GBT22080文件信息密级控制程序

GBT22080：2016网络信息安全管理制度

目录一、信息系统容量规划及验收管理规定 (1)二、信息资产密级管理规定 (2)三、信息系统设备管理规定 (4)四、笔记本电脑管理规定 (8)五、介质管理规定 (10)六、变更管理规定 (13)七、第三方服务管理规定 (16)八、邮件管理规定 (18)九、软件管理规定（无） (21)十、系统监控管理规定（无） (23)十一、补丁管理规定（无） (24)十二、信息系统审核规范（无） (25)十三、基础设施及服务器网络管理制度 (26)十四、信息系统安全应急预案 (29)十五、远程办公管理制度 (33)十六、信息安全访问控制管理规定 (34)十七、信息交换管理规定 (38)一、信息系统容量规划及验收管理规定1. 目的针对已确定的服务级别目标和业务需求来设计、维持相应的开发中心服务能力，从而确保实际的开发中心服务能够满足服务要求。

2. 范围适用于公司所有硬件、软件、外围设备、人力资源容量管理。

3. 职责综合部负责确定、评估容量需求。

4. 内容(1)容量管理包括：服务器,重要网络设备：LAN、WAN、防火墙、路由器等；所有外围设备：存储设备、打印机等；所有软件：操作系统、网络、内部开发的软件包和购买的软件包；人力资源：要维持有足够技能的人员。

(2)对于每一个新的和正在进行的活动来说，公司管理层应识别容量要求。

(3)公司管理层每年应在管理评审时评审系统容量的可用性和效率。

公司管理层应特别关注与订货交货周期或高成本相关的所有资源，并监视关键系统资源的利用，识别和避免潜在的瓶颈及对关键员工的依赖。

(4)应根据业务规划、预测、趋势或业务需求,定期预测施加于综合部系统上的未来的业务负荷以及组织信息处理能力，以适当的成本和风险按时获得所需的容量。

第 1 页共 41 页二、信息资产密级管理规定1. 目的确保公司营运利益，并防止与公司营运相关的保密信息泄漏。

2. 范围本办法适用于公司所有员工。

3. 保密信息定义保密信息指与公司营运相关且列入机密等级管理的相关信息。

2019年GBT22080-2016信息安全管理体系信息安全风险识别评价及控制措施计划

NO
预防控制措施
系统打补丁，安装防病毒软件；增强信息安全意识培训
张三
2019/1/1
持续进行
有效
allen
9
技术总监PC
未经授权的系统访问
弱的密码管理
2
YES
预防控制措施
增强信息安全意识培训
张三
2019/1/1
持续进行
有效
allen
10
技术总监PC
意外断电
缺乏意识
2
YES
预防控制措施
增强信息安全意识中
有效
allen
11
程序开发员PC-A程序开发员PC-B
程序开发员PC-C
程序开发员PC-D
恶意代码（如病毒、逻辑炸弹、木马）
缺乏安全意识
3
NO
预防控制措施
系统打补丁，安装防病毒软件；增强信息安全意识培训
李四
李五
李六
李一
2019/1/1
持续进行
有效
allen
12
程序开发员PC-A程序开发员PC-B
GBT22080-2016信息安全管理体系信息安全风险识别评估报告
更新评价日期：2019.10.11
序号
资产名称
威胁描述
脆弱性描述
风险等级
风险是否可接受
控制风险方式
风险处理措施
责任人
实施日期
完成日期
处理措施
有效性验证
验证人
1
总经理PC
恶意代码（如病毒、逻辑炸弹、木马）
缺乏安全意识
3
NO
预防控制措施
系统打补丁，安装防病毒软件；增强信息安全意识培训
张五
2019/1/1

GBT22080信息安全管理手册

编写委员会信息安全管理手册GLSC2020第A/0版编写：审核：批准：受控状态：XXX网络科技有限公司发布时间：2020年9月1日实施时间：2020年9月1日01目录02修订页03颁布令为提高我公司的信息安全管理水平,保障公司和客户信息安全，依据GB/T 2 2080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》结合本公司实际，特制定信息安全管理手册（以下简称“管理手册”）A/0版。

《管理手册》阐述了公司信息安全管理，并对公司管理体系提出了具体要求，引用了文件化程序，是公司管理体系的法规性文件，它是指导公司建立并实施管理体系的纲领和行动准则，也是公司对所有社会、客户的承诺。

《管理手册》是由公司管理者代表负责组织编写，经公司总经理审核批准实施。

《管理手册》A/0版于2020年9月1日发布，并自颁布日起实施。

本公司全体员工务必认真学习,并严格贯彻执行，确保公司信息安全管理体系运行有效，实现信息安全管理目标，促使公司信息安全管理工作得到持续改进和不断发展。

在贯彻《管理手册》中，如发现问题，请及时反馈，以利于进一步修改完善。

授权综合部为本《管理手册》A/0版的管理部门。

XXX网络科技有限公司总经理：2020年9月1日04任命书为了贯彻执行GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》，加强对管理体系运作的领导，特任命gary为本公司的信息安全管理者代表。

除履行原有职责外，还具有以下的职责和权限如下：（1）确保信息安全管理体系的建立、实施、保持和更新；进行资产识别和风险评估。

（2）向最高管理者报告管理体系的有效性和适宜性，并作为评审依据用于体系的改进；（3）负责与信息安全管理体系有关的协调和联络工作；（4）负责确保管理手册的宣传贯彻工作；（5）负责管理体系运行及持续改进活动的日常督导；（6）负责加强对员工的思想教育和业务、技术培训，提高员工信息安全风险意识；（7）主持公司内部审核活动，任命内部审核人员；（8）代表公司就公司管理体系有关事宜与外部进行联络。

GBT22080信息安全适用性声明

GB/T 22080信息安全适用性声明
信息安全适用性声明
1
本声明描述了在ISO27001:2005附录A中，适用于本公司信息安全管理体系的目标/控制、是否选择这些目标/控制的理由、公司现行的控制方式、以及实施这些控制所涉及的相关文件。
2
ISMS-1001《信息安全管理手册》
3
《信息安全适用性声明》由XXX编制、修订，由管理者代表批准。
A.6.1.1
信息安全管理承诺
控制
YES
确定评审安全承诺及处理重大安全事故，确定与安全有关重大事项所必须的职责分配及确认、沟通机制。
公司成立信息安全管理委员会，由公司领导、信息安全管理者代表、各主要部门负责人组成。信息安全管理委员会至少每半年召开一次，或者当信息安全管理体系发生重大变化或当管理者代表认为有必要时召开。信息安全管理者代表负责决定召开会议的时机及会议议题，行政部负责准备会议日程的安排。会议主要议题包括：
内部信息安全顾问负责：
a)按照专业分工负责解答公司有关信息安全的问题并提供信息安全的建议；
b)收集与本公司信息安全有关的信息、新技术变化，经本部门负责人审核同意，利用本公司电子邮件系统或采用其它方式传递到相关部门和人员；
c)必要时，参与信息安全事故的调查工作。
《信息安全内部顾问名单和信息安全外部专家名单》
公司成立信息安全管理协调小组，由信息安全管理者代表和XXX部、XXX部信息安全体系内审员组成。
协调小组每季度召开一次协调会议（特殊情况随时召开会议），对上一季度的信息安全管理工作进行总结，解决体系运行中存在的问题，并布置下一季度的信息安全工作。会议由XXX负责组织安排并做好会议记录。
有关信息安全管理委员会会议记录（会议纪要）
A.6.1.4

ISO27001-GBT22080信息系统开发、变更与维护管理制度

第7条测试专员需将系统测试中所出现的问题记录成册，定期交予信息部经理。
第8条信息系统安装调试前的必须工作。
1．制定紧急预案，以确保新系统发生故障时能切回到旧系统。
2．必须完成整体测试和用户验收测试后才可安装调试。
第8条新旧系统切换时，进行数据迁移必须建立数据迁移计划并对迁移结果进行测试。
第9条安装后的信息系统功能变更时，重新按照系统开发的有关程序进行。
1．因地制宜原则。应根据行业特点、企业规模、管理理念、组织结构、核算方法等因素设计适合本单位的计算机信息系统。
2．成本效益原则。计算机信息系统的建设应当能起到降低成本、纠正偏差的作用，根据成本效益原则，企业可以选择对重要领域中关键因素进行信息系统改造。
3．理念与技术并重原则。信息系统建设应当将信息系统技术与信息系统管理理念整合，倡导全体员工积极参与信息系统建设，正确理解和使用信息系统，提高信息系统运作效率。
信息系统开发、变更与维护管理制度
制度名称
信息系统开发、变更与维护管理制度
受控状态
文件编号
执行部门
监督部门
考证部门
第1章总则
第1条为了提高企业的工作效率，提升企业信息系统的可靠性、稳定性、安全性，特制定本制度。
第2条本制度适用于信息部与各用户部门使用企业信息系统的相关人员。
第2章系统开发与变更
第3条企业信息系统开发所遵循的原则。
第3章信息系统的维护
第10条对于企业自主开发的信息系统，根据其大小、性能定期检测、定期维护。
第11条数据库管理专员将数据库中的数据定期备份，以防止系统出现问题时数据丢失。
第12条信息系统出现问题时，信息部员工按编制的应急预案进行处理。
第4章附则
第13条本制度由信息部制定，解释权、修改权归属信息部。

22080-2016-ISO27001-2013信息安全管理体系纠正和预防措施控制程序

纠正和预防措施控制制度目录1. 目的和范围 (2)2. 引用文件 (2)3. 职责和权限 (2)4. 持续改进 (3)5. 纠正措施制度 (3)5.1.信息的收集和汇总分析 (3)5.2.下达任务 (4)5.3.纠正措施的实施 (4)5.4.监督和效果验证 (4)6. 预防措施制度 (5)6.1.分析潜在不符合项的原因 (5)6.2.预防措施的实施 (5)6.3.监督和验证 (6)7. 实施策略 (6)8. 相关记录 (7)1.目的和范围为了对信息安全管理体系运行出现的不符合事项（信息安全事故、审核中出现的不符合等）或潜在不符合事项进行分析、纠正，并为防止潜在不符合项的发生，采取预防措施，以消除造成实际或潜在的不符合项的原因，持续改进信息安全管理体系，特制定纠正和预防措施管理制度。

本制度适用于信息安全管理体系各项活动中发生或可能发生的所有不符合项的纠正和预防措施的管理。

2.引用文件1)下列文件中的条款通过本规定的引用而成为本规定的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

2)GB/T 22080-2008/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求3)GB/T 22081-2008/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则4)《文件控制制度》5)《信息安全交流控制制度》3.职责和权限1)信息安全工作小组：●负责选派一名纠正和预防措施监督员负责收集信息并组织责任部门分析原因，并跟踪验证纠正预防措施实施情况；●负责与相关部门共同制定纠正预防措施。

2)各部门：负责本部门的不符合原因分析及纠正、预防措施的制定和实施。

4.持续改进1)为了消除不符合项或潜在的不符合项的产生，所采取的纠正、预防措施应与问题大小和风险程度相适应，以最佳的成本获得满足信息安全管理体系的要求。

商业秘密管理程序 2022年GBT22080信息安全管理体系文件

X X X股份有限公司2022年企业信息安全管理体系文件说明：根据GBT22080:2016版编制而成商业秘密管理程序1、目的通过建立商业秘密管理程序，规范企业经营管理过程中相关的商业秘密管理流程，防止因不恰当使用或泄漏企业商业秘密信息,使本公司蒙受经济损失或法律纠纷。

2、范围本程序适用于企业商业秘密信息的管理。

3、术语和定义信息安全：对信息的保密性、完整性和可用性的保持。

保密性：信息未对授权的个人、实体或过程不可用或不可泄露的特性。

4、职责和权限4.1 行政部4.1.1负责商业秘密管理程序的归口管理。

4.2 其他相关部门4.2.1遵守保密承诺、保守商业秘密。

5、程序内容5.1 商业秘密的密级确定和标识商业秘密由产生该事项的部门确定，编写的文件一旦被指定为秘密文件，则负责人应对编写中和编写后的无用稿件进行处置。

5.2 涉密文件的发放5.2.1发送秘密文件时，指定者应根据文件内容指定接收部门和接收人。

为了避免接收人因不清楚使用范围而泄密，可在附件中指明使用目的和使用范围。

5.2.2组织内发送的秘密文件，尽可能亲自交给接收人，或装入信封并标明“亲展”，封好后作为组织内文件发送。

非收件人不得随便拆阅该文件。

5.2.3发往公司以外的秘密文件，原则上双方应签署含有保密条款的合同，并经部门主管以上的批准后方可提供。

特殊情况(无保密条款合同，但又必需提供)需事先准备好保密协议书，经部门主管以上批准并要求对方在接收时签收。

5.3 商业秘密的使用5.3.1秘密文件的接收人应按秘密文件的使用目的、使用范围正确使用秘密文件。

5.3.2秘密文件的保管人员和秘密的实际操作人员未经指定者许可不得擅自将秘密内容向其它人员公开。

5.3.3秘密文件原则上严禁复印。

因业务必需时应填写《涉密文件复印登记表》，并限制在最小限度，并且在使用后及时处置。

5.3.4未经批准严禁将秘密文件带出公司使用。

如工作必须，应经过部门经理以上领导的批准。

内部审核管理程序 2022年GBT22080信息安全管理体系文件

X X X股份有限公司2022年企业信息安全管理体系文件说明：根据GBT22080:2016版编制而成内部审核管理程序1、目的通过建立内部审核管理程序，规范公司内部审核流程，确保按照既定的标准流程对公司内部运行的信息安全管理体系（ISMS）进行内部审核，以确保本企业的ISMS符合GBT22080:2016以及相关的法律法规要求，并且确认本企业的ISMS是否有效、适宜和充分运行。

2、范围本程序适用于公司的信息安全管理体系内部审核的管理。

3、术语和定义内部审核：对信息安全管理体系进行客观评价，以证实管理体系的符合性和有效性所进行的系统的、独立的、并形成文件的过程。

审核准则：审核员用来判定符合性的依据，如：GBT22080:2016、法律法规及其它要求、手册、程序文件和作业文件等。

4、职责4.1 管理者代表4.1.1 任命审核组组长。

4.1.2 批准信息安全管理体系内部审核年度计划、审核实施计划和审核报告。

4.2 品质部4.2.1 负责组建审核小组，拟定年度内审计划，组织和协调内部审核工作。

4.2.2 负责对不符合项的纠正措施进行跟踪验证。

4.3 内审组长负责编制审核实施计划，全面负责内审工作，编制内部审核报告。

4.4 审核员4.4.1 负责编制内部审核检查表，按分工实施现场审核。

4.4.2 收集、分析审核证据，编写“不符合项报告”。

4.5 其他部门4.5.1 当被审核时，负责向审核组提供审核所需的文件、资料、记录和必要的资源。

4.5.2对内审开出的本部门的不符合项进行原因分析和整改。

5、工作流程5.1 审核计划5.1.1本公司的审核计划由品质部在年初提出，也可在信息安全管理工作实施计划中提出，并经管理者代表批准。

5.1.2 “内部审核实施计划”由审核组长制定。

5.1.3 制定内部审核计划的依据：a) 公司信息安全管理方针、目标及工作计划；b) 信息安全管理手册、程序文件和其它相关文件等；c) 上一年度管理评审提出的问题；d) 信息安全管理体系运行的结果；e) 相关方反馈的结果；5.1.4 品质部应根据不同区域和活动的运行状况、重要程度及以往审核的结果，策划年度审核方案，编制“内部审核计划”。

22080-2016信息安全管理体系管理手册及程序文件

22080-2016信息安全管理体系管理手册及程序文件《22080-2016信息安全管理体系管理手册及程序文件》一、引言信息安全在现代社会中的重要性日益凸显。

为了保护企业的信息资产，确保信息系统的正常运行和数据的安全性，制定一个完善的信息安全管理体系是必要的。

本文将介绍22080-2016信息安全管理体系管理手册及程序文件。

二、信息安全管理体系管理手册1. 管理手册目的本管理手册的目的是确定和定义公司信息安全管理体系的目标、范围、政策、程序文件和相关文件，以保证信息安全管理实施的一致性和有效性。

2. 管理手册结构管理手册包括以下主要部分：- 信息安全管理体系范围：详细描述了本信息安全管理体系的适用范围，确保管理体系的全面性和一致性。

- 组织机构和职责：阐述了公司内相关部门的职责和责任，明确信息安全管理的组织结构和职能分工。

- 管理体系政策：制定和实施信息安全管理政策，确保信息安全管理体系与公司整体战略和目标一致。

- 信息资产管理：明确信息资产的分类、评估和管理流程，确保信息资产的安全性和完整性。

- 安全控制措施：概述公司已采取的技术和管理控制措施，保护信息系统和数据的安全性和可用性。

- 域内沟通与意识：描述了公司内部沟通与意识提升的机制和活动，促进员工对信息安全的重视和参与。

- 内部审核和持续改进：确定了内部审核的程序和要求，以及持续改进的方法和指导原则。

三、程序文件1. 准入控制程序该程序文件描述了对新员工、合作伙伴或供应商的准入控制流程。

包括背景调查、安全意识培训和签署保密协议等环节，以保证仅有合适和可信任的人员可以接触敏感信息。

2. 安全漏洞管理程序该程序文件规定了对信息系统存在的安全漏洞的管理流程。

包括安全漏洞的发现、评估、修复和验证等环节，以及漏洞管理责任人的职责，确保及时发现和消除安全漏洞，降低信息系统受到攻击的风险。

3. 网络监控和事件响应程序该程序文件描述了对网络活动的实时监控和对安全事件的快速响应流程。

GBT22080文件信息密级控制程序

文件信息密级控制程序1范围为更好地管理客户（合作方）和本公司在服务、技术、经营等活动中产生的各类信息，防止因不恰当使用或泄漏,使本公司蒙受经济损失或法律纠纷，特制定本管理规程。

本标准规定了信息密级划分、标注及处理控制目标和控制方式。

2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

《GB/T 22080-2008 idt ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系要求》《GB/T 22081-2008 idt ISO/IEC 27002:2005 信息技术-安全技术-信息安全管理实施细则》3 术语和定义I GB/T 22080-2008 idt ISO/IEC 27001:2005《信息技术-安全技术-信息安全管理体系要求》和GB/T 22081-2008 idt ISO/IEC 27002:2005《信息技术-安全技术-信息安全管理实施细则》规定的术语适用于本标准。

4 职责和权限4.1 DXCDXC负责信息密级划分、标注及处理控制。

4.2 各部门各部门负责本部门使用或管理的信息密级划分、标注及处理控制。

5 活动描述5.1 密级的分类信息的密级分为3类：企业秘密事项（秘密）、内部信息事项（受控）和公开事项。

信息分类定义：a)“秘密”：《中华人民共和国保守国家秘密法》中指定的秘密事项；或不可对外公开、若泄露或被篡改会对本公司的日常经营造成严重损害，或者由于业务上的需要仅限有关人员知道的事项；介质包括但不限于：纸类、电磁类及其它媒体（纸张、软盘、硬盘、光盘、磁带、胶片）。

b)“受控”：不可对外公开、若泄露或被篡改会对本公司的日常经营造成损害，或者由于业务上的需要仅限有关人员知道的事项；或是指为了日常的业务能顺利进行而向公司员工公开、但不可向公司以外人员随意公开的事项。

GBT22080：2016信息安全管理体系全套内审资料

GBT22080：2016信息安全管理体系全套内审资料1.年度内审计划2.内审实施计划3.首末次签到表4.内审检查表5.不合格报告6.内审报告2018年内审计划编号： LHXR-JL-008编制：批准：日期：2018年07月23日内部审核实施计划编号：LHXR-JL-12内审首/末次会议签到表LHXR-JL-13内审检查表编号：LHXR-JL-14内审检查表编号：LHXR-JL-14内审检查表编号：LHXR-JL-14内审检查表编号：LHXR-JL-14内审检查表编号：LHXR-JL-14内审检查表编号：LHXR-JL-14不合格报告内审报告编号：LHXR-JL―16审核目的检查公司信息安全管理体系是否符合GB/T22080-2016标准的要求及有效运行。

审核依据GB/T22080-2016标准、信息安全管理手册、程序文件、相关法律法规、合同及适用性声明等。

审核范围与信息安全相关的活动及部门。

审核时间2018年07月30-31日1、现场审核情况概述本次审核按《内部审核程序》要求，编制了内审计划及实施计划并按计划进行了实施。

审核小组分别按要求编制了《内部审核检查表》；内审计划事先也送达受审核部门。

审核组在各部门配合下，按审核计划进行审核，分别到部门、现场，采用面谈、现场观察、抽查信息安全体系文件及信息安全体系运行产生的记录等方法，进行了抽样调查和认真细致的检查。

审核组审核了包括总经理、管代、各有关职能部门。

审核员发现的不合格项已向受审部门有关人员指明，并由他们确认，审核员还就不合格项与受审部门商讨了纠正措施和方法。

本次审核共提出《不符合报告》共1份，涉及综合部1项。

涉及标准附录7.2条款。

2、体系综合评价a)最高管理者带动员工对满足顾客和法律法规要求的重要性具有明确的认识，能履行其承诺，管理职责明确，重视并参与对信息安全管理体系的建立、保持和推动持续改进活动。

员工能准确答出公司信息安全方针和目标，体现了全员参与。

GBT22080信息安全管理手册

编写委员会信息安全管理手册GLSC2020第A/0版编写：审核：批准：受控状态：XXX网络科技有限公司发布时间：2020年9月1日实施时间：2020年9月1日01目录02修订页03颁布令为提高我公司的信息安全管理水平,保障公司和客户信息安全，依据GB/T 2 2080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》结合本公司实际，特制定信息安全管理手册（以下简称“管理手册”）A/0版。

《管理手册》阐述了公司信息安全管理，并对公司管理体系提出了具体要求，引用了文件化程序，是公司管理体系的法规性文件，它是指导公司建立并实施管理体系的纲领和行动准则，也是公司对所有社会、客户的承诺。

《管理手册》是由公司管理者代表负责组织编写，经公司总经理审核批准实施。

《管理手册》A/0版于2020年9月1日发布，并自颁布日起实施。

本公司全体员工务必认真学习,并严格贯彻执行，确保公司信息安全管理体系运行有效，实现信息安全管理目标，促使公司信息安全管理工作得到持续改进和不断发展。

在贯彻《管理手册》中，如发现问题，请及时反馈，以利于进一步修改完善。

授权综合部为本《管理手册》A/0版的管理部门。

XXX网络科技有限公司总经理：2020年9月1日04任命书为了贯彻执行GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》，加强对管理体系运作的领导，特任命gary为本公司的信息安全管理者代表。

除履行原有职责外，还具有以下的职责和权限如下：（1）确保信息安全管理体系的建立、实施、保持和更新；进行资产识别和风险评估。

（2）向最高管理者报告管理体系的有效性和适宜性，并作为评审依据用于体系的改进；（3）负责与信息安全管理体系有关的协调和联络工作；（4）负责确保管理手册的宣传贯彻工作；（5）负责管理体系运行及持续改进活动的日常督导；（6）负责加强对员工的思想教育和业务、技术培训，提高员工信息安全风险意识；（7）主持公司内部审核活动，任命内部审核人员；（8）代表公司就公司管理体系有关事宜与外部进行联络。

监视和测量管理程序 2022年GBT22080信息安全管理体系文件

X X X股份有限公司2022年企业信息安全管理体系文件说明：根据GBT22080:2016版编制而成监视和测量管理程序1、目的通过建立信息系统监视和测量管理程序，确保通过符合规范且有效的监视和测量过程，实现对公司信息安全的有效管理，确保信息安全管理体系及相关的设备设施的有效运行。

2、范围本程序适用于公司信息安全相关的管理体系以及设备设施的监视和测量管理。

3、术语和定义3.1 信息系统：应用、服务、信息技术资产或其他信息处理组件。

3.2 监视：确定系统、过程或活动状态的行为。

3.3 测量：确定一个值的过程。

4、职责和权限4.1 信息部4.1.1 负责每月信息安全目标实现情况的监视和测量；4.1.2 信息安全管理制度执行情况检查；4.1.3 法律符合性审查和安全策略、标准以及技术符合性审查；4.1.4 负责信息安全相关的设备设施的监视和测量。

4.2总经理4.2.1 负责进行管理评审以确保ISMS范围保持充分，ISMS过程的改进得到识别。

4.3 管理者代表4.3.1 负责年度信息安全目标的制订。

5、程序内容5.1 信息安全管理系统的监视和测量5.1.1管理者代表每年依据本公司信息安全方针、信息安全方面的法律法规等确定公司年度信息安全目标。

5.1.2信息部每月对信息安全目标实现情况进行监视和测量。

如发现偏离或与目标、指标不符合时，必须加以分析提出纠正措施，并对纠正措施的实施进行跟踪记录，直至偏离及不符合消失。

5.1.3内部审核执行《内部审核程序》。

5.1.4管理评审执行《管理评审程序》。

5.1.5法律符合性审查和安全策略（标准）以及技术符合性审查执行《法律符合性管理程序》，监视和测量结果与法律法规条文标准及要求、安全策略（标准）以及技术出现不符合或错误时，则按《信息安全事件报告，调查与处理程序》处理。

5.2硬件防火墙监控5.2.1 信息部每天检查防火墙日志、邮件日志5.2.2防火墙日志备份15天，每半个月分析一次，把攻击性网站屏蔽。

GBT22080信息安全风险评估管理程序

ISMS信息安全风险评估管理程序1 目的从风险管理角度，运用科学的方法和手段，系统地分析信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施；为防范和化解信息安全风险，将风险控制在可接受的水平，从而最大限度地为保障信息安全提供科学依据。

2 适用范围信息安全管理体系覆盖范围内的所有信息资产。

3 术语和定义引用ISO/IEC27001:2005(idt GB/T 22080-2008)和ISO/IEC27002:2005(idt GB/T 22081-2008)的相关术语和定义。

4 职责和权限4.1 信息安全领导办公室●决定实施风险评估的时间和方法●指导风险处理计划的实施与检查●残余风险的批准。

4.2 部门信息安全主管●负责本部门范围内风险评估相关活动的组织实施●负责本部门范围内风险处理计划的组织实施4.3 部门信息安全员●在部门安全主管领导下，负责本部门风险评估相关活动的实施●在部门安全主管领导下，负责本部门风险处理计划的实施5 风险评估方法5.1 风险各要素的关系风险评估中各要素的关系如图1。

图1 风险评估要素关系图图1中方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的属性。

风险评估围绕着资产、威胁、脆弱性和安全措施这些基本要素展开，在对基本要素的评估过程中，需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。

图1 中的风险要素及属性之间存在着以下关系：a）业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；b）资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大；c）风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成为安全事件；d）资产的脆弱性可能暴露资产的价值，资产具有的脆弱性越多则风险越大；e）脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产；f）风险的存在及对风险的认识导出安全需求；g）安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本；h）安全措施可抵御威胁，降低风险；i）残余风险有些是安全措施不当或无效,需要加强才可控制的风险；而有些则是在综合考虑了安全成本与效益后不去控制的风险；j）残余风险应受到密切监视，它可能会在将来诱发新的安全事件。

GBT22080恶意软件控制程序

恶意软件控制程序1 适用适用于本公司各部门对恶意软件（包括软件的隐蔽通道）的控制管理工作。

2 目的为防止各类恶意软件（包括软件的隐蔽通道）造成破坏，确保公司的软件和信息的保密性、完整性与可用性。

3 职责3.1 DXC是全公司恶意软件管理控制工作的主管部门，负责全公司防病毒软件的安装及病毒库的更新管理，为各部门信息处理设施的防范恶意软件提供技术性支持和隐蔽通道的扫描。

3.2各部门具体负责其部门信息处理设施的病毒清杀及其它预防措施的实施。

4 工作程序所谓恶意软件，是指编制或者在计算机程序中插入的破坏计算机功能、毁坏数据、窃取数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码，主要是指各类计算机病毒，如恶意代码和移动代码。

4.1 防范的措施，主要是安装防火墙、入侵检测系统、使用加密程序和安装杀病毒软件。

4.1.1 在对外互联的网络间，IT部安装防火墙、入侵检测系统、使用加密程序，同时在服务器和客户端上安装杀病毒软件。

各部门应根据IT部的安排，从指定的网络服务器上安装企业版防病毒软件；单独成网或存在单机的部门，应由本部门PC管理员或指定专人负责安装防病毒软件，并周期性（如每周）对病毒库进行升级。

4.1.2 对于配置低、不适宜安装防病毒软件的微机，则不能接入局域网，进行病毒查杀和防范控制，加强日常点检，应做好点检记录。

4.1.3 DXC负责设置企业版防病毒服务器，每日通过互联网自动进行病毒库的更新升级。

DXC负责各类系统的补丁升级。

4.1.4 各部门联网微机接受本公司防病毒服务器的管理，在每次开机时自动从防病毒服务器上下载最新病毒库。

4.1.5 特殊情况，如某种新恶性病毒大规模爆发，DXC系统管理员应立即升级病毒库，并紧急通知全公司各部门立即进行病毒库更新升级，同时立即进行病毒扫描，并对病毒情况汇报IT部部长。

4.1.6 各部门在使用部门以外的任何电子媒体前都应对其进行病毒扫描，对发现病毒的电子媒体应禁用，待病毒清除后方可使用，对于不能清除的病毒，应及时报告DXC处理。

文件密级控制程序

文件密级控制程序概述文件密级控制程序是一种用于管理和控制文件的安全等级的软件程序。

它可以帮助组织确保敏感信息只能被授权人员访问，并提供一套完整的安全控制措施，包括文件的存储、传输和使用。

背景随着信息技术的快速发展，大量的组织和个人数据已转移到电子文档中。

为了保护敏感信息免受未经授权的访问或泄露，需要确保文件按照其重要性和机密性进行分类和标记。

文件密级控制程序就是为了满足这一需求而设计的。

功能和特性文件密级控制程序具有以下功能和特性：1. 密级标记：程序可以为每个文件指定适当的密级标记，例如机密、秘密、保密等。

这些标记将帮助用户快速识别文件的重要性，以便在处理和传输文件时采取适当的措施。

2. 用户权限管理：控制程序能够为不同的用户或用户组分配不同的访问权限。

这将确保只有那些经过授权的人可以访问和操作文件。

权限可以通过密码、身份验证和其他安全措施来实现。

3. 文件存储和访问控制：程序提供了一个安全的存储库，用于存储和保护所有的文件。

只有具有适当权限的用户才能够获得对文件的访问权限，确保文件的安全性和完整性。

4. 文件传输和共享：程序支持安全的文件传输和共享功能。

它提供加密和解密功能，以确保在传输过程中文件不会被未经授权的人员访问和窃取。

5. 审计和监控：控制程序具有审计和监控功能，可以记录文件的访问和操作日志。

这将有助于发现和解决潜在的安全问题，并确保文件的合规性。

注意事项在实施文件密级控制程序时，以下事项需要注意：1. 合规性标准：根据组织的需求，确保控制程序符合适用的安全和合规性标准，例如ISO 27001或GDPR等。

2. 培训和教育：提供培训和教育，确保用户了解和遵守文件密级控制程序的政策和操作要求。

3. 定期审查：定期审查控制程序的有效性，并进行必要的更新和改进。

4. 安全措施：采取额外的安全措施，例如防火墙、入侵检测系统和反病毒软件等，以保护文件免受恶意软件和网络攻击。

总结文件密级控制程序是一种重要的工具，可帮助组织保护敏感信息的安全性。