ISO27001：2013信息交换策略

合集下载

ISO27001：2013信息系统安全管理规范

信息系统安全管理规范1、目标此文档用于规范公司业务系统的安全管理，安全管理所达到的目标如下：确保业务系统中所有数据及文件的有效保护，未经许可的用户无法访问数据。

对用户权限进行合理规划，使系统在安全状态下满足工作的需求。

2、机房访问控制机房做为设备的集中地，对于进入有严格的要求。

只有公司指定的系统管理员及数据库管理员才有权限申请进入机房。

系统管理员及数据库管理员因工作需要进入机房前必须经过公司书面批准。

严格遵守机房管理制度。

3、操作系统访问控制保护系统数据安全的第一道防线是保障网络访问的安全，不允许未经许可的用户进入到公司网络中。

第二道防线就是要控制存放数据及应用文件的主机系统不能被未经许可的用户直接访问。

为防止主机系统被不安全访问，采取以下措施：操作系统级的超级管理用户口令、数据库管理用户口令、应用管理用户口令只能由系统管理员设定并经办公室审核，１个月做一次修改，口令要向其他人员保密。

在应用系统实施阶段，考虑到应用软件提供商需要对自己的产品进行调试，可以在调试时将应用管理用户口令暂时开放给应用软件提供商；调试一结束系统管理员马上更改口令。

对口令设定必需满足以下规范：5、数据库访问控制为有效的保障业务数据的安全，采取以下措施：数据库内具有较高权限的管理用户口令由办公室数据库管理员设定，并由办公室审核，不能向其他人开放。

口令必须１个月做一次修改。

业务系统后台数据库对象创建用户的口令由数据库管理员设定，由技术研发部审核。

不能向其他人开放。

口令必须1个月做一次修改。

对口令设定必需满足以下规范：根据操作需求，在数据库中分别建立对业务数据只有“增、删、改”权限的用户；对业务数据只有“查询”权限的用户。

不同的操作需求开放不同权限的用户。

除技术研发部的人员外，其他部门的任何人员均没有权限从后台数据库直接进行数据的“增、删、改”操作对于业务必须的后台job或批处理，必须由技术研发部人员执行。

6、应用系统访问控制应用系统访问依靠系统内部定义的操作用户权限来控制，操作用户权限控制到菜单一级，对于操作用户的安全管理有如下规范：所有应用级的操作用户及初始口令统一由技术研发部设定，以个人邮件的形式分别发给各部门的操作人员。

ISO27001：2013信息安全设备设施管理规范

信息安全设备设施管理规范
1适用与目的
本程序适用于公司与IT相关各类信息处理设施（包括各类软件、硬件、服务、传输线路）的引进、实施、维护等事宜的管理。

本程序通过对技术选型、验收、实施、维护等过程中相关控制的明确规定来确保引进的信息处理设施的保密性、完整性和可用性。

2信息处理设施的分类
2.1研发控制系统、数据存储控制系统及其子系统设备，包括位于机房的服务器和位于使用区域的使用控制系统终端设备。

2.2业务管理系统、财务管理系统，包括位于机房的服务器和位于使用区域的终端设备。

2.3办公用计算机设备，包括所有办公室、会议室内的计算机、打印机，域控制服务器，DNS服务器、Email服务器等。

2.4网络设备，包括交换机、路由器、防火墙等。

2.5其它办公设备，包括电话设备、复印机、传真机等。

3职责
3.1DXC主要负责全公司与IT相关各类信息处理设施及其服务的引进。

包括制作技术规格书、进行技术选型、安装和验收等。

DXC同时负责全公司网络设备、研发控制系统、业务管理系统、财务管理系统日常管理与维护。

3.2各部负责项目实施过程中设备及软件系统的管理制度的执行与维护。

3.3DXC负责后勤系统设备及网络系统、电话/网络通讯与办公系统的管理与维护。

ISO27001-2013换版动态及变化说明

ISO27001:2013新版信息安全管理体系标准变化精解•关于标准——基本情况•关于新版——内容精解•关于换证——解决方案ISO27001:2005改版ISO27001:2013现版的信息安全管理体系ISO27001:2005标准已经使用了8年，日前ISO组织（国际标准化组织）终于将新版ISO27001:2013DIS版（国际标准草案Draft International Standard）草稿向公众开放并征求意见，预计在今年6-7月会发布DIS最终版。

ISO 组织公布的正式版本的颁布时间为2013年10月19日。

改版背景改版影响在新版公布后的18至24个月内是认证转换缓冲期，即原有已取得ISO27001证书的企业最迟需要在2015年10月19日前转换到新版标准。

ISO27001的历史发展1992年在英国首次作为行业标准发布，为信息安全管理提供了一个依据。

BS7799标准最早是由英国工贸部、英国标准化协会（BSI）组织的相关专家共同开发制定的BS7799BS7799-1 BS7799-2在1998年、1999年经过两次修订之后出版BS7799-1：1999和BS7799-2：1999。

ISO27002ISO270012000年4月，将BS7799-1：1999提交ISO，同年10月获得通过成为ISO/IEC17799：2000版。

2005年对ISO/IEC17799：2000版进行了修订，于6月15日发布了ISO/IEC17799：2005版。

2007年上半年正式更名为ISO27002:2007。

2013年与ISO27001:2013版同步更新为ISO27002:2013.2001年修订BS7799-2：1999，同年BS7799-2：2000发布。

2002年对BS7799-2：2000进行了修订发布了BS7799-2：2002版。

ISO于2005年10月15采用BS7799-2：2002版本成为国际标准-ISO/IEC27001：2005版。

ISO27001-2013 信息技术--安全技术--信息安全管理体系--要求中文版(正式发布版)

ISO27001-2013 信息技术--安全技术--信息安全管理体系--要求中文版(正式发布版)ISO 27001.2013 信息技术--安全技术--信息安全管理体系--要求中文版(正式发布版)1.背景和目的该标准详细规定了建立、实施、操作、监控、审查、维护和持续改进信息安全管理体系（ISMS）的要求。

它旨在确保组织合理评估信息安全风险，并采取适当的安全措施来保护机密性、完整性和可用性。

2.规范性引用文件本标准适用于以下引用文档:- ISO/IEC 27000.2018 信息技术－安全技术－信息安全管理体系－概述和词汇- ISO/IEC 27002.2013 信息技术－安全技术－信息安全管理实施指南- ISO/IEC 27003.2017 信息技术－安全技术－信息安全管理系统实施指南3.术语和定义以下术语和定义适用于本标准：- 组织：指定了ISMS的范围并对其进行实施、操作、监控、审查、维护和持续改进的实体。

- 高层管理：按照组织的要求，履行其职权和责任的最高级别管理职位。

- ISMS：信息安全管理体系。

4.理解组织和其上下文组织应确定和理解其内外部各方的需求和期望，以及相关方和利益相关者，以确保ISMS的有效性。

5.领导的承诺高层管理应明确表达对ISMS的支持和承诺，确保其适当实施和维护，并提供资源以满足ISMS的要求。

6.政策组织应制定和实施信息安全政策，为ISMS提供框架和方向，并与组织的活动和风险管理策略保持一致。

7.组织内部的风险评估组织应在ISMS实施之前进行风险评估，以确保全面了解和评估信息资产相关的威胁和风险。

8.管理资源组织应为ISMS指定适当的资源，包括人员、设备和财务资源，以确保其有效实施、操作、监控、审查和持续改进。

9.专门支持组织应为ISMS提供必要的支持，包括培训、意识和沟通，以确保员工的积极参与和遵守ISMS的要求。

10.安全风险管理组织应基于风险评估结果，采取适当的措施来管理和缓解信息安全风险，确保信息资产的安全性。

ISO27001：2013信息安全管理体系全套程序09信息安全沟通协调控制程序

xx电子商务技术有限公司版本：A
信息安全沟通协调控制程序
JSWLS /IP-09-2009
编制：xx
审核：xx
批准：xx
2009-6-28发布2009-7-1实施xx电子商务技术有限公司发布
程序文件版次：A/0
程序文件修改控制
序号版次修改章节修改人审核人批准人修改日期
程序文件版次：A/0
信息安全沟通协调控制程序
1 目的
为确保公司信息安全方面信息的内外部沟通渠道的畅通，特制定本程序。

2 范围
适用于公司有关信息安全事务的协商和内外信息交流的管理。

3 职责
3.1 技术部
3.1.1本程序归口管理部门为技术部，负责公司范围内有关信息安全方面的信息交流和沟通活动的日常管理工作，组织召开信息安全协调会；
3.1.2与相关的权威机构、专业团体或其他安全专家论坛以及专业协会建立和保持适当的联系；
3.2 办公室
3.2.1负责本公司信息安全管理信息向外部传递，与地方电信、消防、供电、供水公安等部门在信息安全管理方面保持联系。

3.3 其他部门
3.3.1根据职责分工在各自业务内，负责与地方等部门建立联系并进行沟通。

3.3.2负责收集本部门安全管理信息，并进行传递、沟通。

3.3.3在各自业务内，负责与相关方之间在信息安全方面进行纵向横向信息的交流与沟通。

4 相关文件。

27001-2013新版信息安全管理体系标准解析

ISO27001:2013
A5 安全方针 A6 信息安全组织 A7 人力资源安全 A8 资产管理 A9 访问控制 A10 密码学 A11 物理环境安全 A12 操作安全 A13 通信安全 A14 信息系统的获取、开发和维护 A15 供应商关系 A16 信息安全事件管理 A17 信息安全方面的业务连续性管理 A18 符合性
17
新版本附录A解析 A6
A6 信息安全组织
7
A6.1 内部组织
目标：建立一个管理框架，以启动和控制组织内信息安全的实施和运行。
A6.1.1 信息安全的角色和职责
所有信息安全职责应被定义及分配。
来源
A6.1.3 A8.1.1
A6.1.2 责任分割
A6.1.3 与监管机构的联系 A6.1.4 与特殊利益团体的联系 A6.1.5 项目管理中的信息安全 A6.2 移动设备和远程办公目标：确保远程办公和使用移动设备的安全性。 A6.2.1 移动设备策略 A6.2.2 远程办公
新版本附录A解析 A5
A5 安全方针
1
来源
A5.1 信息安全管理方针
目标：依据业务要求以及相关的法律法规提供管理指导并支持信息安全。
A5.1.1 信息安全方针文件
信息安全方针文件应该由管理者批准、发布并传递给所有员工和外部相
关方。
A5.1.1
A5.1.2 信息安全方针的评审
应按计划的时间间隔或者当重大变化发生时进行信息安全方针评审，以
应该界定任用终止或变更后依然有信息安全责任和义务的员工或承包方
人员，并进行沟通和执行。
A8.3.1
20
新版本附录A解析 A8
ISO27001：2005
A5 安全方针 A6 信息安全组织 A7 资产管理 A8 人力资源安全 A9 物理和环境安全 A10 通信和运作管理 A11 访问控制 A12 信息系统的获取开发以及维护 A13 信息安全事件管理 A14 业务连续性管理 A15 符合性

ISO27001-2013年新版解析

和控制活动
信息技术 – 安全技术 - 信息安全风险管理信息技术 – 安全技术 - 认证机构要求信息技术 – 安全技术 - 信息安全管理体系审核指南控制审核员指南
2008年出版 2007年出版委员会草案委员会草案
行业间交流的信息安全管理
工作组草案
信息技术 – 安全技术 - 基于ISO/IEC 27002通讯行业信息
批准的新项目
应用安全 – 第5部分：协议和应用安全控制的数据结
25 ISO/IEC 27034-5 构
批准的新项目
26 ISO/IEC 27035 信息技术 – 安全技术 – 信息安全事件管理
最终委员会草案
信息技术 – 安全技术 -? ISO/IEC 20000-1及 ISO/IEC
27001一体化实施指南
安全管理体系
2008年出版
21 ISO/IEC 27034-1 应用安全 – 第1部分：概述和概念
最终委员会草案
22 ISO/IEC 27034-2 应用安全 – 第2部分：组织规范性框架
批准的新项目
23 ISO/IEC 27034-3 应用安全 – 第3部分：应用安全管理过程
批准的新项目
24 ISO/IEC 27034-4 应用安全 – 第4部分：应用安全确认
改版影响
在新版公布后的18至24个月内是认证转换缓冲期，即原有已取得ISO27001证书的企业最迟需要在 2015年10月19日前转换到新版标准。
ISO27001的历史发展
BS7799
1992年在英国首次作为行业标准发布，为信息安全管理提供了一个依据。 BS7799标准最早是由英国工贸部、英国标准化协会（BSI）组织的相关专家共同开发制定的
在1998年、1999年经过两次修订之后出版BS7799-1：1999和BS7799-2：1999。

ISO27001：2013信息沟通管理办法

信息沟通管理办法为提高工作效率，建立公司内部正常、顺畅的沟通渠道，根据公司管理要求及公司实际工作的需要，特制定本办法。

一沟通渠道会议沟通1.会议种类及要求（1）例会A 部门例会：每周一各部门召开部门例会，由部门负责人召集，进行部门工作总结并确认本周工作计划安排。

B 公司例会：每周一 9:30召开公司例会，由行政部召集，进行上周工作汇报及本周工作计划沟通。

（2）临时性会议：由总经理或相关权责主管依需要临时召集，包含经营会议、工作汇报、项目会议、各评审会议等。

2.会议管理（1）例行性会议如有变更原则上应提前半个工作日通知，如无变更则不另行通知。

（2）发起非常规临时性会议原则上应至少提前1小时通知与会人员,并且应采用邮件及口头并行方式通知（邮件中须明确会议时间、地点、与会人、会议主题及会议议程）。

（3）与会人员应依据本职工作做好各种准备(包括资料、数据)，确保会议效果；在公司级会议中未按要求提交资料者，将依照规定通报并给予行政处罚；（4）主持人及会议室管理人员应提前进行会场布置。

（5）与会人员须准时出席并签到，因故无法到会者,须提前向主持人请假并取得许可，或派代理人出席(代理人应向主持人报备)，迟到、早退者须向主持人报备,取得谅解及同意。

（6）由会议主持人把控整体会议进度，讨论范围需紧扣主题，并尽量在规定的时间内结束会议。

（7）各类会议由主持人指定人员做《会议记录》，（副）总经理主持召集的会议原则上由总经理秘书负责《会议记录》；重要会议的《会议记录》，经主持人签名确认后，由会议记录者发放给与会人员及相关人员。

（8）会议决议及相关工作安排，应由会议记录者在会议结束一个工作日内发布《会议决议事项追踪表》，明确责任人及追踪人，并及时将事项结果反馈给相关人员。

（9）会议决议的落实实施情况，应作为下次会议议题之一。

文件1.规章、制度类（1）此类文件包含红头文件、各种规章制度流程、规范、标准等，需统一使用公司模板及标准格式并严格按照文控制度完成会签、审批流程。

ISO27001：2013信息安全管理体系全套程序 34网络隔离控制策略

该策略适用于使用信息处理设施的所有人
内容
未经技术部（运维组）许可，用户不可以安装路由器、交换机、集线器或者无线访问端口；
不需要网络连接的计算机不得接入网络。
未经允许，不得接入未知和不安全的无线网络
不允许用户以任何方式更换网络硬件。
信息管理人员不定期巡检所有信息处理设施和网络连接设备。
信息处理设施中病毒，立即断开网络，做物理隔离，并通知信息技术管理人员。
网络隔离控制策略
发布部门
技术部（运维组）
生效时间2009年Βιβλιοθήκη 月1日批准人张德洲
文件编号
JSWLS/IS-64-2009
介绍
随着互联网应用越来越广泛，网络安全始终是人们需要解决的大问题，提高互联网用户计算机网络的可靠性和安全性应该成为当务之急。
目的
该策略的目的是防止未经允许或恶意的访问信息处理设施
适用范围
对内部网络规划网段，不同工作需要的设施划入不同的网段，并建立相应访问策略。

ISO27001-2013信息安全管理手册(GBT 22080-2016)

XXXX有限公司信息安全管理手册ISO27001:2013 编制：审核：批准：信息安全管理手册目录1. 概述 (4)1.1 目的 (4)1.2 适用范围 (4)1.3 颁布令 (4)1.4 授权书 (5)2. 依据文件和术语 (6)2.1 依据文件 (6)2.2 术语定义 (6)3. 裁剪说明 (7)4. 组织环境 (8)4.1 组织环境描述 (8)4.2 信息安全相关方的需求和期望 (11)4.3 信息安全管理体系范围的确定 (11)4.4 体系概述 (12)5. 领导力 (14)5.1 领导力和承诺 (14)5.2 信息安全方针和目标 (14)5.3 组织角色、职责和权限 (15)6. 策划 (17)6.1 风险评估和处置.............................. 错误!未定义书签。

6.2 目标实现过程 (18)7. 支持 (20)7.1 资源提供 (20)7.2 能力管理 (20)7.3 意识培训 (20)7.4 信息安全沟通管理 (20)7.5 文件记录管理 (21)8. 运行 (24)8.1 体系策划与运行 (24)8.2 风险评估 (24)8.3 风险处置 (24)9. 绩效评价 (26)9.1 监视、测量、分析和评价...................... 错误!未定义书签。

9.2 内部审核 (27)9.3 管理评审 (28)10. 改进........................................ 3010.1 不符合和纠正措施 2810.2 持续改进 (28)11. 信息安全总体控制 (31)A.5信息安全策略 (31)A.6信息安全组织 (31)A.7人力资源安全 (35)A.8资产管理 (35)A.9访问控制 (35)A.10密码控制 (36)A.11物理和环境安全 (36)A.12操作安全 (36)A.13通信安全 (37)A.14系统获取、开发和维护 (37)A.15供应商关系 (38)A.16信息安全事故 (38)A.17业务连续性管理的信息安全方面 (38)A.18符合性 (38)附件一：信息安全组织架构映射表 (40)附件二：信息安全职责分配表 (40)1.概述为提高服务质量，规范管理活动，保障系统安全运行，提升人员安全意识水平，XXXXXX软件有限公司（以下简称“公司”）依据信息安全管理标准《GB/T 22080-2016/ISO/IEC 27001:2013 信息技术安全技术信息安全管理体系要求》的相关要求，结合自身业务系统实际运行安全需求，已建立实施了一套科学有效的信息安全管理体系，并通过体系的有效运行，实现持续改进，达到动态系统、全员参与、制度化的、以预防为主的信息安全管理方式。

iso27001-2013信息安全管理体系要求,换版要求.pdf

目录前言 (3)0 引言 (4)0.1 总则 (4)0.2 与其他管理系统标准的兼容性 (4)1. 范围 (5)2 规范性引用文件 (5)3 术语和定义 (5)4 组织景况 (5)4.1 了解组织及其景况 (5)4.2 了解相关利益方的需求和期望 (5)4.3 确立信息安全管理体系的范围 (6)4.4 信息安全管理体系 (6)5 领导 (6)5.1 领导和承诺 (6)5.2 方针 (6)5.3 组织的角色，职责和权限 (7)6. 计划 (7)6.1 应对风险和机遇的行为 (7)6.2 信息安全目标及达成目标的计划 (9)7 支持 (9)7.1 资源 (9)7.2 权限 (9)7.3 意识 (10)7.4 沟通 (10)7.5 记录信息 (10)8 操作 (11)8.1 操作的计划和控制措施 (11)8.2 信息安全风险评估 (11)8.3 信息安全风险处置 (11)9 性能评价 (12)9.1监测、测量、分析和评价 (12)9.2 内部审核 (12)9.3 管理评审 (12)10 改进 (13)10.1 不符合和纠正措施 (13)10.2 持续改进 (14)附录A(规范)参考控制目标和控制措施 (15)参考文献 (28)前言0 引言0.1 总则本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。

采用信息安全管理体系是组织的一项战略性决策。

组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。

所有这些影响因素可能随时间发生变化。

信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性，并给相关方建立风险得到充分管理的信心。

重要的是，信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中，并且在过程、信息系统和控制措施的设计中要考虑到信息安全。

信息安全管理体系的实施要与组织的需要相符合。

本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。

ISO27001--信息安全策略

信息安全策略目录1. 目的 (3)2. 范围 (3)3. 职责与权限 (3)4. 相关文件 (3)5. 术语定义 (3)6. 信息安全策略 (3)6.1 信息安全组织策略 (3)6.2 资产管理策略 (4)6.3 人力资源安全策略 (6)6.4 物理与环境安全策略 (8)6.5 通信与操作管理策略 (9)6.6 访问控制策略 (13)6.7 信息系统获取开发与维护策略 (17)6.8 信息安全事件管理策略 (19)6.9 业务连续性管理策略 (20)6.10 合规性策略 (21)1. 目的根据ISO/IEC27001:2013标准和公司实际管理需要，确定标准各条款对公司的适用性，特编制本程序。

2. 范围适用于对ISO/IEC27001:2013标准于本公司的适用性管理。

3. 职责与权限3.1最高管理者负责信息安全策略的审批。

3.2综合部负责信息安全策略的编制及修订。

4. 相关文件a) 《信息安全管理手册》b) 《信息安全适用性声明》5. 术语定义无6. 信息安全策略6.1 信息安全组织策略6.1.1 综述通过建立与本企业组织相关的以下二个安全策略，促进本企业建立合理的信息安全管理组织结构与功能，以协调、监控安全目标的实现。

与本企业组织有关的策略分内部组织和外部组织两部分来描述。

6.1.2策略一：在本企业建立信息安全管理架构策略目标：在本企业内有效地管理信息安全。

策略内容：本企业应建立专门的信息安全组织体系，以管理信息安全事务，指导信息安全实践。

本信息安全管理手册采用了ISO/IEC 27001:2013标准正文的全部内容，对附录A的删减见《适用性声明SOA》。

策略描述：通过建立信息安全管理组织，启动和控制本企业范围内的信息安全工作的实施，批准信息安全方针与策略、确定安全工作分工和相应人员，以及协调和评审整个云南港电系统集成有限公司信息安全工作的实施。

根据需要，还可以在本企业范围内建立信息安全议题专家建议库，在本企业使用；建立与外部安全专家或组织（包括相关权威人士）的联系，以便跟踪行业趋势、各类标准和评估方法；当处理信息安全事故时，提供合适的联系人和联系方式，以快速及时地对安全事件进行响应；鼓励采用多学科方法来解决信息安全问题。

ISO27001：2013信息安全监控策略

惩罚
违背该策略可能导致：员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会。另外，这些人员还可能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉。
引用标准
略
适用范围
适用于负责信息资源安全、现有信息资源的操作以及负责信息资源安全的所有人员。
术语定义
略
信息
安全
监控
策略
自动检测工具会对检测到的破坏行为或薄弱点利用进行实时通知。在可能的地方可以开发安全底线和工具，监控：
互联网通信
电子邮件通信
局域网通信、协议以及设备清单
操作系统安全参数
在检查破坏行为以及薄弱点被利用情况时可以使用下列文件：
防火墙日志
用户帐户日志
网络扫描日志ቤተ መጻሕፍቲ ባይዱ
系统出错日志
应用程序日志
数据备份和恢复日志
网络打印机和传真日志
下列内容应该由负责的人员每年至少检查一次：
口令的难猜测程度
未经授权的网络设备
未经授权的个人网络服务器
未受保护的共享设备
未经授权使用的调制解调器
操作系统和软件许可
发现的任何问题都应该向综合部报告，进行进一步的调查。
信息安全监控策略
发布部门
技术部
生效时间
2015年02月01日
批准人
文件编号
XXXX-A-03-03
介绍
信息安全监控是确保安全实践和控制被恰当执行和有效实施的一种方法，监控活动包括对下列内容的评审：
防火墙日志
用户帐户日志
网络扫描日志
应用程序日志
数据备份和恢复日志
其他类型的日志以及出错日志 .
目的
该策略是为了确保信息资源控制措施被适当、有效地实施并且不被忽视。安全监控的其中一个好处就是较早的发现破坏行为或新的薄弱点。这样会有助于在破坏发生前阻止破坏行为或薄弱点，最起码能够减小潜在的影响。其他好处包括：审核符合性、服务层监控、业绩测量、划定责任以及容量策划。

ISO27001：2013信息安全管理体系全套程序 01互联网使用策略

目的
该策略的目的是规范互联网以及公司内部网络的使用，确保信息资源不会被泄漏、篡改和破坏。
适用范围
该策略适用于有权访问任何信息资源而又可以访问互联网以及公司内部网络的所有人员。
内容
提供给授权使用者的互联网浏览软件只能用于业务和研发；
所有用于访问互联网的软件必须都经过批准，并且必须结合卖方提供的安全补丁；
通过外部网络传送的所有敏感资料都必须经过加密；
文档和文件的发送或接受必须以不引起法律责任或业务阻碍的方式进行；
使用互联网应遵循法律法规要求，并不得利用国际联网危害国家安全、泄露国家秘密，不得损害国家、社会、集体的利益和公民的合法权益，不得从事违法犯罪活动。
从互联网下载的所有文件必须通过经过批准的病毒检测软件进行病毒扫描；
用于互联网访问的所有软件都应该使用防火墙进行配置；
访问的所有站点都必须符合信息资源使用策略；
所有Web站点上的内容都必须符合信息资源使用策略；
禁止通过Web站点访问带有攻击性或骚扰性的资料；
互联网不可以用于个人私利；
在不能确保资料只被授权的人员或组织使用时，数据不能通过Web站点获取；
互联网使用策略
发布部门
技术部
生效时间
2009年7月1日
批准人
张德洲
文件பைடு நூலகம்号
JSWLS/IS-01-2009
介绍
互联网是传播和获取信息的重要途径。而信息是组织的重要资产。因此，建立该策略能够：
确保互联网的使用符合相应的、与信息资源管理相关的法令、规章及要求；
建立谨慎的、合理的互联网使用惯例；
向使用互联网或者企业内部网络的员工告知其应负的责任。

ISO27001：2013网络设备安全配置管理程序

XXX科技有限公司
网络设备安全配置管理程序
编号：ISMS-B-24
版本号：V1.0
编制：日期：
审核：日期：
批准：日期：
受控状态
1 目的
为确保网络安全，依据安全策略，加强与信息相关网络设备的配置管理，特制定本程序。

2 范围
本程序适用于在组织内使用的所有主要网络设备的安全参数设置管理，包括：
a)防火墙设备及软硬件；
b)网关设备及软硬件；
c)网络交换机及HUB等。

3 职责
3.1 综合管理部
负责对组织内所有主要网络设备的配置和参数设定。

4 相关文件
《信息安全管理手册》
《信息系统访问与使用监控管理程序》
5 程序
5.1 网络设备安全配置策略
5.1.1 通用策略
网络设备的配置必须由IT人员实施。

设备系统日志的记录内容和保存期限应该符合《信息系统访问与使用监控管理程序》。

ISO27001：2013信息安全管理体系全套程序 37操作系统访问策略

操作系统访问策略
发布部门
技术部
生效时间
2009年7月1日
批准人
张德
介绍
这里的操作系统是指安装在硬件设备上运行的系统，对操作系统的访问控制是指在登录操作系统时的访问权限控制。
目的
该策略的目的是建立操作系统的访问策略，用于控制人员对安装在硬件设施上的操作系统的访问权限，避免不必要的信息泄露。
适用范围
该策略适用于各个部门操作系统的所有人。
内容
各个部门使用的操作系统要有明确的记录表单和负责人名单，当操作系统的负责人变更时要满足相应的变更流程，更新相关的表单。
要对操作系统的访问权限定义与职位相挂钩的清单，如主管职位的具有该部门全部操作系统访问权限，员工级别的访问权限是自己对应账号的访问权限。
明确操作系统中的盘符访问权限和软件控制权限，如哪些盘符是不能访问或不能修改的，哪些软件是不能删除的，是否有安装软件的权限等。
明确规定当对新进人员操作系统的账号分配流程。

ISO27001：2013信息资源保密策略

适用范围
该策略适用于使用信息资源的所有人员。
术语定义
略
信息
资源该公开，并且可以被信息服务人员访问；
为了管理系统并加强安全，信息安全小组可以记录、评审，同时也可以使用其信息资源系统中存储和传递的任何信息。为了达到此目的，信息安全小组还可以捕获任何用户活动，如拨号号码以及访问的网站；
在未经授权或获得明确同意的情况下，用户不可以尝试访问公司内部系统中包含的任何数据或程序。
惩罚
违背该策略可能导致：员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除；另外，这些人员还可能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉。
引用标准
略
为了商业目的，第三方将信息委托给公司内部保管，那么信息安全小组的所有工作人员都必须尽最大的努力保护这些信息的保密性和安全性。对这些第三方来说最重要的就是个人消费者，因此消费者的账户数据应该保密，并且对这些数据的访问也应该依据商业需求进行严格限制；
用户必须向适当的管理者报告公司内部计算机安全的任何薄弱点，可能的误用事故或者相应授权协议的违背情况；
信息资源保密策略
发布部门
技术部
生效时间
2015年02月01日
批准人
文件编号
XXXX-A-03-04
介绍
保密策略是用于为信息资源用户建立限制和期望的机制。内部用户不期望信息资源保密。外部用户期望信息资源拥有完整的保密性，除了在发生可疑的破坏行为的情况下。
目的
该策略的目的是明确的沟通信息资源用户的信息服务保密期望。

ISO270012013信息备份安全策略

实习人员和志愿者失去继续工作的机会、学生被开除；另外，这些人员还可能遭
受信息资源访问权以及公民权的损失，甚至遭到法律起诉。
引用标准
略
第1页共1页
信息备份安全策略
发布部门
技术部
生效时间
2015年02月01日
批准人
文件编号
XXXX-A-03-02
介绍
电子备份是一项必需的业务要求，能使数据和应用程序在发生意想不到的事件时得以恢复，这些事件包括：自然灾害、系统磁盘故障、间谍活动、数据输入错误或系统操作错误等。
目的
该策略的目的是设置电子信息的备份和存储职责。
适用范围
该策略适用于组织中负责信息资源安装和支持的所有人员，以及负责信息资源安全的人员和数据所有者。
术语定义
略
信息备份安全策略
信息备份周期和方式必须ห้องสมุดไป่ตู้据信息的重要性以及数据所有者确定的可接受风险确定；
第三方提供的场所外备份存储必须达到信息存储的最高等级；
场所外备份存储区的物理访问控制的实施必须满足并超过原系统的物理访问控制，另外备份介质必须依据信息存储的最高安全等级进行保护；
必须建立并实施对电子信息备份成功与否的验证过程；
必须对场所外备份存储第三方每年进行评审；
为了容易识别介质和/或关联系统，备份介质至少应该被标注下列信息：
系统名；
创建日期；
敏感度分级［以相应的电子记录保持法规为基础］;
包含的信息。
惩罚
违背该策略可能导致：员工以及临时工被解雇、合冋方或顾问的雇佣关系终止、

ISO27001：2013信息安全管理体系全套程序便携式计算机安全策略

便携式计算机Leabharlann 全策略发布部门xx
生效时间
2009年7月1日
批准人
xx
文件编号
JSWLS/IS-04-2009
介绍
便携式计算机设备的功能和应用越来越广泛。其小巧的“体型”和强大的功能使人们期望其替代传统的桌面设备。然而，这些设备的便携式特性也会给使用他们的组织增加安全暴露。
目的
该策略的目的是建立移动计算机设备的使用规则及其与互联网的连接规则。这些规则是保持信息保密性、完整性和可用性所必需的。
适用范围
该策略适用于使用便携式计算机访问信息资源的所有人。
内容
便携式计算机需要外带时，应由相关人员提出书面申请，经由部门主管人员和总经理批准后，方可到财务部借用。
只有被批准的便携式计算机设备才能用来访问信息资源；
便携式计算机设备必须有口令保护；
数据不应存储在便携式计算机设备中。但是，在无可选择的区域存储的情况下，可以存储，但必须使用被认可的加密技术进行加密；
不使用便携式计算机设备通过无线方式传输数据，除非使用经认可的无线传输协议；
所有远程访问（拨入服务）必须通过被认可的拨号池或者互联网服务提供商；
需要连接互联网的计算机设备必须符合信息服务标准，并获得部门书面批准；
对无人看守的便携式计算机设备必须实施物理保护，必须放在带锁的办公室、抽屉或文件柜里，或者锁在桌子或柜子上。