【文章內(nèi)容簡(jiǎn)介】 理流程(1)設(shè)備入網(wǎng)1)需按設(shè)備本身提供的“設(shè)備安全操作說(shuō)明書”進(jìn)行正確操作和使用，設(shè)備在日常使用過(guò)程中應(yīng)注意安全；2)系統(tǒng)工程師應(yīng)查找有關(guān)的風(fēng)險(xiǎn)評(píng)估報(bào)告，確定準(zhǔn)備入網(wǎng)的設(shè)備是否已做過(guò)風(fēng)險(xiǎn)評(píng)估。8 / 633)如果沒有類似的設(shè)備做過(guò)風(fēng)險(xiǎn)分析和處置計(jì)劃，則應(yīng)按風(fēng)險(xiǎn)評(píng)估的要求，通知信息安全管理小組進(jìn)行。4)如果做過(guò)風(fēng)險(xiǎn)分析和處置計(jì)劃，則應(yīng)按照相關(guān)的處置計(jì)劃和實(shí)施要求，制定設(shè)備入網(wǎng)計(jì)劃。5)系統(tǒng)工程師對(duì)計(jì)劃入網(wǎng)的設(shè)備在獨(dú)立的測(cè)試環(huán)境中進(jìn)行測(cè)試，測(cè)試通過(guò)后提交綜合部審批。6)技術(shù)部批準(zhǔn)入網(wǎng)申請(qǐng)后,由系統(tǒng)工程師組織設(shè)備入網(wǎng)。7)設(shè)備入網(wǎng)應(yīng)按照處置計(jì)劃和入網(wǎng)計(jì)劃對(duì)設(shè)備進(jìn)行安全加固。8)對(duì)入網(wǎng)系統(tǒng)進(jìn)行一段時(shí)間的監(jiān)控，以觀察入網(wǎng)是否生效。如果發(fā)現(xiàn)問(wèn)題,要及時(shí)進(jìn)行處理,必要時(shí)要尋求供應(yīng)商的協(xié)助。監(jiān)控一段時(shí)間后，設(shè)備擔(dān)當(dāng)組織人員進(jìn)行驗(yàn)收，并通知信息安全管理小組對(duì)系統(tǒng)進(jìn)行安全檢測(cè)。(2)設(shè)備安置與保護(hù)(3)信息設(shè)備安裝管理1)技術(shù)部對(duì)信息設(shè)備安全的安置與保護(hù)工作，包括對(duì)溫度、濕度的監(jiān)測(cè)和日常的巡檢等，詳見《機(jī)房管理規(guī)定》。2)信息安全設(shè)備的安置應(yīng)按照設(shè)備制造商的說(shuō)明，安置工作由專業(yè)人員進(jìn)行。3)信息安全設(shè)備安置要選擇能夠避免或減少未授權(quán)訪問(wèn)的物理場(chǎng)所，應(yīng)采取措施以減小潛在的物理威脅的風(fēng)險(xiǎn)。4)重要系統(tǒng)使用的信息設(shè)備安置在專用的機(jī)房?jī)?nèi)。5)安置在室外的信息設(shè)備要注意防盜、防雨、防雷、防塵、防腐蝕等工作。6)確保消防設(shè)備充足并隨時(shí)可用，定期進(jìn)行消防演練。(4)支持性設(shè)施安置管理1)技術(shù)部負(fù)責(zé)信息安全設(shè)備支持性設(shè)施的管理工作，包括提供、維護(hù)、維修等。2)對(duì)支持關(guān)鍵業(yè)務(wù)操作的信息設(shè)備，使用不間斷電源（UPS）。UPS 設(shè)備要定期地檢查，詳見《機(jī)房管理規(guī)定》。3)應(yīng)急電源開關(guān)應(yīng)位于設(shè)備房間應(yīng)急出口附近，以便緊急情況時(shí)快速切斷電源。萬(wàn)一主電源出現(xiàn)故障時(shí)要提供應(yīng)急照明。9 / 634)技術(shù)部要確保通風(fēng)和空調(diào)系統(tǒng)等運(yùn)行良好，對(duì)其運(yùn)行情況可進(jìn)行定期檢查。(5)線纜安全1)公司網(wǎng)絡(luò)系統(tǒng)進(jìn)入信息設(shè)備的電源和電信線路布在地板上,要建有冗余線路或留有可替換線路，以保障線路的可用性。2)電纜要避開公眾區(qū)域,鋪設(shè)電纜要有線槽保護(hù)，以避免未授權(quán)竊聽或損壞的危害。為了防止干擾,電源電纜要與通信電纜分開布線。3)要采取切實(shí)有效的措施防范鼠患，防止電纜被鼠噬。4)電纜要使用牢固、清晰、可識(shí)別的標(biāo)記,使用文件化配線列表減少布線失誤的可能性,以使失誤最小化，詳見《機(jī)房管理規(guī)定》。(6)設(shè)備移動(dòng)1)在公司物理環(huán)境以外嚴(yán)禁放置服務(wù)器、交換機(jī)、電腦等信息設(shè)備。2)公司原則上禁止機(jī)房設(shè)備移出公司物理環(huán)境。如確因工作需要，如展會(huì)、維修等，需將公司的服務(wù)器、交換機(jī)、路由器等信息設(shè)備移到辦公地點(diǎn)外使用，需經(jīng)研發(fā)主管批準(zhǔn)后才能移出公司的物理環(huán)境。3)如需要供應(yīng)商將設(shè)備移出公司物理環(huán)境進(jìn)行維修時(shí)，在設(shè)備移出前，設(shè)備管理人員要將設(shè)備中敏感信息從設(shè)備中刪除或確保維護(hù)人員對(duì)其不可訪問(wèn)或獲取。4)離開建筑物的信息設(shè)備和移動(dòng)介質(zhì)在公共場(chǎng)所要有專人看護(hù)和保管，不允許無(wú)人值守，適當(dāng)時(shí)，還要施加其它措施進(jìn)行控制，例如上鎖，以防止損壞、盜竊等事件發(fā)生。5)筆記本在公司辦公場(chǎng)所以外使用，依《筆記本電腦管理規(guī)定》。(7)維護(hù)、保養(yǎng)1)機(jī)器設(shè)備日常維護(hù)由設(shè)備使用者在日常使用時(shí)進(jìn)行，維護(hù)項(xiàng)目限于查看設(shè)備外觀有無(wú)明顯損壞、是否正常工作、是否通電正常等內(nèi)容。2)定期維護(hù)由技術(shù)部專業(yè)工程師或供應(yīng)商進(jìn)行，定期維護(hù)根據(jù)不同設(shè)備決定不同的維護(hù)周期，從一周一次到半年一次不等，定期維護(hù)項(xiàng)目包括軟硬件更換、性能檢查、性能調(diào)優(yōu)等。3)定期維護(hù)和年底維護(hù)后，要將維護(hù)項(xiàng)目、維護(hù)過(guò)程、維護(hù)人員、維護(hù)結(jié)果等內(nèi)容詳細(xì)記錄在《設(shè)備維護(hù)記錄》中。10 / 63(8)設(shè)備處置1)設(shè)備的處置由設(shè)備使用部門提出，經(jīng)經(jīng)總經(jīng)理批準(zhǔn)后，對(duì)設(shè)備進(jìn)行處理；2)信息設(shè)備在處置過(guò)程中須考慮信息安全。3)設(shè)備報(bào)廢前設(shè)備管理責(zé)任人要負(fù)責(zé)刪除所有信息，對(duì)包含敏感信息的設(shè)備要對(duì)其信息載體在物理上應(yīng)予以銷毀，或者采用使原始信息不可獲取的技術(shù)將其安全地重寫，如消磁。4)信息設(shè)備的報(bào)廢工作由綜合部負(fù)責(zé)，需要填寫《廢棄介質(zhì)處置記錄》,經(jīng)總經(jīng)理批準(zhǔn)后，才能進(jìn)行報(bào)廢。5)對(duì)于因閑置、人員離辭或設(shè)備換代等原因不再使用的信息設(shè)備，特別是個(gè)人電腦，在設(shè)備歸倉(cāng)前，要采用信息不可獲取的技術(shù)將其敏感信息、工作信息和個(gè)人信息刪除。以確保在設(shè)備重用時(shí)，重用者不會(huì)獲得與其工作無(wú)關(guān)的內(nèi)容。6)對(duì)試用設(shè)備和測(cè)試設(shè)備（無(wú)論是自有的還是供應(yīng)商的）中的信息在試用和測(cè)試后，由試用或測(cè)試人員立即清除，防止重要信息泄露。7)廢棄介質(zhì)處理方法參見《介質(zhì)管理規(guī)定》5. 實(shí)施策略(1)設(shè)備管理規(guī)定涉及到包括《設(shè)備維護(hù)記錄》共 1 個(gè)表單。(2)對(duì)設(shè)備的定期維護(hù)等內(nèi)容詳細(xì)填寫《設(shè)備維護(hù)記錄》。6. 相關(guān)記錄本程序發(fā)生的記錄匯總表表 61 ISMS 文件日常應(yīng)用表格表號(hào) 記錄編號(hào) 記錄名稱 保管場(chǎng)所 保存期限 保存形 式 備注表 ISMS300901 設(shè)備維護(hù)記錄表 技術(shù)部 1 年 電子七、 機(jī)房管理規(guī)定 ISMS300711 / 631. 目的和范圍為科學(xué)、有效地管理機(jī)房，促進(jìn)各信息系統(tǒng)在機(jī)房安全的、穩(wěn)定的、高效的運(yùn)行，特制定本規(guī)定。2. 引用文件(1)下列文件中的條款通過(guò)本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。(2)ISO/IEC27001:2022 信息技術(shù)安全技術(shù)信息安全管理體系要求(3)ISO/IEC27002:2022 信息技術(shù)安全技術(shù)信息安全管理實(shí)施細(xì)（4）設(shè)備管理規(guī)定（5）訪問(wèn)控制程序3. 職責(zé)和權(quán)限技術(shù)部：負(fù)責(zé)責(zé)機(jī)房的日常檢查、維護(hù)和管理工作，及當(dāng)發(fā)生緊急事件時(shí)，按應(yīng)急預(yù)案進(jìn)行相應(yīng)的處置。4. 機(jī)房出入制度(1)機(jī)房的進(jìn)出由技術(shù)部嚴(yán)格管理。機(jī)房的鑰匙保存技術(shù)部。如需進(jìn)入機(jī)房，必須得到技術(shù)部的授權(quán)，在技術(shù)部領(lǐng)取鑰匙后方可進(jìn)入。(2)未經(jīng)許可不準(zhǔn)攜帶任何磁帶（盤）、磁介質(zhì)和資料進(jìn)入機(jī)房。經(jīng)特許攜帶的，必須由專人陪同方可進(jìn)入。(3)未經(jīng)許可不允許使用攝影、錄像、筆記、或其它音像記錄設(shè)備等。5. 機(jī)房環(huán)境管理(1)技術(shù)部對(duì)機(jī)房環(huán)境每半月進(jìn)行一次檢查，對(duì)發(fā)現(xiàn)的問(wèn)題要及時(shí)解決。填寫《機(jī)房巡檢記錄表》。(2)機(jī)房?jī)?nèi)要保持設(shè)備無(wú)塵、布線整齊、物品就位、資料齊全。(3)機(jī)房?jī)?nèi)嚴(yán)禁堆放與工作無(wú)關(guān)的其它物品及紙質(zhì)物品。做好消防滅火設(shè)備檢查工作12 / 63(4)機(jī)房?jī)?nèi)禁止飲食、吸煙、打鬧、大聲喧嘩，機(jī)房?jī)?nèi)不得會(huì)客、閑談。(5)機(jī)房?jī)?nèi)備有溫度計(jì)和濕度計(jì)，溫度保持在 18℃25℃，濕度保持在40%60%。溫度計(jì)和濕度計(jì)應(yīng)每年作一次檢測(cè)。(6)機(jī)房接地系統(tǒng)要符合相應(yīng)的技術(shù)標(biāo)準(zhǔn)，各個(gè)設(shè)備交流工作電源應(yīng)有工作接地，機(jī)柜應(yīng)有效接地。(7)機(jī)房配電柜要有防雷設(shè)施，進(jìn)出機(jī)房的電纜應(yīng)有防雷措施。(8)機(jī)房用電要使用獨(dú)立的電線，專用變壓器、電源穩(wěn)壓器等。(9)機(jī)房的環(huán)境應(yīng)達(dá)到機(jī)房建設(shè)的設(shè)計(jì)要求。6. 機(jī)房設(shè)備管理(1)機(jī)房要有完整的網(wǎng)絡(luò)拓?fù)鋱D、物理拓?fù)鋱D。(2)機(jī)房?jī)?nèi)的所有設(shè)備應(yīng)貼有設(shè)備標(biāo)簽，并注明設(shè)備的主要參數(shù)。(3)主機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備的各類接線的兩端應(yīng)設(shè)置標(biāo)簽，網(wǎng)絡(luò)接口側(cè)應(yīng)注明連接的設(shè)備。(4)對(duì)主要網(wǎng)絡(luò)設(shè)備如核心路由器、交換機(jī)、防火墻、IDS 等設(shè)備的配置文件每 6 個(gè)月進(jìn)行進(jìn)行一次評(píng)審。(5)對(duì)機(jī)房的主機(jī)設(shè)備及智能網(wǎng)絡(luò)交換裝置應(yīng)嚴(yán)格管理，做好事故預(yù)想，制定周密的故障應(yīng)急措施。(6)嚴(yán)禁擅自在運(yùn)行的小型機(jī)、交換機(jī)、路由器等設(shè)備上進(jìn)行開發(fā)、維護(hù)、調(diào)試或?qū)W習(xí)培訓(xùn)等工作。(7)實(shí)施策略1)機(jī)房管理規(guī)定涉及的《機(jī)房巡檢記錄表》共 1 個(gè)表單。7. 相關(guān)記錄本程序發(fā)生的記錄匯總表13 / 63表 71 ISMS 文件日常應(yīng)用表格表號(hào) 記錄編號(hào) 記錄名稱 保管場(chǎng)所 保存期限 保存形式 備注表 ISMS302101 機(jī)房巡檢記錄表 信息安全小組 1 年 紙質(zhì)八、 筆記本電腦管理規(guī)定 ISMS30081. 目的建立筆記本電腦設(shè)備的使用規(guī)定及其與互聯(lián)網(wǎng)的連接制度，這些規(guī)定是保持信息資源保密性、完整性和可用性所必需的。為加強(qiáng)業(yè)務(wù)筆記本電腦設(shè)備的合理利用與筆記本電腦設(shè)備信息安全管理，特制定該管理規(guī)定。適用所有業(yè)務(wù)部門員工和需在業(yè)務(wù)部門辦公室工作的人員。2. 引用文件(1).下列文件中的條款通過(guò)本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。(2).ISO/IEC27001:2022 信息技術(shù)安全技術(shù)信息安全管理體系要求(3).ISO/IEC27002:2022 信息技術(shù)安全技術(shù)信息安全管理實(shí)施細(xì)則(4).防范病毒及惡意軟件管理規(guī)定3. 職責(zé)和權(quán)限(1)總經(jīng)理：負(fù)責(zé)筆記本電腦申請(qǐng)的審批(2)技術(shù)部：負(fù)責(zé)筆記本電腦的發(fā)放管理(3)使用人員：負(fù)責(zé)便攜計(jì)算機(jī)的日常使用保養(yǎng)和維護(hù)。4. 筆記本電腦使用規(guī)定(1)公司所有筆記本電腦由使用人員自行保管負(fù)責(zé),若是公司統(tǒng)一配置的14 / 63在辭職時(shí)應(yīng)到綜合部辦理電腦交接手續(xù),并在《離職交接清單》中作好備注。(2)技術(shù)部授權(quán)使用的筆記本電腦未經(jīng)部門經(jīng)理同意嚴(yán)格禁止帶出公司。(3)未經(jīng)許可，員工不得攜帶個(gè)人筆記本電腦設(shè)備進(jìn)入公司辦公場(chǎng)所。(4)筆記本電腦設(shè)備必須有嚴(yán)格的口令訪問(wèn)控制措施，口令設(shè)置需滿足公司安全策略要求。(5)對(duì)無(wú)人看守的筆記本電腦設(shè)備必須實(shí)施物理保護(hù)，必須放在帶鎖的辦公室、抽屜或文件柜里；(6)筆記本電腦設(shè)備丟失或被竊后應(yīng)及時(shí)報(bào)告給部門經(jīng)理和技術(shù)部。(7)除自然損壞外，凡人為損壞（如撞壞、跌壞、電源插錯(cuò)燒壞等）由本人負(fù)責(zé)修好，費(fèi)用由個(gè)人承擔(dān)。(8)便攜機(jī)中除工作所需的軟件外，不導(dǎo)入其他與工作無(wú)關(guān)的軟件。特別要保證便攜機(jī)不帶病毒。5. 安全配置規(guī)定(1)授權(quán)使用的筆記本電腦設(shè)備必須安裝公司安全策略規(guī)定的防病毒軟件；(2)筆記本電腦設(shè)備每月進(jìn)行一次病毒軟件和操作系統(tǒng)補(bǔ)丁檢查和評(píng)審,由電腦使用人員自行負(fù)責(zé).(3)筆記本電腦設(shè)備若支持內(nèi)置的硬盤加密措施，應(yīng)啟用該措施，以免電腦或硬盤丟失后造成數(shù)據(jù)泄密。(4)公司采用相關(guān)產(chǎn)品和方法對(duì)筆記本數(shù)據(jù)進(jìn)行加密處理和使用，防止信息泄密。(5)公司采用相關(guān)產(chǎn)品和方法對(duì)筆記本進(jìn)行監(jiān)控(6)公司內(nèi)部未經(jīng)授權(quán)禁止開啟無(wú)線網(wǎng)卡功能。禁止使用公司外部的未設(shè)安全機(jī)制的無(wú)線網(wǎng)絡(luò)，系統(tǒng)管理員要每月掃描一次公司能接受到的外部不安全網(wǎng)絡(luò)。(7)公司的無(wú)線網(wǎng)絡(luò)僅供授權(quán)的技術(shù)支持人員使用，其他未經(jīng)技術(shù)部授15 / 63權(quán)禁止便攜機(jī)連入使用。6. 外部人員使用筆記本的規(guī)定(1)外部人員使用的筆記本電腦只能連接到公共上網(wǎng)區(qū)，通過(guò)獨(dú)立于公司內(nèi)部的專用網(wǎng)絡(luò)上網(wǎng)。出于安全考慮，一般不予考慮客人接入公司內(nèi)部網(wǎng)絡(luò)。(2)外部人員接待負(fù)責(zé)人需提前通知技術(shù)部該外部人員筆記本電腦使用的地點(diǎn)，便于技術(shù)部配置相關(guān)網(wǎng)絡(luò)。(3)若外部人員需要在業(yè)務(wù)辦公地點(diǎn)長(zhǎng)期工作（指超過(guò) 2 周時(shí)間），需經(jīng)技術(shù)部經(jīng)理批準(zhǔn)。7. 客戶現(xiàn)場(chǎng)管理規(guī)定(1)在客戶現(xiàn)場(chǎng)進(jìn)行開發(fā)及維護(hù)等工作時(shí)，在遵守本公司管理規(guī)定時(shí)，同時(shí)要遵守客戶的管理方面相關(guān)規(guī)定。(2)如在客戶現(xiàn)場(chǎng)工作時(shí)需要使用筆記本，相關(guān)部門人員應(yīng)盡量使用本部門公共筆記本，并進(jìn)行登記。(3)在客戶現(xiàn)場(chǎng)使用筆記本工作時(shí)，必須注意信息的保密，防止筆記本內(nèi)信息泄露。(4)筆記本內(nèi)新產(chǎn)生的數(shù)據(jù)應(yīng)及時(shí)在客戶備份系統(tǒng)或公司備份系統(tǒng)上進(jìn)行備份，防止數(shù)據(jù)丟失。8. 實(shí)施策略自行保管負(fù)責(zé)。無(wú)線網(wǎng)絡(luò)加密上網(wǎng)。9. 相關(guān)記錄無(wú)16 / 63九、 介質(zhì)管理規(guī)定 ISMS30091. 目的和范圍任何信息設(shè)備，如：計(jì)算機(jī)、交換機(jī)、打印機(jī)、傳真機(jī)、復(fù)印機(jī)等，都需要介質(zhì)進(jìn)行存儲(chǔ)，當(dāng)存儲(chǔ)設(shè)備或可移動(dòng)介質(zhì)需要轉(zhuǎn)移或銷毀時(shí)，如果處理不當(dāng)，很容易造成信息泄漏。因此，必須按規(guī)定執(zhí)行處置。適用于移動(dòng)存儲(chǔ)設(shè)備/介質(zhì)在本公司辦公場(chǎng)所及房機(jī)內(nèi)的使用管理。2. 引用文件(1)下列文件中的條款通過(guò)本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。(2)ISO/IEC27001:2022 信息技術(shù)安全技術(shù)信息安全管理體系要求(3)ISO/IEC27002:2022 信息技術(shù)安全技術(shù)信息安全管理實(shí)施細(xì)則3. 職責(zé)和權(quán)限(1)綜合部負(fù)責(zé)對(duì)公司各類的可移動(dòng)介質(zhì)和存儲(chǔ)介質(zhì)的發(fā)放、使用、處置的進(jìn)行管理。(2)介質(zhì)使用部門和使用者(3)由部門負(fù)責(zé)管理的介質(zhì)，由該部門領(lǐng)導(dǎo)指定專人負(fù)責(zé)保管。個(gè)人使用的介質(zhì)由本人負(fù)責(zé)保管。4. 介質(zhì)管理(1)介質(zhì)分類1)技術(shù)部對(duì)公司使用的介質(zhì)，進(jìn)行介質(zhì)分類，制定《介質(zhì)管理分類表》。2)介質(zhì)分為一般介質(zhì)和可移動(dòng)介質(zhì)，一般介質(zhì)包括：計(jì)算機(jī)存儲(chǔ)介質(zhì)，可移動(dòng)介質(zhì)是指 U 盤、移動(dòng)硬盤、數(shù)碼相機(jī)、光盤、光盤刻錄機(jī)、PDA、帶USB 接口的 MP3/MP4 播放器等。17 / 63(2)介質(zhì)使用管理1)一般情況下公司禁止使用可移動(dòng)介質(zhì)。2)確因工作需要使用移動(dòng)介質(zhì)，須經(jīng)本部門領(lǐng)導(dǎo)批準(zhǔn)后方