最新ISO27001信息安全管理体系全套文件程序文件

1、最新IS027001信息安全管理体系全套程序文件信息安全管理体系程序文件目录文件编号文件名称XX-ISMS-01枣故事件薄弱点与故障管理程序XX-ISMS-02业务持续性管理程序XX-ISMS-03企业商业技术秘密管理程序XX-ISMS-04信息处理设施引进实施管理程XX-1SMS-05信息安全人员考察与保密管理程序XX-ISMS-06信息安全惩戒管理程序XX-ISMS-07信息安全适用性声明XX-ISMS-08信息安全风险评估管理程序XX-ISMS-09内审管理程序XX-ISMS-10恶意软件控制程序XX-ISMS-11更改控制程序XX-ISMS-12物理访问管理程序XX-ISMS-13用户

2、访问控制程序XX-ISMS-14管理评审控制程序XX-1SMS-15系统开发与维护控制程序XX-ISMS-16系统访问与使用监控管理程序XX-ISMS-17计算机账户及密码管理程序XX-ISMS-18文件和资料管理程序XX-ISMS-19重要信息备份管理程序XX-ISMS-20预防措施程序信息安全管理体系作业文件目录文件编号文件名称XX-ISMS-S0P-01防火墙安全管理规定XX-ISMS-S0P-02介质销毁管理规定XX-ISMS-S0P-03信息机房管理制度XX-ISMS-S0P-04信息中心安全事件报告和处置管理制度XX-ISMS-S0P-05信息中心密码管理制度XX-TSMS-S0P

3、-06信息系统访问权限说明XX-ISMS-SOP-07档案鉴定销毁工作规定XX-ISMS-S0P-08移动介质使用管理规定XX-ISMS-S0P-09复印室管理制度XX-ISMS-S0P-10重要文件加密解密管理制度东莞市XXX有限公司文件名称事故事件薄弱点与故障管理程序版次A/0页码文件编号XX-ISMS-01日期2017. 11.011/31适用本程序适用于公司信息安全事故、薄弱点、故障和风险处置的管理。2目的为建立一个适当信息安全事故、薄弱点、故障风险处置的报告、反应与处理机制，减少信息 安全事故和故障所造成的损失，采取有效的纠正与预防措施，正确处置已经评价出的风险， 特制定本程序。3职

4、责3.1各系统归口管理部门主管相关的安全风险的调查、处理及纠正措施管理。3.2各系统使用人员负责相关系统安全事故、薄弱点、故障和风险的评价、处置报告。4程序1信息安全事故定义与分类：4.1.1信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响（后果）之一，均为信息安全事故：R企业秘密、机密及国家秘密泄露或丢失；b）服务器停运4小时以上；c）造成信息资产损失的火灾、洪水、雷击等灾害；d）损失在十万元以上的故障/事件。4.1.2信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原 因直接造成下列影响（后果）之一，属于重大信息安全事故：

5、a）企业机密及国家秘密泄露；b）服务器停运8小时以上；c）造成机房设备毁灭的火灾、洪水、雷击等灾害；d）损失在一百万元以上的故障/事件。1.3信息安全事件包括：a）未产生恶劣影响的服务、设备或者实施的遗失；b）未产生事故的系统故障或超载；c）未产生不良结果的人为误操作；d）未产生恶劣影响的物理进入的违规文件名称事故事件薄弱点与故障管理程序版次A/0页码文件编号XX-ISMS-01日期2017. 11.012/3e）未产生事故的未加控制的系统变更；f）策略、指南和绩效的不符合；g）可恢复的软件、硬件故障；h）未产生恶劣后果的非法访问。4.2故障与事故的报告渠道与处理4.2. 1故障、事故报告要求

6、故障、事故的发现者应按照以卜要求履行报告任务：a）各个信息管理系统使用者，在使用过程中如果发现软硬件故障、事故，应该向该系统归 口管理部门报告；如故障、事故会影响或已经影响线上生产，必须立即报告相关部门，采取 必要措施，保证对生产的影响降至最低；b）发生火灾应立即触发火警并向安全监督部报告，启动消防应急预案；c）涉及企业秘密、机密及国家秘密泄露、丢失应向行政部报告；d）发生重大信息安全事故，事故受理部门应向信息安全管理者代表和有关公司领导报告。4.2.2故障、事故的响应故障、事故处理部门接到报告以后，应立即进行迅速、有效和有序的响应，包括采取以下适 当措施：a）报告者应保护好故障、事故的现场，

7、并采取适当的应急措施，防止事态的进步扩大；b）按照有关的故障、事故处理文件（程序、作业手册）排除故障，恢复系统或服务，必要 时，启动业务持续性管理计划。5相关/支持性文件1预防措施控制程序 5.2信息密级划分、标注及处理控制程序文件名称事故事件薄弱点与故障管理程序版次A/0页码文件编号XX-ISMS-01日期2017. 11.012/35.3信息安全奖励、惩戒规定4 I法律法规与符合性评估程序6记录保存期限1信息安全风险评估报文件名称事故事件薄弱点与故障管理程序版次A/0页码文件编号XX-ISMS-01日期2017. 11.013/36.2纠正/预防措施申请书6.3信息安全事故调查处理报告6.

8、4信息安全薄弱点报告文件名称业务持续性管理程序版次A/0页码文件编号XX-ISMS02日期2017. 11.011 /21目的与范围本程序规定了当发生重大信息安全事件或灾难时，为保护公司业务活动免受影响，迅速恢复 已中断的业务活动，实现公司业务持续发展而实施的管理活动。这些活动包括：建立业务持续性管理程序；进行业务持续性和影响分析；编制业务持续性战 略计划；制订业务持续性管理实施计划并实施；对业务持续性管理计划进行定期测试和评审 等。本程序适应于本公司应用软件的开发和系统集成的活动等主要业务的持续性管理。2相关文件1信息安全管理手册2.2信息资产的识别与风险评估管理程序2.3事故、薄弱点与故障

9、管理程序3职责1公司常务副总经理负责公司业务中断的恢复的总指挥与总协调。3.2集成部负责编制、修订公司业务持续性管理程序，并协调、推进公司业务持续性管理活 动。3各部门负责部门相关系统的故障处理及与之相关的作业中断的恢复。3.4技术部负责项目实施过程中设备及软件系统的故障处理及与之相关的作业中断的恢复。5集成部负责后勤系统设备及网络系统的故障处理及与之相关的作业中断的恢复。3. 6行政部负责本部门管理系统及与之相关的作业中断的恢复。3.7公司各部门在发生重大信息安全事件或灾难时，负责保护本部门使用的信息系统及业务文件名称业务持续性管理程序版次A/0页码文件编号XX-ISMS02日期2017.

10、11.012/2数据，及时恢复中断的业务活动。4工作程序1业务持续性管理过程公司业务持续性管理过程规定如下：4.2业务持续性和影响的分析2. 1公司在首次信息安全风险评估后进行业务持续性和影响的分析。4.2.2业务持续性和影响的分析由集成部组织，技术部、行政部、生产部及管理者代表指定的相关部门分别开展以下活动：a）对本部门的信息安全进行风险评估；b）识别岀对本部门业务持续性造成严重影响的主要事件，如设备故障、火灾等；c）分析这些事件一旦发生对公司业务活动造成的影响和损失，以及恢复业务所需费用等；d）编写本部门业务持续性和影响分析报告（格式见ISMS-4341）O2.3业务持续性和影响分析报告应

11、包括以下内容：R识别关键业务的管理过程；b）可能引起公司业务活动中断的主要事件；c）主要事件对本部门管理的信息系统的影响；d）信息系统故障或中断対公司业务活动的影响；e）关于系统恢复或替换的费用考虑。5记录1业务持续性和影响分析报告文件名称业务持续性管理程序版次A/0页码文件编号XX-ISMS02日期2017. 11.013/25.2业务持续性管理战略计划3业务持续性管理实施计划5.4业务持续性管理计划测试报告5业务持续性管理计划评审报告文件名称企业商业技术秘密管理程序版次A/0页码文件编号XX-ISMS-03日期2017. 11.011/3第一章总则第一条 为保障公司的合法权益，充分发挥作为

12、公司重要资产的技术秘密、商业秘密的效益，鼓励员工不 断创造并自觉维护技术秘密、商业秘密的积极性，根据知识产权管理总则制订木制度。第二条 公司技术秘密、商业秘密的管理目标：技术秘密、商业秘密是本公司拥有的知识产权的组成部分, 是公司的重要资产。要在公司内牢固树立技术秘密、商业秘密的保护意识；技术秘密、商业秘密的管理 贯穿研究开发、生产和经营的全过程。明确商业秘密的界定和保护。第三条 公司内的相关管理制度、合同、记录等文献所有文件均属于商业机密。第二章 技术秘密、商业秘密的定义、确立和管理机制第四条.本制度所称的技术秘密、商业秘密，是指由公司员工在职务范围内创造或履行职务产生的、经 公司知识产权管

13、理部门认定并采取了保密措施、只在公司-定范围内流传的、具有商业价值的所有信息 或成果。这些信息或成果以各种纸质材料、照片、录像和计算机等数字存储设备为载体而能够为人所感 知。具体包括：技术秘密。包括：公司现有的或正在开发或者构思之中的或经过技术创新确定不宜于申请专利的营销方 案，管理制度；经营信息包括：公司的市场营销计划、广告宣传方案、销售方法、供应商和客户名单、客户的专门需求、 未公开的销借服务网络以及公司现有的、正在开发或者构思之中的经营项目等信息及其承载物；依据法律和有关协议对第三方负有保密责任的第三方商业秘密。第五条.确定为技术秘密、商业秘密的信息及其承载物，归公司所有。第六条技术秘密

14、、商业秘密的确定程序：1 由参与药品研发创新，研发部就某一项或几项信息，向公司行政管理部门申报；2行政董事接到中报后采取：a）指定参与者中一人专门保管成果或信息的承载物，口J以采取加密措施。被指定人一般是项目或业务负责 人或菜肴创造者本人；b）向公司常务莆事汇报并提出是否构成技术秘密、商业秘密建议。必要时会同指定人向公司常务葷事汇报:c）公司行政董事在接到知识产权管理部门的汇报后应立即作出是否确定为技术秘密、商业秘密的决定；d）对于被确定为技术秘密、商业秘密的信息或成果，按照本制度第三章和第四章的有关规定具体落实管理 措施。e）技术秘密、商业秘密的确定遵循随吋产生随吋确定的原则，实行动态管理：

15、第七条商业秘密管理机制。公司决策层负责技术秘密、商业秘密的整体工作。及时、高效地作出审核、批准、否决等工作，定期检 查各部门的保密工作，作出奖惩决定。公司下属部门的负责人负贵本部门的日常技术秘密、商业秘密管理和保护工作。定期检查本部门的保密 工作，配合支持知识产权管理部门履行公司技术秘密、商业秘密保护工作。文件名称企业商业技术秘密管理程序版次A/0页码文件编号XX-ISMS-03日期2017. 11.012/3知识产权管理部门是公司技术秘密、商业秘密保护工作的职责机构，具体操作落实与协调商业秘密保护 的各项工作.公司全体员工是技术秘密、商业秘密保护的实施者。全体员工应当牢固树立知识产权意识，

16、自觉维护公司的商业秘密。第三章技术秘密、商业秘密及其承载物的管理第八条 根据本制度第六条的规定，被决策层确立为技术秘密、商业秘密的信息或成果，由知识产权管理 部门确立密级和保密期限。密级划分的标准、保密期限的确立，要参考该信息或成果同公司业务的联系 程度、与同行业竞争的影响力度、是否为公司运营的关键等因案，由知识产权管理部门划定。商业秘密 的申报人应当提供意见。第九条 按照技术秘密、商业秘密需要保密的程度，参考第八条的标准，技术秘密、商业秘密分为三级； 绝密、机密、保密。引外，对于不宜于对外的信息，由行政管理部门确立为“内部使用”的资料，参照本制 度做好保密工作。绝密一是指一旦泄漏会使公司遭受

17、严重危害和重大损失的信息或成果，包括；公司核心管理秘密、技 术诀窍、财务报表、药品研发工艺、特殊化合同。机密一是指理一旦泄漏会使公司遭受危害和较大损失的信息，包括：产品开发、市场营销等各类工作 计划、公司内部重要文件。保密一是指一旦泄漏会使公司遭受损失的信息，包括；药品销售情况，用户名单及其分布，用户需求 信息，限于一定范围阅读的公司内部文件等。内部使用的信息或成果一是指一旦泄漏会对公司业务产生一定不良影响的可能的信息或成果，只限于 内部员工阅读的公司内部文件。第十条.保密资料由专人负责管理。公司财务部对交接来的技术秘密、商业秘密档案材料，根据其密级于 档案卷宗封面加盖保密印章，登记、编号后统

18、一放置保密资料专门存放处保存，并建立台帐登记，重要 的资料柜实行双钥匙制度。公司各部门要设立保密资科柜，用于存放各部门经常运用的或暂时无法交存公司财务部门保存的技术秘 密、商业秘密档案材料，该资料拒应由专人管理。第十一条.商业技术机密材料的借阅，必须经公司行政董事批准，确定借阅时间，使用后立即归还，不 得延期，更不得交与他人使用。第十二条.商业技术机密材料的复印，必须经公司行政董事批准后，由专人（理应是财务部经理）复印， 未见公司行政董爭批准意见，律不得复印。复印由专人负责，复印期间不得向他人泄漏，复印后应当 立即将复印稿和原稿交还申请复印人，废稿要立即销毁，不得留存或随意丢弃。第四章 技术秘

19、密、商业秘密的保障措施第十三条 在本公司进行技术创新过程中，任何研发项目从立项之日起，围绕该项目的研发活动进入技术 秘密、商业秘密保护范围内，产生的任何信息或成果，不论最终产生的知识产权形式如何，均作为公司 的技术秘密、商业秘密进行保护。文件名称企业商业技术秘密管理程序版次A/0页码文件编号XX-ISMS-03日期2017. 11.013/3第十四条对于在研发过程中被确定为技术秘密、商业秘密的信息，由于处在不断发展改进的状态下，其 档案材料可以经公司知识产权主管领导批准后保留在本部门，但必须设专门存放处保存，以计算机等保 存的，必须对该设备进行数字加密，密码不得向任何无关该商业秘密的人透露。研

20、发中的阶段性成果，必须形成档案材料，依照保密措施保存，直到最终成果形成后，将各阶段成果形 成的过程档案进行保存、销毁、解秘等措施。第十五条 对于开发完成的技术创新成果，除从本公司专利战略及经营实际岀发需要公开的以外，经过论 证不适于中请专利的，将其完全纳入公司商业秘密保护范围内，按照商业秘密的确立、密级划分、建档、 专门保存档案资料等的工作。参与技术创新的有关人员，在开发项目进行中，应履行商业秘密的保密工 作。第十六条 公司所有员工有义务保护公司技术秘密、商业秘密的安全。所有员工对于公司技术秘密、商业 秘密的保护而产生的义务、权利及相应奖励、处罚。第十七条 员工在公司工作期间，因工作需要使用公

21、司的技术秘密、商业秘密及其承载物，应按照要求的 范围和程度使用，不得将实物、资料等擅白带离工作岗位，未经书面同意，不得随意进行复制、交流或 转移含有公司技术秘密、商业秘密的资料。第十八条 员工在参加任何级别的学术交流活动、产品订货会、技术鉴定会等会议或活动时，必须注意保 护公司的技术秘密、商业秘密，用以交流的文档或资料事先要经过上级审查批准。第十九条公司在对 外发布新产品信息和广告时，要注意避免泄漏公司的技术秘密、商业秘密。重要的新产品宣传、广告文 稿必须经公司行政董事审核批准后才口 I发布。第二十条 公司在接受外公司人员的实习、合作研究、学习进修等工作时，对公司的技术秘密、商业秘密 负有保密

22、的义务。第二十一条 员工因工作需要或其他原因（包括离职、辞职、退休、开除等）调离原工作岗位或离开公司， 应将接触到的所有包含职务开发中技术秘密、商业秘密的数据、文档等的记录、模型、软磁盘、光盘及 数字存储装置以及其他媒介形式的资料如数交回公司。第五章技术秘密、商业秘密效益发挥的保证措施第二十二条公司在对外的技术合作过程中，以技术秘密、商业秘密为标的或其他技术合同涉及技术秘密、 商业秘密许可的，对于技术秘密、商业秘密的价值通过与合作方协商确定。需要进行第三方价值评估的， 委托符合执业要求的中介机构完成，并通过合同约定严格的保密措施。明确双方的权利和义务及合作方 在合同末完全履行，泄漏公司技术秘密

23、、商业秘密应承担的责任。第二十三条公司员工在主持或参与对外业务谈判时要遵守公司的保密纪律。涉及公司商业秘密的谈判， 事先制定谈判提纲，该提纲经行政董事批准。第二十四条 在技术合作中产生的技术成果，其知识产权形式的确定和归属由合同约定，凡以技术秘密、 商业秘密约定归属本公司应采取保密措施。第二十五条 因员工开发或参与开发的技术创新项目、新产品技术或创造发明而形成的商业秘密，在对外 的技术合作过程中产生收益，本公司将取得实际利益给予最大力度奖励。文件名称企业商业技术秘密管理程序版次A/0页码文件编号XX-ISMS-03日期2017. 11.014/3第二十六条 本公司所有正式，试用，兼职，实习员工

24、无条件遵守本管理办法。文件名称信息处理设施引进实施管理程版次A/0页码文件编号XX-ISMS04日期2017. 11.011/71适用与目的本程序适用于公司与IT相关各类信息处理设施（包括各类软件、硬件、服务、传输线路）的引进、 实施、维护等事宜的管理。木程序通过对技术选型、验收、实施、维护等过程中相关控制的明确规定来确保引进的信息处理设 施的保密性、完整性和可用性。2信息处理设施的分类2.1研发控制系统、数据存储控制系统及其子系统设备，包括位于机房的服务器和位于使用区域的使用控 制系统终端设备。2.2业务管理系统、财务管理系统，包括位于机房的服务器和位于使用区域的终端设备。2.3办公用计算机

25、设备，包括所有办公室、会议室内的计算机、打印机，域控制服务器，DNS服务器、 Email服务器等。2.4网络设备，包括交换机、路由器、防火墙等。2.5其它办公设备，包括电话设备、复印机、传真机等。3职责XX部主要负责全公司与IT相关各类信息处理设施及其服务的引进。包括制作技术规格书、进行技 术选型、安装和验收等。XX部同时负责全公司网络设备、研发控制系统、业务管理系统、财务管理系统 日常管理与维护。3.2各部负责项目实施过程中设备及软件系统的管理制度的执行与维护。3.3 XX部负责后勤系统设备及网络系统、电话/网络通讯与办公系统的管理与维护。4信息处理设施的引进和安装4.1引进依赖各部门必须采

26、购的信息处理设施、外包开发信息系统项目或外包信息系统服务，得到本部门经理的 批准后，向XX部提交申请。XX部以设备投资计划，技术开发计划为依据，结合对新技术的调查，作出 是否引进的评价结果并向提出部门返回该信息。文件名称信息处理设施引进实施管理程版次A/0页码文件编号XX-ISMS04日期2017. 11.012/7本公司禁止员工携带个人或私有信息处理设施（例如便携式电脑、家用电脑或手持设备PDA等）处 理业务信息。4.2进行技术选型XX部负责对购入的信息处理设施的技术选型，并从技术角度对供应商进行评价。技术选型应该包含 以下几方面：性能、相关设施的兼容性、协作能力、技术发展能力等。4.3编写

27、购入规格书XX部根据要求，负责编写即将购入的信息处理设施的购入规格书。规格书中应该包含技术规格、相 关设施的性能（包括安全相关信息）、兼容性等要求，由XX部主管审批。4.4定货由XX部按照公司采购流程，向经理层提出购买要求，并提供选型结果。经理层应按照要求办理定货 手续。45开箱检査，安装、调试，验收a）开箱检查设备到货后，xx部应负责开箱检查，依照购买规格书和装箱单核对数量及物品，确认有无损坏并记 录。必要时，应通知有关部门到场协同检查。b）安装、调试引进的设施到位后，根据合同要求，由相关人员进行安装、调试。在实施调试过程中岀现的问题， 必要时可通知相关部门共同进行。c）验收安装调试完成以后

28、，XX部应依据以下文件实施验收：购入规格书采购合同及其相关附件调试时故障履历验收原则上由XX部实施，必要时可要求相关部门参加。验收的合格与否最终由XX部负责人作出判 断。d）验收合格后，可向相关的使用部门移交。文件名称信息处理设施引进实施管理程版次A/0页码文件编号XX-ISMS04日期2017. 11.013/75信息处理设施的日常维护管理5.1计算机设备管理XX部负责计算机固定资产的标识，标识随具体设备到使用各部门。计算机保管使用部门将计算机列 入该部门信息资产清单。5.1.2各部门配备的计算机设备应与本部门的日常经营情况相适应，不得配备与工作不相符的高档次或不 必要的计算机设备。办公场所

29、不配备多媒体类计算机设备，原则上部门经理以上配备笔记本电脑，因工 作需要配备笔记本电脑的需经主管副总批准。5.1.3计算机使用部门需配备计算机设备时，应按照本规定执行。资产搬离安置场所，需要获得部门经理 的授权；迁移出公司，需要得到最高管理层的授权。5.1.4计算机使用部门填写物品领用单，经过本部门经理签字后提交行政部后领取计算机设备。计算 机及附属设备属公司信息资产，在行政部备案。有关计算机设备所带技术说明书、软件由行政部保存。 使用部门的使用人应妥善保管计算机及附属设备，公用计算机设备由使用部门经理指定专人负责使用管 理。5.1.5离职时，应将计算机交还XX部，由XX部注销账户。5.2计算

30、机设备维护5.2.1计算机使用部门应将每部计算机落实到个人管理。计算机使用人员负贵计算机的日常维护和保养； XX部按照恶意软件控制程序要求进行计算机查毒和杀毒工作。5.2.2计算机使用部门发现故障或异常，可先报公司XX管理员处理，如其无法解决，则由XX管理员填 写事态事件脆弱性记录向供应商申请维修。故障原因及处理结果应记入事态事件脆弱性记录。5.3计算机调配与报废管理5.3.1用户计算机更新后，原来的计算机由XX部根据计算机的技术状态决定调配使用或予以报废处理。5.3.2含有敏感信息的计算机调配使用或报废前，计算机使用部门应与XX部共同采取安全可靠的方法将 计算机内的敏感信息清除。5.3.3调

31、配部门内部的调配由使用部门自行处理，并通知XX部进行计算机配置变更，变更执行更改控制 程序。53.3.2部门间的调配管理：XX部收回因更新等原因不用的计算机设备，由变更部门变更信息资产清单， 并按照木程序5.1.3、5.4要求重新分配使用。文件名称信息处理设施引进实施管理程版次A/0页码文件编号XX-ISMS04日期2017. 11.014/75.4报废处理5.4.1计算机设备采用集中报废处理。报废前itlXX部向行政部提出报废，经审核后由XX部实施报废。XX部按照批准的处置方案进行报废处理，并变更固定资产清单。5.5笔记本电脑安全管理5.5.1笔记本电脑应由被授权的使用人保管；对于需多人共用

32、的笔记本电脑，应由部门负责人指定专人保 管。5.5.2笔记本所带附件应由使用者本人或部门负责人指定专人保管。5.5.3笔记本电脑使用时应防止恶意软件的侵害，在系统中应安装防病毒软件，并由使用人对其定期升级， 对系统定期查杀，XX部负责监督。5.5.4笔记本电脑在移动使用中，不能随意拉接网络，需通过填写用户授权申请表向XX部提前提出 需求，经XX部审批后方能接入网络。5.6计算机安全使用的要求5.6.1计算机设备为公司财产，应爱惜使用，按照正确的操作步骤操作。5.6.2使用计算机时应遵循信息安全策略要求执行。5.6.3员工入职吋，由其所在部门的部门经理根据该员工权限需要填写用户授权申请表，向研发

33、部提 出用户开户申请；离职时也需填写用户授权中请表通知研发部办理销户。5.6.4新域用户名为用户姓名的拼音（有重名时另设），初始缺省密码为XXXXXo用户在第次登录系 统时应变更密码，密码需要设置在6位以上（英文字母、数字或符号组合的优质密码）并注意保密。5.6.5各人使用自己的账户登录，未经许可不得以他人用户名登录。若用户遗忘密码，应及时向研发部 中请新密码后登录。5.6.6不得使用计算机设备处理正常工作以外的爭务。5.6.7计算机的软硬件设置管理由研发部进行，未经许可，任何人不得更换计算机硬件和软件。5.6.8研发部负责初始软件的安装，公司严禁个人私自安装和更改任何软件。计算机用户的软件安

34、装与 升级按照更改控制程序执行。拒绝使用來历不明的软件和光盘。5.6.9严禁乱拉接电源，以防造成短路或失火。5.6.10计算机桌而要保持清洁，不得将秘密和（或）受控文件直接放置在桌面；计算机桌面必须设置屏 幕保护，恢复时需用密码确认（执行密码口令管理规定）。锁屏时间可根据自己工作习惯设置锁屏吋间， 但最高不得高于5分钟。各部门负责人进行监督。文件名称信息处理设施引进实施管理程版次A/0页码文件编号XX-ISMS04日期2017. 11.015/75.7网络安全使用的要求5.7.1对于网络连接供应商，充分考虑其口碑和现有安全防范措施，在签署保密协议的基础上加以筛选。5.7.2对内设置必要的路由器

35、防火墙，采用HTTP、FTP的连接方式，捆绑固定IP地址防止权限滥用。6信息处理设施的日常点检6.1计算机的日常点检日常点检的目的是确认系统硬件是否运行良好，有无硬件及程序上的报警，备份是否正常进行等。点 检的流程、责任、项目、点检周期和记录表详由相应部门制定。如岀现在检查期人员外出等不在岗情况, 需要在返回工作岗位时，立即补充完善。6.2网络设备的管理与维护点检的流程、责任、项目、点检周期和记录表由XX部负责，特别的，在点检中应包括对MAIL的 点检。6.3点检策略6.3.1所有存在于计算机、网络设备上的服务、入侵检测系统、防火墙和其他网络边界访问控制系统的 系统审核、账号审核和应用审核日志

36、必须打开，如果有警报和警示功能必须打开。6.3.2审核日志必须保存定的期限，任何个人和部门不得以任何理由删除保存期之内的日志。6.3.3审核日志必须由该系统管理员定期检查，特权使用、非授权访问的试图、系统故障和异常等内容 应该得到评审，以查找违背信息安全的征兆和事实。6.3.4入侵检测系统必须处于启动状态，日志保存一定的期限，定期评审异常现象，对所有可疑或经确 认的入侵行为和入侵企图需及吋汇报并采取相应的措施。6.3.5日志的配置最低要求设备类型日志内容保存周期检查周期服务系统对外提供服务的a）用户标识符（ID）；b）登录和注销事件；c）若可能，终端位置；d）成功的失败的登录试图。$6个月W2

37、周直接用于设计、存储、 检测的控制、管理和查 询系统M12个月W2周全公司办公系统26个月W5周文件名称信息处理设施引进实施管理程版次A/0页码文件编号XX-ISMS04日期2017. 11.016/7部门内部服务器N6个月W5周其他服务器26个月W5周防火墙和路由器系统配置更改日志$1个月W5周访问日志（方向、流量）Ml个月W5周VPN网关町用户标识符（ID）；b）登录和注销事件；C）终端位置；d）成功的失败的登录试图。21周W1周入侵检测系统异常网络连接的时间、IP、 入侵类型M3个月W5周远程访问系统a）用户标识符（ID）；b）登录和注销事件；C）终端位置；d）成功的失败的登录试图。M3

38、个月W5周XX部网络管理员根据系统的安全要求确认其日志内容、保存周期、检查周期，其最低要求不得低 于上表的要求。如果因为日志系统木身原因不能满足上表的最低要求，需要降低标准的，必须得到XX部 主管或管理者代表的批准和备案。XX部网络管理员配置日志系统，并定期检查日志内容，评审安全情况。评审的内容包括：授权访 问、特权操作、非授权的访问试图、系统故障与异常等情况，评审结束应形成日志检查记录。6.4资料的保存6.4.1设备的技术资料由设备所在的部门交由行政部保存并建立受控文件和资料发放清单，以备日后 查阅。6.4.2设备厂商对设备进行维修后提供的维修（维护）记录单，由XX部保存，以备日后查询。6.

39、5网络扫描工具的安全使用管理6.5.1对网络扫描工具的使用，必须得到管理者代表的授权，并保存使用的记录。7其它要求涉及应用系统软件的开发（包括外包软件开发）的项目，还需执行系统开发与维护控制程序的 相关要求。文件名称信息处理设施引进实施管理程版次A/0页码文件编号XX-ISMS06日期2017. 11.011 /81目的为对违反信息安全方针、体系文件要求、法律法规、合同要求的员工实施公正有效的奖 惩，并作为对可能在其它情况下有意轻视信息安全程序的员工的威慑，强化全体员工的信息 安全意识，有效防止信息安全事故的发生，特制定本规定。2范围本程序适用于本公司对违反信息安全方针、体系文件要求、法律法规

40、、合同要求的员工 的奖惩及对信息安全做出贡献员工的奖励。3定义无4职责1各部门经理负责自己区域内的奖惩。4.2管理者代表负责对IT方面信息安全事故的奖惩管理。4.3信息安全管理委员会负责决定重大信息安全和事故的处罚。4.4系统管理员负责本公司内部泄密或信息泄漏的调查。5程序文件名称信息安全惩戒管理程序版次A/0页码文件编号XX-ISMS06日期2017. 11.012/85. 1计算机信息系统的安保1. 1在计算机信息系统安全保护工作中成绩显著的单位和个人，由人事部给予表彰、奖励。1.2存在计算机信息系统安全隐患，由人事部发出整改通知，限期整改。因不及时整改而 发生重大事故和案件的，由市行对该

41、单位的主管负责人和直接负责人予以行政处分；构成违 反治安管理或者违反计算机管理监察行为的，由公安机关依法予以处罚；构成犯罪的，由司 法机关依法追究刑事责任。注：以上条款由本公司信息安全委员会负责解释。文件名称信息安全惩戒管理程序版次A/0页码文件编号XX-ISMS06日期2017. 11.013/85.2计算机应用与管理违规行为处罚规定5.2.1计算机应用、维护及操作人员违反规定的，给予经济处罚或者警告至降级处分；造成 严重后果的，给予撤职至开除处分。2.2违反规定，擅自编制、使用、修改业务应用程序、调整系统参数和业务数据的，给予 主管人员和其他责任人员记过至撤职处分；造成严重后果的，给予主管

42、人员和其他责任人员 留用察看至开除处分。5.2.3利用计算机进行违法违规活动或者为违法违规活动提供条件的，给予主管人员和其他 责任人员记过撤职处分；造成严重后果的，给予留用至开除处分。2.4违反规定，有下列危害网络安全公司为之一的，给予有关责任人员经济处罚或者警告 至记过处分；造成严重后果的，给予记大过至开除处分：在生产经营用机上使用与业务无关的软件或者利用通讯手段非法侵入其他系统和 网络的(含从的一个业务系统进入另一个业务系统，从以外的系统和设备侵入业务网络系统, 以及从的业务网络系统进入以外的网络系统)；未经审批，私自使用内部网络上的计算机拨号上国际互联网的；将非计算机设备接入网络系统的；

43、私自卸载或屏蔽计算机安全软件的；私自修改计算机操作系统、网络系统安全设置的；未经审批，私自在网络系统内开设游戏网站、论坛、聊天室等与工作无关的网络 服务的；利用邮件系统传播损害形象的邮件的。5. 2.5利用的计算机设备和网络系统制造、传播计算机病毒，给予主管人员和其他责任人员 记过至记大过处分；造成严重后果的，给予主管人员和其他责任人员降级至开除处分。5.2.6计算机房值班人员擅自离岗的，给予经济处罚或者警告处分；造成严重后果的，给予 记过至开除处分。5. 2.7系统管理和操作人员离开主机或者终端时没有按操作规程退出系统的，给予经济处罚 或者警告至记过处分；造成严重后果的，给予记大过至开除处分

44、。5. 2.8违反规定将属于的计算机软件、文档、资料、客户信息等据为己有、复制或者借给外 单位的，给予有关责任人员记过至撤职处分；造成严重后果的，给予留用察看至开除处分。文件名称信息安全惩戒管理程序版次A/0页码文件编号XX-ISMS06日期2017. 11.014/85. 2.9未按规定进行数据备份、没有妥善保管备份数据或备分数据无效的，给予主管人员和 其他责任人员经济处罚或者警告至记过处分；造成严重后果的，给予记大过至开除处分。5. 2. 10在对面向客户的业务应用系统管理中，从事后台维护的技术人员，违反规定同时进 行前台技术维护的，给予主管人员和其他责任人员记过至记大过处分；造成严重后果

45、的，给 予降级至开除处分。5. 2. 11在业务应用系统有关的各项业务操作过程中，技术人员代替业务人员操作，或业务员 允许技术人员代替从事业务操作，给予主管人员和其他责任人员记过至开除处分。5.2. 12伪造信息的，给予主管人员和其他责任人员警告至降级处分；造成严重后果的，给予 撤职至开除处分。文件名称信息安全惩戒管理程序版次A/0页码文件编号XX-ISMS06日期2017. 11.015/85.3计算机信息类违规处罚5.3. 1本公司职工违规操作，给系统造成一定的影响，但没有影响业务正常运行或对业务造 成轻微危害者，给当事人警告或严重警告、情节较重或严重者，视情节轻重给予当事人和主 管领导2

46、00元以上1000元以下罚款。5.3.2本公司职工违规操作导致系统发生问题，影响业务长时间正常运行，视情况给予处罚， 情节严重者，开除。5.3.3系统管理员凡是不按要求管理，出现公网和内网混网现象，或其它安全问题，一经发 现，除全公司通报批评外，处以200元罚款，情节严重者，调离系统员岗位。5.3.4所有计算机使用用户，违规私自修改网络地址进入不该进入的业务网段、或使用内网 主机进入internet网络者，若对系统和业务未造成影响，除全公司通报批评外，处以当事 人和相关责任人200元罚款，若对系统或业务造成影响着，视情节轻重，处以500以上10000 元以下罚款。5.3.5凡是利用非法手段窃取

47、系统密钥，进入本公司业务系统，盗取客户资料，向外界提供 客户资料并造成客户损失或进入系统作案者，一经发现，立即开除，情节严重者，送交司法 机关处置。文件名称信息安全惩戒管理程序版次A/0页码文件编号XX-ISMS06日期2017. 11.016/85.4奖惩记录5. 4.1系统管理员根据本公司奖惩管理规定，对奖惩的实施进行记录并形成奖惩记录单 记录完毕后由系统管理员进行留存。文件名称信息安全惩戒管理程序版次A/0页码文件编号XX-ISMS06日期2017. 11.017/85. 5证据的收集5. 5.1当信息安全事件涉及到诉讼（民事的或刑事的），需要进一步对个人或组织进行起诉 时，应收集、保留

48、和呈递证据，以使证据符合相关诉讼管辖权。5. 5.2证据在收集时不得侵犯个人权益，应在不侵犯个人权益时对证据进行收拾并且证实证 据是否可在法庭上使用。5. 5.3应保证证据的质量和完备性，防止未被授权的篡改和泄漏。5. 5.4证据获得的保证：本公司应确保收集证据其信息系统符合任何公布的标准或实用规则 来产生被容许的证据。文件名称信息安全惩戒管理程序版次A/0页码文件编号XX-ISMS06日期2017. 11.018/85.6证据的保存及提供5.6.1提供证据的份量应符合任何适用的要求。对该证据的存储和处理的整个时期内，应进 行过程控制保证证据的质量和完备性。5. 6.2纸面文档证据的提供：原物

49、应被安全保存且带有下列信息的记录：谁发现了这个文档, 文档是在哪儿被发现的，文档是什么时候被发现的，谁来证明这个发现；任何调查应确保原 物没有被篡改；5. 6.3对计算机介质上的信息：任何可移动介质的镜像或拷贝（依赖于适用的要求）、硬盘 或内存中的信息都应确保其可用性；拷贝过程中所有的行为日志都应保存下来，且应有证据 证明该过程；原始的介质和日志（如果这一点不可能的话，那么至少有一个镜像或拷贝）应 安全保存且不能改变5. 6.4任何法律取证工作应仅在证据材料的拷贝上进行。所有证据材料的完整性应得到保 护。证据材料的拷贝必须在可信耐人员的监督下进行，什么时候在什么地方执行的拷贝过程, 谁执行的拷

50、贝活动，以及使用了哪种工具和程序，这些信息都应记录作为日志。6记录奖惩记录单文件名称信息安全适用性声明版次A/0页码文件编号XX-ISMS*07日期2017. 11.011 /14目的根据ISO/IEC27001:2013标准和公司实际管理需要，确定标准各条款对公司的适用性，特编 制本程序。范围适用于对ISO/IEC27001:2013标准于本公司的适用性管理。职责与权限3.1最高管理者负责信息安全适用性声明的审批。3.2综合部负责信息安全适用性声明的编制及修订。相关文件a）信息安全管理手册术语定义无6.适用性声明文件名称信息安全适用性声明版次A/0页码文件编号XX-ISMS*07日期2017

51、. 11.012/14信息安全适用性声明SOAA. 5信息安全方针标准 条款号标题目标/ 控制是否 选择选择理由相关文件A.5信息安全管理指引目标YES提供符合有关法律法规和业务需求的信息安全管理指 引和支持。A.5信息安全方针控制YES信息安全方针应由管理才 批准发布。信息安全管理手册A51.2信息安全方针 的评审控制YES确保方针持续的适应性。管理评审控制程序A. 6信息安全组织标准 条款号标题目标/ 控制是否 选择选择理由相关文件A.6.1信息安全组织目标YES管理组织内部信息安全。A6I.1信息安全的角色 和职责控制YES保持特定资产和完成特定 安全过程的所有信息安全 职责需确定。信息

52、安全管理手册A.6.1.2职责分离控制YES分离有冲突的职责和责任 范围，以减少对组织资产未 经授权访问、无意修改或误 用的机会。信息安全管理手册A.6.1.3与监管机构的联 系控制YES与相关监管机构保持适当 联系。相关方服务管理程序A.6.1.4与特殊利益团体 的联系控制YES与特殊利益团体、其他专业 安全协会或行业协会应保 持适当联系。相关方服务管理程序A.6.1.5项目管理中的信 息安全控制YES实施任何项目时应考虑信 息安全相关要求。保密协议相关方管理程序A.6.2移动设备和远程 办公目标YES确保远程办公和使用移动设备的安全性A.6.2移动设备策略控制YES采取安全策略和配套的安

53、全措施管控使用移动设备 带来的风险。信息处理设施控制程 序计算机管理规定介质管理程序A.6.2.2远程办公控制YES我司有远程访问公司少数 系统的情况，需要进行安全 控制。用户访问控制程序A. 7人力资源安全文件名称信息安全适用性声明版次A/0页码文件编号XX-ISMS*07日期2017. 11.013/14标准 条款号标题目标/ 控制是否 选择选择理由相关文件A.7聘用前目标YES确保员工、合同方人员适合他们所承担的角色并理解 他们的安全责任A.7人员筛选控制YES通过人员考察，防止人员带 来的信息安全风险。人力资源安全管理程 序A.7J.2雇佣条款和条 件控制YES履行信息安全保密协议是

54、雇佣人员的一个基木条件。人力资源安全管理程 序保密协议A.7.2聘用期间目标YES确保员工和合同方了解并履行他们的信息安全责任。A.7.2管理职责控制YES缺乏管理职责，会使人员意 识淡薄，从而对组织造成负 面安全影响。信息安全管理手册人力资源安全管理程 序A.7.2.2信息安全意识、 教育和培训控制YES信息安全意识及必要的信 息系统操作技能培训是信 息安全管理工作的前提。人力资源安全管理程 序A.7.2.3惩戒过程控制YES对造成安全破坏的员工应 该有一个正式的惩戒过程。信息安全惩戒管理规 定A.7.3聘用中止和变 化目标YES在任用变更或中止过程保护组织利益。A.7.3.1任用终止或变

55、更的责任控制YES应定义信息安全责任和义 务在任用终止或变更后仍 然有效，并向员工利合同方 传达并执行。人力资源安全管理程 序相关方服务管理程 序A. 8资产管理标准 条款号标题目标/ 控制是否选择选择理由相关文件A.8.1资产责任目标YES对我司资产（包括顾客要求彳 进行有效保护。呆密的数据、软件及产品）A.&1资产清单控制YES建立重要资产清单并实施 保护。信息安全风险评估控 制程序重要资产清单A.&1.2资产责任人控制YES对所有的与信息处理设施 有关的信息和资产指定“所 有者”信息安全风险评估控 制程序资产消单信息处理设施控制程序A.&1.3资产的合理使用控制YES识别与信息系统或服务

56、相 关的资产的合理使用规则， 并将其文件化，并予以实信息处理设施控制程 序文件名称信息安全适用性声明版次A/0页码文件编号XX-ISMS*07日期2017. 11.014/14标准 条款号标题目标/ 控制是否 选择选择理由相关文件施。A.8.1.4资产的归还控制YES在劳动合同或协议终止后， 所有员工和外部方人员应 退还所有他们持有的组织 资产。人力资源安全管理程 序相关方服务管理程 序A.8.2信息分类目标YES我司根据信息的敏感性对信息进行分类，明确保护要 求、优先权和等级，以确保对资产采取适当的保护。A.8.2分类指南控制YES我司的信息安全涉及信息 的敏感性，适当的分类控制 是必要的。

57、信息分类与处理指 南A.8.2.2信息标识控制YES按分类方案进行标注并规 定信息处理的安全的要求。信息分类与处理指 南A.8.2.3资产处理控制YES根据组织采用的资产分 类方法制定和实施资产 处理程序信息处理设施控制程 序A.8.3介质处理目标YES防止存储在介质上的信息被非授权泄露、修改、删除 或破坏。A.8.3可移动介质管理控制YES我司存在含有敏感信息的 磁盘、磁带、光盘、打印报 告等可移动介质。介质管理程序A.8.3.2介质处置控制YES当介质不再需要时,对含有 敏感信息介质采用安全的 处置办法是必须。介质管理程序A.8.3.3物理介质传输控制YES含有信息的介质应加以保 护，防止

58、未经授权的访问、 滥用或在运输过程中的损 坏。信息交换管理程序A.9访问控制标准 条款号标题目标/ 控制是否 选择选择理由相关文件A.9.1访问控制的业务 需求H标YES限制对信息和信息处理设施的访问A.9访问控制策略控制YES建立文件化的访问控制策 略，并根据业务和安全要求 对策略进行评审。用户访问控制程序A.9J.2对网络和网络服 务的访问控制YES制定策略，明确用户访问网 络和网络服务的范围，防止 非授权的网络访问。用户访问控制程序A.9.2用户访问管理目标YES确保己授权用户的访问，预防对系统和服务的非授权文件名称信息安全适用性声明版次A/0页码文件编号XX-ISMS*07日期2017

59、. 11.015/14标准 条款号标题目标/ 控制是否 选择选择理由相关文件访问。A.9.2.1用户注册和注销控制YES我司存在多用户信息系统， 应建立用户登记和注销登 记程序。用户访问控制程序A.9.2.2用户访问权限提 供控制YES应有正式的用户访问分配 程序，以分配和撤销对于所 有信息系统及服务的访问。用户访问控制程序A.9.2.3特权管理控制YES应对特权帐号进行管理，特 权不适当的使用会造成系 统的破坏。用户访问控制程序A.9.2.4用户认证信息的 安全管理控制YES用户鉴别信息的权限分配 应通过一个正式的管理过 程进行安全控制。用户访问控制程序A.9.2.5用户访问权限的 评审控制

60、YES对用户访问权限进行评审 是必要的，以防止非授权的 访问。用户访问控制程序A.9.2.6撤销或调整访问 权限控制YES在跟所有员工和承包商 人员的就业合同或协议 终止和调整后，应相应得 删除或调整其信息和信 息处理设施的访问权限0人力资源安全管理程 序用户访问控制程序相关方服务管理程 序A.9.3用户贵任目标YES确保用户对认证信息的保护负责0A.9.3认证信息的使用控制YES应要求用户遵循组织的规 则使用其认证信息。用户访问控制程序A.9.4系统和应用访问 控制目标YES防止对系统和应用的未授权访问A.9.4信息访问限制控制YES我司信息访问权限是根据 业务运做的需要及信息安 全考虑所规