【正文】 ........................................312. 引用文件 ............................................313. 職責與權限 ..........................................314. 補丁管理規(guī)定 ........................................315. 其他補丁： ..........................................326. 實施策略 ............................................327. 相關記錄 ............................................33十七、 信息系統(tǒng)審核規(guī)范 ISMS3017...........................331. 目的和范圍 ..........................................332. 術語和定義 ..........................................333. 引用文件 ............................................334. 職責和權限 ..........................................345. 活動描述 ............................................34V / 636. 審核注意事項： ......................................35十八、 基礎設施及服務器網絡管理制度 ISMS3018...............351. 機房安全管理程序 ....................................352. 重要信息備份管理程序 ................................383. 目的 ................................................394. 機房設備維護管理制度 ................................41十九、 信息系統(tǒng)安全應急預案 ISMS3019.......................421. 電力系統(tǒng)故障的應急處理 ..............................422. 消防系統(tǒng)應急處理 ....................................423. 網絡信息系統(tǒng)故障的應急處理 ..........................434. 網站與應用系統(tǒng)應急處理 ..............................435. 黑客入侵的應急處理 ..................................446. 大規(guī)模病毒（含惡意軟件）攻擊的應急處理 ..............44二十、 終端計算機使用管理制度 ISMS3020.....................451. 計算機使用管理 ......................................452. 存儲介質的管理 ......................................473. 辦公軟件使用管理規(guī)定 ................................48二十一、 信息安全管理規(guī)范和操作指南 ISMS3021...............511. 總則 ................................................512. 物理安全 ............................................523. 計算機的物理安全管理 ................................524. 緊急情況 ............................................525. 網絡系統(tǒng)安全管理 ....................................526. 網絡安全檢測。 ......................................537. 信息系統(tǒng)安全管理 ....................................538. 信息系統(tǒng)的內部管理 ..................................549. 密碼管理 ............................................551 / 63一、 物理訪問制度 ISMS30011. 目的為了保障公司辦公區(qū)域資訊信息安全和員工人身及財物安全，防止公司財產流失，特制定本制度。2. 范圍本制度適用于公司員工外出及外來人員進入公司出入管理。3. 職責公司設立接待人員,負責來訪人員登記管理。4. 員工外出管理員工因工作需要外出,需向相應上一級主管作出事由說明,經批準后方可外出。到客戶現場提供服務或工作的人員,需帶公司胸卡。5. 來賓出入管理規(guī)定(1)凡是來賓訪客（包括外包協(xié)作廠商、客戶及政府等來訪人員）進入公司內時，一律須出示其有效證件，說明來訪事由，經被訪人同意后，方可允許相關人員進入辦公區(qū)。(2)團體來賓參觀時，在得到總經理或副總的許可后，須由相關人員陪同方可進入。(3)員工親友私事來訪時，除特殊緊急事故，經其部門主管核準外，不得在上班時間內會客，親友須于會客區(qū)內等候至下班時會見。(4)公司內部核心區(qū)域出入管理規(guī)定1)敏感區(qū)域。實施辦公區(qū)域24 小時監(jiān)控.2)如需進入上述敏感區(qū)域，需經管理者代表/總經理同意,否則不得進入。2 / 63?相關文件物理訪問控制程序6. 相關記錄無二、 外部相關方信息安全管理規(guī)程 ISMS30021. 目的為確保被外部相關方訪問、處理、共享、管理的組織信息及信息處理設施的安全，特制定本管理規(guī)定。2. 范圍本管理規(guī)定適用于公司外部相關方()管理。3. 職責技術部系統(tǒng)管理員負責制定本規(guī)定并負責執(zhí)行。4. 管理規(guī)定(1)第三方物理訪問須經公司被訪問部門的授權,具體執(zhí)行《訪客管理制度》.(2)公司與顧客需明確規(guī)定信息安全要求，公司規(guī)定在與客戶簽訂合同中需規(guī)定必要的安全要求。(3)服務器訪問權需由技術部統(tǒng)一授權給用戶,一個用戶給予惟一賬號,口令自行保管.(4)本公司公網接入服務提供方等為外包過程,此類外包服務商應由技術部組織簽訂服務協(xié)議/合同,并應收集其相關資質,經公司評估成為合格供方后方可與之進行經濟來往.(5)采購供方或任何其它相關方人員現場訪問公司現場時,需由技術部接待,需要涉及到公司重要應用軟件、重要設施及重要數據的訪問時,必須由技術部人員授權方可使用或查閱,涉及到資料復制名外借時,公司重要數據和文件需征得總經理同意.(6)《服務合同》1 年注意更新。3 / 63三、 與政府相關資質申報及年審規(guī)定 ISMS30031. 目的:為公司對外與政府相關部門的相關業(yè)務聯系提供指導。2. 職責:技術部負責各項政府項目的申報。財務部負責報稅和營業(yè)執(zhí)照年審。3. 技術部相關管理要求:(1)申報相關流程。由技術部按各政府部門項目申報的要求下載相關表格,并按要求組織填報.(2)申報涉及到相關經營數據的審核相關經營數據在上報給政府部門前，先由核對數據，再交由綜合部，審核通過后由總經理蓋公司公章。(3)技術部申報材料的備份管理所有上報給政府部門的文件數據都備份一份，由技術部資質人員整理歸檔保存在辦公室檔案室中，并記錄檔案文件編號。(4)材料保密要求所有檔案文件材料由技術部專員負責看管，其他人員如要查閱，需先向技術申請，獲得總經理批準認可后，到存放檔案的辦公室中查閱相關文件，檔案文件不允許帶出辦公室。4. 相關資質申報年審管理要求(1)報稅管理要求用政府財稅處相關報稅軟件，在線填寫企業(yè)經營數據，完成后由軟件系統(tǒng)上報。(2)營業(yè)執(zhí)照管理要求接到政府相關部門通知后，持企業(yè)營業(yè)執(zhí)照到指定政府辦事處辦理營業(yè)執(zhí)照年審手續(xù)。4 / 63四、 信息系統(tǒng)容量規(guī)劃及驗收管理制度 ISMS30041. 目的針對已確定的服務級別目標和業(yè)務需求來設計、維持相應的技術部服務能力，從而確保實際的技術部服務能夠滿足服務要求。2. 范圍適用于公司所有硬件、軟件、外圍設備、人力資源容量管理。3. 職責技術部負責確定、評估容量需求。4. 內容(1)容量管理包括：服務器,重要網絡設備：LAN、WAN、防火墻、路由器等；所有外圍設備：存儲設備、打印機等；所有軟件：操作系統(tǒng)、網絡、內部開發(fā)的軟件包和購買的軟件包；人力資源：要維持有足夠技能的人員。(2)對于每一個新的和正在進行的活動來說，公司管理層應識別容量要求。(3)公司管理層每年應在管理評審時評審系統(tǒng)容量的可用性和效率。公司管理層應特別關注與訂貨交貨周期或高成本相關的所有資源，并監(jiān)視關鍵系統(tǒng)資源的利用，識別和避免潛在的瓶頸及對關鍵員工的依賴。(4)技術部應根據業(yè)務規(guī)劃、預測、趨勢或業(yè)務需求,定期預測施加于綜合部系統(tǒng)上的未來的業(yè)務負荷以及組織信息處理能力，以適當的成本和風險按時獲得所需的容量,五、 信息資產密級管理規(guī)定 ISMS30055 / 631. 目的確保公司營運利益，并防止與公司營運相關的保密信息泄漏。2. 范圍本辦法適用于公司所有員工。3. 保密信息定義保密信息指與公司營運相關且列入機密等級管理的相關信息。4. 秘密等級區(qū)分機密等級分為秘密、內控、公開三類，區(qū)分標準如下：(1)秘密：凡該信息泄漏后，足以嚴重損害本公司利益或有利于競爭對手的。(2)內控：凡該信息泄漏后，雖不致直接影響本公司利益，但可能使本公司經營管理因而造成困擾，需限制其閱讀對象的。(3)內控：凡該信息泄漏后，雖不致直接影響本公司利益，但可能使本公司經營管理因而造成困擾，需限制其閱讀對象的。(4)公開：指可對社會公開的信息，公用的信息處理設備和系統(tǒng)資源.5. 信息的分類(1)信息資產的分類可參見附件＂信息分類表＂。如未列入分類表的信息資產，可依照下面的原則進行判斷：(2)秘密，由信息保管單位主管判定，且至少須為部門以上主管。(3)內控，由保密信息保管單位自行判定。6. 保密文件的標識(1)文件類的信息在判定等級后，加蓋印章于文件及附件各頁右上角或其它明顯處。如頁數太多，得酌情抽頁蓋騎縫章。但絕密級信息應予編碼管控。(2)非文件類的保密信息，包括檔案、電子郵件、投影片等，于判定等6 / 63級后，應于資料傳送／顯示前告知使用人或相關人員該項信息的密級。(3)印章由技術部統(tǒng)一刻制，發(fā)放給各個部門使用。7. 傳送(1)內部傳送(2)秘密、內控：保密信息保管單位應將印刷形式保密信息密封后注明機密等級，再裝入傳遞袋中發(fā)送收件人。軟件形式定稿和完整信息以電子郵件方式傳遞時應加密。內控信息可不加密。(3)外部傳送：印刷形式保密信息于外部傳送時應以掛號函件或其它適當方式寄送收件人。任何軟件形式的機密等級信息于公司外系統(tǒng)、或于公司外使用環(huán)境情況下，非經加密均不得以電子郵件方式傳遞，以避免遭攔截轉送。(4)其它未判定為任一機密等級但仍具有敏感性或半成品性質的信息于傳送前可應視情況加密。8. 其它(1)保密信息不得用于公司以外的公開活動（如演講、授課、一般資料調查、出版發(fā)行等），如須于前述活動使用，應準用第五條的規(guī)定，并經管理者代表核準。(2)保密信息應由管代/相關負責人妥善保管，并善盡管理保護職責。(3)離職員工應繳出其所持歸公司所有的一切資料及其任何形式復印件、副本，并確定確實歸還全部所持公司文件。(4)新進人員于入職當天即應簽署員工保密合約，在新進人員簽署上述文件時，綜合部應對合約書上有關企業(yè)保密信息等有關條文詳加說明與解釋，務必使新進人員充分了解并遵守企業(yè)保密信息有關事項。(5)保管人員判定保密信息無繼續(xù)保存的必要時，可經各判定主管的上一級主管核準后銷毀。絕密信息、機密信息無保存必要時，應將正本連同復印的保密信息，由原保管單位統(tǒng)一收回銷毀。(6)本辦法經總經理核準后公告實施，修訂時亦同。7 / 63六、 信息系統(tǒng)設備管理規(guī)定 ISMS30061. 目的和范圍本程序是對信息資產分類中物理資產下的硬件設備的規(guī)劃、購置、安裝、驗收、使用、維護、處置等各階段進行有效控制，在保證設備安全的前提下最大限度發(fā)揮設備的效能，同時減少由于設備入網造成安全安全風險。2. 引用文件(1)下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內容）或修訂版均不適用于本標準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。(2)ISO/IEC27001:2022 信息技術安全技術信息安全管理體系要求(3)ISO/IEC27002:2022 信息技術安全技術信息安全管理實施細則(4)介質管理規(guī)定(5)筆記本電腦管理規(guī)定(6)機房管理規(guī)定3. 職責1)技術部:負責信息設備的規(guī)劃、安裝、驗收、使用、維護、處置。信息設備指公司綜合部建設方面所需的硬件設備。負責重大設備或新類設備的安全評估、風險分析和安全驗收。4. 設備管