信息安全管理控制程序(中英文)

信息系统管理程序1.目的: Purpose:说明信息系统之采购、维护、管制，以确保对信息系统进行有效监控，保障信息安全。

Explain procurement, maintenance, control of information system, in order to control effectively of the information system and ensure the information security,2. 适用范围: Scope:2.1 公司现有信息系统。

Company's existing information system2.2 公司外购之软硬件及外包之各项信息服务。

The information service and outsourcing hardware and software.3. 信息管理制度Information management system3.1资产管理 Asset Management3.1.1 采购Procurement3.1.1.1 需求部门提出申购请求，并说明其要求，经IT部统一确定具体配备后，方可进行采购。

Demand department proposed purchase request, and the request, the IT department to determine the specific equipment, and to purchase.3.1.1.2 所有软件及各项专业信息服务的采购应在相关部门配合下，由IT部主导负责。

All the software and all kinds of professional information service procurement should be with the coordination of the relevant departments, the Ministry responsible for IT.3.1.2.3 考核软件及信息服务时，应重点检验其安全性、通用性、一般性，与现有系统的兼容性及服务的响应速度，使用上的易用性。

123456789101112131415161718192021Information technology- Security techniques22-Information security management systems-Requirements 2324信息技术-安全技术-信息安全管理体系-要求25Foreword26前言272829ISO (the International Organization for Standardization) and IEC 30(the International Electro technical Commission) form the 31specialized system for worldwide standardization. National bodies 32that are members of ISO or IEC participate in the development of 33International Standards through technical committees established by 34the respective organization to deal with particular fields of 35technical activity. ISO and IEC technical committees collaborate 36in fields of mutual interest. Other international organizations, 37governmental and non-governmental, in liaison with ISO and IEC, also 38take part in the work. In the field of information technology, ISO 39and IEC have established a joint technical committee, ISO/IEC JTC 1.40ISO（国际标准化组织）和IEC（国际电工委员会）是为国际标准化制定专41门体制的国际组织。

安全管理体系信息传递程序Transmitting Procedure for SMS Information1目的Objective本程序旨在保证船员能及时获得以“中文”或“英文”书写的有关安全管理体系的信息，以及在履行其涉及安全管理体系职责时能有效交流。

This procedure in order to ensure the shipboard personnel to be obtained the information related to SMS in written by Chinese or Einglish in time, to communicate efficiently during the performance of the ISM responsibility.2适用范围Application本程序适用于公司安全管理体系内各部门、船舶及所有船员。

This procedure applies to all the departments /ships and crewmembers within SMS3职责Responsibility3.1各职能部门Department负责主管业务范围内SMS信息的收集、编写及下发。

To be responsible for collection, edit and issue of the SMS information belong to own department3.2船长Master负责将信息资料发给有关船员，并对船员学习情况予以监督。

To be responsible for transfer the information and materials to the relevant crew and supervise their learning condition.3.3ISM部ISM Department负责船员的培训、考核、配备。

信息技术常用术语中英文对照表1. 互联网 (Internet)2. 网络安全 (Cybersecurity)3. 云计算 (Cloud Computing)5. 大数据 (Big Data)6. 机器学习 (Machine Learning)7. 物联网 (Internet of Things)8. 虚拟现实 (Virtual Reality)9. 增强现实 (Augmented Reality)10. 数字化转型 (Digital Transformation)11. 数据挖掘 (Data Mining)12. 信息安全 (Information Security)13. 信息技术 (Information Technology)15. 服务器 (Server)16. 客户端 (Client)17. 网络协议 (Network Protocol)18. 软件开发 (Software Development)19. 数据库 (Database)20. 编程语言 (Programming Language)21. 操作系统 (Operating System)22. 硬件 (Hardware)23. 软件 (Software)24. 网络基础设施 (Network Infrastructure)26. 数字营销 (Digital Marketing)27. 网络攻击 (Cyber Attack)28. 数据加密 (Data Encryption)29. 信息架构 (Information Architecture)30. 网络安全漏洞 (Cybersecurity Vulnerability)31. 信息系统 (Information System)32. 网络安全策略 (Cybersecurity Strategy)33. 网络安全意识 (Cybersecurity Awareness)34. 数字化战略 (Digital Strategy)35. 网络安全法规 (Cybersecurity Regulation)36. 信息安全标准 (Information Security Standard)37. 网络安全解决方案 (Cybersecurity Solution)38. 网络安全威胁 (Cybersecurity Threat)39. 信息安全事件 (Information Security Incident)40. 网络安全审计 (Cybersecurity Audit)41. 信息安全风险管理 (Information Security Risk Management)42. 网络安全监控 (Cybersecurity Monitoring)43. 信息安全培训 (Information Security Training)44. 网络安全事件响应 (Cybersecurity Incident Response)45. 信息安全政策 (Information Security Policy)46. 网络安全评估 (Cybersecurity Assessment)47. 信息安全意识提升 (Information Security Awareness)48. 网络安全培训 (Cybersecurity Training)49. 信息安全策略 (Information Security Strategy)50. 网络安全管理体系 (Cybersecurity Management System)信息技术常用术语中英文对照表51. 网络服务 (Network Service)52. 数据传输 (Data Transmission)53. 信息架构 (Information Architecture)54. 信息安全审计 (Information Security Audit)55. 信息安全认证 (Information Security Certification)56. 信息安全管理体系 (Information Security Management System)57. 信息安全策略 (Information Security Strategy)58. 信息安全培训 (Information Security Training)59. 信息安全意识 (Information Security Awareness)60. 信息安全风险管理 (Information Security Risk Management)61. 信息安全事件 (Information Security Incident)62. 信息安全标准 (Information Security Standard)63. 信息安全法规 (Information Security Regulation)64. 信息安全解决方案 (Information Security Solution)65. 信息安全威胁 (Information Security Threat)66. 信息安全监控 (Information Security Monitoring)67. 信息安全评估 (Information Security Assessment)68. 信息安全政策 (Information Security Policy)69. 信息安全审计 (Information Security Audit)70. 信息安全认证 (Information Security Certification)71. 信息安全管理体系 (Information Security Management System)72. 信息安全策略 (Information Security Strategy)73. 信息安全培训 (Information Security Training)74. 信息安全意识 (Information Security Awareness)75. 信息安全风险管理 (Information Security Risk Management)76. 信息安全事件 (Information Security Incident)77. 信息安全标准 (Information Security Standard)78. 信息安全法规 (Information Security Regulation)79. 信息安全解决方案 (Information Security Solution)80. 信息安全威胁 (Information Security Threat)81. 信息安全监控 (Information Security Monitoring)82. 信息安全评估 (Information Security Assessment)83. 信息安全政策 (Information Security Policy)84. 信息安全审计 (Information Security Audit)85. 信息安全认证 (Information Security Certification). 信息安全管理体系 (Information Security Management System)87. 信息安全策略 (Information Security Strategy)88. 信息安全培训 (Information Security Training)89. 信息安全意识 (Information Security Awareness)Management)91. 信息安全事件 (Information Security Incident)92. 信息安全标准 (Information Security Standard)93. 信息安全法规 (Information Security Regulation)94. 信息安全解决方案 (Information Security Solution)95. 信息安全威胁 (Information Security Threat)96. 信息安全监控 (Information Security Monitoring)97. 信息安全评估 (Information Security Assessment)98. 信息安全政策 (Information Security Policy)99. 信息安全审计 (Information Security Audit)100. 信息安全认证 (Information Security Certification)信息技术常用术语中英文对照表51. 网络服务 (Network Service)52. 数据传输 (Data Transmission)53. 信息架构 (Information Architecture)54. 信息安全审计 (Information Security Audit)55. 信息安全认证 (Information Security Certification)56. 信息安全管理体系 (Information Security Management System)57. 信息安全策略 (Information Security Strategy)58. 信息安全培训 (Information Security Training)59. 信息安全意识 (Information Security Awareness)Management)61. 信息安全事件 (Information Security Incident)62. 信息安全标准 (Information Security Standard)63. 信息安全法规 (Information Security Regulation)64. 信息安全解决方案 (Information Security Solution)65. 信息安全威胁 (Information Security Threat)66. 信息安全监控 (Information Security Monitoring)67. 信息安全评估 (Information Security Assessment)68. 信息安全政策 (Information Security Policy)69. 信息安全审计 (Information Security Audit)70. 信息安全认证 (Information Security Certification)71. 信息安全管理体系 (Information Security Management System)72. 信息安全策略 (Information Security Strategy)73. 信息安全培训 (Information Security Training)74. 信息安全意识 (Information Security Awareness)75. 信息安全风险管理 (Information Security Risk Management)76. 信息安全事件 (Information Security Incident)77. 信息安全标准 (Information Security Standard)78. 信息安全法规 (Information Security Regulation)79. 信息安全解决方案 (Information Security Solution)80. 信息安全威胁 (Information Security Threat)81. 信息安全监控 (Information Security Monitoring)82. 信息安全评估 (Information Security Assessment)83. 信息安全政策 (Information Security Policy)84. 信息安全审计 (Information Security Audit)85. 信息安全认证 (Information Security Certification). 信息安全管理体系 (Information Security Management System)87. 信息安全策略 (Information Security Strategy)88. 信息安全培训 (Information Security Training)89. 信息安全意识 (Information Security Awareness)90. 信息安全风险管理 (Information Security Risk Management)91. 信息安全事件 (Information Security Incident)92. 信息安全标准 (Information Security Standard)93. 信息安全法规 (Information Security Regulation)94. 信息安全解决方案 (Information Security Solution)95. 信息安全威胁 (Information Security Threat)96. 信息安全监控 (Information Security Monitoring)97. 信息安全评估 (Information Security Assessment)98. 信息安全政策 (Information Security Policy)99. 信息安全审计 (Information Security Audit)100. 信息安全认证 (Information Security Certification) 101. 数据库管理系统 (Database Management System)102. 编程语言 (Programming Language)103. 硬件 (Hardware)104. 软件 (Software)105. 操作系统 (Operating System) 106. 服务器 (Server)107. 客户端 (Client)108. 网络协议 (Network Protocol) 109. 软件开发 (Software Development) 110. 数据库 (Database)111. 编程语言 (Programming Language) 112. 操作系统 (Operating System) 113. 硬件 (Hardware)114. 软件 (Software)115. 服务器 (Server)116. 客户端 (Client)117. 网络协议 (Network Protocol) 118. 软件开发 (Software Development) 119. 数据库 (Database)120. 编程语言 (Programming Language) 121. 操作系统 (Operating System) 122. 硬件 (Hardware)123. 软件 (Software)124. 服务器 (Server)125. 客户端 (Client)126. 网络协议 (Network Protocol)127. 软件开发 (Software Development) 128. 数据库 (Database)129. 编程语言 (Programming Language) 130. 操作系统 (Operating System) 131. 硬件 (Hardware)132. 软件 (Software)133. 服务器 (Server)134. 客户端 (Client)135. 网络协议 (Network Protocol) 136. 软件开发 (Software Development) 137. 数据库 (Database)138. 编程语言 (Programming Language) 139. 操作系统 (Operating System) 140. 硬件 (Hardware)141. 软件 (Software)142. 服务器 (Server)143. 客户端 (Client)144. 网络协议 (Network Protocol) 145. 软件开发 (Software Development) 146. 数据库 (Database)147. 编程语言 (Programming Language) 148. 操作系统 (Operating System) 149. 硬件 (Hardware)150. 软件 (Software)。

XXX有限公司信息安全事件管理程序修订记录目录1文档介绍 (3)1.1编写目的 (3)1.2适用范围 (3)2术语定义 (3)3角色及职责 (4)4信息安全管理流程 (4)4.1方针 (4)4.2概述 (5)4.3资产识别 (5)4.4信息安全管理策略 (5)4.4.1ISMS体系策划 (6)4.4.2风险识别 (7)4.4.3风险评估 (8)4.4.4超过风险可接受风险的处置 (10)4.4.5定期评估 (11)4.5信息安全事件 (11)4.5.1信息安全事件分析 (11)4.6体系文档编写 (11)4.7审计 (12)4.8报告 (12)4.9可能存在风险与控制 (12)5指标 (13)6相关政策 (13)7参考 (14)1文档介绍1.1编写目的本文件定义了青岛宇科软件有限公司IT服务团队及其客户的IT运维环境信息安全管理规范，信息安全管理体系的策划、风险评估、体系文件编写、体系建立完成后的运转和执行、持续改进、审计、报告、培训流程。

规定青岛宇科软件有限公司IT服务团队活动中，对客户关键应用所关联的资产进行风险等级评估、确定信息安全威胁源，并采取相应的控制措施的方法，以保证青岛宇科软件有限公司IT服务团队及所运维客户的IT环境信息资产的安全, 降低安全风险, 保证信息技术服务业务的连续性, 提高信息技术服务质量。

1.2适用范围本文档适用于青岛宇科软件有限公司IT服务团队对所有运维服务对象；用于进行资产的识别与风险评估的管理。

包括但不限于：●服务器●存储●网络系统●系统软件2术语定义3角色及职责4信息安全管理流程4.1方针风险分析和风险评价：识别资产（保密性（C）、完整性（I）、可用性（A））、威胁、脆弱性，风险的影响和可能性。

在风险评估方法中，公司的风险方针为：接受处于可接受级别之下的风险，对于超出可接受级别的风险，在满足适当的法律法规要求以及合同要求的情况下，如果降低风险所付出的成本大于风险所造成的损失，则选择接受。

安全管理控制程序范文第一章引言1.1 背景和目的安全管理控制程序是组织为了保障人员、设备和信息的安全而制定的一系列措施和规定。

本文档旨在为组织制定一个全面的、系统化的安全管理控制程序提供指导。

通过合理的安全管理控制程序，组织可以有效地降低各种安全风险，保障组织的正常运行。

1.2适用范围本安全管理控制程序适用于组织的所有部门和人员。

其中，特别涉及到安全管理职责的人员必须严格按照本程序执行。

第二章安全管理控制流程2.1 安全管理流程图（此处插入安全管理流程图）2.2 安全管理活动描述2.2.1 安全风险评估与管理组织需要对存在的安全风险进行评估和管理。

具体包括以下活动：1）识别风险：组织需进行风险识别活动，包括对组织内外的各种风险进行识别和梳理。

2）评估风险：对识别的风险进行定性、定量的评估，并确定其风险级别。

3）制定控制措施：对风险进行控制，制定相应的控制措施，减少风险的可能性和影响。

4）监控与改进：建立健全的风险管理体系，通过监控和改进，不断提升组织的风险管理水平。

2.2.2 安全策略制定与实施组织需要制定适合自身的安全策略，并加以实施。

具体包括以下活动：1）制定安全策略：根据组织的特点和需求，制定一套完整的安全策略，包括目标、原则、控制措施等。

2）安全策略的传达和培训：将安全策略及相关要求传达给全体员工，并进行相应的培训。

3）安全策略的执行：组织的所有部门和人员都必须按照安全策略的要求执行工作，并配合相关的监督和考核机制。

4）安全策略的评估与改进：定期对安全策略的执行情况进行评估，发现问题并进行改进。

2.2.3 安全意识教育与培训组织需要对全体员工进行安全意识的教育和培训，提高员工的安全意识和素质。

具体包括以下活动：1）安全政策培训：对全体员工进行有关安全政策的培训，传达安全政策的目标、要求和控制措施。

2）操作规程培训：对有关岗位的员工进行具体的操作规程培训，使其掌握必要的安全技能和知识。

3）发布安全提示：定期向全体员工发布安全提示，提醒他们注意安全事项和防范措施。

信息安全事件管理规定IT Security Incident Management目录第一章总则 (3)第二章相关角色与工作职责 (3)第三章安全事件分类分级 (3)第四章安全事件响应 (5)第五章安全事件处理 (5)第六章安全事件总结 (6)第一章总则第一条为规范公司的安全事件管理，确保安全事件被及时发现并得到有效处理，最大限度地减小安全事件对系统运行造成影响的可能性，特制定本规定。

第二条本规范适用于公司的信息安全事件管理活动。

第二章相关角色与工作职责第一条IT主管工作职责：（一）IT主管担任应急领导小组组长；（二）启动/终止应急预案，并负责安全应急工作的总体指挥和协调；第二条 IT管理员，其主要职责为：（一）分析整理上报信息安全事件，初步判定安全事件级别，并根据安全事件级别及时上报；（二）及时处理安全事件和投诉处理工作；（三）组织安全技术交流和培训，包括应急处理演练工作；第三条全体员工，其主要职责为：发现安全事件上报IT部门。

第三章安全事件分类分级第一条本规定所指的安全事件是一个或一系列与网络与系统安全、业务安全、信息安全相关的，并极有可能危害系统可用性、完整性或保密性的事件。

其中（一）影响系统可用性的安全事件主要包括：拒绝服务攻击（DOS和DDOS)、恶意代码攻击、漏洞攻击、僵尸网络、垃圾邮件等；（二）影响系统完整性的安全事件主要包括：信息篡改（如网页篡改、DNS劫持等）、后门木马（以破坏系统数据为目的）、漏洞攻击等；（三）影响系统保密性的安全事件主要包括：信息窃取（如后门木马、间谍软件、盗号软件等）、信息泄密、信息假冒（如网络钓鱼）、网络嗅探、漏洞攻击、僵尸网络等。

第二条根据系统重要性以及安全事件对系统可用性、完整性、保密性的影响程度，安全事件可分为特别重大（一级）、重大（二级）、较大（三级）和一般（四级）四个级别，详见“附件一”。

第三条特别重大安全事件（一级）指以下安全事件：（一）导致2级及以上系统出现紧急故障的安全事件；（二）导致3级或4级系统出现重大故障的安全事件；（三）导致3级及以上系统完整性或保密性被破坏的安全事件；（四）对外网站、信息群发系统、外呼系统等对外信息发布系统出现扰乱公共秩序、造谣蛊惑、破坏安定团结以及反动、淫秽、色情内容的信息安全事件。

管理制度编号：YTO-FS-PD811信息安全事件管理程序通用版In Order T o Standardize The Management Of Daily Behavior, The Activities And T asks Are Controlled By The Determined Terms, So As T o Achieve The Effect Of Safe Production And Reduce Hidden Dangers.标准/ 权威/ 规范/ 实用Authoritative And Practical Standards编写人：xxxxx审核人：xxxxx 信息安全事件管理程序通用版使用提示：本管理制度文件可用于工作中为规范日常行为与作业运行过程的管理，通过对确定的条款对活动和任务实施控制,使活动和任务在受控状态，从而达到安全生产和减少隐患的效果。

文件下载后可定制修改，请根据实际需要进行调整和使用。

1 目的为建立一个适当的信息安全事件、薄弱点和故障报告、反应与处理机制，减少信息安全事件和故障所造成的损失，采取有效的纠正与预防措施，特制定本程序。

2 范围本程序适用于XXX业务信息安全事件的管理。

3 职责3.1 信息安全管理流程负责人确定信息安全目标和方针；确定信息安全管理组织架构、角色和职责划分；负责信息安全小组之间的协调，内部和外部的沟通；负责信息安全评审的相关事宜；3.2 信息安全日常管理员负责制定组织中的安全策略；组织安全管理技术责任人进行风险评估；组织安全管理技术责任人制定信息安全改进建议和控制措施；编写风险改进计划；3.3 信息安全管理技术责任人负责信息安全日常监控；信息安全风险评估；确定信息安全控制措施；响应并处理安全事件。

4 工作程序4.1 信息安全事件定义与分类信息安全事件是指信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接影响（后果）的。

信息安全术语大全IA 中英文对照来源：作者：1. （N）中继(N)-relay2. 抽象语法abstract syntax3. 访问/存取access4. 访问控制access control5. 访问（存取）控制证书access control certificate6. 访问控制判决功能Access control Decision Function(ADF)7. 访问控制判决信息Access control Decision Information(ADI)8. 访问控制实施功能Access control Enforcement Function(AEF)9. 访问控制信息access control information10. 访问控制列表access control list11. 访问控制机制access control mechanisms12. 访问控制策略access control policy13. 访问控制策略规则access control policy rules14. 访问控制令牌access control token15. 访问列表access list16. 访问周期access period17. 访问请求access request18. 访问类型access type19. 认可/审批accreditation20. 主动威胁active threat21. 主动搭线窃听active wiretapping22. 报警处理器alarm processor23. 应用级防火墙application level firewall24. 资产Assets25. 赋值assignment26. 关联安全状态association security state27. 保障/保证assurance28. 非对称认证方法asymmetric authentication method29. 非对称密码算法asymmetric cryptographic algorithm30. 非对称密码技术asymmetric cryptographic technique31. 非对称加密系统asymmetric encipherment system32. 非对称密钥对asymmetric key pair33. 非对称签名系统asymmetric signature system34. 属性attribute35. 属性管理机构撤销列表（AARL）Attribute Authority Revocation List(AARL)36. 属性管理机构（AA）Attribute Authority(AA)37. 属性证书Attribute certificate38. 属性证书撤销列表（ACRL）Attribute Certificate Revocation List(ACRL)39. 审计/审核audit40. 审计分析器audit analyzer41. 审计归档audit archive42. 审计机构audit authority43. 审计调度器audit dispatcher44. 审计提供器audit provider45. 审计记录器audit recorder46. 审计踪迹audit trail47. 审计跟踪收集器audit trail collector48. 审计跟踪检验器audit trail examiner49. 鉴别/认证authentication50. 认证证书authentication certificate51. 鉴别数据authentication data52. 鉴别（认证）信息authentication imformation53. 鉴别（认证）发起方authentication initiator54. 鉴别（认证）令牌authentication token(token)55. 鉴别（认证）符authenticator56. 授权用户authorised user57. 授权机构/机构Authority58. 授权机构证书authority certificate59. 授权authorization60. 授权管理员authorized administrator61. 自动安全监控automated security monitoring62. 可用性availability63. 数据可用性availabity of data64. 备份规程bakcup procedure65. 基础证书撤消列表base CRL66. 分组/块block67. 分组链接block chaining68. 界限检查bounds checking69. 简码列表brevity lists70. 浏览browsing71. CA证书CA-certificate72. 回叫call back73. 权能/能力capability74. 证书certificate75. 证书策略certificate policy76. 证书序列号certificate serial number77. 证书用户certificate user78. 证书确认certificate validation79. 认证certification80. 认证机构certification authority81. 认证机构撤销列表（CARL）Certification Authority Revocation List (CARL)82. 认证路径certification path83. 信道/通道channel84. 密文ciphertext85. 申明鉴别信息claim authentication information86. 许可权clearance87. 明文cleartext88. 无碰撞（冲突）散列函数collision resistant hash-function89. 混合型防火墙combination firewall90. 共用接地系统common grounding system91. 通信安全communications security92. 分割compartmentalization93. 构件/组件/部件component94. 泄漏compromise95. 已泄露证据compromised evidence96. 泄漏发射compromising emanations97. 计算机系统computer system98. 隐蔽系统concealment system99. 配置管理configuration management100. 配置管理系统configuration management system 101. 不带恢复的连接完整性connection integrity without recovery 102. 无连接保密性connectionless confidentiality103. 无连接完整性connectionless integrity104. 连通性connectivity105. 应急计划contingency plan106. 控制区control zone107. 可控隔离controllable isolation108. 受控访问controlled access109. 受控可访问性controlled accessibility110. 受控共享controlled sharing111. 成本风险分析cost-risk analysis112. 对抗countermeasure113. 隐蔽信道covert channel114. 隐蔽存储信道covert storage channel115. 隐蔽时间信道covert timing channel116. 凭证credentials117. CRL分发点CRL distribution point118. 串扰cross-talk119. 密码分析cryptanalysis120. 密码算法crypto-algorithm121. 密码链接cryptographic chaining122. 密码校验函数cryptographic check function123. 密码校验值cryptographic check value124. 密码同步cryptographic synchronization125. 密码体制cryptographic system; cryptosystem126. 密码编码（学）cryptography127. 密码运算crypto-operation128. 密码安全cryptosecurity129. 数据保密性data confidentiality130. 数据损害data contamination131. 数据完整性data integrity132. 数据原发鉴别data origin authentication133. 数据串（数据）data string(data)134. 数据单元完整性data unit integrity135. 解密/脱密decipherment136. 降级degradation137. 委托delegation138. 委托路径delegation path139. 交付机构delivery authority140. 增量证书撤销列表delta-CRL(dCRL)141. 拒绝服务denial of service142. 依赖/依赖性dependency143. 数字签名digital signature144. 目录信息库Directory Information Base145. 目录信息树Directory Information Tree146. 目录系统代理Directory system Agent147. 目录用户代理Directory user Agent148. 可区分名distinguished name149. 可区分标识符distinguishing identifier150. 加密Encipherment、encipher、encryption151. 加密算法encryption algorithm152. 终端实体end entity153. 终端系统end system154. 终端实体属性证书撤销列表（EARL）End-entity Attribute Certificate Revocation List 155. 终端实体公钥证书撤销列表（EPRL）End-entity Public-key Certificate Revocation List156. 端到端加密end-to-end encipherment157. 实体鉴别entity authentication158. 环境变量environmental variables159. 评估保证级evaluation assurance level(EAL)160. 评估机构evaluation authority161. 评估模式evaluation scheme162. 事件辨别器event discriminator163. 证据evidence164. 证据生成者evidence generator165. 证据请求者evidence requester166. 证据主体evidence subject167. 证据使用者evidence user168. 证据验证者evidence verifier169. 交换鉴别信息exchange authentication information170. 外部IT实体external IT entity171. 外部安全审计external security audit172. 故障访问failure access173. 故障控制failure control174. 容错fault tolerance175. 特征features176. 反馈缓冲器feedback buffer177. 取数保护fetch protection178. 文件保护file protection179. 防火墙firewall180. 固件firmware181. 形式化证明formal proof182. 形式化顶层规范formal top-level specification183. 形式化验证formal verification184. 完全CRL full CRL185. 粒度granularity186. 接地网ground grid187. 接地电阻ground resistance188. 接地grounding189. 接地电极grounding electrode190. 接地系统grounding system191. 握手规程handshaking procedure192. 散列函数（哈希函数）hash function193. 散列代码hash-code194. 散列函数标识符hash-function identifier195. 隐藏hide196. 持有者holder197. 主机Host198. 宿主单元host unit199. 标识identification200. 标识数据identification data201. 抗扰度immunity(to a disturbance)202. 假冒impersonation203. 印章imprint204. 交错攻击imterleaving attack205. 不完全参数检验incomplete parameter checking206. 间接攻击indirect attack207. 间接CRL indirect CRL (iCRL)208. 信息系统安全information system security209. 信息系统安全管理体系结构information system security management architecture 210. 信息技术设备information technology equipment211. 初始编码规则initial encoding rules212. 初始化值initialization value213. 发起者initiator214. 完整性integrity215. 禁止interdiction216. 交错攻击interleaving attack217. 内部通信信道internal communication channel 218. 内部安全审计internal security audit219. 隔离isolation220. 密钥key221. 密钥协商key agreement222. 密钥确认key confirmation223. 密钥控制key control224. 密钥分发中心key distribution centre225. 密钥管理key management226. 密钥转换中心key translation centre227. 标记label228. 主、客体标记label of subject and object229. 最小特权least privilege230. 雷电电磁脉冲lightning electromagnetic pulse 231. 雷电防护区lightning protection zones232. 受限访问limited access233. 链路加密link encryption234. 逐链路加密link-by-link encipherment235. 本地系统环境local system environment236. 漏洞loophole237. 故障malfunction238. 管理信息Management Information239. 强制访问控制mandatory access control240. 冒充Masquerade241. 测量measurement242. 消息message243. 消息鉴别码message anthentication code244. 仿制mimicking245. 监控器（监控机构）monitor(monitor authority)246. 监控monitoring247. 多级装置multilevel device248. 多级安全multilevel secure249. 多访问权终端multiple access rights terminal 250. 相互鉴别mutual authentication251. n位分组密码n-bit block cipher252. 网络实体network entity253. 网络层network layer254. 网络协议network protocol255. 网络协议数据单元network protocol data unit256. 网络中继network relay257. 网络安全network security258. 网络服务network service259. 网络可信计算基network trusted computed base 260. 抗抵赖non-repudiation261. 抗抵赖交换non-repudiation exchange262. 抗抵赖信息non-repudiation information 263. 创建抗抵赖/抗创建抵赖non-repudiation of creation 264. 交付抗抵赖/抗交付抵赖non-repudiation of delivery 265. 原发抗抵赖non-repudiation of origin266. 接收抗抵赖/抗接收抵赖non-repudiation of receipt 267. 发送抗抵赖/抗发送抵赖non-repudiation of sending 268. 提交抗抵赖/抗提交抵赖non-repudiation of submission 269. 抗抵赖策略non-repudiation policy270. 抗抵赖服务请求者non-repudiation service requester271. 公证notarization272. 公证权标notarization token273. 公证方/公证者notary274. 公证方（公证机构）notary(notary authority)275. NRD权标/NRD令牌NRD token276. NRO权标NRO token277. NRS权标NRS token278. NRT权标NRT token279. 客体object280. 对象方法object method281. 客体重用object reuse282. 离线鉴别证书off-line authentication certificate 283. 离线密码运算offline crypto-operation284. 单向函数one-way function285. 单向散列函数one-way hash function 286. 在线鉴别证书on-line authentication certificate 287. 在线密码运算online crypto-operation288. 开放系统open system289. 组织安全策略organisational security policies290. 原发者originator291. OSI管理OSI Management292. 带外out-of-band293. 包package294. 包过滤防火墙packet filter firewall295. 填充padding296. 成对的密钥pairwise key297. 被动威胁passive threat298. 被动窃听passive wiretapping299. 口令password300. 口令对话password dialog301. 对等实体鉴别peer-entity authentication302. 渗透penetration303. 渗透轮廓penetration profile304. 渗透痕迹penetration signature305. 渗透测试penetration testing306. 个人识别号person identification number(PIN)307. 人员安全personal security308. 物理安全physical security309. 明文plain text310. 策略policy311. 策略映射policy mapping312. 端口port313. 表示上下文presentation context314. 表示数据值presentation data value315. 表示实体presentation-entity316. 预签名pre-signature317. 本体principal318. 最小特权原则principle of least privilege319. 服务优先权priority of service320. 隐私privacy321. 保密变换privacy transformation322. 私有解密密钥private decipherment key323. 私有密钥（私钥）private key324. 私有签名密钥private signature key325. 特权指令privileged instructions326. 规程安全procedural security327. 产品product328. 证明proof329. 保护表示上下文protecting presentation context330. 保护传送语法protecting transfer syntax331. 保护映射protection mapping332. 保护轮廓protection profile333. 保护环protection ring334. 保护接大地protective earthing335. 协议数据单元protocol data unit336. 协议实现一致性声明protocol implementation conformance statement337. 代理服务器proxy server338. 伪缺陷pseudo-flaw339. 公开加密密钥public encipherment key340. 公开密钥基础设施（PKI）Public Infrastructure (PKI)341. 公开密钥（公钥）public key342. 公开密钥证书（证书）public key certificate(certificate)343. 公开密钥信息public key information344. 公开验证密钥public verification key345. 消除purging346. 随机数Random number347. 随机化Randomized348. 实开放系统Real open system349. 接收方/接收者Recipient350. 恢复规程Recovery procedure351. 冗余Redundancy352. 参照确认机制reference validation mechanism353. 细化refinement354. 反射攻击reflection attack355. 反射保护reflection protection356. 中继系统relay system357. 可依赖方relying party358. 重放攻击replay attack359. 抵赖repudiation360. 资源分配resource allocation361. 受限区restricted area362. 保留的ADI retained ADI363. 揭示reveal364. 撤销证书revocation certificate365. 撤销证书列表revocation list certificate366. 风险risk367. 风险分析risk analysis368. 风险管理risk management369. 角色role370. 角色分配证书role assignment certificate371. 角色规范证书role specification certificate372. 回退rollback373. 根root374. 循环函数/轮函数round-function375. 路由选择routing376. 路由选择控制routing control377. 基于规则的安全策略rule-based security policy378. SA属性SA-attributes379. 安全保护（大）地safety protection earth380. 封印/密封seal381. 秘密密钥secret key382. 安全配置管理secure configuration management 383. 安全信封（SENV）secure envelope384. 安全交互规则secure interaction rules385. 安全操作系统secure operating system386. 安全路径secure path387. 安全状态secure state388. 安全管理员security administrator389. 安全报警security alarm390. 安全报警管理者security alarm administrator 391. 安全关联security association392. 安全保证security assurance393. 安全属性security attribute394. 安全审计security audit395. 安全审计消息security audit message396. 安全审计记录security audit record397. 安全审计踪迹security audit trail398. 安全审计者security auditor399. 安全机构security authority400. 安全证书security certificate401. 安全证书链security certificate chain 402. 安全通信功能security communication function403. 安全控制信息security control information404. 安全域security domain405. 安全域机构security domain authority406. 安全要素security element407. 安全交换security exchange408. 安全交换功能security exchange function409. 安全交换项security exchange item410. 安全特征security features411. 安全过滤器security filter412. 安全功能security function413. 安全功能策略security function policy414. 安全信息security information415. 安全内核security kernel416. 安全等级security level417. 安全管理信息库Security Management Information Base 418. 安全目的security objective419. 安全周边security perimeter420. 安全策略security policy421. 安全恢复security recovery422. 安全关系security relationship423. 安全报告security report424. 安全需求security requirements425. 安全规则security rules426. 安全规范security specifications427. 安全状态security state428. 安全目标security target429. 安全测试security testing430. 安全变换security transformation431. 安全相关事件Security-related event432. 敏感信息sensitive information433. 敏感性sensitivity434. 敏感标记sensitivity label435. 屏蔽shield436. 短时中断short interruption437. 安全服务sicurity service438. 简单鉴别simple authentication439. 单项结合安全关联single-item-bound security association 440. 单级装置single-level device441. 中级功能强度SOF-medium442. 源认证机构Source of Authority (SOA)443. 欺骗spoofing444. 待机模式、休眠模式stand-by mode 、sleep-mode445. 强鉴别strong authentication446. 主体subject447. 管态supervisor state448. 对称鉴别方法symmetric authentication method449. 对称密码算法symmetric cryptographic algorithm450. 对称密码技术symmetric cryptographic technique451. 对称加密算法symmetric encipherment algorithm452. 系统完整性system integrity453. 系统完整性规程system integrity procedure454. 系统安全功能system security function455. 技术攻击technological attack456. 终端标识terminal identification457. 威胁threat458. 威胁监控threat monitoring459. 防雷保护接地thunder proof protection ground460. 时间戳time stamp461. 时变参数time variant parameter462. 时间相关口令time-dependent password463. 令牌token464. 通信业务流保密性traffic flow confidentiality465. 通信业务流安全traffic flow security466. 陷门trap door467. 特洛伊木马Trojan horse468. 可信/信任trust469. 可信信道trusted channel470. 可信计算机系统trusted computer system471. 可信计算基trusted computing base472. 可信实体trusted entity473. 可信主机trusted host474. 可信路径trusted path475. 可信软件trusted software476. 可信第三方trusted third party477. 可信时间戳trusted time stamp478. 可信时间戳机构trusted time stmping authority479. 无条件可信实体unconditionally trusted entity480. 单向鉴别unilateral authentication481. 不间断供电系统uninterupted power supply system 482. 用户鉴别user authentication483. 用户标识user identification(user ID)484. 用户-主体绑定user-subject binding485. 确认validation486. 验证verification487. 验证函数verification function488. 验证密钥verification key489. 验证过程verification process490. 验证者verifier491. 脆弱性vulnerability。

1 目的增强公司全体员工信息安全意识和技能。

建立包括信息安全承诺、要求、实施、维持、监视、风险评估和管理的制度体系，建立信息安全事件管理规程，以及有效的信息安全事件应急处理机制，按照规程报告信息安全事件，并及时响应。

2 适用范围本程序适用于公司两化融合管理体系及日常工作中与信息安全相关的管理。

3 职责3.1 总经理负责重要的信息安全保护措施的审定。

3.2 管理者代表负责对重大信息安全事件的处置工作进行指导、监督。

3.3 信息中心作为信息安全的归口管理部门，负责整体规划、建设实施整改、制度建立、监督考核各部门的信息安全工作；负责公司网络、服务器、计算机等软硬件设备的维护工作。

3.4 各部门负责所属信息资产的识别和风险评估，负责本部门所涉及的信息资产的具体安全管理工作。

4 工作程序4.1 公司各部门根据实际业务情况，提出信息安全需求，并报信息中心统一汇总。

需求识别包括数据安全的需求，机房、设备等安全风险的需求。

信息中心培训中心定期或不定期对公司员工进行信息安全培训教育，确保全员认识到信息安全的重要性和紧迫性，增强信息安全意识。

4.2管理者代表综合考虑公司的信息安全状况，提出信息安全的具体实施范围。

确立各部门对于信息安全所承担的责任，完善信息安全管理和防范机制。

4.3 信息中心负责制定公司的信息安全实施规范，并报公司管理者代表和总经理审批通过发布执行。

4.4各相关部门执行信息中心制定的信息安全实施规范，并将实施过程中出现的问题及时向信息中心部反馈。

4.5信息安全日常管理4.5.1终端安全管理a）个人终端须安装公司发布的标准软件；b）个人终端须使用公司邮箱发送公司文件，不得通过公司以外的网络传输公司有关文件；c）外来人员终端需接入公司内网时，相应部门须提交申请审批。

4.5.2数据安全管理a）业务经营数据须定期备份，并确保有详细的访问、审批和操作记录；b）涉及商业机密和知识产权的信息未经授权不得以任何形式对外发布；c）未经授权不得访问和传播公司信息；d）员工不得使用外部应用系统处理公司业务；e）员工个人通过移动存储介质（如移动硬盘、U盘等）进行数据交换前，须进行病毒扫描；4.5.3帐号权限安全a）帐号及权限须定期检查清理；b）员工不得将个人账号共享他人使用；c）员工异动须所在单位及时提交账号、权限变更申请；d）多人不得共享同一账号开展业务；e）外部人员账号须设置有效期，由专人管理，定期检查清理。

信息系统管理程序IT system management Procedure1. 目的Purpose对管理体系内信息化建设需求、信息化设备管理、信息化项目实施、运行维护、信息安全和处置所需的控制管理，为体系有效运行提供客观依据，为体系改进提供数据支持。

Offer the control management necessary for the demands on the informatization construction, informatization device management, implementation and operation maintenance of the informatization project and information safety and processing, provide the objective basis for the effective operation of the system and provide the statistical support to the system improvement.2. 范围Scope适用于对公司体系内活动所产生的所有信息化建设、维护进行控制和管理。

The Procedure is applicable for the control and management of all informatization construction and maintenance in the company’s activities.3. 术语Terms无None4. 过程分析5. 职责Responsibilities5.1 IT部负责信息化建设归口管理，负责信息化数据系统的建立和维护数据系统，数据系统维护包括：信息化设施维护、数据恢复备份及恢复、数据及业务变更管理、权限管理、信息安全管理。

IT Department is responsible for the centralized management of the informatization construction and the establishment and maintenance of the informatization data system. The maintenance of the data system incorporates the maintenance of the informatization facilities, data recovery backup and recovery, management of data and business changes, authority management and information safety management.5.2 各专业管理部门负责本体系内对于信息化需求的申报以及按照业务需求以及操作规范操作信息系统。

计算机信息网络国际联网安全保护管理办法Computer Information Network and Internet Security, Protectionand Management Regulations(1997年12月11日国务院批准，1997年12月30日公安部发布)（Approved by the State Council on December 11，1997 and promulgated by the Ministry of Public Security on December 30，1997)第一章总则Chapter I。

Comprehensive Regulations第一条为了加强对计算机信息网络国际联网的安全保护，维护公共秩序和社会稳定，根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》和其他法律、行政法规的规定,制定本办法。

Article 1.In order to strengthen the security and the protection of computer information networks and of the Internet, and to preserve the social order and social stability，these regulations have been established on the basis of the ”PRC Computer Information Network Protection Regulations”，the ”PRC Temporary Regulations on Computer Information Networks and the Internet” and other laws and administrative regulations。