作業(yè)文件匯編

PAGEPAGE2作業(yè)文件目錄序號文件名稱編號頁碼物理訪問制度ISMS-30013外部相關方信息安全管理規(guī)定ISMS-30025與政府相關資質申報及年審相關管理規(guī)定ISMS-30037信息系統容量規(guī)劃及驗收管理制度ISMS-30049信息安全崗位任職要求管理規(guī)定ISMS-300613應用系統開發(fā)安全管理規(guī)范ISMS-300717信息資產密級管理規(guī)定ISMS-300822信息系統設備管理規(guī)定ISMS-300926機房管理規(guī)定ISMS-301030筆記本電腦管理規(guī)定ISMS-301134介質管理規(guī)定ISMS-301238變更管理規(guī)定ISMS-301341第三方服務管理規(guī)定ISMS-301446數據備份管理規(guī)定ISMS-301549電子郵件管理工作規(guī)定ISMS-301651軟件管理規(guī)定ISMS-301755系統監(jiān)控管理規(guī)定ISMS-301858補丁管理規(guī)定ISMS-301961信息系統審核規(guī)范ISMS-302064

物理訪問制度ISMS-30011.0目的為了保障公司辦公區(qū)域資訊信息安全和員工人身及財物安全，防止公司財產流失，特制定本制度。2.0范圍本制度適用于公司員工外出及外來人員進入公司出入管理。3.0職責3.1公司設立接待人員,負責來訪人員登記管理。4.0員工外出管理4.1員工因工作需要外出,需向相應上一級主管作出事由說明,經批準后方可外出。4.2到客戶現場提供服務或工作的人員,需帶公司胸卡。5.0來賓出入管理規(guī)定5.1凡是來賓訪客（包括外包協作廠商、客戶及政府等來訪人員）進入公司內時，一律須出示其有效證件，說明來訪事由，經被訪人同意后，方可允許相關人員進入辦公區(qū)。5.2團體來賓參觀時，在得到總經理或副總的許可后，須由相關人員陪同方可進入。5.3員工親友私事來訪時，除特殊緊急事故，經其部門主管核準外，不得在上班時間內會客，親友須于會客區(qū)內等候至下班時會見。5.4公司內部核心區(qū)域出入管理規(guī)定5.4.1敏感區(qū)域公司敏感區(qū)域主要為內部機房和經理室.公司安裝監(jiān)控器;實施辦公區(qū)域24小時監(jiān)控.5.4.2如需進入上述敏感區(qū)域，需經管理者代表/總經理同意,否則不得進入。相關文件物理訪問控制程序相關記錄無外部相關方信息安全管理規(guī)程ISMS-30021目的為確保被外部相關方訪問、處理、共享、管理的組織信息及信息處理設施的安全，特制定本管理規(guī)定。2范圍本管理規(guī)定適用于公司外部相關方(包括顧客.供方.第三方)管理。3職責綜合部系統管理員負責制定本規(guī)定并負責執(zhí)行。4管理規(guī)定4.1第三方物理訪問須經公司被訪問部門的授權,具體執(zhí)行《訪客管理制度》.4.2公司與顧客需明確規(guī)定信息安全要求，公司規(guī)定在與客戶簽訂合同中需規(guī)定必要的安全要求。4.3服務器訪問權需由網絡技術部統一授權給用戶,一個用戶給予惟一賬號,口令自行保管.4.4本公司公網接入服務提供方等為外包過程,此類外包服務商應由綜合部組織簽訂服務協議/合同,并應收集其相關資質,經公司評估成為合格供方后方可與之進行經濟來往.4.5采購供方或任何其它相關方人員現場訪問公司現場時,需由綜合部接待,需要涉及到公司重要應用軟件、重要設施及重要數據的訪問時,必須由網絡技術部人員授權方可使用或查閱,涉及到資料復制名外借時,公司重要數據和文件需征得總經理同意.5.1《服務合同》1年與政府相關資質申報及年審相關管理規(guī)定ISMS-3003目的:為公司對外與政府相關部門的相關業(yè)務聯系提供指導;職責:綜合部負責各項政府項目的申報。綜合部負責報稅和營業(yè)執(zhí)照年審。綜合部相關管理要求:3．1申報相關流程;由綜合部按各政府部門項目申報的要求下載相關表格,并按要求組織填報.3.2申報涉及到相關經營數據的審核相關經營數據在上報給政府部門前，先由核對數據，再交由綜合部，審核通過后由總經理蓋公司公章。3．3．綜合部申報材料的備份管理所有上報給政府部門的文件數據都備份一份，由綜合部資質人員整理歸檔保存在辦公室檔案室中，并記錄檔案文件編號。3．4材料保密要求所有檔案文件材料由綜合部專員負責看管，其他人員如要查閱，需先向綜合部申請，獲得總經理批準認可后，到存放檔案的辦公室中查閱相關文件，檔案文件不允許帶出辦公室。4．相關資質申報年審管理要求4．1報稅管理要求用政府財稅處相關報稅軟件，在線填寫企業(yè)經營數據，完成后由軟件系統上報。4．2營業(yè)執(zhí)照管理要求接到政府相關部門通知后，持企業(yè)營業(yè)執(zhí)照到指定政府辦事處辦理營業(yè)執(zhí)照年審手續(xù)。信息系統容量規(guī)劃及驗收管理制度ISMS-30041.0目的針對已確定的服務級別目標和業(yè)務需求來設計、維持相應的IT服務能力，從而確保實際的IT服務能夠滿足服務的要求。2.0范圍適用于公司所有硬件、軟件、外圍設備、人力資源容量管理。3.0職責網絡技術部負責確定、評估容量需求。4.0內容4.1容量管理包括：服務器,重要網絡設備：LAN、WAN、防火墻、路由器等；所有外圍設備：存儲設備、打印機等；所有軟件：操作系統、網絡、內部開發(fā)的軟件包和購買的軟件包；人力資源：要維持有足夠技能的人員。4.2對于每一個新的和正在進行的活動來說，公司管理層應識別容量要求。4.3公司管理層每年應在管理評審時評審系統容量的可用性和效率。公司管理層應特別關注與訂貨交貨周期或高成本相關的所有資源，并監(jiān)視關鍵系統資源的利用，識別和避免潛在的瓶頸及對關鍵員工的依賴。4.4網絡技術部應根據業(yè)務規(guī)劃、預測、趨勢或業(yè)務需求,定期預測施加于IT系統上的未來的業(yè)務負荷以及組織信息處理能力，以適當的成本和風險按時獲得所需的容量,預測應做好《容量監(jiān)控評審表》。5.0相關記錄《容量監(jiān)控評審表》信息安全崗位任職要求ISMS-30061主要內容本標準規(guī)定了計算機應用管理專業(yè)工作的任職要求。2范圍適用公司相關人員任職要求.1.網絡技術部主管任職條件:計算機相關專業(yè)本科以上學歷,五年以上VC6.0/VS2003/VS2005使用工作經驗.熟練掌握VC6.0/VS2003/VS2005開發(fā)工具進行界面設計，精通C++類的使用精通計算機網絡管理應用的理論與專業(yè)知識。具備一定的協調有關部門以及專業(yè)人員之間的能力。具備相當的外語水平，能閱讀計算機專業(yè)文獻。了解有關本公司信息系統運行的知識。2.軟件工程師任職條件計算機或相關專業(yè)，大專及以上學歷，一年以上VC6.0/VS2003/VS2005使用工作經驗.熟練掌握VC6.0/VS2003/VS2005開發(fā)工具進行界面設計，精通C++類的使用；3).能熟練熟練編寫SQL語句,熟悉SQLServer、Oracle、IBMDB2等數據庫，能夠利用ODBC、ADO等方式訪問數據庫；4).熟悉Linux系統下圖形圖像編程，熟練掌握鏈表、數組的使用，能夠利用多種算法對鏈表、數組中的對象進行排序或快速查找。5)硬件開發(fā)工程師需機械/電子相關專業(yè);且需熟練CAD等繪圖軟件.3.綜合部主管任職條件大?；蛞陨蠈W歷;有行政管理三年以上工作經驗;有較強的團隊組織管理能力.4.市場部經理任職條件?？苹蛞陨蠈W歷;三年以上軟件行業(yè)管理工作經驗;熟練掌握OFFICE辦公系列軟件操作；社會資源豐富，公關能力強。應用系統開發(fā)及安全管理規(guī)范ISMS-3007目的和范圍明確本公司應用開發(fā)過程在信息安全方面的基本要求和原則，為正在進行和將要進行開發(fā)的應用系統提供涉及開發(fā)的參考依據。以保證應用數據的機密性、完整性和可用性。本公司正在進行開發(fā)以及將要進行開發(fā)的項目可以參照本文檔。術語和定義無引用文件下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內容）或修訂版均不適用于本標準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。ISO/IEC27001:2005信息技術-安全技術-信息安全管理體系要求ISO/IEC27002:2005信息技術-安全技術-信息安全管理實施細則信息資產密級管理規(guī)定信息系統獲取、開發(fā)與維護程序職責和權限軟件部是信息系統開發(fā)過程中的安全管理部門,負責保證開發(fā)過程安全。應用開發(fā)安全管理規(guī)范5.1應用開發(fā)基本原則和框架應用開發(fā)的安全原則應當參照“信息系統獲取開發(fā)與維護控制程序”的相關規(guī)定執(zhí)行。在應用開發(fā)過程中參考以下模型：軟件能力成熟度模型CMMI（CapacityMaturityModel）；系統安全工程能力成熟模型（SSE-CMM）。應當根據本公司業(yè)務系統的特點，盡快規(guī)劃全局性的信息系統應用安全架構，明確應用系統各個模塊之間、應用系統與操作系統、數據庫之間、應用系統與其他軟件之間的接口關系以及相關的安全需求。必須考慮用戶的集中統一管理和授權，所有應用系統的開發(fā)必須遵照執(zhí)行。5.2應用系統設計安全安全需求必須在系統開發(fā)的需求分析階段進行確認。安全需求包括通用安全需求和特殊安全需求。通用安全需求至少包括：身份識別、身份認證、權限授予；數據加密是用于保護信息機密性的技術。在保護敏感或關鍵信息時使用，對于重要信息的內容傳遞過程應當采用加密措施進行控制；輸入數據驗證：對應用系統的數據輸入進行驗證，保證輸入數據正確并合乎要求；數據的內部處理：為防止正確的數據因處理錯誤或故意人為等因素遭到破壞而采取的檢查和控制措施；輸出數據驗證：對應用系統輸出的數據進行驗證，保證對存儲信息的正確處理；消息驗證：檢查傳輸的電子消息內容是否有非法變更或破壞的技術手段?？梢杂眉用芗夹g作為實現消息驗證的手段；數字簽名：保護電子文檔的真實性和完整性的方法?？梢詰糜诟鞣N形式的電子處理文檔；不可否認服務：幫助確定驗證某個事件或行為是否發(fā)生的證據，通常通過加密和數字簽名技術實現；密鑰管理：防止密鑰的破壞或丟失；其他輔助的安全技術，如防火墻、IDS等。特殊需求包括根據應用的特殊應用情況而產生的具體安全技術要求，例如防偽、水印等。在設計過程當中必須明確可能產生的所有數據的安全要求，即不同數據信息對機密性、可用性和保密性的要求。根據不同的特性要求在設計中特別制定相應的措施。必須確定應用中的用戶和角色管理，為不同級別的用戶制定不同級別的權限，以最小權限、分權管理為原則。應用程序使用到的系統用戶不可以作為應用維護的用戶，在設計時必須對這兩類用戶進行分別的定義。應用程序的用戶口令管理必須遵守《用戶名、口令安全管理規(guī)定》的要求，至少包括記錄用戶上次登錄時間，可以進行用戶強口令校驗，并可以定期強制用戶修改口令，有用戶口令修改功能，并強制用戶第一次登錄后必須修改口令等。禁止使用系統、數據庫、應用軟件等的默認管理員帳號，如果需要管理員權限應當使用其他的用戶名，且必須按照相關的口令策略執(zhí)行。禁止在應用程序中以上述管理員賬號登錄、啟動服務、啟動計劃任務等。應當盡量避免應用系統對操作系統的直接調用，最大限度降低操作系統崩潰的風險。必須明確應用程序調用的系統服務和網絡端口的詳細信息。安全需求必須集成到系統設計規(guī)范書、招標規(guī)范書和外包合同書之中。5.3開發(fā)過程安全必須分離生產環(huán)境和非生產環(huán)境。應用開發(fā)人員不允許訪問生產環(huán)境，除非在有安全控制手段的前提下，應用開發(fā)人員可以暫時獲得生產環(huán)境下的用戶名和口令以用于系統支持，必須保證在系統支持完成之后立即修改口令。必須對程序源代碼的訪問進行嚴格控制。應當保護和控制測試數據。生產環(huán)境的變更必須遵守《變更管理規(guī)定》，并確保該規(guī)定能覆蓋系統任何部分的變更，包括系統基礎架構、應用編碼、軟件和硬件配置、流程和文檔。對程序/系統的變更必須有書面的申請和批準文檔。當軟件、硬件、數據庫和其他組件因沖突需要改善時，必須在進行了影響評估之后再審批。當軟件開發(fā)外包，和承包方簽訂的合約應當包含以下內容：許可證管理；知識產權的歸屬；質量管理；IT安全需求；驗收標準。5.4應用系統使用和變更系統軟件或配置的變更必須經過檢查、測試以及后期監(jiān)控。必須遵守《補丁管理流程》，主動地參與評估和測試廠商建議的補丁，包括那些與安全缺陷相關的補丁，補丁的更新應遵循《變更管理規(guī)定》。所有應用必須編寫應用配置手冊，應用配置手冊必須隨著操作系統軟件或應用配置的改變而更新。生產系統的數據庫和系統的第三方軟件應當統一由網絡技術部管理，包括UNIX、Linux平臺和NT平臺。對于開發(fā)人員必須進入生產環(huán)境維護的，可以臨時授予權限，開發(fā)人員支持完畢后，必須由相關部門立即收回權限。信息資產密級管理規(guī)定ISMS-30081目的確保公司營運利益，并防止與公司營運相關的保密信息泄漏。2范圍本辦法適用于公司所有員工。3保密信息定義保密信息指與公司營運相關且列入機密等級管理的相關信息。4秘密等級區(qū)分機密等級分為秘密、內控、公開三類，區(qū)分標準如下：秘密：凡該信息泄漏后，足以嚴重損害本公司利益或有利于競爭對手的。內控：凡該信息泄漏后，雖不致直接影響本公司利益，但可能使本公司經營管理因而造成困擾，需限制其閱讀對象的。公開：指可對社會公開的信息，公用的信息處理設備和系統資源.5信息的分類信息資產的分類可參見附件＂信息分類表＂。如未列入分類表的信息資產，可依照下面的原則進行判斷：秘密，由信息保管單位主管判定，且至少須為部門以上主管。內控，由保密信息保管單位自行判定。6保密文件的標識文件類的信息在判定等級后，加蓋印章于文件及附件各頁右上角或其它明顯處。如頁數太多，得酌情抽頁蓋騎縫章。但絕密級信息應予編碼管控。非文件類的保密信息，包括檔案、電子郵件、投影片等，于判定等級后，應于資料傳送／顯示前告知使用人或相關人員該項信息的密級。印章由綜合部統一刻制，發(fā)放給各個部門使用。7傳送內部傳送秘密、內控：保密信息保管單位應將印刷形式保密信息密封后注明機密等級，再裝入傳遞袋中發(fā)送收件人;軟件形式定稿和完整信息以電子郵件方式傳遞時應加密;內控信息可不加密。外部傳送：印刷形式保密信息于外部傳送時應以掛號函件或其它適當方式寄送收件人。任何軟件形式的機密等級信息于公司外系統、或于公司外使用環(huán)境情況下，非經加密均不得以電子郵件方式傳遞，以避免遭攔截轉送。其它未判定為任一機密等級但仍具有敏感性或半成品性質的信息于傳送前可應視情況加密。其它保密信息不得用于公司以外的公開活動（如演講、授課、一般資料調查、出版發(fā)行等），如須于前述活動使用，應準用第五條的規(guī)定，并經管理者代表核準。保密信息應由管代/相關負責人妥善保管，并善盡管理保護職責。離職員工應繳出其所持歸公司所有的一切資料及其任何形式復印件、副本，并確定確實歸還全部所持公司文件。新進人員于入職當天即應簽署員工保密合約，在新進人員簽署上述文件時，綜合部應對合約書上有關企業(yè)保密信息等有關條文詳加說明與解釋，務必使新進人員充分了解并遵守企業(yè)保密信息有關事項。保管人員判定保密信息無繼續(xù)保存的必要時，可經各判定主管的上一級主管核準后銷毀。絕密信息、機密信息無保存必要時，應將正本連同復印的保密信息，由原保管單位統一收回銷毀。本辦法經總經理核準后公告實施，修訂時亦同。信息系統設備管理規(guī)定ISMS-3009目的和范圍本程序是對信息資產分類中物理資產下的硬件設備的規(guī)劃、購置、安裝、驗收、使用、維護、處置等各階段進行有效控制，在保證設備安全的前提下最大限度發(fā)揮設備的效能，同時減少由于設備入網造成安全安全風險。引用文件下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內容）或修訂版均不適用于本標準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。ISO/IEC27001:2005信息技術-安全技術-信息安全管理體系要求ISO/IEC27002:2005信息技術-安全技術-信息安全管理實施細則介質管理規(guī)定筆記本電腦管理規(guī)定機房管理規(guī)定職責網絡技術部:負責信息設備的規(guī)劃、安裝、驗收、使用、維護、處置。信息設備指公司IT建設方面所需的硬件設備。負責重大設備或新類設備的安全評估、風險分析和安全驗收。設備管理流程4.1設備入網需按設備本身提供的“設備安全操作說明書”進行正確操作和使用，設備在日常使用過程中應注意安全；系統工程師應查找有關的風險評估報告，確定準備入網的設備是否已做過風險評估。如果沒有類似的設備做過風險分析和處置計劃，則應按風險評估的要求，通知信息安全管理小組進行。如果做過風險分析和處置計劃，則應按照相關的處置計劃和實施要求，制定設備入網計劃。系統工程師對計劃入網的設備在獨立的測試環(huán)境中進行測試，測試通過后提交網絡技術部審批。網絡技術部批準入網申請后,由系統工程師組織設備入網。設備入網應按照處置計劃和入網計劃對設備進行安全加固。對入網系統進行一段時間的監(jiān)控，以觀察入網是否生效。如果發(fā)現問題,要及時進行處理,必要時要尋求供應商的協助。監(jiān)控一段時間后，設備擔當組織人員進行驗收，并通知信息安全管理小組對系統進行安全檢測。4.2設備安置與保護4.2.1信息設備安裝管理網絡技術部對信息設備安全的安置與保護工作，包括對溫度、濕度的監(jiān)測和日常的巡檢等，詳見《機房管理規(guī)定》。信息安全設備的安置應按照設備制造商的說明，安置工作由專業(yè)人員進行。信息安全設備安置要選擇能夠避免或減少未授權訪問的物理場所，應采取措施以減小潛在的物理威脅的風險。重要系統使用的信息設備安置在專用的機房內。安置在室外的信息設備要注意防盜、防雨、防雷、防塵、防腐蝕等工作。確保消防設備充足并隨時可用，定期進行消防演練。4.2.2支持性設施安置管理網絡技術部負責信息安全設備支持性設施的管理工作，包括提供、維護、維修等。對支持關鍵業(yè)務操作的信息設備，使用不間斷電源（UPS）。UPS設備要定期地檢查，，詳見《機房管理規(guī)定》。應急電源開關應位于設備房間應急出口附近，以便緊急情況時快速切斷電源。萬一主電源出現故障時要提供應急照明。綜合部要確保通風和空調系統等運行良好，對其運行情況可進行定期檢查。4.2.3線纜安全公司網絡系統進入信息設備的電源和電信線路布在地板上,要建有冗余線路或留有可替換線路，以保障線路的可用性。電纜要避開公眾區(qū)域,鋪設電纜要有線槽保護，以避免未授權竊聽或損壞的危害。為了防止干擾,電源電纜要與通信電纜分開布線。要采取切實有效的措施防范鼠患，防止電纜被鼠噬。電纜要使用牢固、清晰、可識別的標記,使用文件化配線列表減少布線失誤的可能性,以使失誤最小化，詳見《機房管理規(guī)定》。4.3設備移動在公司物理環(huán)境以外嚴禁放置服務器、交換機、電腦等信息設備。公司原則上禁止機房設備移出公司物理環(huán)境。如確因工作需要，如展會、維修等，需將公司的服務器、交換機、路由器等信息設備移到辦公地點外使用，需經研發(fā)主管批準后才能移出公司的物理環(huán)境。如需要供應商將設備移出公司物理環(huán)境進行維修時，在設備移出前，設備管理人員要將設備中敏感信息從設備中刪除或確保維護人員對其不可訪問或獲取。離開建筑物的信息設備和移動介質在公共場所要有專人看護和保管，不允許無人值守，適當時，還要施加其它措施進行控制，例如上鎖，以防止損壞、盜竊等事件發(fā)生。筆記本在公司辦公場所以外使用，依《筆記本電腦管理規(guī)定》。4.4維護、保養(yǎng)機器設備日常維護由設備使用者在日常使用時進行，維護項目限于查看設備外觀有無明顯損壞、是否正常工作、是否通電正常等內容。定期維護由網絡技術部專業(yè)工程師或供應商進行，定期維護根據不同設備決定不同的維護周期，從一周一次到半年一次不等，定期維護項目包括軟硬件更換、性能檢查、性能調優(yōu)等。定期維護和年底維護后，要將維護項目、維護過程、維護人員、維護結果等內容詳細記錄在《設備維護記錄》中。4.5設備處置設備的處置由設備使用部門提出，經經總經理批準后，對設備進行處理；信息設備在處置過程中須考慮信息安全。設備報廢前設備管理責任人要負責刪除所有信息，對包含敏感信息的設備要對其信息載體在物理上應予以銷毀，或者采用使原始信息不可獲取的技術將其安全地重寫，如消磁。信息設備的報廢工作由網絡技術部負責，需要填寫《廢棄介質處置記錄》,經總經理批準后，才能進行報廢。對于因閑置、人員離辭或設備換代等原因不再使用的信息設備，特別是個人電腦，在設備歸倉前，要采用信息不可獲取的技術將其敏感信息、工作信息和個人信息刪除。以確保在設備重用時，重用者不會獲得與其工作無關的內容。對試用設備和測試設備（無論是自有的還是供應商的）中的信息在試用和測試后，由試用或測試人員立即清除，防止重要信息泄露。廢棄介質處理方法參見《介質管理規(guī)定》實施策略設備管理規(guī)定涉及到包括《設備維護記錄》共1個表單。對設備的定期維護等內容詳細填寫《設備維護記錄》。相關記錄本程序發(fā)生的記錄匯總表見表1（表式見《ISMS文件日常應用格式匯總》）。表號記錄編號記錄名稱保管場所保存期限保存形式備注表A.1ISMS-3009-01設備維護記錄表信息安全小組3年電子

機房管理規(guī)定ISMS-30101.目的和范圍為科學、有效地管理機房，促進各信息系統在機房安全的、穩(wěn)定的、高效的運行，特制定本規(guī)定。2引用文件下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內容）或修訂版均不適用于本標準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。ISO/IEC27001:2005信息技術-安全技術-信息安全管理體系要求ISO/IEC27002:2005信息技術-安全技術-信息安全管理實施細則設備管理規(guī)定訪問控制程序3職責和權限網絡技術部：負責責機房的日常檢查、維護和管理工作，及當發(fā)生緊急事件時，按應急預案進行相應的處置。4機房出入制度機房的進出由網絡技術部嚴格管理。機房的鑰匙保存網絡技術部。如需進入機房，必須得到網絡技術部的授權，在網絡技術部領取鑰匙后方可進入。未經許可不準攜帶任何磁帶（盤）、磁介質和資料進入機房。經特許攜帶的，必須由專人陪同方可進入。未經許可不允許使用攝影、錄像、筆記、或其它音像記錄設備等。5機房環(huán)境管理網絡技術部對機房環(huán)境每半月進行一次檢查，對發(fā)現的問題要及時解決。填寫《機房巡檢記錄表》。機房內要保持設備無塵、布線整齊、物品就位、資料齊全。機房內嚴禁堆放與工作無關的其它物品及紙質物品。做好消防滅火設備檢查工作機房內禁止飲食、吸煙、打鬧、大聲喧嘩，機房內不得會客、閑談。機房內備有溫度計和濕度計，溫度保持在18℃機房接地系統要符合相應的技術標準，各個設備交流工作電源應有工作接地，機柜應有效接地。。機房配電柜要有防雷設施，進出機房的電纜應有防雷措施。機房用電要使用獨立的電線，專用變壓器、電源穩(wěn)壓器等。機房的環(huán)境應達到機房建設的設計要求。6機房設備管理機房要有完整的網絡拓撲圖、物理拓撲圖。機房內的所有設備應貼有設備標簽，并注明設備的主要參數。主機系統和網絡設備的各類接線的兩端應設置標簽，網絡接口側應注明連接的設備。對主要網絡設備如核心路由器、交換機、防火墻、IDS等設備的配置文件每6個月進行進行一次評審。對機房的主機設備及智能網絡交換裝置應嚴格管理，做好事故預想，制定周密的故障應急措施。嚴禁擅自在運行的小型機、交換機、路由器等設備上進行開發(fā)、維護、調試或學習培訓等工作。實施策略機房管理規(guī)定涉及的《機房巡檢記錄表》共1個表單。9相關記錄本程序發(fā)生的記錄匯總表見表1（表式見《ISMS文件日常應用格式匯總》）。表號記錄編號記錄名稱保管場所保存期限保存形式備注表A.1ISMS-3021-01機房巡檢記錄表信息安全小組3年紙質筆記本電腦管理規(guī)定ISMS-30111.目的建立筆記本電腦設備的使用規(guī)定及其與互聯網的連接制度，這些規(guī)定是保持信息資源保密性、完整性和可用性所必需的。為加強業(yè)務筆記本電腦設備的合理利用與筆記本電腦設備信息安全管理，特制定該管理規(guī)定。適用所有業(yè)務部門員工和需在業(yè)務部門辦公室工作的人員。2.引用文件1.下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內容）或修訂版均不適用于本標準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。2.ISO/IEC27001:2005信息技術-安全技術-信息安全管理體系要求3.ISO/IEC27002:2005信息技術-安全技術-信息安全管理實施細則4.防范病毒及惡意軟件管理規(guī)定3.職責和權限總經理：負責筆記本電腦申請的審批綜合部：負責筆記本電腦的發(fā)放管理使用人員：負責便攜計算機的日常使用保養(yǎng)和維護。4.筆記本電腦使用規(guī)定公司所有筆記本電腦由使用人員自行保管負責,若是公司統一配置的在辭職時應到綜合部辦理電腦交接手續(xù),并在《離職交接清單》中作好備注。網絡技術部和測試部授權使用的筆記本電腦未經部門經理同意嚴格禁止帶出公司。未經許可，員工不得攜帶個人筆記本電腦設備進入公司辦公場所。筆記本電腦設備必須有嚴格的口令訪問控制措施，口令設置需滿足公司安全策略要求。對無人看守的筆記本電腦設備必須實施物理保護，必須放在帶鎖的辦公室、抽屜或文件柜里；筆記本電腦設備丟失或被竊后應及時報告給部門經理和綜合部。除自然損壞外，凡人為損壞（如撞壞、跌壞、電源插錯燒壞等）由本人負責修好，費用由個人承擔。便攜機中除工作所需的軟件外，不導入其他與工作無關的軟件。特別要保證便攜機不帶病毒。5.安全配置規(guī)定授權使用的筆記本電腦設備必須安裝公司安全策略規(guī)定的防病毒軟件；筆記本電腦設備每月進行一次病毒軟件和操作系統補丁檢查和評審,由電腦使用人員自行負責.筆記本電腦設備若支持內置的硬盤加密措施，應啟用該措施，以免電腦或硬盤丟失后造成數據泄密。公司采用相關產品和方法對筆記本數據進行加密處理和使用，防止信息泄密。公司采用相關產品和方法對筆記本進行監(jiān)控公司內部未經授權禁止開啟無線網卡功能。禁止使用公司外部的未設安全機制的無線網絡，系統管理員要每月掃描一次公司能接受到的外部不安全網絡。公司的無線網絡僅供授權的技術支持人員使用，其他未經綜合部授權禁止便攜機連入使用。7.外部人員使用筆記本的規(guī)定外部人員使用的筆記本電腦只能連接到公共上網區(qū)，通過獨立于公司內部的專用網絡上網。出于安全考慮，一般不予考慮客人接入公司內部網絡。外部人員接待負責人需提前通知綜合部該外部人員筆記本電腦使用的地點，便于綜合部配置相關網絡。若外部人員需要在業(yè)務辦公地點長期工作（指超過2周時間），需經綜合部經理批準。8.客戶現場管理規(guī)定在客戶現場進行開發(fā)及維護等工作時，在遵守本公司管理規(guī)定時，同時要遵守客戶的管理方面相關規(guī)定。如在客戶現場工作時需要使用筆記本，相關部門人員應盡量使用本部門公共筆記本，并進行登記。在客戶現場使用筆記本工作時，必須注意信息的保密，防止筆記本內信息泄露。筆記本內新產生的數據應及時在客戶備份系統或公司備份系統上進行備份，防止數據丟失。9.實施策略自行保管負責;無線網絡加密上網;10.相關記錄無介質管理規(guī)定ISMS-30121.目的和范圍任何信息設備，如：計算機、交換機、打印機、傳真機、復印機等，都需要介質進行存儲，當存儲設備或可移動介質需要轉移或銷毀時，如果處理不當，很容易造成信息泄漏。因此，必須按規(guī)定執(zhí)行處置。適用于移動存儲設備/介質在本公司辦公場所及房機內的使用管理。2.引用文件下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內容）或修訂版均不適用于本標準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。ISO/IEC27001:2005信息技術-安全技術-信息安全管理體系要求ISO/IEC27002:2005信息技術-安全技術-信息安全管理實施細則3.職責和權限綜合部負責對公司各類的可移動介質和存儲介質的發(fā)放、使用、處置的進行管理。介質使用部門和使用者由部門負責管理的介質，由該部門領導指定專人負責保管。個人使用的介質由本人負責保管。4.介質管理4.1介質分類綜合部對公司使用的介質，進行介質分類，制定《介質管理分類表》。介質分為一般介質和可移動介質，一般介質包括：計算機存儲介質，可移動介質是指U盤、移動硬盤、數碼相機、光盤、光盤刻錄機、PDA、帶USB接口的MP3/MP4播放器等。4.2介質使用管理一般情況下公司禁止使用可移動介質。確因工作需要使用移動介質，須經本部門領導批準后方可到綜合部領用。綜合部負責可移動介質的發(fā)放，并填寫《可移動介質授權使用表》。授權用戶要注意保護自己所屬可移動介質不被盜取。授權用戶要注意保護自己所屬可移動介質不被盜取。保管時要放置于安全的區(qū)域內，如帶鎖的柜子；非本公司工作人員禁止在內部網絡設備上使用可移動介質。各使用人必須每月一次對自己使用的移動介質進行病毒掃描。使用可移動介質保存公司秘密數據時，移動介質必須采用必要的加密措施，防止信息泄露，有條件時使用帶有加密功能的可移動介質設備。用戶在將可移動介質帶離公司后，要為其上所有信息資源的安全負責，做好安全保護工作。一旦遺失，立刻上報綜合部進行登記。光盤的刻錄：帶有公司標志的光盤，只能刻錄公司自己的程序軟件，不得刻錄例如操作系統、數據庫等軟件。公司銷售時，必須刻錄光盤時，由網絡技術部專門負責人進行刻錄，其他人員不得隨意刻錄光盤。4.3客戶現場使用規(guī)定必須嚴格將筆記本病毒防火墻升級到最新。能使用客戶提供的U盤、移動硬盤的，使用客戶提供的設備。必須使用自己的U盤、移動硬盤在客戶計算機上使用的，必須先對U盤、移動硬盤進行病毒掃描，保證提供給客戶的設備中不包含病毒。4.4介質處置綜合部對介質分類表內的介質的廢棄進行統一管理，對廢棄的介質采用恰當的介質處置方法。計算機硬盤、U盤、可移動硬盤、光盤、數碼存儲介質等報廢時必須粉碎處理。對廢棄的可移動介質在《可移動介質授權使用表》中跟蹤填寫廢棄記錄。對廢棄的一般介質處理填寫《廢棄介質處置記錄》介質的銷毀方式一般分為一般格式化、低級格式化、專業(yè)軟件重寫、物理粉碎。對無敏感信息的介質作一般格式化即可，在保證質量的基礎上重新分配和使用。介質中保存有敏感信息的存儲介質應當得到安全的存放和處置。對于含有敏感信息的介質應采用低級格式化或專業(yè)軟件重寫，反復次數為三次，才能重新分配和使用。保存有敏感信息的存儲介質廢棄時，要進行粉碎處理。5.實施策略介質管理規(guī)定涉及的《介質管理表》中包括《介質管理分類表》、《可移動介質授權使用表》、《廢棄介質處置記錄》。綜合部制定《介質管理分類表》。綜合部負責可移動介質的發(fā)放，并填寫《可移動介質授權使用表》。對廢棄的可移動介質在《可移動介質授權使用表》中跟蹤填寫廢棄記錄。對廢棄的一般介質處理填寫《廢棄介質處置記錄》6.相關記錄;本程序發(fā)生的記錄匯總表見表1（表式見《ISMS文件日常應用格式匯總》）。表號記錄編號記錄名稱保管場所保存期限保存形式備注表A.1ISMS-3012-01介質管理分類表綜合部3年電子表A.2ISMS-3012-02可移動介質授權使用表綜合部3年紙質表A.3ISMS-3012-03廢棄介質處置記錄綜合部3年電子變更管理規(guī)定ISMS-30131.目的對信息處理設施和系統的變更缺乏控制是系統故障或安全失誤的常見原因，為規(guī)范本公司信息系統的變更，降低因信息系統變更帶來的風險，特制定本程序。2.引用文件下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內容）或修訂版均不適用于本標準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。ISO/IEC27001:2005信息技術-安全技術-信息安全管理體系要求ISO/IEC27002:2005信息技術-安全技術-信息安全管理實施細則3.職責和權限網絡技術部：網絡技術部是公司信息系統變更的歸口管理部門，負責批準變更的計劃、實施、恢復，總體評價變更影響，決策管理；并實施變更。其他各部門：負責分管的各自工作系統的計劃申請和總體評價變更影響。4.變更步驟管理變更申請變更審批變更處理.5程序5.1變更分類a)IT設備變更：包括系統中服務器、網絡設備、傳輸線路及計算機終端的新增、減少及其設備本身的變化（包括設備的報廢）；b)操作系統軟件變更：包括新安裝、補丁、版本升級及更換（如打ZLJY2補?。?；c)開發(fā)軟件包的變更。5.2IT設備變更控制軟件設備（包括傳輸線路)的變更需求由變更管理部門根據組織業(yè)務發(fā)展的需要提出，填寫《變更申請審批處理表》，經變更管理部門經理批準后予以實施。5.3操作系統軟件變更當軟件廠商發(fā)布操作系統或應用軟件的更新補丁或版本時，IT人員負責分析更新內容對公司現有業(yè)務及工作的影響，IT人員可以先選一臺測試機安裝最新補丁，在未發(fā)現對工作業(yè)務產生重要負面影響的前提下，為使用該操作系統或應用軟件的用戶安裝補丁。5.4軟件的變更控制當客戶重新對項目的某一或某些模塊進行重要要求時，項目組負責跟蹤客戶的新要求,進行業(yè)務及可以行性分析，組織有關人員進行方案評審，考慮系統改造對現有業(yè)務的影響，并制定有效的風險控制措施，方案在評審通過后，修改《需求開發(fā)說明書》，針對發(fā)生變更的模塊，修改相應的詳細設計書，數據庫說明書，源程序。并對整個項目重新進行測試。在軟件正式變更前，項目組應考慮以下方面的安全要求：a)變更對目前業(yè)務的影響；b)變更對現有軟件的影響；c)變更實施前應進行安全測試；d)不成功的變更恢復措施。在變更實施前，由變更管理部門填寫《變更申請審批處理表》，明確變更的原因、變更范圍、變更影響的分析及對策（包括不成功變更的恢復措施），經IT人員批準后予以實施。5.5變更實施的安全要求在變更實施之前，必要時，將重要的數據、系統軟件進行備份，以便變更不成功之后的恢復。在變更實施之前，必要時，應和相關部門協商，以便確定適當的變更時間，盡可能的將對業(yè)務的影響減至最低。5.6變更驗收與記錄當變更成功提交后，需由用戶進行驗收，確認其是否已完成用戶所提的要求，達到預期的效果，并記錄此次變更操作。5.7設備報廢設備報廢應得到網絡技術部批準后實施。報廢設備中存有敏感信息，必須予以清除.5.8變更后軟件備份要求當變更完成后，需將此次所運行的軟件進行備份，包括其相關資料，以便再一次變更以及資料查詢；如果此次變更涉及到一些資料文件，則這些資料文件也必須做相應的變更并存檔。5.9變更不成功的恢復措施取消所做變更，從備份資料中獲得原始軟件資料，重新運行，恢復原始狀態(tài)。根據變更操作記錄，查找變更失敗原因，以便再次做變更操作時避免同樣的錯誤發(fā)生。6.相關記錄《變更申請審批處理表》ISMS-3013-01PAGE39第三方服務管理規(guī)定ISMS-30141.目的和范圍對第三方提供的服務進行規(guī)范，減少由于服務不規(guī)范帶來的信息安全方面的風險。2.引用文件下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內容）或修訂版均不適用于本標準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。ISO/IEC27001:2005信息技術-安全技術-信息安全管理體系要求ISO/IEC27002:2005信息技術-安全技術-信息安全管理實施細則3.職責和權限網絡技術部：是信息安全方面的第三方服務的歸口管理部門，負責對信息安全方面的第三方服務的定期監(jiān)控和評審。綜合部：是日常行政管理方面的第三方服務的歸口管理部門，負責對行政方面的第三方服務的定期監(jiān)控和評審。負責第三方服務合同中條款的審核。4.第三方服務管理規(guī)定綜合部匯總各部門的資產識別表，整理出公司的《第三方服務匯總表》，明確需要按本規(guī)定進行管理的第三方服務項目和其中重要的第三方服務。將設備、網絡、系統、軟件、信息安全、保安、保潔等事項進行外包時，重要的第三方服務必須簽訂要與第三方服務提供方簽署《服務合同》，能接觸到公司敏感信息資產的服務項目的服務合同中應包含第三方保密要求的內容。所有的第三方服務的提供方需提供服務人員的姓名、聯系方式等信息，網絡技術部匯總《第三方服務廠商聯系表》重要的第三方服務人員服務時相關的原始服務單據由歸口管理部門負責驗收簽字并保存好相關服務記錄。對服務提供方技術人員在現場處理需要設備入網時，必須經網絡技術部門領導同意后方可入網。對第三方提供服務的能力進行評定，必要時通過招投標，確定合格第三方。要確保第三方保持充分的提供服務的能力，即便發(fā)生重大的服務故障或災難也能保持服務的連貫性。每次第三方服務完成時指定專人按照服務合同要求對服務內容和質量進行記錄和評審，并在相關服務原始記錄中作好驗收簽字確認。第三方服務歸口管理部門應每年對服務提供商進行定期評審，以確認是否繼續(xù)列為合格服務商。當服務提供方發(fā)生變更時，進行服務提供方變更登記，并進行服務、現有狀態(tài)的評估。對變更后的服務提供方進行服務評估。5.實施策略第三方服務管理規(guī)定中涉及的《第三方服務管理總表》包括《第三方服務匯總表》、《第三方服務廠商聯系表》共2個表單。綜合部整理出公司的《第三方服務匯總表》重要的第三方服務必須簽訂要與第三方服務提供方簽署《服務合同》,能接觸到公司敏感信息資產的服務項目的服務合同中應包含第三方保密要求的內容。綜合部匯總《第三方服務廠商聯系表》。第三方服務歸口管理部門應每年對服務提供商進行定期評審,必要時調整服務供方.6.相關記錄本程序發(fā)生的記錄匯總表見表1（表式見《ISMS文件日常應用格式匯總》）。表號記錄編號記錄名稱保管場所保存期限保存形式備注表A.1ISMS-3014-01第三方服務匯總表綜合部3年電子表A.2服務合同綜合部3年紙質表A.3ISMS-3014-02第三方服務廠商聯系表綜合部3年電子

數據備份管理規(guī)定ISMS-30151.目的和范圍為確保數據的完整性及有效性，以便在發(fā)生信息安全事故時能夠準確及時的恢復數據，避免業(yè)務的中斷，特制定本規(guī)定。2.引用文件1).下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內容）或修訂版均不適用于本標準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。2)ISO/IEC27001:2005信息技術-安全技術-信息安全管理體系要求3)ISO/IEC17799:2005信息技術-安全技術-信息安全管理實施細則4)系統維護與監(jiān)控管理規(guī)定3.職責和權限網絡技術部負責公司內部系統運營相關數據的備份管理控制.網絡技術部負責本公司軟件開發(fā)所需相關數據的備份管理控制.其它各個部門根據自己部門的業(yè)務特點，建立各自的備份策略進行備份。4.備份管理4.1備份策略公司各部門根據數據重要程度和工作需要提出需要備份的數據。信息安全小組根據各制定《備份策略明細表》，明確各項備份數據備份的詳細策略。信息安全小組每半年對備份策略進行評審，確定是否滿足各部門備份要求。建立備份環(huán)境，安裝調試備份軟件。應建立備份拷貝的準確完整的記錄和文件化的恢復程序；備份的程度（例如全部備份或部分備份）和頻率應反映組織的業(yè)務要求、涉及信息的安全要求和信息對組織持續(xù)運作的關鍵度；備份要存儲在一個遠程地點，有足夠距離，以避免主辦公場所災難時受到損壞；若可行，要定期測試備份介質，以確保當需要應急使用時可以依靠這些備份介質；恢復程序應定期檢查和測試，以確保他們有效，并能在操作程序恢復所分配的時間內完成；在保密性十分重要的情況下，備份應通過加密方法進行保護4.2備份的驗證備份負責人根據《備份策略明細表》，檢查備份的工作是否按照備份策略實際的進行了。如果未按照備份策略進行備份，備份負責人指令備份人重新進行備份。備份負責人根據實際需要，確定哪些非常重要的數據需要做恢復測試，需要恢復測試數據的恢復測試頻率，對備份數據進行定期驗證。4.3備份數據的管理備份目錄應進行嚴格的權限管控，無關人員禁止訪問備份目錄。如無特殊聲明，備份數據永久保存。如需廢棄，需經備份負責人批準后，刪除備份數據。5相關記錄本程序發(fā)生的記錄匯總表見表1（表式見《ISMS文件日常應用格式匯總》）表號記錄編號記錄名稱保管場所保存期限保存形式備注表A.1ISMS-3015-01備份策略明細表網絡技術部/網絡技術部三年電子表A.2ISMS-3015-02備份策略檢查表網絡技術部/網絡技術部三年電子表A.3ISMS-3015-03備份數據恢復測試記錄表網絡技術部/網絡技術部三年電子郵件管理規(guī)定ISMS-30161.目的和范圍為保證公司的業(yè)務的信息安全，必須對其進行有效的管理，確保公司員工對郵件的合理使用，更好地促進內部并與第三方進行相關工作信息的交流，適用于公司業(yè)務中被批準、能夠通過Email發(fā)送、收取和存儲信息的所有人。每個業(yè)務的郵件使用者都應該遵守該規(guī)章制度。2.引用文件下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內容）或修訂版均不適用于本標準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。ISO/IEC27001:2005信息技術-安全技術-信息安全管理體系要求ISO/IEC27002:2005信息技術-安全技術-信息安全管理實施細則3.職責和權限網絡技術部：負責電子郵件系統的規(guī)劃、建設和日常運行維護；負責郵件的用戶名及密碼的分配和管理；如有必要，負責郵件的歸檔，過濾及監(jiān)控等工作。使用人員：申請公司的郵箱，按照公司的規(guī)定使用郵箱。4.電子郵件的帳戶管理4.1帳戶申請：目前無公司郵箱;工作人員均自行申請郵件賬號。5.電子郵件使用規(guī)定5.1明確禁止的行為在未授權的情況下發(fā)送公司機密文件、項目文檔或程序代碼等未授權的信息；發(fā)送或者群發(fā)與工作無關的郵件或垃圾郵件及個人信息；發(fā)送或者轉發(fā)虛假、黃色、反動信息；發(fā)送或者轉發(fā)宣揚個人政治傾向或者宗教信仰；利用電子郵件服務傳輸任何騷擾性的、中傷他人的、恐嚇性的、庸俗、淫穢以及其他違反國家規(guī)定內容的信息資料；在非授權情況下以公司的名義發(fā)表或群發(fā)個人意見；利用電子郵件服務散布電腦病毒、木馬程序、干擾網絡上其他使用者或破壞網絡系統的正常運行。5.2郵件使用規(guī)定除非特別批準，使用白名單限制發(fā)送郵件的收件人地址。郵件系統為公司因工作需要而對外聯系所用，用戶必須以本人的真實身份使用用于辦公用途的電子郵箱，禁止以他人名義濫發(fā)郵件或盜用他人郵箱。郵箱用戶的登錄密碼，用戶必須嚴格保密，不得泄露。如將其借予他人使用，由此造成的一切安全后果由郵件帳號所有人承擔。用戶不得將電子郵件地址用于非工作目的(特別是以娛樂、購物、交友等為目的身份注冊)。Email賬號密碼必須符合口令策略的相關規(guī)定；未經授權任何人不得嘗試以他人帳戶口令進行登錄，閱讀他人郵件內容。在對外聯系中，應注意安全保密，用Email發(fā)送機密信息必須符合公司的相關規(guī)定；因工作需要而傳遞公司或項目保密文件時，經批準后，可通過加密渠道傳遞；通過E-MAIL發(fā)送機密附件時，如有必要，附件必須加密；請盡量壓縮傳送的文件，勿發(fā)送超過2M的附件，以免影響系統性能；對外聯系時請注意通信禮儀，保持公司良好的形象；使用防病毒工具的E-MAIL保護功能，并經常查毒，有異常應及時通知管理員；發(fā)送Email必須有清楚的主題，發(fā)送前再次確認收件人列表內的人員都是必需的和正確的；用戶不要閱讀和傳播來歷不明的郵件及附件，提高對于郵件病毒的防范意識，避免傳遞病毒郵件。6實施策略不得用個人郵箱發(fā)機密文件;7.相關記錄無

軟件管理規(guī)定ISMS-30171.目的和范圍本標準規(guī)定了公司軟件資產的收集、發(fā)放、管理、使用、更改、修訂、備份等過程的控制要求2.引用文件下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內容）或修訂版均不適用于本標準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。ISO/IEC27001:2005信息技術-安全技術-信息安全管理體系要求ISO/IEC27002:2005信息技術-安全技術-信息安全管理實施細則補丁管理規(guī)定3.職責與權限網絡技術部：是軟件資產(非自行開發(fā)軟件)的歸口管理部門。負責軟件的購置、維護、作廢及各部門軟件資料、介質的收集、統計、歸檔、存放和發(fā)放使用。網絡技術部是公司自行開發(fā)軟件的歸口管理部門。4.軟件管理4.1收集對公司信息系統涉及的軟件資產進行收集整理、分類歸檔，填寫《信息資產識別表》中“軟件和系統”類資產。公司內軟件來源主要有以下幾個方面：已有商業(yè)軟件購買。網絡技術部開發(fā)內部使用軟件。免費軟件的下載。識別出資產識別表中重要的軟件和應用系統。4.2審核、批準、發(fā)布新的軟件使用前填寫《新軟件和系統登記表》，每季度根據此表內容對《信息資產識別表》里的軟件和系統資產進行更新。新的軟件由網絡技術部部進行測試或使用檢驗，測試應當包括可用性、安全性，對其它系統影響和用戶友好性，測試應當在與應用系統隔離的系統中進行。新的軟件測試或使用檢驗合格后,經相關部門領導審核并批準后提交網絡技術部發(fā)布。4.3軟件歸檔和存放所有軟件收集后統一登記，包括軟件的開發(fā)廠家，軟件數量，軟件版本，許可證編號等。軟件登記好后統一存放于指定位置。磁盤文件存放于指定存儲空間中，由專人負責整理，各軟件建立獨立的文件夾，標識明確清晰，并做好軟件的備份工作。光盤統一存放入文件柜中，并有明顯易辨認的標識，便于整理和取用。4.4軟件使用網絡技術部統一負責軟件的發(fā)放及安裝，做到及時升級和故障排除。各部門負責軟件的使用，如有問題及時反饋給網絡技術部。未經許可，任何人不得將內部使用的軟件外帶、傳播、販賣，不得將軟件用于任何違法或非正當用途。軟件使用過程中應加強保護，保持軟件完整、可用，不受病毒侵害。制作《授權使用軟件列表》，禁止使用未經授權的軟件和未經授權的系統實用工具軟件。對光盤介質類軟件要考慮使用刻錄的副本，原光盤進行存檔處理。4.5修訂與升級各部門和網絡技術部應根據軟件的使用情況，提出軟件的修訂意見，相關部門領導批準后，形成統一的修訂意見，由網絡技術部負責實施。軟件的升級／補丁按《補丁管理規(guī)定》進行。4.6軟件作廢修訂軟件批準生效后，原軟件應予以作廢。軟件使用部門接到新版本軟件后，從新版本軟件實施之日起，原軟件作廢。填寫《作廢軟件登記表》。每季度根據此表內容對《信息資產識別表》里的軟件和系統資產進行更新。應當保留原軟件的以前版本作為應急之用，包括所有需要的信息和參數、程序、具體配置，以及用于數據保留存檔的支持軟件。原軟件作廢版本的光盤應有明確標識，并與其他在用光盤分開存放，電子文件應予以回收，避免引起作廢軟件的非預期使用。5.實施策略軟件管理規(guī)定涉及的表格包括《新軟件和系統登記表》.《授權使用軟件列表》共2個表單。收集整理、分類歸檔，填寫《信息資產識別表》中“軟件和系統”類資產。新的軟件使用前填寫《新軟件和系統登記表》。軟件作廢由網絡技術部批準;并更新軟件清單。網絡技術部制作《授權使用軟件列表》，禁止使用未經授權的軟件和未經授權的系統實用工具軟件.6.相關記錄本程序發(fā)生的記錄匯總表見表1（表式見《ISMS文件日常應用格式匯總》）。表號記錄編號記錄名稱保管場所保存期限保存形式備注表A.1ISMS-3017-01新軟件和系統登記表網絡技術部3年電子表A.2ISMS-3017-02授權使用軟件列表網絡技術部3年電子系統監(jiān)控管理規(guī)定ISMS-30181.目的了解服務器的運行狀態(tài)，檢測未經授權的信息處理活動，為安全事故提供證據，確保業(yè)務系統的穩(wěn)定性、可靠性、安全性。2.引用文件下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內容）或修訂版均不適用于本標準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。ISO/IEC27001:2005信息技術-安全技術-信息安全管理體系要求ISO/IEC27002:2005信息技術-安全技術-信息安全管理實施細則機房管理規(guī)定3.職責網絡技術部負責公司網絡和系統訪問活動的監(jiān)控管理。4.系統監(jiān)控管理4.1日志的分類需監(jiān)控的日志包括但不僅限于以下類型：服務器日志：系統日志，應用程序日志和安全日志。防火墻日志視頻監(jiān)控系統的記錄網管軟件的監(jiān)控記錄管理員和系統操作員記錄故障日志網絡技術部明確和制定《重要設備和服務器日志明細表》，確認需要進行監(jiān)控的重要服務器日志類型。4.2日志的管理明確日志的保存期限，日志容量大小，保證日志的設置滿足信息安全的需要。填寫在《重要設備和服務器日志明細表》中。明確需要備份的日志，對重要的日志必須進行備份保護，填寫在《重要設備和服務器日志明細表》中。確認需要開啟的審計項目，服務器的操作系統要根據安全需求開啟安全日志審計功能，并對系統管理員組成員的系統活動進行審計。明確需要監(jiān)控檢查的日志，檢查的策略頻率，對重要的日志進行檢查，填寫《系統日志檢查評審記錄》表。對日志檢查中發(fā)現的故障問題，進行記錄，并進行處理，填寫在《系統日志檢查評審記錄》表中。設置時鐘同步，所有的關鍵服務器及監(jiān)控設備應保持時鐘的一致性，由管理員手工進行時鐘的同步。5.實施策略1)系統監(jiān)控管理規(guī)定涉及的表格包括《重要設備和服務器日志明細表》、《系統日志檢查評審記錄》共2個表單。2)網絡技術部明確和制定《重要設備和服務器日志明細表》網絡技術部對重要的日志進行檢查，填寫《系統日志檢查評審記錄》表。6.相關記錄本程序發(fā)生的記錄匯總表見表1（表式見《ISMS文件日常應用格式匯總》）表號記錄編號記錄名稱保管場所保存期限保存形式備注表A.1ISMS-3018-01重要