ISO27001：2013防范恶意恶意代码管理规范

XXXXXXXXX有限责任公司信息安全管理体系程序文件编号：XXXX-B-01～XXXX-B-41（符合ISO/IEC 27001-2013标准）拟编：信息安全小组日期：2015年02月01日审核：管代日期：2015年02月01日批准：批准人名日期：2015年02月01日发放编号: 01受控状态：受控2015年2月1日发布2015年2月1日实施[XXXX-B-01]信息安全风险管理程序[XXXX-B-02]文件控制程序[XXXX-B-03]记录控制程序[XXXX-B-04]纠正措施控制程序[XXXX-B-05]预防措施控制程序[XXXX-B-06]内部审核管理程序[XXXX-B-07]管理评审程序[XXXX-B-08]监视和测量管理程序A6[XXXX-B-09]远程工作管理程序A7[XXXX-B-10]人力资源管理程序A8[XXXX-B-11]商业秘密管理程序A8[XXXX-B-12]信息分类管理程序A8[XXXX-B-13]计算机管理程序A8[XXXX-B-14]可移动介质管理程序A9[XXXX-B-15]用户访问管理程序A9[XXXX-B-16]信息系统访问与监控管理程序A9[XXXX-B-17]信息系统应用管理程序A10[XXXX-B-18]账号密码控制程序A11[XXXX-B-19]安全区域管理程序A12.1.2[XXXX-B-20]变更管理程序A12.1.3[XXXX-B-21]容量管理程序A12.2.1[XXXX-B-22]恶意软件管理程序A12.3[XXXX-B-23]重要信息备份管理程序A12.6[XXXX-B-24]技术薄弱点管理程序A13[XXXX-B-25]电子邮件管理程序A13[XXXX-B-27]信息安全沟通协调管理程序A13[XXXX-B-28]信息交换管理程序A14.2.9[XXXX-B-29]信息系统验收管理程序A14.2[XXXX-B-30]信息系统开发建设管理程序A14[XXXX-B-31]软件开发管理程序A14[XXXX-B-32]数据安全管理程序A14[XXXX-B-33]OA管理程序A15.2[XXXX-B-34]第三方服务管理程序A15[XXXX-B-35]供应商管理程序A15[XXXX-B-36]相关方信息安全管理程序A16[XXXX-B-37]信息安全事件管理程序A17.2[XXXX-B-38]信息处理设施管理程序A17[XXXX-B-39]业务持续性管理程序A18[XXXX-B-40]信息安全法律法规管理程序A18[XXXX-B-41]知识产权管理程序XXXXXXXXX有限责任公司知识产权管理程序[XXXX-B-41]V1.0知识产权管理程序变更履历1 目的通过对知识产权的流程管理，规范整个知识产权管理工作，保证知识产权管理工作的每个环节的合理性、有效性和流畅，为组织的知识产权保护与管理奠定基础。

信息系统安全管理规范1、目标此文档用于规范公司业务系统的安全管理，安全管理所达到的目标如下：确保业务系统中所有数据及文件的有效保护，未经许可的用户无法访问数据。

对用户权限进行合理规划，使系统在安全状态下满足工作的需求。

2、机房访问控制机房做为设备的集中地，对于进入有严格的要求。

只有公司指定的系统管理员及数据库管理员才有权限申请进入机房。

系统管理员及数据库管理员因工作需要进入机房前必须经过公司书面批准。

严格遵守机房管理制度。

3、操作系统访问控制保护系统数据安全的第一道防线是保障网络访问的安全，不允许未经许可的用户进入到公司网络中。

第二道防线就是要控制存放数据及应用文件的主机系统不能被未经许可的用户直接访问。

为防止主机系统被不安全访问，采取以下措施：操作系统级的超级管理用户口令、数据库管理用户口令、应用管理用户口令只能由系统管理员设定并经办公室审核，１个月做一次修改，口令要向其他人员保密。

在应用系统实施阶段，考虑到应用软件提供商需要对自己的产品进行调试，可以在调试时将应用管理用户口令暂时开放给应用软件提供商；调试一结束系统管理员马上更改口令。

对口令设定必需满足以下规范：5、数据库访问控制为有效的保障业务数据的安全，采取以下措施：数据库内具有较高权限的管理用户口令由办公室数据库管理员设定，并由办公室审核，不能向其他人开放。

口令必须１个月做一次修改。

业务系统后台数据库对象创建用户的口令由数据库管理员设定，由技术研发部审核。

不能向其他人开放。

口令必须1个月做一次修改。

对口令设定必需满足以下规范：根据操作需求，在数据库中分别建立对业务数据只有“增、删、改”权限的用户；对业务数据只有“查询”权限的用户。

不同的操作需求开放不同权限的用户。

除技术研发部的人员外，其他部门的任何人员均没有权限从后台数据库直接进行数据的“增、删、改”操作对于业务必须的后台job或批处理，必须由技术研发部人员执行。

6、应用系统访问控制应用系统访问依靠系统内部定义的操作用户权限来控制，操作用户权限控制到菜单一级，对于操作用户的安全管理有如下规范：所有应用级的操作用户及初始口令统一由技术研发部设定，以个人邮件的形式分别发给各部门的操作人员。

恶意代码防范管理规范文件编号：EYDM编制：运维部门审核：批准：版本：A1.0发布日期：1.目的在信息系统常遇到的安全事件中，由恶意代码带来的威胁最为常见，且信息系统的应用中众多的途径都可能引入恶意代码，给组织带来安全风险。

为了确保信息系统安全，特制定本防范管理规范。

2.使用范围适用于本公司恶意代码防范管理。

3.职责由运维部门负责此规定的执行。

4.管理规定4.1.管理规范（1）运维部门对恶意代码等安全相关事项进行集中管理。

（2）系统管理员对于重大操作系统漏洞以及集中病毒爆发提出预警。

通过内网发布或邮件电话等方式通知客户端及时采取必要措施，并记录相关信息。

（3）所有用户均应关注病毒警告，及时升级病毒软件。

（4）在读取移动存储设备上的数据以及网络上接收文件或邮件之前，先进行病毒检查，对外来计算机或存储设备接入网络系统之前也应进行病毒检查；（5）系统管理员负责对服务器进行恶意代码检测并保存检测记录；网络管理员对网络进行恶意代码检测并保存检测记录。

（6）应每个季度检查信息系统内各种产品的恶意代码库的升级情况并进行记录，对主机防病毒产品上截获的危险病毒或恶意代码进行及时分析处理。

4.2.管理流程4.2.1.服务器防恶意代码（1）使用正版软件，每月更新补丁。

（2）应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库。

（3）应支持防恶意代码的统一管理。

（4）能够检测对重要服务器的入侵行为。

记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间。

4.2.2.客户端病毒防护（1）使用正版软件，每月更新补丁，修复操作系统及软件漏洞。

（2）所有客户端均应安装防病毒软件。

（3）客户端应每天更新防病毒软件及病毒库。

（4）客户端机器不执行与工作无关的操作，不访问与工作无关的网站。

（5）所有接入系统的移动存储介质、计算机以及邮件均应先查杀病毒后方可使用。

（6）发现病毒应及时上报运维部门。

4.2.3.软件开发管理（1）应严格根据开发需求检测软件质量；（2）应在软件安装之前检测软件包中可能存在的恶意代码或由开发商承诺软件中无恶意代码；（3）应要求开发商提供软件设计的相关文档和使用指南；（4）重要系统应要求开发商提供软件源代码。

Information technology- Security techniques-Information security management systems-Requirements 信息技术-安全技术-信息安全管理体系-要求Foreword前言ISO (the International Organization for Standardization) and IEC (the International Electro technical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.ISO（国际标准化组织）和IEC（国际电工委员会）是为国际标准化制定专门体制的国际组织。

iso27001标准2013版ISO27001标准2013版。

ISO27001标准是国际标准化组织（ISO）发布的信息安全管理体系标准，旨在帮助组织建立、实施、运行、监控、审查、维护和改进信息安全管理体系。

2013年版的ISO27001标准是对2005年版的修订和更新，以适应当今信息安全环境的变化和发展。

本文将对ISO27001标准2013版进行详细介绍，包括标准的背景、内容要点和实施方法。

ISO27001标准2013版的背景。

ISO27001标准的制定是为了应对信息安全威胁的不断增加，保护组织的信息资产免受各种威胁和风险。

随着互联网的普及和信息技术的发展，信息安全已成为组织面临的重大挑战。

因此，ISO27001标准的修订和更新是必要的，以使其更好地适应当前的信息安全需求。

ISO27001标准2013版的内容要点。

ISO27001标准2013版主要包括以下内容要点：1. 范围，明确了标准适用的范围，包括信息安全管理体系的建立、实施、运行、监控、审查、维护和改进。

2. 规范性引用，列出了与ISO27001标准相关的其他国际标准和文档。

3. 术语和定义，对一些关键术语和定义进行了详细解释，以便于标准的理解和应用。

4. 上下文分析，要求组织必须了解其内外部环境，明确信息安全管理体系的范围和目标。

5. 领导和承诺，要求组织的领导层必须承担信息安全管理的责任，并提供必要的资源支持。

6. 策划，要求组织必须制定信息安全政策、风险评估和风险处理计划。

7. 支持，要求组织必须提供必要的资源、培训和意识培养，以支持信息安全管理体系的实施和运行。

8. 运作，要求组织必须实施各种信息安全控制措施，以保护信息资产的安全。

9. 评价绩效，要求组织必须对信息安全管理体系进行定期的内部和外部审核，以确保其持续有效性。

10. 改进，要求组织必须不断改进信息安全管理体系，以适应不断变化的信息安全威胁和风险。

ISO27001标准2013版的实施方法。

网络安全管理制度为保证公司局域网能够安全可靠地运行，充分发挥信息服务方面的重要作用，更好地为员工提供服务。

现制定并发布《网络安全管理制度》。

1、所有网络设备（包括光纤、路由器、交换机、集线器等）均归系统集成部管辖，其安装、维护等操作由系统集成部工作人员进行。

其他任何人不得破坏或擅自维修。

2、所有计算机网络部分的扩展必须经过系统集成部实施或批准实施，未经许可任何部门不得私自连接交换机、集线器等网络设备，不得私自接入网络。

系统集成部有权拆除用户私自接入的网络线路并进行处罚措施。

3、各部门的联网工作必须事先报经系统集成部，由系统集成部做网络实施方案。

4、公司局域网的网络配置由系统集成部统一规划管理，其他任何人不得私自更改网络配置。

5、接入公司局域网的客户端计算机的网络配置由系统集成部部署的DHCP服务器统一管理分配，包括：用户计算机的IP地址、网关、DNS和WINS服务器地址等信息。

未经许可，任何人不得使用静态网络配置。

6、任何接入公司局域网的客户端计算机不得安装配置DHCP服务。

一经发现，将给予通报并交有关部门严肃处理。

7、网络安全：严格执行国家《网络安全管理制度》。

对在公司局域网上从事任何有悖网络法规活动者，将视其情节轻重交有关部门或公安机关处理。

8、公司员工具有信息保密的义务。

任何人不得利用计算机网络泄漏公司机密、技术资料和其它保密资料。

9、任何人不得在局域网络和互联网上发布有损公司形象和员工声誉的信息，不得扫描、攻击他人计算机，不得盗用、窃取他人资料、信息等。

10、为了避免或减少计算机病毒对系统、数据造成的影响，接入公司局域网的所有用户必须遵循以下规定：1）不得制作计算机病毒；不得故意传播计算机病毒，危害计算机信息系统安全；不得向他人提供含有计算机病毒的文件、软件、媒体等。

2）采取有效的计算机病毒安全技术防治措施。

建议客户端计算机安装使用瑞星杀毒软件和360安全卫士对病毒和木马进行查杀。

3）及时更新新版本杀病毒软件，检测、清除计算机中的病毒。

ISO27001：2013源代码安全管理规范源代码安全管理规范目录一、管理目标41、保证源代码和开发文档的完整性。

42、规范源代码的授权获取、复制、传播。

43、提高技术人员及管理人员对源代码及开发文档损伤、丢失、被恶意获取、复制、传播的风险安全防范意识。

44、管控项目程序开发过程中存在的相关安全风险。

4二、定性指标41、源代码库必须包括工作库、受控库、项目库和产品库。

(4)2、保证开发人员工作目录及其代码与工作库保存的版本相一致。

43、开发人员要遵守修改过程完成后立即入库的原则。

44、有完善的检查机制。

45、有完善的备份机制。

46、有生成版本的规则。

47、生成的版本要进行完整性和可用性测试。

48、对开发人员和管理人员要有源代码安全管理培训49、对开发人员和管理人员访问代码要有相应的权限管理410、源代码保存服务器要有安全权限控制。

411、控制开发环境网络访问权限。

4第1页共16页内部公开三、管理策略41、建立管理组织结构42、制定管理规范43、制定评审标准54、执行管理监督5四、组织结构51、源代码的管理相关方52、组织职责53、与职能机构的协同管理84、应维护与特定相关方、其他专业安全论坛和专业协会的适当联系。

8五、管理制度（见文档《源代码安全管理制度.docx》）8六、管理流程81、服务器部署流程82、源代码管理软件配置流程93、源代码创建修改流程94、版本控制流程105、源代码测试流程（组件测试）116、组件发布流程117、软件发布流程128、项目人员获取版本流程129、夕卜部借阅流程1210、源代码目录工作状态安全监控流程1311、源代码目录和项目权限安全监控流程1312、与源代码相关人员离职审查流程13七、表单141、见B07离职交接表单142、见B09《重要应用系统权限评审表》143、见（B09）《重要服务器-应用系统清单》144、外部借阅审批表145、软件获取申请表146、信息安全规范检查记录表15一、管理目标1、保证源代码和开发文档的完整性。

第三方服务管理工作指南
目录
1 范围 (2)
2 规范性引用文件 (2)
3 职责 (2)
4 管理内容和要求 (3)
4.1 第三方服务的确定 (3)
4.2 对第三方服务的监督和评审 (3)
4.3 第三方服务的变更管理 (4)
4.4第三方人员及外包商安全管理 (4)
4.5供应商协议中的安全 (5)
4.6 信息和通信技术供应链 (6)
第三方服务管理工作指南
1 范围
适用于公司信息安全第三方服务管理活动,包括第三方确定过程、第三方的服务安全控制措施、第三方的服务监督和评审方法、第三方的变更管理。

为加强对第三方服务提供商（合作商）的控制，减少安全风险，防范公司信息资产损失，特制定本程序。

2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

《信息技术安全技术信息安全管理体系要求》（GB/T 22080-2016/ISO/IEC 27001:2013）
3 职责
3.1 商务采购部
负责统一管理第三方服务的控制活动，负责确定合格的第三方服务商。

3.2 各相关部门
a) 与第三方服务商签订服务合同和保密协议；
b) 负责对第三方服务商的服务进行安全控制；
c) 负责定期对第三方服务商进行监督和评审。

目录前言 (3)0 引言 (4)0.1 总则 (4)0.2 与其他管理系统标准的兼容性 (4)1. 范围 (5)2 规范性引用文件 (5)3 术语和定义 (5)4 组织景况 (5)4.1 了解组织及其景况 (5)4.2 了解相关利益方的需求和期望 (5)4.3 确立信息安全管理体系的范围 (6)4.4 信息安全管理体系 (6)5 领导 (6)5.1 领导和承诺 (6)5.2 方针 (6)5.3 组织的角色，职责和权限 (7)6. 计划 (7)6.1 应对风险和机遇的行为 (7)6.2 信息安全目标及达成目标的计划 (9)7 支持 (9)7.1 资源 (9)7.2 权限 (9)7.3 意识 (10)7.4 沟通 (10)7.5 记录信息 (10)8 操作 (11)8.1 操作的计划和控制措施 (11)8.2 信息安全风险评估 (11)8.3 信息安全风险处置 (11)9 性能评价 (12)9.1监测、测量、分析和评价 (12)9.2 内部审核 (12)9.3 管理评审 (12)10 改进 (13)10.1 不符合和纠正措施 (13)10.2 持续改进 (14)附录A(规范)参考控制目标和控制措施 (15)参考文献 (28)前言0 引言0.1 总则本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。

采用信息安全管理体系是组织的一项战略性决策。

组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。

所有这些影响因素可能随时间发生变化。

信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性，并给相关方建立风险得到充分管理的信心。

重要的是，信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中，并且在过程、信息系统和控制措施的设计中要考虑到信息安全。

信息安全管理体系的实施要与组织的需要相符合。

本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。

XXXXXXXXX有限责任公司恶意软件管理程序[XXXX-B-22]V1.0变更履历1 目的为防止各类恶意软件造成破坏，确保组织的信息系统、软件和信息的保密性、完整性与可用性，特制定本程序。

2 范围本程序适用于本组织各部门对防范恶意软件的工作管理。

所谓恶意软件，是指编制或者在计算机程序中插入的破坏计算机功能、毁坏数据、窃取数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码，主要是指各类计算机病毒。

3 职责3.1技术部技术部是组织内恶意软件管理控制工作的主管部门，负责组织内防病毒软件的安装及病毒库的更新管理，为各部门信息处理设施的防范恶意软件提供技术性支持。

3.2 其他各部门具体负责本部门信息处理设施的病毒清杀及其它预防措施的实施。

4 相关文件《信息安全管理手册》《重要信息备份管理程序》《计算机管理程序》5 程序5.1 恶意软件的防范措施恶意软件的防范措施主要是安装防火墙、入侵检测系统、使用加密程序和安装杀病毒软件。

a)在对外互联的网络间，技术部安装防火墙、入侵检测系统、使用加密程序，同时在服务器和客户端上安装杀病毒软件。

各部门应根据技术部的安排，从指定的网络服务器上安装企业版防病毒软件；单独成网或存在单机的部门，应由本部门PC管理员或指定专人负责安装防病毒软件，并周期性（如每周)对病毒库进行升级。

b)技术部负责设置企业版防病毒服务器，每日通过互联网自动进行病毒库的更新升级。

技术部负责各类系统的补丁升级。

c)各部门联网微机接受本组织防病毒服务器的管理，在每次开机时自动从防病毒服务器上下载最新病毒库。

d)特殊情况，如某种新恶性病毒大规模爆发，技术部系统管理员应立即升级病毒库，并紧急通知组织内各部门立即进行病毒库更新升级，同时立即进行病毒扫描，并对病毒情况汇报部门经理。

e)各部门在使用部门以外的任何电子媒体前都应对其进行病毒扫描，对发现病毒的电子媒体应禁用，待病毒清除后方可使用，对于不能清除的病毒，应及时报告技术部处理。