ISO27001：2013系统开发与维护控制程序

记录控制程序1. 目的和范围 (2)2. 引用文件 (2)3. 职责和权限 (2)4. 记录控制要求 (2)4.1.信息安全相关运行记录包括： (2)4.2.记录模板编制 (3)4.3.记录填写和编制 (4)4.4.记录储存 (5)4.5.记录的保护 (5)4.6.保存期 (5)4.7.记录借阅及处置 (6)5. 相关文件 (6)1.目的和范围为了正确实施记录的标识、储存、保护、检索、保存期限和处置,以提供产品符合规定要求和信息安全管理体系有效运行的证据,实现其可追溯性和信息安全改进,特制订本制度。

本制度适用于所有与信息安全管理体系运行有关的所有记录的控制管理。

2.引用文件1)《文件控制程序》3.职责和权限1)总经办：是记录的归口管理部门，负责记录标识、储存、保护、检索、保存期和处置的管理与控制。

2)各部门：负责本部门记录的控制和管理。

4.记录控制要求4.1. 信息安全相关运行记录包括：1)管理评审记录；2)内部审核记录；3)人力资源教育、培训、技能和经验记录；4)监视和测量记录；5)风险评价、分析、处理记录；6)纠正措施实施结果记录；7)预防措施实施结果记录；8) 信息安全管理体系第二、三层文件规定体系运行产生的其它记录。

4.2. 记录模板编制1) 记录格式和模板按照信息安全管理手册、相关制度及文件的要求编写，并按《文件控制制度》中的变更管理的规定进行修订，由体系负责人审批。

总经办每年对公司的记录模板进行汇总，填写《信息安全体系文件管理矩阵表》。

其中：2) 文件密级F1～F5表示记录密级为一级到五级。

3) 层次号（D 表示记录、表单）● A 信息安全手册● B 制度文件● C 流程、管理规定● D 记录、表单4) 部门● 总经办 D ） 001～999） （1～5）文件版本号●财务部●行政部等5)记录编号●记录编号：文件编号中层次号为D时，表示本文档是记录表单，编号为文件顺序号。

4.3. 记录填写和编制1)记录的填写或编制由记录的发生部门专人负责, 按信息安全管理手册、制度及规定等要求，使用规定的表格或模板如实填写或编制。

XXXXXXXXX有限责任公司信息安全管理体系程序文件编号：XXXX-B-01～XXXX-B-41（符合ISO/IEC 27001-2013标准）拟编：信息安全小组日期：2015年02月01日审核：管代日期：2015年02月01日批准：批准人名日期：2015年02月01日发放编号: 01受控状态：受控2015年2月1日发布2015年2月1日实施[XXXX-B-01]信息安全风险管理程序[XXXX-B-02]文件控制程序[XXXX-B-03]记录控制程序[XXXX-B-04]纠正措施控制程序[XXXX-B-05]预防措施控制程序[XXXX-B-06]内部审核管理程序[XXXX-B-07]管理评审程序[XXXX-B-08]监视和测量管理程序A6[XXXX-B-09]远程工作管理程序A7[XXXX-B-10]人力资源管理程序A8[XXXX-B-11]商业秘密管理程序A8[XXXX-B-12]信息分类管理程序A8[XXXX-B-13]计算机管理程序A8[XXXX-B-14]可移动介质管理程序A9[XXXX-B-15]用户访问管理程序A9[XXXX-B-16]信息系统访问与监控管理程序A9[XXXX-B-17]信息系统应用管理程序A10[XXXX-B-18]账号密码控制程序A11[XXXX-B-19]安全区域管理程序A12.1.2[XXXX-B-20]变更管理程序A12.1.3[XXXX-B-21]容量管理程序A12.2.1[XXXX-B-22]恶意软件管理程序A12.3[XXXX-B-23]重要信息备份管理程序A12.6[XXXX-B-24]技术薄弱点管理程序A13[XXXX-B-25]电子邮件管理程序A13[XXXX-B-27]信息安全沟通协调管理程序A13[XXXX-B-28]信息交换管理程序A14.2.9[XXXX-B-29]信息系统验收管理程序A14.2[XXXX-B-30]信息系统开发建设管理程序A14[XXXX-B-31]软件开发管理程序A14[XXXX-B-32]数据安全管理程序A14[XXXX-B-33]OA管理程序A15.2[XXXX-B-34]第三方服务管理程序A15[XXXX-B-35]供应商管理程序A15[XXXX-B-36]相关方信息安全管理程序A16[XXXX-B-37]信息安全事件管理程序A17.2[XXXX-B-38]信息处理设施管理程序A17[XXXX-B-39]业务持续性管理程序A18[XXXX-B-40]信息安全法律法规管理程序A18[XXXX-B-41]知识产权管理程序XXXXXXXXX有限责任公司知识产权管理程序[XXXX-B-41]V1.0知识产权管理程序变更履历1 目的通过对知识产权的流程管理，规范整个知识产权管理工作，保证知识产权管理工作的每个环节的合理性、有效性和流畅，为组织的知识产权保护与管理奠定基础。

最新ISO27001：2013信息安全管理体系一整套文件(手册+程序)1.信息安全管理手册2.信息安全管理程序文件XXXXXX技术服务有限公司版本：A/0受控状态：XXXXXX技术服务有限公司信息安全管理手册(依据GB/T22080-2016)编制：文件编写小组审批： XXX版本：A/0受控状态：受控文件编号：LHXR-ANSC-20182018年4月20日发布 2018年4月20日实施管理手册修改记录页：序号修改原因修改内容版本日期修改者审核者目录0.1 颁布令 (5)0.2 管理者代表任命书 (6)0.3关于成立管理体系工作小组的决定 (7)0.4 公司简介 (8)0.5 组织结构 (8)0.6 信息安全方针与目标 (9)1.0 信息安全方针 (9)2.0 信息安全目标 (9)1.0 范围 (9)1.1 总则 (9)1.2 适用范围 (10)1.3 删减说明 (10)2.0规范性引用文件 (10)3.0 术语与定义 (11)3.3计算机病毒 (11)3.15 相关方 (12)3.16本公司 (12)3.17管理体系 (12)4.0 组织环境 (12)4.1理解组织及其环境 (12)4.2利益相关方的需求和期望 (13)4.3确定信息安全管理体系范围 (13)4.4信息安全管理体系 (14)5.0 领导力 (14)5.1领导和承诺 (14)5.2方针 (15)5.3组织的角色、责任和权限 (15)6.0 规划 (18)6.1 应对风险和机会的措施 (18)6.2 信息安全目标及其实现规划 (20)7.0 支持 (20)7.1资源 (20)7.2能力 (21)7.3意识 (21)7.4沟通 (21)7.5文件化信息 (22)8.0 运行 (24)8.1运行规划和控制 (24)8.2信息安全风险评估 (25)8.3信息安全风险处置 (25)9.0 绩效评价 (25)9.1 监视、测量、分析和评价 (25)9.2 内部审核 (25)9.3 管理评审 (26)10.0 改进 (28)10.1不符合及纠正措施 (28)10.2 持续改进 (29)附1信息安全管理体系职责对照表 (30)0.1 颁布令为提高XXXXXX技术服务有限公司的信息安全管理水平，保障我公司业务活动的正常进行，防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失，我公司于2018年4月开展贯彻GB/T22080-2016《信息技术-安全技术-信息安全管理体系要求》国际标准工作，建立、实施和持续改进文件化的信息安全管理体系，制定了XXXXXX技术服务有限公司《信息安全管理手册》。

XXX科技有限公司
计算机管理程序
编号：-ISMS-B-25
版本号：V1.0
编制：日期：
审核：日期：
批准：日期：
受控状态
1 目的
为了对本组织计算机设备和相关软件进行有效的管理控制，确保在使用和维护过程中的信息安全，特制定本程序。

2 范围
本程序适用于本组织所有个人计算机设备的购置、调配、报废、使用、维护及在管理、生产、服务等方面所需计算机软件的管理。

3 职责
3.1 综合管理部
负责本组织所有计算机的购置、调配、报废、使用、维护及相关软件的管理和备存。

3.2 其他各部门
具体负责购置审批、保管和使用本部门计算机设备，安装工作中需要使用的软件。

4 相关文件
《信息安全管理手册》
《信息处理设施安装使用管理程序》
《恶意软件管理程序》
《用户访问管理程序》
5 程序
5.1 计算机设备管理
综合管理部负责计算机固定资产的标识,标识随具体设备到使用各部门。

计算机保管使用部门将计算机列入该部门《信息处理设施一览表》。

综合管理部负责建立《计算机配置说明书》，明确组织内配备个人计算机设。

XXXXXX软件有限公司人性化科技提升业绩软件开发安全管理办法目录1.目的 (2)2.适用范围 (2)3.依据标准和文件 (2)4.职责分工 (2)5.术语和定义 (3)6. 管理细则 (3)6.1.开发条件及方式 (3)6.2.软件开发项目管理 (3)6.3.开发安全管理 (4)1.目的为规范公司的开发管理，进一步加强应用系统软件开发过程及开发交付的安全性，特制定本管理办法。

2. 适用范围适用于公司软件开发过程的安全管理。

3. 依据标准和文件GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》GB/T 22081-2016/ISO/IEC 27002:2013《信息技术安全技术信息安全管理实用规则》4. 职责分工信息安全工作小组：负责组织编写并推广本管理办法；各开发部各产品（项目）或系统开发组：负责软件开发。

测试部：开发完成后的测试和试运行。

系统服务部：正式运行的维护工作。

5. 术语和定义1)缓冲区溢出：指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数据上；通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，造成程序崩溃或使程序转而执行其它指令，以达到攻击的目的。

2)静态代码分析：指在不运行代码的方式下，通过词法分析、语法分析、控制流分析等技术对程序代码进行扫描，验证代码是否满足规范性、安全可靠性、可维护性等指标的一种代码分析技术。

6. 管理细则6.1. 开发条件及方式6.1.1.开发条件符合开发条件的软件项目应该是能够有效利用现有的资源，开拓新业务；或能有效地提高生产效率，减少工作中机械繁琐操作的项目。

6.1.2. 开发方式软件开发可以采用下列三种开发方式之一：a)自主开发：由需求部门或公司自主开发。

6.2. 软件开发项目管理软件开发项目的整体流程包括项目建议及审批、需求分析、系统设计、系统实现、测试及试运行、系统验收、上线运行维护升级等阶段。

xx电子商务技术有限公司版本：A
信息安全法律法规控制程序
JSWLS/IP-07-2009
编制：xx
审核：xx
批准：xx
2009-6-28发布2009-7-1实施xx电子商务技术有限公司发布
程序文件修改控制
信息安全法律法规控制程序
1 目的
为确保公司信息安全活动符合信息安全管理法律法规的要求，确保所应用的信息安全管理法律法规和其他要求的适用性，特制定本程序。

2 范围
本程序适用于公司信息安全管理所涉及的相关法律、法规和其他要求的控制管理。

3 职责
3.1公共关系发展部负责收集法律法规和其他要求，组织相关部门对法律法规和其他要求的适宜性和合规性进行评审。

3.2 各部门负责对本部门的信息安全相关法律法规及其他要求的适宜性的识别、评审、更新，并负责将信息安全相关的法律法规及其他要求文件传达给员工遵照执行。

4 引用文件
4.1《信息安全管理手册》
4.2《文件控制程序》
5 程序
5.1 法律、法规和其他要求的分类
5.1.1 国际性信息安全管理法律、法规和其他要求；。

XXX科技有限公司
记录控制程序
编号：ISMS-B-03
版本号：V1.0
编制：日期：
审核：日期：
批准：日期：
受控状态
1 目的
为确保对信息安全记录的标识、贮存、保护、检索、保存期限和处置实施有效管理，特制定本程序。

2 范围
本程序适用于本组织证实信息安全管理体系符合要求和有效运行的记录管理。

3 职责
综合管理部负责信息安全记录的管理。

4 相关文件
《信息安全管理手册》
《商业秘密管理程序》
《重要信息备份管理程序》
《信息安全记录分类与保存期限清单》
5 程序
5.1 记录的标识
5.1.1 标识
信息安全记录应有追溯标识（如流水号），追溯标识由各职能部门确定。

文件编号按照《[SANDSTONE-ISMS-B-02]文件控制程序》“5.4 文件标识”中定义的规则进行。

5.1.2 密级
记录的密级分类按《商业秘密管理程序》规定进行，涉密信息应将密级标识。

xx电子商务技术有限公司版本：A各部门信息安全管理职责JSWLS/IP-40-2009编制：xx审核：xx批准：xx2009-6-28发布2009-7-1实施xx电子商务技术有限公司发布xx电子商务技术编号：JSWLS/IP-40-2009有限公司程序文件版次：A/0程序文件修改控制序号版次修改章节修改人审核人批准人修改日期程序文件版次：A/0各部门信息安全管理职责1 总经理（1）负责组织建立公司信息安全管理体系。

（2）负责制定、发布公司信息安全方针。

（3）负责组织各部门定期评审、更新公司信息安全方针。

（4）负责向公司员工和外部提出信息安全管理承诺。

（5）负责实施公司信息安全资源的配置。

（6）负责公司信息安全管理体系评审工作。

（7）负责组织公司信息安全管理体系持续改进工作。

（8）负责公司信息安全管理体系内部协调工作。

（9）负责公司各部门信息安全管理职责的审批工作。

（10）负责组织公司信息安全管理体系符合安全策略和标准。

（11）负责组建公司信息安全管理委员会。

（12）负责任命公司信息安全管理者代表。

2 管理者代表（1）协助总经理建立公司信息安全管理体系。

（2）协助总经理制定、发布公司信息安全方针。

（3）协助总经理组织各部门定期评审、更新公司信息安全方针。

（4）协助总经理向公司员工和外部提出信息安全管理承诺。

（5）协助总经理实施公司信息安全资源的配置。

（6）协助总经理公司信息安全管理体系评审工作。

（7）协助总经理组织公司信息安全管理体系持续改进工作。

（8）协助总经理公司信息安全管理体系内部协调工作。

（9）协助总经理公司各部门信息安全管理职责的审批工作。

（10）协助总经理组织公司信息安全管理体系符合安全策略和标准。

程序文件版次：A/0（11）负责主持公司信息安全管理体系内部审核工作。

3 信息安全管理委员会（1）负责实施公司信息安全管理体系风险评估。

（2）负责根据风险评估制定相关措施。

（3）负责建立公司适用性声明。

XXXXXX软件有限公司人性化科技提升业绩信息系统获取、开发与维护管理制度目录1. 目的和范围 (3)2. 引用文件 (3)3. 职责和权限 (3)4. 确定信息系统安全需求 (4)5. 在应用中建立安全措施......................................................................... 错误!未定义书签。

5.1. 输入数据验证............................................................................. 错误!未定义书签。

5.2. 内部处理的控制......................................................................... 错误!未定义书签。

5.3. 输出数据验证............................................................................. 错误!未定义书签。

6. 密码控制 (5)6.1. 使用密码控制的策略 (5)6.2. 密钥管理 (5)7. 系统文件的安全 (6)7.1. 运行软件的控制 (6)7.2. 系统测试数据的保护 (6)7.3. 对程序源代码的访问控制 (7)7.4. 测试和运行设施分离 (7)7.5. 系统安全性测试 (8)8. 开发和支持过程中的安全 (8)8.1. 变更控制制度 (8)8.2. 操作系统变更后应用的技术评审 (8)8.3. 软件包变更的限制 (9)8.4. 信息泄露 (9)8.5. 系统验收 (10)9. 技术脆弱性的控制 (10)10. 公共网络应用服务的安全 (11)11. 安全的开发环境 (11)12. 项目管理中的信息安全 (13)13. 支持文件 (14)1.目的和范围为确保安全成为所开发的信息系统一个有机组成部分，保证开发过程安全，特制定本程序。

xx电子商务技术有限公司版本：A
远程工作控制程序
JSWLS/IP-33-2009
编制：xx
审核：xx
批准：xx
2009-6-28发布2009-7-1实施xx电子商务技术有限公司发布
程序文件修改控制
远程工作控制程序
1 目的
为对本公司远程工作实施有效控制，确保信息安全，特制定本程序。

2 范围
本程序适用于远程工作的授权和安全控制。

远程工作是指在公司之外访问公司内部网络，不包括对公司网站的浏览。

3 职责
3.1 总经理负责审批新远程工作方式的审批。

3.2 部门负责人负责远程工作人员的审批。

3.3 办公室负责远程工作技术控制和监督。

3.4 远程工作人员负责远程工作相关信息和身份鉴别标识的保护。

4 相关文件
4.1《信息安全管理手册》
4.2《用户访问控制程序》
4.3《网络设备安全设置控制程序》
4.4《信息系统监控控制程序》
5 程序
5.1 远程工作方式
5.1.1 在公司外部使用公司的电子邮件系统收发电子邮件。

文件控制制度目录1.目的和范围 (3)2.引用文件 (3)3.职责和权限 (3)4.管理内容及控制要求 (3)4.1文件的分类 (3)4.2文件编制 (3)4.3文件标识 (4)4.4文件的发放 (5)4.5文件的控制 (5)4.6文件的更改 (5)4.6.1文件更改申请 (5)4.6.2文件更改的审批或评审 (5)4.6.3文件更改的实施 (6)4.6.4版本控制 (6)4.7文件的评审 (6)4.8文件的作废 (6)4.9外来文件的管理 (6)4.10文件的归档 (6)5.相关记录 (7)1.目的和范围为了有效控制信息安全管理体系文件，对文件的编制、审核、批准、标识、发放、管理、使用、评审、更改、修订、作废等过程实施有效控制，确保部门使用现行的有效版本，特制订本制度。

本制度适用于信息安全管理体系文件的管理。

2. 引用文件1)《合规性实施制度》2)《信息资产分类分级管理制度》3.职责和权限1)总经办是信息安全管理体系文件的归口部门，负责信息安全有关的所有文件的管理与控制。

2)各部门：负责本部门信息安全管理文件的管理与控制。

4.管理内容及控制要求4.1文件的分类信息安全管理体系文件主要包括：1)第一层：信息安全管理手册、信息安全目标、信息安全适用性声明（SOA）、信息安全策略；2)第二层：制度文件；3)第三层：各管理规定、管理办法、流程、作业指导书（指南）及外来文件等；4)第四层：记录、表单。

记录控制执行《记录控制制度》。

4.2文件编制文件编制要有充分的依据，体现系统协调，可操作、可检查的原则。

1)第一层：信息安全管理手册由体系负责人组织编写，信息安全管理者代表审核，总经理批准发布。

2)第二、三层：由相关责任部门编写，信息安全管理者代表审核，总经理批准发布。

3)第四层：由相关责任部门编写，文档负责人审批，信息安全管理者代表批准发布。

4.3文件标识所有文件必须有明确的标识，包括：文件的名称、编号、版本号、密级标识等。

XXXXXXXXX有限责任公司信息系统应用管理程序[XXXX-B-17]V1.0发布日期2015年02月01日发布部门信息安全小组实施日期2015年02月01日变更履历版本变更履历变更人/变更日期审核人/审核日期批准人/批准日期1.0 初次发布信息系统应用管理程序1 目的为实施对公司信息系统应用活动的控制，特制定本程序。

2 范围本程序规定了信息系统应用的控制策略、应用需求、开发、测试、培训、故障处理、检查监督和考核，适用于信息系统应用活动的管理。

3 职责3.1 技术部负责按照应用系统的应用控制要求，指导各部门的使用，保证应用系统应用的规范性，协助各部门进行应用推广、检查监督与考核。

3.2 各职能部门应用系统所涉及业务的职能部门，负责系统的控制策略执行。

4 程序4.1 系统操作的控制策略4.1.1 技术部负责建立《应用系统一览表》，明确系统管理的职责。

各应用系统必须确定相应的系统管理员。

系统管理员不能由安全管理员兼任。

4.1.2各部门应对系统实用程序的使用进行限制和严格控制，严禁使用如优化大师，超级兔子等改变应用系统的工具，只有经过总经理授权使用的系统管理员方可使用实用工具网管软件等，且必需服从网络安全管理员检查监督和管理。

并由技术部建立《系统实用工具一览表》。

4.1.3 信息系统的访问控制，应用系统应严格按《用户访问管理程序》执行。

禁止访问系统中应用程序的用户使用系统实用工具。

因未按《用户访问管理程序》授权的用户访问造成的信息安全事件，技术部领导负主要责任。

4.1.4 应用系统的用户必须遵守各应用系统的相关管理规定，必须服从技术部系统管理员的检查监督和管理。

因应用系统用户未按相应的应用管理程序使用系统造成的信息安全事件，应用系统用户负主要责任。

4.1.5 信息系统用户不得利用信息系统做任何危及本公司、部门、他人或其他无关的活动。

4.1.6 信息系统用户必须严格执行保密制度。

对各自的用户帐号负责，不得转借他人使用。

XXXXXXXXX有限责任公司文件控制程序[XXXX-B-02]Ver 1.0文件控制程序变更履历1 目的为了对信息安全管理文件的编制、审核、批准、标识、发放、管理、使用、评审、更改、修订、作废等过程的实施有效控制，特制定本程序。

2 范围本程序适用于文件管理。

3 职责3.1 总经理负责批准信息安全管理文件的制订、修订计划，负责批准《信息安全管理手册》（含信息安全方针）和《信息安全适用性声明》。

3.2 综合部负责人负责审定信息安全管理文件，负责批准信息安全程序文件和作业文件。

3.3 综合部a)负责信息安全管理文件的归口管理。

b)负责组织信息安全管理文件的制订、修订和评审等管理工作。

c)负责信息安全管理文件的标识、作废、回收等日常工作。

4 相关文件《信息安全管理手册》《信息安全适用性声明》《商业秘密管理程序》《信息安全法律法规管理程序》5 程序5.1 管理内容与要求5.1.1 文件分类信息安全管理文件：a)《信息安全管理手册》（含信息安全方针、方针文件、目标文件、信息安全适用性声明）；b)信息安全管理程序文件；c)信息安全管理作业文件；d)策划的管理方案、信息安全管理记录表格。

其他文件：a)信息安全法律法规及其他文件；b)生产、经营、管理、检查与考核记录；c)往来文件。

5.2 文件编制和修订5.2.1 要求信息安全管理文件编制和修订前，编制人员充分了解相关方的要求和信息，广泛收集有关的文件和资料。

作为文件编写的依据，应重点考虑以下几个方面：a)相关的法律法规要求，国家标准、行业标准、地方标准的要求，尤其是强制性标准的要求，上级主管部门颁发的标准、规章、规定等。

b)对客户和其他相关方的合同和承诺，客户与其他相关方的需求和期望方面的信息。

c)国内外同行先进水平和发展方向的信息。

d)本组织现有的有关文件，领导的意图和要求。

e)内容应与组织的实际情况相适应，并保证文件在现有的资源条件下，能得到有效实施。

5.2.2 文件编制部门a)信息安全管理文件由综合部组织，相关职能部门参与进行编制。

编写委员会信息安全管理手册GLSC2020第A/0版编写：审核：批准：受控状态：XXX网络科技有限公司发布时间：2020年9月1日实施时间：2020年9月1日01目录02修订页03颁布令为提高我公司的信息安全管理水平,保障公司和客户信息安全，依据GB/T 2 2080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》结合本公司实际，特制定信息安全管理手册（以下简称“管理手册”）A/0版。

《管理手册》阐述了公司信息安全管理，并对公司管理体系提出了具体要求，引用了文件化程序，是公司管理体系的法规性文件，它是指导公司建立并实施管理体系的纲领和行动准则，也是公司对所有社会、客户的承诺。

《管理手册》是由公司管理者代表负责组织编写，经公司总经理审核批准实施。

《管理手册》A/0版于2020年9月1日发布，并自颁布日起实施。

本公司全体员工务必认真学习,并严格贯彻执行，确保公司信息安全管理体系运行有效，实现信息安全管理目标，促使公司信息安全管理工作得到持续改进和不断发展。

在贯彻《管理手册》中，如发现问题，请及时反馈，以利于进一步修改完善。

授权综合部为本《管理手册》A/0版的管理部门。

XXX网络科技有限公司总经理：2020年9月1日04任命书为了贯彻执行GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》，加强对管理体系运作的领导，特任命gary为本公司的信息安全管理者代表。

除履行原有职责外，还具有以下的职责和权限如下：（1）确保信息安全管理体系的建立、实施、保持和更新；进行资产识别和风险评估。

（2）向最高管理者报告管理体系的有效性和适宜性，并作为评审依据用于体系的改进；（3）负责与信息安全管理体系有关的协调和联络工作；（4）负责确保管理手册的宣传贯彻工作；（5）负责管理体系运行及持续改进活动的日常督导；（6）负责加强对员工的思想教育和业务、技术培训，提高员工信息安全风险意识；（7）主持公司内部审核活动，任命内部审核人员；（8）代表公司就公司管理体系有关事宜与外部进行联络。

ISO27001：2013信息系统获取、开发与维护管理制度XXXXXX软件有限公司人性化科技提升业绩信息系统获取、开发与维护管理制度目录1. 目的和范围 (3)2. 引用文件 (3)3. 职责和权限 (3)4. 确定信息系统安全需求 (4)5. 在应用中建立安全措施...................................................................... 错误！未定义书签。

5.1. 输入数据验证.......................................................................... 错误！未定义书签。

5.2. 内部处理的控制...................................................................... 错误！未定义书签。

5.3. 输出数据验证.......................................................................... 错误！未定义书签。

6. 密码控制 (5)6.1. 使用密码控制的策略 (5)6.2. 密钥管理 (5)7. 系统文件的安全 (6)7.1. 运行软件的控制 (6)7.2. 系统测试数据的保护 (6)7.3. 对程序源代码的访问控制 (7)7.4. 测试和运行设施分离 (7)7.5. 系统安全性测试 (8)8. 开发和支持过程中的安全 (8)8.1. 变更控制制度 (8)8.2. 操作系统变更后应用的技术评审 (8)8.3. 软件包变更的限制 (9)8.4. 信息泄露 (9)8.5. 系统验收 (10)9. 技术脆弱性的控制 (10)10. 公共网络应用服务的安全 (11)11. 安全的开发环境 (11)12. 项目管理中的信息安全 (13)13. 支持文件 (14)1.目的和范围为确保安全成为所开发的信息系统一个有机组成部分，保证开发过程安全，特制定本程序。