ISMS工作设备管理规定

信息安全服务管理规范信息安全服务管理规范（ISMS）是指在组织内建立和实施一套持续不断的信息安全管理机制、流程和方法，旨在确保组织能够对信息资产进行全面的管理和保护。

该规范可以涵盖从信息安全政策制定到信息安全事件响应的全过程，为组织提供一种科学、规范的管理方式，以确保信息安全工作的有效实施。

一、规范制定与实施1.组织应根据自身的信息安全需求制定并定期更新信息安全策略，以确保信息资产得到合理的保护。

2.组织应制定详细的信息安全管理流程、规程和方法，以确保信息安全管理工作的规范实施。

3.组织应确保信息安全管理流程、规程和方法能够与组织内部其他管理系统相衔接，形成一个完整的管理体系。

4.组织应指定信息安全管理人员，负责信息安全管理工作的日常运行和监督。

二、信息资产管理1.组织应对所有的信息资产进行全面的分类、识别和管理，并建立相应的信息资产清单。

2.组织应对信息资产进行风险评估，根据风险评估结果确定相应的信息安全控制措施。

3.组织应对信息资产进行定期的备份和恢复，以确保信息资产的完整性和可用性。

4.组织应对信息资产进行访问控制，建立适当的权限和访问控制机制，以防止未经授权的访问和使用。

三、人员管理1.组织应对所有员工进行信息安全教育和培训，提高员工的信息安全意识和技能。

2.组织应制定并实施人员离职时的信息安全处理程序，以确保离职员工不再具有对信息资产的未授权访问权限。

3.组织应建立信息安全意识培训的考核机制，对参与培训的员工进行考核，以确保培训效果的达到。

四、物理环境管理1.组织应确保信息系统和信息资产得到合理的物理保护，确保信息系统和信息资产的安全性和可用性。

2.组织应对机房、服务器及其他重要信息系统设备进行定期巡检和维护，确保设备的正常运行。

3.组织应确保机房和其他重要区域设有门禁和监控系统，以防止未经授权的人员进入，并对设备和区域进行实时监控。

五、安全事件管理1.组织应建立完善的安全事件管理流程，对信息安全事件进行及时的响应和处置。

1. 目的
为确保信息安全管理体系(ISMS)的有效实施，根据公司信息安全方针制定信息安全目标，并规定信息安全目标的计算方法，以便于目标达成情况的考核，特制定本程序。

2. 范围
本程序适用于本公司的管理体系覆盖的所有部门。

3. 职责与权限
3.1 最高管理者：
组织制订并批准企业的信息安全目标。

3.2 管理者代表：
每年组织相关部门对信息安全目标进行统计、分析。

3.3 各部门：
负责与本部门相关的信息安全目标的统计、分析，当目标不能达标时，进行原因分析并进行改进。

4. 相关文件
a)《信息安全管理手册》
b)《信息安全事件管理程序》
5. 术语定义
无
6. 控制程序
6.1本公司信息安全目标
1) 安全事件发生次数：
重大安全事件目标值：0次/年，较大安全事件目标值：不大于4次/年，一般安全事件目标值：不大于8次/年。

2) 信息泄密次数：
保证各种需要保密的资料（包括电子文档、磁带等）不被泄密，确保秘密、机密信息不泄漏给非授权人员。

信息泄密次数目标值：0次/年
6.2各部门信息安全目标
6.3数据收集、提供、统计和分析
6.3.1在每年年底前，以上部门将本部门统计好的数据提交给信息安全委员会，由信息安全委员会进行汇总。

6.3.2对于未达成信息安全目标的，相关部门要进行原因分析，并提解决办法；对于连续未达成目标的，要按照《纠正预防措施程序》进行纠正和预防处理。

7 附件、记录
7.1 《信息安全目标统计表》。

深圳市首品精密模型有限公司ISMS移动设备管理制度文件编号:ISMS-3001变更履历移动存储设备应用广泛便利，同时也带来了信息外泄的安全威胁。

归纳移动存储设备的隐患主要表现在：1、移动存储设备具有随意复制计算机内文件的功能；2、移动存储设备易丢失导致信息泄漏；3、移动存储设备的被删除文件可轻易恢复并被窃取；4、移动存储设备易感染和传播计算机病毒。

针对移动存储设备的隐患及原因，为了更好对移动存储设备做到安全管控，制定以下制度。

第一章设备管理第一条移动存储介质的管理应遵循“统一购买、统一标识、登记注册、集中管理、责任到人”的原则。

第二条一律禁止私人携带移动存储设备进入办公区域，移动设备包括但不限于 U盘、移动硬盘、数据相机、存储卡、带拍照和存储功能的手机等。

第三条涉密移动存储介质由单位指定的相关部门负责统一购买，所购置的设备必须为正规厂商生产的合格产品。

第四条公司建立统一的移动存储设备资料库，记录设备的密级、用途、硬件特征码、管理部门、责任人等信息备查，涉密移动存储介质应在显著位置粘贴密级标识。

所标密级应按其所存储信息的最高密级进行标识。

第五条公司建立移动存储设备发放流程，由专人负责设备发放工作，需要使用移动存储设备的部门或者个人需提出申请，并说明用途，到行政部领用。

第六条移动存储设备损坏不得擅自拆卸，严禁将损坏涉密移动存储介质出售或随意丢弃，应立即交回行政部统一处理。

第七条涉密移动存储介质严禁外送维修，确需维修需经公司主管领导批准，维修时应在公司指派人员的监督下进行。

第八条不再使用或报废的涉密移动存储介质，应交回行政部，采取保密技术手段确保其所存储信息不可恢复或进行物理销毁。

销毁涉密移动存储介质须经公司领导批准，并履行登记、相关人员签字等手续。

第二章内部使用第一条公司内部只能使用由公司统一派发的移动存储设备，严禁外来移动存储设备在公司内使用，确因工作需要须到指定专用计算机上使用。

第二条公司信息安全管理员对涉密移动存储介质要定期进行保密技术检查，随时掌握每个移动存储设备的工作状态，监控设备使用过程。

ISMS物理和环境安全1.1 安全区域1. 物理安全防护带物理保护可以通过在商业场所和信息处理设备周围设置若干物理屏障达到。

每个屏障形成一个安全防护带，每个防护带都增强所提供的整体防护。

组织应该使用安全防护带来保护放置信息处理设备（见7.1.3）的区域。

安全防护带是构建屏障的东西，如墙、进门的控制卡或有人职守的接待台。

每个屏障的位置和强度取决于风险评估的结果。

适当情况下应该考虑下述原则和控制措施：a）安全防护带应该明确规定。

b）放置信息处理设备的建筑物或场所的防护带在物理上应该是的牢固的（例如，在防护带或安全区域不应该有能够轻易闯入的缺口）。

场所的外墙应该是坚固的建筑物，所有的外门应该被适当保护，防止未经授权的访问，如控制机制、栅栏、警铃、锁等。

c）应该设置有人职守的接待区或其他方法对场所或建筑物控制物理访问。

对场所和建筑物的访问应该仅限于经授权的人员。

d）如有必要，物理屏障应从地板延伸到天花板，以防止未经授权的进入和由诸如火灾和水灾引起的环境污染。

e）安全防护带的所有防火门应具报警功能并用力关紧。

2. 物理进入控制措施安全区应该通过适当的进入控制措施保护，以确保只有经授权的人员能够进入，应考虑以下的控制措施：a）安全区的访问者应该被监督或经批准，并且应该记录他们进入和离开的日期和时间。

他们应该仅被允许访问特定的、经受权的目标，并应该发给他们关于安全区域要求和应急程序的说明。

b）对敏感信息和信息处理设备的访问应被控制并仅限于经受权的人。

鉴别控制措施，如带个人身份号码的扫描卡，应被用于所有访问的授权和验证。

应该安全的保持所有访问的审计线索。

c）应该要求所有员工穿戴某种明显的身份标志，并鼓励向没有陪伴的陌生人和没有穿带明显身份标志的任何人盘问。

d）对安全区的访问权应该定期评审并更新。

3. 保护办公室、房间和设备的安全安全区可能是上锁的办公室或物理安全防护带中的若干房间，这些房间可以被锁住并且可能存放有可上锁的柜子和保险箱。

用户名称：XXXX笔记本电脑管理规定目录1目的和范围 (1)2引用文件 (1)3职责和权限 (1)4笔记本电脑使用规定 (2)5公用笔记本管理规定 (3)6安全配置规定 (3)7外部人员使用笔记本的规定 (4)8实施策略 (4)9相关记录 (4)1目的和范围建立笔记本电脑设备的使用规定及其与互联网的连接制度，这些规定是保持信息资源保密性、完整性和可用性所必需的。

为加强业务笔记本电脑设备的合理利用与笔记本电脑设备信息安全管理，特制定该管理规定。

2引用文件1)下列文件中的条款通过本规定的引用而成为本规定的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

2)ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系要求3)ISO/IEC 27002:2005 信息技术-安全技术-信息安全管理实施细则4)防范病毒及恶意软件管理规定3职责和权限1)公司领导：负责笔记本电脑申请的审批流程。

2)信息系统部：负责笔记本电脑的管理和日常检查。

3)使用人员：负责对笔记本电脑的日常使用保养和维护。

4笔记本电脑使用规定1)信息系统部制定《笔记本电脑统计表》。

2)部门经理或市场人员，因工作需要经常出差或者移动办公及商务活动的，可配置笔记本电脑设备做为个人工作配备，部门经理或市场人员申请配备笔记本电脑设备需得到总经理批准。

填写《笔记本电脑申请审批表》。

3)原则上业务部门其他员工不以笔记本电脑设备作为个人工作配置。

4)笔记本电脑设备严格限制作为开发计算机使用，软件开发部禁止使用笔记本电脑。

5)只有被批准的笔记本电脑设备才能用来访问公司信息资源。

公司员工因工作需要，可以申请笔记本电脑,经批准后由公司提供使用。

6)被授权在内部使用的笔记本电脑统一张贴公司标识，没有公司标识的笔记本电脑严禁在内部使用。

*主办部门：系统运维部执笔人：审核人：XXXXX系统安全管理规定V0.1XX-ISMS-SM-020072014年3月17日[本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属XXXXX所有，受到有关产权及版权法保护。

任何个人、机构未经XXXXX的书面授权许可，不得以任何方式复制或引用本文件的任何片断。

]文件版本信息文件版本信息说明记录本文件提交时当前有效的版本控制信息，当前版本文件有效期将在新版本文档生效时自动结束。

文件版本小于1.0 时，表示该版本文件为草案，仅可作为参照资料之目的。

阅送范围内部发送部门：综合部、系统运维部、技术开发部、审计与合规部、运营部、财务部、信息统计部目录第一章总则 (1)第二章访问控制策略 (1)第三章系统账号管理 (2)第四章系统安全配置 (2)第五章补丁与漏洞管理 (3)第六章日志管理 (4)第七章备份与恢复 (5)第八章系统监控管理 (6)第九章附则 (7)附件 (9)第一章总则第一条为保障XXXXX计算机应用系统的正常运行，完成系统各项应有功能，切实提高生产效率和服务质量，使信息系统更好地服务于生产运营和管理，特制定本规定。

第二条本规定适用于XXXXX应用系统的运行管理。

主要包括应用系统访问控制策略、安全配置、补丁及漏洞修补、备份与日志管理、系统变更、日常监控、安全评估与加固、故障维护与应急管理等方面的内容。

第三条信息安全管理员负责系统安全管理流程的制订和维护、系统日志审计、系统安全评估和检查、系统相关系统安全事件的处置。

第四条系统管理员负责系统基础实施、系统补丁的升级、配合安全管理员制定系统安全配置基线和安全事件的分析和处理。

第五条应用管理员负责应用系统日常监控和维护、配合安全管理员制定应用层安全加固方案和安全事件的分析和处理。

第二章访问控制策略第五条隔离运行：对于不同等级、不同用途的应用系统，应采取特定的隔离措施(物理或逻辑隔离措施)划分不同的安全区域，以确保各区域内应用系统的安全独立运行，对需要交互访问的应用系统应通过限制应用IP等方式控制访问能力。

XXXXXX移动办公安全管理办法文档信息目录1。

总则 (1)1。

1目的 (1)1.2适用范围 (1)1.3释义 (1)2. 组织与职责 (1)3。

移动办公管理细则 (1)4。

相关文件 (2)5。

附则 (3)移动办公安全管理办法1. 总则1.1目的为了减少XXXXXX（以下简称“XX”）员工在移动办公过程中的信息安全风险，对移动办公进行有效的管理,特制定本规定。

1.2适用范围本规定适用于XX所有内设机构。

1.3释义移动办公：指在XXXX工作场所之外实施远程办公的活动。

移动通信设备:指笔记本电脑、掌上机、移动电话、移动智能便携设备(包括：iPad、iPhone、Android手机和Android平板电脑、Windows手机和Windows平板电脑、黑莓手机等移动智能电子设备），个人手持数字终端（PDA、POS 机）等可以带离工作区域进行远程通信的设备。

2. 组织与职责科技资源和信息管理部根据自身定位，主要负责:(1) 移动办公的信息安全管理和监督；(2) 审计核查移动办公的信息安全管理；(3) VPN 账号的创建和删除等管理活动。

科技资源和信息管理部负责对本公司移动办公的信息安全管理和监督。

3. 移动办公管理细则(1) 在公司工作场所之外使用移动通信设备时，应对设备内的敏感数据（如客户数据、业务数据等）进行加密和备份，备份数据必须存放在其他存储介第1页质上（如移动硬盘、U盘等），以防止数据的丢失。

(2) 用于移动办公使用的移动通信设备做好安全防护措施，如安装防病毒软件并启用个人防火墙。

具体参见《防病毒管理规定》。

(3) 用于移动办公使用的移动智能终端禁止进行越狱、刷机等操作，由此导致数据丢失、涉密资料外泄或设备硬件损坏，由相关责任人负责。

(4) 移动办公过程中,必须对移动通信设备采取安全措施（如设置开机口令、解锁图案等）保障设备安全。

(5) 用于移动办公使用的移动通信设备在XX外禁止接入不可信的无线网络或通过匿名代理服务器进行网络访问.(6) 在移动办公过程中使用移动通信设备时，必须防止公司敏感信息被非法窥探。

ISMS-3002远程办公管理制度一、背景随着信息化技术的快速发展，远程办公模式正在逐渐被企业所接受和应用。

然而，远程办公虽然给企业员工带来了更多的灵活性和自由度，但也增加了信息安全管理面临的风险和挑战，因此精心制定一套远程办公管理制度，对企业的信息安全管理工作具有重要的意义和价值。

二、目的本制度旨在规范公司的远程办公工作，确保远程办公工作在信息安全管理方面得到严格的保护和有效的控制，提高企业的管理水平和运营效率。

三、适用范围本制度适用于公司全体员工的远程办公工作，包括远程办公环境的设置、远程办公设备和网络的管理等。

四、工作内容4.1 远程办公数据的保护（1）远程办公数据的备份：所有远程办公数据必须定期进行备份，并存储在公司相关服务器或云存储中心。

（2）远程办公文件的传输加密：远程办公文件的传输必须进行加密，采用安全可靠的传输手段进行文件传输。

4.2 远程设备的管理（1）远程办公设备的采购：公司为员工提供所有必要的远程办公设备，对于员工自行购置的远程设备，必须符合公司的安全标准，方可在远程办公中使用。

（2）远程办公设备的管理：公司对员工使用的远程办公设备进行统一管理，确保设备的安全性和可靠性。

（3）远程办公设备的回收：远程办公设备的回收必须按照企业相关的处理流程进行，确保信息安全风险得到有效的控制和降低。

4.3 远程工作环境的管理（1）远程工作环境设置：公司为员工提供合适的远程工作环境，确保员工能够在安全的环境下进行远程办公。

（2）远程工作环境的安全要求：公司要求员工在远程办公时，必须严格遵守公司的安全要求，确保远程工作环境的安全性。

4.4 远程办公网络的管理（1）远程办公网络的安全保障：公司要保证远程办公网络的安全性和稳定性，对远程办公网络进行科学的建设和维护，对安全风险进行有效的控制。

（2）远程办公网络的监控和管理：对远程办公网络进行必要的监控和管理，确保网络的正常运行和信息安全。

五、制度保障本制度的执行需要有严格的组织保障和监督管理，公司设置相关的安全管理岗位和信息安全小组，对远程办公工作进行有效的控制和管理。