ISO27001变更管理控制程序

合集下载

ISO27001:2022作业文件之虚拟机管理规范

ISO27001:2022作业文件之虚拟机管理规范

虚拟机管理规范1、管理对象本管理办法的适用对象为:公司企业网虚拟机、公司互联网虚拟机、大数据中心内网虚拟机、大数据中心外网虚拟机。

2、虚拟机的申请与回收2.1申请流程✧申请虚拟机需填写虚拟服务器资源申请表。

✧申请人填写申请表,审批完毕后,将申请表交给信息中心的操作员进行虚拟机创建操作。

✧信息中心的操作员在虚拟机创建完成后通过邮件的形式将虚拟机的IP、用户名和密码等信息告知申请人,并将申请表交给配置管理员入库。

2.2回收流程✧当申请的虚拟机到期后,信息中心将会对该虚拟机进行关停操作。

✧如申请人在关停虚拟机一周内不提出延期需求,将在关停一周后回收相应的虚拟机资源。

3、虚拟机IP分配及命名规则3.1虚拟机IP分配虚拟机IP从xxx.xxx.xxx.20开始分配。

3.2虚拟机命名规则虚拟机命名格式如下:*IP-*操作系统-项目-*部署内容-*使用人-到期日期各项之间以“-”连接,带*号的为必须项,若虚拟机为长期使用的,到期日期可省略。

示例:172.31.1.60-WinServer2012R2-国防-潜力动员-张国龙-20180206192.168.1.20-CentOS6.5-hostmonitor-樊军4、虚拟机的默认配置目前的默认虚拟机配置如下表:虚拟机默认配置如不提出特殊要求,在只指明系统的情况下,其他均按照“一般服务器”配置提供。

5、虚拟机的权限管理1.将定期对服务器密码进行修改。

2.属于项目用途的虚拟机,软件版本由研发中心进行控制,当业务上线之后,研发中心应1告知信息中心相关人员,对虚拟机密码进行修改以控制访问权限。

6、虚拟机的配置变更流程✧如需要对虚拟机的硬件配置、网络环境进行变更(端口映射等),申请人需要填写配置变更申请表。

✧申请人填写申请表,审批完毕之后,将申请表交给信息中心的同事进行变更操作。

✧信息中心的操作员在完成作业后通过邮件的形式将变更后的虚拟机信息告知申请人,并将变更表交给配置管理员入库。

ISO27001系统变更管理程序

ISO27001系统变更管理程序

ISO27001系统变更管理程序第一节总则第一条为规范软件变更与维护管理,提高软件管理水平,优化软件变更与维护管理流程,特制定本制度。

第二条本制度适用于应用系统已开发或采购完毕并正式上线、且由软件开发组织移交给应用管理组织之后,所发生的生产应用系统(以下简称应用系统)运行支持及系统变更工作。

第二节变更流程第三条系统变更工作可分为下面三类类型:功能完善维护、系统缺陷修改、统计报表生成。

功能完善维护指根据业务部门的需求,对系统进行的功能完善性或适应性维护;系统缺陷修改指对一些系统功能或使用上的问题所进行的修复,这些问题是由于系统设计和实现上的缺陷而引发的;统计报表生成指为了满足业务部门统计报表数据生成的需要,而进行的不包含在应用系统功能之内的数据处理工作。

第四条系统变更工作以任务形式由需求方(一般为业务部门)和维护方(一般为信息部门的应用维护组织和软件开发组织,还包括合作厂商)协作完成。

系统变更过程类似软件开发,大致可分为四个阶段:任务提交和接受、任务实现、任务验收和程序下发上线。

第五条因问题处理引发的系统变更处理,具体流程参见《问题处理管理制度》。

第六条需求部门提出系统变更需求,并将变更需求整理成《系统变更申请表》(附件一),由部门负责人审批后提交给系统管理员。

第七条系统管理员负责接受需求并上报给IT主管。

IT主管分析需求,并提出系统变更建议。

IT经理根据变更建议审批《系统变更申请表》。

第八条系统管理员根据自行开发、合作开发和外包开发的不同要求组织实现系统变更需求,将需求提交至内部开发人员、合作开发商或外包开发商,产生供发布的程序。

第九条实现过程应按照软件开发过程规定进行。

系统变更过程应遵循软件开发过程相同的正式、统一的编码标准,并经过测试和正式验收才能下发和上线。

第十条系统管理员组织业务部门的系统最终用户对系统程序变更进行测试,并撰写《用户测试报告》(附件二),提交业务部门负责人和IT主管领导签字确认通过。

ISO27001管理评审管理程序

ISO27001管理评审管理程序

文件制修订记录1、概述1.1目的为确保公司信息安全管理体系持续的适宜性、充分性和有效性,评估公司信息安全管理体系改进和变更的需要,包括信息安全方针、目标,特制定本程序。

1.2.范围适用于对公司信息安全管理体系运行的现状和适应性进行管理评审的活动。

2、职责A、最高管理者主持管理评审活动;批准《管理评审计划》;批准《管理评审报告》。

B、管理者代表负责组织召开管理评审会议;负责管理评审计划的落实和组织协调工作;跟踪验证管理评审问题的处理;审查《管理评审计划》和《管理评审报告》。

C、体系策划、贯彻团队负责制定《管理评审计划》,收集管理评审所需文件和记录;评审过程的组织工作、作好评审会议记录并编写《管理评审报告》;负责组织完成管理评审输入资料准备;保存管理评审相关记录;D、评审团队依据评审计划对管理体系进行评审;E、各相关部门负责准备、提供与本部门工作有关的评审所需材料,并负责实施管理评审中提出的相关纠正、预防措施。

3、内容3.1审核频率公司每年进行一次年度管理评审(管理评审时间间隔不超过12个月),此外,在下列情况下,管理者代表可临时决定进行管理评审。

➢产品、流程、系统、组织机构、人员和资源等有重大调整;信息安全方针、目标等发生变化;➢当业务过程发生重大事故造成重大损失时;发生重大顾客抱怨或投诉;➢管理体系审核发现严重不符合项;➢国家法令、法规、规章制度、标准等有所要求;其他不可预见情况。

3.2管理评审程序3.2.1管理评审策划管理评审计划制定管理评审小组应于每次管理评审前编制《管理评审计划》,上报管理者代表审核并由最高管理者批准,下发各相关人员。

管理评审计划的主要内容包括:➢评审时间及地点;评审目的;➢评审范围及评审重点;参加评审人员;➢评审依据;评审内容。

3.2.2管理评审实施1)管理评审准备管理评审小组应提前一周下发管理评审计划,通知参加评审的有关人员,参加评审人员负责准备与本部门有关的评审资料,并提交给管理评审小组。

ISO27001访问控制管理程序

ISO27001访问控制管理程序

文件制修订记录1、适用适用于本公司的各种应用系统涉及到的逻辑访问的控制。

2、目的为对本公司各种应用系统的用户访问权限(包括特权用户及第三方用户)实施有效控制,杜绝非法访问,确保系统和信息的安全,特制定本程序。

3、职责3.1各系统的访问授权管理由管理运营部设置安全框架,由各部门主管视权限和业务情况进行分配、审批。

3.2各系统的访问授权实施部门负责访问控制的技术管理以及访问权限控制和实施。

3.3管理运营部负责向各部门通知人事变动情况。

4、程序4.1访问控制策略4.1.1公司内部可公开的信息不作特别限定,允许所有用户访问。

4.1.2公司内部部分不公开信息,经访问授权管理运营部认可,访问授权实施部门实施后用户方可访问。

4.1.3本公司限制使用无线网络,对连接到互联网和局域网的设备采用粘贴标签的方法清晰的标明设备的连接属性(根据敏感程度,可查表获得权限,如IP列表)4.1.4用户不得访问或尝试访问未经授权的网络、系统、文件和服务。

4.1.5相关部门主管填写《用户权限登记表》,确定访问规则后,由网络管理员开设访问帐号和设置访问权限。

4.1.6为确保含有敏感信息的系统不发生泄密事故,采取措施对敏感系统予以隔离。

采用最小权限、最少用户原则。

4.2用户访问管理4.2.1权限申请4.2.1.1授权流程部门申请——授权管理运营部审批——访问授权部门实施所有用户,包括第三方人员均需要履行访问授权手续。

申请部门根据日常管理工作的需要,确定需要访问的系统和访问权限,经过本部门经理同意后,向访问授权管理运营部提交《用户权限申请表》,经访问授权管理运营部审核批准后,将《用户权限申请表》交访问授权实施部门实施。

第三方人员的访问申请由负责接待的部门按照上述要求予以办理。

第三方人员一般不允许成为特权用户。

必要时,第三方人员需与访问接待部门签订《第三方保密协议》。

4.2.1.2《用户权限申请表》应对以下内容予以明确:A)权限申请人员;B)访问权限的级别和范围;C)申请理由;D)有效期。

ISO27001信息安全管理体系全套程序文件

ISO27001信息安全管理体系全套程序文件

修订日期:2019.12.18修订日期:2019.12.18信息安全风险评估管理程序1 适用本程序适用于本公司信息安全管理体系(ISMS)范围内信息安全风险评估活动。

2 目的本程序规定了本公司所采用的信息安全风险评估方法。

通过识别信息资产、风险等级评估,认知本公司的信息安全风险,在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平,保持本公司业务持续性发展,以满足本公司信息安全管理方针的要求。

3 范围本程序适用于第一次完整的风险评估和定期的再评估。

在辨识资产时,本着尽量细化的原则进行,但在评估时我司又会把资产按照系统进行规划。

辨识与评估的重点是信息资产,不区分物理资产、软件和硬件。

4 职责4.1 成立风险评估小组办公室负责牵头成立风险评估小组。

4.2 策划与实施风险评估小组每年至少一次,或当体系、组织、业务、技术、环境等影响企业的重大事项发生变更、重大事故事件发生后,负责编制信息安全风险评估计划,确认评估结果,形成《信息安全风险评估报告》。

4.3 信息资产识别与风险评估活动各部门负责本部门使用或管理的信息资产的识别,并负责本部门所涉及的信息资产的具体安全控制工作。

4.3.1 各部门负责人负责本部门的信息资产识别。

4.3.2 办公室经理负责汇总、校对全公司的信息资产。

修订日期:2019.12.184.3.3 办公室负责风险评估的策划。

4.3.4 信息安全小组负责进行第一次评估与定期的再评估。

5 程序5.1 风险评估前准备5.1.1 办公室牵头成立风险评估小组,小组成员至少应该包含:信息安全管理体系负责部门的成员、信息安全重要责任部门的成员。

5.1.2风险评估小组制定信息安全风险评估计划,下发各部门内审员。

5.1.3必要时应对各部门内审员进行风险评估相关知识和表格填写的培训。

5.2 信息资产的识别5.2.1 本公司的资产范围包括:5.2.1.1信息资产1)数据文档资产:客户和公司数据,各种介质的信息文件包括纸质文件。

ISO27001-软件开发安全控制程序

ISO27001-软件开发安全控制程序

ISO27001-软件开发安全控制程序软件开发安全控制程序(依据ISO27001标准)1. 目的为规范公司软件开发的安全管理,包括软件系统从计划、需求、设计、开发、测试、部署过程中的安全管理,特制定本程序。

2. 范围本程序适用于公司的软件系统在需求分析、开发测试、上线运行阶段的安全管理,包括软件外包开发的安全管理。

3. 职责与权限3.1 技术部负责公司相关信息系统的软件开发、外包软件开发过程的安全管理,以及软件开发相关文档及软件源代码的归档保管。

3.2 其他部门其他相关部门协助技术部进行软件/系统需求收集、分析、系统测试等工作。

4. 相关文件a)《软件控制程序》5. 术语定义无6. 控制程序6.1 软件开发任务提出公司根据客户反馈和调研,编写用户需求分析报告,经过公司总经理批准后,交付技术部进行设计开发。

6.2 软件开发的策划技术部在接到用户需求后,首先要判断可行性,如果接受,技术部根据用户申请书和要求部门共同协商,编写软件设计开发计划,明确设计开发的各个阶段评审与测试要求及设计开发人员的职责与权限,设计开发计划方案由要求部门和技术部负责人共同批准后予以实施;必要时,如果对计划进行更改也需要获得双方经理共同批准。

软件设计开发计划应包括以下内容:a)软件功能要求;b)详尽的业务流程;c)信息安全要求;d)时间进度要求;e)设计开发的各个阶段评审与测试要求;f)设计开发人员的职责与权限;g)其它要求,例如在复杂系统环境下,应考虑业务信息系统互联相关的信息,并考虑安全保护。

6.3 软件开发方案的评审及开发过程控制6.3.1技术部应根据软件设计开发计划的要求,编制软件设计开发方案,由技术部负责人对方案的技术可行性及系统的安全性进行确认。

6.3.2对于大型软件开发方案应由设计开发人员、应用部门(用户)人员、内部IT 方面的专家共同进行评审。

方案确认与审批的结果及任何必要的措施应予以记录。

6.3.3软件设计开发方案应包括以下内容:a)确定软件开发工具;b)应用系统功能;c)业务实现流程;d)输入数据确认要求;e)必要时,系统内部数据确认检查的要求;f)输出数据的确认要求;g)应用系统的安全要求;h)对系统硬件配置的要求;i)系统验收标准。

ISO27001变更管理控制程序

ISO27001变更管理控制程序

ISO27001变更管理控制程序1目的为减少由变更所造成的问题对核心系统及其它基础环境的影响,将由变更所可能导致的服务中断对业务的影响降至最低,特制订本程序。

2范围本程序适用于IT基础架构、环境、系统、应用、人员等变更的管理。

3相关文件4职责4.1变更需求部门人员负责提出变更请求,需求部门主管审批变更请求;4.2网管人员(服务台负责人)及接到用户变更请求的系统管理员负责变更过程的策划,并提交相关领导审批;4.3信息科技部总经理负责重大变更的审批。

4.4各系统负责人负责具体变更活动的实施。

5程序5.1变更的范围在本程序中对变更的定义为:可能影响到银行IT基础环境的一种物理或流程的改变,一般情况下,变更仅仅在必须的情况下才进行实施。

a)解决IT环境现有或未来存在的问题b)为满足业务需求提供新的或修改的功能本流程仅仅包括IT基础环境或与基础环境相连的系统,本变更管理流程也由此些内容组成:a)针对物理设备的变更(e.g.服务器,客户端,网络布线,网络设备,硬盘,路由器等)b)针对通讯和协议方面的变更(e.g.IP地址,相关变量设置等)c)针对操作系统的变更,包括网络操作系统(e.g.安装,版本控制,系统设置等)d)应用开发上线前的变更e)任何由外部单位(如IBM)实施的可能会影响到银行IT基础环境的变更必须严格按照变更管理流程来执行。

5.2变更分类根据变更的重要性及变更的类别对变更进行分类。

a)变更的重要性:与变更的紧急程度有关b)变更的类别:与变更对成品环境带来的影响和风险有关5.2.1变更的严重等级5.2.2变更类别变更的类别是由如下两个方面来判断:a)影响:变更对业务的影响,如服务的可用性b)风险:变更的技术复杂性下表显示了与这些参数相关的变更的分类:影响评估IT变更影响被划分成高,中,低3个类别,变更失败对业务产生的影响是衡量影响的关键因素:。

ISO27001-2022程序文件之管理评审管理程序

ISO27001-2022程序文件之管理评审管理程序

##有限公司信息安全管理体系文件管理评审管理程序###-ISMS-0005-2023密级内部公开受控状态受控分发号01版本A/0编制:## 审核:## 批准:######-##-##发布 ####-##-##实施修改履历4、管理评审管理程序###-ISMS-0004-20231 目的通过最高管理者对信息安全管理体系的充分性、有效性、适宜性的评审,不断改善体系及其运行效果,以确保信息安全管理体系持续有效地满足标准的要求,确保本公司信息安全方针和目标适应公司自身发展的需要,以不断完善信息安全管理体系,需求持续改进的机会,特制定本程序。

2 范围本程序适用于对本公司信息安全管理体系的管理评审活动。

3 职责3.1最高管理者负责主持管理评审活动,对信息安全管理体系的现状和适应性进行正式评价。

3.2管理者代表负责评审后的跟踪检查及协调落实改进措施中的问题;协助最高管理者、做好有关管理评审的各项工作。

3.3职能部门负责准备并提供评审所需的与部门有关的资料,准备改进重点好意见和建议。

4、措施和方法4.1总则4.1.1管理评审每年至少进行一次,间隔时间不超过1年。

4.1.2管理评审在内部信息安全管理体系审核的基础上进行,但在出现下列情况时,也应适时组织管理评审:1)当本公司的组织机构、产品范围、资源配置发生重大变化时;2)当发生重大信息安全问题或顾客关于信息安全有严重投诉或投诉连续发生时;3)当市场需求发生重大变化时;4)当最高管理者认为有必要进行时;5)当法律法规或标准及其他要求有变化时;6)进行外部审核时;7)当信息安全审核中发现严重不合格时。

4.1.3管理评审应针对信息安全管理体系的适宜性、充分性和有效性进行评价。

4.1.4对是否需要更改本公司的信息安全管理体系方针和目标、指标作出评价。

4.1.5评审信息安全管理体系的现行状况和改进机会。

4.2评审的输入4.2.1管理评审主要涉及信息安全管理体系运行的一般情况:1)内部或外部审核所发现的问题和审核总结报告(包括上次管理评审跟踪措施)。

ISO27001-文件控制程序

ISO27001-文件控制程序

文件控制程序目录1. 目的 (3)2. 范围 (3)3. 职责与权限 (3)4. 相关文件 (3)5. 术语定义 (3)6. 控制程序 (4)7. 附件、记录 (7)1. 目的制订本程序以确保公司文件制订、修订、发放、回收、废止,保管均得到有效的管制,使过时作废的文件及时撤离各使用场所,并能随时获得有效之最新版本。

2. 范围凡属本公司与信息安全管理体系有关的管理文件和资料的制作与管理均适用之。

(例如:管理手册、程序文件、作业标准文件、指导书、技术资料、表格、ISO 27001标准有关的文件等)。

3. 职责与权限3.1 内部文件管制权限表:3.2 (策划和运行管理体系所需)外来文件管制权限表4. 相关文件a) 记录控制程序5. 术语定义5.1 管理手册(一阶文件):是为让客户或公司员工了解公司信息安全管理体系要项的主要文件。

5.2 程序文件(二阶文件):就是将如何进行活动的步骤,管制项目及管制结果记录的一种管理文件。

例:管理责任、合约审查、内部审核等质量手册内所订定的各项程序。

5.3 作业标准文件(三阶文件):为支持管理程序于执行阶段时重要的依据或指导文件。

例:作业指导书、检验规范等。

5.4 表单(四阶文件):表单是为显示管理结果所使用的单据。

例:“空白表单”。

5.5 受控文件:受更改控制的文件。

5.6 非受控文件:不受更改控制的文件。

(例如:在投标时提供给客户的《管理手册》等)。

6. 控制程序6.1 文件之制定与修订作业6.1.1 文件制定需求之时机:a) 由于各部门运作上之必要而需制定。

b) 由于各部门间为协调之必要而需制定。

c) 内部审核或管理审查决议而需制定。

d) 由于经营政策上之需要,奉上级批示制定。

6.1.2 文件制定、修订:文件若经稽核单位或制定部门、运作部门认为不合实际需要,需增订修改时,得由提出单位填写文件制修废申请单,经部门经理审核,管理代表核准后,由制定单位研拟增修之。

注:文件首次制定可不用文件修废申请单。

ISO27001信息处理设施控制程序

ISO27001信息处理设施控制程序
ISO27001
1 目的
为对IT信息范围内的设备的维护过程实施有效控制,确保其连续的可用性和完整性,特制定本程序。
2 范围
本程序适用于IT信息的各类信息处理设施(包括传输线路、中心机房基础设施)的管理。
3 相关文件

4 职责
4.1 总经理负责计算设备及物品的总体监管和指导.
4.2总经理负责制定设备采购计划,监督设备的管理工作。
5.4.1在设备使用完成后需归还时,应由IT项目组负责人对设备进行检查,检查完成后根据《设备领用登记表》的记录,对照归还设备的完整性。
5.5 信息处理设施检查程序
5.5.1对新增的各种生产设备在到货后进行开箱验收,立即填写《设备验收单》,建立设备台帐,对设备总账内容进行添加。
5.5.2对信息管辖的所有设备建立《设备管理总账》,建立完成后和《设备验收单》进行比对,确保账、物相符。
5.6.7资料的保存
5.6.7.1 设备技术资料由综合管理负责按照设备装箱记录单所5.6.7.2 设备厂商对设备进行维修后提供维修(维护)记录单,由综合管理员负责收集并保存,以备日后查询。
5.6.7.3 设备的迁移与报废
5.6.7.3.1IT信息任何区域信息处理设施在得到该区域副总经理的审批后,方可对设备进行移动并填写《机房设备用途/配置/位置变更审批单》;如紧急情况需要对信息处理设施进行移动时,则可现行移动,在移动后补填《机房设备用途/配置/位置变更审批单》;除以上两种情况以外,不经过审批或不是紧急情况,对信息处理设施进行移动的均属违纪现象,一经发现按《信息安全惩戒管理规定》进行处罚。
5.6.6其他信息处理设施维护与管理
5.6.6.1 日常维护
5.6.6.1.1 对于其他信息处理设施日常维护,需要联系设备服务商进行维护的由硬件工程师负责联络,硬件工程师负责对“如监控系统、指纹识别系统、传输线路、三包期内等”设备的日常检查,主要检查设备运行是否稳定、数据备份是否正常、硬盘空间利用率等数据。

ISO27001:2013信息安全管理体系 全套程序 37容量管理控制程序

ISO27001:2013信息安全管理体系 全套程序 37容量管理控制程序
5.3供应商选择
5.3.1技术部按公司采购管理的要求选择存储容量的硬件供应商。
5.3.2硬件供应商以及他们提供的产品和服务的控制《第三方服务控制程序》进行。
5.4方案的确定和实施
5.4.1《容量管理策划书》审批后提交给供应商进行采购。技术部负责容量变更的具体安装操作,经检查符合容量管理要求后,在《容量管理变更记录表》中进行记录;若不符合容量管理要求,则对容量需求重新策划、采购、实施,直到满足容量管理要求,并做记录。
5.2.2《信息系统容量需求书》应包括容量需求背景、容量管理目标、具体容量需求、容量变更时间要求等。《信息系统容量需求书》交技术部审核。
5.2.3技术部接到《信息系统容量需求书》后,应对信息系统的容量进行分析,提出《容量管理策划书》,包括当前系统容量要求、预计变更内容、成本估算。
5.2.4《容量管理策划书》应经业务部门确认。《信息系统容量需求书》和《容量管理策划书》,报总经理批准。
容量管理控制程序
JSWLS/IP-37-2009
编制:技术部
审核:何澜
批准:张德洲
程序文件修改控制
序号
版次
修改章节
修改人
审核人
批准人
了对公司信息系统容量进行有效的控制,监督、调整资源的使用情况,以确保信息系统正常使用,特制定本程序。
2范围
本程序适用于信息处理设施的CPU、内存、硬件存储设备容量的管理。
3职责
3.1总经理负责批准各种硬件采购的方案。
3.2技术部负责归口管理信息系统的容量,负责对信息系统的容量进行监控,对将来容量需求扩充进行策划。
3.3各部门负责在业务范围内提出信息系统的容量需求,以便统一进行容量扩充的策划。
4相关文件
4.1《信息安全管理手册》

ISO27001供应商管理程序

ISO27001供应商管理程序

文件制修订记录1、目的规范公司的供应商管理,通过对供应商提供服务的监督,提高供应商服务的质量和安全控制的要求。

2、适用范围本公司相关供应商。

3、定义3.1供应商:服务提供者之外的组织或组织的一部分,其与服务提供者签署协议,共同参与到服务或服务流程的设计、转换、交付和改进中。

注:供应商包括指定的总包商,但不包括他们的分包商。

3.2供应商回顾:就供应商提供的服务与合同进行比较,审查包括服务的要求、范围和等级以及沟通过程与相关方达成的一致,对不符合内容进行审查并要求其限期整改。

4、职责55.1管理策略5.1.1管理运营部指定人员代表作为与商务、采购部门的接口人,在与供应商签订合同的过程中提供支持,向采购和商务部门提供对供应商相关要求。

服务合同应尽可能细致,明确供应商交付服务的范围、供应商资质、服务目标、工作量、双方权利与职责、纠纷处理、收费依据、付款周期等信息;5.1.2与供应商签订服务合同后,供应商人员必须签订保密承诺书,确保公司的商业机密、贸易机密、操作信息、技术信息等不被泄露;5.1.3在供应商提供的服务涉及我方重要设备时,应在我们的监控区域进行服务,如在视频监控的区域或在我方人员陪同下进行。

服务商工作需记录并归档,作为服务商服务回顾时的依据;5.1.4每年按计划的时间间隔对供应商提供的服务进行回顾;供应商服务绩效依据签订的服务合同和服务目标进行测量;5.1.5与服务商的合同发生的变更,需要通过变更控制程序进行控制和管理。

5.2控制指标5.2.1关键绩效指标(KPI)5.2.2管理运营部经理负责供应商管理的改进,应按照PDCA持续改进方法,定期对供应商管理流程及其实际情况进行回顾。

将识别的改进事项记录到「改进计划表」并定期跟踪执行进度。

6、相关记录《供应商列表》《供应商评分表》《供应商评价报告》《供应商管理报告》。

ISO27001:2013安全区域管理程序

ISO27001:2013安全区域管理程序

XXXXXXXXX有限责任公司安全区域管理程序[XXXX-B-19]V1.0变更履历1 目的为明确组织安全区域及控制要求,防止非授权人员对组织业务场所的物理访问、损坏和干扰,有效保障组织的工作稳定,特制订本程序。

2 范围本程序适用于组织安全区域的管理。

3 职责3.1 综合部a)负责组织安全区域的控制监管工作。

b)负责对进入组织的员工及外来访客进行确认和控制。

c)负责对非正常进入安全区域的人员、发生的突发事件进行调查和处理。

3.2 技术部负责重要安全区域的访问控制。

3.3 其他部门负责本部门安全区域管理工作。

4 相关文件《信息安全管理手册》《安全区域管理程序》《物理与环境安全管理办法》5 程序5.1 安全区域组织的安全区域分为重要安全区域和普通区域。

综合部应识别重要安全区域,建立和保持《物理与环境安全管理办法》,经各部门经理批准后实施。

重要安全区域以外的办公开发区域,统称为普通区域。

重要安全区域包括以下:a)机柜b)综合管理部文件柜技术部IT专职人员持有机柜的钥匙,每日负责检查机柜。

一般情况下,只有技术部IT 专职人员可打开机柜,如非技术部IT专职人员因工作关系需打开机柜,须通过批准后方可打开。

每日下班后综合管理部文件柜必须上锁。

重要安全区域的控制按《物理与环境安全管理办法》进行。

5.2 普通区域的物理访问外来联系工作和办理业务的人员进入办公、生产区域,须在前台申请,经相关部门负责人通过批准后,外来人员登记来访信息,方可进入普通区域。

前台人员负责外来人员的登记;当外来人员离开时,前台负责登记离开时间。

5.3 重要安全区域的出入控制管理重要安全区域只有技术部IT专职人员能够访问;当服务器需要由其他部门人员安装或更新软件时,开发部门填写《重要安全区域访问审批表》,待技术部批准后方可进入。

完成工作后,登记离开时间,反馈给技术部IT专职人员。

5.4 安全区域的检查管理各部门根据普通区域和重要安全区域不同的要求,严格执行组织相关的规定,防止对安全区域内场所的非授权物理访问、损坏和干扰,有效保障组织信息的安全,保证组织业务正常进行。

ISO27001-GBT22080信息系统开发、变更与维护管理制度

ISO27001-GBT22080信息系统开发、变更与维护管理制度
第7条测试专员需将系统测试中所出现的问题记录成册,定期交予信息部经理。
第8条信息系统安装调试前的必须工作。
1.制定紧急预案,以确保新系统发生故障时能切回到旧系统。
2.必须完成整体测试和用户验收测试后才可安装调试。
第8条新旧系统切换时,进行数据迁移必须建立数据迁移计划并对迁移结果进行测试。
第9条安装后的信息系统功能变更时,重新按照系统开发的有关程序进行。
1.因地制宜原则。应根据行业特点、企业规模、管理理念、组织结构、核算方法等因素设计适合本单位的计算机信息系统。
2.成本效益原则。计算机信息系统的建设应当能起到降低成本、纠正偏差的作用,根据成本效益原则,企业可以选择对重要领域中关键因素进行信息系统改造。
3.理念与技术并重原则。信息系统建设应当将信息系统技术与信息系统管理理念整合,倡导全体员工积极参与信息系统建设,正确理解和使用信息系统,提高信息系统运作效率。
信息系统开发、变更与维护管理制度
制度名称
信息系统开发、变更与维护管理制度
受控状态
文件编号
执行部门
监督部门
考证部门
第1章总则
第1条为了提高企业的工作效率,提升企业信息系统的可靠性、稳定性、安全性,特制定本制度。
第2条本制度适用于信息部与各用户部门使用企业信息系统的相关人员。
第2章系统开发与变更
第3条企业信息系统开发所遵循的原则。
第3章信息系统的维护
第10条对于企业自主开发的信息系统,根据其大小、性能定期检测、定期维护。
第11条数据库管理专员将数据库中的数据定期备份,以防止系统出现问题时数据丢失。
第12条信息系统出现问题时,信息部员工按编制的应急预案进行处理。
第4章附则
第13条本制度由信息部制定,解释权、修改权归属信息部。

ISO27001-2022作业文件之IT信息系统运维管理办法

ISO27001-2022作业文件之IT信息系统运维管理办法

信息系统运维管理办法为了规范公司信息系统的管理维护,确保系统硬、软件稳定、安全运行,结合公司实际,制定本制度。

制度包括信息机房管理、服务器管理、信息系统应用管理、信息系统变更管理、信息系统应用控制。

一、信息机房管理1、硬件配备及巡检1.1.各单位信息机房按规定配备防静电地板、UPS、恒温设备、温湿度感应器、消防设备、防鼠设施等相关基础设施。

1.2.各单位机房管理人员应定期(如每月或每季度)对机房硬件设备设施进行巡检,以保证其有效性。

1.3.各单位机房应建立相关的出入登记、设备机历登记、设备巡检、重大故障等记录,并认真填写。

2、出入管理2.1.严禁非机房工作人员进入机房,特殊情况需经信息中心批准,并认真填写登记表后方可进入。

2.2.进入机房人员应遵守机房管理制度,更换专用工作鞋。

2.3.进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品。

3、安全管理3.1.操作人员随时监控中心设备运行状况,发现异常情况应立即按照应急预案规程进行操作,并及时上报和详细记录。

3.2.未经批准,不得在机房设备上随意编写、修改、更换各类软件系统及更改设备参数配置;3.3.软件系统的维护、增删、配置的更改,必须按规定详细记入相关记录,并对各类记录和档案整理存档。

3.4.机房工作人员应恪守保密制度,不得擅自泄露信息资料与数据。

3.5.机房内严禁吸烟、喝水、吃食物、嬉戏和进行剧烈运动,保持机房安静。

3.6.严禁在机房计算机设备上做与工作无关的事情(如聊天、玩游戏),对外来存储设备(如U盘、移动硬盘等),做到先杀病毒后使用。

3.7.机房严禁乱拉接电源,应不定期对机房内设置的消防器材、烟雾报警、恒温设备进行检查,保障机房安全。

4、操作管理4.1.机房的工作人员不得擅自脱岗,遇特殊情况离开时,需经机房负责人同意方可离开。

4.2.机房工作人员在有公务离开岗位时,必须关闭显示器;离开岗位1 小时以上,必须关闭主机及供电电源。

ISO27001-2022程序文件之信息系统维护与监控管理程序

ISO27001-2022程序文件之信息系统维护与监控管理程序

18、信息系统维护与监控管理程序###-ISMS-0307-20231 目的为实施对公司信息系统维护与监控活动的控制,特制定本程序。

2 范围本程序规定了信息系统操作、应用需求及变更、可用性与故障处理、日志管理、监视与审计等控制要求。

3 职责3.1 技术部负责按照信息系统的维护与监控等。

3.2 各职能部门负责按照信息系统的控制策略执行。

4 程序4.1 系统操作的控制策略4.1.1 技术部负责建立《应用系统一览表》,明确系统管理的职责。

各应用系统必须确定相应的系统管理员。

系统管理员不能由安全管理员兼任。

4.1.2各部门应对系统实用程序的使用进行限制和严格控制,严禁使用改变应用系统的工具,只有经过总经理授权使用的系统管理员方可使用实用工具网管软件等,且必需服从网络安全管理员检查监督和管理。

并由技术部建立《系统实用工具一览表》。

4.1.3 信息系统的访问控制,应用系统应严格按《用户访问管理程序》执行。

禁止访问系统中应用程序的用户使用系统实用工具。

因未按《用户访问管理程序》授权的用户访问造成的信息安全事件,技术部领导负主要责任。

4.1.4 应用系统的用户必须遵守各应用系统的相关管理规定,必须服从技术部系统管理员的检查监督和管理。

因应用系统用户未按相应的应用管理程序使用系统造成的信息安全事件,应用系统用户负主要责任。

4.1.5 信息系统用户不得利用信息系统做任何危及本公司、部门、他人或其他无关的活动。

4.1.6 信息系统用户必须严格执行保密制度。

对各自的用户帐号负责,不得转借他人使用。

4.1.7 信息系统应有操作规程或使用手册,指导用户使用应用系统。

4.2 信息系统的应用需求及变更4.2.1 各部门对应用系统的应用需求变更(包括新安装、补丁、版本升级及更换)申请由部门负责人提出,技术部负责确定应用需求的技术可行性和技术实现。

在更改实施前,技术部填写《变更申请表》,明确更改的原因、更改范围、更改影响的分析及对策(包括不成功更改的恢复措施),经技术部负责人批准后予以实施。

ISO27001标准详解-文档资料

ISO27001标准详解-文档资料

2021/4/21
15
1 范围
1.1总则
本标准规定了在组织整体业务风险的范围内制定、实施、运 行、监控、评审、保持和改进文件化信息安全管理系统的要求
1.2应用
适用于各种类型、不同规模和提供不同产品的组织 可以考虑删减,但条款4、5、6、7和8是不能删减的
2021/4/21
16
2 引用标准
2021/4/21
4
ISO27001的内容
信息安全管理体系标准发展历史
ISO/IEC17799:2005。2002年9月5日,BS7799-2:2002正式发布,2002版标 准主要在结构上做了修订,引入了PDCA(Plan-Do-Check-Act)的过程管理模式,建 立了与ISO 9001、ISO 14001和OHSAS 18000等管理体系标准相同的结构和运行模 式。2005年,BS 7799-2: 2002正式转换为国际标准ISO/IEC27001:2005。
2021/4/21
7
形成文件的ISMS的益处
对外 增强顾客信心和满意 改善对安全方针及要求的符合性 提供竞争优势 对内
改善总体安全 管理并减少安全事件的影响 便利持续改进 提高员工动力与参与 提高盈利能力
2021/4/21
8
ISMS的持续改进
PDCA方法 纠正和预防措施 内部审核 ISMS管理评审
18
3术语和定义(续)
完整性
确保信息及其处理方法的准确性和完整性
信息安全
保护信息的保密性、完整性、可用性;另外也包括其他 属 性,如:真实性、可核查性、不可抵赖性和可靠性
信息安全事件
已识别出的发生的系统、服务或网络状态表明可能违反 信息安全策略或防护措施失效的事件,或以前未知的与安全 相关的情况
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

ISO27001变更管理控制程序
1 目的
为减少由变更所造成的问题对核心系统及其它基础环境的影响,将由变更所可能导致的服务中断对业务的影响降至最低,特制订本程序。

2 范围
本程序适用于IT基础架构、环境、系统、应用、人员等变更的管理。

3 相关文件
4 职责
4.1 变更需求部门人员负责提出变更请求,需求部门主管审批变更请求;
4.2网管人员(服务台负责人)及接到用户变更请求的系统管理员负责变更过程的策划,并提交相关领导审批;
4.3 信息科技部总经理负责重大变更的审批。

4.4 各系统负责人负责具体变更活动的实施。

5 程序
5.1 变更的范围
在本程序中对变更的定义为:可能影响到银行IT基础环境的一种物理或流程的改变,一般情况下,变更仅仅在必须的情况下才进行实施。

a)解决IT环境现有或未来存在的问题
b)为满足业务需求提供新的或修改的功能
本流程仅仅包括IT基础环境或与基础环境相连的系统,本变更管理流程也由此些内容组成:
a)针对物理设备的变更(e.g. 服务器,客户端,网络布线,网络设备,硬盘,路由器
等)
b)针对通讯和协议方面的变更(e.g. IP地址,相关变量设置等)
c)针对操作系统的变更,包括网络操作系统 (e.g. 安装,版本控制,系统设置等)
d) 应用开发上线前的变更
e) 任何由外部单位(如IBM )实施的可能会影响到银行IT 基础环境的变更必须严格按
照变更管理流程来执行。

5.2 变更分类
根据变更的重要性及变更的类别对变更进行分类。

a) 变更的重要性:与变更的紧急程度有关
b) 变更的类别:与变更对成品环境带来的影响和风险有关
5.2.1 变更的严重等级 严重等级
说 明 普通变更
根据需求日期和资源配置情况进行划分 重要变更
从业务角度有较高的优先级,不通过普通变更的窗口来执行 紧急变更 多个流程或单一业务受到影响或部分核心系统受到影响
5.2.2 变更类别
变更的类别是由如下两个方面来判断:
a) 影响: 变更对业务的影响 ,如服务的可用性
b) 风险: 变更的技术复杂性
下表显示了与这些参数相关的变更的分类: 影响 > 低 中 高
风险 低 低 低 中
中 低 中 高
高 中 高
高 影响评估
IT 变更影响被划分成高,中,低3个类别,变更失败对业务产生的影响是衡量影响的关键因素:。

相关文档
最新文档