ISO27001：2013物理访问管理程序

XXXXXXXXX有限责任公司信息安全管理体系程序文件编号：XXXX-B-01～XXXX-B-41（符合ISO/IEC 27001-2013标准）拟编：信息安全小组日期：2015年02月01日审核：管代日期：2015年02月01日批准：批准人名日期：2015年02月01日发放编号: 01受控状态：受控2015年2月1日发布2015年2月1日实施[XXXX-B-01]信息安全风险管理程序[XXXX-B-02]文件控制程序[XXXX-B-03]记录控制程序[XXXX-B-04]纠正措施控制程序[XXXX-B-05]预防措施控制程序[XXXX-B-06]内部审核管理程序[XXXX-B-07]管理评审程序[XXXX-B-08]监视和测量管理程序A6[XXXX-B-09]远程工作管理程序A7[XXXX-B-10]人力资源管理程序A8[XXXX-B-11]商业秘密管理程序A8[XXXX-B-12]信息分类管理程序A8[XXXX-B-13]计算机管理程序A8[XXXX-B-14]可移动介质管理程序A9[XXXX-B-15]用户访问管理程序A9[XXXX-B-16]信息系统访问与监控管理程序A9[XXXX-B-17]信息系统应用管理程序A10[XXXX-B-18]账号密码控制程序A11[XXXX-B-19]安全区域管理程序A12.1.2[XXXX-B-20]变更管理程序A12.1.3[XXXX-B-21]容量管理程序A12.2.1[XXXX-B-22]恶意软件管理程序A12.3[XXXX-B-23]重要信息备份管理程序A12.6[XXXX-B-24]技术薄弱点管理程序A13[XXXX-B-25]电子邮件管理程序A13[XXXX-B-27]信息安全沟通协调管理程序A13[XXXX-B-28]信息交换管理程序A14.2.9[XXXX-B-29]信息系统验收管理程序A14.2[XXXX-B-30]信息系统开发建设管理程序A14[XXXX-B-31]软件开发管理程序A14[XXXX-B-32]数据安全管理程序A14[XXXX-B-33]OA管理程序A15.2[XXXX-B-34]第三方服务管理程序A15[XXXX-B-35]供应商管理程序A15[XXXX-B-36]相关方信息安全管理程序A16[XXXX-B-37]信息安全事件管理程序A17.2[XXXX-B-38]信息处理设施管理程序A17[XXXX-B-39]业务持续性管理程序A18[XXXX-B-40]信息安全法律法规管理程序A18[XXXX-B-41]知识产权管理程序XXXXXXXXX有限责任公司知识产权管理程序[XXXX-B-41]V1.0知识产权管理程序变更履历1 目的通过对知识产权的流程管理，规范整个知识产权管理工作，保证知识产权管理工作的每个环节的合理性、有效性和流畅，为组织的知识产权保护与管理奠定基础。

最新ISO27001：2013信息安全管理体系一整套文件(手册+程序)1.信息安全管理手册2.信息安全管理程序文件XXXXXX技术服务有限公司版本：A/0受控状态：XXXXXX技术服务有限公司信息安全管理手册(依据GB/T22080-2016)编制：文件编写小组审批： XXX版本：A/0受控状态：受控文件编号：LHXR-ANSC-20182018年4月20日发布 2018年4月20日实施管理手册修改记录页：序号修改原因修改内容版本日期修改者审核者目录0.1 颁布令 (5)0.2 管理者代表任命书 (6)0.3关于成立管理体系工作小组的决定 (7)0.4 公司简介 (8)0.5 组织结构 (8)0.6 信息安全方针与目标 (9)1.0 信息安全方针 (9)2.0 信息安全目标 (9)1.0 范围 (9)1.1 总则 (9)1.2 适用范围 (10)1.3 删减说明 (10)2.0规范性引用文件 (10)3.0 术语与定义 (11)3.3计算机病毒 (11)3.15 相关方 (12)3.16本公司 (12)3.17管理体系 (12)4.0 组织环境 (12)4.1理解组织及其环境 (12)4.2利益相关方的需求和期望 (13)4.3确定信息安全管理体系范围 (13)4.4信息安全管理体系 (14)5.0 领导力 (14)5.1领导和承诺 (14)5.2方针 (15)5.3组织的角色、责任和权限 (15)6.0 规划 (18)6.1 应对风险和机会的措施 (18)6.2 信息安全目标及其实现规划 (20)7.0 支持 (20)7.1资源 (20)7.2能力 (21)7.3意识 (21)7.4沟通 (21)7.5文件化信息 (22)8.0 运行 (24)8.1运行规划和控制 (24)8.2信息安全风险评估 (25)8.3信息安全风险处置 (25)9.0 绩效评价 (25)9.1 监视、测量、分析和评价 (25)9.2 内部审核 (25)9.3 管理评审 (26)10.0 改进 (28)10.1不符合及纠正措施 (28)10.2 持续改进 (29)附1信息安全管理体系职责对照表 (30)0.1 颁布令为提高XXXXXX技术服务有限公司的信息安全管理水平，保障我公司业务活动的正常进行，防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失，我公司于2018年4月开展贯彻GB/T22080-2016《信息技术-安全技术-信息安全管理体系要求》国际标准工作，建立、实施和持续改进文件化的信息安全管理体系，制定了XXXXXX技术服务有限公司《信息安全管理手册》。

目录前言 (30 引言 (40.1 总则 (40.2 与其他管理系统标准的兼容性 (41. 范围 (52 规范性引用文件 (53 术语和定义 (54 组织景况 (54.1 了解组织及其景况 (54.2 了解相关利益方的需求和期望 (5 4.3 确立信息安全管理体系的范围 (64.4 信息安全管理体系 (65 领导 (65.1 领导和承诺 (65.2 方针 (65.3 组织的角色,职责和权限 (76. 计划 (76.1 应对风险和机遇的行为 (76.2 信息安全目标及达成目标的计划 (97 支持 (97.1 资源 (97.2 权限 (97.3 意识 (107.4 沟通 (107.5 记录信息 (108 操作 (118.1 操作的计划和控制措施 (118.2 信息安全风险评估 (118.3 信息安全风险处置 (119 性能评价 (129.1监测、测量、分析和评价 (129.2 内部审核 (129.3 管理评审 (1210 改进 (1310.1 不符合和纠正措施 (1310.2 持续改进 (14附录A(规范参考控制目标和控制措施 (15参考文献 (28前言0 引言0.1 总则本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。

采用信息安全管理体系是组织的一项战略性决策。

组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。

所有这些影响因素可能随时间发生变化。

信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并给相关方建立风险得到充分管理的信心。

重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制措施的设计中要考虑到信息安全。

信息安全管理体系的实施要与组织的需要相符合。

本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。

本标准中表述要求的顺序不反映各要求的重要性或实施顺序。

XXXXXX软件有限公司人性化科技提升业绩访问控制制度目录1. 目的和范围 (3)2. 引用文件 (3)3. 职责和权限 (3)4. 用户管理 (3)4.1. 用户注册 (3)4.2. 用户口令管理 (4)5. 权限管理 (4)5.1. 用户权限管理原则 (4)5.2. 用户访问权限设置步骤 (5)6. 操作系统访问控制 (5)6.1. 安全登录制度 (5)6.2. 会话超时与联机时间的限定 (5)7. 应用系统访问控制 (6)8. Internet访问控制 (7)9. 网络隔离 (7)10. 信息交流控制措施 (7)11. 远程访问管理 (8)10.1. 远程接入的用户认证 (8)10.2. 远程接入的审计 (9)12. 无线网络访问管理 (9)13. 笔记本使用及安全配置规定 (9)14. 外部人员使用笔记本的规定 (10)15. 实施策略 (10)16. 相关记录 (10)1.目的和范围通过控制用户权限正确管理用户，实现控制办公网系统和应用系统访问权限与访问权限的分配，防止对办公网系统和应用系统的非法访问，防止非法操作，保证生产系统的可用性、完整性、保密性，以及规范服务器的访问。

本访问控制制度适用于系统维护部以及其他拥有系统权限的管理部门。

2.引用文件1)下列文件中的条款通过本规定的引用而成为本规定的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

2)GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求3)GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则3.职责和权限各部门必须遵照本管理规范实行对用户、口令和权限的管理，用户必须按照本管理规范访问公司办公网系统和应用系统。

文件制修订记录1、适用适用于本公司的各种应用系统涉及到的逻辑访问的控制。

2、目的为对本公司各种应用系统的用户访问权限（包括特权用户及第三方用户）实施有效控制，杜绝非法访问，确保系统和信息的安全，特制定本程序。

3、职责3.1各系统的访问授权管理由管理运营部设置安全框架，由各部门主管视权限和业务情况进行分配、审批。

3.2各系统的访问授权实施部门负责访问控制的技术管理以及访问权限控制和实施。

3.3管理运营部负责向各部门通知人事变动情况。

4、程序4.1访问控制策略4.1.1公司内部可公开的信息不作特别限定，允许所有用户访问。

4.1.2公司内部部分不公开信息，经访问授权管理运营部认可，访问授权实施部门实施后用户方可访问。

4.1.3本公司限制使用无线网络，对连接到互联网和局域网的设备采用粘贴标签的方法清晰的标明设备的连接属性（根据敏感程度，可查表获得权限，如IP列表）4.1.4用户不得访问或尝试访问未经授权的网络、系统、文件和服务。

4.1.5相关部门主管填写《用户权限登记表》，确定访问规则后，由网络管理员开设访问帐号和设置访问权限。

4.1.6为确保含有敏感信息的系统不发生泄密事故，采取措施对敏感系统予以隔离。

采用最小权限、最少用户原则。

4.2用户访问管理4.2.1权限申请4.2.1.1授权流程部门申请——授权管理运营部审批——访问授权部门实施所有用户，包括第三方人员均需要履行访问授权手续。

申请部门根据日常管理工作的需要，确定需要访问的系统和访问权限，经过本部门经理同意后，向访问授权管理运营部提交《用户权限申请表》，经访问授权管理运营部审核批准后，将《用户权限申请表》交访问授权实施部门实施。

第三方人员的访问申请由负责接待的部门按照上述要求予以办理。

第三方人员一般不允许成为特权用户。

必要时，第三方人员需与访问接待部门签订《第三方保密协议》。

4.2.1.2《用户权限申请表》应对以下内容予以明确：A)权限申请人员；B)访问权限的级别和范围；C)申请理由；D)有效期。

修订日期：2019.12.18修订日期：2019.12.18信息安全风险评估管理程序1 适用本程序适用于本公司信息安全管理体系（ISMS）范围内信息安全风险评估活动。

2 目的本程序规定了本公司所采用的信息安全风险评估方法。

通过识别信息资产、风险等级评估，认知本公司的信息安全风险，在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，保持本公司业务持续性发展，以满足本公司信息安全管理方针的要求。

3 范围本程序适用于第一次完整的风险评估和定期的再评估。

在辨识资产时，本着尽量细化的原则进行，但在评估时我司又会把资产按照系统进行规划。

辨识与评估的重点是信息资产，不区分物理资产、软件和硬件。

4 职责4.1 成立风险评估小组办公室负责牵头成立风险评估小组。

4.2 策划与实施风险评估小组每年至少一次，或当体系、组织、业务、技术、环境等影响企业的重大事项发生变更、重大事故事件发生后，负责编制信息安全风险评估计划，确认评估结果，形成《信息安全风险评估报告》。

4.3 信息资产识别与风险评估活动各部门负责本部门使用或管理的信息资产的识别，并负责本部门所涉及的信息资产的具体安全控制工作。

4.3.1 各部门负责人负责本部门的信息资产识别。

4.3.2 办公室经理负责汇总、校对全公司的信息资产。

修订日期：2019.12.184.3.3 办公室负责风险评估的策划。

4.3.4 信息安全小组负责进行第一次评估与定期的再评估。

5 程序5.1 风险评估前准备5.1.1 办公室牵头成立风险评估小组，小组成员至少应该包含：信息安全管理体系负责部门的成员、信息安全重要责任部门的成员。

5.1.2风险评估小组制定信息安全风险评估计划，下发各部门内审员。

5.1.3必要时应对各部门内审员进行风险评估相关知识和表格填写的培训。

5.2 信息资产的识别5.2.1 本公司的资产范围包括：5.2.1.1信息资产1)数据文档资产：客户和公司数据，各种介质的信息文件包括纸质文件。

访问控制方针（版本号：V1.0）
更改控制页
目录
1目的 (1)
2范围 (1)
3术语定义 (1)
4内容 (1)
5相关文件 (2)
6相关记录 (2)
1目的
访问控制方针规定了逻辑访问与物理访问控制的基本原则和要求，对于访问控制所涉及的主体标识、鉴别、授权以及可追溯性的管理，都要遵守本方针。

2范围
本方针适用于公司内部以及第三方的所有访问过程。

3术语定义
访问控制：根据主体和客体之间的访问授权关系，控制访问的过程。

4内容
1)访问控制基本规则是：除明确允许执行情况外一般必须禁止；
2)访问控制必须遵照最小权限原则；
3)访问控制规则参照《信息资产管理规定》的要求；
4)对任何信息系统的访问都必须通过唯一的帐号来标识访问主体；
5)对任何信息系统的访问都必须经过对访问主体帐号合法性的鉴别方可使用
信息系统；
6)对任何信息系统的访问都必须经过授权，且权限分配有正式的记录；
7)对于重要信息系统的权限分配应该满足职责分离原则；
8)访问主体的访问权限应该具有时效性，当访问主体发生变化时应该及时更
改；
9)对重要服务器的访问权限的分配应该定期进行回顾和审查，确保访问主体
访问权限的合理性；
10)应该记录与访问操作相关的任何活动，并且要妥善保存日志记录，以备追
溯访问主体的访问行为。

具体访问控制操作参见《访问控制管理规定》。

5相关文件
《访问控制管理规定》
《信息资产管理规定》
6相关记录
无。

文件控制制度目录1.目的和范围 (3)2.引用文件 (3)3.职责和权限 (3)4.管理内容及控制要求 (3)4.1文件的分类 (3)4.2文件编制 (3)4.3文件标识 (4)4.4文件的发放 (5)4.5文件的控制 (5)4.6文件的更改 (5)4.6.1文件更改申请 (5)4.6.2文件更改的审批或评审 (5)4.6.3文件更改的实施 (6)4.6.4版本控制 (6)4.7文件的评审 (6)4.8文件的作废 (6)4.9外来文件的管理 (6)4.10文件的归档 (6)5.相关记录 (7)1.目的和范围为了有效控制信息安全管理体系文件，对文件的编制、审核、批准、标识、发放、管理、使用、评审、更改、修订、作废等过程实施有效控制，确保部门使用现行的有效版本，特制订本制度。

本制度适用于信息安全管理体系文件的管理。

2. 引用文件1)《合规性实施制度》2)《信息资产分类分级管理制度》3.职责和权限1)总经办是信息安全管理体系文件的归口部门，负责信息安全有关的所有文件的管理与控制。

2)各部门：负责本部门信息安全管理文件的管理与控制。

4.管理内容及控制要求4.1文件的分类信息安全管理体系文件主要包括：1)第一层：信息安全管理手册、信息安全目标、信息安全适用性声明（SOA）、信息安全策略；2)第二层：制度文件；3)第三层：各管理规定、管理办法、流程、作业指导书（指南）及外来文件等；4)第四层：记录、表单。

记录控制执行《记录控制制度》。

4.2文件编制文件编制要有充分的依据，体现系统协调，可操作、可检查的原则。

1)第一层：信息安全管理手册由体系负责人组织编写，信息安全管理者代表审核，总经理批准发布。

2)第二、三层：由相关责任部门编写，信息安全管理者代表审核，总经理批准发布。

3)第四层：由相关责任部门编写，文档负责人审批，信息安全管理者代表批准发布。

4.3文件标识所有文件必须有明确的标识，包括：文件的名称、编号、版本号、密级标识等。

XXXXXXXXX有限责任公司信息系统应用管理程序[XXXX-B-17]V1.0发布日期2015年02月01日发布部门信息安全小组实施日期2015年02月01日变更履历版本变更履历变更人/变更日期审核人/审核日期批准人/批准日期1.0 初次发布信息系统应用管理程序1 目的为实施对公司信息系统应用活动的控制，特制定本程序。

2 范围本程序规定了信息系统应用的控制策略、应用需求、开发、测试、培训、故障处理、检查监督和考核，适用于信息系统应用活动的管理。

3 职责3.1 技术部负责按照应用系统的应用控制要求，指导各部门的使用，保证应用系统应用的规范性，协助各部门进行应用推广、检查监督与考核。

3.2 各职能部门应用系统所涉及业务的职能部门，负责系统的控制策略执行。

4 程序4.1 系统操作的控制策略4.1.1 技术部负责建立《应用系统一览表》，明确系统管理的职责。

各应用系统必须确定相应的系统管理员。

系统管理员不能由安全管理员兼任。

4.1.2各部门应对系统实用程序的使用进行限制和严格控制，严禁使用如优化大师，超级兔子等改变应用系统的工具，只有经过总经理授权使用的系统管理员方可使用实用工具网管软件等，且必需服从网络安全管理员检查监督和管理。

并由技术部建立《系统实用工具一览表》。

4.1.3 信息系统的访问控制，应用系统应严格按《用户访问管理程序》执行。

禁止访问系统中应用程序的用户使用系统实用工具。

因未按《用户访问管理程序》授权的用户访问造成的信息安全事件，技术部领导负主要责任。

4.1.4 应用系统的用户必须遵守各应用系统的相关管理规定，必须服从技术部系统管理员的检查监督和管理。

因应用系统用户未按相应的应用管理程序使用系统造成的信息安全事件，应用系统用户负主要责任。

4.1.5 信息系统用户不得利用信息系统做任何危及本公司、部门、他人或其他无关的活动。

4.1.6 信息系统用户必须严格执行保密制度。

对各自的用户帐号负责，不得转借他人使用。

ISO/IEC 27001:2013(CN)国际标准ISO/IEC 27001第二版2013－10－19信息技术-安全技术 -信息安全管理体系 -要求Information technology- Security techniques -Information securitymanagement systems-Requirements目录1 范围 (5)2 规范性引用文件 (5)3 术语和定义 (5)4 组织环境 (5)4.1 理解组织及其环境 (5)4.2 理解相关方的需求和期望 (5)4.3 确定信息安全管理体系的范围 (5)4.4 信息安全管理体系 (6)5 领导 (6)5.1 领导和承诺 (6)5.2 方针 (6)5.3 组织角色、职责和权限 (7)6 规划 (7)6.1 应对风险和机会的措施 (7)6.1.1总则 (7)6.1.2信息安全风险评估 (7)6.1.3信息安全风险处置 (8)6.2 信息安全目标和规划实现 (8)7 支持 (9)7.1 资源 (9)7.2 能力 (9)7.3 意识 (9)7.4 沟通 (10)7.5 文件记录信息 (10)7.5.1总则 (10)7.5.2创建和更新 (10)7.5.3文件记录信息的控制 (10)8 运行 (11)8.1 运行的规划和控制 (11)8.2 信息安全风险评估 (11)8.3 信息安全风险处置 (11)9 绩效评价 (11)9.1 监视、测量、分析和评价 (11)9.2 内部审核 (12)9.3 管理评审 (12)10 改进 (13)10.1 不符合和纠正措施 (13)10.2 持续改进 (14)附录A（规范性附录）参考控制目标和控制措施 (15)参考文献 (23)ISO（国际标准化组织）和 IEC（国际电工委员会）是为国际标准化制定专门体制的国际组织。

国家机构是 ISO或IEC的成员，他们通过各自的组织建立技术委员会参与国际标准的制定，来处理特定领域的技术活动。

XXXXXXXXX有限责任公司安全区域管理程序[XXXX-B-19]V1.0变更履历1 目的为明确组织安全区域及控制要求，防止非授权人员对组织业务场所的物理访问、损坏和干扰，有效保障组织的工作稳定，特制订本程序。

2 范围本程序适用于组织安全区域的管理。

3 职责3.1 综合部a)负责组织安全区域的控制监管工作。

b)负责对进入组织的员工及外来访客进行确认和控制。

c)负责对非正常进入安全区域的人员、发生的突发事件进行调查和处理。

3.2 技术部负责重要安全区域的访问控制。

3.3 其他部门负责本部门安全区域管理工作。

4 相关文件《信息安全管理手册》《安全区域管理程序》《物理与环境安全管理办法》5 程序5.1 安全区域组织的安全区域分为重要安全区域和普通区域。

综合部应识别重要安全区域，建立和保持《物理与环境安全管理办法》，经各部门经理批准后实施。

重要安全区域以外的办公开发区域,统称为普通区域。

重要安全区域包括以下：a)机柜b)综合管理部文件柜技术部IT专职人员持有机柜的钥匙，每日负责检查机柜。

一般情况下，只有技术部IT 专职人员可打开机柜，如非技术部IT专职人员因工作关系需打开机柜，须通过批准后方可打开。

每日下班后综合管理部文件柜必须上锁。

重要安全区域的控制按《物理与环境安全管理办法》进行。

5.2 普通区域的物理访问外来联系工作和办理业务的人员进入办公、生产区域，须在前台申请，经相关部门负责人通过批准后，外来人员登记来访信息，方可进入普通区域。

前台人员负责外来人员的登记；当外来人员离开时，前台负责登记离开时间。

5.3 重要安全区域的出入控制管理重要安全区域只有技术部IT专职人员能够访问；当服务器需要由其他部门人员安装或更新软件时，开发部门填写《重要安全区域访问审批表》，待技术部批准后方可进入。

完成工作后，登记离开时间，反馈给技术部IT专职人员。

5.4 安全区域的检查管理各部门根据普通区域和重要安全区域不同的要求，严格执行组织相关的规定，防止对安全区域内场所的非授权物理访问、损坏和干扰，有效保障组织信息的安全，保证组织业务正常进行。

XXXXXXXXX有限责任公司信息系统访问与使用监控管理程序[XXXX-B-16]V1.0变更履历1 目的为了加强信息系统的监控，对组织内信息系统安全监控和日志审核工作进行管理，特制定本程序。

2 范围本程序适用于XXXXXXXXX有限责任公司信息系统安全监控和日志审核工作的管理。

3 职责3.1 技术部为网络安全的归口管理部门。

3.2 网络安全管理员负责对信息系统安全监控和日志的审核管理。

4 相关文件《信息安全管理手册》《信息安全事件管理程序》5 程序5.1 日志技术部负责生成记录信息系统网络设备运行状况、网络流量、用户活动、例外和信息安全事件的监测日志，并保存半年，以支持将来的调查和访问控制监视活动。

系统管理员不允许删除或关闭其自身活动的日志。

日志记录设施以及日志信息应该被保护，防止被篡改和未经授权的访问。

应防止对日志记录设施的未经授权的更改和出现操作问题，包括：a)对记录的信息类型的更改；b)日志文件被编辑或删除；c)超过日志文件媒介的存储容量，导致事件记录故障或者将以往记录的事件覆盖。

5.2 日志审核技术部IT专职人员每周审核一次系统日志，并做好《日志审核记录》。

对审核中发现的问题，应及时报告行政部进行处理。

对审核发现的事件，按《信息安全事件管理程序》进行。

5.3 巡视巡检巡视人员负责每天监控巡视，技术部安全管理员每周进行一次监控巡视。

新系统投入运行前必须对系统的监控巡视人员进行技术培训和技术考核。

监控巡视人员按信息资源管理系统的要求进行系统监控和巡视，并填写运维记录报告。

监控巡视期间发现问题，应及时处理，并在运维记录中填写异常情况。

监控巡视人员应进行机房环境、信息网络、应用系统的巡视，每天记录机房温度、防病毒情况、应用系统运行情况等。

巡视人员的巡视巡检按《信息处理设施维护管理程序》进行。

5.4 职责分离为防止非授权的更改或误用信息或服务的机会，按要求进行职责分配。

另见《用户访问管理程序》、《IT工程师职位说明书》5.5审计记录（日志）及其保护5.5.1 技术部负责生成记录信息系统网络设备运行状况、网络流量、用户活动、例外和信息安全事件的监测日志，并保存半年，以支持将来的调查和访问控制监视活动。

ISO27001物理安全控制程序1 目的为防止外来人员对未授权的物理访问、破坏和干扰及机密资料或涉密信息的丢失或被盗，保持被外部相关方访问、处理、学术技术交流及信息处理设施的安全，特制定本程序。

2 范围此程序所指办公区域、系统的开发测试区域、核心业务运行区域。

3 相关文件无4 职责4.1 监控室值班人员负责对外来人员来访的登记及接待，并通知相关职能人员；经授权长期访问的第三方的标识卡的发放与回收；内部员工指纹识别系统的权限开放与回收，访问权限的设置与解除；定期对标识卡的发放及回收进行检查，内部员工访问权限的设置与解除。

4.2 监控室值班人员负责对指纹系统的定期维护与检查。

4.3 监控室值班人员负责对新入职信息科技部的员工进行访问权限的增加及记录。

4.4 监控室值班人员对其他业务联系而产生的其他部门的访问或第三方的访问负责登记并发放“来宾卡”。

5 程序5.1 安全周界的划分5.1.1 IT信息科技部安全区域划分为一般安全区域和特殊安全区域，特别安全区域包括：运行监控机房、前置机房、中心机房、主控机房、备份机房、UPS间。

除特别区域以外区域为一般安全区域。

5.2 物理进入控制5.2.1 员工及经过长期访问的第三方物理入口控制5.2.1.1 经过授权的长期访问的第三方（如第三方公司驻场工作），需到运行监控机房填写《第三方公司驻场工作登记审批表》，经IT信息科技部审批通过后，由运行监控机房值班人员填写《第三方公司驻场服务登记台帐》。

注：《第三方公司驻场服务登记台帐》最后一栏“签字”是由运行监控机房值班人员填写。

5.2.1.2 IT信息科技部当出现新入职员工、内部岗位调动、离职、职位变更或其它情况，需到运行监控机房填写《物理访问权限申请表》，申请人填写完成后，由分管副总进行审批，审批完成后由监控机房值班人员对其权限进行设置，操作完成后填写《权限注销/暂停记录表》。

5.2.2 临时访问的第三方的物理进入控制5.2.2.1 临时访问的第三方需到运行监控机房填写《外来人员登记表》登记，由运行监控机房值班人员发放“来宾卡”后方可进入，访问期间由运行监控机房人员全程陪同。

XXX技术有限公司
门禁系统管理程序
编号：ISMS-B-23
版本号：V1.0
编制：日期：
审核：日期：
批准：日期：
受控状态
1 目的
为确保组织的物理区域入口的安全及其控制要求，防止非授权人员对组织场所的物理访问、损坏和干扰，有效保障组织业务的安全运作和工作稳定，特制订本程序。

2 范围
本程序适用于组织物理安全区域入口的管理。

3 职责
3.1 综合管理部
a)负责对进入组织场所的员工及外来访客进行确认和控制。

b)负责对非正常进入安全区域的人员、发生的突发事件进行调查和处理。

4 相关文件
《信息安全管理手册》
《安全区域管理程序》
5 程序
5.1 普通安全区域门禁
公司安装有指纹考勤系统，以控制出入。

5.3 重要安全区域门禁
重要安全区域的门禁控制请参见《安全区域管理程序》
6 记录
无。