信息安全管理方针和策略

《信息安全管理方针和策略》由会员分享，可在线阅读，更多相关《信息安全管理方针和策略（40页珍藏版）》请在装配图网上搜索。

1、1 、信息安全管理方针和策略 范围公司依据 ISO/IEC27001:2013 信息安全管理体系标准的要求编制信息安全管理手册 ，并包括了风险评估及处置的要求。 规定了公司的信息安全方针及管理目标， 引用了信息安全管理体系的内容。1.1 规范性引用文件下列参考文件的部分或整体在本文档中属于标准化引用，对于本文件的应用必不可少。凡是注日期的引用文件， 只有引用的版本适用于本标准； 凡是不注日期的引用文件， 其最新版本（包括任何修改）适用于本标准。ISO/IEC 27000 ，信息技术安全技术信息安全管理体系概述和词汇。1.2 术语和定义ISO/IEC 27000 中的术语和定义适用于本文件。1.

2、3 公司环境1.3.1 理解公司及其环境公司确定与公司业务目标相关并影响实现信息安全管理体系预期结果的能力的外部和内部问题，需考虑：明确外部状况：? 社会、文化、政治、法律法规、金融、技术、经济、自然和竞争环境，无论国际、国内、区域，还是本地的；? 影响组织目标的主要动力和趋势；? 与外部利益相关方的关系，外部利益相关方的观点和价值观。明确内部状况:?治理、组织结构、作用和责任；?方针、目标，为实现方针和目标制定的战略；?基于资源和知识理解的能力（如：资金、时间、人员、过程、系统和技术）?与内部利益相关方的关系，内部利益相关方的观点和价值观；?组织的文化；?信息系统、信息流和决策过程（正式与非

3、正式） ；?组织所采用的标准、指南和模式；?合同关系的形式与范围。明确风险管理过程状况：?确定风险管理活动的目标；?确定风险管理过程的职责；?确定所要开展的风险管理活动的范围以及深度、广度，包括具体的内涵和外延；?以时间和地点，界定活动、过程、职能、项目、产品、服务或资产；?界定组织特定项目、过程或活动与其他项目、过程或活动之间的关系；?确定风险评价的方法；?确定评价风险管理的绩效和有效性的方法；?识别和规定所必须要做出的决策；?确定所需的范围或框架性研究，它们的程度和目标，以及此种研究所需资源。确定风险准则：?可以出现的致因和后果的性质和类别，以及如何予以测量；可能性如何确定；可能性和（或）

4、后果的时间范围;风险程度如何确定;利益相关方的观点;? 风险可接受或可容许的程度；? 多种风险的组合是否予以考虑，如果是，如何考虑及哪种风险组合宜予以考虑。1.3.2 理解相关方的需求和期望信息安全管理小组应确定信息安全管理体系的相关方及其信息安全要求，相关的信息安全要求。对于利益相关方，可作为信息资产识别，并根据风险评估的结果， 制定相应的控制措施，实施必要的管理。相关方的要求可包括法律法规要求和合同义务。1.3.3 确定信息安全管理体系范围本公司ISMS的范围包括a）物理范围：b）业务范围：计算机软件开发，计算机系统集成相关信息安全管理活动。c）内部管理结构：办公室、财务部、研发部、商务部

5、、工程部、运维部。d）外部接口：向公司提供各种服务的第三方1.3.4 信息安全管理体系本公司按照ISO/IEC27001:2013标准的要求建立一个文件化的信息安全管理体系。同时考虑该体系的实施、维持、持续改善，确保其有效性。ISMS体系所涉及的过程基于PDCA莫1.4 领导力总经理应通过以下方式证明信息安全管理体系的领导力和承诺:a) 确保信息安全方针和信息安全目标已建立，并与公司战略方向一致；b) 确保将信息安全管理体系要求融合到日常管理过程中；c) 确保信息安全管理体系所需资源可用；d) 向公司内部传达有效的信息安全管理及符合信息安全管理体系要求的重要性；e) 确保信息安全管理体系达到预

6、期结果；f) 指导并支持相关人员为信息安全管理体系有效性做出贡献；g) 促进持续改进；h) 支持信息安全管理小组及各部门的负责人，在其职责范围内展现领导力。1.5 规划1.5.1 应对风险和机会的措施1.5.1.1 总则公司针对公司内部和公司外部的实际情况， 和相关方的要求， 确定公司所需应对的信息安全方面的风险。在已确定的ISMS范围内，针对业务全过程所涉及的所有信息资产进行列表识别。信息资产包括软件/ 系统、数据/ 文档、硬件/ 设施、人力资源及外包服务。对每一项信息资产，根据信息资产判断依据确定信息资产的重要性等级并对其重要度赋值。信息安全管理小组制定信息安全风险评估管理程序， 经信息安

7、全管理小组组长批准后组织实施。 风险评估管理程序包括可接受风险准则和可接受水平。 该程序的详细内容见 信息安全风险评估管理程序 。1.5.1.1.1 信息安全风险评估1.5.1.1.1.1 风险评估的系统方法信息安全管理小组制定信息安全风险评估管理程序， 经管理者代表审核， 总经理批准后组织实施。 风险评估管理程序包括可接受风险准则和可接受水平。 该程序的详细内容适用于信息安全风险评估管理程序 。1.5.1.1.1.2 资产识别在已确定的ISMS范围内，对所有的信息资产进行列表识别。信息资产包括软件/系统、数据 / 文档、硬件/ 设施及人力资源、 服务等。 对每一项信息资产， 根据信息资产判断

8、依据确定信息资产的重要性等级并对其重要度赋值。1.5.1.1.1.3 评估风险a) 针对每一项信息资产、 记录、 信息资产所处的环境等因素， 识别出所有信息资产所面临的威胁；b) 针对每一项威胁，识别出被该威胁可能利用的薄弱点；c) 针对每一项薄弱点， 列出现有的控制措施， 并对控制措施有效性赋值； 同时考虑威胁利用脆弱性的容易程度，并对容易度赋值；d) 判断一个威胁发生后可能对信息资产在保密性 (C) 、完整性 (I) 和可用性 (A) 方面的损害， 进而对公司业务造成的影响， 计算信息资产的安全事件的可能性和损失程度。e) 考虑安全事件的可能性和损失程度两者的结合，计算信息资产的风险值。f

9、) 根据信息安全风险评估管理程序的要求确定资产的风险等级。g) 对于信息安全风险， 在考虑控制措施与费用平衡的原则下制定风险接受准则， 按照该准则确定何种等级的风险为不可接受风险， 该准则在 信息安全风险评估管理程序有详细规定，并在风险评估报告中进行系统汇报并针对结果处理意见获得最高管理者批准。h) 获得最高管理者对建议的残余风险的批准，残余风险应该在残余风险评价报告上留下记录，并记录残余风险处置批示报告。i) 获得管理者对实施和运行ISMS的授权。ISMS管理者代表的任命和授权、ISMS文档的签署可以作为实施和运作ISMS 的授权证据。1.5.1.1.2 信息安全风险处置1.5.1.1.2.

10、1 风险处理方法的识别与评价信息安全管理小组应组织有关部门根据风险评估的结果，形成风险处理计划 划应明确风险处理责任部门、方法及时间。对于信息安全风险，应考虑控制措施与费用的平衡原则，选用以下适当的措施：a）采用适当的内部控制措施；b）接受某些风险（不可能将所有风险降低为零） ；c）回避某些风险（如物理隔离）；d）转移某些风险（如将风险转移给保险者、供方、分包商）。1.5.1.1.2.1 选择控制目标与控制措施信息安全管理小组根据信息安全方针、业务发展要求及风险评估的结果，组织有关部门制定信息安全目标。信息安全目标应获得总裁的批准。控制目标及控制措施的选择原则来源于附录A。本公司根据信息安全管

11、理的需要，可以选择标准之外的其他控制措施。1.5.1.1.2.2 适用性声明SoA信息安全管理小组编制信息安全适用性声明（SoA）。该声明包括以下方面的内容：a）所选择控制目标与控制措施的概要描述；b） 对ISO/IEC 27001:2013 附录A中未选用的控制目标及控制措施理由的说明。1.5.1.1.2.3残余风险对风险处理后的残余风险应形成残余风险评估报告并得到信息安全最高责任人的批准。信息安全管理小组应保留信息安全风险处置过程的文件化信息。1.5.2信息安全目标和实现规划根据公司的信息安全方针，经过最高管理者确认，公司的信息安全管理目标为：顾客保密性抱怨/投诉的次数不超过 1起/年。受

12、控信息泄露的事态发生不超过3起/年秘密信息泄露的事态不得发生。信息安全管理小组根据适用性声明、信息资产风险评估表 中风险处理计划所选择 的控制措施，明确控制措施改进时间表。对于各部门信息安全目标的完成情况，按照信息安全目标及有效性测量程序的要求，周期性在主责部门对各控制措施的目标进行测量，并记录测量的结果。通过定期的内审、控制措施目标测量及管理评审活动评价公司信息安全目 标的完成情况。1.6 支持1.6.1 资源总经理负责确定并提供建立、实施、保持和持续改进信息安全管理体系所需的资源。1.6.2 能力办公室应：a）确定公司全体员工影响公司信息安全绩效的必要能力；b）确保上述人员在适当的教育、培

13、训或经验的基础上能够胜任其工作；c）适用时，采取措施以获得必要的能力，并评估所采取措施的有效性；d）保留适当的文件化信息作为能力的证据。注：适用的措施可包括， 对新入职员工进行的信息安全意识教育；定期对公司员工进行的业务实施过程中的信息安全管理相关的培训等。1.6.3 意识公司全体员工应了解：a）公司的信息安全方针；b）个人其对公司信息安全管理体系有效性的贡献，包括改进信息安全绩效带来的益处；c）不符合信息安全管理体系要求带来的影响。1.6.4 沟通信息安全管理小组负责确定与信息安全管理体系相关的内部和外部的沟通需求，包括：a) 沟通内容；b) 沟通时间；c) 沟通对象；d) 谁应负责沟通；e

14、) 影响沟通的过程。1.6.5 文件化信息1.6.5.1 总则公司的信息安全管理体系应包括：a) 本标准要求的文件化信息；b) 信息安全管理小组确保信息安全管理体系的有效运行， 需编制 文件控制程序 用以管理公司信息安全管理体系的相关文件。2.6.5.2 创建和更新创建和更新文件化信息时，信息安全管理小组应确保适当的：a) 标识和描述(例如标题、日期、作者或编号) ；b) 格式(例如语言、软件版本、图表)和介质(例如纸质、电子介质) ；c) 对适宜性和充分性的评审和批准。2.6.5.3 文件化信息的控制信息安全管理体系及本标准所要求的文件化信息应予以控制，以确保：a) 在需要的地点和时间，是可

15、用和适宜的；b) 得到充分的保护(如避免保密性损失、不恰当使用、完整性损失等)c) 为控制文件化信息，适用时，科技规划部应开展以下活动：d) 分发，访问，检索和使用；e) 存储和保护，包括保持可读性；f) 控制变更(例如版本控制)；g) 保留和处置。信息安全管理小组需在 文件控制程序 中规划和运行信息安全管理体系所必需的外来的文件化信息，应得到适当的识别，并予以控制。1.7 运行1.7.1 运行规划和控制为确保ISMS有效实施，对已识别的风险进行有效处理，本公司开展以下活动：a) 形成信息安全风险处理计划 ，以确定适当的管理措施、职责及安全保密控制措施的优先级，应特别注意公司外包过程的确定和控

16、制；对于系统集成和IT 外包运维服务项目， 项目经理应在项目策划阶段识别所面临的信息安全风险， 并在项目全过程中对信息安全风险进行监控和更新。b) 为实现已确定的安全保密目标、实施风险处理计划，明确各岗位的信息安全职责；c) 实施所选择的控制措施，以实现控制目标的要求；d) 进行信息安全培训，提高全员信息安全意识和能力；e) 对信息安全体系的运作进行管理， 控制计划了的变更， 评审非预期变更的后果， 必要时采取措施减缓负面影响；f) 对信息安全所需资源进行管理；g) 实施控制程序，对信息安全事故(或事件)进行迅速反应。总经理为本公司信息安全最高责任者。办公室制定全公司的组织机构和各部门的职责（

17、包括信息安全职责）,并形成文件。信息安全管理小组成员负责完成信息安全管理体系运行时必须的任务； 对信息安全管理体系的运行情况和必要的改善措施向信息安全最高责任者报告。各部门负责人作为本部门信息安全的主要责任人， 信息安全内审员负责指导和监督本部门信息安全管理体系的运行与实施， 并形成文件； 全体员工都应按保密承诺的要求自觉履行信息安全义务。各部门应按照信息安全适用性声明中规定的安全保密目标、控制措施（包括安全保密运行的各种控制程序）的要求实施信息安全控制措施。信息安全管理小组应对满足信息安全要求及实施 6.1 中确定的措施所需的过程予以规划、实施和控制，同时应实施计划以实现6.2 中确定的信息

18、安全目标。信息安全管理小组应保持文件化信息达到必要的程度，以确信过程按计划得到执行。信息安全管理小组应控制计划内的变更并评审非预期变更的后果， 必要时采取措施减轻负面影响。各部门确定本部门业务过程中的外包活动，并对外包过程进行必要的控制。1.7.2 信息安全风险评估公司按照组织 信息安全风险评估管理程序 的要求， 每年定期或当重大变更提出或发生时， 执行信息安全风险评估。 每次风险评估的过程均需形成记录， 并由信息安全管理小组保留每次风险评估的记录，如：风险评估报告、风险处理计划等。1.7.3 信息安全风险处置为确保ISMS有效实施，对已识别的风险进行有效处理，本公司开展以下活动：a） 形成风

19、险处理计划 ，以确定适当的管理措施、职责及安全保密控制措施的优先级；b） 为实现已确定的安全保密目标、实施风险处理计划，明确各岗位的信息安全职责；c） 实施所选择的控制措施，以实现控制目标的要求；d) 进行信息安全培训，提高全员信息安全意识和能力；e) 对信息安全体系的运作进行管理；f) 对信息安全所需资源进行管理；信息安全管理小组负责组织相关人员， 定期检查风险处理计划的执行情况， 并保留信息安全风险处置结果的文件化信息。1.8 绩效评价1.8.1 监视、测量、分析和评价本公司通过实施定期的控制措施实施有效性检查、 事故报告调查处理、 电子监控、 技术检查等检查方式检查信息安全管理体系运行的

20、情况，并报告结果以实现：a) 及时发现信息安全体系的事故和隐患；b) 及时了解信息处理系统遭受的各类攻击；c) 使管理者掌握信息安全活动是否有效，并根据优先级别确定所要采取的措施；d) 积累信息安全方面的经验。按照计划的时间间隔(不超过一年)进行 ISMS内部审核，内部审核的具体要求。根据控制措施有效性检查和内审检查的结果以及来自相关方的建议和反馈， 由最高责任者主持，每年对ISMS 的有效性进行评审，其中包括信息安全范围、方针、目标及控制措施有效性的评审。管理者代表应组织有关部门按照 信息安全风险评估管理程序 的要求对风险处理后的残余风险进行定期评审， 以验证残余风险是否达到可接受的水平，

21、对以下方面变更情况应及时进行风险评估：a) 组织机构发生重大变更；b) 信息处理技术发生重大变更；c) 公司业务目标及流程发生重大变更；d) 发现信息资产面临重大威胁；e) 外部环境，如法律法规或信息安全标准发生重大变更。保持上述活动和措施的记录。以上活动的详细程序规定于以下文件中：?控制措施有效性的测量程序?信息安全职责权限划分对照表?信息安全风险评估管理程序?内部审核控制程序1.8.2 内部审核内部信息安全审核主要指内部信息安全管理体系审核， 其目的是验证公司信息安全管理体系运行的符合性和有效性并不断改进和完善公司的信息安全管理体系。1.8.2.1 组织审核a) 公司统一组织、 管理内部信

22、息安全审核工作， 信息安全管理小组负责制定 内部审核控制程序并贯彻执行；b) 管理者代表负责领导和策划内部审核工作， 批准年度内审计划和追加审核计划， 批准审核组成员，批准审核实施计划，审批年度内审报告；c) 信息安全管理小组负责对审核组长及成员提名， 编制年度审核计划和追加审核计划，报管理者代表批准后执行。d) 审核组长组织和管理内部审核工作， 根据实际情况和重要性安排审核顺序实施审核。e) 审核员不应审核自己的工作。1.8.2.2 实施审核a) 审核组长编制的审核计划， 经管理者代表批准后， 负责在实施审核前5 天向被审核方发出书面审核通知；b) 审核小组按内部审核控制程序实施审核；c)

23、审核员收集客观证据，通过分析整理做出公正判断，填写 内审不合格报告 提交审核组长，并请被审核部门经理在报告上签字认可。1.8.2.3 审核报告审核组长应在完成全部审核后， 按规定格式编写 内部管理体系审核报告 提交信息安全管理小组，经其审阅后报管理者代表， 内部管理体系审核报告作为管理评审的输入证据。1.8.2.4 纠正措施和跟踪验证a) 被审核部门经理制定纠正措施，填写在内审不合格报告中。b) 纠正措施完成后后，应将纠正措施完成情况填写到内审不合格报告相应栏内，然后将内审不合格报告交到审核组长。c) 审核组长视具体情况通知审核组复查， 跟踪验证纠正措施实施情况， 并将验证结果填写在内审不合格

24、报告中。1.8.2.5 审核记录审核组长应收集所有内部信息安全审核中发生的计划通知、 内部审核检查表、 记录、 审核报告、总结等原始资料，整理后由信息安全管理小组负责保管内审相关记录。1.8.3ISMS 管理评审1.8.3.1 总则信息安全最高责任者为确认信息安全管理体系的适宜性、 充分性和有效性， 每年对信息安全管理体系进行一次全面评审。 该管理评审应包括对信息安全管理体系是否需改进或变更的评价， 以及对信息安全方针和信息安全管理目标的评价。 管理评审的结果应形成书面记录，并至少保存3 年，按照文件控制程序的要求进行受控访问。1.8.3.2 管理评审的输入供信息安全管理最高在管理评审时， 信

25、息安全管理小组应组织相关部门提供以下资料，责任者和各部门负责人进行评审：a) ISMS体系内、外部审核的结果；b) 相关方的反馈(投诉、抱怨、建议) ；c) 可以用来改进ISMS业绩和有效性的新技术、产品或程序；d) 信息安全目标达成情况，纠正和预防措施的实施情况；e) 信息安全事故或征兆，以往风险评估时未充分考虑到的薄弱点或威胁；f) 上次管理评审时决定事项的实施情况；g) 可能影响信息安全管理体系变更的事项(标准、法律法规、相关方要求) ；h) 对信息安全管理体系改善的建议；i) 有效性测量结果。1.8.3.3 管理评审的输出信息安全管理最高责任者对以下事项做出必要的指示：a) 信息安全管

26、理体系有效性的改善事项；b) 信息安全方针适宜性的评价；c) 必要时， 对影响信息安全的控制流程进行变更， 以应对包括以下变化的内外部事件对信息安全体系的影响：?业务发展要求；?信息安全要求；?业务流程；?法律法规要求；风险水平 / 可接受风险水平。d) 对资源的需求。以上内容的详细规定见管理评审控制程序 。1.9 改进1.9.1 不符合和纠正措施发生不符合事项的责任部门在查明原因的基础上制定并实施相应的纠正措施， 以消除不符和的原因，防止不符合事项再次发生。信息安全管理小组负责制定 纠正措施控制程序 并组织问题发生部门针对发现的不符合现象分析原因、制定纠正措施，以消除不符合，并防止不符合的再

27、次发生。对纠正措施的实施和验证规定以下步骤：a) 识别不符合；b) 确定不符合的原因；c) 评价确保不符合不再发生的措施要求；d) 确定和实施所需的纠正措施；e) 记录所采取措施的结果；f) 评审所采取的纠正措施，将重大纠正措施提交管理评审讨论。1.9.2 持续改进公司的持续改进是信息安全管理体系得以持续保持其有效性的保证， 公司在其信息管理体系安全方针、 安全目标、安全审核、监视事态的分析、 纠正措施以及管理评审方面都要持续改进信息安全管理体系的有效性。本公司开展以下活动，以确保ISMS的持续改进:a) 实施每年管理评审、内部审核、安全检查等活动以确定需改进的项目；b) 按照 内部审核管理程

28、序 、 纠正措施管理程序 的要求采取适当的纠正和预防措施；c) 吸取其他组织及本公司安全事故的经验教训，不断改进安全措施的有效性；d) 对信息安全目标及分解进行适当的管理，确保改进达到预期的效果；为了确保信息安全管理体系的持续有效， 各级管理者应通过适当的手段保持在公司内部对信息安全措施的执行情况与结果进行有效的沟通。 包括获取外部信息安全专家的建议、 信息安全政府行政主管部门、电信运营商等组织的联系及识别顾客对信息安全的要求等。如：管理评审会议、 内部审核报告、 公司内文件体系、 内部网络和邮件系统、法律法规评估报告1.10 信息安全管理方针方针 公司的信息安全管理方针：安全第一，预防为主；

29、全员参与，综治风险；遵纪守法，提高绩效；成本可控，持续发展。对于信息安全方针的解释：a）满足客户要求：满足顾客的要求是企业运营的必然选择。b）保障信息安全：信息安全是企业管理的重中之重。c） 遵守法律法规：遵守法律法规是企业生存之前提，满足法律法规及相关行业标准/技术规范的要求也是本公司必须承担的社会责任。d）持续改进管理：控制风险是前提，风险自身是动态的过程。通过各种方式提升公司员工的信息安全意识，提高公司的信息安全管理过程。本公司承诺提供一切可能的资源与先进的技术，保证信息的保密性、可用性和完整性， 有针对性地采取一切必要的安全措施。使用有效的风险评估的工具和方法，严格控制风险事故在可接受

30、风险范围之内。制订周密可靠的应急方案并定期进行演练，关键信息数据异地备份，制订业务连续性计划，以确保业务的持续进行。为了满足适用法律法规及相关方要求，维持计算机系统集成及服务、计算机应用软件的设计开发及服务活动的正常进行，本公司依据ISO/IEC27001:2013标准，建立信息安全管理体系，以保证与公司经营管理相关信息的保密性、完整性、可用性和可追溯性，实现业务可持续发展的目的。本公司将：a）在公司内各层次建立完整的信息安全管理组织机构，确定信息安全方针、 安全保密目标和控制措施，明确信息安全的管理职责；b）识别并满足适用法律、法规和相关方信息安全要求；c） 定期进行信息安全风险评估，ISM

31、S评审，采取纠正预防措施，保证体系的持续有效性；d） 采用先进有效的设施和技术，处理、传递、储存和保护各类信息，实现信息共享；e） 对全体员工进行持续的信息安全教育和培训， 不断增强员工的信息安全意识和能力；f） 制定并保持完善的业务连续性计划，实现可持续发展。上述方针的批准、 发布及修订由公司信息安全最高责任者负责； 通过培训、 宣贯等方式使得本公司员工知晓并执行相关内容； 通过有效途径告知服务相关方及客户， 以提高安全保密意识及服务水平；并定期通过管理评审控制程序评审其适用性、充分性，必要时予以修订。组织的角色，职责和权限公司经营管理层决定全公司的组织机构和各部门的职责（包括信息安全职责）

32、 ，并形成文件。各部门的信息安全管理职责决定本部门组织形式和业务分担，并形成文件。总经理为本公司信息安全最高责任者。 各部门 / 项目组负责人为本部门 / 项目组信息安全管理责任者，全体员工都应按保密承诺的要求自觉履行信息安全保密义务；各部门应按照信息安全适用性声明中规定的安全目标、控制措施（包括安全运行的各种控制程序）的要求实施信息安全控制措施。2、制度与规范、业务流程2.1 信息安全与保密管理制度2.1.1 为了保证项目网络数据的安全保密，维持安全可靠的计算机应用环境，特制定本规定。2.1.2 凡项目组从事项目管理工作的员工都必须执行本规定。2.1.3 项目的合同、需求说明、设计变更、工作

33、联系单、工程洽商单、经济签证单、公司内部资料等必须由各部门信息管理员妥善管理， 严禁外借， 严禁非相关人员传阅、 查看。1.1.1.1 在未经许可的情况下，不得擅自对处计算机及其相关设备的硬件部分进行修改、改装或拆卸配置，包括添加光驱、软驱，挂接硬盘等读写设备，以及增加串口或并口外 围设备，如扫描仪、打印机等。1.1.1.2 非我项目的计算机及任何外设，不得接入网络系统。1.1.1.3 严禁私自开启计算机机箱封条或机箱锁。1.1.5 凡使用项目配备计算机网络系统的员工，必须遵守以下规定；1.1.5.1 未经批准，严禁非本项目工作人员使用除计算机及任何相关设备。1.1.5.2 对新上网使用办公网

34、络系统的员工，由办公室负责上岗前的计算机网络设备 系统安全及信息保密的技术培训工作。1.1.5.3 未经批准，任何人严禁将其以任何形式（如数据形式： Internet 、软盘、光 盘、硬磁盘等；硬拷贝形式：图纸打印、复印、照片等）复制、传输或对外提供。1.1.5.4 任何员工均不得超越权限侵入网络中未开放的信息，不得擅自修改入库数据资料和修改他人数据资料。1.1.6 严格执行国家、有关保密、安全及办公自动化系统的有关法律、法规的规定和要求。各部门应自觉按照有关规定和要求配合做好保密和信息安全工作。1.1.7 任何经由我公司外网接入互联网的员工，必须严格遵守国家有关法律、法规。1.1.8 凡使用

35、公司网络系统的员工，必须配合网络管理员做好防病毒工作。1.1.8.1 由办公室负责网络防病毒工作。 信息维护员负责实施防病毒的日常管理工作。1.1.8.2 凡装有可与外界进行数据传输的设备的计算机，必须安装防病毒程序，办公 室定期对防病毒程序进行升级，增强对病毒的查杀能力。1.1.8.3 凡需入网传输数据的盘片，由网络管理员负责检查、清查计算机病毒，确保没有病毒后方可传输数据。1.1.8.4 员工在使用过程中如发现计算机病毒，应立即停止进行任何程序并报告网络管理员， 如遇到现有防病毒程序无法清杀的病毒， 网络管理员必须先将受感染的计算机从网络上隔开，协助员工做好数据备份工作，并为用户恢复系统。

36、1.1.9 分公司办公室定期对有关部门进行计算机网络系统安全和数据保密检查，并将检查结果向处保密工作小组汇报。1.1.10 涉及项目信息安全与保密的管理人员均需要对本制度相关具体要求， 进行保密工作承诺。2.2 文件加密管理制度2.2.1 目的为规范公司重要文件的安全管理级别，通过文件外发控制以及加密管理，防止公司机密文件外泄，保障公司信息安全。2.2.2 范围本管理制度适用于所有安装加密软件用户。2.2.3 重要文件定义需要保护的公司重要电子文档包含：公司财务数据，公司人员信息总表，各部门培训课件，采购部商品分析表，薪资表，工程图纸，市场部合同信息，公司 vip 信息汇总表。2.2.4 职责

37、与权限所有安装加密软件用户必须按照本制度规定进行执行；网管负责人负责加密软件的日常维护，安装管理，以及加密软件权限分配；综合部负责监管。2.2.5 规定描述：2.2.5.1 文件加密类型 目前对所有安装加密软件的用户电脑的重要文件进行加密处理。2.2.5.2 文件传播方式控制2.2.5.3 禁止通过复制/剪贴方式进行外发信息；2.2.5.4 重要文件在创建或编辑时必须在指定机器上操作并进行加密。所有通过U盘、E-mail、QQ MSN工具传送的重要文件，都必须经过部门主管许可才允许。2.2.5.5 公司部提倡远程工作及登录服务器，如有必要需进行申请，开放端口，并通过加 密的方式进行通讯。2.2

38、.5.6 文件外发控制管理重要文件需要传递到没有安装加密软件用户或者外发到公司外部，必须由各部门制定人 员经过加密处理后才允许外发。.2.2.6 对违反本规定者按照员工手册的有关规定处理。2.2.7 .本制度由网管员编撰、修改、执行，自总经理批准之日起开始执行。2.3 信息安全奖惩管理办法2.3.1 目的明确信息安全奖励与违规行为处罚的操作原则，强化执行，促进员工信息安全意识提升。2.3.2 适用范围本规范适用于我公司内部信息安全事件的奖惩。2.3.3 定义序号角色职责001信息安全事件指识别出的发生的系统、 服务或网络事件表明可能违反信息安全策略或防护措施失效；或以前未知的与安全相关的情况；

39、其中一、二级信息安全事件称为重大信息安全事件。002信息安全活动为培养员工信息安全意识，提高公司整体安全水平而举办的活动，形式包括但不限于：考试、培训、宣传和自查。2.3.4 职责与权限序号角色职责001员工遵守公司信息安全管理制度，积极配合、参与信息安全活动。002各部门信息安全接口人协助公司信息安全管理制度、产品的宣传与培训工作；负责对部门信息 安全问题进行汇总与反馈。003部门主管是部门信息安全的直接责任人，负责监督和管理本部门员工的信息安全 行为，并对潜在的信息安全风险进行预警，预防信息安全事件。004部门经理作为部门信息安全的间接责任人，熟悉公司信息安全战略，并积极推动信息安全策略的

40、落地执行。005部门副总对所负责部门的信息安全事件负相应的管理责任。006IT部信息安全组对信息安全事件进行跟踪处理，并确定事件责任人。007总经理最终审批信息安全事件处罚申请。008总经理最终审批信息安全事件处罚申请。2.3.5 内容2.3.5.1 奖励、违规行为处罚原则及时激励原则对长期妥善保护公司信息资产，有效避免信息资产的遗失、滥用、盗用等，或对于促进 信息安全合理共享表现突出的个人或者集体，将及时奖励。举报保密原则对于举报信息安全违规行为的人员，将对其进行奖励并严格保护其个人资料不公开。违规行为处罚原则? 法律追究原则公司所有保密信息均为公司合法资产，受国家法律法规保护。任何损害公司

41、保密信息的行为，公司均有权追究行为人法律责任。? 违规分级原则根据违规行为的性质、造成的损失和影响的严重程度、违规人员是否有意对违规行为分 级。涉及关键信息资产的，违规等级要升级；一次违反多条信息安全规定的人员按最高违规 等级从重处罚；对多次违反信息安全规定的人员再次违规时要从重处罚。? 主动从宽原则产生违规行为后主动报告，积极采取补救措施以减少影响和损失的人员，可减轻处罚； 对问题隐瞒不报或者不及时上报而导致违规影响扩大的人员，加重处罚。? 过度防卫处罚原则对阻碍信息合理流动与共享的人员要给予处罚。? 及时处理原则对重大信息安全违规事件，要及时处理。任何拖延、推诿不处理的责任人，要给予问责。

42、2.3.5.2 奖励等级与责任部门奖励等级与措施奖励事迹奖励等级奖励措施举报或者制止泄密、窃密或者其他严重损害公司利益事件的集体或者个人一级根据具体情况给予8000元集体奖励或 者5000元个人奖励；通报表扬（遵循“举报保密原则“淡化事迹并隐藏人员 信息）。制止他人违规行为或者即时反映可能造成泄密、窃密或者具他重大安全 隐患的个人，以及在信息安全方面做二级根据具体情况集体奖5000元或者3000个人奖励；通报表扬（遵循“举报保密出表率或者突出贝献的集体原则“淡化事迹并隐藏人员信息）。在信息安全管理中做出贡献，反映/息安全隐患或者过度防卫被核实、提出信息安全合理化建议并被采纳的个人，以及在信息安

43、全方面做出贡献的集体三级根据具体情况给予3000元集体奖励或者1000元个人奖励。奖励责任部门1）对于满足信息安全奖励标准的集体或者个人，IT部信息安全组可根据具体事迹定期进行申报，审批通过后由综合部根据公司财务制度进行发放奖金；2）各部门信息安全接口人可自行组织对本部门优秀信息安全集体或者个人进行奖励。违规等级与措施违规事件违规等级处罚措施盗窃、故意泄露公司保密信 息的，或故意违反信息安全 管理规定，性质严重造成重 大影响或者风险一级1 .直接开除，永不录用；2 .如违反法律法规由公司法务部移送公安机关处理；如给公司造成相关损失，须赔偿公 司损失。3 .全公司范围内通报处罚决定。故意违反信息

44、安全规定，性 质严重；或者造成较大影响 或较大风险二级1 .如给公司造成相关损失，须赔偿公司损失；2 .担任公司管理岗位的人员，进行降职或者降 薪处理；非公司管理岗位的人员，进行降薪 处理；3 .全公司范围内通报处罚决定。过失违反信息安全管理规定，造成口频者风险三级1.记入关键事件考评结果减10分或罚款500元；的；或者故意违反信息安全 管理规定，但性质不严重且 没有造成严重影响或风险2 . 12个月内2次三级违规升级为1次二级违规。3 .部门内部通报处罚决定。过失违反信息安全管理规定，性质较轻，且造成轻微影响或者风险四级1.记入关键事件考评结果减5分或罚款300兀；2.12个月内2次四级违规

45、升级为1次三级违规；3.部门内部通报处罚决定。说明：1）信息安全管理规定包括公司各部门正式发布的信息安全管理制度；2）上表中“违规事件”的描述是定性的描述，是违规事件定级的参考原则。常见违规行为所适用违规等级具体参考附件1:常见违规行为及其适用处罚等级举例，其他违规行为所使用等级可参考举例进行认定。责任判定1）发生一、二级重大信息安全事件违规时，违规者直接上级和部门经理承担直接和间接责任，部门副总须承担连带管理责任，并按照常见违规行为及其适用处罚等级举例V1.0适用条款进行处罚；2）对于三、四级信息安全违规，根据以下条件判断责任人直接上级是否连带处罚：? 员工无意违规，且责任人领导未进行审批授

46、权的，不进行连带处罚；? 员工无意违规，但责任人领导进行包庇的，在事实确认的基础上，进行连带处罚；? 若所管理部门一个月内发生 2次（含）以上故意违规或者 4次（含）以上无意违规事件， 对直接上级进行连带处罚。处罚责任部门处罚等级处罚责任人批准申诉一级总经理/综合部二级总经理/综合部三级部门分管副总IT部信息安全组综合部四级部门分管副总IT部信息安全组综合部说明:1）对于各类违规行为处罚应当慎重，应建立在客观事实的基础上给出处罚意见。根据违规行为性质、造成的损失和影响的大小，IT部信息安全组有权要求对当事人加重或者减轻处罚；2）发现可疑事件的组织作为事件调查和处理的责任部门。为了加快一级违规行

47、为的处理进度，沟通时限和批准期限都是2天；3）在违规事件处理过程中，IT部信息安全组协助与监督处罚责任人完成处罚执行工作。处罚责任人或其授权人员要做好与违规员工的沟通工作。对违规处罚过程中出现的拖延、推诿行为，IT部信息安全组可以行使否决权。维护与解释1）本规定发布之日起生效；2）本规定由信息安全组至少每两年审视一次，根据审核结果修订标准并颁布执行；3）本规定解释权归信息安全组。2.4 计算机数据备份管理规定为保证本公司计算机所保存的数据和信息安全，加强和规范公司计算机数据和信息管理，特制定本规定。本办法适用于公司所有使用计算机进行日常办公、信息化系统操作、自动化控制系统操作的部门与员工，本规

48、定自下发之日起执行。2.4.1 职责涉及到信息监控系统、自动化控2.4.1.1 计算机使用者负责所使用计算机的数据备份操作,制系统用计算机，有关单位和部门要指定专人负责。2.4.1.2 各单位、 部门的负责人是本部门数据备份管理、 信息安全管理的第一责任人。 各部门负责人要了解本部门需要备份的数据内容与类型， 落实备份要求， 防范可能出现的数据风险，对本部门数据备份情况要进行不定期抽查，对不按规定备份要立即予以纠正。2.4.1.3 研发部网络管理员负责公司各部门数据备份技术支持、培训、监督核查工作。2.4.2 数据备份管理2.4.2.1 备份方法及要求2.4.2.1.1 数据备份采用人工备份的

49、方式，备份分重要数据备份、重要文档资料备份、信息监控系统数据库原始数据备份、 计算机操作系统备份、 应用软件备份。 所有备份工作必须由操作人员做详细记录，要求记录备份的内容、时间及次数。2.4.2.1.2 计算机需要备份的数据、文档资料要随时归档备份并异地存放 , 每周至少备份一次，日新增数据量大、财务、销售、经营调度等部门的数据必须每天备份一次，每月整理一次，备份方法实行三重备份方式，即本地硬盘、移动存储设备（网络硬盘） 、光盘刻录保存并进行异地存储。 备份介质由各部门自行准备， 并妥善保管。 计算机操作系统应使用正版软件， 每周打一次补丁， 每季度用 Ghost 做镜像备份。应用软件更新后

50、，及时用光盘刻录方式转存。2.4.2.1.3 每年元月，各部门将上一年的所有数据分类，完整、真实、准确地以刻录光盘的形式存档，然后交由部门负责人保管。2.4.2.1.4 应定期检查备份介质的可用性，若发现介质已经不能使用，应及时更换新介质并对重要数据进行转存处理。2.4.2.1.5 备份数据资料保管地点必须满足防火、防热、防潮、防尘、防盗等条件，并指定专人保存。2.4.2.1.6 计算机需要重装操作系统时，必须自行确认其系统所在硬盘所有盘符中重要数据有异地备份， 以防止意外发生 （有少数计算机会因病毒、硬盘损坏或是磁盘分区问题，存在重装系统后若干磁盘打不开提示格式化现象）2.4.2.1.7研发

51、部软件开发代码及文档备份必须同时满足本地及云端要求。2.4.2.2 关于数据丢失2.4.2.2.1 网络管理员在对各部门备份数据核查的过程中， 发现数据未备份或是备份不及时、不完整的情况，应及时指出，并向全公司通报。2.4.2.2.2 因可控的人为原因造成重要数据 （例如行政办公、 技术、 销售、 人事及财务等）遗失的， 公司根据损失情况将对责任人进行严厉处罚， 涉及到企业安全的， 依法追究刑事责任。2.4.2.2.3 如因违反计算机数据备份管理规定，造成备份数据不完整或丢失，由此造成的损失及数据恢复费用由各部门自己承担。2.4.2.2.4 各部门统一由研发部安装正版网络杀毒软件， 并定期更新

52、病毒数据库和定期查杀毒， 如果因杀毒软件误操作破坏数据， 各部门应保持原始状态， 由研发部联系杀毒软件服务商进行数据恢复。2.4.3 数据保密2.4.3.1 根据公司保密要求，严禁外泄备份的数据，否则以故意泄露公司商业机密论处。2.4.3.2 除公司数据备份管理人员外， 任何人无权询问、 刺探、 破解其他部门数据备份的信息内容。2.4.3.3 员工离职时，必须将重要数据与本部门相关人员交接清楚。2.4.3.4 外请计算机维护人员进行系统维护时， 本部门人员必须全程陪同并监督， 严禁维护人员以任何形式拷贝任何资料。2.5 服务器安全管理办法2.5.1 总则为本公司业务正常运行，特制定本管理办法。

53、2.5.2 日常管理第二条 服务器由维护组人员进行管理并授权与建站服务相关的人员使用，明确各自服务器的用途、应用范围及使用对象，并对整个系统资源进行合理的规划。第三条服务器管理员和服务器使用人员应遵守服务器安装工作流程，从系统划分、安全设置等方面规范管理工作。第四条系统管理员负责各自服务器的日常管理和维护，主要有：用户帐户的管理、网络管理、数据库管理、服务器系统运行状态的监控、以及各应用系统使用资源情况统计，并合理地分配系统资源。第五条 服务器使用员负责对自己上传的网站或文件进行日常的管理和维护，主要有文件的更新，修改，网站及网站相关的文件和代码安全和漏洞的检查和管理，病毒和木马的清除。第六条

54、为确保系统安全性、可靠性及文件、数据的一致性和完整性，必须对系统进行备份工作。管理员根据各自服务器的情况，制定出相应的备份及恢复策略，定期进行备份。第七条系统管理员要深入了解系统的工作原理，不断提高系统的管理水平。在系统出现一般性的故障或错误时， 能及时予以排除； 而出现重大问题时， 可通过系统的恢复等手段加以解决。第八条 系统管理员对负责的服务器应提供详细的文档，包括系统安装、各种软件的安装、开关机步骤及安全的设置等信息。研发部对软件在作业系统的执行进行严格控制， 在新软件安装或软件升级之前， 应经主管部门负责人审核同意后方可进行。计算机终端用户除非授权，否则严禁私自安装任何软件。 。第十条

55、 系统管理员和相关使用人员建立系统维护管理手册，对自己所做的各项工作要有详细的记录。如：1. 系统问题的发现，原因分析，解决方案，管理的改进；2. 建立“任务申请表”制度，使管理工作有案可查、有章可寻；3. 系统的备份日期、内容、类别、操作者等；4. 系统及软件的安装或版本升级，要有时间和内容的详细记录；4. 网站的新增、修改、删除，数据库的各种操作。第十一条 系统管理员必须定期更改服务器帐号，特别是超级用户的管理密码，建议每月的1-5 日将各自管理的服务器帐号进行更新。4.3.3 工作权责服务器上的维护内容有如下几点：操作系统安装与配置，服务器安全设置，补丁更新，系统安全检测WE困艮务（II

56、S ）安装与配置，ASP/ASP酒站配置，数据库（MSSQL安装与配置主站网站维护（网站）网站服务器维护（所有建站服务器及正在运行VPS）虚拟空间网站维护服务器代码备份，数据备份服务器软件检测（FTR虚拟网卡、网站所需组件）服务器用户账号管理DNS勺搭建与配置服务器盘符目录设定及约束4.3.4 权责明细4.3.4.1 权限范围：服务器的安全检测保证服务器上各软件的运行情况DN2艮务器的正常运行服务器安全设置、系统补丁的更新。服务器所需组件的安装及添加监控服务器中各网站的运行情况保证邮件服务器的正常运行服务器盘符目录设定及约束对VPS的监控及分配服务器数据库备份网站网站程序备份本网站所有网站程序

57、和数据库备份节假日服务器运行情况监控FTP帐号管理，上传网站程序。对网站代码及目录进行检测，随时发现可能出现的木马。4.3.4.2 约定第一条严禁对服务器中每个盘符所设定的目录进行更改或者随意添加。第二条管理人不得将服务器管理账号转借他人。管理人未经总经理签字许可不得将数据库内容导出给他人。只允许服务器管理人通过FTP上传数据到服务器上（已经告知FTP的网站用户除外）第五条管理人不得在服务器上安装任何与系统安全和网站运行无关的软件和应用程序。第六条管理人不得开服务器上开设除网站本网站以外的站点和空间。第七条管理人不得为其他工作人员开放职权范围外的权限。4.3.5 数据备份第一条 正常工作日每天

58、登录服务器，查看服务运行状态是否正常。第二条 管理人每周对服务器数据库备份至少一次，保存于服务器中。第三条管理人每次大假前必须将数据库以及网站所有程序及资料备份交下载到本地进行保存。3、对应的管理架构3.1职能分配表管理职责管 理 层信息安全小组商务部财务部研发部办公室运维部工程部4组织 背景4.1了解组织和它的背景OOOOOOO4.2理解相美方的需求和期 望OOOOOOO4.3确定ISMS的范围OOOO4.4 ISMSOOOOOO5领导 力5.1领导力和承诺OOOOOO5.2方针OOOOOO5.3组织的角色、职责和权限OOOOOO6计划6.1处理风险和机遇的 行动OOOOOO6.2可实现的信

59、息安全 目标和计划OOOOOO7支持7.1资源OOOO7.2能力OOOOOO7.3意识OOOOOO部门管理职责、管理层信息安全小商务部财务部研发部办公室运维部工程部7.4沟通OOOOOo7.5文档化的信息OOOOOo8运行8.1运行计划及控制OOOOOo8.2信息安全风险评估OOOOOOo8.3信息安全风险处置OOOOOOo9绩效 评价9.1监视、测量、分析和评 价OOOOOOo9.2内部审核OOOOOrro9.3管理评审OOOOOo10改进10.1不符合及纠正措施OOOOOFT)o10.2持续改进OOOOOo控制目标与控制要求A.5.1信息安全方针OOOOOooA.6.1内部组织OOOOOooA.6.2移动设备和远程办公OOOOOA.7.1任用前OOOOOooA.7.2任用中OOOOOooA.7.3任用终止和变更OOOOOoA.8.1资产的