ISO27001：2013访问控制策略

信息系统安全管理规范1、目标此文档用于规范公司业务系统的安全管理，安全管理所达到的目标如下：确保业务系统中所有数据及文件的有效保护，未经许可的用户无法访问数据。

对用户权限进行合理规划，使系统在安全状态下满足工作的需求。

2、机房访问控制机房做为设备的集中地，对于进入有严格的要求。

只有公司指定的系统管理员及数据库管理员才有权限申请进入机房。

系统管理员及数据库管理员因工作需要进入机房前必须经过公司书面批准。

严格遵守机房管理制度。

3、操作系统访问控制保护系统数据安全的第一道防线是保障网络访问的安全，不允许未经许可的用户进入到公司网络中。

第二道防线就是要控制存放数据及应用文件的主机系统不能被未经许可的用户直接访问。

为防止主机系统被不安全访问，采取以下措施：操作系统级的超级管理用户口令、数据库管理用户口令、应用管理用户口令只能由系统管理员设定并经办公室审核，１个月做一次修改，口令要向其他人员保密。

在应用系统实施阶段，考虑到应用软件提供商需要对自己的产品进行调试，可以在调试时将应用管理用户口令暂时开放给应用软件提供商；调试一结束系统管理员马上更改口令。

对口令设定必需满足以下规范：5、数据库访问控制为有效的保障业务数据的安全，采取以下措施：数据库内具有较高权限的管理用户口令由办公室数据库管理员设定，并由办公室审核，不能向其他人开放。

口令必须１个月做一次修改。

业务系统后台数据库对象创建用户的口令由数据库管理员设定，由技术研发部审核。

不能向其他人开放。

口令必须1个月做一次修改。

对口令设定必需满足以下规范：根据操作需求，在数据库中分别建立对业务数据只有“增、删、改”权限的用户；对业务数据只有“查询”权限的用户。

不同的操作需求开放不同权限的用户。

除技术研发部的人员外，其他部门的任何人员均没有权限从后台数据库直接进行数据的“增、删、改”操作对于业务必须的后台job或批处理，必须由技术研发部人员执行。

6、应用系统访问控制应用系统访问依靠系统内部定义的操作用户权限来控制，操作用户权限控制到菜单一级，对于操作用户的安全管理有如下规范：所有应用级的操作用户及初始口令统一由技术研发部设定，以个人邮件的形式分别发给各部门的操作人员。

XXXXXX软件有限公司人性化科技提升业绩通信安全管理制度目录1. 目的和范围 (2)2. 引用文件 (2)3. 职责和权限 (2)4. Internet访问控制 (2)5. 网络隔离 (3)6. 无线网络访问管理 (3)7. 信息交流控制措施 (3)1.目的和范围通过控制网络访问权限以及公司与外部的信息传递，防止对办公网系统和应用系统的非法访问。

2.引用文件1)下列文件中的条款通过本规定的引用而成为本规定的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

2)GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求3)GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则3.职责和权限各部门必须遵照本管理规范实行对网络、口令和权限的管理，用户必须按照本管理规范访问公司办公网系统和应用系统。

4.Internet访问控制1)所有员工在工作时间禁止利用公司网络和互联网专线访问违法网站及内容。

2)客户及第三方人员不允许直接通过可访问公司资源的有线或无线网络访问Internet，客户及第三方人员如需访问Internet应当在专设的隔离区进行。

5.网络隔离1)公司与外部通过防火墙隔离，制定严格的VLAN划分，对公司内重要部门的访问进行控制。

2)系统服务部制定VLAN访问控制说明。

3)对不同的应用系统的用户信息及其他信息进行网络隔离。

6.无线网络访问管理服务部对无线网络进行密码控制管理；员工对密码的保密要求在《密码控制管理制度》文件里做详细规定。

7.信息交流控制措施1)信息交流方式包括数据交流、电子邮件、电话、纸质文件、谈话、录音、会议、传真、短信、IM工具等；2)可交流的信息，须符合《信息资产分类分级管理制度》里的密级规定;3)公司使用的信息交流设施在安全性上应符合国家信息安全相关法律法规、上级主管机关以及本公司安全管理规定的要求；4)对信息交流应作适当的防范，如不要暴露敏感信息，避免被通过电话偷听或截取；5)员工、合作方以及任何其他用户不得损害公司的利益，如诽谤、骚扰、假冒、未经授权的采购等；6)不得将敏感或关键信息放在打印设施上，如复印机、打印机和传真，防止未经授权人员的访问；7)在使用电子通信设施进行信息交流时，所考虑的控制包括：保护以附件形式传输的电子信息的程序；。

ISO27001-2013信息安全管理体系风险和机遇识别评价分析及应对措施控制程序1.目的和范围为了规定公司所采用的信息安全风险评估方法。

通过识别信息资产、风险等级评估本公司的信息安全风险，选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，保持业务持续性发展，以满足信息安全管理方针的要求，特制订本制度。

本制度适用信息安全管理体系范围内信息安全风险评估活动。

2.引用文件1)下列文件中的条款通过本制度的引用而成为本制度的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本制度，然而，鼓励各部门研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本制度。

2)GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求3)GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则4)ISO/IEC 27005:2008《信息技术-安全技术-风险管理》5)《GB/T 20984-2007信息安全风险评估指南》3.职责和权限1)信息安全管理领导小组：负责汇总确认《信息安全风险评估表》，并根据评估结果形成《信息安全风险评估报告》和《残余风险批示报告》。

2)公司全体员工：在信息安全管理领导小组协调下，负责本部门使用或管理的资产的识别和风险评估；负责本部门所涉及的资产的具体安全控制工作。

信息安全管理员在本部门信息资产发生变更时，需要及时清点和评估，并报送信息安全管理领导小组更新《信息安全风险评估表》。

4.风险管理方法通过定义风险管理方法，明确风险接受准则与等级，确保能产生可比较且可重复的风险评估结果。

（如图1）风险管理流程图图1风险管理流程图4.1.风险识别通过进行风险识别活动，识别了以下内容：1)识别了信息安全管理体系范围内的资产及其责任人；2)识别了资产所面临的威胁；3)识别了可能被威胁利用的脆弱点；4)识别了丧失保密性、完整性和可用性可能对资产造成的影响。

XXXXXX软件有限公司人性化科技提升业绩访问控制制度目录1. 目的和范围 (3)2. 引用文件 (3)3. 职责和权限 (3)4. 用户管理 (3)4.1. 用户注册 (3)4.2. 用户口令管理 (4)5. 权限管理 (4)5.1. 用户权限管理原则 (4)5.2. 用户访问权限设置步骤 (5)6. 操作系统访问控制 (5)6.1. 安全登录制度 (5)6.2. 会话超时与联机时间的限定 (5)7. 应用系统访问控制 (6)8. Internet访问控制 (7)9. 网络隔离 (7)10. 信息交流控制措施 (7)11. 远程访问管理 (8)10.1. 远程接入的用户认证 (8)10.2. 远程接入的审计 (9)12. 无线网络访问管理 (9)13. 笔记本使用及安全配置规定 (9)14. 外部人员使用笔记本的规定 (10)15. 实施策略 (10)16. 相关记录 (10)1.目的和范围通过控制用户权限正确管理用户，实现控制办公网系统和应用系统访问权限与访问权限的分配，防止对办公网系统和应用系统的非法访问，防止非法操作，保证生产系统的可用性、完整性、保密性，以及规范服务器的访问。

本访问控制制度适用于系统维护部以及其他拥有系统权限的管理部门。

2.引用文件1)下列文件中的条款通过本规定的引用而成为本规定的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

2)GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求3)GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则3.职责和权限各部门必须遵照本管理规范实行对用户、口令和权限的管理，用户必须按照本管理规范访问公司办公网系统和应用系统。

文件制修订记录1、适用适用于本公司的各种应用系统涉及到的逻辑访问的控制。

2、目的为对本公司各种应用系统的用户访问权限（包括特权用户及第三方用户）实施有效控制，杜绝非法访问，确保系统和信息的安全，特制定本程序。

3、职责3.1各系统的访问授权管理由管理运营部设置安全框架，由各部门主管视权限和业务情况进行分配、审批。

3.2各系统的访问授权实施部门负责访问控制的技术管理以及访问权限控制和实施。

3.3管理运营部负责向各部门通知人事变动情况。

4、程序4.1访问控制策略4.1.1公司内部可公开的信息不作特别限定，允许所有用户访问。

4.1.2公司内部部分不公开信息，经访问授权管理运营部认可，访问授权实施部门实施后用户方可访问。

4.1.3本公司限制使用无线网络，对连接到互联网和局域网的设备采用粘贴标签的方法清晰的标明设备的连接属性（根据敏感程度，可查表获得权限，如IP列表）4.1.4用户不得访问或尝试访问未经授权的网络、系统、文件和服务。

4.1.5相关部门主管填写《用户权限登记表》，确定访问规则后，由网络管理员开设访问帐号和设置访问权限。

4.1.6为确保含有敏感信息的系统不发生泄密事故，采取措施对敏感系统予以隔离。

采用最小权限、最少用户原则。

4.2用户访问管理4.2.1权限申请4.2.1.1授权流程部门申请——授权管理运营部审批——访问授权部门实施所有用户，包括第三方人员均需要履行访问授权手续。

申请部门根据日常管理工作的需要，确定需要访问的系统和访问权限，经过本部门经理同意后，向访问授权管理运营部提交《用户权限申请表》，经访问授权管理运营部审核批准后，将《用户权限申请表》交访问授权实施部门实施。

第三方人员的访问申请由负责接待的部门按照上述要求予以办理。

第三方人员一般不允许成为特权用户。

必要时，第三方人员需与访问接待部门签订《第三方保密协议》。

4.2.1.2《用户权限申请表》应对以下内容予以明确：A)权限申请人员；B)访问权限的级别和范围；C)申请理由；D)有效期。

访问控制方针（版本号：V1.0）
更改控制页
目录
1目的 (1)
2范围 (1)
3术语定义 (1)
4内容 (1)
5相关文件 (2)
6相关记录 (2)
1目的
访问控制方针规定了逻辑访问与物理访问控制的基本原则和要求，对于访问控制所涉及的主体标识、鉴别、授权以及可追溯性的管理，都要遵守本方针。

2范围
本方针适用于公司内部以及第三方的所有访问过程。

3术语定义
访问控制：根据主体和客体之间的访问授权关系，控制访问的过程。

4内容
1)访问控制基本规则是：除明确允许执行情况外一般必须禁止；
2)访问控制必须遵照最小权限原则；
3)访问控制规则参照《信息资产管理规定》的要求；
4)对任何信息系统的访问都必须通过唯一的帐号来标识访问主体；
5)对任何信息系统的访问都必须经过对访问主体帐号合法性的鉴别方可使用
信息系统；
6)对任何信息系统的访问都必须经过授权，且权限分配有正式的记录；
7)对于重要信息系统的权限分配应该满足职责分离原则；
8)访问主体的访问权限应该具有时效性，当访问主体发生变化时应该及时更
改；
9)对重要服务器的访问权限的分配应该定期进行回顾和审查，确保访问主体
访问权限的合理性；
10)应该记录与访问操作相关的任何活动，并且要妥善保存日志记录，以备追
溯访问主体的访问行为。

具体访问控制操作参见《访问控制管理规定》。

5相关文件
《访问控制管理规定》
《信息资产管理规定》
6相关记录
无。

目录前言 (3)0 引言 (4)0.1 总则 (4)0.2 与其他管理系统标准的兼容性 (4)1. 范围 (5)2 规范性引用文件 (5)3 术语和定义 (5)4 组织景况 (5)4.1 了解组织及其景况 (5)4.2 了解相关利益方的需求和期望 (5)4.3 确立信息安全管理体系的范围 (6)4.4 信息安全管理体系 (6)5 领导 (6)5.1 领导和承诺 (6)5.2 方针 (6)5.3 组织的角色，职责和权限 (7)6. 计划 (7)6.1 应对风险和机遇的行为 (7)6.2 信息安全目标及达成目标的计划 (9)7 支持 (9)7.1 资源 (9)7.2 权限 (9)7.3 意识 (10)7.4 沟通 (10)7.5 记录信息 (10)8 操作 (11)8.1 操作的计划和控制措施 (11)8.2 信息安全风险评估 (11)8.3 信息安全风险处置 (11)9 性能评价 (12)9.1监测、测量、分析和评价 (12)9.2 内部审核 (12)9.3 管理评审 (12)10 改进 (13)10.1 不符合和纠正措施 (13)10.2 持续改进 (14)附录A(规范)参考控制目标和控制措施 (15)参考文献 (28)前言0 引言0.1 总则本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。

采用信息安全管理体系是组织的一项战略性决策。

组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。

所有这些影响因素可能随时间发生变化。

信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性，并给相关方建立风险得到充分管理的信心。

重要的是，信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中，并且在过程、信息系统和控制措施的设计中要考虑到信息安全。

信息安全管理体系的实施要与组织的需要相符合。

本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。

XXX科技有限公司
信息系统访问与使用监控管理程序
编号：ISMS-B-34
版本号：V1.0
编制：日期：
审核：日期：
批准：日期：
受控状态
1 目的
为了加强信息系统的监控，对组织内信息系统安全监控和日志审核工作进行管理，特制定本程序。

2 范围
本程序适用于信息系统安全监控和日志审核工作的管理。

3 职责
3.1 综合管理部
负责对信息系统安全监控和日志的审核管理。

4 相关文件
《信息安全管理手册》
《信息安全事件管理程序》
5 程序
5.1 日志
综合管理部负责生成记录信息系统网络设备运行状况、网络流量、用户活动、例外和信息安全事件的监测日志，并保存三个月，以支持将来的调查和访问控制监视活动。

系统管理员不允许删除或关闭其自身活动的日志。

日志记录设施以及日志信息应该被保护，防止被篡改和未经授权的访问。

应防止对日志记录设施的未经授权的更改和出现操作问题，包括：
a)对记录的信息类型的更改；
b)日志文件被编辑或删除；
c)超过日志文件媒介的存储容量，导致事件记录故障或者将以往记录的事
件覆盖。

ISO27001：2013源代码安全管理规范源代码安全管理规范目录一、管理目标41、保证源代码和开发文档的完整性。

42、规范源代码的授权获取、复制、传播。

43、提高技术人员及管理人员对源代码及开发文档损伤、丢失、被恶意获取、复制、传播的风险安全防范意识。

44、管控项目程序开发过程中存在的相关安全风险。

4二、定性指标41、源代码库必须包括工作库、受控库、项目库和产品库。

(4)2、保证开发人员工作目录及其代码与工作库保存的版本相一致。

43、开发人员要遵守修改过程完成后立即入库的原则。

44、有完善的检查机制。

45、有完善的备份机制。

46、有生成版本的规则。

47、生成的版本要进行完整性和可用性测试。

48、对开发人员和管理人员要有源代码安全管理培训49、对开发人员和管理人员访问代码要有相应的权限管理410、源代码保存服务器要有安全权限控制。

411、控制开发环境网络访问权限。

4第1页共16页内部公开三、管理策略41、建立管理组织结构42、制定管理规范43、制定评审标准54、执行管理监督5四、组织结构51、源代码的管理相关方52、组织职责53、与职能机构的协同管理84、应维护与特定相关方、其他专业安全论坛和专业协会的适当联系。

8五、管理制度（见文档《源代码安全管理制度.docx》）8六、管理流程81、服务器部署流程82、源代码管理软件配置流程93、源代码创建修改流程94、版本控制流程105、源代码测试流程（组件测试）116、组件发布流程117、软件发布流程128、项目人员获取版本流程129、夕卜部借阅流程1210、源代码目录工作状态安全监控流程1311、源代码目录和项目权限安全监控流程1312、与源代码相关人员离职审查流程13七、表单141、见B07离职交接表单142、见B09《重要应用系统权限评审表》143、见（B09）《重要服务器-应用系统清单》144、外部借阅审批表145、软件获取申请表146、信息安全规范检查记录表15一、管理目标1、保证源代码和开发文档的完整性。

容量管理策略
发布部门技术部生效时间2013年03月01日批准人文件编号XXXX-A-03-20
介绍雇员工作在信息安全区域，工作中需要使用公司的各种信息处理设施，需要访问
公司的各种信息资产，因此每一个雇员有义务和责任保护好公司信息资产的安全。

目的为了最小化系统失效的风险，确保公司的信息系统容量满足要求，对公司信息系统容量管理活动实施控制，特制定本策略。

适用范围
该策略适用于公司的任何雇员，包括信息处理设施设备和技术资源。

适用于对公
司信息系统容量规划的活动。

术语定义略
雇员访问策略
应对资源的使用进行监测、调整、并对未来容量增加的需求作出预测，以确保所需的系统性能。

1）应对每个新的和正在进行的活动都确定容量需求。

应进行系统调整和系统监测以确保和改进（需要时）系统的可用性和有效性。

检测控制应到位，以便及时发现问题。

2）未来容量需求的预测应考虑组织信息处理能力中新业务和系统的需求以及当前和预计的趋势。

3）需特别关注采购周期长或费用高昂的所有资源；因此，管理者应监测关键系统资源的使用情况。

他们应标识出资源的使用趋势，特别是与业务应用或管理信息系统工具相关的资源。

4）管理者应利用这些信息来识别和避免对系统安全或服务造成威胁的潜在瓶颈和对关键人员的依赖，并策划适当的补救措施。

惩罚违背该方针可能导致：员工被解雇、合同方或顾问的雇佣关系终止、实习人员失去继续工作的机会、员工受到经济性惩罚等；另外，这些人员的信息资源访问权以及公民权可能受到侵害，甚至遭到法律起诉。

引用标准
略
第 1 页共 1 页。

ISO27001-2013信息安全管理体系
风险评估报告
一、实施范围和时间
本公司ISMS所涉及的相关部门以及相关业务活动。

本此风险评估的实施时间为2019年3月16日至2019年3月20日。

二、风险评估方法
参照ISO/IEC27001和ISO/IEC27002标准，以及《GB/T 20984-2007信息安全技术信息安全风险评估规范》等，依据公司的《信息系统管理制度》确定的评估方法。

三、风险评估工作组
经信息中心批准，此次风险评估工作成员如下：
评估工作组组长：xxx
评估工作组成员：xxx、xxx 、xxx、xx
四、风险评估结果
4.1 信息资产清单
各部门的信息资产清单见部门信息资产清单。

4.2重要资产面临威胁和脆弱性汇总
重要资面临的威胁和脆弱性分别见附件一和附件二。

4.3风险结果统计
本次风险评估，共识别出信息安全风险9个，不可接受的风险2个，具体如下：
五、风险处理计划
风险处理计划见附件四
附件一：重要资产面临的威胁汇总表
表1-1：重要硬件资产威胁识别表
表1-2 重要应用系统资产威胁识别表
附件二：重要资产面临的脆弱性汇总表
表 2-1 重要资产脆弱性汇总表
附件三：风险评估问题列表
附件四：风险处理计划
根据本次风险评估结果，对不可接受的风险进行处理。

在选取控制措施和方法时，结合公司的财力、物力和资产的重要度等各种因素，制定如下风险处理计划。

该计划已经信息安全领导办公室审核批准。