ISO27001信息安全管理體系文件+表單

IS027001-2013體系文件全套目錄④ISMS-B-01信息安全風(fēng)險(xiǎn)営理程序④ISMS-B-02］文イ?？刂瞥绦蛞?ISMS-B-03］記錄控制程序國(guó)ISMS-B-04］以正措獻(xiàn)制程序@ISMS-B-05］預(yù)防措施控制程序國(guó)ISMS-B-06］內(nèi)部畝核告理程序@ISMS-B-07］管理評(píng)畝程序由ISMS-B-08］信息縦言理程序宜|ISMS-B-09］商業(yè)秘密肯理程序@ISMS-B-10］信息安全法律法^告理程序④ISMS-B-11］知識(shí)產(chǎn)權(quán)管理程序?ISMS-B-12］重要信息備份管理程序團(tuán)ISMS-B-13］業(yè)務(wù)持旗性曾理程序④ISMS-B-14］信息安全溝通協(xié)濶肯理程序@ISMS-B-15憎息安全事1牛告理程序@ISMS-B-16信息安全獎(jiǎng)懲苣理程序@ISMS-B-17員エ聘用言理程序國(guó)ISMS-B-18員エ培訓(xùn)0程序宜|ISMS-B-19］員エ葡職管理程序宜!ISMS-B-20］相關(guān)方信息安全肯理程序@ISMS-B-21箋三方囲務(wù)?程序?ISMS-B-22安全區(qū)域肯理程序?ISMS-B-23門禁系統(tǒng)告建程序?ISMS-B-24網(wǎng)將殳備安全配置管理程序?ISMS-B-25計(jì)算機(jī)管理程序?ISMS-B-26］電子濟(jì)件管理程序?ISMS-B-27I惡意軟件管理程序?ISMS-B-28J可移動(dòng)介質(zhì)営理程序?ISMS-B-29］用戶訪問(wèn)営理程序?ISMS-B-30］信息處理設(shè)施安裝使用管理程序?ISMS-B-31］信息至統(tǒng)驗(yàn)收肯理程序?ISMS-B-32］信息處理設(shè)施維護(hù)肯理程序?ISMS-B-33］變更管理程序?ISMS-B-34］信息系統(tǒng)訪問(wèn)與使用監(jiān)控莒理程序?ISMS-B-35J軟件開發(fā)告理程序XXX有限公司信息安全風(fēng)險(xiǎn)管理程序編號(hào)：ISMS-B-01版本號(hào):VI.0編制:XXX 日期:20XX-08-19審核:XXX 日期:20XX-08-19批準(zhǔn):XXX 日期:20XX-08-19受控狀態(tài) 受控文件作者筆名:何姍1目的為了在考慮控制成本與風(fēng)險(xiǎn)平衡的前提下選擇合適的控制目標(biāo)和控制方式,將信息安全風(fēng)險(xiǎn)控制在可接受的水平,特制定本程序。2范圍本程序適用信息安全管理體系（ISMS）范圍內(nèi)信息安全風(fēng)險(xiǎn)評(píng)估活動(dòng)的管理。3職責(zé)3.1信息安全管理小組負(fù)責(zé)牽頭成立風(fēng)險(xiǎn)評(píng)估小組。3.2風(fēng)險(xiǎn)評(píng)估小組負(fù)責(zé)編制《信息安全風(fēng)險(xiǎn)評(píng)估計(jì)劃》,確認(rèn)評(píng)估結(jié)果，形成《信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告》。3.3各部門負(fù)責(zé)本部門使用或管理的資產(chǎn)的識(shí)別和風(fēng)險(xiǎn)評(píng)估，并負(fù)責(zé)本部門所涉及的資產(chǎn)的具體安全控制工作。4相關(guān)文件《信息安全管理手冊(cè)》《商業(yè)秘密管理程序》5程序5.!風(fēng)險(xiǎn)評(píng)估前準(zhǔn)備5.1.1成立風(fēng)險(xiǎn)評(píng)估小組信息安全小組牽頭成立風(fēng)險(xiǎn)評(píng)估小組，小組成員應(yīng)包含信息安全重要責(zé)任部門的成員。5.1.2制定計(jì)劃風(fēng)險(xiǎn)評(píng)估小組制定《信息安全風(fēng)險(xiǎn)評(píng)估計(jì)劃》,下發(fā)各部門。5.2資產(chǎn)賦值5.2.1部門賦值各部門風(fēng)險(xiǎn)評(píng)估小組成員識(shí)別本部門資產(chǎn),并進(jìn)行資產(chǎn)賦值。5.2.2賦值計(jì)算資產(chǎn)賦值的過(guò)程是對(duì)資產(chǎn)在保密性、完整性、可用性的達(dá)成程度進(jìn)行分析,并在此基礎(chǔ)上得出綜合結(jié)果的過(guò)程。5.2.3保密性(C)賦值根據(jù)資產(chǎn)在保密性上的不同要求,將其分為五個(gè)不同的等級(jí),分別對(duì)應(yīng)資產(chǎn)在保密性上的應(yīng)達(dá)成的不同程度或者保密性缺失時(shí)對(duì)整個(gè)組織的影響。保密性分類賦值方法級(jí)別價(jià)值分級(jí)描述1很低可對(duì)社會(huì)公開的信息公用的信息處理設(shè)備和系統(tǒng)資源等2低組織/部門內(nèi)公開僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息,向外擴(kuò)散有可能對(duì)組織的利益造成輕微損害3中等組織的一般性秘密其泄露會(huì)使組織的安全和利益受到損害4高包含組織的重要秘密其泄露會(huì)使組織的安全和利益遭受嚴(yán)重?fù)p害5很高包含組織最重要的秘密關(guān)系未來(lái)發(fā)展的前途命運(yùn),對(duì)組織根本利益有著決定性的影響,如果泄露會(huì)造成災(zāi)難性的損害5.2.4完整性(D賦值根據(jù)資產(chǎn)在完整性上的不同要求，將其分為五個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在完整性上的達(dá)成的不同程度或者完整性缺失時(shí)對(duì)整個(gè)組織的影響。完整性(D賦值的方法級(jí)別價(jià)值分級(jí)描述

1很低完整性價(jià)值非常低未經(jīng)授權(quán)的修改或破壞對(duì)組織造成的影響可以忽略,對(duì)業(yè)務(wù)沖擊可以忽略2低完整性價(jià)值較低未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成輕微影響,對(duì)業(yè)務(wù)沖擊輕微,容易彌補(bǔ)3中等完整性價(jià)值中等未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成影響,對(duì)業(yè)務(wù)沖擊明顯4高完整性價(jià)值較高未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大影響,對(duì)業(yè)務(wù)沖擊嚴(yán)重,較難彌補(bǔ)5很高完整性價(jià)值非常關(guān)鍵未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大的或無(wú)法接受的影響,對(duì)業(yè)務(wù)沖擊重大,并可能造成嚴(yán)重的業(yè)務(wù)中斷,難以彌補(bǔ)5.2.5可用性(A)賦值根據(jù)資產(chǎn)在可用性上的不同要求,將其分為五個(gè)不同的等級(jí),分別對(duì)應(yīng)資產(chǎn)在可用性上的達(dá)成的不同程度?？捎眯?A)賦值的方法級(jí)別價(jià)值分級(jí)描述1很低可用性價(jià)值可以忽略合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間低于25%2低可用性價(jià)值較低合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)至り25%以上,或系統(tǒng)允許中斷時(shí)間小于60min3中等可用性價(jià)值中等合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到70%以上，或系統(tǒng)允許中斷時(shí)間小于30min4高可用性價(jià)值較高合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到每天90%以上,或系統(tǒng)允許中斷時(shí)間小于lOmin5很高可用性價(jià)值非常高合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到年度99.9%以上,或系統(tǒng)不允許中斷5.2.7導(dǎo)出資產(chǎn)清單識(shí)別出來(lái)的信息資產(chǎn)需要詳細(xì)登記在《信息資產(chǎn)清單》中。5.3判定重要資產(chǎn)根據(jù)信息資產(chǎn)的機(jī)密性、完整性和可用性賦值的結(jié)果相加除以3得出“資產(chǎn)價(jià)值”,對(duì)于《信息資產(chǎn)清單》中“資產(chǎn)價(jià)值”在大于等于4的資產(chǎn),作為重要信息資產(chǎn)記錄到《重要信息資產(chǎn)清單》。5.3.1審核確認(rèn)風(fēng)險(xiǎn)評(píng)估小組對(duì)各部門資產(chǎn)識(shí)別情況進(jìn)行審核,確保沒(méi)有遺漏重要資產(chǎn),導(dǎo)

出《重要信息資產(chǎn)清單》,報(bào)總經(jīng)理確認(rèn)。5.4風(fēng)險(xiǎn)識(shí)別與分析5.4.1威脅識(shí)別與分析應(yīng)根據(jù)資產(chǎn)組內(nèi)的每ー項(xiàng)資產(chǎn),以及每ー項(xiàng)資產(chǎn)所處的環(huán)境條件、以前曾發(fā)威脅種類威脅示例TC01軟硬件故障設(shè)備硬件故障、通訊鏈路中斷、系統(tǒng)本身或軟件BugTC02物理環(huán)境威脅斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、水災(zāi)、地等環(huán)境問(wèn)題和自然災(zāi)害；TC03無(wú)作為或操作失誤由于應(yīng)該執(zhí)行而沒(méi)有執(zhí)行相應(yīng)的操作,或無(wú)意地執(zhí)行了錯(cuò)誤的操作，對(duì)系統(tǒng)造成影響TC04管理不到位安全管理無(wú)法落實(shí),不到位,造成安全管理不規(guī)范，或者管理混亂,從而破壞信息系統(tǒng)正常有序運(yùn)行TC05惡意代碼和病毒具有自我復(fù)制、自我傳播能力，對(duì)信息系統(tǒng)構(gòu)成破壞的程序代碼TC06越權(quán)或?yàn)E用通過(guò)采用ー些措施,超越自己的權(quán)限訪問(wèn)了本來(lái)無(wú)權(quán)訪問(wèn)的資源；或者濫用自己的職權(quán)，做出破壞信息系統(tǒng)的行為TC07黑客攻擊利用黑客工具和技術(shù)，例如偵察、密碼猜測(cè)攻擊、緩沖區(qū)溢出攻擊、安裝后門、嗅探、偽造和欺騙、拒絕服務(wù)攻擊等手段對(duì)信息系統(tǒng)進(jìn)行攻擊和入侵TC08物理攻擊物理接觸、物理破壞、盜竊TC09泄密機(jī)密泄漏，機(jī)密信息泄漏給他人TC10篡改非法修改信息,破壞信息的完整性TC11抵賴不承認(rèn)收到的信息和所作的操作和交易生的安全事件等情況來(lái)進(jìn)行威脅識(shí)別。ー項(xiàng)資產(chǎn)可能面臨著多個(gè)威脅,同樣ー個(gè)威脅可能對(duì)不同的資產(chǎn)造成影響;5.4.2脆弱性識(shí)別與分析脆弱性評(píng)估將針對(duì)資產(chǎn)組內(nèi)所有資產(chǎn),找出該資產(chǎn)組可能被威脅利用的脆弱性,獲得脆弱性所采用的方法主要為:問(wèn)卷調(diào)査、訪談、工具掃描、手動(dòng)檢查、文檔審查、滲透測(cè)試等;類型脆弱性分類脆弱性示例物理環(huán)從機(jī)房場(chǎng)地、機(jī)房防火、機(jī)房供配電、機(jī)房防靜電、機(jī)

技術(shù)脆弱性.境房接地與防雷、電磁防護(hù)、通信線路的保護(hù)、機(jī)房區(qū)域防護(hù)、機(jī)房設(shè)備管理等方面進(jìn)行識(shí)別。服務(wù)器（含操作系統(tǒng)）從物理保護(hù)、用戶帳號(hào)、口令策略、資源共享、事件審計(jì)、訪問(wèn)控制、新系統(tǒng)配置（初始化）、注冊(cè)表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進(jìn)行識(shí)別。網(wǎng)絡(luò)結(jié)構(gòu)從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、邊界保護(hù)、外部訪問(wèn)控制策略、內(nèi)部訪問(wèn)控制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進(jìn)行識(shí)別。數(shù)據(jù)庫(kù)從補(bǔ)丁安裝、鑒別機(jī)制、口令機(jī)制、訪問(wèn)控制、網(wǎng)絡(luò)和服務(wù)設(shè)置、備份恢復(fù)機(jī)制、審計(jì)機(jī)制等方面進(jìn)行識(shí)別。應(yīng)用系統(tǒng)審計(jì)機(jī)制、審計(jì)存儲(chǔ)、訪問(wèn)控制策略、數(shù)據(jù)完整性、通信、鑒別機(jī)制、密碼保護(hù)等方面進(jìn)行識(shí)別。管理脆弱性技術(shù)管理物理和環(huán)境安全、通信與操作管理、訪問(wèn)控制、系統(tǒng)開發(fā)與維護(hù)、業(yè)務(wù)連續(xù)性。組織管理安全策略、組織安全、資產(chǎn)分類與控制、人員安全、符合性5.4.3現(xiàn)有控制措施識(shí)別與分析在識(shí)別威脅和脆弱性的同時(shí),評(píng)估人員應(yīng)對(duì)已采取的安全措施進(jìn)行識(shí)別,對(duì)現(xiàn)有控制措施的有效性進(jìn)行確認(rèn)。在對(duì)威脅和脆弱性賦值時(shí),需要考慮現(xiàn)有控制措施的有效性。5.5風(fēng)險(xiǎn)評(píng)價(jià)本公司信息資產(chǎn)風(fēng)險(xiǎn)值通過(guò)風(fēng)險(xiǎn)各要素賦值相乘法來(lái)確定:風(fēng)險(xiǎn)值計(jì)算公式:R=i*p其中,R表示安全風(fēng)險(xiǎn)值;i表示風(fēng)險(xiǎn)影響;p表示風(fēng)險(xiǎn)發(fā)生可能性。風(fēng)險(xiǎn)影響的賦值標(biāo)準(zhǔn):

風(fēng)險(xiǎn)影響賦值等級(jí)風(fēng)險(xiǎn)影響的不同維度相關(guān)方業(yè)務(wù)連續(xù)性5很高全部或大部分客戶、監(jiān)控機(jī)構(gòu)、其至社會(huì)公眾公司大部分或全部核心業(yè)務(wù)受到嚴(yán)重影響4高整個(gè)公司,或部分客戶公司大部分核心業(yè)務(wù)或日常活動(dòng)受影響3中多個(gè)部門,或個(gè)別客戶公司個(gè)別業(yè)務(wù)受影響,或日常辦公活動(dòng)中斷2低本部門或部門內(nèi)部人員公司業(yè)務(wù)不受影響,只是少部分日常辦公活動(dòng)活動(dòng)受影響1很低個(gè)人基本不影響本部門業(yè)務(wù)和日常辦公活動(dòng)風(fēng)險(xiǎn)發(fā)生可能性的賦值標(biāo)準(zhǔn):風(fēng)險(xiǎn)發(fā)生可能性賦值等級(jí)風(fēng)險(xiǎn)發(fā)生可能性時(shí)間頻率發(fā)生機(jī)率5很高出現(xiàn)的頻率很高（或＞1次/日）;或在大多數(shù)情況下幾乎不可避免;或可以證實(shí)經(jīng)常發(fā)生過(guò)。不可避免（＞99%）4ゝ咼出現(xiàn)的頻率較高（或）1次/周）;或在大多數(shù)情況下很有可能會(huì)發(fā)生;或可以證實(shí)多次發(fā)生過(guò)。非常有可能（90%?99%）3中出現(xiàn)的頻率中等（或）1次/月）；或在某種情況下可能會(huì)發(fā)生;或被證實(shí)曾經(jīng)發(fā)生過(guò)。可能(10%?90%)2低出現(xiàn)的頻率較?。ɑ颍?次/年）;或一般不大可能發(fā)生;或在某種情況下可能會(huì)發(fā)生?？赡苄院苄。??10%）1很低威脅幾乎不可能發(fā)生,僅可能在非常ギ見(jiàn)和例外的情況下發(fā)生，或沒(méi)有被證實(shí)發(fā)生過(guò)。不可能（＜1%）注:風(fēng)險(xiǎn)的影響或發(fā)生可能性根據(jù)賦值標(biāo)準(zhǔn),可能同時(shí)適用于二個(gè)維度,這種情況下,賦值取這ニ個(gè)維度賦值的最大值。5.5.2確定風(fēng)險(xiǎn)可接受標(biāo)準(zhǔn)風(fēng)險(xiǎn)等級(jí)采用分值計(jì)算表示。分值越大,風(fēng)險(xiǎn)越高。信息安全小組決定以下風(fēng)險(xiǎn)等級(jí)標(biāo)準(zhǔn):賦值級(jí)別描述[15-25]高如果發(fā)生將使資產(chǎn)遭受嚴(yán)重破壞，組織利益受到嚴(yán)重?fù)p失[6-12]中發(fā)生后將使資產(chǎn)受到較重的破壞，組織利益受到損失[0-5]低發(fā)生后將使資產(chǎn)受到的破壞程度和利益損失比較輕微5.5.3風(fēng)險(xiǎn)接受準(zhǔn)則對(duì)于信息資產(chǎn)評(píng)估的結(jié)果,本公司原則上以風(fēng)險(xiǎn)值小于12分（包括12分）的風(fēng)險(xiǎn)為可接受風(fēng)險(xiǎn)，大于12分為不可接受風(fēng)險(xiǎn)，要采取控制措施進(jìn)行控制。對(duì)于不可接受的風(fēng)險(xiǎn)，由于經(jīng)濟(jì)或技術(shù)原因,經(jīng)管理者代表批準(zhǔn)后,可以暫時(shí)接受風(fēng)險(xiǎn),待經(jīng)濟(jì)或技術(shù)具有可行性時(shí)再采取適當(dāng)?shù)拇胧┙档惋L(fēng)險(xiǎn)。5.5.4風(fēng)險(xiǎn)控制措施的選擇和實(shí)施對(duì)于不可接受的風(fēng)險(xiǎn)，有四種風(fēng)險(xiǎn)處置方式可以選擇:降低風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)、消除風(fēng)險(xiǎn)、接受風(fēng)險(xiǎn)。最常見(jiàn)的風(fēng)險(xiǎn)處置方式是降低風(fēng)險(xiǎn),降低風(fēng)險(xiǎn)可以選擇ISO27001：2013標(biāo)準(zhǔn)提供的14個(gè)域114項(xiàng)中的ー項(xiàng)或幾項(xiàng)控制措施。5.5.5控制措施有效性測(cè)量在風(fēng)險(xiǎn)控制措施全部或部分實(shí)施完成后,信息安全小組可以對(duì)風(fēng)險(xiǎn)控制措施的有效性進(jìn)行測(cè)量;測(cè)量的范圍可以測(cè)量全部的控制措施,也可以測(cè)量部分的控制措施,出于時(shí)間和經(jīng)濟(jì)成本的考慮,建議選取主要的控制措施進(jìn)行測(cè)量,測(cè)試方法由信息安全小組視情況決定。5.6剩余風(fēng)險(xiǎn)評(píng)估5.6.1再評(píng)估對(duì)采取安全措施處理后的風(fēng)險(xiǎn),信息安全小組應(yīng)進(jìn)行再評(píng)估,以判斷實(shí)施安全措施后的殘余風(fēng)險(xiǎn)是否已經(jīng)降低到可接受的水平。5.6.2再處理某些風(fēng)險(xiǎn)可能在選擇了適當(dāng)?shù)陌踩胧┖笕蕴幱诓豢山邮艿娘L(fēng)險(xiǎn)范圍內(nèi),應(yīng)考慮是否接受此風(fēng)險(xiǎn)或進(jìn)ー步增加相應(yīng)的安全措施。6.3審核批準(zhǔn)剩余風(fēng)險(xiǎn)評(píng)估完成后,導(dǎo)出《信息安全殘余風(fēng)險(xiǎn)評(píng)估報(bào)告》，報(bào)任繼中審核、最高管理者批準(zhǔn)。5.7信息安全風(fēng)險(xiǎn)的連續(xù)評(píng)估5.7.1定期評(píng)估信息安全小組每年應(yīng)組織對(duì)信息安全風(fēng)險(xiǎn)重新評(píng)估一次，以適應(yīng)信息資產(chǎn)的變化,確定是否存在新的威脅或脆弱性及是否需要增加新的控制措施。5.7.2非定期評(píng)估當(dāng)企業(yè)發(fā)生以下情況時(shí)需及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估:a）當(dāng)發(fā)生重大信息安全事故時(shí);b）當(dāng)信息網(wǎng)絡(luò)系統(tǒng)發(fā)生重大更改時(shí);c）信息安全小組確定有必要時(shí)。5.7.3更新資產(chǎn)各部門對(duì)新增加、轉(zhuǎn)移的或授權(quán)銷毀的資產(chǎn)應(yīng)及時(shí)更新資產(chǎn)清單。5.7.4調(diào)整控制措施信息安全小組應(yīng)分析信息資產(chǎn)的風(fēng)險(xiǎn)變化情況,以便根據(jù)企業(yè)的資金和技術(shù),確定、增加或調(diào)整適當(dāng)?shù)男畔踩刂拼胧?/p>

6記錄《信息安全風(fēng)險(xiǎn)評(píng)估計(jì)劃》《信息資產(chǎn)清單》《重要信息資產(chǎn)清單》《信息安全風(fēng)險(xiǎn)評(píng)估表（含風(fēng)險(xiǎn)處置計(jì)劃）》《信息安全殘余風(fēng)險(xiǎn)評(píng)估報(bào)告》《信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告》XXX有限公司文件控制程序編號(hào)：ISMS-B-02版本號(hào):VI.0編制:XXX日期:20XX-08-19審編制:XXX日期:20XX-08-19審核：XXX日期：20XX-08-19批準(zhǔn):XXX日期:20XX-08-19受控狀態(tài) I受控文件I目的為了對(duì)信息安全管理文件的編制、審核、批準(zhǔn)、標(biāo)識(shí)、發(fā)放、管理、使用、評(píng)審、更改、修訂、作廢等過(guò)程的實(shí)施有效控制,特制定本程序。2范圍本程序適用于與信息安全管理體系有關(guān)文件的管理與控制。3職責(zé)3.1總經(jīng)理負(fù)責(zé)批準(zhǔn)信息安全管理文件的制訂、修訂計(jì)劃,負(fù)責(zé)批準(zhǔn)《信息安全管理手冊(cè)》（含信息安全方針）和《信息安全適用性聲明》。3.2管理者代表負(fù)責(zé)審定信息安全管理文件,負(fù)責(zé)批準(zhǔn)信息安全程序文件和作業(yè)文件。3.3綜合管理部d）負(fù)責(zé)信息安全管理文件的歸ロ管理。e）負(fù)責(zé)組織信息安全管理文件的制訂、修訂和評(píng)審等管理工作。f）負(fù)責(zé)信息安全管理文件的標(biāo)識(shí)、作廢、回收等日常工作。4相關(guān)文件《信息安全管理手冊(cè)》《信息安全適用性聲明》《商業(yè)秘密管理程序》《信息安全法律法規(guī)管理程序》5程序管理內(nèi)容與要求文件分類信息安全管理文件:a）《信息安全管理手冊(cè)》（含信息安全方針、方針文件、目標(biāo)文件、信息安全適用性聲明）；b）信息安全管理程序文件;c）信息安全管理作業(yè)文件;d）信息安全管理記錄表格。其他文件:a）各種媒介加載的各種格式的非紙質(zhì)性文件;b）信息安全法律法規(guī)及設(shè)備說(shuō)明書、國(guó)家標(biāo)準(zhǔn)等來(lái)自公司外部的文件。文件編制和修訂2.I要求信息安全管理文件編制和修訂前,編制人員充分了解相關(guān)方的要求和信息,廣泛收集有關(guān)的文件和資料。作為文件編寫的依據(jù),應(yīng)重點(diǎn)考慮以下幾個(gè)方面：a）相關(guān)的法律法規(guī)要求,國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、地方標(biāo)準(zhǔn)的要求,尤其是強(qiáng)制性標(biāo)準(zhǔn)的要求,上級(jí)主管部門頒發(fā)的標(biāo)準(zhǔn)、規(guī)章、規(guī)定等。b）對(duì)客戶和其他相關(guān)方的合同和承諾,客戶與其他相關(guān)方的需求和期望方面的信息。c）國(guó)內(nèi)外同行先進(jìn)水平和發(fā)展方向的信息。d）本組織現(xiàn)有的有關(guān)文件,領(lǐng)導(dǎo)的意圖和要求。e）內(nèi)容應(yīng)與組織的實(shí)際情況相適應(yīng),并保證文件在現(xiàn)有的資源條件下，能得到有效實(shí)施。2.2文件編制部門a）信息安全管理文件由信息安全小組組織，相關(guān)職能部門參與進(jìn)行編制。b）技術(shù)標(biāo)準(zhǔn)由產(chǎn)品研發(fā)部負(fù)責(zé),各相關(guān)部門參與。c）策劃的管理方案和管理活動(dòng)的檢查考核記錄及其他管理、技術(shù)文件由相關(guān)職能部門、單位編制。5.3文件審批5.3.1審批信息安全管理文件發(fā)布前須經(jīng)審批。3.2權(quán)限信息安全管理文件的審批權(quán)限如下:a）《信息安全管理手冊(cè)》（含信息安全方針、方針文件、目標(biāo)文件、信息安全適用性聲明）由總經(jīng)理批準(zhǔn)發(fā)布。b）信息安全程序文件和作業(yè)文件由職能部門組織審核,管理者代表審核,總經(jīng)理批準(zhǔn)發(fā)布。c）策劃的管理方案由職能部門組織審核,管理者代表審核,總經(jīng)理批準(zhǔn)發(fā)布。d）其他管理、技術(shù)作業(yè)和相關(guān)支持性文件由歸ロ管理部門負(fù)責(zé)審核，部門負(fù)責(zé)人審核批準(zhǔn)。5.4文件標(biāo)識(shí)為確保在使用處獲得適用文件的有效版本，文件均要有明確的標(biāo)識(shí)，包括文件編號(hào)、版本號(hào)、分發(fā)號(hào)、發(fā)布和實(shí)施日期、密級(jí)等。信息安全管理文件編號(hào)規(guī)則如下:SANDST0NE-ISMS-A-01《信息安全管理手冊(cè)》SANDST0NE-ISMS-A-02《信息安全適用性聲明》SANDSTONE-ISMS-B-XX程序文件SANDSTONE-ISMS-C-XX作業(yè)文件ISMS-D-XX-XX記錄表單涉密文件應(yīng)按《商業(yè)秘密管理程序》的規(guī)定分類并標(biāo)識(shí)。5文件發(fā)放文件審批后,綜合管理部登記并制定《信息安全文件ー覽表》和《文件發(fā)放/回收ー覽表》,按《文件發(fā)放/回收ー覽表》規(guī)定的范圍進(jìn)行發(fā)放。文件發(fā)放時(shí),綜合管理部應(yīng)在文件第一頁(yè)注明發(fā)放部門和發(fā)布日期。并標(biāo)上“受控”標(biāo)識(shí)。所發(fā)放使用的信息安全管理體系文件均為受控文件,各文件使用部門嚴(yán)格保管，不得外借和復(fù)制,并保持文件清晰、易于識(shí)別。文件的更改及版本管理當(dāng)文件的當(dāng)前內(nèi)容和實(shí)施動(dòng)作不一致時(shí),綜合管理部提出更改文件要求，由文件對(duì)口部門和綜合管理部人員說(shuō)明原因,填寫《文件修改通知單》，經(jīng)原審批部門批準(zhǔn)后,由文件歸口管理部門進(jìn)行修改。版本號(hào)規(guī)定:初次發(fā)布的文件,版本號(hào)以L0作為標(biāo)識(shí),當(dāng)文件發(fā)生修改時(shí),版本號(hào)以下列方式進(jìn)行編制:a）修改內(nèi)容不超過(guò)20%時(shí),版本號(hào)以0.1位依次遞進(jìn),例:1.1；1.2……1.9；10；1.11以此類推;b）修改內(nèi)容超過(guò)20%時(shí),版本號(hào)以1.0位依次遞進(jìn),例:1.0,2.0。文件按文件修改通知單上的內(nèi)容進(jìn)行修改,并更新變更履歷,變更后由綜合管理部進(jìn)行審核，總經(jīng)理批準(zhǔn),確保所有文件更改到位。對(duì)已經(jīng)過(guò)期,不適用本組織業(yè)務(wù)程序的文檔,要進(jìn)行“報(bào)廢”處理;針對(duì)電子檔文件需在首頁(yè)打上“報(bào)廢”水印,在變更履歷中注明“報(bào)廢”原因;針對(duì)紙質(zhì)文件,蓋上“作廢”章,并及時(shí)銷毀處理。文件的評(píng)審當(dāng)出現(xiàn)以下情況,綜合管理部應(yīng)組織對(duì)文件進(jìn)行評(píng)審、必要時(shí)予以更新并再次批準(zhǔn):a）信息安全管理體系結(jié)構(gòu)發(fā)生重大變化時(shí);b）信息安全管理體系標(biāo)準(zhǔn)發(fā)生重大變化時(shí);c）組織結(jié)構(gòu)發(fā)生重大變化時(shí);d）信息安全活動(dòng)、流程發(fā)生重大變化時(shí)。外來(lái)文件的控制組織的外來(lái)文件包括與運(yùn)行維護(hù)有關(guān)的國(guó)家、地方、行業(yè)的法律、法規(guī)、部門規(guī)章、標(biāo)準(zhǔn),體現(xiàn)客戶有關(guān)要求的文件等。組織的外來(lái)文件由綜合管理部負(fù)責(zé)登記在《外來(lái)文件清單》上,《外來(lái)文件清單》應(yīng)注明分布部門,以供使用者查閱。對(duì)外來(lái)法律法規(guī)文件，按《信息安全法律法規(guī)管理程序》控制。綜合管理部須對(duì)受控中的外來(lái)文件進(jìn)行編號(hào)管理，以便于查看。文件的銷毀若受控文件已不在適合本組織時(shí),可對(duì)文件進(jìn)行“回收”處理,判定文件是否可被銷毀,可以在信息安全內(nèi)部審核或管理評(píng)審時(shí)提出,由綜合管理部成員表決,總經(jīng)理批準(zhǔn)。如果文件被批準(zhǔn)銷毀，綜合管理部需重新修改《信息安全文件ー覽表》、并將最新信息登記到《文件發(fā)放/回收ー覽表》。電子文件可以仍然保存在服務(wù)器中,但名稱中要加入“作廢”標(biāo)記;同時(shí),文件的“受控”標(biāo)識(shí)也要改為“作廢"標(biāo)識(shí)。6記錄

《文件發(fā)放/回收ー覽表》《文件修改通知單》《外來(lái)文件清單》XXX有限公司記錄控制程序編號(hào)：ISMS-B-03版本號(hào):VI.0編制:XXX日期：20XX-08-19編制:XXX日期：20XX-08-19審核:XXX日期：20XX-08-19批準(zhǔn):XXX日期:20XX-08-19受控狀態(tài) 受控文件1目的為確保對(duì)信息安全記錄的標(biāo)識(shí)、貯存、保護(hù)、檢索、保存期限和處置實(shí)施有效管理,特制定本程序。2范圍本程序適用于本組織證實(shí)信息安全管理體系符合要求和有效運(yùn)行的記錄管理。3職責(zé)綜合管理部負(fù)責(zé)信息安全記錄的管理。4相關(guān)文件《信息安全管理手冊(cè)》《商業(yè)秘密管理程序》《重要信息備份管理程序》《信息安全記錄分類與保存期限清單》記錄的標(biāo)識(shí).1標(biāo)識(shí)信息安全記錄應(yīng)有追溯標(biāo)識(shí)（如流水號(hào)）,追溯標(biāo)識(shí)由各職能部門確定。文件編號(hào)按照《は八面51'0亞ー15乂54ー02］文件控制程序》“5.4文件標(biāo)識(shí)“中定義的規(guī)則進(jìn)行。.2密級(jí)記錄的密級(jí)分類按《商業(yè)秘密管理程序》規(guī)定進(jìn)行,涉密信息應(yīng)將密級(jí)標(biāo)識(shí)在記錄上。5.2記錄的保管5.2.1保管形式紙質(zhì)記錄由各保管部門按規(guī)定存放于文件夾/文件柜中,電子記錄由各保管部門以電子檔的形式保存在服務(wù)器上。5.2.2備份要求以電子媒體保管的場(chǎng)合,為預(yù)防意外,需做適當(dāng)?shù)膫浞荨浞莸陌踩髨?zhí)行《重要信息備份管理程序》。5.3.1權(quán)限因工作需要,借閱其他部門的秘密記錄,應(yīng)獲得記錄保管部門經(jīng)理授權(quán)后方可借閱,并填寫《記錄借閱登記表》,留下授權(quán)記錄。3.2控制借閱者在借閱期內(nèi)不得改動(dòng)記錄,借閱完畢后,保管部門經(jīng)理刪除其訪問(wèn)閱讀權(quán)限。5.4記錄的錯(cuò)毀5.4.1廢棄超過(guò)保管期限的記錄,應(yīng)填寫《記錄銷毀記錄表》，經(jīng)綜合管理部批準(zhǔn)后,由保管部門作為秘密文件處理廢棄。6記錄《信息安全記錄ー覽表》《記錄借閱登記表》《記錄銷毀記錄表》XXX有限公司糾正措施控制程序編號(hào):-ISMS-B-04版本號(hào):VI.0編制:XXX日期:20XX-08-19審核：XXX 日期：20XX-08-19批準(zhǔn):XXX 日期:20XX-08-19受控狀態(tài) 受控文件I目的為消除與信息安全管理體系要求不符合的原因,防止其再次發(fā)生,持續(xù)改進(jìn)和信息安全管理體系的有效性,特制定本程序。2范圍本程序適用于消除信息安全管理體系不符合原因所采取的糾正措施的管理。3職責(zé)3.1綜合管理部負(fù)責(zé)歸ロ管理糾正措施實(shí)施,組織相關(guān)部門制定糾正措施,并負(fù)責(zé)跟蹤驗(yàn)證。3.2信息安全管理小組負(fù)責(zé)信息系統(tǒng)方面糾正措施的制定與實(shí)施。4相關(guān)文件《信息安全管理手冊(cè)》《文件控制程序》5程序不符合信息來(lái)源g）組織內(nèi)、外部審核中發(fā)現(xiàn)的問(wèn)題;h）日常信息安全管理檢查、監(jiān)控及技術(shù)檢查中指出的不符合項(xiàng);i）突發(fā)的信息安全事件;j）相關(guān)方的建議或抱怨;k）風(fēng)險(xiǎn)評(píng)估報(bào)告。5.2不符合項(xiàng)分析各部門對(duì)本部門產(chǎn)生的不符合,應(yīng)分析產(chǎn)生的原因,評(píng)價(jià)糾正措施的需求。5.3糾正措施采取糾正措施應(yīng)與問(wèn)題的影響程度相適應(yīng),對(duì)于以下情況的不符合應(yīng)采取糾正措施:a）可能造成信息安全事故;b）可能影響顧客滿意程度、造成顧客抱怨與投訴;c）可能影響本公司的企業(yè)形象與經(jīng)濟(jì)利益;d）可能造成生產(chǎn)經(jīng)營(yíng)業(yè)務(wù)中斷。5.4重大事件范疇對(duì)于信息系統(tǒng)的重大事件，技術(shù)部應(yīng)進(jìn)行原因分析，采取糾正措施,以下事件屬于重大事件范疇:a）網(wǎng)絡(luò)遭受大規(guī)模病毒攻擊;b）組織信息資產(chǎn)被盜用;c）公司應(yīng)用管理系統(tǒng)數(shù)據(jù)中斷。5.5糾正措施批準(zhǔn)需制定糾正措施時(shí)，應(yīng)將不符合原因填入《糾正與預(yù)防措施報(bào)告》,制定糾正措施對(duì)策,經(jīng)綜合管理部批準(zhǔn)后予以實(shí)施。6糾正措施結(jié)果記錄實(shí)施糾正措施的部門應(yīng)按照《糾正與預(yù)防措施報(bào)告》要求認(rèn)真執(zhí)行,并將執(zhí)行結(jié)果記入相應(yīng)《糾正與預(yù)防措施報(bào)告》中。驗(yàn)證綜合管理部對(duì)糾正措施實(shí)施結(jié)果進(jìn)行驗(yàn)證,并將驗(yàn)證結(jié)果記錄在《糾正與預(yù)防措施報(bào)告》上。相關(guān)文件更改糾正措施需要涉及文件更改的,應(yīng)對(duì)文件進(jìn)行評(píng)審,按《文件控制程序》更改文件。9保管責(zé)任綜合管理部應(yīng)做好糾正措施相關(guān)記錄的保存。5.10管理評(píng)審輸入管理評(píng)審前,將各部門所采取的糾正措施的有關(guān)情況匯總,提交管理評(píng)審。6記錄《糾正與預(yù)防措施報(bào)告》XXX有限公司預(yù)防措施控制程序編號(hào)：ISMS-B-05版本號(hào):VI.0編制:XXX日期:20XX-08-19審核：XXX 日期：20XX-08-19批準(zhǔn):XXX 日期:20XX-08-19受控狀態(tài)受控文件I目的為消除潛在的與信息安全管理體系要求不符合的原因,防止其發(fā)生,持續(xù)改進(jìn)和信息安全管理體系的有效性,特制定本程序。2范圍本程序適用于消除信息安全管理體系潛在不符合原因所采取的預(yù)防措施的管理。3職責(zé)綜合管理部負(fù)責(zé)組織相關(guān)部門進(jìn)行信息安全數(shù)據(jù)的收集及分析,確定潛在不符合原因,評(píng)價(jià)預(yù)防措施的需求,組織相關(guān)部門制定預(yù)防措施,并負(fù)責(zé)跟蹤驗(yàn)證。2信息安全管理小組負(fù)責(zé)收集和分析信息系統(tǒng)方面的事件和異常情況,確定潛在不符合原因，采取預(yù)防措施。4相關(guān)文件《信息安全管理手冊(cè)》《文件控制程序》5程序預(yù)防措施信息來(lái)源a）組織內(nèi)外安全事件記錄、事故報(bào)告、薄弱點(diǎn)報(bào)告;b）日常管理檢查及技術(shù)檢查中指出的不符合;c）信息安全監(jiān)控記錄;d）內(nèi)、外部審核報(bào)告及管理評(píng)審報(bào)告中的不符合項(xiàng);e）相關(guān)方的建議或抱怨;f）風(fēng)險(xiǎn)評(píng)估報(bào)告;g）其他有價(jià)值的信息等。執(zhí)行時(shí)機(jī)綜合管理部每半年組織相關(guān)部門利用5.1條款所規(guī)定的信息來(lái)源,分析確定潛在不符合及其原因,評(píng)價(jià)防止不符合發(fā)生的措施的需求,并形成《糾正與預(yù)防措施報(bào)告》。5.3預(yù)防措施要求采取預(yù)防措施應(yīng)與潛在問(wèn)題的影響程度相適應(yīng)，對(duì)于以下情況的潛在不符合應(yīng)采取預(yù)防措施:a）可能造成信息安全事故;b）可能影響顧客滿意程度、造成顧客抱怨與投訴;c）可能影響本組織的組織形象與經(jīng)濟(jì)利益;d）可能造成業(yè)務(wù)中斷。原因分析對(duì)于信息系統(tǒng)發(fā)現(xiàn)報(bào)告的重大安全隱患（安全薄弱點(diǎn)）,綜合管理部應(yīng)組織有關(guān)部門進(jìn)行原因分析,采取預(yù)防措施。批準(zhǔn)需制定預(yù)防措施時(shí),應(yīng)將有關(guān)潛在的不符合信息及原因填入《糾正與預(yù)防措施報(bào)告》,組織有關(guān)部門制定預(yù)防措施對(duì)策,確定實(shí)施預(yù)防措施的部門,并將相關(guān)信息填入《糾正與預(yù)防措施報(bào)告》,經(jīng)綜合管理部批準(zhǔn)后予以實(shí)施。重大事項(xiàng)處理當(dāng)問(wèn)題原因不確定或責(zé)任重大時(shí),由采取預(yù)防措施的部門呈報(bào)公司總經(jīng)理。必要時(shí)，應(yīng)提交公司綜合管理部進(jìn)行專題研究,商討對(duì)策。實(shí)施預(yù)防措施的部門應(yīng)按照《糾正與預(yù)防措施報(bào)告》要求認(rèn)真執(zhí)行,并將執(zhí)行結(jié)果記入相應(yīng)《糾正與預(yù)防措施報(bào)告》中。5.8驗(yàn)證綜合管理部對(duì)預(yù)防措施實(shí)施結(jié)果進(jìn)行驗(yàn)證,并將驗(yàn)證結(jié)果記錄在《糾正與預(yù)防措施報(bào)告》上。驗(yàn)證內(nèi)容包括:1）預(yù)防措施是否按預(yù)防措施計(jì)劃的要求實(shí)施;m）是否消除了潛在不符合的原因。9返工處理經(jīng)驗(yàn)證效果不理想,負(fù)責(zé)制定預(yù)防措施的部門應(yīng)重新編制《糾正與預(yù)防措施報(bào)告》實(shí)施。文件更改預(yù)防措施需要涉及文件更改的，應(yīng)對(duì)文件進(jìn)行評(píng)審,按《文件控制程序》更改文件。記錄的保存綜合管理部應(yīng)做好預(yù)防措施相關(guān)記錄的保存。管理評(píng)審輸入管理評(píng)審前,將各部門所采取的預(yù)防措施的有關(guān)情況匯總，提交管理評(píng)審。6記錄《糾正與預(yù)防措施報(bào)告》XXX有限公司內(nèi)部審核管理程序編號(hào):ISMS-B-06版本號(hào):VI.0編制:XXX 日期:20XX-08-19審核：XXX 日期：20XX-08-19批準(zhǔn):XXX 日期:20XX-08-19受控狀態(tài) 受控文件I目的為明確信息安全管理體系內(nèi)審的實(shí)施方法,保證內(nèi)審定期有效地實(shí)施,為管理評(píng)審和持續(xù)改進(jìn)提供依據(jù),確保信息安全管理體系的有效運(yùn)行,特制定本程序。2范圍本程序適用于本公司信息安全管理體系內(nèi)部審核（簡(jiǎn)稱:內(nèi)審）工作的實(shí)施和管理。3職責(zé)綜合管理部負(fù)責(zé)制定年度審核計(jì)劃與每次的審核計(jì)劃,制定內(nèi)審檢查表以供各部門檢查各項(xiàng)活動(dòng)是否在信息安全保障內(nèi);信息安全管理小組任命內(nèi)部審核小組可以進(jìn)行內(nèi)審;負(fù)責(zé)管理和監(jiān)督內(nèi)審的進(jìn)行與內(nèi)審結(jié)果的確認(rèn)。3.3其他各部門配合內(nèi)部審核小組進(jìn)行內(nèi)審,對(duì)內(nèi)審中發(fā)現(xiàn)的問(wèn)題進(jìn)行整改。4相關(guān)文件《信息安全管理手冊(cè)》年度內(nèi)審計(jì)劃計(jì)劃制定綜合管理部制定《年度審核計(jì)劃》,確認(rèn)當(dāng)年年度的審核的目的范圍,受審部門及受審的時(shí)間安排。交由綜合管理部審批。5.2內(nèi)審5.2.1內(nèi)審時(shí)機(jī)內(nèi)部審核原則上每年進(jìn)行ー次,由綜合管理部制定《內(nèi)部審核計(jì)劃》,經(jīng)總經(jīng)理批準(zhǔn)后實(shí)施;若在非內(nèi)審期內(nèi)發(fā)現(xiàn)特殊情況,如有重要信息安全事件發(fā)生,或公司重要業(yè)務(wù)發(fā)生變化，可由綜合管理部申請(qǐng)?jiān)黾觾?nèi)審的次數(shù)，由總經(jīng)理決定是否進(jìn)行內(nèi)審。5.2.2任命每次審核前,由管理者代表任命審核組長(zhǎng),對(duì)參加信息安全審核的人員及部門進(jìn)行任命。信息安全管理小組應(yīng)制定《內(nèi)部審核計(jì)劃》及《內(nèi)審檢查表》,經(jīng)總經(jīng)理批準(zhǔn),并由信息安全管理小組通知被審核部門,被審核部門到時(shí)應(yīng)選派有關(guān)人員配合審核。5.2.3內(nèi)部審核員5.2.3.1資格要求內(nèi)部審核員必須是熟悉本組織業(yè)務(wù)和信息系統(tǒng)情況,參加信息安全管理體系內(nèi)部審核員培訓(xùn)并考核合格的本組織人員。5.2.3.2獨(dú)立性要求內(nèi)部審核員應(yīng)來(lái)自于不同的職能部門,審核人員應(yīng)與被審活動(dòng)無(wú)直接責(zé)任,以保持工作的獨(dú)立性。5.3內(nèi)部審核的實(shí)施3.1審核實(shí)施內(nèi)部審核員應(yīng)按《內(nèi)部審核計(jì)劃》規(guī)定實(shí)施審核，各有關(guān)部門應(yīng)積極配合。3.2不符合項(xiàng)開具對(duì)審核中發(fā)現(xiàn)的不符合項(xiàng),由內(nèi)部審核員開出《不符合項(xiàng)報(bào)告》4糾正措施與跟蹤審核4.1糾正所有不符合項(xiàng)應(yīng)由不符合項(xiàng)的責(zé)任部門負(fù)責(zé)按以下要求制定糾正措施并認(rèn)真實(shí)施:n）檢查本部門其他方面和其他各部門是否存在類似情況;〇）對(duì)所有存在的不符合的問(wèn)題按有關(guān)規(guī)定改正過(guò)來(lái);p）調(diào)查產(chǎn)生該不符合項(xiàng)的原因,填入《不符合項(xiàng)報(bào)告》的‘‘產(chǎn)生不符合項(xiàng)的原因”欄內(nèi),調(diào)查人要簽字,并寫明日期;q）列明消除不符合項(xiàng)產(chǎn)生原因的措施計(jì)劃,并說(shuō)明具體步驟及完成日期,填入《不符合項(xiàng)報(bào)告》的“糾正措施”欄內(nèi),經(jīng)部門領(lǐng)導(dǎo)批準(zhǔn),并寫明日期;r）按制定的糾正措施認(rèn)真實(shí)施，并將實(shí)施結(jié)果記入《不符合項(xiàng)報(bào)告》的“實(shí)施結(jié)果’‘欄內(nèi),記錄人要簽字,并寫明日期。5.4.2跟蹤內(nèi)部審核員在規(guī)定期限進(jìn)行跟蹤審核，對(duì)糾正措施的實(shí)施及有效性進(jìn)行驗(yàn)證,并將驗(yàn)證結(jié)果記入《不符合項(xiàng)報(bào)告》。5.5審核報(bào)告5.5.1審核報(bào)告內(nèi)部審核結(jié)束后,審核組長(zhǎng)應(yīng)起草《內(nèi)部審核報(bào)告》，報(bào)總經(jīng)理審閱,總經(jīng)理簽署意見(jiàn)后發(fā)至各部門。5.5.2管理評(píng)審輸入內(nèi)部審核的結(jié)果應(yīng)作為管理評(píng)審輸入的一部分。5.5.3記錄保管綜合管理部應(yīng)妥善保存評(píng)審記錄。6記錄《年度內(nèi)審計(jì)劃》《內(nèi)部審核計(jì)劃》《內(nèi)審檢查表》《會(huì)議簽到表》《不符合項(xiàng)報(bào)告》《內(nèi)部審核報(bào)告》XXX有限公司管理評(píng)審程序編號(hào)：ISMS-B-07版本號(hào):VI.0編制:XXX 日期:20XX-08-19審核：XXX 日期：20XX-08-19批準(zhǔn):XXX 日期:20XX-08-19受控狀態(tài) |受控文イ句1目的為確保組織信息安全管理體系持續(xù)的適宜性、充分性和有效性,評(píng)估組織信息安全管理體系改進(jìn)和變更的需要,特制定本程序。2范圍本程序適用于對(duì)信息安全管理體系中要求進(jìn)行的管理評(píng)審的實(shí)施程序的管理。3職責(zé)總經(jīng)理主持信息安全管理體系管理評(píng)審。綜合管理部負(fù)責(zé)信息安全管理體系管理評(píng)審的歸口管理。4相關(guān)文件《信息安全管理手冊(cè)》《文件控制程序》《記錄控制程序》5程序管理評(píng)審策劃管理評(píng)審的頻次定期管理評(píng)審由總經(jīng)理主持,通常每年進(jìn)行ー次,一般在內(nèi)部審核后進(jìn)行。.2非定期當(dāng)遇到下列情況時(shí),可不受5.1.1.1的限制,由綜合管理部制定計(jì)劃,信息安全管理小組審核,報(bào)總經(jīng)理批準(zhǔn)后實(shí)施:s）當(dāng)出現(xiàn)重大信息安全事件時(shí);t）當(dāng)信息安全管理體系發(fā)生較大變化時(shí);u）當(dāng)客戶要求或外部環(huán)境條件發(fā)生重大變化時(shí);v）內(nèi)部審核、客戶審核或ISO/IEC27001外部審核時(shí),發(fā)現(xiàn)了對(duì)全組織有影響,屬信息安全管理體系上的重大不符合事項(xiàng)時(shí)。管理評(píng)審的方式管理評(píng)審以專題會(huì)議的方式進(jìn)行,由總經(jīng)理主持管理評(píng)審,評(píng)審會(huì)議由總經(jīng)理、相關(guān)部門負(fù)責(zé)人參加,必要時(shí)可吸收對(duì)應(yīng)專業(yè)管理人員參加。管理評(píng)審的準(zhǔn)備5.1.3.1計(jì)劃編制綜合管理部根據(jù)管理評(píng)審要求組織編制《管理評(píng)審計(jì)劃》，報(bào)信息安全管理小組審核，總經(jīng)理批準(zhǔn)后，提前一周下發(fā)至各相關(guān)部門。相關(guān)準(zhǔn)備相關(guān)部門按《管理評(píng)審計(jì)劃》要求，對(duì)照信息安全管理體系運(yùn)行情況進(jìn)行自評(píng),按各自職責(zé)做好相關(guān)信息、資料的準(zhǔn)備工作,并將有關(guān)信息、資料于管理評(píng)審會(huì)議召開前3天提供給綜合管理部。5.1.3.3資料匯總綜合管理部將各相關(guān)部門提供的材料匯總、分析后編寫《信息安全管理體系運(yùn)行情況報(bào)告》于管理評(píng)審前1天交信息安全小組審核。5.1.3.4議程管理評(píng)審會(huì)議召開前1天，綜合管理部應(yīng)安排好會(huì)議的議程,通過(guò)總經(jīng)理批準(zhǔn)后填寫《管理評(píng)審?fù)ㄖ獑巍罚l(fā)放至評(píng)審計(jì)劃要求參加的各相關(guān)部門（人員）。各相關(guān)部門接到《管理評(píng)審計(jì)劃》后應(yīng)向綜合管理部提供如下材料和信息:a）以往管理評(píng)審的措施的狀態(tài);b）與信息安全管理體系相關(guān)的外部和內(nèi)部問(wèn)題的變更;c）信息安全績(jī)效的反饋,包括下列方面的趨勢(shì):1）不符合和糾正措施;2）監(jiān)視和測(cè)量結(jié)果;3）審核結(jié)果;4）信息安全目標(biāo)的實(shí)現(xiàn);d）相關(guān)方的反饋;e）風(fēng)險(xiǎn)評(píng)估的結(jié)果和風(fēng)險(xiǎn)處置計(jì)劃的狀態(tài);f）持續(xù)改進(jìn)的機(jī)會(huì)。5.3管理評(píng)審會(huì)議5.3.I會(huì)議簽到綜合管理部組織召開管理評(píng)審會(huì)議,與會(huì)人員在《管理評(píng)審會(huì)議簽到表》上簽到。5.3.2報(bào)告總經(jīng)理主持召開管理評(píng)審會(huì)議,綜合管理部提交《信息安全管理體系運(yùn)行情況報(bào)告》,作信息安全管理體系運(yùn)行情況的專題報(bào)告。5.3.3討論全體與會(huì)人員根據(jù)綜合管理部的專題報(bào)告,討論并評(píng)審信息安全管理體系的適宜性、充分性和有效性。3.4總結(jié)總經(jīng)理對(duì)管理評(píng)審作結(jié)論性評(píng)價(jià),提出要求和決策。5.4管理評(píng)審輸出4.1報(bào)告內(nèi)容《管理評(píng)審報(bào)告》包括以下內(nèi)容:a）管理評(píng)審的目的、時(shí)間、參加人員及評(píng)審內(nèi)容;b）信息安全管理體系的適用性、充分性、有效性的綜合評(píng)價(jià)和需要改進(jìn)的地方;c）方針、目標(biāo)、指標(biāo)適宜性的評(píng)價(jià)及需要的更改;d）風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理計(jì)劃的更新要求;e）修訂程序和控制措施的需求;f）管理評(píng)審確定的改進(jìn)決定和措施、責(zé)任部門和完成日期。5.4.2批準(zhǔn)《管理評(píng)審報(bào)告》經(jīng)綜合管理部審核后交總經(jīng)理批準(zhǔn)。5.4.3發(fā)放及歸檔綜合管理部將經(jīng)過(guò)總經(jīng)理批準(zhǔn)的《管理評(píng)審報(bào)告》以文件形式下發(fā)各部門并存檔。5.5改進(jìn)和驗(yàn)證5.5.1改進(jìn)根據(jù)《管理評(píng)審報(bào)告》提出的要求,綜合管理部組織各相關(guān)部門制定改進(jìn)措施計(jì)劃,并對(duì)實(shí)施情況進(jìn)行協(xié)調(diào)、監(jiān)督、檢查。5.5.2文件控制《管理評(píng)審報(bào)告》要求進(jìn)行文件修改的,由綜合管理部按《文件控制程序》執(zhí)行。5.5.3驗(yàn)證綜合管理部組織相關(guān)職能部門對(duì)確定的糾正與預(yù)防改進(jìn)措施的實(shí)施情況進(jìn)行跟蹤檢查,并做好記錄。5.5.4記錄歸檔管理評(píng)審資料、文件和記錄按《記錄控制程序》的要求歸檔和保管。6記錄《管理評(píng)審計(jì)劃》《信息安全管理體系運(yùn)行情況報(bào)告》《管理評(píng)審?fù)ㄖ獑巍贰豆芾碓u(píng)審會(huì)議簽到表》《管理評(píng)審報(bào)告》XXX有限公司信息分類管理程序編號(hào)：ISMS-B-08版本號(hào):VI.0編制:XXX 日期:20XX-08-19審核：XXX 日期：20XX-08-19批準(zhǔn):XXX 日期:20XX-08-19受控狀態(tài) 受控文件I目的為對(duì)組織的各類信息進(jìn)行分類管理,防止因不恰當(dāng)使用或泄漏,特制定本程序。2范圍本程序適用于組織業(yè)務(wù)活動(dòng)中產(chǎn)生的各類信息的分類管理。3職責(zé)3.1綜合管理部負(fù)責(zé)組織各類信息的分類管理。4相關(guān)文件《信息安全管理手冊(cè)》5程序信息資產(chǎn)的分類信息資產(chǎn)信息資產(chǎn)是組織信息安全所保護(hù)的有價(jià)值的任何事物,以多種形式存在,組織對(duì)信息資產(chǎn)進(jìn)行科學(xué)識(shí)別,以便于進(jìn)行信息資產(chǎn)的管理。信息資產(chǎn)范圍組織的信息資產(chǎn)包括:物理資產(chǎn)、人員資產(chǎn)、軟件資產(chǎn)、數(shù)據(jù)資產(chǎn)、文檔資產(chǎn)和服務(wù)資產(chǎn)。5.2.1定義文檔資產(chǎn)是指涉及組織秘密或機(jī)密的紙質(zhì)的各種文件、記錄、檢驗(yàn)和實(shí)驗(yàn)數(shù)據(jù)、配方、方案、計(jì)劃、報(bào)告、會(huì)議紀(jì)要等。5.2.2識(shí)別對(duì)涉密文檔應(yīng)進(jìn)行識(shí)別,填入《信息資產(chǎn)清單》。5.3物理資產(chǎn)5.3.1設(shè)備范圍計(jì)算機(jī)硬件設(shè)備包括個(gè)人計(jì)算機(jī)、計(jì)算機(jī)附件（如打印機(jī)、掃描儀、傳真機(jī)、電話機(jī)）和網(wǎng)絡(luò)設(shè)備（如防火墻、服務(wù)器、交換機(jī)等）。3.2識(shí)別對(duì)所有個(gè)人計(jì)算機(jī)應(yīng)進(jìn)行識(shí)別,填入《信息資產(chǎn)清單》。計(jì)算機(jī)系統(tǒng)和軟件對(duì)計(jì)算機(jī)系統(tǒng)和軟件應(yīng)進(jìn)行識(shí)別和管理,填入《信息資產(chǎn)清單》。重要崗位和人員5.1識(shí)別各部門應(yīng)識(shí)別重要崗位，填入《信息資產(chǎn)清單》。綜合管理部負(fù)責(zé)為重要崗位配備人員,填入《信息資產(chǎn)清單》。安全區(qū)域綜合管理部負(fù)責(zé)識(shí)別重要安全區(qū)域,制定控制方案。信息資產(chǎn)的密級(jí)信息資產(chǎn)的密級(jí)分為:絕密、機(jī)密、秘密、敏感和一般共5類:"絕密’’:按《中華人民共和國(guó)保守國(guó)家秘密法》中指定的秘密和不可對(duì)外公開、若泄露或被篡改會(huì)對(duì)本組織的生產(chǎn)經(jīng)營(yíng)造成特別嚴(yán)重?fù)p害的事項(xiàng);“機(jī)密’’:是指不可對(duì)外公開、若泄露或被篡改會(huì)對(duì)本組織的業(yè)務(wù)造成嚴(yán)重?fù)p害,或者由于業(yè)務(wù)上的需要僅限有關(guān)人員知道的事項(xiàng);c)"秘密'’:是指不可對(duì)外公開、若泄露或被篡改會(huì)對(duì)本組織的業(yè)務(wù)造成損害,或者由于業(yè)務(wù)上的需要僅限有關(guān)人員知道的事項(xiàng);d)"敏感'':是指為了日常的業(yè)務(wù)能順利進(jìn)行而向組織內(nèi)部員エ公開、但不可向組織以外人員隨意公開的事項(xiàng);e)"一般"是指可向組織以外人員隨意公開的事項(xiàng)。5.8《信息資產(chǎn)清單》的評(píng)審針對(duì)完成的《信息資產(chǎn)清單》,綜合管理部負(fù)責(zé)人組織相關(guān)人員進(jìn)行評(píng)審,評(píng)審?fù)ㄟ^(guò)オ認(rèn)為該工作的完成。6記錄《信息資產(chǎn)清單》XXX有限公司商業(yè)秘密管理程序編號(hào):ISMS-B-09

版本號(hào):VLO編制:XXX 日期:20XX-08-19審核:XXX審核:XXX日期:20XX-08-19批準(zhǔn):XXX 日期:20XX-08-19受控狀態(tài)受控文件為更好地保護(hù)各相關(guān)方（包括客戶、合作方）和本組織在業(yè)務(wù)活動(dòng)中產(chǎn)生的各類信息,防止因不恰當(dāng)使用或泄漏,使本公司蒙受經(jīng)濟(jì)損失或法律糾紛,特制定本程序。2范圍本程序適用于各相關(guān)方和本組織在業(yè)務(wù)中產(chǎn)生的各類信息的管理。3職責(zé)綜合管理部負(fù)責(zé)商業(yè)秘密的歸ロ管理。全體員エ遵守保密承諾、保守商業(yè)秘密。4相關(guān)文件《信息安全管理手冊(cè)》《保密協(xié)議》《安全區(qū)域管理程序》《信息安全事件管理程序》商業(yè)秘密分類本程序中所指的商業(yè)技術(shù)秘密分:絕密、機(jī)密、秘密、敏感和一般共5類:"絕密’’:按《中華人民共和國(guó)保守國(guó)家秘密法》中指定的秘密和不可對(duì)外公開、若泄露或被篡改會(huì)對(duì)本組織的業(yè)務(wù)造成特別嚴(yán)重?fù)p害的事項(xiàng);“機(jī)密’’:是指不可對(duì)外公開、若泄露或被篡改會(huì)對(duì)本組織的業(yè)務(wù)造成嚴(yán)重?fù)p害,或者由于業(yè)務(wù)上的需要僅限有關(guān)人員知道的事項(xiàng);y)“秘密’’:是指不可對(duì)外公開、若泄露或被篡改會(huì)對(duì)本組織的業(yè)務(wù)造成損害,或者由于業(yè)務(wù)上的需要僅限有關(guān)人員知道的事項(xiàng);Z)"敏感'':是指為了日常的業(yè)務(wù)及正常工作能順利進(jìn)行而向組織內(nèi)部員エ公開、但不可向組織以外人員隨意公開的事項(xiàng)。aa)“一般'':是指無(wú)須進(jìn)行任何保密的信息或資料,可向外部公開。以上a)-d)4類事項(xiàng)以下簡(jiǎn)稱秘密。5.2商業(yè)秘密的密級(jí)確定和標(biāo)識(shí)商業(yè)秘密由產(chǎn)生該事項(xiàng)的部門確定,員エ對(duì)產(chǎn)生的信息確定密級(jí)時(shí),可隨時(shí)詢問(wèn)部門領(lǐng)導(dǎo)。后者對(duì)前者的請(qǐng)求應(yīng)及時(shí)給予明確的處理。無(wú)法判明時(shí),可請(qǐng)示更高ー級(jí)領(lǐng)導(dǎo)。編寫的文件一旦被指定為秘密文件，則負(fù)責(zé)人應(yīng)對(duì)編寫中和編寫后的無(wú)用稿件進(jìn)行處置。5.3涉密文件的發(fā)放發(fā)送秘密文件時(shí),指定者應(yīng)根據(jù)文件內(nèi)容指定接收部門和接收人。為了避免接收人因不清楚使用范圍而泄密，可在附件中指明使用目的和使用范圍,若從文件標(biāo)題和送付部門ー覽中能使接收者明確使用目的和范圍,可省略上述指定。組織內(nèi)發(fā)送的秘密文件,盡可能親自交給接收人,或裝入信封并標(biāo)明“親展’‘，封好后作為組織內(nèi)文件發(fā)送。非收件人不得隨便拆閱該文件。發(fā)往組織以外的秘密文件，原則上雙方應(yīng)簽署含有保密條款的合同,并經(jīng)部門主管以上的批準(zhǔn)后方可提供。特殊情況（無(wú)保密條款合同，但又必需提供）需事先準(zhǔn)備好保密協(xié)議書，經(jīng)部門主管以上批準(zhǔn)并要求對(duì)方在接收時(shí)簽收。5.4商業(yè)秘密的使用秘密文件的接收人應(yīng)按秘密文件的使用目的、使用范圍正確使用秘密文件。秘密文件的保管人員和秘密的實(shí)際操作人員未經(jīng)指定者許可不得擅自將秘密內(nèi)容向其它人員公開。秘密文件原則上嚴(yán)禁復(fù)印。因業(yè)務(wù)必需時(shí)應(yīng)填寫《涉密文件復(fù)印登記表》，并限制在最小限度，并且在使用后及時(shí)處置。未經(jīng)批準(zhǔn)嚴(yán)禁將秘密文件帶出公司使用。如工作必須,應(yīng)經(jīng)過(guò)部門經(jīng)理以上領(lǐng)導(dǎo)的批準(zhǔn)。5.6商業(yè)秘密的解除或變更5.6.1解除或變更的條件a）秘密因?qū)ν夤_發(fā)表而成為眾所周知的信息時(shí)，商業(yè)秘密的指定將自動(dòng)解除。b）隨著時(shí)間的推移,某些秘密的內(nèi)容已過(guò)時(shí)的情況下。5.6.2解除或變更的方法a）解除或變更商業(yè)秘密指定時(shí),由原編寫部門的指定者書面通知原接收者。b）解除/變更后的文件,按相應(yīng)的管理區(qū)分保管和使用。5.?回收/廢棄秘密文件,如無(wú)特別指定,原則上應(yīng)在使用后及時(shí)回收歸檔保存或廢棄。廢棄秘密文件時(shí),紙類媒體可用粉碎的方法，其它媒體可用初始化或破壞媒體的方法處理。秘密文件改版發(fā)送時(shí),應(yīng)同時(shí)回收舊版或通知接收方廢棄舊版。8保密教育為了使員エ能充分了解并徹底貫徹執(zhí)行商業(yè)秘密管理規(guī)定，應(yīng)對(duì)新入員エ及調(diào)職來(lái)的人員進(jìn)行保守商業(yè)秘密教育。教育時(shí)應(yīng)作好教育記錄。員エ的保密義務(wù)按《保密協(xié)議》執(zhí)行。掌握組織重要業(yè)務(wù)信息、關(guān)鍵技術(shù)的從業(yè)人員離、退職時(shí),本部門管理者應(yīng)對(duì)其進(jìn)行面談,重申保守商業(yè)秘密的規(guī)定,防止將本組織商業(yè)秘密帶出或不正當(dāng)使用。5.9其它外來(lái)人員參觀，應(yīng)嚴(yán)格按組織的《安全區(qū)域管理程序》的規(guī)定辦理手續(xù)，經(jīng)批準(zhǔn)后按申請(qǐng)的時(shí)間和路線參觀。結(jié)束后,由接待責(zé)任部門負(fù)責(zé)送出。因業(yè)務(wù)需要來(lái)組織的相關(guān)訪,原則上應(yīng)使用組織的接待室洽談業(yè)務(wù)。需進(jìn)入辦公室時(shí),應(yīng)征得部門經(jīng)理以上管理者的同意。發(fā)現(xiàn)遺失秘密文件時(shí),應(yīng)及時(shí)向綜合管理部報(bào)告并與原發(fā)行部門聯(lián)系。發(fā)現(xiàn)商業(yè)秘密泄漏、有泄漏征兆或管理上存在重大隱患時(shí),發(fā)現(xiàn)者應(yīng)迅速向本部門經(jīng)理報(bào)告。拾到遺失的秘密文件時(shí),應(yīng)迅速交給遺失者,關(guān)系者不明時(shí),交給本部門經(jīng)理。發(fā)生以上情況時(shí),相應(yīng)部門應(yīng)按《信息安全事件管理程序》的要求迅速調(diào)查原因,采取適當(dāng)?shù)募m正和再發(fā)防止措施,并將處置結(jié)果以書面的方式通知有關(guān)部門。6記錄《涉密文件復(fù)印登記表》XXX有限公司信息安全法律法規(guī)管理程序編號(hào):ISMS-B-10版本號(hào):VI.0

審核:XXX日期:20XX-08-19批準(zhǔn):XXX日期:20XX-08-19受控狀態(tài)受控文件編制:編制:XXX日期:20XX-08-19I目的為確保組織信息安全活動(dòng)符合信息安全管理法律法規(guī)的要求,確保所應(yīng)用的信息安全管理法律法規(guī)和其他要求的適用性,特制定本程序。2范圍本程序適用于組織信息安全管理所涉及的相關(guān)法律、法規(guī)和其他要求的控制管理。3職責(zé)綜合管理部負(fù)責(zé)收集法律法規(guī)和其他要求,組織相關(guān)部門對(duì)法律法規(guī)和其他要求的適宜性和合規(guī)性進(jìn)行評(píng)審。各部門負(fù)責(zé)對(duì)本部門的信息安全相關(guān)法律法規(guī)及其他要求的適宜性的識(shí)別、評(píng)審、更新,并負(fù)責(zé)將信息安全相關(guān)的法律法規(guī)及其他要求文件傳達(dá)給員エ遵照?qǐng)?zhí)行。4引用文件《信息安全管理手冊(cè)》《文件控制程序》5程序法律、法規(guī)和其他要求的分類bb）國(guó)際性信息安全管理法律、法規(guī)和其他要求;cc）國(guó)家信息安全管理法律法規(guī)及標(biāo)準(zhǔn)規(guī)范;dd）地方和行業(yè)性信息安全管理規(guī)章及標(biāo)準(zhǔn)規(guī)范;ee）客戶與相關(guān)方的信息安全要求。2法律、法規(guī)和其他要求的獲取、識(shí)別綜合管理部從政府主管部門或相關(guān)權(quán)威部門獲取相關(guān)的國(guó)家及地方最新信息安全法律法規(guī)及其他要求,并通過(guò)政府機(jī)構(gòu)、行業(yè)協(xié)會(huì)、出版機(jī)構(gòu)、圖書館、報(bào)刊雜志、書店、相關(guān)方等渠道進(jìn)行補(bǔ)充。客戶與相關(guān)方信息安全要求,由相關(guān)專業(yè)部門依據(jù)專業(yè)工作情況由信息員負(fù)責(zé)采集并報(bào)綜合管理部統(tǒng)一管理。綜合管理部組織各部門對(duì)收集到的法律法規(guī)和其他要求逐一進(jìn)行識(shí)別,確定出適合本組織的法律法規(guī)及其他要求,編制《信息安全法律法規(guī)及要求清單》,識(shí)別工作一般一年不少于一次。法律、法規(guī)和其他要求的文本管理綜合管理部獲取信息安全管理法律、法規(guī)和其他要求文本后,應(yīng)補(bǔ)充到《信息安全法律法規(guī)及要求清單》中。相關(guān)部門獲取信息安全管理法律、法規(guī)和其他要求文本后,應(yīng)及時(shí)將獲取的信息安全管理法律、法規(guī)和其他要求文本或信息向綜合管理部進(jìn)行反饋，由綜合管理部補(bǔ)充到《信息安全法律法規(guī)及要求清單》。綜合管理部負(fù)責(zé)取得法律法規(guī)文本,獲得途徑可直接從網(wǎng)絡(luò)下載,并保存為電子檔。綜合管理部獲取的信息安全法律法規(guī)和其他要求的文本或信息應(yīng)負(fù)責(zé)匯總并向有關(guān)部門進(jìn)行傳遞。法律、法規(guī)和其他要求的符合性評(píng)估組織范圍內(nèi)的適用的信息安全管理法律、法規(guī)和其他要求,由綜合管理部負(fù)責(zé)識(shí)別其適用的條款,形成《信息安全法律法規(guī)及要求清單》,并進(jìn)行合規(guī)性評(píng)審。對(duì)適用的法律、法規(guī)和其他要求,綜合管理部負(fù)責(zé)制定為滿足這些要求的控制措施和職責(zé)，將相關(guān)內(nèi)容填入《信息安全法律法規(guī)及要求清單評(píng)價(jià)表》。法律、法規(guī)和其他要求的更新管理綜合管理部定期與政府相關(guān)部門進(jìn)行溝通,向提供法律法規(guī)更新的專業(yè)機(jī)構(gòu)索取最新信息,并通過(guò)政府機(jī)構(gòu)、行業(yè)協(xié)會(huì)、出版機(jī)構(gòu)、報(bào)刊雜志、中國(guó)安全網(wǎng)、會(huì)議等渠道補(bǔ)充,以保持對(duì)法律法規(guī)及其他要求的及時(shí)跟蹤,獲取最新的法律法規(guī)和其他要求文件。當(dāng)法律、法規(guī)和其他要求更新或增加時(shí),綜合管理部應(yīng)及時(shí)進(jìn)行識(shí)別、并修正和補(bǔ)充《信息安全法律法規(guī)及要求清單》,及時(shí)下載最新版本。對(duì)過(guò)期或作廢的法律法規(guī)和其他要求文件,綜合管理部應(yīng)及時(shí)收回,并按《文件控制程序》的要求進(jìn)行管理。組織至少每年組織ー次對(duì)《信息安全法律法規(guī)清單》及其他要求履行情況的合規(guī)性評(píng)審,形成最新的《信息安全法律法規(guī)及要求清單》，必要時(shí)更新實(shí)施控制措施。濫用信息設(shè)施的處罰組織員エ不得在未經(jīng)授權(quán)的前提下使用非公開的信息設(shè)施,或利用組織信息設(shè)施進(jìn)行與法律相悖的行為。ー經(jīng)發(fā)現(xiàn)，組織有權(quán)對(duì)該員エ提出不同程度的處罰措施。包括扣除當(dāng)月獎(jiǎng)金，解除勞動(dòng)合約,當(dāng)發(fā)現(xiàn)員エ行為已經(jīng)觸犯法律時(shí)，組織有權(quán)對(duì)該員工保留法律訴訟的權(quán)利。6記錄《信息安全法律法規(guī)及要求清單》《信息安全法律法規(guī)及要求清單評(píng)價(jià)表》XXX有限公司知識(shí)產(chǎn)權(quán)管理程序編號(hào):ISMS-B-11版本號(hào):VI.0編制:XXX 日期:20XX-08-19審核：XXX 日期：20XX-08-19批準(zhǔn):XXX 日期:20XX-08-19受控狀態(tài) 受控文件I目的通過(guò)對(duì)知識(shí)產(chǎn)權(quán)的流程管理,規(guī)范整個(gè)知識(shí)產(chǎn)權(quán)管理工作,保證知識(shí)產(chǎn)權(quán)管理工作的每個(gè)環(huán)節(jié)的合理性、有效性和流暢,為組織的知識(shí)產(chǎn)權(quán)保護(hù)與管理奠定基礎(chǔ)。2范圍本程序適用于全公司知識(shí)產(chǎn)權(quán)的保護(hù)與管理。3職責(zé)3.1綜合管理部負(fù)責(zé)對(duì)專利、商標(biāo)、計(jì)算機(jī)軟件版權(quán)、商業(yè)秘密的管理,對(duì)相關(guān)部門主管領(lǐng)導(dǎo)提出具體的法律意見(jiàn),針對(duì)不同的對(duì)象需求,提供諸如專利申請(qǐng)、版權(quán)登記、專利信息檢索等服務(wù)。負(fù)責(zé)有關(guān)科技成果的立項(xiàng)評(píng)審工作,作為申報(bào)知識(shí)產(chǎn)權(quán)的準(zhǔn)備。負(fù)責(zé)有關(guān)知識(shí)產(chǎn)權(quán)工作的文件制作與歸檔。3.2各部門負(fù)責(zé)本部門有關(guān)知識(shí)產(chǎn)權(quán)的收集和申報(bào)工作,在使用具有知識(shí)產(chǎn)權(quán)的材料和具有所有權(quán)的軟件產(chǎn)品是,符合公司相關(guān)知識(shí)產(chǎn)權(quán)規(guī)定和法律、法規(guī)和合同的要求。4引用文件《商業(yè)秘密管理程序》5程序5.1專利部分專利信息檢索工作流程圖?發(fā)部U需要有美ヤ利信堵寫專利信息檢素申語(yǔ)知識(shí)產(chǎn)權(quán)分析価委托專利

代理機(jī)恂進(jìn)行ヤ利文獻(xiàn)松

索撰寫檢索根告（抵質(zhì)叉檔

キ電子文檔》送相美研發(fā)郃n研發(fā)部門反饋信息,如有

必要速行二次深度檢索彬成顯終檢案根告,送相

關(guān)橘發(fā)部門并を記、苗、

保存

附:專利信息檢索申請(qǐng)表專利信息檢索申請(qǐng)表申請(qǐng)日期:年月日部門申請(qǐng)人項(xiàng)目名稱項(xiàng)目簡(jiǎn)介:關(guān)鍵詞:部門主管簽名:檢索目的及要求:檢索范圍國(guó)內(nèi)國(guó)外檢索結(jié)果:知識(shí)產(chǎn)權(quán)分析師:附:檢索報(bào)告完成日期:專利許可轉(zhuǎn)讓工作流程圖公出爾要取得他人ヤ利實(shí)

%許可、タ利枚內(nèi)止或者

他人也要裁得公司專利實(shí)

施許可、專利權(quán)特止相美部ns劭知識(shí)產(chǎn)權(quán)分

析師英團(tuán)慄討專利許可先

止的可行性招美部仃與知識(shí)產(chǎn)權(quán)分析

而我冋參與相關(guān)專利許可

特止的談判工作知識(shí)產(chǎn)權(quán)分析所負(fù)費(fèi)草後、

本査、制定有美キ利許可

特止的煙あ合同由ヤ利哲理機(jī)關(guān)を記各案臺(tái)冋釜訂后的保存、的.

監(jiān)貧氮行任何公団願(yuàn)員發(fā)現(xiàn)有侵犯公司ヤ利權(quán)現(xiàn)象,以及任何部門收到其他公団或個(gè)人的キ利侵權(quán)投訴,均成及"向知識(shí)產(chǎn)權(quán)分析而通根知識(shí)產(chǎn)權(quán)分?折而根悒區(qū)體旨況,會(huì)冋有關(guān)部11W論相應(yīng)專利巽給解決方案如果是他人侵犯公司專利枚,分階段采取雙方?和解?由《利e理機(jī)關(guān)検訴,向法院起訴與手段制止使權(quán)行為并要求慣害魁償如果是公司侵犯他人ヤ利權(quán),應(yīng)主勛檢討或停止侵權(quán)行為，分析原因，分別采取宜告有美專利權(quán)無(wú)效.雙方和解,積履應(yīng)訴ヨ手R,使我紛得以川利圓滿解決黃的參與和解詼判,如県足訴陰則制定訴訟第屯.罷寫代理外メ確通法3美Eキ利Wa解決后，撰寫電

培根告5.2計(jì)算機(jī)軟件版權(quán)計(jì)算機(jī)軟件版權(quán)登記工作流程橘發(fā)部n開發(fā)充成某腫辻変機(jī)就件,及時(shí)向知識(shí)產(chǎn)權(quán)分析師通告知識(shí)產(chǎn)權(quán)分析而依協(xié)具體餡況,會(huì)冋有美部n主甘す論相應(yīng)軟件是否以及如何申遺著作權(quán)登記知識(shí)產(chǎn)權(quán)分析而握供材科.

由研發(fā)部n認(rèn)在熄寫，并

息備相關(guān)軟イ?源代碼、文

檔材斜由知識(shí)產(chǎn)權(quán)分析而向計(jì)梵

機(jī)軟件著作權(quán)登記中心餐

文黃記申語(yǔ)知識(shí)產(chǎn)權(quán)分析的負(fù)貢隈踩キ反饋,對(duì)申請(qǐng)材料作撲兒和修改知識(shí)產(chǎn)權(quán)分析而負(fù)費(fèi)量納3腫を記申調(diào)費(fèi)用取得軟件者作權(quán)依節(jié),&

記、保存、歸檔計(jì)算機(jī)軟件版權(quán)侵權(quán)糾紛解決工作流程圖任何公司員エ發(fā)發(fā)有侵犯

公団計(jì)気機(jī)軟件版權(quán)現(xiàn)象.

以及任何部門收到其他公

司或個(gè)人的計(jì)更機(jī)軟件版

枚俊權(quán)枚訴.均應(yīng)及片向

知識(shí)盧權(quán)分析師通根知識(shí)產(chǎn)權(quán)分析価報(bào)備具體情況,會(huì)同有關(guān)部nす論相應(yīng)使權(quán)觀給解決方案如果是他人侵犯公司計(jì)更機(jī)軟件版權(quán).分階段采取ア方和解.向版權(quán)付理機(jī)美校訴.向法院起訴ヨ手段制止侵權(quán)行為并要求悵害魅償如果是公団侵犯他人計(jì)迎機(jī)軟件版權(quán).應(yīng)主動(dòng)核討ヰ停止侵權(quán)行為,分析反因.分別采取雙方和解、職及應(yīng)訴與手段,使紈紛得以胭利圓滿解決.》馬和蟀詼判,如果是訴訟則制定訴訟條屯.攝寫代理司?疏通法律關(guān)系W紛解決后,鬟寫總結(jié)根ル計(jì)算機(jī)軟件版權(quán)許可工作流程圖任何公司員エ發(fā)發(fā)有侵犯公団計(jì)気機(jī)軟件版權(quán)現(xiàn)象.以及任何部門收到其他公司或個(gè)人的計(jì)更機(jī)軟件版枚俊權(quán)枚訴.均應(yīng)及片向知識(shí)盧權(quán)分析師通根知識(shí)產(chǎn)權(quán)分析師依悒具體情況.會(huì)冋有關(guān)部iiw論用成侵權(quán)觀給解決方案如果是他人侵犯公司計(jì)更機(jī)軟件版權(quán).分階段采取ア方和解,向版權(quán)付理機(jī)美校訴.向法院起訴ヨ手段制止侵權(quán)行為并要求悵害魅償如果是公団侵犯他人計(jì)迎機(jī)軟件版權(quán).應(yīng)主動(dòng)核討ヰ停止侵權(quán)行為.分析反因,分別采取雙方和解、職及應(yīng)訴與手段,使紈紛得以胭利圓滿解決.》馬和蟀詼判,如果是訴訟則制定訴訟條電,罷寫代理司?疏通法律關(guān)系￡?紛解決后,奴耳總結(jié)根商標(biāo)注冊(cè)工作流程圖公団甘瓊屋作出新商標(biāo)注

冊(cè)決定,通知知識(shí)產(chǎn)權(quán)分

析而知識(shí)盧權(quán)分析而會(huì)回商標(biāo)發(fā)計(jì)人員討論前的南杭發(fā)計(jì)方案知識(shí)產(chǎn)權(quán)分析師委托南標(biāo)

代援機(jī)崗施行曲折査倒對(duì)及有商標(biāo)及計(jì)方案窟行必要修改后綴出注川申遺.填寫申遺資科.繚他申遺費(fèi)用知識(shí)產(chǎn)權(quán)分析而負(fù)費(fèi)艱眸與反情,時(shí)間為18個(gè)月左右取得曲折注冊(cè)通后的保存

尾哲理注冊(cè)商標(biāo)轉(zhuǎn)讓與使用許可工作流程圖公用管理層梃出招美商標(biāo)特止或受止要求:悵枚他人使用公司注冊(cè)商標(biāo)或者取R他人注冊(cè)商標(biāo)使用許可的要求知識(shí)產(chǎn)權(quán)分析而梃山咨育知識(shí)產(chǎn)權(quán)分析師參キ招美商標(biāo)特止場(chǎng)使用許可的詼判知識(shí)產(chǎn)權(quán)分析師負(fù)壽草?,

本をタ制定商標(biāo)特止キ使

用許可臺(tái)冋知識(shí)產(chǎn)權(quán)分析而負(fù)費(fèi)特止或許可使用合同向南折局的セ記與備案在新南標(biāo)特止片使用許可臺(tái)冋的保存、歸檔キ於管紋行商標(biāo)侵權(quán)糾紛處理工作流程圖任何公硏職員發(fā)況有侵犯公団在あ商標(biāo)雙敷.以及在何部n收到其他公団的商折使權(quán)検訴,均應(yīng)及rt向知識(shí)產(chǎn)權(quán)分?析師通恨知識(shí)產(chǎn)權(quán)分析師報(bào)備反體苗況,會(huì)冋有關(guān)部n討論相應(yīng)侵權(quán)州給解決方案如果是他人侵犯我公司定冊(cè)商標(biāo)專用權(quán),分階段采取雙方和解,向商標(biāo)局投訴,向法院起訴與手段制止侵權(quán)行為并要求憤害賠償如果是公司侵犯他人注命商標(biāo)專用權(quán).應(yīng)主動(dòng)檢討并停止侵權(quán)行為.分析及因.分別采取雙方?和第.職極應(yīng)訴る手段.便我紛得以頰利圓滿解決》馬和蟀詼判,如果是訴訟則制定訴訟條屯.攝寫代理司,疏通法律關(guān)系￡?紛解決后,奴耳總結(jié)根保護(hù)商業(yè)秘密工作流程圖獨(dú)立偌金公明內(nèi)部的保定

制度里要部u建立H條制度,公団內(nèi)部文檔劃分"保冨級(jí)別人，行政部招白員エ的用

工例區(qū)以及情發(fā)部門項(xiàng)目

任務(wù)書中的保需條款侵害商業(yè)我密民事魅催訴

陰訴險(xiǎn)中樂(lè)后,鬟寫總給根

青、公司內(nèi)部案例介緡XXX有限公司重要信息備份管理程序編號(hào)：ISMS-B-12版本號(hào):VI.0編制:XXX 日期:20XX-08-19審核:XXX 日期:20XX-08-19批準(zhǔn):XXX 日期:20XX-08-19受控狀態(tài) 受控文件I目的為確保所有重要業(yè)務(wù)數(shù)據(jù)和軟件能在災(zāi)難（如地震、火災(zāi)）或存儲(chǔ)介質(zhì)損壞之后得以恢復(fù),保證信息處理及生產(chǎn)數(shù)據(jù)的完整性與可用性,特制定本程序。2范圍本程序適用于本公司重要數(shù)據(jù)及軟件的備份管理。3職責(zé)綜合管理部負(fù)責(zé)全組織信息備份工作的技術(shù)指導(dǎo)及對(duì)本部門維護(hù)的重要信息資產(chǎn)的數(shù)據(jù)和軟件實(shí)施備份。3.2各部門負(fù)責(zé)對(duì)本部門維護(hù)的重要信息資產(chǎn)的數(shù)據(jù)和軟件實(shí)施備份。4相關(guān)文件《信息安全管理手冊(cè)》《可移動(dòng)介質(zhì)管理程序》《信息處理設(shè)施維護(hù)管理程序》《信息備份安全策略》5程序備份對(duì)象針對(duì)各部門的重要信息,決定備份對(duì)象為:服務(wù)器的操作系統(tǒng)和安裝工具軟件的所有軟件光盤,服務(wù)器中的數(shù)據(jù)庫(kù),配置管理工具數(shù)據(jù)庫(kù),電腦中重要應(yīng)用系統(tǒng)的數(shù)據(jù)庫(kù);根據(jù)以上備份對(duì)象,制定相應(yīng)的備份周期。安全要求信息備份的安全要求包括:ff）根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，備份方案采取本地備份與異地備份兩種方式同時(shí)gg）備份周期根據(jù)需要可每周或每月,備份地點(diǎn)可根據(jù)重要程度決定異地或者本地備份。;備份周期各部門根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果,制定《重要信息備份周期ー覽表》,在其中明確規(guī)定備份周期、備份方式、備份介質(zhì)及備份負(fù)責(zé)人。備份工作記錄要求《重要信息備份周期ー覽表》經(jīng)部門負(fù)責(zé)人批準(zhǔn)后予以實(shí)施;對(duì)于人工備份應(yīng)填寫《重要信息備份記錄》,信息備份的記錄應(yīng)予以保存。當(dāng)軟件發(fā)生更改時(shí),當(dāng)備份數(shù)據(jù)恢復(fù)前,更換電腦及操作系統(tǒng)前,應(yīng)進(jìn)行備份。5備份的標(biāo)識(shí)各部門應(yīng)采取適宜的方法對(duì)備份信息介質(zhì)進(jìn)行標(biāo)識(shí)，防止備份信息的誤用,標(biāo)識(shí)的內(nèi)容包括:e）備份信息的名稱;f）備份的日期;g）版本號(hào);h）必要時(shí),應(yīng)標(biāo)識(shí)所需采用的備份/還原工具。5.6介質(zhì)管理數(shù)據(jù)備份介質(zhì)應(yīng)保存在適宜的環(huán)境并專人管理;涉及組織秘密的備份介質(zhì)應(yīng)按照《信息分類管理程序》進(jìn)行標(biāo)注,只有授權(quán)的人員オ可以訪問(wèn),并保存在上鎖的文件柜或其他安全儲(chǔ)存場(chǎng)所。

重要備份信息使用的介質(zhì)管理請(qǐng)參見(jiàn)《可移動(dòng)介質(zhì)管理程序》和《信息處理設(shè)施維護(hù)管理程序》。6記錄《重要信息備份周期ー覽表》《重要信息備份記錄》XXX有限公司業(yè)務(wù)持續(xù)性管理程序編號(hào)：ISMS-B-13版本號(hào):VI.0編制:XXX日期：20XX-08-19編制:XXX日期：20XX-08-19審核:XXX日期：20XX-08-19批準(zhǔn):XXX日期:20XX-08-19受控狀態(tài)受控文件I目的確保組織的業(yè)務(wù)能夠持續(xù)穩(wěn)定的進(jìn)行,最低限度的降低信息安全事件對(duì)業(yè)務(wù)的影響。2范圍組織的業(yè)務(wù)運(yùn)作地點(diǎn)包括:深圳市羅湖區(qū)人民南路發(fā)展中心大廈34層。整個(gè)業(yè)務(wù)持續(xù)性管理體系（BCMS）的覆蓋范圍是:hh）屬于組織的一切受知識(shí)產(chǎn)權(quán)保護(hù)的信息;ii）在組織業(yè)務(wù)運(yùn)作地點(diǎn)使用,屬于組織客戶的一切受知識(shí)產(chǎn)權(quán)保護(hù)的信息;JJ）屬于組織的一切物理實(shí)體,包括建筑物、辦公室以及其它的一切設(shè)施與設(shè)備。3職責(zé)綜合管理部審批業(yè)務(wù)連續(xù)性計(jì)劃,分配相關(guān)資源，確保業(yè)務(wù)連續(xù)性活動(dòng)順利進(jìn)行。各相關(guān)部門配合綜合管理部負(fù)責(zé)相關(guān)業(yè)務(wù)持續(xù)性計(jì)劃的實(shí)施。4相關(guān)文件《信息安全事件管理程序》5程序5.1業(yè)務(wù)持續(xù)性和影響的分析由綜合管理部負(fù)責(zé)組織識(shí)別對(duì)業(yè)務(wù)持續(xù)性造成嚴(yán)重影響的主要事件,如信息系統(tǒng)設(shè)備故障、自然災(zāi)害等,分析一旦這些事件發(fā)生會(huì)對(duì)業(yè)務(wù)活動(dòng)造成的影響和損失，以及統(tǒng)計(jì)恢復(fù)業(yè)務(wù)所需費(fèi)用等。業(yè)務(wù)持續(xù)性和影響分析應(yīng)包括以下內(nèi)容:a）識(shí)別關(guān)鍵業(yè)務(wù)的管理過(guò)程;b）識(shí)別可能引起業(yè)務(wù)活動(dòng)中斷的主要事件;c）分析主要事件對(duì)信息系統(tǒng)和業(yè)務(wù)活動(dòng)造成的影響;d）考慮關(guān)于系統(tǒng)恢復(fù)或替換的需求。5.2《業(yè)務(wù)持續(xù)性管理計(jì)劃》（簡(jiǎn)稱BCP）的編制與實(shí)施綜合管理部負(fù)責(zé)確定影響業(yè)務(wù)持續(xù)性的關(guān)鍵功能或業(yè)務(wù)，編制《業(yè)務(wù)持續(xù)性管理計(jì)劃》?！稑I(yè)務(wù)持續(xù)性管理計(jì)劃》應(yīng)包括以下方面的內(nèi)容:a）計(jì)劃實(shí)施所涉及的部門/人員的職責(zé)及接口關(guān)系的描述;b）業(yè)務(wù)中斷的快速報(bào)告程序及要求;c）業(yè)務(wù)中斷的恢復(fù)程序及方法;d）業(yè)務(wù)中斷恢復(fù)的時(shí)限要求;e）保持本組織業(yè)務(wù)持續(xù)運(yùn)作應(yīng)采取的應(yīng)急措施與備用措施;f）必要的技術(shù)支持及資源要求。重要系統(tǒng)一旦受到重大影響或中斷后,綜合管理部及相關(guān)部門應(yīng)立即執(zhí)行《業(yè)務(wù)持續(xù)性管理計(jì)劃》,對(duì)信息系統(tǒng)采取應(yīng)急措施,并進(jìn)行恢復(fù),確保業(yè)務(wù)活動(dòng)的持續(xù)運(yùn)行。同時(shí),應(yīng)按照《信息安全事件管理程序》做好事故處理記錄，記錄內(nèi)容應(yīng)包括:a）對(duì)業(yè)務(wù)中斷原因的調(diào)查分析;b）業(yè)務(wù)中斷造成損失的統(tǒng)計(jì);c）采取的糾正措施;d）應(yīng)吸取經(jīng)驗(yàn)教訓(xùn)及預(yù)防措施等。5.3業(yè)務(wù)持續(xù)性計(jì)劃的測(cè)試與評(píng)審每年年末由綜合管理部組織相關(guān)部門對(duì)《業(yè)務(wù)持續(xù)性管理計(jì)劃》進(jìn)行測(cè)試,以判斷計(jì)劃的可行性和有效性。測(cè)試可采用以下方法進(jìn)行:a）對(duì)已發(fā)生過(guò)的業(yè)務(wù)中斷及恢復(fù)措施實(shí)例進(jìn)行討論;b）組織相關(guān)部門進(jìn)行業(yè)務(wù)中斷及恢復(fù)的模擬演練;c）采用技術(shù)手段對(duì)系統(tǒng)運(yùn)行及中斷恢復(fù)的相關(guān)參數(shù)進(jìn)行測(cè)量;d）由外部服務(wù)供應(yīng)商提供服務(wù)和產(chǎn)品測(cè)試，確保所提供的外部服務(wù)和產(chǎn)品符合合同要求。測(cè)試完成后綜合管理部負(fù)責(zé)編制《業(yè)務(wù)持續(xù)性管理計(jì)劃測(cè)試報(bào)告》,并對(duì)計(jì)劃的適用性和有效性進(jìn)行評(píng)審,形成《業(yè)務(wù)持續(xù)性管理計(jì)劃評(píng)審報(bào)告》。根據(jù)《業(yè)務(wù)持續(xù)性管理計(jì)劃評(píng)審報(bào)告》的要求,決定是否對(duì)《業(yè)務(wù)持續(xù)性管理計(jì)劃》進(jìn)行修改。6記錄《業(yè)務(wù)持續(xù)性管理計(jì)劃》《業(yè)務(wù)持續(xù)性管理計(jì)劃測(cè)試報(bào)告》《業(yè)務(wù)持續(xù)性管理計(jì)劃評(píng)審報(bào)告》XXX有限公司信息安全溝通協(xié)調(diào)管理程序編號(hào):ISMS-B-14版本號(hào):VI.0編制:XXX 日期:20XX-08-19審核:XXX 日期:20XX-08-19批準(zhǔn):XXX 日期:20XX-08-19受控狀態(tài) 受控文件I目的為確保組織信息安全方面信息的內(nèi)外部溝通渠道的暢通,特制定本程序。2適用范圍適用于組織有關(guān)信息安全事務(wù)的協(xié)商和內(nèi)外信息交流的管理。3職責(zé)信息安全管理小組kk）負(fù)責(zé)組織范圍內(nèi)有關(guān)信息安全方面的信息交流和溝通活動(dòng)的日常管理工作,組織召開信息安全協(xié)調(diào)會(huì);11）與相關(guān)的權(quán)威機(jī)構(gòu)、專業(yè)團(tuán)體或其他安全專家論壇以及專業(yè)協(xié)會(huì)建立和保持適當(dāng)?shù)穆?lián)系;mm）負(fù)責(zé)本組織信息安全管理信息向外部傳遞,與地方電信、消防、供電、供水公安等部門在信息安全管理方面保持聯(lián)系。其他部門a）根據(jù)職責(zé)分エ在各自業(yè)務(wù)內(nèi),負(fù)責(zé)與相關(guān)政府部門建立聯(lián)系并進(jìn)行溝通;b）負(fù)責(zé)收集本部門安全管理信息,并進(jìn)行傳遞、溝通;c）在各自業(yè)務(wù)內(nèi),負(fù)責(zé)與相關(guān)方之間在信息安全方面進(jìn)行縱向橫向信息的交流與溝通。4相關(guān)文件《信息安全管理手冊(cè)》《信息安全法律法規(guī)管理程序》5程序.1信息安全溝通的內(nèi)容a）管理與信息安全有關(guān)的法律、法規(guī)和其他要求頒布與修訂制度的信息;b）信息安全的威脅、薄弱點(diǎn)及相關(guān)事件的信息;c）國(guó)內(nèi)外信息安全管理的進(jìn)展及科技成果信息;d）公司信息安全管理檢查情況;e）相關(guān)方對(duì)公司信息安全管理的建議、要求和意見(jiàn)、投訴信息。.2信息安全的溝通方式d）各部門代表參加的溝通協(xié)調(diào)會(huì)議;e）電話傳達(dá);f）書面通知;g）電子郵件、傳真;h）宣傳板報(bào)、公司網(wǎng)頁(yè);i）信息安全管理工作報(bào)告、總結(jié)。3信息安全的協(xié)商組織在執(zhí)行下列活動(dòng)時(shí),應(yīng)與各部門協(xié)商:息安全方針的制定、修改和評(píng)審;理文件,特別是作業(yè)文件的修改和評(píng)審;息安全的資產(chǎn)識(shí)別與風(fēng)險(xiǎn)評(píng)估;能影響到信息安全的任何活動(dòng)。協(xié)商的方式有口頭或書面交流,文件審核,參與會(huì)議討論等,口頭協(xié)調(diào)方式必須有記錄可供參考。綜合管理部及時(shí)收集員エ的意見(jiàn)和建議，反饋并督促相關(guān)部門處理。內(nèi)部信息溝通管理信息安全管理小組是組織信息溝通的主管部門。組織依托各部門建立組織級(jí)信息安全網(wǎng)絡(luò),負(fù)責(zé)組織內(nèi)部信息的溝通管理（見(jiàn)《信息安全組織管理機(jī)構(gòu)及職責(zé)》）。信息安全管理小組負(fù)責(zé)信息安全管理體系的建立及實(shí)施過(guò)程中的溝通和協(xié)調(diào),負(fù)責(zé)與咨詢機(jī)構(gòu)、認(rèn)證機(jī)構(gòu)、專業(yè)團(tuán)體建立聯(lián)系，獲取相關(guān)的信息安全行業(yè)信息。組織根據(jù)需要建立信息安全管理專家組,包括有關(guān)信息安全和口方面的專家，形成《信息安全專家名單》,經(jīng)公司總經(jīng)理批準(zhǔn),組織就信息安全活動(dòng)的事項(xiàng)向信息安全管理專家組進(jìn)行咨詢，信息安全管理專家組負(fù)責(zé)解答。外部信息的溝通管理國(guó)家頒布的相關(guān)法律、法規(guī)和各級(jí)綜合管理部門制訂的相關(guān)要求,由信息安全管理小組按照《信息安全法律法規(guī)管理程序》的規(guī)定要求，進(jìn)行必要的溝通和信息的采集、管理。相關(guān)方對(duì)組織的信息安全管理的建議、要求和投訴等信息及國(guó)家主管部門的監(jiān)督、檢查信息,由相關(guān)業(yè)務(wù)主管部門負(fù)責(zé)采集,并及時(shí)向信息安全管理小組傳遞。對(duì)客戶、監(jiān)理單位、承包商的有關(guān)信息安全溝通以會(huì)議、聯(lián)絡(luò)單、月報(bào)表、正告通知單等形式,由組織的業(yè)務(wù)主管部門負(fù)責(zé)。信息安全管理小組負(fù)責(zé)建立《信息安全專家名單》,與信息安全權(quán)威機(jī)構(gòu)（如公安部門的計(jì)算機(jī)安全部門）和相關(guān)團(tuán)體（信息安全第三方服務(wù)機(jī)構(gòu)）建立聯(lián)系,及時(shí)報(bào)告信息安全事件（包括可能會(huì)違背法律的信息安全事件）,取得指導(dǎo)和支持。內(nèi)部信息的溝通管理組織的信息安全管理文件的修訂、審核和信息安全管理方針、目標(biāo)和指標(biāo)信息，由IT部組織實(shí)施傳遞與管理。組織的設(shè)計(jì)、生產(chǎn)、技術(shù)的信息安全管理信息,由u部采集與整理,并向信息安全管理小組傳遞。組織內(nèi)部在進(jìn)行信息安全工作檢查時(shí),如發(fā)現(xiàn)的問(wèn)題需要內(nèi)部交流的,直接與職能部門溝通，必要時(shí)提請(qǐng)綜合管理部組織協(xié)調(diào)。信息安全管理小組至少每季度召開一次各部門負(fù)責(zé)人或部門代表參加的聯(lián)席會(huì)議,就組織的信息安全活動(dòng)的事項(xiàng)進(jìn)行溝通和協(xié)調(diào)。信息的處理信息安全管理小組負(fù)責(zé)收集并處理內(nèi)外部有關(guān)信息，包括相關(guān)方合理的意見(jiàn)和投訴,對(duì)可能引起的信息安全危害,必須提出處理措施和整改意見(jiàn),報(bào)主管領(lǐng)導(dǎo)批準(zhǔn)后執(zhí)行,信息安全管理小組負(fù)責(zé)對(duì)處理措施有效性進(jìn)行驗(yàn)證。8信息管理記錄組織在實(shí)施信息溝通管理的同時(shí),由實(shí)施信息采集或溝通的部門負(fù)責(zé)建立信息溝通記錄,向信息安全管理小組傳遞，信息安全管理小組保持信息溝通、處置記錄。相關(guān)方對(duì)組織的信息管理的建議、要求和投訴等需進(jìn)行回復(fù)的信息，由信息安全管理小組建立信息回復(fù)和處置記錄。6記錄《信息安全專家名單》XXX有限公司信息安全事件管理程序編號(hào)：ISMS-B-15版本號(hào):VI.0

編制:編制:XXX日期:20XX-08-19審核:XXX 日期:20XX-08-19批準(zhǔn):XXX 日期:20XX-08-19受控狀態(tài) 受控文件I目的為建立信息安全事件報(bào)告、反應(yīng)與處理機(jī)制,減少信息安全事件所造成的損失,采取有效的糾正與預(yù)防措施,特制定本程序。2范圍本程序適用于組織的信息安全事件的管理。3職責(zé)綜合管理部歸ロ管理信息安全事件的調(diào)查、處理及糾正措施管理。各系統(tǒng)使用人員負(fù)責(zé)相關(guān)信息安全事件的報(bào)告。4相關(guān)文件《信息安全管理手冊(cè)》《信息安全獎(jiǎng)懲管理程序》5程序信息安全事件定義與分類信息設(shè)備故障、線路故障、軟件故障、惡意軟件危害、人員故意破壞或工作失職等原因直接造成下列影響（后果）之ー,均為信息安全事件:nn）組織的秘密、機(jī)密及絕密信息泄露或丟失;〇〇）重要業(yè)務(wù)部門停止工作五小時(shí)以上;PP）造成信息資產(chǎn)損失的火災(zāi)、洪水、雷擊等災(zāi)害;qq）損失在ー萬(wàn)元以上的故障/事件。信息設(shè)備故障、線路故障、軟件故障、惡意軟件危害、人員故意破壞或工作失職等原因直接造成下列影響（后果）之ー,屬于重大信息安全事件:a）組織的機(jī)密及絕密信息泄露;b）重要業(yè)務(wù)部門停止工作十小時(shí)以上;c）造成重要信息設(shè)備毀滅的火災(zāi)、洪水、雷擊等災(zāi)害;d）損失在五萬(wàn)以上的故障/事件。5.2事件的報(bào)告渠道與處理5.2.1事件報(bào)告要求事件的發(fā)現(xiàn)者應(yīng)按照以下要求履行報(bào)告任務(wù):a）各個(gè)信息管理系統(tǒng)使用者,在使用過(guò)程中如果發(fā)現(xiàn)軟硬件故障、事件,應(yīng)該向該系統(tǒng)歸ロ管理部門和綜合管理部報(bào)告;如故障、事件會(huì)影響或已經(jīng)影響業(yè)務(wù)運(yùn)行,必須立即報(bào)告相關(guān)部門,采取必要措施,保證對(duì)業(yè)務(wù)的影響降至最低;b）發(fā)生火災(zāi)應(yīng)立即觸發(fā)火警并向綜合管理部報(bào)告,啟動(dòng)消防應(yīng)急預(yù)案;c）涉及組織的秘密、機(jī)密及絕密泄露、丟失應(yīng)向綜合管理部報(bào)告;d）發(fā)現(xiàn)信息安全的弱點(diǎn)，應(yīng)該向事件處理部門進(jìn)行報(bào)告;5.2.2事件的響應(yīng)事件處理部門接到報(bào)告以后,應(yīng)立即進(jìn)行迅速、有效和有序的響應(yīng),包括采取以下適當(dāng)措施:a）報(bào)告者應(yīng)保護(hù)好故障、事件的現(xiàn)場(chǎng),并采取適當(dāng)?shù)膽?yīng)急措施,防止事態(tài)的進(jìn)ー步擴(kuò)大;b）按照有關(guān)的事件處理文件（程序、作業(yè)手冊(cè)）排除故障,恢復(fù)系統(tǒng)或服務(wù),必要時(shí),啟動(dòng)業(yè)務(wù)持續(xù)性管理計(jì)劃。5.3事件調(diào)查處理與糾正措施故障處理部門應(yīng)對(duì)故障原因進(jìn)行分析，必要時(shí),采取糾正措施,故障的原因及采取措施的結(jié)果予以記錄。對(duì)于信息安全事件,在故障排除或采取必要措施后,綜合管理部會(huì)同事件責(zé)任部門,對(duì)事件的原因、類型、損失、責(zé)任進(jìn)行鑒定,形成《信息安全事件調(diào)查處理報(bào)告》,報(bào)綜合管理部批準(zhǔn);對(duì)于違反組織的信息方針、程序及安全規(guī)章所造成的信息安全事件責(zé)任者依據(jù)《信息安全獎(jiǎng)懲管理程序》予以懲戒,并在組織內(nèi)予以通報(bào)。綜合管理部要求事件責(zé)任部門制定糾正措施并實(shí)施,實(shí)施結(jié)果記錄在《信息安全事件調(diào)查處理報(bào)告》。由綜合管理部對(duì)實(shí)施情況進(jìn)行跟蹤驗(yàn)證,驗(yàn)證結(jié)果記入《信息安全事件調(diào)查處理報(bào)告》。3重大信息安全事件處理要求重大信息安全事件處理,除需要按照信息安全事件處理之外,需要遵循以下要求:a）發(fā)生重大信息安全事件,事件受理部門應(yīng)向綜合管理部和有關(guān)領(lǐng)導(dǎo)報(bào)告;b）重大信息安全處理方案,應(yīng)該得到有關(guān)領(lǐng)導(dǎo)的審核和批準(zhǔn);c）重大信息安全事件處理完畢應(yīng)將其事件發(fā)生、處理、預(yù)防方案總結(jié)為知識(shí),并傳達(dá)給相關(guān)人員。5.4證據(jù)的收集當(dāng)ー個(gè)信息安全事件涉及到訴訟（民事的或刑事的）,需要進(jìn)ー步對(duì)個(gè)人或組織進(jìn)行起訴時(shí)，應(yīng)收集、保留和呈遞證據(jù)，以使證據(jù)符