【正文】 A公司的BBBBB系統(tǒng)所在機房。 風險處置在風險評估后，根據(jù)風險評估的結(jié)果，確定風險處置的策略，包括：l 采用風險控制措施，以降低面臨的信息安全風險；l 在滿足信息安全方針和風險接受準則的前提下，有意識地、客觀地接受風險；l 轉(zhuǎn)移相關(guān)業(yè)務風險到其他方面，如：購買產(chǎn)品維保，運維服務外包等；l 根據(jù)風險處置策略，制定風險控制措施，對已識別出的風險進行分類處理，并對殘余風險進行了批準。 信息安全管理體系監(jiān)察嚴格執(zhí)行監(jiān)視和評審程序以及其它相關(guān)措施，以達到：l 迅速檢測信息安全管理體系運行過程中的缺陷和弱點；l 迅速識別潛在的和已發(fā)生的信息安全違規(guī)和事故；l 確保管理者分配給各人員的信息安全活動或通過信息技術(shù)實施的信息安全活動能如期執(zhí)行；l 確定信息安全措施的有效性；l 定期進行信息安全管理評審，以判斷信息安全管理體系的有效性；l 定期進行信息安全風險評估的評審；l 定期對信息安全管理體系進行管理評審；l 依據(jù)監(jiān)視和評審活動的結(jié)果，對信息安全管理體系進行修改和完善；l 記錄可能影響信息安全管理體系有效性或執(zhí)行情況的措施和事件。信息系統(tǒng)安全小組的成員包括：機房管理員、主機管理員、網(wǎng)絡(luò)管理員、應用管理員、安全管理員、安全審計員。AAAAA公司信息安全體系組織機構(gòu)圖如下： 信息安全職能部門職責信息安全職能部門為XXXXX，主要職責如下：l 保障機房信息系統(tǒng)的安全運行；負責機房的環(huán)境維護和物理訪問管理；負責機房的設(shè)備維護及設(shè)備管理；負責機房內(nèi)任何事故的上報及處理；負責制定及修訂有關(guān)機房安全管理制度。l 介質(zhì)的使用人負責在單位內(nèi)部介質(zhì)的使用控制及處置管理。l 負責AAAAA公司網(wǎng)絡(luò)系統(tǒng)安全管理。l 負責AAAAA公司信息系統(tǒng)的惡意代碼防范工作，及發(fā)生惡意代碼攻擊時的應急處理。l 負責AAAAA公司信息系統(tǒng)數(shù)據(jù)備份與恢復管理工作。 信息安全領(lǐng)導小組職責信息安全領(lǐng)導小組主要職責如下：l 負責關(guān)于信息安全方面工作的方針政策；l 審定AAAAA公司的BBBBB系統(tǒng) 的安全建設(shè)規(guī)劃；l 對信息系統(tǒng)安全工作的重大事項做出決策；l 研究審定AAAAA公司的BBBBB系統(tǒng) 安全建設(shè)和管理工作中的制度、標準及相關(guān)政策，并協(xié)調(diào)相關(guān)部門監(jiān)督制度、政策的實施情況；l 組織、協(xié)調(diào)和指導信息安全的宣傳、普及教育工作。 機房管理員職責及要求機房管理員主要職責如下：l 負責保障機房物理與環(huán)境的安全建設(shè)管理l 負責制定機房基礎(chǔ)設(shè)施的相關(guān)資產(chǎn)清單(詳見附9)內(nèi)容包括資產(chǎn)名稱、重要程度、所處位置等。l 令相關(guān)人員能夠按照維護規(guī)程對系統(tǒng)進行操作，降低和避免因誤操作所引發(fā)信息安全事件的可能性。部署機房專用空調(diào)、UPS等環(huán)境保障設(shè)施，對機房設(shè)施運轉(zhuǎn)情況進行每日兩次巡檢、維護、故障處理和變更管理。l 在機房基礎(chǔ)設(shè)施變更、重要操作、物理訪問等的進行逐級審批，負責日常審批，重大變更需上報到AAAAA公司領(lǐng)導小組負責人進行核準和審批后，方可進行變更；l 負責組織實施機房基礎(chǔ)設(shè)施各類事故（故障）的應急處理。具備保密意識。負責主機運行維護體系和主機技術(shù)支持平臺的建設(shè)與運行管理，建立服務器設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、數(shù)據(jù)備份文檔化的操作和維護規(guī)程，使得各個相關(guān)人員能夠采用規(guī)范化的形式對系統(tǒng)進行操作，降低和避免因誤操作所引發(fā)信息安全事件的可能性。l 負責統(tǒng)一部署防病毒軟件，并每周更新病毒庫；l 負責全系統(tǒng)的計算機惡意代碼防治和主機安全的管理工作，制定檢查計劃（包含在主機巡檢工作中），督促檢查工作；l 負責重要信息系統(tǒng)的訪問控制管理，對系統(tǒng)特殊權(quán)限和系統(tǒng)實用工具的使用進行嚴格的審批和監(jiān)管；l 負責組織實施主機各類事故（故障）的應急處理。了解熟悉服務器軟件和運行系統(tǒng)(Apache、Windows /UNIX),和網(wǎng)絡(luò)故障排除，熟悉了解安全措施，能主動學習和聆聽良好的時間安排能力，出色的溝通能力以及客戶服務能力，完美解決問題，靈活且可靠，以及獨立工作能力。網(wǎng)絡(luò)管理員任職要求如下：大專以上學歷，計算機、通信等相關(guān)專業(yè)二年以上網(wǎng)絡(luò)管理員工作經(jīng)驗熟悉常用服務器設(shè)備，具備故障診斷和處理能力熟練掌握Windows 操作系統(tǒng)的管理、維護了解主流廠商的設(shè)備和技術(shù)發(fā)展具備保密意識具備良好職業(yè)道德與工作態(tài)度，善于溝通 應用管理員應用管理員主要職責如下：l 負責保障軟件開發(fā)管理在AAAAA公司的BBBBB系統(tǒng)系統(tǒng)立項和審批過程中，同步考慮信息安全需求和目標。屬于外包軟件開發(fā)的，應與服務提供商簽署保密協(xié)議。l 負責建立重要應用的文檔化操作和維護規(guī)程（詳見附10），使得各個相關(guān)人員能夠采用規(guī)范化的形式對系統(tǒng)進行操作，降低和避免因誤操作所引發(fā)信息安全事件的可能性；l 負責信息安全日常管理，包括應用系統(tǒng)口令管理、授權(quán)審批管理等，促使每位人員的日常工作符合AAAAA公司的BBBBB系統(tǒng)系統(tǒng)信息安全策略和制度要求。應用管理員任職要求如下：全日制大學本科及以上學歷；3年以上信息項目管理或軟件開發(fā)及維護工作經(jīng)驗；工作責任心強，有良好的團隊合作精神，溝通表達能力、文字表達能力及組織、協(xié)調(diào)能力較強； 安全管理員安全管理員主要職責如下：負責安全制度的貫徹執(zhí)行；l 負責制訂信息系統(tǒng)安全規(guī)劃，并在實施過程中逐步完善；l 負責制定安全設(shè)備或系統(tǒng)的相關(guān)資產(chǎn)清單。負責組織實施安全設(shè)備或系統(tǒng)各類事故（故障）的應急處理；l 每年進行風險評估，根據(jù)評估結(jié)果會同其他負責人進行風險處置；l 負責協(xié)助領(lǐng)導安排安全培訓，負責協(xié)助負責制定每年安全教育計劃，加強信息系統(tǒng)的安全教育，通過各種方式進行宣傳和培訓，提高全系統(tǒng)安全防范意識；l 負責制定安全檢查計劃包括檢查職責、檢查周期、檢查范圍、檢查內(nèi)容、檢查報告的編制、檢查整改、檢查通報等內(nèi)容。對記錄進行收集、整理、歸檔。對介質(zhì)物理傳輸?shù)慕唤舆M行記錄。通過審批、訪問控制、監(jiān)控、簽署保密協(xié)議等措施，加強外部方訪問“AAAAA公司的BBBBB系統(tǒng)系統(tǒng)”的管理，防止外部方危害信息系統(tǒng)安全。(密碼變更記錄表見附13)安全管理員任職要求如下：大專以上學歷，計算機、通信等相關(guān)專業(yè)二年以上網(wǎng)絡(luò)管理員工作經(jīng)驗熟悉常用服務器設(shè)備，具備故障診斷和處理能力具備保密意識具備良好職業(yè)道德與工作態(tài)度，善于溝通 安全審計員安全審計員的主要職責：l 參與制定AAAAA公司規(guī)章制度和流程，規(guī)章制度和流程培訓與宣傳；l 根據(jù)AAAAA公司的審計要求制定審計計劃，定期或不定期的開展審計工作，撰寫審計報告，開展風險評估，發(fā)現(xiàn)安全漏洞或隱患，提交處理報告和切合實際可操作的處理方案，指導實施；l 負責機房安全審計，負責數(shù)據(jù)庫服務器、數(shù)據(jù)備份與災難恢復審計；l 負責操作系統(tǒng)安全審計，關(guān)鍵系統(tǒng)的用戶角色權(quán)限審計；（安全審計員安全審計工作報告每月）l 負責日常信息安全規(guī)章制度和流程的執(zhí)行審計，信息系統(tǒng)環(huán)境安全審計等；l 對被審計部門提供咨詢、建議、協(xié)調(diào)等服務和公司領(lǐng)導安排的相關(guān)工作；l 負責對系統(tǒng)管理員、安全管理員的操作行為進行審計跟蹤分析和監(jiān)督檢查，及時發(fā)現(xiàn)違規(guī)行為，每月向安全管理中心匯報工作情況；(詳見附14)安全審計員任職要求如下：大專以上學歷，計算機、通信等相關(guān)專業(yè)二年以上安全管理員工作經(jīng)驗熟悉常用服務器設(shè)備，具備故障診斷和處理能力具備保密意識具備良好職業(yè)道德與工作態(tài)度，善于溝通 專家小組專家小組主要職責:l 專家應符合有關(guān)資歷要求和知識要求，具有高度的事業(yè)心和責任心，認真履行檢查職責；檢查中堅持客觀公正，實事求是，不走過場，不弄虛作假，不隱瞞真實情況。l 受AAAAA公司委托，定期對其生產(chǎn)作業(yè)場所進行安全檢查。確保經(jīng)檢查、整改和復查，安全制度、應急救援、消防設(shè)施、安全設(shè)施等重要設(shè)施，屏蔽機房等重要場所部位符合相關(guān)規(guī)范要求。l 針對AAAAA公司信息安全事故隱患，適時對整改情況進行復查，整改復查情況應如實記錄并由AAAAA公司存檔。具備保密意識 信息安全小組權(quán)限l 系統(tǒng)管理員系統(tǒng)管理員擁有最高的管理權(quán)限，包括更改系統(tǒng)和網(wǎng)絡(luò)配置，新增用戶。l 安全管理員安全管理員只擁有管理權(quán)，包括查看安全日志，安全設(shè)備配置的變更、備份、環(huán)境的安全等。l 安全審計員安全管理員只擁有審計權(quán)，包括查看審計日志，審核審查系統(tǒng)和網(wǎng)絡(luò)配置更改，審查各種數(shù)據(jù)庫記錄等。AAAAA公司將部分工作委托給專業(yè)技術(shù)公司完成，并和公司簽訂保密協(xié)議。(備份管理員操作變更 詳見附12: 備份管理員操作變更申請單)各機構(gòu)人員情況如下表所示：AAAAA公司信息安全領(lǐng)導小組角 色職務姓名聯(lián)系電話組長副組長AAAAA公司信息安全小組系統(tǒng)/主機管理員機房管理員網(wǎng)絡(luò)管理員應用管理員AAAAA公司信息安全后備小組備份系統(tǒng)/主機管理員備份機房管理員備份網(wǎng)絡(luò)管理員備份應用管理員AAAAA公司信息小組信息化三員角 色職務姓名聯(lián)系電話系統(tǒng)管理員安全管理員安全審計員 關(guān)鍵崗位協(xié)議涉及到核心系統(tǒng)、數(shù)據(jù)庫的管理人員為關(guān)鍵崗位管理人員，如主機，安全管理人員需要明確其職責，并需要簽訂崗位職責協(xié)議書，在崗人員只能從事協(xié)議書內(nèi)相關(guān)的工作，不能有越權(quán)行為。3. 負責主機運行維護體系和主機技術(shù)支持平臺的建設(shè)與運行管理建立服務器設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、數(shù)據(jù)備份文檔化的操作和維護規(guī)程，使得各個相關(guān)人員能夠采用規(guī)范化的形式對系統(tǒng)進行操作，降低和避免因誤操作所引發(fā)信息安全事件的可能性。5. 負責統(tǒng)一部署防病毒軟件，并定期更新病毒庫；6. 負責全系統(tǒng)的計算機惡意代碼防治和主機安全的管理工作，制定檢查計劃（包含在主機巡檢工作中），督促檢查工作；7. 負責重要信息系統(tǒng)的訪問控制管理，對系統(tǒng)特殊權(quán)限和系統(tǒng)實用工具的使用進行嚴格的審批和監(jiān)管；8. 負責組織實施主機各類事故（故障）的應急處理。簽字確認：_____年_____月_____日備注：AAAAA公司永久存檔AAAAA公司XXXXX安全管理員崗位協(xié)議書名字部門職責范圍：1. 負責我局安全制度的貫徹執(zhí)行；2. 負責制訂信息系統(tǒng)安全規(guī)劃，并在實施過程中逐步完善；3. 負責制定我局安全設(shè)備或系統(tǒng)的相關(guān)資產(chǎn)清單。負責組織實施安全設(shè)備或系統(tǒng)各類事故（故障）的應急處理；6. 每年進行風險評估，根據(jù)評估結(jié)果會同其他負責人進行風險處置；7. 負責協(xié)助領(lǐng)導安排安全培訓，負責協(xié)助負責制定每年安全教育計劃，加強信息系統(tǒng)的安全教育，通過各種方式進行宣傳和培訓，提高全系統(tǒng)安全防范意識；8. 負責制定安全檢查計劃包括檢查職責、檢查周期、檢查范圍、檢查內(nèi)容、檢查報告的編制、檢查整改、檢查通報等內(nèi)容。對記錄進行收集、整理、歸檔。對介質(zhì)物理傳輸?shù)慕唤舆M行記錄。通過審批、訪問控制、監(jiān)控、簽署保密協(xié)議等措施，加強外部方訪問“健康檔案”的管理，防止外部方危害信息系統(tǒng)安全。16. 嚴格遵守保密協(xié)議。簽字確認：_____年_____月_____日備注：AAAAA公司永久存檔第五章 信息安全授權(quán)及審批管理制度 信息安全授權(quán)及審批管理制度在系統(tǒng)運維過程中，對信息系統(tǒng)的訪問、變更等授權(quán)給AAAAA公司的BBBBB系統(tǒng) 運維管理人員。授權(quán)審批流程如下：l 由相關(guān)信息安全組長判斷職責、并授權(quán)給相應的管理人員；l 由外包服務公司申請，相應的管理員進行授權(quán)、審批（見附15）；l 填寫授權(quán)審批表（見附16）；l 組織AAAAA公司人員每季度審查審批事項，及時更新需授權(quán)和審批的項目、審批部門和審批人等信息，保存審批文檔。（詳見附18）安全檢查流程 文件審批與發(fā)布管理制度l 安全管理員根據(jù)ISO/IEC 27001：2005《信息安全管理體系要求》，結(jié)合部門職責及信息安全管理流程，負責組織編制信息安全管理體系文件，形成初稿；l 安全管理員負責組織對信息安全管理體系文件的評審，并將審核后的文件報AAAAA公司，由信息安全領(lǐng)導小組領(lǐng)導對信息安全管理體系文件進行核準，形成最終的報審稿；l 安全管理員負責對信息安全管理體系文件的報審稿進行登記、核稿后，報送領(lǐng)導審閱、簽批；l 組織相關(guān)人員進行評審，領(lǐng)導審閱、簽批后發(fā)布；l 信息安全管理體系文件由安全管理員發(fā)放到各負責人，由各負責人按規(guī)定的發(fā)放范圍發(fā)至相關(guān)職屬范圍人員，由安全管理員按規(guī)定的發(fā)放范圍發(fā)至相關(guān)各部門，程序文件、信息安全管理手冊封面加蓋“受控”章進行標識，統(tǒng)一編號；l 崗位人員變動時，由文件主管部門及時收回原崗位各類文件，發(fā)放現(xiàn)崗位工作所依據(jù)的文件，以保證信息安全管理體系的有效運行；l 崗位人員調(diào)離或退休時，應先向AAAAA公司交回其所領(lǐng)用的文件后，方可辦理有關(guān)手續(xù)；l 信息安全管理手冊和程序文件制發(fā)后，需保留1份，連同簽批原件和電子版一并歸安全管理員存檔；l 文件更換新版后，由安全管理員收回作廢的文件，并做好回收記錄；l 由安全管理員定期檢查文件的適用情況，并對現(xiàn)有文件的有效性進行評審。第七章 辦公環(huán)境管理制度 辦公環(huán)境管理制度1） 總體要求：a) 各類物品擺放整齊、有序，功能布局清晰。c) 標識統(tǒng)一規(guī)范，不隨意張貼。e) 愛護公共設(shè)備設(shè)施；f) 遵循ISO環(huán)境管理體系要求。c) 臺式電腦放置于兩條桌邊垂直角上，立式主機放置于桌底下；d) 文件資料擺放在辦公桌側(cè)邊處；e) 常用辦公用品、茶杯、小飾物放置在正前方區(qū)域；f) 1個月以上不常用物品應整理放置于櫥柜內(nèi)；g) 不亂貼亂釘與工作無關(guān)的物品，隔斷類辦公桌區(qū)域內(nèi)粘貼紙張不得超過隔斷上邊緣；h) 抽屜內(nèi)物品擺放整齊有序，常用物品隨手可取；i) 與工作無關(guān)的物品須整齊存放于隱蔽地方；j) 每日下班離崗前須整理桌面物品、文件資料，恢復標準放置狀態(tài)；k) 辦公