信息安全事件管理程序 2020年ISO27001 信息安全管理体系

信息安全事件管理程序1 目的为对公司信息安全的事件管理活动实施控制，特制定本程序。

2 范围适用于对信息安全的事件管理。

3 职责3.1 行政部负责信息安全的事件的收集、响应、处置和调查处理。

负责信息安全事件的及时报告，及时落实相关的处理措施。

4 程序4.1信息安全事件的定义4.1.1信息安全事件是指危及公司发展与业务运作，威胁公司信息安全的其他情况，可能与信息安全相关的现象、活动、系统、服务或网络状态等处于异常情况。

对达到一定严重程度，或造成一定损失的信息安全事件，本程序定义为严重事件。

4.1.2信息安全事件的定义和说明参见附录A《信息安全事件分类》。

4.2 信息安全事件的报告4.2.1 公司各部门发生信息安全事件时，应即时采用电话、传真、电子邮件等方式向公司行政部报告，其中事件的报告最迟不超过四小时、重大信息安全事件的报告最迟不超过二十四小时。

4.2.2行政部接到报告后应在不迟于二小时内报告公司信息安全领导小组和公司分管领导，同时应立即做出响应，并在最迟不超过二十四小时协同有关部门提出处置意见报信息安全管理委员会和公司分管领导，各相关部门应及时按要求采取处置措施与意见，将信息安全事件所造成的影响降到最低限度。

4.2.3 对信息安全事件，有合同规定时，应按合同规定及时通知相关方。

4.2.4 所有事件均应由公司行政部填写《信息安全事件报告》，报告应包括内容：a. 事件发生的时间、地点、部门；b. 事件简述、损失初步情况；c. 事件发生原因的初步判断。

4.3 事件调查处理与纠正措施4.3.1 事件责任部门应对事件原因进行分析，必要时，采取纠正措施，事件的原因及采取措施的结果要予以记录。

4.3.2 对于重大信息安全事件，在故障排除或采取必要措施后，公司行政部和重大信息安全事件责任部门，要对重大信息安全事件的原因、类型、损失、责任进行调查，对违反公司信息安全管理体系方针、程序及安全规章的规定所造成的重大信息安全事件的责任者，要依据《信息安全惩戒管理程序》予以惩戒，并予以通报。

ISO27001:2023信息安全管理体系管理评审资料1. 概述本文档是 Security Management System，ISMS）的管理评审资料。

通过对ISMS进行定期的管理评审，可以确保组织的信息安全控制措施符合国际标准，并提供持续改进的机会。

2. 管理评审流程2.1 目的和范围本节介绍了ISMS管理评审的目的和范围。

主要目的是确保ISMS的有效运行和持续改进，范围包括对信息安全策略、资产管理、访问控制、风险管理等方面的审查。

2.2 评审准备本节详细描述了ISMS管理评审前的准备工作，包括确定评审对象、制定评审计划、收集评审所需文件等。

2.3 评审执行本节介绍了评审执行的步骤和方法，包括对相关文件进行审查、与相关人员进行访谈、检查现场等。

2.4 评审记录和问题提出本节说明了如何记录评审过程中的观察、发现和问题，并提出改进建议。

2.5 评审结论和报告本节总结了评审的结论，并制作评审报告，包括对ISMS的优势和改进机会进行分析和说明。

3. 管理评审检查清单和工具3.1 审查文件清单本节列出了ISMS管理评审中需要审查的文件清单，包括信息安全策略、风险评估报告、保护控制框架等。

3.2 访谈指南本节提供了访谈指南，指导评审人员与相关人员进行有效的访谈，并获取必要的信息。

3.3 检查清单本节提供了用于检查现场的清单，包括对实际安全控制措施的检查和验证。

4. 附录4.1 缩写词汇表本节提供了常用缩写词的解释和定义，便于评审人员理解和使用。

4.2 参考文献本节列出了ISMS管理评审过程中参考的相关标准和文献。

5. 结论本文档提供了ISO27001:2023信息安全管理体系管理评审的资料，帮助组织有效实施和持续改进信息安全管理体系。

通过定期的管理评审，可以确保组织的信息安全控制措施符合国际标准，以应对不断变化的威胁和风险。

文件制修订记录1、适用本程序适用于公司信息安全事故、事件、薄弱点、故障和风险处置的管理。

2、目的为建立一个适当信息安全事故、事件、薄弱点、故障风险处置的报告、反应与处理机制，减少信息安全事故和故障所造成的损失，采取有效的纠正与预防措施，正确处置已经评价出的风险，特制定本程序。

3、职责各系统归口管理运营部主管相关的安全风险的调查、处理及纠正措施管理。

各系统使用人员负责相关系统安全事故、事件、薄弱点、故障和风险的评价、处置报告。

各系统信息安全归口部门如下：管理运营部：负责火灾、雷击、供电、盗窃、洪水等相关的信息安全风险的整体调查、处理和纠正措施管理。

智慧城市事业部：负责服务器等相关的信息安全风险的整体调查、处理和纠正措施管理。

负责路由器、交换机等网络设备等相关的信息安全风险的整体调查、处理和纠正措施管理。

4、程序4.1信息安全事件定义与分类4.1.1信息安全事件的定义：由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或对社会造成负面影响的事件。

4.1.2信息安全事件分类规范4.1.2.1有害程序事件有害程序事件是指蓄意制造、传播有害程序，或是因受到有害程序的影响而导致的信息安全事件。

有害程序是指插入到信息系统中的一段程序，有害程序危害系统中数据、应用程序或操作系统的保密性、完整性或可用性，或影响信息系统的正常运行。

有害程序事件包括计算机病毒事件、蠕虫事件、木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其它有害程序事件等7个第二层分类。

4.1.2.2网络攻击事件网络攻击事件是指通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。

网络攻击事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件等7个第二层分类。

14、信息安全事件管理程序###-ISMS-0108-20231 目的为对公司信息安全的事件管理活动实施控制，特制定本程序。

2 范围适用于对信息安全的事件管理。

3 职责3.1 综合部负责信息安全的事件的收集、响应、处置和调查处理。

3.2 相关部门负责信息安全事件的及时报告，及时落实相关的处理措施。

4 程序4.1信息安全弱点定义信息安全弱点是指被识别的一种系统、服务或网络状态的发生，表明一次可能的信息安全策略违规或某些防护措施失效，或者一种可能与安全相关但以前不为人知的一种情况。

4.2信息安全弱点报告信息安全弱点的发现者（包括使用公司信息系统和服务的员工和合同方）应将任何观察到的或可疑的的系统或服务中的信息安全弱点向信息安全管理小组报告。

4.3信息安全弱点处理流程1信息安全事件5.1信息安全事件定义信息安全事件：一个或一系列意外或不期望的信息安全事态，它/它们极有可能损害业务运行并威胁信息安全。

信息安全事件是指危及公司发展与业务运作，威胁公司信息安全的其他情况，可能与信息安全相关的现象、活动、系统、服务或网络状态等处于异常情况。

对达到一定严重程度，或造成一定损失的信息安全事件，本程序定义为严重事件。

5.2信息安全事态的定义信息安全事态：已识别的一种系统、服务或网络状态的发生，指出可能违反信息安全方针或控制措施失效，或者一种可能与安全相关但以前不为人知的情况。

5.3信息安全事件分级5.4信息安全事件处理流程5.4.1信息安全事件的报告事件的发现者应按照以下要求履行报告任务：a) 各个信息管理系统使用者，在使用过程中如果发现软硬件故障、事件，应该向该系统管理部门和信息安全管理小组报告；如故障、事件会影响或已经影响业务运行，必须立即报告相关部门，采取必要措施，保证对业务的影响降至最低；b) 发生火灾应立即触发火警并向信息安全管理小组报告，启动消防应急预案； c) 涉及组织的秘密、机密及绝密泄露、丢失应向信息安全管理小组报告； d) 发生重大信息安全事件,事件受理部门应向信息安全管理员和有关领导报告。

最新ISO27001信息安全管理体系全套文件（手册+程序文件+作业规范）系程序文件目录信息安全管理体系作业文件目录1 适用本程序适用于公司信息安全事故、薄弱点、故障和风险处置的管理。

2 目的为建立一个适当信息安全事故、薄弱点、故障风险处置的报告、反应与处理机制，减少信息安全事故和故障所造成的损失，采取有效纠正与预防措施，正确处置已经评价出风险，特制定本程序。

3 职责3.1 各系统归口管理部门主管相关安全风险的调查、处理及纠正措施管理。

3.2 各系统使用人员负责相关系统安全事故、薄弱点、故障和风险的评价、处置报告。

4 程序4.1 信息安全事故定义与分类：4.1.1 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响（后果)之一，均为信息安全事故：a) 企业秘密、机密及国家秘密泄露或丢失；b) 服务器停运4 小时以上；c) 造成信息资产损失的火灾、洪水、雷击等灾害；d) 损失在十万元以上的故障/事件。

4.1.2 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响（后果)之一，属于重大信息安全事故：a) 企业机密及国家秘密泄露；b) 服务器停运8 小时以上；c) 造成机房设备毁灭的火灾、洪水、雷击等灾害；d) 损失在一百万元以上的故障/事件。

4.1.3 信息安全事件包括：a) 未产生恶劣影响的服务、设备或者实施的遗失；b) 未产生事故的系统故障或超载；c) 未产生不良结果的人为误操作；d) 未产生恶劣影响的物理进入的违规e) 未产生事故的未加控制的系统变更；f) 策略、指南和绩效的不符合；g) 可恢复的软件、硬件故障；h) 未产生恶劣后果的非法访问。

4.2 故障与事故的报告渠道与处理4.2.1 故障、事故报告要求故障、事故的发现者应按照以下要求履行报告任务：a) 各个信息管理系统使用者，在使用过程中如果发现软硬件故障、事故，应该向该系统归口管理部门报告；如故障、事故会影响或已经影响线上生产，必须立即报告相关部门，采取必要措施，保证对生产的影响降至最低；b) 发生火灾应立即触发火警并向安全监督部报告，启动消防应急预案；c) 涉及企业秘密、机密及国家秘密泄露、丢失应向行政部报告；d) 发生重大信息安全事故，事故受理部门应向信息安全管理者代表和有关公司领导报告。

信息安全管理体系规范（Part I）（信息安全管理实施细则）目录前言一、信息安全范围二、术语与定义三、安全政策3.1 信息安全政策四、安全组织4.1信息安全基础架构4.2外部存取的安全管理4.3委外资源管理五、资产分类与管理5.1资产管理权责5.2信息分类六、个人信息安全守则6.1工作执掌及资源的安全管理6.2教育培训6.3易发事件及故障处理七、使用环境的信息安全管理7.1信息安全区7.2设备安全7.3日常管制八、通讯和操作过程管理8.1操作程序书及权责8.2系统规划及可行性8.3侵略性软件防护8.4储存管理8.5网络管理8.6媒体存取及安全性8.7信息及软件交换九、存取管理9.1存取管制的工作要求9.2使用者存取管理9.3使用者权责9.4网络存取管制9.5操作系统存取管理9.6应用软件存取管理9.7监控系统的存取及使用9.8移动计算机及拨接服务管理十、信息系统的开发和维护10.1信息系统的安全要求10.2应用软件的安全要求10.3资料加密技术管制10.4系统档案的安全性10.5开发和支持系统的安全性十一、维持运营管理11.1持续运营的方面十二、合法性12.1合乎法律要求12.2对信息安全政策和技术应用的审查12.3系统稽核的考虑前言何谓信息安全？对一个单位或组织来说，信息和其它商业资产一样有价值，因此要加以适当的保护。

信息安全就是保护信息免受来自各方面的众多威胁，从而使单位能够进行持续经营，使其对经营的危害降至最小程度，并将投资和商业机会得以最大化。

信息可以许多形式存在－可以印在或写在纸上，以电子方式进行储存，通过邮寄或电子方式传播，用影片显示或通过口头转述。

无论信息以何种方式存在，或以何种形式分享或储存，都要对其进行恰当保护。

信息安全的主要特征在于保护其－保密性：确保只有那些经过授权的人员可以接触信息－完整性：保护信息和信息处理办法的准确性和完整性－可得性：确保在需要时，经过授权的使用者可接触信息和相关的资产信息安全可通过一套管制手段得以实现；此管制手段可为政策、行为规范、流程、组织结构和软件功能。

ISO27001-信息安全事件管理程序信息安全事件管理程序（依据ISO27001标准）1. 目的为规范公司信息安全的事件管理，包括事故分类、薄弱点与故障分类、报告的途径、方法与时限要求、响应、事故的调查处理、防止再发生的措施，特制定本程序。

2. 范围本程序适用于公司各部门。

3. 职责与权限3.1 信息安全委员会信息安全委员会是公司信息安全管理最高组织机构，负责公司网络与信息安全重大事项的决策和协调，并对全公司信息安全管理工作全面负责。

3.2 技术部是信息安全事件管理的归口管理部门，负责信息安全事件的接报、汇总、通报和处置工作；必要时，协助相关部门及上级单位做好信息安全事件调查、分析、处理工作。

3.3 各部门各部门人员应遵守本程序的各项要求，及时上报并协助处理相关信息安全事件。

4. 相关文件a)《纠正预防措施程序》b)《技术薄弱点控制程序》c)《信息安全奖惩管理规定》d)《信息分类与处理指南》5. 术语定义无6. 控制程序6.1 信息安全事件的定义信息安全事件是指公司计算机系统、网络设备系统、数据因非法攻击或病毒入侵等原因，造成数据破坏、丢失、信息泄漏、系统不可用及业务不能正常运行等，或已经发现的有可能造成影响的安全隐患。

6.2 信息安全事件级别根据信息安全事件对公司业务及数据造成的影响，将信息安全事件划分为三个级别：重大事故（A级）、较大事故（B级）和一般事故（C 级）。

1) 重大事故：造成公司业务数据全部丢失或绝密信息泄露，或者ERP服务器及其他重要服务器等系统中断一天以上，或者所有业务部工作中断一天以上的信息安全事故。

2) 较大事故：造成公司重要业务数据丢失或机密信息泄露，或者ERP服务器及其他重要服务器等系统中断半天以上一天以内的信息安全事故。

3) 一般事故：造成公司非重要业务数据丢失，或者ERP服务器及其他重要服务器等系统中断半天以内的信息安全事故。

6.3. 事件报告6.3. 1 各部门发生安全事件时，应即时采用电话、电子邮件等方式向技术部报告，并协助处理。

修订日期：2019.12.18修订日期：2019.12.18信息安全风险评估管理程序1 适用本程序适用于本公司信息安全管理体系（ISMS）范围内信息安全风险评估活动。

2 目的本程序规定了本公司所采用的信息安全风险评估方法。

通过识别信息资产、风险等级评估，认知本公司的信息安全风险，在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，保持本公司业务持续性发展，以满足本公司信息安全管理方针的要求。

3 范围本程序适用于第一次完整的风险评估和定期的再评估。

在辨识资产时，本着尽量细化的原则进行，但在评估时我司又会把资产按照系统进行规划。

辨识与评估的重点是信息资产，不区分物理资产、软件和硬件。

4 职责4.1 成立风险评估小组办公室负责牵头成立风险评估小组。

4.2 策划与实施风险评估小组每年至少一次，或当体系、组织、业务、技术、环境等影响企业的重大事项发生变更、重大事故事件发生后，负责编制信息安全风险评估计划，确认评估结果，形成《信息安全风险评估报告》。

4.3 信息资产识别与风险评估活动各部门负责本部门使用或管理的信息资产的识别，并负责本部门所涉及的信息资产的具体安全控制工作。

4.3.1 各部门负责人负责本部门的信息资产识别。

4.3.2 办公室经理负责汇总、校对全公司的信息资产。

修订日期：2019.12.184.3.3 办公室负责风险评估的策划。

4.3.4 信息安全小组负责进行第一次评估与定期的再评估。

5 程序5.1 风险评估前准备5.1.1 办公室牵头成立风险评估小组，小组成员至少应该包含：信息安全管理体系负责部门的成员、信息安全重要责任部门的成员。

5.1.2风险评估小组制定信息安全风险评估计划，下发各部门内审员。

5.1.3必要时应对各部门内审员进行风险评估相关知识和表格填写的培训。

5.2 信息资产的识别5.2.1 本公司的资产范围包括：5.2.1.1信息资产1)数据文档资产：客户和公司数据，各种介质的信息文件包括纸质文件。

iso27001信息安全管理体系简介ISO 27001信息安全管理体系简介ISO 27001是全球信息安全管理体系标准的代表性标准，是由国际标准化组织（ISO）制定的。

它为组织提供了建立、实施、维护和持续改进信息安全管理体系的框架和要求，有助于组织保护其重要信息资产，并确保信息安全得到充分的保护。

ISO 27001标准的核心是风险管理。

组织需要根据其业务需求和风险承受能力，识别和评估信息安全风险，并采取适当的控制措施来降低风险。

标准要求组织建立信息安全政策，明确信息安全目标和责任，进行风险评估和风险管理，制定信息安全控制措施，对信息安全绩效进行监控和审查等。

ISO 27001标准适用于各种类型、规模和性质的组织，无论是商业企业、政府机构，还是非营利组织，都可以根据自身的需求和情况，采用这一标准建立信息安全管理体系。

标准的实施不仅可以提高组织的信息安全管理水平，降低信息安全风险，还可以增强组织在市场上的竞争力，提升客户和合作伙伴对组织信息安全管理能力的信任。

ISO 27001标准的实施过程一般包括以下几个阶段：1. 确定信息安全管理体系的范围和目标：组织需要明确信息安全管理体系的范围，确定实施ISO 27001标准的目标和计划。

2. 进行风险评估和风险管理：组织需要识别和评估信息安全风险，确定关键信息资产，制定信息安全风险管理计划，采取适当的控制措施来降低风险。

3. 制定信息安全政策和程序：组织需要建立信息安全政策，明确信息安全目标和责任，制定信息安全程序和控制措施，确保信息安全管理体系的有效实施和持续改进。

4. 实施信息安全管理体系：组织需要培训和意识信息安全管理体系的相关人员，确保信息安全政策和程序的有效实施，监控信息安全绩效，定期进行内部和外部的审核和审查。

5. 进行持续改进：组织需要根据信息安全管理体系的绩效，不断改进和完善信息安全管理体系，确保信息安全控制措施的有效性和持续性。

总的来说，ISO 27001信息安全管理体系标准是一项全面的信息安全管理标准，它为组织提供了一个全面的框架和要求，帮助组织建立和维护信息安全管理体系，降低信息安全风险，提高信息安全管理水平，增强组织的信息安全管理能力和竞争力，值得组织重视和实施。

iso27001信息安全管理体系认证流程
ISO 27001信息安全管理体系认证是中国GB/T 22227信息安全管理体系要求的一部分,其认证流程如下:
1. 准备阶段:申请机构需要准备申请材料,包括申请书、身份证、营业执照、组织结构代码证、税务登记证、银行开户许可证、产品安全证书、安全审计报告等。

2. 审核阶段:认证机构将对申请机构的信息安全管理体系进行
审核。

审核内容包括组织信息安全战略、信息安全组织结构、信息安全培训、信息安全操作规程、信息安全事件管理、信息安全恢复策略、信息安全信息安全审计等方面。

3. 考试阶段:审核员需要对申请机构的员工进行信息安全知识
和技能的考试。

考试内容包括信息安全法律法规、信息安全管理规范、信息安全应急处理、信息安全评估等方面。

4. 整改阶段:在审核过程中,如果申请机构存在不符合信息安全管理体系要求的问题,认证机构需要要求申请机构进行整改,并记录
整改情况。

5. 评审阶段:在整改完成后,认证机构需要对申请机构的信息安全管理体系进行评审。

评审内容包括组织信息安全战略、信息安全组织结构、信息安全培训、信息安全操作规程、信息安全事件管理、信息安全恢复策略、信息安全信息安全审计等方面。

6. 报告阶段:认证机构需要向申请人提交认证报告,报告内容包括审核结果、审核员的姓名、审核日期、审核结论、通过或拒绝通过
等信息。

需要注意的是,ISO 27001信息安全管理体系认证的时间为3个月到12个月不等,具体的认证时间和流程可能会因地区和申请机构的不同而有所不同。

27000信息安全管理体系信息安全管理体系（ISMS）是指一个组织为了保护其信息资产而采取的有组织的方法。

ISO/IEC 27000系列是国际信息安全标准化组织（ISO）和国际电工委员会（IEC）联合组织制定的关于信息安全管理标准的系列标准。

本文将介绍ISO/IEC 27000系列标准中的信息安全管理体系。

一、ISO/IEC 27001ISO/IEC 27001是ISO/IEC 27000系列标准中最重要的标准，它规定了信息安全管理体系的要求。

它通过制定一系列政策和程序，帮助组织管理信息安全风险。

ISO/IEC 27001的应用范围包括所有的组织类型，无论其规模如何，都可以通过执行这个标准来建立，实施，维护和持续改进信息安全管理体系。

ISO/IEC 27001标准的实施包括以下几个关键步骤：1. 制定信息安全政策：组织需要明确其信息安全政策，并确保该政策符合法律法规及相关利益相关者的要求。

2. 进行风险评估：组织需要对其信息资产进行风险评估，确定哪些信息资产存在潜在的威胁和漏洞，并根据评估结果采取相应的控制措施。

3. 设计和实施安全控制措施：基于风险评估的结果，组织需要确定和实施适当的安全控制措施，以减轻或消除风险。

4. 进行内部审核和管理评审：组织应定期进行内部审核和管理评审，以确保信息安全管理体系的有效性和持续改进。

5. 进行监督和持续改进：组织应对信息安全管理体系进行监督和持续改进，以确保其与业务需求的一致性和有效性。

二、ISO/IEC 27002ISO/IEC 27002是一份指南性文件，提供了ISO/IEC 27001标准中信息安全管理要求的解释和实施指导。

它列举了一系列信息安全控制措施，包括组织安全政策、人员安全、资产管理、访问控制、密码管理、物理和环境安全、通信和运营管理、安全事件管理等。

ISO/IEC 27002标准的应用可以帮助组织制定并实施适合其特定需求的信息安全管理措施。

通过参照这个标准，组织可以更好地管理信息安全风险，保护其信息资产，并满足法律、法规和合同中的信息安全要求。

德信诚培训网
更多免费资料下载请进： 好好学习社区
信息安全事故管理程序
1 目的和适用范围
信息安全风险时刻存在，信息安全事故经常发生。

为明确信息安全事故处理的责任和程序，有效处理信息安全事故，最大限度地减少和降低因事故给公司带来的损失，特制定本程序。

本程序适用于公司发生的各类信息安全事故的检测、报告和处理。

2 职责
公司任何员工有责任向信息安全领导小组报告其发现的信息安全弱点、信息安全事件和事故。

信息安全领导小组负责组织信息安全事故的处理、评审和改进。

3 定义
3.1 信息安全事件
信息安全事件是指被确定发生于系统、服务或网络中的一种状态，表明可能有人违反了信息安全策略或防护措施没有发挥效用，或者出现了可能与安全相关的、以前不为人知的一种情况。

3.2 信息安全事故
信息安全事故由单个或一系列意外或有害信息安全事件组成，极有可能危害业务运行和威胁信息安全。

信息安全事故可以是有意的或意外的（如因错误或者自然灾害导致的事故），也可以由技术或物理原因引起。

4 工作程序
4.1 报告
任何员工，一旦发现、检测或观察到实际发生或潜在信息安全事件或信息安全弱点，必。

ISO27001信息安全目标管理程序ISO27001信息安全目标管理程序1 目的为保证信息安全管理体系的有效运作，对各管理流程进行有效的监督检查，并及时提出纠正预防措施，不断改进信息安全管理体系的有效性，制定本程序。

2 范围本程序适用于IT信息安全管理体系持续改进的目标管理控制。

3 相关文件无4 职责4.1总经理负责审批年度信息安全管理目标。

4.2管理者代表负责编制信息安全管理年度目标及检查细节，对检查结果的改进进行监督。

4.3 安全管理岗负责日常检查及对检查结果的报告；发出纠正预防措施。

4.4各岗位负责配合安全管理岗的日常检查。

5 程序5.1信息安全管理指标的制定5.1.1 每年初，由管理者代表组织相关人员对上一年度的安全目标达成情况进行回顾（也可由管理评审流程执行回顾过程），提出对于安全管理指标体系的修改完善意见，应考虑以下因素：a) ISMS管理体系的变更，包括组织、业务、人员、技术等方面；b) 上一年度的安全管理指标达成情况；c) 相关方的建议，包括监管机构、外部审计（审核）的结果、本行业务要求等；5.1.2 根据修改意见，管理者代表应修订年度《信息安全管理指标一览表》，增加、删除、修订各项指标，修订各项指标的检查周期等内容。

5.1.3 每年一月底，应由最高管理者重新审批并发布《信息安全管理指标一览表》。

5.1.4 部门内部所有员工应通过会议的形式（应保留相关会议纪要），了解年度信息安全管理指标内容，并了解本岗位与指标要求的相关性并理解如何为指标的达成做出贡献。

5.2 信息安全管理指标的检查5.2.1 部门内部设立安全管理岗，负责对管理指标的日常检查活动。

5.2.2 安全管理岗应按照《信息安全管理指标一览表》所规定的检查周期及检查方法，对日常管理活动进行检查。

5.2.3 检查结果应形成《安全指标检查报告》（形式不限），并报送最高管理者及管理者代表。

5.2.4 《安全指标检查报告》每季度发布一次，安全管理岗应保存经最高管理者审核签字的报告原件。

文件编号：XX-ISMS-OP-20发布日期：2023.06.01版本号：A0生效日期：2023.06.01文件审批和修订履历页修订履历（由文件制订/修订人每次更改时填写）修订版本修订内容概述修订人生效日期制订与审核（二级文件由管理者代表审核；三级文件由部门负责人审核）编制部门及职务：审核部门及职务：核准部门及职务：签名/日期：签名/日期：签名/日期：DCC校对：校对日期:文件编号：XX-ISMS-OP-20发布日期：2023.06.01版本号：A0生效日期：2023.06.011目的为了加强公司的资产管理，提高员工的保密意识，保护公司的资产安全，特制定本程序。

2范围适用于对公司范围内所有计算机。

3定义实体：能够通过对其属性测量来表现的对象4职责4.1经营管理处：负责公司所有计算机购买计划、维修计划的审核，和记录工作，包括标签的标识等。

产品自动化处负责提供必要的技术支持。

4.2各部门：负责本部门计算机使用，产品技术开发部负责提供必要的技术支持。

5内容5.1总则5.1.1公司范围内所有的计算机均属于公司资产，受法律保护。

5.1.2综合管理部应组织对所有计算机进行标识管理，登记成册。

并负责计算机的维护工作。

5.1.3各部门对所使用的个人用计算机及服务器必须按此规定执行。

5.2相关规定未经授权的笔记本电脑或是台式机不准连入公司网络，在工作环境中不可用，只有经过公司网络管理员授权的笔记本电脑或台式机才能进入到公司的办公环境。

5.2.1笔记本电脑5.2.1.1笔记本电脑的使用规定1）笔记本电脑信息的加密：笔记本电脑必须设置系统密码，密码的设定参考《信息安全策略》。

2）笔记本电脑的使用：下班或者外出时必须将笔记本电脑放在公司指定的位置并上锁。

文件编号：XX-ISMS-OP-20发布日期：2023.06.01版本号：A0生效日期：2023.06.01离开电脑时，必须锁屏。

5.2.2台式计算机5.2.2.1台式计算机的分配员工正式进入公司后，由综合管理部统一分配计算机。