ISO27001信息处理设施控制程序

1 目的

为对IT信息范围内的设备的维护过程实施有效控制，确保其连续的可用性和完整性，特制定本程序。

2 范围

本程序适用于IT信息的各类信息处理设施（包括传输线路、中心机房基础设施）的管理。

3 相关文件

无

4 职责

4.1 总经理负责计算设备及物品的总体监管和指导.

4.2 总经理负责制定设备采购计划，监督设备的管理工作。

4.3 安全管理员主要负责IT信息系统安全及计算机安全运行进行全面管理并定期向总经理报告系统安全状态。

4.4 硬件工程师主要负责IT信息计算机的购买、验收、调试及维护。

4.5 项目组组长负责审批外来人员的信息处理设施的使用。

5 程序

5.1 信息处理设施的采购

5.1.1 根据业务发展需要，对需要进行购置的设备性能、价格、品牌等由主管采购负责人进行市场调查并出具书面的《设备采购申请单》，经总经理汇总后制定采购计划。

5.1.2 采购计划中涉及固定资产采购应提交总行领导审批，按批示要求进行购置。

5.1.3 新购设备到位后，采购负责人组织相关人员对设备进行验收入库。

5.2 信息处理设施申请程序

5.2.1 新购置的设备若直接安装在生产环境或办公环境中时，管理人员应及时录入信息服务管理平台，建立设备管理总账，由相应申请人员填写《设备领用登记表》。

5.3 外来人员信息处理设施申请程序

5.3.1 外来人员如需要使用信息处理设施需填写《第三方公司驻场服务登记台帐》与《第三方公司驻场工作登记审批表》递交IT项目组负责人进行审批，审批通过填写后外来人员自带的或IT内部设备，外来人员方可使用，如果外来人员使用的是行内的设备需要填写《设备领用登记表》。

5.4 信息处理设施归还程序

5.4.1 在设备使用完成后需归还时，应由IT项目组负责人对设备进行检查，检查完成后根据《设备领用登记表》的记录，对照归还设备的完整性。

5.5 信息处理设施检查程序

5.5.1 对新增的各种生产设备在到货后进行开箱验收，立即填写《设备验收单》，建立设备台帐，对设备总账内容进行添加。

5.5.2 对信息管辖的所有设备建立《设备管理总账》，建立完成后和《设备验收单》进行比对，确保账、物相符。

5.5.3 对生产系统和办公系统以及开发测试环境的设备的应用、配置和位置的变更，应根据《机房设备用途/配置/位置变更审批单》的变更说明立即对相应的《设备管理总账》进行更新，确保物件的用途、配置、位置等信息的准确。

信息化设备设施管理制度

信息化设备设施管理制度江苏金飞达电动工具有限公司目录前言本标准按工业与信息化部《信息化和工业化融合管理体系要求》起草。本标准由IT办公室提出并归口。本标准起草人：IT办公室本标准编制部门：IT办公室。下次标准审查/升级最迟时间：2018年12月。标准于2015年12月首次发布。将历次修订记录保留如下（保留最近三次修订内容）：文件批准页

文件发放范围 1、目的对公司信息系统相关的信息化设备设施进行全生命周期的有效管理，以保证信息系统能够高效支撑公司的经营管理。 2、适用范围本制度适用于公司与信息系统相关的所有信息化设备与设施，包括但不限于：客户端设备，如：台式电脑、笔记本电脑、打印机、扫描仪等；网络设备设施，如：交换机、路由器、网关设备等；服务器端设备，如：各种服务器、存储设备等；机房设备设施，如：UPS 电源、机柜等。 3、定义和术语无。 4、职责需会签部门签名需会签部门签名 √ IT 办公室 √ 生产部 √ 人力资源部 √ 技术部 √ 保卫部 √ 质量部 √ 研发中心 √ 设备部 √ 财务部 √ 采购部 √ 销售公司编制 IT 办公室批准部门份数部门份数部门份数总经理 1 管理者代表 1 副总经理各1份 IT 办公室 1 人力资源部 1 研发中心 1 保卫部 1 财务部 1 采购部 1 销售公司 1 生产部 1 技术部 1 质量部 1 设备部 1

角色职责 IT办公室为信息设备设施管理的主责部门，主要职责包括但不限于；负责相关设备的规格制订、安装调试、维修保养、报废处置等；建立相关设备台帐；至少每6个月进行设备盘点。采购部按公司采购程序实施信息化设备设施的采购。财务部按公司财务制度对涉及固定资产的信息化设备设施登记入账；至少每6月与办公室进行对账与更新。使用部门为信息设备设施的使用部门，主要职责包括但不限于；负责信息化设备设施的申请；按规范正确使用与日常保养；出现故障时按程序报修。 IT办公室也是使用部门之一。 5、具体内容配置与配发 5.1.1采购申请与批准 1)两化融合项目型采购，由项目经理提出申请，管理者代表负责批准； 2)企业级信息化设备设施采购（包括：机房设备、网络设备、服务器等）由IT办公室统一申请，公司信息化主管、副总负责审批； 3)客户端设备由使用部门按照实际工作需要提出申请，部门经理负责审批； 5.1.2审批通过后，转送IT办公室核准设备规格型号； 5.1.3采购部按公司采购程序执行设备采购； 1)办公室设备到货后，由IT办公室验收入库，相关技术资料由IT办公室统一保管； 2)如涉及固定资产，由财务部登记入账； 3)使用部门领用后，通知IT办公室进行安装、调试（包括接入公司信息网络和业务系统）； 4)IT办公室进行台帐登记。使用与维护 5.2.1 企业级信息化设备设施的日常运行及维护，参见《信息系统运维管理制度》。 5.2.2 客户端设备使用与维修按以下规程处理： 1）日常使用用户不得在客户端设备上随意安装软件；如必要使用，向IT办公室申请安装；

0306-信息系统开发建设管理程序

日照在天软件开发有限公司信息安全管理体系文件信息系统开发建设管理程序 ISMS-0306-2011 受控状态受控分发号版本A/0 持有人编制：编写组审核：批准：李翠萍2011-6-30发布 2011-6-30实施

信息系统开发建设管理程序 1 目的为了对公司信息系统建设的策划、开发、实施、检查等进行有效的控制，特制定本程序。 2 范围本程序规定了公司信息系统建设的策划、开发、实施、检查等控制要求，适用于信息系统开发建设的控制。 3 职责 3.1 总经理负责批准各种信息系统的建设项目和建设方案。 3.2 研发部负责全公司范围内产品软件的开发、测试和综合信息系统的维护管理。 3.3 各职能部门负责在业务范围内提出信息系统开发建设需求计划，进行可行性研究、项目实施、测试验收和项目质量的监控等工作。 4 程序 4.1 应用软件设计开发的控制 4.1.1 设计开发任务提出各职能部门根据日常经营管理工作的需要，经过本部门经理批准后，交付研发部进行设计开发。

4.1.2 设计开发的策划研发部在接到任务通知后，首先要判断可行性，明确规定设计开发的各个阶段的评审与测试要求及设计开发人员的职责与权限，设计开发计划方案由要求部门和研发部负责人共同批准后予以实施；必要时，如果对计划进行更改也需要获得双方经理共同批准。软件设计开发计划应包括以下内容： a) 软件功能要求； b) 详尽的业务流程； c) 信息安全要求； d) 时间进度要求； e) 设计开发的各个阶段评审与测试要求； f) 设计开发人员的职责与权限； g) 其它要求。 4.1.3 设计开发人员的要求软件设计开发人员须经研发部负责人授权，并应具备一定的软件开发能力和良好的职业道德。 4.1.4 设计开发方案的技术评审 4.1.4.1 设计开发负责人根据软件设计开发计划的要求，编制软件设计开发方案，由研发部负责人对方案的技术可行性及系统的安全性进行确认。 4.1.4.2 对于大型软件开发方案需由设计开发人员、应用部门人员、内部IT方面的专家共同进行评审。 4.1.4.3软件设计开发方案应包括以下内容： a) 确定软件开发工具； b) 应用系统功能； c) 业务实现流程； d) 输入数据确认要求； e) 必要时，系统内部数据确认检查的要求； f) 输出数据的确认要求；

信息设备管理规定

信息设备管理规定为了加大公司内信息设备的治理，确保信息设备正常、可靠、有效的运转，使得公司信息工作的顺利开展，特制定本制度: 1,公司的信息设备(电脑、打印机、复印机、网络、传真等等)统一由信息部负责治理。 1，1信息部负责对公司的信息设备资源进行统一调配。 1, 2，信息部设置《信息设备台账》。要紧登记：设备排列顺序号、设备名称、规格型号、出厂时刻、入司时刻、设备状况、设备现状处理、备注等。 1，3，信息部负责建立《信息设备档案》。要紧保留设备从入司开始的各种原始资料、而后的重要修理、改造及验收资料、报废及处理。（注：本公司的信息设备包括：服务器、网络设备、电脑、打印机、复印机、网络、传真等专有设备和机箱内的各种芯片、功能卡、内存、硬盘、软驱、光驱以及显示器、UPS、键盘、鼠标、音箱、手写板等。）2，信息设备的治理 2，1，公司的信息设备实行岗位责任制 2,1，1,各部门负责人对本部门所有的信息设备使用、爱护、保养及其完好状况负总责。 2,1，2，各岗位的信息设备使用治理责任落实到个人。责任人在使用期间对该信息设备负全责。领用（退回）任何设备时，都必须认真清点并签收（签退）。 2，2，信息设备使用权限及有关规定 2,2，1，未经授权同意，不得擅自操作服务器和网络设备。 2,2，2，未经授权同意，不得擅自拆、换任何零件、配件、外设。不论该行为是否差不多对设备、网络、数据造成阻碍，一经发觉，将严肃处理。 2,2，3，未经授权同意，不得擅自将私有或外来的零件、配件、设备，加入到系统内部的运算机设备中或网络中，不得擅自安装未经认可、承诺的游戏和盗版软件。

2,2，4，如果需要将私有或各公司自行购置的信息设备添加到本系统的信息设备或网络中，必须预先向公司信息部提出申请，信息部的在确认不阻碍现有设备、数据、网络安全批准后，方可添加，并做记录以备查。否则一经发觉将严肃处理。 2,2，5，如果需要将系统内的信息设备搬离办公地点（或借给外单位）使用，必须向公司信息部提出申请，经批准后方可搬离或借出（必要时将有关数据备份后删除），并做记录以备查。 2,2，6，如果人职员作在公司内部发生调动，信息设备将跟随个人一起调动，个人仍使用原先的信息设备。如果原有设备不能满足新的岗位需要，或者实际情形不适合信息设备跟随调动的，必须通知信息部,由信息部统一调配。 2,2，7，服务器、网络设备、电脑、打印机、复印机、网络、传真等专有设备直截了当分配到各部门（分公司），各部门（分公司）都必须对本部门（分公司）使用的专有信息设备负责，日常治理工作由指定的信息部（或分管信息技术员）负责。 2,2，8，各岗位人员原则上只能使用本岗位的信息设备。非必要时，不能将设备交由他人操作（专门是非本单位人员）。未经当事人同意，不能擅悠闲他人的信息设备上进行任何操作。3，信息设备的使用、爱护3，1，责任人要爱护好各自的电脑及其它有关设备（如打印机、复印机、传真机、扫描仪等），认真做好“防尘、防潮、防火、防盗、防故障、防雷击”的“六防”工作。 3，2、责任人要爱护信息设备及其有关硬件设备，不得让设备在闲暇时，长期处于工作状态，不得人为损坏，不得在设备上堆压重物，幸免强光照耀设备表面，让其处于通风环境下，下班时检查设备是否关闭电源。 3，责任人要做到人走关机，节约用电、节约用纸、节约使用耗材等有关资源。 4，信息设备的购置

信息处理平台要求教学文案

管理、信息平台的要求要点： ●应用信息技术实现企业现代化管理，建立现代化企业理念、实现管理流程的改造、管理效率的提高；实现企业体制创新、技术创新和管理创新。架构好企业信息统一管理平台将对公司管理水平的提高和整体信息化产生重要影响。 ●该系统主要包括： 1、企业管理与决策支持系统，或称：公司办公自动化系统。 2、客户服务系统，包括抄表收费管理和网上业务（网上缴费、水费查讯、业务办理等）。 3、管网监控与调度管理系统，包括管网地理信息系统、远程自动抄表系统、管网平差、水力模拟等。 4、工程项目管理系统。 5、财务及资产管理系统。 6、绩效考核与人力资源管理系统。 7、生产过程实时数据采集与监控系统。采集来自各个部室的数据，并对数据进行分析处理，供领导决策。 8、物资管理系统。 9、企业论坛及网站系统。 10、设备管理系统。 ●实行“总体规划、分步实施”的原则。 ●实现各部室数据共享，避免信息孤岛，提高公司资源管理和利用水平。 ●建设标准工作流程，提高工作效率，使每一项工作都有成效。正文

一、系统概述适应城市信息化迅速发展的需要，建设一个现代化的自来水信息化系统对企业现代化建设和管理工作来说是至关重要的，同时也是十分迫切的。它直接关系到千家万户，是公司的服务理念、管理水平、经营成效的体现，也是公司树立对外形象的主要关键点之一。应用信息技术实现企业现代化管理，包括建立现代化企业理念、实现管理流程的改造、管理效率的提高；实现企业体制创新、技术创新和管理创新。近几年来，“数字供水”等的出现，对自来水企业信息化的要求越来越高。过去以生产管理、管网管理、营业管理、抄表收费管理为核心的管理方式，已经跟不上时代发展的步伐。国际供水企业的信息化大都采用以SCADA为基础的数据系统，很好地解决了设备实时运行状态监测的数据采集、分析等支持功能；以ERP／EAM为核心，并与SCADA系统对接，对设备的运行、维护实施全面的在线实时管理；以E-COLOGY为基础的无纸化商务办公系统；以GIS为辅助系统，与SCADA系统、ERP／EAM系统整合，形成实时在线的一体化数据、信息、流程管理平台，全面提高城市自来水信息化水平。城市供水管网是一个纵横交错的巨大网络, 具有十分复杂的空间和非空间属性。在传统工作方式中,各种图档资料的不齐全使我们在管理这样一个庞大的管网时感到力不从心。自来水输配调度缺乏依据, 遇到紧急情况时无法及时得到有关信息并采取相应措施。因大规模基础建设而日益变化的参照建筑,使有些管网资料失去了其原有的价值,借助地理信息系统(GIS)建立先进的城市供水管网管理信息系统，可以帮助我们对供水管网进行更科学、更高效的管理。城市自来水综合信息平台的组成如图1所示，它是建立在Internet网基础之上

ISMS-2015信息处理设备管理程序

深圳市首品精密模型有限公司信息处理设备管理程序文件编号:ISMS-2015

变更履历

1 适用与目的本程序适用于公司与IT相关各类信息处理设施（包括各类软件、硬件、服务、传输线路）的引进、实施、维护等事宜的管理。本程序通过对技术选型、验收、实施、维护等过程中相关控制的明确规定来确保引进的信息处理设施的保密性、完整性和可用性。 2信息处理设施的分类 2.1 研发控制系统、数据存储控制系统及其子系统设备，包括位于机房的服务器和位于使用区域的使用控制系统终端设备。 2.2 业务管理系统、财务管理系统，包括位于机房的服务器和位于使用区域的终端设备。 2.3办公用计算机设备，包括所有办公室、会议室内的计算机、打印机，域控制服务器，DNS服务器、Email服务器等。 2.4 网络设备，包括交换机、路由器、防火墙等。 2.5 其它办公设备，包括电话设备、复印机、传真机等。 3 职责 3.1 信息部主要负责全公司与IT相关各类信息处理设施及其服务的引进。包括制作技术规格书、进行技术选型、安装和验收等。信息部同时负责全公司网络设备、研发控制系统、业务管理系统、财务管理系统日常管理与维护。 3.2 各部负责项目实施过程中设备及软件系统的管理制度的执行与维护。 3.3 信息部负责后勤系统设备及网络系统、电话/网络通讯与办公系统的管理与维护。

4 信息处理设施的引进和安装 4.1引进依赖各部门必须采购的信息处理设施、外包开发信息系统项目或外包信息系统服务，得到本部门经理的批准后，向信息部提交申请。信息部以设备投资计划，技术开发计划为依据，结合对新技术的调查，作出是否引进的评价结果并向提出部门返回该信息。本公司禁止员工携带个人或私有信息处理设施（例如便携式电脑、家用电脑或手持设备PDA等）处理业务信息。 4.2进行技术选型信息部负责对购入的信息处理设施的技术选型，并从技术角度对供应商进行评价。技术选型应该包含以下几方面：性能、相关设施的兼容性、协作能力、技术发展能力等。 4.3编写购入规格书信息部根据要求，负责编写即将购入的信息处理设施的购入规格书。规格书中应该包含技术规格、相关设施的性能（包括安全相关信息）、兼容性等要求，由信息部主管审批。 4.4定货由信息部按照公司采购流程，向经理层提出购买要求，并提供选型结果。经理层应按照要求办理定货手续。 4.5开箱检查，安装、调试，验收 a) 开箱检查设备到货后，信息部应负责开箱检查，依照购买规格书和装箱单核对数量及物品，确认有无损坏并记录。必要时，应通知有关部门到场协同检查。 b) 安装、调试

信息系统使用管理规定

信息系统使用管理规定 1 目的为确保正确、安全的操作信息处理设施，防止资产遭受未授权泄露、修改、移动或销毁，以及因操作原因造成的业务活动中断。 2 适用范围需要对公司内部信息系统访问、操作及维护信息处理设施的员工。 3 术语和定义移动介质：是指存储了信息的硬盘、光盘、软盘、移动硬盘、U盘和刻录设备等。 4 职责和权限公司所有员工以及第三方服务人员使用本公司的信息处理设施均因遵守本程序的规定。 5 相关活动 5.1 信息系统操作原则所有员工必须遵守各种信息处理设施的有关使用规定，并按照相关规定操作。未经授权不得操作信息系统，已授权用户必须在授权范围内使用信息系统，不得使用其他员工的权限操作系统，更不得恶意使用系统。对信息系统设施和系统的变更、维护都应有明确的记录，由专人负责。 5.2 设备管理各部门的计算机以及计算机的外围设备、消耗材料均由DXC一配备和管理。计算机及其外围设备原则上不允许借到公司外使用，如确实需要，须经公司领导层同意并明确归还日期后方能借出，归还时要重新进行验收，如有损坏将按购入时的市场价格赔偿。为保证每台计算机的完整性，各部门人员不得随意挪换计算机内、外部配件，计算机更换部件须经DXC同意。

使用中出现技术性故障，应及时分析，对于人为操作不当或非正常使用软件所造成的问题由DXC技术人员协助排除；对于硬件本身或非人为因素所造成大型故障由技术人员报DXC 给予解决。软、硬件设备的原始资料（软盘、光盘、说明书及保修卡、许可证协议等）由DXC专人保管，使用者必需的操作守册由使用者保管。计算机机房必须配置防火、防雷电、火险报警及空调等设施。并对性能进行经常性检测，建立相关的应急措施。对与计算机应用有关电源接口、通讯接口等设备由DXC进行定期的检查、维护。 5.3 使用管理操作人员在使用计算机时，必须使用ID和口令登录系统，保持桌面清洁和离开锁屏等良好习惯。要严格遵守操作规程，注意爱护设备，保持清洁，使设备处于良好状态，下班时，务必关机切断电源。未经许可，使用者不可增删硬盘上的应用软件和系统软件。严禁使用计算机玩游戏，登录非法网站。重要部门要采取措施保证输入到信息系统的数据是正确恰当的，同时，对使用添加、修改和删除等对数据的更改要设置权限；对输出的数据也要验证，确保是正确、完整的。 5.4 安全管理计算机一些内部应用系统的数据资料列入保密范围。未经许可，严禁非相关人员私自复制。与互联网相连的计算机不得保存与工作有关的机密性的文件与资料。涉及工作秘密的文字材料或信息不得在互联网上发布，或以电子邮件的形式发送。使用者必须妥善保管好自己的用户名和密码，严防被窃取而导致泄密。网络管理人员要控制诊断和配置端口的物理和逻辑访问，一般情况下这些端口应设置为禁用或取消。 5.5 移动介质管理一般情况下不允许使用移动介质。若需要使用，仅限使用公司配发的移动介质。严禁将私人的移动介质带入公司使用。移动介质由DXC统一编号，建立“移动介质配发使用登记表”。一般情况下移动介质不允许存储机密级信息，存储有机密级信息的移动介质严禁带出办公场所。确应工作需要，需将存储由机密级信息的移动介质带出办公场所须经公司领导批准。

《基础设施管理程序》

基础设施管理程序 1.0目的使企业的基础设施得到合理配置与优化，从而使质量管理体系得到有效实施和保持，以及不断满足顾客的需求。 2.0范围适用于本公司所有设施和工作环境等资源的管理。 3.0职责 3.1装备部负责物资、设施配置管理，确保质量管理体系和正常生产所需能源和工作环境； 3.2装备部负责生产设备的维护与保养； 3.3生产部负责现场的设备日常维护。 4.0定义 4.1工作环境：包括基础环境、工作纪律、各种规章制度、职工的劳防用品等； 4.2设施：为维持正常生产所需的生产办公设施，包括厂房、硬件、软件、工作场所等。 5.0程序 5.1设施管理 5.1.1确定与提供 a)在进行产品实现策划或项目策划时，主管部门应召集各部门代表以多学科的方法进行工厂、设施和设备布局策划，根据产品过程流程图，考虑最大限度的增值使用场地空间、减少材料移动和搬运，形成《工厂平面布置图》，并确定相关设施设备的需求。 b)装备部应以策划的结果指导设施设备的选型、采购、安装、调试、验收和使用，以求以较小的投入，合理的布局，最佳的运作获得最大的效益。 c)如运行过程中各部门发现设施不足，各部门填写采购申请信息，报总经理批准后交采购部采购。 5.1.2工作环境工作环境应做到5S+S(整理、整顿、清扫、清洁、教养加安全)，保证提供

合格产品需要的良好工作环境。 5.1.3设施保持 5.1.3.1工作场所相关设施的保持和维护由装备部组织相关人员进行。 5.1.3.2硬件、软件等维护与保养由使用部门按5.2条款执行。 5.1.3.3支持服务运输设备：货车，通讯设备：电话、传真；当发生故障、异常时请操作人员通知维修人员进行维修。 5.2生产设备的使用与维护 5.2.1设备的采购和验收 a装备部主管根据企业制程状况，需要添置新设备时，与有关部门研讨，填写采购申请信息，总经理批准后交采购实现； b采购部接采购申请信息后，按采购要求进行采购，并将设备交相关使用部门； c设备到货后，装备部管理人员负责建立《生产设备履历卡》，并组织有关人员对设备的功能、技术性态进行检验：（1）如设备满足请购单及合同要求，由装备部在《设备验收单》上签字确认接收。 (2)设备验收后，装备部收齐有关技术资料存档，并移交生产车间投入使用。技术资料包括：该产品的出厂合格证，验收清单，各种资料，图纸等。5.2.1验收合格的设备由设备管理员填入《设备管理台帐》 5.2.2设备维护修理本公司所有生产设备的管理执行以日常检查，定期检查、修理、维护为核心的全面设备管理。 5.2.2.1日常检查：装备部根据设备制造商的建议，结合本公司实际情况，制订《设备保养计划》，由操作人员每天按该计划中的日常保养项目进行检修，填写《设备点检卡》，由专业维修人员巡视督促。 5.2.2.2定期检查、维护：由装备部组织设备使用人员按《设备保养计划》中的定期保养项目进行检修与维护，装备部负责督促、检查。

基础设施与设备管理控制程序

基础设施与设备管理控制程序 1 范围本标准规定了公司对基础设施与设备管理的术语和定义、职责、设备管理内容和方法、基础设施控制管理、。本标准适用于公司公司的各种生产设备、检测检验仪器以及计算机网络系统、水电配套设施、消防系统、厂房等基础设施的管理。 2术语和定义下列术语和定义适用于本标准 2.1 基础设施组织运行所必需的设施、设备和服务的体系。 2.2 设备管理专指对基础设施中设备部分的管理，包括对机械制造设备、锅炉、压力容器的管理，不含厂房、工具、通讯技术和运输设施等。 3 职责 3.1 生技科负责： a.对设备的选择和评价； b.设备购置的申请； c.设备的自制管理； d.设备的维护保养管理； e.锅炉、压力容器的管理； f.设备的更新、改造管理； g.设备的停用、迁移、报废管理； h.设备技术档案的管理。 3.2 质管科负责： a.检验检测设备的申购； b.检验检测设备的检定、校准； c.检验检测设备的维护、保养和维修及日常的清洁； d. 检验检测设备的建档管理。 3.3 办公室负责： a.电话、电脑、网络、数据库系统的维护和修理工作。 b.水电配套设施，消防设施、厂房、库房的日常维护和修理工作各使用部门负责人和使用人员负责： a.设备的日常管理和维修； b.设备备件贮存。

4 设备管理内容和方法

4.1 设备的选型与购置 4.1.2 设备、仪器的购置应根据生产发展、检验检测需要和结合生产车间提出的设备购置与更新计划，由部门负责人填写《请购单》交总经理审批后，由供销部门统一购置。 4.1.3 设备选型应考虑技术上先进，经济上合理，生产上适用的国内先进设备。 4.1.4 设备购置时，应要求供方提供相应设备技术标准资料。 4.1.5 设备交付时，设备使用部门负责人应进行仔细查验，有质量问题应立即拒收并更换，设备安装调试后，由使用部门及办公室协同进行验收，直到达到正常使用要求。 4.1.6 新购设备的验收应填写“设备验收单”，验收单需要说明：主机是否完整，附机、配件、专用工具、技术资料是否齐全，是否与装箱单相符。 4.2 设备安装调试 4.2.1 根据设备性能和装置由生技科组织实施设备安装调试。 4.2.2 设备安装应根据设备技术性能要求、安装图纸和其他有关资料进行。 4.2.3 设备的试车均需设备人员参加，并组织车间操作工、维修工、电工、安装人员共同试车。 4.2.4 试车程序： a.检查设备安装是否按图纸和技术要求完成； b.检查电器部分的电机、指示灯等的运转状态和运转方向是否正常； c.连接皮带或联轴器、手动盘车空运转，安装防护装置、清理现场工器具； d.润滑和再次手动盘车空运转； e.试车时检测有没有松动、震动、阻力； f.按规定小时空转 g.压力容器应按规定进行水压试验。 4.2.5 试车完毕后无问题，可填写“设备安装验收单”。 4.2.6 设备安装调试完毕，应将技术资料归档管理，技术资料应做复印件，复印件交生产维修部门管理。 4.2.7 自制设备 4.2.7.1 由生技科进行图纸设计或提出工艺要求外请设计单位设计。 4.2.7.2 设备自制完成后组织安装调试，并写出试验报告。 4.2.7.3 填写有关人员签字的交接记录。 4.2.7.4 办理设备试用和纳入正常检修的相应手续。 4.3 设备的控制、使用、维护、维修及保养 4.3.1 操作工要熟知设备的操作规程和一般技术性能，并严格执行操作规程，并做到“三好”和“四会”： a.管好、用好、维修好所操作设备 b.会使用、会保养、会检查、会排除故障。 4.3.2 设备维护的四项要求： a.整齐——工具、工件和附件放置整齐，安全防护装置齐全，线路管道完整。 b.清洁——设备的内外清洁，各活动面、丝杠、齿轮无油污，无碰伤，无泄漏，渣物除净。 c.润滑——按时加（换）油，油质正确，油具、油杯、油毡、油线清洁齐全，油标明亮。 d.安全——实行定人定员交接制度，熟悉设备结构，遵守操作规程，精心保养，防止事故。 4.3.3 生技科负责对设备事故的原因进行调查、分析、并对事故的处理提出建议,对设备事故的“三不放过”： a.事故原因分析不清不放过。

2018最新ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范)

最新ISO27001信息安全管理体系全套文件（手册+程序文件+作业规范）

信息安全管理体系程序文件目录

信息安全管理体系作业文件目录

1 适用本程序适用于公司信息安全事故、薄弱点、故障和风险处置的管理。 2 目的为建立一个适当信息安全事故、薄弱点、故障风险处置的报告、反应与处理机制，减少信息安全事故和故障所造成的损失，采取有效的纠正与预防措施，正确处置已经评价出的风险，特制定本程序。 3 职责 3.1 各系统归口管理部门主管相关的安全风险的调查、处理及纠正措施管理。 3.2 各系统使用人员负责相关系统安全事故、薄弱点、故障和风险的评价、处置报告。 4 程序 4.1 信息安全事故定义与分类： 4.1.1 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响（后果)之一，均为信息安全事故： a) 企业秘密、机密及国家秘密泄露或丢失； b) 服务器停运4 小时以上； c) 造成信息资产损失的火灾、洪水、雷击等灾害； d) 损失在十万元以上的故障/事件。 4.1.2 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响（后果)之一，属于重大信息安全事故： a) 企业机密及国家秘密泄露； b) 服务器停运8 小时以上； c) 造成机房设备毁灭的火灾、洪水、雷击等灾害； d) 损失在一百万元以上的故障/事件。 4.1.3 信息安全事件包括： a) 未产生恶劣影响的服务、设备或者实施的遗失； b) 未产生事故的系统故障或超载； c) 未产生不良结果的人为误操作； d) 未产生恶劣影响的物理进入的违规

信息安全管理系统的规范

信息安全管理系统的规范第二部分:信息安全管理系统的规范 1 1. 范围 BS 7799的这个部分指明了对建立、实现和文档化信息安全管理系统(ISMSs)的需求。它指明了将要按照个别机构的需要而实现的安全控制的需求。注:第一部分给出了对最佳惯例的推荐建议，这些惯例支持该规范中的需求。BS 7799的这个部分的条款4给出的那些控制目标和控制来自于BS 7799-1:1999并与改部分的内容保持一致。 2. 术语与定义为了BS 7799的这个部分，BS 7799-1给出的定义适用于该部分，并有以下专用术语: 2.1 适用性说明适用于机构的安全要求的目标和控制的批评。 3.信息安全管理系统的要求 3.1概要机构应建立及维护一个信息安全管理系统，目的是保护信息资产，订立机构的风险管理办法、安全控制目标及安全控制，以及达到什么程度的保障。 3.2建立一个管理框架以下的步骤是用来找出及记录安全控制目标及安全控制的(参看图一): a) 应定义信息安全策略; b) 应定义信息安全管理系统的范围，定义范围可以是机构的特征、位置、资产及技术;

c) 应进行合适的风险评估。风险评估应确认对资产的安全威胁、漏洞及对机构的冲击，从而定出风险的严重程度; d) 根据机构的信息安全策略及所要求达到的保障程度定出要管理的风险; e) 从以下第四条款选出机构要实现的安全控制目标及要实施的安全控制; f) 应准备一份适用性声明书，说明选出哪些安全控制目标及安全控制以及选择的原因。以上步骤应定期重复，确定系统的适用性。 2 3.3实施选出的安全控制目标及安全控制应由机构有效地执行，实施控制的执行程序是否有效应根据4.10.2的规定进行检查。 3.4文档信息安全管理系统的说明文档应包括以下信息: a) 按照3.2所定的步骤实现的证据; b) 管理架构的总结，其中包括信息安全策略、在适用性声明书所提及的安全控制目标和已经实现的安全控制; c) 为了实现3.3所指定的控制而采用的程序;这些程序应该刻画责任以及相关行动; d) 覆盖该ISMS中的管理和操作的程序，这些程序应该指出有哪些责任及其有关

设备设施管理控制程序

设施设备管理控制程序 1.目的设施、设备是生产力的重要组成部分，是公司进行生产的重要物质基础。提设施、设备管理水平，对提高生产质量、降低成本、节约能源、安全生产及提高经济效益都具有重大意义，结合公司的实际情况，特制定本程序。 2.适用范围本制度适用于公司所有设施、设备的管理。 3.职责 3.1 财务部：负责对设施、设备的登记造册、固定资产编号、建立台帐。技术研发部及设备管理员提供技术支持。3.2 3.3 设备维修人员：负责设施、设备的维修及管理。 3.4 设备操作人员：负责设备的使用、维护和保养。 4.3 生产部门：负责设施、设备管理，对所有设备实行统一管理。 4.内容 4.1生产设备、实施购置采购需求申请各部门根据本部门的设备状况、生产经营计划，提出设备增加、改造和更新需 4.1.1 。求，明确设备的使用要求，填写《设备购置需求申请表》 4.1.2设备选型和采购 1）针对设备选型相关资料，在备品备件的标准化、配套性、设备可靠性和维修性、设备安全性、设备的环保与节能、设备的经济性等各方面对设备进行选型评估确认； GMP）质管部对应设备的材质符合要求、清洁或消毒、设备精度应符合产品工艺参数及质量标 2 准的要求评估确认；质管部对所要购置的设备进行品质风险性评估确认；）技术研发部对所要购置的设备进行工艺适应性、品质风险性、技术可靠性进行评估确认； 3 > 4）《设备选型甄选表审批后，由工程项目部填写《设备购置需求申请表》等相关设备资料，并一同递交采购部，作为采购议价的依据。设备采购必须严格执行公司的《物料供应商控制程序》。设施、设备开箱验收和安装 4.1.3．）设备开箱结果按照公司流程的规定处理； 1 2) 开箱验收合格的设备，根据采购合同的规定，设施、设备安装必须由由供应商或工程部负责备的安装调试；危险区域的电气设备要由专业许可人员进行安装、改造。设 4.1.4设备安装、调试和培司 1）安装结束后要进行测试及确认，并出具报告。。相关部门组织维修工和设备使用部门的操作人员进行培训， 2）培训情况记录于《岗位培训记录表》）非关键生产设备设施如有需要，参照本规定执行。 3 ）关键生产设备编写或修订《××设备操作及维护保养指引》。 4 设备试运行 4.1.5 使用部门对调试好的设备按照操作指引和工艺规程进行试运行。如设备不符合申购需求和验收标准，由采购部跟进，按公司流程的规定处理。 4.1.6 设备验证 1）设备预确认：参照设备说明书，考查设备的主要性能、参数是否适合生产工艺，设备的操作、维修保养、清洗等是否符合相关要求。 2）设备安装确认：对设备的型号、规格、主要材质、安装条件、安装过程以及机器在安装环境下的适应性和公用介质的配备情况分别进行检查，确认本机的制造符合设计要求，技术资料齐全，开箱验收符合规范，安装条件和安装过程均符合设计要求，安装后的设备辅助设施齐全，能满足生产需要。）设备运行确认：检查并确认机器在空运转状况下，机器各部件功能的有效性、稳定性和 3 可靠性能否达到设计要求和满足生产需要，所有配套公用系统均符合设计要求，为机器的性能确认提供依据和保障。 4）设备性能确认：设备经预确认、安装确认与运行确认后，经验证小组对验证结果进行会审，确认系统运转正常后，方可进行性能确认工作。性能确认的目的是检查并

信息设备使用管理规定

宝鸡分厂信息设备使用管理规定第一条为了加强企业信息资源管理，提高资源利用效率，规范信息设备的使用、维护和管理工作，制定本规定。第二条计算机使用管理工作由部门主要领导总体负责，指派专人负责设备的日常维护及使用指导工作。第三条操作人员必须遵守计算机各项规章制度，要严格按照操作规程操作，熟练掌握计算机及网络操作技术。第四条操作员开机前必须认真检查设备，确认正常后方可开机，工作结束后按操作规程关机。临时离岗必须退出应用系统。第五条操作员在计算机操作过程中遇到意外情况应及时报告，并如实作好现场记录以便于维护，不可强行操作，以免引发事故，造成损失。第六条操作员必须在规定职责范围内办理各项业务，不得越权操作。操作员注册密码只限本人使用，相互保密，定期更新。发现泄密，要立即修改和报告。第七条操作员要严格遵守保密制度，违反规定造成不良后果者要追究当事人和有关人员责任。操作员要对保密信息严加看管，不得遗失、私自传播。第八条操作员未经许可，拒绝使用来历不明的软件和光盘。电脑出现病毒，操作人员不能杀除的，须及时报信息统计科处理。

第九条本机所带系统软件及驱动软件必须作好备份，由信息统计科妥善保管。对重要的可变数据应定时清理、备份，并报送信息统计科存放。第十条不得随意修改系统引导或使用其它引导盘，特别是不得随意重新安装系统。第十一条禁止在计算机上玩游戏，不得使用工作以外或不知来源的程序。特殊情况须经信息统计科检查批准。第十二条需要安装的应用系统，安装前必须进行“计算机病毒”检测，确认无“病毒”后方可使用。第十三条发现计算机启动不正常或应用系统不能正常运行，要及时报信息统计科进行诊断，发现“计算机病毒”，立即清除。第十四条每周进行一次病毒检查，保证系统的无毒状态运行。第十五条应及时备份，定期清理、删除硬盘中无用文件，以保持计算机中有足够的空间。第十六条正常工作期间，如果计算机系统出现了某些原因不明的故障，如经常死机、异常响声、异味、显示器工作区的异常抖动等，应及时关机，并向维护人员反映及时处理。第十七条当外部设行出现工作异常或输出的图像、数据等异常时，应及时关机，并向维护人员反映及时处理。第十八条所有外部设备与其它设备的连接电缆均严格禁止在带电的情况下进行插、拔。第十九条保障计算机设备的清洁卫生，定期保洁。

基础设施、设备运行管理控制程序

1.0目的为规定设备和设施的采购、请领、使用、维修、保管的管理，以确保设施、设备能满足产品质量、环境、职业健康安全、食品安全的需要，特制定本程序。 2.0范围本程序适用于公司所有设施和设备的管理。 3.0术语和定义基础设施主要是指组织运行所必需的设施、设备和服务。 4.0职责 4.1总经理负责批准本公司基础设施、生产设备、监视和测量设备、再建工程/项目等的采购计划。 4.2设备设施使用部门负责所辖设备的维护、日常保养等工作，按要求正确使用。设备使用部门负责设备需求申请的提出，协助完成设备的验收、安装、调试、改造等工作。 4.3工程部工程部是设备管理的归口部门，负责设备的选型、组织验收、安装、调试、改造。 ●负责厂房及其配套设施以及设备的统筹管理。 ●负责组织设备转移、报废的管理。负责设备日常运行的监督管理及考核工作。 ●负责把设备档案及相关技术资料及时存入公司档案室。 ●负责原有基础设施维护、修缮及技术改造；负责再建工程/项目、生产设备的管理和设备更新及设备的技术改造。 4.4财务部负责信息系统（包括计算机及软件、网建工程、监控及门禁设备）和固定资产的管理。 4.5行政人事部负责办公、生活设施、办公车辆及公司档案的管理。 5.0内容 5.1设施控制程序 5.1.1设施的分类。包括 ——新建、扩建、改建项目 ——生产性辅助设施 ——办公、生活设施等基础性设施安全设施：如各类检测、报警设施、设备安全防护设施、防爆设施、作业场所防护设施、安全警示标志、机械设备上的防护装置、各种联动机械之间、工作场所的动力机械之间的信号装置、电气设备的防护性接地或接零、泄压和止逆设施、消防设施、紧急个体处置设施、应急救援设施、逃生避难设施、劳动防护用品和装备，避雷设施。劳动卫生方面的设施：如保持空气清洁或使温度符合劳动卫生要求而设的通风换气装置和采光、照明等、

《设备及设施管理程序》

质量管理体系文件编号：SDLF/QB-008 版本号：A/0 设备及设施管理程序编制：审核：批准：

发布日期：2016.03.1 实施日期：2016.03.7山东大王汽车电子有限公司 1 目的与适用范围 1.1 目的：通过对设备及设施的全过程管理，确保设备处于良好的运行状态，满足产品质量和生产的需求，延长设备设施使用寿命，保证设备设施有效运行。 1.2 适用范围：适用于本公司对设备的规划、购置、安装、调试、验收、使用、保养、维护、维修、大修、更新、改造等状态管理及设备租入、租出、出售、报废等设备设施的管理。 2 术语和定义 2.1 设备：是指企业在生产、检测、管理等方面所需要的机械、装置等物资的总称。并且可供长期使用、能在使用中基本保持原有的实物形态。 2.2 关键设备：关键设备就是能够对产品生产中的某个要素起关键作用的，如产量、效率、品质或者安全等方面能够制约生产的设备。 2.3 设备故障：设备或系统在使用中因某种原因丧失了规定的机能，而中断生产或降低效能时称为故障。 2.4 渐发故障：是由于各种因素使设备初始参数劣化，衰减过程的发展而引起的故障，这类故障是在工作中逐渐形成的，它与设备的使用时间有关。

2.5 点检：是指对设备的某个部件、部位(称之为点)进行检查。 3 职责 3.1 设备动力部 3.1.1 是本程序的归口管理部门。负责新购置设备的评审、安装、调试、验收等前期管理。 3.1.2 负责对设备日常维护、保养工作。 3.1.3 负责设备维护保养计划、改造计划、更新计划。 3.1.4 负责调拨设备、报废设备的评审管理。 3.1.5 负责水、电、气等公用设施、设备的维护与管理工作。 3.2 设备使用部门 3.2.1 配合新设备评审、安装、调试、验收等前期管理。 3.2.2 负责设备日常使用、点检、保养及故障报修等管理。 3.2.3 负责设备日常的运行安全管理；配合设备日常维修、大修、中修等工作；配合设备状态的鉴定工作。 3.3 工艺部 3.3.1 负责新购置生产用设备工艺参数的确定并提报。 3.3.2 参与新购置设备验收工作，参与设备状态鉴定工作。 3.4 财务部 3.4.1 负责设备固定资产的管理工作。 3.4.2 负责在用设备调拨、租入、租出、报废及出售的财务审核工作。 3.5 采购部 3.5.1 负责设备购置（厂家选定、合同签订等）。 3.5.2 负责组织设备到厂开箱验收。 3.5.3 负责设备安装、调试、验收过程中与设备厂家的协调工作。

014 信息沟通管理程序

1目的建立和疏通信息流通渠道，加强信息流通接口管理，确保与质量管理体系运作的相关信息能得到及时的沟通和处理。 2 范围适用于与本总经办整体运作有关的各类内外部信息沟通的管理。 3定义和术语无 4 职责 4.1 各部门负责工作范围内的企业内外部的信息收集和整理。 4.2 质量部负责与产品质量相关的信息，并做好相关传递、处理、汇总及保存工作。 4.3 市场部负责与市场动态相关的信息，并做好相关传递、处理、汇总及保存工作。 4.4 综合部负责与企业管理相关的信息，并做好相关传递、处理、汇总及保存工作。 4.5 协助总经理负责对信息收集、统筹及其在内部沟通全过程的监督和控制。 5 程序工作流程：沟通内容（信息）之分类→信息的收集→信息重要度分级→信息沟通→沟通效果评价→沟通改进→沟通内容（信息）的归档与保存 5.1 沟通内容（信息）之分类 5.1.1 外部信息 5.1.1.1 与产质量量有关的外部信息 a.客户、产品检查机构、质量技术监督机构、认证机构等检查或监测结果及反馈的信息。 b.产品标准类信息。 c.市场动态、行业动态（包括竞争对手）中与质量相关的信息。 d.供应商的质量信息及投诉等。 e.其它外部与产质量量相关的各类信息。 5.1.1.2 与企业管理相关的外部信息 a.政府及有关部门颁布的与企业运作有关的信息，如法律、法规、条例等。 b.市场、行业动态（包括竞争对手）中与企业管理相关的信息。 c.与企业有合作关系的社会机构、团体、企业的相关反馈信息。 5.1.2 内部信息 a. 体系运行情况、质量方针目标的实施情况、生产过程情况、产品检查情况等。 b. 员工对有关产品质量的建议和意见等。 c. 企业规章制度的建立、推行、运作效果等相关情况。 d. 财务、人事、行政、后勤、安全、卫生等情况。 e. 员工有关企业内部管理的建议和意见等。 5.2 信息的收集

信息安全控制措施测量程序

信息安全控制措施测量程序 1 目的为明确对公司所选择和实施的信息安全控制措施测量的职责、方法和程序，测量控制措施的有效性，制定本文件。 2 适用范围本程序适用于公司选择和实施的信息安全控制措施所涉及的部门、业务和人员。 3 参考文件 ISO/IEC27001:2005 信息安全管理体系要求 ISO/IEC27002:2005 信息安全管理实用规则 4 职责和权限信息安全领导办公室负责本文件的建立和评审。内部审核小组、XXX部等相关部门和人员按照本文件的要求执行。 5 相关活动 5.1 信息安全控制措施测量方法针对不同的控制措施，采用两类测量方法：观察验证和系统测试。 5.1.1 观察验证用于组织类控制措施的有效性测量，包括查验记录、访谈、观察和物理检查等； 5.1.2 系统测试用于技术类控制措施的有效性测量，包括上机操作，或者通过使用专门的系统工具等。 5.2 信息安全控制措施测量流程信息安全办公室在内部审核方案中明确年度控制措施有效性测量计划；根据测量计划，由内审小组和资讯部区分不同类型的控制措施，选择测量方法，编制详细的检查表；针对系统测试方法，准备相应的系统工具；

按计划实施测量；形成控制措施有效性测量报告（可以包含在内部审核报告中）。 6 相关文件和记录信息安全控制措施检查表信息安全控制措施测量方法参考表信息安全控制措施检查表

信息安全控制措施测量方法参考表控制措施测量方法 A.5 安全方针 A.5.1 信息安全方针 A.5.1.1信息安全方针文件审核 ISMS方针文件访问管理者（或管理者代表）、员工、或相关方人员（如必要），了解他们对ISMS方针和目标的理解和贯彻状况。 A.5.1.2信息安全方针的评审查阅 ISMS方针文件的评审和修订记录。 A.6 信息安全组织 A.6.1 内部组织 A.6.1.1 信息安全的管理承诺结合 5.1管理承诺，访问管理者（或管理者代表），判断其对信息安全的承诺和支持是否到位。 A.6.1.2 信息安全协调访问组织的信息安全管理机构，包括其职责。 A.6.1.3 信息安全职责的分配查阅信息安全职责分配或描述等方面的文件。 A.6.1.4 信息处理设施的授权过程访问IT等相关部门，了解组织对新信息处理设施的管理流程。 A.6.1.5 保密性协议查阅组织与员工、外部相关方等签署的保密性或不泄露协议。 A.6.1.6 与政府部门的联系访问信息安全管理机构，询问与相关政府部门的联络情况。 A.6.1.7 与特定利益集团的联系访问信息安全管理机构，询问与相关信息安全专家、专业协会、学会等联络情况。 A.6.1.8 信息安全的独立评审通过对内部审核、管理评审、第三方认证审核等的审核，验证组织信息安全独立评审情况。 A.6.2外部各方 A.6.2.1与外部各方相关风险的识别访问组织信息安全管理机构或IT相关部门，了解对外部各方访问组织的信息和信息处理设施的风险和控制状况。 A.6.2.2处理与顾客有关的安全问题访问组织信息安全管理机构或IT相关部门，了解对顾客访问组织的信息和信息处理设施的风险和控制状况。 A.6.2.3 处理第三方协议中的安全问题访问组织信息安全管理机构或 IT相关部门，了解第三方协议中的安全要求的满足情况。 A.7资产管理 A.7.1对资产负责 A.7.1.1 资产清单审核组织的信息资产清单和关键信息资产清单 A.7.1.2 资产责任人 A.7.1.3资产的允许使用访问组织信息安全管理机构或 IT相关部门，了解对信息资产使用的控制。 A.7.2信息分类 A.7.2.1 分类指南访问组织信息安全管理机构或 IT相关部门，了解组织信息资产的分类和标识情况，并在各部门进行验证。 A.7.2.2 信息标记和处理 A.8人力资源安全 A.8.1任用之前 A.8.1.1 角色和职责审核信息安全角色和职责的分配和描述等相关文件 A.8.1.2 审查访问人力资源等相关部门，验证人员任用前的审查工作。