ISO 27040-2015 信息技術安全技術存儲安全程序文件一整套

程序文件受控狀態(tài)：深圳市XX數(shù)字科技有限公司發(fā)布發(fā)布日期：2023-4-3實施日期：編寫部門劉海燕變更記錄變更說明審核編寫部門劉海燕.人力資源管理程序文件控制程序記錄控制程序存儲安全管理程序安全風險評估管理程序供應商管理程序管理評審程序糾正措施控制程序內(nèi)部審核管理程序設備管理程序可移動介質(zhì)管理程序編寫部門劉海燕法律法規(guī)與符合性評估程序數(shù)據(jù)操作管理程序網(wǎng)絡設備安全配置管理程序用戶訪問控制程序重要信息備份管理程序資產(chǎn)密級管理程序惡意軟件管理程序數(shù)據(jù)清理管理程序存儲安全設計管理程序業(yè)務持續(xù)性管理程序信息分類管理程序信息安全獎懲管理程序信息安全事件管理程序信息安全目標測量控制程序的規(guī)定要求，對承擔存儲安全管理體系職責的人編寫部門劉海燕3.職責3.1綜合行政部3.2其他部門編寫部門劉海燕3.3總經(jīng)理4.任用前4.1安全角色與職責4.1.1綜合行政部負責組織編制和保存《崗位說明書》,對本公司內(nèi)每個職位的《崗位說明書》規(guī)定人員的角色4.1.2綜合行政部對員工下發(fā)《崗位說明書》,保證員工對責任說明的理解和接受。這個工作必須在員工上崗前4.1.3員工的職責發(fā)生變化時，綜合行政部要負責立即更新員工的《崗位說明書》。綜合行政部應負責保證更新的《崗位說明書》確定的傳達給員工。這一工作必須在員工職責發(fā)生變化起1周內(nèi)完成。4.2人員選拔如果該職位是涉密職位，應對應聘者進行背景調(diào)查。背景調(diào)查時應考慮：個人和職業(yè)推薦信，身份，學歷和/或

檢查申請人的簡歷是否完整及準確；

確認其聲明的學歷及職業(yè)資格是否真實；編寫部門劉海燕

獨立的身份檢查(身份證、護照或其它文件)。4.2.3各部門負責人可根據(jù)本部門對上崗員工的特殊要求，提出必要的附加調(diào)查內(nèi)容，并反饋給綜合行政部，以4.3任用條款和條件5.1存儲安全教育與培訓5.1.1綜合行政部應持續(xù)對新老員工進行存儲安全意識與技能方面的培訓，對員工的培訓需要安排存儲安全方面1)本公司存儲安全方針、策略和安全控制措施；2)本公司管理的所有系統(tǒng)和服務的安全設計和操作；3)與員工崗位日常工作相關的安全問題與措施；4)存儲安全獎懲規(guī)定5)其他與存儲安全相關的知識與技能。6)對于課堂培訓與自學的內(nèi)容可根據(jù)需要，安排進行必要的考核，以評價員工的學習效果，同時也作為培5.1.2存儲安全小組及各部門的安全管理員可在不同的層面上對員工進行安全意識與技能的培訓，并通知綜合行編寫部門劉海燕5.2培訓計劃的制定與審批5.2.1各部門向綜合行政部提出培訓需求申請；新入職員工培訓由綜合行政部發(fā)出入職培訓通知，具體實施部門5.2.4培訓計劃的內(nèi)容包括培訓的目的，培訓的對象、內(nèi)容、需求及要求，培訓的形式，培訓的時間安排。5.2.5培訓結(jié)束后，對接收培訓人員進行培訓考核，填寫培訓考核記5.2.6培訓考核后，綜合行政部進行培訓質(zhì)量評估，參加培訓人員每個人填寫培訓質(zhì)量評估表。5.3培訓的目的2)違反相關要求所造成的后果；5)公司鼓勵員工參與信息安全管理，為實現(xiàn)存儲安全目標做出貢獻。5.4培訓的對象及內(nèi)容編寫部門劉海燕5.4.2新員工1)公司基礎教育：包括公司簡介、公司相關制度、存儲安全方針和存儲安全目標、存儲安全意識、相關法律法規(guī)、存儲安全管理體系標準基礎知識等的2)崗位技能培訓：采取一幫一的方式，員工入職后，各部門負責人指定專人指導新員工進行崗前的學習，5.4.3在崗人員：按培訓計劃為在崗員工安排各類培訓，包括技能類、素質(zhì)類和5.5培訓的形式5.5.1培訓：由公司內(nèi)、外部有專長的人員就某一專題進行講授5.5.2外部培訓：由公司聘請外部專業(yè)人員到公司培訓或公司員工報名去外部參5.6培訓記錄5.6.1每次培訓各相關部門應記錄培訓人員、時間、地點、教師、內(nèi)容等，培訓后將有關記錄、試卷或考核記錄5.7紀律處理6.任用終止或變更編寫部門劉海燕6.1終止職責6.1.1綜合行政部門應清晰規(guī)定和分配任用終止或變更的責任。終止職責應包括必要的安全需求和法律職責，必6.1.2規(guī)定職責和義務在任用終止后仍然有效的內(nèi)容，應當在任用前就包含在員6.2資產(chǎn)歸還6.3撤銷訪問權6.4后期管理6.4.1對于擔任重要崗位的員工辭職、解聘，公司應在一定范圍內(nèi)發(fā)布相關解聘信息。6.4.2有關部門應及時分析員工離職原因、認清員工離職前兆，避免核心人員流失7.相關記錄《應聘人員背景調(diào)查表》《員工保密協(xié)議書》編寫部門劉海燕1.0目的2.0范圍3.0工作職責3.1總經(jīng)理負責手冊、程序文件的批準及頒布，并負責內(nèi)部管理文件的批準。3.2存儲安全小組組長負責存儲安全管理手冊、程序文件及公司管理文件的審核。3.3存儲安全小組負責存儲安全管理手冊及程序文件的編制3.4各部門負責本部門存儲安全管理體系程序文件、管理文件、作業(yè)文件的編制。3.5綜合行政部負責復印、發(fā)放、更改及管理，并負責公司文件、外來文件的保管工作。4.0程序4.1文件的構(gòu)成編寫部門劉海燕編寫部門劉海燕4.2存儲安全管理體系文件的編號———代表一級文件代表信息安全管理體系深圳市啟企數(shù)字科技有限公司4.2.2存儲安全管理體系程序文件的編號方法如下：X——代表年號 代表程序文件—代表信息安全管理體系深圳市啟企數(shù)字科技有限公司—代表年號代表程序文件編寫部門劉海燕4.2.4存儲安全記錄的編號方法如下： 代表順序號——代表信息安全記錄4.2.5文件的版本號說明：4.3文件的編寫、審核、批準a)存儲安全管理體系手冊、程序文件由存儲安全小組編寫，管代審核，總經(jīng)理批準發(fā)布；b)各部門作業(yè)文件由各部門負責人組織編寫、匯總，由存儲安全小組組長審核批準。4.4文件的發(fā)放a)受控的所有文件的發(fā)放由綜合行政部建立<文件發(fā)放、回收、借閱、銷毀記錄表>,包括記編寫部門劉海燕4.5文件的受控狀態(tài)4.6文件的更改a)存儲安全管理手冊和程序文件由存儲安全小組組織更改，填寫<文件更改申請單>,經(jīng)存儲b)其他文件的更改由使用部門填寫<文件更改申請單>,經(jīng)原審批部門審批；再由各相應部門c)具體更改方式由綜合行政部按<文件發(fā)放、回收、d)所有被換頁的原文件必須由相應主管部門收回，以確保有效文件的唯一性。4.7外來文件的控制b)綜合行政部負責收集到有關國家、行業(yè)或國際標準的最新版本，加蓋受控印章，分發(fā)到相c)外來文件的發(fā)放方式按4.4執(zhí)行。4.8文件的作廢與銷毀a)所有失效或作廢文件由相關部門及時從所有發(fā)放或使用場所撤出，進行登記，確保防止作b)由于某種原因需保留的任何已作廢的文件，都應進行適當?shù)臉俗R；c)對要銷毀的作廢文件，由相關部門填寫<文件發(fā)放、回收、借閱、銷毀記錄表>,經(jīng)存儲安編寫部門劉海燕4.9每年由存儲安全小組組織對現(xiàn)有存儲安全管理體系文件進行評審，各部行適時評審，必要時予以修改，具體按4.6的有關規(guī)定實施。5.0支持性文件6.0記錄清單《文件更改申請單》《文件發(fā)放、回收記錄表》《文件借閱記錄表1.0目的2.0范圍3.0工作職責3.1綜合行政部負責存儲安全管理體系中的所有存儲安全記錄的歸口管理。3.2各部門負責本部門存儲安全記錄的編制、填寫、傳遞和保管。4.0程序4.1記錄的標識編號4.2記錄清單的編制a)由綜合行政部負責編制《記錄清單》,規(guī)定記錄的保存期限；b)《記錄清單》制訂后報存儲安全小組組長(存儲安全小組組長)批準附于本程序之后。4.3記錄的填寫編寫部門劉海燕4.3.1記錄填寫要及時、真實、內(nèi)容完整、字跡清晰，不得隨意涂改，如因某種因素不能填寫的項目，應將該項用單杠劃去，各相關欄目負責人簽名不允許空白。4.3.2如因筆誤或計算錯誤要修改原記錄，應采用單杠劃去原記錄，在其上方寫上更改后的記錄，加蓋或簽上更改人的印章或姓名及日期。各部門必須把所有記錄分類、依日期順序整理好，存放于通風、干燥的地方，所有的記錄保持清潔，字跡清晰，各部門對本部門填寫的有關的記錄按月移交綜合行政部保存，綜合行政部按規(guī)定的期限保存記錄。綜合行政部對保存的記錄每年進行一次檢查，對于超過保存期限的記錄參見《文件控制程序》4.8執(zhí)行?！段募刂瞥绦颉贰队涗浨鍐巍?目的本文件旨確保所有存儲信息的可用性和性能、更高的數(shù)據(jù)保護和安全性、集中的審核以及滿足法規(guī)遵從性要求。編寫部門劉海燕3.2各責任部門：負責本部門各崗位依據(jù)信息存儲安全要求的實施。4相關文件《ISO27040-2015信息技術.安全技術.存儲技術標準》5定義6程序6.1存儲設備管理1)綜合行政部對所有跟存儲有關的設備包括電腦硬盤，U盤，移動硬盤，筆記本電腦等進行2)所有可移動存儲設備必須進行物理上保護：在不使用后必須存放在轉(zhuǎn)移存儲柜并上鎖保存編寫部門劉海燕6.2認證和授權：A、所有用戶應具有唯一標識符(用戶ID),僅供個人使用；>強身份驗證；>多因素身份驗證，例如生物測定數(shù)據(jù)(如指紋驗證、簽名驗證)和硬件令牌(如智能卡)的使用。6.2.2授權●安全管理員：具有查看和修改權限，以建立和管理帳戶、創(chuàng)建和關聯(lián)角色/權限、審核日志配置和內(nèi)容(審核日志事件項永遠不能更改)、與IT基礎結(jié)構(gòu)建立信任關系、管理證編寫部門劉海燕●安全審計員：此角色具有允許權限審查、安全參數(shù)和配置驗證以及審核日志檢查的查看權●存儲審核員：類似于操作員的角色，具有允許驗證存儲參數(shù)和配置以及檢查運行狀況/故6.2保護管理接口1)存儲系統(tǒng)的物理接口包括：串行端口(如RS-232、DB9、DB25等)、局域網(wǎng)、調(diào)制解調(diào)器，用于數(shù)據(jù)路徑的技術(如光纖通道)等C、將用于管理的LAN接口與其他LAN通信量使用物理形式隔離，但至少應使用邏輯隔離(如對簡單網(wǎng)絡管理協(xié)議(SNMP)的支持以及處理帶內(nèi)管理(即通過數(shù)據(jù)路徑)的基于服務器的代理。編寫部門劉海燕A、使用防火墻和TCP包裝器將對管理網(wǎng)絡的訪問限制為授權的系統(tǒng)和協(xié)議；B、使用FC-SP-2AUTH-A對執(zhí)行帶內(nèi)管理的實體進行身份驗證，D、使用具有適當安全控制的ICT基礎設施；E、使用適當?shù)奶貦嘤脩艨丶?，包括身份驗證、授權和安全審核/監(jiān)視；F、確保操作系統(tǒng)和應用程序是最新的，并且對攻擊有足夠的防御能力。3)遠程管理存儲系統(tǒng)時，應使用以下附加安全措施A、對所有遠程訪問使用安全通道(虛擬專用網(wǎng)或VPN、TLS、安全外殼或SSH、超文本傳輸協(xié)議安全或HTTPS),采用強認證或多因素認證；B、將權限限制在所需的最小權限；6.3安全審計和監(jiān)控合規(guī)法規(guī)和合同條款通常包括監(jiān)測和報告要求，從存儲安全的角度來看，事件日志記錄和系統(tǒng)記帳是幫助解決安全審計和監(jiān)控需求的關鍵功能?！栋踩珜徲?、會計和監(jiān)控安全策略》已明確要求如何實施安全審計和監(jiān)控活動。6.4系統(tǒng)強化所有操作系統(tǒng)、虛擬機監(jiān)控程序和有關于存儲系統(tǒng)的應用程序都必須定期進行系統(tǒng)強化。具體實施策略參考《系統(tǒng)強化安全策略》編寫部門劉海燕《存儲設備、介質(zhì)清單》編寫部門劉海燕存儲安全小組成員擔任公司風險評估活動。存儲安全小組每年至少一次，或當體系、組織、業(yè)務、技術、環(huán)境、客戶、主要供應商、法律法規(guī)等影響企業(yè)的重大事項發(fā)生變更、重大事故事件發(fā)生后，負責編制存儲安全風險評估計劃，確認評估結(jié)果，形成《存儲安全風險評估報告》。各部門的存儲安全員負責本部門使用或管理的存儲資產(chǎn)的識別和風險評估，并負責本部門所涉及的存儲資產(chǎn)的具體安全控制工作。4.3.1存儲安全小組組長：負責審核各部門的存儲資產(chǎn)識別。4.3.2存儲安全小組：負責匯總、校對全公司的存儲資產(chǎn)。4.3.3存儲安全小組：負責風險評估的策劃。4.3.4存儲安全小組：負責組織進行第一次評估與定期的再評估。5程序編寫部門5.1風險評估前準備5.2存儲資產(chǎn)的識別存儲資產(chǎn)1)數(shù)據(jù)：數(shù)據(jù)庫和數(shù)據(jù)文件、系統(tǒng)文件、用戶手冊、培訓資料、操作與維護程序、知識產(chǎn)權、業(yè)務持續(xù)性計劃、應急安排等。2)文件：合同、公司文件、人事記錄、財務記錄、采購文件、發(fā)票等。3)軟件：應用軟件、系統(tǒng)軟件、開發(fā)工具和實用程序等。4)硬件：計算機、服務器、路由器、集線器、防火墻、通訊設備、其它技術設備(供電設備、空調(diào)設備)、辦公場所等。5)人員：員工、客戶、合同工等。評估程序本評估應考慮：范圍、目的、時間、效果、組織文化、人員素質(zhì)以及具體開展的程度等因素來確定，使之能夠與組織的環(huán)境和安全要求相適應。5.2.2資產(chǎn)屬性賦值識別資產(chǎn)并判斷資產(chǎn)重要性，建立《存儲資產(chǎn)清單》。資產(chǎn)重要性賦值應考慮資產(chǎn)的使命、資產(chǎn)本身的價值、資產(chǎn)對于應用系統(tǒng)的重要程度、業(yè)務系統(tǒng)對于資產(chǎn)的依賴程度、部署位置及其影響范圍等因素評估資產(chǎn)價值。在評估中，采用主資產(chǎn)+附屬資產(chǎn)的方法進行資產(chǎn)賦值，即：硬件設備+安裝軟件+承載數(shù)據(jù)/業(yè)務；人員+業(yè)務系統(tǒng)權限+離職影響，對不同類型資產(chǎn)考慮其機密性、完整性和可用性安全要求，通過對資產(chǎn)三個安全要求的判定，取三者之中最大值，作為資產(chǎn)的最終重要程度。編寫部門劉海燕保密性賦值：12345完整性賦值：12345編寫部門劉海燕可用性賦值：12時間達到25%以上，或系統(tǒng)允許一次中斷時間小于60分鐘。3時間達到70%以上，或系統(tǒng)允許一次中斷時間小于30分鐘。4時間達到90%以上，或系統(tǒng)允許一次中斷時間小于10分鐘。5工作時間達到99%以上，或系統(tǒng)不允許中斷。5.3存儲資產(chǎn)風險評估/殘余風險評價的過程1.威脅識別威脅識別是指通過統(tǒng)計數(shù)據(jù)和經(jīng)驗判斷來確定資產(chǎn)所面臨威脅的過程，需要根據(jù)資產(chǎn)運行環(huán)境來確定所面臨的威脅來源。編寫部門劉海燕2.脆弱性識別屬性(機密性、可用性、完整性)的損害及影響程度評價對應的影響級別。如表5-1和5-1所表5-1影響分析的定義(機密性和完整性)5資產(chǎn)嚴重或完全損害，例如，從外部可接觸，并影響業(yè)務利潤或成敗4嚴重但對資產(chǎn)造成不完全損害，例如，影響業(yè)務利潤或成敗，可從外部接觸到。3中等損壞或損失，例如影響內(nèi)部業(yè)務實施，導致運作成本增加或利潤減少編寫部門劉海燕2低損害或損失，例如，影響內(nèi)部業(yè)務實行，無法評定成本的增加1資產(chǎn)有輕微更改或無更改表5-2影響分析的定義(可用性)5停工實質(zhì)性支持成本或業(yè)務承諾被取消4工作中斷支持成本或業(yè)務承諾延遲可量化增長3工作延遲定的業(yè)務影響2工作受干擾無可評定的影響，支持或基礎結(jié)構(gòu)成本有少量增加1由正常業(yè)務操作吸收對支持成本/工作效率或業(yè)務承諾無可評定的影響4.現(xiàn)有存儲安全措施識別編寫部門劉海燕6.可能性分析實可能性，可能性級別判斷準則如5-3所示。表5-3可能性賦值準則考慮社會上和其它組織的經(jīng)驗，結(jié)合公司實際情況，已實施控制措施的有效性，威脅可頻繁利用脆弱性導致安全事件的發(fā)生，如每周發(fā)生考慮社會上和其它組織的經(jīng)驗，結(jié)合公司實際情況，已實施控制措施的有效性，威脅可經(jīng)常利用脆弱性導致安全事件的發(fā)生，如每月發(fā)生考慮社會上和其它組織的經(jīng)驗，結(jié)合公司實際情況，已實施控制措施的有效性，威脅可偶爾利用脆弱性導致安全事件的發(fā)生，如每年發(fā)生7.風險計算編寫部門劉海燕風險級別=資產(chǎn)賦值*組織影響級別*可能性級別8.風險評價公司將75個風險級別，重新映射為高、中、低3個風險度，以更有助于普通員工感性的理解。風險大小為48(含)以上時表示為高風險，18~48表示為中風險，18(不含)以下表示低，公風險大小高同時必須編制應急計劃。中低如果被評估為低風險，可以接受，可需要持續(xù)觀察。9.風險接受等級下表表示：風險級別風險大小風險接受準則A不可接受的風險。BC不需要評審即可接受的風險編寫部門劉海燕10.編制風險評估報告1)風險評估起止日期2)風險評估工作組組成3)風險評估范圍4)資產(chǎn)、風險和風險值排序表11.后續(xù)活動1)針對可接受級別之上的風險，確定風險處理選項：c)風險規(guī)避：采取措施避免風險的發(fā)生；d)風險轉(zhuǎn)移：將相關業(yè)務風險轉(zhuǎn)移到其他方。2)為處理風險選擇控制目標和控制措施a)選擇和實施控制目標和控制措施，以滿足風險評估和風險處置過程中所識別的要求，b)可從ISO/IEC27001:2013標準附錄A中選擇適當?shù)目刂颇繕撕涂刂拼胧?，以滿足這c)ISO/IEC27001:2013標準附錄A所列的控制目標和控制措施并不是所有的控制目標3)為管理存儲安全風險識別適當?shù)墓芾泶胧①Y源、職責和順序，制定風險處理計劃。編寫部門劉海燕12.記錄和匯總上述6個步驟需要形成相關的文件及記錄，考慮以下控制：(1)文件發(fā)布前得到批準，以確保文件是充分的；(2)必要時對文件進行評審、更新并再次批準；(3)確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別；(4)確保在使用時，可獲得有關版本的適用文件；(5)確保文件保持清晰、易于識別；(6)確保外來文件得到識別；(7)確保文件的分發(fā)得到適當?shù)目刂疲?8)防止作廢文件的非預期使用，若因任何目的需保留作廢文件時，應對這些文件進行適當7相關記錄>存儲資產(chǎn)清單>風險評估報告>風險處理計劃>殘余風險計算表>殘余風險評價報告編寫部門1文檔介紹2適用范圍3名詞定義3.1供應商3.2服務方案3.3服務水平要求3.4服務評價編寫部門劉海燕是后續(xù)是否續(xù)簽合同的重要依據(jù)。4角色與職責4.1綜合行政部1)制定供應商管理規(guī)范，綜合管理各供應商；2)匯總《供應商列表》;3)審批供應商的合同或協(xié)議，以確保與供應商簽訂的合同或協(xié)議滿足IT服務團隊與客戶簽訂的服務承諾；4)負責與本項目的供應商簽訂合同和協(xié)議，與供應商的關系應清晰記錄到《供應商列表》;5)項目執(zhí)行過程中每年至少進行一次合同和協(xié)議的檢查，確保業(yè)務需求與合同條款相符；6)清晰了解并記錄主供應商與分包供應商之間的角色和關系，要求主供應商確保分包供應商可7)編寫《供應商評價表》;8)定期監(jiān)控和檢查服務的執(zhí)行情況，每年度至少進行一次供應商評價，并提供《供應商年度管理報告》。4.2體系各部門1)提交供應商服務的需求；2)物色候選供應商；3)提交候選供應商的資料及本部門評價意見；4)提交供應商談判合同條款意見；編寫部門劉海燕5)按公司規(guī)定配合辦理合同簽署手續(xù)。5管理內(nèi)容5.1服務定義本公司與供應商之間應就服務需求、提供的服務、服務的范圍、服務級別和溝通流程充分協(xié)商，并得到相關各方的書面認可。與供應商簽訂的服務支持協(xié)議應滿足服務團隊與用戶簽訂的服務目標。應和每個供應商就每項服務清晰定義以下內(nèi)容：1)服務、角色、職責的定義；2)服務范圍；3)合同管理流程和合同結(jié)束計劃；4)相關支付條款；5)約定需提交報告的內(nèi)容和服務成果記錄。5.2供應商的選擇1)體系各部門明確服務需求后，在新找供應商或者有意更換原供應商的情況下，負責聯(lián)系合適的服務提供商。通過比較，從中挑選出候選服務商；2)由項目帶進而非部門自行選擇的供應商，供應商管理部門應嚴格按照公司與供應商簽訂的合3)候選的供應商應具有保障信息安全的能力，這里主要指供應商是否自身已經(jīng)建立信息安全體系，有否通過相關認證，過往有無違反信息安全規(guī)范的記錄。5.3合同管理編寫部門劉海燕5.3.1總則1)為每個供應商指派一名合同經(jīng)理(由供應商經(jīng)理兼任),負責與供應商的合同和協(xié)議。與供應商的關系應清晰記錄到《供應商列表》中；2)涉及到合同終止或者續(xù)約時，根據(jù)合同周期進行評審。確保業(yè)務需求與合同條款相符；3)所有涉及合同的變更操作，按照公司相關制度執(zhí)行；4)發(fā)生合同糾紛時，合同經(jīng)理應按照合同規(guī)定的流程處理；5)發(fā)生服務結(jié)束、服務提前終止或服務轉(zhuǎn)移給其他供應商時應，合同經(jīng)理應按照合同規(guī)定的流程處理。5.3.2合同內(nèi)容簽訂的合同內(nèi)容需遵循我公司總部相關規(guī)章制度。具體可參見公司的《詢價采購管理規(guī)范》或其他相關管理制度。供應商服務合同內(nèi)容主要包括但不限于以下：1)明確服務方式：a)現(xiàn)場服務：進入我公司現(xiàn)場提供服務；b)非現(xiàn)場服務：不進入我公司現(xiàn)場提供服務；c)現(xiàn)場服務+非現(xiàn)場服務：視服務需要采取現(xiàn)場服務或非現(xiàn)場服務。2)列明提供的服務種類，描述各服務種類的內(nèi)容；3)根據(jù)服務方式、服務種類，確定信息安全管理手段：a)物理環(huán)境訪問權限的設置與說明。編寫部門劉海燕b)供應商使用設備的管理，在服務過程中明確對設備的授權方式、監(jiān)視和撤消用戶活動的權限。c)簽署保密協(xié)議。d)明確服務人員要求：包括人員資格要求、撤換服務人員的規(guī)定、安全規(guī)范的遵守。e)明確服務水平要求：1.確定服務報告的格式與服務報告被確認的標準；2.供應商服務過程中提供物品的要求，如零備件、消耗品等的數(shù)量與質(zhì)量要求；3.明確供應商服務響應時間的要求與衡量方式；4.列明期望的服務水平與不可接受的服務水平。f)服務過程中異常事件的通報與處理機制：1.確定正常工作程序；2.明確供應商工作過程中的變更授權流程；3.異常情況，報告機制，包括報告時間、向誰報告；4.安全事故處理機制，包括如何調(diào)查、通知、處理。5.提供處理信息安全事件的聯(lián)絡方式。g)制訂供應商所提供服務不能滿足服務水平要求的懲罰條款；h)明確檢查供應商工作的權利：有權監(jiān)視、審核、評估服務商所提供服務的狀況，并且根據(jù)合同予以相應獎懲。5.3.3合同簽訂編寫部門劉海燕簽訂合同需遵循總部相關規(guī)章制度。具體可參見公司的《詢價采購管理規(guī)范》或其他相關管理制度。5.4服務的管理1)現(xiàn)場服務的供應商工作時必須遵守公司人員、設備準入、病毒防護、用戶密碼管理等相關要2)非現(xiàn)場服務的供應商通過遠程登錄的方式開展工作必須遵守我公司關于遠程登錄、網(wǎng)絡安全3)供應商在工作過程中，所發(fā)現(xiàn)到生產(chǎn)設備的異常，應形成相應的報告，按事件管理進行處理；4)供應商在工作過程中，如涉及到對生產(chǎn)設備、系統(tǒng)、數(shù)據(jù)的變動，也應按變更管理進行處理；5)體系各部門應將本公司安全管理策略和程序的更改以及改進安全的新的控制措施及時通知供應商，以便其遵守；6)體系各部門對供應商提出的新技術、新產(chǎn)品的采用應在評估后報深圳市思源計算機軟件股份有限公司確認及審批。5.5多重供應商管理當存在直接供應商和分包供應商時，公司只負責管理直接供應商，分包供應商則由直接供應商負責管理；直接供應商應向本公司提供自己與分包供應商之間關系及責任劃分的相關材料，確保分包供應商承諾的各項指標不低于自己承諾的各項指標。5.6評價供應商每一個合同結(jié)束或終止時，供應商經(jīng)理應根據(jù)公司相關流程要求，對合同或協(xié)議進行評審。供應商經(jīng)理需根據(jù)《供應商評價表》定期監(jiān)控和檢查服務的執(zhí)行情況，每年度至少進行一次供編寫部門劉海燕應商評價。同時應記錄供應商的改進措施，并作為服務改進計劃的依據(jù)同時應記錄供應商的改進措施，并作為服務改進計劃的依據(jù)。6輸出文件《供應商列表》《供應商評價表》1.0目的按計劃定期對本公司的存儲安全管理體系的適應性，有效性進行評審，確保其持續(xù)有效地滿足公司標準要求，確保其適應于本公司的存儲安全方針和目標的要求。2.0主要內(nèi)容和適用范圍適用于總經(jīng)理評價公司存儲安全管理體系關于改進和變更需求，以及評價存儲安全方針和目標。3.0工作職責3.1總經(jīng)理主持管理評審；3.2存儲安全小組組長負責向總經(jīng)理報告存儲安全管理體系運行情況，提出改進建議，編寫《管理評審報告》;3.3存儲安全小組負責存儲安全管理體系評審計劃的制定，提供管理評審所需的資料；3.4存儲安全小組組長負責實施管理評審后的糾正措施進行跟蹤驗證；3.5各部門負責準備提供與本部門工作有關的評審所需資料，并負責實施管理評審中提出的相關的編寫部門劉海燕糾正措施。4.0程序4.1管理評審計劃4.1.1管理評審一般情況下每間隔12個月份進行一次，特殊情況可增加評審。4.1.2存儲安全小組在管理評審前10個工作日編制《管理評審計劃及通知單》,報總經(jīng)理批準，計劃內(nèi)容包括：a.評審時間；b.評審目的；c.評審范圍及評審重點；d.參加評審部門或人員；e.評審依據(jù)；f.評審內(nèi)容；4.1.3當出現(xiàn)下列情況之一時可增加管理評審頻次：a.公司組織機構(gòu)、資源配置發(fā)生重大變化時；b.發(fā)生重大存儲安全事故或用戶關于存儲安全方面有嚴重投訴或投訴連續(xù)發(fā)生時；c.當法律、法規(guī)、標準及其他要求有變化時；d.市場需求發(fā)生重大變化時；e.即將進行第二、三方審核或法律法規(guī)規(guī)定審核時。編寫部門劉海燕4.2管理評審輸入管理評審輸入應包括以下內(nèi)容：a.審核結(jié)果，包括第一方、第二方、第三方存儲安全管理體系審核等的結(jié)果；b.顧客的反饋包括滿意程度的測量結(jié)果及與顧客溝通的結(jié)果等；c.改進、糾正措施的情況，包括對內(nèi)部審核和日常發(fā)現(xiàn)的不合格項采取的糾正措施的實施及其有效性的監(jiān)控結(jié)果；d.過程的符合性，包括過程、產(chǎn)品的測量和監(jiān)控的結(jié)果；e.以往管理評審跟蹤措施的實施及有效性；f.可能影響存儲安全管理體系的各種變化，包括內(nèi)外環(huán)境的變化，如法律法規(guī)的變化，新技術、g.存儲安全管理體系運行狀況，包括存儲安全方針和目標的適宜性和有效性；4.3審核準備4.3.1管理評審前10天，公司各部門向存儲安全小組組長匯報現(xiàn)階段信息安全管理體系運行情況；4.3.2存儲安全小組組長在各部門提供資料的基礎上，于會前一周內(nèi)準備好全面的存儲安全管理體4.3.3存儲安全小組組長以《管理評審計劃及通知單》通知參加評審人員，準備相關的資料。4.4管理評審會議a.總經(jīng)理主持管理評審會議，各部門負責人和有關人員對評審輸入做出評價，對于存在或潛在的不合格項提出糾正和預防措施，確定責任人和整改時間；編寫部門劉海燕b.總經(jīng)理對所涉及的評審內(nèi)容做出結(jié)論。a.存儲安全管理體系及其過程的改進，包括對存儲安全方針、存儲安全目標、組織結(jié)構(gòu)、過程控制等方面的評價；b.與顧客要求有關的產(chǎn)品改進，對現(xiàn)有產(chǎn)品符合要求的評價，包括是否需要進行產(chǎn)品、過程c.資源需求等。4.5.2會議結(jié)束后，由存儲安全小組組長根據(jù)管理評審輸出的要求進行總結(jié)，編寫《管理評審報告》,交總經(jīng)理批準，存儲安全小組發(fā)至相關部門監(jiān)督執(zhí)行。本次管理評審的輸出可以作為下次管理評存儲安全小組組長根據(jù)《糾正措施控制程序》的規(guī)定，并填寫《整改/改進措施計劃》對改進、糾正措施的實施效果進行跟蹤驗證。4.8管理評審產(chǎn)生的相關的記錄應由人力綜合部按《記錄控制程序》保管，包括管理評審計劃、評審資料、評審會議記錄及管理評審報告等。5.1《記錄控制程序》編寫部門劉海燕6.0記錄表格6.2《管理評審會議記錄》6.3《管理評審報告》6.4《會議簽到表》6.5《整改/改進措施計劃》1.0目的2.0范圍3.0工作職責3.1存儲安全小組是存儲安全管理體系糾正措施的歸口管理。3.2各部門負責檢查本部門不合格原因及采取糾正措施，保證其有效性。3.3存儲安全小組組長負責監(jiān)督、協(xié)調(diào)糾正措施的實施。4.0工作程序4.1糾正措施對于存在的不合格應采取糾正措施，以消除不合格原編寫部門劉海燕4.1.1識別不合格對存儲安全管理體系各過程輸出的信息進行識別：a.過程、產(chǎn)品質(zhì)量出現(xiàn)重大問題時；b.管理評審發(fā)現(xiàn)不合格時；c.顧客對產(chǎn)品質(zhì)量投訴時；d.內(nèi)審發(fā)現(xiàn)不合格時；e.出現(xiàn)重大操作事故；f.供方產(chǎn)品或服務出現(xiàn)嚴重不合格；g.其他不符合存儲安全方針和目標或存儲安全管理體系文件要求的情況。4.1.2分析不合格原因責任部門對不合格原因進行分析，確定產(chǎn)生不合格的主要原因。4.1.3措施的制定、實施與驗證a.對某個部門的存儲安全問題，由存儲安全小組填寫“糾正措施處理單”,經(jīng)存儲安全小組組長批準，交責任部門負責改進。b.對涉及多個部門的存儲安全問題，由存儲安全小組請示存儲安全小組組長，由存儲安全小組組長組織公司有關部門召開存儲安全問題專題分析會，分析問題產(chǎn)生的原因，落實責任部門，由存儲安全小組根據(jù)專題會議的決定，填寫“糾正措施處理單”,經(jīng)存儲安全小組組長批準后，發(fā)至責任部門處理、改進。4.2糾正措施的實施控制4.2.1糾正措施的實施過程中，存儲安全小組組長負責監(jiān)督措施實施的過程。編寫部門劉海燕4.2.2存儲安全小組負責對糾正措施實施效果進行跟蹤檢查、實施控制，保證有效，并作好記錄，由存儲安全小組組長負責驗證。4.3對有效果的糾正措施若涉及到存儲安全管理體系文件的更改，應經(jīng)審批后納入存儲安全管理體系文件。4.4對在規(guī)定時間內(nèi)未能完成的糾正措施，存儲安全小組應對此進行調(diào)查，查明未能完成的原因，向存儲安全小組組長報告，責任部門無正當理由，應追究部門負責人的責任。4.5對重要糾正措施的相關記錄及有關信息應提交下次管理評審輸入資料之一。5.0相關文件《內(nèi)部審核控制程序》《存儲安全管理控制程序》《存儲安全管理手冊》《管理評審控制程序》6.0記錄表格6.1《糾正預防行動實施報告》1.0目的按計劃進行內(nèi)部存儲安全管理體系審核，確保本公司存儲安全管理體系認證適合性和有效性。2.0范圍適用于本公司內(nèi)部存儲安全管理體系審核活動。3.0工作職責編寫部門劉海燕3.1存儲安全小組組長全面負責內(nèi)部存儲安全管理體系審核活動。3.2存儲安全小組組織實施內(nèi)部存儲安全管理體系審核活動。3.3各相關部門做好內(nèi)部存儲安全管理體系審核的配合工作4.0工作程序4.1.內(nèi)部信息安全管理體系審核安排4.1.1.公司每年組織一次集中的內(nèi)部存儲安全管理體系審核，審核覆蓋公司內(nèi)部存儲安全管理體系的所有要求和所有部門。另外如出現(xiàn)一下情況，由存儲安全小組組長決定組織特定的內(nèi)部信息安全管理體系審核：a.組織機構(gòu)、管理體系發(fā)生重大變化；b.出現(xiàn)重大存儲安全事故或者客戶對某一環(huán)節(jié)連續(xù)投訴；c.法律、法規(guī)及其他外部要求的變更；d.在接收第二、第三方審核之前。4.1.2.內(nèi)部審核員須經(jīng)過必要的培訓，各審核員的審核范圍不能包括其所在的部門4.2審核的準備4.2.1存儲安全小組組長全面負責內(nèi)審工作，編制《年度內(nèi)審計劃》,選定內(nèi)審組長及審核員，審核《內(nèi)審報告》和《內(nèi)審實施計劃》,報總經(jīng)理批準后下發(fā)各部門。4.2.2內(nèi)審組長根據(jù)《年度內(nèi)審計劃》編寫《內(nèi)審實施計劃》,控制審核全過程，編寫《內(nèi)審報告》,指定內(nèi)審員跟蹤驗證不合格報告中的糾正預防措施。4.2.3審核員參與編制檢查表，跟蹤驗證糾正措施，公平、客觀地進行審核工作認真完成審核記錄。4.2.4受審部門接到《內(nèi)審實施計劃》后，如果對審核日期和條款有異議，可在一天內(nèi)通知審核組，編寫部門劉海燕以便經(jīng)過協(xié)商，再進行安排。4.2.5受審部門應確定審核陪同人員，并通知審核組，同時做好必要的準備工作。4.3內(nèi)審的實施4.3.1首次會議a.參加會議人員：公司領導、內(nèi)審組成員及各部門負責人，與會者簽到，并由存儲安全小組保留會議記錄，審核組長主持會議；b.會議內(nèi)容：由組長介紹內(nèi)審目的、范圍、依據(jù)、方式，組員和內(nèi)審日程安排及其他事項。4.3.2現(xiàn)場審核a.內(nèi)審組根據(jù)《內(nèi)審檢查表》對受審核部門進行現(xiàn)場審核，將存儲安全管理體系運行效果及不符合項詳細記錄在檢查表中；b.內(nèi)審組長召開內(nèi)審會議，全面介紹內(nèi)審情況，對《不合格報告》進行核對；c.內(nèi)審時審核員要公正客觀地對待審核的問題。4.3.3審核報告現(xiàn)場審核后，審核組長召開審核組會，綜合分析檢查結(jié)果，依據(jù)標準，體系文件及有關法律法規(guī)要求，必要時依據(jù)合同要求，確認不合格項，并發(fā)出不合格報告給相關部門領導確認后，由相關部門分析原因，制訂糾正措施，經(jīng)信息安全小組組長批準后實施。審核員負責對實施結(jié)果跟蹤驗證，并報告驗證結(jié)果；審核組填寫《不合格項分布表》,記錄不合格分布情況；現(xiàn)場審核組長完成《內(nèi)部存儲安全管理體系審核報告》,經(jīng)存儲安全小組組長審核，交公司總經(jīng)理批準。編寫部門劉海燕審核報告的內(nèi)容：a.審核目的、范圍、方法和依據(jù)；b.審核組成員、受審核方負責人；c.審核計劃實施情況總結(jié)；d.不合格分布情況分析、不合格數(shù)量及嚴重程度；e.存在的主要問題分析；f.對公司存儲安全管理體系有效性，符合性結(jié)論及今后改進的意見。4.3.4末次會議a.參加人員、公司領導、內(nèi)審組成員及各部門領導、與會者簽到，并由存儲安全小組保留記錄，審核組長主持會議。b.會議內(nèi)容：內(nèi)審組長重申審核目的，宣讀不合格報告，宣讀《內(nèi)部存儲安全管理體系審核報告》;提出完成糾正措施的要求及日期，由公司領導講話；c.存儲安全小組組長發(fā)放《內(nèi)部存儲安全管理體系審核報告》到各相關部門。本次內(nèi)審結(jié)果要提交公司的管理評審。4.4存檔所有內(nèi)審文件記錄，由職能部保管存檔，各部門也應保管好與本部門有關的內(nèi)審記錄。年終保5.0相關文件《文件控制程序》《記錄控制程序》編寫部門劉海燕6.0記錄表格6.1《年度審核計劃》6.2《審核實施計劃》6.3《內(nèi)審檢查表》6.4《不合格報告》6.5《內(nèi)部審核報告》6.6《會議簽到表》6.7《不合格項分布表》1適用與目的本程序適用于公司與IT相關各類存儲處理設施(包括各類軟件、硬件、服務、傳輸線路)的引進、實施、維護等事宜的管理。本程序通過對技術選型、驗收、實施、維護等過程中相關控制的明確規(guī)定來確保引進的存儲處理設施的保密性、完整性和可用性。2.1辦公用計算機設備，包括所有綜合行政部、會議室內(nèi)的計算機、打印機、投影儀。編寫部門劉海燕2.3其它辦公設備，包括電話設備、復印機、傳真機等。3.1銷售部主要負責全公司與IT相關各類存儲處理設施及其服務的引進。包括制作技術規(guī)格書、4.1引進依賴本公司禁止員工攜帶個人或私有存儲處理設施(例如便攜式電腦、家用電腦或手持設備PDA等)處理業(yè)務信息。4.2進行技術選型編寫部門劉海燕4.3編寫購入規(guī)格書格、相關設施的性能(包括安全相關信息)、兼容性等要求，由銷售部部長審批。4.4定貨a)開箱檢查b)安裝、調(diào)試c)驗收編寫部門劉海燕驗收原則上由銷售部實施，必要時可要求相關部門參加。驗收結(jié)果記入《硬件軟件驗收報告》。技術驗收的合格與否最終由銷售部經(jīng)理做出判斷。d)驗收合格后，可向相關的使用部門移交。5.1計算機設備管理5.1.1銷售部負責計算機固定資產(chǎn)的標識，標識具體設備到各使用部門。計算機保管使用部門將計算機列入該部門存儲資產(chǎn)清單。5.1.2各部門配備的計算機設備應與本部門的日常經(jīng)營情況相適應，不得配備與工作不相符的高檔次或不必要的計算機設備。辦公場所不配備多媒體類計算機設備，原則上部門經(jīng)理以上配備筆記本電腦，因工作需要配備筆記本電腦的需經(jīng)主管副總批準。5.1.3計算機使用部門需配備計算機設備時，應按照本規(guī)定執(zhí)行。資產(chǎn)搬離安置場所，需要獲得部門經(jīng)理的授權；遷移出公司，需要得到最高管理層的授權。5.1.4計算機及附屬設備屬公司信息資產(chǎn)，在銷售部備案。有關計算機設備所帶技術說明書、軟件由銷售部保存。使用部門的使用人應妥善保管計算機及附屬設備，公用計算機設備由使用部門經(jīng)理指定專人負責使用管理。5.1.5離職時，應將計算機交還銷售部，由銷售部注銷賬戶。5.1.6本公司網(wǎng)絡中的計算機設備采用自動獲取IP地址，管理員負責對公司網(wǎng)絡進行更新和維護。編寫部門劉海燕5.2計算機設備維護5.2.1計算機使用部門應將每部計算機落實到個人管理。計算機使用人員負責計算機的日常維護和保養(yǎng)；銷售部按照《惡意軟件管理規(guī)定》要求進行計算機查毒和殺毒工作，結(jié)果填寫在《設備防病毒檢查表》中。5.2.2計算機使用部門發(fā)現(xiàn)故障或異常，可先報公司管理員處理，如其無法解決，則由管理員填寫《事態(tài)事件脆弱性記錄》向供應商申請維修。故障原因及處理結(jié)果應記入《事態(tài)事件脆弱性記錄》。5.3計算機調(diào)配與報廢管理5.3.1用戶計算機更新后，原來的計算機由銷售部根據(jù)計算機的技術狀態(tài)決定調(diào)配使用或予以報廢處理。5.3.2含有敏感信息的計算機調(diào)配使用或報廢前，計算機使用部門應與銷售部共同采取安全可靠的方法將計算機內(nèi)的敏感信息清除。部門內(nèi)部的調(diào)配由使用部門自行處理，并通知銷售部進行計算機配置變更，變更執(zhí)行《變更管理程序》。部門間的調(diào)配管理：銷售部收回因更新等原因不用的計算機設備，由變更部門變更信息資產(chǎn)清單，并按照本程序5.1要求重新分配使用。5.4報廢處理5.4.1計算機設備采用集中報廢處理。報廢前由銷售部向銷售部提出報廢，經(jīng)審核后由銷售部實施報廢。5.4.2銷售部按照批準的處置方案進行報廢處理，并變更固定資產(chǎn)清單。編寫部門劉海燕5.5筆記本電腦安全管理5.5.1筆記本電腦應由被授權的使用人保管；對于需多人共用的筆記本電腦，應由部門負責人指定專人保管。5.5.2筆記本所帶附件應由使用者本人或部門負責人指定專人保管。5.5.3筆記本電腦使用時應防止惡意軟件的侵害，在系統(tǒng)中應安裝防病毒軟件，并由使用人對其定期升級，對系統(tǒng)定期查殺，銷售部負責監(jiān)督。5.5.4筆記本電腦在移動使用中，按公司網(wǎng)絡管理使用規(guī)定接入公司網(wǎng)絡系統(tǒng)中。5.6計算機安全使用的要求5.6.1計算機設備為公司財產(chǎn)，應愛惜使用，按照正確的操作步驟操作。5.6.2使用計算機時應遵循信息安全策略要求執(zhí)行。5.6.3員工入職時，由其所在部門的部門經(jīng)理根據(jù)該員工權限需要填寫《用戶授權申請表》,向銷售部提出用戶開戶申請；離職時也需通知銷售部辦理銷戶。5.6.4用戶名為用戶姓名的拼音(有重名時另設),初始缺省密碼為1234。用戶在第一次登錄系統(tǒng)時應變更密碼，密碼需要設置在6位以上(英文字母、數(shù)字或符號組合的優(yōu)質(zhì)密碼)并注意保密。5.6.5各人使用自己的賬戶登錄，未經(jīng)許可不得以他人用戶名登錄。若用戶遺忘密碼，應及時向銷售部申請新密碼后登錄。5.6.6不得使用計算機設備處理正常工作以外的事務。5.6.7計算機的軟硬件設置管理由銷售部進行，未經(jīng)許可，任何人不得更換計算機硬件和軟件。5.6.8銷售部負責初始軟件的安裝，公司嚴禁個人私自安裝和更改任何軟件。計算機用戶的軟件安編寫部門劉海燕5.6.9嚴禁亂拉接電源，以防造成短路或失火。5.6.10計算機桌面要保持清潔，不得將秘密和(或)受控文件直接放置在桌面；計算機桌面必須設置屏幕保護，恢復時需用密碼確認(執(zhí)行密碼口令管理規(guī)定)。鎖屏時間可根據(jù)自己工作習慣設置鎖屏時間，但最高不得高于5分鐘。各部門負責人進行監(jiān)督。5.7.2對內(nèi)設置必要的路由器防火墻，采用HTTP、FTP的連接方式。的要求，故不需要單獨配備UPS。其他辦公電腦和網(wǎng)絡連接設備經(jīng)風險評估可以接受供電中斷的a)信息處理設施的電源和通信線路不得采用明線布置，應在地下、墻內(nèi)或采用線槽保護。編寫部門劉海燕5.9無人值守的用戶設備保護5.9.2當會話結(jié)束時退出計算機、服務器和辦公PC。6.2網(wǎng)絡設備的管理與維護6.3點檢策略6.3.1所有存在于計算機、網(wǎng)絡設備上的服務、防火墻和其他網(wǎng)絡邊界訪問控制系統(tǒng)的系統(tǒng)審核、編寫部門劉海燕設備類型日志內(nèi)容對外提供服務的a)用戶標識符(ID);c)若可能，終端位置；d)成功的失敗的登錄試圖?！?個月≤2周直接用于設計、存儲、檢測的控制、管理和查詢系統(tǒng)≥12個月≤2周≥6個月≤5周≥6個月≤5周≥6個月≤5周防火墻和路由器系統(tǒng)配置更改日志≥1個月≤5周訪問日志(方向、流量)≥1個月≤5周6.4維修服務的外包安全控制6.4.1銷售部應與廠商簽訂設備維護(維修)服務合同，合同應包含信息安全方面的特殊條款，例編寫部門劉海燕6.5資料的保存?zhèn)淙蘸蟛殚啞?記錄編寫部門劉海燕3.1綜合行政部3.2可移動介質(zhì)使用部門4相關文件5.1總則編寫部門劉海燕可移動介質(zhì)處置原則：按照正式的程序可靠、安全的處置，使敏感信息泄露給未經(jīng)授權的人員的風險最小化。5.2可移動介質(zhì)處置可移動介質(zhì)的處置應該與信息的敏感程度相一致，可移動介質(zhì)的敏感程度應考慮風險評估的結(jié)可移動介質(zhì)處置應考慮下列原則：所有的可移動介質(zhì)都應由部門經(jīng)理指定人員負責保管；可移動介質(zhì)的處置前應該識別需要安全處置的項目；銷毀方式一般分為一般格式化、低級格式化、專業(yè)軟件重寫、粉碎；對無敏感信息的可移動介質(zhì)作一般格式化即可，在保證質(zhì)量的基礎上重新分配和使用；保存有敏感信息的可移動介質(zhì)應當?shù)玫桨踩拇娣藕吞幹?；對于含有敏感信息的可移動介質(zhì)應采用低級格式化或?qū)I(yè)軟件重寫，反復次數(shù)為三次，再進行粉碎；應對含有敏感信息的存儲可移動介質(zhì)的處置做出記錄，以備審查；銷毀的可移動介質(zhì)在處理后保存三個月后再作處理。處置措施可以是：a)移動硬盤：文件先做刪除，高級格式化后，低級格式化。報廢的硬盤，需要粉碎報廢。循環(huán)使用的硬盤，低級格式化后，拷入大量數(shù)據(jù)，覆蓋無用信息后，高級格式化，再使用。b)U盤：報廢后能正常使用的寫入大量數(shù)據(jù)并格式化后粉碎，不能正常使用的直接粉碎。c)光盤：一次性光盤，粉碎?？刹翆懝獗P，格式化后再使用。編寫部門劉海燕5.3可移動介質(zhì)處理5.3.1可移動介質(zhì)管理5.3.2復制和移出5.3.3重復使用5.3.4保存可移動介質(zhì)的的保管部門應按可移動介質(zhì)要求的保存環(huán)境來保存含有涉密信息或重要信息的5.3.5廢棄編寫部門3.1存儲安全小組負責收集與信息安全管理有關的法律、3.2存儲安全小組組長負責法律法規(guī)的更新以及適用性的確認，并傳達給各部門。3.3各部門負責執(zhí)行適用的法律法規(guī)。編寫部門劉海燕4工作內(nèi)容4.1原則：遵守所有適用的國家、地方及行業(yè)內(nèi)與信息安全有關的法律、法規(guī)的要求。4.2收集范圍a國家頒布的刑法、民法、公司法、財務法、知識產(chǎn)權保護法和國務院、部委或行業(yè)頒布行政b對本公司重要記錄(包括其保存期)實施保護應遵守的相關法律、法規(guī)；c控制個人數(shù)據(jù)處理和傳輸?shù)姆?、法?guī)；d防止濫用信息處理設施的法律、法規(guī)；e關于信息設備密碼控制的法律、法規(guī)。4.3法律法規(guī)的識別、獲取和管理4.3.1存儲安全小組通過定期訪問相關網(wǎng)絡獲取國家頒布的與信息安全有關的法律法規(guī)及其更新的信息。4.3.2存儲安全小組對適用本公司的相關的法律、法規(guī)等統(tǒng)一管理并進行分類登記，建立適用的法律法規(guī)目錄，經(jīng)存儲安全小組組長批準后予以公布。4.4法律法規(guī)的適用性評價、更新和傳達4.4.1存儲安全小組對本公司已獲取的與信息安全有關的法律、法規(guī)做出適用性評價。4.4.2由存儲安全小組編寫并更新本公司的《法律法規(guī)清單》,并通過電子郵件通知各相關部門在公司指定位置獲取。4.4.3存儲安全小組每年核查一次《法律法規(guī)清單》,如有變更，通過電子郵件通知各部門更編寫部門劉海燕換新的《法律法規(guī)清單》,舊的《法律法規(guī)清單》同時由各部門自行作廢。4.4.4各部門結(jié)合本部門信息安全管理的實際情況從存儲安全小組獲取適用于本部門的信息安全法律、法規(guī)等，并將其相關信息要求傳達給本部門的員工及與本部門有關的第三方(包括顧客、承包方、加工方、外來施工方、參觀者等)。4.5法律法規(guī)執(zhí)行與符合性評估4.5.1保護知識產(chǎn)權綜合行政部系統(tǒng)管理員根據(jù)公司軟件需求，提出軟件采購技術要求，由采購人員實施采購。對公司所采購的軟件，由系統(tǒng)管理員負責軟件版權的審核工作，各部門應嚴格執(zhí)行國家有關知識產(chǎn)權方面的法律法規(guī)，保證使用合法的正版軟件。公司統(tǒng)一采購的軟件(包括購買存儲處理設施所附帶的軟件)所帶版權許可、操作手冊等擁有者的證明、證件，系統(tǒng)管理員應進行登記，并妥善保管，防止丟失。系統(tǒng)管理員每年對軟件的使用情況進行一次檢查并核對軟件信息資產(chǎn)清單，確保安裝使用認可的軟件和特許的產(chǎn)品。對于本公司自主開發(fā)或外包開發(fā)的軟件的使用權歸本公司所有，未經(jīng)本公司授權不得以任何形式轉(zhuǎn)讓給其他公司或人員。4.5.2組織記錄的保護各部門應按照有關法律、法規(guī)要求，明確規(guī)定重要記錄的保存期限并提供適當?shù)谋Ｗo，防止丟失、損壞和偽造。4.5.3數(shù)據(jù)保護和個人信息保密編寫部門劉海燕對處理與個人數(shù)據(jù)與信息有關的部門(人事及綜合行政部門)應按照國家有關規(guī)定對個人信息(如：人事檔案、工資表等)進行妥善管理與保護，防止丟失或泄露個人秘密。4.5.4防止濫用存儲處理設施本公司所有員工應嚴格按照存儲處理設施的授權范圍使用存儲處4.5.5存儲安全小組每年要針對本公司與信息安全法律法規(guī)遵循情況填性評估表》,對于不符合的情況，責任部門應實施糾正措施并實施。4.5.6密碼控制措施的規(guī)則4.6符合安全策略和標準以及技術符合性4.6.1符合安全策略和標準4.6.2技術符合性核查4.7存儲系統(tǒng)審計的考慮事項編寫部門劉海燕2)對于存儲系統(tǒng)審計工具的訪問宜加以保護，以防止任何可能的濫用或損害。5相關記錄>《法律法規(guī)符合性評估表》為規(guī)范數(shù)據(jù)操作管理工作，降低數(shù)據(jù)被非法生成、變更、泄露、丟失及破壞的風險；保護關鍵數(shù)據(jù)(包括服務器數(shù)據(jù)、網(wǎng)絡設備配置信息、監(jiān)控系統(tǒng)數(shù)據(jù)等)的安全性，規(guī)范關鍵數(shù)據(jù)的存儲；合理存儲歷史數(shù)據(jù)，保證數(shù)據(jù)的安全性、完整性和準確性，特制定本程序。本程序中數(shù)據(jù)是指存儲系統(tǒng)中的各種業(yè)務數(shù)據(jù)。3.數(shù)據(jù)保存管理●對于與財務報告相關的關鍵業(yè)務數(shù)據(jù)，須保存3年以上。●重要的業(yè)務數(shù)據(jù)要保證物理上的安全，存放數(shù)據(jù)的介質(zhì)必須放在安全的地方，非授權人員不得訪問。3.1數(shù)據(jù)導入和修改3.1.1數(shù)據(jù)導入指應數(shù)據(jù)擁有部門要求，通過后臺數(shù)據(jù)庫，將數(shù)據(jù)導入運行環(huán)境的操作。3.1.2數(shù)據(jù)修改指應數(shù)據(jù)擁有部門要求，對公司信息系統(tǒng)中的數(shù)據(jù)在后臺數(shù)據(jù)庫中進行修改。數(shù)據(jù)修改包含數(shù)據(jù)內(nèi)容的修改以及數(shù)據(jù)庫結(jié)構(gòu)的變更。3.1.3數(shù)據(jù)導入/修改必須遵循統(tǒng)一的數(shù)據(jù)導入/修改申請流程。任何人不得在未經(jīng)授權的情況下對應用系統(tǒng)數(shù)據(jù)庫進行數(shù)據(jù)導入/修改的操作。編寫部門劉海燕3.1.4數(shù)據(jù)導入/修改流程中的申請、審批、操作工作需分別由不同人員承擔。數(shù)據(jù)導入/修改操作只能由技術部負責人指定的人員執(zhí)行，導入/修改權限必須按照規(guī)范通過系統(tǒng)設定分配給指定人員。技術部負責人每半年委派人員對數(shù)據(jù)操作日志進行核對，確保所有數(shù)據(jù)導入/修改行為均經(jīng)過了有效的審批以及數(shù)據(jù)導入/修改是準確的。3.2數(shù)據(jù)提取和發(fā)放3.2.1數(shù)據(jù)提取指應數(shù)據(jù)擁有部門要求，對公司信息系統(tǒng)中的數(shù)據(jù)從后臺數(shù)據(jù)庫中進行的提取。數(shù)據(jù)提取和發(fā)放須遵循統(tǒng)一的數(shù)據(jù)提取申請流程。任何人不得在未經(jīng)授權的情況下對應用系統(tǒng)數(shù)據(jù)庫進行提取和發(fā)放操作。3.2.2數(shù)據(jù)提取中的申請、審批、操作及檢查工作需分別由不同人員承擔。數(shù)據(jù)提取的操作只能由技術部負責人指定的人員進行，提取權限應按照規(guī)范通過系統(tǒng)設定分配指定人員。3.2.3技術部負責人只能把提取出的數(shù)據(jù)發(fā)放給申請人，不能發(fā)放給其他人員。對存放數(shù)據(jù)的介質(zhì)，確保只有授權人員能夠訪問。3.3應對數(shù)據(jù)傳輸進行控制3.3.1數(shù)據(jù)傳輸須有身份驗證；3.3.2敏感數(shù)據(jù)傳輸需要保留相關記錄。當數(shù)據(jù)在系統(tǒng)之間自動傳輸時，系統(tǒng)中必須增加數(shù)據(jù)檢查功能，確保所傳數(shù)據(jù)的完整性、準確性、合理性。3.3.3應通過對防火墻、路由器等網(wǎng)絡設備的設置，限制訪問權限及控制數(shù)據(jù)傳輸路徑。網(wǎng)絡管理人員對數(shù)據(jù)傳輸路徑的設置進行規(guī)范記錄，并定期對網(wǎng)絡設置進行評估，確保當前的設置編寫部門劉海燕能夠滿足數(shù)據(jù)傳輸?shù)陌踩孕枨蟆?.3.4傳輸路徑需要變更時，必須提出正式申請，在獲得批準后方可進行變更。3.3.5在數(shù)據(jù)傳輸和傳遞過程中，公司應采取措施保護敏感數(shù)據(jù)，通過權限設置，防止對數(shù)據(jù)未經(jīng)授權的訪問、修改，以及通過數(shù)據(jù)加密，保證數(shù)據(jù)傳輸過程中不被非法獲取。3.3.6通信線路傳輸數(shù)據(jù)的保密策略本公司使用遠程登錄技術保證通信線路中傳輸數(shù)據(jù)的完整性和保密性，使用遠程桌面、SSH等方式實現(xiàn)聯(lián)機互訪。主要采用隧道技術、加解密技術和使用者與設備身份認證技術。綜合行政部在與客戶之間的交流的重要郵件采用加密的方式進行傳輸。3.4數(shù)據(jù)操作日志管理技術部負責人應指派專門人員，定期對數(shù)據(jù)庫的操作日志進行檢查。如果發(fā)現(xiàn)異常，及時進行分析解決。4.保護關鍵數(shù)據(jù)4.1關鍵數(shù)據(jù)的認定與存檔4.1.1關鍵數(shù)據(jù)的認定，由數(shù)據(jù)持有部門根據(jù)數(shù)據(jù)對公司正常運行所起的重要程度向技術部提出申請，由技術部負責人會同申請部門及相關管理者及技術人員鑒定，由技術部指定專門人員對所申請的數(shù)據(jù)進行備份并保存。4.1.2關鍵數(shù)據(jù)存檔可參照本章中的相關規(guī)定由公司技術部統(tǒng)一執(zhí)行。對關鍵數(shù)據(jù)保存的介質(zhì)要有“關鍵數(shù)據(jù)”的標識，且要與其他非關鍵數(shù)據(jù)分開存檔，以免混淆。4.1.3公司技術部要指定專人對公司的關鍵數(shù)據(jù)進行定期檢查登記，以便數(shù)據(jù)保管人員對關鍵數(shù)據(jù)編寫部門劉海燕更加有效的保存與維護。4.2關鍵數(shù)據(jù)介質(zhì)的保存4.2.1備份頻率：對于與財務報告相關的各種業(yè)務系統(tǒng)數(shù)據(jù)須每周做備份；對于人力資源管理的相關業(yè)務數(shù)據(jù)以每個考勤周期做為備份周期；在數(shù)據(jù)被大規(guī)模更新前后，須對數(shù)據(jù)做備份；在操作系統(tǒng)和應用程序發(fā)生重大改變前后，須對系統(tǒng)和應用程序做備份。4.2.2備份數(shù)據(jù)保留時間：對不同的備份對象根據(jù)需要及其重要性分別制定保存期限。4.2.3備份存儲和備份介質(zhì)管理：對數(shù)據(jù)、操作系統(tǒng)以及程序做備份的時候，須備份在兩份備份介質(zhì)中，一份放在本地，另一份定期存放在異地；備份介質(zhì)，無論是存放在本地還是異地，須確保存放場所的安全，保證只有授權人員可以訪問；在備份介質(zhì)上，必須有唯一標識，標明備份的內(nèi)容和日期和密級程度；建立一份備份介質(zhì)目錄清單，用以記錄備份介質(zhì)的位置、內(nèi)容、數(shù)據(jù)保留期限。4.2.4備份恢復測試：備份介質(zhì)中的數(shù)據(jù)須每半年進行恢復測試，以確保備份的有效性和備份恢復的可行性。4.2.5備份介質(zhì)銷毀：編寫部門劉海燕備份介質(zhì)的銷毀必須經(jīng)過數(shù)據(jù)擁有部門負責人以及技術部負責人授權后才可執(zhí)行，并記錄該銷若備份介質(zhì)中存放機密數(shù)據(jù)，在銷毀之前，對備份介質(zhì)進行處理，使得備份介質(zhì)中的數(shù)據(jù)處于不可讀狀態(tài)。4.3備份操作管理4.3.1對服務器要做好相應的備份。4.3.2備份遵循統(tǒng)一的審批流程，需要經(jīng)過數(shù)據(jù)擁有部門以及技術部部門負責人審批。4.3.3需按照數(shù)據(jù)的重要程度對不同備份對象進行分類，對不同的備份對象根據(jù)類別制定備份策略。4.3.4備份策略應包含備份對象、備份要求、備份方法、備份頻率、保存時限等內(nèi)容。備份策略制定后應制定相應的備份操作手冊(包含備份失敗的處理方法)指導備份工作。4.3.5備份操作人員(可設定為系統(tǒng)管理員)須檢查每次的備份工作是否成功，并填寫備份工作檢查、審核記錄，對失敗的備份操作處理需進行記錄、匯報及跟進。4.3.6備份對象發(fā)生變更后，需調(diào)整備份策略和備份操作手冊。備份策略的變更應得到數(shù)據(jù)擁有部門以及技術部部門負責人審批。4.3.7技術部負責人每半年自行或指定專人對備份工作進行審核，核對系統(tǒng)中的備份策略與備份申請是否吻合，以保證備份是按照要求進行的；核對系統(tǒng)中的備份日志與備份工作匯總記錄，以保證備份的有效性、完整性以及出現(xiàn)的問題已得到適當處理。5.備份介質(zhì)存放和管理5.1存放在本地和異地的備份介質(zhì)必須具有明確的標識，建立統(tǒng)一的目錄清單。保存?zhèn)浞萁橘|(zhì)的庫(柜)亦應建立統(tǒng)一格式的目錄清單。編寫部門劉海燕份檢查記錄》,保證本地和異地均有備份介質(zhì)清單。在備份介質(zhì)運送過程5.3無論備份介質(zhì)放在本地還是異地，介質(zhì)存放場求。存儲介質(zhì)庫(柜)必須由介質(zhì)保管人員存取，其他人員不經(jīng)批準不準操作。5.4所有備份介質(zhì)任何人員不得擅自借用。若要借用需要數(shù)據(jù)擁有部門和技術部負責人批準，并填據(jù)備份檢查記錄》,對備份介質(zhì)進行盤點，確保備份介質(zhì)的完整性和標識的規(guī)范性，并做好記錄。6.備份恢復6.1技術部負責人應制定相應的備份恢復計劃及災6.2在備份操作手冊中還須包含備份前的準備工作(更新系統(tǒng)設置、通知系統(tǒng)使用者備份恢復時間等)、備份恢復的操作步驟、恢復失敗的處理方法和跟進步驟等。6.3需要恢復備份數(shù)據(jù)時，需求部門應填寫數(shù)據(jù)恢復申請表，由數(shù)據(jù)擁有部門以及技術部負責人審6.4備份操作人員將備份恢復的審批文檔及備份恢復工作的系統(tǒng)日志保存歸檔。技術部每半年自行6.5備份操作人員須每年對備份進行恢復測試，確保備份恢復工作能夠順利進行。備份恢復測試應編寫部門劉海燕6.6備份操作人員根據(jù)測試結(jié)果更新備份7.相關記錄3.1綜合行政部4相關文件編寫部門劉海燕5.1網(wǎng)絡設備安全配置策略5.1.1通用策略◆設備系統(tǒng)日志的記錄內(nèi)容和保存期限應該符合《信息系統(tǒng)訪問與使用監(jiān)控管理程序》。5.1.2防火墻安全配置策略b.除內(nèi)部向外部提供的服務相關部分外，內(nèi)部向外部的訪問需經(jīng)需求部門經(jīng)理以及綜合行政c.內(nèi)部需要對外部提供服務，需經(jīng)運營總監(jiān)、需求部門經(jīng)理、c.除內(nèi)部向外部提供的服務相關部分外，內(nèi)部向外部的訪問需經(jīng)需求部門經(jīng)理、綜合行政部編寫部門劉海燕5.1.3網(wǎng)關設備安全配置策略b.對許可的訪問發(fā)起者的身份認證應至少在兩項或以上；d.許可的訪問發(fā)起者應體現(xiàn)相對靜態(tài)的信息記5.1.4網(wǎng)絡交換機設備安全配置策略◆關鍵路徑網(wǎng)絡交換機安全配置策略b.關鍵路徑網(wǎng)絡交換機安全配置策略應考慮和周邊網(wǎng)絡設備的連接的兼容性、安全性、可靠c.關鍵路徑網(wǎng)絡交換機安全配置策略應盡量減少不必要的限定以◆周邊網(wǎng)絡交換機安全配置策略a.周邊網(wǎng)絡交換機是指位于公司網(wǎng)絡非中間節(jié)b.周邊網(wǎng)絡交換機安全配置策略應考慮和關鍵路徑網(wǎng)絡設備的連接的兼容性、安全性、可靠c.關鍵路徑網(wǎng)絡交換機安全配置策略應根據(jù)需要減少不必要信息向更高級的網(wǎng)絡層的傳輸。編寫部門劉海燕5.2網(wǎng)絡中間設備配置過程綜合行政部人員根據(jù)安全配置策略和特定安全要求填寫《網(wǎng)絡設備安全配置表》,經(jīng)部門經(jīng)理審核批準后，對網(wǎng)絡設備參數(shù)進行配置。配置實施后必須進行檢查，測試，填寫《網(wǎng)絡設備安全配置表》簽署姓名和日期。《網(wǎng)絡設備安全配置表》適用于本公司的各種應用系統(tǒng)涉及到的邏輯訪問的控制。為對本公司各種應用系統(tǒng)的用戶訪問權限(包括特權用戶及第三方用戶)實施有效控制，杜絕非法訪問，確保系統(tǒng)和信息的安全，特制定本程序。3.1各系統(tǒng)的訪問授權由綜合行政部負責訪問權限的分配、審批。3.2各系統(tǒng)的訪問授權實施部門負責訪問控制的技術管理以及訪問權限控制和實施。3.3綜合行政部負責向各部門通知人事變動情況。編寫部門劉海燕4程序4.1.1公司內(nèi)部可公開的信息不作特別限定，允許所有用戶訪問。4.1.2公司內(nèi)部部分不公開信息，經(jīng)訪問授權部門認可，訪問授權實施部門實施后用戶方可訪問。4.1.3根據(jù)辦公需要，個別區(qū)域可使用無線網(wǎng)絡。對連接到互聯(lián)網(wǎng)和局域網(wǎng)的設備采用粘貼標簽的方法清晰的標明設備的連接屬性(根據(jù)敏感程度，可查表獲得權限，如IP列表)4.1.4用戶不得訪問或嘗試訪問未經(jīng)授權的網(wǎng)絡、系統(tǒng)、文件和服務。4.1.5各系統(tǒng)訪問授權部門應編制《物理邏輯訪問權限說明書》,明確規(guī)定訪問規(guī)則。4.1.6為確保含有敏感信息的系統(tǒng)不發(fā)生泄密事故，采取措施對敏感系統(tǒng)予以隔離。采用最小權限、最少用戶原則。4.2.1權限申請授權流程部門申請——授權綜合行政部審批——綜合行政部實施授權所有用戶，包括第三方人員均需要履行訪問授權手續(xù)。申請部門根據(jù)日常管理工作的需要，確定需要訪問的系統(tǒng)和訪問權限，經(jīng)過本部門經(jīng)理同意后，向訪問授權綜合行政部門提交《用戶授權申請表》,經(jīng)訪問授權綜合行政部門審核批準后，將《用戶授權申請表》交訪問授權實施部門實施。第三方人員的訪問申請由負責接待的部門按照上述要求予以辦理。編寫部門劉海燕第三方人員一般不允許成為特權用戶。必要時，第三方人員需與訪問接待部門簽訂《第三方保密協(xié)議》。(見《供應商控制辦法》)a)權限申請人員；b)訪問權限的級別和范圍；c)申請理由；d)有效期4.2.2權限變更對發(fā)生以下情況對其訪問權應從系統(tǒng)中予以注銷：a)內(nèi)部用戶雇傭合同終止時；b)內(nèi)部用戶因崗位調(diào)整不再需要此項訪問服務時；c)第三方訪問合同終止時；d)其它情況必須注銷時。由于用戶變換崗位等原因造成訪問權限變更時，用戶應重新填寫《用戶授權申請表》,按照本程序4.2.1的要求履行授權手續(xù)。綜合行政部應將人事變動情況及時通知各部門，訪問授權實施部門管理員進行權限設置更特權用戶因故暫時不能履行特權職責時，根據(jù)需要可以經(jīng)授權部門經(jīng)理批準后，將特權臨時轉(zhuǎn)交可靠人員；特權用戶返回工作崗位時，收回臨時特權人員的特權。4.2.3用戶訪問權的維護和評審對于任何權限的改變(包括權限的創(chuàng)建、變更以及注銷),訪問授權實施部門應進行記錄，填寫《用戶授權申請表》包括：編寫部門劉海燕a)權限開放/變更/注銷時間；b)變化后權限內(nèi)容；c)開放權限的管理員綜合行政部每半年應對訪問權限進行檢查，發(fā)現(xiàn)不恰當?shù)臋嘞拊O置，應通知訪問授權實施部門予以調(diào)整。特權授權，綜合行政部每季度應對特權用戶訪問權限進行檢查，發(fā)現(xiàn)過期的權限設置，應通知訪問授權實施部門予以注銷。綜合行政部應對訪問權限的檢查結(jié)果予以記錄。4.2.4連接的控制本公司個別區(qū)域根據(jù)工作需要，可使用無線網(wǎng)絡。本公司為了限制網(wǎng)絡連接的不同身份與權限，通過設置網(wǎng)關來加以控制。本公司禁止使用遠程診斷端口，局域網(wǎng)的端口不限制。4.2.5會話與聯(lián)機時間的控制各系統(tǒng)管理員在其管理的服務器處于不活動時，應利用鎖屏(LOCKSCREEN)清除屏幕，以防止非授權的訪問，但不關閉應用或網(wǎng)絡話路。終端用戶應在暫停操作控制時，及時啟用帶有口令保護的自動屏保功能。本公司將連機時間限于正常的辦公時間；對服務器的連接時間設定為2小時/次。4.2.6網(wǎng)上信息公布管理所有在對外公共網(wǎng)站上(包括公司網(wǎng)站、人才招聘網(wǎng)站、大型門戶網(wǎng)站、公共社區(qū)、論壇等)發(fā)布的與本公司有直接相關的信息都需經(jīng)過公司管代或者總經(jīng)理的審批和簽字，其記錄填寫在《網(wǎng)站信息發(fā)布審查表》中；編寫部門劉海燕嚴禁員工冒充公司名義發(fā)布與公司相關的虛假公共信息，違者視情節(jié)嚴重程度予以處罰或追究其法律責任。4.2.7系統(tǒng)實用工具的使用銷售部應對系統(tǒng)實用程序(SystemUtilityProgram)的使用進行限制和嚴格控制，只有經(jīng)過授權的系統(tǒng)管理員才可以使用實用程序，如優(yōu)化大師，超級兔子等。4.3.1分配給用戶一個安全臨時口令，并通過安全渠道傳遞給用戶，并要求用戶在第一次登錄時更改臨時口令；當用戶忘記口令時，系統(tǒng)管理員在獲得用戶的確認后可以為其重新分配口令。4.3.2口令的選擇與使用要求所有計算機用戶在使用口令時應遵循以下原則：保守口令的機密性，避免保留口令的字面記錄，明文存儲或明文網(wǎng)絡傳遞。任何時候有跡象表明系統(tǒng)或口令可能受到損害，就要更換口令?？诹钭钚￠L度6位，不要采用姓名、電話號碼、生日等別人容易猜測或得到的口令，不要用連續(xù)的數(shù)字或字母群。一般用戶口令至少3個月變更一次，特權用戶口令每季度變更一次；對于用戶口令的變更會影響應用程序運行的情況，該用戶的口令可以在適當?shù)臅r機予以變更。在第一次登錄時，需要更換臨時口令?？诹顟咨票４?，不要共享個人用戶口令。編寫部門劉海燕作所需要的且不存在富裕的特權(最小特權原則)。5記錄>用戶授權申請表>網(wǎng)站信息發(fā)布審查表編寫部門劉海燕3.1綜合行政部負責全組織信息備份工作的技術指導及對本部門維護的重要信息資產(chǎn)的數(shù)據(jù)和軟件實施備份。3.2各部門負責對本部門維護的重要信息資產(chǎn)的數(shù)據(jù)和軟件實施備份。4相關文件《信息安全管理手冊》《可移動介質(zhì)管理程序》《信息處理設施維護管理程序》《信息備份安全策略》5.1備份對象針對各部門的重要信息，決定備份對象為：服務器的操作系統(tǒng)和安裝工具軟件的所有軟件光盤；服務器中的數(shù)據(jù)庫，配置管理工具數(shù)據(jù)庫；根據(jù)以上備份對象，制定相應的備份周期。5.2安全要求信息備份的安全要求包括：編寫部門劉海燕a)根據(jù)風險評估的結(jié)果，備份方案采取本地備份方式；b)本地備份每周五進行一次，備份文件復制到服務器其他盤中，由技術人員將備份文件做成光盤或備份到移動硬盤。5.3備份周期各部門根據(jù)風險評估的結(jié)果，制定《重要信息備份周期一覽表》,在其中明確規(guī)定備份周期、備份方式、備份介質(zhì)及備份負責人。5.4備份工作記錄要求《重要信息備份周期一覽表》經(jīng)部門負責人批準后予以實施；對于人工備份應填寫《重要信息備份記錄》,信息備份的記錄應予以保存。當軟件發(fā)生更改時，應進行備份。5.5備份的標識各部門應采取適宜的方法對備份信息介質(zhì)進行標識，防止備份信息的誤用，標識的內(nèi)容包括：a)備份信息的名稱；b)備份的日期；d)必要時，應標識所需采用的備份/還原工具。5.6介質(zhì)管理數(shù)據(jù)備份介質(zhì)應保存在適宜的環(huán)境并專人管理；涉及組織秘密的備份介質(zhì)應按照《信息分類管理程序》進行標注，只有授權的人員才可以訪問，并保存在上鎖的文件柜或其他安全儲存場所。編寫部門劉海燕6記錄《重要信息備份周期一覽表》《重要信息備份記錄》1范圍為更好地管理客戶和本公司在服務、技術、經(jīng)營等活動中產(chǎn)生的各類信息，防止因不恰當使用或泄漏，使本公司蒙受經(jīng)濟損失或法律糾紛，特制定本管理規(guī)程。本標準規(guī)定了信息密級劃分、標注及處理控制目標和控制方式。2規(guī)范性引用文件下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件，其隨后所有的修改單(不包括勘誤的內(nèi)容)或修訂版均不適用于本標準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。>ISO/IEC27001:2013《信息技術-安全技術-信息安全管理體系要求》>ISO/IEC27002:2013《信息技術-安全技術-信息安全管理實用規(guī)則》3術語和定義所有ISO/IEC27001:2013《信息技術-安全技術-信息安全管理體系要求》和ISO/IEC編寫部門劉海燕27002:2013《信息技術-安全技術-信息安全管理實施細則》規(guī)定的術語適用于本文件。4職責和權限綜合行政部負責信息密級劃分、標注及處理控制。各部門負責本部門使用或管理的信息密級劃分、標注及處理控制。信息的密級分為3類：企業(yè)秘密事項(秘密)、內(nèi)部信息事項(受控)和公開事項。信息分類定義：a)“秘密”:《中華人民共和國保守國家秘密法》中指定的秘密事項；或不可對外公開、若泄露或被篡改會對本公司的日常經(jīng)營造成嚴重損害，或者由于業(yè)務上的需要僅限有關人員知道的事項；介質(zhì)包括但不限于：紙類、電磁類及其它媒體(紙張、軟盤、硬盤、光盤、磁帶、膠片)。資產(chǎn)分級定義為1.b)“受控”:不可對外公開、若泄露或被篡改會對本公司的日常經(jīng)營造成損害，或者由于業(yè)務上的需要僅限有關人員知道的事項；或是指為了日常的業(yè)務能順利進行而向公司員工公開、但不可向公司以外人員隨意公開的事項。資產(chǎn)分級定義為2編寫部門劉海燕c)“公開”:秘密事項以外，僅用來傳遞信息、昭示承諾或?qū)ν庑麄魉婕暗氖马?。資產(chǎn)分級定義為3.企業(yè)秘密管理的最高責任者為公司執(zhí)行總經(jīng)理，各部門的管理責任者為本部門經(jīng)理。全體員工都負有遵守保密承諾、保守企業(yè)秘密的義務。6.2.1“秘密”按《中華人民共和國保守國家秘密法》的有關規(guī)定執(zhí)行。企業(yè)秘密事項由經(jīng)營管理機構(gòu)指定，企業(yè)秘密及敏感信息事項由產(chǎn)生該事項的部門經(jīng)理級以上(含副經(jīng)理)人員指定。指定秘密事項時，應參考附錄1的示例，并充分考慮該事項的性質(zhì)及重要程度等因素。6.2.2員工對自己編寫的信息需判斷是否為企業(yè)秘密及管理分類(秘密、受控)時，可隨時詢問經(jīng)理級以上領導。后者對前者的請求應及時給予明確的處理。無法判明時，可請示更高一級領導。6.2.3編寫的文件一旦被指定為秘密、受控文件，則負責人應按本規(guī)定的要求對編寫中和編寫后的無用稿件進行處置。由編寫部門在文件封面標明“秘密”,受控文件，由編寫部門在文件封面標明“受控”,顏色注：采用電磁等媒體記錄的秘密、受控文件，應在其包裝盒上明顯的位置用標簽標明秘密、受控管理分類，使用的印章方法同上。編寫部門劉海燕6.4.1發(fā)送秘密文件時，制訂者應根據(jù)文件內(nèi)容指定接收部門和接收人。6.4.2為了避免接收人因不清楚使用范圍而泄密，可在附件中指明使用目的