ISO27001：2013业务持续性管理程序

XXXXXXXXX有限责任公司信息安全管理体系程序文件编号：XXXX-B-01～XXXX-B-41（符合ISO/IEC 27001-2013标准）拟编：信息安全小组日期：2015年02月01日审核：管代日期：2015年02月01日批准：批准人名日期：2015年02月01日发放编号: 01受控状态：受控2015年2月1日发布2015年2月1日实施[XXXX-B-01]信息安全风险管理程序[XXXX-B-02]文件控制程序[XXXX-B-03]记录控制程序[XXXX-B-04]纠正措施控制程序[XXXX-B-05]预防措施控制程序[XXXX-B-06]内部审核管理程序[XXXX-B-07]管理评审程序[XXXX-B-08]监视和测量管理程序A6[XXXX-B-09]远程工作管理程序A7[XXXX-B-10]人力资源管理程序A8[XXXX-B-11]商业秘密管理程序A8[XXXX-B-12]信息分类管理程序A8[XXXX-B-13]计算机管理程序A8[XXXX-B-14]可移动介质管理程序A9[XXXX-B-15]用户访问管理程序A9[XXXX-B-16]信息系统访问与监控管理程序A9[XXXX-B-17]信息系统应用管理程序A10[XXXX-B-18]账号密码控制程序A11[XXXX-B-19]安全区域管理程序A12.1.2[XXXX-B-20]变更管理程序A12.1.3[XXXX-B-21]容量管理程序A12.2.1[XXXX-B-22]恶意软件管理程序A12.3[XXXX-B-23]重要信息备份管理程序A12.6[XXXX-B-24]技术薄弱点管理程序A13[XXXX-B-25]电子邮件管理程序A13[XXXX-B-27]信息安全沟通协调管理程序A13[XXXX-B-28]信息交换管理程序A14.2.9[XXXX-B-29]信息系统验收管理程序A14.2[XXXX-B-30]信息系统开发建设管理程序A14[XXXX-B-31]软件开发管理程序A14[XXXX-B-32]数据安全管理程序A14[XXXX-B-33]OA管理程序A15.2[XXXX-B-34]第三方服务管理程序A15[XXXX-B-35]供应商管理程序A15[XXXX-B-36]相关方信息安全管理程序A16[XXXX-B-37]信息安全事件管理程序A17.2[XXXX-B-38]信息处理设施管理程序A17[XXXX-B-39]业务持续性管理程序A18[XXXX-B-40]信息安全法律法规管理程序A18[XXXX-B-41]知识产权管理程序XXXXXXXXX有限责任公司知识产权管理程序[XXXX-B-41]V1.0知识产权管理程序变更履历1 目的通过对知识产权的流程管理，规范整个知识产权管理工作，保证知识产权管理工作的每个环节的合理性、有效性和流畅，为组织的知识产权保护与管理奠定基础。

最新ISO27001：2013信息安全管理体系一整套文件（手册+程序）最新ISO27001：2013信息安全管理体系一整套文件(手册+程序)1.信息安全管理手册2.信息安全管理程序文件XXXXXX技术服务有限公司版本：A/0受控状态：XXXXXX技术服务有限公司信息安全管理手册(依据GB/T22080-2016)编制：文件编写小组审批： XXX版本：A/0受控状态：受控文件编号：LHXR-ANSC-20182018年4月20日发布 2018年4月20日实施管理手册修改记录页：序号修改原因修改内容版本日期修改者审核者目录0.1 颁布令 (5)0.2 管理者代表任命书 (6)0.3关于成立管理体系工作小组的决定 (7)0.4 公司简介 (8)0.5 组织结构 (8)0.6 信息安全方针与目标 (9)1.0 信息安全方针 (9)2.0 信息安全目标 (9)1.0 范围 (9)1.1 总则 (9)1.2 适用范围 (10)1.3 删减说明 (10)2.0规范性引用文件 (10)3.0 术语与定义 (11)3.3计算机病毒 (11)3.15 相关方 (12)3.16本公司 (12)3.17管理体系 (12)4.0 组织环境 (12)4.1理解组织及其环境 (12)4.2利益相关方的需求和期望 (13)4.3确定信息安全管理体系范围 (13)4.4信息安全管理体系 (14)5.0 领导力 (14)5.1领导和承诺 (14)5.2方针 (15)5.3组织的角色、责任和权限 (15)6.0 规划 (18)6.1 应对风险和机会的措施 (18)6.2 信息安全目标及其实现规划 (20)7.0 支持 (20)7.1资源 (20)7.2能力 (21)7.3意识 (21)7.4沟通 (21)7.5文件化信息 (22)8.0 运行 (24)8.1运行规划和控制 (24)8.2信息安全风险评估 (25)8.3信息安全风险处置 (25)9.0 绩效评价 (25)9.1 监视、测量、分析和评价 (25)9.2 内部审核 (25)9.3 管理评审 (26)10.0 改进 (28)10.1不符合及纠正措施 (28)10.2 持续改进 (29)附1信息安全管理体系职责对照表 (30)0.1 颁布令为提高XXXXXX技术服务有限公司的信息安全管理水平，保障我公司业务活动的正常进行，防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失，我公司于2018年4月开展贯彻GB/T22080-2016《信息技术-安全技术-信息安全管理体系要求》国际标准工作，建立、实施和持续改进文件化的信息安全管理体系，制定了XXXXXX技术服务有限公司《信息安全管理手册》。

xx电子商务技术有限公司版本：A各部门信息安全管理职责JSWLS/IP-40-2009编制：xx审核：xx批准：xx2009-6-28发布2009-7-1实施xx电子商务技术有限公司发布xx电子商务技术编号：JSWLS/IP-40-2009有限公司程序文件版次：A/0程序文件修改控制序号版次修改章节修改人审核人批准人修改日期程序文件版次：A/0各部门信息安全管理职责1 总经理（1）负责组织建立公司信息安全管理体系。

（2）负责制定、发布公司信息安全方针。

（3）负责组织各部门定期评审、更新公司信息安全方针。

（4）负责向公司员工和外部提出信息安全管理承诺。

（5）负责实施公司信息安全资源的配置。

（6）负责公司信息安全管理体系评审工作。

（7）负责组织公司信息安全管理体系持续改进工作。

（8）负责公司信息安全管理体系内部协调工作。

（9）负责公司各部门信息安全管理职责的审批工作。

（10）负责组织公司信息安全管理体系符合安全策略和标准。

（11）负责组建公司信息安全管理委员会。

（12）负责任命公司信息安全管理者代表。

2 管理者代表（1）协助总经理建立公司信息安全管理体系。

（2）协助总经理制定、发布公司信息安全方针。

（3）协助总经理组织各部门定期评审、更新公司信息安全方针。

（4）协助总经理向公司员工和外部提出信息安全管理承诺。

（5）协助总经理实施公司信息安全资源的配置。

（6）协助总经理公司信息安全管理体系评审工作。

（7）协助总经理组织公司信息安全管理体系持续改进工作。

（8）协助总经理公司信息安全管理体系内部协调工作。

（9）协助总经理公司各部门信息安全管理职责的审批工作。

（10）协助总经理组织公司信息安全管理体系符合安全策略和标准。

程序文件版次：A/0（11）负责主持公司信息安全管理体系内部审核工作。

3 信息安全管理委员会（1）负责实施公司信息安全管理体系风险评估。

（2）负责根据风险评估制定相关措施。

（3）负责建立公司适用性声明。

目录1.目的 (4)2.适用范围 (4)2.1前提条件1： (4)2.2前提条件2： (4)3.定义 (4)3.1信息安全连续性管理计划： (4)3.2最大容忍中断时间： (4)3.3关键功能目标恢复时间： (4)3.4全部功能目标恢复时间： (4)3.5小规模灾难或故障： (4)3.6大规模灾难或故障： (4)4.规程 (5)4.1核心及支持性信息安全单元定义 (5)4.2信息安全连续性管理目标 (5)4.3信息安全连续性恢复顺序 ...................................................................... 错误!未定义书签。

4.4信息安全分类及灾难恢复指标 (5)4.5重大灾难、故障应急程序及计划 (5)4.6重大灾难、故障应急程序及计划演练计划 (6)5.引用文件 (6)6.记录 (6)1. 目的确保核心信息安全及支持性信息安全的连续运作，减少各种安全风险可能带来的损失。

2. 适用范围本计划适用于公司在以下前提条件下的信息安全连续性管理：2.1 前提条件1：公司不在同一时间内遭受同样大规模的破坏2.2 前提条件2：公司雇用关系、现金流、供应商关系、客户关系、政府关系、投资关系、合作伙伴关系没有受到重大影响3. 定义3.1 信息安全连续性管理计划：为预防信息安全风险、意外灾难可能带来的损失，有效保障公司核心信息安全及支持性的正常运作，而预先制订的一系列管理计划，包括：信息安全连续性管理目标、信息安全恢复指标、以及各类灾难、故障的应急和恢复程序。

3.2 最大容忍中断时间：指信息安全能容忍在没有正常支撑工具（如信息安全记录、信息系统、通信电话等）支撑的最大工作时间（不包括休息时间）。

3.3 关键功能目标恢复时间：指从灾难发生开始到信息安全关键功能（指核心信息安全功能，例如：客户要求的开发活动、支持开发活动必须的信息安全记录、信息系统、通信电话）得到恢复的时间。

文件控制制度目录1.目的和范围 (3)2.引用文件 (3)3.职责和权限 (3)4.管理内容及控制要求 (3)4.1文件的分类 (3)4.2文件编制 (3)4.3文件标识 (4)4.4文件的发放 (5)4.5文件的控制 (5)4.6文件的更改 (5)4.6.1文件更改申请 (5)4.6.2文件更改的审批或评审 (5)4.6.3文件更改的实施 (6)4.6.4版本控制 (6)4.7文件的评审 (6)4.8文件的作废 (6)4.9外来文件的管理 (6)4.10文件的归档 (6)5.相关记录 (7)1.目的和范围为了有效控制信息安全管理体系文件，对文件的编制、审核、批准、标识、发放、管理、使用、评审、更改、修订、作废等过程实施有效控制，确保部门使用现行的有效版本，特制订本制度。

本制度适用于信息安全管理体系文件的管理。

2. 引用文件1)《合规性实施制度》2)《信息资产分类分级管理制度》3.职责和权限1)总经办是信息安全管理体系文件的归口部门，负责信息安全有关的所有文件的管理与控制。

2)各部门：负责本部门信息安全管理文件的管理与控制。

4.管理内容及控制要求4.1文件的分类信息安全管理体系文件主要包括：1)第一层：信息安全管理手册、信息安全目标、信息安全适用性声明（SOA）、信息安全策略；2)第二层：制度文件；3)第三层：各管理规定、管理办法、流程、作业指导书（指南）及外来文件等；4)第四层：记录、表单。

记录控制执行《记录控制制度》。

4.2文件编制文件编制要有充分的依据，体现系统协调，可操作、可检查的原则。

1)第一层：信息安全管理手册由体系负责人组织编写，信息安全管理者代表审核，总经理批准发布。

2)第二、三层：由相关责任部门编写，信息安全管理者代表审核，总经理批准发布。

3)第四层：由相关责任部门编写，文档负责人审批，信息安全管理者代表批准发布。

4.3文件标识所有文件必须有明确的标识，包括：文件的名称、编号、版本号、密级标识等。

XXXXXXXXX有限责任公司信息系统应用管理程序[XXXX-B-17]V1.0发布日期2015年02月01日发布部门信息安全小组实施日期2015年02月01日变更履历版本变更履历变更人/变更日期审核人/审核日期批准人/批准日期1.0 初次发布信息系统应用管理程序1 目的为实施对公司信息系统应用活动的控制，特制定本程序。

2 范围本程序规定了信息系统应用的控制策略、应用需求、开发、测试、培训、故障处理、检查监督和考核，适用于信息系统应用活动的管理。

3 职责3.1 技术部负责按照应用系统的应用控制要求，指导各部门的使用，保证应用系统应用的规范性，协助各部门进行应用推广、检查监督与考核。

3.2 各职能部门应用系统所涉及业务的职能部门，负责系统的控制策略执行。

4 程序4.1 系统操作的控制策略4.1.1 技术部负责建立《应用系统一览表》，明确系统管理的职责。

各应用系统必须确定相应的系统管理员。

系统管理员不能由安全管理员兼任。

4.1.2各部门应对系统实用程序的使用进行限制和严格控制，严禁使用如优化大师，超级兔子等改变应用系统的工具，只有经过总经理授权使用的系统管理员方可使用实用工具网管软件等，且必需服从网络安全管理员检查监督和管理。

并由技术部建立《系统实用工具一览表》。

4.1.3 信息系统的访问控制，应用系统应严格按《用户访问管理程序》执行。

禁止访问系统中应用程序的用户使用系统实用工具。

因未按《用户访问管理程序》授权的用户访问造成的信息安全事件，技术部领导负主要责任。

4.1.4 应用系统的用户必须遵守各应用系统的相关管理规定，必须服从技术部系统管理员的检查监督和管理。

因应用系统用户未按相应的应用管理程序使用系统造成的信息安全事件，应用系统用户负主要责任。

4.1.5 信息系统用户不得利用信息系统做任何危及本公司、部门、他人或其他无关的活动。

4.1.6 信息系统用户必须严格执行保密制度。

对各自的用户帐号负责，不得转借他人使用。

XXXX有限公司信息安全管理手册ISO27001:2013 编制：审核：批准：信息安全管理手册目录1. 概述 (4)1.1 目的 (4)1.2 适用范围 (4)1.3 颁布令 (4)1.4 授权书 (5)2. 依据文件和术语 (6)2.1 依据文件 (6)2.2 术语定义 (6)3. 裁剪说明 (7)4. 组织环境 (8)4.1 组织环境描述 (8)4.2 信息安全相关方的需求和期望 (11)4.3 信息安全管理体系范围的确定 (11)4.4 体系概述 (12)5. 领导力 (14)5.1 领导力和承诺 (14)5.2 信息安全方针和目标 (14)5.3 组织角色、职责和权限 (15)6. 策划 (17)6.1 风险评估和处置.............................. 错误!未定义书签。

6.2 目标实现过程 (18)7. 支持 (20)7.1 资源提供 (20)7.2 能力管理 (20)7.3 意识培训 (20)7.4 信息安全沟通管理 (20)7.5 文件记录管理 (21)8. 运行 (24)8.1 体系策划与运行 (24)8.2 风险评估 (24)8.3 风险处置 (24)9. 绩效评价 (26)9.1 监视、测量、分析和评价...................... 错误!未定义书签。

9.2 内部审核 (27)9.3 管理评审 (28)10. 改进........................................ 3010.1 不符合和纠正措施 2810.2 持续改进 (28)11. 信息安全总体控制 (31)A.5信息安全策略 (31)A.6信息安全组织 (31)A.7人力资源安全 (35)A.8资产管理 (35)A.9访问控制 (35)A.10密码控制 (36)A.11物理和环境安全 (36)A.12操作安全 (36)A.13通信安全 (37)A.14系统获取、开发和维护 (37)A.15供应商关系 (38)A.16信息安全事故 (38)A.17业务连续性管理的信息安全方面 (38)A.18符合性 (38)附件一：信息安全组织架构映射表 (40)附件二：信息安全职责分配表 (40)1.概述为提高服务质量，规范管理活动，保障系统安全运行，提升人员安全意识水平，XXXXXX软件有限公司（以下简称“公司”）依据信息安全管理标准《GB/T 22080-2016/ISO/IEC 27001:2013 信息技术安全技术信息安全管理体系要求》的相关要求，结合自身业务系统实际运行安全需求，已建立实施了一套科学有效的信息安全管理体系，并通过体系的有效运行，实现持续改进，达到动态系统、全员参与、制度化的、以预防为主的信息安全管理方式。

业务连续性管理规定（版本号：V1.0）更改控制页1目的在重要的信息系统遭受重大灾难时，能够在中断容许的范围内重新恢复系统、数据，保障业务的持续开展。

2范围本程序文件适用于XXX科技股份有限公司。

3术语定义MTD(Maximum Tolerable Downtime):最大容忍中断时间。

即在灾难发生后，公司可以承受的业务中断时间。

这一时间取决于对公司业务的影响程度(业务完全中断、效率降低等)、对公司收入的影响程度以及对客户业务的影响程度。

RTO (Recovery Time Objective)：恢复时间目标。

即灾难发生后，信息系统或业务功能从停顿到业务完全恢复的时间点目标。

这些时间点，将作为业务连续性计划的恢复业务的里程碑时间。

RPO(Recovery Point Objective)：恢复点目标。

即灾难发生后，信息系统或业务功能能够恢复到灾难之前的哪个时间点。

BCP（Business Continuity Planning ）：业务连续性计划。

为减少灾难发生后对业务的影响，以及保证业务在灾难发生后能及时恢复和持续运作，事前所做的计划和安排。

BIA(Business Impact Analysis)：业务影响分析。

分析核心业务及重要的信息系统，评估灾难发生后对公司业务及其他方面的影响程度。

DRP（Disaster Recovery Plan）：灾难恢复计划。

4职责4.1管理者代表负责提出业务连续性的管理要求，包括业务连续性的高层策略、最大可容忍的业务中断时间，并监控业务连续性管理和计划的持续改进；组织风险评估、应急处理和灾难恢复。

4.2信息安全经理协助管理者代表完成所有与业务连续性有关的工作；监督计划的测试、维护和实施；组织制定《业务连续性计划（BCP）》；组织BCP演练活动。

4.3信息安全执行组参与所有与业务连续性有关的工作。

4.4网络管理员负责网络基础设施的业务连续性计划的落实。

4.5各部门领导负责本部门的业务持续性管理分析过程。

业务持续性影响分析报告内部公开业务持续性管理计划日期：编制：审核：日期：业务持续性管理计划评审报告业务持续性管理计划测试报告办公大楼地震应急预案一、指导思想根据《中华人民共和国防震减灾法》、《重庆市地震应急预案》，本着预防为主，宣传教育为辅，防患于未然的原则，为确保办公室大楼在发生破坏性地震时，各项应急工作能有效进行，最大限度地减轻地震灾害带来的损失，尽可能的减少我单位员工伤亡，现借鉴各地的成功经验，结合我公司所在大楼实际情况，制定本预案。

二、办公室防震抗震工作机构（一）防震抗震领导小组组长：成员：1、全面负责办公室防震抗震工作，强化工作职责，完善地震应急预案的制定和各项措施的落实。

2、充分利用各种渠道进行地震灾害、避震疏散知识的宣传教育，广泛开展地震灾害中的自救和互救训练，组织、指导员工进行地震应急避险疏散演练，不断提高我单位员工防震减灾、自救互救能力和抵御地震灾害的能力。

3、认真搞好各项物资保障，强化管理，使之始终保持良好战备状态。

4、地震发生后，组织所有员工按疏散路线迅速撤离，并维护疏散场地的社会秩序和保障安全。

5、及时清点、统计上报人数。

6、组织各方面力量全面进行抗震减灾工作，调动一切积极因素，迅速恢复工作秩序，把地震灾害造成的损失降到最低点，促进社会安全稳定。

（二）办公大楼地震应急工作小组为确保地震应急工作有序进行，在成立防震抗震领导小组的基础上，设立地震应急工作小组，现明确相关责任人和工作任务如下：1、指挥组总指挥：刘彬职责：负责指挥地震发生时的所有应急工作，收集了解灾后全面情况，向上级有关部门报告。

2、疏散组成员：职责：在地震发生是负责将我单位员工疏散到安全地带，稳定人心，安置人员，汇总报告人员到达疏散地点情况。

3、后勤保障组成员：职责：负责紧急组织救护，统计、汇报人员伤亡情况。

4、消防治安组成员：职责：负责清除安全隐患，汇报建筑物及办公室其他设施的破坏情况。

三、地震紧急疏散原则指挥得力沉着冷静全体动员及时疏散减少损失四、临震应急行动1、接到上级地震、临震预（警）报后，应急小组立即进入临战状态，依法发布有关消息和警报，全面组织各项防震抗震工作，各有关组织随时准备执行防震减灾任务。