ISO27001信息安全管理體系全套文件(手冊+程序文件+作業(yè)規(guī)范)

文件編號文件名稱事故事件薄弱點與故障管理程序業(yè)務持續(xù)性管理程序企業(yè)商業(yè)技術秘密管理程序信息安全人員考察與保密管理程序信息安全懲戒管理程序信息安全適用性聲明信息安全風險評估管理程序內審管理程序惡意軟件控制程序更改控制程序物理訪問管理程序用戶訪問控制程序管理評審控制程序系統(tǒng)開發(fā)與維護控制程序系統(tǒng)訪問與使用監(jiān)控管理程序計算機賬戶及密碼管理程序文件和資料管理程序重要信息備份管理程序預防措施程序信息安全管理體系作業(yè)文件目錄文件編號文件名稱防火墻安全管理規(guī)定介質銷毀管理規(guī)定信息機房管理制度信息中心安全事件報告和處置管理制度信息中心密碼管理制度信息系統(tǒng)訪問權限說明檔案鑒定銷毀工作規(guī)定移動介質使用管理規(guī)定復印室管理制度重要文件加密解密管理制度XXX有限公司文件名稱頁碼文件編號為建立一個適當信息安全事故、薄弱點、故障風險處置的報告、反應制，減少信息安全事故和故障所造成的損失，采取有效糾正與預防措施，正確3.1各系統(tǒng)歸口管理部門主管相關安全風險的調查、處理及糾正措施管理。3.2各系統(tǒng)使用人員負責相關系統(tǒng)安全事故、薄弱點、故障和風險的評價、處置報告。4.1信息安全事故定義與分類：4.1.1信息設備故障、線路故障、軟件故障、惡意軟件危害、人員故意破壞或b)服務器停運4小時以上；4.1.2信息設備故障、線路故障、軟件故障、惡意軟件危害、人員故意破壞或XXX有限公司頁碼文件編號b)服務器停運8小時以上；c)造成機房設備毀滅的火災、洪水、雷擊等災害；d)損失在一百萬元以上的故障/事件。4.1.3信息安全事件包括：a)未產(chǎn)生惡劣影響的服務、設備或者實施的遺失；b)未產(chǎn)生事故的系統(tǒng)故障或超載；c)未產(chǎn)生不良結果的人為誤操作；d)未產(chǎn)生惡劣影響的物理進入的違規(guī)XXX有限公司文件名稱頁碼文件編號e)未產(chǎn)生事故的未加控制的系統(tǒng)變更；f)策略、指南和績效的不符合；g)可恢復的軟件、硬件故障；h)未產(chǎn)生惡劣后果的非法訪問。4.2故障與事故的報告渠道與處理4.2.1故障、事故報告要求故障、事故的發(fā)現(xiàn)者應按照以下要求履行報告任務：a)各個信息管理系統(tǒng)使用者，在使用過程中如果發(fā)現(xiàn)軟硬件故障、事故，應該向該系統(tǒng)歸口管理部門報告；如故障、事故會影響或已經(jīng)影響線上生產(chǎn)，必須立即報告相關部門，采取必要措施，保證對生產(chǎn)的影響降至最低；b)發(fā)生火災應立即觸發(fā)火警并向安全監(jiān)督部報告，啟動消防應急預案；c)涉及企業(yè)秘密、機密及國家秘密泄露、丟失應向行政部報告；d)發(fā)生重大信息安全事故，事故受理部門應向信息安全管理者代表和有關公4.2.2故障、事故的響應故障、事故處理部門接到報告以后，應立即進行迅速、有效和有序的響應，包a)報告者應保護好故障、事故的現(xiàn)場，并采取適當?shù)膽贝胧?，防止事態(tài)的b)按照有關的故障、事故處理文件(程序、作業(yè)手冊)排除故障，恢復系統(tǒng)或服務，必要時，啟動業(yè)務持續(xù)性管理計劃。XXX有限公司文件名稱頁碼文件編號5相關/支持性文件5.1《預防措施控制程序》5.2《信息密級劃分、標注及處理控制程序》5.3《信息安全獎勵、懲戒規(guī)定》5.4I《法律法規(guī)與符合性評估程序》6記錄保存期限6.1《信息安全風險評估報XXX有限公司文件名稱頁碼文件編號6.2《糾正/預防措施申請書》6.3《信息安全事故調查處理報告》6.4《信息安全薄弱點報告》XXX有限公司頁碼文件編號1目的與范圍2相關文件3.1公司常務副總經(jīng)理負責公司業(yè)務中斷的恢復的總指揮與總協(xié)調。3.2集成部負責編制、修訂公司業(yè)務持續(xù)性管理程序，并協(xié)調、推進公司業(yè)務3.3各部門負責部門相關系統(tǒng)的故障處理及與之相關的作業(yè)中斷的恢復。3.4技術部負責項目實施過程中設備及軟件系統(tǒng)的故障處理及與之相關的作業(yè)XXX有限公司文件名稱頁碼文件編號中斷的恢復。3.5集成部負責后勤系統(tǒng)設備及網(wǎng)絡系統(tǒng)的故障處理及與之相關的作業(yè)中斷的3.6行政部負責本部門管理系統(tǒng)及與之相關的作業(yè)中斷的恢復。3.7公司各部門在發(fā)生重大信息安全事件或災難時，負責保護本部門使用的信息系統(tǒng)及業(yè)務數(shù)據(jù)，及時恢復中斷的業(yè)務活動。4工作程序4.1業(yè)務持續(xù)性管理過程公司業(yè)務持續(xù)性管理過程規(guī)定如下：4.2業(yè)務持續(xù)性和影響的分析4.2.1公司在首次信息安全風險評估后進行業(yè)務持續(xù)性和影響的分析。4.2.2業(yè)務持續(xù)性和影響的分析由集成部組織，技術部、行政部、生產(chǎn)部及管理者代表指定的相關部門分別開展以下活動：a)對本部門的信息安全進行風險評估；b)識別出對本部門業(yè)務持續(xù)性造成嚴重影響的主要事件，如設備故障、火災等；c)分析這些事件一旦發(fā)生對公司業(yè)務活動造成的影響和損失，以及恢復業(yè)務所d)編寫本部門《業(yè)務持續(xù)性和影響分析報告》(格式見ISMS-4341)。4.2.3《業(yè)務持續(xù)性和影響分析報告》應包括以下內容：XXX有限公司頁碼文件編號b)可能引起公司業(yè)務活動中斷的主要事件；c)主要事件對本部門管理的信息系統(tǒng)的影響；d)信息系統(tǒng)故障或中斷對公司業(yè)務活動的影響；e)關于系統(tǒng)恢復或替換的費用考慮。5.1《業(yè)務持續(xù)性和影響分析報告》5.2《業(yè)務持續(xù)性管理戰(zhàn)略計劃》5.3《業(yè)務持續(xù)性管理實施計劃》5.4《業(yè)務持續(xù)性管理計劃測試報告》5.5《業(yè)務持續(xù)性管理計劃評審報告XXX有限公司文件名稱頁碼文件編號第一條為保障公司的合法權益，充分發(fā)揮作為公司重要資產(chǎn)的技術秘密、商業(yè)秘密的效益，鼓勵員工不斷創(chuàng)造并自覺維護技術秘密、商業(yè)秘密的積極性，根據(jù)《知識產(chǎn)權管理總則》制訂本制度。第二條公司技術秘密、商業(yè)秘密的管理目標；技術秘密、商業(yè)秘密是本公司擁有的知識產(chǎn)權的組成部分，是公司的重要資產(chǎn)。要在公司內牢固樹立技術秘密、商業(yè)秘密的保護意識；技術秘密、商業(yè)秘密的管理貫穿研究開發(fā)、生產(chǎn)和經(jīng)營的全過程。明確商業(yè)秘密的界定和保護。第三條公司內的相關管理制度、合同、記錄等文獻所有文件均屬于商業(yè)機密。第二章技術秘密、商業(yè)秘密的定義、確立和管理機制第四條.本制度所稱的技術秘密、商業(yè)秘密，是指由公司員工在職務范圍內創(chuàng)造或履行職務產(chǎn)生的、經(jīng)公司知識產(chǎn)權管理部門認定并采取了保密措施、只在公司一定范圍內流傳的、具有商業(yè)價值的所有信息或成果。這些信息或成果以各種紙質材料、照片、錄像和計算機等數(shù)字存儲設備為載體而能夠為人所感1.技術秘密。包括：公司現(xiàn)有的或正在開發(fā)或者構思之中的或經(jīng)過技術創(chuàng)新確定不宜于申請專利的營銷方案，管理制度；2.經(jīng)營信息包括：公司的市場營銷計劃、廣告宣傳方案、銷售方法、供應商和客戶名單、客戶的專門需求、未公開的銷售服務網(wǎng)絡以及公司現(xiàn)有的、正在開發(fā)或者構思之中的經(jīng)營項目等信息及其承載物；3.依據(jù)法律和有關協(xié)議對第三方負有保密責任的第三方商業(yè)秘密。XXX有限公司文件名稱頁碼文件編號第五條.確定為技術秘密、商業(yè)秘密的信息及其承載物，歸公司所有。第六條.技術秘密、商業(yè)秘密的確定程序：1.由參與藥品研發(fā)創(chuàng)新，研發(fā)部就某一項或幾項信息，向公司行政管理部門申a)指定參與者中一人專門保管成果或信息的承載物，可以采取加密措施。被指定人一般是項目或業(yè)務負責人或菜肴創(chuàng)造者本人；b)向公司常務董事匯報并提出是否構成技術秘密、商業(yè)秘密建議。必要時會同c)公司行政董事在接到知識產(chǎn)權管理部門的匯報后應立即作出是否確定為技d)對于被確定為技術秘密、商業(yè)秘密的信息或成果，按照本制度第三章和第四章的有關規(guī)定具體落實管理措施。e)技術秘密、商業(yè)秘密的確定遵循隨時產(chǎn)生隨時確定的原則，實行動態(tài)管理；第七條商業(yè)秘密管理機制。公司決策層負責技術秘密、商業(yè)秘密的整體工作。及時、高效地作出審核、批準、否決等工作，定期檢查各部門的保密工作，作出獎懲決定。公司下屬部門的負責人負責本部門的日常技術秘密、商業(yè)秘密管理和保護工作。定期檢查本部門的保密工作，配合支持知識產(chǎn)權管理部門履行公司技術秘密、知識產(chǎn)權管理部門是公司技術秘密、商業(yè)秘密保護工作的職責機構，具體操作XXX有限公司頁碼文件編號落實與協(xié)調商業(yè)秘密保護的各項工作.公司全體員工是技術秘密、商業(yè)秘密保護的實施者。全體員工應當牢固樹立知識產(chǎn)權意識，自覺維護公司的商業(yè)秘密。第三章技術秘密、商業(yè)秘密及其承載物的管理第八條根據(jù)本制度第六條的規(guī)定，被決策層確立為技術秘密、商業(yè)秘密的信息或成果，由知識產(chǎn)權管理部門確立密級和保密期限。密級劃分的標準、保密期限的確立，要參考該信息或成果同公司業(yè)務的聯(lián)系程度、與同行業(yè)競爭的影響力度、是否為公司運營的關鍵等因案，由知識產(chǎn)權管理部門劃定。商業(yè)秘密第九條按照技術秘密、商業(yè)秘密需要保密的程度，參考第八條的標準，技術秘密、商業(yè)秘密分為三級；絕密、機密、保密。引外，對于不宜于對外的信息，由行政管理部門確立為“內部使用”的資料，參照本制度做好保密工作。絕密——是指一旦泄漏會使公司遭受嚴重危害和重大損失的信息或成果，包括；公司核心管理秘密、技術訣竅、財務報表、藥品研發(fā)工藝、特殊化合同。機密——是指理一旦泄漏會使公司遭受危害和較大損失的信息，包括：產(chǎn)品開發(fā)、市場營銷等各類工作計劃、公司內部重要文件。保密——是指一旦泄漏會使公司遭受損失的信息，包括；藥品銷售情況，用戶名單及其分布，用戶需求信息，限于一定范圍閱讀的公司內部文件等。內部使用的信息或成果——是指一旦泄漏會對公司業(yè)務產(chǎn)生一定不良影響的可能的信息或成果，只限于內部員工閱讀的公司內部文件。第十條.保密資料由專人負責管理。公司財務部對交接來的技術秘密、商業(yè)秘密檔案材料，根據(jù)其密級于檔案卷宗封面加蓋保密印章，登記、編號后統(tǒng)一放XXX有限公司文件名稱頁碼文件編號置保密資料專門存放處保存，并建立臺帳登記，重要的資料柜實行雙鑰匙制度。公司各部門要設立保密資科柜，用于存放各部門經(jīng)常運用的或暫時無法交存公司財務部門保存的技術秘密、商業(yè)秘密檔案材料，該資料拒應由專人管理。第十一條.商業(yè)技術機密材料的借閱，必須經(jīng)公司行政董事批準，確定借閱時間，使用后立即歸還，不得延期，更不得交與他人使用。第十二條.商業(yè)技術機密材料的復印，必須經(jīng)公司行政董事批準后，由專人(理應是財務部經(jīng)理)復印，未見公司行政董事批準意見，一律不得復印。復印由專人負責，復印期間不得向他人泄漏，復印后應當立即將復印稿和原稿交還申請復印人，廢稿要立即銷毀，不得留存或隨意丟棄。第四章技術秘密、商業(yè)秘密的保障措施第十三條在本公司進行技術創(chuàng)新過程中，任何研發(fā)項目從立項之日起，圍繞該項目的研發(fā)活動進入技術秘密、商業(yè)秘密保護范圍內，產(chǎn)生的任何信息或成果，不論最終產(chǎn)生的知識產(chǎn)權形式如何，均作為公司的技術秘密、商業(yè)秘密進行保護。第十四條對于在研發(fā)過程中被確定為技術秘密、商業(yè)秘密的信息，由于處在不斷發(fā)展改進的狀態(tài)下，其檔案材料可以經(jīng)公司知識產(chǎn)權主管領導批準后保留在本部門，但必須設專門存放處保存，以計算機等保存的，必須對該設備進行數(shù)字加密，密碼不得向任何無關該商業(yè)秘密的人透露。研發(fā)中的階段性成果，必須形成檔案材料，依照保密措施保存，直到最終成果形成后，將各階段成果形成的過程檔案進行保存、銷毀、解秘等措施。第十五條對于開發(fā)完成的技術創(chuàng)新成果，除從本公司專利戰(zhàn)略及經(jīng)營實際出XXX有限公司頁碼文件編號發(fā)需要公開的以外，經(jīng)過論證不適于申請專利的，將其完全納入公司商業(yè)秘密保護范圍內，按照商業(yè)秘密的確立、密級劃分、建檔、專門保存檔案資料等的工作。參與技術創(chuàng)新的有關人員，在開發(fā)項目進行中，應履行商業(yè)秘密的保密第十六條公司所有員工有義務保護公司技術秘密、商業(yè)秘密的安全。所有員工對于公司技術秘密、商業(yè)秘密的保護而產(chǎn)生的義務、權利及相應獎勵、處罰。第十七條員工在公司工作期間，因工作需要使用公司的技術秘密、商業(yè)秘密及其承載物，應按照要求的范圍和程度使用，不得將實物、資料等擅自帶離工作崗位，未經(jīng)書面同意，不得隨意進行復制、交流或轉移含有公司技術秘密、第十八條員工在參加任何級別的學術交流活動、產(chǎn)品訂貨會、技術鑒定會等會議或活動時，必須注意保護公司的技術秘密、商業(yè)秘密，用以交流的文檔或資料事先要經(jīng)過上級審查批準。第十九條.公司在對外發(fā)布新產(chǎn)品信息和廣告時，要注意避免泄漏公司的技術秘密、商業(yè)秘密。重要的新產(chǎn)品宣傳、廣告文稿必須經(jīng)公司行政董事審核批準后才可發(fā)布。第二十條公司在接受外公司人員的實習、合作研究、學習進修等工作時，對公司的技術秘密、商業(yè)秘密負有保密的義務。第二十一條員工因工作需要或其他原因(包括離職、辭職、退休、開除等)調離原工作崗位或離開公司，應將接觸到的所有包含職務開發(fā)中技術秘密、商業(yè)秘密的數(shù)據(jù)、文檔等的記錄、模型、軟磁盤、光盤及數(shù)字存儲裝置以及其他媒介形式的資料如數(shù)交回公司。XXX有限公司文件名稱頁碼文件編號日期第五章技術秘密、商業(yè)秘密效益發(fā)揮的保證措施第二十二條公司在對外的技術合作過程中，以技術秘密、商業(yè)秘密為標的或其他技術合同涉及技術秘密、商業(yè)秘密許可的，對于技術秘密、商業(yè)秘密的價值通過與合作方協(xié)商確定。需要進行第三方價值評估的，委托符合執(zhí)業(yè)要求的中介機構完成，并通過合同約定嚴格的保密措施。明確雙方的權利和義務及合作方在合同末完全履行，泄漏公司技術秘密、商業(yè)秘密應承擔的責任。第二十三條公司員工在主持或參與對外業(yè)務談判時要遵守公司的保密紀律。涉及公司商業(yè)秘密的談判，事先制定談判提綱，該提綱經(jīng)行政董事批準。第二十四條在技術合作中產(chǎn)生的技術成果，其知識產(chǎn)權形式的確定和歸屬由合同約定，凡以技術秘密、商業(yè)秘密約定歸屬本公司應采取保密措施。第二十五條因員工開發(fā)或參與開發(fā)的技術創(chuàng)新項目、新產(chǎn)品技術或創(chuàng)造發(fā)明而形成的商業(yè)秘密，在對外的技術合作過程中產(chǎn)生收益，本公司將取得實際利第二十六條本公司所有正式，試用，兼職，實習員工無條件遵守本管理辦法。XXX有限公司文件名稱頁碼文件編號1適用與目的務、傳輸線路)的引進、實施、維護等事宜的管理。2信息處理設施的分類2.1研發(fā)控制系統(tǒng)、數(shù)據(jù)存儲控制系統(tǒng)及其子系統(tǒng)設備，包括位于機房的服務2.2業(yè)務管理系統(tǒng)、財務管理系統(tǒng)，包括位于機房的服務器和位于使用區(qū)域的終端設備。2.3辦公用計算機設備，包括所有辦公室、會議室內的計算機、打印2.4網(wǎng)絡設備，包括交換機、路由器、防火墻等。3.1XX部主要負責全公司與IT相關各類信息處理設施及其服務的引進。包括XXX有限公司頁碼文件編號3.2各部負責項目實施過程中設備及軟件系統(tǒng)的管理制度的執(zhí)行與維護。3.3XX部負責后勤系統(tǒng)設備及網(wǎng)絡系統(tǒng)、電話/網(wǎng)絡通訊與辦公系統(tǒng)的管理與4信息處理設施的引進和安裝4.1引進依賴各部門必須采購的信息處理設施、外包開發(fā)信息系統(tǒng)項目或外包信息系統(tǒng)服務，得到本部門經(jīng)理的批準后，向XX部提交申請。XX部以設備投資計劃，技術開發(fā)計劃為依據(jù)，結合對新技術的調查，作出是否引進的評價結果并向提本公司禁止員工攜帶個人或私有信息處理設施(例如便攜式電腦、家用電腦或手持設備PDA等)處理業(yè)務信息。4.2進行技術選型XX部負責對購入的信息處理設施的技術選型，并從技術角度對供應商進行評價。技術選型應該包含以下幾方面：性能、相關設施的兼容性、協(xié)作能力、4.3編寫購入規(guī)格書XX部根據(jù)要求，負責編寫即將購入的信息處理設施的購入規(guī)格書。規(guī)格書中應該包含技術規(guī)格、相關設施的性能(包括安全相關信息)、兼容性等要求，XXX有限公司文件名稱頁碼文件編號4.4定貨由XX部按照公司采購流程，向經(jīng)理層提出購買要求，并提供選型結果。經(jīng)理層應按照要求辦理定貨手續(xù)。4.5開箱檢查，安裝、調試，驗收a)開箱檢查設備到貨后，xx部應負責開箱檢查，依照購買規(guī)格書和裝箱單核對數(shù)量及物品，確認有無損壞并記錄。必要時，應通知有關部門到場協(xié)同檢查。b)安裝、調試引進的設施到位后，根據(jù)合同要求，由相關人員進行安裝、調試。在實施調試過程中出現(xiàn)的問題，必要時可通知相關部門共同進行。驗收原則上由XX部實施，必要時可要求相關部門參加。驗收的合格與否最終由XX部負責人作出判斷。d)驗收合格后，可向相關的使用部門移交。XXX有限公司頁碼文件編號5信息處理設施的日常維護管理5.1計算機設備管理5.1.1XX部負責計算機固定資產(chǎn)的標識，標識隨具體設備到使用各部門。計算機保管使用部門將計算機列入該部門信息資產(chǎn)清單。5.1.2各部門配備的計算機設備應與本部門的日常經(jīng)營情況相適應，不得配備與工作不相符的高檔次或不必要的計算機設備。辦公場所不配備多媒體類計算機設備，原則上部門經(jīng)理以上配備筆記本電腦，因工作需要配備筆記本電腦的5.1.3計算機使用部門需配備計算機設備時，應按照本規(guī)定執(zhí)行。資產(chǎn)搬離安置場所，需要獲得部門經(jīng)理的授權；遷移出公司，需要得到最高管理層的授權。5.1.4計算機使用部門填寫《物品領用單》,經(jīng)過本部門經(jīng)理簽字后提交行政部后領取計算機設備。計算機及附屬設備屬公司信息資產(chǎn)，在行政部備案。有關計算機設備所帶技術說明書、軟件由行政部保存。使用部門的使用人應妥善保管計算機及附屬設備，公用計算機設備由使用部門經(jīng)理指定專人負責使用管理。5.1.5離職時，應將計算機交還XX部，由XX部注銷賬戶。5.2計算機設備維護5.2.1計算機使用部門應將每部計算機落實到個人管理。計算機使用人員負責計算機的日常維護和保養(yǎng)；XX部按照《惡意軟件控制程序》要求進行計算機查XXX有限公司文件名稱頁碼文件編號5.2.2計算機使用部門發(fā)現(xiàn)故障或異常，可先報公司XX管理員處理，如其無法解決，則由XX管理員填寫《事態(tài)事件脆弱性記錄》向供應商申請維修。故障原5.3計算機調配與報廢管理5.3.1用戶計算機更新后，原來的計算機由XX部根據(jù)計算機的技術狀態(tài)決定調5.3.2含有敏感信息的計算機調配使用或報廢前，計算機使用部門應與XX部共同采取安全可靠的方法將計算機內的敏感信息清除。部門內部的調配由使用部門自行處理，并通知XX部進行計算機配置變部門間的調配管理：XX部收回因更新等原因不用的計算機設備，由變更部門變更信息資產(chǎn)清單，并按照本程序5.1.3、5.1.4要求重新分配使用。5.4報廢處理5.4.1計算機設備采用集中報廢處理。報廢前由XX部向行政部提出報廢，經(jīng)審核后由XX部實施報廢。5.4.2XX部按照批準的處置方案進行報廢處理，并變更固定資產(chǎn)清單。5.5筆記本電腦安全管理5.5.1筆記本電腦應由被授權的使用人保管；對于需多人共用的筆記本電腦，XXX有限公司文件名稱頁碼文件編號應由部門負責人指定專人保管。5.5.2筆記本所帶附件應由使用者本人或部門負責人指定專人保管。5.5.3筆記本電腦使用時應防止惡意軟件的侵害，在系統(tǒng)中應安裝防病毒軟件，并由使用人對其定期升級，對系統(tǒng)定期查殺，XX部負責監(jiān)督。5.5.4筆記本電腦在移動使用中，不能隨意拉接網(wǎng)絡，需通過填寫《用戶授權申請表》向XX部提前提出需求，經(jīng)XX部審批后方能接入網(wǎng)絡。5.6計算機安全使用的要求5.6.1計算機設備為公司財產(chǎn)，應愛惜使用，按照正確的操作步驟操作。5.6.2使用計算機時應遵循信息安全策略要求執(zhí)行。5.6.3員工入職時，由其所在部門的部門經(jīng)理根據(jù)該員工權限需要填寫《用戶授權申請表》,向研發(fā)部提出用戶開戶申請；離職時也需填寫《用戶授權申請表》5.6.4新域用戶名為用戶姓名的拼音(有重名時另設),初始缺省密碼為XXXXX。用戶在第一次登錄系統(tǒng)時應變更密碼，密碼需要設置在6位以上(英文字母、數(shù)字或符號組合的優(yōu)質密碼)并注意保密。5.6.5各人使用自己的賬戶登錄，未經(jīng)許可不得以他人用戶名登錄。若用戶遺忘密碼，應及時向研發(fā)部申請新密碼后登錄。5.6.6不得使用計算機設備處理正常工作以外的事務。5.6.7計算機的軟硬件設置管理由研發(fā)部進行，未經(jīng)許可，任何人不得更換計XXX有限公司頁碼文件編號5.6.8研發(fā)部負責初始軟件的安裝，公司嚴禁個人私自安裝和更改任何軟件。計算機用戶的軟件安裝與升級按照《更改控制程序》執(zhí)行。拒絕使用來歷不明5.6.9嚴禁亂拉接電源，以防造成短路或失火。5.6.10計算機桌面要保持清潔，不得將秘密和(或)受控文件直接放置在桌面；計算機桌面必須設置屏幕保護，恢復時需用密碼確認(執(zhí)行密碼口令管理規(guī)定)。鎖屏時間可根據(jù)自己工作習慣設置鎖屏時間，但最高不得高于5分鐘。5.7網(wǎng)絡安全使用的要求5.7.1對于網(wǎng)絡連接供應商，充分考慮其口碑和現(xiàn)有安全防范措施，在簽署保密協(xié)議的基礎上加以篩選。5.7.2對內設置必要的路由器防火墻，采用HTTP、FTP的連接方式，捆綁固定IP地址防止權限濫用。6信息處理設施的日常點檢6.1計算機的日常點檢日常點檢的目的是確認系統(tǒng)硬件是否運行良好，有無硬件及程序上的報警，備份是否正常進行等。點檢的流程、責任、項目、點檢周期和記錄表詳由相應部門制定。如出現(xiàn)在檢查期人員外出等不在崗情況，需要在返回工作崗位時，XXX有限公司文件名稱頁碼文件編號6.2網(wǎng)絡設備的管理與維護點檢的流程、責任、項目、點檢周期和記錄表由XX部負責，特別的，在點6.3點檢策略6.3.1所有存在于計算機、網(wǎng)絡設備上的服務、入侵檢測系統(tǒng)、防火墻和其他網(wǎng)絡邊界訪問控制系統(tǒng)的系統(tǒng)審核、賬號審核和應用審核日志必須打開，如果有警報和警示功能必須打開。6.3.2審核日志必須保存一定的期限，任何個人和部門不得以任何理由刪除保6.3.3審核日志必須由該系統(tǒng)管理員定期檢查，特權使用、非授權訪問的試圖、系統(tǒng)故障和異常等內容應該得到評審，以查找違背信息安全的征兆和事實。6.3.4入侵檢測系統(tǒng)必須處于啟動狀態(tài)，日志保存一定的期限，定期評審異?，F(xiàn)象，對所有可疑或經(jīng)確認的入侵行為和入侵企圖需及時匯報并采取相應的措設備類型日志內容期期服務系統(tǒng)對外提供服務的a)用戶標識符(ID);≥6個月≤2周直接用于設計、≥12個≤2周XXX有限公司文件名稱頁碼文件編號存儲、檢測的控制、管理和查詢系統(tǒng)b)登錄和注銷事件；c)若可能，終端位d)成功的失敗的登錄試圖。月全公司辦公系統(tǒng)≥6個月≤5周部門內部服務器≥6個月≤5周其他服務器≥6個月≤5周防火墻和路由器系統(tǒng)配置更改日志≥1個月≤5周≥1個月≤5周VPN網(wǎng)關a)用戶標識符(ID);b)登錄和注銷事件；c)終端位置；d)成功的失敗的登錄試圖。≥1周≤1周入侵檢測系統(tǒng)異常網(wǎng)絡連接的時間、IP、入侵類型≥3個月≤5周遠程訪問系統(tǒng)a)用戶標識符(ID);b)登錄和注銷事件；c)終端位置；d)成功的失敗的登錄試圖?！?個月≤5周XXX有限公司文件名稱頁碼文件編號6.3.6XX部網(wǎng)絡管理員根據(jù)系統(tǒng)的安全要求確認其日志內容、保存周期、檢查周期，其最低要求不得低于上表的要求。如因為日志系統(tǒng)本身原因不能滿足上表的最低要求，需要降低標準的，須得到XX部主管或管理者代表的批準和備6.3.7XX部網(wǎng)絡管理員配置日志系統(tǒng)，并定期檢查日志內容，評審安全情況。評審的內容包括：授權訪問、特權操作、非授權訪問試圖、系統(tǒng)故障與異常等6.4資料的保存6.4.1設備的技術資料由設備所在的部門交由行政部保存并建立《受控文件和6.4.2設備廠商對設備進行維修后提供的維修(維護)記錄單，由XX部保存，6.5網(wǎng)絡掃描工具的安全使用管理6.5.1對網(wǎng)絡掃描工具的使用，必須得到管理者代表的授權，并保存使用的記7其它要求涉及應用系統(tǒng)軟件的開發(fā)(包括外包軟件開發(fā))的項目，還需執(zhí)行《系統(tǒng)開發(fā)與維護控制程序》的相關要求。XXX有限公司文件名稱頁碼文件編號

《系統(tǒng)開發(fā)與維護控制程序》

《系統(tǒng)邏輯訪問管理制度》記錄名稱保存部門保存期限3年5年3年3年XXX有限公司文件名稱頁碼文件編號1適用本規(guī)定適用于本公司的正式員工和借用員工聘用、任職期間及離職的安全考察與保密控制以及其他相關人員(合同方、臨時員工)的安全考察與控制。2目的為防止品質不良或不具備一定技能的人員進入本公司，或不具備3職責3.1行政部負責員工聘用、任職期間及離職的安全考察管理及保密協(xié)議的3.2各部門負責本部門員工的日常考察管理工作。4員工錄用4.1人員考察策略4.1.1所有員工在正式錄用(借用)前應進行以下方面考察：b)應聘者學歷、個人簡歷的檢查(完整性和準確性);XXX有限公司頁碼文件編號考察。4.2對錄用(借用)人員的考察4.2.1行政部對擬錄用(借用)人員重點進行以下方面考察：a)根據(jù)應聘資料及面試情況初判應聘者的職業(yè)素質；b)根據(jù)應聘者人事經(jīng)歷的記載，了解是否有重大懲戒及犯c)通過與應聘者溝通，并了解其應聘動機；4.2.3在考察中發(fā)現(xiàn)應聘者存在不良傾向的，將不予錄用(借用)。密措施。5.3部門在員工離職后要采取相應的技術防范措施(如變更口令、程序等),必要時應與信息科技部協(xié)調。XXX有限公司頁碼文件編號6離職程序6.1員工必須在離職日前30天向本部門部長提出書面離職報告。6.2部門長接到員工離職報告后，填寫ISMS-4373《員工特別事項處理意見表》,簽署意見后送行政部。職員工在離職日前必須把擔當?shù)牟块T工作移交完畢。6.5辦理離職手續(xù)續(xù)，各相關部門負責按照《用戶訪問控制程序》取消離職員工的訪問權限。手冊》交于離職者。XXX有限公司頁碼文件編號7.1《用戶訪問控制程序》7.2《秘密管理規(guī)程》7.3《人事工作審批程序》8.1《應聘申請表》8.2《崗位調整審查表》8.3《員工特別事項處理意見表》8.4《員工離公司手續(xù)單》8.5《雙邊保密協(xié)定》XXX有限公司文件名稱頁碼文件編號公正有效的獎懲，并作為對可能在其它情況下有意輕視信息安全程序威懾，強化全體員工的信息安全意識，有效防止信息安全事故的發(fā)生，特制定本規(guī)定。無4.1各部門經(jīng)理負責自己區(qū)域內的獎懲。4.2管理者代表負責對IT方面信息安全事故的獎懲管理。4.3信息安全管理委員會負責決定重大信息安全和事故的處罰。4.4系統(tǒng)管理員負責本公司內部泄密或信息泄漏的調查。頁碼文件編號5.1計算機信息系統(tǒng)的安保5.1.1在計算機信息系統(tǒng)安全保護工作中成績顯著的單位和個人，由人事部給5.1.2存在計算機信息系統(tǒng)安全隱患，由人事部發(fā)出整改通知，限期整改。因不及時整改而發(fā)生重大事故和案件的，由市行對該單位的主管負責人和直接負責人予以行政處分；構成違反治安管理或者違反計算機管理監(jiān)察行為的，由公安機關依法予以處罰；構成犯罪的，由司法機關依法追究刑事責任。注：以上條款由本公司信息安全委員會負責解釋。XXX有限公司頁碼文件編號5.2計算機應用與管理違規(guī)行為處罰規(guī)定5.2.1計算機應用、維護及操作人員違反規(guī)定的，給予經(jīng)濟處罰或者警告至降級處分；造成嚴重后果的，給予撤職至開除處分。5.2.2違反規(guī)定，擅自編制、使用、修改業(yè)務應用程序、調整系統(tǒng)參數(shù)和業(yè)務數(shù)據(jù)的，給予主管人員和其他責任人員記過至撤職處分；造成嚴重后果的，給予主管人員和其他責任人員留用察看至開除處分。5.2.3利用計算機進行違法違規(guī)活動或者為違法違規(guī)活動提供條件的，給予主管人員和其他責任人員記過撤職處分；造成嚴重后果的，給予留用至開除處分。5.2.4違反規(guī)定，有下列危害網(wǎng)絡安全公司為之一的，給予有關責任人員經(jīng)濟處罰或者警告至記過處分；造成嚴重后果的，給予記大過至開除處分：(a)在生產(chǎn)經(jīng)營用機上使用與業(yè)務無關的軟件或者利用通訊手段非法侵入其他系統(tǒng)和網(wǎng)絡的(含從的一個業(yè)務系統(tǒng)進入另一個業(yè)務系統(tǒng)，從以外的系統(tǒng)和設備侵入業(yè)務網(wǎng)絡系統(tǒng)，以及從的業(yè)務網(wǎng)絡系統(tǒng)進入以外的網(wǎng)絡系統(tǒng));(b)未經(jīng)審批，私自使用內部網(wǎng)絡上的計算機撥號上國際互聯(lián)網(wǎng)的；(c)將非計算機設備接入網(wǎng)絡系統(tǒng)的；(e)私自修改計算機操作系統(tǒng)、網(wǎng)絡系統(tǒng)安全設置的；(f)未經(jīng)審批，私自在網(wǎng)絡系統(tǒng)內開設游戲網(wǎng)站、論壇、聊天室等與工作(g)利用郵件系統(tǒng)傳播損害形象的郵件的。5.2.5利用的計算機設備和網(wǎng)絡系統(tǒng)制造、傳播計算機病毒，給予主管人員和XXX有限公司頁碼文件編號其他責任人員記過至記大過處分；造成嚴重后果的，給予主管人員和其他責任5.2.6計算機房值班人員擅自離崗的，給予經(jīng)濟處罰或者警告處分；造成嚴重后果的，給予記過至開除處分。5.2.7系統(tǒng)管理和操作人員離開主機或者終端時沒有按操作規(guī)程退出系統(tǒng)的，給予經(jīng)濟處罰或者警告至記過處分；造成嚴重后果的，給予記大過至開除處分。5.2.8違反規(guī)定將屬于的計算機軟件、文檔、資料、客戶信息等據(jù)為己有、復制或者借給外單位的，給予有關責任人員記過至撤職處分；造成嚴重后果的，給予留用察看至開除處分。5.2.9未按規(guī)定進行數(shù)據(jù)備份、沒有妥善保管備份數(shù)據(jù)或備分數(shù)據(jù)無效的，給予主管人員和其他責任人員經(jīng)濟處罰或者警告至記過處分；造成嚴重后果的，給予記大過至開除處分。5.2.10在對面向客戶的業(yè)務應用系統(tǒng)管理中，從事后臺維護的技術人員，違反規(guī)定同時進行前臺技術維護的，給予主管人員和其他責任人員記過至記大過處分；造成嚴重后果的，給予降級至開除處分。5.2.11在業(yè)務應用系統(tǒng)有關的各項業(yè)務操作過程中，技術人員代替業(yè)務人員操作，或業(yè)務員允許技術人員代替從事業(yè)務操作，給予主管人員和其他責任人員5.2.12偽造信息的，給予主管人員和其他責任人員警告至降級處分；造成嚴重后果的，給予撤職至開除處分。XXX有限公司文件名稱頁碼文件編號5.3計算機信息類違規(guī)處罰5.3.1本公司職工違規(guī)操作，給系統(tǒng)造成一定的影響，但沒有影響業(yè)務正常運行或對業(yè)務造成輕微危害者，給當事人警告或嚴重警告、情節(jié)較重或嚴重者，視情節(jié)輕重給予當事人和主管領導200元以上1000元以下罰款。5.3.2本公司職工違規(guī)操作導致系統(tǒng)發(fā)生問題，影響業(yè)務長時間正常運行，視情況給予處罰，情節(jié)嚴重者，開除。5.3.3系統(tǒng)管理員凡是不按要求管理，出現(xiàn)公網(wǎng)和內網(wǎng)混網(wǎng)現(xiàn)象，或其它安全問題，一經(jīng)發(fā)現(xiàn)，除全公司通報批評外，處以200元罰款，情節(jié)嚴重者，調離5.3.4所有計算機使用用戶，違規(guī)私自修改網(wǎng)絡地址進入不該進入的業(yè)務網(wǎng)段、或使用內網(wǎng)主機進入internet網(wǎng)絡者，若對系統(tǒng)和業(yè)務未造成影響，除全公司通報批評外，處以當事人和相關責任人200元罰款，若對系統(tǒng)或業(yè)務造成影響著，視情節(jié)輕重，處以500以上10000元以下罰款。5.3.5凡是利用非法手段竊取系統(tǒng)密鑰，進入本公司業(yè)務系統(tǒng)，盜取客戶資料，情節(jié)嚴重者，送交司法機關處置。XXX有限公司文件名稱頁碼文件編號5.4獎懲記錄5.4.1系統(tǒng)管理員根據(jù)本公司獎懲管理規(guī)定，對獎懲的實施進行記錄并形成《獎懲記錄單》記錄完畢后由系統(tǒng)管理員進行留存。XXX有限公司頁碼文件編號5.5證據(jù)的收集5.5.1當信息安全事件涉及到訴訟(民事的或刑事的),需要進一步對個人或組織進行起訴時，應收集、保留和呈遞證據(jù)，以使證據(jù)符合相關訴訟管轄權。5.5.2證據(jù)在收集時不得侵犯個人權益，應在不侵犯個人權益時對證據(jù)進行收拾并且證實證據(jù)是否可在法庭上使用。5.5.3應保證證據(jù)的質量和完備性，防止未被授權的篡改和泄漏。5.5.4證據(jù)獲得的保證：本公司應確保收集證據(jù)其信息系統(tǒng)符合任何公布的標準或實用規(guī)則來產(chǎn)生被容許的證據(jù)。XXX有限公司頁碼文件編號5.6證據(jù)的保存及提供5.6.1提供證據(jù)的份量應符合任何適用的要求。對該證據(jù)的存儲和處理的整個時期內，應進行過程控制保證證據(jù)的質量和完備性。5.6.2紙面文檔證據(jù)的提供：原物應被安全保存且?guī)в邢铝行畔⒌挠涗洠赫l發(fā)現(xiàn)了這個文檔，文檔是在哪兒被發(fā)現(xiàn)的，文檔是什么時候被發(fā)現(xiàn)的，誰來證明這個發(fā)現(xiàn)；任何調查應確保原物沒有被篡改；5.6.3對計算機介質上的信息：任何可移動介質的鏡像或拷貝(依賴于適用的要求)、硬盤或內存中的信息都應確保其可用性；拷貝過程中所有的行為日志都應保存下來，且應有證據(jù)證明該過程；原始的介質和日志(如果這一點不可能的話，那么至少有一個鏡像或拷貝)應安全保存且不能改變5.6.4任何法律取證工作應僅在證據(jù)材料的拷貝上進行。所有證據(jù)材料的完整性應得到保護。證據(jù)材料的拷貝必須在可信耐人員的監(jiān)督下進行，什么時候在什么地方執(zhí)行的拷貝過程，誰執(zhí)行的拷貝活動，以及使用了哪種工具和程序，這些信息都應記錄作為日志。6記錄《獎懲記錄單》XXX有限公司頁碼文件編號3.職責與權限3.2綜合部4.相關文件5.術語定義無6.適用性聲明XXX有限公司文件名稱頁碼文件編號標準條款號標題目標/控制是否選擇信息安全管理指引目標提供符合有關法律法規(guī)和業(yè)務需求的信息安全管理指引和支持。信息安全方針控制信息安全方針應由管理才批準發(fā)布。信息安全方針的評審控制確保方針持續(xù)的適應性。《管理評審控制程序》標準條款號標題目標/控制是否選擇信息安全組織目標信息安全的角色和職責控制保持特定資產(chǎn)和完成特定安全過程的所有信息安全職責《信息安全管理職責分離控制分離有沖突的職責和責任范圍，以減少對組織資產(chǎn)未經(jīng)授權訪問、無意修改或誤用的機會?！缎畔踩芾砼c監(jiān)管機構的聯(lián)系控制與相關監(jiān)管機構保與特殊利益團體的聯(lián)系控制與特殊利益團體、其他專業(yè)安全協(xié)會或行業(yè)協(xié)會應保持適項目管理中的信息安全控制實施任何項目時應考慮信息安全相關《相關方管理程序》XXX有限公司文件名稱頁碼文件編號標準條款號標題目標/控制是否選擇移動設備和遠程辦公目標移動設備策略控制采取安全策略和配套的安全措施管控使用移動設備《信息處理設施《計算機管理規(guī)遠程辦公控制《用戶訪問控制標準條款號標題目標/控制是否選擇聘用前目標確保員工、合同方人員適合他們所承擔的角色并理解他們的安全責任1人員篩選控制通過人員考察，防止人員帶來的信息安《人力資源安全2雇傭條款和條件控制履行信息安全保密協(xié)議是雇傭人員的《人力資源安全管理程序》《保密協(xié)議》聘用期間目標確保員工和合同方了解并履行他們的信1管理職責控制缺乏管理職責，會使人員意識淡薄，從而對組織造成負面安全影響?！缎畔踩芾怼度肆Y源安全管理程序》2信息安全意識、教育和培訓控制信息安全意識及必要的信息系統(tǒng)操作技能培訓是信息安《人力資源安全XXX有限公司文件名稱頁碼文件編號標準條款號標題目標/控制是否選擇3懲戒過程控制對造成安全破壞的員工應該有一個正《信息安全懲戒聘用中止和變化目標1任用終止或變更的責任控制應定義信息安全責任和義務在任用終止或變更后仍然有效，并向員工和合同《人力資源安全《相關方服務管A.8資產(chǎn)管理標準條款號標題目標控制是否選擇資產(chǎn)責任目標1資產(chǎn)清單控制建立重要資產(chǎn)清單評估控制程序》《重要資產(chǎn)清單》2資產(chǎn)責任人控制對所有的與信息處理設施有關的信息和資產(chǎn)指定“所有者”《資產(chǎn)清單》《信息處理設施XXX有限公司文件名稱頁碼文件編號標準條款號目標/控制是否選擇3資產(chǎn)的合理使用控制識別與信息系統(tǒng)或服務相關的資產(chǎn)的合理使用規(guī)則，并將其文件化，并予以實4資產(chǎn)的歸還控制在勞動合同或協(xié)議終止后，所有員工和外部方人員應退還所有他們持有的組織資產(chǎn)。信息分類目標我司根據(jù)信息的敏感性對信息進行分類，明確保護要求、優(yōu)先權和等級，以確保對資產(chǎn)采取適當?shù)谋Ｗo。1分類指南控制我司的信息安全涉當?shù)姆诸惪刂剖潜?信息標識控制按分類方案進行標注并規(guī)定信息處理3資產(chǎn)處理控制根據(jù)組織采用的資產(chǎn)分類方法制定和實施資產(chǎn)處理程序目標防止存儲在介質上的信息被非授權泄1可移動介質管理控制信息的磁盤、磁帶、光盤、打印報告等可2控制對含有敏感信息介質采用安全的處置物理介質傳控含有信息的介質應XXX有限公司頁碼文件編號標準條款號標題目標控制是否選擇3輸制在運輸過程中的損A.9訪問控制標準條款號標題目標控制是否選擇訪問控制的業(yè)務需求目標限制對信息和信息處理設施的訪問1訪問控制策略控制建立文件化的訪問務和安全要求對策略進行評審?！队脩粼L問控制2對網(wǎng)絡和網(wǎng)絡服務的訪問控制制定策略，明確用戶務的范圍，防止非授權的網(wǎng)絡訪問?！队脩粼L問控制用戶訪問管理目標確保已授權用戶的訪問，預防對系統(tǒng)和服務的非授權訪問。1用戶注冊和注銷控制我司存在多用戶信息系統(tǒng)，應建立用戶登記和注銷登記程《用戶訪問控制2用戶訪問權限提供控制應有正式的用戶訪問分配程序，以分配和撤銷對于所有信息系統(tǒng)及服務的訪《用戶訪問控制3特權管理控制應對特權帳號進行管理，特權不適當?shù)氖褂脮斐上到y(tǒng)的《用戶訪問控制XXX有限公司文件名稱頁碼文件編號標準條款號標題目標控制是否選擇4用戶認證信息的安全管理控制用戶鑒別信息的權限分配應通過一個正式的管理過程進行安全控制?！队脩粼L問控制5用戶訪問權限的評審控制行評審是必要的，以防止非授權的訪問。《用戶訪問控制6撤銷或調整訪問權限控制在跟所有員工和承包商人員的就業(yè)合同或協(xié)議終止和調整后，應相應得刪除或調整其信息和信息處理設施的訪問權限?！度肆Y源安全《用戶訪問控制《相關方服務管理程序》用戶責任目標確保用戶對認證信息的保護負責。1認證信息的使用控制應要求用戶遵循組織的規(guī)則使用其認證信息?！队脩粼L問控制系統(tǒng)和應用訪問控制目標防止對系統(tǒng)和應用的未授權訪問1信息訪問限制控制我司信息訪問權限是根據(jù)業(yè)務運做的需要及信息安全考慮所規(guī)定的，系統(tǒng)的訪問功能應加以限《用戶訪問控制2安全登錄程序控制對操作系統(tǒng)的訪問應有安全登錄程序《用戶訪問控制XXX有限公司文件名稱頁碼文件編號標準條款號標題控制是否選擇3密碼管理系統(tǒng)控制為減少非法訪問操作系統(tǒng)的機會，應對4特權程序的使用控制對特權程序的使用應嚴格控制，防止惡意破壞系統(tǒng)安全。5對程序源碼的訪問控制控制對程序源代碼的訪問應進行限制。A.10加密技術標準條款號標題目標/控制是否選擇加密控制目標確保適當和有效地使用加密技術來保護信息的機密性、真實性、完整性。使用加密控制的策略控制為保護信息，應開發(fā)并實施加密控制的使用策略《技術符合性管理規(guī)定》密鑰管理控制應進行密鑰管理，以支持公司對密碼技術的使用《計算機管理規(guī)標準條款號標題目標控制是否選擇相關文件安全區(qū)域目標防止對組織信息和信息處理設施的未經(jīng)授權物理訪問、破壞和干擾。物理安全邊控我司有包含重要信XXX有限公司文件名稱頁碼文件編號標準條款號標題目標控制是否選擇界制息及信息處理設施的區(qū)域，應確定其安全周界對其實施保物理進入控制控制安全區(qū)域進入應經(jīng)過授權，未經(jīng)授權的非法訪問會對信息安全構成威脅?！栋踩珔^(qū)域控制辦公室、房間及設施的安全控制對安全區(qū)域內的綜合管理部、房間和設施應有特殊的安全要求?！栋踩珔^(qū)域控制防范外部和環(huán)境威脅控制加強我司物理安全控制，防范火災、水災、地震，以及其它形式的自然或人為《安全區(qū)域控制在安全區(qū)域工作控制在安全區(qū)域工作的人員只有嚴格遵守安全規(guī)則，才能保證安全區(qū)域安全?！栋踩珔^(qū)域控制《相關方服務管理程序》送貨和裝卸區(qū)控制可能訪問到的地點進行控制，防止外來人員直接進入重要安全區(qū)域是必要的?！栋踩珔^(qū)域控制設備安全目標防止資產(chǎn)的遺失、損壞、偷竊等導致的設備安置及保護控制防止火災、吸煙、油《信息處理設施XXX有限公司頁碼文件編號標準條款號標題目標控制是否選擇支持設施控制對設備加以保護使其免于電力中斷或者其它支持設施故障而導致的中斷的《信息處理設施線纜安全控制通信電纜、光纜需要進行正常的維護，以防止偵聽和損壞?！毒W(wǎng)絡安全管理設備維護控制設備保持良好的運行狀態(tài)是保持信息的完整性及可用性的基礎?！缎畔⑻幚碓O施《計算機管理規(guī)定》資產(chǎn)轉移控制設備、信息、軟件未經(jīng)授權之前，不應將設備、信息或軟件帶《信息處理設施場外設備和資產(chǎn)安全控制我司有筆記本移動公場所應進行控制，授權的訪問等危害的發(fā)生?！缎畔⑻幚碓O施設備報廢或重用控制對我司儲存有關敏感信息的設備，如服務器、硬盤，對其處置和再利用應將其信息清除?！缎畔⑻幚碓O施無人值守的設備控制確保無人值守設備得到足夠的保護。桌面清空及清屏策略控制不實行清除桌面或清除屏幕策略，會受到資產(chǎn)丟失、失竊或XXX有限公司頁碼文件編號標準條款號標題標/控制是否選擇遭到非法訪問的威A.12操作安全標準條款號標題目標控制是否選擇操作程序及職責目標確保信息處理設備的正確和安全使用。1文件化操作程序控制作業(yè)程序應該文件化，并在需要時可用。2變更管理控制未加以控制的信息處理設備和系統(tǒng)更改會造成系統(tǒng)故障和安全故障。《信息處理設施3容量管理控制為避免因系統(tǒng)容量不足導致系統(tǒng)故障，監(jiān)控容量需求并規(guī)劃將來容量是必須的?！缎畔踩O(jiān)控4開發(fā)、測試與運行環(huán)境的分離控制我司設有研發(fā)部門，應分離開發(fā)、測試和運營設施，以降低未授權訪問或對操作系統(tǒng)變更的風險《軟件開發(fā)安全防范惡意軟件目標確保對信息和信息處理設施的保護，防止惡意軟件。1控制惡意軟件控制惡意軟件的威脅是客觀存在的，應實施惡意代碼的監(jiān)測、預防和恢復控制，以及適當?shù)挠脩粢庾R培訓的程《防病毒管理規(guī)XXX有限公司頁碼文件編號標準條款號目標控制是否選擇備份目標防止數(shù)據(jù)丟失1數(shù)據(jù)備份控制對重要信息和軟件定期備份是必須的，以防止信息和軟件的丟失和不可用，及支持業(yè)務可日志記錄和監(jiān)控目標記錄事件和生成的證據(jù)1事件日志控制為訪問監(jiān)測提供幫助，建立事件日志(審核日志)是必須2日志信息保護控制日志記錄設施以及日志信息應該被保護，防止被篡改和未經(jīng)授權的訪問。3管理員和操作者日志控制應根據(jù)需要，記錄系統(tǒng)管理員和系統(tǒng)4時鐘同步控制實施時鐘同步，是生產(chǎn)、經(jīng)營與獲取客觀證據(jù)的需要。運營中軟件控制目標1運營系統(tǒng)的軟件安裝控制應建立程序對運營中的系統(tǒng)的軟件安技術漏洞管理目標1管理技術薄弱點控制及時獲得正在使用信息系統(tǒng)的技術薄XXX有限公司文件名稱頁碼文件編號標準條款號標題目標控制是否選擇弱點的相關信息，應評估對這些薄弱點的暴露程度，并采取適當?shù)姆椒ㄌ幚硐嚓P風險。2限制軟件安裝控制應建立和實施用戶軟件安裝規(guī)則。信息系統(tǒng)審計的考慮因素目標1信息系統(tǒng)審核控制控制應謹慎策劃對系統(tǒng)運行驗證所涉及的審核要求和活動并獲得許可，以最小化中斷業(yè)務過《內部審核控制標準條款號標題目標控制是否選擇網(wǎng)絡安全管理目標確保網(wǎng)絡及信息處理設施中信息的安全。網(wǎng)絡控制控制和控制，以保護系統(tǒng)和應用程序的信息。《網(wǎng)絡安全管理網(wǎng)絡服務安全控制應識別所有網(wǎng)絡服務的安全機制、服務等級和管理要求，并包括在網(wǎng)絡服務協(xié)議中，無論這種服務《網(wǎng)絡安全管理XXX有限公司文件名稱頁碼文件編號標準條款號標/制是否選擇相關文件是由內部提供的還是外包的。網(wǎng)絡隔離控制應在網(wǎng)絡中按組隔離信息服務、用戶和《網(wǎng)絡安全管理信息交換目標確保信息在組織內部或與外部組織之間傳輸?shù)陌踩?。信息交換策略和程序控制應建立正式的傳輸策略、程序和控制，以保護通過通訊設施傳輸?shù)乃蓄愋汀缎畔⒔粨Q管理信息交換協(xié)議控制建立組織和外部各方之間的業(yè)務信息的安全傳輸協(xié)議?！缎畔⒔粨Q管理3電子消息控制應適當保護電子消息的信息。《信息交換管理程序》保密或不披露協(xié)議控制應制定并定期評審組織的信息安全保密協(xié)議或不披露協(xié)議，該協(xié)議應反映織對信息保護的要求?！侗Ｃ軈f(xié)議》《相關方管理程A.14系統(tǒng)的獲取、開發(fā)及維護標準條款號標題/目標控制是否選擇信息系統(tǒng)安全需求目標確保信息安全成為信息系統(tǒng)整個生命周期的組成部分，包括通過公共網(wǎng)絡提供服務的信息系統(tǒng)的要求。信息安全需求分析和規(guī)范控制新建信息系統(tǒng)或增強現(xiàn)有信息系統(tǒng)的需求中應包括信息安全相關的要求。公共網(wǎng)絡應控應保護流經(jīng)公共網(wǎng)XXX有限公司頁碼文件編號標準條款號標題目標控制是否選擇用服務的安全制絡的應用服務信息，以防止欺詐、合同爭議、未授權的泄漏保護應用服務控制應保護應用服務傳輸中的信息，以防止不完整的傳輸、路由錯誤、未授權的消息修改、未經(jīng)授權的泄漏、未授權的信息復《網(wǎng)絡安全管理開發(fā)和支持過程的安全目標確保信息系統(tǒng)開發(fā)生命周期中設計和實施信息安全。開發(fā)的安全策略控制應對軟件開發(fā)及系統(tǒng)建設的安全需求《軟件開發(fā)安全系統(tǒng)變更控制程序控制為防止未授權或不充分的更改，導致系統(tǒng)故障與中斷，需要實施嚴格更改控制。操作平臺變更后的技術評審控制操作系統(tǒng)的不充分更改對應用系統(tǒng)會造成嚴重的影響。軟件包變更限制控制不鼓勵對軟件包進行變更，對必要的更改需嚴格控制。安全系統(tǒng)工程原則控制應建立、文件化、維護和應用安全系統(tǒng)工程原則，并應用于任何信息系統(tǒng)工程?！盾浖_發(fā)安全開發(fā)環(huán)境安全控制在整個系統(tǒng)開發(fā)生命周期的系統(tǒng)開發(fā)和集成工作中，應建立并妥善保障開發(fā)環(huán)境的安全?！盾浖_發(fā)安全外包開發(fā)控制公司暫無軟件外包過程。XXX有限公司頁碼文件編號標準條款號標題控制是否選擇系統(tǒng)安全測試控制在開發(fā)過程中，應進行安全性的測試。系統(tǒng)驗收測試控制的驗收測試程序和相關準則。測試數(shù)據(jù)目標測試數(shù)據(jù)的保護控制應謹慎選擇測試數(shù)據(jù)，并加以保護和控A.15供應商關系標準條款號標題目標/控制是否選擇供應商關系的信息安全目標確保組織被供應商訪問的信息的安全。1供應商關系的信息安全策略控制為降低供應商使用組織的資產(chǎn)相關的風險，應與供應商簽署安全要求的文件協(xié)議。《保密協(xié)議》2在供應商協(xié)議中強調安全控制與每個供應商簽訂的協(xié)議中應覆蓋所有相關的安全要求。如可能涉及對組織的IT基礎設施組件、信息的訪問、處理、存儲、溝通?！侗Ｃ軈f(xié)議》3信息和通信技術的供應鏈控制供應商協(xié)議應包括信息、通信技術服務和產(chǎn)品供應鏈的相關信息安全風《保密協(xié)議》XXX有限公司文件名稱頁碼文件編號標準條款號標題目標控制是否選擇供應商服務交付管理目標保持符合供應商協(xié)議的信息安全和服1供應商服務的監(jiān)督和評審控制組織應定期監(jiān)督、評審和審核供應商的服務交付?！断嚓P方服務管2供應商服務的變更管理控制應管理供應商服務的變更，包括保持和改進現(xiàn)有信息安全策略、程序和控制措施，考慮對業(yè)務信息、系統(tǒng)、過程的關鍵性和風險的再評估?！断嚓P方服務管標準條款號標題目標控制是否選擇信息安全事件的管理和改進目標確保網(wǎng)絡及信息處理設施中信息的安全。1職責和程序控制應建立管理職責和程序，以快速、有效和有序的響應信息安全事件。2報告信息安全事態(tài)控制應通過適當?shù)墓芾硗緩奖M快報告信息安全事態(tài)。3報告信息安全弱點控制應要求使用組織信息系統(tǒng)和服務的員工和承包商注意并XXX有限公司頁碼文件編號標準條款號標題目標控制是否選擇報告系統(tǒng)或服務中任何已發(fā)現(xiàn)或疑似的信息安全弱點?？刂瞥绦颉?評估和決策信息安全事件控制應評估信息安全事件，以決定其是否被認定為信息安全事故。管理程序》5響應信息安全事故控制應按照文件化程序響應信息安全事管理程序》6從信息安全事故中學習控制分析和解決信息安全事故獲得的知識應用來減少未來事故的可能性或影管理程序》7收集證據(jù)控制采集和保存可以作管理程序》標準條款號標題標/控制是否選擇信息安全的連續(xù)性目標信息安全連續(xù)性應嵌入到組織的業(yè)務連續(xù)性管理體系。1規(guī)劃信息安全的連續(xù)性控制組織應確定其需求，以保證在不利情況下信息安全管理的安全和連續(xù)性，如在危機或災難時?！稑I(yè)務持續(xù)性管2實施信息安全的連續(xù)性控制組織應建立、文件化、實施、維護程序和控制過程，以《業(yè)務持續(xù)性管XXX有限公司文件名稱頁碼文件編號標準條款號標題目標/控制是否選擇確保處理不利的情況過程中所需的信息安全連續(xù)性水理程序》3驗證，評審和評估信息安全的連續(xù)性控制組織應定期驗證已建立并實施的信息安全連續(xù)性控制，以確保其有效并可在災害情況下奏《業(yè)務持續(xù)性管理程序》冗余目標1信息處理設施的可用性控制信息處理設施應具備足夠的冗余以滿足可用性要求。理程序》標準條款號標題是否選擇法律和合同規(guī)定的符合性目標1識別適用的法律法規(guī)和合同要求控制應清楚的識別所有相關法律、法規(guī)與合同的要求及組織滿足要求的方法并形成文件，并針對組織及每個信息系統(tǒng)進行更新?！斗煞ㄒ?guī)獲取識別控制程序》2知識產(chǎn)權控制應實施適當?shù)某绦颍源_保對知識產(chǎn)權軟件產(chǎn)品的使用符合相關的法律、法規(guī)和合同要《計算機管理規(guī)XXX有限公司頁碼文件編號標準條款號標題目標控制是否選擇3保護記錄控制應按照法律法規(guī)、合同和業(yè)務要求，保護記錄免受損壞、破壞、未授權訪問和未授權發(fā)布，或偽造篡改?！缎畔踩录?個人信息和隱私的保護控制個人身份信息和隱私的保護應滿足相關法律法規(guī)的要5加密控制法規(guī)控制加密控制的使用應遵循相關的協(xié)議、法律法規(guī)?！队脩粼L問控制信息安全評審目標確保依照組織的策略和程序實施信息安全。1信息安全的獨立評審控制應定期或發(fā)生重大變化時，對組織的信息安全管理方法(如，信息安全控制目標、控制措施、策略、過程和程序)進行獨立評審?！秲炔繉徍丝刂?符合安全策略和標準控制管理層應定期評審管轄范圍內的信息處理過程符合安全策略、標準及其他安全要求?！豆芾碓u審控制3技術符合性評審控制應定期評審信息系統(tǒng)與組織的信息安全策略、標準的符合程度?！都夹g符合性管XXX有限公司頁碼文件編號在ISMS覆蓋范圍內對信息安全現(xiàn)行狀況進行系統(tǒng)風險評估，形成評估報告，描述風險等級，識別和評價供處理風險的可選措施，選擇控制目標和控制措施處理風險。2.0適用范圍3.0定義(無)4.0職責4.1各部門負責部門內部資產(chǎn)的識別，確定資產(chǎn)價值。4.2信息安全部負責風險評估和制訂控制措施。5.0流程圖XXX有限公司頁碼文件編號XXX有限公司文件名稱頁碼文件編號信息安全部信息安全部信息安全部資產(chǎn)識別風險評估準備威脅識別風險計算脆弱性識別信息資產(chǎn)識別表重要資產(chǎn)清單威脅/脆弱性因素表風險評估表是管理層風險是否接受保持已有的安全措施否信息安全部選擇適當?shù)陌踩胧┎⒃u估殘余風險殘余風險清單否管理層是信息安全部安全措施實施計劃XXX有限公司頁碼文件編號6.1.1各部門每年按照管理者代表的要求負責部門內部資產(chǎn)的識別，確定資產(chǎn)價值。6.1.2資產(chǎn)分類根據(jù)資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、文檔、服務、人員等類。6.1.3資產(chǎn)(A)賦值析，選擇對資產(chǎn)機密性、完整性和可用性最為重要(分值最高)的一1)機密性賦值根據(jù)資產(chǎn)在機密性上的不同要求，將其分為五個不同的等級，分別對應資產(chǎn)在機密性上的應達成的不同程度或者機密性缺失時對整個賦值標識定義5極高包含組織最重要的秘密，關系未來發(fā)展的前途命運，對組織根本利益有著決定性影響，如果泄漏會造成災難性的損害4高包含組織的重要秘密，其泄露會使組織的安全和利益遭受嚴重損害3中等包含組織的一般性秘密，其泄露會使組織的安全和利益受到損害2低包含僅能在組織內部或在組織某一部門內部公開的信息，向外擴散有可能對組織的利益造成損害1可忽略包含可對社會公開的信息，公用的信息處理設備和系統(tǒng)資源等2)完整性賦值根據(jù)資產(chǎn)在完整性上的不同要求，將其分為五個不同的等級，分別XXX有限公司文件名稱頁碼文件編號對應資產(chǎn)在完整性上的達成的不同程度或者完整性缺失時對整個組賦值標識定義5極高完整性價值非常關鍵，未經(jīng)授權的修改或破壞會對組織造成重大的或無法接受的影響，對業(yè)務沖擊重大，并可能造成嚴重的業(yè)務中斷，難以彌補4高完整性價值較高，未經(jīng)授權的修改或破壞會對組織造成重大影響，對業(yè)務沖擊嚴重，比較難以彌補3中等完整性價值中等，未經(jīng)授權的修改或破壞會對組織造成影響，對業(yè)務沖擊明顯，但可以彌補2低完整性價值較低，未經(jīng)授權的修改或破壞會對組織造成輕微影響，可以忍受，對業(yè)務沖擊輕微，容易彌補1可忽略完整性價值非常低，未經(jīng)授權的修改或破壞對組織造成的影響可以忽略，對業(yè)務沖擊可以忽略3)可用性賦值對應資產(chǎn)在可用性上的達成的不同程度。賦值標識定義5極高可用性價值非常高，合法使用者對信息及信息系統(tǒng)的4高可用性價值較高，合法使用者對信息及信息系統(tǒng)的可3中等可用性價值中等，合法使用者對信息及信息系統(tǒng)的可2低可用性價值較低，合法使用者對信息及信息系統(tǒng)的可1可忽略可用性價值可以忽略，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間低于25%3分以上為重要資產(chǎn)，重要信息資產(chǎn)由信息安全部確立清單6.2威脅識別6.2.1威脅分類XXX有限公司文件名稱頁碼文件編號對重要資產(chǎn)應由ISMS小組識別其面臨的威脅。針對威脅來源，根據(jù)其表現(xiàn)形式將威脅分為軟硬件故障、物理環(huán)境威脅、無作為或操作失誤、管理不到位、惡意代碼和病毒、越權或濫用、黑客攻擊技術、物理攻擊、泄密、篡改和抵賴等。6.2.2威脅(T)賦值評估者應根據(jù)經(jīng)驗和(或)有關的統(tǒng)計數(shù)據(jù)來判斷威脅出現(xiàn)的頻率。威脅頻率等級劃分為五級，分別代表威脅出現(xiàn)的頻率的高低。等級數(shù)值越大，威脅出現(xiàn)的頻率越高。威脅賦值見下表。等級標識定義5很高威脅出現(xiàn)的頻率很高，在大多數(shù)情況下幾乎不可避免或者可以證實經(jīng)常發(fā)生過(每天)4高威脅出現(xiàn)的頻率較高，在大多數(shù)情況下很有可能會發(fā)生或者可以證實多次發(fā)生過(每周)3威脅出現(xiàn)的頻率中等，在某種情況下可能會發(fā)生或被證實曾經(jīng)發(fā)生過(每月、曾經(jīng)發(fā)生過)2低威脅出現(xiàn)的頻率較小，一般不太可能發(fā)生，也沒有被證實發(fā)生過(每年)1很低威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生(特殊情況)6.3脆弱性識別6.3.1脆弱性識別內容脆弱性識別主要從技術和管理兩個方面進行，技術脆弱性涉及物理層、網(wǎng)絡層、系統(tǒng)層、應用層等各個層面的安全問題。管理脆弱性又可分為技術管理和組織管理兩方面，前者與具體技術活動相關，后者6.3.2脆弱性(V)嚴重程度賦值脆弱性嚴重程度的等級劃分為五級，分別代表資產(chǎn)脆弱性嚴重程度的高低。等級數(shù)值越大，脆弱性嚴重程度越高。脆弱性嚴重程度賦值見下表等級標識定義5很高如果被威脅利用，將對資產(chǎn)造成完全損害(90%以上)XXX有限公司頁碼文件編號4高如果被威脅利用，將對資產(chǎn)造成重大損害(70%)3中如果被威脅利用，將對資產(chǎn)造成一般損害(30%)2低如果被威脅利用，將對資產(chǎn)造成較小損害(10%)1很低如果被威脅利用，將對資產(chǎn)造成的損害可以忽略(10%以下)6.4已有安全措施的確認ISMS小組應對已采取的安全措施的有效性進行確認，對有效的安全措施繼續(xù)保持，以避免不必要的工作和費用，防止安全措施的重復實施。對于確認為不適當?shù)陌踩胧藢嵤欠駪蝗∠?，或者用更合適的安全措施替6.5風險分析完成了資產(chǎn)識別、威脅識別、脆弱性識別，以及對已有安全措施確認后，ISMS小組采用矩陣法確定威脅利用脆弱性導致安全事件發(fā)生的可能性，考慮安全事件一旦發(fā)生其所作用的資產(chǎn)的重要性及脆弱性的嚴重程度判斷安全事件造成的損失對組織的影響，即安全風險。6.5.1安全事件發(fā)生的可能性等級P=(T*V)°.5,6.5.2安全事件發(fā)生后的損失等級L=(A*V°.5,6.5.3風險值R=(L*P),風險等級風險等級123456.5.4風險管理策略完全的消除風險是不可能和不實際的。公司需要有效和經(jīng)濟的運轉，因此必須根據(jù)安全事件的可能性和對業(yè)務的影響來平衡費用、時間、安全尺度幾個方面的問題。公司在考慮接受殘余風險時的標準為只接受中或低范圍內的風險；但是對于必須投入很高的費用才能將殘余風險降為中或低的情況，則分階段實施控制。風險值越高，安全事件發(fā)生的可能性就越高，安全事件對該資產(chǎn)以及業(yè)務的影響也就越大，風險管理策略有以下：●接受風險：接受潛在的風險并繼續(xù)運行信息系統(tǒng)，不對風XXX有限公司文件名稱頁碼文件編號●降低風險：通過實現(xiàn)安全措施來降低風險，從而將脆弱性被威脅源利用后可能帶來的不利影響最小化(如使用防火墻、漏洞掃描系統(tǒng)等安全產(chǎn)品)。放棄系統(tǒng)某項功能或關閉系統(tǒng))來規(guī)避風險。風險等級3(含)以上為不可接受風險，3(不含)以下為可接受風險。如果是可接受風險，可保持已有的安全措施；如果是不可接受風險，則需要采取安全措施以降低、控制風險。安全措施的選擇應兼顧管理與技術兩個方面，可以參照信息安全的6.6確定控制目標、控制措施和對策基于在風險評估結果報告中提出的風險級別，ISMS小組對風險處理的工作進行優(yōu)先級排序。高等級(例如被定義為“非常高”或“高”風險級的風險)的風險項應該最優(yōu)先處理?！裨u估所建議的安全措施●實施成本效益分析●選擇安全措施●制定安全措施的實現(xiàn)計劃●實現(xiàn)所選擇的安全措施6.7殘余風險的監(jiān)視與處理風險處理的最后過程中，ISMS小組應列舉出信息系統(tǒng)中所有殘余風險的清單。在信息系統(tǒng)的運行中，應密切監(jiān)視這些殘余風險的變化，并及時處每年年初評估信息系統(tǒng)安全風險時，對殘余風險和已確定的可接受的風險級別進行評審時，應考慮以下方面的變化：●組織結構；●業(yè)務目標和過程；XXX有限公司頁碼文件編號●已實施控制措施的有效性；6.8信息系統(tǒng)運行的批準ISMS小組考察風險處理的結果，判斷殘余風險是否處在可接受的水平之內?；谶@一判斷，管理層將做出決策，決定是否允許信息系統(tǒng)運行。如果信息系統(tǒng)的殘余風險不可接受，而現(xiàn)實情況又要求系統(tǒng)必須投入運行，且當前沒有其它資源能勝任單位的使命。這時可以臨時批準信息系統(tǒng)在這種情況下，必須由信息系統(tǒng)的主管者決定臨時運行的時間段，制定出在此期間的應急預案以及繼續(xù)處理風險的措施。在臨時運行的時間段結束后，應重新評估殘余風險的可接受度。如果殘余風險仍然不可接受，則一般不應再批準信息系統(tǒng)臨時運行。7.0相關文件7.1《GB/T20984-2007信息安全風險評估規(guī)范》7.2《信息資產(chǎn)管理制度》8.0記錄8.1《信息資產(chǎn)識別表》8.2《重要資產(chǎn)清單》8.3《威脅/脆弱性因素表》8.4《風險評估表》8.5《安全措施實施計劃》8.6《殘余風險清單》XXX有限公司文件名稱頁碼文件編號通過驗證信息安全管理體系是否符合標準和策劃安排的要求，是否得到有效的保持、實施，確保管理體系的方針目標實現(xiàn)并持續(xù)改進。1、管理者代表負責批準內審計劃、內審報告，并負責組織審核工作，任命審核2、內審組長編制內審計劃，并負責審核的具體實施以及報告內審結果。3、各單位負責配合內部審核的實施，并對審核不符合情況進行整改。1、內審策劃1)根據(jù)公司信息安全的實際運行狀況，并根據(jù)審核對象重要程度、結合以往審核的結果，整體策劃管理體系內部審核的方案。2)根據(jù)需要，審核可覆蓋體系全部要求和單位，也可以專門針對某幾項要求或單位進行重點審核，各單位也可根據(jù)各自的實際情況，分別組織審核。3)公司每年至少組織一次內審，每年的審核必須覆蓋管理體系的全部單位和4)出現(xiàn)以下情況時由管理者代表決定是否增加審核次數(shù)：●組織機構、管理體系發(fā)生重大變化。XXX有限公司頁碼文件編號●出現(xiàn)重大信息安全事故?！穹伞⒎ㄒ?guī)及其他外部要求的變更。●其他認為必要時。2、審核前的準備1)管理者代表負責組成審核組、任命內審組長。內審組長負責具體策劃審核安排，并編制《審核計劃》,報管理者代表批準。實施計劃應明確：●審核目的、范圍、時間、依據(jù)?！駥徍私M成員及分工安排，審核員應與受審部門無直接責任關系?！袷軐徍瞬块T及審核要點，預定時間安排。●審核中的注意事項。2)組長應組織審核組編寫《內審檢查表》,明確審核的內容、方法。3)《審核計劃》應于內審開始前發(fā)放至受審部門，受審部門對內審安排如有異議，應及時通知內審組長。4)內部審核員應經(jīng)專業(yè)機構培訓合格，經(jīng)管理者代表批準資格。3、內審的實施1)內審開始，應由內審組長主持召開首次會議，領導層、內審組成員及各受審核單位負責人參加并簽到。2)內審組應按照《審核計劃》的安排實施內審。審核員應根據(jù)《內審檢查XXX有限公司文件名稱頁碼文件編號3)審核員應在檢查表中準確記錄現(xiàn)場審核發(fā)現(xiàn)，尤其是體系運行不符合和4)審核員應保持公正、客觀的態(tài)度，如實地反饋審核的情況。5)現(xiàn)場審核后，審核組長應組織審核組綜合分析審核檢查結果，綜合評價6)審核組長應主持召開末次會議，由領導層、內審組成員及各受審單位負7)審核結束，審核組長編制《審核報告》,報管理者代表批準。審核報告內XXX有限公司頁碼文件編號施，報告措施的效果，經(jīng)審核員對實施結果跟蹤驗證，確保不符合不再發(fā)生，同時報告驗證結果，具體執(zhí)行《糾正預防措施控制程序》要求。1、《糾正預防措施控制程序》五、相關文件及記錄審核計劃內審檢查表不合格報告首(末)次會議簽到表XXX有限公司文件名稱頁碼文件編號適用于本公司各部門對惡意軟件(包括軟件的隱蔽通道)的控制管理工作。為防止各類惡意軟件(包括軟件的隱蔽通道)造成破壞，確保公司的軟件和3職責3.1XX部是全公司惡意軟件管理控制工作的主管部門，負責全公司防病毒軟件的安裝及病毒庫的更新管理，為各部門信息處理設施的防范惡意軟件提供技4工作程序所謂惡意軟件，是指編制或者在計算機程序中插入的破壞計算機功能、毀XXX有限公司頁碼文件編號4.1.1在對外互聯(lián)的網(wǎng)絡間，IT部安裝防火墻、入侵檢測系統(tǒng)、使用加密程由本部門PC管理員或指定專人負責安裝防病毒軟件，并周期性(如每周)對病4.1.3XX部負責設置企業(yè)版防病毒服務器，每日通過互聯(lián)網(wǎng)自動進行病毒庫4.1.5特殊情況，如某種新惡性病毒大規(guī)模爆發(fā)，X現(xiàn)病毒的電子媒體應禁用，待病毒清除后方可使用，對于不能清除的病毒，應4.1.7各部門用戶應在計算機或其它電子信息處理設施的啟動后檢查是否已XXX有限公司文件名稱頁碼文件編號4.1.8各部門在使用電子郵件或下載軟件時應啟動病毒實時監(jiān)測系統(tǒng)的實時防護，以便對電子郵件進行病毒檢查。4.1.9XX部需加強對特洛伊木馬的探測與防治。通過以下措施予以控制：a)安裝反病毒軟件；c)對軟件更改進行控制；d)對軟件開發(fā)過程進行控制；e)其他必要措施。4.2XX部組織各部門進行有關防病毒及其他后門程序等惡意軟件預防工作的培訓，使各部門明確病毒及其他惡意軟件的管理程序及責任。4.3預防惡意軟件的通用要求保護不受惡意軟件攻擊的基礎是安全意識，適當?shù)南到y(tǒng)權限。所有IT用戶應養(yǎng)成良好的防范惡意軟件意識并遵守以下規(guī)定：a)按照本程序規(guī)定的要求使用防病毒軟件；b)禁止使用來歷不明的軟件；c)禁止微機在未安裝有效防病毒軟件的情況下從互聯(lián)網(wǎng)上下載軟件；e)使用軟盤前應進行病毒檢查。XXX有限公司文件名稱頁碼文件編號4.4對重要系統(tǒng)的防范惡意軟件的特殊要求4.4.1XX部應與防火墻、入侵檢