GBT22080：2016信息安全管理体系一整套程序文件

2023年05月20日发布2023年05月20日实施XXXXXX技术服务有限公司受控状态：受控修改记录页：序号修改原因修改内容版本日期修改者审核者 4二、文件管理程序 20五、管理评审程序 25七、人力资源管理程序 27八、信息安全事件管理程序 九、法律法规管理程序 十一、监视和测量管理程序 43十二、用户访问管理程序 47十三、物理访问管理程序 50十四、恶意软件管理程序 十五、重要信息备份管理程序 57十六、系统获取、开发与维护管理程序 十七、第三方服务管理程序 十八、事故、事件、薄弱点与故障管理程序 十九、信息安全奖惩管理程序 根据国家标准GB/T20984—2007《信本程序适用于本公司信息资产的风险评估和风险控制。2.职责(1)综合部负责制定信息资产评估准则，确定风险评估方法，经总经理批准后实施。(3)综合部负责对各部门风险评估过程及结果进行评审，并总结形成风险评估报告，由本公司总经理对风险评估报告进行审批。(4)综合部负责监督风险处理计划的实施。3.1风险要素关系未被满足降低第5页共72页(1)业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；(2)资产是有价值的，公司的业务战略对资产的依赖程度越高，资产价值就越大；(3)风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成为安全事件；(4)资产的脆弱性可能暴露资产的价值，资产具有的脆弱性越多则风险越大；(5)脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产；(6)风险的存在及对风险的认识导出安全需求；(7)安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本；(8)安全措施可抵御威胁，降低风险；(9)残余风险有些是安全措施不当或无效，需要加强才可控制的风险；而有些则是在综合考虑了安全成本与效益后不去控制的风险；(10)残余风险应受到密切监视，它可能会在将来诱发新的安全事件。3.2风险分析原理风险分析中涉及资产、威胁、脆弱性三个基本要素。风险分析的主要内容为：(1)对资产进行识别，并对资产的价值进行赋值；(2)对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值；(3)对脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；(4)根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性；(5)根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失；(6)根据安全事件发生的可能性以及安全事件出现后的损失，计算安全事件第6页共72页一旦发生对组织的影响，即风险值。3.3实施流程评估过程文档风险分析评估过程文档否是否接受残余风险评估过程文档是风险评估文档记录是风险评估实施流程的详细说明如下：3.4风险评估准备风险评估准备是整个风险评估过程有效性的保证。具体内容包括：(1)确定风险评估的目标：根据满足本公司业务持续发展在安全方面的需要、法律法规的规定等内容，识别现有信息系统及管理上的不足，以及可能造成的风险大小。(2)确定风险评估的范围：包括本公司全部的信息及与信息处理相关的各类资产、管理机构，或某个独立的信息系统、关键业务流程、与客户知识产权相关的系统或部门等。(3)确定评估管理与实施团队：由综合部、相关部门相关业务骨干人员组成风险评估小组。(4)进行系统调研：是确定被评估对象的过程，风险评估小组应进行充分的系统调研，为风险评估依据和方法的选择、评估内容的实施奠定基础。第7页共72页(5)确定评估依据和方法：根据系统调研结果，确定评估依据和评估方法，评估依据包括(但不仅限于):现有国际、国家、行业的标准，系统安全保护等级要求，系统本身的实时性或性能要求等。根据评估依据来选择具体的风险计算方法，使之能够与本公司环境和安全要求相适应。(6)制定风险评估方案：目的是为后面的风险评估实施活动提供一个总体计划，用于指导实施方开展后续工作。包括：团队组织、工作计划、时间进度安排等内容。(7)获得支持：在形成完整的风险评估实施方案后，经总经理批准，对相关人员进行传达，并进行必要的培训，以明确有关人员在风险评估中的任务。3.5资产识别(1)资产分类保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量，而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值，而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。为此，首先要对本公司的资产进行识别。根据资产的表现形式，将资产分为数据、软件、硬件、服务、人员等类型，如下表1-1所列：示例数据系统软件：操作系统、数据库管理系统、语句包、开发系统等网络设备：路由器、网关、交换机等保障设备：UPS、变电设备、空调、保险柜、文件安全设备：防火墙、入侵检测系统、身份鉴别等网络服务：各种网络设备、设施提供的网络连接服务务示例人员掌握重要信息和核心业务的人员，如主机维护主管、网络维护主管及应用项目总经理等其它企业形象、客户关系(2)资产赋值1)保密性赋值根据资产在保密性上的不同要求，将其分为五个不同的等级，如下表1-2所表1-2资产保密性赋值表赋定义5包含组织最重要的秘密，关系未来发展的前途命运，对组织根本响，如果泄露会造成灾难性的损害4高包含组织的重要秘密，其泄露会使组织的安全和3中等组织的一般性秘密，其泄露会使组织的安全和利益受到损害2低仅能在组织内部或在组织某一部门内部公开的信息，向外扩散有可能1很低2)完整性赋值根据资产在完整性上的不同要求，将其分为五个不同的等级，如下表1-3所表1-3资产完整性赋值表定义5完整性价值非常关键，未经授权的修改或破坏会对组织造成响，对业务冲击重大，并可能造成严重的业务中断，难以弥补4高完整性价值较高，未经授权的修改或破坏会对组织造成重大影响，对业务冲击严3中等完整性价值中等，未经授权的修改或破坏会对组织造成影响，2低完整性价值较低，未经授权的修改或破坏会对组织造成轻微影响，对业务冲击轻1很低完整性价值非常低，未经授权的修改或破坏对组织造成3)可用性赋值根据资产在可用性上的不同要求，将其分为五个不同的等级，如下表1-4所表1-4资产可用性赋值表定义5可用性价值非常高，合法使用者对信息及信息系统的可用度达到年4高可用性价值较高，合法使用者对信息及信息系统的可用度达到每3中等可用性价值中等，合法使用者对信息及信息系统的可用度在正常工作时间达到70%以第9页共72页2低可用性价值较低，合法使用者对信息及信息系统的可用度在正常工作时间达到25%以1很低可用性价值可以忽略，合法使用者对信息及信息系统的可用(3)资产重要性等级资产价值依据资产在保密性、完整性和可用性上的赋值等级相加得出。根据资产价值将资产划分为五级，如下表1-5所列：资产价54高3中等比较重要，其安全属性破坏后可能对组织造成中等程度的损失2低1很低不重要，其安全属性破坏后对组织造成导很进行风险评估。如单项赋值为5即为重要信息资产。3.6威胁识别(1)威胁分类威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。造成威胁的因素可分为人为因素和环境因素。根据威胁的动机，人为因素又可分为恶意和非恶意两种。环境因素包括自然界不可抗的因素和其它物理因素。威胁作用形式可以是对信息系统直接或间接的攻击，在保密性、完整性和可用性等方面造成损害；也可能是偶发的、或蓄意的事件。表1-6威胁来源列表断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震、意外事故等环境危害或自然灾害，以及软件、硬件、数据人员不满的或有预谋的内部人员对信息系统进行恶意破坏；采用外部人员利用信息系统的脆弱性，对网络或系统的以获取利益或炫耀能力非恶意人员内部人员由于缺乏责任心，或者由于不关心或不专注，或者没有遵循规章制度和操作流程而导致故障或信息损坏；内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致信息系统故障或被攻击针对上表的威胁来源，根据其表现形式将威胁分类，如下表1-7所列：第10页共72页响的设备硬件故障、通讯链路中断、系统本身或软件缺陷等问题设备硬件故障、传输设备故障、存储故障、数据库软件故障、开发环境故障等物理环境影响对信息系统正常运行造成影响的物理环境问题和自然灾害断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地无作为或操作失误作，或无意执行了错误的操作维护错误、操作失误等管理不到位安全管理无法落实或不到位，行管理制度和策略不完善、管理规程缺失、职责不明确、监督控管机制不健故意在计算机系统上执行恶意病毒、特洛伊木马、蠕虫、陷门、间越权或滥用的权限访问了本来无权访问的资源，或者滥用自己的权限，非授权访问网络资源、非授权访问系统资源、滥用权限非正常修改系统配网络攻击利用工具和技术通过网络对信息系统进行攻击和入侵网络探测和信息采集、漏洞探测、嗅探(帐号、口令、权限等)、用户身份伪造和欺骗、用户或业务数据的窃取和破坏、系统运行的控制和破坏等通过物理的接触造成对软件、泄密内部信息泄露、外部信息泄露等非法修改信息，破坏信息的完整性使系统的安全性降低或信息不可用篡改网络配置信息、篡改系统配置信息、篡改安全配置信息、篡改用户身不承认收到的信息和所作的操作和交易原发抵赖、接收抵赖、第三方抵赖等(2)威胁赋值判断威胁出现的频率是威胁赋值的重要内容，在评估中，综合考虑以下三个方面，来判断各种威胁出现的频率：以往安全事件报告中出现过的威胁及其频率的统计；实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计；近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计，以及发布的威胁预警。定义5威胁出现的频率很高，在大多数情况下几乎不可4高威胁出现的频率高，在大多数情况下很有可能会发生或者可3中等威胁性中等，,在某种情况下可能会发生或被证实曾经发生过(每月、曾经发生过)2低威胁性较低，一般不太可能发生，也没有被证实发生过(每年)1很低威胁性非常低，威胁几乎不可能发生，仅可能在非常罕见和例外的情况)3.7脆弱性识别(1)脆弱性识别内容行，具体脆弱性识别内容如下表1-8所列：表1-8脆弱性识别内容表类型象识别内容类境从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别网络结构略、网络设备安全配置等方面进行识别系统软件从补丁安装、物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网方面进行识别应用系统从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别进行识别技术管理管理类组织管理面进行识别第12页共72页类型象识别内容人员管理动、劳动合同、岗位职责、备份机制等方面进行识别信息类数据文档从信息准确性、及时性、传播性、毁损、丢失等方面识别(二)脆弱性赋值定义5脆弱性非常高，如果被威胁利用，将对资产造成完全损害(90%以上)4高脆弱性高，如果被威胁利用，将对资产造成重大损害(70%)3中等脆弱性中等，如果被威胁利用，将对资产造成一般损害(30%)2低脆弱性较低，如果被威胁利用，将对资产造成1很低脆弱性非常低，如果被威胁利用，将对资产造成的损害可以3.8已有安全措施确认在识别脆弱性的同时，对已采取的安全措施的有效性进行确认，即是否真正地降低了系统的脆弱性，抵御了威胁。对有效的安全措施继续保持，而对确认为不适当的安全措施核实是否应被取消或对其进行修正，或用更合适的安全措施替代。安全措施可以分为预防性安全措施和保护性安全措施两种。安全措施的使用将减少系统技术或管理上的脆弱性，为风险处理计划的制定提供依据和参考。3.9风险评估实施(1)风险计算在完成了资产识别、威胁识别、脆弱性识别，以及已有安全措施确认后，将采用预定义价值矩阵法计算风险数值，具体如下表1-9所列：第13页共72页值12345脆弱性严重度工2345工2345工2345工2345工2345资产等级1工234523456345674567856789223456345674567856789678933456745678567896789789445678567896789789895567896789789899(2)风险结果判定为实现对风险的控制与管理，对风险评估的结果进行等级化处理。根据风险数值，将风险划分为五级，如下表1-10所列：5一旦发生将产生非常严重的经济或社会影响，如4高一旦发生将产生较大的经济或社会影响，在一定3中等一旦发生会造成一定的经济、社会或生产经营影响，但影响面和影响程度2低一旦发生造成的影响程度较低，一般仅限于组织1很低一旦发生造成的影响几乎不存在，通过简单的措施就能弥补对于评估为四级、五级的风险，责任部门应制订《风险处置计划》,将选择的风险处置方法及具体措施记入《信息资产风险评估表》,并向风险评估小组报告。风险控制措施可以是技术型的也可以是管理型的，选择风险控制措施应满足法律法规要求、合同方要求并考虑本公司成本要求。对于评估为四级、五级的可能需要采取接受风险处置的风险，责任部门必须提出残余风险申请，报告风险评估小组，并最终由总经理批准。评估为三级及以下的风险，直接视为可接受风险，进行登记管理。4.3风险控制处置的跟踪每年责任部门应跟踪风险处置的结果并进行风险评估，记入《信息资产风险评估表》,并向风险评估小组报告。对风险评估再次评定为四级、五级的信息资4.4可接受风险(1)满足法律法规或者合同方要求；(2)对本公司业务持续性影响较小；4.4.2可接受风险的水平(1)三级及以下风险为可接受风险；(2)在满足公司信息方针、法律法规要求、合同方要求的前提下，对被评4.4.3残余风险的申请与批准4.5风险评估结果的运用(1)信息安全的目标、管理方案、运行控制及监视测量的实施和运行；(3)保证信息资产安全的设备、设施的设定；(4)内外部的审核；(5)风险预防、控制管理规定的设定。4.6变更评估与周期性评审4.7风险评估结果、风险处置的文件管理(1)各部门根据《记录管理程序》要求，管理所属的风险评估结果、风险(2)风险评估小组对各部门报告的《信息资产风险评估表》进行汇总，形4.8当企业发生以下情况时需及时进行风险评估：(1)当发生重大信息安全事故时；(2)当信息网络系统发生重大更改时；为对与信息安全管理体系相关的文件实施有效3.2管理者代表第16页共72页负责《信息安全管理手册》的审核、程序文件的批准工作。3.3综合部3.4相关职能部门负责主管业务范围内体系文件的编制、修订等工作。企业文件：(1)信息安全管理手册；(2)信息安全适用性声明等；(4)操作规程等。外来文件：(1)通信系统发布的相关文件(2)发布的相关文件(3)相关联系方的文件4.1.2信息安全管理体系文件的标识(2)企业代号一般采用企业的英文或拼音缩写来表示，如果企业有固定的英第17页共72页文标志应优先采用；(3)文件版本号用该文件初次形成时的年代来表示；(4)记录文件顺序号采用递增的编号方式，如01-02-03;(5)文件应按《信息资产密级管理规定》的规定分为“企业秘密、内部公开、外部公开”三类。“企业秘密、内部公开”的文件为受控文件。标识受控文件采用以下方法：加盖“受控”章。4.1.3外来文件的标识4.2文件的批准(3)其他文件由管理者代表批准后实施。4.3文件的发放公示。作废后，有相关负责人/部门(一般为综合部负责人)负责回收。4.4文件的更改单》,说明更改原因，由文件资料的原审批人审批。原审批人不在原职时，应由XXXX技术服务有限公司版本：A/0(4)文件修订换版时可不填写《文件更改通知单》,但应经该文件的原批准(5)作废的文件由综合部负责人填写《文件销毁记录》,经原批准人批准后3.2各相关部门第19页共72页4.程序(1)记录的范围，包括所有与公司信息安全管理体系有关的记录及相关方(2)综合部人员根据程序文件的要求及各部门具体实施的需要，适当考虑(3)记录的格式由使用部门设计，综合部人员统一审核，对管理内容相同(4)记录的密级分类按《信息资产密级管理规定》中关于资产保密级别的(5)记录的填写必须实事求是，字迹清晰，按规定的份数及时传递，如发(8)因工作需要借阅记录的，借阅部门应填写《记录借阅登记表》由记录(9)到期作废的记录，由持有部门填写《记录销毁记录》,综合部负责人(10)采用电子媒体形式的记录，应做好备份，重要记录要作双重备份，使录的时间精确到“日”,确保记录日期与实际发生日期一致性。电子记录，要求记录的时间精确到“分”,负责记录日志，备份等系统，与其他主机时间同步。主机时钟同步，采用同一网络时间服务器，如等。无法XXXX技术服务有限公司版本：A/0《风险评估管理程序》3.2管理者代表3.3内审小组第21页共72页负责信息安全管理体系内部审核的管理工作。(1)内部审核每年进行一次，由内审小组制定《年度内部审核计划》,经本(2)每次审核前审核组长应制定《内部审核计划》,经本公司总经理批准，提前1-3天通知被审核部门，被审核部门到时应选派有关人员配合审核。4.2内部审核员(1)内部审核员必须是熟悉本公司生产经营情况，参加内部审核员培训并(2)内部审核员应来自于不同的部门，审核人员应与被审活动无直接责任，(3)综合部人员选择符合内部审核条件的人员填写《内部审核员评定表》,4.3内部审核的实施(1)内部审核员应按《内部审核计划》规定实施审核，各有关部门应积极(2)对审核中发现的不符合项，由审核员开出《不符合项报告》交被审核4.4纠正措施与跟踪审核(1)所有不符合项应由不符合项的责任部门负责按以下要求制定纠正措施①检查本部门其他方面和其他各部门是否存在类似情况；②对所有存在的不符合的问题按有关规定改正过来；原因”栏内，调查人要签字，并写明日期；入《不符合项报告》的“纠正措施”栏内，经部门领导批准，并写明日期；XXXX技术服务有限公司版本：A/0(2)内审小组安排内审员在规定期限进行跟踪审核，对纠正措施的实施及4.5审核报告(1)内部审核结束后，审核组长应起草《内部审核报告》,报总经理审核、(2)内部审核的结果应作为管理评审输入的一部分。(3)综合部人员应妥善保存内审记录。信息安全管理体系4.作业流程第23页共72页权责部门单管理评审计划管理者代表安全管理委员会批准·管理者代表通知各部门主管管理评审准管理者代表资料，管理者代表将资料统一汇总管理评审输入资料管理者代表门管理者代表相关部门 决议事项执管理者代表相关部门纠正和预防措效果确认N·执行：相关部门文件管理程序 资料处综合部5.作业内容(1)管理评审委员会由信息安全管理委员会、管理者代表及各部门主管共同组成。(2)管理评审委员会依评审范围对信息安全管理体系审查，并依《纠正和纠正措施管理程序》执行改善事项。(3)管理者代表通过管理评审的进行，促使本公司全体员工确实遵守信息安全管理手册中相关作业程序的规定。并依据纠正措施整理相关绩效报告，呈报XXXX技术服务有限公司版本：A/0信息安全管理委员会。(4)评审频率：①在体系导入初期的文件试行阶段，应进行临时性的管理评审会议，以加强文件审查及信息安全管理体系审核成效核对与改善追踪。②在体系正式实施运作后，配合《内审管理程序》的实施，每年至少召开一次管理评审会议，两次间隔时间不超过12个月。③如有重大信息安全事故或公司经营发生重大变革，由信息安全管理委员会核准召开临时性的管理评审会议。●体系文件重大修改或补充时；●发生重大信息安全事故或重要客户多次投诉、退货时。(5)评审事项①信息安全体系运作时，信息安全文件、方针、目标的适合性、有效性及充分性的达成状况的检讨；②本公司内部、外部信息安全审核成效核对和问题点改善追踪；③重大信息安全异常事件的检讨及可能影响到信息安全管理体系的更改；④客户反馈事项；⑤上次管理评审后的问题点改善成效确认；⑥过程业绩和产品符合性；⑦预防和纠正措施的状态；⑧以往风险评估没有充分强调的脆弱性或威胁；⑨信息安全有效性量的结果；⑩改进的建议。(6)决议事项①对信息安全管理体系及其过程有效性的改进的决策和措施；②与客户要求有关的产品的改进的决策和措施；③资源要求。④更新风险评估和风险处理计划；第25页共72页⑤必要时，修订影响信息安全的程序和控制措施，以反映可能影响ISMS的内外事件，包括以下方面的变化：●业务要求；●安全要求；●影响现有业务要求的业务过程；●法律法规要求；●合同责任；●风险等级和(或)风险接受准则。⑥改进测量控制措施有效性的方式。通过消除信息安全事件或潜在信息安全隐患，将信息安全事件、事故降低到最低程度，确保信息安全体系的有效运行。本程序适用于信息安全体系运行全过程。(1)综合部是纠正和预防措施的主控部门，负责组织实施、验证纠正和预防措施。(1)各责任部门负责制定和实施纠正和预防措施。4.管理程序(1)纠正措施的制订和实施①综合部负责收集以下的有关信息，进行调查分析，确定是否采取纠正措施：第26页共72页●信息安全体系内审及第三方验证的不符合项报告和管理评审报告以及日常体系运行监督检查的结果；●顾客意见及处理情况；●实施监督和测量中发现的问题；●各部门执行本公司经营生产计划中发现的问题。②网络管理员根据上述信息，对存在的不合格(包括顾客的投诉和意见)进行评价，确定需要采取纠正措施的对象，填写《不符合项报告》、《纠正预防措施通知单》等，下发责任部门。③责任部门接到《不符合项报告》、《纠正预防措施通知单》后，应分析发生不合格的原因，针对性地制定纠正措施，3天内反馈管理者代表，由责任部门负责人和管理者代表部门负责人批准后进行实施，重大纠正措施由信息安全工作小组进行审批。(2)预防措施的制订和实施①综合部负责组织有关部门，对本程序4.1.1条款规定的信息进行分析，体系运行过程中存在的潜在不合格，调查分析原因，填写《信息安全薄弱点报告》。②根据调查分析的结果和需要进行改进的项目和目标，由综合部确定应采取预防措施的对象，填写《纠正预防措施通知单》,下发责任部门。③责任部门接到“纠正和预防措施通知单”后，应分析潜在不合格的原因，针对性地制定预防措施，3天内反馈管理者代表，由责任部门负责人和管理者代表部门负责人批准后进行实施，重大纠正措施由信息安全工作小组进行审批。(3)纠正和预防措施的验证①各部门严格按照制订的纠正和预防措施进行实施，消除不合格或潜在不合格的原因。②综合部负责监督检查纠正和预防措施的实施，验证纠正措施的完成情况，并对实施纠正和预防措施的有效性进行评审，对效果不明显或无效时，应重新进行调查分析，采取新的纠正和预防措施。③当因实施纠正预防措施需要对有关的信息安全体系文件进行修改时，由综合部代表负责依据《文件管理程序》的规定，进行文件的修改。(4)各部门对实施纠正和预防措施的结果，要予以记录，执行《记录管理程序》。第27页共72页《文件管理程序》《记录管理程序》为了保证对本公司与信息安全有关的人员进行招聘、培训、入离职等方面进行有效管理，特制定本程序。适用于与信息安全管理体系有关的人员的招聘、培训、入离职等活动的管理。负责招聘制度制定、招聘流程确定，本公司人员招聘、背调、档案管理、员工入离职等人力资源方面的管理工作；负责本公司部门培训工作。3.2各部门根据本部门业务发展规划，整理招聘需求；配合综合部对本部门的人员进行信息安全方面的培训。XXXX技术服务有限公司版本：A/04.1.2招聘程序在一般情况下，参加面试的应聘者须填写《应聘登记表》,也可用符合要求的能力素质(包括技术能力)进行评估记录。XXXX技术服务有限公司版本：A/0要包括其学历、工作经历的真实性、能力水平和工作表现、个人品质、劳动用工合法性等方面的情况。综合部负责本公司员工背调资料的保管。4.1.3聘用程序(1)录用报批流程根据复试结果确定聘用的人选由综合部上报公司领导审批。根据审批结果与聘用人员联系，确定报到时间等相关事宜。(2)报到手续新员工报到当日，先到综合部办理入职，综合部做好接待服务工作。报到时需提交下列资料：毕业证书、社保卡、身份证复印件、离职证明原件等，填写员工基本信息表，签订劳动合同和保密协议、个人声明，开通邮箱和钉钉打卡等。新员工在本公司的入职接待服务工作由综合部负责。(3)试用期对初次聘用的新员工实行试用期。试用期限按国家有关规定执行。试用期自报到之日起计算。4.1.4关键岗位聘用管理(1)各部门应根据公司业务要求，考虑技术性要求、保密性要求、业务依赖程度、可替代性等因素，明确本部门的关键工作岗位及任职要求，由综合部审核，报本公司总经理批准。(2)对于关键岗位人员的聘用，一般采用内部招聘的方式进行(应聘人员在本单位工作不少于半年)。(3)对于调整/提拔到关键岗位的员工，在任职前应根据《员工岗位职责表》的任职要求，由综合部负责签署《员工保密协议书》,《员工保密协议书》需要每年评审，以便及时修改《员工保密协议书》中的条款，使其符合公司现状。4.2聘用中(1)综合部是公司人员的管理部门，承担管理职责，保管员工资料。(2)从事被分配信息安全管理体系规定职责的所有人员均应有能力胜任其工(3)综合部在公司岗位职责文件中确定从事信息安全管理体系工作的人员所必要的能力。(4)通过培训确保员工意识到所从事活动的相关性和重要性，以及如何为实XXXX技术服务有限公司版本：A/04.3培训综合部负责制定本公司的《员工年度培训计划》,报本公司总经理审批。4.3.2培训形式包括：课程或阶段课程(包括研讨会、讲座等形式)及一些行业内技术大会。4.3.3培训种类包括：(1)新员工培训(包括信息安全意识、职业道德培训);(3)信息安全教育培训；(5)管理层培训(管理培训和领导力培训)。4.4员工调岗/离职管理②员工所在部门根据变化调整，及时通知公司综合部终止其访问权限。4.4.2员工本人辞职(1)员工本人撰写辞职申请(需本人亲笔签名)并应按规定提前30天递交部门负责人。签有保密协议并在协议期内的员工，应提前提交辞职申请，以便脱离所从事的商业及技术秘密。(2)部门负责人应立即进行离职访谈，通知公司网管终止其访问权限，并将辞职申请报综合部。(3)综合部报总经理审批，审批通过后，通知员工办理相关离职手续。4.4.3调岗(1)部门内的岗位变动，由调岗人员填写《员工岗位变动表》提交给综合部，关键岗位人员岗位发生变动时，由所在部门通知公司综合部终止或授权其访问权(2)部门间的岗位变动，由调岗人员填写《员工岗位变动表》,相关部门领导签字完毕，提交综合部并及时通知公司网管终止其访问权限。4.4.4离职/调岗手续(1)如无特殊情况，离职/调岗手续须由员工本人亲自办理。(2)离职/调岗手续应先办理工作交接，经部门负责人确认工作交接完成以后方可办理后续项目。(3)离职/调岗手续包括：各种保密文件回收、身份证件退还、原所在办公室门锁和办公桌钥匙退还、固定资产(软硬件设备)退还、财务清款、法律事务清查、工作交接、访问权限的收回确认。(4)关键岗位人员离职/调岗前应承诺保密义务，必要时应签署竞业限制协(5)离职员工办理完上述手续后，将《员工离职交接单》交综合部审核，审核无误后由综合部办理退工(解除合同证明)、转移社保关系、退档等手续。4.4.5绩效考核管理办法详见《绩效考核管理办法》。XXXX技术服务有限公司版本：A/01.范围本标准规定了公司信息安全的事件管理，包括事故分类、薄弱点与故障分类、报告的途径、方法与时限要求、响应、事故的调查处理、防止再发生的措施。2.适用范围本标准适用于公司体系覆盖各部门。3.术语和定义《信息技术-安全技术-信息安全管理体系要求》规定的术语适用于本标准。4.职责和权限公司网络与信息安全工作遵守分级管理、逐级负责制度。各部门做好本部门的信息安全工作，共同构建信息安全联合防护体系。本公司总经理是信息安全最高决策人，负责网络与信息安全重大事项的决策和协调，并对信息安全工作负责。XXXX技术服务有限公司版本：A/0公司各部门设立专(兼)职信息安全员岗位。 (兼)职信息安全员应及时识别安全薄弱点及可能的安全威胁，一旦发现应及时5.2技术管理建设(1)通过入侵的方式进入到未被授权访问的网络中，而导致数据信息泄漏；(2)发现有人在不断强行尝试登录系统；(3)在系统日志中发现非法登录者；6.1.2信息泄密XXXX技术服务有限公司版本：A/06.1.3拒绝服务(1)正常用户不能正常访问服务器提供的相关服务；(2)有不明的进程运行并占用大量的CPU处理时间；6.1.4病毒攻击6.1.5帐号安全6.1.6恶意入侵(1)管理员收到来自其它站点系统管理员的警告信，指出系统可能被威胁；(2)文件的访问权限被修改；(3)因安全漏洞导致的系统问题；6.1.7其它的入侵行为。6.2安全事件级别6.2.2信息安全事故6.3薄弱点/事件/事故报告6.4事件调查处理与纠正措施薄弱点发现者填写《信息安全事件报告》,提交综合部，确定是否采用预防第35页共72页门，对事故的原因、类型、损失、责任进行鉴定，对于违反公司信息方针、程序及安全规章所造成的信息安全事故责任者予以通报。事件责任部门应按《纠正与纠正措施管理程序》制定纠正措施并实施。6.5应急与防范(1)应建立健全安全事件的防范体系，定期进行事件防范演习，针对薄弱环节不断改进完善。(2)应制定事件发生时的应急预案，以快速、合理、有效地处理事件，减少影响范围。(3)建立和规范信息安全事件的发现、分析、通报、预警及处置的工作机制，实现统一行动，联合防护，确保一旦发生信息安全事件时，能够及时有效处置，以减少损失、缩小影响范围。(4)信息安全事件处理总结与分析①信息安全事件处理完毕后，系统恢复正常运行后，生产部要对整个事故进行分析研究，总结经验教训，并形成安全事件处理报告。②报告中应详细记录事件的起因、处理过程、建议改进的安全方案，造成的直接损失等。③对于安全事故、事件的处理报告首先应上报总经理，由总经理审核并反馈相关意见，最后报告由综合部归档备案。XXXX技术服务有限公司版本：A/0No.调查与诊断解决与恢复事故?No.安全信息通报.为确保组织信息安全活动符合信息安全管理法律法规的要求，确保所应用的信息安全管理法律法规和其他要求的适用性，特制定本程序。第37页共72页3.2各部门a)国际性信息安全管理法律、法规和其他要求；b)国家信息安全管理法律法规及标准规范；c)地方和行业性信息安全管理规章及标准规范；d)客户与相关方的信息安全要求。4.2法律、法规和其他要求的获取、识别法务部从政府主管部门或相关权威部门获取相关的国家及地方最新信息安合本组织的法律法规及其他要求，编制《法律法规清单》,识别工作一般一年不4.3法律、法规和其他要求的文本管理法务部获取信息安全管理法律、法规和其他要求文本后，应补充到《法律法XXXX技术服务有限公司版本：A/0法务部获取的信息安全法律法规和其他要求的文本或信息应负责汇总并向4.4法律、法规和其他要求的符合性评估别其适用的条款，形成《法律法规清单》,并进行合规性评审。4.5法律、法规和其他要求的更新管理补充《法律法规清单》,及时下载最新版本。合规性评审，形成最新的《法律法规清单》,必要时更新实施控制措施。4.6滥用信息设施的处罚XXXX技术服务有限公司版本：A/0第40页共72页制业务持续性战略计划；制订业务持续性管理实施计划并实施；对业务持续性管理计划进行定期测试和评审等。本程序适应于本公司软件研发、销售、运维、售后等主要业务的持续性管理。2.职责(1)信息安全管理委员会负责本公司业务中断恢复的总指挥与总协调。(2)运维部网络管理员负责编制、修订本公司业务持续性管理程序，并协调、推进本公司业务持续性管理活动。(3)运维部网络管理员负责电话/网络通讯与办公系统的故障处理及与之相关的作业中断的恢复。(4)运维部网络管理员负责生产设备及软件系统的故障处理及与之相关的作业中断的恢复。(5)运维部部网络管理员负责网络系统的故障处理及与之相关的作业中断的恢复。(6)运维部网络管理员负责本部门服务器网络系统、PC终端网络系统的故障处理及与之相关的作业中断的恢复。(7)本公司各网络管理员部门在发生重大信息安全事件或灾难时，负责保3.程序内容本公司业务持续性管理过程规定如下：第41页共72页必要时，对必要时，对业务连续性定期业务连续性管理业务连续性管理业务连续性和影业务连续性与影编制业务连续性业务连续性管理3.2业务持续性和影响的分析(1)本公司在首次信息安全风险评估后进行业务持续性和影响的分析。(2)业务持续性和影响的分析由技术支持部组织，其他各部门及管理者代表指定的相关部门分别开展以下活动：①对本部门的信息安全进行风险评估；灾等；业务所需费用等；④编写《业务持续性和影响分析报告》(格式不限)。(3)《业务持续性和影响分析报告》应包括以下内容：①识别关键业务的管理过程；②可能引起本公司业务活动中断的主要事件；③主要事件对本部门管理的信息系统的影响；④信息系统故障或中断对本公司业务活动的影响；⑤关于系统恢复或替换的费用考虑。3.3编制《业务持续性管理实施计划》由风险评估小组制订组织级《业务持续性管理实施指南》,并提交信息安全XXXX技术服务有限公司版本：A/0工作小组讨论，经批准后予以执行。(1)根据组织级《业务持续性管理实施指南》,各相关部门分别编制本部门管理的信息系统的《业务持续性管理实施计划》,并由信息安全工作小组批准，以便在这些系统发生中断时实施。(2)部门《业务持续性管理实施计划》的编写分工为：①运维部：电话/网络通讯与办公系统，服务器网络系统②综合部：人力资源、办公环境(3)《业务持续性管理实施计划》应包括以下方面的内容：①计划实施所涉及的部门/人员的职责、权限及接口关系的描述；②系统中断的速报程序及要求；③系统中断的恢复程序及方法；④系统中断的恢复时限要求；⑤保持本公司业务运作连续应采取的应急措施与备用措施；⑥必要的技术支持及资源要求。3.4《业务持续性管理实施计划》的实施要求上述重要系统一旦受到重大影响或中断后，有关部门应立即执行《业务持续性管理实施计划》,对系统采取应急措施、进行恢复，确保本公司生产运营的持续运行。同时，应做好事故处理记录，记录内容应包括：(1)对系统中断原因的调查分析；(2)系统中断造成损失的统计；(3)采取的纠正措施；(4)应吸取经验教训及预防措施等。3.5业务持续性计划的测试与评审每年下半年由技术支持部网络管理员组织有关部门对《业务持续性管理实施计划》进行测试，以判断计划的可行性和有效性。测试可采用以下方法进行：(1)对已发生过的业务中断及恢复措施实例进行讨论；(2)组织有关部门进行业务中断及恢复的模拟演练；(3)采用技术手段对系统运行及中断恢复的相关参数进行测量；(4)由供应商提供测试服务，确保所提供的外部服务和产品符合合同要求。(5)测试完成后填写《业务持续性管理计划评测报告》4.相关文件《信息安全管理手册》《风险评估管理程序》通过对各项控制措施满足控制目标的实现程度及法律、法规符合性的监视、测量与分析，为策划、实施、持续改进信息安全管理体系提供依据。XXXX技术服务有限公司版本：A/0(1)负责掌握信息安全管理体系的总体运行情况，并向最高管理者汇报，4.1.2负责每半年组织对本本公司职能部门目4.2法务部(1)负责本程序的编制、修订和监督实施。(2)负责每半年对各职能业务部门进行监视和测量，对各职能业务部门的监视和测量执行情况进行监督、检查和指导，为纠正和预防提供信息。(3)负责收集的客户信息安全方面信息，并进行汇总、分析和传递。(4)法务部负责获取、识别、更新适用于本公司信息安全管理体系运行的所有法律法规，发布《法律法规清单》,对本程序的实施情况进行组织、监督和(5)法务部根据法律法规、客户合同以及相关信息安全保密要求组织对已(1)根据本公司业务范围内信息资产的控制范围，确定监视和测量范围。(2)测量的范围一般包括：性控制措施；事故、事件和其它不良的绩效；XXXX技术服务有限公司版本：A/0④客户信息安全保密的满意程度。(3)监视和测量的依据是法律法规、技术标准、客户合同、适用性声明、管理手册、程序文件等。5.2监视和测量的要求应按照国家及地方技术规范规定和客户要求的检验和试验项目、标准、方法进行监视和测量。必要时，本公司各部门指定专人编写作业文件予以规定，规定的严格程度应与问题的复杂程度和风险相适应。5.3监视和测量的实施(1)综合部根据各部门确立的监视和测量范围，确定监视和测量的依据、项目、关键特性、频次、使用的仪器设备等。(2)监视和测量可选择的方法①对控制过程进行日常检查；②信息安全保密措施状况的抽查；③设备装置的检查；④作业环境的监视；⑤记录检查。(3)控制过程的监视和测量①综合部负责组织控制措施实施过程的监视和测量。②信息处理设备出/入库前，必须按照采购计划对物资设备的数量、规格、信息安全保密要求进行验证，审核产品证明文件的符合性。验证方法应符《信息系统设备管理规定》,并保留相应的原始记录。③使用前必须经过复验、检验的物资，按相应的标准、规范进行复验。④未经监视和测量的信息处理硬件软件不得投入使用，对验证不合格的，按照《事故、事件、薄弱点与故障管理程序》执行。⑤因工作急需，未经检验和试验放行(硬件、软件),必须具备放行后一旦发现问题能够追回的条件。⑥紧急放行后，应及时进行检验和试验，发现问题及时追回或处理。⑦为控制措施目标所需的主动监视和测量，以巡检、设施监控、统计分析等适用的方法进行。(4)本公司不可接受风险处置计划关键特性和绩效的监视和测量，由综合XXXX技术服务有限公司版本：A/0部按照计划策划的时间间隔，对特性的效果与IT专家协商测试方法，执行本程序。对不易测评绩效的关键特性，采用观察现场表现的监视和测量方式。有必要时，可委托有资格的外部检测机构实施。对事态、事件和其他不良绩效的测量，由综合部组织，事发部门协同，利用统计报告并结合《事态、事件、薄弱点与故障管理程序》进行分析和改进。(5)管理体系运行过程的监视和测量①管理体系运行要遵守法律、法规的要求。综合部要对本公司各部门适用的法律、法规、标准、规范的获取和识别，进行监视和测量。②管理体系运行过程的检查职能业务部门要每半年对管理管理体系的目标及管理体系运行情况进行监视和测量。③以上的监视和测量由检查部门填写《信息安全法律法规符合性评估报告》。(6)客户信息安全满意程度的监视和测量客户信息安全满意程度信息的收集与传递①客户信息安全满意程度信息包括满意信息和不满意信息，客户满意程度信息的收集采取书面形式。②客服人员与客户进行沟通，收集来自客户的对信息安全保密满意程度信息，并在内部进行传递，作为方针、目标、管理评审的依据。③对客户投诉的问题和回访中发现的问题，由综合部指定问题项目负责人组织有关人员对问题进行复查，与客户共同分析原因，按照《事态、事件薄弱点与故障管理程序》、《纠正预防措施管理程序》及时做出处理。(7)证据收集，当本公司与其他本公司或某个人(包括内部与外部人员)发生法律纠纷时，涉及法律纠纷的部门应立即书面报告总经理，由综合部、法律顾问会同该部门进行证据收集，准备实施法律诉讼；证据收集应符合以下要求：①所呈证据应符合国家有关的证据法规；②符合用于提供可接受证据的任何已发布的标准或法规；③对已收集到的证据进行安全的保管，防止未经授权的更改或破坏；④收集到的证据符合法庭所要求的形式。(8)控制目标的符合性主要通过实施定期评估的方法来实现，频次与法律法规符合性评价相同，具体方法如下：①历史统计模式：虽然完成了某些控制措施，但看不到控制措施被采用的证据，而只能看到现在管理的状态，经过统计现在状态的绩效与原有绩效的比较，XXXX技术服务有限公司版本：A/0可以推导出是否达到了控制目标的要求和是否按照要求才去了措施。②文本审阅模式：文本审阅法是通过翻阅控制措施要求的相关的文件、档案来了解控制措施过程，获得书证。③实地观察模式：通过实地查看某些控制措施的实施过程，核对策划的实施程序，判断完成现有目标的绩效，获得过程物证。总之，要用“嘴”问，要用耳“听”,要用“脑”判断与分析。得出一个客观的评价结果，记录在《信息安全法律法规符合性评估报告》。5.4监视和测量的结果综合部每年要针对本公司与信息安全保密法律法规遵循情况编写全本公司法律法规符合性评估报告，对于不符合的情况，责任部门应实施纠正措施并实施。6.法律法规符合性的监视测量执行《法律法规管理程序》1.适用适用于本公司各种应用系统涉及到的逻辑访问的控制。XXXX技术服务有限公司版本：A/0为对本公司各种应用系统的用户访问权限(包括特权用户及第三方用户)实施有效控制，杜绝非法访问，确保系统和信息的安全保密，特制定本程序。3.职责(1)综合部负责访问权限的分配、审批、实施以及技术管理。(2)综合部负责向各部门通知人事变动情况。4.程序4.1访问控制策略(1)本公司内部可公开的信息不作特别限定，允许所有用户访问。(2)本公司内部部分不公开信息，经运维部认可，访问授权实施部门实施后用户方可访问。(3)本公司限制使用无线网络，使用密码限制无线网络连接。(4)用户不得访问或尝试访问未经授权的网络、系统、文件和服务。4.2用户访问管理4.2.1权限申请(1)授权流程部门申请——综合部审批实施。所有用户，包括第三方人员均需要履行访问授权手续。申请部门根据日常管理工作的需要，确定需要访问的系统和访问权限，经过本部门负责人同意后，向运维部提交《用户授权申请表》,经运维部审核批准后实施。第三方和合同方人员的访问申请由负责接待的部门按照上述要求予以办理。第三方和合同方人员一般不允许成为特权用户。必要时，第三方、合同方人员需与访问接待部门签订《第三方服务保密协议》。(2)《用户授权申请表》应对以下内容予以明确：①权限申请人员②访问权限的级别和范围③申请理由④有效期4.2.2权限变更第49页共72页(1)对发生以下情况对其访问权应从系统中予以注销：①内部用户员工合同终止时；②内部用户因岗位调整不再需要此项访问服务时；③第三方、合同方访问合同终止时；④其它情况必须注销时。(2)由于用户变换岗位等原因造成访问权限变更时，用授权申请表》,按照本程序4.2.1的要求履行授权手续。(3)综合部、合同方应将人事变动情况及时通知各部门，访问授权实施部门管理员进行权限设置更改。4.2.3用户访问权的维护和评审(1)对于任何权限的改变(包括权限的创建、变更以及注销),运维部应进行记录，填写《用户授权申请表》包括：①权限开放/变更/注销时间；②权限内容；③开放权限的管理员(2)运维部每半年应对访问权限进行检查，发现不恰当的权限设置，应予以调整。(3)运维部每季度应对特权用户访问权限进行检查，发现过期的权限设置，应予以注销。(4)运维部应对访问权限的检查结果予以记录。4.2.4连接的控制(1)本公司专线和回拨调制解调器等与外部网络的连接设置口令。WEB服务器、邮件服务器的使用执行相应作业文件。(2)本公司网络管理员为了限制网络连接的不同身份与权限，通过设置网关来加以控制。4.2.5会话与联机时间的控制(1)各系统管理员在其管理的服务器处于不活动时，应利用锁屏清除屏幕，第50页共72页及时启用带有口令保护的自动屏保功能。为20分钟/次。4.3用户口令管理(1)运维部网络管理员，应按以下过程对被授权访问该系统的用户口令予以所有计算机用户在使用口令时应遵循以下原则：①保守口令的机密性，避免保留口令的字面记录，明文存储或明文网络传递。③口令最小长度8位，不要采用电话号码、生日等别人容易猜测或得到的口令，不要用连续的数字或字母群。户口令的变更会影响应用程序运行的情况，该用户的口令可以在适当的时机予⑤在第一次登录时，需要更换临时口令。⑥口令应妥善保存，不要共享个人用户口令。4.4访问记录管理需要保留系统访问的记录，包括系统日志和访问日志等。本程序适用于本公司员工及其他组织、人员(客户方、第三方)对本公司的物理访问控制。第51页共72页加强和规范本公司员工及来访本公司的相关人员的管理，确保客户、本公司内部信息安全和保密，特制定本程序。综合部负责确保本公司内部安全防范和保密性，有效、有序地规范管理本公司员工及来访本公司的相关人员，本公司其他相关部门也要按照各自职责负责加强和管理来访本部门的相关人员。本公司借用实习人员；●业务合作人员；●设备厂商技术人员；●施工安装单位作业人员；●货运接送或销售人员等；●合同方人员；●上级单位领导；●来本公司联系业务的人员；●来本公司参观、视察的贵宾或嘉宾；●体系外的其他人员。4.2安全区域分类区域标识尽量使用编号：序号防范措施序号防范措施1一级安全区1.研发办公区、机房2.领导办公室、财务室3.档案库房和档案作业区1.进出再登记，专人陪同(特别设2二级安全区1.人事、经营、1.专人负责。2.监督检查，群防群治3三级安全区1、接待区、会议室1.专人查询、登记4.3访问的授权访问时间在一周内一级安全区准综合部办理相关手续二级安全区负责人理相关手续三级安全区接待人员4.4门禁出入规定指纹：为了提升公司整体形象，规范员工管理工作，及维护公司秩序，公司的每位员工需刷指纹门禁进入，便于员工身份识别。4.4.1门禁管理(1)新员工门禁登记：新入职的员工需由管理者带去综合部进行指纹登记。(2)门禁权限定期审核：门禁权限综合部定期和各部门负责人进行审核，确认员工门禁权限的准确。(3)非本公司员工陪同人员须前台引领访客、供应商进入本公司，全程陪同，并登记《来访客人登记表》;滞留时间很短，且在固定时间，固定地点需要现场操作的供应商(例如花卉维护、饮用水供应等),需到行政部备案。第53页共72页4.5访问接待管理办法(1)参观级别根据客户重要程度，分为中心级来宾和部门级来宾。●中心级：①外部人员来访，由前台进行接待，填写《来访客人登记表》,并通知相应④访客进入本公司内部、会议室区需前台进行陪同；4.6员工出入、会客及接待管理区内(5)员工外出办公时，应到行政部登记《员工外出登记表》。4.7第三方访客、供应商接待管理(1)陪同人员须前台引领访客、供应商进入本公司，全程陪同；行政部备案(例如花卉维护、饮用水供应等)。安全培训由综合部负责，视情况实施相关安全保密培训教育。XXXX技术服务有限公司版本：A/0根据本公司相关规定，室内环境禁止拍照，如有特殊情况，需各部门提交书面申请，由主管负责人签字同意后方可进行。7.在安全区域工作的安全要求①模范地遵守国家法律、法规和本公司的规章制度；②坚守岗位，忠于职守，严守纪律，保守秘密；③不违章作业，不冒险作业，并劝阻他人不违章作业；⑤发现危及本公司安全的隐患，及时向本部门和信息安全保密办公室报告。1.适用适用于本公司各部门对恶意软件(包括软件的隐蔽通道)的控制管理工作。XXXX技术服务有限公司版本：A/0为防止各类恶意软件(包括软件的隐蔽通道)造成破坏，确保本公司的软件和信息的保密性、完整性与可用性。3.职责(1)运维部是全本公司恶意软件管理控制工作的主管部门，负责本公司防病毒软件的安装及病毒库的更新管理，为各部门信息处理设施的防范恶意软件提供技术性支持和隐蔽通道的扫描。(2)各部门具体负责其部门信息处理设施的病毒清杀及其它预防措施的实4.工作程序所谓恶意软件，是指编制或者在计算机程序中插入的破坏计算机功能、毁坏数据、窃取数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码，主要是指各类计算机病毒，如恶意代码和移动代码。(1)防范的措施，主要是安装防火墙、入侵检测系统、使用加密程序和安装杀病毒软件。在对外互联的网络间，运维部安装防火墙、入侵检测系统、使用加密程序，同时在服务器和客户端上安装杀病毒软件。各部门应根据运维部的安排，从指定的网络服务器上安装企业版防病毒软件；单独成网或存在单机的部门，应由本部门PC管理员或指定专人负责安装防病毒软件，并周期性(如每周)对病毒库进行升级。对于配置低、不适宜安装防病毒软件的微机，则不能接入局域网，进行病毒查杀和防范控制，并填写《信息系统日常巡检记录》。特殊情况，如某种新恶性病毒大规模爆发，运维部网络管理员应紧急通知本公司各部门立即进行病毒库更新升级，同时立即进行病毒扫描，并对病毒情况汇报行运维部负责人。各部门在使用部门以外的任何电子媒体前都应对其进行病毒扫描，对发现病毒的电子媒体应禁用，待病毒清除后方可使用，对于不能清除的病毒，应及时报告综合部处理。各部门用户应在计算机或其它电子信息处理设施的启动后检查是否已启动第56页共72页病毒实时监测系统。如未启动，应在进行其他操作前以便对电子邮件进行病毒检查。(一)安装反病毒软件；(二)对软件更改进行控制；(三)其他必要措施。(2)预防恶意软件的通用要求保护不受恶意软件攻击的基础是安全意识，适当的系统权限。所有IT用户应养成良好的防范恶意软件意识并遵守以下规①按照本程序规定的要求使用防病毒软件；②禁止使用来历不明的软件；④删除来历不明的电子邮件；⑤使用存储设备前应进行病毒检查。实施严密的安全策略，确保本公司网络的安全。与互联网连接。(4)各部门应按照信息备份的要求(见《重要信息备份管理程序》)进行重要数据和软件的备份。(8)各部门如受到各种恶意软件攻击，应及时向综合部报告。5.相关文件XXXX技术服务有限公司版本：A/0《重要信息备份管理程序》本程序适用于本公司重要数据及软件的备份管理。XXXX技术服务有限公司版本：A/0复，保证信息处理及生产数据的保密性、完整性与可用性，特制定本程序。(1)运维部负责管理范围内的信息备份工作的技术指导，及本部门维护的(2)各部门负责对本部门维护的重要信息资产的数据和软件进行备份。4.程序(1)各部门应对重要信息资产清单确定的重要业务数据、操作系统、应用系统、数据库等其他重要信息进行备份。(2)信息备份的安全保密要求包括：②重要信息备份应尽量做到异地(不同房间、不同楼层等)存放，妥善管理；本地、异地(不同机)、移动硬盘三套备份，本地、异地位于机房，移动硬盘放于本公司文件柜内由系统管理员保管。③对备份媒体进行标识；备份媒体存放于适宜的环境；本地、异地位于机(3)人工备份应填写《备份记录表》,信息备份的记录应予以保存。(4)当软件发生更改时，应进行备份。(5)各部门应采取适宜的方法对备份信息媒体进行标识，防止备份信息的误用，标识的内容包括：(6)源代码、数据库及文档等采用gat的方式进行备份和保存。XXXX技术服务有限公司版本：A/0(7)数据备份媒体应保存在适宜的环境并专人管理；涉及企业秘密的备份并保存在上锁的文件柜或其他安全储存场所。本程序适用于本公司应用系统软件的采购、开发第60页共72页各项安全要求得到识别并执行，保证系统安全，特制定本程序。(1)各部门负责应用软件的需求的提出。(2)运维部负责对本公司范围内的信息网络系统的容量进行规划。(1)各部门根据日常经营管理工作的需要，经过本部门负责人批准后，提交综合部进行采购。(2)采购的策划采购在接到任务通知后，首先要判断可行性，明确规定采①软件功能要求；②详尽的业务流程；③信息安全保密要求；④时间进度要求；⑨采购的各个阶段评审与测试要求；⑥采购人员的职责与权限；⑩其它要求。(3)采购方案的技术评审①采购负责人应根据软件采购计划的要求，编制软件采购方案，由部门负责人对方案的技术可行性及系统的安全性进行确认。家共同进行评审。③软件采购方案应包括以下内容：(一确定软件采购工具；第61页共72页(四输入数据确认要求；(五)必要时，系统内部数据确认检查的要求；(八对系统硬件配置的要求；系统验收标准、方案确认与审批的结果及任何必要的措施应予以记录。4.2软件设计开发的控制(1)设计开发流程管理软件开发按照本公司相关规范的要求进行。(2)软件设计开发方案的管理软件设计方案应包括以下内容：①确定软件开发工具；②应用系统功能；③业务实现流程；④输入数据确认要求；⑤必要时，系统内部数据确认检查的要求；⑥输出数据的确认要求；⑦应用系统的安全要求；⑧对系统硬件配置的要求；⑨系统验收标准。方案确认与审批的结果及任何必要的措施应予以记录。在进行软件开发时，应采取适宜的方法将开发与运作设施分离：①开发和运行应当在不同的环境；②测试系统应该独立于运行系统。(1)应在规定的测试环境条件并依据软件测试要求由软件负责人组织有关人员测试活动，填写《应用软件测试报告》。(2)当软件含有数据处理功能时，软件测试活动应包括以下方面的内容：①应用测试数据，验证内部数据处理的正确性；②应用测试数据，确认输出数据的正确性并与环境相适(3)当系统测试数据使用业务数据，并且包含敏感信息时，应按以下要求第62页共72页对测试数据进行保护：①用于运作系统的访问控制过程也应用于测试系统；④测试完成之后，应立即从测试系统中消除。(4)应用部门在试运行期间，应将使用中存在的问题及时反馈给综合部组织修改。试运行结束后，应形成正式的《系统验收报告》,由各部门负责人签字4.4测试数据的保护容。当用于测试时，应使用下列(但不仅限于)指南保护运行数据：b)运行信息每次被拷贝到测试应用系统时应有独立的授权；c)在测试完成之后，应立即从测试应用系统清除运行信息；4.6源程序库(程序源代码)管理及技术文档管理(1)为降低计算机程序被破坏的可能性，采购软件的源程序库应按以下要求实施管理：①源程序库不应保存在运作系统中；②各项应用应指定源程序库管理员；③信息技术维护人员不应自由访问源程序库。源程序的管理应包括历史版本的管理。4.7系统的维护管理(1)为确保系统的安全，系统主管部门应对以下方面实施控制：XXXX技术服务有限公司版本：A/0①系统容量策划；②系统更改；③操作系统更改；④软件包变更。4.8容量策划运维部和各部门应对信息网络系统的容量(CPU利用率、内存和硬盘空间大小、传输线路带宽)需求进行监控，并对将来容量需求进行策划，在必要的情况下编制《系统容量规划》报负责人批准后，适当时机进行容量扩充。执行IT服务体系容量规划的规定。4.9服务交易保护公司服务交易针对客户与XXXXXX技术服务有限公司发生的网上交易，互联网为开放平台，容易发生信息泄露与资金丢失情况。所以按照公司要求，公司交易一律采用微信与支付宝的形式进行交易，发生的所有交易需要遵循微信与支付宝的支付的安全规则进行。4.10软件的安装和升级引用《变更管理规定》。4.11防范木马程序。对软件的采购、使用及变更有关部门应加以控制和检查以防止可能的隐藏通道和特洛伊码，具体执行《恶意软件管理陈程序》。4.12系统事故与故障当系统发生事故与故障时，系统维护主管部门应立即进行处理，确保系统安全，具体执行《事故、事件、薄弱点与故障管理程序》。为对第三方服务提供商(合作商)进行管控，减少安全风险，防范本公司信息资产损失，特制定本程序。2.范围适用于本公司信息安全保密第三方服务管理活动，包括第三方确定过程、第三方的服务安全保密控制措施、第三方的服务监督和评审方法、第三方的变更3.职责(1)综合部主责管理第三方服务的控制活动，相关部门负责具体管理职责范围内的第三服务。运维部参与负责信息处理设备、网络、系统、软件的采购和维护第三方服务的管理。(2)其他相关部门①负责确定合格的第三方服务商，并与第三方服务商签订服务合同和保密协②负责对第三方服务商的服务进行安全控制；③负责定期对第三方服务商进行监督和评审；⑤负责做好第三方服务商的变更管理。4.程序4.1第三方服务的确定本公司所需的第三方服务包括：①信息处理设备、网络、系统、软件需要第三方进行安装调试和维护；②信息安全保密等需要委托第三方提供服务；③其他服务提供方。在与第三方签署服务合同前，相关的主管部门应明确第三方服务的内容和要求，评估由于第三方服务带来的信息安全风险，第65页共72页的能力，并且具备有效的工作计划，即便发生重大的服务故障或灾难也能保持服务的连贯性，必要时可以通过招投标，确定合格的第三方服务提供商。对重要的第三方服务提供商，应确定其信息安全保密管理要求和提供服务的能力要求并进行现场评定。确定合格的第三方服务提供商后，相关主管部门应与第三方签署第三方服务合同(SLA),并在服务合同中体现信息安全风险金。如果服务中涉及需要第三方保密的信息，必须明确