【正文】 63是不注日期的引用文件，其最新版本適用于本標準。(2)ISO/IEC27001:2022 信息技術(shù)安全技術(shù)信息安全管理體系要求(3)ISO/IEC27002:2022 信息技術(shù)安全技術(shù)信息安全管理實施細則3. 職責和權(quán)限(1)技術(shù)部：負責電子郵件系統(tǒng)的規(guī)劃、建設和日常運行維護；負責郵件的用戶名及密碼的分配和管理；如有必要，負責郵件的歸檔，過濾及監(jiān)控等工作。(2)使用人員：申請公司的郵箱，按照公司的規(guī)定使用郵箱。4. 電子郵件的帳戶管理(1)帳戶申請：公司郵箱：工作人員正式入職以后須向技術(shù)部申請郵件賬號。5. 電子郵件使用規(guī)定(1)明確禁止的行為在未授權(quán)的情況下發(fā)送公司機密文件、項目文檔或程序代碼等未授權(quán)的信息；(2)發(fā)送或者群發(fā)與工作無關(guān)的郵件或垃圾郵件及個人信息；(3)發(fā)送或者轉(zhuǎn)發(fā)虛假、黃色、反動信息；(4)發(fā)送或者轉(zhuǎn)發(fā)宣揚個人政治傾向或者宗教信仰；(5)利用電子郵件服務傳輸任何騷擾性的、中傷他人的、恐嚇性的、庸俗、淫穢以及其他違反國家規(guī)定內(nèi)容的信息資料；(6)在非授權(quán)情況下以公司的名義發(fā)表或群發(fā)個人意見；(7)利用電子郵件服務散布電腦病毒、木馬程序、干擾網(wǎng)絡上其他使用者或破壞網(wǎng)絡系統(tǒng)的正常運行。6. 郵件使用規(guī)定(1)除非特別批準，使用白名單限制發(fā)送郵件的收件人地址。(2)郵件系統(tǒng)為公司因工作需要而對外聯(lián)系所用，用戶必須以本人的真實身份使用用于辦公用途的電子郵箱，禁止以他人名義濫發(fā)郵件或盜用他人27 / 63郵箱。(3)郵箱用戶的登錄密碼，用戶必須嚴格保密，不得泄露。如將其借予他人使用，由此造成的一切安全后果由郵件帳號所有人承擔。(4)用戶不得將電子郵件地址用于非工作目的(特別是以娛樂、購物、交友等為目的身份注冊)。(5)Email 賬號密碼必須符合口令策略的相關(guān)規(guī)定；(6)未經(jīng)授權(quán)任何人不得嘗試以他人帳戶口令進行登錄，閱讀他人郵件內(nèi)容。(7)在對外聯(lián)系中，應注意安全保密，用 Email 發(fā)送機密信息必須符合公司的相關(guān)規(guī)定；(8)因工作需要而傳遞公司或項目保密文件時，經(jīng)批準后，可通過加密渠道傳遞；(9)通過 EMAIL 發(fā)送機密附件時，如有必要，附件必須加密；(10)請盡量壓縮傳送的文件，勿發(fā)送超過 2M 的附件，以免影響系統(tǒng)性能；(11)對外聯(lián)系時請注意通信禮儀，保持公司良好的形象；(12)使用防病毒工具的 EMAIL 保護功能，并經(jīng)常查毒，有異常應及時通知管理員；(13)發(fā)送 Email 必須有清楚的主題，發(fā)送前再次確認收件人列表內(nèi)的人員都是必需的和正確的；(14)用戶不要閱讀和傳播來歷不明的郵件及附件，提高對于郵件病毒的防范意識，避免傳遞病毒郵件。(15)工作人員離職必須向技術(shù)部申請郵箱收回。并做后期處理。7. 實施策略不得用個人郵箱發(fā)機密文件。8. 相關(guān)記錄無28 / 63十四、 軟件管理規(guī)定 ISMS30141. 目的和范圍本標準規(guī)定了公司軟件資產(chǎn)的收集、發(fā)放、管理、使用、更改、修訂、備份等過程的控制要求2. 引用文件(1)下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。(2)ISO/IEC27001:2022 信息技術(shù)安全技術(shù)信息安全管理體系要求(3)ISO/IEC27002:2022 信息技術(shù)安全技術(shù)信息安全管理實施細則(4)補丁管理規(guī)定3. 職責與權(quán)限技術(shù)部：是軟件資產(chǎn)(非自行開發(fā)軟件)的歸口管理部門。負責軟件的購置、維護、作廢及各部門軟件資料、介質(zhì)的收集、統(tǒng)計、歸檔、存放和發(fā)放使用。技術(shù)部是公司自行開發(fā)軟件的歸口管理部門。4. 軟件管理(1)收集對公司信息系統(tǒng)涉及的軟件資產(chǎn)進行收集整理、分類歸檔，填寫《信息資產(chǎn)識別表》中“軟件和系統(tǒng)”類資產(chǎn)。公司內(nèi)軟件來源主要有以下幾個方面：(2)已有商業(yè)軟件購買。(3)技術(shù)部開發(fā)內(nèi)部使用軟件。(4)免費軟件的下載。(5)識別出資產(chǎn)識別表中重要的軟件和應用系統(tǒng)。5. 審核、批準、發(fā)布29 / 63(1)新的軟件使用前填寫《新軟件和系統(tǒng)登記表》，每季度根據(jù)此表內(nèi)容對《信息資產(chǎn)識別表》里的軟件和系統(tǒng)資產(chǎn)進行更新。(2)新的軟件由技術(shù)部進行測試或使用檢驗，測試應當包括可用性、安全性，對其它系統(tǒng)影響和用戶友好性，測試應當在與應用系統(tǒng)隔離的系統(tǒng)中進行。(3)新的軟件測試或使用檢驗合格后,經(jīng)相關(guān)部門領(lǐng)導審核并批準后提交技術(shù)部發(fā)布。6. 軟件歸檔和存放(1)所有軟件收集后統(tǒng)一登記，包括軟件的開發(fā)廠家，軟件數(shù)量，軟件版本，許可證編號等。(2)軟件登記好后統(tǒng)一存放于指定位置。磁盤文件存放于指定存儲空間中，由專人負責整理，各軟件建立獨立的文件夾，標識明確清晰，并做好軟件的備份工作。光盤統(tǒng)一存放入文件柜中，并有明顯易辨認的標識，便于整理和取用。7. 軟件使用(1)技術(shù)部統(tǒng)一負責軟件的發(fā)放及安裝，做到及時升級和故障排除。(2)各部門負責軟件的使用，如有問題及時反饋給技術(shù)部。(3)未經(jīng)許可，任何人不得將內(nèi)部使用的軟件外帶、傳播、販賣，不得將軟件用于任何違法或非正當用途。(4)軟件使用過程中應加強保護，保持軟件完整、可用，不受病毒侵害。(5)制作《授權(quán)使用軟件列表》，禁止使用未經(jīng)授權(quán)的軟件和未經(jīng)授權(quán)的系統(tǒng)實用工具軟件。(6)對光盤介質(zhì)類軟件要考慮使用刻錄的副本，原光盤進行存檔處理。8. 修訂與升級(1)各部門和技術(shù)部應根據(jù)軟件的使用情況，提出軟件的修訂意見，相關(guān)部門領(lǐng)導批準后，形成統(tǒng)一的修訂意見，由綜合部負責實施。(2)軟件的升級／補丁按《補丁管理規(guī)定》進行。30 / 639. 軟件作廢(1)修訂軟件批準生效后，原軟件應予以作廢。軟件使用部門接到新版本軟件后，從新版本軟件實施之日起，原軟件作廢。填寫《作廢軟件登記表》。每季度根據(jù)此表內(nèi)容對《信息資產(chǎn)識別表》里的軟件和系統(tǒng)資產(chǎn)進行更新。(2)應當保留原軟件的以前版本作為應急之用，包括所有需要的信息和參數(shù)、程序、具體配置，以及用于數(shù)據(jù)保留存檔的支持軟件。(3)原軟件作廢版本的光盤應有明確標識，并與其他在用光盤分開存放，電子文件應予以回收，避免引起作廢軟件的非預期使用。10. 實施策略(1)軟件管理規(guī)定涉及的《授權(quán)使用軟件列表》表單。(2)收集整理、分類歸檔，填寫《信息資產(chǎn)識別表》中“軟件和系統(tǒng)”類資產(chǎn)。(3)軟件作廢由技術(shù)部批準。并更新軟件清單。(4)綜合部制作《授權(quán)使用軟件列表》，禁止使用未經(jīng)授權(quán)的軟件和未經(jīng)授權(quán)的系統(tǒng)實用工具軟件.11. 相關(guān)記錄本程序發(fā)生的記錄表表 141 ISMS 文件日常應用表表號 記錄編號 記錄名稱 保管場所 保存期限 保存形 式 備注表 ISMS301701 授權(quán)使用軟件列表 綜合部 3 年 電子十五、 系統(tǒng)監(jiān)控管理規(guī)定 ISMS30151. 目的了解服務器的運行狀態(tài)，檢測未經(jīng)授權(quán)的信息處理活動，為安全事故提供證據(jù)，確保業(yè)務系統(tǒng)的穩(wěn)定性、可靠性、安全性。31 / 632. 引用文件(1)下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。(2)ISO/IEC27001:2022 信息技術(shù)安全技術(shù)信息安全管理體系要求(3)ISO/IEC27002:2022 信息技術(shù)安全技術(shù)信息安全管理實施細則(4)機房管理規(guī)定3. 職責技術(shù)部負責公司網(wǎng)絡和系統(tǒng)訪問活動的監(jiān)控管理。4. 系統(tǒng)監(jiān)控管理(1)日志的分類1)需監(jiān)控的日志包括但不僅限于以下類型：2)服務器日志：系統(tǒng)日志，應用程序日志和安全日志。3)防火墻日志4)視頻監(jiān)控系統(tǒng)的記錄5)網(wǎng)管軟件的監(jiān)控記錄6)管理員和系統(tǒng)操作員記錄7)故障日志十六、 補丁管理規(guī)定 ISMS30161. 目的為規(guī)范公司操作系統(tǒng)及其他網(wǎng)絡設備的安全補丁管理操作流程，保護信息系統(tǒng)安全，特制定本規(guī)定。2. 引用文件(1)下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注32 / 63日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。(2)ISO/IEC27001:2022 信息技術(shù)安全技術(shù)信息安全管理體系要求(3)ISO/IEC27002:2022 信息技術(shù)安全技術(shù)信息安全管理實施細則3. 職責與權(quán)限技術(shù)部：負責操作系統(tǒng)及網(wǎng)絡設備安全補丁管理工作，包括補丁公告、補丁評估和補丁列表的維護工作：(1)負責應用系統(tǒng)和數(shù)據(jù)庫系統(tǒng)相關(guān)安全補丁。(2)負責 WINDOWS 平臺相關(guān)安全補?。ò?Office 等 MICROSOFT 頒布的補?。?。(3)負責網(wǎng)絡設備相關(guān)安全補丁。(4)負責安全產(chǎn)品相關(guān)安全補丁。4. 補丁管理規(guī)定Windows 操作系統(tǒng)補丁：(1)公司重要服務器的補丁由技術(shù)部下載、測試及安裝。綜合部的開發(fā)服務器，由技術(shù)部進行補丁的下載、測試及安裝。(2)技術(shù)部在發(fā)現(xiàn) windows 操作系統(tǒng)發(fā)布新補丁后，在公司的公共平臺上發(fā)出補丁更新通告，各部門的負責人統(tǒng)一安排部門進行補丁升級。(3)技術(shù)部每季度對補丁更新情況進行抽查。5. 其他補?。?1)技術(shù)部制定《補丁管理策略明細表》，評審并明確需要進行補丁管理的補丁類型。(2)評審并明確需要進行補丁測試的補丁類型。(3)對重要服務器進行評審，得出在升級系統(tǒng)補丁前應進行測評的服務器列表,填寫《重要服務器補丁測試記錄表》(4)對需要手工下載管理的補丁類型，需要檢查補丁的來源是可靠的，如果可能，在收到補丁包后，用防病毒軟件檢查。33 / 63(5)服務器在安裝補丁應采用手工升級，并延遲補丁發(fā)布后一星期，避免最新補丁本身問題給服務器帶來的風險。(6)當供應商發(fā)布緊急的非常規(guī)的安全補丁時，系統(tǒng)管理員備份好系統(tǒng)后，必須立即進行響應。(7)對重要服務器的補丁每季度進行一次檢查。并填寫《重要服務器補丁檢查表》.(8)重要網(wǎng)絡設備的補丁每季度進行一次檢查。并填寫《網(wǎng)絡設備補丁檢查表》.6. 實施策略(1)補丁管理規(guī)定中涉及到的表單包括《補丁管理策略明細表》、《重要服務器補丁檢查表》、《重要服務器補丁測試記錄》、《網(wǎng)絡設備補丁檢查表》4 個表單。(2)技術(shù)部制定《補丁管理策略明細表》(3)技術(shù)部對重要服務器在升級系統(tǒng)補丁前應進行測評,填寫《重要服務器補丁測試記錄表》(4)技術(shù)部對重要服務器/網(wǎng)絡設備的補丁每季度進行一次檢查。并填寫《重要服務器補丁檢查表》和《網(wǎng)絡設備補丁檢查表》.7. 相關(guān)記錄本程序發(fā)生的記錄匯總表表 161 ISMS 文件日常應用表表號 記錄編號 記錄名稱 保管場所 保存期限 保存形 式 備注表 ISMS301901 補丁管理策略明細表 綜合部 3 年 電子表 ISMS301902 重要服務器補丁測試記錄 表 綜合部 3 年 電子表 ISMS301903 重要服務器補丁檢查表 綜合部 3 年 紙質(zhì)表 ISMS301904 網(wǎng)絡設備補丁檢查表 綜合部 3 年 紙質(zhì)34 / 63十七、 信息系統(tǒng)審核規(guī)范 ISMS30171. 目的和范圍確保本公司制定的信息安全策略和規(guī)定能夠定期評審和正確執(zhí)行。2. 術(shù)語和定義ISO/IEC27001:2022《信息技術(shù)安全技術(shù)信息安全管理體系要求》ISO/IEC27002:2022《信息技術(shù)安全技術(shù)信息安全管理實施細則》規(guī)定的術(shù)語適用于本標準。3. 引用文件下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。ISO/IEC27001:2022 信息技術(shù)安全技術(shù)信息安全管理體系要求ISO/IEC27002:2022 信息技術(shù)安全技術(shù)信息安全管理實施細則合規(guī)性管理程序補丁管理規(guī)定4. 職責和權(quán)限(1)制定信息系統(tǒng)安全審核策略(2)對信息系統(tǒng)進行定期審核5. 活動描述(1)技術(shù)部根據(jù)公司情況，制定出公司在用戶管理、權(quán)限管理、漏洞掃描、滲透測試等方面的審核策略，必要時填寫《信息系統(tǒng)定期評審策略明細表》(2)管理人員應確保在其職責范圍內(nèi)的所有安全程序被正確地執(zhí)行，以確保符合安全策略及標準。35 / 63(3)管理人員應對自己職責范圍內(nèi)的信息處理是否符合合適的安全策略、標準和任何其它安全要求進行定期評審。(4)信息系統(tǒng)應被定期檢查是否符合安全實施標準。(5)任何技術(shù)符合性檢查應僅由有能力的、已授權(quán)的人員來完成，或在他們的監(jiān)督下完成。(6)涉及對運行系統(tǒng)檢查的審核要求和活動，應謹慎地加以規(guī)劃并取得批準，以便最小化造成業(yè)務過程中斷的風險。(7)漏洞掃描管理：1)管理員應定期進行漏洞掃描，客戶端和服務器可考慮使用奇虎 360 工具進行漏洞掃描。2)根據(jù)漏洞掃描結(jié)果，管理員應及時根據(jù)《補丁管理規(guī)定》及時修補系統(tǒng)漏洞。3)滲透測試管理：4)技術(shù)符合性檢查應由有經(jīng)驗的系統(tǒng)工程師手動執(zhí)行（如需要，利用合適的軟件工