《ISMS方针、手册、程序文件模板》

精品文档，值得拥有1 / 1《ISMS 方针、手册、程序文件模板》 1 信息安全管理手册 2 信息安全适用性声明 3 信息安全管理体系程序文件 3.01文件管理程序 3.02记录管理程序 3.03纠正措施管理程序 3.04预防措施控制程序 3.05信息安全沟通协调管理程序 3.06管理评审程序 3.07相关方信息安全管理程序 3.08信息安全风险管理程序 3.09信息处理设施安装使用管理程序 3.10计算机管理程序 3.11电子邮件管理程序 3.12信息分类管理程序 3.13商业秘密管理程序 3.14员工聘用管理程序 3.15员工培训管理程序 3.16信息安全奖惩管理程序 3.17员工离职管理程序 3.18物理访问管理程序 3.19信息处理设施维护管理程序 3.20信息系统变更管理程序 3.21第三方服务管理程序 3.22信息系统接收管理程序 3.23恶意软件管理程序 3.24数据备份管理程序 3.25网络设备安全配置管理程序 3.26可移动介质管理程序 3.27介质处置管理程序 3.28信息系统监控管理程序 3.29用户访问管理程序 3.30远程工作管理程序 3.31信息系统开发管理程序 3.32数据加密管理程序 3.33信息安全事件管理程序 3.34业务持续性管理程序 3.35信息安全法律法规管理程序 3.36内部审核管理程序 4 信息安全管理体系作业文件 4.01员工保密守则 4.02员工保密协议管理制度 4.03Token 管理规定 4.04产品运输保密管理规定 4.05介质销毁办法 4.06信息中心机房管理制度 4.07信息中心信息安全处罚规定 4.08信息中心密码管理规定 4.09档案室信息销毁制度 4.10电子数据归档管理规定 4.11生产系统机房管理规定 4.12机房安全管理规定 4.13计算机应用管理岗位工作标准 4.14信息开发岗位工作标准 4.15系统分析员岗位工作标准 4.16各部门微机专责人工作标准 4.17网络通信岗位工作标准 4.18监视系统管理规定 4.19数据加密管理规定 4.20涉密计算机管理规定 4.21电子邮件使用准则 4.22互联网使用准则 4.23档案室信息安全职责 4.24市场部信息安全岗位职责规定 4.25复印室管理规定 4.26机房技术资料管理制度 4.27市场部计算机机房管理规定 4.28信息安全记录的分类和保存期限 4.29信息安全事件分类规定 4.30保安业务管理规定 4.31计算机硬件管理维护规定 4.32网站信息发布管理规定 4.33工具及备品备件管理制度 4.34财务管理系统访问权限说明 4.35信息安全管理程序文件编写格式 5 信息安全策略文件 5.01信息资源保密策略 5.02信息资源使用策略 5.03安全培训策略 5.04第三方访问策略 5.05物理访问策略 5.06变更管理安全策略 5.07病毒防范策略 5.08可移动代码防范策略 5.09备份安全策略 5.10信息交换策略 5.11信息安全监控策略 5.12访问控制策略 5.13帐号管理策略 5.14特权访问管理策略 5.15口令策略 5.16清洁桌面和清屏策略 5.17网络访问策略 5.18便携式计算机安全策略 5.19远程工作策略 5.20网络配置安全策略 5.21服务器加强策略 5.22互联网使用策略 5.23系统开发策略 5.24入侵检测策略 5.25软件注册策略 5.26事件管理策略 5.27电子邮件策略 5.28加密控制策略 6 信息安全管理体系记录 6.01信息安全风险评估计划 6.02信息安全风险评估报告 6.03信息安全风险处理计划 6.04信息安全内部专家名单 6.05信息安全外部顾问名单 6.06信息安全法律、法规清单 6.07信息安全法律法规符合性评估表 6.08信息安全法律法规要求清单 6.09信息安全法律法规实施控制一览表 6.10相关方一览表 6.11信息安全薄弱点报告 6.12信息安全文件审批表 6.13信息安全文件一览表 6.14文件修改通知单 6.15文件借阅登记表 6.16文件发放回收登记表 6.17文件销毁记录表 6.18信息安全记录一览表 6.19记录借阅登记表 6.20记录销毁记录表 6.21信息安全重要岗位一览表 6.22信息安全重要岗位员工一览表 6.23信息安全重要岗位评定表 6.24员工年度培训计划 6.25信息安全培训计划 6.26员工离职审批表 6.27第三方服务提供商清单 6.28第三方服务风险评估表 6.29第三方保护能力核查计划 6.30第三方保护能力核查表 6.31信息设备转移单 6.32信息设备转交使用记录 6.33信息资产识别表 6.34计算机设备配置说明书 6.35计算机配备一览表 6.36涉密计算机设备审批表 6.37涉密计算机安全保密责任书 6.38信息设备（设施）软件采购申请 6.39信息处理设施使用情况检查表 6.40应用软件测试报告 6.41外部网络访问授权登记表 6.42软件一览表 6.43应用软件开发任务书 6.44敏感重要信息媒体处置申请表 6.45涉密文件复印登记表 6.46文章保密审查单 6.47对外提交涉密信息审批表 6.48机房值班日志 6.49机房人员出入登记表 6.50机房物品出入登记表 6.51时钟校准记录 6.52用户设备使用申请单 6.53用户访问授权登记表a 6.54用户访问授权登记表 b 6.55用户访问权限评审记录 6.56远程工作申请表 6.57远程工作登记表 6.58电子邮箱申请表 6.59电子邮箱一览表 6.60电子邮箱使用情况检查表 6.61生产经营持续性管理战略计划 6.62生产经营持续性管理计划 6.63生产经营持续性计划测试报告 6.64生产经营持续性计划评审报告 6.65私人信息设备使用申请单 6.66计算机信息网络系统容量规划 6.67软件安装升级申请表 6.68监控活动评审报告 6.69信息安全故障处理记录 6.70系统测试计划 6.71网络打印机清单 6.72设备处置再利用记录 6.73设施系统更改报告 6.74软件设计开发方案 6.75软件设计开发计划 6.76软件验收报告 6.77重要信息备份周期一览表 6.78操作系统更改技术评审报告 6.79事故调查分析及处理报告 6.80上级单位领导来访登记表 6.81第三方物理访问申请授权表 6.82第三方逻辑访问申请授权表 6.83重要安全区域访问审批表 6.84重要安全区域控制一览表 6.85重要安全区域检查表 6.86人工查杀病毒记录表。

一级文件为纲领性文件，是描述组织的ISMS的整体要求、目标和架构的控制性、基础性文件。

二级文件为程序、规定性文件。

程序文件描述管理体系各个过程及涉及到的部门活动，明确过程的输入、输出及相互作用；规定性文件描述各个部门的管理标准，包括信息安全管理体系设计安全域的各项规定。

三级文件为指南及作业文件，包括编写、操作、管理指南、使用手册和技术规范等。

企业的工作标准和技术标准可纳入本层次。

四级文件为相关记录和流程图。

管理体系文件性质与要求见表。

3. 2.1 文件清单
文件清单。

ISMS信息安全管理体系文件(全面)4第2页2.2 术语和定义下列文件中的条款通过本《ISMS信息安全管理体系文件》的引用而成为本《ISMS信息安全管理体系文件》的条款。

凡是注日期的引用文件，其随后所有的修改单或修订版均不适用于本体系文件，然而，信息安全管理委员会应研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件、其最新版本适用于本信息安全管理手册。

ISO/IEC 27001，信息技术-安全技术-信息安全管理体系-概述和词汇2.3引用文件ISO/IEC 27001中的术语和定义适用于本手册。

本公司：上海海湃计算机科技有限公司信息系统：指由计算机及其相关的和配套的设备、设施（含网络）构成的，且按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

计算机病毒：指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

信息安全事件：指导致信息系统不能提供正常服务或服务质量下降的技术故障事件、利用信息系统从事的反动有害信息和涉密信息的传播事件、利用网络所从事的对信息系统的破坏窃密事件。

相关方：关注本公司信息安全或与本公司信息安全绩效有利益关系的组织个人。

主要为：政府、上级部门、供方、用户等。

2.3.1组织环境，理解组织及其环境本公司在系统开发、经营、服务和日常管理活动中，确定与其目标相关并影响其实现信息安全管理体系预期结果的能力的外部和内部问题。

2.3.2 理解相关方的需求和期望组织应确定：1）与信息安全管理体系有关的相关方2）这些相关方与信息安全有关的要求。

2.3.3 确定信息安全管理体系的范围本公司应确定信息安全管理体系的边界和适用性，本公司信息安全管理体系的范围包括：1）本公司的认证范围为：防伪票据的设计、开发所涉及的相关人员、部门和场所的信息安全管理活动。

2）与所述信息系统有关的活动3）与所述信息系统有关的部门和所有员工；4）所述活动、系统及支持性系统包含的全部信息资产。

ISMS文件和资料管理程序（ISO27001-2013）1.目的对信息安全管理体系所要求的文件进行控制，确保可获得适用文件的有效版本。

2.适用范围本程序适用于公司各部门的信息安全管理体系有关的文件和资料控制和管理。

3.职责3.1 人事部负责本程序文件的编制、更改、实施和控制管理；负责外来文件（国家、地方、上级和顾客与信息安全有关的文件和资料）的识别控制和管理。

3.2 信息安全管理委员会负责《信息安全管理手册》的编制、发放、更改和控制管理，负责各程序文件编制工作的指导、印制、发放、更改和控制管理。

3.3 文控中心负责编制规范、标准和标准图等有效版本控制清单，下发到相关部门和单位，并组织对作废版本进行识别；负责重大技术项目施工组织设计编制工作；参与竣工的审核验收工作。

3.4 文控中心负责收集国家颁布的信息安全方面的法律法规并进行有效的控制和管理。

3.5各职能部门负责本部门所管辖的业务和相关的外来文件；以及内部文件资料的识别、控制与管理。

4.文件和资料编号/版本规定4.1本公司采用四级层次文件编写法。

所有信息安全管理的文件（含记录）均以ISMS作为开头，规定由4或5个数字构成编号。

首数字代表文件层次：1为手册、2为程序文件、3为作业指导书、4为表格记录；第二层次文件中第二位数字全部为0，末两位为自然序号，从01开始往后排序；第三层次文件中的第二位和第三位两个数字与第二层次文件的自然序列号相对应，第四或第五个数字为本层次的自然序列号；第四层次的文件编号中第二、三两个数字全部对应需要填写此表格的程序文件或作业指导书，后两个数字为自然序列号；。

版本及修订号的标注方法：1、2、3层次文件标注在封面。

记录作为一种特殊形式的文件，没有标注版本及修订号的时候，默认为A/0版；当记录更新版本及修订号后，需要在记录的标题前增加更新后的版本及修订号，以示区别。

5.工作程序5.2 文件分类(见下表)。

信息安全管理体系建立方法以BS7799的管理思想介绍通用安全管理体系建立的方法；信息安全管理包括诸多方面，如风险管理、工程管理、业务连续性管理等，每项管理的要点均有不同.后续将详细介绍不同部分的管理。

1 信息安全管理体系概述1.1什么是信息安全管理体系信息安全管理体系，即Information Security Management System(简称ISMS），是组织在整体或特定范围内建立的信息安全方针和目标，以及完成这些目标所用的方法和体系。

它是直接管理活动的结果，表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。

BS7799－2是建立和维持信息安全管理体系的标准，标准要求组织通过确定信息安全管理体系范围,制定信息安全方针,明确管理职责,以风险评估为基础选择控制目标与控制措施等一系列活动来建立信息安全管理体系；体系一旦建立，组织应按体系的规定要求进行运作，保持体系运行的有效性；信息安全管理体系应形成一定的文件，即组织应建立并保持一个文件化的信息安全管理体系，其中应阐述被保护的资产、组织风险管理方法、控制目标与控制措施、信息资产需要保护的程度等内容.1。

ISMS的范围ISMS的范围可以根据整个组织或者组织的一部分进行定义，包括相关资产、系统、应用、服务、网络和用于过程中的技术、存储以及通信的信息等，ISMS的范围可以包括：●组织所有的信息系统；●组织的部分信息系统；●特定的信息系统。

此外,为了保证不同的业务利益，组织需要为业务的不同方面定义不同的ISMS。

例如，可以为组织和其他公司之间特定的贸易关系定义ISMS，也可以为组织结构定义ISMS，不同的情境可以由一个或者多个ISMS表述。

2.组织内部成功实施信息安全管理的关键因素●反映业务目标的安全方针、目标和活动；●与组织文化一致的实施安全的方法；●来自管理层的有形支持与承诺；●对安全要求、风险评估和风险管理的良好理解；●向所有管理者及雇员推行安全意思;●向所有雇员和承包商分发有关信息安全方针和准则的导则；●提供适当的培训与教育；●用于评价信息安全管理绩效及反馈改进建议,并有利于综合平衡的测量系统.3.建立ISMS的步骤不同的组织在建立与完善信息安全管理体系时，可根据自己的特点和具体的情况，采取不同的步骤和方法。

ISMS-01-02文件控制程序变更履历目录1.目的确保生产经营全过程的有效策划、运行和控制所需的文件、资料（包括外来文件）受控，对质量、环境、安全管理体系（以下简称综合管理体系）运行有关的文件、资料进行有效控制。

2.范围适用于综合管理体系运行有关的文件、资料，包括外来文件，如法律法规、技术标准、相关提供的文件、规章制度等。

3. 职责3.1信息安全工作小组是综合管理手册、程序文件的归口管理部门；负责手册、程序文件的编制，环境、安全管理体系覆盖的程序文件及有关的法律法规及其它要求的收集、更新。

3.2技术部是技术文件及外来技术文件的归口管理部门；负责产品标准的获取、更新、贯彻执行；技术文件的发放、回收、保留、并做好相关记录。

3.4 行政部门负责外来行政类及政策类文件的收集及公司外部公文的发放工作，负责外来文件的收集、发放、保存，并做好相关记录。

3.5规定了信息安全管理手册、策略文件、方针目标文件由信息安全小组以及有关部门共同编写,总经理审批、发布。

3.6程序文件和各类三层文件由相关责任部门编写,各部门领导参与审核，管理者代表批准、发布4. 工作程序4.1文件分类4.1.1文件分为：管理文件、技术文件、外来文件管理文件分为：手册、程序文件、管理制度（包括管理制度及管理标准）、记录表单等。

4.1.2 外来文件1）国家、行业、地方颁发的适用的法律法规、政策等文件；2）有关标准（如产品标准，国际标准等）、国家和行业技术标准、产品图样和规范；3）顾客提供的知识产权保护（如图样、规范等）；4.2 文件的编制和收集1）手册、程序文件由体系中心负责编制、更改，各部门协助。

按文件编码规定编号。

2) 管理制度、管理标准由归口部门编制，部门主管审核，有关责任部门会签后报体系中心编号、标准化检查后，报归口负责人批准。

3) 技术类文件由相关业务部门编写并按编号规则编号，部门负责人审核，部门主管副总经理批准，各部门负责将文件相关信息登记到部门【受控文件清单】中。

信息安全管理体系手册目录颁布令授权书0 前言1 范围1.1 总则1.2 应用2 规范性引用文件3 术语和定义3.1 术语3.2 缩写4 信息安全管理体系4.1 总要求4.2 建立和管理信息安全管理体系4.3 文件要求5 管理职责5.1 管理承诺5.2 资源管理6 内部信息安全管理体系审核6.1 总则6.2 内审策划6.3 内审员6.4 内审实施7 管理评审7.1 总则7.2 评审输入7.3 评审输出8 信息安全管理体系改进8.1 持续改进8.2 纠正措施8.3 预防措施附录1-组织概况附录2-组织机构图附录3-职能分配表附录4-信息安全小组成员附录5-文件清单附录6-公司内部环境及网络拓扑图颁布令经公司全体员工的共同努力依据ISO/IEC 27001:2005标准建立的XX有限公司信息安全管理体系已得到建立。

指导管理体系运行的公司《信息安全管理体系手册》经评审后，现予以批准发布。

《信息安全管理体系手册》的发布，标志着我公司从现在起，必须按照信息安全管理体系标准的要求和公司《信息安全管理体系手册》所描述的规定，不断增强持续满足顾客要求、相关方要求和法律法规要求的能力，全心全意为顾客和相关方提供优质、安全的应用软件的开发和维护服务，以确立公司在社会上的良好信誉。

《信息安全管理体系手册》是公司规范内部管理的指导性文件，也是全体员工在向顾客提供服务过程必须遵循的行动准则。

《信息安全管理体系手册》一经发布，就是强制性文件，全体员工必须认真学习、切实执行。

本手册自2010年07月01日正式实施。

总经理：年月日授权书为贯彻执行ISO/IEC 27001:2005《信息安全管理体系》，加强对信息管理体系运行的领导，特授权：1、授权为公司管理者代表，其主要职责（角色）和权限为：1）确保公司信息安全管理体系所需过程得到建立、实施、运行和保持。

确保信息安全业务风险得到有效控制。

2）向最高管理者报告信息安全管理体系业绩（绩效）和任何改善需求，为最高管理层评审提供依据。

公司安全保卫制度1.目的确保所有信息资产的物理和环境保护能得到有效控制，防止本公司控制的信息资产被人擅自删除或移动，减少擅自访问或损坏或影响本公司控制的信息资产的风险，特制定本程序。

2.适用范围本程序适用于承担信息安全管理体系规定职责的所有在职人员、临时雇用的人员，必要时还包括客户和合作方。

3.术语和定义4.相关/支持性文件•《信息安全管理体系手册》•《信息系统运维管理规范》5.程序内容✓公司各部门及全体员工都应提高安全防范意识，重视防火、防盗和生产安全工作，使防火、防盗和安全保卫工作落到实处。

✓行政部为公司安全保卫工作的主管部门，全面负责公司安全保卫制度的制订、贯彻和检查；其他部门配合行政部并负责各自部门相关的安全保卫工作。

✓公司行政部根据需要设保卫干事，具体负责落实保卫工作事宜，加强与大厦物业保卫科及公安、消防等部门的联系。

公司下属机构及各部门应设安全员，负责本机构或部门的安防工作。

✓经常对全体员工尤其是安防工作的责任人进行消防、防盗和安全教育或培训，提高全体员工的安防意识。

组织消防安全培训。

✓消防及防火措施✓办公楼的消防安全由行政部指定专人负责。

办公场所、仓库等都应配备专用灭火机等各种消防器材，并不得挪作他用。

责任人应定期（每月）检查、维护和更换各种消防器械、药物和材料，以备应急，不得疏漏。

✓易燃、易爆物品要按消防规范安全隔离存放，并指定专人保管，不得乱放、混放。

✓严禁个人私自携带易燃、易爆物品进入工作区。

✓仓库等重要场所应制订消防细则，严格落实消防措施。

✓防火通道必须保持畅通，严禁堆放任何物品堵塞防火通道。

✓严禁违反安全规范乱搭建筑物或装修。

✓严禁在禁烟区吸烟，严禁乱丢烟蒂。

✓严禁在办公区使用明火，特殊需要应经批准。

✓发现火警时，应注意的事项：✓迅速通知并组织公司全体员工从楼梯或消防梯撤离现场；✓打碎火警报警装置保护玻璃，按下报警开关；✓向119报警，讲话要沉着冷静、简单清晰，讲清地址、楼层和起火性质；✓如遇烟雾太大，打开电梯口通风管；✓取出灭火器，打开保险销灭火；✓将楼层消防栓箱内的水龙带与消火栓连接，打开阀门进行灭火。

目录第一部分案例 (2)1博文公司介绍 (2)2博文公司ISMS文件 (3)1目的 (4)2范围 (5)3适用性声明 (5)1.目的 (18)2.适用范围 (18)3.风险评估的实施频率及评审 (18)4.风险评估方法 (18)5.风险评估流程 (19)6.相关文件 (21)1目的和适用范围 (21)2职责 (22)3定义 (22)3.1信息安全事件 (22)3.2信息安全事故 (22)4工作程序 (22)4.1报告 (22)4.2处理 (22)4.3改进 (23)5相关记录 (23)第一部分案例1博文公司介绍位于北京上地信息产业园区的博文数据科技有限公司成立于2000年8月，总投资3000万元人民币。

公司主要业务是为行业用户提供数据加工服务，包括：●大批量纸介质数据的电子化●加工制作数字化报刊和电子图书●大批量电子数据的格式转换●定制开发电子数据阅读器博文公司凭借自主知识产权的OCR、数据格式化等核心技术，已经成为国内外领先的的专业数据加工企业。

目前主要客户来自国际、国内的银行、保险公司、医院、法院、档案馆、图书馆等。

公司现有员工1200人，设有7个职能部门，实行董事会领导的总经理负责制。

各职能部门主要职责如下：1) 生产部：按照客户要求，负责数据加工生产，是公司核心业务部门。

2) 质量保证部：负责数据加工生产过程中的品质保证，ISO9001质量管理体系和GB/T22080-2008/ISO/IEC27001:2005信息安全管理体系的运行。

3) IT部：负责研发生产部所需的数据加工工具，为客户定制开发电子数据阅读器。

公司IT系统的建设和运行维护。

4) 市场营销部：制定和实施营销策略，开发客户，实现销售。

5) 财务部：财务计划的制定和实施，日常结算、税务等会计业务。

6) 行政部：负责公司后勤保障和日常运行事务。

7) 人力资源部：制定和实施人力资源计划，包括人员招聘、绩效考核、岗位职责定义。

2博文公司ISMS文件部分博文公司ISMS文件如下。

信息安全管理体系方针1 适用范围为了对组织整体业务的信息安全活动进行指导，并表明组织管理层对信息安全的支持，特制定本方针。

本方针适用于组织ISMS涉及的所有人员（以下简称“全体员工”）和组织的全部重要信息资产及过程。

2引用文件组织的《信息安全管理手册》。

3术语和定义（此处略去）4职责4.1 信息安全管理委员会a)负责解释本方针，是本方针的归口管理部门；b)负责决定组织信息安全相关事项。

4.2信息安全部负责协调推行信息安全管理委员会制定的方针政策。

4.3信息安全战略推进组负责执行信息安全管理委员会下发、信息安全部督导的ISMS相关文档。

5 ISMS范围组织信息安全管理体系的范围覆盖组织的所有业务，运行范围包括图1组织结构图中所示的所有业务部门，该范围与《适用性声明》保持一致。

组织结构示意图（略去）6信息安全基本策略6.1 信息安全方针及信息安全目标信息安全是保护信息免受各种威胁的损害，以确保业务连续性、业务风险最小化，投资回报和商业机遇最大化。

6.1.1 组织信息安全方针积极预防、全面管理、控制风险、保障安全。

信息安全方针应由CEO批准，发布并传达给全体员工和外部相关方。

6.1.2组织信息安全目标使已识别的信息资产满足信息安全的各项要求，包括法律法规、客户与相关方和组织业务要求。

具体目标包括：a)信息泄漏事件为零；b)引起组织主要业务中断时间累计不能超过2 h／年；c)引起组织主要业务中断事件发生次数小于1次／年；d)严重影响网络与信息系统可用性的事件小于1次／年；e)信息安全事件发生时，以损失最小化、恢复时间最短化、避免再次发生为目标。

6.2信息安全管理体制信息安全管理体制由以下人员组成：CEO、信息安全官、信息安全战略推进组、信息安全部门主管、信息安全员和用户。

为了确保信息安全工作有一个明确的方向相获得CEO的支持，组织设立了三个不同级别的信息安全机构：信息安全管理委员会、信息安全部和信息安全战略推进组。

ISMS-01-01ISMS信息安全管理体系文件目录一、信息安全方针1.1总体方针满足用户要求，实施风险管理，确保信息安全，实现持续改进。

1.2信息安全管理机制和目标公司为用户提供智能登陆及加密会员信息管理的服务，信息资产的安全性对公司及用户非常重要。

为了保证各种信息资产的保密性、完整性、可用性，给客户提供更加安心的服务，公司依据ISO/IEC 27001:2013标准，建立信息安全管理体系，全面保护公司及用户的信息安全。

1.2.1目标量化：保密性目标：确保本公司业务系统在存储、处理和传输过程中的数据不向非授权用户暴露。

1）顾客保密性抱怨/投诉的次数不xeg 超过1起/年。

2）受控信息泄露的事态发生不超过3起/年。

3）秘密信息泄露的事态不得发生。

完整性目标：确保本公司业务系统在存储、处理和传输过程中不会以非授权方式更改数据；1）非授权方式更改数据导致业务系统出现故障而影响正常工作的事态不超过2起/年。

可用性目标：确保本公司业务系统能有效率地运转并使所有授权用户得到所需信息服务。

1）得到授权的用户执行数据操作，出现服务拒绝或者数据拒绝的次数不得高于10起/年；2）得到授权的用户超越其自身权限，越权使用系统、使用数据的次数不超过10起/年。

1.3信息安全小组负责信息安全管理体系的建立、实施和日常运行，起草信息安全政策，确定信息安全管理标准，督促各信息安全执行单位对于信息安全政策、措施的实施；负责定期召开信息安全管理工作会议，定期总结运行情况以及安全事件记录，并向信息安全管理委员会汇报；对员工进行信息安全意识教育和安全技能培训；协助人力资源部对外部组织有关的信息安全工作，负责建立各部门定期沟通机制；负责对ISMS体系进行审核，以验证体系的健全性和有效性，并对发现的问题提出内部审核建议；负责对ISMS体系的具体实施、各部门的信息安全运行状况进行定期审计或专项审计；负责汇报审计结果，并督促审计整改工作的进行，落实纠正措施（包括内部审核整改意见）和预防措施；负责制定违反安全政策行为的标准，并对违反安全政策的人员和事件进行确认；负责管理体系文件的控制；负责保存内部审核和管理评审的有关记录；识别适用于公司的所有法律、法规，行业主管部门颁布的规章制度，审核ISMS体系文档的合规性。

文件管理程序1目的对信息安全与服务管理体系所要求的文件进行控制，确保可获得适用文件的有效版本，特制定本程序。

2范围本程序适用于公司各部门的信息安全与服务管理体系有关的文件和资料控制和管理。

3职责3.1总经理负责《信息安全与服务管理手册》、《适用性声明（SOA）》的批准。

3.2管理者代表负责《信息安全与服务管理手册》的审核和程序文件的批准工作。

3.3运营管理部3.3.1负责本程序文件的编制、更改、实施和控制管理；负责外来文件（国家、地方和顾客与信息安全与服务管理体系有关的文件和资料）的识别和管理。

3.3.2负责《信息安全与服务管理手册》的编制、发放、更改和控制管理，负责各程序文件编制工作的指导、印制、发放、更改和控制管理。

3.3.3负责收集国家颁布的信息安全与服务方面的法律法规并进行有效的控制和管理。

3.4各职能部门负责主管业务范围内信息安全与服务管理体系记录的编制、收集、保管和使用等工作。

4程序4.1工作流程4.2 文件的范围及标识4.2.1受控文件范围：a ）信息安全与服务管理手册（包括信息安全与服务与服务方针、信息安全与服务与服务目标）、适用性声明（SOA ）、策略；b ）IS02700kIS020000-1标准所要求的程序文件；C ）三层文件（作业文件）；d ）外来文件；e ）记录格式。

4.2.2信息安全与服务管理体系文件的标识4.2.2.1运营管理部应对信息安全与服务管理体系文件进行标识，标识号为文件编号，信息安全与服务管理手册的编号为ISMS-0001-2022其他文件标识号的编制如下：ISMS□□ □□—□□□□------- 文件版本号（年代号）------------------- 文件顺序号___________________________ 文件类别号------------------------------------- 信息安全与服务管理体系文件代号（信息、服务的英文单词首字母）除记录编号外，所有文件编号前缀有：“PANSOFT -"。

信息安全管理IT服务管理体系手册发布令本公司按照ISO20000:2005《信息技术服务管理—规范》和ISO27001：2005《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT服务管理体系手册》，建立与本公司业务相一致的信息安全与IT服务管理体系，现予以颁布实施。

本手册是公司法规性文件，用于贯彻公司信息安全管理方针和目标，贯彻IT服务管理理念方针和服务目标。

为实现信息安全管理与IT服务管理，开展持续改进服务质量，不断提高客户满意度活动，加强信息安全建设的纲领性文件和行动准则。

是全体员工必须遵守的原则性规范。

体现公司对社会的承诺，通过有效的PDCA活动向顾客提供满足要求的信息安全管理和IT服务。

本手册符合有关信息安全法律法规要求以及ISO20000:2005《信息技术服务管理—规范》、ISO27001：2005《信息安全管理体系要求》和公司实际情况。

为能更好的贯彻公司管理层在信息安全与IT服务管理方面的策略和方针，根据ISO20000:2005《信息技术服务管理—规范》和ISO27001：2005《信息安全管理体系要求》的要求任命XXXXX 为管理者代表，作为本公司组织和实施“信息安全管理与IT服务管理体系”的负责人。

直接向公司管理层报告。

全体员工必须严格按照《信息安全管理&IT服务管理体系手册》要求，自觉遵守本手册各项要求，努力实现公司的信息安全与IT服务的方针和目标。

管理者代表职责：a) 建立服务管理计划；b) 向组织传达满足服务管理目标和持续改进的重要性；e) 确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源，如招聘合适的人员，管理人员的更新；1．确保按照ISO207001:2005标准的要求，进行资产识别和风险评估，全面建立、实施和保持信息安全管理体系；按照ISO/IEC 20000 《信息技术服务管理－规范》的要求，组织相关资源，建立、实施和保持IT服务管理体系，不断改进IT服务管理体系，确保其有效性、适宜性和符合性。

《ISMS方针、手册、程序文件模版》目录1信息安全管理体系手册2信息安全管理体系程序文件2.1ISMS-业务持续性管理程序2.2ISMS-事故、薄弱点与故障管理程序2.3ISMS-企业商业技术秘密管理程序2.4ISMS-信息处理设施引进实施管理程序2.5ISMS-信息处理设施维护管理程序2.6ISMS-信息安全人员考察与保密管理程序2.7ISMS-信息安全奖励、惩戒管理规定2.8ISMS-信息安全适用性声明2.9ISMS-信息安全风险评估管理程序2.10ISMS-内部审核管理程序2.11ISMS-恶意软件控制程序2.12ISMS-更改控制程序2.13ISMS-物理访问程序2.14ISMS-用户访问控制程序2.15ISMS-管理评审控制程序2.16ISMS-系统开发与维护控制程序2.17ISMS-系统访问与使用监控管理程序2.18ISMS-计算机应用管理岗位工作标准2.19ISMS-计算机管理程序2.20ISMS-记录控制程序2.21ISMS-重要信息备份管理程序2.22ISMS-预防措施程序3信息安全管理体系作业文件3.1T oken管理规定3.2产品运输保密方法管理规定3.3介质销毁办法3.4保安业务管理规定3.5信息中心主机房管理制度3.6信息中心信息安全处罚规定3.7信息中心密码管理规定3.8信息安全人员考察与保密管理程序3.9信息开发岗位工作标准3.10信息系统访问权限说明3.11信息销毁制度(档案室）3.12可移动媒体使用与处置管理规定3.13各部门微机专责人工作标准3.14复印室管理规定3.15工程师室和电子间管理规定3.16数据加密管理规定3.17文件审批表3.18机房安全管理规定3.19档案室信息安全职责3.20法律法规与符合性评估程序3.21生产经营持续性管理战略计划3.22监视系统管理规定3.23系统分析员岗位工作标准3.24经营部信息事故处理规定3.25经营部信息安全岗位职责规定3.26经营部计算机机房管理规定3.27经营部访问权限说明3.28网站信息发布管理程序3.29网络中间设备安全配置管理规定3.30网络通信岗位工作标准3.31计算机硬件管理维护规定3.32财务管理系统访问权限说明3.33远程工作控制程序4常见信息安全管理体系记录\上级单位领导来访登记表4.1事故调查分析及处理报告4.2信息发布审查表4.3信息处理设施使用情况检查表4.4信息安全内部顾问名单4.5信息安全外部专家名单4.6信息安全故障处理记录4.7信息安全法律、法规清单4.8信息安全法律、法规符合性评价报告4.9信息安全薄弱点报告4.10信息安全记录一览表4.11信息安全重要岗位评定表4.12信息设备转交使用记录4.13信息设备转移单4.14信息设备（设施）软件采购申请4.15信息资产识别表4.16内部员工访问特别安全区域审批表4.17外部网络访问授权登记表4.18应用软件开发任务书4.19应用软件测试报告4.20操作系统更改技术评审报告4.21敏感重要信息媒体处置申请表4.22文件修改通知单4.23文件借阅登记表4.24文件发放回收登记表4.25文件销毁记录表4.26时钟校准记录4.27机房值班日志4.28机房出入登记表4.29生产经营持续性管理战略计划4.30生产经营持续性管理计划4.31生产经营持续性计划测试报告4.32生产经营持续性计划评审报告4.33用户设备使用申请单4.34用户访问授权登记表a4.35用户访问授权登记表b4.36监控活动评审报告4.37私人信息设备使用申请单4.38第三方访问申请授权表a4.39第三方访问申请授权表b4.40系统测试计划4.41网络打印机清单4.42计算机信息网络系统容量规划4.43记录借阅登记表4.44记录销毁记录表4.45设备处置再利用记录4.46设施系统更改报告4.47访问权限评审记录4.48软件安装升级申请表4.49软件设计开发方案4.50软件设计开发计划4.51软件验收报告4.52远程工作申请表4.53重要信息备份周期一览表5典型信息安全策略集锦5.1安全监控策略5.2安全培训策略5.3备份安全策略5.4便携式计算机安全策略5.5病毒检测策略5.6电子邮件策略5.7服务器加强策略5.8更改管理安策略5.9互联网使用策略5.10口令策略5.11卖方访问策略5.12入侵检测策略5.13软件注册策略5.14事故管理策略5.15特权访问管理策略5.16网络访问策略5.17网络配置安全策略5.18物理访问策略5.19系统开发策略5.20信息资源保密策略5.21信息资源使用策略5.22帐号管理策略。

ISMS所要求的文件列表
信息安全管理体系标准所要求文件或记录包括：
1．方针目标文件 4.3.1 a)
2．范围文件4.3.1 b)
3．风险评估方法4.3.1 d）
4．风险评估报告4.3.1 e）
5．风险处理计划4.3.1 f）
6．控制措施有效性测量程序 4.3.1 g)
7．适用性声明 4.3.1 i)
8．文件控制程序 4.3.2
9．记录控制文件 4.3.3
10．ISMS内部审核程序 6
11．管理评审结果；7.1
12．纠正措施程序8.2；
13．预防措施程序8.3
14．重要资产清单 A.7.1.1
15．资产使用规则 A.7.1.3
16．信息安全角色和职责 A.8.1.1
17．信息处理设施操作程序A.10.1.1
18．信息访问控制策略 A.11.1.1
19．法律法规、合同符合程序 A.15.1.1
ISMS运行的记录表格类型：
1．可能影响ISMS有效性或绩效的措施和事件的记录 4.2.3 h 2．ISMS事故记录 4.3.3
3．员工资历记录 5.2.2
4．内部审核记录6
5．管理评审记录7.1
6．纠正措施结果记录8.2
7．预防措施结果记录8.3
8．故障记录A.10.10.5
9．安全弱点记录 A.13.1.2
ISO27001所要求的文件列表。

文件控制程序修改记录目录1.目的 (4)2.适用范围 (4)3.职责 (4)3．1 总经理 (4)3．2 各部门 (4)3．3 人力行政部 (4)4.工作流程 (5)4.1 定义及内容 (5)4.2 内部文件的编码规定 (5)4.3 文件的受控 (5)4.4 内部文件的控制 (5)4.4.1 文件的编制、审核和批准 (5)4.4.2 文件的颁布 (6)4.4.3 文件的更改 (6)4.4.4 文件的作废 (6)4．5 外来文件的控制 (6)4．6 文件的发放 (7)4．7 文件的用章管理 (7)4．8 文件的借阅 (7)4．9 文件的换发及补发 (8)4．10 文件的销毁 (8)4．11 文件的保管 (8)5. 相关支持性文件 (8)6. 相关记录 (9)1.目的为保证公司工作过程中使用的各种文件（包括信息技术服务管理体系文件、信息安全管理体系文件、行政规章制度、技术管理文档等）的充分性、适宜性和有效性，特制定本程序。

2.适用范围本程序适用于与公司业务工作质量相关的所有形式的文件，以及与信息技术服务、信息安全相关的各种文档。

包括公司质量管理体系文件、信息安全管理体系文件、技术文件、行政文件以及外来文件等。

3.职责3．1 总经理批准信息安全管理手册；批准以公司名义产生的技术文件和行政文件。

批准程序文件。

3．2 各部门审核本部门职责范围内的程序文件；批准部门业务范围内的作业指导书和表格格式。

3．3 人力行政部负责外来技术文件与行政文件的收发、登记与保管；负责作废文件的销毁。

4.工作流程4.1 定义及内容文件：信息及其承载媒体。

公司常见的文件包括信息安全管理手册、质量管理程序文件、信息安全管理程序文件、各类作业指导书、表格、管理规定、工作规范等内部文件，以及各种法律法规、国际标准、国家标准、行业标准及客户提供的图样、标准、规范、要求等外来文件。

4.2 内部文件的编码规定按照《信息资产管理控制程序》中文件资产的编码方式进行编码。