ISO27001-信息安全管理制度汇编

（很全面的体系文件，大公司审厂专用）目录信息保密管理制度；5页信息安全惩戒管理制度；7页计算机及相关设备管理制度；4页计算机安全管理制度4页计算机帐号及密码管理制度4页计算机病毒防治管理制度5页供应商接待管理制度4页供应商信息安全管理自检表16页信息保密管理制度第一条目的为有效保护公司的设计成果等知识产权，防止公司的核心商业秘密泄露或被剽窃，防止不正当竞争，特制订本规定。第二条信息保密范围公司所有的不为公众所知悉、能为公司带来经济利益、具有实用性并经公司采取保密措施的技术信息和经营信息。具体包括但不限于：公司所有的产品规划、创意、设计方案、设计文件（含图纸及文档资料）、讨论结果结论；所有的资质认证的资料；所有的开发项目和进度；所有的技术资料和程序代码；所有的技术文档资料；所有的供应商资料；所有的采购数据；所有的客户资料及联络方式；所有的销售报表；所有的人事资料；所有的财务资料等。其他所有与公司经营管理相关的商业、技术、管理资料等公司认为需要保密的信息。信息保密规则第三条各部门人员使用的所有办公用电脑，必须设置开机密码，密码除了使用人应牢记外，应向各部门经理上报备案。电脑使用人员变更密码应及时向各部门经理报告。第四条未经总经理（包括其授权人）或各部门经理批准，公司任何人不得开启其他员工电脑，不得查阅和拷贝其他员工电脑中的资料和信息。第五条未经公司网管人员同意，公司任何人不得打开电脑机箱、拆卸、更换板（卡）。第六条未经总经理（包括其授权人）或各部门经理批准，各部门员工不得将上述属公司商业秘密范围的资料设置为共享文件的形式。第七条各部门日常联络工作文件通过内部邮件系统进行沟通传递，尽量避免打印及复印。各电脑使用人员必须每半天接收一次内部邮件，并按信息级别由相应主管审批后方可以发布或传递。邮件要定期进行备份。第八条如因工作需要，确需刻录公司信息资料，必须经部门经理和管理部主管共同批准，否则一律不得刻录。第九条办公电脑中的资料要定期整理、清理和备份。各电脑使用人员应每周将本周重要工作文件整理备份一次。第十条研发部与供应商的设计资料传递，由各设计小组长负责，普通设计人员不得使用外部邮件传递。设计人员应将相关资料用内部邮件传给各设计小组长，由小组长审核后再转发相关供应商。第十一条营销部、产品部或市场部收到客户的设计信息，原则上只能把该信息发送给项目负责人。如确有需要，经部门经理发送给该项目的主要经办人。收到设计信息的人员，不得以任何方式将客户的设计信息对外泄露，也不得转发给无关的技术人员。第十二条新产品通过公司网站对外发布，应事先将该产品的功能、结构和技术性能等报总经理或其指定授权人批准，经批准后方可发布。应避免信息泄露过早，造成他人的模仿或拷贝。第十三条公司电脑网络管理人员可以使用各种办法（包括对公司服务器的搜索）对违反公司规定的行为进行监控。如发现员工私自使用个人电子信箱发送属于公司保密范围的任何资料，有权进行制止和举报。公司将根据奖惩管理办法对举报人给予奖励和表彰。第十四条公司外人员需要动用我司电脑或查阅相关信息，必须有我司员工陪同。凡涉及公司商业秘密的数据信息，一律不允许浏览。也不得拷贝、打印、复制，特殊情况下需由部门主管签字确认后方可提供相关部分的数据。对擅自提供信息者，一经发现，予以辞退并追究法律责任。第十五条存放财务资料的电脑原则上不予联网，并应采取相关的技术限制和控制措施。数据传递由专人使用U盘和专用信箱传递，避免信息不当扩散。信息分级及传递规则第十六条公司信息根据重要程度分为四级绝密：指极为重要的公司核心商业秘密，如被泄露会使公司利益遭受特别严重的损失。主要指产品规划、创意、设计方案、产品设计文件（含图纸及文档资料）、客户资料及联络方式；销售报表；采购数据、产品数据；技术项目档案；重大项目资料、公司的核心技术程序、程序的源代码、外购的软件等；所有的人事资料；所有的财务资料；法律文件；股东会文件、董事会文件；公司各种规章制度等涉及公司运营的核心数据资料及档案。此级别信息，只有得到涉秘信息部门或项目主管书面许可方可根据工作需要进行内部加密传递，且传递范围仅限于需求部门主管或项目的负责人，由部门主管或项目负责人根据业务需要进行分割、整理后传达给本部门的员工。部门主管或项目负责人对接收的资料信息的安全和合理使用负责，因本人或本部门人员原因造成资料外泄，由部门主管首先负管理责任，同时追究直接责任人责任。许可须采用邮件回复、签字审批（如果需要移交的资料比较多或比较重要，须填写《数据档案资料移交清册》，见附表一）等有文字记载的书面方式进行，未经批准不得向任何人泄露，未经批准擅自将此级别信息对外发布，按泄密处理，责任人和部门主管负连带责任。机密：指重要的公司秘密，如被泄露会使公司利益遭受严重损失。主要指公司各种讨论、论证结论；资质认证资料；开发项目和进度等对公司经营有重大商业价值的信息；各个部门因工作关系，经部门经理审批可了解相关信息的内容，但严禁复制拷贝，需要复制拷贝须经总经理批准。此级别信息经审批后可以在具有相关业务联系的经理层传递，不得发布给与业务无关的经理和普通职员，更不得对外泄露。秘密：指公司一般商业秘密，泄露会使公司的利益遭受损失。主要指日常的部门内部讨论、论证结论；日常工作信息等。此级别信息由部门经理决定发布范围，可以在具有相关业务联系的员工间传递，但不得发布给与业务无关的员工，更不得对外泄露。普通非秘密类信息：指内部非保密信息。主要指各种管理公告、公示，对全体员工开放的各种信息。此级别信息可以在公司范围内发布传递，但不得对外公布。第十七条公司信息的传递统一用公司邮箱进行，在发送时应仔细核对收件人，需要审批的，得到批准方可发送。上述涉密信息的存储、处理、传递、输出要遵守文件传递和档案管理制度，并标注相应的密级标识，受控传递、签阅。第十八条部门间的信息传递统一由部门主管负责，各个部门的主管是涉秘信息发布与接收的唯一通道，除部门主管外任何人未经批准不得跨跃部门、跨跃职权发布、存储、保留涉秘信息，否则根据本规定进行处罚。部门主管须按公司要求严格履行保密义务，严格按审批程序和谨慎原则处理涉秘资料，需要批准传递的涉秘文件资料，确因业务需要，可以观摩、演示，但得到批准前不得另外保存、复制、传播，否则按泄密处理。第十九条任何人发现受控以外传递的涉秘信息，须在第一时间报告部门主管乃至总经理，并采取措施彻底清除已经传递出去的涉秘信息，销毁或回收全部受控以外的文件资料。数据信息保护保全管理规则第二十条宗旨：公司的技术信息、经营信息和管理信息等是公司赖以生存和发展的根本，所有员工必须树立信息时代科技优先、信息为本的思想，严格保护公司的商业秘密。第二十一条岗位责任：各部门主管是本部门数据信息保全的第一责任人，如发生数据信息遗失、毁损、灭失、使用不当、泄密等问题，部门主管负首要管理责任。网络管理员负责对公司电子数据信息进行备份，备份过程中不得查阅浏览与本职工作无关的信息内容，对于工作中知悉的相关商业秘密信息要严格保密。数据管理专员负责收集和保管公司数据信息，各部门须全力配合，不得拒绝；数据保管专员必须于数据采集的当天将数据资料存放到指定的存放地点，不得私自留存、复制，同时要按照公司的档案管理制度做好数据信息的登记和备案（即详细登记数据资料的内容、采集时间、版本信息等），分类存放，以便于查阅。第二十二条信息归档保存：公司数据信息以“谁形成，谁负责归档”为原则。各个部门根据本部门的业务情况建立全面的业务数据管理规范，部门主管对本部门的数据信息的归档及安全负全责。各部门的数据信息应及时归档，并自行设专柜妥善保存。密级为绝密的重要档案信息应在公司以外的专业保管场所由公司指定的专人负责存档及保管。密级为机密级以上的数据信息，应由部门主管亲自归档及保管，以确保数据信息的安全。其它密级的数据信息由部门主管根据数据的重要程度分级指派专人负责归档和保管，同时明确归档及保管人员的责任。第二十三条各部门数据信息档案管理：各部门须根据本部门特点，制定部门信息档案管理办法。各部门要严格执行公司信息管理规定及本部门的信息档案管理办法，确保公司的全部信息档案体系能记录、有记录、可查考，为公司的快速发展提供安全、持续、高效的支持。各部门应充分利用已有的信息档案体系提高决策的科学性，不断创新发展，积累越来越多的知识财富。第二十四条数据信息的备份与移交：绝密级信息，必须以可移动的存储方式进行数据备份。每月的第3个工作日由各个部门指定的数据管理人员或部门主管将备份数据信息移交给公司指定数据管理专员。存放于公司以外的安全场所，以确保公司数据资料的绝对安全，避免因火灾、盗抢及其他不可预料的以外给公司造成不可挽回的损失。第二十五条信息封存要求：部门主管须在封存的介质上加贴一次性封签，并在封签上签字同时签署封存日期。无总经理批准任何人不得拆封，如遇特殊情况确需拆封检查，须由数据管理专员亲自执行，并在查验完毕后1小时内重新封存完整并在封签上签字确认，同时注明日期。如需记载的事项较多，应以独立文本文件记录，并与数据信息一并归档保存。第二十六条封存人对数据信息的完整性和安全性负责。如果发现有重大的数据遗漏给与警告或1000元-10000以内罚款，并视情况减少，取消期权，股权。第二十七条借数据备份之名盗取公司数据或恶意伪造编造数据，一经发现立即开除，取消期权，股权。并保留追究一切责任和要求经济赔偿的权利。第二十八条数据保管专员的权利与责任：公司指定的数据保管专员，有权按公司规定搜集数据资料，各个部门主管须全力配合，不得以任何理由拒绝。数据保管专员必须于数据采集的当天将数据资料存放到制定外部存放地点，不得私自留存、复制和发生任何泄密，否则承担给公司造成的经济损失，并视情节予以5000-100000元的罚款。同时指定保管人员要按照公司的档案管理制度，做好数据资料的登记和记录，分类存放，详细登记数据资料的内容，采集时间，版本信息等以便于查阅。责任与监管第二十九条主管责任技术总监和技术项目负责人，负责技术文档、源程序、开发文档以及技术相关档案的组织编写和文件归档，负责外购的技术开发应用软件的保管和应用，确保软件没有应用于公司以外的任何用途，负责对全部技术文档进行监察与监督，对技术资料的完整与安全负责；产品部主管对产品规划、创意、设计方案、产品设计文件（含图纸及文档资料）等全部的产品设计文档和资料负责，组织编写建立归档，进行监察与监督，对本部门的资料完整与安全负责；人力资源主管对全部的人事资料和档案负责，负责人事制度的建立健全和发布实施，签阅存档；综合管理部主管对公司全部财务数据档案、公司行政档案、公司资质证书、公司印鉴等的完整和安全负责，同时负责建立健全公司行政办公管理制度，签阅存档。市场部主管负责公司全部营销企划方案、营销计划规划及策划资料组织编写和归档，对本部门的文件资料的完整和安全负责；项目主管负责所辖区域的客户资料的整理建档，对客户资料的完整和安全负责；第三十条监管对于公司的知识财产采取内部监督和外部监察双重手段进行监管，以确保公司的核心知识资产的安全。首先，每个月部门主管要组织本部门进行自查，保证本月及以前月份备份数据的完整和准确；第二，每个季度由综合管理部组织各个部门主管，由总经理统领进行交叉稽查；第三，由总经理根据需要，聘请外部的顾问和专家进行外部独立稽查；第三十一条责任承担1）对于重要资料没有备份、备份不全或备份错误的，根据给公司造成的损失追究相应的责任。2）违反“信息保密规则”，对相关责任人员予以警告或罚款，行政记过、记大过直至开除。3）违反“信息分级及传递规则规则”，对相关责任人员予处警告或罚款，行政记过、记大过直至开除。4）违反“数据信息保护保全管理规则”，因过失导致数据信息遗失、泄露，对责任人处以警告或1000元以下罚款；窃取公司商业秘密范围的数据信息或恶意伪造篡改数据的，一经发现立即予以辞退，取消全部股权期权奖金红利，除按劳动合同和竞业禁止约定处罚外，构成犯罪的报司法机关追究刑事责任。5）违反本“信息管理保密暂行规定”，除给予警告、罚款、记过、记大过、辞退等行政处分外，如给公司造成经济损失，同时承担民事赔偿责任，部门主管有过失的负连带赔偿责任。构成犯罪的，报送司法机关依法追究刑事责任。第三十二条本制度由综合管理部解释、补充，经总经理批准颁布执行。信息***信息安全惩戒管理规定A版目录1目的 32范围 33相关文件 34职责 35程序 45.1计算机信息系统的安保 45.2计算机应用与管理违规行为处罚规定 45.3计算机信息类违规处罚 65.4奖惩记录 65.5证据的收集 65.6证据的保存及提供 76记录 7文件修订历史记录版本日期修订者修订描述1.01目的为对违反信息安全方针、体系文件要求、法律法规、合同要求的员工实施公正有效的奖惩，并作为对可能在其它情况下有意轻视信息安全程序的员工的威慑，强化全体员工的信息安全意识，有效防止信息安全事故的发生，特制定本规定。2范围 本程序适用于***信息***对违反信息安全方针、体系文件要求、法律法规、合同要求的员工的奖惩及对信息安全做出贡献员工的奖励。3相关文件4职责4.1各副总经理负责自己区域内的奖惩。4.2管理者代表负责对IT方面信息安全事故的奖惩管理。4.3信息安全管理委员会负责决定重大信息安全和事故的处罚。4.4综合管理员负责***信息***内部泄密或信息泄漏的调查。5程序5.1计算机信息系统的安保5.1.1在计算机信息系统安全保护工作中成绩显著的单位和个人，由市行、市行所辖各单位或公安机关给予表彰、奖励。5.1.2存在计算机信息系统安全隐患的市行所辖单位，由市行或公安机关发出整改通知，限期整改。因不及时整改而发生重大事故和案件的，由市行对该单位的主管负责人和直接负责人予以行政处分；构成违反治安管理或者违反计算机管理监察行为的，由公安机关依法予以处罚；构成犯罪的，由司法机关依法追究刑事责任。注：以上条款由***信息***计算机信息系统安全保护小组负责解释。5.2计算机应用与管理违规行为处罚规定5.2.1计算机应用、维护及操作人员违反规定对账务、信息进行处理的，给予经济处罚或者警告至降级处分；造成严重后果的，给予撤职至开除处分。5.2.2违反规定，擅自编制、使用、修改业务应用程序、调整系统参数和业务数据的，给予主管人员和其他责任人员记过至撤职处分；造成严重后果的，给予主管人员和其他责任人员留用察看至开除处分。5.2.3利用计算机进行违法违规活动或者为违法违规活动提供条件的，给予主管人员和其他责任人员记过撤职处分；造成严重后果的，给予留用至开除处分。5.2.4违反规定，有下列危害***网络安全行为之一的，给予有关责任人员经济处罚或者警告至记过处分；造成严重后果的，给予记大过至开除处分：（a）在生产经营用机上使用与业务无关的软件或者利用通讯手段非法侵入其他系统和网络的（含从***的一个业务系统进入另一个业务系统，从***以外的系统和设备侵入***业务网络系统，以及从***的业务网络系统进入***以外的网络系统）；（b）未经审批，私自使用***内部网络上的计算机拨号上国际互联网的；（c）将非***计算机设备接入***网络系统的；（d）私自卸载或屏蔽计算机安全软件的；（e）私自修改计算机操作系统、网络系统安全设置的；（f）未经审批，私自在***网络系统内开设游戏网站、论坛、聊天室等与工作无关的网络服务的；（g）利用邮件系统传播损害***形象的邮件的。5.2.5利用***的计算机设备和网络系统制造、传播计算机病毒，给予主管人员和其他责任人员记过至记大过处分；造成严重后果的，给予主管人员和其他责任人员降级至开除处分。5.2.6计算机房值班人员擅自离岗的，给予经济处罚或者警告处分；造成严重后果的，给予记过至开除处分。5.2.7系统管理和操作人员离开主机或者终端时没有按操作规程退出系统的，给予经济处罚或者警告至记过处分；造成严重后果的，给予记大过至开除处分。5.2.8违反规定将属于***的计算机软件、文档、资料、客户信息等据为己有、复制或者借给外单位的，给予有关责任人员记过至撤职处分；造成严重后果的，给予留用察看至开除处分。5.2.9未按规定进行数据备份、没有妥善保管备份数据或备分数据无效的，给予主管人员和其他责任人员经济处罚或者警告至记过处分；造成严重后果的，给予记大过至开除处分。5.2.10在对面向客户的业务应用系统管理中，从事后台维护的技术人员，违反规定同时进行前台技术维护的，给予主管人员和其他责任人员记过至记大过处分；造成严重后果的，给予降级至开除处分。5.2.11在核心业务系统、支付系统、国际业务系统、银行卡系统、网上银行系统及储蓄事后监督系统等面向客户的业务应用系统有关的各项业务操作过程中，技术人员代替业务人员操作，或业务员允许技术人员代替从事业务操作，给予主管人员和其他责任人员记过至开除处分。5.2.12在电子银行业务中，有下列行为之一的，给予主管人员和其他责任人员警告至降级处分；造成严重后果的，给予撤职至开除处分：（a）违反规定，套取客户用户名、口令等机密信息的；（b）违反规定，复制、截留客户电子证书的；（c）冒用客户名义，伪造相关资料，骗取电子证书的。5.2.13伪造电子银行转账信息的，给予主管人员和其他责任人员警告至降级处分；造成严重后果的，给予撤职至开除处分。5.3计算机信息类违规处罚5.3.1信息***职工违规操作，给系统造成一定的影响，但没有影响业务正常运行或对业务造成轻微危害者，给当事人警告或严重警告、情节较重或严重者，视情节轻重给予当事人和主管领导200元以上1000元以下罚款。5.3.2信息***职工违规操作导致系统发生问题，影响业务长时间正常运行，立即调离信息***，情节严重者，按照市行的有关规定处罚。5.3.3支行系统员凡是不按要求管理，出现公网和内网混网现象，或其它安全问题，一经发现，除全行通报批评外，处以200元罚款，情节严重者，调离系统员岗位。5.3.4市行机关和支行所有计算机使用用户，违规私自修改网络地址进入不该进入的业务网段、或使用内网主机进入internet网络者，若对系统和业务未造成影响，除全行通报批评外，处以当事人和相关责任人200元罚款，若对系统或业务造成影响着，视情节轻重，处以500以上10000元以下罚款。5.3.5对全行所有营业网点每天晚间业务结束后，未做网点平账交易，除全行通报批评外，处以该网点200元罚款，该单位第二天必须向信息***出具事件说明报告。5.3.6凡是利用非法手段窃取系统密钥，进入我行业务系统，盗取客户资料，向外界提供客户资料并造成客户损失或进入系统作案者，一经发现，立即开除行籍，情节严重者，送交司法机关处置。5.4奖惩记录5.4.1综合管理员根据***信息***奖惩管理规定，对奖惩的实施进行记录并形成《奖惩记录单》记录完毕后由综合管理员进行留存。5.5证据的收集5.5.1当信息安全事件涉及到诉讼（民事的或刑事的），需要进一步对个人或组织进行起诉时，应收集、保留和呈递证据，以使证据符合相关诉讼管辖权。5.5.2证据在收集时不得侵犯个人权益，应在不侵犯个人权益时对证据进行收拾并且证实证据是否可在法庭上使用。5.5.3应保证证据的质量和完备性，防止未被授权的篡改和泄漏。5.5.4证据获得的保证：***信息***应确保收集证据其信息系统符合任何公布的标准或实用规则来产生被容许的证据。5.6证据的保存及提供5.6.1提供证据的份量应符合任何适用的要求。对该证据的存储和处理的整个时期内，应进行过程控制保证证据的质量和完备性。5.6.2纸面文档证据的提供：原物应被安全保存且带有下列信息的记录：谁发现了这个文档，文档是在哪儿被发现的，文档是什么时候被发现的，谁来证明这个发现；任何调查应确保原物没有被篡改；5.6.3对计算机介质上的信息：任何可移动介质的镜像或拷贝（依赖于适用的要求）、硬盘或内存中的信息都应确保其可用性；拷贝过程中所有的行为日志都应保存下来，且应有证据证明该过程；原始的介质和日志（如果这一点不可能的话，那么至少有一个镜像或拷贝）应安全保存且不能改变5.6.4任何法律取证工作应仅在证据材料的拷贝上进行。所有证据材料的完整性应得到保护。证据材料的拷贝必须在可信耐人员的监督下进行，什么时候在什么地方执行的拷贝过程，谁执行的拷贝活动，以及使用了哪种工具和程序，这些信息都应记录作为日志。6记录《奖惩记录单》奖惩记录单序号区域/部门奖惩人姓名奖惩事项描述奖惩人签字确认备注计算机及相关设备安全管理制度所有设备在入网前，需由信息中心对设备的涉密情况、基本配置信息、用途、使用人、安装的软件、使用的端口和服务、MAC地址等登记备案并进行安全审核，合格后方可入网与处理重要信息。所有设备需按照相关安全管理要求进行安全设置，不能自行设置的可咨询信息中心。由信息中心的网络管理人员根据登记信息对计算机及相关设备进行网络配置（包括网络跳线、MAC地址与IP地址的绑定、VLAN配置等）。系统安全管理1、严格执行用户权限分类分级控制原则；2、严格执行权限最小化原则；3、相同的访问权限执行一致的安全策略；4、各设备的系统用户及密码应按照相关安全管理规定设置，并定期修改密码。5、禁止一切没有限制的文件共享；6、根据业务需要开启相应端口服务；7、涉密计算机必须实行“专机专管、专机专用”；8、严禁在连接财政内网的计算机上私自安装和使用MODEM、无线网卡、无线路由器等网络通讯设备。对于违反规定的人员，发生安全事件由其承担全部责任并追究分管领导责任；9、计算机必须按照标准格式（房间号-姓名简拼）命名，以方便对计算机进行定位。10、计算机BIOS应设置口令，防止非法修改。计算机上网安全管理1、连接财政专网的计算机禁止以双网卡、修改IP地址、切换信息点及拨号等方式访问INETRNET；2、计算机必须通过在网络边界统一设置的方式访问INTERNET，严禁通过拨号等方式绕过代理服务器上网，严禁访问与工作无关的网站，坚决杜绝因访问不安全网站致使危险代码下载到计算机，危害系统和网络信息安全的现象发生；3、涉密计算机及其网络系统必须与互联网实行严格的物理隔离，坚决杜绝“一机两用”现象。计算机外设安全管理1、计算机外设包括软驱、光驱、存储介质（名手软盘、光盘、优盘、移动硬盘、MP3、磁带、存储卡、数码相机存储棒等）、调制解调器、红外设备、蓝牙设备、串口设备等。计算机外设在未经安全审核的情况下一律禁止使用，以消除由此可能带来的安全隐患；2、制作、收发、传递、使用、复制、保存和销毁涉密存储介质要按照相关保密管理规定进行，严禁自行处理；3、涉密移动存储介质要统一购置、统一标识、严格登记、严格管理，不得在涉密信息系统和非涉密信息系统之间交叉使用，以免造成信息泄漏。4、涉密存储介质携带外出须经本部门主管领导批准，并采取相应的保密措施。携带涉密存储介质出国（境）要按照国家保密局、海关总署的相关管理办法办理。5、办公用复印机严禁与互联网、普通电话线连接；办公计算机、笔记本电脑、移动硬盘等设备严禁与具有打印、复印、传真等功能并与普通电话线相连接的多功能一体机互联。其它管理要求1、所有涉密计算机必须粘贴统一格式的标签；2、使用完毕或者暂时离开计算机时应及时锁屏；3、对用于非24小时监控用途的计算机，要求下班后必须关闭机器；4、明确各计算机及相关设备的负责人，负责该设备的日常维护及资产管理。管理人员需定期检查安全情况并对资产进行清查。由信息中心的安全管理人员负责对安全措施的落实情况进行监督。计算机安全管理制度第一章个人计算机安全第一条加入安全密匙。每个新员工在领到机器，开机登录前要与系统管理员联系确认自己的机器安装了安全密匙客户端。第二条验证安全密匙。员工开机登录时，选择登录公司“sunshine”。第三条更改口令。首次登录用户必须修改自己的本地管理员（administrator）用户的口令，口令的长度不得少于6个字符，要大小写及数字混合使用。第四条访问安全。每位员工不得将自己的用户口令告诉他人；在离开工位前必须锁定本人的机器。每位业务系统操作人员要牢记自己的用户名和密码，并作为保密信息，保证自己的操作员信息不被盗用。严格按照业务部门有关业务操作流程及权限管理办法设置、管理权限，业务操作人员的授权须由所属业务经理批准，信息系统管理人员依照批准的《权限申请表》负责设置和核对。第五条共享文件安全。所有共享文件和目录不能给予修改或所有权限。第六条杀毒软件病毒库的定期更新。目前每位员工的机器均设定了杀毒软件病毒库的定期自动更新。每位员工上午上班前要核查自动更新是否成功。第七条系统升级。目前每位员工的机器均设定了系统的定期自动升级。每位员工下午上班前要核查自动更新是否成功。第八条网络及邮件安全。每位员工必须做到对网络资源的有效利用，不要随意下载安装与工作无关的文件，文件保存到本地后要先进行病毒扫描再打开。对于邮件中可疑的附件不要随意打开，保存后先查毒后打开。一旦发现自己的机器染上了病毒，要先拔掉网线，将病毒查杀干净后再接入网络。第九条每位员工在下班离开公司前要将主机电源、显示器电源及插座电源的开关均关闭。对于需要夜间不间断工作的个人机器，请在本人离开前做一警示。 第十条公司员工应遵守系统安全个人义务.如果技术上可行，每一位使用者都应该通过一个唯一的使用者身份号码来识别，该号码设有密码，并不得与任何人共享。使用者的身份号码意味着不允许存在公共使用。然而，支持网关和服务器的设备是一个例外，例如：互联网服务器等。只有得到信息技术部的批准，才能使用这些公共使用身份号码。使用者不得与他人共享密码。如果已经告知了他人，那么使用者将对他人利用密码所做的任何行为的后果负责。若使用者怀疑他的密码已经被泄露了，那么他应该尽快更换密码。并应该在第一时间向IT系统管理员汇报。使用者不应该书面记录下密码，并放在别人可以轻易看到的地方。密码不得设置成特定词汇或其他能被轻易猜到的字词。类似姓名、电话号码、身份证号、生日等都是不合格的密码。使用者不得向他人泄漏密码。如果IT技术支持人员要求运用使用者的号码访问，则必须当着使用者的面登录。如果使用者泄漏了密码，则必须尽快更改密码。如果他们因诱骗而泄漏了密码，则必须尽快向IT系统管理员汇报。如果使用者怀疑我们信息系统的安全性受到威胁，则必须尽快向IT系统管理员汇报。使用者对他们自己输入系统的数据的精确性负责，同时也对他们指示系统开发下载到我们系统上的数据的精确性负责。他们必须尽力保证数据的准确性。如果发现错误，并且自己能够修改的话，则应该将其改正。如果自己改正不了，则应该向他们的主管汇报。如果是在源文件发现数据错误，则应该尽快改正这些错误，而不是故意将这些错误输入我们的电脑系统。使用者在离开终端机器或电脑以前必须下线，这一点应该强制执行。如果是在使用不带下线功能的单机个人电脑，则必须在离开电脑前终止程序。只有当执行批处理任务时是例外。当使用者的工作职责有变动时，他的访问权也应该作相应的变更。部门经理应该及时递交“权限申请表”以通知IT系统管理员。特别是在员工辞职的情况下，其部门经理以及人事部经理应该及时通知IT系统管理员，以保证在最短的时间内撤销其系统访问权。计算机工作人员调离时,按规定移交全部技术资料和有关数据,设有口令和密钥的及时进行更换。涉及开发及其他重要业务的技术人员调离时,确认对业务不会造成危害后方可调离。第二章系统信息安全管理第十一条计算机操作系统要建立操作人员访问控制制度。要明确各类人员的权限和操作范围,并用软、硬件技术控制各类用户的访问权限。操作系统级的超级管理用户口令、数据库管理用户口令、应用管理用户口令只能由IT部系统管理员设定并经IT部门经理审核，１个月做一次修改，口令要向其他人员保密。普通计算机用户只有对操作系统的受限权限。在应用系统实施阶段，考虑到应用软件提供商需要对自己的产品进行调试，可以在调试时将应用管理用户口令暂时开放给应用软件提供商；调试一结束系统管理员马上更改口令。对口令设定必需满足以下规范：最多允许尝试次数5口令最长有效期90天口令的最大长度不受限口令的最小长度6位口令的唯一性要求最近三次所更改的口令不能相同系统的安全控制通过口令控制及对象的安全控制实现第十二条要建立严格的数据库访问控制制度。数据库内具有较高权限的管理用户口令由IT部数据库管理员设定，并由IT部门经理审核，不能向其他人开放。口令必须１个月做一次修改。业务系统后台数据库对象创建用户的口令由IT部数据库管理员设定，由IT部门经理审核。不能向其他人开放。对口令设定必需满足以下规范：口令最长有效期90天口令的最大长度不受限口令的最小长度6口令的唯一性要求最近三次所更改的口令不能相同根据操作需求，在数据库中分别建立对业务数据只有“增、删、改”权限的用户；对业务数据只有“查询”权限的用户。不同的操作需求开放不同权限的用户。除IT部门的人员外，其他部门的任何人员均没有权限从后台数据库直接进行数据的“增、删、改”操作。对于业务必须的后台job或批处理，必须由IT部门人员执行。 第十三条应用系统和业务系统的访问依靠系统内部定义的操作用户权限来控制，操作用户权限控制到菜单一级，对于操作用户的安全管理有如下规范：所有应用级的操作用户及初始口令统一由IT部门设定，以个人邮件的形式分别发给各部门的操作人员。各部门操作人员在首次登录时必须修改口令。对于口令设定必需满足以下规范：口令最长有效期90天口令的最大长度不受限口令的最小长度6口令的唯一性要求最近三次所更改的口令不能相同操作人员不能将自己的用户及口令随意告诉他人所有使用者的认可都由系统管理员来逐一分配。必须由部门经理提交访问权认可的申请表，然后由IT部门经理批准。应用系统或业务系统中需要加入新的使用者时，首先使用者需要填写“权限申请表”。该申请表应该得到部门经理和IT部门经理的共同批准。之后，IT系统管理员会帮助应用系统的使用者开通账户，并建立相应的访问等级和权限。应用系统或业务系统需要关闭某位使用者的账户时，首先该部门应该填写“权限申请表”，并得到部门经理和IT部门经理的共同批准。之后，IT系统管理员会帮助应用系统使用者关闭该账户。大多数的主文件都会与审查日志一起更新。使用者号码、处理日期以及时间将写入日志，以备今后查询之用。 第十四条重要数据要建立数据备份制度,并做到异地保存。 第十五条发生重要数据的设备故障,需外单位人员修理时,本单位必须有人在场监督。第三章网络通信安全管理 第十六条对联网的计算机及其网络设备和通讯设备的安装、使用,建立健全安全保护管理制度,落实安全保护措施,以防“黑客”侵入。要积极采取预防计算机病毒的相关措施,防止计算机病毒及其他有害数据破坏计算机的正常工作。 第十七条存有重要数据和机密信息的计算机,不得与互联网联网。接入互联网的计算机要由信息技术部统一对上网内容进行必要的检查。 第十八条局域网和广域网安全。局域网交换机位于中心机房，对该中心机房的物理访问通过机房管理制度来控制。除了授权的IT支持人员以外，任何使用者都不得在公司办公地点的个人电脑上安装任何带有数据包监听、端口扫描、地址扫描或其他黑客功能的软件。IP地址只能由经授权的IT支持人员来分配。使用者不得自行分配他们的IP地址。所有的交换机、路由器、互联网服务器以及防火墙都应该设置密码，此密码不得为原厂密码。交换机、路由器、互联网服务器以及防火墙的所有不同等级的密码都应该记录在案。信息技术部应该一直保留一个最新的备份。对于交换机、路由器、防火墙以及互联网服务器的结构等级的访问应该只限授权的IT支持人员。关于安全的信息以及通往网络的网关的保护机制应该只有授权的IT支持人员知道。所有的网络通信设备都应该由非间断电源提供至少60分钟的电源供应。如可能，非间断电源供应机应该轮流由一台备用的发电机来充电。只有经授权的使用者才允许安装和使用网络管理工具。第四章数据安全管理第十九条数据是公司的重要资源，数据的储存、销毁必须严格执行公司的内控制度和保密制度。第二十条业务部门对使用计算机信息系统打印的各种业务数据及文字资料，要指定专人妥善保管，并按日期顺序进行登记。打印作废的业务资料，要及时销毁。第二十一条数据处理中心和业务处理主机上的磁记录档案，由信息技术部定期永久备份，异地保存一套副本，并按照文书档案归档的要求，放入钢柜妥善保管。保存期限按档案管理要求处理。第二十二条业务数据修改处理，原则上都应由业务部门的操作人员用程序处理。用户账号和密码安全管理规范目录概述 4适用范围 5用户帐号的分类 6用户帐号的创建 7用户帐号创建流程 7用户帐号创建的安全事宜 7密码设置标准和最小强度规定 9密码设置标准 9密码最小强度规定 9用户帐号和密码的保护 11用户帐号和密码的管理 13用户密码的变更 13用户帐号的禁止 13用户帐号的删除 13用户帐号和密码管理制度的实施 15实施工作流程 15更新维护要求 15奖励和处罚 16参考文献 17

概述用户帐号和密码是计算机信息系统中大量使用的用户身份验证的手段。几乎所有的访问控制、安全审计等信息安全技术防范措施都是建立在“帐号+密码”的用户身份验证机制上。因此，缺乏用户帐号和密码管理或不规范的用户帐号和密码管理都会使得**信息安全设备和系统形同虚设。本管理制度的主要作用在于对**用户帐号按照其重要性进行分类，并从用户帐号和密码的创建、保护、变更和废除等方面，对用户帐号和密码的相关管理作出详细的规定。本管理制度从以下几个方面对用户帐号和密码安全管理进行全面阐述：用户帐号的分类根据用户帐号的权限不同，对不同的用户帐号进行归纳分类。用户帐号的创建规定了用户帐号和密码创建的流程和所需遵守的安全规章制度。 密码的设置标准和最小强度要求规定了密码设置时需要遵守的安全规章制度和不同安全级别的用户帐号所要求的密码强度。用户帐号和密码保护规定了用户在使用帐号和密码时，所必须遵守的安全规章制度，从而最大限度地确保帐号和密码的安全性。用户帐号和密码的管理规定了更改、废除用户帐号（权限）和密码的流程和相关安全事宜。用户帐号和密码管理制度的实施 规定了本管理制度的具体实施细则，包括工作流程、更新要求和奖惩措施等。

适用范围本管理制度适用于**所有用户帐号和密码，以及能访问相关计算机信息的员工，包括管理、支持、维护用户帐号和密码的IT人员。

病毒防治管理规定一、目的计算机的信息需要存取、复制、传送，病毒作为信息的一种形式可以随之繁殖、感染、破坏，病毒存在有其必然性，由于病毒对系统造成的危害（如破坏系统数据区、破坏攻击文件、破坏攻击内存、破坏系统运行），当它们进一步传染时会引起无法预料的和灾难性的破坏，所以有必要对病毒进行防治。为加强本公司对计算机信息系统安全保护，预防和控制计算机病毒的感染和扩散，根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国公安部第51号令》及一些相关的管理规定，结合本公司实际情况，制定本规定。二、范围本规定涉及范围包括公司的IT服务器、各办公地点个人办公用计算机及其它计算机设备。三、主管部门管理工程部作为公司计算机使用的规划、设计、建设和管理部门，有权对公司计算机使用过程中的病毒防治情况进行监管和控制。知识产权部有权对公司计算机的病毒防治情况进行审计。四、概念定义本规定所称的计算机病毒，是指“编制程序或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码”。该定义与《中华人民共和国计算机信息系统安全保护条例》中的计算机病毒定义保持一致。五、管理细则1、普通用户职责使用计算机的单位和个人，应当遵守下列规定：（一）、禁止任何个人以任何名义制造、传播、复制计算机病毒。（二）、每个用户应配置按最新版《华为公司IT技术和产品标准》中规定的防病毒软件，在使用计算机的任何时间内必须运行防病毒软件，进行经常性的病毒检测和清除。未经许可，用户不得随意下载标准规定之外的防病毒软件或病毒监控程序。（三）、部门秘书为本部门计算机病毒预防和控制管理人员。应及时关注公司发布的防病毒软件更新通知及防范措施，并及时的向本部门员工发布，保证本部门员工及时更新防病毒软件。（四）、新购置的、借入的或维修返回的计算机，在使用前应当对硬盘认真进行病毒检查，确保无病毒之后才能投入正式使用。（五）、软盘、光盘以及其它移动存储介质在使用前应进行病毒检测，严禁使用任何未经防病毒软件检测过的存储介质。（六）、计算机软件以及从其它渠道获得的电脑文件，在安装或使用前应进行病毒检测，禁止安装或使用未经检测过的软件或带毒软件。（七）、任何单位和个人向外发布文件或软件时，应该用公司规定的防病毒软件检查这些该文件或软件，有病毒应及时清除，之后才能向外发布。（八）、对邮件中的附件在使用之前应该进行病毒检测，收到来历不明的邮件不要打开并及时通知管理工程部处理。（九）、如果发现本机感染了病毒，不管病毒从何处传播而来，都应该向管理工程部IT热线汇报，如果从别的机器传播而来的，还应该及时通知该机器的使用者，以便采取相应的防治措施。任何个人不得发布虚假的计算机病毒疫情。（十）、如果发现防病毒软件不能清除的病毒，除应及时上报管理工程部IT热线的同时，在问题处理之前，还应禁止使用感染该病毒的文件，同时将这些文件隔离。（十一）、用户有义务接受有关部门组织的病毒防治的教育和培训。2、主管部门职责以下是各主管部门的共同职责：（一）、共同努力，确保公司病毒防治工作的成功开展。（二）、及时、准确的发现和清除公司IT服务器可能存在的病毒，公司IT服务器包括文件服务器、应用服务器、邮件服务器、数据库服务器、备份服务器、网关等。（三）、对公司员工进行的病毒防治的教育和培训。以下是各部门的主要职责：IT规划控制部（一）、负责本规定的解释和修改；（二）、负责防病毒软件选型标准的制定和维护。IT系统管理部（一）、及时对用户反映的病毒问题进行反应，及时解决用户的问题。（二）、及时跟踪防病毒软件的升级情况，并及时将升级的版本及相关措施向全公司公布。（三）、配合知识产权部对用户上报的病毒追踪其根源，查找病毒传播者。（四）、对病毒的发作时间、发作现象、清除等信息的进行维护、备案，并定期制作案例。IT应用管理部（一）、负责防病毒软件的选型，防病毒软件选型工作的具体操作参照相关的软件选用标准和流程进行。知识产权部（一）、对公司计算机的病毒防治情况进行审计。（二）、对用户上报的病毒应追踪其根源，查找病毒传播者。六、罚则1、有以下情形之一，一经查到，第一次知会本人，第二次通报批评并书面知会其直接行政主管，第三次及以后每次对直接责任人处以通报批评、罚款，并接受公司规定的IT安全封闭学习（不带薪）：（一）、未安装公司规定可以使用的防病毒软件的。（二）、没有及时对防病毒软件进行更新的。（三）、发现病毒不及时上报的。（四）、擅自打开来历不明的邮件或附件而导致感染病毒的。（五）、没有及时对外来的计算机软件和文档进行使用前的病毒检测而导致感染病毒的。2、有以下情形，一经查到，第一次通报批评并书面知会其直接行政主管，第二次对直接责任人处以通报批评、罚款，情节严重者报人力资源部做辞退处理：故意制造、传播、复制计算机病毒的。七、附则1.以上罚则的处理对象为违反规定的直接责任人，对违反以上两项或多项规定者，按严重者进行处罚；2.对违反以上规定造成公司重大损失者，将根据情节给予降薪或建议人力资源部做辞退处理；3.对违反以上规定者，如其主管明显指导不力须负连带责任。原则上对主管处罚不超过对直接责任人的处罚；4.在罚款有范围时，对初犯者一般按下限处理，多次违规者按上限处理；5.以上管理规定由管理工程部、知识产权部进行定期或不定期组织检查，并贯彻执行上述规定；6.本文件解释权和修改权归管理工程部，以前规定的与病毒防治相关的管理规定内容如果与本规定相抵触的，以本规定为准。本文件自签发之日起开始生效。供应商/合作商接待管理办法第一条本管理办法适用于与供应商/合作商有直接业务联系，承担供应商/合作商接待任务的部门（下称“接待部门”）和个人。这里的“供应商”包括供应商的代理商。第二条接待部门应当建立供应商/合作商来访预约制度和接待记录制度，设置来访接待的记录本，由接待人于接待当日逐项填写后，交本部门秘书保存。第三条供应商/合作商自进入公司起至离开公司止，必须由接待部门安排专人（下称“接待人”）陪同，不得任其自行走动。供应商在公司仓库或工厂交货时,由安全管理部保卫人员和仓库保管员负责供应商的活动控制。第四条供应商/合作商进入公司进行业务活动，应当由接待人在门卫处登记和领取来宾卡，然后引领供应商/合作商至专门的场所进行业务洽谈。供应商/合作商在公司内活动应当佩戴来宾卡。第五条除以下情况外，接待人不得引领和允许供应商/合作商进入办公室、实验室、生产场地和其它机要区域：1、公司高层领导批准的参观活动；2、必要的仪器设备现场安装、维修、调测；3、供应商/合作商因业务需要进入上述区域的其它情形。在情况2、3下，接待人引领供应商/合作商进入上述区域，需经主管上述区域的部门负责人批准。供应商/合作商在上述区域活动时，接待人必须亲自陪同。对供应商、合作商进入实验室的情况，接待人和该实验室负责人应当及时记录。第六条业务洽谈一般应当在供应商接待室或对外会议室内进行，招标、谈判等正式洽谈和重大项目的会谈应当在专门的会议室进行,不得在办公室进行。应当避免同一领域的供应商/合作商在同一接待室同时进行业务洽谈。第七条除预定的工作内容外，接待人不得为供应商/合作商随意安排其它活动；不得向供应商/合作商透露业务范围之外的公司技术、商务情况。第八条未经公司高层领导和知识产权部特别许可，供应商/合作商不得在公司内摄影、拍照。第九条如因业务需要须向供应商/合作商提供含有公司保密信息的文件、资料或实物的，接待人应当在获得相应的批准或授权，并与供应商/合作商签订保密协议后再行提供，提供时应开具清单请供应商/合作商签收。提供文字保密材料的应当加盖保密章或有其它保密标识。保密协议在知识产权部存档，签收清单由部门秘书妥善保存。第十条对供应商/合作商的技术人员因业务需要须在公司进行工作的，应与之签订个人保密协议，向其明确公司的保密制度。这些人员如需接触或查阅我司文档等内部文件的，必须经过相关部门负责人签字批准，并由其本人填写查阅记录。个人保密协议在知识产权部存档，签批条和查阅记录由文档查阅部门妥善保存。第十一条接待人员以及参加会晤的其他人员应自觉保守公司秘密,不随意承诺,不在授权范围之外行事,已经承诺和双方达成意向的事宜应当作正式记录.第十二条结束业务活动后，供应商/合作商如与公司其它部门有业务联系，接待人应通知相关部门另行接待，接待人的义务至相关部门接待人领走供应商/合作商为止；如无其它业务，接待人应陪送供应商/合作商离开公司，并到门卫处注销登记并归还来宾卡。接待人在无法陪送的情况下应委托秘书或本部门其他人陪送。第十三条对接待人的接待工作，部门负责人、部门秘书和本部门其他人员有权进行监督。安全管理部保卫人员有权对无人陪同的供应商/合作商进行询问，并对接待人失职的情况进行记录和通报。第十四条接待人违反上述规定，未尽到接待责任，使供应商/合作商处于失控状态或擅自引领供应商/合作商进入禁入区域的，应由部门负责人给予警告或批评。如由于接待人违反上述规定造成泄密的，接待人应承担相应责任；属于部门管理不严的，部门负责人应承担相应的连带责任。第十五条公司员工的亲属、朋友等私人来宾如到公司食堂就餐应由本人引领，并不得进入公司办公区域。第十六条顾问单位、来访院校和其他来公司参观交流人员的接待参照本办法规定执行。公司客户、政府官员及其他贵宾的接待按照公司其它有关文件规定办理。第十七条公司各办事处、研究所、分公司等分支机构及子公司、合资公司的接待管理工作原则上按照本管理办法执行。本管理办法自发布之日起生效。 供应商信息安全管理体系自检表V02.001、信息安全体系序号#评分内容Requirements得分Score评分备注Scoringremarks证据要求Evidence

○流程文件

△执行记录1.1供应商是否制定信息安全管理的相关方针、政策、制度并实施？2有制定如计算机信息保密制度、指纹门禁等○政策或制度文件

△执行记录1.2供应商是否建立信息安全管理组织并例行运作？如：建立信息安全委员会，包括高层领导、各部相关主管、信息安全部或专兼职信息安全专家（员）等。2有制定资安组织架构，有相关运作记录。○组织任命文件

△组织运作记录1.3供应商是否制定信息安全规范及违规处罚条例并实施？2员工手册上有相关处罚条例○规范及违规处罚条例

△检查记录1.4供应商是否对信息资产进行密级划分，如绝秘、机密、秘密、内部公开、外部公开等，并进行分级管理？信息资产获取和使用是否严格执行“工作相关、最小授权、审批受控和不信任原则”？2有分级，针对文件与计算机网络、USB接口等进行管控。○信息资产管理文件1.5供应商是否通过第三方ISO27001信息安全体系认证？2无○证书扫描件1.6供应商是否定期组织信息安全内部稽查，并针对发现的问题进行改善？2不够完善△稽查报告、改善计划及问题关闭情况总得分Subtotal12合规性Compliance%100.00%2、信息安全协议序号#评分内容Requirements得分Score评分备注Scoringremarks证据要求Evidence

○流程文件

△执行记录2.1供应商是否与***签暑NDA(Non-DisclosureAgreement)协议？2暂无○已签署的NDA协议扫描件2.2供应商是否将NDA协议条款融入到信息安全管理制度、规范中？2○管理制度、规范2.3供应商是否与员工签署信息安全保密协议？保密协议须包含违约处罚及追究刑事责任等条款。2有签订员工保密协议、专案保密协议○关键岗位员工专项保密协议扫描件

○普通员工通用版保密协议扫描件总得分Subtotal6合规性Compliance%100.00%3、人员管理序号#评分内容Requirements得分Score评分备注Scoringremarks证据要求Evidence

○流程文件

△执行记录3.1供应商是否建立关键岗位人员清单？包括但不限于姓名、信用等级、IT权限、保密协议签署、岗前培训等。2△关键岗位人员清单3.2供应商是否建立关键岗位信息安全管理细则？2○管理文件3.3供应商负责***项目的人员不得参与***竞争对手的项目。2○管理文件3.4供应商招聘关键岗位人员是否进行了信用度审查？包括但不限于背景调查、诚信记录、入职动机、工作稳定性等。2△信用度审查记录3.5供应商是否对新员工进行信息安全入职培训？包括但不限于信息安全制度、规范，员工保密协议内容等。2○培训教材

△培训记录3.6供应商是否例行组织在职员工的信息安全培训和宣传？2○培训教材

△宣传材料

△培训记录3.7供应商是否对关键岗位人员进行信息安全例行检查，并针对发现的问题进行改善？2○检查CheckList

△检查结果及改善记录3.8供应商在关键岗位人员离职前，是否安排一个月脱密期？是否及时收回信息资产及IT权限？是否进行日志审计？2○管理文件

△离职人员信息确认表

△审计记录3.9供应商是否禁止关键岗位人员与无关人员谈论或泄露***项目信息？2针对可能会接触产品或者产品信息人员签订保密协议○管理文件3.10供应商是否建立外来人员管理要求？来访人员是否登记备案？2有程序文件、门禁管制制度、来宾管理程序○管理文件

△来访人员登记记录总得分Subtotal20合规性Compliance%100.00%4、物理安全序号#评分内容Requirements得分Score评分备注Scoringremarks证据要求Evidence

○流程文件

△执行记录4.1供应商是否建立***专区或物理隔离区？2△专区或物理隔离区照片4.2供应商是否在***专区或物理隔离区设置门禁、摄像头和保安员？2△区域门禁、摄像头、保安员照片4.3供应商进入***专区或物理隔离区的人员是否佩带身份标识卡？2△身份标识卡照片4.4供应商是否在***专区或物理隔离区门口标识“***专区，无关人员禁止进入”？2△区域标识照片4.5供应商是否禁止***竞争对手参观***专区或物理隔离区？2○管理文件4.6未经***采购信息安全主管授权，禁止在***专区或物理隔离区拍照、录像。2○管理文件4.7***专区或物理隔离区是否使用独立的IT系统？包括服务器、计算机、存储介质及访问控制等。2○管理文件4.8供应商的服务器机房是否安装防火、防水及报警等装置？2△机房照片（标识各装置位置）总得分Subtotal16合规性Compliance%100.00%5、IT管理序号#评分内容Requirements得分Score评分备注Scoringremarks证据要求Evidence

○流程文件

△执行记录5.1供应商是否建立IT系统信息安全管理要求？包括IT权限、计算机、服务器、存储介质、机房等管理。2有相关文件○IT系统信息安全管理要求5.2供应商是否通过IT手段禁用USB口、外网访问和邮件外发？特殊情况使用，是否经过业务及信息安全主管审批？2有文件管控及实际管控△IT控制措施

△审批记录5.3供应商是否通过IT技术手段监控所有计算机的USB口、光驱、硬盘、网口以及邮件发送、外网访问等？2通过企业端可监控和控制△监控截图5.4供应商计算机是否设置开机密码、域密码、屏保密码等？密码复杂度是否符合要求