ISMS-2023 规范文件汇编

编号：ISMS-W00-2023版本号： V1.0受控状态： 受控密级： 内部公开信息安全指导文件(ISO/IECFDIS27001:2022)版权声明和保密须知本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属【xxx公司】所有，受到有关产权及版权法保护。任何单位和个人未经【xxx公司】的书面授权许可，不得复制或引用本文件的任何片断，无论通过电子形式或非电子形式。Copyright©2023【xxx公司】版权所有

文档信息文档编号：ISMS-W00-2023文档分类：内部公开–受控编写：审核：批准：初次发布日期：2023-1-1修改日期：2023-1-1发布日期：2023-1-1变更记录变更日期版本变更说明编写审核批准2023-1-1A/0创建目录29202目录 2228241.岗位职责说明书 3159592.数据备份规范 8179563.公司内外数据交换规范 9134714.硬件设备安全规范 1050495.网络安全规范 125696.口令控制规范 14125507.清洁桌面和清屏策略 1673358.介质使用管理规范 17319629.信息系统安全管理规范 20446610.违规惩罚制度 23634011.法律法规识别及合规性评价规范 241777212.知识产权管理规定 2646113.环境设施与物理设备管理规定 28999714.信息资产管理规定 3397915.计算机文件保密制度 371353316.保密性协议评审 39124217.移动计算机安全策略 42518.恶意软件控制管理规定 432043319.消防管理制度 452162120.密码策略 4767121.公司公章证照管理制度 501518122.电子邮件使用规范

55856323.远程访问管理制度 572902524信息系统安全集成服务规范 61861625信息系统运维服务规范 69

1.岗位职责说明书岗位名称总经理所属部门总经办直接上级无直接下级各部门经理岗位职责负责信息安全管理手册的批准；负责安全方针、安全目标的批准；负责任命管理者代表；负责主持管理评审，定期审查质量管理体系运行情况及其适用性、充分性、有效性；制定和实施公司总体战略制定和实施公司年度经营计划建立良好的沟通渠道建立健全公司统一、高效的组织体系和工作体系主持公司日常经营工作领导业务中心、总经办、产品中心、财务部开展工作资格要求：大学本科以上；相关行业5年或以上企业管理经历；通晓企业管理知识，具备技术管理、财务管理、质量管理等方面的知识；了解公司经营技术知识；具有很强的领导能力、判断与决策能力、人际能力、沟通能力、影响力、计划与执行能力、客户服务能力。培训要求1、ISO27001和ISO20000基本知识培训；2、信息安全和信息技术服务管理手册；3、管理类作业指导书；4、产品基本知识；5、公司规章制度；6、有关法律法规。特殊资格要求无

岗位名称行政主管所属部门总经办直接上级总经理直接下级行政专员岗位职责负责为公司管理层提供支持，并负责跟踪落实总经理和总经理办公会的决议；负责保证公司内部管理体系的完整和平稳运行；负责制定办公室工作计划,实现工作目标；负责公司形象推广、公关活动；公司企业文化建设；统筹管理公司后勤服务工作；部门内部管理工作；完成总经理交办的其他任务资格要求1、企业管理或相关专业；2、专科以上学历，相关3年或以上管理经历；3、掌握相应的行政管理、企业形象策划和企业文化建设的知识，了解公关宣传的常用做法；4、熟练使用自动化办公软件，具备基本的网络知识5、领导能力、判断与决策能力、人际能力、沟通能力、影响力、计划与执行能力培训要求1、ISO27001和ISO20000基本知识培训；2、信息安全和信息技术服务管理手册；3、管理类作业指导书；4、产品基本知识；5、公司规章制度；相关法律法规。特殊资格要求无

岗位名称人力资源所属部门人事行政部直接上级/直接下级助理岗位职责协助总经理制定人力资源战略规划，为重大人事决策提供建议和信息支持负责公司人力资源战略的执行全面负责人力资源管理的各项事务负责其他人事事务负责总经办内部的组织管理完成总经办主管交办的其他任务资格要求:1、大学本科以上2、5年以上工作经验，3年以上管理经验，在部门经理岗位上工作1年以上3、精通人力资源管理知识，掌握行政管理、法律等知识4、熟练使用自动化办公软件，具备基本的网络知识5、具有很强的领导能力、判断与决策能力、人际能力、沟通能力、影响力、计划与执行能力培训要求1、ISO27001和ISO20000基本知识培训；2、信息安全和信息技术服务管理手册；3、管理类作业指导书；4、产品基本知识；5、公司规章制度；6、有关法律法规。特殊资格要求无岗位名称部门经理所属部门业务中心直接上级总经理直接下级商务人员岗位职责:根据公司发展战略，组织制定销售战略规划；掌握市场动态，组织收集行业政策，分析市场发展趋势；建立销售渠道和销售人员；执行销售动作，完成销售任务；负责项目回款；维护客户关系；开展公司宣传，推动品牌建设。资格要求大学本科以上3年以上工作经验，1年以上部门管理工作经历通晓行业动态，通晓市场营销相关知识，具备法律等方面的知识，了解公司所经营行业知识熟练使用自动化办公软件，具备基本的网络知识具有很强的领导能力、判断与决策能力、人际能力、沟通能力、影响力、计划与执行能力培训要求1、ISO27001和ISO20000基本知识培训；2、信息安全和信息技术服务管理手册；3、管理类作业指导书；4、产品基本知识；5、公司规章制度；6、有关法律法规。特殊资格要求无岗位名称部门经理所属部门产品中心直接上级技术总监直接下级技术人员岗位职责研究技术发展方向，根据公司发展规划，制定公司技术发展规划；分行业分技术类别开展技术研究，对项目监理和咨询提供技术支持，对项目的实施情况进行评估，协助进行项目实施质量管理；对项目实施过程中的技术难点组织公关；负责测试评估、安全集成项目的实施。制定公司技术发展规划；分行业分技术类别开展技术研究；提供技术支持，对项目实施过程中的技术难点组织公关；对项目的实施情况进行评估，协助进行项目实施质量管理；负责测试评估项目的实施，编制测试评估报告。负责安全集成项目的实施。资格要求1、具有二年以上相关管理经验；2、了解微服务架构理念、实现技术；6、参与过大型复杂业务系统架构设计开发者优先；7、拥有和工作年限相称的广度和（或）深度，有较强的逻辑思维能力，善于分析、归纳、描述、沟通、和解决问题。培训要求1、ISO27001和ISO20000基本知识培训；2、信息安全和信息技术服务管理手册；3、管理类作业指导书；4、行业基本知识；5、公司规章制度；6、相关法律法规。特殊资格要求无

2.数据备份规范ISMS-WI021目的为了防止各种由硬件、软件和人为误操作造成的数据丢失，尽可能在最短的时间内恢复数据，最小化数据的丢失，特制定本文件。

2范围

主要指对公司的生产、经营活动相关的重要数据的备份，主要内容为：网络服务器操作系统、客户端操作系统及应用软件、数据库信息、网站信息、文档数据库、共享资源平台，邮件数据信息等。3职责由总经办负责建立数据备份系统，及时做好重要数据的备份工作，防止系统、数据的丢失。公司各个部门的电脑使用人负责所使用电脑的数据备份工作。4备份指导4.1机房服务器的数据备份由产品中心人员专门负责，并认真填写《重要信息备份记录表》。4.2一旦发生数据丢失或数据破坏等情况，必须由总经办进行备份数据的恢复，以免造成不必要的麻烦或更大的损失。4.3公司文件服务器采用2块硬盘同时工作，硬盘间互做镜像备份。4.4对服务器的操作系统进行完全备份，以备灾难恢复。4.5域控制器操作系统和邮件服务器操作系统每周备份一次，备份工作尽量安排在非工作时间，减少运行负载。备份完成后及时将备份文件异地妥善保存，并做好标识和记录。4.6客户端电脑操作系统由产品中心统一安装，将系统文件备份到非系统盘符中，以便系统故障进行恢复。4.7客户端电脑使用人每周至少备份数据文件一次，在各部门主管的监督下进行。备份文件统一存放在公司文件服务器中，每两周通知系统管理员进行异地备份操作。4.8制作的服务数据或外来的数据涉及业务的每个月备份一次。4.9系统软件经过较大改动后，必须对系统进行重新完全备份；系统软件经过部分改动，必须进行差量或增量备份。4.10备份数据和存储介质要妥善保管，集中和异地保存，保存期限至少两年。保管工作由专人负责，严格保密，保管地点应有防火、防热、防潮、防尘、防磁和防盗设施。4.11对备份介质要定期检查磁性的可用性，若发现介质已经不能使用，应及时更新介质并对重要数据进行转存处理。

3.公司内外数据交换规范ISMS-WI031目的为了保证数据的安全性和有效性，保证数据信息不被非法访问，有效地控制信息交换，特制定本策略。

2范围

本策略主要涵盖公司内部和内部与外部交换数据的管理，保证数据的保密性和有效性。3职责由产品中心负责建立数据交换控制策略，统筹公司数据交换的管理。公司各个部门的电脑使用人提高数据保护意识，安全有效地进行数据交换。4工作内容及方法4.1产品中心负责建立信息交换策略、程序和控制措施，以保护通过使用各种类型的通信设施的信息交换。4.2公司配备专门的代理服务器，安装双网卡隔离外网网段和内网网段。服务器安装防火墙，对内网和外网的信息交换进行控制。4.3公司局域网部署独立的邮件服务器，负责内部之间和内外部电子邮件的传递，通过防火墙进行发布。4.4公司局域网部署文件服务器，用于内部部门间数据的交换，依照部门建立独立的文件夹和个人文件夹，并分配用户的使用权限。4.5公司内部数据的交换涉及保密的，必须通过电子邮件进行传递，附件文件需要增设密码，点对点密码通讯，保证数据的保密性。4.6服务数据交换规定：4.6.1服务数据文件由业务中心交给总经办，检验数据并与业务单核对无误后签字确认。4.6.2总经办将处理后的数据文件刻录光盘或拷贝到专用移动介质，然后拷贝到内部相关电脑上，交接并签字确认。4.6.3拷贝完毕光盘交资料室存档，资料管理员核对无误后签字确认。4.6.4总经办定期按照《数据备份规范》进行数据文件备份。4.6.5数据文件待使用并检验完毕后，总经办进行数据删除，删除后记录删除文件批次。4.5总经办负责建立和实施保护与业务系统互联的信息的措施。

4.硬件设备安全规范ISMS-WI041目的和适用范围为规范在公司范围内的个人PC机（电脑）及笔记本电脑等硬件设备设施的使用，防止因违规造成的设备损坏及公司重要信息、数据的泄露或丢失，特制定本文件。本规定主要涵盖公司范围内的所有涉及信息安全的硬件设备，主要内容为：网络服务器、客户端计算机、UPS、路由器、网络交换机、打印机、传真机、复印机、显示器、笔记本电脑、可移动存储介质等。2职责所有员工负责所使用范围内的电脑等硬件设备的日常安全管理，总经办负责公司所有计算机的维修和维护，并负责资产管理及安全防护。3工作内容及方法3.1电脑的日常使用3.1.1电脑的网络接入电脑在初始化时为每台PC分配有唯一的登录账户，员工不得随意更改所使用电脑的IP地址，更不得使用他人的账户登录，只允许使用自己的账户接入公司网络。3.1.2电脑的防病毒软件所有员工的电脑在接入公司网络时都必须安装网络版的防病毒软件。所有员工不得随意卸载电脑上的防病毒软件，若发现防病毒软件出现问题应及时通知总经办进行解决。总经办每日早上更新病毒库服务器，病毒库服务器将新的包分发到每一台电脑上。各类存储介质，凡未经过系统专门进行病毒扫描程序检查的，严禁在公司的任何计算机上使用。3.1.3电脑的USB端口均已关闭。3.1.4电脑时钟进行同步设置。3.1.5电脑软件安装任何人员不得随意在电脑上安装软件，需要安装软件时，向总经办提出申请，由总经办进行软件的安装。任何人员也不得随意升级电脑上安装的软件，只能通过总经办提供的升级包进行软件更新，在软件更新前做好备份。3.1.6电脑用户设置所有员工的电脑管理员账号密码都由总经办设置，该账号只用做特殊情况的使用，个人不允许登录。3.1.7电脑口令及屏保设置所有的电脑须设置符合规定的登录口令，所设置的口令只能由使用人知道，其他人员无权知晓。所有人员的电脑口令须定期的更新（每三个月）。所有电脑的屏保都由域服务器统一分配下来，并使用密码保护功能，等待时间不得长于5分钟。离开工位时必须启动屏保（总经办通过域服务器策略设置）。3.1.8电脑日常维护使用者应爱护电脑及相关设备，不可以在电脑上涂画、张贴，对电脑设备应按规范要求操作，发现故障，应及时报总经办维修。每台电脑必须正确使用，非维护人员不能拆开电脑的任何部件或安装任何设备（光驱、软驱、MODEM），不能带电插拔电脑的任何配件（键盘、显示器等）。使用者不得随意变更电脑及相关设备的位置和更改电脑及相关设备的系统设置，任何部门或使用者要搬动电脑时必须经部门主管同意，幷通知总经办变更资料。电脑主机不要直接摆放在地上，以免在清洁地板时意外损坏电脑。使用者在下班时，要确保电脑或相关设备已关闭，特别是共用的电脑，最后使用者要在离开前退出系统并关闭电脑、显示器、电源；公司内部邮件系统只作为办公用，各用户不得利用公司的邮件系统传输任何与工作无关的邮件，所有邮件已在电脑机做了备份，电脑使用者应当定期经常删除（彻底删除）无用邮件，保持电脑能高效快速运作.使用者不得用办公电脑玩游戏、听CD、看VCD等；未经电脑授权主人同意，不可以私用其他部门或别人使用的电脑。不可以删除系统文件、备份文件、未知名文件及不属于自己的文件。公司服务器为经常存储重要文件的用户建有一个独立的个人文件夹和为每个用户建立了部门的公用文件夹，两个文件夹只能存放与工作有关的文件，不得存放与工作无关的文件（如个人的mp3、avi等文件），总经办有权在不通知使用者的情况下删除这些文件。3.1.9电脑的变更需要重新安装系统、调整PC配置或需要调换PC时，员工必须向总经办提交申请，经过批准，才能实施变更，变更后总经办应及时更新设备清单。个人离职，需要填写《离职人员交接单》。3.2其他硬件设备设施公司范围内的信息安全管理范围内的硬件设备设施由使用部门负责日常维护管理，总经办负责维修工作。如出现问题，使用部门及时联系总经办进行处理，个人不得私自拆卸相关设备，以防造成设备的损毁。

5.网络安全规范ISMS-WI051目的和适用范围为加强公司网络使用及管理的安全，防止重要数据、信息的泄露，特制定本规定。本规定适用于公司所有的网络设施及网络设置。2职责网络管理员负责公司网络的建设和维护，并负责公司的计算机及网络硬件设备的管理以及安全防护工作。3安全要求3.1物理安全要求物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信线路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限、防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。3.2访问控制安全要求参见《用户访问控制程序》。3.3信息加密安全要求信息加密的目的是保护网络内部的数据、文件、口令和控制信息，保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全；端-端加密的目的是对源端用户到目的端用户的数据提供保护；节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择加密方式。3.4防范恶意代码要求系统管理员负责实施恶意代码的监测、预防和恢复的控制措施；负责建立相关程序以提高用户安全意识。3.4.1安装和定期升级病毒防护软件，扫描计算机和介质。规定客户端电脑的病毒扫描周期为每月一次，时间间隔小于40天，做好病毒扫描记录。服务器电脑的病毒扫描周期为每月两次，做好病毒扫描记录。3.4.2对于来源不明的文件都应进行病毒检查；3.4.3对于电子邮件的附件和下载都应在使用前进行恶意软件检查；3.4.4产品中心负责建立系统的防病毒控制过程，培训使用这些过程，报告和恢复病毒攻击；3.4.5为保证业务连续性，应制定计划用于病毒攻击的恢复，包括数据和软件备份、恢复过程。3.5网络安全管理要求在网络安全中，加强网络的安全管理，制定有关规章制度，对于确保网络的安全、可靠地运行，将起到十分有效的作用。网络的安全管理文件包括：《数据备份规范》、《公司内外数据交换管理规范》、《信息分类管理程序》、《口令控制规范》、《用户访问管理程序》等。4工作内容及方法4.1内部网络管理公司所有员工电脑都是通过域账户登录的。任何员工不得私自使用他人域账户，不能更改电脑的IP地址，以保证公司网络的正常运行。因工作需要更改域账户权限的，须经过部门负责人同意后报产品中心批准，由产品中心人员对域账户进行设置。个人PC在退出内网时，须办理相关手续，产品中心收回设备的同时更新域账户对应一览表。4.2对外网络管理网络管理员应将各部门中可以使用域账户外网的人员进行登记.（由ISA控制）因工作需要而要下载文件的，本人找产品中心人员进行下载，但不能下载与工作不相关的软件。公司员工在访问互联网时不得浏览、传播具有政治倾向或不健康内容的信息。不能上国家法律不允许的网站。网络管理员每月对访问外网的用户权限进行审查。4.3网络设备的操作管理所有员工不得破坏公司的网络设备；员工不得私自更换、修理网络设备，公司的网络设备只允许产品中心进行设置和维护；公司内的关键网络设备只能由产品中心的指定专人进行操作，其他人员不得操作，关键网络设备的操作人员负责保管与设备相关的所有资料；关键网络服务器及主干网络设备在机房中；机房禁止无关人员进入。机房上锁，一般情况下是处于锁闭状态。4.4网络服务网络管理员应确定网络服务的安全特性、服务级别已经管理要求，在与网络服务提供商签署网络服务协议时，包括这些要求。对网络服务提供商的服务，产品中心应定期进行监视。所有员工只能使用分配的服务，严禁员工使用未授权使用的服务。4.5计算机网络远程诊断和配置端口的保护对于公司重要服务器和网络，由产品中心指定的管理人员才能使用远程诊断和配置端口对计算机和网络进行诊断和配置，其他人员无权实施。公司重要服务器应放置到机房，以实现对远程诊断和配置端口实施物理隔离方式的保护，网络诊断和配置端口应锁定，使其他人员不能在物理上和逻辑上访问这些端口。

6.口令控制规范ISMS-WI061目的为了保证用户口令的安全性和有效性，保证网络资源不被非法访问，有效地保证公司网络的安全，特制定本策略。

2范围

本策略主要涵盖公司内部合法用户的口令管理，同时保证临时远程登陆用户的口令安全。3职责由总经办负责建立口令控制策略，做好口令的保密，定期验证口令的有效性，防止口令的滥用和恶意破解。公司各个部门的电脑使用人提高口令保护意识，做好用户口令的保密工作。4控制策略4.1统一分配口令所有用户账号都必须有口令保护，在生成账号时，系统管理员分配给合法用户一个唯一的口令，用户在第一次登录时需要更改口令，口令不以明文显示。4.2限制登录尝试次数服务器操作系统设置在5次失败的登录尝试后锁定用户账号，协助防止口令猜测和恶意破解，30分钟后可以自动解除锁定，或者由系统管理员手动解锁。4.3优质口令属性用户口令必须满足至少包含8个字符，建议用户使用由数字、字母和符号组合成的复杂口令。系统自动存储4个历史口令，防止用户口令的重复使用。4.4定期更改口令用户口令更改后系统要求最少使用一天，最长使用时间为30天，口令过期后必须更改口令，否则无法登陆。4.5口令登陆日志对用户口令使用、成功登录和失败登录进行日志记录（包括日期、时间、用户名或登录名）。用户成功登录后，服务器可以显示上次成功或失败登录的日期和时间。4.6保证远程登陆用户口令的安全总经办负责分配远程登陆用户的口令，保证临时使用临时分配，使用完毕口令失效，确保口令的有效性。4.7口令变更岗位变更的员工必须进行口令的变更

7.清洁桌面和清屏策略ISMS-WI07清洁桌面和清屏策略介绍应该实施清除桌面和清除屏幕方针，以降低对文件、介质以及信息处理设施未经授权访问或破坏的风险。目的该策略的目的是防止对信息和信息处理设施未经授权的用户访问、破坏或盗窃。适用范围该策略适用于公司所有员工。术语定义略清洁桌面和清屏策略含有涉密信息或重要信息的文件、记录、磁盘、光盘或以其它形式存贮的媒体在人员离开时，应锁入文件柜、保险柜等；所有计算机终端必须设立登录口令，在人员离开时应该锁屏、注销或关机；在结束工作时，必须关闭所有计算机终端，并且将个人桌面上所有记录有敏感信息的介质锁入文件柜；计算机终端应设置屏幕密码保护，屏保时间不大于5分钟；传真机由总经理办公室负责管理，并落实责任人。打印或复印公司秘密、机密信息时，打印或复印设备现场应有可靠人员，打印或复印完毕即从设备拿走。惩罚违背该策略可能导致：员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除；另外，这些人员还可能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉。引用标准略

8.介质使用管理规范ISMS-WI081目的和适用范围为规范公司内部各类介质的申请、借用、使用、管理以及在介质带出公司外部时的要求，以防止因不当操作发生信息泄露。本规定适用于公司内介质的使用、存放、销毁过程，以及公司外介质的传输活动。2职责总经办负责保管本项目使用的大容量存储设备，负责开封得到申请批准人员的外接接口；负责光盘的刻录，回收及销毁；负责对移动存储介质的维护、维修；批准各部门因工作需要而要长期使用大容量存储设备（如：U盘等）3工作内容及方法3.1介质的使用用于存储信息、数据资料的设备，媒介，如：大容量存储设备、软盘、刻录光盘、磁带、MO等同类媒介及打印或是复印的纸制介质。3.1.1大容量存储设备该类存储设备（如，硬盘、移动硬盘、U盘）在使用时须连接计算机的接口或外接接口，每一个大容量存储设备须有相对应的《大容量存储设备使用记录》因工作需要各个部门在使用大容量存储设备时须向设计与总经办提出借用申请（借用申请须填写《设备申请表》，并在表中注明设备为借用）并告之本部门的负责人。总经办人员将借用的大容量存储设备交给申请人员，并同时交给《大容量存储设备使用记录》。借用大容量存储设备只能由一人进行使用（必须为申请人员），在使用时须填写《大容量存储设备使用记录》。使用大容量存储设备进行资料存储前须得到项目负责人的批准；使用完毕后，须将不使用的大容量存储设备归还总经办，并一起提交已填写的《大容量存储设备使用记录》。总经办人员在回收借用完毕的大容量存储设备后须将其进行格式化以便下次使用，并将填写的使用记录进行整理归档管理。若因工作需要须长期使用大容量存储设备的部门，可向信息安全管理领导小组申请，信息安全管理领导小组成员根据实际情况批准申请。因工作需要的特殊人员（如，财务人员等，经常需要拷贝公司敏感信息的人员）应配给加密的存储设备。任何职能部门在长期使用大容量存储设备时不得在其上面存储公司的敏感信息。大容量存储设备持有人不得私自将设备借于他人使用，若因工作需要需借给他人的须经过部门的负责人同意，使用时须由设备的持有人填写《大容量存储设备使用记录》。对于开放外接接口的计算机，若在三个月内没有使用记录的将对其外接接口进行封闭。任何员工不得私自打开公司计算机上的外接接口来使用大容量存储设备，私自打开者一经被发现，将按制度的规定进行处理。3.1.2刻录光盘、磁带、MO等同类媒介该类媒介在使用时须借助其他设备来进行刻录、录制，如，使用刻录光驱、磁带机等。在使用刻录光盘、磁带、MO等同类媒介进行存储、刻录的，录制前须得到项目负责人的批准。在刻录、录制前项目负责人或其指定人员必须对要刻录、录制的内容进行验证。在刻录、录制工作完成后，须进行登记，登记的内容包括：部门、项目组、申请人、日期、内容、操作人。在刻录、录制工作完成后应及时将刻录、录制完成的光盘、磁带交给项目组。所有员工不得私自在计算机上连接使用刻录光驱等设备，一经发现，将按制度的规定进行处理。3.1.3纸制介质该类介质为打印，复印及传真的书面资料。所有员工在打印结束后应及时将打印的资料从打印区拿走。对安全等级在秘密以上（含秘密）的纸张不允许重复打印使用。在复印安全等级为秘密以上（含秘密）的资料前须经过负责人的批准。复印结束后应及时将与复印相关的资料拿走。传真安全等级为秘密以上（含秘密）的资料须得到负责人的批准。打印、复印和传真的纸张应注意平整、无污渍，以保证资料的清晰有效及防止操作设备被损坏。任何人员不得私自将印有项目涉密内容的纸制资料带出工作场所，一经发现，将按制度的规定进行处理。每日进行打印机、复印件区域监测，发现问题及时更正。3.2介质的存放根据介质所存内容安全等级的级别，对介质进行合理的存放，存放时应对介质进行登记、标识以便管理。3.2.1大容量存储设备项目申请借用的大容量存储设备须存放在借用人处。对于长期使用的大容量存储设备，持有人应妥善保管，未经许可不得带出工作场所。大容量存储设备应由设备的借用申请人或是项目负责人，部门的负责人进行保管。存有安全等级为秘密以上（含秘密）内容的移动存储介质须由项目负责人或是部门负责人进行标识和保管，应将设备保管在带锁的物理设施中，并填写存放登记，登记的内容应包括：保管人、存储内容、保管期限。存有安全等级为秘密以下内容的存储介质应由项目负责人进行保管，不得随意放置。存放时应注意周围环境的可靠性及安全性，注意设备接口的保护。3.2.2刻录光盘、磁带、MO等同类媒介存有安全等级为秘密以上（含秘密）内容的刻录光盘、磁带等同类介质应由项目负责人进行标识和保管，应将刻录光盘、磁带保管在带锁的物理设施中，并填写存放登记。存有安全等级为秘密以下的刻录光盘、磁带等同类介质应由项目负责人指定专人进行保管，不得随意放置。存放时应注意周围环境的可靠性及安全性，同时须注意对光盘盘面、磁带的保护。纸制介质安全等级为秘密以上（含秘密）内容的纸制介质应由项目负责人进行标识、装订，保管在带锁的物理设施中，并填写存放登记。安全等级为秘密以下内容的纸制介质不得随意放置，应由项目负责人指定专人进行装订、保管。存放时应注意周围环境的可靠性及安全性，注意纸张的防潮、防火及缺损。3.3介质的销毁介质所存储内容不再使用时，不得将介质随意丢弃，必须统一回收并进行专门的作废处理。3.3.1大容量存储设备大容量存储设备不再使用时应彻底删除其存储的内容（如，进行物理格式化），以便下次使用。删除内容后的存储设备若是借用的，则应在使用完毕后及时归还；若是项目组申请长期使用存储设备，则在格式化后交回项目负责人，部门负责人保管。3.3.2刻录光盘、磁带、MO等同类媒介当光盘、磁带上的内容作废时，不得将光盘、磁带随意丢弃，应将其统一交给总经办进行处理。总经办应根据项目的要求对作废光盘、磁带等同类媒介保存一定的时期，并制作废弃光盘、磁带等同类媒介的存放记录，记录内容包括：部门、项目名称、保存期限、保管人。在保管期限之后总经办应采用专业的方法对废弃的光盘、磁带进行处理，处理时须保证上面的信息不被泄露。光盘、磁带在销毁后应及时通知所属项目组，并将存放记录上的相关内容进行标记。3.3.3纸制介质对于已作废的打印、复印或传真的纸制资料不得随意丢弃，由专人进行切碎处理。3.4介质的运输介质在带出公司时应做必要的防护手段，防止资料泄露，在未得到批准的情况下所有人员不得私自将存有安全等级为秘密以上（含秘密）的介质带出公司，一经发现将按制度的规定进行处理。3.4.1大容量存储设备对存有安全等级为秘密以上（含秘密）内容的大容量存储设备因工作需要带出时须得到项目负责人批准，并填写带出登记，登记内容包括：带出人、确认人、带出日期、带出原因；存储设备的维修应由相关部门负责，在设备被带出维修时，相关部门须保证存储介质所存储的内容在维修期间的保密性及完整性。因其他工作原因须将存储介质带出公司时，须由指定的专人带出；大容量存储设备在带出时，携带人员须注意设备的安全，防止被他人使用而发生存储信息的泄露，必要时应带具有加密功能的移动存储设备，并对设备进行加密处理；注意存储设备的安全，防止设备本身遭到损坏，从而导致所存储的内容无法使用。3.4.2刻录光盘、磁带、MO等同类媒介对存有安全等级为秘密以上（含秘密）内容的媒介在带出时须得到项目负责人批准，并填写带出登记。在光盘、磁带等同类设备带出时应防止被他人使用而发生存储信息的泄露。应注意存储媒介的安全，防止媒介本身遭到损坏，从而导致上面的内容无法读取。3.4.3纸制介质对存有安全等级为秘密以上（含秘密）内容的纸制资料在带出时，须得到项目负责人批准并填写带出登记。在纸制资料带出时，携带人员须确保资料不被无关人员阅读，安全等级在秘密以上（含秘密）的资料应使用文件夹携带。纸制资料带出时须进行装订，防止纸张丢失、破损

9.信息系统安全管理规范ISMS-WI091目的和适用范围为确保安全是信息系统的一个组成部分，防止应用系统中信息的错误、遗失、未授权的修改以及误用，对信息系统实施安全管理，特制定本文件。本文件适用于公司所有的信息系统，包括已有的信息系统、新信息系统或增强已有的信息系统。2职责各部门信息系统使用人员负责对自己使用的信息系统提出安全和性能要求，做好验收工作，并负责日常的安全维护。产品中心负责为安全设计提供建议，并做好日常的安全检查。3定义信息系统：用于存储、处理和传输信息的相互关联、相互作用的一组要素，是基础设施、组织、人员、设备和信息的总和。4信息系统的获取4.1系统计划新开发（新购买）或增强已有信息系统时，如果信息系统是全公司范围内使用，由产品中心提出申请，总经理批准；如果信息系统由某个部门使用，则该部门经理提出申请，产品中心和总经理分别审批。申请人应确保在信息系统的业务要求陈述中，包括了安全控制措施的要求：4.1.1容量管理申请人应预测信息系统未来的容量要求和系统性能要求，未来的容量要求应考虑新业务、系统要求、公司信息处理的当前状况和未来趋势，做出对于未来能力需求的推测，以确保拥有所需的系统性能。申请人还必须对信息系统资源的使用进行监视，识别并避免潜在服务瓶颈，制定容量计划以保证有充足的处理能力和存储空间可用。申请人应将容量计划和能力管理的需求写入申请中。4.1.2安全要求申请人应识别信息系统的安全要求，以防止应用系统内的用户数据遭到丢失、恶意或无意的修改或误用。控制措施包括但不限于：1）输入数据验证必须对输入到应用系统内的数据进行检查以保证数据正确、适当。在数据处理之前对业务交易及各种数据及表格的输入进行检查。需要对合理性测试及错误响应的责任和程序进行定义。2）内部处理控制正确输入的数据有可能因为处理过程的错误或人为操作被破坏。因此，应适用添加、修改或删除功能，以实现数据变更；使用适当的故障恢复程序，以确保数据的正确处理；防范利用缓冲区溢出而进行的攻击。3）消息完整性信息系统中必须包含对消息完整性的控制，例如使用MAC码或其他控制手段，来确保消息的完整性。4）输出数据验证信息系统中必须包括输出数据控制。可以包括：合理性检查，以测试输出数据是否是合理的；为后续的处理系统提供足够的信息；响应输出验证测试的程序；创建在数据输出验证过程中的活动日志。5）差错数据处理信息系统必须具备差错数据处理程序，以应对系统出现差错时的情况。6）密码控制如果信息系统需要使用密码控制方法，必须制定密码控制策略，包括：确定需要保护的级别，考虑需要的加密算法的类型、强度和质量。密钥管理方法，包括密钥的生成、传输、储存、恢复、销毁等。使用密码方法的角色和职责，例如谁负责策略的实施，谁负责密钥管理等。采用的密码标准。遵循国家对应用密码技术的管理规定和限制。4.2新系统的开发和购买申请人提交申请，由总经理批准，进行系统的开发或购买。信息系统开发和购买过程中，必须确保开发或购买的信息系统考虑了申请中描述的安全控制和系统性能要求。如果在系统开发过程中，涉及到软件外包开发，负责软件开发的外部公司、厂商应签订合同或协议以保证外包的软件开发可成功地满足业务要求。以下各项应包括在内：许可证协议、代码拥有和知识产权；安全协议得到确认、明确表述和认可；满足《第三方服务管理程序》中对第三方服务的控制要求。4.3系统验收系统申请人应该在开发前为新信息系统或升级版本制定验收准则。新系统的验收准则应作明确定义，得到认可并作记录。验收准则应包括：性能和计算机的容量要求。差错恢复和重启程序以及应急计划。有效的人工操作程序。业务连续性安排。新系统的操作和使用培训。易用性等。在系统开发结束后，申请人应组织相关人员按照系统验收准则，对信息系统进行验收。5信息系统的维护5.1确保系统文件安全系统文件包含一系列敏感信息，例如，应用过程的描述、程序、数据结构、授权过程等等。所以应保护系统文件以防止非授权访问。5.1.1运行软件的控制所有员工使用计算机或服务器时，不得随意安装软件，也不得随意对运行系统上的软件包进行变更，具体规定，参见《硬件设备安全管理规范》和《服务器管理规范》。5.1.2开发、测试和运行环境的隔离（开发使用终端机，服务器在公司）为防止操作问题，信息安全管理领导小组应识别运行、开发和测试环境之间的分类级别，应确保：开发和运行软件要在不同的系统或计算机处理器上或在不同的域内运行。没有必要时，编译器、编辑器、其他开发工具或系统实用工具不应访问运行系统。测试系统环境应尽可能的仿效运行系统环境。用户应在运行和测试系统中使用不同的用户轮廓，菜单要显示合适的标识信息以减少出错的风险。敏感数据不应拷贝到测试系统环境中。5.1.3测试数据的保护所有系统测试人员应避免使用包含个人信息或其它敏感信息的运行数据库用于测试。如果测试使用了个人或其他敏感信息，那么在使用之前应去除或修改所有的敏感细节和内容。当用于测试时，应使用下列指南保护运行数据：1）应用于运行应用系统的访问控制程序，还应用于测试应用系统；2）运行信息每次被拷贝到测试应用系统时应有独立的授权；3）在测试完成之后，应立即从测试应用系统清除运行信息；4）应记录运行信息的拷贝和使用日志以提供审核踪迹。5.2系统变更控制为了保证信息系统和信息的安全，产品中心应严格控制系统支持进程，重点做好应用变更管理。产品中心必须建立和执行正式的系统和应用变更控制程序，包括下列内容：评审变更的需求，如果没有大的改进，不实施变更；变更必须得到产品中心的批准；变更前应对变更的内容进行测试和评审，以避免系统变更后不适应业务要求；系统变更后，应对业务进行评审和测试，以确保对组织的运行和安全没有负面影响；制定变更失败的应急计划，以应对可使系统变更中断的事件；做好整个变更活动的记录；变更后，应通知所有相关人员，按照变更后的系统进行操作。5.3防止信息泄露在信息系统开发和支持过程中，应防止信息泄露的可能性，应使用经过评价的产品。在现有法律或法规允许的情况下，定期监视和评审个人和系统的活动，并监视计算机系统的资源使用，见《硬件设备安全管理规范》、《服务器管理规范》、《网络安全规范》。

10.违规惩罚制度ISMS-WI10目的为加强电脑使用管理，保证设备正常使用，保证信息资料、文件安全，特制订本文件。具体要求私自下载、安装、使用（无论是工作时间还是休息时间）游戏软件的员工，给予严重警告处分。工作时间严禁开通和登陆QQ聊天工具，违规者给予严重警告处分，处罚50元。工作时间不得浏览与工作无关的网页网站，违规者给予书面警告。公司电脑的桌面与屏保一律按统一要求的设定，不得私自设置桌面与屏保，违规者给予书面警告。为加强管理，员工工作用电脑必须设开机密码，密码必须在部门主管处备案。员工要对自己工作用电脑储存的文件和安装的内容负责，多人使用一台电脑的，实行联保，分不清责任人的，由使用人共同承担责任，接受处罚。3公司部门主管有权对公司内的电脑进行检查，对违规行为进行制止和处罚。4泄露公司电子文件秘密，尚未造成严重后果或经济损失的给予警告，并扣发工资，金额为1000元以上5000元以下：5故意或过失泄露公司电子信息秘密，造成严重后果或重大经济损失的，予以辞退并追究赔偿经济损失。6违反公司电子文件保密制度规定，为他人窃取、刺探、收买或违章提供公司秘密的，予以辞退并赔偿经济损失。7利用职权强制他人违反电子文件保密规定的，予以辞退并赔偿经济损失并追究其刑事责任。

11.法律法规识别及合规性评价规范1目的建立获取、识别、更新法律法规和其它要求的渠道，确保本公司的管理活动符合相关法律法规和其他要求；并且定期评价对适用法律法规和其他要求的遵守情况，以切实履行本公司遵守法律法规和其他要求的承诺。2适用范围适用于本公司对质量管理、环境管理和信息安全管理控制相关的法律、法规和其他要求的控制。3职责3.1总经办负责质量管理、环境管理和信息安全管理控制的法律、法规和其他要求的识别、获取、更新和保管；并收集合规性证据。3.2管理者代表负责对各项法律法规文件的适用性、合规性进行评价，并将相关信息传递到各相关部门。3.3各职能部门负责将相关法律法规和其他要求传达给员工并遵照执行。4管理程序4.1相关的法律、法规和其他要求应包括：1）国际公约；2）国家质量管理、环境管理和信息安全管理控制相关的法律、法规、标准和行政规章制度；3）公司所在地质量、环境和信息安全法律、法规、标准和行政规章制度；4)执法部门（如质量技术监督局、检验检疫局、环保局、消防局、劳动局、商标、条码安全生产监察部门、安全生产和职业病防护部门等）的规定。5)各相关方的其他要求，如客户相关要求等。4.2法律、法规和其他要求获取方法和频次。4.2.1总经办可以从上述执法部门和相关网站咨询或认证机构获取相关法律、法规、标准和其他要求的最新版本，以保持对法律法规和其他要求的最新变化的及时跟踪。4.2.2总经办每个季度通过上述渠道搜索并收集一次法律法规和其他要求。4.3法律、法规和其他要求的选择确认4.3.1总经办选择、确认所获取的各类法律、法规、标准和其他要求的适用性，制定《法律法规清单》，经管理者代表审批后，将清单中的相关文件分发给各相关部门。4.3.2总经办要按4.2条款随时更新或增补，及时修正《法律法规清单》。对过时或作废的旧文件按《文件控制程序》的规定执行。4.4法律、法规和其他要求的执行4.4.1各部门要组织学习与本部门相关的适用法律法规和其他要求，必要的应纳入相关的作业指导书中。总经办应对法律法规和其他要求的执行情况进行检查，并且遵守有关产品不含有害化学物质的管理规定，确保公司的质量/环境管理活动及表现与法律法规和其他要求相符。4.4.2总经办依据法律法规和其他要求以及重要环境因素、危险源的相关规定及其监测编制《合规性评价记录表》，强调环境因素和法律法规的对照情况。并且据此及时通报合规性评价结果。4.4.3总经办设立法制宣传看板，定期或不定期择要向员工宣传法律法规和其他要求。4.5合规性评价4.5.1为履行遵守法律法规和其他要求的承诺，由管理者代表组织各部门每年对适用质量管理、环境管理和信息安全管理控制的法律法规遵循情况至少进行一次合规性评价，以期通过评价不断改进公司的管理。4.5.2产品中心负责对有关质量控制、目标和指标完成情况、法律法规遵循情况进行监督检查，记录质量目标管理月报，递交公司高层管理者作为业绩考核依据。4.5.3各部门依据环境监视和测量的结果在责任范围内对违反环境法规（含超标排放）的事件、事故；对来自内、外部审核或投诉发现的违规事件、事故，及时调查原因、制定措施、合规处置。并提出事故报告，向公司高层管理者报告。4.5.4各部门依据信息安全监视和测量的结果在责任范围内对违反信息安全法规的事件、事故；对来自内、外部审核或投诉发现的违规事件、事故，及时调查原因、制定措施、合规处置。并提出事故报告，向公司高层管理者报告。4.5.5合规性评价活动可以以会议形式集中进行，但更适宜于管理体系审核、环境检查活动、质量保证检查、信息安全管理等评价过程结合起来进行。及时记录，然后汇总并定期编制和保存《法律法规清单》及《合规性评价记录表》。5相关文件《文件控制程序》6记录《法律法规清单》《合规性评价记录表》

12.知识产权管理规定ISMS-WI121 目的为有效保护公司知识产权，鼓励员工发明创造和智力创作的积极性，促进科技成果产业化；同时，为尊重他人工作成果，合理合法使用外部知识产权，避免法律纠纷，依据国家知识产权法律、法规，制定本规定。2 适用范围本规定适用于公司知识产权的保护和外部知识产权的使用。3 术语和定义参见ISO/IEC27001、ISO/IEC27002中的术语和定义。4 职责4.1 总经理办公室（1）是本规定的归口管理部门；（2）负责本规定的修订、解释和说明及协调实施工作；（1）检查知识产权相关工作，以确保在使用具有知识产权的材料和具有所有权的软件产品时，符合法律、法规和合同的要求。4.2 相关部门负责配合总经理办公室关于知识产权的相关工作。5 管理规定本规定中，知识产权包括专利权、商标权、著作权、设计权、标记和各种服务标记、源代码许可证、软件和文档的版权、技术秘密和商业秘密等。5.1 外部知识产权总经理办公室应维护、识别具有知识产权要求的所有资产，维护许可证、主盘、信息安全文件等所有权的证明和证据。对具有知识产权要求的所有资产，总经理办公室应定期检查，以确保知识产权的使用数不超过所允许的最大用户数目。所有员工只能安装已授权的软件和具有许可证的产品，总经理办公室负责定期检查。所有员工不能对版权法不允许的书籍、文章、报告和其他文件进行全部或部分拷贝。公司需使用外部知识产权时，须向对方提出授权申请，并签订书面授权书或转让合同。未经允许，不得使用外部知识产权。5.2 公司知识产权保护对公司重要知识产权进行登记。知识产权的归属:（1）商标权、公司标记和各种服务标记、源代码许可证、软件和文章的版权、技术秘密和商业秘密等所有权归公司所有；（2）执行公司及其所属部门任务，或主要利用公司及其所属部门的物质技术条件所完成的发明创造或者其他技术成果，申报专利的权利属于公司，专利权归公司所有。对有突出贡献的个人或集体，公司给予相应奖励；（3）完成公司工作任务所创造的著作和设计，所有权归公司，个人具有署名的权利。其他的所有权归属个人。对有突出贡献的个人，公司给予相应奖励。公司及其所属部门与国内外单位或者个人合作进行商业合作和技术开发，对外进行知识产权转让或者许可使用，应当依法签订书面合同，明确知识产权的归属以及相应的权利、义务等内容。任何个人或公司不能擅自使用公司知识产权，一经发现将责令其停止侵权行为，情况严重者，通过法律手段保护公司的知识产权。公司及其所属部门对外进行知识产权转让或者许可使用前，应当经公司相关领导审查，并经经营责任者批准后方可签订转让或者许可使用合同。5.3 处罚规定违反本规定，使用未授权的资产,或泄漏公司的技术秘密,或者擅自转让、变相转让以及许可使用公司的发明创造、技术成果的，造成公司资产流失和损失的，将给予经济与行政处罚，情节严重者交由公安机关追究其刑事责任。

13.环境设施与物理设备管理规定ISMS-WI131目的为防止公司工作区域因遭到未授权的访问而可能造成资产的丢失、损坏、不正当访问等的发生，规范工作区域中各个特殊物理区域和IT设备的管理，特制定本规定。2 适用范围本规定适用于公司所有工作区域和IT设备的管理。3 术语和定义参见ISO/IEC27001、ISO/IEC27002中的术语和定义。4 职责4.1 总经办（1） 是本规定的归口管理部门；（2） 负责本规定的修订、解释和说明及协调实施工作。4.2 网络系统管理责任人（1） 负责公司的环境设施与物理设备的管理；（2） 负责远程工作设备的管理；（3） 负责计算机设备的维护；（4） 负责公司机房的管理；（5） 负责机房设备的维护。4.3 门禁系统管理责任人负责门禁系统的管理。5 安全管理规定5.1 工作区域的安全5.1.1物理安全边界和入口控制公司应设立前台接待位置及前台人员。在公司内部，必须佩戴员工胸卡。不得将员工胸卡借与他人使用。5.1.2公司工作区域公司工作区域必须具备如下条件：（1） 有相应的防火、防盗措施；（2） 工作区域内的明显位置须张贴逃生通道示意图；（3） 设置门禁系统，防止未授权人员的进入；（4） 重要设备应该单独设立安全区域并建立相应制度；（5） 公司各出入口设置视频监控设备。5.1.3工作区域的管理（1） 门禁卡由门禁系统管理责任人进行一元化管理;（2） 由部门经理及相关负责人提出申请后，设置人员的门禁相应的权限；（3） 客户用门禁卡及临时门禁卡，由部门经理及相关负责人提出申请，根据需要设置门禁相应的权限；（4） 不得进入没有门禁权限的工作区域；（5） 如忘记带门禁卡，要立刻向门禁系统管理责任人申请办理临时社员胸卡，次日要及时返还；（6） 客人专用的临时门禁卡只能为客人使用，不得为其他员工使用；（7） 门禁卡丢失、损坏时，应立即向门禁系统管理责任人报告；（8） 应妥善保管门禁卡。门禁卡丢失或损坏时，需得到项目经理、经理及副总经理批准后，才可再发给门禁卡；（9） 离职时，需收回门禁卡、取消门禁权限；（10） 由信息安全监察负责人检查门禁权限记录（每月初及必要时）；（11） 最后离开工作区域（包括离开时办公室已没人，但不能完全确认自己是否是最后离开时）的人要确认电、窗户、门（前/后）关闭，并填写《设备管理一览表》；（12） 节假日及深夜（23:00～7:00）没有申请加班的，原则上不能进出公司，特殊需要时要向经理申请，得到批准后方可进入公司。如节假日及深夜（23:00～7:00）有紧急事由需进入公司时，事后需得到相关领导的承认；（13） 不得使用非常出入口进出公司。5.1.4外部和环境威胁的安全防护为防止火灾的发生，工作区域内应禁止乱堆乱放纸箱、废纸等易燃品，另外，还应配备干粉灭火器，以备在发生火灾时应急使用。5.1.5安全区域专用开发区域（1） 专用开发区域的网络要与外部网络隔离；（2） 专用开发区域内不得使用无线网络；（3） 设置门禁权限，非本专用开发区域人员不得随意进入；（4） 进入、退出专用开发区域的项目工作时，需由项目经理提出申请；（5） 对搬入、搬出专用开发区域的计算机，必须进行全体格式化处理。机房的规定（1） 服务器和关键系统网络设备应存放在机房或专门的地点；（2） 任何无关人员不得随意进入机房；（3） 机房管理员进入机房后应遵守《机房管理规定》;（4） 机房的温度应在18℃～26℃之间，同时要保持干燥、防尘、防火，并具备一定的防盗措施。关于机房具体的管理规则请参见《机房管理规定》。财务区域的规定（1） 财务人员在外出离开座位时要将放有重要文件的抽屉锁好，最后一个人离开工作室要将财务室的门锁好；（2） 无关人员不得随意出入财务重地，不得打探任何财务信息。5.1.6公共访问交接区对于来访的客人，前台人员必须确认其在公司内的联系人，不允许客人自行进入工作区域，对于不能确认公司人员姓名和电话的，应询问对方的来由。对于公司以外人员，包括承包公司人员、邮/快递人员、送货人员、维修人员、保洁人员等在进入公司工作场所时必须遵循以下方面的要求：（1） 未授权的公司以外人员仅限进入公司指定的等候区，临时来访客人可在公司内部人员带领下到会客区；（2） 如需进入公司工作场所需要填写申请，经审核且授权后方可进入公司工作场所，并进行记录；（3） 外来物资、货物需要经过确认，无安全隐患方时运送到使用地点；（4） 公司以外人员需带出物资设备时，需申请出门许可。注：前台人员不在时，就近员工进行对应。5.2 设备的安全设备的领用人原则为设备负责人：网络系统管理责任人必须为每件设备指定设备负责人，这些包括但不局限于台式电脑、服务器、笔记本电脑和通信设备。设备负责人的责任包括：将设备置于安全的设施中；采取必要的措施，尽量保持设备使用环境的安全；通过提供必要的维护并对设备采取必要的安全措施使设备处于正常状态，以及掌握设备当前的使用者和设备的运行情况。5.2.1内部设备设备的授权使用所有人员，需要填写《设备使用申请表》，经过申请、授权方可使用设备。所使用的设备由网络系统管理责任人填写《设备领用登记表》备案。关键设备生成、存储、处理或传输公司受限信息的设备，包括服务器，以及通信设备的设备负责人必须将它们安放在机房、专用机柜或其他安全区域，以防止对该设备的破坏和非法侵入。此类设备不能在连接公司内部网的同时，通过ADSL、ISDN等方式再连接互联网，如有特殊技术需求，须由部门负责人审批，才可以接入互联网。管理者需指定个人计算机外其他设备负责人，负责人必须实施对此设备的安全管理，以防止因管理疏忽而导致丢失、非法入侵。计算机外部设备管理计算机外部设备：光驱、软驱、USB端口等，原则上不允许安装、使用，如工作需要需安装、使用时，需填写《外设申请书》，经过申请、批准后才可安装、使用。无人值守计算机当与公司网络系统连接或包含公司受限信息的客户端计算机无人值守时，全体人员有对计算机采用安全防护措施的义务，如利用口令保护。不得把个人电脑留在无人值守的公共场所（如会议室等）。带入设备的使用不能将未经批准的IT设备如笔记本电脑、台式电脑、U盘及移动硬盘等带入公司使用。具体参考《信息系统安全使用规定》中5.3.3“带入设备的使用”的内容实施。带出设备的授权管理未经授权，不得将公司的IT设备如笔记本电脑、台式电脑、U盘及移动硬盘等带出公司。具体参考《信息系统安全使用规范》及保密管理的相关规定。5.2.2外部设备在公司外安装的设备当在公司范围外安装公司的计算机/网络设备时，设备负责人必须对他们的设备执行等同于公司内设备的安全防护措施。在公司外使用的设备（1） IT设备如笔记本电脑、存储介质以及存有公司受限信息的介质带出公司时，应物理加锁或放置在安全的地点，任何时刻都必须处于使用者的控制之下；（2） 为了防止因带出的IT设备如笔记本电脑、台式电脑等遗失或失窃而导致信息泄漏，必须进行BIOS口令验证、OS登录验证、对硬盘或保存信息的文件夹进行加密、取消共享文件夹等安全设置。采用口令的要求须满足《用户标识与口令管理指南》的相关规定；（3） 通过其他存储介质（U盘、移动硬盘等）带出信息时，须采取加密或密码保护等必要的安全措施；（4） 将口令和其信息设备分开保管，不要保存在容易泄漏给其他人员的地方，不要记录在纸上；（5） 如果IT设备或存有公司重要信息的介质丢失或被窃，其使用者必须立即向信息安全部门负责人报告；（6） 如需要寄送包含信息的物理介质，例如公司的产品光盘，需要使用与公司签署合作协议（包括相关的信息安全条款）的物流公司，介质必须使用防篡改的包装。与公司网络的连接在远程工作或在其他公司外地点与公司内部网连接时，必须使用公司指定的连接方法。设备的返回当在公司外使用的设备返回到公司使用时或新设备购入时，必须通过病毒防护软件或其他有效方法检查以保证该设备不存在病毒。如果发现其被病毒感染，设备使用人员必须采取恰当的对策来根除病毒。被病毒感染的设备在无法确定安全前不得接人公司网络使用。公司外使用的设备返回到公司使用时，设备负责人还须填写《IT设备借用登记表》。5.2.3维护和修理阶段性维护设备负责人必须根据需要，通过维护服务、阶段性预防维护和其他必要的措施，负责使其保管的设备保持正常工作状态。所有的维护必须以使设备尽可能达到的最佳运行方式为目的。机房管理人员需定期对网络设备及服务器进行巡检，每次巡检结束后需填写《机房巡检记录表》，发现任何问题需按照《机房管理规定》中提到的要求对网络设备及服务器进行维护处理。安全防护措施当设备需要维护或维修时，其设备负责人必须采取必要的安全措施来保护在设备中存储的受限信息。最低的要求是维护或维修前删除受限信息（删除受限信息前需确认是否需要进行备份操作）。当需要将维护或修理工作委托给第三方进行时，必须对设备采取适当的安全防护措施。计算机和信息系统的远程诊断和配置端口的保护对于公司重要服务器和信息系统，只能由公司指定的管理人员才能使用远程诊断和配置端口对设备和信息系统进行诊断和配置，其他人员无权实施。公司重要服务器和信息系统应放置到机房，以实现对远程诊断和配置端口实施物理隔离方式的保护，使其他人员不能在物理上和逻辑上访问这些端口。5.2.4设备的废弃对设备的废弃，由设备责任人向网络系统管理负责人提交《设备作废申请表》，经网络系统管理负责人批准后实施，并填写《设备作废申请表》。当设备需要废弃时，设备负责人必须保证如硬盘这样的内置存储设备被实际销毁或设备上储存的数据被完全清除。可使用专门的清除工具，对如硬盘储存的数据进行完全清除。5.2.5个人设备的使用严禁在公司内，利用个人拥有的存储设备或网络通信设备等处理、操作任何归属于公司的信息。同时也禁止将上述个人拥有的设备接入公司的内部网。5.2.6布线的安全网络系统管理责任人在制定布线方案时须考虑：（1） 电源线路和通信线路原则上都应铺在地下，网线应使用电缆管道：（2） 电源线与通信线加以隔离；（3） 电源线路和设备清楚的加以标记；（4） 网络线路使用文件化配线方案。5.2.7支持性设施的安全建立电源管理体制，包括：（1） 停电、来电的提前通知；（2） 定期电源检查；（3） 工作负载检查；（4） 对于重要设备要有停电的紧急应对方法，如采用UPS等。此外，还应定期检查其他支持性设施，例如供水、排污、空调等，以避免由于支持性设施的失效而引起系统中断。

14.信息资产管理规定1目的为加强对本公司信息资产的管理，保障信息资产安全，制定本程序。2适用范围本公司的信息资产可分为以下七类资产：硬件类资产：包括网络设备、服务器、主机、传输线路/设备、空调、打印/复印机、传真机、碎纸机、投影仪等等。软件类资产：包括应用软件、操作系统、数据库、开发工具和实用程序等软件。信息类资产：包括配置信息、帐户权限信息、口令信息、系统各类文档、源代码和安装包等。人员类资产：包括内部人员和外部人员。环境设施类资产：如保险柜、文件柜、空调、UPS等。外购服务类资产：包括供电、通讯、保洁、快递服务、IT服务、网站托管等。无形类资产：包括声誉和形象、业务和技术经验等。3定义信息：有价值的符号、数据、图片和语音，它能够被企业创建、使用、处理、存储及传输。信息是必须依赖介质存在。信息资产：与信息相关且对企业有价值，信息资产包括在信息收集、输入、传输、处理、输出和存储中产生的数据、使用的工具和服务、承载的介质及处理和使用的人员，如：计算机硬件、通信设施、运行环境、数据库、软件、文档资料、信息服务和人员等。4岗位职责角色职责所有者（ower）指个人或实体拥有授权/指派(被公司最高层)的控制资产的生产、开发、维护、使用以及安全管理的责任，所有者并不意味对某项资产拥有任何的所有权（财产权)。对信息资产进行定义、识别和分类；定期对信息资产进行回顾和修订；识别信息资产的安全需求；将信息资产的安全需求传达给信息资产的保管者和使用者；委派管理者维护资产清单；识别对信息资产访问活动中相关的安全风险，并根据公司相关访问控制策略批准对信息资产的访问权限；确保信息资产符合信息资产生命周期管控的安全需求；针对所属信息资产提出恰当的保护措施；可将信息资产的日常管理工作委托给他人，但需要对其进行监控和审计。管理者（Custodian）

受信息资产责任人委托，对信息资产进行日常的管理的人，维护已经建立的保护措施。对所管理的信息资产进行标识，定期对资产清单进行回顾和修订；选择适当的控制措施来保护所管理的信息资产，并且实施的控制措施应满足其安全需求；将实施的控制措施汇报给信息资产所有者；根据公司相关策略和信息资产责任人的要求，负责信息资产的维护操作和日常管理事务；负责具体设置信息访问权限；负责所管理的信息资产的安全控制；部署恰当的安全机制，进行备份和恢复操作；按照信息资产责任人的要求实施其他控制。向资产所有者和相关部门报告隐患、故障或者违规事件。使用者（User）

信息资产的使用者，除了公司内部员工，也可能是因为业务需要而访问公司信息的客户或第三方组织。使用者如在信息公开范围内，可以访问和使用；不在信息公开范围内的使用者需要访问和使用信息时，应向信息所有者申请对信息访问；按照公司信息安全策略要求正当访问信息，禁止非授权访问；按照公司的信息安全策略来保护所使用的信息资产向资产所有者或相关部门报告隐患、故障5信息资产管理内容5.1机密性分类方法制定信息资产机密性分类方法是为了帮助本公司员工和全体外部人员判断哪些信息资产属于敏感信息资产，以便更好地加以保护。机密性即机密性。全体员工应当熟悉本规定所确定的信息资产分类及标识办法，及敏感信息管理指南。员工可以根据分类定义标准和管理指南来保护信息资产，另一方面也可以采用通用最佳实践的办法来保护组织的敏感信息。信息资产的机密性进行分类如下：机密等级机密性标识方式机密性5(非常髙)公司机密(标识：商秘AAA)包含组织最重要的秘密，关系未来发展的前途命运，对组织根本利益有着决定性影响，如果泄漏会造成灾难性的损害4(髙)公司秘密（标识：商秘AA）包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害3(中)内部使用（标识：商秘A）包含组织的一般性秘密，一般仅能在组商秘八）织某一或几个部门内部公开，其泄露会使组织的安全和利益受到损害2(低)内部使用（标识：商秘）包含组织较低级别秘密，仅能在组织内部公开的信息，向外扩散有可能对组织的利益造成损害1(可忽略)公开信息(不标识)包含可对社会公开的信息，公用的信息处理设备和系统资源等本公司鼓励员工在一定的程度上使用常识性的办法来保护本公司敏感信息资产，如果员工不知道某种特定信息的机密性程度，默认情况下至少按"内部使用"的保护办法来对待。5.2信息资产的使用管理5.2.1硬件类和环境设施类资产的使用硬件类和环境设施类资产的接收和发出按本公司固定资产管理方面的控制程序执行；供应商送货到本公司后，接收人员对货物的品牌、型号、数量、包装和送货单据等核对无误后，在送单据上签收确认；领用时，发放人员要对领用情况进行登记，并由领用人员签字。接收到新的信息资产后，接收人员对信息资产机密性进行标识。信息资产发生变化时，要及时更新《信息资产登记表》。新增的硬件设备在经过必要的安装、配置和性能调优后，才能并入公司的网络系统。报废硬件设备必须要填写《报废申请表》，经过部门经理批准后方可报废。5.2.2软件类资产的使用在公司范围使用符合本公司安全性要求的软件，系统软件按需要及时进行补丁更新。在本公司网络内使用的电脑，只能安装本公司授权的软件。本公司采取必要的措施防范病毒、木马和流氓软件等恶意程序。采购软件类资产，要选择软件系统商，进行软件测试，必要时要进行源代码审查，以确保采购软件安全。软件系统时，要确保在软件系统需求中包含足够的安全需求，在软件系统和测试中这些要求能够得到满足，防范开发的软件中留有后门或恶意代码。禁止在本公司办公电脑上安装未经本公司许可的软件和程序，终端原则上只安装满足其业务要求的最小范围的软件。所有贮存软件的介质应当妥善保存，并登记入册。信息类资产的用管理5.2.3"公司机密"类信息的使用"公司机密"类信息是极其敏感的信息，对本公司来说，在没有相应授权的前提下，严格禁止本公司内部员工和外部人员对"公司机密"类信息的访问，一旦发现有对"公司机密"类信息的非授权使用或授权的滥用情况，必须立即作为安全事故向相关部门汇报。"公司机密"类信息传递到外网时，要设置8位以上的强口令。5.2.4"公司秘密"类信息的使用"公司秘密"类信息是较敏感的信息，本公司的内部员工和外部人员在使用"公司秘密"类信息时，应当特别谨慎以防止信息资产的丢失、被盗和敏感信息的泄露。一切人员都应按照"知所必须"的原则，获得完成其工作职责所必须的最小范围的"公司秘密"信息。禁止在公共场合讨论该类信息，"公司秘密"类信息限制打印或复制，多余的份数应粉碎或安全删除；必要时，"公司秘密"类信息分发时，要建立详细传阅清单。5.2.5"内部使用"类信息的使用仅限于本公司内部员工使用，一般避免向外扩散，外部人员要使用"内部使用"类信息，需要得到必要的授权。5.2.6其它类信息资产的使用人员类资产的使用管理依照《人力资源管理程序》执行。外购服务类资产的使用要防止资源的浪费和节约能源，如占用网络带宽进行与工作无关的下载，下班后不关电脑、照明、空调等的电源等等无形资产对本公司而言非常重要，要维护好这些无形资产，可以通过以下方面体现：商标保护商誉维护庆典活动组织企业文化活动企业形象设计办公礼仪参与各类社会活动的专业性和权威性客户服务水平的提升;紧急事件的圆满处理;其它方面。5.3资产的保密期限硬件类、软件类信息资产的保密期限为"五年"。信息类资产的保密期限原则性规定为："公司机密"和"公司秘密"类至少为五年，"内部使用"类至少为三年。国家有明确规定的依国家相关规定，如会计档案的保存期限；各机构对于管理档案等资料的保密期限另有规定的，依相关规定，但保密期限不得少于原则性规定期限。在保密期限内的信息类资产，当客观环境发生变化或因商业目的，不再需要继续保持较高密级或不需要再保密时，经公司管理层或授权的部门书面批准（纸质或电子文档均可）后，可以提前解密，解密后，密级为"公开使用"；但国家有明确规定不能提前解密的按国家相关规定办理。信息类资产的保密期限开始时间，如有特别注明生效时间的，为注明的生效时间；如无特别注明，需要批准的文档的生效时间为最后批准人的批准时间，不需要批准的文档生效时间为文档编写人的编写完成时间。

15.计算机文件保密制度ISMS-WI151目的为保守公司计算机文件秘密，维护公司权益，特制定本制度。公司秘密是关系公司权力和利益，依照特定程序确定，在一定时间内只限一定范围的人员知悉的事项。公司所有使用电脑的职员都有保守公司电子文件秘密的义务。2对保守、保护公司电子文件秘密以及改进保密技术、措施等方面成绩显著的部门或职员实行奖励保密范围和密级确定。3公司电子文件秘密包括下列秘密事项：3.1通过电子文件传输或做电子记录的公司重大决策中的秘密事项。3.2通过电子文件传输或做电子记录的公司尚未付诸实施的经营战略、经营方向、经营规划、经营项目及经营决策。3.3电子文件备案的公司内部掌握的合同、协议、意见书及可行性报告、主要会议记录。3.4电子文件备案的公司财务预决算报告及各类财务报表、统计报表。3.5通过电子文件传输或讨论的公司所掌握的尚未进入市场或尚未公开的各类信息。3.6电子文件备档的公司职员人事档案，工资性、劳务性收入及资料。3.7其他经公司确定应当保密的计算机文件。4通过邮件传输的一般性决定、决议、通告、通知、行政管理资料等内部文件不属于保密范围。5公司电子文件秘密的密级分为“绝密”、“机密”、“秘密”三级。绝密是最重要的公司秘密，泄露会使公司的权益和利益遭受特别严重的损害；机密是重要的公司秘密，泄露会使公司权益和利益遭受到严重的损害；秘密是一般的公司秘密，泄露会使公司的权力和利益遭受损害。6公司电子文件秘级的确定：6.1公司经营发展中，直接影响公司权益和利益的重要决策电子文件资料为绝密级。6.2公司的规划、财务报表、统计资料、重要会议记录、公司经营情况为机密级。6.3公司人事档案、合同、协议、职员工资以及尚未进入市场或尚未公开的各类电子信息为秘密级。7保密措施，凡是采用电脑技术存取、处理、传递的公司秘密应由电脑管理人员及该文件的创始人、接收人共同负责该文件的保密工作。8对于密级电子文件、资料，必须采取以下保密措施：8.1非经总经理或主管副总批准，不得复制和摘抄。8.2收发、复制和传输，由指定人员担任，并采取必要的安全措施。9在对外交往与合作中需要提供传输公司秘密事项的，应当事先经总经理批准。10具有属