2019最新ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范)

2019最新ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范)

最新ISO27001信息安全管理体系全套文件（手册+程序文件+作业规范）

信息安全管理体系程序文件目录

信息安全管理体系作业文件目录

1 适用

本程序适用于公司信息安全事故、薄弱点、故障和风险处置的管理。

2 目的

为建立一个适当信息安全事故、薄弱点、故障风险处置的报告、反应与处理机制，减少信息安全事故和故障所造成的损失，采取有效的纠正与预防措施，正确处置已经评价出的风险，特制定本程序。

3 职责

3.1 各系统归口管理部门主管相关的安全风险的调查、处理及纠正措施管理。

3.2 各系统使用人员负责相关系统安全事故、薄弱点、故障和风险的评价、处置报告。

4 程序

4.1 信息安全事故定义与分类：

4.1.1 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响（后果)之一，均为信息安全事故：

a) 企业秘密、机密及国家秘密泄露或丢失；

b) 服务器停运4 小时以上；

c) 造成信息资产损失的火灾、洪水、雷击等灾害；

d) 损失在十万元以上的故障/事件。

4.1.2 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响（后果)之一，属于重大信息安全事故：

a) 企业机密及国家秘密泄露；

b) 服务器停运8 小时以上；

c) 造成机房设备毁灭的火灾、洪水、雷击等灾害；

d) 损失在一百万元以上的故障/事件。

4.1.3 信息安全事件包括：

a) 未产生恶劣影响的服务、设备或者实施的遗失；

b) 未产生事故的系统故障或超载；

c) 未产生不良结果的人为误操作；

d) 未产生恶劣影响的物理进入的违规

e) 未产生事故的未加控制的系统变更；

f) 策略、指南和绩效的不符合；

g) 可恢复的软件、硬件故障；

h) 未产生恶劣后果的非法访问。

4.2 故障与事故的报告渠道与处理

4.2.1 故障、事故报告要求

故障、事故的发现者应按照以下要求履行报告任务：

a) 各个信息管理系统使用者，在使用过程中如果发现软硬件故障、事故，应该向该系统归口管理部门报告；如故障、事故会影响或已经影响线上生产，必须立即报告相关部门，采取必要措施，保证对生产的影响降至最低；

b) 发生火灾应立即触发火警并向安全监督部报告，启动消防应急预案；

c) 涉及企业秘密、机密及国家秘密泄露、丢失应向行政部报告；

d) 发生重大信息安全事故，事故受理部门应向信息安全管理者代表和有关公司领导报告。

4.2.2 故障、事故的响应

故障、事故处理部门接到报告以后，应立即进行迅速、有效和有序的响应，包括采取以下适当措施：

a) 报告者应保护好故障、事故的现场，并采取适当的应急措施，防止事态的进一步扩大；

b) 按照有关的故障、事故处理文件（程序、作业手册）排除故障，恢复系统或服务，必要时，启动业务持续性管理计划。

5 相关/支持性文件

5.1《预防措施控制程序》

5.2 《信息密级划分、标注及处理控制程序》

5.3《信息安全奖励、惩戒规定》

5.4 I《法律法规与符合性评估程序》

6 记录保存期限

6.1《信息安全风险评估报

6.2《纠正/预防措施申请书》

6.3《信息安全事故调查处理报告》6.4《信息安全薄弱点报告》

1 目的与范围

本程序规定了当发生重大信息安全事件或灾难时，为保护公司业务活动免受影响，迅速恢复已中断的业务活动，实现公司业务持续发展而实施的管理活动。

这些活动包括：建立业务持续性管理程序；进行业务持续性和影响分析；编制业务持续性战略计划；制订业务持续性管理实施计划并实施；对业务持续性管理计划进行定期测试和评审等。

本程序适应于本公司应用软件的开发和系统集成的活动等主要业务的持续性管理。

2 相关文件

2.1《信息安全管理手册》

2.2《信息资产的识别与风险评估管理程序》

2.3《事故、薄弱点与故障管理程序》

3 职责

3.1 公司常务副总经理负责公司业务中断的恢复的总指挥与总协调。

3.2 集成部负责编制、修订公司业务持续性管理程序，并协调、推进公司业务持续性管理活动。

3.3 各部门负责部门相关系统的故障处理及与之相关的作业中断的恢复。

3.4 技术部负责项目实施过程中设备及软件系统的故障处理及与之相关的作业中断的恢复。

3.5 集成部负责后勤系统设备及网络系统的故障处理及与之相关的作业中断的恢复。

3.6 行政部负责本部门管理系统及与之相关的作业中断的恢复。

3.7 公司各部门在发生重大信息安全事件或灾难时，负责保护本部门使用的信息系统及业务数据，及时恢复中断的业务活动。

4 工作程序

4.1 业务持续性管理过程

公司业务持续性管理过程规定如下：

4.2 业务持续性和影响的分析

4.2.1 公司在首次信息安全风险评估后进行业务持续性和影响的分析。

4.2.2 业务持续性和影响的分析由集成部组织，技术部、行政部、生产部及管理者代表指定的相关部门分别开展以下活动：

a)对本部门的信息安全进行风险评估；

b)识别出对本部门业务持续性造成严重影响的主要事件，如设备故障、火灾等；

c)分析这些事件一旦发生对公司业务活动造成的影响和损失，以及恢复业务所需费用等；

d)编写本部门《业务持续性和影响分析报告》（格式见ISMS-4341)。

4.2.3《业务持续性和影响分析报告》应包括以下内容：

a)识别关键业务的管理过程；

b)可能引起公司业务活动中断的主要事件；

c)主要事件对本部门管理的信息系统的影响；

d)信息系统故障或中断对公司业务活动的影响；

e)关于系统恢复或替换的费用考虑。

5 记录

5.1《业务持续性和影响分析报告》

5.2《业务持续性管理战略计划》

5.3《业务持续性管理实施计划》

5.4《业务持续性管理计划测试报告》

5.5《业务持续性管理计划评审报告

第一章总则

第一条为保障公司的合法权益，充分发挥作为公司重要资产的技术秘密、商业秘密的效益，鼓励员工不断创造并自觉维护技术秘密、商业秘密的积极性，根据《知识产权管理总则》制订本制度。

第二条公司技术秘密、商业秘密的管理目标；技术秘密、商业秘密是本公司拥有的知识产权的组成部分，是公司的重要资产。要在公司内牢固树立技术秘密、商业秘密的保护意识；技术秘密、商业秘密的管理贯穿研究开发、生产和经营的全过程。明确商业秘密的界定和保护。

第三条公司内的相关管理制度、合同、记录等文献所有文件均属于商业机密。

第二章技术秘密、商业秘密的定义、确立和管理机制

第四条 .本制度所称的技术秘密、商业秘密，是指由公司员工在职务范围内创造或履行职务产生的、经公司知识产权管理部门认定并采取了保密措施、只在公司一定范围内流传的、具有商业价值的所有信息或成果。这些信息或成果以各种纸质材料、照片、录像和计算机等数字存储设备为载体而能够为人所感知。具体包括：

1.技术秘密。包括：公司现有的或正在开发或者构思之中的或经过技术创新确定不宜于申请专利的营销方案，管理制度；

2.经营信息包括：公司的市场营销计划、广告宣传方案、销售方法、供应商和客户名单、客户的专门需求、未公开的销售服务网络以及公司现有的、正在开发或者构思之中的经营项目等信息及其承载物；

3.依据法律和有关协议对第三方负有保密责任的第三方商业秘密。

第五条. 确定为技术秘密、商业秘密的信息及其承载物，归公司所有。

第六条 . 技术秘密、商业秘密的确定程序：

1.由参与药品研发创新，研发部就某一项或几项信息，向公司行政管理部门申报；

2.行政董事接到申报后采取：

a)指定参与者中一人专门保管成果或信息的承载物，可以采取加密措施。被指定人一般是项目或业务负责人或菜肴创造者本人；

b)向公司常务董事汇报并提出是否构成技术秘密、商业秘密建议。必要时会同指定人向公司常务董事汇报；

c) 公司行政董事在接到知识产权管理部门的汇报后应立即作出是否确定为技术秘密、商业秘密的决定；

d)对于被确定为技术秘密、商业秘密的信息或成果，按照本制度第三章和第四章的有关规定具体落实管理措施。

e) 技术秘密、商业秘密的确定遵循随时产生随时确定的原则，实行动态管理；

第七条商业秘密管理机制。

公司决策层负责技术秘密、商业秘密的整体工作。及时、高效地作出审核、批准、否决等工作，定期检查各部门的保密工作，作出奖惩决定。

公司下属部门的负责人负责本部门的日常技术秘密、商业秘密管理和保护工作。定期检查本部门的保密工作，配合支持知识产权管理部门履行公司技术秘密、商业秘密保护工作。

知识产权管理部门是公司技术秘密、商业秘密保护工作的职责机构，具体操作落实与协调商业秘密保护

的各项工作.公司全体员工是技术秘密、商业秘密保护的实施者。全体员工应当牢固树立知识产权意识，自觉维护公司的商业秘密。

第三章技术秘密、商业秘密及其承载物的管理

第八条根据本制度第六条的规定，被决策层确立为技术秘密、商业秘密的信息或成果，由知识产权管理部门确立密级和保密期限。密级划分的标准、保密期限的确立，要参考该信息或成果同公司业务的联系程度、与同行业竞争的影响力度、是否为公司运营的关键等因案，由知识产权管理部门划定。商业秘密的申报人应当提供意见。

第九条按照技术秘密、商业秘密需要保密的程度，参考第八条的标准，技术秘密、商业秘密分为三级；绝密、机密、保密。引外，对于不宜于对外的信息，由行政管理部门确立为“内部使用”的资料，参照本制度做好保密工作。

绝密——是指一旦泄漏会使公司遭受严重危害和重大损失的信息或成果，包括；公司核心管理秘密、技术诀窍、财务报表、药品研发工艺、特殊化合同。

机密——是指理一旦泄漏会使公司遭受危害和较大损失的信息，包括：产品开发、市场营销等各类工作计划、公司内部重要文件。

保密——是指一旦泄漏会使公司遭受损失的信息，包括；药品销售情况，用户名单及其分布，用户需求信息，限于一定范围阅读的公司内部文件等。

内部使用的信息或成果——是指一旦泄漏会对公司业务产生一定不良影响的可能的信息或成果，只限于内部员工阅读的公司内部文件。

第十条. 保密资料由专人负责管理。公司财务部对交接来的技术秘密、商业秘密档案材料，根据其密级于档案卷宗封面加盖保密印章，登记、编号后统一放置保密资料专门存放处保存，并建立台帐登记，重要的资料柜实行双钥匙制度。

公司各部门要设立保密资科柜，用于存放各部门经常运用的或暂时无法交存公司财务部门保存的技术秘密、商业秘密档案材料，该资料拒应由专人管理。

第十一条 . 商业技术机密材料的借阅，必须经公司行政董事批准，确定借阅时间，使用后立即归还，不得延期，更不得交与他人使用。

第十二条 . 商业技术机密材料的复印，必须经公司行政董事批准后，由专人（理应是财务部经理）复印，未见公司行政董事批准意见，一律不得复印。复印由专人负责，复印期间不得向他人泄漏，复印后应当立即将复印稿和原稿交还申请复印人，废稿要立即销毁，不得留存或随意丢弃。

第四章技术秘密、商业秘密的保障措施

第十三条在本公司进行技术创新过程中，任何研发项目从立项之日起，围绕该项目的研发活动进入技术秘密、商业秘密保护范围内，产生的任何信息或成果，不论最终产生的知识产权形式如何，均作为公司的技术秘密、商业秘密进行保护。

第十四条对于在研发过程中被确定为技术秘密、商业秘密的信息，由于处在不断发展改进的状态下，其档案材料可以经公司知识产权主管领导批准后保留在本部门，但必须设专门存放处保存，以计算机等保

存的，必须对该设备进行数字加密，密码不得向任何无关该商业秘密的人透露。

研发中的阶段性成果，必须形成档案材料，依照保密措施保存，直到最终成果形成后，将各阶段成果形成的过程档案进行保存、销毁、解秘等措施。

第十五条对于开发完成的技术创新成果，除从本公司专利战略及经营实际出发需要公开的以外，经过论证不适于申请专利的，将其完全纳入公司商业秘密保护范围内，按照商业秘密的确立、密级划分、建档、专门保存档案资料等的工作。参与技术创新的有关人员，在开发项目进行中，应履行商业秘密的保密工作。

第十六条公司所有员工有义务保护公司技术秘密、商业秘密的安全。所有员工对于公司技术秘密、商业秘密的保护而产生的义务、权利及相应奖励、处罚。

第十七条员工在公司工作期间，因工作需要使用公司的技术秘密、商业秘密及其承载物，应按照要求的范围和程度使用，不得将实物、资料等擅自带离工作岗位，未经书面同意，不得随意进行复制、交流或转移含有公司技术秘密、商业秘密的资料。

第十八条员工在参加任何级别的学术交流活动、产品订货会、技术鉴定会等会议或活动时，必须注意保护公司的技术秘密、商业秘密，用以交流的文档或资料事先要经过上级审查批准。第十九条 .公司在对外发布新产品信息和广告时，要注意避免泄漏公司的技术秘密、商业秘密。重要的新产品宣传、广告文稿必须经公司行政董事审核批准后才可发布。

第二十条公司在接受外公司人员的实习、合作研究、学习进修等工作时，对公司的技术秘密、商业秘密负有保密的义务。

第二十一条员工因工作需要或其他原因（包括离职、辞职、退休、开除等）调离原工作岗位或离开公司，应将接触到的所有包含职务开发中技术秘密、商业秘密的数据、文档等的记录、模型、软磁盘、光盘及数字存储装置以及其他媒介形式的资料如数交回公司。

第五章技术秘密、商业秘密效益发挥的保证措施

第二十二条公司在对外的技术合作过程中，以技术秘密、商业秘密为标的或其他技术合同涉及技术秘密、商业秘密许可的，对于技术秘密、商业秘密的价值通过与合作方协商确定。需要进行第三方价值评估的，委托符合执业要求的中介机构完成，并通过合同约定严格的保密措施。明确双方的权利和义务及合作方在合同末完全履行，泄漏公司技术秘密、商业秘密应承担的责任。

第二十三条公司员工在主持或参与对外业务谈判时要遵守公司的保密纪律。涉及公司商业秘密的谈判，事先制定谈判提纲，该提纲经行政董事批准。

第二十四条在技术合作中产生的技术成果，其知识产权形式的确定和归属由合同约定，凡以技术秘密、商业秘密约定归属本公司应采取保密措施。

第二十五条因员工开发或参与开发的技术创新项目、新产品技术或创造发明而形成的商业秘密，在对外

的技术合作过程中产生收益，本公司将取得实际利益给予最大力度奖励。

第二十六条本公司所有正式，试用，兼职，实习员工无条件遵守本管理办法。

1 适用与目的

本程序适用于公司与IT相关各类信息处理设施（包括各类软件、硬件、服务、传输线路）的引进、实施、维护等事宜的管理。

本程序通过对技术选型、验收、实施、维护等过程中相关控制的明确规定来确保引进的信息处理设施的保密性、完整性和可用性。

2信息处理设施的分类

2.1 研发控制系统、数据存储控制系统及其子系统设备，包括位于机房的服务器和位于使用区域的使用控制系统终端设备。

2.2 业务管理系统、财务管理系统，包括位于机房的服务器和位于使用区域的终端设备。

2.3办公用计算机设备，包括所有办公室、会议室内的计算机、打印机，域控制服务器，DNS服务器、Email服务器等。

2.4 网络设备，包括交换机、路由器、防火墙等。

2.5 其它办公设备，包括电话设备、复印机、传真机等。

3 职责

3.1 XX部主要负责全公司与IT相关各类信息处理设施及其服务的引进。包括制作技术规格书、进行技术选型、安装和验收等。XX部同时负责全公司网络设备、研发控制系统、业务管理系统、财务管理系统日常管理与维护。

3.2 各部负责项目实施过程中设备及软件系统的管理制度的执行与维护。

3.3 XX部负责后勤系统设备及网络系统、电话/网络通讯与办公系统的管理与维护。

4 信息处理设施的引进和安装

4.1引进依赖

各部门必须采购的信息处理设施、外包开发信息系统项目或外包信息系统服务，得到本部门经理的批准后，向XX部提交申请。XX部以设备投资计划，技术开发计划为依据，结合对新技术的调查，作出是否引进的评价结果并向提出部门返回该信息。

本公司禁止员工携带个人或私有信息处理设施（例如便携式电脑、家用电脑或手持设备PDA等）处理业务信息。

4.2进行技术选型

XX部负责对购入的信息处理设施的技术选型，并从技术角度对供应商进行评价。技术选型应该包含以下几方面：性能、相关设施的兼容性、协作能力、技术发展能力等。

4.3编写购入规格书

XX部根据要求，负责编写即将购入的信息处理设施的购入规格书。规格书中应该包含技术规格、相关设施的性能（包括安全相关信息）、兼容性等要求，由XX部主管审批。

4.4定货

由XX部按照公司采购流程，向经理层提出购买要求，并提供选型结果。经理层应按照要求办理定货手续。

4.5开箱检查，安装、调试，验收

a) 开箱检查

设备到货后，xx部应负责开箱检查，依照购买规格书和装箱单核对数量及物品，确认有无损坏并记录。必要时，应通知有关部门到场协同检查。

b) 安装、调试

引进的设施到位后，根据合同要求，由相关人员进行安装、调试。在实施调试过程中出现的问题，必要时可通知相关部门共同进行。

c) 验收

安装调试完成以后，XX部应依据以下文件实施验收：

·购入规格书

·采购合同及其相关附件

·调试时故障履历

验收原则上由XX部实施，必要时可要求相关部门参加。验收的合格与否最终由XX部负责人作出判断。

d) 验收合格后，可向相关的使用部门移交。

5 信息处理设施的日常维护管理

5.1计算机设备管理

5.1.1 XX部负责计算机固定资产的标识，标识随具体设备到使用各部门。计算机保管使用部门将计算机列入该部门信息资产清单。

5.1.2 各部门配备的计算机设备应与本部门的日常经营情况相适应，不得配备与工作不相符的高档次或不必要的计算机设备。办公场所不配备多媒体类计算机设备，原则上部门经理以上配备笔记本电脑，因工作需要配备笔记本电脑的需经主管副总批准。

5.1.3 计算机使用部门需配备计算机设备时，应按照本规定执行。资产搬离安置场所，需要获得部门经理的授权；迁移出公司，需要得到最高管理层的授权。

5.1.4 计算机使用部门填写《物品领用单》，经过本部门经理签字后提交行政部后领取计算机设备。计算机及附属设备属公司信息资产，在行政部备案。有关计算机设备所带技术说明书、软件由行政部保存。使用部门的使用人应妥善保管计算机及附属设备，公用计算机设备由使用部门经理指定专人负责使用管理。

5.1.5离职时，应将计算机交还XX部，由XX部注销账户。

5.2计算机设备维护

5.2.1计算机使用部门应将每部计算机落实到个人管理。计算机使用人员负责计算机的日常维护和保养；XX部按照《恶意软件控制程序》要求进行计算机查毒和杀毒工作。

5.2.2计算机使用部门发现故障或异常，可先报公司XX管理员处理，如其无法解决，则由XX管理员填写《事态事件脆弱性记录》向供应商申请维修。故障原因及处理结果应记入《事态事件脆弱性记录》。

5.3计算机调配与报废管理

5.3.1 用户计算机更新后，原来的计算机由XX部根据计算机的技术状态决定调配使用或予以报废处理。

5.3.2 含有敏感信息的计算机调配使用或报废前，计算机使用部门应与XX部共同采取安全可靠的方法将计算机内的敏感信息清除。

5.3.3 调配

5.3.3.1部门内部的调配由使用部门自行处理，并通知XX部进行计算机配置变更，变更执行《更改控制程序》。

5.3.3.2部门间的调配管理：XX部收回因更新等原因不用的计算机设备，由变更部门变更信息资产清单，并按照本程序5.1.3、5.1.4要求重新分配使用。

5.4报废处理

5.4.1计算机设备采用集中报废处理。报废前由XX部向行政部提出报废，经审核后由XX部实施报废。

5.4.2 XX部按照批准的处置方案进行报废处理，并变更固定资产清单。

5.5笔记本电脑安全管理

5.5.1 笔记本电脑应由被授权的使用人保管；对于需多人共用的笔记本电脑，应由部门负责人指定专人保管。

5.5.2 笔记本所带附件应由使用者本人或部门负责人指定专人保管。

5.5.3笔记本电脑使用时应防止恶意软件的侵害，在系统中应安装防病毒软件，并由使用人对其定期升级，对系统定期查杀，XX部负责监督。

5.5.4 笔记本电脑在移动使用中，不能随意拉接网络，需通过填写《用户授权申请表》向XX部提前提出需求，经XX部审批后方能接入网络。

5.6计算机安全使用的要求

5.6.1 计算机设备为公司财产，应爱惜使用，按照正确的操作步骤操作。

5.6.2使用计算机时应遵循信息安全策略要求执行。

5.6.3员工入职时，由其所在部门的部门经理根据该员工权限需要填写《用户授权申请表》，向研发部提出用户开户申请；离职时也需填写《用户授权申请表》通知研发部办理销户。

5.6.4 新域用户名为用户姓名的拼音（有重名时另设），初始缺省密码为XXXXX。用户在第一次登录系统时应变更密码，密码需要设置在6位以上（英文字母、数字或符号组合的优质密码）并注意保密。

5.6.5各人使用自己的账户登录，未经许可不得以他人用户名登录。若用户遗忘密码，应及时向研发部申请新密码后登录。

5.6.6不得使用计算机设备处理正常工作以外的事务。

5.6.7计算机的软硬件设置管理由研发部进行，未经许可，任何人不得更换计算机硬件和软件。

5.6.8 研发部负责初始软件的安装，公司严禁个人私自安装和更改任何软件。计算机用户的软件安装与升级按照《更改控制程序》执行。拒绝使用来历不明的软件和光盘。

5.6.9严禁乱拉接电源，以防造成短路或失火。

5.6.10 计算机桌面要保持清洁，不得将秘密和（或）受控文件直接放置在桌面；计算机桌面必须设置屏幕保护，恢复时需用密码确认（执行密码口令管理规定）。锁屏时间可根据自己工作习惯设置锁屏时间，但最高不得高于5分钟。各部门负责人进行监督。

5.7网络安全使用的要求

5.7.1对于网络连接供应商，充分考虑其口碑和现有安全防范措施，在签署保密协议的基础上加以筛选。

5.7.2对内设置必要的路由器防火墙，采用HTTP、FTP的连接方式，捆绑固定IP地址防止权限滥用。

6 信息处理设施的日常点检

6.1 计算机的日常点检

日常点检的目的是确认系统硬件是否运行良好，有无硬件及程序上的报警，备份是否正常进行等。点检的流程、责任、项目、点检周期和记录表详由相应部门制定。如出现在检查期人员外出等不在岗情况，需要在返回工作岗位时，立即补充完善。

6.2 网络设备的管理与维护

点检的流程、责任、项目、点检周期和记录表由XX部负责，特别的，在点检中应包括对MAIL的点检。

6.3 点检策略

6.3.1 所有存在于计算机、网络设备上的服务、入侵检测系统、防火墙和其他网络边界访问控制系统的系统审核、账号审核和应用审核日志必须打开，如果有警报和警示功能必须打开。

6.3.2审核日志必须保存一定的期限，任何个人和部门不得以任何理由删除保存期之内的日志。

6.3.3审核日志必须由该系统管理员定期检查，特权使用、非授权访问的试图、系统故障和异常等内容应该得到评审，以查找违背信息安全的征兆和事实。

6.3.4 入侵检测系统必须处于启动状态，日志保存一定的期限，定期评审异常现象，对所有可疑或经确认的入侵行为和入侵企图需及时汇报并采取相应的措施。

6.3.5日志的配置最低要求

6.3.6 XX部网络管理员根据系统的安全要求确认其日志内容、保存周期、检查周期，其最低要求不得低于上表的要求。如果因为日志系统本身原因不能满足上表的最低要求，需要降低标准的，必须得到XX部主管或管理者代表的批准和备案。

6.3.7 XX部网络管理员配置日志系统，并定期检查日志内容，评审安全情况。评审的内容包括：授权访问、特权操作、非授权的访问试图、系统故障与异常等情况，评审结束应形成《日志检查记录》。

6.4 资料的保存

6.4.1设备的技术资料由设备所在的部门交由行政部保存并建立《受控文件和资料发放清单》，以备日后查阅。

6.4.2 设备厂商对设备进行维修后提供的维修（维护）记录单，由XX部保存，以备日后查询。

6.5 网络扫描工具的安全使用管理

6.5.1 对网络扫描工具的使用，必须得到管理者代表的授权，并保存使用的记录。

7 其它要求

涉及应用系统软件的开发（包括外包软件开发）的项目，还需执行《系统开发与维护控制程序》的相关要求。

8 相关文件

?《系统开发与维护控制程序》

?《系统逻辑访问管理制度》

9 记录

1 适用本规定适用于本公司的正式员工和借用员工聘用、任职期间及离职的安全考察与保密控制以及其他相关人员（合同方、临时员工)的安全考察与控制。

2 目的为防止品质不良或不具备一定技能的人员进入本公司，或不具备一定资格条件的员工被安排在关键或重要岗位，降低员工所带来人为差错、盗窃、欺诈及滥用设施的风险，防止人员对于信息安全保密性、完整性、可用性的影响，特制定本程序。

3 职责

3.1 行政部负责员工聘用、任职期间及离职的安全考察管理及保密协议的签订及其他相关人员（合同方、临时员工)的安全考察与控制。

3.2 各部门负责本部门员工的日常考察管理工作。

4 员工录用

4.1 人员考察策略

4.1.1 所有员工在正式录用（借用)前应进行以下方面考察：

a) 良好的性格特征，如诚实、守信等；

b) 应聘者学历、个人简历的检查(完整性和准确性)；

c) 学术或专业资格的确认；

d) 身份的查验。

4.1.2 员工从一般岗位转到信息安全重要岗位，应当对其进行信用及能力考察。

4.1.3 必要时，对承包商和临时工进行同样的考察。

4.2 对录用（借用)人员的考察

4.2.1 行政部对拟录用（借用)人员重点进行以下方面考察：

a) 根据应聘资料及面试情况初判应聘者的职业素质；

b) 根据应聘者人事经历的记载，了解是否有重大惩戒及犯罪记录；

c) 通过与应聘者沟通，并了解其应聘动机；

d) 了解其从事的专业和具备的技术水准，是否符合该岗位的岗位说明书。

4.2.2 考察的结果应记入《应聘申请表》。

4.2.3 在考察中发现应聘者存在不良倾向的，将不予录用（借用)。

5 离职措施

5.1 员工离职涉及《秘密管理规程》的保密事项，应按要求采取相应的保密措施。

5.2 部门要加强员工离职时的涉密资料、口令等的交接工作。

5.3 部门在员工离职后要采取相应的技术防范措施（如变更口令、程序等)，必要时应与信息科技部协调。

5.4 公司和部门要做好员工离职的教育工作，告知其离职后，不得向第三方泄露其在任职期内所获得的公司的商业和技术秘密。

6 离职程序

6.1 员工必须在离职日前 3０天向本部门部长提出书面离职报告。

6.2 部门长接到员工离职报告后，填写 ISMS-4373《员工特别事项处理意见表》，签署意见后送行政部。

6.3 行政部在《员工特别事项处理意见表》上签署意见后，报行政部部部长、分管副总和总经理审批。

6.4 员工离职得到批准，由部门通知离职员工来人事科办理离职手续。离职员工在离职日前必须把担当的部门工作移交完毕。

6.5 办理离职手续

6.5.1 离职员工到行政部索取 ISMS-4374《员工离公司手续单》。

6.5.2 离职员工按《员工离公司手续单》的内容至公司各部门办理移交手续，各相关部门负责按照《用户访问控制程序》取消离职员工的访问权限。

信息安全管理方案计划经过流程

信息安全管理流程说明书 （S-I）

信息安全管理流程说明书 1 信息安全管理 1.1目的 本流程目的在于规范服务管理和提供人员在提供服务流程中应遵循和执行的相关活动，保证信息安全管理目标的实现，满足SLA中的信息安全性需求以及合同、法律和外部政策等的要求。 1) 在所有的服务活动中有效地管理信息安全； 2) 使用标准的方法和步骤有效而迅速的处理各种与信息安全相关的问题，识别并跟 踪组织内任何信息安全授权访问； 3) 满足服务级别协议、合同、相关法规所记录的各项外部信息安全需求； 4) 执行操作级别协议和基础合同范围内的信息安全需求。 1.2范围 本安全管理流程的规定主要是针对由公司承担完全维护和管理职责的IT系统、技术、资源所面临的风险的安全管理。 向客户提供服务的相关人员在服务提供流程中所应遵循的规则依据公司信息安全管理体系所设定的安全管理规定，以及客户自身的相关安全管理规定。 公司内部信息、信息系统等信息资产相关的安全管理也应遵循公司信息安全管理体系所设定的安全管理规定。 2术语和定义 2.1相关ISO20000的术语和定义 1) 资产（Asset）：任何对组织有价值的事物。 2) 可用性（Availability）：需要时，授权实体可以访问和使用的特性。 3) 保密性（Confidentiality）：信息不可用或不被泄漏给未授权的个人、实体和流程的 特性。 4) 完整性（Integrity）：保护资产的正确和完整的特性。

5) 信息安全（Information security）：保护信息的保密性、完整性、可用性及其他属 性，如：真实性、可核查性、可靠性、防抵赖性。 6) 信息安全管理体系（Information security management system ISMS）：整体管理 体系的一部分，基于业务风险方法以建立、实施、运行、监视、评审、保持和改 进信息安全。 7) 注：管理体系包括组织机构、策略、策划、活动、职责、惯例、程序、流程和资 源。 8) 风险分析（Risk analysis）：系统地使用信息以识别来源和估计风险。 9) 风险评价（Risk evaluation）：将估计的风险与既定的风险准则进行比较以确定重 要风险的流程。 10) 风险评估（Risk assessment）：风险分析和风险评价的全流程。 11) 风险处置（Risk treatment）：选择和实施措施以改变风险的流程。 12) 风险管理（Risk management）：指导和控制一个组织的风险的协调的活动。 13) 残余风险（Residual risk）：实施风险处置后仍旧残留的风险。 2.2其他术语和定义 1) 文件（document）：信息和存储信息的媒体； 注1：本标准中，应区分记录与文件，记录是活动的证据，文件是目标的证据； 注2：文件的例子，如策略声明、计划、程序、服务级别协议和合同； 2) 记录（record）：描述完成结果的文件或执行活动的证据； 注1：在本标准中，应区分记录与文件，记录是活动的证据，文件是目标的证据； 注2：记录的例子，如审核报告、变更请求、事故响应、人员培训记录； 3) KPI：Key Performance Indicators 即关键绩绩效指标；也作Key Process Indication即关键流程指标。是通过对组织内部流程的关键参数进行设置、取样、 计算、分析，衡量流程绩效的一种目标式量化管理指标，流程绩效管理的基础。

2018最新ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范)

最新ISO27001信息安全管理体系全套文件（手册+程序文件+作业规范）

信息安全管理体系程序文件目录

信息安全管理体系作业文件目录

1 适用 本程序适用于公司信息安全事故、薄弱点、故障和风险处置的管理。 2 目的 为建立一个适当信息安全事故、薄弱点、故障风险处置的报告、反应与处理机制，减少信息安全事故和故障所造成的损失，采取有效的纠正与预防措施，正确处置已经评价出的风险，特制定本程序。 3 职责 3.1 各系统归口管理部门主管相关的安全风险的调查、处理及纠正措施管理。 3.2 各系统使用人员负责相关系统安全事故、薄弱点、故障和风险的评价、处置报告。 4 程序 4.1 信息安全事故定义与分类： 4.1.1 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响（后果)之一，均为信息安全事故： a) 企业秘密、机密及国家秘密泄露或丢失； b) 服务器停运4 小时以上； c) 造成信息资产损失的火灾、洪水、雷击等灾害； d) 损失在十万元以上的故障/事件。 4.1.2 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响（后果)之一，属于重大信息安全事故： a) 企业机密及国家秘密泄露； b) 服务器停运8 小时以上； c) 造成机房设备毁灭的火灾、洪水、雷击等灾害； d) 损失在一百万元以上的故障/事件。 4.1.3 信息安全事件包括： a) 未产生恶劣影响的服务、设备或者实施的遗失； b) 未产生事故的系统故障或超载； c) 未产生不良结果的人为误操作； d) 未产生恶劣影响的物理进入的违规

ISMS手册信息安全管理体系手册

ISMS 手册-信息安全管理体系手册7 信息安全管理IT 服务管理体系手册 发布令 本公司按照ISO20000:2005 《信息技术服务管理—规范》和ISO27001 ：2005 《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT 服务管理体系手册》，建立与本公司业务相一致的信息安全与IT 服务管理体系， 现予以颁布实施。 本手册是公司法规性文件，用于贯彻公司信息安全管理方针和目标，贯彻IT 服务管理理念方针和服务目标。为实现信息安全管理与IT 服务管理，开展持续改进 服务质量，不断提高客户满意度活动，加强信息安全建设的纲领性文件和行动准 则。是全体员工必须遵守的原则性规范。体现公司对社会的承诺，通过有效的PDCA 活动向顾客提供满足要求的信息安全管理和IT 服务。 本手册符合有关信息安全法律法规要求以及ISO20000:2005 《信息技术服务 管理—规范》、ISO27001 ：2005 《信息安全管理体系要求》和公司实际情况。为能更好的贯彻公司管理层在信息安全与IT 服务管理方面的策略和方针，根据 ISO20000:2005 《信息技术服务管理—规范》和ISO27001 ：2005 《信息安全管理体系要求》的要求任命XXXXX 为管理者代表，作为本公司组织和实施“信息安全管理与IT 服务管理体系”的负责人。直接向公司管理层报告。 全体员工必须严格按照《信息安全管理&IT 服务管理体系手册》要求，自觉遵守本手册各项要求，努力实现公司的信息安全与IT 服务的方针和目标。 管理者代表职责：

a）建立服务管理计划； b）向组织传达满足服务管理目标和持续改进的重要性； e）确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源，如招聘合适的人员，管理人员的更新； 1．确保按照ISO207001:2005 标准的要求，进行资产识别和风险评估，全面建立、实施和保持信息安全管理体系；按照ISO/IEC20000 《信息技术服务管理－规范》的要求，组织相关资源，建立、实施和保持IT 服务管理体系，不断改进IT 服务管理体系，确保其有效性、适宜性和符合性。 2．负责与信息安全管理体系有关的协调和联络工作；向公司管理层报告 IT 服务管理体系的业绩，如：服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。 3．确保在整个组织内提高信息安全风险的意识； 4．审核风险评估报告、风险处理计划； 5．批准发布程序文件； 6．主持信息安全管理体系内部审核，任命审核组长，批准内审工作报告； 向最高管理者报告信息安全管理体系的业绩和改进要求，包括信息安全管理体系运行情况、内外部审核情况。 7．推动公司各部门领导，积极组织全体员工，通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度，以及为达到公司服 务管理目标所应做出的贡献。 总经理：

【精品推荐】ISO27001信息安全管理体系全套文件

目录 前言 (3 0 引言 (4 0.1 总则 (4 0.2 与其他管理系统标准的兼容性 (4 1. 范围 (5 2 规范性引用文件 (5 3 术语和定义 (5 4 组织景况 (5 4.1 了解组织及其景况 (5 4.2 了解相关利益方的需求和期望 (5 4.3 确立信息安全管理体系的范围 (6 4.4 信息安全管理体系 (6 5 领导 (6 5.1 领导和承诺 (6 5.2 方针 (6 5.3 组织的角色,职责和权限 (7 6. 计划 (7 6.1 应对风险和机遇的行为 (7

6.2 信息安全目标及达成目标的计划 (9 7 支持 (9 7.1 资源 (9 7.2 权限 (9 7.3 意识 (10 7.4 沟通 (10 7.5 记录信息 (10 8 操作 (11 8.1 操作的计划和控制措施 (11 8.2 信息安全风险评估 (11 8.3 信息安全风险处置 (11 9 性能评价 (12 9.1监测、测量、分析和评价 (12 9.2 内部审核 (12 9.3 管理评审 (12 10 改进 (13 10.1 不符合和纠正措施 (13 10.2 持续改进 (14 附录A(规范参考控制目标和控制措施 (15

参考文献 (28 前言 0 引言 0.1 总则 本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。采用信息安全管理体系是组织的一项战略性决策。组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。 信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并给相关方建立风险得到充分管理的信心。 重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制措施的设计中要考虑到信息安全。信息安全管理体系的实施要与组织的需要相符合。 本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。 本标准中表述要求的顺序不反映各要求的重要性或实施顺序。条款编号仅为方便引用。 ISO/IEC 27000参考信息安全管理体系标准族(包括ISO/IEC 27003[2]、ISO/IEC 27004[3]、ISO/IEC 27005[4]及相关术语和定义,给出了信息安全管理体系的概述和词汇。 0.2 与其他管理体系标准的兼容性

《ISMS方针、手册、程序文件模板》

《ISMS方针、手册、程序文件模板》 1 信息安全管理手册 2 信息安全适用性声明 3 信息安全管理体系程序文件 3.01文件管理程序 3.02记录管理程序 3.03纠正措施管理程序 3.04预防措施控制程序 3.05信息安全沟通协调管理程序 3.06管理评审程序 3.07相关方信息安全管理程序 3.08信息安全风险管理程序 3.09信息处理设施安装使用管理程序 3.10计算机管理程序 3.11电子邮件管理程序 3.12信息分类管理程序 3.13商业秘密管理程序 3.14员工聘用管理程序 3.15员工培训管理程序 3.16信息安全奖惩管理程序 3.17员工离职管理程序 3.18物理访问管理程序 3.19信息处理设施维护管理程序 3.20信息系统变更管理程序 3.21第三方服务管理程序 3.22信息系统接收管理程序 3.23恶意软件管理程序 3.24数据备份管理程序 3.25网络设备安全配置管理程序 3.26可移动介质管理程序 3.27介质处置管理程序 3.28信息系统监控管理程序 3.29用户访问管理程序 3.30远程工作管理程序 3.31信息系统开发管理程序 3.32数据加密管理程序 3.33信息安全事件管理程序 3.34业务持续性管理程序 3.35信息安全法律法规管理程序 3.36内部审核管理程序 4 信息安全管理体系作业文件 4.01员工保密守则 4.02员工保密协议管理制度 4.03Token管理规定 4.04产品运输保密管理规定 4.05介质销毁办法 4.06信息中心机房管理制度 4.07信息中心信息安全处罚规定 4.08信息中心密码管理规定 4.09档案室信息销毁制度 4.10电子数据归档管理规定 4.11生产系统机房管理规定 4.12机房安全管理规定 4.13计算机应用管理岗位工作标准 4.14信息开发岗位工作标准 4.15系统分析员岗位工作标准 4.16各部门微机专责人工作标准 4.17网络通信岗位工作标准 4.18监视系统管理规定 4.19数据加密管理规定 4.20涉密计算机管理规定 4.21电子邮件使用准则 4.22互联网使用准则 4.23档案室信息安全职责 4.24市场部信息安全岗位职责规定 4.25复印室管理规定 4.26机房技术资料管理制度 4.27市场部计算机机房管理规定 4.28信息安全记录的分类和保存期限 4.29信息安全事件分类规定 4.30保安业务管理规定 4.31计算机硬件管理维护规定 4.32网站信息发布管理规定 4.33工具及备品备件管理制度 4.34财务管理系统访问权限说明 4.35信息安全管理程序文件编写格式 5 信息安全策略文件 5.01信息资源保密策略 5.02信息资源使用策略 5.03安全培训策略 5.04第三方访问策略 5.05物理访问策略 5.06变更管理安全策略 5.07病毒防范策略 5.08可移动代码防范策略 5.09备份安全策略 5.10信息交换策略 5.11信息安全监控策略 5.12访问控制策略 5.13帐号管理策略 5.14特权访问管理策略 5.15口令策略 5.16清洁桌面和清屏策略 5.17网络访问策略 5.18便携式计算机安全策略 5.19远程工作策略 5.20网络配置安全策略 5.21服务器加强策略 5.22互联网使用策略 5.23系统开发策略 5.24入侵检测策略 5.25软件注册策略 5.26事件管理策略 5.27电子邮件策略 5.28加密控制策略 6 信息安全管理体系记 录 6.01信息安全风险评估计划 6.02信息安全风险评估报告 6.03信息安全风险处理计划 6.04信息安全内部专家名单 6.05信息安全外部顾问名单 6.06信息安全法律、法规清单 6.07信息安全法律法规符合性评估表 6.08信息安全法律法规要求清单 6.09信息安全法律法规实施控制一览表 6.10相关方一览表 6.11信息安全薄弱点报告 6.12信息安全文件审批表 6.13信息安全文件一览表 6.14文件修改通知单 6.15文件借阅登记表 6.16文件发放回收登记表 6.17文件销毁记录表 6.18信息安全记录一览表 6.19记录借阅登记表 6.20记录销毁记录表 6.21信息安全重要岗位一览表 6.22信息安全重要岗位员工一览表 6.23信息安全重要岗位评定表 6.24员工年度培训计划 6.25信息安全培训计划 6.26员工离职审批表 6.27第三方服务提供商清单 6.28第三方服务风险评估表 6.29第三方保护能力核查计划 6.30第三方保护能力核查表 6.31信息设备转移单 6.32信息设备转交使用记录 6.33信息资产识别表 6.34计算机设备配置说明书 6.35计算机配备一览表 6.36涉密计算机设备审批表 6.37涉密计算机安全保密责任书 6.38信息设备（设施）软件采购申请 6.39信息处理设施使用情况检查表 6.40应用软件测试报告 6.41外部网络访问授权登记表 6.42软件一览表 6.43应用软件开发任务书 6.44敏感重要信息媒体处置申请表 6.45涉密文件复印登记表 6.46文章保密审查单 6.47对外提交涉密信息审批表 6.48机房值班日志 6.49机房人员出入登记表 6.50机房物品出入登记表 6.51时钟校准记录 6.52用户设备使用申请单 6.53用户访问授权登记表a 6.54用户访问授权登记表 b 6.55用户访问权限评审记录 6.56远程工作申请表 6.57远程工作登记表 6.58电子邮箱申请表 6.59电子邮箱一览表 6.60电子邮箱使用情况检查表 6.61生产经营持续性管理战略计划 6.62生产经营持续性管理计划 6.63生产经营持续性计划测试报告 6.64生产经营持续性计划评审报告 6.65私人信息设备使用申请单 6.66计算机信息网络系统容量规划 6.67软件安装升级申请表 6.68监控活动评审报告 6.69信息安全故障处理记录 6.70系统测试计划 6.71网络打印机清单 6.72设备处置再利用记录 6.73设施系统更改报告 6.74软件设计开发方案 6.75软件设计开发计划 6.76软件验收报告 6.77重要信息备份周期一览表 6.78操作系统更改技术评审报告 6.79事故调查分析及处理报告 6.80上级单位领导来访登记表 6.81第三方物理访问申请授权表 6.82第三方逻辑访问申请授权表 6.83重要安全区域访问审批表 6.84重要安全区域控制一览表 6.85重要安全区域检查表 6.86人工查杀病毒记录表 1 / 1

信息安全管理体系iso27基本知识

信息安全管理体系ISO27000认证基本知识 一、什么是信息安全管理体系 信息安全管理体系是在组织内部建立信息安全管理目标，以及完成这些目标所用方法的体系。 ISO/LEC27001是建立、实施和维持信息安全管理体系的标准，通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础，选择控制目标与控制方式等活动建立信息安全管理体系。 二、信息安全的必要性和好处 我国信息安全管理专家沈昌祥介绍，对于我国软件行业，病毒木马、非法入侵、数据泄密、服务瘫痪、漏洞攻击等安全事件时有发生，80%信息泄露都是由内或内外勾结造成，所以建立信息安全管理体系很有必要。 1、识别信息安全风险，增强安全防范意识； 2、明确安全管理职责，强化风险控制责任； 3、明确安全管理要求，规范从业人员行为； 4、保护关键信息资产，保持业务稳定运营； 5、防止外来病毒侵袭，减小最低损失程度； 6、树立公司对外形象，增加客户合作信心； 7、可以得到省信息产业厅、地方信息产业局、行业主管部门、中小企业局 等政府机构的补贴，补贴额度不少于企业建立ISO27001体系的投入费用 （包含咨询认证过程）。 （信息安全管理体系标准2005年改版后的ISO/LEC27001共有133个控制点，39个控制措施，11个控制域。其中11个控制域包括：1）安全策略2）信息安全的组织3）资产管理4）人力资源安全5）物理和环境安全6）通信和操作管理7）访问控制8）系统采集、开发和维护9）信息安全事故管理10）业务连续性管理11）符合性） 三、建立信息安全体系的主要程序 建立信息安全管理体系一般要经过下列四个基本步骤 ①信息安全管理体系的策划与准备； ②信息安全管理体系文件的编制； ③信息安全管理体系运行； ④信息安全管理体系审核、评审和持续改进。

最新ISO27001：2013信息安全管理体系一整套程序文件(共41个程序184页)

XXXXXXXXX有限责任公司 信息安全管理体系 程序文件 编号：XXXX-B-01～XXXX-B-41 （符合ISO/IEC 27001-2013标准） 拟编：信息安全小组日期：2015年02月01日 审核：管代日期：2015年02月01日 批准：批准人名日期：2015年02月01日 发放编号: 01 受控状态：受控 2015年2月1日发布2015年2月1日实施

[XXXX-B-01]信息安全风险管理程序[XXXX-B-02]文件控制程序 [XXXX-B-03]记录控制程序 [XXXX-B-04]纠正措施控制程序 [XXXX-B-05]预防措施控制程序 [XXXX-B-06]内部审核管理程序 [XXXX-B-07]管理评审程序 [XXXX-B-08]监视和测量管理程序 A6[XXXX-B-09]远程工作管理程序 A7[XXXX-B-10]人力资源管理程序 A8[XXXX-B-11]商业秘密管理程序 A8[XXXX-B-12]信息分类管理程序 A8[XXXX-B-13]计算机管理程序 A8[XXXX-B-14]可移动介质管理程序 A9[XXXX-B-15]用户访问管理程序 A9[XXXX-B-16]信息系统访问与监控管理程序A9[XXXX-B-17]信息系统应用管理程序 A10[XXXX-B-18]账号密码控制程序 A11[XXXX-B-19]安全区域管理程序 A12.1.2[XXXX-B-20]变更管理程序 A12.1.3[XXXX-B-21]容量管理程序 A12.2.1[XXXX-B-22]恶意软件管理程序 A12.3[XXXX-B-23]重要信息备份管理程序 A12.6[XXXX-B-24]技术薄弱点管理程序 A13[XXXX-B-25]电子邮件管理程序

信息安全管理体系ISMS2016年6月考题

2016信息安全管理体系（ISMS）审核知识试卷 2016年6月 1、单选题 1、密码就是一种用于保护数据保密性的密码学技术、由（）方法 及相应运行过程。 A、加密算法和密钥生成 B、加密算法、解密算法、密钥生成 C、解密算法、密钥生成 D、加密算法、解密算法 2、计算机安全保护等级的第三级是（）保护等级 A、用户自主 B、安全标记 C、系统审计 D、结构化 3、隐蔽信道是指允许进程以（）系统安全策略的方式传输信息的 通信信道 A、补强 B、有益 C、保护 D、危害 4、 5、 6、ISMS关键成功因素之一是用于评价信息安全 A、测量 B、报告 C、传递 D、评价 7、防止恶语和移动代码是保护软件和信息的（） A、完整性 B、保密性 C、可用性 D、以上全部 8、以下强健口令的是（） A、a8mom9y5fub33 B、1234 C、Cnas D、Password

9、开发、测试和（）设施应分离、以减少未授权访问或改变运行 系统的风险 A、系统 B、终端 C、配置 D、运行 10、设备、（）或软件在授权之前不应带出组织场所 A、手机 B、文件 C、信息 D、以上全部 11、包含储存介质的设备的所有项目应进行核查，以确保在处置之前， （）和注册软件已被删除或安全地写覆盖 A、系统软件 B、游戏软件 C、杀毒软件 D、任何敏感信息 12、雇员、承包方人员和（）的安全角色和职责应按照组织的信息安全方针定义并形成文件 A、第一方人员 B、第二方人员 C、第三方人员 D、IT经理 13、对于任用的终止或变化时规定职责和义务在任用终止后仍然有效的 内容应包含在（）合同中。 A、雇员 B、承包方人员 C、第三方人员 D、A+B+C 14、ISMS文件的多少和详细程度取决于（） A、组织的规模和活动的类型 B、过程及其相互作用的复杂程度 C、人员的能力 D、A+B+C 15、为确保信息资产的安全，设备、信息和软件在（）之前不应带出组织 A、使用 B、授权 C、检查合格 D、识别出薄弱环节 16、对于所有拟定的纠正和预防措施，在实施前应先通过（）过程进行评审。 A、薄弱环节识别 B、风险分析 C、管理方案 D、A+B 17、组织机构在应建立起评审ISMS时，应考虑（） A、风险评估的结果 B、管理方案 C、法律、法规和其它要素 D、A+C

信息安全管理制度

北京XXXXXXXXXXXXX 信息安全管理制度 制定部门：技术部与行政部 制定人：XXX 制定时间：2016.4.21

1.安全管理制度要求 总则为了切实有效的保证公司信息安全,提高信息系统为公司生产经营的服务力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全行管理,以确保网络与信息安全。 1.1.1建立文件化的安全管理制度,安全管理制度文件应包括: a安全岗位管理制度 b系统操作权限管理; c安全培训制度; d用户管理制度 e新服务、新功能安全评估 f用户投诉举报处理; g信息发布审核、合法资质查验和公共信息巡查; h个人电子信息安全保护;安全事件的监测、报告和和应急处置制度;现行法律、法规、规章、标准和行政审批文件。 1.1.2安全管理制度应经过管理层批准,并向所有员工宣贯 2.机构要求 2.1法律责任 2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。 2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。 3.人员安全管理 3.1安全岗位管理制度 建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位管理制度应包括保密管理。 3.2关键岗位人员 3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行,包括: 1.个人身份核查 2.个人履历的核查 3.学历、学位、专业资质证明 4.从事关键岗位所必须的能力 3.2.2应与关键岗位人员签订保密协议。 安全培训 建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员是 1上岗前的培训 2.安全制度及其修订后的培训 3.法律、法规的发展保持同步的继绩培训。 应严格规范人员离岗过程: a及时终止离岗员工的所有访间权限; b关键岗位人员须承诺调离后的保密义务后方可离开; c配合公安机关工作的人员变动应通报公安机关。 3.4人员离岗 应严格规范人员离岗过程 a及时终止离岗员工的所有访间权限; b关键岗位人员须承诺调离后的保密义务后方可离开;

6.5.1信息安全管理体系

信息安全管理体系 求助编辑百科名片 信息安全管理体系Information Securitry Management Systems信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。它是直接管理活动的结果，表示成方针、原则、目标、方法、过程、核查表（Checklists）等要素的集合。 目录 信息安全管理体系 编写信息安全管理体系文件的主要依据简述 1)信息安全管理体系标准： 2)相关法律、法规及其他要求； 3)组织现行的安全控制惯例、规章、制度 4)现有其他相关管理体系文件。 编写信息安全管理体系程序文件应遵循的原则 编写信息安全管理体系程序文件的注意事项 PDCA过程模式在信息安全管理体系的应用一、PDCA过程模式 策划： 实施： 检查： 措施： 二、应用PDCA 建立、保持信息安全管理体系 P—建立信息安全管理体系环境&风险评估 1．确定范围和方针 2、定义风险评估的系统性方法 3、识别风险 4、评估风险 5、识别并评价风险处理的方法 6、为风险的处理选择控制目标与控制方式 7、获得最高管理者的授权批准 D—实施并运行信息安全管理体系 C—监视并评审信息安全管理体系 检查阶段 管理者应该确保有证据证明： A—改进信息安全管理体系 信息安全管理体系 编写信息安全管理体系文件的主要依据简述 1)信息安全管理体系标准： 2)相关法律、法规及其他要求； 3)组织现行的安全控制惯例、规章、制度 4)现有其他相关管理体系文件。 编写信息安全管理体系程序文件应遵循的原则 编写信息安全管理体系程序文件的注意事项

PDCA过程模式在信息安全管理体系的应用一、PDCA过程模式 策划： 实施： 检查： 措施： 二、应用PDCA 建立、保持信息安全管理体系 P—建立信息安全管理体系环境&风险评估 1．确定范围和方针 2、定义风险评估的系统性方法 3、识别风险 4、评估风险 5、识别并评价风险处理的方法 6、为风险的处理选择控制目标与控制方式 7、获得最高管理者的授权批准 D—实施并运行信息安全管理体系 C—监视并评审信息安全管理体系 检查阶段 管理者应该确保有证据证明： A—改进信息安全管理体系 展开编辑本段信息安全管理体系 BS 7799-2（见BS7799体系）是建立和维持信息安全管理体系的标准，标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系；体系一旦建立组织应按体系规定的要求进行运作，保持体系运作的有效性；信息安全管理体系应形成一定的文件，即组织应建立并保持一个文件化的信息安全管理体系，其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。 编辑本段编写信息安全管理体系文件的主要依据 简述 组织对信息安全管理体系的采用是一个战略决定。因为按照BS 7799-2:2002建立的信息安全管理体系需要在组织内形成良好的信息安全文化氛围，它涉及到组织全体成员和全部过程，需要取得管理者的足够的重视和有力的支持。 1)信息安全管理体系标准： 要求：BS 7799-2:2002 《信息安全管理体系规范》控制方式指南：ISO/IEC 17799:2000《信息技术-信息安全管理实施细则》 2)相关法律、法规及其他要求； 3)组织现行的安全控制惯例、规章、制度 包括规范和作业指导书等； 4)现有其他相关管理体系文件。 [编辑] 编辑本段编写信息安全管理体系程序文件应遵循的原则 在编写程序文件时应遵循下列原则：程序文件一般不涉及纯技术性的细节，细节通常在工作指令或作业指导书中规定；程序文件是针对影响信息安全的各项活动的目标和执行做出的规定，它应阐明影响信息安全的管理人员、执行人员、验证或评审人员的职责、权力和相互关系，说明实施各种不同活动的方式、将采用的文件及将采用的控制方式；程

AEO海关一般认证文件008-信息安全管理制度_New

AEO海关一般认证文件008-信息安全管理制度_New

AEO海关一般认证文件008-信息安全管理制度

注：要有备份系统，电脑装杀毒软件，设备密码 1目的 为确保公司计算机内文件安全及不受入侵，特制订本程序。 2范围 本程序适用于本公司所有计算机的管制。 3执行程序 3.1计算机的使用措施 3.1.1公司及各部门的计算机只能经由公司授权的 雇员操作使用，每台电脑应设置进入密码保 护，以防止未经授权的人员使用、篡改资料或 从事其它不法活动,见《授权使用电脑及上网人 员名单》; 3.1.2每位电脑使用者必须接受本程序和如何识别 文件与资料诈骗方面的培训，只有经培训合格 的人员才可操作电脑； 3.1.3使用者应保持设备及其所在环境的清洁，下 班时务必关机切断电源； 3.1.4使用者的业务数据，应严格按照要求妥善存 储在相应的位置上； 3.1.5未经许可，使用者不可增删硬盘上的应用软 件、系统软件和私自打开主机机箱； 3.1.6打印机墨盒经专人确认后，方可使用，严禁 私自更换和添加墨水； 3.1.7严禁使用电脑在上班时间内浏览非法网站、 玩游戏、听音乐等； 3.1.8公司所有电脑都设置电脑使用密码和荧幕密 码并定期更改，以防他人盗取。如发现密码已 泄露，则立即更换。欲设的密码及由别人提供 的密码应不予采用； 3.1.9操作员不可随意让不熟悉的人使用自己的电 脑，如确有必要使用，必须在旁监督； 3.1.10任何人未经操作员本人同意,不得使用他人 的电脑； 3.1.11严禁恶意删除他人文件、破坏公司系统； 3.1.12先以加密技术保护敏感的数据文件,然后才 通过公司网络及互联网进行传送,在适当的情况 下,利用数字证书为信息及数据加密或加上数字 签名；

企业内部信息安全管理体系

企业内部信息安全管理体系 建议书 北京太极英泰信息科技有限公司

目录 1 理昌科技网络现状和安全需求分析： (3) 1.1 概述 (3) 1.2 网络现状： (3) 1.3 安全需求： (3) 2 解决方案： (4) ２.1 总体思路： (4) 2.2 TO-KEY主动反泄密系统： (5) 2.2.1 系统结构： (5) 2.2.2 系统功能： (6) 2.2.3 主要算法： (6) 2.2.4 问题？ (7) 2.3 打印机管理....................................... 错误!未定义书签。 2.3.1 打印机管理员碰到的问题....................... 错误!未定义书签。 2.3.2 产品定位..................................... 错误!未定义书签。 2.3.3 产品目标..................................... 错误!未定义书签。 2.3.4 概念—TO-KEY电子钥匙预付费.................. 错误!未定义书签。 2.3.5 功能......................................... 错误!未定义书签。 3 方案实施与成本分析....................................... 错误!未定义书签。

1企业网络现状和安全需求分析： 1.1概述 调查表明：80%的信息泄露来自内部。我国著名信息安全专家沈昌祥先生说：“目前我国信息安全的最大问题是：安全威胁的假设错误！我们总是假设会受到来自外部的攻击，而事实上80%的信息泄露是由内部或内外勾结造成的。 对于一个企业而言，其核心的技术和市场、财务等资料都是企业核心的竞争力。但是在市场竞争和人才竞争日益激烈的今天，企业不得不面对这样的严峻形势： 1、核心技术和公司其他资料必定要受到竞争对手的窥视。 2、人才的自由流动，以及竞争对手通过收买内部线人窃取资料。 3、内部人员由于对公司的不满，而采取的破坏行为。 而另外一方面，随着计算机的普及和信息化的发展，采用信息化技术实现企业的管理、电子商务以及产品的设计和生产又成为企业提高效率和竞争力的有利手段。显然，企业需要解决这样一个矛盾： 在充分利用信息化所带来的高效益的基础上，保证企业信息资源的安全！ 理昌科技作为一家专业从事保险带产品开发和生产的外资企业，公司凭借其雄厚的技术实力在行业内具有很高的市场地位。为了保护其核心技术，增强核心竞争力。公司在现有网络信息的基础上，提出防泄密的需求。我们根据理昌科技的需求，并结合我们的行业经验，提出了下面的方案。 1.2网络现状： 公司组成局域网，内部人员通过局域网上网，内部具有多个网络应用系统。在内部部署有网络督察（网络行为监控系统）能记录内部人员网络行为。 1.3安全需求： 公司安全的总体需求是：“杜绝内部人员主动和被动的对外泄露公司核心信息的任何企

信息安全管理体系建设

a* ILIMOOH 佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目 时间：2015年12月

信息化建设引言 随着我国中小企业信息化的普及，信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面：信息化在中小企业的发展程中，对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面伴随着全球信息化和网络化进程的发展，与此相关的信息安全问题也日趋严 重。 由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识，导致中小企业的信息安全面临着较大的风险，我国中企业信息化进程已经步入普及阶段，解决我国中小企业的信息安全问题已经不容缓。 通过制定和实施企业信息安全管理体系能够规范企业员工的行为，保证各种技术手段的有效实施，从整体上统筹安排各种软硬件，保证信息安全体系同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故生后能够及时采取有效的措施，防止信息安全事故带来巨大的损失，而更重的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。 信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的，由 新的威胁不断出现，信息安全管理是一个相对的、动态的过程，企业能做到的 就是要不断改进自身的信息安全状态，将信息安全风险控制在企业可接受的围之内，获得企业现有条件下和资源能力范围内最大程度的安全。 在信息安全管理领域，三分技术，七分管理”的理念已经被广泛接受。结合 ISO/IEC27001信息安全管理体系，提出一个适合我国中小企业的信息安全管理的模型，用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管 理能力。 IS027001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行（如下

三级等保,安全管理制度,信息安全管理体系文件编写规范

* 主办部门：系统运维部 执笔人： 审核人: XXXXX 信息安全管理体系文件编写规范 XXX-XXX-XX-03001 2014年3月17日

[本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属XXXXX所有，受 到有关产权及版权法保护。任何个人、机构未经XXXX X勺书面授权许可，不得以任何方式复制或引用本文件的任何片断。] 文件版本信息 文件版本信息说明 记录本文件提交时当前有效的版本控制信息，当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于时，表示该版本文件为草案，仅可作为参照资料之目的。 阅送范围 内部发送部门：综合部、系统运维部、技术开发部。

总则 细则 体系文件的格式 附则 第一早 第二早 第三章 第四章 附件.. 错误!未定义书签 错误!未定义书签 错误!未定义书签 错误!未定义书签 错误!未定义书签

第一章总则 第一条为规范XXXX X言息安全管理体系文件的编写和标识，确保上清所信息安全管理体系文件在文件格式和内容形式上的一致性。根据《金融行业信息系统信息安全等级保护实施指引》 （JR/T 0071 —2012），结合XXXXX实际，制定本规范。 第二条本规范适用于XXXXX涉及信息安全管理体系文件的编写与标识的相关活动。 第三条网络与信息安全工作领导小组办公室负责组织XXXX X言息安全管理体系各级文件的编写和修订；负责XXXX X 言 息安全管理体系文件编码的分配和统一管理。 第二章细则 第四条体系文件类型包括： （一）管理策略：是指对信息系统安全运行提出策略性要求的文件，是信息安全管理体系的一级文件。 （二）管理规定：是指根据信息安全管理体系的管理策略要求提出详细规定的文件，是信息安全管理体系的二级文件。 （三）管理规范、操作手册：是指根据信息安全管理体系的管理规定提出具体的操作细则的文件、或对某一特定情况进行描述、解释、处置等的文件，是信息安全管理体系的三级文件。 （四）运行记录、表单、工单：是指对信息安全管理体系运行时产生的痕迹、轨迹进行记录的文件，是信息安全管理体系的四级文

海关一般认证文件信息安全管理制度

注：要有备份系统，电脑装杀毒软件，设备密码 1目的 2为确保公司计算机内文件安全及不受入侵，特制订本程序。 3范围 4本程序适用于本公司所有计算机的管制。 5执行程序 5.1计算机的使用措施 5.1.1公司及各部门的计算机只能经由公司授权的雇员操作使用，每台电脑应设置进入密码保 护，以防止未经授权的人员使用、篡改资料或从事其它不法活动,见《授权使用电脑及 上网人员名单》; 5.1.2每位电脑使用者必须接受本程序和如何识别文件与资料诈骗方面的培训，只有经培训合 格的人员才可操作电脑； 5.1.3使用者应保持设备及其所在环境的清洁，下班时务必关机切断电源； 5.1.4使用者的业务数据，应严格按照要求妥善存储在相应的位置上； 5.1.5未经许可，使用者不可增删硬盘上的应用软件、系统软件和私自打开主机机箱； 5.1.6打印机墨盒经专人确认后，方可使用，严禁私自更换和添加墨水； 5.1.7严禁使用电脑在上班时间内浏览非法网站、玩游戏、听音乐等； 5.1.8公司所有电脑都设置电脑使用密码和荧幕密码并定期更改，以防他人盗取。如发现密码 已泄露，则立即更换。欲设的密码及由别人提供的密码应不予采用； 5.1.9操作员不可随意让不熟悉的人使用自己的电脑，如确有必要使用，必须在旁监督； 5.1.10任何人未经操作员本人同意,不得使用他人的电脑； 5.1.11严禁恶意删除他人文件、破坏公司系统； 5.1.12先以加密技术保护敏感的数据文件,然后才通过公司网络及互联网进行传送,在适当 的情况下,利用数字证书为信息及数据加密或加上数字签名； 5.1.13不随便运行或删除电脑上的文件或程序,不要随意修改电脑参数等； 5.1.14不要随便安装或使用不明来源的软件或程序.不要随意开启来历不明的电子邮件或 电子邮件附件； 5.1.15收到无意义的邮件后,应及时清除,不要蓄意或恶意地回寄或转寄这些邮件； 5.1.16不要随意将公司或个人的文件发送给他人,或打开给他人查看或使用； 5.1.17工作移交时，严禁恶意破坏、删除、隐藏计算机中文件、数据。 5.2计算机的安全措施 5.2.1由网管负责所有电脑的检测和清理工作。 5.2.2由各部门最高负责人对电脑的防护措施的落实情况进行监督。 5.2.3网管根据需要，设置相应的网络用户，用于进入公司的网络系统，不同的用户有不同的 登陆密码和相应的权限，使每位人员可以而且只能使用到自己所需之资料。

信息安全管理程序

信息安全管理程序 1.目的 为了防止信息和技术的泄密,避免严重灾难的发生，特制定此安全规定。。2.适用范围 包括但不限于电子邮件、音频邮件、电子文件、个人计算机、计算机网络、互联网和其它电子服务等相关设备、设施或资源。 2.1权责 2.1.1人力资源部：负责信息相关政策的规划、制订、推行和监督。 2.2.2 IT部：负责计算机、计算机网络相关设备设施的维护保养以及信息数据的备份相关事务处理。 2.2.3全体员工：按照管理要求进行执行。 3.内容 3.1公司保密资料： 3.1.1公司年度工作总结，财务预算决算报告，缴纳税款、薪资核算、营销报表和各种综合统计报表。 3.1.2公司有关供货商资料，货源情报和供货商调研资料。 3.1.3公司生产、设计数据，技术数据和生产情况。 3.1.4公司所有各部门的公用盘共享数据，按不同权责划分。 3.2公司的信息安全制度 3.2.1 凡涉及公司内部秘密的文件数据的报废处理，必须碎纸后丢弃处理。 3.2.2 公司员工工作所持有的各种文件、数据、电子文件，当本人离开办公室外出时，须存放入文件柜或抽屉，不准随意乱放，更未经批准，不能复制抄录或携带外出。 3.2.3 未经公司领导批准，不得向外界提供公司的任何保密数据和任何客户数据。 3.2.4经理室要运用各种形式经常对所属员工进行信息安全教育，增强保密意识：3.2. 4.1在新员工入职培训中进行信息安全意识的培训，并经人事检测合格后,方可建立其网络账号及使用资格。 3.2. 4.2每年对所有计算机用户至少进行一次计算机安全检查，包括扫病,去除与工作无关的软件等。 3.2.5不要将机密档及可能是受保护档随意存放，文件存放在分类目录下指定位

信息安全管理体系建设

佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目 编写人员：黄世荣 编写日期：2015年12月7日 项目缩写： 文档版本：V1.0 修改记录: 时间：2015年12月

一、信息化建设引言 随着我国中小企业信息化的普及，信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面：信息化在中小企业的发展过程中，对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面，伴随着全球信息化和网络化进程的发展，与此相关的信息安全问题也日趋严重。 由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识，导致中小企业的信息安全面临着较大的风险，我国中小企业信息化进程已经步入普及阶段，解决我国中小企业的信息安全问题已经刻不容缓。 通过制定和实施企业信息安全管理体系能够规范企业员工的行为，保证各种技术手段的有效实施，从整体上统筹安排各种软硬件，保证信息安全体系协同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故发生后能够及时采取有效的措施，防止信息安全事故带来巨大的损失，而更重要的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。 信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的，由于新的威胁不断出现，信息安全管理是一个相对的、动态的过程，企业能做到的就是要不断改进自身的信息安全状态，将信息安全风险控制在企业可接受的范围之内，获得企业现有条件下和资源能力范围内最大程度的安全。 在信息安全管理领域，“三分技术，七分管理”的理念已经被广泛接受。结合ISO/IEC27001信息安全管理体系，提出一个适合我国中小企业的信息安全管理的模型，用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管理能力。 二、ISO27001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行（如下图所示）。首先，各个组织应该根据自身的状况来搭建适合自身业务发展和信息安全需求的ISO27001信息安全管理体系框架，并在正常的业务开展过程中具体