最新ISO27001信息安全管理體系全套文件(手冊+程序文件+作業規范)系程序文件目錄文件編號文件名稱事故事件薄弱點與故障管理程序企業商業技術秘密管理程序信息安全人員考察與保密管理程序信息安全懲戒管理程序信息安全適用性聲明信息安全風險評估管理程序內審管理程序惡意軟件控制程序更改控制程序物理訪問管理程序用戶訪問控制程序管理評審控制程序系統開發與維護控制程序系統訪問與使用監控管理程序計算機賬戶及密碼管理程序文件和資料管理程序重要信息備份管理程序預防措施程序文件編號文件名稱防火墻安全管理規定介質銷毀管理規定信息機房管理制度信息中心安全事件報告和處置管理制度信息中心密碼管理制度信息系統訪問權限說明檔案鑒定銷毀工作規定移動介質使用管理規定復印室管理制度重要文件加密解密管理制度*****有限公司文件名稱頁碼文件編號為建立一個適當信息安全事故、薄弱點、故障風險處置的報安全事故和故障所造成的損失，采取有效糾正與預防措3.1各系統歸口管理部門主管相關安全風險的調查、處理及糾正措施管理。3.2各系統使用人員負責相關系統安全事故、薄弱點、故障和風險的評價、處置報告。4.1信息安全事故定義與分類：4.1.1信息設備故障、線路故障、軟件故障、惡意軟件危害、人員故意破壞或工作失職等原因直接造成下列影響(后果)之一，均為信息安全事故：b)服務器停運4小時以上；4.1.2信息設備故障、線路故障、軟件故障、惡意軟件危害、人員故意破壞或工作失職等原因直接造成下列影響(后果)之一，屬于重大信息安全事故：b)服務器停運8小時以上；4.1.3信息安全事件包括：d)未產生惡劣影響的物理進入的違規*****有限公司文件名稱頁碼文件編號4.2故障與事故的報告渠道與處理4.2.1故障、事故報告要求a)各個信息管理系統使用者，在使用過程中如果發現軟硬件故障、事故，應該向該系統歸d)發生重大信息安全事故，事故受理部門應向信息安全管理者代表和4.2.2故障、事故的響應當措施：a)報告者應保護好故障、事故的現場，并采取適當的應急措施，防止事態的b)按照有關的故障、事故處理文件(程序、作業手冊)排除故障，恢復系統或服務，必要5.2《信息密級劃分、標注及處理控制程序》6記錄保存期限6.1《信息安全風險評估報*****有限公司文件名稱頁碼文件編號6.2《糾正/預防措施申請書》6.3《信息安全事故調查處理報告》6.4《信息安全薄弱點報告》*****有限公司文件名稱頁碼文件編號略計劃；制訂業務持續性管理實施計劃并實2相關文件2.1《信息安全管理手冊》2.2《信息資產的識別與風險評估管理程序》2.3《事故、薄弱點與故障管理程序》3.1公司常務副總經理負責公司業務中斷的恢復的總指揮與總協調。3.2集成部負責編制、修訂公司業務持續性管理程序，并協調、推進公司業務持續性管理活3.4技術部負責項目實施過程中設備及軟件系統的故障處理及與之相關的作業中斷的恢復。3.5集成部負責后勤系統設備及網絡系統的故障處理及與之相關的作業中斷的恢復。3.6行政部負責本部門管理系統及與之相關的作業中斷的恢復。4工作程序4.1業務持續性管理過程*****有限公司文件名稱頁碼文件編號4.2業務持續性和影響的分析4.2.1公司在首次信息安全風險評估后進行業務持續性和影響的分析。4.2.2業務持續性和影響的分析由集成部組織，技術部、行政部、生產部及管理者代表指定的相關部門分別開展以下活動：a)對本部門的信息安全進行風險評估；b)識別出對本部門業務持續性造成嚴重影響的主要事件，如設備故障、火災等；c)分析這些事件一旦發生對公司業務活動造成的影響和損失，以及恢復業務所需費用等；d)編寫本部門《業務持續性和影響分析報告》(格式見ISMS-4341)。4.2.3《業務持續性和影響分析報告》應包括以下內容：a)識別關鍵業務的管理過程；b)可能引起公司業務活動中斷的主要事件；c)主要事件對本部門管理的信息系統的影響；d)信息系統故障或中斷對公司業務活動的影響；e)關于系統恢復或替換的費用考慮。5記錄5.1《業務持續性和影響分析報告》5.2《業務持續性管理戰略計劃》5.3《業務持續性管理實施計劃》5.4《業務持續性管理計劃測試報告》5.5《業務持續性管理計劃評審報告*****有限公司文件名稱頁碼文件編號第一條為保障公司的合法權益，充分發揮作為公司重要資產的技術秘密、商業秘密的效益，鼓勵員工不斷創造并自覺維護技術秘密、商業秘密的積極性，根據《知識產權管理總則》制訂本制度。第二條公司技術秘密、商業秘密的管理目標；技術秘密、商業秘密是本公司擁有的知識產權的組成部分，是公司的重要資產。要在公司內牢固樹立技術秘密、商業秘密的保護意識；技術秘密、商業秘密的管理貫穿研究開發、生產和經營的全過程。明確商業秘密的界定和保護。第三條公司內的相關管理制度、合同、記錄等文獻所有文件均屬于商業機密。第二章技術秘密、商業秘密的定義、確立和管理機制第四條.本制度所稱的技術秘密、商業秘密，是指由公司員工在職務范圍內創造或履行職務產生的、經公司知識產權管理部門認定并采取了保密措施、只在公司一定范圍內流傳的、具有商業價值的所有信息或成果。這些信息或成果以各種紙質材料、照片、錄像和計算機等數字存儲設備為載體而能夠為人所感知。具體包括：1.技術秘密。包括：公司現有的或正在開發或者構思之中的或經過技術創新確定不宜于申請專利的營銷方案，管理制度；2.經營信息包括：公司的市場營銷計劃、廣告宣傳方案、銷售方法、供應商和客戶名單、客戶的專門需求、未公開的銷售服務網絡以及公司現有的、正在開發或者構思之中的經營項目等信息及其承載物；3.依據法律和有關協議對第三方負有保密責任的第三方商業秘密。第五條.確定為技術秘密、商業秘密的信息及其承載物，歸公司所有。第六條.技術秘密、商業秘密的確定程序：1.由參與藥品研發創新，研發部就某一項或幾項信息，向公司行政管理部門申報；2.行政董事接到申報后采取：a)指定參與者中一人專門保管成果或信息的承載物，可以采取加密措施。被指定人一般是項目或業務負責人或菜肴創造者本人；b)向公司常務董事匯報并提出是否構成技術秘密、商業秘密建議。必要時會同指定人向公司常務董事匯報；c)公司行政董事在接到知識產權管理部門的匯報后應立即作出是否確定為技術秘密、商業秘密的決定；d)對于被確定為技術秘密、商業秘密的信息或成果，按照本制度第三章和第四章的有關規定具體落實管理措施。e)技術秘密、商業秘密的確定遵循隨時產生隨時確定的原則，實行動態管理；第七條商業秘密管理機制。公司決策層負責技術秘密、商業秘密的整體工作。及時、高效地作出審核、批準、否決等工作，定期檢查各部門的保密工作，作出獎懲決定。公司下屬部門的負責人負責本部門的日常技術秘密、商業秘密管理和保護工作。定期檢查本部門的保密工作，配合支持知識產權管理部門履行公司技術秘密、商業秘密保護工作。知識產權管理部門是公司技術秘密、商業秘密保護工作的職責機構，具體操作落實與協調商業秘密保護文件名稱頁碼文件編號的各項工作.公司全體員工是技術秘密、商業秘密保護的實施者。全體員工應當牢固樹立知識產權意識，自覺維護公司的商業秘密。第三章技術秘密、商業秘密及其承載物的管理第八條根據本制度第六條的規定，被決策層確立為技術秘密、商業秘密的信息或成果，由知識產權管理部門確立密級和保密期限。密級劃分的標準、保密期限的確立，要參考該信息或成果同公司業務的聯系程度、與同行業競爭的影響力度、是否為公司運營的關鍵等因案，由知識產權管理部門劃定。商業秘密的申報人應當提供意見。第九條按照技術秘密、商業秘密需要保密的程度，參考第八條的標準，技術秘密、商業秘密分為三級；絕密、機密、保密。引外，對于不宜于對外的信息，由行政管理部門確立為“內部使用”的資料，參照本制度做好保密工作。絕密——是指一旦泄漏會使公司遭受嚴重危害和重大損失的信息或成果，包括；公司核心管理秘密、技術訣竅、財務報表、藥品研發工藝、特殊化合同。機密——是指理一旦泄漏會使公司遭受危害和較大損失的信息，包括：產品開發、市場營銷等各類工作計劃、公司內部重要文件。保密——是指一旦泄漏會使公司遭受損失的信息，包括；藥品銷售情況，用戶名單及其分布，用戶需求信息，限于一定范圍閱讀的公司內部文件等。內部使用的信息或成果——是指一旦泄漏會對公司業務產生一定不良影響的可能的信息或成果，只限于內部員工閱讀的公司內部文件。第十條.保密資料由專人負責管理。公司財務部對交接來的技術秘密、商業秘密檔案材料，根據其密級于檔案卷宗封面加蓋保密印章，登記、編號后統一放置保密資料專門存放處保存，并建立臺帳登記，重要的資料柜實行雙鑰匙制度。公司各部門要設立保密資科柜，用于存放各部門經常運用的或暫時無法交存公司財務部門保存的技術秘密、商業秘密檔案材料，該資料拒應由專人管理。第十一條.商業技術機密材料的借閱，必須經公司行政董事批準，確定借閱時間，使用后立即歸還，不得延期，更不得交與他人使用。第十二條.商業技術機密材料的復印，必須經公司行政董事批準后，由專人(理應是財務部經理)復印，未見公司行政董事批準意見，一律不得復印。復印由專人負責，復印期間不得向他人泄漏，復印后應當立即將復印稿和原稿交還申請復印人，廢稿要立即銷毀，不得留存或隨意丟棄。第四章技術秘密、商業秘密的保障措施第十三條在本公司進行技術創新過程中，任何研發項目從立項之日起，圍繞該項目的研發活動進入技術秘密、商業秘密保護范圍內，產生的任何信息或成果，不論最終產生的知識產權形式如何，均作為公司的技術秘密、商業秘密進行保護。第十四條對于在研發過程中被確定為技術秘密、商業秘密的信息，由于處在不斷發展改進的狀態下，其檔案材料可以經公司知識產權主管領導批準后保留在本部門，但必須設專門存放處保存，以計算機等保*****有限公司文件名稱頁碼文件編號研發中的階段性成果，必須形成檔案材料，依照保密措施保存，直到最終成果形成后，將各階段成果形第十五條對于開發完成的技術創新成果，除從本公司專利戰略及經營實際出發需要公開的以外，經過論專門保存檔案資料等的工作。參與技術創新的有關人員，在開發項目進行中，第十六條公司所有員工有義務保護公司技術秘密、商業秘密的安全。所有員工對于公司技術秘密、商業第十七條員工在公司工作期間，因工作需要使用公司的技術秘密、商業秘密及其承載物，應按照要求的范圍和程度使用，不得將實物、資料等擅自帶離工作崗位，未經書面同意，不得隨意進行復制、交流或第十八條員工在參加任何級別的學術交流活動、產品訂貨會、技術鑒定會等會議或活動時，必須注意保護公司的技術秘密、商業秘密，用以交流的文檔或資料事先要經過上級審查批準。第十九條.公司在對外發布新產品信息和廣告時，要注意避免泄漏公司的技術秘密、商業秘密。重要的新產品宣傳、廣告文第二十條公司在接受外公司人員的實習、合作研究、學習進修等工作時，對公司的技術秘密、商業秘密第二十一條員工因工作需要或其他原因(包括離職、辭職、退休、開除等)調離原工作崗位或離開公司，應將接觸到的所有包含職務開發中技術秘密、商業秘密的數據、文檔等的記錄、模型、軟磁盤、光盤及第五章技術秘密、商業秘密效益發揮的保證措施第二十二條公司在對外的技術合作過程中，以技術秘密、商業秘密為標的或其他技術合同商業秘密許可的，對于技術秘密、商業秘密委托符合執業要求的中介機構完成，并通過合同約定嚴格的保密措施。明確雙方的第二十三條公司員工在主持或參與對外業務談判時要遵守公司的保密紀律。涉及公司商業秘密的談判，第二十四條在技術合作中產生的技術成果，其知識產權形式的確定和歸屬由合同約定，凡以技術秘密、第二十五條因員工開發或參與開發的技術創新項目、新產品技術或創造發明而形成的商業秘密，在對外第二十六條本公司所有正式，試用，兼職，實習員工無條件遵守*****有限公司文件名稱頁碼文件編號本程序適用于公司與IT相關各類信息處理設施(包括各類軟件、硬件、服務、傳輸線路)的引進、本程序通過對技術選型、驗收、實施、維護等過程中相關控制的明確規定來確保引進的信息處理設2信息處理設施的分類2.2業務管理系統、財務管理系統，包括2.3辦公用計算機設備，包括所有辦公室、會議室內的計算機、打印機，域控制服務器，DN3.1XX部主要負責全公司與IT相關各類信息處理設施及其服務的引進。包括制作技術規格書、進行技4信息處理設施的引進和安裝4.1引進依賴各部門必須采購的信息處理設施、外包開發信息系統項目或外包信息系統服務，得到本部門經理的批準后，向XX部提交申請。XX部以設備投資計劃，技術開發計劃為依據，結合對*****有限公司文件名稱頁碼文件編號本公司禁止員工攜帶個人或私有信息處理設施(例如便攜式電腦、家用電腦或手持設備PDA等)處4.2進行技術選型XX部負責對購入的信息處理設施的技術選型，并從技術角度對供應4.3編寫購入規格書XX部根據要求，負責編寫即將購入的信息處理設施的購入關設施的性能(包括安全相關信息)、兼容性等要求，由XX部主管審批。4.4定貨4.5開箱檢查，安裝、調試，驗收a)開箱檢查設備到貨后，xx部應負責開箱檢查，依照購買規格書和裝箱單核對數量及物品，確認有無損壞并記b)安裝、調試引進的設施到位后，根據合同要求，由相關人員進行安裝、調試。在實施調試過程中出現的問題，c)驗收驗收原則上由XX部實施，必要時可要求相關部門參加。驗收的合格d)驗收合格后，可向相關的使用部門移交。*****有限公司文件名稱頁碼文件編號5.1計算機設備管理5.1.2各部門配備的計算機設備應與本部門的日常經營情況相適應，不得配備與工作不相符的高檔次或不必要的計算機設備。辦公場所不配備多媒體類計算機設備，原則上部門經理以上配備筆記本電腦，因工5.1.4計算機使用部門填寫《物品領用單》,經過本部門經理簽字后提交行政部后領取計算機設備。計算機及附屬設備屬公司信息資產，在行政部備案。有關計算機設備所帶技術說明書、軟件由行政部保存。使用部門的使用人應妥善保管計算機及附屬設備，公用計算機設備由使用部門經理指定專人負責使用管5.1.5離職時，應將計算機交還XX部，由XX部注銷賬戶。5.2計算機設備維護5.2.1計算機使用部門應將每部計算機落實到個人管理。計算機使用人員負責計XX部按照《惡意軟件控制程序》要求進行5.2.2計算機使用部門發現故障或異常，可先報公司XX管理員處理，如其無法解決，則由XX管理員填5.3計算機調配與報廢管理5.3.1用戶計算機更新后，原來的計算機由XX部根據計算機的技術狀態決定調配使用或予以報廢處理。5.3.2含有敏感信息的計算機調配使用或報廢前，計算機使用部門5.3.3調配部門內部的調配由使用部門自行處理，并通知XX部進行計算機配置變更，變更執行《更改控制程序》。*****有限公司文件名稱頁碼文件編號5.4報廢處理5.4.1計算機設備采用集中報廢處理。報廢前由XX部向行政部提出報廢，經審核后由XX部實施報廢。5.4.2XX部按照批準的處置方案進行5.5筆記本電腦安全管理5.5.1筆記本電腦應由被授權的使用人保管；對于需多人共用的筆記本電腦，應由部門負責人指定專人保5.5.2筆記本所帶附件應由使用者本人或部門負責人指定專人保管。5.5.4筆記本電腦在移動使用中，不能隨意拉接網絡，需通過填寫《用戶授權申請表》向XX部提前提出5.6計算機安全使用的要求5.6.2使用計算機時應遵循信息安全策5.6.4新域用戶名為用戶姓名的拼音(有重名時另設),初始缺省密碼為XXXXX。用戶在第一次登錄系統時應變更密碼，密碼需要設置在6位以上(英文字母、數字或符號組合的優質密碼)并注意保密。5.6.5各人使用自己的賬戶登錄，未經許可不得以他人用戶名登錄。若用戶遺忘密碼，應及時向研發部5.6.7計算機的軟硬件設置管理由研發部進行，未經許可，任何人不得更換計算機硬件和軟件。5.6.8研發部負責初始軟件的安裝，公司嚴禁個人私自安裝和更改任何軟件。計算機用戶的軟件安裝與5.6.9嚴禁亂拉接電源，以防造成短路5.6.10計算機桌面要保持清潔，不得將秘密和(或)受控文件直接放置在桌面；計算機桌面必須設置屏幕保護，恢復時需用密碼確認(執行密碼口令管理規定)。鎖屏時間可根據自己工作習慣設置鎖屏時間，但最高不得高于5分鐘。各部門負責人進行監督。*****有限公司文件名稱頁碼文件編號5.7網絡安全使用的要求5.7.2對內設置必要的路由器防火墻，采用HTTP、FTP的連接方式，捆綁固定IP地址防止權限濫用。6信息處理設施的日常點檢6.1計算機的日常點檢6.2網絡設備的管理與維護點檢的流程、責任、項目、點檢周期和記錄表由XX部負責，特別的，在點檢中應包括對MAIL的6.3點檢策略6.3.1所有存在于計算機、網絡設備上的服務、入侵檢測系統、防火墻和其他網絡邊界訪問控制系統的6.3.3審核日志必須由該系統管理員定期檢查，特權使用、非授權訪問的試圖、系統故障和異常等內容6.3.4入侵檢測系統必須處于啟動狀態，日志保存一定的期限，定期評審異常現象，對所有可疑或經確設備類型日志內容保存周期檢查周期對外提供服務的a)用戶標識符(ID);b)登錄和注銷事件；c)若可能，終端位置；≥6個月≤2周直接用于設計、存儲、≥12個月≤2周≥6個月≤5周*****有限公司文件名稱頁碼文件編號≥6個月≤5周≥6個月≤5周防火墻和系統配置更改日志≥1個月≤5周訪問日志(方向、流量)≥1個月≤5周a)用戶標識符(ID);b)登錄和注銷事件；c)終端位置；≥1周≤1周入侵檢測系統異常網絡連接的時間、IP、≥3個月≤5周遠程訪問系統a)用戶標識符(ID);b)登錄和注銷事件；c)終端位置；≥3個月≤5周6.3.6XX部網絡管理員根據系統的安全要求確認其日志內容、6.3.7XX部網絡管理員配置日志系統，并定期檢查日志內容，評審安全情6.4資料的保存6.4.1設備的技術資料由設備所在的部門交由行政部保存并建立《受控文件和資料發放清單》,以備日后6.4.2設備廠商對設備進行維修后提供的維修(維護)記錄單，由XX部保存，以備日后查詢。6.5網絡掃描工具的安全使用管理6.5.1對網絡掃描工具的使用，必7其它要求涉及應用系統軟件的開發(包括外包軟件開發)的項目，還需執行《系統開發與維護控制程序》的*****有限公司文件名稱頁碼文件編號8相關文件保存部門*****有限公司文件名稱頁碼文件編號1適用本規定適用于本公司的正式員工和借用員工聘用、任職期間及離職的安全考察與保密控制以及其他相關人員(合同方、臨時員工)的安全考察與控制。2目的為防止品質不良或不具備一定技能的人員進入本公司，或不具備一定資格條件的員工被安排在關鍵或重要崗位，降低員工所帶來人為差錯、盜竊、欺詐及濫用設施的風3職責3.1行政部負責員工聘用、任職期間及離職的安全考察管理及保密協議的簽訂及其他相關人員(合同方、臨時員工)的安全考察與控制。4員工錄用4.1人員考察策略4.1.1所有員工在正式錄用(借用)前應進行以下方面考察：b)應聘者學歷、個人簡歷的檢查(完整性和準確性);4.2對錄用(借用)人員的考察4.2.1行政部對擬錄用(借用)人員重點進行以下方面考察：b)根據應聘者人事經歷的記載，了解是否有重大懲戒及犯罪記錄；*****有限公司文件名稱頁碼文件編號d)了解其從事的專業和具備的技術水準，是否符合該崗位的崗位說明書。4.2.3在考察中發現應聘者存在不良傾向的，將不予錄用(借用)。5.3部門在員工離職后要采取相應的技術防范措施(如變更口令、程序等),必要時應與信息科技部協調。5.4公司和部門要做好員工離職的教育工作，告知其離職后，不得向第三方泄露其在6離職程序6.1員工必須在離職日前30天向本部門部長提出書面離職報告。意見后送行政部。6.3行政部在《員工特別事項處理意見表》上簽署意見后，報行政部部部長、分管副6.4員工離職得到批準，由部門通知離職員工來人事科辦理離職手續。離職員工在離職日前必須把擔當的部門工作移交完畢。6.5辦理離職手續6.5.2離職員工按《員工離公司手續單》的內容至公司各部門辦理移交手續，各相關部門負責按照《用戶訪問控制程序》取消離職員工的訪問權限。*****有限公司文件名稱頁碼文件編號6.5.3離職員工移交完畢后，由行政部將《退工通知單》和員工的《勞動手冊》交于離職者。6.5.4技術部門員工離職必須簽訂ISMS-4375《雙邊保密協定》。6.5.5員工離職后如發生泄密情況，應承擔由此涉及的法律責任。7相關/支持性文件7.1《用戶訪問控制程序》7.2《秘密管理規程》7.3《人事工作審批程序》8記錄8.1《應聘申請表》8.2《崗位調整審查表》8.3《員工特別事項處理意見表》8.4《員工離公司手續單》8.5《雙邊保密協定》*****有限公司文件名稱頁碼文件編號無*****有限公司文件名稱頁碼文件編號5.1計算機信息系統的安保5.1.1在計算機信息系統安全保護工作中成績顯著的單位和個人，由人事部給予表彰、獎勵。5.1.2存在計算機信息系統安全隱患，由人事部發出整改通知，限期整改。因不及時整改而發生重大事故和案件的，由市行對該單位的主管負責人和直接負責人予以行政處分；構成違反治安管理或者違反計算機管理監察行為的，由公安機關依法予以處罰；構成犯罪的，由司法機關依法追究刑事責任。注：以上條款由本公司信息安全委員會負責解釋。*****有限公司文件名稱頁碼文件編號5.2計算機應用與管理違規行為處罰規定5.2.1計算機應用、維護及操作人員違反規定的，給予經濟處罰或者警告至降級處分；造成嚴重后果的，給予撤職至開除處分。5.2.2違反規定，擅自編制、使用、修改業務應用程序、調整系統參數和業務數據的，給予主管人員和其他責任人員記過至撤職處分；造成嚴重后果的，給予主管人員和其他責任人員留用察看至開除處分。5.2.3利用計算機進行違法違規活動或者為違法違規活動提供條件的，給予主管人員和其他責任人員記過撤職處分；造成嚴重后果的，給予留用至開除處分。5.2.4違反規定，有下列危害網絡安全公司為之一的，給予有關責任人員經濟處罰或者警告至記過處分；造成嚴重后果的，給予記大過至開除處分：(a)在生產經營用機上使用與業務無關的軟件或者利用通訊手段非法侵入其他系統和網絡的(含從的一個業務系統進入另一個業務系統，從以外的系統和設備侵入業務網絡系統，以及從的業務網絡系統進入以外的網絡系統);(b)未經審批，私自使用內部網絡上的計算機撥號上國際互聯網的；(c)將非計算機設備接入網絡系統的；(d)私自卸載或屏蔽計算機安全軟件的；(e)私自修改計算機操作系統、網絡系統安全設置的；(f)未經審批，私自在網絡系統內開設游戲網站、論壇、聊天室等與工作無關的網絡(g)利用郵件系統傳播損害形象的郵件的。5.2.5利用的計算機設備和網絡系統制造、傳播計算機病毒，給予主管人員和其他責任人員記過至記大過處分；造成嚴重后果的，給予主管人員和其他責任人員降級至開除處分。5.2.6計算機房值班人員擅自離崗的，給予經濟處罰或者警告處分；造成嚴重后果的，給予記過至開除處分。5.2.7系統管理和操作人員離開主機或者終端時沒有按操作規程退出系統的，給予經濟處罰或者警告至記過處分；造成嚴重后果的，給予記大過至開除處分。5.2.8違反規定將屬于的計算機軟件、文檔、資料、客戶信息等據為己有、復制或者借給外單位的，給予有關責任人員記過至撤職處分；造成嚴重后果的，給予留用察看至開除處分。*****有限公司文件名稱頁碼文件編號5.2.9未按規定進行數據備份、沒有妥善保管備份數據或備分數據無效的，給予主管人員和其他責任人員經濟處罰或者警告至記過處分；造成嚴重后果的，給予記大過至開除處分。5.2.10在對面向客戶的業務應用系統管理中，從事后臺維護的技術人員，違反規定同時進行前臺技術維護的，給予主管人員和其他責任人員記過至記大過處分；造成嚴重后果的，給予降級至開除處分。5.2.11在業務應用系統有關的各項業務操作過程中，技術人員代替業務人員操作，或業務員允許技術人員代替從事業務操作，給予主管人員和其他責任人員記過至開除處分。5.2.12偽造信息的，給予主管人員和其他責任人員警告至降級處分；造成嚴重后果的，給予撤職至開除處分。*****有限公司文件名稱頁碼文件編號5.3計算機信息類違規處罰5.3.1本公司職工違規操作，給系統造成一定的影響，但沒有影響業務正常運行或對業務造成輕微危害者，給當事人警告或嚴重警告、情節較重或嚴重者，視情節輕重給予當事人和主管領導200元以上1000元以下罰款。5.3.2本公司職工違規操作導致系統發生問題，影響業務長時間正常運行，視情況給予處罰，情節嚴重者，開除。5.3.3系統管理員凡是不按要求管理，出現公網和內網混網現象，或其它安全問題，一經發現，除全公司通報批評外，處以200元罰款，情節嚴重者，調離系統員崗位。5.3.4所有計算機使用用戶，違規私自修改網絡地址進入不該進入的業務網段、或使用內網主機進入internet網絡者，若對系統和業務未造成影響，除全公司通報批評外，處以當事人和相關責任人200元罰款，若對系統或業務造成影響著，視情節輕重，處以500以上10000元以下罰款。5.3.5凡是利用非法手段竊取系統密鑰，進入本公司業務系統，盜取客戶資料，向外界提供客戶資料并造成客戶損失或進入系統作案者，一經發現，立即開除，情節嚴重者，送交司法機關處置。*****有限公司文件名稱頁碼文件編號5.4獎懲記錄5.4.1系統管理員根據本公司獎懲管理規定，對獎懲的實施進行記錄并形成《獎懲記錄單》記錄完畢后由系統管理員進行留存。*****有限公司文件名稱頁碼文件編號5.5證據的收集5.5.1當信息安全事件涉及到訴訟(民事的或刑事的),需要進一步對個人或組織進行起訴5.5.2證據在收集時不得侵犯個人權益，應在不侵犯5.5.3應保證證據的質量和完備性，防止未被授權的篡改和泄5.5.4證據獲得的保證：本公司應確保收集證據其信息系統符合任何公布的標準或實用規則*****有限公司文件名稱頁碼文件編號5.6證據的保存及提供5.6.1提供證據的份量應符合任何適用的要求。對該證據的存儲和處理的整個時期內，應進行過程控制保證證據的質量和完備性。5.6.2紙面文檔證據的提供：原物應被安全保存且帶有下列信息的記錄：誰發現了這個文檔，文檔是在哪兒被發現的，文檔是什么時候被發現的，誰來證明這個發現；任何調查應確保原物沒有被篡改；5.6.3對計算機介質上的信息：任何可移動介質的鏡像或拷貝(依賴于適用的要求)、硬盤或內存中的信息都應確保其可用性；拷貝過程中所有的行為日志都應保存下來，且應有證據證明該過程；原始的介質和日志(如果這一點不可能的話，那么至少有一個鏡像或拷貝)應安全保存且不能改變5.6.4任何法律取證工作應僅在證據材料的拷貝上進行。所有證據材料的完整性應得到保護。證據材料的拷貝必須在可信耐人員的監督下進行，什么時候在什么地方執行的拷貝過程，誰執行的拷貝活動，以及使用了哪種工具和程序，這些信息都應記錄作為日志。《獎懲記錄單》*****有限公司文件名稱頁碼文件編號根據ISO/IEC27001:2013標準和公司實際管理需要，確定標準各條款對公司的適用性，特編適用于對ISO/IEC27001:2013標準于本公司的適用性管理。3.職責與權限3.1最高管理者3.2綜合部5.術語定義無*****有限公司文件名稱頁碼文件編號條款號目標/控制是否指引目標控制批準發布。的評審控制確保方針持續的適應性。條款號目標/控制是否目標管理組織內部信息安全。和職責控制保持特定資產和完成特定安全過程的所有信息安全職責分離控制范圍，以減少對組織資產未經授權訪問、無意修改或誤用的機會。與監管機構的聯系控制與相關監管機構保持適當與特殊利益團體的聯系控制項目管理中的信息安全控制實施任何項目時應考慮信辦公目標控制全措施管控使用移動設備遠程辦公控制系統的情況，需要進行安全控制。*****有限公司文件名稱頁碼文件編號條款號目標/控制是否目標控制件控制履行信息安全保密協議是聘用期間目標管理職責控制缺乏管理職責，會使人員意識淡薄，從而對組織造成負面安全影響。信息安全意識、控制信息安全意識及必要的信息系統操作技能培訓是信息安全管理工作的前提。懲戒過程控制化目標控制務在任用終止或變更后仍傳達并執行。條款號目標/控制是否資產責任目標對我司資產(包括顧客要求保密的數據、軟件及產品)進行有效保護。資產清單控制建立重要資產清單并實施制程序》資產責任人控制有者”制程序》序》資產的合理使用控制識別與信息系統或服務相并將其文件化，并予以實序》*****有限公司文件名稱頁碼文件編號條款號目標/控制是否資產的歸還控制所有員工和外部方人員應退還所有他們持有的組織序》序》目標我司根據信息的敏感性對信息進行分類，明確保護要分類指南控制我司的信息安全涉及信息的敏感性，適當的分類控制是必要的。南》信息標識控制南》資產處理控制類方法制定和實施資產處理程序序》目標防止存儲在介質上的信息被非授權泄露、修改、刪除控制我司存在含有敏感信息的告等可移動介質。控制當介質不再需要時，對含有敏感信息介質采用安全的控制護，防止未經授權的訪問、濫用或在運輸過程中的損壞。條款號目標/控制是否需求目標限制對信息和信息處理設施的訪問控制略，并根據業務和安全要求對策略進行評審。務的訪問控制制定策略，明確用戶訪問網非授權的網絡訪問。目標*****有限公司文件名稱頁碼文件編號條款號目標/控制是否訪問。用戶注冊和注銷控制應建立用戶登記和注銷登供控制有信息系統及服務的訪問。控制權不適當的使用會造成系用戶認證信息的控制應通過一個正式的管理過用戶訪問權限的評審控制對用戶訪問權限進行評審是必要的，以防止非授權的訪問。撤銷或調整訪問控制在跟所有員工和承包商刪除或調整其信息和信息處理設施的訪問權限○《人力資源安全管理程《相關方服務管理程目標確保用戶對認證信息的保護負責。認證信息的使用控制系統和應用訪問控制目標防止對系統和應用的未授權訪問信息訪問限制控制我司信息訪問權限是根據業務運做的需要及信息安問功能應加以限制。安全登錄程序控制控制為減少非法訪問操作系統的機會，應對密碼進行管特權程序的使用控制全。控制《軟件開發安全控制程*****有限公司文件名稱頁碼文件編號標準條款號標題目標/控制是否問控制行限制。條款號目標/控制是否加密控制目標密性、真實性、完整性。使用加密控制的控制 定》控制司對密碼技術的使用 定》條款號目標/控制是否安全區域目標防止對組織信息和信息處理設施的未經授權物理訪問、破壞和干擾。控制我司有包含重要信息及信息處理設施的區域，應確定其安全周界對其實施保護。物理進入控制控制未經授權的非法訪問會對辦公室、房間及設施的安全控制部、房間和設施應有特殊的安全要求。防范外部和環境控制范火災、水災、地震，以及其它形式的自然或人為災害。在安全區域工作控制在安全區域工作的人員只保證安全區域安全。《相關方服務管理程序》送貨和裝卸區控制問到的地點進行控制，防止外來人員直接進入重要安*****有限公司文件名稱頁碼文件編號條款號目標/控制是否設備安全目標防止資產的遺失、損壞、偷竊等導致的組織業務中設備安置及保護控制災、吸煙、油污、未經授權訪問等威脅。序》控制電力中斷或者其它支持設施故障而導致的中斷的影序》線纜安全控制通信電纜、光纜需要進行正常的維護，以防止偵聽和損壞。設備維護控制設備保持良好的運行狀態是保持信息的完整性及可序》資產轉移控制軟件帶到場所外。序》場外設備和資產安全控制我司有筆記本移動設備，離開正常的辦公場所應進行授權的訪問等危害的發生。序》設備報廢或重用控制對我司儲存有關敏感信息的設備，如服務器、硬盤，對其處置和再利用應將其序》控制桌面清空及清屏控制幕策略，會受到資產丟失、失竊或遭到非法訪問的威脅。標準條款號標題目標/控制是否操作程序及職責目標*****有限公司文件名稱頁碼文件編號條款號目標/控制是否序控制控制未加以控制的信息處理設備和系統更改會造成系統序》控制為避免因系統容量不足導致系統故障，監控容量需求并規劃將來容量是必須定》行環境的分離控制以降低未授權訪問或對操作系統變更的風險序》防范惡意軟件目標件。控制在的，應實施惡意代碼的監測、預防和恢復控制，以及適當的用戶意識培訓目標防止數據丟失控制份是必須的，以防止信息和軟件的丟失和不可用，日志記錄和監控目標事件日志控制立事件日志(審核日志)是定》日志信息保護控制日志記錄設施以及日志信息應該被保護，防止被篡定》管理員和操作者日志控制定》時鐘同步控制實施時鐘同步，是生產、經營與獲取客觀證據的需定》*****有限公司文件名稱頁碼文件編號條款號目標/控制是否制目標確保運營中系統的完整性。控制應建立程序對運營中的系統的軟件安裝進行控制。目標防止技術漏洞被利用。管理技術薄弱點控制及時獲得正在使用信息系統的技術薄弱點的相關信息，應評估對這些薄弱點的暴露程度，并采取適當的方法處理相關風險。限制軟件安裝控制安裝規則。的考慮因素目標最小化審計活動對系統運營影響。信息系統審核控制控制驗證所涉及的審核要求和活動并獲得許可，以最小化中斷業務過程。條款號目標/控制是否網絡安全管理目標網絡控制控制制，以保護系統和應用程網絡服務安全控制應識別所有網絡服務的安全機制、服務等級和管務協議中，無論這種服務是由內部提供的還是外包的。網絡隔離控制應在網絡中按組隔離信息服務、用戶和信息系統○目標確保信息在組織內部或與外部組織之間傳輸的安全。和程序控制應建立正式的傳輸策略、*****有限公司文件名稱頁碼文件編號標準條款號標題目標/控制是否控制建立組織和外部各方之間的業務信息的安全傳電子消息控制應適當保護電子消息的保密或不披露協議控制應制定并定期評審組織的信息安全保密協議或不披露協議，該協議應反條款號目標/控制是否信息系統安全需求目標部分，包括通過公共網絡提供服務的信息系統的要析和規范控制有信息系統的需求中應包括信息安全相關的要 公共網絡應用服控制應保護流經公共網絡的控制應保護應用服務傳輸中的信息，以防止不完整的傳輸、路由錯誤、未授權的消息修改、未經授權的泄漏、未授權的信息復制的安全目標確保信息系統開發生命周期中設計和實施信息安控制序控制為防止未授權或不充分的更改，導致系統故障與中斷，需要實施嚴格更改控操作平臺變更后的技術評審控制應用系統會造成嚴重的影軟件包變更限制控制文件名稱頁碼文件編號條款號目標/控制是否安全系統工程原則控制用安全系統工程原則，并控制在整個系統開發生命周期的系統開發和集成工作中，應建立并妥善保障開發環外包開發控制系統安全測試控制系統驗收測試控制級及新版本的驗收測試程測試數據目標測試數據的保護控制條款號目標/控制是否供應商關系的目標供應商關系的控制為降低供應商使用組織的資產相關的風險，應與供協議。中強調安全控制與每個供應商簽訂的協議中應覆蓋所有相關的安全要求。如可能涉及對組織的IT基礎設施組件、信息的訪問、處理、存儲、術的供應鏈控制供應商協議應包括信息、目標*****有限公司文件名稱頁碼文件編號條款號目標/控制是否供應商服務的監督和評審控制組織應定期監督、評審和審核供應商的服務交付。供應商服務的控制條款號目標/控制是否的管理和改進目標職責和程序控制以快速、有效和有序的響控制應通過適當的管理途徑盡弱點控制和服務的員工和承包商注意并報告系統或服務中任何已發現或疑似的信息安評估和決策信息安全事件控制應評估信息安全事件，以決定其是否被認定為信息響應信息安全控制應按照文件化程序響應信從信息安全事故中學習控制獲得的知識應用來減少未來事故的可能性或影響。收集證據控制識別、收集、采集和保存標準條款號標題目標/控制是否*****有限公司文件名稱頁碼文件編號條款號目標/控制是否目標體系。的連續性控制管理的安全和連續性，如在危機或災難時。實施信息安全的連續性控制性水平。估信息安全的控制組織應定期驗證已建立并實施的信息安全連續性控制，以確保其有效并可在災害情況下奏效。冗余目標確保信息處理設施的可用性。的可用性控制夠的冗余以滿足可用性要求。條款號目標/控制是否定的符合性目標律法規和合同控制律、法規與合同的要求及組織件，并針對組織及每個信知識產權控制應實施適當的程序，以確保對知識產權軟件產品的使用符合相關的法律、法控制應按照法律法規、合同和業務要求，保護記錄免受損壞、破壞、未授權訪問和*****有限公司文件名稱頁碼文件編號條款號目標/控制是否個人信息和隱私的保護控制護應滿足相關法律法規的控制加密控制的使用應遵循相信息安全評審目標立評審控制(如，信息安全控制目標、控制措施、策略、過程和程序)進行獨立評審。控制管理層應定期評審管轄范圍內的信息處理過程符合安全策略、標準及其他安審控制織的信息安全策略、標準《技術符合性管理規*****有限公司文件名稱頁碼文件編號1.0目的在ISMS覆蓋范圍內對信息安全現行狀況進行系統風險評估，形成評估報告，描述風險等級，識別和評價供處理風險的可選措施，選擇控制目標和控制措施處理風險。2.0適用范圍在ISMS覆蓋范圍內主要信息資產3.0定義(無)4.0職責4.1各部門負責部門內部資產的識別，確定資產價值。4.2信息安全部負責風險評估和制訂控制措施。4.3CEO負責信息系統運行的批準。5.0流程圖*****有限公司文件名稱頁碼文件編號職責是否否是重要資產清單威脅/脆弱性因素表風險評估表殘余風險清單安全措施實施計劃*****有限公司文件名稱頁碼文件編號6.0內容6.1資產的識別6.1.1各部門每年按照管理者代表的要求負責部門內部資產的識別，確定資產價6.1.2資產分類員等類。6.1.3資產(A)賦值選擇對資產機密性、完整性和可用性最為重要(分值最高)的一個屬性的1)機密性賦值根據資產在機密性上的不同要求，將其分為五個不同的等級，分別對應資產在機密性上的應達成的不同程度或者機密性缺失時對整個組織的影賦值標識定義5極高包含組織最重要的秘密，關系未來發展的前途命運，對組織根本利益有著決定性影響，如果泄漏會造成災難性的損害4高包含組織的重要秘密，其泄露會使組織的安全和利益遭受嚴重損害3中等包含組織的一般性秘密，其泄露會使組織的安全和利益受到損害2低包含僅能在組織內部或在組織某一部門內部公開的信息，向外擴散有可能對組織的利益造成損害可忽略包含可對社會公開的信息，公用的信息處理設備和系統資源等2)完整性賦值根據資產在完整性上的不同要求，將其分為五個不同的等級，分別對應*****有限公司文件名稱頁碼文件編號賦值標識定義5極高完整性價值非常關鍵，未經授權的修改或破壞會對組織造成重大的或無法接受的影響，對業務沖擊重大，并可能造成嚴重的業務中斷，難以彌補4高完整性價值較高，未經授權的修改或破壞會對組織造成重大影響，對業務沖擊嚴重，比較難以彌補3中等完整性價值中等，未經授權的修改或破壞會對組織造成影響，對業務沖擊明顯，但可以彌補2低完整性價值較低，未經授權的修改或破壞會對組織造成輕微影響，可以忍受，對業務沖擊輕微，容易彌補可忽略的影響可以忽略，對業務沖擊可以忽略3)可用性賦值根據資產在可用性上的不同要求，將其分為五個不同的等級，分別對應賦值標識定義5極高可用性價值非常高，合法使用者對信息及信息系統的可用度達到年度99.9%以上4高可用性價值較高，合法使用者對信息及信息系統的可用度達到每天90%以上3中等可用性價值中等，合法使用者對信息及信息系統的可用度在正常工作時間達到70%以上2低可用性價值較低，合法使用者對信息及信息系統的可用度在正常工作時間達到25%以上可忽略可用性價值可以忽略，合法使用者對信息及信息系統的3分以上為重要資產，重要信息資產由信息安全部確立清單6.2威脅識別6.2.1威脅分類*****有限公司文件名稱頁碼文件編號6.2.2威脅(T)賦值評估者應根據經驗和(或)有關的統計數據來判斷威脅出現的頻率。威脅脅出現的頻率越高。威脅賦值見下表。等級標識定義5很高以證實經常發生過(每天)4高可以證實多次發生過(每周)3中經發生過(每月、曾經發生過)2低生過(每年)1很低生(特殊情況)6.3脆弱性識別6.3.1脆弱性識別內容6.3.2脆弱性(V)嚴重程度賦值脆弱性嚴重程度的等級劃分為五級，分別代表資產脆弱性嚴重程度的高低。等級數值越大，脆弱性嚴重程度越高。脆弱性嚴重程度賦值見下表等級標識定義5很高如果被威脅利用，將對資產造成完全損害(90%以上)4高如果被威脅利用，將對資產造成重大損害(70%)3中如果被威脅利用，將對資產造成一般損害(30%)2低如果被威脅利用，將對資產造成較小損害(10%)很低如果被威脅利用，將對資產造成的損害可以忽略(10%以下)*****有限公司文件名稱頁碼文件編號6.4已有安全措施的確認ISMS小組應對已采取的安全措施的有效性進行確認，對有效的安全措施繼續保持，以避免不必要的工作和費用，防止安全措施的重復實施。對于確認為不適當的安全措施應核實是否應被取消，或者用更合適的安全措施替代。6.5風險分析完成了資產識別、威脅識別、脆弱性識別，以及對已有安全措施確認后，ISMS小組采用矩陣法確定威脅利用脆弱性導致安全事件發生的可能性，考慮安全事件一旦發生其所作用的資產的重要性及脆弱性的嚴重程度判斷安全事件造成的損失對組織的影響，即安全風險。6.5.1安全事件發生的可能性等級P=(T*V)?.5,6.5.2安全事件發生后的損失等級L=(A*V)?.5,6.5.3風險值R=(L*P),風險等級風險值風險等級23456.5.4風險管理策略完全的消除風險是不可能和不實際的。公司需要有效和經濟的運轉，因此必須根據安全事件的可能性和對業務的影響來平衡費用、時間、安全尺度幾個方面的問題。公司在考慮接受殘余風險時的標準為只接受中或低范圍內的風險；但是對于必須投入很高的費用才能將殘余風險降為中或低的情況，則分階段實施控制。風險值越高，安全事件發生的可能性就越高，安全事件對該資產以及業務的影響也就越大，風險管理策略有以下：●接受風險：接受潛在的風險并繼續運行信息系統，不對風險進行處理。●降低風險：通過實現安全措施來降低風險，從而將脆弱性被威脅源利用后可能帶來的不利影響最小化(如使用防火墻、漏洞掃描系統等安全產品)。●規避風險：不介入風險，通過消除風險的原因和/或后果(如放棄系統某項功能或關閉系統)來規避風險。●轉移風險：通過使用其它措施來補償損失，從而轉移風險，如購買保險。*****有限公司文件名稱頁碼文件編號風險等級3(含)以上為不可接受風險，3(不含)以下為可接受風險。如果是可接受風險，可保持已有的安全措施；如果是不可接受風險，則需要采取安全措施以降低、控制風險。安全措施的選擇應兼顧管理與技術兩個方面，可以參照信息安全的相關標準實施。6.6確定控制目標、控制措施和對策基于在風險評估結果報告中提出的風險級別，ISMS小組對風險處理的工作進行優先級排序。高等級(例如被定義為“非常高”或“高”風險級的風險)的風險項應該最優先處理。●評估所建議的安全措施●實施成本效益分析●選擇安全措施●制定安全措施的實現計劃●實現所選擇的安全措施6.7殘余風險的監視與處理風險處理的最后過程中，ISMS小組應列舉出信息系統中所有殘余風險的清單。在信息系統的運行中，應密切監視這些殘余風險的變化，并及時處理。每年年初評估信息系統安全風險時，對殘余風險和已確定的可接受的風險級別進行評審時，應考慮以下方面的變化：●外部事件，如法律法規環境的變更、合同義務的變更和社會環境的變更。6.8信息系統運行的批準ISMS小組考察風險處理的結果，判斷殘余風險是否處在可接受的水平之內。基于這一判斷，管理層將做出決策，決定是否允許信息系統運行。如果信息系統的殘余風險不可接受，而現實情況又要求系統必須投入運行，且當前沒有其它資源能勝任單位的使命。這時可以臨時批準信息系統投入運行。在這種情況下，必須由信息系統的主管者決定臨時運行的時間段，制定出在此期間的應急預案以及繼續處理風險的措施。在臨時運行的時間段結束后，應重*****有限公司文件名稱頁碼文件編號新評估殘余風險的可接受度。如果殘余風險仍然不可接受，則一般不應再批準信息系統臨時運行。7.0相關文件7.1《GB/T20984-2007信息安全風險評估規范》7.2《信息資產管理制度》8.0記錄8.1《信息資產識別表》8.2《重要資產清單》8.3《威脅/脆弱性因素表》8.4《風險評估表》8.5《安全措施實施計劃》8.6《殘余風險清單》*****有限公司文件名稱頁碼文件編號通過驗證信息安全管理體系是否符合標準和策劃安排的要求，是否得到有效的保持、實施，確保管理體系的方針目標實現并持續改進。1、管理者代表負責批準內審計劃、內審報告，并負責組織審核工作，任命審核組長。2、內審組長編制內審計劃，并負責審核的具體實施以及報告內審結果。3、各單位負責配合內部審核的實施，并對審核不符合情況進行整改。1、內審策劃1)根據公司信息安全的實際運行狀況，并根據審核對象重要程度、結合以往審核的結果，整體策劃管理體系內部審核的方案。2)根據需要，審核可覆蓋體系全部要求和單位，也可以專門針對某幾項要求或單位進行重點審核，各單位也可根據各自的實際情況，分別組織審核。3)公司每年至少組織一次內審，每年的審核必須覆蓋管理體系的全部單位和全部要求至少一次。4)出現以下情況時由管理者代表決定是否增加審核次數：●組織機構、管理體系發生重大變化。●出現重大信息安全事故。●法律、法規及其他外部要求的變更。●其他認為必要時。2、審核前的準備1)管理者代表負責組成審核組、任命內審組長。內審組長負責具體策劃審核安排，并編制《審核計劃》,報管理者代表批準。實施計劃應明確：●審核目的、范圍、時間、依據。●審核組成員及分工安排，審核員應與受審部門無直接責任關系。●受審核部門及審核要點，預定時間安排。●審核中的注意事項。2)組長應組織審核組編寫《內審檢查表》,明確審核的內容、方法。3)《審核計劃》應于內審開始前發放至受審部門，受審部門對內審安排如有異議，應及時通知內審組長。*****有限公司文件名稱頁碼文件編號4)內部審核員應經專業機構培訓合格，經管理者代表批準資格。3、內審的實施1)內審開始，應由內審組長主持召開首次會議，領導層、內審組成員及各受審核單位負責人參加并簽到。2)內審組應按照《審核計劃》的安排實施內審。審核員應根據《內審檢查表》的要求，對受審單位、區域和工作的狀況及績效進行調查取證，以評價受審核部門和區域的體系運行的符合性、充分性和有效性。3)審核員應在檢查表中準確記錄現場審核發現，尤其是體系運行不符合和有效性差的審核發現。內審組長應全面了解內審情況，對不符合項報告進行核對。4)審核員應保持公正、客觀的態度，如實地反饋審核的情況。5)現場審核后，審核組長應組織審核組綜合分析審核檢查結果，綜合評價審核單位、區域和工作的運行狀況、績效以及體系持續改進的狀況，作出審核結論。同時對照與顧客的合同、各項標準、體系文件及有關法律法規要求，對審核中發現的問題經確認為不合格項的，發出《不合格報告》,交相關單位負責人確認。同時審核組應進行不符合項的分布情況分析。6)審核組長應主持召開末次會議，由領導層、內審組成員及各受審單位負責人參加。由內審組長報告審核的計劃、實施過程及審核結論，宣讀不符合報告，提出對糾正措施的要求。7)審核結束，審核組長編制《審核報告》,報管理者代表批準。審核報告內容應包括審核概況、審核計劃實施情況總結、不合格項數量及嚴重程度、分布分析、主要問題原因分析、管理體系有效性、符合性結論及今后應改進的地方。4、內審報告應提交公司管理評審。5、針對審核中發現的不符合項，相關部門應組織分析原因，制定并實施糾正措施，報告措施的效果，經審核員對實施結果跟蹤驗證，確保不符合不再發生，同時報告驗證結果，具體執行《糾正預防措施控制程序》要求。1、《糾正預防措施控制程序》五、相關文件及記錄審核計劃內審檢查表不合格報告內審報告首(末)次會議簽到表*****有限公司文件名稱頁碼文件編號適用于本公司各部門對惡意軟件(包括軟件的隱蔽通道)的控制管理工作。為防止各類惡意軟件(包括軟件的隱蔽通道)造成破壞，確保公司的軟件和信息的保密性、完整性與可用性。3.1XX部是全公司惡意軟件管理控制工作的主管部門，負責全公司防病毒軟件的安裝及病毒庫的更新管理，為各部門信息處理設施的防范惡意軟件提供技術性支持和隱蔽通道的掃描。3.2各部門具體負責其部門信息處理設施的病毒清殺及其它預防措施的實施。4工作程序所謂惡意軟件，是指編制或者在計算機程序中插入的破壞計算機功能、毀壞數據、竊取數據，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼，主要是指各類計算機病毒，如惡意代碼和移動代碼。4.1防范的措施，主要是安裝防火墻、入侵檢測系統、使用加密程序和安裝殺病毒軟件。4.1.1在對外互聯的網絡間，IT部安裝防火墻、入侵檢測系統、使用加密程序，同時在服務器和客戶端上安裝殺病毒軟件。各部門應根據IT部的安排，從指定的網絡服務器上安裝企業版防病毒軟件；單獨成網或存在單機的部門，應由本部門PC管理員或指定專人負責安裝防病毒軟件，并周期性(如每周)對病毒庫進行升級。4.1.2對于配置低、不適宜安裝防病毒軟件的微機，則不能接入局域網，進行病毒查殺和防范控制，加強日常點檢，應做好點檢記錄。4.1.3XX部負責設置企業版防病毒服務器，每日通過互聯網自動進行病毒庫的更新升級。XX部負責各類系統的補丁升級。4.1.4各部門聯網微機接受本公司防病毒服務器的管理，在每次開機時自動從防病毒服務器上下載最新*****有限公司文件名稱頁碼文件編號4.1.5特殊情況，如某種新惡性病司各部門立即進行病毒庫更新升級，同時立即進行病毒掃描，并對病毒情況匯報IT部部長。待病毒清除后方可使用，對于不能清除的病毒，應及時報告XX部處理。4.1.7各部門用戶應在計算機或其它電子信息處理設施的啟動后檢查是否已啟動病毒實時監測系統。如4.1.8各部門在使用電子郵件或下載軟件時應啟動病毒實時監測系統的實時防護，以便對電子郵件進行4.1.9XX部需加強對特洛e)其他必要措施。4.2XX部組織各部門進行有關防病毒及其他后門程序等惡意軟件預防工作的培訓，使各部門明確病毒4.3預防惡意軟件的通用要求保護不受惡意軟件攻擊的基礎是安全意識，適當的系統權限。所有IT用戶應養成良好的防范惡意軟4.4.1XX部應與防火墻、入侵檢測系統供應商保持聯系，確保*****有限公司文件名稱頁碼文件編號4.6如果發生信息處理設施受到病毒或其他種類的惡意軟件攻擊的事故，應由IT部確認事故原因后，對4.7對各個部門安裝的外購軟件和自行開發的軟件都必須由IT部測試其安全性，經確認后方可安裝。4.8對XX部測試發現的各種惡意軟件立即停止使用，各部門在使用過程中發現有惡意軟件及相應跡象應立即通知IT部。4.10各部門如受到各種惡意軟件攻擊，應及時向XX部報告。5相關文件《重要信息備份管理程序》《信息處理設備管理程序》*****有限公司文件名稱頁碼文件編號第一條為規范軟件變更與維護管理，提高軟件管理水平，優化軟件變更與維護管理流程，特制定本制度。第二條本制度適用于應用系統已開發或采購完畢并正式上線、且由軟件開發組織移交給應用管理組織之后，所發生的生產應用系統(以下簡稱應用系統)運行支持及系統變更工作。第二節變更流程第三條系統變更工作可分為下面三類類型：功能完善維護、系統缺陷修改、統計報表生成。功能完善維護指根據業務部門的需求，對系統進行的功能完善性或適應性維護；系統缺陷修改指對一些系統功能或使用上的問題所進行的修復，這些問題是由于系統設計和實現上的缺陷而引發的；統計報表生成指為了滿足業務部門統計報表數據生成的需要，而進行的不包含在應用系統功能之內的數據處理工作。第四條系統變更工作以任務形式由需求方(一般為業務部門)和維護方(一般為信息部門的應用維護組織和軟件開發組織，還包括合作廠商)協作完成。系統變更過程類似軟件開發，大致可分為四個階段：任務提交和接受、任務實現、任務驗收和程序下發上線。第五條因問題處理引發的系統變更處理，具體流程參見《問題處理管理制度》。第六條需求部門提出系統變更需求，并將變更需求整理成《系統變更申請表》(附件一),由部門負責人審批后提交給系統管理員。第七條系統管理員負責接受需求并上報給信息部主管。信息部主管分析需求，并提出系統變更建議。信息部主管根據變更建議審批《系統變更申請表》。第八條系統管理員根據自行開發、合作開發和外包開發的不同要求組織實現系統變更需求，將需求提交至內部開發人員、合作開發商或外包開發商，產生供發布的程序。第九條實現過程應按照軟件開發過程規定進行。系統變更過程應遵循軟件開發過程相同的正式、統一的編碼標準，并經過測試和正式驗收才能下發和上線。*****有限公司文件名稱頁碼文件編號系統管理員組織業務部門的系統最終用戶對系統程序變更進行測試，并撰寫《用戶測試報告》(附件二),提交業務部門負責人和信息部主管領導簽字確認通過。第十一條在系統變更完成后，系統管理員和業務部門的最終用戶共同撰寫《程序變更驗收報告》(附件三),經業務部門負責人簽字驗收后，報送信息部經理審批。第十二條培訓管理員負責對系統變更過程的文檔進行歸檔管理，變更過程中涉及的所有文檔應至少保存兩年。第三節緊急變更流程第十三條對于緊急變更，需求部門可以通過電子郵件或傳真等書面形式提出申請。第十四條信息部根據重要性和緊迫性做判斷，確定其優先級和影響程度，并進行相應處第十五條緊急變更過程中應使用專設的系統用戶賬號，由專責部門或人員啟動緊急修改變更程序。信息部應對緊急變更的處理進行規范的文檔記錄。第十六條在緊急事件處理完成后，必須在一周內補辦正式、完整的文檔，其中包括問題發現人填寫的緊急變更申請、問題發現人所在部門負責人對該申請的審批、需求部門/信息部測試記錄(包括簽字確認測試結果)。第四節系統變更的權責分離第十七條系統變更過程中，應采取各種措施保證維護環境程序代碼訪問權限受到良好控制。這些措施包括：1、通過系統用戶的授權管理，確保只有特定人員能進行系統維護工作；2、如果使用專用程序開發工具，只有授權人員才能使用程序開發工具(通過只有特定開發人員擁有程序開發工具);3、通過對源代碼的訪問控制，限制只有授權人員才能獲得源代碼以進行系統4、在進行自有系統的程序變更時，應建立版本控制制度確保每次在最新的代*****有限公司文件名稱頁碼文件編號碼基礎上進行更改，當多名程序員同時進行更改工作時，能夠進行適當協調；5、通過對系統日志的審閱，監督系統維護人員在系統中的操作，確認維護工6、在進行自有系統的程序變更時，應防止源代碼在完成測試到正式上線之間的非授權修改。第十八條系統變更過程中，采取各種措施保證生產系統應用程序訪問權限受到良好控制。這些措施包括：1、通過生產環境的訪問控制，限制對生產環境的訪問；2、通過物理隔離的手段，限制對生產環境的訪問；3、通過邏輯隔離的手段，限制對生產環境的訪問；4、對授權訪問生產環境的人員進行詳細記錄，使用該記錄對生產環境訪問權限的檢查，確保只有經授權人員才能訪問生產環境；5、普通用戶只能通過前臺登錄系統，不能通過后臺(如使用生產環境操作系統的命令行)進行操作；6、信息技術人員不應該擁有前臺應用程序的業務操作訪問權限，更不應該在前臺應用程序中擔任實際的業務操作任務；7、從技術角度限制開發人員對生產環境中應用程序文件夾的訪問權限，只有經過授權的人員對程序擁有讀、寫和執行的權限；8、禁止信息技術人員共享操作系統級別的賬號。第十九條本制度由信息部負責解釋和修訂。第二十條本制度自發布之日起開始執行。*****有限公司文件名稱頁碼文件編號附件一系統變更申請表變更請求類型□用戶方變更□開發方變更□需求增加□需求修改□需求縮減□其它：請說明：申請日期實施人員原需求內容描述變更的影響意見：簽字：信息部人員意見：簽字：備注：*****有限公司文件名稱頁碼文件編號1.基本信息測試依據例如：參照標準、客戶需求、需求規格說明書、測試用例等測試范圍測試驗收標準提示：可以把測試驅動程序當作附件測試人員測試時間須注明每次回歸測試的時間測試工具測試用例編號期望結果測試結果缺陷密度是否執行了回歸測試根據測試標準及測試結果，綜合評價軟件的開4.缺陷修改記錄提示：如果采用了缺陷管理工具，能自動產生缺陷缺陷名稱缺陷類型嚴重程度原因駐留時間*****有限公司文件名稱頁碼文件編號測試人員簽字/日期：*****有限公司文件名稱頁碼文件編號本程序適用于本公司員工及其他組織、人員(第三方)對本公司的物理訪問控制。加強和規范本公司員工及來訪本公司的相關人員的管理，充分有效地使用公司資源，為來賓提供高質量、個性化的參觀接待；從而更好地推確保公司內部安全防范和保密性，有效、有序4.1外來人員分類*****有限公司文件名稱頁碼文件編號j)來公司參觀、視察的貴賓或嘉賓；k)體系外的其他人員。4.2安全區域分類區域標識盡量使用編號。序號防范措施1特別安全區1.數據存儲機房2.配電房1.專門負責(保安值勤)。2.監控錄象裝置。3.進出再登記，專人陪同(特別設置)。2普通安全區1.開發部辦公室2.管理中心3檔案室1.專人負責。2.監控報警裝置。3.人離關門上鎖。4.巡邏檢查，群防群治。3一般區域1.大堂2.雜物室6.員工休息區*****有限公司文件名稱頁碼文件編號4.3訪問的授權訪問時間在一周內特別安全區接待部門負責人同意且主管副總經理批準，公司人事部辦理相關手續普通安全區負責人事部辦理相關手續一般區域接待人員事部辦理相關手續4.4門禁出入規定識別。公司門禁卡的胸帶分為藍色和紅色2種，分別適用于以下人群：紅色胸帶：進入公司的外部相關方人員*****有限公司文件名稱頁碼文件編號4.4.1員工門禁管理a)新員工門禁卡制作·人事部根據各部門助理提交的《新進人員入職內部準備表》中的門禁權限予以制作；·各部門助理到行政部簽字領取制作好的門禁卡；b)員工門禁卡權限變更·門禁權限變更申請人提交《變更申請表》,完成審核批準流程；·人事部根據《變更申請表》中的門禁變更信息予以制作；c)員工門禁卡丟失補辦·部門助理或員工本人提交員工門禁卡丟失；·按照員工原門禁權限重新制作門禁卡；·各部門助理或員工本人到人事部交納補辦卡罰款，簽字領取制作好的門禁卡；d)門禁權限定期審核·門禁權限由人事部定期和各部門經理進行審核，確認員工門禁權限的準確。*****有限公司文件名稱頁碼文件編號4.4.2來賓門禁管理·此類門禁卡用于需要在辦公區內部出入、一定時間內在公司內部活動的來賓；·人事部負責制作來賓卡門禁權限；·來賓在前臺登記之后，由前臺負責人發放來賓門禁卡，離開時需要交還至前臺；·門禁卡正面印刷來賓卡標志，門禁卡的胸帶為紅色；·任何進入公司內部物理空間的來賓都需要佩戴紅色胸帶的門禁卡。*****有限公司文件名稱頁碼文件編號4.4.3人員出入管理a)本公司員工·任何員工出入公司均須佩戴門禁卡；·遺忘或丟失門禁卡正在補辦中的，須在前臺領取無門禁權限來賓卡佩戴；·無佩戴任何門禁卡的人員禁止出入公司；b)非公司員工·陪同人員須前臺引領訪客、供應商進入公司，全程陪同；·訪客、供應商進入公司樓道、會議室區需佩戴紅色訪客胸帶；·滯留時間很短，且在固定時間，固定地點需要現場操作的供應商(例如花卉維護、飲用水供應等),需到人事部備案，由安保人員陪同監視操作，無需佩戴胸帶。4.5訪問接待管理辦法*****有限公司文件名稱頁碼文件編號4.5.1參觀級別根據客戶重要程度，分為公司級來賓和部門級來賓。●公司級：公司一級：對公司發展有至關重要影響的來訪者，由公司副總裁以上成員陪同；公司二級：對公司發展有重大影響的來訪者，由公司總裁秘書陪同；●部門級：部門一級：對部門業務有至關重要影響的來訪者，由部門總經理陪同；部門二級：對部門業務有重大影響的來訪者，由部門經理陪同；部門三級：對部門業務有相當影響的來訪者，由部門助理或員工陪同。*****有限公司文件名稱頁碼文件編號4.5.2接待管理1.外部人員來訪，在公司前臺進行接待，填寫訪客登記表，并通知相應接待人前來接待，并給訪客發放紅色胸帶的門禁卡；2.陪同人員須前臺引領訪客進入公司，全程陪同，有效傳達公司最新信息；3.訪客進入公司樓道、會議室區需佩戴紅色訪客胸帶；4.6員工出入、會客及接待管理1、員工在工作時間內應佩戴員工卡；2、員工卡應妥善保管，如有丟失應及時通知人事部；3、員工客人接待，須到前臺簽字登記，在會議室予以接待，不得帶入辦公區內4、外來人員進入公司樓道、會議室區需佩戴紅色訪客胸帶；5、員工攜帶物品出公司時(個人隨身攜帶的包除外),應到人事部辦理“出門條”并加蓋公章，憑“出門條”出入大樓。4.7第三方訪客、供應商接待管理1、陪同人員須前臺引領訪客、供應商進入公司，全程陪同；2、訪客、供應商進入公司樓道、會議室區需佩戴紅色訪客胸帶；3、滯留時間很短，且在固定時間，固定地點需要現場操作的供應商，需到人事部備案(例如花卉維護、飲用水供應等)。安全培訓由人事部負責，視情況實施相關安全培訓教育。6安全保