ISO27001：2013用户访问控制程序

XXXXXXXXX有限责任公司信息安全管理体系程序文件编号：XXXX-B-01～XXXX-B-41（符合ISO/IEC 27001-2013标准）拟编：信息安全小组日期：2015年02月01日审核：管代日期：2015年02月01日批准：批准人名日期：2015年02月01日发放编号: 01受控状态：受控2015年2月1日发布2015年2月1日实施[XXXX-B-01]信息安全风险管理程序[XXXX-B-02]文件控制程序[XXXX-B-03]记录控制程序[XXXX-B-04]纠正措施控制程序[XXXX-B-05]预防措施控制程序[XXXX-B-06]内部审核管理程序[XXXX-B-07]管理评审程序[XXXX-B-08]监视和测量管理程序A6[XXXX-B-09]远程工作管理程序A7[XXXX-B-10]人力资源管理程序A8[XXXX-B-11]商业秘密管理程序A8[XXXX-B-12]信息分类管理程序A8[XXXX-B-13]计算机管理程序A8[XXXX-B-14]可移动介质管理程序A9[XXXX-B-15]用户访问管理程序A9[XXXX-B-16]信息系统访问与监控管理程序A9[XXXX-B-17]信息系统应用管理程序A10[XXXX-B-18]账号密码控制程序A11[XXXX-B-19]安全区域管理程序A12.1.2[XXXX-B-20]变更管理程序A12.1.3[XXXX-B-21]容量管理程序A12.2.1[XXXX-B-22]恶意软件管理程序A12.3[XXXX-B-23]重要信息备份管理程序A12.6[XXXX-B-24]技术薄弱点管理程序A13[XXXX-B-25]电子邮件管理程序A13[XXXX-B-27]信息安全沟通协调管理程序A13[XXXX-B-28]信息交换管理程序A14.2.9[XXXX-B-29]信息系统验收管理程序A14.2[XXXX-B-30]信息系统开发建设管理程序A14[XXXX-B-31]软件开发管理程序A14[XXXX-B-32]数据安全管理程序A14[XXXX-B-33]OA管理程序A15.2[XXXX-B-34]第三方服务管理程序A15[XXXX-B-35]供应商管理程序A15[XXXX-B-36]相关方信息安全管理程序A16[XXXX-B-37]信息安全事件管理程序A17.2[XXXX-B-38]信息处理设施管理程序A17[XXXX-B-39]业务持续性管理程序A18[XXXX-B-40]信息安全法律法规管理程序A18[XXXX-B-41]知识产权管理程序XXXXXXXXX有限责任公司知识产权管理程序[XXXX-B-41]V1.0知识产权管理程序变更履历1 目的通过对知识产权的流程管理，规范整个知识产权管理工作，保证知识产权管理工作的每个环节的合理性、有效性和流畅，为组织的知识产权保护与管理奠定基础。

XXXXXX软件有限公司人性化科技提升业绩信息资产分类分级管理程序目录1.目的和范围 (2)2.引用文件 (2)3.职责和权限 (3)4.信息资产的分类分级 (3)4.1信息资产的分类 (3)4.2信息资产的分级管理 (4)4.3信息资产分类指导 (5)5.信息分级标识 (5)5.1分级标识编号 (5)5.2公司绝密、机密信息定义 (6)5.3各密级知晓范围 (6)5.4分级标识编号可作为分级标识使用 (7)6.公司秘密信息使用管理 (8)6.1涉密信息的保管 (8)6.2涉密信息的访问限制 (9)6.3涉密信息的使用 (10)6.4涉密信息发送 (12)6.5涉密信息的废弃处置 (13)7.保密原则 (14)1.目的和范围为降低公司重要资产因遗失、损坏、篡改、外泄等事件带来的潜在风险，这些风险将对公司的信誉、经营活动、经济利益等造成较大或重大损失，需要规范信息资产保护方法和管理要求，特制订本管理制度。

本规定适用于本公司信息资产的安全管理，适用对象为本公司员工和所有外来人员。

特殊岗位或特殊人员，另有规定的从其规定。

公司信息资产是指一切关系公司安全和利益，在保护期内只限一定范围内人员知悉、操作、维护的事物、文档、项目、数据等资源。

2.引用文件1)下列文件中的条款通过本规定的引用而成为本规定的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

2)GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求3)GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则4)《备份管理规定》5)《访问控制程序》6)《文件控制程序》3.职责和权限本管理规定作为全公司范围信息类资产的最低管理要求，各部门或各项目组，均可以根据客户要求，添加补充策略，并在本部门、本项目组内实施，与本规定一起，作为信息安全管理的工作指南。

最新ISO27001：2013信息安全管理体系一整套文件(手册+程序)1.信息安全管理手册2.信息安全管理程序文件XXXXXX技术服务有限公司版本：A/0受控状态：XXXXXX技术服务有限公司信息安全管理手册(依据GB/T22080-2016)编制：文件编写小组审批： XXX版本：A/0受控状态：受控文件编号：LHXR-ANSC-20182018年4月20日发布 2018年4月20日实施管理手册修改记录页：序号修改原因修改内容版本日期修改者审核者目录0.1 颁布令 (5)0.2 管理者代表任命书 (6)0.3关于成立管理体系工作小组的决定 (7)0.4 公司简介 (8)0.5 组织结构 (8)0.6 信息安全方针与目标 (9)1.0 信息安全方针 (9)2.0 信息安全目标 (9)1.0 范围 (9)1.1 总则 (9)1.2 适用范围 (10)1.3 删减说明 (10)2.0规范性引用文件 (10)3.0 术语与定义 (11)3.3计算机病毒 (11)3.15 相关方 (12)3.16本公司 (12)3.17管理体系 (12)4.0 组织环境 (12)4.1理解组织及其环境 (12)4.2利益相关方的需求和期望 (13)4.3确定信息安全管理体系范围 (13)4.4信息安全管理体系 (14)5.0 领导力 (14)5.1领导和承诺 (14)5.2方针 (15)5.3组织的角色、责任和权限 (15)6.0 规划 (18)6.1 应对风险和机会的措施 (18)6.2 信息安全目标及其实现规划 (20)7.0 支持 (20)7.1资源 (20)7.2能力 (21)7.3意识 (21)7.4沟通 (21)7.5文件化信息 (22)8.0 运行 (24)8.1运行规划和控制 (24)8.2信息安全风险评估 (25)8.3信息安全风险处置 (25)9.0 绩效评价 (25)9.1 监视、测量、分析和评价 (25)9.2 内部审核 (25)9.3 管理评审 (26)10.0 改进 (28)10.1不符合及纠正措施 (28)10.2 持续改进 (29)附1信息安全管理体系职责对照表 (30)0.1 颁布令为提高XXXXXX技术服务有限公司的信息安全管理水平，保障我公司业务活动的正常进行，防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失，我公司于2018年4月开展贯彻GB/T22080-2016《信息技术-安全技术-信息安全管理体系要求》国际标准工作，建立、实施和持续改进文件化的信息安全管理体系，制定了XXXXXX技术服务有限公司《信息安全管理手册》。

ISO27001信息网络访问控制程序1 目的为加强内部企业网、Internet网络及网络服务的管理，对内部和外部网络的访问均加以控制，防止未授权的访问给网络和网络服务带来的损害，特制定此程序。

2 范围本程序适用于内部企业网、Internet网络及网络服务的管理。

3 相关文件4 职责4.1 网络管理员负责对网络服务的开启与管理。

4.2 网络管理员负责审批与实施内网、外网的开启。

4.3 信息科技部内部员工必须遵守此程序，网络管理员有监督检查的责任。

4.4 文档管理员负责文档的收录与管理。

5 程序5.1 网络和网络服务使用策略5.1.1 IT信息科技部定期（每年）对机关办公楼各部（中心）人员的网络配置情况进行一次全面的普查和登记，填写《市行机关办公楼、内外网络接入申请单》备档，严格控制外网入网的人员数量，决不允许一机器登录双网（采用双网卡或双网线）的现象出现，登陆外网的计算机必须装有病毒查杀软件，确保现有的网络资源和网络安全。

5.1.2 IT各部（包括信息科技部）后续需要增加使用内外网结点数量，开展IT 业务，要填写《市行机关办公楼、内外网络接入申请单》如果需要某种网络服务的话请在“网络接入需求原因中体现”，经所在部门总经理签字后递交给信息科技部，由网络管理员实施并交由文档管理员进行备案。

5.1.3 申请使用Internet网，应当具备下列条件之一。

（1）IT开展的营业活动必须要通过网上查询交易的。

（2）助理以上的机关领导干部工作需要上网的。

（3）因工作需要，经部门总经理批准的本部门员工（不能超过员工总数的1/3）。

5.1.4 经批准允许登录内外网的工作人员不得从事下列危害计算机网络安全和信息安全的业务：（1）制作或者故意传播计算机病毒以及其他破坏性程序；（2）非法侵入计算机信息系统或者破坏计算机信息系统功能、数据和应用程序；（3）相关法律、行政法规所禁止的其他行为；（4）有损IT形象的行为；5.1.5 经批准允许登录Internet网络工作人员不得利用互联网制作、复制、查阅、发布、传播含有下列内容的信息；（1）外泄IT内部商业机密；（2）反对宪法所确定的基本原则的；（3）危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的；（4）损害国家荣誉和利益的；（5）煽动民族仇恨、民族歧视，破坏民族团结的；（6）破坏国家宗教政策，宣扬邪教和愚昧迷信的；（7）散布谣言，扰乱社会秩序，破坏社会稳定的；（8）散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的；（9）侮辱或者诽谤他人，侵害他人合法权益的；（10）法律、行政法规禁止的其他内容。

Information technology- Security techniques-Information security management systems-Requirements 信息技术-安全技术-信息安全管理体系-要求Foreword前言ISO (the International Organization for Standardization) and IEC (the International Electro technical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.ISO（国际标准化组织）和IEC（国际电工委员会）是为国际标准化制定专门体制的国际组织。

XXXXXX软件有限公司人性化科技提升业绩访问控制制度目录1.目的和范围 ......................................................................................................................................................................... 3.2.引用文件 ...............................................................................................................................................................................3.3.职责和权限 .......................................................................................................................................................................... 3.4.用户管理 ............................................................................................................................................................................... 3.4.1.用户注册 ............................................................................................................................................................................... 3.4.2.用户口令管理..................................................................................................................................................................... 4.5.权限管理 ............................................................................................................................................................................... 4.5.1.用户权限管理原则 (4)5.2.用户访问权限设置步骤 (5)6.操作系统访问控制 (5)6.1.安全登录制度..................................................................................................................................................................... 5.6.2.会话超时与联机时间的限定 (5)7.应用系统访问控制 (6)8.In ternet 访问控制 ....................................................................................................................................................... 7.9.网络隔离 ............................................................................................................................................................................... 7.10.信息交流控制措施....................................................................................................................................................... 7.11.远程访问管理 ................................................................................................................................................................ 8.10.1.远程接入的用户认证 (8)10.2.远程接入的审计............................................................................................................................................................. 9.12.无线网络访问管理........................................................................................................................................................ 9.13.笔记本使用及安全配置规定 (9)14.外部人员使用笔记本的规定 (10)15.实施策略 (10)16.相关记录 (10)1.目的和范围通过控制用户权限正确管理用户，实现控制办公网系统和应用系统访问权限与访问权限的分配，防止对办公网系统和应用系统的非法访问，防止非法操作，保证生产系统的可用性、完整性、保密性，以及规范服务器的访问。

用户访问控制程序（依据IS027001标准）1.目的为明确公司信息系统的访问控制准则，确保访问控制措施有效，特制定本程序。

2.范围本程序适用操作系统、数据库、各应用系统的逻辑访问控制，物理访问按《安全区域控制程序》进行控制。

3.职责与权限3.1技术部负责公司信息系统相关访问权限的分配、审批，以及帐号口令管理。

3.2其他部门各部门根据实际需要向技术部提交账号及访问权限的申请，协助技术部人员对用户账号及权限进行定期复查。

4.相关文件a) 《计算机管理程序》5.术语定义无6.控制程序6.1访问控制策略6.1.1 本公司目前的网络服务主要有互联网上网服务，供内部员工进行日常办公。

6.1.2 公司办公电脑仅能通过有线网络线缆接入公司网络，无线网络仅供经过公司授权的人员使用。

6.1.3 用户不得访问或尝试访问未经授权的网络、系统、文件和服务。

6.1.4 外部来访人员需要使用公司网络服务必须经过相关负责人同意，才能授权其使用。

不得将访问密码随意告知不必要的人员。

6.1.5 外部来访人员需要使用公司无线网络时应经过公司授权并登记后，无线网络管理人员应代为输入访问密码，不得直接告知密码，确保无线访问密码的安全。

6.1.6外部人员离开时应及时收回其访问权限，并根据情况及时修改原来的访问密码。

6.1.7用户不得以任何方式私自安装路由器、交换机、代理服务器、无线网络访问点（包括软件和硬件）等。

6.1.8用户不得私自撤除或更换网络设备。

6.1.9公司内部网络及系统的维护一般采用现场维护，如确有需要使用远程方式维护，应确保有相应的身份验证（如登录密码）等安全保护措施，远程维护完毕应及时关闭远程维护端口。

6.1.10公司员工在不必要的情况下尽量不要使用文件共享，一定要使用共享文件时，应对共享文件进行加密保护，并及时通知需要获取共享信息的人员，还应及时撤消文件共享。

6.1.11根据公司实际情况及安全需要，可考虑将自动设备鉴别作为一种证明从特定位置和设备进行连接的手段，如IP地址对应计算机名。

门禁系统操作规范1.用户名密码的输入缺省的用户名：hkk 密码：hkk（注意：用户名用小写）。

该用户名和密码可在软件里更改。

2.查询控制器信息点击【基本操作】/【总控制台】，选择所属控制器的门后，点击【检测】将显示该门所在控制器的基本信息，运行信息中如果有红色提示，表示控制器的设置和软件设置不一样，请进行上传设置来达到一致。

3.更改门名称和设置开门延时时间在【总控制台】界面中，鼠标右键单击某个门会弹出菜单。

可以设置延时和改门名。

所谓开门延时时间，是指门打开多长时间后会自动关闭，缺省是3秒，可设置为1－6000秒之间的任一时间。

4.设置部门和班组名称单击【基本设置】/【部门班组】，单击【添加部门】可添加部门名称。

想给该部门下再添加班组，可以单击【添加班组】。

5.添加注册卡用户单击【基本设置】/【用户】单击【添加】然后在文本输入栏中填写您要添加的相应姓名卡号(在ID感应卡表面一般会印刷两组号码，0013951989 212 58357 前面10位数为内置出厂号不用管他，后面212 58357 中间的空格不要，这8位数就是真正的卡号。

如果卡上没有印刷卡号,请用实时监控功能来获取卡号)。

选择相应的部门和班组名称。

除卡号外所有的信息都可以修改。

如果卡遗失，请到（基本设置――挂失卡）菜单中挂失相应的卡片。

一般的软件挂失卡后会用新卡号全部修改以前的记录设置，我们的软件会进行科学的标注，以前的记录继续可以保留。

输入姓名，卡号和工号，并选择相片和部门班组，点击确定便可完成用户的添加操作。

请注意：姓名和卡号必须填写。

需要考勤，请在图标前打勾。

不需要考勤，将图标前的勾删除。

单击该按钮后，并自动切换到下一个用户的信息录入窗口。

单击该按钮后，就已经将该用户加入系统中。

6.添加和设置注册卡进出权限单击【门禁设置】\【权限】进入以下界面点击【添加删除权限】点击来单个选择用户和门；点击可以进行全选。

在该界面中按Ctrl+F输入用户编号、姓名、卡号查找用户。

xx电子商务技术有限公司版本：A
远程工作控制程序
JSWLS/IP-33-2009
编制：xx
审核：xx
批准：xx
2009-6-28发布2009-7-1实施xx电子商务技术有限公司发布
程序文件修改控制
远程工作控制程序
1 目的
为对本公司远程工作实施有效控制，确保信息安全，特制定本程序。

2 范围
本程序适用于远程工作的授权和安全控制。

远程工作是指在公司之外访问公司内部网络，不包括对公司网站的浏览。

3 职责
3.1 总经理负责审批新远程工作方式的审批。

3.2 部门负责人负责远程工作人员的审批。

3.3 办公室负责远程工作技术控制和监督。

3.4 远程工作人员负责远程工作相关信息和身份鉴别标识的保护。

4 相关文件
4.1《信息安全管理手册》
4.2《用户访问控制程序》
4.3《网络设备安全设置控制程序》
4.4《信息系统监控控制程序》
5 程序
5.1 远程工作方式
5.1.1 在公司外部使用公司的电子邮件系统收发电子邮件。

XXXXXXXXX有限责任公司信息系统应用管理程序[XXXX-B-17]V1.0发布日期2015年02月01日发布部门信息安全小组实施日期2015年02月01日变更履历版本变更履历变更人/变更日期审核人/审核日期批准人/批准日期1.0 初次发布信息系统应用管理程序1 目的为实施对公司信息系统应用活动的控制，特制定本程序。

2 范围本程序规定了信息系统应用的控制策略、应用需求、开发、测试、培训、故障处理、检查监督和考核，适用于信息系统应用活动的管理。

3 职责3.1 技术部负责按照应用系统的应用控制要求，指导各部门的使用，保证应用系统应用的规范性，协助各部门进行应用推广、检查监督与考核。

3.2 各职能部门应用系统所涉及业务的职能部门，负责系统的控制策略执行。

4 程序4.1 系统操作的控制策略4.1.1 技术部负责建立《应用系统一览表》，明确系统管理的职责。

各应用系统必须确定相应的系统管理员。

系统管理员不能由安全管理员兼任。

4.1.2各部门应对系统实用程序的使用进行限制和严格控制，严禁使用如优化大师，超级兔子等改变应用系统的工具，只有经过总经理授权使用的系统管理员方可使用实用工具网管软件等，且必需服从网络安全管理员检查监督和管理。

并由技术部建立《系统实用工具一览表》。

4.1.3 信息系统的访问控制，应用系统应严格按《用户访问管理程序》执行。

禁止访问系统中应用程序的用户使用系统实用工具。

因未按《用户访问管理程序》授权的用户访问造成的信息安全事件，技术部领导负主要责任。

4.1.4 应用系统的用户必须遵守各应用系统的相关管理规定，必须服从技术部系统管理员的检查监督和管理。

因应用系统用户未按相应的应用管理程序使用系统造成的信息安全事件，应用系统用户负主要责任。

4.1.5 信息系统用户不得利用信息系统做任何危及本公司、部门、他人或其他无关的活动。

4.1.6 信息系统用户必须严格执行保密制度。

对各自的用户帐号负责，不得转借他人使用。

密级等级：机密受控状态：受控文件编号：HW用户访问管理程序2019年01月10日广东***技术股份有限公司变更履历1 目的为对本组织各种应用系统的用户访问权限（包括特权用户及相关方用户)实施有效控制，杜绝非法访问，确保系统和信息的安全，特制定本程序。

2 范围本程序适用于本组织的各种应用系统涉及到的逻辑访问的管理。

3 职责各部门负责访问权限的申请、审批。

研发中心负责访问控制的技术管理以及访问权限控制和实施。

行政中心负责外来人员物理访问控制。

负责向各部门通知人事变动情况。

4 相关文件《信息安全管理手册》《口令策略》5 程序访问控制策略组织内的信息根机密感等级，分别向不同职位的员工公开。

a)组织的宣传文件、制度、培训材料、参考文献可向全体员工公开；b)人事信息只对人力资源部开放；c)财务信息只对财务部开放；d)研发信息只对研发人员开发；e)业务信息只在相关业务人员间公开。

研发中心人员根据不同类别的信息，设置其访问权限。

用户不得访问或尝试访问未经授权的网络、系统、文件和服务。

各系统信息安全管理小组应编制《系统访问权限说明书》，明确规定访问规则。

用户访问管理权限申请所有员工用户，包括相关方人员均需要履行访问授权手续。

申请部门根据业务、管理工作的需要，确定需要访问的系统和访问权限，经过本部门经理同意后，向信息安全管理小组提交《用户访问授权申请表》，信息安全管理小组在《用户访问授权登记表》上登记。

《用户访问授权申请表》应对以下内容予以明确:a)权限申请人员；b)访问权限的级别和范围；c)申请理由；d)有效期。

经部门主管审核批准后，研发中心将根据《用户访问授权申请表》实施授权。

相关方和第三方服务人员的访问申请由负责接待的部门按照上述要求予以办理。

但相关方和第三方服务人员不允许成为特权用户。

必要时，相关方人员需与访问接待部门签订《相关方保密协议》或《第三方服务保密协议》。

特殊权限的管理对于信息处理设施（硬件、软件和物理区域）的特殊权限应尽力控制在最小的范围内，对特殊权限的授权应有填写《特殊权限授权书》，经总经理批准后方可实施。

XXXXXXXXX有限责任公司远程工作管理程序[XXXX-B-09]V1.0变更履历1 目的为对本公司远程工作实施有效控制，确保在远程工作场地访问、处理或存储的信息安全，特制定本程序。

2 范围本程序适用于远程工作的授权和安全控制。

远程工作是指在公司之外访问公司内部网络，不包括对公司网站的浏览。

3 职责3.1 管理者代表负责审批新远程工作方式的审批。

3.2 部门负责人负责远程工作人员的审批。

3.3 技术部负责远程工作技术控制和监督。

3.4 远程工作人员负责远程工作相关信息和身份鉴别标识的保护。

4 相关文件《信息安全管理手册》《用户访问管理程序》《电子邮箱管理程序》《网络设备安全设置管理程序》《信息系统监控管理程序》5 程序5.1 远程工作方式5.1.1 在公司外部使用公司的电子邮件系统收发电子邮件。

5.1.2 技术部工程师远程连接重要服务器。

5.1.3 外部公司远程连接相关系统进行诊断和维护。

5.2 远程工作策略5.2.1 远程工作的方式必须获得技术部的认可，并获得管理者代表的授权，任何部门和个人不得私设可以远程访问的接口。

5.2.2 远程工作应仅限于申请的设备和地点，严禁在公共计算机设备（例如网吧）上进行。

5.2.3 远程工作人员范围仅限于工作需要的人员，且必须获得部门负责人的书面授权。

5.2.4 远程工作人员不得将远程工作身份识别信息和相关设备透露、借用给其他人员，工作结束后应该立即注销并断开远程连接。

5.2.5 远程工作的相关通信和设备必须接受技术部的相关配置和监控。

5.2.6 远程工作的访问权限不允许超过该人员在公司内部网的正常访问权限，并符合公司的《用户访问管理程序》。

5.2.7 外公司需要连接本公司网络进行系统维护或故障诊断应该签订《保密协议》，明确对方的保密责任和相关安全要求。

5.3 授权程序5.3.1 在公司外部使用公司的电子邮件系统收发电子邮件，按《电子邮箱管理程序》进行。

5.3.2 各部门根据工作需要确定远程工作的方式和人员，填写《远程工作申请书》,经本部门负责人批准后，提交技术部。

XXXXXXXXX有限责任公司账号密码控制程序[XXXX-B-18]Ver 1.0变更履历1 目的为维护网络安全运行，确保公司各项文件资料不受促进各类密码统一管特制订此制度 。

2 范围 本程序适用于单位全体人员。

3 账号、密码设置对象： 1. 服务器（域名、云平台、各部门存档 ） 账号密码等 ； 2. 公司网站用户（云平台、应用系统后台账号等）3. 公司官网、微信、微博等与公司宣传有关的账号、密码 ；4. 因工作需要 ，在政府或第三方机 构等网站注册的账号、密码 ； 5. 需加密的文件资料 ； 6. 上述未列出的莫他与工作有关的账号密码。

4 密码的设置 1. 公司各项密码由直接责任人及部门负责人商议确定，密码可由直接责任人设定并报部门负责人知晓及备案。

2. 密码内容设置规则：必须由数字、字符和特殊字符组成，；密码长度不能少于 8 个字符，，，机密级对象，设置的密码长度不得少于10 个字符；设置密码时应尽量避开有规律、易破译的数字或字符组合。

3. 公司因实际需求，修改（更换） 各项密码，须向责任人申请，并得到部门负责人同意才允许更改密码。

4. 密码由部门负责人通知相关人员及时修改相应密码。

5. 定期更换周期：一般服务器密码更换周期不得超过60天。

5 账号和密码的保存1. 公司设置的各 2. 公司的各项密码均由各部门负责人负责建立《密码信息表》管理保存、及时更新，须将《密码信息表》提交至技术部档案管理员备份。

档案管理员按月进行核查。

3. 各项密码直接责任人对所管理的密码，严禁通过各种渠道漏密，切勿出现忘记密码、遗失密码等情况。

否则将视情况承担相应工作失职的责任部门负责人亦将承担部门管理连带责任。

4.如发现密码有泄密迹象或黑客破解密码应立刻报告上级领导，并严查泄密源头、修补系统漏洞，采取一切可行的方式规避公司损失并将详细情况以书面形式及时上报上一级领导。

6 密码学目标：恰当和有效的利用密码学保护信息的保密性、真实性或完整性。

XXXXXXXXX有限责任公司信息系统访问与使用监控管理程序[XXXX-B-16]V1.0变更履历1 目的为了加强信息系统的监控，对组织内信息系统安全监控和日志审核工作进行管理，特制定本程序。

2 范围本程序适用于XXXXXXXXX有限责任公司信息系统安全监控和日志审核工作的管理。

3 职责3.1 技术部为网络安全的归口管理部门。

3.2 网络安全管理员负责对信息系统安全监控和日志的审核管理。

4 相关文件《信息安全管理手册》《信息安全事件管理程序》5 程序5.1 日志技术部负责生成记录信息系统网络设备运行状况、网络流量、用户活动、例外和信息安全事件的监测日志，并保存半年，以支持将来的调查和访问控制监视活动。

系统管理员不允许删除或关闭其自身活动的日志。

日志记录设施以及日志信息应该被保护，防止被篡改和未经授权的访问。

应防止对日志记录设施的未经授权的更改和出现操作问题，包括：a)对记录的信息类型的更改；b)日志文件被编辑或删除；c)超过日志文件媒介的存储容量，导致事件记录故障或者将以往记录的事件覆盖。

5.2 日志审核技术部IT专职人员每周审核一次系统日志，并做好《日志审核记录》。

对审核中发现的问题，应及时报告行政部进行处理。

对审核发现的事件，按《信息安全事件管理程序》进行。

5.3 巡视巡检巡视人员负责每天监控巡视，技术部安全管理员每周进行一次监控巡视。

新系统投入运行前必须对系统的监控巡视人员进行技术培训和技术考核。

监控巡视人员按信息资源管理系统的要求进行系统监控和巡视，并填写运维记录报告。

监控巡视期间发现问题，应及时处理，并在运维记录中填写异常情况。

监控巡视人员应进行机房环境、信息网络、应用系统的巡视，每天记录机房温度、防病毒情况、应用系统运行情况等。

巡视人员的巡视巡检按《信息处理设施维护管理程序》进行。

5.4 职责分离为防止非授权的更改或误用信息或服务的机会，按要求进行职责分配。

另见《用户访问管理程序》、《IT工程师职位说明书》5.5审计记录（日志）及其保护5.5.1 技术部负责生成记录信息系统网络设备运行状况、网络流量、用户活动、例外和信息安全事件的监测日志，并保存半年，以支持将来的调查和访问控制监视活动。

文件控制程序目录1.目的和范围 (2)2.引用文件 (2)3.职责和权限 (2)4.管理内容及控制要求 (2)4.1文件的分类 (2)4.2文件编制 (3)4.3文件标识 (3)4.4文件的发放 (4)4.5文件的控制 (4)4.6文件的更改 (5)4.6.1文件更改申请 (5)4.6.2文件更改的审批或评审 (5)4.6.3文件更改的实施 (5)4.6.4版本控制 (5)4.7文件的评审 (6)4.8文件的作废 (6)4.9外来文件的管理 (6)4.10文件的归档 (6)5.相关记录 (6)1.目的和范围为了有效控制信息安全管理体系文件，对文件的编制、审核、批准、标识、发放、管理、使用、评审、更改、修订、作废等过程实施有效控制，确保部门使用现行的有效版本，特制订本制度。

本制度适用于信息安全管理体系文件的管理。

2. 引用文件1)《合规性实施制度》2)《信息资产分类分级管理制度》3.职责和权限1)总经办是信息安全管理体系文件的归口部门，负责信息安全有关的所有文件的管理与控制。

2)各部门：负责本部门信息安全管理文件的管理与控制。

4.管理内容及控制要求4.1文件的分类信息安全管理体系文件主要包括：1)第一层：信息安全管理手册、信息安全目标、信息安全适用性声明（SOA）、信息安全策略；2)第二层：制度文件；3)第三层：各管理规定、管理办法、流程、作业指导书（指南）及外来文件等；4)第四层：记录、表单。

记录控制执行《记录控制制度》。

4.2文件编制文件编制要有充分的依据，体现系统协调，可操作、可检查的原则。

1)第一层：信息安全管理手册由体系负责人组织编写，信息安全管理者代表审核，总经理批准发布。

2)第二、三层：由相关责任部门编写，信息安全管理者代表审核，总经理批准发布。

3)第四层：由相关责任部门编写，文档负责人审批，信息安全管理者代表批准发布。

4.3文件标识所有文件必须有明确的标识，包括：文件的名称、编号、版本号、密级标识等。