1、最新ISO27001信息安全管理體系全套文件（手冊(cè)+程序文件+作業(yè)規(guī)范）公司名稱： 日 期： 4 / 161信息安全管理體系程序文件目錄文件編號(hào)文件名稱XX-ISMS-01事故事件薄弱點(diǎn)與故障管理程序XX-ISMS-02業(yè)務(wù)持續(xù)性管理程序XX-ISMS-03企業(yè)商業(yè)技術(shù)秘密管理程序XX-ISMS-04信息處理設(shè)施引進(jìn)實(shí)施管理程XX-ISMS-05信息安全人員考察與保密管理程序XX-ISMS-06信息安全懲戒管理程序XX-ISMS-07信息安全適用性聲明XX-ISMS-08信息安全風(fēng)險(xiǎn)評(píng)估管理程序XX-ISMS-09內(nèi)審管理程序XX-ISMS-10惡意軟件控制程序XX-ISMS-11更改控制程序

2、XX-ISMS-12物理訪問(wèn)管理程序XX-ISMS-13用戶訪問(wèn)控制程序XX-ISMS-14管理評(píng)審控制程序XX-ISMS-15系統(tǒng)開(kāi)發(fā)與維護(hù)控制程序XX-ISMS-16系統(tǒng)訪問(wèn)與使用監(jiān)控管理程序XX-ISMS-17計(jì)算機(jī)賬戶及密碼管理程序XX-ISMS-18文件和資料管理程序XX-ISMS-19重要信息備份管理程序XX-ISMS-20預(yù)防措施程序信息安全管理體系作業(yè)文件目錄文件編號(hào)文件名稱XX-ISMS-SOP-01防火墻安全管理規(guī)定XX-ISMS-SOP-02介質(zhì)銷毀管理規(guī)定XX-ISMS-SOP-03信息機(jī)房管理制度XX-ISMS-SOP-04信息中心安全事件報(bào)告和處置管理制度XX-IS

3、MS-SOP-05信息中心密碼管理制度XX-ISMS-SOP-06信息系統(tǒng)訪問(wèn)權(quán)限說(shuō)明XX-ISMS-SOP-07檔案鑒定銷毀工作規(guī)定XX-ISMS-SOP-08移動(dòng)介質(zhì)使用管理規(guī)定XX-ISMS-SOP-09復(fù)印室管理制度XX-ISMS-SOP-10重要文件加密解密管理制度東莞市XXX有限公司文件名稱事故事件薄弱點(diǎn)與故障管理程序版 次A/0頁(yè)碼文件編號(hào)XX-ISMS-01日 期2017.11.01 1 / 31 適用本程序適用于公司信息安全事故、薄弱點(diǎn)、故障和風(fēng)險(xiǎn)處置的管理。2 目的為建立一個(gè)適當(dāng)信息安全事故、薄弱點(diǎn)、故障風(fēng)險(xiǎn)處置的報(bào)告、反應(yīng)與處理機(jī)制，減少信息安全事故和故障所造成的損失，采

4、取有效的糾正與預(yù)防措施，正確處置已經(jīng)評(píng)價(jià)出的風(fēng)險(xiǎn)，特制定本程序。3 職責(zé)3.1 各系統(tǒng)歸口管理部門主管相關(guān)的安全風(fēng)險(xiǎn)的調(diào)查、處理及糾正措施管理。3.2 各系統(tǒng)使用人員負(fù)責(zé)相關(guān)系統(tǒng)安全事故、薄弱點(diǎn)、故障和風(fēng)險(xiǎn)的評(píng)價(jià)、處置報(bào)告。4 程序4.1 信息安全事故定義與分類： 4.1.1 信息設(shè)備故障、線路故障、軟件故障、惡意軟件危害、人員故意破壞或工作失職等原因直接造成下列影響（后果)之一，均為信息安全事故： a) 企業(yè)秘密、機(jī)密及國(guó)家秘密泄露或丟失； b) 服務(wù)器停運(yùn)4 小時(shí)以上； c) 造成信息資產(chǎn)損失的火災(zāi)、洪水、雷擊等災(zāi)害； d) 損失在十萬(wàn)元以上的故障/事件。4.1.2 信息設(shè)備故障、線路故障

5、、軟件故障、惡意軟件危害、人員故意破壞或工作失職等原因直接造成下列影響（后果)之一，屬于重大信息安全事故： a) 企業(yè)機(jī)密及國(guó)家秘密泄露； b) 服務(wù)器停運(yùn)8 小時(shí)以上； c) 造成機(jī)房設(shè)備毀滅的火災(zāi)、洪水、雷擊等災(zāi)害； d) 損失在一百萬(wàn)元以上的故障/事件。4.1.3 信息安全事件包括： a) 未產(chǎn)生惡劣影響的服務(wù)、設(shè)備或者實(shí)施的遺失； b) 未產(chǎn)生事故的系統(tǒng)故障或超載； c) 未產(chǎn)生不良結(jié)果的人為誤操作； d) 未產(chǎn)生惡劣影響的物理進(jìn)入的違規(guī)東莞市XXX有限公司文件名稱事故事件薄弱點(diǎn)與故障管理程序版 次A/0頁(yè)碼文件編號(hào)XX-ISMS-01日 期2017.11.01 2 / 3e) 未產(chǎn)生

6、事故的未加控制的系統(tǒng)變更； f) 策略、指南和績(jī)效的不符合； g) 可恢復(fù)的軟件、硬件故障； h) 未產(chǎn)生惡劣后果的非法訪問(wèn)。4.2 故障與事故的報(bào)告渠道與處理4.2.1 故障、事故報(bào)告要求故障、事故的發(fā)現(xiàn)者應(yīng)按照以下要求履行報(bào)告任務(wù)： a) 各個(gè)信息管理系統(tǒng)使用者，在使用過(guò)程中如果發(fā)現(xiàn)軟硬件故障、事故，應(yīng)該向該系統(tǒng)歸口管理部門報(bào)告；如故障、事故會(huì)影響或已經(jīng)影響線上生產(chǎn)，必須立即報(bào)告相關(guān)部門，采取必要措施，保證對(duì)生產(chǎn)的影響降至最低； b) 發(fā)生火災(zāi)應(yīng)立即觸發(fā)火警并向安全監(jiān)督部報(bào)告，啟動(dòng)消防應(yīng)急預(yù)案； c) 涉及企業(yè)秘密、機(jī)密及國(guó)家秘密泄露、丟失應(yīng)向行政部報(bào)告； d) 發(fā)生重大信息安全事故，事故

7、受理部門應(yīng)向信息安全管理者代表和有關(guān)公司領(lǐng)導(dǎo)報(bào)告。4.2.2 故障、事故的響應(yīng)故障、事故處理部門接到報(bào)告以后，應(yīng)立即進(jìn)行迅速、有效和有序的響應(yīng)，包括采取以下適當(dāng)措施： a) 報(bào)告者應(yīng)保護(hù)好故障、事故的現(xiàn)場(chǎng)，并采取適當(dāng)?shù)膽?yīng)急措施，防止事態(tài)的進(jìn)一步擴(kuò)大； b) 按照有關(guān)的故障、事故處理文件（程序、作業(yè)手冊(cè)）排除故障，恢復(fù)系統(tǒng)或服務(wù)，必要時(shí)，啟動(dòng)業(yè)務(wù)持續(xù)性管理計(jì)劃。5 相關(guān)/支持性文件5.1預(yù)防措施控制程序5.2 信息密級(jí)劃分、標(biāo)注及處理控制程序5.3信息安全獎(jiǎng)勵(lì)、懲戒規(guī)定5.4 I法律法規(guī)與符合性評(píng)估程序6 記錄保存期限6.1信息安全風(fēng)險(xiǎn)評(píng)估報(bào)東莞市XXX有限公司文件名稱事故事件薄弱點(diǎn)與故障管理程

8、序版 次A/0頁(yè)碼文件編號(hào)XX-ISMS-01日 期2017.11.01 3 / 36.2糾正/預(yù)防措施申請(qǐng)書(shū)6.3信息安全事故調(diào)查處理報(bào)告6.4信息安全薄弱點(diǎn)報(bào)告文件名稱業(yè)務(wù)持續(xù)性管理程序版 次A/0頁(yè)碼文件編號(hào)XX-ISMS-02日 期2017.11.01 2 / 21 目的與范圍本程序規(guī)定了當(dāng)發(fā)生重大信息安全事件或?yàn)?zāi)難時(shí)，為保護(hù)公司業(yè)務(wù)活動(dòng)免受影響，迅速恢復(fù)已中斷的業(yè)務(wù)活動(dòng)，實(shí)現(xiàn)公司業(yè)務(wù)持續(xù)發(fā)展而實(shí)施的管理活動(dòng)。這些活動(dòng)包括：建立業(yè)務(wù)持續(xù)性管理程序；進(jìn)行業(yè)務(wù)持續(xù)性和影響分析；編制業(yè)務(wù)持續(xù)性戰(zhàn)略計(jì)劃；制訂業(yè)務(wù)持續(xù)性管理實(shí)施計(jì)劃并實(shí)施；對(duì)業(yè)務(wù)持續(xù)性管理計(jì)劃進(jìn)行定期測(cè)試和評(píng)審等。本程序適應(yīng)于本

9、公司應(yīng)用軟件的開(kāi)發(fā)和系統(tǒng)集成的活動(dòng)等主要業(yè)務(wù)的持續(xù)性管理。2 相關(guān)文件2.1信息安全管理手冊(cè)2.2信息資產(chǎn)的識(shí)別與風(fēng)險(xiǎn)評(píng)估管理程序2.3事故、薄弱點(diǎn)與故障管理程序3 職責(zé)3.1 公司常務(wù)副總經(jīng)理負(fù)責(zé)公司業(yè)務(wù)中斷的恢復(fù)的總指揮與總協(xié)調(diào)。3.2 集成部負(fù)責(zé)編制、修訂公司業(yè)務(wù)持續(xù)性管理程序，并協(xié)調(diào)、推進(jìn)公司業(yè)務(wù)持續(xù)性管理活動(dòng)。3.3 各部門負(fù)責(zé)部門相關(guān)系統(tǒng)的故障處理及與之相關(guān)的作業(yè)中斷的恢復(fù)。3.4 技術(shù)部負(fù)責(zé)項(xiàng)目實(shí)施過(guò)程中設(shè)備及軟件系統(tǒng)的故障處理及與之相關(guān)的作業(yè)中斷的恢復(fù)。3.5 集成部負(fù)責(zé)后勤系統(tǒng)設(shè)備及網(wǎng)絡(luò)系統(tǒng)的故障處理及與之相關(guān)的作業(yè)中斷的恢復(fù)。3.6 行政部負(fù)責(zé)本部門管理系統(tǒng)及與之相關(guān)的作業(yè)

10、中斷的恢復(fù)。3.7 公司各部門在發(fā)生重大信息安全事件或?yàn)?zāi)難時(shí)，負(fù)責(zé)保護(hù)本部門使用的信息系統(tǒng)及業(yè)務(wù)數(shù)據(jù)，及時(shí)恢復(fù)中斷的業(yè)務(wù)活動(dòng)。4 工作程序4.1 業(yè)務(wù)持續(xù)性管理過(guò)程公司業(yè)務(wù)持續(xù)性管理過(guò)程規(guī)定如下：4.2 業(yè)務(wù)持續(xù)性和影響的分析4.2.1 公司在首次信息安全風(fēng)險(xiǎn)評(píng)估后進(jìn)行業(yè)務(wù)持續(xù)性和影響的分析。4.2.2 業(yè)務(wù)持續(xù)性和影響的分析由集成部組織，技術(shù)部、行政部、生產(chǎn)部及管理者代表指定的相關(guān)部門分別開(kāi)展以下活動(dòng)：a)對(duì)本部門的信息安全進(jìn)行風(fēng)險(xiǎn)評(píng)估；b)識(shí)別出對(duì)本部門業(yè)務(wù)持續(xù)性造成嚴(yán)重影響的主要事件，如設(shè)備故障、火災(zāi)等；c)分析這些事件一旦發(fā)生對(duì)公司業(yè)務(wù)活動(dòng)造成的影響和損失，以及恢復(fù)業(yè)務(wù)所需費(fèi)用等；d)

11、編寫(xiě)本部門業(yè)務(wù)持續(xù)性和影響分析報(bào)告（格式見(jiàn)ISMS-4341)。4.2.3業(yè)務(wù)持續(xù)性和影響分析報(bào)告應(yīng)包括以下內(nèi)容：a)識(shí)別關(guān)鍵業(yè)務(wù)的管理過(guò)程；b)可能引起公司業(yè)務(wù)活動(dòng)中斷的主要事件；c)主要事件對(duì)本部門管理的信息系統(tǒng)的影響；d)信息系統(tǒng)故障或中斷對(duì)公司業(yè)務(wù)活動(dòng)的影響；e)關(guān)于系統(tǒng)恢復(fù)或替換的費(fèi)用考慮。5 記錄5.1業(yè)務(wù)持續(xù)性和影響分析報(bào)告5.2業(yè)務(wù)持續(xù)性管理戰(zhàn)略計(jì)劃5.3業(yè)務(wù)持續(xù)性管理實(shí)施計(jì)劃5.4業(yè)務(wù)持續(xù)性管理計(jì)劃測(cè)試報(bào)告5.5業(yè)務(wù)持續(xù)性管理計(jì)劃評(píng)審報(bào)告文件名稱企業(yè)商業(yè)技術(shù)秘密管理程序版 次A/0頁(yè)碼文件編號(hào)XX-ISMS-03日 期2017.11.01 3 / 3第一章  總則第

12、一條  為保障公司的合法權(quán)益，充分發(fā)揮作為公司重要資產(chǎn)的技術(shù)秘密、商業(yè)秘密的效益，鼓勵(lì)員工不斷創(chuàng)造并自覺(jué)維護(hù)技術(shù)秘密、商業(yè)秘密的積極性，根據(jù)知識(shí)產(chǎn)權(quán)管理總則制訂本制度。第二條  公司技術(shù)秘密、商業(yè)秘密的管理目標(biāo)；技術(shù)秘密、商業(yè)秘密是本公司擁有的知識(shí)產(chǎn)權(quán)的組成部分，是公司的重要資產(chǎn)。要在公司內(nèi)牢固樹(shù)立技術(shù)秘密、商業(yè)秘密的保護(hù)意識(shí)；技術(shù)秘密、商業(yè)秘密的管理貫穿研究開(kāi)發(fā)、生產(chǎn)和經(jīng)營(yíng)的全過(guò)程。明確商業(yè)秘密的界定和保護(hù)。第三條  公司內(nèi)的相關(guān)管理制度、合同、記錄等文獻(xiàn)所有文件均屬于商業(yè)機(jī)密。第二章  技術(shù)秘密、商業(yè)秘密的定義、確立和管理機(jī)制第四條  .本

13、制度所稱的技術(shù)秘密、商業(yè)秘密，是指由公司員工在職務(wù)范圍內(nèi)創(chuàng)造或履行職務(wù)產(chǎn)生的、經(jīng)公司知識(shí)產(chǎn)權(quán)管理部門認(rèn)定并采取了保密措施、只在公司一定范圍內(nèi)流傳的、具有商業(yè)價(jià)值的所有信息或成果。這些信息或成果以各種紙質(zhì)材料、照片、錄像和計(jì)算機(jī)等數(shù)字存儲(chǔ)設(shè)備為載體而能夠?yàn)槿怂兄?。具體包括：1.技術(shù)秘密。包括：公司現(xiàn)有的或正在開(kāi)發(fā)或者構(gòu)思之中的或經(jīng)過(guò)技術(shù)創(chuàng)新確定不宜于申請(qǐng)專利的營(yíng)銷方案，管理制度；2.經(jīng)營(yíng)信息包括：公司的市場(chǎng)營(yíng)銷計(jì)劃、廣告宣傳方案、銷售方法、供應(yīng)商和客戶名單、客戶的專門需求、未公開(kāi)的銷售服務(wù)網(wǎng)絡(luò)以及公司現(xiàn)有的、正在開(kāi)發(fā)或者構(gòu)思之中的經(jīng)營(yíng)項(xiàng)目等信息及其承載物；3.依據(jù)法律和有關(guān)協(xié)議對(duì)第三方負(fù)有保密

14、責(zé)任的第三方商業(yè)秘密。第五條.  確定為技術(shù)秘密、商業(yè)秘密的信息及其承載物，歸公司所有。第六條 . 技術(shù)秘密、商業(yè)秘密的確定程序：1.由參與藥品研發(fā)創(chuàng)新，研發(fā)部就某一項(xiàng)或幾項(xiàng)信息，向公司行政管理部門申報(bào)；2.行政董事接到申報(bào)后采?。篴)指定參與者中一人專門保管成果或信息的承載物，可以采取加密措施。被指定人一般是項(xiàng)目或業(yè)務(wù)負(fù)責(zé)人或菜肴創(chuàng)造者本人；b)向公司常務(wù)董事匯報(bào)并提出是否構(gòu)成技術(shù)秘密、商業(yè)秘密建議。必要時(shí)會(huì)同指定人向公司常務(wù)董事匯報(bào)；c) 公司行政董事在接到知識(shí)產(chǎn)權(quán)管理部門的匯報(bào)后應(yīng)立即作出是否確定為技術(shù)秘密、商業(yè)秘密的決定；d)對(duì)于被確定為技術(shù)秘密、商業(yè)秘密的信息或成

15、果，按照本制度第三章和第四章的有關(guān)規(guī)定具體落實(shí)管理措施。e) 技術(shù)秘密、商業(yè)秘密的確定遵循隨時(shí)產(chǎn)生隨時(shí)確定的原則，實(shí)行動(dòng)態(tài)管理；第七條  商業(yè)秘密管理機(jī)制。公司決策層負(fù)責(zé)技術(shù)秘密、商業(yè)秘密的整體工作。及時(shí)、高效地作出審核、批準(zhǔn)、否決等工作，定期檢查各部門的保密工作，作出獎(jiǎng)懲決定。公司下屬部門的負(fù)責(zé)人負(fù)責(zé)本部門的日常技術(shù)秘密、商業(yè)秘密管理和保護(hù)工作。定期檢查本部門的保密工作，配合支持知識(shí)產(chǎn)權(quán)管理部門履行公司技術(shù)秘密、商業(yè)秘密保護(hù)工作。知識(shí)產(chǎn)權(quán)管理部門是公司技術(shù)秘密、商業(yè)秘密保護(hù)工作的職責(zé)機(jī)構(gòu)，具體操作落實(shí)與協(xié)調(diào)商業(yè)秘密保護(hù)的各項(xiàng)工作.公司全體員工是技術(shù)秘密、商業(yè)秘密保護(hù)的實(shí)施者。全體員

16、工應(yīng)當(dāng)牢固樹(shù)立知識(shí)產(chǎn)權(quán)意識(shí)，自覺(jué)維護(hù)公司的商業(yè)秘密。第三章  技術(shù)秘密、商業(yè)秘密及其承載物的管理第八條  根據(jù)本制度第六條的規(guī)定，被決策層確立為技術(shù)秘密、商業(yè)秘密的信息或成果，由知識(shí)產(chǎn)權(quán)管理部門確立密級(jí)和保密期限。密級(jí)劃分的標(biāo)準(zhǔn)、保密期限的確立，要參考該信息或成果同公司業(yè)務(wù)的聯(lián)系程度、與同行業(yè)競(jìng)爭(zhēng)的影響力度、是否為公司運(yùn)營(yíng)的關(guān)鍵等因案，由知識(shí)產(chǎn)權(quán)管理部門劃定。商業(yè)秘密的申報(bào)人應(yīng)當(dāng)提供意見(jiàn)。第九條  按照技術(shù)秘密、商業(yè)秘密需要保密的程度，參考第八條的標(biāo)準(zhǔn)，技術(shù)秘密、商業(yè)秘密分為三級(jí)；絕密、機(jī)密、保密。引外，對(duì)于不宜于對(duì)外的信息，由行政管理部門確立為“內(nèi)部使用”的資料

17、，參照本制度做好保密工作。絕密是指一旦泄漏會(huì)使公司遭受嚴(yán)重危害和重大損失的信息或成果，包括；公司核心管理秘密、技術(shù)訣竅、財(cái)務(wù)報(bào)表、藥品研發(fā)工藝、特殊化合同。機(jī)密是指理一旦泄漏會(huì)使公司遭受危害和較大損失的信息，包括：產(chǎn)品開(kāi)發(fā)、市場(chǎng)營(yíng)銷等各類工作計(jì)劃、公司內(nèi)部重要文件。保密是指一旦泄漏會(huì)使公司遭受損失的信息，包括；藥品銷售情況，用戶名單及其分布，用戶需求信息，限于一定范圍閱讀的公司內(nèi)部文件等。內(nèi)部使用的信息或成果是指一旦泄漏會(huì)對(duì)公司業(yè)務(wù)產(chǎn)生一定不良影響的可能的信息或成果，只限于內(nèi)部員工閱讀的公司內(nèi)部文件。第十條. 保密資料由專人負(fù)責(zé)管理。公司財(cái)務(wù)部對(duì)交接來(lái)的技術(shù)秘密、商業(yè)秘密檔案材料，根據(jù)其密級(jí)于

18、檔案卷宗封面加蓋保密印章，登記、編號(hào)后統(tǒng)一放置保密資料專門存放處保存，并建立臺(tái)帳登記，重要的資料柜實(shí)行雙鑰匙制度。公司各部門要設(shè)立保密資科柜，用于存放各部門經(jīng)常運(yùn)用的或暫時(shí)無(wú)法交存公司財(cái)務(wù)部門保存的技術(shù)秘密、商業(yè)秘密檔案材料，該資料拒應(yīng)由專人管理。第十一條 . 商業(yè)技術(shù)機(jī)密材料的借閱，必須經(jīng)公司行政董事批準(zhǔn)，確定借閱時(shí)間，使用后立即歸還，不得延期，更不得交與他人使用。第十二條 . 商業(yè)技術(shù)機(jī)密材料的復(fù)印，必須經(jīng)公司行政董事批準(zhǔn)后，由專人（理應(yīng)是財(cái)務(wù)部經(jīng)理）復(fù)印，未見(jiàn)公司行政董事批準(zhǔn)意見(jiàn)，一律不得復(fù)印。復(fù)印由專人負(fù)責(zé)，復(fù)印期間不得向他人泄漏，復(fù)印后應(yīng)當(dāng)立即將復(fù)印稿和原稿交還申

19、請(qǐng)復(fù)印人，廢稿要立即銷毀，不得留存或隨意丟棄。第四章  技術(shù)秘密、商業(yè)秘密的保障措施第十三條  在本公司進(jìn)行技術(shù)創(chuàng)新過(guò)程中，任何研發(fā)項(xiàng)目從立項(xiàng)之日起，圍繞該項(xiàng)目的研發(fā)活動(dòng)進(jìn)入技術(shù)秘密、商業(yè)秘密保護(hù)范圍內(nèi)，產(chǎn)生的任何信息或成果，不論最終產(chǎn)生的知識(shí)產(chǎn)權(quán)形式如何，均作為公司的技術(shù)秘密、商業(yè)秘密進(jìn)行保護(hù)。第十四條  對(duì)于在研發(fā)過(guò)程中被確定為技術(shù)秘密、商業(yè)秘密的信息，由于處在不斷發(fā)展改進(jìn)的狀態(tài)下，其檔案材料可以經(jīng)公司知識(shí)產(chǎn)權(quán)主管領(lǐng)導(dǎo)批準(zhǔn)后保留在本部門，但必須設(shè)專門存放處保存，以計(jì)算機(jī)等保存的，必須對(duì)該設(shè)備進(jìn)行數(shù)字加密，密碼不得向任何無(wú)關(guān)該商業(yè)秘密的人透露。研發(fā)中的階段性成果

20、，必須形成檔案材料，依照保密措施保存，直到最終成果形成后，將各階段成果形成的過(guò)程檔案進(jìn)行保存、銷毀、解秘等措施。第十五條  對(duì)于開(kāi)發(fā)完成的技術(shù)創(chuàng)新成果，除從本公司專利戰(zhàn)略及經(jīng)營(yíng)實(shí)際出發(fā)需要公開(kāi)的以外，經(jīng)過(guò)論證不適于申請(qǐng)專利的，將其完全納入公司商業(yè)秘密保護(hù)范圍內(nèi)，按照商業(yè)秘密的確立、密級(jí)劃分、建檔、專門保存檔案資料等的工作。參與技術(shù)創(chuàng)新的有關(guān)人員，在開(kāi)發(fā)項(xiàng)目進(jìn)行中，應(yīng)履行商業(yè)秘密的保密工作。第十六條  公司所有員工有義務(wù)保護(hù)公司技術(shù)秘密、商業(yè)秘密的安全。所有員工對(duì)于公司技術(shù)秘密、商業(yè)秘密的保護(hù)而產(chǎn)生的義務(wù)、權(quán)利及相應(yīng)獎(jiǎng)勵(lì)、處罰。第十七條  員工在公司工作期間，因工作

21、需要使用公司的技術(shù)秘密、商業(yè)秘密及其承載物，應(yīng)按照要求的范圍和程度使用，不得將實(shí)物、資料等擅自帶離工作崗位，未經(jīng)書(shū)面同意，不得隨意進(jìn)行復(fù)制、交流或轉(zhuǎn)移含有公司技術(shù)秘密、商業(yè)秘密的資料。第十八條  員工在參加任何級(jí)別的學(xué)術(shù)交流活動(dòng)、產(chǎn)品訂貨會(huì)、技術(shù)鑒定會(huì)等會(huì)議或活動(dòng)時(shí)，必須注意保護(hù)公司的技術(shù)秘密、商業(yè)秘密，用以交流的文檔或資料事先要經(jīng)過(guò)上級(jí)審查批準(zhǔn)。第十九條  .公司在對(duì)外發(fā)布新產(chǎn)品信息和廣告時(shí)，要注意避免泄漏公司的技術(shù)秘密、商業(yè)秘密。重要的新產(chǎn)品宣傳、廣告文稿必須經(jīng)公司行政董事審核批準(zhǔn)后才可發(fā)布。第二十條  公司在接受外公司人員的實(shí)習(xí)、合作研究、學(xué)習(xí)進(jìn)修等工作時(shí)，

22、對(duì)公司的技術(shù)秘密、商業(yè)秘密負(fù)有保密的義務(wù)。第二十一條  員工因工作需要或其他原因（包括離職、辭職、退休、開(kāi)除等）調(diào)離原工作崗位或離開(kāi)公司，應(yīng)將接觸到的所有包含職務(wù)開(kāi)發(fā)中技術(shù)秘密、商業(yè)秘密的數(shù)據(jù)、文檔等的記錄、模型、軟磁盤、光盤及數(shù)字存儲(chǔ)裝置以及其他媒介形式的資料如數(shù)交回公司。第五章  技術(shù)秘密、商業(yè)秘密效益發(fā)揮的保證措施第二十二條  公司在對(duì)外的技術(shù)合作過(guò)程中，以技術(shù)秘密、商業(yè)秘密為標(biāo)的或其他技術(shù)合同涉及技術(shù)秘密、商業(yè)秘密許可的，對(duì)于技術(shù)秘密、商業(yè)秘密的價(jià)值通過(guò)與合作方協(xié)商確定。需要進(jìn)行第三方價(jià)值評(píng)估的，委托符合執(zhí)業(yè)要求的中介機(jī)構(gòu)完成，并通過(guò)合同約定嚴(yán)格的保密措施

23、。明確雙方的權(quán)利和義務(wù)及合作方在合同末完全履行，泄漏公司技術(shù)秘密、商業(yè)秘密應(yīng)承擔(dān)的責(zé)任。第二十三條  公司員工在主持或參與對(duì)外業(yè)務(wù)談判時(shí)要遵守公司的保密紀(jì)律。涉及公司商業(yè)秘密的談判，事先制定談判提綱，該提綱經(jīng)行政董事批準(zhǔn)。第二十四條  在技術(shù)合作中產(chǎn)生的技術(shù)成果，其知識(shí)產(chǎn)權(quán)形式的確定和歸屬由合同約定，凡以技術(shù)秘密、商業(yè)秘密約定歸屬本公司應(yīng)采取保密措施。第二十五條  因員工開(kāi)發(fā)或參與開(kāi)發(fā)的技術(shù)創(chuàng)新項(xiàng)目、新產(chǎn)品技術(shù)或創(chuàng)造發(fā)明而形成的商業(yè)秘密，在對(duì)外的技術(shù)合作過(guò)程中產(chǎn)生收益，本公司將取得實(shí)際利益給予最大力度獎(jiǎng)勵(lì)。第二十六條 本公司所有正式，試用，兼職，實(shí)習(xí)員工無(wú)條件遵守

24、本管理辦法。文件名稱信息處理設(shè)施引進(jìn)實(shí)施管理程版 次A/0頁(yè)碼文件編號(hào)XX-ISMS-04日 期2017.11.01 7 / 71 適用與目的本程序適用于公司與IT相關(guān)各類信息處理設(shè)施（包括各類軟件、硬件、服務(wù)、傳輸線路）的引進(jìn)、實(shí)施、維護(hù)等事宜的管理。本程序通過(guò)對(duì)技術(shù)選型、驗(yàn)收、實(shí)施、維護(hù)等過(guò)程中相關(guān)控制的明確規(guī)定來(lái)確保引進(jìn)的信息處理設(shè)施的保密性、完整性和可用性。2信息處理設(shè)施的分類2.1 研發(fā)控制系統(tǒng)、數(shù)據(jù)存儲(chǔ)控制系統(tǒng)及其子系統(tǒng)設(shè)備，包括位于機(jī)房的服務(wù)器和位于使用區(qū)域的使用控制系統(tǒng)終端設(shè)備。2.2 業(yè)務(wù)管理系統(tǒng)、財(cái)務(wù)管理系統(tǒng)，包括位于機(jī)房的服務(wù)器和位于使用區(qū)域的終端設(shè)備。2.3 辦公用計(jì)算

25、機(jī)設(shè)備，包括所有辦公室、會(huì)議室內(nèi)的計(jì)算機(jī)、打印機(jī)，域控制服務(wù)器，DNS服務(wù)器、Email服務(wù)器等。2.4 網(wǎng)絡(luò)設(shè)備，包括交換機(jī)、路由器、防火墻等。2.5 其它辦公設(shè)備，包括電話設(shè)備、復(fù)印機(jī)、傳真機(jī)等。3 職責(zé)3.1 XX部主要負(fù)責(zé)全公司與IT相關(guān)各類信息處理設(shè)施及其服務(wù)的引進(jìn)。包括制作技術(shù)規(guī)格書(shū)、進(jìn)行技術(shù)選型、安裝和驗(yàn)收等。XX部同時(shí)負(fù)責(zé)全公司網(wǎng)絡(luò)設(shè)備、研發(fā)控制系統(tǒng)、業(yè)務(wù)管理系統(tǒng)、財(cái)務(wù)管理系統(tǒng)日常管理與維護(hù)。3.2 各部負(fù)責(zé)項(xiàng)目實(shí)施過(guò)程中設(shè)備及軟件系統(tǒng)的管理制度的執(zhí)行與維護(hù)。3.3 XX部負(fù)責(zé)后勤系統(tǒng)設(shè)備及網(wǎng)絡(luò)系統(tǒng)、電話/網(wǎng)絡(luò)通訊與辦公系統(tǒng)的管理與維護(hù)。4 信息處理設(shè)施的引進(jìn)和安裝4.1引進(jìn)依

26、賴各部門必須采購(gòu)的信息處理設(shè)施、外包開(kāi)發(fā)信息系統(tǒng)項(xiàng)目或外包信息系統(tǒng)服務(wù)，得到本部門經(jīng)理的批準(zhǔn)后，向XX部提交申請(qǐng)。XX部以設(shè)備投資計(jì)劃，技術(shù)開(kāi)發(fā)計(jì)劃為依據(jù)，結(jié)合對(duì)新技術(shù)的調(diào)查，作出是否引進(jìn)的評(píng)價(jià)結(jié)果并向提出部門返回該信息。本公司禁止員工攜帶個(gè)人或私有信息處理設(shè)施（例如便攜式電腦、家用電腦或手持設(shè)備PDA等）處理業(yè)務(wù)信息。4.2進(jìn)行技術(shù)選型XX部負(fù)責(zé)對(duì)購(gòu)入的信息處理設(shè)施的技術(shù)選型，并從技術(shù)角度對(duì)供應(yīng)商進(jìn)行評(píng)價(jià)。技術(shù)選型應(yīng)該包含以下幾方面：性能、相關(guān)設(shè)施的兼容性、協(xié)作能力、技術(shù)發(fā)展能力等。4.3編寫(xiě)購(gòu)入規(guī)格書(shū)XX部根據(jù)要求，負(fù)責(zé)編寫(xiě)即將購(gòu)入的信息處理設(shè)施的購(gòu)入規(guī)格書(shū)。規(guī)格書(shū)中應(yīng)該包含技術(shù)規(guī)格、相關(guān)

27、設(shè)施的性能（包括安全相關(guān)信息）、兼容性等要求，由XX部主管審批。4.4定貨由XX部按照公司采購(gòu)流程，向經(jīng)理層提出購(gòu)買要求，并提供選型結(jié)果。經(jīng)理層應(yīng)按照要求辦理定貨手續(xù)。4.5開(kāi)箱檢查，安裝、調(diào)試，驗(yàn)收a) 開(kāi)箱檢查設(shè)備到貨后，xx部應(yīng)負(fù)責(zé)開(kāi)箱檢查，依照購(gòu)買規(guī)格書(shū)和裝箱單核對(duì)數(shù)量及物品，確認(rèn)有無(wú)損壞并記錄。必要時(shí)，應(yīng)通知有關(guān)部門到場(chǎng)協(xié)同檢查。b) 安裝、調(diào)試引進(jìn)的設(shè)施到位后，根據(jù)合同要求，由相關(guān)人員進(jìn)行安裝、調(diào)試。在實(shí)施調(diào)試過(guò)程中出現(xiàn)的問(wèn)題，必要時(shí)可通知相關(guān)部門共同進(jìn)行。c) 驗(yàn)收安裝調(diào)試完成以后，XX部應(yīng)依據(jù)以下文件實(shí)施驗(yàn)收：·購(gòu)入規(guī)格書(shū)·采購(gòu)合同及其相關(guān)附件·調(diào)

28、試時(shí)故障履歷驗(yàn)收原則上由XX部實(shí)施，必要時(shí)可要求相關(guān)部門參加。驗(yàn)收的合格與否最終由XX部負(fù)責(zé)人作出判斷。d) 驗(yàn)收合格后，可向相關(guān)的使用部門移交。5 信息處理設(shè)施的日常維護(hù)管理5.1計(jì)算機(jī)設(shè)備管理5.1.1 XX部負(fù)責(zé)計(jì)算機(jī)固定資產(chǎn)的標(biāo)識(shí)，標(biāo)識(shí)隨具體設(shè)備到使用各部門。計(jì)算機(jī)保管使用部門將計(jì)算機(jī)列入該部門信息資產(chǎn)清單。5.1.2 各部門配備的計(jì)算機(jī)設(shè)備應(yīng)與本部門的日常經(jīng)營(yíng)情況相適應(yīng)，不得配備與工作不相符的高檔次或不必要的計(jì)算機(jī)設(shè)備。辦公場(chǎng)所不配備多媒體類計(jì)算機(jī)設(shè)備，原則上部門經(jīng)理以上配備筆記本電腦，因工作需要配備筆記本電腦的需經(jīng)主管副總批準(zhǔn)。5.1.3 計(jì)算機(jī)使用部門需配備計(jì)算機(jī)設(shè)備時(shí)，應(yīng)按照本

29、規(guī)定執(zhí)行。資產(chǎn)搬離安置場(chǎng)所，需要獲得部門經(jīng)理的授權(quán)；遷移出公司，需要得到最高管理層的授權(quán)。5.1.4 計(jì)算機(jī)使用部門填寫(xiě)物品領(lǐng)用單，經(jīng)過(guò)本部門經(jīng)理簽字后提交行政部后領(lǐng)取計(jì)算機(jī)設(shè)備。計(jì)算機(jī)及附屬設(shè)備屬公司信息資產(chǎn)，在行政部備案。有關(guān)計(jì)算機(jī)設(shè)備所帶技術(shù)說(shuō)明書(shū)、軟件由行政部保存。使用部門的使用人應(yīng)妥善保管計(jì)算機(jī)及附屬設(shè)備，公用計(jì)算機(jī)設(shè)備由使用部門經(jīng)理指定專人負(fù)責(zé)使用管理。5.1.5 離職時(shí)，應(yīng)將計(jì)算機(jī)交還XX部，由XX部注銷賬戶。5.2計(jì)算機(jī)設(shè)備維護(hù)5.2.1 計(jì)算機(jī)使用部門應(yīng)將每部計(jì)算機(jī)落實(shí)到個(gè)人管理。計(jì)算機(jī)使用人員負(fù)責(zé)計(jì)算機(jī)的日常維護(hù)和保養(yǎng)；XX部按照惡意軟件控制程序要求進(jìn)行計(jì)算機(jī)查毒和殺毒工作

30、。5.2.2 計(jì)算機(jī)使用部門發(fā)現(xiàn)故障或異常，可先報(bào)公司XX管理員處理，如其無(wú)法解決，則由XX管理員填寫(xiě)事態(tài)事件脆弱性記錄向供應(yīng)商申請(qǐng)維修。故障原因及處理結(jié)果應(yīng)記入事態(tài)事件脆弱性記錄。5.3計(jì)算機(jī)調(diào)配與報(bào)廢管理5.3.1 用戶計(jì)算機(jī)更新后，原來(lái)的計(jì)算機(jī)由XX部根據(jù)計(jì)算機(jī)的技術(shù)狀態(tài)決定調(diào)配使用或予以報(bào)廢處理。5.3.2 含有敏感信息的計(jì)算機(jī)調(diào)配使用或報(bào)廢前，計(jì)算機(jī)使用部門應(yīng)與XX部共同采取安全可靠的方法將計(jì)算機(jī)內(nèi)的敏感信息清除。5.3.3 調(diào)配 部門內(nèi)部的調(diào)配由使用部門自行處理，并通知XX部進(jìn)行計(jì)算機(jī)配置變更，變更執(zhí)行更改控制程序。 部門間的調(diào)配管理：XX部收回因更新等

31、原因不用的計(jì)算機(jī)設(shè)備，由變更部門變更信息資產(chǎn)清單，并按照本程序5.1.3、5.1.4要求重新分配使用。5.4報(bào)廢處理5.4.1 計(jì)算機(jī)設(shè)備采用集中報(bào)廢處理。報(bào)廢前由XX部向行政部提出報(bào)廢，經(jīng)審核后由XX部實(shí)施報(bào)廢。5.4.2 XX部按照批準(zhǔn)的處置方案進(jìn)行報(bào)廢處理，并變更固定資產(chǎn)清單。5.5筆記本電腦安全管理5.5.1 筆記本電腦應(yīng)由被授權(quán)的使用人保管；對(duì)于需多人共用的筆記本電腦，應(yīng)由部門負(fù)責(zé)人指定專人保管。5.5.2 筆記本所帶附件應(yīng)由使用者本人或部門負(fù)責(zé)人指定專人保管。5.5.3 筆記本電腦使用時(shí)應(yīng)防止惡意軟件的侵害，在系統(tǒng)中應(yīng)安裝防病毒軟件，并由使用人對(duì)其定期升級(jí)，對(duì)系統(tǒng)定期查殺，XX部負(fù)

32、責(zé)監(jiān)督。5.5.4 筆記本電腦在移動(dòng)使用中，不能隨意拉接網(wǎng)絡(luò)，需通過(guò)填寫(xiě)用戶授權(quán)申請(qǐng)表向XX部提前提出需求，經(jīng)XX部審批后方能接入網(wǎng)絡(luò)。5.6計(jì)算機(jī)安全使用的要求5.6.1 計(jì)算機(jī)設(shè)備為公司財(cái)產(chǎn)，應(yīng)愛(ài)惜使用，按照正確的操作步驟操作。5.6.2 使用計(jì)算機(jī)時(shí)應(yīng)遵循信息安全策略要求執(zhí)行。5.6.3 員工入職時(shí)，由其所在部門的部門經(jīng)理根據(jù)該員工權(quán)限需要填寫(xiě)用戶授權(quán)申請(qǐng)表，向研發(fā)部提出用戶開(kāi)戶申請(qǐng)；離職時(shí)也需填寫(xiě)用戶授權(quán)申請(qǐng)表通知研發(fā)部辦理銷戶。5.6.4 新域用戶名為用戶姓名的拼音（有重名時(shí)另設(shè)），初始缺省密碼為XXXXX。用戶在第一次登錄系統(tǒng)時(shí)應(yīng)變更密碼，密碼需要設(shè)置在6位以上（英文字母、數(shù)字或符

33、號(hào)組合的優(yōu)質(zhì)密碼）并注意保密。5.6.5 各人使用自己的賬戶登錄，未經(jīng)許可不得以他人用戶名登錄。若用戶遺忘密碼，應(yīng)及時(shí)向研發(fā)部申請(qǐng)新密碼后登錄。5.6.6 不得使用計(jì)算機(jī)設(shè)備處理正常工作以外的事務(wù)。5.6.7 計(jì)算機(jī)的軟硬件設(shè)置管理由研發(fā)部進(jìn)行，未經(jīng)許可，任何人不得更換計(jì)算機(jī)硬件和軟件。5.6.8 研發(fā)部負(fù)責(zé)初始軟件的安裝，公司嚴(yán)禁個(gè)人私自安裝和更改任何軟件。計(jì)算機(jī)用戶的軟件安裝與升級(jí)按照更改控制程序執(zhí)行。拒絕使用來(lái)歷不明的軟件和光盤。5.6.9 嚴(yán)禁亂拉接電源，以防造成短路或失火。5.6.10 計(jì)算機(jī)桌面要保持清潔，不得將秘密和（或）受控文件直接放置在桌面；計(jì)算機(jī)桌面必須設(shè)置屏幕保護(hù)，恢復(fù)時(shí)

34、需用密碼確認(rèn)（執(zhí)行密碼口令管理規(guī)定）。鎖屏?xí)r間可根據(jù)自己工作習(xí)慣設(shè)置鎖屏?xí)r間，但最高不得高于5分鐘。各部門負(fù)責(zé)人進(jìn)行監(jiān)督。5.7網(wǎng)絡(luò)安全使用的要求5.7.1 對(duì)于網(wǎng)絡(luò)連接供應(yīng)商，充分考慮其口碑和現(xiàn)有安全防范措施，在簽署保密協(xié)議的基礎(chǔ)上加以篩選。5.7.2 對(duì)內(nèi)設(shè)置必要的路由器防火墻，采用HTTP、FTP的連接方式，捆綁固定IP地址防止權(quán)限濫用。6 信息處理設(shè)施的日常點(diǎn)檢 6.1 計(jì)算機(jī)的日常點(diǎn)檢日常點(diǎn)檢的目的是確認(rèn)系統(tǒng)硬件是否運(yùn)行良好，有無(wú)硬件及程序上的報(bào)警，備份是否正常進(jìn)行等。點(diǎn)檢的流程、責(zé)任、項(xiàng)目、點(diǎn)檢周期和記錄表詳由相應(yīng)部門制定。如出現(xiàn)在檢查期人員外出等不在崗情況，需要在返回工作崗位時(shí)，

35、立即補(bǔ)充完善。6.2 網(wǎng)絡(luò)設(shè)備的管理與維護(hù)點(diǎn)檢的流程、責(zé)任、項(xiàng)目、點(diǎn)檢周期和記錄表由XX部負(fù)責(zé)，特別的，在點(diǎn)檢中應(yīng)包括對(duì)MAIL的點(diǎn)檢。6.3 點(diǎn)檢策略6.3.1 所有存在于計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備上的服務(wù)、入侵檢測(cè)系統(tǒng)、防火墻和其他網(wǎng)絡(luò)邊界訪問(wèn)控制系統(tǒng)的系統(tǒng)審核、賬號(hào)審核和應(yīng)用審核日志必須打開(kāi)，如果有警報(bào)和警示功能必須打開(kāi)。6.3.2審核日志必須保存一定的期限，任何個(gè)人和部門不得以任何理由刪除保存期之內(nèi)的日志。6.3.3審核日志必須由該系統(tǒng)管理員定期檢查，特權(quán)使用、非授權(quán)訪問(wèn)的試圖、系統(tǒng)故障和異常等內(nèi)容應(yīng)該得到評(píng)審，以查找違背信息安全的征兆和事實(shí)。6.3.4 入侵檢測(cè)系統(tǒng)必須處于啟動(dòng)狀態(tài)，日志保存一

36、定的期限，定期評(píng)審異?，F(xiàn)象，對(duì)所有可疑或經(jīng)確認(rèn)的入侵行為和入侵企圖需及時(shí)匯報(bào)并采取相應(yīng)的措施。6.3.5 日志的配置最低要求設(shè)備類型日志內(nèi)容保存周期檢查周期服務(wù)系統(tǒng)對(duì)外提供服務(wù)的a)用戶標(biāo)識(shí)符(ID)；b)登錄和注銷事件；c)若可能，終端位置；d)成功的失敗的登錄試圖。6個(gè)月2周直接用于設(shè)計(jì)、存儲(chǔ)、檢測(cè)的控制、管理和查詢系統(tǒng)12個(gè)月2周全公司辦公系統(tǒng)6個(gè)月5周部門內(nèi)部服務(wù)器6個(gè)月5周其他服務(wù)器6個(gè)月5周防火墻和路由器系統(tǒng)配置更改日志1個(gè)月5周訪問(wèn)日志(方向、流量)1個(gè)月5周VPN網(wǎng)關(guān)a)用戶標(biāo)識(shí)符(ID)；b)登錄和注銷事件；c)終端位置；d)成功的失敗的登錄試圖。1周1周入侵檢測(cè)系統(tǒng)異常網(wǎng)絡(luò)

37、連接的時(shí)間、IP、入侵類型3個(gè)月5周遠(yuǎn)程訪問(wèn)系統(tǒng)a)用戶標(biāo)識(shí)符(ID)；b)登錄和注銷事件；c)終端位置；d)成功的失敗的登錄試圖。3個(gè)月5周6.3.6 XX部網(wǎng)絡(luò)管理員根據(jù)系統(tǒng)的安全要求確認(rèn)其日志內(nèi)容、保存周期、檢查周期，其最低要求不得低于上表的要求。如果因?yàn)槿罩鞠到y(tǒng)本身原因不能滿足上表的最低要求，需要降低標(biāo)準(zhǔn)的，必須得到XX部主管或管理者代表的批準(zhǔn)和備案。6.3.7 XX部網(wǎng)絡(luò)管理員配置日志系統(tǒng)，并定期檢查日志內(nèi)容，評(píng)審安全情況。評(píng)審的內(nèi)容包括：授權(quán)訪問(wèn)、特權(quán)操作、非授權(quán)的訪問(wèn)試圖、系統(tǒng)故障與異常等情況，評(píng)審結(jié)束應(yīng)形成日志檢查記錄。6.4 資料的保存 6.4.1 設(shè)備的技術(shù)資料由設(shè)備所在的

38、部門交由行政部保存并建立受控文件和資料發(fā)放清單，以備日后查閱。 6.4.2 設(shè)備廠商對(duì)設(shè)備進(jìn)行維修后提供的維修（維護(hù)）記錄單，由XX部保存，以備日后查詢。 6.5 網(wǎng)絡(luò)掃描工具的安全使用管理 6.5.1 對(duì)網(wǎng)絡(luò)掃描工具的使用，必須得到管理者代表的授權(quán)，并保存使用的記錄。7 其它要求涉及應(yīng)用系統(tǒng)軟件的開(kāi)發(fā)（包括外包軟件開(kāi)發(fā)）的項(xiàng)目，還需執(zhí)行系統(tǒng)開(kāi)發(fā)與維護(hù)控制程序的相關(guān)要求。8 相關(guān)文件² 系統(tǒng)開(kāi)發(fā)與維護(hù)控制程序² 系統(tǒng)邏輯訪問(wèn)管理制度9 記錄記錄名稱保存部門保存期限用戶授權(quán)申請(qǐng)表3年日志檢查評(píng)審記錄5年變更申請(qǐng)表3年日常點(diǎn)檢記錄表3年文件名稱信息安全人員考察與保密管理程序版

39、次A/0頁(yè)碼文件編號(hào)XX-ISMS-05日 期2017.11.01 3 /31 適用 本規(guī)定適用于本公司的正式員工和借用員工聘用、任職期間及離職的安全考察與保密控制以 及其他相關(guān)人員（合同方、臨時(shí)員工)的安全考察與控制。 2 目的 為防止品質(zhì)不良或不具備一定技能的人員進(jìn)入本公司，或不具備一定資格條件的員工被安排 在關(guān)鍵或重要崗位，降低員工所帶來(lái)人為差錯(cuò)、盜竊、欺詐及濫用設(shè)施的風(fēng)險(xiǎn)，防止人員對(duì)于信息安全保密性、完整性、可用性的影響，特制定本程序。 3 職責(zé)3.1 行政部負(fù)責(zé)員工聘用、任職期間及離職的安全考察管理及保密協(xié)議的簽訂及其他相關(guān)人員（合同方、臨時(shí)員工)的安全考察與控制。3.2 各部門負(fù)責(zé)

40、本部門員工的日常考察管理工作。 4 員工錄用4.1 人員考察策略4.1.1 所有員工在正式錄用（借用)前應(yīng)進(jìn)行以下方面考察：a) 良好的性格特征，如誠(chéng)實(shí)、守信等；b) 應(yīng)聘者學(xué)歷、個(gè)人簡(jiǎn)歷的檢查(完整性和準(zhǔn)確性)；c) 學(xué)術(shù)或?qū)I(yè)資格的確認(rèn)；d) 身份的查驗(yàn)。4.1.2 員工從一般崗位轉(zhuǎn)到信息安全重要崗位，應(yīng)當(dāng)對(duì)其進(jìn)行信用及能力考察。4.1.3 必要時(shí)，對(duì)承包商和臨時(shí)工進(jìn)行同樣的考察。4.2 對(duì)錄用（借用)人員的考察4.2.1 行政部對(duì)擬錄用（借用)人員重點(diǎn)進(jìn)行以下方面考察：a) 根據(jù)應(yīng)聘資料及面試情況初判應(yīng)聘者的職業(yè)素質(zhì)；b) 根據(jù)應(yīng)聘者人事經(jīng)歷的記載，了解是否有重大懲戒及犯罪記錄；c) 通

41、過(guò)與應(yīng)聘者溝通，并了解其應(yīng)聘動(dòng)機(jī)；d) 了解其從事的專業(yè)和具備的技術(shù)水準(zhǔn)，是否符合該崗位的崗位說(shuō)明書(shū)。4.2.2 考察的結(jié)果應(yīng)記入應(yīng)聘申請(qǐng)表。4.2.3 在考察中發(fā)現(xiàn)應(yīng)聘者存在不良傾向的，將不予錄用（借用)。5 離職措施5.1 員工離職涉及秘密管理規(guī)程的保密事項(xiàng)，應(yīng)按要求采取相應(yīng)的保密措施。5.2 部門要加強(qiáng)員工離職時(shí)的涉密資料、口令等的交接工作。5.3 部門在員工離職后要采取相應(yīng)的技術(shù)防范措施（如變更口令、程序等)，必要時(shí)應(yīng)與信 息科技部協(xié)調(diào)。5.4 公司和部門要做好員工離職的教育工作，告知其離職后，不得向第三方泄露其在任職期內(nèi)所獲得的公司的商業(yè)和技術(shù)秘密。 6 離職程序6.1 員工必須在離

42、職日前 3天向本部門部長(zhǎng)提出書(shū)面離職報(bào)告。6.2 部門長(zhǎng)接到員工離職報(bào)告后，填寫(xiě) ISMS-4373員工特別事項(xiàng)處理意見(jiàn)表，簽署意見(jiàn) 后送行政部。6.3 行政部在員工特別事項(xiàng)處理意見(jiàn)表上簽署意見(jiàn)后，報(bào)行政部部部長(zhǎng)、分管副總和總經(jīng)理審批。6.4 員工離職得到批準(zhǔn)，由部門通知離職員工來(lái)人事科辦理離職手續(xù)。離職員工在離職日前 必須把擔(dān)當(dāng)?shù)牟块T工作移交完畢。6.5 辦理離職手續(xù)6.5.1 離職員工到行政部索取 ISMS-4374員工離公司手續(xù)單。6.5.2 離職員工按員工離公司手續(xù)單的內(nèi)容至公司各部門辦理移交手續(xù)，各相關(guān)部門負(fù) 責(zé)按照用戶訪問(wèn)控制程序取消離職員工的訪問(wèn)權(quán)限。6.5.3 離職員工移交完畢

43、后，由行政部將退工通知單和員工的勞動(dòng)手冊(cè)交于 離職者。6.5.4 技術(shù)部門員工離職必須簽訂 ISMS-4375雙邊保密協(xié)定。6.5.5 員工離職后如發(fā)生泄密情況，應(yīng)承擔(dān)由此涉及的法律責(zé)任。 7 相關(guān)/支持性文件7.1用戶訪問(wèn)控制程序7.2秘密管理規(guī)程7.3人事工作審批程序 8 記錄8.1應(yīng)聘申請(qǐng)表8.2崗位調(diào)整審查表8.3員工特別事項(xiàng)處理意見(jiàn)表8.4員工離公司手續(xù)單8.5雙邊保密協(xié)定文件名稱信息安全懲戒管理程序版 次A/0頁(yè)碼文件編號(hào)XX-ISMS-06日 期2017.11.01 8 /81 目的為對(duì)違反信息安全方針、體系文件要求、法律法規(guī)、合同要求的員工實(shí)施公正有效的獎(jiǎng)懲，并作為對(duì)可能在其它

44、情況下有意輕視信息安全程序的員工的威懾，強(qiáng)化全體員工的信息安全意識(shí)，有效防止信息安全事故的發(fā)生，特制定本規(guī)定。2 范圍本程序適用于本公司對(duì)違反信息安全方針、體系文件要求、法律法規(guī)、合同要求的員工的獎(jiǎng)懲及對(duì)信息安全做出貢獻(xiàn)員工的獎(jiǎng)勵(lì)。3 定義無(wú)4 職責(zé)4.1 各部門經(jīng)理負(fù)責(zé)自己區(qū)域內(nèi)的獎(jiǎng)懲。4.2 管理者代表負(fù)責(zé)對(duì)IT方面信息安全事故的獎(jiǎng)懲管理。4.3 信息安全管理委員會(huì)負(fù)責(zé)決定重大信息安全和事故的處罰。4.4 系統(tǒng)管理員負(fù)責(zé)本公司內(nèi)部泄密或信息泄漏的調(diào)查。5 程序5.1 計(jì)算機(jī)信息系統(tǒng)的安保5.1.1在計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作中成績(jī)顯著的單位和個(gè)人，由人事部給予表彰、獎(jiǎng)勵(lì)。5.1.2 存在計(jì)

45、算機(jī)信息系統(tǒng)安全隱患，由人事部發(fā)出整改通知，限期整改。因不及時(shí)整改而發(fā)生重大事故和案件的，由市行對(duì)該單位的主管負(fù)責(zé)人和直接負(fù)責(zé)人予以行政處分；構(gòu)成違反治安管理或者違反計(jì)算機(jī)管理監(jiān)察行為的，由公安機(jī)關(guān)依法予以處罰；構(gòu)成犯罪的，由司法機(jī)關(guān)依法追究刑事責(zé)任。注：以上條款由本公司信息安全委員會(huì)負(fù)責(zé)解釋。5.2 計(jì)算機(jī)應(yīng)用與管理違規(guī)行為處罰規(guī)定5.2.1 計(jì)算機(jī)應(yīng)用、維護(hù)及操作人員違反規(guī)定的，給予經(jīng)濟(jì)處罰或者警告至降級(jí)處分；造成嚴(yán)重后果的，給予撤職至開(kāi)除處分。5.2.2 違反規(guī)定，擅自編制、使用、修改業(yè)務(wù)應(yīng)用程序、調(diào)整系統(tǒng)參數(shù)和業(yè)務(wù)數(shù)據(jù)的，給予主管人員和其他責(zé)任人員記過(guò)至撤職處分；造成嚴(yán)重后果的，給予主

46、管人員和其他責(zé)任人員留用察看至開(kāi)除處分。5.2.3 利用計(jì)算機(jī)進(jìn)行違法違規(guī)活動(dòng)或者為違法違規(guī)活動(dòng)提供條件的，給予主管人員和其他責(zé)任人員記過(guò)撤職處分；造成嚴(yán)重后果的，給予留用至開(kāi)除處分。5.2.4 違反規(guī)定，有下列危害網(wǎng)絡(luò)安全公司為之一的，給予有關(guān)責(zé)任人員經(jīng)濟(jì)處罰或者警告至記過(guò)處分；造成嚴(yán)重后果的，給予記大過(guò)至開(kāi)除處分：（a）在生產(chǎn)經(jīng)營(yíng)用機(jī)上使用與業(yè)務(wù)無(wú)關(guān)的軟件或者利用通訊手段非法侵入其他系統(tǒng)和網(wǎng)絡(luò)的（含從的一個(gè)業(yè)務(wù)系統(tǒng)進(jìn)入另一個(gè)業(yè)務(wù)系統(tǒng)，從以外的系統(tǒng)和設(shè)備侵入業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)，以及從的業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)進(jìn)入以外的網(wǎng)絡(luò)系統(tǒng)）；（b）未經(jīng)審批，私自使用內(nèi)部網(wǎng)絡(luò)上的計(jì)算機(jī)撥號(hào)上國(guó)際互聯(lián)網(wǎng)的；（c）將非計(jì)算機(jī)設(shè)

47、備接入網(wǎng)絡(luò)系統(tǒng)的；（d）私自卸載或屏蔽計(jì)算機(jī)安全軟件的；（e）私自修改計(jì)算機(jī)操作系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)安全設(shè)置的；（f）未經(jīng)審批，私自在網(wǎng)絡(luò)系統(tǒng)內(nèi)開(kāi)設(shè)游戲網(wǎng)站、論壇、聊天室等與工作無(wú)關(guān)的網(wǎng)絡(luò)服務(wù)的；（g）利用郵件系統(tǒng)傳播損害形象的郵件的。5.2.5利用的計(jì)算機(jī)設(shè)備和網(wǎng)絡(luò)系統(tǒng)制造、傳播計(jì)算機(jī)病毒，給予主管人員和其他責(zé)任人員記過(guò)至記大過(guò)處分；造成嚴(yán)重后果的，給予主管人員和其他責(zé)任人員降級(jí)至開(kāi)除處分。5.2.6 計(jì)算機(jī)房值班人員擅自離崗的，給予經(jīng)濟(jì)處罰或者警告處分；造成嚴(yán)重后果的，給予記過(guò)至開(kāi)除處分。5.2.7 系統(tǒng)管理和操作人員離開(kāi)主機(jī)或者終端時(shí)沒(méi)有按操作規(guī)程退出系統(tǒng)的，給予經(jīng)濟(jì)處罰或者警告至記過(guò)處分；造

48、成嚴(yán)重后果的，給予記大過(guò)至開(kāi)除處分。5.2.8 違反規(guī)定將屬于的計(jì)算機(jī)軟件、文檔、資料、客戶信息等據(jù)為己有、復(fù)制或者借給外單位的，給予有關(guān)責(zé)任人員記過(guò)至撤職處分；造成嚴(yán)重后果的，給予留用察看至開(kāi)除處分。5.2.9 未按規(guī)定進(jìn)行數(shù)據(jù)備份、沒(méi)有妥善保管備份數(shù)據(jù)或備分?jǐn)?shù)據(jù)無(wú)效的，給予主管人員和其他責(zé)任人員經(jīng)濟(jì)處罰或者警告至記過(guò)處分；造成嚴(yán)重后果的，給予記大過(guò)至開(kāi)除處分。5.2.10 在對(duì)面向客戶的業(yè)務(wù)應(yīng)用系統(tǒng)管理中，從事后臺(tái)維護(hù)的技術(shù)人員，違反規(guī)定同時(shí)進(jìn)行前臺(tái)技術(shù)維護(hù)的，給予主管人員和其他責(zé)任人員記過(guò)至記大過(guò)處分；造成嚴(yán)重后果的，給予降級(jí)至開(kāi)除處分。5.2.11在業(yè)務(wù)應(yīng)用系統(tǒng)有關(guān)的各項(xiàng)業(yè)務(wù)操作過(guò)程中

49、，技術(shù)人員代替業(yè)務(wù)人員操作，或業(yè)務(wù)員允許技術(shù)人員代替從事業(yè)務(wù)操作，給予主管人員和其他責(zé)任人員記過(guò)至開(kāi)除處分。5.2.12偽造信息的，給予主管人員和其他責(zé)任人員警告至降級(jí)處分；造成嚴(yán)重后果的，給予撤職至開(kāi)除處分。5.3 計(jì)算機(jī)信息類違規(guī)處罰5.3.1本公司職工違規(guī)操作，給系統(tǒng)造成一定的影響，但沒(méi)有影響業(yè)務(wù)正常運(yùn)行或?qū)I(yè)務(wù)造成輕微危害者，給當(dāng)事人警告或嚴(yán)重警告、情節(jié)較重或嚴(yán)重者，視情節(jié)輕重給予當(dāng)事人和主管領(lǐng)導(dǎo)200元以上1000元以下罰款。5.3.2本公司職工違規(guī)操作導(dǎo)致系統(tǒng)發(fā)生問(wèn)題，影響業(yè)務(wù)長(zhǎng)時(shí)間正常運(yùn)行，視情況給予處罰，情節(jié)嚴(yán)重者，開(kāi)除。5.3.3系統(tǒng)管理員凡是不按要求管理，出現(xiàn)公網(wǎng)和內(nèi)網(wǎng)混網(wǎng)

50、現(xiàn)象，或其它安全問(wèn)題，一經(jīng)發(fā)現(xiàn)，除全公司通報(bào)批評(píng)外，處以200元罰款，情節(jié)嚴(yán)重者，調(diào)離系統(tǒng)員崗位。5.3.4所有計(jì)算機(jī)使用用戶，違規(guī)私自修改網(wǎng)絡(luò)地址進(jìn)入不該進(jìn)入的業(yè)務(wù)網(wǎng)段、或使用內(nèi)網(wǎng)主機(jī)進(jìn)入internet網(wǎng)絡(luò)者，若對(duì)系統(tǒng)和業(yè)務(wù)未造成影響，除全公司通報(bào)批評(píng)外，處以當(dāng)事人和相關(guān)責(zé)任人200元罰款，若對(duì)系統(tǒng)或業(yè)務(wù)造成影響著，視情節(jié)輕重，處以500以上10000元以下罰款。5.3.5凡是利用非法手段竊取系統(tǒng)密鑰，進(jìn)入本公司業(yè)務(wù)系統(tǒng)，盜取客戶資料，向外界提供客戶資料并造成客戶損失或進(jìn)入系統(tǒng)作案者，一經(jīng)發(fā)現(xiàn)，立即開(kāi)除，情節(jié)嚴(yán)重者，送交司法機(jī)關(guān)處置。5.4 獎(jiǎng)懲記錄5.4.1 系統(tǒng)管理員根據(jù)本公司獎(jiǎng)懲管理

51、規(guī)定，對(duì)獎(jiǎng)懲的實(shí)施進(jìn)行記錄并形成獎(jiǎng)懲記錄單記錄完畢后由系統(tǒng)管理員進(jìn)行留存。5.5 證據(jù)的收集5.5.1 當(dāng)信息安全事件涉及到訴訟（民事的或刑事的），需要進(jìn)一步對(duì)個(gè)人或組織進(jìn)行起訴時(shí)，應(yīng)收集、保留和呈遞證據(jù)，以使證據(jù)符合相關(guān)訴訟管轄權(quán)。5.5.2 證據(jù)在收集時(shí)不得侵犯?jìng)€(gè)人權(quán)益，應(yīng)在不侵犯?jìng)€(gè)人權(quán)益時(shí)對(duì)證據(jù)進(jìn)行收拾并且證實(shí)證據(jù)是否可在法庭上使用。5.5.3 應(yīng)保證證據(jù)的質(zhì)量和完備性，防止未被授權(quán)的篡改和泄漏。5.5.4 證據(jù)獲得的保證：本公司應(yīng)確保收集證據(jù)其信息系統(tǒng)符合任何公布的標(biāo)準(zhǔn)或?qū)嵱靡?guī)則來(lái)產(chǎn)生被容許的證據(jù)。5.6 證據(jù)的保存及提供5.6.1 提供證據(jù)的份量應(yīng)符合任何適用的要求。對(duì)該證據(jù)的存儲(chǔ)和

52、處理的整個(gè)時(shí)期內(nèi)，應(yīng)進(jìn)行過(guò)程控制保證證據(jù)的質(zhì)量和完備性。5.6.2 紙面文檔證據(jù)的提供：原物應(yīng)被安全保存且?guī)в邢铝行畔⒌挠涗洠赫l(shuí)發(fā)現(xiàn)了這個(gè)文檔，文檔是在哪兒被發(fā)現(xiàn)的，文檔是什么時(shí)候被發(fā)現(xiàn)的，誰(shuí)來(lái)證明這個(gè)發(fā)現(xiàn)；任何調(diào)查應(yīng)確保原物沒(méi)有被篡改；5.6.3 對(duì)計(jì)算機(jī)介質(zhì)上的信息：任何可移動(dòng)介質(zhì)的鏡像或拷貝（依賴于適用的要求）、硬盤或內(nèi)存中的信息都應(yīng)確保其可用性；拷貝過(guò)程中所有的行為日志都應(yīng)保存下來(lái)，且應(yīng)有證據(jù)證明該過(guò)程；原始的介質(zhì)和日志（如果這一點(diǎn)不可能的話，那么至少有一個(gè)鏡像或拷貝）應(yīng)安全保存且不能改變5.6.4 任何法律取證工作應(yīng)僅在證據(jù)材料的拷貝上進(jìn)行。所有證據(jù)材料的完整性應(yīng)得到保護(hù)。證據(jù)材料的

53、拷貝必須在可信耐人員的監(jiān)督下進(jìn)行，什么時(shí)候在什么地方執(zhí)行的拷貝過(guò)程，誰(shuí)執(zhí)行的拷貝活動(dòng)，以及使用了哪種工具和程序，這些信息都應(yīng)記錄作為日志。6 記錄獎(jiǎng)懲記錄單文件名稱信息安全適用性聲明版 次A/0頁(yè)碼文件編號(hào)XX-ISMS-07日 期2017.11.01 14 /141. 目的根據(jù)ISO/IEC27001:2013標(biāo)準(zhǔn)和公司實(shí)際管理需要，確定標(biāo)準(zhǔn)各條款對(duì)公司的適用性，特編制本程序。2. 范圍適用于對(duì)ISO/IEC27001:2013標(biāo)準(zhǔn)于本公司的適用性管理。3. 職責(zé)與權(quán)限3.1最高管理者負(fù)責(zé)信息安全適用性聲明的審批。3.2綜合部負(fù)責(zé)信息安全適用性聲明的編制及修訂。4. 相關(guān)文件a) 信息安全管

54、理手冊(cè)5. 術(shù)語(yǔ)定義無(wú) 6. 適用性聲明信息安全適用性聲明SOAA.5信息安全方針標(biāo)準(zhǔn)條款號(hào)標(biāo) 題目標(biāo)/控制是否選擇選 擇 理 由相 關(guān) 文 件A.5.1信息安全管理指引目標(biāo)YES提供符合有關(guān)法律法規(guī)和業(yè)務(wù)需求的信息安全管理指引和支持。A.5.1.1信息安全方針控制YES信息安全方針應(yīng)由管理才批準(zhǔn)發(fā)布。信息安全管理手冊(cè)A.5.1.2信息安全方針的評(píng)審控制YES確保方針持續(xù)的適應(yīng)性。管理評(píng)審控制程序A.6信息安全組織標(biāo)準(zhǔn)條款號(hào)標(biāo) 題目標(biāo)/控制是否選擇選 擇 理 由相 關(guān) 文 件A.6.1信息安全組織目標(biāo)YES管理組織內(nèi)部信息安全。A.6.1.1信息安全的角色和職責(zé)控制YES保持特定資產(chǎn)和完成特定安全過(guò)程