ISO27001计算机病毒管理控制程序

XXXXXXXXX有限责任公司信息安全管理体系程序文件编号：XXXX-B-01～XXXX-B-41（符合ISO/IEC 27001-2013标准）拟编：信息安全小组日期：2015年02月01日审核：管代日期：2015年02月01日批准：批准人名日期：2015年02月01日发放编号: 01受控状态：受控2015年2月1日发布2015年2月1日实施[XXXX-B-01]信息安全风险管理程序[XXXX-B-02]文件控制程序[XXXX-B-03]记录控制程序[XXXX-B-04]纠正措施控制程序[XXXX-B-05]预防措施控制程序[XXXX-B-06]内部审核管理程序[XXXX-B-07]管理评审程序[XXXX-B-08]监视和测量管理程序A6[XXXX-B-09]远程工作管理程序A7[XXXX-B-10]人力资源管理程序A8[XXXX-B-11]商业秘密管理程序A8[XXXX-B-12]信息分类管理程序A8[XXXX-B-13]计算机管理程序A8[XXXX-B-14]可移动介质管理程序A9[XXXX-B-15]用户访问管理程序A9[XXXX-B-16]信息系统访问与监控管理程序A9[XXXX-B-17]信息系统应用管理程序A10[XXXX-B-18]账号密码控制程序A11[XXXX-B-19]安全区域管理程序A12.1.2[XXXX-B-20]变更管理程序A12.1.3[XXXX-B-21]容量管理程序A12.2.1[XXXX-B-22]恶意软件管理程序A12.3[XXXX-B-23]重要信息备份管理程序A12.6[XXXX-B-24]技术薄弱点管理程序A13[XXXX-B-25]电子邮件管理程序A13[XXXX-B-27]信息安全沟通协调管理程序A13[XXXX-B-28]信息交换管理程序A14.2.9[XXXX-B-29]信息系统验收管理程序A14.2[XXXX-B-30]信息系统开发建设管理程序A14[XXXX-B-31]软件开发管理程序A14[XXXX-B-32]数据安全管理程序A14[XXXX-B-33]OA管理程序A15.2[XXXX-B-34]第三方服务管理程序A15[XXXX-B-35]供应商管理程序A15[XXXX-B-36]相关方信息安全管理程序A16[XXXX-B-37]信息安全事件管理程序A17.2[XXXX-B-38]信息处理设施管理程序A17[XXXX-B-39]业务持续性管理程序A18[XXXX-B-40]信息安全法律法规管理程序A18[XXXX-B-41]知识产权管理程序XXXXXXXXX有限责任公司知识产权管理程序[XXXX-B-41]V1.0知识产权管理程序变更履历1 目的通过对知识产权的流程管理，规范整个知识产权管理工作，保证知识产权管理工作的每个环节的合理性、有效性和流畅，为组织的知识产权保护与管理奠定基础。

文件制修订记录1、适用本程序适用于公司信息安全事故、事件、薄弱点、故障和风险处置的管理。

2、目的为建立一个适当信息安全事故、事件、薄弱点、故障风险处置的报告、反应与处理机制，减少信息安全事故和故障所造成的损失，采取有效的纠正与预防措施，正确处置已经评价出的风险，特制定本程序。

3、职责各系统归口管理运营部主管相关的安全风险的调查、处理及纠正措施管理。

各系统使用人员负责相关系统安全事故、事件、薄弱点、故障和风险的评价、处置报告。

各系统信息安全归口部门如下：管理运营部：负责火灾、雷击、供电、盗窃、洪水等相关的信息安全风险的整体调查、处理和纠正措施管理。

智慧城市事业部：负责服务器等相关的信息安全风险的整体调查、处理和纠正措施管理。

负责路由器、交换机等网络设备等相关的信息安全风险的整体调查、处理和纠正措施管理。

4、程序4.1信息安全事件定义与分类4.1.1信息安全事件的定义：由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或对社会造成负面影响的事件。

4.1.2信息安全事件分类规范4.1.2.1有害程序事件有害程序事件是指蓄意制造、传播有害程序，或是因受到有害程序的影响而导致的信息安全事件。

有害程序是指插入到信息系统中的一段程序，有害程序危害系统中数据、应用程序或操作系统的保密性、完整性或可用性，或影响信息系统的正常运行。

有害程序事件包括计算机病毒事件、蠕虫事件、木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其它有害程序事件等7个第二层分类。

4.1.2.2网络攻击事件网络攻击事件是指通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。

网络攻击事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件等7个第二层分类。

14、信息安全事件管理程序###-ISMS-0108-20231 目的为对公司信息安全的事件管理活动实施控制，特制定本程序。

2 范围适用于对信息安全的事件管理。

3 职责3.1 综合部负责信息安全的事件的收集、响应、处置和调查处理。

3.2 相关部门负责信息安全事件的及时报告，及时落实相关的处理措施。

4 程序4.1信息安全弱点定义信息安全弱点是指被识别的一种系统、服务或网络状态的发生，表明一次可能的信息安全策略违规或某些防护措施失效，或者一种可能与安全相关但以前不为人知的一种情况。

4.2信息安全弱点报告信息安全弱点的发现者（包括使用公司信息系统和服务的员工和合同方）应将任何观察到的或可疑的的系统或服务中的信息安全弱点向信息安全管理小组报告。

4.3信息安全弱点处理流程1信息安全事件5.1信息安全事件定义信息安全事件：一个或一系列意外或不期望的信息安全事态，它/它们极有可能损害业务运行并威胁信息安全。

信息安全事件是指危及公司发展与业务运作，威胁公司信息安全的其他情况，可能与信息安全相关的现象、活动、系统、服务或网络状态等处于异常情况。

对达到一定严重程度，或造成一定损失的信息安全事件，本程序定义为严重事件。

5.2信息安全事态的定义信息安全事态：已识别的一种系统、服务或网络状态的发生，指出可能违反信息安全方针或控制措施失效，或者一种可能与安全相关但以前不为人知的情况。

5.3信息安全事件分级5.4信息安全事件处理流程5.4.1信息安全事件的报告事件的发现者应按照以下要求履行报告任务：a) 各个信息管理系统使用者，在使用过程中如果发现软硬件故障、事件，应该向该系统管理部门和信息安全管理小组报告；如故障、事件会影响或已经影响业务运行，必须立即报告相关部门，采取必要措施，保证对业务的影响降至最低；b) 发生火灾应立即触发火警并向信息安全管理小组报告，启动消防应急预案； c) 涉及组织的秘密、机密及绝密泄露、丢失应向信息安全管理小组报告； d) 发生重大信息安全事件,事件受理部门应向信息安全管理员和有关领导报告。

xx电子商务技术有限公司版本：A
信息安全法律法规控制程序
JSWLS/IP-07-2009
编制：xx
审核：xx
批准：xx
2009-6-28发布2009-7-1实施xx电子商务技术有限公司发布
程序文件修改控制
信息安全法律法规控制程序
1 目的
为确保公司信息安全活动符合信息安全管理法律法规的要求，确保所应用的信息安全管理法律法规和其他要求的适用性，特制定本程序。

2 范围
本程序适用于公司信息安全管理所涉及的相关法律、法规和其他要求的控制管理。

3 职责
3.1公共关系发展部负责收集法律法规和其他要求，组织相关部门对法律法规和其他要求的适宜性和合规性进行评审。

3.2 各部门负责对本部门的信息安全相关法律法规及其他要求的适宜性的识别、评审、更新，并负责将信息安全相关的法律法规及其他要求文件传达给员工遵照执行。

4 引用文件
4.1《信息安全管理手册》
4.2《文件控制程序》
5 程序
5.1 法律、法规和其他要求的分类
5.1.1 国际性信息安全管理法律、法规和其他要求；。

ISO27001信息安全目标管理程序ISO27001信息安全目标管理程序1 目的为保证信息安全管理体系的有效运作，对各管理流程进行有效的监督检查，并及时提出纠正预防措施，不断改进信息安全管理体系的有效性，制定本程序。

2 范围本程序适用于IT信息安全管理体系持续改进的目标管理控制。

3 相关文件无4 职责4.1总经理负责审批年度信息安全管理目标。

4.2管理者代表负责编制信息安全管理年度目标及检查细节，对检查结果的改进进行监督。

4.3 安全管理岗负责日常检查及对检查结果的报告；发出纠正预防措施。

4.4各岗位负责配合安全管理岗的日常检查。

5 程序5.1信息安全管理指标的制定5.1.1 每年初，由管理者代表组织相关人员对上一年度的安全目标达成情况进行回顾（也可由管理评审流程执行回顾过程），提出对于安全管理指标体系的修改完善意见，应考虑以下因素：a) ISMS管理体系的变更，包括组织、业务、人员、技术等方面；b) 上一年度的安全管理指标达成情况；c) 相关方的建议，包括监管机构、外部审计（审核）的结果、本行业务要求等；5.1.2 根据修改意见，管理者代表应修订年度《信息安全管理指标一览表》，增加、删除、修订各项指标，修订各项指标的检查周期等内容。

5.1.3 每年一月底，应由最高管理者重新审批并发布《信息安全管理指标一览表》。

5.1.4 部门内部所有员工应通过会议的形式（应保留相关会议纪要），了解年度信息安全管理指标内容，并了解本岗位与指标要求的相关性并理解如何为指标的达成做出贡献。

5.2 信息安全管理指标的检查5.2.1 部门内部设立安全管理岗，负责对管理指标的日常检查活动。

5.2.2 安全管理岗应按照《信息安全管理指标一览表》所规定的检查周期及检查方法，对日常管理活动进行检查。

5.2.3 检查结果应形成《安全指标检查报告》（形式不限），并报送最高管理者及管理者代表。

5.2.4 《安全指标检查报告》每季度发布一次，安全管理岗应保存经最高管理者审核签字的报告原件。

文件控制制度目录1.目的和范围 (3)2.引用文件 (3)3.职责和权限 (3)4.管理内容及控制要求 (3)4.1文件的分类 (3)4.2文件编制 (3)4.3文件标识 (4)4.4文件的发放 (5)4.5文件的控制 (5)4.6文件的更改 (5)4.6.1文件更改申请 (5)4.6.2文件更改的审批或评审 (5)4.6.3文件更改的实施 (6)4.6.4版本控制 (6)4.7文件的评审 (6)4.8文件的作废 (6)4.9外来文件的管理 (6)4.10文件的归档 (6)5.相关记录 (7)1.目的和范围为了有效控制信息安全管理体系文件，对文件的编制、审核、批准、标识、发放、管理、使用、评审、更改、修订、作废等过程实施有效控制，确保部门使用现行的有效版本，特制订本制度。

本制度适用于信息安全管理体系文件的管理。

2. 引用文件1)《合规性实施制度》2)《信息资产分类分级管理制度》3.职责和权限1)总经办是信息安全管理体系文件的归口部门，负责信息安全有关的所有文件的管理与控制。

2)各部门：负责本部门信息安全管理文件的管理与控制。

4.管理内容及控制要求4.1文件的分类信息安全管理体系文件主要包括：1)第一层：信息安全管理手册、信息安全目标、信息安全适用性声明（SOA）、信息安全策略；2)第二层：制度文件；3)第三层：各管理规定、管理办法、流程、作业指导书（指南）及外来文件等；4)第四层：记录、表单。

记录控制执行《记录控制制度》。

4.2文件编制文件编制要有充分的依据，体现系统协调，可操作、可检查的原则。

1)第一层：信息安全管理手册由体系负责人组织编写，信息安全管理者代表审核，总经理批准发布。

2)第二、三层：由相关责任部门编写，信息安全管理者代表审核，总经理批准发布。

3)第四层：由相关责任部门编写，文档负责人审批，信息安全管理者代表批准发布。

4.3文件标识所有文件必须有明确的标识，包括：文件的名称、编号、版本号、密级标识等。

计算机管理规定目录1. 目的 (3)2. 范围 (3)3. 职责与权限 (3)4. 相关文件 (3)5. 术语定义 (3)6. 管理规定 (3)7 附件、记录 (6)1. 目的为规范公司计算机的日常使用、维护管理，确保计算机的正常使用及安全，特制定本程序。

2. 范围本程序适用于公司所有部门的计算机的安全管理。

3. 职责与权限3.1 综合部综合部是公司计算机采购、协调、发放的归口管理部门。

3.2 技术部技术部是公司计算机维护的归口管理部门。

3.3 各部门各部门人员均应遵守本程序的各项要求正确、安全的使用计算机，各部门负责人应对内部人员使用计算机进行监督和指导。

4. 相关文件a)《软件控制程序》b)《介质管理程序》c)《法律法规识别获取控制程序》d)《相关方服务管理程序》5. 术语定义无6. 管理规定6.1 计算机设备资产管理6.1.1计算机是公司必备办公设备，须放置在指定位置，不得自行配置或更换，更不能挪作它用。

6.1.2技术部负责发放计算机设备的资产标识。

6.1.3各部门配备计算机应符合本部门的工作需要及管理情况，更换和新增计算机设备应由该部门提出申请，技术部人员核实计算机设备实际需求情况，提出处理意见并经总经理审批后安排采购。

6.1.4新分配计算机设备在安装配置好系统后，并给每台计算机贴上资产标签，最后发放至申请部门的人员。

有关计算机设备所带技术说明书、软件由技术部保存。

使用人应妥善保管计算机及附属设备。

6.1.5计算机设备在调配或移交使用前，应及时做好工作数据的转移和删除。

6.1.6员工离职时，综合部应及时收回其计算机设备并作好记录。

6.1.7 一般用户计算机使用年限超过5年的，由公司统一安排计划予以更换。

确实因计算机性能影响正常使用的，参照6.1.3对原有设备进行更换。

被淘汰的计算机由技术部根据计算机的性能状态决定是否调配使用或予以报废处理。

在计算机设备报废前，计算机使用部门应与技术部共同采取安全可靠的方法将计算机内的敏感信息清除。

文件编号：XX-ISMS-OP-20发布日期：2023.06.01版本号：A0生效日期：2023.06.01文件审批和修订履历页修订履历（由文件制订/修订人每次更改时填写）修订版本修订内容概述修订人生效日期制订与审核（二级文件由管理者代表审核；三级文件由部门负责人审核）编制部门及职务：审核部门及职务：核准部门及职务：签名/日期：签名/日期：签名/日期：DCC校对：校对日期:文件编号：XX-ISMS-OP-20发布日期：2023.06.01版本号：A0生效日期：2023.06.011目的为了加强公司的资产管理，提高员工的保密意识，保护公司的资产安全，特制定本程序。

2范围适用于对公司范围内所有计算机。

3定义实体：能够通过对其属性测量来表现的对象4职责4.1经营管理处：负责公司所有计算机购买计划、维修计划的审核，和记录工作，包括标签的标识等。

产品自动化处负责提供必要的技术支持。

4.2各部门：负责本部门计算机使用，产品技术开发部负责提供必要的技术支持。

5内容5.1总则5.1.1公司范围内所有的计算机均属于公司资产，受法律保护。

5.1.2综合管理部应组织对所有计算机进行标识管理，登记成册。

并负责计算机的维护工作。

5.1.3各部门对所使用的个人用计算机及服务器必须按此规定执行。

5.2相关规定未经授权的笔记本电脑或是台式机不准连入公司网络，在工作环境中不可用，只有经过公司网络管理员授权的笔记本电脑或台式机才能进入到公司的办公环境。

5.2.1笔记本电脑5.2.1.1笔记本电脑的使用规定1）笔记本电脑信息的加密：笔记本电脑必须设置系统密码，密码的设定参考《信息安全策略》。

2）笔记本电脑的使用：下班或者外出时必须将笔记本电脑放在公司指定的位置并上锁。

文件编号：XX-ISMS-OP-20发布日期：2023.06.01版本号：A0生效日期：2023.06.01离开电脑时，必须锁屏。

5.2.2台式计算机5.2.2.1台式计算机的分配员工正式进入公司后，由综合管理部统一分配计算机。

软件管理办法更改控制页目录1目的 (1)2范围 (1)3术语定义 (1)4内容 (1)5相关文件 (2)6相关记录 (2)1目的本办法旨在保护软件和信息的完整性，预防病毒与各种恶意软件的入侵。

2范围适用于xxx全体员工和第三方相关人员。

3术语定义软件：包括操作系统，办公软件，业务相关的信息系统软件、工具软件，开发及数据库软件等。

恶意软件：恶意软件是指包括电脑病毒、蠕虫、木马、间谍软件、恶意广告等在内的对使用者的电脑产生危害的软件。

4内容1)软件采购后应该登记软件名、版本、厂商、购买日期。

软件许可证由专人保管，许可证不得私自在公司之外的任何地方使用。

2)在软件介质的包装上标明软件的名称、版本、序列号。

3)任何人员不得使用盗版软件。

4)公司所有员工应该安装统一的防病毒软件；且禁止停止或卸载防病毒软件。

5)公司员工都有义务积极防御恶意软件对信息和系统的破坏。

6)公司所有的软件安装文件及安装光盘应该由网关统一的存放，特别是系统监控和管理工具、安全扫描工具，以防止非授权使用；7)软件安装后应对安装的计算机进行登记。

8)需要临时使用非正常工作的软件时，需填写《软件安装申请单》，经批准后由网管分发软件安装文件。

9)软件安装时，重要信息备份，核对软件与系统的兼容性，核对软件许可证，确认系统硬盘空间，安装完成后重新启动，简单培训软件的使用方法，更新软件登记相关项。

10)在软件升级时，要事先对升级软件进行测试。

11)定期整理计算机，将不再使用的软件从计算机卸载。

12)禁止对计算机软件进行非授权的复制、分发、使用及反编译。

5相关文件无6相关记录《软件安装申请单》。

ISO27001计算机病毒管理控制程序1 目的为防止各类恶意软件造成破坏，确保信息的软件和信息的保密性、完整性与可用性。

2 范围本程序适用对恶意软件的控制管理工作。

3 相关文件4 职责4.1 硬件工程师负责病毒库的更新、客户端的安装、杀毒软件的检查及管理。

4.2 网络工程师病毒库服务器及各类系统补丁的更新、管理、病毒预报及软件的测试。

5 程序5.1定义所谓恶意软件，是指编制或者在计算机程序中插入的破坏计算机功能、毁坏数据、窃取数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码，主要是指各类计算机病毒、木马及恶意移动代码等。

5.2防范的措施5.2.1在对外互联的网络间，信息安装防火墙，同时在服务器和客户端上安装杀病毒软件（McAfee）。

由硬件工程师给各职能人员安装客户端；单独成网不能上网自动更新病毒库的客户端，应连接信息内部网络服务器，由硬件工程师定期更新服务器上病毒库，客户端自动上服务器进行更新升级确保病毒库的及时更新；对于可以登录外网并安装网络版杀毒软件的用户每天会自动上服务器进行病毒库的更新；以上由硬件工程师每周询问其运行情况并对每周的病毒库升级情况进行抽查。

5.2.2不安装杀毒软件的WINDOWS系统不得接入外围及内部办公网络，如接入网络则必须安装杀毒软件。

5.2.3 网络管理员负责设置企业版防病毒MaCfee服务器，每日通过互联网自动进行病毒库的更新升级。

网络管理员负责各类系统的补丁升级。

5.2.4银行信息联网计算机接受防病毒MaCfee Server服务器的管理，在每次开机时自动从防病毒服务器上下载最新病毒库。

5.2.5特殊情况，如某种新恶性病毒大规模爆发，网络管理员应立即升级病毒库，并紧急通知所有部门人员立即进行病毒库更新升级，同时立即进行病毒扫描，并对病毒情况汇报网络管理员。

5.2.6银行信息内部员工在使用部门以外的任何电子媒体前都应对其进行病毒扫描，对发现病毒的电子媒体应禁用，待病毒清除后方可使用，对于不能清除的病毒，应及时报告网络管理员。

防病毒工作指南（版本号：V1.0）更改控制页目录1目的 (1)2范围 (1)3术语定义 (1)4内容 (1)5相关文件 (2)6相关记录 (2)1目的本指南旨在帮助提高公司员工提高病毒侵害的抵御能力，保障工作的正常进行。

2范围本指南适用于整个公司的防病毒工作。

3术语定义无4内容防病毒工作流程1)软件安装：公司的所有的个人电脑、服务器必须安装防病毒软件，并开启实时监控功能。

2)升级病毒库：设定杀毒软件的自动升级功能及时间，杀毒软件服务器端自动下载升级包，部署升级包到软件及各工作站。

应做到病毒库文件为最新版本发布之后24小时之内下载并更新。

当自动升级不成功，则到防毒软件的网站手工下载升级包手工升级。

3)查杀病毒：初次安装防病毒软件后必须扫描所有的硬盘空间，扫描时选择适当的参数，最大限度地查杀所有病毒；可移动介质接入电脑时必须查杀病毒；对于发现而又不能清除的病毒，报告网络管理员并及时采取措施进行处理。

4)恢复文件：对于被病毒感染的文件，应将其从防病毒软件的保护目录里恢复出来，并重新清除病毒，最终做到文件能够正常使用，且不丢失内容。

对于一些感染病毒的软件，在病毒清除后仍然不能正常运行的，可重新安装。

5)通报新病毒：网络管理员及时查阅专业网站，查看发布的病毒信息。

如获得危害性强的病毒信息，应及时在公司内部信息系统上公布，同时下载供应商提供的专用工具，并在全公司部署实施。

6)查看日志：定期打开防病毒软件，查看病毒日志，当检查到有未完全清除的病毒时，应立即想办法清除。

7)软件维护：清除防病毒软件TMP目录中的被移动的文件或无用文件，清除过期日志，减少系统资源的占有率，保证防病毒软件服务器运行正常。

5相关文件《员工计算机使用安全管理规定》6相关记录无。