下载文档原格式
编写委员会信息安全管理手册GLSC2020第A/0版编写:审核:批准:受控状态:XXX网络科技有限公司发布时间:2020年9月1日实施时间:2020年9月1日01目录02修订页03颁布令为提高我公司的信息安全管理水平,保障公司和客户信息安全,依据GB/T 2 2080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》结合本公司实际,特制定信息安全管理手册(以下简称“管理手册”)A/0版。
《管理手册》阐述了公司信息安全管理,并对公司管理体系提出了具体要求,引用了文件化程序,是公司管理体系的法规性文件,它是指导公司建立并实施管理体系的纲领和行动准则,也是公司对所有社会、客户的承诺。
《管理手册》是由公司管理者代表负责组织编写,经公司总经理审核批准实施。
《管理手册》A/0版于2020年9月1日发布,并自颁布日起实施。
本公司全体员工务必认真学习,并严格贯彻执行,确保公司信息安全管理体系运行有效,实现信息安全管理目标,促使公司信息安全管理工作得到持续改进和不断发展。
在贯彻《管理手册》中,如发现问题,请及时反馈,以利于进一步修改完善。
授权综合部为本《管理手册》A/0版的管理部门。
XXX网络科技有限公司总经理:2020年9月1日04任命书为了贯彻执行GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》,加强对管理体系运作的领导,特任命gary为本公司的信息安全管理者代表。
除履行原有职责外,还具有以下的职责和权限如下:(1)确保信息安全管理体系的建立、实施、保持和更新;进行资产识别和风险评估。
(2)向最高管理者报告管理体系的有效性和适宜性,并作为评审依据用于体系的改进;(3)负责与信息安全管理体系有关的协调和联络工作;(4)负责确保管理手册的宣传贯彻工作;(5)负责管理体系运行及持续改进活动的日常督导;(6)负责加强对员工的思想教育和业务、技术培训,提高员工信息安全风险意识;(7)主持公司内部审核活动,任命内部审核人员;(8)代表公司就公司管理体系有关事宜与外部进行联络。
编写委员会信息安全管理手册GLSC2020第A/0版编写:审核:批准:受控状态:XXX网络科技有限公司发布时间:2020年9月1日实施时间:2020年9月1日01目录02修订页03颁布令为提高我公司的信息安全管理水平,保障公司和客户信息安全,依据GB/T 2 2080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》结合本公司实际,特制定信息安全管理手册(以下简称“管理手册”)A/0版。
《管理手册》阐述了公司信息安全管理,并对公司管理体系提出了具体要求,引用了文件化程序,是公司管理体系的法规性文件,它是指导公司建立并实施管理体系的纲领和行动准则,也是公司对所有社会、客户的承诺。
《管理手册》是由公司管理者代表负责组织编写,经公司总经理审核批准实施。
《管理手册》A/0版于2020年9月1日发布,并自颁布日起实施。
本公司全体员工务必认真学习,并严格贯彻执行,确保公司信息安全管理体系运行有效,实现信息安全管理目标,促使公司信息安全管理工作得到持续改进和不断发展。
在贯彻《管理手册》中,如发现问题,请及时反馈,以利于进一步修改完善。
授权综合部为本《管理手册》A/0版的管理部门。
XXX网络科技有限公司总经理:2020年9月1日04任命书为了贯彻执行GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》,加强对管理体系运作的领导,特任命gary为本公司的信息安全管理者代表。
除履行原有职责外,还具有以下的职责和权限如下:(1)确保信息安全管理体系的建立、实施、保持和更新;进行资产识别和风险评估。
(2)向最高管理者报告管理体系的有效性和适宜性,并作为评审依据用于体系的改进;(3)负责与信息安全管理体系有关的协调和联络工作;(4)负责确保管理手册的宣传贯彻工作;(5)负责管理体系运行及持续改进活动的日常督导;(6)负责加强对员工的思想教育和业务、技术培训,提高员工信息安全风险意识;(7)主持公司内部审核活动,任命内部审核人员;(8)代表公司就公司管理体系有关事宜与外部进行联络。
第三方服务管理工作指南
目录
1 范围 (2)
2 规范性引用文件 (2)
3 职责 (2)
4 管理内容和要求 (3)
4.1 第三方服务的确定 (3)
4.2 对第三方服务的监督和评审 (3)
4.3 第三方服务的变更管理 (4)
4.4第三方人员及外包商安全管理 (4)
4.5供应商协议中的安全 (5)
4.6 信息和通信技术供应链 (6)
第三方服务管理工作指南
1 范围
适用于公司信息安全第三方服务管理活动,包括第三方确定过程、第三方的服务安全控制措施、第三方的服务监督和评审方法、第三方的变更管理。
为加强对第三方服务提供商(合作商)的控制,减少安全风险,防范公司信息资产损失,特制定本程序。
2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
《信息技术安全技术信息安全管理体系要求》(GB/T 22080-2016/ISO/IEC 27001:2013)
3 职责
3.1 商务采购部
负责统一管理第三方服务的控制活动,负责确定合格的第三方服务商。
3.2 各相关部门
a) 与第三方服务商签订服务合同和保密协议;
b) 负责对第三方服务商的服务进行安全控制;
c) 负责定期对第三方服务商进行监督和评审。
附件1医疗器械网络安全注册技术指导原则(征求意见稿)本指导原则旨在指导制造商提交医疗器械网络安全注册申报资料,同时规范医疗器械网络安全的技术审评要求。
本指导原则是对医疗器械网络安全的一般性要求,制造商应根据医疗器械产品特性提交网络安全注册申报资料,判断指导原则中的具体内容是否适用,不适用内容详述理由。
制造商也可采用其他满足法规要求的替代方法,但应提供详尽的研究资料和验证资料。
本指导原则是在现行法规和标准体系以及当前认知水平下、并参考了国外法规与指南、国际标准与技术报告制定的.随着法规和标准的不断完善,以及认知水平和技术能力的不断提高,相关内容也将适时进行修订。
本指导原则是对制造商和审评人员的指导性文件,不包括审评审批所涉及的行政事项,亦不作为法规强制执行,应在遵循相关法规的前提下使用本指导原则。
本指导原则作为《医疗器械软件注册技术审查指导原则》的补充,应结合《医疗器械软件注册技术审查指导原则》相关要求进行使用。
本指导原则是医疗器械网络安全的通用指导原则,其他涉及网络安全的医疗器械产品指导原则可在本指导原则基础上进行有针对性的调整、修改和完善。
一、范围本指导原则适用于医疗器械网络安全的注册申报,包括具有网络连接功能以进行电子数据交换或远程控制的第二类、第三类医疗器械产品,其中网络包括无线、有线网络,电子数据交换包括单向、双向数据传输,远程控制包括实时、非实时控制。
同时,本指导原则也适用于采用存储媒介以进行电子数据交换的第二类、第三类医疗器械产品的注册申报,其中存储媒介包括但不限于光盘、移动硬盘和U盘。
二、基本原则随着网络技术的发展,越来越多的医疗器械具备网络连接功能以进行电子数据交换或远程控制,在提高医疗服务质量与效率的同时也面临着网络攻击的威胁。
医疗器械网络安全出现问题不仅可能会侵犯患者隐私,而且可能会产生医疗器械非预期运行的风险,导致患者受到伤害或死亡。
因此,医疗器械网络安全是医疗器械安全性和有效性的重要组成部分之一。
22080-2016信息安全管理体系管理手册及程序文件信息安全管理手册目录1. 概述1.1目的1.2适用范围1.3颁布令1.4授权书2. 依据文件和术语2.1依据文件2.2术语定义3. 裁剪说明4. 组织环境4.1组织环境描述4.2信息安全相关方的需求和期望4.3信息安全管理体系范围的确定4.4体系概述5. 领导力5.1领导力和承诺5.2信息安全方针和目标5.3组织角色、职责和权限6. 策划6.1风险评估和处置6.2目标实现过程7. 支持7.1资源提供7.2信息安全能力管理7.3意识培训7.4信息安全沟通管理7.5存档信息控制8. 运行8.1体系策划与运行9. 绩效评价9.1能力评价9.2有效性测量9.3内部审核9.4管理评审10. 改进11. 信息安全总体控制A.5信息安全策略A.6信息安全组织A.7人力资源安全A.8资产管理A.9访问控制A.10密码控制A.11物理和环境安全A.12操作安全A.13通信安全A.14系统获取、开发和维护A.15供应商关系A.16信息安全事故A.17业务连续性管理的信息安全方面A.18符合性附件一:信息安全组织架构映射表附件二:信息安全职责分配表1.概述为提高服务质量,规范管理活动,保障系统安全运行,提升人员安全意识水平,XXX软件有限公司(以下简称“公司”)依据信息安全管理标准《GB/T 22080-2016/ISO/IEC 27001:2013 信息技术安全技术信息安全管理体系要求》的相关要求,结合自身业务系统实际运行安全需求,已建立实施了一套科学有效的信息安全管理体系,并通过体系的有效运行,实现持续改进,达到动态系统、全员参与、制度化的、以预防为主的信息安全管理方式。
目的本总纲为公司信息安全管理体系的纲领性文件,描述了信息安全管理体系的方针、目标、管理机制和要求等方面的内容。
通过建立策划(P)→执行(D)→检查(C)→改进(A)的持续改进机制,不断提高公司的信息安全管理水平,确保日常信息安全管理活动的安全、稳定、高效,提升企业核心竞争力。
员工手册1.1.信息安全策略:1.2.服务器管理服务器配置要点:1.机器名按资产识别程序中的规定命名,不得使用随机名,所有服务器使用固定IP地址。
2.服务器时间在每次检查时与INTERNET时间校对。
3.日志每半月保存一次(包括应用、系统日志),日志上限为16384KB,超过这个大小采用覆盖方式。
4.服务器的性能监控初步指标:CPU占用率不得长期高于80%,内存使用率不得长期高于80%,系统盘至少要有20%的余量供临时文件周转。
1.2.1.服务器检查1.3.路由器配置1.更改路由器的初始登入密码,密码强度符合至少8位,数字、字母和符号任意两种组合。
2.打开主路由器中的防火墙,启用路由器的安全功能,对性能有较大影响的选项需根据业务和安全需求综合评审。
3.更改二级路由器的LAN口地址,防止与上层路由器发生IP冲突。
4.二级路由器一般关闭DHCP,无线的可以打开。
5.无线部分打开安全设置,使用加密方法,无线路由应根据业务和人员流动情况决定是否更改密码。
6.路由器的配置信息需要保存,如导出文件或配置截图。
10. 路由器最好放置在特定机柜中,若不具备条件需每周检查路由器配置是否被重置。
1.4.系统权限检查对每个应用信息系统建立《系统权限登记表》,每个权限的分配和改动需要有相应的申请和记录,每月按权限表进行检查,按表中的评审周期对系统权限进行评审,最多不得超过半年。
检查范围:各信息系统1.上网系统检查,主要是看无线密码是否需要更改,网络控制设施的相关配置有无变化。
3.服务器账号系统,查看用户有无增减。
1.5.备份1.6.即时通讯软件的使用公司允许使用的即时通讯工具包括:QQ 微信、钉钉1.使用钉钉必须经过申请,由网络管理员登记到即时通讯服务权限表中。
2.钉钉口令需要符合至少8位长度,数字、字母、符号任意两种类型组合的强度。
3.钉钉不得私自建群,使用群共享和群硬盘,所有内部群开启必须经过审批,由网络管理员登记后开放权限。
目录一、信息系统容量规划及验收管理规定 (1)二、信息资产密级管理规定 (2)三、信息系统设备管理规定 (4)四、笔记本电脑管理规定 (8)五、介质管理规定 (10)六、变更管理规定 (13)七、第三方服务管理规定 (16)八、邮件管理规定 (18)九、软件管理规定(无) (21)十、系统监控管理规定(无) (23)十一、补丁管理规定(无) (24)十二、信息系统审核规范(无) (25)十三、基础设施及服务器网络管理制度 (26)十四、信息系统安全应急预案 (29)十五、远程办公管理制度 (33)十六、信息安全访问控制管理规定 (34)十七、信息交换管理规定 (38)一、信息系统容量规划及验收管理规定1. 目的针对已确定的服务级别目标和业务需求来设计、维持相应的开发中心服务能力,从而确保实际的开发中心服务能够满足服务要求。
2. 范围适用于公司所有硬件、软件、外围设备、人力资源容量管理。
3. 职责综合部负责确定、评估容量需求。
4. 内容(1)容量管理包括:服务器,重要网络设备:LAN、WAN、防火墙、路由器等;所有外围设备:存储设备、打印机等;所有软件:操作系统、网络、内部开发的软件包和购买的软件包;人力资源:要维持有足够技能的人员。
(2)对于每一个新的和正在进行的活动来说,公司管理层应识别容量要求。
(3)公司管理层每年应在管理评审时评审系统容量的可用性和效率。
公司管理层应特别关注与订货交货周期或高成本相关的所有资源,并监视关键系统资源的利用,识别和避免潜在的瓶颈及对关键员工的依赖。
(4)应根据业务规划、预测、趋势或业务需求,定期预测施加于综合部系统上的未来的业务负荷以及组织信息处理能力,以适当的成本和风险按时获得所需的容量。
二、信息资产密级管理规定1. 目的确保公司营运利益,并防止与公司营运相关的保密信息泄漏。
2. 范围本办法适用于公司所有员工。
3. 保密信息定义保密信息指与公司营运相关且列入机密等级管理的相关信息。
信息技术安全技术信息安全管理体系要求Information technology-Security techniques- Information security management systems-Requirements(ISO/IEC 27001:2005)目次引言 (II)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 信息安全管理体系(ISMS) (3)5 管理职责 (8)6 内部ISMS审核 (9)7 ISMS的管理评审 (9)8 ISMS改进 (10)附录 A (规范性附录)控制目标和控制措施 (12)附录 B (资料性附录)OECD原则和本标准 (27)附录 C (资料性附录)ISO 9001:2000, ISO 14001:2004 和本标准之间的对照 (29)引言0.1总则本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系(Information Security Management System,简称ISMS)提供模型。
采用ISMS应当是一个组织的一项战略性决策。
一个组织的ISMS的设计和实施受其需要和目标、安全要求、所采用的过程以及组织的规模和结构的影响,上述因素及其支持系统会不断发生变化。
按照组织的需要实施ISMS,是本标准所期望的,例如,简单的情况可采用简单的ISMS解决方案。
本标准可被内部和外部相关方用于一致性评估。
0.2过程方法本标准采用一种过程方法来建立、实施、运行、监视、评审、保持和改进一个组织的ISMS。
一个组织必须识别和管理众多活动使之有效运作。
通过使用资源和管理,将输入转化为输出的任意活动,可以视为一个过程。
通常,一个过程的输出可直接构成下一过程的输入。
一个组织内诸过程的系统的运用,连同这些过程的识别和相互作用及其管理,可称之为“过程方法”。
本标准中提出的用于信息安全管理的过程方法鼓励其用户强调以下方面的重要性:a)理解组织的信息安全要求和建立信息安全方针与目标的需要;b)从组织整体业务风险的角度,实施和运行控制措施,以管理组织的信息安全风险;c)监视和评审ISMS的执行情况和有效性;d)基于客观测量的持续改进。
管理体系审核计划审核日程安排注:以上日程安排随着审核的开展和实施可能会作相应的调整。
审核计划拟制:日期:方案管理人员批准:日期:受审核方确认:日期:注意事项:(1)本次审核所涉及的职能以及对该职能重点评价过程及活动见审核日程安排,希望在计划审核期间该职能和活动直接负责人员在场。
若有不便,请预先通知审核组。
(2)受审核方组织如有需要了解审核组每位成员的背景情况,可直接反馈给认证中心审核部。
(3)审核组在实施审核工作时实行组长负责制。
(4)审核组的任务是:-检查和验证受审核方组织与管理体系相关的结构、方针、过程、程序、记录及相关文件;-确定上述方面满足与所期望的认证范围相关的所有要求;-确定受审核方组织有效地建立、实施并保持了管理体系过程和程序,以便为建立对受审核方组织管理体系的信任提供基础;-告知受审核方组织其方针、目标及指标(与相关管理体系标准或其他规范性文件的期望一致)与结果之间的任何不一致,以使其采取措施。
(5)审核组长将按照计划实施审核并主持召开首次、末次会议,介绍与本次审核有关的信息和审核结果。
请贵单位通知主要领导和管理者代表以及本次审核涉及部门的负责人等参加首、末次会议,了解认证信息与要求,并请协助审核组完成本次审核任务。
(6)审核的公正性对审核可信度有非常重要影响,请贵单位给予支持和配合,否则会对本次管理体系审核结果产生负面影响。
(7)本次审核所用语言:中文(8)审核组将核实贵组织结构、方针和程序,并确认能满足有关认证范围的所有要求,且程序得到实施并对产品、过程和服务提供信任。
(9)为保证审核顺利进行,请受审核方为每个审核组确定向导。
必要的话,可指定观察员。
向导和观察员可以与审核组同行,但不是审核组成员, 不应当影响或干扰审核的实施。
受审核方指派的向导应当协助审核组并且根据审核组长的要求行动。
他们的职责:a)为审核员和贵公司建立联系并安排面谈时间;b)安排对场所或组织的特定部分的访问;c)确保审核组成员了解和遵守有关场所的安全规则和安全程序;d)代表贵公司对审核进行见证;e)在收集信息的过程中,做出澄清或提供帮助。
选择和评价供方准则
编号:GL-004
1、目的
为了对供方实施有效控制,制定相应的评价准则。
2、职责
综合部负责选择和评价供方。
3、要求
3.1综合部根据市场调研结果和以往合作、产品质量情况,确定供方评价准则。
3.2对电脑设备、软件等采购供方应评价:质量保证能力、价格、产品质量状况、服务。
对服务类供方应评价:服务及时率、价格、服务人员能力等。
对办公用品供方应评价:商场或超市购买,总经理亲批采购计划和价格、产品质量状况。
3.3通过质量管理体系(ISO9000)认证的供方只需要求其提供营业执照、认证证书及质量合格证明的复印件,可直接填入《合格供方名录》,无须进行重新评价。
3.4对新客户公司应先进行经营合法性验证,必须是合法经营企业方可考虑,确认是合法经营企业后,结合其产品、服务质量进行调查。
3.5综合部组织有关部门按上述准则进行评价,填写《供方调查评价表》,经经理批准后,纳入《合格供方名录》。
3.6公司规定对合格供方每年重新进行评价一次,当供方产品发生重大质量问题时,可由公司经理决定增加评价频次。
3.7综合部保存所有合格供方的资料及有关评价记录。
4、记录
《合格供方名录》
《供方评价表》。
