ISO27001信息备份管理细则

合集下载

ISO27001 ISMS信息安全管理体系项目介绍

ISO 27001:2011信息安全管理体系简介一、ISO 27001的产生背景和发展历程ISO27001是什么？ISO27001是有关信息安全管理的国际标准。

最初源于英国标准BS7799，经过十年的不断改版，终于在2005年被国际标准化组织（ISO）转化为正式的国际标准，于2005年10月15日发布为ISO/IEC 27001:2005。

该标准可用于组织的信息安全管理体系的建立和实施，保障组织的信息安全，采用PDCA过程方法，基于风险评估的风险管理理念，全面系统地持续改进组织的安全管理。

其正式名称为：《ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系-要求》ISO 27001源于英国标准BS7799的第二部分，即BS7799-2 《信息安全管理体系规范》。

英国标准BS7799是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成。

ISO 27001发展历程简要归纳如下：●1993年，BS 7799标准由英国贸易工业部立项。

●1995年，BS 7799-1《信息安全管理实施细则》首次出版，标准提供了一套综合的、由信息安全最佳惯例组成的实施细则，其目的是作为确定各类信息系统通用控制范围的唯一参考基准，并且适用于大、中、小型组织。

●1998年，英国公布BS 7799-2《信息安全管理体系规范》，本标准规定信息安全管理体系要求与信息安全控制要求，它是一个组织信息安全管理体系评估的基础，可以作为认证的依据。

●1999年，在BSI/DISC(British Standards Institute/Delivering InformationSolutions to Customers) BDD/2的指导下对BS 7799这两部分进行了修订和扩展，取代了BS 7799-1:1995和BS 7799-2:1998。

BS 7799:1999涵盖了以前版本的所有内容，并在原有的基础上扩展了新的控制，新版本考虑了信息处理技术，尤其是在网络和通信领域应用的最新发展，例如电子商务、移动计算、远程工作等领域的控制。

ISO27001：2013信息资产分类分级管理制度

XXXXXX软件有限公司人性化科技提升业绩信息资产分类分级管理程序目录1.目的和范围 (2)2.引用文件 (2)3.职责和权限 (3)4.信息资产的分类分级 (3)4.1信息资产的分类 (3)4.2信息资产的分级管理 (4)4.3信息资产分类指导 (5)5.信息分级标识 (5)5.1分级标识编号 (5)5.2公司绝密、机密信息定义 (6)5.3各密级知晓范围 (6)5.4分级标识编号可作为分级标识使用 (7)6.公司秘密信息使用管理 (8)6.1涉密信息的保管 (8)6.2涉密信息的访问限制 (9)6.3涉密信息的使用 (10)6.4涉密信息发送 (12)6.5涉密信息的废弃处置 (13)7.保密原则 (14)1.目的和范围为降低公司重要资产因遗失、损坏、篡改、外泄等事件带来的潜在风险，这些风险将对公司的信誉、经营活动、经济利益等造成较大或重大损失，需要规范信息资产保护方法和管理要求，特制订本管理制度。

本规定适用于本公司信息资产的安全管理，适用对象为本公司员工和所有外来人员。

特殊岗位或特殊人员，另有规定的从其规定。

公司信息资产是指一切关系公司安全和利益，在保护期内只限一定范围内人员知悉、操作、维护的事物、文档、项目、数据等资源。

2.引用文件1)下列文件中的条款通过本规定的引用而成为本规定的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

2)GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求3)GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则4)《备份管理规定》5)《访问控制程序》6)《文件控制程序》3.职责和权限本管理规定作为全公司范围信息类资产的最低管理要求，各部门或各项目组，均可以根据客户要求，添加补充策略，并在本部门、本项目组内实施，与本规定一起，作为信息安全管理的工作指南。

ISO27001文件-(信息资产管理规定)

信息资产管理规定（版本号：V1.1）更改控制页目录1目的 (2)2范围 (2)3术语定义 (2)4职责 (2)4.1管理者代表 ............................................................................ 错误!未定义书签。

4.2信息安全经理 (2)4.3各部门 (2)5内容 (3)5.1角色和责任 ............................................................................ 错误!未定义书签。

5.2信息资产类型 (3)5.3信息资产分级标准 (4)5.3.1信息资产密级确定方式 (5)5.3.2信息资产密级标注规定 (6)5.4信息资产处理和保护 (6)6相关文件 (8)7相关记录 (8)1目的本规定旨在对XXX内部重要的信息资产进行分类分级，对不同级别的信息资产提出恰当的处理原则，以便对信息的分发和流转进行恰当的控制，确保信息资产的保密性、完整性和可用性。

2范围本规定适用于整个xxx公司。

本规定所涉及的信息包括各种存储或者存在形式，包括但不限于电子信息、纸质数据文件、语音和图像等。

3术语定义责任人（Owner）：信息资产的创建者，或者主要用户所在组织、单位或部门的负责人。

信息资产责任人对所属信息资产负直接责任。

保管者（Custodian）：受信息资产责任人委托，对信息资产进行日常的管理。

用户（User）：信息资产的使用者，除了公司内部员工，也可能是因为业务需要而访问公司信息的客户或第三方组织。

4职责4.1信息安全经理负责确定信息资产的分类标准；负责制定信息资产的赋值规则；组织并指导各部门正确识别信息资产。

4.2各部门5内容5.1信息资产分类及维护信息资产责任人应该指导进行相关资产的调查，资产调查以业务流程为线索，包括各类输入、中间环节和输出信息，所有这些信息资产都为业务流程的运转提供支持。

2024版一招教会你执行ISO27001(全版本)

2024/1/30
持续改进
根据反馈意见和复查结果，对现有信息安全措施进行持续改进，提高措施的有效性和适应性。
优化流程
在持续改进的基础上，对现有信息安全流程进行优化，提高流程效率和执行力，确保组织信息安全水平不断提升。
19
05 员工培训与意识提升策略设计
2024/1/30
20
提高员工对信息安全认识水平
2024/1/30
30
总结本次项目成果及经验教训
2024/1/30
01
经验教训
02 需要充分了解组织的业务需求和实际情况，制定切实可行的实施方案；
03
加强与各个部门的沟通和协作，确保项目的顺利实施；
04
注重培训和宣传，提高员工的信息安全意识和技能。
31
展望未来发展趋势和挑战
发展趋势
随着数字化、网络化、智能化的加速发展，信息安全将面临更加复杂的挑战；
2024/1/30
36
制定下一阶段工作计划和目标
2024/1/30
01 02 03 04
目标
提高组织的信息安全水平和风险防范能力，确保业务连续性和稳定性；
获得更多客户和合作伙伴的认可和信任，提升组织的市场竞争力；推动组织的信息安全管理体系不断完善和发展，适应不断变化的信息安全环境。
37
THANKS
02
根据风险等级和影响范围，合理分配资源，确保应对措施的有
效实施。
建立持续改进机制，定期评估和调整应对措施，以适应不断变
03
化的安全威胁和业务需求。
15
04 持续改进与监督审查机制建立
2024/1/30
16
定期对现有措施进行复查

ISO27001信息安全管理体系_附录A介绍

(1、2)
信息安全方针的内容，包括但不限于：
组织对信息安全的定义信息安全总体目标和范围最高管理者对信息安全的承诺与支持的声明符合相关标准、法律法规、和其它要求的声明对信息安全管理的总体责任和具体责任的定义相关支持文件
ISO27001:2005 附录A
A.5 安全方针 Security Policy
明对信息安全的支持和承诺。二信息安全方针
1. 5贯.彻1落.1实信信息息安全安方针全，策确保略业务文的连件续性 2. 5使.所1有.2的审员工查都接与受信评息估安全的培训，提高全员的信息安全意识
3. 保护公司进行所有商务活动中获得的顾客・隐私・企业专有技术等的信息 4. 保护信息的保密性，确保不能通过故意或疏忽的行为泄露给未授权的人 5. 保护信息的完整性，防止未经授权的修改与破坏 6. 保护信息的可用性, 确保授权的用户需要时可获得信息 7. 定期进行内部评审与管理评审，确保体系有效运行 8. 符合法律和法规要求
ISO27001:2005 附录A
A.5 安全方针 Security Policy
5.1 信息安全方针(策略)
(1、2)
三信息安全目标 1. 确保重大、特大安全事件为“0”次/年； 2. 重要信息资产的可用率达到 99％。
C总＝
Ti *Ci i
编号 1 2
名称邮件服务器 Web服务器
1、公司层面的目标 2、部门级别的目标
信息安全管理体系 ISO27001
Chapter 0 : 简介 Chapter 1 : 范围 Chapter 2 : 强制性应用标准 Chapter 3 : 术语和定义
Chapter 4 : 信息安全管理体系
Chapter 5 : 管理责任 Chapter 6 : ISMS内部审查 Chapter 7 : ISMS管理评审 Chapter 8 : ISMS改善附件A (强制性)控制目标和控制措施

ISO27001信息保密控制程序

ISO27001信息保密控制程序1 目的为更好的管理IT信息内的业务、发文、经营等活动产生的各类信息，确保信息受到适当级别的保护，避免不恰当使用或泄漏以避免信息遭受经济损失或法律纠纷，特制定本管理程序。

2 范围本文件适用于下列涉密事项的管理：2.1 IT信息重大决策中的秘密事项。

2.2 IT信息未付诸实施的经营战略、方向、规划、项目及决策。

2.3 IT信息掌握的合同、协议、意向书及可行性报告、主要会议纪要/记录。

2.4 IT信息财务预决算报告及各类财务报表、统计报表。

2.5 IT信息掌握的尚未进入市场或政府机构尚未公开的各类信息。

2.6 IT信息人事档案及人事信息。

2.7 其他驻场工作人员或其他组织确定保密的事项。

3 相关文件无4 职责4.1 IT信息机密的管理最高责任者为总经理。

4.2 文档管理员负责管理IT信息门的秘密及敏感信息。

4.3 全体员工都附有遵守保密承诺、保守信息秘密的义务。

5 程序5.1 秘密事项的等级本程序中所指的秘密事项分：机密事项、秘密事项、敏感信息事项共3类。

5.1.1 “机密事项”是指：不可对外公开、若泄露或被篡改会对经营造成严重损害，或者由于业务上的需要仅限有关人员知道的事项；5.1.2 “秘密事项”是指：不可对外公开、若泄露或被篡改会对经营造成损害，或者由于业务上的需要仅限有关人员知道的事项；5.1.3 “敏感信息事项”是指：为了日常的业务能顺利进行而向员工公开、但不可向信息以外人员随意公开的事项。

以上3类事项以下简称秘密事项。

5.1.4 一般事项秘密事项以外，仅用来传递信息、昭示承诺或对外宣传所涉及的事项。

5.2 秘密的指定5.2.1 IT信息机密事项由总经理指定，信息秘密由产生该事项的相关负责人员或其授权人员指定，经总经理确认后将认定为秘密。

敏感信息由产生该事项的相关副总经理级人员或其授权人员指定。

指定秘密事项时，应参考本文件所附的示例，并充分考虑该事项的性质及重要程度等因素。

ISO27001--信息安全策略

ISO27001--信息安全策略信息安全策略1.目的本文档旨在确立公司的信息安全策略，以保护公司的信息资产免受未经授权的访问、使用、泄露、破坏等风险。

2.范围该策略适用于公司的所有信息系统、网络、设备和人员，包括全职、兼职、临时员工、实生、合同工等。

3.职责与权限公司的信息安全由全体员工共同负责，但具体职责和权限如下：高层管理人员负责制定和审批信息安全政策，指导和监督信息安全工作。

信息安全管理员负责制定和实施信息安全管理制度，管理信息安全事件和漏洞。

各部门负责制定和执行本部门的信息安全管理制度，保障本部门的信息安全。

全体员工应当积极参与信息安全工作，遵守公司的信息安全规定，及时报告信息安全事件和漏洞。

4.相关文件公司的信息安全管理制度包括以下文件：信息安全政策信息安全管理手册信息安全事件管理办法信息安全培训计划5.术语定义信息资产：指公司拥有的任何形式的信息，包括但不限于文档、数据、软件、硬件、网络和设备。

信息安全：指保护信息资产免受未经授权的访问、使用、泄露、破坏等风险的措施和方法。

信息安全事件：指可能导致信息资产受到损失或泄露的事件，包括但不限于黑客攻击、病毒感染、数据丢失等。

信息安全漏洞：指可能导致信息资产受到损失或泄露的系统漏洞、软件漏洞、人员漏洞等。

6.信息安全策略公司的信息安全策略包括以下方面：确立信息安全管理制度，包括信息安全政策、信息安全管理手册等文件。

确保信息资产的机密性、完整性和可用性，采取相应的技术和管理措施。

加强对信息安全事件和漏洞的管理和应对，及时发现、报告和处理问题。

加强员工的信息安全意识和培训，提高员工的信息安全素质。

定期评估和改进信息安全管理制度和措施，确保其有效性和适应性。

6.1 信息安全组织策略信息安全组织策略是确保组织内部信息安全的基础。

该策略应该明确规定信息安全管理的组织结构、职责和权限，确保信息安全管理工作的顺利实施。

同时，该策略还应该制定信息安全管理的标准和规范，确保信息安全管理工作的合规性和规范性。

ISO27001信息安全管理体系全套程序文件

修订日期：2019.12.18修订日期：2019.12.18信息安全风险评估管理程序1 适用本程序适用于本公司信息安全管理体系（ISMS）范围内信息安全风险评估活动。

2 目的本程序规定了本公司所采用的信息安全风险评估方法。

通过识别信息资产、风险等级评估，认知本公司的信息安全风险，在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，保持本公司业务持续性发展，以满足本公司信息安全管理方针的要求。

3 范围本程序适用于第一次完整的风险评估和定期的再评估。

在辨识资产时，本着尽量细化的原则进行，但在评估时我司又会把资产按照系统进行规划。

辨识与评估的重点是信息资产，不区分物理资产、软件和硬件。

4 职责4.1 成立风险评估小组办公室负责牵头成立风险评估小组。

4.2 策划与实施风险评估小组每年至少一次，或当体系、组织、业务、技术、环境等影响企业的重大事项发生变更、重大事故事件发生后，负责编制信息安全风险评估计划，确认评估结果，形成《信息安全风险评估报告》。

4.3 信息资产识别与风险评估活动各部门负责本部门使用或管理的信息资产的识别，并负责本部门所涉及的信息资产的具体安全控制工作。

4.3.1 各部门负责人负责本部门的信息资产识别。

4.3.2 办公室经理负责汇总、校对全公司的信息资产。

修订日期：2019.12.184.3.3 办公室负责风险评估的策划。

4.3.4 信息安全小组负责进行第一次评估与定期的再评估。

5 程序5.1 风险评估前准备5.1.1 办公室牵头成立风险评估小组，小组成员至少应该包含：信息安全管理体系负责部门的成员、信息安全重要责任部门的成员。

5.1.2风险评估小组制定信息安全风险评估计划，下发各部门内审员。

5.1.3必要时应对各部门内审员进行风险评估相关知识和表格填写的培训。

5.2 信息资产的识别5.2.1 本公司的资产范围包括：5.2.1.1信息资产1)数据文档资产：客户和公司数据，各种介质的信息文件包括纸质文件。

ISO27001：2013数据备份管理办法

数据备份管理办法第一章总则第一条目的：为了加强数据安全管理，进一步规范数据的传输、归档、处置安全管理、以及数据备份行为，确保各类数据的完整性、保密性和可用性，特制定本管理办法。

第二条范围：本管理办法适用于成都万江港利科技有限公司。

第三条定义：本管理办法所指的数据指计算机系统存储的信息，包括战略规划信息、业务决策信息、市场信息、客户信息、项目信息、操作信息、系统信息、财务信息、管理和控制信息、人事信息等。

第二章数据的备份管理第四条数据备份采取定期备份与动态备份相结合的原则。

定期备份按一定周期有计划进行；动态备份是指当操作系统、应用系统发生较大变动后，实时进行的备份。

操作系统和数据库数据定期进行备份，在系统变更或较大应用调整前进行一次操作系统和应用软件备份，并同时同步备份机上相关内容；对系统和应用的配置备份定期进行。

第五条数据备份采用0级备份或增量备份。

数据备份策略的制定应综合系统性能、存储容量、数据量增长速度、业务需求、备份方式、存储介质、存储介质型号、有效期等因素。

备份策略的制定应考虑在特殊日、版本升级日增加备份（主要系统的数据备份见附件）。

第六条数据备份时，要仔细检查备份作业或备份程序的执行结果，核实目标备份与源备份内容一致，确保备份数据的完整性和正确性。

第七条数据备份时，应及时记录备份情况，包括备份作业，备份周期、时间、内容、数据保存期限，介质型号、介质容量、业务种类、转存情况、异地备份记录、相关变更记录等信息，并进行当日备份的问题记录。

第八条数据备份介质使用磁带、磁盘或光盘等存储介质，一般采取定期循环、覆盖使用的策略，但对关键的帐务类数据，备份介质须永久保存。

第九条对数据的保管，应编制数据存储介质保管清单，清单内容应包括介质编号、备份内容、备份时间和保留期限等重要信息。

第十条存放备份数据的介质必须具有明确的标识。

标识必须使用统一的命名规范，注明介质编号、备份内容、备份时间和有效期等。

第十一条按照数据保存期限，对于到期的数据存储介质应及时进行清理，并将清理后的存储介质转为可用介质。

ISO27001：2013个人电脑和存储设备分类分级管理规定

XXXXXX软件有限公司人性化科技提升业绩个人电脑和存储设备分类分级管理规定目录目标 (2)适用范围 (2)一、设备分类 (2)二、设备分级 (2)1、笔记本电脑分类 (3)2、设备分级 (3)3、人个电脑和存储设备管理规定 (4)4、个人电脑的运行配置的更新 (5)6、数据保密和安全管理 (6)7、日常管理 (6)8、领取流程 (7)9、维护、维修与赔偿 (7)10、归还 (8)11、注意事项 (9)目标个人电脑和存储设备目前已经成为员工办公的主要设备，需要对这些设备进行分级，根据不同权限，规范各类设备的使用，以提高公司对这些设备使用的信息安全管理水平。

适用范围本规定适用于所有员工。

一、设备分类个人电脑和存储设备在硬件管理大类里同属于三级硬件包括台式机、笔记本、手机、移动存储等办公终端或存储设备，标记为H3（见《硬件资产分级管理制度》），按照其上存储的或操作的信息重要性和安全级别的不同，可以划分了一至五级，标记为M1~M5（当设备没有存放或操作任何信息资产时，标记为M5)。

为了便于识别不同设备的风险，将上述设备分为以下细类并给予相应的标记。

1、台式机和固定存储：指不可移动的个人电脑和存储设备。

标记为FX（固定）。

2、移动机：指笔记本、手机移动设备。

标记为MP（移动个人）。

3、可读写的移动存储：指所有可读写的移动存储，包括优盘、移动硬盘、可读写的光盘等。

标记为MW（移动可写）4、只读移动存储：一旦写入即不可擦除的移动设备，如只读光盘等。

标记为MR（移动只读）。

5、其他硬件设备：除H3类硬件设备外，其他固定设备包括服务器、网络交换机(H1、H2、H4)等，标记缺省为FX(即可以不作标记)。

二、设备分级1、笔记本电脑分类1) 自备笔记本电脑为了方便员工高效工作，公司允许员工自备笔记本电脑办公。

2) 公司配备笔记本电脑对于符合以下条件的员工可以向公司提出申请配备笔记本电脑：●经理级别以上管理人员。

●经常需要在公司办公地点以外使用电脑的员工。

ISO27001：2013存储介质管理制度

存储介质管理制度
为进一步加强移动存储介质的管理，确保管理信息的安全，结合我公司实际情况，特制定本管理制度。

1、本规定所称移动存储介质，是指用于存储本单位保密信息的硬盘、软盘、U盘、光盘、磁带、存储卡等存储介质。

2、本公司移动存储设备要进行编号，不得借于他人使用，若需借于他人的，必须征得部门同意，并进行借还时间、借用人、审批人等详细登记。

3、新购计算机、移动存储等设备，要先进行保密标识和登记，再发放使用。

4、如使用移动设备转移存储保密数据，需在使用前格式化，并在使用后立即删除保密数据。

5、使用光盘备份的保密数据要登记编号，分类存放。

6、非本单位的移动存储设备一律不得和涉密计算机连接。

7、单位的涉密移动存储设备处理办法如下：
8、涉密和非涉密移动存储介质禁止交叉混用，即涉密移动存储介质不得在非涉密计算机中使用，非涉密移动存储介质不得在涉密计算机中使用。

9、存储过涉密信息的移动存储介质，不得与存储普通信息的移动存储介质混用；新启用存储涉密信息的移动存储介质或使用移动存储介质，必须进行安全检查和查杀病毒处理。

10、移动存储介质需要送外维修时，必须到指定的单位进行维修；涉密移动存储介质在淘汰和报废前，应到行政部进行消磁和粉碎处理。

严禁将涉密移动存储介质作为废品出售。

数据备份管理规定-ISO27001体系

数据备份管理规定-ISO27001体系
1．项目开发期数据备份：
项目组成员每次交付给客户使用的开发程序，需注明年月日并按版本标识，在本机进行备份后由项目负责人或部门主管安排定期（或一月）提交到软件部备份。

对于日常形成的项目文档，需及时提交该项目的资料管理员或提交部门助理。

2．项目售后维护期数据备份：
对于交付给客户修改后的项目开发程序需注明年月日按版本标
识并在本机上备份由项目负责人或部门主管安排其提交到软件部备份。

3．年中、年终数据备份：
各部门助理、项目资料管理人员、项目负责人分别提交相关文档及开发源程序至软件部由软件部进行备份刻录。

4．离职员工数据备份：
员工离职前需将本机内工作交接文档按照项目、工作、参考资料、相关工具几部分分类存放在本机中并由部门主管检查后提交软件部
进行备份刻录。

5．日常开发数据备份：
员工每日开发的数据需备份在本机中，并注明年月日按版本标识。

安全管理体系(ISO27001)信息资产安全管理策略

信息资产安全管理策略1目的 (1)2范围 (1)3职责 (1)4策略内容 (1)4.1信息资产的识别 (1)4.2信息资产的授权使用 (2)4.3信息资产的归还 (2)4.4信息资产的分类分级规则 (3)4.5信息资产价值 (4)4.6信息资产的标记 (5)4.7信息资产的处置 (5)5相关文件 (5)6相关记录 (6)1 目的为规范组织信息资产的分类、分级管理，建立并维护信息资产清单，明确信息资产管理责任，确保信息资产得到适当的保护，特制定本策略。

2 范围本策略适用于组织职责范围内的所有信息资产管理的相关活动。

3 职责4 策略内容信息资产的识别对所识别的每项信息资产应指定资产的所有权。

各部门信息安全员应对信息资产逐项分类识别，识别内容包括信息资产责任人、保管者、使用者、存放位置等，详见《资产识别表》。

各部门的信息资产清单由本部门信息安全员负责维护，当出现设备采购、新系统上线、系统变更、设备（系统）升级或废弃等情况时，应及时对信息资产清单进行更新。

各部门根据信息安全管理体系要求，每年至少进行1次信息资产收集和评审工作，对信息资产清单与实际情况的一致性进行审计。

审计内容包括且不限于：1) 设备型号；2) 数量；3) 用途；4) 归属部门；5) 责任人；6) 保管人。

4.2 信息资产的授权使用组织各类信息资产的使用都应获得资产责任人或资产归属部门负责人的批准。

全体员工必须在遵守信息资产安全管理策略的情况下，使用或访问信息资产，保障信息资产的保密性、完整性和可用性。

任何人必须获得相关授权后或在其权限的范围内，合理的使用或访问信息资产。

员工一旦发现违反信息资产保护策略的情况，必须立即通知资产责任人或信息安全管理小组，提醒采取补救措施。

一旦授权第三方访问组织的信息资源，第三方对应的接口部门必须为其提供详细的权限使用相关指导。

指导中应告知信息资源使用相关安全要求，包括信息保密要求、组织内信息分发安全要求、访问结束后的信息销毁和信息返还要求等。

2018最新ISO27001信息安全管理体系全套程序文件

最新ISO27001信息安全管理体系全套程序文件信息安全管理体系程序文件目录1 适用本程序适用于公司信息安全事故、薄弱点、故障和风险处置的管理。

2 目的为建立一个适当信息安全事故、薄弱点、故障风险处置的报告、反应与处理机制，减少信息安全事故和故障所造成的损失，采取有效的纠正与预防措施，正确处置已经评价出的风险，特制定本程序。

3 职责3.1 各系统归口管理部门主管相关的安全风险的调查、处理及纠正措施管理。

3.2 各系统使用人员负责相关系统安全事故、薄弱点、故障和风险的评价、处置报告。

4 程序4.1 信息安全事故定义与分类：4.1.1 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响（后果)之一，均为信息安全事故：a) 企业秘密、机密及国家秘密泄露或丢失；b) 服务器停运4 小时以上；c) 造成信息资产损失的火灾、洪水、雷击等灾害；d) 损失在十万元以上的故障/事件。

4.1.2 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响（后果)之一，属于重大信息安全事故：a) 企业机密及国家秘密泄露；b) 服务器停运8 小时以上；c) 造成机房设备毁灭的火灾、洪水、雷击等灾害；d) 损失在一百万元以上的故障/事件。

4.1.3 信息安全事件包括：a) 未产生恶劣影响的服务、设备或者实施的遗失；b) 未产生事故的系统故障或超载；c) 未产生不良结果的人为误操作；d) 未产生恶劣影响的物理进入的违规e) 未产生事故的未加控制的系统变更；f) 策略、指南和绩效的不符合；g) 可恢复的软件、硬件故障；h) 未产生恶劣后果的非法访问。

4.2 故障与事故的报告渠道与处理4.2.1 故障、事故报告要求故障、事故的发现者应按照以下要求履行报告任务：a) 各个信息管理系统使用者，在使用过程中如果发现软硬件故障、事故，应该向该系统归口管理部门报告；如故障、事故会影响或已经影响线上生产，必须立即报告相关部门，采取必要措施，保证对生产的影响降至最低；b) 发生火灾应立即触发火警并向安全监督部报告，启动消防应急预案；c) 涉及企业秘密、机密及国家秘密泄露、丢失应向行政部报告；d) 发生重大信息安全事故，事故受理部门应向信息安全管理者代表和有关公司领导报告。

信息备份管理制度

信息备份管理制度XXXXX有限公司2017年12月10日目录1 目的 (3)2 范围 (3)3 职责 (3)3.1 网络管理员 (3)4 工作程序 (3)4.1 备份 (3)4.1.1 备份目的 (3)4.1.2 制定备份计划 (3)4.1.3 备份策略 (3)4.1.4 备份方法 (4)4.2 测试和恢复 (5)4.2.1 恢复目的 (5)4.2.2 恢复测试 (5)4.2.3 恢复流程 (5)4.3 灾难恢复 (5)4.3.1 灾难的定义 (5)4.3.2 灾难的防范 (5)4.3.3 灾难恢复的确认及实施 (6)1目的为确保所有重要业务数据、软件、信息系统能在灾难（如地震、火灾）或存储介质损坏之后得以恢复，保证信息处理及生产数据的完整性与可用性，特制定本程序。

2范围本程序适用于本公司重要数据、软件、信息系统镜像的备份管理。

3职责3.1 网络管理员负责全公司重要信息资产的备份。

4工作程序4.1 备份4.1.1备份目的1)所有运行系统必须制定严格的备份策略，以保证在信息系统出现故障时，可全部或部分恢复数据。

2)信息备份的内容包括服务器操作系统、应用软件、信息系统镜像、系统数据、应用数据、监控录像等。

4.1.2制定备份计划1)系统管理员负责根据业务的性质提出或修改系统的备份及恢复策略并上报公司信息安全管理小组，经批准后执行。

2)在信息系统正式上线之前，系统管理员必须制定完整的《重要信息备份计划》提交信息安全管理小组审阅批准后方可执行，并进行完整的备份及恢复测试演练，提交测试报告。

4.1.3备份策略1)网络管理员负责信息系统的备份工作，每月检查备份日志并建立备份文档，以保证备份结果的可用性。

2)关键业务的数据库系统最长每周备份一次，以保证数据最小丢失。

非关键业务的数据库可每月做导出备份。

3)操作系统进行配置修改或升级前必须对系统进行备份。

应用系统修改前必须对应用系统进行备份。

4.1.4备份方法1)所有服务器必须保留一份最新的及配置修改或升级之前的备份集，备份介质使用移动硬盘。

ISO27001重要信息备份管理程序

惠州培训网
重要信息备份管理程序
1 目的
为确保所有重要业务数据和软件能在灾难之后或存储媒体损坏之后得以恢复,保证信息处理及生产数据的完整性与可用性，特制定本程序。

2 范围
本程序适用于深圳市德信诚经济咨询有限公司重要数据及软件的备份管理。

3 职责
3.1 技术部负责全公司信息备份工作的技术指导及公司各部门重要信息资产的数据和软件
进行备份。

3.2 各部门负责对本部门维护的不适合公司自动备份系统执行的重要信息资产的数据和软
件进行备份。

4 程序
4.1 各部门应对重要信息资产清单确定的重要业务数据、操作系统、应用系统、数据库等其
他重要信息进行备份。

4.2 信息备份的安全要求包括：
1) 根据风险评估的结果，明确备份周期和备份套数；
2) 对备份媒体进行标识；
3) 备份媒体存放于适宜的环境。

4) 财务重要数据采用文件加密和RAR加密的方式保存。

4.3 各部门根据风险评估的结果，制定《重要信息备份周期一览表》，在其中明确规定备份
周期、备份方式、备份媒体及备份负责人。

更多免费资料下载请进：好好学习社区。

ISO27001信息安全管理手册

信息安全管理手册目录01 颁布令 (3)02 管理者代表授权书 (4)03 企业概况 (5)04 信息安全管理方针目标 (6)05 手册的管理 (8)信息安全管理手册 (9)1 范围 (9)1.1 总则 (9)1.2 应用 (9)2 规范性引用文件 (10)3 术语和定义 (10)3.1 本公司 (10)3.2 信息系统 (10)3.3 计算机病毒 (10)3.4 信息安全事件 (10)3.5 相关方 (10)4 信息安全管理体系 (11)4.1 概述 (11)4.2 建立和管理信息安全管理体系 (11)4.3 文件要求 (17)5 管理职责 (20)5.1 管理承诺 (20)5.2 资源管理 (20)6 内部信息安全管理体系审核 (21)6.1 总则 (21)6.2 内审策划 (21)6.3 内审实施 (21)7 管理评审 (23)7.1 总则 (23)7.2 评审输入 (23)7.3 评审输出 (23)7.4 评审程序 (24)8 信息安全管理体系改进 (25)8.1 持续改进 (25)8.2 纠正措施 (25)8.3 预防措施 (25)附录A（规范性附录）信息安全管理组织结构图 (27)附录B（规范性附录）办公大楼平面图 (28)附录C（规范性附录）信息安全管理职责明细表 (27)附录D（资料性附录）信息安全管理程序文件清单 (31)附录E （规范性附录）信息安全角色和职责 (30)附录F（规范性附录）组织机构图 (35)附录G（规范性附录）ISMS职能分配表 (36)01 颁布令为提高我公司的信息安全管理水平，保障公司业务活动的正常进行，防止由于信息安全事件（信息系统的中断、数据的丢失、敏感信息的泄密）导致的公司和客户的损失，我公司开展贯彻GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系要求》国际标准工作，建立、实施和持续改进文件化的信息安全管理体系，制定了《信息安全管理手册》。