ISO27001：2013重要信息备份管理程序

合集下载

最新ISO27001：2013信息安全管理体系一整套程序文件(共41个程序184页)

XXXXXXXXX有限责任公司信息安全管理体系程序文件编号：XXXX-B-01～XXXX-B-41（符合ISO/IEC 27001-2013标准）拟编：信息安全小组日期：2015年02月01日审核：管代日期：2015年02月01日批准：批准人名日期：2015年02月01日发放编号: 01受控状态：受控2015年2月1日发布2015年2月1日实施[XXXX-B-01]信息安全风险管理程序[XXXX-B-02]文件控制程序[XXXX-B-03]记录控制程序[XXXX-B-04]纠正措施控制程序[XXXX-B-05]预防措施控制程序[XXXX-B-06]内部审核管理程序[XXXX-B-07]管理评审程序[XXXX-B-08]监视和测量管理程序A6[XXXX-B-09]远程工作管理程序A7[XXXX-B-10]人力资源管理程序A8[XXXX-B-11]商业秘密管理程序A8[XXXX-B-12]信息分类管理程序A8[XXXX-B-13]计算机管理程序A8[XXXX-B-14]可移动介质管理程序A9[XXXX-B-15]用户访问管理程序A9[XXXX-B-16]信息系统访问与监控管理程序A9[XXXX-B-17]信息系统应用管理程序A10[XXXX-B-18]账号密码控制程序A11[XXXX-B-19]安全区域管理程序A12.1.2[XXXX-B-20]变更管理程序A12.1.3[XXXX-B-21]容量管理程序A12.2.1[XXXX-B-22]恶意软件管理程序A12.3[XXXX-B-23]重要信息备份管理程序A12.6[XXXX-B-24]技术薄弱点管理程序A13[XXXX-B-25]电子邮件管理程序A13[XXXX-B-27]信息安全沟通协调管理程序A13[XXXX-B-28]信息交换管理程序A14.2.9[XXXX-B-29]信息系统验收管理程序A14.2[XXXX-B-30]信息系统开发建设管理程序A14[XXXX-B-31]软件开发管理程序A14[XXXX-B-32]数据安全管理程序A14[XXXX-B-33]OA管理程序A15.2[XXXX-B-34]第三方服务管理程序A15[XXXX-B-35]供应商管理程序A15[XXXX-B-36]相关方信息安全管理程序A16[XXXX-B-37]信息安全事件管理程序A17.2[XXXX-B-38]信息处理设施管理程序A17[XXXX-B-39]业务持续性管理程序A18[XXXX-B-40]信息安全法律法规管理程序A18[XXXX-B-41]知识产权管理程序XXXXXXXXX有限责任公司知识产权管理程序[XXXX-B-41]V1.0知识产权管理程序变更履历1 目的通过对知识产权的流程管理，规范整个知识产权管理工作，保证知识产权管理工作的每个环节的合理性、有效性和流畅，为组织的知识产权保护与管理奠定基础。

最新ISO27001：2013信息安全管理体系一整套文件（手册+程序）

最新ISO27001：2013信息安全管理体系一整套文件（手册+程序）最新ISO27001：2013信息安全管理体系一整套文件(手册+程序)1.信息安全管理手册2.信息安全管理程序文件XXXXXX技术服务有限公司版本：A/0受控状态：XXXXXX技术服务有限公司信息安全管理手册(依据GB/T22080-2016)编制：文件编写小组审批： XXX版本：A/0受控状态：受控文件编号：LHXR-ANSC-20182018年4月20日发布 2018年4月20日实施管理手册修改记录页：序号修改原因修改内容版本日期修改者审核者目录0.1 颁布令 (5)0.2 管理者代表任命书 (6)0.3关于成立管理体系工作小组的决定 (7)0.4 公司简介 (8)0.5 组织结构 (8)0.6 信息安全方针与目标 (9)1.0 信息安全方针 (9)2.0 信息安全目标 (9)1.0 范围 (9)1.1 总则 (9)1.2 适用范围 (10)1.3 删减说明 (10)2.0规范性引用文件 (10)3.0 术语与定义 (11)3.3计算机病毒 (11)3.15 相关方 (12)3.16本公司 (12)3.17管理体系 (12)4.0 组织环境 (12)4.1理解组织及其环境 (12)4.2利益相关方的需求和期望 (13)4.3确定信息安全管理体系范围 (13)4.4信息安全管理体系 (14)5.0 领导力 (14)5.1领导和承诺 (14)5.2方针 (15)5.3组织的角色、责任和权限 (15)6.0 规划 (18)6.1 应对风险和机会的措施 (18)6.2 信息安全目标及其实现规划 (20)7.0 支持 (20)7.1资源 (20)7.2能力 (21)7.3意识 (21)7.4沟通 (21)7.5文件化信息 (22)8.0 运行 (24)8.1运行规划和控制 (24)8.2信息安全风险评估 (25)8.3信息安全风险处置 (25)9.0 绩效评价 (25)9.1 监视、测量、分析和评价 (25)9.2 内部审核 (25)9.3 管理评审 (26)10.0 改进 (28)10.1不符合及纠正措施 (28)10.2 持续改进 (29)附1信息安全管理体系职责对照表 (30)0.1 颁布令为提高XXXXXX技术服务有限公司的信息安全管理水平，保障我公司业务活动的正常进行，防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失，我公司于2018年4月开展贯彻GB/T22080-2016《信息技术-安全技术-信息安全管理体系要求》国际标准工作，建立、实施和持续改进文件化的信息安全管理体系，制定了XXXXXX技术服务有限公司《信息安全管理手册》。

ISO27001：2013信息安全管理体系全套程序30各部门信息安全管理职责

xx电子商务技术有限公司版本：A各部门信息安全管理职责JSWLS/IP-40-2009编制：xx审核：xx批准：xx2009-6-28发布2009-7-1实施xx电子商务技术有限公司发布xx电子商务技术编号：JSWLS/IP-40-2009有限公司程序文件版次：A/0程序文件修改控制序号版次修改章节修改人审核人批准人修改日期程序文件版次：A/0各部门信息安全管理职责1 总经理（1）负责组织建立公司信息安全管理体系。

（2）负责制定、发布公司信息安全方针。

（3）负责组织各部门定期评审、更新公司信息安全方针。

（4）负责向公司员工和外部提出信息安全管理承诺。

（5）负责实施公司信息安全资源的配置。

（6）负责公司信息安全管理体系评审工作。

（7）负责组织公司信息安全管理体系持续改进工作。

（8）负责公司信息安全管理体系内部协调工作。

（9）负责公司各部门信息安全管理职责的审批工作。

（10）负责组织公司信息安全管理体系符合安全策略和标准。

（11）负责组建公司信息安全管理委员会。

（12）负责任命公司信息安全管理者代表。

2 管理者代表（1）协助总经理建立公司信息安全管理体系。

（2）协助总经理制定、发布公司信息安全方针。

（3）协助总经理组织各部门定期评审、更新公司信息安全方针。

（4）协助总经理向公司员工和外部提出信息安全管理承诺。

（5）协助总经理实施公司信息安全资源的配置。

（6）协助总经理公司信息安全管理体系评审工作。

（7）协助总经理组织公司信息安全管理体系持续改进工作。

（8）协助总经理公司信息安全管理体系内部协调工作。

（9）协助总经理公司各部门信息安全管理职责的审批工作。

（10）协助总经理组织公司信息安全管理体系符合安全策略和标准。

程序文件版次：A/0（11）负责主持公司信息安全管理体系内部审核工作。

3 信息安全管理委员会（1）负责实施公司信息安全管理体系风险评估。

（2）负责根据风险评估制定相关措施。

（3）负责建立公司适用性声明。

ISO27001：2013信息安全风险管理程序

ISO27001：2013信息安全风险管理程序XXXXXXXXX有限责任公司信息安全风险管理程序[XXXX-B-01]V1.0变更履历1 目的为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式，将信息安全风险控制在可接受的水平，特制定本程序。

2 范围本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。

3 职责3.1 综合部负责牵头成立风险评估小组。

3.2 风险评估小组负责编制《信息安全风险评估计划》，确认评估结果，形成《信息安全风险评估报告》。

3.3 各部门负责本部门使用或管理的资产的识别和风险评估，并负责本部门所涉及的资产的具体安全控制工作。

4 相关文件《信息安全管理手册》《商业秘密管理程序》5 程序5.1 风险评估前准备5.1.1 成立风险评估小组综合部牵头成立风险评估小组，小组成员应包含信息安全重要责任部门的成员。

5.1.2 制定计划风险评估小组制定《信息安全风险评估计划》,下发各部门。

5.2 资产赋值5.2.1 部门赋值各部门风险评估小组成员识别本部门资产，并进行资产赋值。

5.2.2 赋值计算资产赋值的过程是对资产在保密性、完整性、可用性和法律法规合同上的达成程度进行分析，并在此基础上得出综合结果的过程。

5.2.3 保密性(C)赋值根据资产在保密性上的不同要求，将其分为五个不同的等级，分别对应资产在保密性上的应达成的不同程度或者保密性缺失时对整个组织的影响。

保密性分类赋值方法5.2.4 完整性(I)赋值根据资产在完整性上的不同要求，将其分为五个不同的等级，分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。

完整性(I)赋值的方法。

ISO27001：2013数据备份管理办法

数据备份管理办法第一章总则第一条目的：为了加强数据安全管理，进一步规范数据的传输、归档、处置安全管理、以及数据备份行为，确保各类数据的完整性、保密性和可用性，特制定本管理办法。

第二条范围：本管理办法适用于成都万江港利科技有限公司。

第三条定义：本管理办法所指的数据指计算机系统存储的信息，包括战略规划信息、业务决策信息、市场信息、客户信息、项目信息、操作信息、系统信息、财务信息、管理和控制信息、人事信息等。

第二章数据的备份管理第四条数据备份采取定期备份与动态备份相结合的原则。

定期备份按一定周期有计划进行；动态备份是指当操作系统、应用系统发生较大变动后，实时进行的备份。

操作系统和数据库数据定期进行备份，在系统变更或较大应用调整前进行一次操作系统和应用软件备份，并同时同步备份机上相关内容；对系统和应用的配置备份定期进行。

第五条数据备份采用0级备份或增量备份。

数据备份策略的制定应综合系统性能、存储容量、数据量增长速度、业务需求、备份方式、存储介质、存储介质型号、有效期等因素。

备份策略的制定应考虑在特殊日、版本升级日增加备份（主要系统的数据备份见附件）。

第六条数据备份时，要仔细检查备份作业或备份程序的执行结果，核实目标备份与源备份内容一致，确保备份数据的完整性和正确性。

第七条数据备份时，应及时记录备份情况，包括备份作业，备份周期、时间、内容、数据保存期限，介质型号、介质容量、业务种类、转存情况、异地备份记录、相关变更记录等信息，并进行当日备份的问题记录。

第八条数据备份介质使用磁带、磁盘或光盘等存储介质，一般采取定期循环、覆盖使用的策略，但对关键的帐务类数据，备份介质须永久保存。

第九条对数据的保管，应编制数据存储介质保管清单，清单内容应包括介质编号、备份内容、备份时间和保留期限等重要信息。

第十条存放备份数据的介质必须具有明确的标识。

标识必须使用统一的命名规范，注明介质编号、备份内容、备份时间和有效期等。

第十一条按照数据保存期限，对于到期的数据存储介质应及时进行清理，并将清理后的存储介质转为可用介质。

ISO27001：2013信息安全管理体系一整套程序

文件控制制度目录1.目的和范围 (3)2.引用文件 (3)3.职责和权限 (3)4.管理内容及控制要求 (3)4.1文件的分类 (3)4.2文件编制 (3)4.3文件标识 (4)4.4文件的发放 (5)4.5文件的控制 (5)4.6文件的更改 (5)4.6.1文件更改申请 (5)4.6.2文件更改的审批或评审 (5)4.6.3文件更改的实施 (6)4.6.4版本控制 (6)4.7文件的评审 (6)4.8文件的作废 (6)4.9外来文件的管理 (6)4.10文件的归档 (6)5.相关记录 (7)1.目的和范围为了有效控制信息安全管理体系文件，对文件的编制、审核、批准、标识、发放、管理、使用、评审、更改、修订、作废等过程实施有效控制，确保部门使用现行的有效版本，特制订本制度。

本制度适用于信息安全管理体系文件的管理。

2. 引用文件1)《合规性实施制度》2)《信息资产分类分级管理制度》3.职责和权限1)总经办是信息安全管理体系文件的归口部门，负责信息安全有关的所有文件的管理与控制。

2)各部门：负责本部门信息安全管理文件的管理与控制。

4.管理内容及控制要求4.1文件的分类信息安全管理体系文件主要包括：1)第一层：信息安全管理手册、信息安全目标、信息安全适用性声明（SOA）、信息安全策略；2)第二层：制度文件；3)第三层：各管理规定、管理办法、流程、作业指导书（指南）及外来文件等；4)第四层：记录、表单。

记录控制执行《记录控制制度》。

4.2文件编制文件编制要有充分的依据，体现系统协调，可操作、可检查的原则。

1)第一层：信息安全管理手册由体系负责人组织编写，信息安全管理者代表审核，总经理批准发布。

2)第二、三层：由相关责任部门编写，信息安全管理者代表审核，总经理批准发布。

3)第四层：由相关责任部门编写，文档负责人审批，信息安全管理者代表批准发布。

4.3文件标识所有文件必须有明确的标识，包括：文件的名称、编号、版本号、密级标识等。

ISO27001：2013信息系统应用管理程序

XXXXXXXXX有限责任公司信息系统应用管理程序[XXXX-B-17]V1.0发布日期2015年02月01日发布部门信息安全小组实施日期2015年02月01日变更履历版本变更履历变更人/变更日期审核人/审核日期批准人/批准日期1.0 初次发布信息系统应用管理程序1 目的为实施对公司信息系统应用活动的控制，特制定本程序。

2 范围本程序规定了信息系统应用的控制策略、应用需求、开发、测试、培训、故障处理、检查监督和考核，适用于信息系统应用活动的管理。

3 职责3.1 技术部负责按照应用系统的应用控制要求，指导各部门的使用，保证应用系统应用的规范性，协助各部门进行应用推广、检查监督与考核。

3.2 各职能部门应用系统所涉及业务的职能部门，负责系统的控制策略执行。

4 程序4.1 系统操作的控制策略4.1.1 技术部负责建立《应用系统一览表》，明确系统管理的职责。

各应用系统必须确定相应的系统管理员。

系统管理员不能由安全管理员兼任。

4.1.2各部门应对系统实用程序的使用进行限制和严格控制，严禁使用如优化大师，超级兔子等改变应用系统的工具，只有经过总经理授权使用的系统管理员方可使用实用工具网管软件等，且必需服从网络安全管理员检查监督和管理。

并由技术部建立《系统实用工具一览表》。

4.1.3 信息系统的访问控制，应用系统应严格按《用户访问管理程序》执行。

禁止访问系统中应用程序的用户使用系统实用工具。

因未按《用户访问管理程序》授权的用户访问造成的信息安全事件，技术部领导负主要责任。

4.1.4 应用系统的用户必须遵守各应用系统的相关管理规定，必须服从技术部系统管理员的检查监督和管理。

因应用系统用户未按相应的应用管理程序使用系统造成的信息安全事件，应用系统用户负主要责任。

4.1.5 信息系统用户不得利用信息系统做任何危及本公司、部门、他人或其他无关的活动。

4.1.6 信息系统用户必须严格执行保密制度。

对各自的用户帐号负责，不得转借他人使用。

ISO27001：2013信息安全管理体系一整套程序文件

4.1 防范的措施，主要是安装防火墙、入侵检测系统、使用加密程序和安装杀病毒软件。
4.1.1 在对外互联的网络间，IT 部安装防火墙、入侵检测系统、使用加密程序，同时在服务器和客户端上安装杀病毒软件。各部门应根据 IT 部的安排，从指定的网络服务器上安装企业版防病毒软件；单独成网或存在单机的部门，应由本部门 PC 管理员或指定专人负责安装防病毒软件，并周期性（如每周）对病毒库进行升级。 4.1.2 对于配置低、不适宜安装防病毒软件的微机，则不能接入局域网，进行病毒查杀和防范控制，加强日常点检，应做好点检记录。 4.1.3 XX 部负责设置企业版防病毒服务器，每日通过互联网自动进行病毒库的更新升级。
文件名称文件编号
恶意软件控制程序
XX-ISMS-10
版次 A/0
页码
日期 2017.11.01 3 /3
安全策略，确保本公司网络的安全。 4.4.2 对于涉及公司机密和国家秘密等重要系统严格实施网络隔离政策，严禁与互联网连接。
4.5 各部门应按照信息备份的要求(《重要信息备份管理程序》）进行重要数据和软件的备份。
a) 安装反病毒软件； b) 使用正版软件； c) 对软件更改进行控制； d) 对软件开发过程进行控制； e) 其他必要措施。
4.2 XX 部组织各部门进行有关防病毒及其他后门程序等恶意软件预防工作的培训，使各部门明确病毒及其他恶意软件的管理程序及责任。
4.3 预防恶意软件的通用要求保护不受恶意软件攻击的基础是安全意识，适当的系统权限。所有 IT 用户应养成良好
5 相关文件
《重要信息备份管理程序》《信息处理设备管理程序》
文件名称文件编号
第一节总则
更改控制程序
XX-ISMS-11

ISO27001：2013信息安全管理体系全套程序 02记录控制程序

3职责
3.1财务部负责信息安全记录的管理。
4相关文件标识规范》
4.3《商业秘密管理程序》
4.4《数据备份管理程序》
4.5《信息安全记录的分类和保存期限》
5程序
5.1记录的标识
5.1.1记录表格的标识按《信息安全管理文件标识规范》进行。
5.1.2信息安全记录应有追溯标识（如流水号），追溯标识由各部门确定。
记录控制程序
JSWLS/IP-02-2009
编制：财务部
审核：李毓炜
批准：张德洲
程序文件修改控制
序号
版次
修改章节
修改人
审核人
批准人
修改日期
记录控制程序
1目的
为确保对信息安全记录的标识、贮存、保护、检索、保存期限和处置实施有效管理，特制定本程序。
2范围
本程序适用于本公司证实信息安全管理体系符合要求和有效运行的记录管理。
6记录
6.1《信息安全记录一览表》
6.2《记录借阅登记表》
6.3《记录销毁记录表》
5.3.2借阅者在借阅期内应妥善保管记录，并按期归还，机密记录只准在现场查阅。
5.4记录的销毁
5.4.1超过保管期限的记录，应填写《记录销毁记录表》，经管理者代表批准后，由保管部门作为秘密文件处理废弃。
5.4.2记录的废弃应采用安全可靠的处置方法（如书面记录采用粉碎方法、电子媒体采用格式化方法等)，处置记录应予以保存。但若保管部门认为必要时，仍可继续保管超出保管期限的记录。
5.2.4记录保管部门应建立《信息安全记录一览表》，明确规定保管记录类别、记录保存期限等。记录的保存应符合有关法律法规的要求，保存期限应符合《信息安全记录的分类和保存期限》的规定。
5.3记录的查阅

ISO27001：2013信息处理设施管理程序

XXXXXXXXX有限责任公司信息处理设施管理程序[XXXX-B-38]V1.0变更履历1 目的为确保引进的信息处理设施的安全性、完整性和可用性，特制定本程序。

为对适用范围内的设备的维护过程实施有效控制，确保其连续的可用性和完整性，特制定本程序。

2 目的本程序适用于组织与IT相关各类信息处理设施（包括各类软件、硬件及服务)的采购、安装、配置和使用等事宜的管理。

本程序适用于本组织各类信息处理设施(包括传输线路)的维护管理。

3 职责3.1 技术部负责组织内办公用计算机和网络设备的管理与维护。

负责组织与IT相关各类信息处理设施及其服务的引进。

包括制作《采购计划书》、进行技术选型、安装和验收等。

4 相关文件《信息安全管理手册》《软件开发管理程序》《计算机管理程序》5 程序5.1 采购各部门必须采购的信息处理设施、外包开发信息系统项目或外包信息系统服务，得到本部门负责人的批准后，向技术部提交《采购计划书》。

《采购计划书》得到技术部批准后，技术部负责技术选型和供应商评价。

5.2 技术选型技术部负责对购入的信息处理设施的技术选型，并从技术角度对供应商进行评价。

技术选型应该包含性能、相关设施的兼容性、协作能力、技术发展能力等。

技术选型结果应填写在《采购计划书》相关栏目中。

5.3 安装验收5.3.1 开箱检查设备到货后技术部应负责开箱检查，依照《采购计划书》和装箱单核对数量及物品，确认有无损坏并填写《验收报告》。

5.3.2 安装、调试、验收需要安装、调试的设施，技术部会同使用部门进行安装、调试。

在实施调试过程中出现的问题，要如实记录在《验收报告》中。

5.3.3 记录技术部应保持以下文件和记录：a)采购计划书b)采购合同及其相关附件c)验收报告5.4 移交使用验收合格后，可向相关的使用部门移交，移交时应同时移交相关使用说明书或操作手册，并填写《信息处理设施移交记录》。

设备移交后，使用部门应明确使用责任人，修改《信息处理设施一览表》上该设备的最新信息。

ISO27001-2013信息安全管理手册(GBT 22080-2016)

XXXX有限公司信息安全管理手册ISO27001:2013 编制：审核：批准：信息安全管理手册目录1. 概述 (4)1.1 目的 (4)1.2 适用范围 (4)1.3 颁布令 (4)1.4 授权书 (5)2. 依据文件和术语 (6)2.1 依据文件 (6)2.2 术语定义 (6)3. 裁剪说明 (7)4. 组织环境 (8)4.1 组织环境描述 (8)4.2 信息安全相关方的需求和期望 (11)4.3 信息安全管理体系范围的确定 (11)4.4 体系概述 (12)5. 领导力 (14)5.1 领导力和承诺 (14)5.2 信息安全方针和目标 (14)5.3 组织角色、职责和权限 (15)6. 策划 (17)6.1 风险评估和处置.............................. 错误!未定义书签。

6.2 目标实现过程 (18)7. 支持 (20)7.1 资源提供 (20)7.2 能力管理 (20)7.3 意识培训 (20)7.4 信息安全沟通管理 (20)7.5 文件记录管理 (21)8. 运行 (24)8.1 体系策划与运行 (24)8.2 风险评估 (24)8.3 风险处置 (24)9. 绩效评价 (26)9.1 监视、测量、分析和评价...................... 错误!未定义书签。

9.2 内部审核 (27)9.3 管理评审 (28)10. 改进........................................ 3010.1 不符合和纠正措施 2810.2 持续改进 (28)11. 信息安全总体控制 (31)A.5信息安全策略 (31)A.6信息安全组织 (31)A.7人力资源安全 (35)A.8资产管理 (35)A.9访问控制 (35)A.10密码控制 (36)A.11物理和环境安全 (36)A.12操作安全 (36)A.13通信安全 (37)A.14系统获取、开发和维护 (37)A.15供应商关系 (38)A.16信息安全事故 (38)A.17业务连续性管理的信息安全方面 (38)A.18符合性 (38)附件一：信息安全组织架构映射表 (40)附件二：信息安全职责分配表 (40)1.概述为提高服务质量，规范管理活动，保障系统安全运行，提升人员安全意识水平，XXXXXX软件有限公司（以下简称“公司”）依据信息安全管理标准《GB/T 22080-2016/ISO/IEC 27001:2013 信息技术安全技术信息安全管理体系要求》的相关要求，结合自身业务系统实际运行安全需求，已建立实施了一套科学有效的信息安全管理体系，并通过体系的有效运行，实现持续改进，达到动态系统、全员参与、制度化的、以预防为主的信息安全管理方式。

ISO27001：2013信息安全管理手册和程序文件

编写委员会信息安全管理手册GLSC2020第A/0版编写：审核：批准：受控状态：XXX网络科技有限公司发布时间：2020年9月1日实施时间：2020年9月1日01目录02修订页03颁布令为提高我公司的信息安全管理水平,保障公司和客户信息安全，依据GB/T 2 2080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》结合本公司实际，特制定信息安全管理手册（以下简称“管理手册”）A/0版。

《管理手册》阐述了公司信息安全管理，并对公司管理体系提出了具体要求，引用了文件化程序，是公司管理体系的法规性文件，它是指导公司建立并实施管理体系的纲领和行动准则，也是公司对所有社会、客户的承诺。

《管理手册》是由公司管理者代表负责组织编写，经公司总经理审核批准实施。

《管理手册》A/0版于2020年9月1日发布，并自颁布日起实施。

本公司全体员工务必认真学习,并严格贯彻执行，确保公司信息安全管理体系运行有效，实现信息安全管理目标，促使公司信息安全管理工作得到持续改进和不断发展。

在贯彻《管理手册》中，如发现问题，请及时反馈，以利于进一步修改完善。

授权综合部为本《管理手册》A/0版的管理部门。

XXX网络科技有限公司总经理：2020年9月1日04任命书为了贯彻执行GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》，加强对管理体系运作的领导，特任命gary为本公司的信息安全管理者代表。

除履行原有职责外，还具有以下的职责和权限如下：（1）确保信息安全管理体系的建立、实施、保持和更新；进行资产识别和风险评估。

（2）向最高管理者报告管理体系的有效性和适宜性，并作为评审依据用于体系的改进；（3）负责与信息安全管理体系有关的协调和联络工作；（4）负责确保管理手册的宣传贯彻工作；（5）负责管理体系运行及持续改进活动的日常督导；（6）负责加强对员工的思想教育和业务、技术培训，提高员工信息安全风险意识；（7）主持公司内部审核活动，任命内部审核人员；（8）代表公司就公司管理体系有关事宜与外部进行联络。

ISO27001重要信息备份管理程序

惠州培训网
重要信息备份管理程序
1 目的
为确保所有重要业务数据和软件能在灾难之后或存储媒体损坏之后得以恢复,保证信息处理及生产数据的完整性与可用性，特制定本程序。

2 范围
本程序适用于深圳市德信诚经济咨询有限公司重要数据及软件的备份管理。

3 职责
3.1 技术部负责全公司信息备份工作的技术指导及公司各部门重要信息资产的数据和软件
进行备份。

3.2 各部门负责对本部门维护的不适合公司自动备份系统执行的重要信息资产的数据和软
件进行备份。

4 程序
4.1 各部门应对重要信息资产清单确定的重要业务数据、操作系统、应用系统、数据库等其
他重要信息进行备份。

4.2 信息备份的安全要求包括：
1) 根据风险评估的结果，明确备份周期和备份套数；
2) 对备份媒体进行标识；
3) 备份媒体存放于适宜的环境。

4) 财务重要数据采用文件加密和RAR加密的方式保存。

4.3 各部门根据风险评估的结果，制定《重要信息备份周期一览表》，在其中明确规定备份
周期、备份方式、备份媒体及备份负责人。

更多免费资料下载请进：好好学习社区。

ISO27001：2013计算机管理程序

XXX科技有限公司
计算机管理程序
编号：-ISMS-B-25
版本号：V1.0
编制：日期：
审核：日期：
批准：日期：
受控状态
1 目的
为了对本组织计算机设备和相关软件进行有效的管理控制，确保在使用和维护过程中的信息安全，特制定本程序。

2 范围
本程序适用于本组织所有个人计算机设备的购置、调配、报废、使用、维护及在管理、生产、服务等方面所需计算机软件的管理。

3 职责
3.1 综合管理部
负责本组织所有计算机的购置、调配、报废、使用、维护及相关软件的管理和备存。

3.2 其他各部门
具体负责购置审批、保管和使用本部门计算机设备，安装工作中需要使用的软件。

4 相关文件
《信息安全管理手册》
《信息处理设施安装使用管理程序》
《恶意软件管理程序》
《用户访问管理程序》
5 程序
5.1 计算机设备管理
综合管理部负责计算机固定资产的标识,标识随具体设备到使用各部门。

计算机保管使用部门将计算机列入该部门《信息处理设施一览表》。

综合管理部负责建立《计算机配置说明书》，明确组织内配备个人计算机设。