目錄

一、物理訪問制度ISMS-3001..................................1

1.目的..................................................1

2.范圍..................................................1

3.職責(zé)..................................................1

4.員工外出管理.........................................1

5.來(lái)賓出入管理規(guī)定.....................................1

6.相關(guān)記錄無(wú)...........................................2

二、外部相關(guān)方信息安全管理規(guī)程ISMS-3002...................2

1.目的..................................................2

2.范圍..................................................2

3.職責(zé)..................................................2

4.管理規(guī)定.............................................2

三、與政府相關(guān)資質(zhì)申報(bào)及年審規(guī)定rSMS-3003.................3

1.目的：.................................................3

2.職責(zé)：.................................................3

3.技術(shù)部相關(guān)管理要求：..................................3

4.相關(guān)資質(zhì)申報(bào)年審管理要求.............................3

四、信息系統(tǒng)容量規(guī)劃及驗(yàn)收管理制度ISMS-3004...............4

1.目的..................................................4

2.范圍..................................................4

3.職責(zé)..................................................4

4.內(nèi)容.................................................4

五、信息資產(chǎn)密級(jí)管理規(guī)定ISMS-3005..........................5

1.目的..................................................5

2.范圍..................................................5

3.保密信息定義.........................................5

4.秘密等級(jí)區(qū)分.........................................5

5.信息的分類...........................................5

6.保密文件的標(biāo)識(shí).......................................5

7.傳送..................................................6

8.其它..................................................6

六、信息系統(tǒng)設(shè)備管理規(guī)定ISMS-3006....................................................7

1.目的和范圍...........................................7

2.引用文件.............................................7

3.職責(zé)..................................................7

4.設(shè)備管理流程.........................................7

5.實(shí)施策略.............................................10

6.相關(guān)記錄............................................10

七、機(jī)房管理規(guī)定ISMS-3007.................................................................11

1.目的和范圍..........................................11

2.引用文件............................................11

3.職責(zé)和權(quán)限..........................................11

4.機(jī)房出入制度........................................11

5.機(jī)房環(huán)境管理........................................12

6.機(jī)房設(shè)備管理........................................12

7.相關(guān)記錄............................................13

八、筆記本電腦管理規(guī)定ISMS-3008....................................................13

1.目的.................................................13

2.引用文件.............................................13

3.職責(zé)和權(quán)限..........................................14

4.筆記本電腦使用規(guī)定..................................14

5.安全配置規(guī)定........................................14

6.外部人員使用筆記本的規(guī)定............................15

7.客戶現(xiàn)場(chǎng)管理規(guī)定....................................15

8.實(shí)施策略............................................15

9.相關(guān)記錄.............................................16

九、介質(zhì)管理規(guī)定ISMS-3009.................................................................16

1.目的和范圍..........................................16

2.引用文件............................................16

3.職責(zé)和權(quán)限..........................................16

4.介質(zhì)管理.............................................17

5.實(shí)施策略............................................18

6.相關(guān)記錄............................................19

十、變更管理規(guī)定ISMS-3010.................................19

1.目的.................................................19

2.引用文件.............................................19

3.職責(zé)和權(quán)限..........................................19

4.變更步驟管理........................................20

5.程序................................................20

十一、第三方服務(wù)管理規(guī)定ISMS-3011.........................21

1.目的和范圍..........................................21

2.引用文件............................................22

3.職責(zé)和權(quán)限..........................................22

4.第三方服務(wù)管理規(guī)定..................................22

5.實(shí)施策略............................................23

十二、數(shù)據(jù)備份管理規(guī)定ISMS-3012...........................24

1.目的和范圍..........................................24

2.引用文件............................................24

3.職責(zé)和權(quán)限..........................................24

4.備份管理............................................24

5.備份的驗(yàn)證..........................................25

十三、郵件管理規(guī)定ISMS-3013...............................26

1.目的和范圍..........................................26

2.引用文件............................................26

3.職責(zé)和權(quán)限..........................................26

4.電子郵件的帳戶管理..................................26

5.電子郵件使用規(guī)定....................................26

6.郵件使用規(guī)定........................................27

7.實(shí)施策略............................................28

8.相關(guān)記錄............................................28

6.審核注意事項(xiàng)：.......................................36

十八、基礎(chǔ)設(shè)施及服務(wù)器網(wǎng)絡(luò)管理制度ISMS-3018..............37

1.機(jī)房安全管理程序....................................37

2.重要信息備份管理程序................................39

3.目的................................................41

4.機(jī)房設(shè)備維護(hù)管理制度................................42

十九、信息系統(tǒng)安全應(yīng)急預(yù)案1SMS-3019.......................43

1.電力系統(tǒng)故障的應(yīng)急處理..............................43

2.消防系統(tǒng)應(yīng)急處理....................................44

3.網(wǎng)絡(luò)信息系統(tǒng)故障的應(yīng)急處理.........................44

4.網(wǎng)站與應(yīng)用系統(tǒng)應(yīng)急處理..............................45

5.黑客入侵的應(yīng)急處理..................................45

6.大規(guī)模病毒（含惡意軟件）攻擊的應(yīng)急處理.............46

二十、終端計(jì)算機(jī)使用管理制度ISMS-3020....................47

1.計(jì)算機(jī)使用管理......................................47

2.存儲(chǔ)介質(zhì)的管理......................................49

3.辦公軟件使用管理規(guī)定................................50

二H^一、信息安全管理規(guī)范和操作指南ISMS-3021.............53

1.總則.................................................53

2.物理安全............................................54

3.計(jì)算機(jī)的物理安全管理................................54

4.緊急情況............................................54

5.網(wǎng)絡(luò)系統(tǒng)安全管理....................................54

6.網(wǎng)絡(luò)安全檢測(cè)。......................................55

7.信息系統(tǒng)安全管理....................................55

8.信息系統(tǒng)的內(nèi)部管理..................................56

9.密碼管理............................................57

編號(hào)：

時(shí)間：2021年x月x日書山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第1頁(yè)共64頁(yè)

一、物理訪問制度ISMS-3001

1.目的

為了保障公司辦公區(qū)域資訊信息安全和員工人身及財(cái)物安全，防止公司

財(cái)產(chǎn)流失，特制定本制度。

2.范圍

本制度適用于公司員工外出及外來(lái)人員進(jìn)入公司出入管理。

3.職責(zé)

公司設(shè)立接待人員，負(fù)責(zé)來(lái)訪人員登記管理。

4.員工外出管理

員工因工作需要外此需向相應(yīng)上一級(jí)主管作出事由說明,經(jīng)批準(zhǔn)后方可

外出。

到客戶現(xiàn)場(chǎng)提供服務(wù)或工作的人員，需帶公司胸卡。

5.來(lái)賓出入管理規(guī)定

(1)凡是來(lái)賓訪客(包括外包協(xié)作廠商、客戶及政府等來(lái)訪人員)逃入公

司內(nèi)時(shí)，一律須出示其有效證件，說明來(lái)訪事由，經(jīng)被訪人同意后，方可允

許相關(guān)人員進(jìn)入辦公區(qū)。

(2)團(tuán)體來(lái)賓參觀時(shí)，在得到總經(jīng)理或副總的許可后，須由相關(guān)人員陪同

方可進(jìn)入。

(3)員工親友私事來(lái)訪時(shí)，除特殊緊急事故，經(jīng)其部門主管核準(zhǔn)外，不得

在上班時(shí)間內(nèi)會(huì)客，親友須于會(huì)客區(qū)內(nèi)等候至下班時(shí)會(huì)見。

(4)公司內(nèi)部核心區(qū)域出入管理規(guī)定

1)敏感區(qū)域

公司敏感區(qū)域主要為內(nèi)部機(jī)房和經(jīng)理室.公司安裝監(jiān)控器;實(shí)施辦公區(qū)域

24小時(shí)監(jiān)控.

2)如需進(jìn)入上述敏感區(qū)域，需經(jīng)管理者代表/總經(jīng)理同意，否則不得進(jìn)入。

第1頁(yè)共64頁(yè)

編號(hào)：

時(shí)間：2021年x月x日書山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第2頁(yè)共64頁(yè)

相關(guān)文件物理訪問控制程序

6.相關(guān)記錄無(wú)

二、外部相關(guān)方信息安全管理規(guī)程ISMS-3002

1.目的

為確保被外部相關(guān)方訪問、處理、共享、管理的組織信息及信息處理設(shè)

施的安全，特制定本管理規(guī)定。

2.范圍

本管理規(guī)定適用于公司外部相關(guān)方(包括顧客.供方.第三方)管理。

3.職責(zé)

技術(shù)部系統(tǒng)管理員負(fù)責(zé)制定本規(guī)定并負(fù)責(zé)執(zhí)行。

4.管理規(guī)定

(1)第三方物理訪問須經(jīng)公司被訪問部門的授權(quán),具體執(zhí)行《訪客管理制

度》.

(2)公司與顧客需明確規(guī)定信息安全要求，公司規(guī)定在與客戶簽訂合同中

需規(guī)定必要的安全要求。

(3)服務(wù)器訪問權(quán)需由技術(shù)部統(tǒng)一授權(quán)給用戶，一個(gè)用戶給予惟一賬號(hào)，

口令自行保管.

(4)本公司公網(wǎng)接入服務(wù)提供方等為外包過程,此類外包服務(wù)商應(yīng)由技術(shù)

部組織簽訂服務(wù)協(xié)議/合同,并應(yīng)收集其相關(guān)資質(zhì)，經(jīng)公司評(píng)估成為合格供方

后方可與之進(jìn)行經(jīng)濟(jì)來(lái)往.

(5)采購(gòu)供方或任何其它相關(guān)方人員現(xiàn)場(chǎng)訪問公司現(xiàn)場(chǎng)時(shí)，需由技術(shù)部接

待,需要涉及到公司重要應(yīng)用軟件、重要設(shè)施及重要數(shù)據(jù)的訪問時(shí),必須由技

術(shù)部人員授權(quán)方可使用或查閱,涉及到資料復(fù)制名外借時(shí)，公司重要數(shù)據(jù)和文

件需征得總經(jīng)理同意.

(6)《服務(wù)合同》1年注意更新。

第2頁(yè)共64頁(yè)

編號(hào)：

時(shí)間：2021年x月x日書山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第3頁(yè)共64頁(yè)

三、與政府相關(guān)資質(zhì)申報(bào)及年審規(guī)定ISMS-3003

1.目的：

為公司對(duì)外與政府相關(guān)部門的相關(guān)業(yè)務(wù)聯(lián)系提供指導(dǎo)；

2.職責(zé)：

技術(shù)部負(fù)責(zé)各項(xiàng)政府項(xiàng)目的申報(bào)。

財(cái)務(wù)部負(fù)責(zé)報(bào)稅和營(yíng)業(yè)執(zhí)照年市。

3.技術(shù)部相關(guān)管理要求：

(1)申報(bào)相關(guān)流程；

由技術(shù)部按各政府部門項(xiàng)目申報(bào)的要求下載相關(guān)表格,并按要求組織填

報(bào).

(2)申報(bào)涉及到相關(guān)經(jīng)營(yíng)數(shù)據(jù)的審核

相關(guān)經(jīng)營(yíng)數(shù)據(jù)在上報(bào)給政府部門前，先由核對(duì)數(shù)據(jù)，再交由綜合部，審

核通過后由總經(jīng)理蓋公司公章。

(3)技術(shù)部申報(bào)材料的備份管理

所有上報(bào)給政府部門的文件數(shù)據(jù)都備份一份，由技術(shù)部資質(zhì)人員整理歸

檔保存在辦公室檔案室中，并記錄檔案文件編號(hào)。

(4)材料保密要求

所有檔案文件材料由技術(shù)部專員負(fù)責(zé)看管，其他人員如要查閱，需先向

技術(shù)申請(qǐng)，獲得總經(jīng)理批準(zhǔn)認(rèn)可后，到存放檔案的辦公室中查閱相關(guān)文件，

檔案文件不允許帶出辦公室。

4.相關(guān)資質(zhì)申報(bào)年審管理要求

(1)報(bào)稅管理要求

用政府財(cái)稅處相關(guān)報(bào)稅軟件，在線填寫企業(yè)經(jīng)營(yíng)數(shù)據(jù)，完成后由軟件系

統(tǒng)上報(bào)。

第3頁(yè)共64頁(yè)

編號(hào)：

時(shí)間：2021年x月x日書山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第4頁(yè)共64頁(yè)

(2)營(yíng)業(yè)執(zhí)照管理要求

接到政府相關(guān)部門通知后，持企業(yè)營(yíng)業(yè)執(zhí)照到指定政府辦事處辦理營(yíng)業(yè)

執(zhí)照年審手續(xù)。

四、信息系統(tǒng)容量規(guī)劃及驗(yàn)收管理制度ISMS-3004

1.目的

針對(duì)己確定的服務(wù)級(jí)別目標(biāo)和業(yè)務(wù)需求來(lái)設(shè)計(jì)、維持相應(yīng)的技術(shù)部服務(wù)

能力，從而確保實(shí)際的技術(shù)部服務(wù)能夠滿足服務(wù)要求。

2.范圍

適用于公司所有硬件、軟件、外圍設(shè)備、人力資源容量管理。

3.職責(zé)

技術(shù)部負(fù)責(zé)確定、評(píng)估容量需求。

4.內(nèi)容

(1)容量管理包括：服務(wù)器，重要網(wǎng)絡(luò)設(shè)備：LAN、WAN、防火墻、路由器

等；所有外圍設(shè)備：存儲(chǔ)設(shè)備、打卬機(jī)等；所有軟件：操作系統(tǒng)、網(wǎng)絡(luò)、內(nèi)

部開發(fā)的軟件包和購(gòu)買的軟件包；人力資源：要維持有足夠技能的人員。

(2)對(duì)于每一個(gè)新的和正在進(jìn)行的活動(dòng)來(lái)說，公司管理層應(yīng)識(shí)別容量要求。

(3)公司管理層每年應(yīng)在管理評(píng)審時(shí)評(píng)審系統(tǒng)容量的可用性和效率。公司

管理層應(yīng)特別關(guān)注與訂貨交貨周期或高成本相關(guān)的所有資源，并監(jiān)視關(guān)鍵系

統(tǒng)資源的利用，識(shí)別和避免潛在的瓶頸及對(duì)關(guān)鍵員工的依賴。

(4)技術(shù)部應(yīng)根據(jù)業(yè)務(wù)規(guī)劃、預(yù)測(cè)、趨勢(shì)或業(yè)務(wù)需求，定期預(yù)測(cè)施加于綜

合部系統(tǒng)上的未來(lái)的業(yè)務(wù)負(fù)荷以及組織信息處理能力，以適當(dāng)?shù)某杀竞惋L(fēng)險(xiǎn)

按時(shí)獲得所需的容量，

第4頁(yè)共64頁(yè)

編號(hào)：

時(shí)間：2021年x月x日書山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第5頁(yè)共64頁(yè)

五、信息資產(chǎn)密級(jí)管理規(guī)定ISMS-3005

1.目的

確保公司營(yíng)運(yùn)利益，并防止與公司營(yíng)運(yùn)相關(guān)的保密信息泄漏。

2.范圍

本辦法適用于公司所有員工。

3.保密信息定義

保密信息指與公司營(yíng)運(yùn)相關(guān)且列入機(jī)密等級(jí)管理的相關(guān)信息。

4.秘密等級(jí)區(qū)分

機(jī)密等級(jí)分為秘密、內(nèi)控、公開三類，區(qū)分標(biāo)準(zhǔn)如下：

(1)秘密：凡該信息泄漏后，足以嚴(yán)重?fù)p害本公司利益或有利于競(jìng)爭(zhēng)

對(duì)手的。

(2)內(nèi)控：凡該信息泄漏后，雖不致直接影響本公司利益，但可能使本公

司經(jīng)營(yíng)管理因而造成困擾，需限制其閱讀對(duì)象的。

(3)內(nèi)控：凡該信息泄漏后，雖不致直接影響本公司利益，但可能使本公

司經(jīng)營(yíng)管理因而造成困擾，需限制其閱讀對(duì)象的。

(4)公開：指可對(duì)社會(huì)公開的信息，公用的信息處理設(shè)備和系統(tǒng)資源.

5.信息的分類

(1)信息資產(chǎn)的分類可參見附件”信息分類表”。如未列入分類表的信息

資產(chǎn)，可依照下面的原則進(jìn)行判斷：

(2)秘密，由信息保管單位主管判定，且至少須為部門以上主管。

(3)內(nèi)控，由保密信息保管單位自行判定。

6.保密文件的標(biāo)識(shí)

第5頁(yè)共64頁(yè)

編號(hào)：

時(shí)間：2021年x月x日書山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第6頁(yè)共64頁(yè)

(1)文件類的信息在判定等級(jí)后，加蓋印章于文件及附件各頁(yè)右上角或其

它明顯處。如頁(yè)數(shù)太多，得酌情抽頁(yè)蓋騎縫章。但絕密級(jí)信息應(yīng)予編碼管控。

(2)非文件類的保密信息，包括檔案、電子郵件、投影片等，于判定等級(jí)

后，應(yīng)于資料傳送/顯示前告知使用人或相關(guān)人員該項(xiàng)信息的密級(jí)。

(3)印章由技術(shù)部統(tǒng)一刻制，發(fā)放給各個(gè)部門使用。

7,傳送

(1)內(nèi)部傳送

(2)秘密、內(nèi)控：保密信息保管單位應(yīng)將印刷形式保密信息密封后注明機(jī)

密等級(jí)，再裝入傳涕袋中發(fā)送收件人;軟件形式定稿和完整信息以電子郵件方

式傳遞時(shí)應(yīng)加密；內(nèi)控信息可不加密。

(3)外部傳送：印刷形式保密信息于外部傳送時(shí)應(yīng)以掛號(hào)函件或其它適當(dāng)

方式寄送收件人。任何軟件形式的機(jī)密等級(jí)信息于公司外系統(tǒng)、或于公司外

使用環(huán)境情況下，非經(jīng)加密均不得以電子郵件方式傳遞，以避免遭攔截轉(zhuǎn)送。

(4)其它未判定為任一機(jī)密等級(jí)但仍具有敏感性或半成品性質(zhì)的信息于

傳送前可應(yīng)視情況加密。

8.其它

(D保密信息不得用于公司以外的公開活動(dòng)(如演講、授課、一般資料調(diào)

查、出版發(fā)行等)，如須于前述活動(dòng)使用，應(yīng)準(zhǔn)用第五條的規(guī)定，并經(jīng)管理

者代表核準(zhǔn)。

(2)保密信息應(yīng)由管代/相關(guān)負(fù)責(zé)人妥善保管，并善盡管理保護(hù)職責(zé)。

(3)離職員工應(yīng)繳出其所持歸公司所有的一切資料及其任何形式復(fù)印件、

副本，并確定確實(shí)歸還全部所持公司文件。

(4)新進(jìn)人員于入職當(dāng)天即應(yīng)簽署員工保密合約，在新進(jìn)人員簽署上述文

件時(shí)，綜合部應(yīng)對(duì)合約書上有關(guān)企業(yè)保密信息等有關(guān)條文詳加說明與解釋，

務(wù)必使新進(jìn)人員充分了解并遵守企業(yè)保密信息有關(guān)事項(xiàng)。

(5)保管人員判定保密信息無(wú)繼續(xù)保存的必要時(shí)，可經(jīng)各判定主管的上一

第6頁(yè)共64頁(yè)

編號(hào)：

時(shí)間：2021年x月x日書山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第7頁(yè)共64頁(yè)

級(jí)主管核準(zhǔn)后銷毀。絕密信息、機(jī)密信息無(wú)保存必要時(shí)，應(yīng)將正本連同復(fù)印

的保密信息，由原保管單位統(tǒng)一收回銷毀。

(6)本辦法經(jīng)總經(jīng)理核準(zhǔn)后公告實(shí)施，修訂時(shí)亦同。

六、信息系統(tǒng)設(shè)備管理規(guī)定ISMS-3006

1.目的和范圍

本程序是對(duì)信息資產(chǎn)分類中物理資產(chǎn)下的硬件設(shè)備的規(guī)劃、購(gòu)置、安裝、

驗(yàn)收、使用、維護(hù)、處置等各階段進(jìn)行有效控制，在保證設(shè)備安全的前提下

最大限度發(fā)揮設(shè)備的效能，同時(shí)減少由于設(shè)備入網(wǎng)造成安全安全風(fēng)險(xiǎn)。

2.引用文件

(1)下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是

注日期的引用文件，其隨后所有的修改單(不包括勘誤的內(nèi)容)或修訂版均

不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。

凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。

(2)IS0/IEC27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系要求

(3)1SO/1EC27OO2:2OO5信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則

(4)介質(zhì)管理規(guī)定

(5)筆記本電腦管理規(guī)定

(6)機(jī)房管理規(guī)定

3.職責(zé)

1)技術(shù)部:負(fù)責(zé)信息設(shè)備的規(guī)劃、安裝、驗(yàn)收、使用、維護(hù)、處置。信

息設(shè)備指公司綜合部建設(shè)方面所需的硬件設(shè)備。負(fù)責(zé)重大設(shè)備或新類設(shè)備的

安全評(píng)估、風(fēng)險(xiǎn)分析和安全驗(yàn)收。

4.設(shè)備管理流程

(1)設(shè)備入網(wǎng)

第7頁(yè)共64頁(yè)

編號(hào)：

時(shí)間：2021年x月x日書山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第8頁(yè)共64頁(yè)

1）需按設(shè)備本身提供的“設(shè)備安全操作說明書”進(jìn)行正確操作和使用，

設(shè)備在日常使用過程中應(yīng)注意安全；

2）系統(tǒng)工程師應(yīng)查找有關(guān)的風(fēng)險(xiǎn)評(píng)估報(bào)告，確定準(zhǔn)備入網(wǎng)的設(shè)備是否已

做過風(fēng)險(xiǎn)評(píng)估。

3）如果沒有類似的設(shè)備做過風(fēng)險(xiǎn)分析和處置計(jì)戈IJ,則應(yīng)按風(fēng)險(xiǎn)評(píng)估的要

求，通知信息安全管理小組進(jìn)行。

4）如果做過風(fēng)險(xiǎn)分析和處置計(jì)劃，則應(yīng)按照相關(guān)的處置計(jì)劃和實(shí)施要求,

制定設(shè)備入網(wǎng)計(jì)劃。

5）系統(tǒng)工程師對(duì)計(jì)劃入網(wǎng)的設(shè)備在獨(dú)立的測(cè)試環(huán)境中進(jìn)行測(cè)試，測(cè)試通

過后提交綜合部審批。

6）技術(shù)部批準(zhǔn)入網(wǎng)申請(qǐng)后，由系統(tǒng)工程師組織設(shè)備入網(wǎng).

7）設(shè)備入網(wǎng)應(yīng)按照處置計(jì)劃和入網(wǎng)計(jì)劃對(duì)設(shè)備進(jìn)行安全加固。

8）對(duì)入網(wǎng)系統(tǒng)進(jìn)行一段時(shí)間的監(jiān)控，以觀察入網(wǎng)是否生效。如果發(fā)現(xiàn)問

題，要及時(shí)進(jìn)行處理，必要時(shí)要尋求供應(yīng)商的協(xié)助。監(jiān)控一段時(shí)間后，設(shè)備擔(dān)

當(dāng)組織人員進(jìn)行驗(yàn)收，并通知信息安全管理小組對(duì)系統(tǒng)進(jìn)行安全檢測(cè)。

（2）設(shè)備安置與保護(hù)

（3）信息設(shè)備安裝管理

1）技術(shù)部對(duì)信息設(shè)備安全的安置與保護(hù)工作，包括對(duì)溫度、濕度的監(jiān)測(cè)

和日常的巡檢等，詳見《機(jī)房管理規(guī)定》。

2）信息安全設(shè)備的安置應(yīng)按照設(shè)備制造商的說明，安置工作由專業(yè)人員

進(jìn)行。

3）信息安全設(shè)備安置要選擇能夠避免或減少未授權(quán)訪問的物理場(chǎng)所,應(yīng)

采取措施以減小潛在的物理威脅的風(fēng)險(xiǎn)。

4）重要系統(tǒng)使用的信息設(shè)備安置在專用的機(jī)房?jī)?nèi)。

5）安置在室外的信息設(shè)備要注意防盜、防雨、防雷、防塵、防腐蝕等工

作。

6）確保消防設(shè)備充足并隨時(shí)可用，定期進(jìn)行消防演練。

（4）支持性設(shè)施安置管理

1）技術(shù)部負(fù)責(zé)信息安全設(shè)備支持性設(shè)施的管理工作，包括提供、維護(hù)、

第8頁(yè)共64頁(yè)

編號(hào)：

時(shí)間：2021年x月x日書山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第9頁(yè)共64頁(yè)

維修等。

2）對(duì)支持關(guān)鍵業(yè)務(wù)操作的信息設(shè)備，使用不間斷電源（UPS）。UPS設(shè)

備要定期地檢查，，詳見《機(jī)房管理規(guī)定》。

3）應(yīng)急電源開關(guān)應(yīng)位于設(shè)備房間應(yīng)急出口附近，以便緊急情況時(shí)快速切

斷電源。萬(wàn)一主電源出現(xiàn)故障時(shí)要提供應(yīng)急照明。

4）技術(shù)部要確保通風(fēng)和空調(diào)系統(tǒng)等運(yùn)行良好，對(duì)其運(yùn)行情況可進(jìn)行定期

檢查。

（5）線纜安全

1）公司網(wǎng)絡(luò)系統(tǒng)進(jìn)入信息設(shè)備的電源和電信線路布在地板.匕要建有冗

余線路或留有可替換線路，以保障線路的可用性。

2）電纜要避開公眾區(qū)域，鋪設(shè)電纜要有線槽保護(hù)，以避免未授權(quán)竊聽或

損壞的危害。為了防止干擾，電源電纜要與通信電纜分開布線。

3）要采取切實(shí)有效的措施防范鼠患，防止電纜被鼠噬。

4）電纜要使用牢固、清晰、可識(shí)別的標(biāo)記,使用文件化配線列表減少布

線失誤的可能性，以使失誤最小化，詳見《機(jī)房管理規(guī)定》。

（6）設(shè)備移動(dòng)

1）在公司物理環(huán)境以外嚴(yán)禁放置服務(wù)器、交換機(jī)、電腦等信息設(shè)備。

2）公司原則上禁止機(jī)房設(shè)備移出公司物理環(huán)境。如確因工作需要，如展

會(huì)、維修等，需將公司的服務(wù)器、交換機(jī)、路由器等信息設(shè)備移到辦公地點(diǎn)

外使用，需經(jīng)研發(fā)主管批準(zhǔn)后才能移出公司的物理環(huán)境。

3）如需要供應(yīng)商將設(shè)備移出公司物理環(huán)境進(jìn)行維修時(shí)，在設(shè)備移出前,

設(shè)備管理人員要將設(shè)備中敏感信息從設(shè)備中刪除或確保維護(hù)人員對(duì)其不可訪

問或獲取。

4）離開建筑物的信息設(shè)備和移動(dòng)介質(zhì)在公共場(chǎng)所要有專人看護(hù)和保管,

不允許無(wú)人值守，適當(dāng)時(shí)，還要施加其它措施進(jìn)行控制，例如上鎖，以防止

損壞、盜竊等事件發(fā)生。

5）筆記本在公司辦公場(chǎng)所以外使用，依《筆記本電腦管理規(guī)定》。

（7）維護(hù)、保養(yǎng)

1）機(jī)器設(shè)備日常維護(hù)由設(shè)備使用者在日常使用時(shí)進(jìn)行，維護(hù)項(xiàng)目限于查

第9頁(yè)共64頁(yè)

編號(hào)：

時(shí)間：2021年x月x日書山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第1。頁(yè)共64頁(yè)

看設(shè)備外觀有無(wú)明顯損壞、是否正常工作、是否通電正常等內(nèi)容。

2）定期維護(hù)由技術(shù)部專業(yè)工程師或供應(yīng)商進(jìn)行，定期維護(hù)根據(jù)不同設(shè)備

決定不同的維護(hù)周期，從一周一次到半年一次不等，定期維護(hù)項(xiàng)目包括軟硬

件更換、性能檢查、性能調(diào)優(yōu)等。

3）定期維護(hù)和年底維護(hù)后，要將維護(hù)項(xiàng)目、維護(hù)過程、維護(hù)人員、維護(hù)

結(jié)果等內(nèi)容詳細(xì)記錄在《設(shè)備維護(hù)記錄》中，

（8）設(shè)備處置

1）設(shè)備的處置由設(shè)備使用部門提出，經(jīng)經(jīng)總經(jīng)理批準(zhǔn)后，對(duì)設(shè)備進(jìn)行處

理；

2）信息設(shè)備在處置過程中須考慮信息安全。

3）設(shè)備報(bào)廢前設(shè)備管理責(zé)任人要負(fù)責(zé)刪除所有信息，對(duì)包含敏感信息的

設(shè)備要對(duì)其信息載體在物理上應(yīng)予以銷毀，或者采用使原始信息不可獲取的

技術(shù)將其安全地重寫，如消磁。

4）信息設(shè)備的報(bào)廢工作由綜合部負(fù)責(zé)，需要填寫《廢棄介質(zhì)處置記錄》，

經(jīng)總經(jīng)理批準(zhǔn)后，才能進(jìn)行報(bào)廢。

5）對(duì)于因閑置、人員離辭或設(shè)備換代等原因不再使用的信息設(shè)備，特別

是個(gè)人電腦，在設(shè)備歸倉(cāng)前，要采用信息不可獲取的技術(shù)將其敏感信息、工

作信息和個(gè)人信息刪除。以確保在設(shè)備重用時(shí)，重用者不會(huì)獲得與其工作無(wú)

關(guān)的內(nèi)容。

6）對(duì)試用設(shè)備和測(cè)試設(shè)備（無(wú)論是自有的還是供應(yīng)商的）中的信息在試

用和測(cè)試后，由試用或測(cè)試人員立即清除，防止重要信息泄露。

7）廢棄介質(zhì)處理方法參見《介質(zhì)管理規(guī)定》

5.實(shí)施策略

（1）設(shè)備管理規(guī)定涉及到包括《設(shè)備維護(hù)記錄》共1個(gè)表單。

（2）對(duì)設(shè)備的定期維護(hù)等內(nèi)容詳細(xì)填寫《設(shè)備維護(hù)記錄》。

6.相關(guān)記錄

本程序發(fā)生的記錄匯總表

第10頁(yè)共64頁(yè)

編號(hào)：

時(shí)間：2021年x月x日書山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第"頁(yè)共64頁(yè)

表67ISMS文件日常應(yīng)用表格

保管保存保存形

表號(hào)記錄編號(hào)記錄名稱期限備注

場(chǎng)所式

表A.1ISMS-3009-01設(shè)備維護(hù)記錄表技術(shù)部1年電子

七、機(jī)房管理規(guī)定ISMS-3007

1.目的和范圍

為科學(xué)、有效地管理機(jī)房，促進(jìn)各信息系統(tǒng)在機(jī)房安全的、穩(wěn)定的、高

效的運(yùn)行，特制定本規(guī)定。

2.引用文件

(1)下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日

期的引用文件，其隨后所有的修改單(不包括勘誤的內(nèi)容)或修訂版均不適

用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是

不注日期的引用文件，其最新版本適用干本標(biāo)準(zhǔn)。

(2)IS0/IEC27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系要求

(3)IS0/IEC27002:2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)

(4)設(shè)備管理規(guī)定

(5)訪問控制程序

3.職責(zé)和權(quán)限

技術(shù)部：負(fù)責(zé)責(zé)機(jī)房的日常檢查、維護(hù)和管理工作，及當(dāng)發(fā)生緊急事件

時(shí)，按應(yīng)急預(yù)案進(jìn)行相應(yīng)的處置。

4.機(jī)房出入制度

(1)機(jī)房的進(jìn)出由技術(shù)部嚴(yán)格管理。機(jī)房的鑰匙保存技術(shù)部。如需進(jìn)入機(jī)

房，必須得到技術(shù)部的授權(quán)，在技術(shù)部領(lǐng)取鑰匙后方可進(jìn)入。

第11頁(yè)共64頁(yè)

編號(hào)：

時(shí)間：2021年x月x日書山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第12頁(yè)共64頁(yè)

(2)未經(jīng)許可不準(zhǔn)攜帶任何磁帶(盤)、磁介質(zhì)和資料進(jìn)入機(jī)房。經(jīng)特許

攜帶的，必須由專人陪同方可進(jìn)入。

(3)未經(jīng)許可不允許使用攝影、錄像、筆記、或其它音像記錄設(shè)備等。

5.機(jī)房環(huán)境管理

(1)技術(shù)部對(duì)機(jī)房環(huán)境每半月進(jìn)行一次檢查，對(duì)發(fā)現(xiàn)的問題要及時(shí)解決。

填寫《機(jī)房巡檢記錄表》。

(2)機(jī)房?jī)?nèi)要保持設(shè)備無(wú)塵、布線整齊、物品就位、資料齊全。

(3)機(jī)房?jī)?nèi)嚴(yán)禁堆放與工作無(wú)關(guān)的其它物品及紙質(zhì)物品。做好消防滅火設(shè)

備檢查工作

⑷機(jī)房?jī)?nèi)禁止飲食、吸煙、打鬧、大聲喧嘩，機(jī)房?jī)?nèi)不得會(huì)客、閑談。

(5)機(jī)房?jī)?nèi)備有溫度計(jì)和濕度計(jì)，溫度保持在18℃-25℃,濕度保持在

40%-60%o溫度計(jì)和濕度計(jì)應(yīng)每年作一次檢測(cè)。

(6)機(jī)房接地系統(tǒng)要符合相應(yīng)的技術(shù)標(biāo)準(zhǔn)，各個(gè)設(shè)備交流工作電源應(yīng)有工

作接地，機(jī)柜應(yīng)有效接地。。

(7)機(jī)房配電柜要有防雷設(shè)施，進(jìn)出機(jī)房的電纜應(yīng)有防雷措施。

(8)機(jī)房用電要使用獨(dú)立的電線，專用變壓器、電源穩(wěn)壓器等。

(9)機(jī)房的環(huán)境應(yīng)達(dá)到機(jī)房建設(shè)的設(shè)計(jì)要求。

6.機(jī)房設(shè)備管理

(1)機(jī)房要有完整的網(wǎng)絡(luò)拓?fù)鋱D、物理拓?fù)鋱D。

(2)機(jī)房?jī)?nèi)的所有設(shè)備應(yīng)貼有設(shè)備標(biāo)簽，并注明設(shè)備的主要參數(shù)。

(3)主機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備的各類接線的兩端應(yīng)設(shè)置標(biāo)簽，網(wǎng)絡(luò)接口側(cè)應(yīng)注

明連接的設(shè)備。

(4)對(duì)主要網(wǎng)絡(luò)設(shè)備如核心路由器、交換機(jī)、防火墻、IDS等設(shè)備的配置

文件每6個(gè)月進(jìn)行進(jìn)行一次評(píng)審。

(5)對(duì)機(jī)房的主機(jī)設(shè)備及智能網(wǎng)絡(luò)交換裝置應(yīng)嚴(yán)格管理，做好事故預(yù)想,

制定周密的故障應(yīng)急措施。

第12頁(yè)共64頁(yè)

編號(hào)：

時(shí)間：2021年x月x日書山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第13頁(yè)共64頁(yè)

(6)嚴(yán)禁擅自在運(yùn)行的小型機(jī)、交換機(jī)、路由器等設(shè)備上進(jìn)行開發(fā)、維護(hù)、

調(diào)試或?qū)W習(xí)培訓(xùn)等工作。

(7)實(shí)施策略

1)機(jī)房管理規(guī)定涉及的《機(jī)房巡檢記錄表》共1個(gè)表單。

7.相關(guān)記錄

本程序發(fā)生的記錄匯總表

表7TISMS文件日常應(yīng)用表格

保

保管存

期

表號(hào)記錄編號(hào)記錄名稱限保存形式備注

場(chǎng)所

表A.1ISMS-3021-01機(jī)房巡檢記錄表信息安全小組1年紙質(zhì)

八、筆記本電腦管理規(guī)定ISMS-3008

1.目的

建立筆記本電腦設(shè)備的使用規(guī)定及其與互聯(lián)網(wǎng)的連接制度，這些規(guī)定是

保持信息資源保密性、完整性和可用性所必需的。為加強(qiáng)業(yè)務(wù)筆記本電腦設(shè)

備的合理利用與筆記本電腦設(shè)備信息安全管理，特制定該管理規(guī)定。適用所

有業(yè)務(wù)部門員工和需在業(yè)務(wù)部門辦公室工作的人員。

2.引用文件

(1).下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注

日期的引用文件，其隨后所有的修改單(不包括勘誤的內(nèi)容)或修訂版均不

適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡

是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。

(2).ISO/IEC27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系要求

第13頁(yè)共64頁(yè)

編號(hào)：

時(shí)間：2021年x月x日書山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第14頁(yè)共64頁(yè)

(3).TS0/IEC27002:2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則

(4).防范病毒及惡意軟件管理規(guī)定

3.職責(zé)和權(quán)限

(1)總經(jīng)理：負(fù)責(zé)筆記本電腦申請(qǐng)的審批

(2)技術(shù)部：負(fù)責(zé)筆記本電腦的發(fā)放管理

(3)使用人員：負(fù)責(zé)便攜計(jì)算機(jī)的日常使用保養(yǎng)和維護(hù)。

4.筆記本電腦使用規(guī)定

(1)公司所有筆記本電腦由使用人員自行保管負(fù)責(zé),若是公司統(tǒng)一配置的

在辭職時(shí)應(yīng)到綜合部辦理電腦交接手續(xù)，并在《離職交接清單》中作好備注。

(2)技術(shù)部授權(quán)使用的筆記本電腦未經(jīng)部門經(jīng)理同意嚴(yán)格禁止帶出公司。

(3)未經(jīng)許可，員工不得攜帶個(gè)人筆記木電腦設(shè)備進(jìn)入公司辦公場(chǎng)所。

(4)筆記本電腦設(shè)備必須有嚴(yán)格的口令訪問控制措施，口令設(shè)置需滿足公

司安全策略要求。

(5)對(duì)無(wú)人看守的筆記本電腦設(shè)備必須實(shí)施物理保護(hù)，必須放在帶鎖的辦

公室、抽屜或文件柜里；

(6)筆記本電腦設(shè)備丟失或被竊后應(yīng)及時(shí)報(bào)告給部門經(jīng)理和技術(shù)部，

(7)除自然損壞外，凡人為損壞(如撞壞、跌壞、電源插錯(cuò)燒壞等)由本

人負(fù)責(zé)修好，費(fèi)用由個(gè)人承擔(dān)。

(8)便攜機(jī)中除工作所需的軟件外，不導(dǎo)入其他與工作無(wú)關(guān)的軟件。特別

要保證便攜機(jī)不帶病毒。

5.安全配置規(guī)定

(1)授權(quán)使用的筆記本電腦設(shè)備必須安裝公司安全策略規(guī)定的防病毒軟

件；

(2)筆記本電腦設(shè)備每月進(jìn)行一次病毒軟件和操作系統(tǒng)補(bǔ)丁檢查和評(píng)審，

由電腦使用人員自行負(fù)責(zé).

(3)筆記本電腦設(shè)備若支持內(nèi)置的硬盤加密措施，應(yīng)啟用該措施，以免電

第14頁(yè)共64頁(yè)

編號(hào)：

時(shí)間：2021年x月x日書山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第15頁(yè)共64頁(yè)

腦或硬盤丟失后造成數(shù)據(jù)泄密。

(4)公司采用相關(guān)產(chǎn)品和方法對(duì)筆記本數(shù)據(jù)進(jìn)行加密處理和使用，防止信

息泄密。

(5)公司采用相關(guān)產(chǎn)品和方法對(duì)筆記本進(jìn)行監(jiān)控

(6)公司內(nèi)部未經(jīng)授權(quán)禁止開啟無(wú)線網(wǎng)卡功能。禁止使用公司外部的未設(shè)

安全機(jī)制的無(wú)線網(wǎng)絡(luò)，系統(tǒng)管理員要每月掃描一次公司能接受到的外部不安

全網(wǎng)絡(luò)。

(7)公司的無(wú)線網(wǎng)絡(luò)僅供授權(quán)的技術(shù)支持人員使用，其他未經(jīng)技術(shù)部授權(quán)

禁止便攜機(jī)連入使用。

6.外部人員使用筆記本的規(guī)定

(1)外部人員使用的筆記本電腦只能連接到公共上網(wǎng)區(qū)，通過獨(dú)立于公司

內(nèi)部的專用網(wǎng)絡(luò)上網(wǎng)。出于安全考慮，一般不予考慮客人接入公司內(nèi)部網(wǎng)絡(luò)。

(2)外部人員接待負(fù)責(zé)人需提前通知技術(shù)部該外部人員筆記本電腦使用

的地點(diǎn)，便于技術(shù)部配置相關(guān)網(wǎng)絡(luò)。

(3)若外部人員需要在業(yè)務(wù)辦公地點(diǎn)長(zhǎng)期工作(指超過2周時(shí)間)，需經(jīng)

技術(shù)部經(jīng)理批準(zhǔn)。

7.客戶現(xiàn)場(chǎng)管理規(guī)定

(1)在客戶現(xiàn)場(chǎng)進(jìn)行開發(fā)及維護(hù)等工作時(shí)，在遵守本公司管理規(guī)定時(shí)，同

時(shí)要遵守客戶的管理方面相關(guān)規(guī)定。

(2)如在客戶現(xiàn)場(chǎng)工作時(shí)需要使用筆記本，相關(guān)部門人員應(yīng)盡量使用本部

門公共筆記本，并進(jìn)行登記。

(3)在客戶現(xiàn)場(chǎng)使用筆記本工作時(shí)，必須注意信息的保密，防止筆記本內(nèi)

信息泄露。

(4)筆記本內(nèi)新產(chǎn)生的數(shù)據(jù)應(yīng)及時(shí)在客戶備份系統(tǒng)或公司備份系統(tǒng)上進(jìn)

行備份，防止數(shù)據(jù)丟失。

8.實(shí)施策略

第15頁(yè)共64頁(yè)

編號(hào)：

時(shí)間：2021年x月x日書山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第16頁(yè)共64頁(yè)

自行保管負(fù)責(zé)；

無(wú)線網(wǎng)絡(luò)加密上網(wǎng);

9.相關(guān)記錄

無(wú)

九、介質(zhì)管理規(guī)定ISMS-3009

1.目的和范圍

任何信息設(shè)備，如：計(jì)算機(jī)、交換機(jī)、打印機(jī)、傳真機(jī)、復(fù)印機(jī)等，都

需要介質(zhì)進(jìn)行存儲(chǔ)，當(dāng)存儲(chǔ)設(shè)備或可移動(dòng)介質(zhì)需要轉(zhuǎn)移或銷毀時(shí)，如果處理

不當(dāng)，很容易造成信息泄漏。因此，必須按規(guī)定執(zhí)行處置。適用于移動(dòng)存儲(chǔ)

設(shè)備/介質(zhì)在本公司辦公場(chǎng)所及房機(jī)內(nèi)的使用管理。

2.引用文件

(1)下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日

期的引用文件，其隨后所有的修改單(不包括勘誤的內(nèi)容)或修訂版均不適

用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是

不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。

(2)IS0/IEC27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系要求

(3)TS0/TEC27002:2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則

3.職責(zé)和權(quán)限

(1)綜合部

負(fù)責(zé)對(duì)公司各類的可移動(dòng)介質(zhì)和存儲(chǔ)介質(zhì)的發(fā)放、使用、處置的進(jìn)行管

理。

(2)介質(zhì)使用部門和使用者

第16頁(yè)共64頁(yè)

編號(hào)：

時(shí)間：2021年x月x日書山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第17頁(yè)共64頁(yè)

（3）由部門負(fù)責(zé)管理的介質(zhì)，由該部門領(lǐng)導(dǎo)指定專人負(fù)責(zé)保管。個(gè)人使用

的介質(zhì)由本人負(fù)責(zé)保管。

4.介質(zhì)管理

（1）介質(zhì)分類

1）技術(shù)部對(duì)公司使用的介質(zhì)，進(jìn)行介質(zhì)分類，制定《介質(zhì)管理分類表》。

2）介質(zhì)分為一般介質(zhì)和可移動(dòng)介質(zhì)，一般介質(zhì)包括：計(jì)算機(jī)存儲(chǔ)介質(zhì)，

可移動(dòng)介質(zhì)是指U盤、移動(dòng)硬盤、數(shù)碼相機(jī)、光盤、光盤刻錄機(jī)、PDA、帶

USB接口的MP3/MP4播放器等。

（2）介質(zhì)使用管理

1）一般情況下公司禁止使用可移動(dòng)介質(zhì)。

2）確因工作需要使用移動(dòng)介質(zhì)，須經(jīng)本部門領(lǐng)導(dǎo)批準(zhǔn)后方可到技術(shù)部領(lǐng)

用。

3）技術(shù)部負(fù)責(zé)可移動(dòng)介質(zhì)的發(fā)放，并填寫《可移動(dòng)介質(zhì)授權(quán)使用表》。

4）授權(quán)用戶要注意保護(hù)自己所屬可移動(dòng)介質(zhì)不被盜取。

5）授權(quán)用戶要注意保護(hù)自己所屬可移動(dòng)介質(zhì)不被盜取。保管時(shí)要放置于

安全的區(qū)域內(nèi)，如帶鎖的柜子；

6）非本公司工作人員禁止在內(nèi)部網(wǎng)絡(luò)設(shè)備上使用可移動(dòng)介質(zhì)。

7）各使用人必須每月一次對(duì)自己使用的移動(dòng)介質(zhì)進(jìn)行病毒掃描。

8）使用可移動(dòng)介質(zhì)保存公司秘密數(shù)據(jù)時(shí)，移動(dòng)介質(zhì)必須采用必要的加密

措施，防止信息泄露，有條件時(shí)使用帶有加密功能的可移動(dòng)介質(zhì)設(shè)備。

9）用戶在將可移動(dòng)介質(zhì)帶離公司后，要為其上所有信息資源的安全負(fù)責(zé),

做好安全保護(hù)工作。一旦遺失，立刻上報(bào)技術(shù)部進(jìn)行登記。

10）光盤的刻錄：

a）帶有公司標(biāo)志的光盤，只能刻錄公司自己的程序軟件，不得刻錄例如

操作系統(tǒng)、數(shù)據(jù)庫(kù)等軟件。

b）公司銷售時(shí)，必須刻錄光盤時(shí)，由技術(shù)部專門負(fù)責(zé)人進(jìn)行刻錄，其他

人員不得隨意刻錄光盤。

（3）客戶現(xiàn)場(chǎng)使用規(guī)定

第17頁(yè)共64頁(yè)

編號(hào)：

時(shí)間：2021年x月x日書山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第18頁(yè)共64頁(yè)

1)必須嚴(yán)格將筆記本病毒防火墻升級(jí)到最新。

2)能使用客戶提供的U盤、移動(dòng)硬盤的，使用客戶提供的設(shè)備。

3)必須使用自己的U盤、移動(dòng)硬盤在客戶計(jì)算機(jī)上使用的，必須先對(duì)U

盤、移動(dòng)硬盤進(jìn)行病毒掃描，保證提供給客戶的設(shè)備中不包含病毒。

(4)介質(zhì)處置

1)技術(shù)部對(duì)介質(zhì)分類表內(nèi)的介質(zhì)的廢棄進(jìn)行統(tǒng)一管理，對(duì)廢棄的介質(zhì)采

用恰當(dāng)?shù)慕橘|(zhì)處置方法。

2)計(jì)算機(jī)硬盤、U盤、可移動(dòng)硬盤、光盤、數(shù)碼存儲(chǔ)介質(zhì)等報(bào)廢時(shí)必須

粉碎處理。

3)對(duì)廢棄的可移動(dòng)介質(zhì)在《可移動(dòng)介質(zhì)授權(quán)使用表》中跟蹤填寫廢棄記

錄C

4)對(duì)廢棄的一般介質(zhì)處理填寫《廢棄介質(zhì)處置記錄》

5)介質(zhì)的銷毀方式一般分為一般格式化、低級(jí)格式化、專業(yè)軟件重寫、

物理粉碎。

6)對(duì)無(wú)敏感信息的介質(zhì)作一般格式化即可，在保證質(zhì)量的基礎(chǔ)上重新分

配和使用。

7)介質(zhì)中保存有敏感信息的存儲(chǔ)介質(zhì)應(yīng)當(dāng)?shù)玫桨踩拇娣藕吞幹?。?duì)于

含有敏感信息的介質(zhì)應(yīng)采用低級(jí)格式化或?qū)I(yè)軟件重寫，反復(fù)次數(shù)為三次，

才能重新分配和使用。

8)保存有敏感信息的存儲(chǔ)介質(zhì)廢棄時(shí)，要進(jìn)行粉碎處理。

5.實(shí)施策略

(1)介質(zhì)管理規(guī)定涉及的《介質(zhì)管理表》中包括《介質(zhì)管理分類表》、《可

移動(dòng)介質(zhì)授權(quán)使用表》、《廢棄介質(zhì)處置記錄》。

(2)技術(shù)部制定《介質(zhì)管理分類表》。

(3)技術(shù)部負(fù)責(zé)可移動(dòng)介質(zhì)的發(fā)放，并填寫《可移動(dòng)介質(zhì)授權(quán)使用表》。

(4)對(duì)廢棄的可移動(dòng)介質(zhì)在《可移動(dòng)介質(zhì)授權(quán)使用表》中跟蹤填寫廢棄記

錄。

(5)對(duì)廢棄的一般介質(zhì)處理填寫《廢棄介質(zhì)處置記錄》

第18頁(yè)共64頁(yè)

編號(hào)：

時(shí)間：2021年x月x日書山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第19頁(yè)共64頁(yè)

6.相關(guān)記錄

本程序發(fā)生的記錄匯總表

表9-1ISMS文件日常應(yīng)用表格

保管保存保存形

表號(hào)記錄編號(hào)