ISO27001-信息处理设施控制程序

信息处理设施控制程序（依据ISO27001标准）

1. 目的

为规范信息处理设施的安全管理，包括信息处理设施的采购、安装、验收、授权使用、更新、停用、报废等，特制定本程序。

2. 范围

本程序适用于公司信息处理设施的管理控制。

3. 职责与权限

3.1综合部

负责全公司信息处理相关设备的统一采购及协调处理。

3.2 技术部

是全公司计算机网络信息系统和信息资源的统一归口管理部门，包括机房、弱电间的信息处理设备的安装、维修、调配、停用、报废等。

3.3其他部门

遵守本程序的各项要求正确、安全的使用信息处理设施。

4. 相关文件

a)《信息安全奖惩管理规定》

5. 术语定义

无

6. 控制程序

6.1信息处理设备的分类

a)服务器：包括小型机、PC服务器、带库等。

b)网络及安全设备：包括交换机、路由器、防火墙等。

c)办公设备：PC电脑及其打印机、辅助设备。

d)辅助设备：电源、UPS、电缆、光缆等传输线路及设备。

6.2信息处理设备管理

6.2.1 各部门的信息处理设施，包括计算机及其相关和配套的设备、

设施(含网络)、软件、资料（以下统称为计算机设备）的购置，无论资金来源，均应由使用部门提出申请，综合部负责组织审查设计方案、选型配置和必要的论证后提出配置和购置意见和计划，报请领导批准后，由综合部统一采购。

6.2.2需要安装的计算机设备，使用部门应确定安装地点，对计算机

设备进行定置管理和妥善保护，以降低来自环境威胁和危害的风险，以及非授权访问的机会。

6.2.3凡未经申请、审核、批准，任何部门和个人不得擅自购置计算

机设备。对其它来源的计算机，需移交经营管理使用时，应由综合部统一调配。

6.2.4计算机设备用低值易耗品和零配件由综合部制订计划、选材、

选型并负责购置、发放并做好领用登记。

6.3信息处理设备使用

6.3.1计算机设备使用部门应确定设备的使用负责人，确保按批准的

使用目的和使用范围使用。如果将这些设备用于未经批准的非业务目的，或用于未经授权的目的，为设备使用不当。一经发现，将按《信息安全奖惩管理规定》采取惩戒措施。

6.3.2严禁无关人员操作计算机设备，不得随意拆装计算机设备。

6.3.3计算机设备管理部门应识别计算机设备的使用要求和限制，必

要时应制定文件化的使用规则或指南（操作手册或说明书），并保证包括本本公司员工、合作方及第三方用户在内的所有使用者了解和遵守设备的使用要求和限制。

6.3.4进入各部门的计算机设备以及电缆、接驳器等应严格保管，不

准随意搬迁、拆拉或损坏，如发现设备异常及时通知归口管理部门。

6.3.5不得擅自将设备、信息或软件带出工作场所。因工作需要的，

应经使用部门领导批准，并清楚说明将设备带到场所外的责任人及时间限制。

6.3.6严禁在计算机旁使用强电磁场设备和进行有腐蚀气体和尘埃产

生的一切作业活动。

6.3.7严禁在专用UPS电源上使用与计算机工作无关的用电设备。

6.3.8综合部应与大楼物业保持及时联系，确保公司业务不受电力故

障以及由其他支持设施故障的影响。

6.4信息处理设备维护

6.4.1计算机设备的维护部门应定期进行设备的检查、维护、清洁并

作好必要的运行和保养记录。

6.4.2非计算机专业维护人员、管理人员不得随意打开计算机设备的

机箱，任意插拔各种接驳口及更换零部件。

6.4.3计算机设备维修或升级，应及时报送归口管理部门，经审核及

领导批准后由归口管理部门统一安排和实施维修或升级。

6.4.4计算机设备的停用或报废应由使用部门提出申请，报综合部审

核，经领导批准后，将停用或报废设备移交综合部统一处理。

6.4.5计算机设备实施维修、升级、停用或报废前由使用部门和个人

对包含储存媒体的设备的所有项目进行检查，并填写《敏感信息清除记录》报综合部存档，确保在处置之前所有敏感数据和许可软件都被清除或者覆盖掉。

7 附件、记录

7.1 《敏感信息清除记录》