ISMS-2015信息处理设备管理程序

监视和测量管理程序1目的通过对各项控制措施满足控制目标的实现程度及法律、法规符合性的监视、测量与分析，为策划、实施、持续改进信息安全与服务管理体系提供依据。

2范围本程序适用于对本公司区域内所有业务职能部门的安全特性控制、绩效及管理体系运行的监视和测量。

3职责3. 3.1管理者代表4. 1.l负责掌握信息安全与服务管理体系的总体运行情况，并向总经理汇报，对总经理负责。

4.1.2负责每年至少一次组织对本公司职能部门目标、指标的完成情况进行考核。

3.2运营管理部3.2.1负责本程序的编制、修订和监督实施。

3.2.2负责定期对各职能业务部门进行监视和测量，对各职能业务部门的监视和测量执行情况进行监督、检查和指导，为纠正和预防提供信息。

3.2.31负责收集项目交付后的顾客满意程度信息，并进行汇总、分析和传递。

3.3运维服务部3.3.1负责收集项目运维过程的顾客满意程度信息，并进行汇总、分析和传递。

4工作程序4.1监视和测量的范围及依据4.1.1根据本公司业务范围内信息资产的控制范围，确定监视和测量范围。

4. 1.2测量的范围一般包括：a）控制措施的实现过程；b）关键特性；控制措施实现目标程度；适用法律、法规的符合性；业务持续性控制措施；事故、事件和其它不良的绩效；c）不可接受风险计划中确定的措施；cl）顾客信息安全的满意程度。

4. 1.3监视和测量的依据是法律法规、技术标准、顾客合同、适用性声明、管理手册、程序文件等。

4.3.监视和测量的要求应按照国家及地方技术规范规定和顾客要求的检验和试验项目、标准、方法进行监视和测量。

4.4.监视和测量的实施4.3.1本公司运营管理部根据各职能部门确立的监视和测量范围，确定监视和测量的依据、项目、关键特性、频次、使用的仪器设备等。

4.3.2监视和测量可选择的方法a.对控制过程进行日常检查；b.信息安全措施状况的抽查；c.设备装置的检查；d.作业环境的监视；e.记录检查。

检测设备管理程序ISO9001-2015版-新版程序文件检测设备管理程序 2015版1 目的对检测设备进行控制，确保其测量能力满足测量要求。

2 范围适用于原材料与工程施工的检测设备以及过程监测设备的控制。

3 职责3.1 工程部负责检测设备的归口管理，具体负责检测设备的配置、检定与校准。

3.2 项目部负责使用中的监视和测量设备的维护与管理。

3.3 工程部负责监视和测量设备的采购，以及对检测设备供应方进行评价。

4 工作程序4.1 检测设备的配备4.1.1 工程部负责对需要实施的监视与测量予以识别，并根据需要配备检测设备。

4.1.2 当现有的检测设备不能满足测量要求时，由工程部提出申请，报总经理批准后由自行负责采购。

4.1.3 工程部负责对采购或租赁检查设备进行供方评价，并保存评价记录。

4.1.4 新购置的检测设备由工程部会同有关部门验收。

验收合格后方可投入使用。

4.2 检测设备的管理4.2.2 对于能溯源到国际或国家测量基准的检测设备，在投入使用前由工程部负责送至国家法定计量部门进行检定，或采用与标准相对的办法对检测设备进行校准，并按规定的周期检定，保存检定记录。

4.2.3 对于无法溯源的，由工程部编制自检规程并结合测量特性规定自检周期，自检规程应形成文件；工程部负责按自检规程进行检定，保存自检记录。

4.2.4 本公司没有用于监视的计算机软件。

当有时，在使用前由工程部组织确认，必要时进行再确认。

4.2.5对检测设备校准状态予以标识。

4.2.6在使用过程中，使用部门应按使用说明进行调整，防止因调整不当造成设备失准。

4.2.7注意搬运、贮存与使用中的维护，防止损坏或失效。

4.2.8当发现检测设备偏离校准状态时，应对该设备此前测量结果的有效性进行评价，并采取适当的措施，同时对该设备采取必要的措施。

4.3 检测设备的处置4.3.1 对于项目部使用的监视和测量设备出现问题时，由项目部及时进行维修，维修不好的报工程部，由工程部直接作报废处置，同时在台账上注明。

深圳市首品精密模型有限公司信息处理设备管理程序文件编号：ISMS-2015变更履历1 适用与目的本程序适用于公司与IT相关各类信息处理设施(包括各类软件、硬件、服务、传输线路)的引进、实施、维护等事宜的管理。

本程序通过对技术选型、验收、实施、维护等过程中相关控制的明确规定来确保引进的信息处理设施的保密性、完整性和可用性.2信息处理设施的分类2.1 研发控制系统、数据存储控制系统及其子系统设备，包括位于机房的服务器和位于使用区域的使用控制系统终端设备。

2。

2 业务管理系统、财务管理系统，包括位于机房的服务器和位于使用区域的终端设备。

2.3办公用计算机设备，包括所有办公室、会议室内的计算机、打印机，域控制服务器，DNS服务器、Email服务器等。

2.4 网络设备,包括交换机、路由器、防火墙等.2.5 其它办公设备，包括电话设备、复印机、传真机等.3 职责3.1 信息部主要负责全公司与IT相关各类信息处理设施及其服务的引进.包括制作技术规格书、进行技术选型、安装和验收等.信息部同时负责全公司网络设备、研发控制系统、业务管理系统、财务管理系统日常管理与维护。

3.2 各部负责项目实施过程中设备及软件系统的管理制度的执行与维护.3.3 信息部负责后勤系统设备及网络系统、电话/网络通讯与办公系统的管理与维护。

4 信息处理设施的引进和安装4。

1引进依赖各部门必须采购的信息处理设施、外包开发信息系统项目或外包信息系统服务,得到本部门经理的批准后,向信息部提交申请。

信息部以设备投资计划，技术开发计划为依据，结合对新技术的调查，作出是否引进的评价结果并向提出部门返回该信息。

本公司禁止员工携带个人或私有信息处理设施（例如便携式电脑、家用电脑或手持设备PDA等)处理业务信息。

4。

2进行技术选型信息部负责对购入的信息处理设施的技术选型，并从技术角度对供应商进行评价。

技术选型应该包含以下几方面：性能、相关设施的兼容性、协作能力、技术发展能力等。

深圳市首品精密模型有限公司信息系统变更管理程序文件编号:ISMS-2019变更履历第一节总则第一条为规范软件变更与维护管理，提高软件管理水平，优化软件变更与维护管理流程，特制定本制度。

第二条本制度适用于应用系统已开发或采购完毕并正式上线、且由软件开发组织移交给应用管理组织之后，所发生的生产应用系统（以下简称应用系统）运行支持及系统变更工作。

第二节变更流程第三条系统变更工作可分为下面三类类型：功能完善维护、系统缺陷修改、统计报表生成。

功能完善维护指根据业务部门的需求，对系统进行的功能完善性或适应性维护；系统缺陷修改指对一些系统功能或使用上的问题所进行的修复，这些问题是由于系统设计和实现上的缺陷而引发的；统计报表生成指为了满足业务部门统计报表数据生成的需要，而进行的不包含在应用系统功能之内的数据处理工作。

第四条系统变更工作以任务形式由需求方（一般为业务部门）和维护方（一般为信息部门的应用维护组织和软件开发组织，还包括合作厂商）协作完成。

系统变更过程类似软件开发，大致可分为四个阶段：任务提交和接受、任务实现、任务验收和程序下发上线。

第五条因问题处理引发的系统变更处理，具体流程参见《问题处理管理制度》。

第六条需求部门提出系统变更需求，并将变更需求整理成《系统变更申请表》（附件一），由部门负责人审批后提交给系统管理员。

第七条系统管理员负责接受需求并上报给信息部主管。

信息部主管分析需求，并提出系统变更建议。

信息部主管根据变更建议审批《系统变更申请表》。

第八条系统管理员根据自行开发、合作开发和外包开发的不同要求组织实现系统变更需求，将需求提交至内部开发人员、合作开发商或外包开发商，产生供发布的程序。

第九条实现过程应按照软件开发过程规定进行。

系统变更过程应遵循软件开发过程相同的正式、统一的编码标准，并经过测试和正式验收才能下发和上线。

第十条系统管理员组织业务部门的系统最终用户对系统程序变更进行测试，并撰写《用户测试报告》（附件二），提交业务部门负责人和信息部主管领导签字确认通过。

深圳市首品精密模型有限公司信息系统监控管理程序文件编号:ISMS-2016变更履历1 目的为对信息部实施有效的系统监控管理，防止未经授权的信息处理活动。

2 范围本程序适用于信息部对所有信息系统的管理。

3 定义无4 职责4.1 网络管理员负责对核心系统的监控与管理。

4.2 运行监控机房值班人员负责监控系统的日常管理。

5 程序5.1 监控策略5.1.1 所有服务、防火墙、IDS和其他网络边界访问控制系统的系统审核、账号审核和应用审核日志必须打开，如果有警报和警示功能必须打开。

5.1.2 应记录用户活动、异常和信息安全事态的审计日志，记录应永久保存并每半年备份一次，确保记录可调查和访问的控制监视，任何人不得以任何理由删除保存期内的日志。

5.1.3 审核日志必须由网络管理员定期检查，特权使用、非授权访问的试图、系统故障和异常等内容应该得到评审，以查找违背信息安全的征兆和事实。

5.1.4 防火墙系统、IDS系统、漏洞扫描必须处于开启状态，在不经总经理授权，任何人不得将其中任何设备停止、更换或更新，由网络管理员定期评审，对所有可疑的非法访问行为和企图需及时向管理者代表汇报并采取相应的措施。

5.2 日志的配置最低要求5.2.1 操作系统、应用系统、数据库、网络设备的日志应形成日志保存和检查要求，明确其保存周期。

5.2.2 所有日志应在运行系统或设备内至少保存一年的有效记录，备份的日志信息应保存至少三年。

5.2.3 所有日志应该根据重要信息备份的原则进行定期备份。

5.3 管理过程5.3.1 网络管理员根据系统的安全要求确认日志内容、保存周期、检查周期，其最低要求不得低于5.2的要求。

如果因为日志系统本身原因不能满足5.2的最低要求，需要降低标准的，必须得到管理者代表的批准和备案。

5.3.2 网络管理员配置日志系统，并定期检查日志内容，评审安全情况。

评审的内容包括：授权访问、特权操作、非授权的访问试图、系统故障与异常等情况，评审结束应形成《日志评审记录》。

用户名称：XXXXXXX软件管理规定文档属性版本历史Copyright © 2010 上海天帷企业管理咨询有限公司目录1目的和范围 (1)2引用文件 (1)3职责与权限 (1)4软件管理 (2)4.1收集 (2)4.2审核、批准、发布 (2)4.3软件归档和存放 (2)4.4软件使用 (3)4.5修订与升级 (3)4.6软件作废 (3)5实施策略 (4)6相关记录 (4)1目的和范围本标准规定了公司软件资产的收集、发放、管理、使用、更改、修订、备份等过程的控制要求2引用文件1)下列文件中的条款通过本规定的引用而成为本规定的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

2)ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系要求3)ISO/IEC 27002:2005 信息技术-安全技术-信息安全管理实施细则4)补丁管理规定3职责与权限信息系统部：是软件资产的归口管理部门。

负责软件的购置、维护、作废及各部门软件资料、介质的收集、统计、归档、存放和发放使用。

4软件管理4.1 收集1)对公司信息系统涉及的软件资产进行收集整理、分类归档，填写《资产识别表》中“软件和系统”类资产。

公司内软件来源主要有以下几个方面：a)已有商业软件购买。

b)开发部开发内部使用软件。

c)免费软件的下载。

2)识别出资产识别表中重要的软件和应用系统。

4.2 审核、批准、发布1)新的软件使用前填写《新软件和系统登记表》，每季度根据此表内容对《资产识别表》里的软件和系统资产进行更新。

2)新的软件由信息系统部部进行测试或使用检验，测试应当包括可用性、安全性，对其它系统影响和用户友好性，测试应当在与应用系统隔离的系统中进行。

3)新的软件测试或使用检验合格后,经相关部门领导审核并批准后提交信息系统部发布。

深圳市首品精密模型有限公司信息应用系统安全管理程序文件编号:ISMS-2018编 制审 核批 准变更履历序号版本编号或更改记录编号简要说明(变更内容、变更位置、变更原因和变更范围)变更日期变更人审核人批准人批准日期1A/0初始发行----2016-8-51目的为保障公司管理信息系统的操作系统和数据库管理系统的安全、稳定运行，规范操作系统和数据库管理系统的安全配置和日常操作管理，特制订本管理办法。

2范围本办法适用于公司信息系统的操作系统和数据库系统的管理和运行。

3术语和定义下列术语和定义适用于本标准操作系统安全：操作系统所存储、传输和处理的信息的保密性、完整性、和可用性表征。

数据库管理系统安全：数据库管理系统所存储、传输和处理的信息的保密性、完整性和可用性的表征。

4操作系统运行管理4.1操作系统管理员的任命4.1.1操作系统管理员的任命应遵循“任期有限、权限分散”的原则；4.1.2对每个操作系统要分别设立操作系统管理员和操作系统审计员，并分别由不同的人员担任。

在多套系统的环境下，操作系统管理员和操作系统审计员岗位可交叉担任；4.1.3操作系统管理员和操作系统审计员的任期可根据系统的安全性要求而定，最长为三年，期满通过考核后可以续任；4.1.4操作系统管理员和操作系统审计员必须签订保密协议书。

4.2操作系统管理员帐户的授权、审批4.2.1操作系统管理员和操作系统审计员账户的授权由所在部门填写《操作系统账户授权审批表》，经部门领导批准后设置；4.2.2操作系统管理员和操作系统审计员人员变更后，必须及时更改帐户设置。

4.3其他帐户的授权、审批4.3.1其他账户的授权由使用人填写《操作系统账户授权审批表》，经信息管理部门领导批准后，由操作系统管理员进行设置；4.3.2外单位人员需要使用公司系统时, 须经信息管理部门领导同意, 填写《外单位人员操作系统账户授权审批表》，报信息管理部门领导批准后, 由操作系统管理员按规定的权限、时限设置专门的用户帐号；4.3.3严禁公司任何人将自己的用户帐号提供给外单位人员使用。

I S M S手册-信息安全管理体系手册精品管理制度、管理方案、合同、协议、一起学习进步信息安全管理IT服务管理体系手册发布令本公司按照ISO20000:2005《信息技术服务管理—规范》和ISO27001：2005《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT 服务管理体系手册》，建立与本公司业务相一致的信息安全与IT服务管理体系，现予以颁布实施。

本手册是公司法规性文件，用于贯彻公司信息安全管理方针和目标，贯彻IT服务管理理念方针和服务目标。

为实现信息安全管理与IT服务管理，开展持续改进服务质量，不断提高客户满意度活动，加强信息安全建设的纲领性文件和行动准则。

是全体员工必须遵守的原则性规范。

体现公司对社会的承诺，通过有效的PDCA活动向顾客提供满足要求的信息安全管理和IT服务。

本手册符合有关信息安全法律法规要求以及ISO20000:2005《信息技术服务管理—规范》、ISO27001：2005《信息安全管理体系要求》和公司实际情况。

为能更好的贯彻公司管理层在信息安全与IT服务管理方面的策略和方针，根据ISO20000:2005《信息技术服务管理—规范》和ISO27001：2005《信息安全管理体系要求》的要求任命XXXXX为管理者代表，作为本公司组织和实施“信息安全管理与IT服务管理体系”的负责人。

直接向公司管理层报告。

全体员工必须严格按照《信息安全管理&IT服务管理体系手册》要求，自觉遵守本手册各项要求，努力实现公司的信息安全与IT服务的方针和目标。

管理者代表职责：a) 建立服务管理计划；b) 向组织传达满足服务管理目标和持续改进的重要性；e) 确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源，如招聘合适的人员，管理人员的更新；1．确保按照ISO207001:2005标准的要求，进行资产识别和风险评估，全面建立、实施和保持信息安全管理体系；按照ISO/IEC 20000 《信息技术服务管理－规范》的要求，组织相关资源，建立、实施和保持IT服务管理体系，不断改进IT服务管理体系，确保其有效性、适宜性和符合性。