ISO27001：2013信息安全管理体系 全套程序 34重要信息备份控制程序

记录控制程序1. 目的和范围 (2)2. 引用文件 (2)3. 职责和权限 (2)4. 记录控制要求 (2)4.1.信息安全相关运行记录包括： (2)4.2.记录模板编制 (3)4.3.记录填写和编制 (4)4.4.记录储存 (5)4.5.记录的保护 (5)4.6.保存期 (5)4.7.记录借阅及处置 (6)5. 相关文件 (6)1.目的和范围为了正确实施记录的标识、储存、保护、检索、保存期限和处置,以提供产品符合规定要求和信息安全管理体系有效运行的证据,实现其可追溯性和信息安全改进,特制订本制度。

本制度适用于所有与信息安全管理体系运行有关的所有记录的控制管理。

2.引用文件1)《文件控制程序》3.职责和权限1)总经办：是记录的归口管理部门，负责记录标识、储存、保护、检索、保存期和处置的管理与控制。

2)各部门：负责本部门记录的控制和管理。

4.记录控制要求4.1. 信息安全相关运行记录包括：1)管理评审记录；2)内部审核记录；3)人力资源教育、培训、技能和经验记录；4)监视和测量记录；5)风险评价、分析、处理记录；6)纠正措施实施结果记录；7)预防措施实施结果记录；8) 信息安全管理体系第二、三层文件规定体系运行产生的其它记录。

4.2. 记录模板编制1) 记录格式和模板按照信息安全管理手册、相关制度及文件的要求编写，并按《文件控制制度》中的变更管理的规定进行修订，由体系负责人审批。

总经办每年对公司的记录模板进行汇总，填写《信息安全体系文件管理矩阵表》。

其中：2) 文件密级F1～F5表示记录密级为一级到五级。

3) 层次号（D 表示记录、表单）● A 信息安全手册● B 制度文件● C 流程、管理规定● D 记录、表单4) 部门● 总经办 D ） 001～999） （1～5）文件版本号●财务部●行政部等5)记录编号●记录编号：文件编号中层次号为D时，表示本文档是记录表单，编号为文件顺序号。

4.3. 记录填写和编制1)记录的填写或编制由记录的发生部门专人负责, 按信息安全管理手册、制度及规定等要求，使用规定的表格或模板如实填写或编制。

XXXXXXXXX有限责任公司信息安全管理体系程序文件编号：XXXX-B-01～XXXX-B-41（符合ISO/IEC 27001-2013标准）拟编：信息安全小组日期：2015年02月01日审核：管代日期：2015年02月01日批准：批准人名日期：2015年02月01日发放编号: 01受控状态：受控2015年2月1日发布2015年2月1日实施[XXXX-B-01]信息安全风险管理程序[XXXX-B-02]文件控制程序[XXXX-B-03]记录控制程序[XXXX-B-04]纠正措施控制程序[XXXX-B-05]预防措施控制程序[XXXX-B-06]内部审核管理程序[XXXX-B-07]管理评审程序[XXXX-B-08]监视和测量管理程序A6[XXXX-B-09]远程工作管理程序A7[XXXX-B-10]人力资源管理程序A8[XXXX-B-11]商业秘密管理程序A8[XXXX-B-12]信息分类管理程序A8[XXXX-B-13]计算机管理程序A8[XXXX-B-14]可移动介质管理程序A9[XXXX-B-15]用户访问管理程序A9[XXXX-B-16]信息系统访问与监控管理程序A9[XXXX-B-17]信息系统应用管理程序A10[XXXX-B-18]账号密码控制程序A11[XXXX-B-19]安全区域管理程序A12.1.2[XXXX-B-20]变更管理程序A12.1.3[XXXX-B-21]容量管理程序A12.2.1[XXXX-B-22]恶意软件管理程序A12.3[XXXX-B-23]重要信息备份管理程序A12.6[XXXX-B-24]技术薄弱点管理程序A13[XXXX-B-25]电子邮件管理程序A13[XXXX-B-27]信息安全沟通协调管理程序A13[XXXX-B-28]信息交换管理程序A14.2.9[XXXX-B-29]信息系统验收管理程序A14.2[XXXX-B-30]信息系统开发建设管理程序A14[XXXX-B-31]软件开发管理程序A14[XXXX-B-32]数据安全管理程序A14[XXXX-B-33]OA管理程序A15.2[XXXX-B-34]第三方服务管理程序A15[XXXX-B-35]供应商管理程序A15[XXXX-B-36]相关方信息安全管理程序A16[XXXX-B-37]信息安全事件管理程序A17.2[XXXX-B-38]信息处理设施管理程序A17[XXXX-B-39]业务持续性管理程序A18[XXXX-B-40]信息安全法律法规管理程序A18[XXXX-B-41]知识产权管理程序XXXXXXXXX有限责任公司知识产权管理程序[XXXX-B-41]V1.0知识产权管理程序变更履历1 目的通过对知识产权的流程管理，规范整个知识产权管理工作，保证知识产权管理工作的每个环节的合理性、有效性和流畅，为组织的知识产权保护与管理奠定基础。

最新ISO27001：2013信息安全管理体系一整套文件（手册+程序）最新ISO27001：2013信息安全管理体系一整套文件(手册+程序)1.信息安全管理手册2.信息安全管理程序文件XXXXXX技术服务有限公司版本：A/0受控状态：XXXXXX技术服务有限公司信息安全管理手册(依据GB/T22080-2016)编制：文件编写小组审批： XXX版本：A/0受控状态：受控文件编号：LHXR-ANSC-20182018年4月20日发布 2018年4月20日实施管理手册修改记录页：序号修改原因修改内容版本日期修改者审核者目录0.1 颁布令 (5)0.2 管理者代表任命书 (6)0.3关于成立管理体系工作小组的决定 (7)0.4 公司简介 (8)0.5 组织结构 (8)0.6 信息安全方针与目标 (9)1.0 信息安全方针 (9)2.0 信息安全目标 (9)1.0 范围 (9)1.1 总则 (9)1.2 适用范围 (10)1.3 删减说明 (10)2.0规范性引用文件 (10)3.0 术语与定义 (11)3.3计算机病毒 (11)3.15 相关方 (12)3.16本公司 (12)3.17管理体系 (12)4.0 组织环境 (12)4.1理解组织及其环境 (12)4.2利益相关方的需求和期望 (13)4.3确定信息安全管理体系范围 (13)4.4信息安全管理体系 (14)5.0 领导力 (14)5.1领导和承诺 (14)5.2方针 (15)5.3组织的角色、责任和权限 (15)6.0 规划 (18)6.1 应对风险和机会的措施 (18)6.2 信息安全目标及其实现规划 (20)7.0 支持 (20)7.1资源 (20)7.2能力 (21)7.3意识 (21)7.4沟通 (21)7.5文件化信息 (22)8.0 运行 (24)8.1运行规划和控制 (24)8.2信息安全风险评估 (25)8.3信息安全风险处置 (25)9.0 绩效评价 (25)9.1 监视、测量、分析和评价 (25)9.2 内部审核 (25)9.3 管理评审 (26)10.0 改进 (28)10.1不符合及纠正措施 (28)10.2 持续改进 (29)附1信息安全管理体系职责对照表 (30)0.1 颁布令为提高XXXXXX技术服务有限公司的信息安全管理水平，保障我公司业务活动的正常进行，防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失，我公司于2018年4月开展贯彻GB/T22080-2016《信息技术-安全技术-信息安全管理体系要求》国际标准工作，建立、实施和持续改进文件化的信息安全管理体系，制定了XXXXXX技术服务有限公司《信息安全管理手册》。

信息系统安全管理规范1、目标此文档用于规范公司业务系统的安全管理，安全管理所达到的目标如下：确保业务系统中所有数据及文件的有效保护，未经许可的用户无法访问数据。

对用户权限进行合理规划，使系统在安全状态下满足工作的需求。

2、机房访问控制机房做为设备的集中地，对于进入有严格的要求。

只有公司指定的系统管理员及数据库管理员才有权限申请进入机房。

系统管理员及数据库管理员因工作需要进入机房前必须经过公司书面批准。

严格遵守机房管理制度。

3、操作系统访问控制保护系统数据安全的第一道防线是保障网络访问的安全，不允许未经许可的用户进入到公司网络中。

第二道防线就是要控制存放数据及应用文件的主机系统不能被未经许可的用户直接访问。

为防止主机系统被不安全访问，采取以下措施：操作系统级的超级管理用户口令、数据库管理用户口令、应用管理用户口令只能由系统管理员设定并经办公室审核，１个月做一次修改，口令要向其他人员保密。

在应用系统实施阶段，考虑到应用软件提供商需要对自己的产品进行调试，可以在调试时将应用管理用户口令暂时开放给应用软件提供商；调试一结束系统管理员马上更改口令。

对口令设定必需满足以下规范：5、数据库访问控制为有效的保障业务数据的安全，采取以下措施：数据库内具有较高权限的管理用户口令由办公室数据库管理员设定，并由办公室审核，不能向其他人开放。

口令必须１个月做一次修改。

业务系统后台数据库对象创建用户的口令由数据库管理员设定，由技术研发部审核。

不能向其他人开放。

口令必须1个月做一次修改。

对口令设定必需满足以下规范：根据操作需求，在数据库中分别建立对业务数据只有“增、删、改”权限的用户；对业务数据只有“查询”权限的用户。

不同的操作需求开放不同权限的用户。

除技术研发部的人员外，其他部门的任何人员均没有权限从后台数据库直接进行数据的“增、删、改”操作对于业务必须的后台job或批处理，必须由技术研发部人员执行。

6、应用系统访问控制应用系统访问依靠系统内部定义的操作用户权限来控制，操作用户权限控制到菜单一级，对于操作用户的安全管理有如下规范：所有应用级的操作用户及初始口令统一由技术研发部设定，以个人邮件的形式分别发给各部门的操作人员。

xx 有限公司ISO/IEC 27001:2013编制：审核：批准：受控编号：HTGK-IM-01版本号：A/1 2016年3月1日颁布2016年3月2日发行颁布令经公司全体员工的共同努力下，依据ISO/IEC27001:2013标准编写的xx 有限公司信息安全管理体系已经得到建立并实施。

指导信息安全管理体系运行的信息安全管理体系手册经评审后，现予以批准发布。

《信息安全管理体系手册》的发布，标志着我公司从现在起，必须按照信息安全管理体系标准的要求和公司《信息安全管理体系手册》所描述的规定，不断增强持续满足顾客要求，相关方要求和法律法规要求的能力，全心全意为顾客和相关方提供优质，安全的产品开发和维护服务，以确定公司在社会上的良好信誉。

《信息安全管理体系手册》是公司规范内部管理的指导性文件，也是全体员工在向顾客提供服务过程必须遵循的行动准则。

《信息安全管理体系手册》一经发布，全体员工必须认证学习，切实执行。

本手册自2016年3月2日正式实施。

总经理：2016年3月2日授权书为贯彻执行ISO/IEC 27001:201《3 信息安全管理体系》，加强对信息管理体系运行的领导，特授权：1,授权XX为公司管理者代表，其主要职责和权限为：a,确保公司信息安全管理体系所需过程得到建立、实施、运行和保持。

确保信息安全业务风险得到有效控制。

b,向最高管理者报告信息安全管理体系业绩（绩效）和任何改善机会,为最高管理层评审提供依据。

c,确保满足顾客和相关方要求，法律法规要求的信息安全意识和信息安全风险意识在公司内得到形成和提高。

d,在信息安全管理体系事宜方面负责与外部的联络。

2,授权梁昆山为ISMS信息安全管理项目责任人，其主要职责和权限为:确保信息安全管理方案的控制措施得到形成、实施、运行和控制。

3,授权各部门主管为信息安全管理体系在本部门的责任人,对ISMS 要求在本部门的实施负责。

总经理：2016年3月1 日1、前言XX有限公司《信息安全管理体系手册》（以下简称本手册）依据ISO/IEC 27002：2013《信息技术-安全技术-信息安全管理实用规则》，结合本行业信息安全的特点编写。

信息安全设备设施管理规范
1适用与目的
本程序适用于公司与IT相关各类信息处理设施（包括各类软件、硬件、服务、传输线路）的引进、实施、维护等事宜的管理。

本程序通过对技术选型、验收、实施、维护等过程中相关控制的明确规定来确保引进的信息处理设施的保密性、完整性和可用性。

2信息处理设施的分类
2.1研发控制系统、数据存储控制系统及其子系统设备，包括位于机房的服务器和位于使用区域的使用控制系统终端设备。

2.2业务管理系统、财务管理系统，包括位于机房的服务器和位于使用区域的终端设备。

2.3办公用计算机设备，包括所有办公室、会议室内的计算机、打印机，域控制服务器，DNS服务器、Email服务器等。

2.4网络设备，包括交换机、路由器、防火墙等。

2.5其它办公设备，包括电话设备、复印机、传真机等。

3职责
3.1DXC主要负责全公司与IT相关各类信息处理设施及其服务的引进。

包括制作技术规格书、进行技术选型、安装和验收等。

DXC同时负责全公司网络设备、研发控制系统、业务管理系统、财务管理系统日常管理与维护。

3.2各部负责项目实施过程中设备及软件系统的管理制度的执行与维护。

3.3DXC负责后勤系统设备及网络系统、电话/网络通讯与办公系统的管理与维护。

Information technology- Security techniques-Information security management systems-Requirements 信息技术-安全技术-信息安全管理体系-要求Foreword前言ISO (the International Organization for Standardization) and IEC (the International Electro technical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.ISO（国际标准化组织）和IEC（国际电工委员会）是为国际标准化制定专门体制的国际组织。