信息安全管理手册+适用性声明+程序文件全套(27001 2022版)_第1页
信息安全管理手册+适用性声明+程序文件全套(27001 2022版)_第2页
信息安全管理手册+适用性声明+程序文件全套(27001 2022版)_第3页
信息安全管理手册+适用性声明+程序文件全套(27001 2022版)_第4页
信息安全管理手册+适用性声明+程序文件全套(27001 2022版)_第5页
已阅读5页,还剩211页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

【组织名称】信息安全管理手册+程序文件全套信息安全程序文件汇编 94 94 2.5文件的变更 96 96 5.1文件要素 5.2.1文件编写 975.2.2文件审批 991.2适用范围 992、术语、定义和缩略语 99 3.2.3管理评审后续问题处理编制管理评审报告 3.3流程输入及输出 4.管理评审相关表单 2适用范围 4.1管理运营部 4.1.2负责识别与公司有关的法律法规,并检验是否满足 4.3管理运营部 205.1法律符合性测量 205.1.1法律识别 20 205.1.3保护组织的记录 21 21 21 215.2策略、标准和技术的符合性测量 21 215.2.2技术符合性测量 22 22 5.4审计过程和产品 22 23 23 24 241.1编写目的 24 24 24 25 26 26 27 28 29 31 4.3总经理 32 6.1体系教育与培训 6.3培训的目的 35 6.6培训记录 35 35 7.2资产归还 35 357.4后期管理 36 37 37 39 4.10风险评估riskassessment 40 7.1资产识别 407.2资产赋值 40机密性赋值(x) 完整性赋值(y) 41 42 7.3威胁识别 447.3.1威胁分类 7.3.2威胁赋值(T) 477.4脆弱性识别 48 7.4.2脆弱性赋值(V) 49 7.6.3风险计算(R) 7.7风险处置 517.7.1风险处置计划 4.1管理运营部 54 5.1密级的分类 55 4.2用户访问管理 a)权限申请人员;b)访问权限的级别和范围;c)申请理由;d)有效期 4.2.2权限变更 4.2.3用户访问权的维护和评审 4.2.4连接的控制 4.2.5会话与联机时间的控制 4.2.6网上信息公布管理 4.2.7系统实用工具的使用 4.3用户口令管理 4.3.1分配给用户一个安全临时口令,并通过安全渠道传递给用户,并要求 4.4特殊权限管理 4.5访问记录控制 4.7远程工作授权程序 4.7.3当不再需要远程工作时,应及时取消该用户的访问权 4.8密码设置 4.8.3密钥分配 4.8.4密码使用 2、适用范围 4.1系统管理员 4.2.1负责按本程序的要求使用、保护、定期更换自己的密码; 6.1.6密码不能和用户名或登录名相同; 6.3.1一般不对密码进行可记录形式的储存; 6.3.3可行时,系统管理员在定期更换密码后保存历史加密密码,以防止密码的重 6.4密码的使用 6.5密码变更、销毁 66 66 4.5访客管理 69 4.6设备安全 694.7消防管理 69 7记录 73 4.1引进依赖 78 5信息处理设施的日常维护管理 5.4报废处理 805.5笔记本电脑安全管理 5.6.2使用计算机时应遵循信息安全策略要求执行 5.6.6不得使用计算机设备处理正常工作以外的事务 5.6.9严禁乱拉接电源,以防造成短路或失火 5.8支持性设施与布览安全 5.9无人值守的用户设备保护 6、信息处理设施的日常点检 6.1计算机的日常点检 6.4维修服务的外包安全控制 6.4.3不接受厂商通过远程诊断端口进行远程维护访问授权 6.7信息处理设备可用性管理 7、其它要求 1.文档介绍 1.1编写目的 1.2适用范围 3.3流程原则 3.3.1变更类型 3.3.2责任人原则 3.3.4审批原则 3.3.8回退原则 3.3.9关闭原则 3.4.1变更信息项 923.4.3变更分类 93 97 99 4.1.7更改控制 4.1.8源程序库(程序源代码)管理及技术文档管理 4.2.2容量策划 4.2.3变更策划 4.2.4变更的实施 2、适用范围 6、相关记录 ISMS-P19事件管理程序 4.1.1信息安全事件的定义: 4.2.2故障、事故的响应 4.6风险处置流程 5.相关/支持性文件 3连续性管理流程 4相关文件 5.1.1法律识别 5.2.2技术符合性测量 5.3.1信息系统审计控制措施 5.3.2审计工具的保护 3职责 3.1管理运营部 4.1.1我公司的相关方包括以下团体或个人: 4.2.1相关部门应协调管理运营部识别外部相关方对信息资产和信息处理设施造 4.3外来人员管理 4.3.4外来人员的逻辑访问按《访问控制管理程序》进行 4.4第三方服务的管理 4.4.1第三方服务能力的评定 ISMS-P23相关方信息安全管理程序 2范围 3.1管理运营部 4程序 4.3对外来人员的管理 5相关文件 受控状态:受控【组织名称】信息安全管理手册文档信息文档编号:ISMS-M01-2023编写:审核:批准:初次发布日期:生效日期:版本记录//创建文档0.1信息安全管理手册发布令 0.2管理者代表委任书 27 2、规范性引用文件 283、定义和术语 283.1信息安全定义 4、组织环境 4.1理解组织及其环境 4.2理解相关方的需求和期望 4.3确定信息安全管理体系范围 4.4信息安全管理体系 5.1领导和承诺 5.2方针 5.3组织的角色,责任和权限 6.1应对风险和机会的措施 6.2信息安全目标和实现规划 6.3变更管理 7.4沟通 7.5文件化信息 37 37 9.3管理评审 9.3.1总则 40 40附件1组织结构图 附录2职能分配表 49附件4信息安全职责说明书 公司依据ISO/IECFDIS27001:2022《信息安全、网络安全和隐私保护信息安全管理体系要求》(以下简称信息安全管理体系)标准的要求,结合公司的实际情况,在公司内部建立信息安全管理体系,组织编写了《信息安全管理手册》,经审定符合国家、地方及行业的有关法律法规和本公司的实际情况,现予以发布。《信息安全管理手册》是公司日常信息流转管理活动必须遵循的纲领性文件,本公司将按《信息安全管理手册》的规定要求组织本公司进行各项业务活动。全体员工必须认真学习,准确理解其内容,并严格遵照执行。自本手册发布令签批之日起,本公司信息安全管理体系进入实施运行阶段。【组织名称】为贯彻执行ISO/IECFDIS27001:2022《信息安全、网络安全和隐私保护信息安全管理体系要求》。加强对公司体系运作的领导,特委任任公司信息安全管理体系的管理者代表。管理者代表的职责是:(1)确保按照标准的要求,进行资产识别和风险评估,全面建立、实施、运行、监视、评审、保持和改进信息安全管理体系,保证信息安全管理体系的持续适宜性和有效性;(2)就信息安全管理体系有关事宜进行内外部联络,组织、指挥、监督、协调各部门体系的运作;(3)确保在整个组织内提高信息安全风险的意识;(4)审核风险评估报告、风险处理计划,并监督其执行情况,并向总经理汇报残余风险;(5)收集整理各部门的管理评审输入材料,进行汇总,并在管理评审会议上向总经理报告;(6)向总经理报告信息安全管理体系的现状和任何改进的需求,包括信息安全管理体系运行情况、内外审核情况。本授权书自发布之日起生效执行。【组织名称】公司依据信息安全管理体系标准的要求编制《信息安全管理手册》,并包括了风险评估及处置的要求。规定了公司的信息安全方针及管理目标,引用了信息安全管理体系的内容,对标准中的第4章到第10章的内容,不做任何删减。c)体系范围:。d)组织范围:公司管理层、管理运营部、人力资源部、采购部、财务部、安全质量部、信息化中心。e)资产范围:与1)所述业务活动2)组织范围内及3)物理环境内相关的硬件、软件、数据、文档、人员及支持性服务等全部信息资产和相关技术手段。下列参考文件的部分或整体在本文档中属于标准化引用,对于本文件的应用必不可少。凡是注日期的引用文件,只有引用的版本适用于本标准;凡是不注日期的引用文件,其最新版本(包括任何修改)适用于本标准。信息安全、网络安全和隐私保护信息安全管理体系要求—概述和词汇。本手册旨在防止业务过程中信息被非授权地访问、使用、泄露、分解、修改和毁坏,以求保证信息的保密性、完整性、可用性和可追责性,使信息保障能正确实施、信息系统能按策划运行、信息服务能满足法律法规信息安全保密防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识,控制。即确保信息的完整性、保密性,可用性和可控性。避免攻击者利用系统的安全保密漏洞进行窃听、冒充、本手册中使用术语的定义采用ISO/IECFDIS27001:2022《信息安全、网络安全和隐私保护信息安全管理体系要求》中有关术语的定义。1.ISMS:Informationsecurity,cybersecuritymanagementsystems—Requirements信息安全、网络安全和隐私保护信息安全管理体系要求;2.SOA:StatementofApplicability适用性声明;3.PDCA:PlanDoCheckAction计划、实施、检查管理层确定与公司意图相关的,且影响其实现信息安全管理体系预期结果能力的外部和内部事项。管理运营部应确定信息安全管理体系要求的相关方及其信息安全要求,相关的信息安全要求。对于利益相关方,可作为信息资产识别,并根据风险评估的结果,制定相应的控制措施,实施必要的管理。识别原因位发布周期关注政府网站服务机构符合体系标准和服务资质周期与认证机构联系客户业务往来/合同关系周期合同合同关系周期合同管理层决策公司的信息安全管理工作公司信息安全策略不定期定期不定期汇报、管理评审公司员工公司信息安全工作执行层各职能部门实际工作中的信息安全要求不定期公司会议本公司ISMS的范围包括a)物理范围:b)业务范围:。c)组织范围:公司管理层、管理运营部、人力资源部、采购部、财务部、安全质量部、信息化中心。d)资产范围:与所述业务活动、组织范围内及物理环境内相关的硬件、软件、数据、文档、人员及支本公司按照信息安全管理体系标准的要求建立一个文件化的信息安全管理体系。同时考虑该体系的a)确保信息安全策略和信息安全目标已建立,并与公司战略方向一致;b)确保将信息安全管理体系要求要求融合到日常管理过程中;d)向公司内部传达有效的信息安全管理及符合信息安全管理体系要求要求的重要性;h)支持管理运营部及各部门的负责人,在其职责范围内展现领导力。5.2方针b)包括信息安全目标(见6.2),或为建立信息安全目标提供框架;d)包括ISMS持续改进的承诺。预防为主,完善管理,持续改进,保证安全。将管理与技术相结合,建立完整的信息安全管理体系要求。安全管理的基本原理防大于亡羊补牢;采用适宜的、充分的、有效的控制措施来纠正和预防信息安全事态。控制风险是前提,风险自身是动态的过程。本公司在运行过程中需要审时度势、量体裁衣、因地制应,逐步的修订现有制上述方针的批准、发布及修订由公司总经理负责;信息安全方针是以文档化的身份可用的,通过培、宣贯等方式使得本公司员工知晓并执行相关内容;通过有效途径告知服务相关方及客户,以提高安全保5.3组织的角色,责任和权限公司管理层决定全公司的组织机构和各部门的职责(包括信息安全职责),并形成文件,具体内容见附录3/4。各部门的信息安全管理职责决定本部门组织形式和业务分担,并形成文件,具体内容见附录B职能总经理为本公司信息安全的最高责任者。各部门/项目组负责人为各部门应按照《信息安全适用性声明》中规定的安全目标、控制措施(包括安全运行的各种控制程序)的要求实施信息安全控制措施。6、规划6.1.1总则件/系统、数据/文档、硬件/设施、人力资源及外包服务。对每一项信息资产,根管理运营部制定信息安全风险评估管理程序,经管理运营部组长6.1.2信息安全风险评估风险评估的系统方法管理运营部制定信息安全风险评估管理程序,经管理者代表审核,总经理批准后组织实施。风险评估管理程序包括可接受风险准则和可接受水平。该程序的详细内容适用于《信6.1.3信息安全风险处置管理运营部应组织有关部门根据风险评估的结果,形成《风险处理计划》,该计划应明确风险处理a)采用适当的内部控制b)接受某些风险(不可能将所有风险降低为零);c)回避某些风险(如物理隔离);d)转移某些风险(如将风险转移给保险者、供方、分包商)。管理运营部根据信息安全方针、业务发展要求及风险评估的结果,组织有关部门制定信息安全目标。控制目标及控制措施的选择原则来源于附录A。本公司根据信息安全管理的需要,可以选择标准之a)所选择控制目标与控制措施的概b)对ISO/IECFDIS27001:2022附录A中未选用的控制目标及控制措施理由的说明。对风险处理后的残余风险应形成《残余风险评估报告》并得到总经理的批准。管理运营部应保留信a)受控信息泄露的事态发生≤1起;b)顾客保密性投诉的次数每年不超过1起;c)信息安全培训率≥99%;d)信息安全事件导致的故障/事态未能在规定时间内恢复的次数≤0起/年管理运营部根据《适用性声明》、《信息资产风险评估表》中风险处理计划所选择的控制措施,明确控制措施改进时间表。对于各部门信息安全目标的完成情况,按照《信息安全目标及有效性测量程序》的要求,周期性在主责部门对各控制措施的目标进行测量,并记录测量的结果。通过定期的内审、控制a)确定公司全体员工影响b)确保上述人员在适当的教育、培训或经验的基础上能够胜任其工作;d)保留适当的文件化信息作为能力的证据。注:适用的措施可包括,对新入职员工进行的信息安全意识教育;定期对公司员工进行的业务实施b)个人其对公司信息安全管理体系有效性的贡献,包括改进信息安全绩效带来的益处;c)不符合信息安全管理体系要求要求带来的影响。沟通机制知下发按需管理运营部客户意度调查改善服务,提升客户满意度客定期发生时管理运营部安全质量部员工全意识培训制度要求信息安全职责不定期人力资源部项目合作邮件往来电话咨询供应商服务评价公司信息安定期信息化中心7.5.1总则a)本标准要求的文件b)管理运营部确保信息安全管理体系的有效运行,需编制《文件控制程序》用以管理公司信息安7.5.2创建和更新a)标识和描述(例如标题、日期、作者或编号);b)格式(例如语言、软件版本、图表)和介质(例如纸质、电子介质);c)对适宜性和充分性的评审7.5.3文件化信息的控制a)在需要的地点和时间,是可用和b)得到充分的保护(如避免保密性损失、不恰当使用、完整性损失等)。c)为控制文件化信息,适用时,科技规划部应开展以e)存储和保护,包括保持f)控制变更(例如版本控制);a)形成《信息安全风险处理计划》,以确定适当的管理措施、职责及安全保密控制措施的优先级,应特别注意公司外包过程的确定和控制;对于系统集成服务项目,项目经理应在项目策划阶段识别所b)为实现已确定的安全保密目标、实施风险处理计划,明确各岗位的信息安全职责;e)对信息安全体系的运作进行管理,控制计划了的变更,评审非预期变更的后果,必要时采取措f)对信息安全所需资源进行管理;g)实施控制程序,对信息安全事故(或事件)进行迅速反应。管理运营部制定全公司的组织机构和各部门的职责(包括信息安全职责),并形成文件。管理运营部成员负责完成信息安全管理体系运行时必须的任务;对信息安全管理体系的运行情况和各部门负责人作为本部门信息安全的主要责任人,信息安全内审员负责管理体系要求的运行与实施,并形成文件;全体员工都应按保密各部门应按照《信息安全适用性声明》中规定的安全保密目标、控制措施(包括安全保密运行的各种控制程序)的要求实施信息安全控制措施。管理运营部应对满足信息安全要求及实施6.1中确定的措施所需的过程予以规划、实施和控制,同时应实施计划以实现6.2中确定的信息安全目标。公司按照组织《信息安全风险管理程序》的要求,每年定期或当重大变更提出或发生时,执行信息安全风险评估。每次风险评估的过程均需形成记录,并由管理运营部保留每次风险评估的记录,如:风a)形成《风险处理计划》,以确定适当的管理措施、职责及安全保密控制措施的优先级;b)为实现已确定的安全保密目标、实施风险处理计划,明确各岗位的信息安全职责;c)实施所选择的控制措施,以实现控制目标管理运营部负责组织相关人员,定期检查风险处理计划的执行情9.1监视、测量、分析和评价本公司通过实施定期的控制措施实施有效性检查、事故报告调查处理、电子监控a)及时发现c)使管理者掌握信息安全活动是否有效,并根据优先级别确定所要采d)积累信息安全按照计划的时间间隔(不超过一年)进行ISMS内部审核,内部审核的具体要求,见本手册9.2要根据控制措施有效性检查和内审检查的结果以及来自相关方的建议和反馈,由最高责任者主持,每年对ISMS的有效性进行评审,其中包括信息安全范围、方针、目标及控制措施有效性的评审。管理评审的具体要求,见本手册9.3要求。管理者代表应组织有关部门按照《信息安全风险评估管理程序》的要求对风险处理后的残余风险进行定期评审,以验证残余风险是否达到可接受的水平,对以下方面变更情况应及时进行风险评估:a)组织机构发生重大变更;b)信息处理技术发生重大变更;c)公司业务目标及流程发生重大变更;d)发现信息资产面临重大威胁;e)外部环境,如法律法规或信息安全标准发生重大变更。f)保持上述活动和措施的记录。以上活动的详细程序规定于以下文件中:《监视与测量管理程序》《信息安全风险评估管理程序》《内部审核管理程序》内部信息安全审核主要指内部信息安全管理体系审核,其目的是验证公司信息安全管理体系运行的符合性和有效性并不断改进和完善公司的信息技术-安全技术-信息安全管理体系要求。a)公司统一组织、管理内部信息安全审核工作,管理运营部负责制定《内部审核管理程序》并贯彻b)管理者代表负责领导和策划内部审核工作,批准年度内审计划和追加审核计划,批准审核组成c)管理运营部负责对审核组长及成员提名,编制年度审核计划和追加审核计划,报管理者代表批准后执行。d)审核组长组织和管理内部审核工作,根据实际情况和重要性安排审核顺序实施审核。9.2.2实施审核a)审核组长编制的审核计划,经管理者代表批准后,负责在实施审核前5天向被审核方发出书9.2.3审核报告审核组长应在完成全部审核后,按规定格式编写《内9.2.4纠正措施和跟踪验证a)被审核部门经理制定纠正措施,填写在《内审不合格项报告及纠正报告》中。b)纠正措施完成后后,应将纠正措施完成情况填写到《内审不合格项报告及纠正报告》相应栏内,c)审核组长视具体情况通知审核组复查,跟踪验证纠正措施实施情况,并将验证结果填写在《内9.2.5审核记录审核组长应收集所有内部信息安全审核中发生的计划通知、内部审核检查表、记录、审核报告、总9.3.1总则总经理为确认信息安全管理体系的适宜性、充分性和有效性,每年对信息安全管理体系进行一次全面评审。该管理评审应包括对信息技术-安全技术-信息安全管理体系要求是否需改进或变更的评价,以及对信息安全方针和信息安全管理目标的评价。管理评审的结果应形成书面记录,并至少保存3年,按照《文9.3.2管理评审的输入在管理评审时,管理运营部应组织相关部门提供以下资料,供信息安全管理最b)相关方的反馈(投诉、抱怨、建议);c)可以用来改进ISMS业绩和有效性的新技术、产品或程序;e)信息安全事故或征兆,以往风险评估时未充分考虑到的薄弱点或威胁;f)上次管理评审时决定事项的实施情况;g)可能影响信息安全管理体系变更的事项(标准、法律法规、相关方要求);h)对信息安全管理体系改善的建议;i)有效性测量结果。9.3.3管理评审的输出a)信息安全c)必要时,对影响信息安全的控制流程进行变更,以应对包括以下变化的内外部事件对信息安全d)对资源的需求。公司的持续改进是信息安全管理体系得以持续保持其有效性的保证,公司在其信息管理体系安全方针、安全目标、安全审核、监视事态的分析、纠正措施以及管理评审方面都要持续改进信息安全管本公司开展以下活动,以确保ISMS的持续改进:a)实施每年管理评审、内部审核、安全检查等活动以确定需改进b)按照《内部审核管理程序》、《纠正措施控制程序》的要求采取适当的纠正和预防措施;c)吸取其他组织及本公司安全事故的经验教训,不断改进安全措施的有效性;d)对信息安全目标及分解进行适当的管理,确保改进达到预期的效果;不符合和纠正措施发生不符合事项的责任部门在查明原因的基础上制定并实施相应的纠正措施,以消除不符和的原因,防止不符合事项再次发生。管理运营部负责制定《纠正措施控制程序》并组织问题发生部门针对发现的不符合现象分析原因、制定纠正措施,以消除不符合,并防止不符合的再次发生。对纠正措施的实施和验证规定以下步骤:e)识别不符合;f)确定不符合的原因;g)评价确保不符合不再发生的措施要求;h)确定和实施所需的纠正措施;i)记录所采取措施的结果;j)评审所采取的纠正措施,将重大纠正措施提交管理评审讨论。附件1组织结构图智慧城市事业部安全质量部采购保障部财务资产部人力资源部管理运营部智慧城市事业部安全质量部采购保障部财务资产部人力资源部管理运营部附录2职能分配表备注:★主责部门部门管理层管理运营部安全质量部人力资源部采购部财务部信息化中心ISO27001标准要求4组织环境理解组织及其环境▲△△△△△△理解相关方的需求和期望▲△△△△△△确定信息安全管理体系范围▲△△△△△△信息安全管理体系▲△△△△△△5领导力▲△△△△△△▲△△△△△△组织的角色,职责和权限▲△△△△△△6规划▲△△△△△△信息安全目标和实现规划▲△△△△△△变更的策划▲△△△△△△7△△△△△△△资源▲△△△△△△能力△△△▲△△△意识△△△▲△△△△△△▲△△△文件化信息△▲△△△△△8运行运行规划和控制△△▲△△△△△△▲△△△△△△▲△△△△9绩效评价△△▲△△△△内部审核△△▲△△△△管理评审▲△△△△△△改进不符合及纠正措施△△▲△△△△持续改进▲△△△△△△组织控制▲△△△△△△信息安全角色和职责▲△△△△△△职责分离管理者职责▲△△△△△△与职能机构的联系△▲△△△△△与特定相关方的联系△▲△△△△△△△△△△△▲项目管理中的信息安全△△△△△△▲△△△△△△▲信息和其他相关资产的可接受使用△▲△△△△△A.5.1l资产归还△▲△△△△△信息的分级△△△△△△▲△△△△△△▲△△△△△△▲访问控制△△△△△△▲身份管理△△△△△△▲身份验证信息△△△△△△▲△△△△△△▲△△△△▲△△△△△△▲△△ICT供应链的信息安全管理△△△△▲△△供应商服务的监控、审查和变更管理△△△△▲△△使用云服务的信息安全△△△△△△▲△△△△△△▲△△△△△△▲△△△△△△▲从信息安全事件中学习△△△△△△▲△△△△△△▲中断期间的信息安全△△△△△△▲ICT为业务连续性做好准备△△△△△△▲法律、法规、监管和合同要求△▲△△△△△知识产权△▲△△△△△记录的保护△▲△△△△△隐私和个人可识别信息保护△△△△△△▲信息安全独立审核△△△△△△▲△△△△△△▲△▲△△△△△人员控制审查△△△▲△△△△△△▲△△△信息安全意识、教育和培训△△△▲△△△△△△▲△△△△△△▲△△△保密或不泄露协议△△△▲△△△远程工作△△△△△△▲△△△△△△▲物理控制△▲△△△△△物理入口△▲△△△△△办公室、房间和设施的安全△▲△△△△△△▲△△△△△外部和环境威胁的安全防护△△△△△△▲在安全区域工作△△△△△△▲△△△△△△▲设备选址和保护△△△△△△▲组织场所外的资产安全△△△△△△▲存储介质△▲△△△△△支持性设施△▲△△△△△△▲△△△△△设备维护△▲△△△△△设备的安全处置或再利用△▲△△△△△技术控制用户终端设备△△△△△△▲△△△△△△▲信息访问限制△△△△△△▲源代码的访问△△△△△△▲安全的身份验证△△△△△△▲△△△△△△▲恶意软件防范△△△△△△▲△△△△△△▲△△△△△△▲信息删除△△△△△△▲数据屏蔽△△△△△△▲数据泄露防护△△△△△△▲△△△△△△▲△△△△△△▲记录日志△△△△△△▲监控活动△△△△△△▲时钟同步△△△△△△▲特权实用程序的使用△△△△△△▲△△△△△△▲网络安全△△△△△△▲网络服务的安全△△△△△△▲网络隔离△△△△△△▲网页过滤△△△△△△▲加密技术的使用△△△△△△▲安全开发生命周期△△△△△△▲△△△△△△▲安全系统架构和工程原则△△△△△△▲安全编码△△△△△△▲△△△△△△▲外包开发△△△△△△▲开发、测试和生产环境的分离△△△△△△▲△△△△△△▲测试信息△△△△△△▲审计测试期间信息系统的保护△△△△△△▲附件3部门职责管理运营部:1、公司集中的综合行政管理部门,负责战略发展与规划管理、公司制度建设、对内协调与对外联络、法审、企业文化建设、档案、资质管理、设备设施管理、后勤保障等相关业务。2、负责公司印章的管理;管理体系建设、维护、监督和审计。人力资源部:1、人力资源管理工作:研究公司现阶段及中长期人力资源需求情况,组织拟订并实施公司的人力资源规划;组织建立绩效考核体系,并负责体系的有效运行;负责公司各类人才的招聘与选拔工作,满足公司业务发展对人才的需求;制定并督促实施公司的人力资源培训及开发计划,对员工的使用和自身发展提供建议;协调劳资关系,为公司的正常经营提供良好的人事环境;负责公司员工劳动合同管理工作;修制定公司薪酬体系和各项制度,负责监督实施;负责组织实施公司职称评审工作。2、党建工作:负责公司党的思想建设、负责公司党的组织建设、负责开展公司精神文明创建工作、1、建立健全公司资产管理办法、各项财务及资金管理、审计工作,各项资质财务数据的编制、申报工2、叁与拟订财务计划,审核、分析、监督预算和财务计划的执行情况;3、负责编制公司月度、年度会计报表、年度会计决算及附注说明和利润分配核算工作。信息化中心:1、信息化中心主要提供智慧城市建设,大数据交换、融合、共享及社会化服务应用的研发、运维及运营服务;2、负责自主研发了数据交换共享平台、网格化管理服务平台,智慧城市管理平台集成业务领域包括硬件系统集成和应用系统集成两部分内容,其中,硬件系统集成主要为计算机网络系统集成,具体包括了主机系统、存储备份系统、综合布线系统、大屏幕显示系统等内容;应用系统集成包括了基础软件平台建设、应用系统部署、呼叫中心系统集成、视频监控系统集成等内容。安全质量部:负责公司安全保卫、治安消防管理及公司工程质量管理。采购部:1、严格按采购计划采购,做到及时、适用,合理降低物资积压和采购成本;2、采购物资,验收入库,票物相符,手续完备。积极协助有关部门在现场使用过程中会出现的问题并妥善解决。序号角色信息安全职责1总经理任命管理者代表,明确管代的职责和权限;确保在内部传达满足客户和法律法规的符合性;为信息安全管理体系配备必要的资源;主持管理评审;负责公司信息安全管理和企业管理的计划、组织、协调、监督、控制和考核工遵守公司信息安全的相关规定及本岗位相关2管理者代表负责建立、实施、保持和改进信息安全管理体系,保证信息安全体系的有效运负责公司信息安全管理手册的审核,程序文件的批准,组织并领导公司内部审核负责向总经理报告信息安全体系运行的业绩和任何改进的需求;3体系管理员协助管代在信息安全事务上的决策;负责信息安全管理体系的建立、实施和日常运行,起草信息安全政策,确定信息安全管理标准,督促各信息安全执行单位对于信息安全政策、措施的实施;负责定期召开信息安全管理工作会议,定期总结运行情况以及安全事件记录,并向管代汇报;协调各部门以及与外部组织间有关的信息安全工作,负责建立各部门、关联公司、外部安全管理主管机构间的定期联系和沟通机制;负责对ISMS体系进行内审,验证体系的有效性和适宜性,并对发现的问题提出内部审核建议;负责对ISMS体系的具体实施、各部门的信息安全运行状况进行定期审计或专项负责汇报审核结果,并督促审计整改工作的进行,落实纠正措施和预防措施;负责制定违反安全政策行为的标准,并对违反安全政策的人员和事件进行确认;负责调查信息安全事件,并维护安全事件的记录报告,定期总结安全事件记录报负责管理体系文件的控制;负责保存内部审核和管理评审的有关记录;4各部门的信息安全主管领导部门的信息安全主管领导由本部门经理担任;负责协助信息安全管理运营部建立本部门的信息安全管理制度和流程;部门的信息安全主管领导系本部门信息安全管理责任人,负责本部门的信息安全管理工作,负责保护本部门所拥有和管理的信息资产的安全;负责采取有效办法,落实和推动信息安全政策的实施;负责指导和要求本部门员工遵守信息安全政策;对违反安全政策的行为进行内部处罚;5部门信息安全员负责本部门日常的具体信息安全工作,并参加信息安全管理工作小组所要求的各项活动;负责按照ISMS体系的要求,对本部门所拥有和管理的信息资产进行维护,包括资产的识别和分类、资产的威胁和脆弱性识别及安全需求级别确定等工作;负责根据ISMS安全政策要求,在本部门提高员工安全意识,落实责任,保护信息资产的安全,并确保已建立的安全控制措施持续有效;负责向信息安全主管领导及管理运营部经理报告信息安全事件和违反信息安全政策的行为,协助对违反安全政策的行为进行调查;协助本部门信息安全主管领导落实针对本部门的纠6内部员工严格遵守所有与信息安全相关的国家法律、法规和政策,遵守公司所有的信息安全政策,并签字承诺遵守保密协议的有关规定;以安全负责的方式使用公司的信息资产;积极参加信息安全教育与培训,提供信息安全意识;有责任将违反信息安全政策的事件与行为及时报告给本部门信息安全管理员及其他相关人员。受控状态:受控【组织名称】文档编号:ISMS-MO2-2023审核:批准:初次发布日期:2022-12-1修改日期:2022-12-1发布日期:2022-12-1//创建文档适用性声明(StatementofApplicability)适用性A.5组织控制集信息安全策略和特定主题的策略应由管理层定义、批准、发布、传达给相关人员和相关利益方,并由其确认,如果发生重大变化,应按计划的时间间隔进行审查。信息安全策略应满足以下要求:a)业务战略和要求;b)法律、法规和合同;c)当前和预计的信息安全威胁环境。信息安全策略应包含以下内容的声明:a)对信息安全的定义;b)信息安全目标或设置信息安全目标的框架;c)指导与信息安全有关的所有活动的原则;d)承诺满足有关信息安全的适用要求;e)承诺持续改进信息安全管理系统;f)将信息安全管理的职责分配给已定义的角色;g)处理偏差和异常的程序。信息安全角色和职责应根据组织需要定义和分配信息安全角色和职责。职责分离管理者职责管理层应要求所有人员按照组织制定的信息安全策适当地向他们介绍了他们的信息安全角色和职责;c)被授权执行组织的信息安全政策和特定主题的政d)达到与其在组织内的角色和职责相关的信息安全意识水平(见6.3);e)符合雇佣、合同或协议的条款和条件,包括组织的信息安全政策和适当的工作方法;f)通过持续的专业教育,继续拥有适当的信息安全技能和资格;定主题政策或信息安全程序的行为提供保密渠道。这可以允许匿名举报,或者规定确保只有需要处理此类举报的人知道举报人的身份;h)为实施组织的安全相关过程和控制提供足够的资与职能机构的联系管机构、监督机构),以及如何及时报告已识别的信与特定相关方的联系会的适当联系。a)提高有关最佳实践的知识并及时了解相关安全信b)确保对信息安全环境的理解是最新的;c)接收有关攻击和漏洞的警报、建议和补丁的早期d)获得专家信息安全建议;e)共享和交换有关新技术、产品、服务、威胁或漏洞的信息;f)在处理信息安全事件时提供合适的联络点。联系单》是威胁情报。威胁情报活动应包括:a)建立威胁情报生成的目标;息的必要和适当的内部和外部信息源;c)从选定的来源收集信息,可以是内部的也可以是外部的;d)处理收集到的信息以准备分析(例如通过翻译、格式化或证实信息);e)分析信息以了解其与组织的关系和意义;f)以一种可以理解的格式与相关个人进行交流和分享。应分析威胁情报并在以后使用:a)通过实施过程,将从威胁情报来源收集的信息纳入组织的信息安全风险管理过程;单》案等技术预防和检测控制的额外输入;项目管理中的信息安全在整个项目生命周期中,定期作为项目风险的一部b)信息安全要求[例如应用程序安全要求(8.26)、到解决;c)在整个项目生命周期中考虑和处理与项目执行相关的信息安全风险,例如内部和外部通信方面的安资产清单资产的可接受使用使用规则和处理程序资产归还员工和其他相关方在任用、合同或协议终止时,应信息的分级整性、可用性和相关方要求进行分级信息标记程序应涵盖所有格式的信息和其他相关资易于识别。考虑到信息的访问方式或资产的处理方式(取决于存储介质的类型),作量);送或存储的信息;组织应建立并与所有相关方沟通特定主题的信息传所涉及信息的分类。在组织和第三方之间传输信息时,应建立和维护传输协议(包括接收者身份验理程序》访问控制应根据业务和信息安全要求制定和实施控制信息和应给用户和服务提供商提供一份访问控制要满足的b)信息分发和授权的策略,例如“需要则知道”的原则、信息安全级别和信息分类;c)不同系统和网络的访问权限和信息分类策略之间的一致性;d)关于限制访问数据或服务的相关法律和合同义e)在认可各种可用连接类型的分布式和网络化环境中的访问权限的管理;f)访问控制角色的分离,例如访问请求、访问授权、访问管理;理程序》g)访问请求的正式授权要求;h)访问权限的定期评审要求;i)访问权限的撤销;j)关于用户身份和秘密鉴别信息使用和管理的所有重大事件记录的存档;身份管理a)对于分配给人员的身份,特定身份仅与单个人员相关联,以便能够让该人员对使用此特定身份执行的操作负责;务或运营原因需要时才允许使用,并且需要经过专门的批准和文件;c)分配给非人类实体的身份受到适当隔离的批准和独立的持续监督;d)如果不再需要身份(例如,如果其关联实体被删除或不再使用,或者与身份相关联的人已离开组织或改变角色),则会及时禁用或删除身份;复身份)];身份验证信息身份验证信息的分配和管理应通过一个管理过程进行控制,包括建议人员对认证信息进行适当的处题策略和访问控制规则进行设置、评审、修改和删供应商关系中的商提供的产品和服务相关的安全风险。这也应适用于组织对云服务提供商资源的使用。这些过供应商为开始使用供应商的产品或服务或终止使用供应商的产品和服务而实施的过程和程序。在供应商协议中的强调信息安全信息安全要求并达成一致。ICT供应链的信息安全管理控、审查和变更管理组织应定期监控、审查、评估和管理供应商信息安使用云服务的信息安全应按照组织的信息安全要求,建立从云服务获取、应定义并传达其打算如何管理与使用云服务相关的的服务的现有方法的扩展或一部分。云服务的使用可能涉及信息安全的共同责任以及云力。云服务提供商和作为云服务客户的组织的职责理策划和准备划和准备。序》信息安全事态的组织应评估信息安全事态,并决定它们是否归类为信息安全事件。序》信息安全事件响应信息安全事件应按照文件记录的程序进行响应。序》中学习应利用从信息安全事故中取得的知识加强和改进信息安全控制。序》组织应建立并实施与信息安全事件相关证据的识别、收集、采集和维护程序。序》中断期间的信息安全当的水平。序》ICT业务连续性管理程序》管和合同要求持更新。程序》知识产权组织应实施保护知识产权的适当程序。理规定》记录的保护问和未经授权的泄露。组织应采取以下步骤来保护记录的真实性、可靠管理的要求会随着时间的推移而发生变化:序》理的特定主题政策和其他记录要求保持一致;隐私和个人可识别信息保护组织应根据适用的法律法规和合同要求,识别并满足有关隐私保护和PII保护的要求。《个人信息安信息安全独立审核程和技术,应定期或在出现重大变化时进行独立评《内部审核管信息安全策略、应定期检查对组织信息安全策略、特定主题策略、管理、服务、产品或信息所有者应确定如何审查信息安全政策、特定主题政策、规则、标准和其他适a)识别不合规的原因;b)评估为实现合规而采取改进措施的必要性;c)实施适当的改进措施;d)审查为验证其有效性和识别任何缺陷或弱点而采《符合性管理程需要的人员。应为组织与信息安全相关的业务活动a)当活动需要多人以相同的方式进行时;被遗忘;c)当活动是新的,如果执行不正确会带来风险时;《文件控制程《记录控制程a)责任人;b)系统的安全安装和配置;c)自动和手动的信息处理和处置;d)备份(见8.13)和恢复力;e)调度要求,包括与其他系统的相互依赖关系;f)处理错误或其他可能在作业执行期间出现的异常情况[例如对实用程序的使用限制(见8.1g)支持和升级联系,包括在出现意外操作或技术困难时的外部支持联系;h)存储介质处理说明(见7.10和7.14);i)系统故障时使用的系统重启和恢复程序;j)审计跟踪和系统日志信息(见8.15和8.17)和视频监控系统(见7.4)的管理;k)诸如容量、性能和安全性的监控程序(见8.6和下,应使用相同的程序、工具和实用程序对信息系A.6人员控制审查候选人员,同时考虑适用法律、法规和道德,并按《人力资源管劳动合同协议应明确员工和组织在信息安全方面的《人力资源管理程序》信息安全意识、组织和相关方人员应接受与工作职能相关的适当的信息安全意识、教育和培训,并定期更新组织的信息安全政策、特定主题的政策和程序。理程序》应正式建立纪律程序并进行沟通,以对违反信息安理程序》的责任终止或变更雇佣关系后仍有效的信息安全责任和义务应明确、执行并传达给相关人员和其他相关方。理程序》保密或不泄露协议署、反映组织保护信息需求的保密协议或保密协理程序》远程工作当员工进行远程工作时,应实施安全措施,保护在理程序》态组织应提供一种机制,让员工通过适当的渠道及时序》A.7物理控制在适合物理安全边界的情况下,应考虑并实施以下a)根据与边界内资产相关的信息安全要求,定义安全边界以及每个边界的位置和强度;全的边界(即边界或容易发生闯入的区域不应有间隙)。工地的外部屋顶、墙壁、天花板和地板应该是坚固的结构,所有外门都应该通过控制机制(例如栏杆、警报器、锁)进行适当的保护,以防止未安全管理程序》窗户进行外部保护,特别是在地面上;还应考虑通c)警报、监控和测试安全周边的所有防火门以及墙壁,以根据适当的标准确定所需的阻力水平。它们应该以故障安全方式运行。物理入口护。办公室、房间和设施的安全应为办公室、房间和设施设计并采取物理安全措施.安全管理程营业场所应持续被监控,防止未经授权的物理访者警报、闭路电视等视频监控系统以及内部或监控外部和环境威胁的安全防护应设计和实施针对物理和环境威胁的保护措施,如自然灾害和对基础设施的其他有意或无意的物理威胁。在安全区域工作应设计并实施在安全区域工作的安全措施。则;针对信息处理设施,采用清理屏幕规则,并适当的执行。设备选址和保护设备应安全放置并加以保护。应考虑以下准则来保护设备:免未经授权的进入;b)仔细定位处理敏感数据的信息处理设施,以减少未经授权的人员在使用过程中查看信息的风险;c)采取控制措施将潜在的物理和环境威胁的风险降至最低[例如盗窃、火灾、爆炸物、烟雾、水(或供信干扰、电磁辐射和故意破坏];d)制定信息处理设施附近的饮食和吸烟指南;e)监测可能对信息处理设施的运行产生不利影响的环境条件,例如温度和湿度;f)对所有建筑物实施防雷保护,并在所有输入电源和通信线路上安装防雷过滤器;例如键盘膜;h)保护处理机密信息的设备,以尽量减少因电磁辐射而导致信息泄露的风险;i)在物理上将组织管理的信息处理设施与非组织管组织场所外的资(例如移动设备),包括组织拥有的设备和私人拥有并代表组织使用的设备(BYOD)都需要保护。这存储介质应根据组织的分级方案和处理要求,对存储介质的获取、使用、运输和处置的整个生命周期进行管交换管理规截获、干扰或破坏。设备维护应正确维护设备,以确保信息的可用性、完整性和保密性。或再利用数据和许可软件在处置或重新使用前已被删除或安全覆盖。理或通过用户终端设备访问的信息。应限制并控制特许访问权的分配和使用。信息访问限制信息和其他相关资产的访问应根据既定的访问控制专题策略加以限制。源代码的访问安全的身份验证根据信息访问限制和访问控制的专题策略,实施安全的身份验证技术和流程。资源的使用应根据当前和预期的容量要求进行监测和调整。恶意软件防范持。估组织对此类脆弱性的暴露,并采取适当措施。务和网络的配置,包括安全配置。当不再需要时,应删除存储在信息系统、设备或任式(如电子覆盖或加密擦除);b)记录删除结果作为证据;c)在使用信息删除服务商时,向其获取信息删除证如果第三方代表其存储组织的信息,则组织应考虑将信息删除要求纳入第三方协议,以在此类服务期如果需要考虑保护敏感数据(例如PII),组织应或其他敏感信息的真实身份,断开PII与PII使用假名或匿名技术时,应验证数据已被充分假名或匿名化。数据匿名化应考虑敏感信息的所有元素是有效的。例如,如果考虑不当,即使可以直接识识别该人的进一步数据来识别该人。数据泄露防护信息的系统、网络和任何其他设备。组织应考虑以价模型和产品设计);b)监控数据泄漏渠道(例如电子邮件、文件传输、移动设备和便携式存储设备);c)采取措施防止信息泄露(例如,隔离包含敏感信理规定》信息处理设施的日志监控活动时钟同步特权实用程序的使用理程序》网络安全管理制度》网络服务的安全应识别、实施和监控网络服务的安全机制、服务级管理制度》网络隔离应考虑通过将大型网络划分为单独的网络域并将它管理制度》们与公共网络(即互联网)分开来管理大型网络的安全性。可以根据信任级别、关键性和敏感性(例如公共访问域、桌面域、服务器域、低风险和高风险系统)以及组织单位(例如人力资源、财务、营如果允许网络域之间的访问,则应使用网关(例如防火墙、过滤路由器)在外围对其进行控制。将网基于对每个域的安全要求的评估。评估应符合特定主题的访问控制政策(见5.15)、访问要求、处理信息的价值和分类,并考虑结合适当网关技术的相网页过滤应对外部网站的访问进行管理,以减少恶意内容的组织应降低员工访问包含非法信息或已知包含病毒或网络钓鱼材料的网站的风险。一种通过阻止相关网站的IP地址或域来实现此目的的技术。一些浏览器和反恶意软件技术会自动执行此操作或可以配加密技术的使用应定义和实施有效的加密技术使用规则,包括密钥安全开发生命周期安全开发是构建安全服务、架构、软件和系统的必a)开发、测试和生产环境的分离(见8.31);发与维护管理b)软件开发生命周期中的安全指南:1)软件开发方法的安全性(见8.28和8.27);2)使用的每种编程语言的安全编码指南(见c)规范和设计阶段的安全要求(见5.8);d)项目中的安全检查点(见5.8);e)系统和安全测试,例如回归测试、代码扫描和渗透测试(见8.29);f)源代码和配置的安全存储库(见8.4和g)版本控制中的安全性(见8.32);h)所需的应用安全知识和培训(见8.28);i)开发人员预防、发现和修复漏洞的能力(见j)许可要求和替代方案,以确保具有成本效益的解决方案,同时避免未来的许可问题(见5.32)。如果开发是外包的,组织应确保供应商遵守组织的安全开发规则(见8.30)。求在开发或获取应用程序时,应确定、规定和批准信息安全要求。发与维护管理安全系统架构和工程原则应用于任何信息系统开发活动。发与维护管理安全编码软件开发应采用安全编码原则。发与维护管理开发和验收中的应在开发生命周期中定义和实施安全测试过程。安全测试外包开发发与维护管理产环境的分离发与维护管理新系统的引入和对现有系统的重大变更应遵循商定的规则和文档、规范、测试、质量控制和管理实施的正式流程。变更控制程序应形成文件并加以执行,以确保信息处理设施和信息系统中信息的机密性、完整性和可用性,适用于从早期设计阶段到所有后续维护工作的整个系统开发生命周期。测试信息作信息的保密性。不应将敏感信息(包括个人身份信息)复制到开发和测试环境中(见8.31)。测试信息应安全存储(防止篡改,否则可能导致无发与维护管理审计测试期间信息系统的保护涉及运行系统的审计测试和其他评估保证活动应在受控状态:受控【组织名称】信息安全程序文件汇编文档编号:ISMS-P00-2023编写:审核:批准:生效日期:修订日期://创建文档 1.1编写目的 1.2适用范围 2、术语、定义和缩略语 2.1管理体系文件 2.2管理手册 2.3程序文件 2.4作业指导文件 3.3文件修改人的职责 4、体系文件阶层及编码 5.1文件要素 5.2文件控制 5.2.2文件审批975.2.3文件的监督、核查 5.2.4文件保存与发放 5.2.7文件的作废处置 5.2.8外来文件的管理 1.2适用范围 2、术语、定义和缩略语 3、职责 4.1记录的填写规定 4.3记录的储存与维护 4.5记录表格的修订 4.5.1各部门的记录表格在使用前均须经过主管级以上批准 4.7当有追溯要求时,各部门的记录应及时提供查阅 1、文档介绍 4、作业内容 4.2作业说明 284.2.1内部审核的策划内审计划的制定 4.2.2实施内部审核 4.2.3执行纠正措施 3.2管理评审程序 3.2.1管理评审策划管理评审计划制定 3.2.2管理评审实施1)管理评审准备 3.2.3管理评审后续问题处理编制管理评审报告 4.管理评审相关表单 2适用范围 3术语和定义 4.1.2负责识别与公司有关的法律法规,并检验是否满足 5工作程序 5.1法律符合性测量 205.1.1法律识别 20 5.1.3保护组织的记录 215.1.4数据保护和个人信息的隐私 21 5.1.6密码合法使用 5.2策略、标准和技术的符合性测量 21 215.2.2技术符合性测量 5.3信息系统审计 5.3.2审计工具的保护 5.4审计过程和产品 22 6记录 24 24 24 24 26 26 27 28 29 3、引用文件 4、职责 4.1人力资源部 31 4.3总经理 5.1安全角色与职责 1周内完成 325.3任用条款和条件 6、任用中 6.1体系教育与培训 6.2.3教育培训计划经总经理批准后实施 6.3培训的目的 6.4培训的对象及内容 356.5.1培训:由公司内、外部有专长的人员就某一专题进行讲授 6.6培训记录 6.7纪律处理 7.3撤销访问权 37 39 40 40 40 机密性赋值(x) 41 42资产重要性等级(A) 43 447.3.1威胁分类 7.3.2威胁赋值(T) 47 7.4.1脆弱性识别内容 487.4.2脆弱性赋值(V) 7.6风险分析 7.6.3风险计算(R) 7.6.4风险结果判定 51 7.7.1风险处置计划 7.7.2风险处置的可选措施 7.7.3风险处理工作的优先级排序 2、规范性引用文件 4.2各部门 5.1密级的分类 6.2企业秘密的指令 6.4接收部门和使用目的、范围的指定 6.5秘密文件的发放管理 6.6企业秘密的使用 7、企业秘密、受控指令的解除或变更 7.1解除或变更的条件 7.2解除或变更的方法 9、事故的处理 59 59 4.2用户访问管理 4.2.1权限申请 a)权限申请人员;b)访问权限的级别和范围;c)申请理由;d)有效期 4.2.2权限变更 4.2.4连接的控制 4.2.5会话与联机时间的控制 62 4.3.1分配给用户一个安全临时口令,并通过安全渠道传递给用户,并要求 4.4特殊权限管理 4.5访问记录控制 4.6远程工作策略 4.7远程工作授权程序 4.7.3当不再需要远程工作时,应及时取消该用户的访问权 4.8密码设置 4.8.2密码存储 4.8.5密码变更、废除、销毁及恢复 2、适用范围 633.1密码:本程序中的密码指用户的认证信息,或叫口令; 4.1系统管理员 4.2.1负责按本程序的要求使用、保护、定期更换自己的密码; 6.1密码管理策略 6.1.4登录成功时,尽可能显示上一次登录的日期和时间; 64 646.2密码的分配与传递要求 6.3.1一般不对密码进行可记录形式的储存; 6.3.3可行时,系统管理员在定期更换密码后保存历史加密密码,以防止密码的重 6.4密码的使用 ISMS-P13物理与环境安全管理程序 4.1外来人员分类 1)本公司职工上下班必须认真准时打卡,不得有代打卡行为发生 1)出口玻璃门锁早晨打开,晚上下班后上锁 7)管理运营部负责对员工进行安全培训,提高安全意识 4.5访客管理 5)重要被邀访客的登记,可由公司邀请部门直接填写 4.6设备安全 4.7消防管理 1)与物业签订合同时,要记入相关消防安全项目,明确双方责任 3)安全通道禁止摆放任何物品,并设置安全疏散标志 5、安全培训 7记录 3、数据保存管理 3.1数据导入和修改 3.2数据提取和发放 723.3.6通信线路传输数据的保密策略 3.4数据操作日志管理 4、保护关键数据 73 73 4.3备份操作管理 4.3.1对服务器要做好相应的备份 6、备份恢复 76 77 2、信息处理设施的分类 78 4.3编写购入规格书 5信息处理设施的日常维护管理 5.1计算机设备管理 5.2计算机设备维护 805.6.2使用计算机时应遵循信息安全策略要求执行 5.6.6不得使用计算机设备处理正常工作以外的事务 5.6.9严禁乱拉接电源,以防造成短路或失火 5.7网络安全使用的要求 5.8支持性设施与布览安全 5.9无人值守的用户设备保护 6、信息处理设施的日常点检 6.1计算机的日常点检 6.2网络设备的管理与维护 6.3点检策略 6.3.2审核日志应该包括:事件(成功或失败)发生的时间;事件的有关信息 6.4维修服务的外包安全控制 6.4.3不接受厂商通过远程诊断端口进行远程维护访问授权 846.6网络扫描工具的安全使用管理 6.7信息处理设备可用性管理 7、其它要求 1.文档介绍 1.1编写目的 1.2适用范围 2.术语、定义和缩略语 3.变更管理流程 3.1流程解释 3.2业务价值 3.3流程原则 903.3.2责任人原则 3.3.3风险判定原则 3.3.5目标解决时间原则 3.3.7前导时间原则 3.4.1变更信息项 3.4.3变更分类 3.5角色及职责 3.6流程输入及输出 3.6.1流程触发条件 3.6.4流程关闭条件 3.7.1作业流程说明 3.9相关文件 4.1应用软件设计开发的控制 4.1.1设计开发任务提出 974.1.2设计开发的策划 97 4.1.4设计开发方案的技术评审 4.1.5设计开发的环境要求 4.1.8源程序库(程序源代码)管理及技术文档管理 99 4.2.2容量策划 4.2.3变更策划 4.2.4变更的实施 4.2.6软件包的变更 2、适用范围 5.2控制指标 ISMS-P19事件管理程序 4.1信息安全事件定义与分类 4.1.2信息安全事件分类规范 4.2.2故障、事故的响

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论