2020ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范)1

(手册+程序文件+作业规范)文件编号文件名称事故事件薄弱点与故障管理程序企业商业技术秘密管理程序信息安全人员考察与保密管理程序信息安全惩戒管理程序信息安全适用性声明信息安全风险评估管理程序内审管理程序恶意软件控制程序更改控制程序物理访问管理程序用户访问控制程序管理评审控制程序系统开发与维护控制程序系统访问与使用监控管理程序计算机账户及密码管理程序文件和资料管理程序重要信息备份管理程序预防措施程序文件编号文件名称防火墙安全管理规定介质销毁管理规定信息机房管理制度信息中心安全事件报告和处置管理制度信息中心密码管理制度信息系统访问权限说明档案鉴定销毁工作规定移动介质使用管理规定复印室管理制度重要文件加密解密管理制度东莞市XXX有限公司文件名称页码文件编号b)服务器停运4小时以上；b)服务器停运8小时以上；东莞市XXX有限公司文件名称页码文件编号4.2故障与事故的报告渠道与处理4.2.2故障、事故的响应 5相关/支持性文件6记录保存期限东莞市XXX有限公司文件名称页码文件编号东莞市XXX有限公司文件名称页码文件编号2相关文件4工作程序4.1业务持续性管理过程东莞市XXX有限公司文件名称页码文件编号4.2业务持续性和影响的分析东莞市XXX有限公司文件名称页码文件编号第一章总则第七条商业秘密管理机制。东莞市XXX有限公司文件名称页码文件编号东莞市XXX有限公司文件名称页码文件编号东莞市XXX有限公司文件名称页码文件编号1适用与目的4信息处理设施的引进和安装4.1引进依赖东莞市XXX有限公司文件名称页码文件编号4.2进行技术选型4.3编写购入规格书4.4定货4.5开箱检查，安装、调试，验收c)验收东莞市XXX有限公司文件名称页码文件编号5.2计算机设备维护5.3计算机调配与报废管理东莞市XXX有限公司文件名称页码文件编号5.4报废处理5.5笔记本电脑安全管理5.6计算机安全使用的要求东莞市XXX有限公司文件名称页码文件编号5.7网络安全使用的要求6信息处理设施的日常点检6.1计算机的日常点检6.2网络设备的管理与维护6.3点检策略设备类型日志内容保存周期检查周期对外提供服务的a)用户标识符(ID);b)登录和注销事件；c)若可能，终端位置；≥6个月≤2周直接用于设计、存储、≥12个月≤2周≥6个月≤5周东莞市XXX有限公司文件名称页码文件编号部门内部服务器≥6个月≤5周≥6个月≤5周防火墙和系统配置更改日志≥1个月≤5周访问日志(方向、流量)≥1个月≤5周a)用户标识符(ID):c)终端位置：≥1周≤1周入侵检测系统≥3个月≤5周远程访问系统a)用户标识符(ID):c)终端位置；≥3个月≤5周6.4资料的保存6.5网络扫描工具的安全使用管理7其它要求东莞市XXX有限公司文件名称页码文件编号8相关文件保存部门3年5年3年3年东莞市XXX有限公司文件名称页码文件编号3职责4.2对录用(借用)人员的考察东莞市XXX有限公司文件名称页码文件编号与信息科技部协调。意见后送行政部。东莞市XXX有限公司文件名称页码文件编号8记录东莞市XXX有限公司文件名称页码文件编号无东莞市XXX有限公司文件名称页码文件编号5.1计算机信息系统的安保5.1.2存在计算机信息系统安全隐患，由人事部发出整改通知，限期整改。因不及时整改而东莞市XXX有限公司文件名称页码文件编号5.2计算机应用与管理违规行为处罚规定东莞市XXX有限公司文件名称页码文件编号5.2.9未按规定进行数据备份、没有妥善保管备份数据或备分数据无效的，给予主管人员和5.2.10在对面向客户的业务应用系统管理中，从事后台维护的技术人员，违反规定同时进5.2.11在业务应用系统有关的各项业务操作过程中，技术东莞市XXX有限公司文件名称页码文件编号5.3计算机信息类违规处罚管领导200元以上1000元以下罚款。东莞市XXX有限公司文件名称页码文件编号5.4奖惩记录5.4.1系统管理员根据本公司奖惩管理规定，对奖惩的实施进行记录并形成《奖惩记录单》东莞市XXX有限公司文件名称页码文件编号5.5证据的收集东莞市XXX有限公司文件名称页码文件编号5.6证据的保存及提供5.6.1提供证据的份量应符合任何适用的要求。对该证据的存储和处理的整个时期内，应进5.6.3对计算机介质上的信息：任何可移动介质的镜像或拷贝(依賴于适用的要求)、硬盘证明该过程；原始的介质和日志(如果这一点不可能的话，那么至少有一个镜像或拷贝)应5.6.4任何法律取证工作应仅在证据材料的拷贝上进行。所有证据材料的完整性应得到保东莞市XXX有限公司文件名称页码文件编号2.范围3.1最高管理者无东莞市XXX有限公司文件名称页码文件编号信息安全适用性声明S0A条款号目标/控制是否指引目标控制批准发布。的评审控制确保方针持续的适应性。条款号目标/控制是否目标和职责控制保持特定资产和完成特定安全过程的所有信息安全职责分离控制范围，以减少对组织资产未经授权访问、无意修改或误用的机会。与监管机构的联系控制与相关监管机构保持适当与特殊利益团体的联系控制项目管理中的信息安全控制实施任何项目时应考虑信办公目标控制全措施管控使用移动设备远程办公控制系统的情况，需要进行安全控制。东莞市XXX有限公司文件名称页码文件编号条款号目标控制是否目标控制件控制履行信息安全保密协议是雇佣人员的一个基本条件。聘用期间目标管理职责控制缺乏管理职责，会使人员意识淡薄，从而对组织造成负面安全影响。信息安全意识、教育和培训控制信息安全意识及必要的信息系统操作技能培训是信息安全管理工作的前提。惩戒过程控制该有一个正式的惩戒过程。化目标控制务在任用终止或变更后仍传达并执行。《相关方服务管理程条款号目标/控制是否资产责任目标对我司资产(包括顾客要求保密的数据、软件及产品)资产清单控制建立重要资产清单并实施资产责任人控制有者”资产的合理使用控制识别与信息系统或服务相关的资产的合理使用规则，并将其文件化，并子以实东莞市XXX有限公司文件名称页码文件编号条款号目标/控制是否资产的归还控制在劳动合同或协议终止后，所有员工和外部方人员应退还所有他们持有的组织目标我司根据信息的敏感性对信息进行分类，明确保护要分类指南控制我司的信息安全涉及信息的敏感性，适当的分类控制是必要的。信息标识控制定信息处理的安全的要求。资产处理控制类方法制定和实施资产处理程序目标防止存储在介质上的信息被非授权泄露、修改、删除控制我司存在含有敏感信息的告等可移动介质。控制当介质不再需要时，对含有敏感信息介质采用安全的控制护，防止未经投权的访问、滥用或在运输过程中的损条款号目标/控制是否需求目标限制对信息和信息处理设施的访问控制略，并根据业务和安全要求对策略进行评审。务的访问控制制定策略，明确用户访问网非投权的网络访问。目标东莞市XXX有限公司文件名称页码文件编号条款号目标/控制是否用户注册和注销控制我司存在多用户信息系统，应建立用户登记和注销登供控制有信息系统及服务的访问。控制权不适当的使用会造成系用户认证信息的控制应通过一个正式的管理过用户访问权限的评审控制对用户访问权限进行评审是必要的，以防止非投权的访问。撤销或调整访问控制在跟所有员工和承包商删除或调整其信息和信息处理设施的访问权限0《人力资源安全管理程《相关方服务管理程目标认证信息的使用控制系统和应用访问控制目标防止对系统和应用的未授权访问信息访问限制控制我司信息访问权限是根据问功能应加以限制。安全登录程序控制控制为减少非法访问操作系统的机会，应对密码进行管特权程序的使用控制全。控制《软件开发安全控制程东莞市XXX有限公司文件名称页码文件编号标准条款号标题目标/控制是否问控制行限制。条款号标题目标/控制是否加密控制目标密性、真实性、完整性。使用加密控制的控制 控制司对密码技术的使用条款号目标/控制是否安全区域目标防止对组织信息和信息处理设施的未经授权物理控制我司有包含重要信息及信息处理设施的区域，应确定其安全周界对其实施保护。物理进入控制控制安全区域进入应经过投权，未经授权的非法访问会对办公室、房间及设施的安全控制部、房间和设施应有特殊的安全要求。防范外部和环境控制范火灾、水灾、地震，以及其它形式的自然或人为灾在安全区域工作控制在安全区域工作的人员只保证安全区域安全，《相关方服务管理程送货和装卸区控制问到的地点进行控制，防止外来人员直接进入重要安东莞市XXX有限公司文件名称页码文件编号条款号目标/控制是否全区域是必要的设备安全目标防止资产的遗失、损坏、偷窃等导致的组织业务中设备安置及保护控制灾、吸烟、油污、未经授权访问等威胁。控制电力中断或者其它支持设施故障而导致的中断的影线缆安全控制通信电缆、光缆需要进行正常的维护，以防止侦听和损坏。设备维护控制设备保持良好的运行状态是保持信息的完整性及可资产转移控制软件带到场所外。场外设备和资产安全控制我司有笔记本移动设备，离授权的访问等危害的发生。设备报废或重用控制对我司储存有关敏感信息的设备，如服务器、硬盘，对其处置和再利用应将其信息清除。控制桌面清空及清屏控制幕策略，会受到资产丢失、失窃或遭到非法访问的威标准条款号标题目标/控制是否操作程序及职责目标东莞市XXX有限公司文件名称页码文件编号条款号目标/控制是否序控制控制未加以控制的信息处理设备和系统更改会造成系统控制为避免因系统容量不足导致系统故障，监控容量需求并规划将来容量是必须行环境的分离控制以降低未授权访问或对操作系统变更的风险防范恶意软件目标控制在的，应实施恶意代码的监测、预防和恢复控制，以及适当的用户意识培训目标防止数据丢失控制份是必须的，以防止信息和软件的丢失和不可用，日志记录和监控目标事件日志控制立事件日志(审核日志)是日志信息保护控制日志记录设施以及日志信息应该被保护，防止被算管理员和操作者日志控制时钟同步控制实施时钟同步，是生产、经营与获取客观证据的需东莞市XXX有限公司文件名称页码文件编号条款号标题目标/控制是否制目标确保运营中系统的完整性。控制应建立程序对运营中的系统的软件安装进行控目标防止技术漏洞被利用。管理技术薄弱点控制及时获得正在使用信息系统的技术薄弱点的相关信息，应评估对这些薄弱点的暴露程度，并采取适当的方法处理相关风险。限制软件安装控制安装规则。的考虑因素目标最小化审计活动对系统运营影响。信息系统审核控制控制验证所涉及的审核要求和活动并获得许可，以最小化中断业务过程。条款号目标/控制是否网络安全管理目标网络控制控制序的信息。网络服务安全控制应识别所有网络服务的安全机制、服务等级和管务协议中，无论这种服务是由内部提供的还是外包的。网络隔离控制应在网络中按组隔离信息服务、用户和信息系统目标确保信息在组织内部或与外部组织之间传输的安全。和程序控制应建立正式的传输策略、东莞市XXX有限公司文件名称页码文件编号条款号目标/控制是否控制间的业务信息的安全传输协议。电子消息控制应适当保护电子消息的信息。控制应制定并定期评审组织的信息安全保密协议或条款号目标/控制是否信息系统安全需求目标部分，包括通过公共网络提供服务的信息系统的要析和规范控制包括信息安全相关的要《技术符合性管理规公共网络应用服控制应保护流经公共网络的控制应保护应用服务传输中的信息，以防止不完整的传输、路由错误、未授权的消息修改、未经授权的泄漏、未授权的信息复制的安全目标确保信息系统开发生命周期中设计和实施信息安控制序控制为防止未授权或不充分的更改，导致系统故障与中断，需要实施严格更改控操作平台变更后的技术评审控制应用系统会造成严重的影软件包变更限制控制东莞市XXX有限公司文件名称页码文件编号条款号目标/控制是否安全系统工程原则控制用安全系统工程原则，并控制在整个系统开发生命周期应建立并妥善保障开发环外包开发控制系统安全测试控制系统验收测试控制级及新版本的验收测试程测试数据目标A.14.3,1测试数据的保护控制条款号目标/控制是否供应商关系的目标供应商关系的控制为降低供应商使用组织的资产相关的风险，应与供协议。中强调安全控制与每个供应商签订的协议中应覆盖所有相关的安全要求。如可能涉及对组织的IT基础设施组件、信息的访问、处理、存储、术的供应链控制供应商协议应包括信息、应链的相关信息安全风目标东莞市XXX有限公司文件名称页码文件编号条款号目标/控制是否供应商服务的监督和评审控制组织应定期监督、评审和审核供应商的服务交付。供应商服务的控制条款号目标控制是否的管理和改进目标职责和程序控制以快速、有效和有序的响报告信息安全控制应通过适当的管理途径尽报告信息安全弱点控制和服务的员工和承包商注意并报告系统或服务中任何已发现或疑似的信息安评估和决策信息安全事件控制应评估信息安全事件，以决定其是否被认定为信息响应信息安全控制应按照文件化程序响应信从信息安全事故中学习控制获得的知识应用来减少未来事故的可能性或影响。收集证据控制识别、收集、采集和保存标准条款号标题目标/控制是否东莞市XXX有限公司文件名称页码文件编号条款号目标/控制是否目标的连续性控制管理的安全和连续性，如在危机或灾难时。实施信息安全的连续性控制性水平。估信息安全的控制组织应定期验证已建立并实施的信息安全连续性控制，以确保其有效并可在灾害情况下奏效。冗余目标确保信息处理设施的可用性。的可用性控制够的冗余以满足可用性要求。条款号目标/控制是否定的符合性目标律法规和合同要求控制律、法规与合同的要求及组织件，并针对组织及每个信知识产权控制应实施适当的程序，以确保对知识产权软件产品的使用符合相关的法律、法控制应按照法律法规、合同和业务要求，保护记录免受损坏、破坏、未授权访问和东莞市XXX有限公司文件名称页码文件编号条款号目标/控制是否个人信息和隐私的保护控制护应满足相关法律法规的控制加密控制的使用应遵循相信息安全评审目标立评审控制(如，信息安全控制目标、控制措施、策略、过程和程序)进行独立评审。控制管理层应定期评审管辖范围内的信息处理过程符合安全策略、标准及其他安审控制织的信息安全策略、标准《技术符合性管理规东莞市XXX有限公司文件名称页码文件编号3.0定义(无)东莞市XXX有限公司文件名称页码文件编号职责职责重要资产清单重要资产清单威胁/脆弱性因素表风险评估表风险评估表是否残余风险清单否是安全措施实施计划安全措施实施计划东莞市XXX有限公司文件名称页码文件编号6.0内容6.1资产的识别6.1.1各部门每年按照管理者代表的要求负责部门内部资产的识别，确定资产价6.1.2资产分类6.1.3资产(A)赋值选择对资产机密性、完整性和可用性最为重要(分值最高)的一个属性的1)机密性赋值根据资产在机密性上的不同要求，将其分为五个不同的等级，分别对应资产在机密性上的应达成的不同程度或者机密性缺失时对整个组织的影赋值标识定义5极高包含组织最重要的秘密，关系未来发展的前途命运，对组织根本利益有着决定性影响，如果泄漏会造成灾难性的损害4高包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害3中等包含组织的一般性秘密，其泄露会使组织的安全和利益受到损害2低包含仅能在组织内部或在组织某一部门内部公开的信息，向外扩散有可能对组织的利益造成损害1可忽略包含可对社会公开的信息，公用的信息处理设备和系统资源等2)完整性赋值根据资产在完整性上的不同要求，将其分为五个不同的等级，分别对应东莞市XXX有限公司文件名称页码文件编号赋值标识定义5极高完整性价值非常关键，未经授权的修改或破坏会对组织造成重大的或无法接受的影响，对业务冲击重大，并可能造成严重的业务中断，难以弥补4高完整性价值较高，未经授权的修改或破坏会对组织造成重大影响，对业务冲击严重，比较难以弥补3中等完整性价值中等，未经授权的修改或破坏会对组织造成影响，对业务冲击明显，但可以弥补2低完整性价值较低，未经授权的修改或破坏会对组织造成轻微影响，可以忍受，对业务冲击轻微，容易弥补1可忽略的影响可以忽略，对业务冲击可以忽略3)可用性赋值根据资产在可用性上的不同要求，将其分为五个不同的等级，分别对应资产在可用性上的达成的不同程度。赋值标识定义5极高可用性价值非常高，合法使用者对信息及信息系统的可用度达到年度99.9%以上4高可用性价值较高，合法使用者对信息及信息系统的可用度达到每天90%以上3中等可用性价值中等，合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上2低可用性价值较低，合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上1可忽略可用性价值可以忽略，合法使用者对信息及信息系统的3分以上为重要资产，重要信息资产由信息安全部确立清单6.2威胁识别6.2.1威胁分类对重要资产应由ISMS小组识别其面临的威胁。针对威胁来源，根据其表东莞市XXX有限公司文件名称页码文件编号6.2.2威胁(T)赋值等级标识定义5很高以证实经常发生过(每天)4高可以证实多次发生过(每周)3中经发生过(每月、曾经发生过)2低生过(每年)1很低生(特殊情况)6.3脆弱性识别6.3.2脆弱性(V)严重程度赋值低。等级数值越大，脆弱性严重程度越高。脆弱性严重程度赋值见下表等级标识定义5很高如果被威胁利用，将对资产造成完全损害(90%以上)4高如果被威胁利用，将对资产造成重大损害(70%)3中如果被威胁利用，将对资产造成一般损害(30%)2低如果被威胁利用，将对资产造成较小损害(10%)1很低如果被威胁利用，将对资产造成的损害可以忽略(10%以下)东莞市XXX有限公司文件名称页码文件编号6.4已有安全措施的确认持，以避免不必要的工作和费用，防止安全措施的重复实施。对于确认为不适6.5风险分析小组采用矩阵法确定威胁利用脆弱性导致安全事件发生的可能性，考虑安全事件一旦发生其所作用的资产的重要性及脆弱性的严重程度判断安全事件造成的6.5.1安全事件发生的可能性等级P=(T*V)"6.5.2安全事件发生后的损失等级L=(A*V)",6.5.3风险值R=(L*P),风险等级风险值风险等级123456.5.4风险管理策略6.5.4.1完全的消除风险是不可能和不实际的。公司需要有效和经济的运6.5.4.2风险值越高，安全事件发生的可能性就越高，安全事件对该资产以●接受风险：接受潜在的风险并继续运行信息系统，不对风险进●降低风险：通过实现安全措施来降低风险，从而将脆弱性被威胁源利用后可能带来的不利影响最小化(如使用防火墙、漏洞扫描系统等安全产品)。●规避风险：不介入风险，通过消除风险的原因和/或后果(如放弃系统某项功能或关闭系统)来规避风险。●转移风险：通过使用其它措施来补偿损失，从而转移风险，如东莞市XXX有限公司文件名称页码文件编号6.5.4.3风险等级3(含)以上为不可接受风险，3(不含)以下为可接受风6.7残余风险的监视与处理●业务目标和过程；东莞市XXX有限公司文件名称页码文件编号东莞市XXX有限公司文件名称页码文件编号●其他认为必要时。●审核中的注意事项。东莞市XXX有限公司文件名称页码文件编号东莞市XXX有限公司文件名称页码文件编号4工作程序东莞市XXX有限公司文件名称页码文件编号东莞市XXX有限公司文件名称页码文件编号5相关文件东莞市XXX有限公司文件名称页码文件编号第一条为规范软件变更与维护管理，提高软件管理水平，优化软件变更与维护管理流第二条本制度适用于应用系统已开发或采购完毕并正式上线、且由软件开发组织移交给应用管理组织之后，所发生的生产应用系统(以下简称应用系统)运行支持第二节变更流程第三条系统变更工作可分为下面三类类型：功能完善维护、系统缺陷修改、统计报表第四条系统变更工作以任务形式由需求方(一般为业务部门)和维护方(一般为信息部门的应用维护组织和软件开发组织，还包括合作厂商)协作完成。系统变更第六条需求部门提出系统变更需求，并将变更需求整理成《系统变更申请表》(附件一),由部门负贵人审批后提交给系统管理员。第七条系统管理员负责接受需求并上报给信息部主管。信息部主管分析需求，并提出第八条系统管理员根据自行开发、合作开发和外包开发的不同要求组织实现系统变更第九条实现过程应按照软件开发过程规定进行。系统变更过程应遵循软件开发过程相东莞市XXX有限公司文件名称页码文件编号东莞市XXX有限公司文件名称页码文件编号东莞市XXX有限公司文件名称页码文件编号附件一系统变更申请表变更请求类型□用户方变更□开发方变更口需求增加口需求修改口需求缩减□其它：请说明：申请日期实施人员原需求内容描述变更的影响意见：签字：信息部人员意见：签字：东莞市XXX有限公司文件名称页码文件编号附件二用户测试报告1.基本信息测试依据例如：参照标准、客户需求、需求规格说明书、测试用例等测试范围测试验收标准提示：可以把测试驱动程序当作附件测试人员测试时间须注明每次回归测试的时间测试工具测试用例编号期望结果测试结果缺陷密度是否执行了回归测试缺陷名称缺陷类型严重程度原因驻留时间解决方案东莞市XXX有限公司文件名称页码文件编号东莞市XXX有限公司文件名称页码文件编号4.1外来人员分类东莞市XXX有限公司文件名称页码文件编号序号防范措施1特别安全区1.数据存储机房2.配电房1.专门负责(保安值勤)。2.监控录象装置。3.进出再登记，专人陪同(特别2普通安全区1.开发部办公室2.管理中心3档案室1.专人负责。4.巡逻检查，群防群治。3一般区域1.大堂2.杂物室东莞市XXX有限公司文件名称页码文件编号访问时间在一周内特别安全区接待部门负责人同意且主管副总经理批准，公司人事部办理相关手续普通安全区负责人事部办理相关手续一般区域接待人员事部办理相关手续4.4门禁出入规定>红色胸带：进入公司的外部相关方人员东莞市XXX有限公司文件名称页码文件编号4.4.1员工门禁管理东莞市XXX有限公司文件名称页码文件编号东莞市XXX有限公司文件名称页码文件编号4.5访问接待管理办法东莞市XXX有限公司文件名称页码文件编号●公司级：●部门级：东莞市XXX有限公司文件名称页码文件编号5安全培训6安全保密规定6.1拍照东莞市XXX有限公司文件名称页码文件编号6.2安全保密协议7在安全区域工作的安全要求记录名称保存部门保存期限3年3年3年东莞市XXX有限公司文件名称页码文件编号3相关文件东莞市XXX有限公司文件名称页码文件编号5.1各系统安全登录程序(d)限制所允许的不成功登陆尝试的次数(推荐3次)并考虑：3)断开数据链路链接；4)如果达到登录的最大尝试次数，向系统控制台(或向机房管理员)发送警报东莞市XXX有限公司文件名称页码文件编号5.2用户身份标识和鉴别东莞市XXX有限公司文件名称页码文件编号5.3.1在登录核心系统或外围系统时，须使用自己的用户ID及口令，确保身份可核查。5.3.2信息部员工需要登录核心系统或外围系统需要提交《系统访问授权书》,如果是第一次登陆且没有用户ID及密码则按《口令管理规定》进行用户ID的申请，由机房管理员根据申请添加用户ID及默认密码并且设置密码历史记录(推荐记录3次),用户在第一次登陆后必须对密码进行更改，否则由机房管理员强行收回用户ID。5.3.3口令必须是由数字、字幕、符号，长度7位组成并且不可以使用例如：生日、姓名、东莞市XXX有限公司文件名称页码文件编号5.4系统实用工具的使用东莞市XXX有限公司文件名称页码文件编号5.5登录会话限制6相关文件7相关记录保存部门保存期限信息部3年信息部3年信息部3年东莞市XXX有限公司文件名称页码文件编号1目的为确保信息安全管理体系持续的适宜性、充分性、方针和信息安全管理目标/服务目标进行定期评审，并保证与法律、法规、公司其他制度、原则性文件不信息安全体系：IS027001体系2适用范围3职责与权限3.1公司高管批准《管理评审报告》3.2管理者代表组织撰写《管理评审报告》3.3主管体系建设部门(人事部)负责对评审后的纠正、预防措施进行跟踪和验证3.4各部门东莞市XXX有限公司文件名称页码文件编号4程序和工作流程4.1制定年度管理评审计划4.1.1年度管理评审计划4.1.2年度管理评审计划的内容4.1.3管理评审的频次4.2管理评审的准备东莞市XXX有限公司文件名称页码文件编号⑥参加评审部门(人员);4.2.2资料准备4.3管理评审输入东莞市XXX有限公司文件名称页码文件编号4.4管理评审会议4.5管理评审输出4.6管理评审报告东莞市XXX有限公司文件名称页码文件编号6相关记录东莞市XXX有限公司文件名称页码文件编号1适用3职责4程序东莞市XXX有限公司文件名称页码文件编号东莞市XXX有限公司文件名称页码文件编号东莞市XXX有限公司文件名称页码文件编号5记录保存部门10年东莞市XXX有限公司文件名称页码文件编号无东莞市XXX有限公司文件名称页码文件编号5.1监控策略东莞市XXX有限公司文件名称页码文件编号5.2日志的配置最低要求东莞市XXX有限公司文件名称页码文件编号5.3.1网络管理员根据系统的安全要求确认日志内容、保存周期、检查周期，其最低要求不得低于5.2的要求。如果因为日志系统本身原因不能满足5.2的最低要求，需要降低标准的，5.3.2网络管理员配置日志系统，并定期检查日志内容，评审安全情况。评审的内容包括：东莞市XXX有限公司文件名称页码文件编号3.定义无4.职责5.2.1要求1:宿码至少有8个字符长5.2.2要求2:密码必须包含以下每一部分A.字母A-Z或a-zB.数字0-9C.特殊字符，例如*,$,)等东莞市XXX有限公司文件名称页码文件编号H.例如“asdf“的简单密码(在键盘上相连的键)N.btk(4902)R.mMSkK7(少于8个字符)S.btk$*@btk(没有数字)5.3更改(可向计算机室申请)5.3.1至少每90天更改一次密码。东莞市XXX有限公司文件名称页码文件编号无无东莞市XXX有限公司文件名称页码文件编号4.文件和资料编号/版本规定头，规定由4或5个数字构成编号。东莞市XXX有限公司文件名称页码文件编号4.2版本及修订号的编制方法采用“英文字母自然排序/数字自然排序”法。第0次修定(按照数字自然顺序号，依次使用1、2、3……)第A版(按照英文字母自然排序，依次使用B、C、D……)版本及修订号的标注方法：1、2、3层次文件标注在封面。记录作为一种特殊形式的文件，没有标注版本及修订号的时侯，默认为A/0版；当记录更新版本及修订号后，需要在记5.工作程序文件分类作废标识文件修订文件5.2文件分类(见下表)更改通知保管借阅文件评审使用编制文件标识文件批准发布文件名称1法律法规国家和地方有关信息安全等方面的法律法规东莞市XXX有限公司文件名称页码文件编号2公司文件《信息安全管理手册》、程序文件，与信息安全有关的制度及行政文件、管理方案等3标准类文件4合同类文件承包合同、分包合同、物资采购合同、租赁合同、经济技术责任状、信息安全协议等5图纸类文件各类施工图纸、设计变更、工程洽商记录等6外来文件包括当地政府或上级主管部门下发的与信息安全管理体系有关的文件，还包括业主、分包商、供应商等方面有关体系方面的往来文件7运行记录包括信息安全管理体系运行中的各类数据记录8系统文件本公司与信息安全有关的系统文件包括：a)系统操作手册；b)关键商业作业流程；c)网络系统拓扑结构图；d)访问授权说明书及授权登记表；e)ISMS体系文件；f)监视系统网络图；东莞市XXX有限公司文件名称页码文件编号东莞市XXX有限公司文件名称页码文件编号7.记录记录名称保存部门保存期限文控中心2年文控中心3年东莞市XXX有限公司文件名称页码文件编号无5.1备份信息识别东莞市XXX有限公司文件名称页码文件编号5.7信息恢复7记录记录名称保存部门保存期限3年东莞市XXX有限公司文件名称页码文件编号东莞市XXX有限公司文件名称页码文件编号1适用3职责东莞市XXX有限公司文件名称页码文件编号4.2人事部每半年组织相关部门利用4.1条款所规定的信息来源，分析确定不符合/潜在不取纠正/预防措施应与潜在问题的影响程度相适应，c.可能影响本公司的企业形象与经济利d.可能造成生产经营业务中断。对于各部门日常发现报告的重大安全隐患(安全薄弱点),人事部应组织有关部门进行4.3需制定纠正/预防措施时，由人事部组织有关部门制定纠正/预防措施对4.4当问题原因不确定或责任重大时，由采取纠正/预防措施的部门呈报公司信息安全最高责任者，必要时，应提交公司信息安全管理委员会进4.5实施纠正/预防措施的部门应认真执行，作好执行结果的记录。4.6人事部对纠正/预防措施实施结果进行验证，验证内容包a.纠正/预防措施是否按纠正/预防措施计划的要求实施；b.是否消除了不符合/潜在不符合的原4.7经验证效果不理想，负责制定纠正/预防措施的部门应重新确定纠正/预程序4.3要求实施。4.8纠正/预防措施需要涉及文件更改的，应对文件进行评审，按《ISMS文件和资料管5记录保存部门保存期限3年东莞市XXX有限公司文件名称页码文件编号2适用范围ScopeVPN(VirtualPrivateNetworking):即虚拟专用网，VPN是用以实现通过4管理细则4.1基本管理原则东莞市XXX有限公司文件名称页码文件编号1)三个区域(Untrust/Trust/DMZ)间的策略遵循“2)未经允许，严禁Internet直接访问公司内部(除DMZ区的机器外)的网络。4)不得从公司内网直接访问Internet,允许从DMZ区域有限制的访问Internet。6)公司内网必须有限制地访问DMZ区机器，并且只开放相应的端东莞市XXX有限公司文件名称页码文件编号3)数据中心(研发区、非研发区、通用区)不4.4策略申请流程4.5职责东莞市XXX有限公司文件名称页码文件编号6本规定的维护与解释东莞市XXX有限公司文件名称页码文件编号东莞市XXX有限公司文件名称页码文件编号3、定义要是硬盘和U盘)4.介质分类.5.2涉密存储介质5.2.1维修处理规范3)若该介质已经损坏通知用户或者IT部更换.东莞市XXX有限公司文件名称页码文件编号6.2.二次利用处理规范东莞市XXX有限公司文件名称页码文件编号机房出入管理规定第六条任何人员因工作需要进入机房，均需填写《机房出入登记表》(附件二),登记随身东莞市XXX有限公司文件名称页码文件编号东莞市XXX有限公司文件名称页码文件编号东莞市XXX有限公司文件名称页码文件编号附则东莞市XXX有限公司文件名称页码文件编号东莞市XXX有限公司文件名称页码文件编号东莞市XXX有限公司文件名称页码文件编号4.2应急支援东莞市XXX有限公司文件名称页码文件编号东莞市XXX有限公司文件名称页码文件编号东莞市XXX有限公司文件名称页码文件编号东莞市XXX有限公司文件名称页码文件编号11.本制度自2017年1月1日起执行。东莞市XXX有限公司文件名称页码文件编号层)与集市数据层(EDM层):东莞市XXX有限公司文件名称页码文件编号七、访问数据的系统要求八、数据访问的基本原则九、访问数据申请流程东莞市XXX有限公司文件名称页码文件编号1目的为贯彻落实国家有关档案管理法律法规，促进*******(以下简称：公司)2适用范围3档案鉴定销毁范围及鉴定原则3.1鉴定销毁档案范围3.1.1保管期限已满的档案。3.1.2无保存利用价值的档案。3.2鉴定档案的原则3.2.1鉴定档案本着“充分利用原卷，一般不拆卷重整，保管期限就高不就低”的原则，采取直接鉴定法。逐卷逐件审查卷内文件，切忌只看案卷标题3.2.2鉴定中要具体对待保管期限混杂的案卷。永久卷混有与卷内文件内容联系密切的个别长期、短期文件可以不拆卷，但混杂的长期、短期保管的文3.2.3鉴定要考虑档案的价值，应以反映公司只地位、活动范围以及档案的产生事件、完整程度、可靠性、有效性和外形特点3.2.4会计档案鉴定销毁按照财政部、国家档案局《会计档案管理办法》执行。会计档案鉴定销毁要根据特殊性进行鉴定，鉴定销毁应注意以下几个方东莞市XXX有限公司文件名称页码文件编号东莞市XXX有限公司文件名称页码文件编号负责人的签字及时间、批准人的签字及时间(销毁档案的批准人为企业法人代表)、监销人的签字及销毁时间等项目。清册中档案销毁登记表(表格：)准确4.4编制销毁档案分析报告。档案鉴定销毁领导小组根据待销毁档案的鉴定结果及档案销毁清册，组织编制销毁档案分析报告，报告中对需销毁档案的4.5审核工作。将档案销毁清册及销毁档案分析报告提供给办公室进行审4.6延期销毁。为慎重起见，准备销毁的档案，在经总经理批准后，还需要继续保存一段时间后销毁，一般以半年为宜，以避免因档案潜在作用尚未被4.7销毁工作。总经理批准销毁的档案，由2名工作人员将其销毁，不能当作其他用途。无论采用什么方法，档案鉴定销毁小组必须指定2人以上监销(其中一人为办公室人员),确已销毁后，监销人在销毁清册上注明“已销毁”东莞市XXX有限公司文件名称页码文件编号3.1综合办3.2各使用人员4工作程序及内容4.2可移动存储介质的管理4.3存储介质的处理4.4信息处理程序东莞市XXX有限公司文件名称页码文件编号4.6安全移动存储介质的策略4.7安全移动存储介质的配发东莞市XXX有限公司文件名称页码文件编号4.8安全移动存储介质的使用东莞市XXX有限公司文件名称页码文件编号东