ISO27001信息安全管理體系全套文件(手冊+程序文件+作業(yè)規(guī)范)

ISMS信息安全管理體系ISO27001信息安全管理體系全套文件文件編號文件名稱事故事件薄弱點(diǎn)與故障管理程序業(yè)務(wù)持續(xù)性管理程序企業(yè)商業(yè)技術(shù)秘密管理程序信息安全人員考察與保密管理程序信息安全懲戒管理程序信息安全適用性聲明信息安全風(fēng)險評估管理程序內(nèi)審管理程序惡意軟件控制程序更改控制程序物理訪問管理程序用戶訪問控制程序管理評審控制程序系統(tǒng)開發(fā)與維護(hù)控制程序系統(tǒng)訪問與使用監(jiān)控管理程序計算機(jī)賬戶及密碼管理程序文件和資料管理程序重要信息備份管理程序預(yù)防措施程序信息安全管理體系作業(yè)文件目錄文件編號文件名稱防火墻安全管理規(guī)定介質(zhì)銷毀管理規(guī)定信息機(jī)房管理制度信息中心安全事件報告和處置管理制度信息中心密碼管理制度信息系統(tǒng)訪問權(quán)限說明檔案鑒定銷毀工作規(guī)定移動介質(zhì)使用管理規(guī)定復(fù)印室管理制度重要文件加密解密管理制度文件名稱頁碼文件編號為建立一個適當(dāng)信息安全事故、薄弱點(diǎn)、故障風(fēng)險處置的報告、反應(yīng)與處理機(jī)制，減少信息安全事故和故障所造成的損失，采取有效糾正與預(yù)防措施，正確3.2各系統(tǒng)使用人員負(fù)責(zé)相關(guān)系統(tǒng)安全事故、薄弱點(diǎn)、故障和風(fēng)險的評價、處4.1信息安全事故定義與分類：工作失職等原因直接造成下列影響(后果)之一，均為信息安全事故：b)服務(wù)器停運(yùn)4小時以上；4.1.2信息設(shè)備故障、線路故障、軟件故障、惡意軟件危害、人員故意破壞或工作失職等原因直接造成下列影響(后果)之一，屬于重大信息安全事故：文件名稱頁碼文件編號b)服務(wù)器停運(yùn)8小時以上；XXX有限公司文件名稱頁碼文件編號h)未產(chǎn)生惡劣后果的非法訪問。4.2故障與事故的報告渠道與處理4.2.1故障、事故報告要求a)各個信息管理系統(tǒng)使用者，在使用過程中如果發(fā)現(xiàn)軟硬件故障、事故，應(yīng)該向該系統(tǒng)歸口管理部門報告；如故障、事故會影響或已經(jīng)影響線上生產(chǎn)，必b)發(fā)生火災(zāi)應(yīng)立即觸發(fā)火警并向安全監(jiān)c)涉及企業(yè)秘密、機(jī)密及國家秘密泄露、丟失d)發(fā)生重大信息安全事故，事故受理部門應(yīng)向信息安全管理者代表和有關(guān)公4.2.2故障、事故的響應(yīng)故障、事故處理部門接到報告以后，應(yīng)立即進(jìn)行迅速、有效和有序的響應(yīng)，包a)報告者應(yīng)保護(hù)好故障、事故的現(xiàn)場，并采取適當(dāng)?shù)膽?yīng)急措施，防止事態(tài)的b)按照有關(guān)的故障、事故處理文件(程序、作業(yè)手冊)排除故障，恢復(fù)系統(tǒng)XXX有限公司文件名稱頁碼文件編號XXX有限公司文件名稱頁碼文件編號XXX有限公司文件名稱頁碼文件編號本程序規(guī)定了當(dāng)發(fā)生重大信息安全事件或災(zāi)難時，為保護(hù)公司業(yè)務(wù)活動免受影響，迅速恢復(fù)已中斷的業(yè)務(wù)活動，實(shí)現(xiàn)公司業(yè)務(wù)持續(xù)發(fā)展而實(shí)施的管理活動。這些活動包括：建立業(yè)務(wù)持續(xù)性管理程序；進(jìn)行業(yè)務(wù)持續(xù)性和影響分析；編制業(yè)務(wù)持續(xù)性戰(zhàn)略計劃；制訂業(yè)務(wù)持續(xù)性管理實(shí)施計劃并實(shí)施；對業(yè)務(wù)持續(xù)性管本程序適應(yīng)于本公司應(yīng)用軟件的開發(fā)和系統(tǒng)集成的活動等主要業(yè)務(wù)的持續(xù)性管3.2集成部負(fù)責(zé)編制、修訂公司業(yè)務(wù)持續(xù)性管理程序，并協(xié)調(diào)、推進(jìn)公司業(yè)務(wù)3.3各部門負(fù)責(zé)部門相關(guān)系統(tǒng)的故障處理及與之相關(guān)的作業(yè)中斷的恢復(fù)。3.4技術(shù)部負(fù)責(zé)項目實(shí)施過程中設(shè)備及軟件系統(tǒng)的故障處理及與之相關(guān)的作業(yè)XXX有限公司文件名稱頁碼文件編號3.5集成部負(fù)責(zé)后勤系統(tǒng)設(shè)備及網(wǎng)絡(luò)系統(tǒng)的故障處理及與之相關(guān)的作業(yè)中斷的3.6行政部負(fù)責(zé)本部門管理系統(tǒng)及與之相關(guān)的作業(yè)中斷的恢復(fù)。3.7公司各部門在發(fā)生重大信息安全事件或災(zāi)難時，負(fù)責(zé)保護(hù)本部門使用的信4工作程序4.2業(yè)務(wù)持續(xù)性和影響的分析4.2.1公司在首次信息安全風(fēng)險評估后進(jìn)行業(yè)務(wù)持續(xù)性和影響的分析。4.2.2業(yè)務(wù)持續(xù)性和影響的分析由集成部組織，技術(shù)部、行政部、生產(chǎn)部及管c)分析這些事件一旦發(fā)生對公司業(yè)務(wù)活動造成的影響和損失，以及恢復(fù)業(yè)務(wù)所文件名稱頁碼文件編號文件名稱頁碼文件編號業(yè)秘密的效益，鼓勵員工不斷創(chuàng)造并自覺維護(hù)技術(shù)秘密第二章技術(shù)秘密、商業(yè)秘密的定義、確立和管理機(jī)制第四條.本制度所稱的技術(shù)秘密、商業(yè)秘密，是指由公司員工在職務(wù)范圍內(nèi)文件名稱頁碼文件編號第五條.確定為技術(shù)秘密、商業(yè)秘密的信息及其承載物，歸公司所有。第六條.技術(shù)秘密、商業(yè)秘密的確定程序：a)指定參與者中一人專門保管成果或信息的承載物，可以采b)向公司常務(wù)董事匯報并提出是否構(gòu)成技術(shù)秘密、商業(yè)秘密建議。必d)對于被確定為技術(shù)秘密、商業(yè)秘密的信息或定期檢查本部門的保密工作，配合支持知識產(chǎn)權(quán)管理部門履行公司技術(shù)秘文件名稱頁碼文件編號第十條.保密資料由專人負(fù)責(zé)管理。公司財務(wù)部對交接來的技術(shù)秘密、商業(yè)秘文件名稱頁碼文件編號第十一條.商業(yè)技術(shù)機(jī)密材料的借閱，必須經(jīng)公司行政董事批準(zhǔn)，確定借閱第十二條.商業(yè)技術(shù)機(jī)密材料的復(fù)印，必須經(jīng)公司行政董事批準(zhǔn)后，由專人(理應(yīng)是財務(wù)部經(jīng)理)復(fù)印，未見公司行政董事批準(zhǔn)意見，一律不得復(fù)印。復(fù)第四章技術(shù)秘密、商業(yè)秘密的保障措施文件名稱頁碼文件編號作崗位，未經(jīng)書面同意，不得隨意進(jìn)行復(fù)制、交流或轉(zhuǎn)移含有公司技術(shù)秘資料事先要經(jīng)過上級審查批準(zhǔn)。第十九條.公司在對外發(fā)布新產(chǎn)品信息和廣第二十一條員工因工作需要或其他原因(包括離職、辭職、退休、開除等)XXX有限公司文件名稱頁碼文件編號第五章技術(shù)秘密、商業(yè)秘密效益發(fā)揮的保證措施第二十三條公司員工在主持或參與對外業(yè)務(wù)談判時要遵守公司的保密紀(jì)律。第二十六條本公司所有正式，試用，兼職，實(shí)習(xí)員工無條件遵守本管理辦法。XXX有限公司文件名稱頁碼文件編號本程序適用于公司與IT相關(guān)各類信息處理設(shè)施(包括各類軟件、硬件、服務(wù)、傳輸線路)的引進(jìn)、實(shí)施、維護(hù)等事宜的管理。2信息處理設(shè)施的分類2.1研發(fā)控制系統(tǒng)、數(shù)據(jù)存儲控制系統(tǒng)及其子系統(tǒng)設(shè)備，包括位于機(jī)房的服務(wù)2.2業(yè)務(wù)管理系統(tǒng)、財務(wù)管理系統(tǒng)，包括位于機(jī)房的服務(wù)器和位于使用區(qū)域的2.3辦公用計算機(jī)設(shè)備，包括所有辦公室、會議室內(nèi)的計算機(jī)、打印機(jī)，域控3.1XX部主要負(fù)責(zé)全公司與IT相關(guān)各類信息處理設(shè)施及其服務(wù)的引進(jìn)。包括XXX有限公司頁碼文件編號3.2各部負(fù)責(zé)項目實(shí)施過程中設(shè)備及軟件系統(tǒng)的管理制度的執(zhí)行與維護(hù)。3.3XX部負(fù)責(zé)后勤系統(tǒng)設(shè)備及網(wǎng)絡(luò)系統(tǒng)、電話/網(wǎng)絡(luò)通訊與辦公系統(tǒng)的管理與4信息處理設(shè)施的引進(jìn)和安裝4.1引進(jìn)依賴各部門必須采購的信息處理設(shè)施、外包開發(fā)信息系統(tǒng)項目或外包信息系統(tǒng)本公司禁止員工攜帶個人或私有信息處理設(shè)施(例如便攜式電腦、家用電腦或手持設(shè)備PDA等)處理業(yè)務(wù)信息。4.2進(jìn)行技術(shù)選型4.3編寫購入規(guī)格書中應(yīng)該包含技術(shù)規(guī)格、相關(guān)設(shè)施的性能(包括安全相關(guān)信息)、兼容性等要求，XXX有限公司文件名稱頁碼文件編號4.4定貨4.5開箱檢查，安裝、調(diào)試，驗收b)安裝、調(diào)試引進(jìn)的設(shè)施到位后，根據(jù)合同要求，由相關(guān)人員進(jìn)c)驗收文件名稱頁碼文件編號5.1計算機(jī)設(shè)備管理5.1.2各部門配備的計算機(jī)設(shè)備應(yīng)與本部門的日常經(jīng)營情況相適應(yīng)，不得配備與工作不相符的高檔次或不必要的計算機(jī)設(shè)備。辦公場所不配備多媒體類計算機(jī)設(shè)備，原則上部門經(jīng)理以上配備筆記本電腦，因工作需要配備筆記本電腦的5.1.3計算機(jī)使用部門需配備計算機(jī)設(shè)備時，應(yīng)按照本規(guī)定執(zhí)行。資產(chǎn)搬離安后領(lǐng)取計算機(jī)設(shè)備。計算機(jī)及附屬設(shè)備屬公司信息資產(chǎn)，在行政部備案。有關(guān)計算機(jī)設(shè)備所帶技術(shù)說明書、軟件由行政部保存。使用部門的使用人應(yīng)妥善保5.1.5離職時，應(yīng)將計算機(jī)交還XX部，由XX部注銷賬戶。5.2計算機(jī)設(shè)備維護(hù)5.2.1計算機(jī)使用部門應(yīng)將每部計算機(jī)落實(shí)到個人管理。計算機(jī)使用人員負(fù)責(zé)XXX有限公司文件名稱頁碼文件編號文件名稱頁碼文件編號5.5.4筆記本電腦在移動使用中，不能隨意拉接網(wǎng)絡(luò)，需通過填寫《用戶授權(quán)5.6計算機(jī)安全使用的要求5.6.1計算機(jī)設(shè)備為公司財產(chǎn)，應(yīng)愛惜使用，按照正確的操作步驟操作。5.6.2使用計算機(jī)時應(yīng)遵循信息安全策略要求執(zhí)行。5.6.4新域用戶名為用戶姓名的拼音(有重名時另設(shè)),初始缺省密碼為XXXXX。用戶在第一次登錄系統(tǒng)時應(yīng)變更密碼，密碼需要設(shè)置在6位以上(英文字母、數(shù)字或符號組合的優(yōu)質(zhì)密碼)并注意保密。5.6.6不得使用計算機(jī)設(shè)備處理正常工作以外的事務(wù)。XXX有限公司文件名稱頁碼文件編號計算機(jī)用戶的軟件安裝與升級按照《更改控制程序》執(zhí)行。拒絕使用來歷不明5.6.9嚴(yán)禁亂拉接電源，以防造成短路或失火。5.6.10計算機(jī)桌面要保持清潔，不得將秘密和(或)受控文件直接放置在桌面；計算機(jī)桌面必須設(shè)置屏幕保護(hù)，恢復(fù)時需用密碼確認(rèn)(執(zhí)行密碼口令管理規(guī)定)。鎖屏?xí)r間可根據(jù)自己工作習(xí)慣設(shè)置鎖屏?xí)r間，但最高不得高于5分鐘。5.7網(wǎng)絡(luò)安全使用的要求6信息處理設(shè)施的日常點(diǎn)檢6.1計算機(jī)的日常點(diǎn)檢備份是否正常進(jìn)行等。點(diǎn)檢的流程、責(zé)任、項目、點(diǎn)檢周期和記錄表詳由部門制定。如出現(xiàn)在檢查期人員外出等不在崗情況，需要在返回工作崗位時，XXX有限公司文件名稱頁碼文件編號6.2網(wǎng)絡(luò)設(shè)備的管理與維護(hù)6.3點(diǎn)檢策略網(wǎng)絡(luò)邊界訪問控制系統(tǒng)的系統(tǒng)審核、賬號審核和應(yīng)用現(xiàn)象，對所有可疑或經(jīng)確認(rèn)的入侵行為和入侵企圖需及時匯報并采取相應(yīng)的措設(shè)備類型日志內(nèi)容期期服務(wù)系統(tǒng)對外提供服務(wù)的a)用戶標(biāo)識符(ID);≥6個月≤2周直接用于設(shè)計、≤2周XXX有限公司文件名稱頁碼文件編號存儲、檢測的控制、管理和查詢系統(tǒng)b)登錄和注銷事件；c)若可能，終端位d)成功的失敗的登錄試圖。月全公司辦公系統(tǒng)≥6個月≤5周部門內(nèi)部服務(wù)器≥6個月≤5周其他服務(wù)器≥6個月≤5周防火墻和路由器系統(tǒng)配置更改日志≥1個月≤5周訪問日志(方向、流≥1個月≤5周關(guān)b)登錄和注銷事件；c)終端位置；d)成功的失敗的登錄試圖?！?周≤1周入侵檢測系統(tǒng)異常網(wǎng)絡(luò)連接的時間、IP、入侵類型≥3個月≤5周遠(yuǎn)程訪問系統(tǒng)b)登錄和注銷事件；c)終端位置；d)成功的失敗的登錄試圖?！?個月≤5周XXX有限公司文件名稱頁碼文件編號6.3.6XX部網(wǎng)絡(luò)管理員根據(jù)系統(tǒng)的安全要求確認(rèn)其日志內(nèi)容、保存周期、檢6.3.7XX部網(wǎng)絡(luò)管理員配置日志系統(tǒng)，并定期檢查日志內(nèi)容，評審安全情況。6.4資料的保存6.4.1設(shè)備的技術(shù)資料由設(shè)備所在的部門交由行政部保存并建立《受控文件和6.4.2設(shè)備廠商對設(shè)備進(jìn)行維修后提供的維修(維護(hù))記錄單，由XX部保存，6.5網(wǎng)絡(luò)掃描工具的安全使用管理6.5.1對網(wǎng)絡(luò)掃描工具的使用，必須得到管理者代表的授權(quán)，并保存使用的記涉及應(yīng)用系統(tǒng)軟件的開發(fā)(包括外包軟件開發(fā))的項目，還需執(zhí)行《系統(tǒng)XXX有限公司文件名稱頁碼文件編號8相關(guān)文件記錄名稱保存部門保存期限3年《日志檢查評審記錄》5年3年3年文件名稱頁碼文件編號1適用本規(guī)定適用于本公司的正式員工和借用員工聘用、任職期間及離職的安全考察與保密控制以及其他相關(guān)人員(合同方、臨時員工)的安全考察2目的為防止品質(zhì)不良或不具備一定技能的人員進(jìn)入本公司，或不具備一定資格條件的員工被安排在關(guān)鍵或重要崗位，降低員工所帶來人為差錯、盜3職責(zé)3.1行政部負(fù)責(zé)員工聘用、任職期間及離職的安全考察管理及保密協(xié)議的簽訂及其他相關(guān)人員(合同方、臨時員工)的安全考察與控制。3.2各部門負(fù)責(zé)本部門員工的日?？疾旃芾砉ぷ?。4員工錄用4.1人員考察策略4.1.1所有員工在正式錄用(借用)前應(yīng)進(jìn)行以下方面考察：b)應(yīng)聘者學(xué)歷、個人簡歷的檢查(完整性和準(zhǔn)確性);d)身份的查驗。XXX有限公司頁碼文件編號4.2對錄用(借用)人員的考察4.2.1行政部對擬錄用(借用)人員重點(diǎn)進(jìn)行以下方面考察：a)根據(jù)應(yīng)聘資料及面試情況初判應(yīng)聘b)根據(jù)應(yīng)聘者人事經(jīng)歷的記載，了解是否有重大懲戒及犯4.2.3在考察中發(fā)現(xiàn)應(yīng)聘者存在不良傾向的，將不予錄用(借用)。5.3部門在員工離職后要采取相應(yīng)的技術(shù)防范措施(如變更口令、程序等),必要時應(yīng)與信息科技部協(xié)調(diào)。文件名稱頁碼文件編號6離職程序6.1員工必須在離職日前30天向本部門部長提出書面離職報告。見表》,簽署意見后送行政部。職員工在離職日前必須把擔(dān)當(dāng)?shù)牟块T工作移交完畢。6.5辦理離職手續(xù)續(xù)，各相關(guān)部門負(fù)責(zé)按照《用戶訪問控制程序》取消離職員工的訪問權(quán)限。手冊》交于離職者。文件名稱頁碼文件編號文件名稱頁碼文件編號威懾，強(qiáng)化全體員工的信息安全意識，有效防止信息安全事故的發(fā)生，特制定無4.2管理者代表負(fù)責(zé)對IT方面信息安全事故的獎懲管理。4.3信息安全管理委員會負(fù)責(zé)決定重大信息安全和事故的處罰。4.4系統(tǒng)管理員負(fù)責(zé)本公司內(nèi)部泄密或信息泄漏的調(diào)查。文件名稱頁碼文件編號5.1.1在計算機(jī)信息系統(tǒng)安全保護(hù)工作中成績顯著的單位和個人，由人事部給5.1.2存在計算機(jī)信息系統(tǒng)安全隱患，由人事部發(fā)出整改通知，限期整改。因XXX有限公司頁碼文件編號5.2計算機(jī)應(yīng)用與管理違規(guī)行為處罰規(guī)定5.2.1計算機(jī)應(yīng)用、維護(hù)及操作人員違反規(guī)定的，給予經(jīng)濟(jì)處罰或者警告至降5.2.2違反規(guī)定，擅自編制、使用、修改業(yè)務(wù)應(yīng)用程序、調(diào)整系統(tǒng)參數(shù)和業(yè)務(wù)5.2.3利用計算機(jī)進(jìn)行違法違規(guī)活動或者為違法違規(guī)活動提供條件的，給予主5.2.4違反規(guī)定，有下列危害網(wǎng)絡(luò)安全公司為之一的，給予有關(guān)責(zé)任人員經(jīng)濟(jì)其他系統(tǒng)和網(wǎng)絡(luò)的(含從的一個業(yè)務(wù)系統(tǒng)進(jìn)入另一個業(yè)務(wù)系統(tǒng)，從以外的系統(tǒng)5.2.5利用的計算機(jī)設(shè)備和網(wǎng)絡(luò)系統(tǒng)制造、傳播計算機(jī)病毒，給予主管人員和XXX有限公司頁碼文件編號5.2.6計算機(jī)房值班人員擅自離崗的，給予經(jīng)濟(jì)處罰或者警告處分；造成嚴(yán)重5.2.7系統(tǒng)管理和操作人員離開主機(jī)或者終端時沒有按操作規(guī)程退出系統(tǒng)的，5.2.8違反規(guī)定將屬于的計算機(jī)軟件、文檔、資料、客戶信息等據(jù)為己有、復(fù)制或者借給外單位的，給予有關(guān)責(zé)任人員記過至撤職處分；造成嚴(yán)重后果的，5.2.9未按規(guī)定進(jìn)行數(shù)據(jù)備份、沒有妥善保管備份數(shù)據(jù)或備分?jǐn)?shù)據(jù)無效的，給予主管人員和其他責(zé)任人員經(jīng)濟(jì)處罰或者警告至記過處分；造成嚴(yán)重5.2.10在對面向客戶的業(yè)務(wù)應(yīng)用系統(tǒng)管5.2.11在業(yè)務(wù)應(yīng)用系統(tǒng)有關(guān)的各項業(yè)務(wù)作，或業(yè)務(wù)員允許技術(shù)人員代替從事業(yè)務(wù)操作，給予主管人員和其他責(zé)任人員5.2.12偽造信息的，給予主管人員和其他責(zé)任人員警告至降級處分；造成嚴(yán)重文件名稱頁碼文件編號5.3計算機(jī)信息類違規(guī)處罰5.3.1本公司職工違規(guī)操作，給系統(tǒng)造成一定的影響，但沒有影響業(yè)務(wù)正常運(yùn)行或?qū)I(yè)務(wù)造成輕微危害者，給當(dāng)事人警告或嚴(yán)重警告、情節(jié)較重或嚴(yán)重視情節(jié)輕重給予當(dāng)事人和主管領(lǐng)導(dǎo)200元以上1000元以下罰款。5.3.2本公司職工違規(guī)操作導(dǎo)致系統(tǒng)發(fā)生問題，影響業(yè)務(wù)長時間正常運(yùn)行，視5.3.3系統(tǒng)管理員凡是不按要求管理，出現(xiàn)公網(wǎng)和內(nèi)網(wǎng)混網(wǎng)現(xiàn)象，或其它安全問題，一經(jīng)發(fā)現(xiàn)，除全公司通報批評外，處以200元罰款，情節(jié)嚴(yán)重者，調(diào)離通報批評外，處以當(dāng)事人和相關(guān)責(zé)任人200元罰款，若對系統(tǒng)或業(yè)務(wù)造成影響著，視情節(jié)輕重，處以500以上10000元以下罰款。XXX有限公司文件名稱頁碼文件編號5.4獎懲記錄XXX有限公司文件名稱頁碼文件編號5.5證據(jù)的收集5.5.1當(dāng)信息安全事件涉及到訴訟(民事的或刑事的),需要進(jìn)一步對個人或組5.5.2證據(jù)在收集時不得侵犯個人權(quán)益，應(yīng)在不侵犯個人權(quán)益時對證據(jù)進(jìn)行收5.5.3應(yīng)保證證據(jù)的質(zhì)量和完備性，防止未被授權(quán)的篡改和泄漏。5.5.4證據(jù)獲得的保證：本公司應(yīng)確保收集證據(jù)其信息系統(tǒng)符合任何公布的標(biāo)文件名稱頁碼文件編號5.6證據(jù)的保存及提供5.6.1提供證據(jù)的份量應(yīng)符合任何適用的要求。對該證據(jù)的存儲和處理的整個5.6.2紙面文檔證據(jù)的提供：原物應(yīng)被安全保存且?guī)в邢铝行畔⒌挠涗洠赫l發(fā)現(xiàn)了這個文檔，文檔是在哪兒被發(fā)現(xiàn)的，文檔是什么時候被發(fā)現(xiàn)的，誰來證明5.6.3對計算機(jī)介質(zhì)上的信息：任何可移動介質(zhì)的鏡像或拷貝(依賴于適用的應(yīng)保存下來，且應(yīng)有證據(jù)證明該過程；原始的介質(zhì)和日志(如果這一點(diǎn)不可能的話，那么至少有一個鏡像或拷貝)應(yīng)安全保存且不能改變5.6.4任何法律取證工作應(yīng)僅在證據(jù)材料的拷貝上進(jìn)行。所有證據(jù)材料的完整什么地方執(zhí)行的拷貝過程，誰執(zhí)行的拷貝活動，以及使用了哪種工具和程序，XXX有限公司文件名稱頁碼文件編號3.職責(zé)與權(quán)限3.1最高管理者3.2綜合部4.相關(guān)文件無6.適用性聲明XXX有限公司文件名稱頁碼文件編號標(biāo)準(zhǔn)條款號標(biāo)題目標(biāo)制是否選擇信息安全管理指引目標(biāo)提供符合有關(guān)法律法規(guī)和業(yè)務(wù)需求的信信息安全方針控制信息安全方針應(yīng)由管理才批準(zhǔn)發(fā)布。信息安全方針的評審控制確保方針持續(xù)的適應(yīng)性?！豆芾碓u審控制程序》標(biāo)準(zhǔn)條款號標(biāo)題目標(biāo)/控制是否選擇信息安全組織目標(biāo)信息安全的角色和職責(zé)控制保持特定資產(chǎn)和完成特定安全過程的所有信息安全職責(zé)職責(zé)分離控制分離有沖突的職責(zé)和責(zé)任范圍，以減少對組織資產(chǎn)未經(jīng)授權(quán)訪問、無意修改或誤用的機(jī)會。與監(jiān)管機(jī)構(gòu)的聯(lián)系控制與相關(guān)監(jiān)管機(jī)構(gòu)保與特殊利益團(tuán)體的聯(lián)系控制與特殊利益團(tuán)體、其他專業(yè)安全協(xié)會或行業(yè)協(xié)會應(yīng)保持適項目管理中的信息安全控制實(shí)施任何項目時應(yīng)考慮信息安全相關(guān)XXX有限公司文件名稱頁碼文件編號標(biāo)準(zhǔn)條款號標(biāo)題目標(biāo)/控制是否選擇移動設(shè)備和遠(yuǎn)程辦公目標(biāo)確保遠(yuǎn)程辦公和使用移動設(shè)備的安全性移動設(shè)備策略控制采取安全策略和配套的安全措施管控使用移動設(shè)備定》《介質(zhì)管理程序》遠(yuǎn)程辦公控制標(biāo)準(zhǔn)條款號標(biāo)題目標(biāo)/控制是否選擇聘用前目標(biāo)確保員工、合同方人員適合他們所承擔(dān)的角色并理解他們的安全責(zé)任1人員篩選控制通過人員考察，防止人員帶來的信息安《人力資源安全2雇傭條款和條件控制履行信息安全保密協(xié)議是雇傭人員的《人力資源安全聘用期間目標(biāo)確保員工和合同方了解并履行他們的信l管理職責(zé)控制缺乏管理職責(zé)，會使人員意識淡薄，從而對組織造成負(fù)面安《信息安全管理《人力資源安全2信息安全意識、教育和培訓(xùn)控制信息安全意識及必要的信息系統(tǒng)操作技能培訓(xùn)是信息安《人力資源安全XXX有限公司文件名稱頁碼文件編號標(biāo)準(zhǔn)條款號標(biāo)題目標(biāo)制是否選擇3懲戒過程控制對造成安全破壞的員工應(yīng)該有一個正聘用中止和變化目標(biāo)1任用終止或變更的責(zé)任控制應(yīng)定義信息安全責(zé)任和義務(wù)在任用終止或變更后仍然有效，并向員工和合同方傳達(dá)并執(zhí)行，標(biāo)準(zhǔn)條款號標(biāo)題/目標(biāo)控制/是否選擇資產(chǎn)責(zé)任目標(biāo)1資產(chǎn)清單控制建立重要資產(chǎn)清單《信息安全風(fēng)險評估控制程序》《重要資產(chǎn)清單》2資產(chǎn)責(zé)任人控制對所有的與信息處理設(shè)施有關(guān)的信息和資產(chǎn)指定“所有者”《信息安全風(fēng)險《資產(chǎn)清單》《信息處理設(shè)施XXX有限公司文件名稱頁碼文件編號標(biāo)準(zhǔn)條款號是否選擇3資產(chǎn)的合理使用控制識別與信息系統(tǒng)或服務(wù)相關(guān)的資產(chǎn)的合理使用規(guī)則，并將其文件化，并予以實(shí)施?！缎畔⑻幚碓O(shè)施4資產(chǎn)的歸還控制終止后，所有員工和外部方人員應(yīng)退還織資產(chǎn)。《人力資源安全信息分類目標(biāo)我司根據(jù)信息的敏感性對信息進(jìn)行分類，明確保護(hù)要求、優(yōu)先權(quán)和等級，以確保對資產(chǎn)采取適當(dāng)?shù)谋Ｗo(hù)。1分類指南控制我司的信息安全涉及信息的敏感性，適當(dāng)?shù)姆诸惪刂剖潜?信息標(biāo)識控制按分類方案進(jìn)行標(biāo)注并規(guī)定信息處理3資產(chǎn)處理控制根據(jù)組織采用的資產(chǎn)分類方法制定和實(shí)施資產(chǎn)處理程序《信息處理設(shè)施介質(zhì)處理目標(biāo)防止存儲在介質(zhì)上的信息被非授權(quán)泄1可移動介質(zhì)管理控制信息的磁盤、磁帶、移動介質(zhì)。2介質(zhì)處置控制對含有敏感信息介質(zhì)采用安全的處置物理介質(zhì)傳控含有信息的介質(zhì)應(yīng)《信息交換管理XXX有限公司文件名稱頁碼文件編號標(biāo)準(zhǔn)條款號/目標(biāo)控制/是否選擇3輸制在運(yùn)輸過程中的損壞。標(biāo)準(zhǔn)條款號標(biāo)題是否選擇訪問控制的業(yè)務(wù)需求目標(biāo)限制對信息和信息處理設(shè)施的訪問1訪問控制策略控制建立文件化的訪問務(wù)和安全要求對策《用戶訪問控制2對網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問控制制定策略，明確用戶務(wù)的范圍，防止非授權(quán)的網(wǎng)絡(luò)訪問?！队脩粼L問控制用戶訪問管理目標(biāo)確保已授權(quán)用戶的訪問，預(yù)防對系統(tǒng)和服務(wù)的非授權(quán)訪問。1用戶注冊和注銷控制我司存在多用戶信息系統(tǒng)，應(yīng)建立用戶登記和注銷登記程《用戶訪問控制2用戶訪問權(quán)限提供控制應(yīng)有正式的用戶訪問分配程序，以分配和撤銷對于所有信息系統(tǒng)及服務(wù)的訪《用戶訪問控制3特權(quán)管理控制應(yīng)對特權(quán)帳號進(jìn)行管理，特權(quán)不適當(dāng)?shù)氖褂脮斐上到y(tǒng)的《用戶訪問控制XXX有限公司文件名稱頁碼文件編號標(biāo)準(zhǔn)條款號標(biāo)題是否選擇4用戶認(rèn)證信息的安全管理控制用戶鑒別信息的權(quán)限分配應(yīng)通過一個正式的管理過程進(jìn)5用戶訪問權(quán)限的評審控制防止非授權(quán)的訪問。6撤銷或調(diào)整訪問權(quán)限控制包商人員的就業(yè)合整后，應(yīng)相應(yīng)得刪除或調(diào)整其信息和信用戶責(zé)任目標(biāo)1認(rèn)證信息的使用控制應(yīng)要求用戶遵循組織的規(guī)則使用其認(rèn)系統(tǒng)和應(yīng)用訪問控制目標(biāo)防止對系統(tǒng)和應(yīng)用的未授權(quán)訪問1信息訪問限制控制我司信息訪問權(quán)限是根據(jù)業(yè)務(wù)運(yùn)做的需要及信息安全考慮所規(guī)定的，系統(tǒng)的訪問功能應(yīng)加以限2安全登錄程序控制對操作系統(tǒng)的訪問應(yīng)有安全登錄程序XXX有限公司文件名稱頁碼文件編號標(biāo)準(zhǔn)條款號標(biāo)題控制是否選擇3密碼管理系統(tǒng)控制為減少非法訪問操作系統(tǒng)的機(jī)會，應(yīng)對密碼進(jìn)行管理。4特權(quán)程序的使用控制對特權(quán)程序的使用應(yīng)嚴(yán)格控制，防止惡5對程序源碼的訪問控制控制對程序源代碼的訪標(biāo)準(zhǔn)條款號標(biāo)題是否選擇加密控制目標(biāo)使用加密控制的策略控制為保護(hù)信息，應(yīng)開發(fā)并實(shí)施加密控制的使用策略密鑰管理控制應(yīng)進(jìn)行密鑰管理，以支持公司對密碼技術(shù)的使用標(biāo)準(zhǔn)條款號標(biāo)題/目標(biāo)控制是否選擇安全區(qū)域目標(biāo)物理安全邊控我司有包含重要信《安全區(qū)域控制XXX有限公司文件名稱頁碼文件編號標(biāo)準(zhǔn)標(biāo)準(zhǔn)條款號標(biāo)題目標(biāo)/控制是否選擇界制息及信息處理設(shè)施的區(qū)域，應(yīng)確定其安全周界對其實(shí)施保物理進(jìn)入控制控制安全區(qū)域進(jìn)入應(yīng)經(jīng)過授權(quán)，未經(jīng)授權(quán)的非法訪問會對信息安全構(gòu)成威脅?！栋踩珔^(qū)域控制辦公室、房間及設(shè)施的安全控制對安全區(qū)域內(nèi)的綜合管理部、房間和設(shè)施應(yīng)有特殊的安全要求?！栋踩珔^(qū)域控制防范外部和環(huán)境威脅控制加強(qiáng)我司物理安全控制，防范火災(zāi)、水災(zāi)、地震，以及其它形式的自然或人為《安全區(qū)域控制在安全區(qū)域工作控制在安全區(qū)域工作的人員只有嚴(yán)格遵守安全規(guī)則，才能保證安全區(qū)域安全?！栋踩珔^(qū)域控制送貨和裝卸區(qū)控制對未經(jīng)授權(quán)的人員可能訪問到的地點(diǎn)人員直接進(jìn)入重要《安全區(qū)域控制設(shè)備安全目標(biāo)防止資產(chǎn)的遺失、損壞、偷竊等導(dǎo)致的設(shè)備安置及保護(hù)控制防止火災(zāi)、吸煙、油威脅。《信息處理設(shè)施XXX有限公司文件名稱頁碼文件編號標(biāo)準(zhǔn)條款號標(biāo)題是否選擇支持設(shè)施控制對設(shè)備加以保護(hù)使其免于電力中斷或者其它支持設(shè)施故障而導(dǎo)致的中斷的《信息處理設(shè)施線纜安全控制通信電纜、光纜需要進(jìn)行正常的維護(hù)，以防止偵聽和損壞?！毒W(wǎng)絡(luò)安全管理設(shè)備維護(hù)控制設(shè)備保持良好的運(yùn)行狀態(tài)是保持信息的完整性及可用性《信息處理設(shè)施資產(chǎn)轉(zhuǎn)移控制設(shè)備、信息、軟件未經(jīng)授權(quán)之前，不應(yīng)將設(shè)備、信息或軟件帶到場所外。《信息處理設(shè)施場外設(shè)備和資產(chǎn)安全控制我司有筆記本移動公場所應(yīng)進(jìn)行控制，授權(quán)的訪問等危害《信息處理設(shè)施設(shè)備報廢或重用控制對我司儲存有關(guān)敏感信息的設(shè)備，如服務(wù)器、硬盤，對其處置和再利用應(yīng)將其《信息處理設(shè)施無人值守的設(shè)備控制確保無人值守設(shè)備得到足夠的保護(hù)。《計算機(jī)管理規(guī)桌面清空及清屏策略控制不實(shí)行清除桌面或清除屏幕策略，會受到資產(chǎn)丟失、失竊或《計算機(jī)管理規(guī)XXX有限公司文件名稱頁碼文件編號標(biāo)準(zhǔn)條款號標(biāo)題目標(biāo)/控制是否選擇遭到非法訪問的威標(biāo)準(zhǔn)條款號標(biāo)題/目標(biāo)控制/是否選擇操作程序及職責(zé)1文件化操作程序制作業(yè)程序應(yīng)該文件化，并在需要時可2變更管理控制未加以控制的信息處理設(shè)備和系統(tǒng)更改會造成系統(tǒng)故障和安全故障。3容量管理控制為避免因系統(tǒng)容量不足導(dǎo)致系統(tǒng)故障，監(jiān)控容量需求并規(guī)劃將來容量是4開發(fā)、測試與運(yùn)行環(huán)境的分離控制我司設(shè)有研發(fā)部門，應(yīng)分離開發(fā)、測試和運(yùn)營設(shè)施，以降低未授權(quán)訪問或?qū)Σ僮飨到y(tǒng)變更的風(fēng)險防范惡意軟件目標(biāo)確保對信息和信息處理設(shè)施的保護(hù)，防1控制惡意軟件控制惡意軟件的威脅是客觀存在的，應(yīng)實(shí)施惡意代碼的監(jiān)測、預(yù)防和恢復(fù)控制，以及適當(dāng)?shù)挠脩粢庾R培訓(xùn)的程文件名稱頁碼文件編號標(biāo)準(zhǔn)條款號是否選擇序。備份目標(biāo)防止數(shù)據(jù)丟失1數(shù)據(jù)備份控制對重要信息和軟件定期備份是必須的，以防止信息和軟件的丟失和不可用，及支持業(yè)務(wù)可持續(xù)性?！稊?shù)據(jù)備份管理日志記錄和監(jiān)控目標(biāo)記錄事件和生成的證據(jù)1事件日志控制為訪問監(jiān)測提供幫助，建立事件日志(審核日志)是必須2日志信息保護(hù)控制日志記錄設(shè)施以及日志信息應(yīng)該被保護(hù)，防止被篡改和未經(jīng)授權(quán)的訪問。3管理員和操作者日志控制應(yīng)根據(jù)需要，記錄系統(tǒng)管理員和系統(tǒng)操作員的活動。4時鐘同步控制實(shí)施時鐘同步，是生產(chǎn)、經(jīng)營與獲取客觀證據(jù)的需要。運(yùn)營中軟件控制目標(biāo)1運(yùn)營系統(tǒng)的軟件安裝控制應(yīng)建立程序?qū)\(yùn)營中的系統(tǒng)的軟件安裝進(jìn)行控制。技術(shù)漏洞管理目標(biāo)防止技術(shù)漏洞被利用。1管理技術(shù)薄弱點(diǎn)控制及時獲得正在使用信息系統(tǒng)的技術(shù)薄XXX有限公司文件名稱頁碼文件編號標(biāo)準(zhǔn)條款號標(biāo)題是否選擇弱點(diǎn)的相關(guān)信息，應(yīng)評估對這些薄弱點(diǎn)的暴露程度，并采取適當(dāng)?shù)姆椒ㄌ?限制軟件安裝控制應(yīng)建立和實(shí)施用戶信息系統(tǒng)審計的考慮因素目標(biāo)1信息系統(tǒng)審核控制控制應(yīng)謹(jǐn)慎策劃對系統(tǒng)運(yùn)行驗證所涉及的審核要求和活動并獲得許可，以最小化中斷業(yè)務(wù)過《內(nèi)部審核控制標(biāo)準(zhǔn)條款號標(biāo)題是否選擇網(wǎng)絡(luò)安全管理目標(biāo)確保網(wǎng)絡(luò)及信息處理設(shè)施中信息的安全。網(wǎng)絡(luò)控制控制應(yīng)對網(wǎng)絡(luò)進(jìn)行管理和控制，以保護(hù)系統(tǒng)和應(yīng)用程序的信息。網(wǎng)絡(luò)服務(wù)安全控制務(wù)的安全機(jī)制、服務(wù)等級和管理要求，并議中，無論這種服務(wù)XXX有限公司文件名稱頁碼文件編號標(biāo)準(zhǔn)條款號目控制是否選擇是由內(nèi)部提供的還是外包的。網(wǎng)絡(luò)隔離控制應(yīng)在網(wǎng)絡(luò)中按組隔信息系統(tǒng)。信息交換目標(biāo)信息交換策略和程序控制策略、程序和控制，以保護(hù)通過通訊設(shè)施傳輸?shù)乃蓄愋托畔⒔粨Q協(xié)議控制建立組織和外部各方之間的業(yè)務(wù)信息的安全傳輸協(xié)議。3電子消息控制應(yīng)適當(dāng)保護(hù)電子消《信息交換管理程序》保密或不披露協(xié)議控制應(yīng)制定并定期評審組織的信息安全保密協(xié)議或不披露協(xié)議，該協(xié)議應(yīng)反映織對信息保護(hù)的要求。A.14系統(tǒng)的獲取、開發(fā)及維護(hù)標(biāo)準(zhǔn)條款號標(biāo)題目標(biāo)/控制是否選擇信息系統(tǒng)安全需求確保信息安全成為信息系統(tǒng)整個生命周期的組成部分，包括通過公共網(wǎng)絡(luò)提供信息安全需求分析和規(guī)范控制新建信息系統(tǒng)或增強(qiáng)現(xiàn)有信息系統(tǒng)的需求中應(yīng)包括信息《網(wǎng)絡(luò)安全管理《技術(shù)符合性管理規(guī)定》公共網(wǎng)絡(luò)應(yīng)控應(yīng)保護(hù)流經(jīng)公共網(wǎng)《網(wǎng)絡(luò)安全管理XXX有限公司文件名稱頁碼文件編號標(biāo)準(zhǔn)標(biāo)準(zhǔn)條款號標(biāo)題目標(biāo)/控制是否選擇用服務(wù)的安全制以防止欺詐、合同爭議、未授權(quán)的泄漏和修改。保護(hù)應(yīng)用服務(wù)控制應(yīng)保護(hù)應(yīng)用服務(wù)傳不完整的傳輸、路由錯誤、未授權(quán)的消息修改、未經(jīng)授權(quán)的泄漏、未授權(quán)的信息復(fù)制和重放?！毒W(wǎng)絡(luò)安全管理開發(fā)和支持過程的安全目標(biāo)確保信息系統(tǒng)開發(fā)生命周期中設(shè)計和實(shí)施信息安全。開發(fā)的安全策略控制應(yīng)對軟件開發(fā)及系統(tǒng)建設(shè)的安全需求《軟件開發(fā)安全系統(tǒng)變更控制程序控制為防止未授權(quán)或不充分的更改，導(dǎo)致系實(shí)施嚴(yán)格更改控制。操作平臺變更后的技術(shù)評審控制操作系統(tǒng)的不充分更改對應(yīng)用系統(tǒng)會造成嚴(yán)重的影響。軟件包變更限制控制不鼓勵對軟件包進(jìn)行變更，對必要的更改需嚴(yán)格控制。安全系統(tǒng)工程原則控制應(yīng)建立、文件化、維護(hù)和應(yīng)用安全系統(tǒng)工程原則，并應(yīng)用于任何信息系《軟件開發(fā)安全開發(fā)環(huán)境安全控制在整個系統(tǒng)開發(fā)生命周期的系統(tǒng)開發(fā)和集成工作中，應(yīng)建立并妥善保障開《軟件開發(fā)安全外包開發(fā)控制XXX有限公司文件名稱頁碼文件編號標(biāo)準(zhǔn)條款號標(biāo)題目控制是否選擇系統(tǒng)安全測試在開發(fā)過程中，應(yīng)進(jìn)系統(tǒng)驗收測試應(yīng)建立新信息系統(tǒng)、系統(tǒng)升級及新版本的驗收測試程序和相關(guān)準(zhǔn)則。測試數(shù)據(jù)目標(biāo)測試數(shù)據(jù)的保護(hù)控制應(yīng)謹(jǐn)慎選擇測試數(shù)據(jù)，并加以保護(hù)和控制。A.15供應(yīng)商關(guān)系標(biāo)準(zhǔn)條款號標(biāo)題是否選擇供應(yīng)商關(guān)系的信息安全目標(biāo)l供應(yīng)商關(guān)系的信息安全策略控制為降低供應(yīng)商使用組織的資產(chǎn)相關(guān)的風(fēng)險，應(yīng)與供應(yīng)商簽署安全要求的文《保密協(xié)議》2在供應(yīng)商協(xié)議中強(qiáng)調(diào)安全控制與每個供應(yīng)商簽訂的協(xié)議中應(yīng)覆蓋所有相關(guān)的安全要求。如可能涉及對組織的IT基礎(chǔ)設(shè)施組件、信息的訪問、處理、存儲、《保密協(xié)議》3信息和通信技術(shù)的供應(yīng)鏈控制供應(yīng)商協(xié)議應(yīng)包括信息、通信技術(shù)服務(wù)和產(chǎn)品供應(yīng)鏈的相關(guān)信息安全風(fēng)《保密協(xié)議》XXX有限公司文件名稱頁碼文件編號標(biāo)準(zhǔn)條款號標(biāo)題是否選擇供應(yīng)商服務(wù)交付管理目標(biāo)保持符合供應(yīng)商協(xié)議的信息安全和服1供應(yīng)商服務(wù)的監(jiān)督和評審控制組織應(yīng)定期監(jiān)督、評審和審核供應(yīng)商2供應(yīng)商服務(wù)的變更管理控制應(yīng)管理供應(yīng)商服務(wù)的變更，包括保持和改進(jìn)現(xiàn)有信息安全策略、程序和控制措施，考慮對業(yè)務(wù)信息、系統(tǒng)、過程的關(guān)鍵性和風(fēng)險標(biāo)準(zhǔn)條款號標(biāo)題/目標(biāo)控制/是否選擇信息安全事件的管理和改進(jìn)確保網(wǎng)絡(luò)及信息處理設(shè)施中信息的安全。1職責(zé)和程序控制應(yīng)建立管理職責(zé)和程序，以快速、有效和有序的響應(yīng)信息安全事件。2報告信息安全事態(tài)控制應(yīng)通過適當(dāng)?shù)墓芾硗緩奖M快報告信息安全事態(tài)。3報告信息安全弱點(diǎn)控制應(yīng)要求使用組織信息系統(tǒng)和服務(wù)的員工和承包商注意并XXX有限公司文件名稱頁碼文件編號標(biāo)準(zhǔn)條款號標(biāo)題是否選擇報告系統(tǒng)或服務(wù)中任何已發(fā)現(xiàn)或疑似的信息安全弱點(diǎn)。4評估和決策信息安全事件控制應(yīng)評估信息安全事件，以決定其是否被認(rèn)定為信息安全5響應(yīng)信息安全事故控制應(yīng)按照文件化程序響應(yīng)信息安全事6從信息安全事故中學(xué)習(xí)控制分析和解決信息安全事故獲得的知識應(yīng)用來減少未來事故的可能性或影7收集證據(jù)控制采集和保存可以作為證據(jù)的信息。標(biāo)準(zhǔn)條款號標(biāo)題目控制是否選擇信息安全的連續(xù)性信息安全連續(xù)性應(yīng)嵌入到組織的業(yè)務(wù)1規(guī)劃信息安全的連續(xù)性組織應(yīng)確定其需求，以保證在不利情況下信息安全管理的安全和連續(xù)性，如在危機(jī)或災(zāi)《業(yè)務(wù)持續(xù)性管2實(shí)施信息安全的連續(xù)性控制組織應(yīng)建立、文件化、實(shí)施、維護(hù)程序和控制過程，以《業(yè)務(wù)持續(xù)性管XXX有限公司文件名稱頁碼文件編號標(biāo)準(zhǔn)條款號標(biāo)題是否選擇確保處理不利的情況過程中所需的信息安全連續(xù)性水3驗證，評審和評估信息安全的連續(xù)性控制組織應(yīng)定期驗證已建立并實(shí)施的信息安全連續(xù)性控制，以確保其有效并可在災(zāi)害情況下奏冗余目標(biāo)l信息處理設(shè)施的可用性控制信息處理設(shè)施應(yīng)具備足夠的冗余以滿標(biāo)準(zhǔn)條款號標(biāo)題是否選擇法律和合同規(guī)定的符合性目標(biāo)1識別適用的法律法規(guī)和合同要求控制應(yīng)清楚的識別所有相關(guān)法律、法規(guī)與合同的要求及組織滿足要求的方法并形成文件，并針對組織及每個信息系統(tǒng)進(jìn)行更新。2知識產(chǎn)權(quán)控制應(yīng)實(shí)施適當(dāng)?shù)某绦颍源_保對知識產(chǎn)權(quán)軟件產(chǎn)品的使用符合相關(guān)的法律、法規(guī)和合同要文件名稱頁碼文件編號標(biāo)準(zhǔn)條款號標(biāo)題/目標(biāo)控制是否選擇3保護(hù)記錄控制應(yīng)按照法律法規(guī)、合同和業(yè)務(wù)要求，保護(hù)記錄免受損壞、破壞、未授權(quán)訪問和未授權(quán)發(fā)布，或偽造篡改?！缎畔踩录?個人信息和隱私的保護(hù)控制個人身份信息和隱私的保護(hù)應(yīng)滿足相關(guān)法律法規(guī)的要5加密控制法規(guī)控制加密控制的使用應(yīng)遵循相關(guān)的協(xié)議、法律法規(guī)?！队脩粼L問控制信息安全評審目標(biāo)確保依照組織的策略和程序?qū)嵤┬畔?信息安全的獨(dú)立評審控制應(yīng)定期或發(fā)生重大變化時，對組織的信息安全管理方法(如，信息安全控制目標(biāo)、控制措施、策略、過程和程序)進(jìn)行獨(dú)立評審?！秲?nèi)部審核控制2符合安全策略和標(biāo)準(zhǔn)控制管理層應(yīng)定期評審管轄范圍內(nèi)的信息處理過程符合安全策略、標(biāo)準(zhǔn)及其《管理評審控制3技術(shù)符合性評審控制應(yīng)定期評審信息系統(tǒng)與組織的信息安全策略、標(biāo)準(zhǔn)的符《技術(shù)符合性管文件名稱頁碼文件編號3.0定義(無)XXX有限公司文件名稱頁碼文件編號XXX有限公司文件名稱頁碼文件編號職責(zé)是否否是重要資產(chǎn)清單威脅/脆弱性因素表風(fēng)險評估表殘余風(fēng)險清單安全措施實(shí)施計劃XXX有限公司文件名稱頁碼文件編號6.1.1各部門每年按照管理者代表的要求負(fù)責(zé)部門內(nèi)部資產(chǎn)的識別，確定6.1.2資產(chǎn)分類根據(jù)資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、文檔、服6.1.3資產(chǎn)(A)賦值析，選擇對資產(chǎn)機(jī)密性、完整性和可用性最為重要(分值最高)的一1)機(jī)密性賦值根據(jù)資產(chǎn)在機(jī)密性上的不同要求，將其分為五個不同的等級，分別對應(yīng)資產(chǎn)在機(jī)密性上的應(yīng)達(dá)成的不同程度或者機(jī)密性缺失時對整個賦值標(biāo)識定義5極高包含組織最重要的秘密，關(guān)系未來發(fā)展的前途命運(yùn)，對組織根本利益有著決定性影響，如果泄漏會造成災(zāi)難性的損害4高包含組織的重要秘密，其泄露會使組織的安全和利益遭受嚴(yán)重?fù)p害3中等包含組織的一般性秘密，其泄露會使組織的安全和利益受到損害2低包含僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息，向外擴(kuò)散有可能對組織的利益造成損害1可忽略包含可對社會公開的信息，公用的信息處理設(shè)備和系統(tǒng)資源等2)完整性賦值根據(jù)資產(chǎn)在完整性上的不同要求，將其分為五個不同的等級，分別XXX有限公司文件名稱頁碼文件編號對應(yīng)資產(chǎn)在完整性上的達(dá)成的不同程度或者完整性缺失時對整個組賦值標(biāo)識定義5極高完整性價值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會對組織造成重大的或無法接受的影響，對業(yè)務(wù)沖擊重大，并可能造成嚴(yán)重的業(yè)務(wù)中斷，難以彌補(bǔ)4高完整性價值較高，未經(jīng)授權(quán)的修改或破壞會對組織造成重大影響，對業(yè)務(wù)沖擊嚴(yán)重，比較難以彌補(bǔ)3中等完整性價值中等，未經(jīng)授權(quán)的修改或破壞會對組織造成影響，對業(yè)務(wù)沖擊明顯，但可以彌補(bǔ)2低完整性價值較低，未經(jīng)授權(quán)的修改或破壞會對組織造成輕微影響，可以忍受，對業(yè)務(wù)沖擊輕微，容易彌補(bǔ)1可忽略完整性價值非常低，未經(jīng)授權(quán)的修改或破壞對組織造成的影響可以忽略，對業(yè)務(wù)沖擊可以忽略3)可用性賦值根據(jù)資產(chǎn)在可用性上的不同要求，將其分為五個不同的等級，分別賦值標(biāo)識定義5極高可用性價值非常高，合法使用者對信息及信息系統(tǒng)的可用度達(dá)到年度99.9%以上4高可用性價值較高，合法使用者對信息及信息系統(tǒng)的可用度達(dá)到每天90%以上3中等可用性價值中等，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達(dá)到70%以上2低可用性價值較低，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達(dá)到25%以上1可忽略可用性價值可以忽略，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間低于25%3分以上為重要資產(chǎn)，重要信息資產(chǎn)由信息安全部確立清單6.2威脅識別6.2.1威脅分類XXX有限公司文件名稱頁碼文件編號6.2.2威脅(T)賦值評估者應(yīng)根據(jù)經(jīng)驗和(或)有關(guān)的統(tǒng)計數(shù)據(jù)來判斷威脅出現(xiàn)的頻率。威脅頻率等級劃分為五級，分別代表威脅出現(xiàn)的頻率的高低。等級數(shù)等級標(biāo)識定義5很高威脅出現(xiàn)的頻率很高，在大多數(shù)情況下幾乎不可避免或者可以證實(shí)經(jīng)常發(fā)生過(每天)4高威脅出現(xiàn)的頻率較高，在大多數(shù)情況下很有可能會發(fā)生或者可以證實(shí)多次發(fā)生過(每周)3威脅出現(xiàn)的頻率中等，在某種情況下可能會發(fā)生或被證實(shí)曾經(jīng)發(fā)生過(每月、曾經(jīng)發(fā)生過)2低威脅出現(xiàn)的頻率較小，一般不太可能發(fā)生，也沒有被證實(shí)發(fā)生過(每年)1很低威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生(特殊情況)6.3脆弱性識別6.3.1脆弱性識別內(nèi)容脆弱性識別主要從技術(shù)和管理兩個方面進(jìn)行，技術(shù)脆弱性涉及物理6.3.2脆弱性(V)嚴(yán)重程度賦值下表等級標(biāo)識定義5很高如果被威脅利用，將對資產(chǎn)造成完全損害(90%以上)XXX有限公司文件名稱頁碼文件編號4高如果被威脅利用，將對資產(chǎn)造成重大損害(70%)3中如果被威脅利用，將對資產(chǎn)造成一般損害(30%)2低如果被威脅利用，將對資產(chǎn)造成較小損害(10%)1很低如果被威脅利用，將對資產(chǎn)造成的損害可以忽略(10%以下)6.5風(fēng)險分析6.5.3風(fēng)險值R=(L*P),風(fēng)險等級風(fēng)險值風(fēng)險等級12345XXX有限公司文件名稱頁碼文件編號被威脅源利用后可能帶來的不利影響最小化(如使用防火墻、漏洞掃描系統(tǒng)等安全產(chǎn)品)。放棄系統(tǒng)某項功能或關(guān)閉系統(tǒng))來規(guī)避風(fēng)險。6.5.4.3風(fēng)險等級3(含)以上為不可接受風(fēng)險，3(不含)以下為可接6.6確定控制目標(biāo)、控制措施和對策作進(jìn)行優(yōu)先級排序。高等級(例如被定義為“非常高”或“高”風(fēng)險級的風(fēng)險)的風(fēng)險項應(yīng)該最優(yōu)先處理?！駥?shí)施成本效益分析●選擇安全措施●制定安全措施的實(shí)現(xiàn)計劃6.7殘余風(fēng)險的監(jiān)視與處理●技術(shù)；●業(yè)務(wù)目標(biāo)和過程；XXX有限公司文件名稱頁碼文件編號8.1《信息資產(chǎn)識別表》8.3《威脅/脆弱性因素表》8.5《安全措施實(shí)施計劃》XXX有限公司文件名稱頁碼文件編號通過驗證信息安全管理體系是否符合標(biāo)準(zhǔn)和策劃安排的要求，是否得到1)根據(jù)公司信息安全的實(shí)際運(yùn)行狀況，并根據(jù)審核對象重要程度、結(jié)合以2)根據(jù)需要，審核可覆蓋體系全部要求和單位，也可以專門針對某幾項要3)公司每年至少組織一次內(nèi)審，每年的審核必須覆蓋管理體系的全部單位和4)出現(xiàn)以下情況時由管理者代表決定是否增加審核次數(shù)：XXX有限公司文件名稱頁碼文件編號XXX有限公司文件名稱頁碼文件編號文件名稱頁碼文件編號施，報告措施的效果，經(jīng)審核員對實(shí)施結(jié)果跟蹤驗證，確保不符合不再發(fā)生，同時報告驗證結(jié)果，具體執(zhí)行《糾正預(yù)防措施控制程序》要求。五、相關(guān)文件及記錄審核計劃內(nèi)審檢查表首(末)次會議簽到表XXX有限公司文件名稱頁碼文件編號1適用適用于本公司各部門對惡意軟件(包括軟件的隱蔽通道)的控制管理工作。為防止各類惡意軟件(包括軟件的隱蔽通道)造成破壞，確保公司的軟件和3.1XX部是全公司惡意軟件管理控制工作的主管部門，負(fù)責(zé)全公司防病毒軟所謂惡意軟件，是指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能、毀文件名稱頁碼文件編號4.1.1在對外互聯(lián)的網(wǎng)絡(luò)間，IT部安裝防火墻、入侵檢測系統(tǒng)、使用加密程指定的網(wǎng)絡(luò)服務(wù)器上安裝企業(yè)版防病毒軟件；單獨(dú)成網(wǎng)或存在單機(jī)的部門，應(yīng)由本部門PC管理員或指定專人負(fù)責(zé)安裝防病毒軟件，并周期性(如每周)對病4.1.3XX部負(fù)責(zé)設(shè)置企業(yè)版防病毒服務(wù)器，每日通過互聯(lián)網(wǎng)自動進(jìn)行病毒庫4.1.5特殊情況，如某種新惡性病毒大規(guī)模爆發(fā)，XX部系統(tǒng)管理員應(yīng)立即升級病毒庫，并緊急通知全公司各部門立即進(jìn)行病毒庫更新升級，同時立即病毒掃描，并對病毒情況匯報IT部部長?，F(xiàn)病毒的電子媒體應(yīng)禁用，待病毒清除后方可使用，對于不能清除的病毒，應(yīng)4.1.7各部門用戶應(yīng)在計算機(jī)或其它電子信息處理設(shè)施的啟動后檢查是否已啟動病毒實(shí)時監(jiān)測系統(tǒng)。如未啟動，應(yīng)在進(jìn)行其他操作前啟動病毒實(shí)時監(jiān)測系XXX有限公司頁碼文件編號4.1.8各部門在使用電子郵件或下載軟件時應(yīng)啟動病毒實(shí)時監(jiān)測系統(tǒng)的實(shí)時4.1.9XX部需加強(qiáng)對特洛伊木馬的探測與防治。通過以下措施予以控制：4.2XX部組織各部門進(jìn)行有關(guān)防病毒及其他后門程序等惡意軟件預(yù)防工作e)使用軟盤前應(yīng)進(jìn)行病毒檢查。XXX有限公司文件名稱頁碼文件編號4.5各部門應(yīng)按照信息備份的要求(《重要信息備份管理程序》)進(jìn)行4.7對各個部門安裝的外購軟件和自行開發(fā)的軟件都必須由IT部測試其安全XXX有限公司文件名稱頁碼文件編號5相關(guān)文件XXX有限公司文件名稱頁碼文件編號第一節(jié)總則第一條為規(guī)范軟件變更與維護(hù)管理，提高軟件管理水平，優(yōu)化軟件變更與發(fā)組織移交給應(yīng)用管理組織之后，所發(fā)生的生產(chǎn)應(yīng)用系統(tǒng)(以下簡稱應(yīng)用系統(tǒng))運(yùn)行支持及系統(tǒng)變更工作。第四條系統(tǒng)變更工作以任務(wù)形式由需求方(一般為業(yè)務(wù)部門)和維護(hù)方(一般為信息部門的應(yīng)用維護(hù)組織和軟件開發(fā)組織，還包括合作廠商)協(xié)作完成。系統(tǒng)變更過程類似軟件開發(fā)，大致可分為四個階段：任第五條因問題處理引發(fā)的系統(tǒng)變更處理，具體流程參見《問頁碼文件編號表》(附件一),由部門負(fù)責(zé)人審批后提交給系統(tǒng)管理員。第十條系統(tǒng)管理員組織業(yè)務(wù)部門的系統(tǒng)最終用戶對系統(tǒng)程序變更進(jìn)行測試，并撰寫《用戶測試報告》(附件二),提交業(yè)務(wù)部門負(fù)責(zé)人和信序變更驗收報告》(附件三),經(jīng)業(yè)務(wù)部門負(fù)責(zé)人簽字驗收后，報送第十二條培訓(xùn)管理員負(fù)責(zé)對系統(tǒng)變更過程的文檔進(jìn)行歸檔管理，變更過程中文件名稱頁碼文件編號第三節(jié)緊急變更流程第十三條對于緊急變更，需求部門可以通過電子郵件或傳真等書面形式提出第十四條信息部根據(jù)重要性和緊迫性做判斷，確定其優(yōu)先級和影響程度，并第十五條緊急變更過程中應(yīng)使用專設(shè)的系統(tǒng)用戶賬號，由專責(zé)部門或人員啟動緊急修改變更程序。信息部應(yīng)對緊急變更的處理進(jìn)行規(guī)范的文檔第十六條在緊急事件處理完成后，必須在一周內(nèi)補(bǔ)辦正式、完整的文檔，其人對該申請的審批、需求部門/信息部測試記錄(包括簽字確認(rèn)測試第四節(jié)系統(tǒng)變更的權(quán)責(zé)分離第十七條系統(tǒng)變更過程中，應(yīng)采取各種措施保證維護(hù)環(huán)境程序代碼訪問權(quán)限1、通過系統(tǒng)用戶的授權(quán)管理，確保只有特定人員能進(jìn)行系統(tǒng)維護(hù)2、如果使用專用程序開發(fā)工具，只有授權(quán)人員才能使用程序開發(fā)文件名稱頁碼文件編號工具(通過只有特定開發(fā)人員擁有程序開發(fā)工具);3、通過對源代碼的訪問控制，限制只有授權(quán)人員才能獲得源代碼4、在進(jìn)行自有系統(tǒng)的程序變更時，應(yīng)建立版本控制制度確保每次在最新的代碼基礎(chǔ)上進(jìn)行更改，當(dāng)多名程序員同時進(jìn)行更改工作5、通過對系統(tǒng)日志的審閱，監(jiān)督系統(tǒng)維護(hù)人員在系統(tǒng)中的操作，6、在進(jìn)行自有系統(tǒng)的程序變更時，應(yīng)防止源代碼在完成測試到正第十八條系統(tǒng)變更過程中，采取各種措施保證生產(chǎn)系統(tǒng)應(yīng)用程序訪問權(quán)限受4、對授權(quán)訪問生產(chǎn)環(huán)境的人員進(jìn)行詳細(xì)記錄，使用該記錄對生產(chǎn)5、普通用戶只能通過前臺登錄系統(tǒng)，不能通過后臺(如使用生產(chǎn)環(huán)境操作系統(tǒng)的命令行)進(jìn)行操作；6、信息技術(shù)人員不應(yīng)該擁有前臺應(yīng)用程序的業(yè)務(wù)操作訪問權(quán)限，文件名稱頁碼文件編號7、從技術(shù)角度限制開發(fā)人員對生產(chǎn)環(huán)境中應(yīng)用程序文件夾的訪問第十九條本制度由信息部負(fù)責(zé)解釋和修訂。XXX有限公司文件名稱頁碼文件編號附件一系統(tǒng)變更申請表變更請求類型□用戶方變更□開發(fā)方變更□需求增加□需求修改口需求縮減□其它：請說明：變更申請人申請日期實(shí)施人員驗證人原需求內(nèi)容描述變更內(nèi)容描述變更的影響業(yè)務(wù)部門負(fù)責(zé)人信息部人員XXX有限公司文件名稱頁碼文件編號備注：XXX有限公司文件名稱頁碼文件編號附件二用戶測試報告測試依據(jù)例如：參照標(biāo)準(zhǔn)、客戶需求、需求規(guī)格說明書、測試用例等測試范圍測試驗收標(biāo)準(zhǔn)測試環(huán)境描述測試驅(qū)動程序描述提示：可以把測試驅(qū)動程序當(dāng)作附件測試人員測試時間須注明每次回歸測試的時間測試工具2.實(shí)況記錄模塊測試用例編號期望結(jié)果測試結(jié)果度是否執(zhí)行了回歸測試文件名稱頁碼文件編號4.缺陷修改記錄缺陷名嚴(yán)重程度模塊原因駐留時間解決方案稱型XXX有限公司文件名稱頁碼文件編號本程序適用于本公司員工及其他組織、人員(第三方)對本公司的物理訪充分有效地使用公司資源，為來賓提供高質(zhì)量、個性化的參觀接待；從4.1外來人員分類XXX有限公司文件名稱頁碼文件編號序號種類包括區(qū)域防范措施1特別安全區(qū)1.數(shù)據(jù)存儲機(jī)房2.配電房1.專門負(fù)責(zé)(保安值勤)。2.監(jiān)控錄象裝置。2普通安全區(qū)1.開發(fā)部辦公室2.管理中心3檔案室1.專人負(fù)責(zé)。2.監(jiān)控報警裝置。3.人離關(guān)門上鎖。XXX有限公司文件名稱頁碼文件編號4其他辦公區(qū)域4.巡邏檢查，群防群治。3一般區(qū)域1.大堂2.雜物室3.洽談室4.公共會議室5.接待室6.員工休息區(qū)文件名稱頁碼文件編號4.3訪問的授權(quán)相稱授權(quán)人訪問時間在一周內(nèi)特別安全區(qū)接待部門負(fù)責(zé)人接待部門負(fù)責(zé)人同意且主管副總經(jīng)理批準(zhǔn)，公司人事部辦理相關(guān)手續(xù)普通安全區(qū)負(fù)責(zé)人接待部門負(fù)責(zé)人批準(zhǔn)，公司人事部辦理相關(guān)手續(xù)一般區(qū)域接待人員接待部門負(fù)責(zé)人批準(zhǔn)，公司人事部辦理相關(guān)手續(xù)4.4門禁出入規(guī)定公司為每位員工制作員工卡，卡片正面印有員工照片，中文姓名，英文姓名，和員工編號，便于員工身份識別。公司門禁卡的胸帶分為藍(lán)色和紅色2種，分藍(lán)色胸帶：公司內(nèi)部員工>紅色胸帶：進(jìn)入公司的外部相關(guān)方人員XXX有限公司文件名稱頁碼文件編號4.4.1員工門禁管理a)新員工門禁卡制作·人事部根據(jù)各部門助理提交的《新進(jìn)人員入職內(nèi)部準(zhǔn)備表》中的門禁權(quán)·人事部留檔；b)員工門禁卡權(quán)限變更·人事部根據(jù)《變更申請表》中的門禁變更信息予以制作；·人事部留檔；·人事部注銷丟失門禁權(quán)限；d)門禁權(quán)限定期審核XXX有限公司文件名稱頁碼文件編號文件名稱頁碼文件編號4.4.2來賓門禁管理文件名稱頁碼文件編號4.4.3人員出入管理·任何員工出入公司均須佩戴門禁卡；b)非公司員工·訪客、供應(yīng)商進(jìn)入公司樓道、會議室區(qū)需佩戴紅色訪客胸帶；·滯留時間很短，且在固定時間，固定地點(diǎn)需要現(xiàn)場操作的供應(yīng)商(例如花卉維護(hù)、飲用水供應(yīng)等),需到人事部備案，由安保人員陪同監(jiān)視操4.5訪問接待管理辦法文件名稱頁碼文件編號4.5.1參觀級別文件名稱頁碼文件編號4.5.2接待管理XXX有限公司文件名稱頁碼文件編號6安全保密規(guī)定6.1拍照記錄名稱保存部門保存期限XXX有限公司文件名稱頁碼文件編號3年3年3年文件名稱頁碼文件編號3相關(guān)文件4.1機(jī)房管理員負(fù)責(zé)中心機(jī)房的維護(hù)、運(yùn)行及管理。4.2信息部其他人員配合機(jī)房管理員的工作。XXX有限公司文件名稱頁碼文件編號(d)限制所允許的不成功登陸嘗試的次數(shù)(推薦3次)并考慮：1)使用策略或其他手段記錄不成功的嘗試；2)在允許進(jìn)一步登錄嘗試之前，強(qiáng)加一次延遲，或在沒有特定授權(quán)3)斷開數(shù)據(jù)鏈路鏈接；4)如果達(dá)到登錄的最大嘗試次數(shù)，向系統(tǒng)控制臺(或向機(jī)房管理員)5)結(jié)合口令的最小長度和被保護(hù)系統(tǒng)的價值(風(fēng)險評估的結(jié)果或內(nèi)部存儲信息的價值)設(shè)置口令重試的次數(shù)；(e)限制登錄程序所允許的最大和最小次1)前一次成功登陸的日期和時間；2)上次成功登陸之后的任何不成功登陸嘗試的細(xì)節(jié)；文件名稱頁碼文件編號5.1.2登錄程序滿足上述要求后，任何核心系統(tǒng)或外圍系統(tǒng)的登錄操作應(yīng)被相5.1.3相關(guān)職能人員得到授權(quán)后，對核心系統(tǒng)或外圍系統(tǒng)操作完畢后必須將系5.1.4其他部門人員因業(yè)務(wù)需要，需登錄信息部核心系統(tǒng)或外圍系統(tǒng)時，必須文件名稱頁碼文件編號5.2用戶身份標(biāo)識和鑒別5.2.1信息部應(yīng)確保所有業(yè)務(wù)人員在登錄核心系統(tǒng)或外圍系統(tǒng)時5.2.2機(jī)房管理員對中心機(jī)房各系統(tǒng)建立用戶ID身份鑒別策略，以確保用戶ID的任何活動都可以追蹤到各個責(zé)任人。常規(guī)業(yè)務(wù)操作不可以使5.2.3如在特定時間內(nèi)機(jī)房管理員需平凡操作或登錄核心系統(tǒng)或外圍系統(tǒng)，則5.2.4機(jī)房管理員應(yīng)管理核心系統(tǒng)及外圍系統(tǒng)的訪問權(quán)限，確保普通ID或特定ID只有其工作范圍內(nèi)的權(quán)限(如：普通ID只有對系統(tǒng)的只讀權(quán)限，特定ID只具有在特定目錄下有訪問權(quán)限其他目錄均無權(quán)限)依照《口令管理規(guī)定》對權(quán)5.2.5進(jìn)入中心機(jī)房或前置機(jī)房或備份機(jī)房時需使用指紋方可進(jìn)入，不經(jīng)相關(guān)XXX有限公司文件名稱頁碼文件編號5.3口令管理5.3.1在登錄核心系統(tǒng)或外圍系統(tǒng)時，須使用自己的用戶ID及口令，確保身份5.3.2信息部員工需要登錄核心系統(tǒng)或外圍系統(tǒng)需要提交《系統(tǒng)訪問授權(quán)書》,如果是第一次登陸且沒有用戶ID及密碼則按《口令管理規(guī)定》進(jìn)行用戶ID的(推薦記錄3次),用戶在第一次登陸后必須對密碼進(jìn)行更改，否則由機(jī)房管理5.3.3口令必須是由數(shù)字、字幕、符號，長度7位組成并且不可以使用例如：5.3.4口令的存放可查看《口令管理規(guī)定》XXX有限公司文件名稱頁碼文件編號5.4系統(tǒng)實(shí)用工具的使用5.4.2網(wǎng)絡(luò)管理員應(yīng)對信息部內(nèi)所有的軟件進(jìn)5.4.3由網(wǎng)絡(luò)管理員定期(每周)將使用系統(tǒng)實(shí)用工具的用戶進(jìn)行重新評審，5.4.4由網(wǎng)絡(luò)管理員對系統(tǒng)實(shí)用工具進(jìn)行控制并保留所有操作日志。5.4.5如有新的系統(tǒng)實(shí)用工具的添加或在特定系統(tǒng)的安全，必須由該區(qū)域副總5.4.6信息部所有信息處理設(shè)施，由網(wǎng)絡(luò)管理員協(xié)助各業(yè)務(wù)人員移除或禁用基5.4.7當(dāng)涉及到職責(zé)分割時應(yīng)確保訪問系統(tǒng)中應(yīng)用程序的用戶只可以訪問應(yīng)用XXX有限公司文件名稱頁碼文件編號5.5登錄會話限制5.5.1應(yīng)由網(wǎng)絡(luò)管理員對核心系統(tǒng)及外圍系統(tǒng)進(jìn)行設(shè)置，確?？梢詫⒉换顒訒捲?5分鐘后自動斷開或注銷。6相關(guān)文件7相關(guān)記錄記錄名稱保存部門保存期限《系統(tǒng)實(shí)用工具安裝審批》信息部3年《軟件驗收保管登記臺賬》信息部3年信息部3年XXX有限公司文件名稱頁碼文件編號1目的為確保信息安全管理體系持續(xù)的適宜性、充分性、有效性，對信息安全管理體系、信息安全方針/服務(wù)方針和信息安全管理目標(biāo)/服務(wù)目標(biāo)進(jìn)行定期評2適用范圍本程序適用于最高管理者對信息安全管理體系的評審。3職責(zé)與權(quán)限3.1公司高管3.2管理者代表XXX有限公司文件名稱頁碼文件編號3.3主管體系建設(shè)部門(人事部)3.4各部門4程序和工作流程4.1制定年度管理評審計劃4.1.1年度管理評審計劃組織主管部門根據(jù)信息安全管理體系/IT服務(wù)管理體系的運(yùn)營情況，4.1.2年度管理評審計劃的內(nèi)容管理評審計劃的主要內(nèi)容包括：審核目的、審核范圍、審核準(zhǔn)則、審核XXX有限公司文件名稱頁碼文件編號4.1.3管理評審的頻次4.2管理評審的準(zhǔn)備XXX有限公司文件名稱頁碼文件編號⑥參加評審部門(人員);4.2.2資料準(zhǔn)備4.3管理評審輸入對于信息安全管理體系，管理評審時主要應(yīng)考慮如下內(nèi)容：XXX有限公司文件名稱頁碼文件編號4.4管理評審會議管理評審會議召開前2～7天，會議組織者應(yīng)向與會人員以書面或郵發(fā)送《管理評審會議通知》,并整理與會人員的反饋，以確定與會人員的實(shí)際管理者代表所涉及的評審內(nèi)容做出結(jié)論(包括進(jìn)一步調(diào)查、驗證等)。4.5管理評審輸出①信息安全管理體系及其過程的改進(jìn)，包括對信息安全方針、信息安文件名稱頁碼文件編號4.6管理評審報告5相關(guān)支持性文件6相關(guān)記錄XXX有限公司文件名稱頁碼文件編號本程序適用于本公司應(yīng)用系統(tǒng)軟件的開發(fā)(包括外包軟件開發(fā))及系統(tǒng)的為對公司系統(tǒng)開發(fā)與系統(tǒng)維護(hù)過程實(shí)施有效控制，確保系統(tǒng)開發(fā)4.1.1設(shè)計開發(fā)任務(wù)提出各職能部門根據(jù)日常經(jīng)營管理工作的需要，經(jīng)過本部門部長批準(zhǔn)后，交付4.1.2設(shè)計開發(fā)的策劃文件名稱頁碼文件編號段的評審與測試要求及設(shè)計開發(fā)人員的職責(zé)與權(quán)限，設(shè)計開發(fā)計劃方案由要求部門和開發(fā)部負(fù)責(zé)人共同批準(zhǔn)后予以實(shí)施；必要時，如果對計劃進(jìn)行更改也需4.1.3設(shè)計開發(fā)人員的要求軟件設(shè)計開發(fā)人員須經(jīng)開發(fā)部負(fù)責(zé)人授權(quán)，并應(yīng)具備一定的軟件開發(fā)能力4.1.4設(shè)計開發(fā)方案的技術(shù)評審4.1.4.1設(shè)計開發(fā)負(fù)責(zé)人應(yīng)根據(jù)軟件設(shè)計開發(fā)計劃的要求，編制軟件設(shè)計開發(fā)4.1.4.2對于大型軟件開發(fā)方案應(yīng)由設(shè)計開發(fā)人員、應(yīng)用部門人員、內(nèi)部IT文件名稱頁碼文件編號4.1.5設(shè)計開發(fā)的環(huán)境要求b)測試系統(tǒng)應(yīng)該獨(dú)立于運(yùn)行系統(tǒng)。4.1.6.1源程序編制好以后，應(yīng)在規(guī)定的測試環(huán)境條件并依據(jù)軟件測試要求由4.1.6.3當(dāng)系統(tǒng)測試數(shù)據(jù)使用業(yè)務(wù)數(shù)據(jù)，并且包含敏感信息時，應(yīng)按以下要求文件名稱頁碼文件編號4.1.6.4應(yīng)用部門在試運(yùn)行期間，應(yīng)將使用中存在的問題及時反饋給開發(fā)部進(jìn)4.1.7更改控制4.1.8源程序庫(程序源代碼)管理及技術(shù)文檔管理4.1.8.1為降低計算機(jī)程序被破壞的可能性，設(shè)計開發(fā)軟件的源程序庫應(yīng)a)源程序庫不應(yīng)保存在運(yùn)作系統(tǒng)中；4.1.8.3源程序的管理應(yīng)包括歷史版本的管理。4.1.9軟件開發(fā)外包控制件開發(fā)的安全技術(shù)要求，由開發(fā)部審核，報分管公司負(fù)責(zé)人批準(zhǔn)后，計劃部與軟件開發(fā)方簽訂軟件開發(fā)合同，必要時，應(yīng)簽訂保密協(xié)議，在協(xié)議中明確規(guī)定文件名稱頁碼文件編號XXX有限公司文件名稱頁碼文件編號線路帶寬)需求進(jìn)行監(jiān)控，并對將來容量需求進(jìn)行策劃，適當(dāng)時機(jī)進(jìn)行容量擴(kuò)記錄名稱保存部門保存期限《應(yīng)用軟件測試報告》10年XXX有限公司文件名稱頁碼文件編號無4.2運(yùn)行監(jiān)控機(jī)房值班人員負(fù)責(zé)監(jiān)控系統(tǒng)的日常管理。文件名稱頁碼文件編號5.1.1所有服務(wù)、防火墻、IDS和其他網(wǎng)絡(luò)邊界訪問控制系統(tǒng)的系統(tǒng)審核、賬5.1.2應(yīng)記錄用戶活動、異常和信息安全事態(tài)的審計日志，記錄應(yīng)永久保存并5.1.4防火墻系統(tǒng)、IDS系統(tǒng)、漏洞掃描必須處于開啟狀態(tài)，在不經(jīng)總經(jīng)理授XXX有限公司文件名稱頁碼文件編號5.2日志的配置最低要求5.2.1操作系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備的日志應(yīng)形成日志保存和檢查5.2.2所有日志應(yīng)在運(yùn)行系統(tǒng)或設(shè)備內(nèi)至少保存一年的有效記錄，備份的日志5.2.3所有日志應(yīng)該根據(jù)重要信息備份的原則進(jìn)行定期備份。XXX有限公司文件名稱頁碼文件編號5.3管理過程5.3.1網(wǎng)絡(luò)管理員根據(jù)系統(tǒng)的安全要求確認(rèn)日志內(nèi)容、保存周期、檢查周期，其最低要求不得低于5.2的要求。如果因為日志系統(tǒng)本身原因不能滿足5.2的XXX有限公司文件名稱頁碼文件編號2.適用范圍無5.1申請賬戶：每個員工擁有一個公司內(nèi)部NT賬戶，一個電子郵件賬戶。新員工申請以上賬戶時需要向計算機(jī)室提供中英文姓名，部門，職位等信息，計5.2密碼設(shè)定：一些新且復(fù)雜的計算機(jī)密碼破解工具已經(jīng)出現(xiàn)，這將會對公司產(chǎn)生一系列危險。為了保護(hù)公司的信息資產(chǎn)，對于密碼新的更復(fù)雜的要求正在5.2.1要求1:密碼至少有8個字符長5.2.2要求2:密碼必須包含以下每一部分文件名稱頁碼文件編號C.特殊字符，例如*,$,)等D.另外你不得將以下信息作為密碼或密碼的一部分E.你的賬戶名F.同事，家庭成員，著名人物等的姓名G.電話號碼，證件號碼或生日H.例如“asdf“的簡單密碼(在鍵盤上相連的鍵)I.英文單詞J.默認(rèn)密碼L.以相同的三個字符開始N.btk(4902)Q.壞密碼的例子：XXX有限公司文件名稱頁碼文件編號5.3更改(可向計算機(jī)室申請)5.3.1至少每90天更改一次密碼。5.3.2不要使用已用過的舊密碼。5.3.3同時更改你所有的密碼。5.3.4如果愿意，你可以為所有系統(tǒng)設(shè)置相同的密碼，5.4密碼設(shè)置注意事項5.4.1密碼中大小寫字母意義不同，例如“pass#%word”不同“Pass#%WoRd”。5.4.2不要把密碼寫下來。更不要把密碼告訴任何人。無無XXX有限公司文件名稱頁碼文件編號對信息安全管理體系所要求的文件進(jìn)行控制，確保可獲得適用文件的有2.適用范圍本程序適用于公司各部門的信息安全管理體系有關(guān)的文件和資料控制3.職責(zé)家、地方、上級和顧客與信息安全有關(guān)的文件和資料)的識別控制和管理。3.2信息安全管理委員會負(fù)責(zé)《信息安全管理手冊》的編制、發(fā)放、更改和控3.3文控中心負(fù)責(zé)編制規(guī)范、標(biāo)準(zhǔn)和標(biāo)準(zhǔn)圖等有效版本控制清單，下發(fā)到相關(guān)部門和單位，并組織對作廢版本進(jìn)行識別；負(fù)責(zé)重大技術(shù)項目施工組織設(shè)計編3.4文控中心負(fù)責(zé)收集國家頒布的信息安全方面的法律法規(guī)并進(jìn)行有效的控制3.5各職能部門負(fù)責(zé)本部門所管轄的業(yè)務(wù)和相關(guān)的外來文件；以及內(nèi)部文件資頁碼文件編號4.文件和資料編號/版本規(guī)定4.1本公司采用四級層次文件編寫法。所有信息安全管理的文件(含記錄)均以ISMS作為開頭，規(guī)定由4或5個數(shù)字構(gòu)成編號。●首數(shù)字代表文件層次：1為手冊、2為程序文件、3為作業(yè)指導(dǎo)書、4為●第二層次文件中第二位數(shù)字全部為0,末兩位為自然序號，從01開始往 文件名稱頁碼文件編號第0次修定(按照數(shù)字自然順序號，依次使用1、2、3……)第A版(按照英文字母自然排序，依次使用B、C、D……)版本及修訂號的標(biāo)注方法：1、2、3層次文件標(biāo)注在封面。記錄作為一種特殊形式的文件，沒有標(biāo)注版本及修訂號的時候，默認(rèn)為A/0版；當(dāng)記錄更新作廢標(biāo)識分類XXX有限公司文件名稱頁碼文件編號文件文件修改文件修訂序號文件名稱1法律法規(guī)國家和地方有關(guān)信息安全等方面的法律法規(guī)2公司文件的規(guī)章制度及行政文件、管理方案等3標(biāo)準(zhǔn)類文件包括國家、地方、行業(yè)頒發(fā)的有關(guān)信息安全的各類技術(shù)規(guī)范、標(biāo)準(zhǔn)、標(biāo)準(zhǔn)圖集、定額以及物理環(huán)境方面的規(guī)定等4合同類文件承包合同、分包合同、物資采購合同、租賃合同、5圖紙類文件各類施工圖紙、設(shè)計變更、工程洽商記錄等6外來文件包括當(dāng)?shù)卣蛏霞壷鞴懿块T下發(fā)的與信息安全管理體系有關(guān)的文件，還包括業(yè)主、分包商、供應(yīng)商等方面有關(guān)體系方面的往來文件7運(yùn)行記錄包括信息安全管理體系運(yùn)行中的各類數(shù)據(jù)記錄XXX有限公司文件名稱頁碼文件編號8系統(tǒng)文件本公司與信息安全有關(guān)的系統(tǒng)文件包括：a)系統(tǒng)操作手冊；b)關(guān)鍵商業(yè)作業(yè)流程；c)網(wǎng)絡(luò)系統(tǒng)拓?fù)浣Y(jié)構(gòu)圖；d)訪問授權(quán)說明書及授權(quán)登記表；e)ISMS體系文件；f)監(jiān)視系統(tǒng)網(wǎng)絡(luò)圖；5.3文件的批準(zhǔn)、發(fā)布和標(biāo)識5.3.2程序文件和三層文件在人事部組織下由主管該程序的職能部門或指定相5.3.3信息安全計劃和施工技術(shù)指導(dǎo)性文件的編寫、審核、批準(zhǔn)，按照公司按5.3.6公司內(nèi)行政文件的發(fā)文程序。文件編寫部門在文件定稿以后，填寫《文文件名稱頁碼文件編號XXX有限公司文件名稱頁碼文件編號5.5文件評審和修改5.5.1在文件實(shí)施過程中，各職能部門應(yīng)及時收集不適宜之處，及時上報主編5.5.3文件清單中列出的文件應(yīng)為有效文件，并確保文件的更改和修訂狀態(tài)得5.6文件的作廢處置各單位和人員在接到作廢通知單后，應(yīng)及時撤出作廢文件，標(biāo)示后妥善保存或7.記錄記錄名稱保存部門保存期限XXX有限公司文件名稱頁碼文件編號文控中心2年文控中心3年文件名稱頁碼文件編號2范圍3術(shù)語和定義無4職責(zé)和權(quán)限5.1備份信息識別5.2制定備份方案●備份周期：根據(jù)信息更新速度、易損壞成度及備份媒體的有效期，確定周期。如機(jī)密性信息備份周期不超過1個月；●確定備份方式：一般采用復(fù)制、雙系統(tǒng)同步、轉(zhuǎn)儲、壓縮復(fù)制等。文件名稱頁碼文件編號●確定備份工具：備份使用的工具，如光盤記錄機(jī)、復(fù)印機(jī)、壓縮軟件份2份甚至更多。5.3備份計劃實(shí)施5.4備份的媒體標(biāo)識5.5備份信息(介質(zhì))的安全存放文件名稱頁碼文件編號息(介質(zhì))或保密性十分重要的備份信息(介質(zhì)),要采取加固措施(如通過加密)5.6備份媒體的定期測試6相關(guān)文件7記錄記錄名稱保存部門保存期限3年《備份信息使用記錄表》3年XXX有限公司文件名稱頁碼文件編號本程序適用于對本公司為消除信息安全不符合/潛在不符合原因所采取的完善信息安全管理體系，特制定本程序。人事部為公司信息安全管理體系糾正/預(yù)防措施的歸口管理部門，負(fù)責(zé)評價糾正/預(yù)防措施的需求，組織相關(guān)部門制定糾正/預(yù)防措施，并由人事部負(fù)XXX有限公司文件名稱頁碼文件編號文件名稱頁碼文件編號4.2人事部每半年組織相關(guān)部門利用4.1條款所規(guī)定的信息來源，分析確定不對于各部門日常發(fā)現(xiàn)報告的重大安全隱患(安全薄弱點(diǎn)),人事部應(yīng)組織有息安全最高責(zé)任者，必要時，應(yīng)提交公司信息安全管理委員會進(jìn)行專題研究，4.5實(shí)施糾正/預(yù)防措施的部門應(yīng)認(rèn)真執(zhí)行4.7經(jīng)驗證效果不理想，負(fù)責(zé)制定糾正/預(yù)防措施的部門應(yīng)重新確定糾正/預(yù)防文件名稱頁碼文件編號措施，依據(jù)本程序4.3要求實(shí)施。4.8糾正/預(yù)防措施需要涉及文件更改的，應(yīng)對文件進(jìn)行評審，按《ISMS文件4.9人事部應(yīng)做好糾正/預(yù)防措施相關(guān)記錄的保存。管理評審前，將各部門所采5記錄記錄名稱保存部門保存期限《糾正預(yù)防措施報告》3年《信息安全風(fēng)險評估報告》XXX有限公司文件名稱頁碼文件編號文件名稱頁碼文件編號4.1基本管理原則1.公司IT系統(tǒng)不允許直接和外部網(wǎng)絡(luò)連接(包括Internet、合資公司等等),必須經(jīng)過防火墻的限制保護(hù)。防火墻的建設(shè)、安裝須遵守《防火墻3.防火墻口令設(shè)置參照《帳號和口令標(biāo)準(zhǔn)》,并由安全控制辦統(tǒng)一管理。6.防火墻不允許直接通過Internet管理；內(nèi)部管理IP地址只允許相關(guān)人7.防火墻緊急開通策略有效期為2周。如2周內(nèi)沒有申請防火墻策略，則8.在非工作時間處理防火墻緊急申請須遵循《緊急故障處理Token卡管理4.2防火墻系統(tǒng)配置細(xì)則1.當(dāng)防火墻啟動VPN功能時，需使用IPSEC進(jìn)行隧道加密：認(rèn)證算法采用SHA-1,加密算法采用3DES算法。2.防火墻閑置10分鐘以上的登陸，連接要被強(qiáng)制掉線。3.防火墻須配置成能防止已知的各種攻擊，如：tear-drop、syn-flood、文件名稱頁碼文件編號4.安全日志至少應(yīng)包含策略創(chuàng)建、變更和廢除(停用)等日志，日志內(nèi)容包括實(shí)施的帳號，實(shí)施的時間，實(shí)施的策略(開通的具體防火墻通道)、相應(yīng)的IP地址等信息。4.3防火墻策略管理配置細(xì)則2.生產(chǎn)環(huán)境中，與IT應(yīng)用相關(guān)針對普通用戶的策略，在應(yīng)用生命周期內(nèi)，防火墻上不設(shè)置有效期限，但管理上須保證每年對所有應(yīng)用進(jìn)行一次審1)三個區(qū)域(Untrust/Trust/DMZ)間的策略遵循“缺省全部關(guān)閉，按2)未經(jīng)允許，嚴(yán)禁Internet直接訪問公司內(nèi)部(除DMZ區(qū)的機(jī)器外)4)不得從公司內(nèi)網(wǎng)直接訪問Internet,允許從