2023最新ISO27001信息安全管理体系全套文件(手册 程序文件 作业规范) .docx

《2023最新ISO27001信息安全管理体系全套文件(手册 程序文件 作业规范) .docx》由会员分享，可在线阅读，更多相关《2023最新ISO27001信息安全管理体系全套文件(手册 程序文件 作业规范) .docx（329页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、XX 有 限 公 司MS-CARE-01ISMS 信息安全管理体系ISO 27001信息安全管理体系全套文件(214页)(1.0版)制订： 审批： (手册+程序文件+作业规范)系程序文件目录文件编号文件名称XX-ISMS-01事故事件薄弱点与故障管理程序XX-ISMS-02业务持续性管理程序XX-ISMS-03企业商业技术秘密管理程序XX-ISMS-04信息处理设施引进实施管理程XX-ISMS-05信息安全人员考察与保密管理程序XX-ISMS-06信息安全惩戒管理程序XX-ISMS-07信息安全适用性声明XX-ISMS-08信息安全风险评估管理程序XX-ISMS-09内审管理程序XX-ISMS

2、-10恶意软件控制程序XX-ISMS-11更改控制程序XX-ISMS-12物理访问管理程序XX-ISMS-13用户访问控制程序XX-ISMS-14管理评审控制程序XX-ISMS-15系统开发与维护控制程序XX-ISMS-16系统访问与使用监控管理程序XX-ISMS-17计算机账户及密码管理程序XX-ISMS-18文件和资料管理程序XX-ISMS-19重要信息备份管理程序XX-ISMS-20预防措施程序信息安全管理体系作业文件目录文件编号文件名称XX-ISMS-SOP-01防火墙安全管理规定XX-ISMS-SOP-02介质销毁管理规定XX-ISMS-SOP-03信息机房管理制度XX-ISMS-S

3、OP-04信息中心安全事件报告和处置管理制度XX-ISMS-SOP-05信息中心密码管理制度XX-ISMS-SOP-06信息系统访问权限说明XX-ISMS-SOP-07档案鉴定销毁工作规定XX-ISMS-SOP-08移动介质使用管理规定XX-ISMS-SOP-09复印室管理制度XX-ISMS-SOP-10重要文件加密解密管理制度XXX 有限公司文件名称事故事件薄弱点与故障管理程序版 次A/0页码文件编号XX-ISMS-01日 期2017.11.011/31 适用本程序适用于公司信息安全事故、薄弱点、故障和风险处置的管理。2 目的为建立一个适当信息安全事故、薄弱点、故障风险处置的报告、反应与处理

4、机 制，减少信息安全事故和故障所造成的损失，采取有效纠正与预防措施，正确 处置已经评价出风险，特制定本程序。3 职 责3.1 各系统归口管理部门主管相关安全风险的调查、处理及纠正措施管理。3.2各系统使用人员负责相关系统安全事故、薄弱点、故障和风险的评价、处 置报告。4 程 序4.1信息安全事故定义与分类：4.1.1 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或 工作失职等原因直接造成下列影响(后果)之一，均为信息安全事故：a) 企业秘密、机密及国家秘密泄露或丢失；b) 服务器停运4小时以上；c) 造成信息资产损失的火灾、洪水、雷击等灾害；d) 损失在十万元以上的故障/事件。

5、4.1.2信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或 工作失职等原因直接造成下列影响(后果)之一，属于重大信息安全事故：a) 企业机密及国家秘密泄露；XXX 有限公司文件名称事故事件薄弱点与故障管理程序版 次A/0页码文件编号XX-ISMS-01日 期2017.11.011/3b) 服务器停运8小时以上；c) 造成机房设备毁灭的火灾、洪水、雷击等灾害；d) 损失在一百万元以上的故障/事件。4.1.3信息安全事件包括：a) 未产生恶劣影响的服务、设备或者实施的遗失；b) 未产生事故的系统故障或超载；c) 未产生不良结果的人为误操作；d) 未产生恶劣影响的物理进入的违规XXX

6、有限公司文件名称事故事件薄弱点与故障管理程序版 次A/0页码文件编号XX-ISMS-01日 期2017.11.012/3e) 未产生事故的未加控制的系统变更；f) 策略、指南和绩效的不符合； g) 可恢复的软件、硬件故障；h) 未产生恶劣后果的非法访问。 4.2故障与事故的报告渠道与处理 4.2.1故障、事故报告要求故障、事故的发现者应按照以下要求履行报告任务：a) 各个信息管理系统使用者，在使用过程中如果发现软硬件故障、事故，应 该向该系统归口管理部门报告；如故障、事故会影响或已经影响线上生产，必 须立即报告相关部门，采取必要措施，保证对生产的影响降至最低；b) 发生火灾应立即触发火警并向安

7、全监督部报告，启动消防应急预案；c) 涉及企业秘密、机密及国家秘密泄露、丢失应向行政部报告；d) 发生重大信息安全事故，事故受理部门应向信息安全管理者代表和有关公 司领导报告。4.2.2故障、事故的响应故障、事故处理部门接到报告以后，应立即进行迅速、有效和有序的响应，包 括采取以下适当措施：a) 报告者应保护好故障、事故的现场，并采取适当的应急措施，防止事态的 进一步扩大；b) 按照有关的故障、事故处理文件(程序、作业手册)排除故障，恢复系统 或服务，必要时，启动业务持续性管理计划。XXX有限公司文件名称事故事件薄弱点与故障管理程序版 次A/0页码文件编号XX-ISMS-01日 期2017.1

8、1.012/35 相关/支持性文件5.1预防措施控制程序5.2 信息密级划分、标注及处理控制程序 5.3信息安全奖励、惩戒规定5.4 I法律法规与符合性评估程序6 记录保存期限6.1信息安全风险评估报XXX有限公司文件名称事故事件薄弱点与故障管理程序版 次A/0页码文件编号XX-ISMS-01日 期2017.11.013/36.2纠正/预防措施申请书6.3信息安全事故调查处理报告 6.4信息安全薄弱点报告XXX 有限公司文件名称业务持续性管理程序版 次A/0页码文件编号XX-ISMS-02日 期2017.11.011/21 目的与范围本程序规定了当发生重大信息安全事件或灾难时，为保护公司业务活

9、动免受影 响，迅速恢复已中断的业务活动，实现公司业务持续发展而实施的管理活动。 这些活动包括：建立业务持续性管理程序；进行业务持续性和影响分析；编制 业务持续性战略计划；制订业务持续性管理实施计划并实施；对业务持续性管 理计划进行定期测试和评审等。本程序适应于本公司应用软件的开发和系统集成的活动等主要业务的持续性管 理。2 相关文件2.1信息安全管理手册2.2信息资产的识别与风险评估管理程序 2.3事故、薄弱点与故障管理程序3 职责3.1 公司常务副总经理负责公司业务中断的恢复的总指挥与总协调。3.2集成部负责编制、修订公司业务持续性管理程序，并协调、推进公司业务 持续性管理活动。3.3各部门

10、负责部门相关系统的故障处理及与之相关的作业中断的恢复。3.4技术部负责项目实施过程中设备及软件系统的故障处理及与之相关的作业XXX 有限公司文件名称业务持续性管理程序版 次A/0页码文件编号XX-ISMS-02日 期2017.11.012/2中断的恢复。3.5集成部负责后勤系统设备及网络系统的故障处理及与之相关的作业中断的 恢复。3.6行政部负责本部门管理系统及与之相关的作业中断的恢复。3.7公司各部门在发生重大信息安全事件或灾难时，负责保护本部门使用的信 息系统及业务数据，及时恢复中断的业务活动。4工作程序4.1 业务持续性管理过程公司业务持续性管理过程规定如下： 4.2业务持续性和影响的分

11、析4.2.1公司在首次信息安全风险评估后进行业务持续性和影响的分析。4.2.2业务持续性和影响的分析由集成部组织，技术部、行政部、生产部及管 理者代表指定的相关部门分别开展以下活动：a)对本部门的信息安全进行风险评估；b)识别出对本部门业务持续性造成严重影响的主要事件，如设备故障、火灾等； c)分析这些事件一旦发生对公司业务活动造成的影响和损失，以及恢复业务所 需费用等；d)编写本部门业务持续性和影响分析报告(格式见ISMS-4341)。4.2.3业务持续性和影响分析报告应包括以下内容：XXX 有限公司文件名称业务持续性管理程序版 次A/0页码文件编号XX-ISMS-02日 期2017.11.

12、013/2a)识别关键业务的管理过程；b)可能引起公司业务活动中断的主要事件；c) 主要事件对本部门管理的信息系统的影响；d)信息系统故障或中断对公司业务活动的影响； e)关于系统恢复或替换的费用考虑。5 记录5.1业务持续性和影响分析报告5.2业务持续性管理战略计划5.3业务持续性管理实施计划5.4业务持续性管理计划测试报告 5.5业务持续性管理计划评审报告XXX 有限公司文件名称企业商业技术秘密管理程序版 次A/0页码文件编号XX-ISMS-03日 期2017.11.011/3第一章 总 则第一条 为保障公司的合法权益，充分发挥作为公司重要资产的技术秘密、商 业秘密的效益，鼓励员工不断创造

13、并自觉维护技术秘密、商业秘密的积极性， 根据知识产权管理总则制订本制度。第二条 公司技术秘密、商业秘密的管理目标；技术秘密、商业秘密是本公司 拥有的知识产权的组成部分，是公司的重要资产。要在公司内牢固树立技术秘 密、商业秘密的保护意识；技术秘密、商业秘密的管理贯穿研究开发、生产和 经营的全过程。明确商业秘密的界定和保护。第三条 公司内的相关管理制度、合同、记录等文献所有文件均属于商业机密。第二章 技术秘密、商业秘密的定义、确立和管理机制第四条 .本制度所称的技术秘密、商业秘密，是指由公司员工在职务范围内 创造或履行职务产生的、经公司知识产权管理部门认定并采取了保密措施、只 在公司一定范围内流传

14、的、具有商业价值的所有信息或成果。这些信息或成果 以各种纸质材料、照片、录像和计算机等数字存储设备为载体而能够为人所感 知。具体包括：1.技术秘密。包括：公司现有的或正在开发或者构思之中的或经过技术创新确 定不宜于申请专利的营销方案，管理制度；2.经营信息包括：公司的市场营销计划、广告宣传方案、销售方法、供应商和 客户名单、客户的专门需求、未公开的销售服务网络以及公司现有的、正在开 发或者构思之中的经营项目等信息及其承载物；3.依据法律和有关协议对第三方负有保密责任的第三方商业秘密。XXX 有限公司文件名称企业商业技术秘密管理程序版 次A/0页码文件编号XX-ISMS-03日 期2017.11

15、.012/3第五条. 确定为技术秘密、商业秘密的信息及其承载物，归公司所有。 第六条.技术秘密、商业秘密的确定程序：1.由参与药品研发创新，研发部就某一项或几项信息，向公司行政管理部门申 报；2.行政董事接到申报后采取：a)指定参与者中一人专门保管成果或信息的承载物，可以采取加密措施。被指 定人一般是项目或业务负责人或菜肴创造者本人；b)向公司常务董事汇报并提出是否构成技术秘密、商业秘密建议。必要时会同 指定人向公司常务董事汇报；c) 公司行政董事在接到知识产权管理部门的汇报后应立即作出是否确定为技 术秘密、商业秘密的决定；d)对于被确定为技术秘密、商业秘密的信息或成果，按照本制度第三章和第四

16、 章的有关规定具体落实管理措施。e) 技术秘密、商业秘密的确定遵循随时产生随时确定的原则，实行动态管理； 第七条 商业秘密管理机制。公司决策层负责技术秘密、商业秘密的整体工作。及时、高效地作出审核、批 准、否决等工作，定期检查各部门的保密工作，作出奖惩决定。公司下属部门的负责人负责本部门的日常技术秘密、商业秘密管理和保护工作。 定期检查本部门的保密工作，配合支持知识产权管理部门履行公司技术秘密、 商业秘密保护工作。知识产权管理部门是公司技术秘密、商业秘密保护工作的职责机构，具体操作XXX 有限公司文件名称企业商业技术秘密管理程序版 次A/0页码文件编号XX-ISMS-03日 期2017.11.

17、013/3落实与协调商业秘密保护的各项工作.公司全体员工是技术秘密、商业秘密保护 的实施者。全体员工应当牢固树立知识产权意识，自觉维护公司的商业秘密。第三章 技术秘密、商业秘密及其承载物的管理第八条 根据本制度第六条的规定，被决策层确立为技术秘密、商业秘密的信 息或成果，由知识产权管理部门确立密级和保密期限。密级划分的标准、保密 期限的确立，要参考该信息或成果同公司业务的联系程度、与同行业竞争的影 响力度、是否为公司运营的关键等因案，由知识产权管理部门划定。商业秘密 的申报人应当提供意见。第九条 按照技术秘密、商业秘密需要保密的程度，参考第八条的标准，技术 秘密、商业秘密分为三级；绝密、机密、

18、保密。引外，对于不宜于对外的信息， 由行政管理部门确立为“内部使用”的资料，参照本制度做好保密工作。绝密是指一旦泄漏会使公司遭受严重危害和重大损失的信息或成果，包括； 公司核心管理秘密、技术诀窍、财务报表、药品研发工艺、特殊化合同。机密是指理一旦泄漏会使公司遭受危害和较大损失的信息，包括：产品开 发、市场营销等各类工作计划、公司内部重要文件。保密是指一旦泄漏会使公司遭受损失的信息，包括；药品销售情况，用户 名单及其分布，用户需求信息，限于一定范围阅读的公司内部文件等。内部使用的信息或成果是指一旦泄漏会对公司业务产生一定不良影响的可 能的信息或成果，只限于内部员工阅读的公司内部文件。第十条.保密

19、资料由专人负责管理。公司财务部对交接来的技术秘密、商业秘 密档案材料，根据其密级于档案卷宗封面加盖保密印章，登记、编号后统一放XXX 有限公司文件名称企业商业技术秘密管理程序版 次A/0页码文件编号XX-ISMS-03日 期2017.11.014/3置保密资料专门存放处保存，并建立台帐登记，重要的资料柜实行双钥匙制度。 公司各部门要设立保密资科柜，用于存放各部门经常运用的或暂时无法交存公 司财务部门保存的技术秘密、商业秘密档案材料，该资料拒应由专人管理。第十一条.商业技术机密材料的借阅，必须经公司行政董事批准，确定借阅 时间，使用后立即归还，不得延期，更不得交与他人使用。第十二条.商业技术机密

20、材料的复印，必须经公司行政董事批准后，由专人(理应是财务部经理)复印，未见公司行政董事批准意见， 一律不得复印。复 印由专人负责，复印期间不得向他人泄漏，复印后应当立即将复印稿和原稿交 还申请复印人，废稿要立即销毁，不得留存或随意丢弃。第四章 技术秘密、商业秘密的保障措施第十三条 在本公司进行技术创新过程中，任何研发项目从立项之日起，围绕 该项目的研发活动进入技术秘密、商业秘密保护范围内，产生的任何信息或成 果，不论最终产生的知识产权形式如何，均作为公司的技术秘密、商业秘密进 行保护。第十四条 对于在研发过程中被确定为技术秘密、商业秘密的信息，由于处在 不断发展改进的状态下，其档案材料可以经公

21、司知识产权主管领导批准后保留 在本部门，但必须设专门存放处保存，以计算机等保存的，必须对该设备进行 数字加密，密码不得向任何无关该商业秘密的人透露。研发中的阶段性成果，必须形成档案材料，依照保密措施保存，直到最终成果 形成后，将各阶段成果形成的过程档案进行保存、销毁、解秘等措施。第十五条 对于开发完成的技术创新成果，除从本公司专利战略及经营实际出XXX 有限公司文件名称企业商业技术秘密管理程序版 次A/0页码文件编号XX-ISMS-03日 期2017.11.015/3发需要公开的以外，经过论证不适于申请专利的，将其完全纳入公司商业秘密 保护范围内，按照商业秘密的确立、密级划分、建档、专门保存档

22、案资料等的 工作。参与技术创新的有关人员，在开发项目进行中，应履行商业秘密的保密 工作。第十六条 公司所有员工有义务保护公司技术秘密、商业秘密的安全。所有员 工对于公司技术秘密、商业秘密的保护而产生的义务、权利及相应奖励、处罚。 第十七条 员工在公司工作期间，因工作需要使用公司的技术秘密、商业秘密 及其承载物，应按照要求的范围和程度使用，不得将实物、资料等擅自带离工 作岗位，未经书面同意，不得随意进行复制、交流或转移含有公司技术秘密、 商业秘密的资料。第十八条 员工在参加任何级别的学术交流活动、产品订货会、技术鉴定会等 会议或活动时，必须注意保护公司的技术秘密、商业秘密，用以交流的文档或 资料

23、事先要经过上级审查批准。第十九条 .公司在对外发布新产品信息和广 告时，要注意避免泄漏公司的技术秘密、商业秘密。重要的新产品宣传、广告 文稿必须经公司行政董事审核批准后才可发布。第二十条 公司在接受外公司人员的实习、合作研究、学习进修等工作时，对 公司的技术秘密、商业秘密负有保密的义务。第二十一条 员工因工作需要或其他原因(包括离职、辞职、退休、开除等) 调离原工作岗位或离开公司，应将接触到的所有包含职务开发中技术秘密、商 业秘密的数据、文档等的记录、模型、软磁盘、光盘及数字存储装置以及其他 媒介形式的资料如数交回公司。XXX有限公司文件名称企业商业技术秘密管理程序版 次A/0页码文件编号XX

24、-ISMS-03日 期2017.11.016/3第五章 技术秘密、商业秘密效益发挥的保证措施第二十二条 公司在对外的技术合作过程中，以技术秘密、商业秘密为标的或 其他技术合同涉及技术秘密、商业秘密许可的，对于技术秘密、商业秘密的价 值通过与合作方协商确定。需要进行第三方价值评估的，委托符合执业要求的 中介机构完成，并通过合同约定严格的保密措施。明确双方的权利和义务及合 作方在合同末完全履行，泄漏公司技术秘密、商业秘密应承担的责任。第二十三条 公司员工在主持或参与对外业务谈判时要遵守公司的保密纪律。 涉及公司商业秘密的谈判，事先制定谈判提纲，该提纲经行政董事批准。第二十四条 在技术合作中产生的技

25、术成果，其知识产权形式的确定和归属由 合同约定，凡以技术秘密、商业秘密约定归属本公司应采取保密措施。第二十五条 因员工开发或参与开发的技术创新项目、新产品技术或创造发明 而形成的商业秘密，在对外的技术合作过程中产生收益，本公司将取得实际利 益给予最大力度奖励。第二十六条本公司所有正式，试用，兼职，实习员工无条件遵守本管理办法。XXX有限公司文件名称信息处理设施引进实施管理程版 次A/0页码文件编号XX-ISMS-04日 期2017.11.011/71 适用与目的本程序适用于公司与IT 相关各类信息处理设施(包括各类软件、硬件、服 务、传输线路)的引进、实施、维护等事宜的管理。本程序通过对技术选

26、型、验收、实施、维护等过程中相关控制的明确规定 来确保引进的信息处理设施的保密性、完整性和可用性。2信息处理设施的分类2.1 研发控制系统、数据存储控制系统及其子系统设备，包括位于机房的服务 器和位于使用区域的使用控制系统终端设备。2.2 业务管理系统、财务管理系统，包括位于机房的服务器和位于使用区域的 终端设备。2.3 办公用计算机设备，包括所有办公室、会议室内的计算机、打印机，域控 制服务器，DNS服务器、Email 服务器等。2.4 网络设备，包括交换机、路由器、防火墙等。2.5 其它办公设备，包括电话设备、复印机、传真机等。3 职 责3.1 XX部主要负责全公司与IT 相关各类信息处理

27、设施及其服务的引进。包括 制作技术规格书、进行技术选型、安装和验收等。XX 部同时负责全公司网络设备、研发控制系统、业务管理系统、财务管理系统日常管理与维护。XXX有限公司文件名称信息处理设施引进实施管理程版 次A/0页码文件编号XX-ISMS-04日 期2017.11.012/73.2 各部负责项目实施过程中设备及软件系统的管理制度的执行与维护。3.3 XX部负责后勤系统设备及网络系统、电话/网络通讯与办公系统的管理与 维护。4信息处理设施的引进和安装4.1引进依赖各部门必须采购的信息处理设施、外包开发信息系统项目或外包信息系统 服务，得到本部门经理的批准后，向 XX 部提交申请。XX 部以

28、设备投资计划， 技术开发计划为依据，结合对新技术的调查，作出是否引进的评价结果并向提 出部门返回该信息。本公司禁止员工携带个人或私有信息处理设施(例如便携式电脑、家用电 脑或手持设备PDA 等)处理业务信息。4.2进行技术选型XX部负责对购入的信息处理设施的技术选型，并从技术角度对供应商进行 评价。技术选型应该包含以下几方面：性能、相关设施的兼容性、协作能力、 技术发展能力等。4.3编写购入规格书XX部根据要求，负责编写即将购入的信息处理设施的购入规格书。规格书 中应该包含技术规格、相关设施的性能(包括安全相关信息)、兼容性等要求，XXX有限公司文件名称信息处理设施引进实施管理程版 次A/0页

29、码文件编号XX-ISMS-04日 期2017.11.013/7由XX 部主管审批。4.4定货由XX部按照公司采购流程，向经理层提出购买要求，并提供选型结果。经 理层应按照要求办理定货手续。4.5开箱检查，安装、调试，验收a) 开箱检查设备到货后，xx 部应负责开箱检查，依照购买规格书和装箱单核对数量及 物品，确认有无损坏并记录。必要时，应通知有关部门到场协同检查。b) 安装、调试引进的设施到位后，根据合同要求，由相关人员进行安装、调试。在实施 调试过程中出现的问题，必要时可通知相关部门共同进行。c) 验收安装调试完成以后，XX部应依据以下文件实施验收： 购入规格书采购合同及其相关附件 调试时故

30、障履历验收原则上由XX 部实施，必要时可要求相关部门参加。验收的合格与否最 终由XX部负责人作出判断。d) 验收合格后，可向相关的使用部门移交。XXX 有限公司文件名称信息处理设施引进实施管理程版 次A/0页码文件编号XX-ISMS-04日 期2017.11.014/75 信息处理设施的日常维护管理5.1计算机设备管理5.1.1 XX部负责计算机固定资产的标识，标识随具体设备到使用各部门。计算 机保管使用部门将计算机列入该部门信息资产清单。5.1.2 各部门配备的计算机设备应与本部门的日常经营情况相适应，不得配备 与工作不相符的高档次或不必要的计算机设备。办公场所不配备多媒体类计算 机设备，原

31、则上部门经理以上配备笔记本电脑，因工作需要配备笔记本电脑的 需经主管副总批准。5.1.3 计算机使用部门需配备计算机设备时，应按照本规定执行。资产搬离安 置场所，需要获得部门经理的授权；迁移出公司，需要得到最高管理层的授权。5.1.4 计算机使用部门填写物品领用单,经过本部门经理签字后提交行政部 后领取计算机设备。计算机及附属设备属公司信息资产，在行政部备案。有关 计算机设备所带技术说明书、软件由行政部保存。使用部门的使用人应妥善保 管计算机及附属设备，公用计算机设备由使用部门经理指定专人负责使用管理。5.1.5 离职时，应将计算机交还XX部，由XX部注销账户。5.2计算机设备维护5.2.1

32、计算机使用部门应将每部计算机落实到个人管理。计算机使用人员负责 计算机的日常维护和保养；XX 部按照恶意软件控制程序要求进行计算机查 毒和杀毒工作。XXX 有限公司文件名称信息处理设施引进实施管理程版 次A/0页码文件编号XX-ISMS-04日 期2017.11.015/75.2.2 计算机使用部门发现故障或异常，可先报公司XX 管理员处理，如其无法 解决，则由XX 管理员填写事态事件脆弱性记录向供应商申请维修。故障原 因及处理结果应记入事态事件脆弱性记录。5.3计算机调配与报废管理5.3.1 用户计算机更新后，原来的计算机由XX 部根据计算机的技术状态决定调 配使用或予以报废处理。5.3.2

33、 含有敏感信息的计算机调配使用或报废前，计算机使用部门应与XX 部共 同采取安全可靠的方法将计算机内的敏感信息清除。5.3.3 调配5.3.3.1 部门内部的调配由使用部门自行处理，并通知XX 部进行计算机配置变 更，变更执行更改控制程序。5.3.3.2 部门间的调配管理：XX 部收回因更新等原因不用的计算机设备，由变 更部门变更信息资产清单，并按照本程序5.1.3、5.1.4要求重新分配使用。5.4报废处理5.4.1 计算机设备采用集中报废处理。报废前由XX 部向行政部提出报废，经审 核后由XX部实施报废。5.4.2 XX 部按照批准的处置方案进行报废处理，并变更固定资产清单。5.5笔记本电

34、脑安全管理5.5.1 笔记本电脑应由被授权的使用人保管；对于需多人共用的笔记本电脑，XXX 有限公司文件名称信息处理设施引进实施管理程版 次A/0页码文件编号XX-ISMS-04日 期2017.11.016/7应由部门负责人指定专人保管。5.5.2 笔记本所带附件应由使用者本人或部门负责人指定专人保管。5.5.3 笔记本电脑使用时应防止恶意软件的侵害，在系统中应安装防病毒软件， 并由使用人对其定期升级，对系统定期查杀，XX 部负责监督。5.5.4 笔记本电脑在移动使用中，不能随意拉接网络，需通过填写用户授权 申请表向XX部提前提出需求，经XX部审批后方能接入网络。5.6计算机安全使用的要求5.

35、6.1 计算机设备为公司财产，应爱惜使用，按照正确的操作步骤操作。5.6.2 使用计算机时应遵循信息安全策略要求执行。5.6.3 员工入职时，由其所在部门的部门经理根据该员工权限需要填写用户 授权申请表,向研发部提出用户开户申请；离职时也需填写用户授权申请表 通知研发部办理销户。5.6.4 新域用户名为用户姓名的拼音(有重名时另设),初始缺省密码为 XXXXX。用户在第一次登录系统时应变更密码，密码需要设置在6位以上(英文 字母、数字或符号组合的优质密码)并注意保密。5.6.5 各人使用自己的账户登录，未经许可不得以他人用户名登录。若用户遗 忘密码，应及时向研发部申请新密码后登录。5.6.6

36、不得使用计算机设备处理正常工作以外的事务。5.6.7 计算机的软硬件设置管理由研发部进行，未经许可，任何人不得更换计 算机硬件和软件。XXX 有限公司文件名称信息处理设施引进实施管理程版 次A/0页码文件编号XX-ISMS-04日 期2017.11.017/75.6.8 研发部负责初始软件的安装，公司严禁个人私自安装和更改任何软件。 计算机用户的软件安装与升级按照更改控制程序执行。拒绝使用来历不明 的软件和光盘。5.6.9 严禁乱拉接电源，以防造成短路或失火。5.6.10 计算机桌面要保持清洁，不得将秘密和(或)受控文件直接放置在桌 面；计算机桌面必须设置屏幕保护，恢复时需用密码确认(执行密码

37、口令管理 规定)。锁屏时间可根据自己工作习惯设置锁屏时间，但最高不得高于5分钟。 各部门负责人进行监督。5.7网络安全使用的要求5.7.1 对于网络连接供应商，充分考虑其口碑和现有安全防范措施，在签署保 密协议的基础上加以筛选。5.7.2 对内设置必要的路由器防火墙，采用HTTP、FTP的连接方式，捆绑固定 IP 地址防止权限滥用。6信息处理设施的日常点检6.1计算机的日常点检日常点检的目的是确认系统硬件是否运行良好，有无硬件及程序上的报警， 备份是否正常进行等。点检的流程、责任、项目、点检周期和记录表详由相应 部门制定。如出现在检查期人员外出等不在岗情况，需要在返回工作岗位时， 立即补充完善

38、。XXX 有限公司文件名称信息处理设施引进实施管理程版 次A/0页码文件编号XX-ISMS-04日 期2017.11.018/76.2网络设备的管理与维护点检的流程、责任、项目、点检周期和记录表由XX部负责，特别的，在点 检中应包括对MAIL的点检。6.3点检策略6.3.1 所有存在于计算机、网络设备上的服务、入侵检测系统、防火墙和其他 网络边界访问控制系统的系统审核、账号审核和应用审核日志必须打开，如果 有警报和警示功能必须打开。6.3.2 审核日志必须保存一定的期限，任何个人和部门不得以任何理由删除保 存期之内的日志。6.3.3 审核日志必须由该系统管理员定期检查，特权使用、非授权访问的试

39、图、 系统故障和异常等内容应该得到评审，以查找违背信息安全的征兆和事实。6.3.4 入侵检测系统必须处于启动状态，日志保存一定的期限，定期评审异常 现象，对所有可疑或经确认的入侵行为和入侵企图需及时汇报并采取相应的措 施。6.3.5 日志的配置最低要求设备类 型日志内容保 存 周 期检 查 周 期服务系 统对外提供服务的a)用户标识符(ID);6个月2周直接用于设计、 1 2 个2周XXX有限公司文件名称信息处理设施引进实施管理程版 次A/0页码文件编号XX-ISMS-04日 期2017.11.019/7存储、检测的控 制、管理和查询 系统b)登录和注销事件；c)若可能，终端位 置 ；d)成功

40、的失败的登 录试图。月全公司办公系统6个月5周部门内部服务器6个月5周其他服务器6个月5周防火墙 和路由 器系统配置更改日志1个月5周访问日志(方向、流 量 )1个月5周V P N 网 关a)用户标识符(ID); b)登录和注销事件； c)终端位置；d)成功的失败的登 录试图。1周1周入侵检 测系统异常网络连接的时 间、IP、入侵类型3个月5周远程访 问系统a)用户标识符(ID); b)登录和注销事件； c)终端位置；d)成功的失败的登 录试图。3个月5周XXX有限公司文件名称信息处理设施引进实施管理程版 次A/0页码文件编号XX-ISMS-04日 期2017.11.0110/76.3.6 X

41、X 部网络管理员根据系统的安全要求确认其日志内容、保存周期、检 查周期，其最低要求不得低于上表的要求。如因为日志系统本身原因不能满足 上表的最低要求，需要降低标准的，须得到XX 部主管或管理者代表的批准和备 案。6.3.7 XX部网络管理员配置日志系统，并定期检查日志内容，评审安全情况。 评审的内容包括：授权访问、特权操作、非授权访问试图、系统故障与异常等 情况，评审结束应形成日志检查记录。6.4资料的保存6.4.1 设备的技术资料由设备所在的部门交由行政部保存并建立受控文件和 资料发放清单,以备日后查阅。6.4.2 设备厂商对设备进行维修后提供的维修(维护)记录单，由XX 部保存， 以备日后

42、查询。6.5网络扫描工具的安全使用管理6.5.1 对网络扫描工具的使用，必须得到管理者代表的授权，并保存使用的记 录。7 其它要求涉及应用系统软件的开发(包括外包软件开发)的项目，还需执行系统 开发与维护控制程序的相关要求。XXX有限公司文件名称信息处理设施引进实施管理程版 次A/0页码文件编号XX-ISMS-04日 期2017.11.0111/78相关文件 系统开发与维护控制程序 系统逻辑访问管理制度9 记 录记录名称保存部门保存期 限用户授权申请表3年日志检查评审记录5年变更申请表3年日常点检记录表3年XXX 有 限 公 司文件名称信息安全人员考察与保密管理程序版 次A/0页码文件编号XX-ISMS-05日 期2017.11.011/31 适用本规定适用于本公司的正式员工和借用员工聘用、任职期间及离 职的安全考察与保密控制以及其他相关人员(合同方、临时员工)的安全考察 与控制。2 目的为防止品质不良或不具备一定技能的人员进入本公司，或不具备 一定资格条件的员工被安排在关键或重要岗位，降低员工所带来人为差错、盗 窃、欺诈及滥用设施的风险，防止人员对于信息安全保密性、完整性、可用性 的影响，特制定本程序。3 职责3.1