編號：ISMS-W00-2023

版本號：V1.0

受控狀態：受控

密級：內部公開

信息安全指導文件

(ISO/IECFDIS27001:2022)

版權聲明和保密須知

本文件中出現的任何文字敘述、文檔格式、插圖、照片、方法、過程等內容，除另有特別注明，版權均屬【XXX公司】所有,

受到有關產權及版權法保護。任何單位和個人未經【XXX公司】的書面授雙許可，不得復制或引用本文件的任何片斷，無論

通過電子形式或非電子形式。

Copyright?2023[xxx公司】版權所有

文檔信息

文檔編號：ISMS-W00-2023文檔分類：內部公開-受控

編寫：審核：批準：

初次發布日期:2023-1-1修改日期:2023-1-1發布日期：2023-1-1

變更記錄

變更日期版本變更說明編”審核批準

2023-1-1A/0創建

目錄

目錄.............................................................................2

1.崗位職責說明書..................................................................3

2.數據備份規范...................................................................8

3.公司內外數據交換規范...........................................................9

4.硬件設備安全規范..............................................................1()

5.網絡安全規范...................................................................12

6.口令控制規范...................................................................14

7.清潔桌面和清屏策略.............................................................16

8.介質使用管理規范..............................................................17

9.信息系統安全管理規范..........................................................20

10.違規懲罰制度.................................................................23

11.法律法規識別及合規性評價規范.................................................24

12.知識產權管理規定.............................................................26

13.環境設施與物理設備管理規定...................................................28

M.信息資產管理規定..............................................................33

15.計算機文件保密制度...........................................................37

16.保密性協議評審...............................................................39

17.移動計算機安全策略...........................................................42

18.惡意軟件控制管理規定.........................................................43

19.消防管理制度.................................................................45

20.密碼策略.....................................................................47

21.公司公章證照管理制度..........................................................50

22.電子郵件使用規范.............................................................55

23遠程訪問管理制度...............................................................57

24信息系統安全集成服務規范......................................................61

25信息系統運維服務規范..........................................................69

2

崗位名稱行政主管所屬部門總經辦

直接上級總經理直接下級行政專員

崗位職責

1.負責為公司管理層提供支持，并負責跟蹤落實總經理和總經理辦公會的決議；

2.負責保證公司內部管理體系的完整和平穩運行；

3.負責制定辦公室工作計劃，實現工作目標；

4.負責公司形象推廣、公關活動；

5.公司企業文化建設；

6.統籌管理公司后勤服務工作；

7.部門內部管理工作；

8.完成總經理交辦的其他任務

資格要求

1、企業管理或相關專業；

2、專科以上學歷，相關3年或以上管理經歷；

3、掌握相應的行政管理、企業形象策劃和企業文化建設的知識，了解公關宣傳的常用做法；

4、熟練使用自動化辦公軟件，具備基本的網絡知識

5、領導能力、判斷與決策能力、人際能力、溝通能力、影響力、計劃與執行能力

培訓要求

1、IS027001和IS020000基本矢口識培訓|；

2、信息安全和信息技術服務管理手冊；

3、管理類作業指導書；

4、產品基本知識;

5、公司規章制度；

1、相關法律法規。

特殊資格要求

無

4

崗位名稱人力資源所屬部門人事行政部

直接上級/直接下級助理

崗位職責

1、協助總經理制定人力資源戰略規劃，為重大人事決策提供建議和信息支持

2、負責公司人力資源戰略的執行

3、全面負責人力資源管理的各項事務

4、負責其他人事事務

5、負責總經辦內部的組織管理

6、完成總經辦主管交辦的其他任務

資格要求：

1、大學本科以上

2、5年以上工作經驗，3年以上管理經驗，在部門經理崗位上工作1年以上

3、精通人力資源管理知識，掌握行政管理、法律等知識

4、熟練使用自動化辦公軟件，具備基本的網絡知識

5、具有很強的領導能力、判斷與決策能力、人際能力、溝通能力、影響力、計劃與執行能力

培訓要求

1、1S02700I和IS020000基本知識培訓|；

2、信息安全和信息技術服務管理手冊；

3、管理類作業指導書；

4、產品基本知識；

5、公司規章制度；

6、有關法律法規。

特殊資格要求

無

5

崗位名稱部門經理所屬部門業務中心

直接上級總經理直接下級商務人員

崗位職責：

1、根據公司發展戰略，組織制定銷售戰略規劃；

2、掌握市場動態，組織收集行業政策，分析市場發展趨勢;

3、建土銷售渠道和銷售人員：

4、執行銷售動作，完成銷售任務；

5、負責項目回款；

6、維護客戶關系；

7、開展公司宣傳，推動品牌建設。

資格要求

1、大學本科以上

2、3年以上工作經驗，1年以上部門管理工作經歷

3、通曉行業動態，通曉市場營銷相關知識，具備法律等方面的知識，了解公司所經營行業知

識

4、■練使用自動化辦公軟件，具備基本的網絡知識

5、具有很強的領導能力、判斷與決策能力、人際能力、溝通能力、影響力、計劃與執行能力

培訓要求

1、IS027001和IS020000基本知識培訓;

2、信息安全和信息技術服務管理手冊；

3、管理類作業指導書；

4、產品基本知識；

5,公司規章制度；

6^有關法律法規。

特殊資格要求

無

6

崗位名稱部門經理所屬部門產品中心

直接上級技術總監直接下級技術人員

崗位職責

研究技術發展方向，根據公司發展規劃，制定公司技術發展規劃；分行業分技術類別開展技術

研究，對項目監理和咨詢提供技術支持，對項目的實施情況進行評估，協助進行項目實施質量

管理；對項目實施過程中的技術難點組織公關；負責測試評估、安仝集成項目的實施。

■制定公司技術發展規劃；

■分行業分技術類別開展技術研究；

■提供技術支持，對項目實施過程中的技術難點組織公關；

■對項目的實施情況進行評估，協助進行項目實施質量管理；

■負責測試評估項目的實施，編制測試評估報告。

■負責安全集成項目的實施。

資格要求

1、具有二年以上相關管理經驗；

2、了解微服務架構理念、實現技術；

6、參與過大型復雜業務系統架構設計開發者優先；

7、擁有和工作年限相稱的廣度和（或）深度，有較強的邏輯思維能力，善于分析、歸納、描

述、溝通、和解決問題。

培訓要求

1、IS027001和IS020000基本知識培訓;

2、信息安全和信息技術服務管理手冊；

3、管理類作業指導書；

4、行業基本知識；

5、公司規章制度；

6、相關法律法規。

特殊資格要求

無

7

2.數據備份規范

ISMS-W102

1目的

為了防止各種由硬件、軟件和人為誤操作造成的數據丟失，盡可能在最短的時間內恢復數

據，最小化數據的丟失，特制定本文件。

2范圍

主要指對公司的生產、經營活動相關的重要數據的備份，主要內容為：網絡服務器操作系

統、客戶端操作系統及應用軟件、數據庫信息、網站信息、文檔數據庫、共享資源平臺，郵件

數據信息等。

3職責

由總經辦負責建立數據備份系統，及時做好重要數據的備份工作，防止系統、數據的丟失。

公司各個部門的電腦使用人負責所使用電腦的數據備份工作。

4備份指導

4.1機房服務器的數據備份由產品中心人員專門負責，并認真填寫《重要信息備份記錄表》。

4.2一旦發生數據丟失或數據破壞等情況，必須由總經辦進行備份數據的恢復，以免造成不必

要的麻煩或更大的損失。

4.3公司文件服務器采用2塊硬盤同時工作，硬盤間互做鏡像備份。

4.4對服務器的操作系統進行完全備份，以備災難恢復。

4.5域控制器操作系統和郵件服務器操作系統每周備份一次，備份工作盡量安排在非工作時

間，減少運行負載。備份完成后及時將備份文件異地妥善保存，并做好標識和記錄。

4.6客戶端電腦操作系統由產品中心統一安裝，將系統文件備份到非系統盤符中，以便系統故

障進行恢復。

4.7客戶端電腦使用人每周至少備份數據文件一次，在各部門主管的監督下進行。備份文件統

一存放在公司文件服務器中，每兩周通知系統管理員進行異地備份操作。

4.8制作的服務數據或外來的數據涉及業務的每個月備份一次。

4.9系統軟件經過較大改動后，必須對系統進行重新完全備份；系統軟件經過部分改動，必須

進行差量或增量備份。

4.：0備份數據和存儲介質要妥善保管，集中和異地保存，保存期限至少兩年。保管工作由專

人負責，嚴格保密，保管地點應有防火、防熱、防潮、防塵、防磁和防盜設施。

4.11對備份介質要定期檢查磁性的可用性，若發現介質已經不能使用，應及時更新介質并對

重要數據進行轉存處理。

8

3.公司內外數據交換規范

ISMS-W103

1目的

為了保證數據的安全性和有效性，保證數據信息不被非法訪問，有效地控制信息交換，特

制定本策略。

2范圍

本策略主要涵蓋公司內部和內部與外部交換數據的管理，保證數據的保密性和有效性。

3職責

由產品中心負責建立數據交換控制策略，統籌公司數據交換的管理。公司各個部門的電腦

使用人提高數據保護意識，安全有效地進行數據交換。

4工作內容及方法

4.1產品中心負責建立信息交換策略、程序和控制措施，以保護通過使用各種類型的通信設

施的信息交換。

4.2公司配備專門的代理服務器，安裝雙網卡隔離外網網段和內網網段。服務器安裝防火墻,

對內網和外網的信息交換進行控制。

4.3公司局域網部署獨立的郵件服務器，負責內部之間和內外部電子郵件的傳遞，通過防火

墻進行發布。

4.4公司局域網部署文件服務器，用于內部部門間數據的交換，依照部門建立獨立的文件夾

和個人文件夾，并分配用戶的使用權限。

4.5公司內部數據的交換涉及保密的，必須通過電子郵件進行傳遞，附件文件需要增設密碼,

點對點密碼通訊，保證數據的保密性。

4.6服務數據交換規定：

4.6.1服務數據文件由業務中心交給總經辦，檢驗數據并與業務單核對無誤后簽字確認。

4.6.2總經辦將處理后的數據文件刻錄光盤或拷貝到專用移動介質，然后拷貝到內部相關電

腦上，交接并簽字確認。

4.6.3捋貝完畢光盤交資料室存檔，資料管理員核對無誤后簽字確認。

4.6.4總經辦定期按照《數據備份規范》進行數據文件備份。

4.6.5數據文件待使用并檢臉完畢后，總經辦進行數據刪除，刪除后記錄刪除文件批次。

4.5總經辦負責建立和實施保護與業務系統互聯的信息的措施。

9

4.硬件設備安全規范

ISMS-W104

1目的和適用范圍

為規范在公司范圍內的個人PC機（電腦）及筆記本電腦等硬件設備設施的使用，防止因

違規造成的設備損壞及公司重要信息、數據的泄露或丟失，特制定本文件。

本規定主要涵蓋公司范圍內的所有涉及信息安全的硬件設備，主要內容為：網絡服務器、

客戶端計算機、UPS、路由器、網絡交換機、打印機、傳真機、復印機、顯示器、筆記本電腦、

可移動存儲介質等。

2職責

所有員工負責所使用范圍內的電腦等硬件設備的日常安全管理，總經辦負責公司所有計算

機的維修和維護，并負責資產管理及安全防護。

3工作內容及方法

3.1電腦的日常使用

3.1.1電腦的網絡接入

電腦在初始化時為每臺PC分配有唯一的登錄賬戶，員工不得隨意更改所使用電腦的IP

地址，更不得使用他人的賬戶登錄，只允許使用自己的賬戶接入公司網絡。

3.1.2電腦的防病毒軟件

1）所有員工的電腦在接入公司網絡時都必須安裝網絡版的防病毒軟件。

2）所有員工不得隨意卸載電腦上的防病毒軟件，若發現防病毒軟件出現問題應及時通知

總經辦進行解決。

3）總經辦每日早上更新病毒庫服務器，病毒庫服務器將新的包分發到每一臺電腦上。

4）各類存儲介質，凡未經過系統專門進行病毒掃描程序檢查的，嚴禁在公司的任何計算

機上使用。

3.1.3電腦的USB端口均已關閉。

3.1.4電腦時鐘進行同步設置。

3...5電腦軟件安裝

任何人員不得隨意在電腦上安裝軟件，需要安裝軟件時，向總經辦提出申請，由總經辦進

行軟件的安裝。任何人員也不得隨意升級電腦上安裝的軟件，只能通過總經辦提供的升級包進

行軟件更新，在軟件更新前做好備份。

3.1.6電腦用戶設置

所有員工的電腦管理員賬號密碼都由總經辦設置，該賬號只用做特殊情況的使用，個人不

允許登錄。

3.1.7電腦口令及屏保設置

1）所有的電腦須設置符合規定的登錄口令，所設詈的口令只能由使用人知道，其他人員

無權知曉。

2）所有人員的電腦口令須定期的更新（每三個月），

3）所有電腦的屏保都由域服務器統一分配下來，并使用密碼保護功能，等待時間不得長

于5分鐘。離開工位時必須啟動屏保（總經辦通過域服務器策略設置）。

3.1.8電腦日常維護

1）使用者應愛護電腦及相關設備，不可以在電腦上涂畫、張貼，對電腦設備應按規范要

求操作，發現故障，應及時報總經辦維修。

2）每臺電腦必須正確使用，非維護人員不能拆開電腦的任何部件或安裝任何設備（光驅、

軟驅、MODEM）,不能帶電插拔電腦的任何配件［鍵盤、顯示器等1

10

3）使用者不得隨意變更電腦及相關設備的位置和更改電腦及相關設備的系統設置，任何

部門或使用者要搬動電腦時必須經部門主管同意，并通知總經辦變更資料，

4）電腦主機不要直接擺放在地上，以免在清潔地板時意外損壞電腦。

5）使用者在下班時，要確保電腦或相關設備已關閉，特別是共用的電腦，最后使用者要

在離開前退出系統并關閉電腦、顯示器、電源；公司內部郵件系統只作為辦公用，各

用戶不得利用公司的郵件系統傳輸任何與工作無關的郵件，所有郵件己在電腦機做了

備份，電腦使用者應當定期經常刪除（徹底刪除）無用郵件，保持電腦能高效快速運

作.

6）使用者不得用辦公電腦玩游戲，聽CD,看VCD等；未經電腦授權主人同意，不可以私

用其他部門或別人使用的電腦。

7）不可以刪除系統文件、備份文件、未知名文件及不屬于自己的文件。

8）公司服務器為經常存儲重要文件的用戶建有一個獨立的個人文件夾和為每個用戶建立

了部門的公用文件夾，兩個文件夾只能存放與工作有關的文件，不得存放與工作無關

的文件（如個人的呼3、avi等文件），總經辦有權在不通知使用者的情況下刪除這些

文件。

3.1.9電腦的變更

需要重新安裝系統、調整PC配置或需要調換PC時，員工必須向總經辦提交申請，經過批

準，才能實施變更，變更后總經辦應及時更新設備清單。個人離職，需要填寫《離權人員交接

單》。

3.2其他硬件設備設施

公司范圍內的信息安全管理范圍內的硬件設備設施由使用部門負責日常維護管理，總經辦

負責維修工作。如出現問題，使用部門及時聯系總經辦進行處理，個人不得私自拆卸相關設備,

以防造成設備的損毀。

11

5.網絡安全規范

ISMS-W105

1目的和適用范圍

為加強公司網絡使用及管理的安全，防止重要數據、信息的泄露，特制定本規定。

本規定適用于公司所有的網絡設施及網絡設置。

2職責

網絡管理員負責公司網絡的建設和維護，并負責公司的計算機及網絡硬件設備1勺管理以及

安全防護，作。

3安全要求

3.1物理安全要求

物理安全策略的目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信線路免受

自然災害、人為破壞和搭線攻擊；驗證用戶的身份和使用權限、防止用戶越權操作；確保計算

機系統有一個良好的電磁兼容工作環境；建立完備的安全管理制度，防止非法進入計算機控制

室和各種偷竊、破壞活動的發生。

3.2訪問控制安全要求

參見《用戶訪問控制程序》。

33信息力口密安全要求

信茴3口加*勺目的是保護網絡內部的數據、文件、口令和控制信息，保護網上傳輸的數據。

網絡加密常用的方法有鏈路加密、端點加密和節點加密三種。鏈路加密的目的是保護網絡節點

之間的鏈路信息安全；端一端加密的目的是對源端用戶到目的端用戶的數據提供保折；節點加

密的目的是對源節點到目的節點之間的傳輸鏈路提供保尹。用戶可根據網絡情況酌情選擇加密

方式。

3.4防范惡意代碼要求

系統管理員負責實施惡意代碼的監測、預防和恢復的控制措施；負責建立相關程序以提高

用戶安全意識。

3.4.1安塞儲定期升級病毒防護軟件，掃描計算機和介質。規定客戶端電腦的病毒掃描周期為

每月一次，時間間隔小于40天，做好病毒掃描記錄。服務器電腦的病毒掃描周期為每月兩次,

做好病毒掃描記錄。

3.4.2對于來源不明的文件都應進行病毒檢查；

3.4.3對于電子郵件的附件和下載都應在使用前進行惡意軟件檢查；

3.4.4產品中心負責建立系統的防病毒控制過程，培訓使用這些過程，報告和恢復病毒攻擊；

3.4.5為保證業務連續性，應制定計劃用于病毒攻擊的恢復，包括數據和軟件備份、恢復過程。

3.5網絡安全管理要求

在網絡安全中，加強網絡的安全管理，制定有關規章制度，對于確保網絡的安全、可靠地

運行，將起到十分有效的作用。

網絡的安全管理文件包括：《數據備份規范》、《公司內外數據交換管理規范》、《信息分類

管理程序》、《口令控制規范》、《用戶訪問管理程序》等。

4工作內容及方法

4.1內部網絡管理

1）公司所有員工電腦都是通過域賬戶登錄的。

2）任何員工不得私自使用他人域賬戶，不能更改電腦的IP地址，以保證公司網絡的正常

運行。

3）因工作需要更改域賬戶權限的，須經過部門負責人同意后報產品中心批準，由產品中

12

心人員對域賬戶進行設置。

4）個人PC在退出內網時，須辦理相關手續，產品中心收回設備的同時更新域賬戶對應一

覽表。

4.2對外網絡管理

1）網絡管理員應將各部門中可以使用域賬戶外網的人員進行登記.（由ISA控制）

2）因工作需要而要下載文件的，本人找產品中心人員進行下載，但不能下載與工作不相

關的軟件。

3）公司員工在訪問互聯網時不得瀏覽、傳播具有政治傾向或不健康內容的信息。不能上

國家法律不允許的網站。

4）網絡管理員每月對訪問外網的用戶權限進行審查。

4.3網絡設備的操作管理

1）所有員工不得破壞公司的網絡設備；

2）員工不得私自更換、修理網絡設備，公司的網絡設備只允許產品中心進行設置和維護;

3）公司內的關鍵網絡設備只能由產品中心的指定專人進行操作，其他人員不得操作，關

鍵網絡設備的操作人員負責保管與設備相關的所有資料；

4）關鍵網絡服務器及主干網絡設備在機房中；

5）機房禁止無關人員進入。機房上鎖，一般情況下是處于鎖閉狀態。

4.4網絡服務

網絡管理員應確定網絡服務的安全特性、服務級別已經管理要求，在與網絡服務提供商簽

署網絡服務協議時，包括這些要求。對網絡服務提供商的服務，產品中心應定期進行監視。

所有員工只能使用分配的服務，嚴禁員工使用未授雙使用的服務。

4.5計算機網絡遠程診斷和配置端口的保護

對于公司重要服務器和網絡，由產品中心指定的管理人員才能使用遠程診斷和配置瑞口對計算

機和網絡進行診斷和配置，其他人員無權實施。公司重要服務器應放置到機房，以實現對遠程

診斷和配置端口實施物理隔離方式的保護，網絡診斷和配置端口應鎖定，使其他人員不能在物

理上和邏輯上訪問這些端口。

13

6.口令控制規范

ISMS-W106

1目的

為了保證用戶口令的安全性和有效性，保證網絡資源不被非法訪問，有效地保證公司網絡

的安全，特制定本策略。

2范圍

本策略主要涵蓋公司內部合法用戶的口令管理，同時保證臨時遠程登陸用戶的口令安全。

3職責

由總經辦負責建立口令控制策略，做好口令的保密，定期驗證口令的有效性，防止口令的

濫用和惡意破解。公司各個部門的電腦使用人提高口令保護意識，做好用戶口令的保密工作。

4控制策略

4.1統一分配口令

所有用戶賬號都必須有口令保護，在生成賬號時，系統管理員分配給合法用戶一個唯一的

口令，用戶在第一次登錄時需要更改口令，口令不以明文顯示。

4.2限制登錄嘗試次數

服務器操作系統設置在5次失敗的登錄嘗試后鎖定用戶賬號，協助防止口令猜測和惡意破

解，30分鐘后可以自動解除鎖定，或者由系統管理員手動解鎖。

4.3優質口令屬性

用戶口令必須滿足至少包含8個字符，建議用戶使用由數字、字母和符號組合成的復雜口

令。系統自動存儲4個歷史口令，防止用戶口令的重復使用。

4.4定期更改口令

用戶口令更改后系統要求最少使用一天，最長使用時間為30天，口令過期后必須更改口

令，否則無法登陸。

4.5口令登陸日志

對用戶口令使用、成功登錄和失敗登錄進行日志記錄（包括日期、時間、用戶名或登錄名）。

用戶成功登錄后，服務器可以顯示上次成功或失敗登錄的日期和時間。

4.6保證遠程登陸用戶口令的安全

總經辦負責分配遠程登陸用戶的口令，保證臨時使用臨時分配，使用完畢口令失效，確保

口令的有效性。

4.7口令變更

崗位變更的員工必須進行口令的變更

14

15

7.清潔桌面和清屏策略

ISMS-WI07

清潔桌面和清屏策略

應該實施清除桌面和清除屏幕方針，以降低對文件、介質以及信息處理設施

介紹

未經授權訪問或破壞的風險。

該策略的目的是防止對信息和信息處理設施未經授權的用戶訪問、破壞或盜

目的

竊。

適用范圍該策略適用于公司所有員工。

術語定義略

■含有涉密信息或重要信息的文件、記錄、磁盤、光盤或以其它形式存貯

的媒體在人員離開時，應鎖入文件柜、保險柜等；

清潔■所有計算機終端必須設立登錄口令，在人員離開時應該鎖屏、注銷或關

面

桌機；

清

和■在結束工作時，必須關閉所有計算機終端，并且將個人桌面上所有記錄

策

屏有敏感信息的介質鎖入文件柜；

咯

略■計算機終端應設置屏幕密碼保護，屏保時間不大于5分鐘；

■傳真機由總經理辦公室負責管理，并落實責任人。

■打印或復印公司秘密、機密信息時，打印或復印設備現場應有可靠人員，

打印或復印完畢即從設備拿走。

違背該策略可能導致：員工以及臨時工被解雇、合同方或顧問的雇傭關系終

懲罰止、實習人員和志愿者失去繼續工作的機會、學生被開除；另外，這些人員

還可能遭受信息資源訪問權以及公民權的損失，甚至遭到法律起訴。

引用標準略

16

8.介質使用管理規范

ISMS-W108

1目的和適用范圍

為規范公司內部各類介質的申請、借用、使用、管理以及在介質帶出公司外部時的要求，

以防止因不當操作發生信息泄露。

本規定適用于公司內介質的使用、存放、銷毀過程，以及公司外介質的傳輸活動。

2職責

總經辦負貢保管本項目使用的大容量存儲設備，負責開封得到申請批準人員的外接接口；

負責光盤的刻錄，回收及銷毀；負責對移動存儲介質的維護、維修；批準各部門因工作需要而

要長期使用大容量存儲設備（如：U盤等）

3工作內容及方法

3.1介質的使用

用于存儲信息、數據資料的設備，媒介，如：大容量存儲設備、軟盤、刻錄光盤、磁帶、

M0等同類媒介及打卬或是復印的紙制介質。

3.1.1大容量存儲設備

該類存儲設備（如，硬盤、移動硬盤、U盤）在使月時須連接計算機的接口或外接接口，

每一個大容量存儲設備須有相對應的《大容量存儲設備使用記錄》

1）因工作需要各個部門在使用大容量存儲設備時須向設計與總經辦提出借用申請（借用

申請須填寫《設備申請表》，并在表中注明設備為借用）并告之本部門的負責人。

2）總經辦人員將借用的大容量存儲設備交給申請人員，并同時交給《大容量存儲設備使

用記錄》。

3）借用大容量存儲設備只能由一人進行使用（必須為申請人員），在使用時須填寫《大容

量存儲設備使用記錄》。

4）使用大容量存儲設備進行資料存儲前須得到項目負責人的批準；使用完畢后，須將不

使用的大容量存儲設備歸還總經辦，并一起提交已填寫的《大容量存儲設備使用記錄》。

5）總經辦人員在回收借用完畢的大容量存儲設備后須將其進行格式化以便下次使用，并

將填寫的使用記錄進行整理歸檔管理。

6）若因工作需要須長期使用大容量存儲設備的部門，可向信息安全管理領導小組申請，

信息安全管理領導小沮成員根據實際情況批準申請。因工作需要的特殊人員（如，財

務人員等，經常需要拷貝公司敏感信息的人員）應配給加密的存儲設備。

7）任何職能部門在長期使用大容量存儲設備時不得在其上面存儲公司的敏感信息。

8）大容量存儲設備持有人不得私自將設備借于他人使用，若因工作需要需借給他人的須

經過部門的負責人同意，使用時須由設備的持有人填寫《大容量存儲設備使用記錄》。

9）對于開放外接接口的計算機，若在三個月內沒有使用記錄的將對其外接接口進行封閉。

10）任何員工不得私自打開公司計算機上的外接接口來使用大容量存儲設備，私自打開者

一經被發現，將按制度的規定進行處理。

3.1.2刻錄光盤、磁帶、M0等同類媒介

該類媒介在使用時須借助其他設備來進行刻錄、錄制，如，使用刻錄光驅、磁帶機等。

1）在使用刻錄光盤、磁帶、M0等同類媒介進行存儲、刻錄的，錄制前須得到項目負責人

的批準。

2）在刻錄、錄制前項目負責人或其指定人員必須對要刻錄、錄制的內容進行驗證。

3）在刻錄、錄制工作完成后，須進行登記，登記的內容包括：部門、項目組、申請人、

日期、內容、操作人。

17

4）在刻錄、錄制工作完成后應及時將刻錄、錄制完成的光盤、磁帶交給項目組。

5）所有員工不得私自在計算機上連接使用刻錄光驅等設備，一經發現，將按制度的規定

進行處理。

3.1.3紙制介質

該類介質為打印，復印及傳真的書面資料。

1）所有員工在打印結束后應及時將打印的資料從打印區拿走。

2）對安全等級在秘密以上（含秘密）的紙張不允許重復打印使用。

3）在復印安全等級為秘密以上（含秘密）的資料前須經過負責人的批準。

4）復印結束后應及時將與復印相關的資料拿走。

5）傳真安全等級為秘密以上（含秘密）的資料須得到負責人的批準。

6）打印、復印和傳真的紙張應注意平整、無污漬，以保證資料的清晰有效及防止操作設

備被損壞。

7）任何人員不得私自將印有項目涉密內容的紙制貨料帶出工作場所，一經發現，將按制

度的規定進行處理。

8）每口進行打印機、復印件區域監測，發現問題及時更正。

3.2介質的存放

根據介質所存內容安全等級的級別，對介質進行合理的存放，存放時應對介質進行登記、

標浜以便管理。

3.2.1大容量存儲設備

1）項目申請借用的大容量存儲設備須存放在借用人處。

2）對于長期使用的大容量存儲設備，持有人應妥善保管，未經許可不得帶出工作場所。

3）大容量存儲設備應由設備的借用申請人或是項目負責人，部門的負責人進行保管。

4）存有安全等級為秘密以上（含秘密）內容的移動存儲介質須由項目負責人或是部門負

責人進行標識和保管，應將設備保管在帶鎖的物理設施中，并填寫存放登記，登記的

內容應包括：保管人、存儲內容、保管期限。

5）存有安全等級為秘密以下內容的存儲介質應由項目負責人進行保管，不得隨意放置。

6）存放時應注意周圍環境的可靠性及安全性，注意設備接口的保護。

3.2.2刻錄光盤、磁帶、M0等同類媒介

1）存有安全等級為秘密以上（含秘密）內容的刻錄光盤、磁帶等同類介質應由項目負責

人進行標識和保管，應將刻錄光盤、磁帶保管在帶鎖的物理設施中，并填寫存放登記。

2）存有安全等級為秘密以下的刻錄光盤、磁帶等同類介質應由項目負責人指定專人進行

保管，不得隨意放置。

3）存放時應注意周圍環境的可靠性及安全性，同時須注意對光盤盤面、磁帶的保護。

4）紙制介質安全等級為秘密以上（含秘密）內容的紙制介質應由項目負責人進行標識、

裝訂，保管在帶鎖的物理設施中，并填寫存放登記。

5）安全等級為秘密以下內容的紙制介質小得隨意放置，應由項目負責人指定專人進行裝

訂、保管。

6）存放時應注意周圍環境的可靠性及安全性，注意紙張的防潮、防火及缺損。

3.3介質的銷毀

介質所存儲內容不再使用時，不得將介質隨意丟棄，必須統一回收并進行專門的作廢處理。

3.3.1大容量存儲設備

1）大容量存儲設備不再使用時應徹底刪除其存儲的內容（如，進行物理格式化），以便下

次使用°

2）刪除內容后的存儲設備若是借用的，則應在使用完畢后及時歸還；若是項目組申請長

18

期使用存儲設備，則在格式化后交回項目負責人，部門負責人保管。

3.3.2刻錄光盤、磁帶、M0等同類媒介

1）當光盤、磁帶上的內容作廢時，不得將光盤、磁帶隨意丟棄，應將其統一交給總經辦

進行處理。

2）總經辦應根據項目的要求對作廢光盤、磁帶等同類媒介保存一定的時期，并制作廢棄

光盤、磁帶等同類媒介的存放記錄，記錄內容包括：部門、項目名稱、保存期限、保

管人。

3）在保管期限之后總經辦應采用專業的方法對廢棄的光盤、磁帶進行處理，處理時須保

證上面的信息不被泄露。

4）光盤、磁帶在銷毀后應及時通知所屬項目組，并將存放記錄上的相關內容進行標記。

3.3.3紙制介質

對于已作廢的打印、復印或傳真的紙制資料不得隨意丟棄，由專人進行切碎處理。

3.4介質的運輸

介質在帶出公司時應做必要的防護手段，防止資料泄露，在未得到批準的情況下所有人員

不得私自將存有安全等級為秘密以上（含秘密）的介質帶出公司，一經發現將按制度的規定進

行處理。

3.4.1大容量存儲設備

1）對存有安全等級為秘密以上（含秘密）內容的大容量存儲設備因工作需要帶出時須得

到項目負責人批準，并填寫帶出登記，登記內容包括：帶出人、確認人、帶出日期、

帶出原因；

2）存儲設備的維修應由相關部門負責，在設備被帶出維修時，相關部門須保證存儲介質

所存儲的內容在維修期間的保密性及完整性。因其他工作原因須將存儲介質帶出公司

時，須由指定的專人帶出；

3）大容量存儲設備在帶出時，攜帶人員須注意設備的安全，防止被他人使用而發生存儲

信息的泄露，必要時應帶具有加密功能的移動存儲設備，并對設備進行加密處理；

4）注意存儲設備的安全，防止設備本身遭到損壞，從而導致所存儲的內容無法使用。

3.4.2刻錄光盤、磁帶、M0等同類媒介

1）對存有安全等級為秘密以上（含秘密）內容的媒介在帶出時須得到項目負責人批準，

并填寫帶出登t己。

2）在光盤、磁“等同類女備帶出時應防止被他人使用而發生存儲信息的泄露。

3）應注意存儲媒介的安全，防止媒介本身遭到損壞，從而導致上面的內容無法讀取。

3.4.3紙制介質

1）對存有安全等級為秘密以上（含秘密）內容的紙制資料在帶出時，須得到項目負責人

批準并填寫帶出登記。

2）在紙制資料帶出時，攜帶人員須確保資料不被無關人員閱讀，安全等級在秘密以上（含

秘密）的資料應使用叉件夾攜帶。

3）紙制資料帶出時須進行裝訂，防止紙張丟失、破損

19

9.信息系統安全管理規范

ISMS-W109

1目的和適用范圍

為確保安全是信息系統的一個組成部分，防止應用系統中信息的錯誤、遺失、未授權的修

改以及誤用，對信息系統實施安全管理，特制定本文件。

本文件適用于公司所有的信息系統，包括已有的信息系統、新信息系統或增強己有的信息

系統。

2職責

各部門信息系統使用人員負責對自己使用的信息系統提出安全和性能要求，做好驗收工

作，并負責日常的安全維護。產品中心負責為安全設計提供建議，并做好日常的安全檢查。

3定義

信息系統：用于存儲、處理和傳輸信息的相互關聯、相互作用的一組要素，是基礎設施、

組織、人員、設備和信息的總和。

4信息系統的獲取

4.1系統計劃

新開發（新購買）或增強已有信息系統時，如果信息系統是全公司范圍內使用，由產品中

心提出申請，總經理批準；如果信息系統由某個部門使用，則該部門經理提出申請，產品中心

和總經理分別審批。

申請人應確保在信息系統的業務要求陳述中，包括了安全控制措施的要求：

4.1.1容量管理

申請人應預測信息系統未來的容量要求和系統性能要求，未來的容量要求應考慮新業務、

系統要求、公司信息處理的當前狀況和未來趨勢，做出對于未來能力需求的推測，以確保擁有

所需的系統性能。

申請人還必須對信息系統資源的使用進行監視，識別并避免潛在服務瓶頸，制定容量計劃

以保證有充足的處理能力和存儲空間可用。

申請人應將容量計劃和能力管理的需求寫入申請中。

4.1.2安全要求

申請人應識別信息系統的安全要求，以防止應用系統內的用戶數據遭到丟失、惡意或無意

的修改或誤用。控制措施包括但不限于：

1）輸入數據驗證

必須對輸入到應用系統內的數據進行檢查以保證數據正確、適當。在數據處理之前對業務交易

及各種數據及表格的輸入進行檢查。需要對合理性測試及錯誤響應的責任和程序進行定義。

2）內部處理控制

正確輸入的數據有可能因為處理過程的錯誤或人為操作被破壞。因此，應適用添加、修改

或刪除功能，以實現數據變更；使用適當的故障恢復程序，以確保數據的正確處理；防范利用

緩沖區溢出而進行的攻擊。

3）消息完整性

信息系統中必須包含對消息完整性的控制，例如使用MAC碼或其他控制手段，來確保消息

的完整性。

4）輸出數據驗證

信息系統中必須包括輸出數據控制。可以包括：合理性檢查，以測試輸出數據是否是合理

的；為后續的處理系統提供足夠的信息；響應輸出驗證測試的程序；創建在數據輸出驗證過程

中的活動日志°

20

5）差錯數據處理

信息系統必須具備差錯數據處理程序，以應對系統出現差錯時的情況。

6）密碼控制

如果信息系統需要使用密碼控制方法，必須制定密碼控制策略，包括：

a）確定需要保護的級別，考慮需要的加密算法的類型、強度和質量。

b）密鑰管理方法，包括密鑰的生成、傳輸、儲存、恢復、銷毀等。

c）使用密碼方法的角色和職責，例如誰負責策略的實施，誰負責密鑰管理等。

d）采用的密碼標準。

e）遵循國家對應用密碼技術的管理規定和限制。

4.2新系統的開發和購買

申請人提交申請，由總經理批準，進行系統的開發或購買。信息系統開發和購買過程中，

必須確保開發或購買的信息系統考慮了申請中描述的安全控制和系統性能要求。

如果在系統開發過程中，涉及到軟件外包開發，負責軟件開發的外部公司、廠商應簽訂合

同或協議以保證外包的軟件開發可成功地滿足業務要求。以下各項應包括在內：

1）許可證協議、代碼擁有和知識產權；

2）安全協議得到確認、明確表述和認可；

3）滿足《第三方服務管理程序》中對第三方服務的控制要求。

4.3系統驗收

系統申請人應該在開發前為新信息系統或升級版本制定驗收準則。新系統的驗收準則應作

明確定義，得到認可并作記錄。驗收準則應包括：

1）性能和計算機的容量要求。

2）差錯恢復和重啟程序以及應急計劃。

3）有效的人工操作程序。

4）業務連續性安排。

5）新系統的操作和使用培訓。

6）易用性等。

在系統開發結束后，申請人應組織相關人員按照系統驗收準則，對信息系統進行驗收。

5信息系統的維護

5.1確保系統文件安全

系統文件包含一系列敏感信息，例如，應用過程的描述、程序、數據結構、授權過程等等。

所以應保護系統文件以防止非授權訪問。

5.1.1運行軟件的控制

所有員工使用計算機或服務器時，不得隨意安裝軟件，也不得隨意對運行系統上的軟件包

進行變更，具體規定，參見《硬件設備安全管理規范》和《服務器管理規范》。

5.1.2開發、測試和運行環境的隔離（開發使用終端機，服務器在公司）

為防止操作問題，信息安全管理領導小組應識別運行、開發和測試環境之間的分類級別，

應確保：

1）開發和運行軟件要在不同的系統或計算機處理器上或在不同的域內運行。

2）沒有必要時，編譯器、編輯器、其他開發工具或系統實用工具不應訪問運行系統。

3）測試系統環境應盡可能的仿效運行系統環境。

4）用戶應在運行和測試系統中使用不同的用戶輪廓，菜單要顯示合適的標識信息以減少

11］錯的風險

5）敏感數據不應拷貝到廁試系統環境中。

5.1.3測試數據的保護

21

所有系統測試人員應避免使用包含個人信息或其它敏感信息的運行數據庫用于測試。如果

測試使用了個人或其他敏感信息，那么在使用之前應去除或修改所有的敏感細節和內容。當用

于測試時，應使用下列指南保護運行數據：

1）應用于運行應用系統的訪問控制程序，還應用于測試應用系統；

2）運行信息每次被拷貝到測試應用系統時應有獨立的授權；

3）在測試完成之后，應立即從測試應用系統清除運行信息；

4）應記錄運行信息的拷貝和使用日志以提供審核蹤跡。

5.2系統變更控制

為了保證信息系統和信息的安全，產品中心應嚴格控制系統支持進程，重點做好應用變更

管理。

產品中心必須建立和執行正式的系統和應用變更控制程序，包括下列內容：

1）評審變更的需求，如果沒有大的改進，不實施變更；

2）變更必須得到產品中心的批準；

3）變更前應對變更的內容進行測試和評審，以避免系統變更后不適應業務要求；

4）系統變更后，應對業務進行評審和測試，以確保對組織的運行和安全沒有負面影響；

5）制定變更失敗的應急計劃，以應對可使系統變更中斷的事件；

6）做好整個變更活動的記錄；

7）變更后，應通知所有相關人員，按照變更后的系統進行操作。

5.3防止信息泄露

在信息系統開發和支持過程中，應防止信息泄露的可能性，應使用經過評價的產品。

在現有法律或法規允許的情況下，定期監視和評審個人和系統的活動，并監視計算機

系統的資源使用，見《硬件設備安全管理規范》、《服務器管理規范》、《網絡安全規范》。

22

10.違規懲罰制度

ISMS-W110

1目的

為加強電腦使用管理，保證設備正常使用，保證信息資料、文件安全，特制訂本文件。

2具體要求

1）私自下載、安裝、使用（無論是工作時間還是休息時間）游戲軟件的員工，給予嚴重

警告處分。

2）_L作時間嚴禁開通和登陸QQ聊天，具，違規者給予嚴重警告處分，處罰50元。

3）工作時間不得瀏覽與工作無關的網頁網站，違規者給予書面警告。

4）公司電腦的桌面與屏,呆一律按統一要求的設定，不得私自設置桌面與屏保，違規者給

予書面警告。

5）為加強管理，員工工作用電腦必須設開機密碼，密碼必須在部門主管處備案。員工要

對自己工作用電腦儲存的文件和安裝的內容負責，多人使用一臺電腦的，實行聯保，

分不清責任人的，由使用人共同承擔責任，接受處罰。

3公司部門主管有權對公司內的電腦進行檢查，對違規行為進行制止和處罰。

4泄露公司電子文件秘密，尚未造成嚴重后果或經濟損失的給予警告，并扣發工資，金額為

1000元以上5000元以下：

5故意或過失泄露公司電子信息秘密，造成嚴重后果或重大經濟損失的，予以辭退并追究賠

償經濟損失。

6違反公司電子文件保密制度規定，為他人竊取、刺探、收買或違章提供公司秘密的，予以

辭退并賠償經濟損失。

7利用職權強制他人違反電子文件保密規定的，予以辭退并賠償經濟損失并追究其刑事責

任。

23

1L法律法規識別及合規性評價規范

1目的

建立獲取、識別、更新法律法規和其它要求的渠道，確保本公司的管理活動符合相關法律

法規和其他要求；并且定期評價對適用法律法規和其他要求的遵守情況，以切實履行本公司遵

守法律法規和其他要求的承諾。

2適用范圍

適用于本公司對質量管理、環境管理和信息安全管理控制相關的法律、法規和其他要求的

控制。

3職責

3.:總經辦負責質量管理、環境管理和信息安全管理控制的法律、法規和其他要求的識別、獲

取、更新和保管；并收集合規性證據。

3.2管理者代表負責對各項法律法規文件的適用性、合規性進行評價，并將相關信息傳遞到各

相關部門。

3.3各職能部門負責將相關法律法規和其他要求傳達給員工并遵照執行。

4管理程序

4.1相關的法律、法規和其他要求應包括：

1）國際公約；

2）國家質量管理、環境管理和信息安全管理控制相關的法律、法規、標準和行政規章制

度；

3）公司所在地質量、環境和信息安全法律、法規、標準和行政規章制度；

4）執法部門（如質量技術監督局、檢驗檢疫局、環保局、消防局、勞動局、商標、條碼

安全生產監察部門、安全生產和職業病防護部門等）的規定。

5）各相關方的其他要求，如客戶相關要求等。

4.2法律、法規和其他要求獲取方法和頻次。

4.2.1總經辦可以從上述執法部門和相關網站咨詢或認證機構獲取相關法律、法規、標準和其

他要求的最新版本，以保持走法律法規和其他要求的最新變化的及時跟蹤。

4.2.2總經辦每個季度通過上述渠道搜索并收集一次法律法規和其他要求。

4.3法律、法規和其他要求的選擇確認

4.3.1總經辦選擇、確認所獲取的各類法律、法規、標準和其他要求的適用性，制定《法律法

規清單》，經管理者代表審批后，將清單中的相關文件分發給各相關部門。

4.3.2總經辦耍按4.2條款隨時更新或增補，及時修正《法律法規清單》。對過時或作廢的舊

24

文件按《文件控制程序》的規定執行。

4.4法律、法規和其他要求的執行

4.4.1各部門要組織學習與本部門相關的適用法律法規和其他要求，必要的應納入相關的作業

指導書中。總經辦應對法律法規和其他要求的執行情況進行檢查，并且遵守有關產品不含有害

化學物質的管理規定，確保公司的質量/環境管理活動及表現與法律法規和其他要求相符。

4.4.2總經辦依據法律法規和其他要求以及重要環境因素、危險源的相關規定及其監測編制

《合規性評價記錄表》，強調環境因素和法律法規的對照情況。并且據此及時通報合規性評價

結果。

4.4.3總經辦設立法制宣傳看板，定期或不定期擇要向員工宣傳法律法規和其他要求。

4.5合規性評價

4.5.1為履行遵守法律法規和其他要求的承諾，由管理者代表組織各部門每年對適用質量管

理、環境管理和信息安全管理控制的法律法規遵循情況至少進行一次合規性評價，以期通過評

價不斷改進公司的管理。

4.5.2產品中心負責對有關質量控制、目標和指標完成情況、法律法規遵循情況進行監督檢查,

記錄質量目標管理月報，遞交公司高層管理者作為業績考核依據。

4.5.3各部門依據環境監視和測量的結果在責任范圍內對違反環境法規（含超標排放）的事件、

事故；對來自內、外部審核或投訴發現的違規事件、事故，及時調查原因、制定措施、合規處

置。并提出事故報告，向公司高層管理者報告。

4.5.4各部門依據信息安仝監視和測量的結果在責任范圍內對違反信息安仝法規的事件、事

故；對來自內、外部審核或投訴發現的違規事件、事故，及時調查原因、制定措施、合規處置。

并提出事故報告，向公司高層管理者報告。

4.5.5合規性評價活動可以以會議形式集中進行，但更適宜于管理體系審核、環境檢查活動、

質量保證檢查、信息安全管理等評價過程結合起來進行。及時記錄，然后匯總并定期編制和保

存《法律法規清單》及《合規性評價記錄表》。

5相關文件

《文件控制程序》

6記錄

《法律法規清單》

《合規性評價記錄表》

25

12.知識產權管理規定

ISMS-W112

1目的

為有效保護公司知識產權,鼓勵員工發明創造和智力創作的積極性，促進科技成果產業