ISO27001-2022最新版信息安全管理体系规范文件全套（汇编）.docx

编号：ISMS-WOO-2023版本号：V1.0受控状态：受控信息安全指导文件(ISO/IECFDIS27001:2022)文档信息文档编号：ISMS-WOo-2023文档分类：内部公开-受控编写：审核：批准：初次发布日期:2023-1-1修改日期:2023-1-1发布H期:2023-1-1变更记录变更日期版本变更说明编写审核批准2023-1-1A/0创建目录21 .岗位职责说明书32 .数据备份规范83 .公司内外数据交换规范94 .硬件设备安全规范105 .网络安全规范126 .口令控制规范147 .清洁桌面和清屏策略168 .介质使用管理规范179 .信息系统安全管理规范2010 .违规惩罚制度2311 .法律法规识别及合规性评价规范2412 .知识产权管理规定2613 .环境设施与物理设备管理规定2814 .信息资产管理规定3315 .计算机文件保密制度3716 .保密性协议评审3917 .移动计算机安全策略4218 .恶意软件控制管理规定4319 .消防管理制度4520 .密码策略4721 .公司公章证照管理制度5022 .电子邮件使用规范5523 .远程访问管理制度5724信息系统安全集成服务规范6125信息系统运维服务规范691.岗位职责说明书岗位名称总经理所属部门总经办直接上级无直接下级各部门经理岗位职责1 .负责信息安全管理手册的批准；2 .负责安全方针、安全目标的批准；3 .负责任命管理者代表；4 .负责主持管理评审，定期审查质量管理体系运行情况及其适用性、充分性、有效性；5 .制定和实施公司总体战略6 .制定和实施公司年度经营计划7 .建立良好的沟通渠道8 .建立健全公司统一、高效的组织体系和工作体系9 .主持公司日常经营工作10 .领导业务中心、总经办、产品中心、财务部开展工作资格要求：1、大学本科以上；2、相关行业5年或以上企业管理经历；3、通晓企业管理知识，具备技术管理、财务管理、质量管理等方面的知识；4、了解公司经营技术知识；5、具有很强的领导能力、判断与决策能力、人际能力、沟通能力、影响力、计划与执行能力、客户服务能力。培训要求1、ISO27001和ISO20000基本知识培训；2、信息安全和信息技术服务管理手册；3、管理类作业指导书；4、产品基本知识；5、公司规章制度；6、有关法律法规。特殊资格要求无岗位名称行政主管所属部门总经办直接上级总经理直接下级行政专员岗位职责1 .负责为公司管理层提供支持，并负责跟踪落实总经理和总经理办公会的决议；2 .负责保证公司内部管理体系的完整和平稳运行；3 .负责制定办公室工作计划,实现工作目标；4 .负责公司形象推广、公关活动；5 .公司企业文化建设；6 .统筹管理公司后勤服务工作；7 .部门内部管理工作；8 .完成总经理交办的其他任务资格要求1、企业管理或相关专业；2、专科以上学历，相关3年或以上管理经历；3、掌握相应的行政管理、企业形象策划和企业文化建设的知识，了解公关宣传的常用做法；4、熟练使用自动化办公软件，具备基本的网络知识5、领导能力、判断与决策能力、人际能力、沟通能力、影响力、计划与执行能力培训要求1、IS027001和ISO20000基本知识培训;2、信息安全和信息技术服务管理手册；3、管理类作业指导书；4、产品基本知识；5、公司规章制度；1、相关法律法规。特殊资格要求无岗位名称人力资源所属部门人事行政部直接上级/直接下级助理岗位职责1、协助总经理制定人力资源战略规划，为重大人事决策提供建议和信息支持2、负责公司人力资源战略的执行3、全面负责人力资源管理的各项事务4、负责其他人事事务5、负责总经办内部的组织管理6、完成总经办主管交办的其他任务资格要求：1、大学本科以上2、5年以上工作经验，3年以上管理经验，在部门经理岗位上工作1年以上3、精通人力资源管理知识，掌握行政管理、法律等知识4、熟练使用自动化办公软件，具备基本的网络知识5、具有很强的领导能力、判断与决策能力、人际能力、沟通能力、影响力、计划与执行能力培训要求1、IS027001和IS020000基本知识培训;2、信息安全和信息技术服务管理手册；3、管理类作业指导书；4、产品基本知识；5、公司规章制度；6、有关法律法规。特殊资格要求无岗位名称部门经理所属部门业务中心直接上级总经理直接下级商务人员岗位职责：1、根据公司发展战略，组织制定销售战略规划；2、掌握市场动态，组织收集行业政策，分析市场发展趋势；3、建立销售渠道和销售人员；4、执行销售动作，完成销售任务；5、负责项目回款；6、维护客户关系；7、开展公司宣传，推动品牌建设。资格要求1、大学本科以上2、3年以上工作经验，1年以上部门管理工作经历3、通晓行业动态，通晓市场营销相关知识，具备法律等方面的知识，了解公司所经营行业知识4、熟练使用自动化办公软件，具备基本的网络知识5、具有很强的领导能力、判断与决策能力、人际能力、沟通能力、影响力、计划与执行能力培训要求1、IS027001和IS020000基本知识培训；2、信息安全和信息技术服务管理手册；3、管理类作业指导书；4、产品基本知识；5、公司规章制度;6、有关法律法规。特殊资格要求无岗位名称部门经理所属部门产品中心直接上级技术总监直接下级技术人员岗位职责研究技术发展方向，根据公司发展规划，制定公司技术发展规划；分行业分技术类别开展技术研究，对项目监理和咨询提供技术支持，对项目的实施情况进行评估，协助进行项目实施质量管理；对项目实施过程中的技术难点组织公关；负责测试评估、安全集成项目的实施。 制定公司技术发展规划； 分行业分技术类别开展技术研究； 提供技术支持，对项目实施过程中的技术难点组织公关； 对项目的实施情况进行评估，协助进行项目实施质量管理； 负责测试评估项目的实施，编制测试评估报告。 负责安全集成项目的实施。资格要求1、具有二年以上相关管理经验；2、了解微服务架构理念、实现技术；6、参与过大型复杂业务系统架构设计开发者优先；7、拥有和工作年限相称的广度和（或）深度，有较强的逻辑思维能力，善于分析、归纳、描述、沟通、和解决问题。培训要求1、IS027001和ISO20000基本知识培训;2、信息安全和信息技术服务管理手册；3、管理类作业指导书；4、行业基本知识；5、公司规章制度；6、相关法律法规。特殊资格要求无2.数据备份规范ISMS-WI021目的为了防止各种由硬件、软件和人为误操作造成的数据丢失，尽可能在最短的时间内恢复数据，最小化数据的丢失，特制定本文件。2范围主要指对公司的生产、经营活动相关的重要数据的备份，主要内容为：网络服务器操作系统、客户端操作系统及应用软件、数据库信息、网站信息、文档数据库、共享资源平台，邮件数据信息等。3职责由总经办负责建立数据备份系统，及时做好重要数据的备份工作，防止系统、数据的丢失。公司各个部门的电脑使用人负责所使用电脑的数据备份工作。4备份指导4.1 机房服务器的数据备份由产品中心人员专门负责，并认真填写重要信息备份记录表。4.2 一旦发生数据丢失或数据破坏等情况，必须由总经办进行备份数据的恢复，以免造成不必要的麻烦或更大的损失。4. 3公司文件服务器采用2块硬盘同时工作，硬盘间互做镜像备份。4.4 对服务器的操作系统进行完全备份，以备灾难恢复。4.5 域控制器操作系统和邮件服务器操作系统每周备份一次，备份工作尽量安排在非工作时间，减少运行负载。备份完成后及时将备份文件异地妥善保存，并做好标识和记录。4.6 客户端电脑操作系统由产品中心统一安装，将系统文件备份到非系统盘符中，以便系统故障进行恢复。4.7 客户端电脑使用人每周至少备份数据文件一次，在各部门主管的监督下进行。备份文件统一存放在公司文件服务器中，每两周通知系统管理员进行异地备份操作。4. 8制作的服务数据或外来的数据涉及业务的每个月备份一次。4.9系统软件经过较大改动后，必须对系统进行重新完全备份；系统软件经过部分改动，必须进行差量或增量备份。4.10备份数据和存储介质要妥善保管，集中和异地保存，保存期限至少两年。保管工作由专人负责，严格保密，保管地点应有防火、防热、防潮、防尘、防磁和防盗设施。4.11对备份介质要定期检查磁性的可用性，若发现介质已经不能使用，应及时更新介质并对重要数据进行转存处理。3.公司内外数据交换规范ISMS-WI031目的为了保证数据的安全性和有效性，保证数据信息不被非法访问，有效地控制信息交换，特制定本策略。2范围本策略主要涵盖公司内部和内部与外部交换数据的管理，保证数据的保密性和有效性。3职责由产品中心负责建立数据交换控制策略，统筹公司数据交换的管理。公司各个部门的电脑使用人提高数据保护意识，安全有效地进行数据交换。4工作内容及方法4.1 产品中心负责建立信息交换策略、程序和控制措施，以保护通过使用各种类型的通信设施的信息交换。4.2 公司配备专门的代理服务器，安装双网卡隔离外网网段和内网网段。服务器安装防火墙,对内网和外网的信息交换进行控制。4.3 公司局域网部署独立的邮件服务器，负责内部之间和内外部电子邮件的传递，通过防火墙进行发布。4.4 公司局域网部署文件服务器，用于内部部门间数据的交换，依照部门建立独立的文件夹和个人文件夹，并分配用户的使用权限。4.5 公司内部数据的交换涉及保密的，必须通过电子邮件进行传递，附件文件需要增设密码,点对点密码通讯，保证数据的保密性。4.6 服务数据交换规定：4 .6.1服务数据文件由业务中心交给总经办，检验数据并与业务单核对无误后签字确认。5 .6.2总经办将处理后的数据文件刻录光盘或拷贝到专用移动介质，然后拷贝到内部相关电脑上，交接并签字确认。4.6.3拷贝完毕光盘交资料室存档，资料管理员核对无误后签字确认。4.6.4总经办定期按照数据备份规范进行数据文件备份。4.6.5数据文件待使用并检验完毕后，总经办进行数据删除，删除后记录删除文件批次。4.5总经办负责建立和实施保护与业务系统互联的信息的措施。4.硬件设备安全规范ISMS-WI041目的和适用范围为规范在公司范围内的个人PC机（电脑）及笔记本电脑等硬件设备设施的使用，防止因违规造成的设备损坏及公司重要信息、数据的泄露或丢失，特制定本文件。本规定主要涵盖公司范围内的所有涉及信息安全的硬件设备，主要内容为：网络服务器、客户端计算机、UPS、路由器、网络交换机、打印机、传真机、复印机、显示器、笔记本电脑、可移动存储介质等。2职责所有员工负责所使用范围内的电脑等硬件设备的日常安全管理，总经办负责公司所有计算机的维修和维护，并负责资产管理及安全防护。3工作内容及方法3.1电脑的日常使用3.1.1电脑的网络接入电脑在初始化时为每台PC分配有唯一的登录账户，员工不得随意更改所使用电脑的IP地址，更不得使用他人的账户登录，只允许使用自己的账户接入公司网络。3.1.2电脑的防病毒软件1）所有员工的电脑在接入公司网络时都必须安装网络版的防病毒软件。2）所有员工不得随意卸载电脑上的防病毒软件，若发现防病毒软件出现问题应及时通知总经办进行解决。3）总经办每日早上更新病毒库服务器，病毒库服务器将新的包分发到每一台电脑上。4）各类存储介质，凡未经过系统专门进行病毒扫描程序检查的，严禁在公司的任何计算机上使用。3.L3电脑的USB端口均已关闭。3.1.4电脑时钟进行同步设置。3.1.5电脑软件安装任何人员不得随意在电脑上安装软件，需要安装软件时，向总经办提出申请，由总经办进行软件的安装。任何人员也不得随意升级电脑上安装的软件，只能通过总经办提供的升级包进行软件更新，在软件更新前做好备份。3.1.6电脑用户设置所有员工的电脑管理员账号密码都由总经办设置，该账号只用做特殊情况的使用，个人不允许登录。3.1.7电脑口令及屏保设置1）所有的电脑须设置符合规定的登录口令，所设置的口令只能由使用人知道，其他人员无权知晓。2）所有人员的电脑口令须定期的更新（每三个月）。3）所有电脑的屏保都由域服务器统一分配下来，并使用密码保护功能，等待时间不得长于5分钟。离开工位时必须启动屏保（总经办通过域服务器策略设置）。3.1.8电脑日常维护1）使用者应爱护电脑及相关设备，不可以在电脑上涂画、张贴，对电脑设备应按规范要求操作，发现故障，应及时报总经办维修。2）每台电脑必须正确使用，非维护人员不能拆开电脑的任何部件或安装任何设备（光驱、软驱、MODEM）,不能带电插拔电脑的任何配件（键盘、显示器等）。3）使用者不得随意变更电脑及相关设备的位置和更改电脑及相关设备的系统设置，任何部门或使用者要搬动电脑时必须经部门主管同意，并通知总经办变更资料。4）电脑主机不要直接摆放在地上，以免在清洁地板时意外损坏电脑。5）使用者在下班时，要确保电脑或相关设备已关闭，特别是共用的电脑，最后使用者要在离开前退出系统并关闭电脑、显示器、电源；公司内部邮件系统只作为办公用，各用户不得利用公司的邮件系统传输任何与工作无关的邮件，所有邮件已在电脑机做了备份，电脑使用者应当定期经常删除（彻底删除）无用邮件，保持电脑能高效快速运作.6）使用者不得用办公电脑玩游戏、听CD、看VCD等；未经电脑授权主人同意，不可以私用其他部门或别人使用的电脑。7）不可以删除系统文件、备份文件、未知名文件及不属于自己的文件。8）公司服务器为经常存储重要文件的用户建有一个独立的个人文件夹和为每个用户建立了部门的公用文件夹，两个文件夹只能存放与工作有关的文件，不得存放与工作无关的文件（如个人的mp3、avi等文件），总经办有权在不通知使用者的情况下删除这些文件。3. 1.9电脑的变更需要重新安装系统、调整PC配置或需要调换PC时，员工必须向总经办提交申请，经过批准，才能实施变更，变更后总经办应及时更新设备清单。个人离职，需要填写离职人员交接单。4. 2其他硬件设备设施公司范围内的信息安全管理范围内的硬件设备设施由使用部门负责日常维护管理，总经办负责维修工作。如出现问题，使用部门及时联系总经办进行处理，个人不得私自拆卸相关设备，以防造成设备的损毁。5.网络安全规范ISMS-WI051目的和适用范围为加强公司网络使用及管理的安全，防止重要数据、信息的泄露，特制定本规定。本规定适用于公司所有的网络设施及网络设置。2职责网络管理员负责公司网络的建设和维护，并负责公司的计算机及网络硬件设备的管理以及安全防护工作。3安全要求4.1 物理安全要求物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信线路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限、防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。4.2 访问控制安全要求参见用户访问控制程序。4.3 信息加密安全要求信息加密的目的是保护网络内部的数据、文件、口令和控制信息，保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全；端一端加密的目的是对源端用户到目的端用户的数据提供保护；节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择加密方式。4.4 防范恶意代码要求系统管理员负责实施恶意代码的监测、预防和恢复的控制措施；负责建立相关程序以提高用户安全意识。4.4.1 安装房定期升级病毒防护软件，扫描计算机和介质。规定客户端电脑的病毒扫描周期为每月一次，时间间隔小于40天，做好病毒扫描记录。服务器电脑的病毒扫描周期为每月两次,做好病毒扫描记录。4.4.2 对于来源不明的文件都应进行病毒检查；4.4.3 4.3对于电子邮件的附件和下载都应在使用前进行恶意软件检查；4.4.4 产品中心负责建立系统的防病毒控制过程，培训使用这些过程，报告和恢复病毒攻击；3.4.5为保证业务连续性，应制定计划用于病毒攻击的恢复，包括数据和软件备份、恢复过程。3.5网络安全管理要求在网络安全中，加强网络的安全管理，制定有关规章制度，对于确保网络的安全、可靠地运行，将起到十分有效的作用。网络的安全管理文件包括：数据备份规范、公司内外数据交换管理规范、信息分类管理程序、口令控制规范、用户访问管理程序等。4工作内容及方法5. 1内部网络管理1）公司所有员工电脑都是通过域账户登录的。2）任何员工不得私自使用他人域账户，不能更改电脑的IP地址，以保证公司网络的正常运行。3）因工作需要更改域账户权限的，须经过部门负责人同意后报产品中心批准，由产品中心人员对域账户进行设置。4）个人PC在退出内网时，须办理相关手续，产品中心收回设备的同时更新域账户对应一览表。4. 2对外网络管理1）网络管理员应将各部门中可以使用域账户外网的人员进行登记.（由ISA控制）2）因工作需要而要下载文件的，本人找产品中心人员进行下载，但不能下载与工作不相关的软件。3）公司员工在访问互联网时不得浏览、传播具有政治倾向或不健康内容的信息。不能上国家法律不允许的网站。4）网络管理员每月对访问外网的用户权限进行审查。4.3 网络设备的操作管理D所有员工不得破坏公司的网络设备；2）员工不得私自更换、修理网络设备，公司的网络设备只允许产品中心进行设置和维护;3）公司内的关键网络设备只能由产品中心的指定专人进行操作，其他人员不得操作，关键网络设备的操作人员负责保管与设备相关的所有资料；4）关键网络服务器及主干网络设备在机房中；5）机房禁止无关人员进入。机房上锁，一般情况下是处于锁闭状态。4.4 网络服务网络管理员应确定网络服务的安全特性、服务级别已经管理要求，在与网络服务提供商签署网络服务协议时，包括这些要求。对网络服务提供商的服务，产品中心应定期进行监视。所有员工只能使用分配的服务，严禁员工使用未授权使用的服务。4.5 计算机网络远程诊断和配置端口的保护对于公司重要服务器和网络，由产品中心指定的管理人员才能使用远程诊断和配置端口对计算机和网络进行诊断和配置，其他人员无权实施。公司重要服务器应放置到机房，以实现对远程诊断和配置端口实施物理隔离方式的保护，网络诊断和配置端口应锁定，使其他人员不能在物理上和逻辑上访问这些端口。6.口令控制规范ISMS-WI061目的为了保证用户口令的安全性和有效性，保证网络资源不被非法访问，有效地保证公司网络的安全，特制定本策略。2范围本策略主要涵盖公司内部合法用户的口令管理，同时保证临时远程登陆用户的口令安全。3职责由总经办负责建立口令控制策略，做好口令的保密，定期验证口令的有效性，防止口令的滥用和恶意破解。公司各个部门的电脑使用人提高口令保护意识，做好用户口令的保密工作。4控制策略4. 1统一分配口令所有用户账号都必须有口令保护，在生成账号时，系统管理员分配给合法用户一个唯一的口令，用户在第一次登录时需要更改口令，口令不以明文显示。4.2限制登录尝试次数服务器操作系统设置在5次失败的登录尝试后锁定用户账号，协助防止口令猜测和恶意破解，30分钟后可以自动解除锁定，或者由系统管理员手动解锁。1.1 3优质口令属性用户口令必须满足至少包含8个字符，建议用户使用由数字、字母和符号组合成的复杂口令。系统自动存储4个历史口令，防止用户口令的重复使用。4.4 定期更改口令用户口令更改后系统要求最少使用一天，最长使用时间为30天，口令过期后必须更改口令，否则无法登陆。4.5 口令登陆日志对用户口令使用、成功登录和失败登录进行日志记录（包括日期、时间、用户名或登录名）。用户成功登录后，服务器可以显示上次成功或失败登录的日期和时间。4.6 保证远程登陆用户口令的安全总经办负责分配远程登陆用户的口令，保证临时使用临时分配，使用完毕口令失效，确保口令的有效性。4.7 口令变更岗位变更的员工必须进行口令的变更157 .清洁桌面和清屏策略ISMS-WI07清洁桌面和清屏策略介绍应该实施清除桌面和清除屏幕方针，以降低对文件、介质以及信息处理设施未经授权访问或破坏的风险。目的该策略的目的是防止对信息和信息处理设施未经授权的用户访问、破坏或盗窃。适用范围该策略适用于公司所有员工。术语定义略洁面清策咯清桌和屏昭 含有涉密信息或重要信息的文件、记录、磁盘、光盘或以其它形式存贮的媒体在人员离开时，应锁入文件柜、保险柜等； 所有计算机终端必须设立登录口令，在人员离开时应该锁屏、注销或关机； 在结束工作时，必须关闭所有计算机终端，并且将个人桌面上所有记录有敏感信息的介质锁入文件柜； 计算机终端应设置屏幕密码保护，屏保时间不大于5分钟； 传真机由总经理办公室负责管理，并落实责任人。 打印或复印公司秘密、机密信息时，打印或复印设备现场应有可靠人员，打印或复印完毕即从设备拿走。惩罚违背该策略可能导致：员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除；另外，这些人员还可能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉。引用标准略8 .介质使用管理规范ISMS-WI081目的和适用范围为规范公司内部各类介质的申请、借用、使用、管理以及在介质带出公司外部时的要求，以防止因不当操作发生信息泄露。本规定适用于公司内介质的使用、存放、销毁过程，以及公司外介质的传输活动。2职责总经办负责保管本项目使用的大容量存储设备，负责开封得到申请批准人员的外接接口；负责光盘的刻录，回收及销毁；负责对移动存储介质的维护、维修；批准各部门因工作需要而要长期使用大容量存储设备（如：U盘等）3工作内容及方法1. 1介质的使用用于存储信息、数据资料的设备，媒介，如：大容量存储设备、软盘、刻录光盘、磁带、MO等同类媒介及打印或是复印的纸制介质。3. 1.1大容量存储设备该类存储设备（如，硬盘、移动硬盘、U盘）在使用时须连接计算机的接口或外接接口，每一个大容量存储设备须有相对应的大容量存储设备使用记录D因工作需要各个部门在使用大容量存储设备时须向设计与总经办提出借用申请（借用申请须填写设备申请表，并在表中注明设备为借用）并告之本部门的负责人。2）总经办人员将借用的大容量存储设备交给申请人员，并同时交给大容量存储设备使用记录。3）借用大容量存储设备只能由一人进行使用（必须为申请人员），在使用时须填写大容量存储设备使用记录。4）使用大容量存储设备进行资料存储前须得到项目负责人的批准；使用完毕后，须将不使用的大容量存储设备归还总经办,并一起提交已填写的大容量存储设备使用记录。5）总经办人员在回收借用完毕的大容量存储设备后须将其进行格式化以便下次使用，并将填写的使用记录进行整理归档管理。6）若因工作需要须长期使用大容量存储设备的部门，可向信息安全管理领导小组申请，信息安全管理领导小组成员根据实际情况批准申请。因工作需要的特殊人员（如，财务人员等，经常需要拷贝公司敏感信息的人员）应配给加密的存储设备。7）任何职能部门在长期使用大容量存储设备时不得在其上面存储公司的敏感信息。8）大容量存储设备持有人不得私自将设备借于他人使用，若因工作需要需借给他人的须经过部门的负责人同意，使用时须由设备的持有人填写大容量存储设备使用记录。9）对于开放外接接口的计算机，若在三个月内没有使用记录的将对其外接接口进行封闭。10）任何员工不得私自打开公司计算机上的外接接口来使用大容量存储设备，私自打开者一经被发现，将按制度的规定进行处理。4. 1.2刻录光盘、磁带、Mo等同类媒介该类媒介在使用时须借助其他设备来进行刻录、录制，如，使用刻录光驱、磁带机等。1）在使用刻录光盘、磁带、MO等同类媒介进行存储、刻录的，录制前须得到项目负责人的批准。2）在刻录、录制前项目负责人或其指定人员必须对要刻录、录制的内容进行验证。3）在刻录、录制工作完成后，须进行登记，登记的内容包括：部门、项目组、申请人、日期、内容、操作人。4）在刻录、录制工作完成后应及时将刻录、录制完成的光盘、磁带交给项目组。5）所有员工不得私自在计算机上连接使用刻录光驱等设备，一经发现，将按制度的规定进行处理。3.1.3纸制介质该类介质为打印，复印及传真的书面资料。1）所有员工在打印结束后应及时将打印的资料从打印区拿走。2）对安全等级在秘密以上（含秘密）的纸张不允许重复打印使用。3）在复印安全等级为秘密以上（含秘密）的资料前须经过负责人的批准。4）复印结束后应及时将与复印相关的资料拿走。5）传真安全等级为秘密以上（含秘密）的资料须得到负责人的批准。6）打印、复印和传真的纸张应注意平整、无污渍，以保证资料的清晰有效及防止操作设备被损坏。7）任何人员不得私自将印有项目涉密内容的纸制资料带出工作场所，一经发现，将按制度的规定进行处理。8）每日进行打印机、复印件区域监测，发现问题及时更正。3.2介质的存放根据介质所存内容安全等级的级别，对介质进行合理的存放，存放时应对介质进行登记、标识以便管理。3.2.1大容量存储设备D项目申请借用的大容量存储设备须存放在借用人处。2）对于长期使用的大容量存储设备，持有人应妥善保管，未经许可不得带出工作场所。3）大容量存储设备应由设备的借用申请人或是项目负责人，部门的负责人进行保管。4）存有安全等级为秘密以上（含秘密）内容的移动存储介质须由项目负责人或是部门负责人进行标识和保管，应将设备保管在带锁的物理设施中，并填写存放登记，登记的内容应包括：保管人、存储内容、保管期限。5）存有安全等级为秘密以下内容的存储介质应由项目负责人进行保管，不得随意放置。6）存放时应注意周围环境的可靠性及安全性，注意设备接口的保护。Q99勿艮冲身磁苦M笙同果鹿介D存有安A等级秘密以上（含秘密）内容的刻录光盘、磁带等同类介质应由项目负责人进行标识和保管，应将刻录光盘、磁带保管在带锁的物理设施中，并填写存放登记。2）存有安全等级为秘密以下的刻录光盘、磁带等同类介质应由项目负责人指定专人进行保管，不得随意放置。3）存放时应注意周围环境的可靠性及安全性，同时须注意对光盘盘面、磁带的保护。4）纸制介质安全等级为秘密以上（含秘密）内容的纸制介质应由项目负责人进行标识、装订，保管在带锁的物理设施中，并填写存放登记。5）安全等级为秘密以下内容的纸制介质不得随意放置，应由项目负责人指定专人进行装订、保管。6）存放时应注意周围环境的可靠性及安全性，注意纸张的防潮、防火及缺损。3.3介质的销毁介质所存储内容不再使用时，不得将介质随意丢弃，必须统一回收并进行专门的作废处理。3.3.1大容量存储设备1）大容量存储设备不再使用时应彻底删除其存储的内容（如，进行物理格式化），以便下次使用。2）删除内容后的存储设备若是借用的，则应在使用完毕后及时归还；若是项目组申请长期使用存储设备，则在格式化后交回项目负责人，部门负责人保管。3. 3.2刻录光盘、磁带、MO等同类媒介D当光盘、磁带上的内容作废时，不得将光盘、磁带随意丢弃，应将其统一交给总经办进行处理。2）总经办应根据项目的要求对作废光盘、磁带等同类媒介保存一定的时期，并制作废弃光盘、磁带等同类媒介的存放记录，记录内容包括：部门、项目名称、保存期限、保管人。3）在保管期限之后总经办应采用专业的方法对废弃的光盘、磁带进行处理，处理时须保证上面的信息不被泄露。4）光盘、磁带在销毁后应及时通知所属项目组，并将存放记录上的相关内容进行标记。3. 3.3纸制介质对于已作废的打印、复印或传真的纸制资料不得随意丢弃，由专人进行切碎处理。3.4 介质的运输介质在带出公司时应做必要的防护手段，防止资料泄露，在未得到批准的情况下所有人员不得私自将存有安全等级为秘密以上（含秘密）的介质带出公司，一经发现将按制度的规定进行处理。3.5 .1大容量存储设备1）对存有安全等级为秘密以上（含秘密）内容的大容量存储设备因工作需要带出时须得到项目负责人批准，并填写带出登记，登记内容包括：带出人、确认人、带出日期、带出原因；2）存储设备的维修应由相关部门负责，在设备被带出维修时，相关部门须保证存储介质所存储的内容在维修期间的保密性及完整性。因其他工作原因须将存储介质带出公司时，须由指定的专人带出；3）大容量存储设备在带出时，携带人员须注意设备的安全，防止被他人使用而发生存储信息的泄露，必要时应带具有加密功能的移动存储设备，并对设备进行加密处理；4）注意存储设备的安全，防止设备本身遭到损坏，从而导致所存储的内容无法使用。3.4.2刻录光盘、磁带、MO等同类媒介1）对存有安全等级为秘密以上（含秘密）内容的媒介在带出时须得到项目负责人批准，并填写带出登记。2）在光盘、磁带等同类设备带出时应防止被他人使用而发生存储信息的泄露。3）应注意存储媒介的安全，防止媒介本身遭到损坏，从而导致上面的内容无法读取。3. 4.3纸制介质1）对存有安全等级为秘密以上（含秘密）内容的纸制资料在带出时，须得到项目负责人批准并填写带出登记。2）在纸制资料带出时，携带人员须确保资料不被无关人员阅读，安全等级在秘密以上（含秘密）的资料应使用文件夹携带。3）纸制资料带出时须进行装订，防止纸张丢失、破损9.信息系统安全管理规范ISMS-WI091目的和适用范围为确保安全是信息系统的一个组成部分，防止应用系统中信息的错误、遗失、未授权的修改以及误用，对信息系统实施安全管理，特制定本文件。本文件适用于公司所有的信息系统，包括已有的信息系统、新信息系统或增强已有的信息系统。2职责各部门信息系统使用人员负责对自己使用的信息系统提出安全和性能要求，做好验收工作，并负责日常的安全维护。产品中心负责为安全设计提供建议，并做好日常的安全检查。3定义信息系统：用于存储、处理和传输信息的相互关联、相互作用的一组要素，是基础设施、组织、人员、设备和信息的总和。4信息系统的获取4.1 系统计划新开发（新购买）或增强已有信息系统时，如果信息系统是全公司范围内使用，由产品中心提出申请，总经理批准；如果信息系统由某个部门使用，则该部门经理提出申请，产品中心和总经理分别审批。申请人应确保在信息系统的业务要求陈述中，包括了安全控制措施的要求：4. 1.1容量管理申请人应预测信息系统未来的容量要求和系统性能要求，未来的容量要求应考虑新业务、系统要求、公司信息处理的当前状况和未来趋势，做出对于未来能力需求的推测，以确保拥有所需的系统性能。申请人还必须对信息系统资源的使用进行监视，识别并避免潜在服务瓶颈，制定容量计划以保证有充足的处理能力和存储空间可用。申请人应将容量计划和能力管理的需求写入申请中。5. 1.2安全要求申请人应识别信息系统的安全要求，以防止应用系统内的用户数据遭到丢失、恶意或无意的修改或误用。控制措施包括但不限于：1）输入数据验证必须对输入到应用系统内的数据进行检查以保证数据正确、适当。在数据处理之前对业务交易及各种数据及表格的输入进行检查。需要对合理性测试及错误响应的责任和程序进行定义。2）内部处理控制正确输入的数据有可能因为处理过程的错误或人为操作被破坏。因此，应适用添加、修改或删除功能，以实现数据变更；使用适当的故障恢复程序，以确保数据的正确处理；防范利用缓冲区溢出而进行的攻击。3）消息完整性信息系统中必须包含对消息完整性的控制，例如使用MAC码或其他控制手段，来确保消息的完整性。4）输出数据验证信息系统中必须包括输出数据控制。可以包括：合理性检查，以测试输出数据是否是合理的；为后续的处理系统提供足够的信息；响应输出验证测试的程序；创建在数据输出验证过程中的活动日志。5）差错数据处理信息系统必须具备差错数据处理程序，以应对系统出现差错时的情况。6）密码控制如果信息系统需要使用密码控制方法，必须制定密码控制策略，包括：a）确定需要保护的级别，考虑需要的加密算法的类型、强度和质量。b）密钥管理方法，包括密钥的生成、传输、储存、恢复、销毁等。c）使用密码方法的角色和职责，例如谁负责策略的实施，谁负责密钥管理等。d）采用的密码标准。e）遵循国家对应用密码技术的管理规定和限制。4.2 新系统的开发和购买申请人提交申请，由总经理批准，进行系统的开发或购买。信息系统开发和购买过程中，必须确保开发或购买的信息系统考虑了申请中描述的安全控制和系统性能要求。如果在系统开发过程中，涉及到软件外包开发，负责软件开发的外部公司、厂商应签订合同或协议以保证外包的软件开发可成功地满足业务要求。以下各项应包括在内：1）许可证协议、代码拥有和知识产权；2）安全协议得到确认、明确表述和认可；3）满足第三方服务管理程序中对第三方服务的控制要求。4.3 系统验收系统申请人应该在开发前为新信息系统或升级版本制定验收准则。新系统的验收准则应作明确定义，得到认可并作记录。验收准则应包括：D性能和计算机的容量要求。2）差错恢复和重启程序以及应急计划。3）有效的人工操作程序。4）业务连续性安排。5）新系统的操作和使用培训。6）易用性等。在系统开发结束后，申请人应组织相关人员按照系统验收准则，对信息系统进行验收。5信息系统的维护5.1确保系统文件安全系统文件包含一系列敏感信息，例如，应用过程的描述、程序、数据结构、授权过程等等。所以应保护系统文件以防止非授权访问。5.1.1运行软件的控制所有员工使用计算机或服务器时，不得随意安装软件，也不得随意对运行系统上的软件包进行变更，具体规定，参见硬件设备安全管理规范和服务器管理规范。5.1.2