【正文】 (5)任何技術(shù)符合性檢查應(yīng)僅由有能力的、已授權(quán)的人員來(lái)完成，或在他們的監(jiān)督下完成。并填寫《重要服務(wù)器補(bǔ)丁檢查表》和《網(wǎng)絡(luò)設(shè)備補(bǔ)丁檢查表》.7. 相關(guān)記錄本程序發(fā)生的記錄匯總表表 161 ISMS 文件日常應(yīng)用表表號(hào) 記錄編號(hào) 記錄名稱 保管場(chǎng)所 保存期限 保存形 式 備注表 ISMS301901 補(bǔ)丁管理策略明細(xì)表 綜合部 3 年 電子表 ISMS301902 重要服務(wù)器補(bǔ)丁測(cè)試記錄 表 綜合部 3 年 電子表 ISMS301903 重要服務(wù)器補(bǔ)丁檢查表 綜合部 3 年 紙質(zhì)表 ISMS301904 網(wǎng)絡(luò)設(shè)備補(bǔ)丁檢查表 綜合部 3 年 紙質(zhì)34 / 63十七、 信息系統(tǒng)審核規(guī)范 ISMS30171. 目的和范圍確保本公司制定的信息安全策略和規(guī)定能夠定期評(píng)審和正確執(zhí)行。(2)評(píng)審并明確需要進(jìn)行補(bǔ)丁測(cè)試的補(bǔ)丁類型。(2)負(fù)責(zé) WINDOWS 平臺(tái)相關(guān)安全補(bǔ)丁（包括 Office 等 MICROSOFT 頒布的補(bǔ)?。７彩遣蛔⑷掌诘囊梦募?，其最新版本適用于本標(biāo)準(zhǔn)。(3)原軟件作廢版本的光盤應(yīng)有明確標(biāo)識(shí)，并與其他在用光盤分開存放，電子文件應(yīng)予以回收，避免引起作廢軟件的非預(yù)期使用。(6)對(duì)光盤介質(zhì)類軟件要考慮使用刻錄的副本，原光盤進(jìn)行存檔處理。(2)軟件登記好后統(tǒng)一存放于指定位置。公司內(nèi)軟件來(lái)源主要有以下幾個(gè)方面：(2)已有商業(yè)軟件購(gòu)買。7. 實(shí)施策略不得用個(gè)人郵箱發(fā)機(jī)密文件。(2)郵件系統(tǒng)為公司因工作需要而對(duì)外聯(lián)系所用，用戶必須以本人的真實(shí)身份使用用于辦公用途的電子郵箱，禁止以他人名義濫發(fā)郵件或盜用他人27 / 63郵箱。2. 引用文件(1)下列文件中的條款通過(guò)本規(guī)定的引用而成為本規(guī)定的條款。(5)應(yīng)建立備份拷貝的準(zhǔn)確完整的記錄和文件化的恢復(fù)程序；(6)備份的程度（例如全部備份或部分備份）和頻率應(yīng)反映組織的業(yè)務(wù)要求、涉及信息的安全要求和信息對(duì)組織持續(xù)運(yùn)作的關(guān)鍵度；(7)備份要存儲(chǔ)在一個(gè)遠(yuǎn)程地點(diǎn)，有足夠距離，以避免主辦公場(chǎng)所災(zāi)難時(shí)受到損壞；(8)若可行，要定期測(cè)試備份介質(zhì)，以確保當(dāng)需要應(yīng)急使用時(shí)可以依靠這些備份介質(zhì)；(9)恢復(fù)程序應(yīng)定期檢查和測(cè)試，以確保他們有效，并能在操作程序恢復(fù)所分配的時(shí)間內(nèi)完成；(10)在保密性十分重要的情況下，備份應(yīng)通過(guò)加密方法進(jìn)行保護(hù)25 / 635. 備份的驗(yàn)證(1)備份負(fù)責(zé)人根據(jù)《備份策略明細(xì)表》，檢查備份的工作是否按照備份策略實(shí)際的進(jìn)行了。2. 引用文件(1).下列文件中的條款通過(guò)本規(guī)定的引用而成為本規(guī)定的條款。(8)每次第三方服務(wù)完成時(shí)指定專人按照服務(wù)合同要求對(duì)服務(wù)內(nèi)容和質(zhì)量進(jìn)行記錄和評(píng)審，并在相關(guān)服務(wù)原始記錄中作好驗(yàn)收簽字確認(rèn)。(2)技術(shù)部：是日常行政管理方面的第三方服務(wù)的歸口管理部門，負(fù)責(zé)對(duì)行政方面的第三方服務(wù)的定期監(jiān)控和評(píng)審。報(bào)廢設(shè)備中存有敏感信息，必須予以清除.(8)變更后軟件備份要求當(dāng)變更完成后，需將此次所運(yùn)行的軟件進(jìn)行備份，包括其相關(guān)資料，以便再一次變更以及資料查詢；如果此次變更涉及到一些資料文件，則這些資料文件也必須做相應(yīng)的變更并存檔。(4)軟件的變更控制當(dāng)客戶重新對(duì)項(xiàng)目的某一或某些模塊進(jìn)行重要要求時(shí)，項(xiàng)目組負(fù)責(zé)跟蹤客戶的新要求,進(jìn)行業(yè)務(wù)及可以行性分析，組織有關(guān)人員進(jìn)行方案評(píng)審，考慮系統(tǒng)改造對(duì)現(xiàn)有業(yè)務(wù)的影響，并制定有效的風(fēng)險(xiǎn)控制措施，方案在評(píng)審?fù)ㄟ^(guò)后，修改《需求開發(fā)說(shuō)明書》，針對(duì)發(fā)生變更的模塊，修改相應(yīng)的詳細(xì)設(shè)計(jì)書，數(shù)據(jù)庫(kù)說(shuō)明書，源程序。2. 引用文件（1)下列文件中的條款通過(guò)本規(guī)定的引用而成為本規(guī)定的條款。7)介質(zhì)中保存有敏感信息的存儲(chǔ)介質(zhì)應(yīng)當(dāng)?shù)玫桨踩拇娣藕吞幹谩?3)客戶現(xiàn)場(chǎng)使用規(guī)定1)必須嚴(yán)格將筆記本病毒防火墻升級(jí)到最新。5)授權(quán)用戶要注意保護(hù)自己所屬可移動(dòng)介質(zhì)不被盜取。(2)介質(zhì)使用部門和使用者(3)由部門負(fù)責(zé)管理的介質(zhì)，由該部門領(lǐng)導(dǎo)指定專人負(fù)責(zé)保管。無(wú)線網(wǎng)絡(luò)加密上網(wǎng)。出于安全考慮，一般不予考慮客人接入公司內(nèi)部網(wǎng)絡(luò)。(8)便攜機(jī)中除工作所需的軟件外，不導(dǎo)入其他與工作無(wú)關(guān)的軟件。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。(5)對(duì)機(jī)房的主機(jī)設(shè)備及智能網(wǎng)絡(luò)交換裝置應(yīng)嚴(yán)格管理，做好事故預(yù)想，制定周密的故障應(yīng)急措施。(6)機(jī)房接地系統(tǒng)要符合相應(yīng)的技術(shù)標(biāo)準(zhǔn)，各個(gè)設(shè)備交流工作電源應(yīng)有工作接地，機(jī)柜應(yīng)有效接地。(3)未經(jīng)許可不允許使用攝影、錄像、筆記、或其它音像記錄設(shè)備等。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。4)信息設(shè)備的報(bào)廢工作由綜合部負(fù)責(zé)，需要填寫《廢棄介質(zhì)處置記錄》,經(jīng)總經(jīng)理批準(zhǔn)后，才能進(jìn)行報(bào)廢。3)如需要供應(yīng)商將設(shè)備移出公司物理環(huán)境進(jìn)行維修時(shí)，在設(shè)備移出前，設(shè)備管理人員要將設(shè)備中敏感信息從設(shè)備中刪除或確保維護(hù)人員對(duì)其不可訪問(wèn)或獲取。(5)線纜安全1)公司網(wǎng)絡(luò)系統(tǒng)進(jìn)入信息設(shè)備的電源和電信線路布在地板上,要建有冗余線路或留有可替換線路，以保障線路的可用性。5)安置在室外的信息設(shè)備要注意防盜、防雨、防雷、防塵、防腐蝕等工作。7)設(shè)備入網(wǎng)應(yīng)按照處置計(jì)劃和入網(wǎng)計(jì)劃對(duì)設(shè)備進(jìn)行安全加固。(2)ISO/IEC27001:2022 信息技術(shù)安全技術(shù)信息安全管理體系要求(3)ISO/IEC27002:2022 信息技術(shù)安全技術(shù)信息安全管理實(shí)施細(xì)則(4)介質(zhì)管理規(guī)定(5)筆記本電腦管理規(guī)定(6)機(jī)房管理規(guī)定3. 職責(zé)1)技術(shù)部:負(fù)責(zé)信息設(shè)備的規(guī)劃、安裝、驗(yàn)收、使用、維護(hù)、處置。(4)新進(jìn)人員于入職當(dāng)天即應(yīng)簽署員工保密合約，在新進(jìn)人員簽署上述文件時(shí)，綜合部應(yīng)對(duì)合約書上有關(guān)企業(yè)保密信息等有關(guān)條文詳加說(shuō)明與解釋，務(wù)必使新進(jìn)人員充分了解并遵守企業(yè)保密信息有關(guān)事項(xiàng)。軟件形式定稿和完整信息以電子郵件方式傳遞時(shí)應(yīng)加密。如未列入分類表的信息資產(chǎn)，可依照下面的原則進(jìn)行判斷：(2)秘密，由信息保管單位主管判定，且至少須為部門以上主管。公司管理層應(yīng)特別關(guān)注與訂貨交貨周期或高成本相關(guān)的所有資源，并監(jiān)視關(guān)鍵系統(tǒng)資源的利用，識(shí)別和避免潛在的瓶頸及對(duì)關(guān)鍵員工的依賴。4. 相關(guān)資質(zhì)申報(bào)年審管理要求(1)報(bào)稅管理要求用政府財(cái)稅處相關(guān)報(bào)稅軟件，在線填寫企業(yè)經(jīng)營(yíng)數(shù)據(jù)，完成后由軟件系統(tǒng)上報(bào)。(3)服務(wù)器訪問(wèn)權(quán)需由技術(shù)部統(tǒng)一授權(quán)給用戶,一個(gè)用戶給予惟一賬號(hào),口令自行保管.(4)本公司公網(wǎng)接入服務(wù)提供方等為外包過(guò)程,此類外包服務(wù)商應(yīng)由技術(shù)部組織簽訂服務(wù)協(xié)議/合同,并應(yīng)收集其相關(guān)資質(zhì),經(jīng)公司評(píng)估成為合格供方后方可與之進(jìn)行經(jīng)濟(jì)來(lái)往.(5)采購(gòu)供方或任何其它相關(guān)方人員現(xiàn)場(chǎng)訪問(wèn)公司現(xiàn)場(chǎng)時(shí),需由技術(shù)部接待,需要涉及到公司重要應(yīng)用軟件、重要設(shè)施及重要數(shù)據(jù)的訪問(wèn)時(shí),必須由技術(shù)部人員授權(quán)方可使用或查閱,涉及到資料復(fù)制名外借時(shí),公司重要數(shù)據(jù)和文件需征得總經(jīng)理同意.(6)《服務(wù)合同》1 年注意更新。(2)團(tuán)體來(lái)賓參觀時(shí)，在得到總經(jīng)理或副總的許可后，須由相關(guān)人員陪同方可進(jìn)入。I / 63目 錄一、 物理訪問(wèn)制度 ISMS3001..................................11. 目的 .................................................12. 范圍 .................................................13. 職責(zé) .................................................14. 員工外出管理 .........................................15. 來(lái)賓出入管理規(guī)定 .....................................16. 相關(guān)記錄無(wú) ...........................................2二、 外部相關(guān)方信息安全管理規(guī)程 ISMS3002....................21. 目的 .................................................22. 范圍 .................................................23. 職責(zé) .................................................24. 管理規(guī)定 .............................................2三、 與政府相關(guān)資質(zhì)申報(bào)及年審規(guī)定 ISMS3003..................31. 目的: ................................................32. 職責(zé): ................................................33. 技術(shù)部相關(guān)管理要求: ..................................34. 相關(guān)資質(zhì)申報(bào)年審管理要求 .............................3四、 信息系統(tǒng)容量規(guī)劃及驗(yàn)收管理制度 ISMS3004................41. 目的 .................................................42. 范圍 .................................................43. 職責(zé) .................................................44. 內(nèi)容 .................................................4五、 信息資產(chǎn)密級(jí)管理規(guī)定 ISMS3005..........................41. 目的 .................................................52. 范圍 .................................................53. 保密信息定義 .........................................54. 秘密等級(jí)區(qū)分 .........................................55. 信息的分類 ...........................................5II / 636. 保密文件的標(biāo)識(shí) .......................................57. 傳送 .................................................68. 其它 .................................................6六、 信息系統(tǒng)設(shè)備管理規(guī)定 ISMS3006..........................61. 目的和范圍 ...........................................72. 引用文件 .............................................73. 職責(zé) .................................................74. 設(shè)備管理流程 .........................................75. 實(shí)施策略 ............................................106. 相關(guān)記錄 ............................................10七、 機(jī)房管理規(guī)定 ISMS3007.................................101. 目的和范圍 ..........................................102. 引用文件 ............................................113. 職責(zé)和權(quán)限 ..........................................114. 機(jī)房出入制度 ........................................115. 機(jī)房環(huán)境管理 ........................................116. 機(jī)房設(shè)備管理 ........................................127. 相關(guān)記錄 ............................................12八、 筆記本電腦管理規(guī)定 ISMS3008...........................131. 目的 ................................................132. 引用文件 ............................................133. 職責(zé)和權(quán)限 ..........................................134. 筆記本電腦使用規(guī)定 ..................................135. 安全配置規(guī)定 ........................................146. 外部人員使用筆記本的規(guī)定 ......