2021ISO27001信息安全管理体系文件(手册程序文件作业规范)

（手册+程序文件+作业规范）

信息安全管理体系程序文件目录

文件编号文件名称

XX-IS-01事故事件薄弱点与故障管理程序

XX-IS-02业务持续性管理程序

XX-IS-03企业商业技术秘密管理程序

XX-IS-04信息处理设施引进实施管理程

XX-IS-05信息安全人员考察与保密管理程序

XX-IS-06信息安全惩戒管理程序

XX-IS-07信息安全适用性声明

XX-IS-08信息安全风险评估管理程序

XX-IS-09内审管理程序

XX-IS-10恶意软件控制程序

XX-IS-11更改控制程序

XX-IS-12物理访问管理程序

XX-IS-13用户访问控制程序

XX-IS-14管理评审控制程序

XX-IS-15系统开发与维护控制程序

XX-IS-16系统访问与使用监控管理程序

XX-IS-17计算机账户及密码管理程序

XX-IS-18文件和资料管理程序

XX-IS-19重要信息备份管理程序

XX-IS-20预防措施程序

信息安全管理体系作业文件目录

文件编号文件名称

XX-IS-S0P-01防火墙安全管理规定

XX-IS-S0P-02介质销毁管理规定

XX-IS-S0P-03信息机房管理制度

XX-IS-S0P-04信息中心安全事件报告和处置管理制度

XX-IS-S0P-05信息中心密码管理制度

XX-IS-S0P-06信息系统访问权限说明

XX-IS-S0P-07档案鉴定销毁工作规定

XX-IS-S0P-08移动介质使用管理规定

XX-IS-S0P-09复印室管理制度

XX-IS-S0P-10重要文件加密解密管理制度

XXX有限公司

文件名称事故事件薄弱点与故障管理程序版次A/0页码

文件编号XX-IS-01日期2020.11.011/3

1适用

本程序适用于公司信息安全事故、薄弱点、故障和风险处置的管理。

2目的

为建立一个适当信息安全事故、薄弱点、故障风险处置的报告、反应与处理机制，减少信息

安全事故和故障所造成的损失，采取有效的纠正与预防措施，正确处置已经评价出的风险，

特制定本程序。

3职责

3.1各系统归口管理部门主管相关的安全风险的调查、处理及纠正措施管理。

3.2各系统使用人员负责相关系统安全事故、薄弱点、故障和风险的评价、处置报告。

4程序

4.1信息安全事故定义与分类：

4.1.1信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等

原因直接造成下列影响（后果）之一，均为信息安全事故：

a）企业秘密、机密及国家秘密泄露或丢失；

b）服务器停运4小时以上；

c）造成信息资产损失的火灾、洪水、雷击等灾害；

d）损失在十万元以上的故障/事件。

4.1.2信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原

因直接造成下列影响（后果）之一，属于重大信息安全事故：

a）企业机密及国家秘密泄露；

b）服务器停运8小时以上；

c）造成机房设备毁灭的火灾、洪水、雷击等灾害；

d）损失在一百万元以上的故障/事件。

4.1.3信息安全事件包括：

a）未产生恶劣影响的服务、设备或者实施的遗失；

b）未产生事故的系统故障或超载；

c）未产生不良结果的人为误操作；

d）未产生恶劣影响的物理进入的违规

X市XXX有限公司

文件名称事故事件薄弱点与故障管理程序版次A/0页码

文件编号XX-IS-01日期2017.11.012/3

e）未产生事故的未加控制的系统变更；

f）策略、指南和绩效的不符合；

g）可恢复的软件、硬件故障；

h）未产生恶劣后果的非法访问。

4.2故障与事故的报告渠道与处理

4.2.1故障、事故报告要求

故障、事故的发现者应按照以下要求履行报告任务：

a）各个信息管理系统使用者，在使用过程中如果发现软硬件故障、事故，应该向该系统归

口管理部门报告；如故障、事故会影响或己经影响线上生产，必须立即报告相关部门，采取

必要措施，保证对生产的影响降至最低；

b）发生火灾应立即触发火警并向安全监督部报告，启动消防应急预案；

c）涉及企业秘密、机密及国家秘密泄露、丢失应向行政部报告；

d）发生重大信息安全事故，事故受理部门应向信息安全管理者代表和有关公司领导报告。

4.2.2故障、事故的响应

故障、事故处理部门接到报告以后，应立即进行迅速、有效和有序的响应，包括采取以下适

当措施：

a）报告者应保护好故障、事故的现场，并采取适当的应急措施，防止事态的进一步扩大；

b）按照有关的故障、事故处理文件（程序、作业手册）排除故障，恢复系统或服务，必要

时，启动业务持续性管理计划。

5相关/支持性文件

5.1《预防措施控制程序》

5.2信《息密级划分、标注及处理控制程序》

5.3《信息安全奖励、惩戒规定》

5.4I《法律法规与符合性评估程序》

6记录保存期限

6.1《信息安全风险评估报

X市XXX有限公司

文件名称事故事件薄弱点与故障管理程序版次A/0页码

文件编号XX-IS-01日期2017.11.013/3

6.2《纠正/预防措施申请书》

6.3《信息安全事故调查处理报告》

6.4《信息安全薄弱点报告》

X市XXX有限公司

文件名称业务持续性管理程序版次A/0页码

文件编号XX-IS-02日期2017.11.01I/2

1目的与范围

本程序规定了当发生重大信息安全事件或灾难时，为保护公司业务活动免受影响，迅速恢复

已中断的业务活动，实现公司业务持续发展而实施的管理活动。

这些活动包括：建立业务持续性管理程序；进行业务持续性和影响分析；编制业务持续性战

略计划；制订业务持续性管理实施计划并实施；对业务持续性管理计划进行定期测试和评审

等。

本程序适应于本公司应用软件的开发和系统集成的活动等主要业务的持续性管理。

2相关文件

2.1《信息安全管理手册》

2.2《信息资产的识别与风险评估管理程序》

2.3《事故、薄弱点与故障管理程序》

3职责

3.1公司常务副总经理负责公司业务中断的恢复的总指挥与总协调。

3.2集成部负责编制、修订公司业务持续性管理程序，并协调、推进公司业务持续性管理活

动。

3.3各部门负责部门相关系统的故障处理及与之相关的作业中断的恢复。

3.4技术部负责项目实施过程中设备及软件系统的故障处理及与之相关的作业中断的恢复。

3.5集成部负责后勤系统设备及网络系统的故障处理及与之相关的作业中断的恢复。

3.6行政部负责本部门管理系统及与之相关的作业中断的恢复。

3.7公司各部门在发生重大信息安全事件或灾难时，负责保护本部门使用的信息系统及业务

数据，及时恢复中断的业务活动。

4工作程序

4.1业务持续性管理过程

公司业务持续性管理过程规定如下：

X市XXX有限公司

文件名称业务持续性管理程序版次A/0页码

文件编号XX-IS-02日期2017.11.012/2

4.2业务持续性和影响的分析

4.2.1公司在首次信息安全风险评估后进行业务持续性和影响的分析。

4.2.2业务持续性和影响的分析由集成部组织，技术部、行政部、生产部及管理者代表指定

的相关部门分别开展以下活动：

a）对本部门的信息安全进行风险评估；

b）识别出对本部门业务持续性造成严重影响的主要事件，如设备故障、火灾等；

c）分析这些事件一旦发生对公司业务活动造成的影响和损失，以及恢复业务所需费用等；

d）编写本部门《业务持续性和影响分析报告》（格式见IS-4341）。

4.2.3《业务持续性和影响分析报告》应包括以下内容：

a）识别关键业务的管理过程；

b）可能引起公司业务活动中断的主要事件；

c）主要事件对本部门管理的信息系统的影响；

d）信息系统故障或中断对公司业务活动的影响；

e）关于系统恢复或替换的费用考虑。

5记录

5.1《业务持续性和影响分析报告》

5.2《业务持续性管理战略计划》

5.3《业务持续性管理实施计划》

5.4《业务持续性管理计划测试报告》

5.5《业务持续性管理计划评审报告

X市XXX有限公司

文件名称企业商业技术秘密管理程序版次A/0页码

文件编号XX-IS-03日期2017.11.011/3

第一章总则

第一条为保障公司的合法权益，充分发挥作为公司重要资产的技术秘密、商业秘密的效益，鼓励员工不

断创造并自觉维护技术秘密、商业秘密的积极性，根据《知识产权管理总则》制订本制度。

第二条公司技术秘密、商业秘密的管理目标；技术秘密、商业秘密是本公司拥有的知识产权的组成部分,

是公司的重要资产。要在公司内牢固树立技术秘密、商业秘密的保护意识；技术秘密、商业秘密的管理

贯穿研究开发、生产和经营的全过程。明确商业秘密的界定和保护。

第三条公司内的相关管理制度、合同、记录等文献所有文件均属于商业机密。

第二章技术秘密、商业秘密的定义、确立和管理机制

第四条.本制度所称的技术秘密、商业秘密，是指由公司员工在职务范围内创造或履行职务产生的、经

公司知识产权管理部门认定并采取了保密措施、只在公司一定范围内流传的、具有商业价值的所有信息

或成果。这些信息或成果以各种纸质材料、照片、录像和计算机等数字存储设备为载体而能够为人所感

知。具体包括：

1.技术秘密。包括：公司现有的或正在开发或者构思之中的或经过技术创新确定不宜于申请专利的营销方

案，管理制度；

2.经营信息包括：公司的市场营销计•划、广告宣传方案、销售方法、供应商和客户名单、客户的专门需求、

未公开的销售服务网络以及公司现有的、正在开发或者构思之中的经营项目等信息及其承载物；

3.依据法律和有关协议对第三方负有保密责任的第三方商业秘密。

第五条.确定为技术秘密、商业秘密的信息及其承载物，归公司所有。

第六条.技术秘密、商业秘密的确定程序：

1.由参与药品研发创新，研发部就某一项或几项信息，向公司行政管理部门申报；

2.行政董事接到申报后采取：

a）指定参与者中一人专门保管成果或信息的承载物，可以采取加密措施。被指定人一般是项目或业务负责

人或菜肴创造者本人；

b）向公司常务董事汇报并提出是否构成技术秘密、商业秘密建议。必要时会同指定人向公司常务董事汇报;

c）公司行政董事在接到知识产权管理部门的汇报后应立即作出是否确定为技术秘密、商业秘密的决定；

d）对于被确定为技术秘密、商业秘密的信息或成果，按照本制度第三章和第四章的有关规定具体落实管理

措施。

e）技术秘密、商业秘密的确定遵循随时产生随时确定的原则，实行动态管理；

第七条商业秘密管理机制。

公司决策层负责技术秘密、商业秘密的整体工作。及时、高效地作出审核、批准、否决等工作，定期检

查各部门的保密工作，作出奖惩决定。

公司下属部门的负责人负责本部门的日常技术秘密、商业秘密管理和保护工作。定期检查本部门的保密

工作，配合支持知识产权管理部门履行公司技术秘密、商业秘密保护工作。

知识产权管理部门是公司技术秘密、商业秘密保护工作的职责机构，具体操作落实与协调商业秘密保护

X市XXX有限公司

文件名称企业商业技术秘密管理程序版次A/0页码

文件编号XX-IS-03日期2017.11.012/3

的各项工作.公司全体员工是技术秘密、商业秘密保护的实施者。全体员工应当牢固树立知识产权意识，

自觉维护公司的商业秘密。

第三章技术秘密、商业秘密及其承载物的管理

第八条根据本制度第六条的规定，被决策层确立为技术秘密、商业秘密的信息或成果，由知识产权管理

部门确立密级和保密期限。密级划分的标准、保密期限的确立，要参考该信息或成果同公司业务的联系

程度、与同行业竞争的影响力度、是否为公司运营的关键等因案，由知识产权管理部门划定。商业秘密

的申报人应当提供意见。

第九条按照技术秘密、商业秘密需要保密的程度，参考第八条的标准，技术秘密、商业秘密分为三级；

绝密、机密、保密。弓I外，对于不宜于对外的信息，由行政管理部门确立为“内部使用”的资料，参照本制

度做好保密工作。

绝密——是指一旦泄漏会使公司遭受严重危害和重大损失的信息或成果，包括；公司核心管理秘密、技

术诀窍、财务报表、药品研发工艺、特殊化合同。

机密——是指理一旦泄漏会使公司遭受危害和较大损失的信息，包括：产品开发、市场营销等各类工作

计划、公司内部重要文件。

保密——是指一旦泄漏会使公司遭受损失的信息，包括；药品销售情况，用户名单及其分布，用户需求

信息，限于一定范围阅读的公司内部文件等。

内部使用的信息或成果——是指一旦泄漏会对公司业务产生一定不良影响的可能的信息或成果，只限于

内部员工阅读的公司内部文件。

第十条.保密资料由专人负责管理。公司财务部对交接来的技术秘密、商业秘密档案材料，根据其密级于

档案卷宗封面加盖保密印章，登记、编号后统一放置保密资料专门存放处保存，并建立台帐登记，重要

的资料柜实行双钥匙制度。

公司各部门要设立保密资科柜，用于存放各部门经常运用的或暂时无法交存公司财务部门保存的技术秘

密、商业秘密档案材料，该资料拒应由专人管理。

第十一条.商业技术机密材料的借阅，必须经公司行政董事批准，确定借阅时间，使用后立即归还，不

得延期，更不得交与他人使用。

第十二条.商业技术机密材料的复印，必须经公司行政董事批准后，由专人（理应是财务部经理）复印，

未见公司行政董事批准意见，一律不得复印。复印由专人负责，复印期间不得向他人泄漏，复印后应当

立即将复印稿和原稿交还申请复印人，废稿要立即销毁，不得留存或随意丢弃。

第四章技术秘密、商业秘密的保障措施

第十三条在本公司进行技术创新过程中，任何研发项目从立项之日起，围绕该项目的研发活动进入技术

秘密、商业秘密保护范围内，产生的任何信息或成果，不论最终产生的知识产权形式如何，均作为公司

的技术秘密、商业秘密进行保护。

第十四条对于在研发过程中被确定为技术秘密、商业秘密的信息，由于处在不断发展改进的状态下，其

档案材料可以经公司知识产权主管领导批准后保留在本部门，但必须设专门存放处保存，以计算机等保

X市XXX有限公司

文件名称企业商业技术秘密管理程序版次A/0页码

文件编号XX-IS-03日期2017.11.013/3

存的，必须对该设备进行数字加密，密码不得向任何无关该商业秘密的人透露。

研发中的阶段性成果，必须形成档案材料，依照保密措施保存，直到最终成果形成后，将各阶段成果形

成的过程档案进行保存、销毁、解秘等措施。

第十五条对于开发完成的技术创新成果，除从本公司专利战略及经营实际出发需要公开的以外，经过论

证不适于申请专利的，将其完全纳入公司商业秘密保护范围内，按照商业秘密的确立、密级划分、建档、

专门保存档案资料等的工作。参与技术创新的有关人员，在开发项目进行中，应履行商业秘密的保密工

作。

第十六条公司所有员工有义务保护公司技术秘密、商业秘密的安全。所有员工对于公司技术秘密、商业

秘密的保护而产生的义务、权利及相应奖励、处罚。

第十七条员工在公司工作期间，因工作需要使用公司的技术秘密、商业秘密及其承载物，应按照要求的

范围和程度使用，不得将实物、资料等擅自带离工作岗位，未经书面同意，不得随意进行复制、交流或

转移含有公司技术秘密、商业秘密的资料。

第十八条员工在参加任何级别的学术交流活动、产品订货会、技术鉴定会等会议或活动时，必须注意保

护公司的技术秘密、商业秘密，用以交流的文档或资料事先要经过上级审查批准。第十九条.公司在对

外发布新产品信息和广告时，要注意避免泄漏公司的技术秘密、商业秘密。重要的新产品宣传、广告文

稿必须经公司行政董事审核批准后才可发布。

第二十条公司在接受外公司人员的实习、合作研究、学习进修等工作时，对公司的技术秘密、商业秘密

负有保密的义务。

第二十一条员工因工作需要或其他原因（包括离职、辞职、退休、开除等）调离原工作岗位或离开公司，

应将接触到的所有包含职务开发中技术秘密、商业秘密的数据、文档等的记录、模型、软磁盘、光盘及

数字存储装置以及其他媒介形式的资料如数交回公司。

第五章技术秘密、商业秘密效益发挥的保证措施

第二十二条公司在对外的技术合作过程中，以技术秘密、商业秘密为标的或其他技术合同涉及技术秘密、

商业秘密许可的，对于技术秘密、商业秘密的价值通过与合作方协商确定。需要进行第三方价值评估的，

委托符合执业要求的中介机构完成，并通过合同约定严格的保密措施。明确双方的权利和义务及合作方

在合同末完全履行，泄漏公司技术秘密、商业秘密应承担的责任。

第二十三条公司员工在主持或参与对外业务谈判时要遵守公司的保密纪律。涉及公司商业秘密的谈判，

事先制定谈判提纲，该提纲经行政董事批准。

第二十四条在技术合作中产生的技术成果，其知识产权形式的确定和归属由合同约定，凡以技术秘密、

商业秘密约定归属本公司应采取保密措施。

第二十五条因员工开发或参与开发的技术创新项目、新产品技术或创造发明而形成的商业秘密，在对外

的技术合作过程中产生收益，本公司将取得实际利益给予最大力度奖励。

第二十六条本公司所有正式，试用，兼职，实习员工无条件遵守本管理办法。

X市XXX有限公司

文件名称信息处理设施引进实施管理程版次A/0页码

文件编号XX-IS-04日期2017.11.01I/7

1适用与目的

本程序适用于公司与IT相关各类信息处理设施（包括各类软件、硬件、服务、传输线路）的引进、

实施、维护等事宜的管理。

本程序通过对技术选型、验收、实施、维护等过程中相关控制的明确规定来确保引进的信息处理设

施的保密性、完整性和可用性。

2信息处理设施的分类

2.1研发控制系统、数据存储控制系统及其子系统设备，包括位于机房的服务器和位于使用区域的使用控

制系统终端设备。

2.2业务管理系统、财务管理系统，包括位于机房的服务器和位于使用区域的终端设备。

2.3办公用计算机设备，包括所有办公室、会议室内的计算机、打印机，域控制服务器，DNS服务器、

Email服务器等。

2.4网络设备，包括交换机、路由器、防火墙等。

2.5其它办公设备，包括电话设备、复印机、传真机等。

3职责

3.1XX部主要负责全公司与IT相关各类信息处理设施及其服务的引进。包括制作技术规格书、进行技

术选型、安装和验收等。XX部同时负责全公司网络设备、研发控制系统、业务管理系统、财务管理系统

日常管理与维护。

3.2各部负责项目实施过程中设备及软件系统的管理制度的执行与维护。

3.3XX部负责后勤系统设备及网络系统、电话/网络通讯与办公系统的管理与维护。

4信息处理设施的引进和安装

4.1引进依赖

各部门必须采购的信息处理设施、外包开发信息系统项目或外包信息系统服务，得到本部门经理的

批准后，向XX部提交申请。XX部以设备投资计划，技术开发计划为依据，结合对新技术的调查，作出

是否引进的评价结果并向提出部门返回该信息。

X市XXX有限公司

文件名称信息处理设施引进实施管理程版次A/0页码

文件编号XX-IS-04日期2017.11.012/7

本公司禁止员工携带个人或私有信息处理设施（例如便携式电脑、家用电脑或手持设备PDA等）处

理业务信息。

4.2进行技术选型

XX部负责对购入的信息处理设施的技术选型，并从技术角度对供应商进行评价。技术选型应该包含

以下几方面：性能、相关设施的兼容性、协作能力、技术发展能力等。

4.3编写购入规格书

XX部根据要求，负责编写即将购入的信息处理设施的购入规格书。规格书中应该包含技术规格、相

关设施的性能（包括安全相关信息）、兼容性等要求，由XX部主管审批。

4.4定货

由XX部按照公司采购流程，向经理层提出购买要求，并提供选型结果。经理层应按照要求办理定货

手续。

4.5开箱检查，安装、调试，验收

a）开箱检查

设备到货后，xx部应负责开箱检查，依照购买规格书和装箱单核对数量及物品，确认有无损坏并记

录。必要时，应通知有关部门到场协同检查。

b）安装、调试

引进的设施到位后，根据合同要求，由相关人员进行安装、调试。在实施调试过程中出现的问题，

必要时可通知相关部门共同进行。

c）验收

安装调试完成以后，XX部应依据以下文件实施验收：

•购入规格书

•采购合同及其相关附件

•调试时故障履历

验收原则上由XX部实施，必要时可要求相关部门参加。验收的合格与否最终由XX部负责人作出判

断hkr。

d）验收合格后，可向相关的使用部门移交。

X市XXX有限公司

文件名称信息处理设施引进实施管理程版次A/0页码

文件编号XX-IS-04日期2017.11.013/7

5信息处理设施的日常维护管理

5.1计算机设备管理

5.1.1XX部负责计算机固定资产的标识，标识随具体设备到使用各部门。计算机保管使用部门将计算机列

入该部门信息资产清单。

5.1.2各部门配备的计算机设备应与本部门的日常经营情况相适应，不得配备与工作不相符的高档次或不

必要的计算机设备。办公场所不配备多媒体类计算机设备，原则上部门经理以上配备笔记本电脑，因工

作需要配备笔记本电脑的需经主管副总批准。

5.1.3计算机使用部门需配备计算机设备时，应按照本规定执行。资产搬离安置场所，需要获得部门经理

的授权；迁移出公司，需要得到最高管理层的授权。

5.1.4计算机使用部门填写《物品领用单》，经过本部门经理签字后提交行政部后领取计算机设备。计算

机及附属设备属公司信息资产，在行政部备案。有关计算机设备所带技术说明书、软件由行政部保存。

使用部门的使用人应妥善保管计算机及附属设备，公用计算机设备由使用部门经理指定专人负责使用管

理。

5.1.5离职时，应将计算机交还XX部，由XX部注销账户。

5.2计算机设备维护

5.2.1计算机使用部门应将每部计算机落实到个人管理。计算机使用人员负责计算机的日常维护和保养；

XX部按照《恶意软件控制程序》要求进行计算机查毒和杀毒工作。

5.2.2计算机使用部门发现故障或异常，可先报公司XX管理员处理，如其无法解决，则由XX管理员填

写《事态事件脆弱性记录》向供应商申请维修。故障原因及处理结果应记入《事态事件脆弱性记录》。

5.3计算机调配与报废管理

5.3.1用户计算机更新后，原来的计算机由XX部根据计算机的技术状态决定调配使用或予以报废处理。

5.3.2含有敏感信息的计算机调配使用或报废前，计算机使用部门应与XX部共同采取安全可靠的方法将

计算机内的敏感信息清除。

5.3.3调配

部门内部的调配由使用部门自行处理，并通知XX部进行计算机配置变更，变更执行《更改控制

程序》。

5.33.2部门间的调配管理：XX部收回因更新等原因不用的计算机设备，由变更部门变更信息资产清单，

并按照本程序5.1.3、5.1.4要求重新分配使用。

X市XXX有限公司

文件名称信息处理设施引进实施管理程版次A/0页码

文件编号XX-IS-04日期2017.11.014/7

5.4报废处理

5.4.1计算机设备采用集中报废处理。报废前由XX部向行政部提出报废，经审核后由XX部实施报废。

5.4.2XX部按照批准的处置方案进行报废处理，并变更固定资产清单。

5.5笔记本电脑安全管理

5.5.1笔记本电脑应由被授权的使用人保管；对于需多人共用的笔记本电脑，应由部门负责人指定专人保

管。

5.5.2笔记本所带附件应由使用者本人或部门负责人指定专人保管。

5.5.3笔记本电脑使用时应防止恶意软件的侵害，在系统中应安装防病毒软件，并由使用人对其定期升级，

对系统定期查杀，XX部负责监督。

5.5.4笔记本电脑在移动使用中，不能随意拉接网络，需通过填写《用户授权申请表》向XX部提前提出

需求，经XX部审批后方能接入网络。

5.6计算机安全使用的要求

5.6.1计算机设备为公司财产，应爱惜使用，按照正确的操作步骤操作。

5.6.2使用计算机时应遵循信息安全策略要求执行。

5.6.3员工入职时，由其所在部门的部门经理根据该员工权限需要填写《用户授权申请表》，向研发部提

出用户开户申请；离职时也需填写《用户授权申请表》通知研发部办理销户。

5.6.4新域用户名为用户姓名的拼音（有重名时另设），初始缺省密码为XXXXX。用户在第一次登录系

统时应变更密码，密码需要设置在6位以上（英文字母、数字或符号组合的优质密码）并注意保密。

5.6.5各人使用自己的账户登录，未经许可不得以他人用户名登录。若用户遗忘密码，应及时向研发部

申请新密码后登录。

5.6.6不得使用计算机设备处理正常工作以外的事务。

5.6.7计算机的软硬件设置管理由研发部进行，未经许可，任何人不得更换计算机硬件和软件。

5.6.8研发部负责初始软件的安装，公司严禁个人私自安装和更改任何软件。计算机用户的软件安装与

升级按照《更改控制程序》执行。拒绝使用来历不明的软件和光盘。

5.6.9严禁乱拉接电源，以防造成短路或失火。

5.6.10计算机桌面要保持清洁，不得将秘密和（或）受控文件直接放置在桌面；计算机桌面必须设置屏

幕保护，恢复时需用密码确认（执行密码口令管理规定）。锁屏时间可根据自己工作习惯设置锁屏时间，

但最高不得高于5分钟。各部门负责人进行监督。

X市XXX有限公司

文件名称信息处理设施引进实施管理程版次A/0页码

文件编号XX-IS-04日期2017.11.015/7

5.7网络安全使用的要求

5.7.1对于网络连接供应商，充分考虑其口碑和现有安全防范措施，在签署保密协议的基础上加以筛选。

5.7.2对内设置必要的路由器防火墙，采用HTTP、FTP的连接方式，捆绑固定IP地址防止权限滥用。

6信息处理设施的日常点检

6.1计算机的日常点检

日常点检的目的是确认系统硬件是否运行良好，有无硬件及程序上的报警，备份是否正常进行等。点

检的流程、责任、项目、点检周期和记录表详由相应部门制定。如出现在检查期人员外出等不在岗情况,

需要在返回工作岗位时，立即补充完善。

6.2网络设备的管理与维护

点检的流程、责任、项目、点检周期和记录表由XX部负责，特别的，在点检中应包括对MAIL的

点检。

6.3点检策略

6.3.1所有存在于计算机、网络设备上的服务、入侵检测系统、防火墙和其他网络边界访问控制系统的

系统审核、账号审核和应用审核日志必须打开，如果有警报和警示功能必须打开。

6.3.2审核日志必须保存一定的期限，任何个人和部门不得以任何理由删除保存期之内的日志。

6.3.3审核日志必须由该系统管理员定期检查，特权使用、非授权访问的试图、系统故障和异常等内容

应该得到评审，以查找违背信息安全的征兆和事实。

6.3.4入侵检测系统必须处于启动状态，日志保存一定的期限，定期评审异常现象，对所有可疑或经确

认的入侵行为和入侵企图需及时汇报并采取相应的措施。

6.3.5II志的配置最低要求

设备类型日志内容保存周期检查周期

服务系统对外提供服务的》6个月W2周

直接用于设计、存储、a）用户标识符（ID）；》12个月《2周

检测的控制、管理和查b）登录和注销事件；

询系统C）若可能，终端位置：

全公司办公系统d）成功的失败的登录试图。个月W5周

X市XXX有限公司

文件名称信息处理设施引进实施管理程版次A/0页码

文件编号XX-IS-04日期2017.11.016/7

部门内部服务器个月〈5周

其他服务器》6个月W5周

防火墙和系统配置更改日志力个月这5周

路由器访问日志（方向、流量）个月W5周

VPN网关a）用户标识符（ID）；周W1周

b）登录和注销事件；

C）终端位置；

d）成功的失败的登录试图。

入侵检测异常网络连接的时间、IP、个月W5周

系统入侵类型

远程访问a）用户标识符（ID）；》3个月W5周

系统b）登录和注销事件；

C）终端位置；

d）成功的失败的登录试图。

6.3.6XX部网络管理员根据系统的安全要求确认其日志内容、保存周期、检查周期，其最低要求不得低

于上表的要求。如果因为日志系统本身原因不能满足上表的最低要求，需要降低标准的，必须得到XX部

主管或管理者代表的批准和备案。

6.3.7XX部网络管理员配置日志系统，并定期检查日志内容，评审安全情况。评审的内容包括：授权访

问、特权操作、非授权的访问试图、系统故障与异常等情况，评审结束应形成《日志检查记录》。

6.4资料的保存

6.4.1设备的技术资料由设备所在的部门交由行政部保存并建立《受控文件和资料发放清单》，以备日后

查阅。

6.4.2设备厂商对设备进行维修后提供的维修（维护）记录单，由XX部保存，以备日后查询。

6.5网络扫描工具的安全使用管理

6.5.1对网络扫描工具的使用，必须得到管理者代表的授权，并保存使用的记录。

7其它要求

涉及应用系统软件的开发（包括外包软件开发）的项目，还需执行《系统开发与维护控制程序》的

相关要求。

X市XXX有限公司

文件名称信息处理设施引进实施管理程版次A/0页码

文件编号XX-IS-04日期2017.11.017/7

8相关文件

令《系统开发与维护控制程序》

令《系统逻辑访问管理制度》

9记录

记录名称保存部门保存期限

《用户授权申请表》3年

《日志检查评审记录》5年

《变更申请表》3年

《日常点检记录表》3年

X市XXX有限公司

文件名称信息安全人员考察与保密管理程序版次A/0页码

文件编号XX-IS-05日期2017.11.01I/3

1适用本规定适用于本公司的正式员工和借用员工聘用、任职期间及离职的安全考察

与保密控制以及其他相关人员（合同方.、临时员工）的安全考察与控制。

2目的为防止品质不良或不具备一定技能的人员进入本公司，或不具备一定资格条件

的员工被安排在关键或重要岗位，降低员工所带来人为差错、盗窃、欺诈及滥用设施的风

险，防止人员对于信息安全保密性、完整性、可用性的影响，特制定本程序。

3职责

3.1行政部负责员工聘用、任职期间及离职的安全考察管理及保密协议的签订及其他相

关人员（合同方、临时员工）的安全考察与控制。

3.2各部门负责本部门员工的日常考察管理工作。

4员工录用

4.1人员考察策略

4.1.1所有员工在正式录用（借用）前应进行以下方面考察：

a）良好的性格特征，如诚实、守信等；

b）应聘者学历、个人简历的检查（完整性和准确性）；

c）学术或专业资格的确认；

d）身份的查验。

4.1.2员工从一般岗位转到信息安全重要岗位，应当对其进行信用及能力考察。

4.1.3必要时，对承包商和临时工进行同样的考察。

4.2对录用（借用）人员的考察

4.2.1行政部对拟录用（借用）人员重点进行以下方面考察：

a）根据应聘资料及面试情况初判应聘者的职业素质；

b）根据应聘者人事经历的记载，了解是否有重大惩戒及犯罪记录;

X市XXX有限公司

文件名称信息安全人员考察与保密管理程序版次A/O页码

文件编号XX-IS-05日期2017.11.012/3

C）通过与应聘者沟通，并了解其应聘动机；

d）了解其从事的专业和具备的技术水准，是否符合该岗位的岗位说明书。

4.2.2考察的结果应记入《应聘申请表》。

4.2.3在考察中发现应聘者存在不良倾向的，将不予录用（借用）。

5离职措施

5.1员工离职涉及《秘密管理规程》的保密事项，应按要求采取相应的保密措施。

5.2部门要加强员工离职时的涉密资料、口令等的交接工作。

5.3部门在员工离职后要采取相应的技术防范措施（如变更口令、程序等），必要时应

与信息科技部协调。

5.4公司和部门要做好员工离职的教育工作，告知其离职后，不得向第三方泄露其在

任职期内所获得的公司的商业和技术秘密。

6离职程序

6.1员工必须在离职日前30天向本部门部长提出书面离职报告。

6.2部门长接到员工离职报告后，填写IS-4373《员工特别事项处理意见表》，签署意

见后送行政部。

6.3行政部在《员工特别事项处理意见表》上签署意见后，报行政部部部长、分管副

总和总经理审批。

6.4员工离职得到批准，由部门通知离职员工来人事科办理离职手续。离职员工在离

职日前必须把担当的部门工作移交完毕。

6.5办理离职手续

6.5.1离职员工到行政部索取IS-4374《员工离公司手续单》。

6.5.2离职员工按《员工离公司手续单》的内容至公司各部门办理移交手续，各相关

部门负责按照《用户访问控制程序》取消离职员工的访问权限。

X市XXX有限公司

文件名称信息安全人员考察与保密管理程序版次A/0页码

文件编号XX-IS-05日期2017.11.013/3

6.5.3离职员工移交完毕后，由行政部将《退工通知单》和员工的《劳动手册》交于离

职者。

6.5.4技术部门员工离职必须签订IS-4375《双边保密协定》。

6.5.5员工离职后如发生泄密情况，应承担由此涉及的法律责任。

7相关/支持性文件

7.1《用户访问控制程序》

7.2《秘密管理规程》

7.3《人事工作审批程序》

8记录

8.1《应聘申请表》

8.2《岗位调整审查表》

8.3《员工特别事项处理意见表》

8.4《员工离公司手续单》

8.5《双边保密协定》

X市XXX有限公司

文件名称信息安全惩戒管理程序版次A/0页码

文件编号XX-IS-06日期2017.11.011/8

1目的

为对违反信息安全方针、体系文件要求、法律法规、合同要求的员工实施公正有效的奖

惩，并作为对可能在其它情况下有意轻视信息安全程序的员工的威慑，强化全体员工的信息

安全意识，有效防止信息安全事故的发生，特制定本规定。

2范围

本程序适用于本公司对违反信息安全方针、体系文件要求、法律法规、合同要求的员工

的奖惩及对信息安全做出贡献员工的奖励。

3定义

无

4职责

4.1各部门经理负责自己区域内的奖惩。

4.2管理者代表负责对IT方面信息安全事故的奖惩管理。

4.3信息安全管理委员会负责决定重大信息安全和事故的处罚。

4.4系统管理员负责本公司内部泄密或信息泄漏的调查。

5程序

X市XXX有限公司

文件名称信息安全惩戒管理程序版次A/0页码

文件编号XX-IS-06日期2017.11.012/8

5.1计算机信息系统的安保

5.1.1在计算机信息系统安全保护工作中成绩显著的单位和个人，由人事部给予表彰、奖励。

5.1.2存在计算机信息系统安全隐患，由人事部发出整改通知，限期整改。因不及时整改而

发生重大事故和案件的，由市行对该单位的主管负责人和直接负责人予以行政处分；构成违

反治安管理或者违反计算机管理监察行为的，由公安机关依法予以处罚；构成犯罪的，由司

法机关依法追究刑事责任。

注：以上条款由本公司信息安全委员会负责解释。

X市XXX有限公司

文件名称信息安全惩戒管理程序版次A/0页码

文件编号XX-IS-06日期2017.11.013/8

5.2计算机应用与管理违规行为处罚规定

5.2.1计算机应用、维护及操作人员违反规定的，给予经济处罚或者警告至降级处分；造成

严重后果的，给予撤职至开除处分。

5.2.2违反规定，擅自编制、使用、修改业务应用程序、调整系统参数和业务数据的，给予

主管人员和其他责任人员记过至撤职处分；造成严重后果的，给予主管人员和其他责任人员

留用察看至开除处分。

5.2.3利用计算机进行违法违规活动或者为违法违规活动提供条件的，给予主管人员和其他

责任人员记过撤职处分；造成严重后果的，给予留用至开除处分。

5.2.4违反规定，有下列危害网络安全公司为之一的，给予有关责任人员经济处罚或者警告

至记过处分；造成严重后果的，给予记大过至开除处分：

(a)在生产经营用机上使用与业务无关的软件或者利用通讯手段非法侵入其他系统和

网络的(含从的一个业务系统进入另一个业务系统，从以外的系统和设备侵入业务网络系统,

以及从的业务网络系统进入以外的网络系统)；

(b)未经审批，私自使用内部网络上的计算机拨号上国际互联网的；

(c)将非计算机设备接入网络系统的；

(d)私自卸载或屏蔽计算机安全软件的；

(e)私自修改计算机操作系统、网络系统安全设置的；

(f)未经审批，私自在网络系统内开设游戏网站、论坛、聊天室等与工作无关的网络

服务的；

(g)利用邮件系统传播损害形象的邮件的。

5.2.5利用的计算机设备和网络系统制造、传播计算机病毒，给予主管人员和其他责任人员

记过至记大过处分；造成严重后果的，给予主管人员和其他责任人员降级至开除处分。

5.2.6计算机房值班人员擅自离岗的，给予经济处罚或者警告处分；造成严重后果的，给予

记过至开除处分。

5.2.7系统管理和操作人员离开主机或者终端时没有按操作规程退出系统的，给予经济处罚

或者警告至记过处分；造成严重后果的，给予记大过至开除处分。

5.2.8违反规定将属于的计算机软件、文档、资料、客户信息等据为己有、复制或者借给外

单位的，给予有关责任人员记过至撤职处分；造成严重后果的，给予留用察看至开除处分。

X市XXX有限公司

文件名称信息安全惩戒管理程序版次A/0页码

文件编号XX-IS-06日期2017.11.014/8

5.2.9未按规定进行数据备份、没有妥善保管备份数据或备分数据无效的，给予主管人员和

其他责任人员经济处罚或者警告至记过处分；造成严重后果的，给予记大过至开除处分。

5.2.10在对面向客户的业务应用系统管理中，从事后台维护的技术人员，违反规定同时进

行前台技术维护的，给予主管人员和其他责任人员记过至记大过处分；造成严重后果的，给

予降级至开除处分。

5.2.11在业务应用系统有关的各项业务操作过程中，技术人员代替业务人员操作，或业务员

允许技术人员代替从事业务操作，给予主管人员和其他责任人员记过至开除处分。

5.2.12伪造信息的，给予主管人员和其他责任人员警告至降级处分；造成严重后果的，给予

撤职至开除处分。

X市XXX有限公司

文件名称信息安全惩戒管理程序版次A/0页码

文件编号XX-IS-06日期2017.11.015/8

5.3计算机信息类违规处罚

5.3.1本公司职工违规操作，给系统造成一定的影响，但没有影响业务正常运行或对业务造

成轻微危害者，给当事人警告或严重警告、情节较重或严重者，视情节轻重给予当事人和主

管领导200元以上1000元以下罚款。

5.3.2本公司职工违规操作导致系统发生问题，影响业务长时间正常运行，视情况给予处罚，

情节严重者，开除。

5.3.3系统管理员凡是不按要求管理，出现公网和内网混网现象，或其它安全问题，一经发

现，除全公司通报批评外，处以200元罚款，情节严重者，调离系统员岗位。

5.3.4所有计算机使用用户，违规私自修改网络地址进入不该进入的业务网段、或使用内网

主机进入internet网络者，若对系统和业务未造成影响，除全公司通报批评外，处以当事

人和相关责任人200元罚款，若对系统或业务造成影响着，视情节轻重，处以500以上10000

元以下罚款。

5.3.5凡是利用非法手段窃取系统密钥，进入本公司业务系统，盗取客户资料，向外界提供

客户资料并造成客户损失或进入系统作案者，一经发现，立即开除，情节严重者，送交司法

机关处置。

X市XXX有限公司

文件名称信息安全惩戒管理程序版次A/0页码

文件编号XX-IS-06日期2017.11.016/8

5.4奖惩记录

5.4.1系统管理员根据本公司奖惩管理规定，对奖惩的实施进行记录并形成《奖惩记录单》

记录完毕后由系统管理员进行留存。

X市XXX有限公司

文件名称信息安全惩戒管理程序版次A/0页码

文件编号XX-IS-06日期2017.11.017/8

5.5证据的收集

5.5.1当信息安全事件涉及到诉讼（民事的或刑事的），需要进一步对个人或组织进行起诉

时，应收集、保留和呈递证据，以使证据符合相关诉讼管辖权。

5.5.2证据在收集时不得侵犯个人权益，应在不侵犯个人权益时对证据进行收拾并且证实证

据是否可在法庭上使用。

5.5.3应保证证据的质量和完备性，防止未被授权的篡改和泄漏。

5.5.4证据获得的保证：本公司应确保收集证据其信息系统符合任何公布的标准或实用规则

来产生被容许的证据。

X市XXX有限公司

文件名称信息安全惩戒管理程序版次A/0页码

文件编号XX-IS-06日期2017.11.018/8

5.6证据的保存及提供

5.6.1提供证据的份量应符合任何适用的要求。对该证据的存储和处理的整个时期内，应进

行过程控制保证证据的质量和完备性。

5.6.2纸面文档证据的提供：原物应被安全保存且带有下列信息的记录：谁发现了这个文档,

文档是在哪儿被发现的，文档是什么时候被发现的，谁来证明这个发现；任何调查应确保原

物没有被篡改；

5.6.3对计算机介质上的信息：任何可移动介质的镜像或拷贝（依赖于适用的要求）、硬盘

或内存中的信息都应确保其可用性；拷贝过程中所有的行为日志都应保存下来，且应有证据

证明该过程；原始的介质和日志（如果这一点不可能的话，那么至少有一个镜像或拷贝）应

安全保存且不能改变

5.6.4任何法律取证工作应仅在证据材料的拷贝上进行。所有证据材料的完整性应得到保

护。证据材料的拷贝必须在可信耐人员的监督下进行，什么时候在什么地方执行的拷贝过程,

谁执行的拷贝活动，以及使用了哪种工具和程序，这些信息都应记录作为日志。

6记录

《奖惩记录单》

X市XXX有限公司

文件名称信息安全适用性声明版次A/0页码

文件编号XX-IS-07日期2017.11.011/14

1.目的

根据ISO/IEC27001:2013标准和公司实际管理需要，确定标准各条款对公司的适用性，特编

制本程序。

2.范围

适用于对ISO/IEC27001:2013标准于本公司的适用性管理。

3.职责与权限

3.1最高管理者

负责信息安全适用性声明的审批。

3.2综合部

负责信息安全适用性声明的编制及修订。

4.相关文件

a）《信息安全管理手册》

5.术语定义

无

6.适用性声明

X市XXX有限公司

文件名称信息安全适用性声明版次A/0页码

文件编号XX-IS-07日期2017.11.012/14

信息安全适用性声明SOA

A.5信息安全方针

标准目标/是否

标题选择理由相关文件

条款号控制选择

A.5.1信息安全管理目标YES提供符合有关法律法规和业务需求的信息安全管理指

指引引和支持。

A.5.1.1信息安全方针控制YES信息安全方针应由管理才《信息安全管理手册》

批准发布。

A.5.1.2信息安全方针