2022版ISO27001信息安全管理手册 (完整版)信息安全手册

*********有限公司信息安全管理体系文件管理手珊依据IS0/IEC27001：2022标准编制编号:ZX-ITSMS-2023受控状态：编审批制：核：准：发布日期：实施日期：受控编制小组******2023年01月01日2023年01月01日1概述．1.1颁布令1.2范围1.3授权书．1.4手册说明，1.5公司简介，2规范性引用文件，3术语和定义3.1术语．3.2缩写4组织环境4.1了解公司现状及背景4.2理解相关方的需求和期望4.3确定信息安全管理体系的范围4.4信息安全管理体系5领导作用5.1领导力和承诺5.2信息安全管理体系的方针5.3角色，责任和承诺.6策划．6.1应对风险和机遇的措施6.2信息安全目标和实现目标的规划.6.3变更计划作者：李柏偷翻版盗真必追究责任7．支持7.1资源提供7.2信息安全能力管理7.3意识556679999910101010101111111113131415161616167.4沟通7.5文档化信息8运行．．8.1运行计划及控制8.2信息安全风险评估8.3信息安全风险处置9绩效评价9.1监视、测量、分析和评价9.2内部审核.9.3管理评审10改进．10.1持续改进10.2不符合及纠正措施附录1组织架构图.附录2职能分配表附录3信息安全职责16171818181919191921.212122.232428序号修改内容手册的更改修改日期版本号修改人审核批准1.1颁布令1概述经公司全体员工的共同努力依据IS0/IEC27001:2022标准建立我公司信息安全管理体系已得到建立。指导管理体系运行的公司《信息安全管理手册》经评审后，现予以批准发布，《信息安全管理手册》的发布，标志着我公司从现在起，必须按照信息安全管理体系标准的要求和公司《信息安全管理手册》所描述的规定，不断增强持续满足顾客要求、相关方要求和法律法规要求的能力，全心全意为顾客和相关方提供服务，以确立公司在社会上的良好信誉。《信息安全管理手册》是公司规范内部管理的指导性文件，也是全体员工在产品产品及对客户的服务过程中必须遵循的行动准则。《信息安全管理手册》一经发布，就是强制性文件，全体员工必须认真学习、切实执行。本手册2023年01月01日式实施。总经理：***2023年01月01日1.2范围本总纲所描述信息安全管理体系适用于公司所有部门，所涉及业务范围包括信息技术处理设施的管理运维服务、信息技术系统的开发、获取和运行维护、人员的信息安全、数据的安全等在内的各项信息安全管理相关活动。1.3授权书为贯彻执行IS0/IEC27001：2022《信息安全管理体系》，加强对信息管理体系运行的领导，特授权：1、授权***为公司管理者代表，其主要职责和权限为：1）确保公司信息安全管理体系所需过程得到建立、实施、运行和保持。确保信息安全业务风险得到有效控制。2）向最高管理者报告信息安全管理体系业绩和任何改善需求，为最高管理者代表评审提供依据。3）确保满足顾客和相关方要求、法律法规要求的信息安全意识和信息安全风险意识在公司内得到形成和提高。4）在信息安全管理体系事宜方面负责与外部的联络2、授权***为ISMS信息安全管理项目责任人，其主要职责和权限为：确保信息安全管理方的控制措施得到形成、实施、运行和控制。3、授权各部门主管为信息安全管理体系在本部门的责任人，对ISMS要求在本部门的实施负责。总经理：***2023年01月01日1.4手册说明1.4.1总则《信息安全管理手册》的编制，是用以证明已建立并实施了一个完整的文件化的信息安全管理体系。通过对各项业务进行风险评估，识别出公司的关键资产，并根据资产的不同级别风险采取与之相对应的处理措施。《信息安全管理手册》为审核信息安全管理体系提供了文件依据。《信息安全管理手册》证明公司已经按照IS0/IEC27001：2022版标准的要求建立并实际运行一套信息安全管理体系。《信息安全管理手册》的编制及颁布可以对公司信息安全管理各项活动进行控制，指导公司开展各项业务活动，并通过不断的持续改进来完善信息安全管理体系。1.4.2信息安全管理手册的批准综合部负责组织编制《信息安全管理手册》及其相关规章制度，总经理负责批准。1.4.3信息安全管理手册的发放、作废与销毁（1）综合部负责按《文件管理程序》的要求，进行《信息安全管理手册》的登记、发放、回收、归档、作废与销毁工作。（2）各相关部门按照受控文件的管理要求对收到的《信息安全管理手册》进行使用和保管。（3）综合部按照规定发放修改后的《信息安全管理手册》，并收回失效的文件做出标识统一处理，确保有效文件的唯一性。（4）综合部保留《信息安全管理手册》修改内容的记录。1.4.4信息安全管理手册的修改《信息安全管理手册》如根据实际情况发生变化时，应用信息安全体系相关部门提出申请，经综合部讨论、商议，信息安全代表审核、总经理批准后方可进行修改。为保证修改后的手册能够及时发放给相关人员，综合部对手册实施修改后，应及时发布修改信息，通知相关人员。《信息安全管理手册》的修改分为两种：一是少量的文字性修改。此种修改不改变手册的版本号，只需在本手册的“文档修改记录”如实记录即可，不需保存手册修改前的文档原件。二是大范围的信息安全管理体系版本升级，即改版。在本手册经过多次修改、信息安全管理体系建立依据的标准发生变化、公司的业务范围有较大调整的情况下，需要对本手册进行改版。本手册的改版应该对改版前的《信息安全管理手册》原件进行保存。在出现下列情况时，《信息安全管理手册》可以进行修改：》信息安全管理体系运行过程中发现问题或信息安全管理体系需进一步改进》内部信息安全提出新的需求》组织机构和职能发生变化》经营环境和产品结构有调整》发现本手册中存在差错或不明确之处》引用的法规或体系标准有修改》体系审核或管理评审提出改进要求》本手册的更改控制按《文件管理程序》执行1.4.5信息安全管理手册的换版《信息安全管理手册》进行换版，换版应在管理评审时形成决议，重新试试编制、审批工作。>当依据的IS0/IEC27001：2022信息安全管理体系有重大变化时，如组织结构、内外部环境、开发技术、信息安全风险等发生重大改变的。》相应的法律法规发生重大变化时，如国家法律法规、政策、标准等发生改变的。》《信息安全管理手册》发生需修改部分超过1/3时。》《信息安全管理手册》执行已满三年时。1.4.6信息安全管理手册的控制（1）《信息安全管理手册》标识分受控文件和非受控文件：》受控文件发放范围为公司领导、各相关部分的负责人、审计部或者内审员。》非受控文件印制成单行本，作为投标书的资料、销售目的等发给受控范围以外的其他相关人员。（2）《信息安全管理手册》分为书面文件和电子文件两种。1.5公司简介2规范性引用文件下列文件中的条款通过本《信息安全管理手册》的引用而成为本《信息安全管理手册》的条款。凡是标注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修改版均不适用于本《信息安全管理手册》，然而，信息安全管理小组应研究是否可使用这些文件的最新版本。凡是不注日期的引用文件、其最新版本适用于本《信息安全管理手册》。IS0/IEC27001：2022《信息技术-安全技术-信息安全管理体系-要求》IS0/IEC27002：2022《信息技术-安全技术-信息安全管理实用规则》3术语和定义3.1术语IS0／IEC27000的术语和定义适用于本《信息安全管理手册》。本组织、本公司、我公司：广东悦伍纪网络技术有限公司3.2缩写ISMS：InformationSecurityManagementSystems信息安全管理体系；SOA：：StatementofApplicability适用性声明；PDCA：：PlanDoCheckAction计划、实施、检查、改进。4组织环境4.1了解公司现状及背景本公司根据内外部环境因素，考虑公司的信息安全管理目的，这将作为公司实施信息安全管理体系的核心需求。4.2理解相关方的需求和期望本公司根据相关方提出的信息安全需求和期望，考虑建立信息安全管理体系，这些需求包括：法律法规、合同义务、地方规定等。相关方及期望主要以下：顾客-希望本公司提供的软件产品与服务能满足客户需求，符合法规与合同要求：供应商或服务商--对本公司提供产品或服务以支持本公司能够安全有效持续运营公司内部管理层与各部门符合信息安全需求及监督运作是否合乎程序，确保机密资料作业流程受到保护，各部门保正公司持续运营，公司信息数据不受外泄或损毁。4.3确定信息安全管理体系的范围本公司根据业务特征、组织结构、地理位置、资产和技术确定了范围和边界：业务范围：与软件开发及计算机信息系统集成相关的信息安全管理活动组织范围：全公司上下各部门与业务有直接相关的正式员工物理范围：资产范围：与a)所述业务活动b)组织范围内及c)物理环境内相关的硬件、软件、数据、文档、人员及支持性服务等全部信息资产和相关技术手段《信息安全管理手册》采用了IS0/IEC27001:2022准正文的全部内容，对附录A的删减及理由详见《信息安全适用性声明SOA》；4.4信息安全管理体系本公司的信息安全管理体系按照IS0/IEC27001:2022《信息技术-安全技术-信息安全管理体系-要求》规定，参照IS0/IEC27002：2022《信息技术-安全技术-信息安全管理实用规则》标准建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系。5领导作用5.1领导力和承诺我公司管理者通过以下活动，对建立、实施、运作、监视、评审、保持和改进信息安全管理体系的承诺提供证据：a）建立信息安全方针（见《信息安全方针》）；b）确保信息安全目标和计划得以制定（见《信息安全目标》及相关记录）；c）提供充分的资源，以建立、实施、运作、监视、评审、保持并改进信息安全管理体系（见本手册第7.1章）；d）建立信息安全的角色和职责（见本手册附录3（规范性附录）《职责权限》和相应的管理程序e）向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性；f）实施信息安全管理体系管理评审，确保信息安全管理体系达到其预期的效果（见本手册第9章）；g）指导和支持员工对信息安全管理体系作出有效的责献；h）确保内部信息安全管理体系审核得以实施，促进持续改进（见本手册第9章）；i）支持其他相关管理角色来展示自已的领导力，因为它适用于他们的职责范围。5.2信息安全管理体系的方针为了满足适用法律法规及相关方要求，维持ISMS范围内的业务正常进行，实现业务可持续发展，本公司根据组织的业务特征、组织结构、地理位置、资产和技术确定了信息安全管理体系方针：满足客户要求，遵守法律法规，实施风险管理，确保信息安全，实现持续改进。5.3角色，责任和承诺5.3.1信息安全组织机构本公司成立信息安全领导机构一一信息安全管理小组，职责是实现信息安全管理体系方针和本公司承诺。具体职责是：研究决定信息安全工作涉及到的重大事项；审定公司信息安全方针、目标、工作计划和重要文件；为信息安全工作的有序推进和信息安全管理体系的有效运行提供必要的资源。本公司的信息安全职能由信息安全管理小组承担，其主要职责是：负责制订、落实信息安全工作计划，对单位、部门信息安全工作进行检查、指导和协调，建立健全企业的信息安全管理体系，保持其有效、持续运行。本公司采取相关部门代表组成的协调会的方式，进行信息安全协调和协作，以：a）确保安全活动的执行符合信息安全方针；b）确定怎样处理不符合：批准信息安全的方法和过程，如风险评估、信息分类；cd）识别重大的威胁变化，以及信息和相关的信息处理设施对威胁的暴露；e）评估信息安全控制措施实施的充分性和协调性；f）有效的推动组织内信息安全教育、培训和意识；g）评价根据信息安全事件监控和评审得出的信息，并根据识别的信息安全事件推荐适当的措施。5.3.2信息安全职责和权限本公司总经理为信息安全最高责任者。总经理指定信息安全管理者代表，无论信息安全管理者代表其他方面的职责如何，对信息安全负有以下职责：a）建立并实施信息安全管理体系必要的程序并维持其有效运行；b）对信息安全管理体系的运行情况和必要的改善措施向信息安全管理小组或最高责任者报告。各部门负责人为本部门信息安全管理责任者，全体员工都应按保密承诺的要求自觉履行信息安全保密义务。各部门、人员有关信息安全职责分配见附录3（规范性附录）《职责权限》和相应的程序文件（管理标准）、规定及岗位说明书。5.3.3承诺为实现信息安全管理体系方针，本公司承诺a）在公司内各层次建立完整的信息安全管理组织机构，确定信息安全方针、安全目标和控制措施，明确信息安全的管理职责；b）识别并满足适用法律、法规和相关方信息安全要求；c）定期进行信息安全风险评估，信息安全管理体系评审，采取纠正预防措施，保证体系的持续有效性；d）采用先进有效的设施和技术，处理、传递、储存和保护各类信息，实现信息共享：e）对全体员工进行持续的信息安全教育和培训，不断增强员工的信息安全意识和能力；f）制定并保持完善的业务连续性计划，实现可持续发展。6策划6.1应对风险和机遇的措施6.1.1总则公司制定《应对风险和机遇措施控制程序》，在规划信息安全管理体系时，应考虑4.1中提到的问题和4.2中提到的要求，并确定需要解决的风险和机会，以：A)确保信息安全管理体系能够实现其预期结果；B)防止或减少不良影响：c)实现持续改进。组织应规划D)应对这些风险和机遇的措施；和E)如何1)整合和实施这些措施并将其纳入信息安全管理体系过程2)评估这些行动的有效性。6.1.2信息安全风险评估组织应定义并应用以下信息安全风险评估过程：A）建立并维护信息安全风险标准，包括：1)风险接受准则；和2)执行信息安全风险评估的准则；B)确保重复的信息安全风险评估产生一致、有效和可比较的结果；C)识别信息安全风险：1)应用信息安全风险评估流程，识别与信息安全管理体系范围内信息的保密性、完整性和可用性丧失相关的风险；而且2)识别风险所有者；D)分析信息安全风险：1)评估6.1.2c）1）中确定的风险成为现实将会产生的潜在后果；2)评估6.1.2c）1)中确定的风险发生的现实可能性；而且3)确定风险级别;E)评估信息安全风险：1)将风险分析结果与6.1.2a)中建立的风险标准进行比较；而且2)将分析的风险按优先顺序进行风险处理。公司定义并应用风险评估过程，组织应保留有关信息安全风险评估过程的文件化信息。6.1.3风险处置信息安全管理领导小组应定义和实施信息安全风险处置过程：A)根据风险评估结果，选择适当的信息安全风险处理方案；B)确定实施所选信息安全风险处理方案所需的所有控制措施；注1：组织可以根据需要设计控制措施，或从任何来源识别控制。c)将上述b)中确定的控制与附件A中的控制进行比较，并确认没有遗漏必要的控制措施；注2：附件A包含可能的信息安全控制的列表。本文件的使用者请参阅附件A，以确保没有必要的信息安全控制被忽略。注3：附件A所列的信息安全控制并非详尽无遗和附加信息如果需要，可以包括安全控制。6.2信息安全目标和实现目标的规划公司在相关职能和级别建立信息安全目标。信息安全目标应：A)符合信息安全政策；B)可测量的(如果可行）；C)考虑适用的信息安全要求，以及风险评估和风险处理的结果；d)被监控；e)沟通传达；F)适当更新；G)作为文件信息提供，公司保留关于信息安全目标的文件化信息。公司在规划如何实现其信息安全目标时，应确定：H)将要做什么；I）需要什么资源；J)谁将负责；K)何时完成；而且L)如何评价结果。信息安全目标：根据公司的信息安全方针，经过最高管理者确认，公司的信息安全管理目标为：1.客户针对信息安全事件的投诉每年不超过1次2.重要信息设备丢失每年不超过1起3.机密和绝密信息泄漏事件每年不超过1次4.大规模病毒爆发每年不超过1次信息安全管理小组根据《适用性声明》、《信息资产风险评估表》中风险处理计划所选择的控制措施，明确控制措施改进时间表。对于各部门信息安全目标的完成情况，按照《信息安全目标及有效性测量程序》的要求，周期性在主责部门对各控制措施的目标进行测量，并记录测量的结果。通过定期的内审、控制措施目标测量及管理评审活动评价公司信息安全目标的完成情况。6.3变更计划6.3.1变更时机的确定本公司应特别关注外部情况的动态变化，包括技术、市场、竞争或法律法规环境发生重大变化的征兆或早期迹象。当外部环境（包括：国家/行业/地方/法律法规、技术、竞争、文化、社会、经济和自然环境方面等）和内部环境发生重大变化时，本公司应对变更进行策划，对变更前、变更中、变更后全过程加以控制。6.3.2变更的实施当本公司确定需要对信息安全管理体系进行变更时，变更应按所策划的方式实施，组织应考虑：a）变更目的及其潜在后果（变更可能带来好的结果，也可能带来风险和挑战，进行变更策划时应充分考虑）；b）信息安全管理体系的完整性（如工艺发生变更后，工艺文件要发生变更，对工人也需培训新的工艺文件，这些均需充分考虑，以保持体系完整）；c）资源的可获得性（体系变更后，关键是资源能否满足动态的要求）；d）职责和权限的分配或再分配。7．支持7.1资源提供公司领导层应确保提供以下方面所需的资源1）实施、保持管理体系并持续改进其有效性所需的各种资源；2）满足客户要求，提高客户满意度所需的各种资源。编制了《人力资源控制程序》，公司根据人员的学历、技能和经验，组织面向全员的信息安全意识培训及面向特定人员的专业IT技能培训，确保其能胜任工作。7.2信息安全能力管理结合当前信息安全管理认证范围，依据《人力资源控制程序》对员工信息安全能力管理主要从以下几方面出发来实现：1）影响信息安全执行工作的人员岗位，在岗位设立时应明确信息安全能力的要求，并在招聘时严格把关（例如学历教育、能力测试等）；2）确保人员在适当教育、培训和经验的基础上能够胜任工作；在人员调岗时，应考虑相关人员信息安全能力的确定和培养。3）保留培训记录作为能力培养的证据。本公司还确保所有相关人员意识到其所从事的信息安全活动的相关性和重要性，以及如何为实现信息安全管理体系目标做出贡献7.3意识对公司全体人员通过培训、学习、宣传等方式提高人员信息安全意识，需了解到：a）信息安全方针；b）他们对信息安全管理体系有效性的贡献，包括提高信息安全绩效的收益；c）不符合信息安全管理体系要求所带来的影响，。7.4沟通公司需通过适当的手段保持在内部和外部在信息安全要求进行有效的沟通。包括获取外部信息安全专家的建议、信息安全政府行政主管部门的联系及识别顾客对信息安全的要求等，沟通方式在《信息安全沟通管理程序》进行规定。7.5文档化信息7.5.1总则本公司信息安全管理体系文件包括：a）文件化的信息安全方针，在《信息安全管理手册》中描述，选择的控制目标在《适用性声明SOA》中描述：b）《信息安全管理手册》（本手册，包括信息安全适用范围及引用的标准）；IS0/IEC27001:2022准中规定需文件化的程序；c)d)本手册涉及的相关支持性程序性文件，例如《风险评估与管理程序》；为确保有效策划、运作和控制信息安全过程所制定的文件化操作程序；e)f）《风险处理计划》以及信息安全管理体系要求的记录类：相关的法律、法规和信息安全标准；g)h）《适用性声明SOA》。7.5.2创建和更新信息安全管理小组按《文件控制程序》的要求，对信息安全管理体系所要求的文件进行管理。对《信息安全管理手册》、程序文件、管理规定、作业指导书和为保证信息安全管理体系有效策划、运行和控制所需的受控文件的编制、评审、批准、标识、发放、使用、修订、作废、回收等工作实施控制，以确保在使用场所能够及时获得适用文件的有效版本。文件的创建和更新应确保：a）识别或描述文件时需包含标题、日期、作者、编号等b）文件格式可以是表、单、卡、台帐、记录本、报告、纪要、证、图等多种适用的形式，可以是书面的或电子媒体的。c）文件发布前得到批准，以确保文件是充分的；d）必要时对文件进行评审、更新并再次批准：7.5.3文档化信息的控制文件控制应保证：a）确保文件的更改和现行修订状态得到识别：b确保在使用时，可获得相关文件的最新版本：c）确保文件可以为需要者所获得，并根据适用于他们类别的程序进行标识、保护、检索、转移、存储和最终的销毁；确保外来文件得到识别：d)e）确保文件的分发得到控制：f）防止作废文件的非预期使用：g）若因任何目的需保留作废文件时，应对其进行适当的标识。7.5.3.1外来文件管理外来文件包括信息安全法律、行政法规、部门规章、地方法规，按以下规定执行：a）信息安全适用的法律法规按照《信息安全法律法规管理程序》规定执行b）外来的文件按照《文件控制程序》和其他相关规定执行；c）外来标准按本公司标准化管理的相关规定进行。8运行8.1运行计划及控制为确保信息安全管理体系有效实施，对已识别的风险进行有效处理，本公司开展以下活动：a）形成《信息安全风险处理计划》，以确定适当的管理措施、职责及安全控制措施的优先级；b）为实现已确定的安全目标、实施《信息安全风险处理计划》，明确各岗位的信息安全职责；c）实施所选择的控制措施，以实现控制目标的要求；d）确定如何测量所选择的控制措施的有效性，并规定这些测量措施如何用于评估控制的有效性以得出可比较的、可重复的结果：对运行过程中发生的非计划的变更进行规划，以减轻不良的影响。e8.2信息安全风险评估信息安全管理小组每年应组织对信息安全风险重新评估一次，以适应信息资产的变化，确定是否存在新的风险及是否需要增加新的控制措施。信息安全管理小组组织有关部门按照《信风险评估与管理程序》的要求，对风险处理后的残余风险进行定期评审，以验证残余风险是否达到可接受的水平，对以下方面变更情况应及时进行风险评估：a）组织；b）技术；业务目标和过程；c)已识别的威胁；d)实施控制的有效性；e)外部事件，例如法律或规章环境的变化、合同责任的变化以及社会环境的变化。f8.3信息安全风险处置公司需保留信息安全风险处理计划的执行结果的文档化的记录。9绩效评价9.1监视、测量、分析和评价本公司通过实施不定期安全检查、内部审核、事故报告调查处理、电子监控、定期技术检查等控制措施并报告结果以实现：a）及时发现处理结果中的错误、信息安全管理体系的事故和隐患；b）及时了解识别失败的和成功的安全破坏和事件、信息处理系统遭受的各类攻击；c）使管理者确认人工或自动执行的安全活动达到预期的结果：d)使管理者掌握信息安全活动和解决安全破坏所采取的措施是否有效；e）积累信息安全方面的经验。9.2内部审核9.2.1总则要求本公司信息安全管理小组按《内部审核管理程序》的要求策划和实施信息安全管理体系内部审核以及报告结果和保持记录。活动本公司每年进行壹次信息安全管理体系内部审核，以确定其信息安全管理体系的控制目标、控制措施、过程和程序是否：a）符合本标准的要求和相关法律法规的要求；b）符合已识别的信息安全要求；c）得到有效地实施和维护；d）按预期执行。9.2.2内审策划信息安全管理小组策划审核的过程、区域的状况、重要性以及以往审核的结果，对审核工作进行策划。应编制《年度内审计划》，确定审核的准则、范围、频次和方法。每次审核前，信息安全管理小组应编制《内部审核计划》，确定审核的准则、范围、日程和审核组。审核员的选择和审核的实施应确保审核过程的客观性和公正性。审核员不应审核自己的工作。《内部审核计划》，经管理者代表批准，提前3天通知被审核部门，被审核部门到时应选派有关人员配合审核，9.2.3内审员内部审核员必须是熟悉本公司信息安全管理情况，参加内部审核员培训并考核合格的人员。内部审核员应来自于不同的部门，审核人员应与被审活动无直接责任，以保持工作的独立性。各部门选择符合内部审核员条件的候选人，参加内部审核员培训并考试合格，填写《内部审核员评定表》，经管理者代表批准，方取得内部审核员资格。9.2.4内审实施活动应按审核计划的要求实施审核，包括：a）进行首次会议，明确审核的目的和范围，采用的方法和程序；实施现场审核，检查相关文件、记录和凭证，与相关人员进行交流，填写审核发b)现；c）对检查内容进行分析，对审核发现的问题在《不符合项报告及纠正报告单》中开出不符合项：d）审核组长编制《内部审核报告》。不符合处理对审核中提出的不符合项，责任部门应制定纠正措施，由信息安全管理小组对纠正措施的实施情况进行跟踪、验证，将结果记入《不符合项报告及纠正报告单》。记录内部审核记录由信息安全管理小组保存，并作为管理评审的输入之一。9.3管理评审总经理应每年进行一次管理评审，以确保信息安全管理体系持续的适宜性、充分性和有效性，管理评审按《管理评审程序》进行。管理评审应包括评价信息安全管理体系改进的机会和变更的需要，包括信息安全方针和信息安全目标。管理评审的结果应清晰地形成文件，记录应加以保持。管理评审应考虑：a）以往管理评审的跟踪措施任何可能影响信息安全管理体系的变更；b)c）不符合项和纠正措施的状况；d）有效性测量的结果；e)信息安全管理体系审核和评审的结果；f）信息安全目标的实现情况：相关方的反馈：g）h）风险评估的结果和风险处置的状态；i）改进的机会和建议。10改进10.1持续改进本公司依据《持续改进控制程序》的要求，通过使用信息安全方针、信息安全目标、审核结果、监控事件的分析、纠正和预防措施以及管理评审，持续改进信息安全管理体系的适宜性，充分性和有效性。我公司开展以下活动，以确保信息安全管理体系的持续改进：a）实施每年管理评审、内部审核、安全检查等活动以确定需改进的项目：b）按照本手册的要求采取适当的纠正和预防措施；吸取其他组织及本公司安全事故的经验教训，不断改进安全措施的有效性；c）通过适当的手段保持在内部对信息安全措施的执行情况与结果进行有效的沟通包括获取外部信息安全专家的建议、信息安全政府行政主管部门的联系及识别顾客对信息安全的要求等；d）对信息安全目标及分解进行适当的管理，确保改进达到预期的效果。10.2不符合及纠正措施本公司信息安全管理小组管理纠正措施，不符合事项的责任部门负责采取纠正措施以消除与信息安全管理体系要求不符合的原因，以防止再发生。纠正措施的实施按《持续改进控制程序》进行。纠正措施的制定和实施程序如下：识别信息安全事件及不符合；a)b)确定信息安全事件及不符合的原因；确定是否存在类似的不符合和发生的可能；c评价确保不符合不再发生的措施要求；d)e)确定和实施所需的纠正措施；f记录所采取措施的结果：g）评审所采取的纠正措施，我公司信息安全管理小组定期组织进行风险评估，以识别变化的风险，并通过关注变化显著的风险来识别纠正措施要求。纠正措施的优先级应基于风险评估结果来确定附录1组织架构图综合部总经理程部管理者代表市场部附录2职能分配表部门要素4.1了解组织及其环境4.2理解相关方的需求和期望部门4.3确定信息安全管理体系的范围4.4信息安全管理体系5.1领导作用和承诺5.2方针5.3组织角色和权限6.1应对风险和机遇的措施6.2信息安全目标及其实现的策划7.1资源7.2能力7.3意识7.4沟通7.5文件化信息8.1运行计划与控制8.2信息安全风险评估8.3信息安全风险处置9.1监视、测量、分析和评价9.2内部审核9.3管理评审10.1持续改进10.2不符合及纠正措施A5.1信息安全策略A5.2信息安全的角色和责任总经理信息安全管理小组工程部综合部市场部A5.3职责分离A5.4管理层责任A5.5与职能机构的联系A5.6与特定相关方的联系A5.7威胁情报A5.8项目管理中的信息安全A5.9信息和其他相关资产的清单A5.10信息和其他相关资产的可接受的使用A5.11资产返还A5.12信息分类A5.13信息标签A5.14信息传递A5.15访问控制A5.16身份管理A5.17鉴别信息A5.18访问权限A5.19供应商关系中的信息安全A5.20解决供应商协议中的信息安全问题A5.21管理ICT供应链中的信息安全A5.22供应商服务的监控、审查和变更管理A5.23使用云服务的信息安全A5.24规划和准备管理信息安全事故A5.25信息安全事件的评估和决策A5.26应对信息安全事故A5.27从信息安全事故中吸取教训A5.28收集证据A5.29中断期间的信息安全AAAAAAA5.30关于业务连续性的ICT准备A5.31法律、法规、监管和合同A5.32知识产权A5.33记录保护A5.34PII隐私和保护A5.35信息安全独立审查A5.36信息安全策略、规则和标准的遵从性A5.37文件化的操作程序A6人员控制A6.1筛选A6.2雇佣条款和条件A6.3信息安全意识、教育和培训A6.4纪律程序A6.5雇佣关系终止或变更后的责任A6.6保密或不披露协议A6.7远程工作A6.8报告信息安全事件A7物理控制A7.1物理安全边界A7.2物理入口A7.3保护办公室、房间和设施A7.4物理安全监控A7.5抵御物理和环境威肋A7.6在安全区域工作A7.7桌面清理和屏幕清理A7.8设备安置和保护A7.9场外资产的安全A7.10存储介质A7.11支持性设施A44A7.12布线安全A7.13设备维护A7.14设备的安全作废或再利用A8技术控制A8.1用户终端设备A8.2特殊访问权A8.3信息访问约束A8.4获取源代码A8.5安全身份认证A8.6容量管理A8.7防范恶意软件A8.8技术漏洞的管理A8.9配置管理A8.10信息删除A8.11数据遮盖A8.12防止数据泄漏A8.13信息备份A8.14信息处理设备的穴余A8.15日志A8.16活动监测A8.17时钟同步A8.18特权实用程序的使用A8.19在操作系统上安装软件A8.20网络安全A8.21网络服务的安全性A8.22网络隔离A8.23网站过滤A8.24密码学的使用A8.25安全开发生命周期A8.26应用程序安全要求A8.27安全系统架构和工程原理A8.28安全编码A8.29开发和验收中的安全性测试A8.30外包开发A8.31开发、测试和生产环境的分离A8.32变更管理A8.33测试信息A8.34审计测试期间信息系统的保护附录3信息安全职责信息安全管理小组：不适用1）负责公司的整体信息安全管理工作，负责公司信息资产的安全；2）工程部是信息安全主管机构、与各部门的沟通和交流，负责有关信息安全工作的落实和推行，并负责报告本公司有关信息安全状况和重要事件；3）负责协调公司内部信息安全工作，分配信息安全管理目标、职责，并支持和推动信息安全工作在公司范围内的实施；4）负责对与信息安全管理有关的重大事项进行决策，包括安全组织机构调整、信息安全关键人事变动、以及信息安全管理重大策略变更、确认可接受的风险和风险水平等；5）负责对信息安全管理体系进行内部评审和管理评审，审批和发布信息安全方针、信息安全规范及管理办法以及与信息安全管理相关的重大事项；6）负责制定和实施与信息安全相关的奖惩措施和安全绩效考核体系；7）评审与监督重大信息安全事故的处理；8）对内部评审整改意见承担最终责任。总经理：1）负责信息安全方针制度、修订及宣告。建立信息安全系统组织，整合各部门信息安全系统业务。2各项信息安全系统督导。3）4）主持管理评审会议。5）督导信息安全管理体系运作及目标制定。信息安全管理活动推行及考核以确保信息安全方针及控制目标有效达成。6）制定经营目标，提示工作重点。78）人力资源分配，干部选任、调派、晋升及效率审查。有关管理制度及规章的研制、审查及推行。9）10）将公司信息安全控制目标转换成具体可行的实施计划，11）协助各部门改善并提升经营质量。管理者代表：1）负责建立、实施、保持和改进信息安全管理体系，保证信息安全体系的有效运行；2）负责公司信息安全管理手册的审核，程序文件的批准，组织并领导公司内部审核工作；3）负责向总经理报告信息安全体系运行的业绩和任何改进的需求；4）负责就信息安全管理体系有关事宜的对外联络。各部门的信息安全主管领导：1）部门的信息安全主管领导由本部门经理担任；2）负责协助信息安全工作小组建立本部门信息安全管理制度和流程：3）部门的信息安全主管领导系本部门信息安全管理责任人，负责本部门的信息安全管理工作，负责保护本部门所拥有和管理的信息资产的安全；4）负责采取有效办法，落实和推动信息安全政策的实施：5）负责指导和要求本部门员工遵守信息安全政策；6）对违反安全政策的行为进行内部处罚；7）落实针对本部门的纠正措施（包括内部审核整改意见）和预防措施。部门信息安全工作小组成员：1）负责本部门日常的具体信息安全工作，并参加信息安全管理工作小组所要求的各项活动；2）负责按照ISMS体系的要求，对本部门所拥有和管理的信息资产进行维护，包括资产的识别和分类、资产的威胁和脆弱性识别及安全需求级别确定等工作；3）负责根据ISMS安全政策要求，在本部门提高员工安全意识，落实责任，保护信息资产的安全，并确保已建立的安全控制措施持续有效；4）负责向信息安全管理工作小组组长报告信息安全事件和违反信息安全政策的行为，协助对违反安全政策的行为进行调查；5）协助信息安全管理工作小组组长和本部门信息安全主管领导落实针对本部门的纠正措施（包括内部审核整改意见）和预防措施。内部员工：1）严格遵守所有与信息安全相关的国家法律、法规和政策，遵守公司所有的信息安全政策，并签字承诺遵守保密协议的有关规定；2）以安全负责的方式使用公司的信息资产：3）积极参加信息安全教育与培训，提高信息安全意识；4）有责任将违反信息安全政策的事件与行为及时报告给本部门信息安全管理员及其他相关人员。行政部：我公司信息安全管理体系的归口管理部门。1）负责管理体系的建立、实施、保持、测量和改进。2）负责文件控制、记录控制、内部审核的组织、管理评审的组织和体系的改进。3）负责本公司保密工作的管理，4）负责安全区域的管理。5）负责涉密信息上网、涉密计算机运行、检修、报废的监督管理。6）对信息安全日常工作实施动态考核，将信息安全管理作为企业管理的重要工作内容。7）参与涉密及司法介入的信息安全事件的调查。8）负责公司人员安全管理，包括人员聘用管理，保密协议签署，员工的能力、意识和培训，员工离职管理。行政部（财务室）：1）负责公司的税收，工资发放，公司财务预算中的信息安全管理。2）负责公司财务报表的编制。3）负责对重大项目和经营活动实施评估、测算、分析工作，确定其成本、收益和风险，为管理层在企业的生产经营、业务发展等事提供财务方面的分析和决策依据4）负责公司预算决算管理。5）负责新产品的成本核算，为新产品的研发工作提供支持。6）组织办理各项资产的报废、盘亏、毁损的核销报批工作。7）负责公司的采购及供应商的管理中的信息安全管理。工程部：1）公司的信息系统安全管理部门。2）负责局域网上所承担的各类信息系统的管理职能。3）负责我公司信息系统安全日常管理。4）负责技术管理过程的信息安全管理。5）负责对影响我公司业务连续性的信息系统隐患进行管理。6）负责对公司在经营过程中产生的数据进行备份和保护。7）负责公司服务器的运行维护和管理8）负责对公司网络设备进行定期维护。9）负责对用户访问网络实施授权管理，防止非授权用户非法入侵公司信息系统。10）负责对网络的运行情况进行监控。11）负责对网络设备的严格控制，以及网络服务的管理。12）负责本部门职责范围内的信息安全管理体系运行工作。13）负责软件开发、维护工作。14）负责公司的技术支持。15）用户服务SLA响应、处理、时效性检查。16）软件安装过程中的信息安全管理。市场部：1）开拓客户，签订合同，完善销售业务中的信息安全管理。2）扩展公司在客户中的影响力，提升市场份额中的信息安全管理。3）加强与顾客的沟通和联系，及时处理顾客提出的要求，定期对重要顾客做满意度调查、测量和分析，及时把顾客的意见向公司领导和相关部门汇报，采取必要措施，改进不足，确保顾客满意度不断提高。4）负责公司产品支持中的信息安全管理。5）负责职责范围内的信息安全管理体系运行工作。(完整版)信息安全手册--第1页XXXXXXXX有限公司信息安全管理手册目录1目的.2范围3总体安全目标..信息安全5信息安全组织..5.1信息安全组织.5.2信息安全职责.5.3信息安全操作流程.6信息资产分类与控制...6.1信息资产所有人责任.6.1.1信息资产分类..6.1.2信息资产密级.6.2信息资产的标识和处理..7人员的安全管理...7.1聘用条款和保密协议7.1.1聘用条款中员工的信息安全责任7.1.2商业秘密，7.2人员背景审查..7.2.1审查流程..7.2.2员工背景调查表.7.3员工培训..7.3.1培训周期..7.3.2培训效果检查7..4人员离职...7.4.1离职人员信息交接流程..．违规处理..7.5.1信息安全违规级别.7.5.2信息安全违规处理流程7.5.3违规事件处理流程图.8物理安全策略.8.1场地安全...8.1.1FBI受控区域的划分，8.1.1.1受控区域级别划分+++..++++-..++++..++8.1.1.2重要区域及受控区域管理责任划分..8.1.1.3物理隔离...8..2出入控制.8.3名词解释.8.1.4人员管理..8.1.4.1人员进出管理流程8.1.4.1.1公司员工.8.1.4.1.2来访人员8.1.5卡证管理规定未经许可，不得扩散(完整版)信息安全手册--第2页文件密级：内部公开+..++++-.++++-10...10..1011123.1314141415..15.15151617.17.18.18..18...19191919.19202328.1.5.1卡证分类8.1.5.2卡证申请.8.1.5.3卡证权限管理8.2设备安全...8.2.1设备安全规定..8.2.2设备进出管理流程.8.2..2..1设备进场.8.2.2.2设备出场8.2.3BBB办公设备进出管理流程8.2.3.1设备进场8.2.3.2设备出场..8.2.4特殊存储设备介质管理规定8.2.5FBI场地设备加封规定.8.2.6FBI场地设备报修处理流程9IT安全管理.9.1网络安全管理规定...9.2系统安全管理规定..9.3病毒处理管理流程.9.4权限管理9.4.1权限管理规定..9.4.2配置管理规定.9.4.3员工权限矩阵图.9.5数据传输规定..9.6业务连续性...9.7FBI机房、实验室管理，9.7.1门禁系统管理规定，9.7.2服务器管理规定7.3网络管理规定..9.7.4监控管理规定..9.7.5其它管理规定10信息安全事件和风险处理...10.1信息安全事件调查流程..10.1.1信息安全事件的分类10.1.2信息安全事件的分级10.1.3安全事件调查流程10.1.3.1一级安全事件处理流程10.1.3.2二级安全事件处理流程10.1.3.3三级安全事件处理流程.10.1.4信息安全事件的统计分析和审计11检查、监控和审计11.1检查规定..1...2监控11.2.1视频监控11.2.2系统、网络监控，+++++..++++AAAAA.未经许可，不得扩散(完整版)信息安全手册--第3页文件密级：内部公开.23.232424.2426..27.28.28..29.3031.31.31..31...++++++-..+++..2.3233.3333·35.36.36.37..37...37.38..3838.3939..39.39.40..40.1..42424343..43.4344311.3审计11.3.1审计规定11.3.2审计内容12奖励与处罚.12.1奖励..12.1.1奖励等级.12.2处罚..12.2.1处罚等级一级处罚.常见一级处罚..二级处罚……常见二级处罚。三级处罚常见三级处罚.四级处罚常见四级处罚..(完整版)信息安全手册--第4页未经许可，不得扩散文件密级：内部公开..46...4646464647..47..474747..4848.4848.49..491目的文件密级：内部公开为了规范和明确XXXXXXXX有限公司业务发展的信息安全管理方面的总体要求，特制定本规定确保我司BBB项目符合BBB信息安全管理要求；有效保护双方利益和和信息资产安全，特制定此规定，2范围本规定适用于XXXXXXXX有限公司各部门及全体员工。3总体安全目标建立符合要求的信息安全管理体系，确保离岸外包项目运作中的信息安全，防止公司及客户的技术秘密、商业秘密的泄露，保障公司外包业务的顺利发展。4信息安全信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不被中断。5信息安全组织5.1信息安全组织为了响应公司外包业务的离岸政策、适应外包业务发展方向、使业务能够顺利回迁，建立符合公司及客户要求的信息安全管理体系，保证业务离岸后的顺利开展，本着尊重知识产权、维护公司、客户的商业利益、为客户的业务开展提供最安全的保障服务。经公司研究决定成立信息安全管理组，各地域或场地可参照成立信息安全小组。未经许可，不得扩散(完整版)信息安全手册--第5页HE关键岗位审查员服务器管理员系统安全管理员IT专员IT安全管理员网络管理员网络安全管理员5.2信息安全职责PMO经理信息安全主任信息安全专员行政助理机要员桌面支持工程师PC安全管理员行政部安全岗文件密级：内部公开行政部卡政管理员研发部门部门执行主任PDU项目组安全员信息安全主任：根据公司信息安全要求及业务发展需求，对信息安全相关事务进行支持、决策，确保外包项目的信息安全，对所承接的BBB外包服务业务的信息安全负责。信息安全专员：建立信息安全组织，作为信息安全管理人员负责建立和维护ISMS（InformationSecurityManagementSystem信息安全管理体系）负责组织信息安全管理规定、标准和流程的制定、推行、检查和安全事件调查工作。机要员：主要负责执行信息安全制度中规定的及信息安全专员的指令，一个地域只有一个机要员，通常重要区域的钥匙、密码、门禁卡由其负责保管，所有物品出入FBI场地必须由机要员进行确认检查，并做好相关的记录。安全岗：执行信息安全制度中规定的及信息安全专员的指令，根据信息安全制度的相关规定，执行检查、登记出入FBI场地人员及携带的物品，负责维护责任区域的安全。当有人员及人员携带物品强行出入FBI场地的时候，安全岗人员必须立即制止。IT专员：主要负责执行信息安全制度中规定的及信息安全专员的指令，协助信息安全机要员做好信息安全方面的技术工作，FBI场地的机房网络、内外邮箱的设置，设备出场的数据处理，进场设备的存储、端口的处理，信息安全技术工作方面的改进、优化。卡证专员：主要执行规范公司员工及外来人员的出入卡证发放和门禁系统授权管理工作。根据信息安全制度的相关规定，结合卡证管理流程及权限，对卡证管理实行员工工卡、临时工卡、来宾卡的识别、确认、登记、门禁授权、编码、归类、注销等管理流程工作的实现。o未经许可，不得扩散(完整版)信息安全手册--第6页文件密级：内部公开部门执行主任：主要负责本部门下属的各项目组在FBI场地信息安全管理工作，并任命项目组中的具体信息安全执行负责人，配合信息安全管理工作组的工作做好日常的信息安全管理及定期信息安全的检查、监控和审计工作。对部门下属成员的信息安全违规、举报行为执行信息安全管理工作组规定的奖励和处罚。项目组信息安全员：主要负责本项目组内人员及设备的信息安全管理工作，配合信息安全管理工作组的工作做好日常的信息安全管理及定期信息安全的检查、监控和审计工作。对部门下属成员的信息安全违规、举报行为执行信息安全管理工作组规定的奖励和处罚。5.3信息安全操作流程分为：规划、执行、检查、改进四个阶段，每个阶段都有明确的参与和执行责任人。计划组织信息安全需求和期望约定改进分别说明如下：-Plan-建立ISMS·Action维护和改进ISMS-Do-实施和运作ISMS-check-监控和评审ISMS实施管理状态下的信息安全检查规划：根据公司信息安全原则和业务发展的需求，信息安全管理工作组全体成员讨论并制定详细的管理流程。一般情况下由需求部门向信息安全专员提出需求，并由信息安全专员召集信息安全管理工作组的机要员、IT专员及需求申请部门人员进行需求的讨论并给出解决方案，方案确定后由信息安全管理工作组主任进行审核、签发。未经许可，不得扩散(完整版)信息安全手册--第7页文件密级：内部公开执行：所有签发的管理方案都必须严格执行起来，一般情况下由需求部门、个人向信息安全专员提出申请，按照申请流程中规定进行操作，涉及到由申请者直接上级和部门领导审批同意，之后交由信息安全专员进行审核。审核后由机要员、IT专员、卡证专员进行具体的操作和处理，安全岗执行人员要看到完整的流程审批以后才可以进行放行和记录。检查：信息安全管理工作组全体成员定期会对FBI场地内的物理隔离、门禁权限、办公设备、机房设备、FBI实验室设备、监控记录及历史存档记录会同业务部门的信息安全执行主任进行检查和审计。并将结果以报告的形式汇报给信息安全管理工作组主任。对发现信息安全方面的违规问题由信息安全专员以书面的形式向分公司进行发文进行通报。改进：原有管理方案不能继续满足业务发展需求时，由业务部门向信息安全专员提出申请，信息安全专员召集信息安全管理工作组的全体成员及需求部门进行管理方案的改进评审会议。在检查中发现有信息安全漏洞的，由信息安全专员召集信息安全管理工作组的全体成员及需求部门进行管理方案的改进评审。最终由信息安全主任进行审核、签发。6信息资产分类与控制为了规范文档的保密制度，明确信息资产所有人责任、信息密级的划分，信息资产的识别。公司所有文档，无论是电子件或纸件，必须标有文件密级。文档密级应出现在文档页眉的醒目位置，页脚应出现”未经许可，不得扩散”的字样。信息是一种资产，像其它重要的业务资产一样，对公司具有价值，因此需要妥善保护。6.1信息资产管理6.1.1信息资产分类数据与文档：数据库和数据文件、系统文件、用户手册、培训材料、运行与支持程序、业务持续性计划、应急安排。书面文件：合同、指南、企业文件、包含重要业务结果的文件。软件资产：应用软件、系统软件、开发工具和实用程序。物理资产：计算机、网络设备、磁介质（磁盘与磁带）未经许可，不得扩散(完整版)信息安全手册--第8页86.1.2信息资产密级文件密级：内部公开秘密：是指一般的公司秘密，一旦泄露会使公司和客户的安全和利益受到一定的危害和损失内部公开：公司各部门、项目组内部员工不受限制查阅的信息，未经授权不得随意外传6.2信息资产的标识和处理6.2.1落实资产责任：为公司的资产提供适当的保护，为所有信息财产确定所有人，并且为维护适当的管理措施而分配责任。可以委派执行这些管理计划的责任。被提名的资产所有者应当承担保护资产的责任。6.2.2控制措施一资产的清单：列出并维持一份与每个信息系统有关的所有重要资产的清单。在信息安全体系范围内为资产编制清单是一项重要工作，每项资产都应该清晰定义，合理估价，在组织中明确资产所有权关系，进行安全分类，并以文件方式详细记录在案。6.2.3具体措施包括：公司可根据业务运作流程和信息系统基础架构识别出信息资产，按照信息资产所属系统或所在部门列出资产清单，将每项资产的名称、所处位置、价值、资产负责人等相关信息记录在资产清单上；根据资产的相对价值大小来确定关键信息资产，并对其进行风险评估以确定适当的控制措施；对每一项信息资产，组织的管理者应指定专人负责其使用和保护，防止资产被盗、丢失与滥用：定期对信息资产进行清查盘点，确保资产账物相符和完好无损，6.2.4信息的分类：确保信息资产得到适当程度的保护应当将信息分类，指出其安全保护的具体要求、优先级和保护程度。不同信息有不同的敏感性和重要性。有的信息资产可能需要额外保护或者特殊处理。应当采用信息分类系统来定义适当的安全保护等级范围，并传达特殊处理措施的需要。6.2.5控制措施一信息资产分类原则：信息的分类及相关的保护控制，应适合于公司运营对于信息分享或限制的需要，以及这些需要对企业营运所带来的影响。信息的分类和相关保护措施应当综合考虑到信息共享和信息限制的业务需要，还要考虑对业务的影响，例如对信息未经授权的访问或者对信息的破坏。一般说来，信息分类是一种处理和保护该信息的简捷方法。信息分类时要注意以下几点：信息的分类等级要合理、信息的保密期限、谁对信息的分类负责。6.2.6控制措施一信息的标识与处理：应当制定信息标识及处理的程序，以符合公司所采用的分类法则。为信息标识和处理定义一个符合组织分类标准的处理程序是非常重要的。这些程序要涵盖实物形式和电子形式的信息。对于每种分类，应当包含以下信息处理活动的程序：复制、存储、通过邮局、传真和电子邮件的信息发送、通过口头语言的信息传递，包括通过移动电话、语音邮件和录音电话传送的信未经许可，不得扩散(完整版)信息安全手册--第9页9文件密级：内部公开息、销毁。对于那些含有被划定为敏感或者重要信息的应用系统，其输出应当带有适当的分类标识。该标识应当反映根据组织规则而建立的分类。需要考虑的项目包括打印的报告、屏幕显示、存储介质（磁带、磁盘、CD、卡式盒带）、电子消息和文档传输、7人员的安全管理7.1聘用条款和保密协议（公司员工保密协摘录）7.1.1聘用条款中员工的信息安全责任7.1.1.1知识产权：7.1.1.1.17.1.1.1.27.1.1.1.37.1.1.1.47.1.1.1.5知识产权是指根据法律法规有关规定或根据甲方与第三方签署的协议由甲方所有、使用、支配、提供、拥有或者将要拥有的一切智力劳动成果，包括但不限于专利权、商标权、著作权、软件、企业名称、企业标记（Logo）、域名、网站、数据库、经营或开发成果、商誉、职务技术成果等。乙方承诺在与甲方的劳动合同关系存续期间及期满后不对甲方的知识产权进行贬低、歪曲、破坏或者任何其它损害。在劳动合同有效期内乙方应努力维护、提高甲方知识产权的价值。乙方承诺，未经甲方书面同意，不将第一条所提及的技术成果、作品、软件、专利等用作商业目的或者许可他人用于商业目的。乙方在与甲方的劳动合同存续期间，及在劳动合同关系终止后二年内，所有主要是利用在XXXXX的工作时间或利用XXXXX或派驻合作方的物质技术条件所完成的，一切与甲方业务、产品、程序与服务有关的技术成果，包括但不限于发现、发明、思路、概念、过程产品、方法和改进或其一部分，不论是否可以或已经受到知识产权法律保护，不论以何种形式存在，均为职务技术成果，其所产生的所有权利包括知识产权归甲方、甲方合作方单独或共同所有。未经甲方书面许可不得以乙方和/或其它任何第三方的名义申请专利或者版权登记。乙方在结束与甲方的劳动合同关系一年内，若有继续完成与在甲方工作期间所担任的课题或分配的任务有关而取得的技未成果，仍属于申方或派驻合作方所有。未经许可，不得扩散(完整版)信息安全手册--第10页107.1.1.1.67.1.1.1.77.1.1.1.8文件密级：内部公开对于甲方实施、转让、许可他人使用职务技术成果或者将职务技术成果投入其它商业用途而引起的收益或者损失，乙方不提出任何权利主张也不承担任何责任。但由于乙方职务技术成果固有的缺陷或者乙方在实施该职务技术成果的失误造成的损害，乙方应承担责任。乙方承认所有在与甲方劳动关系存续期间产生或者接触到的甲方提供的或通过甲方获取的有关资料及其它信息载体都属于甲方所有，未经甲方书面许可，不得向任何第三方提及、出示及传播。乙方承诺不向他人谈论甲方尚未对外公布的业务和技术发展动态。乙方承诺不设法获取非本人工作所需的甲方保密的技术资料、技术文件和客户档案材料以及非本人工作所需的甲方内部及对外的商业文件。乙方进一步承诺不利用甲方的客户及渠道为自已或他人谋求利益。7.1.2商业秘密7.1.2.17.1.2.27.1.2.37.1.2.47.1.2.57.1.2.67.1.2.77.1.2.87.1.2.9符合法律法规有关规定或根据甲方与第三方签署的协议由甲方所有、使用、支配、提供的具有商业价值的，非公知的并由甲方采取了保密措施的所有技术信息和/或经营信息甲方在开发、销售各类计算机软件产品以及为各类软件产品提供技术支持、信息咨询服务及培训的过程中，或是接受指派为本协议所面向的派驻合作方提供外包服务期间，本方和合作方所独有的机密、专有技术及商业秘密性质的情报均简称为“商业秘密”甲方的商业秘密包括但不限于档案资料、技术资料、市场销售资料、财务信息资料以及：甲方及派驻合作方开发或销售的所有软件，以及与此类软件有关的文档：包括程序的源编码、目标码部分、视听部分、人工或机器可读形式程序部分，还包括图表、流程图、样图、草图、技术说明、设计图数据教材、有关病毒的报告及客户资料甲方的业务计划、产品开发计划、财务情况、内部业务规程和客户名单等信息；以及正在开发或构思之中的商业思想、业务和技术发展动态、系统安全机制与实现等方面的信息、数据以及计算机数据库、资料、源程序、目标程序、计算机软件等：甲方现有的以及正在开发或者构思之中的服务项目的信息和资料：甲方现有的或者正在开发之中的质量管理方法、定价方法、销售方法等方法；甲方应对第三方负有保密责任的所有第三方的机密信息；甲方的股东资料、投资背景等以及其它被甲方标明或声明为秘密的信息。未经许可，不得扩散(完整版)信息安全手册--第11页117.1.2.107.1.2.117.1.2.12文件密级：内部公开乙方承诺在与甲方的劳动合同关系存续期间以及解除后二年内，保守甲方商业秘密，未经申方书面许可，不向任何第三方以任何明示或者暗示的方式透露，包括与商业秘密无关的其它甲方雇员在内。乙方承诺不设法获取非其工作所必需的任何形式的甲方的商业秘密，并不得利用与甲方工作关系为自身谋求利益。除用于甲方安排或者委托的工作之外，乙方不得将商业秘密信息用于其它任何目的。在使用完毕之后，乙方应立即向甲方交还或者按照甲方的要求销毁商业秘密的载体，包括但不限于文件、磁盘、光盘、计算机内存等。乙方只能在因工作需要必须使用的情况下提供给其它可靠的员工，并应事先与其签署与本协议充分相似的保密协议，提供程度仅限于可执行一定的商业目的。并保证这些员工应遵守本协议中约定的义务，不在无甲方及派驻合作方许可的前提下，向第三方（包顾问）透漏这些秘密信息，并应约束其接触本保密信息的员工遵守保密义务。7.1.2.13如为合作的目的确实需要向第三方披露甲方及派驻合作方的保密信息，需事先得到甲方及派驻合作方的书面许可，并与该第三方签订相应的保密协议。7.1.2.147.1.2.157.1.2.167.1.2.177.1.2.17如果乙方根据法律程序或行政要求必须披露“商业秘密”，应事先通知甲方及派驻合作方，并协助公司采取必要的保护措施，防止或限制保密信息的进一步扩散。乙方应按照甲方要求对商业秘密或其载体进行妥善地保管、存储、加密、回收、销毁等，未经甲方许可或非因工作需要，乙方不得将商业秘密信息或其载体带出甲方住所。在与甲方的劳动合同关系中止、终止或解除时，乙方应将所有包含、代表、显示、记录或者组成商业秘密的原件及拷贝，包括但不限于装置、记录、数据、笔记、报告、建议书、名单、信件、规格、图纸、设备、材料、磁盘、光盘等，归还甲方。员工在签署劳动合同以后必须签署保密协议员工职位晋升为PL、PM、SE等关键岗位，业务技能达到公司及BBB公司认可的三级及以上级别的，都必须与BBB公司签署保密协议，各方都应切实遵守保密协议中约定的保密义务。7.2人员背景审查目的：保障三级及以上工作岗位人员所掌握的信息安全。未经许可，不得扩散(完整版)信息安全手册--第12页127.2.1审查流程7.2.1.17.2.1.27.2.1.3文件密级：内部公开员工再进入三级及以上工作岗位时，由人力资源部和用人部门共同开展对人员背景的调查。具体调查内容：身份审查、学历审查、工作履历审查、信用度审查、职业道德审查、职业背景审查、忠诚度审查。审查标准：审查的资料完整性、真实性，审核身份证原件、毕业证原件、各种技能职称原件的真实性，是否相互吻合。2员工背景调查表7.2.2人员背景调查表基本信息被调查者姓名身份证号码出生日期身份验证被调查者的身份内容身份证号码年龄户口所在地验证来源：学历验证被调查者提供信息学校名称学习时间所学专业证明人/机构：专业资格验证被调查者的身份内容认证机构获得认证时间认证内容证明人/机构：工作履历验证被调查者的身份内容雇主公司名称雇主公司注册地雇佣时间职务名称完整版信息安全手册--第13页未经许可，不得扩散性别户口所在地年龄真实性说明是（）否（）是（）否（）是（）否（）真实性是（）否（）是（）否（）是（）否（）职位：真实性是（）否（）是（）否（）是（）否（）真实性是（）否（)）是（）否（）是（）否（）是（）否（）说明说明说明13直接上司职务被调查者是否与贵公司有劳动争议被调查者是否存在信息安全违纪违规行为证明人：7.3员工培训职务：是（）否（）是（）否（）是（）否（）调查时间：目的：宣传、普及信息安全制度，增强员工的信息安全意识。培训对象：新员工、在职员工培训方式：授课+考核7.3.1培训周期文件密级：内部公开7.3.1.1新员工：所有部门新员工在入职当天由人力资源培训部组织信息安全制度培训，培训签到表归档。培训结束后在一周之内组织信息安全考试，考试及格线为23分（25分制），并将考试签到表、考试成绩进行归档。7.3.1.2在职员工：所有部门在职员工每半年组织一次信息安全培训，培训签到表归档。培训结束后在一周之内组织信息安全考试，考试及格线为23分（25分制），并将考试签到表、考试成绩进行归档。7.3.2培训效果检查7.3.2.17.3.2.2定期以业务部门、项目组为单位进行信息安全知识检查，对检查结果低于90%的部门、团队进行再次的全员覆盖培训并组织考试，对培训签到表、考试签到表、考试成绩归档并通知部门主管。不定期对FBI场地内的研发人员进行信息安全知识的抽检，对抽查成绩低于23分（25分制）的员工组织培训并考试，对培训签到表、考试签到表、考试成绩归档并通知业务部门直接领导和部门主管。未经许可，不得扩散(完整版)信息安全手册--第14页147.4人员离职目的：保证离职人员不带走公司任何信息资产。7.4.1离职人员信息交接流程7.4.1.17.4.1.27.4.1.37.4.1.47.4.1.57.4.1.67.4.1.7员工离职前，公司与离职员工签署离职保密承诺。文件密级：内部公开员工离职前公司将收回所有的工作资料的纸件、电子件及员工拥有的相关信息系统和资源的访问使用权限。员工离职前收回员工门禁磁卡及工作证。员工在其离职两年内仍要按照进公司时签订的合同，承担下列保密责任，否则将承担违约的民事或刑事责任。不带走从公司获取的任何资料，包括但不限于记载的纸件或电子件上的文档、文件、图表、目录，存储于磁盘、光盘上的软件、程序等，离职后两年内不得到与XXX公司或与客户公司有竞争关系的公司从事与在XXX公司工作期间工作性质相同或者相似的工作。未经XXX公司书面同意，不向任何单位和个人透露或使用在公司就职期间获得的商业秘密，包括技术秘密、商务秘密、财务秘密、管理秘密以及其它经营秘密。7.5违规处理目的：建立正式的违规处理流程，对违反信息安全管理规定的员工进行相应处理。7.5.1信息安全违规级别对于触犯国家法律的，公司将移交国家司法机关依法处理。此外，则根据违规行为的后果、性质以及违规人的主观意愿，将违规行为分为如下四个等级：一级：有意盗窃、泄露公司保密信息，或有意违反信息安全管理规定，性质严重造成重大损失。二级：有意违反信息安全管理规定，性质严重或造成损失。三级：无意违反信息安全管理规定，造成公司损失；或者有意违反信息安全管理规定，但性质不严重且没有造成严重损失。未经许可，不得扩散(完整版)信息安全手册--第15页15四级：违反信息安全管理规定，性质较轻，没有造成公司损失。7.5.2信息安全违规处理流程信息安全违规处理流程V1.0任务名称事故定级组织信息安全工组会议执行解决措施总结报告与预防措施程序人物、程序、重点及标准业务部门发生信息安全事故以后，项目组信息安全员应在第一时间向信息安全专员进行汇报信息安全工作组核实情况后，对事故进行定级信息安全主任对事故级别审核BBB信管办对事故级别审核重点对所发生的事故进行定级标准定级及时、准确程序信息安全专员组织事故部门召开临时会议信息安全专员组织信息安全工作组召开临时会议事故报BBB信管办信息安全小组研究制定具体事故的解决措施事故解决措施报信息安全主任审批重点组织信息安全工作组召开临时会议，制定具体事故的解决措施标准组织信息安全工作组召开临时会议，措施合理程序事故解决措施审批通过后，由信息安全专员组织落实事故部门负责落实执行，信息安全小组配合重点信息安全小组制定措施的落实标准措施落实及时、全面、准确程序事故发生部门将执行结果反馈到信息安全小组信息安全专员输出事故总结报告，并修订事故预防措施事故总结报告、事故预防措施报信息安全主任审核事故总结报告、事故预防措施报BBB信管办审核信息安全工作组将事故总结存档未经许可，不得扩散(完整版)信息安全手册--第16页文件密级：内部公开时限即时1个工作日1个工作日1个工作日1个工作日1个工作日1个工作日2个工作日根据实际情况随时1个工作日3个工作日1个工作日1个工作日即时相关资料1、参考国家相关法律公司人事制度2、3、公司信息安全制度1、公司信息安全制度2、事故调查报告1、公司信息安全制度2、公司人事制度1、公司信息安全制度2、事故调查报告16重点信息安全小组输出事故总结报告，并修订事故预防措施标准总结报告真实、客观、全面预防措施及时、合理、可行7.5.3违规事件处理流程图开始发生事放事故定级审报组织会议8物理安全策略8.1场地安全目的：明确公司FBI各工作区域的安全级别。参加会议未经许可，不得扩散(完整版)信息安全手册--第17页文件密级：内部公开研究制定处理方案组织执行执行处理结果反馈总结报告存档记录结束178.1.1FBI受控区域的划分8.1.1.1受控区域级别划分一级：FBI出入通道FBI研发区FBI实验室IT机房公司后门二级：培训室会议室三级：茶水间洗手间8.1.1.2重要区域及受控区域管理责任划分公司前门：前台负责管理。FBI出入通道：安全岗负责管理。FBI实验室：实验室管理员负责管理。IT机房：机房管理员负责管理。公司后门：信息安全工作组负责管理。FBI研发区：各项目组负责管理。FBI场内会议室：使用者负责管理。培训室：使用者负责管理。8.1.1.3物理隔离文件密级：内部公开FBI研发区（包括FBI的办公区、实验室、会议室）与其它办公区域进行了物理隔离。IT机房与其它办公区域进行物理隔离。未经许可，不得扩散(完整版)信息安全手册--第18页188.1.2出入控制文件密级：内部公开安全岗负责FBI出入口的日常管理，对出入人员身份及设备的合法性进行识别和检查。公司前门、FBI出入口、IT机房、FBI实验室、公司后门都安装有CCTV监控系统，对受控区域进行360度无死角监控，所有监控记录必须保存一个月以上。所有在公司FBI工作人员都必须刷卡出入，IT机房、FBI实验室采取最小授权策略，未授权人员不得私自进入。所有进入FBI及受控区域的都必须进行申请，申请通过以后由卡证专员进行门禁卡的授权和发放，禁止未得到授权人员私自出入FBI及FBI内的受控区域。所有在FBI研发区办公人员都必须正确佩戴具有员工合法身份识别的公司工作证，未佩戴人员不得进入FBI。FBI出入口设置有特殊存储设备禁止私自带入的标识牌。因工作需要进入FBI的外来人员必须进行严格的申请、登记，审批通过后方可进入，接待人员必须全程陪同。未经批准，禁止在FBI研发区及FB受控区域进行摄像、拍照、录音。8.1.3名词解释8.1.4人员管理8.1.4.1人员进出管理流程8.1.4.1.1公司员工FBI研发区办公人员需要刷门禁卡进出，且每人每次按顺序刷卡进出，严禁一人刷卡多8.1.4.1.1.1人同时进出。FBI研发区办公人员若未带授权门禁卡进