GBT22080：2016信息安全管理体系法律法规清单

执行标准清单
基础标准
1 GB/T 11457-2006：信息技术、软件工程术语
2 GB8566-88 计算机软件开发规范
3 GB 1526-1989：信息处理各种图的文件编辑符号和约定
4 GB/T 14085-1993：信息处理系统计算机系统配置图符号及约定
5 GB/T 20157-200
6 信息技术软件维护
6 GB／T20271-2006《信息安全技术-信息系统通用安全技术要求》
7 GB/T 8566-2007 信息技术软件生存周期过程
开发标准
1 GB/T 8566 -2001 信息技术软件生存周期过程
2 GB/T 1585
3 -1995 软件支持环境
3 GB/T 14079 -1993 软件维护指南
4 SJ/T 10367-1993(2009)计算机过程控制软件开发规程
5 GB/T 17544-1998信息技术软件包质量要求和测试
6 GB/T 15532-2008 计算机软件测试规范
管理标准
1 GB/T 12505 -1990 计算机软件配置管理计划规范
2 GB/T 16260 -2006 软件工程产品质量（质量模型外部度量内部度量使用质量的度量）
3 GB/T 1250
4 -1990 计算机软件质量保证计划规范
4 GB/T 14394-2008 计算机软件可靠性和可维护性管理
G B/T 20918-2007 信息技术软件生存周期过程风险管理。

符合性实施制度目录1. 目的和范围 (2)2. 引用文件 (2)3. 职责和权限 (2)4. 符合法律要求 (3)5. 符合安全策略和标准以及技术符合性 (6)6. 信息系统审核考虑 (6)7. 附件 (9)1.目的和范围本策略规定如何避免违反刑法、民法、法令、法规或合同义务以及信息系统设计、运行、使用和管理的安全需求。

本制度适用于信息安全管理体系要求的法律法规和其他要求的收集、评价、确定等活动的控制。

2.引用文件1)下列文件中的条款通过本规定的引用而成为本规定的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

2)GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求3)GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则4)《软件管理规定》3.职责和权限1)行政部：负责组织有关信息安全管理体系的法律法规和其他要求的收集、更新、审核、评价，并提出专项建议使公司的日常运营满足法律法规的要求。

2)各部门：协助做好与本部门业务有关的相应法律法规和其它要求的收集、更新和合规性评价工作。

4.符合法律要求1)确定使用法律●识别需要遵守的法律法规，并制定《适用法律法规和其它要求清单》；●信息安全管理工作小组会就有关法规影响，在每年的信息安全管理体系审核里面报告中进行说明；●遵守对第三方的知识产权保护（如商标、版权和图像、文字、音频、软件、信息和发明等其它权利）；●未经授权，不擅自复制、使用或转送属于第三方的资料。

2)知识产权（IPR）对第三方知识产权的保护包括但不限于商标、版权、品牌以及图像、文字、音频、软件、信息和发明等其它权利。

对版权的保护需遵照实施如下制度：●不得通过擅自复制、使用或转让第三方资料获取利益；●员工应向综合管理部咨询有关知识产权或合同义务和软件许可证限制方面的问题。

编写委员会信息安全管理手册GLSC2020第A/0版编写：审核：批准：受控状态：XXX网络科技有限公司发布时间：2020年9月1日实施时间：2020年9月1日01目录02修订页03颁布令为提高我公司的信息安全管理水平,保障公司和客户信息安全，依据GB/T 2 2080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》结合本公司实际，特制定信息安全管理手册（以下简称“管理手册”）A/0版。

《管理手册》阐述了公司信息安全管理，并对公司管理体系提出了具体要求，引用了文件化程序，是公司管理体系的法规性文件，它是指导公司建立并实施管理体系的纲领和行动准则，也是公司对所有社会、客户的承诺。

《管理手册》是由公司管理者代表负责组织编写，经公司总经理审核批准实施。

《管理手册》A/0版于2020年9月1日发布，并自颁布日起实施。

本公司全体员工务必认真学习,并严格贯彻执行，确保公司信息安全管理体系运行有效，实现信息安全管理目标，促使公司信息安全管理工作得到持续改进和不断发展。

在贯彻《管理手册》中，如发现问题，请及时反馈，以利于进一步修改完善。

授权综合部为本《管理手册》A/0版的管理部门。

XXX网络科技有限公司总经理：2020年9月1日04任命书为了贯彻执行GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》，加强对管理体系运作的领导，特任命gary为本公司的信息安全管理者代表。

除履行原有职责外，还具有以下的职责和权限如下：（1）确保信息安全管理体系的建立、实施、保持和更新；进行资产识别和风险评估。

（2）向最高管理者报告管理体系的有效性和适宜性，并作为评审依据用于体系的改进；（3）负责与信息安全管理体系有关的协调和联络工作；（4）负责确保管理手册的宣传贯彻工作；（5）负责管理体系运行及持续改进活动的日常督导；（6）负责加强对员工的思想教育和业务、技术培训，提高员工信息安全风险意识；（7）主持公司内部审核活动，任命内部审核人员；（8）代表公司就公司管理体系有关事宜与外部进行联络。

GBT22080：2016信息安全管理体系全套内审资料1.年度内审计划2.内审实施计划3.首末次签到表4.内审检查表5.不合格报告6.内审报告2018年内审计划编号： LHXR-JL-008编制：批准：日期：2018年07月23日内部审核实施计划编号：LHXR-JL-12内审首/末次会议签到表LHXR-JL-13内审检查表编号：LHXR-JL-14内审检查表编号：LHXR-JL-14内审检查表编号：LHXR-JL-14内审检查表编号：LHXR-JL-14内审检查表编号：LHXR-JL-14内审检查表编号：LHXR-JL-14不合格报告内审报告编号：LHXR-JL―16审核目的检查公司信息安全管理体系是否符合GB/T22080-2016标准的要求及有效运行。

审核依据GB/T22080-2016标准、信息安全管理手册、程序文件、相关法律法规、合同及适用性声明等。

审核范围与信息安全相关的活动及部门。

审核时间2018年07月30-31日1、现场审核情况概述本次审核按《内部审核程序》要求，编制了内审计划及实施计划并按计划进行了实施。

审核小组分别按要求编制了《内部审核检查表》；内审计划事先也送达受审核部门。

审核组在各部门配合下，按审核计划进行审核，分别到部门、现场，采用面谈、现场观察、抽查信息安全体系文件及信息安全体系运行产生的记录等方法，进行了抽样调查和认真细致的检查。

审核组审核了包括总经理、管代、各有关职能部门。

审核员发现的不合格项已向受审部门有关人员指明，并由他们确认，审核员还就不合格项与受审部门商讨了纠正措施和方法。

本次审核共提出《不符合报告》共1份，涉及综合部1项。

涉及标准附录7.2条款。

2、体系综合评价a)最高管理者带动员工对满足顾客和法律法规要求的重要性具有明确的认识，能履行其承诺，管理职责明确，重视并参与对信息安全管理体系的建立、保持和推动持续改进活动。

员工能准确答出公司信息安全方针和目标，体现了全员参与。

信息技术安全技术信息安全管理体系要求Information technology-Security techniques- Information security management systems-Requirements（ISO/IEC 27001：2005）目次引言 (II)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 信息安全管理体系（ISMS） (3)5 管理职责 (8)6 内部ISMS审核 (9)7 ISMS的管理评审 (9)8 ISMS改进 (10)附录 A （规范性附录）控制目标和控制措施 (12)附录 B （资料性附录）OECD原则和本标准 (27)附录 C （资料性附录）ISO 9001:2000, ISO 14001:2004 和本标准之间的对照 (29)引言0.1总则本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系（Information Security Management System，简称ISMS）提供模型。

采用ISMS应当是一个组织的一项战略性决策。

一个组织的ISMS的设计和实施受其需要和目标、安全要求、所采用的过程以及组织的规模和结构的影响，上述因素及其支持系统会不断发生变化。

按照组织的需要实施ISMS，是本标准所期望的，例如，简单的情况可采用简单的ISMS解决方案。

本标准可被内部和外部相关方用于一致性评估。

0.2过程方法本标准采用一种过程方法来建立、实施、运行、监视、评审、保持和改进一个组织的ISMS。

一个组织必须识别和管理众多活动使之有效运作。

通过使用资源和管理，将输入转化为输出的任意活动，可以视为一个过程。

通常，一个过程的输出可直接构成下一过程的输入。

一个组织内诸过程的系统的运用，连同这些过程的识别和相互作用及其管理，可称之为“过程方法”。

本标准中提出的用于信息安全管理的过程方法鼓励其用户强调以下方面的重要性：a)理解组织的信息安全要求和建立信息安全方针与目标的需要；b)从组织整体业务风险的角度，实施和运行控制措施，以管理组织的信息安全风险；c)监视和评审ISMS的执行情况和有效性；d)基于客观测量的持续改进。

第三方服务管理工作指南
目录
1 范围 (2)
2 规范性引用文件 (2)
3 职责 (2)
4 管理内容和要求 (3)
4.1 第三方服务的确定 (3)
4.2 对第三方服务的监督和评审 (3)
4.3 第三方服务的变更管理 (4)
4.4第三方人员及外包商安全管理 (4)
4.5供应商协议中的安全 (5)
4.6 信息和通信技术供应链 (6)
第三方服务管理工作指南
1 范围
适用于公司信息安全第三方服务管理活动,包括第三方确定过程、第三方的服务安全控制措施、第三方的服务监督和评审方法、第三方的变更管理。

为加强对第三方服务提供商（合作商）的控制，减少安全风险，防范公司信息资产损失，特制定本程序。

2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

《信息技术安全技术信息安全管理体系要求》（GB/T 22080-2016/ISO/IEC 27001:2013）
3 职责
3.1 商务采购部
负责统一管理第三方服务的控制活动，负责确定合格的第三方服务商。

3.2 各相关部门
a) 与第三方服务商签订服务合同和保密协议；
b) 负责对第三方服务商的服务进行安全控制；
c) 负责定期对第三方服务商进行监督和评审。

公司信息安全管理体系目标分解规定
编号：GL-002
为了公司信息安全方针和信息安全目标得到全面贯彻落实，确保信息安全目标的实现，现将信息安全目标进行分解，务请各部门及全体员工，紧紧围绕方针目标开展工作，本公司采用自上而下层层展开，自下而上层层保证的原则。

公司信息安全目标：
1.不可接受风险处理率：100% （所有不可接受风险应降低到可接受的程度）。

2.重大顾客因信息安全事件投诉为0次（重大顾客投诉是指直接经济损失金额达1万元以上）（包含泄露用户身份信息，泄露用户保护文件内容信息）
3.确保单个重要业务系统，每月中断次数不超过1次，每次中断时间不超过2小时。

（取证系统无法取证，无法下载证据，版权保护系统无法申请版权保护，时间戳签发系统无法申请时间戳。

）
4.确保信息安全事件发现率99%、上报和处理率100%。

总经理：结合本公司实际，制定和发布企业信息安全方针和信息安全目标，并组织信息安全目标的分解和落实到各相关部门，利用会议沟通、发放文件等形式，在企业内使全体员工围绕方针目标开展各项工作，宣传贯彻相关的法律法规，确保资源提供，确保以顾客为关注焦点，按信息安全体系要求及时组织和主持管理评审，确保所策划的信息安全体系持续有效运行。

管理者代表：协助总经理制定和发布信息安全方针和信息安全目标，组织员工进行学习，使每位员工充分认识信息安全的重要性，组织定期对信息安全体系进行检查和审核，及时向总经理提出改进建议，同时与相关部门密切配合及时地进行数据分析，掌握信息安全方针实施情况、信息安全目标完成情况，向总经理报告并提出纠正和预防措施的建议，确保信息安全与信息技术服务目标的完成，确保信息安全与信息技术服务体系的持续和有效运行。

2。

22080-2016信息安全管理体系管理手册及程序文件信息安全管理手册目录1. 概述1.1目的1.2适用范围1.3颁布令1.4授权书2. 依据文件和术语2.1依据文件2.2术语定义3. 裁剪说明4. 组织环境4.1组织环境描述4.2信息安全相关方的需求和期望4.3信息安全管理体系范围的确定4.4体系概述5. 领导力5.1领导力和承诺5.2信息安全方针和目标5.3组织角色、职责和权限6. 策划6.1风险评估和处置6.2目标实现过程7. 支持7.1资源提供7.2信息安全能力管理7.3意识培训7.4信息安全沟通管理7.5存档信息控制8. 运行8.1体系策划与运行9. 绩效评价9.1能力评价9.2有效性测量9.3内部审核9.4管理评审10. 改进11. 信息安全总体控制A.5信息安全策略A.6信息安全组织A.7人力资源安全A.8资产管理A.9访问控制A.10密码控制A.11物理和环境安全A.12操作安全A.13通信安全A.14系统获取、开发和维护A.15供应商关系A.16信息安全事故A.17业务连续性管理的信息安全方面A.18符合性附件一：信息安全组织架构映射表附件二：信息安全职责分配表1.概述为提高服务质量，规范管理活动，保障系统安全运行，提升人员安全意识水平，XXX软件有限公司（以下简称“公司”）依据信息安全管理标准《GB/T 22080-2016/ISO/IEC 27001:2013 信息技术安全技术信息安全管理体系要求》的相关要求，结合自身业务系统实际运行安全需求，已建立实施了一套科学有效的信息安全管理体系，并通过体系的有效运行，实现持续改进，达到动态系统、全员参与、制度化的、以预防为主的信息安全管理方式。

目的本总纲为公司信息安全管理体系的纲领性文件，描述了信息安全管理体系的方针、目标、管理机制和要求等方面的内容。

通过建立策划（P）→执行（D）→检查（C）→改进（A）的持续改进机制，不断提高公司的信息安全管理水平，确保日常信息安全管理活动的安全、稳定、高效，提升企业核心竞争力。

员工手册1.1.信息安全策略：1.2.服务器管理服务器配置要点：1.机器名按资产识别程序中的规定命名，不得使用随机名，所有服务器使用固定IP地址。

2.服务器时间在每次检查时与INTERNET时间校对。

3.日志每半月保存一次（包括应用、系统日志），日志上限为16384KB,超过这个大小采用覆盖方式。

4.服务器的性能监控初步指标：CPU占用率不得长期高于80%，内存使用率不得长期高于80%，系统盘至少要有20%的余量供临时文件周转。

1.2.1.服务器检查1.3.路由器配置1.更改路由器的初始登入密码，密码强度符合至少8位，数字、字母和符号任意两种组合。

2.打开主路由器中的防火墙，启用路由器的安全功能，对性能有较大影响的选项需根据业务和安全需求综合评审。

3.更改二级路由器的LAN口地址，防止与上层路由器发生IP冲突。

4.二级路由器一般关闭DHCP，无线的可以打开。

5.无线部分打开安全设置，使用加密方法，无线路由应根据业务和人员流动情况决定是否更改密码。

6.路由器的配置信息需要保存，如导出文件或配置截图。

10. 路由器最好放置在特定机柜中，若不具备条件需每周检查路由器配置是否被重置。

1.4.系统权限检查对每个应用信息系统建立《系统权限登记表》，每个权限的分配和改动需要有相应的申请和记录，每月按权限表进行检查，按表中的评审周期对系统权限进行评审，最多不得超过半年。

检查范围：各信息系统1.上网系统检查，主要是看无线密码是否需要更改，网络控制设施的相关配置有无变化。

3.服务器账号系统，查看用户有无增减。

1.5.备份1.6.即时通讯软件的使用公司允许使用的即时通讯工具包括：QQ 微信、钉钉1.使用钉钉必须经过申请，由网络管理员登记到即时通讯服务权限表中。

2.钉钉口令需要符合至少8位长度，数字、字母、符号任意两种类型组合的强度。

3.钉钉不得私自建群，使用群共享和群硬盘，所有内部群开启必须经过审批，由网络管理员登记后开放权限。

目录一、信息系统容量规划及验收管理规定 (1)二、信息资产密级管理规定 (2)三、信息系统设备管理规定 (4)四、笔记本电脑管理规定 (8)五、介质管理规定 (10)六、变更管理规定 (13)七、第三方服务管理规定 (16)八、邮件管理规定 (18)九、软件管理规定（无） (21)十、系统监控管理规定（无） (23)十一、补丁管理规定（无） (24)十二、信息系统审核规范（无） (25)十三、基础设施及服务器网络管理制度 (26)十四、信息系统安全应急预案 (29)十五、远程办公管理制度 (33)十六、信息安全访问控制管理规定 (34)十七、信息交换管理规定 (38)一、信息系统容量规划及验收管理规定1. 目的针对已确定的服务级别目标和业务需求来设计、维持相应的开发中心服务能力，从而确保实际的开发中心服务能够满足服务要求。

2. 范围适用于公司所有硬件、软件、外围设备、人力资源容量管理。

3. 职责综合部负责确定、评估容量需求。

4. 内容(1)容量管理包括：服务器,重要网络设备：LAN、WAN、防火墙、路由器等；所有外围设备：存储设备、打印机等；所有软件：操作系统、网络、内部开发的软件包和购买的软件包；人力资源：要维持有足够技能的人员。

(2)对于每一个新的和正在进行的活动来说，公司管理层应识别容量要求。

(3)公司管理层每年应在管理评审时评审系统容量的可用性和效率。

公司管理层应特别关注与订货交货周期或高成本相关的所有资源，并监视关键系统资源的利用，识别和避免潜在的瓶颈及对关键员工的依赖。

(4)应根据业务规划、预测、趋势或业务需求,定期预测施加于综合部系统上的未来的业务负荷以及组织信息处理能力，以适当的成本和风险按时获得所需的容量。

二、信息资产密级管理规定1. 目的确保公司营运利益，并防止与公司营运相关的保密信息泄漏。

2. 范围本办法适用于公司所有员工。

3. 保密信息定义保密信息指与公司营运相关且列入机密等级管理的相关信息。

编写委员会信息安全管理手册GLSC2020第A/0版编写：审核：批准：受控状态：XXX网络科技有限公司发布时间：2020年9月1日实施时间：2020年9月1日01目录02修订页03颁布令为提高我公司的信息安全管理水平,保障公司和客户信息安全，依据GB/T 2 2080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》结合本公司实际，特制定信息安全管理手册（以下简称“管理手册”）A/0版。

《管理手册》阐述了公司信息安全管理，并对公司管理体系提出了具体要求，引用了文件化程序，是公司管理体系的法规性文件，它是指导公司建立并实施管理体系的纲领和行动准则，也是公司对所有社会、客户的承诺。

《管理手册》是由公司管理者代表负责组织编写，经公司总经理审核批准实施。

《管理手册》A/0版于2020年9月1日发布，并自颁布日起实施。

本公司全体员工务必认真学习,并严格贯彻执行，确保公司信息安全管理体系运行有效，实现信息安全管理目标，促使公司信息安全管理工作得到持续改进和不断发展。

在贯彻《管理手册》中，如发现问题，请及时反馈，以利于进一步修改完善。

授权综合部为本《管理手册》A/0版的管理部门。

XXX网络科技有限公司总经理：2020年9月1日04任命书为了贯彻执行GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》，加强对管理体系运作的领导，特任命gary为本公司的信息安全管理者代表。

除履行原有职责外，还具有以下的职责和权限如下：（1）确保信息安全管理体系的建立、实施、保持和更新；进行资产识别和风险评估。

（2）向最高管理者报告管理体系的有效性和适宜性，并作为评审依据用于体系的改进；（3）负责与信息安全管理体系有关的协调和联络工作；（4）负责确保管理手册的宣传贯彻工作；（5）负责管理体系运行及持续改进活动的日常督导；（6）负责加强对员工的思想教育和业务、技术培训，提高员工信息安全风险意识；（7）主持公司内部审核活动，任命内部审核人员；（8）代表公司就公司管理体系有关事宜与外部进行联络。