《2021ISO27001信息安全管理体系文件(手册+程序文件+作业规范).docx》由会员分享,可在线阅读,更多相关《2021ISO27001信息安全管理体系文件(手册+程序文件+作业规范).docx(152页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、最新IS027001信息安全管理体系全套文件(手册+程序文件+作业规范)信息安全管理体系程序文件目录文件编号文件名称XX-ISMS-01事故事件薄弱点与故障管理程序XX-ISMS-02业务持续性管理程序XX-ISMS-03企业商业技术秘密管理程序XX-ISMS-04信息处理设施引进实施管理程XX-ISMS-05信息安全人员考察与保密管理程序XX-ISMS-06信息安全惩戒管理程序XX-ISMS-07信息安全适用性声明XX-ISMS-08信息安全风险评估管理程序XX-ISMS-09内审管理程序XX-ISMS-10恶意软件控制程序XX-ISMS-11更改控制程序XX-ISMS-12物理访问管理程序
2、XX-ISMS-13用户访问控制程序XX-ISMS-14管理评审控制程序XX-ISMS-15系统开发与维护控制程序XX-ISMS-16系统访问与使用监控管理程序XX-ISMS-17计算机账户及密码管理程序XX-ISMS-18文件和资料管理程序XX-ISMS-19重要信息备份管理程序XX-ISMS-20预防措施程序信息安全管理体系作业文件目录文件编号文件名称XX-ISMS-S0P-01防火墙安全管理规定XX-ISMS-S0P-02介质销毁管理规定XX-ISMS-S0P-03信息机房管理制度XX-ISMS-S0P-04信息中心安全事件报告和处置管理制度XX-ISMS-S0P-05信息中心密码管理制
3、度XX-ISMS-S0P-06信息系统访问权限说明XX-ISMS-S0P-07档案鉴定销毁工作规定XX-ISMS-S0P-08移动介质使用管理规定XX-ISMS-S0P-09复印室管理制度XX-ISMS-S0P-10重要文件加密解密管理制度!适用本程序适用于公司信息安全事故、薄弱点、故障和风险处置的管理。2目的为建立一个适当信息安全事故、薄弱点、故障风险处置的报告、反应与处理机制,减少信息 安全事故和故障所造成的损失,采取有效的纠正与预防措施,正确处置已经评价出的风险, 特制定本程序。3职责3. 1各系统归管理部门主管相关的安全风险的调查、处理及纠正措施管理。3.2 各系统使用人员负责相关系统
4、安全事故、薄弱点、故障和风险的评价、处置报告。4程序3.3 信息安全事故定义与分类:3.3.1 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等 原因直接造成下列影响(后果)之,均为信息安全事故:a)企业秘密、机密及国家秘密泄露或丢失;b)服务器停运4小时以上;c)造成信息资产损失的火灾、洪水、雷击等灾害;d)损失在十万元以上的故障/事件。4. 1.2信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原 因直接造成下列影响(后果)之,属于重大信息安全事故:a)企业机密及国家秘密泄露;b)服务器停运8小时以上;c)造成机房设备毁灭的火灾、洪水、雷击等
5、灾害;d)损失在一百万元以上的故障/事件。5. 1.3信息安全事件包括:a)未产生恶劣影响的服务、设备或者实施的遗失;b)未产生事故的系统故障或超载;c)未产生不良结果的人为误操作;d)未产生恶劣影响的物理进入的违规e)未产生事故的未加控制的系统变更;f)策略、指南和绩效的不符合;g)可恢复的软件、硬件故障;h)未产生恶劣后果的非法访问。4.2故障与事故的报告渠道与处理4.2.1 故障、事故报告要求故障、事故的发现者应按照以下要求履行报告任务:a)各个信息管理系统使用者,在使用过程中如果发现软硬件故障、事故,应该向该系统归 管理部门报告;如故障、事故会影响或已经影响线上生产,必须立即报告相关部
6、门,采取 必要措施,保证对生产的影响降至最低;b)发生火灾应立即触发火警并向安全监督部报告,启动消防应急预案;c)涉及企业秘密、机密及国家秘密泄露、丢失应向行政部报告;d)发生重大信息安全事故,事故受理部门应向信息安全管理者代表和有关公司领导报告。4.2.2 故障、事故的响应故障、事故处理部门接到报告以后,应立即进行迅速、有效和有序的响应,包括采取以下适 当措施:a)报告者应保护好故障、事故的现场,并采取适当的应急措施,防止事态的进步扩大; b)按照有关的故障、事故处理文件(程序、作业手册)排除故障,恢复系统或服务,必要 时,启动业务持续性管理计划。5相关/支持性文件5. 1预防措施控制程序5
7、.2 信息密级划分、标注及处理控制程序5.3 信息安全奖励、惩戒规定5. 4 I法律法规与符合性评估程序6记录保存期限6. 1信息安全风险评估报6.2 纠正/预防措施申请书6.3 信息安全事故调查处理报告6.4 信息安全薄弱点报告!目的与范围本程序规定了当发生重大信息安全事件或灾难时,为保护公司业务活动免受影响,迅速恢复 已中断的业务活动,实现公司业务持续发展而实施的管理活动。这些活动包括:建立业务持续性管理程序;进行业务持续性和影响分析;编制业务持续性战 略计划;制订业务持续性管理实施计划并实施;对业务持续性管理计划进行定期测试和评审 等。本程序适应于本公司应用软件的开发和系统集成的活动等主
8、要业务的持续性管理。2相关文件2. 1信息安全管理手册2.2信息资产的识别与风险评估管理程序2.3事故、薄弱点与故障管理程序3职责3.1公司常务副总经理负责公司业务中断的恢复的总指挥与总协调。3.2集成部负责编制、修订公司业务持续性管理程序,并协调、推进公司业务持续性管理活 动。3. 3各部门负责部门相关系统的故障处理及与之相关的作业中断的恢复。3.4技术部负责项目实施过程中设备及软件系统的故障处理及与之相关的作业中断的恢复。3. 5集成部负责后勤系统设备及网络系统的故障处理及与之相关的作业中断的恢复。3. 6行政部负责本部门管理系统及与之相关的作业中断的恢复。3.7公司各部门在发生重大信息安
9、全事件或灾难时,负责保护本部门使用的信息系统及业务 数据,及时恢复中断的业务活动。4工作程序4. 1业务持续性管理过程公司业务持续性管理过程规定如下:4.2业务持续性和影响的分析4.2.1 公司在首次信息安全风险评估后进行业务持续性和影响的分析。4.2.2 2.2业务持续性和影响的分析由集成部组织,技术部、行政部、生产部及管理者代表指定的相关部门分别开展以下活动:a)对本部门的信息安全进行风险评估;b)识别出对本部门业务持续性造成严重影响的主要事件,如设备故障、火灾等;C)分析这些事件一旦发生对公司业务活动造成的影响和损失,以及恢复业务所需费用等;d)编写本部门业务持续性和影响分析报告(格式见
10、ISMS-4341)。4.2.3 业务持续性和影响分析报告应包括以下内容:a)识别关键业务的管理过程;b)可能引起公司业务活动中断的主要事件;c)主要事件对本部门管理的信息系统的影响;d)信息系统故障或中断对公司业务活动的影响;e)关于系统恢复或替换的费用考虑。5记录5. 1业务持续性和影响分析报告5.2 业务持续性管理战略计划5.3 业务持续性管理实施计划5.4 业务持续性管理计划测试报告5. 5业务持续性管理计划评审报告第一章总则第一条为保障公司的合法权益,充分发挥作为公司重要资产的技术秘密、商业秘密的效益,鼓励员不 断创造并自觉维护技术秘密、商业秘密的积极性,根据知识产权管理总则制订本制
11、度。第二条 公司技术秘密、商业秘密的管理目标;技术秘密、商业秘密是本公司拥有的知识产权的组成部分, 是公司的重要资产。要在公司内牢固树立技术秘密、商业秘密的保护意识:技术秘密、商业秘密的管理 贯穿研究开发、生产和经营的全过程。明确商业秘密的界定和保护。第三条公司内的相关管理制度、合同、记录等文献所有文件均属于商业机密。第二章技术秘密、商业秘密的定义、确立和管理机制第四条.本制度所称的技术秘密、商业秘密,是指由公司员在职务范围内创造或履行职务产生的、经 公司知识产权管理部门认定并采取了保密措施、只在公司一定范围内流传的、具有商业价值的所有信息 或成果。这些信息或成果以各种纸质材料、照片、录像和计
12、算机等数字存储设备为载体而能够为人所感 知。具体包括:1 .技术秘密。包括:公司现有的或正在开发或者构思之中的或经过技术创新确定不宜于申请专利的营销方 案,管理制度;2 .经营信息包括:公司的市场营销计划、广告宣传方案、销售方法、供应商和客户名单、客户的专门需求、 未公开的销售服务网络以及公司现有的、正在开发或者构思之中的经营项目等信息及其承载物;3 .依据法律和有关协议对第三方负有保密责任的第三方商业秘密。第五条.确定为技术秘密、商业秘密的信息及其承载物,归公司所有。第六条.技术秘密、商业秘密的确定程序;1 .由参与药品研发创新,研发部就某项或几项信息,向公司行政管理部门申报;2 .行政董事
13、接到申报后采取;a)指定参与者中一人专门保管成果或信息的承载物,可以采取加密措施。被指定人一般是项目或业务负责 人或菜肴创造者本人;b)向公司常务董事汇报并提出是否构成技术秘密、商业秘密建议。必要时会同指定人向公司常务董事汇报; C)公司行政董事在接到知识产权管理部门的汇报后应立即作出是否确定为技术秘密、商业秘密的决定; d)对于被确定为技术秘密、商业秘密的信息或成果,按照本制度第三章和第四章的有关规定具体落实管理 措施。e)技术秘密、商业秘密的确定遵循随时产生随时确定的原则,实行动态管理; 第七条商业秘密管理机制。公司决策层负责技术秘密、商业秘密的整体工作。及时、高效地作出审核、批准、否决等
14、工作,定期检 查各部门的保密工作,作出奖惩决定。公司下属部门的负责人负责本部门的日常技术秘密、商业秘密管理和保护工作。定期检查本部门的保密 工作,配合支持知识产权管理部门履行公司技术秘密、商业秘密保护工作。知识产权管理部门是公司技术秘密、商业秘密保护工作的职责机构,具体操作落实与协调商业秘密保护 的各项工作.公司全体员是技术秘密、商业秘密保护的实施者。全体员应当牢固树立知识产权意识, 自觉维护公司的商业秘密。第三章技术秘密、商业秘密及其承载物的管理第八条根据本制度第六条的规定,被决策层确立为技术秘密、商业秘密的信息或成果,由知识产权管理 部门确立密级和保密期限。密级划分的标准、保密期限的确立,
15、要参考该信息或成果同公司业务的联系 程度、与同行业竞争的影响度、是否为公司运营的关键等因案,由知识产权管理部门划定。商业秘密 的申报人应当提供意见。第九条按照技术秘密、商业秘密需要保密的程度,参考第八条的标准,技术秘密、商业秘密分为三级; 绝密、机密、保密。引外,对于不宜于对外的信息,由行政管理部门确立为“内部使用”的资料,参照本制 度做好保密工作。绝密是指一旦泄漏会使公司遭受严重危害和重大损失的信息或成果,包括;公司核心管理秘密、技 术诀窍、财务报表、药品研发艺、特殊化合同。机密是指理一旦泄漏会使公司遭受危害和较大损失的信息,包括:产品开发、市场营销等各类工作 计划、公司内部重要文件。保密是
16、指一旦泄漏会使公司遭受损失的信息,包括;药品销售情况,用户名单及其分布,用户需求 信息,限于一定范围阅读的公司内部文件等。内部使用的信息或成果是指一旦泄漏会对公司业务产生一定不良影响的可能的信息或成果,只限于 内部员阅读的公司内部文件。第十条.保密资料由专人负责管理。公司财务部对交接来的技术秘密、商业秘密档案材料,根据其密级于 档案卷宗封面加盖保密印章,登记、编号后统放置保密资料专门存放处保存,并建立台帐登记,重要 的资料柜实行双钥匙制度。公司各部门要设立保密资科柜,用于存放各部门经常运用的或暂时无法交存公司财务部门保存的技术秘 密、商业秘密档案材料,该资料拒应由专人管理。第十一条.商业技术机
17、密材料的借阅,必须经公司行政董事批准,确定借阅时间,使用后立即归还,不 得延期,更不得交与他人使用。第十二条.商业技术机密材料的复印,必须经公司行政董事批准后,由专人(理应是财务部经理)复印, 未见公司行政董事批准意见,一律不得复印。复印由专人负责,复印期间不得向他人泄漏,复印后应当 立即将复印稿和原稿交还申请复印人,废稿要立即销毁,不得留存或随意丢弃。第四章技术秘密、商业秘密的保障措施第十三条在本公司进行技术创新过程中,任何研发项目从立项之日起,围绕该项目的研发活动进入技术 秘密、商业秘密保护范围内,产生的任何信息或成果,不论最终产生的知识产权形式如何,均作为公司 的技术秘密、商业秘密进行保
18、护。第十四条对于在研发过程中被确定为技术秘密、商业秘密的信息,由于处在不断发展改进的状态下,其 档案材料可以经公司知识产权主管领导批准后保留在本部门,但必须设专门存放处保存,以计算机等保 存的,必须对该设备进行数字加密,密码不得向任何无关该商业秘密的人透露。研发中的阶段性成果,必须形成档案材料,依照保密措施保存,直到最终成果形成后,将各阶段成果形 成的过程档案进行保存、销毁、解秘等措施。第十五条对于开发完成的技术创新成果,除从本公司专利战略及经营实际出发需要公开的以外,经过论 证不适于申请专利的,将其完全纳入公司商业秘密保护范围内,按照商业秘密的确立、密级划分、建档、 专门保存档案资料等的工作
19、。参与技术创新的有关人员,在开发项目进行中,应履行商业秘密的保密 作。第十六条公司所有员有义务保护公司技术秘密、商业秘密的安全。所有员对于公司技术秘密、商业 秘密的保护而产生的义务、权利及相应奖励、处罚。第十七条员在公司工作期间,因工作需要使用公司的技术秘密、商业秘密及其承载物,应按照要求的 范围和程度使用,不得将实物、资料等擅自带离工作岗位,未经书面同意,不得随意进行复制、交流或 转移含有公司技术秘密、商业秘密的资料。第十八条员在参加任何级别的学术交流活动、产品订货会、技术鉴定会等会议或活动时,必须注意保 护公司的技术秘密、商业秘密,用以交流的文档或资料事先要经过上级审查批准。第十九条.公司
20、在对 外发布新产品信息和广告时,要注意避免泄漏公司的技术秘密、商业秘密。重要的新产品宣传、广告文 稿必须经公司行政董事审核批准后可发布。第二十条公司在接受外公司人员的实习、合作研究、学习进修等工作时,对公司的技术秘密、商业秘密 负有保密的义务。第二十一条 员工因工作需要或其他原因(包括离职、辞职、退休、开除等)调离原工作岗位或离开公司, 应将接触到的所有包含职务开发中技术秘密、商业秘密的数据、文档等的记录、模型、软磁盘、光盘及 数字存储装置以及其他媒介形式的资料如数交回公司。第五章技术秘密、商业秘密效益发挥的保证措施第二十二条公司在对外的技术合作过程中,以技术秘密、商业秘密为标的或其他技术合同
21、涉及技术秘密、 商业秘密许可的,对于技术秘密、商业秘密的价值通过与合作方协商确定。需要进行第三方价值评估的, 委托符合执业要求的中介机构完成,并通过合同约定严格的保密措施。明确双方的权利和义务及合作方 在合同末完全履行,泄漏公司技术秘密、商业秘密应承担的责任。第二十三条公司员在主持或参与对外业务谈判时要遵守公司的保密纪律。涉及公司商业秘密的谈判, 事先制定谈判提纲,该提纲经行政董事批准。第二十四条在技术合作中产生的技术成果,其知识产权形式的确定和归属由合同约定,凡以技术秘密、 商业秘密约定归属本公司应采取保密措施。第二十五条因员工开发或参与开发的技术创新项目、新产品技术或创造发明而形成的商业秘
22、密,在对外 的技术合作过程中产生收益,本公司将取得实际利益给予最大力度奖励。第二十六条本公司所有正式,试用,兼职,实习员无条件遵守本管理办法。!适用与目的本程序适用于公司与IT相关各类信息处理设施(包括各类软件、硬件、服务、传输线路)的引进、 实施、维护等事宜的管理。本程序通过对技术选型、验收、实施、维护等过程中相关控制的明确规定来确保引进的信息处理设 施的保密性、完整性和可用性。2信息处理设施的分类2.1 研发控制系统、数据存储控制系统及其子系统设备,包括位于机房的服务器和位于使用区域的使用控 制系统终端设备。2.2 业务管理系统、财务管理系统,包括位于机房的服务器和位于使用区域的终端设备。
23、2.3 办公用计算机设备,包括所有办公室、会议室内的计算机、打印机,域控制服务器,DNS服务器、 Email服务器等。2.4 网络设备,包括交换机、路由器、防火墙等。2.5 其它办公设备,包括电话设备、复印机、传真机等。3职责3.1 XX部主要负责全公司与1T相关各类信息处理设施及其服务的引进。包括制作技术规格书、进行技 术选型、安装和验收等。XX部同时负责全公司网络设备、研发控制系统、业务管理系统、财务管理系统 日常管理与维护。3.2 各部负责项目实施过程中设备及软件系统的管理制度的执行与维护。3.3 XX部负责后勤系统设备及网络系统、电话/网络通讯与办公系统的管理与维护。4信息处理设施的引
24、进和安装4.1 引进依赖各部门必须采购的信息处理设施、外包开发信息系统项目或外包信息系统服务,得到本部门经理的 批准后,向XX部提交申请。XX部以设备投资计划,技术开发计划为依据,结合对新技术的调查,作出 是否引进的评价结果并向提出部门返回该信息。本公司禁止员携带个人或私有信息处理设施(例如便携式电脑、家用电脑或手持设备PDA等)处 理业务信息。4.2 进行技术选型XX部负责对购入的信息处理设施的技术选型,并从技术角度对供应商进行评价。技术选型应该包含 以下几方面:性能、相关设施的兼容性、协作能力、技术发展能力等。4.3 编写购入规格书XX部根据要求,负责编写即将购入的信息处理设施的购入规格书
25、。规格书中应该包含技术规格、相 关设施的性能(包括安全相关信息)、兼容性等要求,由XX部主管审批。4.4 定货由XX部按照公司采购流程,向经理层提出购买要求,并提供选型结果。经理层应按照要求办理定货 手续。4.5 开箱检査,安装、调试,验收a)开箱检查设备到货后,xx部应负责开箱检查,依照购买规格书和装箱单核对数量及物品,确认有无损坏并记 录。必要时,应通知有关部门到场协同检查。b)安装、调试引进的设施到位后,根据合同要求,由相关人员进行安装、调试。在实施调试过程中出现的问题, 必要时可通知相关部门共同进行。c)验收安装调试完成以后,XX部应依据以下文件实施验收:购入规格书采购合同及其相关附件
26、调试时故障履历验收原则上由XX部实施,必要时可要求相关部门参加。验收的合格与否最终由XX部负责人作出判d)验收合格后,可向相关的使用部门移交。5信息处理设施的日常维护管理5.1 计算机设备管理5.1.1 XX部负责计算机固定资产的标识,标识随具体设备到使用各部门。计算机保管使用部门将计算机列 入该部门信息资产清单。5.1.2 各部门配备的计算机设备应与本部门的日常经营情况相适应,不得配备与工作不相符的髙档次或不 必要的计算机设备。办公场所不配备多媒体类计算机设备,原则上部门经理以上配备笔记本电脑,因 作需要配备笔记本电脑的需经主管副总批准。5.1.3 计算机使用部门需配备计算机设备时,应按照本
27、规定执行。资产搬离安置场所,需要获得部门经理 的授权;迁移出公司,需要得到最高管理层的授权。5.1.4 计算机使用部门填写物品领用单,经过本部门经理签字后提交行政部后领取计算机设备。计算 机及附属设备属公司信息资产,在行政部备案。有关计算机设备所带技术说明书、软件由行政部保存。 使用部门的使用人应妥善保管计算机及附属设备,公用计算机设备由使用部门经理指定专人负责使用管 理。5.1.5 离职时,应将计算机交还XX部,由XX部注销账户。5.2 计算机设备维护5.2.1 计算机使用部门应将每部计算机落实到个人管理。计算机使用人员负责计算机的日常维护和保养; XX部按照恶意软件控制程序要求进行计算机查
28、毒和杀毒工作。5.2.2 计算机使用部门发现故障或异常,可先报公司XX管理员处理,如其无法解决,则由XX管理员填 写事态事件脆弱性记录向供应商申请维修。故障原因及处理结果应记入事态事件脆弱性记录。5.3 计算机调配与报废管理5.3.1 用户计算机更新后,原来的计算机由XX部根据计算机的技术状态决定调配使用或予以报废处理。5.3.2 含有敏感信息的计算机调配使用或报废前,计算机使用部门应与XX部共同采取安全可靠的方法将 计算机内的敏感信息清除。5.3.3 调配5.3.3.1 部门内部的调配由使用部门自行处理,并通知XX部进行计算机配置变更,变更执行更改控制 程序。5.3.3.2 部门间的调配管理
29、:XX部收回因更新等原因不用的计算机设备,由变更部门变更信息资产清单, 并按照本程序5.1.3、5.1.4要求重新分配使用。5.4 报废处理5.4.1 计算机设备采用集中报废处理。报废前由XX部向行政部提出报废,经审核后由XX部实施报废。5.4.2 XX部按照批准的处置方案进行报废处理,并变更固定资产清单。5.5 笔记本电脑安全管理5.5.1 笔记本电脑应由被授权的使用人保管;对于需多人共用的笔记本电脑,应由部门负责人指定专人保 管。5.5.2 笔记本所带附件应由使用者本人或部门负责人指定专人保管。5.5.3 笔记本电脑使用时应防止恶意软件的侵害,在系统中应安装防病毒软件,并由使用人对其定期升
30、级, 对系统定期查杀,XX部负责监督。5.5.4 笔记本电脑在移动使用中,不能随意拉接网络,需通过填写用户授权申请表向XX部提前提出 需求,经XX部审批后方能接入网络。5.6 计算机安全使用的要求5.6.1 计算机设备为公司财产,应爱惜使用,按照正确的操作步骤操作。5.6.2 使用计算机时应遵循信息安全策略要求执行。5.6.3 员入职时,由其所在部门的部门经理根据该员权限需要填写用户授权申请表,向研发部提 出用户开户申请:离职时也需填写用户授权申请表通知研发部办理销户。5.6.4 新域用户名为用户姓名的拼音(有重名时另设),初始缺省密码为XXXXX。用户在第一次登录系 统时应变更密码,密码需要
31、设置在6位以上(英文字母、数字或符号组合的优质密码)并注意保密。5.6.5 各人使用自己的账户登录,未经许可不得以他人用户名登录。若用户遗忘密码,应及时向研发部 申请新密码后登录。5.6.6 不得使用计算机设备处理正常工作以外的事务。5.6.7 计算机的软硬件设置管理由研发部进行,未经许可,任何人不得更换计算机硬件和软件。5.6.8 研发部负责初始软件的安装,公司严禁个人私自安装和更改任何软件。计算机用户的软件安装与 升级按照更改控制程序执行。拒绝使用来历不明的软件和光盘。5.6.9 严禁乱拉接电源,以防造成短路或失火。5.6.10 计算机桌面要保持清洁,不得将秘密和(或)受控文件直接放置在桌
32、面;计算机桌面必须设置屏 幕保护,恢复时需用密码确认(执行密码令管理规定)。锁屏时间可根据自己工作习惯设置锁屏时间, 但最高不得高于5分钟。各部门负责人进行监督。5.7 网络安全使用的要求5.7.1 对于网络连接供应商,充分考虑其口碑和现有安全防范措施,在签署保密协议的基础上加以筛选。 5.7.2对内设置必要的路由器防火墙,采用HTTP、TP的连接方式,捆绑固定IP地址防止权限滥用。6信息处理设施的日常点检6.1 计算机的日常点检日常点检的目的是确认系统硬件是否运行良好,有无硬件及程序上的报警,备份是否正常进行等。点 检的流程、责任、项目、点检周期和记录表详由相应部门制定。如出现在检查期人员外
33、出等不在岗情况, 需要在返回工作岗位时,立即补充完善。6.2 网络设备的管理与维护点检的流程、责任、项目、点检周期和记录表由XX部负责,特别的,在点检中应包括对MAIL的 点检。6.3 点检策略6.3.1 所有存在于计算机、网络设备上的服务、入侵检测系统、防火墙和其他网络边界访问控制系统的 系统审核、账号审核和应用审核日志必须打开,如果有警报和警示功能必须打开。6.3.2 审核日志必须保存一定的期限,任何个人和部门不得以任何理由删除保存期之内的日志。6.3.3 审核日志必须由该系统管理员定期检查,特权使用、非授权访问的试图、系统故障和异常等内容 应该得到评审,以查找违背信息安全的征兆和事实。6
34、.3.4 入侵检测系统必须处于启动状态,日志保存一定的期限,定期评审异常现象,对所有可疑或经确 认的入侵行为和入侵企图需及时汇报并采取相应的措施。6.3.5日志的配置最低要求设备类型日志内容保存周期检查周期服务系统对外提供服务的a)用户标识符(ID);b)登录和注销事件:C)若可能,终端位置;d)成功的失败的登录试图。个月2周直接用于设计、存储、 检测的控制、管理和查 询系统12个月W2周全公司办公系统N6个月W5周部门内部服务器26个月W5周其他服务器个月5周防火墙和 路由器系统配置更改日志N1个月W5周访问日志(方向、流量)个月W5周VPN网关a)用户标识符(ID);b)登录和注销事件;C
35、)终端位置:d)成功的失败的登录试图。21周1周入侵检测 系统异常网络连接的时间、IP、 入侵类型3个月W5周远程访问 系统a)用户标识符(ID);b)登录和注销事件;C)终端位置;d)成功的失败的登录试图。3个月5周6.3.6 XX部网络管理员根据系统的安全要求确认其日志内容、保存周期、检查周期,其最低要求不得低 于上表的要求。如果因为日志系统本身原因不能满足上表的最低要求,需要降低标准的,必须得到XX部 主管或管理者代表的批准和备案。6.3.7 XX部网络管理员配置日志系统,并定期检查日志内容,评审安全情况。评审的内容包括:授权访 问、特权操作、非授权的访问试图、系统故障与异常等情况,评审
36、结束应形成日志检查记录。6.4 资料的保存6.4.1 设备的技术资料由设备所在的部门交由行政部保存并建立受控文件和资料发放清单,以备日后 查阅。6.4.2 设备厂商对设备进行维修后提供的维修(维护)记录单,由XX部保存,以备日后查询。6.5 网络扫描工具的安全使用管理6.5.1 对网络扫描工具的使用,必须得到管理者代表的授权,并保存使用的记录。?其它要求涉及应用系统软件的开发(包括外包软件开发)的项目,还需执行系统开发与维护控制程序的 相关要求。8相关文件令系统开发与维护控制程序令系统逻辑访问管理制度9记录记录名称保存部门保存期限用户授权申请表3年日志检査评审记录5年变更申请表3年日常点检记录
37、表3年1适用本规定适用于本公司的正式员工和借用员聘用、任职期间及离职的安全考察 与保密控制以及其他相关人员(合同方、临时员)的安全考察与控制。2目的为防止品质不良或不具备一定技能的人员进入本公司,或不具备一定资格条件 的员被安排在关键或重要岗位,降低员所带来人为差错、盗窃、欺诈及滥用设施的风 险,防止人员对于信息安全保密性、完整性、可用性的影响,特制定本程序。3职责3.1 行政部负责员聘用、任职期间及离职的安全考察管理及保密协议的签订及其他相 关人员(合同方、临时员)的安全考察与控制。3.2 各部门负责本部门员的日常考察管理工作。4员录用4. 1人员考察策略4.1.1 所有员在正式录用(借用)
38、前应进行以下方面考察:a)良好的性格特征,如诚实、守信等;b)应聘者学历、个人简历的检查(完整性和准确性);c)学术或专业资格的确认;d)身份的查验。4.1.2 员从一般岗位转到信息安全重要岗位,应当对其进行信用及能力考察。4. 1.3必要时,对承包商和临时进行同样的考察。4.2对录用(借用)人员的考察4.2.1 行政部对拟录用(借用)人员重点进行以下方面考察:a)根据应聘资料及面试情况初判应聘者的职业素质;b)根据应聘者人事经历的记载,了解是否有重大惩戒及犯罪记录;c)通过与应聘者沟通,并了解其应聘动机;d) 了解其从事的专业和具备的技术水准,是否符合该岗位的岗位说明书。4.2.2 考察的结
39、果应记入应聘申请表。4.2.3 在考察中发现应聘者存在不良倾向的,将不予录用(借用)。5离职措施5. 1员离职涉及秘密管理规程的保密事项,应按要求采取相应的保密措施。5.2 部门要加强员离职时的涉密资料、口令等的交接工作。5.3 部门在员离职后要采取相应的技术防范措施(如变更口令、程序等),必要时应 与信息科技部协调。5.4 公司和部门要做好员离职的教育工作,告知其离职后,不得向第三方泄露其在 任职期内所获得的公司的商业和技术秘密。6离职程序1.1 员必须在离职日前3 0天向本部门部长提出书面离职报告。1.2 部门长接到员离职报告后,填写ISMS-4373员工特别事项处理意见表,签署 意见后送
40、行政部。1.3 行政部在员工特别事项处理意见表上签署意见后,报行政部部部长、分管副 总和总经理审批。1.4 员离职得到批准,由部门通知离职员来人事科办理离职手续。离职员在离 职日前必须把担当的部门工作移交完毕。6. 5办理离职手续7. 5. 1离职员到行政部索取ISMS-4374员离公司手续单。6. 5.2离职员按员离公司手续单的内容至公司各部门办理移交手续,各相关 部门负责按照用户访问控制程序取消离职员的访问权限。7. 5. 3离职员移交完毕后,由行政部将退通知单和员的劳动手册交于离 职者。8. 5.4技术部门员离职必须签订ISMS-4375双边保密协定。6.5.5员离职后如发生泄密情况,应
41、承担由此涉及的法律责任。7相关/支持性文件7. 1用户访问控制程序9. 2秘密管理规程7.3人事工作审批程序8记录10. 1应聘申请表10.2 岗位调整审查表10.3 员工特别事项处理意见表10.4 员离公司手续单10.5 双边保密协定1目的为对违反信息安全方针、体系文件要求、法律法规、合同要求的员工实施公正有效的奖 惩,并作为对可能在其它情况下有意轻视信息安全程序的员的威慑,强化全体员的信息 安全意识,有效防止信息安全事故的发生,特制定本规定。2范围本程序适用于本公司对违反信息安全方针、体系文件要求、法律法规、合同要求的员 的奖惩及对信息安全做出贡献员的奖励。3定义无4职责4. 1各部门经理
42、负责自己区域内的奖惩。4. 2管理者代表负责对IT方面信息安全事故的奖惩管理。4.3 信息安全管理委员会负责决定重大信息安全和事故的处罚。4.4 系统管理员负责本公司内部泄密或信息泄漏的调查。5. 1计算机信息系统的安保5.3.1 在计算机信息系统安全保护工作中成绩显著的单位和个人,由人事部给予表彰、奖励。 5.1.2存在计算机信息系统安全隐患,由人事部发出整改通知,限期整改。因不及时整改而 发生重大事故和案件的,由市行对该单位的主管负责人和直接负责人予以行政处分;构成违 反治安管理或者违反计算机管理监察行为的,由公安机关依法予以处罚;构成犯罪的,由司 法机关依法追究刑事责任。注:以上条款由本
43、公司信息安全委员会负责解释。5.2计算机应用与管理违规行为处罚规定5.2.1 计算机应用、维护及操作人员违反规定的,给予经济处罚或者警告至降级处分;造成 严重后果的,给予撤职至开除处分。5.2.2 2.2违反规定,擅自编制、使用、修改业务应用程序、调整系统参数和业务数据的,给予 主管人员和其他责任人员记过至撤职处分;造成严重后果的,给予主管人员和其他责任人员 留用察看至开除处分。5.2.3 2.3利用计算机进行违法违规活动或者为违法违规活动提供条件的,给予主管人员和其他 责任人员记过撤职处分;造成严重后果的,给予留用至开除处分。5.2.4 违反规定,有下列危害网络安全公司为之一的,给予有关责任
44、人员经济处罚或者警告 至记过处分;造成严重后果的,给予记大过至开除处分:(a)在生产经营用机上使用与业务无关的软件或者利用通讯手段非法侵入其他系统和 网络的(含从的个业务系统进入另个业务系统,从以外的系统和设备侵入业务网络系统, 以及从的业务网络系统进入以外的网络系统);(b)未经审批,私自使用内部网络上的计算机拨号上国际互联网的;(c)将非计算机设备接入网络系统的;(d)私自卸载或屏蔽计算机安全软件的;(e)私自修改计算机操作系统、网络系统安全设置的;(f)未经审批,私自在网络系统内开设游戏网站、论坛、聊天室等与工作无关的网络 服务的;(g)利用邮件系统传播损害形象的邮件的。5.2.5 利用
45、的计算机设备和网络系统制造、传播计算机病毒,给予主管人员和其他责任人员 记过至记大过处分;造成严重后果的,给予主管人员和其他责任人员降级至开除处分。5.2.6 计算机房值班人员擅自离岗的,给予经济处罚或者警告处分;造成严重后果的,给予 记过至开除处分。5.2.7 2.7系统管理和操作人员离开主机或者终端时没有按操作规程退出系统的,给予经济处罚 或者警告至记过处分;造成严重后果的,给予记大过至开除处分。5.2.8 违反规定将属于的计算机软件、文档、资料、客户信息等据为己有、复制或者借给外 单位的,给予有关责任人员记过至撤职处分;造成严重后果的,给予留用察看至开除处分。5.2.9 2.9未按规定进
46、行数据备份、没有妥善保管备份数据或备分数据无效的,给予主管人员和 其他责任人员经济处罚或者警告至记过处分;造成严重后果的,给予记大过至开除处分。5.2.10 在对面向客户的业务应用系统管理中,从事后台维护的技术人员,违反规定同时进 行前台技术维护的,给予主管人员和其他责任人员记过至记大过处分;造成严重后果的,给 予降级至开除处分。5.2.11 2.11在业务应用系统有关的各项业务操作过程中,技术人员代替业务人员操作,或业务员 允许技术人员代替从事业务操作,给予主管人员和其他责任人员记过至开除处分。5.2 . 12伪造信息的,给予主管人员和其他责任人员警告至降级处分;造成严重后果的,给予 撤职至开除处分。5.3 计算机信息类违规处罚5.3. 1本公司职违规操作,给系统造成一定的影响,但没有影响业务正常运行或对业务造 成轻微危害者,给当事人警告或严重