ISO 27040-2015 信息技术安全技术存储安全程序文件一整套

程序文件受控状态：深圳市XX数字科技有限公司发布发布日期：2023-4-3实施日期：编写部门刘海燕变更记录变更说明审核编写部门刘海燕.人力资源管理程序文件控制程序记录控制程序存储安全管理程序安全风险评估管理程序供应商管理程序管理评审程序纠正措施控制程序内部审核管理程序设备管理程序可移动介质管理程序编写部门刘海燕法律法规与符合性评估程序数据操作管理程序网络设备安全配置管理程序用户访问控制程序重要信息备份管理程序资产密级管理程序恶意软件管理程序数据清理管理程序存储安全设计管理程序业务持续性管理程序信息分类管理程序信息安全奖惩管理程序信息安全事件管理程序信息安全目标测量控制程序的规定要求，对承担存储安全管理体系职责的人编写部门刘海燕3.职责3.1综合行政部3.2其他部门编写部门刘海燕3.3总经理4.任用前4.1安全角色与职责4.1.1综合行政部负责组织编制和保存《岗位说明书》,对本公司内每个职位的《岗位说明书》规定人员的角色4.1.2综合行政部对员工下发《岗位说明书》,保证员工对责任说明的理解和接受。这个工作必须在员工上岗前4.1.3员工的职责发生变化时，综合行政部要负责立即更新员工的《岗位说明书》。综合行政部应负责保证更新的《岗位说明书》确定的传达给员工。这一工作必须在员工职责发生变化起1周内完成。4.2人员选拔如果该职位是涉密职位，应对应聘者进行背景调查。背景调查时应考虑：个人和职业推荐信，身份，学历和/或

检查申请人的简历是否完整及准确；

确认其声明的学历及职业资格是否真实；编写部门刘海燕

独立的身份检查(身份证、护照或其它文件)。4.2.3各部门负责人可根据本部门对上岗员工的特殊要求，提出必要的附加调查内容，并反馈给综合行政部，以4.3任用条款和条件5.1存储安全教育与培训5.1.1综合行政部应持续对新老员工进行存储安全意识与技能方面的培训，对员工的培训需要安排存储安全方面1)本公司存储安全方针、策略和安全控制措施；2)本公司管理的所有系统和服务的安全设计和操作；3)与员工岗位日常工作相关的安全问题与措施；4)存储安全奖惩规定5)其他与存储安全相关的知识与技能。6)对于课堂培训与自学的内容可根据需要，安排进行必要的考核，以评价员工的学习效果，同时也作为培5.1.2存储安全小组及各部门的安全管理员可在不同的层面上对员工进行安全意识与技能的培训，并通知综合行编写部门刘海燕5.2培训计划的制定与审批5.2.1各部门向综合行政部提出培训需求申请；新入职员工培训由综合行政部发出入职培训通知，具体实施部门5.2.4培训计划的内容包括培训的目的，培训的对象、内容、需求及要求，培训的形式，培训的时间安排。5.2.5培训结束后，对接收培训人员进行培训考核，填写培训考核记5.2.6培训考核后，综合行政部进行培训质量评估，参加培训人员每个人填写培训质量评估表。5.3培训的目的2)违反相关要求所造成的后果；5)公司鼓励员工参与信息安全管理，为实现存储安全目标做出贡献。5.4培训的对象及内容编写部门刘海燕5.4.2新员工1)公司基础教育：包括公司简介、公司相关制度、存储安全方针和存储安全目标、存储安全意识、相关法律法规、存储安全管理体系标准基础知识等的2)岗位技能培训：采取一帮一的方式，员工入职后，各部门负责人指定专人指导新员工进行岗前的学习，5.4.3在岗人员：按培训计划为在岗员工安排各类培训，包括技能类、素质类和5.5培训的形式5.5.1培训：由公司内、外部有专长的人员就某一专题进行讲授5.5.2外部培训：由公司聘请外部专业人员到公司培训或公司员工报名去外部参5.6培训记录5.6.1每次培训各相关部门应记录培训人员、时间、地点、教师、内容等，培训后将有关记录、试卷或考核记录5.7纪律处理6.任用终止或变更编写部门刘海燕6.1终止职责6.1.1综合行政部门应清晰规定和分配任用终止或变更的责任。终止职责应包括必要的安全需求和法律职责，必6.1.2规定职责和义务在任用终止后仍然有效的内容，应当在任用前就包含在员6.2资产归还6.3撤销访问权6.4后期管理6.4.1对于担任重要岗位的员工辞职、解聘，公司应在一定范围内发布相关解聘信息。6.4.2有关部门应及时分析员工离职原因、认清员工离职前兆，避免核心人员流失7.相关记录《应聘人员背景调查表》《员工保密协议书》编写部门刘海燕1.0目的2.0范围3.0工作职责3.1总经理负责手册、程序文件的批准及颁布，并负责内部管理文件的批准。3.2存储安全小组组长负责存储安全管理手册、程序文件及公司管理文件的审核。3.3存储安全小组负责存储安全管理手册及程序文件的编制3.4各部门负责本部门存储安全管理体系程序文件、管理文件、作业文件的编制。3.5综合行政部负责复印、发放、更改及管理，并负责公司文件、外来文件的保管工作。4.0程序4.1文件的构成编写部门刘海燕编写部门刘海燕4.2存储安全管理体系文件的编号———代表一级文件代表信息安全管理体系深圳市启企数字科技有限公司4.2.2存储安全管理体系程序文件的编号方法如下：X——代表年号 代表程序文件—代表信息安全管理体系深圳市启企数字科技有限公司—代表年号代表程序文件编写部门刘海燕4.2.4存储安全记录的编号方法如下： 代表顺序号——代表信息安全记录4.2.5文件的版本号说明：4.3文件的编写、审核、批准a)存储安全管理体系手册、程序文件由存储安全小组编写，管代审核，总经理批准发布；b)各部门作业文件由各部门负责人组织编写、汇总，由存储安全小组组长审核批准。4.4文件的发放a)受控的所有文件的发放由综合行政部建立<文件发放、回收、借阅、销毁记录表>,包括记编写部门刘海燕4.5文件的受控状态4.6文件的更改a)存储安全管理手册和程序文件由存储安全小组组织更改，填写<文件更改申请单>,经存储b)其他文件的更改由使用部门填写<文件更改申请单>,经原审批部门审批；再由各相应部门c)具体更改方式由综合行政部按<文件发放、回收、d)所有被换页的原文件必须由相应主管部门收回，以确保有效文件的唯一性。4.7外来文件的控制b)综合行政部负责收集到有关国家、行业或国际标准的最新版本，加盖受控印章，分发到相c)外来文件的发放方式按4.4执行。4.8文件的作废与销毁a)所有失效或作废文件由相关部门及时从所有发放或使用场所撤出，进行登记，确保防止作b)由于某种原因需保留的任何已作废的文件，都应进行适当的标识；c)对要销毁的作废文件，由相关部门填写<文件发放、回收、借阅、销毁记录表>,经存储安编写部门刘海燕4.9每年由存储安全小组组织对现有存储安全管理体系文件进行评审，各部行适时评审，必要时予以修改，具体按4.6的有关规定实施。5.0支持性文件6.0记录清单《文件更改申请单》《文件发放、回收记录表》《文件借阅记录表1.0目的2.0范围3.0工作职责3.1综合行政部负责存储安全管理体系中的所有存储安全记录的归口管理。3.2各部门负责本部门存储安全记录的编制、填写、传递和保管。4.0程序4.1记录的标识编号4.2记录清单的编制a)由综合行政部负责编制《记录清单》,规定记录的保存期限；b)《记录清单》制订后报存储安全小组组长(存储安全小组组长)批准附于本程序之后。4.3记录的填写编写部门刘海燕4.3.1记录填写要及时、真实、内容完整、字迹清晰，不得随意涂改，如因某种因素不能填写的项目，应将该项用单杠划去，各相关栏目负责人签名不允许空白。4.3.2如因笔误或计算错误要修改原记录，应采用单杠划去原记录，在其上方写上更改后的记录，加盖或签上更改人的印章或姓名及日期。各部门必须把所有记录分类、依日期顺序整理好，存放于通风、干燥的地方，所有的记录保持清洁，字迹清晰，各部门对本部门填写的有关的记录按月移交综合行政部保存，综合行政部按规定的期限保存记录。综合行政部对保存的记录每年进行一次检查，对于超过保存期限的记录参见《文件控制程序》4.8执行。《文件控制程序》《记录清单》1目的本文件旨确保所有存储信息的可用性和性能、更高的数据保护和安全性、集中的审核以及满足法规遵从性要求。编写部门刘海燕3.2各责任部门：负责本部门各岗位依据信息存储安全要求的实施。4相关文件《ISO27040-2015信息技术.安全技术.存储技术标准》5定义6程序6.1存储设备管理1)综合行政部对所有跟存储有关的设备包括电脑硬盘，U盘，移动硬盘，笔记本电脑等进行2)所有可移动存储设备必须进行物理上保护：在不使用后必须存放在转移存储柜并上锁保存编写部门刘海燕6.2认证和授权：A、所有用户应具有唯一标识符(用户ID),仅供个人使用；>强身份验证；>多因素身份验证，例如生物测定数据(如指纹验证、签名验证)和硬件令牌(如智能卡)的使用。6.2.2授权●安全管理员：具有查看和修改权限，以建立和管理帐户、创建和关联角色/权限、审核日志配置和内容(审核日志事件项永远不能更改)、与IT基础结构建立信任关系、管理证编写部门刘海燕●安全审计员：此角色具有允许权限审查、安全参数和配置验证以及审核日志检查的查看权●存储审核员：类似于操作员的角色，具有允许验证存储参数和配置以及检查运行状况/故6.2保护管理接口1)存储系统的物理接口包括：串行端口(如RS-232、DB9、DB25等)、局域网、调制解调器，用于数据路径的技术(如光纤通道)等C、将用于管理的LAN接口与其他LAN通信量使用物理形式隔离，但至少应使用逻辑隔离(如对简单网络管理协议(SNMP)的支持以及处理带内管理(即通过数据路径)的基于服务器的代理。编写部门刘海燕A、使用防火墙和TCP包装器将对管理网络的访问限制为授权的系统和协议；B、使用FC-SP-2AUTH-A对执行带内管理的实体进行身份验证，D、使用具有适当安全控制的ICT基础设施；E、使用适当的特权用户控件，包括身份验证、授权和安全审核/监视；F、确保操作系统和应用程序是最新的，并且对攻击有足够的防御能力。3)远程管理存储系统时，应使用以下附加安全措施A、对所有远程访问使用安全通道(虚拟专用网或VPN、TLS、安全外壳或SSH、超文本传输协议安全或HTTPS),采用强认证或多因素认证；B、将权限限制在所需的最小权限；6.3安全审计和监控合规法规和合同条款通常包括监测和报告要求，从存储安全的角度来看，事件日志记录和系统记帐是帮助解决安全审计和监控需求的关键功能。《安全审计、会计和监控安全策略》已明确要求如何实施安全审计和监控活动。6.4系统强化所有操作系统、虚拟机监控程序和有关于存储系统的应用程序都必须定期进行系统强化。具体实施策略参考《系统强化安全策略》编写部门刘海燕《存储设备、介质清单》编写部门刘海燕存储安全小组成员担任公司风险评估活动。存储安全小组每年至少一次，或当体系、组织、业务、技术、环境、客户、主要供应商、法律法规等影响企业的重大事项发生变更、重大事故事件发生后，负责编制存储安全风险评估计划，确认评估结果，形成《存储安全风险评估报告》。各部门的存储安全员负责本部门使用或管理的存储资产的识别和风险评估，并负责本部门所涉及的存储资产的具体安全控制工作。4.3.1存储安全小组组长：负责审核各部门的存储资产识别。4.3.2存储安全小组：负责汇总、校对全公司的存储资产。4.3.3存储安全小组：负责风险评估的策划。4.3.4存储安全小组：负责组织进行第一次评估与定期的再评估。5程序编写部门5.1风险评估前准备5.2存储资产的识别存储资产1)数据：数据库和数据文件、系统文件、用户手册、培训资料、操作与维护程序、知识产权、业务持续性计划、应急安排等。2)文件：合同、公司文件、人事记录、财务记录、采购文件、发票等。3)软件：应用软件、系统软件、开发工具和实用程序等。4)硬件：计算机、服务器、路由器、集线器、防火墙、通讯设备、其它技术设备(供电设备、空调设备)、办公场所等。5)人员：员工、客户、合同工等。评估程序本评估应考虑：范围、目的、时间、效果、组织文化、人员素质以及具体开展的程度等因素来确定，使之能够与组织的环境和安全要求相适应。5.2.2资产属性赋值识别资产并判断资产重要性，建立《存储资产清单》。资产重要性赋值应考虑资产的使命、资产本身的价值、资产对于应用系统的重要程度、业务系统对于资产的依赖程度、部署位置及其影响范围等因素评估资产价值。在评估中，采用主资产+附属资产的方法进行资产赋值，即：硬件设备+安装软件+承载数据/业务；人员+业务系统权限+离职影响，对不同类型资产考虑其机密性、完整性和可用性安全要求，通过对资产三个安全要求的判定，取三者之中最大值，作为资产的最终重要程度。编写部门刘海燕保密性赋值：12345完整性赋值：12345编写部门刘海燕可用性赋值：12时间达到25%以上，或系统允许一次中断时间小于60分钟。3时间达到70%以上，或系统允许一次中断时间小于30分钟。4时间达到90%以上，或系统允许一次中断时间小于10分钟。5工作时间达到99%以上，或系统不允许中断。5.3存储资产风险评估/残余风险评价的过程1.威胁识别威胁识别是指通过统计数据和经验判断来确定资产所面临威胁的过程，需要根据资产运行环境来确定所面临的威胁来源。编写部门刘海燕2.脆弱性识别属性(机密性、可用性、完整性)的损害及影响程度评价对应的影响级别。如表5-1和5-1所表5-1影响分析的定义(机密性和完整性)5资产严重或完全损害，例如，从外部可接触，并影响业务利润或成败4严重但对资产造成不完全损害，例如，影响业务利润或成败，可从外部接触到。3中等损坏或损失，例如影响内部业务实施，导致运作成本增加或利润减少编写部门刘海燕2低损害或损失，例如，影响内部业务实行，无法评定成本的增加1资产有轻微更改或无更改表5-2影响分析的定义(可用性)5停工实质性支持成本或业务承诺被取消4工作中断支持成本或业务承诺延迟可量化增长3工作延迟定的业务影响2工作受干扰无可评定的影响，支持或基础结构成本有少量增加1由正常业务操作吸收对支持成本/工作效率或业务承诺无可评定的影响4.现有存储安全措施识别编写部门刘海燕6.可能性分析实可能性，可能性级别判断准则如5-3所示。表5-3可能性赋值准则考虑社会上和其它组织的经验，结合公司实际情况，已实施控制措施的有效性，威胁可频繁利用脆弱性导致安全事件的发生，如每周发生考虑社会上和其它组织的经验，结合公司实际情况，已实施控制措施的有效性，威胁可经常利用脆弱性导致安全事件的发生，如每月发生考虑社会上和其它组织的经验，结合公司实际情况，已实施控制措施的有效性，威胁可偶尔利用脆弱性导致安全事件的发生，如每年发生7.风险计算编写部门刘海燕风险级别=资产赋值*组织影响级别*可能性级别8.风险评价公司将75个风险级别，重新映射为高、中、低3个风险度，以更有助于普通员工感性的理解。风险大小为48(含)以上时表示为高风险，18~48表示为中风险，18(不含)以下表示低，公风险大小高同时必须编制应急计划。中低如果被评估为低风险，可以接受，可需要持续观察。9.风险接受等级下表表示：风险级别风险大小风险接受准则A不可接受的风险。BC不需要评审即可接受的风险编写部门刘海燕10.编制风险评估报告1)风险评估起止日期2)风险评估工作组组成3)风险评估范围4)资产、风险和风险值排序表11.后续活动1)针对可接受级别之上的风险，确定风险处理选项：c)风险规避：采取措施避免风险的发生；d)风险转移：将相关业务风险转移到其他方。2)为处理风险选择控制目标和控制措施a)选择和实施控制目标和控制措施，以满足风险评估和风险处置过程中所识别的要求，b)可从ISO/IEC27001:2013标准附录A中选择适当的控制目标和控制措施，以满足这c)ISO/IEC27001:2013标准附录A所列的控制目标和控制措施并不是所有的控制目标3)为管理存储安全风险识别适当的管理措施、资源、职责和顺序，制定风险处理计划。编写部门刘海燕12.记录和汇总上述6个步骤需要形成相关的文件及记录，考虑以下控制：(1)文件发布前得到批准，以确保文件是充分的；(2)必要时对文件进行评审、更新并再次批准；(3)确保文件的更改和现行修订状态得到识别；(4)确保在使用时，可获得有关版本的适用文件；(5)确保文件保持清晰、易于识别；(6)确保外来文件得到识别；(7)确保文件的分发得到适当的控制；(8)防止作废文件的非预期使用，若因任何目的需保留作废文件时，应对这些文件进行适当7相关记录>存储资产清单>风险评估报告>风险处理计划>残余风险计算表>残余风险评价报告编写部门1文档介绍2适用范围3名词定义3.1供应商3.2服务方案3.3服务水平要求3.4服务评价编写部门刘海燕是后续是否续签合同的重要依据。4角色与职责4.1综合行政部1)制定供应商管理规范，综合管理各供应商；2)汇总《供应商列表》;3)审批供应商的合同或协议，以确保与供应商签订的合同或协议满足IT服务团队与客户签订的服务承诺；4)负责与本项目的供应商签订合同和协议，与供应商的关系应清晰记录到《供应商列表》;5)项目执行过程中每年至少进行一次合同和协议的检查，确保业务需求与合同条款相符；6)清晰了解并记录主供应商与分包供应商之间的角色和关系，要求主供应商确保分包供应商可7)编写《供应商评价表》;8)定期监控和检查服务的执行情况，每年度至少进行一次供应商评价，并提供《供应商年度管理报告》。4.2体系各部门1)提交供应商服务的需求；2)物色候选供应商；3)提交候选供应商的资料及本部门评价意见；4)提交供应商谈判合同条款意见；编写部门刘海燕5)按公司规定配合办理合同签署手续。5管理内容5.1服务定义本公司与供应商之间应就服务需求、提供的服务、服务的范围、服务级别和沟通流程充分协商，并得到相关各方的书面认可。与供应商签订的服务支持协议应满足服务团队与用户签订的服务目标。应和每个供应商就每项服务清晰定义以下内容：1)服务、角色、职责的定义；2)服务范围；3)合同管理流程和合同结束计划；4)相关支付条款；5)约定需提交报告的内容和服务成果记录。5.2供应商的选择1)体系各部门明确服务需求后，在新找供应商或者有意更换原供应商的情况下，负责联系合适的服务提供商。通过比较，从中挑选出候选服务商；2)由项目带进而非部门自行选择的供应商，供应商管理部门应严格按照公司与供应商签订的合3)候选的供应商应具有保障信息安全的能力，这里主要指供应商是否自身已经建立信息安全体系，有否通过相关认证，过往有无违反信息安全规范的记录。5.3合同管理编写部门刘海燕5.3.1总则1)为每个供应商指派一名合同经理(由供应商经理兼任),负责与供应商的合同和协议。与供应商的关系应清晰记录到《供应商列表》中；2)涉及到合同终止或者续约时，根据合同周期进行评审。确保业务需求与合同条款相符；3)所有涉及合同的变更操作，按照公司相关制度执行；4)发生合同纠纷时，合同经理应按照合同规定的流程处理；5)发生服务结束、服务提前终止或服务转移给其他供应商时应，合同经理应按照合同规定的流程处理。5.3.2合同内容签订的合同内容需遵循我公司总部相关规章制度。具体可参见公司的《询价采购管理规范》或其他相关管理制度。供应商服务合同内容主要包括但不限于以下：1)明确服务方式：a)现场服务：进入我公司现场提供服务；b)非现场服务：不进入我公司现场提供服务；c)现场服务+非现场服务：视服务需要采取现场服务或非现场服务。2)列明提供的服务种类，描述各服务种类的内容；3)根据服务方式、服务种类，确定信息安全管理手段：a)物理环境访问权限的设置与说明。编写部门刘海燕b)供应商使用设备的管理，在服务过程中明确对设备的授权方式、监视和撤消用户活动的权限。c)签署保密协议。d)明确服务人员要求：包括人员资格要求、撤换服务人员的规定、安全规范的遵守。e)明确服务水平要求：1.确定服务报告的格式与服务报告被确认的标准；2.供应商服务过程中提供物品的要求，如零备件、消耗品等的数量与质量要求；3.明确供应商服务响应时间的要求与衡量方式；4.列明期望的服务水平与不可接受的服务水平。f)服务过程中异常事件的通报与处理机制：1.确定正常工作程序；2.明确供应商工作过程中的变更授权流程；3.异常情况，报告机制，包括报告时间、向谁报告；4.安全事故处理机制，包括如何调查、通知、处理。5.提供处理信息安全事件的联络方式。g)制订供应商所提供服务不能满足服务水平要求的惩罚条款；h)明确检查供应商工作的权利：有权监视、审核、评估服务商所提供服务的状况，并且根据合同予以相应奖惩。5.3.3合同签订编写部门刘海燕签订合同需遵循总部相关规章制度。具体可参见公司的《询价采购管理规范》或其他相关管理制度。5.4服务的管理1)现场服务的供应商工作时必须遵守公司人员、设备准入、病毒防护、用户密码管理等相关要2)非现场服务的供应商通过远程登录的方式开展工作必须遵守我公司关于远程登录、网络安全3)供应商在工作过程中，所发现到生产设备的异常，应形成相应的报告，按事件管理进行处理；4)供应商在工作过程中，如涉及到对生产设备、系统、数据的变动，也应按变更管理进行处理；5)体系各部门应将本公司安全管理策略和程序的更改以及改进安全的新的控制措施及时通知供应商，以便其遵守；6)体系各部门对供应商提出的新技术、新产品的采用应在评估后报深圳市思源计算机软件股份有限公司确认及审批。5.5多重供应商管理当存在直接供应商和分包供应商时，公司只负责管理直接供应商，分包供应商则由直接供应商负责管理；直接供应商应向本公司提供自己与分包供应商之间关系及责任划分的相关材料，确保分包供应商承诺的各项指标不低于自己承诺的各项指标。5.6评价供应商每一个合同结束或终止时，供应商经理应根据公司相关流程要求，对合同或协议进行评审。供应商经理需根据《供应商评价表》定期监控和检查服务的执行情况，每年度至少进行一次供编写部门刘海燕应商评价。同时应记录供应商的改进措施，并作为服务改进计划的依据同时应记录供应商的改进措施，并作为服务改进计划的依据。6输出文件《供应商列表》《供应商评价表》1.0目的按计划定期对本公司的存储安全管理体系的适应性，有效性进行评审，确保其持续有效地满足公司标准要求，确保其适应于本公司的存储安全方针和目标的要求。2.0主要内容和适用范围适用于总经理评价公司存储安全管理体系关于改进和变更需求，以及评价存储安全方针和目标。3.0工作职责3.1总经理主持管理评审；3.2存储安全小组组长负责向总经理报告存储安全管理体系运行情况，提出改进建议，编写《管理评审报告》;3.3存储安全小组负责存储安全管理体系评审计划的制定，提供管理评审所需的资料；3.4存储安全小组组长负责实施管理评审后的纠正措施进行跟踪验证；3.5各部门负责准备提供与本部门工作有关的评审所需资料，并负责实施管理评审中提出的相关的编写部门刘海燕纠正措施。4.0程序4.1管理评审计划4.1.1管理评审一般情况下每间隔12个月份进行一次，特殊情况可增加评审。4.1.2存储安全小组在管理评审前10个工作日编制《管理评审计划及通知单》,报总经理批准，计划内容包括：a.评审时间；b.评审目的；c.评审范围及评审重点；d.参加评审部门或人员；e.评审依据；f.评审内容；4.1.3当出现下列情况之一时可增加管理评审频次：a.公司组织机构、资源配置发生重大变化时；b.发生重大存储安全事故或用户关于存储安全方面有严重投诉或投诉连续发生时；c.当法律、法规、标准及其他要求有变化时；d.市场需求发生重大变化时；e.即将进行第二、三方审核或法律法规规定审核时。编写部门刘海燕4.2管理评审输入管理评审输入应包括以下内容：a.审核结果，包括第一方、第二方、第三方存储安全管理体系审核等的结果；b.顾客的反馈包括满意程度的测量结果及与顾客沟通的结果等；c.改进、纠正措施的情况，包括对内部审核和日常发现的不合格项采取的纠正措施的实施及其有效性的监控结果；d.过程的符合性，包括过程、产品的测量和监控的结果；e.以往管理评审跟踪措施的实施及有效性；f.可能影响存储安全管理体系的各种变化，包括内外环境的变化，如法律法规的变化，新技术、g.存储安全管理体系运行状况，包括存储安全方针和目标的适宜性和有效性；4.3审核准备4.3.1管理评审前10天，公司各部门向存储安全小组组长汇报现阶段信息安全管理体系运行情况；4.3.2存储安全小组组长在各部门提供资料的基础上，于会前一周内准备好全面的存储安全管理体4.3.3存储安全小组组长以《管理评审计划及通知单》通知参加评审人员，准备相关的资料。4.4管理评审会议a.总经理主持管理评审会议，各部门负责人和有关人员对评审输入做出评价，对于存在或潜在的不合格项提出纠正和预防措施，确定责任人和整改时间；编写部门刘海燕b.总经理对所涉及的评审内容做出结论。a.存储安全管理体系及其过程的改进，包括对存储安全方针、存储安全目标、组织结构、过程控制等方面的评价；b.与顾客要求有关的产品改进，对现有产品符合要求的评价，包括是否需要进行产品、过程c.资源需求等。4.5.2会议结束后，由存储安全小组组长根据管理评审输出的要求进行总结，编写《管理评审报告》,交总经理批准，存储安全小组发至相关部门监督执行。本次管理评审的输出可以作为下次管理评存储安全小组组长根据《纠正措施控制程序》的规定，并填写《整改/改进措施计划》对改进、纠正措施的实施效果进行跟踪验证。4.8管理评审产生的相关的记录应由人力综合部按《记录控制程序》保管，包括管理评审计划、评审资料、评审会议记录及管理评审报告等。5.1《记录控制程序》编写部门刘海燕6.0记录表格6.2《管理评审会议记录》6.3《管理评审报告》6.4《会议签到表》6.5《整改/改进措施计划》1.0目的2.0范围3.0工作职责3.1存储安全小组是存储安全管理体系纠正措施的归口管理。3.2各部门负责检查本部门不合格原因及采取纠正措施，保证其有效性。3.3存储安全小组组长负责监督、协调纠正措施的实施。4.0工作程序4.1纠正措施对于存在的不合格应采取纠正措施，以消除不合格原编写部门刘海燕4.1.1识别不合格对存储安全管理体系各过程输出的信息进行识别：a.过程、产品质量出现重大问题时；b.管理评审发现不合格时；c.顾客对产品质量投诉时；d.内审发现不合格时；e.出现重大操作事故；f.供方产品或服务出现严重不合格；g.其他不符合存储安全方针和目标或存储安全管理体系文件要求的情况。4.1.2分析不合格原因责任部门对不合格原因进行分析，确定产生不合格的主要原因。4.1.3措施的制定、实施与验证a.对某个部门的存储安全问题，由存储安全小组填写“纠正措施处理单”,经存储安全小组组长批准，交责任部门负责改进。b.对涉及多个部门的存储安全问题，由存储安全小组请示存储安全小组组长，由存储安全小组组长组织公司有关部门召开存储安全问题专题分析会，分析问题产生的原因，落实责任部门，由存储安全小组根据专题会议的决定，填写“纠正措施处理单”,经存储安全小组组长批准后，发至责任部门处理、改进。4.2纠正措施的实施控制4.2.1纠正措施的实施过程中，存储安全小组组长负责监督措施实施的过程。编写部门刘海燕4.2.2存储安全小组负责对纠正措施实施效果进行跟踪检查、实施控制，保证有效，并作好记录，由存储安全小组组长负责验证。4.3对有效果的纠正措施若涉及到存储安全管理体系文件的更改，应经审批后纳入存储安全管理体系文件。4.4对在规定时间内未能完成的纠正措施，存储安全小组应对此进行调查，查明未能完成的原因，向存储安全小组组长报告，责任部门无正当理由，应追究部门负责人的责任。4.5对重要纠正措施的相关记录及有关信息应提交下次管理评审输入资料之一。5.0相关文件《内部审核控制程序》《存储安全管理控制程序》《存储安全管理手册》《管理评审控制程序》6.0记录表格6.1《纠正预防行动实施报告》1.0目的按计划进行内部存储安全管理体系审核，确保本公司存储安全管理体系认证适合性和有效性。2.0范围适用于本公司内部存储安全管理体系审核活动。3.0工作职责编写部门刘海燕3.1存储安全小组组长全面负责内部存储安全管理体系审核活动。3.2存储安全小组组织实施内部存储安全管理体系审核活动。3.3各相关部门做好内部存储安全管理体系审核的配合工作4.0工作程序4.1.内部信息安全管理体系审核安排4.1.1.公司每年组织一次集中的内部存储安全管理体系审核，审核覆盖公司内部存储安全管理体系的所有要求和所有部门。另外如出现一下情况，由存储安全小组组长决定组织特定的内部信息安全管理体系审核：a.组织机构、管理体系发生重大变化；b.出现重大存储安全事故或者客户对某一环节连续投诉；c.法律、法规及其他外部要求的变更；d.在接收第二、第三方审核之前。4.1.2.内部审核员须经过必要的培训，各审核员的审核范围不能包括其所在的部门4.2审核的准备4.2.1存储安全小组组长全面负责内审工作，编制《年度内审计划》,选定内审组长及审核员，审核《内审报告》和《内审实施计划》,报总经理批准后下发各部门。4.2.2内审组长根据《年度内审计划》编写《内审实施计划》,控制审核全过程，编写《内审报告》,指定内审员跟踪验证不合格报告中的纠正预防措施。4.2.3审核员参与编制检查表，跟踪验证纠正措施，公平、客观地进行审核工作认真完成审核记录。4.2.4受审部门接到《内审实施计划》后，如果对审核日期和条款有异议，可在一天内通知审核组，编写部门刘海燕以便经过协商，再进行安排。4.2.5受审部门应确定审核陪同人员，并通知审核组，同时做好必要的准备工作。4.3内审的实施4.3.1首次会议a.参加会议人员：公司领导、内审组成员及各部门负责人，与会者签到，并由存储安全小组保留会议记录，审核组长主持会议；b.会议内容：由组长介绍内审目的、范围、依据、方式，组员和内审日程安排及其他事项。4.3.2现场审核a.内审组根据《内审检查表》对受审核部门进行现场审核，将存储安全管理体系运行效果及不符合项详细记录在检查表中；b.内审组长召开内审会议，全面介绍内审情况，对《不合格报告》进行核对；c.内审时审核员要公正客观地对待审核的问题。4.3.3审核报告现场审核后，审核组长召开审核组会，综合分析检查结果，依据标准，体系文件及有关法律法规要求，必要时依据合同要求，确认不合格项，并发出不合格报告给相关部门领导确认后，由相关部门分析原因，制订纠正措施，经信息安全小组组长批准后实施。审核员负责对实施结果跟踪验证，并报告验证结果；审核组填写《不合格项分布表》,记录不合格分布情况；现场审核组长完成《内部存储安全管理体系审核报告》,经存储安全小组组长审核，交公司总经理批准。编写部门刘海燕审核报告的内容：a.审核目的、范围、方法和依据；b.审核组成员、受审核方负责人；c.审核计划实施情况总结；d.不合格分布情况分析、不合格数量及严重程度；e.存在的主要问题分析；f.对公司存储安全管理体系有效性，符合性结论及今后改进的意见。4.3.4末次会议a.参加人员、公司领导、内审组成员及各部门领导、与会者签到，并由存储安全小组保留记录，审核组长主持会议。b.会议内容：内审组长重申审核目的，宣读不合格报告，宣读《内部存储安全管理体系审核报告》;提出完成纠正措施的要求及日期，由公司领导讲话；c.存储安全小组组长发放《内部存储安全管理体系审核报告》到各相关部门。本次内审结果要提交公司的管理评审。4.4存档所有内审文件记录，由职能部保管存档，各部门也应保管好与本部门有关的内审记录。年终保5.0相关文件《文件控制程序》《记录控制程序》编写部门刘海燕6.0记录表格6.1《年度审核计划》6.2《审核实施计划》6.3《内审检查表》6.4《不合格报告》6.5《内部审核报告》6.6《会议签到表》6.7《不合格项分布表》1适用与目的本程序适用于公司与IT相关各类存储处理设施(包括各类软件、硬件、服务、传输线路)的引进、实施、维护等事宜的管理。本程序通过对技术选型、验收、实施、维护等过程中相关控制的明确规定来确保引进的存储处理设施的保密性、完整性和可用性。2.1办公用计算机设备，包括所有综合行政部、会议室内的计算机、打印机、投影仪。编写部门刘海燕2.3其它办公设备，包括电话设备、复印机、传真机等。3.1销售部主要负责全公司与IT相关各类存储处理设施及其服务的引进。包括制作技术规格书、4.1引进依赖本公司禁止员工携带个人或私有存储处理设施(例如便携式电脑、家用电脑或手持设备PDA等)处理业务信息。4.2进行技术选型编写部门刘海燕4.3编写购入规格书格、相关设施的性能(包括安全相关信息)、兼容性等要求，由销售部部长审批。4.4定货a)开箱检查b)安装、调试c)验收编写部门刘海燕验收原则上由销售部实施，必要时可要求相关部门参加。验收结果记入《硬件软件验收报告》。技术验收的合格与否最终由销售部经理做出判断。d)验收合格后，可向相关的使用部门移交。5.1计算机设备管理5.1.1销售部负责计算机固定资产的标识，标识具体设备到各使用部门。计算机保管使用部门将计算机列入该部门存储资产清单。5.1.2各部门配备的计算机设备应与本部门的日常经营情况相适应，不得配备与工作不相符的高档次或不必要的计算机设备。办公场所不配备多媒体类计算机设备，原则上部门经理以上配备笔记本电脑，因工作需要配备笔记本电脑的需经主管副总批准。5.1.3计算机使用部门需配备计算机设备时，应按照本规定执行。资产搬离安置场所，需要获得部门经理的授权；迁移出公司，需要得到最高管理层的授权。5.1.4计算机及附属设备属公司信息资产，在销售部备案。有关计算机设备所带技术说明书、软件由销售部保存。使用部门的使用人应妥善保管计算机及附属设备，公用计算机设备由使用部门经理指定专人负责使用管理。5.1.5离职时，应将计算机交还销售部，由销售部注销账户。5.1.6本公司网络中的计算机设备采用自动获取IP地址，管理员负责对公司网络进行更新和维护。编写部门刘海燕5.2计算机设备维护5.2.1计算机使用部门应将每部计算机落实到个人管理。计算机使用人员负责计算机的日常维护和保养；销售部按照《恶意软件管理规定》要求进行计算机查毒和杀毒工作，结果填写在《设备防病毒检查表》中。5.2.2计算机使用部门发现故障或异常，可先报公司管理员处理，如其无法解决，则由管理员填写《事态事件脆弱性记录》向供应商申请维修。故障原因及处理结果应记入《事态事件脆弱性记录》。5.3计算机调配与报废管理5.3.1用户计算机更新后，原来的计算机由销售部根据计算机的技术状态决定调配使用或予以报废处理。5.3.2含有敏感信息的计算机调配使用或报废前，计算机使用部门应与销售部共同采取安全可靠的方法将计算机内的敏感信息清除。部门内部的调配由使用部门自行处理，并通知销售部进行计算机配置变更，变更执行《变更管理程序》。部门间的调配管理：销售部收回因更新等原因不用的计算机设备，由变更部门变更信息资产清单，并按照本程序5.1要求重新分配使用。5.4报废处理5.4.1计算机设备采用集中报废处理。报废前由销售部向销售部提出报废，经审核后由销售部实施报废。5.4.2销售部按照批准的处置方案进行报废处理，并变更固定资产清单。编写部门刘海燕5.5笔记本电脑安全管理5.5.1笔记本电脑应由被授权的使用人保管；对于需多人共用的笔记本电脑，应由部门负责人指定专人保管。5.5.2笔记本所带附件应由使用者本人或部门负责人指定专人保管。5.5.3笔记本电脑使用时应防止恶意软件的侵害，在系统中应安装防病毒软件，并由使用人对其定期升级，对系统定期查杀，销售部负责监督。5.5.4笔记本电脑在移动使用中，按公司网络管理使用规定接入公司网络系统中。5.6计算机安全使用的要求5.6.1计算机设备为公司财产，应爱惜使用，按照正确的操作步骤操作。5.6.2使用计算机时应遵循信息安全策略要求执行。5.6.3员工入职时，由其所在部门的部门经理根据该员工权限需要填写《用户授权申请表》,向销售部提出用户开户申请；离职时也需通知销售部办理销户。5.6.4用户名为用户姓名的拼音(有重名时另设),初始缺省密码为1234。用户在第一次登录系统时应变更密码，密码需要设置在6位以上(英文字母、数字或符号组合的优质密码)并注意保密。5.6.5各人使用自己的账户登录，未经许可不得以他人用户名登录。若用户遗忘密码，应及时向销售部申请新密码后登录。5.6.6不得使用计算机设备处理正常工作以外的事务。5.6.7计算机的软硬件设置管理由销售部进行，未经许可，任何人不得更换计算机硬件和软件。5.6.8销售部负责初始软件的安装，公司严禁个人私自安装和更改任何软件。计算机用户的软件安编写部门刘海燕5.6.9严禁乱拉接电源，以防造成短路或失火。5.6.10计算机桌面要保持清洁，不得将秘密和(或)受控文件直接放置在桌面；计算机桌面必须设置屏幕保护，恢复时需用密码确认(执行密码口令管理规定)。锁屏时间可根据自己工作习惯设置锁屏时间，但最高不得高于5分钟。各部门负责人进行监督。5.7.2对内设置必要的路由器防火墙，采用HTTP、FTP的连接方式。的要求，故不需要单独配备UPS。其他办公电脑和网络连接设备经风险评估可以接受供电中断的a)信息处理设施的电源和通信线路不得采用明线布置，应在地下、墙内或采用线槽保护。编写部门刘海燕5.9无人值守的用户设备保护5.9.2当会话结束时退出计算机、服务器和办公PC。6.2网络设备的管理与维护6.3点检策略6.3.1所有存在于计算机、网络设备上的服务、防火墙和其他网络边界访问控制系统的系统审核、编写部门刘海燕设备类型日志内容对外提供服务的a)用户标识符(ID);c)若可能，终端位置；d)成功的失败的登录试图。≥6个月≤2周直接用于设计、存储、检测的控制、管理和查询系统≥12个月≤2周≥6个月≤5周≥6个月≤5周≥6个月≤5周防火墙和路由器系统配置更改日志≥1个月≤5周访问日志(方向、流量)≥1个月≤5周6.4维修服务的外包安全控制6.4.1销售部应与厂商签订设备维护(维修)服务合同，合同应包含信息安全方面的特殊条款，例编写部门刘海燕6.5资料的保存备日后查阅。7记录编写部门刘海燕3.1综合行政部3.2可移动介质使用部门4相关文件5.1总则编写部门刘海燕可移动介质处置原则：按照正式的程序可靠、安全的处置，使敏感信息泄露给未经授权的人员的风险最小化。5.2可移动介质处置可移动介质的处置应该与信息的敏感程度相一致，可移动介质的敏感程度应考虑风险评估的结可移动介质处置应考虑下列原则：所有的可移动介质都应由部门经理指定人员负责保管；可移动介质的处置前应该识别需要安全处置的项目；销毁方式一般分为一般格式化、低级格式化、专业软件重写、粉碎；对无敏感信息的可移动介质作一般格式化即可，在保证质量的基础上重新分配和使用；保存有敏感信息的可移动介质应当得到安全的存放和处置；对于含有敏感信息的可移动介质应采用低级格式化或专业软件重写，反复次数为三次，再进行粉碎；应对含有敏感信息的存储可移动介质的处置做出记录，以备审查；销毁的可移动介质在处理后保存三个月后再作处理。处置措施可以是：a)移动硬盘：文件先做删除，高级格式化后，低级格式化。报废的硬盘，需要粉碎报废。循环使用的硬盘，低级格式化后，拷入大量数据，覆盖无用信息后，高级格式化，再使用。b)U盘：报废后能正常使用的写入大量数据并格式化后粉碎，不能正常使用的直接粉碎。c)光盘：一次性光盘，粉碎。可擦写光盘，格式化后再使用。编写部门刘海燕5.3可移动介质处理5.3.1可移动介质管理5.3.2复制和移出5.3.3重复使用5.3.4保存可移动介质的的保管部门应按可移动介质要求的保存环境来保存含有涉密信息或重要信息的5.3.5废弃编写部门3.1存储安全小组负责收集与信息安全管理有关的法律、3.2存储安全小组组长负责法律法规的更新以及适用性的确认，并传达给各部门。3.3各部门负责执行适用的法律法规。编写部门刘海燕4工作内容4.1原则：遵守所有适用的国家、地方及行业内与信息安全有关的法律、法规的要求。4.2收集范围a国家颁布的刑法、民法、公司法、财务法、知识产权保护法和国务院、部委或行业颁布行政b对本公司重要记录(包括其保存期)实施保护应遵守的相关法律、法规；c控制个人数据处理和传输的法律、法规；d防止滥用信息处理设施的法律、法规；e关于信息设备密码控制的法律、法规。4.3法律法规的识别、获取和管理4.3.1存储安全小组通过定期访问相关网络获取国家颁布的与信息安全有关的法律法规及其更新的信息。4.3.2存储安全小组对适用本公司的相关的法律、法规等统一管理并进行分类登记，建立适用的法律法规目录，经存储安全小组组长批准后予以公布。4.4法律法规的适用性评价、更新和传达4.4.1存储安全小组对本公司已获取的与信息安全有关的法律、法规做出适用性评价。4.4.2由存储安全小组编写并更新本公司的《法律法规清单》,并通过电子邮件通知各相关部门在公司指定位置获取。4.4.3存储安全小组每年核查一次《法律法规清单》,如有变更，通过电子邮件通知各部门更编写部门刘海燕换新的《法律法规清单》,旧的《法律法规清单》同时由各部门自行作废。4.4.4各部门结合本部门信息安全管理的实际情况从存储安全小组获取适用于本部门的信息安全法律、法规等，并将其相关信息要求传达给本部门的员工及与本部门有关的第三方(包括顾客、承包方、加工方、外来施工方、参观者等)。4.5法律法规执行与符合性评估4.5.1保护知识产权综合行政部系统管理员根据公司软件需求，提出软件采购技术要求，由采购人员实施采购。对公司所采购的软件，由系统管理员负责软件版权的审核工作，各部门应严格执行国家有关知识产权方面的法律法规，保证使用合法的正版软件。公司统一采购的软件(包括购买存储处理设施所附带的软件)所带版权许可、操作手册等拥有者的证明、证件，系统管理员应进行登记，并妥善保管，防止丢失。系统管理员每年对软件的使用情况进行一次检查并核对软件信息资产清单，确保安装使用认可的软件和特许的产品。对于本公司自主开发或外包开发的软件的使用权归本公司所有，未经本公司授权不得以任何形式转让给其他公司或人员。4.5.2组织记录的保护各部门应按照有关法律、法规要求，明确规定重要记录的保存期限并提供适当的保护，防止丢失、损坏和伪造。4.5.3数据保护和个人信息保密编写部门刘海燕对处理与个人数据与信息有关的部门(人事及综合行政部门)应按照国家有关规定对个人信息(如：人事档案、工资表等)进行妥善管理与保护，防止丢失或泄露个人秘密。4.5.4防止滥用存储处理设施本公司所有员工应严格按照存储处理设施的授权范围使用存储处4.5.5存储安全小组每年要针对本公司与信息安全法律法规遵循情况填性评估表》,对于不符合的情况，责任部门应实施纠正措施并实施。4.5.6密码控制措施的规则4.6符合安全策略和标准以及技术符合性4.6.1符合安全策略和标准4.6.2技术符合性核查4.7存储系统审计的考虑事项编写部门刘海燕2)对于存储系统审计工具的访问宜加以保护，以防止任何可能的滥用或损害。5相关记录>《法律法规符合性评估表》为规范数据操作管理工作，降低数据被非法生成、变更、泄露、丢失及破坏的风险；保护关键数据(包括服务器数据、网络设备配置信息、监控系统数据等)的安全性，规范关键数据的存储；合理存储历史数据，保证数据的安全性、完整性和准确性，特制定本程序。本程序中数据是指存储系统中的各种业务数据。3.数据保存管理●对于与财务报告相关的关键业务数据，须保存3年以上。●重要的业务数据要保证物理上的安全，存放数据的介质必须放在安全的地方，非授权人员不得访问。3.1数据导入和修改3.1.1数据导入指应数据拥有部门要求，通过后台数据库，将数据导入运行环境的操作。3.1.2数据修改指应数据拥有部门要求，对公司信息系统中的数据在后台数据库中进行修改。数据修改包含数据内容的修改以及数据库结构的变更。3.1.3数据导入/修改必须遵循统一的数据导入/修改申请流程。任何人不得在未经授权的情况下对应用系统数据库进行数据导入/修改的操作。编写部门刘海燕3.1.4数据导入/修改流程中的申请、审批、操作工作需分别由不同人员承担。数据导入/修改操作只能由技术部负责人指定的人员执行，导入/修改权限必须按照规范通过系统设定分配给指定人员。技术部负责人每半年委派人员对数据操作日志进行核对，确保所有数据导入/修改行为均经过了有效的审批以及数据导入/修改是准确的。3.2数据提取和发放3.2.1数据提取指应数据拥有部门要求，对公司信息系统中的数据从后台数据库中进行的提取。数据提取和发放须遵循统一的数据提取申请流程。任何人不得在未经授权的情况下对应用系统数据库进行提取和发放操作。3.2.2数据提取中的申请、审批、操作及检查工作需分别由不同人员承担。数据提取的操作只能由技术部负责人指定的人员进行，提取权限应按照规范通过系统设定分配指定人员。3.2.3技术部负责人只能把提取出的数据发放给申请人，不能发放给其他人员。对存放数据的介质，确保只有授权人员能够访问。3.3应对数据传输进行控制3.3.1数据传输须有身份验证；3.3.2敏感数据传输需要保留相关记录。当数据在系统之间自动传输时，系统中必须增加数据检查功能，确保所传数据的完整性、准确性、合理性。3.3.3应通过对防火墙、路由器等网络设备的设置，限制访问权限及控制数据传输路径。网络管理人员对数据传输路径的设置进行规范记录，并定期对网络设置进行评估，确保当前的设置编写部门刘海燕能够满足数据传输的安全性需求。3.3.4传输路径需要变更时，必须提出正式申请，在获得批准后方可进行变更。3.3.5在数据传输和传递过程中，公司应采取措施保护敏感数据，通过权限设置，防止对数据未经授权的访问、修改，以及通过数据加密，保证数据传输过程中不被非法获取。3.3.6通信线路传输数据的保密策略本公司使用远程登录技术保证通信线路中传输数据的完整性和保密性，使用远程桌面、SSH等方式实现联机互访。主要采用隧道技术、加解密技术和使用者与设备身份认证技术。综合行政部在与客户之间的交流的重要邮件采用加密的方式进行传输。3.4数据操作日志管理技术部负责人应指派专门人员，定期对数据库的操作日志进行检查。如果发现异常，及时进行分析解决。4.保护关键数据4.1关键数据的认定与存档4.1.1关键数据的认定，由数据持有部门根据数据对公司正常运行所起的重要程度向技术部提出申请，由技术部负责人会同申请部门及相关管理者及技术人员鉴定，由技术部指定专门人员对所申请的数据进行备份并保存。4.1.2关键数据存档可参照本章中的相关规定由公司技术部统一执行。对关键数据保存的介质要有“关键数据”的标识，且要与其他非关键数据分开存档，以免混淆。4.1.3公司技术部要指定专人对公司的关键数据进行定期检查登记，以便数据保管人员对关键数据编写部门刘海燕更加有效的保存与维护。4.2关键数据介质的保存4.2.1备份频率：对于与财务报告相关的各种业务系统数据须每周做备份；对于人力资源管理的相关业务数据以每个考勤周期做为备份周期；在数据被大规模更新前后，须对数据做备份；在操作系统和应用程序发生重大改变前后，须对系统和应用程序做备份。4.2.2备份数据保留时间：对不同的备份对象根据需要及其重要性分别制定保存期限。4.2.3备份存储和备份介质管理：对数据、操作系统以及程序做备份的时候，须备份在两份备份介质中，一份放在本地，另一份定期存放在异地；备份介质，无论是存放在本地还是异地，须确保存放场所的安全，保证只有授权人员可以访问；在备份介质上，必须有唯一标识，标明备份的内容和日期和密级程度；建立一份备份介质目录清单，用以记录备份介质的位置、内容、数据保留期限。4.2.4备份恢复测试：备份介质中的数据须每半年进行恢复测试，以确保备份的有效性和备份恢复的可行性。4.2.5备份介质销毁：编写部门刘海燕备份介质的销毁必须经过数据拥有部门负责人以及技术部负责人授权后才可执行，并记录该销若备份介质中存放机密数据，在销毁之前，对备份介质进行处理，使得备份介质中的数据处于不可读状态。4.3备份操作管理4.3.1对服务器要做好相应的备份。4.3.2备份遵循统一的审批流程，需要经过数据拥有部门以及技术部部门负责人审批。4.3.3需按照数据的重要程度对不同备份对象进行分类，对不同的备份对象根据类别制定备份策略。4.3.4备份策略应包含备份对象、备份要求、备份方法、备份频率、保存时限等内容。备份策略制定后应制定相应的备份操作手册(包含备份失败的处理方法)指导备份工作。4.3.5备份操作人员(可设定为系统管理员)须检查每次的备份工作是否成功，并填写备份工作检查、审核记录，对失败的备份操作处理需进行记录、汇报及跟进。4.3.6备份对象发生变更后，需调整备份策略和备份操作手册。备份策略的变更应得到数据拥有部门以及技术部部门负责人审批。4.3.7技术部负责人每半年自行或指定专人对备份工作进行审核，核对系统中的备份策略与备份申请是否吻合，以保证备份是按照要求进行的；核对系统中的备份日志与备份工作汇总记录，以保证备份的有效性、完整性以及出现的问题已得到适当处理。5.备份介质存放和管理5.1存放在本地和异地的备份介质必须具有明确的标识，建立统一的目录清单。保存备份介质的库(柜)亦应建立统一格式的目录清单。编写部门刘海燕份检查记录》,保证本地和异地均有备份介质清单。在备份介质运送过程5.3无论备份介质放在本地还是异地，介质存放场求。存储介质库(柜)必须由介质保管人员存取，其他人员不经批准不准操作。5.4所有备份介质任何人员不得擅自借用。若要借用需要数据拥有部门和技术部负责人批准，并填据备份检查记录》,对备份介质进行盘点，确保备份介质的完整性和标识的规范性，并做好记录。6.备份恢复6.1技术部负责人应制定相应的备份恢复计划及灾6.2在备份操作手册中还须包含备份前的准备工作(更新系统设置、通知系统使用者备份恢复时间等)、备份恢复的操作步骤、恢复失败的处理方法和跟进步骤等。6.3需要恢复备份数据时，需求部门应填写数据恢复申请表，由数据拥有部门以及技术部负责人审6.4备份操作人员将备份恢复的审批文档及备份恢复工作的系统日志保存归档。技术部每半年自行6.5备份操作人员须每年对备份进行恢复测试，确保备份恢复工作能够顺利进行。备份恢复测试应编写部门刘海燕6.6备份操作人员根据测试结果更新备份7.相关记录3.1综合行政部4相关文件编写部门刘海燕5.1网络设备安全配置策略5.1.1通用策略◆设备系统日志的记录内容和保存期限应该符合《信息系统访问与使用监控管理程序》。5.1.2防火墙安全配置策略b.除内部向外部提供的服务相关部分外，内部向外部的访问需经需求部门经理以及综合行政c.内部需要对外部提供服务，需经运营总监、需求部门经理、c.除内部向外部提供的服务相关部分外，内部向外部的访问需经需求部门经理、综合行政部编写部门刘海燕5.1.3网关设备安全配置策略b.对许可的访问发起者的身份认证应至少在两项或以上；d.许可的访问发起者应体现相对静态的信息记5.1.4网络交换机设备安全配置策略◆关键路径网络交换机安全配置策略b.关键路径网络交换机安全配置策略应考虑和周边网络设备的连接的兼容性、安全性、可靠c.关键路径网络交换机安全配置策略应尽量减少不必要的限定以◆周边网络交换机安全配置策略a.周边网络交换机是指位于公司网络非中间节b.周边网络交换机安全配置策略应考虑和关键路径网络设备的连接的兼容性、安全性、可靠c.关键路径网络交换机安全配置策略应根据需要减少不必要信息向更高级的网络层的传输。编写部门刘海燕5.2网络中间设备配置过程综合行政部人员根据安全配置策略和特定安全要求填写《网络设备安全配置表》,经部门经理审核批准后，对网络设备参数进行配置。配置实施后必须进行检查，测试，填写《网络设备安全配置表》签署姓名和日期。《网络设备安全配置表》适用于本公司的各种应用系统涉及到的逻辑访问的控制。为对本公司各种应用系统的用户访问权限(包括特权用户及第三方用户)实施有效控制，杜绝非法访问，确保系统和信息的安全，特制定本程序。3.1各系统的访问授权由综合行政部负责访问权限的分配、审批。3.2各系统的访问授权实施部门负责访问控制的技术管理以及访问权限控制和实施。3.3综合行政部负责向各部门通知人事变动情况。编写部门刘海燕4程序4.1.1公司内部可公开的信息不作特别限定，允许所有用户访问。4.1.2公司内部部分不公开信息，经访问授权部门认可，访问授权实施部门实施后用户方可访问。4.1.3根据办公需要，个别区域可使用无线网络。对连接到互联网和局域网的设备采用粘贴标签的方法清晰的标明设备的连接属性(根据敏感程度，可查表获得权限，如IP列表)4.1.4用户不得访问或尝试访问未经授权的网络、系统、文件和服务。4.1.5各系统访问授权部门应编制《物理逻辑访问权限说明书》,明确规定访问规则。4.1.6为确保含有敏感信息的系统不发生泄密事故，采取措施对敏感系统予以隔离。采用最小权限、最少用户原则。4.2.1权限申请授权流程部门申请——授权综合行政部审批——综合行政部实施授权所有用户，包括第三方人员均需要履行访问授权手续。申请部门根据日常管理工作的需要，确定需要访问的系统和访问权限，经过本部门经理同意后，向访问授权综合行政部门提交《用户授权申请表》,经访问授权综合行政部门审核批准后，将《用户授权申请表》交访问授权实施部门实施。第三方人员的访问申请由负责接待的部门按照上述要求予以办理。编写部门刘海燕第三方人员一般不允许成为特权用户。必要时，第三方人员需与访问接待部门签订《第三方保密协议》。(见《供应商控制办法》)a)权限申请人员；b)访问权限的级别和范围；c)申请理由；d)有效期4.2.2权限变更对发生以下情况对其访问权应从系统中予以注销：a)内部用户雇佣合同终止时；b)内部用户因岗位调整不再需要此项访问服务时；c)第三方访问合同终止时；d)其它情况必须注销时。由于用户变换岗位等原因造成访问权限变更时，用户应重新填写《用户授权申请表》,按照本程序4.2.1的要求履行授权手续。综合行政部应将人事变动情况及时通知各部门，访问授权实施部门管理员进行权限设置更特权用户因故暂时不能履行特权职责时，根据需要可以经授权部门经理批准后，将特权临时转交可靠人员；特权用户返回工作岗位时，收回临时特权人员的特权。4.2.3用户访问权的维护和评审对于任何权限的改变(包括权限的创建、变更以及注销),访问授权实施部门应进行记录，填写《用户授权申请表》包括：编写部门刘海燕a)权限开放/变更/注销时间；b)变化后权限内容；c)开放权限的管理员综合行政部每半年应对访问权限进行检查，发现不恰当的权限设置，应通知访问授权实施部门予以调整。特权授权，综合行政部每季度应对特权用户访问权限进行检查，发现过期的权限设置，应通知访问授权实施部门予以注销。综合行政部应对访问权限的检查结果予以记录。4.2.4连接的控制本公司个别区域根据工作需要，可使用无线网络。本公司为了限制网络连接的不同身份与权限，通过设置网关来加以控制。本公司禁止使用远程诊断端口，局域网的端口不限制。4.2.5会话与联机时间的控制各系统管理员在其管理的服务器处于不活动时，应利用锁屏(LOCKSCREEN)清除屏幕，以防止非授权的访问，但不关闭应用或网络话路。终端用户应在暂停操作控制时，及时启用带有口令保护的自动屏保功能。本公司将连机时间限于正常的办公时间；对服务器的连接时间设定为2小时/次。4.2.6网上信息公布管理所有在对外公共网站上(包括公司网站、人才招聘网站、大型门户网站、公共社区、论坛等)发布的与本公司有直接相关的信息都需经过公司管代或者总经理的审批和签字，其记录填写在《网站信息发布审查表》中；编写部门刘海燕严禁员工冒充公司名义发布与公司相关的虚假公共信息，违者视情节严重程度予以处罚或追究其法律责任。4.2.7系统实用工具的使用销售部应对系统实用程序(SystemUtilityProgram)的使用进行限制和严格控制，只有经过授权的系统管理员才可以使用实用程序，如优化大师，超级兔子等。4.3.1分配给用户一个安全临时口令，并通过安全渠道传递给用户，并要求用户在第一次登录时更改临时口令；当用户忘记口令时，系统管理员在获得用户的确认后可以为其重新分配口令。4.3.2口令的选择与使用要求所有计算机用户在使用口令时应遵循以下原则：保守口令的机密性，避免保留口令的字面记录，明文存储或明文网络传递。任何时候有迹象表明系统或口令可能受到损害，就要更换口令。口令最小长度6位，不要采用姓名、电话号码、生日等别人容易猜测或得到的口令，不要用连续的数字或字母群。一般用户口令至少3个月变更一次，特权用户口令每季度变更一次；对于用户口令的变更会影响应用程序运行的情况，该用户的口令可以在适当的时机予以变更。在第一次登录时，需要更换临时口令。口令应妥善保存，不要共享个人用户口令。编写部门刘海燕作所需要的且不存在富裕的特权(最小特权原则)。5记录>用户授权申请表>网站信息发布审查表编写部门刘海燕3.1综合行政部负责全组织信息备份工作的技术指导及对本部门维护的重要信息资产的数据和软件实施备份。3.2各部门负责对本部门维护的重要信息资产的数据和软件实施备份。4相关文件《信息安全管理手册》《可移动介质管理程序》《信息处理设施维护管理程序》《信息备份安全策略》5.1备份对象针对各部门的重要信息，决定备份对象为：服务器的操作系统和安装工具软件的所有软件光盘；服务器中的数据库，配置管理工具数据库；根据以上备份对象，制定相应的备份周期。5.2安全要求信息备份的安全要求包括：编写部门刘海燕a)根据风险评估的结果，备份方案采取本地备份方式；b)本地备份每周五进行一次，备份文件复制到服务器其他盘中，由技术人员将备份文件做成光盘或备份到移动硬盘。5.3备份周期各部门根据风险评估的结果，制定《重要信息备份周期一览表》,在其中明确规定备份周期、备份方式、备份介质及备份负责人。5.4备份工作记录要求《重要信息备份周期一览表》经部门负责人批准后予以实施；对于人工备份应填写《重要信息备份记录》,信息备份的记录应予以保存。当软件发生更改时，应进行备份。5.5备份的标识各部门应采取适宜的方法对备份信息介质进行标识，防止备份信息的误用，标识的内容包括：a)备份信息的名称；b)备份的日期；d)必要时，应标识所需采用的备份/还原工具。5.6介质管理数据备份介质应保存在适宜的环境并专人管理；涉及组织秘密的备份介质应按照《信息分类管理程序》进行标注，只有授权的人员才可以访问，并保存在上锁的文件柜或其他安全储存场所。编写部门刘海燕6记录《重要信息备份周期一览表》《重要信息备份记录》1范围为更好地管理客户和本公司在服务、技术、经营等活动中产生的各类信息，防止因不恰当使用或泄漏，使本公司蒙受经济损失或法律纠纷，特制定本管理规程。本标准规定了信息密级划分、标注及处理控制目标和控制方式。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。>ISO/IEC27001:2013《信息技术-安全技术-信息安全管理体系要求》>ISO/IEC27002:2013《信息技术-安全技术-信息安全管理实用规则》3术语和定义所有ISO/IEC27001:2013《信息技术-安全技术-信息安全管理体系要求》和ISO/IEC编写部门刘海燕27002:2013《信息技术-安全技术-信息安全管理实施细则》规定的术语适用于本文件。4职责和权限综合行政部负责信息密级划分、标注及处理控制。各部门负责本部门使用或管理的信息密级划分、标注及处理控制。信息的密级分为3类：企业秘密事项(秘密)、内部信息事项(受控)和公开事项。信息分类定义：a)“秘密”:《中华人民共和国保守国家秘密法》中指定的秘密事项；或不可对外公开、若泄露或被篡改会对本公司的日常经营造成严重损害，或者由于业务上的需要仅限有关人员知道的事项；介质包括但不限于：纸类、电磁类及其它媒体(纸张、软盘、硬盘、光盘、磁带、胶片)。资产分级定义为1.b)“受控”:不可对外公开、若泄露或被篡改会对本公司的日常经营造成损害，或者由于业务上的需要仅限有关人员知道的事项；或是指为了日常的业务能顺利进行而向公司员工公开、但不可向公司以外人员随意公开的事项。资产分级定义为2编写部门刘海燕c)“公开”:秘密事项以外，仅用来传递信息、昭示承诺或对外宣传所涉及的事项。资产分级定义为3.企业秘密管理的最高责任者为公司执行总经理，各部门的管理责任者为本部门经理。全体员工都负有遵守保密承诺、保守企业秘密的义务。6.2.1“秘密”按《中华人民共和国保守国家秘密法》的有关规定执行。企业秘密事项由经营管理机构指定，企业秘密及敏感信息事项由产生该事项的部门经理级以上(含副经理)人员指定。指定秘密事项时，应参考附录1的示例，并充分考虑该事项的性质及重要程度等因素。6.2.2员工对自己编写的信息需判断是否为企业秘密及管理分类(秘密、受控)时，可随时询问经理级以上领导。后者对前者的请求应及时给予明确的处理。无法判明时，可请示更高一级领导。6.2.3编写的文件一旦被指定为秘密、受控文件，则负责人应按本规定的要求对编写中和编写后的无用稿件进行处置。由编写部门在文件封面标明“秘密”,受控文件，由编写部门在文件封面标明“受控”,颜色注：采用电磁等媒体记录的秘密、受控文件，应在其包装盒上明显的位置用标签标明秘密、受控管理分类，使用的印章方法同上。编写部门刘海燕6.4.1发送秘密文件时，制订者应根据文件内容指定接收部门和接收人。6.4.2为了避免接收人因不清楚使用范围而泄密，可在附件中指明使用目的