(手冊+程序文件+作業(yè)規(guī)范)文件編號文件名稱事故事件薄弱點與故障管理程序企業(yè)商業(yè)技術(shù)秘密管理程序信息安全人員考察與保密管理程序信息安全懲戒管理程序信息安全適用性聲明信息安全風險評估管理程序內(nèi)審管理程序惡意軟件控制程序更改控制程序物理訪問管理程序用戶訪問控制程序管理評審控制程序系統(tǒng)開發(fā)與維護控制程序系統(tǒng)訪問與使用監(jiān)控管理程序計算機賬戶及密碼管理程序文件和資料管理程序重要信息備份管理程序預(yù)防措施程序文件編號文件名稱防火墻安全管理規(guī)定介質(zhì)銷毀管理規(guī)定信息機房管理制度信息中心安全事件報告和處置管理制度信息中心密碼管理制度信息系統(tǒng)訪問權(quán)限說明檔案鑒定銷毀工作規(guī)定移動介質(zhì)使用管理規(guī)定復印室管理制度重要文件加密解密管理制度東莞市XXX有限公司文件名稱頁碼文件編號b)服務(wù)器停運4小時以上；b)服務(wù)器停運8小時以上；東莞市XXX有限公司文件名稱頁碼文件編號4.2故障與事故的報告渠道與處理4.2.2故障、事故的響應(yīng) 5相關(guān)/支持性文件6記錄保存期限東莞市XXX有限公司文件名稱頁碼文件編號東莞市XXX有限公司文件名稱頁碼文件編號2相關(guān)文件4工作程序4.1業(yè)務(wù)持續(xù)性管理過程東莞市XXX有限公司文件名稱頁碼文件編號4.2業(yè)務(wù)持續(xù)性和影響的分析東莞市XXX有限公司文件名稱頁碼文件編號第一章總則第七條商業(yè)秘密管理機制。東莞市XXX有限公司文件名稱頁碼文件編號東莞市XXX有限公司文件名稱頁碼文件編號東莞市XXX有限公司文件名稱頁碼文件編號1適用與目的4信息處理設(shè)施的引進和安裝4.1引進依賴東莞市XXX有限公司文件名稱頁碼文件編號4.2進行技術(shù)選型4.3編寫購入規(guī)格書4.4定貨4.5開箱檢查，安裝、調(diào)試，驗收c)驗收東莞市XXX有限公司文件名稱頁碼文件編號5.2計算機設(shè)備維護5.3計算機調(diào)配與報廢管理東莞市XXX有限公司文件名稱頁碼文件編號5.4報廢處理5.5筆記本電腦安全管理5.6計算機安全使用的要求東莞市XXX有限公司文件名稱頁碼文件編號5.7網(wǎng)絡(luò)安全使用的要求6信息處理設(shè)施的日常點檢6.1計算機的日常點檢6.2網(wǎng)絡(luò)設(shè)備的管理與維護6.3點檢策略設(shè)備類型日志內(nèi)容保存周期檢查周期對外提供服務(wù)的a)用戶標識符(ID);b)登錄和注銷事件；c)若可能，終端位置；≥6個月≤2周直接用于設(shè)計、存儲、≥12個月≤2周≥6個月≤5周東莞市XXX有限公司文件名稱頁碼文件編號部門內(nèi)部服務(wù)器≥6個月≤5周≥6個月≤5周防火墻和系統(tǒng)配置更改日志≥1個月≤5周訪問日志(方向、流量)≥1個月≤5周a)用戶標識符(ID):c)終端位置：≥1周≤1周入侵檢測系統(tǒng)≥3個月≤5周遠程訪問系統(tǒng)a)用戶標識符(ID):c)終端位置；≥3個月≤5周6.4資料的保存6.5網(wǎng)絡(luò)掃描工具的安全使用管理7其它要求東莞市XXX有限公司文件名稱頁碼文件編號8相關(guān)文件保存部門3年5年3年3年東莞市XXX有限公司文件名稱頁碼文件編號3職責4.2對錄用(借用)人員的考察東莞市XXX有限公司文件名稱頁碼文件編號與信息科技部協(xié)調(diào)。意見后送行政部。東莞市XXX有限公司文件名稱頁碼文件編號8記錄東莞市XXX有限公司文件名稱頁碼文件編號無東莞市XXX有限公司文件名稱頁碼文件編號5.1計算機信息系統(tǒng)的安保5.1.2存在計算機信息系統(tǒng)安全隱患，由人事部發(fā)出整改通知，限期整改。因不及時整改而東莞市XXX有限公司文件名稱頁碼文件編號5.2計算機應(yīng)用與管理違規(guī)行為處罰規(guī)定東莞市XXX有限公司文件名稱頁碼文件編號5.2.9未按規(guī)定進行數(shù)據(jù)備份、沒有妥善保管備份數(shù)據(jù)或備分數(shù)據(jù)無效的，給予主管人員和5.2.10在對面向客戶的業(yè)務(wù)應(yīng)用系統(tǒng)管理中，從事后臺維護的技術(shù)人員，違反規(guī)定同時進5.2.11在業(yè)務(wù)應(yīng)用系統(tǒng)有關(guān)的各項業(yè)務(wù)操作過程中，技術(shù)東莞市XXX有限公司文件名稱頁碼文件編號5.3計算機信息類違規(guī)處罰管領(lǐng)導200元以上1000元以下罰款。東莞市XXX有限公司文件名稱頁碼文件編號5.4獎懲記錄5.4.1系統(tǒng)管理員根據(jù)本公司獎懲管理規(guī)定，對獎懲的實施進行記錄并形成《獎懲記錄單》東莞市XXX有限公司文件名稱頁碼文件編號5.5證據(jù)的收集東莞市XXX有限公司文件名稱頁碼文件編號5.6證據(jù)的保存及提供5.6.1提供證據(jù)的份量應(yīng)符合任何適用的要求。對該證據(jù)的存儲和處理的整個時期內(nèi)，應(yīng)進5.6.3對計算機介質(zhì)上的信息：任何可移動介質(zhì)的鏡像或拷貝(依賴于適用的要求)、硬盤證明該過程；原始的介質(zhì)和日志(如果這一點不可能的話，那么至少有一個鏡像或拷貝)應(yīng)5.6.4任何法律取證工作應(yīng)僅在證據(jù)材料的拷貝上進行。所有證據(jù)材料的完整性應(yīng)得到保東莞市XXX有限公司文件名稱頁碼文件編號2.范圍3.1最高管理者無東莞市XXX有限公司文件名稱頁碼文件編號信息安全適用性聲明S0A條款號目標/控制是否指引目標控制批準發(fā)布。的評審控制確保方針持續(xù)的適應(yīng)性。條款號目標/控制是否目標和職責控制保持特定資產(chǎn)和完成特定安全過程的所有信息安全職責分離控制范圍，以減少對組織資產(chǎn)未經(jīng)授權(quán)訪問、無意修改或誤用的機會。與監(jiān)管機構(gòu)的聯(lián)系控制與相關(guān)監(jiān)管機構(gòu)保持適當與特殊利益團體的聯(lián)系控制項目管理中的信息安全控制實施任何項目時應(yīng)考慮信辦公目標控制全措施管控使用移動設(shè)備遠程辦公控制系統(tǒng)的情況，需要進行安全控制。東莞市XXX有限公司文件名稱頁碼文件編號條款號目標控制是否目標控制件控制履行信息安全保密協(xié)議是雇傭人員的一個基本條件。聘用期間目標管理職責控制缺乏管理職責，會使人員意識淡薄，從而對組織造成負面安全影響。信息安全意識、教育和培訓控制信息安全意識及必要的信息系統(tǒng)操作技能培訓是信息安全管理工作的前提。懲戒過程控制該有一個正式的懲戒過程?；繕丝刂苿?wù)在任用終止或變更后仍傳達并執(zhí)行?！断嚓P(guān)方服務(wù)管理程條款號目標/控制是否資產(chǎn)責任目標對我司資產(chǎn)(包括顧客要求保密的數(shù)據(jù)、軟件及產(chǎn)品)資產(chǎn)清單控制建立重要資產(chǎn)清單并實施資產(chǎn)責任人控制有者”資產(chǎn)的合理使用控制識別與信息系統(tǒng)或服務(wù)相關(guān)的資產(chǎn)的合理使用規(guī)則，并將其文件化，并子以實東莞市XXX有限公司文件名稱頁碼文件編號條款號目標/控制是否資產(chǎn)的歸還控制在勞動合同或協(xié)議終止后，所有員工和外部方人員應(yīng)退還所有他們持有的組織目標我司根據(jù)信息的敏感性對信息進行分類，明確保護要分類指南控制我司的信息安全涉及信息的敏感性，適當?shù)姆诸惪刂剖潜匾摹Ｐ畔俗R控制定信息處理的安全的要求。資產(chǎn)處理控制類方法制定和實施資產(chǎn)處理程序目標防止存儲在介質(zhì)上的信息被非授權(quán)泄露、修改、刪除控制我司存在含有敏感信息的告等可移動介質(zhì)?？刂飘斀橘|(zhì)不再需要時，對含有敏感信息介質(zhì)采用安全的控制護，防止未經(jīng)投權(quán)的訪問、濫用或在運輸過程中的損條款號目標/控制是否需求目標限制對信息和信息處理設(shè)施的訪問控制略，并根據(jù)業(yè)務(wù)和安全要求對策略進行評審。務(wù)的訪問控制制定策略，明確用戶訪問網(wǎng)非投權(quán)的網(wǎng)絡(luò)訪問。目標東莞市XXX有限公司文件名稱頁碼文件編號條款號目標/控制是否用戶注冊和注銷控制我司存在多用戶信息系統(tǒng)，應(yīng)建立用戶登記和注銷登供控制有信息系統(tǒng)及服務(wù)的訪問。控制權(quán)不適當?shù)氖褂脮斐上涤脩粽J證信息的控制應(yīng)通過一個正式的管理過用戶訪問權(quán)限的評審控制對用戶訪問權(quán)限進行評審是必要的，以防止非投權(quán)的訪問。撤銷或調(diào)整訪問控制在跟所有員工和承包商刪除或調(diào)整其信息和信息處理設(shè)施的訪問權(quán)限0《人力資源安全管理程《相關(guān)方服務(wù)管理程目標認證信息的使用控制系統(tǒng)和應(yīng)用訪問控制目標防止對系統(tǒng)和應(yīng)用的未授權(quán)訪問信息訪問限制控制我司信息訪問權(quán)限是根據(jù)問功能應(yīng)加以限制。安全登錄程序控制控制為減少非法訪問操作系統(tǒng)的機會，應(yīng)對密碼進行管特權(quán)程序的使用控制全?？刂啤盾浖_發(fā)安全控制程東莞市XXX有限公司文件名稱頁碼文件編號標準條款號標題目標/控制是否問控制行限制。條款號標題目標/控制是否加密控制目標密性、真實性、完整性。使用加密控制的控制 控制司對密碼技術(shù)的使用條款號目標/控制是否安全區(qū)域目標防止對組織信息和信息處理設(shè)施的未經(jīng)授權(quán)物理控制我司有包含重要信息及信息處理設(shè)施的區(qū)域，應(yīng)確定其安全周界對其實施保護。物理進入控制控制安全區(qū)域進入應(yīng)經(jīng)過投權(quán)，未經(jīng)授權(quán)的非法訪問會對辦公室、房間及設(shè)施的安全控制部、房間和設(shè)施應(yīng)有特殊的安全要求。防范外部和環(huán)境控制范火災(zāi)、水災(zāi)、地震，以及其它形式的自然或人為災(zāi)在安全區(qū)域工作控制在安全區(qū)域工作的人員只保證安全區(qū)域安全，《相關(guān)方服務(wù)管理程送貨和裝卸區(qū)控制問到的地點進行控制，防止外來人員直接進入重要安東莞市XXX有限公司文件名稱頁碼文件編號條款號目標/控制是否全區(qū)域是必要的設(shè)備安全目標防止資產(chǎn)的遺失、損壞、偷竊等導致的組織業(yè)務(wù)中設(shè)備安置及保護控制災(zāi)、吸煙、油污、未經(jīng)授權(quán)訪問等威脅?？刂齐娏χ袛嗷蛘咂渌С衷O(shè)施故障而導致的中斷的影線纜安全控制通信電纜、光纜需要進行正常的維護，以防止偵聽和損壞。設(shè)備維護控制設(shè)備保持良好的運行狀態(tài)是保持信息的完整性及可資產(chǎn)轉(zhuǎn)移控制軟件帶到場所外。場外設(shè)備和資產(chǎn)安全控制我司有筆記本移動設(shè)備，離授權(quán)的訪問等危害的發(fā)生。設(shè)備報廢或重用控制對我司儲存有關(guān)敏感信息的設(shè)備，如服務(wù)器、硬盤，對其處置和再利用應(yīng)將其信息清除?？刂谱烂媲蹇占扒迤量刂颇徊呗?，會受到資產(chǎn)丟失、失竊或遭到非法訪問的威標準條款號標題目標/控制是否操作程序及職責目標東莞市XXX有限公司文件名稱頁碼文件編號條款號目標/控制是否序控制控制未加以控制的信息處理設(shè)備和系統(tǒng)更改會造成系統(tǒng)控制為避免因系統(tǒng)容量不足導致系統(tǒng)故障，監(jiān)控容量需求并規(guī)劃將來容量是必須行環(huán)境的分離控制以降低未授權(quán)訪問或?qū)Σ僮飨到y(tǒng)變更的風險防范惡意軟件目標控制在的，應(yīng)實施惡意代碼的監(jiān)測、預(yù)防和恢復控制，以及適當?shù)挠脩粢庾R培訓目標防止數(shù)據(jù)丟失控制份是必須的，以防止信息和軟件的丟失和不可用，日志記錄和監(jiān)控目標事件日志控制立事件日志(審核日志)是日志信息保護控制日志記錄設(shè)施以及日志信息應(yīng)該被保護，防止被算管理員和操作者日志控制時鐘同步控制實施時鐘同步，是生產(chǎn)、經(jīng)營與獲取客觀證據(jù)的需東莞市XXX有限公司文件名稱頁碼文件編號條款號標題目標/控制是否制目標確保運營中系統(tǒng)的完整性?？刂茟?yīng)建立程序?qū)\營中的系統(tǒng)的軟件安裝進行控目標防止技術(shù)漏洞被利用。管理技術(shù)薄弱點控制及時獲得正在使用信息系統(tǒng)的技術(shù)薄弱點的相關(guān)信息，應(yīng)評估對這些薄弱點的暴露程度，并采取適當?shù)姆椒ㄌ幚硐嚓P(guān)風險。限制軟件安裝控制安裝規(guī)則。的考慮因素目標最小化審計活動對系統(tǒng)運營影響。信息系統(tǒng)審核控制控制驗證所涉及的審核要求和活動并獲得許可，以最小化中斷業(yè)務(wù)過程。條款號目標/控制是否網(wǎng)絡(luò)安全管理目標網(wǎng)絡(luò)控制控制序的信息。網(wǎng)絡(luò)服務(wù)安全控制應(yīng)識別所有網(wǎng)絡(luò)服務(wù)的安全機制、服務(wù)等級和管務(wù)協(xié)議中，無論這種服務(wù)是由內(nèi)部提供的還是外包的。網(wǎng)絡(luò)隔離控制應(yīng)在網(wǎng)絡(luò)中按組隔離信息服務(wù)、用戶和信息系統(tǒng)目標確保信息在組織內(nèi)部或與外部組織之間傳輸?shù)陌踩?。和程序控制?yīng)建立正式的傳輸策略、東莞市XXX有限公司文件名稱頁碼文件編號條款號目標/控制是否控制間的業(yè)務(wù)信息的安全傳輸協(xié)議。電子消息控制應(yīng)適當保護電子消息的信息?？刂茟?yīng)制定并定期評審組織的信息安全保密協(xié)議或條款號目標/控制是否信息系統(tǒng)安全需求目標部分，包括通過公共網(wǎng)絡(luò)提供服務(wù)的信息系統(tǒng)的要析和規(guī)范控制包括信息安全相關(guān)的要《技術(shù)符合性管理規(guī)公共網(wǎng)絡(luò)應(yīng)用服控制應(yīng)保護流經(jīng)公共網(wǎng)絡(luò)的控制應(yīng)保護應(yīng)用服務(wù)傳輸中的信息，以防止不完整的傳輸、路由錯誤、未授權(quán)的消息修改、未經(jīng)授權(quán)的泄漏、未授權(quán)的信息復制的安全目標確保信息系統(tǒng)開發(fā)生命周期中設(shè)計和實施信息安控制序控制為防止未授權(quán)或不充分的更改，導致系統(tǒng)故障與中斷，需要實施嚴格更改控操作平臺變更后的技術(shù)評審控制應(yīng)用系統(tǒng)會造成嚴重的影軟件包變更限制控制東莞市XXX有限公司文件名稱頁碼文件編號條款號目標/控制是否安全系統(tǒng)工程原則控制用安全系統(tǒng)工程原則，并控制在整個系統(tǒng)開發(fā)生命周期應(yīng)建立并妥善保障開發(fā)環(huán)外包開發(fā)控制系統(tǒng)安全測試控制系統(tǒng)驗收測試控制級及新版本的驗收測試程測試數(shù)據(jù)目標A.14.3,1測試數(shù)據(jù)的保護控制條款號目標/控制是否供應(yīng)商關(guān)系的目標供應(yīng)商關(guān)系的控制為降低供應(yīng)商使用組織的資產(chǎn)相關(guān)的風險，應(yīng)與供協(xié)議。中強調(diào)安全控制與每個供應(yīng)商簽訂的協(xié)議中應(yīng)覆蓋所有相關(guān)的安全要求。如可能涉及對組織的IT基礎(chǔ)設(shè)施組件、信息的訪問、處理、存儲、術(shù)的供應(yīng)鏈控制供應(yīng)商協(xié)議應(yīng)包括信息、應(yīng)鏈的相關(guān)信息安全風目標東莞市XXX有限公司文件名稱頁碼文件編號條款號目標/控制是否供應(yīng)商服務(wù)的監(jiān)督和評審控制組織應(yīng)定期監(jiān)督、評審和審核供應(yīng)商的服務(wù)交付。供應(yīng)商服務(wù)的控制條款號目標控制是否的管理和改進目標職責和程序控制以快速、有效和有序的響報告信息安全控制應(yīng)通過適當?shù)墓芾硗緩奖M報告信息安全弱點控制和服務(wù)的員工和承包商注意并報告系統(tǒng)或服務(wù)中任何已發(fā)現(xiàn)或疑似的信息安評估和決策信息安全事件控制應(yīng)評估信息安全事件，以決定其是否被認定為信息響應(yīng)信息安全控制應(yīng)按照文件化程序響應(yīng)信從信息安全事故中學習控制獲得的知識應(yīng)用來減少未來事故的可能性或影響。收集證據(jù)控制識別、收集、采集和保存標準條款號標題目標/控制是否東莞市XXX有限公司文件名稱頁碼文件編號條款號目標/控制是否目標的連續(xù)性控制管理的安全和連續(xù)性，如在危機或災(zāi)難時。實施信息安全的連續(xù)性控制性水平。估信息安全的控制組織應(yīng)定期驗證已建立并實施的信息安全連續(xù)性控制，以確保其有效并可在災(zāi)害情況下奏效。冗余目標確保信息處理設(shè)施的可用性。的可用性控制夠的冗余以滿足可用性要求。條款號目標/控制是否定的符合性目標律法規(guī)和合同要求控制律、法規(guī)與合同的要求及組織件，并針對組織及每個信知識產(chǎn)權(quán)控制應(yīng)實施適當?shù)某绦颍源_保對知識產(chǎn)權(quán)軟件產(chǎn)品的使用符合相關(guān)的法律、法控制應(yīng)按照法律法規(guī)、合同和業(yè)務(wù)要求，保護記錄免受損壞、破壞、未授權(quán)訪問和東莞市XXX有限公司文件名稱頁碼文件編號條款號目標/控制是否個人信息和隱私的保護控制護應(yīng)滿足相關(guān)法律法規(guī)的控制加密控制的使用應(yīng)遵循相信息安全評審目標立評審控制(如，信息安全控制目標、控制措施、策略、過程和程序)進行獨立評審?？刂乒芾韺討?yīng)定期評審管轄范圍內(nèi)的信息處理過程符合安全策略、標準及其他安審控制織的信息安全策略、標準《技術(shù)符合性管理規(guī)東莞市XXX有限公司文件名稱頁碼文件編號3.0定義(無)東莞市XXX有限公司文件名稱頁碼文件編號職責職責重要資產(chǎn)清單重要資產(chǎn)清單威脅/脆弱性因素表風險評估表風險評估表是否殘余風險清單否是安全措施實施計劃安全措施實施計劃東莞市XXX有限公司文件名稱頁碼文件編號6.0內(nèi)容6.1資產(chǎn)的識別6.1.1各部門每年按照管理者代表的要求負責部門內(nèi)部資產(chǎn)的識別，確定資產(chǎn)價6.1.2資產(chǎn)分類6.1.3資產(chǎn)(A)賦值選擇對資產(chǎn)機密性、完整性和可用性最為重要(分值最高)的一個屬性的1)機密性賦值根據(jù)資產(chǎn)在機密性上的不同要求，將其分為五個不同的等級，分別對應(yīng)資產(chǎn)在機密性上的應(yīng)達成的不同程度或者機密性缺失時對整個組織的影賦值標識定義5極高包含組織最重要的秘密，關(guān)系未來發(fā)展的前途命運，對組織根本利益有著決定性影響，如果泄漏會造成災(zāi)難性的損害4高包含組織的重要秘密，其泄露會使組織的安全和利益遭受嚴重損害3中等包含組織的一般性秘密，其泄露會使組織的安全和利益受到損害2低包含僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息，向外擴散有可能對組織的利益造成損害1可忽略包含可對社會公開的信息，公用的信息處理設(shè)備和系統(tǒng)資源等2)完整性賦值根據(jù)資產(chǎn)在完整性上的不同要求，將其分為五個不同的等級，分別對應(yīng)東莞市XXX有限公司文件名稱頁碼文件編號賦值標識定義5極高完整性價值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會對組織造成重大的或無法接受的影響，對業(yè)務(wù)沖擊重大，并可能造成嚴重的業(yè)務(wù)中斷，難以彌補4高完整性價值較高，未經(jīng)授權(quán)的修改或破壞會對組織造成重大影響，對業(yè)務(wù)沖擊嚴重，比較難以彌補3中等完整性價值中等，未經(jīng)授權(quán)的修改或破壞會對組織造成影響，對業(yè)務(wù)沖擊明顯，但可以彌補2低完整性價值較低，未經(jīng)授權(quán)的修改或破壞會對組織造成輕微影響，可以忍受，對業(yè)務(wù)沖擊輕微，容易彌補1可忽略的影響可以忽略，對業(yè)務(wù)沖擊可以忽略3)可用性賦值根據(jù)資產(chǎn)在可用性上的不同要求，將其分為五個不同的等級，分別對應(yīng)資產(chǎn)在可用性上的達成的不同程度。賦值標識定義5極高可用性價值非常高，合法使用者對信息及信息系統(tǒng)的可用度達到年度99.9%以上4高可用性價值較高，合法使用者對信息及信息系統(tǒng)的可用度達到每天90%以上3中等可用性價值中等，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達到70%以上2低可用性價值較低，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達到25%以上1可忽略可用性價值可以忽略，合法使用者對信息及信息系統(tǒng)的3分以上為重要資產(chǎn)，重要信息資產(chǎn)由信息安全部確立清單6.2威脅識別6.2.1威脅分類對重要資產(chǎn)應(yīng)由ISMS小組識別其面臨的威脅。針對威脅來源，根據(jù)其表東莞市XXX有限公司文件名稱頁碼文件編號6.2.2威脅(T)賦值等級標識定義5很高以證實經(jīng)常發(fā)生過(每天)4高可以證實多次發(fā)生過(每周)3中經(jīng)發(fā)生過(每月、曾經(jīng)發(fā)生過)2低生過(每年)1很低生(特殊情況)6.3脆弱性識別6.3.2脆弱性(V)嚴重程度賦值低。等級數(shù)值越大，脆弱性嚴重程度越高。脆弱性嚴重程度賦值見下表等級標識定義5很高如果被威脅利用，將對資產(chǎn)造成完全損害(90%以上)4高如果被威脅利用，將對資產(chǎn)造成重大損害(70%)3中如果被威脅利用，將對資產(chǎn)造成一般損害(30%)2低如果被威脅利用，將對資產(chǎn)造成較小損害(10%)1很低如果被威脅利用，將對資產(chǎn)造成的損害可以忽略(10%以下)東莞市XXX有限公司文件名稱頁碼文件編號6.4已有安全措施的確認持，以避免不必要的工作和費用，防止安全措施的重復實施。對于確認為不適6.5風險分析小組采用矩陣法確定威脅利用脆弱性導致安全事件發(fā)生的可能性，考慮安全事件一旦發(fā)生其所作用的資產(chǎn)的重要性及脆弱性的嚴重程度判斷安全事件造成的6.5.1安全事件發(fā)生的可能性等級P=(T*V)"6.5.2安全事件發(fā)生后的損失等級L=(A*V)",6.5.3風險值R=(L*P),風險等級風險值風險等級123456.5.4風險管理策略6.5.4.1完全的消除風險是不可能和不實際的。公司需要有效和經(jīng)濟的運6.5.4.2風險值越高，安全事件發(fā)生的可能性就越高，安全事件對該資產(chǎn)以●接受風險：接受潛在的風險并繼續(xù)運行信息系統(tǒng)，不對風險進●降低風險：通過實現(xiàn)安全措施來降低風險，從而將脆弱性被威脅源利用后可能帶來的不利影響最小化(如使用防火墻、漏洞掃描系統(tǒng)等安全產(chǎn)品)。●規(guī)避風險：不介入風險，通過消除風險的原因和/或后果(如放棄系統(tǒng)某項功能或關(guān)閉系統(tǒng))來規(guī)避風險。●轉(zhuǎn)移風險：通過使用其它措施來補償損失，從而轉(zhuǎn)移風險，如東莞市XXX有限公司文件名稱頁碼文件編號6.5.4.3風險等級3(含)以上為不可接受風險，3(不含)以下為可接受風6.7殘余風險的監(jiān)視與處理●業(yè)務(wù)目標和過程；東莞市XXX有限公司文件名稱頁碼文件編號東莞市XXX有限公司文件名稱頁碼文件編號●其他認為必要時?！駥徍酥械淖⒁馐马?。東莞市XXX有限公司文件名稱頁碼文件編號東莞市XXX有限公司文件名稱頁碼文件編號4工作程序東莞市XXX有限公司文件名稱頁碼文件編號東莞市XXX有限公司文件名稱頁碼文件編號5相關(guān)文件東莞市XXX有限公司文件名稱頁碼文件編號第一條為規(guī)范軟件變更與維護管理，提高軟件管理水平，優(yōu)化軟件變更與維護管理流第二條本制度適用于應(yīng)用系統(tǒng)已開發(fā)或采購完畢并正式上線、且由軟件開發(fā)組織移交給應(yīng)用管理組織之后，所發(fā)生的生產(chǎn)應(yīng)用系統(tǒng)(以下簡稱應(yīng)用系統(tǒng))運行支持第二節(jié)變更流程第三條系統(tǒng)變更工作可分為下面三類類型：功能完善維護、系統(tǒng)缺陷修改、統(tǒng)計報表第四條系統(tǒng)變更工作以任務(wù)形式由需求方(一般為業(yè)務(wù)部門)和維護方(一般為信息部門的應(yīng)用維護組織和軟件開發(fā)組織，還包括合作廠商)協(xié)作完成。系統(tǒng)變更第六條需求部門提出系統(tǒng)變更需求，并將變更需求整理成《系統(tǒng)變更申請表》(附件一),由部門負貴人審批后提交給系統(tǒng)管理員。第七條系統(tǒng)管理員負責接受需求并上報給信息部主管。信息部主管分析需求，并提出第八條系統(tǒng)管理員根據(jù)自行開發(fā)、合作開發(fā)和外包開發(fā)的不同要求組織實現(xiàn)系統(tǒng)變更第九條實現(xiàn)過程應(yīng)按照軟件開發(fā)過程規(guī)定進行。系統(tǒng)變更過程應(yīng)遵循軟件開發(fā)過程相東莞市XXX有限公司文件名稱頁碼文件編號東莞市XXX有限公司文件名稱頁碼文件編號東莞市XXX有限公司文件名稱頁碼文件編號附件一系統(tǒng)變更申請表變更請求類型□用戶方變更□開發(fā)方變更口需求增加口需求修改口需求縮減□其它：請說明：申請日期實施人員原需求內(nèi)容描述變更的影響意見：簽字：信息部人員意見：簽字：東莞市XXX有限公司文件名稱頁碼文件編號附件二用戶測試報告1.基本信息測試依據(jù)例如：參照標準、客戶需求、需求規(guī)格說明書、測試用例等測試范圍測試驗收標準提示：可以把測試驅(qū)動程序當作附件測試人員測試時間須注明每次回歸測試的時間測試工具測試用例編號期望結(jié)果測試結(jié)果缺陷密度是否執(zhí)行了回歸測試缺陷名稱缺陷類型嚴重程度原因駐留時間解決方案東莞市XXX有限公司文件名稱頁碼文件編號東莞市XXX有限公司文件名稱頁碼文件編號4.1外來人員分類東莞市XXX有限公司文件名稱頁碼文件編號序號防范措施1特別安全區(qū)1.數(shù)據(jù)存儲機房2.配電房1.專門負責(保安值勤)。2.監(jiān)控錄象裝置。3.進出再登記，專人陪同(特別2普通安全區(qū)1.開發(fā)部辦公室2.管理中心3檔案室1.專人負責。4.巡邏檢查，群防群治。3一般區(qū)域1.大堂2.雜物室東莞市XXX有限公司文件名稱頁碼文件編號訪問時間在一周內(nèi)特別安全區(qū)接待部門負責人同意且主管副總經(jīng)理批準，公司人事部辦理相關(guān)手續(xù)普通安全區(qū)負責人事部辦理相關(guān)手續(xù)一般區(qū)域接待人員事部辦理相關(guān)手續(xù)4.4門禁出入規(guī)定>紅色胸帶：進入公司的外部相關(guān)方人員東莞市XXX有限公司文件名稱頁碼文件編號4.4.1員工門禁管理東莞市XXX有限公司文件名稱頁碼文件編號東莞市XXX有限公司文件名稱頁碼文件編號4.5訪問接待管理辦法東莞市XXX有限公司文件名稱頁碼文件編號●公司級：●部門級：東莞市XXX有限公司文件名稱頁碼文件編號5安全培訓6安全保密規(guī)定6.1拍照東莞市XXX有限公司文件名稱頁碼文件編號6.2安全保密協(xié)議7在安全區(qū)域工作的安全要求記錄名稱保存部門保存期限3年3年3年東莞市XXX有限公司文件名稱頁碼文件編號3相關(guān)文件東莞市XXX有限公司文件名稱頁碼文件編號5.1各系統(tǒng)安全登錄程序(d)限制所允許的不成功登陸嘗試的次數(shù)(推薦3次)并考慮：3)斷開數(shù)據(jù)鏈路鏈接；4)如果達到登錄的最大嘗試次數(shù)，向系統(tǒng)控制臺(或向機房管理員)發(fā)送警報東莞市XXX有限公司文件名稱頁碼文件編號5.2用戶身份標識和鑒別東莞市XXX有限公司文件名稱頁碼文件編號5.3.1在登錄核心系統(tǒng)或外圍系統(tǒng)時，須使用自己的用戶ID及口令，確保身份可核查。5.3.2信息部員工需要登錄核心系統(tǒng)或外圍系統(tǒng)需要提交《系統(tǒng)訪問授權(quán)書》,如果是第一次登陸且沒有用戶ID及密碼則按《口令管理規(guī)定》進行用戶ID的申請，由機房管理員根據(jù)申請?zhí)砑佑脩鬒D及默認密碼并且設(shè)置密碼歷史記錄(推薦記錄3次),用戶在第一次登陸后必須對密碼進行更改，否則由機房管理員強行收回用戶ID。5.3.3口令必須是由數(shù)字、字幕、符號，長度7位組成并且不可以使用例如：生日、姓名、東莞市XXX有限公司文件名稱頁碼文件編號5.4系統(tǒng)實用工具的使用東莞市XXX有限公司文件名稱頁碼文件編號5.5登錄會話限制6相關(guān)文件7相關(guān)記錄保存部門保存期限信息部3年信息部3年信息部3年東莞市XXX有限公司文件名稱頁碼文件編號1目的為確保信息安全管理體系持續(xù)的適宜性、充分性、方針和信息安全管理目標/服務(wù)目標進行定期評審，并保證與法律、法規(guī)、公司其他制度、原則性文件不信息安全體系：IS027001體系2適用范圍3職責與權(quán)限3.1公司高管批準《管理評審報告》3.2管理者代表組織撰寫《管理評審報告》3.3主管體系建設(shè)部門(人事部)負責對評審后的糾正、預(yù)防措施進行跟蹤和驗證3.4各部門東莞市XXX有限公司文件名稱頁碼文件編號4程序和工作流程4.1制定年度管理評審計劃4.1.1年度管理評審計劃4.1.2年度管理評審計劃的內(nèi)容4.1.3管理評審的頻次4.2管理評審的準備東莞市XXX有限公司文件名稱頁碼文件編號⑥參加評審部門(人員);4.2.2資料準備4.3管理評審輸入東莞市XXX有限公司文件名稱頁碼文件編號4.4管理評審會議4.5管理評審輸出4.6管理評審報告東莞市XXX有限公司文件名稱頁碼文件編號6相關(guān)記錄東莞市XXX有限公司文件名稱頁碼文件編號1適用3職責4程序東莞市XXX有限公司文件名稱頁碼文件編號東莞市XXX有限公司文件名稱頁碼文件編號東莞市XXX有限公司文件名稱頁碼文件編號5記錄保存部門10年東莞市XXX有限公司文件名稱頁碼文件編號無東莞市XXX有限公司文件名稱頁碼文件編號5.1監(jiān)控策略東莞市XXX有限公司文件名稱頁碼文件編號5.2日志的配置最低要求東莞市XXX有限公司文件名稱頁碼文件編號5.3.1網(wǎng)絡(luò)管理員根據(jù)系統(tǒng)的安全要求確認日志內(nèi)容、保存周期、檢查周期，其最低要求不得低于5.2的要求。如果因為日志系統(tǒng)本身原因不能滿足5.2的最低要求，需要降低標準的，5.3.2網(wǎng)絡(luò)管理員配置日志系統(tǒng)，并定期檢查日志內(nèi)容，評審安全情況。評審的內(nèi)容包括：東莞市XXX有限公司文件名稱頁碼文件編號3.定義無4.職責5.2.1要求1:宿碼至少有8個字符長5.2.2要求2:密碼必須包含以下每一部分A.字母A-Z或a-zB.數(shù)字0-9C.特殊字符，例如*,$,)等東莞市XXX有限公司文件名稱頁碼文件編號H.例如“asdf“的簡單密碼(在鍵盤上相連的鍵)N.btk(4902)R.mMSkK7(少于8個字符)S.btk$*@btk(沒有數(shù)字)5.3更改(可向計算機室申請)5.3.1至少每90天更改一次密碼。東莞市XXX有限公司文件名稱頁碼文件編號無無東莞市XXX有限公司文件名稱頁碼文件編號4.文件和資料編號/版本規(guī)定頭，規(guī)定由4或5個數(shù)字構(gòu)成編號。東莞市XXX有限公司文件名稱頁碼文件編號4.2版本及修訂號的編制方法采用“英文字母自然排序/數(shù)字自然排序”法。第0次修定(按照數(shù)字自然順序號，依次使用1、2、3……)第A版(按照英文字母自然排序，依次使用B、C、D……)版本及修訂號的標注方法：1、2、3層次文件標注在封面。記錄作為一種特殊形式的文件，沒有標注版本及修訂號的時侯，默認為A/0版；當記錄更新版本及修訂號后，需要在記5.工作程序文件分類作廢標識文件修訂文件5.2文件分類(見下表)更改通知保管借閱文件評審使用編制文件標識文件批準發(fā)布文件名稱1法律法規(guī)國家和地方有關(guān)信息安全等方面的法律法規(guī)東莞市XXX有限公司文件名稱頁碼文件編號2公司文件《信息安全管理手冊》、程序文件，與信息安全有關(guān)的制度及行政文件、管理方案等3標準類文件4合同類文件承包合同、分包合同、物資采購合同、租賃合同、經(jīng)濟技術(shù)責任狀、信息安全協(xié)議等5圖紙類文件各類施工圖紙、設(shè)計變更、工程洽商記錄等6外來文件包括當?shù)卣蛏霞壷鞴懿块T下發(fā)的與信息安全管理體系有關(guān)的文件，還包括業(yè)主、分包商、供應(yīng)商等方面有關(guān)體系方面的往來文件7運行記錄包括信息安全管理體系運行中的各類數(shù)據(jù)記錄8系統(tǒng)文件本公司與信息安全有關(guān)的系統(tǒng)文件包括：a)系統(tǒng)操作手冊；b)關(guān)鍵商業(yè)作業(yè)流程；c)網(wǎng)絡(luò)系統(tǒng)拓撲結(jié)構(gòu)圖；d)訪問授權(quán)說明書及授權(quán)登記表；e)ISMS體系文件；f)監(jiān)視系統(tǒng)網(wǎng)絡(luò)圖；東莞市XXX有限公司文件名稱頁碼文件編號東莞市XXX有限公司文件名稱頁碼文件編號7.記錄記錄名稱保存部門保存期限文控中心2年文控中心3年東莞市XXX有限公司文件名稱頁碼文件編號無5.1備份信息識別東莞市XXX有限公司文件名稱頁碼文件編號5.7信息恢復7記錄記錄名稱保存部門保存期限3年東莞市XXX有限公司文件名稱頁碼文件編號東莞市XXX有限公司文件名稱頁碼文件編號1適用3職責東莞市XXX有限公司文件名稱頁碼文件編號4.2人事部每半年組織相關(guān)部門利用4.1條款所規(guī)定的信息來源，分析確定不符合/潛在不取糾正/預(yù)防措施應(yīng)與潛在問題的影響程度相適應(yīng)，c.可能影響本公司的企業(yè)形象與經(jīng)濟利d.可能造成生產(chǎn)經(jīng)營業(yè)務(wù)中斷。對于各部門日常發(fā)現(xiàn)報告的重大安全隱患(安全薄弱點),人事部應(yīng)組織有關(guān)部門進行4.3需制定糾正/預(yù)防措施時，由人事部組織有關(guān)部門制定糾正/預(yù)防措施對4.4當問題原因不確定或責任重大時，由采取糾正/預(yù)防措施的部門呈報公司信息安全最高責任者，必要時，應(yīng)提交公司信息安全管理委員會進4.5實施糾正/預(yù)防措施的部門應(yīng)認真執(zhí)行，作好執(zhí)行結(jié)果的記錄。4.6人事部對糾正/預(yù)防措施實施結(jié)果進行驗證，驗證內(nèi)容包a.糾正/預(yù)防措施是否按糾正/預(yù)防措施計劃的要求實施；b.是否消除了不符合/潛在不符合的原4.7經(jīng)驗證效果不理想，負責制定糾正/預(yù)防措施的部門應(yīng)重新確定糾正/預(yù)程序4.3要求實施。4.8糾正/預(yù)防措施需要涉及文件更改的，應(yīng)對文件進行評審，按《ISMS文件和資料管5記錄保存部門保存期限3年東莞市XXX有限公司文件名稱頁碼文件編號2適用范圍ScopeVPN(VirtualPrivateNetworking):即虛擬專用網(wǎng)，VPN是用以實現(xiàn)通過4管理細則4.1基本管理原則東莞市XXX有限公司文件名稱頁碼文件編號1)三個區(qū)域(Untrust/Trust/DMZ)間的策略遵循“2)未經(jīng)允許，嚴禁Internet直接訪問公司內(nèi)部(除DMZ區(qū)的機器外)的網(wǎng)絡(luò)。4)不得從公司內(nèi)網(wǎng)直接訪問Internet,允許從DMZ區(qū)域有限制的訪問Internet。6)公司內(nèi)網(wǎng)必須有限制地訪問DMZ區(qū)機器，并且只開放相應(yīng)的端東莞市XXX有限公司文件名稱頁碼文件編號3)數(shù)據(jù)中心(研發(fā)區(qū)、非研發(fā)區(qū)、通用區(qū))不4.4策略申請流程4.5職責東莞市XXX有限公司文件名稱頁碼文件編號6本規(guī)定的維護與解釋東莞市XXX有限公司文件名稱頁碼文件編號東莞市XXX有限公司文件名稱頁碼文件編號3、定義要是硬盤和U盤)4.介質(zhì)分類.5.2涉密存儲介質(zhì)5.2.1維修處理規(guī)范3)若該介質(zhì)已經(jīng)損壞通知用戶或者IT部更換.東莞市XXX有限公司文件名稱頁碼文件編號6.2.二次利用處理規(guī)范東莞市XXX有限公司文件名稱頁碼文件編號機房出入管理規(guī)定第六條任何人員因工作需要進入機房，均需填寫《機房出入登記表》(附件二),登記隨身東莞市XXX有限公司文件名稱頁碼文件編號東莞市XXX有限公司文件名稱頁碼文件編號東莞市XXX有限公司文件名稱頁碼文件編號附則東莞市XXX有限公司文件名稱頁碼文件編號東莞市XXX有限公司文件名稱頁碼文件編號東莞市XXX有限公司文件名稱頁碼文件編號4.2應(yīng)急支援東莞市XXX有限公司文件名稱頁碼文件編號東莞市XXX有限公司文件名稱頁碼文件編號東莞市XXX有限公司文件名稱頁碼文件編號東莞市XXX有限公司文件名稱頁碼文件編號11.本制度自2017年1月1日起執(zhí)行。東莞市XXX有限公司文件名稱頁碼文件編號層)與集市數(shù)據(jù)層(EDM層):東莞市XXX有限公司文件名稱頁碼文件編號七、訪問數(shù)據(jù)的系統(tǒng)要求八、數(shù)據(jù)訪問的基本原則九、訪問數(shù)據(jù)申請流程東莞市XXX有限公司文件名稱頁碼文件編號1目的為貫徹落實國家有關(guān)檔案管理法律法規(guī)，促進*******(以下簡稱：公司)2適用范圍3檔案鑒定銷毀范圍及鑒定原則3.1鑒定銷毀檔案范圍3.1.1保管期限已滿的檔案。3.1.2無保存利用價值的檔案。3.2鑒定檔案的原則3.2.1鑒定檔案本著“充分利用原卷，一般不拆卷重整，保管期限就高不就低”的原則，采取直接鑒定法。逐卷逐件審查卷內(nèi)文件，切忌只看案卷標題3.2.2鑒定中要具體對待保管期限混雜的案卷。永久卷混有與卷內(nèi)文件內(nèi)容聯(lián)系密切的個別長期、短期文件可以不拆卷，但混雜的長期、短期保管的文3.2.3鑒定要考慮檔案的價值，應(yīng)以反映公司只地位、活動范圍以及檔案的產(chǎn)生事件、完整程度、可靠性、有效性和外形特點3.2.4會計檔案鑒定銷毀按照財政部、國家檔案局《會計檔案管理辦法》執(zhí)行。會計檔案鑒定銷毀要根據(jù)特殊性進行鑒定，鑒定銷毀應(yīng)注意以下幾個方東莞市XXX有限公司文件名稱頁碼文件編號東莞市XXX有限公司文件名稱頁碼文件編號負責人的簽字及時間、批準人的簽字及時間(銷毀檔案的批準人為企業(yè)法人代表)、監(jiān)銷人的簽字及銷毀時間等項目。清冊中檔案銷毀登記表(表格：)準確4.4編制銷毀檔案分析報告。檔案鑒定銷毀領(lǐng)導小組根據(jù)待銷毀檔案的鑒定結(jié)果及檔案銷毀清冊，組織編制銷毀檔案分析報告，報告中對需銷毀檔案的4.5審核工作。將檔案銷毀清冊及銷毀檔案分析報告提供給辦公室進行審4.6延期銷毀。為慎重起見，準備銷毀的檔案，在經(jīng)總經(jīng)理批準后，還需要繼續(xù)保存一段時間后銷毀，一般以半年為宜，以避免因檔案潛在作用尚未被4.7銷毀工作?？偨?jīng)理批準銷毀的檔案，由2名工作人員將其銷毀，不能當作其他用途。無論采用什么方法，檔案鑒定銷毀小組必須指定2人以上監(jiān)銷(其中一人為辦公室人員),確已銷毀后，監(jiān)銷人在銷毀清冊上注明“已銷毀”東莞市XXX有限公司文件名稱頁碼文件編號3.1綜合辦3.2各使用人員4工作程序及內(nèi)容4.2可移動存儲介質(zhì)的管理4.3存儲介質(zhì)的處理4.4信息處理程序東莞市XXX有限公司文件名稱頁碼文件編號4.6安全移動存儲介質(zhì)的策略4.7安全移動存儲介質(zhì)的配發(fā)東莞市XXX有限公司文件名稱頁碼文件編號4.8安全移動存儲介質(zhì)的使用東莞市XXX有限公司文件名稱頁碼文件編號東