ISO27001-2013信息安全管理体系文件（管理制度）180页

1、管理制度（依据 ISO/IEC 27001:2013 标准编制）编号：FJXA/C01 30 （A 版）受控状态分发号持有者编制:审核：批准：2019年10月08日发布2019年10月08日实施ABCD软件有限公司发布ABCD软件有限公司 管理制度文件编号版次第A版第0次修订主题文件更改记录页码第1页共180页文件更改记录序号更改文件号更改内容批准日期1234567891011121314151617181920ABCD软件有限公司 管理制度文件编号版次第A版第0次修订主题文件更改记录页码第2页共180页ABCD软件有限公司 管理制度文件编号版次第A版第0次修订主题目录页码第3页共180页序号

2、文件编号文件名称页码1FJXA/C01信息安全交流控制制度2FJXA/C02文档资产分级管理制度3FJXA/C03硬件资产分级管理制度4FJXA/C045FJXA/C056FJXA/C067FJXA/C078FJXA/C089FJXA/C0910FJXA/C1011FJXA/C1112FJXA/C1213FJXA/C1314FJXA/C1415FJXA/C1516FJXA/C1617FJXA/C1718FJXA/C1819FJXA/C1920FJXA/C2021FJXA/C2122FJXA/C2223FJXA/C2324FJXA/C24ABCD软件有限公司 管理制度文件编号版次第A版第0次修订

3、主题目录页码第4页共180页25FJXA/C2526FJXA/C2627FJXA/C2728FJXA/C2829FJXA/C2930FJXA/C3031FJXA/C3132FJXA/C3233FJXA/C3334FJXA/C34ABCD软件有限公司 管理制度文件编号町XA/C01版次第A版第0次修订主题信息安全交流控制制度页码第5页共180页信息安全交流控制制度目标解决组织与外部方之间业务信息的安全传输，保护通过使用各种类型通信设 施进行的信息传输。总则Is公司对与外部组织或个人进行信息传输进行统一规划和管理。2、公司鼓励和提倡各下属以及员工采用电子邮件进行内夕卜交流，在采取了信息安全控制的措

4、施的情况下，也可以使用其他方式对外进行信息传输。3、使用电子邮件应符合电子邮件管理规定中的相关要求。二信息传输安全控制措施Is对传输前的信息进行病毒扫描,防止病毒威胁扩散。2、对一二级密级信息文件须加密传输。3、在使用任何通信手段前应确认接收方是真实可靠的。可通过电话、短信等 方式进行身份验证。4、所传输的业务信息（包括消息）的保留和处理,要符合国家和地方法律法 规规定。三、信息传输协议Is 级敏感信息采取全程不落地加密传输的方式进行,对信息中的敏感字段要进行脱敏处理。对传输完成后的源文件，应予以立即清除。ABCD软件有限公司 管理制度文件编号町XA/C01版次第A版第0次修订主题信息安全交流

5、控制制度页码第6页共180页2、对于二级敏感信息采取加密传输的方式进行。可保存经加密的原文件，未 加密的原文件应被清除。3、与外部交流的重要信息，应定义双方的识别标记，进行电子签名，以识别 信息来源，保证信息来源的真实可靠。4、对重要的信息交流，双方需签订交流协议，规定信息安全事态发生时的责 任和义务、以及相关的保密责任和义务。5、信息系统或软件自动传输需交流的信息，须符合交流协议的规定，并按密 级保护的要求操作。四.定期评审Is公司应对信息安全交流管理以及信息安全管理体系每年度进行一次安全 评审2、公司应与相关联外部组织或内部组织每年进行一次信息安全管理沟通, 以征求相关组织对公司信息安全的

6、评价,以便于改进。3、公司与相关外部组织或内部组织沟通情况记入信息安全管理体系意见 表,提交给信息安全管理领导小组,制定和落实整改措施。ABCD软件有限公司 管理制度文件编号FJXA/C02版次第A版第0次修订主题文档资产分级管理制度页码第7页共180页文档资产分级管理制度文档资产分级及责任部门(-)文档分级一级：公司绝密级文件，是指公司最高涉密信息，与公司生存、经营、人 事有重大利益关系,凡该信息泄漏后,足以严重损害本公司利益、影响本公 司发展生存，使竞争对手因而取得领先地位，相对降低本公司竞争力的文件。 标记为Flo由质量管理部承担安全管理责任。主要包括：未发布的经营战略、规划、计划；其它

7、应列为公司绝密级的资料。2、二级：公司机密级文件，是指与本公司的生存、经营、人事有重要利益关 系，凡该信息泄漏后，足以严重损害本公司各事业群体利益或有利于内外部 竞争对手的,对公司信息安全造成重大的损害,需要严格保护的文件。标记 为F2O由各相关部门承担安全管理责任。主要包括：公司薪酬制度及数据，人力资源对员工的绩效考核材料；财务专用印签、帐号，保险柜密码文件，财务预/决算报告及各类财 务统计报表；公司对外项目投标的标书及标底方案；系统管理员口令、设备开机或访问密码文件；客户真实数据文件；ABCD软件有限公司 管理制度文件编号FJXA/C02版次第A版第0次修订主题文档资产分级管理制度页码第8

8、页共180页其它应列为公司机密级的资料。3、三级：公司秘密文件，是指与本公司生存、经营、人事有较大利益关系， 凡该信息泄漏后,足以严重损害本公司利益或有利于竞争对手的,会对公司 安全造成较高的损害，需要以安全的方式加以保护的文件。标记为F3O由各 相关部门承担安全管理责任。主要包括：员工个人信息、档案、数据等；各类合同、协议、合作计划书等；供应商及客户档案等；市场广告企划、营销企划方案；产品研发及项目实施文档、成果资料等；项目管理文档资料；包括客户的重要数据文件；部门访问口令文件；备份数据；网络、设备等基础配置信息、数据等文件；准备或已经申请国家、部、省、市级科技成果、专利的文件；在同行业中处

9、于领先地位的核心技术、替代技术、未公布的专利技术 文件；其它应列为公司秘密级的资料。4、四级：内部公开，指未授权不得对公司以外人员公司的信息，凡该信息泄ABCD软件有限公司 管理制度文件编号FJXA/C02版次第A版第0次修订主题文档资产分级管理制度页码第9页共180页漏后，虽不致直接影响本公司利益，但可能使本公司经营管理因而造成困扰, 需限制其阅读对象的z只需要一般的保护措施。如公司的一般情况z全公司 内发布的规定及相关制度，公司内部公用资源使用情况等。标记为F4O由各 相关部门承担安全管理责任。如：公司总体发展规划、经营战略；员工通讯录；公司管理体系文件（如：信息安全管理体系）培训资料；各

10、类管理规范、流程、办法等；各类模板、样例、工具。5、五级：公开信息，是由公司内的授权人员宣布可公开的信息，这些可公开 的信息不会对公司的信息安全造成损害。由各相关部门承担安全管理责任。 标记为F5。如：招聘信息；网站/宣传等方面的信息。（二）管理部门职责:质量管理部:1）对于所涉及的一级绝密文件进行资产统一编号，并在文档文件袋和封面上显著位置,标记F1和绝密字样。2）对于一级绝密文件z须保存在一级环境下,并存放在保险柜里。ABCD软件有限公司 管理制度文件编号FJXA/C02版次第A版第0次修订主题文档资产分级管理制度页码第10页共1803）对于一级绝密文件电子文档，须进行加密，可保存在加密安

11、全性较高 的设备中。4）对文档的借阅,F1类文件需填写内部人员借阅文件登记表/向 第三方人员提供材料申请表经总裁审批同意后方可借阅。其他相关部门:1）对于本部门所涉及的文件资产统一编号。并根据文档分级定义进行分 析,并在文档封面上显著位置标记分级编码。2）对F2类文件资产,应保存在一级环境下，存放文件的柜子需要加锁, 并由专人保管,其电子文档保存在加密设备中。3）对巳类文件资产z应保存在一级环境下,其电子文档保存在加密设 备中。4）对于F4类文件资产，可以保存在二级或以上环境下，其电子文档可 以保存在普通设备中。5）对于F5类文件资产，可以保存在二级或以下环境下,其电子文档可 以保存在普通设备

12、中。F5类文件资产必须转成PDF文档后z或使用其他方 法变成只读不可修改的文档后再行发布。6）对文档的借阅,F1-F4类文件需填写内部人员借阅文件登记表/ 向第三方人员提供材料申请表经审批同意后方可借阅。其中F4类文件需负责部门经理/总监签字；F3类文件需负责部门副总签字；F1-F2类文件需总裁签字。ABCD软件有限公司 管理制度文件编号FJXA/C02版次第A版第0次修订主题文档资产分级管理制度页码第11页共180文档资产使用监管单位:质量管理部管理制度弓I用文件：Is环境资产分级管理制度2、文件控制程序ABCD软件有限公司 管理制度文件编号町XA/C03版次第A版第0次修订主题硬件资产分级

13、管理制度页码第12页共180页硬件资产分级管理制度、目标：加强北京讯鸟软件有限公司的固定资产的管理，保证固定资产的完好无损, 防止资产流失，使公司固定资产能够更好的为公司运营及管理服务。二硬件资产等级分类1、一级：服务器资产，维持系统或业务平台正常运行最重要的主机设备。由 市场部承担安全管理责任。标记为Hlo2、二级：网络设备资产，支撑维持公司员工正常工作、工作设备正常运行或 正常业务运营所需要的网络环境主要的连接或配置设备。由市场部承担安全 管理责任。标记为H2。3、三级：个人台式机资产，支撑员工基本工作需要的台式计算机。由行政人 事部承担安全管理责任。标记为H3O4、三级：移动设备资产，支

14、撑员工基本工作或业务服务所需要的笔记本电 脑、手机、移动存储等可移动的工作设备。由行政人事部承担安全管理责任。 标记为H3O5、四级：其他辅助设备资产，除上述四类设备外的其它办公所需设备。由行 政人事部承担安全管理责任。标记为H4O三.管理部门职责:Is行政人事部：ABCD软件有限公司 管理制度文件编号FJXA/C03版次第A版第0次修订主题硬件资产分级管理制度页码第13页共180页1）对办公类设备固定资产做统一编号。2）负责制定办公设备硬件类固定资产安全管理制度。3）编制维护行政人事部硬件固定资产清单库。包括如下字段：4）对三级硬件资产做分级标记z每半年一次对三级硬件资产进行统计、检 查，并

15、更新清单库相应资产状态。5）对四级硬件资产z每一年一次进行清理,并更新清单库相应资产状态。2、市场部：1）对运营类设备固定资产做统一编号。2）负责制定运营设备硬件类固定资产安全管理制度。3）编制维护运营硬件固定资产清单库。包括字段同行政人事部硬件固定资 产清单库。4）对一级硬件资产做分级标记,每_月一次对一级硬件资产进行统计、检 查，并更新清单库相应资产状态。特别关注预期寿命到期时间，并更新运营硬件 固定资产清单库。5）对寿命即将到期的一级资产，提前一个月申请进行更换处理。须在到期前ABCD软件有限公司 管理制度文件编号町XA/C03版次第A版第0次修订主题硬件资产分级管理制度页码第14页共1

16、80页更换完成。6）对二级硬件资产做分级标记z每季度一次对二级硬件资产进行统计、检 查,并更新清单库相应资产状态。7）对寿命到期的二级资产应申请进行更换处理。8）执行设备采购流程、接收流程，接收前对硬件设备原始内容进行检查，防 止隐藏的安全风险。硬件资产使用监管单位:行政人事部管理制度引用文件如下：Is运营固定资产管理制度（市场部制定）2、办公固定资产管理制度（行政人事部制定）3、设备管理规定（信息安全管理工作小组制定）ABCD软件有限公司 管理制度文件编号FJXA/C04版次第A版第0次修订主题无形资产分级管理制度页码第15页共180页无形资产分级管理制度无形资产分级及责任部门Is 级：主营

17、业务的主要技术专利资产，如果发生专利侵权事件，会对公司 市场份额造成巨大影响，使公司遭受重大经济损失。标记为N1。由法务承 担安全管理责任。2、二级：主营业务的其他专利资产，如果发生专利侵权事件，会对公司市场 份额造成一定影响，使公司遭受一定的经济损失。标记为N2。由法务承担 安全管理责任。3、三级：非主营业务的专利资产z如果发生专利侵权事件，仅对公司经济和 经营活动造成轻微影响。标记为N3O由法务承担安全管理责任。管理部门职责:1、法务：1）负责建立公司专利信息的登记表。2）负责检验和维护公司专利的专利性、有效性、专利权的保护范围。3）如发生专利侵权事件z负责代理公司专利侵权行为的诉讼。4）

18、每年一次对公司专利表进行更新和修订,保证专利登记表中信息的描 述准确无误。三、无形资产使用监管单位:行政人事部 四.管理制度ABCD软件有限公司 管理制度文件编号FJXA/C04版次第A版第0次修订主题无形资产分级管理制度页码第16页共180页引用文件：Is无形资产（专利信息）登记表ABCD软件有限公司 管理制度文件编号FJXA/C05版次第A版第0次修订主题环境资产分级管理制度页码第17页共180页环境资产分级管理制度环境资产分级及责任部门Is 级：如果发生损坏、改变或失窃，会对公司运营活动造成重大损害，产 生重大的运营事故,造成重大的经济损失。如：质量管理部公室、财务办公 室、机房等。标记

19、为Elo由使用部门和监管部门承担安全管理责任。2、二级：如发生损坏、改变或失窃，会给公司造成较大的经济损失。如公司 通用办公环境、演示室、测试环境等。标记为E2。由使用部门和行政人事部 门共同承担安全管理责任。3、三级：如发生损坏或失窃，对公司具有轻微的损害。如会议室、奖牌陈列 室。标记为E3O由行政人事部承担安全管理责任。4、四级：如发生损坏或改变，基本上不会造成对公司的损失。如会客厅。标 记为E4O由行政人事部承担安全管理责任。5、五级:公司外的场所。标记为E5。由行政人事部承担安全管理责任。管理部门职责:行政人事部管理职责1）对于所涉及的监管资产统一编号。2）制定所监管的环境资产的管理制

20、度。3）对于一级环境资产设立门禁或上锁,须做环境分级标注,并安装监控摄像头，可监控到环境出入口的状况，由指定人员统一管理，未经允许禁ABCD软件有限公司 管理制度文件编号FJXA/C05版次第A版第0次修订主题环境资产分级管理制度页码第18页共180页止闲杂人等靠近或进入。4）对于二级环境资产设立门禁或上锁，须做环境分级标注，并安装监 控摄像头，可监控到环境出入口的状况，由指定人员统一管理，未经允许禁 止闲杂人等靠近或进入。5）对于三级环境资产设立门禁或上锁，须做环境分级标注，未经允许 禁止闲杂人等进入。6）对于四级环境资产,可开放使用,可做环境分级标注。质量管理部管理职责:1）对质量管理部公

21、环境资产进行监督管理。2）对于一级环境资产须设置门禁或上锁。3）每季度抽查一次上述环境资产的安全状况。市场部管理职责:1）对其他一级环境资产进行监督管理,如机房、夕卜包场所。2）对一级环境资产，须在醒目位置做好分级标记，并做好禁止靠近标记, 提示闲杂人员未经允许不得进入。3）对于一级环境资产须设置门禁或上锁。4）每季度抽查一次上述环境资产的安全状况。其他相关部门安全使用相关环境的职责:对于使用各级环境资产的部门，应执行各级环境资产监管部门制定的安全管理制度里规定的职责。ABCD软件有限公司 管理制度文件编号FJXA/C05版次第A版第0次修订主题环境资产分级管理制度页码第19页共180页三、环

22、境资产使用监管单位:1）质量管理部对由质量管理部公室负有监管责任。）行政人事部对一、二、三、四级环境资产负有监管责任。）市场部对外包场地、机房环境、其他涉密场地等一级环境资产具有监管 责任。管理制度引用文件1、物理环境安全管理制度ABCD软件有限公司 管理制度文件编号FJXA/C06版次第A版第0次修订主题人员资产分级管理制度页码第20页共180页人员资产分级管理制度-人员资产等级分类及责任部门级（P1）:公司内部关键岗位人员，如公司中高层管理人员（公司副总、 各部门总监级、经理级的管理人员）、各信息系统管理人员、源代码管理人员、 重要账务处理人员（会计主管、薪酬福利主管、法务、出纳）、金融及

23、重点客户 部、中高级开发工程师。二级（P2 ）:基层管理人员（公司主管级的管理人员）以及市场部、平台开 发部、云计算及移动互联网开发部、大数据开发部、云呼叫业务开发部、系统架 构委员会、技术部。三级（P3 ）:技术部、战略及整合营销部、客户增长及增值市场部、月艮务运 营委员会、大数据营销顾问部、自建市场部。四级（P4 ）:行政人事部、质量管理部。五级（P5 ）:临时雇用人员、最终客户、来自外单位的专业服务机构等相关 第三方人员。公司的人员资产由行政人事部以及员工所任职的部门共同负责管理。二.管理部门职责行政人事部管理职责1）负责组织各部门编制部门所属员工的工作职能2）负责员工的专业资质审查、招

24、聘和背景调查等ABCD软件有限公司 管理制度文件编号FJXA/C06版次第A版第0次修订主题人员资产分级管理制度页码第21页共180页3）负责员工调动、离职的审查和批准等4）负责第三方人员信息安全管理工作）负责普及信息安全防范意识，并针对信息安全违规事件向公司提出处理建议）负责办公资产的采购、接收、登记、分配、维护等管理7）负责根据员工差旅、会议行程等做好相关事务处理8）负责员工入、离职手续行政人事部分的办理9）负责公司考勤制度执行及考勤记录统计10 ）负责组织第三方人员来访的接待工作2任职部门：1）负责对本部门员工的工作进行常规的监督管理2）负责本部门员工的岗位技能培训，并根据情况进行培训考

25、核三人力资源安全监管部门质量管理部四管理制度引用文件：1信息安全之人力资源安全管理制度2 背景调查管理规定3 办公固定资产管理规定ABCD软件有限公司 管理制度文件编号FJXA/C07版次第A版第0次修订主题第三方服务资产分级管理制度页码第22页共180页第三方服务资产分级管理制度第三服务资产分级及责任部门1、一级:第三方服务商为我公司提供的服务,如若发生故障或中断,会给 公司业务运营造成危害,对公司信用产生较大影响,在经济上造成巨大损 失。标记为TS1。由市场部和行政人事部承担安全管理责任。2、二级：第三方服务商为我公司提供的服务，如若发生故障或中断，会对 公司运营活动造成一定影响,在经济产

26、生一定损失。标记为TS2。由市场 部和行政人事部承担安全管理责任。3、三级：第三方服务商为我公司提供的服务如若发生故障或中断，不会直 接对公司运营和经济造成影响。标记为TS3O由市场部和行政人事部承担 安全管理责任。管理部门职责:市场部：1）对于所涉及的第三方服务资产进行统一编号。2）制定第三方服务资产安全管理制度3）对第三方服务资产具有安全监控责任。4）对于一级二级第三方服务涉及的软硬件设备设施须做好安全标记。5 ）对于一级第三方服务资产，服务场所执行一级环境资产安全管理制度和流程，服务数据执行一级数据资产安全管理制度和流程，业务依赖设ABCD软件有限公司 管理制度文件编号FJXA/C07版

27、次第A版第0次修订主题第三方服务资产分级管理制度页码第23页共180页备执行一级硬件资产管理制度和流程。）对于二级第三方服务资产，服务场所可执行二级环境资产安全管理制 度和流程，服务数据执行一级数据资产安全管理制度和流程，业务依赖 设备执行一级硬件资产管理制度和流程。）对于三级第三方服务资产相关设施执行三级硬件资产、三级数据资产、 三级环境资产管理制度和流程。行政人事部1）与一级第三方服务提供方签的订合作协议中，明确服务指标要求及赔 偿条款,并定期进行安全评审,对于可能发生的安全风险限期改进,改 进后重新评审,直至符合要求。）与二级第三方服务提供方签的订合作协议中，明确服务指标要求及赔 偿条款

28、，并定期进行安全评审，对潜在的风险，采取降低风险的措施。）与三级第三方服务提供方签的订合作协议中，明确服务指标要求及赔 偿条款。三、第三方服务资产使用监管单位:市场部管理制度引用文件：第三方服务管理规定ABCD软件有限公司 管理制度文件编号町XA/C08版次第A版第0次修订主题运行时信息资产安全分级管理制度页码第24页共180页运行时信息资产安全分级管理制度运行时可导致信息资产安全风险的因素分类及责任部门1、一级风险：直接导致服务器运行中断，介质损坏，信息资产大范围损坏的风险,造成严重经济损失。由市场部承担安全管理责任。主要原因有：设备断电存储介质故障感染病毒2、二级风险：直接导致信息资产被非

29、法拷贝传播，信息系统停止运行等重 大故障，造成较大的经济损失。由市场部和各使用部门和技术部门共同承 担安全管理责任。主要原因有：软件、系统、平台、数据库管理员密码泄露，非法登录，运行数据被 修改。程序入侵系统运行配置文件非法拷贝传播，使安全管控配置数据外泄。代码BUG和溢出漏洞外部攻击3、三级风险：导致系统运行结果数据错误或业务数据被非法复制传播，造 成一定的经济损失。由系统维护部承担安全管理责任。主要原因有：业务管理员误操作ABCD软件有限公司 管理制度文件编号町XA/C08版次第A版第0次修订主题运行时信息资产安全分级管理制度页码第25页共180页系统管理员误操作操作人员帐号口令被窃。二、

30、各部门管理职责:1、市场部：1）须保证服务器配置了防火墙,只允许信息系统运行的最小资源开放。2）须保证网络通畅、高效z有良好的系统运行环境。3）对一级风险：房保证电源可靠性z双回供电或服务器增加UPS不间断电源。b执行变更管理流程前，对运行数据进行安全备份。c安装有效的防病毒软件z每周一次更新病毒库,在有严重病毒传播 警告时,及时更新病毒库。4）对二级风险：a内部和外部网路及软硬件的弱点扫描至少每季度进行一次z在网络 发生重大变更后,在应用程序和软件发布前、安装、升级后也需执行一次扫 描检查。网站应采取有效的数据保护、防钓鱼攻击等方面的安全防控措施z 定期开展计算机病毒木马查杀、漏洞扫描、渗透

31、性测试等。c须保证系统管理员密码符合访问控制管理程序中口令使用规定。 须保证系统管理员密码安全可靠保存。d.每天须监控网络流量数据，发现流量异常，即刻查明原因。按信ABCD软件有限公司 管理制度文件编号町XA/C08版次第A版第0次修订主题运行时信息资产安全分级管理制度页码第26页共180页息安全事件管理程序的要求执行相关事件处理流程。保证即时发现外部攻 击风险,采取适当措施应对,将损失降到最低。2、技术部：1）敏感数据加密传输：制定加密方案，传输方式。2）对二级风险：a对所开发程序提交技术部进行系统性测试,对测试出的问题进行处 理解决，减少程序BUG的产生。b对可能有安全隐患的程序代码进行溢

32、出漏洞测试保证代码的可用 性、可靠性。3、各业务部门为应对三级风险,各业务相关部门应做到：1）对业务系统权限进行严格管理。严格执行访问控制管理程序中权 限管理的规定和管理流程。2）对帐号密码须严格执行访问控制管理程序中口令使用规定。3）业务人员操作应严格执行相关业务流程，避免误操作发生。见讯鸟 流程操作规范和其他业务流程操作规范。三、运营时资产使用监管单位:市场部管理制度引用文件：1、讯鸟流程操作规范ABCD软件有限公司 管理制度文件编号町XA/C08版次第A版第0次修订主题运行时信息资产安全分级管理制度页码第27页共180页2、访问控制程序3、信息安全事件管理程序ABCD软件有限公司 管理制

33、度文件编号FJXA/C09版次第A版第0次修订主题软件资产分级管理制度页码第28页共180页软件资产分级管理制度软件资产等级分类及责任部门1、非脚本源代码（一级）：运行前需要先编译的源代码。由源代码管理人员 和技术部开发人员共同承担安全管理责任。标记为S1O2、脚本源代码（二级）：运行前不需要先编译的源代码的源代码。由源代码 管理人员、技术部测试人员，技术部开发人员共同承担安全管理责任。标记 为S2。3、编译执行程序（二级）：一级源代码经编译后生成的可运行程序、组件或 库文件。由源代码管理人员、技术部测试人员和技术部开发人员共同承担 安全管理责任。标记为S2O4、集成软件（三级）:由组件、库文

34、件、可执行程序、配置文件等通过特定组 合配置生成的可运行的软件系统或平台。由源代码管理人员、市场部、技术 部共同承担安全管理责任。标记为S3。5、第三方组件（四级）：由第三方提供的用于集成或二次开发用的组件、 库文件或其他相关程序及代码。由源代码管理人员、技术部测试人员，市场 部系统服务人员、技术部开发人员共同承担安全管理责任。标记为S4O6、其他软件（四级）:不属于以上类别的软件。二.管理部门职责:信息安全管理工作小组ABCD软件有限公司 管理制度文件编号FJXA/C09版次第A版第0次修订主题软件资产分级管理制度页码第29页共180页1）制定源代码安全管理规范。2）对外部借阅软件资产进行审

35、批。源代码管理岗1）制定源代码开发及安全管理制度2）外部借阅记录表管理，记录借阅时间，借阅原因，借阅单位，借阅单位 经手人，审批人，借出单位经手人,预期归还时间表，实际归还时间，归还 时完好性及完整性描述。3）部署软件开发管理工具，SVN（Subversion是一种版本管理控制系 统）、VSS（Visual SourceSafe 是一种源代码控制系统）、SCM（Software Configuration Management 软件配置管理）。4）管理和分配开发者权限，控制授权开发人员、测试人员、软件配置人 员可访问的程序存放目录。5）对于一级软件资产，对不同的代码访问权限保证仅授予所有者权限

36、的 开发人员。6）对于二级软件资产，可授予开发人员读写权限,授予配置人员只读权 限，授予测试人员只读权限。7）对于三级软件资产，可授予配置人员读写权限,授予测试人员只读权 限，授予运营维护人员只读权限。8）对于四级软件资产，可授予测试人员只读权限,授予系统维护人员只读权限、授予配置人员读写权限、授予开发人员读写权限。ABCD软件有限公司 管理制度文件编号FJXA/C09版次第A版第0次修订主题软件资产分级管理制度页码第30页共180页技术部1）制定软件测试规范。2）制定软件发布标准。3）编写软件测试用例。4）对二级软件进行可用性、功能、性能测试。对二级软件于外部接触点 进行边界测试,并做仿攻击

37、和其他安全性测试。5）对于三级软件进行完整性及性能测试。6）提交系统测试结果报告，待版本更新后进行递归测试,直至达到软件 可发布标准。7）制定技术部源代码开发管理流程z并依照执行。8）禁止对一级软件资产通过移动存储复制传输。9）保证本地工作目录下编辑的软件当前版本与工作库中最新版本一致。10）保证一级软件在编辑更新后,立即提交工作库保存，保证工作库是 最新版本。市场部1）制定自建服务项目实施过程中软件资产安全管理制度。2）对三级软件资产，保证所申请的软件版本是从技术部获取的、经技术 部公告发布的版本。3）对所获取的版本有向客户宣示安全使用、确保不被非法复制传播的责任。须审查在软件交付合同中是否

38、规定了软件版权的相关法律责任和义务。ABCD软件有限公司 管理制度文件编号FJXA/C09版次第A版第0次修订主题软件资产分级管理制度页码第31页共180页4）制定软件资产安全管理规范5）制定和维护软件资产安全管理清单。6）每年一次评估软件资产安全管理存在的安全风险。三、软件资产使用监管单位：技术部五.管理制度引用文件：信息安全管理工作小组：1、软件开发安全管理办法2、源代码安全管理制度3、信息系统获取、开发与维护管理程序ABCD软件有限公司 管理制度文件编号FJXA/C10版次第A版第0次修订主题数据资产分级管理制度页码第32页共180页数据资产分级管理制度数据资产等级分类及责任部门Is 一

39、级：重要敏感数据,包括公司数据资产，主要用于公司直接营收的 数据，如提交给客户的客探结果数据，泄露会造成直接经济损失。公司核心 数据，经过加工的数据，有全方面的数据信息，需要严格管理，如客户肖像 库，信息库，客户方提供的需要通过业务外包平台操作的数据，泄露后对公 司可能造成全面损失。这些数据被非法复制传播后，可造成经济上的重大 损失和引发重大安全事故及涉诉事件。由所涉及到的部门人员：市场部、如 涉及财务数据由财务部共同承担安全管理责任。标记为Dlo主要包括:业务结果数据客户信息数据系统或网络安全控制配置数据，防火墙数据业务帐号安全配置数据业务运行配置数据敏感客户业务原始数据录音记录数据财务帐目

40、数据其他敏感信息数据2、二级：非敏感重要数据,包括公司系统数据,由各种公司系统产生出的ABCD软件有限公司 管理制度文件编号FJXA/C10版次第A版第0次修订主题数据资产分级管理制度页码第33页共180页原始数据，限制范围使用，泄露对公司有可能造成某方面损失。如启通宝系 统通话记录，客探系统记录，被非法复制传播或丢失、损坏后，可造成一定 的经济损失或引发客户投诉事件。由所涉及到的部门人员：市场部承担安 全管理责任。标记为D2。主要包括:业务过程数据启通宝通话记录客探系统数据系统运行日志数据其他重要数据3、三级:公司内部非敏感数据及第三方非敏感数据，不对外公开，但公开 对公司无损失的信息，如话

41、术列表、在项目施工中或开发测试中涉及到的 客户方提供的测试数据或业务数据。由所涉及到的部门人员：市场部、技术 部，市场部，技术部共同承担安全管理责任。标记为D3O主要包括：员工通讯录话述信息数据系统测试业务数据项目施工测试数据项目施工过程数据销售业绩数据其他非敏感数据ABCD软件有限公司 管理制度文件编号FJXA/C10版次第A版第0次修订主题数据资产分级管理制度页码第34页共180页4、四级：普通数据,除上述数据以外的其他数据,包括公司可公开数据, 可对外发布的各类信息，所有部门均可公开使用，如电话号段记录，城市区 号记录。由相关使用部门人员承担安全管理责任。标记为D4O主要包括:通用电话号

42、码区号其他普通数据管理部门职责:市场部：1）对公司经营或运营数据资产进行统一编号。2）负责制定公司数据资产安全管理制度。3）负责对一级业务结果数据资产进行安全管理，标注一级数据资产及其 介质，在传输时须进行加密传输，并由专人保管。4）负责对二级业务过程数据进行安全管理，标注二级数据资产及其介质, 由专人保管。5）制定维护数据资产清单。6）数据调阅管控:签发审批单，做好审批记录。刀对四级服务外包数据资产及其介质分级标注。8）操作计算机只安装允许配置的软件，并制定和维护允许安装的软件清单。ABCD软件有限公司 管理制度文件编号FJXA/C10版次第A版第0次修订主题数据资产分级管理制度页码第35页

43、共180页9）存储在任何介质中一二级的不用的、过时的或无效的数据须进行不可 恢复性删除。删除前须经过主管审批通过，执行删除时须经过至少二人确认。:L0）对于二级系统和业务数据,须对登录帐号配置相应的访问角色权限。 不同的角色访问不同的数据。11）在数据管理软件中配置和控制登录权限，打开操作日志等。12）对数据存储服务器控制和配置帐号权限。13）在业务系统软件中配置和控制登录权限，打开操作日志等。14）对数据操作使用的环境场地进行安全配置。15）对数据操作使用的网络安全环境进行安全配置。16）对服务器网络和计算机只打开需要的设备和端口。17）数据操作进行监控，必要时安装监控设备。18）对移动介质

44、存储数据进行管理和控制。19）对于一二三级相关系统和业务数据进行数据备份管理。20）保证项目实施过程中一级数据中系统配置数据的安全使用,防止复 制传输过程中被非法传播、遗失、损坏。21）保证项目实施过程中二级数据的安全操作,防止二级数据被损坏或 丢失。22）保证项目实施过程中的其他数据的安全。2.技术部1）对于一级业务敏感数据须加密传输,制定加密方案和安全的传输方式。ABCD软件有限公司 管理制度文件编号FJXA/C10版次第A版第0次修订主题数据资产分级管理制度页码第36页共180页2）对配置文件中的一级敏感数据,制定安全方案,采取安全措施。3）开发代码中对数据库访问采取加强的安全控制措施。

45、4）保证测试实施过程中一级数据中系统配置数据的安全使用，防止复制 传输过程中被非法传播、遗失、损坏。5）保证项目测试过程中二级数据的安全操作，防止二级数据被损坏或丢 失。6）保证测试实施过程中的其他数据的安全。7）存储在任何介质中一二级的不用的、过时的或无效的数据须进行不可 恢复性删除。删除前须经过主管审批通过，执行删除时须经过至少二人确认。市场部1）制定销售相关数据资产安全管理制度2）制定和维护销售相关数据资产清单。3）对销售线索数据等一级数据负有安全管理责任，防止被非法复制传播。4）对客户信息数据等销售相关二级数据具有保密义务。5）存储在任何介质中一二级的不用的、过时的或无效的数据须进行不

46、可 恢复性删除。删除前须经过主管审批通过，执行删除时须经过至少二人确认。财务部1）制定财务数据资产安全管理制度。2）制定和维护财务数据资产安全管理清单。3）对财务管理报表等一级财务数据资产执行严格的管理规定，防止外泄、ABCD软件有限公司 管理制度文件编号FJXA/C10版次第A版第0次修订主题数据资产分级管理制度页码第37页共180页遗失和损坏。三、数据资产使用监管单位:市场部、质量管理部质量管理部对一级财务数据资产和其他相关数据资产负有监督和安全管理跟踪和检查责任。市场部对公司运营过程中的数据资产负有监督和安全管理跟踪和检查责任。ABCD软件有限公司 管理制度文件编号FJXA/C11版次第

47、A版第0次修订主题外包服务资产分级管理制度页码第38页共180页外包服务资产分级管理制度夕卜包服务资产分级及责任部门1、一级:指公司为客户提供的第三方涉密数据服务,如涉密外包业务。此 类业务如果发生安全事故，我公司可能承担重大的法律风险，并会对公司 夕卜包运营业务和经济收益造成重大损失。标记为Tlo由市场部承担安全管 理责任。2、二级：公司为客户提供的第三方非涉密数据服务，此类业务如果发生安 全事故，会对公司运营活动造成较大影响，并对公司造成较大的经济损失, 如通讯服务停止、批量外呼任务中断等。标记为T2O由市场部、业务开发 人员共同承担安全管理责任。3、三级：因其他可能的原因，使服务中断,不

48、会直接对公司运营和经济造 成影响的服务。标记为T3。由市场部承担安全管理责任。二.管理部门职责:市场部：1）对于一级服务外包资产,服务场所执行一级环境资产安全管理制度和流程, 服务数据执行一级数据资产安全管理制度和流程，业务依赖设备执行一级硬 件资产管理制度和流程。2）对于二级第三方服务资产z服务场所可执行二级环境资产安全管理制度和流程，服务数据执行一级数据资产安全管理制度和流程，业务依赖设备执行ABCD软件有限公司 管理制度文件编号FJXA/C11版次第A版第0次修订主题外包服务资产分级管理制度页码第39页共180页级硬件资产管理制度和流程。3）对于三级外包服务资产相关设施执行三级硬件资产、

49、三级数据资产、三级 环境资产管理制度和流程。三、其他资产使用监管单位:市场部管理制度引用文件：2、夕卜包业务信息安全规范ABCD软件有限公司 管理制度文件编号FJXA/C12版次第A版第0次修订主题源代码安全管理制度页码第40页共180页源代码安全管理制度第一章总则第一条 为保障公司源代码安全不至于泄露，保证源代码的完整,明确源代 码控制管理流程，特制定此管理办法。第二条 本办法适用于所有涉及接触源代码的各部门各岗位。所涉及部门都 必须严格执行本管理办法。第三条源代码直接控制管理部门为技术部。第四条 本办法管理重点在于控制管理源代码的完整性,不被非授权获取, 不被非授权复制和传播。第五条 本办

50、法所指源代码不仅限于公司开发人员自行编写实现功能的程序 代码，而且还包括相应的开发设计文档及用于支撑整个系统运行所必须具备的 第三方软件、控件和其它支撑库等文件。第二章源代码完整性保障第五条 所有软件的源代码文件及相应的开发设计文档均必须及时加入到指定的源代 码服务器中的指定VSS或svn库中。第六条 我们研发的产品软件运行所必须的第三方软件、控件和其它支撑库 等文件也必须及时加入源代码服务器中指定的VSS或svn库中。ABCD软件有限公司 管理制度文件编号FJXA/C12版次第A版第0次修订主题源代码安全管理制度页码第41页共180页第七条软件开始编写或者调整代码之前，其相应的设计文档必须签

51、入VSS 或svn库。软件编码或功能调整结束提交技术支撑部测试验证之前,相应的源 代码必须签入VSS或svn库。第八条技术支撑部门对代码的测试时必须从源代码服务器上的VSS或 svn库中获取代码,然后进行集成编译测试。第九条源代码存储库必须有完整的备份方案，主管人员须定期检查备份 的可靠性和完整性,并能正确恢复，减少源代码损失的风险。第三章源代码的授权访问第十条 源代码服务器对于共享的VSS或svn库的访问建立操作系统级 的,基于身份和口令的访问授权。第十一条 在VSS或svn库中设置用户,并为不同用户分配不同的，适合 工作的最小访问权限。要求连接VSS或svn库时必须校验VSS或svn中用户

52、 身份及其口令。在VSS或svn库中要求区别对待不同用户的可访问权、可创建 权、可编辑权、可删除权、可销毁权。第十二条 工作任务变化后要实时回收用户的相关权限,对VSS或svn库 的管理要求建立专人管理制度，专人专管。每个普通用户切实保证自己的用户 身份和口令不泄露。用户要经常更换自己在VSS或svn库中账号的口令。第十三条涉及、接触源代码的计算机必须建立专人专用制度，任何其他人 不得在未获得技术部经理授权的情况下操作和使用此计算机。此计算机的专用ABCD软件有限公司 管理制度文件编号FJXA/C12版次第A版第0次修订主题源代码安全管理制度页码第42页共180页人也不得私自同意或者漠视他人非

53、获得授权使用本计算机。对涉及、触及源代 码计算机的使用授权仅由技术部经理发出,其他人都无权执行此授权。第十四条 曾经涉及、触及源代码的计算机在转作它用，或者离开技术部门 之前必须由网络管理人员全面清除计算机硬盘中存储的源代码。如果不能确 定,必须对计算机中所有硬盘进行全面格式化后方可以转做它用或离开技术部 门。第十五条夕卜来存储设备不得直接连接到技术部门的计算机设备上。如需拷 贝文件，必须通过统一的技术部指定的公用计算机上在网管人员监督之下进 行。此公用计算机在任何时候不得接触、访问、存储源代码文件。第十六条 通过网段隔离方式使技术部的计算机只能自行组成局域网,并保 证其它网段不能访问到技术部

54、的网络和网络中的计算机设备。第四章源代码复制和传播第十七条任何源代码文件包括设计文档等技术资料不得利用如QQ、MSN、邮件等涉外网络环境形式进行传输。第十八条 源代码向技术部门以外复制必须获得总经理的书面授权。并必需 记录复制人、批准人、复制时间、复制目的、文件流向、文件版本或内容。第十九条 源代码以任何介质形式进行存储的备份，必须由专人负责保管。 对于这些介质地借阅,用于技术部内部使用的必须获得技术部经理的授权,对 于用于技术部以外使用的必须获得总经理的书面授权。ABCD软件有限公司 管理制度文件编号FJXA/C12版次第A版第0次修订主题源代码安全管理制度页码第43页共180页第二十条 源

55、代码的借阅、复制必须进行详细的登记，必需记录借阅人、批 准人、借阅时间、借阅目的、文件流向、文件版本或内容、归还时间。第二十一条对于以纸质形式存在的源代码清单、设计文档等,要求必需进 行专人管理。对于这些纸质材料的外借、分发、复印等，只要非技术部门内部 使用的情况均必需获得总经理的书面授权,对于技术部门内部使用的则必需如 数按时按量回收,并且使用区域仅限于技术部门内部,对于需要离开技术部门 场所的情况,同样需要获得总经理的书面授权。第二十二条 任何纸质材料的借阅都必需记录借阅人、批准人、借阅时间、 借阅目的、文件流向、文件版本或内容、归还时间。第二十三条 对于因合作需要，需要向外复制、传播、分

56、发源代码的，不论 是全部还是部分代码和资料,均必需和对方签订技术、源码的保密协定,明确 对方应当承担的对源码保密的责任和义务。第五章附则第二十四条 本管理办法由技术部门制定，从批准发布之日起执行。以往公 司相关制度与本管理办法冲突的，以本管理办法为准。附录一见文件源代码安全管理组织及各角色岗位执行策略附录二见文件源代码安全管理规范ABCD软件有限公司 管理制度文件编号FJXA/C13版次第A版第0次修订主题风险评估原则页码第44页共180页风险评估原则资产分类参考目录资产大类资产小类描述硬件主机设备大型机、小型机、PC服务器等终端设备台式机、KVM、笔记本、移动终端等网络设备路由器、乂换机、H

57、UB、负载均衡设备等传输介质光纤、双绞线、同轴电缆、卫星线路等安全设备防火墙、防毒墙、安全网关、入侵检测设备、扫 描设备、加密机、VPN、网闸、堡垒主机等存储介质磁带、光盘、U盘、移动硬盘等存储设备磁盘阵列、磁带库、NAS/SAN/存储设备等办公辅助设备传真机、碎纸机、打印机、扫描仪、复印机、刻 录机、照相机等软件源程序源代码、软件安装包、License等服务器操作系 统Windows Server. Linux、Unixs AIXS Solaris 等，虚拟化系统（Hyper、ESX/ESXi s XenServer 等）终端操作系统Windows XP/7S Mac iOS 等数据库Ora

58、cle. DB2S Sqlservers Mysql 等中间件Websphere、Weblogic、应用服务器、消息中 间件、对象中间件等工具应用软件office.通讯软件、媒体编辑软件、软件开发工 具、测试工具、版本控制软件、设计建模工具， 终端杀毒软件、防篡改、终端管理系统客户端等应用系统OA系统、邮件系统、业务处理系统、ERP、交 易系统、门户网站、终端管理系统、文档加密系ABCD软件有限公司 管理制度文件编号FJXA/C13版次第A版第0次修订主题风险评估原则页码第45页共180页统、视频监控管理系统、IT服务管理系统、IT 资源监控管理系统等开发测试系统正在测试且未上线或部分上线的系

59、统以及正在开 发的系统数据业务信息财务/人力信息、合同信息、项目信息、采购信 息、客户信息、市场资料、业务数据、交易数据 等系统配置信息配置、日志、帐户权限口令信息、软证书等文档管理文档管理制度文档、运维资料、培训资料、收发文、工作报告、软件开发文档、法律法规等实体信息印章、证照、硬证书/令牌、其它实体信息等人贝内部人员-中高 层领导公司董事会层面相关成员或者大部门领导级成 员、部门领导或者部门模块科室领导内部人员支撑 人员行政、财务、人力资源等员工内部人员-业务 人员公司业务人员内部人员运维 人员IT运维人员（主机管理员、网络管理员、系统 管理员、数据库管理员、安全管理员）内部人员开发 人员

60、开发人员、测试人员等夕卜部人员业务夕卜包人员、开发夕卜包人员、运维夕卜包人员、 物业保安人员等物理环境硬件保障设施空调、UPS、发电机、门禁设施、消防设施、机 柜机架等环境监控设施CCTV、报警设施、温湿度监控建筑环境设施设备间、机房、办公大厦介质保障设施保险柜、档案室、文件柜等第三方服 务基础保障服务供电、物业、宝洁、保安监控、供水、办公设备 维保、大厦空调、物流快递、打印等服务ABCD软件有限公司 管理制度文件编号FJXA/C13版次第A版第0次修订主题风险评估原则页码第46页共180页业务支持服务包括主机硬件支持、开放平台硬件支持、机房设 备设施支持、存储设备支持、云计算支持、软件 和硬