网络安全管理制度

精品文档精心整理精品文档可编辑的精品文档精品文档精心整理精品文档可编辑的精品文档目的维护公司计算机网络安全、正常运行，确保服务器及各个终端正常使用。使网络资源充分安全共享，为业务经营活动提供安全的网络环境。适用范围适用于公司内部办公局域网络，业务局域网络、国大药房、国瑞药业、国药物流的网络。3职责3.1信息部3.1.1系统管理岗负责公司整体网络安全的规划、管理及其相关的技术支持。3.1.2系统管理岗负责公司网络系统数据的安全备份。3.1.3其它岗位协助系统管理岗进行公司网络的安全管理。3.2各部门3.2.1负责各自部门使用的计算机网络设备的安全管理。3.2.2负责各自部门数据的安全备份。3.2.3负责及时通知信息部有关各自部门使用的计算机病毒发生情况及其它安全隐患情况。4工作程序4.1公司整体网络安全的规划、管理。网络安全信息的追踪，黑客、病毒的日常防护工作。4.2.1每天至少一次上网浏览相关网站，下载最新病毒代码4.2.2跟踪最新防病毒信息及其防杀方法，将其及时发布在公司内部网络上。4.2.3及时跟踪防火墙的软硬件升级信息。负责公司本部办公网网络安全防护工作。4.3.1及时升级本公司网络的最新病毒代码。4.3.2实时对各个工作终端进行病毒监测。4.3.3及时将染病毒的工作终端逐一脱离网络。4.3.4对染毒终端逐一进行全面查杀毒。4.3.5及时对防火墙软硬件进行升级。4.3.6建立日常病毒记录日志，记录病毒代码。（参见《病毒记录日志》）监督、检查、落实公司本部业务、国大药房、国瑞药业、国药物流的网络安全防护措施等工作。4.5协助本部相关部门进行重要数据的定期备份。4.6业务、办公网数据的交换和相关数据输入输出的管理。5相关文件《计算机及相关设备管理办法》《计算机机房管理制度》6记录《病毒记录日志》精品文档精心整理精品文档可编辑的精品文档目录一、物理访问制度ISMS-3001 11.目的 12.范围 13.职责 14.员工外出管理 15.来宾出入管理规定 16.相关记录无 2二、外部相关方信息安全管理规程ISMS-3002 21.目的 22.范围 23.职责 24.管理规定 2三、与政府相关资质申报及年审规定ISMS-3003 31.目的: 32.职责: 33.技术部相关管理要求: 34.相关资质申报年审管理要求 3四、信息系统容量规划及验收管理制度ISMS-3004 41.目的 42.范围 43.职责 44.内容 4五、信息资产密级管理规定ISMS-3005 41.目的 52.范围 53.保密信息定义 54.秘密等级区分 55.信息的分类 56.保密文件的标识 57.传送 68.其它 6六、信息系统设备管理规定ISMS-3006 61.目的和范围 72.引用文件 73.职责 74.设备管理流程 75.实施策略 106.相关记录 10七、机房管理规定ISMS-3007 101.目的和范围 102.引用文件 113.职责和权限 114.机房出入制度 115.机房环境管理 116.机房设备管理 127.相关记录 12八、笔记本电脑管理规定ISMS-3008 131.目的 132.引用文件 133.职责和权限 134.笔记本电脑使用规定 135.安全配置规定 146.外部人员使用笔记本的规定 147.客户现场管理规定 158.实施策略 159.相关记录 15九、介质管理规定ISMS-3009 151.目的和范围 152.引用文件 153.职责和权限 164.介质管理 165.实施策略 186.相关记录 18十、变更管理规定ISMS-3010 181.目的 182.引用文件 183.职责和权限 194.变更步骤管理 195.程序 19十一、第三方服务管理规定ISMS-3011 211.目的和范围 212.引用文件 213.职责和权限 214.第三方服务管理规定 215.实施策略 22十二、数据备份管理规定ISMS-3012 231.目的和范围 232.引用文件 233.职责和权限 234.备份管理 235.备份的验证 24十三、邮件管理规定ISMS-3013 251.目的和范围 252.引用文件 253.职责和权限 254.电子邮件的帐户管理 255.电子邮件使用规定 266.邮件使用规定 267.实施策略 278.相关记录 27十四、软件管理规定ISMS-3014 271.目的和范围 272.引用文件 273.职责与权限 274.软件管理 285.审核、批准、发布 286.软件归档和存放 287.软件使用 298.修订与升级 299.软件作废 2910.实施策略 2911.相关记录 30十五、系统监控管理规定ISMS-3015 301.目的 302.引用文件 303.职责 304.系统监控管理 30十六、补丁管理规定ISMS-3016 311.目的 312.引用文件 313.职责与权限 314.补丁管理规定 315.其他补丁： 326.实施策略 327.相关记录 33十七、信息系统审核规范ISMS-3017 331.目的和范围 332.术语和定义 333.引用文件 334.职责和权限 345.活动描述 346.审核注意事项： 35十八、基础设施及服务器网络管理制度ISMS-3018 351.机房安全管理程序 352.重要信息备份管理程序 383.目的 394.机房设备维护管理制度 41十九、信息系统安全应急预案ISMS-3019 421.电力系统故障的应急处理 422.消防系统应急处理 423.网络信息系统故障的应急处理 434.网站与应用系统应急处理 435.黑客入侵的应急处理 446.大规模病毒（含恶意软件）攻击的应急处理 44二十、终端计算机使用管理制度ISMS-3020 451.计算机使用管理 452.存储介质的管理 473.办公软件使用管理规定 48二十一、信息安全管理规范和操作指南ISMS-3021 511.总则 512.物理安全 523.计算机的物理安全管理 524.紧急情况 525.网络系统安全管理 526.网络安全检测。 537.信息系统安全管理 538.信息系统的内部管理 549.密码管理 55物理访问制度ISMS-3001目的为了保障公司办公区域资讯信息安全和员工人身及财物安全，防止公司财产流失，特制定本制度。范围本制度适用于公司员工外出及外来人员进入公司出入管理。职责公司设立接待人员,负责来访人员登记管理。员工外出管理员工因工作需要外出,需向相应上一级主管作出事由说明,经批准后方可外出。到客户现场提供服务或工作的人员,需带公司胸卡。来宾出入管理规定(1)凡是来宾访客（包括外包协作厂商、客户及政府等来访人员）进入公司内时，一律须出示其有效证件，说明来访事由，经被访人同意后，方可允许相关人员进入办公区。(2)团体来宾参观时，在得到总经理或副总的许可后，须由相关人员陪同方可进入。(3)员工亲友私事来访时，除特殊紧急事故，经其部门主管核准外，不得在上班时间内会客，亲友须于会客区内等候至下班时会见。(4)公司内部核心区域出入管理规定1)敏感区域公司敏感区域主要为内部机房和经理室.公司安装监控器;实施办公区域24小时监控.2)如需进入上述敏感区域，需经管理者代表/总经理同意,否则不得进入。l 相关文件物理访问控制程序相关记录无外部相关方信息安全管理规程ISMS-3002目的为确保被外部相关方访问、处理、共享、管理的组织信息及信息处理设施的安全，特制定本管理规定。范围本管理规定适用于公司外部相关方(包括顾客.供方.第三方)管理。职责技术部系统管理员负责制定本规定并负责执行。管理规定(1)第三方物理访问须经公司被访问部门的授权,具体执行《访客管理制度》.(2)公司与顾客需明确规定信息安全要求，公司规定在与客户签订合同中需规定必要的安全要求。(3)服务器访问权需由技术部统一授权给用户,一个用户给予惟一账号,口令自行保管.(4)本公司公网接入服务提供方等为外包过程,此类外包服务商应由技术部组织签订服务协议/合同,并应收集其相关资质,经公司评估成为合格供方后方可与之进行经济来往.(5)采购供方或任何其它相关方人员现场访问公司现场时,需由技术部接待,需要涉及到公司重要应用软件、重要设施及重要数据的访问时,必须由技术部人员授权方可使用或查阅,涉及到资料复制名外借时,公司重要数据和文件需征得总经理同意.(6)《服务合同》1年注意更新。与政府相关资质申报及年审规定ISMS-3003目的:为公司对外与政府相关部门的相关业务联系提供指导;职责:技术部负责各项政府项目的申报。财务部负责报税和营业执照年审。技术部相关管理要求:(1)申报相关流程;由技术部按各政府部门项目申报的要求下载相关表格,并按要求组织填报.(2)申报涉及到相关经营数据的审核相关经营数据在上报给政府部门前，先由核对数据，再交由综合部，审核通过后由总经理盖公司公章。(3)技术部申报材料的备份管理所有上报给政府部门的文件数据都备份一份，由技术部资质人员整理归档保存在办公室档案室中，并记录档案文件编号。(4)材料保密要求所有档案文件材料由技术部专员负责看管，其他人员如要查阅，需先向技术申请，获得总经理批准认可后，到存放档案的办公室中查阅相关文件，档案文件不允许带出办公室。相关资质申报年审管理要求(1)报税管理要求用政府财税处相关报税软件，在线填写企业经营数据，完成后由软件系统上报。(2)营业执照管理要求接到政府相关部门通知后，持企业营业执照到指定政府办事处办理营业执照年审手续。信息系统容量规划及验收管理制度ISMS-3004目的针对已确定的服务级别目标和业务需求来设计、维持相应的技术部服务能力，从而确保实际的技术部服务能够满足服务要求。范围适用于公司所有硬件、软件、外围设备、人力资源容量管理。职责技术部负责确定、评估容量需求。内容(1)容量管理包括：服务器,重要网络设备：LAN、WAN、防火墙、路由器等；所有外围设备：存储设备、打印机等；所有软件：操作系统、网络、内部开发的软件包和购买的软件包；人力资源：要维持有足够技能的人员。(2)对于每一个新的和正在进行的活动来说，公司管理层应识别容量要求。(3)公司管理层每年应在管理评审时评审系统容量的可用性和效率。公司管理层应特别关注与订货交货周期或高成本相关的所有资源，并监视关键系统资源的利用，识别和避免潜在的瓶颈及对关键员工的依赖。(4)技术部应根据业务规划、预测、趋势或业务需求,定期预测施加于综合部系统上的未来的业务负荷以及组织信息处理能力，以适当的成本和风险按时获得所需的容量,信息资产密级管理规定ISMS-3005目的确保公司营运利益，并防止与公司营运相关的保密信息泄漏。范围本办法适用于公司所有员工。保密信息定义保密信息指与公司营运相关且列入等级管理的相关信息。秘密等级区分等级分为秘密、内控、公开三类，区分标准如下： (1)秘密：凡该信息泄漏后，足以严重损害本公司利益或有利于竞争对手的。(2)内控：凡该信息泄漏后，虽不致直接影响本公司利益，但可能使本公司经营管理因而造成困扰，需限制其阅读对象的。(3) 内控：凡该信息泄漏后，虽不致直接影响本公司利益，但可能使本公司经营管理因而造成困扰，需限制其阅读对象的。(4) 公开：指可对社会公开的信息，公用的信息处理设备和系统资源.信息的分类(1) 信息资产的分类可参见附件＂信息分类表＂。如未列入分类表的信息资产，可依照下面的原则进行判断：(2) 秘密，由信息保管单位主管判定，且至少须为部门以上主管。(3) 内控，由保密信息保管单位自行判定。保密文件的标识(1) 文件类的信息在判定等级后，加盖印章于文件及附件各页右上角或其它明显处。如页数太多，得酌情抽页盖骑缝章。但级信息应予编码管控。(2) 非文件类的保密信息，包括档案、电子邮件、投影片等，于判定等级后，应于资料传送／显示前告知使用人或相关人员该项信息的密级。(3) 印章由技术部统一刻制，发放给各个部门使用。传送(1) 内部传送(2) 秘密、内控：保密信息保管单位应将印刷形式保密信息密封后注明等级，再装入传递袋中发送收件人;软件形式定稿和完整信息以电子邮件方式传递时应加密;内控信息可不加密。(3) 外部传送：印刷形式保密信息于外部传送时应以挂号函件或其它适当方式寄送收件人。任何软件形式的等级信息于公司外系统、或于公司外使用环境情况下，非经加密均不得以电子邮件方式传递，以避免遭拦截转送。(4) 其它未判定为任一等级但仍具有敏感性或半成品性质的信息于传送前可应视情况加密。其它(1) 保密信息不得用于公司以外的公开活动（如演讲、授课、一般资料调查、出版发行等），如须于前述活动使用，应准用第五条的规定，并经管理者代表核准。(2) 保密信息应由管代/相关负责人妥善保管，并善尽管理保护职责。(3) 离职员工应缴出其所持归公司所有的一切资料及其任何形式复印件、副本，并确定确实归还全部所持公司文件。(4) 新进人员于入职当天即应签署员工保密合约，在新进人员签署上述文件时，综合部应对合约书上有关企业保密信息等有关条文详加说明与解释，务必使新进人员充分了解并遵守企业保密信息有关事项。(5) 保管人员判定保密信息无继续保存的必要时，可经各判定主管的上一级主管核准后销毁。信息、信息无保存必要时，应将正本连同复印的保密信息，由原保管单位统一收回销毁。(6) 本办法经总经理核准后公告实施，修订时亦同。信息系统设备管理规定ISMS-3006目的和范围本程序是对信息资产分类中物理资产下的硬件设备的规划、购置、安装、验收、使用、维护、处置等各阶段进行有效控制，在保证设备安全的前提下最大限度发挥设备的效能，同时减少由于设备入网造成安全安全风险。引用文件(1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。(2) ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求(3) ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细则(4) 介质管理规定(5) 笔记本电脑管理规定(6) 机房管理规定职责1) 技术部:负责信息设备的规划、安装、验收、使用、维护、处置。信息设备指公司综合部建设方面所需的硬件设备。负责重大设备或新类设备的安全评估、风险分析和安全验收。设备管理流程(1)设备入网1) 需按设备本身提供的“设备安全操作说明书”进行正确操作和使用，设备在日常使用过程中应注意安全；2) 系统工程师应查找有关的风险评估报告，确定准备入网的设备是否已做过风险评估。3) 如果没有类似的设备做过风险分析和处置计划，则应按风险评估的要求，通知信息安全管理小组进行。4) 如果做过风险分析和处置计划，则应按照相关的处置计划和实施要求，制定设备入网计划。5) 系统工程师对计划入网的设备在独立的测试环境中进行测试，测试通过后提交综合部审批。6) 技术部批准入网申请后,由系统工程师组织设备入网。7) 设备入网应按照处置计划和入网计划对设备进行安全加固。8) 对入网系统进行一段时间的监控，以观察入网是否生效。如果发现问题,要及时进行处理,必要时要寻求供应商的协助。监控一段时间后，设备担当组织人员进行验收，并通知信息安全管理小组对系统进行安全检测。(2)设备安置与保护(3)信息设备安装管理1) 技术部对信息设备安全的安置与保护工作，包括对温度、湿度的监测和日常的巡检等，详见《机房管理规定》。2) 信息安全设备的安置应按照设备制造商的说明，安置工作由专业人员进行。3) 信息安全设备安置要选择能够避免或减少未授权访问的物理场所，应采取措施以减小潜在的物理威胁的风险。4) 重要系统使用的信息设备安置在专用的机房内。5) 安置在室外的信息设备要注意防盗、防雨、防雷、防尘、防腐蚀等工作。6) 确保消防设备充足并随时可用，定期进行消防演练。(4)支持性设施安置管理1) 技术部负责信息安全设备支持性设施的管理工作，包括提供、维护、维修等。2) 对支持关键业务操作的信息设备，使用不间断电源（UPS）。UPS设备要定期地检查，，详见《机房管理规定》。3) 应急电源开关应位于设备房间应急出口附近，以便紧急情况时快速切断电源。万一主电源出现故障时要提供应急照明。4) 技术部要确保通风和空调系统等运行良好，对其运行情况可进行定期检查。(5)线缆安全1) 公司网络系统进入信息设备的电源和电信线路布在地板上,要建有冗余线路或留有可替换线路，以保障线路的可用性。2) 电缆要避开公众区域,铺设电缆要有线槽保护，以避免未授权窃听或损坏的危害。为了防止干扰,电源电缆要与通信电缆分开布线。3) 要采取切实有效的措施防范鼠患，防止电缆被鼠噬。4) 电缆要使用牢固、清晰、可识别的标记,使用文件化配线列表减少布线失误的可能性,以使失误最小化，详见《机房管理规定》。(6)设备移动1) 在公司物理环境以外严禁放置服务器、交换机、电脑等信息设备。2) 公司原则上禁止机房设备移出公司物理环境。如确因工作需要，如展会、维修等，需将公司的服务器、交换机、路由器等信息设备移到办公地点外使用，需经研发主管批准后才能移出公司的物理环境。3) 如需要供应商将设备移出公司物理环境进行维修时，在设备移出前，设备管理人员要将设备中敏感信息从设备中删除或确保维护人员对其不可访问或获取。4) 离开建筑物的信息设备和移动介质在公共场所要有专人看护和保管，不允许无人值守，适当时，还要施加其它措施进行控制，例如上锁，以防止损坏、盗窃等事件发生。5) 笔记本在公司办公场所以外使用，依《笔记本电脑管理规定》。(7)维护、保养1) 机器设备日常维护由设备使用者在日常使用时进行，维护项目限于查看设备外观有无明显损坏、是否正常工作、是否通电正常等内容。2) 定期维护由技术部专业工程师或供应商进行，定期维护根据不同设备决定不同的维护周期，从一周一次到半年一次不等，定期维护项目包括软硬件更换、性能检查、性能调优等。3) 定期维护和年底维护后，要将维护项目、维护过程、维护人员、维护结果等内容详细记录在《设备维护记录》中。(8)设备处置1) 设备的处置由设备使用部门提出，经经总经理批准后，对设备进行处理；2) 信息设备在处置过程中须考虑信息安全。3) 设备报废前设备管理责任人要负责删除所有信息，对包含敏感信息的设备要对其信息载体在物理上应予以销毁，或者采用使原始信息不可获取的技术将其安全地重写，如消磁。4) 信息设备的报废工作由综合部负责，需要填写《废弃介质处置记录》,经总经理批准后，才能进行报废。5) 对于因闲置、人员离辞或设备换代等原因不再使用的信息设备，特别是个人电脑，在设备归仓前，要采用信息不可获取的技术将其敏感信息、工作信息和个人信息删除。以确保在设备重用时，重用者不会获得与其工作无关的内容。6) 对试用设备和测试设备（无论是自有的还是供应商的）中的信息在试用和测试后，由试用或测试人员立即清除，防止重要信息泄露。7) 废弃介质处理方法参见《介质管理规定》实施策略(1) 设备管理规定涉及到包括《设备维护记录》共1个表单。(2) 对设备的定期维护等内容详细填写《设备维护记录》。相关记录本程序发生的记录汇总表 ISMS文件日常应用表格表号记录编号记录名称保管场所保存期限保存形式备注表A.1ISMS-3009-01设备维护记录表技术部1年电子机房管理规定ISMS-3007目的和范围为科学、有效地管理机房，促进各信息系统在机房安全的、稳定的、高效的运行，特制定本规定。引用文件(1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。(2) ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求(3) ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细（4）设备管理规定（5）访问控制程序职责和权限技术部：负责责机房的日常检查、维护和管理工作，及当发生紧急事件时，按应急预案进行相应的处置。机房出入制度(1) 机房的进出由技术部严格管理。机房的钥匙保存技术部。如需进入机房，必须得到技术部的授权，在技术部领取钥匙后方可进入。(2) 未经许可不准携带任何磁带（盘）、磁介质和资料进入机房。经特许携带的，必须由专人陪同方可进入。(3) 未经许可不允许使用摄影、录像、笔记、或其它音像记录设备等。机房环境管理(1) 技术部对机房环境每半月进行一次检查，对发现的问题要及时解决。填写《机房巡检记录表》。(2) 机房内要保持设备无尘、布线整齐、物品就位、资料齐全。(3) 机房内严禁堆放与工作无关的其它物品及纸质物品。做好消防灭火设备检查工作(4) 机房内禁止饮食、吸烟、打闹、大声喧哗，机房内不得会客、闲谈。(5) 机房内备有温度计和湿度计，温度保持在18℃-25℃，湿度保持在40%-60%。温度计和湿度计应每年作一次检测。(6) 机房接地系统要符合相应的技术标准，各个设备交流工作电源应有工作接地，机柜应有效接地。。(7) 机房配电柜要有防雷设施，进出机房的电缆应有防雷措施。(8) 机房用电要使用独立的电线，专用变压器、电源稳压器等。(9) 机房的环境应达到机房建设的设计要求。机房设备管理(1) 机房要有完整的网络拓扑图、物理拓扑图。(2) 机房内的所有设备应贴有设备标签，并注明设备的主要参数。(3) 主机系统和网络设备的各类接线的两端应设置标签，网络接口侧应注明连接的设备。(4) 对主要网络设备如核心路由器、交换机、防火墙、IDS等设备的配置文件每6个月进行进行一次评审。(5)对机房的主机设备及智能网络交换装置应严格管理，做好事故预想，制定周密的故障应急措施。(6)严禁擅自在运行的小型机、交换机、路由器等设备上进行开发、维护、调试或学习培训等工作。(7)实施策略1) 机房管理规定涉及的《机房巡检记录表》共1个表单。相关记录本程序发生的记录汇总表 ISMS文件日常应用表格表号记录编号记录名称保管场所保存期限保存形式备注表A.1ISMS-3021-01机房巡检记录表信息安全小组1年纸质 笔记本电脑管理规定ISMS-3008目的建立笔记本电脑设备的使用规定及其与互联网的连接制度，这些规定是保持信息资源保密性、完整性和可用性所必需的。为加强业务笔记本电脑设备的合理利用与笔记本电脑设备信息安全管理，特制定该管理规定。适用所有业务部门员工和需在业务部门办公室工作的人员。引用文件(1).下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。(2).ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求(3).ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细则(4).防范病毒及恶意软件管理规定职责和权限(1) 总经理：负责笔记本电脑申请的审批(2) 技术部：负责笔记本电脑的发放管理(3) 使用人员：负责便携计算机的日常使用保养和维护。笔记本电脑使用规定(1) 公司所有笔记本电脑由使用人员自行保管负责,若是公司统一配置的在辞职时应到综合部办理电脑交接手续,并在《离职交接清单》中作好备注。(2) 技术部授权使用的笔记本电脑未经部门经理同意严格禁止带出公司。(3) 未经许可，员工不得携带个人笔记本电脑设备进入公司办公场所。(4) 笔记本电脑设备必须有严格的口令访问控制措施，口令设置需满足公司安全策略要求。(5) 对无人看守的笔记本电脑设备必须实施物理保护，必须放在带锁的办公室、抽屉或文件柜里；(6) 笔记本电脑设备丢失或被窃后应及时报告给部门经理和技术部。(7) 除自然损坏外，凡人为损坏（如撞坏、跌坏、电源插错烧坏等）由本人负责修好，费用由个人承担。(8) 便携机中除工作所需的软件外，不导入其他与工作无关的软件。特别要保证便携机不带病毒。安全配置规定(1) 授权使用的笔记本电脑设备必须安装公司安全策略规定的防病毒软件；(2) 笔记本电脑设备每月进行一次病毒软件和操作系统补丁检查和评审,由电脑使用人员自行负责.(3) 笔记本电脑设备若支持内置的硬盘加密措施，应启用该措施，以免电脑或硬盘丢失后造成数据泄密。(4) 公司采用相关产品和方法对笔记本数据进行加密处理和使用，防止信息泄密。(5) 公司采用相关产品和方法对笔记本进行监控(6) 公司内部未经授权禁止开启无线网卡功能。禁止使用公司外部的未设安全机制的无线网络，系统管理员要每月扫描一次公司能接受到的外部不安全网络。(7) 公司的无线网络仅供授权的技术支持人员使用，其他未经技术部授权禁止便携机连入使用。外部人员使用笔记本的规定(1) 外部人员使用的笔记本电脑只能连接到公共上网区，通过独立于公司内部的专用网络上网。出于安全考虑，一般不予考虑客人接入公司内部网络。(2) 外部人员接待负责人需提前通知技术部该外部人员笔记本电脑使用的地点，便于技术部配置相关网络。(3) 若外部人员需要在业务办公地点长期工作（指超过2周时间），需经技术部经理批准。客户现场管理规定(1) 在客户现场进行开发及维护等工作时，在遵守本公司管理规定时，同时要遵守客户的管理方面相关规定。(2) 如在客户现场工作时需要使用笔记本，相关部门人员应尽量使用本部门公共笔记本，并进行登记。(3) 在客户现场使用笔记本工作时，必须注意信息的保密，防止笔记本内信息泄露。(4) 笔记本内新产生的数据应及时在客户备份系统或公司备份系统上进行备份，防止数据丢失。实施策略自行保管负责;无线网络加密上网;相关记录无介质管理规定ISMS-3009目的和范围任何信息设备，如：计算机、交换机、打印机、传真机、复印机等，都需要介质进行存储，当存储设备或可移动介质需要转移或销毁时，如果处理不当，很容易造成信息泄漏。因此，必须按规定执行处置。适用于移动存储设备/介质在本公司办公场所及房机内的使用管理。引用文件(1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。(2) ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求(3) ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细则职责和权限(1) 综合部负责对公司各类的可移动介质和存储介质的发放、使用、处置的进行管理。(2) 介质使用部门和使用者(3)由部门负责管理的介质，由该部门领导指定专人负责保管。个人使用的介质由本人负责保管。介质管理(1)介质分类1) 技术部对公司使用的介质，进行介质分类，制定《介质管理分类表》。2) 介质分为一般介质和可移动介质，一般介质包括：计算机存储介质，可移动介质是指U盘、移动硬盘、数码相机、光盘、光盘刻录机、PDA、带USB接口的MP3/MP4播放器等。(2)介质使用管理1) 一般情况下公司禁止使用可移动介质。2) 确因工作需要使用移动介质，须经本部门领导批准后方可到技术部领用。3) 技术部负责可移动介质的发放，并填写《可移动介质授权使用表》。4) 授权用户要注意保护自己所属可移动介质不被盗取。5) 授权用户要注意保护自己所属可移动介质不被盗取。保管时要放置于安全的区域内，如带锁的柜子；6) 非本公司工作人员禁止在内部网络设备上使用可移动介质。7) 各使用人必须每月一次对自己使用的移动介质进行病毒扫描。8) 使用可移动介质保存公司秘密数据时，移动介质必须采用必要的加密措施，防止信息泄露，有条件时使用带有加密功能的可移动介质设备。9) 用户在将可移动介质带离公司后，要为其上所有信息资源的安全负责，做好安全保护工作。一旦遗失，立刻上报技术部进行登记。10) 光盘的刻录：a) 带有公司标志的光盘，只能刻录公司自己的程序软件，不得刻录例如操作系统、数据库等软件。b) 公司销售时，必须刻录光盘时，由技术部专门负责人进行刻录，其他人员不得随意刻录光盘。(3)客户现场使用规定1) 必须严格将笔记本病毒防火墙升级到最新。2) 能使用客户提供的U盘、移动硬盘的，使用客户提供的设备。3) 必须使用自己的U盘、移动硬盘在客户计算机上使用的，必须先对U盘、移动硬盘进行病毒扫描，保证提供给客户的设备中不包含病毒。(4)介质处置1) 技术部对介质分类表内的介质的废弃进行统一管理，对废弃的介质采用恰当的介质处置方法。2) 计算机硬盘、U盘、可移动硬盘、光盘、数码存储介质等报废时必须粉碎处理。3) 对废弃的可移动介质在《可移动介质授权使用表》中跟踪填写废弃记录。4) 对废弃的一般介质处理填写《废弃介质处置记录》5) 介质的销毁方式一般分为一般格式化、低级格式化、专业软件重写、物理粉碎。6) 对无敏感信息的介质作一般格式化即可，在保证质量的基础上重新分配和使用。7) 介质中保存有敏感信息的存储介质应当得到安全的存放和处置。对于含有敏感信息的介质应采用低级格式化或专业软件重写，反复次数为三次，才能重新分配和使用。8) 保存有敏感信息的存储介质废弃时，要进行粉碎处理。实施策略(1) 介质管理规定涉及的《介质管理表》中包括《介质管理分类表》、《可移动介质授权使用表》、《废弃介质处置记录》。(2) 技术部制定《介质管理分类表》。(3) 技术部负责可移动介质的发放，并填写《可移动介质授权使用表》。(4) 对废弃的可移动介质在《可移动介质授权使用表》中跟踪填写废弃记录。(5) 对废弃的一般介质处理填写《废弃介质处置记录》相关记录本程序发生的记录汇总表ISMS文件日常应用表格表号记录编号记录名称保管场所保存期限保存形式备注表A.1ISMS-3012-01介质管理分类表技术部3年电子表A.2ISMS-3012-02可移动介质授权使用表技术部3年纸质表A.3ISMS-3012-03废弃介质处置记录技术部3年电子变更管理规定ISMS-3010目的对信息处理设施和系统的变更缺乏控制是系统故障或安全失误的常见原因，为规范本公司信息系统的变更，降低因信息系统变更带来的风险，特制定本程序。引用文件（1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。（2) ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求（3) ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细则职责和权限（1) 技术部：技术部是公司信息系统变更的归口管理部门，负责批准变更的计划、实施、恢复，总体评价变更影响，决策管理；并实施变更。(2) 其他各部门：负责分管的各自工作系统的计划申请和总体评价变更影响。变更步骤管理变更申请---变更审批----变更处理.程序(1)变更分类1)技术部设备变更：包括系统中服务器、网络设备、传输线路及计算机终端的新增、减少及其设备本身的变化（包括设备的报废）；2)操作系统软件变更：包括新安装、补丁、版本升级及更换（如打ZLJY2补丁）；3)开发软件包的变更。(2)技术部设备变更控制软件设备（包括传输线路)的变更需求由技术部门根据组织业务发展的需要提出，填写《变更申请审批处理表》，经技术部门经理批准后予以实施。(3)操作系统软件变更当软件厂商发布操作系统或应用软件的更新补丁或版本时，技术部人员负责分析更新内容对公司现有业务及工作的影响，技术部人员可以先选一台测试机安装最新补丁，在未发现对工作业务产生重要负面影响的前提下，为使用该操作系统或应用软件的用户安装补丁。(4)软件的变更控制当客户重新对项目的某一或某些模块进行重要要求时，项目组负责跟踪客户的新要求,进行业务及可以行性分析，组织有关人员进行方案评审，考虑系统改造对现有业务的影响，并制定有效的风险控制措施，方案在评审通过后，修改《需求开发说明书》，针对发生变更的模块，修改相应的详细设计书，数据库说明书，源程序。并对整个项目重新进行测试。在软件正式变更前，项目组应考虑以下方面的安全要求：1)变更对目前业务的影响；2)变更对现有软件的影响；3)变更实施前应进行安全测试；4)不成功的变更恢复措施。在变更实施前，由技术部门填写《变更申请审批处理表》，明确变更的原因、变更范围、变更影响的分析及对策（包括不成功变更的恢复措施），经技术部人员批准后予以实施。(5)变更实施的安全要求在变更实施之前，必要时，将重要的数据、系统软件进行备份，以便变更不成功之后的恢复。在变更实施之前，必要时，应和相关部门协商，以便确定适当的变更时间，尽可能的将对业务的影响减至最低。(6)变更验收与记录当变更成功提交后，需由用户进行验收，确认其是否已完成用户所提的要求，达到预期的效果，并记录此次变更操作。(7)设备报废设备报废应得到综合部批准后实施。报废设备中存有敏感信息，必须予以清除.(8)变更后软件备份要求当变更完成后，需将此次所运行的软件进行备份，包括其相关资料，以便再一次变更以及资料查询；如果此次变更涉及到一些资料文件，则这些资料文件也必须做相应的变更并存档。(9)变更不成功的恢复措施取消所做变更，从备份资料中获得原始软件资料，重新运行，恢复原始状态。根据变更操作记录，查找变更失败原因，以便再次做变更操作时避免同样的错误发生。第三方服务管理规定ISMS-3011目的和范围对第三方提供的服务进行规范，减少由于服务不规范带来的信息安全方面的风险。引用文件(1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。(2) ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求(3) ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细则职责和权限(1) 技术部：是信息安全方面的第三方服务的归口管理部门，负责对信息安全方面的第三方服务的定期监控和评审。(2) 技术部：是日常行政管理方面的第三方服务的归口管理部门，负责对行政方面的第三方服务的定期监控和评审。负责第三方服务合同中条款的审核。第三方服务管理规定(1) 技术部汇总各部门的资产识别表，整理出公司的《第三方服务汇总表》，明确需要按本规定进行管理的第三方服务项目和其中重要的第三方服务。(2) 将设备、网络、系统、软件、信息安全、保安、保洁等事项进行外包时，重要的第三方服务必须签订要与第三方服务提供方签署《服务合同》，能接触到公司敏感信息资产的服务项目的服务合同中应包含第三方保密要求的内容。(3) 所有的第三方服务的提供方需提供服务人员的姓名、联系方式等信息，技术部汇总《第三方服务厂商联系表》(4) 重要的第三方服务人员服务时相关的原始服务单据由归口管理部门负责验收签字并保存好相关服务记录。(5) 对服务提供方技术人员在现场处理需要设备入网时，必须经技术部门领导同意后方可入网。(6) 对第三方提供服务的能力进行评定，必要时通过招投标，确定合格第三方。(7) 要确保第三方保持充分的提供服务的能力，即便发生重大的服务故障或灾难也能保持服务的连贯性。(8) 每次第三方服务完成时指定专人按照服务合同要求对服务内容和质量进行记录和评审，并在相关服务原始记录中作好验收签字确认。(9) 第三方服务归口管理部门应每年对服务提供商进行定期评审，以确认是否继续列为合格服务商。(10) 当服务提供方发生变更时，进行服务提供方变更登记，并进行服务、现有状态的评估。对变更后的服务提供方进行服务评估。实施策略(1) 第三方服务管理规定中涉及的《第三方服务管理总表》包括《第三方服务汇总表》、《第三方服务厂商联系表》共2个表单。(2) 技术部整理出公司的《第三方服务汇总表》(3) 重要的第三方服务必须签订要与第三方服务提供方签署《服务合同》,能接触到公司敏感信息资产的服务项目的服务合同中应包含第三方保密要求的内容。(4) 技术部汇总《第三方服务厂商联系表》。(5) 第三方服务归口管理部门应每年对服务提供商进行定期评审,必要时调整服务供方.(6).相关记录本程序发生的记录汇总表 ISMS文件日常应用格式汇总表号记录编号记录名称保管场所保存期限保存形式备注表A.1ISMS-3014-01第三方服务汇总表技术部3年电子表A.2服务合同技术部3年纸质表A.3ISMS-3014-02第三方服务厂商联系表技术部3年电子 数据备份管理规定ISMS-3012目的和范围为确保数据的完整性及有效性，以便在发生信息安全事故时能够准确及时的恢复数据，避免业务的中断，特制定本规定。引用文件(1).下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。(2)ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求(3)ISO/IEC17799:2005信息技术-安全技术-信息安全管理实施细则(4)系统维护与监控管理规定职责和权限技术部负责公司内部系统运营相关数据的备份管理控制.技术部负责本公司软件开发所需相关数据的备份管理控制.其它各个部门根据自己部门的业务特点，建立各自的备份策略进行备份。备份管理备份策略(1) 公司各部门根据数据重要程度和工作需要提出需要备份的数据。(2) 信息安全小组根据各制定《备份策略明细表》，明确各项备份数据备份的详细策略。(3) 信息安全小组每半年对备份策略进行评审，确定是否满足各部门备份要求。(4) 建立备份环境，安装调试备份软件。(5) 应建立备份拷贝的准确完整的记录和文件化的恢复程序；(6) 备份的程度（例如全部备份或部分备份）和频率应反映组织的业务要求、涉及信息的安全要求和信息对组织持续运作的关键度；(7) 备份要存储在一个远程地点，有足够距离，以避免主办公场所灾难时受到损坏；(8) 若可行，要定期测试备份介质，以确保当需要应急使用时可以依靠这些备份介质；(9) 恢复程序应定期检查和测试，以确保他们有效，并能在操作程序恢复所分配的时间内完成；(10) 在保密性十分重要的情况下，备份应通过加密方法进行保护备份的验证(1) 备份负责人根据《备份策略明细表》，检查备份的工作是否按照备份策略实际的进行了。如果未按照备份策略进行备份，备份负责人指令备份人重新进行备份。(2) 备份负责人根据实际需要，确定哪些非常重要的数据需要做恢复测试，需要恢复测试数据的恢复测试频率，对备份数据进行定期验证。(3)备份数据的管理1) 备份目录应进行严格的权限管控，无关人员禁止访问备份目录。2) 如无特殊声明，备份数据永久保存。如需废弃，需经备份负责人批准后，删除备份数据。(4)相关记录本程序发生的记录汇总表ISMS文件日常应用格式汇总表号记录编号记录名称保管场所保存期限保存形式备注表A.1ISMS-3015-01备份策略明细表技术部三年电子表A.2ISMS-3015-02备份策略检查表技术部三年电子表A.3ISMS-3015-03备份数据恢复测试记录表技术部三年电子邮件管理规定ISMS-3013目的和范围为保证公司的业务的信息安全，必须对其进行有效的管理，确保公司员工对邮件的合理使用，更好地促进内部并与第三方进行相关工作信息的交流，适用于公司业务中被批准、能够通过Email发送、收取和存储信息的所有人。每个业务的邮件使用者都应该遵守该规章制度。引用文件(1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。(2) ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求(3) ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细则职责和权限(1) 技术部：负责电子邮件系统的规划、建设和日常运行维护；负责邮件的用户名及密码的分配和管理；如有必要，负责邮件的归档，过滤及监控等工作。(2) 使用人员：申请公司的邮箱，按照公司的规定使用邮箱。电子邮件的帐户管理(1)帐户申请：公司邮箱：工作人员正式入职以后须向技术部申请邮件账号。电子邮件使用规定(1)明确禁止的行为在未授权的情况下发送公司文件、项目文档或程序代码等未授权的信息；(2) 发送或者群发与工作无关的邮件或垃圾邮件及个人信息；(3) 发送或者转发虚假、黄色、反动信息；(4) 发送或者转发宣扬个人政治倾向或者宗教信仰；(5) 利用电子邮件服务传输任何骚扰性的、中伤他人的、恐吓性的、庸俗、淫秽以及其他违反国家规定内容的信息资料；(6) 在非授权情况下以公司的名义发表或群发个人意见；(7) 利用电子邮件服务散布电脑病毒、木马程序、干扰网络上其他使用者或破坏网络系统的正常运行。邮件使用规定(1) 除非特别批准，使用白名单限制发送邮件的收件人地址。(2) 邮件系统为公司因工作需要而对外联系所用，用户必须以本人的真实身份使用用于办公用途的电子邮箱，禁止以他人名义滥发邮件或盗用他人邮箱。(3) 邮箱用户的登录密码，用户必须严格保密，不得泄露。如将其借予他人使用，由此造成的一切安全后果由邮件帐号所有人承担。(4) 用户不得将电子邮件地址用于非工作目的(特别是以娱乐、购物、交友等为目的身份注册)。(5) Email账号密码必须符合口令策略的相关规定；(6) 未经授权任何人不得尝试以他人帐户口令进行登录，阅读他人邮件内容。(7) 在对外联系中，应注意安全保密，用Email发送信息必须符合公司的相关规定；(8) 因工作需要而传递公司或项目保密文件时，经批准后，可通过加密渠道传递；(9) 通过E-MAIL发送附件时，如有必要，附件必须加密；(10) 请尽量压缩传送的文件，勿发送超过2M的附件，以免影响系统性能；(11) 对外联系时请注意通信礼仪，保持公司良好的形象；(12) 使用防病毒工具的E-MAIL保护功能，并经常查毒，有异常应及时通知管理员；(13) 发送Email必须有清楚的主题，发送前再次确认收件人列表内的人员都是必需的和正确的；(14) 用户不要阅读和传播来历不明的邮件及附件，提高对于邮件病毒的防范意识，避免传递病毒邮件。(15) 工作人员离职必须向技术部申请邮箱收回。并做后期处理。实施策略不得用个人邮箱发文件;相关记录无软件管理规定ISMS-3014目的和范围本标准规定了公司软件资产的收集、发放、管理、使用、更改、修订、备份等过程的控制要求引用文件(1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。(2) ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求(3) ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细则(4) 补丁管理规定职责与权限技术部：是软件资产(非自行开发软件)的归口管理部门。负责软件的购置、维护、作废及各部门软件资料、介质的收集、统计、归档、存放和发放使用。技术部是公司自行开发软件的归口管理部门。软件管理(1)收集对公司信息系统涉及的软件资产进行收集整理、分类归档，填写《信息资产识别表》中“软件和系统”类资产。公司内软件来源主要有以下几个方面：(2) 已有商业软件购买。(3) 技术部开发内部使用软件。(4) 免费软件的下载。(5) 识别出资产识别表中重要的软件和应用系统。审核、批准、发布(1) 新的软件使用前填写《新软件和系统登记表》，每季度根据此表内容对《信息资产识别表》里的软件和系统资产进行更新。(2) 新的软件由技术部进行测试或使用检验，测试应当包括可用性、安全性，对其它系统影响和用户友好性，测试应当在与应用系统隔离的系统中进行。(3) 新的软件测试或使用检验合格后,经相关部门领导审核并批准后提交技术部发布。软件归档和存放(1) 所有软件收集后统一登记，包括软件的开发厂家，软件数量，软件版本，许可证编号等。(2) 软件登记好后统一存放于指定位置。磁盘文件存放于指定存储空间中，由专人负责整理，各软件建立独立的文件夹，标识明确清晰，并做好软件的备份工作。光盘统一存放入文件柜中，并有明显易辨认的标识，便于整理和取用。软件使用(1) 技术部统一负责软件的发放及安装，做到及时升级和故障排除。(2) 各部门负责软件的使用，如有问题及时反馈给技术部。(3) 未经许可，任何人不得将内部使用的软件外带、传播、贩卖，不得将软件用于任何违法或非正当用途。(4) 软件使用过程中应加强保护，保持软件完整、可用，不受病毒侵害。(5) 制作《授权使用软件列表》，禁止使用未经授权的软件和未经授权的系统实用工具软件。(6) 对光盘介质类软件要考虑使用刻录的副本，原光盘进行存档处理。修订与升级(1) 各部门和技术部应根据软件的使用情况，提出软件的修订意见，相关部门领导批准后，形成统一的修订意见，由综合部负责实施。(2) 软件的升级／补丁按《补丁管理规定》进行。软件作废(1) 修订软件批准生效后，原软件应予以作废。软件使用部门接到新版本软件后，从新版本软件实施之日起，原软件作废。填写《作废软件登记表》。每季度根据此表内容对《信息资产识别表》里的软件和系统资产进行更新。(2) 应当保留原软件的以前版本作为应急之用，包括所有需要的信息和参数、程序、具体配置，以及用于数据保留存档的支持软件。(3) 原软件作废版本的光盘应有明确标识，并与其他在用光盘分开存放，电子文件应予以回收，避免引起作废软件的非预期使用。实施策略(1) 软件管理规定涉及的《授权使用软件列表》表单。(2) 收集整理、分类归档，填写《信息资产识别表》中“软件和系统”类资产。(3) 软件作废由技术部批准;并更新软件清单。(4) 综合部制作《授权使用软件列表》，禁止使用未经授权的软件和未经授权的系统实用工具软件.相关记录本程序发生的记录表ISMS文件日常应用表表号记录编号记录名称保管场所保存期限保存形式备注表A.1ISMS-3017-01授权使用软件列表综合部3年电子 系统监控管理规定ISMS-3015目的了解服务器的运行状态，检测未经授权的信息处理活动，为安全事故提供证据，确保业务系统的稳定性、可靠性、安全性。引用文件(1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。(2) ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求(3) ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细则(4) 机房管理规定职责技术部负责公司网络和系统访问活动的监控管理。系统监控管理(1)日志的分类1) 需监控的日志包括但不仅限于以下类型：2) 服务器日志：系统日志，应用程序日志和安全日志。3) 防火墙日志4) 视频监控系统的记录5) 网管软件的监控记录6) 管理员和系统操作员记录7) 故障日志补丁管理规定ISMS-3016目的为规范公司操作系统及其他网络设备的安全补丁管理操作流程，保护信息系统安全，特制定本规定。引用文件(1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。(2) ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求(3) ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细则职责与权限技术部：负责操作系统及网络设备安全补丁管理工作，包括补丁公告、补丁评估和补丁列表的维护工作：(1) 负责应用系统和数据库系统相关安全补丁。(2) 负责WINDOWS平台相关安全补丁（包括Office等MICROSOFT颁布的补丁）。(3) 负责网络设备相关安全补丁。(4) 负责安全产品相关安全补丁。补丁管理规定Windows操作系统补丁：(1) 公司重要服务器的补丁由技术部下载、测试及安装。综合部的开发服务器，由技术部进行补丁的下载、测试及安装。(2) 技术部在发现windows操作系统发布新补丁后，在公司的公共平台上发出补丁更新通告，各部门的负责人统一安排部门进行补丁升级。(3) 技术部每季度对补丁更新情况进行抽查。其他补丁：(1) 技术部制定《补丁管理策略明细表》，评审并明确需要进行补丁管理的补丁类型。(2) 评审并明确需要进行补丁测试的补丁类型。(3) 对重要服务器进行评审，得出在升级系统补丁前应进行测评的服务器列表,填写《重要服务器补丁测试记录表》(4) 对需要手工下载管理的补丁类型，需要检查补丁的来源是可靠的，如果可能，在收到补丁包后，用防病毒软件检查。(5) 服务器在安装补丁应采用手工升级，并延迟补丁发布后一星期，避免最新补丁本身问题给服务器带来的风险。(6) 当供应商发布紧急的非常规的安全补丁时，系统管理员备份好系统后，必须立即进行响应。(7) 对重要服务器的补丁每季度进行一次检查。并填写《重要服务器补丁检查表》.(8) 重要网络设备的补丁每季度进行一次检查。并填写《网络设备补丁检查表》.实施策略(1) 补丁管理规定中涉及到的表单包括《补丁管理策略明细表》、《重要服务器补丁检查表》、《重要服务器补丁测试记录》、《网络设备补丁检查表》4个表单。(2) 技术部制定《补丁管理策略明细表》(3) 技术部对重要服务器在升级系统补丁前应进行测评,填写《重要服务器补丁测试记录表》(4) 技术部对重要服务器/网络设备的补丁每季度进行一次检查。并填写《重要服务器补丁检查表》和《网络设备补丁检查表》.相关记录本程序发生的记录汇总表ISMS文件日常应用表表号记录编号记录名称保管场所保存期限保存形式备注表A.1ISMS-3019-01补丁管理策略明细表综合部3年电子表A.2ISMS-3019-02重要服务器补丁测试记录表综合部3年电子表A.3ISMS-3019-03重要服务器补丁检查表综合部3年纸质表A.4ISMS-3019-04网络设备补丁检查表综合部3年纸质信息系统审核规范ISMS-3017目的和范围确保本公司制定的信息安全策略和规定能够定期评审和正确执行。术语和定义ISO/IEC27001:2005《信息技术-安全技术-信息安全管理体系要求》ISO/IEC27002:2005《信息技术-安全技术-信息安全管理实施细则》规定的术语适用于本标准。引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细则合规性管理程序补丁管理规定职责和权限(1) 制定信息系统安全审核策略(2) 对信息系统进行定期审核活动描述(1) 技术部根据公司情况，制定出公司在用户管理、权限管理、漏洞扫描、渗透测试等方面的审核策略，必要时填写《信息系统定期评审策略明细表》(2) 管理人员应确保在其职责范围内的所有安全程序被正确地执行，以确保符合安全策略及标准。(3) 管理人员应对自己职责范围内的信息处理是否符合合适的安全策略、标准和任何其它安全要求进行定期评审。(4) 信息系统应被定期检查是否符合安全实施标准。(5) 任何技术符合性检查应仅由有能力的、已授权的人员来完成，或在他们的监督下完成。(6) 涉及对运行系统检查的审核要求和活动，应谨慎地加以规划并取得批准，以便最小化造成业务过程中断的风险。(7) 漏洞扫描管理：1) 管理员应定期进行漏洞扫描，客户端和服务器可考虑使用奇虎360工具进行漏洞扫描。2) 根据漏洞扫描结果，管理员应及时根据《补丁管理规定》及时修补系统漏洞。3) 渗透测试管理：4) 技术符合性检查应由有经验的系统工程师手动执行（如需要，利用合适的软件工具支持），或者由技术专家用自动工具来执行，此工具可生成供后续解释的技术报告。5) 如果使用渗透测试或脆弱性评估，则应格外小心，因为这些活动可能导致系统安全的损害。这样的测试应预先计划，形成文件，且重复执行。审核注意事项：(1) 应与合适的管理者商定审核要求；(2) 应商定和控制检查范围；(3) 检查应限于对软件和数据的只读访问；(4) 非只读的访问应仅用于对系统文件的单独拷贝，当审核完成时，应擦除这些拷贝，或者按照审核文件要求，具有保留这些文件的义务，则要给予适当的保护；(5) 应明确地识别和提供执行检查所需的资源；(6) 应识别和商定特定的或另外的处理要求；(7) 应监视和记录所有访问，以产生参照踪迹；对关键数据或系统，应考虑使用时间戳参照踪迹；(8) 应将所有的程序、要求和职责形成文件；(9) 执行审核的人员应独立于审核活动。相关记录信息系统定期评审表序号记录编号报告/记录名称保管场所期限保存形式备注A.1ISMS-3020-01信息系统定期评审明细表技术部3年电子文档基础设施及服务器网络管理制度ISMS-3018 机房安全管理程序（1） 总则1）为加强信息机房（计算机房）及其设备安全管理，预防信息设备事故发生，根据国家法律、法规及行业安全管理要求，制定本规定。2）信息机房是指公司为保证信息化管理工作需要，专门用于存放提供电子信息服务、信息储存设备、服务器、电脑、交换机、备用电源等信息设备的场所。3）信息机房安全工作坚持“安全第一、预防为主”的方针，贯彻执行“谁主管，谁负责”的原则。（2） 职责1）技术部主要负责人公司信息中心机房安全管理第一责任人，并对公司信息设备安全工作进行指导和监督。2）公司技术部应落实安全管理责任，指定专人负责机房安全管理工作，并对机房管理人员进行必要的安全知识培训，使其具备机房安全管理的能力。3）信息机房管理人员定期检查机房设备及线路，安全管理人员定期检查消防器材、火灾自动报警、火灾自动灭火系统等消防设施，保证其状态良好。4）信息机房钥匙应由机房管理人员保管，非信息中心工作人员未经许可不得擅自入内。（3） 安全管理1）信息机房建设应符合《计算机场地安全要求》，满足以下消防要求：l 机房环境应避开易发生火灾危险程度高的区域，l 机房的工作间与设备间应作分隔，具有良好的人机工作环境，保障工作人员的安全与健康；l 机房应安装独立空调设备；l 机房禁止使用水、干粉或泡沫等易产生二次破坏的灭火剂；l 机房应有防火、防潮、防尘、防雷、防静电、防鼠等措施；l 机房面积大于10平米以上应配置应急照明装置和安全出口指示灯；l 机房应配备实时监视摄像设备，并与所在区域的视频控制系统对接；（2）其他安全法规要求。l 机房内温度应控制在20℃～25℃之间，湿度应控制在25％～60％之间。l 信息机房内面积大于10平米以上应配置足够的二氧化碳灭火器，信息机房除配置灭火器外，还应安装火灾自动报警系统和气体自动灭火系统。l 信息机房应有可靠的供电系统，应有单独的配电柜。l 信息机房应配备不间断电源设备，其容量应保证机房设备和关键作业设备在断电情况下，能够持续供电1小时以上。l 电源变压器一类的用电设备（如充电器、调制解调器电源、录音机电源、录音电话电源等），在通电状态下不得直接放置在地毯或其它易燃物品上，以免发生火灾事故。——信息机房内各类通讯线路和设备应有独立的直流地、交流工作地和防雷保护地，定期检测接地良好性，并增加相应的防雷设施。（3）病毒防治管理l 计算机必须安装经过国家安全保密部门许可的查、杀毒软件。l 每周升级和查、杀计算机病毒软件的病毒样本，确保病毒样本始终处于最新版本。l 每周对计算机病毒进行一次查、杀检查。l 计算机应限制信息入口，如软盘、光盘、U盘、移动硬盘等的使用。l 对必须使用的外来介质（磁盘、光盘、U盘、移动硬盘等）必须先进行计算机病毒的查、杀处理，然后方可使用。l 对于因未经许可而擅自使用外来介质导致严重后果的，要严格追究使用人员的责任。（4） 故障应急处置l 技术部网络管理员/系统管理员在接到信息设备故障报告后，根据信息设备故障现象和系统警告信息等内容对故障性质进行初步诊断，确定下一步故障排除方向。l 软件故障处理中网络管理员或系统管理员针对故障的原因进行软件调整，修复信息设备系统。对于应用软件功能性问题，则取得应用软件开发商的技术支持进行故障排除。l 硬件故障处理中网络管理员/或系统管理员对设备硬件损坏引发的故障，联系设备供应商或指定维修站进行维修。l 网络管理员/系统管理员在故障修复之前，对于信息设备内的重要参数信息及文件资料要做好备份工作。在故障修复之后要使信息设备工作状态还原至故障发生之前。l 系统管理员/网络管理员必须详细记录信息设备故障处理的过程。（5）设备管理1）未经管理人员允许，非专业维护人员不得拆装计算机及相关设备，涉及电工作业的维修应由电工进行。2）管理人员应按说明书要求对机房设备进行使用、保养和维护，禁止带电状态下进行设备维修。3）信息机房内不得擅自使用功率超过500W的临时用电设备（如电炉、电暖器、电熨斗、电吹风等），以免导致电源负荷超载而跳闸。重要信息备份管理程序(1)目的为确保所有重要业务数据和软件能在灾难之后或存储媒体损坏之后得以恢复,保证信息处理及生产数据的完整性与可用性，特制定本程序。(2)范围本程序适用于本公司重要数据（Exchange、OA、TUS）及软件的备份管理。(3) 职责1)技术部负责全公司信息备份工作的技术指导及公司各部门重要信息资产的数据和软件进行备份。2)各部门负责对本部门维护的不适合公司自动备份系统执行的重要信息资产的数据和软件进行备份。(4) 程序1)各部门应对重要信息资产清单确定的重要业务数据、操作系统、应用系统、数据库等其他重要信息进行备份。2) 信息备份的安全要求包括：根据风险评估的结果，明确备份周期和备份套数；3)对备份媒体进行标识；4)备份媒体存放于适宜的环境。5)财务重要数据采用文件加密和RAR加密的方式保存。6) 各部门根据风险评估的结果，制定《重要信息备份周期一览表》，在其中明确规定备份周期、备份方式、备份媒体及备份负责人。7) 《重要信息备份周期一览表》经部门负责人批准后予以实施；对于人工备份应填写《数据/软件备份记录》，自动备份的应在备份软件系统中保留备份日志，信息备份的记录应予以保存。8) 当软件发生更改时，应进行备份，并保障当前使用软件版本的唯一性。9) 各部门应采取适宜的方法对备份信息媒体进行标识，防止备份信息的误用，标识的内容包括：u 备份信息的名称；u 备份的日期；u 版本号；u 必要时，备份/还原工具10) 数据备份媒体应保存在适宜的环境并专人管理；涉及企业秘密的备份媒体应按照《秘密文书管理规程》进行标注，只有授权的人员才可以访问，并保存在上锁的文件柜或其他安全储存场所。11) 备份信息用于恢复的目的时应由本部门负责人进行审批，并填写《数据/软件备份恢复审批表》，根据信息备份的方法是由公司备份系统自动执行的还是手工备份的来决定由综合部或本部门经过授权的人员进行备份的恢复。12) 记录保存期限《重要信息备份周期一览表》1年《数据/软件备份记录》1年《数据软件备份恢复审批表》1年3 邮件安全管理 目的(1)随着公司信息化建设的发展及互联网络的普及，电子邮件已逐步成为广大员工在工作中进行信息交流和业务往来的主要工具。为加强企业形象宣传，规范公司电子邮件的使用管理，确保公司邮件传输的可靠性、安全性和应用水平，提高公司整个网络的运行效率，以维持邮件服务器的正常运转，特制定本管理制度。(2) 范围本制度适用于公司内所有使用公司邮件系统的员工。(3)内容使用管理l 1)公司员工以电子邮件对外联系业务时必须使用公司提供的电子邮箱，公司对员工邮箱进行统一规划和管理。职员名片及公司其它对外宣传资料上都统一标注以公司域名为后缀的邮件地址，不得标注其它的邮箱。l 2)公司员工应根据工作需要，依照公司技术部的电子邮箱申请流程，申请开通电子邮件服务。l 3)公司各级员工应根据岗位需求，在获得相关领导批准后，方可向技术部申请开通特定邮件组群的收发权限，并在调离该岗位或离职时，由HR通过电子流程通知技术部注销此权限。l 4)每封电子邮件在对外发送时其附件大小不能超过50MB，从外部接收的邮件其附件大小不能超过50MB，否则将无法正常收发，或导致公司邮件网络堵塞、瘫痪。l 5)不要打开一些不知名的、或有可疑的邮件，这样有可能造成病毒入侵公司网络，给公司造成直接的经济损失。l 6)严禁使用电子邮件群发与工作无关或带有娱乐性质的邮件。如确实需要在公司内召集、组织集体娱乐活动譬如球赛、集体出游等等，请将该邮件发送技术部负责人，由其负责群发。l 7)严禁跨部门或全公司群发邮件，以免干扰其他部门的正常工作秩序。l 8)严禁使用电子邮件群发供应简历邮件，类似“请给某某推荐工作”，除非是给HR推荐工作。征求简历邮件，允许在内部群发。l 9)员工收到公司群发的邮件后，严禁全部答复该邮件组群，以免给其他人员的工作造成干扰。(4) 责任说明1)员工应及时修改初始密码，并对邮箱帐号和密码的安全负责。员工不得自行把自己的邮箱帐号提供给他人使用，须经常改变邮箱密码以防邮箱被他人盗用。若发现有任何非法使用自己的帐号或存在安全漏洞的情况，应立即通知技术部门妥善处理。2)员工的电子邮箱只限工作交流使用，严禁传播中伤他人的、辱骂性的、恐吓性的，以及淫秽、反动等违犯国家法律法规的内容。3)严禁员工利用工作之便，向内外部无关人员发送涉及岗位或公司的信息资料4) 违纪处理任何违犯上述规定的行为，视为破坏公司正常的工作秩序，一经发现并核实，第一次将给予200元经济处罚；第二次将给予500元经济处罚，并按《员工手册》中的A类违纪处理。 机房设备维护管理制度(1) 为妥善保证网络工作的良好运行，特制定此机房设备维护管理制度。(2) 信息网络机房为用于放置、操作信息网络设备的专用房间；机房设备的管理由系统管理员负责。(3) 信息网络机房内须保持清洁、肃静、设备整齐有序；严禁在机房内吸烟、不准在计算机及工作台附近放置可能危及设备安全的物品。(4) 信息网络机房是重点防火防盗单位，必须设置专用灭火器具，并定期检查。机房管理人员为机房的安全、卫生负责人，负责机房的防火、防水、防盗等安全消防工作和日常卫生管理工作。(5) 信息网络机房内各种仪器设备由机房管理人员集中管理，耗材使用要严格登记，禁止用机房设施做与本职工作无关的事，外出时须做好交接工作。认真做好机房内各类记录介质的保管工作，落实专人收集、保管，信息载体必须安全存放、保管、防止丢失或失效。机房资料外借必须经批准并履行手续，作废资料严禁外泄(6) 信息网络机房管理人员使用服务器、交换机、UPS、空调及其它仪器设备，必须严格遵守操作规程，必须先经检查确认正常后再按顺序依次开机；结束操作必须检查确认正常关机并切断电源后方可离开。因操作不当造成仪器设备损坏，由当事人负责赔偿。(7) 信息网络机房设备应由专业人员操作、使用，禁止非专业人员操作、使用。对各种设备应按规范要求操作、保养。发现故障，应及时报请维修，以免影响工作。机房工作人员对机房存在的隐患及设备故障要及时报告，并与有关部门及时联系处理。非常情况下应立即采取应急措施并保护现场。(8) 外单位人员因工作需要进入机房时，必须由相关部门办理审批手续。进入机房后听从工作人员的指挥，未经许可，不得乱动机房内设施。外来人员参观机房，须有指定人