ISO27001：2013恶意软件管理程序

XXXX有限公司信息安全管理手册ISO27001:2013 编制：审核：批准：信息安全管理手册目录1. 概述 (4)1.1 目的 (4)1.2 适用范围 (4)1.3 颁布令 (4)1.4 授权书 (5)2. 依据文件和术语 (6)2.1 依据文件 (6)2.2 术语定义 (6)3. 裁剪说明 (7)4. 组织环境 (8)4.1 组织环境描述 (8)4.2 信息安全相关方的需求和期望 (11)4.3 信息安全管理体系范围的确定 (11)4.4 体系概述 (12)5. 领导力 (14)5.1 领导力和承诺 (14)5.2 信息安全方针和目标 (14)5.3 组织角色、职责和权限 (15)6. 策划 (17)6.1 风险评估和处置.............................. 错误!未定义书签。

6.2 目标实现过程 (18)7. 支持 (20)7.1 资源提供 (20)7.2 能力管理 (20)7.3 意识培训 (20)7.4 信息安全沟通管理 (20)7.5 文件记录管理 (21)8. 运行 (24)8.1 体系策划与运行 (24)8.2 风险评估 (24)8.3 风险处置 (24)9. 绩效评价 (26)9.1 监视、测量、分析和评价...................... 错误!未定义书签。

9.2 内部审核 (27)9.3 管理评审 (28)10. 改进........................................ 3010.1 不符合和纠正措施 2810.2 持续改进 (28)11. 信息安全总体控制 (31)A.5信息安全策略 (31)A.6信息安全组织 (31)A.7人力资源安全 (35)A.8资产管理 (35)A.9访问控制 (35)A.10密码控制 (36)A.11物理和环境安全 (36)A.12操作安全 (36)A.13通信安全 (37)A.14系统获取、开发和维护 (37)A.15供应商关系 (38)A.16信息安全事故 (38)A.17业务连续性管理的信息安全方面 (38)A.18符合性 (38)附件一：信息安全组织架构映射表 (40)附件二：信息安全职责分配表 (40)1.概述为提高服务质量，规范管理活动，保障系统安全运行，提升人员安全意识水平，XXXXXX软件有限公司（以下简称“公司”）依据信息安全管理标准《GB/T 22080-2016/ISO/IEC 27001:2013 信息技术安全技术信息安全管理体系要求》的相关要求，结合自身业务系统实际运行安全需求，已建立实施了一套科学有效的信息安全管理体系，并通过体系的有效运行，实现持续改进，达到动态系统、全员参与、制度化的、以预防为主的信息安全管理方式。

XXXXXXXXX有限责任公司信息安全管理体系程序文件编号：XXXX-B-01～XXXX-B-41（符合ISO/IEC 27001-2013标准）拟编：信息安全小组日期：2015年02月01日审核：管代日期：2015年02月01日批准：批准人名日期：2015年02月01日发放编号: 01受控状态：受控2015年2月1日发布2015年2月1日实施[XXXX-B-01]信息安全风险管理程序[XXXX-B-02]文件控制程序[XXXX-B-03]记录控制程序[XXXX-B-04]纠正措施控制程序[XXXX-B-05]预防措施控制程序[XXXX-B-06]内部审核管理程序[XXXX-B-07]管理评审程序[XXXX-B-08]监视和测量管理程序A6[XXXX-B-09]远程工作管理程序A7[XXXX-B-10]人力资源管理程序A8[XXXX-B-11]商业秘密管理程序A8[XXXX-B-12]信息分类管理程序A8[XXXX-B-13]计算机管理程序A8[XXXX-B-14]可移动介质管理程序A9[XXXX-B-15]用户访问管理程序A9[XXXX-B-16]信息系统访问与监控管理程序A9[XXXX-B-17]信息系统应用管理程序A10[XXXX-B-18]账号密码控制程序A11[XXXX-B-19]安全区域管理程序A12.1.2[XXXX-B-20]变更管理程序A12.1.3[XXXX-B-21]容量管理程序A12.2.1[XXXX-B-22]恶意软件管理程序A12.3[XXXX-B-23]重要信息备份管理程序A12.6[XXXX-B-24]技术薄弱点管理程序A13[XXXX-B-25]电子邮件管理程序A13[XXXX-B-27]信息安全沟通协调管理程序A13[XXXX-B-28]信息交换管理程序A14.2.9[XXXX-B-29]信息系统验收管理程序A14.2[XXXX-B-30]信息系统开发建设管理程序A14[XXXX-B-31]软件开发管理程序A14[XXXX-B-32]数据安全管理程序A14[XXXX-B-33]OA管理程序A15.2[XXXX-B-34]第三方服务管理程序A15[XXXX-B-35]供应商管理程序A15[XXXX-B-36]相关方信息安全管理程序A16[XXXX-B-37]信息安全事件管理程序A17.2[XXXX-B-38]信息处理设施管理程序A17[XXXX-B-39]业务持续性管理程序A18[XXXX-B-40]信息安全法律法规管理程序A18[XXXX-B-41]知识产权管理程序XXXXXXXXX有限责任公司知识产权管理程序[XXXX-B-41]V1.0知识产权管理程序变更履历1 目的通过对知识产权的流程管理，规范整个知识产权管理工作，保证知识产权管理工作的每个环节的合理性、有效性和流畅，为组织的知识产权保护与管理奠定基础。

最新ISO27001：2013信息安全管理体系一整套文件(手册+程序)1.信息安全管理手册2.信息安全管理程序文件XXXXXX技术服务有限公司版本：A/0受控状态：XXXXXX技术服务有限公司信息安全管理手册(依据GB/T22080-2016)编制：文件编写小组审批： XXX版本：A/0受控状态：受控文件编号：LHXR-ANSC-20182018年4月20日发布 2018年4月20日实施管理手册修改记录页：序号修改原因修改内容版本日期修改者审核者目录0.1 颁布令 (5)0.2 管理者代表任命书 (6)0.3关于成立管理体系工作小组的决定 (7)0.4 公司简介 (8)0.5 组织结构 (8)0.6 信息安全方针与目标 (9)1.0 信息安全方针 (9)2.0 信息安全目标 (9)1.0 范围 (9)1.1 总则 (9)1.2 适用范围 (10)1.3 删减说明 (10)2.0规范性引用文件 (10)3.0 术语与定义 (11)3.3计算机病毒 (11)3.15 相关方 (12)3.16本公司 (12)3.17管理体系 (12)4.0 组织环境 (12)4.1理解组织及其环境 (12)4.2利益相关方的需求和期望 (13)4.3确定信息安全管理体系范围 (13)4.4信息安全管理体系 (14)5.0 领导力 (14)5.1领导和承诺 (14)5.2方针 (15)5.3组织的角色、责任和权限 (15)6.0 规划 (18)6.1 应对风险和机会的措施 (18)6.2 信息安全目标及其实现规划 (20)7.0 支持 (20)7.1资源 (20)7.2能力 (21)7.3意识 (21)7.4沟通 (21)7.5文件化信息 (22)8.0 运行 (24)8.1运行规划和控制 (24)8.2信息安全风险评估 (25)8.3信息安全风险处置 (25)9.0 绩效评价 (25)9.1 监视、测量、分析和评价 (25)9.2 内部审核 (25)9.3 管理评审 (26)10.0 改进 (28)10.1不符合及纠正措施 (28)10.2 持续改进 (29)附1信息安全管理体系职责对照表 (30)0.1 颁布令为提高XXXXXX技术服务有限公司的信息安全管理水平，保障我公司业务活动的正常进行，防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失，我公司于2018年4月开展贯彻GB/T22080-2016《信息技术-安全技术-信息安全管理体系要求》国际标准工作，建立、实施和持续改进文件化的信息安全管理体系，制定了XXXXXX技术服务有限公司《信息安全管理手册》。

XXXXXX软件有限公司人性化科技提升业绩软件开发安全管理办法目录1.目的 (2)2.适用范围 (2)3.依据标准和文件 (2)4.职责分工 (2)5.术语和定义 (3)6. 管理细则 (3)6.1.开发条件及方式 (3)6.2.软件开发项目管理 (3)6.3.开发安全管理 (4)1.目的为规范公司的开发管理，进一步加强应用系统软件开发过程及开发交付的安全性，特制定本管理办法。

2. 适用范围适用于公司软件开发过程的安全管理。

3. 依据标准和文件GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》GB/T 22081-2016/ISO/IEC 27002:2013《信息技术安全技术信息安全管理实用规则》4. 职责分工信息安全工作小组：负责组织编写并推广本管理办法；各开发部各产品（项目）或系统开发组：负责软件开发。

测试部：开发完成后的测试和试运行。

系统服务部：正式运行的维护工作。

5. 术语和定义1)缓冲区溢出：指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数据上；通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，造成程序崩溃或使程序转而执行其它指令，以达到攻击的目的。

2)静态代码分析：指在不运行代码的方式下，通过词法分析、语法分析、控制流分析等技术对程序代码进行扫描，验证代码是否满足规范性、安全可靠性、可维护性等指标的一种代码分析技术。

6. 管理细则6.1. 开发条件及方式6.1.1.开发条件符合开发条件的软件项目应该是能够有效利用现有的资源，开拓新业务；或能有效地提高生产效率，减少工作中机械繁琐操作的项目。

6.1.2. 开发方式软件开发可以采用下列三种开发方式之一：a)自主开发：由需求部门或公司自主开发。

6.2. 软件开发项目管理软件开发项目的整体流程包括项目建议及审批、需求分析、系统设计、系统实现、测试及试运行、系统验收、上线运行维护升级等阶段。

ISO/IEC 27001:2013(CN)国际标准ISO/IEC 27001第二版2013－10－19信息技术-安全技术 -信息安全管理体系 -要求Information technology- Security techniques -Information securitymanagement systems-Requirements目录1 范围 (5)2 规范性引用文件 (5)3 术语和定义 (5)4 组织环境 (5)4.1 理解组织及其环境 (5)4.2 理解相关方的需求和期望 (5)4.3 确定信息安全管理体系的范围 (5)4.4 信息安全管理体系 (6)5 领导 (6)5.1 领导和承诺 (6)5.2 方针 (6)5.3 组织角色、职责和权限 (7)6 规划 (7)6.1 应对风险和机会的措施 (7)6.1.1总则 (7)6.1.2信息安全风险评估 (7)6.1.3信息安全风险处置 (8)6.2 信息安全目标和规划实现 (8)7 支持 (9)7.1 资源 (9)7.2 能力 (9)7.3 意识 (9)7.4 沟通 (10)7.5 文件记录信息 (10)7.5.1总则 (10)7.5.2创建和更新 (10)7.5.3文件记录信息的控制 (10)8 运行 (11)8.1 运行的规划和控制 (11)8.2 信息安全风险评估 (11)8.3 信息安全风险处置 (11)9 绩效评价 (11)9.1 监视、测量、分析和评价 (11)9.2 内部审核 (12)9.3 管理评审 (12)10 改进 (13)10.1 不符合和纠正措施 (13)10.2 持续改进 (14)附录A（规范性附录）参考控制目标和控制措施 (15)参考文献 (23)ISO（国际标准化组织）和 IEC（国际电工委员会）是为国际标准化制定专门体制的国际组织。

国家机构是 ISO或IEC的成员，他们通过各自的组织建立技术委员会参与国际标准的制定，来处理特定领域的技术活动。

文件制修订记录1、适用本程序适用于公司信息安全事故、事件、薄弱点、故障和风险处置的管理。

2、目的为建立一个适当信息安全事故、事件、薄弱点、故障风险处置的报告、反应与处理机制，减少信息安全事故和故障所造成的损失，采取有效的纠正与预防措施，正确处置已经评价出的风险，特制定本程序。

3、职责各系统归口管理运营部主管相关的安全风险的调查、处理及纠正措施管理。

各系统使用人员负责相关系统安全事故、事件、薄弱点、故障和风险的评价、处置报告。

各系统信息安全归口部门如下：管理运营部：负责火灾、雷击、供电、盗窃、洪水等相关的信息安全风险的整体调查、处理和纠正措施管理。

智慧城市事业部：负责服务器等相关的信息安全风险的整体调查、处理和纠正措施管理。

负责路由器、交换机等网络设备等相关的信息安全风险的整体调查、处理和纠正措施管理。

4、程序4.1信息安全事件定义与分类4.1.1信息安全事件的定义：由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或对社会造成负面影响的事件。

4.1.2信息安全事件分类规范4.1.2.1有害程序事件有害程序事件是指蓄意制造、传播有害程序，或是因受到有害程序的影响而导致的信息安全事件。

有害程序是指插入到信息系统中的一段程序，有害程序危害系统中数据、应用程序或操作系统的保密性、完整性或可用性，或影响信息系统的正常运行。

有害程序事件包括计算机病毒事件、蠕虫事件、木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其它有害程序事件等7个第二层分类。

4.1.2.2网络攻击事件网络攻击事件是指通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。

网络攻击事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件等7个第二层分类。

360杀毒规范为了更好的保障企业网络安全，公司决定从即日起全面安装部署360杀毒软件安全套装。

由于金山杀毒软件与公司某些软件冲突，因此决定统一安装360。

对于已经安装了360杀毒软件和360安全卫士的电脑，只需要升级病毒库、清理系统就可以了。

另外，如果有安装了公司以前的MSE 微点杀毒软件的也可以不用安装360，财务部的同事需要安装专门的杀毒软件，也不用安装360杀毒软件。

您可以下载附件“360软件包”，把它下载到C盘之外的盘（如D盘、E盘、Ｆ盘都可以），然后解压文件包。

解压方法：右击“360软件包”，选择“解压到当前文件夹”，如图示：。

“360软件包”包括360杀毒软件、360安全卫士、360安全浏览器和360病毒库升级包，须2天之内下载并安装，第3天网络管理员将检查所有电脑，对于没按要求执行的人员，将按公司相关制度进行处罚！下面是这三个软件的安装、设置和具体的操作步骤：一、360杀毒软件１、双击下载下来的“３６０杀毒软件”，点击“下一步”，安装完成！２、（1）双击电脑右下角的３６０杀毒软件图标，点击出现的界面的右下角的“切换到专业模式”，选择“产品升级”。

产品升级完成后再点击“产品升级”里面的“检查更新”，点击“确定”进行更新。

（2）如果出现病毒库升级失败，请双击“360病毒库升级包”，选择“是”进行升级（3）检查“”是不是最新的，如果不是，请再点击“检查更新”，直到病毒库是最新的为止3、（1）在360杀毒界面检查“病毒查杀”右下角的“查杀引擎状态：五引擎”是否都开启了，没开启的话点击“开启”（2）点击“实时保护”，把“入口防御”“隔离防御”“系统防御”的各个选项都开启，如下图所示：二、360安全卫士1、双击下载下来的“３６０安全卫士”，点击“是”，安装完成！2、运行“电脑体检”，选择“立即修复”。

3、点击“清理插件”，选择“扫描”，清理掉红颜色字体的差评插件，对于不清楚的插件不要清理。

电脑知识较好的可以自行选择清理。

防范恶意代码管理规范目录1 前言 (2)2 恶意代码种类 (2)3 恶意代码防范方案举例 (2)3.1 IE主页被篡改 (2)3.2 IE默认页被篡改 (5)3.3格式化硬盘 (6)3.4 注册表和IE设置被篡改 (6)4恶意代码三级防范机制 (7)4.1 恶意代码初级安全设置与防范 (7)4.2 恶意代码中级安全设置与防范 (8)4.3 恶意代码高级安全设置与防范 (9)5小结 (10)1 前言目前，恶意代码问题成为信息安全需要解决的，迫在眉睫的、刻不容缓的安全问题。

在Internet安全事件中，恶意代码造成的经济损失占有最大的比例。

恶意代码主要包括计算机病毒（Virus）、蠕虫（Worm）、木马程序（Trojan Horse）、后门程序（Backdoor）、逻辑炸弹（Logic Bomb）等等。

与此同时，恶意代码成为信息战、网络战的重要手段。

日益严重的恶意代码问题，不仅使企业及用户蒙受了巨大经济损失，而且使国家的安全面临着严重威胁。

2 恶意代码种类常见的恶意代码有计算机病毒网络蠕虫逻辑炸弹特洛伊木马漏洞利用下载器/流氓软件玩笑程序流氓软件网页脚本等。

网页恶意代码的攻击形式是基于网页的，如果你打开了带有恶意代码的网页，你所执行的操作就不单是浏览网页了，甚至还有可能伴随有病毒的原体软件下载，或木马下载，以达到修改注册表等目的。

一般形式有：修改默认首页、修改默认的微软主页、将主页的设置屏蔽，使用户对主页的设置无效、修改默认IE搜索引擎、对IE标题栏添加非法信息、在鼠标右键快捷菜单中添加非法网站广告链接、使鼠标右键快捷菜单的功能禁止失常、在IE收藏夹中强行添加非法网站的地址链接、在IE工具栏中强行添加按钮、锁定地址下拉菜单及其添加文字信、用IE"查看"菜单下的"源文件"选项。

3 恶意代码防范方案举例为此我们需要针对网页恶意代码攻击的具体形式制定防范方案。

3.1 IE主页被篡改篡改IE主页：打开IE浏览器打开的并不是以前设置的主页。

xx电子商务技术有限公司版本：A各部门信息安全管理职责JSWLS/IP-40-2009编制：xx审核：xx批准：xx2009-6-28发布2009-7-1实施xx电子商务技术有限公司发布xx电子商务技术编号：JSWLS/IP-40-2009有限公司程序文件版次：A/0程序文件修改控制序号版次修改章节修改人审核人批准人修改日期程序文件版次：A/0各部门信息安全管理职责1 总经理（1）负责组织建立公司信息安全管理体系。

（2）负责制定、发布公司信息安全方针。

（3）负责组织各部门定期评审、更新公司信息安全方针。

（4）负责向公司员工和外部提出信息安全管理承诺。

（5）负责实施公司信息安全资源的配置。

（6）负责公司信息安全管理体系评审工作。

（7）负责组织公司信息安全管理体系持续改进工作。

（8）负责公司信息安全管理体系内部协调工作。

（9）负责公司各部门信息安全管理职责的审批工作。

（10）负责组织公司信息安全管理体系符合安全策略和标准。

（11）负责组建公司信息安全管理委员会。

（12）负责任命公司信息安全管理者代表。

2 管理者代表（1）协助总经理建立公司信息安全管理体系。

（2）协助总经理制定、发布公司信息安全方针。

（3）协助总经理组织各部门定期评审、更新公司信息安全方针。

（4）协助总经理向公司员工和外部提出信息安全管理承诺。

（5）协助总经理实施公司信息安全资源的配置。

（6）协助总经理公司信息安全管理体系评审工作。

（7）协助总经理组织公司信息安全管理体系持续改进工作。

（8）协助总经理公司信息安全管理体系内部协调工作。

（9）协助总经理公司各部门信息安全管理职责的审批工作。

（10）协助总经理组织公司信息安全管理体系符合安全策略和标准。

程序文件版次：A/0（11）负责主持公司信息安全管理体系内部审核工作。

3 信息安全管理委员会（1）负责实施公司信息安全管理体系风险评估。

（2）负责根据风险评估制定相关措施。

（3）负责建立公司适用性声明。

XXXXXXXXX有限责任公司信息安全风险管理程序[XXXX-B-01]V1.0变更履历1 目的为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式，将信息安全风险控制在可接受的水平，特制定本程序。

2 范围本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。

3 职责3.1 综合部负责牵头成立风险评估小组。

3.2 风险评估小组负责编制《信息安全风险评估计划》，确认评估结果，形成《信息安全风险评估报告》。

3.3 各部门负责本部门使用或管理的资产的识别和风险评估，并负责本部门所涉及的资产的具体安全控制工作。

4 相关文件《信息安全管理手册》《商业秘密管理程序》5 程序5.1 风险评估前准备5.1.1 成立风险评估小组综合部牵头成立风险评估小组，小组成员应包含信息安全重要责任部门的成员。

5.1.2 制定计划风险评估小组制定《信息安全风险评估计划》,下发各部门。

5.2 资产赋值5.2.1 部门赋值各部门风险评估小组成员识别本部门资产，并进行资产赋值。

5.2.2 赋值计算资产赋值的过程是对资产在保密性、完整性、可用性和法律法规合同上的达成程度进行分析，并在此基础上得出综合结果的过程。

5.2.3 保密性(C)赋值根据资产在保密性上的不同要求，将其分为五个不同的等级，分别对应资产在保密性上的应达成的不同程度或者保密性缺失时对整个组织的影响。

保密性分类赋值方法5.2.4 完整性(I)赋值根据资产在完整性上的不同要求，将其分为五个不同的等级，分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。

完整性(I)赋值的方法5.2.5 可用性(A)赋值根据资产在可用性上的不同要求，将其分为五个不同的等级，分别对应资产在可用性上的达成的不同程度。

可用性(A)赋值的方法5.2.6 法规合同符合性(L)赋值根据资产在法律、法规、合同协议符合性上的不同要求，将其分为五个不同的等级，分别对应资产在符合法律、法律、上级规定、合同协议的不同程度。

XXXXXX软件有限公司人性化科技提升业绩软件管理规定目录1. 目的和范围 (2)2. 引用文件 (2)3. 职责和权限 (2)4. 软件管理 (2)4.1.收集 (2)4.2.登记 (2)4.3.商业软件的归档和存放 (2)4.4.开源软件的管理 (3)4.5.软件使用 (5)5 相关记录 (5)目的和范围为加强公司设备安装软件的管理，特制定本规定。

1.引用文件2.职责和权限1）系统服务部：是办公软件的归口管理部门，负责每个季度对公司办公软件的安装情况进行检查。

2）各开发和测试部：是开发类软件的管理部门。

3.软件管理4.1. 收集公司内软件来源主要有以下几个方面：a)购买商业软件；b)自主开发的内部应用软件；c)免费软件的下载；d)系统服务部分发的办公软件。

4.2. 登记信息安全工作小组登记分发的办公软件、公司购买的商业软件的安装情况。

各部门负责《电脑防病毒及软件表》的填写。

4.3. 商业软件的归档和存放1)购买的商业软件由公司自行归档和存放。

2)购买的商业软件统一存放于指定位置。

磁盘文件存放于指定存储空间中，由专人负责整理，各软件建立独立的文件夹，标识明确清晰，并做好软件的备份工作。

光盘统一存放入文件柜中，并有明显易辨认的标识，便于整理和取用。

4.4. 开源软件的管理4.4.1开源软件的选择依据：(1)开源协议谨慎使用GPL 协议，GPL 协议规定使用了该开源库的代码也必须遵循GPL 协议，即开源和免费。

(2) 功能、文档、稳定性、扩展性功能是否能满足业务需求，是否足够稳定(稳定性测试)、文档是否齐全、扩展性是否足够。

性能要求较高库需要性能对比测试。

(3) 源码修改a. 个性化业务带来的修改尽量使用Wrap 方式，而不要直接改源码。

实在绕不开，可在Git上打上Tag，并注明详细原因。

b. 通用需求的修改按源项目要求修改代码，反馈回开源社区，请求合并进主分支。

源代码修改原则：不要让clone的副本变成孤岛。

文件控制制度目录1.目的和范围 (3)2.引用文件 (3)3.职责和权限 (3)4.管理内容及控制要求 (3)4.1文件的分类 (3)4.2文件编制 (3)4.3文件标识 (4)4.4文件的发放 (5)4.5文件的控制 (5)4.6文件的更改 (5)4.6.1文件更改申请 (5)4.6.2文件更改的审批或评审 (5)4.6.3文件更改的实施 (6)4.6.4版本控制 (6)4.7文件的评审 (6)4.8文件的作废 (6)4.9外来文件的管理 (6)4.10文件的归档 (6)5.相关记录 (7)1.目的和范围为了有效控制信息安全管理体系文件，对文件的编制、审核、批准、标识、发放、管理、使用、评审、更改、修订、作废等过程实施有效控制，确保部门使用现行的有效版本，特制订本制度。

本制度适用于信息安全管理体系文件的管理。

2. 引用文件1)《合规性实施制度》2)《信息资产分类分级管理制度》3.职责和权限1)总经办是信息安全管理体系文件的归口部门，负责信息安全有关的所有文件的管理与控制。

2)各部门：负责本部门信息安全管理文件的管理与控制。

4.管理内容及控制要求4.1文件的分类信息安全管理体系文件主要包括：1)第一层：信息安全管理手册、信息安全目标、信息安全适用性声明（SOA）、信息安全策略；2)第二层：制度文件；3)第三层：各管理规定、管理办法、流程、作业指导书（指南）及外来文件等；4)第四层：记录、表单。

记录控制执行《记录控制制度》。

4.2文件编制文件编制要有充分的依据，体现系统协调，可操作、可检查的原则。

1)第一层：信息安全管理手册由体系负责人组织编写，信息安全管理者代表审核，总经理批准发布。

2)第二、三层：由相关责任部门编写，信息安全管理者代表审核，总经理批准发布。

3)第四层：由相关责任部门编写，文档负责人审批，信息安全管理者代表批准发布。

4.3文件标识所有文件必须有明确的标识，包括：文件的名称、编号、版本号、密级标识等。

ISO27001：2013源代码安全管理规范源代码安全管理规范目录一、管理目标41、保证源代码和开发文档的完整性。

42、规范源代码的授权获取、复制、传播。

43、提高技术人员及管理人员对源代码及开发文档损伤、丢失、被恶意获取、复制、传播的风险安全防范意识。

44、管控项目程序开发过程中存在的相关安全风险。

4二、定性指标41、源代码库必须包括工作库、受控库、项目库和产品库。

(4)2、保证开发人员工作目录及其代码与工作库保存的版本相一致。

43、开发人员要遵守修改过程完成后立即入库的原则。

44、有完善的检查机制。

45、有完善的备份机制。

46、有生成版本的规则。

47、生成的版本要进行完整性和可用性测试。

48、对开发人员和管理人员要有源代码安全管理培训49、对开发人员和管理人员访问代码要有相应的权限管理410、源代码保存服务器要有安全权限控制。

411、控制开发环境网络访问权限。

4第1页共16页内部公开三、管理策略41、建立管理组织结构42、制定管理规范43、制定评审标准54、执行管理监督5四、组织结构51、源代码的管理相关方52、组织职责53、与职能机构的协同管理84、应维护与特定相关方、其他专业安全论坛和专业协会的适当联系。

8五、管理制度（见文档《源代码安全管理制度.docx》）8六、管理流程81、服务器部署流程82、源代码管理软件配置流程93、源代码创建修改流程94、版本控制流程105、源代码测试流程（组件测试）116、组件发布流程117、软件发布流程128、项目人员获取版本流程129、夕卜部借阅流程1210、源代码目录工作状态安全监控流程1311、源代码目录和项目权限安全监控流程1312、与源代码相关人员离职审查流程13七、表单141、见B07离职交接表单142、见B09《重要应用系统权限评审表》143、见（B09）《重要服务器-应用系统清单》144、外部借阅审批表145、软件获取申请表146、信息安全规范检查记录表15一、管理目标1、保证源代码和开发文档的完整性。

编写委员会信息安全管理手册GLSC2020第A/0版编写：审核：批准：受控状态：XXX网络科技有限公司发布时间：2020年9月1日实施时间：2020年9月1日01目录02修订页03颁布令为提高我公司的信息安全管理水平,保障公司和客户信息安全，依据GB/T 2 2080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》结合本公司实际，特制定信息安全管理手册（以下简称“管理手册”）A/0版。

《管理手册》阐述了公司信息安全管理，并对公司管理体系提出了具体要求，引用了文件化程序，是公司管理体系的法规性文件，它是指导公司建立并实施管理体系的纲领和行动准则，也是公司对所有社会、客户的承诺。

《管理手册》是由公司管理者代表负责组织编写，经公司总经理审核批准实施。

《管理手册》A/0版于2020年9月1日发布，并自颁布日起实施。

本公司全体员工务必认真学习,并严格贯彻执行，确保公司信息安全管理体系运行有效，实现信息安全管理目标，促使公司信息安全管理工作得到持续改进和不断发展。

在贯彻《管理手册》中，如发现问题，请及时反馈，以利于进一步修改完善。

授权综合部为本《管理手册》A/0版的管理部门。

XXX网络科技有限公司总经理：2020年9月1日04任命书为了贯彻执行GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》，加强对管理体系运作的领导，特任命gary为本公司的信息安全管理者代表。

除履行原有职责外，还具有以下的职责和权限如下：（1）确保信息安全管理体系的建立、实施、保持和更新；进行资产识别和风险评估。

（2）向最高管理者报告管理体系的有效性和适宜性，并作为评审依据用于体系的改进；（3）负责与信息安全管理体系有关的协调和联络工作；（4）负责确保管理手册的宣传贯彻工作；（5）负责管理体系运行及持续改进活动的日常督导；（6）负责加强对员工的思想教育和业务、技术培训，提高员工信息安全风险意识；（7）主持公司内部审核活动，任命内部审核人员；（8）代表公司就公司管理体系有关事宜与外部进行联络。

软件管理办法更改控制页目录1目的 (1)2范围 (1)3术语定义 (1)4内容 (1)5相关文件 (2)6相关记录 (2)1目的本办法旨在保护软件和信息的完整性，预防病毒与各种恶意软件的入侵。

2范围适用于xxx全体员工和第三方相关人员。

3术语定义软件：包括操作系统，办公软件，业务相关的信息系统软件、工具软件，开发及数据库软件等。

恶意软件：恶意软件是指包括电脑病毒、蠕虫、木马、间谍软件、恶意广告等在内的对使用者的电脑产生危害的软件。

4内容1)软件采购后应该登记软件名、版本、厂商、购买日期。

软件许可证由专人保管，许可证不得私自在公司之外的任何地方使用。

2)在软件介质的包装上标明软件的名称、版本、序列号。

3)任何人员不得使用盗版软件。

4)公司所有员工应该安装统一的防病毒软件；且禁止停止或卸载防病毒软件。

5)公司员工都有义务积极防御恶意软件对信息和系统的破坏。

6)公司所有的软件安装文件及安装光盘应该由网关统一的存放，特别是系统监控和管理工具、安全扫描工具，以防止非授权使用；7)软件安装后应对安装的计算机进行登记。

8)需要临时使用非正常工作的软件时，需填写《软件安装申请单》，经批准后由网管分发软件安装文件。

9)软件安装时，重要信息备份，核对软件与系统的兼容性，核对软件许可证，确认系统硬盘空间，安装完成后重新启动，简单培训软件的使用方法，更新软件登记相关项。

10)在软件升级时，要事先对升级软件进行测试。

11)定期整理计算机，将不再使用的软件从计算机卸载。

12)禁止对计算机软件进行非授权的复制、分发、使用及反编译。

5相关文件无6相关记录《软件安装申请单》。

XXXXXXXXX有限责任公司恶意软件管理程序[XXXX-B-22]V1.0发布日期2015年02月01日发布部门信息安全小组实施日期2015年02月01日变更履历版本变更履历变更人/变更日期审核人/审核日期批准人/批准日期1.0 初次发布i1 目的为防止各类恶意软件造成破坏，确保组织的信息系统、软件和信息的保密性、完整性与可用性，特制定本程序。

2 范围本程序适用于本组织各部门对防范恶意软件的工作管理。

所谓恶意软件，是指编制或者在计算机程序中插入的破坏计算机功能、毁坏数据、窃取数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码，主要是指各类计算机病毒。

3 职责3.1技术部技术部是组织内恶意软件管理控制工作的主管部门，负责组织内防病毒软件的安装及病毒库的更新管理，为各部门信息处理设施的防范恶意软件提供技术性支持。

3.2 其他各部门具体负责本部门信息处理设施的病毒清杀及其它预防措施的实施。

4 相关文件《信息安全管理手册》《重要信息备份管理程序》《计算机管理程序》5 程序5.1 恶意软件的防范措施恶意软件的防范措施主要是安装防火墙、入侵检测系统、使用加密程序和安装杀病毒软件。

a)在对外互联的网络间，技术部安装防火墙、入侵检测系统、使用加密程序，同时在服务器和客户端上安装杀病毒软件。

各部门应根据技术部的安排，从指定的网络服1务器上安装企业版防病毒软件；单独成网或存在单机的部门，应由本部门PC管理员或指定专人负责安装防病毒软件，并周期性（如每周)对病毒库进行升级。

b)技术部负责设置企业版防病毒服务器，每日通过互联网自动进行病毒库的更新升级。

技术部负责各类系统的补丁升级。

c)各部门联网微机接受本组织防病毒服务器的管理，在每次开机时自动从防病毒服务器上下载最新病毒库。

d)特殊情况，如某种新恶性病毒大规模爆发，技术部系统管理员应立即升级病毒库，并紧急通知组织内各部门立即进行病毒库更新升级，同时立即进行病毒扫描，并对病毒情况汇报部门经理。