【正文】 63是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。(2)ISO/IEC27001:2022 信息技術(shù)安全技術(shù)信息安全管理體系要求(3)ISO/IEC27002:2022 信息技術(shù)安全技術(shù)信息安全管理實(shí)施細(xì)則3. 職責(zé)和權(quán)限(1)技術(shù)部：負(fù)責(zé)電子郵件系統(tǒng)的規(guī)劃、建設(shè)和日常運(yùn)行維護(hù)；負(fù)責(zé)郵件的用戶名及密碼的分配和管理；如有必要，負(fù)責(zé)郵件的歸檔，過濾及監(jiān)控等工作。(2)使用人員：申請公司的郵箱，按照公司的規(guī)定使用郵箱。4. 電子郵件的帳戶管理(1)帳戶申請：公司郵箱：工作人員正式入職以后須向技術(shù)部申請郵件賬號。5. 電子郵件使用規(guī)定(1)明確禁止的行為在未授權(quán)的情況下發(fā)送公司機(jī)密文件、項(xiàng)目文檔或程序代碼等未授權(quán)的信息；(2)發(fā)送或者群發(fā)與工作無關(guān)的郵件或垃圾郵件及個(gè)人信息；(3)發(fā)送或者轉(zhuǎn)發(fā)虛假、黃色、反動信息；(4)發(fā)送或者轉(zhuǎn)發(fā)宣揚(yáng)個(gè)人政治傾向或者宗教信仰；(5)利用電子郵件服務(wù)傳輸任何騷擾性的、中傷他人的、恐嚇性的、庸俗、淫穢以及其他違反國家規(guī)定內(nèi)容的信息資料；(6)在非授權(quán)情況下以公司的名義發(fā)表或群發(fā)個(gè)人意見；(7)利用電子郵件服務(wù)散布電腦病毒、木馬程序、干擾網(wǎng)絡(luò)上其他使用者或破壞網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行。6. 郵件使用規(guī)定(1)除非特別批準(zhǔn)，使用白名單限制發(fā)送郵件的收件人地址。(2)郵件系統(tǒng)為公司因工作需要而對外聯(lián)系所用，用戶必須以本人的真實(shí)身份使用用于辦公用途的電子郵箱，禁止以他人名義濫發(fā)郵件或盜用他人27 / 63郵箱。(3)郵箱用戶的登錄密碼，用戶必須嚴(yán)格保密，不得泄露。如將其借予他人使用，由此造成的一切安全后果由郵件帳號所有人承擔(dān)。(4)用戶不得將電子郵件地址用于非工作目的(特別是以娛樂、購物、交友等為目的身份注冊)。(5)Email 賬號密碼必須符合口令策略的相關(guān)規(guī)定；(6)未經(jīng)授權(quán)任何人不得嘗試以他人帳戶口令進(jìn)行登錄，閱讀他人郵件內(nèi)容。(7)在對外聯(lián)系中，應(yīng)注意安全保密，用 Email 發(fā)送機(jī)密信息必須符合公司的相關(guān)規(guī)定；(8)因工作需要而傳遞公司或項(xiàng)目保密文件時(shí)，經(jīng)批準(zhǔn)后，可通過加密渠道傳遞；(9)通過 EMAIL 發(fā)送機(jī)密附件時(shí)，如有必要，附件必須加密；(10)請盡量壓縮傳送的文件，勿發(fā)送超過 2M 的附件，以免影響系統(tǒng)性能；(11)對外聯(lián)系時(shí)請注意通信禮儀，保持公司良好的形象；(12)使用防病毒工具的 EMAIL 保護(hù)功能，并經(jīng)常查毒，有異常應(yīng)及時(shí)通知管理員；(13)發(fā)送 Email 必須有清楚的主題，發(fā)送前再次確認(rèn)收件人列表內(nèi)的人員都是必需的和正確的；(14)用戶不要閱讀和傳播來歷不明的郵件及附件，提高對于郵件病毒的防范意識，避免傳遞病毒郵件。(15)工作人員離職必須向技術(shù)部申請郵箱收回。并做后期處理。7. 實(shí)施策略不得用個(gè)人郵箱發(fā)機(jī)密文件。8. 相關(guān)記錄無28 / 63十四、 軟件管理規(guī)定 ISMS30141. 目的和范圍本標(biāo)準(zhǔn)規(guī)定了公司軟件資產(chǎn)的收集、發(fā)放、管理、使用、更改、修訂、備份等過程的控制要求2. 引用文件(1)下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。(2)ISO/IEC27001:2022 信息技術(shù)安全技術(shù)信息安全管理體系要求(3)ISO/IEC27002:2022 信息技術(shù)安全技術(shù)信息安全管理實(shí)施細(xì)則(4)補(bǔ)丁管理規(guī)定3. 職責(zé)與權(quán)限技術(shù)部：是軟件資產(chǎn)(非自行開發(fā)軟件)的歸口管理部門。負(fù)責(zé)軟件的購置、維護(hù)、作廢及各部門軟件資料、介質(zhì)的收集、統(tǒng)計(jì)、歸檔、存放和發(fā)放使用。技術(shù)部是公司自行開發(fā)軟件的歸口管理部門。4. 軟件管理(1)收集對公司信息系統(tǒng)涉及的軟件資產(chǎn)進(jìn)行收集整理、分類歸檔，填寫《信息資產(chǎn)識別表》中“軟件和系統(tǒng)”類資產(chǎn)。公司內(nèi)軟件來源主要有以下幾個(gè)方面：(2)已有商業(yè)軟件購買。(3)技術(shù)部開發(fā)內(nèi)部使用軟件。(4)免費(fèi)軟件的下載。(5)識別出資產(chǎn)識別表中重要的軟件和應(yīng)用系統(tǒng)。5. 審核、批準(zhǔn)、發(fā)布29 / 63(1)新的軟件使用前填寫《新軟件和系統(tǒng)登記表》，每季度根據(jù)此表內(nèi)容對《信息資產(chǎn)識別表》里的軟件和系統(tǒng)資產(chǎn)進(jìn)行更新。(2)新的軟件由技術(shù)部進(jìn)行測試或使用檢驗(yàn)，測試應(yīng)當(dāng)包括可用性、安全性，對其它系統(tǒng)影響和用戶友好性，測試應(yīng)當(dāng)在與應(yīng)用系統(tǒng)隔離的系統(tǒng)中進(jìn)行。(3)新的軟件測試或使用檢驗(yàn)合格后,經(jīng)相關(guān)部門領(lǐng)導(dǎo)審核并批準(zhǔn)后提交技術(shù)部發(fā)布。6. 軟件歸檔和存放(1)所有軟件收集后統(tǒng)一登記，包括軟件的開發(fā)廠家，軟件數(shù)量，軟件版本，許可證編號等。(2)軟件登記好后統(tǒng)一存放于指定位置。磁盤文件存放于指定存儲空間中，由專人負(fù)責(zé)整理，各軟件建立獨(dú)立的文件夾，標(biāo)識明確清晰，并做好軟件的備份工作。光盤統(tǒng)一存放入文件柜中，并有明顯易辨認(rèn)的標(biāo)識，便于整理和取用。7. 軟件使用(1)技術(shù)部統(tǒng)一負(fù)責(zé)軟件的發(fā)放及安裝，做到及時(shí)升級和故障排除。(2)各部門負(fù)責(zé)軟件的使用，如有問題及時(shí)反饋給技術(shù)部。(3)未經(jīng)許可，任何人不得將內(nèi)部使用的軟件外帶、傳播、販賣，不得將軟件用于任何違法或非正當(dāng)用途。(4)軟件使用過程中應(yīng)加強(qiáng)保護(hù)，保持軟件完整、可用，不受病毒侵害。(5)制作《授權(quán)使用軟件列表》，禁止使用未經(jīng)授權(quán)的軟件和未經(jīng)授權(quán)的系統(tǒng)實(shí)用工具軟件。(6)對光盤介質(zhì)類軟件要考慮使用刻錄的副本，原光盤進(jìn)行存檔處理。8. 修訂與升級(1)各部門和技術(shù)部應(yīng)根據(jù)軟件的使用情況，提出軟件的修訂意見，相關(guān)部門領(lǐng)導(dǎo)批準(zhǔn)后，形成統(tǒng)一的修訂意見，由綜合部負(fù)責(zé)實(shí)施。(2)軟件的升級／補(bǔ)丁按《補(bǔ)丁管理規(guī)定》進(jìn)行。30 / 639. 軟件作廢(1)修訂軟件批準(zhǔn)生效后，原軟件應(yīng)予以作廢。軟件使用部門接到新版本軟件后，從新版本軟件實(shí)施之日起，原軟件作廢。填寫《作廢軟件登記表》。每季度根據(jù)此表內(nèi)容對《信息資產(chǎn)識別表》里的軟件和系統(tǒng)資產(chǎn)進(jìn)行更新。(2)應(yīng)當(dāng)保留原軟件的以前版本作為應(yīng)急之用，包括所有需要的信息和參數(shù)、程序、具體配置，以及用于數(shù)據(jù)保留存檔的支持軟件。(3)原軟件作廢版本的光盤應(yīng)有明確標(biāo)識，并與其他在用光盤分開存放，電子文件應(yīng)予以回收，避免引起作廢軟件的非預(yù)期使用。10. 實(shí)施策略(1)軟件管理規(guī)定涉及的《授權(quán)使用軟件列表》表單。(2)收集整理、分類歸檔，填寫《信息資產(chǎn)識別表》中“軟件和系統(tǒng)”類資產(chǎn)。(3)軟件作廢由技術(shù)部批準(zhǔn)。并更新軟件清單。(4)綜合部制作《授權(quán)使用軟件列表》，禁止使用未經(jīng)授權(quán)的軟件和未經(jīng)授權(quán)的系統(tǒng)實(shí)用工具軟件.11. 相關(guān)記錄本程序發(fā)生的記錄表表 141 ISMS 文件日常應(yīng)用表表號 記錄編號 記錄名稱 保管場所 保存期限 保存形 式 備注表 ISMS301701 授權(quán)使用軟件列表 綜合部 3 年 電子十五、 系統(tǒng)監(jiān)控管理規(guī)定 ISMS30151. 目的了解服務(wù)器的運(yùn)行狀態(tài)，檢測未經(jīng)授權(quán)的信息處理活動，為安全事故提供證據(jù)，確保業(yè)務(wù)系統(tǒng)的穩(wěn)定性、可靠性、安全性。31 / 632. 引用文件(1)下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。(2)ISO/IEC27001:2022 信息技術(shù)安全技術(shù)信息安全管理體系要求(3)ISO/IEC27002:2022 信息技術(shù)安全技術(shù)信息安全管理實(shí)施細(xì)則(4)機(jī)房管理規(guī)定3. 職責(zé)技術(shù)部負(fù)責(zé)公司網(wǎng)絡(luò)和系統(tǒng)訪問活動的監(jiān)控管理。4. 系統(tǒng)監(jiān)控管理(1)日志的分類1)需監(jiān)控的日志包括但不僅限于以下類型：2)服務(wù)器日志：系統(tǒng)日志，應(yīng)用程序日志和安全日志。3)防火墻日志4)視頻監(jiān)控系統(tǒng)的記錄5)網(wǎng)管軟件的監(jiān)控記錄6)管理員和系統(tǒng)操作員記錄7)故障日志十六、 補(bǔ)丁管理規(guī)定 ISMS30161. 目的為規(guī)范公司操作系統(tǒng)及其他網(wǎng)絡(luò)設(shè)備的安全補(bǔ)丁管理操作流程，保護(hù)信息系統(tǒng)安全，特制定本規(guī)定。2. 引用文件(1)下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注32 / 63日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。(2)ISO/IEC27001:2022 信息技術(shù)安全技術(shù)信息安全管理體系要求(3)ISO/IEC27002:2022 信息技術(shù)安全技術(shù)信息安全管理實(shí)施細(xì)則3. 職責(zé)與權(quán)限技術(shù)部：負(fù)責(zé)操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備安全補(bǔ)丁管理工作，包括補(bǔ)丁公告、補(bǔ)丁評估和補(bǔ)丁列表的維護(hù)工作：(1)負(fù)責(zé)應(yīng)用系統(tǒng)和數(shù)據(jù)庫系統(tǒng)相關(guān)安全補(bǔ)丁。(2)負(fù)責(zé) WINDOWS 平臺相關(guān)安全補(bǔ)丁（包括 Office 等 MICROSOFT 頒布的補(bǔ)?。?3)負(fù)責(zé)網(wǎng)絡(luò)設(shè)備相關(guān)安全補(bǔ)丁。(4)負(fù)責(zé)安全產(chǎn)品相關(guān)安全補(bǔ)丁。4. 補(bǔ)丁管理規(guī)定Windows 操作系統(tǒng)補(bǔ)?。?1)公司重要服務(wù)器的補(bǔ)丁由技術(shù)部下載、測試及安裝。綜合部的開發(fā)服務(wù)器，由技術(shù)部進(jìn)行補(bǔ)丁的下載、測試及安裝。(2)技術(shù)部在發(fā)現(xiàn) windows 操作系統(tǒng)發(fā)布新補(bǔ)丁后，在公司的公共平臺上發(fā)出補(bǔ)丁更新通告，各部門的負(fù)責(zé)人統(tǒng)一安排部門進(jìn)行補(bǔ)丁升級。(3)技術(shù)部每季度對補(bǔ)丁更新情況進(jìn)行抽查。5. 其他補(bǔ)?。?1)技術(shù)部制定《補(bǔ)丁管理策略明細(xì)表》，評審并明確需要進(jìn)行補(bǔ)丁管理的補(bǔ)丁類型。(2)評審并明確需要進(jìn)行補(bǔ)丁測試的補(bǔ)丁類型。(3)對重要服務(wù)器進(jìn)行評審，得出在升級系統(tǒng)補(bǔ)丁前應(yīng)進(jìn)行測評的服務(wù)器列表,填寫《重要服務(wù)器補(bǔ)丁測試記錄表》(4)對需要手工下載管理的補(bǔ)丁類型，需要檢查補(bǔ)丁的來源是可靠的，如果可能，在收到補(bǔ)丁包后，用防病毒軟件檢查。33 / 63(5)服務(wù)器在安裝補(bǔ)丁應(yīng)采用手工升級，并延遲補(bǔ)丁發(fā)布后一星期，避免最新補(bǔ)丁本身問題給服務(wù)器帶來的風(fēng)險(xiǎn)。(6)當(dāng)供應(yīng)商發(fā)布緊急的非常規(guī)的安全補(bǔ)丁時(shí)，系統(tǒng)管理員備份好系統(tǒng)后，必須立即進(jìn)行響應(yīng)。(7)對重要服務(wù)器的補(bǔ)丁每季度進(jìn)行一次檢查。并填寫《重要服務(wù)器補(bǔ)丁檢查表》.(8)重要網(wǎng)絡(luò)設(shè)備的補(bǔ)丁每季度進(jìn)行一次檢查。并填寫《網(wǎng)絡(luò)設(shè)備補(bǔ)丁檢查表》.6. 實(shí)施策略(1)補(bǔ)丁管理規(guī)定中涉及到的表單包括《補(bǔ)丁管理策略明細(xì)表》、《重要服務(wù)器補(bǔ)丁檢查表》、《重要服務(wù)器補(bǔ)丁測試記錄》、《網(wǎng)絡(luò)設(shè)備補(bǔ)丁檢查表》4 個(gè)表單。(2)技術(shù)部制定《補(bǔ)丁管理策略明細(xì)表》(3)技術(shù)部對重要服務(wù)器在升級系統(tǒng)補(bǔ)丁前應(yīng)進(jìn)行測評,填寫《重要服務(wù)器補(bǔ)丁測試記錄表》(4)技術(shù)部對重要服務(wù)器/網(wǎng)絡(luò)設(shè)備的補(bǔ)丁每季度進(jìn)行一次檢查。并填寫《重要服務(wù)器補(bǔ)丁檢查表》和《網(wǎng)絡(luò)設(shè)備補(bǔ)丁檢查表》.7. 相關(guān)記錄本程序發(fā)生的記錄匯總表表 161 ISMS 文件日常應(yīng)用表表號 記錄編號 記錄名稱 保管場所 保存期限 保存形 式 備注表 ISMS301901 補(bǔ)丁管理策略明細(xì)表 綜合部 3 年 電子表 ISMS301902 重要服務(wù)器補(bǔ)丁測試記錄 表 綜合部 3 年 電子表 ISMS301903 重要服務(wù)器補(bǔ)丁檢查表 綜合部 3 年 紙質(zhì)表 ISMS301904 網(wǎng)絡(luò)設(shè)備補(bǔ)丁檢查表 綜合部 3 年 紙質(zhì)34 / 63十七、 信息系統(tǒng)審核規(guī)范 ISMS30171. 目的和范圍確保本公司制定的信息安全策略和規(guī)定能夠定期評審和正確執(zhí)行。2. 術(shù)語和定義ISO/IEC27001:2022《信息技術(shù)安全技術(shù)信息安全管理體系要求》ISO/IEC27002:2022《信息技術(shù)安全技術(shù)信息安全管理實(shí)施細(xì)則》規(guī)定的術(shù)語適用于本標(biāo)準(zhǔn)。3. 引用文件下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。ISO/IEC27001:2022 信息技術(shù)安全技術(shù)信息安全管理體系要求ISO/IEC27002:2022 信息技術(shù)安全技術(shù)信息安全管理實(shí)施細(xì)則合規(guī)性管理程序補(bǔ)丁管理規(guī)定4. 職責(zé)和權(quán)限(1)制定信息系統(tǒng)安全審核策略(2)對信息系統(tǒng)進(jìn)行定期審核5. 活動描述(1)技術(shù)部根據(jù)公司情況，制定出公司在用戶管理、權(quán)限管理、漏洞掃描、滲透測試等方面的審核策略，必要時(shí)填寫《信息系統(tǒng)定期評審策略明細(xì)表》(2)管理人員應(yīng)確保在其職責(zé)范圍內(nèi)的所有安全程序被正確地執(zhí)行，以確保符合安全策略及標(biāo)準(zhǔn)。35 / 63(3)管理人員應(yīng)對自己職責(zé)范圍內(nèi)的信息處理是否符合合適的安全策略、標(biāo)準(zhǔn)和任何其它安全要求進(jìn)行定期評審。(4)信息系統(tǒng)應(yīng)被定期檢查是否符合安全實(shí)施標(biāo)準(zhǔn)。(5)任何技術(shù)符合性檢查應(yīng)僅由有能力的、已授權(quán)的人員來完成，或在他們的監(jiān)督下完成。(6)涉及對運(yùn)行系統(tǒng)檢查的審核要求和活動，應(yīng)謹(jǐn)慎地加以規(guī)劃并取得批準(zhǔn)，以便最小化造成業(yè)務(wù)過程中斷的風(fēng)險(xiǎn)。(7)漏洞掃描管理：1)管理員應(yīng)定期進(jìn)行漏洞掃描，客戶端和服務(wù)器可考慮使用奇虎 360 工具進(jìn)行漏洞掃描。2)根據(jù)漏洞掃描結(jié)果，管理員應(yīng)及時(shí)根據(jù)《補(bǔ)丁管理規(guī)定》及時(shí)修補(bǔ)系統(tǒng)漏洞。3)滲透測試管理：4)技術(shù)符合性檢查應(yīng)由有經(jīng)驗(yàn)的系統(tǒng)工程師手動執(zhí)行（如需要，利用合適的軟件工