【正文】 竊后應(yīng)及時報告給部門經(jīng)理和技術(shù)部。(8)便攜機中除工作所需的軟件外，不導(dǎo)入其他與工作無關(guān)的軟件。5. 安全配置規(guī)定(1)授權(quán)使用的筆記本電腦設(shè)備必須安裝公司安全策略規(guī)定的防病毒軟件；(2)筆記本電腦設(shè)備每月進行一次病毒軟件和操作系統(tǒng)補丁檢查和評審,由電腦使用人員自行負(fù)責(zé).(3)筆記本電腦設(shè)備若支持內(nèi)置的硬盤加密措施，應(yīng)啟用該措施，以免電腦或硬盤丟失后造成數(shù)據(jù)泄密。(5)公司采用相關(guān)產(chǎn)品和方法對筆記本進行監(jiān)控(6)公司內(nèi)部未經(jīng)授權(quán)禁止開啟無線網(wǎng)卡功能。(7)公司的無線網(wǎng)絡(luò)僅供授權(quán)的技術(shù)支持人員使用，其他未經(jīng)技術(shù)部授15 / 63權(quán)禁止便攜機連入使用。出于安全考慮，一般不予考慮客人接入公司內(nèi)部網(wǎng)絡(luò)。(3)若外部人員需要在業(yè)務(wù)辦公地點長期工作（指超過 2 周時間），需經(jīng)技術(shù)部經(jīng)理批準(zhǔn)。(2)如在客戶現(xiàn)場工作時需要使用筆記本，相關(guān)部門人員應(yīng)盡量使用本部門公共筆記本，并進行登記。(4)筆記本內(nèi)新產(chǎn)生的數(shù)據(jù)應(yīng)及時在客戶備份系統(tǒng)或公司備份系統(tǒng)上進行備份，防止數(shù)據(jù)丟失。無線網(wǎng)絡(luò)加密上網(wǎng)。因此，必須按規(guī)定執(zhí)行處置。2. 引用文件(1)下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。(2)介質(zhì)使用部門和使用者(3)由部門負(fù)責(zé)管理的介質(zhì)，由該部門領(lǐng)導(dǎo)指定專人負(fù)責(zé)保管。4. 介質(zhì)管理(1)介質(zhì)分類1)技術(shù)部對公司使用的介質(zhì)，進行介質(zhì)分類，制定《介質(zhì)管理分類表》。17 / 63(2)介質(zhì)使用管理1)一般情況下公司禁止使用可移動介質(zhì)。3)技術(shù)部負(fù)責(zé)可移動介質(zhì)的發(fā)放，并填寫《可移動介質(zhì)授權(quán)使用表》。5)授權(quán)用戶要注意保護自己所屬可移動介質(zhì)不被盜取。7)各使用人必須每月一次對自己使用的移動介質(zhì)進行病毒掃描。9)用戶在將可移動介質(zhì)帶離公司后，要為其上所有信息資源的安全負(fù)責(zé)，做好安全保護工作。10)光盤的刻錄：a)帶有公司標(biāo)志的光盤，只能刻錄公司自己的程序軟件，不得刻錄例如操作系統(tǒng)、數(shù)據(jù)庫等軟件。(3)客戶現(xiàn)場使用規(guī)定1)必須嚴(yán)格將筆記本病毒防火墻升級到最新。3)必須使用自己的 U 盤、移動硬盤在客戶計算機上使用的，必須先對 U盤、移動硬盤進行病毒掃描，保證提供給客戶的設(shè)備中不包含病毒。2)計算機硬盤、U 盤、可移動硬盤、光盤、數(shù)碼存儲介質(zhì)等報廢時必須粉碎處理。4)對廢棄的一般介質(zhì)處理填寫《廢棄介質(zhì)處置記錄》5)介質(zhì)的銷毀方式一般分為一般格式化、低級格式化、專業(yè)軟件重寫、物理粉碎。7)介質(zhì)中保存有敏感信息的存儲介質(zhì)應(yīng)當(dāng)?shù)玫桨踩拇娣藕吞幹谩?)保存有敏感信息的存儲介質(zhì)廢棄時，要進行粉碎處理。(2)技術(shù)部制定《介質(zhì)管理分類表》。(4)對廢棄的可移動介質(zhì)在《可移動介質(zhì)授權(quán)使用表》中跟蹤填寫廢棄記錄。2. 引用文件（1)下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。(2)其他各部門：負(fù)責(zé)分管的各自工作系統(tǒng)的計劃申請和總體評價變更影響。20 / 63(2)技術(shù)部設(shè)備變更控制軟件設(shè)備（包括傳輸線路)的變更需求由技術(shù)部門根據(jù)組織業(yè)務(wù)發(fā)展的需要提出，填寫《變更申請審批處理表》，經(jīng)技術(shù)部門經(jīng)理批準(zhǔn)后予以實施。(4)軟件的變更控制當(dāng)客戶重新對項目的某一或某些模塊進行重要要求時，項目組負(fù)責(zé)跟蹤客戶的新要求,進行業(yè)務(wù)及可以行性分析，組織有關(guān)人員進行方案評審，考慮系統(tǒng)改造對現(xiàn)有業(yè)務(wù)的影響，并制定有效的風(fēng)險控制措施，方案在評審?fù)ㄟ^后，修改《需求開發(fā)說明書》，針對發(fā)生變更的模塊，修改相應(yīng)的詳細設(shè)計書，數(shù)據(jù)庫說明書，源程序。在軟件正式變更前，項目組應(yīng)考慮以下方面的安全要求：1)變更對目前業(yè)務(wù)的影響；2)變更對現(xiàn)有軟件的影響；3)變更實施前應(yīng)進行安全測試；4)不成功的變更恢復(fù)措施。(5)變更實施的安全要求在變更實施之前，必要時，將重要的數(shù)據(jù)、系統(tǒng)軟件進行備份，以便變更不成功之后的恢復(fù)。(6)變更驗收與記錄當(dāng)變更成功提交后，需由用戶進行驗收，確認(rèn)其是否已完成用戶所提的21 / 63要求，達到預(yù)期的效果，并記錄此次變更操作。報廢設(shè)備中存有敏感信息，必須予以清除.(8)變更后軟件備份要求當(dāng)變更完成后，需將此次所運行的軟件進行備份，包括其相關(guān)資料，以便再一次變更以及資料查詢；如果此次變更涉及到一些資料文件，則這些資料文件也必須做相應(yīng)的變更并存檔。根據(jù)變更操作記錄，查找變更失敗原因，以便再次做變更操作時避免同樣的錯誤發(fā)生。2. 引用文件(1)下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。(2)技術(shù)部：是日常行政管理方面的第三方服務(wù)的歸口管理部門，負(fù)責(zé)對行政方面的第三方服務(wù)的定期監(jiān)控和評審。4. 第三方服務(wù)管理規(guī)定(1)技術(shù)部匯總各部門的資產(chǎn)識別表，整理出公司的《第三方服務(wù)匯總表》，明確需要按本規(guī)定進行管理的第三方服務(wù)項目和其中重要的第三方服務(wù)。(3)所有的第三方服務(wù)的提供方需提供服務(wù)人員的姓名、聯(lián)系方式等信息，技術(shù)部匯總《第三方服務(wù)廠商聯(lián)系表》(4)重要的第三方服務(wù)人員服務(wù)時相關(guān)的原始服務(wù)單據(jù)由歸口管理部門負(fù)責(zé)驗收簽字并保存好相關(guān)服務(wù)記錄。(6)對第三方提供服務(wù)的能力進行評定，必要時通過招投標(biāo)，確定合格第三方。(8)每次第三方服務(wù)完成時指定專人按照服務(wù)合同要求對服務(wù)內(nèi)容和質(zhì)量進行記錄和評審，并在相關(guān)服務(wù)原始記錄中作好驗收簽字確認(rèn)。(10)當(dāng)服務(wù)提供方發(fā)生變更時，進行服務(wù)提供方變更登記，并進行服務(wù)、現(xiàn)有狀態(tài)的評估。5. 實施策略23 / 63(1)第三方服務(wù)管理規(guī)定中涉及的《第三方服務(wù)管理總表》包括《第三方服務(wù)匯總表》、《第三方服務(wù)廠商聯(lián)系表》共 2 個表單。(4)技術(shù)部匯總《第三方服務(wù)廠商聯(lián)系表》。2. 引用文件(1).下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。4. 備份管理備份策略(1)公司各部門根據(jù)數(shù)據(jù)重要程度和工作需要提出需要備份的數(shù)據(jù)。(3)信息安全小組每半年對備份策略進行評審，確定是否滿足各部門備份要求。(5)應(yīng)建立備份拷貝的準(zhǔn)確完整的記錄和文件化的恢復(fù)程序；(6)備份的程度（例如全部備份或部分備份）和頻率應(yīng)反映組織的業(yè)務(wù)要求、涉及信息的安全要求和信息對組織持續(xù)運作的關(guān)鍵度；(7)備份要存儲在一個遠程地點，有足夠距離，以避免主辦公場所災(zāi)難時受到損壞；(8)若可行，要定期測試備份介質(zhì)，以確保當(dāng)需要應(yīng)急使用時可以依靠這些備份介質(zhì)；(9)恢復(fù)程序應(yīng)定期檢查和測試，以確保他們有效，并能在操作程序恢復(fù)所分配的時間內(nèi)完成；(10)在保密性十分重要的情況下，備份應(yīng)通過加密方法進行保護25 / 635. 備份的驗證(1)備份負(fù)責(zé)人根據(jù)《備份策略明細表》，檢查備份的工作是否按照備份策略實際的進行了。(2)備份負(fù)責(zé)人根據(jù)實際需要，確定哪些非常重要的數(shù)據(jù)需要做恢復(fù)測試，需要恢復(fù)測試數(shù)據(jù)的恢復(fù)測試頻率，對備份數(shù)據(jù)進行定期驗證。2)如無特殊聲明，備份數(shù)據(jù)永久保存。(4)相關(guān)記錄本程序發(fā)生的記錄匯總表表 121 ISMS 文件日常應(yīng)用格式匯總表號 記錄編號 記錄名稱 保管場所 保存期限 保存形 式 備注表 ISMS301501 備份策略明細表 技術(shù)部 三年 電子表 ISMS301502 備份策略檢查表 技術(shù)部 三年 電子表 ISMS301503 備份數(shù)據(jù)恢復(fù)測試記錄 表 技術(shù)部 三年 電子十三、 郵件管理規(guī)定 ISMS30131. 目的和范圍為保證公司的業(yè)務(wù)的信息安全，必須對其進行有效的管理，確保公司員工對郵件的合理使用，更好地促進內(nèi)部并與第三方進行相關(guān)工作信息的交流，適用于公司業(yè)務(wù)中被批準(zhǔn)、能夠通過 Email 發(fā)送、收取和存儲信息的所有人。2. 引用文件(1)下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡26 / 63是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。(2)使用人員：申請公司的郵箱，按照公司的規(guī)定使用郵箱。5. 電子郵件使用規(guī)定(1)明確禁止的行為在未授權(quán)的情況下發(fā)送公司機密文件、項目文檔或程序代碼等未授權(quán)的信息；(2)發(fā)送或者群發(fā)與工作無關(guān)的郵件或垃圾郵件及個人信息；(3)發(fā)送或者轉(zhuǎn)發(fā)虛假、黃色、反動信息；(4)發(fā)送或者轉(zhuǎn)發(fā)宣揚個人政治傾向或者宗教信仰；(5)利用電子郵件服務(wù)傳輸任何騷擾性的、中傷他人的、恐嚇性的、庸俗、淫穢以及其他違反國家規(guī)定內(nèi)容的信息資料；(6)在非授權(quán)情況下以公司的名義發(fā)表或群發(fā)個人意見；(7)利用電子郵件服務(wù)散布電腦病毒、木馬程序、干擾網(wǎng)絡(luò)上其他使用者或破壞網(wǎng)絡(luò)系統(tǒng)的正常運行。(2)郵件系統(tǒng)為公司因工作需要而對外聯(lián)系所用，用戶必須以本人的真實身份使用用于辦公用途的電子郵箱，禁止以他人名義濫發(fā)郵件或盜用他人27 / 63郵箱。如將其借予他人使用，由此造成的一切安全后果由郵件帳號所有人承擔(dān)。(5)Email 賬號密碼必須符合口令策略的相關(guān)規(guī)定；(6)未經(jīng)授權(quán)任何人不得嘗試以他人帳戶口令進行登錄，閱讀他人郵件內(nèi)容。(15)工作人員離職必須向技術(shù)部申請郵箱收回。7. 實施策略不得用個人郵箱發(fā)機密文件。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵各部門研究是否可使用這些文件的最新版本。(2)ISO/IEC27001:2022 信息技術(shù)安全技術(shù)信息安全管理體系要求(3)ISO/IEC27002:2022 信息技術(shù)安全技術(shù)信息安全管理實施細則(4)補丁管理規(guī)定3. 職責(zé)與權(quán)限技術(shù)部：是軟件資產(chǎn)(非自行開發(fā)軟件)的歸口管理部門。技術(shù)部是公司自行開發(fā)軟件的歸口管理部門。公司內(nèi)軟件來源主要有以下幾個方面：(2)已有商業(yè)軟件購買。(4)免費軟件的下載。5. 審核、批準(zhǔn)、發(fā)布29 / 63(1)新的軟件使用前填寫《新軟件和系統(tǒng)登記表》，每季度根據(jù)此表內(nèi)容對《信息資產(chǎn)識別表》里的軟件和系統(tǒng)資產(chǎn)進行更新。(3)新的軟件測試或使用檢驗合格后,經(jīng)相關(guān)部門領(lǐng)導(dǎo)審核并批準(zhǔn)后提交技術(shù)部發(fā)布。(2)軟件登記好后統(tǒng)一存放于指定位置。光盤統(tǒng)一存放入文件柜中，并有明顯易辨認(rèn)的標(biāo)識，便于整理和取用。(2)各部門負(fù)責(zé)軟件的使用，如有問題及時反饋給技術(shù)部。(4)軟件使用過程中應(yīng)加強保護，保持軟件完整、可用，不受病毒侵害。(6)對光盤介質(zhì)類軟件要考慮使用刻錄的副本，原光盤進行存檔處理。(2)軟件的升級／補丁按《補丁管理規(guī)定》進行。軟件使用部門接到新版本軟件后，從新版本軟件實施之日起，原軟件作廢。每季度根據(jù)此表內(nèi)容對《信息資產(chǎn)識別表》里的軟件和系統(tǒng)資產(chǎn)進行更新。(3)原軟件作廢版本的光盤應(yīng)有明確標(biāo)識，并與其他在用光盤分開存放，電子文件應(yīng)予以回收，避免引起作廢軟件的非預(yù)期使用。(2)收集整理、分類歸檔，填寫《信息資產(chǎn)識別表》中“軟件和系統(tǒng)”類資產(chǎn)。并更新軟件清單。31 / 632. 引用文件(1)下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。4. 系統(tǒng)監(jiān)控管理(1)日志的分類1)需監(jiān)控的日志包括但不僅限于以下類型：2)服務(wù)器日志：系統(tǒng)日志，應(yīng)用程序日志和安全日志。2. 引用文件(1)下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。(2)負(fù)責(zé) WINDOWS 平臺相關(guān)安全補丁（包括 Office 等 MICROSOFT 頒布的補?。?4)負(fù)責(zé)安全產(chǎn)品相關(guān)安全補丁。綜合部的開發(fā)服務(wù)器，由技術(shù)部進行補丁的下載、測試及安裝。(3)技術(shù)部每季度對補丁更新情況進行抽查。(2)評審并明確需要進行補丁測試的補丁類型。33 / 63(5)服務(wù)器在安裝補丁應(yīng)采用手工升級，并延遲補丁發(fā)布后一星期，避免最新補丁本身問題給服務(wù)器帶來的風(fēng)險。(7)對重要服務(wù)器的補丁每季度進行一次檢查。并填寫《網(wǎng)絡(luò)設(shè)備補丁檢查表》.6. 實施策略(1)補丁管理規(guī)定中涉及到的表單包括《補丁管理策略明細表》、《重要服務(wù)器補丁檢查表》、《重要服務(wù)器補丁測試記錄》、《網(wǎng)絡(luò)設(shè)備補丁檢查表》4 個表單。并填寫《重要服務(wù)器補丁檢查表》和《網(wǎng)絡(luò)設(shè)備補丁檢查表》.7. 相關(guān)記錄本程序發(fā)生的記錄匯總表表 161 ISMS 文件日常應(yīng)用表表號 記錄編號 記錄名稱 保管場所 保存期限 保存形 式 備注表 ISMS301901 補丁管理策略明細表 綜合部 3 年 電子表 ISMS301902 重要服務(wù)器補丁測試記錄 表 綜合部 3 年 電子表 ISMS301903 重要服務(wù)器補丁檢查表 綜合部 3 年 紙質(zhì)表 ISMS301904 網(wǎng)絡(luò)設(shè)備補丁檢查表 綜合部 3 年 紙質(zhì)34 / 63十七、 信息系統(tǒng)審核規(guī)范 ISMS30171. 目的和范圍確保本公司制定的信息安全策略和規(guī)定能夠定期評審和正確執(zhí)行。3. 引用文件下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。35 / 63(3)管理人員應(yīng)對自己職責(zé)范圍內(nèi)的信息處理是否符合合適的安全策略、標(biāo)準(zhǔn)和任何其它安全要求進行定期評審。(5)任何技術(shù)符合性檢查應(yīng)僅由有能力的、已授權(quán)的人員來完成，或在他們的監(jiān)督下完成。(7)漏洞掃描管理：1)管理員應(yīng)定期進行漏洞掃描，客戶端和服務(wù)器可考慮使用奇虎 360 工具進行漏洞掃描。3)滲透測試管理：4)技術(shù)符合性檢查應(yīng)由有經(jīng)驗的系統(tǒng)工程師手動執(zhí)行（如需要，利用合適的