2020ISO27001信息安全管理體系全套文件(手冊(cè)+程序文件+作業(yè)規(guī)范)1

(手冊(cè)+程序文件+作業(yè)規(guī)范)文件編號(hào)文件名稱事故事件薄弱點(diǎn)與故障管理程序企業(yè)商業(yè)技術(shù)秘密管理程序信息安全人員考察與保密管理程序信息安全懲戒管理程序信息安全適用性聲明信息安全風(fēng)險(xiǎn)評(píng)估管理程序內(nèi)審管理程序惡意軟件控制程序更改控制程序物理訪問管理程序用戶訪問控制程序管理評(píng)審控制程序系統(tǒng)開發(fā)與維護(hù)控制程序系統(tǒng)訪問與使用監(jiān)控管理程序計(jì)算機(jī)賬戶及密碼管理程序文件和資料管理程序重要信息備份管理程序預(yù)防措施程序文件編號(hào)文件名稱防火墻安全管理規(guī)定介質(zhì)銷毀管理規(guī)定信息機(jī)房管理制度信息中心安全事件報(bào)告和處置管理制度信息中心密碼管理制度信息系統(tǒng)訪問權(quán)限說(shuō)明檔案鑒定銷毀工作規(guī)定移動(dòng)介質(zhì)使用管理規(guī)定復(fù)印室管理制度重要文件加密解密管理制度東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)b)服務(wù)器停運(yùn)4小時(shí)以上；b)服務(wù)器停運(yùn)8小時(shí)以上；東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)4.2故障與事故的報(bào)告渠道與處理4.2.2故障、事故的響應(yīng) 5相關(guān)/支持性文件6記錄保存期限東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)2相關(guān)文件4工作程序4.1業(yè)務(wù)持續(xù)性管理過程?hào)|莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)4.2業(yè)務(wù)持續(xù)性和影響的分析東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)第一章總則第七條商業(yè)秘密管理機(jī)制。東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)1適用與目的4信息處理設(shè)施的引進(jìn)和安裝4.1引進(jìn)依賴東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)4.2進(jìn)行技術(shù)選型4.3編寫購(gòu)入規(guī)格書4.4定貨4.5開箱檢查，安裝、調(diào)試，驗(yàn)收c)驗(yàn)收東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)5.2計(jì)算機(jī)設(shè)備維護(hù)5.3計(jì)算機(jī)調(diào)配與報(bào)廢管理東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)5.4報(bào)廢處理5.5筆記本電腦安全管理5.6計(jì)算機(jī)安全使用的要求東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)5.7網(wǎng)絡(luò)安全使用的要求6信息處理設(shè)施的日常點(diǎn)檢6.1計(jì)算機(jī)的日常點(diǎn)檢6.2網(wǎng)絡(luò)設(shè)備的管理與維護(hù)6.3點(diǎn)檢策略設(shè)備類型日志內(nèi)容保存周期檢查周期對(duì)外提供服務(wù)的a)用戶標(biāo)識(shí)符(ID);b)登錄和注銷事件；c)若可能，終端位置；≥6個(gè)月≤2周直接用于設(shè)計(jì)、存儲(chǔ)、≥12個(gè)月≤2周≥6個(gè)月≤5周東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)部門內(nèi)部服務(wù)器≥6個(gè)月≤5周≥6個(gè)月≤5周防火墻和系統(tǒng)配置更改日志≥1個(gè)月≤5周訪問日志(方向、流量)≥1個(gè)月≤5周a)用戶標(biāo)識(shí)符(ID):c)終端位置：≥1周≤1周入侵檢測(cè)系統(tǒng)≥3個(gè)月≤5周遠(yuǎn)程訪問系統(tǒng)a)用戶標(biāo)識(shí)符(ID):c)終端位置；≥3個(gè)月≤5周6.4資料的保存6.5網(wǎng)絡(luò)掃描工具的安全使用管理7其它要求東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)8相關(guān)文件保存部門3年5年3年3年?yáng)|莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)3職責(zé)4.2對(duì)錄用(借用)人員的考察東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)與信息科技部協(xié)調(diào)。意見后送行政部。東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)8記錄東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)無(wú)東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)5.1計(jì)算機(jī)信息系統(tǒng)的安保5.1.2存在計(jì)算機(jī)信息系統(tǒng)安全隱患，由人事部發(fā)出整改通知，限期整改。因不及時(shí)整改而東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)5.2計(jì)算機(jī)應(yīng)用與管理違規(guī)行為處罰規(guī)定東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)5.2.9未按規(guī)定進(jìn)行數(shù)據(jù)備份、沒有妥善保管備份數(shù)據(jù)或備分?jǐn)?shù)據(jù)無(wú)效的，給予主管人員和5.2.10在對(duì)面向客戶的業(yè)務(wù)應(yīng)用系統(tǒng)管理中，從事后臺(tái)維護(hù)的技術(shù)人員，違反規(guī)定同時(shí)進(jìn)5.2.11在業(yè)務(wù)應(yīng)用系統(tǒng)有關(guān)的各項(xiàng)業(yè)務(wù)操作過程中，技術(shù)東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)5.3計(jì)算機(jī)信息類違規(guī)處罰管領(lǐng)導(dǎo)200元以上1000元以下罰款。東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)5.4獎(jiǎng)懲記錄5.4.1系統(tǒng)管理員根據(jù)本公司獎(jiǎng)懲管理規(guī)定，對(duì)獎(jiǎng)懲的實(shí)施進(jìn)行記錄并形成《獎(jiǎng)懲記錄單》東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)5.5證據(jù)的收集東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)5.6證據(jù)的保存及提供5.6.1提供證據(jù)的份量應(yīng)符合任何適用的要求。對(duì)該證據(jù)的存儲(chǔ)和處理的整個(gè)時(shí)期內(nèi)，應(yīng)進(jìn)5.6.3對(duì)計(jì)算機(jī)介質(zhì)上的信息：任何可移動(dòng)介質(zhì)的鏡像或拷貝(依賴于適用的要求)、硬盤證明該過程；原始的介質(zhì)和日志(如果這一點(diǎn)不可能的話，那么至少有一個(gè)鏡像或拷貝)應(yīng)5.6.4任何法律取證工作應(yīng)僅在證據(jù)材料的拷貝上進(jìn)行。所有證據(jù)材料的完整性應(yīng)得到保東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)2.范圍3.1最高管理者無(wú)東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)信息安全適用性聲明S0A條款號(hào)目標(biāo)/控制是否指引目標(biāo)控制批準(zhǔn)發(fā)布。的評(píng)審控制確保方針持續(xù)的適應(yīng)性。條款號(hào)目標(biāo)/控制是否目標(biāo)和職責(zé)控制保持特定資產(chǎn)和完成特定安全過程的所有信息安全職責(zé)分離控制范圍，以減少對(duì)組織資產(chǎn)未經(jīng)授權(quán)訪問、無(wú)意修改或誤用的機(jī)會(huì)。與監(jiān)管機(jī)構(gòu)的聯(lián)系控制與相關(guān)監(jiān)管機(jī)構(gòu)保持適當(dāng)與特殊利益團(tuán)體的聯(lián)系控制項(xiàng)目管理中的信息安全控制實(shí)施任何項(xiàng)目時(shí)應(yīng)考慮信辦公目標(biāo)控制全措施管控使用移動(dòng)設(shè)備遠(yuǎn)程辦公控制系統(tǒng)的情況，需要進(jìn)行安全控制。東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)條款號(hào)目標(biāo)控制是否目標(biāo)控制件控制履行信息安全保密協(xié)議是雇傭人員的一個(gè)基本條件。聘用期間目標(biāo)管理職責(zé)控制缺乏管理職責(zé)，會(huì)使人員意識(shí)淡薄，從而對(duì)組織造成負(fù)面安全影響。信息安全意識(shí)、教育和培訓(xùn)控制信息安全意識(shí)及必要的信息系統(tǒng)操作技能培訓(xùn)是信息安全管理工作的前提。懲戒過程控制該有一個(gè)正式的懲戒過程?；繕?biāo)控制務(wù)在任用終止或變更后仍傳達(dá)并執(zhí)行?！断嚓P(guān)方服務(wù)管理程條款號(hào)目標(biāo)/控制是否資產(chǎn)責(zé)任目標(biāo)對(duì)我司資產(chǎn)(包括顧客要求保密的數(shù)據(jù)、軟件及產(chǎn)品)資產(chǎn)清單控制建立重要資產(chǎn)清單并實(shí)施資產(chǎn)責(zé)任人控制有者”資產(chǎn)的合理使用控制識(shí)別與信息系統(tǒng)或服務(wù)相關(guān)的資產(chǎn)的合理使用規(guī)則，并將其文件化，并子以實(shí)東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)條款號(hào)目標(biāo)/控制是否資產(chǎn)的歸還控制在勞動(dòng)合同或協(xié)議終止后，所有員工和外部方人員應(yīng)退還所有他們持有的組織目標(biāo)我司根據(jù)信息的敏感性對(duì)信息進(jìn)行分類，明確保護(hù)要分類指南控制我司的信息安全涉及信息的敏感性，適當(dāng)?shù)姆诸惪刂剖潜匾?。信息?biāo)識(shí)控制定信息處理的安全的要求。資產(chǎn)處理控制類方法制定和實(shí)施資產(chǎn)處理程序目標(biāo)防止存儲(chǔ)在介質(zhì)上的信息被非授權(quán)泄露、修改、刪除控制我司存在含有敏感信息的告等可移動(dòng)介質(zhì)?？刂飘?dāng)介質(zhì)不再需要時(shí)，對(duì)含有敏感信息介質(zhì)采用安全的控制護(hù)，防止未經(jīng)投權(quán)的訪問、濫用或在運(yùn)輸過程中的損條款號(hào)目標(biāo)/控制是否需求目標(biāo)限制對(duì)信息和信息處理設(shè)施的訪問控制略，并根據(jù)業(yè)務(wù)和安全要求對(duì)策略進(jìn)行評(píng)審。務(wù)的訪問控制制定策略，明確用戶訪問網(wǎng)非投權(quán)的網(wǎng)絡(luò)訪問。目標(biāo)東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)條款號(hào)目標(biāo)/控制是否用戶注冊(cè)和注銷控制我司存在多用戶信息系統(tǒng)，應(yīng)建立用戶登記和注銷登供控制有信息系統(tǒng)及服務(wù)的訪問?？刂茩?quán)不適當(dāng)?shù)氖褂脮?huì)造成系用戶認(rèn)證信息的控制應(yīng)通過一個(gè)正式的管理過用戶訪問權(quán)限的評(píng)審控制對(duì)用戶訪問權(quán)限進(jìn)行評(píng)審是必要的，以防止非投權(quán)的訪問。撤銷或調(diào)整訪問控制在跟所有員工和承包商刪除或調(diào)整其信息和信息處理設(shè)施的訪問權(quán)限0《人力資源安全管理程《相關(guān)方服務(wù)管理程目標(biāo)認(rèn)證信息的使用控制系統(tǒng)和應(yīng)用訪問控制目標(biāo)防止對(duì)系統(tǒng)和應(yīng)用的未授權(quán)訪問信息訪問限制控制我司信息訪問權(quán)限是根據(jù)問功能應(yīng)加以限制。安全登錄程序控制控制為減少非法訪問操作系統(tǒng)的機(jī)會(huì)，應(yīng)對(duì)密碼進(jìn)行管特權(quán)程序的使用控制全?？刂啤盾浖_發(fā)安全控制程?hào)|莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)標(biāo)準(zhǔn)條款號(hào)標(biāo)題目標(biāo)/控制是否問控制行限制。條款號(hào)標(biāo)題目標(biāo)/控制是否加密控制目標(biāo)密性、真實(shí)性、完整性。使用加密控制的控制 控制司對(duì)密碼技術(shù)的使用條款號(hào)目標(biāo)/控制是否安全區(qū)域目標(biāo)防止對(duì)組織信息和信息處理設(shè)施的未經(jīng)授權(quán)物理控制我司有包含重要信息及信息處理設(shè)施的區(qū)域，應(yīng)確定其安全周界對(duì)其實(shí)施保護(hù)。物理進(jìn)入控制控制安全區(qū)域進(jìn)入應(yīng)經(jīng)過投權(quán)，未經(jīng)授權(quán)的非法訪問會(huì)對(duì)辦公室、房間及設(shè)施的安全控制部、房間和設(shè)施應(yīng)有特殊的安全要求。防范外部和環(huán)境控制范火災(zāi)、水災(zāi)、地震，以及其它形式的自然或人為災(zāi)在安全區(qū)域工作控制在安全區(qū)域工作的人員只保證安全區(qū)域安全，《相關(guān)方服務(wù)管理程送貨和裝卸區(qū)控制問到的地點(diǎn)進(jìn)行控制，防止外來(lái)人員直接進(jìn)入重要安東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)條款號(hào)目標(biāo)/控制是否全區(qū)域是必要的設(shè)備安全目標(biāo)防止資產(chǎn)的遺失、損壞、偷竊等導(dǎo)致的組織業(yè)務(wù)中設(shè)備安置及保護(hù)控制災(zāi)、吸煙、油污、未經(jīng)授權(quán)訪問等威脅?？刂齐娏χ袛嗷蛘咂渌С衷O(shè)施故障而導(dǎo)致的中斷的影線纜安全控制通信電纜、光纜需要進(jìn)行正常的維護(hù)，以防止偵聽和損壞。設(shè)備維護(hù)控制設(shè)備保持良好的運(yùn)行狀態(tài)是保持信息的完整性及可資產(chǎn)轉(zhuǎn)移控制軟件帶到場(chǎng)所外。場(chǎng)外設(shè)備和資產(chǎn)安全控制我司有筆記本移動(dòng)設(shè)備，離授權(quán)的訪問等危害的發(fā)生。設(shè)備報(bào)廢或重用控制對(duì)我司儲(chǔ)存有關(guān)敏感信息的設(shè)備，如服務(wù)器、硬盤，對(duì)其處置和再利用應(yīng)將其信息清除?？刂谱烂媲蹇占扒迤量刂颇徊呗?，會(huì)受到資產(chǎn)丟失、失竊或遭到非法訪問的威標(biāo)準(zhǔn)條款號(hào)標(biāo)題目標(biāo)/控制是否操作程序及職責(zé)目標(biāo)東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)條款號(hào)目標(biāo)/控制是否序控制控制未加以控制的信息處理設(shè)備和系統(tǒng)更改會(huì)造成系統(tǒng)控制為避免因系統(tǒng)容量不足導(dǎo)致系統(tǒng)故障，監(jiān)控容量需求并規(guī)劃將來(lái)容量是必須行環(huán)境的分離控制以降低未授權(quán)訪問或?qū)Σ僮飨到y(tǒng)變更的風(fēng)險(xiǎn)防范惡意軟件目標(biāo)控制在的，應(yīng)實(shí)施惡意代碼的監(jiān)測(cè)、預(yù)防和恢復(fù)控制，以及適當(dāng)?shù)挠脩粢庾R(shí)培訓(xùn)目標(biāo)防止數(shù)據(jù)丟失控制份是必須的，以防止信息和軟件的丟失和不可用，日志記錄和監(jiān)控目標(biāo)事件日志控制立事件日志(審核日志)是日志信息保護(hù)控制日志記錄設(shè)施以及日志信息應(yīng)該被保護(hù)，防止被算管理員和操作者日志控制時(shí)鐘同步控制實(shí)施時(shí)鐘同步，是生產(chǎn)、經(jīng)營(yíng)與獲取客觀證據(jù)的需東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)條款號(hào)標(biāo)題目標(biāo)/控制是否制目標(biāo)確保運(yùn)營(yíng)中系統(tǒng)的完整性?？刂茟?yīng)建立程序?qū)\(yùn)營(yíng)中的系統(tǒng)的軟件安裝進(jìn)行控目標(biāo)防止技術(shù)漏洞被利用。管理技術(shù)薄弱點(diǎn)控制及時(shí)獲得正在使用信息系統(tǒng)的技術(shù)薄弱點(diǎn)的相關(guān)信息，應(yīng)評(píng)估對(duì)這些薄弱點(diǎn)的暴露程度，并采取適當(dāng)?shù)姆椒ㄌ幚硐嚓P(guān)風(fēng)險(xiǎn)。限制軟件安裝控制安裝規(guī)則。的考慮因素目標(biāo)最小化審計(jì)活動(dòng)對(duì)系統(tǒng)運(yùn)營(yíng)影響。信息系統(tǒng)審核控制控制驗(yàn)證所涉及的審核要求和活動(dòng)并獲得許可，以最小化中斷業(yè)務(wù)過程。條款號(hào)目標(biāo)/控制是否網(wǎng)絡(luò)安全管理目標(biāo)網(wǎng)絡(luò)控制控制序的信息。網(wǎng)絡(luò)服務(wù)安全控制應(yīng)識(shí)別所有網(wǎng)絡(luò)服務(wù)的安全機(jī)制、服務(wù)等級(jí)和管務(wù)協(xié)議中，無(wú)論這種服務(wù)是由內(nèi)部提供的還是外包的。網(wǎng)絡(luò)隔離控制應(yīng)在網(wǎng)絡(luò)中按組隔離信息服務(wù)、用戶和信息系統(tǒng)目標(biāo)確保信息在組織內(nèi)部或與外部組織之間傳輸?shù)陌踩?。和程序控制?yīng)建立正式的傳輸策略、東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)條款號(hào)目標(biāo)/控制是否控制間的業(yè)務(wù)信息的安全傳輸協(xié)議。電子消息控制應(yīng)適當(dāng)保護(hù)電子消息的信息?？刂茟?yīng)制定并定期評(píng)審組織的信息安全保密協(xié)議或條款號(hào)目標(biāo)/控制是否信息系統(tǒng)安全需求目標(biāo)部分，包括通過公共網(wǎng)絡(luò)提供服務(wù)的信息系統(tǒng)的要析和規(guī)范控制包括信息安全相關(guān)的要《技術(shù)符合性管理規(guī)公共網(wǎng)絡(luò)應(yīng)用服控制應(yīng)保護(hù)流經(jīng)公共網(wǎng)絡(luò)的控制應(yīng)保護(hù)應(yīng)用服務(wù)傳輸中的信息，以防止不完整的傳輸、路由錯(cuò)誤、未授權(quán)的消息修改、未經(jīng)授權(quán)的泄漏、未授權(quán)的信息復(fù)制的安全目標(biāo)確保信息系統(tǒng)開發(fā)生命周期中設(shè)計(jì)和實(shí)施信息安控制序控制為防止未授權(quán)或不充分的更改，導(dǎo)致系統(tǒng)故障與中斷，需要實(shí)施嚴(yán)格更改控操作平臺(tái)變更后的技術(shù)評(píng)審控制應(yīng)用系統(tǒng)會(huì)造成嚴(yán)重的影軟件包變更限制控制東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)條款號(hào)目標(biāo)/控制是否安全系統(tǒng)工程原則控制用安全系統(tǒng)工程原則，并控制在整個(gè)系統(tǒng)開發(fā)生命周期應(yīng)建立并妥善保障開發(fā)環(huán)外包開發(fā)控制系統(tǒng)安全測(cè)試控制系統(tǒng)驗(yàn)收測(cè)試控制級(jí)及新版本的驗(yàn)收測(cè)試程測(cè)試數(shù)據(jù)目標(biāo)A.14.3,1測(cè)試數(shù)據(jù)的保護(hù)控制條款號(hào)目標(biāo)/控制是否供應(yīng)商關(guān)系的目標(biāo)供應(yīng)商關(guān)系的控制為降低供應(yīng)商使用組織的資產(chǎn)相關(guān)的風(fēng)險(xiǎn)，應(yīng)與供協(xié)議。中強(qiáng)調(diào)安全控制與每個(gè)供應(yīng)商簽訂的協(xié)議中應(yīng)覆蓋所有相關(guān)的安全要求。如可能涉及對(duì)組織的IT基礎(chǔ)設(shè)施組件、信息的訪問、處理、存儲(chǔ)、術(shù)的供應(yīng)鏈控制供應(yīng)商協(xié)議應(yīng)包括信息、應(yīng)鏈的相關(guān)信息安全風(fēng)目標(biāo)東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)條款號(hào)目標(biāo)/控制是否供應(yīng)商服務(wù)的監(jiān)督和評(píng)審控制組織應(yīng)定期監(jiān)督、評(píng)審和審核供應(yīng)商的服務(wù)交付。供應(yīng)商服務(wù)的控制條款號(hào)目標(biāo)控制是否的管理和改進(jìn)目標(biāo)職責(zé)和程序控制以快速、有效和有序的響報(bào)告信息安全控制應(yīng)通過適當(dāng)?shù)墓芾硗緩奖M報(bào)告信息安全弱點(diǎn)控制和服務(wù)的員工和承包商注意并報(bào)告系統(tǒng)或服務(wù)中任何已發(fā)現(xiàn)或疑似的信息安評(píng)估和決策信息安全事件控制應(yīng)評(píng)估信息安全事件，以決定其是否被認(rèn)定為信息響應(yīng)信息安全控制應(yīng)按照文件化程序響應(yīng)信從信息安全事故中學(xué)習(xí)控制獲得的知識(shí)應(yīng)用來(lái)減少未來(lái)事故的可能性或影響。收集證據(jù)控制識(shí)別、收集、采集和保存標(biāo)準(zhǔn)條款號(hào)標(biāo)題目標(biāo)/控制是否東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)條款號(hào)目標(biāo)/控制是否目標(biāo)的連續(xù)性控制管理的安全和連續(xù)性，如在危機(jī)或?yàn)?zāi)難時(shí)。實(shí)施信息安全的連續(xù)性控制性水平。估信息安全的控制組織應(yīng)定期驗(yàn)證已建立并實(shí)施的信息安全連續(xù)性控制，以確保其有效并可在災(zāi)害情況下奏效。冗余目標(biāo)確保信息處理設(shè)施的可用性。的可用性控制夠的冗余以滿足可用性要求。條款號(hào)目標(biāo)/控制是否定的符合性目標(biāo)律法規(guī)和合同要求控制律、法規(guī)與合同的要求及組織件，并針對(duì)組織及每個(gè)信知識(shí)產(chǎn)權(quán)控制應(yīng)實(shí)施適當(dāng)?shù)某绦颍源_保對(duì)知識(shí)產(chǎn)權(quán)軟件產(chǎn)品的使用符合相關(guān)的法律、法控制應(yīng)按照法律法規(guī)、合同和業(yè)務(wù)要求，保護(hù)記錄免受損壞、破壞、未授權(quán)訪問和東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)條款號(hào)目標(biāo)/控制是否個(gè)人信息和隱私的保護(hù)控制護(hù)應(yīng)滿足相關(guān)法律法規(guī)的控制加密控制的使用應(yīng)遵循相信息安全評(píng)審目標(biāo)立評(píng)審控制(如，信息安全控制目標(biāo)、控制措施、策略、過程和程序)進(jìn)行獨(dú)立評(píng)審?？刂乒芾韺討?yīng)定期評(píng)審管轄范圍內(nèi)的信息處理過程符合安全策略、標(biāo)準(zhǔn)及其他安審控制織的信息安全策略、標(biāo)準(zhǔn)《技術(shù)符合性管理規(guī)東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)3.0定義(無(wú))東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)職責(zé)職責(zé)重要資產(chǎn)清單重要資產(chǎn)清單威脅/脆弱性因素表風(fēng)險(xiǎn)評(píng)估表風(fēng)險(xiǎn)評(píng)估表是否殘余風(fēng)險(xiǎn)清單否是安全措施實(shí)施計(jì)劃安全措施實(shí)施計(jì)劃東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)6.0內(nèi)容6.1資產(chǎn)的識(shí)別6.1.1各部門每年按照管理者代表的要求負(fù)責(zé)部門內(nèi)部資產(chǎn)的識(shí)別，確定資產(chǎn)價(jià)6.1.2資產(chǎn)分類6.1.3資產(chǎn)(A)賦值選擇對(duì)資產(chǎn)機(jī)密性、完整性和可用性最為重要(分值最高)的一個(gè)屬性的1)機(jī)密性賦值根據(jù)資產(chǎn)在機(jī)密性上的不同要求，將其分為五個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在機(jī)密性上的應(yīng)達(dá)成的不同程度或者機(jī)密性缺失時(shí)對(duì)整個(gè)組織的影賦值標(biāo)識(shí)定義5極高包含組織最重要的秘密，關(guān)系未來(lái)發(fā)展的前途命運(yùn)，對(duì)組織根本利益有著決定性影響，如果泄漏會(huì)造成災(zāi)難性的損害4高包含組織的重要秘密，其泄露會(huì)使組織的安全和利益遭受嚴(yán)重?fù)p害3中等包含組織的一般性秘密，其泄露會(huì)使組織的安全和利益受到損害2低包含僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息，向外擴(kuò)散有可能對(duì)組織的利益造成損害1可忽略包含可對(duì)社會(huì)公開的信息，公用的信息處理設(shè)備和系統(tǒng)資源等2)完整性賦值根據(jù)資產(chǎn)在完整性上的不同要求，將其分為五個(gè)不同的等級(jí)，分別對(duì)應(yīng)東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)賦值標(biāo)識(shí)定義5極高完整性價(jià)值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大的或無(wú)法接受的影響，對(duì)業(yè)務(wù)沖擊重大，并可能造成嚴(yán)重的業(yè)務(wù)中斷，難以彌補(bǔ)4高完整性價(jià)值較高，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大影響，對(duì)業(yè)務(wù)沖擊嚴(yán)重，比較難以彌補(bǔ)3中等完整性價(jià)值中等，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成影響，對(duì)業(yè)務(wù)沖擊明顯，但可以彌補(bǔ)2低完整性價(jià)值較低，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成輕微影響，可以忍受，對(duì)業(yè)務(wù)沖擊輕微，容易彌補(bǔ)1可忽略的影響可以忽略，對(duì)業(yè)務(wù)沖擊可以忽略3)可用性賦值根據(jù)資產(chǎn)在可用性上的不同要求，將其分為五個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在可用性上的達(dá)成的不同程度。賦值標(biāo)識(shí)定義5極高可用性價(jià)值非常高，合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到年度99.9%以上4高可用性價(jià)值較高，合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到每天90%以上3中等可用性價(jià)值中等，合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到70%以上2低可用性價(jià)值較低，合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到25%以上1可忽略可用性價(jià)值可以忽略，合法使用者對(duì)信息及信息系統(tǒng)的3分以上為重要資產(chǎn)，重要信息資產(chǎn)由信息安全部確立清單6.2威脅識(shí)別6.2.1威脅分類對(duì)重要資產(chǎn)應(yīng)由ISMS小組識(shí)別其面臨的威脅。針對(duì)威脅來(lái)源，根據(jù)其表東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)6.2.2威脅(T)賦值等級(jí)標(biāo)識(shí)定義5很高以證實(shí)經(jīng)常發(fā)生過(每天)4高可以證實(shí)多次發(fā)生過(每周)3中經(jīng)發(fā)生過(每月、曾經(jīng)發(fā)生過)2低生過(每年)1很低生(特殊情況)6.3脆弱性識(shí)別6.3.2脆弱性(V)嚴(yán)重程度賦值低。等級(jí)數(shù)值越大，脆弱性嚴(yán)重程度越高。脆弱性嚴(yán)重程度賦值見下表等級(jí)標(biāo)識(shí)定義5很高如果被威脅利用，將對(duì)資產(chǎn)造成完全損害(90%以上)4高如果被威脅利用，將對(duì)資產(chǎn)造成重大損害(70%)3中如果被威脅利用，將對(duì)資產(chǎn)造成一般損害(30%)2低如果被威脅利用，將對(duì)資產(chǎn)造成較小損害(10%)1很低如果被威脅利用，將對(duì)資產(chǎn)造成的損害可以忽略(10%以下)東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)6.4已有安全措施的確認(rèn)持，以避免不必要的工作和費(fèi)用，防止安全措施的重復(fù)實(shí)施。對(duì)于確認(rèn)為不適6.5風(fēng)險(xiǎn)分析小組采用矩陣法確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，考慮安全事件一旦發(fā)生其所作用的資產(chǎn)的重要性及脆弱性的嚴(yán)重程度判斷安全事件造成的6.5.1安全事件發(fā)生的可能性等級(jí)P=(T*V)"6.5.2安全事件發(fā)生后的損失等級(jí)L=(A*V)",6.5.3風(fēng)險(xiǎn)值R=(L*P),風(fēng)險(xiǎn)等級(jí)風(fēng)險(xiǎn)值風(fēng)險(xiǎn)等級(jí)123456.5.4風(fēng)險(xiǎn)管理策略6.5.4.1完全的消除風(fēng)險(xiǎn)是不可能和不實(shí)際的。公司需要有效和經(jīng)濟(jì)的運(yùn)6.5.4.2風(fēng)險(xiǎn)值越高，安全事件發(fā)生的可能性就越高，安全事件對(duì)該資產(chǎn)以●接受風(fēng)險(xiǎn)：接受潛在的風(fēng)險(xiǎn)并繼續(xù)運(yùn)行信息系統(tǒng)，不對(duì)風(fēng)險(xiǎn)進(jìn)●降低風(fēng)險(xiǎn)：通過實(shí)現(xiàn)安全措施來(lái)降低風(fēng)險(xiǎn)，從而將脆弱性被威脅源利用后可能帶來(lái)的不利影響最小化(如使用防火墻、漏洞掃描系統(tǒng)等安全產(chǎn)品)?！褚?guī)避風(fēng)險(xiǎn)：不介入風(fēng)險(xiǎn)，通過消除風(fēng)險(xiǎn)的原因和/或后果(如放棄系統(tǒng)某項(xiàng)功能或關(guān)閉系統(tǒng))來(lái)規(guī)避風(fēng)險(xiǎn)?！褶D(zhuǎn)移風(fēng)險(xiǎn)：通過使用其它措施來(lái)補(bǔ)償損失，從而轉(zhuǎn)移風(fēng)險(xiǎn)，如東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)6.5.4.3風(fēng)險(xiǎn)等級(jí)3(含)以上為不可接受風(fēng)險(xiǎn)，3(不含)以下為可接受風(fēng)6.7殘余風(fēng)險(xiǎn)的監(jiān)視與處理●業(yè)務(wù)目標(biāo)和過程；東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)●其他認(rèn)為必要時(shí)?！駥徍酥械淖⒁馐马?xiàng)。東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)4工作程序東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)5相關(guān)文件東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)第一條為規(guī)范軟件變更與維護(hù)管理，提高軟件管理水平，優(yōu)化軟件變更與維護(hù)管理流第二條本制度適用于應(yīng)用系統(tǒng)已開發(fā)或采購(gòu)?fù)戤叢⒄缴暇€、且由軟件開發(fā)組織移交給應(yīng)用管理組織之后，所發(fā)生的生產(chǎn)應(yīng)用系統(tǒng)(以下簡(jiǎn)稱應(yīng)用系統(tǒng))運(yùn)行支持第二節(jié)變更流程第三條系統(tǒng)變更工作可分為下面三類類型：功能完善維護(hù)、系統(tǒng)缺陷修改、統(tǒng)計(jì)報(bào)表第四條系統(tǒng)變更工作以任務(wù)形式由需求方(一般為業(yè)務(wù)部門)和維護(hù)方(一般為信息部門的應(yīng)用維護(hù)組織和軟件開發(fā)組織，還包括合作廠商)協(xié)作完成。系統(tǒng)變更第六條需求部門提出系統(tǒng)變更需求，并將變更需求整理成《系統(tǒng)變更申請(qǐng)表》(附件一),由部門負(fù)貴人審批后提交給系統(tǒng)管理員。第七條系統(tǒng)管理員負(fù)責(zé)接受需求并上報(bào)給信息部主管。信息部主管分析需求，并提出第八條系統(tǒng)管理員根據(jù)自行開發(fā)、合作開發(fā)和外包開發(fā)的不同要求組織實(shí)現(xiàn)系統(tǒng)變更第九條實(shí)現(xiàn)過程應(yīng)按照軟件開發(fā)過程規(guī)定進(jìn)行。系統(tǒng)變更過程應(yīng)遵循軟件開發(fā)過程相東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)附件一系統(tǒng)變更申請(qǐng)表變更請(qǐng)求類型□用戶方變更□開發(fā)方變更口需求增加口需求修改口需求縮減□其它：請(qǐng)說(shuō)明：申請(qǐng)日期實(shí)施人員原需求內(nèi)容描述變更的影響意見：簽字：信息部人員意見：簽字：東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)附件二用戶測(cè)試報(bào)告1.基本信息測(cè)試依據(jù)例如：參照標(biāo)準(zhǔn)、客戶需求、需求規(guī)格說(shuō)明書、測(cè)試用例等測(cè)試范圍測(cè)試驗(yàn)收標(biāo)準(zhǔn)提示：可以把測(cè)試驅(qū)動(dòng)程序當(dāng)作附件測(cè)試人員測(cè)試時(shí)間須注明每次回歸測(cè)試的時(shí)間測(cè)試工具測(cè)試用例編號(hào)期望結(jié)果測(cè)試結(jié)果缺陷密度是否執(zhí)行了回歸測(cè)試缺陷名稱缺陷類型嚴(yán)重程度原因駐留時(shí)間解決方案東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)4.1外來(lái)人員分類東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)序號(hào)防范措施1特別安全區(qū)1.數(shù)據(jù)存儲(chǔ)機(jī)房2.配電房1.專門負(fù)責(zé)(保安值勤)。2.監(jiān)控錄象裝置。3.進(jìn)出再登記，專人陪同(特別2普通安全區(qū)1.開發(fā)部辦公室2.管理中心3檔案室1.專人負(fù)責(zé)。4.巡邏檢查，群防群治。3一般區(qū)域1.大堂2.雜物室東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)訪問時(shí)間在一周內(nèi)特別安全區(qū)接待部門負(fù)責(zé)人同意且主管副總經(jīng)理批準(zhǔn)，公司人事部辦理相關(guān)手續(xù)普通安全區(qū)負(fù)責(zé)人事部辦理相關(guān)手續(xù)一般區(qū)域接待人員事部辦理相關(guān)手續(xù)4.4門禁出入規(guī)定>紅色胸帶：進(jìn)入公司的外部相關(guān)方人員東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)4.4.1員工門禁管理東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)4.5訪問接待管理辦法東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)●公司級(jí)：●部門級(jí)：東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)5安全培訓(xùn)6安全保密規(guī)定6.1拍照東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)6.2安全保密協(xié)議7在安全區(qū)域工作的安全要求記錄名稱保存部門保存期限3年3年3年?yáng)|莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)3相關(guān)文件東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)5.1各系統(tǒng)安全登錄程序(d)限制所允許的不成功登陸嘗試的次數(shù)(推薦3次)并考慮：3)斷開數(shù)據(jù)鏈路鏈接；4)如果達(dá)到登錄的最大嘗試次數(shù)，向系統(tǒng)控制臺(tái)(或向機(jī)房管理員)發(fā)送警報(bào)東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)5.2用戶身份標(biāo)識(shí)和鑒別東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)5.3.1在登錄核心系統(tǒng)或外圍系統(tǒng)時(shí)，須使用自己的用戶ID及口令，確保身份可核查。5.3.2信息部員工需要登錄核心系統(tǒng)或外圍系統(tǒng)需要提交《系統(tǒng)訪問授權(quán)書》,如果是第一次登陸且沒有用戶ID及密碼則按《口令管理規(guī)定》進(jìn)行用戶ID的申請(qǐng)，由機(jī)房管理員根據(jù)申請(qǐng)?zhí)砑佑脩鬒D及默認(rèn)密碼并且設(shè)置密碼歷史記錄(推薦記錄3次),用戶在第一次登陸后必須對(duì)密碼進(jìn)行更改，否則由機(jī)房管理員強(qiáng)行收回用戶ID。5.3.3口令必須是由數(shù)字、字幕、符號(hào)，長(zhǎng)度7位組成并且不可以使用例如：生日、姓名、東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)5.4系統(tǒng)實(shí)用工具的使用東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)5.5登錄會(huì)話限制6相關(guān)文件7相關(guān)記錄保存部門保存期限信息部3年信息部3年信息部3年?yáng)|莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)1目的為確保信息安全管理體系持續(xù)的適宜性、充分性、方針和信息安全管理目標(biāo)/服務(wù)目標(biāo)進(jìn)行定期評(píng)審，并保證與法律、法規(guī)、公司其他制度、原則性文件不信息安全體系：IS027001體系2適用范圍3職責(zé)與權(quán)限3.1公司高管批準(zhǔn)《管理評(píng)審報(bào)告》3.2管理者代表組織撰寫《管理評(píng)審報(bào)告》3.3主管體系建設(shè)部門(人事部)負(fù)責(zé)對(duì)評(píng)審后的糾正、預(yù)防措施進(jìn)行跟蹤和驗(yàn)證3.4各部門東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)4程序和工作流程4.1制定年度管理評(píng)審計(jì)劃4.1.1年度管理評(píng)審計(jì)劃4.1.2年度管理評(píng)審計(jì)劃的內(nèi)容4.1.3管理評(píng)審的頻次4.2管理評(píng)審的準(zhǔn)備東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)⑥參加評(píng)審部門(人員);4.2.2資料準(zhǔn)備4.3管理評(píng)審輸入東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)4.4管理評(píng)審會(huì)議4.5管理評(píng)審輸出4.6管理評(píng)審報(bào)告東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)6相關(guān)記錄東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)1適用3職責(zé)4程序東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)5記錄保存部門10年?yáng)|莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)無(wú)東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)5.1監(jiān)控策略東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)5.2日志的配置最低要求東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)5.3.1網(wǎng)絡(luò)管理員根據(jù)系統(tǒng)的安全要求確認(rèn)日志內(nèi)容、保存周期、檢查周期，其最低要求不得低于5.2的要求。如果因?yàn)槿罩鞠到y(tǒng)本身原因不能滿足5.2的最低要求，需要降低標(biāo)準(zhǔn)的，5.3.2網(wǎng)絡(luò)管理員配置日志系統(tǒng)，并定期檢查日志內(nèi)容，評(píng)審安全情況。評(píng)審的內(nèi)容包括：東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)3.定義無(wú)4.職責(zé)5.2.1要求1:宿碼至少有8個(gè)字符長(zhǎng)5.2.2要求2:密碼必須包含以下每一部分A.字母A-Z或a-zB.數(shù)字0-9C.特殊字符，例如*,$,)等東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)H.例如“asdf“的簡(jiǎn)單密碼(在鍵盤上相連的鍵)N.btk(4902)R.mMSkK7(少于8個(gè)字符)S.btk$*@btk(沒有數(shù)字)5.3更改(可向計(jì)算機(jī)室申請(qǐng))5.3.1至少每90天更改一次密碼。東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)無(wú)無(wú)東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)4.文件和資料編號(hào)/版本規(guī)定頭，規(guī)定由4或5個(gè)數(shù)字構(gòu)成編號(hào)。東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)4.2版本及修訂號(hào)的編制方法采用“英文字母自然排序/數(shù)字自然排序”法。第0次修定(按照數(shù)字自然順序號(hào)，依次使用1、2、3……)第A版(按照英文字母自然排序，依次使用B、C、D……)版本及修訂號(hào)的標(biāo)注方法：1、2、3層次文件標(biāo)注在封面。記錄作為一種特殊形式的文件，沒有標(biāo)注版本及修訂號(hào)的時(shí)侯，默認(rèn)為A/0版；當(dāng)記錄更新版本及修訂號(hào)后，需要在記5.工作程序文件分類作廢標(biāo)識(shí)文件修訂文件5.2文件分類(見下表)更改通知保管借閱文件評(píng)審使用編制文件標(biāo)識(shí)文件批準(zhǔn)發(fā)布文件名稱1法律法規(guī)國(guó)家和地方有關(guān)信息安全等方面的法律法規(guī)東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)2公司文件《信息安全管理手冊(cè)》、程序文件，與信息安全有關(guān)的制度及行政文件、管理方案等3標(biāo)準(zhǔn)類文件4合同類文件承包合同、分包合同、物資采購(gòu)合同、租賃合同、經(jīng)濟(jì)技術(shù)責(zé)任狀、信息安全協(xié)議等5圖紙類文件各類施工圖紙、設(shè)計(jì)變更、工程洽商記錄等6外來(lái)文件包括當(dāng)?shù)卣蛏霞?jí)主管部門下發(fā)的與信息安全管理體系有關(guān)的文件，還包括業(yè)主、分包商、供應(yīng)商等方面有關(guān)體系方面的往來(lái)文件7運(yùn)行記錄包括信息安全管理體系運(yùn)行中的各類數(shù)據(jù)記錄8系統(tǒng)文件本公司與信息安全有關(guān)的系統(tǒng)文件包括：a)系統(tǒng)操作手冊(cè)；b)關(guān)鍵商業(yè)作業(yè)流程；c)網(wǎng)絡(luò)系統(tǒng)拓?fù)浣Y(jié)構(gòu)圖；d)訪問授權(quán)說(shuō)明書及授權(quán)登記表；e)ISMS體系文件；f)監(jiān)視系統(tǒng)網(wǎng)絡(luò)圖；東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)7.記錄記錄名稱保存部門保存期限文控中心2年文控中心3年?yáng)|莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)無(wú)5.1備份信息識(shí)別東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)5.7信息恢復(fù)7記錄記錄名稱保存部門保存期限3年?yáng)|莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)1適用3職責(zé)東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)4.2人事部每半年組織相關(guān)部門利用4.1條款所規(guī)定的信息來(lái)源，分析確定不符合/潛在不取糾正/預(yù)防措施應(yīng)與潛在問題的影響程度相適應(yīng)，c.可能影響本公司的企業(yè)形象與經(jīng)濟(jì)利d.可能造成生產(chǎn)經(jīng)營(yíng)業(yè)務(wù)中斷。對(duì)于各部門日常發(fā)現(xiàn)報(bào)告的重大安全隱患(安全薄弱點(diǎn)),人事部應(yīng)組織有關(guān)部門進(jìn)行4.3需制定糾正/預(yù)防措施時(shí)，由人事部組織有關(guān)部門制定糾正/預(yù)防措施對(duì)4.4當(dāng)問題原因不確定或責(zé)任重大時(shí)，由采取糾正/預(yù)防措施的部門呈報(bào)公司信息安全最高責(zé)任者，必要時(shí)，應(yīng)提交公司信息安全管理委員會(huì)進(jìn)4.5實(shí)施糾正/預(yù)防措施的部門應(yīng)認(rèn)真執(zhí)行，作好執(zhí)行結(jié)果的記錄。4.6人事部對(duì)糾正/預(yù)防措施實(shí)施結(jié)果進(jìn)行驗(yàn)證，驗(yàn)證內(nèi)容包a.糾正/預(yù)防措施是否按糾正/預(yù)防措施計(jì)劃的要求實(shí)施；b.是否消除了不符合/潛在不符合的原4.7經(jīng)驗(yàn)證效果不理想，負(fù)責(zé)制定糾正/預(yù)防措施的部門應(yīng)重新確定糾正/預(yù)程序4.3要求實(shí)施。4.8糾正/預(yù)防措施需要涉及文件更改的，應(yīng)對(duì)文件進(jìn)行評(píng)審，按《ISMS文件和資料管5記錄保存部門保存期限3年?yáng)|莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)2適用范圍ScopeVPN(VirtualPrivateNetworking):即虛擬專用網(wǎng)，VPN是用以實(shí)現(xiàn)通過4管理細(xì)則4.1基本管理原則東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)1)三個(gè)區(qū)域(Untrust/Trust/DMZ)間的策略遵循“2)未經(jīng)允許，嚴(yán)禁Internet直接訪問公司內(nèi)部(除DMZ區(qū)的機(jī)器外)的網(wǎng)絡(luò)。4)不得從公司內(nèi)網(wǎng)直接訪問Internet,允許從DMZ區(qū)域有限制的訪問Internet。6)公司內(nèi)網(wǎng)必須有限制地訪問DMZ區(qū)機(jī)器，并且只開放相應(yīng)的端東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)3)數(shù)據(jù)中心(研發(fā)區(qū)、非研發(fā)區(qū)、通用區(qū))不4.4策略申請(qǐng)流程4.5職責(zé)東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)6本規(guī)定的維護(hù)與解釋東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)3、定義要是硬盤和U盤)4.介質(zhì)分類.5.2涉密存儲(chǔ)介質(zhì)5.2.1維修處理規(guī)范3)若該介質(zhì)已經(jīng)損壞通知用戶或者IT部更換.東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)6.2.二次利用處理規(guī)范東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)機(jī)房出入管理規(guī)定第六條任何人員因工作需要進(jìn)入機(jī)房，均需填寫《機(jī)房出入登記表》(附件二),登記隨身東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)附則東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)4.2應(yīng)急支援東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)11.本制度自2017年1月1日起執(zhí)行。東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)層)與集市數(shù)據(jù)層(EDM層):東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)七、訪問數(shù)據(jù)的系統(tǒng)要求八、數(shù)據(jù)訪問的基本原則九、訪問數(shù)據(jù)申請(qǐng)流程?hào)|莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)1目的為貫徹落實(shí)國(guó)家有關(guān)檔案管理法律法規(guī)，促進(jìn)*******(以下簡(jiǎn)稱：公司)2適用范圍3檔案鑒定銷毀范圍及鑒定原則3.1鑒定銷毀檔案范圍3.1.1保管期限已滿的檔案。3.1.2無(wú)保存利用價(jià)值的檔案。3.2鑒定檔案的原則3.2.1鑒定檔案本著“充分利用原卷，一般不拆卷重整，保管期限就高不就低”的原則，采取直接鑒定法。逐卷逐件審查卷內(nèi)文件，切忌只看案卷標(biāo)題3.2.2鑒定中要具體對(duì)待保管期限混雜的案卷。永久卷混有與卷內(nèi)文件內(nèi)容聯(lián)系密切的個(gè)別長(zhǎng)期、短期文件可以不拆卷，但混雜的長(zhǎng)期、短期保管的文3.2.3鑒定要考慮檔案的價(jià)值，應(yīng)以反映公司只地位、活動(dòng)范圍以及檔案的產(chǎn)生事件、完整程度、可靠性、有效性和外形特點(diǎn)3.2.4會(huì)計(jì)檔案鑒定銷毀按照財(cái)政部、國(guó)家檔案局《會(huì)計(jì)檔案管理辦法》執(zhí)行。會(huì)計(jì)檔案鑒定銷毀要根據(jù)特殊性進(jìn)行鑒定，鑒定銷毀應(yīng)注意以下幾個(gè)方東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)負(fù)責(zé)人的簽字及時(shí)間、批準(zhǔn)人的簽字及時(shí)間(銷毀檔案的批準(zhǔn)人為企業(yè)法人代表)、監(jiān)銷人的簽字及銷毀時(shí)間等項(xiàng)目。清冊(cè)中檔案銷毀登記表(表格：)準(zhǔn)確4.4編制銷毀檔案分析報(bào)告。檔案鑒定銷毀領(lǐng)導(dǎo)小組根據(jù)待銷毀檔案的鑒定結(jié)果及檔案銷毀清冊(cè)，組織編制銷毀檔案分析報(bào)告，報(bào)告中對(duì)需銷毀檔案的4.5審核工作。將檔案銷毀清冊(cè)及銷毀檔案分析報(bào)告提供給辦公室進(jìn)行審4.6延期銷毀。為慎重起見，準(zhǔn)備銷毀的檔案，在經(jīng)總經(jīng)理批準(zhǔn)后，還需要繼續(xù)保存一段時(shí)間后銷毀，一般以半年為宜，以避免因檔案潛在作用尚未被4.7銷毀工作?？偨?jīng)理批準(zhǔn)銷毀的檔案，由2名工作人員將其銷毀，不能當(dāng)作其他用途。無(wú)論采用什么方法，檔案鑒定銷毀小組必須指定2人以上監(jiān)銷(其中一人為辦公室人員),確已銷毀后，監(jiān)銷人在銷毀清冊(cè)上注明“已銷毀”東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)3.1綜合辦3.2各使用人員4工作程序及內(nèi)容4.2可移動(dòng)存儲(chǔ)介質(zhì)的管理4.3存儲(chǔ)介質(zhì)的處理4.4信息處理程序東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)4.6安全移動(dòng)存儲(chǔ)介質(zhì)的策略4.7安全移動(dòng)存儲(chǔ)介質(zhì)的配發(fā)東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)4.8安全移動(dòng)存儲(chǔ)介質(zhì)的使用東莞市XXX有限公司文件名稱頁(yè)碼文件編號(hào)東