網(wǎng)絡(luò)信息安全管理制度DOC 52頁(yè)[共62頁(yè)]

《網(wǎng)絡(luò)信息安全管理制度DOC 52頁(yè)[共62頁(yè)]》由會(huì)員分享，可在線閱讀，更多相關(guān)《網(wǎng)絡(luò)信息安全管理制度DOC 52頁(yè)[共62頁(yè)]（63頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、I目錄一、一、 物理訪問(wèn)制度 ISMS-3001.11.1. 目的 .12.2. 范圍 .13.3. 職責(zé) .14.4. 員工外出管理 .15.5. 來(lái)賓出入管理規(guī)定 .16.6. 相關(guān)記錄無(wú) .2二、二、 外部相關(guān)方信息安全管理規(guī)程 ISMS-3002.21.1. 目的 .22.2. 范圍 .23.3. 職責(zé) .24.4. 管理規(guī)定 .2三、三、 與政府相關(guān)資質(zhì)申報(bào)及年審規(guī)定 ISMS-3003.31.1. 目的: .32.2. 職責(zé): .33.3. 技術(shù)部相關(guān)管理要求: .34.4. 相關(guān)資質(zhì)申報(bào)年審管理要求 .3四、四、 信息系統(tǒng)容量規(guī)劃及驗(yàn)收管理制度 ISMS-3004.41.1. 目

2、的 .42.2. 范圍 .43.3. 職責(zé) .44.4. 內(nèi)容 .4五、五、 信息資產(chǎn)密級(jí)管理規(guī)定 ISMS-3005.41.1. 目的 .52.2. 范圍 .53.3. 保密信息定義 .54.4. 秘密等級(jí)區(qū)分 .55.5. 信息的分類(lèi) .5II6.6. 保密文件的標(biāo)識(shí) .57.7. 傳送 .68.8. 其它 .6六、六、 信息系統(tǒng)設(shè)備管理規(guī)定 ISMS-3006.61.1. 目的和范圍 .72.2. 引用文件 .73.3. 職責(zé) .74.4. 設(shè)備管理流程 .75.5. 實(shí)施策略 .106.6. 相關(guān)記錄 .10七、七、 機(jī)房管理規(guī)定 ISMS-3007.101.1. 目的和范圍 .102

3、.2. 引用文件 .113.3. 職責(zé)和權(quán)限 .114.4. 機(jī)房出入制度 .115.5. 機(jī)房環(huán)境管理 .116.6. 機(jī)房設(shè)備管理 .127.7. 相關(guān)記錄 .12八、八、 筆記本電腦管理規(guī)定 ISMS-3008.131.1. 目的 .132.2. 引用文件 .133.3. 職責(zé)和權(quán)限 .134.4. 筆記本電腦使用規(guī)定 .135.5. 安全配置規(guī)定 .146.6. 外部人員使用筆記本的規(guī)定 .147.7. 客戶現(xiàn)場(chǎng)管理規(guī)定 .158.8. 實(shí)施策略 .159.9. 相關(guān)記錄 .15九、九、 介質(zhì)管理規(guī)定 ISMS-3009.151.1. 目的和范圍 .152.2. 引用文件 .15III

4、3.3. 職責(zé)和權(quán)限 .164.4. 介質(zhì)管理 .165.5. 實(shí)施策略 .186.6. 相關(guān)記錄 .18十、十、 變更管理規(guī)定 ISMS-3010.181.1. 目的 .182.2. 引用文件 .183.3. 職責(zé)和權(quán)限 .194.4. 變更步驟管理 .195.5. 程序 .19十一、十一、 第三方服務(wù)管理規(guī)定 ISMS-3011.211.1. 目的和范圍 .212.2. 引用文件 .213.3. 職責(zé)和權(quán)限 .214.4. 第三方服務(wù)管理規(guī)定 .215.5. 實(shí)施策略 .22十二、十二、 數(shù)據(jù)備份管理規(guī)定 ISMS-3012.231.1. 目的和范圍 .232.2. 引用文件 .233.3

5、. 職責(zé)和權(quán)限 .234.4. 備份管理 .235.5. 備份的驗(yàn)證 .24十三、十三、 郵件管理規(guī)定 ISMS-3013.251.1. 目的和范圍 .252.2. 引用文件 .253.3. 職責(zé)和權(quán)限 .254.4. 電子郵件的帳戶管理 .255.5. 電子郵件使用規(guī)定 .266.6. 郵件使用規(guī)定 .267.7. 實(shí)施策略 .278.8. 相關(guān)記錄 .27IV十四、十四、 軟件管理規(guī)定 ISMS-3014.271.1. 目的和范圍 .272.2. 引用文件 .273.3. 職責(zé)與權(quán)限 .274.4. 軟件管理 .285.5. 審核、批準(zhǔn)、發(fā)布 .286.6. 軟件歸檔和存放 .287.7.

6、 軟件使用 .298.8. 修訂與升級(jí) .299.9. 軟件作廢 .2910.10. 實(shí)施策略 .2911.11. 相關(guān)記錄 .30十五、十五、 系統(tǒng)監(jiān)控管理規(guī)定 ISMS-3015.301.1. 目的 .302.2. 引用文件 .303.3. 職責(zé) .304.4. 系統(tǒng)監(jiān)控管理 .30十六、十六、 補(bǔ)丁管理規(guī)定 ISMS-3016.311.1. 目的 .312.2. 引用文件 .313.3. 職責(zé)與權(quán)限 .314.4. 補(bǔ)丁管理規(guī)定 .315.5. 其他補(bǔ)丁： .326.6. 實(shí)施策略 .327.7. 相關(guān)記錄 .33十七、十七、 信息系統(tǒng)審核規(guī)范 ISMS-3017.331.1. 目的和范

7、圍 .332.2. 術(shù)語(yǔ)和定義 .333.3. 引用文件 .334.4. 職責(zé)和權(quán)限 .345.5. 活動(dòng)描述 .34V6.6. 審核注意事項(xiàng)： .35十八、十八、 基礎(chǔ)設(shè)施及服務(wù)器網(wǎng)絡(luò)管理制度 ISMS-3018.351.1. 機(jī)房安全管理程序 .352.2. 重要信息備份管理程序 .383.3. 目的 .394.4. 機(jī)房設(shè)備維護(hù)管理制度 .41十九、十九、 信息系統(tǒng)安全應(yīng)急預(yù)案 ISMS-3019.421.1. 電力系統(tǒng)故障的應(yīng)急處理 .422.2. 消防系統(tǒng)應(yīng)急處理 .423.3. 網(wǎng)絡(luò)信息系統(tǒng)故障的應(yīng)急處理 .434.4. 網(wǎng)站與應(yīng)用系統(tǒng)應(yīng)急處理 .435.5. 黑客入侵的應(yīng)急處理

8、.446.6. 大規(guī)模病毒（含惡意軟件）攻擊的應(yīng)急處理 .44二十、二十、 終端計(jì)算機(jī)使用管理制度 ISMS-3020.451.1. 計(jì)算機(jī)使用管理 .452.2. 存儲(chǔ)介質(zhì)的管理 .473.3. 辦公軟件使用管理規(guī)定 .48二十一、二十一、 信息安全管理規(guī)范和操作指南 ISMS-3021.511.1. 總則 .512.2. 物理安全 .523.3. 計(jì)算機(jī)的物理安全管理 .524.4. 緊急情況 .525.5. 網(wǎng)絡(luò)系統(tǒng)安全管理 .526.6. 網(wǎng)絡(luò)安全檢測(cè)。 .537.7. 信息系統(tǒng)安全管理 .538.8. 信息系統(tǒng)的內(nèi)部管理 .549.9. 密碼管理 .55網(wǎng)絡(luò)信息安全管理制度-版本 V

9、1.01一、一、 物理訪問(wèn)制度 ISMS-30011. 1. 目的為了保障公司辦公區(qū)域資訊信息安全和員工人身及財(cái)物安全，防止公司財(cái)產(chǎn)流失，特制定本制度。2. 2. 范圍本制度適用于公司員工外出及外來(lái)人員進(jìn)入公司出入管理。3. 3. 職責(zé)公司設(shè)立接待人員,負(fù)責(zé)來(lái)訪人員登記管理。4. 4. 員工外出管理員工因工作需要外出,需向相應(yīng)上一級(jí)主管作出事由說(shuō)明,經(jīng)批準(zhǔn)后方可外出。到客戶現(xiàn)場(chǎng)提供服務(wù)或工作的人員,需帶公司胸卡。5. 5. 來(lái)賓出入管理規(guī)定(1)凡是來(lái)賓訪客（包括外包協(xié)作廠商、客戶及政府等來(lái)訪人員）進(jìn)入公司內(nèi)時(shí)，一律須出示其有效證件，說(shuō)明來(lái)訪事由，經(jīng)被訪人同意后，方可允許相關(guān)人員進(jìn)入辦公區(qū)。(

10、2)團(tuán)體來(lái)賓參觀時(shí)，在得到總經(jīng)理或副總的許可后，須由相關(guān)人員陪同方可進(jìn)入。(3)員工親友私事來(lái)訪時(shí)，除特殊緊急事故，經(jīng)其部門(mén)主管核準(zhǔn)外，不得在上班時(shí)間內(nèi)會(huì)客，親友須于會(huì)客區(qū)內(nèi)等候至下班時(shí)會(huì)見(jiàn)。(4)公司內(nèi)部核心區(qū)域出入管理規(guī)定1)敏感區(qū)域公司敏感區(qū)域主要為內(nèi)部機(jī)房和經(jīng)理室.公司安裝監(jiān)控器;實(shí)施辦公區(qū)域24 小時(shí)監(jiān)控.2)如需進(jìn)入上述敏感區(qū)域，需經(jīng)管理者代表/總經(jīng)理同意,否則不得進(jìn)入。網(wǎng)絡(luò)信息安全管理制度-版本 V1.02相關(guān)文件物理訪問(wèn)控制程序6. 6. 相關(guān)記錄無(wú)二、二、 外部相關(guān)方信息安全管理規(guī)程 ISMS-30021. 1. 目的為確保被外部相關(guān)方訪問(wèn)、處理、共享、管理的組織信息及信息處

11、理設(shè)施的安全，特制定本管理規(guī)定。2. 2. 范圍本管理規(guī)定適用于公司外部相關(guān)方(包括顧客.供方.第三方)管理。3. 3. 職責(zé)技術(shù)部系統(tǒng)管理員負(fù)責(zé)制定本規(guī)定并負(fù)責(zé)執(zhí)行。4. 4. 管理規(guī)定(1)第三方物理訪問(wèn)須經(jīng)公司被訪問(wèn)部門(mén)的授權(quán),具體執(zhí)行訪客管理制度.(2)公司與顧客需明確規(guī)定信息安全要求，公司規(guī)定在與客戶簽訂合同中需規(guī)定必要的安全要求。(3)服務(wù)器訪問(wèn)權(quán)需由技術(shù)部統(tǒng)一授權(quán)給用戶,一個(gè)用戶給予惟一賬號(hào),口令自行保管.(4)本公司公網(wǎng)接入服務(wù)提供方等為外包過(guò)程,此類(lèi)外包服務(wù)商應(yīng)由技術(shù)部組織簽訂服務(wù)協(xié)議/合同,并應(yīng)收集其相關(guān)資質(zhì),經(jīng)公司評(píng)估成為合格供方后方可與之進(jìn)行經(jīng)濟(jì)來(lái)往.(5)采購(gòu)供方或任

12、何其它相關(guān)方人員現(xiàn)場(chǎng)訪問(wèn)公司現(xiàn)場(chǎng)時(shí),需由技術(shù)部接待,需要涉及到公司重要應(yīng)用軟件、重要設(shè)施及重要數(shù)據(jù)的訪問(wèn)時(shí),必須由技術(shù)部人員授權(quán)方可使用或查閱,涉及到資料復(fù)制名外借時(shí),公司重要數(shù)據(jù)和文件需征得總經(jīng)理同意.(6)服務(wù)合同1 年注意更新。網(wǎng)絡(luò)信息安全管理制度-版本 V1.03三、三、 與政府相關(guān)資質(zhì)申報(bào)及年審規(guī)定 ISMS-30031. 1. 目的:為公司對(duì)外與政府相關(guān)部門(mén)的相關(guān)業(yè)務(wù)聯(lián)系提供指導(dǎo);2. 2. 職責(zé):技術(shù)部負(fù)責(zé)各項(xiàng)政府項(xiàng)目的申報(bào)。財(cái)務(wù)部負(fù)責(zé)報(bào)稅和營(yíng)業(yè)執(zhí)照年審。3. 3. 技術(shù)部相關(guān)管理要求:(1)申報(bào)相關(guān)流程;由技術(shù)部按各政府部門(mén)項(xiàng)目申報(bào)的要求下載相關(guān)表格,并按要求組織填報(bào).(2)申

13、報(bào)涉及到相關(guān)經(jīng)營(yíng)數(shù)據(jù)的審核相關(guān)經(jīng)營(yíng)數(shù)據(jù)在上報(bào)給政府部門(mén)前，先由核對(duì)數(shù)據(jù)，再交由綜合部，審核通過(guò)后由總經(jīng)理蓋公司公章。(3)技術(shù)部申報(bào)材料的備份管理所有上報(bào)給政府部門(mén)的文件數(shù)據(jù)都備份一份，由技術(shù)部資質(zhì)人員整理歸檔保存在辦公室檔案室中，并記錄檔案文件編號(hào)。(4)材料保密要求所有檔案文件材料由技術(shù)部專(zhuān)員負(fù)責(zé)看管，其他人員如要查閱，需先向技術(shù)申請(qǐng)，獲得總經(jīng)理批準(zhǔn)認(rèn)可后，到存放檔案的辦公室中查閱相關(guān)文件，檔案文件不允許帶出辦公室。4. 4. 相關(guān)資質(zhì)申報(bào)年審管理要求(1)報(bào)稅管理要求用政府財(cái)稅處相關(guān)報(bào)稅軟件，在線填寫(xiě)企業(yè)經(jīng)營(yíng)數(shù)據(jù)，完成后由軟件系統(tǒng)上報(bào)。(2)營(yíng)業(yè)執(zhí)照管理要求接到政府相關(guān)部門(mén)通知后，持企業(yè)

14、營(yíng)業(yè)執(zhí)照到指定政府辦事處辦理營(yíng)業(yè)執(zhí)照年審手續(xù)。網(wǎng)絡(luò)信息安全管理制度-版本 V1.04四、四、 信息系統(tǒng)容量規(guī)劃及驗(yàn)收管理制度 ISMS-30041. 1. 目的針對(duì)已確定的服務(wù)級(jí)別目標(biāo)和業(yè)務(wù)需求來(lái)設(shè)計(jì)、維持相應(yīng)的技術(shù)部服務(wù)能力，從而確保實(shí)際的技術(shù)部服務(wù)能夠滿足服務(wù)要求。2. 2. 范圍適用于公司所有硬件、軟件、外圍設(shè)備、人力資源容量管理。3. 3. 職責(zé)技術(shù)部負(fù)責(zé)確定、評(píng)估容量需求。4. 4. 內(nèi)容(1)容量管理包括：服務(wù)器,重要網(wǎng)絡(luò)設(shè)備：LAN、WAN、防火墻、路由器等；所有外圍設(shè)備：存儲(chǔ)設(shè)備、打印機(jī)等；所有軟件：操作系統(tǒng)、網(wǎng)絡(luò)、內(nèi)部開(kāi)發(fā)的軟件包和購(gòu)買(mǎi)的軟件包；人力資源：要維持有足夠技能的人

15、員。(2)對(duì)于每一個(gè)新的和正在進(jìn)行的活動(dòng)來(lái)說(shuō)，公司管理層應(yīng)識(shí)別容量要求。(3)公司管理層每年應(yīng)在管理評(píng)審時(shí)評(píng)審系統(tǒng)容量的可用性和效率。公司管理層應(yīng)特別關(guān)注與訂貨交貨周期或高成本相關(guān)的所有資源，并監(jiān)視關(guān)鍵系統(tǒng)資源的利用，識(shí)別和避免潛在的瓶頸及對(duì)關(guān)鍵員工的依賴(lài)。(4)技術(shù)部應(yīng)根據(jù)業(yè)務(wù)規(guī)劃、預(yù)測(cè)、趨勢(shì)或業(yè)務(wù)需求,定期預(yù)測(cè)施加于綜合部系統(tǒng)上的未來(lái)的業(yè)務(wù)負(fù)荷以及組織信息處理能力，以適當(dāng)?shù)某杀竞惋L(fēng)險(xiǎn)按時(shí)獲得所需的容量,五、五、 信息資產(chǎn)密級(jí)管理規(guī)定 ISMS-3005網(wǎng)絡(luò)信息安全管理制度-版本 V1.051. 1. 目的確保公司營(yíng)運(yùn)利益，并防止與公司營(yíng)運(yùn)相關(guān)的保密信息泄漏。2. 2. 范圍本辦法適用于公司

16、所有員工。3. 3. 保密信息定義保密信息指與公司營(yíng)運(yùn)相關(guān)且列入機(jī)密等級(jí)管理的相關(guān)信息。4. 4. 秘密等級(jí)區(qū)分機(jī)密等級(jí)分為秘密、內(nèi)控、公開(kāi)三類(lèi)，區(qū)分標(biāo)準(zhǔn)如下：(1)秘密：凡該信息泄漏后，足以嚴(yán)重?fù)p害本公司益或有于競(jìng)爭(zhēng)對(duì)手的。(2)內(nèi)控：凡該信息泄漏后，雖致直接影響本公司益，但可能使本公司經(jīng)營(yíng)管理因而造成困擾，需限制其閱讀對(duì)象的。(3)內(nèi)控：凡該信息泄漏后，雖致直接影響本公司益，但可能使本公司經(jīng)營(yíng)管理因而造成困擾，需限制其閱讀對(duì)象的。(4)公開(kāi)：指可對(duì)社會(huì)公開(kāi)的信息，公用的信息處理設(shè)備和系統(tǒng)資源.5. 5. 信息的分類(lèi)(1)信息資產(chǎn)的分類(lèi)可參見(jiàn)附件信息分類(lèi)表。如未列入分類(lèi)表的信息資產(chǎn)，可依照下

17、面的原則進(jìn)行判斷：(2)秘密，由信息保管單位主管判定，且至少須為部門(mén)以上主管。(3)內(nèi)控，由保密信息保管單位自行判定。6. 6. 保密文件的標(biāo)識(shí)(1)文件類(lèi)的信息在判定等級(jí)后，加蓋印章于文件及附件各頁(yè)右上角或其它明顯處。如頁(yè)數(shù)太多，得酌情抽頁(yè)蓋騎縫章。但絕密級(jí)信息應(yīng)予編碼管控。(2)非文件類(lèi)的保密信息，包括檔案、電子郵件、投影片等，于判定等網(wǎng)絡(luò)信息安全管理制度-版本 V1.06級(jí)后，應(yīng)于資料傳送顯示前告知使用人或相關(guān)人員該項(xiàng)信息的密級(jí)。(3)印章由技術(shù)部統(tǒng)一刻制，發(fā)放給各個(gè)部門(mén)使用。7. 7. 傳送(1)內(nèi)部傳送(2)秘密、內(nèi)控：保密信息保管單位應(yīng)將印刷形式保密信息密封后注明機(jī)密等級(jí)，再裝入傳

18、遞袋中發(fā)送收件人;軟件形式定稿和完整信息以電子郵件方式傳遞時(shí)應(yīng)加密;內(nèi)控信息可加密。(3)外部傳送：印刷形式保密信息于外部傳送時(shí)應(yīng)以掛號(hào)函件或其它適當(dāng)方式寄送收件人。任何軟件形式的機(jī)密等級(jí)信息于公司外系統(tǒng)、或于公司外使用環(huán)境情況下，非經(jīng)加密均得以電子郵件方式傳遞，以避免遭攔截轉(zhuǎn)送。(4)其它未判定為任一機(jī)密等級(jí)但仍具有敏感性或半成品性質(zhì)的信息于傳送前可應(yīng)視情況加密。8. 8. 其它(1)保密信息得用于公司以外的公開(kāi)活動(dòng)（如演講、授課、一般資料調(diào)查、出版發(fā)行等），如須于前述活動(dòng)使用，應(yīng)準(zhǔn)用第五條的規(guī)定，并經(jīng)管理者代表核準(zhǔn)。(2)保密信息應(yīng)由管代/相關(guān)負(fù)責(zé)人妥善保管，并善盡管理保護(hù)職責(zé)。(3)離職

19、員工應(yīng)繳出其所持歸公司所有的一切資料及其任何形式復(fù)印件、副本，并確定確實(shí)歸還全部所持公司文件。(4)新進(jìn)人員于入職當(dāng)天即應(yīng)簽署員工保密合約，在新進(jìn)人員簽署上述文件時(shí)，綜合部應(yīng)對(duì)合約書(shū)上有關(guān)企業(yè)保密信息等有關(guān)條文詳加說(shuō)明與解釋?zhuān)瑒?wù)必使新進(jìn)人員充分了解并遵守企業(yè)保密信息有關(guān)事項(xiàng)。(5)保管人員判定保密信息無(wú)繼續(xù)保存的必要時(shí)，可經(jīng)各判定主管的上一級(jí)主管核準(zhǔn)后銷(xiāo)毀。絕密信息、機(jī)密信息無(wú)保存必要時(shí)，應(yīng)將正本連同復(fù)印的保密信息，由原保管單位統(tǒng)一收回銷(xiāo)毀。(6)本辦法經(jīng)總經(jīng)理核準(zhǔn)后公告實(shí)施，修訂時(shí)亦同。網(wǎng)絡(luò)信息安全管理制度-版本 V1.07六、六、 信息系統(tǒng)設(shè)備管理規(guī)定 ISMS-30061. 1. 目的和

20、范圍本程序是對(duì)信息資產(chǎn)分類(lèi)中物理資產(chǎn)下的硬件設(shè)備的規(guī)劃、購(gòu)置、安裝、驗(yàn)收、使用、維護(hù)、處置等各階段進(jìn)行有效控制，在保證設(shè)備安全的前提下最大限度發(fā)揮設(shè)備的效能，同時(shí)減少由于設(shè)備入網(wǎng)造成安全安全風(fēng)險(xiǎn)。2. 2. 引用文件(1)下列文件中的條款通過(guò)本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門(mén)研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。(2)ISO/IEC27001:2005 信息技術(shù)-安全技術(shù)-信息安全管理體系要求(3)ISO/IEC27002:2005 信息技術(shù)-安全技術(shù)

21、-信息安全管理實(shí)施細(xì)則(4)介質(zhì)管理規(guī)定(5)筆記本電腦管理規(guī)定(6)機(jī)房管理規(guī)定3. 3. 職責(zé)1)技術(shù)部:負(fù)責(zé)信息設(shè)備的規(guī)劃、安裝、驗(yàn)收、使用、維護(hù)、處置。信息設(shè)備指公司綜合部建設(shè)方面所需的硬件設(shè)備。負(fù)責(zé)重大設(shè)備或新類(lèi)設(shè)備的安全評(píng)估、風(fēng)險(xiǎn)分析和安全驗(yàn)收。4. 4. 設(shè)備管理流程(1)設(shè)備入網(wǎng)1)需按設(shè)備本身提供的“設(shè)備安全操作說(shuō)明書(shū)”進(jìn)行正確操作和使用，設(shè)備在日常使用過(guò)程中應(yīng)注意安全；2)系統(tǒng)工程師應(yīng)查找有關(guān)的風(fēng)險(xiǎn)評(píng)估報(bào)告，確定準(zhǔn)備入網(wǎng)的設(shè)備是否已做過(guò)風(fēng)險(xiǎn)評(píng)估。網(wǎng)絡(luò)信息安全管理制度-版本 V1.083)如果沒(méi)有類(lèi)似的設(shè)備做過(guò)風(fēng)險(xiǎn)分析和處置計(jì)劃，則應(yīng)按風(fēng)險(xiǎn)評(píng)估的要求，通知信息安全管理小組進(jìn)行

22、。4)如果做過(guò)風(fēng)險(xiǎn)分析和處置計(jì)劃，則應(yīng)按照相關(guān)的處置計(jì)劃和實(shí)施要求，制定設(shè)備入網(wǎng)計(jì)劃。5)系統(tǒng)工程師對(duì)計(jì)劃入網(wǎng)的設(shè)備在獨(dú)立的測(cè)試環(huán)境中進(jìn)行測(cè)試，測(cè)試通過(guò)后提交綜合部審批。6)技術(shù)部批準(zhǔn)入網(wǎng)申請(qǐng)后,由系統(tǒng)工程師組織設(shè)備入網(wǎng)。7)設(shè)備入網(wǎng)應(yīng)按照處置計(jì)劃和入網(wǎng)計(jì)劃對(duì)設(shè)備進(jìn)行安全加固。8)對(duì)入網(wǎng)系統(tǒng)進(jìn)行一段時(shí)間的監(jiān)控，以觀察入網(wǎng)是否生效。如果發(fā)現(xiàn)問(wèn)題,要及時(shí)進(jìn)行處理,必要時(shí)要尋求供應(yīng)商的協(xié)助。監(jiān)控一段時(shí)間后，設(shè)備擔(dān)當(dāng)組織人員進(jìn)行驗(yàn)收，并通知信息安全管理小組對(duì)系統(tǒng)進(jìn)行安全檢測(cè)。(2)設(shè)備安置與保護(hù)(3)信息設(shè)備安裝管理1)技術(shù)部對(duì)信息設(shè)備安全的安置與保護(hù)工作，包括對(duì)溫度、濕度的監(jiān)測(cè)和日常的巡檢等，詳見(jiàn)機(jī)

23、房管理規(guī)定。2)信息安全設(shè)備的安置應(yīng)按照設(shè)備制造商的說(shuō)明，安置工作由專(zhuān)業(yè)人員進(jìn)行。3)信息安全設(shè)備安置要選擇能夠避免或減少未授權(quán)訪問(wèn)的物理場(chǎng)所，應(yīng)采取措施以減小潛在的物理威脅的風(fēng)險(xiǎn)。4)重要系統(tǒng)使用的信息設(shè)備安置在專(zhuān)用的機(jī)房?jī)?nèi)。5)安置在室外的信息設(shè)備要注意防盜、防雨、防雷、防塵、防腐蝕等工作。6)確保消防設(shè)備充足并隨時(shí)可用，定期進(jìn)行消防演練。(4)支持性設(shè)施安置管理1)技術(shù)部負(fù)責(zé)信息安全設(shè)備支持性設(shè)施的管理工作，包括提供、維護(hù)、維修等。2)對(duì)支持關(guān)鍵業(yè)務(wù)操作的信息設(shè)備，使用不間斷電源（UPS）。UPS 設(shè)備要定期地檢查，詳見(jiàn)機(jī)房管理規(guī)定。3)應(yīng)急電源開(kāi)關(guān)應(yīng)位于設(shè)備房間應(yīng)急出口附近，以便緊急情

24、況時(shí)快速切斷電源。萬(wàn)一主電源出現(xiàn)故障時(shí)要提供應(yīng)急照明。網(wǎng)絡(luò)信息安全管理制度-版本 V1.094)技術(shù)部要確保通風(fēng)和空調(diào)系統(tǒng)等運(yùn)行良好，對(duì)其運(yùn)行情況可進(jìn)行定期檢查。(5)線纜安全1)公司網(wǎng)絡(luò)系統(tǒng)進(jìn)入信息設(shè)備的電源和電信線路布在地板上,要建有冗余線路或留有可替換線路，以保障線路的可用性。2)電纜要避開(kāi)公眾區(qū)域,鋪設(shè)電纜要有線槽保護(hù)，以避免未授權(quán)竊聽(tīng)或損壞的危害。為了防止干擾,電源電纜要與通信電纜分開(kāi)布線。3)要采取切實(shí)有效的措施防范鼠患，防止電纜被鼠噬。4)電纜要使用牢固、清晰、可識(shí)別的標(biāo)記,使用文件化配線列表減少布線失誤的可能性,以使失誤最小化，詳見(jiàn)機(jī)房管理規(guī)定。(6)設(shè)備移動(dòng)1)在公司物理環(huán)境

25、以外嚴(yán)禁放置服務(wù)器、交換機(jī)、電腦等信息設(shè)備。2)公司原則上禁止機(jī)房設(shè)備移出公司物理環(huán)境。如確因工作需要，如展會(huì)、維修等，需將公司的服務(wù)器、交換機(jī)、路由器等信息設(shè)備移到辦公地點(diǎn)外使用，需經(jīng)研發(fā)主管批準(zhǔn)后才能移出公司的物理環(huán)境。3)如需要供應(yīng)商將設(shè)備移出公司物理環(huán)境進(jìn)行維修時(shí)，在設(shè)備移出前，設(shè)備管理人員要將設(shè)備中敏感信息從設(shè)備中刪除或確保維護(hù)人員對(duì)其不可訪問(wèn)或獲取。4)離開(kāi)建筑物的信息設(shè)備和移動(dòng)介質(zhì)在公共場(chǎng)所要有專(zhuān)人看護(hù)和保管，不允許無(wú)人值守，適當(dāng)時(shí)，還要施加其它措施進(jìn)行控制，例如上鎖，以防止損壞、盜竊等事件發(fā)生。5)筆記本在公司辦公場(chǎng)所以外使用，依筆記本電腦管理規(guī)定。(7)維護(hù)、保養(yǎng)1)機(jī)器設(shè)備

26、日常維護(hù)由設(shè)備使用者在日常使用時(shí)進(jìn)行，維護(hù)項(xiàng)目限于查看設(shè)備外觀有無(wú)明顯損壞、是否正常工作、是否通電正常等內(nèi)容。2)定期維護(hù)由技術(shù)部專(zhuān)業(yè)工程師或供應(yīng)商進(jìn)行，定期維護(hù)根據(jù)不同設(shè)備決定不同的維護(hù)周期，從一周一次到半年一次不等，定期維護(hù)項(xiàng)目包括軟硬件更換、性能檢查、性能調(diào)優(yōu)等。3)定期維護(hù)和年底維護(hù)后，要將維護(hù)項(xiàng)目、維護(hù)過(guò)程、維護(hù)人員、維護(hù)結(jié)果等內(nèi)容詳細(xì)記錄在設(shè)備維護(hù)記錄中。網(wǎng)絡(luò)信息安全管理制度-版本 V1.010(8)設(shè)備處置1)設(shè)備的處置由設(shè)備使用部門(mén)提出，經(jīng)經(jīng)總經(jīng)理批準(zhǔn)后，對(duì)設(shè)備進(jìn)行處理；2)信息設(shè)備在處置過(guò)程中須考慮信息安全。3)設(shè)備報(bào)廢前設(shè)備管理責(zé)任人要負(fù)責(zé)刪除所有信息，對(duì)包含敏感信息的設(shè)備

27、要對(duì)其信息載體在物理上應(yīng)予以銷(xiāo)毀，或者采用使原始信息不可獲取的技術(shù)將其安全地重寫(xiě)，如消磁。4)信息設(shè)備的報(bào)廢工作由綜合部負(fù)責(zé)，需要填寫(xiě)廢棄介質(zhì)處置記錄,經(jīng)總經(jīng)理批準(zhǔn)后，才能進(jìn)行報(bào)廢。5)對(duì)于因閑置、人員離辭或設(shè)備換代等原因不再使用的信息設(shè)備，特別是個(gè)人電腦，在設(shè)備歸倉(cāng)前，要采用信息不可獲取的技術(shù)將其敏感信息、工作信息和個(gè)人信息刪除。以確保在設(shè)備重用時(shí)，重用者不會(huì)獲得與其工作無(wú)關(guān)的內(nèi)容。6)對(duì)試用設(shè)備和測(cè)試設(shè)備（無(wú)論是自有的還是供應(yīng)商的）中的信息在試用和測(cè)試后，由試用或測(cè)試人員立即清除，防止重要信息泄露。7)廢棄介質(zhì)處理方法參見(jiàn)介質(zhì)管理規(guī)定5. 5. 實(shí)施策略(1)設(shè)備管理規(guī)定涉及到包括設(shè)備維護(hù)

28、記錄共 1 個(gè)表單。(2)對(duì)設(shè)備的定期維護(hù)等內(nèi)容詳細(xì)填寫(xiě)設(shè)備維護(hù)記錄。6. 6. 相關(guān)記錄本程序發(fā)生的記錄匯總表表 6-1 ISMS 文件日常應(yīng)用表格表號(hào)記錄編號(hào)記錄名稱(chēng)保管場(chǎng)所保存期限保存形式備注表 A.1ISMS-3009-01設(shè)備維護(hù)記錄表技術(shù)部1 年電子七、七、 機(jī)房管理規(guī)定 ISMS-3007網(wǎng)絡(luò)信息安全管理制度-版本 V1.0111. 1. 目的和范圍為科學(xué)、有效地管理機(jī)房，促進(jìn)各信息系統(tǒng)在機(jī)房安全的、穩(wěn)定的、高效的運(yùn)行，特制定本規(guī)定。2. 2. 引用文件(1)下列文件中的條款通過(guò)本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均

29、不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門(mén)研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。(2)ISO/IEC27001:2005 信息技術(shù)-安全技術(shù)-信息安全管理體系要求(3)ISO/IEC27002:2005 信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)（4）設(shè)備管理規(guī)定（5）訪問(wèn)控制程序3. 3. 職責(zé)和權(quán)限技術(shù)部：負(fù)責(zé)責(zé)機(jī)房的日常檢查、維護(hù)和管理工作，及當(dāng)發(fā)生緊急事件時(shí)，按應(yīng)急預(yù)案進(jìn)行相應(yīng)的處置。4. 4. 機(jī)房出入制度(1)機(jī)房的進(jìn)出由技術(shù)部嚴(yán)格管理。機(jī)房的鑰匙保存技術(shù)部。如需進(jìn)入機(jī)房，必須得到技術(shù)部的授權(quán)，在技術(shù)部領(lǐng)取鑰匙后方可進(jìn)入。(2)未經(jīng)許可不準(zhǔn)攜帶任何磁帶

30、（盤(pán)）、磁介質(zhì)和資料進(jìn)入機(jī)房。經(jīng)特許攜帶的，必須由專(zhuān)人陪同方可進(jìn)入。(3)未經(jīng)許可不允許使用攝影、錄像、筆記、或其它音像記錄設(shè)備等。5. 5. 機(jī)房環(huán)境管理(1)技術(shù)部對(duì)機(jī)房環(huán)境每半月進(jìn)行一次檢查，對(duì)發(fā)現(xiàn)的問(wèn)題要及時(shí)解決。填寫(xiě)機(jī)房巡檢記錄表。(2)機(jī)房?jī)?nèi)要保持設(shè)備無(wú)塵、布線整齊、物品就位、資料齊全。(3)機(jī)房?jī)?nèi)嚴(yán)禁堆放與工作無(wú)關(guān)的其它物品及紙質(zhì)物品。做好消防滅火設(shè)備檢查工作網(wǎng)絡(luò)信息安全管理制度-版本 V1.012(4)機(jī)房?jī)?nèi)禁止飲食、吸煙、打鬧、大聲喧嘩，機(jī)房?jī)?nèi)不得會(huì)客、閑談。(5)機(jī)房?jī)?nèi)備有溫度計(jì)和濕度計(jì)，溫度保持在 18-25，濕度保持在40%-60%。溫度計(jì)和濕度計(jì)應(yīng)每年作一次檢測(cè)。(6

31、)機(jī)房接地系統(tǒng)要符合相應(yīng)的技術(shù)標(biāo)準(zhǔn)，各個(gè)設(shè)備交流工作電源應(yīng)有工作接地，機(jī)柜應(yīng)有效接地。(7)機(jī)房配電柜要有防雷設(shè)施，進(jìn)出機(jī)房的電纜應(yīng)有防雷措施。(8)機(jī)房用電要使用獨(dú)立的電線，專(zhuān)用變壓器、電源穩(wěn)壓器等。(9)機(jī)房的環(huán)境應(yīng)達(dá)到機(jī)房建設(shè)的設(shè)計(jì)要求。6. 6. 機(jī)房設(shè)備管理(1)機(jī)房要有完整的網(wǎng)絡(luò)拓?fù)鋱D、物理拓?fù)鋱D。(2)機(jī)房?jī)?nèi)的所有設(shè)備應(yīng)貼有設(shè)備標(biāo)簽，并注明設(shè)備的主要參數(shù)。(3)主機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備的各類(lèi)接線的兩端應(yīng)設(shè)置標(biāo)簽，網(wǎng)絡(luò)接口側(cè)應(yīng)注明連接的設(shè)備。(4)對(duì)主要網(wǎng)絡(luò)設(shè)備如核心路由器、交換機(jī)、防火墻、IDS 等設(shè)備的配置文件每 6 個(gè)月進(jìn)行進(jìn)行一次評(píng)審。(5)對(duì)機(jī)房的主機(jī)設(shè)備及智能網(wǎng)絡(luò)交換裝置應(yīng)嚴(yán)

32、格管理，做好事故預(yù)想，制定周密的故障應(yīng)急措施。(6)嚴(yán)禁擅自在運(yùn)行的小型機(jī)、交換機(jī)、路由器等設(shè)備上進(jìn)行開(kāi)發(fā)、維護(hù)、調(diào)試或?qū)W習(xí)培訓(xùn)等工作。(7)實(shí)施策略1)機(jī)房管理規(guī)定涉及的機(jī)房巡檢記錄表共 1 個(gè)表單。7. 7. 相關(guān)記錄本程序發(fā)生的記錄匯總表網(wǎng)絡(luò)信息安全管理制度-版本 V1.013表 7-1 ISMS 文件日常應(yīng)用表格表號(hào)記錄編號(hào)記錄名稱(chēng)保管場(chǎng)所保存期限保存形式備注表 A.1ISMS-3021-01機(jī)房巡檢記錄表信息安全小組1 年紙質(zhì)八、八、 筆記本電腦管理規(guī)定 ISMS-30081. 1. 目的建立筆記本電腦設(shè)備的使用規(guī)定及其與互聯(lián)網(wǎng)的連接制度，這些規(guī)定是保持信息資源保密性、完整性和可用性

33、所必需的。為加強(qiáng)業(yè)務(wù)筆記本電腦設(shè)備的合理利用與筆記本電腦設(shè)備信息安全管理，特制定該管理規(guī)定。適用所有業(yè)務(wù)部門(mén)員工和需在業(yè)務(wù)部門(mén)辦公室工作的人員。2. 2. 引用文件(1).下列文件中的條款通過(guò)本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門(mén)研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。(2).ISO/IEC27001:2005 信息技術(shù)-安全技術(shù)-信息安全管理體系要求(3).ISO/IEC27002:2005 信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則(4).防范病毒及惡意軟

34、件管理規(guī)定3. 3. 職責(zé)和權(quán)限(1)總經(jīng)理：負(fù)責(zé)筆記本電腦申請(qǐng)的審批(2)技術(shù)部：負(fù)責(zé)筆記本電腦的發(fā)放管理(3)使用人員：負(fù)責(zé)便攜計(jì)算機(jī)的日常使用保養(yǎng)和維護(hù)。4. 4. 筆記本電腦使用規(guī)定(1)公司所有筆記本電腦由使用人員自行保管負(fù)責(zé),若是公司統(tǒng)一配置的網(wǎng)絡(luò)信息安全管理制度-版本 V1.014在辭職時(shí)應(yīng)到綜合部辦理電腦交接手續(xù),并在離職交接清單中作好備注。(2)技術(shù)部授權(quán)使用的筆記本電腦未經(jīng)部門(mén)經(jīng)理同意嚴(yán)格禁止帶出公司。(3)未經(jīng)許可，員工不得攜帶個(gè)人筆記本電腦設(shè)備進(jìn)入公司辦公場(chǎng)所。(4)筆記本電腦設(shè)備必須有嚴(yán)格的口令訪問(wèn)控制措施，口令設(shè)置需滿足公司安全策略要求。(5)對(duì)無(wú)人看守的筆記本電腦

35、設(shè)備必須實(shí)施物理保護(hù)，必須放在帶鎖的辦公室、抽屜或文件柜里；(6)筆記本電腦設(shè)備丟失或被竊后應(yīng)及時(shí)報(bào)告給部門(mén)經(jīng)理和技術(shù)部。(7)除自然損壞外，凡人為損壞（如撞壞、跌壞、電源插錯(cuò)燒壞等）由本人負(fù)責(zé)修好，費(fèi)用由個(gè)人承擔(dān)。(8)便攜機(jī)中除工作所需的軟件外，不導(dǎo)入其他與工作無(wú)關(guān)的軟件。特別要保證便攜機(jī)不帶病毒。5. 5. 安全配置規(guī)定(1)授權(quán)使用的筆記本電腦設(shè)備必須安裝公司安全策略規(guī)定的防病毒軟件；(2)筆記本電腦設(shè)備每月進(jìn)行一次病毒軟件和操作系統(tǒng)補(bǔ)丁檢查和評(píng)審,由電腦使用人員自行負(fù)責(zé).(3)筆記本電腦設(shè)備若支持內(nèi)置的硬盤(pán)加密措施，應(yīng)啟用該措施，以免電腦或硬盤(pán)丟失后造成數(shù)據(jù)泄密。(4)公司采用相關(guān)產(chǎn)

36、品和方法對(duì)筆記本數(shù)據(jù)進(jìn)行加密處理和使用，防止信息泄密。(5)公司采用相關(guān)產(chǎn)品和方法對(duì)筆記本進(jìn)行監(jiān)控(6)公司內(nèi)部未經(jīng)授權(quán)禁止開(kāi)啟無(wú)線網(wǎng)卡功能。禁止使用公司外部的未設(shè)安全機(jī)制的無(wú)線網(wǎng)絡(luò)，系統(tǒng)管理員要每月掃描一次公司能接受到的外部不安全網(wǎng)絡(luò)。(7)公司的無(wú)線網(wǎng)絡(luò)僅供授權(quán)的技術(shù)支持人員使用，其他未經(jīng)技術(shù)部授網(wǎng)絡(luò)信息安全管理制度-版本 V1.015權(quán)禁止便攜機(jī)連入使用。6. 6. 外部人員使用筆記本的規(guī)定(1)外部人員使用的筆記本電腦只能連接到公共上網(wǎng)區(qū)，通過(guò)獨(dú)立于公司內(nèi)部的專(zhuān)用網(wǎng)絡(luò)上網(wǎng)。出于安全考慮，一般不予考慮客人接入公司內(nèi)部網(wǎng)絡(luò)。(2)外部人員接待負(fù)責(zé)人需提前通知技術(shù)部該外部人員筆記本電腦使用的

37、地點(diǎn)，便于技術(shù)部配置相關(guān)網(wǎng)絡(luò)。(3)若外部人員需要在業(yè)務(wù)辦公地點(diǎn)長(zhǎng)期工作（指超過(guò) 2 周時(shí)間），需經(jīng)技術(shù)部經(jīng)理批準(zhǔn)。7. 7. 客戶現(xiàn)場(chǎng)管理規(guī)定(1)在客戶現(xiàn)場(chǎng)進(jìn)行開(kāi)發(fā)及維護(hù)等工作時(shí)，在遵守本公司管理規(guī)定時(shí)，同時(shí)要遵守客戶的管理方面相關(guān)規(guī)定。(2)如在客戶現(xiàn)場(chǎng)工作時(shí)需要使用筆記本，相關(guān)部門(mén)人員應(yīng)盡量使用本部門(mén)公共筆記本，并進(jìn)行登記。(3)在客戶現(xiàn)場(chǎng)使用筆記本工作時(shí)，必須注意信息的保密，防止筆記本內(nèi)信息泄露。(4)筆記本內(nèi)新產(chǎn)生的數(shù)據(jù)應(yīng)及時(shí)在客戶備份系統(tǒng)或公司備份系統(tǒng)上進(jìn)行備份，防止數(shù)據(jù)丟失。8. 8. 實(shí)施策略自行保管負(fù)責(zé);無(wú)線網(wǎng)絡(luò)加密上網(wǎng);9. 9. 相關(guān)記錄無(wú)網(wǎng)絡(luò)信息安全管理制度-版本 V

38、1.016九、九、 介質(zhì)管理規(guī)定 ISMS-30091. 1. 目的和范圍任何信息設(shè)備，如：計(jì)算機(jī)、交換機(jī)、打印機(jī)、傳真機(jī)、復(fù)印機(jī)等，都需要介質(zhì)進(jìn)行存儲(chǔ)，當(dāng)存儲(chǔ)設(shè)備或可移動(dòng)介質(zhì)需要轉(zhuǎn)移或銷(xiāo)毀時(shí)，如果處理不當(dāng)，很容易造成信息泄漏。因此，必須按規(guī)定執(zhí)行處置。適用于移動(dòng)存儲(chǔ)設(shè)備/介質(zhì)在本公司辦公場(chǎng)所及房機(jī)內(nèi)的使用管理。2. 2. 引用文件(1)下列文件中的條款通過(guò)本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門(mén)研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。(2)ISO/IEC27

39、001:2005 信息技術(shù)-安全技術(shù)-信息安全管理體系要求(3)ISO/IEC27002:2005 信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則3. 3. 職責(zé)和權(quán)限(1)綜合部負(fù)責(zé)對(duì)公司各類(lèi)的可移動(dòng)介質(zhì)和存儲(chǔ)介質(zhì)的發(fā)放、使用、處置的進(jìn)行管理。(2)介質(zhì)使用部門(mén)和使用者(3)由部門(mén)負(fù)責(zé)管理的介質(zhì)，由該部門(mén)領(lǐng)導(dǎo)指定專(zhuān)人負(fù)責(zé)保管。個(gè)人使用的介質(zhì)由本人負(fù)責(zé)保管。4. 4. 介質(zhì)管理(1)介質(zhì)分類(lèi)1)技術(shù)部對(duì)公司使用的介質(zhì)，進(jìn)行介質(zhì)分類(lèi)，制定介質(zhì)管理分類(lèi)表。2)介質(zhì)分為一般介質(zhì)和可移動(dòng)介質(zhì)，一般介質(zhì)包括：計(jì)算機(jī)存儲(chǔ)介質(zhì)，可移動(dòng)介質(zhì)是指 U 盤(pán)、移動(dòng)硬盤(pán)、數(shù)碼相機(jī)、光盤(pán)、光盤(pán)刻錄機(jī)、PDA、帶USB 接口的

40、 MP3/MP4 播放器等。網(wǎng)絡(luò)信息安全管理制度-版本 V1.017(2)介質(zhì)使用管理1)一般情況下公司禁止使用可移動(dòng)介質(zhì)。2)確因工作需要使用移動(dòng)介質(zhì)，須經(jīng)本部門(mén)領(lǐng)導(dǎo)批準(zhǔn)后方可到技術(shù)部領(lǐng)用。3)技術(shù)部負(fù)責(zé)可移動(dòng)介質(zhì)的發(fā)放，并填寫(xiě)可移動(dòng)介質(zhì)授權(quán)使用表。4)授權(quán)用戶要注意保護(hù)自己所屬可移動(dòng)介質(zhì)不被盜取。5)授權(quán)用戶要注意保護(hù)自己所屬可移動(dòng)介質(zhì)不被盜取。保管時(shí)要放置于安全的區(qū)域內(nèi)，如帶鎖的柜子；6)非本公司工作人員禁止在內(nèi)部網(wǎng)絡(luò)設(shè)備上使用可移動(dòng)介質(zhì)。7)各使用人必須每月一次對(duì)自己使用的移動(dòng)介質(zhì)進(jìn)行病毒掃描。8)使用可移動(dòng)介質(zhì)保存公司秘密數(shù)據(jù)時(shí)，移動(dòng)介質(zhì)必須采用必要的加密措施，防止信息泄露，有條件時(shí)

41、使用帶有加密功能的可移動(dòng)介質(zhì)設(shè)備。9)用戶在將可移動(dòng)介質(zhì)帶離公司后，要為其上所有信息資源的安全負(fù)責(zé)，做好安全保護(hù)工作。一旦遺失，立刻上報(bào)技術(shù)部進(jìn)行登記。10)光盤(pán)的刻錄：a)帶有公司標(biāo)志的光盤(pán)，只能刻錄公司自己的程序軟件，不得刻錄例如操作系統(tǒng)、數(shù)據(jù)庫(kù)等軟件。b)公司銷(xiāo)售時(shí)，必須刻錄光盤(pán)時(shí)，由技術(shù)部專(zhuān)門(mén)負(fù)責(zé)人進(jìn)行刻錄，其他人員不得隨意刻錄光盤(pán)。(3)客戶現(xiàn)場(chǎng)使用規(guī)定1)必須嚴(yán)格將筆記本病毒防火墻升級(jí)到最新。2)能使用客戶提供的 U 盤(pán)、移動(dòng)硬盤(pán)的，使用客戶提供的設(shè)備。3)必須使用自己的 U 盤(pán)、移動(dòng)硬盤(pán)在客戶計(jì)算機(jī)上使用的，必須先對(duì) U盤(pán)、移動(dòng)硬盤(pán)進(jìn)行病毒掃描，保證提供給客戶的設(shè)備中不包含病毒。

42、(4)介質(zhì)處置1)技術(shù)部對(duì)介質(zhì)分類(lèi)表內(nèi)的介質(zhì)的廢棄進(jìn)行統(tǒng)一管理，對(duì)廢棄的介質(zhì)采用恰當(dāng)?shù)慕橘|(zhì)處置方法。2)計(jì)算機(jī)硬盤(pán)、U 盤(pán)、可移動(dòng)硬盤(pán)、光盤(pán)、數(shù)碼存儲(chǔ)介質(zhì)等報(bào)廢時(shí)必須粉碎處理。3)對(duì)廢棄的可移動(dòng)介質(zhì)在可移動(dòng)介質(zhì)授權(quán)使用表中跟蹤填寫(xiě)廢棄記網(wǎng)絡(luò)信息安全管理制度-版本 V1.018錄。4)對(duì)廢棄的一般介質(zhì)處理填寫(xiě)廢棄介質(zhì)處置記錄5)介質(zhì)的銷(xiāo)毀方式一般分為一般格式化、低級(jí)格式化、專(zhuān)業(yè)軟件重寫(xiě)、物理粉碎。6)對(duì)無(wú)敏感信息的介質(zhì)作一般格式化即可，在保證質(zhì)量的基礎(chǔ)上重新分配和使用。7)介質(zhì)中保存有敏感信息的存儲(chǔ)介質(zhì)應(yīng)當(dāng)?shù)玫桨踩拇娣藕吞幹?。?duì)于含有敏感信息的介質(zhì)應(yīng)采用低級(jí)格式化或?qū)I(yè)軟件重寫(xiě)，反復(fù)次數(shù)為三次

43、，才能重新分配和使用。8)保存有敏感信息的存儲(chǔ)介質(zhì)廢棄時(shí)，要進(jìn)行粉碎處理。5. 5. 實(shí)施策略(1)介質(zhì)管理規(guī)定涉及的介質(zhì)管理表中包括介質(zhì)管理分類(lèi)表、可移動(dòng)介質(zhì)授權(quán)使用表、廢棄介質(zhì)處置記錄。(2)技術(shù)部制定介質(zhì)管理分類(lèi)表。(3)技術(shù)部負(fù)責(zé)可移動(dòng)介質(zhì)的發(fā)放，并填寫(xiě)可移動(dòng)介質(zhì)授權(quán)使用表。(4)對(duì)廢棄的可移動(dòng)介質(zhì)在可移動(dòng)介質(zhì)授權(quán)使用表中跟蹤填寫(xiě)廢棄記錄。(5)對(duì)廢棄的一般介質(zhì)處理填寫(xiě)廢棄介質(zhì)處置記錄6. 6. 相關(guān)記錄本程序發(fā)生的記錄匯總表表 9-1 ISMS 文件日常應(yīng)用表格表號(hào)記錄編號(hào)記錄名稱(chēng)保管場(chǎng)所保存期限保存形式備注表 A.1ISMS-3012-01介質(zhì)管理分類(lèi)表技術(shù)部3 年電子表 A.2I

44、SMS-3012-02可移動(dòng)介質(zhì)授權(quán)使用表技術(shù)部3 年紙質(zhì)表 A.3ISMS-3012-03廢棄介質(zhì)處置記錄技術(shù)部3 年電子網(wǎng)絡(luò)信息安全管理制度-版本 V1.019十、十、 變更管理規(guī)定 ISMS-30101. 1. 目的對(duì)信息處理設(shè)施和系統(tǒng)的變更缺乏控制是系統(tǒng)故障或安全失誤的常見(jiàn)原因，為規(guī)范本公司信息系統(tǒng)的變更，降低因信息系統(tǒng)變更帶來(lái)的風(fēng)險(xiǎn)，特制定本程序。2. 2. 引用文件（1)下列文件中的條款通過(guò)本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門(mén)研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其

45、最新版本適用于本標(biāo)準(zhǔn)。（2)ISO/IEC27001:2005 信息技術(shù)-安全技術(shù)-信息安全管理體系要求（3)ISO/IEC27002:2005 信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則3. 3. 職責(zé)和權(quán)限（1)技術(shù)部：技術(shù)部是公司信息系統(tǒng)變更的歸口管理部門(mén)，負(fù)責(zé)批準(zhǔn)變更的計(jì)劃、實(shí)施、恢復(fù)，總體評(píng)價(jià)變更影響，決策管理；并實(shí)施變更。(2)其他各部門(mén)：負(fù)責(zé)分管的各自工作系統(tǒng)的計(jì)劃申請(qǐng)和總體評(píng)價(jià)變更影響。4. 4. 變更步驟管理變更申請(qǐng)-變更審批-變更處理.5. 5. 程序(1)變更分類(lèi)1)技術(shù)部設(shè)備變更：包括系統(tǒng)中服務(wù)器、網(wǎng)絡(luò)設(shè)備、傳輸線路及計(jì)算機(jī)終端的新增、減少及其設(shè)備本身的變化（包括設(shè)備的報(bào)

46、廢）；2)操作系統(tǒng)軟件變更：包括新安裝、補(bǔ)丁、版本升級(jí)及更換（如打ZLJY2 補(bǔ)?。?；3)開(kāi)發(fā)軟件包的變更。網(wǎng)絡(luò)信息安全管理制度-版本 V1.020(2)技術(shù)部設(shè)備變更控制軟件設(shè)備（包括傳輸線路)的變更需求由技術(shù)部門(mén)根據(jù)組織業(yè)務(wù)發(fā)展的需要提出，填寫(xiě)變更申請(qǐng)審批處理表，經(jīng)技術(shù)部門(mén)經(jīng)理批準(zhǔn)后予以實(shí)施。(3)操作系統(tǒng)軟件變更當(dāng)軟件廠商發(fā)布操作系統(tǒng)或應(yīng)用軟件的更新補(bǔ)丁或版本時(shí)，技術(shù)部人員負(fù)責(zé)分析更新內(nèi)容對(duì)公司現(xiàn)有業(yè)務(wù)及工作的影響，技術(shù)部人員可以先選一臺(tái)測(cè)試機(jī)安裝最新補(bǔ)丁，在未發(fā)現(xiàn)對(duì)工作業(yè)務(wù)產(chǎn)生重要負(fù)面影響的前提下，為使用該操作系統(tǒng)或應(yīng)用軟件的用戶安裝補(bǔ)丁。(4)軟件的變更控制當(dāng)客戶重新對(duì)項(xiàng)目的某一或某

47、些模塊進(jìn)行重要要求時(shí)，項(xiàng)目組負(fù)責(zé)跟蹤客戶的新要求,進(jìn)行業(yè)務(wù)及可以行性分析，組織有關(guān)人員進(jìn)行方案評(píng)審，考慮系統(tǒng)改造對(duì)現(xiàn)有業(yè)務(wù)的影響，并制定有效的風(fēng)險(xiǎn)控制措施，方案在評(píng)審?fù)ㄟ^(guò)后，修改需求開(kāi)發(fā)說(shuō)明書(shū)，針對(duì)發(fā)生變更的模塊，修改相應(yīng)的詳細(xì)設(shè)計(jì)書(shū)，數(shù)據(jù)庫(kù)說(shuō)明書(shū)，源程序。并對(duì)整個(gè)項(xiàng)目重新進(jìn)行測(cè)試。在軟件正式變更前，項(xiàng)目組應(yīng)考慮以下方面的安全要求：1)變更對(duì)目前業(yè)務(wù)的影響；2)變更對(duì)現(xiàn)有軟件的影響；3)變更實(shí)施前應(yīng)進(jìn)行安全測(cè)試；4)不成功的變更恢復(fù)措施。在變更實(shí)施前，由技術(shù)部門(mén)填寫(xiě)變更申請(qǐng)審批處理表，明確變更的原因、變更范圍、變更影響的分析及對(duì)策（包括不成功變更的恢復(fù)措施），經(jīng)技術(shù)部人員批準(zhǔn)后予以實(shí)施。(5)

48、變更實(shí)施的安全要求在變更實(shí)施之前，必要時(shí)，將重要的數(shù)據(jù)、系統(tǒng)軟件進(jìn)行備份，以便變更不成功之后的恢復(fù)。在變更實(shí)施之前，必要時(shí)，應(yīng)和相關(guān)部門(mén)協(xié)商，以便確定適當(dāng)?shù)淖兏鼤r(shí)間，盡可能的將對(duì)業(yè)務(wù)的影響減至最低。(6)變更驗(yàn)收與記錄當(dāng)變更成功提交后，需由用戶進(jìn)行驗(yàn)收，確認(rèn)其是否已完成用戶所提的網(wǎng)絡(luò)信息安全管理制度-版本 V1.021要求，達(dá)到預(yù)期的效果，并記錄此次變更操作。(7)設(shè)備報(bào)廢設(shè)備報(bào)廢應(yīng)得到綜合部批準(zhǔn)后實(shí)施。報(bào)廢設(shè)備中存有敏感信息，必須予以清除.(8)變更后軟件備份要求當(dāng)變更完成后，需將此次所運(yùn)行的軟件進(jìn)行備份，包括其相關(guān)資料，以便再一次變更以及資料查詢(xún)；如果此次變更涉及到一些資料文件，則這些資料

49、文件也必須做相應(yīng)的變更并存檔。(9)變更不成功的恢復(fù)措施取消所做變更，從備份資料中獲得原始軟件資料，重新運(yùn)行，恢復(fù)原始狀態(tài)。根據(jù)變更操作記錄，查找變更失敗原因，以便再次做變更操作時(shí)避免同樣的錯(cuò)誤發(fā)生。十一、十一、 第三方服務(wù)管理規(guī)定 ISMS-30111. 1. 目的和范圍對(duì)第三方提供的服務(wù)進(jìn)行規(guī)范，減少由于服務(wù)不規(guī)范帶來(lái)的信息安全方面的風(fēng)險(xiǎn)。2. 2. 引用文件(1)下列文件中的條款通過(guò)本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門(mén)研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于

50、本標(biāo)準(zhǔn)。(2)ISO/IEC27001:2005 信息技術(shù)-安全技術(shù)-信息安全管理體系要求(3)ISO/IEC27002:2005 信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則3. 3. 職責(zé)和權(quán)限(1)技術(shù)部：是信息安全方面的第三方服務(wù)的歸口管理部門(mén)，負(fù)責(zé)對(duì)信網(wǎng)絡(luò)信息安全管理制度-版本 V1.022息安全方面的第三方服務(wù)的定期監(jiān)控和評(píng)審。(2)技術(shù)部：是日常行政管理方面的第三方服務(wù)的歸口管理部門(mén)，負(fù)責(zé)對(duì)行政方面的第三方服務(wù)的定期監(jiān)控和評(píng)審。負(fù)責(zé)第三方服務(wù)合同中條款的審核。4. 4. 第三方服務(wù)管理規(guī)定(1)技術(shù)部匯總各部門(mén)的資產(chǎn)識(shí)別表，整理出公司的第三方服務(wù)匯總表，明確需要按本規(guī)定進(jìn)行管理的第三

51、方服務(wù)項(xiàng)目和其中重要的第三方服務(wù)。(2)將設(shè)備、網(wǎng)絡(luò)、系統(tǒng)、軟件、信息安全、保安、保潔等事項(xiàng)進(jìn)行外包時(shí)，重要的第三方服務(wù)必須簽訂要與第三方服務(wù)提供方簽署服務(wù)合同，能接觸到公司敏感信息資產(chǎn)的服務(wù)項(xiàng)目的服務(wù)合同中應(yīng)包含第三方保密要求的內(nèi)容。(3)所有的第三方服務(wù)的提供方需提供服務(wù)人員的姓名、聯(lián)系方式等信息，技術(shù)部匯總第三方服務(wù)廠商聯(lián)系表(4)重要的第三方服務(wù)人員服務(wù)時(shí)相關(guān)的原始服務(wù)單據(jù)由歸口管理部門(mén)負(fù)責(zé)驗(yàn)收簽字并保存好相關(guān)服務(wù)記錄。(5)對(duì)服務(wù)提供方技術(shù)人員在現(xiàn)場(chǎng)處理需要設(shè)備入網(wǎng)時(shí)，必須經(jīng)技術(shù)部門(mén)領(lǐng)導(dǎo)同意后方可入網(wǎng)。(6)對(duì)第三方提供服務(wù)的能力進(jìn)行評(píng)定，必要時(shí)通過(guò)招投標(biāo)，確定合格第三方。(7)要確

52、保第三方保持充分的提供服務(wù)的能力，即便發(fā)生重大的服務(wù)故障或?yàn)?zāi)難也能保持服務(wù)的連貫性。(8)每次第三方服務(wù)完成時(shí)指定專(zhuān)人按照服務(wù)合同要求對(duì)服務(wù)內(nèi)容和質(zhì)量進(jìn)行記錄和評(píng)審，并在相關(guān)服務(wù)原始記錄中作好驗(yàn)收簽字確認(rèn)。(9)第三方服務(wù)歸口管理部門(mén)應(yīng)每年對(duì)服務(wù)提供商進(jìn)行定期評(píng)審，以確認(rèn)是否繼續(xù)列為合格服務(wù)商。(10)當(dāng)服務(wù)提供方發(fā)生變更時(shí)，進(jìn)行服務(wù)提供方變更登記，并進(jìn)行服務(wù)、現(xiàn)有狀態(tài)的評(píng)估。對(duì)變更后的服務(wù)提供方進(jìn)行服務(wù)評(píng)估。5. 5. 實(shí)施策略網(wǎng)絡(luò)信息安全管理制度-版本 V1.023(1)第三方服務(wù)管理規(guī)定中涉及的第三方服務(wù)管理總表包括第三方服務(wù)匯總表、第三方服務(wù)廠商聯(lián)系表共 2 個(gè)表單。(2)技術(shù)部整理出

53、公司的第三方服務(wù)匯總表(3)重要的第三方服務(wù)必須簽訂要與第三方服務(wù)提供方簽署服務(wù)合同,能接觸到公司敏感信息資產(chǎn)的服務(wù)項(xiàng)目的服務(wù)合同中應(yīng)包含第三方保密要求的內(nèi)容。(4)技術(shù)部匯總第三方服務(wù)廠商聯(lián)系表。(5)第三方服務(wù)歸口管理部門(mén)應(yīng)每年對(duì)服務(wù)提供商進(jìn)行定期評(píng)審,必要時(shí)調(diào)整服務(wù)供方.(6).相關(guān)記錄本程序發(fā)生的記錄匯總表表 11-1 ISMS 文件日常應(yīng)用格式匯總表號(hào)記錄編號(hào)記錄名稱(chēng)保管場(chǎng)所保存期限保存形式備注表 A.1ISMS-3014-01第三方服務(wù)匯總表技術(shù)部3 年電子表 A.2服務(wù)合同技術(shù)部3 年紙質(zhì)表 A.3ISMS-3014-02第三方服務(wù)廠商聯(lián)系表技術(shù)部3 年電子十二、十二、 數(shù)據(jù)備份

54、管理規(guī)定 ISMS-30121. 1. 目的和范圍為確保數(shù)據(jù)的完整性及有效性，以便在發(fā)生信息安全事故時(shí)能夠準(zhǔn)確及時(shí)的恢復(fù)數(shù)據(jù)，避免業(yè)務(wù)的中斷，特制定本規(guī)定。2. 2. 引用文件(1).下列文件中的條款通過(guò)本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不網(wǎng)絡(luò)信息安全管理制度-版本 V1.024適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門(mén)研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。(2)ISO/IEC27001:2005 信息技術(shù)-安全技術(shù)-信息安全管理體系要求(3)ISO/IEC17799:2005 信息技術(shù)-安全技

55、術(shù)-信息安全管理實(shí)施細(xì)則(4)系統(tǒng)維護(hù)與監(jiān)控管理規(guī)定3. 3. 職責(zé)和權(quán)限技術(shù)部負(fù)責(zé)公司內(nèi)部系統(tǒng)運(yùn)營(yíng)相關(guān)數(shù)據(jù)的備份管理控制.技術(shù)部負(fù)責(zé)本公司軟件開(kāi)發(fā)所需相關(guān)數(shù)據(jù)的備份管理控制.其它各個(gè)部門(mén)根據(jù)自己部門(mén)的業(yè)務(wù)特點(diǎn)，建立各自的備份策略進(jìn)行備份。4. 4. 備份管理備份策略(1)公司各部門(mén)根據(jù)數(shù)據(jù)重要程度和工作需要提出需要備份的數(shù)據(jù)。(2)信息安全小組根據(jù)各制定備份策略明細(xì)表，明確各項(xiàng)備份數(shù)據(jù)備份的詳細(xì)策略。(3)信息安全小組每半年對(duì)備份策略進(jìn)行評(píng)審，確定是否滿足各部門(mén)備份要求。(4)建立備份環(huán)境，安裝調(diào)試備份軟件。(5)應(yīng)建立備份拷貝的準(zhǔn)確完整的記錄和文件化的恢復(fù)程序；(6)備份的程度（例如全部備

56、份或部分備份）和頻率應(yīng)反映組織的業(yè)務(wù)要求、涉及信息的安全要求和信息對(duì)組織持續(xù)運(yùn)作的關(guān)鍵度；(7)備份要存儲(chǔ)在一個(gè)遠(yuǎn)程地點(diǎn)，有足夠距離，以避免主辦公場(chǎng)所災(zāi)難時(shí)受到損壞；(8)若可行，要定期測(cè)試備份介質(zhì)，以確保當(dāng)需要應(yīng)急使用時(shí)可以依靠這些備份介質(zhì)；(9)恢復(fù)程序應(yīng)定期檢查和測(cè)試，以確保他們有效，并能在操作程序恢復(fù)所分配的時(shí)間內(nèi)完成；(10)在保密性十分重要的情況下，備份應(yīng)通過(guò)加密方法進(jìn)行保護(hù)網(wǎng)絡(luò)信息安全管理制度-版本 V1.0255. 5. 備份的驗(yàn)證(1)備份負(fù)責(zé)人根據(jù)備份策略明細(xì)表，檢查備份的工作是否按照備份策略實(shí)際的進(jìn)行了。如果未按照備份策略進(jìn)行備份，備份負(fù)責(zé)人指令備份人重新進(jìn)行備份。(2)

57、備份負(fù)責(zé)人根據(jù)實(shí)際需要，確定哪些非常重要的數(shù)據(jù)需要做恢復(fù)測(cè)試，需要恢復(fù)測(cè)試數(shù)據(jù)的恢復(fù)測(cè)試頻率，對(duì)備份數(shù)據(jù)進(jìn)行定期驗(yàn)證。(3)備份數(shù)據(jù)的管理1)備份目錄應(yīng)進(jìn)行嚴(yán)格的權(quán)限管控，無(wú)關(guān)人員禁止訪問(wèn)備份目錄。2)如無(wú)特殊聲明，備份數(shù)據(jù)永久保存。如需廢棄，需經(jīng)備份負(fù)責(zé)人批準(zhǔn)后，刪除備份數(shù)據(jù)。(4)相關(guān)記錄本程序發(fā)生的記錄匯總表表 12-1 ISMS 文件日常應(yīng)用格式匯總表號(hào)記錄編號(hào)記錄名稱(chēng)保管場(chǎng)所保存期限保存形式備注表 A.1ISMS-3015-01備份策略明細(xì)表技術(shù)部三年電子表 A.2ISMS-3015-02備份策略檢查表技術(shù)部三年電子表 A.3ISMS-3015-03備份數(shù)據(jù)恢復(fù)測(cè)試記錄表技術(shù)部三年電

58、子十三、十三、 郵件管理規(guī)定 ISMS-30131. 1. 目的和范圍為保證公司的業(yè)務(wù)的信息安全，必須對(duì)其進(jìn)行有效的管理，確保公司員工對(duì)郵件的合理使用，更好地促進(jìn)內(nèi)部并與第三方進(jìn)行相關(guān)工作信息的交流，適用于公司業(yè)務(wù)中被批準(zhǔn)、能夠通過(guò) Email 發(fā)送、收取和存儲(chǔ)信息的所有人。每個(gè)業(yè)務(wù)的郵件使用者都應(yīng)該遵守該規(guī)章制度。2. 2. 引用文件(1)下列文件中的條款通過(guò)本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門(mén)研究是否可使用這些文件的最新版本。凡網(wǎng)絡(luò)信息安全管理制度-版本 V1.026是不注日期的引用文件，其最

59、新版本適用于本標(biāo)準(zhǔn)。(2)ISO/IEC27001:2005 信息技術(shù)-安全技術(shù)-信息安全管理體系要求(3)ISO/IEC27002:2005 信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則3. 3. 職責(zé)和權(quán)限(1)技術(shù)部：負(fù)責(zé)電子郵件系統(tǒng)的規(guī)劃、建設(shè)和日常運(yùn)行維護(hù)；負(fù)責(zé)郵件的用戶名及密碼的分配和管理；如有必要，負(fù)責(zé)郵件的歸檔，過(guò)濾及監(jiān)控等工作。(2)使用人員：申請(qǐng)公司的郵箱，按照公司的規(guī)定使用郵箱。4. 4. 電子郵件的帳戶管理(1)帳戶申請(qǐng)：公司郵箱：工作人員正式入職以后須向技術(shù)部申請(qǐng)郵件賬號(hào)。5. 5. 電子郵件使用規(guī)定(1)明確禁止的行為在未授權(quán)的情況下發(fā)送公司機(jī)密文件、項(xiàng)目文檔或程序代碼

60、等未授權(quán)的信息；(2)發(fā)送或者群發(fā)與工作無(wú)關(guān)的郵件或垃圾郵件及個(gè)人信息；(3)發(fā)送或者轉(zhuǎn)發(fā)虛假、黃色、反動(dòng)信息；(4)發(fā)送或者轉(zhuǎn)發(fā)宣揚(yáng)個(gè)人政治傾向或者宗教信仰；(5)利用電子郵件服務(wù)傳輸任何騷擾性的、中傷他人的、恐嚇性的、庸俗、淫穢以及其他違反國(guó)家規(guī)定內(nèi)容的信息資料；(6)在非授權(quán)情況下以公司的名義發(fā)表或群發(fā)個(gè)人意見(jiàn)；(7)利用電子郵件服務(wù)散布電腦病毒、木馬程序、干擾網(wǎng)絡(luò)上其他使用者或破壞網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行。6. 6. 郵件使用規(guī)定(1)除非特別批準(zhǔn)，使用白名單限制發(fā)送郵件的收件人地址。(2)郵件系統(tǒng)為公司因工作需要而對(duì)外聯(lián)系所用，用戶必須以本人的真實(shí)身份使用用于辦公用途的電子郵箱，禁止以他人

61、名義濫發(fā)郵件或盜用他人網(wǎng)絡(luò)信息安全管理制度-版本 V1.027郵箱。(3)郵箱用戶的登錄密碼，用戶必須嚴(yán)格保密，不得泄露。如將其借予他人使用，由此造成的一切安全后果由郵件帳號(hào)所有人承擔(dān)。(4)用戶不得將電子郵件地址用于非工作目的(特別是以?shī)蕵?lè)、購(gòu)物、交友等為目的身份注冊(cè))。(5)Email 賬號(hào)密碼必須符合口令策略的相關(guān)規(guī)定；(6)未經(jīng)授權(quán)任何人不得嘗試以他人帳戶口令進(jìn)行登錄，閱讀他人郵件內(nèi)容。(7)在對(duì)外聯(lián)系中，應(yīng)注意安全保密，用 Email 發(fā)送機(jī)密信息必須符合公司的相關(guān)規(guī)定；(8)因工作需要而傳遞公司或項(xiàng)目保密文件時(shí)，經(jīng)批準(zhǔn)后，可通過(guò)加密渠道傳遞；(9)通過(guò) E-MAIL 發(fā)送機(jī)密附件時(shí)

62、，如有必要，附件必須加密；(10)請(qǐng)盡量壓縮傳送的文件，勿發(fā)送超過(guò) 2M 的附件，以免影響系統(tǒng)性能；(11)對(duì)外聯(lián)系時(shí)請(qǐng)注意通信禮儀，保持公司良好的形象；(12)使用防病毒工具的 E-MAIL 保護(hù)功能，并經(jīng)常查毒，有異常應(yīng)及時(shí)通知管理員；(13)發(fā)送 Email 必須有清楚的主題，發(fā)送前再次確認(rèn)收件人列表內(nèi)的人員都是必需的和正確的；(14)用戶不要閱讀和傳播來(lái)歷不明的郵件及附件，提高對(duì)于郵件病毒的防范意識(shí)，避免傳遞病毒郵件。(15)工作人員離職必須向技術(shù)部申請(qǐng)郵箱收回。并做后期處理。7. 7. 實(shí)施策略不得用個(gè)人郵箱發(fā)機(jī)密文件;8. 8. 相關(guān)記錄無(wú)網(wǎng)絡(luò)信息安全管理制度-版本 V1.028十

63、四、十四、 軟件管理規(guī)定 ISMS-30141. 1. 目的和范圍本標(biāo)準(zhǔn)規(guī)定了公司軟件資產(chǎn)的收集、發(fā)放、管理、使用、更改、修訂、備份等過(guò)程的控制要求2. 2. 引用文件(1)下列文件中的條款通過(guò)本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門(mén)研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。(2)ISO/IEC27001:2005 信息技術(shù)-安全技術(shù)-信息安全管理體系要求(3)ISO/IEC27002:2005 信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則(4)補(bǔ)丁管理規(guī)定3. 3

64、. 職責(zé)與權(quán)限技術(shù)部：是軟件資產(chǎn)(非自行開(kāi)發(fā)軟件)的歸口管理部門(mén)。負(fù)責(zé)軟件的購(gòu)置、維護(hù)、作廢及各部門(mén)軟件資料、介質(zhì)的收集、統(tǒng)計(jì)、歸檔、存放和發(fā)放使用。技術(shù)部是公司自行開(kāi)發(fā)軟件的歸口管理部門(mén)。4. 4. 軟件管理(1)收集對(duì)公司信息系統(tǒng)涉及的軟件資產(chǎn)進(jìn)行收集整理、分類(lèi)歸檔，填寫(xiě)信息資產(chǎn)識(shí)別表中“軟件和系統(tǒng)”類(lèi)資產(chǎn)。公司內(nèi)軟件來(lái)源主要有以下幾個(gè)方面：(2)已有商業(yè)軟件購(gòu)買(mǎi)。(3)技術(shù)部開(kāi)發(fā)內(nèi)部使用軟件。(4)免費(fèi)軟件的下載。(5)識(shí)別出資產(chǎn)識(shí)別表中重要的軟件和應(yīng)用系統(tǒng)。5. 5. 審核、批準(zhǔn)、發(fā)布網(wǎng)絡(luò)信息安全管理制度-版本 V1.029(1)新的軟件使用前填寫(xiě)新軟件和系統(tǒng)登記表，每季度根據(jù)此表內(nèi)容

65、對(duì)信息資產(chǎn)識(shí)別表里的軟件和系統(tǒng)資產(chǎn)進(jìn)行更新。(2)新的軟件由技術(shù)部進(jìn)行測(cè)試或使用檢驗(yàn)，測(cè)試應(yīng)當(dāng)包括可用性、安全性，對(duì)其它系統(tǒng)影響和用戶友好性，測(cè)試應(yīng)當(dāng)在與應(yīng)用系統(tǒng)隔離的系統(tǒng)中進(jìn)行。(3)新的軟件測(cè)試或使用檢驗(yàn)合格后,經(jīng)相關(guān)部門(mén)領(lǐng)導(dǎo)審核并批準(zhǔn)后提交技術(shù)部發(fā)布。6. 6. 軟件歸檔和存放(1)所有軟件收集后統(tǒng)一登記，包括軟件的開(kāi)發(fā)廠家，軟件數(shù)量，軟件版本，許可證編號(hào)等。(2)軟件登記好后統(tǒng)一存放于指定位置。磁盤(pán)文件存放于指定存儲(chǔ)空間中，由專(zhuān)人負(fù)責(zé)整理，各軟件建立獨(dú)立的文件夾，標(biāo)識(shí)明確清晰，并做好軟件的備份工作。光盤(pán)統(tǒng)一存放入文件柜中，并有明顯易辨認(rèn)的標(biāo)識(shí)，便于整理和取用。7. 7. 軟件使用(1)

66、技術(shù)部統(tǒng)一負(fù)責(zé)軟件的發(fā)放及安裝，做到及時(shí)升級(jí)和故障排除。(2)各部門(mén)負(fù)責(zé)軟件的使用，如有問(wèn)題及時(shí)反饋給技術(shù)部。(3)未經(jīng)許可，任何人不得將內(nèi)部使用的軟件外帶、傳播、販賣(mài)，不得將軟件用于任何違法或非正當(dāng)用途。(4)軟件使用過(guò)程中應(yīng)加強(qiáng)保護(hù)，保持軟件完整、可用，不受病毒侵害。(5)制作授權(quán)使用軟件列表，禁止使用未經(jīng)授權(quán)的軟件和未經(jīng)授權(quán)的系統(tǒng)實(shí)用工具軟件。(6)對(duì)光盤(pán)介質(zhì)類(lèi)軟件要考慮使用刻錄的副本，原光盤(pán)進(jìn)行存檔處理。8. 8. 修訂與升級(jí)(1)各部門(mén)和技術(shù)部應(yīng)根據(jù)軟件的使用情況，提出軟件的修訂意見(jiàn)，相關(guān)部門(mén)領(lǐng)導(dǎo)批準(zhǔn)后，形成統(tǒng)一的修訂意見(jiàn)，由綜合部負(fù)責(zé)實(shí)施。(2)軟件的升級(jí)補(bǔ)丁按補(bǔ)丁管理規(guī)定進(jìn)行。網(wǎng)絡(luò)信息安全管理制度-版本 V1.0309. 9. 軟件作廢(1)修訂軟件批準(zhǔn)生效后，原軟件應(yīng)予以作廢。軟件使用部門(mén)接到新版本軟件后，從新版本軟件實(shí)施之日起，原軟件作廢。填寫(xiě)作廢軟件登記表。每季度根據(jù)此表內(nèi)容對(duì)信息資產(chǎn)識(shí)別表里的軟件和系統(tǒng)資產(chǎn)進(jìn)行更新。(2)應(yīng)當(dāng)保留原軟件的以前版本作為應(yīng)急之用，包括所有需要的信息和參數(shù)、程序、具體配置，以及用于數(shù)據(jù)保留存檔的支持軟件。(3)原軟件作廢版本的光盤(pán)應(yīng)有明