德信诚培训网
更多免费资料下载请进:https://www.doczj.com/doc/2010602256.html, 好好学习社区
ISMS 信息备份管理程序
1 目的
对重要信息实施备份保护,以保证信息的完整性和可用性,并在出现信息丢失时能够及时恢复。
2 范围
公司各部门的重要信息。
3 术语和定义
4 职责和权限
DXC 负责服务器中的重要信息的备份工作。
各部门负责对本部门维护的重要信息进行备份。
5 相关活动
5.1 备份信息识别
DXC 和其他部门收集需要备份的相关信息,主要包括信息的重要性、拟采用的备份方式、备份周期等。
5.2 制定备份方案
根据信息识别的结果和备份要求,分别确定信息备份计划,包括:
● 备份周期:根据信息更新速度、易损坏成度及备份媒体的有效期,确定周期。如
机密性信息备份周期不超过1个月;
● 备份介质类型:确定备份使用的媒体,一般为光盘或硬盘,也可为纸制,但要同
时考虑成本与可靠性。
● 确定备份方式:一般采用复制、双系统同步、转储、压缩复制等。
● 确定备份工具:备份使用的工具,如光盘记录机、复印机、压缩软件等,选择工
具时,要确定在信息失效之前,对应的恢复工具可用。
● 确定备份数量:一般信息备份一份即可,对于特别重要的信息需要备份2份甚至
文件、档案、记录管理制度 1.目的 确保我局与管理体系运行有关的各岗位员工活动所依据的文件均为有效版本,防止使用作废的文件,对文件要求的相关记录进行控制,保证管理体系运行的有效性和可追溯性。 2.适用范围 适用于我局所有与管理体系运行有关的文件和资料的控制。 3.主要职责 3.1质量管理部负责组织管理体系文件的编制、修订、发放和回收等工作,负责 法律 法规、技术标准的备案管理。 3.2各部门、单位及项目部负责职责范围内文件的编制、修订、发放、回收、保管工作,对形成的记录进行控制。 3.3办公室负责公文的管理和科技档案的保管。 4.工作内容及要求 4.1文件的分类 文件分为管理文件、法律法规、技术标准、工程文件和公文。 4.1.1管理文件 管理文件包括: a)管理手册 b)管理目标 c)管理制度 d)支持性文件 e)管理过程中所形成的记录 4.1.2法律法规:适用的法律及地方法规及相关行政规章。 4.1.3技术标准:适用于施工生产及各项管理的标准及规范。
4.1.4工程文件:项目在投标及施工过程中产生的文件、记录和相关部门发来的有关工程的文件。 4.1.5公文:单位在对内实施管理和对外交往过程中,形成的具有管理效力或请示商洽工作性的规范体式文书。见《河北省水利工程局公文处理实施办法》。4.2文件的编制、评审、批准 4.2.1《管理手册》由质量管理部编写,管理者代表审核,局长批准;管理制度由各主管职能部门编写,质量管理部组织审核,管理者代表批准,质量管理部进行发放。 4.2.2法律法规及技术标准:局质量管理部和总工办分别负责建立全局的《法律法规清单》和《技术标准有效版本目录清单》,各部门、单位、项目部需要从中识别出符合自身工作需求的法律法规和技术标准,并综合其他途径获取的相关规定和标准来建立本部门、单位、项目部的《法律法规清单》和《技术标准有效版本目录清单》。 4.2.3工程文件:项目部要做好文件的编制、审批、发放、落实。需要归档的在工程结束后按照工程档案管理要求随竣工资料入档管理。未入档的有价值的文件、记录资料应由项目所辖单位自行保管至其没有使用价值为止。 4.2.4文件标识应保持唯一性,可以是编号或其他方式,如利用计算机进行管理记录,应按系统软件的要求或相应规定录入。 4.2.5当我局的组织结构、操作流程等发生改变或适用的法律法规和标准发生变化时,应对原文件重新进行评审、修改、批准,并保留评审记录。 4.3文件的收发过程中要做好收发文记录。发文时不能只发放到中层领导为止,要做到下沉一级,使有需要人员均能获得相应文件。 4.4文件的修订 4.4.1《管理手册》由质量管理部进行修订,经管理者代表审核,局长批准;管理制度的修订由原编制部门负责,管理者代表批准。文件修订时应由提出修订要求的人员填写《文件更改审批表》,说明更改理由,按原审批程序进行文件更改的审批。 4.4.2法律法规和技术标准如有最新版本,各部门应及时更新。
中 国 认 证 认 可 协 会 信息安全管理体系审核员 注册准则 第1版 文件编号:CCAA-141 发布日期:2012年6月19日 ?版权2012-中国认证认可协会
信息安全管理体系审核员注册准则 类别 本准则为中国认证认可协会(CCAA)人员注册规范类文件。 本准则规定了CCAA运作其信息安全管理体系审核员注册项目时遵循的原则。 本准则经CCAA批准发布。 批准 编制:CCAA日期:2012年5月10日 批准:CCAA日期:2012年6月19日 实施:CCAA 日期:2012年6月19日 信息 所有CCAA文件都用中文发布。标有最新发布日期的中文版CCAA文件是有效的版本。CCAA将在其网站上公布所有CCAA相关准则的最新版本。 关于CCAA或CCAA人员注册的更多信息,请与CCAA人员注册部联系,联络地址如下: 地址:北京市朝阳区朝外大街甲10号中认大厦13层 邮编:100020 https://www.doczj.com/doc/2010602256.html, email:pcc@https://www.doczj.com/doc/2010602256.html, 版权 ?版权2012-中国认证认可协会
前 言 中国认证认可协会(CCAA)是国家认证认可监督管理委员会(CNCA)唯一授权的依法从事认证人员认证(注册)的机构,开展管理体系审核员、认证咨询师、产品认证检查员和认证培训教师等的认证(注册)工作。CCAA是国际人员认证协会(IPC)的全权成员,加入了IPC-QMS/EMS审核员培训与注册国际互认协议,人员注册结果在世界范围内得到普遍承认。 本准则由CCAA依据《中华人民共和国认证认可条例》、国家质量监督检验检疫总局《认证及认证培训、咨询人员管理办法》(质检总局令第61号)、国家认监委《关于正式开展信息安全管理体系认证工作的公告》(2009年第47号公告)制定,考虑了中国的国情及认证/认可机构的要求,是建立信息安全管理体系(ISMS)审核员国家注册制度的基础性文件。 CCAA ISMS审核员注册仅表明注册人员具备了从事ISMS审核的个人素质和相应的知识与能力。尽管CCAA已尽力保证评价过程和注册制度的科学性、有效性和完整性,但如果某一注册人员提供的审核或其它服务未能满足顾客或聘用机构的所有要求,CCAA对此不承担责任。
电子数据备份恢复管理规范 (ISO9001:2015) 1、目的 为确保公司数据与程序的安全,保障业务的连续性,结合公司实际情况,特制定本规范。 2、适用范围 公司核心业务系统的程序与数据文件。 3、术语和定义 无 4、职责与权限 4.1 系统工程师:负责制定信息系统数据备份策略及数据恢复演练计划、执行备份\恢复作业、监控备份日志、维护备份设备,与系统业务负责人确定系统恢复期间业务处理方法。 4.2 系统业务负责人:审批数据恢复申请。 4.3 信息管理部经理:审批数据恢复演练与数据恢复申请。 5、内容及流程 5.1 系统工程师依据业务连续性需要,制定数据备份策略、数据恢复演练计划。备份策略应包含以下内容:备份内容、备份方式、备份周期、备份文件命名规范、备份文件存放位置、备份日志存放位置等。数据恢复演练计划应包含以下内容:演练时间、恢复作业执行人、恢复数据、预计恢复作业时间等。
5.2 系统工程师依据备份周期,在备份作业执行完成后,查看备份日志。依照备份作业的完成情况,填写《备份记录表》。 5.3 发现数据备份作业发生异常时,系统工程师应立即分析原因,将异常记录在《备份记录表》中。系统工程师应排除异常,重新执行备份作业。系统工程师根据异常的严重性,提交备份作业改善计划。 5.4 当业务系统发生故障需要执行数据恢复作业时,由系统工程师确定是否进行数据恢复作业。需要进行数据恢复时,由系统工程师填写《备份恢复作业审批表》,申请数据恢复作业。 5.5 系统业务负责人与信息管理部经理批准数据恢复作业后,系统工程师按数据恢复计划严格执行。系统工程师在完成数据恢复后,对数据恢复作业的过程进行记录。 5.6 系统工程师依据备份恢复演练计划,按照要求实行备份恢复演练,填写《备份恢复演练审批表》,报信息管理部经理批准后,开展备份恢复演练。备份恢复演练每季度举行1次,每年不少于4次。 5.7 程序备份与恢复操作及备份演练由系统管理工程师参照上述数据备份与恢复操作规范进行,系统管理工程师按照备份策略中定义的备份周期或程序发生变化时备份程序。 5.8 外包信息系统的备份与恢复参照本规范执行。 6、流程图 6.1 流程图一备份异常处理流程
ISMS 手册-信息安全管理体系手册7 信息安全管理IT 服务管理体系手册 发布令 本公司按照ISO20000:2005 《信息技术服务管理—规范》和ISO27001 :2005 《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT 服务管理体系手册》,建立与本公司业务相一致的信息安全与IT 服务管理体系, 现予以颁布实施。 本手册是公司法规性文件,用于贯彻公司信息安全管理方针和目标,贯彻IT 服务管理理念方针和服务目标。为实现信息安全管理与IT 服务管理,开展持续改进 服务质量,不断提高客户满意度活动,加强信息安全建设的纲领性文件和行动准 则。是全体员工必须遵守的原则性规范。体现公司对社会的承诺,通过有效的PDCA 活动向顾客提供满足要求的信息安全管理和IT 服务。 本手册符合有关信息安全法律法规要求以及ISO20000:2005 《信息技术服务 管理—规范》、ISO27001 :2005 《信息安全管理体系要求》和公司实际情况。为能更好的贯彻公司管理层在信息安全与IT 服务管理方面的策略和方针,根据 ISO20000:2005 《信息技术服务管理—规范》和ISO27001 :2005 《信息安全管理体系要求》的要求任命XXXXX 为管理者代表,作为本公司组织和实施“信息安全管理与IT 服务管理体系”的负责人。直接向公司管理层报告。 全体员工必须严格按照《信息安全管理&IT 服务管理体系手册》要求,自觉遵守本手册各项要求,努力实现公司的信息安全与IT 服务的方针和目标。 管理者代表职责:
a)建立服务管理计划; b)向组织传达满足服务管理目标和持续改进的重要性; e)确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源,如招聘合适的人员,管理人员的更新; 1.确保按照ISO207001:2005 标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;按照ISO/IEC20000 《信息技术服务管理-规范》的要求,组织相关资源,建立、实施和保持IT 服务管理体系,不断改进IT 服务管理体系,确保其有效性、适宜性和符合性。 2.负责与信息安全管理体系有关的协调和联络工作;向公司管理层报告 IT 服务管理体系的业绩,如:服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。 3.确保在整个组织内提高信息安全风险的意识; 4.审核风险评估报告、风险处理计划; 5.批准发布程序文件; 6.主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告; 向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情况、内外部审核情况。 7.推动公司各部门领导,积极组织全体员工,通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度,以及为达到公司服 务管理目标所应做出的贡献。 总经理:
计算机数据备份管理规定 各单位、部门: 为保证本部门计算机所保存的数据和信息安全,加强和规范公司计算机数据和信息管理,特制定本规定。 本办法适用于公司所有使用计算机进行日常办公、信息化系统操作、自动化控制系统操作的部门与员工,本规定自下发之日起执行。 1、职责 1.1 计算机使用者负责所使用计算机的数据备份操作,涉及到信息监控系统、自动化控制系统用计算机,有关单位和部门要指定专人负责。 1.2 各单位、部门的负责人是本部门数据备份管理、信息安全管理的第一责任人。各部门负责人要了解本部门需要备份的数据内容与类型,落实备份要求,防范可能出现的数据风险,对本部门数据备份情况要进行不定期抽查,对不按规定备份要立即予以纠正。 1.3 监测监控信息中心网络管理员负责公司各部门数据备份技术支持、培训、监督核查工作。 2.数据备份管理 2.1 备份方法及要求 2.1.1 数据备份采用人工备份的方式,备份分重要数据备份、重要文档资料备份、信息监控系统数据库原始数据备份、计算机操作系统备份、应用软件备份。所有备份工作必须由操作人员做详细记录,要求记录备份的内容、时间及次数。 2.1.2 计算机需要备份的数据、文档资料要随时归档备份并异地存放, 每周至少备份一次,日新增数据量大、财务、销售、经营调度等部门的数据必须每天备份一次,每月整理一次,备份方法实行三重备份方式,即本地硬盘、移动存储设备(网络硬盘)、光盘刻录保存并进行异地存储。备份介质由各部门自行准
备,并妥善保管。计算机操作系统应使用正版软件,每周打一次补丁,每季度用Ghost做镜像备份。应用软件更新后,及时用光盘刻录方式转存。 2.1.3 每年元月,各部门将上一年的所有数据分类,完整、真实、准确地以刻录光盘的形式存档,然后交由部门负责人保管。 2.1.4 应定期检查备份介质的可用性,若发现介质已经不能使用,应及时更换新介质并对重要数据进行转存处理。 2.1.5 备份数据资料保管地点必须满足防火、防热、防潮、防尘、防盗等条件,并指定专人保存。 2.1.6 计算机需要重装操作系统时,必须自行确认其系统所在硬盘所有盘符中重要数据有异地备份,以防止意外发生(有少数计算机会因病毒、硬盘损坏或是磁盘分区问题,存在重装系统后若干磁盘打不开提示格式化现象)。 2.1.7 监测监控信息中心网络管理员定期对员工数据备份执行情况进行监督核查。 2.2 关于数据丢失 2.2.1 网络管理员在对各部门备份数据核查的过程中,发现数据未备份或是备份不及时、不完整的情况,应及时指出,并向全公司通报。 2.2.2 因可控的人为原因造成重要数据(例如行政办公、技术、销售、人事及财务等)遗失的,公司根据损失情况将对责任人进行严厉处罚,涉及到企业安全的,依法追究刑事责任。 2.2.3 如因违反计算机数据备份管理规定,造成备份数据不完整或丢失,由此造成的损失及数据恢复费用由各部门自己承担。 2.2.4 各部门统一由监测监控信息中心安装正版网络杀毒软件,并定期更新病毒数据库和定期查杀毒,如果因杀毒软件误操作破坏数据,各部门应保持原始状态,由监测监控信息中心联系杀毒软件服务商进行数据恢复。
附件4: 文书档案归档范围及保管期限管理规定 (征求意见稿) 1 总则 1.1 目的 为确保在管理、经营等活动中形成的应当归档保存的文件材料管理的科学性、系统性,便于提供服务,制定本办法。 1.2 适用范围 本办法适用于各单位在行政管理、生产和经营等各项活动中形成的具有保存价值的文件材料的积累、整理和归档管理。 2 术语和符号 2.1 文书档案(Archives) 机关、团体、企业、事业单位及其他社会组织在领导和行政管理等项活动中形成的具有保存备查价值的文件。 2.2 案卷(File) 由相互联系的若干文件材料组合而成的档案保管单位。 2.3 保管期限(retention period) 档案部门根据档案鉴定标准,对每个案卷或文件所确定的保存年限。 2.4 归档(filing) 按规定制度整理组卷后的文件并定期向档案部门移交集中的过程。 3 基本规定 3.1 职责 3.1.1 档案部门负责文书档案的归口管理,对各部门形成的文件材料的收集、整理、立卷和归档工作进行监督、检查和指导,负责文书档案的验收,并对其实行集中统一管理。 3.1.2 各部门负责本部门文件材料的收集、整理和归档、移交工作,并对其完整、准确和系统负责。
3.2 凡属归档范围的文件材料,必须按规定整理归档后向档案部门移交,实行集中统一管理,任何个人和部门不得据为己有或拒绝归档。 3.3 保管期限规划原则 按照《机关文件材料归档范围和文书档案保管期限规定》(国家档案局令第8号),文书档案保管期限分为永久、定期两种,定期一般分为10年、30年。 4 技术内容 4.1 归档范围 凡是在管理、生产和经营等活动中形成的具有保存价值的,作为真实历史记录归档保存的文件材料都在归档范围之内。具体见“文书档案归档范围和保管期限表”。 4.2 归档文件材料的来源 4.2.1 内部形成的文件材料。 4.2.2 执行、办理的外来文件材料。 4.2.3 所属单位和派出机构(包括境外机构)应报给本单位的文件材料。 4.2.4 引进项目、外购设备等带回的文件材料。 4.2.5 投资的全资、控股、参股企业应向本单位提交的文件材料。 4.2.6 参与的合作项目,合作单位按要求应向本单位提交的文件材料。 4.3 归档要求 4.3.1 整理归档的文件材料应遵循文件材料形成规律,保持其有机联系,并符合有关标准、规范要求。 4.3.2 归档的文件材料应为原件。特殊情况无原件的可归具有凭证作用的文件材料(文件材料归档后不得更改)。 4.3.3 非纸质文件材料应与其文字说明一并归档。外文(或少数民族文字)材料若有汉译文的应与汉译文一并归档,无译文的要译出标题后归档。 4.3.4 具有永久、长期保存价值的电子文件,必须形成一份纸质文件归档。 4.3.5 归档文件的制作和书写材料必须符合耐久性要求。 4.3.6 反映同一内容而形式不同的文件材料应保持其一致性。 4.3.7 两个以上单位合作完成的项目,主办单位保存全套文件,协办单位保存与承担任务相关的正本文件。 4.3.8 对应归档电子文件的元数据、背景信息等要进行相应归档。
信息安全管理体系认证实施规则 ISCCC-ISMS-001:2016 中国信息安全认证中心
目录 1.适用范围 (2) 2.认证依据 (2) 3.术语和定义 (2) 3.1.信息收集 (2) 3.2.现场审核 (2) 4.认证类别 (2) 5.审核人员及审核组要求 (2) 6.认证信息公开 (2) 7.认证程序 (2) 7.1.初次认证 (2) 7.2.监督审核 (6) 7.3.再认证 (8) 7.4.管理体系结合审核 (8) 7.5.特殊审核 (9) 7.6.暂停、撤消认证或缩小认证范围 (9) 8.认证证书 (10) 8.1.证书内容 (10) 8.2.证书编号 (11) 8.3.对获证组织正确宣传认证结果的控制 (11) 9.对获证组织的信息通报要求及响应 (11) 10.附录A:审核时间 (11)
1.适用范围 本规则用于规范中国信息安全认证中心(简称中心)开展信息安全管理体系(ISMS)认证活动。 2.认证依据 以国家标准ISO/IEC27001:2013《信息技术安全技术信息安全管理体系要求》为认证依据。 3.术语和定义 3.1.现场审核 中心指派审核组到受审核方或获证组织所在办公地点进行管理体系运行的符合性进行审核。 4.认证类别 认证类型分为初次认证,监督审核和再认证。为满足认证的需要,中心可以实施特殊审核,特殊审核采取现场审核方式进行。 5.审核人员及审核组要求 认证审核人员必须取得其他管理体系认证注册资格,并得到中心的专业能力评价,以确定其能够胜任所安排的审核任务。 审核组应由能够胜任所安排的审核任务的审核员组成。必要时可以补充技术专家以增强审核组的技术能力。 具有与管理体系相关的管理和法规等方面特定知识的技术专家可以成为审核组成员。技术专家应在审核员的监督下进行工作,可就受审核方或获证组织管理体系中技术充分性事宜为审核员提供建议,但技术专家不能作为审核员。 6.认证信息公开 中心应向申请认证的社会组织(以下称申请组织)至少公开以下信息: 1)认证服务项目; 2)认证工作程序; 3)认证依据; 4)证书有效期; 5)认证收费标准。 7.认证程序 7.1.初次认证
23 信息系统数据备份管理制度 第一条为保护重要信息系统的数据运行安全,规范数据备份管理,特制定本管理制度。 第二条本制度适用于重要信息系统范围内,服务器端和客户端数据的备份管理。 第三条服务器端的数据备份由系统管理员和安全管理员共同实施,备份介质则由介质管理员负责保存。 第四条客户端的数据备份由各网络用户自行实施,备份介质则由用户或介质管理员负责保存。 第五条服务器端的数据备份包括对应用软件的数据备份和对用户数据的备份两部分,客户端的数据备份则主要是对用户数据的备份,包括用户的软件、文档、专业数据信息等。 第六条服务器端的数据备份主要采用磁带备份和光盘备份两种方式,客户端的数据备份则可视数据和网络资源情况灵活选择,常用的方式包括活动硬盘备份和光盘备份。 第七条服务器端的应用软件备份包括磁带备份和光盘备份两种方式,光盘备份主要针对软件的安装数据,磁带备份主要针对软件的运行数据;用户数据则主要采用磁带备份的方式。
第八条服务器端的光盘备份在应用软件安装以前进行,备份以后的光盘由介质管理员进行存放。 第九条服务器端的磁带备份必须根据相应的备份策略和实施方案(在备份管理软件中定义),确定备份内容、备份时间、备份周期等,如每天执行一次完全备份,每三小时执行一次增量备份;备份以后的磁带由介质管理员存放。 第十条为了便于对服务器端的系统软件进行应用与管理,机房中须备有与系统软件有关的应用手册和各种指南等资料,以供运行、维护人员查阅,未经许可,任何人不得带出机房。 第十一条所有的数据备份必须登记在“数据备份记录表”中,包括备份方式、原数据的存储路径、备份数据存储介质的密级标识、备份起止时间、备份者等(见附表l《数据备份记录表》)。 第十二条应用软件的源程序除了在磁介质上备份以外,程序员可根据需要进行打印备份,以防应用程序发生意外、难以恢复。 第十三条应用软件开发人员应将项目的调研资料、各阶段的设计说明书、图表、源程序、应用系统运行流程图等进行分类归档,以便查阅。 第十四条当修改应用软件时,具体的功能修改、逻辑修改、程序变动等,都应有相应的文档记录,以备查阅。
2016信息安全管理体系(ISMS)审核知识试卷 2016年6月 1、单选题 1、密码就是一种用于保护数据保密性的密码学技术、由()方法 及相应运行过程。 A、加密算法和密钥生成 B、加密算法、解密算法、密钥生成 C、解密算法、密钥生成 D、加密算法、解密算法 2、计算机安全保护等级的第三级是()保护等级 A、用户自主 B、安全标记 C、系统审计 D、结构化 3、隐蔽信道是指允许进程以()系统安全策略的方式传输信息的 通信信道 A、补强 B、有益 C、保护 D、危害 4、 5、 6、ISMS关键成功因素之一是用于评价信息安全 A、测量 B、报告 C、传递 D、评价 7、防止恶语和移动代码是保护软件和信息的() A、完整性 B、保密性 C、可用性 D、以上全部 8、以下强健口令的是() A、a8mom9y5fub33 B、1234 C、Cnas D、Password
9、开发、测试和()设施应分离、以减少未授权访问或改变运行 系统的风险 A、系统 B、终端 C、配置 D、运行 10、设备、()或软件在授权之前不应带出组织场所 A、手机 B、文件 C、信息 D、以上全部 11、包含储存介质的设备的所有项目应进行核查,以确保在处置之前, ()和注册软件已被删除或安全地写覆盖 A、系统软件 B、游戏软件 C、杀毒软件 D、任何敏感信息 12、雇员、承包方人员和()的安全角色和职责应按照组织的信息安全方针定义并形成文件 A、第一方人员 B、第二方人员 C、第三方人员 D、IT经理 13、对于任用的终止或变化时规定职责和义务在任用终止后仍然有效的 内容应包含在()合同中。 A、雇员 B、承包方人员 C、第三方人员 D、A+B+C 14、ISMS文件的多少和详细程度取决于() A、组织的规模和活动的类型 B、过程及其相互作用的复杂程度 C、人员的能力 D、A+B+C 15、为确保信息资产的安全,设备、信息和软件在()之前不应带出组织 A、使用 B、授权 C、检查合格 D、识别出薄弱环节 16、对于所有拟定的纠正和预防措施,在实施前应先通过()过程进行评审。 A、薄弱环节识别 B、风险分析 C、管理方案 D、A+B 17、组织机构在应建立起评审ISMS时,应考虑() A、风险评估的结果 B、管理方案 C、法律、法规和其它要素 D、A+C
系统运维管理备份与恢复管理(Ⅰ) 版本历史 编制人: 审批人:
目录 目录 (2) 一、要求内容 (3) 二、实施建议 (3) 三、常见问题 (4) 四、实施难点 (4) 五、测评方法 (4) 六、参考资料 (5)
一、要求内容 a)应识别需要定期备份的重要业务信息、系统数据及软件系统等; b)应建立备份与恢复管理相关的安全管理制度,对备份信息的备份方式、备份频度、存储介质和保存期等进行规定; c)应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略,备份策略须指明备份数据的放置场所、文件命名规则、介质替换频率和将数据离站运输的方法; d)应建立控制数据备份和恢复过程的程序,记录备份过程,对需要采取加密或数据隐藏处理的备份数据,进行备份和加密操作时要求两名工作人员在场,所有文件和记录应妥善保存; e)应定期执行恢复程序,检查和测试备份介质的有效性,确保可以在恢复程序规定的时间内完成备份的恢复; f)应根据信息系统的备份技术要求,制定相应的灾难恢复计划,并对其进行测试以确保各个恢复规程的正确性和计划整体的有效性,测试内容包括运行系统恢复、人员协调、备用系统性能测试、通信连接等,根据测试结果,对不适用的规定进行修改或更新。 二、实施建议 制定数据备份的规定,包括备份的策略、计划和内容等信息,备份策略的制定要结合本身数据量多少、数据更新时间等要求进行制定,对备份的数据要进行定期的恢复性测试,保证该备份的可用性。数据的恢复管理不仅仅是灾难恢复的计划,应当针对不同的数据恢复要求和恢复的内容制定多种适当的恢复策略,并定期对策略的有效性进行测试。
文件档案管理制度 1目的 为规范安全管理体系文件的管理,对包括职业健康安全在内的管理体系运行中使用的各类文件实施有效控制,以确保各过程、环节/场所使用的文件具有统一性、完整性、正确性和有效性,与体系运行相关的部门均使用有效的现行版本文件,防止误用作废文件。 对安全记录档案进行有效控制,以证实符合规定要求,为安全管理体系有效运行提供客观证据,在必要时实现可追溯性。 2范围 本程序包含了文件的编写、审批、发放、使用、更改及作废等子过程。规定了各过程负责人的职责,适用于各过程管理体系文件的控制。 本程序包括记录的填写、收集、保管、处置等子过程。适用于公司各部门的综合管理体系运行中形成的所有记录的控制。 3职责 3.1各过程管理部门职责: 3.1.1负责确定所管理的过程的文件需求。 3.1.2负责对所需的文件进行策划并安排专人编写。 3.1.3负责过程管理文件的(程序、规定、制度、表格)组织编制。 3.1.4负责严格执行过程管理文件的规定,并按规定的表格做好相应的记录。 3.1.5负责文件更改内容等。 3.2生产部职责: 3.2.1负责管理手册的编制。 3.2.2负责体系的认证和日常维护管理工作。 3.3各部门负责本部门各过程文件的编制、评审和批准。 3.4各部门负责本部门记录的建立与管理。 4程序内容 4.1确定文件种类 4.1.1为便于文件管理,根据不同的管理方式将综合管理体系文件分为外来文件、综合管理体系文件。
4.1.2外来文件:外来文件系指国家、地方政府部门发布的法律、法规、条例和标准(见法律法规的识别与评价程序);上级部门下发的通知、要求、规定和办法;相关方的期望和要求。 4.1.3综合管理体系文件 a.方针、目标和指标; b.实现方针、目标和指标的策划; c.控制各业务过程的程序、规定、指导书、表格。 4.1.4资料和记录 相关的资料包括但不限于: a.各类分析/评价/统计数据(如OSHA 统计分析数据); b.特种设备(如压力容器等)及其附件的安全技术监察(检测)资料; c.建设(工程)项目可行性研究报告、HSE 预评价报告、设计方案和图纸、 HSE专篇、竣工验收报告及相关审查结论和批复意见; d.各类检查、教育培训、演习及其他活动记录; e.专项风险评价、环境因素识别及环境影响评价报告; f.化学危险品安全标签、安全技术说明书、储存、使用防护指南; g.危化品应建立一栏三卡(职业危害公告栏、毒物周知卡、安全操作卡、 异常工况处置卡) h.设施的设计、运行技术资料; i.供应商和承包商档案; j.作业许可证等; k.其他资料。 4.2提出文件的编制和修改需求 4.2.1公司所有人员都有提出编制和修改文件的权利,但是必须向过程负责人提出申请。 4.2.2过程负责人确定所管理的过程的文件需求。 4.3指定编写人 4.3.1如需要编制或修改,对所需的文件进行策划并安排专人编写。
a* ILIMOOH 佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目 时间:2015年12月
信息化建设引言 随着我国中小企业信息化的普及,信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面:信息化在中小企业的发展程中,对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面伴随着全球信息化和网络化进程的发展,与此相关的信息安全问题也日趋严 重。 由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识,导致中小企业的信息安全面临着较大的风险,我国中企业信息化进程已经步入普及阶段,解决我国中小企业的信息安全问题已经不容缓。 通过制定和实施企业信息安全管理体系能够规范企业员工的行为,保证各种技术手段的有效实施,从整体上统筹安排各种软硬件,保证信息安全体系同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故生后能够及时采取有效的措施,防止信息安全事故带来巨大的损失,而更重的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。 信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的,由 新的威胁不断出现,信息安全管理是一个相对的、动态的过程,企业能做到的 就是要不断改进自身的信息安全状态,将信息安全风险控制在企业可接受的围之内,获得企业现有条件下和资源能力范围内最大程度的安全。 在信息安全管理领域,三分技术,七分管理”的理念已经被广泛接受。结合 ISO/IEC27001信息安全管理体系,提出一个适合我国中小企业的信息安全管理的模型,用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管 理能力。 IS027001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行(如下
信息系统文件备份与恢复管理规范 (ISO9001:2015) 1、目的 为确保公司数据与程序的安全,保障业务的连续性,结合公司实际情况,特制定本规范。 2、适用范围 公司核心业务系统的程序与数据文件。 3、术语和定义 无 4、职责与权限 4.1 系统工程师:负责制定信息系统数据备份策略及数据恢复演练计划、执行备份\恢复作业、监控备份日志、维护备份设备,与系统业务负责人确定系统恢复期间业务处理方法。 4.2 系统业务负责人:审批数据恢复申请。 4.3 信息管理部经理:审批数据恢复演练与数据恢复申请。 5、内容及流程 5.1 系统工程师依据业务连续性需要,制定数据备份策略、数据恢复演练计划。备份策略应包含以下内容:备份内容、备份方式、备份周期、备份文件命名规范、备份文件存放位置、备份日志存放位置等。数据恢复演练计划应包含以下内容:演练时间、恢复作业执行人、恢复数据、预计恢复作业时间等。
5.2 系统工程师依据备份周期,在备份作业执行完成后,查看备份日志。依照备份作业的完成情况,填写《备份记录表》。 5.3 发现数据备份作业发生异常时,系统工程师应立即分析原因,将异常记录在《备份记录表》中。系统工程师应排除异常,重新执行备份作业。系统工程师根据异常的严重性,提交备份作业改善计划。 5.4 当业务系统发生故障需要执行数据恢复作业时,由系统工程师确定是否进行数据恢复作业。需要进行数据恢复时,由系统工程师填写《备份恢复作业审批表》,申请数据恢复作业。 5.5 系统业务负责人与信息管理部经理批准数据恢复作业后,系统工程师按数据恢复计划严格执行。系统工程师在完成数据恢复后,对数据恢复作业的过程进行记录。 5.6 系统工程师依据备份恢复演练计划,按照要求实行备份恢复演练,填写《备份恢复演练审批表》,报信息管理部经理批准后,开展备份恢复演练。备份恢复演练每季度举行1次,每年不少于4次。 5.7 程序备份与恢复操作及备份演练由系统管理工程师参照上述数据备份与恢复操作规范进行,系统管理工程师按照备份策略中定义的备份周期或程序发生变化时备份程序。 5.8 外包信息系统的备份与恢复参照本规范执行。 6、流程图 6.1 流程图一备份异常处理流程
ISO标准——IEC 27001:2005 信息安全管理体系—— 规范与使用指南 Reference number ISO/IEC 27001:2005(E)
0简介 0.1总则 本国际标准的目的是提供建立、实施、运作、监控、评审、维护和改进信息安全管理体系(ISMS)的模型。采用ISMS应是一个组织的战略决定。组织ISMS的设计和实施受业务需求和目标、安全需求、应用的过程及组织的规模、结构的影响。上述因素和他们的支持系统预计会随事件而变化。希望根据组织的需要去扩充ISMS的实施,如,简单的环境是用简单的ISMS解决方案。 本国际标准可以用于内部、外部评估其符合性。 0.2过程方法 本国际标准鼓励采用过程的方法建立、实施、运作、监控、评审、维护和改进一个组织的ISMS的有效性。 一个组织必须识别和管理许多活动使其有效地运行。通过利用资源和管理,将输入转换为输出的活动,可以被认为是一个过程。通常,一个过程的输出直接形成了下一个过程的输入。 组织内过程体系的应用,连同这些过程的识别和相互作用及管理,可以称之这“过程的方法”。 在本国际标准中,信息安全管理的过程方法鼓励用户强调以下方面的重要性: a)了解组织信息安全需求和建立信息安 全策略和目标的需求; b)在组织的整体业务风险框架下,通过 实施及运作控制措施管理组织的信息 安全风险; c)监控和评审ISMS的执行和有效性; d)基于客观测量的持续改进。 本国际标准采用了“计划-实施-检查-改进”(PDCA)模型去构架全部ISMS流程。图1显示ISMS如何输入相关方的信息安全需求和期望,经过必要的处理,产生满足需求和期望的产品信息安全输出,图1阐明与条款4、5、6、7、8相关。 采用PDCA模型将影响OECD《信息系统和网络的安全治理》(2002)中陈述的原则,0 Introduction 0.1 General This International Standard has been prepared to provide a model for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an Information Security Management System (ISMS). The adoption of an ISMS should be a strategic decision for an organization. The design and implementation of an organization’s ISMS is influenced by their needs and objectives, security requirements, the processes employed and the size and structure of the organization. These and their supporting systems are expected to change over time. It is expected that an ISMS implementation will be scaled in accordance with the needs of the organization, e.g. a simple situation requires a simple ISMS solution. This International Standard can be used in order to assess conformance by interested internal and external parties. 0.2 Process approach This International Standard adopts a process approach for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an organization's ISMS. An organization needs to identify and manage many activities in order to function effectively. Any activity using resources and managed in order to enable the transformation of inputs into outputs can be considered to be a process. Often the output from one process directly forms the input to the next process. The application of a system of processes within an organization, together with the identification and interactions of these processes, and their management, can be referred to as a “process approach”. The process approach for information security management presented in this International Standard encourages its users to emphasize the importance of: a) understanding an organization’s information security requirements and the need to establish policy and objectives for information security; b) implementing and operating controls to manage an organization's information security risks in the context of the organization’s overall business risks; c) monitoring and reviewing the performance and effectiveness of the ISMS; and d) continual improvement based on objective measurement. This International Standard adopts the "Plan-Do-Check-Act" (PDCA) model, which is applied to structure all ISMS processes. Figure 1 illustrates how an ISMS takes as input the information security requirements and expectations of the interested parties and through the necessary actions and processes produces information security outcomes that meets those requirements and expectations. Figure 1 also illustrates the links in the processes presented in Clauses 4, 5, 6, 7 and 8. The adoption of the PDCA model will also reflect the principles as set out in the
文书档案管理规定 为了进一步加强所(园)文书档案管理工作,保障各类文书档案及时归档,有效地保护和利用档案,维护所(园)合法权益,特制订本规定。 一、定义 本规定所称的文书档案是指过去和现在的所(园)各级部门及职工个人从事有关活动直接形成的对所(园)有保存价值的各种文字、图表、凭证、报表、技术资料、电脑盘片、声像、胶卷、荣誉实物、证件等不同形式的历史记录。 二、档案的立卷与归档 1、所有外送或内发的文件及其原稿由综合办公室分类整理,按年代立案,予以归档、保存和备查,并交一份由经办部门存档备查。 2、收集范围为主要包括:(1)反映所(园)机关主要职能活动和基本历史面貌的,对本单位工作、国家建设和历史研究具有利用价值的文件材料;(2)所(园)需要贯彻执行的上级机关、同级机关的文件材料;(3)其他对本单位工作具有查考价值的文件材料(各部门具体归档材料见附件)。 3、属于归档范围的文件材料,必须向综合办公室移交,实行集中统一管理,任何个人不得据为己有或拒绝归档。
4、所有文书档案一事(一档)一交,或次年二月底统一移交。 5、纸质文件材料和相应的电子文件及背景信息等也要进行归档。 6、立卷工作一般在年末或次年初进行,一事一卷。党政部门和按年度归档的部门的档案在次年五月底前完成归档,科研、基建项目和专题性、成套性档案,在项目完成通过鉴定验收后两个月内完成归档。 7、案卷质量要求 案卷质量要遵循文件的形成规律和特点,保持文件之间的有机联系,区别不同的价值,便于保管和利用。 (1)归档的文件材料种数、份数以及每份文件的页数均应齐全完整。 (2)在归档的文件材料中,应将每份文件的正件与附件、影印件与定稿、请示与批复、转发文件与原件、多种文字形成的同一文件,分别立在一起,不得分开,文电应合一立卷;绝密文电单独立卷,少数普通文电如果与绝密文电有密切联系,也应随同绝密文电立卷。 (3)不同年度的文件一般不得放在一起立卷,但跨年度的请示与批复,放在复文年立卷;没有复文的,放在请示年立卷;跨年度的规划放在针对的第一年立卷;跨年度的总
信息安全管理体系认证合同 1 甲方: 乙方:中国电子技术标准化研究所体系认证中心 2 容和围 乙方根据甲方的申请,通过对甲方信息安全管理体系的审核,确认甲方的信息安全管理体系是否符合所选定的标准,从而决定是否批准甲方获得或保持注册资格。 2.1 认证所依据的信息安全管理体系标准:ISO/IEC27001或等同采用的标准文件 2.2.1 甲方信息安全管理体系覆盖的产品类别、过程及主要活动: 2.2.2 删减说明: 2.3 甲方信息安全管理体系所覆盖的地点(含安装、维修/服务、活动地点): 注:如多现场可另页详细描述 2.4 审核时间安排 初访/预审时间计划于年月进行,现场审核时间计划于年月进行,最终审核时间由双方具体商定。 2.5 认证证书有效期为三年,甲方获得认证注册资格后,在有效期,乙方对初次通过认证的甲方共进行四次监督审核。前两次的监督审核在获证后每半年进行一次,以后的监督审核为每年一次。对复评后的甲方每年进行一次监督审核。如有特殊情况,将酌情增加监督审核频次。证书有效期满前三个月向乙方提出申请进行复评。
3 费用 3.1审核费用: □申请费1000元 □注册费1000元 □证书费1000元 □年金2000元 □审核费: 3.2 初访/预审费用¥元(整)。 3.3 证书副本费用:中文副本元(50元/);英文副本,元(50元/); 加印分、子证书套元(3000元/套)。 3.4 以上费用共计:¥(整)。 上述3.1和3.2费用自合同生效之日起10日先交纳30%,其余费用在现场审核后15日一次付清。3.5 监督审核费(在组织体系不发生重大变化的情况下)包括: □监督审核费(每次)¥元□年金(每年)2000元 监督审核费在每次审核前支付。 3.6 乙方派出审核人员的食、宿、交通等费用按实际支出由甲方负担。 3.7 因甲方自身原因(不符合标准要求,严重不符合等)而导致的不能注册时,由甲方支付乙方现场审核实际发生的费用。 4 甲方的权利和义务 4.1 甲方的权利 4.1.1 甲方对乙方的现场审核、审核结论、审核人员的行为、审核的公正性及泄露甲方、认证证书的暂停、注销和撤销等有权向乙方提出申诉/投诉,如对处理结果持有异议,可向乙方的管理委员会直至中国合格评定国家认可委员会(CNAS)提出申诉/投诉。 4.1.2 通过认证后,甲方享有按规定正确使用其管理体系认证证书和标志以及正确对外广告宣传其获得管理体系认证注册资格的权利。 4.2 甲方的义务 4.2.1 甲方在认证审核之前管理体系至少已运行三个月。