ISO27001-2022體系文件全套ISMS-B-01信息安全風險管理程序ISMS-B-04]糾正措施控制程序ISMS-B-06]內部審核管理程序ISMS-B-10]信息安全法律法規管理程序ISMS-B-11]知識產權管理程序ISMS-B-13]業務持續性管理程序ISMS-B-14]信息安全溝通協調管理程序ISMS-B-15]信息安全事件管理程序ISMS-B-16信息安全獎懲管理程序ISMS-B-18員工培訓管理程序ISMS-B-20]相關方信息安全管理程序XXX有限公司信息安全風險管理程序日期：202X-08-19日期：202X-08-19受控狀態受控文件為了在考慮控制成本與風險平衡的前提下選擇合適的控制目標和控制方式，將信息安全風險控制在可接受的水平，特制定本程序。本程序適用信息安全管理體系(ISMS)范圍內信息安全風險評估活動的管理。3.1信息安全管理小組負責牽頭成立風險評估小組。3.2風險評估小組負責編制《信息安全風險評估計劃》,確認評估結果，形成《信息安全風險3.3各部門負責本部門使用或管理的資產的識別和風險評估，并負責本部門所涉及的資產的具體安全控制工作。4相關文件《信息安全管理手冊》《商業秘密管理程序》5.1風險評估前準備5.1.1成立風險評估小組信息安全小組牽頭成立風險評估小組，小組成員應包含信息安全重要責任部門的成員。5.1.2制定計劃風險評估小組制定《信息安全風險評估計劃》,下發各部門。5.2資產賦值5.2.1部門賦值各部門風險評估小組成員識別本部門資產，并進行資產賦值。5.2.2賦值計算資產賦值的過程是對資產在保密性、完整性、可用性的達成程度進行分析，并在此基礎上得出綜合結果的過程。5.2.3保密性(C)賦值根據資產在保密性上的不同要求，將其分為五個不同的等級，分別對應資產在保密性上的應達成的不同程度或者保密性缺失時對整個組織的影響。級別分級1很低可對社會公開的信息公用的信息處理設備和系統資源等2低僅能在組織內部或在組織某一部門內部公開的信息，向外擴散有可能對組織的利益造成輕微損害3中等組織的一般性秘密其泄露會使組織的安全和利益受到損害4高密其泄露會使組織的安全和利益遭受嚴重損害5包含組織最重要的秘密定性的影響，如果泄露會造成災難性的損害5.2.4完整性(I)賦值根據資產在完整性上的不同要求，將其分為五個不同的等級，分別對應資產在完整性上的達成的不同程度或者完整性缺失時對整個組織的影響。完整性(I)賦值的方法級別分級1很低完整性價值非常低未經授權的修改或破壞對組織造成的影響可以忽略，對業務沖擊可以忽略2低完整性價值較低未經授權的修改或破壞會對組織造成輕微影響，對業務沖擊輕微，容易彌補3中等未經授權的修改或破壞會對組織造成影響，對業務沖擊明顯4高未經授權的修改或破壞會對組織造成重大影響，對業務沖擊嚴重，較難彌補5鍵接受的影響，對業務沖擊重大，并可能造成嚴重的業務中斷，難以彌補5.2.5可用性(A)賦值根據資產在可用性上的不同要求，將其分為五個不同的等級，分別對應資產在可用性上的達成的不同程度?？捎眯?A)賦值的方法級別分級1很低合法使用者對信息及信息系統的可用度在正常工作2低可用性價值較低合法使用者對信息及信息系統的可用度在正常工作時間達到25%以上，或系統允許中斷時間小于60min3中等合法使用者對信息及信息系統的可用度在正常工作時間達到70%以上，或系統允許中斷時間小于30min4高5合法使用者對信息及信息系統的可用度達到年度5.2.7導出資產清單識別出來的信息資產需要詳細登記在《信息資產清單》中。5.3判定重要資產根據信息資產的機密性、完整性和可用性賦值的結果相加除以3得出“資產價值”,對于《信息資產清單》中“資產價值”在大于等于4的資產，作為重要信息資產記錄到《重要信息資產清單》。5.3.1審核確認風險評估小組對各部門資產識別情況進行審核，確保沒有遺漏重要資產，導出《重要信息資產清單》,報總經理確認。5.4風險識別與分析5.4.1威脅識別與分析威脅示例設備硬件故障、通訊鏈路中斷、系統本身或軟件Bug斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、水災、地等環境問題和自然災害；TC03無作為或操作失誤由于應該執行而沒有執行相應的操作，或無意地執行了錯誤的操作，對系統造成影響安全管理無法落實，不到位，造成安全管理不規范，或者管理混亂，從而破壞信息系統正常有序運行TC05惡意代碼和病毒具有自我復制、自我傳播能力，對信息系統構成破壞的程序代碼TC06越權或濫用利用黑客工具和技術，例如偵察、密碼猜測攻擊、緩沖區溢出攻擊、安裝后門、嗅探、偽造和欺騙、拒絕服務攻擊等手段對信息系統進行攻擊和入侵物理接觸、物理破壞、盜竊TC10篡改非法修改信息，破壞信息的完整性TC11抵賴不承認收到的信息和所作的操作和交易應根據資產組內的每一項資產，以及每一項資產所處的環境條件、以前曾發生的安全事件等情況來進行威脅識別。一項資產可能面臨著多個威脅，同樣一個威脅可能對不同的資產造成影響；5.4.2脆弱性識別與分析脆弱性評估將針對資產組內所有資產，找出該資產組可能被威脅利用的脆弱性，獲得脆弱性所采用的方法主要為：問卷調查、訪談、工具掃描、手動檢查、文檔審查、滲透測試等；類型脆弱性分類脆弱性示例技術脆弱性物理環境(含操作系統)從物理保護、用戶帳號、口令策略、資源共享、事件審計、訪問控制、新系統配置(初始化)、注冊表加固、網絡安全、系統管理等方面進行識別。網絡結構從網絡結構設計、邊界保護、外部訪問控制策略、內部訪問控制策略、網絡設備安全配置等方面進行識數據庫從補丁安裝、鑒別機制、口令機制、訪問控制、網絡和服務設置、備份恢復機制、審計機制等方面進行識應用系統審計機制、審計存儲、訪問控制策略、數據完整性、通信、鑒別機制、密碼保護等方面進行識別。管理技術管理組織管安全策略、組織安全、資產分類與控制、人員安全、符理5.4.3現有控制措施識別與分析在識別威脅和脆弱性的同時，評估人員應對已采取的安全措施進行識別，對現有控制措施的有效性進行確認。在對威脅和脆弱性賦值時，需要考慮現有控制措施的有效性。5.5風險評價本公司信息資產風險值通過風險各要素賦值相乘法來確定：風險值計算公式：R=i*p風險影響的賦值標準：風險影響賦值等級風險影響的不同維度5很高至社會公眾公司大部分或全部核心業務受到嚴重影響4高整個公司，或部分客戶公司大部分核心業務或日?；顒邮苡绊?中多個部門，或個別客戶公司個別業務受影響，或日常辦公活動中斷2低本部門或部門內部人員公司業務不受影響，只是少部分日常辦公活動活動受影響1很低基本不影響本部門業務和日常辦公活動風險發生可能性的賦值標準：風險發生可能性賦值等級風險發生可能性時間頻率發生機率5很高出現的頻率很高(或>1次/日);或在大多不可避免(>99%)4高出現的頻率較高(或>1次/周);或在大多數3中出現的頻率中等(或>1次/月);或在某種情2低出現的頻率較小(或>1次/年);或一般不太可能性很小〔1~1很低不可能(≤1%)注：風險的影響或發生可能性根據賦值標準，可能同時適用于二個維度，這種情況下，賦值取這二個維度賦值的最大值。5.5.2確定風險可接受標準風險等級采用分值計算表示。分值越大，風險越高。信息安全小組決定以下風險等級標準：級別高如果發生將使資產遭受嚴重破壞，組織利益受到嚴重損失中發生后將使資產受到較重的破壞，組織利益受到損失低發生后將使資產受到的破壞程度和利益損失比較輕微5.5.3風險接受準則5.6剩余風險評估5.6.1再評估5.6.2再處理5.6.3審核批準5.7信息安全風險的連續評估5.7.1定期評估當企業發生以下情況時需及時進行風險評估：a)當發生重大信息安全事故時；b)當信息網絡系統發生重大更改時；c)信息安全小組確定有必要時。5.7.3更新資產各部門對新增加、轉移的或授權銷毀的資產應及時更新資產清單。5.7.4調整控制措施信息安全小組應分析信息資產的風險變化情況，以便根據企業的資金和技術，確定、增加或調整適當的信息安全控制措施?！缎畔踩L險評估計劃》《信息資產清單》《重要信息資產清單》《信息安全風險評估表(含風險處置計劃)》《信息安全殘余風險評估報告》《信息安全風險評估報告》XXX有限公司日期：202X-08-19日期：202X-08-19受控狀態受控文件3.1總經理3.2管理者代表d)負責信息安全管理文件的歸口管理。e)負責組織信息安全管理文件的制訂、修訂和評審等管理工作。f)負責信息安全管理文件的標識、作廢、回收等日常工作。4相關文件《信息安全管理手冊》《信息安全適用性聲明》《商業秘密管理程序》《信息安全法律法規管理程序》5.1管理內容與要求5.1.1文件分類信息安全管理文件：a)《信息安全管理手冊》(含信息安全方針、方針文件、目標文件、信息安全適用性聲明);b)信息安全管理程序文件；c)信息安全管理作業文件；d)信息安全管理記錄表格。a)各種媒介加載的各種格式的非紙質性文件；b)信息安全法律法規及設備說明書、國家標準等來自公司外部的文件。5.2文件編制和修訂5.2.1要求信息安全管理文件編制和修訂前，編制人員充分了解相關方的要求和信息，廣泛收集有關的文件和資料。作為文件編寫的依據，應重點考慮以下幾個方面：a)相關的法律法規要求，國家標準、行業標準、地方標準的要求，尤其是b)對客戶和其他相關方的合同和承諾，客戶與其他相關方的需求和期望方e)內容應與組織的實際情況相適應，并保證文件在現有的資源條件下，能5.2.2文件編制部門b)技術標準由產品研發部負責，各相關部門參與。c)策劃的管理方案和管理活動的檢查考核記錄及其他管理、技術文件由相5.3文件審批5.3.1審批5.3.2權限全適用性聲明)由總經理批準發布。b)信息安全程序文件和作業文件由職能部門組織審核，管理者代表審核，c)策劃的管理方案由職能部門組織審核，管理者代表審核，總經理批準發d)其他管理、技術作業和相關支持性文件由歸口管理部門負責審核，部門5.4文件標識為確保在使用處獲得適用文件的有效版本，文件均要有明確的標識，包括文件編號、版本號、分發號、發布和實施日期、密級等。信息安全管理文件編號規則如下：ISMS-D-XX-XX記錄表單涉密文件應按《商業秘密管理程序》的規定分類并標識。5.5文件發放文件審批后，綜合管理部登記并制定《信息安全文件一覽表》和《文件發放/回收一覽表》,按《文件發放/回收一覽表》規定的范圍進行發放。文件發放時，綜合管理部應在文件第一頁注明發放部門和發布日期。并標上“受控”標識。所發放使用的信息安全管理體系文件均為受控文件，各文件使用部門嚴格保管，不得外借和復制，并保持文件清晰、易于識別。5.6文件的更改及版本管理當文件的當前內容和實施動作不一致時，綜合管理部提出更改文件要求，由文件對口部門和綜合管理部人員說明原因，填寫《文件修改通知單》,經原審批部門批準后，由文件歸口管理部門進行修改。初次發布的文件，版本號以1.0作為標識，當文件發生修改時，版本號以下列方式進行編制：a)修改內容不超過20%時，版本號以0.1位依次遞進，例：1.1;1.2……1.9;1.10;1.11以此類推；文件按文件修改通知單上的內容進行修改，并更新變更履歷，變更后由綜合管理部進行審核，總經理批準，確保所有文件更改到位。對已經過期，不適用本組織業務程序的文檔，要進行“報廢”處理；針對電子檔文件需在首頁打上“報廢”水印，在變更履歷中注明“報廢”原因；針對紙質文件，蓋上“作廢”章，并及時銷毀處理。5.7文件的評審當出現以下情況，綜合管理部應組織對文件進行評審、必要時予以更新并再a)信息安全管理體系結構發生重大變化時；b)信息安全管理體系標準發生重大變化時；c)組織結構發生重大變化時；d)信息安全活動、流程發生重大變化時。5.8外來文件的控制組織的外來文件包括與運行維護有關的國家、地方、行業的法律、法規、部門規章、標準，體現客戶有關要求的文件等。組織的外來文件由綜合管理部負責登記在《外來文件清單》上，《外來文件清單》應注明分布部門，以供使用者查閱。對外來法律法規文件，按《信息安全法律法規管理程序》控制。綜合管理部須對受控中的外來文件進行編號管理，以便于查看。5.9文件的銷毀若受控文件已不在適合本組織時，可對文件進行“回收”處理，判定文件是否可被銷毀，可以在信息安全內部審核或管理評審時提出，由綜合管理部成員表決，總經理批準。如果文件被批準銷毀，綜合管理部需重新修改《信息安全文件一覽表》、并將最新信息登記到《文件發放/回收一覽表》。電子文件可以仍然保存在服務器中，但名稱中要加入“作廢”標記；同時，文件的“受控”標識也要改為“作廢”標識?！缎畔踩募挥[表》《文件發放/回收一覽表》《文件修改通知單》《外來文件清單》XXX有限公司日期：202X-08-19日期：202X-08-19日期：202X-08-19受控狀態受控文件為確保對信息安全記錄的標識、貯存、保護、檢索、保存期限和處置實施有效管理，特制定本程序。本程序適用于本組織證實信息安全管理體系符合要求和有效運行的記錄管綜合管理部負責信息安全記錄的管理。4相關文件《信息安全管理手冊》《商業秘密管理程序》《重要信息備份管理程序》《信息安全記錄分類與保存期限清單》5.1記錄的標識5.1.1標識信息安全記錄應有追溯標識(如流水號),追溯標識由各職能部門確定。文件編號按照《[SANDSTONE-ISMS-B-02]文件控制程序》“5.4文件標識”中定義的規則進行。5.1.2密級記錄的密級分類按《商業秘密管理程序》規定進行，涉密信息應將密級標識在記錄上。5.2記錄的保管5.2.1保管形式紙質記錄由各保管部門按規定存放于文件夾/文件柜中，電子記錄由各保管部門以電子檔的形式保存在服務器上。5.2.2備份要求以電子媒體保管的場合，為預防意外，需做適當的備份。備份的安全要求執5.3記錄的查閱5.3.1權限因工作需要，借閱其他部門的秘密記錄，應獲得記錄保管部門經理授權后方可借閱，并填寫《記錄借閱登記表》,留下授權記錄。5.3.2控制借閱者在借閱期內不得改動記錄，借閱完畢后，保管部門經理刪除其訪問閱5.4記錄的銷毀5.4.1廢棄超過保管期限的記錄，應填寫《記錄銷毀記錄表》,經綜合管理部批準后，由保管部門作為秘密文件處理廢棄。《信息安全記錄一覽表》《記錄借閱登記表》《記錄銷毀記錄表》XXX有限公司編制：XXX日期：202X-08-19審核：XXX日期：202X-08-19批準：XXX日期：202X-08-19受控狀態受控文件3.1綜合管理部3.2信息安全管理小組4相關文件5.1不符合信息來源5.2不符合項分析5.3糾正措施d)可能造成生產經營業務中斷。5.4重大事件范疇5.5糾正措施批準需制定糾正措施時，應將不符合原因填入《糾正與預防措施報告》,制定糾5.6糾正措施結果記錄5.7驗證5.8相關文件更改5.9保管責任5.10管理評審輸入日期：202X-08-19日期：202X-08-19日期：202X-08-19受控狀態文3.1綜合管理部4相關文件5.1信息資產的分類5.1.1信息資產5.1.2信息資產范圍5.2.1定義文檔資產是指涉及組織秘密或機密的紙質的各種文件、記錄、檢驗和實驗數據、配方、方案、計劃、報告、會議紀要等。5.2.2識別對涉密文檔應進行識別，填入《信息資產清單》。5.3物理資產5.3.1設備范圍計算機硬件設備包括個人計算機、計算機附件(如打印機、掃描儀、傳真機、電話機)和網絡設備(如防火墻、服務器、交換機等)。5.3.2識別對所有個人計算機應進行識別，填入《信息資產清單》。5.4計算機系統和軟件對計算機系統和軟件應進行識別和管理，填入《信息資產清單》。5.5重要崗位和人員5.5.1識別各部門應識別重要崗位，填入《信息資產清單》。5.5.2人員配備綜合管理部負責為重要崗位配備人員，填入《信息資產清單》。5.6安全區域綜合管理部負責識別重要安全區域，制定控制方案。5.7信息資產的密級信息資產的密級分為：絕密、機密、秘密、敏感和一般共5類：a)“絕密”:按《中華人民共和國保守國家秘密法》中指定的秘密和不可對外公開、若泄露或被篡改會對本組織的生產經營造成特別嚴重損害的事b)“機密”:是指不可對外公開、若泄露或被篡改會對本組織的業務造成嚴重損害，或者由于業務上的需要僅限有關人員知道的事項；c)“秘密”:是指不可對外公開、若泄露或被篡改會對本組織的業務造成損害，或者由于業務上的需要僅限有關人員知道的事項；d)“敏感”:是指為了日常的業務能順利進行而向組織內部員工公開、但不可向組織以外人員隨意公開的事項；e)“一般”是指可向組織以外人員隨意公開的事項。5.8《信息資產清單》的評審針對完成的《信息資產清單》,綜合管理部負責人組織相關人員進行評審，評審通過才認為該工作的完成。《信息資產清單》編制：XXX批準：XXX受控狀態1為更好地保護各相關方(包括客戶、合作方)和本組織在業務活動中產生的各類信息，防止因不恰當使用或泄漏，使本公司蒙受經濟損失或法律糾紛，特制本程序適用于各相關方和本組織在業務中產生的各類信息的管理。3.1綜合管理部負責商業秘密的歸口管理。3.2全體員工遵守保密承諾、保守商業秘密。4相關文件《信息安全管理手冊》《保密協議》《安全區域管理程序》《信息安全事件管理程序》5.1商業秘密分類本程序中所指的商業技術秘密分：絕密、機密、秘密、敏感和一般共5類：1)“絕密”:按《中華人民共和國保守國家秘密法》中指定的秘密和不可對外公開、若泄露或被篡改會對本組織的業務造成特別嚴重損害的事項；m)“機密”:是指不可對外公開、若泄露或被篡改會對本組織的業務造成嚴2重損害，或者由于業務上的需要僅限有關人員知道的事項；n)“秘密”:是指不可對外公開、若泄露或被篡改會對本組織的業務造成損害，或者由于業務上的需要僅限有關人員知道的事項；o)“敏感”:是指為了日常的業務及正常工作能順利進行而向組織內部員工公開、但不可向組織以外人員隨意公開的事項。p)“一般”:是指無須進行任何保密的信息或資料，可向外部公開。以上a)-d)4類事項以下簡稱秘密。5.2商業秘密的密級確定和標識商業秘密由產生該事項的部門確定，員工對產生的信息確定密級時，可隨時詢問部門領導。后者對前者的請求應及時給予明確的處理。無法判明時，可請示更高一級領導。編寫的文件一旦被指定為秘密文件，則負責人應對編寫中和編寫后的無用稿件進行處置。5.3涉密文件的發放發送秘密文件時，指定者應根據文件內容指定接收部門和接收人。為了避免接收人因不清楚使用范圍而泄密，可在附件中指明使用目的和使用范圍，若從文件標題和送付部門一覽中能使接收者明確使用目的和范圍，可省略上述指定。封好后作為組織內文件發送。非收件人不得隨便拆閱該文件。發往組織以外的秘密文件，原則上雙方應簽署含有保密條款的合同，并經部門主管以上的批準后方可提供。特殊情況(無保密條款合同，但又必需提供)需事先準備好保密協議書，經部門主管以上批準并要求對方在接收時簽收。5.4商業秘密的使用秘密文件的接收人應按秘密文件的使用目的、使用范圍正確使用秘密文件。秘密文件的保管人員和秘密的實際操作人員未經指定者許可不得擅自將秘密內容向其它人員公開。秘密文件原則上嚴禁復印。因業務必需時應填寫《涉密文件復印登記表》,并限制在最小限度，并且在使用后及時處置。3未經批準嚴禁將秘密文件帶出公司使用。如工作必須，應經過部門經理以上領導的批準。5.6商業秘密的解除或變更a)秘密因對外公開發表而成為眾所周知的信息時，商業秘密的指定將自動解除。b)隨著時間的推移，某些秘密的內容已過時的情況下。a)解除或變更商業秘密指定時，由原編寫部門的指定者書面通知原接收者。b)解除/變更后的文件，按相應的管理區分保管和使用。5.7回收/廢棄秘密文件，如無特別指定，原則上應在使用后及時回收歸檔保存或廢棄。廢棄秘密文件時，紙類媒體可用粉碎的方法，其它媒體可用初始化或破壞媒體的方法處理。秘密文件改版發送時，應同時回收舊版或通知接收方廢棄舊版。5.8保密教育為了使員工能充分了解并徹底貫徹執行商業秘密管理規定，應對新入員工及調職來的人員進行保守商業秘密教育。教育時應作好教育記錄。員工的保密義務按《保密協議》執行。掌握組織重要業務信息、關鍵技術的從業人員離、退職時，本部門管理者應對其進行面談，重申保守商業秘密的規定，防止將本組織商業秘密帶出或不正當5.9其它外來人員參觀，應嚴格按組織的《安全區域管理程序》的規定辦理手續，經批準后按申請的時間和路線參觀。結束后，由接待責任部門負責送出。因業務需要來組織的相關訪，原則上應使用組織的接待室洽談業務。需進入45.10事件處理信息安全法律法規管理程序審核：XXX日期：202X-08-195受控狀態受控文件為確保組織信息安全活動符合信息安全管理法律法規的要求，確保所應用的信息安全管理法律法規和其他要求的適用性，特制定本程序。本程序適用于組織信息安全管理所涉及的相關法律、法規和其他要求的控制3職責負責收集法律法規和其他要求，組織相關部門對法律法規和其他要求的適宜性和合規性進行評審。3.2各部門負責對本部門的信息安全相關法律法規及其他要求的適宜性的識別、評審、更新，并負責將信息安全相關的法律法規及其他要求文件傳達給員工遵照執行。4引用文件《信息安全管理手冊》《文件控制程序》65.1法律、法規和其他要求的分類5.2法律、法規和其他要求的獲取、識別綜合管理部從政府主管部門或相關權威部門獲取相關的國家及地方最新信5.3法律、法規和其他要求的文本管理電子檔。綜合管理部獲取的信息安全法律法規和其他要求的文本或信息應負責匯總5.4法律、法規和其他要求的符合性評估7對適用的法律、法規和其他要求，綜合管理部負責制定為滿足這些要求的控制措施和職責，將相關內容填入《信息安全法律法規及要求清單評價表》。5.5法律、法規和其他要求的更新管理綜合管理部定期與政府相關部門進行溝通，向提供法律法規更新的專業機構索取最新信息，并通過政府機構、行業協會、出版機構、報刊雜志、中國安全網、會議等渠道補充，以保持對法律法規及其他要求的及時跟蹤，獲取最新的法律法規和其他要求文件。當法律、法規和其他要求更新或增加時，綜合管理部應及時進行識別、并修正和補充《信息安全法律法規及要求清單》,及時下載最新版本。對過期或作廢的法律法規和其他要求文件，綜合管理部件控制程序》的要求進行管理。組織至少每年組織一次對《信息安全法律法規清單》及其他要求履行情況的合規性評審，形成最新的《信息安全法律法規及要求清單》,必要時更新實施控制措施。5.6濫用信息設施的處罰組織員工不得在未經授權的前提下使用非公開的信息設施，或利用組織信息設施進行與法律相悖的行為。一經發現，組織有權對該員工提出不同程度的處罰措施。包括扣除當月獎金，解除勞動合約，當發現員工行為已經觸犯法律時，組織有權對該員工保留法律訴訟的權利。《信息安全法律法規及要求清單》《信息安全法律法規及要求清單評價表》8日期：202X-08-19受控狀態受控文件93.1綜合管理部3.2各部門4引用文件5.1專利部分專利申請工作流程圖研發都門取得科研成果就相關科研成果咨詢知識產權分析師，雙方棵討申請專利的可能性立項申請專利委托專利代理機構申諸專專利說明書、權利要求書繳納申請費，決定是否要求優先權等及時提出提前公布專利申請以及進行實質市查的申請跟蹤與反饋.補充與修改專利申請材科。申請被吸回后請求復審取得專利證書.登記、歸檔、保存按葉繳納年費專利信息檢索工作流程圖息索部門申請人項目名稱檢索范圍知識產權分析師：完成日期：附：檢索報告根相皮專利糾紛解決方案行為并要求損害賠償權，應主動檢討或停止侵權行為，分折原因，分別雙方和解，積極應訴等手解決是訴訟則制定訴訟策咯系5.2計算機軟件版權惱況，會同有關部門主日記、保存、歸檔機軟件版權，皮主動檢討積極應訴等手段，使糾給得以順利圓滿解決.權侵權投訴，均應及時向如果是公司侵犯他人計篦積極應訴等手段，使糾給代理詞。離通法律關系5.3商標部分折師代理機構進行商標查詢右取得他人注冊商標使用許判的登記與備案相應侵權糾紛解決方案償積極應訴等手段，使糾紛代理詞，鹿通法律關系5.4商業秘密別訟XXX有限公司重要信息備份管理程序審核：XXX日期：202X-08-19批準：XXX日期：202X-08-19受控狀態受控文件為確保所有重要業務數據和軟件能在災難(如地震、火災)或存儲介質損壞之后得以恢復，保證信息處理及生產數據的完整性與可用性，特制定本程序。本程序適用于本公司重要數據及軟件的備份管理。3.1綜合管理部負責全組織信息備份工作的技術指導及對本部門維護的重要信息資產的數據和軟件實施備份。3.2各部門負責對本部門維護的重要信息資產的數據和軟件實施備份。4相關文件《信息安全管理手冊》《可移動介質管理程序》《信息處理設施維護管理程序》《信息備份安全策略》5.1備份對象針對各部門的重要信息，決定備份對象為：服務器的操作系統和安裝工具軟件的所有軟件光盤，服務器中的數據庫，配置管理工具數據庫，電腦中重要應用系統的數據庫；根據以上備份對象，制定相應的備份周期。5.2安全要求信息備份的安全要求包括：u)根據風險評估的結果，備份方案采取本地備份與異地備份兩種方式同時進行；v)備份周期根據需要可每周或每月，備份地點可根據重要程度決定異地或5.3備份周期各部門根據風險評估的結果，制定《重要信息備份周期一覽表》,在其中明確規定備份周期、備份方式、備份介質及備份負責人。《重要信息備份周期一覽表》經部門負責人批準后予以實施；對于人工備份應填寫《重要信息備份記錄》,信息備份的記錄應予以保存。當軟件發生更改時，當備份數據恢復前，更換電腦及操作系統前，應進行備份。5.5備份的標識各部門應采取適宜的方法對備份信息介質進行標識，防止備份信息的誤用，標識的內容包括：e)備份信息的名稱；f)備份的日期；h)必要時，應標識所需采用的備份/還原工具。5.6介質管理數據備份介質應保存在適宜的環境并專人管理；涉及組織秘密的備份介質應按照《信息分類管理程序》進行標注，只有授權的人員才可以訪問，并保存在上鎖的文件柜或其他安全儲存場所。重要備份信息使用的介質管理請參見《可移動介質管理程序》和《信息處理《重要信息備份周期一覽表》《重要信息備份記錄》編制：XXX日期：202X-08-19審核：XXX日期：202X-08-19批準：XXX日期：202X-08-19受控狀態受控文件3.1綜合管理部3.2各相關部門配合綜合管理部負責相關業務持續性計劃的實施。4相關文件《信息安全事件管理程序》5.1業務持續性和影響的分析由綜合管理部負責組織識別對業務持續性造成嚴重影響的主要事件，如信息系統設備故障、自然災害等，分析一旦這些事件發生會對業務活動造成的影響和損失，以及統計恢復業務所需費用等。業務持續性和影響分析應包括以下內容：a)識別關鍵業務的管理過程；b)識別可能引起業務活動中斷的主要事件；c)分析主要事件對信息系統和業務活動造成的影響；d)考慮關于系統恢復或替換的需求。5.2《業務持續性管理計劃》(簡稱BCP)的編制與實施綜合管理部負責確定影響業務持續性的關鍵功能或業務，編制《業務持續性《業務持續性管理計劃》應包括以下方面的內容：a)計劃實施所涉及的部門/人員的職責及接口關系的描述；b)業務中斷的快速報告程序及要求；c)業務中斷的恢復程序及方法；d)業務中斷恢復的時限要求；e)保持本組織業務持續運作應采取的應急措施與備用措施；f)必要的技術支持及資源要求。重要系統一旦受到重大影響或中斷后，綜合管理部及相關部門應立即執行《業務持續性管理計劃》,對信息系統采取應急措施，并進行恢復，確保業務活動的持續運行。同時，應按照《信息安全事件管理程序》做好事故處理記錄，記錄內容應包括：a)對業務中斷原因的調查分析；b)業務中斷造成損失的統計；c)采取的糾正措施；d)應吸取經驗教訓及預防措施等。5.3業務持續性計劃的測試與評審每年年末由綜合管理部組織相關部門對《業務持續性管理計劃》進行測試，以判斷計劃的可行性和有效性。測試可采用以下方法進行：a)對已發生過的業務中斷及恢復措施實例進行討論；b)組織相關部門進行業務中斷及恢復的模擬演練；c)采用技術手段對系統運行及中斷恢復的相關參數進行測量；d)由外部服務供應商提供服務和產品測試，確保所提供的外部服務和產品符合合同要求。測試完成后綜合管理部負責編制《業務持續性管理計劃測試報告》,并對計劃的適用性和有效性進行評審，形成《業務持續性管理計劃評審報告》。根據《業務持續性管理計劃評審報告》的要求，決定是否對《業務持續性管理計劃》進行修改。《業務持續性管理計劃》《業務持續性管理計劃測試報告》《業務持續性管理計劃評審報告》信息安全溝通協調管理程序日期：202X-08-19日期：202X-08-19日期：202X-08-19受控狀態受控文件為確保組織信息安全方面信息的內外部溝通渠道的暢通，特制定本程序。2適用范圍適用于組織有關信息安全事務的協商和內外信息交流的管理。3.1信息安全管理小組z)負責組織范圍內有關信息安全方面的信息交流和溝通活動的日常管理工aa)與相關的權威機構、專業團體或其他安全專家論壇以及專業協會建立和bb)負責本組織信息安全管理信息向外部傳遞，與地方電信、消防、供電、3.2其他部門c)在各自業務內，負責與相關方之間在信息安全方面進行縱向橫向信息的4相關文件5.1信息安全溝通的內容5.2信息安全的溝通方式5.3信息安全的協商j)管理文件，特別是作業文件的修改和評1)可能影響到信息安全的任何活動。5.4內部信息溝通管理組織依托各部門建立組織級信息安全網絡，負責組織內部信息的溝通管理信息安全管理小組負責信息安全管理體系的建立及實施過程中的溝通和協組織根據需要建立信息安全管理專家組，包括有關信息安全和IT方面的專家，形成《信息安全專家名單》,經公司總經理批5.5外部信息的溝通管理公安部門的計算機安全部門)和相關團體(信息安全第三方服務機構)建立聯系，及時報告信息安全事件(包括可能會違背法律的信息安全事件),取得指導和支5.6內部信息的溝通管理信息安全管理小組至少每季度召開一次各部門負責人或部門代表參加的聯5.7信息的處理5.8信息管理記錄信息安全事件管理程序日期：202X-08-19日期：202X-08-19日期：202X-08-19受控狀態為建立信息安全事件報告、反應與處理機制，減少信息安全事件所造成的損失，采取有效的糾正與預防措施，特制定本程序。3.1綜合管理部3.2各系統使用人員4相關文件5.1信息安全事件定義與分類失職等原因直接造成下列影響(后果)之一，均為信息安全事件：失職等原因直接造成下列影響(后果)之一，屬于重大信息安全事件：5.2事件的報告渠道與處理5.2.1事件報告要求事件的發現者應按照以下要求履行報告任務：a)各個信息管理系統使用者，在使用過程中如果發現軟硬件故障、事件，應該向該系統歸口管理部門和綜合管理部報告；如故障、事件會影響或已經影響業務運行，必須立即報告相關部門，采取必要措施，保證對業務的影響降至最低；b)發生火災應立即觸發火警并向綜合管理部報告，啟動消防應急預案；c)涉及組織的秘密、機密及絕密泄露、丟失應向綜合管理部報告；d)發現信息安全的弱點，應該向事件處理部門進行報告；5.2.2事件的響應事件處理部門接到報告以后，應立即進行迅速、有效和有序的響應，包括采取以下適當措施：a)報告者應保護好故障、事件的現場，并采取適當的應急措施，防止事態的進一步擴大；b)按照有關的事件處理文件(程序、作業手冊)排除故障，恢復系統或服務，必要時，啟動業務持續性管理計劃。5.3事件調查處理與糾正措施故障處理部門應對故障原因進行分析，必要時，采取糾正措施，故障的原因及采取措施的結果予以記錄。對于信息安全事件，在故障排除或采取必要措施后，綜合管理部會同事件責任部門，對事件的原因、類型、損失、責任進行鑒定，形成《信息安全事件調查處理報告》,報綜合管理部批準；對于違反組織的信息方針、程序及安全規章所造成的信息安全事件責任者依據《信息安全獎懲管理程序》予以懲戒，并在組織內予以通報。綜合管理部要求事件責任部門制定糾正措施并實施，實施結果記錄在《信息由綜合管理部對實施情況進行跟蹤驗證，驗證結果記入《信息安全事件調查重大信息安全事件處理，除需要按照信息安全事件處理之外，需要遵循以下a)發生重大信息安全事件，事件受理部門應向綜合管理部和有關領導報告；b)重大信息安全處理方案，應該得到有關領導的審核和批準；c)重大信息安全事件處理完畢應將其事件發生、處理、預防方案總結為知識，并傳達給相關人員。5.4證據的收集當一個信息安全事件涉及到訴訟(民事的或刑事的),需要進一步對個人或組織進行起訴時，應收集、保留和呈遞證據，以使證據符合相關訴訟管轄權。5.5信息安全弱點匯報處理機制當公司人員發現信息安全弱點，應將信息安全弱點發給信息安全管理小組；信息安全管理小組接收到相關弱點后，進行記錄，并分析判斷該是否是新發現弱點，若此前已經發現并有相應的處理措施，則關閉該弱點；若相關弱點為新發現弱點，則將該弱點作為信息安全事件報告并處理?！缎畔踩录{查處理報告》信息安全獎懲管理程序日期：202X-08-19日期：202X-08-19日期：202X-08-19受控狀態受控文件為對有效避免信息安全事故的人員和行為進行獎勵，對違反信息安全方針和程序的人員和行為進行處罰，作為對有意輕視信息安全程序的員工的威懾，強化全體員工的信息安全意識，特制定本規定。本程序適用于組織內對違反信息安全方針和程序員工的懲戒及對信息安全做出貢獻員工的獎勵管理。3.1各部門3.2綜合管理部3.4總經理4相關文件5.1違章處罰負有信息安全事故處罰的各職能部門在日常檢查過程發現在其職責范圍內一年內累計二次一般違紀應認定為一次較重違紀，責令違章者寫出書面檢查報對于審核中(包括內部審核及第三方審核)發現的一般不符合事項，應通過5.2信息安全事故的處罰責任者予以處罰；對于重大信息安全事故的責任者的處罰應提交綜合管理部決處罰方式gg)一般安全事故，根據所造成的經濟損失，給予責任人扣罰當月獎金浮動hh)造成重大安全事故的，將責任人調離原工作崗位并給予扣罰三個月以下ii)如果屬于故意行為導致信息安全事故，解除勞動合同并依法追究法律責jj)對由于違反IT管理方針程序和越權訪問策略的，應收回其訪問權限。建議申請單》,交綜合管理部。綜合管理部與被處罰部門溝通，確認責任者及處5.3獎勵規定b)及時發現非責任區信息安全重大隱患，該隱患足以導致信息安全重大事c)及時發現并制止系統操作問題以避免設備及人身重大損失或人員傷亡d)及時制止或報告泄露商業機密的事件以避免組織重大經濟損失或及時中止正在進行中的商業泄密行為的；e)其他有效避免組織信息安全事故的行為；f)在信息安全事故中采取積極有效措施，降低損失的程度。獎勵方式a)防止一般安全事故發生，給予相關人員一次性50-200元的獎勵；b)防止造成重大安全事故的，給予相關人員一次性200-500元的獎勵；c)及時中止正在進行中的商業泄密行為，根據秘密等級給予相關人員一次性500-2000元的獎勵；d)信息安全事件中采取積極有效措施，降低損失程度，按照具體情況給予相關人員100-500元獎勵；e)提出信息安全合理化建議，經組織采納執行，給予相關人員一次性200發現信息安全事故、薄弱點與故障的員工應按照《信息安全事件管理程序》進行報告。相關的職能部門進行調查后，處理是否應給予獎勵，如需要應填寫《員工獎懲建議申請單》,報綜合管理部審批后，由綜合管理部在其當月工資中加發獎勵金額。對于授予獎勵的相關人員的獎勵結果由綜合管理部在組織范圍內予以通報?！秵T工獎懲建議申請單》日期：202X-08-19日期：202X-08-19受控狀態受控文件為明確員工招聘原則、標準及渠道，規范人員招聘、甄選及錄用程序，降低員工所帶來人為差錯、盜竊、欺詐及濫用設施的風險，特制定本程序。本程序適用于員工聘用的安全考察管理。3.1綜合管理部負責員工聘用的安全考察管理、保密協議的簽訂。3.2各部門負責本部門員工的日常考察管理工作。4相關文件《信息安全管理手冊》《記錄控制程序》5.1招聘依據各部門的年度招聘工作原則上應在人員需求計劃內進行，年中發生變動需增補計劃時，需經總經辦批準后方可開展招聘工作?？射浻萌藛T的基本條件：kk)符合組織員工身體健康標準要求；11)通過組織必要的背景調查與面試考評；mm)符合組織用人理念、符合崗位職責及任職條件要求；nn)符合當地政府的相關勞動就業政策和法規；oo)了解應聘崗位的責任信息，并承諾完成其職責和承擔信息安全責任。5.2人員考察策略所有員工在正式錄用前應進行以下方面考察：d)良好的性格特征，如誠實、守信等；e)應聘者學歷、個人簡歷的檢查(完整性和準確性);f)學術或專業資格的確認；g)身份的查驗。員工從一般崗位轉到信息安全重要崗位，應當對其進行信用及能力考察。5.3對錄用人員的考察綜合管理部對擬錄用人員重點進行以下方面考察：a)根據應聘資料及面試情況初判應聘者的職業素質；b)通過與應聘者溝通，并了解其應聘動機；c)了解其從事的專業和具備的技術水準，是否符合該崗位的崗位說明書?？疾斓慕Y果應記入《應聘人員登記表》。在考察中發現應聘者存在不良傾向的，將不予錄用。5.4錄用審批程序總經理根據考核結果確定聘用的人選。綜合管理部負責向通過考核的應聘人員發送《聘用通知書》,新員工報到時需提交下列資料：畢業證書復印件、身份證復印件1張、1寸免冠照片3張。受聘人員應按時來綜合管理部報到，為員工進行入職培訓，領用電腦及辦公用品，綜合管理部為新入職員工安裝操作系統，工作用各類軟件，設置郵件地址，并對新入職員工進行信息安全使用培訓。對初次聘用的新員工實行3個月的試用期，具體的試用期限根據與該員工簽定的勞動合同時間掛鉤。試用期自報到之日起計算。部門經理負責對新入職員工在試用期間的考核，如不合格者，有權與該員工解除試用期勞動合約或延遲試用期限。對錄用的員工應簽署《勞動合同》,對錄用的信息安全重要崗位的員工應簽5.6人事檔案綜合管理部負責人事檔案的管理。人事檔案的管理應符合相應的法律法規，聘用記錄的管理應符合《記錄控制程序》的要求?！稇溉藛T登記表》《保密協議》日期：202X-08-19日期：202X-08-19受控狀態受控文件3.1綜合管理部完善組織的培訓課程，建立組織的內訓課程體系和師資隊伍。3.2各部門負責新員工崗前培訓和與崗位相關知識的培訓；負責本部門特殊、專項培訓計劃的制訂，協調安排好員工參加培訓的時間，配合進行培訓效果的評估和跟蹤工作。4相關文件《信息安全管理手冊》《員工聘用管理程序》《記錄控制程序》5.1培訓策劃綜合管理部應確定各崗位人員，特別是從事影響信息安全管理體系人員所必須的能力要求，并按《員工聘用管理程序》聘用有能力的人員滿足這些能力要求。各部門根據各崗位信息安全能力要求、員工業績表現和業務的要求，制訂本綜合管理部在各部門年度培訓計劃的基礎上，制定組織的《年度培訓計劃表》,報綜合管理部經理審批。5.2培訓形式和種類培訓形式一般分兩種：a)內訓：指綜合管理部安排在組織內引進培訓講師或組織內部講師進行的培訓學習課程；b)外訓：指根據培訓計劃和員工發展需求安排員工參加的在組織外舉辦的公開課程或階段課程(包括研討會、講座等形式)。培訓種類一般分：a)員工培訓(包括信息安全意識、職業道德培訓);b)信息系統專業和職業化技能培訓；c)管理層培訓(信息安全管理培訓和意識培訓)。5.3培訓要求應對各類人員進行信息安全的意識教育。應對涉及信息系統(包括生產系統)人員進行崗位技能培訓和信息安全技術應對涉及信息系統(包括生產系統)的人員進行信息安全基礎知識、崗位操作規程等培訓。應對重要崗位人員進行相關的信息安全責任和懲戒措施培訓。5.4培訓實施綜合管理部根據《年度培訓計劃表》組織實施培訓項目，根據培訓課程內容發布培訓通知并明確參培對象。培訓前，按《年度培訓計劃表》實施培訓，參加培訓人員應在《培訓記錄表》培訓檔案應包括培訓通知、參培人員花名冊、教材或培訓大綱、考卷、成績統計表等，培訓檔案應及時記錄。5.5培訓效果評價各部門在發布培訓通知時應說明每個培訓項目采用何種模式進行評價，參訓人員應根據要求參加培訓并接受評估。員工經批準參加組織安排的培訓，在培訓結束后應進行培訓評估，培訓評估結果作為員工崗位勝任能力評價的依據之一。5.6培訓記錄綜合管理部應保存員工教育、培訓、經驗和資歷的記錄。培訓檔案和上述記錄的管理應符合《記錄控制程序》的要求?！赌甓扰嘤栍媱澅怼贰杜嘤栍涗洷怼肪幹疲篨XX日期：20審核：XXX日期：202X-08-19批準：XXX日期：202X-08-19受控狀態受控文件為規范員工離職流程，明確組織與員工離崗后的權利義務關系，特制定本程序。本程序適用于組織員工的離職(包括辭職、解除或終止勞動合同、內退、退休、外派、內部崗位調整)管理。3.1綜合管理部負責員工離職的歸口管理。3.2各部門負責離職人員的工作交接，離職人員面談。3.3離職員工負責完成《員工離職交接清單》上所載事項，交綜合管理部。4相關文件《信息安全管理手冊》《用戶訪問管理程序》5.1員工離職a)組織與員工解除或終止勞動合同，需提交公司辦公會議討論通過，并根據國家勞動法規規定的通知時間，向員工所在部門及員工本人發出解除或終止勞動合同的通知。b)員工辭職應按規定提前30天遞交部門負責人，審批通過后，通知員工辦理相關離職手續。c)員工所在部門負責人應進行離職訪談，明確其承諾的保密義務。d)員工所在部門負責人應通知綜合管理部，綜合管理部IT信息系統管理人員終止其訪問權限。5.2離職手續a)如無特殊情況，離職手續須由員工本人親自辦理。b)離職手續應先辦理工作交接，經部門負責人確認工作交接完成以后方可辦理后續項目。c)離職手續包括：各種保密文件回收、身份證件退還(包括公司門禁卡等)、原所在辦公室門鎖和辦公桌鑰匙退還、固定資產(軟/硬件設備等)退還、財務清款、法律事務清查、工作交接、訪問權限的收回確認。d)重要崗位人員離職前應承諾保密義務，必要時應簽署競業限制協議。e)離崗員工辦理《員工離職交接清單》中的交接手續后，交綜合管理部審核。f)離職員工辦理完上述手續后，將《員工離職交接清單》交綜合管理部審核，審核無誤后由綜合管理部辦理離退休、內退、退工(解除合同證明)、轉移社保關系、退檔等手續。5.3員工崗位變動a)部門內人員崗位變動，由所在部門報綜合管理部；如有重要崗位人員的變化，應及時通知綜合管理部，綜合管理部IT人員按《用戶訪問管理程序》變更、終止或授權其訪問權限。b)部門間的崗位變動，綜合管理部開具《人員調度申請表》,原所在部門及時通知綜合管理部，綜合管理部IT信息系統管理人員終止其訪問權限?！秵T工離職交接清單》《人員調度申請表》相關方信息安全管理程序日期：202X-08-19日期：202X-08-19日期：202X-08-19受控狀態受控文件為加強對組織相關方的控制，識別其信息安全風險，采取相應措施，防范組織的信息資產損失，特制定本程序。本程序適用于組織信息安全管理范圍內外部相關方管理活動，包括對供應商、外來人員、公司外駐員工、廢棄物處理方及客戶的信息安全方面的管理和監3.1綜合管理部a)組織各部門識別外部相關方對信息資產和信息處理設施造成的風險；b)定期組織對相關方控制的實施活動進行檢查與跟蹤；c)負責與相關方人員簽訂保密協議。3.2各相關部門a)負責對本部門、本項目外的部門的相關方進行控制和管理；b)負責對客戶提供的信息采取保密措施。4相關文件《安全區域管理程序》《物理訪問策略》《用戶訪問管理程序》5.1管理對象pp)服務提供商：互聯網服務提供商、電話提供商、IT維護和支持服務提供商、軟件產品和IT系統開發商和供應商；qq)管理服務提供商，管理咨詢，業務咨詢，外部審核方；rr)清潔、物業、會計以及其他外包的支持性服務提供商；ss)外來人員：快遞人員、供應商等臨時人員、實習學生；5.2相關方信息安全管理綜合管理部組織各部門識別外部相關方對信息資產和信息處理設施造成的風險，并在批準外部相關方訪問信息資產和信息處理設施前，對所識別的風險實施適當的控制。涉及對組織的信息資產物理訪問、邏輯訪問時，綜合管理部應與相關方簽署《相關方保密協議》中應反映所有與相關方合作而引起的內部管理需求或信息安全需求，《相關方保密協議》中還要提請相關方對其員工進行必要的信息安全意識、技能培訓和教育，使其滿足工作要求。在對信息安全的要求未實施適當的控制之前不應向外部相關方提供權限進行信息的訪問。綜合管理部應確保外部相關方認識到其義務，并接受與訪問、處理、交流或管理組織信息和信息處理設施相關的責任和義務。外來人員主要有：臨時工、外來參觀和檢查人員、外來技術/服務人員、服務提供商(包括管理服務提供商)等。外來人員進入組織，應按《安全區域管理程序》和《物理訪問策略》進行控外來人員的邏輯訪問按《用戶訪問管理程序》進行控制。5.4對供應商的管理供應商的業務管理部門應識別物資采購活動中的信息安全的風險，明確采購過程中的信息安全要求，在采購合同中明確規定對信息安全方面的要求，并在批準其訪問組織信息資產和信息處理設施前實施適當的控制。供應商訪問組織的安全區域和網絡按對外來人員的管理進行控制。綜合管理部應建立《相關方一覽表》,保存《相關方保密協議》和訪問授權綜合管理部與相關主管部門負責定期組織對相關方控制的實施進行檢查與d)對相關方控制管理不嚴格、存在信息安全隱患的部門，提出整改意見，對問題較多或整改不力的，限令整改，提出信息安全考核意見和要求；e)對不符合信息安全管理要求的相關方，整改后仍不符合要求或拒絕整改可能造成信息安全事件的相關方，做出限期整改、減少訂貨、經濟扣罰、終止合同等決定意見?！断嚓P方保密協議》《相關方一覽表》日期：202X-08-19日期：202X-08-19日期：202X-08-19受控狀態受控文件為加強對第三方服務提供商(合作商)的控制，減少安全風險，防范公司信3.1綜合管理部3.2其他相關部門f)負責確定合格的第三方服務商，并與第三方服務商簽訂服務合同和保密4相關文件5.1.1我公司的相關方包括以下團體或個人：a)服務提供商：互聯網服務提供商、電話提供商、審計服務提供商、咨詢b)設備供方；c)外來人員：臨時人員、實習學生以及其他短期工作人員；d)管理咨詢，業務咨詢，外部審核；e)公司客戶。5.1.2上述活動的歸屬管理部門為綜合管理部，負責相關方的監督管理。5.2相關方的信息安全管理5.2.1相關部門應協協助綜合管理部識別外部相關方對信息資產和信息處理設施造成的風險，并在批準外部相關方訪問信息資產和信息處理設施前實施適5.2.2綜合管理部應與外部相關方簽署涉及物理訪問、邏輯訪問和工作安排條款和條件的《第三方服務保密協議》,所有與外部相關方合作而引起的安全需求或內部控制都應在協議中反映，在未實施適當的控制之前不應該向外部相關方提供對信息的訪問。5.2.3綜合管理部應確保外部相關方意識到其義務，并接受與訪問、處理、交流或管理組織信息和信息處理設施相關的責任和義務。5.3外來人員管理5.3.1外來人員主要有：臨時工、實習人員、參觀檢查人員、外來技術人員、5.3.2外來人員由使用部門提請綜合管理部審核同意后，簽署《第三方保密協議》,并明確工作范圍、工作內容、職責、權利、義務、物理(邏輯)訪問控制等要求，方可在公司信息系統從事相關工作。5.3.3外來人員的物理訪問按《物理訪問控制程序》進行。5.3.4外來人員的邏輯訪問按《用戶訪問控制程序》進行。5.4第三方服務的管理5.5.1第三方服務能力的評定相關網絡歸屬管理部門需要將設備、網絡、系統、軟件和信息安全等事項外包時，應明確外包服務的內容和要求，對第三方服務提供服務的能力進行評定，確定合格第三方服務。應確保第三方服務保持充分的提供服務的能力，并且具備有效的工5.5.2第三方服務提供商需提供服務人5.5.3第三方服務服務人員在現場或遠5.5.4對服務提供方技術人員在現場處理需要設備入網時，應填寫入網申請5.5.5當服務提供方發生變更時，綜合管理部應進行服務提供方變更登記，日期：202X-08-19日期：202X-08-19受控狀態受控文件3.1綜合管理部3.2其他部門4相關文件5.1安全區域綜合管理部應識別重要安全區域，建立和保持《重要安全區域安全控制方n)財務部5.2普通區域的物理訪問5.3重要安全區域的出入控制管理新軟件時，開發部門填寫《重要安全區域訪問審批表可進入。完成工作后，登記離開時間，反饋給IT人員。5.4安全區域的檢查管理各部門根據普通區域和重要安全區域不同的要求，嚴格執行組織相關的規定，防止對安全區域內場所的非授權物理訪問、損壞和干擾，有效保障組織信息的安全，保證組織業務正常進行。綜合管理部加強前臺管理，出入工作區域的外來人員必須登記《來訪人員登記表》。綜合管理部將組織人員定期對普通區域和重要安全區域進行監督檢查，檢查內容為安全周界、外來人員情況等安全區域的控制管理，發現安全隱患及存在問題，將開具《專項管理檢查整改通知單》責成整改。5.5無人職守時的安全區域保護每天下班的最后一名員工應關閉門禁，鎖上大門后再離開公司。《重要安全區域安全控制方案》《相關方保密協議》《機房人員出入登記表》《來訪人員登記表》《重要安全區域訪問審批表》《專項管理檢查整改通知單》XXX有限公司門禁系統管理程序日期：202X-08-19日期：202X-08-19日期：202X-08-19受控狀態受控文件為確保組織的物理區域入口的安全及其控制要求，防止非授權人員對組織場所的物理訪問、損壞和干擾，有效保障組織業務的安全運作和工作穩定，特制訂本程序適用于組織物理安全區域入口的管理。3.1綜合管理部yy)負責對進入組織場所的員工及外來訪客進行確認和控制。4相關文件無日期：202X-08-19日期：202X-08-19受控狀態受控文件本程序適用于在組織內使用的所有主要網絡設備的安全參數設置管理，包3.1綜合管理部4相關文件《信息安全管理手冊》《信息系統訪問與使用監控管理程序》5.1.1通用策略網絡設備的配置必須由IT人員實施。設備系統日志的記錄內容和保存期限應該符合《信息系統訪問與使用監控管對外連接防火墻配置要求：a)除內部向外部提供的服務外，其他任何從外部向內部發起的連接請求被禁止；b)除內部向外部提供的服務相關部分外，內部向外部的訪問需經部門經理批準。內部防火墻配置要求：a)內部防火墻的內外部分分為不同的安全等級，外部為等級低的部分，內部為等級高的部分；b)除內部向外部提供的服務外，其他任何從外部向內部發起的連接請求被禁止；c)除內部向外部提供的服務相關部分外，內部向外部的訪問需經部門經理批準。5.1.3網關設備安全配置策略網關設備安全配置策略：a)訪問許可列表應根據申請并經過審批獲得；b)對許可的訪問發起者的身份認證應至少在兩項或以上；c)非許可訪問的部分應禁止；d)許可的訪問發起者應體現相對靜態的信息記錄，如有明確意義的用戶名、靜態訪問IP地址等；e)許可的訪問發起者的訪問權利應不被濫用。5.1.4網絡交換機設備安全配置策略關鍵路徑網絡交換機安全配置策略a)關鍵路徑網絡交換機是指位于公司網絡中間節點或信息交換中心位置的b)關鍵路徑網絡交換機安全配置策略應考慮和周邊網絡設備的連接的兼容性、安全性、可靠性和可變性；c)關鍵路徑網絡交換機安全配置策略應盡量減少不必要的限定以保證合理周邊網絡交換機安全配置策略a)周邊網絡交換機是指位于公司網絡非中間節點或信息交換相對不重要的位置的網絡交換機；b)周邊網絡交換機安全配置策略應考慮和關鍵路徑網絡設備的連接的兼容性、安全性、可靠性和可變性；c)關鍵路徑網絡交換機安全配置策略應根據需要減少不必要信息向更高級的網絡層的傳輸。5.2網絡中間設備配置過程IT人員根據安全配置策略和特定安全要求填寫《網絡設備安全配置表》,經綜合管理部經理審核批準后，由IT人員對網絡設備參數進行配置。《網絡設備安全配置表》編號：-ISMS-B-25編制：XXX日期：202X-08-19審核：XXX日期：202X-08-19批準：XXX日期：202X-08-19受控狀態受控文件為了對本組織計算機設備和相關軟件進行有效的管理控制，確保在使用和維護過程中的信息安全，特制定本程序。本程序適用于本組織所有個人計算機設備的購置、調配、報廢、使用、維護及在管理、生產、服務等方面所需計算機軟件的管理。3.1綜合管理部負責本組織所有計算機的購置、調配、報廢、使用、維護及相關軟件的管理和備存。3.2其他各部門具體負責購置審批、保管和使用本部門計算機設備，安裝工作中需要使用的4相關文件《信息安全管理手冊》《信息處理設施安裝使用管理程序》《惡意軟件管理程序》《用戶訪問管理程序》5.1計算機設備管理綜合管理部負責計算機固定資產的標識，標識隨具體設備到使用各部門。計算機保管使用部門將計算機列入該部門《信息處理設施一覽表》。綜合管理部負責建立《計算機配置說明書》,明確組織內配備個人計算機設備的硬件配置要求，《計算機配置說明書》應每半年進行一次更新。各部門配備的計算機設備應與本部門的業務情況相適應，不得配備低于工作要求的或不必要的計算機設備。計算機使用部門需配備計算機設備時，應按照《信息處理設施安裝使用管理程序》的規定執行。綜合管理部負責按《計算機配置說明書》為員工配備計算機，并對計算機設備進行驗收。有關計算機設備所帶技術說明書、軟件由綜合管理部保存。計算機設備的軟件由綜合管理部安裝，綜合管理部應建立《計算機軟件安裝說明書》和《計算機軟件配置一覽表》,明確各部門/崗位軟件和配置的要求。綜合管理部應為計算機設備進行編號，建立《計算機配備一覽表》,加貼資產標識。員工離職時，應將計算機交還綜合管理部，由綜合管理部注銷賬戶。5.2計算機設備維護計算機使用部門應將每部計算機落實到個人管理。計算機使用人員負責計算機的日常維護和保養；綜合管理部按照《惡意軟件管理程序》要求進行計算機查毒和殺毒工作。計算機使用部門發現故障或異常，由計算機使用人員填寫《信息安全故障處理記錄》向綜合管理部申請維修。故障原因及處理結果應記入《信息安全故障處用戶更新計算機或計算機部件后，原來的計算機或計算機部件由綜合管理部根據計算機的技術狀態決定調配使用或予以報廢處理。5.3.2調配計算機或計算機硬件的調配由部門內部成員提交調配申請，必須由部門經理審批，由綜合管理部負責調配完畢后，變更信息處理設施一覽表，并按照本程序要求重新分配使用。5.3.3報廢計算機設備采用集中報廢處理。報廢前由綜合管理部向總經理提出報廢申請，經審核后由綜合管理部實施報廢。含有敏感信息的計算機調配使用或報廢前，應由綜合管理部將硬盤格式化，刪除敏感信息后再將其調配或報廢。綜合管理部按照批準的處置方案進行報廢處理，并變更《信息處理設施一覽5.4個人筆記本電腦移動辦公安全管理個人筆記本電腦屬于私人財產，帶入組織使用前應先向綜合管理部提出申請，并由部門經理審批。個人筆記本電腦由綜合管理部測試過沒有病毒及其他可疑移動代碼的前提下，方可接入組織的計算機網絡從事工作。筆記本電腦使用時應防止惡意軟件的侵害，在系統中應安裝防病毒軟件，并由綜合管理部對其定期升級，對系統定期查殺。筆記本電腦在移動使用中，不能隨意拉接網絡，需按《用戶訪問管理程序》向綜合管理部提前提出需求，經綜合管理部審批后方能接入網絡。5.5計算機安全使用的要求使用計算機時應遵循《信息安全策略》要求執行。一般計算機不得處理涉密信息。配備和使用涉密計算機設備應填寫《涉密計算機設備審批表》,按批準的軟硬件安全策略進行配置，涉密計算機設備有專人使用，使用人員應簽署《涉密計計算機設備使用人員不得使用計算機設備處理正常工作以外的事務，不得私自改變計算機的安全配置，不得私自安裝與工作無關的軟件，不得私自以任何方式接入互聯網，不得從事危害網絡秩序、網絡安全和違反法律法規的活動。5.6對于無人值守的設備的職責對于無人值守的設備，應把其放在相對安全的位置。以減少因誤操作而引起不必要的狀況無人值守的設備應有門禁或監控，保持其的安全性。使無關人員無法接觸到IT人員應定期對無人值守的設備進行檢查或維護，是設備能持續，正常的工作運行無人值守的設備，應具有持續供電設備。使其在斷電時，能正常關機得以保5.7服務器服務器的日常檢測，IT人員必須定期檢測服務器的容量是否足夠，有無病毒或可移動代碼的入侵現象，并做好日志記錄。服務器的外部保護參見《機房安全管理規定》。《信息處理設施一覽表》《計算機配置說明書》《計算機軟件安裝說明書》《計算機軟件配置一覽表》《計算機配備一覽表》《信息安全故障處理記錄》《涉密計算機設備審批表》《涉密計算機安全保密責任書》《重要服務器和設備日志明細表》XXX有限公司審核：XXX日期：202X-08-19受控狀態為了對組織內員工使用電子郵件(Email)情況進行有效的控制，特制定本本程序適用于組織內電子郵箱的管理和員工使用電子郵件管理。3.1各部門負責批準組織內電子郵箱的使用申請。3.2綜合管理部負責組織的電子郵箱的開通、注銷及日常維護管理；負責員工使用電子郵件情況的監控。4相關文件《信息安全管理手冊》《信息系統訪問與使用監控管理程序》《電子郵件使用準則》5.1電子郵件使用策略因工作需要的組織內的員工均可申請公司電子郵箱，組織的電子郵箱的賬號密碼必須符合《信息系統訪問與使用監控管理程序》;不得使用組織的電子郵箱發送、轉發、收取機密信息，不得使用個人電子郵箱發送、轉發、收取機密和秘密信息；組織有權對員工使用組織的電子郵箱情況、在組織內網絡使用個人電子郵箱情況以及傳送的內容進行監視和記錄，并對其內容進行存儲備份以用于法律目使用電子郵箱應遵循《電子郵件策略》規定。5.2電子郵箱分類原則上，組織只為個人設置一個電子郵箱。個人郵箱是組織為員工個人提供的具體郵件地址，由員工個人申請使用。電子郵件系統郵箱的增刪處理由網絡管理員操作執行。5.3電子郵箱的申請、使用新員工入職時，在分配完個人PC機之后，由IT人員安裝操作系統及工具軟件后，為其設置電子郵箱。電子郵箱的用戶名原則為用戶職位英語縮寫+編號，以方便此郵箱可回收再利用，并設置郵箱別名以方便用戶對外發布，密碼應該在員工第一次使用時立即更改。郵箱中文名說明上使用員工中文名+(公司部門信息)。原則上，電子郵箱一旦開啟，不允許修改郵箱地址。5.4電子郵箱的注銷當員工離職(包括辭職、解聘、離退休)時，由綜合管理部通知網絡管理員，網絡管理員負責注銷此郵箱，并在《電子郵箱一覽表》注明。綜合管理部網絡管理員負責每半年檢查一次電子郵件系統的授權使用情況，5.5電子郵箱的安全綜合管理部負責與電子郵箱服務提供商簽署含有信息安全內容的服務協議。該協議應經技術部經理審核，報公司分管領導批準。IT人員負責監督電子郵箱服務協議的實施。綜合管理部網絡管理員負責電子郵箱系統的日常維護，并監控員工使用組織綜合管理部網絡管理員負責監控員工在組織網絡使用個人電子郵箱的情況。當發生或疑似發生信息安全事件時，應對員工使用組織的電子郵箱的情況、在組織網絡使用個人電子郵箱的情況以及傳送的內容進行存儲備份?！峨娮余]箱申請表》《電子郵箱一覽表》《電子郵箱使用情況檢查表》編制：XXX日期：2審核：XXX日批準：XXX日期：202X-08-19受控狀態受控文件為防止各類惡意軟件造成破壞，確保組織的信息系統、軟件和信息的保密性、完整性與可用性，特制定本程序。本程序適用于本組織各部門對防范惡意軟件的工作管理。所謂惡意軟件，是指編制或者在計算機程序中插入的破壞計算機功能、毀壞數據、竊取數據，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼，主要是指各類計算機病毒。3.1技術部技術部是組織內惡意軟件管理控制工作的主管部門，負責組織內防病毒軟件的安裝及病毒庫的更新管理，為各部門信息處理設施的防范惡意軟件提供技術性3.2其他各部門具體負責本部門信息處理設施的病毒清殺及其它預防措施的實施。4相關文件《信息安全管理手冊》《重要信息備份管理程序》《計算機管理程序》惡意軟件的防范措施主要是安裝防火墻、入侵檢測系統、使用加密程序和安裝殺病毒軟件。ddd)各部門應根據技術部的安排，從指定的網絡服務器上安裝企業