ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范)

文件编号文件名称事故事件薄弱点与故障管理程序业务持续性管理程序企业商业技术秘密管理程序信息安全人员考察与保密管理程序信息安全惩戒管理程序信息安全适用性声明信息安全风险评估管理程序内审管理程序恶意软件控制程序更改控制程序物理访问管理程序用户访问控制程序管理评审控制程序系统开发与维护控制程序系统访问与使用监控管理程序计算机账户及密码管理程序文件和资料管理程序重要信息备份管理程序预防措施程序信息安全管理体系作业文件目录文件编号文件名称防火墙安全管理规定介质销毁管理规定信息机房管理制度信息中心安全事件报告和处置管理制度信息中心密码管理制度信息系统访问权限说明档案鉴定销毁工作规定移动介质使用管理规定复印室管理制度重要文件加密解密管理制度XXX有限公司文件名称页码文件编号为建立一个适当信息安全事故、薄弱点、故障风险处置的报告、反应制，减少信息安全事故和故障所造成的损失，采取有效纠正与预防措施，正确3.1各系统归口管理部门主管相关安全风险的调查、处理及纠正措施管理。3.2各系统使用人员负责相关系统安全事故、薄弱点、故障和风险的评价、处置报告。4.1信息安全事故定义与分类：4.1.1信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或b)服务器停运4小时以上；4.1.2信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或XXX有限公司页码文件编号b)服务器停运8小时以上；c)造成机房设备毁灭的火灾、洪水、雷击等灾害；d)损失在一百万元以上的故障/事件。4.1.3信息安全事件包括：a)未产生恶劣影响的服务、设备或者实施的遗失；b)未产生事故的系统故障或超载；c)未产生不良结果的人为误操作；d)未产生恶劣影响的物理进入的违规XXX有限公司文件名称页码文件编号e)未产生事故的未加控制的系统变更；f)策略、指南和绩效的不符合；g)可恢复的软件、硬件故障；h)未产生恶劣后果的非法访问。4.2故障与事故的报告渠道与处理4.2.1故障、事故报告要求故障、事故的发现者应按照以下要求履行报告任务：a)各个信息管理系统使用者，在使用过程中如果发现软硬件故障、事故，应该向该系统归口管理部门报告；如故障、事故会影响或已经影响线上生产，必须立即报告相关部门，采取必要措施，保证对生产的影响降至最低；b)发生火灾应立即触发火警并向安全监督部报告，启动消防应急预案；c)涉及企业秘密、机密及国家秘密泄露、丢失应向行政部报告；d)发生重大信息安全事故，事故受理部门应向信息安全管理者代表和有关公4.2.2故障、事故的响应故障、事故处理部门接到报告以后，应立即进行迅速、有效和有序的响应，包a)报告者应保护好故障、事故的现场，并采取适当的应急措施，防止事态的b)按照有关的故障、事故处理文件(程序、作业手册)排除故障，恢复系统或服务，必要时，启动业务持续性管理计划。XXX有限公司文件名称页码文件编号5相关/支持性文件5.1《预防措施控制程序》5.2《信息密级划分、标注及处理控制程序》5.3《信息安全奖励、惩戒规定》5.4I《法律法规与符合性评估程序》6记录保存期限6.1《信息安全风险评估报XXX有限公司文件名称页码文件编号6.2《纠正/预防措施申请书》6.3《信息安全事故调查处理报告》6.4《信息安全薄弱点报告》XXX有限公司页码文件编号1目的与范围2相关文件3.1公司常务副总经理负责公司业务中断的恢复的总指挥与总协调。3.2集成部负责编制、修订公司业务持续性管理程序，并协调、推进公司业务3.3各部门负责部门相关系统的故障处理及与之相关的作业中断的恢复。3.4技术部负责项目实施过程中设备及软件系统的故障处理及与之相关的作业XXX有限公司文件名称页码文件编号中断的恢复。3.5集成部负责后勤系统设备及网络系统的故障处理及与之相关的作业中断的3.6行政部负责本部门管理系统及与之相关的作业中断的恢复。3.7公司各部门在发生重大信息安全事件或灾难时，负责保护本部门使用的信息系统及业务数据，及时恢复中断的业务活动。4工作程序4.1业务持续性管理过程公司业务持续性管理过程规定如下：4.2业务持续性和影响的分析4.2.1公司在首次信息安全风险评估后进行业务持续性和影响的分析。4.2.2业务持续性和影响的分析由集成部组织，技术部、行政部、生产部及管理者代表指定的相关部门分别开展以下活动：a)对本部门的信息安全进行风险评估；b)识别出对本部门业务持续性造成严重影响的主要事件，如设备故障、火灾等；c)分析这些事件一旦发生对公司业务活动造成的影响和损失，以及恢复业务所d)编写本部门《业务持续性和影响分析报告》(格式见ISMS-4341)。4.2.3《业务持续性和影响分析报告》应包括以下内容：XXX有限公司页码文件编号b)可能引起公司业务活动中断的主要事件；c)主要事件对本部门管理的信息系统的影响；d)信息系统故障或中断对公司业务活动的影响；e)关于系统恢复或替换的费用考虑。5.1《业务持续性和影响分析报告》5.2《业务持续性管理战略计划》5.3《业务持续性管理实施计划》5.4《业务持续性管理计划测试报告》5.5《业务持续性管理计划评审报告XXX有限公司文件名称页码文件编号第一条为保障公司的合法权益，充分发挥作为公司重要资产的技术秘密、商业秘密的效益，鼓励员工不断创造并自觉维护技术秘密、商业秘密的积极性，根据《知识产权管理总则》制订本制度。第二条公司技术秘密、商业秘密的管理目标；技术秘密、商业秘密是本公司拥有的知识产权的组成部分，是公司的重要资产。要在公司内牢固树立技术秘密、商业秘密的保护意识；技术秘密、商业秘密的管理贯穿研究开发、生产和经营的全过程。明确商业秘密的界定和保护。第三条公司内的相关管理制度、合同、记录等文献所有文件均属于商业机密。第二章技术秘密、商业秘密的定义、确立和管理机制第四条.本制度所称的技术秘密、商业秘密，是指由公司员工在职务范围内创造或履行职务产生的、经公司知识产权管理部门认定并采取了保密措施、只在公司一定范围内流传的、具有商业价值的所有信息或成果。这些信息或成果以各种纸质材料、照片、录像和计算机等数字存储设备为载体而能够为人所感1.技术秘密。包括：公司现有的或正在开发或者构思之中的或经过技术创新确定不宜于申请专利的营销方案，管理制度；2.经营信息包括：公司的市场营销计划、广告宣传方案、销售方法、供应商和客户名单、客户的专门需求、未公开的销售服务网络以及公司现有的、正在开发或者构思之中的经营项目等信息及其承载物；3.依据法律和有关协议对第三方负有保密责任的第三方商业秘密。XXX有限公司文件名称页码文件编号第五条.确定为技术秘密、商业秘密的信息及其承载物，归公司所有。第六条.技术秘密、商业秘密的确定程序：1.由参与药品研发创新，研发部就某一项或几项信息，向公司行政管理部门申a)指定参与者中一人专门保管成果或信息的承载物，可以采取加密措施。被指定人一般是项目或业务负责人或菜肴创造者本人；b)向公司常务董事汇报并提出是否构成技术秘密、商业秘密建议。必要时会同c)公司行政董事在接到知识产权管理部门的汇报后应立即作出是否确定为技d)对于被确定为技术秘密、商业秘密的信息或成果，按照本制度第三章和第四章的有关规定具体落实管理措施。e)技术秘密、商业秘密的确定遵循随时产生随时确定的原则，实行动态管理；第七条商业秘密管理机制。公司决策层负责技术秘密、商业秘密的整体工作。及时、高效地作出审核、批准、否决等工作，定期检查各部门的保密工作，作出奖惩决定。公司下属部门的负责人负责本部门的日常技术秘密、商业秘密管理和保护工作。定期检查本部门的保密工作，配合支持知识产权管理部门履行公司技术秘密、知识产权管理部门是公司技术秘密、商业秘密保护工作的职责机构，具体操作XXX有限公司页码文件编号落实与协调商业秘密保护的各项工作.公司全体员工是技术秘密、商业秘密保护的实施者。全体员工应当牢固树立知识产权意识，自觉维护公司的商业秘密。第三章技术秘密、商业秘密及其承载物的管理第八条根据本制度第六条的规定，被决策层确立为技术秘密、商业秘密的信息或成果，由知识产权管理部门确立密级和保密期限。密级划分的标准、保密期限的确立，要参考该信息或成果同公司业务的联系程度、与同行业竞争的影响力度、是否为公司运营的关键等因案，由知识产权管理部门划定。商业秘密第九条按照技术秘密、商业秘密需要保密的程度，参考第八条的标准，技术秘密、商业秘密分为三级；绝密、机密、保密。引外，对于不宜于对外的信息，由行政管理部门确立为“内部使用”的资料，参照本制度做好保密工作。绝密——是指一旦泄漏会使公司遭受严重危害和重大损失的信息或成果，包括；公司核心管理秘密、技术诀窍、财务报表、药品研发工艺、特殊化合同。机密——是指理一旦泄漏会使公司遭受危害和较大损失的信息，包括：产品开发、市场营销等各类工作计划、公司内部重要文件。保密——是指一旦泄漏会使公司遭受损失的信息，包括；药品销售情况，用户名单及其分布，用户需求信息，限于一定范围阅读的公司内部文件等。内部使用的信息或成果——是指一旦泄漏会对公司业务产生一定不良影响的可能的信息或成果，只限于内部员工阅读的公司内部文件。第十条.保密资料由专人负责管理。公司财务部对交接来的技术秘密、商业秘密档案材料，根据其密级于档案卷宗封面加盖保密印章，登记、编号后统一放XXX有限公司文件名称页码文件编号置保密资料专门存放处保存，并建立台帐登记，重要的资料柜实行双钥匙制度。公司各部门要设立保密资科柜，用于存放各部门经常运用的或暂时无法交存公司财务部门保存的技术秘密、商业秘密档案材料，该资料拒应由专人管理。第十一条.商业技术机密材料的借阅，必须经公司行政董事批准，确定借阅时间，使用后立即归还，不得延期，更不得交与他人使用。第十二条.商业技术机密材料的复印，必须经公司行政董事批准后，由专人(理应是财务部经理)复印，未见公司行政董事批准意见，一律不得复印。复印由专人负责，复印期间不得向他人泄漏，复印后应当立即将复印稿和原稿交还申请复印人，废稿要立即销毁，不得留存或随意丢弃。第四章技术秘密、商业秘密的保障措施第十三条在本公司进行技术创新过程中，任何研发项目从立项之日起，围绕该项目的研发活动进入技术秘密、商业秘密保护范围内，产生的任何信息或成果，不论最终产生的知识产权形式如何，均作为公司的技术秘密、商业秘密进行保护。第十四条对于在研发过程中被确定为技术秘密、商业秘密的信息，由于处在不断发展改进的状态下，其档案材料可以经公司知识产权主管领导批准后保留在本部门，但必须设专门存放处保存，以计算机等保存的，必须对该设备进行数字加密，密码不得向任何无关该商业秘密的人透露。研发中的阶段性成果，必须形成档案材料，依照保密措施保存，直到最终成果形成后，将各阶段成果形成的过程档案进行保存、销毁、解秘等措施。第十五条对于开发完成的技术创新成果，除从本公司专利战略及经营实际出XXX有限公司页码文件编号发需要公开的以外，经过论证不适于申请专利的，将其完全纳入公司商业秘密保护范围内，按照商业秘密的确立、密级划分、建档、专门保存档案资料等的工作。参与技术创新的有关人员，在开发项目进行中，应履行商业秘密的保密第十六条公司所有员工有义务保护公司技术秘密、商业秘密的安全。所有员工对于公司技术秘密、商业秘密的保护而产生的义务、权利及相应奖励、处罚。第十七条员工在公司工作期间，因工作需要使用公司的技术秘密、商业秘密及其承载物，应按照要求的范围和程度使用，不得将实物、资料等擅自带离工作岗位，未经书面同意，不得随意进行复制、交流或转移含有公司技术秘密、第十八条员工在参加任何级别的学术交流活动、产品订货会、技术鉴定会等会议或活动时，必须注意保护公司的技术秘密、商业秘密，用以交流的文档或资料事先要经过上级审查批准。第十九条.公司在对外发布新产品信息和广告时，要注意避免泄漏公司的技术秘密、商业秘密。重要的新产品宣传、广告文稿必须经公司行政董事审核批准后才可发布。第二十条公司在接受外公司人员的实习、合作研究、学习进修等工作时，对公司的技术秘密、商业秘密负有保密的义务。第二十一条员工因工作需要或其他原因(包括离职、辞职、退休、开除等)调离原工作岗位或离开公司，应将接触到的所有包含职务开发中技术秘密、商业秘密的数据、文档等的记录、模型、软磁盘、光盘及数字存储装置以及其他媒介形式的资料如数交回公司。XXX有限公司文件名称页码文件编号日期第五章技术秘密、商业秘密效益发挥的保证措施第二十二条公司在对外的技术合作过程中，以技术秘密、商业秘密为标的或其他技术合同涉及技术秘密、商业秘密许可的，对于技术秘密、商业秘密的价值通过与合作方协商确定。需要进行第三方价值评估的，委托符合执业要求的中介机构完成，并通过合同约定严格的保密措施。明确双方的权利和义务及合作方在合同末完全履行，泄漏公司技术秘密、商业秘密应承担的责任。第二十三条公司员工在主持或参与对外业务谈判时要遵守公司的保密纪律。涉及公司商业秘密的谈判，事先制定谈判提纲，该提纲经行政董事批准。第二十四条在技术合作中产生的技术成果，其知识产权形式的确定和归属由合同约定，凡以技术秘密、商业秘密约定归属本公司应采取保密措施。第二十五条因员工开发或参与开发的技术创新项目、新产品技术或创造发明而形成的商业秘密，在对外的技术合作过程中产生收益，本公司将取得实际利第二十六条本公司所有正式，试用，兼职，实习员工无条件遵守本管理办法。XXX有限公司文件名称页码文件编号1适用与目的务、传输线路)的引进、实施、维护等事宜的管理。2信息处理设施的分类2.1研发控制系统、数据存储控制系统及其子系统设备，包括位于机房的服务2.2业务管理系统、财务管理系统，包括位于机房的服务器和位于使用区域的终端设备。2.3办公用计算机设备，包括所有办公室、会议室内的计算机、打印2.4网络设备，包括交换机、路由器、防火墙等。3.1XX部主要负责全公司与IT相关各类信息处理设施及其服务的引进。包括XXX有限公司页码文件编号3.2各部负责项目实施过程中设备及软件系统的管理制度的执行与维护。3.3XX部负责后勤系统设备及网络系统、电话/网络通讯与办公系统的管理与4信息处理设施的引进和安装4.1引进依赖各部门必须采购的信息处理设施、外包开发信息系统项目或外包信息系统服务，得到本部门经理的批准后，向XX部提交申请。XX部以设备投资计划，技术开发计划为依据，结合对新技术的调查，作出是否引进的评价结果并向提本公司禁止员工携带个人或私有信息处理设施(例如便携式电脑、家用电脑或手持设备PDA等)处理业务信息。4.2进行技术选型XX部负责对购入的信息处理设施的技术选型，并从技术角度对供应商进行评价。技术选型应该包含以下几方面：性能、相关设施的兼容性、协作能力、4.3编写购入规格书XX部根据要求，负责编写即将购入的信息处理设施的购入规格书。规格书中应该包含技术规格、相关设施的性能(包括安全相关信息)、兼容性等要求，XXX有限公司文件名称页码文件编号4.4定货由XX部按照公司采购流程，向经理层提出购买要求，并提供选型结果。经理层应按照要求办理定货手续。4.5开箱检查，安装、调试，验收a)开箱检查设备到货后，xx部应负责开箱检查，依照购买规格书和装箱单核对数量及物品，确认有无损坏并记录。必要时，应通知有关部门到场协同检查。b)安装、调试引进的设施到位后，根据合同要求，由相关人员进行安装、调试。在实施调试过程中出现的问题，必要时可通知相关部门共同进行。验收原则上由XX部实施，必要时可要求相关部门参加。验收的合格与否最终由XX部负责人作出判断。d)验收合格后，可向相关的使用部门移交。XXX有限公司页码文件编号5信息处理设施的日常维护管理5.1计算机设备管理5.1.1XX部负责计算机固定资产的标识，标识随具体设备到使用各部门。计算机保管使用部门将计算机列入该部门信息资产清单。5.1.2各部门配备的计算机设备应与本部门的日常经营情况相适应，不得配备与工作不相符的高档次或不必要的计算机设备。办公场所不配备多媒体类计算机设备，原则上部门经理以上配备笔记本电脑，因工作需要配备笔记本电脑的5.1.3计算机使用部门需配备计算机设备时，应按照本规定执行。资产搬离安置场所，需要获得部门经理的授权；迁移出公司，需要得到最高管理层的授权。5.1.4计算机使用部门填写《物品领用单》,经过本部门经理签字后提交行政部后领取计算机设备。计算机及附属设备属公司信息资产，在行政部备案。有关计算机设备所带技术说明书、软件由行政部保存。使用部门的使用人应妥善保管计算机及附属设备，公用计算机设备由使用部门经理指定专人负责使用管理。5.1.5离职时，应将计算机交还XX部，由XX部注销账户。5.2计算机设备维护5.2.1计算机使用部门应将每部计算机落实到个人管理。计算机使用人员负责计算机的日常维护和保养；XX部按照《恶意软件控制程序》要求进行计算机查XXX有限公司文件名称页码文件编号5.2.2计算机使用部门发现故障或异常，可先报公司XX管理员处理，如其无法解决，则由XX管理员填写《事态事件脆弱性记录》向供应商申请维修。故障原5.3计算机调配与报废管理5.3.1用户计算机更新后，原来的计算机由XX部根据计算机的技术状态决定调5.3.2含有敏感信息的计算机调配使用或报废前，计算机使用部门应与XX部共同采取安全可靠的方法将计算机内的敏感信息清除。部门内部的调配由使用部门自行处理，并通知XX部进行计算机配置变部门间的调配管理：XX部收回因更新等原因不用的计算机设备，由变更部门变更信息资产清单，并按照本程序5.1.3、5.1.4要求重新分配使用。5.4报废处理5.4.1计算机设备采用集中报废处理。报废前由XX部向行政部提出报废，经审核后由XX部实施报废。5.4.2XX部按照批准的处置方案进行报废处理，并变更固定资产清单。5.5笔记本电脑安全管理5.5.1笔记本电脑应由被授权的使用人保管；对于需多人共用的笔记本电脑，XXX有限公司文件名称页码文件编号应由部门负责人指定专人保管。5.5.2笔记本所带附件应由使用者本人或部门负责人指定专人保管。5.5.3笔记本电脑使用时应防止恶意软件的侵害，在系统中应安装防病毒软件，并由使用人对其定期升级，对系统定期查杀，XX部负责监督。5.5.4笔记本电脑在移动使用中，不能随意拉接网络，需通过填写《用户授权申请表》向XX部提前提出需求，经XX部审批后方能接入网络。5.6计算机安全使用的要求5.6.1计算机设备为公司财产，应爱惜使用，按照正确的操作步骤操作。5.6.2使用计算机时应遵循信息安全策略要求执行。5.6.3员工入职时，由其所在部门的部门经理根据该员工权限需要填写《用户授权申请表》,向研发部提出用户开户申请；离职时也需填写《用户授权申请表》5.6.4新域用户名为用户姓名的拼音(有重名时另设),初始缺省密码为XXXXX。用户在第一次登录系统时应变更密码，密码需要设置在6位以上(英文字母、数字或符号组合的优质密码)并注意保密。5.6.5各人使用自己的账户登录，未经许可不得以他人用户名登录。若用户遗忘密码，应及时向研发部申请新密码后登录。5.6.6不得使用计算机设备处理正常工作以外的事务。5.6.7计算机的软硬件设置管理由研发部进行，未经许可，任何人不得更换计XXX有限公司页码文件编号5.6.8研发部负责初始软件的安装，公司严禁个人私自安装和更改任何软件。计算机用户的软件安装与升级按照《更改控制程序》执行。拒绝使用来历不明5.6.9严禁乱拉接电源，以防造成短路或失火。5.6.10计算机桌面要保持清洁，不得将秘密和(或)受控文件直接放置在桌面；计算机桌面必须设置屏幕保护，恢复时需用密码确认(执行密码口令管理规定)。锁屏时间可根据自己工作习惯设置锁屏时间，但最高不得高于5分钟。5.7网络安全使用的要求5.7.1对于网络连接供应商，充分考虑其口碑和现有安全防范措施，在签署保密协议的基础上加以筛选。5.7.2对内设置必要的路由器防火墙，采用HTTP、FTP的连接方式，捆绑固定IP地址防止权限滥用。6信息处理设施的日常点检6.1计算机的日常点检日常点检的目的是确认系统硬件是否运行良好，有无硬件及程序上的报警，备份是否正常进行等。点检的流程、责任、项目、点检周期和记录表详由相应部门制定。如出现在检查期人员外出等不在岗情况，需要在返回工作岗位时，XXX有限公司文件名称页码文件编号6.2网络设备的管理与维护点检的流程、责任、项目、点检周期和记录表由XX部负责，特别的，在点6.3点检策略6.3.1所有存在于计算机、网络设备上的服务、入侵检测系统、防火墙和其他网络边界访问控制系统的系统审核、账号审核和应用审核日志必须打开，如果有警报和警示功能必须打开。6.3.2审核日志必须保存一定的期限，任何个人和部门不得以任何理由删除保6.3.3审核日志必须由该系统管理员定期检查，特权使用、非授权访问的试图、系统故障和异常等内容应该得到评审，以查找违背信息安全的征兆和事实。6.3.4入侵检测系统必须处于启动状态，日志保存一定的期限，定期评审异常现象，对所有可疑或经确认的入侵行为和入侵企图需及时汇报并采取相应的措设备类型日志内容期期服务系统对外提供服务的a)用户标识符(ID);≥6个月≤2周直接用于设计、≥12个≤2周XXX有限公司文件名称页码文件编号存储、检测的控制、管理和查询系统b)登录和注销事件；c)若可能，终端位d)成功的失败的登录试图。月全公司办公系统≥6个月≤5周部门内部服务器≥6个月≤5周其他服务器≥6个月≤5周防火墙和路由器系统配置更改日志≥1个月≤5周≥1个月≤5周VPN网关a)用户标识符(ID);b)登录和注销事件；c)终端位置；d)成功的失败的登录试图。≥1周≤1周入侵检测系统异常网络连接的时间、IP、入侵类型≥3个月≤5周远程访问系统a)用户标识符(ID);b)登录和注销事件；c)终端位置；d)成功的失败的登录试图。≥3个月≤5周XXX有限公司文件名称页码文件编号6.3.6XX部网络管理员根据系统的安全要求确认其日志内容、保存周期、检查周期，其最低要求不得低于上表的要求。如因为日志系统本身原因不能满足上表的最低要求，需要降低标准的，须得到XX部主管或管理者代表的批准和备6.3.7XX部网络管理员配置日志系统，并定期检查日志内容，评审安全情况。评审的内容包括：授权访问、特权操作、非授权访问试图、系统故障与异常等6.4资料的保存6.4.1设备的技术资料由设备所在的部门交由行政部保存并建立《受控文件和6.4.2设备厂商对设备进行维修后提供的维修(维护)记录单，由XX部保存，6.5网络扫描工具的安全使用管理6.5.1对网络扫描工具的使用，必须得到管理者代表的授权，并保存使用的记7其它要求涉及应用系统软件的开发(包括外包软件开发)的项目，还需执行《系统开发与维护控制程序》的相关要求。XXX有限公司文件名称页码文件编号

《系统开发与维护控制程序》

《系统逻辑访问管理制度》记录名称保存部门保存期限3年5年3年3年XXX有限公司文件名称页码文件编号1适用本规定适用于本公司的正式员工和借用员工聘用、任职期间及离职的安全考察与保密控制以及其他相关人员(合同方、临时员工)的安全考察与控制。2目的为防止品质不良或不具备一定技能的人员进入本公司，或不具备3职责3.1行政部负责员工聘用、任职期间及离职的安全考察管理及保密协议的3.2各部门负责本部门员工的日常考察管理工作。4员工录用4.1人员考察策略4.1.1所有员工在正式录用(借用)前应进行以下方面考察：b)应聘者学历、个人简历的检查(完整性和准确性);XXX有限公司页码文件编号考察。4.2对录用(借用)人员的考察4.2.1行政部对拟录用(借用)人员重点进行以下方面考察：a)根据应聘资料及面试情况初判应聘者的职业素质；b)根据应聘者人事经历的记载，了解是否有重大惩戒及犯c)通过与应聘者沟通，并了解其应聘动机；4.2.3在考察中发现应聘者存在不良倾向的，将不予录用(借用)。密措施。5.3部门在员工离职后要采取相应的技术防范措施(如变更口令、程序等),必要时应与信息科技部协调。XXX有限公司页码文件编号6离职程序6.1员工必须在离职日前30天向本部门部长提出书面离职报告。6.2部门长接到员工离职报告后，填写ISMS-4373《员工特别事项处理意见表》,签署意见后送行政部。职员工在离职日前必须把担当的部门工作移交完毕。6.5办理离职手续续，各相关部门负责按照《用户访问控制程序》取消离职员工的访问权限。手册》交于离职者。XXX有限公司页码文件编号7.1《用户访问控制程序》7.2《秘密管理规程》7.3《人事工作审批程序》8.1《应聘申请表》8.2《岗位调整审查表》8.3《员工特别事项处理意见表》8.4《员工离公司手续单》8.5《双边保密协定》XXX有限公司文件名称页码文件编号公正有效的奖惩，并作为对可能在其它情况下有意轻视信息安全程序威慑，强化全体员工的信息安全意识，有效防止信息安全事故的发生，特制定本规定。无4.1各部门经理负责自己区域内的奖惩。4.2管理者代表负责对IT方面信息安全事故的奖惩管理。4.3信息安全管理委员会负责决定重大信息安全和事故的处罚。4.4系统管理员负责本公司内部泄密或信息泄漏的调查。页码文件编号5.1计算机信息系统的安保5.1.1在计算机信息系统安全保护工作中成绩显著的单位和个人，由人事部给5.1.2存在计算机信息系统安全隐患，由人事部发出整改通知，限期整改。因不及时整改而发生重大事故和案件的，由市行对该单位的主管负责人和直接负责人予以行政处分；构成违反治安管理或者违反计算机管理监察行为的，由公安机关依法予以处罚；构成犯罪的，由司法机关依法追究刑事责任。注：以上条款由本公司信息安全委员会负责解释。XXX有限公司页码文件编号5.2计算机应用与管理违规行为处罚规定5.2.1计算机应用、维护及操作人员违反规定的，给予经济处罚或者警告至降级处分；造成严重后果的，给予撤职至开除处分。5.2.2违反规定，擅自编制、使用、修改业务应用程序、调整系统参数和业务数据的，给予主管人员和其他责任人员记过至撤职处分；造成严重后果的，给予主管人员和其他责任人员留用察看至开除处分。5.2.3利用计算机进行违法违规活动或者为违法违规活动提供条件的，给予主管人员和其他责任人员记过撤职处分；造成严重后果的，给予留用至开除处分。5.2.4违反规定，有下列危害网络安全公司为之一的，给予有关责任人员经济处罚或者警告至记过处分；造成严重后果的，给予记大过至开除处分：(a)在生产经营用机上使用与业务无关的软件或者利用通讯手段非法侵入其他系统和网络的(含从的一个业务系统进入另一个业务系统，从以外的系统和设备侵入业务网络系统，以及从的业务网络系统进入以外的网络系统);(b)未经审批，私自使用内部网络上的计算机拨号上国际互联网的；(c)将非计算机设备接入网络系统的；(e)私自修改计算机操作系统、网络系统安全设置的；(f)未经审批，私自在网络系统内开设游戏网站、论坛、聊天室等与工作(g)利用邮件系统传播损害形象的邮件的。5.2.5利用的计算机设备和网络系统制造、传播计算机病毒，给予主管人员和XXX有限公司页码文件编号其他责任人员记过至记大过处分；造成严重后果的，给予主管人员和其他责任5.2.6计算机房值班人员擅自离岗的，给予经济处罚或者警告处分；造成严重后果的，给予记过至开除处分。5.2.7系统管理和操作人员离开主机或者终端时没有按操作规程退出系统的，给予经济处罚或者警告至记过处分；造成严重后果的，给予记大过至开除处分。5.2.8违反规定将属于的计算机软件、文档、资料、客户信息等据为己有、复制或者借给外单位的，给予有关责任人员记过至撤职处分；造成严重后果的，给予留用察看至开除处分。5.2.9未按规定进行数据备份、没有妥善保管备份数据或备分数据无效的，给予主管人员和其他责任人员经济处罚或者警告至记过处分；造成严重后果的，给予记大过至开除处分。5.2.10在对面向客户的业务应用系统管理中，从事后台维护的技术人员，违反规定同时进行前台技术维护的，给予主管人员和其他责任人员记过至记大过处分；造成严重后果的，给予降级至开除处分。5.2.11在业务应用系统有关的各项业务操作过程中，技术人员代替业务人员操作，或业务员允许技术人员代替从事业务操作，给予主管人员和其他责任人员5.2.12伪造信息的，给予主管人员和其他责任人员警告至降级处分；造成严重后果的，给予撤职至开除处分。XXX有限公司文件名称页码文件编号5.3计算机信息类违规处罚5.3.1本公司职工违规操作，给系统造成一定的影响，但没有影响业务正常运行或对业务造成轻微危害者，给当事人警告或严重警告、情节较重或严重者，视情节轻重给予当事人和主管领导200元以上1000元以下罚款。5.3.2本公司职工违规操作导致系统发生问题，影响业务长时间正常运行，视情况给予处罚，情节严重者，开除。5.3.3系统管理员凡是不按要求管理，出现公网和内网混网现象，或其它安全问题，一经发现，除全公司通报批评外，处以200元罚款，情节严重者，调离5.3.4所有计算机使用用户，违规私自修改网络地址进入不该进入的业务网段、或使用内网主机进入internet网络者，若对系统和业务未造成影响，除全公司通报批评外，处以当事人和相关责任人200元罚款，若对系统或业务造成影响着，视情节轻重，处以500以上10000元以下罚款。5.3.5凡是利用非法手段窃取系统密钥，进入本公司业务系统，盗取客户资料，情节严重者，送交司法机关处置。XXX有限公司文件名称页码文件编号5.4奖惩记录5.4.1系统管理员根据本公司奖惩管理规定，对奖惩的实施进行记录并形成《奖惩记录单》记录完毕后由系统管理员进行留存。XXX有限公司页码文件编号5.5证据的收集5.5.1当信息安全事件涉及到诉讼(民事的或刑事的),需要进一步对个人或组织进行起诉时，应收集、保留和呈递证据，以使证据符合相关诉讼管辖权。5.5.2证据在收集时不得侵犯个人权益，应在不侵犯个人权益时对证据进行收拾并且证实证据是否可在法庭上使用。5.5.3应保证证据的质量和完备性，防止未被授权的篡改和泄漏。5.5.4证据获得的保证：本公司应确保收集证据其信息系统符合任何公布的标准或实用规则来产生被容许的证据。XXX有限公司页码文件编号5.6证据的保存及提供5.6.1提供证据的份量应符合任何适用的要求。对该证据的存储和处理的整个时期内，应进行过程控制保证证据的质量和完备性。5.6.2纸面文档证据的提供：原物应被安全保存且带有下列信息的记录：谁发现了这个文档，文档是在哪儿被发现的，文档是什么时候被发现的，谁来证明这个发现；任何调查应确保原物没有被篡改；5.6.3对计算机介质上的信息：任何可移动介质的镜像或拷贝(依赖于适用的要求)、硬盘或内存中的信息都应确保其可用性；拷贝过程中所有的行为日志都应保存下来，且应有证据证明该过程；原始的介质和日志(如果这一点不可能的话，那么至少有一个镜像或拷贝)应安全保存且不能改变5.6.4任何法律取证工作应仅在证据材料的拷贝上进行。所有证据材料的完整性应得到保护。证据材料的拷贝必须在可信耐人员的监督下进行，什么时候在什么地方执行的拷贝过程，谁执行的拷贝活动，以及使用了哪种工具和程序，这些信息都应记录作为日志。6记录《奖惩记录单》XXX有限公司页码文件编号3.职责与权限3.2综合部4.相关文件5.术语定义无6.适用性声明XXX有限公司文件名称页码文件编号标准条款号标题目标/控制是否选择信息安全管理指引目标提供符合有关法律法规和业务需求的信息安全管理指引和支持。信息安全方针控制信息安全方针应由管理才批准发布。信息安全方针的评审控制确保方针持续的适应性。《管理评审控制程序》标准条款号标题目标/控制是否选择信息安全组织目标信息安全的角色和职责控制保持特定资产和完成特定安全过程的所有信息安全职责《信息安全管理职责分离控制分离有冲突的职责和责任范围，以减少对组织资产未经授权访问、无意修改或误用的机会。《信息安全管理与监管机构的联系控制与相关监管机构保与特殊利益团体的联系控制与特殊利益团体、其他专业安全协会或行业协会应保持适项目管理中的信息安全控制实施任何项目时应考虑信息安全相关《相关方管理程序》XXX有限公司文件名称页码文件编号标准条款号标题目标/控制是否选择移动设备和远程办公目标移动设备策略控制采取安全策略和配套的安全措施管控使用移动设备《信息处理设施《计算机管理规远程办公控制《用户访问控制标准条款号标题目标/控制是否选择聘用前目标确保员工、合同方人员适合他们所承担的角色并理解他们的安全责任1人员筛选控制通过人员考察，防止人员带来的信息安《人力资源安全2雇佣条款和条件控制履行信息安全保密协议是雇佣人员的《人力资源安全管理程序》《保密协议》聘用期间目标确保员工和合同方了解并履行他们的信1管理职责控制缺乏管理职责，会使人员意识淡薄，从而对组织造成负面安全影响。《信息安全管理《人力资源安全管理程序》2信息安全意识、教育和培训控制信息安全意识及必要的信息系统操作技能培训是信息安《人力资源安全XXX有限公司文件名称页码文件编号标准条款号标题目标/控制是否选择3惩戒过程控制对造成安全破坏的员工应该有一个正《信息安全惩戒聘用中止和变化目标1任用终止或变更的责任控制应定义信息安全责任和义务在任用终止或变更后仍然有效，并向员工和合同《人力资源安全《相关方服务管A.8资产管理标准条款号标题目标控制是否选择资产责任目标1资产清单控制建立重要资产清单评估控制程序》《重要资产清单》2资产责任人控制对所有的与信息处理设施有关的信息和资产指定“所有者”《资产清单》《信息处理设施XXX有限公司文件名称页码文件编号标准条款号目标/控制是否选择3资产的合理使用控制识别与信息系统或服务相关的资产的合理使用规则，并将其文件化，并予以实4资产的归还控制在劳动合同或协议终止后，所有员工和外部方人员应退还所有他们持有的组织资产。信息分类目标我司根据信息的敏感性对信息进行分类，明确保护要求、优先权和等级，以确保对资产采取适当的保护。1分类指南控制我司的信息安全涉当的分类控制是必2信息标识控制按分类方案进行标注并规定信息处理3资产处理控制根据组织采用的资产分类方法制定和实施资产处理程序目标防止存储在介质上的信息被非授权泄1可移动介质管理控制信息的磁盘、磁带、光盘、打印报告等可2控制对含有敏感信息介质采用安全的处置物理介质传控含有信息的介质应XXX有限公司页码文件编号标准条款号标题目标控制是否选择3输制在运输过程中的损A.9访问控制标准条款号标题目标控制是否选择访问控制的业务需求目标限制对信息和信息处理设施的访问1访问控制策略控制建立文件化的访问务和安全要求对策略进行评审。《用户访问控制2对网络和网络服务的访问控制制定策略，明确用户务的范围，防止非授权的网络访问。《用户访问控制用户访问管理目标确保已授权用户的访问，预防对系统和服务的非授权访问。1用户注册和注销控制我司存在多用户信息系统，应建立用户登记和注销登记程《用户访问控制2用户访问权限提供控制应有正式的用户访问分配程序，以分配和撤销对于所有信息系统及服务的访《用户访问控制3特权管理控制应对特权帐号进行管理，特权不适当的使用会造成系统的《用户访问控制XXX有限公司文件名称页码文件编号标准条款号标题目标控制是否选择4用户认证信息的安全管理控制用户鉴别信息的权限分配应通过一个正式的管理过程进行安全控制。《用户访问控制5用户访问权限的评审控制行评审是必要的，以防止非授权的访问。《用户访问控制6撤销或调整访问权限控制在跟所有员工和承包商人员的就业合同或协议终止和调整后，应相应得删除或调整其信息和信息处理设施的访问权限。《人力资源安全《用户访问控制《相关方服务管理程序》用户责任目标确保用户对认证信息的保护负责。1认证信息的使用控制应要求用户遵循组织的规则使用其认证信息。《用户访问控制系统和应用访问控制目标防止对系统和应用的未授权访问1信息访问限制控制我司信息访问权限是根据业务运做的需要及信息安全考虑所规定的，系统的访问功能应加以限《用户访问控制2安全登录程序控制对操作系统的访问应有安全登录程序《用户访问控制XXX有限公司文件名称页码文件编号标准条款号标题控制是否选择3密码管理系统控制为减少非法访问操作系统的机会，应对4特权程序的使用控制对特权程序的使用应严格控制，防止恶意破坏系统安全。5对程序源码的访问控制控制对程序源代码的访问应进行限制。A.10加密技术标准条款号标题目标/控制是否选择加密控制目标确保适当和有效地使用加密技术来保护信息的机密性、真实性、完整性。使用加密控制的策略控制为保护信息，应开发并实施加密控制的使用策略《技术符合性管理规定》密钥管理控制应进行密钥管理，以支持公司对密码技术的使用《计算机管理规标准条款号标题目标控制是否选择相关文件安全区域目标防止对组织信息和信息处理设施的未经授权物理访问、破坏和干扰。物理安全边控我司有包含重要信XXX有限公司文件名称页码文件编号标准条款号标题目标控制是否选择界制息及信息处理设施的区域，应确定其安全周界对其实施保物理进入控制控制安全区域进入应经过授权，未经授权的非法访问会对信息安全构成威胁。《安全区域控制办公室、房间及设施的安全控制对安全区域内的综合管理部、房间和设施应有特殊的安全要求。《安全区域控制防范外部和环境威胁控制加强我司物理安全控制，防范火灾、水灾、地震，以及其它形式的自然或人为《安全区域控制在安全区域工作控制在安全区域工作的人员只有严格遵守安全规则，才能保证安全区域安全。《安全区域控制《相关方服务管理程序》送货和装卸区控制可能访问到的地点进行控制，防止外来人员直接进入重要安全区域是必要的。《安全区域控制设备安全目标防止资产的遗失、损坏、偷窃等导致的设备安置及保护控制防止火灾、吸烟、油《信息处理设施XXX有限公司页码文件编号标准条款号标题目标控制是否选择支持设施控制对设备加以保护使其免于电力中断或者其它支持设施故障而导致的中断的《信息处理设施线缆安全控制通信电缆、光缆需要进行正常的维护，以防止侦听和损坏。《网络安全管理设备维护控制设备保持良好的运行状态是保持信息的完整性及可用性的基础。《信息处理设施《计算机管理规定》资产转移控制设备、信息、软件未经授权之前，不应将设备、信息或软件带《信息处理设施场外设备和资产安全控制我司有笔记本移动公场所应进行控制，授权的访问等危害的发生。《信息处理设施设备报废或重用控制对我司储存有关敏感信息的设备，如服务器、硬盘，对其处置和再利用应将其信息清除。《信息处理设施无人值守的设备控制确保无人值守设备得到足够的保护。桌面清空及清屏策略控制不实行清除桌面或清除屏幕策略，会受到资产丢失、失窃或XXX有限公司页码文件编号标准条款号标题标/控制是否选择遭到非法访问的威A.12操作安全标准条款号标题目标控制是否选择操作程序及职责目标确保信息处理设备的正确和安全使用。1文件化操作程序控制作业程序应该文件化，并在需要时可用。2变更管理控制未加以控制的信息处理设备和系统更改会造成系统故障和安全故障。《信息处理设施3容量管理控制为避免因系统容量不足导致系统故障，监控容量需求并规划将来容量是必须的。《信息安全监控4开发、测试与运行环境的分离控制我司设有研发部门，应分离开发、测试和运营设施，以降低未授权访问或对操作系统变更的风险《软件开发安全防范恶意软件目标确保对信息和信息处理设施的保护，防止恶意软件。1控制恶意软件控制恶意软件的威胁是客观存在的，应实施恶意代码的监测、预防和恢复控制，以及适当的用户意识培训的程《防病毒管理规XXX有限公司页码文件编号标准条款号目标控制是否选择备份目标防止数据丢失1数据备份控制对重要信息和软件定期备份是必须的，以防止信息和软件的丢失和不可用，及支持业务可日志记录和监控目标记录事件和生成的证据1事件日志控制为访问监测提供帮助，建立事件日志(审核日志)是必须2日志信息保护控制日志记录设施以及日志信息应该被保护，防止被篡改和未经授权的访问。3管理员和操作者日志控制应根据需要，记录系统管理员和系统4时钟同步控制实施时钟同步，是生产、经营与获取客观证据的需要。运营中软件控制目标1运营系统的软件安装控制应建立程序对运营中的系统的软件安技术漏洞管理目标1管理技术薄弱点控制及时获得正在使用信息系统的技术薄XXX有限公司文件名称页码文件编号标准条款号标题目标控制是否选择弱点的相关信息，应评估对这些薄弱点的暴露程度，并采取适当的方法处理相关风险。2限制软件安装控制应建立和实施用户软件安装规则。信息系统审计的考虑因素目标1信息系统审核控制控制应谨慎策划对系统运行验证所涉及的审核要求和活动并获得许可，以最小化中断业务过《内部审核控制标准条款号标题目标控制是否选择网络安全管理目标确保网络及信息处理设施中信息的安全。网络控制控制和控制，以保护系统和应用程序的信息。《网络安全管理网络服务安全控制应识别所有网络服务的安全机制、服务等级和管理要求，并包括在网络服务协议中，无论这种服务《网络安全管理XXX有限公司文件名称页码文件编号标准条款号标/制是否选择相关文件是由内部提供的还是外包的。网络隔离控制应在网络中按组隔离信息服务、用户和《网络安全管理信息交换目标确保信息在组织内部或与外部组织之间传输的安全。信息交换策略和程序控制应建立正式的传输策略、程序和控制，以保护通过通讯设施传输的所有类型《信息交换管理信息交换协议控制建立组织和外部各方之间的业务信息的安全传输协议。《信息交换管理3电子消息控制应适当保护电子消息的信息。《信息交换管理程序》保密或不披露协议控制应制定并定期评审组织的信息安全保密协议或不披露协议，该协议应反映织对信息保护的要求。《保密协议》《相关方管理程A.14系统的获取、开发及维护标准条款号标题/目标控制是否选择信息系统安全需求目标确保信息安全成为信息系统整个生命周期的组成部分，包括通过公共网络提供服务的信息系统的要求。信息安全需求分析和规范控制新建信息系统或增强现有信息系统的需求中应包括信息安全相关的要求。公共网络应控应保护流经公共网XXX有限公司页码文件编号标准条款号标题目标控制是否选择用服务的安全制络的应用服务信息，以防止欺诈、合同争议、未授权的泄漏保护应用服务控制应保护应用服务传输中的信息，以防止不完整的传输、路由错误、未授权的消息修改、未经授权的泄漏、未授权的信息复《网络安全管理开发和支持过程的安全目标确保信息系统开发生命周期中设计和实施信息安全。开发的安全策略控制应对软件开发及系统建设的安全需求《软件开发安全系统变更控制程序控制为防止未授权或不充分的更改，导致系统故障与中断，需要实施严格更改控制。操作平台变更后的技术评审控制操作系统的不充分更改对应用系统会造成严重的影响。软件包变更限制控制不鼓励对软件包进行变更，对必要的更改需严格控制。安全系统工程原则控制应建立、文件化、维护和应用安全系统工程原则，并应用于任何信息系统工程。《软件开发安全开发环境安全控制在整个系统开发生命周期的系统开发和集成工作中，应建立并妥善保障开发环境的安全。《软件开发安全外包开发控制公司暂无软件外包过程。XXX有限公司页码文件编号标准条款号标题控制是否选择系统安全测试控制在开发过程中，应进行安全性的测试。系统验收测试控制的验收测试程序和相关准则。测试数据目标测试数据的保护控制应谨慎选择测试数据，并加以保护和控A.15供应商关系标准条款号标题目标/控制是否选择供应商关系的信息安全目标确保组织被供应商访问的信息的安全。1供应商关系的信息安全策略控制为降低供应商使用组织的资产相关的风险，应与供应商签署安全要求的文件协议。《保密协议》2在供应商协议中强调安全控制与每个供应商签订的协议中应覆盖所有相关的安全要求。如可能涉及对组织的IT基础设施组件、信息的访问、处理、存储、沟通。《保密协议》3信息和通信技术的供应链控制供应商协议应包括信息、通信技术服务和产品供应链的相关信息安全风《保密协议》XXX有限公司文件名称页码文件编号标准条款号标题目标控制是否选择供应商服务交付管理目标保持符合供应商协议的信息安全和服1供应商服务的监督和评审控制组织应定期监督、评审和审核供应商的服务交付。《相关方服务管2供应商服务的变更管理控制应管理供应商服务的变更，包括保持和改进现有信息安全策略、程序和控制措施，考虑对业务信息、系统、过程的关键性和风险的再评估。《相关方服务管标准条款号标题目标控制是否选择信息安全事件的管理和改进目标确保网络及信息处理设施中信息的安全。1职责和程序控制应建立管理职责和程序，以快速、有效和有序的响应信息安全事件。2报告信息安全事态控制应通过适当的管理途径尽快报告信息安全事态。3报告信息安全弱点控制应要求使用组织信息系统和服务的员工和承包商注意并XXX有限公司页码文件编号标准条款号标题目标控制是否选择报告系统或服务中任何已发现或疑似的信息安全弱点。控制程序》4评估和决策信息安全事件控制应评估信息安全事件，以决定其是否被认定为信息安全事故。管理程序》5响应信息安全事故控制应按照文件化程序响应信息安全事管理程序》6从信息安全事故中学习控制分析和解决信息安全事故获得的知识应用来减少未来事故的可能性或影管理程序》7收集证据控制采集和保存可以作管理程序》标准条款号标题标/控制是否选择信息安全的连续性目标信息安全连续性应嵌入到组织的业务连续性管理体系。1规划信息安全的连续性控制组织应确定其需求，以保证在不利情况下信息安全管理的安全和连续性，如在危机或灾难时。《业务持续性管2实施信息安全的连续性控制组织应建立、文件化、实施、维护程序和控制过程，以《业务持续性管XXX有限公司文件名称页码文件编号标准条款号标题目标/控制是否选择确保处理不利的情况过程中所需的信息安全连续性水理程序》3验证，评审和评估信息安全的连续性控制组织应定期验证已建立并实施的信息安全连续性控制，以确保其有效并可在灾害情况下奏《业务持续性管理程序》冗余目标1信息处理设施的可用性控制信息处理设施应具备足够的冗余以满足可用性要求。理程序》标准条款号标题是否选择法律和合同规定的符合性目标1识别适用的法律法规和合同要求控制应清楚的识别所有相关法律、法规与合同的要求及组织满足要求的方法并形成文件，并针对组织及每个信息系统进行更新。《法律法规获取识别控制程序》2知识产权控制应实施适当的程序，以确保对知识产权软件产品的使用符合相关的法律、法规和合同要《计算机管理规XXX有限公司页码文件编号标准条款号标题目标控制是否选择3保护记录控制应按照法律法规、合同和业务要求，保护记录免受损坏、破坏、未授权访问和未授权发布，或伪造篡改。《信息安全事件4个人信息和隐私的保护控制个人身份信息和隐私的保护应满足相关法律法规的要5加密控制法规控制加密控制的使用应遵循相关的协议、法律法规。《用户访问控制信息安全评审目标确保依照组织的策略和程序实施信息安全。1信息安全的独立评审控制应定期或发生重大变化时，对组织的信息安全管理方法(如，信息安全控制目标、控制措施、策略、过程和程序)进行独立评审。《内部审核控制2符合安全策略和标准控制管理层应定期评审管辖范围内的信息处理过程符合安全策略、标准及其他安全要求。《管理评审控制3技术符合性评审控制应定期评审信息系统与组织的信息安全策略、标准的符合程度。《技术符合性管XXX有限公司页码文件编号在ISMS覆盖范围内对信息安全现行状况进行系统风险评估，形成评估报告，描述风险等级，识别和评价供处理风险的可选措施，选择控制目标和控制措施处理风险。2.0适用范围3.0定义(无)4.0职责4.1各部门负责部门内部资产的识别，确定资产价值。4.2信息安全部负责风险评估和制订控制措施。5.0流程图XXX有限公司页码文件编号XXX有限公司文件名称页码文件编号信息安全部信息安全部信息安全部资产识别风险评估准备威胁识别风险计算脆弱性识别信息资产识别表重要资产清单威胁/脆弱性因素表风险评估表是管理层风险是否接受保持已有的安全措施否信息安全部选择适当的安全措施并评估残余风险残余风险清单否管理层是信息安全部安全措施实施计划XXX有限公司页码文件编号6.1.1各部门每年按照管理者代表的要求负责部门内部资产的识别，确定资产价值。6.1.2资产分类根据资产的表现形式，可将资产分为数据、软件、硬件、文档、服务、人员等类。6.1.3资产(A)赋值析，选择对资产机密性、完整性和可用性最为重要(分值最高)的一1)机密性赋值根据资产在机密性上的不同要求，将其分为五个不同的等级，分别对应资产在机密性上的应达成的不同程度或者机密性缺失时对整个赋值标识定义5极高包含组织最重要的秘密，关系未来发展的前途命运，对组织根本利益有着决定性影响，如果泄漏会造成灾难性的损害4高包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害3中等包含组织的一般性秘密，其泄露会使组织的安全和利益受到损害2低包含仅能在组织内部或在组织某一部门内部公开的信息，向外扩散有可能对组织的利益造成损害1可忽略包含可对社会公开的信息，公用的信息处理设备和系统资源等2)完整性赋值根据资产在完整性上的不同要求，将其分为五个不同的等级，分别XXX有限公司文件名称页码文件编号对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组赋值标识定义5极高完整性价值非常关键，未经授权的修改或破坏会对组织造成重大的或无法接受的影响，对业务冲击重大，并可能造成严重的业务中断，难以弥补4高完整性价值较高，未经授权的修改或破坏会对组织造成重大影响，对业务冲击严重，比较难以弥补3中等完整性价值中等，未经授权的修改或破坏会对组织造成影响，对业务冲击明显，但可以弥补2低完整性价值较低，未经授权的修改或破坏会对组织造成轻微影响，可以忍受，对业务冲击轻微，容易弥补1可忽略完整性价值非常低，未经授权的修改或破坏对组织造成的影响可以忽略，对业务冲击可以忽略3)可用性赋值对应资产在可用性上的达成的不同程度。赋值标识定义5极高可用性价值非常高，合法使用者对信息及信息系统的4高可用性价值较高，合法使用者对信息及信息系统的可3中等可用性价值中等，合法使用者对信息及信息系统的可2低可用性价值较低，合法使用者对信息及信息系统的可1可忽略可用性价值可以忽略，合法使用者对信息及信息系统的可用度在正常工作时间低于25%3分以上为重要资产，重要信息资产由信息安全部确立清单6.2威胁识别6.2.1威胁分类XXX有限公司文件名称页码文件编号对重要资产应由ISMS小组识别其面临的威胁。针对威胁来源，根据其表现形式将威胁分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、黑客攻击技术、物理攻击、泄密、篡改和抵赖等。6.2.2威胁(T)赋值评估者应根据经验和(或)有关的统计数据来判断威胁出现的频率。威胁频率等级划分为五级，分别代表威胁出现的频率的高低。等级数值越大，威胁出现的频率越高。威胁赋值见下表。等级标识定义5很高威胁出现的频率很高，在大多数情况下几乎不可避免或者可以证实经常发生过(每天)4高威胁出现的频率较高，在大多数情况下很有可能会发生或者可以证实多次发生过(每周)3威胁出现的频率中等，在某种情况下可能会发生或被证实曾经发生过(每月、曾经发生过)2低威胁出现的频率较小，一般不太可能发生，也没有被证实发生过(每年)1很低威胁几乎不可能发生，仅可能在非常罕见和例外的情况下发生(特殊情况)6.3脆弱性识别6.3.1脆弱性识别内容脆弱性识别主要从技术和管理两个方面进行，技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理和组织管理两方面，前者与具体技术活动相关，后者6.3.2脆弱性(V)严重程度赋值脆弱性严重程度的等级划分为五级，分别代表资产脆弱性严重程度的高低。等级数值越大，脆弱性严重程度越高。脆弱性严重程度赋值见下表等级标识定义5很高如果被威胁利用，将对资产造成完全损害(90%以上)XXX有限公司页码文件编号4高如果被威胁利用，将对资产造成重大损害(70%)3中如果被威胁利用，将对资产造成一般损害(30%)2低如果被威胁利用，将对资产造成较小损害(10%)1很低如果被威胁利用，将对资产造成的损害可以忽略(10%以下)6.4已有安全措施的确认ISMS小组应对已采取的安全措施的有效性进行确认，对有效的安全措施继续保持，以避免不必要的工作和费用，防止安全措施的重复实施。对于确认为不适当的安全措施应核实是否应被取消，或者用更合适的安全措施替6.5风险分析完成了资产识别、威胁识别、脆弱性识别，以及对已有安全措施确认后，ISMS小组采用矩阵法确定威胁利用脆弱性导致安全事件发生的可能性，考虑安全事件一旦发生其所作用的资产的重要性及脆弱性的严重程度判断安全事件造成的损失对组织的影响，即安全风险。6.5.1安全事件发生的可能性等级P=(T*V)°.5,6.5.2安全事件发生后的损失等级L=(A*V°.5,6.5.3风险值R=(L*P),风险等级风险等级123456.5.4风险管理策略完全的消除风险是不可能和不实际的。公司需要有效和经济的运转，因此必须根据安全事件的可能性和对业务的影响来平衡费用、时间、安全尺度几个方面的问题。公司在考虑接受残余风险时的标准为只接受中或低范围内的风险；但是对于必须投入很高的费用才能将残余风险降为中或低的情况，则分阶段实施控制。风险值越高，安全事件发生的可能性就越高，安全事件对该资产以及业务的影响也就越大，风险管理策略有以下：●接受风险：接受潜在的风险并继续运行信息系统，不对风XXX有限公司文件名称页码文件编号●降低风险：通过实现安全措施来降低风险，从而将脆弱性被威胁源利用后可能带来的不利影响最小化(如使用防火墙、漏洞扫描系统等安全产品)。放弃系统某项功能或关闭系统)来规避风险。风险等级3(含)以上为不可接受风险，3(不含)以下为可接受风险。如果是可接受风险，可保持已有的安全措施；如果是不可接受风险，则需要采取安全措施以降低、控制风险。安全措施的选择应兼顾管理与技术两个方面，可以参照信息安全的6.6确定控制目标、控制措施和对策基于在风险评估结果报告中提出的风险级别，ISMS小组对风险处理的工作进行优先级排序。高等级(例如被定义为“非常高”或“高”风险级的风险)的风险项应该最优先处理。●评估所建议的安全措施●实施成本效益分析●选择安全措施●制定安全措施的实现计划●实现所选择的安全措施6.7残余风险的监视与处理风险处理的最后过程中，ISMS小组应列举出信息系统中所有残余风险的清单。在信息系统的运行中，应密切监视这些残余风险的变化，并及时处每年年初评估信息系统安全风险时，对残余风险和已确定的可接受的风险级别进行评审时，应考虑以下方面的变化：●组织结构；●业务目标和过程；XXX有限公司页码文件编号●已实施控制措施的有效性；6.8信息系统运行的批准ISMS小组考察风险处理的结果，判断残余风险是否处在可接受的水平之内。基于这一判断，管理层将做出决策，决定是否允许信息系统运行。如果信息系统的残余风险不可接受，而现实情况又要求系统必须投入运行，且当前没有其它资源能胜任单位的使命。这时可以临时批准信息系统在这种情况下，必须由信息系统的主管者决定临时运行的时间段，制定出在此期间的应急预案以及继续处理风险的措施。在临时运行的时间段结束后，应重新评估残余风险的可接受度。如果残余风险仍然不可接受，则一般不应再批准信息系统临时运行。7.0相关文件7.1《GB/T20984-2007信息安全风险评估规范》7.2《信息资产管理制度》8.0记录8.1《信息资产识别表》8.2《重要资产清单》8.3《威胁/脆弱性因素表》8.4《风险评估表》8.5《安全措施实施计划》8.6《残余风险清单》XXX有限公司文件名称页码文件编号通过验证信息安全管理体系是否符合标准和策划安排的要求，是否得到有效的保持、实施，确保管理体系的方针目标实现并持续改进。1、管理者代表负责批准内审计划、内审报告，并负责组织审核工作，任命审核2、内审组长编制内审计划，并负责审核的具体实施以及报告内审结果。3、各单位负责配合内部审核的实施，并对审核不符合情况进行整改。1、内审策划1)根据公司信息安全的实际运行状况，并根据审核对象重要程度、结合以往审核的结果，整体策划管理体系内部审核的方案。2)根据需要，审核可覆盖体系全部要求和单位，也可以专门针对某几项要求或单位进行重点审核，各单位也可根据各自的实际情况，分别组织审核。3)公司每年至少组织一次内审，每年的审核必须覆盖管理体系的全部单位和4)出现以下情况时由管理者代表决定是否增加审核次数：●组织机构、管理体系发生重大变化。XXX有限公司页码文件编号●出现重大信息安全事故。●法律、法规及其他外部要求的变更。●其他认为必要时。2、审核前的准备1)管理者代表负责组成审核组、任命内审组长。内审组长负责具体策划审核安排，并编制《审核计划》,报管理者代表批准。实施计划应明确：●审核目的、范围、时间、依据。●审核组成员及分工安排，审核员应与受审部门无直接责任关系。●受审核部门及审核要点，预定时间安排。●审核中的注意事项。2)组长应组织审核组编写《内审检查表》,明确审核的内容、方法。3)《审核计划》应于内审开始前发放至受审部门，受审部门对内审安排如有异议，应及时通知内审组长。4)内部审核员应经专业机构培训合格，经管理者代表批准资格。3、内审的实施1)内审开始，应由内审组长主持召开首次会议，领导层、内审组成员及各受审核单位负责人参加并签到。2)内审组应按照《审核计划》的安排实施内审。审核员应根据《内审检查XXX有限公司文件名称页码文件编号3)审核员应在检查表中准确记录现场审核发现，尤其是体系运行不符合和4)审核员应保持公正、客观的态度，如实地反馈审核的情况。5)现场审核后，审核组长应组织审核组综合分析审核检查结果，综合评价6)审核组长应主持召开末次会议，由领导层、内审组成员及各受审单位负7)审核结束，审核组长编制《审核报告》,报管理者代表批准。审核报告内XXX有限公司页码文件编号施，报告措施的效果，经审核员对实施结果跟踪验证，确保不符合不再发生，同时报告验证结果，具体执行《纠正预防措施控制程序》要求。1、《纠正预防措施控制程序》五、相关文件及记录审核计划内审检查表不合格报告首(末)次会议签到表XXX有限公司文件名称页码文件编号适用于本公司各部门对恶意软件(包括软件的隐蔽通道)的控制管理工作。为防止各类恶意软件(包括软件的隐蔽通道)造成破坏，确保公司的软件和3职责3.1XX部是全公司恶意软件管理控制工作的主管部门，负责全公司防病毒软件的安装及病毒库的更新管理，为各部门信息处理设施的防范恶意软件提供技4工作程序所谓恶意软件，是指编制或者在计算机程序中插入的破坏计算机功能、毁XXX有限公司页码文件编号4.1.1在对外互联的网络间，IT部安装防火墙、入侵检测系统、使用加密程由本部门PC管理员或指定专人负责安装防病毒软件，并周期性(如每周)对病4.1.3XX部负责设置企业版防病毒服务器，每日通过互联网自动进行病毒库4.1.5特殊情况，如某种新恶性病毒大规模爆发，X现病毒的电子媒体应禁用，待病毒清除后方可使用，对于不能清除的病毒，应4.1.7各部门用户应在计算机或其它电子信息处理设施的启动后检查是否已XXX有限公司文件名称页码文件编号4.1.8各部门在使用电子邮件或下载软件时应启动病毒实时监测系统的实时防护，以便对电子邮件进行病毒检查。4.1.9XX部需加强对特洛伊木马的探测与防治。通过以下措施予以控制：a)安装反病毒软件；c)对软件更改进行控制；d)对软件开发过程进行控制；e)其他必要措施。4.2XX部组织各部门进行有关防病毒及其他后门程序等恶意软件预防工作的培训，使各部门明确病毒及其他恶意软件的管理程序及责任。4.3预防恶意软件的通用要求保护不受恶意软件攻击的基础是安全意识，适当的系统权限。所有IT用户应养成良好的防范恶意软件意识并遵守以下规定：a)按照本程序规定的要求使用防病毒软件；b)禁止使用来历不明的软件；c)禁止微机在未安装有效防病毒软件的情况下从互联网上下载软件；e)使用软盘前应进行病毒检查。XXX有限公司文件名称页码文件编号4.4对重要系统的防范恶意软件的特殊要求4.4.1XX部应与防火墙、入侵检