(完整版)信息安全手冊

XXXXXXXX有限公司信息安全管理手冊

目錄

1目的(5)

2范圍(5)

3總體安全目標(5)

4信息安全(5)

5信息安全組織(5)

5.1信息安全組織(5)

5.2信息安全職責(6)

5.3信息安全操作流程(7)

6信息資產分類與控制(8)

6.1信息資產所有人責任(8)

6.1.1信息資產分類(8)

6.1.2信息資產密級(9)

6.2信息資產的標識和處理(9)

7人員的安全管理(10)

7.1聘用條款和保密協議(10)

7.1.1聘用條款中員工的信息安全責任Q0)

7.1.2商業秘密(11)

7.2人員背景審查(12)

7.2.1審查流程(13)

7.2.2員工背景調查表(13)

7.3員工培訓(14)

7.3.1培訓周期Q4)

7.3.2培訓效果檢查(14)

7.4人員離職(15)

7.4.1離職人員信息交接流程Q5)

7.5違規處理(15)

7.5.1信息安全違規級別Q5)

7.5.2信息安全違規處理流程(16)

7.5.3違規事件處理流程圖(17)

8物理安全策略(17)

8.1場地安全(17)

8.1.1FBI受控區域的劃分(18)

8.1.1.1受控區域級別劃分(18)

8.1.1.2重要區域及受控區域管理責任劃分(18)

8.1.1.3物理隔離(18)

8.1.2出入控制(19)

8.1.3名詞解釋(19)

8.1.4人員管理(19)

8.1.4.1人員進出管理流程(19)

8.1.4.1.1公司員工(19)

8.1.4.1.2來訪人員(20)

8.1.5卡證管理規定(23)

文件密級：內部公開

8.1.5.1卡證分類(23)

8.1.5.2卡證申請(23)

8.1.5.3卡證權限管理(24)

8.2設備安全(24)

8.2.1設備安全規定(24)

822設備進出管理流程(26)

8.2.2.1設備進場(26)

8.2.2.2設備出場(27)

8.2.3BBB辦公設備進出管理流程(28)

8.2.3.1設備進場(28)

8.2.3.2設備出場(29)

8.2.4特殊存儲設備介質管理規定(30)

8.2.5FBI場地設備加封規定(31)

8.2.6FBI場地設備報修處理流程(31)

9IT安全管理(31)

9.1網絡安全管理規定(31)

9.2系統安全管理規定(32)

9.3病毒處理管理流程(32)

9.4權限管理(33)

9.4.1權限管理規定(33)

9.4.2配置管理規定(33)

9.4.3員工權限矩陣圖(35)

9.5數據傳輸規定(36)

9.6業務連續性(36)

9.7FBI機房、實驗室管理(37)

9.7.1門禁系統管理規定(37)

9.7.2服務器管理規定(37)

9.7.3網絡管理規定(38)

9.7.4監控管理規定(38)

9.7.5其它管理規定(38)

10信息安全事件和風險處理(39)

10.1信息安全事件調查流程(39)

10.1.1信息安全事件的分類(39)

10.1.2信息安全事件的分級(39)

10.1.3安全事件調查流程(40)

10.1.3.1一級安全事件處理流程(40)

10.1.3.2二級安全事件處理流程(41)

10.1.3.3三級安全事件處理流程(42)

10.1.4信息安全事件的統計分析和審計(42)

11檢查、監控和審計(43)

11.1檢查規定(43)

11.2監控(43)

信息安全是指信息網絡的硬件、軟件及其系統中的數據受到保護，

不受偶然的或者惡意的原因

而遭到破壞、更改、泄露，系統連續可靠正常地運行，信息服務

不被中斷。

5信息安全組織

5.1信息安全組織

為了響應公司外包業務的離岸政策、適應外包業務發展方向、使

業務能夠順利回遷，建立符合公司及客戶要求的信息安全管理體系，

保證業務離岸后的順利開展，本著尊重知識產權、維護公司、客戶的

商業利益、為客戶的業務開展提供最安全的保障服務。經公司研

究決定成立信息安全管理組，各地域或

場地可參照成立信息安全小組。

PMO經理信息安全主任

信息安全專員

HR

關鍵崗位審查員

IT專員

IT安全管理員

行政助理

機要員

行政部

安全崗

行政部

卡政管理員

研發部門

部門執行主任

服務器管理員系統安全管理員

網絡管理員

網絡安全管理員

桌面支持工程師

PC安全管理員

PDU

項目組安全員

5.2信息安全職責

信息安全主任：根據公司信息安全要求及業務發展需求，對信息

安全相關事務進行支持、決策，確

保外包項目的信息安全，對所承接的BBB外包服務業務的信息安

全負責。

信息安全專員：建立信息安全組織，作為信息安全管理人員負責

建立和維護ISMS（InformationSecurityManagementSystem信

息安全管理體系）負責組織信息安全管理規定、標準和流程的制定、

推行、檢查和安全事件調查工作。

機要員：主要負責執行信息安全制度中規定的及信息安全專員的

指令，一個地域只有一個機要

員，通常重要區域的鑰匙、密碼、門禁卡由其負責保管，所有物

品出入FBI場地必須由機要員進行

確認檢查，并做好相關的記錄。

安全崗：執行信息安全制度中規定的及信息安全專員的指令，根

據信息安全制度的相關規定，執

行檢查、登記出入FBI場地人員及攜帶的物品，負責維護責任區

域的安全。當有人員及人員攜帶物品強

行出入FBI場地的時候，安全崗人員必須立即制止。

IT專員：主要負責執行信息安全制度中規定的及信息安全專員的

指令，協助信息安全機要員做好

信息安全方面的技術工作，FBI場地的機房網絡、內外郵箱的設置,

設備出場的數據處理，進場設備的存

儲、端口的處理，信息安全技術工作方面的改進、優化。

卡證專員：主要執行規范公司員工及外來人員的出入卡證發放和

門禁系統授權管理工作。根據信息

安全制度的相關規定，結合卡證管理流程及權限，對卡證管理實

行員工工卡、臨時工卡、來賓卡的識別、

確認、登記、門禁授權、編碼、歸類、注銷等管理流程工作的實

現。

部門執行主任：主要負責本部門下屬的各項目組在FBI場地信息

安全管理工作，并任命項目組中的具體信息安全執行負責人，配合信

息安全管理工作組的工作做好日常的信息安全管理及定期信息安全的

檢查、監控和審計工作。對部門下屬成員的信息安全違規、舉報

行為執行信息安全管理工作組規定的獎

勵和處罰。

項目組信息安全員：主要負責本項目組內人員及設備的信息安全

管理工作，配合信息安全管理工作

組的工作做好日常的信息安全管理及定期信息安全的檢查、監控

和審計工作。對部門下屬成員的信息安

全違規、舉報行為執行信息安全管理工作組規定的獎勵和處罰。

5.3信息安全操作流程

分為：規劃、執行、檢查、改進四個階段，每個階段都有明確的

參與和執行責任人。

分別說明如下：

規劃：根據公司信息安全原則和業務發展的需求，信息安全管理

工作組全體成員討論并制定詳細的管

理流程。一般情況下由需求部門向信息安全專員提出需求，并由

信息安全專員召集信息安全管理工作組的

機要員、IT專員及需求申請部門人員進行需求的討論并給出解決

方案，方案確定后由信息安全管理工作

組主任進行審核、簽發。

執行：所有簽發的管理方案都必須嚴格執行起來，一般情況下由

需求部門、個人向信息安全專員提出

申請，按照申請流程中規定進行操作，涉及到由申請者直接上級

和部門領導審批同意，之后交由信息

安全專員進行審核。審核后由機要員、IT專員、卡證專員進行具

體的操作和處理，安全崗執行人員要看到完整的流程審批以后才可以

進行放行和記錄。

檢查：信息安全管理工作組全體成員定期會對FBI場地內的物理

隔離、門禁權限、辦公設備、機房設備、FBI實驗室設備、監控記錄及

歷史存檔記錄會同業務部門的信息安全執行主任進行檢查和審計。并

將結果以報告的形式匯報給信息安全管理工作組主任。對發現信

息安全方面的違規問題由信息安全專員

以書面的形式向分公司進行發文進行通報。

改進：原有管理方案不能繼續滿足業務發展需求時，由業務部門

向信息安全專員提出申請，信息安

全專員召集信息安全管理工作組的全體成員及需求部門進行管理

方案的改進評審會議。在檢查中發現有

信息安全漏洞的，由信息安全專員召集信息安全管理工作組的全

體成員及需求部門進行管理方案的改進

評審。最終由信息安全主任進行審核、簽發。

6信息資產分類與控制

為了規范文檔的保密制度，明確信息資產所有人責任、信息密級

的劃分，信息資產的識別。公司所

有文檔，無論是電子件或紙件，必須標有文件密級。文檔密級應

出現在文檔頁眉的醒目位置，頁腳應出

現”未經許可，不得擴散"的字樣。信息是一種資產，像其它重要

的業務資產一樣，對公司具有價值，因此

需要妥善保護。

6.1信息資產管理

6.1.1信息資產分類

數據與文檔：數據庫和數據文件、系統文件、用戶手冊、培訓材

料、運行與支持程序、業務持續性

計劃、應急安排。

書面文件：合同、指南、企業文件、包含重要業務結果的文件。

軟件資產：應用軟件、系統軟件、開發工具和實用程序。

物理資產：計算機、網絡設備、磁介質（磁盤與磁帶）

6.1.2信息資產密級

秘密：是指一般的公司秘密，一旦泄露會使公司和客戶的安全和

利益受到一定的危害和損失。

內部公開：公司各部門、項目組內部員工不受限制查閱的信息，

未經授權不得隨意外傳。

6.2信息資產的標識和處理

6.2.1落實資產責任：為公司的資產提供適當的保護，為所有信息

財產確定所有人，并且為維護適當

的管理措施而分配責任。可以委派執行這些管理計劃的責任。被

提名的資產所有者應當承擔保護資產的

責任。

6.2.2控制措施一資產的清單：列出并維持一份與每個信息系統有

關的所有重要資產的清單。在信息

安全體系范圍內為資產編制清單是一項重要工作，每項資產都應

該清晰定義，合理估價，在組織中明確

資產所有權關系，進行安全分類，并以文件方式詳細記錄在案。

6.2.3具體措施包括：公司可根據'I卜務運作流程和信息系統基礎架

構識別出信息資產，按照信息資產

所屬系統或所在部門列出資產清單，將每項資產的名稱、所處位

置、價值、資產負責人等相關信息記錄

在資產清單上；根據資產的相對價值大小來確定關鍵信息資產，

并對其進行風險評估以確定適當的控制

措施；對每一項信息資產，組織的管理者應指定專人負責其使用

和保護，防止資產被盜、丟失與濫用；

定期對信息資產進行清查盤點，確保資產賬物相符和完好無損。

6.2.4信息的分類：確保信息資產得到適當程度的保護應當將信息

分類，指出其安全保護的具體要求、優先級和保護程度。不同信息有

不同的敏感性和重要性。有的信息資產可能需要額外保護或者特殊處

理。

應當采用信息分類系統來定義適當的安全保護等級范圍，并傳達

特殊處理措施的需要。

6.2.5控制措施T言息資產分類原則：信息的分類及相關的保護控

制，應適合于公司運營對于信息分

享或限制的需要，以及這些需要對企業營運所帶來的影響。信息

的分類和相關保護措施應當綜合考慮到

信息共享和信息限制的業務需要，還要考慮對業務的影響，例如

對信息未經授權的訪問或者對信息的破

壞。一般說來，信息分類是一種處理和保護該信息的簡捷方法。

信息分類時要注意以下幾點：信息的分

類等級要合理、信息的保密期限、誰對信息的分類負責。

6.2.6控制措施一信息的標識與處理：應當制定信息標識及處理的

程序，以符合公司所采用的分類法

貝L為信息標識和處理定義一個符合組織分類標準的處理程序是

非常重要的。這些程序要涵蓋實物形式

和電子形式的信息。對于每種分類，應當包含以下信息處理活動

的程序：復制、存儲、通過郵局、傳真

和電子郵件的信息發送、通過口頭語言的信息傳遞，包括通過移

動電話、語音郵件和錄音電話傳送的信

文件密級：內部公開

息、銷毀。對于那些含有被劃定為敏感或者重要信息的應用系統,

其輸出應當帶有適當的分類標識。該

標識應當反映根據組織規則而建立的分類。需要考慮的項目包括

打印的報告、屏幕顯示、存儲介質（磁

帶、磁盤、CD、卡式盒帶）、電子消息和文檔傳輸。

7人員的安全管理

7.1聘用條款和保密協議（公司員工保密協摘錄）

7.1.1聘用條款中員工的信息安全責任

7.1.1.1知識產權：

7.1.1.1.1知識產權是指根據法律法規有關規定或根據甲方與第三

方簽署的協議由甲方所有、使用、

支配、提供、擁有或者將要擁有的一切智力勞動成果，包括但不

限于專利權、商標

權、著作權、軟件、企業名稱、企業標記（Logo）,域名、網站、

數據庫、經營或開發成

果、商譽、職務技術成果等。

7.1.1.1.2乙方承諾在與甲方的勞動合同關系存續期間及期滿后不

對甲方的知識產權進行貶低、歪

曲、破壞或者任何其它損害。在勞動合同有效期內乙方應努力維

護、提高甲方知識產權

的價值。

7.1.1.1.3乙方承諾，未經甲方書面同意，不將第一條所提及的技

術成果、作品、軟件、專利等用

作商業目的或者許可他人用于商業目的。

7.1.1.1.4乙方在與甲方的勞動合同存續期間，及在勞動合同關系

終止后二年內，所有主要是利用

在XXXXX的工作時間或利用XXXXX或派駐合作方的物質技術條

件所完成的，一切與甲方業

務、產品、程序與服務有關的技術成果，包括但不限于發現、發

明、思路、概念、過程、

產品、方法和改進或其一部分，不論是否可以或已經受到知識產

權法律保護，不論以何

種形式存在，均為職務技術成果，其所產生的所有權利包括知識

產權歸甲方、甲方合作

方單獨或共同所有。未經甲方書面許可不得以乙方和/或其它任何J

第三方的名義申請專利或

者版權登記。

7.1.1.1.5乙方在結束與甲方的勞動合同關系一年內，若有繼續完

成與在甲方工作期間所擔任的課

未經許可，不得擴散

文件密級：內部公開

7.1.1.1.6對于甲方實施、轉讓、許可他人使用職務技術成果或者

將職務技術成果投入其它商業用

途而引起的收益或者損失，乙方不提出任何權利主張也不承擔任

何責任。但由于乙方職

務技術成果固有的缺陷或者乙方在實施該職務技術成果的失誤造

成的損害，乙方應承擔

責任。

7.1.1.1.7乙方承認所有在與甲方勞動關系存續期間產生或者接觸

到的甲方提供的或通過甲方獲

取的有關資料及其它信息載體都屬于甲方所有，未經甲方書面許

可，不得向任何第三方

提及、出示及傳播。

7.1.1.1.8乙方承諾不向他人談論甲方尚未對外公布的業務和技術

發展動態。乙方承諾不設法獲取

非本人工作所需的甲方保密的技術資料、技術文件和客戶檔案材

料以及非本人工作所需

的甲方內部及對外的商業文件。乙方進一步承諾不利用甲方的客

戶及渠道為自己或他人

謀求利益。

7.1.2商業秘密

7.1.2.1符合法律法規有關規定或根據甲方與第三方簽署的協議由

甲方所有、使用、支配、提供

的具有商業價值的，非公知的并由甲方采取了保密措施的所有技

術信息和/或經營信息。

7.1.2.2甲方在開發、銷售各類計算機軟件產品以及為各類軟件產

品提供技術支持、信息咨詢服

務及培訓的過程中，或是接受指派為本協議所面向的派駐合作方

提供外包服務期間,本

方和合作方所獨有的機密、專有技術及商業秘密性質的情報均簡

稱為〃商業秘密〃。

7.1.2.3甲方的商業秘密包括但不限于檔案資料、技術資料、市場

銷售資料、財務信息資料以及：

7.1.2.4甲方及派駐合作方開發或銷售的所有軟件，以及與此類軟

件有關的文檔：包括程序的源

編碼、目標碼部分、視聽部分、人工或機器可讀形式程序部分，

還包括圖表、流程圖、

樣圖、草圖、技術說明、設計圖數據教材、有關病毒的報告及客

戶資料。

7.1.2.5甲方的業務計劃、產品開發計劃、財務情況、內部業務規

程和客戶名單等信息；以及正

在開發或構思之中的商業思想、業務和技術發展動態、系統安全

機制與實現等方面的信

息、數據以及計算機數據庫、資料、源程序、目標程序、計算機

軟件等；

7.1.2.6甲方現有的以及正在開發或者構思之中的服務項目的信息

和資料；

7.1.2.7甲方現有的或者正在開發之中的質量管理方法、定價方法、

銷售方法等方法；

7.1.2.8甲方應對第三方負有保密責任的所有第三方的機密信息；

7.1.2.9甲方的股東資料、投資背景等以及其它被甲方標明或聲明

為秘密的信息。

文件密級：內部公開

7.1.2.10乙方承諾在與甲方的勞動合同關系存續期間以及解除后

二年內，保守甲方商業秘密，未

經甲方書面許可，不向任何第三方以任何明示或者暗示的方式透

露，包括與商業秘密無

關的其它甲方雇員在內。乙方承諾不設法獲取非其工作所必需的

任何形式的甲方的商業

秘密，并不得利用與甲方工作關系為自身謀求利益。

7.1.2.11除用于甲方安排或者委托的工作之外，乙方不得將商業

秘密信息用于其它任何目的。在

使用完畢之后,乙方應立即向甲方交還或者按照甲方的要求銷毀

商業秘密的載體，包括

但不限于文件、磁盤、光盤、計算機內存等。

7.1.2.12乙方只能在因工作需要必須使用的情況下提供給其它可

靠的員工，并應事先與其簽署與

本協議充分相似的保密協議，提供程度僅限于可執行一定的商業

目的。并保證這些員工

應遵守本協議中約定的義務，不在無甲方及派駐合作方許可的前

提下，向第三方（包括

顧問）透漏這些秘密信息，并應約束其接觸本保密信息的員工遵

守保密義務。

7.1.2.13如為合作的目的確實需要向第三方披露甲方及派駐合作

方的保密信息，需事先得到甲方

及派駐合作方的書面許可，并與該第三方簽訂相應的保密協議。

7.1.2.14如果乙方根據法律程序或行政要求必須披露〃商業秘

密“，應事先通知甲方及派駐合作

方，并協助公司采取必要的保護措施，防止或限制保密信息的進

一步擴散。

7.1.2.15乙方應按照甲方要求對商業秘密或其載體進行妥善地保

管、存儲、加密、回收、銷毀等。

未經甲方許可或非因工作需要，乙方不得將商業秘密信息或其載

體帶出甲方住所。

7.1.2.16在與日方的勞動合同關系中止、終止或解除時，乙方應

將所有包含、代表、顯示、記錄

或者組成商業秘密的原件及拷貝，包括但不限于裝置、記錄、數

據、筆記、報告、建議

書、名單、信件、規格、圖紙、設備、材料、磁盤、光盤等，歸

還甲方。

7.1.2.17員工在簽署勞動合同以后必須簽署保密協議。

7.1217員工職位晉升為PL、PM、SE等關鍵崗位，業務技能達

到公司及BBB公司認可的三級及

以上級別的，都必須與BBB公司簽署保密協議，各方都應切實遵

守保密協議中約定的保

密義務。

7.2人員背景審查

目的：保障三級及以上工作崗位人員所掌握的信息安全。

7.2.1審查流程

7.2.1.1員工再進入三級及以上工作崗位時，由人力資源部和用人

部門共同開展對人員背景的調

查。

7.2.1.2具體調查內容：身份審查、學歷審查、工作履歷審查、信

用度審查、職業道德審查、職

業背景審查、忠誠度審查。

7.2.1.3審查標準：審查的資料完整性、真實性，審核身份證原件、

畢業證原件、各種技能職稱

原件的真實性,是否相互吻合。

7.2.2員工背景調查表

人員背景調查表

基本信息

被調查者姓名性別

身份證號碼戶口所在地

出生日期年齡

身份驗證

被調查者的身份內容真實性說明

身份證號碼是（）否（）

年齡是（）否（）

戶口所在地是（）否（）

驗證來源：

學歷驗證

被調查者提供信息真實性說明

學校名稱是（）否（）

學習時間是（）否（）

所學專業是（）否（）

證明人/機構：職位：

專業資格驗證

被調查者的身份內容真實性說明

認證機構是（）否（）

獲得認證時間是（）否（）

認證內容是（）否（）

證明人/機構：

工作履歷驗證

被調查者的身份內容真實性說明

雇主公司名稱是（）否（）

雇主公司注冊地是（）否（）

雇傭時間是（）否（）

直接上司職務是（）否（）

被調查者是否與貴公司

是（）否（）

有勞動爭議

被調查者是否存在信息

是（）否（）

安全違紀違規行為

證明人：職務：調查時間：

7.3員工培訓

目的：宣傳、普及信息安全制度，增強員工的信息安全意識。

培訓對象：新員工、在職員工

培訓方式：授課+考核

7.3.1培訓周期

7.3.1.1新員工：所有部門新員工在入職當天由人力資源培訓部組

織信息安全制度培訓，培訓簽到表

歸檔。培訓結束后在一周之內組織信息安全考試，考試及格線為

23分（25分制）,

并將考試簽到表、考試成績進行歸檔。

73.1.2在職員工：所有部門在職員工每半年組織一次信息安全培

訓，培訓簽到表歸檔。培訓結束后

在一周之內組織信息安全考試，考試及格線為23分（25分制），

并將考試簽到表、

考試成績進行歸檔。

7.3.2培訓效果檢查

7.3.2.1定期以業務部門、項目組為單位進行信息安全知識檢查，

對檢查結果低于90%的部門、

團隊進行再次的全員覆蓋培訓并組織考試，對培訓簽到表、考試

簽到表、考試成績歸檔

并通知部門主管。

73.2.2不定期對FBI場地內的研發人員進行信息安全知識的抽檢,

對J由查成績低于23分（25

分制）的員工組織培訓并考試，對培訓簽到表、考試簽到表、考

試成績歸檔并通知業務

部門直接領導和部門主管。

7.4人員離職

目的：保證離職人員不帶走公司任何信息資產。

7.4.1離職人員信息交接流程

7.4.1.1員工離職前,公司與離職員工簽署離職保密承諾。

7.4.1.2員工離職前公司將收回所有的工作資料的紙件、電子件及

員工擁有的相關信息系統和資源

的訪問使用權限。

7.4.1.3員工離職前收回員工門禁磁卡及工作證。

7.4.1.4員工在其離職兩年內仍要按照進公司時簽訂的合同，承擔

下列保密責任，否則將承擔違約

的民事或刑事責任。

7.4.1.5不帶走從公司獲取的任何資料，包括但不限于記載的紙件

或電子件上的文檔、文件、圖表、

目錄，存儲于磁盤、光盤上的軟件、程序等。

7.4.1.6離職后兩年內不得到與XXX公司或與客戶公司有競爭關系

的公司從事與在XXX公司工作

期間工作性質相同或者相似的工作。

7.4.1.7未經XXX公司書面同意，不向任何單位和個人透露或使用

在公司就職期間獲得的商業秘

密，包括技術秘密、商務秘密、財務秘密、管理秘密以及其它經

營秘密。

7.5違規處理

目的：建立正式的違規處理流程，對違反信息安全管理規定的員

工進行相應處理。

7.5.1信息安全違規級別

對于觸犯國家法律的，公司將移交國家司法機關依法處理。此外，

則根據違規行為的后果、性質以

及違規人的主觀意愿，將違規行為分為如下四個等級：

一級：有意盜竊、泄露公司保密信息，或有意違反信息安全管理

規定，性質嚴重造成重大損失。

二級：有意違反信息安全管理規定，性質嚴重或造成損失。

三級：無意違反信息安全管理規定，造成公司損失；或者有意違

反信息安全管理規定，但性質不嚴重且沒有造成嚴重損失。

四級：違反信息安全管理規定，性質較輕，沒有造成公司損失。

7.5.2信息安全違規處理流程

任務名稱

事故定級

組織信息安全工組會議

執行解決措施

總結報告與預防措施

信息安全違規處理流程V1.0

人物、程序、重點及標準時限相關資料

程序

業務部門發生信息安全事故以后，項目組信息安全員

即時

應在第一時間向信息安全專員進行匯報

信息安全工作組核實情況后，對事故進行定級1個工作日

1、參考國家相關法律信息安全主任對事故級別審核1個工作日

2、公司人事制度BBB信