ISO27001-文件控制程序

ISO27001信息保密控制程序1 目的为更好的管理IT信息内的业务、发文、经营等活动产生的各类信息，确保信息受到适当级别的保护，避免不恰当使用或泄漏以避免信息遭受经济损失或法律纠纷，特制定本管理程序。

2 范围本文件适用于下列涉密事项的管理：2.1 IT信息重大决策中的秘密事项。

2.2 IT信息未付诸实施的经营战略、方向、规划、项目及决策。

2.3 IT信息掌握的合同、协议、意向书及可行性报告、主要会议纪要/记录。

2.4 IT信息财务预决算报告及各类财务报表、统计报表。

2.5 IT信息掌握的尚未进入市场或政府机构尚未公开的各类信息。

2.6 IT信息人事档案及人事信息。

2.7 其他驻场工作人员或其他组织确定保密的事项。

3 相关文件无4 职责4.1 IT信息机密的管理最高责任者为总经理。

4.2 文档管理员负责管理IT信息门的秘密及敏感信息。

4.3 全体员工都附有遵守保密承诺、保守信息秘密的义务。

5 程序5.1 秘密事项的等级本程序中所指的秘密事项分：机密事项、秘密事项、敏感信息事项共3类。

5.1.1 “机密事项”是指：不可对外公开、若泄露或被篡改会对经营造成严重损害，或者由于业务上的需要仅限有关人员知道的事项；5.1.2 “秘密事项”是指：不可对外公开、若泄露或被篡改会对经营造成损害，或者由于业务上的需要仅限有关人员知道的事项；5.1.3 “敏感信息事项”是指：为了日常的业务能顺利进行而向员工公开、但不可向信息以外人员随意公开的事项。

以上3类事项以下简称秘密事项。

5.1.4 一般事项秘密事项以外，仅用来传递信息、昭示承诺或对外宣传所涉及的事项。

5.2 秘密的指定5.2.1 IT信息机密事项由总经理指定，信息秘密由产生该事项的相关负责人员或其授权人员指定，经总经理确认后将认定为秘密。

敏感信息由产生该事项的相关副总经理级人员或其授权人员指定。

指定秘密事项时，应参考本文件所附的示例，并充分考虑该事项的性质及重要程度等因素。

14、信息安全事件管理程序###-ISMS-0108-20231 目的为对公司信息安全的事件管理活动实施控制，特制定本程序。

2 范围适用于对信息安全的事件管理。

3 职责3.1 综合部负责信息安全的事件的收集、响应、处置和调查处理。

3.2 相关部门负责信息安全事件的及时报告，及时落实相关的处理措施。

4 程序4.1信息安全弱点定义信息安全弱点是指被识别的一种系统、服务或网络状态的发生，表明一次可能的信息安全策略违规或某些防护措施失效，或者一种可能与安全相关但以前不为人知的一种情况。

4.2信息安全弱点报告信息安全弱点的发现者（包括使用公司信息系统和服务的员工和合同方）应将任何观察到的或可疑的的系统或服务中的信息安全弱点向信息安全管理小组报告。

4.3信息安全弱点处理流程1信息安全事件5.1信息安全事件定义信息安全事件：一个或一系列意外或不期望的信息安全事态，它/它们极有可能损害业务运行并威胁信息安全。

信息安全事件是指危及公司发展与业务运作，威胁公司信息安全的其他情况，可能与信息安全相关的现象、活动、系统、服务或网络状态等处于异常情况。

对达到一定严重程度，或造成一定损失的信息安全事件，本程序定义为严重事件。

5.2信息安全事态的定义信息安全事态：已识别的一种系统、服务或网络状态的发生，指出可能违反信息安全方针或控制措施失效，或者一种可能与安全相关但以前不为人知的情况。

5.3信息安全事件分级5.4信息安全事件处理流程5.4.1信息安全事件的报告事件的发现者应按照以下要求履行报告任务：a) 各个信息管理系统使用者，在使用过程中如果发现软硬件故障、事件，应该向该系统管理部门和信息安全管理小组报告；如故障、事件会影响或已经影响业务运行，必须立即报告相关部门，采取必要措施，保证对业务的影响降至最低；b) 发生火灾应立即触发火警并向信息安全管理小组报告，启动消防应急预案； c) 涉及组织的秘密、机密及绝密泄露、丢失应向信息安全管理小组报告； d) 发生重大信息安全事件,事件受理部门应向信息安全管理员和有关领导报告。

记录控制程序1目的为了对公司工作过程中产生的记录进行控制，保证体系的有效运行，为采取纠正、预防和改进措施提供依据，特制定本程序。

2适用范围本程序适用于公司体系运行规定的所有记录，包括信息安全事件记录（ISMS运行产生的记录）、IT服务管理记录（IT服务管理体系运行情况证据）、技术记录（业务活动的证据）。

3职责与权限3.1体系建设和维护部门✧负责制定各类记录的编码规定；✧负责搜集整理并及时更新各部门的记录样本；✧负责保存各种记录样本；✧负责监督检查各部门记录的规范操作情况。

3.2各部门✧负责本部门产生的记录的填写、收集、标识与保管；✧及时更新记录的格式；✧向体系建设和维护部门提供更新过的最新的记录样本；3.3文件管理部门✧负责保管各部门超过一年的记录。

4程序和工作流程4.1记录的定义记录：阐明所取得的结果或提供所完成活动的证据的文件。

记录是一种特殊的文件，一般不允许更改，通常不需要采用控制版本的活动。

当表格中填写了内容，表格即成了记录。

4.2记录的标识标识一般包含如下要素：编码、编号、记录名称、记录日期、分类代码、部门代码、页码编号（第几页、共几页）等。

各部门根据工作的需要设计各种记录的样式，根据《资产分类及编码说明》关于文件资产的规定对记录进行唯一性编码，对本部门的所有记录进行登记，注明记录名称、记录编码及编号、记录归档后的保存地点、记录保存期限等信息。

将最新的索引信息提交一份电子版本给负责体系建设的部门备案。

4.3记录的填写记录的填写必须及时、真实、准确、清晰、完整，易于识别和检索。

对IT服务管理工作有重要影响的IT服务管理记录，或者对信息安全造成严重影响的安全记录，必须有责任人签名。

记录的签名必须签全名，不可简化或者缩写。

纸版记录不允许用铅笔填写。

4.4记录的更改记录一旦形成，不能随意更改。

若发现数据填写错误确需更改时，采用杠改法，即在更改处划一横线，并由更改人在更改处签全名和更改日期。

4.5记录的整理与归档各部门按照本部门产生记录文档的数量，每半年或者每一年整理一次记录，编制目录索引，按照时间先后顺序排列，装订成册。

ISO27001-软件开发安全控制程序软件开发安全控制程序（依据ISO27001标准）1. 目的为规范公司软件开发的安全管理，包括软件系统从计划、需求、设计、开发、测试、部署过程中的安全管理，特制定本程序。

2. 范围本程序适用于公司的软件系统在需求分析、开发测试、上线运行阶段的安全管理，包括软件外包开发的安全管理。

3. 职责与权限3.1 技术部负责公司相关信息系统的软件开发、外包软件开发过程的安全管理，以及软件开发相关文档及软件源代码的归档保管。

3.2 其他部门其他相关部门协助技术部进行软件/系统需求收集、分析、系统测试等工作。

4. 相关文件a)《软件控制程序》5. 术语定义无6. 控制程序6.1 软件开发任务提出公司根据客户反馈和调研，编写用户需求分析报告，经过公司总经理批准后，交付技术部进行设计开发。

6.2 软件开发的策划技术部在接到用户需求后，首先要判断可行性，如果接受，技术部根据用户申请书和要求部门共同协商，编写软件设计开发计划，明确设计开发的各个阶段评审与测试要求及设计开发人员的职责与权限，设计开发计划方案由要求部门和技术部负责人共同批准后予以实施；必要时，如果对计划进行更改也需要获得双方经理共同批准。

软件设计开发计划应包括以下内容：a)软件功能要求；b)详尽的业务流程；c)信息安全要求；d)时间进度要求；e)设计开发的各个阶段评审与测试要求；f)设计开发人员的职责与权限；g)其它要求，例如在复杂系统环境下，应考虑业务信息系统互联相关的信息，并考虑安全保护。

6.3 软件开发方案的评审及开发过程控制6.3.1技术部应根据软件设计开发计划的要求，编制软件设计开发方案，由技术部负责人对方案的技术可行性及系统的安全性进行确认。

6.3.2对于大型软件开发方案应由设计开发人员、应用部门（用户）人员、内部IT 方面的专家共同进行评审。

方案确认与审批的结果及任何必要的措施应予以记录。

6.3.3软件设计开发方案应包括以下内容：a)确定软件开发工具；b)应用系统功能；c)业务实现流程；d)输入数据确认要求；e)必要时，系统内部数据确认检查的要求；f)输出数据的确认要求；g)应用系统的安全要求；h)对系统硬件配置的要求；i)系统验收标准。

##有限公司信息安全管理体系文件管理评审管理程序###-ISMS-0005-2023密级内部公开受控状态受控分发号01版本A/0编制：## 审核：## 批准：######-##-##发布 ####-##-##实施修改履历4、管理评审管理程序###-ISMS-0004-20231 目的通过最高管理者对信息安全管理体系的充分性、有效性、适宜性的评审，不断改善体系及其运行效果，以确保信息安全管理体系持续有效地满足标准的要求,确保本公司信息安全方针和目标适应公司自身发展的需要,以不断完善信息安全管理体系,需求持续改进的机会,特制定本程序。

2 范围本程序适用于对本公司信息安全管理体系的管理评审活动。

3 职责3.1最高管理者负责主持管理评审活动,对信息安全管理体系的现状和适应性进行正式评价。

3.2管理者代表负责评审后的跟踪检查及协调落实改进措施中的问题；协助最高管理者、做好有关管理评审的各项工作。

3.3职能部门负责准备并提供评审所需的与部门有关的资料，准备改进重点好意见和建议。

4、措施和方法4.1总则4.1.1管理评审每年至少进行一次,间隔时间不超过1年。

4.1.2管理评审在内部信息安全管理体系审核的基础上进行,但在出现下列情况时,也应适时组织管理评审:1）当本公司的组织机构、产品范围、资源配置发生重大变化时；2）当发生重大信息安全问题或顾客关于信息安全有严重投诉或投诉连续发生时；3）当市场需求发生重大变化时；4）当最高管理者认为有必要进行时；5）当法律法规或标准及其他要求有变化时；6）进行外部审核时；7）当信息安全审核中发现严重不合格时。

4.1.3管理评审应针对信息安全管理体系的适宜性、充分性和有效性进行评价。

4.1.4对是否需要更改本公司的信息安全管理体系方针和目标、指标作出评价。

4.1.5评审信息安全管理体系的现行状况和改进机会。

4.2评审的输入4.2.1管理评审主要涉及信息安全管理体系运行的一般情况：1）内部或外部审核所发现的问题和审核总结报告（包括上次管理评审跟踪措施）。

文件控制程序目录1. 目的 (3)2. 范围 (3)3. 职责与权限 (3)4. 相关文件 (3)5. 术语定义 (3)6. 控制程序 (4)7. 附件、记录 (7)1. 目的制订本程序以确保公司文件制订、修订、发放、回收、废止，保管均得到有效的管制，使过时作废的文件及时撤离各使用场所，并能随时获得有效之最新版本。

2. 范围凡属本公司与信息安全管理体系有关的管理文件和资料的制作与管理均适用之。

(例如：管理手册、程序文件、作业标准文件、指导书、技术资料、表格、ISO 27001标准有关的文件等)。

3. 职责与权限3.1 内部文件管制权限表：3.2 （策划和运行管理体系所需）外来文件管制权限表4. 相关文件a) 记录控制程序5. 术语定义5.1 管理手册(一阶文件)：是为让客户或公司员工了解公司信息安全管理体系要项的主要文件。

5.2 程序文件(二阶文件)：就是将如何进行活动的步骤，管制项目及管制结果记录的一种管理文件。

例：管理责任、合约审查、内部审核等质量手册内所订定的各项程序。

5.3 作业标准文件(三阶文件)：为支持管理程序于执行阶段时重要的依据或指导文件。

例：作业指导书、检验规范等。

5.4 表单(四阶文件)：表单是为显示管理结果所使用的单据。

例：“空白表单”。

5.5 受控文件：受更改控制的文件。

5.6 非受控文件：不受更改控制的文件。

(例如：在投标时提供给客户的《管理手册》等)。

6. 控制程序6.1 文件之制定与修订作业6.1.1 文件制定需求之时机：a) 由于各部门运作上之必要而需制定。

b) 由于各部门间为协调之必要而需制定。

c) 内部审核或管理审查决议而需制定。

d) 由于经营政策上之需要，奉上级批示制定。

6.1.2 文件制定、修订：文件若经稽核单位或制定部门、运作部门认为不合实际需要，需增订修改时，得由提出单位填写文件制修废申请单，经部门经理审核，管理代表核准后，由制定单位研拟增修之。

注：文件首次制定可不用文件修废申请单。

访问控制管理规定（版本号：V1.0）更改控制页目录1目的 (1)2范围 (1)3术语定义 (1)4内容 (1)4.1身份标识管理 (1)4.2口令管理 (1)4.3权限管理 (2)4.4网络访问控制 (3)4.5物理环境访问控制 (3)5 相关文件 (3)6 相关记录 (3)1目的本规定旨在建立起一个明确的信息安全访问要求，加强内部员工以及第三方人员的访问管理，防止未经授权的访问，确保访问操作的合理性。

2范围本规定适用于xxx科技股份有限公司全体员工和第三方人员。

3术语定义无4内容本规定主要包括身份标识管理、口令管理、权限管理、网络访问控制以及物理环境访问控制五大部分，且必须满足《访问控制方针》的基本要求。

4.1身份标识管理1)任何身份标识都不可以体现该访问主体的访问权限；2)邮件系统帐号标识统一采用“名的拼音首字母”＋“.”+“姓的拼音全称”；3)对于任何信息系统，该系统的所有的用户应有一个唯一的识别码（用户ID），并且仅供本人使用。

4.2口令管理1)口令设置、保存与传送a.所有的用户帐号都必须设置口令。

b.个人电脑等口令由个人保管，遗忘时联系IT人员进行口令重置；c.服务器口令由系统管理员保管；d.重要口令传送需纸质信封、手机短信等其他方式寄送，口令收到后应及时销毁口令原件；2)口令选择规则a.个人电脑口令长度应该不低于6位，服务器口令长度应该不低于8位；b.口令要满足复杂度要求，可由大小写字母和特殊字符组成。

3)口令变更a.服务器口令应该每三个月更改一次口令；b.用户或管理员如发现口令已泄露或怀疑被泄露，应立即更改口令。

4)初始口令不能为空，且要避免与计算机名或者帐号名相同。

4.3权限管理1)不同的用户、不同的组，在访问相关的信息系统时，应该分配不同的权限；用户的权限的分配应按“满足用户工作需要的最小权限”原则进行，并使用《权限申请表》记录权限的申请和审批；2)当员工的岗位和工作职责发生变化时，应该及时更新其访问权限；3)每隔六个月以及在系统发生重大变更如系统重装以后应检查用户的权限分配；4)每隔三个月进行一次管理员帐号及关键应用系统或特权用户帐号的检查；5)应严格控制能够覆盖操作系统和应用控制的特权操作用户。

17、信息系统建设管理程序###-ISMS-0306-20231 目的为了对公司信息系统建设的策划、实现、测试、交付验收等进行有效的控制。

2 范围本程序规定了公司信息系统建设的策划、实现、测试、交付验收等控制要求，适用于信息系统的建设控制。

3 职责3.1技术部负责信息系统建设的策划、实现、测试、交付验收管理。

3.3 各部门负责在业务范围内提出信息系统建设需求及其安全需求。

4 程序4.1 信息系统建设策划4.1.1信息系统的建设按照项目管理来开展工作，项目策划主要为获得信息系统的需求，主要包括以下内容：项目功能要求、信息安全要求、时间进度要求、测试与验收要求、其他要求等。

可以通过信息系统安全需求清单或协议进行明确。

4.2 信息系统建设实现4.2.1组织进行信息系统建设实现一般通过外购、外包开发、自主开发等形式，按照如下的控制方式：✧信息系统外购按照4.3来控制；✧信息系统外包开发按照4.4来控制；✧信息系统自主开发按照《软件开发管理制度》。

4.3 信息系统外购4.3.1 信息系统外购应该遵守《组织环境及相关方信息安全管理程序》。

供应商必须在信息系统需求、实现过程、测试与交付验收过程中关注信息安全要求，确保满足相关要求。

4.4信息系统外包开发控制4.4.1 项目外包应该遵守《信息处理设施管理程序》。

外包方应明确项目设计开发的安全技术要求，由技术部审核，报分管公司负责人批准后，技术部与外包方签订外包合同，如涉及公司秘密，还应签订保密协议，在协议中明确规定安全保密要求。

44.2 项目投入使用前，应由外包方及我方技术人员共同进行测试，测试结束应填写《测试报告》，测试符合技术协议要求且经委托部门认可后，方可投入试运行；试运行结束后且使用中发现的问题已经得到圆满解决后，双方进行正式的验收，签署《项目验收报告》。

4.4.3 外包方在我公司进行设计开发活动，应事先得到委托部门负责人的授权，签订协议，有我方人员在场的情况下方可进行。

修订日期：2019.12.18修订日期：2019.12.18信息安全风险评估管理程序1 适用本程序适用于本公司信息安全管理体系（ISMS）范围内信息安全风险评估活动。

2 目的本程序规定了本公司所采用的信息安全风险评估方法。

通过识别信息资产、风险等级评估，认知本公司的信息安全风险，在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，保持本公司业务持续性发展，以满足本公司信息安全管理方针的要求。

3 范围本程序适用于第一次完整的风险评估和定期的再评估。

在辨识资产时，本着尽量细化的原则进行，但在评估时我司又会把资产按照系统进行规划。

辨识与评估的重点是信息资产，不区分物理资产、软件和硬件。

4 职责4.1 成立风险评估小组办公室负责牵头成立风险评估小组。

4.2 策划与实施风险评估小组每年至少一次，或当体系、组织、业务、技术、环境等影响企业的重大事项发生变更、重大事故事件发生后，负责编制信息安全风险评估计划，确认评估结果，形成《信息安全风险评估报告》。

4.3 信息资产识别与风险评估活动各部门负责本部门使用或管理的信息资产的识别，并负责本部门所涉及的信息资产的具体安全控制工作。

4.3.1 各部门负责人负责本部门的信息资产识别。

4.3.2 办公室经理负责汇总、校对全公司的信息资产。

修订日期：2019.12.184.3.3 办公室负责风险评估的策划。

4.3.4 信息安全小组负责进行第一次评估与定期的再评估。

5 程序5.1 风险评估前准备5.1.1 办公室牵头成立风险评估小组，小组成员至少应该包含：信息安全管理体系负责部门的成员、信息安全重要责任部门的成员。

5.1.2风险评估小组制定信息安全风险评估计划，下发各部门内审员。

5.1.3必要时应对各部门内审员进行风险评估相关知识和表格填写的培训。

5.2 信息资产的识别5.2.1 本公司的资产范围包括：5.2.1.1信息资产1)数据文档资产：客户和公司数据，各种介质的信息文件包括纸质文件。

12、安全区域管理程序###-ISMS-0201-20231 目的为明确公司安全区域及控制要求，防止非授权人员对公司生产经营场所的物理访问、损坏和干扰，有效保障公司的安全生产和工作稳定，特制订本程序。

2 范围本程序适用于公司安全区域的管理。

3 职责3.1 综合部拟定安全区域管理制定，确定部门安全区域的划分。

负责公司安全区域的日常安全管理工作。

3.2 相关部门负责本部门所管辖范围内安全区域的管理。

对进入办公区的员工及外来访客进行确认和控制。

负责对非正常进入安全区域的人员发生的突发事件进行上报、调查和处理。

4 程序4.1 安全区域4.1.1 公司安全区域分为重要安全区域和一般安全区域。

4.1.2 各部门应识别重要安全区域，建立和保持《安全区域安全控制方案》，经总经理批准后实施。

4.1.3 重要安全区域应有安全周界，包括如安检门、门禁、防盗门窗、红外报警器、视频监控装置和专人管理等安全手段，以上安全手段可根据各部门情况不同进行规划安装。

4.2 一般安全区域的物理访问4.2.1员工进入一般安全区域，必须凭钥匙进入。

4.2.2外来人员（联系工作、办理业务等）进入办公区域，须得到相关部门或者被拜访人确认并在接待人员或者被拜访人陪同下，方可进入，来访者只允许访问经授权的目标。

4.3 重要安全区域的出入控制管理4.3.1 外来人员因工作或业务到公司找管理者，须经相关部门或者管理者本人同意后在公司相关人员陪同下方可进入办公区域。

各部门在进入该区域前，由相关陪同人员告知重要安全区域的相关管理策略，并监督其行为。

4.3.2 除授权人员外，凡进入重要安全区域需填写《重要安全区域访问申请表》，经相关部门或负责人批准，做好访问登记，并且安排技术人员全程陪同。

4.4 安全区域的检查管理4.4.1 各部门根据事先规划好的一般安全区域和重要安全区域不同要求，严格执行公司相关的规定，防止对安全区域内场所的非授权物理访问、损坏和干扰，有效保障各部门信息的安全，保证各部门生产经营发展。