱點的相關信息，應評估對這些薄弱點的暴露程度，并采取適當的方法處理相關風險。限制軟件安裝控制安裝規(guī)則。的考慮因素目標最小化審計活動對系統(tǒng)運營影響。信息系統(tǒng)審核控制控制驗證所涉及的審核要求和活動并獲得許可，以最小化中斷業(yè)務過程。條款號目標/控制是否網絡安全管理目標網絡控制控制序的信息。網絡服務安全控制應識別所有網絡服務的安全機制、服務等級和管務協議中，無論這種服務是由內部提供的還是外包的。網絡隔離控制應在網絡中按組隔離信息服務、用戶和信息系統(tǒng)目標確保信息在組織內部或與外部組織之間傳輸的安全。和程序控制應建立正式的傳輸策略、東莞市XXX有限公司文件名稱頁碼文件編號條款號目標/控制是否控制間的業(yè)務信息的安全傳輸協議。電子消息控制應適當保護電子消息的信息?？刂茟贫ú⒍ㄆ谠u審組織的信息安全保密協議或條款號目標/控制是否信息系統(tǒng)安全需求目標部分，包括通過公共網絡提供服務的信息系統(tǒng)的要析和規(guī)范控制包括信息安全相關的要《技術符合性管理規(guī)公共網絡應用服控制應保護流經公共網絡的控制應保護應用服務傳輸中的信息，以防止不完整的傳輸、路由錯誤、未授權的消息修改、未經授權的泄漏、未授權的信息復制的安全目標確保信息系統(tǒng)開發(fā)生命周期中設計和實施信息安控制序控制為防止未授權或不充分的更改，導致系統(tǒng)故障與中斷，需要實施嚴格更改控操作平臺變更后的技術評審控制應用系統(tǒng)會造成嚴重的影軟件包變更限制控制東莞市XXX有限公司文件名稱頁碼文件編號條款號目標/控制是否安全系統(tǒng)工程原則控制用安全系統(tǒng)工程原則，并控制在整個系統(tǒng)開發(fā)生命周期應建立并妥善保障開發(fā)環(huán)外包開發(fā)控制系統(tǒng)安全測試控制系統(tǒng)驗收測試控制級及新版本的驗收測試程測試數據目標A.14.3,1測試數據的保護控制條款號目標/控制是否供應商關系的目標供應商關系的控制為降低供應商使用組織的資產相關的風險，應與供協議。中強調安全控制與每個供應商簽訂的協議中應覆蓋所有相關的安全要求。如可能涉及對組織的IT基礎設施組件、信息的訪問、處理、存儲、術的供應鏈控制供應商協議應包括信息、應鏈的相關信息安全風目標東莞市XXX有限公司文件名稱頁碼文件編號條款號目標/控制是否供應商服務的監(jiān)督和評審控制組織應定期監(jiān)督、評審和審核供應商的服務交付。供應商服務的控制條款號目標控制是否的管理和改進目標職責和程序控制以快速、有效和有序的響報告信息安全控制應通過適當的管理途徑盡報告信息安全弱點控制和服務的員工和承包商注意并報告系統(tǒng)或服務中任何已發(fā)現或疑似的信息安評估和決策信息安全事件控制應評估信息安全事件，以決定其是否被認定為信息響應信息安全控制應按照文件化程序響應信從信息安全事故中學習控制獲得的知識應用來減少未來事故的可能性或影響。收集證據控制識別、收集、采集和保存標準條款號標題目標/控制是否東莞市XXX有限公司文件名稱頁碼文件編號條款號目標/控制是否目標的連續(xù)性控制管理的安全和連續(xù)性，如在危機或災難時。實施信息安全的連續(xù)性控制性水平。估信息安全的控制組織應定期驗證已建立并實施的信息安全連續(xù)性控制，以確保其有效并可在災害情況下奏效。冗余目標確保信息處理設施的可用性。的可用性控制夠的冗余以滿足可用性要求。條款號目標/控制是否定的符合性目標律法規(guī)和合同要求控制律、法規(guī)與合同的要求及組織件，并針對組織及每個信知識產權控制應實施適當的程序，以確保對知識產權軟件產品的使用符合相關的法律、法控制應按照法律法規(guī)、合同和業(yè)務要求，保護記錄免受損壞、破壞、未授權訪問和東莞市XXX有限公司文件名稱頁碼文件編號條款號目標/控制是否個人信息和隱私的保護控制護應滿足相關法律法規(guī)的控制加密控制的使用應遵循相信息安全評審目標立評審控制(如，信息安全控制目標、控制措施、策略、過程和程序)進行獨立評審?？刂乒芾韺討ㄆ谠u審管轄范圍內的信息處理過程符合安全策略、標準及其他安審控制織的信息安全策略、標準《技術符合性管理規(guī)東莞市XXX有限公司文件名稱頁碼文件編號3.0定義(無)東莞市XXX有限公司文件名稱頁碼文件編號職責職責重要資產清單重要資產清單威脅/脆弱性因素表風險評估表風險評估表是否殘余風險清單否是安全措施實施計劃安全措施實施計劃東莞市XXX有限公司文件名稱頁碼文件編號6.0內容6.1資產的識別6.1.1各部門每年按照管理者代表的要求負責部門內部資產的識別，確定資產價6.1.2資產分類6.1.3資產(A)賦值選擇對資產機密性、完整性和可用性最為重要(分值最高)的一個屬性的1)機密性賦值根據資產在機密性上的不同要求，將其分為五個不同的等級，分別對應資產在機密性上的應達成的不同程度或者機密性缺失時對整個組織的影賦值標識定義5極高包含組織最重要的秘密，關系未來發(fā)展的前途命運，對組織根本利益有著決定性影響，如果泄漏會造成災難性的損害4高包含組織的重要秘密，其泄露會使組織的安全和利益遭受嚴重損害3中等包含組織的一般性秘密，其泄露會使組織的安全和利益受到損害2低包含僅能在組織內部或在組織某一部門內部公開的信息，向外擴散有可能對組織的利益造成損害1可忽略包含可對社會公開的信息，公用的信息處理設備和系統(tǒng)資源等2)完整性賦值根據資產在完整性上的不同要求，將其分為五個不同的等級，分別對應東莞市XXX有限公司文件名稱頁碼文件編號賦值標識定義5極高完整性價值非常關鍵，未經授權的修改或破壞會對組織造成重大的或無法接受的影響，對業(yè)務沖擊重大，并可能造成嚴重的業(yè)務中斷，難以彌補4高完整性價值較高，未經授權的修改或破壞會對組織造成重大影響，對業(yè)務沖擊嚴重，比較難以彌補3中等完整性價值中等，未經授權的修改或破壞會對組織造成影響，對業(yè)務沖擊明顯，但可以彌補2低完整性價值較低，未經授權的修改或破壞會對組織造成輕微影響，可以忍受，對業(yè)務沖擊輕微，容易彌補1可忽略的影響可以忽略，對業(yè)務沖擊可以忽略3)可用性賦值根據資產在可用性上的不同要求，將其分為五個不同的等級，分別對應資產在可用性上的達成的不同程度。賦值標識定義5極高可用性價值非常高，合法使用者對信息及信息系統(tǒng)的可用度達到年度99.9%以上4高可用性價值較高，合法使用者對信息及信息系統(tǒng)的可用度達到每天90%以上3中等可用性價值中等，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達到70%以上2低可用性價值較低，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達到25%以上1可忽略可用性價值可以忽略，合法使用者對信息及信息系統(tǒng)的3分以上為重要資產，重要信息資產由信息安全部確立清單6.2威脅識別6.2.1威脅分類對重要資產應由ISMS小組識別其面臨的威脅。針對威脅來源，根據其表東莞市XXX有限公司文件名稱頁碼文件編號6.2.2威脅(T)賦值等級標識定義5很高以證實經常發(fā)生過(每天)4高可以證實多次發(fā)生過(每周)3中經發(fā)生過(每月、曾經發(fā)生過)2低生過(每年)1很低生(特殊情況)6.3脆弱性識別6.3.2脆弱性(V)嚴重程度賦值低。等級數值越大，脆弱性嚴重程度越高。脆弱性嚴重程度賦值見下表等級標識定義5很高如果被威脅利用，將對資產造成完全損害(90%以上)4高如果被威脅利用，將對資產造成重大損害(70%)3中如果被威脅利用，將對資產造成一般損害(30%)2低如果被威脅利用，將對資產造成較小損害(10%)1很低如果被威脅利用，將對資產造成的損害可以忽略(10%以下)東莞市XXX有限公司文件名稱頁碼文件編號6.4已有安全措施的確認持，以避免不必要的工作和費用，防止安全措施的重復實施。對于確認為不適6.5風險分析小組采用矩陣法確定威脅利用脆弱性導致安全事件發(fā)生的可能性，考慮安全事件一旦發(fā)生其所作用的資產的重要性及脆弱性的嚴重程度判斷安全事件造成的6.5.1安全事件發(fā)生的可能性等級P=(T*V)"6.5.2安全事件發(fā)生后的損失等級L=(A*V)",6.5.3風險值R=(L*P),風險等級風險值風險等級123456.5.4風險管理策略6.5.4.1完全的消除風險是不可能和不實際的。公司需要有效和經濟的運6.5.4.2風險值越高，安全事件發(fā)生的可能性就越高，安全事件對該資產以●接受風險：接受潛在的風險并繼續(xù)運行信息系統(tǒng)，不對風險進●降低風險：通過實現安全措施來降低風險，從而將脆弱性被威脅源利用后可能帶來的不利影響最小化(如使用防火墻、漏洞掃描系統(tǒng)等安全產品)?！褚?guī)避風險：不介入風險，通過消除風險的原因和/或后果(如放棄系統(tǒng)某項功能或關閉系統(tǒng))來規(guī)避風險?！褶D移風險：通過使用其它措施來補償損失，從而轉移風險，如東莞市XXX有限公司文件名稱頁碼文件編號6.5.4.3風險等級3(含)以上為不可接受風險，3(不含)以下為可接受風6.7殘余風險的監(jiān)視與處理●業(yè)務目標和過程；東莞市XXX有限公司文件名稱頁碼文件編號東莞市XXX有限公司文件名稱頁碼文件編號●其他認為必要時?！駥徍酥械淖⒁馐马?。東莞市XXX有限公司文件名稱頁碼文件編號東莞市XXX有限公司文件名稱頁碼文件編號4工作程序東莞市XXX有限公司文件名稱頁碼文件編號東莞市XXX有限公司文件名稱頁碼文件編號5相關文件東莞市XXX有限公司文件名稱頁碼文件編號第一條為規(guī)范軟件變更與維護管理，提高軟件管理水平，優(yōu)化軟件變更與維護管理流第二條本制度適用于應用系統(tǒng)已開發(fā)或采購完畢并正式上線、且由軟件開發(fā)組織移交給應用管理組織之后，所發(fā)生的生產應用系統(tǒng)(以下簡稱應用系統(tǒng))運行支持第二節(jié)變更流程第三條系統(tǒng)變更工作可分為下面三類類型：功能完善維護、系統(tǒng)缺陷修改、統(tǒng)計報表第四條系統(tǒng)變更工作以任務形式由需求方(一般為業(yè)務部門)和維護方(一般為信息部門的應用維護組織和軟件開發(fā)組織，還包括合作廠商)協作完成。系統(tǒng)變更第六條需求部門提出系統(tǒng)變更需求，并將變更需求整理成《系統(tǒng)變更申請表》(附件一),由部門負貴人審批后提交給系統(tǒng)管理員。第七條系統(tǒng)管理員負責接受需求并上報給信息部主管。信息部主管分析需求，并提出第八條系統(tǒng)管理員根據自行開發(fā)、合作開發(fā)和外包開發(fā)的不同要求組織實現系統(tǒng)變更第九條實現過程應按照軟件開發(fā)過程規(guī)定進行。系統(tǒng)變更過程應遵循軟件開發(fā)過程相東莞市XXX有限公司文件名稱頁碼文件編號東莞市XXX有限公司文件名稱頁碼文件編號東莞市XXX有限公司文件名稱頁碼文件編號附件一系統(tǒng)變更申請表變更請求類型□用戶方變更□開發(fā)方變更口需求增加口需求修改口需求縮減□其它：請說明：申請日期實施人員原需求內容描述變更的影響意見：簽字：信息部人員意見：簽字：東莞市XXX有限公司文件名稱頁碼文件編號附件二用戶測試報告1.基本信息測試依據例如：參照標準、客戶需求、需求規(guī)格說明書、測試用例等測試范圍測試驗收標準提示：可以把測試驅動程序當作附件測試人員測試時間須注明每次回歸測試的時間測試工具測試用例編號期望結果測試結果缺陷密度是否執(zhí)行了回歸測試缺陷名稱缺陷類型嚴重程度原因駐留時間解決方案東莞市XXX有限公司文件名稱頁碼文件編號東莞市XXX有限公司文件名稱頁碼文件編號4.1外來人員分類東莞市XXX有限公司文件名稱頁碼文件編號序號防范措施1特別安全區(qū)1.數據存儲機房2.配電房1.專門負責(保安值勤)。2.監(jiān)控錄象裝置。3.進出再登記，專人陪同(特別2普通安全區(qū)1.開發(fā)部辦公室2.管理中心3檔案室1.專人負責。4.巡邏檢查，群防群治。3一般區(qū)域1.大堂2.雜物室東莞市XXX有限公司文件名稱頁碼文件編號訪問時間在一周內特別安全區(qū)接待部門負責人同意且主管副總經理批準，公司人事部辦理相關手續(xù)普通安全區(qū)負責人事部辦理相關手續(xù)一般區(qū)域接待人員事部辦理相關手續(xù)4.4門禁出入規(guī)定>紅色胸帶：進入公司的外部相關方人員東莞市XXX有限公司文件名稱頁碼文件編號4.4.1員工門禁管理東莞市XXX有限公司文件名稱頁碼文件編號東莞市XXX有限公司文件名稱頁碼文件編號4.5訪問接待管理辦法東莞市XXX有限公司文件名稱頁碼文件編號●公司級：●部門級：東莞市XXX有限公司文件名稱頁碼文件編號5安全培訓6安全保密規(guī)定6.1拍照東莞市XXX有限公司文件名稱頁碼文件編號6.2安全保密協議7在安全區(qū)域工作的安全要求記錄名稱保存部門保存期限3年3年3年東莞市XXX有限公司文件名稱頁碼文件編號3相關文件東莞市XXX有限公司文件名稱頁碼文件編號5.1各系統(tǒng)安全登錄程序(d)限制所允許的不成功登陸嘗試的次數(推薦3次)并考慮：3)斷開數據鏈路鏈接；4)如果達到登錄的最大嘗試次數，向系統(tǒng)控制臺(或向機房管理員)發(fā)送警報東莞市XXX有限公司文件名稱頁碼文件編號5.2用戶身份標識和鑒別東莞市XXX有限公司文件名稱頁碼文件編號5.3.1在登錄核心系統(tǒng)或外圍系統(tǒng)時，須使用自己的用戶ID及口令，確保身份可核查。5.3.2信息部員工需要登錄核心系統(tǒng)或外圍系統(tǒng)需要提交《系統(tǒng)訪問授權書》,如果是第一次登陸且沒有用戶ID及密碼則按《口令管理規(guī)定》進行用戶ID的申請，由機房管理員根據申請?zhí)砑佑脩鬒D及默認密碼并且設置密碼歷史記錄(推薦記錄3次),用戶在第一次登陸后必須對密碼進行更改，否則由機房管理員強行收回用戶ID。5.3.3口令必須是由數字、字幕、符號，長度7位組成并且不可以使用例如：生日、姓名、東莞市XXX有限公司文件名稱頁碼文件編號5.4系統(tǒng)實用工具的使用東莞市XXX有限公司文件名稱頁碼文件編號5.5登錄會話限制6相關文件7相關記錄保存部門保存期限信息部3年信息部3年信息部3年東莞市XXX有限公司文件名稱頁碼文件編號1目的為確保信息安全管理體系持續(xù)的適宜性、充分性、方針和信息安全管理目標/服務目標進行定期評審，并保證與法律、法規(guī)、公司其他制度、原則性文件不信息安全體系：IS027001體系2適用范圍3職責與權限3.1公司高管批準《管理評審報告》3.2管理者代表組織撰寫《管理評審報告》3.3主管體系建設部門(人事部)負責對評審后的糾正、預防措施進行跟蹤和驗證3.4各部門東莞市XXX有限公司文件名稱頁碼文件編號4程序和工作流程4.1制定年度管理評審計劃4.1.1年度管理評審計劃4.1.2年度管理評審計劃的內容4.1.3管理評審的頻次4.2管理評審的準備東莞市XXX有限公司文件名稱頁碼文件編號⑥參加評審部門(人員);4.2.2資料準備4.3管理評審輸入東莞市XXX有限公司文件名稱頁碼文件編號4.4管理評審會議4.5管理評審輸出4.6管理評審報告東莞市XXX有限公司文件名稱頁碼文件編號6相關記錄東莞市XXX有限公司文件名稱頁碼文件編號1適用3職責4程序東莞市XXX有限公司文件名稱頁碼文件編號東莞市XXX有限公司文件名稱頁碼文件編號東莞市XXX有限公司文件名稱頁碼文件編號5記錄保存部門10年東莞市XXX有限公司文件名稱頁碼文件編號無東莞市XXX有限公司文件名稱頁碼文件編號5.1監(jiān)控策略東莞市XXX有限公司文件名稱頁碼文件編號5.2日志的配置最低要求東莞市XXX有限公司文件名稱頁碼文件編號5.3.1網絡管理員根據系統(tǒng)的安全要求確認日志內容、保存周期、檢查周期，其最低要求不得低于5.2的要求。如果因為日志系統(tǒng)本身原因不能滿足5.2的最低要求，需要降低標準的，5.3.2網絡管理員配置日志系統(tǒng)，并定期檢查日志內容，評審安全情況。評審的內容包括：東莞市XXX有限公司文件名稱頁碼文件編號3.定義無4.職責5.2.1要求1:宿碼至少有8個字符長5.2.2要求2:密碼必須包含以下每一部分A.字母A-Z或a-zB.數字0-9C.特殊字符，例如*,$,)等東莞市XXX有限公司文件名稱頁碼文件編號H.例如“asdf“的簡單密碼(在鍵盤上相連的鍵)N.btk(4902)R.mMSkK7(少于8個字符)S.btk$*@btk(沒有數字)5.3更改(可向計算機室申請)5.3.1至少每90天更改一次密碼。東莞市XXX有限公司文件名稱頁碼文件編號無無東莞市XXX有限公司文件名稱頁碼文件編號4.文件和資料編號/版本規(guī)定頭，規(guī)定由4或5個數字構成編號。東莞市XXX有限公司文件名稱頁碼文件編號4.2版本及修訂號的編制方法采用“英文字母自然排序/數字自然排序”法。第0次修定(按照數字自然順序號，依次使用1、2、3……)第A版(按照英文字母自然排序，依次使用B、C、D……)版本及修訂號的標注方法：1、2、3層次文件標注在封面。記錄作為一種特殊形式的文件，沒有標注版本及修訂號的時侯，默認為A/0版；當記錄更新版本及修訂號后，需要在記5.工作程序文件分類作廢標識文件修訂文件5.2文件分類(見下表)更改通知保管借閱文件評審使用編制文件標識文件批準發(fā)布文件名稱1法律法規(guī)國家和地方有關信息安全等方面的法律法規(guī)東莞市XXX有限公司文件名稱頁碼文件編號2公司文件《信息安全管理手冊》、程序文件，與信息安全有關的制度及行政文件、管理方案等3標準類文件4合同類文件承包合同、分包合同、物資采購合同、租賃合同、經濟技術責任狀、信息安全協議等5圖紙類文件各類施工圖紙、設計變更、工程洽商記錄等6外來文件包括當地政府或上級主管部門下發(fā)的與信息安全管理體系有關的文件，還包括業(yè)主、分包商、供應商等方面有關體系方面的往來文件7運行記錄包括信息安全管理體系運行中的各類數據記錄8系統(tǒng)文件本公司與信息安全有關的系統(tǒng)文件包括：a)系統(tǒng)操作手冊；b)關鍵商業(yè)作業(yè)流程；c)網絡系統(tǒng)拓撲結構圖；d)訪問授權說明書及授權登記表；e)ISMS體系文件；f)監(jiān)視系統(tǒng)網絡圖；東莞市XXX有限公司文件名稱頁碼文件編號東莞市XXX有限公司文件名稱頁碼文件編號7.記錄記錄名稱保存部門保存期限文控中心2年文控中心3年東莞市XXX有限公司文件名稱頁碼文件編號無5.1備份信息識別東莞市XXX有限公司文件名稱頁碼文件編號5.7信息恢復7記錄記錄名稱保存部門保存期限3年東莞市XXX有限公司文件名稱頁碼文件編號東莞市XXX有限公司文件名稱頁碼文件編號1適用3職責東莞市XXX有限公司文件名稱頁碼文件編號4.2人事部每半年組織相關部門利用4.1條款所規(guī)定的信息來源，分析確定不符合/潛在不取糾正/預防措施應與潛在問題的影響程度相適應，c.可能影響本公司的企業(yè)形象與經濟利d.可能造成生產經營業(yè)務中斷。對于各部門日常發(fā)現報告的重大安全隱患(安全薄弱點),人事部應組織有關部門進行4.3需制定糾正/預防措施時，由人事部組織有關部門制定糾正/預防措施對4.4當問題原因不確定或責任重大時，由采取糾正/預防措施的部門呈報公司信息安全最高責任者，必要時，應提交公司信息安全管理委員會進4.5實施糾正/預防措施的部門應認真執(zhí)行，作好執(zhí)行結果的記錄。4.6人事部對糾正/預防措施實施結果進行驗證，驗證內容包a.糾正/預防措施是否按糾正/預防措施計劃的要求實施；b.是否消除了不符合/潛在不符合的原4.7經驗證效果不理想，負責制定糾正/預防措施的部門應重新確定糾正/預程序4.3要求實施。4.8糾正/預防措施需要涉及文件更改的，應對文件進行評審，按《ISMS文件和資料管5記錄保存部門保存期限3年東莞市XXX有限公司文件名稱頁碼文件編號2適用范圍ScopeVPN(VirtualPrivateNetworking):即虛擬專用網，VPN是用以實現通過4管理細則4.1基本管理原則東莞市XXX有限公司文件名稱頁碼文件編號1)三個區(qū)域(Untrust/Trust/DMZ)間的策略遵循“2)未經允許，嚴禁Internet直接訪問公司內部(除DMZ區(qū)的機器外)的網絡。4)不得從公司內網直接訪問Internet,允許從DMZ區(qū)域有限制的訪問Internet。6)公司內網必須有限制地訪問DMZ區(qū)機器，并且只開放相應的端東莞市XXX有限公司文件名稱頁碼文件編號3)數據中心(研發(fā)區(qū)、非研發(fā)區(qū)、通用區(qū))不4.4策略申請流程4.5職責東莞市XXX有限公司文件名稱頁碼文件編號6本規(guī)定的維護與解釋東莞市XXX有限公司文件名稱頁碼文件編號東莞市XXX有限公司文件名稱頁碼文件編號3、定義要是硬盤和U盤)4.介質分類.5.2涉密存儲介質5.2.1維修處理規(guī)范3)若該介質已經損壞通知用戶或者IT部更換.東莞市XXX有限公司文件名稱頁碼文件編號6.2.二次利用處理規(guī)范東莞市XXX有限公司文件名稱頁碼文件編號機房出入管理規(guī)定第六條任何人員因工作需要進入機房，均需填寫《機房出入登記表》(附件二),登記隨身東莞市XXX有限公司文件名稱頁碼文件編號東莞市XXX有限公司文件名稱頁碼文件編號東莞市XXX有限公司文件名稱頁碼文件編號附則東莞市XXX有限公司文件名稱頁碼文件編號東莞市XXX有限公司文件名稱頁碼文件編號東莞市XXX有限公司文件名稱頁碼文件編號4.2應急支援東莞市XXX有限公司文件名稱頁碼文件編號東莞市XXX有限公司文件名稱頁碼文件編號東莞市XXX有限公司文件名稱頁碼文件編號東莞市XXX有限公司文件名稱頁碼文件編號11.本制度自2017年1月1日起執(zhí)行。東莞市XXX有限公司文件名稱頁碼文件編號層)與集市數據層(EDM層):東莞市XXX有限公司文件名稱頁碼文件編號七、訪問數據的系統(tǒng)要求八、數據訪問的基本原則九、訪問數據申請流程東莞市XXX有限公司文件名稱頁碼文件編號1目的為貫徹落實國家有關檔案管理法律法規(guī)，促進*******(以下簡稱：公司)2適用范圍3檔案鑒定銷毀范圍及鑒定原則3.1鑒定銷毀檔案范圍3.1.1保管期限已滿的檔案。3.1.2無保存利用價值的檔案。3.2鑒定檔案的原則3.2.1鑒定檔案本著“充分利用原卷，一般不拆卷重整，保管期限就高不就低”的原則，采取直接鑒定法。逐卷逐件審查卷內文件，切忌只看案卷標題3.2.2鑒定中要具體對待保管期限混雜的案卷。永久卷混有與卷內文件內容聯系密切的個別長期、短期文件可以不拆卷，但混雜的長期、短期保管的文3.2.3鑒定要考慮檔案的價值，應以反映公司只地位、活動范圍以及檔案的產生事件、完整程度、可靠性、有效性和外形特點3.2.4會計檔案鑒定銷毀按照財政部、國家檔案局《會計檔案管理辦法》執(zhí)行。會計檔案鑒定銷毀要根據特殊性進行鑒定，鑒定銷毀應注意以下幾個方東莞市XXX有限公司文件名稱頁碼文件編號東莞市XXX有限公司文件名稱頁碼文件編號負責人的簽字及時間、批準人的簽字及時間(銷毀檔案的批準人為企業(yè)法人代表)、監(jiān)銷人的簽字及銷毀時間等項目。清冊中檔案銷毀登記表(表格：)準確4.4編制銷毀檔案分析報告。檔案鑒定銷毀領導小組根據待銷毀檔案的鑒定結果及檔案銷毀清冊，組織編制銷毀檔案分析報告，報告中對需銷毀檔案的4.5審核工作。將檔案銷毀清冊及銷毀檔案分析報告提供給辦公室進行審4.6延期銷毀。為慎重起見，準備銷毀的檔案，在經總經理批準后，還需要繼續(xù)保存一段時間后銷毀，一般以半年為宜，以避免因檔案潛在作用尚未被4.7銷毀工作?？偨浝砼鷾输N毀的檔案，由2名工作人員將其銷毀，不能當作其他用途。無論采用什么方法，檔案鑒定銷毀小組必須指定2人以上監(jiān)銷(其中一人為辦公室人員),確已銷毀后，監(jiān)銷人在銷毀清冊上注明“已銷毀”東莞市XXX有限公司文件名稱頁碼文件編號3.1綜合辦3.2各使用人員4工作程序及內容4.2可移動存儲介質的管理4.3存儲介質的處理4.4信息處理程序東莞市XXX有限公司文件名稱頁碼文件編號4.6安全移動存儲介質的策略4.7安全移動存儲介質的配發(fā)東莞市XXX有限公司文件名稱頁碼文件編號4.8安全移動存儲介質的使用東莞市XXX有限公司文件名稱頁碼文件編號東