《2019最新ISO27001信息安全管理体系全套文件(手册 程序文件 作业规范)》由会员分享,可在线阅读,更多相关《2019最新ISO27001信息安全管理体系全套文件(手册 程序文件 作业规范)(161页珍藏版)》请在金锄头文库上搜索。
1、信息安全管理体系作业文件目录文件编号文件名称XX-ISMS-01事故事件薄弱点与故障管理程序XX-ISMS-02业务持续性管理程序XX-ISMS-03企业商业技术秘密管理程序XX-ISMS-04信息处理设施引进实施管理程XX-ISMS-05信息安全人员考察与保密管理程序XX-ISMS-06信息安全惩戒管理程序XX-ISMS-07信息安全适用性声明XX-ISMS-08信息安全风险评估管理程序XX-ISMS-09内审管理程序XX-ISMS-10恶意软件控制程序XX-ISMS-11更改控制程序XX-ISMS-12物理访问管理程序XX-ISMS-13用户访问控制程序XX-ISMS-14管理评审控制程序
2、XX-ISMS-15系统开发与维护控制程序XX-ISMS-16系统访问与使用监控管理程序XX-ISMS-17计算机账户及密码管理程序XX-ISMS-18文件和资料管理程序XX-ISMS-19重要信息备份管理程序XX-ISMS-20预防措施程序文件编号文件名称XX-ISMS-SOP-01防火墙安全管理规定XX-ISMS-SOP-02介质销毁管理规定XX-ISMS-SOP-03信息机房管理制度XX-ISMS-SOP-04信息中心安全事件报告和处置管理制度XX-ISMS-SOP-05信息中心密码管理制度XX-ISMS-SOP-06信息系统访问权限说明XX-ISMS-SOP-07档案鉴定销毁工作规定X
3、X-ISMS-SOP-08移动介质使用管理规定XX-ISMS-SOP-09复印室管理制度XX-ISMS-SOP-10重要文件加密解密管理制度惠州科达利精密工业有限公司文件名称事故事件薄弱点与故障管理程序版 次A/0页码文件编号HZKDL-ISMS-01日 期2019-2-5 1 / 31 适用本程序适用于公司信息安全事故、薄弱点、故障和风险处置的管理。2 目的为建立一个适当信息安全事故、薄弱点、故障风险处置的报告、反应与处理机制,减少信息安全事故和故障所造成的损失,采取有效的纠正与预防措施,正确处置已经评价出的风险,特制定本程序。3 职责3.1 各系统归口管理部门主管相关的安全风险的调查、处理
4、及纠正措施管理。3.2 各系统使用人员负责相关系统安全事故、薄弱点、故障和风险的评价、处置报告。4 程序4.1 信息安全事故定义与分类: 4.1.1 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,均为信息安全事故: a) 企业秘密、机密及国家秘密泄露或丢失; b) 服务器停运4 小时以上; c) 造成信息资产损失的火灾、洪水、雷击等灾害; d) 损失在十万元以上的故障/事件。4.1.2 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,属于重大信息安全事故: a) 企业机密及国家
5、秘密泄露; b) 服务器停运8 小时以上; c) 造成机房设备毁灭的火灾、洪水、雷击等灾害; d) 损失在一百万元以上的故障/事件。4.1.3 信息安全事件包括: a) 未产生恶劣影响的服务、设备或者实施的遗失; b) 未产生事故的系统故障或超载; c) 未产生不良结果的人为误操作; d) 未产生恶劣影响的物理进入的违规惠州科达利精密工业有限公司文件名称事故事件薄弱点与故障管理程序版 次A/0页码文件编号HZKDL-ISMS-01日 期2019.2.5 2 / 3e) 未产生事故的未加控制的系统变更; f) 策略、指南和绩效的不符合; g) 可恢复的软件、硬件故障; h) 未产生恶劣后果的非法
6、访问。4.2 故障与事故的报告渠道与处理4.2.1 故障、事故报告要求故障、事故的发现者应按照以下要求履行报告任务: a) 各个信息管理系统使用者,在使用过程中如果发现软硬件故障、事故,应该向该系统归口管理部门报告;如故障、事故会影响或已经影响线上生产,必须立即报告相关部门,采取必要措施,保证对生产的影响降至最低; b) 发生火灾应立即触发火警并向安全监督部报告,启动消防应急预案; c) 涉及企业秘密、机密及国家秘密泄露、丢失应向行政部报告; d) 发生重大信息安全事故,事故受理部门应向信息安全管理者代表和有关公司领导报告。4.2.2 故障、事故的响应故障、事故处理部门接到报告以后,应立即进行
7、迅速、有效和有序的响应,包括采取以下适当措施: a) 报告者应保护好故障、事故的现场,并采取适当的应急措施,防止事态的进一步扩大; b) 按照有关的故障、事故处理文件(程序、作业手册)排除故障,恢复系统或服务,必要时,启动业务持续性管理计划。5 相关/支持性文件5.1预防措施控制程序5.2 信息密级划分、标注及处理控制程序5.3信息安全奖励、惩戒规定5.4 I法律法规与符合性评估程序6 记录保存期限6.1信息安全风险评估报惠州科达利精密工业有限公司文件名称事故事件薄弱点与故障管理程序版 次A/0页码文件编号HZKDL-ISMS-01日 期2019.2.5 3 / 36.2纠正/预防措施申请书6
8、.3信息安全事故调查处理报告6.4信息安全薄弱点报告惠州科达利精密工业有限公司文件名称业务持续性管理程序版 次A/0页码文件编号HZKDL -ISMS-02日 期2019.2.5 2 / 21 目的与范围本程序规定了当发生重大信息安全事件或灾难时,为保护公司业务活动免受影响,迅速恢复已中断的业务活动,实现公司业务持续发展而实施的管理活动。这些活动包括:建立业务持续性管理程序;进行业务持续性和影响分析;编制业务持续性战略计划;制订业务持续性管理实施计划并实施;对业务持续性管理计划进行定期测试和评审等。本程序适应于本公司应用软件的开发和系统集成的活动等主要业务的持续性管理。2 相关文件2.1信息安
9、全管理手册2.2信息资产的识别与风险评估管理程序2.3事故、薄弱点与故障管理程序3 职责3.1 公司常务副总经理负责公司业务中断的恢复的总指挥与总协调。3.2 集成部负责编制、修订公司业务持续性管理程序,并协调、推进公司业务持续性管理活动。3.3 各部门负责部门相关系统的故障处理及与之相关的作业中断的恢复。3.4 技术部负责项目实施过程中设备及软件系统的故障处理及与之相关的作业中断的恢复。3.5 集成部负责后勤系统设备及网络系统的故障处理及与之相关的作业中断的恢复。3.6 行政部负责本部门管理系统及与之相关的作业中断的恢复。3.7 公司各部门在发生重大信息安全事件或灾难时,负责保护本部门使用的
10、信息系统及业务数据,及时恢复中断的业务活动。4 工作程序4.1 业务持续性管理过程公司业务持续性管理过程规定如下:4.2 业务持续性和影响的分析4.2.1 公司在首次信息安全风险评估后进行业务持续性和影响的分析。4.2.2 业务持续性和影响的分析由集成部组织,技术部、行政部、生产部及管理者代表指定的相关部门分别开展以下活动:a)对本部门的信息安全进行风险评估;b)识别出对本部门业务持续性造成严重影响的主要事件,如设备故障、火灾等;c)分析这些事件一旦发生对公司业务活动造成的影响和损失,以及恢复业务所需费用等;d)编写本部门业务持续性和影响分析报告(格式见ISMS-4341)。4.2.3业务持续
11、性和影响分析报告应包括以下内容:a)识别关键业务的管理过程;b)可能引起公司业务活动中断的主要事件;c)主要事件对本部门管理的信息系统的影响;d)信息系统故障或中断对公司业务活动的影响;e)关于系统恢复或替换的费用考虑。5 记录5.1业务持续性和影响分析报告5.2业务持续性管理战略计划5.3业务持续性管理实施计划5.4业务持续性管理计划测试报告5.5业务持续性管理计划评审报告惠州科达利精密工业有限公司文件名称企业商业技术秘密管理程序版 次A/0页码文件编号HZKDL-ISMS-03日 期2019.2.05 4 / 3第一章 总则第一条 为保障公司的合法权益,充分发挥作为公司重要资产的技术秘密、
12、商业秘密的效益,鼓励员工不断创造并自觉维护技术秘密、商业秘密的积极性,根据知识产权管理总则制订本制度。第二条 公司技术秘密、商业秘密的管理目标;技术秘密、商业秘密是本公司拥有的知识产权的组成部分,是公司的重要资产。要在公司内牢固树立技术秘密、商业秘密的保护意识;技术秘密、商业秘密的管理贯穿研究开发、生产和经营的全过程。明确商业秘密的界定和保护。第三条 公司内的相关管理制度、合同、记录等文献所有文件均属于商业机密。第二章 技术秘密、商业秘密的定义、确立和管理机制第四条 .本制度所称的技术秘密、商业秘密,是指由公司员工在职务范围内创造或履行职务产生的、经公司知识产权管理部门认定并采取了保密措施、只
13、在公司一定范围内流传的、具有商业价值的所有信息或成果。这些信息或成果以各种纸质材料、照片、录像和计算机等数字存储设备为载体而能够为人所感知。具体包括:1.技术秘密。包括:公司现有的或正在开发或者构思之中的或经过技术创新确定不宜于申请专利的营销方案,管理制度;2.经营信息包括:公司的市场营销计划、广告宣传方案、销售方法、供应商和客户名单、客户的专门需求、未公开的销售服务网络以及公司现有的、正在开发或者构思之中的经营项目等信息及其承载物;3.依据法律和有关协议对第三方负有保密责任的第三方商业秘密。第五条. 确定为技术秘密、商业秘密的信息及其承载物,归公司所有。第六条. 技术秘密、商业秘密的确定程序
14、:1.由参与药品研发创新,研发部就某一项或几项信息,向公司行政管理部门申报;2.行政董事接到申报后采取:a)指定参与者中一人专门保管成果或信息的承载物,可以采取加密措施。被指定人一般是项目或业务负责人或菜肴创造者本人;b)向公司常务董事汇报并提出是否构成技术秘密、商业秘密建议。必要时会同指定人向公司常务董事汇报;c) 公司行政董事在接到知识产权管理部门的汇报后应立即作出是否确定为技术秘密、商业秘密的决定;d)对于被确定为技术秘密、商业秘密的信息或成果,按照本制度第三章和第四章的有关规定具体落实管理措施。e) 技术秘密、商业秘密的确定遵循随时产生随时确定的原则,实行动态管理;第七条 商业秘密管理机制。公司决策层负责技术秘密、商业秘密的整体工作。及时、高效地作出审核、批准、否决等工作,定期检查各部门的保密工作,作出奖惩决定。公司下属部门的负责人负责本部门的日常技术秘密、商业秘密管理和保护工作。定期检查本部门的保密工作,配合支持知识产权管理部门履行公司技术秘密、商业秘密保护工作。知识产权管理部门是公司技术秘密、商业秘密保护工作的职责机构,具体操作落实与协调商业秘密保护的各项工作.公司全体员工是技术秘密、商业秘密保护的实施者。全体员工应当牢固树立知识产权意识,自觉维护公司的商业秘密。第三章
