ISMS-2015信息处理设备管理程序

监视和测量管理程序1目的通过对各项控制措施满足控制目标的实现程度及法律、法规符合性的监视、测量与分析，为策划、实施、持续改进信息安全与服务管理体系提供依据。

2范围本程序适用于对本公司区域内所有业务职能部门的安全特性控制、绩效及管理体系运行的监视和测量。

3职责3. 3.1管理者代表4. 1.l负责掌握信息安全与服务管理体系的总体运行情况，并向总经理汇报，对总经理负责。

4.1.2负责每年至少一次组织对本公司职能部门目标、指标的完成情况进行考核。

3.2运营管理部3.2.1负责本程序的编制、修订和监督实施。

3.2.2负责定期对各职能业务部门进行监视和测量，对各职能业务部门的监视和测量执行情况进行监督、检查和指导，为纠正和预防提供信息。

3.2.31负责收集项目交付后的顾客满意程度信息，并进行汇总、分析和传递。

3.3运维服务部3.3.1负责收集项目运维过程的顾客满意程度信息，并进行汇总、分析和传递。

4工作程序4.1监视和测量的范围及依据4.1.1根据本公司业务范围内信息资产的控制范围，确定监视和测量范围。

4. 1.2测量的范围一般包括：a）控制措施的实现过程；b）关键特性；控制措施实现目标程度；适用法律、法规的符合性；业务持续性控制措施；事故、事件和其它不良的绩效；c）不可接受风险计划中确定的措施；cl）顾客信息安全的满意程度。

4. 1.3监视和测量的依据是法律法规、技术标准、顾客合同、适用性声明、管理手册、程序文件等。

4.3.监视和测量的要求应按照国家及地方技术规范规定和顾客要求的检验和试验项目、标准、方法进行监视和测量。

4.4.监视和测量的实施4.3.1本公司运营管理部根据各职能部门确立的监视和测量范围，确定监视和测量的依据、项目、关键特性、频次、使用的仪器设备等。

4.3.2监视和测量可选择的方法a.对控制过程进行日常检查；b.信息安全措施状况的抽查；c.设备装置的检查；d.作业环境的监视；e.记录检查。

检测设备管理程序ISO9001-2015版-新版程序文件检测设备管理程序 2015版1 目的对检测设备进行控制，确保其测量能力满足测量要求。

2 范围适用于原材料与工程施工的检测设备以及过程监测设备的控制。

3 职责3.1 工程部负责检测设备的归口管理，具体负责检测设备的配置、检定与校准。

3.2 项目部负责使用中的监视和测量设备的维护与管理。

3.3 工程部负责监视和测量设备的采购，以及对检测设备供应方进行评价。

4 工作程序4.1 检测设备的配备4.1.1 工程部负责对需要实施的监视与测量予以识别，并根据需要配备检测设备。

4.1.2 当现有的检测设备不能满足测量要求时，由工程部提出申请，报总经理批准后由自行负责采购。

4.1.3 工程部负责对采购或租赁检查设备进行供方评价，并保存评价记录。

4.1.4 新购置的检测设备由工程部会同有关部门验收。

验收合格后方可投入使用。

4.2 检测设备的管理4.2.2 对于能溯源到国际或国家测量基准的检测设备，在投入使用前由工程部负责送至国家法定计量部门进行检定，或采用与标准相对的办法对检测设备进行校准，并按规定的周期检定，保存检定记录。

4.2.3 对于无法溯源的，由工程部编制自检规程并结合测量特性规定自检周期，自检规程应形成文件；工程部负责按自检规程进行检定，保存自检记录。

4.2.4 本公司没有用于监视的计算机软件。

当有时，在使用前由工程部组织确认，必要时进行再确认。

4.2.5对检测设备校准状态予以标识。

4.2.6在使用过程中，使用部门应按使用说明进行调整，防止因调整不当造成设备失准。

4.2.7注意搬运、贮存与使用中的维护，防止损坏或失效。

4.2.8当发现检测设备偏离校准状态时，应对该设备此前测量结果的有效性进行评价，并采取适当的措施，同时对该设备采取必要的措施。

4.3 检测设备的处置4.3.1 对于项目部使用的监视和测量设备出现问题时，由项目部及时进行维修，维修不好的报工程部，由工程部直接作报废处置，同时在台账上注明。

深圳市首品精密模型有限公司信息处理设备管理程序文件编号：ISMS-2015变更履历1 适用与目的本程序适用于公司与IT相关各类信息处理设施(包括各类软件、硬件、服务、传输线路)的引进、实施、维护等事宜的管理。

本程序通过对技术选型、验收、实施、维护等过程中相关控制的明确规定来确保引进的信息处理设施的保密性、完整性和可用性.2信息处理设施的分类2.1 研发控制系统、数据存储控制系统及其子系统设备，包括位于机房的服务器和位于使用区域的使用控制系统终端设备。

2。

2 业务管理系统、财务管理系统，包括位于机房的服务器和位于使用区域的终端设备。

2.3办公用计算机设备，包括所有办公室、会议室内的计算机、打印机，域控制服务器，DNS服务器、Email服务器等。

2.4 网络设备,包括交换机、路由器、防火墙等.2.5 其它办公设备，包括电话设备、复印机、传真机等.3 职责3.1 信息部主要负责全公司与IT相关各类信息处理设施及其服务的引进.包括制作技术规格书、进行技术选型、安装和验收等.信息部同时负责全公司网络设备、研发控制系统、业务管理系统、财务管理系统日常管理与维护。

3.2 各部负责项目实施过程中设备及软件系统的管理制度的执行与维护.3.3 信息部负责后勤系统设备及网络系统、电话/网络通讯与办公系统的管理与维护。

4 信息处理设施的引进和安装4。

1引进依赖各部门必须采购的信息处理设施、外包开发信息系统项目或外包信息系统服务,得到本部门经理的批准后,向信息部提交申请。

信息部以设备投资计划，技术开发计划为依据，结合对新技术的调查，作出是否引进的评价结果并向提出部门返回该信息。

本公司禁止员工携带个人或私有信息处理设施（例如便携式电脑、家用电脑或手持设备PDA等)处理业务信息。

4。

2进行技术选型信息部负责对购入的信息处理设施的技术选型，并从技术角度对供应商进行评价。

技术选型应该包含以下几方面：性能、相关设施的兼容性、协作能力、技术发展能力等。

深圳市首品精密模型有限公司信息系统变更管理程序文件编号:ISMS-2019变更履历第一节总则第一条为规范软件变更与维护管理，提高软件管理水平，优化软件变更与维护管理流程，特制定本制度。

第二条本制度适用于应用系统已开发或采购完毕并正式上线、且由软件开发组织移交给应用管理组织之后，所发生的生产应用系统（以下简称应用系统）运行支持及系统变更工作。

第二节变更流程第三条系统变更工作可分为下面三类类型：功能完善维护、系统缺陷修改、统计报表生成。

功能完善维护指根据业务部门的需求，对系统进行的功能完善性或适应性维护；系统缺陷修改指对一些系统功能或使用上的问题所进行的修复，这些问题是由于系统设计和实现上的缺陷而引发的；统计报表生成指为了满足业务部门统计报表数据生成的需要，而进行的不包含在应用系统功能之内的数据处理工作。

第四条系统变更工作以任务形式由需求方（一般为业务部门）和维护方（一般为信息部门的应用维护组织和软件开发组织，还包括合作厂商）协作完成。

系统变更过程类似软件开发，大致可分为四个阶段：任务提交和接受、任务实现、任务验收和程序下发上线。

第五条因问题处理引发的系统变更处理，具体流程参见《问题处理管理制度》。

第六条需求部门提出系统变更需求，并将变更需求整理成《系统变更申请表》（附件一），由部门负责人审批后提交给系统管理员。

第七条系统管理员负责接受需求并上报给信息部主管。

信息部主管分析需求，并提出系统变更建议。

信息部主管根据变更建议审批《系统变更申请表》。

第八条系统管理员根据自行开发、合作开发和外包开发的不同要求组织实现系统变更需求，将需求提交至内部开发人员、合作开发商或外包开发商，产生供发布的程序。

第九条实现过程应按照软件开发过程规定进行。

系统变更过程应遵循软件开发过程相同的正式、统一的编码标准，并经过测试和正式验收才能下发和上线。

第十条系统管理员组织业务部门的系统最终用户对系统程序变更进行测试，并撰写《用户测试报告》（附件二），提交业务部门负责人和信息部主管领导签字确认通过。

深圳市首品精密模型有限公司信息系统监控管理程序文件编号:ISMS-2016变更履历1 目的为对信息部实施有效的系统监控管理，防止未经授权的信息处理活动。

2 范围本程序适用于信息部对所有信息系统的管理。

3 定义无4 职责4.1 网络管理员负责对核心系统的监控与管理。

4.2 运行监控机房值班人员负责监控系统的日常管理。

5 程序5.1 监控策略5.1.1 所有服务、防火墙、IDS和其他网络边界访问控制系统的系统审核、账号审核和应用审核日志必须打开，如果有警报和警示功能必须打开。

5.1.2 应记录用户活动、异常和信息安全事态的审计日志，记录应永久保存并每半年备份一次，确保记录可调查和访问的控制监视，任何人不得以任何理由删除保存期内的日志。

5.1.3 审核日志必须由网络管理员定期检查，特权使用、非授权访问的试图、系统故障和异常等内容应该得到评审，以查找违背信息安全的征兆和事实。

5.1.4 防火墙系统、IDS系统、漏洞扫描必须处于开启状态，在不经总经理授权，任何人不得将其中任何设备停止、更换或更新，由网络管理员定期评审，对所有可疑的非法访问行为和企图需及时向管理者代表汇报并采取相应的措施。

5.2 日志的配置最低要求5.2.1 操作系统、应用系统、数据库、网络设备的日志应形成日志保存和检查要求，明确其保存周期。

5.2.2 所有日志应在运行系统或设备内至少保存一年的有效记录，备份的日志信息应保存至少三年。

5.2.3 所有日志应该根据重要信息备份的原则进行定期备份。

5.3 管理过程5.3.1 网络管理员根据系统的安全要求确认日志内容、保存周期、检查周期，其最低要求不得低于5.2的要求。

如果因为日志系统本身原因不能满足5.2的最低要求，需要降低标准的，必须得到管理者代表的批准和备案。

5.3.2 网络管理员配置日志系统，并定期检查日志内容，评审安全情况。

评审的内容包括：授权访问、特权操作、非授权的访问试图、系统故障与异常等情况，评审结束应形成《日志评审记录》。

用户名称：XXXXXXX软件管理规定文档属性版本历史Copyright © 2010 上海天帷企业管理咨询有限公司目录1目的和范围 (1)2引用文件 (1)3职责与权限 (1)4软件管理 (2)4.1收集 (2)4.2审核、批准、发布 (2)4.3软件归档和存放 (2)4.4软件使用 (3)4.5修订与升级 (3)4.6软件作废 (3)5实施策略 (4)6相关记录 (4)1目的和范围本标准规定了公司软件资产的收集、发放、管理、使用、更改、修订、备份等过程的控制要求2引用文件1)下列文件中的条款通过本规定的引用而成为本规定的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

2)ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系要求3)ISO/IEC 27002:2005 信息技术-安全技术-信息安全管理实施细则4)补丁管理规定3职责与权限信息系统部：是软件资产的归口管理部门。

负责软件的购置、维护、作废及各部门软件资料、介质的收集、统计、归档、存放和发放使用。

4软件管理4.1 收集1)对公司信息系统涉及的软件资产进行收集整理、分类归档，填写《资产识别表》中“软件和系统”类资产。

公司内软件来源主要有以下几个方面：a)已有商业软件购买。

b)开发部开发内部使用软件。

c)免费软件的下载。

2)识别出资产识别表中重要的软件和应用系统。

4.2 审核、批准、发布1)新的软件使用前填写《新软件和系统登记表》，每季度根据此表内容对《资产识别表》里的软件和系统资产进行更新。

2)新的软件由信息系统部部进行测试或使用检验，测试应当包括可用性、安全性，对其它系统影响和用户友好性，测试应当在与应用系统隔离的系统中进行。

3)新的软件测试或使用检验合格后,经相关部门领导审核并批准后提交信息系统部发布。

深圳市首品精密模型有限公司信息应用系统安全管理程序文件编号:ISMS-2018编 制审 核批 准变更履历序号版本编号或更改记录编号简要说明(变更内容、变更位置、变更原因和变更范围)变更日期变更人审核人批准人批准日期1A/0初始发行----2016-8-51目的为保障公司管理信息系统的操作系统和数据库管理系统的安全、稳定运行，规范操作系统和数据库管理系统的安全配置和日常操作管理，特制订本管理办法。

2范围本办法适用于公司信息系统的操作系统和数据库系统的管理和运行。

3术语和定义下列术语和定义适用于本标准操作系统安全：操作系统所存储、传输和处理的信息的保密性、完整性、和可用性表征。

数据库管理系统安全：数据库管理系统所存储、传输和处理的信息的保密性、完整性和可用性的表征。

4操作系统运行管理4.1操作系统管理员的任命4.1.1操作系统管理员的任命应遵循“任期有限、权限分散”的原则；4.1.2对每个操作系统要分别设立操作系统管理员和操作系统审计员，并分别由不同的人员担任。

在多套系统的环境下，操作系统管理员和操作系统审计员岗位可交叉担任；4.1.3操作系统管理员和操作系统审计员的任期可根据系统的安全性要求而定，最长为三年，期满通过考核后可以续任；4.1.4操作系统管理员和操作系统审计员必须签订保密协议书。

4.2操作系统管理员帐户的授权、审批4.2.1操作系统管理员和操作系统审计员账户的授权由所在部门填写《操作系统账户授权审批表》，经部门领导批准后设置；4.2.2操作系统管理员和操作系统审计员人员变更后，必须及时更改帐户设置。

4.3其他帐户的授权、审批4.3.1其他账户的授权由使用人填写《操作系统账户授权审批表》，经信息管理部门领导批准后，由操作系统管理员进行设置；4.3.2外单位人员需要使用公司系统时, 须经信息管理部门领导同意, 填写《外单位人员操作系统账户授权审批表》，报信息管理部门领导批准后, 由操作系统管理员按规定的权限、时限设置专门的用户帐号；4.3.3严禁公司任何人将自己的用户帐号提供给外单位人员使用。

I S M S手册-信息安全管理体系手册精品管理制度、管理方案、合同、协议、一起学习进步信息安全管理IT服务管理体系手册发布令本公司按照ISO20000:2005《信息技术服务管理—规范》和ISO27001：2005《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT 服务管理体系手册》，建立与本公司业务相一致的信息安全与IT服务管理体系，现予以颁布实施。

本手册是公司法规性文件，用于贯彻公司信息安全管理方针和目标，贯彻IT服务管理理念方针和服务目标。

为实现信息安全管理与IT服务管理，开展持续改进服务质量，不断提高客户满意度活动，加强信息安全建设的纲领性文件和行动准则。

是全体员工必须遵守的原则性规范。

体现公司对社会的承诺，通过有效的PDCA活动向顾客提供满足要求的信息安全管理和IT服务。

本手册符合有关信息安全法律法规要求以及ISO20000:2005《信息技术服务管理—规范》、ISO27001：2005《信息安全管理体系要求》和公司实际情况。

为能更好的贯彻公司管理层在信息安全与IT服务管理方面的策略和方针，根据ISO20000:2005《信息技术服务管理—规范》和ISO27001：2005《信息安全管理体系要求》的要求任命XXXXX为管理者代表，作为本公司组织和实施“信息安全管理与IT服务管理体系”的负责人。

直接向公司管理层报告。

全体员工必须严格按照《信息安全管理&IT服务管理体系手册》要求，自觉遵守本手册各项要求，努力实现公司的信息安全与IT服务的方针和目标。

管理者代表职责：a) 建立服务管理计划；b) 向组织传达满足服务管理目标和持续改进的重要性；e) 确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源，如招聘合适的人员，管理人员的更新；1．确保按照ISO207001:2005标准的要求，进行资产识别和风险评估，全面建立、实施和保持信息安全管理体系；按照ISO/IEC 20000 《信息技术服务管理－规范》的要求，组织相关资源，建立、实施和保持IT服务管理体系，不断改进IT服务管理体系，确保其有效性、适宜性和符合性。

工作设备管理规定1 目的为规范公司工作设备的申请，采购、发放，以及日常维护管理。

2适用范围适用于ISMS所涉及的所有工作用设备的申请、采购、发放、收回，以及日常维护管理相关活动。

3 术语和定义无。

4 职责和权限各部门根据需求提出设备采购申请；DXC负责设备的采购、检验、发放、收回等管理，价值超过XXXX元以上的设备采购必须经最高管理者批准后方可实施；DXC负责工作设备的日常维护管理；5 相关活动5.1 申请5.1.1 一般申请一般申请是指单价在5000元人民币以下的申请。

如，开发用的个人PC及周边设备、普通打印机等。

因工作需要进行设备升级或申请新设备时，应填写《设备申请表》，经部门负责人审核并签署意见后，交DXC。

DXC同意后，若有库存的设备，可从库存中直接调配。

若系统部没有库存，则由部门购买新设备。

5.1.2 特殊申请特殊申请是指单价是超过5000元(含5000元)人民币的设备，或是大批量购进设备，如，高配置服务器等，项目组申请大批开发用的个人PC等。

特殊申请在DXC批准后还须经公司最高管理者签字批准。

5.2 采购DXC指定采购负责人，并根据提交的《设备申请表》中的内容，填写《设备采购申请表》，并对需要购买设备进行内部估价。

并将估价填入《设备采购申请表》；内部估价结束后，要进行寻价活动。

寻价建议在《供应商一览表》中的供应商范围内进行。

参见供方的选择和评价；大型设备（服务器、其他大型设备以及计算机软件等）至少要寻价3家供应商，并将供方联系方式记录在《设备采购申请表》中；中型设备（显示器、工作站、打印机等）：至少要寻价2家供应商，并将供方联系方式记录在《设备采购申请表》中；小型设备，可寻价1家供应商，或在互联网上直接寻价。

将寻价价格记录在《设备采购申请表》；寻价结束后，DXC采购负责人根据寻价结果综合考虑，确定供应商和价格。

填写《设备采购申请表》中的单价、金额、供应商、到货日期。

采购负责人根据批示，制作采购合同（也可不另外制作合同，依据批准的《设备采购申请表》实施采购）；5.3 验收和入库到货后，DXC对到货设备进行检验（也可在供方现场实施验证）。

《ISMS方针、手册、程序文件模版》目录1 信息安全管理体系手册2 信息安全管理体系程序文件ISMS-业务持续性管理程序ISMS-事故、薄弱点与故障管理程序ISMS-企业商业技术秘密管理程序ISMS-信息处理设施引进实施管理程序ISMS-信息处理设施维护管理程序ISMS-信息安全人员考察与保密管理程序ISMS-信息安全奖励、惩戒管理规定ISMS-信息安全适用性声明ISMS-信息安全风险评估管理程序ISMS-内部审核管理程序ISMS-恶意软件控制程序ISMS-更改控制程序ISMS-物理访问程序ISMS-用户访问控制程序ISMS-管理评审控制程序ISMS-系统开发与维护控制程序ISMS-系统访问与使用监控管理程序ISMS-计算机应用管理岗位工作标准ISMS-计算机管理程序ISMS-记录控制程序ISMS-重要信息备份管理程序ISMS-预防措施程序3 信息安全管理体系作业文件Token 管理规定产品运输保密方法管理规定介质销毁办法保安业务管理规定信息中心主机房管理制度信息中心信息安全处罚规定信息中心密码管理规定信息安全人员考察与保密管理程序信息开发岗位工作标准信息系统访问权限说明信息销毁制度（档案室）可移动媒体使用与处置管理规定各部门微机专责人工作标准复印室管理规定工程师室和电子间管理规定数据加密管理规定文件审批表机房安全管理规定档案室信息安全职责法律法规与符合性评估程序生产经营持续性管理战略计划监视系统管理规定系统分析员岗位工作标准经营部信息事故处理规定经营部信息安全岗位职责规定经营部计算机机房管理规定经营部访问权限说明网站信息发布管理程序网络中间设备安全配置管理规定网络通信岗位工作标准计算机硬件管理维护规定财务管理系统访问权限说明远程工作控制程序4 常见信息安全管理体系记录上级单位领导来访登记表事故调查分析及处理报告信息发布审查表信息处理设施使用情况检查表信息安全内部顾问名单信息安全外部专家名单信息安全故障处理记录信息安全法律、法规清单信息安全法律、法规符合性评价报告信息安全薄弱点报告信息安全记录一览表信息安全重要岗位评定表信息设备转交使用记录信息设备转移单信息设备（设施）软件采购申请信息资产识别表内部员工访问特别安全区域审批表外部网络访问授权登记表应用软件开发任务书应用软件测试报告操作系统更改技术评审报告敏感重要信息媒体处置申请表文件修改通知单文件借阅登记表文件发放回收登记表文件销毁记录表时钟校准记录机房值班日志机房出入登记表生产经营持续性管理战略计划生产经营持续性管理计划生产经营持续性计划测试报告生产经营持续性计划评审报告用户设备使用申请单用户访问授权登记表 a 用户访问授权登记表 b 监控活动评审报告私人信息设备使用申请单第三方访问申请授权表 a 第三方访问申请授权表 b 系统测试计划网络打印机清单计算机信息网络系统容量规划记录借阅登记表记录销毁记录表设备处置再利用记录设施系统更改报告访问权限评审记录软件安装升级申请表软件设计开发方案软件设计开发计划软件验收报告远程工作申请表重要信息备份周期一览表5 典型信息安全策略集锦5.01 安全监控策略5.02 安全培训策略5.03 备份安全策略5.04 便携式计算机安全策略5.05 病毒检测策略5.06 电子邮件策略5.07 服务器加强策略5.08 更改管理安策略5.09 互联网使用策略5.10 口令策略5.11 卖方访问策略5.12 入侵检测策略5.13 软件注册策略5.14 事故管理策略5.15 特权访问管理策略5.16 网络访问策略5.17 网络配置安全策略5.18 物理访问策略5.19 系统开发策略5.20 信息资源保密策略5.21 信息资源使用策略5.22 帐号管理策略还有这些通过ISO27001 认证，需要审核那些安全文档？一级文件:信息安全管理手册二级程序信息安全风险评估管理程序--A5 安全方针威胁影响程度判断准则--A5 安全方针风险接受准则--A5 安全方针风险处理计划--A5 安全方针信息安全适用性声明--A5 安全方针管理评审控制程序--A6 信息安全组织管理评审实施程序--A6 信息安全组织计算机管理程序--A7 资产管理信息划分及标识管理程序--A7 资产管理企业商业技术秘密管理程序--A7 资产管理信息安全人员考察与保密管理程序--A8 人员安全人员安全考察管理程序--A8 人员安全人员离职、转岗安全管理程序--A8 人员安全人员信息安全培训、意识及能力管理程序--A8 人员安全信息安全奖励与惩戒管理规定--A8 人员安全物理访问程序--A9 物理及环境安全信息处理设施维护程序--A10 通信及操作信息处理设施引进实施管理程序--A10 通信及操作恶意软件控制程序--A10 通信及操作更改控制程序--A10 通信及操作系统访问与使用监控管理程序--A10 通信及操作用户访问控制程序--A11 访问控制文件控制程序--A11 访问控制记录控制程序--A11 访问控制系统开发与维护控制程序--A12信息系统的获得、开发和维护项目安全管理程序--A12 信息系统的获得、开发和维护预防措施控制程序--A13 信息安全事故事故、薄弱点与故障管理程序--A13 信息安全事故业务持续性管理程序--A14 业务连续性重要信息备份管理程序--A14 业务连续性内部审核管理程序--A15 符合性外部标准管理规程--A15 符合性法律法规、相关方要求识别与符合性评估程序--A15 符合性。

管理评审控制程序1目的通过最高管理者对信息安全与服务管理体系持续的充分性、有效性、适宜性的评审，不断改善体系及其运行效果，以确保信息安全与服务管理体系持续有效地满足标准的要求，确保本公司信息安全方针和目标适应公司自身发展的需要，以不断完善信息安全与服务管理体系,需求持续改进的机会,特制定本程序。

2范围本程序适用于对本公司信息安全与服务管理体系的评审。

3职责3.1总经理总经理负责主持管理评审活动,对信息安全与服务管理体系的现状和适应性进行正式评价。

3.2管理者代表审核《管理评审报告》。

负责评审后的跟踪检查及协调落实改进措施中的问题。

3.3运营管理部3.3.1协助总经理、管理者代表做好有关管理评审的各项工作。

3.3.2收集并准备管理评审所需的资料，控制好评审的输入和其它准备工作。

3.3.3整理并编写《管理评审报告》3.4相关部门3.4.1负责准备并提供评审所需的与管辖范围有关的资料。

3.4.2根据评审通知，出席会议并事先对全公司信息安全与服务管理体系运行及改进重点准备好意见和建议。

3.4.3负责实施管理评审提出的涉及本部门的质量和环境改进措施。

3.4.4参照本公司管理评审的精神，评价本部门信息安全与服务管理活动开展情况并提出相应的改进措施。

4、措施和方法4.1总则4.1.1管理评审每年至少进行一次,二次间隔时间不得超过十二个月。

4.1.2管理评审在内部信息安全与服务管理体系审核的基础上进行,但在出现下列情况时,也应适时组织管理评审：1）当本公司的组织机构、产品范围、资源配置发生重大变化时；2）当发生重大信息安全问题或顾客关于信息安全有严重投诉或投诉连续发生时；3）当市场需求发生重大变化时；4）当总经理认为有必要进行时；5）当法律法规\标准及其他要求有变化时；6）即将进行第二\三方审核或法律\法规规定的审核时；7）当信息安全审核中发现严重不合格时。

4.1.3管理评审应针对信息安全与服务管理体系的适宜性、充分性和有效性进行评价。

ITSS管理体系文件信息安全管理过程目录1. 目的 (1)2. 适用范围 (1)3. 定义和术语 (1)4. 职责 (1)4.1 信息安全过程负责人 (1)4.2 运维服务部经理 (2)5. 流程策略 (2)5.1 公司信息安全方针 (2)5.2 安全资源管理策略 (2)6. 流程描述 (2)6.1 流程图 (3)6.2 需求识别和分析 (3)6.3 确定安全实施范围 (4)6.4 信息安全风险评估 (4)6.5 设计安全规范 (4)6.6 实施安全规范 (4)6.7 监控安全状况 (5)6.8 维护安全规范和信息安全改进 (5)6.9 信息安全报告 (6)7. 质量控制 (7)7.1 关键绩效指标（KPI） (7)7.2 质量监控和改进 (7)8. 参考文件 (8)9. 相关记录 (8)10. 附件 (8)1. 目的为建立一个适当的信息安全事态、信息安全事故、薄弱点和故障报告、反应与处理机制，减少信息安全事故和故障所造成的损失，采取有效的纠正与预防措施，特制定本程序。

2. 适用范围适用组织：A信息技术有限公司；适用活动：运维服务过程中的信息安全事故管理相关内容。

3. 定义和术语机密性：指保护信息免受未经授权的访问和使用。

完整性：指信息的准确性、完全性和及时性。

可用性：是信息在任何约定的时间内都可以被访问，这取决于由信息处理系统所提供的持续性。

4. 职责4.1 信息安全过程负责人➢监控安全管理流程；➢根据组织安全需求，开发与维护安全计划；➢处理与安全相关的问题和事件；➢确保满足运维服务指定的安全需求；➢完成包含流程结果，自评估及内部审计的信息安全风险评估报告；➢人员组成：信息安全管理员、部门经理等。

4.2 运维服务部经理➢负责安排项目中的信息安全风险评估；➢做好用户的沟通，协调关于信息安全的问题。

5. 流程策略5.1 公司信息安全方针安全意识，控制风险，积极预防，持续改进。

5.2 安全资源管理策略➢提供建立、实施、运营和维护安全管理体系所需的资源，确保信息安全管理能够支持业务需求；➢应按法律法规要求以及合同安全职责规定提供资源；➢应提供资源进行正确的应用软件操作控制措施满足安全需求；➢在必要时应提供资源实施回顾，并针对回顾结果采取必要的措施；➢在必要时应提供资源以提高信息安全管理体系的效率。

沟通管理程序1目的为了确保公司信息安全、IT运维服务方面信息的内外部沟通渠道的畅通，特制定本程序。

2范围适用于公司有关信息安全、IT运维服务事务的协商和内外信息交流的管理。

3职责1.1运营管理部a.负责公司范围内有关信息安全、IT运维服务方面的信息交流和沟通活动的日常管理工作，组织召开信息安全、IT运维服务协调会；b.负责与客户及其他相关方对公司信息安全、IT运维服务投诉的处理；c.负责接收、传递信息安全、IT运维服务管理有关的外部公文；d.负责本公司信息安全、IT运维服务信息向外部传递，与地方电信、公安等部门在信息安全、IT运维服务管理方面保持联系。

3.2各相关部门a.与相关的权威机构、专业团体或其他安全专家论坛以及专业协会建立和保持适当的联系；b.负责与信息系统（软硬件）相关方之间有关信息安全、IT运维服务方面的交流沟通与管理工作。

c.负责收集本部门信息安全、IT运维服务信息，并进行传递、沟通。

d.在各自业务内，负责与相关方之间在信息安全、IT运维服务方面的信息交流与沟通。

4程序3.1信息安全、IT运维服务沟通的内容3.1.1与信息安全、IT运维服务有关的法律、法规和其他要求颁布与修订制度的信息。

3.1.2信息安全、IT运维服务的威胁、薄弱点及相关事件的信息。

4. 1.3公司信息安全、IT运维服务管理检查情况。

4.1.4相关方对公司信息安全、IT运维服务管理的建议、要求和意见、投诉信息。

3.2信息安全、IT运维服务的沟通方式4.2.1各部门代表参加的沟通协调会议。

5.2.2口头或书面通知。

6.2.3电子邮件、传真。

4. 2.4信息安全、IT运维服务管理工作报告、会议、总结。

4.3信息安全、IT运维服务的协商4. 3.1公司在组织下列活动时,应与各部门协商：a.信息安全、IT运维服务方针的制定、修改和评审；b.信息安全、IT运维服务管理体系文件，特别是作业文件的修改和评审；c.信息安全、IT运维服务的资产识别与风险评估；d.可能影响到信息安全、IT运维服务的任何活动。

密级控制程序变更记录密级控制程序1范围为更好地管理客户（合作方）和本公司在服务、技术、经营等活动中产生的各类信息，防止因不恰当使用或泄漏,使本公司蒙受经济损失或法律纠纷，特制定本管理规程。

本标准规定了信息密级划分、标注及处理控制目标和控制方式。

2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

《GB/T 22080-2008 idt ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系要求》《GB/T 22081-2008 idt ISO/IEC 27002:2005 信息技术-安全技术-信息安全管理实施细则》3 术语和定义I GB/T 22080-2008 idt ISO/IEC 27001:2005《信息技术-安全技术-信息安全管理体系要求》和GB/T 22081-2008 idt ISO/IEC 27002:2005《信息技术-安全技术-信息安全管理实施细则》规定的术语适用于本标准。

4 职责和权限4.1 XX部XX部负责信息密级划分、标注及处理控制。

4.2 各部门各部门负责本部门使用或管理的信息密级划分、标注及处理控制。

5 活动描述5.1 密级的分类信息的密级分为3类：企业秘密事项（秘密）、内部信息事项（受控）和公开事项。

信息分类定义：a)“秘密”：《中华人民共和国保守国家秘密法》中指定的秘密事项；或不可对外公开、若泄露或被篡改会对本公司的日常经营造成严重损害，或者由于业务上的需要仅限有关人员知道的事项；介质包括但不限于：纸类、电磁类及其它媒体（纸张、软盘、硬盘、光盘、磁带、胶片）。

b)“受控”：不可对外公开、若泄露或被篡改会对本公司的日常经营造成损害，或者由于业务上的需要仅限有关人员知道的事项；或是指为了日常的业务能顺利进行而向公司员工公开、但不可向公司以外人员随意公开的事项。