下载文档原格式
目录一、信息系统容量规划及验收管理规定 (1)二、信息资产密级管理规定 (2)三、信息系统设备管理规定 (4)四、笔记本电脑管理规定 (8)五、介质管理规定 (10)六、变更管理规定 (13)七、第三方服务管理规定 (16)八、邮件管理规定 (18)九、软件管理规定(无) (21)十、系统监控管理规定(无) (23)十一、补丁管理规定(无) (24)十二、信息系统审核规范(无) (25)十三、基础设施及服务器网络管理制度 (26)十四、信息系统安全应急预案 (29)十五、远程办公管理制度 (33)十六、信息安全访问控制管理规定 (34)十七、信息交换管理规定 (38)一、信息系统容量规划及验收管理规定1. 目的针对已确定的服务级别目标和业务需求来设计、维持相应的开发中心服务能力,从而确保实际的开发中心服务能够满足服务要求。
2. 范围适用于公司所有硬件、软件、外围设备、人力资源容量管理。
3. 职责综合部负责确定、评估容量需求。
4. 内容(1)容量管理包括:服务器,重要网络设备:LAN、WAN、防火墙、路由器等;所有外围设备:存储设备、打印机等;所有软件:操作系统、网络、内部开发的软件包和购买的软件包;人力资源:要维持有足够技能的人员。
(2)对于每一个新的和正在进行的活动来说,公司管理层应识别容量要求。
(3)公司管理层每年应在管理评审时评审系统容量的可用性和效率。
公司管理层应特别关注与订货交货周期或高成本相关的所有资源,并监视关键系统资源的利用,识别和避免潜在的瓶颈及对关键员工的依赖。
(4)应根据业务规划、预测、趋势或业务需求,定期预测施加于综合部系统上的未来的业务负荷以及组织信息处理能力,以适当的成本和风险按时获得所需的容量。
第 1 页共 41 页二、信息资产密级管理规定1. 目的确保公司营运利益,并防止与公司营运相关的保密信息泄漏。
2. 范围本办法适用于公司所有员工。
3. 保密信息定义保密信息指与公司营运相关且列入机密等级管理的相关信息。
信息安全技术信息系统安全工程管理要求1 范围本标准规定了信息安全工程(以下简称安全工程)的管理要求,是对信息安全工程中所涉及到的需求方、实施方与第三方工程实施的指导性文件,各方可以此为依据建立安全工程管理体系。
本标准按照GB17859-2019划分的五个安全保护等级,规定了信息安全工程的不同要求。
本标准适用于该系统的需求方和实施方的工程管理,其他有关各方也可参照使用。
2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注明日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。
使用本标准的各方应探讨使用下列标准最新版本的可能性。
凡是不注明日期的引用文件,其最新版本适用于本标准。
GB 17859-2019 计算机信息系统安全保护等级划分准则GB/T 20269-2019 信息安全等级保护信息系统安全通用技术要求GB/T 20271-2019 信息安全等级保护信息系统安全管理要求3 术语和定义下列术语和定义适用于本标准。
3.1安全工程security engineering为确保信息系统的保密性、完整性、可用性等目标而进行的系统工程过程。
3.2安全工程的生存周期security engineering lifecycle在整个信息系统生存周期中执行的安全工程活动包括:概念形成、概念开发和定义、验证与确认、工程实施开发与制造、生产与部署、运行与支持和终止。
3.3安全工程指南security engineering guide由工程组做出的有关如何选择工程体系结构、设计与实现的指导性信息。
3.4脆弱性vulnerability能够被某种威胁利用的某个或某组资产的弱点。
3.5风险risk某种威胁会利用一种资产或若干资产的脆弱性使这些资产损失或破坏的可能性。
3.6需求方owner信息系统安全工程建设的拥有者或组织者。
3.7实施方developer信息系统安全工程的建设与服务的提供方。
编写委员会信息安全管理手册GLSC2020第A/0版编写:审核:批准:受控状态:XXX网络科技有限公司发布时间:2020年9月1日实施时间:2020年9月1日01目录02修订页03颁布令为提高我公司的信息安全管理水平,保障公司和客户信息安全,依据GB/T 2 2080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》结合本公司实际,特制定信息安全管理手册(以下简称“管理手册”)A/0版。
《管理手册》阐述了公司信息安全管理,并对公司管理体系提出了具体要求,引用了文件化程序,是公司管理体系的法规性文件,它是指导公司建立并实施管理体系的纲领和行动准则,也是公司对所有社会、客户的承诺。
《管理手册》是由公司管理者代表负责组织编写,经公司总经理审核批准实施。
《管理手册》A/0版于2020年9月1日发布,并自颁布日起实施。
本公司全体员工务必认真学习,并严格贯彻执行,确保公司信息安全管理体系运行有效,实现信息安全管理目标,促使公司信息安全管理工作得到持续改进和不断发展。
在贯彻《管理手册》中,如发现问题,请及时反馈,以利于进一步修改完善。
授权综合部为本《管理手册》A/0版的管理部门。
XXX网络科技有限公司总经理:2020年9月1日04任命书为了贯彻执行GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》,加强对管理体系运作的领导,特任命gary为本公司的信息安全管理者代表。
除履行原有职责外,还具有以下的职责和权限如下:(1)确保信息安全管理体系的建立、实施、保持和更新;进行资产识别和风险评估。
(2)向最高管理者报告管理体系的有效性和适宜性,并作为评审依据用于体系的改进;(3)负责与信息安全管理体系有关的协调和联络工作;(4)负责确保管理手册的宣传贯彻工作;(5)负责管理体系运行及持续改进活动的日常督导;(6)负责加强对员工的思想教育和业务、技术培训,提高员工信息安全风险意识;(7)主持公司内部审核活动,任命内部审核人员;(8)代表公司就公司管理体系有关事宜与外部进行联络。
ISMS信息安全风险评估管理程序1 目的从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施;为防范和化解信息安全风险,将风险控制在可接受的水平,从而最大限度地为保障信息安全提供科学依据。
2 适用范围信息安全管理体系覆盖范围内的所有信息资产。
3 术语和定义引用ISO/IEC27001:2005(idt GB/T 22080-2008)和ISO/IEC27002:2005(idt GB/T 22081-2008)的相关术语和定义。
4 职责和权限4.1 信息安全领导办公室●决定实施风险评估的时间和方法●指导风险处理计划的实施与检查●残余风险的批准。
4.2 部门信息安全主管●负责本部门范围内风险评估相关活动的组织实施●负责本部门范围内风险处理计划的组织实施4.3 部门信息安全员●在部门安全主管领导下,负责本部门风险评估相关活动的实施●在部门安全主管领导下,负责本部门风险处理计划的实施5 风险评估方法5.1 风险各要素的关系风险评估中各要素的关系如图1。
图1 风险评估要素关系图图1中方框部分的内容为风险评估的基本要素,椭圆部分的内容是与这些要素相关的属性。
风险评估围绕着资产、威胁、脆弱性和安全措施这些基本要素展开,在对基本要素的评估过程中,需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。
图1 中的风险要素及属性之间存在着以下关系:a)业务战略的实现对资产具有依赖性,依赖程度越高,要求其风险越小;b)资产是有价值的,组织的业务战略对资产的依赖程度越高,资产价值就越大;c)风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能演变成为安全事件;d)资产的脆弱性可能暴露资产的价值,资产具有的脆弱性越多则风险越大;e)脆弱性是未被满足的安全需求,威胁利用脆弱性危害资产;f)风险的存在及对风险的认识导出安全需求;g)安全需求可通过安全措施得以满足,需要结合资产价值考虑实施成本;h)安全措施可抵御威胁,降低风险;i)残余风险有些是安全措施不当或无效,需要加强才可控制的风险;而有些则是在综合考虑了安全成本与效益后不去控制的风险;j)残余风险应受到密切监视,它可能会在将来诱发新的安全事件。
编写委员会信息安全管理手册GLSC2020第A/0版编写:审核:批准:受控状态:XXX网络科技有限公司发布时间:2020年9月1日实施时间:2020年9月1日01目录02修订页03颁布令为提高我公司的信息安全管理水平,保障公司和客户信息安全,依据GB/T 2 2080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》结合本公司实际,特制定信息安全管理手册(以下简称“管理手册”)A/0版。
《管理手册》阐述了公司信息安全管理,并对公司管理体系提出了具体要求,引用了文件化程序,是公司管理体系的法规性文件,它是指导公司建立并实施管理体系的纲领和行动准则,也是公司对所有社会、客户的承诺。
《管理手册》是由公司管理者代表负责组织编写,经公司总经理审核批准实施。
《管理手册》A/0版于2020年9月1日发布,并自颁布日起实施。
本公司全体员工务必认真学习,并严格贯彻执行,确保公司信息安全管理体系运行有效,实现信息安全管理目标,促使公司信息安全管理工作得到持续改进和不断发展。
在贯彻《管理手册》中,如发现问题,请及时反馈,以利于进一步修改完善。
授权综合部为本《管理手册》A/0版的管理部门。
XXX网络科技有限公司总经理:2020年9月1日04任命书为了贯彻执行GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》,加强对管理体系运作的领导,特任命gary为本公司的信息安全管理者代表。
除履行原有职责外,还具有以下的职责和权限如下:(1)确保信息安全管理体系的建立、实施、保持和更新;进行资产识别和风险评估。
(2)向最高管理者报告管理体系的有效性和适宜性,并作为评审依据用于体系的改进;(3)负责与信息安全管理体系有关的协调和联络工作;(4)负责确保管理手册的宣传贯彻工作;(5)负责管理体系运行及持续改进活动的日常督导;(6)负责加强对员工的思想教育和业务、技术培训,提高员工信息安全风险意识;(7)主持公司内部审核活动,任命内部审核人员;(8)代表公司就公司管理体系有关事宜与外部进行联络。
GBT22080:2016信息安全管理体系全套内审资料1.年度内审计划2.内审实施计划3.首末次签到表4.内审检查表5.不合格报告6.内审报告2018年内审计划编号: LHXR-JL-008编制:批准:日期:2018年07月23日内部审核实施计划编号:LHXR-JL-12内审首/末次会议签到表LHXR-JL-13内审检查表编号:LHXR-JL-14内审检查表编号:LHXR-JL-14内审检查表编号:LHXR-JL-14内审检查表编号:LHXR-JL-14内审检查表编号:LHXR-JL-14内审检查表编号:LHXR-JL-14不合格报告内审报告编号:LHXR-JL―16审核目的检查公司信息安全管理体系是否符合GB/T22080-2016标准的要求及有效运行。
审核依据GB/T22080-2016标准、信息安全管理手册、程序文件、相关法律法规、合同及适用性声明等。
审核范围与信息安全相关的活动及部门。
审核时间2018年07月30-31日1、现场审核情况概述本次审核按《内部审核程序》要求,编制了内审计划及实施计划并按计划进行了实施。
审核小组分别按要求编制了《内部审核检查表》;内审计划事先也送达受审核部门。
审核组在各部门配合下,按审核计划进行审核,分别到部门、现场,采用面谈、现场观察、抽查信息安全体系文件及信息安全体系运行产生的记录等方法,进行了抽样调查和认真细致的检查。
审核组审核了包括总经理、管代、各有关职能部门。
审核员发现的不合格项已向受审部门有关人员指明,并由他们确认,审核员还就不合格项与受审部门商讨了纠正措施和方法。
本次审核共提出《不符合报告》共1份,涉及综合部1项。
涉及标准附录7.2条款。
2、体系综合评价a)最高管理者带动员工对满足顾客和法律法规要求的重要性具有明确的认识,能履行其承诺,管理职责明确,重视并参与对信息安全管理体系的建立、保持和推动持续改进活动。
员工能准确答出公司信息安全方针和目标,体现了全员参与。
22080-2016信息安全管理体系管理手册及程序文件《22080-2016信息安全管理体系管理手册及程序文件》一、引言信息安全在现代社会中的重要性日益凸显。
为了保护企业的信息资产,确保信息系统的正常运行和数据的安全性,制定一个完善的信息安全管理体系是必要的。
本文将介绍22080-2016信息安全管理体系管理手册及程序文件。
二、信息安全管理体系管理手册1. 管理手册目的本管理手册的目的是确定和定义公司信息安全管理体系的目标、范围、政策、程序文件和相关文件,以保证信息安全管理实施的一致性和有效性。
2. 管理手册结构管理手册包括以下主要部分:- 信息安全管理体系范围:详细描述了本信息安全管理体系的适用范围,确保管理体系的全面性和一致性。
- 组织机构和职责:阐述了公司内相关部门的职责和责任,明确信息安全管理的组织结构和职能分工。
- 管理体系政策:制定和实施信息安全管理政策,确保信息安全管理体系与公司整体战略和目标一致。
- 信息资产管理:明确信息资产的分类、评估和管理流程,确保信息资产的安全性和完整性。
- 安全控制措施:概述公司已采取的技术和管理控制措施,保护信息系统和数据的安全性和可用性。
- 域内沟通与意识:描述了公司内部沟通与意识提升的机制和活动,促进员工对信息安全的重视和参与。
- 内部审核和持续改进:确定了内部审核的程序和要求,以及持续改进的方法和指导原则。
三、程序文件1. 准入控制程序该程序文件描述了对新员工、合作伙伴或供应商的准入控制流程。
包括背景调查、安全意识培训和签署保密协议等环节,以保证仅有合适和可信任的人员可以接触敏感信息。
2. 安全漏洞管理程序该程序文件规定了对信息系统存在的安全漏洞的管理流程。
包括安全漏洞的发现、评估、修复和验证等环节,以及漏洞管理责任人的职责,确保及时发现和消除安全漏洞,降低信息系统受到攻击的风险。
3. 网络监控和事件响应程序该程序文件描述了对网络活动的实时监控和对安全事件的快速响应流程。
编号:MYFH-JL―21JL-LHXR-031序号法律、法规及其他要求名称颁布时间实施时间颁布部门符合性1中华人民共和国国家安全法1993.02.221993.02.22全国人民代表大会符合2全国人大常委会关于维护互联网安全的决定2000.12.282000.12.28全国人民代表大会常务委员会符合3中华人民共和国著作权法2001.10.272001.10.27全国人民代表大会常务委员会符合4中华人民共和国认证认可条例2003.09.032003.11.1国务院第390号令符合5中华人民共和国计算机信息系统安全保护条例1994.02.181994.02.18国务院第147号令符合6中华人民共和国计算机信息网络国际联网管理暂行规定1997.05.201997.05.20国务院第218号令符合7中华人民共和国商用密码管理条例1999.10.071999.10.07国务院第273号令符合8中华人民共和国计算机软件保护条例2001.12.202002.01.01国务院第339号令符合9中华人民共和国信息网络传播权保护条例2006.05.182006.07.01国务院第468号令符合10中华人民共和国著作权法实施条例2001.10.272001.10.27全国人民大会常务委员会符合11中华人民共和国计算机信息网络国际联网管理暂行规定实施办法1998.02.131998.02.13国务院信息化工作领导小组符合12计算机信息网络国际联网安全保护管理办法1997.12.161997.12.30公安部第33号令符合13计算机信息系统安全专用产品检测和销售许可证管理办法1997.12.121997.12.12公安部第32号令符合14计算机病毒防治管理办法2000.04.262000.04.26公安部第51号令符合15计算机信息系统保密管理暂行规定1998.02.261998.02.26国家保密局符合16计算机信息系统国际联网保密管理规定2000.01.012000.01.01国家保密局符合17科学技术保密规定1995.01.061995.01.06国家科委、国家保密局符合18软件产品管理办法2000.10.272000.10.27信息产业部符合19中华人民共和国公司法2005.10.272006.01.01全国人民代表大会常务委员会符合20中华人民共和国合同法1999.03.151999.10.01全国人民代表大会符合21中华人民共和国消防法2008.10.282009.05.01全国人民代表大会常务委员会符合22中华人民共和国劳动法1994.07.051995.01.01全国人民代表大会符合23中华人民共和国劳动合同法2007.06.292008.01.01全国人民代表大会常务委员会符合24中华人民共和国劳动合同法实施条例2008.09.182008.09.18国务院符合法律法规清单25中华人民共和国质量法2000.07.082000.09.01全国人民代表大会常务委员会符合26GBT20984-2007信息安全技术信息安全风险评估规范2007.06.142007.11.01国家质监总局、标准化管理委员会符合27GBZ20985-2007信息技术安全技术信息安全事件管理指南2007.06.142007.11.01国家质监总局、标准化管理委员会符合28GBZ20986-2007信息安全技术信息安全事件分类分级指南2007.06.142007.11.01国家质监总局、标准化管理委员会符合29社会团体登记管理条例1998.10.251998.10.25国务院符合30中华人民共和国民法通则1986.04.161987.01.01全国人民代表大会常务委员会符合31北京市计算机信息系统病毒预防和控制管理办法1994.12.281994.12.28北京市公安局符合32北京市信息化促进条例2007.09.142007.12.1北京市人民代表大会常务委员会符合33电信业务经营许可管理办法2009.02.042009.04.10中华人民共和国工业和信息化部符合34电信业务经营许可证管理办法2009.03.012009.04.10中华人民共和国工业和信息化部符合35非经营性互联网信息服务备案管理办法2005.02.082005.03.20中华人民共和国信息产业部符合36工业和信息化部行政许可实施办法2009.02.042009.04.10中华人民共和国工业和信息化部符合37关于互联网中文域名管理的通告2000.11中华人民共和国信息产业部符合38关于计算机信息网络国际联网业务实行经营许可证制度有关问题的通知1998.09.181998.09.18中华人民共和国信息产业部符合39关于进一步加强互联网上网服务营业场所管理2001.04.03国务院符合40关于禁止侵犯商业秘密行为的若干规定1998.12.031998.12.03国家工商行政管理局符合41互联网安全保护技术措施规定2005.12.132006.03.01中华人民共和国公安部符合42互联网信息服务管理办法2000.09.252000.09.25国务院第292号令符合43计算机病毒防治产品评级准则公安部符合44计算机病毒防治管理办法2000.04.262000.04.26公安部符合45计算机软件保护条例2013.01.162013.03.01国务院符合46计算机信息网络国际联网安全保护管理办法1997.12.301997.12.30国务院符合47计算机信息网络国际联网出入口信道管理办法符合48计算机信息系统安全保护等级划分准则1999.09.132001.01.01公安部符合49计算机信息系统安全专用产品分类原则符合50计算机信息系统安全专用产品检测和销售许可证管理办法1997.06.281997.12.12公安部令第32号符合51计算机信息系统保密管理暂行规定1998.02.261998.02.26国家保密局符合52计算机信息系统国际联网保密管理规定符合53全国人民代表大会常务委员会维护互联网安全的决定符合54全国人事系统远程通信网络管理暂行规定1999.12.281999.12.28人事部符合55数据库管理系统安全技术要求2006.12.01全国信息安全标准化技术委员会符合56网络接入服务器NAS技术规范2000.02.232000.02.23信息产业部符合57维护互联网安全的决定2000.12.282000.12.28全国人大符合58信息安全等级保护管理办法2007.06.22公安部符合59信息安全技术操作系统安全技术要求2006.05.312006.12.01符合60信息安全技术防火墙技术要求和测试评价方法符合61信息安全技术入侵检测系统技术要求和测试评价方法符合62信息安全技术数据库管理系统安全技术要求符合63信息安全技术网络脆弱性扫描产品测试评价方法符合64信息安全技术网络脆弱性扫描产品技术要求符合65信息安全技术网络和终端设备隔离部件测试评价方法符合66信息安全技术网络基础安全技术要求符合67信息安全技术信息安全风险评估规范符合68信息安全技术信息安全事件分类分级指符合69信息安全技术信息系统安全工程管理要求符合70信息安全技术信息系统安全管理要求符合71信息技术 系统间远程通信和信息交换符合72信息技术安全技术信息安全事件管理指南符合73信息网络传播权保护条例2006.05.182006.07.01国务院符合74信息系统安全工程管理要求符合75中华人民共和国计算机软件保护条例2009.06.022009.06.02国务院令第339号符合76中华人民共和国计算机信息网络国际联网安全保护管理办法1997.12.111997.12.30国务院符合77中华人民共和国计算机信息网络国际联网管理暂行规定1996.02.011996.02.01公安部符合78中华人民共和国计算机信息网络国际联网管理暂行规定实施办法1998.2.13国务院第218号令符合79中华人民共和国计算机信息系统安全保护条例1994.02.181994.02.18国务院符合80中华人民共和国宪法1954.09.201954.09.20全国人大符合81《信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型》符合82《信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求》符合83《信息技术安全技术信息技术安全性评估准则第3部分:安全保证要求》符合84《信息技术信息安全管理实用规则》符合85《计算机信息系统安全测评通用技术规范》符合86《计算机信息系统安全保护等级划分准则》符合87《网络代理服务器的安全技术要求》符合88《路由器安全技术要求》符合89《包过滤防火墙安全技术要求》符合90《应用级防火墙安全技术要求》符合91《信息技术安全技术实体鉴别第4部分:采用密码校验函数的机制》符合92《信息技术安全技术实体鉴别第5部分:使用零知识技术的机制》符合93《信息技术开放系统互连系统管理第7部分:安全报警报告功能》符合94《信息技术开放系统互连系统管理第8部分:安全审计跟踪功能》符合95《信息技术软件产品评价质量特性及其使用指南》符合96《信息技术软件包质量要求和测试》符合97中华人民共和国保守国家秘密法2010.04.292010.10.01全国人大符合98中华人民共和国国家安全法2015.07.012015.07.01第29号主席令符合99中华人民共和国产品质量法2000.07.082000.09.01国务院符合100中华人民共和国产品质量认证管理条例2003.09.032003.09.03国务院符合101中华人民共和国计算机信息系统安全保护条例1994.02.181994.02.18国务院符合102中华人民共和国计算机信息网络国际联网管理暂行规定1996.02.011996.02.01国务院符合103中华人民共和国电信条例2000.09.202000.09.20国务院符合104互联网信息服务管理办法2000.09.252000.09.25国务院符合105计算机软件保护条例2013.01.162013.03.01国务院符合。
