ISO27001信息安全管理程序全套-硅橡胶塑胶模具行业

公司LOGOXXXX有限公司文件编号HH-ISMS-XX版本A/0类别XXX管理程序生效日期20XX-XX-XX程序文件页次PagePAGE2ofNUMPAGES5信息安全程序文件(依据ISO/IEC27001:2013标准编制) 受控状态：■受控□非受控制定部门制定/日期审核/日期批准/日期文件发行栏□采购部□PMC部□工程部□设计&开发部□固态成型部□液态成型部□注塑部□加工部□喷涂部□AP中心□品管部□仓务部□工模部□人力资源部□信息资讯部□市场部□体系部□管理者代表□总经办□企划中心□财务部□其他：

修改履历序号章节版次制订或修改內容日期1全部A/0新版发行2021-09-28

目录目录2文件更改履历3ISMS-02-01文件控制程序4ISMS-02-02记录控制程序7ISMS-02-03内审和改进控制程序11ISMS-02-04管理评审控制程序18ISMS-02-05信息安全风险控制程序24ISMS-02-06环境设施与物理设备控制程序37ISMS-02-07用户访问控制程序43ISMS-02-08信息资产管理控制程序46ISMS-02-09人力资源控制程序56ISMS-02-10通信与操作控制程序64ISMS-02-11远程工作控制程序78ISMS-02-12信息系统获得、开发与维护控制程序83ISMS-02-13信息安全事件控制程序88ISMS-02-14业务连续性控制程序97ISMS-02-15监视和测量控制程序102ISMS-02-16符合性控制程序106ISMS-02-17纠正和预防措施控制程序107

文件控制程序ISMS-02-011目的对与信息安全、信息技术服务管理体系有关的文件进行控制，确保各相关场所使用的文件均为适用的有效版本。2范围本程序适用于信息安全、信息技术服务管理体系文件（包括外来文件）的控制。3职责3.1总经理负责批准发布信息安全、信息技术服务管理体系文件。3.2管理者代表组织编写信息安全、信息技术服务管理体系文件。3.3综合管理部负责ISMS体系文件的制订、发布、标识、版本控制和修订管理。4程序4.1文件的划分4.1.1一级：信息安全手册(包括方针、目标）。4.1.2二级：程序文件。4.1.3三级：规范制度4.1.4四级：记录。4.3文件的编号4.3.1文件编号是文件的标识，一种文件只有一种编号。4.4文件的状态标识4.4.1文件分为"受控"和"非受控"二种版本。“受控”类文件是指公司内部使用的与管理体系密切相关的文件，“非受控”类文件是指发往外部无跟踪要求的体系文件。4.4.2为了识别文件的现行修订状态，综合管理部编制《文件清单》。4.5文件的发放4.5.1文件均通过电子形式发放，统一由综合管理部进行发布。4.6文件的更改4.6.1文件的更改，由提出更改的人员填写《文件修改申请单》后，由总经理批准后，进行修订。4.6.2当文件多次更改或一次更改篇幅较大、内容较多时，应进行换页或换版，由文件编制人员重新制作相关文件，经管理者代表或分管领导审批后换页或换版，换页文件的修订状态由原来的A/0变为B/1，依次类推，新版文件的修改状态由原来的A/0变为C/0，依次类推。4.7文件的保管4.7.1ISMS文件由综合管理部定期进行备份。4.8文件的作废4.8.1文件作废后，以新版本更新旧版本，在综合管理部只保留最近一次的旧版本。4.8.2文件作废需填写《文件废止表》由专人负责实施。4.9外来文件的控制4.9.1外来文件包括国内外技术标准、产品标准、国家法规文件，客户提供的资料等。4.9.2各部门收到外来文件时，需识别其适用性并及时将外来文件的原件或底稿上交相关部门归档并填写《文件清单》，以控制分发。4.9.3每年年初由综合管理部负责组织有关部门检查外来文件的有效性，确保使用有效版本。5相关记录《文件发放、回收记录》《文件清单》《文件修改申请单》《文件废止表》

记录控制程序ISMS-02-021目的对记录的标识、贮存、保护和处置进行控制，为证明产品和服务符合IT服务、信息安全管理体系规定的要求及IT服务、信息安全管理体系有效运行提供证据，同时也为提供服务信息安全、IT服务的可追溯性及制定纠正、预防措施以及持续改进IT服务、信息安全管理体系提供依据。2范围本程序适用于本公司对IT服务、信息安全管理体系所要求的记录的控制。3职责3.1综合管理部负责记录的控制和管理。3.2各岗位人员负责本岗位产生、接收的记录的保管和控制工作。4程序4.1记录内容和要求4.1.1记录名称：记录名称应简短，并能准确反映记录对象或主题内容，必要时应在记录对象前加以说明，以明确与其他类似记录的区别。4.1.2记录编号：为了更好地实现可追溯性，记录应单独编号，按日期或版本进行编号。4.1.3记录内容：按记录对象不同的具体要求，确定编写记录内容。4.1.4记录人员：由有关工作人员、检查人员、技术人员、管理人员及审批人员按需要进行签字。4.1.5记录时间：按活动程序的时间进行填写4.2记录的形成4.2.1IT服务服务、信息安全管理记录形成于管理体系运行的各阶段，应收集各种原始数据和资料，根据所收集的资料，按记录表格的有关规定填写记录。4.2.2公司有统一规定的记录表格（含没有编号的记录表格〕，按规定的记录表格执行，没有规定的记录表格，由各使用部门自行设计，部门审批、编号、登记后使用。4.2.3各部门可根据工作需要提出记录表格设计更改，按《文件控制程序》中有关文件更改的规定执行。4.2.4记录必须在活动中及时进行填写，内容应完整、数据齐全、真实准确、字迹清楚。4.3记录的收集、整理4.3.1记录人员在完成记录以后应进行自查，必要时，每日下班前交部门负责人审查。4.3.2纸质记录不能涂改，无法避免时必须在原处划一横线，再在旁边填写纠正后的内容，必要时，由更改人员在改动处签名或加盖印章。电子文档修订时，以修订线的方式进行修订。4.3.3经审核后的记录，由记录形成部门按时间先后顺序和类别装订成册，并在封面上做出标识，标识应包括记录的名称、编号、记录顺序号、起止年月等。4.3.4对直接录入电脑的记录，录入人员应按公司的规定执行，录入后应认真核对，确保其正确。4.4记录的贮存、保管4.4.1各部门负责填写本部门《记录清单》，报综合管理部负责汇总公司《记录清单》，包括记录的名称、编号、保管部门、保存期限等内容，各部门按规定的期限保存记录。4.4.2对电子媒体形式的记录，如磁盘、光盘、照片等应作好标识，保存在防磁、防热、防潮的环境条件下。4.4.3记录应分类存放于文件柜中，以存取和检索，并有适宜的环境条件，避免丢失或损坏。4.5记录的查阅4.5.1公司内部人员借阅、查看记录，应及时归还。4.5.2客户若要查阅记录或合同规定（除法律法规规定的以外）时，经相关部门负责人同意后，可在本公司内就地查阅，原则上不借出公司。4.6记录的处理4.6.1记录的保存期限至少三年（国家或行业有规定的依其规定〕。超过保存期，可以直接销毁。4.6.2销毁记录应在指定的地方进行，必要时派人监督。5相关记录《记录清单》内审和改进控制程序ISMS-02-031.目的:验证信息安全、IT服务管理体系是否符合准则要求，是否得到有效地保持、实施和改进。2.范围本程序适用于对本公司信息安全、IT服务管理体系覆盖的所有区域和所有要求的内部审核。对不符合采取的纠正和预防措施以及改进的控制。职责3.1管理者代表负责批准年度内审计划和每次内审的实施计划；负责确定审核组长及审核员；负责审批内部审核报告。3.2内审组长负责编制年度内审计划，全面负责组织、实施内部审核工作。3.3内审组长负责编制、实施内审计划，编写内审报告。4.程序4.1年度内审计划4.1.1根据拟定审核的活动和区域的状况和重要程度，及以往审核的结果，由管理者代表负责策划全年审核方案，编制《内部审核计划》，确定审核的范围、频次和方法，经管理者代表批准后实施。每年至少进行一次内审，二次内审的时间间隔不超过12个月。当出现以下情况时，由管理者代表及时组织进行内部审核：当组织机构、信息安全管理体系发生重大变化时；当出现重大信息安全事故，或客户对某一环节连续投诉时；当法律、法规及其他外部要求的变更时；在第二、第三方审核之前；当信息安全、IT服务管理体系认证证书到期换证前。4.1.2根据需要，可审核信息安全、IT服务管理体系覆盖的全部要求和部门，也可以专门针对某几项要求或部门进行重点审核；但全年的内部审核必须覆盖信息安全、IT服务管理体系全部要求和部门。4.2审核前的准备4.2.1管理者代表任命内审组长和内审组成员。内审员不能审核自己所在部门的工作。4.2.2由内审组长策划并编制本次《内部审核计划》，交管理者代表审批。计划的编制要具有严肃性和灵活性，其内容主要包括：审核目的、范围、方法、依据；内部审核的工作安排；审核组成员；审核时间、地点；受审部门及审核要点；开会时间。4.2.3在了解受审核部门的具体情况后，由内审组长组织内审小组成员编写《内审检查表》，内审检查表要详细列出审核项目、依据、方法，确保审核能顺利进行。4.2.4内审组长于内审前将《内部审核计划》发给受审人员，受审人员对内审时间如有异议，应在内审前三天通知内审组长。4.2.5内审员应经国家认可的信息安全体系认证和咨询机构培训、考核合格后方能担任。4.3内审的实施4.3.1首次会议会议人员：公司领导层、管理者代表、各部门负责人、内审组成员，与会者签到，审核组长主持会议。会议内容：由组长介绍内审目的、范围、依据、方式、组员和内审日程安排及其他有关事项。4.3.2现场审核内审组根据《内审检查表》对受审核部门的流程、文件等执行情况进行现场审核，将体系运行效果及不符合项详细记录在《内审检查表》中。内审组长需每日召开审核组内部会议，全面了解该当日内审情况，对《不符合项报告》进行核对。内审时审核员要公正而又客观地对待问题。4.3.3现场审核后，审核组长召开审核组会议，综合分析、检查结果、依据标准、管理体系文件及有关法律法规要求，必要时还要依据与客户签订的合同要求，确认不符合项，并发出《不符合项报告》给相关部门负责人确认。4.3.4末次会议参加人员：公司领导层、管理者代表、各部门负责人及内审组成员，与会者签到，并由综合管理部作好会议记录。审核组长主持会议。会议内容：内审组长重申审核目的，宣读《不符合项报告》并提出完成纠正措施的要求及日期；对本次内部审核情况进行评价；由公司领导和管理者代表讲话。4.3.5审核报告审核组长完成《内部审核报告》，交管理者代表审批。审核报告内容：审核目的、范围、方法和依据；审核组成员、受审核方代表；审核计划实施情况总结；不符合项分布情况分析、不符合数量及严重程度；存在的主要问题分析；对本公司管理体系有效性、符合性结论及今后应改进的地方。4.3.6现场审核后，责任部门应针对《不符合项报告》分析原因，制定纠正措施。经内审组确认后实施纠正，内审核组负责对实施结果跟踪验证，并报告验证结果。4.3.7综合管理部负责保存内部审核过程中所有的记录，作为管理评审的输入之一。5.纠正和预防措施5.1.本公司ISMS、ITSMS不合格和潜在不合格的来源：5.1.1.发现的不合格或预估潜在的不合格；5.1.2.内部审核、管理评审发现的体系出现的不合格或潜在不合格；5.1.3.本公司内部或各部门人员发现的本公司信息安全方面出现的不合格或潜在不合格；5.1.4.上级监管部门发现的本公司在信息安全方面存在的不合格或潜在不合格；5.1.5.客户对本公司的投诉、意见或建议；5.1.6.供应商或其它协作方对本公司的意见和建议；5.1.7.重大信息安全事件或重大潜在的安全隐患；5.1.8.其它渠道发现的不合格或潜在不合格。5.2评价纠正和预防措施5.2.1.综合管理部应组织相关人员评估避免不合格或潜在不合格发生须采取的措施需求，并向责任人员下发《纠正和预防措施处理表》5.2.2.责任部门针对不合格或潜在不合格项制定纠正预防措施。综合管理部对纠正预防措施进行评审并确定预防或纠正措施。由责任部门填写《纠正和预防措施处理表》，包括：不合格或潜在不合格描述，包括问题的证据和细节；不合格或潜在不合格的提出部门和责任部门；不合格或潜在不合格的原因分析；拟采取的纠正、纠正预防措施；评审纠正、纠正预防措施，评价纠正能否改善不合格项，纠正措施是否能确保类似不合格不再发生，评价预防措施是否能确保潜在不合格不发生；确定纠正、纠正预防措施；纠正、纠正预防措施实施情况验证。5.2.3.经评定可行的《纠正和预防措施处理表》，由综合管理部负责登记、汇总、分发执行部门。对于重大的纠正、纠正预防措施，需要单独制订详细的实施方案。5.2.4.对难度较大或重大的预防和纠正措施，综合管理部负责协调有关实施安排。5.3.责任部门应在计划时间内组织纠正预防措施的实施。5.4.重大纠正预防措施信息由信综合管理部汇总，向综合管理部反馈，并将其作为管理评审的输入内容之一。5.5.纠正预防措施实施过程中如涉及到文件修改，依据《纠正和预防措施处理表》的相关规定进行。5.6.综合管理部组织相关人员对纠正预防措施的有效性进行验证，并将实施评审意见传递到相关责任人员。6.附则6.1.本文件由综合管理部负责解释。6.2.本文件自发布之日起施行。7相关记录《内部审核计划》《内审检查表》《不符合项报告》《内部审核报告》《会议签到表》

管理评审控制程序ISMS-02-041目的为确保信息安全、信息技术服务管理体系持续的适宜性、充分性、有效性，对信息安全、信息技术服务管理体系的方针和目标进行定期评审，并保证与法律、法规、公司其他制度、原则性文件不相悖的前提下制定本程序。2适用范围本程序适用于最高管理者对信息安全、信息技术服务管理体系的评审。3职责与权限3.1公司总经理主持召开管理评审大会；批准《管理评审报告》3.2管理者代表批准《管理评审计划》；组织召开管理评审会；组织撰写《管理评审报告》3.3综合管理部制定《管理评审会议通知》、《管理评审计划》；负责搜集并提供管理评审资料；负责对评审后的纠正、预防措施进行跟踪和验证3.4各部门准备、提供与本部门工作相关的评审所需资料；负责实施管理评审中提出的相关的纠正、预防措施。4程序和工作流程4.1制定年度管理评审计划4.1.1年度管理评审计划综合管理部根据信息安全、信息技术服务管理体系的运营情况，根据《管理手册》以及ISO2000/ISO27001的标准要求，制定《管理评审计划》。《管理评审计划》由管理者代表审批后方可生效。4.1.2年度管理评审计划的内容管理评审计划的主要内容包括：审核目的、审核范围、审核准则、审核组的组建、审核员的资质等的要求、审核的时间、参与评审的部门等。4.1.3管理评审的频次管理评审一般每年进行一次，一般在同一年度最后一次内部审核完成后进行。也可根据需要安排。当出现下列情况之一时可适当增加管理评审频次：公司组织机构、服务范围、资源配置发生重大变化时；发生重大安全事故或用户关于信息安全有严重投诉或投诉连续发生时；当法律、法规、标准及其他要求有变化时；市场需求发生重大变化时；即将进行第二、三方审核时；审核中发现严重不合格时。4.2管理评审的准备4.2.1《管理评审计划》管理评审实施计划由主管体系建设部门组织制定。综合管理部小组于每次管理评审前一个月编制《管理评审计划》，报管理者代表审批。计划主要内容包括：评审时间；评审目的；评审依据；评审内容；评审范围及评审重点；参加评审部门（人员）；各部门应该准备的资料以及提交时间。4.2.2资料准备预定评审前一周，综合管理部组织、指导、督促各部门完成本部门应该提交的资料，以书面形式向管理者代表汇报。管理者代表认为资料准备不全，信息不够充分的，综合管理部小组组织相关责任部门按照管理者代表的要求进一步补充完善。4.3管理评审输入对于信息安全、信息技术服务管理体系，管理评审时主要应考虑如下内容：服务（安全）方针和目标的适宜性；内部审核和外部审核结果；纠正和预防措施的实施情况；管理系统运行的情况；风险评估的结果与风险管理情况；有效性测量结果；相关方信息反馈；适用性声明的适用情况；可能影响管理体系和各项服务的变化；法律法规的符合性与法律法规要求的变化；改进的建议。4.4管理评审会议管理评审会议召开前2～7天，会议组织者应向与会人员以书面或邮件形式发送《管理评审会议通知》，并整理与会人员的反馈，以确定与会人员的实际人数。管理者代表主持管理评审会议，各部门负责人和有关人员对评审输入做出评价，对于发现的不合格或潜在的不合格项提出纠正和预防措施，确定责任人和整改时间。管理者代表所涉及的评审内容做出结论（包括进一步调查、验证等）。管理评审采取什么方式进行由管理者代表请示公司领导后决定，一般默认情况下以会议形式进行。管理评审会议应指定专人做会议记录。4.5管理评审输出管理评审的输出应包括以下方面有关的措施：信息安全、信息技术服务管理体系及其过程的改进，包括对信息安全（服务）方针、信息安全（服务）目标、组织结构、过程控制等方面的评价；信息安全、信息技术服务管理体系运行有效性评价；与客户要求有关的产品的改进，对现有产品符合要求的评价，包括是否需要进行产品、过程审核等与评审内容相关的要求；资源需求等。本次管理评审的输出可以作为下次管理评审的输入。4.6管理评审报告管理评审大会结束后，由综合管理部根据管理评审输出的要求和管理评审大会的会议记录进行总结，在管理者代表的指导下撰写《管理评审报告》，经管理者代表审核，交总经理批准后，发至相关部门并由综合管理部负责监控执行。如果评审结果引起文件更改，应执行《文件控制程序》。管理评审产生的相关的记录应由综合管理部按《记录控制程序》保管，包括管理评审计划、评审前各部门准备的评审资料、评审会议记录及管理评审报告等。5相关支持性文件《文件控制程序》《记录控制程序》《内审和改进控制程序》6相关记录《管理评审计划》《管理评审报告》

信息安全风险控制程序ISMS-02-051目的为明确本公司信息资产风险评估的准则，指导风险评估的实施和风险控制措施的改善工作,制订本文件。2适用范围本文件适用于海宏科技（东莞）有限公司的信息资产风险评估。3参考文件《ISO27001:2013信息安全管理体系要求》《ISO/IEC13335信息技术安全管理指南》4定义资产（asset），即信息资产，对组织具有价值的信息或资源，是安全策略保护的对象。资产组（AssetTeam），又称资产组合，是指具有相同或相近的业务功能的资产组合；如由硬件、软件、配置信息等组成的应用系统资产组，由电子文件、纸质文档组成的信息资产组。资产价值（assetvalue），资产的重要程度或敏感程度的表征。资产价值是资产的属性，也是进行资产识别的主要内容。机密性〔confidentiality〕，数据所具有的特性，即表示数据所达到的未提供或未泄露给未授权的个人、过程或其他实体的程度。完整性(integrity)，保证信息及信息系统不会被非授权更改或破坏的特性，包括数据完整性和系统完整性。可用性(availability)，数据或资源的特性，被授权实体按要求能访问和使用数据或资源。残余风险〔residualrisk〕，采取了安全措施后，仍然可能存在的风险。威胁(threat)，可能导致对系统或组织危害的不希望事故潜在原因。脆弱性(vulnerability),是指可能被威胁所利用的资产或若干资产的弱点，又称弱点，脆弱性和资产本身的特点和性能有关。5控制程序本公司信息资产的风险评估过程分为如下9个过程，每个过程内的详细活动如下表:序号过程活动过程内容1信息资产识别、分组与登记根据资产分类表，对评估范围内的资产进行识别、分组和登记；信息资产分组一般分硬件、软件、信息、人员、环境设施、外购服务和无形资产7种。2资产赋值从保密性、完整性和可用性三个方面对信息资产进行赋值。3风险识别与分析识别并登记与资产组相关的主要威胁、弱点和现有控制措施。4风险评价根据预先定义的赋值标准，对风险发生可能性和风险影响赋值，并通过资产价值、风险发生可能性和风险影响计算出风险值5确定风险可接受标准根据风险计算结果，确定风险级别，确定公司可接受的风险值。一般来说，风险可接受标准为低风险的分界线。6风险控制措施的选择和实施对于超过风险可接受标准的风险，公司要选择和实施管理或技术控制措施，以降低风险发生的可能性或影响程度。选择风险控制措施要考虑预估的残余风险值。7控制措施有效制订或利用一定的测量方法，对采取的全部或部分控制措施进行测量，以判断控制措施的有效性，对无效或效果不明显的进行整改。8风险评估更新根据风险评估周期，周期性进行风险评估与处置9残余风险处置对于风险评估更新后，对于仍超过可接受标准的风险可以采取新的控制措施，也可以接受风险。5.1信息资产识别、与登记5.1.1信息资产识别资产是本公司直接赋予价值因而需要保护的有用资源，以多种形式存在。信息资产分为：硬件类、软件类、环境设施类、信息、外购服务类、人员类、无形资产类七大类。对《信息资产登记表》中资产价值大于等于4级以上的资产，作为重要信息资产进行抽出，做出《重要信息资产登记表》信息资产识别由信息安全管理小组统一组织进行，相关人员要予以协助。5.1.2信息资产分组对于识别出来的信息资产，要根据资产的不同类型和价值进行必要的组合，形成资产组。5.1.3信息资产登记识别出来的信息资产需要详细登记在《信息资产登记表》中。5.1.4资产和资产组赋值资产赋值信息资产的赋值通过信息资产的机密性、完整性和可用性赋值确定，信息资产的机密性、完整性、可用性赋值如下：等级C一机密性I一完整性Ａ—可用性5(很高）包含组织最重要的秘密，关系未来发展的前途命运，对组织根本利益有着决定性影响，如果泄漏会造成灾难性的损害。完整性价值非常关键，未经授权的修改或破坏会对组织造成重大的或无法接受的影响，对业务冲击重大，并可能造成严重的业务中断，难以弥补。可用性价值非常高，合法使用者对信息及信息系统的可用度达到年度99.9%。以上。4〔高）含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害。完整性价值较高，未经授权的修改或破坏会对组织造成重大影响，对业务冲击严重，比较难以弥补。可用性价值较高，合法使用者对信息及信息系统的可用度达到每天90%以上。3〔中）包含组织的一般性秘密，其泄露会使组织的安全和利益受到损害。完整性价值中等，未经授权的修改或破坏会对组织造成影响，对业务冲击明显，但可以弥补。可用性价值中等，合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上。2〔低）包含仅能在组织内部或在组织某一部门内部公开的信息，向外扩散有可能对组织的利益造成损害。完整性价值较低，未经授权的修改或破坏会对组织造成轻微影响，可以忍受，对业务冲击轻微，容易弥补。可用性价值较低，合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上。1（很低）包含可对社会公开的信息，公用的信息处理设备和系统资源等。完整性价值非常低，未经授权的修改或破坏对组织造成的影响可以忽略，对业务冲击可以忽略。可用性价值可以忽略，合法使用者对信息及信息系统的可用度在正常工作时间低于25%。5.2风险识别与分析5.2.1威胁识别与分析应根据资产组内的每一项资产，以及每一项资产所处的环境条件、以前曾发生的安全事件等情况来进行威胁识别。一项资产可能面临着多个威胁，同样一个威胁可能对不同的资产造成影响；威胁种类威胁示例TC01软硬件故障设备硬件故障、通讯链路中断、系统本身或软件BugTC02物理环境威胁断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、水灾、地等环境问题和自然灾害；TC03无作为或操作失误由于应该执行而没有执行相应的操作，或无意地执行了错误的操作，对系统造成影响TC04管理不到位安全管理无法落实，不到位，造成安全管理不规范，或者管理混乱，从而破坏信息系统正常有序运行TC05恶意代码和病毒具有自我复制、自我传播能力，对信息系统构成破坏的程序代码TC06越权或滥用通过采用一些措施，超越自己的权限访问了本来无权访问的资源；或者滥用自己的职权，做出破坏信息系统的行为TC07黑客攻击利用黑客工具和技术，例如侦察、密码猜测攻击、缓冲区溢出攻击、安装后门、嗅探、伪造和欺骗、拒绝服务攻击等手段对信息系统进行攻击和入侵TC08物理攻击物理接触、物理破坏、盗窃TC09泄密机密泄漏，机密信息泄漏给他人TC10篡改非法修改信息，破坏信息的完整性TC11抵赖不承认收到的信息和所作的操作和交易5.2.2脆弱性识别与分析脆弱性评估将针对资产组内所有资产，找出该资产组可能被威胁利用的脆弱性，获得脆弱性所采用的方法主要为：问卷调查、访谈、工具扫描、手动检查、文档审查、渗透测试等；类型脆弱性分类脆弱性示例技术脆弱性物理环境从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别。服务器〔含操作系统）从物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置（初始化）、注册表加固、网络安全、系统管理等方面进行识别。网络结构从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别。数据库从补丁安装、鉴别机制、口令机制、访问控制、网络和服务设置、备份恢复机制、审计机制等方面进行识别。应用系统审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别。管理脆弱性技术管理物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性。组织管理安全策略、组织安全、资产分类与控制、人员安全、符合性5.2.3现有控制措施识别与分析在识别威胁和脆弱性的同时，评估人员应对已采取的安全措施进行识别，对现有控制措施的有效性进行确认。在对威胁和脆弱性赋值时,需要考虑现有控制措施的有效性。5.2.4风险评价本公司信息资产风险值通过风险各要素赋值相乘法来确定:风险值计算公式：R=a*i*p其中，R表示安全风险值；a表示资产组价值；i表示风险影响；p表示风险发生可能性。风险影响的赋值标准:风险影响赋值等级风险影响的不同维度相关方业务连续性5很高全部或大部分客户、监控机构、甚至社会公众公司大部分或全部核心业务受到严重影响4高整个公司，或部分客户公司大部分核心业务或日常活动受影响3中多个部门，或个别客户公司个别业务受影响，或日常办公活动中断2低本部门或部门内部人员公司业务不受影响，只是少部分日常办公活动活动受影响1很低个人基本不影响本部门业务和日常办公活动风险发生可能性的赋值标准:风险发生可能性赋值等级风险发生可能性时间频率发生机率5很高出现的频率很高（或≥1次/日）；或在大多数情况下几乎不可避免；或可以证实经常发生过。不可避免（≥99%）4高出现的频率较高（或≥1次/周）；或在大多数情况下很有可能会发生；或可以证实多次发生过。非常有可能〔90%～99%〕3中出现的频率中等（或≥1次/月）；或在某种情况下可能会发生；或被证实曾经发生过。可能〔10%～90%〕2低出现的频率较小（或≥1次/年）；或一般不太可能发生；或在某种情况下可能会发生。可能性很小〔1～10%〕1很低威胁几乎不可能发生，仅可能在非常罕见和例外的情况下发生，或没有被证实发生过。不可能（≤1%)注：风险的影响或发生可能性根据赋值标准，可能同时适用于二个维度，这种情况下，赋值取这二个维度赋值的最大值。5.2.5确定风险可接受标准风险等级采用分值计算表示。分值越大，风险越高。信息安全管理小组决定以下风险等级标准：赋值级别描述[32-125]高如果发生将使资产遭受严重破坏，组织利益受到严重损失[16-31]中发生后将使资产受到较重的破坏，组织利益受到损失[0-15]低发生后将使资产受到的破坏程度和利益损失比较轻微5.2.6风险接受准则对于信息资产评估的结果，本公司原则上以风险值小于16分〔不包括16分）的风险为可接受风险，大于等于16分为不可接受风险，要采取控制措施进行控制。对于不可接受的风险，由于经济或技术原因，经综合管理部批准后，可以暂时接受风险，待经济或技术具有可行性时再采取适当的措施降低风险。5.2.7风险控制措施的选择和实施对于不可接受的风险，有四种风险处置方式可以选择：降低风险、转移风险、消除风险、接受风险。最常见的风险处置方式是降低风险，降低风险可以选择ISO27001：2013标准提供的14个域114项中的一项或几项控制措施。5.2.8控制措施有效性测量在风险控制措施全部或部分实施完成后，信息安全管理小组可以对风险控制措施的有效性进行测量；测量的范围可以测量全部的控制措施，也可以测量部分的控制措施，出于时间和经济成本的考虑，建议选取主要的控制措施进行测量，测试方法由信息安全管理小组视情况决定。5.2.9风险评估更新风险评估需要至少每年进行一次，重新进行风险评估时，各部门需要对本公司信息资产登记表和风险管理表进行更新。在发生以下情况时，可以增加风险评估次数：1、当信息系统发生重大变更时；2、当公司业务或信息资产发生重大变化时；3、发生严重信息安全事件时；4、企业认为有必要时。5.2.10残余风险处置对于低于风险可接受标准的残余风险，本公司接受这样的风险，也可以继续采取措施，进一步减少该风险。对于高于本公司风险可接受标准的残余风险，由于费用或技术等原因不能增加新的控制措施，经综合管理部批准可以决定暂时接受此风险，并由综合管理部积极跟踪相关技术和产品的发展情况，以尽快采取新的技术或方法，降低风险；对于可以继续实施控制措施的，由各部门继续实施相应的信息安全控制措施。6附则本文件由综合管理部负责解释。本文件自发布之日起施行。7相关记录《信息资产登记表》《信息风险评估表及处置表》《风险评估报告》

环境设施与物理设备控制程序ISMS-02-061目的 为加强对公司办公场所和设备的物理环境安全管理，制定本程序。2适用范围本程序适用于公司所有物理区域和设备设施的管理。3参考文件《ISO27001：2013信息安全管理体系要求》4定义物理安全区域：本公司的物理安全区域包括公司使用、租借或交换的物理场所，包括存放网络设备的机房、档案室、领导、综合管理部和公共办公区域、来访接待区域等。5岗位职责综合管理部负责公司办公场地的物理环境安全，包括物理安全区域的安全管理、门禁管理、人员物品进出管理、IT设备的物理环境安全管理。6控制程序6.1场地的物理安全管理6.1.1物理安全边界以公司大门为界，大门以内的物理区域均为本公司的物理安全区域。6.1.2物理安全控制原则外来人员进入公司需要进行登记；携带物品离开公司，要事先向综合管理部申请办理《携带物品出入登记单》，凭授权人签字的《携带物品出入登记单》方可携带物品离开公司；6.1.3人员进出公司控制6.1.3.1公司员工的控制公司员工在进出公司时，要防止不明身份人员尾随进入公司物理安全区域。公司所有员工有义务监督内、外部人员的非授权访问活动，任何人员均有责任立即制止其活动，并及时报告部门负责人或信息安全管理小组。6.1.3.2第三方的控制外来人员在《人员出入登记表》上详细填写姓名、证件号码、联系人、事由等事项，经综合管理部与被访人员确认来访人身份无误后发放访客证，方可访问进行公司进行访问活动。外来人员进入公司办公区时，由接待人员全程陪同；6.1.4外部和环境威胁的安全防护危险或易燃材料应在远离安全区域安全距离以外的地方存放；应提供适当的灭火设备，并应放在合适的地点。6.1.5交接区安全公司在门口为交接区，同时：向公司发送货物必须预先通知货物接收人；送货公司名称和交货时间应当在接收货物之前由货物接收人确认；货物资产接收人员应组织检验货物，以保证符合验收标准且没有潜在的危害。6.2设备的物理环境安全管理6.2.1设备安置与保护设备设施安置时，应考虑以下物理环境安全控制措施：设备应进行适当安置，以尽量减少对工作区域不必要的访问；应把处理敏感数据的信息处理设施放在适当的限制观测的位置，以减少在其使用期间信息被非授权访问的风险；应采取控制措施以减小潜在的物理威胁的风险，例如偷窃、火灾、爆炸、烟雾、水(或供水故障)、尘埃、振动、化学影响、电源干扰、通信干扰、电磁辐射和故意破坏等；应禁止在信息处理设施附近进食、喝饮料和抽烟等行为；对于可能对信息处理设施运行状态产生负面影响的环境条件（例如温度和湿度）要予以监视；6.2.2支持性设施应有足够的支持性设施（例如电、通风和空调）来支持系统。支持性设施应定期检查并适当的测试以确保他们的功能，减少由于他们的故障或失效带来的风险。应按照设备制造商的说明提供合适的供电。应急电源开关应位于设备房间应急出口附近，以便紧急情况时快速切断电源。如果主电源出现故障时要提供应急照明。6.2.3线缆安全铺设到公司内各个区域的线缆的保护方式如下：网络布缆要免受未授权窃听或损坏，例如，利用电缆管道或使路由避开公众区域；为了防止干扰，电源电缆要与通信电缆分开。6.2.4IT设备维护只有已授权的维护人员才可对IT设备进行修理和服务；当对设备安排维护时，应实施适当的控制，维护工作一般情况下都由内部人员执行；如果情况特殊需要由外部人员来执行时，如硬盘数据恢复，首先需要选择可靠的第三方设备维护方和维护人员，与第三方服务方及维护人员签订保密协议。必要时，敏感信息需要事先从设备中清除删除。6.2.5场外设备的安全离开办公场所的设备的保护应考虑下列措施：带离办公场所的设备和介质在公共场所不应无人看管。如：在旅行时便携式计算机要作为手提行李携带，若可能宜伪装起来；使用掩蔽物保护离开办公场所的设备；在家办公时的信息安全控制措施可包括：清理桌面、对计算机的访问控制以及注意通信安全等；6.2.6设备的安全处置与重新使用设备重用或报废处置时，存储在设备中的敏感信息要删除。如办公电脑的系统盘要格式化后重新装系统，非系统盘清空。6.2.7设备的移动应考虑如下措施：IT设备移出时公司物理安全区域时，需要经过部门负责人批准或授权的情况下，其它设备需要信息安全管理小组负责人批准；可以设置设备移动的时间限制，并在返还时执行符合性检查；应进行适当的检查，防止设备的非授权移动和危险物品进入公司办公区域。7附则:本文件由综合管理部负责解释。本文件自印发之日起施行。8相关记录《携带物品出入公司登记表》《设备维修记录》

用户访问控制程序ISMS-02-071目的防止非法的计算机访问。2职责计算机的使用者，负责维护的部门有责任通过本管理办法，保证计算机不被非法访问。3范围公司内所有操作系统和应用程序。4术语与定义系统管理员账号/特权账号：指对系统具有超级权限和特殊权限的账号。普通账号：普通账号是用户用于维护或访问业务系统，实现日常业务操作的账号，是最为常见的用户类型。监控系统：包括监控、审计系统。5系统访问安全要求5.1系统的访问使用域用户登陆系统。使用路由进行控制。按照公司规定的路由策略实施访问。记录登录成功与失败的日志。登录时禁止显示系统版本信息。登录后10分钟内未有任何操作，系统将自动开启屏幕保护功能，需要使用密码方可登陆。日常非系统管理，只能以普通域用户登录。启用操作系统的口令管理策略（如口令至少10位，字母数字组合等），保证用户口令的安全性。操作系统的登录口令的更改参见《账号、口令和权限管理规定》。5.2应用程序的访问１)应用程序的超级用户账号只能由一个人拥有。２)对于应用程序，只有程序拥有部门的负责人才有权对软件进行变更或升级。5.3监控系统的访问和使用１）针对系统需要，启用相应的日志记录包括：登录、登出，系统报警，安全日志，重要应用程序日志，重要文件访问日志。为保证日志的准确性，应正确设置计算机时钟。２）系统管理员必须每周检查系统日志，对发现的问题依据严重程度，开出《信息安全事件报告》，并及时纠正。３）对于系统管理的程序或工具必须设置日志，记录使用情况，包括：用户、时间、操作等。４）发现违反安全访问策略的情况，及时处理，并通知当事人，必要时进行惩罚。５）按照《通信与操作控制程序》对系统进行维护。６）对日志文件进行定期收集与备份。5.4公用电脑的访问1）公司配备可以登录外网的电脑2）相关人员可以根据工作需要使用该电脑5.5程控电话的使用1）公司配备电话分机2）相关人员可以根据工作需要使用相应权限要填写申请。6.相关记录《信息安全事件报告》《网络权限申请表》《账户、口令和权限控制程序》

信息资产管理控制程序ISMS-02-081目的:为加强对本公司信息资产的管理，保障信息资产安全，制定本程序。2适用范围:本公司的信息资产可分为以下七类资产：硬件类资产：包括网络设备、服务器、主机、传输线路/设备、空调、打印/复印机、传真机、碎纸机、投影仪等等。软件类资产：包括应用软件、操作系统、数据库、开发工具和实用程序等软件。信息类资产：包括配置信息、帐户权限信息、口令信息、系统各类文档、源代码和安装包等。人员类资产：包括内部人员和外部人员。环境设施类资产：如保险柜、文件柜、空调、UPS等。外购服务类资产：包括供电、通讯、保洁、快递服务、IT服务、网站托管等。无形类资产：包括声誉和形象、业务和技术经验等。3定义信息：有价值的符号、数据、图片和语音，它能够被企业创建、使用、处理、存储及传输。信息是必须依赖介质存在。信息资产：与信息相关且对企业有价值，信息资产包括在信息收集、输入、传输、处理、输出和存储中产生的数据、使用的工具和服务、承载的介质及处理和使用的人员，如：计算机硬件、通信设施、运行环境、数据库、软件、文档资料、信息服务和人员等。4岗位职责角色职责所有者（ower）指个人或实体拥有授权/指派(被公司最高层)的控制资产的生产、开发、维护、使用以及安全管理的责任，所有者并不意味对某项资产拥有任何的所有权（财产权)。对信息资产进行定义、识别和分类；定期对信息资产进行回顾和修订；识别信息资产的安全需求；将信息资产的安全需求传达给信息资产的保管者和使用者；委派管理者维护资产清单；识别对信息资产访问活动中相关的安全风险，并根据公司相关访问控制策略批准对信息资产的访问权限；确保信息资产符合信息资产生命周期管控的安全需求；针对所属信息资产提出恰当的保护措施；可将信息资产的日常管理工作委托给他人，但需要对其进行监控和审计。管理者（Custodian）

受信息资产责任人委托，对信息资产进行日常的管理的人，维护已经建立的保护措施。对所管理的信息资产进行标识，定期对资产清单进行回顾和修订；选择适当的控制措施来保护所管理的信息资产，并且实施的控制措施应满足其安全需求；将实施的控制措施汇报给信息资产所有者；根据公司相关策略和信息资产责任人的要求，负责信息资产的维护操作和日常管理事务；负责具体设置信息访问权限；负责所管理的信息资产的安全控制；部署恰当的安全机制，进行备份和恢复操作；按照信息资产责任人的要求实施其他控制。向资产所有者和信息安全管理小组报告隐患、故障或者违规事件。使用者（User）

信息资产的使用者，除了公司内部员工，也可能是因为业务需要而访问公司信息的客户或第三方组织。使用者如在信息公开范围内，可以访问和使用；不在信息公开范围内的使用者需要访问和使用信息时，应向信息所有者申请对信息访问；按照公司信息安全策略要求正当访问信息，禁止非授权访问；按照公司的信息安全策略来保护所使用的信息资产向资产所有者或信息安全管理小组报告隐患、故障5信息资产管理内容5.1机密性分类方法制定信息资产机密性分类方法是为了帮助本公司员工和全体外部人员判断哪些信息资产属于敏感信息资产，以便更好地加以保护。机密性即机密性。全体员工应当熟悉本规定所确定的信息资产分类及标识办法，及敏感信息管理指南。员工可以根据分类定义标准和管理指南来保护信息资产，另一方面也可以采用通用最佳实践的办法来保护组织的敏感信息。信息资产的机密性进行分类如下：机密等级机密性标识方式机密性5(非常髙)机密包含组织最重要的秘密，关系未来发展的前途命运，对组织根本利益有着决定性影响，如果泄漏会造成灾难性的损害4(髙)秘密包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害3(中)敏感包含组织的一般性秘密，一般仅能在组商秘八）织某一或几个部门内部公开，其泄露会使组织的安全和利益受到损害2(低)内部使用包含组织较低级别秘密，仅能在组织内部公开的信息，向外扩散有可能对组织的利益造成损害1(可忽略)公开信息(不标识)包含可对社会公开的信息，公用的信息处理设备和系统资源等本公司鼓励员工在一定的程度上使用常识性的办法来保护本公司敏感信息资产，如果员工不知道某种特定信息的机密性程度，默认情况下至少按"内部使用"的保护办法来对待。5.2信息资产的使用管理5.2.1硬件类和环境设施类资产的使用硬件类和环境设施类资产的接收和发出按本公司固定资产管理方面的控制程序执行；供应商送货到本公司后，接收人员对货物的品牌、型号、数量、包装和送货单据等核对无误后，在送单据上签收确认；领用时，发放人员要对领用情况进行登记，并由领用人员签字。接收到新的信息资产后，接收人员对信息资产机密性进行标识。信息资产发生变化时，要及时更新《信息资产登记表》。新增的硬件设备在经过必要的安装、配置和性能调优后，才能并入公司的网络系统。报废硬件设备必须要填写《报废申请表》，经过部门经理批准后方可报废。5.2.2软件类资产的使用在公司范围使用符合本公司安全性要求的软件，系统软件按需要及时进行补丁更新。在本公司网络内使用的电脑，只能安装本公司授权的软件。本公司采取必要的措施防范病毒、木马和流氓软件等恶意程序。采购软件类资产，要选择软件系统商，进行软件测试，必要时要进行源代码审查，以确保采购软件安全。软件系统时，要确保在软件系统需求中包含足够的安全需求，在软件系统和测试中这些要求能够得到满足，防范开发的软件中留有后门或恶意代码。禁止在本公司办公电脑上安装未经本公司许可的软件和程序，终端原则上只安装满足其业务要求的最小范围的软件。所有贮存软件的介质应当妥善保存，并登记入册。信息类资产的用管理5.2.3"公司机密"类信息的使用"公司机密"类信息是极其敏感的信息，对本公司来说，在没有相应授权的前提下，严格禁止本公司内部员工和外部人员对"公司机密"类信息的访问，一旦发现有对"公司机密"类信息的非授权使用或授权的滥用情况，必须立即作为安全事故向信息安全管理小组汇报。"公司机密"类信息传递到外网时，要设置8位以上的强口令。5.2.4"公司秘密"类信息的使用"公司秘密"类信息是较敏感的信息，本公司的内部员工和外部人员在使用"公司秘密"类信息时，应当特别谨慎以防止信息资产的丢失、被盗和敏感信息的泄露。一切人员都应按照"知所必须"的原则，获得完成其工作职责所必须的最小范围的"公司秘密"信息。禁止在公共场合讨论该类信息，"公司秘密"类信息限制打印或复制，多余的份数应粉碎或安全删除；必要时，"公司秘密"类信息分发时，要建立详细传阅清单。5.2.5"内部使用"类信息的使用仅限于本公司内部员工使用，一般避免向外扩散，外部人员要使用"内部使用"类信息，需要得到必要的授权。5.2.6其它类信息资产的使用人员类资产的使用管理依照《人力资源控制程序》执行。外购服务类资产的使用要防止资源的浪费和节约能源，如占用网络带宽进行与工作无关的下载，下班后不关电脑、照明、空调等的电源等等无形资产对本公司而言非常重要，要维护好这些无形资产，可以通过以下方面体现：商标保护\商誉维护\庆典活动组织\企业文化活动\企业形象设计\办公礼仪参与各类社会活动的专业性和权威性\客户服务水平的提升;紧急事件的圆满处理;其它方面。5.3资产的保密期限硬件类、软件类信息资产的保密期限为"五年"。信息类资产的保密期限原则性规定为："公司机密"和"公司秘密"类至少为五年，"内部使用"类至少为三年。国家有明确规定的依国家相关规定，如会计档案的保存期限；各机构对于管理档案等资料的保密期限另有规定的，依相关规定，但保密期限不得少于原则性规定期限。在保密期限内的信息类资产，当客观环境发生变化或因商业目的，不再需要继续保持较高密级或不需要再保密时，经公司管理层或授权的部门书面批准（纸质或电子文档均可）后，可以提前解密，解密后，密级为"公开使用"；但国家有明确规定不能提前解密的按国家相关规定办理。信息类资产的保密期限开始时间，如有特别注明生效时间的，为注明的生效时间；如无特别注明，需要批准的文档的生效时间为最后批准人的批准时间，不需要批准的文档生效时间为文档编写人的编写完成时间。6附则:本文件由综合管理部负责解释。本文件自发布之日起施行。7相关记录:《设备销毁记录表》《信息资产登记表》

人力资源控制程序ISMS-02-091目的:为规范针对公司员工在任用前、任用中、任用后的相关安全职责以及行为的管理，特制定本程序。2适用范围:本程序适用于本公司员工，包括正式员工与实习人员及学员。3岗位职责综合管理部负责公司人员信息安全职责制订、任用前的人员资料核实和背景调查、任用中的信息安全培训组织和纪律处理、任用变更或终止时的资产归还和访问权限撤销的流程提起。4控制程序4.1任用前综合管理部需确保人员在任用前，在适当的岗位描述、任用条款和条件中明确说明其应履行的信息安全、IT服务管理的职责，确保人员理解其信息安全、IT服务管理的职责，确保人员承担的角色符合公司的信息安全、IT服务管理的要求，以降低设施被盗窃、滥用和误用的风险。要对任用的员工、第三方的候选人员进行充分的审查，特别是对于关键岗位、关键职务人员，以及其他会大量接触敏感信息的人员。4.1.1员工筛选综合管理部负责组织对公司各个职位的应聘人员进行筛选、对应聘人员进行面试、资料核实和背景调查。背景调查时应考虑个人简历、职业推荐信、原单位离职证明、身份证明、学历和职业资格证件等。对员工的背景调查应在申请职位时进行。调查包括以下内容：1）是否有适当的推荐人，申请人的工作能力和个人职业道德情况；2）检查申请人的简历是否完整及准确；3）确认其声明的学历和职业资格是否真实；4）身份证明（包括身份证、护照或其它文件）检查；5）监管部门要求；6）其它需要调查的内容。各部门负责人可根据本部门对上岗员工的特殊要求，提出必要的附加调查内容，并反馈给综合管理部，以便选出合适的人员。对于第三方服务人员也要执行人员背景调查过程。与第三方的合同中要清晰地规定第三方负有对其为本公司提供服务的人员进行人员背景调查的职责，并对背景调查的结果负责。同样，与第三方的协议或约定中应清晰的界定背景调查的职责归属问题。出于背景调查目的收集、处理被调查人员信息时，应在不违反相关的法律法规的前提下进行。4.1.2安全职责对于员工，必须通过书面的岗位职责对其安全角色和职责进行描述和说明。对于第三方的安全角色和职责，应按照组织的信息安全制度进行定义，清晰地传达给相关人员，并要求其签署保密协议和信息安全承诺书。安全职责应包括但不限于以下要求：1）遵守公司信息安全方面的各项规章制度；2）按照公司的要求实施各项安全措施控制；3）按照要求组织、参与或配合公司的各项信息安全检查活动；4）保护公司的信息资产免受非授权访问、泄露、修改和破坏；5）积极参加各项信息安全培训；6）报告安全事件、潜在安全事件、以及其他可能引发安全风险的事件。4.1.3任用条款和条件综合管理部每年需要组织员工签署保密协议，所有员工都需要签署。公司应与第三方在公司层面签订保密协议（或合同中包含保密条款）。对口部门负责组织第三方人员签订《保密协议》，并以此作为其获准为本公司提供服务、接触本公司敏感信息的前提条件；保密协议由公司综合管理部统一保存。保密条款或保密协议具有法律效力，保密协议或包含保密条款的合同在签订前，要经过公司相关部门的合规性审查，以避免法律法规风险。4.2任用中员工、第三方如需申请使用公司网络访问权限或应用系统访问权限，必须通过审批通过后，才能授予工作所需的最小权限。员工、第三方的工作岗位发生变化时，必须通过公司相关部门审批，对其访问权限进行相应的调整。4.2.1管理职责综合管理部应采取必要措施，保证员工、第三方严格遵守公司已建立的各项信息安全制度。管理职责应包括但不限于以下内容：确保员工、第三方在被授权访问敏感信息或敏感信息系统前，了解其信息安全的角色和职责；建立恰当的信息安全奖惩机制；监督员工、第三方遵守任用条款和条件，以及相关的信息安全制度；制定并颁布各项信息安全制度、操作指引、实施指南等；负责人力资源和信息技术的部门负责组织公司员工（适当时也可以包括第三方人员）进行与其工作职能相关的信息安全意识培训和教育。4.2.2信息安全培训信息安全、IT服务知识培训纳入公司统一的培训体系内，由综合管理部负责组织、实施及考核。信息安全、IT服务知识培训作为公司每年度全员培训计划的必设内容。从事信息安全、IT服务管理工作的人员和各部门信息安全、IT服务管理员，每年必须参加专门的信息安全、IT服务技术与标准培训。全员信息安全、IT服务培训每年度不少于一次，培训可采用多种方式，培训内容包括岗位安全职责、信息安全、IT服务管理体系文件、信息安全、IT服务知识和技术等。新员工必须参加信息安全培训，培训内容包括工作人员信息安全守则、基本的信息安全意识、知识和技术等。各部门可根据工作需要，在部门内组织信息安全培训，信息安全管理工作小组可提供协助，培训内容可以包括岗位信息安全知识培训、专项信息安全知识培训等。综合管理部按照年度信息安全培训计划，组织相关人员进行培训，为加强培训效果，可以有针对性的安排考核和计分。考核内容可以包括理论考核、实际操作技能考核等；考核形式可以包括问答、问卷、试验等；培训讲师负责登记考核和计分结果。参与培训的人员通过调查问卷等方式，对讲师的授课技巧、培训的组织、培训效果等情况进行评估，培训课程评价结果由综合管理部分析汇总。4.2.3纪律处理过程对于信息安全、IT服务违规的人员，在正式纪律处理之前应有一个信息安全违规的确认过程，对于第三方人员的纪律处理需要第三方代表的参与；正式的纪律处理过程应确保正确、公平、公正地对待被怀疑信息安全、IT服务违规的人员；对内部员工的具体纪律处理按公司相关控制程序执行；对第三方的纪律处理依照相关法律法规、合同处理，如法规或合同中均无规定，可双方协商处理。4.3任用变更或终止4.3.1任用变更与终止职责应清晰地定义和分配员工、第三方的任用变更或任用终止的信息安全职责。变更或终止的传达应包括信息安全要求和法律职责，必要时，在与员工、第三方人员的雇佣合同、保密协议、信息安全责任书或信息安全承诺书中应包含在任用终止后仍然有效的信息安全职责和义务内容。内部员工的任用变更或终止由所在部门、综合管理部等负责处理，第三方的任用变更或终止由对口部门、综合管理部负责处理。4.3.2资产归还所有的员工、第三方在终止任用合同或协议时，应归还其使用的所有公司资产。需要交接的信息资产包括计算机设备、身份识别卡、纸质文件资料和存储于电子介质中的文档、数据等。转岗或离职人员办公电脑中的数据由其所在部门决定如何处置，归还后的办公和业务电脑中硬盘由系统管理员进行格式化。当员工、第三方人员在公司工作期间，利用公司信息资产产生的信息及其知识产权，除另有约定外，属于公司所有。4.3.3变更、撤销访问权限所有员工、第三方人员对信息和信息处理设施的访问权限应在岗位发生变更时进行调整或在任用终止时注销或删除。应注销或删除或改变访问权的内容包括物理访问授权、逻辑访问授权。必要时，在对信息和信息处理设施的访问权限进行变更或终止前需要进行风险评估。5附则:本文件由综合管理部负责解释。本文件自印发之日起施行。6相关记录;《保密协议》（对内）《保密协议》（对外）《年度培训计划》《培训记录》《员工离职表》

通信与操作控制程序ISMS-02-101目的 为确保正确、安全地操作信息处理设施，通过确定一些关键控制点，建立信息处理设施的管理与操作的职责和流程，实施责任分割，以减少误用系统的风险，制订本文件。2适用范围本文档适用于深圳汇银资产管理有限公司信息安全管理体系范围之内的所有部门和人员。3定义移动代码：移动代码是能够从主机传输到客户端计算机上并执行的代码，它通常是作为病毒，蠕虫，或是特洛伊木马的一部分被传送到客户计算机上的。通常用于编写移动代码的工具包括Javaapplets，ActiveX，JavaScript和VBScript。4控制程序4.1文件化的管理制度通信和操作相关的信息安全活动应形成固定流程，重要的流程应该形成文件，例如应用系统运行维护、网络系统管理、数据备份、IP地址管理、计算机病毒防治、备份介质管理、移动介质管理、计算机机房管理、电子邮件管理等。所有用户应能够获得并遵循相关的管理制度。通信与操作相关的安全管理制度应包括每项工作的管理职责、安全控制要点等内容。4.2变更管理控制各部门对操作系统和应用软件应执行严格的变更管理控制，变更管理控制应考虑如下:变更前进行充分的变更测试；变更的潜在影响的评估，包括安全影响；向相关人员传达变更细节和影响；将变更情况记录在《变更记录》中；回退计划，包括从不成功变更和未预料事件中退出和恢复的程序与职责。变更操作人员按变更计划安排的时间实施变更，并确保不会对现有信息处理设施和系统造成意外的服务影响。4.3责任分离通过界定信息处理设施和系统的安全管理职责，以降低非授权或无意识的修改或者不当使用对信息处理设施和系统造成的危害。开发、测试环境分离开发、测试职责分离开发与测试系统应当分离，清晰界定系统用途及相关责任人；开发、测试和生产环境尚未完成分离的，要尽快实现分离。4.4第三方服务交付管理4.4.1服务交付外部相关方提供的第三方服务包括：电信或移动提供的网络通信服务、网站托管、公司邮箱托管、快递、物业管理等。内部相关方提供的第三方服务包括：人力资源管理、办公环境管理等。4.4.2第三方服务的监督和评审应定期对第三方的服务安全性进行审查，审查内容包括：供电是否正常；网络线路是否畅通；网站是否被入侵、篡改；公司域名是否可以解析；公司邮箱是否可用、邮件丢失等；快递资料是否有丢失、泄露或破损；招聘的人员资料是否真实可靠；办公环境中的安全问题（如门锁坏掉、电脑丢失）。对于发现的第三方服务中的问题，及时与相关方沟通，并协商解决，必要时，要求第三方进行赔偿。4.4.3第三方服务的变更管理应对第三方服务变更（不论是公司提供的变更，还是第三方提起的变更，如第三方额外提供增值服务），变更时要考虑变更对公司信息资产保密性、完整性和可用性的影响，对有关风险进行评估，如果风险在公司可接受范围内，可以接受变更，否则可以拒绝变更。4.5系统规划与验收4.5.1系统需求各部门应对系统未来的容量、功能和性能等要求进行预测，这些预测要考虑信息系统的当前状况和未来发展趋势。各部门基于采购成本和使用年限的考虑，对于主要应用系统的容量规划需要重点关注，系统管理员应当对主要应用系统资源的使用情况进行监视，包括处理器、内存、储存系统、网络系统等。各部门应当运用上述信息来识别并避免可能对系统安全或应用服务提供构成隐患的潜在瓶颈，并事先确定适当的补救恢复措施。4.5.2系统验收应用系统的验收参照相应的技术验收文档或合同执行。在技术验收文档中，技术管理中心要清楚说明新系统的安全验收要求和标准，要保证所采用的升级、补丁和新的版本不会影响正常的操作过程。对任何新的信息系统都要进行验收测试，并遵照已定的标准进行系统验收。系统验收标准：要对所有相关的日常操作流程进行验收，以保证在切换新系统后，能正确地恢复日常的操作；在任何新系统上线前都需要进行安全检查。检查内容包括操作系统版本、补丁等级、安全修补等。要对关键系统的网络系统和操作系统进行加固；对变更进行控制，以确保变更可能造成的系统停机不会影响业务的持续性；确保所有的系统变更都尽可能安排在空闲时间内，以减轻对业务的影响；确保系统变更后不会减弱的整体安全性；安排必要的测试以证实符合系统验收标准；新系统上线前需对操作员进行相关培训，系统的验收还应包括对相关文档的交付的验收，如运维管理手册、用户手册等。4.6防止恶意和移动代码4.6.1防范恶意代码办公和业务电脑都需要安装防病毒软件，以防范恶意代码和移动代码，并定期（至少每月一次）查杀病毒，定期（至少每月一次）进行病毒升级。网络中安装防火墙，通过网关、路由及域管理。办公和业务电脑要及时更新操作系统补丁。员工访问互联网时，应做到：不要从不信任的网站下载程序；未经允许不允许使用移动存储介质；谨慎处理带有可疑附件的邮件（先不要打开、先进行病毒查杀，确认没有病毒后才能打开）。如发现重大病毒入侵事件，需要填写《病毒入侵报告》技术管理中心要定期安排相关人员评审办公和业务电脑上安装的各种软件的安全性；除非特殊需要，公司不允许使用安全性比较低的软件(如有较多漏洞且一直未有成熟解决方案)。4.6.2控制移动代码技术管理中心使用源代码时，按照"满足工作需要且权限和数量最小化"的原则，控制技术人员对源代码的获得。技术管理中心应考虑下列措施以防止移动代码执行未授权的活动：技术人员的业务电脑上只存储目前开发项目有关的代码；技术人员将新版代码及时发给技术管理中心经理，由技术管理中心经理负责保管，只有技术管理中心经理有管理员权限。4.7备份4.7.1信息备份技术管理中心经理负责定期（至少每天一次）将备份数据上传到指定的位置。备份数据的恢复能力应满足的业务连续性计划的要求。4.8网络安全管理技术管理中心负责网络管理，网络管理方面需要做到如下要求：公司内外网间通过网关配置与更新，以减少来自于互联网的威胁；技术管理中心的网络与其它部门的网络间通过技术手段进行隔离，技术管理中心内部的开发与测试环境间通过技术手段进行隔离；进行网络监控，发现网络流量异常或网络入侵事件，要及时进行处理；外来人员电脑需要接入本公司网络时，必须接入至我公司开放公用来宾网络，不得在未授权的情况下接入我公司开发或测试网络。所有允许互联网用户访问的内部系统，必须置于防火墙后；需要时候使用访问控制列表ACL；使用无线网络时，要设置用户密码，并定期更改。4.9介质处置4.9.1可移动介质的管理公司移动介质使用需申请并做好记录，不允许随意使用私人介质。详见《移动存储介质管理制度》。4.9.2备份介质的管理存放备份数据的光盘，按照以下规定严格管理：存放在文件柜中并上锁；备份介质存放环境要求：常温、防潮、防火、防水、防磁、防辐射；4.9.3介质处置为保证信息安全，必须在处理介质前擦除有关的敏感信息，包括如下：用碎纸机销毁所有的敏感纸质记录，废纸可在碎纸后立即处置掉；存储介质必须在报废前进行将数据删除，并砸成小块后才能丢弃。由专人负责监督并填写《资料废止登记表》4.10系统文件的安全系统管理员由技术管理中心指定人员担任。办公和业务电脑、网络设备等的系统文件只能由拥有系统管理员权限的人员经用户验证后进行访问。系统文件只能由系统管理员访问，为保护办公和业务电脑的系统文件不被破坏（如病毒感染〕，办公和业务电脑用户要使用普通用户登录，不要使用系统管理员用户帐户登录。4.11信息的交换4.11.1信息交换策略和程序公司和外部相关方进行信息交换时，通过邮件、传真等方式进行，与内部相关方通过邮件方式进行。和其它组织之间交换信息时，需要考虑采取如下控制措施：敏感信息交换行为经过相关负责人批准或同意；以附件形式传输的敏感电子邮件要设定打开密码；复印、打印和传真后，及时将文件取走；防止未授权访问；提醒工作人员采取相应预防措施不泄露敏感信息，避免打电话时被无意听到或窃听；不要将办公邮箱、办公电话号码等个人隐私信息用于社交网站的注册，避免隐私信息被未授权人员收集避免传真机和影印机中页面缓冲内容被打印。不要在公共场所、开放综合管理部和薄围墙的会场进行机密会谈。信息交换设施应符合相关的法律要求。4.11.2电子信息管理收发的所有电子文件都必须经过病毒扫描。重要的电子邮件附件发放时可以设置打开密码。禁止利用电子邮件从事以下活动：利用电子邮件服务传输任何骚扰性的、中伤他人的、恐吓性的、庸俗的、淫秽的以及其他违反法律法规和本公司规定的内容；利用电子邮件服务散布电脑病毒、木马软件、间谍软件等恶意软件，干扰他人或破坏网络系统的正常运行；其他的利用电子邮件服务发送与工作无关的邮件。电子邮件操作安全规定如下：必须以本人的真实身份使用电子邮箱，禁止以他人名义或匿名滥发邮件，禁止盗用他人邮箱；未经授权任何人不得尝试以他人帐户和口令登录电子邮件系统，不得阅读、下载、保存、编辑、公开或透露他人的电子邮件；用户必须严格保密其登录电子邮件系统的密码，不得泄露，如将其借与他人使用，由此造成的一切后果由电子邮件帐户所有人承担；用户若发现任何电子邮件系统的漏洞，或任何非法使用电子邮件系统的情况，须及时报告信息技术管理中心；用户不要阅读和传播来历不明的电子邮件及其附件，提高对电子邮件病毒的防范意识，避免传播电子邮件病毒；用户不得将本公司提供的电子邮件用于非工作目的，特别是以娱乐、购物、交友等为目的的身份注册；如因工作需要，必须通过电子邮件系统发送保密信息的，应经部门负责人许可或采取加密等有效安全保护措施。电子邮件归档：所有的电子邮件都需要进行保存和归档，存放在邮箱服务方统一进行备份保存，下载到本地的电子邮件要存放非系统盘中。4.12业务信息系统具体控制措施如下:只有系统管理员拥有信息系统管理权限；网络设备停机和重启需要技术管理中心负责人同意并登记。4.13公共可用信息网站内容改变，必须确保：网站内容变更前已经经过反复核对，内容无误；定期查看网站是否被篡改或注入，如有，及时通知技术管理中心进行维护。4.14监控4.14.1审计日志网络设备日志要记录以下内容：关键网络安全事件；关键服务安全事件。关键网络安全事件和关键服务安全事件应记录在事件日志中，其内容建议包括以下信息：用户验证用的用户帐号；网络地址；系统登录成败(验证结果)；事件日期和事件内容。4.14.2监控系统的使用建立互联网信息监控系统。按照规定的事件日志记录格式，监控信息系统的运行状态，如果发生不良事件可能影响网络安全，检测到关键服务安全事件，应执行《信息安全事件控制程序》。安全监控范围如下：

合法访问，包括如下内容：1）用户ID；2）重要事件的日期和时间；3）事件类型；所有特权操作，如：1）特权帐号的使用；2）系统启动和停止；非法访问，如：1）失败次数；2）访问策略的违反情况。系统预警或故障，如：1）控制台预警或消息；2）系统日志异常情况；4.14.3保护日志信息日志审核包括了解系统面临的威胁以及这些威胁出现的方式。有些事件可能在发生安全事件时要求进行进一步调查。系统日志通常包括大量的信息，多数与安全监控无关。为了识别用于安全监控目的的重要事件，应使用工具进行安全事件的监控和管理。应采取措施监控非法更改和操作问题，包括：正在停用日志记录工具；对所记录的消息类型进行更改；正在编辑或删除日志文件；日志文件介质即将填满，或者无法记录事件，或者重写。只有系统管理员可以查看日志信息4.14.4管理员和操作员日志系统管理员和系统操作员的活动应记入日志。日志要包括：事件（成功的或失败的）发生的时间；关于事件（例如处理的文件）或故障（发生的差错和采取的纠正措施）的信息；事件涉及的用户帐号、系统管理员或业务操作员；事件涉及的过程。系统操作员和操作员日志须定期审核。4.14.5故障日志故障日志记录包含以下内容：故障/错误发生和恢复的日期和时间；故障/错误报告/探测和处理情况；故障等级；联系的技术支持。技术管理中心要负责审核故障日志，确保错误恢复并且无任何安全问题。如果故障仍留有安全问题，应当通知技术管理中心总监。技术管理中心总监应与有关方评审事故并落实为防止再发生错误所采取的纠正措施。4.14.6时钟同步所有相关信息处理设施的时钟应使用精确时间源进行同步。使用WIN时钟同步功能。对于重要的应用系统，为防止系统时间与标准时间源发生重大偏移，应定期校验和较准该重大变化。正确设置计算机时钟对确保审核日志的准确性是重要的，审核日志可用于法律调查，作为法律证据。不准确的审核日志可能妨碍调查，并损害这种证据的可信性。本公司根据业务要求时间的误差在5分钟以内，不会对业务造成影响。

远