《網(wǎng)絡(luò)信息安全管理制度DOC 52頁[共62頁]》由會員分享，可在線閱讀，更多相關(guān)《網(wǎng)絡(luò)信息安全管理制度DOC 52頁[共62頁]（63頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、I目錄一、一、 物理訪問制度 ISMS-3001.11.1. 目的 .12.2. 范圍 .13.3. 職責(zé) .14.4. 員工外出管理 .15.5. 來賓出入管理規(guī)定 .16.6. 相關(guān)記錄無 .2二、二、 外部相關(guān)方信息安全管理規(guī)程 ISMS-3002.21.1. 目的 .22.2. 范圍 .23.3. 職責(zé) .24.4. 管理規(guī)定 .2三、三、 與政府相關(guān)資質(zhì)申報及年審規(guī)定 ISMS-3003.31.1. 目的: .32.2. 職責(zé): .33.3. 技術(shù)部相關(guān)管理要求: .34.4. 相關(guān)資質(zhì)申報年審管理要求 .3四、四、 信息系統(tǒng)容量規(guī)劃及驗收管理制度 ISMS-3004.41.1. 目

2、的 .42.2. 范圍 .43.3. 職責(zé) .44.4. 內(nèi)容 .4五、五、 信息資產(chǎn)密級管理規(guī)定 ISMS-3005.41.1. 目的 .52.2. 范圍 .53.3. 保密信息定義 .54.4. 秘密等級區(qū)分 .55.5. 信息的分類 .5II6.6. 保密文件的標(biāo)識 .57.7. 傳送 .68.8. 其它 .6六、六、 信息系統(tǒng)設(shè)備管理規(guī)定 ISMS-3006.61.1. 目的和范圍 .72.2. 引用文件 .73.3. 職責(zé) .74.4. 設(shè)備管理流程 .75.5. 實施策略 .106.6. 相關(guān)記錄 .10七、七、 機房管理規(guī)定 ISMS-3007.101.1. 目的和范圍 .102

3、.2. 引用文件 .113.3. 職責(zé)和權(quán)限 .114.4. 機房出入制度 .115.5. 機房環(huán)境管理 .116.6. 機房設(shè)備管理 .127.7. 相關(guān)記錄 .12八、八、 筆記本電腦管理規(guī)定 ISMS-3008.131.1. 目的 .132.2. 引用文件 .133.3. 職責(zé)和權(quán)限 .134.4. 筆記本電腦使用規(guī)定 .135.5. 安全配置規(guī)定 .146.6. 外部人員使用筆記本的規(guī)定 .147.7. 客戶現(xiàn)場管理規(guī)定 .158.8. 實施策略 .159.9. 相關(guān)記錄 .15九、九、 介質(zhì)管理規(guī)定 ISMS-3009.151.1. 目的和范圍 .152.2. 引用文件 .15III

4、3.3. 職責(zé)和權(quán)限 .164.4. 介質(zhì)管理 .165.5. 實施策略 .186.6. 相關(guān)記錄 .18十、十、 變更管理規(guī)定 ISMS-3010.181.1. 目的 .182.2. 引用文件 .183.3. 職責(zé)和權(quán)限 .194.4. 變更步驟管理 .195.5. 程序 .19十一、十一、 第三方服務(wù)管理規(guī)定 ISMS-3011.211.1. 目的和范圍 .212.2. 引用文件 .213.3. 職責(zé)和權(quán)限 .214.4. 第三方服務(wù)管理規(guī)定 .215.5. 實施策略 .22十二、十二、 數(shù)據(jù)備份管理規(guī)定 ISMS-3012.231.1. 目的和范圍 .232.2. 引用文件 .233.3

5、. 職責(zé)和權(quán)限 .234.4. 備份管理 .235.5. 備份的驗證 .24十三、十三、 郵件管理規(guī)定 ISMS-3013.251.1. 目的和范圍 .252.2. 引用文件 .253.3. 職責(zé)和權(quán)限 .254.4. 電子郵件的帳戶管理 .255.5. 電子郵件使用規(guī)定 .266.6. 郵件使用規(guī)定 .267.7. 實施策略 .278.8. 相關(guān)記錄 .27IV十四、十四、 軟件管理規(guī)定 ISMS-3014.271.1. 目的和范圍 .272.2. 引用文件 .273.3. 職責(zé)與權(quán)限 .274.4. 軟件管理 .285.5. 審核、批準、發(fā)布 .286.6. 軟件歸檔和存放 .287.7.

6、 軟件使用 .298.8. 修訂與升級 .299.9. 軟件作廢 .2910.10. 實施策略 .2911.11. 相關(guān)記錄 .30十五、十五、 系統(tǒng)監(jiān)控管理規(guī)定 ISMS-3015.301.1. 目的 .302.2. 引用文件 .303.3. 職責(zé) .304.4. 系統(tǒng)監(jiān)控管理 .30十六、十六、 補丁管理規(guī)定 ISMS-3016.311.1. 目的 .312.2. 引用文件 .313.3. 職責(zé)與權(quán)限 .314.4. 補丁管理規(guī)定 .315.5. 其他補?。?.326.6. 實施策略 .327.7. 相關(guān)記錄 .33十七、十七、 信息系統(tǒng)審核規(guī)范 ISMS-3017.331.1. 目的和范

7、圍 .332.2. 術(shù)語和定義 .333.3. 引用文件 .334.4. 職責(zé)和權(quán)限 .345.5. 活動描述 .34V6.6. 審核注意事項： .35十八、十八、 基礎(chǔ)設(shè)施及服務(wù)器網(wǎng)絡(luò)管理制度 ISMS-3018.351.1. 機房安全管理程序 .352.2. 重要信息備份管理程序 .383.3. 目的 .394.4. 機房設(shè)備維護管理制度 .41十九、十九、 信息系統(tǒng)安全應(yīng)急預(yù)案 ISMS-3019.421.1. 電力系統(tǒng)故障的應(yīng)急處理 .422.2. 消防系統(tǒng)應(yīng)急處理 .423.3. 網(wǎng)絡(luò)信息系統(tǒng)故障的應(yīng)急處理 .434.4. 網(wǎng)站與應(yīng)用系統(tǒng)應(yīng)急處理 .435.5. 黑客入侵的應(yīng)急處理

8、.446.6. 大規(guī)模病毒（含惡意軟件）攻擊的應(yīng)急處理 .44二十、二十、 終端計算機使用管理制度 ISMS-3020.451.1. 計算機使用管理 .452.2. 存儲介質(zhì)的管理 .473.3. 辦公軟件使用管理規(guī)定 .48二十一、二十一、 信息安全管理規(guī)范和操作指南 ISMS-3021.511.1. 總則 .512.2. 物理安全 .523.3. 計算機的物理安全管理 .524.4. 緊急情況 .525.5. 網(wǎng)絡(luò)系統(tǒng)安全管理 .526.6. 網(wǎng)絡(luò)安全檢測。 .537.7. 信息系統(tǒng)安全管理 .538.8. 信息系統(tǒng)的內(nèi)部管理 .549.9. 密碼管理 .55網(wǎng)絡(luò)信息安全管理制度-版本 V

9、1.01一、一、 物理訪問制度 ISMS-30011. 1. 目的為了保障公司辦公區(qū)域資訊信息安全和員工人身及財物安全，防止公司財產(chǎn)流失，特制定本制度。2. 2. 范圍本制度適用于公司員工外出及外來人員進入公司出入管理。3. 3. 職責(zé)公司設(shè)立接待人員,負責(zé)來訪人員登記管理。4. 4. 員工外出管理員工因工作需要外出,需向相應(yīng)上一級主管作出事由說明,經(jīng)批準后方可外出。到客戶現(xiàn)場提供服務(wù)或工作的人員,需帶公司胸卡。5. 5. 來賓出入管理規(guī)定(1)凡是來賓訪客（包括外包協(xié)作廠商、客戶及政府等來訪人員）進入公司內(nèi)時，一律須出示其有效證件，說明來訪事由，經(jīng)被訪人同意后，方可允許相關(guān)人員進入辦公區(qū)。(

10、2)團體來賓參觀時，在得到總經(jīng)理或副總的許可后，須由相關(guān)人員陪同方可進入。(3)員工親友私事來訪時，除特殊緊急事故，經(jīng)其部門主管核準外，不得在上班時間內(nèi)會客，親友須于會客區(qū)內(nèi)等候至下班時會見。(4)公司內(nèi)部核心區(qū)域出入管理規(guī)定1)敏感區(qū)域公司敏感區(qū)域主要為內(nèi)部機房和經(jīng)理室.公司安裝監(jiān)控器;實施辦公區(qū)域24 小時監(jiān)控.2)如需進入上述敏感區(qū)域，需經(jīng)管理者代表/總經(jīng)理同意,否則不得進入。網(wǎng)絡(luò)信息安全管理制度-版本 V1.02相關(guān)文件物理訪問控制程序6. 6. 相關(guān)記錄無二、二、 外部相關(guān)方信息安全管理規(guī)程 ISMS-30021. 1. 目的為確保被外部相關(guān)方訪問、處理、共享、管理的組織信息及信息處

11、理設(shè)施的安全，特制定本管理規(guī)定。2. 2. 范圍本管理規(guī)定適用于公司外部相關(guān)方(包括顧客.供方.第三方)管理。3. 3. 職責(zé)技術(shù)部系統(tǒng)管理員負責(zé)制定本規(guī)定并負責(zé)執(zhí)行。4. 4. 管理規(guī)定(1)第三方物理訪問須經(jīng)公司被訪問部門的授權(quán),具體執(zhí)行訪客管理制度.(2)公司與顧客需明確規(guī)定信息安全要求，公司規(guī)定在與客戶簽訂合同中需規(guī)定必要的安全要求。(3)服務(wù)器訪問權(quán)需由技術(shù)部統(tǒng)一授權(quán)給用戶,一個用戶給予惟一賬號,口令自行保管.(4)本公司公網(wǎng)接入服務(wù)提供方等為外包過程,此類外包服務(wù)商應(yīng)由技術(shù)部組織簽訂服務(wù)協(xié)議/合同,并應(yīng)收集其相關(guān)資質(zhì),經(jīng)公司評估成為合格供方后方可與之進行經(jīng)濟來往.(5)采購供方或任

12、何其它相關(guān)方人員現(xiàn)場訪問公司現(xiàn)場時,需由技術(shù)部接待,需要涉及到公司重要應(yīng)用軟件、重要設(shè)施及重要數(shù)據(jù)的訪問時,必須由技術(shù)部人員授權(quán)方可使用或查閱,涉及到資料復(fù)制名外借時,公司重要數(shù)據(jù)和文件需征得總經(jīng)理同意.(6)服務(wù)合同1 年注意更新。網(wǎng)絡(luò)信息安全管理制度-版本 V1.03三、三、 與政府相關(guān)資質(zhì)申報及年審規(guī)定 ISMS-30031. 1. 目的:為公司對外與政府相關(guān)部門的相關(guān)業(yè)務(wù)聯(lián)系提供指導(dǎo);2. 2. 職責(zé):技術(shù)部負責(zé)各項政府項目的申報。財務(wù)部負責(zé)報稅和營業(yè)執(zhí)照年審。3. 3. 技術(shù)部相關(guān)管理要求:(1)申報相關(guān)流程;由技術(shù)部按各政府部門項目申報的要求下載相關(guān)表格,并按要求組織填報.(2)申

13、報涉及到相關(guān)經(jīng)營數(shù)據(jù)的審核相關(guān)經(jīng)營數(shù)據(jù)在上報給政府部門前，先由核對數(shù)據(jù)，再交由綜合部，審核通過后由總經(jīng)理蓋公司公章。(3)技術(shù)部申報材料的備份管理所有上報給政府部門的文件數(shù)據(jù)都備份一份，由技術(shù)部資質(zhì)人員整理歸檔保存在辦公室檔案室中，并記錄檔案文件編號。(4)材料保密要求所有檔案文件材料由技術(shù)部專員負責(zé)看管，其他人員如要查閱，需先向技術(shù)申請，獲得總經(jīng)理批準認可后，到存放檔案的辦公室中查閱相關(guān)文件，檔案文件不允許帶出辦公室。4. 4. 相關(guān)資質(zhì)申報年審管理要求(1)報稅管理要求用政府財稅處相關(guān)報稅軟件，在線填寫企業(yè)經(jīng)營數(shù)據(jù)，完成后由軟件系統(tǒng)上報。(2)營業(yè)執(zhí)照管理要求接到政府相關(guān)部門通知后，持企業(yè)

14、營業(yè)執(zhí)照到指定政府辦事處辦理營業(yè)執(zhí)照年審手續(xù)。網(wǎng)絡(luò)信息安全管理制度-版本 V1.04四、四、 信息系統(tǒng)容量規(guī)劃及驗收管理制度 ISMS-30041. 1. 目的針對已確定的服務(wù)級別目標(biāo)和業(yè)務(wù)需求來設(shè)計、維持相應(yīng)的技術(shù)部服務(wù)能力，從而確保實際的技術(shù)部服務(wù)能夠滿足服務(wù)要求。2. 2. 范圍適用于公司所有硬件、軟件、外圍設(shè)備、人力資源容量管理。3. 3. 職責(zé)技術(shù)部負責(zé)確定、評估容量需求。4. 4. 內(nèi)容(1)容量管理包括：服務(wù)器,重要網(wǎng)絡(luò)設(shè)備：LAN、WAN、防火墻、路由器等；所有外圍設(shè)備：存儲設(shè)備、打印機等；所有軟件：操作系統(tǒng)、網(wǎng)絡(luò)、內(nèi)部開發(fā)的軟件包和購買的軟件包；人力資源：要維持有足夠技能的人

15、員。(2)對于每一個新的和正在進行的活動來說，公司管理層應(yīng)識別容量要求。(3)公司管理層每年應(yīng)在管理評審時評審系統(tǒng)容量的可用性和效率。公司管理層應(yīng)特別關(guān)注與訂貨交貨周期或高成本相關(guān)的所有資源，并監(jiān)視關(guān)鍵系統(tǒng)資源的利用，識別和避免潛在的瓶頸及對關(guān)鍵員工的依賴。(4)技術(shù)部應(yīng)根據(jù)業(yè)務(wù)規(guī)劃、預(yù)測、趨勢或業(yè)務(wù)需求,定期預(yù)測施加于綜合部系統(tǒng)上的未來的業(yè)務(wù)負荷以及組織信息處理能力，以適當(dāng)?shù)某杀竞惋L(fēng)險按時獲得所需的容量,五、五、 信息資產(chǎn)密級管理規(guī)定 ISMS-3005網(wǎng)絡(luò)信息安全管理制度-版本 V1.051. 1. 目的確保公司營運利益，并防止與公司營運相關(guān)的保密信息泄漏。2. 2. 范圍本辦法適用于公司

16、所有員工。3. 3. 保密信息定義保密信息指與公司營運相關(guān)且列入機密等級管理的相關(guān)信息。4. 4. 秘密等級區(qū)分機密等級分為秘密、內(nèi)控、公開三類，區(qū)分標(biāo)準如下：(1)秘密：凡該信息泄漏后，足以嚴重損害本公司益或有于競爭對手的。(2)內(nèi)控：凡該信息泄漏后，雖致直接影響本公司益，但可能使本公司經(jīng)營管理因而造成困擾，需限制其閱讀對象的。(3)內(nèi)控：凡該信息泄漏后，雖致直接影響本公司益，但可能使本公司經(jīng)營管理因而造成困擾，需限制其閱讀對象的。(4)公開：指可對社會公開的信息，公用的信息處理設(shè)備和系統(tǒng)資源.5. 5. 信息的分類(1)信息資產(chǎn)的分類可參見附件信息分類表。如未列入分類表的信息資產(chǎn)，可依照下

17、面的原則進行判斷：(2)秘密，由信息保管單位主管判定，且至少須為部門以上主管。(3)內(nèi)控，由保密信息保管單位自行判定。6. 6. 保密文件的標(biāo)識(1)文件類的信息在判定等級后，加蓋印章于文件及附件各頁右上角或其它明顯處。如頁數(shù)太多，得酌情抽頁蓋騎縫章。但絕密級信息應(yīng)予編碼管控。(2)非文件類的保密信息，包括檔案、電子郵件、投影片等，于判定等網(wǎng)絡(luò)信息安全管理制度-版本 V1.06級后，應(yīng)于資料傳送顯示前告知使用人或相關(guān)人員該項信息的密級。(3)印章由技術(shù)部統(tǒng)一刻制，發(fā)放給各個部門使用。7. 7. 傳送(1)內(nèi)部傳送(2)秘密、內(nèi)控：保密信息保管單位應(yīng)將印刷形式保密信息密封后注明機密等級，再裝入傳

18、遞袋中發(fā)送收件人;軟件形式定稿和完整信息以電子郵件方式傳遞時應(yīng)加密;內(nèi)控信息可加密。(3)外部傳送：印刷形式保密信息于外部傳送時應(yīng)以掛號函件或其它適當(dāng)方式寄送收件人。任何軟件形式的機密等級信息于公司外系統(tǒng)、或于公司外使用環(huán)境情況下，非經(jīng)加密均得以電子郵件方式傳遞，以避免遭攔截轉(zhuǎn)送。(4)其它未判定為任一機密等級但仍具有敏感性或半成品性質(zhì)的信息于傳送前可應(yīng)視情況加密。8. 8. 其它(1)保密信息得用于公司以外的公開活動（如演講、授課、一般資料調(diào)查、出版發(fā)行等），如須于前述活動使用，應(yīng)準用第五條的規(guī)定，并經(jīng)管理者代表核準。(2)保密信息應(yīng)由管代/相關(guān)負責(zé)人妥善保管，并善盡管理保護職責(zé)。(3)離職

19、員工應(yīng)繳出其所持歸公司所有的一切資料及其任何形式復(fù)印件、副本，并確定確實歸還全部所持公司文件。(4)新進人員于入職當(dāng)天即應(yīng)簽署員工保密合約，在新進人員簽署上述文件時，綜合部應(yīng)對合約書上有關(guān)企業(yè)保密信息等有關(guān)條文詳加說明與解釋，務(wù)必使新進人員充分了解并遵守企業(yè)保密信息有關(guān)事項。(5)保管人員判定保密信息無繼續(xù)保存的必要時，可經(jīng)各判定主管的上一級主管核準后銷毀。絕密信息、機密信息無保存必要時，應(yīng)將正本連同復(fù)印的保密信息，由原保管單位統(tǒng)一收回銷毀。(6)本辦法經(jīng)總經(jīng)理核準后公告實施，修訂時亦同。網(wǎng)絡(luò)信息安全管理制度-版本 V1.07六、六、 信息系統(tǒng)設(shè)備管理規(guī)定 ISMS-30061. 1. 目的和

20、范圍本程序是對信息資產(chǎn)分類中物理資產(chǎn)下的硬件設(shè)備的規(guī)劃、購置、安裝、驗收、使用、維護、處置等各階段進行有效控制，在保證設(shè)備安全的前提下最大限度發(fā)揮設(shè)備的效能，同時減少由于設(shè)備入網(wǎng)造成安全安全風(fēng)險。2. 2. 引用文件(1)下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準。(2)ISO/IEC27001:2005 信息技術(shù)-安全技術(shù)-信息安全管理體系要求(3)ISO/IEC27002:2005 信息技術(shù)-安全技術(shù)

21、-信息安全管理實施細則(4)介質(zhì)管理規(guī)定(5)筆記本電腦管理規(guī)定(6)機房管理規(guī)定3. 3. 職責(zé)1)技術(shù)部:負責(zé)信息設(shè)備的規(guī)劃、安裝、驗收、使用、維護、處置。信息設(shè)備指公司綜合部建設(shè)方面所需的硬件設(shè)備。負責(zé)重大設(shè)備或新類設(shè)備的安全評估、風(fēng)險分析和安全驗收。4. 4. 設(shè)備管理流程(1)設(shè)備入網(wǎng)1)需按設(shè)備本身提供的“設(shè)備安全操作說明書”進行正確操作和使用，設(shè)備在日常使用過程中應(yīng)注意安全；2)系統(tǒng)工程師應(yīng)查找有關(guān)的風(fēng)險評估報告，確定準備入網(wǎng)的設(shè)備是否已做過風(fēng)險評估。網(wǎng)絡(luò)信息安全管理制度-版本 V1.083)如果沒有類似的設(shè)備做過風(fēng)險分析和處置計劃，則應(yīng)按風(fēng)險評估的要求，通知信息安全管理小組進行

22、。4)如果做過風(fēng)險分析和處置計劃，則應(yīng)按照相關(guān)的處置計劃和實施要求，制定設(shè)備入網(wǎng)計劃。5)系統(tǒng)工程師對計劃入網(wǎng)的設(shè)備在獨立的測試環(huán)境中進行測試，測試通過后提交綜合部審批。6)技術(shù)部批準入網(wǎng)申請后,由系統(tǒng)工程師組織設(shè)備入網(wǎng)。7)設(shè)備入網(wǎng)應(yīng)按照處置計劃和入網(wǎng)計劃對設(shè)備進行安全加固。8)對入網(wǎng)系統(tǒng)進行一段時間的監(jiān)控，以觀察入網(wǎng)是否生效。如果發(fā)現(xiàn)問題,要及時進行處理,必要時要尋求供應(yīng)商的協(xié)助。監(jiān)控一段時間后，設(shè)備擔(dān)當(dāng)組織人員進行驗收，并通知信息安全管理小組對系統(tǒng)進行安全檢測。(2)設(shè)備安置與保護(3)信息設(shè)備安裝管理1)技術(shù)部對信息設(shè)備安全的安置與保護工作，包括對溫度、濕度的監(jiān)測和日常的巡檢等，詳見機

23、房管理規(guī)定。2)信息安全設(shè)備的安置應(yīng)按照設(shè)備制造商的說明，安置工作由專業(yè)人員進行。3)信息安全設(shè)備安置要選擇能夠避免或減少未授權(quán)訪問的物理場所，應(yīng)采取措施以減小潛在的物理威脅的風(fēng)險。4)重要系統(tǒng)使用的信息設(shè)備安置在專用的機房內(nèi)。5)安置在室外的信息設(shè)備要注意防盜、防雨、防雷、防塵、防腐蝕等工作。6)確保消防設(shè)備充足并隨時可用，定期進行消防演練。(4)支持性設(shè)施安置管理1)技術(shù)部負責(zé)信息安全設(shè)備支持性設(shè)施的管理工作，包括提供、維護、維修等。2)對支持關(guān)鍵業(yè)務(wù)操作的信息設(shè)備，使用不間斷電源（UPS）。UPS 設(shè)備要定期地檢查，詳見機房管理規(guī)定。3)應(yīng)急電源開關(guān)應(yīng)位于設(shè)備房間應(yīng)急出口附近，以便緊急情

24、況時快速切斷電源。萬一主電源出現(xiàn)故障時要提供應(yīng)急照明。網(wǎng)絡(luò)信息安全管理制度-版本 V1.094)技術(shù)部要確保通風(fēng)和空調(diào)系統(tǒng)等運行良好，對其運行情況可進行定期檢查。(5)線纜安全1)公司網(wǎng)絡(luò)系統(tǒng)進入信息設(shè)備的電源和電信線路布在地板上,要建有冗余線路或留有可替換線路，以保障線路的可用性。2)電纜要避開公眾區(qū)域,鋪設(shè)電纜要有線槽保護，以避免未授權(quán)竊聽或損壞的危害。為了防止干擾,電源電纜要與通信電纜分開布線。3)要采取切實有效的措施防范鼠患，防止電纜被鼠噬。4)電纜要使用牢固、清晰、可識別的標(biāo)記,使用文件化配線列表減少布線失誤的可能性,以使失誤最小化，詳見機房管理規(guī)定。(6)設(shè)備移動1)在公司物理環(huán)境

25、以外嚴禁放置服務(wù)器、交換機、電腦等信息設(shè)備。2)公司原則上禁止機房設(shè)備移出公司物理環(huán)境。如確因工作需要，如展會、維修等，需將公司的服務(wù)器、交換機、路由器等信息設(shè)備移到辦公地點外使用，需經(jīng)研發(fā)主管批準后才能移出公司的物理環(huán)境。3)如需要供應(yīng)商將設(shè)備移出公司物理環(huán)境進行維修時，在設(shè)備移出前，設(shè)備管理人員要將設(shè)備中敏感信息從設(shè)備中刪除或確保維護人員對其不可訪問或獲取。4)離開建筑物的信息設(shè)備和移動介質(zhì)在公共場所要有專人看護和保管，不允許無人值守，適當(dāng)時，還要施加其它措施進行控制，例如上鎖，以防止損壞、盜竊等事件發(fā)生。5)筆記本在公司辦公場所以外使用，依筆記本電腦管理規(guī)定。(7)維護、保養(yǎng)1)機器設(shè)備

26、日常維護由設(shè)備使用者在日常使用時進行，維護項目限于查看設(shè)備外觀有無明顯損壞、是否正常工作、是否通電正常等內(nèi)容。2)定期維護由技術(shù)部專業(yè)工程師或供應(yīng)商進行，定期維護根據(jù)不同設(shè)備決定不同的維護周期，從一周一次到半年一次不等，定期維護項目包括軟硬件更換、性能檢查、性能調(diào)優(yōu)等。3)定期維護和年底維護后，要將維護項目、維護過程、維護人員、維護結(jié)果等內(nèi)容詳細記錄在設(shè)備維護記錄中。網(wǎng)絡(luò)信息安全管理制度-版本 V1.010(8)設(shè)備處置1)設(shè)備的處置由設(shè)備使用部門提出，經(jīng)經(jīng)總經(jīng)理批準后，對設(shè)備進行處理；2)信息設(shè)備在處置過程中須考慮信息安全。3)設(shè)備報廢前設(shè)備管理責(zé)任人要負責(zé)刪除所有信息，對包含敏感信息的設(shè)備

27、要對其信息載體在物理上應(yīng)予以銷毀，或者采用使原始信息不可獲取的技術(shù)將其安全地重寫，如消磁。4)信息設(shè)備的報廢工作由綜合部負責(zé)，需要填寫廢棄介質(zhì)處置記錄,經(jīng)總經(jīng)理批準后，才能進行報廢。5)對于因閑置、人員離辭或設(shè)備換代等原因不再使用的信息設(shè)備，特別是個人電腦，在設(shè)備歸倉前，要采用信息不可獲取的技術(shù)將其敏感信息、工作信息和個人信息刪除。以確保在設(shè)備重用時，重用者不會獲得與其工作無關(guān)的內(nèi)容。6)對試用設(shè)備和測試設(shè)備（無論是自有的還是供應(yīng)商的）中的信息在試用和測試后，由試用或測試人員立即清除，防止重要信息泄露。7)廢棄介質(zhì)處理方法參見介質(zhì)管理規(guī)定5. 5. 實施策略(1)設(shè)備管理規(guī)定涉及到包括設(shè)備維護

28、記錄共 1 個表單。(2)對設(shè)備的定期維護等內(nèi)容詳細填寫設(shè)備維護記錄。6. 6. 相關(guān)記錄本程序發(fā)生的記錄匯總表表 6-1 ISMS 文件日常應(yīng)用表格表號記錄編號記錄名稱保管場所保存期限保存形式備注表 A.1ISMS-3009-01設(shè)備維護記錄表技術(shù)部1 年電子七、七、 機房管理規(guī)定 ISMS-3007網(wǎng)絡(luò)信息安全管理制度-版本 V1.0111. 1. 目的和范圍為科學(xué)、有效地管理機房，促進各信息系統(tǒng)在機房安全的、穩(wěn)定的、高效的運行，特制定本規(guī)定。2. 2. 引用文件(1)下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均

29、不適用于本標(biāo)準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準。(2)ISO/IEC27001:2005 信息技術(shù)-安全技術(shù)-信息安全管理體系要求(3)ISO/IEC27002:2005 信息技術(shù)-安全技術(shù)-信息安全管理實施細（4）設(shè)備管理規(guī)定（5）訪問控制程序3. 3. 職責(zé)和權(quán)限技術(shù)部：負責(zé)責(zé)機房的日常檢查、維護和管理工作，及當(dāng)發(fā)生緊急事件時，按應(yīng)急預(yù)案進行相應(yīng)的處置。4. 4. 機房出入制度(1)機房的進出由技術(shù)部嚴格管理。機房的鑰匙保存技術(shù)部。如需進入機房，必須得到技術(shù)部的授權(quán)，在技術(shù)部領(lǐng)取鑰匙后方可進入。(2)未經(jīng)許可不準攜帶任何磁帶

30、（盤）、磁介質(zhì)和資料進入機房。經(jīng)特許攜帶的，必須由專人陪同方可進入。(3)未經(jīng)許可不允許使用攝影、錄像、筆記、或其它音像記錄設(shè)備等。5. 5. 機房環(huán)境管理(1)技術(shù)部對機房環(huán)境每半月進行一次檢查，對發(fā)現(xiàn)的問題要及時解決。填寫機房巡檢記錄表。(2)機房內(nèi)要保持設(shè)備無塵、布線整齊、物品就位、資料齊全。(3)機房內(nèi)嚴禁堆放與工作無關(guān)的其它物品及紙質(zhì)物品。做好消防滅火設(shè)備檢查工作網(wǎng)絡(luò)信息安全管理制度-版本 V1.012(4)機房內(nèi)禁止飲食、吸煙、打鬧、大聲喧嘩，機房內(nèi)不得會客、閑談。(5)機房內(nèi)備有溫度計和濕度計，溫度保持在 18-25，濕度保持在40%-60%。溫度計和濕度計應(yīng)每年作一次檢測。(6

31、)機房接地系統(tǒng)要符合相應(yīng)的技術(shù)標(biāo)準，各個設(shè)備交流工作電源應(yīng)有工作接地，機柜應(yīng)有效接地。(7)機房配電柜要有防雷設(shè)施，進出機房的電纜應(yīng)有防雷措施。(8)機房用電要使用獨立的電線，專用變壓器、電源穩(wěn)壓器等。(9)機房的環(huán)境應(yīng)達到機房建設(shè)的設(shè)計要求。6. 6. 機房設(shè)備管理(1)機房要有完整的網(wǎng)絡(luò)拓撲圖、物理拓撲圖。(2)機房內(nèi)的所有設(shè)備應(yīng)貼有設(shè)備標(biāo)簽，并注明設(shè)備的主要參數(shù)。(3)主機系統(tǒng)和網(wǎng)絡(luò)設(shè)備的各類接線的兩端應(yīng)設(shè)置標(biāo)簽，網(wǎng)絡(luò)接口側(cè)應(yīng)注明連接的設(shè)備。(4)對主要網(wǎng)絡(luò)設(shè)備如核心路由器、交換機、防火墻、IDS 等設(shè)備的配置文件每 6 個月進行進行一次評審。(5)對機房的主機設(shè)備及智能網(wǎng)絡(luò)交換裝置應(yīng)嚴

32、格管理，做好事故預(yù)想，制定周密的故障應(yīng)急措施。(6)嚴禁擅自在運行的小型機、交換機、路由器等設(shè)備上進行開發(fā)、維護、調(diào)試或?qū)W習(xí)培訓(xùn)等工作。(7)實施策略1)機房管理規(guī)定涉及的機房巡檢記錄表共 1 個表單。7. 7. 相關(guān)記錄本程序發(fā)生的記錄匯總表網(wǎng)絡(luò)信息安全管理制度-版本 V1.013表 7-1 ISMS 文件日常應(yīng)用表格表號記錄編號記錄名稱保管場所保存期限保存形式備注表 A.1ISMS-3021-01機房巡檢記錄表信息安全小組1 年紙質(zhì)八、八、 筆記本電腦管理規(guī)定 ISMS-30081. 1. 目的建立筆記本電腦設(shè)備的使用規(guī)定及其與互聯(lián)網(wǎng)的連接制度，這些規(guī)定是保持信息資源保密性、完整性和可用性

33、所必需的。為加強業(yè)務(wù)筆記本電腦設(shè)備的合理利用與筆記本電腦設(shè)備信息安全管理，特制定該管理規(guī)定。適用所有業(yè)務(wù)部門員工和需在業(yè)務(wù)部門辦公室工作的人員。2. 2. 引用文件(1).下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準。(2).ISO/IEC27001:2005 信息技術(shù)-安全技術(shù)-信息安全管理體系要求(3).ISO/IEC27002:2005 信息技術(shù)-安全技術(shù)-信息安全管理實施細則(4).防范病毒及惡意軟

34、件管理規(guī)定3. 3. 職責(zé)和權(quán)限(1)總經(jīng)理：負責(zé)筆記本電腦申請的審批(2)技術(shù)部：負責(zé)筆記本電腦的發(fā)放管理(3)使用人員：負責(zé)便攜計算機的日常使用保養(yǎng)和維護。4. 4. 筆記本電腦使用規(guī)定(1)公司所有筆記本電腦由使用人員自行保管負責(zé),若是公司統(tǒng)一配置的網(wǎng)絡(luò)信息安全管理制度-版本 V1.014在辭職時應(yīng)到綜合部辦理電腦交接手續(xù),并在離職交接清單中作好備注。(2)技術(shù)部授權(quán)使用的筆記本電腦未經(jīng)部門經(jīng)理同意嚴格禁止帶出公司。(3)未經(jīng)許可，員工不得攜帶個人筆記本電腦設(shè)備進入公司辦公場所。(4)筆記本電腦設(shè)備必須有嚴格的口令訪問控制措施，口令設(shè)置需滿足公司安全策略要求。(5)對無人看守的筆記本電腦

35、設(shè)備必須實施物理保護，必須放在帶鎖的辦公室、抽屜或文件柜里；(6)筆記本電腦設(shè)備丟失或被竊后應(yīng)及時報告給部門經(jīng)理和技術(shù)部。(7)除自然損壞外，凡人為損壞（如撞壞、跌壞、電源插錯燒壞等）由本人負責(zé)修好，費用由個人承擔(dān)。(8)便攜機中除工作所需的軟件外，不導(dǎo)入其他與工作無關(guān)的軟件。特別要保證便攜機不帶病毒。5. 5. 安全配置規(guī)定(1)授權(quán)使用的筆記本電腦設(shè)備必須安裝公司安全策略規(guī)定的防病毒軟件；(2)筆記本電腦設(shè)備每月進行一次病毒軟件和操作系統(tǒng)補丁檢查和評審,由電腦使用人員自行負責(zé).(3)筆記本電腦設(shè)備若支持內(nèi)置的硬盤加密措施，應(yīng)啟用該措施，以免電腦或硬盤丟失后造成數(shù)據(jù)泄密。(4)公司采用相關(guān)產(chǎn)

36、品和方法對筆記本數(shù)據(jù)進行加密處理和使用，防止信息泄密。(5)公司采用相關(guān)產(chǎn)品和方法對筆記本進行監(jiān)控(6)公司內(nèi)部未經(jīng)授權(quán)禁止開啟無線網(wǎng)卡功能。禁止使用公司外部的未設(shè)安全機制的無線網(wǎng)絡(luò)，系統(tǒng)管理員要每月掃描一次公司能接受到的外部不安全網(wǎng)絡(luò)。(7)公司的無線網(wǎng)絡(luò)僅供授權(quán)的技術(shù)支持人員使用，其他未經(jīng)技術(shù)部授網(wǎng)絡(luò)信息安全管理制度-版本 V1.015權(quán)禁止便攜機連入使用。6. 6. 外部人員使用筆記本的規(guī)定(1)外部人員使用的筆記本電腦只能連接到公共上網(wǎng)區(qū)，通過獨立于公司內(nèi)部的專用網(wǎng)絡(luò)上網(wǎng)。出于安全考慮，一般不予考慮客人接入公司內(nèi)部網(wǎng)絡(luò)。(2)外部人員接待負責(zé)人需提前通知技術(shù)部該外部人員筆記本電腦使用的

37、地點，便于技術(shù)部配置相關(guān)網(wǎng)絡(luò)。(3)若外部人員需要在業(yè)務(wù)辦公地點長期工作（指超過 2 周時間），需經(jīng)技術(shù)部經(jīng)理批準。7. 7. 客戶現(xiàn)場管理規(guī)定(1)在客戶現(xiàn)場進行開發(fā)及維護等工作時，在遵守本公司管理規(guī)定時，同時要遵守客戶的管理方面相關(guān)規(guī)定。(2)如在客戶現(xiàn)場工作時需要使用筆記本，相關(guān)部門人員應(yīng)盡量使用本部門公共筆記本，并進行登記。(3)在客戶現(xiàn)場使用筆記本工作時，必須注意信息的保密，防止筆記本內(nèi)信息泄露。(4)筆記本內(nèi)新產(chǎn)生的數(shù)據(jù)應(yīng)及時在客戶備份系統(tǒng)或公司備份系統(tǒng)上進行備份，防止數(shù)據(jù)丟失。8. 8. 實施策略自行保管負責(zé);無線網(wǎng)絡(luò)加密上網(wǎng);9. 9. 相關(guān)記錄無網(wǎng)絡(luò)信息安全管理制度-版本 V

38、1.016九、九、 介質(zhì)管理規(guī)定 ISMS-30091. 1. 目的和范圍任何信息設(shè)備，如：計算機、交換機、打印機、傳真機、復(fù)印機等，都需要介質(zhì)進行存儲，當(dāng)存儲設(shè)備或可移動介質(zhì)需要轉(zhuǎn)移或銷毀時，如果處理不當(dāng)，很容易造成信息泄漏。因此，必須按規(guī)定執(zhí)行處置。適用于移動存儲設(shè)備/介質(zhì)在本公司辦公場所及房機內(nèi)的使用管理。2. 2. 引用文件(1)下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準。(2)ISO/IEC27

39、001:2005 信息技術(shù)-安全技術(shù)-信息安全管理體系要求(3)ISO/IEC27002:2005 信息技術(shù)-安全技術(shù)-信息安全管理實施細則3. 3. 職責(zé)和權(quán)限(1)綜合部負責(zé)對公司各類的可移動介質(zhì)和存儲介質(zhì)的發(fā)放、使用、處置的進行管理。(2)介質(zhì)使用部門和使用者(3)由部門負責(zé)管理的介質(zhì)，由該部門領(lǐng)導(dǎo)指定專人負責(zé)保管。個人使用的介質(zhì)由本人負責(zé)保管。4. 4. 介質(zhì)管理(1)介質(zhì)分類1)技術(shù)部對公司使用的介質(zhì)，進行介質(zhì)分類，制定介質(zhì)管理分類表。2)介質(zhì)分為一般介質(zhì)和可移動介質(zhì)，一般介質(zhì)包括：計算機存儲介質(zhì)，可移動介質(zhì)是指 U 盤、移動硬盤、數(shù)碼相機、光盤、光盤刻錄機、PDA、帶USB 接口的

40、 MP3/MP4 播放器等。網(wǎng)絡(luò)信息安全管理制度-版本 V1.017(2)介質(zhì)使用管理1)一般情況下公司禁止使用可移動介質(zhì)。2)確因工作需要使用移動介質(zhì)，須經(jīng)本部門領(lǐng)導(dǎo)批準后方可到技術(shù)部領(lǐng)用。3)技術(shù)部負責(zé)可移動介質(zhì)的發(fā)放，并填寫可移動介質(zhì)授權(quán)使用表。4)授權(quán)用戶要注意保護自己所屬可移動介質(zhì)不被盜取。5)授權(quán)用戶要注意保護自己所屬可移動介質(zhì)不被盜取。保管時要放置于安全的區(qū)域內(nèi)，如帶鎖的柜子；6)非本公司工作人員禁止在內(nèi)部網(wǎng)絡(luò)設(shè)備上使用可移動介質(zhì)。7)各使用人必須每月一次對自己使用的移動介質(zhì)進行病毒掃描。8)使用可移動介質(zhì)保存公司秘密數(shù)據(jù)時，移動介質(zhì)必須采用必要的加密措施，防止信息泄露，有條件時

41、使用帶有加密功能的可移動介質(zhì)設(shè)備。9)用戶在將可移動介質(zhì)帶離公司后，要為其上所有信息資源的安全負責(zé)，做好安全保護工作。一旦遺失，立刻上報技術(shù)部進行登記。10)光盤的刻錄：a)帶有公司標(biāo)志的光盤，只能刻錄公司自己的程序軟件，不得刻錄例如操作系統(tǒng)、數(shù)據(jù)庫等軟件。b)公司銷售時，必須刻錄光盤時，由技術(shù)部專門負責(zé)人進行刻錄，其他人員不得隨意刻錄光盤。(3)客戶現(xiàn)場使用規(guī)定1)必須嚴格將筆記本病毒防火墻升級到最新。2)能使用客戶提供的 U 盤、移動硬盤的，使用客戶提供的設(shè)備。3)必須使用自己的 U 盤、移動硬盤在客戶計算機上使用的，必須先對 U盤、移動硬盤進行病毒掃描，保證提供給客戶的設(shè)備中不包含病毒。

42、(4)介質(zhì)處置1)技術(shù)部對介質(zhì)分類表內(nèi)的介質(zhì)的廢棄進行統(tǒng)一管理，對廢棄的介質(zhì)采用恰當(dāng)?shù)慕橘|(zhì)處置方法。2)計算機硬盤、U 盤、可移動硬盤、光盤、數(shù)碼存儲介質(zhì)等報廢時必須粉碎處理。3)對廢棄的可移動介質(zhì)在可移動介質(zhì)授權(quán)使用表中跟蹤填寫廢棄記網(wǎng)絡(luò)信息安全管理制度-版本 V1.018錄。4)對廢棄的一般介質(zhì)處理填寫廢棄介質(zhì)處置記錄5)介質(zhì)的銷毀方式一般分為一般格式化、低級格式化、專業(yè)軟件重寫、物理粉碎。6)對無敏感信息的介質(zhì)作一般格式化即可，在保證質(zhì)量的基礎(chǔ)上重新分配和使用。7)介質(zhì)中保存有敏感信息的存儲介質(zhì)應(yīng)當(dāng)?shù)玫桨踩拇娣藕吞幹谩τ诤忻舾行畔⒌慕橘|(zhì)應(yīng)采用低級格式化或?qū)I(yè)軟件重寫，反復(fù)次數(shù)為三次

43、，才能重新分配和使用。8)保存有敏感信息的存儲介質(zhì)廢棄時，要進行粉碎處理。5. 5. 實施策略(1)介質(zhì)管理規(guī)定涉及的介質(zhì)管理表中包括介質(zhì)管理分類表、可移動介質(zhì)授權(quán)使用表、廢棄介質(zhì)處置記錄。(2)技術(shù)部制定介質(zhì)管理分類表。(3)技術(shù)部負責(zé)可移動介質(zhì)的發(fā)放，并填寫可移動介質(zhì)授權(quán)使用表。(4)對廢棄的可移動介質(zhì)在可移動介質(zhì)授權(quán)使用表中跟蹤填寫廢棄記錄。(5)對廢棄的一般介質(zhì)處理填寫廢棄介質(zhì)處置記錄6. 6. 相關(guān)記錄本程序發(fā)生的記錄匯總表表 9-1 ISMS 文件日常應(yīng)用表格表號記錄編號記錄名稱保管場所保存期限保存形式備注表 A.1ISMS-3012-01介質(zhì)管理分類表技術(shù)部3 年電子表 A.2I

44、SMS-3012-02可移動介質(zhì)授權(quán)使用表技術(shù)部3 年紙質(zhì)表 A.3ISMS-3012-03廢棄介質(zhì)處置記錄技術(shù)部3 年電子網(wǎng)絡(luò)信息安全管理制度-版本 V1.019十、十、 變更管理規(guī)定 ISMS-30101. 1. 目的對信息處理設(shè)施和系統(tǒng)的變更缺乏控制是系統(tǒng)故障或安全失誤的常見原因，為規(guī)范本公司信息系統(tǒng)的變更，降低因信息系統(tǒng)變更帶來的風(fēng)險，特制定本程序。2. 2. 引用文件（1)下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其

45、最新版本適用于本標(biāo)準。（2)ISO/IEC27001:2005 信息技術(shù)-安全技術(shù)-信息安全管理體系要求（3)ISO/IEC27002:2005 信息技術(shù)-安全技術(shù)-信息安全管理實施細則3. 3. 職責(zé)和權(quán)限（1)技術(shù)部：技術(shù)部是公司信息系統(tǒng)變更的歸口管理部門，負責(zé)批準變更的計劃、實施、恢復(fù)，總體評價變更影響，決策管理；并實施變更。(2)其他各部門：負責(zé)分管的各自工作系統(tǒng)的計劃申請和總體評價變更影響。4. 4. 變更步驟管理變更申請-變更審批-變更處理.5. 5. 程序(1)變更分類1)技術(shù)部設(shè)備變更：包括系統(tǒng)中服務(wù)器、網(wǎng)絡(luò)設(shè)備、傳輸線路及計算機終端的新增、減少及其設(shè)備本身的變化（包括設(shè)備的報

46、廢）；2)操作系統(tǒng)軟件變更：包括新安裝、補丁、版本升級及更換（如打ZLJY2 補?。?)開發(fā)軟件包的變更。網(wǎng)絡(luò)信息安全管理制度-版本 V1.020(2)技術(shù)部設(shè)備變更控制軟件設(shè)備（包括傳輸線路)的變更需求由技術(shù)部門根據(jù)組織業(yè)務(wù)發(fā)展的需要提出，填寫變更申請審批處理表，經(jīng)技術(shù)部門經(jīng)理批準后予以實施。(3)操作系統(tǒng)軟件變更當(dāng)軟件廠商發(fā)布操作系統(tǒng)或應(yīng)用軟件的更新補丁或版本時，技術(shù)部人員負責(zé)分析更新內(nèi)容對公司現(xiàn)有業(yè)務(wù)及工作的影響，技術(shù)部人員可以先選一臺測試機安裝最新補丁，在未發(fā)現(xiàn)對工作業(yè)務(wù)產(chǎn)生重要負面影響的前提下，為使用該操作系統(tǒng)或應(yīng)用軟件的用戶安裝補丁。(4)軟件的變更控制當(dāng)客戶重新對項目的某一或某

47、些模塊進行重要要求時，項目組負責(zé)跟蹤客戶的新要求,進行業(yè)務(wù)及可以行性分析，組織有關(guān)人員進行方案評審，考慮系統(tǒng)改造對現(xiàn)有業(yè)務(wù)的影響，并制定有效的風(fēng)險控制措施，方案在評審?fù)ㄟ^后，修改需求開發(fā)說明書，針對發(fā)生變更的模塊，修改相應(yīng)的詳細設(shè)計書，數(shù)據(jù)庫說明書，源程序。并對整個項目重新進行測試。在軟件正式變更前，項目組應(yīng)考慮以下方面的安全要求：1)變更對目前業(yè)務(wù)的影響；2)變更對現(xiàn)有軟件的影響；3)變更實施前應(yīng)進行安全測試；4)不成功的變更恢復(fù)措施。在變更實施前，由技術(shù)部門填寫變更申請審批處理表，明確變更的原因、變更范圍、變更影響的分析及對策（包括不成功變更的恢復(fù)措施），經(jīng)技術(shù)部人員批準后予以實施。(5)

48、變更實施的安全要求在變更實施之前，必要時，將重要的數(shù)據(jù)、系統(tǒng)軟件進行備份，以便變更不成功之后的恢復(fù)。在變更實施之前，必要時，應(yīng)和相關(guān)部門協(xié)商，以便確定適當(dāng)?shù)淖兏鼤r間，盡可能的將對業(yè)務(wù)的影響減至最低。(6)變更驗收與記錄當(dāng)變更成功提交后，需由用戶進行驗收，確認其是否已完成用戶所提的網(wǎng)絡(luò)信息安全管理制度-版本 V1.021要求，達到預(yù)期的效果，并記錄此次變更操作。(7)設(shè)備報廢設(shè)備報廢應(yīng)得到綜合部批準后實施。報廢設(shè)備中存有敏感信息，必須予以清除.(8)變更后軟件備份要求當(dāng)變更完成后，需將此次所運行的軟件進行備份，包括其相關(guān)資料，以便再一次變更以及資料查詢；如果此次變更涉及到一些資料文件，則這些資料

49、文件也必須做相應(yīng)的變更并存檔。(9)變更不成功的恢復(fù)措施取消所做變更，從備份資料中獲得原始軟件資料，重新運行，恢復(fù)原始狀態(tài)。根據(jù)變更操作記錄，查找變更失敗原因，以便再次做變更操作時避免同樣的錯誤發(fā)生。十一、十一、 第三方服務(wù)管理規(guī)定 ISMS-30111. 1. 目的和范圍對第三方提供的服務(wù)進行規(guī)范，減少由于服務(wù)不規(guī)范帶來的信息安全方面的風(fēng)險。2. 2. 引用文件(1)下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于

50、本標(biāo)準。(2)ISO/IEC27001:2005 信息技術(shù)-安全技術(shù)-信息安全管理體系要求(3)ISO/IEC27002:2005 信息技術(shù)-安全技術(shù)-信息安全管理實施細則3. 3. 職責(zé)和權(quán)限(1)技術(shù)部：是信息安全方面的第三方服務(wù)的歸口管理部門，負責(zé)對信網(wǎng)絡(luò)信息安全管理制度-版本 V1.022息安全方面的第三方服務(wù)的定期監(jiān)控和評審。(2)技術(shù)部：是日常行政管理方面的第三方服務(wù)的歸口管理部門，負責(zé)對行政方面的第三方服務(wù)的定期監(jiān)控和評審。負責(zé)第三方服務(wù)合同中條款的審核。4. 4. 第三方服務(wù)管理規(guī)定(1)技術(shù)部匯總各部門的資產(chǎn)識別表，整理出公司的第三方服務(wù)匯總表，明確需要按本規(guī)定進行管理的第三

51、方服務(wù)項目和其中重要的第三方服務(wù)。(2)將設(shè)備、網(wǎng)絡(luò)、系統(tǒng)、軟件、信息安全、保安、保潔等事項進行外包時，重要的第三方服務(wù)必須簽訂要與第三方服務(wù)提供方簽署服務(wù)合同，能接觸到公司敏感信息資產(chǎn)的服務(wù)項目的服務(wù)合同中應(yīng)包含第三方保密要求的內(nèi)容。(3)所有的第三方服務(wù)的提供方需提供服務(wù)人員的姓名、聯(lián)系方式等信息，技術(shù)部匯總第三方服務(wù)廠商聯(lián)系表(4)重要的第三方服務(wù)人員服務(wù)時相關(guān)的原始服務(wù)單據(jù)由歸口管理部門負責(zé)驗收簽字并保存好相關(guān)服務(wù)記錄。(5)對服務(wù)提供方技術(shù)人員在現(xiàn)場處理需要設(shè)備入網(wǎng)時，必須經(jīng)技術(shù)部門領(lǐng)導(dǎo)同意后方可入網(wǎng)。(6)對第三方提供服務(wù)的能力進行評定，必要時通過招投標(biāo)，確定合格第三方。(7)要確

52、保第三方保持充分的提供服務(wù)的能力，即便發(fā)生重大的服務(wù)故障或災(zāi)難也能保持服務(wù)的連貫性。(8)每次第三方服務(wù)完成時指定專人按照服務(wù)合同要求對服務(wù)內(nèi)容和質(zhì)量進行記錄和評審，并在相關(guān)服務(wù)原始記錄中作好驗收簽字確認。(9)第三方服務(wù)歸口管理部門應(yīng)每年對服務(wù)提供商進行定期評審，以確認是否繼續(xù)列為合格服務(wù)商。(10)當(dāng)服務(wù)提供方發(fā)生變更時，進行服務(wù)提供方變更登記，并進行服務(wù)、現(xiàn)有狀態(tài)的評估。對變更后的服務(wù)提供方進行服務(wù)評估。5. 5. 實施策略網(wǎng)絡(luò)信息安全管理制度-版本 V1.023(1)第三方服務(wù)管理規(guī)定中涉及的第三方服務(wù)管理總表包括第三方服務(wù)匯總表、第三方服務(wù)廠商聯(lián)系表共 2 個表單。(2)技術(shù)部整理出

53、公司的第三方服務(wù)匯總表(3)重要的第三方服務(wù)必須簽訂要與第三方服務(wù)提供方簽署服務(wù)合同,能接觸到公司敏感信息資產(chǎn)的服務(wù)項目的服務(wù)合同中應(yīng)包含第三方保密要求的內(nèi)容。(4)技術(shù)部匯總第三方服務(wù)廠商聯(lián)系表。(5)第三方服務(wù)歸口管理部門應(yīng)每年對服務(wù)提供商進行定期評審,必要時調(diào)整服務(wù)供方.(6).相關(guān)記錄本程序發(fā)生的記錄匯總表表 11-1 ISMS 文件日常應(yīng)用格式匯總表號記錄編號記錄名稱保管場所保存期限保存形式備注表 A.1ISMS-3014-01第三方服務(wù)匯總表技術(shù)部3 年電子表 A.2服務(wù)合同技術(shù)部3 年紙質(zhì)表 A.3ISMS-3014-02第三方服務(wù)廠商聯(lián)系表技術(shù)部3 年電子十二、十二、 數(shù)據(jù)備份

54、管理規(guī)定 ISMS-30121. 1. 目的和范圍為確保數(shù)據(jù)的完整性及有效性，以便在發(fā)生信息安全事故時能夠準確及時的恢復(fù)數(shù)據(jù)，避免業(yè)務(wù)的中斷，特制定本規(guī)定。2. 2. 引用文件(1).下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不網(wǎng)絡(luò)信息安全管理制度-版本 V1.024適用于本標(biāo)準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準。(2)ISO/IEC27001:2005 信息技術(shù)-安全技術(shù)-信息安全管理體系要求(3)ISO/IEC17799:2005 信息技術(shù)-安全技

55、術(shù)-信息安全管理實施細則(4)系統(tǒng)維護與監(jiān)控管理規(guī)定3. 3. 職責(zé)和權(quán)限技術(shù)部負責(zé)公司內(nèi)部系統(tǒng)運營相關(guān)數(shù)據(jù)的備份管理控制.技術(shù)部負責(zé)本公司軟件開發(fā)所需相關(guān)數(shù)據(jù)的備份管理控制.其它各個部門根據(jù)自己部門的業(yè)務(wù)特點，建立各自的備份策略進行備份。4. 4. 備份管理備份策略(1)公司各部門根據(jù)數(shù)據(jù)重要程度和工作需要提出需要備份的數(shù)據(jù)。(2)信息安全小組根據(jù)各制定備份策略明細表，明確各項備份數(shù)據(jù)備份的詳細策略。(3)信息安全小組每半年對備份策略進行評審，確定是否滿足各部門備份要求。(4)建立備份環(huán)境，安裝調(diào)試備份軟件。(5)應(yīng)建立備份拷貝的準確完整的記錄和文件化的恢復(fù)程序；(6)備份的程度（例如全部備

56、份或部分備份）和頻率應(yīng)反映組織的業(yè)務(wù)要求、涉及信息的安全要求和信息對組織持續(xù)運作的關(guān)鍵度；(7)備份要存儲在一個遠程地點，有足夠距離，以避免主辦公場所災(zāi)難時受到損壞；(8)若可行，要定期測試備份介質(zhì)，以確保當(dāng)需要應(yīng)急使用時可以依靠這些備份介質(zhì)；(9)恢復(fù)程序應(yīng)定期檢查和測試，以確保他們有效，并能在操作程序恢復(fù)所分配的時間內(nèi)完成；(10)在保密性十分重要的情況下，備份應(yīng)通過加密方法進行保護網(wǎng)絡(luò)信息安全管理制度-版本 V1.0255. 5. 備份的驗證(1)備份負責(zé)人根據(jù)備份策略明細表，檢查備份的工作是否按照備份策略實際的進行了。如果未按照備份策略進行備份，備份負責(zé)人指令備份人重新進行備份。(2)

57、備份負責(zé)人根據(jù)實際需要，確定哪些非常重要的數(shù)據(jù)需要做恢復(fù)測試，需要恢復(fù)測試數(shù)據(jù)的恢復(fù)測試頻率，對備份數(shù)據(jù)進行定期驗證。(3)備份數(shù)據(jù)的管理1)備份目錄應(yīng)進行嚴格的權(quán)限管控，無關(guān)人員禁止訪問備份目錄。2)如無特殊聲明，備份數(shù)據(jù)永久保存。如需廢棄，需經(jīng)備份負責(zé)人批準后，刪除備份數(shù)據(jù)。(4)相關(guān)記錄本程序發(fā)生的記錄匯總表表 12-1 ISMS 文件日常應(yīng)用格式匯總表號記錄編號記錄名稱保管場所保存期限保存形式備注表 A.1ISMS-3015-01備份策略明細表技術(shù)部三年電子表 A.2ISMS-3015-02備份策略檢查表技術(shù)部三年電子表 A.3ISMS-3015-03備份數(shù)據(jù)恢復(fù)測試記錄表技術(shù)部三年電

58、子十三、十三、 郵件管理規(guī)定 ISMS-30131. 1. 目的和范圍為保證公司的業(yè)務(wù)的信息安全，必須對其進行有效的管理，確保公司員工對郵件的合理使用，更好地促進內(nèi)部并與第三方進行相關(guān)工作信息的交流，適用于公司業(yè)務(wù)中被批準、能夠通過 Email 發(fā)送、收取和存儲信息的所有人。每個業(yè)務(wù)的郵件使用者都應(yīng)該遵守該規(guī)章制度。2. 2. 引用文件(1)下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡網(wǎng)絡(luò)信息安全管理制度-版本 V1.026是不注日期的引用文件，其最

59、新版本適用于本標(biāo)準。(2)ISO/IEC27001:2005 信息技術(shù)-安全技術(shù)-信息安全管理體系要求(3)ISO/IEC27002:2005 信息技術(shù)-安全技術(shù)-信息安全管理實施細則3. 3. 職責(zé)和權(quán)限(1)技術(shù)部：負責(zé)電子郵件系統(tǒng)的規(guī)劃、建設(shè)和日常運行維護；負責(zé)郵件的用戶名及密碼的分配和管理；如有必要，負責(zé)郵件的歸檔，過濾及監(jiān)控等工作。(2)使用人員：申請公司的郵箱，按照公司的規(guī)定使用郵箱。4. 4. 電子郵件的帳戶管理(1)帳戶申請：公司郵箱：工作人員正式入職以后須向技術(shù)部申請郵件賬號。5. 5. 電子郵件使用規(guī)定(1)明確禁止的行為在未授權(quán)的情況下發(fā)送公司機密文件、項目文檔或程序代碼

60、等未授權(quán)的信息；(2)發(fā)送或者群發(fā)與工作無關(guān)的郵件或垃圾郵件及個人信息；(3)發(fā)送或者轉(zhuǎn)發(fā)虛假、黃色、反動信息；(4)發(fā)送或者轉(zhuǎn)發(fā)宣揚個人政治傾向或者宗教信仰；(5)利用電子郵件服務(wù)傳輸任何騷擾性的、中傷他人的、恐嚇性的、庸俗、淫穢以及其他違反國家規(guī)定內(nèi)容的信息資料；(6)在非授權(quán)情況下以公司的名義發(fā)表或群發(fā)個人意見；(7)利用電子郵件服務(wù)散布電腦病毒、木馬程序、干擾網(wǎng)絡(luò)上其他使用者或破壞網(wǎng)絡(luò)系統(tǒng)的正常運行。6. 6. 郵件使用規(guī)定(1)除非特別批準，使用白名單限制發(fā)送郵件的收件人地址。(2)郵件系統(tǒng)為公司因工作需要而對外聯(lián)系所用，用戶必須以本人的真實身份使用用于辦公用途的電子郵箱，禁止以他人

61、名義濫發(fā)郵件或盜用他人網(wǎng)絡(luò)信息安全管理制度-版本 V1.027郵箱。(3)郵箱用戶的登錄密碼，用戶必須嚴格保密，不得泄露。如將其借予他人使用，由此造成的一切安全后果由郵件帳號所有人承擔(dān)。(4)用戶不得將電子郵件地址用于非工作目的(特別是以娛樂、購物、交友等為目的身份注冊)。(5)Email 賬號密碼必須符合口令策略的相關(guān)規(guī)定；(6)未經(jīng)授權(quán)任何人不得嘗試以他人帳戶口令進行登錄，閱讀他人郵件內(nèi)容。(7)在對外聯(lián)系中，應(yīng)注意安全保密，用 Email 發(fā)送機密信息必須符合公司的相關(guān)規(guī)定；(8)因工作需要而傳遞公司或項目保密文件時，經(jīng)批準后，可通過加密渠道傳遞；(9)通過 E-MAIL 發(fā)送機密附件時

62、，如有必要，附件必須加密；(10)請盡量壓縮傳送的文件，勿發(fā)送超過 2M 的附件，以免影響系統(tǒng)性能；(11)對外聯(lián)系時請注意通信禮儀，保持公司良好的形象；(12)使用防病毒工具的 E-MAIL 保護功能，并經(jīng)常查毒，有異常應(yīng)及時通知管理員；(13)發(fā)送 Email 必須有清楚的主題，發(fā)送前再次確認收件人列表內(nèi)的人員都是必需的和正確的；(14)用戶不要閱讀和傳播來歷不明的郵件及附件，提高對于郵件病毒的防范意識，避免傳遞病毒郵件。(15)工作人員離職必須向技術(shù)部申請郵箱收回。并做后期處理。7. 7. 實施策略不得用個人郵箱發(fā)機密文件;8. 8. 相關(guān)記錄無網(wǎng)絡(luò)信息安全管理制度-版本 V1.028十

63、四、十四、 軟件管理規(guī)定 ISMS-30141. 1. 目的和范圍本標(biāo)準規(guī)定了公司軟件資產(chǎn)的收集、發(fā)放、管理、使用、更改、修訂、備份等過程的控制要求2. 2. 引用文件(1)下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準。(2)ISO/IEC27001:2005 信息技術(shù)-安全技術(shù)-信息安全管理體系要求(3)ISO/IEC27002:2005 信息技術(shù)-安全技術(shù)-信息安全管理實施細則(4)補丁管理規(guī)定3. 3

64、. 職責(zé)與權(quán)限技術(shù)部：是軟件資產(chǎn)(非自行開發(fā)軟件)的歸口管理部門。負責(zé)軟件的購置、維護、作廢及各部門軟件資料、介質(zhì)的收集、統(tǒng)計、歸檔、存放和發(fā)放使用。技術(shù)部是公司自行開發(fā)軟件的歸口管理部門。4. 4. 軟件管理(1)收集對公司信息系統(tǒng)涉及的軟件資產(chǎn)進行收集整理、分類歸檔，填寫信息資產(chǎn)識別表中“軟件和系統(tǒng)”類資產(chǎn)。公司內(nèi)軟件來源主要有以下幾個方面：(2)已有商業(yè)軟件購買。(3)技術(shù)部開發(fā)內(nèi)部使用軟件。(4)免費軟件的下載。(5)識別出資產(chǎn)識別表中重要的軟件和應(yīng)用系統(tǒng)。5. 5. 審核、批準、發(fā)布網(wǎng)絡(luò)信息安全管理制度-版本 V1.029(1)新的軟件使用前填寫新軟件和系統(tǒng)登記表，每季度根據(jù)此表內(nèi)容

65、對信息資產(chǎn)識別表里的軟件和系統(tǒng)資產(chǎn)進行更新。(2)新的軟件由技術(shù)部進行測試或使用檢驗，測試應(yīng)當(dāng)包括可用性、安全性，對其它系統(tǒng)影響和用戶友好性，測試應(yīng)當(dāng)在與應(yīng)用系統(tǒng)隔離的系統(tǒng)中進行。(3)新的軟件測試或使用檢驗合格后,經(jīng)相關(guān)部門領(lǐng)導(dǎo)審核并批準后提交技術(shù)部發(fā)布。6. 6. 軟件歸檔和存放(1)所有軟件收集后統(tǒng)一登記，包括軟件的開發(fā)廠家，軟件數(shù)量，軟件版本，許可證編號等。(2)軟件登記好后統(tǒng)一存放于指定位置。磁盤文件存放于指定存儲空間中，由專人負責(zé)整理，各軟件建立獨立的文件夾，標(biāo)識明確清晰，并做好軟件的備份工作。光盤統(tǒng)一存放入文件柜中，并有明顯易辨認的標(biāo)識，便于整理和取用。7. 7. 軟件使用(1)

66、技術(shù)部統(tǒng)一負責(zé)軟件的發(fā)放及安裝，做到及時升級和故障排除。(2)各部門負責(zé)軟件的使用，如有問題及時反饋給技術(shù)部。(3)未經(jīng)許可，任何人不得將內(nèi)部使用的軟件外帶、傳播、販賣，不得將軟件用于任何違法或非正當(dāng)用途。(4)軟件使用過程中應(yīng)加強保護，保持軟件完整、可用，不受病毒侵害。(5)制作授權(quán)使用軟件列表，禁止使用未經(jīng)授權(quán)的軟件和未經(jīng)授權(quán)的系統(tǒng)實用工具軟件。(6)對光盤介質(zhì)類軟件要考慮使用刻錄的副本，原光盤進行存檔處理。8. 8. 修訂與升級(1)各部門和技術(shù)部應(yīng)根據(jù)軟件的使用情況，提出軟件的修訂意見，相關(guān)部門領(lǐng)導(dǎo)批準后，形成統(tǒng)一的修訂意見，由綜合部負責(zé)實施。(2)軟件的升級補丁按補丁管理規(guī)定進行。網(wǎng)絡(luò)信息安全管理制度-版本 V1.0309. 9. 軟件作廢(1)修訂軟件批準生效后，原軟件應(yīng)予以作廢。軟件使用部門接到新版本軟件后，從新版本軟件實施之日起，原軟件作廢。填寫作廢軟件登記表。每季度根據(jù)此表內(nèi)容對信息資產(chǎn)識別表里的軟件和系統(tǒng)資產(chǎn)進行更新。(2)應(yīng)當(dāng)保留原軟件的以前版本作為應(yīng)急之用，包括所有需要的信息和參數(shù)、程序、具體配置，以及用于數(shù)據(jù)保留存檔的支持軟件。(3)原軟件作廢版本的光盤應(yīng)有明