GBT22080：2016信息安全风险评估报告

编写委员会信息安全管理手册GLSC2020第A/0版编写：审核：批准：受控状态：XXX网络科技有限公司发布时间：2020年9月1日实施时间：2020年9月1日01目录02修订页03颁布令为提高我公司的信息安全管理水平,保障公司和客户信息安全，依据GB/T 2 2080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》结合本公司实际，特制定信息安全管理手册（以下简称“管理手册”）A/0版。

《管理手册》阐述了公司信息安全管理，并对公司管理体系提出了具体要求，引用了文件化程序，是公司管理体系的法规性文件，它是指导公司建立并实施管理体系的纲领和行动准则，也是公司对所有社会、客户的承诺。

《管理手册》是由公司管理者代表负责组织编写，经公司总经理审核批准实施。

《管理手册》A/0版于2020年9月1日发布，并自颁布日起实施。

本公司全体员工务必认真学习,并严格贯彻执行，确保公司信息安全管理体系运行有效，实现信息安全管理目标，促使公司信息安全管理工作得到持续改进和不断发展。

在贯彻《管理手册》中，如发现问题，请及时反馈，以利于进一步修改完善。

授权综合部为本《管理手册》A/0版的管理部门。

XXX网络科技有限公司总经理：2020年9月1日04任命书为了贯彻执行GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》，加强对管理体系运作的领导，特任命gary为本公司的信息安全管理者代表。

除履行原有职责外，还具有以下的职责和权限如下：（1）确保信息安全管理体系的建立、实施、保持和更新；进行资产识别和风险评估。

（2）向最高管理者报告管理体系的有效性和适宜性，并作为评审依据用于体系的改进；（3）负责与信息安全管理体系有关的协调和联络工作；（4）负责确保管理手册的宣传贯彻工作；（5）负责管理体系运行及持续改进活动的日常督导；（6）负责加强对员工的思想教育和业务、技术培训，提高员工信息安全风险意识；（7）主持公司内部审核活动，任命内部审核人员；（8）代表公司就公司管理体系有关事宜与外部进行联络。

文件信息密级控制程序1范围为更好地管理客户（合作方）和本公司在服务、技术、经营等活动中产生的各类信息，防止因不恰当使用或泄漏,使本公司蒙受经济损失或法律纠纷，特制定本管理规程。

本标准规定了信息密级划分、标注及处理控制目标和控制方式。

2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

《GB/T 22080-2008 idt ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系要求》《GB/T 22081-2008 idt ISO/IEC 27002:2005 信息技术-安全技术-信息安全管理实施细则》3 术语和定义I GB/T 22080-2008 idt ISO/IEC 27001:2005《信息技术-安全技术-信息安全管理体系要求》和GB/T 22081-2008 idt ISO/IEC 27002:2005《信息技术-安全技术-信息安全管理实施细则》规定的术语适用于本标准。

4 职责和权限4.1 DXCDXC负责信息密级划分、标注及处理控制。

4.2 各部门各部门负责本部门使用或管理的信息密级划分、标注及处理控制。

5 活动描述5.1 密级的分类信息的密级分为3类：企业秘密事项（秘密）、内部信息事项（受控）和公开事项。

信息分类定义：a)“秘密”：《中华人民共和国保守国家秘密法》中指定的秘密事项；或不可对外公开、若泄露或被篡改会对本公司的日常经营造成严重损害，或者由于业务上的需要仅限有关人员知道的事项；介质包括但不限于：纸类、电磁类及其它媒体（纸张、软盘、硬盘、光盘、磁带、胶片）。

b)“受控”：不可对外公开、若泄露或被篡改会对本公司的日常经营造成损害，或者由于业务上的需要仅限有关人员知道的事项；或是指为了日常的业务能顺利进行而向公司员工公开、但不可向公司以外人员随意公开的事项。

第三方服务管理工作指南
目录
1 范围 (2)
2 规范性引用文件 (2)
3 职责 (2)
4 管理内容和要求 (3)
4.1 第三方服务的确定 (3)
4.2 对第三方服务的监督和评审 (3)
4.3 第三方服务的变更管理 (4)
4.4第三方人员及外包商安全管理 (4)
4.5供应商协议中的安全 (5)
4.6 信息和通信技术供应链 (6)
第三方服务管理工作指南
1 范围
适用于公司信息安全第三方服务管理活动,包括第三方确定过程、第三方的服务安全控制措施、第三方的服务监督和评审方法、第三方的变更管理。

为加强对第三方服务提供商（合作商）的控制，减少安全风险，防范公司信息资产损失，特制定本程序。

2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

《信息技术安全技术信息安全管理体系要求》（GB/T 22080-2016/ISO/IEC 27001:2013）
3 职责
3.1 商务采购部
负责统一管理第三方服务的控制活动，负责确定合格的第三方服务商。

3.2 各相关部门
a) 与第三方服务商签订服务合同和保密协议；
b) 负责对第三方服务商的服务进行安全控制；
c) 负责定期对第三方服务商进行监督和评审。

编号：MYFH-JL―21JL-LHXR-031序号法律、法规及其他要求名称颁布时间实施时间颁布部门符合性1中华人民共和国国家安全法1993.02.221993.02.22全国人民代表大会符合2全国人大常委会关于维护互联网安全的决定2000.12.282000.12.28全国人民代表大会常务委员会符合3中华人民共和国著作权法2001.10.272001.10.27全国人民代表大会常务委员会符合4中华人民共和国认证认可条例2003.09.032003.11.1国务院第390号令符合5中华人民共和国计算机信息系统安全保护条例1994.02.181994.02.18国务院第147号令符合6中华人民共和国计算机信息网络国际联网管理暂行规定1997.05.201997.05.20国务院第218号令符合7中华人民共和国商用密码管理条例1999.10.071999.10.07国务院第273号令符合8中华人民共和国计算机软件保护条例2001.12.202002.01.01国务院第339号令符合9中华人民共和国信息网络传播权保护条例2006.05.182006.07.01国务院第468号令符合10中华人民共和国著作权法实施条例2001.10.272001.10.27全国人民大会常务委员会符合11中华人民共和国计算机信息网络国际联网管理暂行规定实施办法1998.02.131998.02.13国务院信息化工作领导小组符合12计算机信息网络国际联网安全保护管理办法1997.12.161997.12.30公安部第33号令符合13计算机信息系统安全专用产品检测和销售许可证管理办法1997.12.121997.12.12公安部第32号令符合14计算机病毒防治管理办法2000.04.262000.04.26公安部第51号令符合15计算机信息系统保密管理暂行规定1998.02.261998.02.26国家保密局符合16计算机信息系统国际联网保密管理规定2000.01.012000.01.01国家保密局符合17科学技术保密规定1995.01.061995.01.06国家科委、国家保密局符合18软件产品管理办法2000.10.272000.10.27信息产业部符合19中华人民共和国公司法2005.10.272006.01.01全国人民代表大会常务委员会符合20中华人民共和国合同法1999.03.151999.10.01全国人民代表大会符合21中华人民共和国消防法2008.10.282009.05.01全国人民代表大会常务委员会符合22中华人民共和国劳动法1994.07.051995.01.01全国人民代表大会符合23中华人民共和国劳动合同法2007.06.292008.01.01全国人民代表大会常务委员会符合24中华人民共和国劳动合同法实施条例2008.09.182008.09.18国务院符合法律法规清单25中华人民共和国质量法2000.07.082000.09.01全国人民代表大会常务委员会符合26GBT20984-2007信息安全技术信息安全风险评估规范2007.06.142007.11.01国家质监总局、标准化管理委员会符合27GBZ20985-2007信息技术安全技术信息安全事件管理指南2007.06.142007.11.01国家质监总局、标准化管理委员会符合28GBZ20986-2007信息安全技术信息安全事件分类分级指南2007.06.142007.11.01国家质监总局、标准化管理委员会符合29社会团体登记管理条例1998.10.251998.10.25国务院符合30中华人民共和国民法通则1986.04.161987.01.01全国人民代表大会常务委员会符合31北京市计算机信息系统病毒预防和控制管理办法1994.12.281994.12.28北京市公安局符合32北京市信息化促进条例2007.09.142007.12.1北京市人民代表大会常务委员会符合33电信业务经营许可管理办法2009.02.042009.04.10中华人民共和国工业和信息化部符合34电信业务经营许可证管理办法2009.03.012009.04.10中华人民共和国工业和信息化部符合35非经营性互联网信息服务备案管理办法2005.02.082005.03.20中华人民共和国信息产业部符合36工业和信息化部行政许可实施办法2009.02.042009.04.10中华人民共和国工业和信息化部符合37关于互联网中文域名管理的通告2000.11中华人民共和国信息产业部符合38关于计算机信息网络国际联网业务实行经营许可证制度有关问题的通知1998.09.181998.09.18中华人民共和国信息产业部符合39关于进一步加强互联网上网服务营业场所管理2001.04.03国务院符合40关于禁止侵犯商业秘密行为的若干规定1998.12.031998.12.03国家工商行政管理局符合41互联网安全保护技术措施规定2005.12.132006.03.01中华人民共和国公安部符合42互联网信息服务管理办法2000.09.252000.09.25国务院第292号令符合43计算机病毒防治产品评级准则公安部符合44计算机病毒防治管理办法2000.04.262000.04.26公安部符合45计算机软件保护条例2013.01.162013.03.01国务院符合46计算机信息网络国际联网安全保护管理办法1997.12.301997.12.30国务院符合47计算机信息网络国际联网出入口信道管理办法符合48计算机信息系统安全保护等级划分准则1999.09.132001.01.01公安部符合49计算机信息系统安全专用产品分类原则符合50计算机信息系统安全专用产品检测和销售许可证管理办法1997.06.281997.12.12公安部令第32号符合51计算机信息系统保密管理暂行规定1998.02.261998.02.26国家保密局符合52计算机信息系统国际联网保密管理规定符合53全国人民代表大会常务委员会维护互联网安全的决定符合54全国人事系统远程通信网络管理暂行规定1999.12.281999.12.28人事部符合55数据库管理系统安全技术要求2006.12.01全国信息安全标准化技术委员会符合56网络接入服务器ＮＡＳ技术规范2000.02.232000.02.23信息产业部符合57维护互联网安全的决定2000.12.282000.12.28全国人大符合58信息安全等级保护管理办法2007.06.22公安部符合59信息安全技术操作系统安全技术要求2006.05.312006.12.01符合60信息安全技术防火墙技术要求和测试评价方法符合61信息安全技术入侵检测系统技术要求和测试评价方法符合62信息安全技术数据库管理系统安全技术要求符合63信息安全技术网络脆弱性扫描产品测试评价方法符合64信息安全技术网络脆弱性扫描产品技术要求符合65信息安全技术网络和终端设备隔离部件测试评价方法符合66信息安全技术网络基础安全技术要求符合67信息安全技术信息安全风险评估规范符合68信息安全技术信息安全事件分类分级指符合69信息安全技术信息系统安全工程管理要求符合70信息安全技术信息系统安全管理要求符合71信息技术 系统间远程通信和信息交换符合72信息技术安全技术信息安全事件管理指南符合73信息网络传播权保护条例2006.05.182006.07.01国务院符合74信息系统安全工程管理要求符合75中华人民共和国计算机软件保护条例2009.06.022009.06.02国务院令第339号符合76中华人民共和国计算机信息网络国际联网安全保护管理办法1997.12.111997.12.30国务院符合77中华人民共和国计算机信息网络国际联网管理暂行规定1996.02.011996.02.01公安部符合78中华人民共和国计算机信息网络国际联网管理暂行规定实施办法1998.2.13国务院第218号令符合79中华人民共和国计算机信息系统安全保护条例1994.02.181994.02.18国务院符合80中华人民共和国宪法1954.09.201954.09.20全国人大符合81《信息技术安全技术信息技术安全性评估准则第1部分：简介和一般模型》符合82《信息技术安全技术信息技术安全性评估准则第2部分：安全功能要求》符合83《信息技术安全技术信息技术安全性评估准则第3部分：安全保证要求》符合84《信息技术信息安全管理实用规则》符合85《计算机信息系统安全测评通用技术规范》符合86《计算机信息系统安全保护等级划分准则》符合87《网络代理服务器的安全技术要求》符合88《路由器安全技术要求》符合89《包过滤防火墙安全技术要求》符合90《应用级防火墙安全技术要求》符合91《信息技术安全技术实体鉴别第4部分：采用密码校验函数的机制》符合92《信息技术安全技术实体鉴别第5部分：使用零知识技术的机制》符合93《信息技术开放系统互连系统管理第7部分：安全报警报告功能》符合94《信息技术开放系统互连系统管理第8部分：安全审计跟踪功能》符合95《信息技术软件产品评价质量特性及其使用指南》符合96《信息技术软件包质量要求和测试》符合97中华人民共和国保守国家秘密法2010.04.292010.10.01全国人大符合98中华人民共和国国家安全法2015.07.012015.07.01第29号主席令符合99中华人民共和国产品质量法2000.07.082000.09.01国务院符合100中华人民共和国产品质量认证管理条例2003.09.032003.09.03国务院符合101中华人民共和国计算机信息系统安全保护条例1994.02.181994.02.18国务院符合102中华人民共和国计算机信息网络国际联网管理暂行规定1996.02.011996.02.01国务院符合103中华人民共和国电信条例2000.09.202000.09.20国务院符合104互联网信息服务管理办法2000.09.252000.09.25国务院符合105计算机软件保护条例2013.01.162013.03.01国务院符合。

信息安全风险评估检查报告【最新资料，WORD 文档，可编辑修改】信息安全风险评估检查报告一、部门基本情况部门名称①姓 名： ②职 务：①名 称：信息安全管理机构 ②负责人： 职务： （如办公室）③联系人： 电话：①名 称：②负责人： 电话：二、信息系统基本情况①信息系统总数： 个②面向社会公众提供服务的信息系统数： 个③委托社会第三方进行日常运维管理的信息系统数： 个， 其中签订运维外包服务合同的信息系统数： 个④本年度经过安全测评（含风险评估、等级评测）系统数： 个信息系统定级备案数： 个，其中第一级： 个 第二级： 个 第三级： 个 系统定级情况第四级： 个 第五级： 个 未定级： 个 定级变动信息系统数： 个（上次检查至今）分管信息安全工作的领导 （本部门副职领导）信息安全专职工作处室 （如信息安全处）信息系统情况互联网接入情况互联网接入口总数：个其中：□ 联通接入口数量：个□ 电信接入口数量：个□其他接入口数量：个接入带宽：兆接入带宽：兆接入带宽：兆系统安全测评情况三、日常信息安全管理情况安全自查人员管理资产管理四、信息安全防护管理情况网络边界防护管理最近2年开展安全测评（包括风险评估、登记测评）系统数个信息系统安全状况自查制度：□已建立□未建立①入职人员信息安全管理制度：□已建立□未建立②在职人员信息安全和保密协议：□全部签订□部份签订□均未签订③人员离岗离职安全管理规定: □已制定□未制定④信息安全管理人员持证上岗: □是□否⑤信息安全技术人员持证上岗: □是□否⑥外部人员访问机房等重要区域管理制度：□已建立□未建立①资产管理制度：□已建立□未建立②信息安全设备运维管理：□已明确专人负责□未明确□定期进行配置检查、日志审计等□未进行③设备维修维护和报废销毁管理：□已建立管理制度，且维修维护和报废销毁记录完整□ 已建立管理制度，但维修维护和报废销毁记录不完整□尚未建立管理制度①网络区域划分是否合理：□合理□不合理②网络访问控制：□有访问控制措施□无访问控制措施③网络访问日志：□留存日志□未留存日志④安全防护设备策略：□使用默认配置□根据应用自主配置信息系统安全管理门户网站安全管理电子邮箱安全管理①服务器安全防护：□已关闭不必要的应用、服务、端口□未关闭□账户口令满足8 位，包含数字、字母或者符号□不满足□定期更新账户口令□未定期更新□定期进行漏洞扫描、病毒木马检测□未进行②网络设备防护：□安全策略配置有效□无效□账户口令满足8 位，包含数字、字母或者符号□不满足□定期更新账户口令□未定期更新□定期进行漏洞扫描、病毒木马检测□未进行③信息安全设备部署及使用：□已部署有防病毒、防火墙、入侵检测、安全审计等功能的设备□未部署□安全策略配置有效□无效网站域名：IP 地址：是否申请中文域名：□是□否①网站是否备案：□是□否②门户网站账户安全管理：□已清理无关账户□未清理□无空口令、弱口令和默认口令□有③网页防篡改措施：□已部署□未部署④网站信息发布管理：□已建立审核制度，且审核记录完整□已建立审核制度，但审核记录不完整□尚未建立审核制度①邮箱使用：□仅限有权限工作人员使用□除权限工作人员外，还有其他人员在使用②账户口令管理：□使用技术措施控制和管理口令强度□无口令强度限制措施终端计算机安全管理存储介质安全管理①终端计算机安全管理方式：□使用统一平台对终端计算机进行集中管理□用户分散管理②账户口令管理：□无空口令、弱口令和默认口令□有③接入互联网安全控制措施：□有控制措施（如实名接入、绑定计算机IP 和M AC 地址等）□无控制措施④漏洞扫描、木马检测：□定期进行□未进行⑤在非涉密信息系统和涉密信息系统间混用情况：□ 不存在□存在⑥是否在使用非涉密计算机处理涉密信息情况：□ 不存在□存在①存储阵列、磁带库等大容量存储介质安全防护：□外联，但采取了技术防范措施控制风险□外联，无技术防范措施□无外联②挪移存储介质管理方式：□集中管理，统一登记、配发、收回、维修、报废、销毁□未采取集中管理方式五、信息安全应急管理情况信息安全应急预案信息安全应急演练信息安全灾难备份应急技术支援队伍六、信息技术产品应用情况服务器③电子信息消除或者销毁设备：□已配备□未配备□已制定本年度修订情况：□修订□未修订□未制定□本年度已开展□本年度未开展①重要数据：□备份□未备份②重要信息系统：□备份□未备份③容灾备份服务：□位于境内□位于境外□无□部门所属单位□外部专业机构□无总台数：其中，国产台数：使用国产C PU 的服务器台数：总台数： 其中， 国产台数：使用国产 C PU 的服务器台数：网络交换设备 总台数： 其中， 国产台数： （路由器、交换机等）①服务器操作系统情况：安装 W indows 操作系统的服务器台数： 安装 L inux 操作系统的服务器台数：安装其他操作系统的服务器台数： 操作系统②终端计算机操作系统情况：安装 W indows 操作系统的服务器台数： 安装 L inux 操作系统的服务器台数： 安装其他操作系统的服务器台数：数据库公文处理软件 （终端计算机安装）信息安全产品总套数： 其中，国产套数：安装国产公文处理软件的终端计算机台数： 安装国外公文处理软件的终端计算机台数：①安装国产防病毒产品的终端计算机台数：②防火墙（不含终端软件防火墙）台数： 其中，国产防火墙台数：使用国产商用密码产品台（套）数 使用国外产商用密码产品台（套）数使用自行研制或者委托研制的密码产品台（套）数 使用互联网下载的密码产品台（套）数 使用其他密码产品台（套）数□未采用七、信息安全教育培训情况本年度接受信息安全教育培训的人数： 人 培训人数占部门总人数的比例： %密码 产品使用情况终端计算机 （含笔记本）□采用本年度开展信息安全教育培训的次数：培训次数培训部门名称：专业培训本年度信息安全管理和技术人员参加专业培训人次：人次八、信息系统安全建设整改（1）是否明确主管领导、责任部门和具体负责人员文件依据：（2）是否对信息系统安全建设整改工作进行总体部署文件依据：□是□是□否□否信息系统安全（3）是否对信息系统进行安全保护现状分析□是□否建设整改工作（4）是否制定信息系统安全建设整改方案□是□否情况（5）是否组织开展信息系统安全建设整改工作通过何种方式开展：（6）是否组织开展信息系统安全自查工作（7）是否对本单位安全建设整改工作进行总结上报□是□是□是□否□否□否第二级系统第三级系统已开展安全建设整改的信息系统数量第四级系统合计第二级系统第三级系统已开展等级测评的信息系统数量第四级系统合计第二级系统第三级系统信息系统发生安全事件、事故数量第四级系统合计第二级系统第三级系统已达到等级保护要求的信息系统数量第四级系统合计九、本年度信息安全事件情况病毒木马等恶意代①进行过病毒木马等恶意代码检测的服务器台数：人，其中，感染恶意代码的服务器台数：②进行过病毒木马等恶意代码检测的终端计算机台数：其中，感染恶意代码的终端计算机台数：①进行过漏洞扫描的服务器台数：其中，存在漏洞的服务器台数：存在高风险漏洞1 的服务器台数：②进行过漏洞扫描的终端计算机台数：其中，存在漏洞的终端计算机台数： 存在高风险漏洞的终端计算机台数：门户网站受攻击本部门入侵检测设备检测到的门户网站受攻击次数：情况本年度 信息安 网页被 全事件 篡改情况统计①使用非涉密终端计算机处理涉密信息事件数： 设备违规 ②终端计算机在非涉密系统和涉密系统间混用事件数： 使用情况③挪移存储介质在非涉密系统和涉密系统间交叉使用事件数：十、信息技术外包服务机构情况（包括参预技术检测的外部专业机构）机构名称机构性质服务内容2信息安全和保密协议信息安全管理 体系认证情况1 本表所称高风险漏洞，是指计算机硬件、软件或者信息系统中存在的严重安全缺陷，利用这些缺陷可彻底控制或者部份控制 计算机及信息系统，对计算机及信息系统实施攻击、破坏、信息窃取等行为。

22080-2016信息安全管理体系管理手册及程序文件信息安全管理手册目录1. 概述1.1目的1.2适用范围1.3颁布令1.4授权书2. 依据文件和术语2.1依据文件2.2术语定义3. 裁剪说明4. 组织环境4.1组织环境描述4.2信息安全相关方的需求和期望4.3信息安全管理体系范围的确定4.4体系概述5. 领导力5.1领导力和承诺5.2信息安全方针和目标5.3组织角色、职责和权限6. 策划6.1风险评估和处置6.2目标实现过程7. 支持7.1资源提供7.2信息安全能力管理7.3意识培训7.4信息安全沟通管理7.5存档信息控制8. 运行8.1体系策划与运行9. 绩效评价9.1能力评价9.2有效性测量9.3内部审核9.4管理评审10. 改进11. 信息安全总体控制A.5信息安全策略A.6信息安全组织A.7人力资源安全A.8资产管理A.9访问控制A.10密码控制A.11物理和环境安全A.12操作安全A.13通信安全A.14系统获取、开发和维护A.15供应商关系A.16信息安全事故A.17业务连续性管理的信息安全方面A.18符合性附件一：信息安全组织架构映射表附件二：信息安全职责分配表1.概述为提高服务质量，规范管理活动，保障系统安全运行，提升人员安全意识水平，XXX软件有限公司（以下简称“公司”）依据信息安全管理标准《GB/T 22080-2016/ISO/IEC 27001:2013 信息技术安全技术信息安全管理体系要求》的相关要求，结合自身业务系统实际运行安全需求，已建立实施了一套科学有效的信息安全管理体系，并通过体系的有效运行，实现持续改进，达到动态系统、全员参与、制度化的、以预防为主的信息安全管理方式。

目的本总纲为公司信息安全管理体系的纲领性文件，描述了信息安全管理体系的方针、目标、管理机制和要求等方面的内容。

通过建立策划（P）→执行（D）→检查（C）→改进（A）的持续改进机制，不断提高公司的信息安全管理水平，确保日常信息安全管理活动的安全、稳定、高效，提升企业核心竞争力。

员工手册1.1.信息安全策略：1.2.服务器管理服务器配置要点：1.机器名按资产识别程序中的规定命名，不得使用随机名，所有服务器使用固定IP地址。

2.服务器时间在每次检查时与INTERNET时间校对。

3.日志每半月保存一次（包括应用、系统日志），日志上限为16384KB,超过这个大小采用覆盖方式。

4.服务器的性能监控初步指标：CPU占用率不得长期高于80%，内存使用率不得长期高于80%，系统盘至少要有20%的余量供临时文件周转。

1.2.1.服务器检查1.3.路由器配置1.更改路由器的初始登入密码，密码强度符合至少8位，数字、字母和符号任意两种组合。

2.打开主路由器中的防火墙，启用路由器的安全功能，对性能有较大影响的选项需根据业务和安全需求综合评审。

3.更改二级路由器的LAN口地址，防止与上层路由器发生IP冲突。

4.二级路由器一般关闭DHCP，无线的可以打开。

5.无线部分打开安全设置，使用加密方法，无线路由应根据业务和人员流动情况决定是否更改密码。

6.路由器的配置信息需要保存，如导出文件或配置截图。

10. 路由器最好放置在特定机柜中，若不具备条件需每周检查路由器配置是否被重置。

1.4.系统权限检查对每个应用信息系统建立《系统权限登记表》，每个权限的分配和改动需要有相应的申请和记录，每月按权限表进行检查，按表中的评审周期对系统权限进行评审，最多不得超过半年。

检查范围：各信息系统1.上网系统检查，主要是看无线密码是否需要更改，网络控制设施的相关配置有无变化。

3.服务器账号系统，查看用户有无增减。

1.5.备份1.6.即时通讯软件的使用公司允许使用的即时通讯工具包括：QQ 微信、钉钉1.使用钉钉必须经过申请，由网络管理员登记到即时通讯服务权限表中。

2.钉钉口令需要符合至少8位长度，数字、字母、符号任意两种类型组合的强度。

3.钉钉不得私自建群，使用群共享和群硬盘，所有内部群开启必须经过审批，由网络管理员登记后开放权限。

目录一、信息系统容量规划及验收管理规定 (1)二、信息资产密级管理规定 (2)三、信息系统设备管理规定 (4)四、笔记本电脑管理规定 (8)五、介质管理规定 (10)六、变更管理规定 (13)七、第三方服务管理规定 (16)八、邮件管理规定 (18)九、软件管理规定（无） (21)十、系统监控管理规定（无） (23)十一、补丁管理规定（无） (24)十二、信息系统审核规范（无） (25)十三、基础设施及服务器网络管理制度 (26)十四、信息系统安全应急预案 (29)十五、远程办公管理制度 (33)十六、信息安全访问控制管理规定 (34)十七、信息交换管理规定 (38)一、信息系统容量规划及验收管理规定1. 目的针对已确定的服务级别目标和业务需求来设计、维持相应的开发中心服务能力，从而确保实际的开发中心服务能够满足服务要求。

2. 范围适用于公司所有硬件、软件、外围设备、人力资源容量管理。

3. 职责综合部负责确定、评估容量需求。

4. 内容(1)容量管理包括：服务器,重要网络设备：LAN、WAN、防火墙、路由器等；所有外围设备：存储设备、打印机等；所有软件：操作系统、网络、内部开发的软件包和购买的软件包；人力资源：要维持有足够技能的人员。

(2)对于每一个新的和正在进行的活动来说，公司管理层应识别容量要求。

(3)公司管理层每年应在管理评审时评审系统容量的可用性和效率。

公司管理层应特别关注与订货交货周期或高成本相关的所有资源，并监视关键系统资源的利用，识别和避免潜在的瓶颈及对关键员工的依赖。

(4)应根据业务规划、预测、趋势或业务需求,定期预测施加于综合部系统上的未来的业务负荷以及组织信息处理能力，以适当的成本和风险按时获得所需的容量。

二、信息资产密级管理规定1. 目的确保公司营运利益，并防止与公司营运相关的保密信息泄漏。

2. 范围本办法适用于公司所有员工。

3. 保密信息定义保密信息指与公司营运相关且列入机密等级管理的相关信息。

执行标准清单
基础标准
1 GB/T 11457-2006：信息技术、软件工程术语
2 GB8566-88 计算机软件开发规范
3 GB 1526-1989：信息处理各种图的文件编辑符号和约定
4 GB/T 14085-1993：信息处理系统计算机系统配置图符号及约定
5 GB/T 20157-200
6 信息技术软件维护
6 GB／T20271-2006《信息安全技术-信息系统通用安全技术要求》
7 GB/T 8566-2007 信息技术软件生存周期过程
开发标准
1 GB/T 8566 -2001 信息技术软件生存周期过程
2 GB/T 1585
3 -1995 软件支持环境
3 GB/T 14079 -1993 软件维护指南
4 SJ/T 10367-1993(2009)计算机过程控制软件开发规程
5 GB/T 17544-1998信息技术软件包质量要求和测试
6 GB/T 15532-2008 计算机软件测试规范
管理标准
1 GB/T 12505 -1990 计算机软件配置管理计划规范
2 GB/T 16260 -2006 软件工程产品质量（质量模型外部度量内部度量使用质量的度量）
3 GB/T 1250
4 -1990 计算机软件质量保证计划规范
4 GB/T 14394-2008 计算机软件可靠性和可维护性管理
G B/T 20918-2007 信息技术软件生存周期过程风险管理。