【正文】 2)根據(jù)漏洞掃描結(jié)果，管理員應及時根據(jù)《補丁管理規(guī)定》及時修補系統(tǒng)漏洞。(6)涉及對運行系統(tǒng)檢查的審核要求和活動，應謹慎地加以規(guī)劃并取得批準，以便最小化造成業(yè)務過程中斷的風險。(4)信息系統(tǒng)應被定期檢查是否符合安全實施標準。ISO/IEC27001:2022 信息技術(shù)安全技術(shù)信息安全管理體系要求ISO/IEC27002:2022 信息技術(shù)安全技術(shù)信息安全管理實施細則合規(guī)性管理程序補丁管理規(guī)定4. 職責和權(quán)限(1)制定信息系統(tǒng)安全審核策略(2)對信息系統(tǒng)進行定期審核5. 活動描述(1)技術(shù)部根據(jù)公司情況，制定出公司在用戶管理、權(quán)限管理、漏洞掃描、滲透測試等方面的審核策略，必要時填寫《信息系統(tǒng)定期評審策略明細表》(2)管理人員應確保在其職責范圍內(nèi)的所有安全程序被正確地執(zhí)行，以確保符合安全策略及標準。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。2. 術(shù)語和定義ISO/IEC27001:2022《信息技術(shù)安全技術(shù)信息安全管理體系要求》ISO/IEC27002:2022《信息技術(shù)安全技術(shù)信息安全管理實施細則》規(guī)定的術(shù)語適用于本標準。(2)技術(shù)部制定《補丁管理策略明細表》(3)技術(shù)部對重要服務器在升級系統(tǒng)補丁前應進行測評,填寫《重要服務器補丁測試記錄表》(4)技術(shù)部對重要服務器/網(wǎng)絡設備的補丁每季度進行一次檢查。并填寫《重要服務器補丁檢查表》.(8)重要網(wǎng)絡設備的補丁每季度進行一次檢查。(6)當供應商發(fā)布緊急的非常規(guī)的安全補丁時，系統(tǒng)管理員備份好系統(tǒng)后，必須立即進行響應。(3)對重要服務器進行評審，得出在升級系統(tǒng)補丁前應進行測評的服務器列表,填寫《重要服務器補丁測試記錄表》(4)對需要手工下載管理的補丁類型，需要檢查補丁的來源是可靠的，如果可能，在收到補丁包后，用防病毒軟件檢查。5. 其他補?。?1)技術(shù)部制定《補丁管理策略明細表》，評審并明確需要進行補丁管理的補丁類型。(2)技術(shù)部在發(fā)現(xiàn) windows 操作系統(tǒng)發(fā)布新補丁后，在公司的公共平臺上發(fā)出補丁更新通告，各部門的負責人統(tǒng)一安排部門進行補丁升級。4. 補丁管理規(guī)定Windows 操作系統(tǒng)補?。?1)公司重要服務器的補丁由技術(shù)部下載、測試及安裝。(3)負責網(wǎng)絡設備相關(guān)安全補丁。(2)ISO/IEC27001:2022 信息技術(shù)安全技術(shù)信息安全管理體系要求(3)ISO/IEC27002:2022 信息技術(shù)安全技術(shù)信息安全管理實施細則3. 職責與權(quán)限技術(shù)部：負責操作系統(tǒng)及網(wǎng)絡設備安全補丁管理工作，包括補丁公告、補丁評估和補丁列表的維護工作：(1)負責應用系統(tǒng)和數(shù)據(jù)庫系統(tǒng)相關(guān)安全補丁。凡是注32 / 63日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。3)防火墻日志4)視頻監(jiān)控系統(tǒng)的記錄5)網(wǎng)管軟件的監(jiān)控記錄6)管理員和系統(tǒng)操作員記錄7)故障日志十六、 補丁管理規(guī)定 ISMS30161. 目的為規(guī)范公司操作系統(tǒng)及其他網(wǎng)絡設備的安全補丁管理操作流程，保護信息系統(tǒng)安全，特制定本規(guī)定。(2)ISO/IEC27001:2022 信息技術(shù)安全技術(shù)信息安全管理體系要求(3)ISO/IEC27002:2022 信息技術(shù)安全技術(shù)信息安全管理實施細則(4)機房管理規(guī)定3. 職責技術(shù)部負責公司網(wǎng)絡和系統(tǒng)訪問活動的監(jiān)控管理。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。(4)綜合部制作《授權(quán)使用軟件列表》，禁止使用未經(jīng)授權(quán)的軟件和未經(jīng)授權(quán)的系統(tǒng)實用工具軟件.11. 相關(guān)記錄本程序發(fā)生的記錄表表 141 ISMS 文件日常應用表表號 記錄編號 記錄名稱 保管場所 保存期限 保存形 式 備注表 ISMS301701 授權(quán)使用軟件列表 綜合部 3 年 電子十五、 系統(tǒng)監(jiān)控管理規(guī)定 ISMS30151. 目的了解服務器的運行狀態(tài)，檢測未經(jīng)授權(quán)的信息處理活動，為安全事故提供證據(jù)，確保業(yè)務系統(tǒng)的穩(wěn)定性、可靠性、安全性。(3)軟件作廢由技術(shù)部批準。10. 實施策略(1)軟件管理規(guī)定涉及的《授權(quán)使用軟件列表》表單。(2)應當保留原軟件的以前版本作為應急之用，包括所有需要的信息和參數(shù)、程序、具體配置，以及用于數(shù)據(jù)保留存檔的支持軟件。填寫《作廢軟件登記表》。30 / 639. 軟件作廢(1)修訂軟件批準生效后，原軟件應予以作廢。8. 修訂與升級(1)各部門和技術(shù)部應根據(jù)軟件的使用情況，提出軟件的修訂意見，相關(guān)部門領(lǐng)導批準后，形成統(tǒng)一的修訂意見，由綜合部負責實施。(5)制作《授權(quán)使用軟件列表》，禁止使用未經(jīng)授權(quán)的軟件和未經(jīng)授權(quán)的系統(tǒng)實用工具軟件。(3)未經(jīng)許可，任何人不得將內(nèi)部使用的軟件外帶、傳播、販賣，不得將軟件用于任何違法或非正當用途。7. 軟件使用(1)技術(shù)部統(tǒng)一負責軟件的發(fā)放及安裝，做到及時升級和故障排除。磁盤文件存放于指定存儲空間中，由專人負責整理，各軟件建立獨立的文件夾，標識明確清晰，并做好軟件的備份工作。6. 軟件歸檔和存放(1)所有軟件收集后統(tǒng)一登記，包括軟件的開發(fā)廠家，軟件數(shù)量，軟件版本，許可證編號等。(2)新的軟件由技術(shù)部進行測試或使用檢驗，測試應當包括可用性、安全性，對其它系統(tǒng)影響和用戶友好性，測試應當在與應用系統(tǒng)隔離的系統(tǒng)中進行。(5)識別出資產(chǎn)識別表中重要的軟件和應用系統(tǒng)。(3)技術(shù)部開發(fā)內(nèi)部使用軟件。4. 軟件管理(1)收集對公司信息系統(tǒng)涉及的軟件資產(chǎn)進行收集整理、分類歸檔，填寫《信息資產(chǎn)識別表》中“軟件和系統(tǒng)”類資產(chǎn)。負責軟件的購置、維護、作廢及各部門軟件資料、介質(zhì)的收集、統(tǒng)計、歸檔、存放和發(fā)放使用。凡是不注日期的引用文件，其最新版本適用于本標準。8. 相關(guān)記錄無28 / 63十四、 軟件管理規(guī)定 ISMS30141. 目的和范圍本標準規(guī)定了公司軟件資產(chǎn)的收集、發(fā)放、管理、使用、更改、修訂、備份等過程的控制要求2. 引用文件(1)下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。并做后期處理。(7)在對外聯(lián)系中，應注意安全保密，用 Email 發(fā)送機密信息必須符合公司的相關(guān)規(guī)定；(8)因工作需要而傳遞公司或項目保密文件時，經(jīng)批準后，可通過加密渠道傳遞；(9)通過 EMAIL 發(fā)送機密附件時，如有必要，附件必須加密；(10)請盡量壓縮傳送的文件，勿發(fā)送超過 2M 的附件，以免影響系統(tǒng)性能；(11)對外聯(lián)系時請注意通信禮儀，保持公司良好的形象；(12)使用防病毒工具的 EMAIL 保護功能，并經(jīng)常查毒，有異常應及時通知管理員；(13)發(fā)送 Email 必須有清楚的主題，發(fā)送前再次確認收件人列表內(nèi)的人員都是必需的和正確的；(14)用戶不要閱讀和傳播來歷不明的郵件及附件，提高對于郵件病毒的防范意識，避免傳遞病毒郵件。(4)用戶不得將電子郵件地址用于非工作目的(特別是以娛樂、購物、交友等為目的身份注冊)。(3)郵箱用戶的登錄密碼，用戶必須嚴格保密，不得泄露。6. 郵件使用規(guī)定(1)除非特別批準，使用白名單限制發(fā)送郵件的收件人地址。4. 電子郵件的帳戶管理(1)帳戶申請：公司郵箱：工作人員正式入職以后須向技術(shù)部申請郵件賬號。(2)ISO/IEC27001:2022 信息技術(shù)安全技術(shù)信息安全管理體系要求(3)ISO/IEC27002:2022 信息技術(shù)安全技術(shù)信息安全管理實施細則3. 職責和權(quán)限(1)技術(shù)部：負責電子郵件系統(tǒng)的規(guī)劃、建設和日常運行維護；負責郵件的用戶名及密碼的分配和管理；如有必要，負責郵件的歸檔，過濾及監(jiān)控等工作。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。每個業(yè)務的郵件使用者都應該遵守該規(guī)章制度。如需廢棄，需經(jīng)備份負責人批準后，刪除備份數(shù)據(jù)。(3)備份數(shù)據(jù)的管理1)備份目錄應進行嚴格的權(quán)限管控，無關(guān)人員禁止訪問備份目錄。如果未按照備份策略進行備份，備份負責人指令備份人重新進行備份。(4)建立備份環(huán)境，安裝調(diào)試備份軟件。(2)信息安全小組根據(jù)各制定《備份策略明細表》，明確各項備份數(shù)據(jù)備份的詳細策略。(2)ISO/IEC27001:2022 信息技術(shù)安全技術(shù)信息安全管理體系要求(3)ISO/IEC17799:2022 信息技術(shù)安全技術(shù)信息安全管理實施細則(4)系統(tǒng)維護與監(jiān)控管理規(guī)定3. 職責和權(quán)限技術(shù)部負責公司內(nèi)部系統(tǒng)運營相關(guān)數(shù)據(jù)的備份管理控制.技術(shù)部負責本公司軟件開發(fā)所需相關(guān)數(shù)據(jù)的備份管理控制.其它各個部門根據(jù)自己部門的業(yè)務特點，建立各自的備份策略進行備份。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不24 / 63適用于本標準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。(5)第三方服務歸口管理部門應每年對服務提供商進行定期評審,必要時調(diào)整服務供方.(6).相關(guān)記錄本程序發(fā)生的記錄匯總表表 111 ISMS 文件日常應用格式匯總表號 記錄編號 記錄名稱 保管場所 保存期限 保存形 式 備注表 ISMS301401 第三方服務匯總表 技術(shù)部 3 年 電子表 服務合同 技術(shù)部 3 年 紙質(zhì)表 ISMS301402 第三方服務廠商聯(lián)系 表 技術(shù)部 3 年 電子十二、 數(shù)據(jù)備份管理規(guī)定 ISMS30121. 目的和范圍為確保數(shù)據(jù)的完整性及有效性，以便在發(fā)生信息安全事故時能夠準確及時的恢復數(shù)據(jù)，避免業(yè)務的中斷，特制定本規(guī)定。(2)技術(shù)部整理出公司的《第三方服務匯總表》(3)重要的第三方服務必須簽訂要與第三方服務提供方簽署《服務合同》,能接觸到公司敏感信息資產(chǎn)的服務項目的服務合同中應包含第三方保密要求的內(nèi)容。對變更后的服務提供方進行服務評估。(9)第三方服務歸口管理部門應每年對服務提供商進行定期評審，以確認是否繼續(xù)列為合格服務商。(7)要確保第三方保持充分的提供服務的能力，即便發(fā)生重大的服務故障或災難也能保持服務的連貫性。(5)對服務提供方技術(shù)人員在現(xiàn)場處理需要設備入網(wǎng)時，必須經(jīng)技術(shù)部門領(lǐng)導同意后方可入網(wǎng)。(2)將設備、網(wǎng)絡、系統(tǒng)、軟件、信息安全、保安、保潔等事項進行外包時，重要的第三方服務必須簽訂要與第三方服務提供方簽署《服務合同》，能接觸到公司敏感信息資產(chǎn)的服務項目的服務合同中應包含第三方保密要求的內(nèi)容。負責第三方服務合同中條款的審核。(2)ISO/IEC27001:2022 信息技術(shù)安全技術(shù)信息安全管理體系要求(3)ISO/IEC27002:2022 信息技術(shù)安全技術(shù)信息安全管理實施細則3. 職責和權(quán)限(1)技術(shù)部：是信息安全方面的第三方服務的歸口管理部門，負責對信22 / 63息安全方面的第三方服務的定期監(jiān)控和評審。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。十一、 第三方服務管理規(guī)定 ISMS30111. 目的和范圍對第三方提供的服務進行規(guī)范，減少由于服務不規(guī)范帶來的信息安全方面的風險。(9)變更不成功的恢復措施取消所做變更，從備份資料中獲得原始軟件資料，重新運行，恢復原始狀態(tài)。(7)設備報廢設備報廢應得到綜合部批準后實施。在變更實施之前，必要時，應和相關(guān)部門協(xié)商，以便確定適當?shù)淖兏鼤r間，盡可能的將對業(yè)務的影響減至最低。在變更實施前，由技術(shù)部門填寫《變更申請審批處理表》，明確變更的原因、變更范圍、變更影響的分析及對策（包括不成功變更的恢復措施），經(jīng)技術(shù)部人員批準后予以實施。并對整個項目重新進行測試。(3)操作系統(tǒng)軟件變更當軟件廠商發(fā)布操作系統(tǒng)或應用軟件的更新補丁或版本時，技術(shù)部人員負責分析更新內(nèi)容對公司現(xiàn)有業(yè)務及工作的影響，技術(shù)部人員可以先選一臺測試機安裝最新補丁，在未發(fā)現(xiàn)對工作業(yè)務產(chǎn)生重要負面影響的前提下，為使用該操作系統(tǒng)或應用軟件的用戶安裝補丁。4. 變更步驟管理變更申請變更審批變更處理.5. 程序(1)變更分類1)技術(shù)部設備變更：包括系統(tǒng)中服務器、網(wǎng)絡設備、傳輸線路及計算機終端的新增、減少及其設備本身的變化（包括設備的報廢）；2)操作系統(tǒng)軟件變更：包括新安裝、補丁、版本升級及更換（如打ZLJY2 補?。?；3)開發(fā)軟件包的變更。（2)ISO/IEC27001:2022 信息技術(shù)安全技術(shù)信息安全管理體系要求（3)ISO/IEC27002:2022 信息技術(shù)安全技術(shù)信息安全管理實施細則3. 職責和權(quán)限（1)技術(shù)部：技術(shù)部是公司信息系統(tǒng)變更的歸口管理部門，負責批準變更的計劃、實施、恢復，總體評價變更影響，決策管理；并實施變更。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。(5)對廢棄的一般介質(zhì)處理填寫《廢棄介質(zhì)處置記錄》6. 相關(guān)記錄本程序發(fā)生的記錄匯總表表 91 ISMS 文件日常應用表格表號 記錄編號 記錄名稱 保管場所 保存期限 保存形 式 備注表 ISMS301201 介質(zhì)管理分類表 技術(shù)部 3 年 電子表 ISMS301202 可移動介質(zhì)授權(quán)使用表 技術(shù)部 3 年 紙