2019年最新ISO27001 信息安全管理体系全套程序文件

X X X 有限公司

2019年最新ISO27001:2013 信息安全管理体系认证全套程序文件

内含20个程序文件

文件管理程序

1.0目的

通过编制文件管理程序，规范对文件管理流程，通过对信息安全管理体系所要求的文件进行控制，确保可获得适用文件的有效版本。

2.0 范围：

本程序适用于公司各部门的信息安全管理体系有关的文件和资料控制和管理。

3.0 术语和定义

文档化信息：组织需要控制和维护的信息及其载体。

文件：要求组织维持和控制的信息及其载体；

受控文件：指受文件控制中心控制发行的内部和外来重要质量文件、管理文件、基础文件、项目文件和技术文件；

非受控文件：除受控文件外之文件，如非工作类信件、传真、参考资料等。

4.0职责和权限

4.1 人事部

4.1.1负责本程序文件的编制、更改、实施和控制管理；

4.1.2负责外来文件（国家、地方、上级和顾客与信息安全有关的文件和资料）的识别控制和管理。

4.2 信息安全管理委员会

4.2.1负责《信息安全管理手册》的编制、发放、更改和控制管理；

4.2.2 负责各程序文件编制工作的指导、印制、发放、更改和控制管理。

4.3 文控中心

4.3.1 负责编制规范、标准和标准图等有效版本控制清单，下发到相关部门和单位，并组织对作废版本进行识别；

4.3.2 负责重大技术项目施工组织设计编制工作；参与竣工的审核验收工作。

4.3.3负责收集国家颁布的信息安全方面的法律法规并进行有效的控制和管理。

4.5各职能部门

4.4.1负责本部门所管辖的业务和相关的外来文件；以及内部文件资料的识别、控制与管理。

5.0 程序内容

5.1本公司采用四级层次文件编写法。所有信息安全管理的文件（含记录）均以ISMS作为开头，规定由4或5个数字构成编号。

5.1.1首数字代表文件层次：1为手册、2为程序文件、3为作业指导书、4为表格记录；

5.1.2第二层次文件中第二位数字全部为0，末两位为自然序号，从01开始往后排序；

5.1.3第三层次文件中的第二位和第三位两个数字与第二层次文件的自然序列号相对应，第四或第五个数字为本层次的自然序列号；

5.1.4第四层次的文件编号中第二、三两个数字全部对应需要填写此表格的程序文件或作业指导书，后两个数字为自然序列号；。

5.1.5版本及修订号的编制方法采用“英文字母自然排序/数字自然排序”法。

版本及修订号的标注方法：1、2、3层次文件标注在封面。记录作为一种特殊形式的文件，没有标注版本及修订号的时候，默认为A/0版；当记录更新版本及修订号后，需要在记录的标题前增加更新后的版本及修订号，以示区别。

5.3 文件的批准、发布和标识

5.3.1《信息安全管理手册》由信息安全管理委员会编写，管理者代表审核，最高管理者批准发布。

5.3.2程序文件和三层文件在人事部组织下由主管该程序的职能部门或指定相关责任人代表本部门编写，部门负责人审核，管理者代表批准发布。

5.3.3信息安全计划和施工技术指导性文件的编写、审核、批准，按照公司按照国家颁布的信息安全方面的法律法规进行编写。

5.3.4 其他管理文件由编写该文件的部门负责人审核，公司主管领导批准。

5.3.5《信息安全管理手册》和程序文件都应标识清楚文件的名称、编号、版本、制文时间、发布部门和日期等。

5.3.6公司内行政文件的发文程序。文件编写部门在文件定稿以后，填写《文件审批接收单》，标明文件名称、编号、份数、说明、主办单位、接受部门，经部门领导审核签字后交人事部，人事部根据文件内容送有关领导签发，填写发文编号打印后，加盖印章发出。

5.3.7外来文件的管理程序。凡发到公司的与信息安全和有关的外来文件均由人事部负责签收、登记、分类，由人事部先送公司有关领导阅批，再根据领导批示的内容，送有关部门阅办或转发基层单位，有关部门阅办或转发以后，其文件原件一律由公司人事部收回并存档案室。各部门收到的外来文件，应交人事部处理；凡地方有关部门或

顾客直接发到各职能部门与信息安全和有关的文件资料，各职能部门对照公司文件控制管理工作程序进行文书处理。

5.4 文件的收发管理及使用

5.4.1公司人事部设专职人员负责文件的收发、管理、更改和作废文件的处置。

5.4.2文件发放时应确定发放范围，办理发放手续，建立发放台帐。

5.4.3凡进入本单位、本部门的文件均要进行收文登记；凡发到下级单位或个人的文件均要妥善保管，严防丢失和污损，确保文件清晰，易于识别；凡需归档的文件，要按《记录管理程序》执行。

5.4.4人事部负责汇总编制公司受控文件总清单，由管理者代表审批。

5.4.5各职能部门都要根据本部门、本单位的实际建立文件清单，以便对文件进行动态的管理。

5.4.6文件不得随意自行复印，如需要时使用者应办理复印审批手续，经文件主控部门批准后方可复印，复印的文件与原文同等发放管理。

5.4.7文件使用者变动为与原岗位无关的岗位或调出本单位时，其使用的文件须办理交接，并填写文件交接单。

5.5 文件评审和修改

5.5.1在文件实施过程中，各职能部门应及时收集不适宜之处，及时上报主编单位，由原文件审批人决定是否进行更改。《信息安全管理手册》、程序文件每年在内审时由人事部组织有关部门进行文件的评审，必要时予以修订。

5.5.2文件在评审中决定需要更改时，必须由该文件的编写单位填写审批单，经主管领导批准后下达《文件审批接收单》，各级文件管理人员按通知要求进行更改，并将更改的情况写到文件变更记录页上。

5.5.3文件清单中列出的文件应为有效文件，并确保文件的更改和修订状态得到识别。

5.6 文件的作废处置

5.6.1文件作废时，由发文单位下发《文件审批接收单》，持有文件的各部门、各单位和人员在接到作废通知单后，应及时撤出作废文件，标示后妥善保存或销毁，电子文件应在文件名后标注“作废”，防止作废文件的非预期使用。

6.0 相关文件

6.1《记录管理程序》

7.0 记录文件

7.1 《外来文件清单》

7.2 《文件发放回收记录表》

7.3 《文件借阅登记表》

7.4 《文件更改申请单》

7.5 《受控文件清单》

7.6 《文件审批单》

可移动介质管理程序

1.0目的

通过编制可移动介质管理程序，规范对可移动介质的使用管理流程，通过对可移动介质进行控制和物理上的保护，以防止信息遭受未授权泄露、修改、移动或销毁以及业务活动遭受干扰。

2.0 范围：

本程序适用于信息可移动介质的管理。

3.0 术语和定义

访问控制：确保对资产的访问是基于业务和安全要求进行授权和限制的手段。、

信息安全：对信息的保密性、完整性和可用性的保持。

保密性：信息未对授权的个人、实体或过程不可用或不可泄露的特性。

可用性：根据授权实体的要求可访问和可使用的特性。

完整性：准确和完备的特性。

信息系统：应用、服务、信息技术资产或其他信息处理组件。4.0职责和权限

4.1 信息管理部

4.1.1 可移动介质的归口管理部门，负责所辖可移动介质管理，为其他部门的信息可移动介质处置提供技术支持。

4.2 可移动介质使用部门

4.2.1 可移动介质处置由本部门负责管理。

5.0 程序内容

5.1 总则

5.1.1 可移动介质需要转移或销毁时，如果处理不当，很容易造成信息泄漏。因此，必须按规定执行处置。

5.1.2 可移动介质是指U盘、移动硬盘、数码相机、光盘、磁带、软盘和打印的媒体等。

5.1.3 可移动介质使用部门应建立《可移动介质使用登记表》，对本部门使用的可移动介质进行登记管理。

5.1.4 可移动介质处置原则：按照正式的程序可靠、安全的处置，使敏感信息泄露给未经授权的人员的风险最小化。

5.2 可移动介质处置

可移动介质的处置应该与信息的敏感程度相一致，可移动介质的敏感程度应考虑风险评估的结果。

可移动介质处置应考虑下列原则：

a)所有的可移动介质都应由部门经理负责保管；

b)可移动介质的处置前应该识别需要安全处置的项目；

c)销毁方式一般分为一般格式化、低级格式化、专业软件重

写、粉碎；

d)对无敏感信息的可移动介质作一般格式化即可，在保证质

量的基础上重新分配和使用；

e)保存有敏感信息的可移动介质应当得到安全的存放和处置；

对于含有敏感信息的可移动介质应采用低级格式化或专业软

件重写，反复次数为三次，再进行粉碎；

f)应对含有敏感信息的存储可移动介质的处置做出记录，以

备审查；

g)销毁的可移动介质在处理后保存三个月后再作处理。

处置措施可以是：

a)移动硬盘：文件先做删除，高级格式化后，低级格式化。报废

的硬盘，需要粉碎报废。循环使用的硬盘，低级格式化后，拷

入大量数据，覆盖无用信息后，高级格式化，再使用。

b)U盘：报废后能正常使用的写入大量数据并格式化后粉碎，不

能正常使用的直接粉碎。

c)光盘：一次性光盘，粉碎。可擦写光盘，格式化后再使用。可移动介质处置时，业务主管部门应填写《可移动介质处置审批表》，经分管领导批准后处理，并做好处置记录。

5.3 可移动介质处理

5.3.1 可移动介质管理

可移动介质领用须经本部门领导批准，信息管理部应建立《可移动介质使用清单》。

5.3.2 复制和移出

向可移动介质拷贝涉密信息，或将可移动介质带离开本组织需要获得本部门领导的批准，并在《可移动介质涉密使用记录》上记录存储的信息、用途、批准人、操作人等相关信息。

5.3.3 重复使用

对能够重复使用的可移动介质需要重复使用，被授权操作者首先必须确认可移动介质中的涉密信息或重要信息已经安全清除，其次要严格控制在可移动介质的厂家指出的可重复使用的次数之内，确保其存贮信息的安全、可靠性。

5.3.4 保存

可移动介质的的保管部门应按可移动介质要求的保存环境来保存含有涉密信息或重要信息的可移动介质，各部门应对含有涉密信息或重要信息的可移动介质妥善保管，防止丢失，有任何异常必须向部门领导汇报，并根据部门领导的指示对异常情况作相应的处理。

5.3.5 废弃

可移动介质应经过部门领导认可，需确保信息的保密性，能进行删除操作的，将涉密信息或重要信息进行删除。需要废弃的可移动介质统一送到信息管理部，由信息管理部统一进行安全销毁处理。

6 记录

6.1《可移动介质使用登记表》

6.2《可移动介质处置审批表》

6.3《可移动介质涉密使用记录》

6.4《可移动介质使用清单》

事故事件脆弱性和故障管理程序

1.0目的

通过编制事故事件脆弱性和故障管理程序，规范对事故事件脆弱性和故障处理流程，通过建立一个适当信息安全事故、脆弱性、故障风险处置的报告、反应与处理机制，减少信息安全事故和故障所造成的损失，采取有效的纠正与预防措施，正确处置已经评价出的风险。

2.0 范围：

本程序适用于公司信息安全事故、脆弱性、故障和风险处置的管理。

3.0 术语和定义

信息安全：对信息的保密性、完整性和可用性的保持。

风险：对目标不确定性影响。

风险处置：改变风险的过程。

信息系统：应用、服务、信息技术资产或其他信息处理组件。

脆弱性：可能被一个或多个威胁利用的资产或控制的弱点。

信息安全事态：识别到的一种系统，服务或网络状态的发生，表明可能违反信息安全策略或控制失效，或者一种可能与信息安全相关但还不为人知的情况。

4.0职责和权限

4.1 各系统归口管理部门

4.1.1主导相关的安全风险的调查、处理及纠正措施管理。

4.2 各系统使用人员

4.2.1 负责相关系统安全事故、脆弱性、故障和风险的评价、处

置报告。

5.0 程序内容

5.1 信息安全事故定义与分类：

5.1.1 信息设备故障、线路故障、软件故障、恶意软件危害、

人员故意破坏或工作失职等原因直接造成下列影响（后果)之一，均为信息安全事故：

a) 企业秘密、机密及国家秘密泄露或丢失；

b) 服务器停运4 小时以上；

c) 造成信息资产损失的火灾、洪水、雷击等灾害；

d) 损失在十万元以上的故障/事件。

5.1.2 信息设备故障、线路故障、软件故障、恶意软件危害、

人员故意破坏或工作失职等原因直接造成下列影响（后果)之一，属于重大信息安全事故：

a) 企业机密及国家秘密泄露；

b) 服务器停运8 小时以上；

c) 造成机房设备毁灭的火灾、洪水、雷击等灾害；

d) 损失在一百万元以上的故障/事件。

5.1.3 信息安全事件包括：

a) 未产生恶劣影响的服务、设备或者实施的遗失；

b) 未产生事故的系统故障或超载；

c) 未产生不良结果的人为误操作；

d) 未产生恶劣影响的物理进入的违规；

e) 未产生事故的未加控制的系统变更；

f) 策略、指南和绩效的不符合；

g) 可恢复的软件、硬件故障；

h) 未产生恶劣后果的非法访问。

5.2 故障与事故的报告渠道与处理

5.2.1 故障、事故报告要求

故障、事故的发现者应按照以下要求履行报告任务：

a) 各个信息管理系统使用者，在使用过程中如果发现软硬件故

障、事故，应该向该系统归口管理部门报告；如故障、事故会影响或已经影响线上生产，必须立即报告相关部门，采取必要措施，保证对生产的影响降至最低；

b) 发生火灾应立即触发火警并向安全监督部报告，启动消防应

急预案；

c) 涉及企业秘密、机密及国家秘密泄露、丢失应向行政部报告；

d) 发生重大信息安全事故，事故受理部门应向信息安全管理者

代表和有关公司领导报告。

5.2.2 故障、事故的响应

故障、事故处理部门接到报告以后，应立即进行迅速、有效和有序的响应，包括采取以下适当措施：

a) 报告者应保护好故障、事故的现场，并采取适当的应急措施，

防止事态的进一步扩大；

b) 按照有关的故障、事故处理文件（程序、作业手册）排除故

障，恢复系统或服务，必要时，启动业务持续性管理计划。

5.3 故障、事故调查处理与纠正措施

5.3.1故障处理部门应对故障原因进行分析，必要时，采取纠正措施，故障的原因及采取措施的结果予以记录。

5.3.2对于信息安全事故，在故障排除或采取必要措施后，相关信息安全管理职能部门会同事故责任部门，对事故的原因、类型、损失、责任进行鉴定，形成《事件脆弱性记录》，报信息安全管理者代表批准；对于重大信息安全事故的处理意见应上报信息安全管理委员会讨论通过。

5.3.3对于违反公司信息方针、程序及安全规章所造成的信息安全事故责任者依据公司有关规定予以惩戒，并在公司内予以通报。

5.3.4信息安全管理职能部门要求事故责任部门制定纠正措施并实施，实施结果记录在《事件脆弱性记录》。

5.3.5由信息安全管理职能部门对实施情况进行跟踪验证。

5.4 报告信息安全脆弱性与预防措施

5.4.1本公司与信息安全管理有关的所有员工对发现的信息安全脆弱性或潜在威胁均应履行报告义务。

5.4.2发现者应填写《事件脆弱性记录》，交本部门部长确认，后提交各个系统归口管理部门确定是否采取预防措施，确认责任部门并实施。预防措施的实施、验证执行《预防措施控制程序》。

5.5 信息安全事件定义与分类

5.5.1信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因不一定造成不良影响（后果），但有出现失控的状态，均为信息安全事件：

a)服务、设备或设施的丢失；

b)系统故障或超载；

c)人为错误；

d)策略或指南的不符合；

e)物理安全安排的违规；

f)未加控制的系统变更；

g)软件或硬件故障；

h)非法访问。

5.5.2 所有现场工作人员都需要知道他们各自责任尽可能快地报告

任何信息安全事态。报告程序应包括：

a)报告人立即填写《事件脆弱性记录》；

b)信息安全事态发生后应采取正确的行为，即：

1）立即记录下所有重要的细节（如，不符合或违规的类型，事件故障，屏幕上显示的消息，异常行为）；

2）不要采取任何个人行为，但要立即按照本程序向资产负责人报告；

c)由资产责任人按照《事件脆弱性记录》要求的流程确定事态

的发生状态、内容确认、原因分析、和采取对策，由资产责

任人负责对策的绩效验证；并由人事部门按照公司有关规定

决定参考已制定的正式惩罚过程，来处现场工作人员的安全

违规行为。

d)由于事态引发的《事件脆弱性记录》作为管理评审的输入，

定期评审。

6.0 相关文件

6.1《纠正预防措施控制程序》

6.2《监视和测量管理程序》

6.3《密级控制程序》

7.0 相关记录

7.1《信息安全风险评估报告》

7.2《纠正/预防措施申请书》

7.3《信息安全事故调查处理报告》

7.4《事件脆弱性记录》

信息处理设备设施管理程序

1.0目的

通过编制信息处理设备设施管理程序，规范设备设施从选型、采购、验收、安装、使用、维护管理及报废等过程的处理流程，明确设备设施选型、验收、实施、维护等过程中相关控制的要求来确保引进的信息处理设备设施的保密性、完整性和可用性。

2.0 范围：

本程序适用于公司与IT相关各类信息处理设备设施（包括各类软件、硬件、服务、传输线路）的引进、实施、维护等事宜的管理。

3.0 术语和定义

保密性：信息未对授权的个人、实体或过程不可用或不可泄露的特性。

可用性：根据授权实体的要求可访问和可使用的特性。

完整性：准确和完备的特性。

信息系统：应用、服务、信息技术资产或其他信息处理组件。

信息处理设施：任何的信息处理系统、服务或基础设施，或者其安置的物理位置。

4.0职责和权限

4.1 信息部

4.1.1负责全公司与IT相关各类信息处理设施及其服务的引进。包括制作技术规格书、进行技术选型、安装和验收等。

4.1.2负责全公司网络设备、研发控制系统、业务管理系统、财务管理系统日常管理与维护。

4.1.3负责后勤系统设备及网络系统、电话/网络通讯与办公系统的管理与维护。

4.2 其他相关部门

4.2.1 负责项目实施过程中设备及软件系统的管理制度的执行与维护。

5.0 程序内容

5.1信息处理设施的分类

5.1.1 研发控制系统、数据存储控制系统及其子系统设备，包括位于机房的服务器和位于使用区域的使用控制系统终端设备。

5.1.2 业务管理系统、财务管理系统，包括位于机房的服务器和位于使用区域的终端设备。

5.1.3 办公用计算机设备，包括所有办公室、会议室内的计算机、打印机，域控制服务器，DNS服务器、Email服务器等。

5.1.4 网络设备，包括交换机、路由器、防火墙等。

5.1.5 其它办公设备，包括电话设备、复印机、传真机等。

5.2 信息处理设施的引进和安装

5.2 1引进设施

5.2.1.1各部门必须采购的信息处理设施、外包开发信息系统项目或外包信息系统服务，得到本部门经理的批准后，向信息部提交申请。信息部以设备投资计划，技术开发计划为依据，结合对新技术的调查，作出是否引进的评价结果并向提出部门返回该信息。

5.2.1.2本公司禁止员工携带个人或私有信息处理设施（例如便携式电脑、家用电脑或手持设备PDA等）处理业务信息。

5.2.2进行技术选型

信息部负责对购入的信息处理设施的技术选型，并从技术角度对供应商进行评价。技术选型应该包含以下几方面：性能、相关设施的兼容性、协作能力、技术发展能力等。

5.2.3编写购入规格书

信息部根据要求，负责编写即将购入的信息处理设施的购入规格书。规格书中应该包含技术规格、相关设施的性能（包括安全相关信息）、兼容性等要求，由信息部主管审批。

5.2.4定货

由信息部按照公司采购流程，向经理层提出购买要求，并提供选型结果。经理层应按照要求办理定货手续。

5.2.5开箱检查，安装、调试，验收

a) 开箱检查

设备到货后，信息部应负责开箱检查，依照购买规格书和装箱单核对数量及物品，确认有无损坏并记录。必要时，应通知有关部门到场协同检查。

b) 安装、调试

引进的设施到位后，根据合同要求，由相关人员进行安装、调试。在实施调试过程中出现的问题，必要时可通知相关部门共同进行。c) 验收

安装调试完成以后，信息部应依据以下文件实施验收：

·购入规格书

·采购合同及其相关附件

·调试时故障履历

验收原则上由信息部实施，必要时可要求相关部门参加。验收的合格与否最终由信息部负责人作出判断。

d) 验收合格后，可向相关的使用部门移交。

5.3 信息处理设施的日常维护管理

5.3.1计算机设备管理

5.3.1.1 信息部负责计算机固定资产的标识，标识随具体设备到使用各部门。计算机保管使用部门将计算机列入该部门信息资产清单。5.3.1.2 各部门配备的计算机设备应与本部门的日常经营情况相适应，不得配备与工作不相符的高档次或不必要的计算机设备。办公场所不配备多媒体类计算机设备，原则上部门经理以上配备笔记本电脑，因工作需要配备笔记本电脑的需经主管副总批准。

5.3.1.3 计算机使用部门需配备计算机设备时，应按照本规定执行。

资产搬离安置场所，需要获得部门经理的授权；迁移出公司，需要得到最高管理层的授权。

5.3.1.4 计算机使用部门填写《物品领用单》，经过本部门经理签字后提交人事部后领取计算机设备。计算机及附属设备属公司信息资产，在人事部备案。有关计算机设备所带技术说明书、软件由人事部保存。使用部门的使用人应妥善保管计算机及附属设备，公用计算机设备由使用部门经理指定专人负责使用管理。

5.3.1.5 离职时，应将计算机交还信息部，由信息部注销账户。

5.4计算机设备维护

5.4.1 计算机使用部门应将每部计算机落实到个人管理。计算机使用人员负责计算机的日常维护和保养；信息部按照《恶意软件控制程序》要求进行计算机查毒和杀毒工作。

5.4.2 计算机使用部门发现故障或异常，可先报公司信息管理员处理，如其无法解决，则由信息管理员填写《事态事件脆弱性记录》向供应商申请维修。故障原因及处理结果应记入《事态事件脆弱性记录》。

5.5计算机调配与报废管理

5.5.1 用户计算机更新后，原来的计算机由信息部根据计算机的技术状态决定调配使用或予以报废处理。

5.5.2 含有敏感信息的计算机调配使用或报废前，计算机使用部门应与信息部共同采取安全可靠的方法将计算机内的敏感信息清除。

5.5.3 调配

5.5.3.1 部门内部的调配由使用部门自行处理，并通知信息部进行计算机配置变更，变更执行《更改控制程序》。

5.5.3.2 部门间的调配管理：信息部收回因更新等原因不用的计算机设备，由变更部门变更信息资产清单，并按照本程序5.1.3、5.1.4要求重新分配使用。

5.5.4报废处理

5.5.4.1 计算机设备采用集中报废处理。报废前由信息部向人事部提

出报废，经审核后由信息部实施报废。

5.5.4.2 信息部按照批准的处置方案进行报废处理，并变更固定资产清单。

5.6笔记本电脑安全管理

5.6.1 笔记本电脑应由被授权的使用人保管；对于需多人共用的笔记本电脑，应由部门负责人指定专人保管。

5.6.2 笔记本所带附件应由使用者本人或部门负责人指定专人保管。

5.6.3 笔记本电脑使用时应防止恶意软件的侵害，在系统中应安装防病毒软件，并由使用人对其定期升级，对系统定期查杀，信息部负责监督。

5.6.4 笔记本电脑在移动使用中，不能随意拉接网络，需通过填写《用户授权申请表》向信息部提前提出需求，经信息部审批后方能接入网络。

5.7计算机安全使用的要求

5.7.1 计算机设备为公司财产，应爱惜使用，按照正确的操作步骤操作。

5.7.2 使用计算机时应遵循信息安全策略要求执行。

5.7.3 员工入职时，由其所在部门的部门经理根据该员工权限需要填写《用户授权申请表》，向研发部提出用户开户申请；离职时也需填写《用户授权申请表》通知研发部办理销户。

5.7.4 新域用户名为用户姓名的拼音（有重名时另设），初始缺省密码为XXXXX。用户在第一次登录系统时应变更密码，密码需要设置在6位以上（英文字母、数字或符号组合的优质密码）并注意保密。5.7.5 各人使用自己的账户登录，未经许可不得以他人用户名登录。若用户遗忘密码，应及时向研发部申请新密码后登录。

5.7.6 不得使用计算机设备处理正常工作以外的事务。

5.7.7 计算机的软硬件设置管理由研发部进行，未经许可，任何人不得更换计算机硬件和软件。

5.7.8 研发部负责初始软件的安装，公司严禁个人私自安装和更改任

何软件。计算机用户的软件安装与升级按照《更改控制程序》执行。拒绝使用来历不明的软件和光盘。

5.7.9 严禁乱拉接电源，以防造成短路或失火。

5.7.10 计算机桌面要保持清洁，不得将秘密和（或）受控文件直接放置在桌面；计算机桌面必须设置屏幕保护，恢复时需用密码确认（执行密码口令管理规定）。锁屏时间可根据自己工作习惯设置锁屏时间，但最高不得高于5分钟。各部门负责人进行监督。

5.8网络安全使用的要求

5.8.1 对于网络连接供应商，充分考虑其口碑和现有安全防范措施，在签署保密协议的基础上加以筛选。

5.8.2 对内设置必要的路由器防火墙，采用HTTP、FTP的连接方式，捆绑固定IP地址防止权限滥用。

5.9 信息处理设施的日常点检

5.9.1 计算机的日常点检

日常点检的目的是确认系统硬件是否运行良好，有无硬件及程序上的报警，备份是否正常进行等。点检的流程、责任、项目、点检周期和记录表详由相应部门制定。如出现在检查期人员外出等不在岗情况，需要在返回工作岗位时，立即补充完善。

5.9.2 网络设备的管理与维护

点检的流程、责任、项目、点检周期和记录表由信息部负责，特别的，在点检中应包括对MAIL的点检。

5.9.3 点检策略

5.9.3.1 所有存在于计算机、网络设备上的服务、入侵检测系统、防火墙和其他网络边界访问控制系统的系统审核、账号审核和应用审核日志必须打开，如果有警报和警示功能必须打开。

5.9.3.2审核日志必须保存一定的期限，任何个人和部门不得以任何