ISMS-2016信息系统监控管理程序

监视和测量管理程序1目的通过对各项控制措施满足控制目标的实现程度及法律、法规符合性的监视、测量与分析，为策划、实施、持续改进信息安全与服务管理体系提供依据。

2范围本程序适用于对本公司区域内所有业务职能部门的安全特性控制、绩效及管理体系运行的监视和测量。

3职责3. 3.1管理者代表4. 1.l负责掌握信息安全与服务管理体系的总体运行情况，并向总经理汇报，对总经理负责。

4.1.2负责每年至少一次组织对本公司职能部门目标、指标的完成情况进行考核。

3.2运营管理部3.2.1负责本程序的编制、修订和监督实施。

3.2.2负责定期对各职能业务部门进行监视和测量，对各职能业务部门的监视和测量执行情况进行监督、检查和指导，为纠正和预防提供信息。

3.2.31负责收集项目交付后的顾客满意程度信息，并进行汇总、分析和传递。

3.3运维服务部3.3.1负责收集项目运维过程的顾客满意程度信息，并进行汇总、分析和传递。

4工作程序4.1监视和测量的范围及依据4.1.1根据本公司业务范围内信息资产的控制范围，确定监视和测量范围。

4. 1.2测量的范围一般包括：a）控制措施的实现过程；b）关键特性；控制措施实现目标程度；适用法律、法规的符合性；业务持续性控制措施；事故、事件和其它不良的绩效；c）不可接受风险计划中确定的措施；cl）顾客信息安全的满意程度。

4. 1.3监视和测量的依据是法律法规、技术标准、顾客合同、适用性声明、管理手册、程序文件等。

4.3.监视和测量的要求应按照国家及地方技术规范规定和顾客要求的检验和试验项目、标准、方法进行监视和测量。

4.4.监视和测量的实施4.3.1本公司运营管理部根据各职能部门确立的监视和测量范围，确定监视和测量的依据、项目、关键特性、频次、使用的仪器设备等。

4.3.2监视和测量可选择的方法a.对控制过程进行日常检查；b.信息安全措施状况的抽查；c.设备装置的检查；d.作业环境的监视；e.记录检查。

文件编号：XX-ISMS-OP-16发布日期：2023.06.01版本号：A0生效日期：2023.06.01文件审批和修订履历页修订履历（由文件制订/修订人每次更改时填写）修订版本修订内容概述修订人生效日期制订与审核（二级文件由管理者代表审核；三级文件由部门负责人审核）编制部门及职务：审核部门及职务：核准部门及职务：签名/日期：签名/日期：签名/日期：DCC校对：校对日期:文件编号：XX-ISMS-OP-16发布日期：2023.06.01版本号：A0生效日期：2023.06.011目的本程序的目的是考量新建信息系统所需的运行能力，在规划和部署信息系统时能够满足公司在一段时期内的应用，主要是从系统可用性角度出发。

2范围适用于对公司全部信息管理系统。

3定义无4职责4.1信息安全管理小组：评审系统方案4.2各部门（1）系统运行情况分析；（2）制定系统处理能力规划；4.3网络管理员（1）支撑系统运行情况分析；（2）基础系统运行情况数据收集；4.4信息安全专员应参与规划书评审，对新系统的信息安全保障能力进行评价。

5内容在新建系统的规划时期，相关部门需充分评估其应有的处理能力以及适用性。

网络管理员应客观评估信息基础系统、信息支撑系统等运行情况（如：网络系统、邮件系统等）并提出参考意见。

信息安全专员参与规划书评审，了解新系统功能，对新系统的信息安全保障能力进行评价。

信息安全管理小组应以公司、部门发展目标为导向，综合评审该系统的适用性、遵从性，文件编号：XX-ISMS-OP-16发布日期：2023.06.01版本号：A0生效日期：2023.06.01同时参考业界、同行业部署情况，最终由决策层决定。

6相关文件无7相关表格无8.附录：。

********有限公司信息安全管理体系文件信息系统监控管理程序ISMS-0308-2017受控状态受控版本A/0编制：审核：批准：2017-1-10发布 2017-1-10实施修订履历版本变更履历变更人/变更日期审核人/审核日期批准人/批准日期A/0初次发布信息系统监控管理程序1 目的为了加强信息系统的监控，对公司信息系统安全监控和日志审核工作进行管理，特制定本程序。

2 范围适用于公司信息系统安全监控和日志审核工作的管理。

3 职责3.1 开发部为网络安全的归口管理部门。

3.2 网络安全管理员负责对信息系统安全监控和日志的审核管理。

4 程序4.1 审计记录（日志）及其保护4.1.1 开发部负责生成记录信息系统网络设备运行状况、网络流量、用户活动、例外和信息安全事件的监测日志，并保存半年，以支持将来的调查和访问控制监视活动。

4.1.2 系统管理员和系统操作员的活动应记入日志，系统管理员不允许删除或关闭其自身活动的日志。

4.1.3 日志记录设施以及日志信息应该被保护，防止被篡改和未经授权的访问。

4.1.4 应防止对日志记录设施的未经授权的更改和出现操作问题，包括：a) 对记录的信息类型的更改；b) 日志文件被编辑或删除；c) 超过日志文件媒介的存储容量，导致事件记录故障或者将以往记录的事件覆盖。

4.2 监视4.2.1 安全管理员应至少每月进行一次日志审核(路由器可采取一周一次)，以确保用户执行被明确授权的活动。

4.2.2 系统管理员应做好定期检查日志内容，评审安全情况。

评审的内容包括：授权访问、特权操作、非授权的访问试图、系统故障与异常等情况，评审结束应形成《日志检查评审记录》。

4.2.3 开发部应对信息网络、防火墙及日志进行巡视，记录防病毒情况、系统运行情况等。

4.2.4 巡视发现故障日志，应予评审和处置，以确保已满意地解决故障。

4.3 时钟同步4.3.1公司网络和系统采用网络时间协议保持所有服务器与主时钟同步。

网络信息安全管理体系（ISMS）的建立与运作随着互联网的快速发展和普及，网络信息安全问题日益引起人们的关注。

为了保护个人、组织和国家的网络信息安全，建立网络信息安全管理体系（ISMS）成为当务之急。

本文将探讨网络信息安全管理体系的建立与运作。

一、网络信息安全管理体系的定义与目标网络信息安全管理体系（Information Security Management System，ISMS）是一种基于国际标准（如ISO 27001）、策略和程序的一套综合性安全控制措施，旨在管理组织的信息资产，确保其机密性、完整性和可用性。

ISMS的主要目标是：1. 保护组织的信息资产免受未经授权的访问、使用、披露、破坏、修改、复制或泄漏；2. 遵守法律法规和合同要求，保障信息资产的合规性；3. 确保持续的业务连续性，降低信息安全事件对组织的影响；4. 提升信息安全意识和能力，建立安全文化。

二、网络信息安全管理体系的建立与运作步骤1. 制定网络信息安全政策网络信息安全政策应由企业高层领导制定，并明确表述企业的信息安全目标和原则。

该政策应与组织的使命和价值观保持一致，并经常进行评估和修订。

2. 进行信息资产风险评估通过对组织的信息资产进行全面的风险评估，识别潜在的威胁和漏洞。

评估结果将帮助决策者确定需要采取哪些安全措施，并为后续的安全管理决策提供科学依据。

3. 制定信息安全控制措施根据信息资产风险评估的结果，制定适当的信息安全控制措施，包括技术控制、物理控制和组织控制等方面。

措施应根据风险的优先级和严重性进行优先级排序，并制定相应的实施计划。

4. 实施信息安全控制措施将制定好的信息安全控制措施付诸实施，并确保其得到全面有效执行。

这包括组织培训、技术实施、安全意识教育等方面的工作。

同时，确保员工、供应商和合作伙伴遵守相关安全规定。

5. 进行内部审核和管理评审定期进行ISMS内部审核，评估安全措施的有效性和合规性。

内部审核应由一支独立的团队进行，确保评审的客观性和准确性。

信息安全管理体系ISMS2016年6月考题2016信息安全管理体系（ISMS）审核知识试卷 2016年6月1、单选题1、密码就是一种用于保护数据保密性的密码学技术、由（）方法及相应运行过程。

A、加密算法和密钥生成B、加密算法、解密算法、密钥生成C、解密算法、密钥生成D、加密算法、解密算法2、计算机安全保护等级的第三级是（）保护等级A、用户自主B、安全标记C、系统审计D、结构化3、隐蔽信道是指允许进程以（）系统安全策略的方式传输信息的通信信道A、补强B、有益C、保护D、危害4、5、6、ISMS关键成功因素之一是用于评价信息安全A、测量B、报告C、传递D、评价7、防止恶语和移动代码是保护软件和信息的（）A、完整性B、保密性C、可用性D、以上全部8、以下强健口令的是（）A、a8mom9y5fub33B、1234C、CnasD、Password9、开发、测试和（）设施应分离、以减少未授权访问或改变运行系统的风险A、系统B、终端C、配置D、运行10、设备、（）或软件在授权之前不应带出组织场所A、手机B、文件C、信息D、以上全部11、包含储存介质的设备的所有项目应进行核查，以确保在处置之前，（）和注册软件已被删除或安全地写覆盖A、系统软件B、游戏软件C、杀毒软件D、任何敏感信息12、雇员、承包方人员和（）的安全角色和职责应按照组织的信息安全方针定义并形成文件A、第一方人员B、第二方人员C、第三方人员D、IT经理13、对于任用的终止或变化时规定职责和义务在任用终止后仍然有效的内容应包含在（）合同中。

A、雇员B、承包方人员C、第三方人员D、A+B+C14、ISMS文件的多少和详细程度取决于（）A、组织的规模和活动的类型B、过程及其相互作用的复杂程度C、人员的能力D、A+B+C15、为确保信息资产的安全，设备、信息和软件在（）之前不应带出组织A、使用B、授权C、检查合格D、识别出薄弱环节16、对于所有拟定的纠正和预防措施，在实施前应先通过（）过程进行评审。

德信诚培训网
更多免费资料下载请进： 好好学习社区
GB/T22080监视和测量管理程序
1 目的
通过对各项控制措施满足控制目标的实现程度及法律、法规符合性的监视、测量与分析，为策划、实施、持续改进信息安全管理体系提供依据。

2 适用范围
本程序适用于对本公司区域内所有业务职能部门的安全特性控制、绩效及管理体系运行的监视和测量。

3 术语和定义
引用GB/T22080-2008、GB/T19001-2008标准及本公司《信息安全管理手册》中的术语和定义。

4 职责
4.1 管理者代表
4.1.1 负责掌握信息安全管理体系的总体运行情况，并向最高管理者汇报，对最高管理者负责。

4.1.2 负责每半年组织对本公司职能部门目标、指标的完成情况进行考核。

4.2 DXC
4.2.1 负责本程序的编制、修订和监督实施。

4.2.2 负责每半年对各职能业务部门进行监视和测量，对各职能业务部门的监视和测量执行情况进行监督、检查和指导，为纠正和预防提供信息。

4.2.3 负责收集的顾客信息安全满意程度信息，并进行汇总、分析和传递。

信息系统监测管理程序（ISO27001-2013）1、目的对公司信息安全管理过程进行监控以保证信息安全管理体系的各项措施能够有效运行。

2、范围：本程序适用于公司信息安全管理体系运行中的各项安全事项监控和测量。

3、职责3.1IT部负责有关信息资产核对、信息安全管理制度执行情况检查、法律符合性审查和安全策略、标准以及技术符合性审查。

3.2总务部负责厂区监控系统管理、检查；3.3管理者代表负责对职业健康安全管理活动中的异常事项进行仲裁、内部审核以及目标监控。

3.4总经理负责进行管理评审以确保ISMS范围保持充分，ISMS过程的改进得到识别。

4、程序4.1管理者代表每年依据本公司信息安全方针、操作流程、信息安全法律、法规确定公司年度信息安全目标，每月对信息安全目标实现情况进行监控。

如发现偏离或与目标、指标不符合时，必须加以分析提出纠正措施，并对纠正措施的实施进行跟踪记录，直至偏离及不符合消失。

4.2内部审核执行《内部审核程序》。

4.3管理评审执行《管理评审程序》。

4.4法律符合性审查和安全策略（标准）以及技术符合性审查执行《法律符合性管理程序》，监测和测量结果与法律法规条文标准及要求、安全策略（标准）以及技术出现不符合或错误时，则按《信息安全事件报告，调查与处理程序》处理。

4.5硬件防火墙监控4.5.1IT每天检查防火墙日志、邮件日志4.5.2防火墙日志备份15天，每半个月分析一次，把攻击性网站屏蔽。

4.5.3邮件日志保存7天。

每月随机抽查10分邮件，检查有无违反公司安全策略。

发现不符合，则按《信息安全事件报告，调查与处理程序》处理。

4.5.4每月随机抽查QQ、MSN等聊天记录10份，查看有无发送附件。

发现不符合，则按《信息安全事件报告，调查与处理程序》处理。

4.6个人终端机的监控4.6.1终端机系统日志和应用程序日志保留7天，自动覆盖。

4.6.2 IT每月抽查10台终端机系统日志和应用程序日志，检查非法登录、软件安装、硬件安装及病毒处理记录。

深圳市首品精密模型有限公司信息系统监控管理程序文件编号:ISMS-2016变更履历1 目的为对信息部实施有效的系统监控管理，防止未经授权的信息处理活动。

2 范围本程序适用于信息部对所有信息系统的管理。

3 定义无4 职责4.1 网络管理员负责对核心系统的监控与管理。

4.2 运行监控机房值班人员负责监控系统的日常管理。

5 程序5.1 监控策略5.1.1 所有服务、防火墙、IDS和其他网络边界访问控制系统的系统审核、账号审核和应用审核日志必须打开，如果有警报和警示功能必须打开。

5.1.2 应记录用户活动、异常和信息安全事态的审计日志，记录应永久保存并每半年备份一次，确保记录可调查和访问的控制监视，任何人不得以任何理由删除保存期内的日志。

5.1.3 审核日志必须由网络管理员定期检查，特权使用、非授权访问的试图、系统故障和异常等内容应该得到评审，以查找违背信息安全的征兆和事实。

5.1.4 防火墙系统、IDS系统、漏洞扫描必须处于开启状态，在不经总经理授权，任何人不得将其中任何设备停止、更换或更新，由网络管理员定期评审，对所有可疑的非法访问行为和企图需及时向管理者代表汇报并采取相应的措施。

5.2 日志的配置最低要求5.2.1 操作系统、应用系统、数据库、网络设备的日志应形成日志保存和检查要求，明确其保存周期。

5.2.2 所有日志应在运行系统或设备内至少保存一年的有效记录，备份的日志信息应保存至少三年。

5.2.3 所有日志应该根据重要信息备份的原则进行定期备份。

5.3 管理过程5.3.1 网络管理员根据系统的安全要求确认日志内容、保存周期、检查周期，其最低要求不得低于5.2的要求。

如果因为日志系统本身原因不能满足5.2的最低要求，需要降低标准的，必须得到管理者代表的批准和备案。

5.3.2 网络管理员配置日志系统，并定期检查日志内容，评审安全情况。

评审的内容包括：授权访问、特权操作、非授权的访问试图、系统故障与异常等情况，评审结束应形成《日志评审记录》。

ISMS文件和资料管理程序1. 目的对信息安全管理体系所要求的文件进行控制，确保可获得适用文件的有效版本。

2. 适用范围本程序适用于公司各部门的信息安全管理体系有关的文件和资料控制和管理。

3. 职责3.1 DXC负责本程序文件的编制、更改、实施和控制管理；负责外来文件（国家、地方、上级和顾客与信息安全有关的文件和资料）的识别控制和管理。

3.2 DXC负责ISMS-1001《信息安全管理手册》的编制、发放、更改和控制管理，负责各程序文件编制工作的指导、印制、发放、更改和控制管理。

3.3 DXC负责编制规范、标准和标准图等有效版本控制清单，下发到相关部门和单位，并组织对作废版本进行识别；负责重大技术项目施工组织设计编制工作；参与竣工的审核验收工作。

3.4 DXC负责组织项目工程竣工资料的审核验收；参与重大工程项目施工组织设计编制工作。

3.5 DXC负责收集国家颁布的信息安全方面的法律法规并进行有效的控制和管理。

3.6各职能部门负责本部门所管辖的业务和相关的外来文件；以及内部文件资料的识别、控制与管理。

4. 文件和资料编号/版本规定4.1本公司采用X级层次文件编写法。

所有信息安全管理的文件（含记录）均以ISMS作为开头，规定由4或5个数字构成编号。

●首数字代表文件层次：1为手册、2为程序文件、3为作业指导书、4为表格记录；●第二层次文件中第二位数字全部为0，末两位为自然序号，从01开始往后排序；●第三层次文件中的第二位和第三位两个数字与第二层次文件的自然序列号相对应，第四或第五个数字为本层次的自然序列号；●第四层次的文件编号中第二、三两个数字全部对应需要填写此表格的程序文件或作业指导书，后两个数字为自然序列号；。

4.2版本及修订号的编制方法采用“英文字母自然排序/数字自然排序”法。

如：“A/0”。

以此类推。

第0次修定（按照数字自然顺序号，依次使用1、2、3……）第A版（按照英文字母自然排序，依次使用B、C、D……）版本及修订号的标注方法：1、2、3层次文件标注在封面。

文件管理程序1目的对信息安全与服务管理体系所要求的文件进行控制，确保可获得适用文件的有效版本，特制定本程序。

2范围本程序适用于公司各部门的信息安全与服务管理体系有关的文件和资料控制和管理。

3职责3.1总经理负责《信息安全与服务管理手册》、《适用性声明（SOA）》的批准。

3.2管理者代表负责《信息安全与服务管理手册》的审核和程序文件的批准工作。

3.3运营管理部3.3.1负责本程序文件的编制、更改、实施和控制管理；负责外来文件（国家、地方和顾客与信息安全与服务管理体系有关的文件和资料）的识别和管理。

3.3.2负责《信息安全与服务管理手册》的编制、发放、更改和控制管理，负责各程序文件编制工作的指导、印制、发放、更改和控制管理。

3.3.3负责收集国家颁布的信息安全与服务方面的法律法规并进行有效的控制和管理。

3.4各职能部门负责主管业务范围内信息安全与服务管理体系记录的编制、收集、保管和使用等工作。

4程序4.1工作流程4.2 文件的范围及标识4.2.1受控文件范围：a ）信息安全与服务管理手册（包括信息安全与服务与服务方针、信息安全与服务与服务目标）、适用性声明（SOA ）、策略；b ）IS02700kIS020000-1标准所要求的程序文件；C ）三层文件（作业文件）；d ）外来文件；e ）记录格式。

4.2.2信息安全与服务管理体系文件的标识4.2.2.1运营管理部应对信息安全与服务管理体系文件进行标识，标识号为文件编号，信息安全与服务管理手册的编号为ISMS-0001-2022其他文件标识号的编制如下：ISMS□□ □□—□□□□------- 文件版本号（年代号）------------------- 文件顺序号___________________________ 文件类别号------------------------------------- 信息安全与服务管理体系文件代号（信息、服务的英文单词首字母）除记录编号外，所有文件编号前缀有：“PANSOFT -"。

内部公开信息系统开发建设管理程序目录1 目的 (3)2 范围 (3)3 职责 (3)3.1 总经理 (3)3.2 技术开发部 (3)4 程序 (3)4．1信息系统方案需求分析 (3)4.2 供应商选择（采用第三方软件时适用） (4)4.3 方案的确定和实施 (4)4.4 系统测试和上线运行 (5)4.5 信息系统交付 (5)4.6 系统文件的安全 (5)5 引用文件 (7)6 记录 (8)1 目的为了对公司信息系统建设的策划、开发、实施、检查等进行有效的控制，特制定本程序。

2 范围本程序规定了公司信息系统建设的策划、开发、实施、检查等控制要求，适用于信息系统开发建设的控制。

3 职责3.1 总经理负责批准各种信息系统的建设项目和建设方案。

3.2技术开发部负责信息系统开发建设项目的研发，研发过程中控制信息系统开发建设项目的信息安全和技术支持。

负责在业务范围内提出信息系统开发建设需求提供，进行项目验收和项目质量的监控等工作。

4 程序4．1信息系统方案需求分析4.1.1 业务部门应根据业务的应用需求，简要提出新增信息系统或者现有信息系统更新、升级、由技术开发部完成的《项目研发申请书》和《立项计划书》，包括以下内容：－－功能需求背景：简单描述系统现状及项目建设或软件开发的必要性。

－－项目建设目标：描述项目建设或软件开发拟达到的目标。

－－项目建设原则：描述项目开发所依赖的主客观条件。

－－具体功能需求：详细描述每一个具体功能需求。

－－项目进度要求：列出项目开发的时间要求4.1.2 项目组应制定《立项计划书》并通过项目干系人审核。

《立项计划书》应包括软硬件结构、软件性能要求、项目投资估算。

并根据业务功能要求及信息安全要求，明确规定信息系统安全控制的要求，考虑整合到信息系统中的自动控制措施和支持人工控制的需要。

在对系统验证时应考虑：a) 系统的安全特性及对现有系统安全的影响；b) 系统容量的要求；c) 由于系统安全的失效或缺失所带来的业务破坏；d) 设计过程中的安全控制要求。

信息安全管理体系（ISMS）相关标准介绍作者：陈磊谢宗晓来源：《中国质量与标准导报》2018年第10期1 定义信息安全管理体系（Information Security Management System，ISMS）并不是一个专用术语，满足其定义描述条件的应该都是。

但实际情况是，由于这个术语起源于ISO/IEC 27002和ISO/IEC 27001的早期版本，属于新生词汇，其他文献中很少见到。

所以在实践中，ISMS几乎成了一个专用术语。

因为某种产品过于普及，就成为某类行为的代名词，这是很常见的现象。

由于ISO/IEC 27000标准族在全球范围内实施广泛，在实践中，就会有此类对话，例如：组织在做27001，意思是说，组织在部署ISMS，或者说，组织在根据ISO/IEC 27001部署信息安全。

换言之，ISMS是一整套的保障组织信息安全的方案（或方法），是组织管理体系的一部分，定义和指导ISMS的标准是ISO/IEC 27000标准族，而这其中，ISO/IEC 27002和ISO/IEC 27001是最重要也是出现最早的2个标准。

由于这个原因，导致这一堆词汇在实践中开始混用，而不必刻意地去区分。

因此，这几个词汇都认为是同义词：信息安全管理体系（ISMS）；ISO/IEC 27000标准族；ISO/IEC 27002或ISO/IEC 27001视上下文，也可能是指代ISMS。

2 相关国际标准的研发情况负责开发ISO/IEC 27000标准族的机构为ISO/IEC JTC1 SC271），广义的ISO/IEC 27000标准族包括了以ISO/IEC 27×××编号的所有的标准，即ISO/IEC 27000至ISO/IEC 27059，还包括了新立项的ISO/IEC 27102与ISO/IEC 27103，更详细的信息请参考文献[1]。

ISO/IEC 27000标准族最早围绕ISO/IEC 27002发展而来，在后续的扩散过程中，ISO/IEC 27001起到了更基础的作用。

ISMS安全风险评估管理程序1适用本程序适用于本公司信息安全管理体系（ISMS）范围内信息安全风险评估活动。

2目的本程序规定了本公司所采用的信息安全风险评估方法。

通过识别信息资产、风险等级评估，认知本公司的信息安全风险，在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，保持本公司业务持续性发展，以满足本公司信息安全管理方针的要求。

具体操作步骤，参照《信息安全风险评估指南》具体执行。

3范围本程序适用于第一次完整的风险评估和定期的再评估。

在辨识资产时，本着尽量细化的原则进行，但在评估时我司又会把资产按照系统进行规划。

辨识与评估的重点是信息资产，不区分物理资产、软件和硬件。

4职责4.1成立风险评估小组XX部负责牵头成立风险评估小组。

4.2策划与实施风险评估小组每年至少一次，或当体系、组织、业务、技术、环境等影响企业的重大事项发生变更、重大事故事件发生后，负责编制信息安全风险评估计划，确认评估结果，形成《信息安全风险评估报告》。

4.3信息资产识别与风险评估活动各部门负责本部门使用或管理的信息资产的识别和风险评估，并负责本部门所涉及的信息资产的具体安全控制工作。

4.3.1各部门负责人负责本部门的信息资产识别。

4.3.2XX 部经理负责汇总、校对全公司的信息资产。

4.3.3 XX部负责风险评估的策划。

4.3.4信息安全委员会负责进行第一次评估与定期的再评估。

5程序5.1风险评估前准备5.1.1 XX部牵头成立风险评估小组，小组成员至少应该包含：信息安全管理体系负责部门的成员、信息安全重要责任部门的成员。

5.1.2风险评估小组制定信息安全风险评估计划，下发各部门内审员。

5.1.3必要时应对各部门内审员进行风险评估相关知识和表格填写的培训。

5.2信息资产的识别5.2.1本公司的资产范围包括：5.2.1.1信息资产1)软件资产：应用软件、系统软件、开发工具和适用程序。

2)物理资产：计算机设备、通讯设备、可移动介质和其他设备。

信息系统管理程序IT system management Procedure1. 目的Purpose对管理体系内信息化建设需求、信息化设备管理、信息化项目实施、运行维护、信息安全和处置所需的控制管理，为体系有效运行提供客观依据，为体系改进提供数据支持。

Offer the control management necessary for the demands on the informatization construction, informatization device management, implementation and operation maintenance of the informatization project and information safety and processing, provide the objective basis for the effective operation of the system and provide the statistical support to the system improvement.2. 范围Scope适用于对公司体系内活动所产生的所有信息化建设、维护进行控制和管理。

The Procedure is applicable for the control and management of all informatization construction and maintenance in the company’s activities.3. 术语Terms无None4. 过程分析5. 职责Responsibilities5.1 IT部负责信息化建设归口管理，负责信息化数据系统的建立和维护数据系统，数据系统维护包括：信息化设施维护、数据恢复备份及恢复、数据及业务变更管理、权限管理、信息安全管理。

IT Department is responsible for the centralized management of the informatization construction and the establishment and maintenance of the informatization data system. The maintenance of the data system incorporates the maintenance of the informatization facilities, data recovery backup and recovery, management of data and business changes, authority management and information safety management.5.2 各专业管理部门负责本体系内对于信息化需求的申报以及按照业务需求以及操作规范操作信息系统。

沟通管理程序1目的为了确保公司信息安全、IT运维服务方面信息的内外部沟通渠道的畅通，特制定本程序。

2范围适用于公司有关信息安全、IT运维服务事务的协商和内外信息交流的管理。

3职责1.1运营管理部a.负责公司范围内有关信息安全、IT运维服务方面的信息交流和沟通活动的日常管理工作，组织召开信息安全、IT运维服务协调会；b.负责与客户及其他相关方对公司信息安全、IT运维服务投诉的处理；c.负责接收、传递信息安全、IT运维服务管理有关的外部公文；d.负责本公司信息安全、IT运维服务信息向外部传递，与地方电信、公安等部门在信息安全、IT运维服务管理方面保持联系。

3.2各相关部门a.与相关的权威机构、专业团体或其他安全专家论坛以及专业协会建立和保持适当的联系；b.负责与信息系统（软硬件）相关方之间有关信息安全、IT运维服务方面的交流沟通与管理工作。

c.负责收集本部门信息安全、IT运维服务信息，并进行传递、沟通。

d.在各自业务内，负责与相关方之间在信息安全、IT运维服务方面的信息交流与沟通。

4程序3.1信息安全、IT运维服务沟通的内容3.1.1与信息安全、IT运维服务有关的法律、法规和其他要求颁布与修订制度的信息。

3.1.2信息安全、IT运维服务的威胁、薄弱点及相关事件的信息。

4. 1.3公司信息安全、IT运维服务管理检查情况。

4.1.4相关方对公司信息安全、IT运维服务管理的建议、要求和意见、投诉信息。

3.2信息安全、IT运维服务的沟通方式4.2.1各部门代表参加的沟通协调会议。

5.2.2口头或书面通知。

6.2.3电子邮件、传真。

4. 2.4信息安全、IT运维服务管理工作报告、会议、总结。

4.3信息安全、IT运维服务的协商4. 3.1公司在组织下列活动时,应与各部门协商：a.信息安全、IT运维服务方针的制定、修改和评审；b.信息安全、IT运维服务管理体系文件，特别是作业文件的修改和评审；c.信息安全、IT运维服务的资产识别与风险评估；d.可能影响到信息安全、IT运维服务的任何活动。

密级：内部限制 信息安全适用性声明（依据ISO27001标准）文件编号: XX-ISMS-02版 本 号: A/0制定日期: 2016年03月01日编制： 审核： 批准：2016年03月01日发布 2016年03月01日实施※ ※ ※ ※ ※ ※ 修 订 履 历 ※ ※ ※ ※ ※ ※版本 页次 修 订 履 历 生效日期 A/0 初次发行 2016.3.11. 目的根据ISO/IEC27001:2013标准和公司实际管理需要，确定标准各条款对公司的适用性，特编制本程序。

2. 范围适用于对ISO/IEC27001:2013标准于本公司的适用性管理。

3. 职责与权限3.1最高管理者负责信息安全适用性声明的审批。

3.2综合部负责信息安全适用性声明的编制及修订。

4. 相关文件a)《信息安全管理手册》5. 术语定义无6. 适用性声明信息安全适用性声明SOA A.5信息安全方针标准 条款号 标 题目标/控制是否选择选 择 理 由 相 关 文 件A.5.1 信息安全管理指引 目标 YES 提供符合有关法律法规和业务需求的信息安全管理指引和支持。

A.5.1.1 信息安全方针 控制 YES 信息安全方针应由管理才批准发布。

《信息安全管理手册》A.5.1.2 信息安全方针的评审控制 YES 确保方针持续的适应性。

《管理评审控制程序》 A.6信息安全组织标准 条款号 标 题目标/控制是否选择选 择 理 由 相 关 文 件A.6.1 信息安全组织 目标 YES 管理组织内部信息安全。

A.6.1.1 信息安全的角色和职责 控制 YES 保持特定资产和完成特定安全过程的所有信息安全职责需确定。

《信息安全管理手册》A.6.1.2 职责分离 控制 YES 分离有冲突的职责和责任范围，以减少对组织资产未经授权访问、无意修改或误用的机会。

《信息安全管理手册》A.6.1.3 与监管机构的联系控制 YES 与相关监管机构保持适当联系。

1. 目的为规范公司计算机网络的安全管理工作，保证信息系统网络安全稳定地运行，特制定本规定。

2. 范围本程序适用于公司的信息系统网络的安全管理。

3. 职责与权限3.1 信息管理部负责我司网络安全管理及协调处理。

3.1 各部门各部门人员应遵守本程序的各项管理要求。

4. 相关文件无5. 术语定义无6. 控制程序6.1 总则本公司网络安全可采取的控制措施包括：a)在公司网络边界部署防火墙，以保护公司内部网络安全；b)重要部门网络隔离，如财务部电脑与内部局域网隔离，不得接入互联网，防止敏感信息泄露；c)对于无线网络应配置无线接入密码（如采用WPA加密方式）；d)根据公司网络的实际情况，正确配置网络路由，确保网络路由是安全可靠的；e)对路由器等网络设备采取适当的安全配置；f)供电线路与传输线路隔离开，以防相互干扰；g)对网络设备的变更进行控制；h)对网络的运行情况进行检查。

6.2 网络安全管理要求6.2.1对网络设备（如互联网接入路由器、核心交换机）的变更应经网络部审核及公司领导批准后方可进行。

6.2.2 接入公司网络必须经过网络部及公司领导授权，未经授权，任何部门或个人不得在线路或线路设备上连接设备，不得私自拉接网线。

6.2.3所有接入公司网络的人员应保护好接入的帐号及密码，不得泄露相关信息。

6.3 网络维护6.3.1 由信息管理部负责维护公司网络设备及网络线路。

6.3.2 信息管理部应定期（每季度）对网络设备进行运行情况检查并做好相关记录。

6.4 网络服务6.4.1电信公司提供Intenet统一的接入服务，网络部负责就有关事宜进行沟通。

6.4.2对公司信息系统提供设备、系统软件安装及维护服务的，按《相关方服务管理程序》进行。

7 附件、记录7.1 《网络设备检查记录表》7.2 《公司网络拓扑图》。