ISMS信息备份管理程序

ISMS信息通信和操作管理1.1 操作程序和责任1. 文件化操作程序被安全方针确定的操作程序应该文件化并保持。

应将操作程序作为正式文件对待，经管理层授权后可修改。

程序应该规定每项工作详细的执行指导，包括：a）信息的加工和处理；b）日程要求，包括和其他系统的依存关系，最早的工作开始时间和最晚的工作完成时间；c）对在工作执行过程中出现的错误或其他意外情况的处理指导，包括对系统功能使用的限制；d）在发生意外的操作或技术困难时的支持联络；e）特殊输出处理指导，诸如特殊文具的使用或保密输出的管理，包括失败作业输出的安全处理程序；f）在系统失效时使用的系统重启和恢复程序；与信息处理和通信设备有关的系统日常管理活动也应准备文件化的程序。

如计算机启动和关机程序、备份、设备维护、计算机房和信件处理的管理和安全。

2. 操作的变更控制应该控制信息处理设备和系统的改变。

对信息处理设备和系统变化的控制不够是系统或安全故障的通常原因。

应该制订正式的管理责任和程序以确保满足对设备、软件或程序的所有改变的控制。

对操作程序应该进行严格的变更控制。

在程序变更时，应该保留包括所有相关信息的审计日志。

操作环境的变化能够影响到应用程序。

可行的情况下，应把操作和应用的变更控制程序整合起来。

特别应考虑以下控制措施：a）重大变更的识别和记录；b）评估此类变更的潜在影响；c）所建议更改的正式审批程序；d）变更细节通知给所有相关人员；e）确定中止和恢复不成功变更的责任的程序。

3. 事故管理流程应建立事故管理责任和流程来确保对安全事故快速、有效和有序的响应（见6.3.1）。

应考虑以下的控制措施：a）针对所有潜在的安全事故类型，建立响应程序，包括：1)信息系统故障和丧失服务；2)拒绝服务；3)不完整或不准确的商业数据导致的错误；4)保密性的破坏；b）除正常的应急计划（为尽快的恢复系统或服务而设计），程序还应包括（见6.3.4）：1)分析和识别事故原因；2)如有必要，设计和实施补救措施以防止事故的重发；3)收集审计记录和类似证据；4)与受到事故影响的人，或恢复工作涉及到的人沟通；5)向有关当局汇报情况。

信息处理设备管理程序1 适用与目的本程序适用于公司与IT相关各类信息处理设施（包括各类软件、硬件、服务、传输线路）的引进、实施、维护等事宜的管理。

本程序通过对技术选型、验收、实施、维护等过程中相关控制的明确规定来确保引进的信息处理设施的保密性、完整性和可用性。

2信息处理设施的分类2.1 研发控制系统、数据存储控制系统及其子系统设备，包括位于机房的服务器和位于使用区域的使用控制系统终端设备。

2.2 业务管理系统、财务管理系统，包括位于机房的服务器和位于使用区域的终端设备。

2.3办公用计算机设备，包括所有办公室、会议室内的计算机、打印机，域控制服务器，DNS 服务器、Email服务器等。

2.4 网络设备，包括交换机、路由器、防火墙等。

2.5 其它办公设备，包括电话设备、复印机、传真机等。

3 职责3.1 DXC主要负责全公司与IT相关各类信息处理设施及其服务的引进。

包括制作技术规格书、进行技术选型、安装和验收等。

DXC同时负责全公司网络设备、研发控制系统、业务管理系统、财务管理系统日常管理与维护。

3.2 各部负责项目实施过程中设备及软件系统的管理制度的执行与维护。

3.3 DXC负责后勤系统设备及网络系统、电话/网络通讯与办公系统的管理与维护。

4 信息处理设施的引进和安装4.1引进依赖各部门必须采购的信息处理设施、外包开发信息系统项目或外包信息系统服务，得到本部门经理的批准后，向DXC提交申请。

DXC以设备投资计划，技术开发计划为依据，结合对新技术的调查，作出是否引进的评价结果并向提出部门返回该信息。

本公司禁止员工携带个人或私有信息处理设施（例如便携式电脑、家用电脑或手持设备PDA等）处理业务信息。

4.2进行技术选型DXC负责对购入的信息处理设施的技术选型，并从技术角度对供应商进行评价。

技术选型应该包含以下几方面：性能、相关设施的兼容性、协作能力、技术发展能力等。

4.3编写购入规格书DXC根据要求，负责编写即将购入的信息处理设施的购入规格书。

ISMS信息备份管理程序1 目的对重要信息实施备份保护，以保证信息的完整性和可用性，并在出现信息丢失时能够及时恢复。

2 范围公司各部门的重要信息。

3 术语和定义4 职责和权限DXC负责服务器中的重要信息的备份工作。

各部门负责对本部门维护的重要信息进行备份。

5 相关活动5.1 备份信息识别DXC和其他部门收集需要备份的相关信息，主要包括信息的重要性、拟采用的备份方式、备份周期等。

5.2 制定备份方案根据信息识别的结果和备份要求，分别确定信息备份计划，包括：●备份周期：根据信息更新速度、易损坏成度及备份媒体的有效期，确定周期。

如机密性信息备份周期不超过1个月；●备份介质类型：确定备份使用的媒体，一般为光盘或硬盘，也可为纸制，但要同时考虑成本与可靠性。

●确定备份方式：一般采用复制、双系统同步、转储、压缩复制等。

●确定备份工具：备份使用的工具，如光盘记录机、复印机、压缩软件等，选择工具时，要确定在信息失效之前，对应的恢复工具可用。

●确定备份数量：一般信息备份一份即可，对于特别重要的信息需要备份2份甚至更多。

●存放位置：备份信息须与原始信息分开存放，要根据信息保密级别有相应的保密措施。

●责任人：确定备份的责任人。

5.3 备份计划实施各部门根据信息的重要度，按备份计划进行实施。

对分散的信息在备份前进行整理、归类，备份前要进行查病毒工作。

备份完成后要检查备份数据的可用性。

必要时，还要备份还原工具。

5.4 备份的媒体标识标识应依据媒体本身的特点，加标签或直接手写在媒体上；对于已经有标识的纸面文档的复印件，可不用再另加标识；各部门应采取适宜的方法对备份信息媒体进行标识，防止备份信息的误用，标识的内容包括：备份信息的名称、备份的日期、版本号等。

5.5 备份信息(介质)的安全存放备份完毕后中，备份信息(介质)以及相关的标识等保存到指定的位置。

备份信息(介质)须保存在适宜的环境中；条件允许时，对备份信息(介质)进行异地存储，以避免主要场地发生灾难时资产受到损坏；涉及秘密的备份信息(介质)或保密性十分重要的备份信息(介质)，要采取加固措施(如通过加密)等进行保护。

ISMS记录管理程序1.适用本程序适用于本公司产生的记录的管理。

2.目的为支持信息安全体系的运作而明确记录的管理。

3.管理方法本公司采用X级层次文件编写法。

所有信息安全管理的记录均以ISMS作为开头，其后由4-5个数字构成编号。

首数字代表本文件层次：4为表格记录；第二、三两个数字全部对应需要填写此表格的程序文件或作业指导书，后两个数字为自然序列号；以此类推。

如：ISMS-4061记录清单。

其中“ISMS”表示信息安全类文件；首数字“4”表示第4层次文件，即：表格；第二、三两个数字“06”对应第06号标识的程序文件“ISMS-2006记录控制程序”（详见《文件和资料管理程序》）；最后一位数字“1”代表自然序列号。

在每个记录文件的页眉右上角标记出文件的编号及版本号。

版本及修订号的编制方法采用“英文字母自然排序/数字自然排序”法。

如：“ISMS—×××× A/0”以此类推。

第0次修定（按照数字自然顺序号，依次使用1、2、3……）第A版（按照英文字母自然排序，依次使用B、C、D……）在使用每个具体记录时，需要在每个记录上填写该记录的使用序号（或称：编号）规则为：“部门的简写—自然顺序号”。

如：“ZH - 01”。

以此类推。

自然顺序号综合部的简称本标准覆盖的部门如下：ZH：综合部简写；XX：XXX部简写；……3.1 保管方法（1）记录由各保管部门在可快速检索的条件下，决定保管场所，放在箱子、柜子等适当容器中保管。

（2）对保管场所的环境，本程序没有特别指定。

由各保管部门考虑记录媒体的特性做适当处理。

（3）以电子媒体保管的场合，为预防意外，需做适当的备份。

备份的安全要求执行ISMS-2009《重要信息备份管理程序》。

（4）记录应明确规定保管记录类别、记录保存期限等。

记录的保存应符合有关法律法规的要，保存期限参考本规格书第4条款。

（5）因工作需要，借阅其他部门的秘密记录，应获得记录保管部门负责人授权后方可借阅，并留下授权记录和借阅记录。

记录控制程序
版本记录
批准人（签名）：
日期:
记录控制程序
1.目的
规范信息安全记录的控制和管理，确保记录的有效性、完整性、真实性；为有追溯性要求的场合，提高信息安全管理水平、保持业务连续性及纠正预防措施等提供证实；为信息安全管理体系有效运行提供客观真实的依据。

2.适用范围
适用于本公司信息安全管理体系所涉及的各种信息安全记录的管理。

3.术语和定义
记录是信息安全管理体系运行的证据和改进的依据，表格（四级文件）填写之后就变成了记录。

信息安全管理记录通常采用文字、表格、图形等记录方式；根据使用介质不同，信息安全管理记录可分为纸质形式记录和电子形式记录。

纸质形式记录以纸张为介质，电子形式记录以硬盘、软盘、光盘等为介质。

4.相关/支持性文件
•《文件控制程序》
•《用户权限管理程序》
•《信息密级分类及管理规范》
5.
6.程序内容
7.附录：记录的命名格式
信息安全记录的命名，由信息技术部统一编制和控制。

具体的命名规则如下：
ISMS–XX–L4 - XXXX–Vx.y
记录名
文件层次
部门代码
体系代码
记录命名实例：ISMS-ADM-门禁全限清单-V1.0
表示行政部制订的门禁权限清单格式，版本为1.0。

深圳市首品精密模型有限公司信息系统监控管理程序文件编号:ISMS-2016变更履历1 目的为对信息部实施有效的系统监控管理，防止未经授权的信息处理活动。

2 范围本程序适用于信息部对所有信息系统的管理。

3 定义无4 职责4.1 网络管理员负责对核心系统的监控与管理。

4.2 运行监控机房值班人员负责监控系统的日常管理。

5 程序5.1 监控策略5.1.1 所有服务、防火墙、IDS和其他网络边界访问控制系统的系统审核、账号审核和应用审核日志必须打开，如果有警报和警示功能必须打开。

5.1.2 应记录用户活动、异常和信息安全事态的审计日志，记录应永久保存并每半年备份一次，确保记录可调查和访问的控制监视，任何人不得以任何理由删除保存期内的日志。

5.1.3 审核日志必须由网络管理员定期检查，特权使用、非授权访问的试图、系统故障和异常等内容应该得到评审，以查找违背信息安全的征兆和事实。

5.1.4 防火墙系统、IDS系统、漏洞扫描必须处于开启状态，在不经总经理授权，任何人不得将其中任何设备停止、更换或更新，由网络管理员定期评审，对所有可疑的非法访问行为和企图需及时向管理者代表汇报并采取相应的措施。

5.2 日志的配置最低要求5.2.1 操作系统、应用系统、数据库、网络设备的日志应形成日志保存和检查要求，明确其保存周期。

5.2.2 所有日志应在运行系统或设备内至少保存一年的有效记录，备份的日志信息应保存至少三年。

5.2.3 所有日志应该根据重要信息备份的原则进行定期备份。

5.3 管理过程5.3.1 网络管理员根据系统的安全要求确认日志内容、保存周期、检查周期，其最低要求不得低于5.2的要求。

如果因为日志系统本身原因不能满足5.2的最低要求，需要降低标准的，必须得到管理者代表的批准和备案。

5.3.2 网络管理员配置日志系统，并定期检查日志内容，评审安全情况。

评审的内容包括：授权访问、特权操作、非授权的访问试图、系统故障与异常等情况，评审结束应形成《日志评审记录》。

深圳市首品精密模型有限公司信息应用系统安全管理程序文件编号:ISMS-2018编 制审 核批 准变更履历序号版本编号或更改记录编号简要说明(变更内容、变更位置、变更原因和变更范围)变更日期变更人审核人批准人批准日期1A/0初始发行----2016-8-51目的为保障公司管理信息系统的操作系统和数据库管理系统的安全、稳定运行，规范操作系统和数据库管理系统的安全配置和日常操作管理，特制订本管理办法。

2范围本办法适用于公司信息系统的操作系统和数据库系统的管理和运行。

3术语和定义下列术语和定义适用于本标准操作系统安全：操作系统所存储、传输和处理的信息的保密性、完整性、和可用性表征。

数据库管理系统安全：数据库管理系统所存储、传输和处理的信息的保密性、完整性和可用性的表征。

4操作系统运行管理4.1操作系统管理员的任命4.1.1操作系统管理员的任命应遵循“任期有限、权限分散”的原则；4.1.2对每个操作系统要分别设立操作系统管理员和操作系统审计员，并分别由不同的人员担任。

在多套系统的环境下，操作系统管理员和操作系统审计员岗位可交叉担任；4.1.3操作系统管理员和操作系统审计员的任期可根据系统的安全性要求而定，最长为三年，期满通过考核后可以续任；4.1.4操作系统管理员和操作系统审计员必须签订保密协议书。

4.2操作系统管理员帐户的授权、审批4.2.1操作系统管理员和操作系统审计员账户的授权由所在部门填写《操作系统账户授权审批表》，经部门领导批准后设置；4.2.2操作系统管理员和操作系统审计员人员变更后，必须及时更改帐户设置。

4.3其他帐户的授权、审批4.3.1其他账户的授权由使用人填写《操作系统账户授权审批表》，经信息管理部门领导批准后，由操作系统管理员进行设置；4.3.2外单位人员需要使用公司系统时, 须经信息管理部门领导同意, 填写《外单位人员操作系统账户授权审批表》，报信息管理部门领导批准后, 由操作系统管理员按规定的权限、时限设置专门的用户帐号；4.3.3严禁公司任何人将自己的用户帐号提供给外单位人员使用。

文件管理程序1目的对信息安全与服务管理体系所要求的文件进行控制，确保可获得适用文件的有效版本，特制定本程序。

2范围本程序适用于公司各部门的信息安全与服务管理体系有关的文件和资料控制和管理。

3职责3.1总经理负责《信息安全与服务管理手册》、《适用性声明（SOA）》的批准。

3.2管理者代表负责《信息安全与服务管理手册》的审核和程序文件的批准工作。

3.3运营管理部3.3.1负责本程序文件的编制、更改、实施和控制管理；负责外来文件（国家、地方和顾客与信息安全与服务管理体系有关的文件和资料）的识别和管理。

3.3.2负责《信息安全与服务管理手册》的编制、发放、更改和控制管理，负责各程序文件编制工作的指导、印制、发放、更改和控制管理。

3.3.3负责收集国家颁布的信息安全与服务方面的法律法规并进行有效的控制和管理。

3.4各职能部门负责主管业务范围内信息安全与服务管理体系记录的编制、收集、保管和使用等工作。

4程序4.1工作流程4.2 文件的范围及标识4.2.1受控文件范围：a ）信息安全与服务管理手册（包括信息安全与服务与服务方针、信息安全与服务与服务目标）、适用性声明（SOA ）、策略；b ）IS02700kIS020000-1标准所要求的程序文件；C ）三层文件（作业文件）；d ）外来文件；e ）记录格式。

4.2.2信息安全与服务管理体系文件的标识4.2.2.1运营管理部应对信息安全与服务管理体系文件进行标识，标识号为文件编号，信息安全与服务管理手册的编号为ISMS-0001-2022其他文件标识号的编制如下：ISMS□□ □□—□□□□------- 文件版本号（年代号）------------------- 文件顺序号___________________________ 文件类别号------------------------------------- 信息安全与服务管理体系文件代号（信息、服务的英文单词首字母）除记录编号外，所有文件编号前缀有：“PANSOFT -"。

信息系统运行与维护——信息系统备份管理流程1.关键风险点1.1信息系统数据备份策略不完善、制度不健全，导致系统连续性应用中断、系统备份失败。

(R1)1.2 信息系统备份策略执行不到位，导致系统备份失败风险。

(R2)2.主要措施2.1 建立信息系统的数据定期备份制度，完善系统备份策略机制，在各应用系统具体管理办法中明确系统备份、频度、方法、存放地点、有效性检查内容等。

(C1)2.2做好备份策略的执行，确保备份和备份恢复的有效性。

(C2)3.业务流程步骤3.1建立定期备份制度。

公司信息技术部应制定系统定期备份及恢复的制度要求。

3.2制定信息系统备份策略。

开发单位应在系统开发实施上线前，制定系统的备份策略，包括对数据、操作系统和应用程序的备份内容、备份周期、备份恢复策略、存放介质等。

3.3信息系统日常备份策略执行。

维护单位应指定专人负责系统备份工作，做好系统日常备份工作。

3.3.1维护单位系统备份负责人做好各应用系统日常备份工作。

每周填写并提交《数据备份检查表》，对备份结果及失败的备份操作处理需进行记录、汇报及跟进。

3.3.2公司信息技术部信息管理员对维护单位的备份情况进行不定期抽查，进行月度备份记录。

3.4系统备份异常报告。

当备份出现异常时，维护单位应及时分析备份异常情况，记录事件，进行备份异常报告。

3.5信息系统备份恢复。

维护单位应各信息系统制定相应的备份恢复操作手册，手册应包含备份恢复的操作步骤、恢复前的准备工作、以及数据恢复后的检查标准等。

当系统出现问题后，维护单位需在规定的系统备份恢复时间内完成系统的备份恢复。

3.6信息系统备份策略完善。

维护单位应根据系统的备份记录情况，不断完善系统的备份策略和手段。

3.7信息系统备份恢复演练。

维护单位应每季度对备份恢复数据进行恢复测试工作并进行记录，每年各系统需至少进行一次备份恢复操作演练。

4.文档性记录4.1《外理公司信息化管理规定》连理信息字[2013] 14号4.2《外理公司维护手册》4.3《数据备份检查表》4.4《系统备份恢复测试记录》。

ISMS⽂件和资料管理程序ISMS⽂件和资料管理程序1. ⽬的对信息安全管理体系所要求的⽂件进⾏控制，确保可获得适⽤⽂件的有效版本。

2. 适⽤范围本程序适⽤于公司各部门的信息安全管理体系有关的⽂件和资料控制和管理。

3. 职责3.1 DXC负责本程序⽂件的编制、更改、实施和控制管理；负责外来⽂件（国家、地⽅、上级和顾客与信息安全有关的⽂件和资料）的识别控制和管理。

3.2 DXC负责ISMS-1001《信息安全管理⼿册》的编制、发放、更改和控制管理，负责各程序⽂件编制⼯作的指导、印制、发放、更改和控制管理。

3.3 DXC负责编制规范、标准和标准图等有效版本控制清单，下发到相关部门和单位，并组织对作废版本进⾏识别；负责重⼤技术项⽬施⼯组织设计编制⼯作；参与竣⼯的审核验收⼯作。

3.4 DXC负责组织项⽬⼯程竣⼯资料的审核验收；参与重⼤⼯程项⽬施⼯组织设计编制⼯作。

3.5 DXC负责收集国家颁布的信息安全⽅⾯的法律法规并进⾏有效的控制和管理。

3.6各职能部门负责本部门所管辖的业务和相关的外来⽂件；以及内部⽂件资料的识别、控制与管理。

4. ⽂件和资料编号/版本规定4.1本公司采⽤X级层次⽂件编写法。

所有信息安全管理的⽂件（含记录）均以ISMS作为开头，规定由4或5个数字构成编号。

●⾸数字代表⽂件层次：1为⼿册、2为程序⽂件、3为作业指导书、4为表格记录；●第⼆层次⽂件中第⼆位数字全部为0，末两位为⾃然序号，从01开始往后排序；●第三层次⽂件中的第⼆位和第三位两个数字与第⼆层次⽂件的⾃然序列号相对应，第四或第五个数字为本层次的⾃然序列号；●第四层次的⽂件编号中第⼆、三两个数字全部对应需要填写此表格的程序⽂件或作业指导书，后两个数字为⾃然序列号；。

4.2版本及修订号的编制⽅法采⽤“英⽂字母⾃然排序/数字⾃然排序”法。

如：“A/0”。

以此类推。

第0次修定（按照数字⾃然顺序号，依次使⽤1、2、3……）第A版（按照英⽂字母⾃然排序，依次使⽤B、C、D……）版本及修订号的标注⽅法：1、2、3层次⽂件标注在封⾯。