【正文】 腦或硬盤(pán)丟失后造成數(shù)據(jù)泄密。(3)若外部人員需要在業(yè)務(wù)辦公地點(diǎn)長(zhǎng)期工作（指超過(guò) 2 周時(shí)間），需經(jīng)技術(shù)部經(jīng)理批準(zhǔn)。因此，必須按規(guī)定執(zhí)行處置。4. 介質(zhì)管理(1)介質(zhì)分類(lèi)1)技術(shù)部對(duì)公司使用的介質(zhì)，進(jìn)行介質(zhì)分類(lèi)，制定《介質(zhì)管理分類(lèi)表》。7)各使用人必須每月一次對(duì)自己使用的移動(dòng)介質(zhì)進(jìn)行病毒掃描。3)必須使用自己的 U 盤(pán)、移動(dòng)硬盤(pán)在客戶(hù)計(jì)算機(jī)上使用的，必須先對(duì) U盤(pán)、移動(dòng)硬盤(pán)進(jìn)行病毒掃描，保證提供給客戶(hù)的設(shè)備中不包含病毒。8)保存有敏感信息的存儲(chǔ)介質(zhì)廢棄時(shí)，要進(jìn)行粉碎處理。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。在軟件正式變更前，項(xiàng)目組應(yīng)考慮以下方面的安全要求：1)變更對(duì)目前業(yè)務(wù)的影響；2)變更對(duì)現(xiàn)有軟件的影響；3)變更實(shí)施前應(yīng)進(jìn)行安全測(cè)試；4)不成功的變更恢復(fù)措施。根據(jù)變更操作記錄，查找變更失敗原因，以便再次做變更操作時(shí)避免同樣的錯(cuò)誤發(fā)生。4. 第三方服務(wù)管理規(guī)定(1)技術(shù)部匯總各部門(mén)的資產(chǎn)識(shí)別表，整理出公司的《第三方服務(wù)匯總表》，明確需要按本規(guī)定進(jìn)行管理的第三方服務(wù)項(xiàng)目和其中重要的第三方服務(wù)。(10)當(dāng)服務(wù)提供方發(fā)生變更時(shí)，進(jìn)行服務(wù)提供方變更登記，并進(jìn)行服務(wù)、現(xiàn)有狀態(tài)的評(píng)估。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。(2)備份負(fù)責(zé)人根據(jù)實(shí)際需要，確定哪些非常重要的數(shù)據(jù)需要做恢復(fù)測(cè)試，需要恢復(fù)測(cè)試數(shù)據(jù)的恢復(fù)測(cè)試頻率，對(duì)備份數(shù)據(jù)進(jìn)行定期驗(yàn)證。凡26 / 63是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。如將其借予他人使用，由此造成的一切安全后果由郵件帳號(hào)所有人承擔(dān)。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門(mén)研究是否可使用這些文件的最新版本。(4)免費(fèi)軟件的下載。光盤(pán)統(tǒng)一存放入文件柜中，并有明顯易辨認(rèn)的標(biāo)識(shí)，便于整理和取用。(2)軟件的升級(jí)／補(bǔ)丁按《補(bǔ)丁管理規(guī)定》進(jìn)行。(2)收集整理、分類(lèi)歸檔，填寫(xiě)《信息資產(chǎn)識(shí)別表》中“軟件和系統(tǒng)”類(lèi)資產(chǎn)。4. 系統(tǒng)監(jiān)控管理(1)日志的分類(lèi)1)需監(jiān)控的日志包括但不僅限于以下類(lèi)型：2)服務(wù)器日志：系統(tǒng)日志，應(yīng)用程序日志和安全日志。(4)負(fù)責(zé)安全產(chǎn)品相關(guān)安全補(bǔ)丁。33 / 63(5)服務(wù)器在安裝補(bǔ)丁應(yīng)采用手工升級(jí)，并延遲補(bǔ)丁發(fā)布后一星期，避免最新補(bǔ)丁本身問(wèn)題給服務(wù)器帶來(lái)的風(fēng)險(xiǎn)。3. 引用文件下列文件中的條款通過(guò)本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。(7)漏洞掃描管理：1)管理員應(yīng)定期進(jìn)行漏洞掃描，客戶(hù)端和服務(wù)器可考慮使用奇虎 360 工具進(jìn)行漏洞掃描。35 / 63(3)管理人員應(yīng)對(duì)自己職責(zé)范圍內(nèi)的信息處理是否符合合適的安全策略、標(biāo)準(zhǔn)和任何其它安全要求進(jìn)行定期評(píng)審。并填寫(xiě)《網(wǎng)絡(luò)設(shè)備補(bǔ)丁檢查表》.6. 實(shí)施策略(1)補(bǔ)丁管理規(guī)定中涉及到的表單包括《補(bǔ)丁管理策略明細(xì)表》、《重要服務(wù)器補(bǔ)丁檢查表》、《重要服務(wù)器補(bǔ)丁測(cè)試記錄》、《網(wǎng)絡(luò)設(shè)備補(bǔ)丁檢查表》4 個(gè)表單。(3)技術(shù)部每季度對(duì)補(bǔ)丁更新情況進(jìn)行抽查。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。31 / 632. 引用文件(1)下列文件中的條款通過(guò)本規(guī)定的引用而成為本規(guī)定的條款。每季度根據(jù)此表內(nèi)容對(duì)《信息資產(chǎn)識(shí)別表》里的軟件和系統(tǒng)資產(chǎn)進(jìn)行更新。(4)軟件使用過(guò)程中應(yīng)加強(qiáng)保護(hù)，保持軟件完整、可用，不受病毒侵害。(3)新的軟件測(cè)試或使用檢驗(yàn)合格后,經(jīng)相關(guān)部門(mén)領(lǐng)導(dǎo)審核并批準(zhǔn)后提交技術(shù)部發(fā)布。技術(shù)部是公司自行開(kāi)發(fā)軟件的歸口管理部門(mén)。(15)工作人員離職必須向技術(shù)部申請(qǐng)郵箱收回。5. 電子郵件使用規(guī)定(1)明確禁止的行為在未授權(quán)的情況下發(fā)送公司機(jī)密文件、項(xiàng)目文檔或程序代碼等未授權(quán)的信息；(2)發(fā)送或者群發(fā)與工作無(wú)關(guān)的郵件或垃圾郵件及個(gè)人信息；(3)發(fā)送或者轉(zhuǎn)發(fā)虛假、黃色、反動(dòng)信息；(4)發(fā)送或者轉(zhuǎn)發(fā)宣揚(yáng)個(gè)人政治傾向或者宗教信仰；(5)利用電子郵件服務(wù)傳輸任何騷擾性的、中傷他人的、恐嚇性的、庸俗、淫穢以及其他違反國(guó)家規(guī)定內(nèi)容的信息資料；(6)在非授權(quán)情況下以公司的名義發(fā)表或群發(fā)個(gè)人意見(jiàn)；(7)利用電子郵件服務(wù)散布電腦病毒、木馬程序、干擾網(wǎng)絡(luò)上其他使用者或破壞網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行。(4)相關(guān)記錄本程序發(fā)生的記錄匯總表表 121 ISMS 文件日常應(yīng)用格式匯總表號(hào) 記錄編號(hào) 記錄名稱(chēng) 保管場(chǎng)所 保存期限 保存形 式 備注表 ISMS301501 備份策略明細(xì)表 技術(shù)部 三年 電子表 ISMS301502 備份策略檢查表 技術(shù)部 三年 電子表 ISMS301503 備份數(shù)據(jù)恢復(fù)測(cè)試記錄 表 技術(shù)部 三年 電子十三、 郵件管理規(guī)定 ISMS30131. 目的和范圍為保證公司的業(yè)務(wù)的信息安全，必須對(duì)其進(jìn)行有效的管理，確保公司員工對(duì)郵件的合理使用，更好地促進(jìn)內(nèi)部并與第三方進(jìn)行相關(guān)工作信息的交流，適用于公司業(yè)務(wù)中被批準(zhǔn)、能夠通過(guò) Email 發(fā)送、收取和存儲(chǔ)信息的所有人。(3)信息安全小組每半年對(duì)備份策略進(jìn)行評(píng)審，確定是否滿(mǎn)足各部門(mén)備份要求。(4)技術(shù)部匯總《第三方服務(wù)廠(chǎng)商聯(lián)系表》。(6)對(duì)第三方提供服務(wù)的能力進(jìn)行評(píng)定，必要時(shí)通過(guò)招投標(biāo)，確定合格第三方。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。(6)變更驗(yàn)收與記錄當(dāng)變更成功提交后，需由用戶(hù)進(jìn)行驗(yàn)收，確認(rèn)其是否已完成用戶(hù)所提的21 / 63要求，達(dá)到預(yù)期的效果，并記錄此次變更操作。20 / 63(2)技術(shù)部設(shè)備變更控制軟件設(shè)備（包括傳輸線(xiàn)路)的變更需求由技術(shù)部門(mén)根據(jù)組織業(yè)務(wù)發(fā)展的需要提出，填寫(xiě)《變更申請(qǐng)審批處理表》，經(jīng)技術(shù)部門(mén)經(jīng)理批準(zhǔn)后予以實(shí)施。(4)對(duì)廢棄的可移動(dòng)介質(zhì)在《可移動(dòng)介質(zhì)授權(quán)使用表》中跟蹤填寫(xiě)廢棄記錄。4)對(duì)廢棄的一般介質(zhì)處理填寫(xiě)《廢棄介質(zhì)處置記錄》5)介質(zhì)的銷(xiāo)毀方式一般分為一般格式化、低級(jí)格式化、專(zhuān)業(yè)軟件重寫(xiě)、物理粉碎。10)光盤(pán)的刻錄：a)帶有公司標(biāo)志的光盤(pán)，只能刻錄公司自己的程序軟件，不得刻錄例如操作系統(tǒng)、數(shù)據(jù)庫(kù)等軟件。3)技術(shù)部負(fù)責(zé)可移動(dòng)介質(zhì)的發(fā)放，并填寫(xiě)《可移動(dòng)介質(zhì)授權(quán)使用表》。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。(4)筆記本內(nèi)新產(chǎn)生的數(shù)據(jù)應(yīng)及時(shí)在客戶(hù)備份系統(tǒng)或公司備份系統(tǒng)上進(jìn)行備份，防止數(shù)據(jù)丟失。(7)公司的無(wú)線(xiàn)網(wǎng)絡(luò)僅供授權(quán)的技術(shù)支持人員使用，其他未經(jīng)技術(shù)部授15 / 63權(quán)禁止便攜機(jī)連入使用。(5)對(duì)無(wú)人看守的筆記本電腦設(shè)備必須實(shí)施物理保護(hù)，必須放在帶鎖的辦公室、抽屜或文件柜里；(6)筆記本電腦設(shè)備丟失或被竊后應(yīng)及時(shí)報(bào)告給部門(mén)經(jīng)理和技術(shù)部。2. 引用文件(1).下列文件中的條款通過(guò)本規(guī)定的引用而成為本規(guī)定的條款。(3)主機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備的各類(lèi)接線(xiàn)的兩端應(yīng)設(shè)置標(biāo)簽，網(wǎng)絡(luò)接口側(cè)應(yīng)注明連接的設(shè)備。(5)機(jī)房?jī)?nèi)備有溫度計(jì)和濕度計(jì)，溫度保持在 18℃25℃，濕度保持在40%60%。(2)未經(jīng)許可不準(zhǔn)攜帶任何磁帶（盤(pán)）、磁介質(zhì)和資料進(jìn)入機(jī)房。6. 相關(guān)記錄本程序發(fā)生的記錄匯總表表 61 ISMS 文件日常應(yīng)用表格表號(hào) 記錄編號(hào) 記錄名稱(chēng) 保管場(chǎng)所 保存期限 保存形 式 備注表 ISMS300901 設(shè)備維護(hù)記錄表 技術(shù)部 1 年 電子七、 機(jī)房管理規(guī)定 ISMS300711 / 631. 目的和范圍為科學(xué)、有效地管理機(jī)房，促進(jìn)各信息系統(tǒng)在機(jī)房安全的、穩(wěn)定的、高效的運(yùn)行，特制定本規(guī)定。10 / 63(8)設(shè)備處置1)設(shè)備的處置由設(shè)備使用部門(mén)提出，經(jīng)經(jīng)總經(jīng)理批準(zhǔn)后，對(duì)設(shè)備進(jìn)行處理；2)信息設(shè)備在處置過(guò)程中須考慮信息安全。2)公司原則上禁止機(jī)房設(shè)備移出公司物理環(huán)境。萬(wàn)一主電源出現(xiàn)故障時(shí)要提供應(yīng)急照明。3)信息安全設(shè)備安置要選擇能夠避免或減少未授權(quán)訪(fǎng)問(wèn)的物理場(chǎng)所，應(yīng)采取措施以減小潛在的物理威脅的風(fēng)險(xiǎn)。5)系統(tǒng)工程師對(duì)計(jì)劃入網(wǎng)的設(shè)備在獨(dú)立的測(cè)試環(huán)境中進(jìn)行測(cè)試，測(cè)試通過(guò)后提交綜合部審批。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門(mén)研究是否可使用這些文件的最新版本。(2)保密信息應(yīng)由管代/相關(guān)負(fù)責(zé)人妥善保管，并善盡管理保護(hù)職責(zé)。(3)印章由技術(shù)部統(tǒng)一刻制，發(fā)放給各個(gè)部門(mén)使用。(3)內(nèi)控：凡該信息泄漏后，雖不致直接影響本公司利益，但可能使本公司經(jīng)營(yíng)管理因而造成困擾，需限制其閱讀對(duì)象的。(2)對(duì)于每一個(gè)新的和正在進(jìn)行的活動(dòng)來(lái)說(shuō)，公司管理層應(yīng)識(shí)別容量要求。(3)技術(shù)部申報(bào)材料的備份管理所有上報(bào)給政府部門(mén)的文件數(shù)據(jù)都備份一份，由技術(shù)部資質(zhì)人員整理歸檔保存在辦公室檔案室中，并記錄檔案文件編號(hào)。3. 職責(zé)技術(shù)部系統(tǒng)管理員負(fù)責(zé)制定本規(guī)定并負(fù)責(zé)執(zhí)行。到客戶(hù)現(xiàn)場(chǎng)提供服務(wù)或工作的人員,需帶公司胸卡。2. 范圍本制度適用于公司員工外出及外來(lái)人員進(jìn)入公司出入管理。實(shí)施辦公區(qū)域24 小時(shí)監(jiān)控.2)如需進(jìn)入上述敏感區(qū)域，需經(jīng)管理者代表/總經(jīng)理同意,否則不得進(jìn)入。財(cái)務(wù)部負(fù)責(zé)報(bào)稅和營(yíng)業(yè)執(zhí)照年審。2. 范圍適用于公司所有硬件、軟件、外圍設(shè)備、人力資源容量管理。3. 保密信息定義保密信息指與公司營(yíng)運(yùn)相關(guān)且列入機(jī)密等級(jí)管理的相關(guān)信息。如頁(yè)數(shù)太多，得酌情抽頁(yè)蓋騎縫章。任何軟件形式的機(jī)密等級(jí)信息于公司外系統(tǒng)、或于公司外使用環(huán)境情況下，非經(jīng)加密均不得以電子郵件方式傳遞，以避免遭攔截轉(zhuǎn)送。(6)本辦法經(jīng)總經(jīng)理核準(zhǔn)后公告實(shí)施，修訂時(shí)亦同。4. 設(shè)備管理流程(1)設(shè)備入網(wǎng)1)需按設(shè)備本身提供的“設(shè)備安全操作說(shuō)明書(shū)”進(jìn)行正確操作和使用，設(shè)備在日常使用過(guò)程中應(yīng)注意安全；2)系統(tǒng)工程師應(yīng)查找有關(guān)的風(fēng)險(xiǎn)評(píng)估報(bào)告，確定準(zhǔn)備入網(wǎng)的設(shè)備是否已做過(guò)風(fēng)險(xiǎn)評(píng)估。監(jiān)控一段時(shí)間后，設(shè)備擔(dān)當(dāng)組織人員進(jìn)行驗(yàn)收，并通知信息安全管理小組對(duì)系統(tǒng)進(jìn)行安全檢測(cè)。2)對(duì)支持關(guān)鍵業(yè)務(wù)操作的信息設(shè)備，使用不間斷電源（UPS）。3)要采取切實(shí)有效的措施防范鼠患，防止電纜被鼠噬。(7)維護(hù)、保養(yǎng)1)機(jī)器設(shè)備日常維護(hù)由設(shè)備使用者在日常使用時(shí)進(jìn)行，維護(hù)項(xiàng)目限于查看設(shè)備外觀(guān)有無(wú)明顯損壞、是否正常工作、是否通電正常等內(nèi)容。6)對(duì)試用設(shè)備和測(cè)試設(shè)備（無(wú)論是自有的還是供應(yīng)商的）中的信息在試用和測(cè)試后，由試用或測(cè)試人員立即清除，防止重要信息泄露。4. 機(jī)房出入制度(1)機(jī)房的進(jìn)出由技術(shù)部嚴(yán)格管理。(2)機(jī)房?jī)?nèi)要保持設(shè)備無(wú)塵、布線(xiàn)整齊、物品就位、資料齊全。(9)機(jī)房的環(huán)境應(yīng)達(dá)到機(jī)房建設(shè)的設(shè)計(jì)要求。7. 相關(guān)記錄本程序發(fā)生的記錄匯總表13 / 63表 71 ISMS 文件日常應(yīng)用表格表號(hào) 記錄編號(hào) 記錄名稱(chēng) 保管場(chǎng)所 保存期限 保存形式 備注表 ISMS302101 機(jī)房巡檢記錄表 信息安全小組 1 年 紙質(zhì)八、 筆記本電腦管理規(guī)定 ISMS30081. 目的建立筆記本電腦設(shè)備的使用規(guī)定及其與互聯(lián)網(wǎng)的連接制度，這些規(guī)定是保持信息資源保密性、完整性和可用性所必需的。(2)技術(shù)部授權(quán)使用的筆記本電腦未經(jīng)部門(mén)經(jīng)理同意嚴(yán)格禁止帶出公司。(4)公司采用相關(guān)產(chǎn)品和方法對(duì)筆記本數(shù)據(jù)進(jìn)行加密處理和使用，防止信息泄密。7. 客戶(hù)現(xiàn)場(chǎng)管理規(guī)定(1)在客戶(hù)現(xiàn)場(chǎng)進(jìn)行開(kāi)發(fā)及維護(hù)等工作時(shí)，在遵守本公司管理規(guī)定時(shí)，同時(shí)要遵守客戶(hù)的管理方面相關(guān)規(guī)定。適用于移動(dòng)存儲(chǔ)設(shè)備/介質(zhì)在本公司辦公場(chǎng)所及房機(jī)內(nèi)的使用管理。2)介質(zhì)分為一般介質(zhì)和可移動(dòng)介質(zhì)，一般介質(zhì)包括：計(jì)算機(jī)存儲(chǔ)介質(zhì)，可移動(dòng)介質(zhì)是指 U 盤(pán)、移動(dòng)硬盤(pán)、數(shù)碼相機(jī)、光盤(pán)、光盤(pán)刻錄機(jī)、PDA、帶USB 接口的 MP3/MP4 播放器等。8)使用可移動(dòng)介質(zhì)保存公司秘密數(shù)據(jù)時(shí)，移動(dòng)介質(zhì)必須采用必要的加密措施，防止信息泄露，有條件時(shí)使用帶有加密功能的可移動(dòng)介質(zhì)設(shè)備。(4)介質(zhì)處置1)技術(shù)部對(duì)介質(zhì)分類(lèi)表內(nèi)的介質(zhì)的廢棄進(jìn)行統(tǒng)一管理，對(duì)廢棄的介質(zhì)采用恰當(dāng)?shù)慕橘|(zhì)處置方法。5. 實(shí)施策略(1)介質(zhì)管理規(guī)定涉及的《介質(zhì)管理表》中包括《介質(zhì)管理分類(lèi)表》、《可移動(dòng)介質(zhì)授權(quán)使用表》、《廢棄介質(zhì)處置記錄》。（2)ISO/IEC27001:2022 信息技術(shù)安全技術(shù)信息安全管理體系要求（3)ISO/IEC27002:2022 信息技術(shù)安全技術(shù)信息安全管理實(shí)施細(xì)則3. 職責(zé)和權(quán)限（1)技術(shù)部：技術(shù)部是公司信息系統(tǒng)變更的歸口管理部門(mén)，負(fù)責(zé)批準(zhǔn)變更的計(jì)劃、實(shí)施、恢復(fù)，總體評(píng)價(jià)變更影響，決策管理；并實(shí)施變更。在變更實(shí)施前，由技術(shù)部門(mén)填寫(xiě)《變更申請(qǐng)審批處理表》，明確變更的原因、變更范圍、變更影響的分析及對(duì)策（包括不成功變更的恢復(fù)措施），經(jīng)技術(shù)部人員批準(zhǔn)后予以實(shí)施。十一、 第三方服務(wù)管理規(guī)定 ISMS30111. 目的和范圍對(duì)第三方提供的服務(wù)進(jìn)行規(guī)范，減少由于服務(wù)不規(guī)范帶來(lái)的信息安全方面的風(fēng)險(xiǎn)。(2)將設(shè)備、網(wǎng)絡(luò)、系統(tǒng)、軟件、信息安全、保安、保潔等事項(xiàng)進(jìn)行外包時(shí)，重要的第三方服務(wù)必須簽訂要與第三方服務(wù)提供方簽署《服務(wù)合同》，能接觸到公司敏感信息資產(chǎn)的服務(wù)項(xiàng)目的服務(wù)合同中應(yīng)包含第三方保密要求的內(nèi)容。對(duì)變更后的服務(wù)提供方進(jìn)行服務(wù)評(píng)估。(2)ISO/IEC27001:2022 信息技術(shù)安全技術(shù)信息安全管理體系要求(3)ISO/IEC17799:2022 信息技術(shù)安全技術(shù)信息安全管理實(shí)施細(xì)則(4)系統(tǒng)維護(hù)與監(jiān)控管理規(guī)定3. 職責(zé)和權(quán)限技術(shù)部負(fù)責(zé)公司內(nèi)部系統(tǒng)運(yùn)營(yíng)相關(guān)數(shù)據(jù)的備份管理控制.技術(shù)部負(fù)責(zé)本公司軟件開(kāi)發(fā)所需相關(guān)數(shù)據(jù)的備份管理控制.其它各個(gè)部門(mén)根據(jù)自己部門(mén)的業(yè)務(wù)特點(diǎn)，建立各自的備份策略進(jìn)行備份。(3)備份數(shù)據(jù)的管理1)備份目錄應(yīng)進(jìn)行嚴(yán)格的權(quán)限管控，無(wú)關(guān)人員禁止訪(fǎng)問(wèn)備份目錄。(2)ISO/IEC27001:2022 信息技術(shù)安全技術(shù)信息安全管理體系要求(3)ISO/IEC27002:2022 信息技術(shù)安全技術(shù)信息安全管理實(shí)施