ISO27001系统访问控制程序

ISO27001信息网络访问控制程序1 目的为加强内部企业网、Internet网络及网络服务的管理，对内部和外部网络的访问均加以控制，防止未授权的访问给网络和网络服务带来的损害，特制定此程序。

2 范围本程序适用于内部企业网、Internet网络及网络服务的管理。

3 相关文件4 职责4.1 网络管理员负责对网络服务的开启与管理。

4.2 网络管理员负责审批与实施内网、外网的开启。

4.3 信息科技部内部员工必须遵守此程序，网络管理员有监督检查的责任。

4.4 文档管理员负责文档的收录与管理。

5 程序5.1 网络和网络服务使用策略5.1.1 IT信息科技部定期（每年）对机关办公楼各部（中心）人员的网络配置情况进行一次全面的普查和登记，填写《市行机关办公楼、内外网络接入申请单》备档，严格控制外网入网的人员数量，决不允许一机器登录双网（采用双网卡或双网线）的现象出现，登陆外网的计算机必须装有病毒查杀软件，确保现有的网络资源和网络安全。

5.1.2 IT各部（包括信息科技部）后续需要增加使用内外网结点数量，开展IT 业务，要填写《市行机关办公楼、内外网络接入申请单》如果需要某种网络服务的话请在“网络接入需求原因中体现”，经所在部门总经理签字后递交给信息科技部，由网络管理员实施并交由文档管理员进行备案。

5.1.3 申请使用Internet网，应当具备下列条件之一。

（1）IT开展的营业活动必须要通过网上查询交易的。

（2）助理以上的机关领导干部工作需要上网的。

（3）因工作需要，经部门总经理批准的本部门员工（不能超过员工总数的1/3）。

5.1.4 经批准允许登录内外网的工作人员不得从事下列危害计算机网络安全和信息安全的业务：（1）制作或者故意传播计算机病毒以及其他破坏性程序；（2）非法侵入计算机信息系统或者破坏计算机信息系统功能、数据和应用程序；（3）相关法律、行政法规所禁止的其他行为；（4）有损IT形象的行为；5.1.5 经批准允许登录Internet网络工作人员不得利用互联网制作、复制、查阅、发布、传播含有下列内容的信息；（1）外泄IT内部商业机密；（2）反对宪法所确定的基本原则的；（3）危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的；（4）损害国家荣誉和利益的；（5）煽动民族仇恨、民族歧视，破坏民族团结的；（6）破坏国家宗教政策，宣扬邪教和愚昧迷信的；（7）散布谣言，扰乱社会秩序，破坏社会稳定的；（8）散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的；（9）侮辱或者诽谤他人，侵害他人合法权益的；（10）法律、行政法规禁止的其他内容。

最新ISO27001信息安全管理体系全套文件（手册+程序文件+作业规范）系程序文件目录信息安全管理体系作业文件目录1 适用本程序适用于公司信息安全事故、薄弱点、故障和风险处置的管理。

2 目的为建立一个适当信息安全事故、薄弱点、故障风险处置的报告、反应与处理机制，减少信息安全事故和故障所造成的损失，采取有效纠正与预防措施，正确处置已经评价出风险，特制定本程序。

3 职责3.1 各系统归口管理部门主管相关安全风险的调查、处理及纠正措施管理。

3.2 各系统使用人员负责相关系统安全事故、薄弱点、故障和风险的评价、处置报告。

4 程序4.1 信息安全事故定义与分类：4.1.1 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响（后果)之一，均为信息安全事故：a) 企业秘密、机密及国家秘密泄露或丢失；b) 服务器停运4 小时以上；c) 造成信息资产损失的火灾、洪水、雷击等灾害；d) 损失在十万元以上的故障/事件。

4.1.2 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响（后果)之一，属于重大信息安全事故：a) 企业机密及国家秘密泄露；b) 服务器停运8 小时以上；c) 造成机房设备毁灭的火灾、洪水、雷击等灾害；d) 损失在一百万元以上的故障/事件。

4.1.3 信息安全事件包括：a) 未产生恶劣影响的服务、设备或者实施的遗失；b) 未产生事故的系统故障或超载；c) 未产生不良结果的人为误操作；d) 未产生恶劣影响的物理进入的违规e) 未产生事故的未加控制的系统变更；f) 策略、指南和绩效的不符合；g) 可恢复的软件、硬件故障；h) 未产生恶劣后果的非法访问。

4.2 故障与事故的报告渠道与处理4.2.1 故障、事故报告要求故障、事故的发现者应按照以下要求履行报告任务：a) 各个信息管理系统使用者，在使用过程中如果发现软硬件故障、事故，应该向该系统归口管理部门报告；如故障、事故会影响或已经影响线上生产，必须立即报告相关部门，采取必要措施，保证对生产的影响降至最低；b) 发生火灾应立即触发火警并向安全监督部报告，启动消防应急预案；c) 涉及企业秘密、机密及国家秘密泄露、丢失应向行政部报告；d) 发生重大信息安全事故，事故受理部门应向信息安全管理者代表和有关公司领导报告。

iso27001体系标准详解
ISO27001是一个信息安全管理体系（ISMS）标准，它规定了建立、实
施和维护信息安全管理体系的要求。

该标准适用于所有类型的组织，
包括企业、政府机构、教育机构等，不受地域、产业类别和公司规模
限制。

ISO27001体系标准详细规定了信息安全管理体系的建立、实施和维护
过程，包括以下内容：
1. 信息安全方针和目标：组织应制定明确的信息安全方针和目标，以
确保组织的信息安全与业务目标相一致。

2. 组织架构和职责：组织应建立适当的信息安全组织架构和职责分工，以确保信息安全工作的有效实施。

3. 资产管理：组织应建立资产管理制度，确保对组织的重要资产进行
全面、准确的管理和保护。

4. 访问控制：组织应建立访问控制机制，确保只有授权人员才能访问
组织的敏感信息和重要资产。

5. 密码管理：组织应建立密码管理制度，确保密码的安全性和保密性。

6. 物理安全：组织应采取必要的物理安全措施，如门禁系统、监控摄
像头等，以确保组织资产的安全。

7. 网络安全：组织应建立网络安全管理制度，包括网络安全策略、网
络安全监测和网络安全事件应对等，以确保组织的网络安全。

8. 应用程序安全：组织应建立应用程序安全管理制度，包括应用程序安全策略、应用程序漏洞管理等，以确保应用程序的安全性。

9. 数据安全：组织应建立数据安全管理制度，包括数据加密、数据备份和恢复等，以确保数据的机密性和完整性。

10. 应急响应：组织应建立应急响应机制，包括应急预案、应急演练和应急响应等，以确保组织在发生信息安全事件时能够及时、有效地应对。

XXXXXX软件有限公司人性化科技提升业绩访问控制制度目录1.目的和范围 ......................................................................................................................................................................... 3.2.引用文件 ...............................................................................................................................................................................3.3.职责和权限 .......................................................................................................................................................................... 3.4.用户管理 ............................................................................................................................................................................... 3.4.1.用户注册 ............................................................................................................................................................................... 3.4.2.用户口令管理..................................................................................................................................................................... 4.5.权限管理 ............................................................................................................................................................................... 4.5.1.用户权限管理原则 (4)5.2.用户访问权限设置步骤 (5)6.操作系统访问控制 (5)6.1.安全登录制度..................................................................................................................................................................... 5.6.2.会话超时与联机时间的限定 (5)7.应用系统访问控制 (6)8.In ternet 访问控制 ....................................................................................................................................................... 7.9.网络隔离 ............................................................................................................................................................................... 7.10.信息交流控制措施....................................................................................................................................................... 7.11.远程访问管理 ................................................................................................................................................................ 8.10.1.远程接入的用户认证 (8)10.2.远程接入的审计............................................................................................................................................................. 9.12.无线网络访问管理........................................................................................................................................................ 9.13.笔记本使用及安全配置规定 (9)14.外部人员使用笔记本的规定 (10)15.实施策略 (10)16.相关记录 (10)1.目的和范围通过控制用户权限正确管理用户，实现控制办公网系统和应用系统访问权限与访问权限的分配，防止对办公网系统和应用系统的非法访问，防止非法操作，保证生产系统的可用性、完整性、保密性，以及规范服务器的访问。

ISO27001-软件开发安全控制程序软件开发安全控制程序（依据ISO27001标准）1. 目的为规范公司软件开发的安全管理，包括软件系统从计划、需求、设计、开发、测试、部署过程中的安全管理，特制定本程序。

2. 范围本程序适用于公司的软件系统在需求分析、开发测试、上线运行阶段的安全管理，包括软件外包开发的安全管理。

3. 职责与权限3.1 技术部负责公司相关信息系统的软件开发、外包软件开发过程的安全管理，以及软件开发相关文档及软件源代码的归档保管。

3.2 其他部门其他相关部门协助技术部进行软件/系统需求收集、分析、系统测试等工作。

4. 相关文件a)《软件控制程序》5. 术语定义无6. 控制程序6.1 软件开发任务提出公司根据客户反馈和调研，编写用户需求分析报告，经过公司总经理批准后，交付技术部进行设计开发。

6.2 软件开发的策划技术部在接到用户需求后，首先要判断可行性，如果接受，技术部根据用户申请书和要求部门共同协商，编写软件设计开发计划，明确设计开发的各个阶段评审与测试要求及设计开发人员的职责与权限，设计开发计划方案由要求部门和技术部负责人共同批准后予以实施；必要时，如果对计划进行更改也需要获得双方经理共同批准。

软件设计开发计划应包括以下内容：a)软件功能要求；b)详尽的业务流程；c)信息安全要求；d)时间进度要求；e)设计开发的各个阶段评审与测试要求；f)设计开发人员的职责与权限；g)其它要求，例如在复杂系统环境下，应考虑业务信息系统互联相关的信息，并考虑安全保护。

6.3 软件开发方案的评审及开发过程控制6.3.1技术部应根据软件设计开发计划的要求，编制软件设计开发方案，由技术部负责人对方案的技术可行性及系统的安全性进行确认。

6.3.2对于大型软件开发方案应由设计开发人员、应用部门（用户）人员、内部IT 方面的专家共同进行评审。

方案确认与审批的结果及任何必要的措施应予以记录。

6.3.3软件设计开发方案应包括以下内容：a)确定软件开发工具；b)应用系统功能；c)业务实现流程；d)输入数据确认要求；e)必要时，系统内部数据确认检查的要求；f)输出数据的确认要求；g)应用系统的安全要求；h)对系统硬件配置的要求；i)系统验收标准。

访问控制方针（版本号：V1.0）
更改控制页
目录
1目的 (1)
2范围 (1)
3术语定义 (1)
4内容 (1)
5相关文件 (2)
6相关记录 (2)
1目的
访问控制方针规定了逻辑访问与物理访问控制的基本原则和要求，对于访问控制所涉及的主体标识、鉴别、授权以及可追溯性的管理，都要遵守本方针。

2范围
本方针适用于公司内部以及第三方的所有访问过程。

3术语定义
访问控制：根据主体和客体之间的访问授权关系，控制访问的过程。

4内容
1)访问控制基本规则是：除明确允许执行情况外一般必须禁止；
2)访问控制必须遵照最小权限原则；
3)访问控制规则参照《信息资产管理规定》的要求；
4)对任何信息系统的访问都必须通过唯一的帐号来标识访问主体；
5)对任何信息系统的访问都必须经过对访问主体帐号合法性的鉴别方可使用
信息系统；
6)对任何信息系统的访问都必须经过授权，且权限分配有正式的记录；
7)对于重要信息系统的权限分配应该满足职责分离原则；
8)访问主体的访问权限应该具有时效性，当访问主体发生变化时应该及时更
改；
9)对重要服务器的访问权限的分配应该定期进行回顾和审查，确保访问主体
访问权限的合理性；
10)应该记录与访问操作相关的任何活动，并且要妥善保存日志记录，以备追
溯访问主体的访问行为。

具体访问控制操作参见《访问控制管理规定》。

5相关文件
《访问控制管理规定》
《信息资产管理规定》
6相关记录
无。

XXX科技有限公司
信息系统访问与使用监控管理程序
编号：ISMS-B-34
版本号：V1.0
编制：日期：
审核：日期：
批准：日期：
受控状态
1 目的
为了加强信息系统的监控，对组织内信息系统安全监控和日志审核工作进行管理，特制定本程序。

2 范围
本程序适用于信息系统安全监控和日志审核工作的管理。

3 职责
3.1 综合管理部
负责对信息系统安全监控和日志的审核管理。

4 相关文件
《信息安全管理手册》
《信息安全事件管理程序》
5 程序
5.1 日志
综合管理部负责生成记录信息系统网络设备运行状况、网络流量、用户活动、例外和信息安全事件的监测日志，并保存三个月，以支持将来的调查和访问控制监视活动。

系统管理员不允许删除或关闭其自身活动的日志。

日志记录设施以及日志信息应该被保护，防止被篡改和未经授权的访问。

应防止对日志记录设施的未经授权的更改和出现操作问题，包括：
a)对记录的信息类型的更改；
b)日志文件被编辑或删除；
c)超过日志文件媒介的存储容量，导致事件记录故障或者将以往记录的事
件覆盖。

17、信息系统建设管理程序###-ISMS-0306-20231 目的为了对公司信息系统建设的策划、实现、测试、交付验收等进行有效的控制。

2 范围本程序规定了公司信息系统建设的策划、实现、测试、交付验收等控制要求，适用于信息系统的建设控制。

3 职责3.1技术部负责信息系统建设的策划、实现、测试、交付验收管理。

3.3 各部门负责在业务范围内提出信息系统建设需求及其安全需求。

4 程序4.1 信息系统建设策划4.1.1信息系统的建设按照项目管理来开展工作，项目策划主要为获得信息系统的需求，主要包括以下内容：项目功能要求、信息安全要求、时间进度要求、测试与验收要求、其他要求等。

可以通过信息系统安全需求清单或协议进行明确。

4.2 信息系统建设实现4.2.1组织进行信息系统建设实现一般通过外购、外包开发、自主开发等形式，按照如下的控制方式：✧信息系统外购按照4.3来控制；✧信息系统外包开发按照4.4来控制；✧信息系统自主开发按照《软件开发管理制度》。

4.3 信息系统外购4.3.1 信息系统外购应该遵守《组织环境及相关方信息安全管理程序》。

供应商必须在信息系统需求、实现过程、测试与交付验收过程中关注信息安全要求，确保满足相关要求。

4.4信息系统外包开发控制4.4.1 项目外包应该遵守《信息处理设施管理程序》。

外包方应明确项目设计开发的安全技术要求，由技术部审核，报分管公司负责人批准后，技术部与外包方签订外包合同，如涉及公司秘密，还应签订保密协议，在协议中明确规定安全保密要求。

44.2 项目投入使用前，应由外包方及我方技术人员共同进行测试，测试结束应填写《测试报告》，测试符合技术协议要求且经委托部门认可后，方可投入试运行；试运行结束后且使用中发现的问题已经得到圆满解决后，双方进行正式的验收，签署《项目验收报告》。

4.4.3 外包方在我公司进行设计开发活动，应事先得到委托部门负责人的授权，签订协议，有我方人员在场的情况下方可进行。