ISO27001：2013网络配置安全策略

XXX科技有限公司
网络设备安全配置管理程序
编号：ISMS-B-24
版本号：V1.0
编制：日期：
审核：日期：
批准：日期：
受控状态
1 目的
为确保网络安全，依据安全策略，加强与信息相关网络设备的配置管理，特制定本程序。

2 范围
本程序适用于在组织内使用的所有主要网络设备的安全参数设置管理，包括：
a)防火墙设备及软硬件；
b)网关设备及软硬件；
c)网络交换机及HUB等。

3 职责
3.1 综合管理部
负责对组织内所有主要网络设备的配置和参数设定。

4 相关文件
《信息安全管理手册》
《信息系统访问与使用监控管理程序》
5 程序
5.1 网络设备安全配置策略
5.1.1 通用策略
网络设备的配置必须由IT人员实施。

设备系统日志的记录内容和保存期限应该符合《信息系统访问与使用监控管理程序》。

XXXX有限公司信息安全管理手册ISO27001:2013 编制：审核：批准：信息安全管理手册目录1. 概述 (4)1.1 目的 (4)1.2 适用范围 (4)1.3 颁布令 (4)1.4 授权书 (5)2. 依据文件和术语 (6)2.1 依据文件 (6)2.2 术语定义 (6)3. 裁剪说明 (7)4. 组织环境 (8)4.1 组织环境描述 (8)4.2 信息安全相关方的需求和期望 (11)4.3 信息安全管理体系范围的确定 (11)4.4 体系概述 (12)5. 领导力 (14)5.1 领导力和承诺 (14)5.2 信息安全方针和目标 (14)5.3 组织角色、职责和权限 (15)6. 策划 (17)6.1 风险评估和处置.............................. 错误!未定义书签。

6.2 目标实现过程 (18)7. 支持 (20)7.1 资源提供 (20)7.2 能力管理 (20)7.3 意识培训 (20)7.4 信息安全沟通管理 (20)7.5 文件记录管理 (21)8. 运行 (24)8.1 体系策划与运行 (24)8.2 风险评估 (24)8.3 风险处置 (24)9. 绩效评价 (26)9.1 监视、测量、分析和评价...................... 错误!未定义书签。

9.2 内部审核 (27)9.3 管理评审 (28)10. 改进........................................ 3010.1 不符合和纠正措施 2810.2 持续改进 (28)11. 信息安全总体控制 (31)A.5信息安全策略 (31)A.6信息安全组织 (31)A.7人力资源安全 (35)A.8资产管理 (35)A.9访问控制 (35)A.10密码控制 (36)A.11物理和环境安全 (36)A.12操作安全 (36)A.13通信安全 (37)A.14系统获取、开发和维护 (37)A.15供应商关系 (38)A.16信息安全事故 (38)A.17业务连续性管理的信息安全方面 (38)A.18符合性 (38)附件一：信息安全组织架构映射表 (40)附件二：信息安全职责分配表 (40)1.概述为提高服务质量，规范管理活动，保障系统安全运行，提升人员安全意识水平，XXXXXX软件有限公司（以下简称“公司”）依据信息安全管理标准《GB/T 22080-2016/ISO/IEC 27001:2013 信息技术安全技术信息安全管理体系要求》的相关要求，结合自身业务系统实际运行安全需求，已建立实施了一套科学有效的信息安全管理体系，并通过体系的有效运行，实现持续改进，达到动态系统、全员参与、制度化的、以预防为主的信息安全管理方式。

网站安全管理制度第一章总则第一条网站是公司对外形象宣传的重要窗口，为充分利用现有的网络资源，实现网络信息工作的规范化和制度化管理，促进公司内及行业内信息的交流与共享，确保网站的正常运行, 更好的为公司提供信息交流平台及进行对外宣传，特制定本制度。

第二条网络信息工作以服务于公司宣传、搭建信息交流与沟通平台为中心，坚持统一领导、统筹规划、集中管理、分级负责的原则。

第二章网站管理第四条网站实行分级管理模式，公司技术研发部行使网站的管理及维护职能，设网站管理员；各部门为二级管理组织，设网管专员；综合部行使监督职能；网站制作方负责网站的技术支持，维护网站的稳定和安全。

第五条公司技术研发部具体负责网站的全面管理、更新内容上传、维护及网管专员培训的工作。

第六条技术研发部网络管理工作职责1、负责网站后续建设的规划与实施，把握网站的发展方向；2、负责拟定、报批网站使用维护、运行管理等各项制度；3、依据网站各项资源利用的统一规划，分派专人（网站管理员）负责网站资源的分配以及信息发布工作的执行与监督；4、负责制定网站管理和安全工作制度的制定、完善及落实，定期检查安全工作落实情况。

5、技术研发部全面负责网站的建设、日常管理和维护及网管专员的培训工作，牵头组织网站各项业务工作的开展6、建立信息发布日志，网站管理员负责记录每次信息发布时间，做好发布信息审批表及原始资料的归档工作；7、应负责监督网站管理与维护状况并及时组织相关网管专员集中学习。

第七条网管专员职责1、应对网站管理与维护及时提出合理化建议和意见，并按照技术研发部所要求的时间内及时、积极提交有关最新信息；2、负责与部门有关的二级网页更新内容并根据栏目设置和技术研发部的需求，在规定的时间内向技术研发部提供与本部门业务有关的文件、法规及相关资料的电子文档，对所提供的材料要确保及时性、准确性、权威性。

凡各公司领导签发的信息原则上随到随传，以保证公司各项制度、政策以及新闻的快捷传播；3、网管专员务必要在技术研发部所规定时间前将信息采集并加以修正.4、网管专员每天对网站内容进行审查，确定更新工作落实情况；5、网管专员对网站互动性栏目，应建立监管制度，确保网站内容积极、健康。

信息安全设备设施管理规范
1适用与目的
本程序适用于公司与IT相关各类信息处理设施（包括各类软件、硬件、服务、传输线路）的引进、实施、维护等事宜的管理。

本程序通过对技术选型、验收、实施、维护等过程中相关控制的明确规定来确保引进的信息处理设施的保密性、完整性和可用性。

2信息处理设施的分类
2.1研发控制系统、数据存储控制系统及其子系统设备，包括位于机房的服务器和位于使用区域的使用控制系统终端设备。

2.2业务管理系统、财务管理系统，包括位于机房的服务器和位于使用区域的终端设备。

2.3办公用计算机设备，包括所有办公室、会议室内的计算机、打印机，域控制服务器，DNS服务器、Email服务器等。

2.4网络设备，包括交换机、路由器、防火墙等。

2.5其它办公设备，包括电话设备、复印机、传真机等。

3职责
3.1DXC主要负责全公司与IT相关各类信息处理设施及其服务的引进。

包括制作技术规格书、进行技术选型、安装和验收等。

DXC同时负责全公司网络设备、研发控制系统、业务管理系统、财务管理系统日常管理与维护。

3.2各部负责项目实施过程中设备及软件系统的管理制度的执行与维护。

3.3DXC负责后勤系统设备及网络系统、电话/网络通讯与办公系统的管理与维护。

ISO27001-2013 信息技术--安全技术--信息安全管理体系--要求中文版(正式发布版)ISO 27001.2013 信息技术--安全技术--信息安全管理体系--要求中文版(正式发布版)1.背景和目的该标准详细规定了建立、实施、操作、监控、审查、维护和持续改进信息安全管理体系（ISMS）的要求。

它旨在确保组织合理评估信息安全风险，并采取适当的安全措施来保护机密性、完整性和可用性。

2.规范性引用文件本标准适用于以下引用文档:- ISO/IEC 27000.2018 信息技术－安全技术－信息安全管理体系－概述和词汇- ISO/IEC 27002.2013 信息技术－安全技术－信息安全管理实施指南- ISO/IEC 27003.2017 信息技术－安全技术－信息安全管理系统实施指南3.术语和定义以下术语和定义适用于本标准：- 组织：指定了ISMS的范围并对其进行实施、操作、监控、审查、维护和持续改进的实体。

- 高层管理：按照组织的要求，履行其职权和责任的最高级别管理职位。

- ISMS：信息安全管理体系。

4.理解组织和其上下文组织应确定和理解其内外部各方的需求和期望，以及相关方和利益相关者，以确保ISMS的有效性。

5.领导的承诺高层管理应明确表达对ISMS的支持和承诺，确保其适当实施和维护，并提供资源以满足ISMS的要求。

6.政策组织应制定和实施信息安全政策，为ISMS提供框架和方向，并与组织的活动和风险管理策略保持一致。

7.组织内部的风险评估组织应在ISMS实施之前进行风险评估，以确保全面了解和评估信息资产相关的威胁和风险。

8.管理资源组织应为ISMS指定适当的资源，包括人员、设备和财务资源，以确保其有效实施、操作、监控、审查和持续改进。

9.专门支持组织应为ISMS提供必要的支持，包括培训、意识和沟通，以确保员工的积极参与和遵守ISMS的要求。

10.安全风险管理组织应基于风险评估结果，采取适当的措施来管理和缓解信息安全风险，确保信息资产的安全性。

ISO27001--信息安全策略信息安全策略1.目的本文档旨在确立公司的信息安全策略，以保护公司的信息资产免受未经授权的访问、使用、泄露、破坏等风险。

2.范围该策略适用于公司的所有信息系统、网络、设备和人员，包括全职、兼职、临时员工、实生、合同工等。

3.职责与权限公司的信息安全由全体员工共同负责，但具体职责和权限如下：高层管理人员负责制定和审批信息安全政策，指导和监督信息安全工作。

信息安全管理员负责制定和实施信息安全管理制度，管理信息安全事件和漏洞。

各部门负责制定和执行本部门的信息安全管理制度，保障本部门的信息安全。

全体员工应当积极参与信息安全工作，遵守公司的信息安全规定，及时报告信息安全事件和漏洞。

4.相关文件公司的信息安全管理制度包括以下文件：信息安全政策信息安全管理手册信息安全事件管理办法信息安全培训计划5.术语定义信息资产：指公司拥有的任何形式的信息，包括但不限于文档、数据、软件、硬件、网络和设备。

信息安全：指保护信息资产免受未经授权的访问、使用、泄露、破坏等风险的措施和方法。

信息安全事件：指可能导致信息资产受到损失或泄露的事件，包括但不限于黑客攻击、病毒感染、数据丢失等。

信息安全漏洞：指可能导致信息资产受到损失或泄露的系统漏洞、软件漏洞、人员漏洞等。

6.信息安全策略公司的信息安全策略包括以下方面：确立信息安全管理制度，包括信息安全政策、信息安全管理手册等文件。

确保信息资产的机密性、完整性和可用性，采取相应的技术和管理措施。

加强对信息安全事件和漏洞的管理和应对，及时发现、报告和处理问题。

加强员工的信息安全意识和培训，提高员工的信息安全素质。

定期评估和改进信息安全管理制度和措施，确保其有效性和适应性。

6.1 信息安全组织策略信息安全组织策略是确保组织内部信息安全的基础。

该策略应该明确规定信息安全管理的组织结构、职责和权限，确保信息安全管理工作的顺利实施。

同时，该策略还应该制定信息安全管理的标准和规范，确保信息安全管理工作的合规性和规范性。