最新ISO27001信息安全管理体系全套文件手册+程序文件+作业规范.docx
《最新ISO27001信息安全管理体系全套文件手册+程序文件+作业规范.docx》由会员分享,可在线阅读,更多相关《最新ISO27001信息安全管理体系全套文件手册+程序文件+作业规范.docx(71页珍藏版)》请在冰豆网上搜索。
最新ISO27001信息安全管理体系全套文件手册+程序文件+作业规范
最新ISO27001信息安全管理体系全套文件
(手册+程序文件+作业规范)
信息安全管理体系程序文件目录
文件编号
文件名称
XX-ISMS-01
事故事件薄弱点与故障管理程序
XX-ISMS-02
业务持续性管理程序
XX-ISMS-03
企业商业技术秘密管理程序
XX-ISMS-04
信息处理设施引进实施管理程
XX-ISMS-05
信息安全人员考察与保密管理程序
XX-ISMS-06
信息安全惩戒管理程序
XX-ISMS-07
信息安全适用性声明
XX-ISMS-08
信息安全风险评估管理程序
XX-ISMS-09
内审管理程序
XX-ISMS-10
恶意软件控制程序
XX-ISMS-11
更改控制程序
XX-ISMS-12
物理访问管理程序
XX-ISMS-13
用户访问控制程序
XX-ISMS-14
管理评审控制程序
XX-ISMS-15
系统开发与维护控制程序
XX-ISMS-16
系统访问与使用监控管理程序
XX-ISMS-17
计算机账户及密码管理程序
XX-ISMS-18
文件和资料管理程序
XX-ISMS-19
重要信息备份管理程序
XX-ISMS-20
预防措施程序
信息安全管理体系作业文件目录
文件编号
文件名称
XX-ISMS-SOP-01
防火墙安全管理规定
XX-ISMS-SOP-02
介质销毁管理规定
XX-ISMS-SOP-03
信息机房管理制度
XX-ISMS-SOP-04
信息中心安全事件报告和处置管理制度
XX-ISMS-SOP-05
信息中心密码管理制度
XX-ISMS-SOP-06
信息系统访问权限说明
XX-ISMS-SOP-07
档案鉴定销毁工作规定
XX-ISMS-SOP-08
移动介质使用管理规定
XX-ISMS-SOP-09
复印室管理制度
XX-ISMS-SOP-10
重要文件加密解密管理制度
文件名称
事故事件薄弱点与故障管理程序
版次
A/0
虫他
文件编号
XX-ISMS-01
日期
2017.11.01
1/3
1适用
本程序适用于公司信息安全事故、薄弱点、故障和风险处置的管理。
2目的
为建立一个适当信息安全事故、薄弱点、故障风险处置的报告、反应与处理机制,减少信息安全事故和故障所造成的损失,采取有效的纠正与预防措施,正确处置已经评价出的风险,特制定本程序。
3职责
3.1各系统归口管理部门主管相关的安全风险的调查、处理及纠正措施管理。
3.2各系统使用人员负责相关系统安全事故、薄弱点、故障和风险的评价、处置报告。
4程序
4.1信息安全事故定义与分类:
4.1.1信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,均为信息安全事故:
a)企业秘密、机密及国家秘密泄露或丢失;
b)服务器停运4小时以上;
c)造成信息资产损失的火灾、洪水、雷击等灾害;
d)损失在十万元以上的故障/事件。
4.1.2信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,属于重大信息安全事故:
a)企业机密及国家秘密泄露;
b)服务器停运8小时以上;
c)造成机房设备毁灭的火灾、洪水、雷击等灾害;
d)损失在一百万元以上的故障/事件。
4.1.3信息安全事件包括:
a)未产生恶劣影响的服务、设备或者实施的遗失;
b)未产生事故的系统故障或超载;
c)未产生不良结果的人为误操作;
d)未产生恶劣影响的物理进入的违规
文件名称
事故事件薄弱点与故障管理程序
版次
A/0
虫他
文件编号
XX-ISMS-01
日期
2017.11.01
2/3
e)未产生事故的未加控制的系统变更;
f)策略、指南和绩效的不符合;
g)可恢复的软件、硬件故障;
h)未产生恶劣后果的非法访问。
4.2故障与事故的报告渠道与处理
4.2.1故障、事故报告要求
故障、事故的发现者应按照以下要求履行报告任务:
a)各个信息管理系统使用者,在使用过程中如果发现软硬件故障、事故,应该向该系统归口管理部门报告;如故障、事故会影响或已经影响线上生产,必须立即报告相关部门,采取必要措施,保证对生产的影响降至最低;
b)发生火灾应立即触发火警并向安全监督部报告,启动消防应急预案;
c)涉及企业秘密、机密及国家秘密泄露、丢失应向行政部报告;
d)发生重大信息安全事故,事故受理部门应向信息安全管理者代表和有关公司领导报告。
4.2.2故障、事故的响应
故障、事故处理部门接到报告以后,应立即进行迅速、有效和有序的响应,包括采取以下适当措施:
a)报告者应保护好故障、事故的现场,并采取适当的应急措施,防止事态的进一步扩大;b)按照有关的故障、事故处理文件(程序、作业手册)排除故障,恢复系统或服务,必要时,启动业务持续性管理计划。
5相关/支持性文件
5.1《预防措施控制程序》
5.2《信息密级划分、标注及处理控制程序》
5.3《信息安全奖励、惩戒规定》
5.4I《法律法规与符合性评估程序》
6记录保存期限
6.1《信息安全风险评估报
文件名称
事故事件薄弱点与故障管理程序
版次
A/0
虫他
文件编号
XX-ISMS-01
日期
2017.11.01
3/3
6.2《纠正/预防措施申请书》
6.3《信息安全事故调查处理报告》
6.4《信息安全薄弱点报告》
文件名称
业务持续性管理程序
版
次
A/0
虫他
文件编号
XX-ISMS-02
日
期
2017.11.01
1/2
1目的与范围
本程序规定了当发生重大信息安全事件或灾难时,为保护公司业务活动免受影响,迅速恢复已中断的业务活动,实现公司业务持续发展而实施的管理活动。
这些活动包括:
建立业务持续性管理程序;进行业务持续性和影响分析;编制业务持续性战略计划;制订业务持续性管理实施计划并实施;对业务持续性管理计划进行定期测试和评审等。
本程序适应于本公司应用软件的开发和系统集成的活动等主要业务的持续性管理。
2相关文件
2.1《信息安全管理手册》
2.2《信息资产的识别与风险评估管理程序》
2.3《事故、薄弱点与故障管理程序》
3职责
3.1公司常务副总经理负责公司业务中断的恢复的总指挥与总协调。
3.2集成部负责编制、修订公司业务持续性管理程序,并协调、推进公司业务持续性管理活动。
3.3各部门负责部门相关系统的故障处理及与之相关的作业中断的恢复。
3.4技术部负责项目实施过程中设备及软件系统的故障处理及与之相关的作业中断的恢复。
3.5集成部负责后勤系统设备及网络系统的故障处理及与之相关的作业中断的恢复。
3.6行政部负责本部门管理系统及与之相关的作业中断的恢复。
3.7公司各部门在发生重大信息安全事件或灾难时,负责保护本部门使用的信息系统及业务数据,及时恢复中断的业务活动。
4工作程序
4.1业务持续性管理过程
公司业务持续性管理过程规定如下:
文件名称
业务持续性管理程序
版
次
A/0
虫他
文件编号
XX-ISMS-02
日
期
2017.11.01
2/2
4.2业务持续性和影响的分析
4.2.1公司在首次信息安全风险评估后进行业务持续性和影响的分析。
4.2.2业务持续性和影响的分析由集成部组织,技术部、行政部、生产部及管理者代表指定的相关部门分别开展以下活动:
a)对本部门的信息安全进行风险评估;
b)识别出对本部门业务持续性造成严重影响的主要事件,如设备故障、火灾等;
c)分析这些事件一旦发生对公司业务活动造成的影响和损失,以及恢复业务所需费用等;
d)编写本部门《业务持续性和影响分析报告》(格式见ISMS-4341)。
4.2.3《业务持续性和影响分析报告》应包括以下内容:
a)识别关键业务的管理过程;
b)可能引起公司业务活动中断的主要事件;
c)主要事件对本部门管理的信息系统的影响;
d)信息系统故障或中断对公司业务活动的影响;
e)关于系统恢复或替换的费用考虑。
5记录
5.1《业务持续性和影响分析报告》
5.2《业务持续性管理战略计划》
5.3《业务持续性管理实施计划》
5.4《业务持续性管理计划测试报告》
5.5《业务持续性管理计划评审报告
文件名称
企业商业技术秘密管理程序
版
次
A/0
虫他
文件编号
XX-ISMS-03
日
期
2017.11.01
1/3
第一章总则
第一条为保障公司的合法权益,充分发挥作为公司重要资产的技术秘密、商业秘密的效益,鼓励员工不断创造并自觉维护技术秘密、商业秘密的积极性,根据《知识产权管理总则》制订本制度。
第二条公司技术秘密、商业秘密的管理目标;技术秘密、商业秘密是本公司拥有的知识产权的组成部分,是公司的重要资产。
要在公司内牢固树立技术秘密、商业秘密的保护意识;技术秘密、商业秘密的管理贯穿研究开发、生产和经营的全过程。
明确商业秘密的界定和保护。
第三条公司内的相关管理制度、合同、记录等文献所有文件均属于商业机密。
第二章技术秘密、商业秘密的定义、确立和管理机制
第四条.本制度所称的技术秘密、商业秘密,是指由公司员工在职务范围内创造或履行职务产生的、经
公司知识产权管理部门认定并采取了保密措施、只在公司一定范围内流传的、具有商业价值的所有信息
或成果。
这些信息或成果以各种纸质材料、照片、录像和计算机等数字存储设备为载体而能够为人所感
知。
具体包括:
1.技术秘密。
包括:
公司现有的或正在开发或者构思之中的或经过技术创新确定不宜于申请专利的营销方
案,管理制度;
2.经营信息包括:
公司的市场营销计划、广告宣传方案、销售方法、供应商和客户名单、客户的专门需求、未公开的销售服务网络以及公司现有的、正在开发或者构思之中的经营项目等信息及其承载物;
3.依据法律和有关协议对第三方负有保密责任的第三方商业秘密。
第五条.确定为技术秘密、商业秘密的信息及其承载物,归公司所有。
第六条.技术秘密、商业秘密的确定程序:
1.由参与药品研发创新,研发部就某一项或几项信息,向公司行政管理部门申报;
2.行政董事接到申报后采取:
a)指定参与者中一人专门保管成果或信息的承载物,可以采取加密措施。
被指定人一般是项目或业务负责
人或菜肴创造者本人;
b)向公司常务董事汇报并提出是否构成技术秘密、商业秘密建议。
必要时会同指定人向公司常务董事汇报;
c)公司行政董事在接到知识产权管理部门的汇报后应立即作出是否确定为技术秘密、商业秘密的决定;
d)对于被确定为技术秘密、商业秘密的信息或成果,按照本制度第三章和第四章的有关规定具体落实管理措施。
e)技术秘密、商业秘密的确定遵循随时产生随时确定的原则,实行动态管理;
第七条商业秘密管理机制。
公司决策层负责技术秘密、商业秘密的整体工作。
及时、高效地作出审核、批准、否决等工作,定期检查各部门的保密工作,作出奖惩决定。
公司下属部门的负责人负责本部门的日常技术秘密、商业秘密管理和保护工作。
定期检查本部门的保密
工作,配合支持知识产权管理部门履行公司技术秘密、商业秘密保护工作。
知识产权管理部门是公司技术秘密、商业秘密保护工作的职责机构,具体操作落实与协调商业秘密保护
文件名称
企业商业技术秘密
升级会员 