ISO27001：2022信息安全管理體系全套文件+表單

ISO27001-2022體系文件全套ISMS-B-01信息安全風(fēng)險(xiǎn)管理程序ISMS-B-04]糾正措施控制程序ISMS-B-06]內(nèi)部審核管理程序ISMS-B-10]信息安全法律法規(guī)管理程序ISMS-B-11]知識(shí)產(chǎn)權(quán)管理程序ISMS-B-13]業(yè)務(wù)持續(xù)性管理程序ISMS-B-14]信息安全溝通協(xié)調(diào)管理程序ISMS-B-15]信息安全事件管理程序ISMS-B-16信息安全獎(jiǎng)懲管理程序ISMS-B-18員工培訓(xùn)管理程序ISMS-B-20]相關(guān)方信息安全管理程序XXX有限公司信息安全風(fēng)險(xiǎn)管理程序日期：202X-08-19日期：202X-08-19受控狀態(tài)受控文件為了在考慮控制成本與風(fēng)險(xiǎn)平衡的前提下選擇合適的控制目標(biāo)和控制方式，將信息安全風(fēng)險(xiǎn)控制在可接受的水平，特制定本程序。本程序適用信息安全管理體系(ISMS)范圍內(nèi)信息安全風(fēng)險(xiǎn)評(píng)估活動(dòng)的管理。3.1信息安全管理小組負(fù)責(zé)牽頭成立風(fēng)險(xiǎn)評(píng)估小組。3.2風(fēng)險(xiǎn)評(píng)估小組負(fù)責(zé)編制《信息安全風(fēng)險(xiǎn)評(píng)估計(jì)劃》,確認(rèn)評(píng)估結(jié)果，形成《信息安全風(fēng)險(xiǎn)3.3各部門負(fù)責(zé)本部門使用或管理的資產(chǎn)的識(shí)別和風(fēng)險(xiǎn)評(píng)估，并負(fù)責(zé)本部門所涉及的資產(chǎn)的具體安全控制工作。4相關(guān)文件《信息安全管理手冊(cè)》《商業(yè)秘密管理程序》5.1風(fēng)險(xiǎn)評(píng)估前準(zhǔn)備5.1.1成立風(fēng)險(xiǎn)評(píng)估小組信息安全小組牽頭成立風(fēng)險(xiǎn)評(píng)估小組，小組成員應(yīng)包含信息安全重要責(zé)任部門的成員。5.1.2制定計(jì)劃風(fēng)險(xiǎn)評(píng)估小組制定《信息安全風(fēng)險(xiǎn)評(píng)估計(jì)劃》,下發(fā)各部門。5.2資產(chǎn)賦值5.2.1部門賦值各部門風(fēng)險(xiǎn)評(píng)估小組成員識(shí)別本部門資產(chǎn)，并進(jìn)行資產(chǎn)賦值。5.2.2賦值計(jì)算資產(chǎn)賦值的過程是對(duì)資產(chǎn)在保密性、完整性、可用性的達(dá)成程度進(jìn)行分析，并在此基礎(chǔ)上得出綜合結(jié)果的過程。5.2.3保密性(C)賦值根據(jù)資產(chǎn)在保密性上的不同要求，將其分為五個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在保密性上的應(yīng)達(dá)成的不同程度或者保密性缺失時(shí)對(duì)整個(gè)組織的影響。級(jí)別分級(jí)1很低可對(duì)社會(huì)公開的信息公用的信息處理設(shè)備和系統(tǒng)資源等2低僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息，向外擴(kuò)散有可能對(duì)組織的利益造成輕微損害3中等組織的一般性秘密其泄露會(huì)使組織的安全和利益受到損害4高密其泄露會(huì)使組織的安全和利益遭受嚴(yán)重?fù)p害5包含組織最重要的秘密定性的影響，如果泄露會(huì)造成災(zāi)難性的損害5.2.4完整性(I)賦值根據(jù)資產(chǎn)在完整性上的不同要求，將其分為五個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在完整性上的達(dá)成的不同程度或者完整性缺失時(shí)對(duì)整個(gè)組織的影響。完整性(I)賦值的方法級(jí)別分級(jí)1很低完整性價(jià)值非常低未經(jīng)授權(quán)的修改或破壞對(duì)組織造成的影響可以忽略，對(duì)業(yè)務(wù)沖擊可以忽略2低完整性價(jià)值較低未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成輕微影響，對(duì)業(yè)務(wù)沖擊輕微，容易彌補(bǔ)3中等未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成影響，對(duì)業(yè)務(wù)沖擊明顯4高未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大影響，對(duì)業(yè)務(wù)沖擊嚴(yán)重，較難彌補(bǔ)5鍵接受的影響，對(duì)業(yè)務(wù)沖擊重大，并可能造成嚴(yán)重的業(yè)務(wù)中斷，難以彌補(bǔ)5.2.5可用性(A)賦值根據(jù)資產(chǎn)在可用性上的不同要求，將其分為五個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在可用性上的達(dá)成的不同程度?？捎眯?A)賦值的方法級(jí)別分級(jí)1很低合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作2低可用性價(jià)值較低合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到25%以上，或系統(tǒng)允許中斷時(shí)間小于60min3中等合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到70%以上，或系統(tǒng)允許中斷時(shí)間小于30min4高5合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到年度5.2.7導(dǎo)出資產(chǎn)清單識(shí)別出來的信息資產(chǎn)需要詳細(xì)登記在《信息資產(chǎn)清單》中。5.3判定重要資產(chǎn)根據(jù)信息資產(chǎn)的機(jī)密性、完整性和可用性賦值的結(jié)果相加除以3得出“資產(chǎn)價(jià)值”,對(duì)于《信息資產(chǎn)清單》中“資產(chǎn)價(jià)值”在大于等于4的資產(chǎn)，作為重要信息資產(chǎn)記錄到《重要信息資產(chǎn)清單》。5.3.1審核確認(rèn)風(fēng)險(xiǎn)評(píng)估小組對(duì)各部門資產(chǎn)識(shí)別情況進(jìn)行審核，確保沒有遺漏重要資產(chǎn)，導(dǎo)出《重要信息資產(chǎn)清單》,報(bào)總經(jīng)理確認(rèn)。5.4風(fēng)險(xiǎn)識(shí)別與分析5.4.1威脅識(shí)別與分析威脅示例設(shè)備硬件故障、通訊鏈路中斷、系統(tǒng)本身或軟件Bug斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、水災(zāi)、地等環(huán)境問題和自然災(zāi)害；TC03無作為或操作失誤由于應(yīng)該執(zhí)行而沒有執(zhí)行相應(yīng)的操作，或無意地執(zhí)行了錯(cuò)誤的操作，對(duì)系統(tǒng)造成影響安全管理無法落實(shí)，不到位，造成安全管理不規(guī)范，或者管理混亂，從而破壞信息系統(tǒng)正常有序運(yùn)行TC05惡意代碼和病毒具有自我復(fù)制、自我傳播能力，對(duì)信息系統(tǒng)構(gòu)成破壞的程序代碼TC06越權(quán)或?yàn)E用利用黑客工具和技術(shù)，例如偵察、密碼猜測(cè)攻擊、緩沖區(qū)溢出攻擊、安裝后門、嗅探、偽造和欺騙、拒絕服務(wù)攻擊等手段對(duì)信息系統(tǒng)進(jìn)行攻擊和入侵物理接觸、物理破壞、盜竊TC10篡改非法修改信息，破壞信息的完整性TC11抵賴不承認(rèn)收到的信息和所作的操作和交易應(yīng)根據(jù)資產(chǎn)組內(nèi)的每一項(xiàng)資產(chǎn)，以及每一項(xiàng)資產(chǎn)所處的環(huán)境條件、以前曾發(fā)生的安全事件等情況來進(jìn)行威脅識(shí)別。一項(xiàng)資產(chǎn)可能面臨著多個(gè)威脅，同樣一個(gè)威脅可能對(duì)不同的資產(chǎn)造成影響；5.4.2脆弱性識(shí)別與分析脆弱性評(píng)估將針對(duì)資產(chǎn)組內(nèi)所有資產(chǎn)，找出該資產(chǎn)組可能被威脅利用的脆弱性，獲得脆弱性所采用的方法主要為：?jiǎn)柧碚{(diào)查、訪談、工具掃描、手動(dòng)檢查、文檔審查、滲透測(cè)試等；類型脆弱性分類脆弱性示例技術(shù)脆弱性物理環(huán)境(含操作系統(tǒng))從物理保護(hù)、用戶帳號(hào)、口令策略、資源共享、事件審計(jì)、訪問控制、新系統(tǒng)配置(初始化)、注冊(cè)表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進(jìn)行識(shí)別。網(wǎng)絡(luò)結(jié)構(gòu)從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、邊界保護(hù)、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進(jìn)行識(shí)數(shù)據(jù)庫(kù)從補(bǔ)丁安裝、鑒別機(jī)制、口令機(jī)制、訪問控制、網(wǎng)絡(luò)和服務(wù)設(shè)置、備份恢復(fù)機(jī)制、審計(jì)機(jī)制等方面進(jìn)行識(shí)應(yīng)用系統(tǒng)審計(jì)機(jī)制、審計(jì)存儲(chǔ)、訪問控制策略、數(shù)據(jù)完整性、通信、鑒別機(jī)制、密碼保護(hù)等方面進(jìn)行識(shí)別。管理技術(shù)管理組織管安全策略、組織安全、資產(chǎn)分類與控制、人員安全、符理5.4.3現(xiàn)有控制措施識(shí)別與分析在識(shí)別威脅和脆弱性的同時(shí)，評(píng)估人員應(yīng)對(duì)已采取的安全措施進(jìn)行識(shí)別，對(duì)現(xiàn)有控制措施的有效性進(jìn)行確認(rèn)。在對(duì)威脅和脆弱性賦值時(shí)，需要考慮現(xiàn)有控制措施的有效性。5.5風(fēng)險(xiǎn)評(píng)價(jià)本公司信息資產(chǎn)風(fēng)險(xiǎn)值通過風(fēng)險(xiǎn)各要素賦值相乘法來確定：風(fēng)險(xiǎn)值計(jì)算公式：R=i*p風(fēng)險(xiǎn)影響的賦值標(biāo)準(zhǔn)：風(fēng)險(xiǎn)影響賦值等級(jí)風(fēng)險(xiǎn)影響的不同維度5很高至社會(huì)公眾公司大部分或全部核心業(yè)務(wù)受到嚴(yán)重影響4高整個(gè)公司，或部分客戶公司大部分核心業(yè)務(wù)或日?；顒?dòng)受影響3中多個(gè)部門，或個(gè)別客戶公司個(gè)別業(yè)務(wù)受影響，或日常辦公活動(dòng)中斷2低本部門或部門內(nèi)部人員公司業(yè)務(wù)不受影響，只是少部分日常辦公活動(dòng)活動(dòng)受影響1很低基本不影響本部門業(yè)務(wù)和日常辦公活動(dòng)風(fēng)險(xiǎn)發(fā)生可能性的賦值標(biāo)準(zhǔn)：風(fēng)險(xiǎn)發(fā)生可能性賦值等級(jí)風(fēng)險(xiǎn)發(fā)生可能性時(shí)間頻率發(fā)生機(jī)率5很高出現(xiàn)的頻率很高(或>1次/日);或在大多不可避免(>99%)4高出現(xiàn)的頻率較高(或>1次/周);或在大多數(shù)3中出現(xiàn)的頻率中等(或>1次/月);或在某種情2低出現(xiàn)的頻率較小(或>1次/年);或一般不太可能性很小〔1~1很低不可能(≤1%)注：風(fēng)險(xiǎn)的影響或發(fā)生可能性根據(jù)賦值標(biāo)準(zhǔn)，可能同時(shí)適用于二個(gè)維度，這種情況下，賦值取這二個(gè)維度賦值的最大值。5.5.2確定風(fēng)險(xiǎn)可接受標(biāo)準(zhǔn)風(fēng)險(xiǎn)等級(jí)采用分值計(jì)算表示。分值越大，風(fēng)險(xiǎn)越高。信息安全小組決定以下風(fēng)險(xiǎn)等級(jí)標(biāo)準(zhǔn)：級(jí)別高如果發(fā)生將使資產(chǎn)遭受嚴(yán)重破壞，組織利益受到嚴(yán)重?fù)p失中發(fā)生后將使資產(chǎn)受到較重的破壞，組織利益受到損失低發(fā)生后將使資產(chǎn)受到的破壞程度和利益損失比較輕微5.5.3風(fēng)險(xiǎn)接受準(zhǔn)則5.6剩余風(fēng)險(xiǎn)評(píng)估5.6.1再評(píng)估5.6.2再處理5.6.3審核批準(zhǔn)5.7信息安全風(fēng)險(xiǎn)的連續(xù)評(píng)估5.7.1定期評(píng)估當(dāng)企業(yè)發(fā)生以下情況時(shí)需及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估：a)當(dāng)發(fā)生重大信息安全事故時(shí)；b)當(dāng)信息網(wǎng)絡(luò)系統(tǒng)發(fā)生重大更改時(shí)；c)信息安全小組確定有必要時(shí)。5.7.3更新資產(chǎn)各部門對(duì)新增加、轉(zhuǎn)移的或授權(quán)銷毀的資產(chǎn)應(yīng)及時(shí)更新資產(chǎn)清單。5.7.4調(diào)整控制措施信息安全小組應(yīng)分析信息資產(chǎn)的風(fēng)險(xiǎn)變化情況，以便根據(jù)企業(yè)的資金和技術(shù)，確定、增加或調(diào)整適當(dāng)?shù)男畔踩刂拼胧！缎畔踩L(fēng)險(xiǎn)評(píng)估計(jì)劃》《信息資產(chǎn)清單》《重要信息資產(chǎn)清單》《信息安全風(fēng)險(xiǎn)評(píng)估表(含風(fēng)險(xiǎn)處置計(jì)劃)》《信息安全殘余風(fēng)險(xiǎn)評(píng)估報(bào)告》《信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告》XXX有限公司日期：202X-08-19日期：202X-08-19受控狀態(tài)受控文件3.1總經(jīng)理3.2管理者代表d)負(fù)責(zé)信息安全管理文件的歸口管理。e)負(fù)責(zé)組織信息安全管理文件的制訂、修訂和評(píng)審等管理工作。f)負(fù)責(zé)信息安全管理文件的標(biāo)識(shí)、作廢、回收等日常工作。4相關(guān)文件《信息安全管理手冊(cè)》《信息安全適用性聲明》《商業(yè)秘密管理程序》《信息安全法律法規(guī)管理程序》5.1管理內(nèi)容與要求5.1.1文件分類信息安全管理文件：a)《信息安全管理手冊(cè)》(含信息安全方針、方針文件、目標(biāo)文件、信息安全適用性聲明);b)信息安全管理程序文件；c)信息安全管理作業(yè)文件；d)信息安全管理記錄表格。a)各種媒介加載的各種格式的非紙質(zhì)性文件；b)信息安全法律法規(guī)及設(shè)備說明書、國(guó)家標(biāo)準(zhǔn)等來自公司外部的文件。5.2文件編制和修訂5.2.1要求信息安全管理文件編制和修訂前，編制人員充分了解相關(guān)方的要求和信息，廣泛收集有關(guān)的文件和資料。作為文件編寫的依據(jù)，應(yīng)重點(diǎn)考慮以下幾個(gè)方面：a)相關(guān)的法律法規(guī)要求，國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、地方標(biāo)準(zhǔn)的要求，尤其是b)對(duì)客戶和其他相關(guān)方的合同和承諾，客戶與其他相關(guān)方的需求和期望方e)內(nèi)容應(yīng)與組織的實(shí)際情況相適應(yīng)，并保證文件在現(xiàn)有的資源條件下，能5.2.2文件編制部門b)技術(shù)標(biāo)準(zhǔn)由產(chǎn)品研發(fā)部負(fù)責(zé)，各相關(guān)部門參與。c)策劃的管理方案和管理活動(dòng)的檢查考核記錄及其他管理、技術(shù)文件由相5.3文件審批5.3.1審批5.3.2權(quán)限全適用性聲明)由總經(jīng)理批準(zhǔn)發(fā)布。b)信息安全程序文件和作業(yè)文件由職能部門組織審核，管理者代表審核，c)策劃的管理方案由職能部門組織審核，管理者代表審核，總經(jīng)理批準(zhǔn)發(fā)d)其他管理、技術(shù)作業(yè)和相關(guān)支持性文件由歸口管理部門負(fù)責(zé)審核，部門5.4文件標(biāo)識(shí)為確保在使用處獲得適用文件的有效版本，文件均要有明確的標(biāo)識(shí)，包括文件編號(hào)、版本號(hào)、分發(fā)號(hào)、發(fā)布和實(shí)施日期、密級(jí)等。信息安全管理文件編號(hào)規(guī)則如下：ISMS-D-XX-XX記錄表單涉密文件應(yīng)按《商業(yè)秘密管理程序》的規(guī)定分類并標(biāo)識(shí)。5.5文件發(fā)放文件審批后，綜合管理部登記并制定《信息安全文件一覽表》和《文件發(fā)放/回收一覽表》,按《文件發(fā)放/回收一覽表》規(guī)定的范圍進(jìn)行發(fā)放。文件發(fā)放時(shí)，綜合管理部應(yīng)在文件第一頁(yè)注明發(fā)放部門和發(fā)布日期。并標(biāo)上“受控”標(biāo)識(shí)。所發(fā)放使用的信息安全管理體系文件均為受控文件，各文件使用部門嚴(yán)格保管，不得外借和復(fù)制，并保持文件清晰、易于識(shí)別。5.6文件的更改及版本管理當(dāng)文件的當(dāng)前內(nèi)容和實(shí)施動(dòng)作不一致時(shí)，綜合管理部提出更改文件要求，由文件對(duì)口部門和綜合管理部人員說明原因，填寫《文件修改通知單》,經(jīng)原審批部門批準(zhǔn)后，由文件歸口管理部門進(jìn)行修改。初次發(fā)布的文件，版本號(hào)以1.0作為標(biāo)識(shí)，當(dāng)文件發(fā)生修改時(shí)，版本號(hào)以下列方式進(jìn)行編制：a)修改內(nèi)容不超過20%時(shí)，版本號(hào)以0.1位依次遞進(jìn)，例：1.1;1.2……1.9;1.10;1.11以此類推；文件按文件修改通知單上的內(nèi)容進(jìn)行修改，并更新變更履歷，變更后由綜合管理部進(jìn)行審核，總經(jīng)理批準(zhǔn)，確保所有文件更改到位。對(duì)已經(jīng)過期，不適用本組織業(yè)務(wù)程序的文檔，要進(jìn)行“報(bào)廢”處理；針對(duì)電子檔文件需在首頁(yè)打上“報(bào)廢”水印，在變更履歷中注明“報(bào)廢”原因；針對(duì)紙質(zhì)文件，蓋上“作廢”章，并及時(shí)銷毀處理。5.7文件的評(píng)審當(dāng)出現(xiàn)以下情況，綜合管理部應(yīng)組織對(duì)文件進(jìn)行評(píng)審、必要時(shí)予以更新并再a)信息安全管理體系結(jié)構(gòu)發(fā)生重大變化時(shí)；b)信息安全管理體系標(biāo)準(zhǔn)發(fā)生重大變化時(shí)；c)組織結(jié)構(gòu)發(fā)生重大變化時(shí)；d)信息安全活動(dòng)、流程發(fā)生重大變化時(shí)。5.8外來文件的控制組織的外來文件包括與運(yùn)行維護(hù)有關(guān)的國(guó)家、地方、行業(yè)的法律、法規(guī)、部門規(guī)章、標(biāo)準(zhǔn)，體現(xiàn)客戶有關(guān)要求的文件等。組織的外來文件由綜合管理部負(fù)責(zé)登記在《外來文件清單》上，《外來文件清單》應(yīng)注明分布部門，以供使用者查閱。對(duì)外來法律法規(guī)文件，按《信息安全法律法規(guī)管理程序》控制。綜合管理部須對(duì)受控中的外來文件進(jìn)行編號(hào)管理，以便于查看。5.9文件的銷毀若受控文件已不在適合本組織時(shí)，可對(duì)文件進(jìn)行“回收”處理，判定文件是否可被銷毀，可以在信息安全內(nèi)部審核或管理評(píng)審時(shí)提出，由綜合管理部成員表決，總經(jīng)理批準(zhǔn)。如果文件被批準(zhǔn)銷毀，綜合管理部需重新修改《信息安全文件一覽表》、并將最新信息登記到《文件發(fā)放/回收一覽表》。電子文件可以仍然保存在服務(wù)器中，但名稱中要加入“作廢”標(biāo)記；同時(shí)，文件的“受控”標(biāo)識(shí)也要改為“作廢”標(biāo)識(shí)?！缎畔踩募挥[表》《文件發(fā)放/回收一覽表》《文件修改通知單》《外來文件清單》XXX有限公司日期：202X-08-19日期：202X-08-19日期：202X-08-19受控狀態(tài)受控文件為確保對(duì)信息安全記錄的標(biāo)識(shí)、貯存、保護(hù)、檢索、保存期限和處置實(shí)施有效管理，特制定本程序。本程序適用于本組織證實(shí)信息安全管理體系符合要求和有效運(yùn)行的記錄管綜合管理部負(fù)責(zé)信息安全記錄的管理。4相關(guān)文件《信息安全管理手冊(cè)》《商業(yè)秘密管理程序》《重要信息備份管理程序》《信息安全記錄分類與保存期限清單》5.1記錄的標(biāo)識(shí)5.1.1標(biāo)識(shí)信息安全記錄應(yīng)有追溯標(biāo)識(shí)(如流水號(hào)),追溯標(biāo)識(shí)由各職能部門確定。文件編號(hào)按照《[SANDSTONE-ISMS-B-02]文件控制程序》“5.4文件標(biāo)識(shí)”中定義的規(guī)則進(jìn)行。5.1.2密級(jí)記錄的密級(jí)分類按《商業(yè)秘密管理程序》規(guī)定進(jìn)行，涉密信息應(yīng)將密級(jí)標(biāo)識(shí)在記錄上。5.2記錄的保管5.2.1保管形式紙質(zhì)記錄由各保管部門按規(guī)定存放于文件夾/文件柜中，電子記錄由各保管部門以電子檔的形式保存在服務(wù)器上。5.2.2備份要求以電子媒體保管的場(chǎng)合，為預(yù)防意外，需做適當(dāng)?shù)膫浞?。備份的安全要求?zhí)5.3記錄的查閱5.3.1權(quán)限因工作需要，借閱其他部門的秘密記錄，應(yīng)獲得記錄保管部門經(jīng)理授權(quán)后方可借閱，并填寫《記錄借閱登記表》,留下授權(quán)記錄。5.3.2控制借閱者在借閱期內(nèi)不得改動(dòng)記錄，借閱完畢后，保管部門經(jīng)理刪除其訪問閱5.4記錄的銷毀5.4.1廢棄超過保管期限的記錄，應(yīng)填寫《記錄銷毀記錄表》,經(jīng)綜合管理部批準(zhǔn)后，由保管部門作為秘密文件處理廢棄?！缎畔踩涗浺挥[表》《記錄借閱登記表》《記錄銷毀記錄表》XXX有限公司編制：XXX日期：202X-08-19審核：XXX日期：202X-08-19批準(zhǔn)：XXX日期：202X-08-19受控狀態(tài)受控文件3.1綜合管理部3.2信息安全管理小組4相關(guān)文件5.1不符合信息來源5.2不符合項(xiàng)分析5.3糾正措施d)可能造成生產(chǎn)經(jīng)營(yíng)業(yè)務(wù)中斷。5.4重大事件范疇5.5糾正措施批準(zhǔn)需制定糾正措施時(shí)，應(yīng)將不符合原因填入《糾正與預(yù)防措施報(bào)告》,制定糾5.6糾正措施結(jié)果記錄5.7驗(yàn)證5.8相關(guān)文件更改5.9保管責(zé)任5.10管理評(píng)審輸入日期：202X-08-19日期：202X-08-19日期：202X-08-19受控狀態(tài)文3.1綜合管理部4相關(guān)文件5.1信息資產(chǎn)的分類5.1.1信息資產(chǎn)5.1.2信息資產(chǎn)范圍5.2.1定義文檔資產(chǎn)是指涉及組織秘密或機(jī)密的紙質(zhì)的各種文件、記錄、檢驗(yàn)和實(shí)驗(yàn)數(shù)據(jù)、配方、方案、計(jì)劃、報(bào)告、會(huì)議紀(jì)要等。5.2.2識(shí)別對(duì)涉密文檔應(yīng)進(jìn)行識(shí)別，填入《信息資產(chǎn)清單》。5.3物理資產(chǎn)5.3.1設(shè)備范圍計(jì)算機(jī)硬件設(shè)備包括個(gè)人計(jì)算機(jī)、計(jì)算機(jī)附件(如打印機(jī)、掃描儀、傳真機(jī)、電話機(jī))和網(wǎng)絡(luò)設(shè)備(如防火墻、服務(wù)器、交換機(jī)等)。5.3.2識(shí)別對(duì)所有個(gè)人計(jì)算機(jī)應(yīng)進(jìn)行識(shí)別，填入《信息資產(chǎn)清單》。5.4計(jì)算機(jī)系統(tǒng)和軟件對(duì)計(jì)算機(jī)系統(tǒng)和軟件應(yīng)進(jìn)行識(shí)別和管理，填入《信息資產(chǎn)清單》。5.5重要崗位和人員5.5.1識(shí)別各部門應(yīng)識(shí)別重要崗位，填入《信息資產(chǎn)清單》。5.5.2人員配備綜合管理部負(fù)責(zé)為重要崗位配備人員，填入《信息資產(chǎn)清單》。5.6安全區(qū)域綜合管理部負(fù)責(zé)識(shí)別重要安全區(qū)域，制定控制方案。5.7信息資產(chǎn)的密級(jí)信息資產(chǎn)的密級(jí)分為：絕密、機(jī)密、秘密、敏感和一般共5類：a)“絕密”:按《中華人民共和國(guó)保守國(guó)家秘密法》中指定的秘密和不可對(duì)外公開、若泄露或被篡改會(huì)對(duì)本組織的生產(chǎn)經(jīng)營(yíng)造成特別嚴(yán)重?fù)p害的事b)“機(jī)密”:是指不可對(duì)外公開、若泄露或被篡改會(huì)對(duì)本組織的業(yè)務(wù)造成嚴(yán)重?fù)p害，或者由于業(yè)務(wù)上的需要僅限有關(guān)人員知道的事項(xiàng)；c)“秘密”:是指不可對(duì)外公開、若泄露或被篡改會(huì)對(duì)本組織的業(yè)務(wù)造成損害，或者由于業(yè)務(wù)上的需要僅限有關(guān)人員知道的事項(xiàng)；d)“敏感”:是指為了日常的業(yè)務(wù)能順利進(jìn)行而向組織內(nèi)部員工公開、但不可向組織以外人員隨意公開的事項(xiàng)；e)“一般”是指可向組織以外人員隨意公開的事項(xiàng)。5.8《信息資產(chǎn)清單》的評(píng)審針對(duì)完成的《信息資產(chǎn)清單》,綜合管理部負(fù)責(zé)人組織相關(guān)人員進(jìn)行評(píng)審，評(píng)審?fù)ㄟ^才認(rèn)為該工作的完成?！缎畔①Y產(chǎn)清單》編制：XXX批準(zhǔn)：XXX受控狀態(tài)1為更好地保護(hù)各相關(guān)方(包括客戶、合作方)和本組織在業(yè)務(wù)活動(dòng)中產(chǎn)生的各類信息，防止因不恰當(dāng)使用或泄漏，使本公司蒙受經(jīng)濟(jì)損失或法律糾紛，特制本程序適用于各相關(guān)方和本組織在業(yè)務(wù)中產(chǎn)生的各類信息的管理。3.1綜合管理部負(fù)責(zé)商業(yè)秘密的歸口管理。3.2全體員工遵守保密承諾、保守商業(yè)秘密。4相關(guān)文件《信息安全管理手冊(cè)》《保密協(xié)議》《安全區(qū)域管理程序》《信息安全事件管理程序》5.1商業(yè)秘密分類本程序中所指的商業(yè)技術(shù)秘密分：絕密、機(jī)密、秘密、敏感和一般共5類：1)“絕密”:按《中華人民共和國(guó)保守國(guó)家秘密法》中指定的秘密和不可對(duì)外公開、若泄露或被篡改會(huì)對(duì)本組織的業(yè)務(wù)造成特別嚴(yán)重?fù)p害的事項(xiàng)；m)“機(jī)密”:是指不可對(duì)外公開、若泄露或被篡改會(huì)對(duì)本組織的業(yè)務(wù)造成嚴(yán)2重?fù)p害，或者由于業(yè)務(wù)上的需要僅限有關(guān)人員知道的事項(xiàng)；n)“秘密”:是指不可對(duì)外公開、若泄露或被篡改會(huì)對(duì)本組織的業(yè)務(wù)造成損害，或者由于業(yè)務(wù)上的需要僅限有關(guān)人員知道的事項(xiàng)；o)“敏感”:是指為了日常的業(yè)務(wù)及正常工作能順利進(jìn)行而向組織內(nèi)部員工公開、但不可向組織以外人員隨意公開的事項(xiàng)。p)“一般”:是指無須進(jìn)行任何保密的信息或資料，可向外部公開。以上a)-d)4類事項(xiàng)以下簡(jiǎn)稱秘密。5.2商業(yè)秘密的密級(jí)確定和標(biāo)識(shí)商業(yè)秘密由產(chǎn)生該事項(xiàng)的部門確定，員工對(duì)產(chǎn)生的信息確定密級(jí)時(shí)，可隨時(shí)詢問部門領(lǐng)導(dǎo)。后者對(duì)前者的請(qǐng)求應(yīng)及時(shí)給予明確的處理。無法判明時(shí)，可請(qǐng)示更高一級(jí)領(lǐng)導(dǎo)。編寫的文件一旦被指定為秘密文件，則負(fù)責(zé)人應(yīng)對(duì)編寫中和編寫后的無用稿件進(jìn)行處置。5.3涉密文件的發(fā)放發(fā)送秘密文件時(shí)，指定者應(yīng)根據(jù)文件內(nèi)容指定接收部門和接收人。為了避免接收人因不清楚使用范圍而泄密，可在附件中指明使用目的和使用范圍，若從文件標(biāo)題和送付部門一覽中能使接收者明確使用目的和范圍，可省略上述指定。封好后作為組織內(nèi)文件發(fā)送。非收件人不得隨便拆閱該文件。發(fā)往組織以外的秘密文件，原則上雙方應(yīng)簽署含有保密條款的合同，并經(jīng)部門主管以上的批準(zhǔn)后方可提供。特殊情況(無保密條款合同，但又必需提供)需事先準(zhǔn)備好保密協(xié)議書，經(jīng)部門主管以上批準(zhǔn)并要求對(duì)方在接收時(shí)簽收。5.4商業(yè)秘密的使用秘密文件的接收人應(yīng)按秘密文件的使用目的、使用范圍正確使用秘密文件。秘密文件的保管人員和秘密的實(shí)際操作人員未經(jīng)指定者許可不得擅自將秘密內(nèi)容向其它人員公開。秘密文件原則上嚴(yán)禁復(fù)印。因業(yè)務(wù)必需時(shí)應(yīng)填寫《涉密文件復(fù)印登記表》,并限制在最小限度，并且在使用后及時(shí)處置。3未經(jīng)批準(zhǔn)嚴(yán)禁將秘密文件帶出公司使用。如工作必須，應(yīng)經(jīng)過部門經(jīng)理以上領(lǐng)導(dǎo)的批準(zhǔn)。5.6商業(yè)秘密的解除或變更a)秘密因?qū)ν夤_發(fā)表而成為眾所周知的信息時(shí)，商業(yè)秘密的指定將自動(dòng)解除。b)隨著時(shí)間的推移，某些秘密的內(nèi)容已過時(shí)的情況下。a)解除或變更商業(yè)秘密指定時(shí)，由原編寫部門的指定者書面通知原接收者。b)解除/變更后的文件，按相應(yīng)的管理區(qū)分保管和使用。5.7回收/廢棄秘密文件，如無特別指定，原則上應(yīng)在使用后及時(shí)回收歸檔保存或廢棄。廢棄秘密文件時(shí)，紙類媒體可用粉碎的方法，其它媒體可用初始化或破壞媒體的方法處理。秘密文件改版發(fā)送時(shí)，應(yīng)同時(shí)回收舊版或通知接收方廢棄舊版。5.8保密教育為了使員工能充分了解并徹底貫徹執(zhí)行商業(yè)秘密管理規(guī)定，應(yīng)對(duì)新入員工及調(diào)職來的人員進(jìn)行保守商業(yè)秘密教育。教育時(shí)應(yīng)作好教育記錄。員工的保密義務(wù)按《保密協(xié)議》執(zhí)行。掌握組織重要業(yè)務(wù)信息、關(guān)鍵技術(shù)的從業(yè)人員離、退職時(shí)，本部門管理者應(yīng)對(duì)其進(jìn)行面談，重申保守商業(yè)秘密的規(guī)定，防止將本組織商業(yè)秘密帶出或不正當(dāng)5.9其它外來人員參觀，應(yīng)嚴(yán)格按組織的《安全區(qū)域管理程序》的規(guī)定辦理手續(xù)，經(jīng)批準(zhǔn)后按申請(qǐng)的時(shí)間和路線參觀。結(jié)束后，由接待責(zé)任部門負(fù)責(zé)送出。因業(yè)務(wù)需要來組織的相關(guān)訪，原則上應(yīng)使用組織的接待室洽談業(yè)務(wù)。需進(jìn)入45.10事件處理信息安全法律法規(guī)管理程序?qū)徍耍篨XX日期：202X-08-195受控狀態(tài)受控文件為確保組織信息安全活動(dòng)符合信息安全管理法律法規(guī)的要求，確保所應(yīng)用的信息安全管理法律法規(guī)和其他要求的適用性，特制定本程序。本程序適用于組織信息安全管理所涉及的相關(guān)法律、法規(guī)和其他要求的控制3職責(zé)負(fù)責(zé)收集法律法規(guī)和其他要求，組織相關(guān)部門對(duì)法律法規(guī)和其他要求的適宜性和合規(guī)性進(jìn)行評(píng)審。3.2各部門負(fù)責(zé)對(duì)本部門的信息安全相關(guān)法律法規(guī)及其他要求的適宜性的識(shí)別、評(píng)審、更新，并負(fù)責(zé)將信息安全相關(guān)的法律法規(guī)及其他要求文件傳達(dá)給員工遵照?qǐng)?zhí)行。4引用文件《信息安全管理手冊(cè)》《文件控制程序》65.1法律、法規(guī)和其他要求的分類5.2法律、法規(guī)和其他要求的獲取、識(shí)別綜合管理部從政府主管部門或相關(guān)權(quán)威部門獲取相關(guān)的國(guó)家及地方最新信5.3法律、法規(guī)和其他要求的文本管理電子檔。綜合管理部獲取的信息安全法律法規(guī)和其他要求的文本或信息應(yīng)負(fù)責(zé)匯總5.4法律、法規(guī)和其他要求的符合性評(píng)估7對(duì)適用的法律、法規(guī)和其他要求，綜合管理部負(fù)責(zé)制定為滿足這些要求的控制措施和職責(zé)，將相關(guān)內(nèi)容填入《信息安全法律法規(guī)及要求清單評(píng)價(jià)表》。5.5法律、法規(guī)和其他要求的更新管理綜合管理部定期與政府相關(guān)部門進(jìn)行溝通，向提供法律法規(guī)更新的專業(yè)機(jī)構(gòu)索取最新信息，并通過政府機(jī)構(gòu)、行業(yè)協(xié)會(huì)、出版機(jī)構(gòu)、報(bào)刊雜志、中國(guó)安全網(wǎng)、會(huì)議等渠道補(bǔ)充，以保持對(duì)法律法規(guī)及其他要求的及時(shí)跟蹤，獲取最新的法律法規(guī)和其他要求文件。當(dāng)法律、法規(guī)和其他要求更新或增加時(shí)，綜合管理部應(yīng)及時(shí)進(jìn)行識(shí)別、并修正和補(bǔ)充《信息安全法律法規(guī)及要求清單》,及時(shí)下載最新版本。對(duì)過期或作廢的法律法規(guī)和其他要求文件，綜合管理部件控制程序》的要求進(jìn)行管理。組織至少每年組織一次對(duì)《信息安全法律法規(guī)清單》及其他要求履行情況的合規(guī)性評(píng)審，形成最新的《信息安全法律法規(guī)及要求清單》,必要時(shí)更新實(shí)施控制措施。5.6濫用信息設(shè)施的處罰組織員工不得在未經(jīng)授權(quán)的前提下使用非公開的信息設(shè)施，或利用組織信息設(shè)施進(jìn)行與法律相悖的行為。一經(jīng)發(fā)現(xiàn)，組織有權(quán)對(duì)該員工提出不同程度的處罰措施。包括扣除當(dāng)月獎(jiǎng)金，解除勞動(dòng)合約，當(dāng)發(fā)現(xiàn)員工行為已經(jīng)觸犯法律時(shí)，組織有權(quán)對(duì)該員工保留法律訴訟的權(quán)利。《信息安全法律法規(guī)及要求清單》《信息安全法律法規(guī)及要求清單評(píng)價(jià)表》8日期：202X-08-19受控狀態(tài)受控文件93.1綜合管理部3.2各部門4引用文件5.1專利部分專利申請(qǐng)工作流程圖研發(fā)都門取得科研成果就相關(guān)科研成果咨詢知識(shí)產(chǎn)權(quán)分析師，雙方棵討申請(qǐng)專利的可能性立項(xiàng)申請(qǐng)專利委托專利代理機(jī)構(gòu)申諸專專利說明書、權(quán)利要求書繳納申請(qǐng)費(fèi)，決定是否要求優(yōu)先權(quán)等及時(shí)提出提前公布專利申請(qǐng)以及進(jìn)行實(shí)質(zhì)市查的申請(qǐng)跟蹤與反饋.補(bǔ)充與修改專利申請(qǐng)材科。申請(qǐng)被吸回后請(qǐng)求復(fù)審取得專利證書.登記、歸檔、保存按葉繳納年費(fèi)專利信息檢索工作流程圖息索部門申請(qǐng)人項(xiàng)目名稱檢索范圍知識(shí)產(chǎn)權(quán)分析師：完成日期：附：檢索報(bào)告根相皮專利糾紛解決方案行為并要求損害賠償權(quán)，應(yīng)主動(dòng)檢討或停止侵權(quán)行為，分折原因，分別雙方和解，積極應(yīng)訴等手解決是訴訟則制定訴訟策咯系5.2計(jì)算機(jī)軟件版權(quán)惱況，會(huì)同有關(guān)部門主日記、保存、歸檔機(jī)軟件版權(quán)，皮主動(dòng)檢討積極應(yīng)訴等手段，使糾給得以順利圓滿解決.權(quán)侵權(quán)投訴，均應(yīng)及時(shí)向如果是公司侵犯他人計(jì)篦積極應(yīng)訴等手段，使糾給代理詞。離通法律關(guān)系5.3商標(biāo)部分折師代理機(jī)構(gòu)進(jìn)行商標(biāo)查詢右取得他人注冊(cè)商標(biāo)使用許判的登記與備案相應(yīng)侵權(quán)糾紛解決方案償積極應(yīng)訴等手段，使糾紛代理詞，鹿通法律關(guān)系5.4商業(yè)秘密別訟XXX有限公司重要信息備份管理程序?qū)徍耍篨XX日期：202X-08-19批準(zhǔn)：XXX日期：202X-08-19受控狀態(tài)受控文件為確保所有重要業(yè)務(wù)數(shù)據(jù)和軟件能在災(zāi)難(如地震、火災(zāi))或存儲(chǔ)介質(zhì)損壞之后得以恢復(fù)，保證信息處理及生產(chǎn)數(shù)據(jù)的完整性與可用性，特制定本程序。本程序適用于本公司重要數(shù)據(jù)及軟件的備份管理。3.1綜合管理部負(fù)責(zé)全組織信息備份工作的技術(shù)指導(dǎo)及對(duì)本部門維護(hù)的重要信息資產(chǎn)的數(shù)據(jù)和軟件實(shí)施備份。3.2各部門負(fù)責(zé)對(duì)本部門維護(hù)的重要信息資產(chǎn)的數(shù)據(jù)和軟件實(shí)施備份。4相關(guān)文件《信息安全管理手冊(cè)》《可移動(dòng)介質(zhì)管理程序》《信息處理設(shè)施維護(hù)管理程序》《信息備份安全策略》5.1備份對(duì)象針對(duì)各部門的重要信息，決定備份對(duì)象為：服務(wù)器的操作系統(tǒng)和安裝工具軟件的所有軟件光盤，服務(wù)器中的數(shù)據(jù)庫(kù)，配置管理工具數(shù)據(jù)庫(kù)，電腦中重要應(yīng)用系統(tǒng)的數(shù)據(jù)庫(kù)；根據(jù)以上備份對(duì)象，制定相應(yīng)的備份周期。5.2安全要求信息備份的安全要求包括：u)根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，備份方案采取本地備份與異地備份兩種方式同時(shí)進(jìn)行；v)備份周期根據(jù)需要可每周或每月，備份地點(diǎn)可根據(jù)重要程度決定異地或5.3備份周期各部門根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，制定《重要信息備份周期一覽表》,在其中明確規(guī)定備份周期、備份方式、備份介質(zhì)及備份負(fù)責(zé)人。《重要信息備份周期一覽表》經(jīng)部門負(fù)責(zé)人批準(zhǔn)后予以實(shí)施；對(duì)于人工備份應(yīng)填寫《重要信息備份記錄》,信息備份的記錄應(yīng)予以保存。當(dāng)軟件發(fā)生更改時(shí)，當(dāng)備份數(shù)據(jù)恢復(fù)前，更換電腦及操作系統(tǒng)前，應(yīng)進(jìn)行備份。5.5備份的標(biāo)識(shí)各部門應(yīng)采取適宜的方法對(duì)備份信息介質(zhì)進(jìn)行標(biāo)識(shí)，防止備份信息的誤用，標(biāo)識(shí)的內(nèi)容包括：e)備份信息的名稱；f)備份的日期；h)必要時(shí)，應(yīng)標(biāo)識(shí)所需采用的備份/還原工具。5.6介質(zhì)管理數(shù)據(jù)備份介質(zhì)應(yīng)保存在適宜的環(huán)境并專人管理；涉及組織秘密的備份介質(zhì)應(yīng)按照《信息分類管理程序》進(jìn)行標(biāo)注，只有授權(quán)的人員才可以訪問，并保存在上鎖的文件柜或其他安全儲(chǔ)存場(chǎng)所。重要備份信息使用的介質(zhì)管理請(qǐng)參見《可移動(dòng)介質(zhì)管理程序》和《信息處理《重要信息備份周期一覽表》《重要信息備份記錄》編制：XXX日期：202X-08-19審核：XXX日期：202X-08-19批準(zhǔn)：XXX日期：202X-08-19受控狀態(tài)受控文件3.1綜合管理部3.2各相關(guān)部門配合綜合管理部負(fù)責(zé)相關(guān)業(yè)務(wù)持續(xù)性計(jì)劃的實(shí)施。4相關(guān)文件《信息安全事件管理程序》5.1業(yè)務(wù)持續(xù)性和影響的分析由綜合管理部負(fù)責(zé)組織識(shí)別對(duì)業(yè)務(wù)持續(xù)性造成嚴(yán)重影響的主要事件，如信息系統(tǒng)設(shè)備故障、自然災(zāi)害等，分析一旦這些事件發(fā)生會(huì)對(duì)業(yè)務(wù)活動(dòng)造成的影響和損失，以及統(tǒng)計(jì)恢復(fù)業(yè)務(wù)所需費(fèi)用等。業(yè)務(wù)持續(xù)性和影響分析應(yīng)包括以下內(nèi)容：a)識(shí)別關(guān)鍵業(yè)務(wù)的管理過程；b)識(shí)別可能引起業(yè)務(wù)活動(dòng)中斷的主要事件；c)分析主要事件對(duì)信息系統(tǒng)和業(yè)務(wù)活動(dòng)造成的影響；d)考慮關(guān)于系統(tǒng)恢復(fù)或替換的需求。5.2《業(yè)務(wù)持續(xù)性管理計(jì)劃》(簡(jiǎn)稱BCP)的編制與實(shí)施綜合管理部負(fù)責(zé)確定影響業(yè)務(wù)持續(xù)性的關(guān)鍵功能或業(yè)務(wù)，編制《業(yè)務(wù)持續(xù)性《業(yè)務(wù)持續(xù)性管理計(jì)劃》應(yīng)包括以下方面的內(nèi)容：a)計(jì)劃實(shí)施所涉及的部門/人員的職責(zé)及接口關(guān)系的描述；b)業(yè)務(wù)中斷的快速報(bào)告程序及要求；c)業(yè)務(wù)中斷的恢復(fù)程序及方法；d)業(yè)務(wù)中斷恢復(fù)的時(shí)限要求；e)保持本組織業(yè)務(wù)持續(xù)運(yùn)作應(yīng)采取的應(yīng)急措施與備用措施；f)必要的技術(shù)支持及資源要求。重要系統(tǒng)一旦受到重大影響或中斷后，綜合管理部及相關(guān)部門應(yīng)立即執(zhí)行《業(yè)務(wù)持續(xù)性管理計(jì)劃》,對(duì)信息系統(tǒng)采取應(yīng)急措施，并進(jìn)行恢復(fù)，確保業(yè)務(wù)活動(dòng)的持續(xù)運(yùn)行。同時(shí)，應(yīng)按照《信息安全事件管理程序》做好事故處理記錄，記錄內(nèi)容應(yīng)包括：a)對(duì)業(yè)務(wù)中斷原因的調(diào)查分析；b)業(yè)務(wù)中斷造成損失的統(tǒng)計(jì)；c)采取的糾正措施；d)應(yīng)吸取經(jīng)驗(yàn)教訓(xùn)及預(yù)防措施等。5.3業(yè)務(wù)持續(xù)性計(jì)劃的測(cè)試與評(píng)審每年年末由綜合管理部組織相關(guān)部門對(duì)《業(yè)務(wù)持續(xù)性管理計(jì)劃》進(jìn)行測(cè)試，以判斷計(jì)劃的可行性和有效性。測(cè)試可采用以下方法進(jìn)行：a)對(duì)已發(fā)生過的業(yè)務(wù)中斷及恢復(fù)措施實(shí)例進(jìn)行討論；b)組織相關(guān)部門進(jìn)行業(yè)務(wù)中斷及恢復(fù)的模擬演練；c)采用技術(shù)手段對(duì)系統(tǒng)運(yùn)行及中斷恢復(fù)的相關(guān)參數(shù)進(jìn)行測(cè)量；d)由外部服務(wù)供應(yīng)商提供服務(wù)和產(chǎn)品測(cè)試，確保所提供的外部服務(wù)和產(chǎn)品符合合同要求。測(cè)試完成后綜合管理部負(fù)責(zé)編制《業(yè)務(wù)持續(xù)性管理計(jì)劃測(cè)試報(bào)告》,并對(duì)計(jì)劃的適用性和有效性進(jìn)行評(píng)審，形成《業(yè)務(wù)持續(xù)性管理計(jì)劃評(píng)審報(bào)告》。根據(jù)《業(yè)務(wù)持續(xù)性管理計(jì)劃評(píng)審報(bào)告》的要求，決定是否對(duì)《業(yè)務(wù)持續(xù)性管理計(jì)劃》進(jìn)行修改。《業(yè)務(wù)持續(xù)性管理計(jì)劃》《業(yè)務(wù)持續(xù)性管理計(jì)劃測(cè)試報(bào)告》《業(yè)務(wù)持續(xù)性管理計(jì)劃評(píng)審報(bào)告》信息安全溝通協(xié)調(diào)管理程序日期：202X-08-19日期：202X-08-19日期：202X-08-19受控狀態(tài)受控文件為確保組織信息安全方面信息的內(nèi)外部溝通渠道的暢通，特制定本程序。2適用范圍適用于組織有關(guān)信息安全事務(wù)的協(xié)商和內(nèi)外信息交流的管理。3.1信息安全管理小組z)負(fù)責(zé)組織范圍內(nèi)有關(guān)信息安全方面的信息交流和溝通活動(dòng)的日常管理工aa)與相關(guān)的權(quán)威機(jī)構(gòu)、專業(yè)團(tuán)體或其他安全專家論壇以及專業(yè)協(xié)會(huì)建立和bb)負(fù)責(zé)本組織信息安全管理信息向外部傳遞，與地方電信、消防、供電、3.2其他部門c)在各自業(yè)務(wù)內(nèi)，負(fù)責(zé)與相關(guān)方之間在信息安全方面進(jìn)行縱向橫向信息的4相關(guān)文件5.1信息安全溝通的內(nèi)容5.2信息安全的溝通方式5.3信息安全的協(xié)商j)管理文件，特別是作業(yè)文件的修改和評(píng)1)可能影響到信息安全的任何活動(dòng)。5.4內(nèi)部信息溝通管理組織依托各部門建立組織級(jí)信息安全網(wǎng)絡(luò)，負(fù)責(zé)組織內(nèi)部信息的溝通管理信息安全管理小組負(fù)責(zé)信息安全管理體系的建立及實(shí)施過程中的溝通和協(xié)組織根據(jù)需要建立信息安全管理專家組，包括有關(guān)信息安全和IT方面的專家，形成《信息安全專家名單》,經(jīng)公司總經(jīng)理批5.5外部信息的溝通管理公安部門的計(jì)算機(jī)安全部門)和相關(guān)團(tuán)體(信息安全第三方服務(wù)機(jī)構(gòu))建立聯(lián)系，及時(shí)報(bào)告信息安全事件(包括可能會(huì)違背法律的信息安全事件),取得指導(dǎo)和支5.6內(nèi)部信息的溝通管理信息安全管理小組至少每季度召開一次各部門負(fù)責(zé)人或部門代表參加的聯(lián)5.7信息的處理5.8信息管理記錄信息安全事件管理程序日期：202X-08-19日期：202X-08-19日期：202X-08-19受控狀態(tài)為建立信息安全事件報(bào)告、反應(yīng)與處理機(jī)制，減少信息安全事件所造成的損失，采取有效的糾正與預(yù)防措施，特制定本程序。3.1綜合管理部3.2各系統(tǒng)使用人員4相關(guān)文件5.1信息安全事件定義與分類失職等原因直接造成下列影響(后果)之一，均為信息安全事件：失職等原因直接造成下列影響(后果)之一，屬于重大信息安全事件：5.2事件的報(bào)告渠道與處理5.2.1事件報(bào)告要求事件的發(fā)現(xiàn)者應(yīng)按照以下要求履行報(bào)告任務(wù)：a)各個(gè)信息管理系統(tǒng)使用者，在使用過程中如果發(fā)現(xiàn)軟硬件故障、事件，應(yīng)該向該系統(tǒng)歸口管理部門和綜合管理部報(bào)告；如故障、事件會(huì)影響或已經(jīng)影響業(yè)務(wù)運(yùn)行，必須立即報(bào)告相關(guān)部門，采取必要措施，保證對(duì)業(yè)務(wù)的影響降至最低；b)發(fā)生火災(zāi)應(yīng)立即觸發(fā)火警并向綜合管理部報(bào)告，啟動(dòng)消防應(yīng)急預(yù)案；c)涉及組織的秘密、機(jī)密及絕密泄露、丟失應(yīng)向綜合管理部報(bào)告；d)發(fā)現(xiàn)信息安全的弱點(diǎn)，應(yīng)該向事件處理部門進(jìn)行報(bào)告；5.2.2事件的響應(yīng)事件處理部門接到報(bào)告以后，應(yīng)立即進(jìn)行迅速、有效和有序的響應(yīng)，包括采取以下適當(dāng)措施：a)報(bào)告者應(yīng)保護(hù)好故障、事件的現(xiàn)場(chǎng)，并采取適當(dāng)?shù)膽?yīng)急措施，防止事態(tài)的進(jìn)一步擴(kuò)大；b)按照有關(guān)的事件處理文件(程序、作業(yè)手冊(cè))排除故障，恢復(fù)系統(tǒng)或服務(wù)，必要時(shí)，啟動(dòng)業(yè)務(wù)持續(xù)性管理計(jì)劃。5.3事件調(diào)查處理與糾正措施故障處理部門應(yīng)對(duì)故障原因進(jìn)行分析，必要時(shí)，采取糾正措施，故障的原因及采取措施的結(jié)果予以記錄。對(duì)于信息安全事件，在故障排除或采取必要措施后，綜合管理部會(huì)同事件責(zé)任部門，對(duì)事件的原因、類型、損失、責(zé)任進(jìn)行鑒定，形成《信息安全事件調(diào)查處理報(bào)告》,報(bào)綜合管理部批準(zhǔn)；對(duì)于違反組織的信息方針、程序及安全規(guī)章所造成的信息安全事件責(zé)任者依據(jù)《信息安全獎(jiǎng)懲管理程序》予以懲戒，并在組織內(nèi)予以通報(bào)。綜合管理部要求事件責(zé)任部門制定糾正措施并實(shí)施，實(shí)施結(jié)果記錄在《信息由綜合管理部對(duì)實(shí)施情況進(jìn)行跟蹤驗(yàn)證，驗(yàn)證結(jié)果記入《信息安全事件調(diào)查重大信息安全事件處理，除需要按照信息安全事件處理之外，需要遵循以下a)發(fā)生重大信息安全事件，事件受理部門應(yīng)向綜合管理部和有關(guān)領(lǐng)導(dǎo)報(bào)告；b)重大信息安全處理方案，應(yīng)該得到有關(guān)領(lǐng)導(dǎo)的審核和批準(zhǔn)；c)重大信息安全事件處理完畢應(yīng)將其事件發(fā)生、處理、預(yù)防方案總結(jié)為知識(shí)，并傳達(dá)給相關(guān)人員。5.4證據(jù)的收集當(dāng)一個(gè)信息安全事件涉及到訴訟(民事的或刑事的),需要進(jìn)一步對(duì)個(gè)人或組織進(jìn)行起訴時(shí)，應(yīng)收集、保留和呈遞證據(jù)，以使證據(jù)符合相關(guān)訴訟管轄權(quán)。5.5信息安全弱點(diǎn)匯報(bào)處理機(jī)制當(dāng)公司人員發(fā)現(xiàn)信息安全弱點(diǎn)，應(yīng)將信息安全弱點(diǎn)發(fā)給信息安全管理小組；信息安全管理小組接收到相關(guān)弱點(diǎn)后，進(jìn)行記錄，并分析判斷該是否是新發(fā)現(xiàn)弱點(diǎn)，若此前已經(jīng)發(fā)現(xiàn)并有相應(yīng)的處理措施，則關(guān)閉該弱點(diǎn)；若相關(guān)弱點(diǎn)為新發(fā)現(xiàn)弱點(diǎn)，則將該弱點(diǎn)作為信息安全事件報(bào)告并處理。《信息安全事件調(diào)查處理報(bào)告》信息安全獎(jiǎng)懲管理程序日期：202X-08-19日期：202X-08-19日期：202X-08-19受控狀態(tài)受控文件為對(duì)有效避免信息安全事故的人員和行為進(jìn)行獎(jiǎng)勵(lì)，對(duì)違反信息安全方針和程序的人員和行為進(jìn)行處罰，作為對(duì)有意輕視信息安全程序的員工的威懾，強(qiáng)化全體員工的信息安全意識(shí)，特制定本規(guī)定。本程序適用于組織內(nèi)對(duì)違反信息安全方針和程序員工的懲戒及對(duì)信息安全做出貢獻(xiàn)員工的獎(jiǎng)勵(lì)管理。3.1各部門3.2綜合管理部3.4總經(jīng)理4相關(guān)文件5.1違章處罰負(fù)有信息安全事故處罰的各職能部門在日常檢查過程發(fā)現(xiàn)在其職責(zé)范圍內(nèi)一年內(nèi)累計(jì)二次一般違紀(jì)應(yīng)認(rèn)定為一次較重違紀(jì)，責(zé)令違章者寫出書面檢查報(bào)對(duì)于審核中(包括內(nèi)部審核及第三方審核)發(fā)現(xiàn)的一般不符合事項(xiàng)，應(yīng)通過5.2信息安全事故的處罰責(zé)任者予以處罰；對(duì)于重大信息安全事故的責(zé)任者的處罰應(yīng)提交綜合管理部決處罰方式gg)一般安全事故，根據(jù)所造成的經(jīng)濟(jì)損失，給予責(zé)任人扣罰當(dāng)月獎(jiǎng)金浮動(dòng)hh)造成重大安全事故的，將責(zé)任人調(diào)離原工作崗位并給予扣罰三個(gè)月以下ii)如果屬于故意行為導(dǎo)致信息安全事故，解除勞動(dòng)合同并依法追究法律責(zé)jj)對(duì)由于違反IT管理方針程序和越權(quán)訪問策略的，應(yīng)收回其訪問權(quán)限。建議申請(qǐng)單》,交綜合管理部。綜合管理部與被處罰部門溝通，確認(rèn)責(zé)任者及處5.3獎(jiǎng)勵(lì)規(guī)定b)及時(shí)發(fā)現(xiàn)非責(zé)任區(qū)信息安全重大隱患，該隱患足以導(dǎo)致信息安全重大事c)及時(shí)發(fā)現(xiàn)并制止系統(tǒng)操作問題以避免設(shè)備及人身重大損失或人員傷亡d)及時(shí)制止或報(bào)告泄露商業(yè)機(jī)密的事件以避免組織重大經(jīng)濟(jì)損失或及時(shí)中止正在進(jìn)行中的商業(yè)泄密行為的；e)其他有效避免組織信息安全事故的行為；f)在信息安全事故中采取積極有效措施，降低損失的程度。獎(jiǎng)勵(lì)方式a)防止一般安全事故發(fā)生，給予相關(guān)人員一次性50-200元的獎(jiǎng)勵(lì)；b)防止造成重大安全事故的，給予相關(guān)人員一次性200-500元的獎(jiǎng)勵(lì)；c)及時(shí)中止正在進(jìn)行中的商業(yè)泄密行為，根據(jù)秘密等級(jí)給予相關(guān)人員一次性500-2000元的獎(jiǎng)勵(lì)；d)信息安全事件中采取積極有效措施，降低損失程度，按照具體情況給予相關(guān)人員100-500元獎(jiǎng)勵(lì)；e)提出信息安全合理化建議，經(jīng)組織采納執(zhí)行，給予相關(guān)人員一次性200發(fā)現(xiàn)信息安全事故、薄弱點(diǎn)與故障的員工應(yīng)按照《信息安全事件管理程序》進(jìn)行報(bào)告。相關(guān)的職能部門進(jìn)行調(diào)查后，處理是否應(yīng)給予獎(jiǎng)勵(lì)，如需要應(yīng)填寫《員工獎(jiǎng)懲建議申請(qǐng)單》,報(bào)綜合管理部審批后，由綜合管理部在其當(dāng)月工資中加發(fā)獎(jiǎng)勵(lì)金額。對(duì)于授予獎(jiǎng)勵(lì)的相關(guān)人員的獎(jiǎng)勵(lì)結(jié)果由綜合管理部在組織范圍內(nèi)予以通報(bào)。《員工獎(jiǎng)懲建議申請(qǐng)單》日期：202X-08-19日期：202X-08-19受控狀態(tài)受控文件為明確員工招聘原則、標(biāo)準(zhǔn)及渠道，規(guī)范人員招聘、甄選及錄用程序，降低員工所帶來人為差錯(cuò)、盜竊、欺詐及濫用設(shè)施的風(fēng)險(xiǎn)，特制定本程序。本程序適用于員工聘用的安全考察管理。3.1綜合管理部負(fù)責(zé)員工聘用的安全考察管理、保密協(xié)議的簽訂。3.2各部門負(fù)責(zé)本部門員工的日?？疾旃芾砉ぷ鳌?相關(guān)文件《信息安全管理手冊(cè)》《記錄控制程序》5.1招聘依據(jù)各部門的年度招聘工作原則上應(yīng)在人員需求計(jì)劃內(nèi)進(jìn)行，年中發(fā)生變動(dòng)需增補(bǔ)計(jì)劃時(shí)，需經(jīng)總經(jīng)辦批準(zhǔn)后方可開展招聘工作。可錄用人員的基本條件：kk)符合組織員工身體健康標(biāo)準(zhǔn)要求；11)通過組織必要的背景調(diào)查與面試考評(píng)；mm)符合組織用人理念、符合崗位職責(zé)及任職條件要求；nn)符合當(dāng)?shù)卣南嚓P(guān)勞動(dòng)就業(yè)政策和法規(guī)；oo)了解應(yīng)聘崗位的責(zé)任信息，并承諾完成其職責(zé)和承擔(dān)信息安全責(zé)任。5.2人員考察策略所有員工在正式錄用前應(yīng)進(jìn)行以下方面考察：d)良好的性格特征，如誠(chéng)實(shí)、守信等；e)應(yīng)聘者學(xué)歷、個(gè)人簡(jiǎn)歷的檢查(完整性和準(zhǔn)確性);f)學(xué)術(shù)或?qū)I(yè)資格的確認(rèn)；g)身份的查驗(yàn)。員工從一般崗位轉(zhuǎn)到信息安全重要崗位，應(yīng)當(dāng)對(duì)其進(jìn)行信用及能力考察。5.3對(duì)錄用人員的考察綜合管理部對(duì)擬錄用人員重點(diǎn)進(jìn)行以下方面考察：a)根據(jù)應(yīng)聘資料及面試情況初判應(yīng)聘者的職業(yè)素質(zhì)；b)通過與應(yīng)聘者溝通，并了解其應(yīng)聘動(dòng)機(jī)；c)了解其從事的專業(yè)和具備的技術(shù)水準(zhǔn)，是否符合該崗位的崗位說明書。考察的結(jié)果應(yīng)記入《應(yīng)聘人員登記表》。在考察中發(fā)現(xiàn)應(yīng)聘者存在不良傾向的，將不予錄用。5.4錄用審批程序總經(jīng)理根據(jù)考核結(jié)果確定聘用的人選。綜合管理部負(fù)責(zé)向通過考核的應(yīng)聘人員發(fā)送《聘用通知書》,新員工報(bào)到時(shí)需提交下列資料：畢業(yè)證書復(fù)印件、身份證復(fù)印件1張、1寸免冠照片3張。受聘人員應(yīng)按時(shí)來綜合管理部報(bào)到，為員工進(jìn)行入職培訓(xùn)，領(lǐng)用電腦及辦公用品，綜合管理部為新入職員工安裝操作系統(tǒng)，工作用各類軟件，設(shè)置郵件地址，并對(duì)新入職員工進(jìn)行信息安全使用培訓(xùn)。對(duì)初次聘用的新員工實(shí)行3個(gè)月的試用期，具體的試用期限根據(jù)與該員工簽定的勞動(dòng)合同時(shí)間掛鉤。試用期自報(bào)到之日起計(jì)算。部門經(jīng)理負(fù)責(zé)對(duì)新入職員工在試用期間的考核，如不合格者，有權(quán)與該員工解除試用期勞動(dòng)合約或延遲試用期限。對(duì)錄用的員工應(yīng)簽署《勞動(dòng)合同》,對(duì)錄用的信息安全重要崗位的員工應(yīng)簽5.6人事檔案綜合管理部負(fù)責(zé)人事檔案的管理。人事檔案的管理應(yīng)符合相應(yīng)的法律法規(guī)，聘用記錄的管理應(yīng)符合《記錄控制程序》的要求。《應(yīng)聘人員登記表》《保密協(xié)議》日期：202X-08-19日期：202X-08-19受控狀態(tài)受控文件3.1綜合管理部完善組織的培訓(xùn)課程，建立組織的內(nèi)訓(xùn)課程體系和師資隊(duì)伍。3.2各部門負(fù)責(zé)新員工崗前培訓(xùn)和與崗位相關(guān)知識(shí)的培訓(xùn)；負(fù)責(zé)本部門特殊、專項(xiàng)培訓(xùn)計(jì)劃的制訂，協(xié)調(diào)安排好員工參加培訓(xùn)的時(shí)間，配合進(jìn)行培訓(xùn)效果的評(píng)估和跟蹤工作。4相關(guān)文件《信息安全管理手冊(cè)》《員工聘用管理程序》《記錄控制程序》5.1培訓(xùn)策劃綜合管理部應(yīng)確定各崗位人員，特別是從事影響信息安全管理體系人員所必須的能力要求，并按《員工聘用管理程序》聘用有能力的人員滿足這些能力要求。各部門根據(jù)各崗位信息安全能力要求、員工業(yè)績(jī)表現(xiàn)和業(yè)務(wù)的要求，制訂本綜合管理部在各部門年度培訓(xùn)計(jì)劃的基礎(chǔ)上，制定組織的《年度培訓(xùn)計(jì)劃表》,報(bào)綜合管理部經(jīng)理審批。5.2培訓(xùn)形式和種類培訓(xùn)形式一般分兩種：a)內(nèi)訓(xùn)：指綜合管理部安排在組織內(nèi)引進(jìn)培訓(xùn)講師或組織內(nèi)部講師進(jìn)行的培訓(xùn)學(xué)習(xí)課程；b)外訓(xùn)：指根據(jù)培訓(xùn)計(jì)劃和員工發(fā)展需求安排員工參加的在組織外舉辦的公開課程或階段課程(包括研討會(huì)、講座等形式)。培訓(xùn)種類一般分：a)員工培訓(xùn)(包括信息安全意識(shí)、職業(yè)道德培訓(xùn));b)信息系統(tǒng)專業(yè)和職業(yè)化技能培訓(xùn)；c)管理層培訓(xùn)(信息安全管理培訓(xùn)和意識(shí)培訓(xùn))。5.3培訓(xùn)要求應(yīng)對(duì)各類人員進(jìn)行信息安全的意識(shí)教育。應(yīng)對(duì)涉及信息系統(tǒng)(包括生產(chǎn)系統(tǒng))人員進(jìn)行崗位技能培訓(xùn)和信息安全技術(shù)應(yīng)對(duì)涉及信息系統(tǒng)(包括生產(chǎn)系統(tǒng))的人員進(jìn)行信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等培訓(xùn)。應(yīng)對(duì)重要崗位人員進(jìn)行相關(guān)的信息安全責(zé)任和懲戒措施培訓(xùn)。5.4培訓(xùn)實(shí)施綜合管理部根據(jù)《年度培訓(xùn)計(jì)劃表》組織實(shí)施培訓(xùn)項(xiàng)目，根據(jù)培訓(xùn)課程內(nèi)容發(fā)布培訓(xùn)通知并明確參培對(duì)象。培訓(xùn)前，按《年度培訓(xùn)計(jì)劃表》實(shí)施培訓(xùn)，參加培訓(xùn)人員應(yīng)在《培訓(xùn)記錄表》培訓(xùn)檔案應(yīng)包括培訓(xùn)通知、參培人員花名冊(cè)、教材或培訓(xùn)大綱、考卷、成績(jī)統(tǒng)計(jì)表等，培訓(xùn)檔案應(yīng)及時(shí)記錄。5.5培訓(xùn)效果評(píng)價(jià)各部門在發(fā)布培訓(xùn)通知時(shí)應(yīng)說明每個(gè)培訓(xùn)項(xiàng)目采用何種模式進(jìn)行評(píng)價(jià)，參訓(xùn)人員應(yīng)根據(jù)要求參加培訓(xùn)并接受評(píng)估。員工經(jīng)批準(zhǔn)參加組織安排的培訓(xùn)，在培訓(xùn)結(jié)束后應(yīng)進(jìn)行培訓(xùn)評(píng)估，培訓(xùn)評(píng)估結(jié)果作為員工崗位勝任能力評(píng)價(jià)的依據(jù)之一。5.6培訓(xùn)記錄綜合管理部應(yīng)保存員工教育、培訓(xùn)、經(jīng)驗(yàn)和資歷的記錄。培訓(xùn)檔案和上述記錄的管理應(yīng)符合《記錄控制程序》的要求?！赌甓扰嘤?xùn)計(jì)劃表》《培訓(xùn)記錄表》編制：XXX日期：20審核：XXX日期：202X-08-19批準(zhǔn)：XXX日期：202X-08-19受控狀態(tài)受控文件為規(guī)范員工離職流程，明確組織與員工離崗后的權(quán)利義務(wù)關(guān)系，特制定本程序。本程序適用于組織員工的離職(包括辭職、解除或終止勞動(dòng)合同、內(nèi)退、退休、外派、內(nèi)部崗位調(diào)整)管理。3.1綜合管理部負(fù)責(zé)員工離職的歸口管理。3.2各部門負(fù)責(zé)離職人員的工作交接，離職人員面談。3.3離職員工負(fù)責(zé)完成《員工離職交接清單》上所載事項(xiàng)，交綜合管理部。4相關(guān)文件《信息安全管理手冊(cè)》《用戶訪問管理程序》5.1員工離職a)組織與員工解除或終止勞動(dòng)合同，需提交公司辦公會(huì)議討論通過，并根據(jù)國(guó)家勞動(dòng)法規(guī)規(guī)定的通知時(shí)間，向員工所在部門及員工本人發(fā)出解除或終止勞動(dòng)合同的通知。b)員工辭職應(yīng)按規(guī)定提前30天遞交部門負(fù)責(zé)人，審批通過后，通知員工辦理相關(guān)離職手續(xù)。c)員工所在部門負(fù)責(zé)人應(yīng)進(jìn)行離職訪談，明確其承諾的保密義務(wù)。d)員工所在部門負(fù)責(zé)人應(yīng)通知綜合管理部，綜合管理部IT信息系統(tǒng)管理人員終止其訪問權(quán)限。5.2離職手續(xù)a)如無特殊情況，離職手續(xù)須由員工本人親自辦理。b)離職手續(xù)應(yīng)先辦理工作交接，經(jīng)部門負(fù)責(zé)人確認(rèn)工作交接完成以后方可辦理后續(xù)項(xiàng)目。c)離職手續(xù)包括：各種保密文件回收、身份證件退還(包括公司門禁卡等)、原所在辦公室門鎖和辦公桌鑰匙退還、固定資產(chǎn)(軟/硬件設(shè)備等)退還、財(cái)務(wù)清款、法律事務(wù)清查、工作交接、訪問權(quán)限的收回確認(rèn)。d)重要崗位人員離職前應(yīng)承諾保密義務(wù)，必要時(shí)應(yīng)簽署競(jìng)業(yè)限制協(xié)議。e)離崗員工辦理《員工離職交接清單》中的交接手續(xù)后，交綜合管理部審核。f)離職員工辦理完上述手續(xù)后，將《員工離職交接清單》交綜合管理部審核，審核無誤后由綜合管理部辦理離退休、內(nèi)退、退工(解除合同證明)、轉(zhuǎn)移社保關(guān)系、退檔等手續(xù)。5.3員工崗位變動(dòng)a)部門內(nèi)人員崗位變動(dòng)，由所在部門報(bào)綜合管理部；如有重要崗位人員的變化，應(yīng)及時(shí)通知綜合管理部，綜合管理部IT人員按《用戶訪問管理程序》變更、終止或授權(quán)其訪問權(quán)限。b)部門間的崗位變動(dòng)，綜合管理部開具《人員調(diào)度申請(qǐng)表》,原所在部門及時(shí)通知綜合管理部，綜合管理部IT信息系統(tǒng)管理人員終止其訪問權(quán)限?！秵T工離職交接清單》《人員調(diào)度申請(qǐng)表》相關(guān)方信息安全管理程序日期：202X-08-19日期：202X-08-19日期：202X-08-19受控狀態(tài)受控文件為加強(qiáng)對(duì)組織相關(guān)方的控制，識(shí)別其信息安全風(fēng)險(xiǎn)，采取相應(yīng)措施，防范組織的信息資產(chǎn)損失，特制定本程序。本程序適用于組織信息安全管理范圍內(nèi)外部相關(guān)方管理活動(dòng)，包括對(duì)供應(yīng)商、外來人員、公司外駐員工、廢棄物處理方及客戶的信息安全方面的管理和監(jiān)3.1綜合管理部a)組織各部門識(shí)別外部相關(guān)方對(duì)信息資產(chǎn)和信息處理設(shè)施造成的風(fēng)險(xiǎn)；b)定期組織對(duì)相關(guān)方控制的實(shí)施活動(dòng)進(jìn)行檢查與跟蹤；c)負(fù)責(zé)與相關(guān)方人員簽訂保密協(xié)議。3.2各相關(guān)部門a)負(fù)責(zé)對(duì)本部門、本項(xiàng)目外的部門的相關(guān)方進(jìn)行控制和管理；b)負(fù)責(zé)對(duì)客戶提供的信息采取保密措施。4相關(guān)文件《安全區(qū)域管理程序》《物理訪問策略》《用戶訪問管理程序》5.1管理對(duì)象pp)服務(wù)提供商：互聯(lián)網(wǎng)服務(wù)提供商、電話提供商、IT維護(hù)和支持服務(wù)提供商、軟件產(chǎn)品和IT系統(tǒng)開發(fā)商和供應(yīng)商；qq)管理服務(wù)提供商，管理咨詢，業(yè)務(wù)咨詢，外部審核方；rr)清潔、物業(yè)、會(huì)計(jì)以及其他外包的支持性服務(wù)提供商；ss)外來人員：快遞人員、供應(yīng)商等臨時(shí)人員、實(shí)習(xí)學(xué)生；5.2相關(guān)方信息安全管理綜合管理部組織各部門識(shí)別外部相關(guān)方對(duì)信息資產(chǎn)和信息處理設(shè)施造成的風(fēng)險(xiǎn)，并在批準(zhǔn)外部相關(guān)方訪問信息資產(chǎn)和信息處理設(shè)施前，對(duì)所識(shí)別的風(fēng)險(xiǎn)實(shí)施適當(dāng)?shù)目刂?。涉及?duì)組織的信息資產(chǎn)物理訪問、邏輯訪問時(shí)，綜合管理部應(yīng)與相關(guān)方簽署《相關(guān)方保密協(xié)議》中應(yīng)反映所有與相關(guān)方合作而引起的內(nèi)部管理需求或信息安全需求，《相關(guān)方保密協(xié)議》中還要提請(qǐng)相關(guān)方對(duì)其員工進(jìn)行必要的信息安全意識(shí)、技能培訓(xùn)和教育，使其滿足工作要求。在對(duì)信息安全的要求未實(shí)施適當(dāng)?shù)目刂浦安粦?yīng)向外部相關(guān)方提供權(quán)限進(jìn)行信息的訪問。綜合管理部應(yīng)確保外部相關(guān)方認(rèn)識(shí)到其義務(wù)，并接受與訪問、處理、交流或管理組織信息和信息處理設(shè)施相關(guān)的責(zé)任和義務(wù)。外來人員主要有：臨時(shí)工、外來參觀和檢查人員、外來技術(shù)/服務(wù)人員、服務(wù)提供商(包括管理服務(wù)提供商)等。外來人員進(jìn)入組織，應(yīng)按《安全區(qū)域管理程序》和《物理訪問策略》進(jìn)行控外來人員的邏輯訪問按《用戶訪問管理程序》進(jìn)行控制。5.4對(duì)供應(yīng)商的管理供應(yīng)商的業(yè)務(wù)管理部門應(yīng)識(shí)別物資采購(gòu)活動(dòng)中的信息安全的風(fēng)險(xiǎn)，明確采購(gòu)過程中的信息安全要求，在采購(gòu)合同中明確規(guī)定對(duì)信息安全方面的要求，并在批準(zhǔn)其訪問組織信息資產(chǎn)和信息處理設(shè)施前實(shí)施適當(dāng)?shù)目刂?。供?yīng)商訪問組織的安全區(qū)域和網(wǎng)絡(luò)按對(duì)外來人員的管理進(jìn)行控制。綜合管理部應(yīng)建立《相關(guān)方一覽表》,保存《相關(guān)方保密協(xié)議》和訪問授權(quán)綜合管理部與相關(guān)主管部門負(fù)責(zé)定期組織對(duì)相關(guān)方控制的實(shí)施進(jìn)行檢查與d)對(duì)相關(guān)方控制管理不嚴(yán)格、存在信息安全隱患的部門，提出整改意見，對(duì)問題較多或整改不力的，限令整改，提出信息安全考核意見和要求；e)對(duì)不符合信息安全管理要求的相關(guān)方，整改后仍不符合要求或拒絕整改可能造成信息安全事件的相關(guān)方，做出限期整改、減少訂貨、經(jīng)濟(jì)扣罰、終止合同等決定意見?！断嚓P(guān)方保密協(xié)議》《相關(guān)方一覽表》日期：202X-08-19日期：202X-08-19日期：202X-08-19受控狀態(tài)受控文件為加強(qiáng)對(duì)第三方服務(wù)提供商(合作商)的控制，減少安全風(fēng)險(xiǎn)，防范公司信3.1綜合管理部3.2其他相關(guān)部門f)負(fù)責(zé)確定合格的第三方服務(wù)商，并與第三方服務(wù)商簽訂服務(wù)合同和保密4相關(guān)文件5.1.1我公司的相關(guān)方包括以下團(tuán)體或個(gè)人：a)服務(wù)提供商：互聯(lián)網(wǎng)服務(wù)提供商、電話提供商、審計(jì)服務(wù)提供商、咨詢b)設(shè)備供方；c)外來人員：臨時(shí)人員、實(shí)習(xí)學(xué)生以及其他短期工作人員；d)管理咨詢，業(yè)務(wù)咨詢，外部審核；e)公司客戶。5.1.2上述活動(dòng)的歸屬管理部門為綜合管理部，負(fù)責(zé)相關(guān)方的監(jiān)督管理。5.2相關(guān)方的信息安全管理5.2.1相關(guān)部門應(yīng)協(xié)協(xié)助綜合管理部識(shí)別外部相關(guān)方對(duì)信息資產(chǎn)和信息處理設(shè)施造成的風(fēng)險(xiǎn)，并在批準(zhǔn)外部相關(guān)方訪問信息資產(chǎn)和信息處理設(shè)施前實(shí)施適5.2.2綜合管理部應(yīng)與外部相關(guān)方簽署涉及物理訪問、邏輯訪問和工作安排條款和條件的《第三方服務(wù)保密協(xié)議》,所有與外部相關(guān)方合作而引起的安全需求或內(nèi)部控制都應(yīng)在協(xié)議中反映，在未實(shí)施適當(dāng)?shù)目刂浦安粦?yīng)該向外部相關(guān)方提供對(duì)信息的訪問。5.2.3綜合管理部應(yīng)確保外部相關(guān)方意識(shí)到其義務(wù)，并接受與訪問、處理、交流或管理組織信息和信息處理設(shè)施相關(guān)的責(zé)任和義務(wù)。5.3外來人員管理5.3.1外來人員主要有：臨時(shí)工、實(shí)習(xí)人員、參觀檢查人員、外來技術(shù)人員、5.3.2外來人員由使用部門提請(qǐng)綜合管理部審核同意后，簽署《第三方保密協(xié)議》,并明確工作范圍、工作內(nèi)容、職責(zé)、權(quán)利、義務(wù)、物理(邏輯)訪問控制等要求，方可在公司信息系統(tǒng)從事相關(guān)工作。5.3.3外來人員的物理訪問按《物理訪問控制程序》進(jìn)行。5.3.4外來人員的邏輯訪問按《用戶訪問控制程序》進(jìn)行。5.4第三方服務(wù)的管理5.5.1第三方服務(wù)能力的評(píng)定相關(guān)網(wǎng)絡(luò)歸屬管理部門需要將設(shè)備、網(wǎng)絡(luò)、系統(tǒng)、軟件和信息安全等事項(xiàng)外包時(shí)，應(yīng)明確外包服務(wù)的內(nèi)容和要求，對(duì)第三方服務(wù)提供服務(wù)的能力進(jìn)行評(píng)定，確定合格第三方服務(wù)。應(yīng)確保第三方服務(wù)保持充分的提供服務(wù)的能力，并且具備有效的工5.5.2第三方服務(wù)提供商需提供服務(wù)人5.5.3第三方服務(wù)服務(wù)人員在現(xiàn)場(chǎng)或遠(yuǎn)5.5.4對(duì)服務(wù)提供方技術(shù)人員在現(xiàn)場(chǎng)處理需要設(shè)備入網(wǎng)時(shí)，應(yīng)填寫入網(wǎng)申請(qǐng)5.5.5當(dāng)服務(wù)提供方發(fā)生變更時(shí)，綜合管理部應(yīng)進(jìn)行服務(wù)提供方變更登記，日期：202X-08-19日期：202X-08-19受控狀態(tài)受控文件3.1綜合管理部3.2其他部門4相關(guān)文件5.1安全區(qū)域綜合管理部應(yīng)識(shí)別重要安全區(qū)域，建立和保持《重要安全區(qū)域安全控制方n)財(cái)務(wù)部5.2普通區(qū)域的物理訪問5.3重要安全區(qū)域的出入控制管理新軟件時(shí)，開發(fā)部門填寫《重要安全區(qū)域訪問審批表可進(jìn)入。完成工作后，登記離開時(shí)間，反饋給IT人員。5.4安全區(qū)域的檢查管理各部門根據(jù)普通區(qū)域和重要安全區(qū)域不同的要求，嚴(yán)格執(zhí)行組織相關(guān)的規(guī)定，防止對(duì)安全區(qū)域內(nèi)場(chǎng)所的非授權(quán)物理訪問、損壞和干擾，有效保障組織信息的安全，保證組織業(yè)務(wù)正常進(jìn)行。綜合管理部加強(qiáng)前臺(tái)管理，出入工作區(qū)域的外來人員必須登記《來訪人員登記表》。綜合管理部將組織人員定期對(duì)普通區(qū)域和重要安全區(qū)域進(jìn)行監(jiān)督檢查，檢查內(nèi)容為安全周界、外來人員情況等安全區(qū)域的控制管理，發(fā)現(xiàn)安全隱患及存在問題，將開具《專項(xiàng)管理檢查整改通知單》責(zé)成整改。5.5無人職守時(shí)的安全區(qū)域保護(hù)每天下班的最后一名員工應(yīng)關(guān)閉門禁，鎖上大門后再離開公司?！吨匾踩珔^(qū)域安全控制方案》《相關(guān)方保密協(xié)議》《機(jī)房人員出入登記表》《來訪人員登記表》《重要安全區(qū)域訪問審批表》《專項(xiàng)管理檢查整改通知單》XXX有限公司門禁系統(tǒng)管理程序日期：202X-08-19日期：202X-08-19日期：202X-08-19受控狀態(tài)受控文件為確保組織的物理區(qū)域入口的安全及其控制要求，防止非授權(quán)人員對(duì)組織場(chǎng)所的物理訪問、損壞和干擾，有效保障組織業(yè)務(wù)的安全運(yùn)作和工作穩(wěn)定，特制訂本程序適用于組織物理安全區(qū)域入口的管理。3.1綜合管理部yy)負(fù)責(zé)對(duì)進(jìn)入組織場(chǎng)所的員工及外來訪客進(jìn)行確認(rèn)和控制。4相關(guān)文件無日期：202X-08-19日期：202X-08-19受控狀態(tài)受控文件本程序適用于在組織內(nèi)使用的所有主要網(wǎng)絡(luò)設(shè)備的安全參數(shù)設(shè)置管理，包3.1綜合管理部4相關(guān)文件《信息安全管理手冊(cè)》《信息系統(tǒng)訪問與使用監(jiān)控管理程序》5.1.1通用策略網(wǎng)絡(luò)設(shè)備的配置必須由IT人員實(shí)施。設(shè)備系統(tǒng)日志的記錄內(nèi)容和保存期限應(yīng)該符合《信息系統(tǒng)訪問與使用監(jiān)控管對(duì)外連接防火墻配置要求：a)除內(nèi)部向外部提供的服務(wù)外，其他任何從外部向內(nèi)部發(fā)起的連接請(qǐng)求被禁止；b)除內(nèi)部向外部提供的服務(wù)相關(guān)部分外，內(nèi)部向外部的訪問需經(jīng)部門經(jīng)理批準(zhǔn)。內(nèi)部防火墻配置要求：a)內(nèi)部防火墻的內(nèi)外部分分為不同的安全等級(jí)，外部為等級(jí)低的部分，內(nèi)部為等級(jí)高的部分；b)除內(nèi)部向外部提供的服務(wù)外，其他任何從外部向內(nèi)部發(fā)起的連接請(qǐng)求被禁止；c)除內(nèi)部向外部提供的服務(wù)相關(guān)部分外，內(nèi)部向外部的訪問需經(jīng)部門經(jīng)理批準(zhǔn)。5.1.3網(wǎng)關(guān)設(shè)備安全配置策略網(wǎng)關(guān)設(shè)備安全配置策略：a)訪問許可列表應(yīng)根據(jù)申請(qǐng)并經(jīng)過審批獲得；b)對(duì)許可的訪問發(fā)起者的身份認(rèn)證應(yīng)至少在兩項(xiàng)或以上；c)非許可訪問的部分應(yīng)禁止；d)許可的訪問發(fā)起者應(yīng)體現(xiàn)相對(duì)靜態(tài)的信息記錄，如有明確意義的用戶名、靜態(tài)訪問IP地址等；e)許可的訪問發(fā)起者的訪問權(quán)利應(yīng)不被濫用。5.1.4網(wǎng)絡(luò)交換機(jī)設(shè)備安全配置策略關(guān)鍵路徑網(wǎng)絡(luò)交換機(jī)安全配置策略a)關(guān)鍵路徑網(wǎng)絡(luò)交換機(jī)是指位于公司網(wǎng)絡(luò)中間節(jié)點(diǎn)或信息交換中心位置的b)關(guān)鍵路徑網(wǎng)絡(luò)交換機(jī)安全配置策略應(yīng)考慮和周邊網(wǎng)絡(luò)設(shè)備的連接的兼容性、安全性、可靠性和可變性；c)關(guān)鍵路徑網(wǎng)絡(luò)交換機(jī)安全配置策略應(yīng)盡量減少不必要的限定以保證合理周邊網(wǎng)絡(luò)交換機(jī)安全配置策略a)周邊網(wǎng)絡(luò)交換機(jī)是指位于公司網(wǎng)絡(luò)非中間節(jié)點(diǎn)或信息交換相對(duì)不重要的位置的網(wǎng)絡(luò)交換機(jī)；b)周邊網(wǎng)絡(luò)交換機(jī)安全配置策略應(yīng)考慮和關(guān)鍵路徑網(wǎng)絡(luò)設(shè)備的連接的兼容性、安全性、可靠性和可變性；c)關(guān)鍵路徑網(wǎng)絡(luò)交換機(jī)安全配置策略應(yīng)根據(jù)需要減少不必要信息向更高級(jí)的網(wǎng)絡(luò)層的傳輸。5.2網(wǎng)絡(luò)中間設(shè)備配置過程IT人員根據(jù)安全配置策略和特定安全要求填寫《網(wǎng)絡(luò)設(shè)備安全配置表》,經(jīng)綜合管理部經(jīng)理審核批準(zhǔn)后，由IT人員對(duì)網(wǎng)絡(luò)設(shè)備參數(shù)進(jìn)行配置。《網(wǎng)絡(luò)設(shè)備安全配置表》編號(hào)：-ISMS-B-25編制：XXX日期：202X-08-19審核：XXX日期：202X-08-19批準(zhǔn)：XXX日期：202X-08-19受控狀態(tài)受控文件為了對(duì)本組織計(jì)算機(jī)設(shè)備和相關(guān)軟件進(jìn)行有效的管理控制，確保在使用和維護(hù)過程中的信息安全，特制定本程序。本程序適用于本組織所有個(gè)人計(jì)算機(jī)設(shè)備的購(gòu)置、調(diào)配、報(bào)廢、使用、維護(hù)及在管理、生產(chǎn)、服務(wù)等方面所需計(jì)算機(jī)軟件的管理。3.1綜合管理部負(fù)責(zé)本組織所有計(jì)算機(jī)的購(gòu)置、調(diào)配、報(bào)廢、使用、維護(hù)及相關(guān)軟件的管理和備存。3.2其他各部門具體負(fù)責(zé)購(gòu)置審批、保管和使用本部門計(jì)算機(jī)設(shè)備，安裝工作中需要使用的4相關(guān)文件《信息安全管理手冊(cè)》《信息處理設(shè)施安裝使用管理程序》《惡意軟件管理程序》《用戶訪問管理程序》5.1計(jì)算機(jī)設(shè)備管理綜合管理部負(fù)責(zé)計(jì)算機(jī)固定資產(chǎn)的標(biāo)識(shí)，標(biāo)識(shí)隨具體設(shè)備到使用各部門。計(jì)算機(jī)保管使用部門將計(jì)算機(jī)列入該部門《信息處理設(shè)施一覽表》。綜合管理部負(fù)責(zé)建立《計(jì)算機(jī)配置說明書》,明確組織內(nèi)配備個(gè)人計(jì)算機(jī)設(shè)備的硬件配置要求，《計(jì)算機(jī)配置說明書》應(yīng)每半年進(jìn)行一次更新。各部門配備的計(jì)算機(jī)設(shè)備應(yīng)與本部門的業(yè)務(wù)情況相適應(yīng)，不得配備低于工作要求的或不必要的計(jì)算機(jī)設(shè)備。計(jì)算機(jī)使用部門需配備計(jì)算機(jī)設(shè)備時(shí)，應(yīng)按照《信息處理設(shè)施安裝使用管理程序》的規(guī)定執(zhí)行。綜合管理部負(fù)責(zé)按《計(jì)算機(jī)配置說明書》為員工配備計(jì)算機(jī)，并對(duì)計(jì)算機(jī)設(shè)備進(jìn)行驗(yàn)收。有關(guān)計(jì)算機(jī)設(shè)備所帶技術(shù)說明書、軟件由綜合管理部保存。計(jì)算機(jī)設(shè)備的軟件由綜合管理部安裝，綜合管理部應(yīng)建立《計(jì)算機(jī)軟件安裝說明書》和《計(jì)算機(jī)軟件配置一覽表》,明確各部門/崗位軟件和配置的要求。綜合管理部應(yīng)為計(jì)算機(jī)設(shè)備進(jìn)行編號(hào)，建立《計(jì)算機(jī)配備一覽表》,加貼資產(chǎn)標(biāo)識(shí)。員工離職時(shí)，應(yīng)將計(jì)算機(jī)交還綜合管理部，由綜合管理部注銷賬戶。5.2計(jì)算機(jī)設(shè)備維護(hù)計(jì)算機(jī)使用部門應(yīng)將每部計(jì)算機(jī)落實(shí)到個(gè)人管理。計(jì)算機(jī)使用人員負(fù)責(zé)計(jì)算機(jī)的日常維護(hù)和保養(yǎng)；綜合管理部按照《惡意軟件管理程序》要求進(jìn)行計(jì)算機(jī)查毒和殺毒工作。計(jì)算機(jī)使用部門發(fā)現(xiàn)故障或異常，由計(jì)算機(jī)使用人員填寫《信息安全故障處理記錄》向綜合管理部申請(qǐng)維修。故障原因及處理結(jié)果應(yīng)記入《信息安全故障處用戶更新計(jì)算機(jī)或計(jì)算機(jī)部件后，原來的計(jì)算機(jī)或計(jì)算機(jī)部件由綜合管理部根據(jù)計(jì)算機(jī)的技術(shù)狀態(tài)決定調(diào)配使用或予以報(bào)廢處理。5.3.2調(diào)配計(jì)算機(jī)或計(jì)算機(jī)硬件的調(diào)配由部門內(nèi)部成員提交調(diào)配申請(qǐng)，必須由部門經(jīng)理審批，由綜合管理部負(fù)責(zé)調(diào)配完畢后，變更信息處理設(shè)施一覽表，并按照本程序要求重新分配使用。5.3.3報(bào)廢計(jì)算機(jī)設(shè)備采用集中報(bào)廢處理。報(bào)廢前由綜合管理部向總經(jīng)理提出報(bào)廢申請(qǐng)，經(jīng)審核后由綜合管理部實(shí)施報(bào)廢。含有敏感信息的計(jì)算機(jī)調(diào)配使用或報(bào)廢前，應(yīng)由綜合管理部將硬盤格式化，刪除敏感信息后再將其調(diào)配或報(bào)廢。綜合管理部按照批準(zhǔn)的處置方案進(jìn)行報(bào)廢處理，并變更《信息處理設(shè)施一覽5.4個(gè)人筆記本電腦移動(dòng)辦公安全管理個(gè)人筆記本電腦屬于私人財(cái)產(chǎn)，帶入組織使用前應(yīng)先向綜合管理部提出申請(qǐng)，并由部門經(jīng)理審批。個(gè)人筆記本電腦由綜合管理部測(cè)試過沒有病毒及其他可疑移動(dòng)代碼的前提下，方可接入組織的計(jì)算機(jī)網(wǎng)絡(luò)從事工作。筆記本電腦使用時(shí)應(yīng)防止惡意軟件的侵害，在系統(tǒng)中應(yīng)安裝防病毒軟件，并由綜合管理部對(duì)其定期升級(jí)，對(duì)系統(tǒng)定期查殺。筆記本電腦在移動(dòng)使用中，不能隨意拉接網(wǎng)絡(luò)，需按《用戶訪問管理程序》向綜合管理部提前提出需求，經(jīng)綜合管理部審批后方能接入網(wǎng)絡(luò)。5.5計(jì)算機(jī)安全使用的要求使用計(jì)算機(jī)時(shí)應(yīng)遵循《信息安全策略》要求執(zhí)行。一般計(jì)算機(jī)不得處理涉密信息。配備和使用涉密計(jì)算機(jī)設(shè)備應(yīng)填寫《涉密計(jì)算機(jī)設(shè)備審批表》,按批準(zhǔn)的軟硬件安全策略進(jìn)行配置，涉密計(jì)算機(jī)設(shè)備有專人使用，使用人員應(yīng)簽署《涉密計(jì)計(jì)算機(jī)設(shè)備使用人員不得使用計(jì)算機(jī)設(shè)備處理正常工作以外的事務(wù)，不得私自改變計(jì)算機(jī)的安全配置，不得私自安裝與工作無關(guān)的軟件，不得私自以任何方式接入互聯(lián)網(wǎng)，不得從事危害網(wǎng)絡(luò)秩序、網(wǎng)絡(luò)安全和違反法律法規(guī)的活動(dòng)。5.6對(duì)于無人值守的設(shè)備的職責(zé)對(duì)于無人值守的設(shè)備，應(yīng)把其放在相對(duì)安全的位置。以減少因誤操作而引起不必要的狀況無人值守的設(shè)備應(yīng)有門禁或監(jiān)控，保持其的安全性。使無關(guān)人員無法接觸到IT人員應(yīng)定期對(duì)無人值守的設(shè)備進(jìn)行檢查或維護(hù)，是設(shè)備能持續(xù)，正常的工作運(yùn)行無人值守的設(shè)備，應(yīng)具有持續(xù)供電設(shè)備。使其在斷電時(shí)，能正常關(guān)機(jī)得以保5.7服務(wù)器服務(wù)器的日常檢測(cè)，IT人員必須定期檢測(cè)服務(wù)器的容量是否足夠，有無病毒或可移動(dòng)代碼的入侵現(xiàn)象，并做好日志記錄。服務(wù)器的外部保護(hù)參見《機(jī)房安全管理規(guī)定》?！缎畔⑻幚碓O(shè)施一覽表》《計(jì)算機(jī)配置說明書》《計(jì)算機(jī)軟件安裝說明書》《計(jì)算機(jī)軟件配置一覽表》《計(jì)算機(jī)配備一覽表》《信息安全故障處理記錄》《涉密計(jì)算機(jī)設(shè)備審批表》《涉密計(jì)算機(jī)安全保密責(zé)任書》《重要服務(wù)器和設(shè)備日志明細(xì)表》XXX有限公司審核：XXX日期：202X-08-19受控狀態(tài)為了對(duì)組織內(nèi)員工使用電子郵件(Email)情況進(jìn)行有效的控制，特制定本本程序適用于組織內(nèi)電子郵箱的管理和員工使用電子郵件管理。3.1各部門負(fù)責(zé)批準(zhǔn)組織內(nèi)電子郵箱的使用申請(qǐng)。3.2綜合管理部負(fù)責(zé)組織的電子郵箱的開通、注銷及日常維護(hù)管理；負(fù)責(zé)員工使用電子郵件情況的監(jiān)控。4相關(guān)文件《信息安全管理手冊(cè)》《信息系統(tǒng)訪問與使用監(jiān)控管理程序》《電子郵件使用準(zhǔn)則》5.1電子郵件使用策略因工作需要的組織內(nèi)的員工均可申請(qǐng)公司電子郵箱，組織的電子郵箱的賬號(hào)密碼必須符合《信息系統(tǒng)訪問與使用監(jiān)控管理程序》;不得使用組織的電子郵箱發(fā)送、轉(zhuǎn)發(fā)、收取機(jī)密信息，不得使用個(gè)人電子郵箱發(fā)送、轉(zhuǎn)發(fā)、收取機(jī)密和秘密信息；組織有權(quán)對(duì)員工使用組織的電子郵箱情況、在組織內(nèi)網(wǎng)絡(luò)使用個(gè)人電子郵箱情況以及傳送的內(nèi)容進(jìn)行監(jiān)視和記錄，并對(duì)其內(nèi)容進(jìn)行存儲(chǔ)備份以用于法律目使用電子郵箱應(yīng)遵循《電子郵件策略》規(guī)定。5.2電子郵箱分類原則上，組織只為個(gè)人設(shè)置一個(gè)電子郵箱。個(gè)人郵箱是組織為員工個(gè)人提供的具體郵件地址，由員工個(gè)人申請(qǐng)使用。電子郵件系統(tǒng)郵箱的增刪處理由網(wǎng)絡(luò)管理員操作執(zhí)行。5.3電子郵箱的申請(qǐng)、使用新員工入職時(shí)，在分配完個(gè)人PC機(jī)之后，由IT人員安裝操作系統(tǒng)及工具軟件后，為其設(shè)置電子郵箱。電子郵箱的用戶名原則為用戶職位英語(yǔ)縮寫+編號(hào)，以方便此郵箱可回收再利用，并設(shè)置郵箱別名以方便用戶對(duì)外發(fā)布，密碼應(yīng)該在員工第一次使用時(shí)立即更改。郵箱中文名說明上使用員工中文名+(公司部門信息)。原則上，電子郵箱一旦開啟，不允許修改郵箱地址。5.4電子郵箱的注銷當(dāng)員工離職(包括辭職、解聘、離退休)時(shí)，由綜合管理部通知網(wǎng)絡(luò)管理員，網(wǎng)絡(luò)管理員負(fù)責(zé)注銷此郵箱，并在《電子郵箱一覽表》注明。綜合管理部網(wǎng)絡(luò)管理員負(fù)責(zé)每半年檢查一次電子郵件系統(tǒng)的授權(quán)使用情況，5.5電子郵箱的安全綜合管理部負(fù)責(zé)與電子郵箱服務(wù)提供商簽署含有信息安全內(nèi)容的服務(wù)協(xié)議。該協(xié)議應(yīng)經(jīng)技術(shù)部經(jīng)理審核，報(bào)公司分管領(lǐng)導(dǎo)批準(zhǔn)。IT人員負(fù)責(zé)監(jiān)督電子郵箱服務(wù)協(xié)議的實(shí)施。綜合管理部網(wǎng)絡(luò)管理員負(fù)責(zé)電子郵箱系統(tǒng)的日常維護(hù)，并監(jiān)控員工使用組織綜合管理部網(wǎng)絡(luò)管理員負(fù)責(zé)監(jiān)控員工在組織網(wǎng)絡(luò)使用個(gè)人電子郵箱的情況。當(dāng)發(fā)生或疑似發(fā)生信息安全事件時(shí)，應(yīng)對(duì)員工使用組織的電子郵箱的情況、在組織網(wǎng)絡(luò)使用個(gè)人電子郵箱的情況以及傳送的內(nèi)容進(jìn)行存儲(chǔ)備份?！峨娮余]箱申請(qǐng)表》《電子郵箱一覽表》《電子郵箱使用情況檢查表》編制：XXX日期：2審核：XXX日批準(zhǔn)：XXX日期：202X-08-19受控狀態(tài)受控文件為防止各類惡意軟件造成破壞，確保組織的信息系統(tǒng)、軟件和信息的保密性、完整性與可用性，特制定本程序。本程序適用于本組織各部門對(duì)防范惡意軟件的工作管理。所謂惡意軟件，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能、毀壞數(shù)據(jù)、竊取數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼，主要是指各類計(jì)算機(jī)病毒。3.1技術(shù)部技術(shù)部是組織內(nèi)惡意軟件管理控制工作的主管部門，負(fù)責(zé)組織內(nèi)防病毒軟件的安裝及病毒庫(kù)的更新管理，為各部門信息處理設(shè)施的防范惡意軟件提供技術(shù)性3.2其他各部門具體負(fù)責(zé)本部門信息處理設(shè)施的病毒清殺及其它預(yù)防措施的實(shí)施。4相關(guān)文件《信息安全管理手冊(cè)》《重要信息備份管理程序》《計(jì)算機(jī)管理程序》惡意軟件的防范措施主要是安裝防火墻、入侵檢測(cè)系統(tǒng)、使用加密程序和安裝殺病毒軟件。ddd)各部門應(yīng)根據(jù)技術(shù)部的安排，從指定的網(wǎng)絡(luò)服務(wù)器上安裝企業(yè)