ISO27001信息网络访问控制程序

xx电子商务技术有限公司版本：A各部门信息安全管理职责JSWLS/IP-40-2009编制：xx审核：xx批准：xx2009-6-28发布2009-7-1实施xx电子商务技术有限公司发布xx电子商务技术编号：JSWLS/IP-40-2009有限公司程序文件版次：A/0程序文件修改控制序号版次修改章节修改人审核人批准人修改日期程序文件版次：A/0各部门信息安全管理职责1 总经理（1）负责组织建立公司信息安全管理体系。

（2）负责制定、发布公司信息安全方针。

（3）负责组织各部门定期评审、更新公司信息安全方针。

（4）负责向公司员工和外部提出信息安全管理承诺。

（5）负责实施公司信息安全资源的配置。

（6）负责公司信息安全管理体系评审工作。

（7）负责组织公司信息安全管理体系持续改进工作。

（8）负责公司信息安全管理体系内部协调工作。

（9）负责公司各部门信息安全管理职责的审批工作。

（10）负责组织公司信息安全管理体系符合安全策略和标准。

（11）负责组建公司信息安全管理委员会。

（12）负责任命公司信息安全管理者代表。

2 管理者代表（1）协助总经理建立公司信息安全管理体系。

（2）协助总经理制定、发布公司信息安全方针。

（3）协助总经理组织各部门定期评审、更新公司信息安全方针。

（4）协助总经理向公司员工和外部提出信息安全管理承诺。

（5）协助总经理实施公司信息安全资源的配置。

（6）协助总经理公司信息安全管理体系评审工作。

（7）协助总经理组织公司信息安全管理体系持续改进工作。

（8）协助总经理公司信息安全管理体系内部协调工作。

（9）协助总经理公司各部门信息安全管理职责的审批工作。

（10）协助总经理组织公司信息安全管理体系符合安全策略和标准。

程序文件版次：A/0（11）负责主持公司信息安全管理体系内部审核工作。

3 信息安全管理委员会（1）负责实施公司信息安全管理体系风险评估。

（2）负责根据风险评估制定相关措施。

（3）负责建立公司适用性声明。

ISO27001--信息安全策略信息安全策略1.目的本文档旨在确立公司的信息安全策略，以保护公司的信息资产免受未经授权的访问、使用、泄露、破坏等风险。

2.范围该策略适用于公司的所有信息系统、网络、设备和人员，包括全职、兼职、临时员工、实生、合同工等。

3.职责与权限公司的信息安全由全体员工共同负责，但具体职责和权限如下：高层管理人员负责制定和审批信息安全政策，指导和监督信息安全工作。

信息安全管理员负责制定和实施信息安全管理制度，管理信息安全事件和漏洞。

各部门负责制定和执行本部门的信息安全管理制度，保障本部门的信息安全。

全体员工应当积极参与信息安全工作，遵守公司的信息安全规定，及时报告信息安全事件和漏洞。

4.相关文件公司的信息安全管理制度包括以下文件：信息安全政策信息安全管理手册信息安全事件管理办法信息安全培训计划5.术语定义信息资产：指公司拥有的任何形式的信息，包括但不限于文档、数据、软件、硬件、网络和设备。

信息安全：指保护信息资产免受未经授权的访问、使用、泄露、破坏等风险的措施和方法。

信息安全事件：指可能导致信息资产受到损失或泄露的事件，包括但不限于黑客攻击、病毒感染、数据丢失等。

信息安全漏洞：指可能导致信息资产受到损失或泄露的系统漏洞、软件漏洞、人员漏洞等。

6.信息安全策略公司的信息安全策略包括以下方面：确立信息安全管理制度，包括信息安全政策、信息安全管理手册等文件。

确保信息资产的机密性、完整性和可用性，采取相应的技术和管理措施。

加强对信息安全事件和漏洞的管理和应对，及时发现、报告和处理问题。

加强员工的信息安全意识和培训，提高员工的信息安全素质。

定期评估和改进信息安全管理制度和措施，确保其有效性和适应性。

6.1 信息安全组织策略信息安全组织策略是确保组织内部信息安全的基础。

该策略应该明确规定信息安全管理的组织结构、职责和权限，确保信息安全管理工作的顺利实施。

同时，该策略还应该制定信息安全管理的标准和规范，确保信息安全管理工作的合规性和规范性。

文件制修订记录1、适用适用于本公司的各种应用系统涉及到的逻辑访问的控制。

2、目的为对本公司各种应用系统的用户访问权限（包括特权用户及第三方用户）实施有效控制，杜绝非法访问，确保系统和信息的安全，特制定本程序。

3、职责3.1各系统的访问授权管理由管理运营部设置安全框架，由各部门主管视权限和业务情况进行分配、审批。

3.2各系统的访问授权实施部门负责访问控制的技术管理以及访问权限控制和实施。

3.3管理运营部负责向各部门通知人事变动情况。

4、程序4.1访问控制策略4.1.1公司内部可公开的信息不作特别限定，允许所有用户访问。

4.1.2公司内部部分不公开信息，经访问授权管理运营部认可，访问授权实施部门实施后用户方可访问。

4.1.3本公司限制使用无线网络，对连接到互联网和局域网的设备采用粘贴标签的方法清晰的标明设备的连接属性（根据敏感程度，可查表获得权限，如IP列表）4.1.4用户不得访问或尝试访问未经授权的网络、系统、文件和服务。

4.1.5相关部门主管填写《用户权限登记表》，确定访问规则后，由网络管理员开设访问帐号和设置访问权限。

4.1.6为确保含有敏感信息的系统不发生泄密事故，采取措施对敏感系统予以隔离。

采用最小权限、最少用户原则。

4.2用户访问管理4.2.1权限申请4.2.1.1授权流程部门申请——授权管理运营部审批——访问授权部门实施所有用户，包括第三方人员均需要履行访问授权手续。

申请部门根据日常管理工作的需要，确定需要访问的系统和访问权限，经过本部门经理同意后，向访问授权管理运营部提交《用户权限申请表》，经访问授权管理运营部审核批准后，将《用户权限申请表》交访问授权实施部门实施。

第三方人员的访问申请由负责接待的部门按照上述要求予以办理。

第三方人员一般不允许成为特权用户。

必要时，第三方人员需与访问接待部门签订《第三方保密协议》。

4.2.1.2《用户权限申请表》应对以下内容予以明确：A)权限申请人员；B)访问权限的级别和范围；C)申请理由；D)有效期。

访问控制方针（版本号：V1.0）
更改控制页
目录
1目的 (1)
2范围 (1)
3术语定义 (1)
4内容 (1)
5相关文件 (2)
6相关记录 (2)
1目的
访问控制方针规定了逻辑访问与物理访问控制的基本原则和要求，对于访问控制所涉及的主体标识、鉴别、授权以及可追溯性的管理，都要遵守本方针。

2范围
本方针适用于公司内部以及第三方的所有访问过程。

3术语定义
访问控制：根据主体和客体之间的访问授权关系，控制访问的过程。

4内容
1)访问控制基本规则是：除明确允许执行情况外一般必须禁止；
2)访问控制必须遵照最小权限原则；
3)访问控制规则参照《信息资产管理规定》的要求；
4)对任何信息系统的访问都必须通过唯一的帐号来标识访问主体；
5)对任何信息系统的访问都必须经过对访问主体帐号合法性的鉴别方可使用
信息系统；
6)对任何信息系统的访问都必须经过授权，且权限分配有正式的记录；
7)对于重要信息系统的权限分配应该满足职责分离原则；
8)访问主体的访问权限应该具有时效性，当访问主体发生变化时应该及时更
改；
9)对重要服务器的访问权限的分配应该定期进行回顾和审查，确保访问主体
访问权限的合理性；
10)应该记录与访问操作相关的任何活动，并且要妥善保存日志记录，以备追
溯访问主体的访问行为。

具体访问控制操作参见《访问控制管理规定》。

5相关文件
《访问控制管理规定》
《信息资产管理规定》
6相关记录
无。

iso27001标准指南ISO 27001标准指南第一部分：引言ISO 27001是国际标准化组织（ISO）颁布的信息技术安全管理体系（ISMS）标准。

该标准确定了一个信息安全管理体系的要求，并提供了一个框架，帮助组织建立、实施、监视、评审和持续改进信息安全管理。

本指南旨在提供关于ISO 27001标准的详细说明，并为组织在实施和认证过程中提供指导。

第二部分：ISO 27001标准概述ISO 27001标准的目标是为组织提供一个可操作的框架，以确保其信息资产的保密性、完整性和可用性。

通过制定适当的风险管理流程和控制措施，组织能够降低信息安全事件的风险，并有效地响应和恢复。

第三部分：实施ISO 27001标准的步骤1. 制定信息安全政策信息安全政策是指组织对信息安全目标和承诺的表述。

它提供了一个框架，用于指导信息安全管理体系的实施和运作。

2. 进行风险评估和管理风险评估和管理是确定信息资产相关威胁和脆弱性的过程。

通过评估风险，组织能够识别潜在的安全漏洞，并采取适当的控制措施来降低风险。

3. 设计和实施控制措施根据风险评估的结果，组织应制定和实施适当的控制措施，以确保信息安全。

这些控制措施可以包括访问控制、密码策略、安全培训等。

4. 对控制措施进行监视和测量组织应对已实施的控制措施进行监视和测量，以确保其有效性。

这需要建立相应的度量指标和过程，以定期评估和审查信息安全管理体系的绩效。

5. 对信息安全事件进行响应和恢复当发生信息安全事件时，组织应能够快速响应，并采取适当的纠正措施。

这包括确定事件的性质和范围，收集证据，并采取措施来防止类似事件再次发生。

6. 进行内部审计内部审计是确保信息安全管理体系符合ISO 27001标准要求的重要过程。

它有助于发现潜在的问题和改进机会，并提供独立的验证。

7. 进行经过认可的外部审计组织需要聘请独立的认证机构进行外部审计，以确认其信息安全管理体系符合ISO 27001标准的要求。

XXX科技有限公司
信息系统访问与使用监控管理程序
编号：ISMS-B-34
版本号：V1.0
编制：日期：
审核：日期：
批准：日期：
受控状态
1 目的
为了加强信息系统的监控，对组织内信息系统安全监控和日志审核工作进行管理，特制定本程序。

2 范围
本程序适用于信息系统安全监控和日志审核工作的管理。

3 职责
3.1 综合管理部
负责对信息系统安全监控和日志的审核管理。

4 相关文件
《信息安全管理手册》
《信息安全事件管理程序》
5 程序
5.1 日志
综合管理部负责生成记录信息系统网络设备运行状况、网络流量、用户活动、例外和信息安全事件的监测日志，并保存三个月，以支持将来的调查和访问控制监视活动。

系统管理员不允许删除或关闭其自身活动的日志。

日志记录设施以及日志信息应该被保护，防止被篡改和未经授权的访问。

应防止对日志记录设施的未经授权的更改和出现操作问题，包括：
a)对记录的信息类型的更改；
b)日志文件被编辑或删除；
c)超过日志文件媒介的存储容量，导致事件记录故障或者将以往记录的事
件覆盖。

17、信息系统建设管理程序###-ISMS-0306-20231 目的为了对公司信息系统建设的策划、实现、测试、交付验收等进行有效的控制。

2 范围本程序规定了公司信息系统建设的策划、实现、测试、交付验收等控制要求，适用于信息系统的建设控制。

3 职责3.1技术部负责信息系统建设的策划、实现、测试、交付验收管理。

3.3 各部门负责在业务范围内提出信息系统建设需求及其安全需求。

4 程序4.1 信息系统建设策划4.1.1信息系统的建设按照项目管理来开展工作，项目策划主要为获得信息系统的需求，主要包括以下内容：项目功能要求、信息安全要求、时间进度要求、测试与验收要求、其他要求等。

可以通过信息系统安全需求清单或协议进行明确。

4.2 信息系统建设实现4.2.1组织进行信息系统建设实现一般通过外购、外包开发、自主开发等形式，按照如下的控制方式：✧信息系统外购按照4.3来控制；✧信息系统外包开发按照4.4来控制；✧信息系统自主开发按照《软件开发管理制度》。

4.3 信息系统外购4.3.1 信息系统外购应该遵守《组织环境及相关方信息安全管理程序》。

供应商必须在信息系统需求、实现过程、测试与交付验收过程中关注信息安全要求，确保满足相关要求。

4.4信息系统外包开发控制4.4.1 项目外包应该遵守《信息处理设施管理程序》。

外包方应明确项目设计开发的安全技术要求，由技术部审核，报分管公司负责人批准后，技术部与外包方签订外包合同，如涉及公司秘密，还应签订保密协议，在协议中明确规定安全保密要求。

44.2 项目投入使用前，应由外包方及我方技术人员共同进行测试，测试结束应填写《测试报告》，测试符合技术协议要求且经委托部门认可后，方可投入试运行；试运行结束后且使用中发现的问题已经得到圆满解决后，双方进行正式的验收，签署《项目验收报告》。

4.4.3 外包方在我公司进行设计开发活动，应事先得到委托部门负责人的授权，签订协议，有我方人员在场的情况下方可进行。

访问权限管理规范1.目的主要是为了保障公司信息的授权访问，规范用户和权限访问管理，防止对网络服务和应用系统的未授权的访问。

2.适用范围适用于公司内部网络服务、应用系统的账户、口令与权限管理。

3.职责3.1信息中心负责对用户、口令与权限管理。

3.2资产管理员负责日常网络服务及应用系统访问权限的控制。

4.管理要求4.1账号与口令管理4.1.1一人一账号，以便将用户与其操作联系起来，使用户对其操作负责，禁止多人使用同一个账号。

4.1.2用户因工作变更或离开公司时，系统管理员要及时取消或者锁定其所有账号，对于无法锁定或者删除的用户账号采用更改口令等相应的措施规避该风险。

4.1.3系统管理员应每季度检查并取消多余的用户账号。

4.1.4所有计算机及系统用户在使用口令时应遵循以下原则：口令必须具有一定强度、长度和复杂度，长度不得小于8 位字符串，要求是字母和数字或特殊字符等两类字符混合，用户名和口令禁止相同。

✧保守口令的机密性，避免保留口令的字面记录，明文存储或明文网络传递；✧口令不要采用姓名、电话号码、生日等别人容易猜测或得到的口令；✧口令需要定期调整，重要服务器的口令不应由一人掌握。

✧任何时候有迹象表明系统或口令可能受到损害，就要更换口令。

4.1.5对应用系统及所部署的服务器的超级口令进行台账式管理。

4.1.6用户有义务保护自己账号与口令等秘密鉴别信息，秘密鉴别信息的使用符合公司相关规范要求。

4.1.7 个人计算机必须设置开机口令和操作系统管理员口令，并开启屏幕保护中的密码保护功能。

4.18 口令要及时更新，要建立定期修改制度，其中系统管理员口令修改间隔不得超过3 个月，并且不得重复使用前3 次以内的口令。

用户登录事件要有记录和审计，同时限制同一用户连续失败登录次数，一般不超过3 次。

4.2权限管理4.2.1资产管理员对信息的访问权限进行设置，添加该用户的相应访问权，设置权限，要再次确认，以保证权限设置正确。