ISO27001信息安全事件管理程序

信息安全事件管理程序1 目的为对公司信息安全的事件管理活动实施控制，特制定本程序。

2 范围适用于对信息安全的事件管理。

3 职责3.1 行政部负责信息安全的事件的收集、响应、处置和调查处理。

负责信息安全事件的及时报告，及时落实相关的处理措施。

4 程序4.1信息安全事件的定义4.1.1信息安全事件是指危及公司发展与业务运作，威胁公司信息安全的其他情况，可能与信息安全相关的现象、活动、系统、服务或网络状态等处于异常情况。

对达到一定严重程度，或造成一定损失的信息安全事件，本程序定义为严重事件。

4.1.2信息安全事件的定义和说明参见附录A《信息安全事件分类》。

4.2 信息安全事件的报告4.2.1 公司各部门发生信息安全事件时，应即时采用电话、传真、电子邮件等方式向公司行政部报告，其中事件的报告最迟不超过四小时、重大信息安全事件的报告最迟不超过二十四小时。

4.2.2行政部接到报告后应在不迟于二小时内报告公司信息安全领导小组和公司分管领导，同时应立即做出响应，并在最迟不超过二十四小时协同有关部门提出处置意见报信息安全管理委员会和公司分管领导，各相关部门应及时按要求采取处置措施与意见，将信息安全事件所造成的影响降到最低限度。

4.2.3 对信息安全事件，有合同规定时，应按合同规定及时通知相关方。

4.2.4 所有事件均应由公司行政部填写《信息安全事件报告》，报告应包括内容：a. 事件发生的时间、地点、部门；b. 事件简述、损失初步情况；c. 事件发生原因的初步判断。

4.3 事件调查处理与纠正措施4.3.1 事件责任部门应对事件原因进行分析，必要时，采取纠正措施，事件的原因及采取措施的结果要予以记录。

4.3.2 对于重大信息安全事件，在故障排除或采取必要措施后，公司行政部和重大信息安全事件责任部门，要对重大信息安全事件的原因、类型、损失、责任进行调查，对违反公司信息安全管理体系方针、程序及安全规章的规定所造成的重大信息安全事件的责任者，要依据《信息安全惩戒管理程序》予以惩戒，并予以通报。

信息安全管理手册iso27001信息安全管理手册V1.0 版本号：信息安全管理手册iso27001录目1 ................................................................ 颁布令 012 ...................................................... 管理者代表授权书 023 ............................................................. 企业概况 033 .................................................. 信息安全管理方针目标 046 ............................................................ 手册的管理057 ......................................................... 信息安全管理手册7 (1)范围7 ............................................................. 1.1 总则7 .............................................................1.2 应用8 (2)规范性引用文件8 ........................................................... 3 术语和定义.8 ........................................................... 3.1 本公司8 ......................................................... 3.2 信息系统8 ....................................................... 3.3 计算机病毒8 ..................................................... 信息安全事件3.48 ........................................................... 相关方3.59. ..................................................... 4 信息安全管理体系9 .............................................................4.1 概述9 ....................................... 4.2 建立和管理信息安全管理体系15 ........................................................ 4.3 文件要求18 ............................................................ 管理职责 .518 ........................................................ 管理承诺5.118 ........................................................ 资源管理5.219 ............................................. 6 内部信息安全管理体系审核19 ............................................................ 6.1 总则19 ........................................................ 内审策划6.219 ........................................................ 6.3 内审实施21 ............................................................ .管理评审7iso27001信息安全管理手册7.1 总则 ............................................................217.2 评审输入 ........................................................217.3 评审输出 ........................................................217.4 评审程序 ........................................................228 信息安全管理体系改进 (23)8.1 持续改进 ........................................................238.2 纠正措施 ........................................................238.3 预防措施 ........................................................23iso27001信息安全管理手册01 颁布令为提高我公司的信息安全管理水平，保障公司业务活动的正常进行，防止由于信息安全事件（信息系统的中断、数据的丢失、敏感信息的泄密）导致的公司和客户的损失，我公司信息安全管理体系要求》-GB/T22080-2008idtISO27001:2005《信息技术-安全技术开展贯彻国际标准工作，建立、实施和持续改进文件化的信息安全管理体系，制定了《信息安全管理。

14、信息安全事件管理程序###-ISMS-0108-20231 目的为对公司信息安全的事件管理活动实施控制，特制定本程序。

2 范围适用于对信息安全的事件管理。

3 职责3.1 综合部负责信息安全的事件的收集、响应、处置和调查处理。

3.2 相关部门负责信息安全事件的及时报告，及时落实相关的处理措施。

4 程序4.1信息安全弱点定义信息安全弱点是指被识别的一种系统、服务或网络状态的发生，表明一次可能的信息安全策略违规或某些防护措施失效，或者一种可能与安全相关但以前不为人知的一种情况。

4.2信息安全弱点报告信息安全弱点的发现者（包括使用公司信息系统和服务的员工和合同方）应将任何观察到的或可疑的的系统或服务中的信息安全弱点向信息安全管理小组报告。

4.3信息安全弱点处理流程1信息安全事件5.1信息安全事件定义信息安全事件：一个或一系列意外或不期望的信息安全事态，它/它们极有可能损害业务运行并威胁信息安全。

信息安全事件是指危及公司发展与业务运作，威胁公司信息安全的其他情况，可能与信息安全相关的现象、活动、系统、服务或网络状态等处于异常情况。

对达到一定严重程度，或造成一定损失的信息安全事件，本程序定义为严重事件。

5.2信息安全事态的定义信息安全事态：已识别的一种系统、服务或网络状态的发生，指出可能违反信息安全方针或控制措施失效，或者一种可能与安全相关但以前不为人知的情况。

5.3信息安全事件分级5.4信息安全事件处理流程5.4.1信息安全事件的报告事件的发现者应按照以下要求履行报告任务：a) 各个信息管理系统使用者，在使用过程中如果发现软硬件故障、事件，应该向该系统管理部门和信息安全管理小组报告；如故障、事件会影响或已经影响业务运行，必须立即报告相关部门，采取必要措施，保证对业务的影响降至最低；b) 发生火灾应立即触发火警并向信息安全管理小组报告，启动消防应急预案； c) 涉及组织的秘密、机密及绝密泄露、丢失应向信息安全管理小组报告； d) 发生重大信息安全事件,事件受理部门应向信息安全管理员和有关领导报告。

xx电子商务技术有限公司版本：A各部门信息安全管理职责JSWLS/IP-40-2009编制：xx审核：xx批准：xx2009-6-28发布2009-7-1实施xx电子商务技术有限公司发布xx电子商务技术编号：JSWLS/IP-40-2009有限公司程序文件版次：A/0程序文件修改控制序号版次修改章节修改人审核人批准人修改日期程序文件版次：A/0各部门信息安全管理职责1 总经理（1）负责组织建立公司信息安全管理体系。

（2）负责制定、发布公司信息安全方针。

（3）负责组织各部门定期评审、更新公司信息安全方针。

（4）负责向公司员工和外部提出信息安全管理承诺。

（5）负责实施公司信息安全资源的配置。

（6）负责公司信息安全管理体系评审工作。

（7）负责组织公司信息安全管理体系持续改进工作。

（8）负责公司信息安全管理体系内部协调工作。

（9）负责公司各部门信息安全管理职责的审批工作。

（10）负责组织公司信息安全管理体系符合安全策略和标准。

（11）负责组建公司信息安全管理委员会。

（12）负责任命公司信息安全管理者代表。

2 管理者代表（1）协助总经理建立公司信息安全管理体系。

（2）协助总经理制定、发布公司信息安全方针。

（3）协助总经理组织各部门定期评审、更新公司信息安全方针。

（4）协助总经理向公司员工和外部提出信息安全管理承诺。

（5）协助总经理实施公司信息安全资源的配置。

（6）协助总经理公司信息安全管理体系评审工作。

（7）协助总经理组织公司信息安全管理体系持续改进工作。

（8）协助总经理公司信息安全管理体系内部协调工作。

（9）协助总经理公司各部门信息安全管理职责的审批工作。

（10）协助总经理组织公司信息安全管理体系符合安全策略和标准。

程序文件版次：A/0（11）负责主持公司信息安全管理体系内部审核工作。

3 信息安全管理委员会（1）负责实施公司信息安全管理体系风险评估。

（2）负责根据风险评估制定相关措施。

（3）负责建立公司适用性声明。

修订日期：2019.12.18修订日期：2019.12.18信息安全风险评估管理程序1 适用本程序适用于本公司信息安全管理体系（ISMS）范围内信息安全风险评估活动。

2 目的本程序规定了本公司所采用的信息安全风险评估方法。

通过识别信息资产、风险等级评估，认知本公司的信息安全风险，在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，保持本公司业务持续性发展，以满足本公司信息安全管理方针的要求。

3 范围本程序适用于第一次完整的风险评估和定期的再评估。

在辨识资产时，本着尽量细化的原则进行，但在评估时我司又会把资产按照系统进行规划。

辨识与评估的重点是信息资产，不区分物理资产、软件和硬件。

4 职责4.1 成立风险评估小组办公室负责牵头成立风险评估小组。

4.2 策划与实施风险评估小组每年至少一次，或当体系、组织、业务、技术、环境等影响企业的重大事项发生变更、重大事故事件发生后，负责编制信息安全风险评估计划，确认评估结果，形成《信息安全风险评估报告》。

4.3 信息资产识别与风险评估活动各部门负责本部门使用或管理的信息资产的识别，并负责本部门所涉及的信息资产的具体安全控制工作。

4.3.1 各部门负责人负责本部门的信息资产识别。

4.3.2 办公室经理负责汇总、校对全公司的信息资产。

修订日期：2019.12.184.3.3 办公室负责风险评估的策划。

4.3.4 信息安全小组负责进行第一次评估与定期的再评估。

5 程序5.1 风险评估前准备5.1.1 办公室牵头成立风险评估小组，小组成员至少应该包含：信息安全管理体系负责部门的成员、信息安全重要责任部门的成员。

5.1.2风险评估小组制定信息安全风险评估计划，下发各部门内审员。

5.1.3必要时应对各部门内审员进行风险评估相关知识和表格填写的培训。

5.2 信息资产的识别5.2.1 本公司的资产范围包括：5.2.1.1信息资产1)数据文档资产：客户和公司数据，各种介质的信息文件包括纸质文件。

文件制修订记录1.0目的和范围为加强和改进信息安全事件管理；在发生信息安全事件时能及时报告，快速响应，将损失控制在最小范围；在发生信息安全事件后，能够分析事故原因及产生影响、反馈处理结果、吸取事故教训；在发现信息安全异常现象时，能及时沟通，采取有效措施，防止安全事故的发生；特制订本管理程序。

适用于影响信息安全的所有事故以及安全异常现象以及全体人员（包括外协人员、实习生、长期客户员工、来访客户等）。

2.0引用文件下列文件中的条款通过本规定的引用而成为本规定的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

1)GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求2)GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则3)《业务连续性管理制度》3.0职责和权限1)信息安全管理领导小组：负责对内部信息安全事件的处理和奖惩意见进行审批；负责对纠正预防措施进行审批。

2)信息安全工作小组：负责组织制定内部信息安全事件处理制度；听取信息安全事件的汇报，负责对信息安全事件进行调查取证，提出处理措施，提出奖惩意见以及纠正预防措施，负责信息安全有关的所有文件的管理与控制；负责组织制定项目信息安全事件处理制度；听取信息安全事件的汇报，负责对信息安全事件进行调查取证，提出处理措施，提出奖惩意见以及纠正预防措施，负责信息安全有关的所有文件的管理与控制。

3)各部门：积极预防信息安全事件的发生；及时准确的汇报信息安全事件，配合信息安全事件的调查取证工作；配合执行处理措施，奖惩决定以及纠正预防措施。

4)异常现象和事件发现人：异常现象和事件发现人有义务及时准确地报告异常现象和事件的真实情况，并采取适当的临时措施制止事故的进一步扩大。

iso27001信息安全管理体系认证流程
ISO 27001信息安全管理体系认证是中国GB/T 22227信息安全管理体系要求的一部分,其认证流程如下:
1. 准备阶段:申请机构需要准备申请材料,包括申请书、身份证、营业执照、组织结构代码证、税务登记证、银行开户许可证、产品安全证书、安全审计报告等。

2. 审核阶段:认证机构将对申请机构的信息安全管理体系进行
审核。

审核内容包括组织信息安全战略、信息安全组织结构、信息安全培训、信息安全操作规程、信息安全事件管理、信息安全恢复策略、信息安全信息安全审计等方面。

3. 考试阶段:审核员需要对申请机构的员工进行信息安全知识
和技能的考试。

考试内容包括信息安全法律法规、信息安全管理规范、信息安全应急处理、信息安全评估等方面。

4. 整改阶段:在审核过程中,如果申请机构存在不符合信息安全管理体系要求的问题,认证机构需要要求申请机构进行整改,并记录
整改情况。

5. 评审阶段:在整改完成后,认证机构需要对申请机构的信息安全管理体系进行评审。

评审内容包括组织信息安全战略、信息安全组织结构、信息安全培训、信息安全操作规程、信息安全事件管理、信息安全恢复策略、信息安全信息安全审计等方面。

6. 报告阶段:认证机构需要向申请人提交认证报告,报告内容包括审核结果、审核员的姓名、审核日期、审核结论、通过或拒绝通过
等信息。

需要注意的是,ISO 27001信息安全管理体系认证的时间为3个月到12个月不等,具体的认证时间和流程可能会因地区和申请机构的不同而有所不同。

编号：ISMS-M01-2023版本号：V1.0受控状态：受控密级：内部公开【组织名称】信息安全管理手册(依据ISO/IEC FDIS 27001:2022)版权声明和保密须知本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属【组织名称】所有，受到有关产权及版权法保护。

任何单位和个人未经【组织名称】的书面授权许可，不得复制或引用本文件的任何片断，无论通过电子形式或非电子形式。

Copyright © 2022【组织名称】版权所有文档信息版本记录目录0.1 信息安全管理手册发布令 (5)0.2 管理者代表委任书 (6)1、范围 (7)2、规范性引用文件 (7)3、定义和术语 (7)3.1 信息安全定义 (7)3.2 术语 (8)3.3 缩写 (8)4、组织环境 (9)4.1 理解组织及其环境 (9)4.2 理解相关方的需求和期望 (9)4.3 确定信息安全管理体系范围 (9)4.4 信息安全管理体系 (10)5、领导 (10)5.1 领导和承诺 (10)5.2 方针 (10)5.3 组织的角色，责任和权限 (11)6、规划 (11)6.1 应对风险和机会的措施 (11)6.2 信息安全目标和实现规划 (13)6.3 变更管理 (14)7、支持 (14)7.1 资源 (14)7.2 能力 (14)7.3 意识 (14)7.4 沟通 (14)7.5 文件化信息 (15)8、运行 (16)8.1 运行规划和控制 (16)8.2 信息安全风险评估 (17)8.3 信息安全风险处置 (17)9、绩效评价 (17)9.1 监视、测量、分析和评价 (17)9.2 内部审核 (18)9.3 管理评审 (19)9.3.1 总则 (19)10、改进 (20)10.1 不符合和纠正措施 (20)10.2 持续改进 (20)附件 1 组织结构图 (22)附录 2 职能分配表 (23)附件 3 部门职责 (30)附件 4 信息安全职责说明书 (32)0.1信息安全管理手册发布令公司依据ISO/IEC FDIS 27001:2022《信息安全、网络安全和隐私保护信息安全管理体系要求》(以下简称信息安全管理体系)标准的要求，结合公司的实际情况，在公司内部建立信息安全管理体系,组织编写了《信息安全管理手册》，经审定符合国家、地方及行业的有关法律法规和本公司的实际情况，现予以发布。

ISO27001培训系列V1.0ISO 27001信息安全体系培训控制目标和控制措施（条款A13-信息安全事件管理）2009年11月董翼枫（dongyifeng78@ ）条款A13信息安全事件管理A13.1报告信息安全事态和弱点✓目标：确保与信息系统有关的信息安全事态和弱点能够以某种方式传达，以便及时采取纠正措施。

✓应有正式的事态报告和上报程序。

所有雇员、承包方人员和第三方人员都应了解用来报告可能对组织的资产安全造成影响的不同类型的事态和弱点的程序。

应要求他们尽可能快地将信息安全事态和弱点报告给指定的联系点。

控制措施信息安全事态应该尽可能快地通过适当的管理渠道进行报告。

实施指南✓应建立正式的信息安全事态报告程序，和在收到信息安全事态报告后着手采取措施的事件响应和上报程序。

应建立报告信息安全事态的联系点。

应确保组织内的每个人都知道这个联系点，应确保该联系点保持可用并能提供充分且及时的响应。

✓所有雇员、承包方人员和第三方人员都应知道他们有责任尽可能快地报告任何信息安全事态。

他们还应知道报告信息安全事态的程序和联系点。

报告程序应包括：a)适当的反馈过程，以确保在信息安全事态处理完成后，能够将处理结果通知给事态报告人；b)信息安全事态报告单，以支持报告行为和帮助报告人员记下信息安全事态中的所有重要行为；c)信息安全事态发生后应采取正确的行为，即①立即记录下所有重要的细节（如，不符合或违规的类型，事件故障，屏幕上显示的消息，异常行为）；②不要采取任何个人行为，但要立即向联系点报告；d)参考已制定的正式惩罚过程，来处理雇员、承包方人员和第三方人员的安全违规行为。

✓在高风险环境下，可以提供强制警报，借此在强制下的人员可以指出这种问题。

对强制警报的响应程序应反映该警报所指明的高风险情况。

✓强制警报是用来秘密地表明一个行为正在“强制”下发生的方法。

其它信息✓信息安全事态和事件的示例如下：a)服务、设备或设施的丢失；b)系统故障或超载；c)人为错误；d)策略或指南的不符合；e)物理安全安排的违规；f)未加控制的系统变更；g)软件或硬件故障；h)非法访问。

11、信息安全沟通管理程序###-ISMS-0107-20231 目的为了确保公司信息安全方面信息的内外部沟通渠道的畅通，特制定本程序。

2 范围适用于公司有关信息安全事务的协商和内外信息交流的管理。

3 职责3.1综合部a. 负责公司范围内有关信息安全方面的信息交流和沟通与协调；b. 负责与客户及其他相关方对公司信息安全投诉的处理；c. 负责接收、传递信息安全管理有关的外部公文；d. 与相关权威机构、专业团体或其他安全专家论坛及专业协会建立和保持适当的联系；e. 负责收集和分析与信息安全威胁有关的信息。

3.2 相关部门a.负责收集本部门安全管理信息，并进行传递、沟通。

b. 在各自业务内，负责与相关方之间在信息安全方面的信息交流与沟通。

4 程序4.1 信息安全沟通的内容4.1.1 与信息安全有关的法律、法规和其他要求颁布与修订制度的信息。

4.1.2 信息安全的威胁、薄弱点及相关事件的信息。

4.1.3 公司信息安全管理检查情况。

4.1.4 相关方对公司信息安全管理的建议、要求和意见、投诉信息。

4.2 信息安全的沟通方式4.2.1 各部门代表参加的沟通协调会议。

4.2.2 口头或书面通知。

4.2.3 电子邮件、传真。

4.2.4 信息安全管理工作报告、会议、总结。

4.3 信息安全的协商4.3.1 公司在组织下列活动时,应与各部门协商:a. 信息安全方针的制定、修改和评审；b. 信息安全管理体系文件，特别是作业文件的修改和评审；c. 信息安全的资产识别与风险评估；d. 可能影响到信息安全的任何活动。

4.3.2 协商的方式有口头或书面交流，文件审核，参与会议讨论等。

4.3.3 综合部及时收集员工的意见和建议，反馈并督促相关部门处理。

4.4 内部信息沟通管理网络4.4.1 综合部是公司信息沟通的主管部门。

4.4.2 综合部负责信息安全管理体系的建立及实施过程中的沟通和协调，负责与咨询机构、认证机构、专业团体建立联系，获取相关的信息安全行业信息。

信息安全管理手册版本号：V1.0目录01 颁布令 (1)02 管理者代表授权书 (2)03 企业概况 (3)04 信息安全管理方针目标 (3)05 手册的管理 (6)信息安全管理手册 (7)1范围 (7)1.1总则 (7)1.2应用 (7)2规范性引用文件 (8)3术语和定义 (8)3.1本公司 (8)3.2信息系统 (8)3.3计算机病毒 (8)3.4信息安全事件 (8)3.5相关方 (8)4信息安全管理体系 (9)4.1概述 (9)4.2建立和管理信息安全管理体系 (9)4.3文件要求 (15)5管理职责 (18)5.1管理承诺 (18)5.2资源管理 (18)6内部信息安全管理体系审核 (19)6.1总则 (19)6.2内审策划 (19)6.3内审实施 (19)7管理评审 (21)7.1总则 (21)7.2评审输入 (21)7.3评审输出 (21)7.4评审程序 (22)8信息安全管理体系改进 (23)8.1持续改进 (23)8.2纠正措施 (23)8.3预防措施 (23)01 颁布令为提高我公司的信息安全管理水平，保障公司业务活动的正常进行，防止由于信息安全事件（信息系统的中断、数据的丢失、敏感信息的泄密）导致的公司和客户的损失，我公司开展贯彻GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系要求》国际标准工作，建立、实施和持续改进文件化的信息安全管理体系，制定了《信息安全管理手册》。

《信息安全管理手册》是企业的法规性文件，是指导企业建立并实施信息安全管理体系的纲领和行动准则，用于贯彻企业的信息安全管理方针、目标，实现信息安全管理体系有效运行、持续改进，体现企业对社会的承诺。

《信息安全管理手册》符合有关信息安全法律、GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系-要求》标准和企业实际情况，现正式批准发布，自2015年 12月 23 日起实施。

密级等级：机密受控状态：受控文件编号：HW -IP-015-V1.0信息安全事件管理程序V1.02021年01月10日广东***技术股份有限公司变更履历1 目的为建立信息安全事件报告、反应与处理机制，减少信息安全事件所造成的损失，采取有效的纠正与预防措施，特制定本程序。

2 范围本程序适用于组织的信息安全事件的管理。

3 职责3.1 信息安全管理小组归口管理信息安全事件的调查、处理及纠正措施管理。

3.2 各系统使用人员负责相关信息安全事件的报告。

3.3 行政中心负责记录和跟踪公共区域环境和设施的安全事件，以保证事件均能得到关闭。

3.4 技术中心负责记录和跟踪信息设施及系统安全事件，以保证事件均能得到关闭。

4 相关文件《信息安全管理手册》《信息安全奖惩管理程序》5 程序5.1 信息安全事件定义与分类信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响（后果)之一，均为信息安全事件：a)组织的秘密、机密及绝密信息泄露或丢失；b)重要业务部门停止工作五小时以上；c)造成信息资产损失的火灾、洪水、雷击等灾害；d)损失在一万元以上的故障/事件。

信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响（后果)之一，属于重大信息安全事件：a)组织的机密及绝密信息泄露；b)重要业务部门停止工作十小时以上；c)造成重要信息设备毁灭的火灾、洪水、雷击等灾害；d)损失在十万元以上的故障/事件。

对信息安全事件的详细分类进行具体的定义，详见《信息安全事件分类规定》5.2 事件的报告渠道与处理5.2.1 事件报告要求事件的发现者应按照以下要求履行报告任务：a)各个信息管理系统使用者，在使用过程中如果发现软硬件故障、事件，应该向该系统管理部门和信息安全管理小组报告；如故障、事件会影响或已经影响业务运行，必须立即报告软件事业部，采取必要措施，保证对业务的影响降至最低；b)发生火灾应立即触发火警并向综合部报告，启动消防应急预案；c)涉及组织的秘密、机密及绝密泄露、丢失应向综合部报告；d)发生重大信息安全事件,事件受理部门应向信息安全管理员和有关领导报告。

27、信息安全业务连续性管理程序###-ISMS-0314-2023 1 目的为了对公司业务连续性管理活动实施控制，特制定本程序。

2 范围适用于公司信息系统业务连续性的管理。

3 职责3.1 技术部负责信息系统的业务连续性管理工作。

配合技术部负责相关业务连续性计划的实施。

3.2 相关部门配合技术部负责相关业务连续性计划的实施。

4 程序4.1 业务连续性管理过程公司业务连续性管理过程见图1。

图1 业务连续性管理过程图4.2 业务连续性和影响的分析4.2.1 由技术部负责组织识别对业务连续性造成严重影响的主要事件，如信息系统设备故障、火灾等，分析一旦这些事件发生会对业务活动造成的影响和损失，以及统计恢复业务所需费用等，并编写《业务连续性和影响分析报告》。

4.2.2 《业务连续性和影响分析报告》应包括以下内容：a. 识别关键业务的管理过程；b. 识别可能引起业务活动中断的主要事件；c. 分析主要事件对信息系统和业务活动造成的影响；d. 分析信息系统故障或中断对业务活动的影响；e. 关于系统恢复或替换的策划。

4.3 《业务连续性管理计划》的编制与实施4.3.1 技术部负责确定影响业务连续性的重要信息系统，制定《业务连续性管理计划》。

4.3.2 《业务连续性管理计划》应包括以下方面的内容：a. 计划实施所涉及的部门/人员的职责描述；b. 业务中断的快速报告程序及要求；c. 业务中断的恢复程序及方法；d. 业务中断恢复的时限要求；e. 保持本公司业务持续运作应采取的应急措施与备用措施；f. 必要的技术支持及资源要求。

4.3.3 重要系统一旦受到重大影响或中断后，技术部及相关部门应立即执行《业务连续性管理计划》，对信息系统采取应急措施，并进行恢复，确保生产经营活动的持续运行。

同时，应按照《信息安全事件管理程序》做好事故处理记录，记录内容应包括：a. 对业务中断原因的调查分析；b. 业务中断造成损失的统计；c. 采取的纠正措施；d. 应吸取经验教训及预防措施等。

IT应急响应管理规范1、目的指导与规范IT管理员在面对IT突发信息安全事件时的运行操作。

2、适用范围；适用于公司突发信息安全事件，例：系统软硬件故障、网络引起的系统异常、停止服务、系统崩溃以及网络大面积中断，或机房意外事故，或外部恶意攻击等3、职责3.1综合部与IT网管负责通知相关人员故障情况、类型、可能涉及需要的备份情况、处理流程解决故障。

3.2 各部门按照要求与流程报告IT相关故障情况。

4、控制要求突发信息安全事件处理流程如下：✧任何人员发现故障，要在第一时间内电话或直接转告信息中心，信息中心应明确应急联系人电话等相关信息。

（10分钟）✧相关工程师马上到岗确定故障类型。

（20分钟）✧按照流程图对故障进行处理。

（30分钟）✧填写记录、可能的预防措施。

（15分钟）按照突发信息安全事件处理流程要求进行硬件故障处理流程、系统故障处理流程、病毒故障处理流程、网络故障处理流程、误操作应急处理流程等策划。

4.1硬件故障处理流程✧确定故障原因为硬件故障。

（20分钟）✧检查数据是否安全，如果数据安全，且后续的处理操作不会对数据造成影响则直接报修处理，如果对数据有影响，则先备份数据，然后再报修处理。

（15分钟）✧待厂商工程上门后，监督厂商工程师的操作。

（15分钟）✧处理完成后检验故障是否解决。

（10分钟）✧填写相关记录。

（15分钟）4.2系统故障处理流程✧确定故障原因为系统故障。

（20分钟）✧检查数据是否安全，如果数据安全，且后续的处理操作不会对数据造成影响则直接查找故障具体原因并解决故障，如果对数据有影响，则先备份数据，然后再解决故障。

（15分钟）✧确定故障的具体原因。

（20分钟）✧根据具体故障采取相应的应对措施解决故障。

（20分钟）4.3病毒故障处理流程✧管理员发现病毒，或用户报告有病毒。

（10分钟）✧收集病毒样本，尽量确定病毒原，评估影响。

（10分钟）✧根据病毒的影响，发布病毒警报。

（20分钟）✧病毒源是个人电脑，对个别用户影响，把用户电脑离网处理，单机清理病毒。

29、云服务安全管理程序###-ISMS-0316-20231 目的：为强化云平台服务的安全管理，切实保障企业云平台安全稳定运行，提高其使用效益，特制定本办法。

2 适用范围：适用于公司内部配置及其外部购买的所有云平台服务。

云资源，含云主机、云数据库、云存储、云网络、云安全等3 管理职责：信息部：负责基于公司云平台进行企业信息系统部署、管理维护等管理活动；负责负责公司云平台的安全管理，支撑上云信息系统和数据资源进行安全管理。

4 管理办法：4.1 安全要求4.1.1应建立公司云平台安全管理机制，针对企业自身配置的云平台，定期开展网络安全等级保护评测，针对外购云平台，必须选购国内主要云平台或者运营商的云平台。

4.1.2应定期对云平进行风险评估，定期进行平台巡检、日志审计、数据备份等，定期查看安全运行报告。

4.2安全控制公司通过云服务申请、巡检、安全、资源、操作管理等确保云服务的信息安全。

4.2.1云服务申请使用部门要申请云服务资源时，一般进行内部前置评审，提交使用申请，经相关部门会签之后，由信息安全管理者代表审批后才能够由云服务主管部门开通云服务资源。

涉及信息系统的部署，需通过开通测试资源，进行入云信息系统的测试和部署，使用部门对测试结果进行调整，通过后，正式部署上线4.2.2云平台巡检云平台主管部门定期巡检云资源使用情况、操作情况等日志记录及审计服务，定期向使用单位提供监测报表与报告，每年需向公司提交云平台的监测报告。

4.2.3安全管理使用单位应加强入云信息系统自身的安全管理，至少包括：✧建立信息系统运维和安全管理制度；✧信息系统日常运行维护管理。

例如：应用开发、故障处理、配置变更、安全策略优化、运行监控等；✧信息系统常规安全保障和监控预警工作。

例如：操作系统防病毒管理、渗透测试、漏洞扫描、源代码审计、安全巡检、应急响应等。

当云使用单位出现严重影响云平台安全稳定运行的事件时，云服务主管部门可暂时中断该部门的云服务并同步通知该部门和管理者代表，事件处理完毕后恢复服务。

信息安全突发事件应急演练管理制度为加强公司信息安全事件应急演练工作，促进应急演练规范、安全、有序地开展，提高公司全员在紧急情况下的处置流程和自我应对能力。

一、应急演练目的✧检验预案。

通过开展应急演练，查找应急预案中存在的问题，进而完善应急预案，提高应急预案的实用性和可操作性。

✧完善准备。

通过开展应急演练，检查公司日常应对突发事件所需人员、物资、装备、技术等方面的准备情况，发现不足及时予以调整补充，做好应急准备工作。

✧锻炼员工。

通过开展应急演练，增强公司全员对应急预案的熟悉程度，提高应急处置能力。

✧磨合机制。

通过开展应急演练，进一步明确公司各部门、各岗位的职责任务，明确紧急时刻信息安全处置流程、方法和途径，完善应急机制。

✧宣传教育。

通过开展应急演练，普及突发事件应急知识，提高公司全员风险防范意识和信息安全事件应对能力。

二、应急演练原则✧结合实际，合理定位。

紧密结合公司工作实际，结合员工生理年龄、心理素质、认知水平等情况，明确演练目的，根据资源条件确定演练方式和规模。

✧着眼实战、讲求实效。

以提公司各部门之间、各岗位之间指挥协调能力和实战能力为着眼点，重视对演练效果及组织工作的评估、总结，及时整改存在问题。

✧精心组织、确保安全。

围绕演练目的，精心制定演练计划，科学设计演练方案，周密组织演练活动，严格落实各项安全措施，确保参与演练的信息资产安全。

三、应急演练实施途径公司应当从锻炼和提高全员在真实场景中的处置流程和自我防护能力出发，采取实战演练的方法，预先谋划、设定突发事件情景，通过事发、报警、决策、指挥、行动、总结等一系列步骤，完成真实应急响应的过程，从而检验和锻炼各部门各岗位的临场组织指挥、应急处置技能和后勤保障等应急能力，提高员工信息安全事件应对的素质和水平。

四、应急演练规划公司要根据时间季节、环境变化、业务开展、顾客满足、监管要求等各种不同的情况，在每年年初的信息安全工作计划中制订年度应急演练规划，每学期至少开展一次应急演练。