ISO27001:2013数据备份计划及记录表
最新ISO27001:2013信息安全管理体系一整套程序文件(共41个程序184页)
XXXXXXXXX有限责任公司信息安全管理体系程序文件编号:XXXX-B-01~XXXX-B-41(符合ISO/IEC 27001-2013标准)拟编:信息安全小组日期:2015年02月01日审核:管代日期:2015年02月01日批准:批准人名日期:2015年02月01日发放编号: 01受控状态:受控2015年2月1日发布2015年2月1日实施[XXXX-B-01]信息安全风险管理程序[XXXX-B-02]文件控制程序[XXXX-B-03]记录控制程序[XXXX-B-04]纠正措施控制程序[XXXX-B-05]预防措施控制程序[XXXX-B-06]内部审核管理程序[XXXX-B-07]管理评审程序[XXXX-B-08]监视和测量管理程序A6[XXXX-B-09]远程工作管理程序A7[XXXX-B-10]人力资源管理程序A8[XXXX-B-11]商业秘密管理程序A8[XXXX-B-12]信息分类管理程序A8[XXXX-B-13]计算机管理程序A8[XXXX-B-14]可移动介质管理程序A9[XXXX-B-15]用户访问管理程序A9[XXXX-B-16]信息系统访问与监控管理程序A9[XXXX-B-17]信息系统应用管理程序A10[XXXX-B-18]账号密码控制程序A11[XXXX-B-19]安全区域管理程序A12.1.2[XXXX-B-20]变更管理程序A12.1.3[XXXX-B-21]容量管理程序A12.2.1[XXXX-B-22]恶意软件管理程序A12.3[XXXX-B-23]重要信息备份管理程序A12.6[XXXX-B-24]技术薄弱点管理程序A13[XXXX-B-25]电子邮件管理程序A13[XXXX-B-27]信息安全沟通协调管理程序A13[XXXX-B-28]信息交换管理程序A14.2.9[XXXX-B-29]信息系统验收管理程序A14.2[XXXX-B-30]信息系统开发建设管理程序A14[XXXX-B-31]软件开发管理程序A14[XXXX-B-32]数据安全管理程序A14[XXXX-B-33]OA管理程序A15.2[XXXX-B-34]第三方服务管理程序A15[XXXX-B-35]供应商管理程序A15[XXXX-B-36]相关方信息安全管理程序A16[XXXX-B-37]信息安全事件管理程序A17.2[XXXX-B-38]信息处理设施管理程序A17[XXXX-B-39]业务持续性管理程序A18[XXXX-B-40]信息安全法律法规管理程序A18[XXXX-B-41]知识产权管理程序XXXXXXXXX有限责任公司知识产权管理程序[XXXX-B-41]V1.0知识产权管理程序变更履历1 目的通过对知识产权的流程管理,规范整个知识产权管理工作,保证知识产权管理工作的每个环节的合理性、有效性和流畅,为组织的知识产权保护与管理奠定基础。
最新ISO27001:2013信息安全管理体系一整套文件(手册+程序)
最新ISO27001:2013信息安全管理体系一整套文件(手册+程序)1.信息安全管理手册2.信息安全管理程序文件XXXXXX技术服务有限公司版本:A/0受控状态:XXXXXX技术服务有限公司信息安全管理手册(依据GB/T22080-2016)编制:文件编写小组审批: XXX版本:A/0受控状态:受控文件编号:LHXR-ANSC-20182018年4月20日发布 2018年4月20日实施管理手册修改记录页:序号修改原因修改内容版本日期修改者审核者目录0.1 颁布令 (5)0.2 管理者代表任命书 (6)0.3关于成立管理体系工作小组的决定 (7)0.4 公司简介 (8)0.5 组织结构 (8)0.6 信息安全方针与目标 (9)1.0 信息安全方针 (9)2.0 信息安全目标 (9)1.0 范围 (9)1.1 总则 (9)1.2 适用范围 (10)1.3 删减说明 (10)2.0规范性引用文件 (10)3.0 术语与定义 (11)3.3计算机病毒 (11)3.15 相关方 (12)3.16本公司 (12)3.17管理体系 (12)4.0 组织环境 (12)4.1理解组织及其环境 (12)4.2利益相关方的需求和期望 (13)4.3确定信息安全管理体系范围 (13)4.4信息安全管理体系 (14)5.0 领导力 (14)5.1领导和承诺 (14)5.2方针 (15)5.3组织的角色、责任和权限 (15)6.0 规划 (18)6.1 应对风险和机会的措施 (18)6.2 信息安全目标及其实现规划 (20)7.0 支持 (20)7.1资源 (20)7.2能力 (21)7.3意识 (21)7.4沟通 (21)7.5文件化信息 (22)8.0 运行 (24)8.1运行规划和控制 (24)8.2信息安全风险评估 (25)8.3信息安全风险处置 (25)9.0 绩效评价 (25)9.1 监视、测量、分析和评价 (25)9.2 内部审核 (25)9.3 管理评审 (26)10.0 改进 (28)10.1不符合及纠正措施 (28)10.2 持续改进 (29)附1信息安全管理体系职责对照表 (30)0.1 颁布令为提高XXXXXX技术服务有限公司的信息安全管理水平,保障我公司业务活动的正常进行,防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失,我公司于2018年4月开展贯彻GB/T22080-2016《信息技术-安全技术-信息安全管理体系要求》国际标准工作,建立、实施和持续改进文件化的信息安全管理体系,制定了XXXXXX技术服务有限公司《信息安全管理手册》。
最新ISO27001:2013信息安全管理体系一整套文件(手册+程序)
最新ISO27001:2013信息安全管理体系一整套文件(手册+程序)最新ISO27001:2013信息安全管理体系一整套文件(手册+程序)1.信息安全管理手册2.信息安全管理程序文件XXXXXX技术服务有限公司版本:A/0受控状态:XXXXXX技术服务有限公司信息安全管理手册(依据GB/T22080-2016)编制:文件编写小组审批: XXX版本:A/0受控状态:受控文件编号:LHXR-ANSC-20182018年4月20日发布 2018年4月20日实施管理手册修改记录页:序号修改原因修改内容版本日期修改者审核者目录0.1 颁布令 (5)0.2 管理者代表任命书 (6)0.3关于成立管理体系工作小组的决定 (7)0.4 公司简介 (8)0.5 组织结构 (8)0.6 信息安全方针与目标 (9)1.0 信息安全方针 (9)2.0 信息安全目标 (9)1.0 范围 (9)1.1 总则 (9)1.2 适用范围 (10)1.3 删减说明 (10)2.0规范性引用文件 (10)3.0 术语与定义 (11)3.3计算机病毒 (11)3.15 相关方 (12)3.16本公司 (12)3.17管理体系 (12)4.0 组织环境 (12)4.1理解组织及其环境 (12)4.2利益相关方的需求和期望 (13)4.3确定信息安全管理体系范围 (13)4.4信息安全管理体系 (14)5.0 领导力 (14)5.1领导和承诺 (14)5.2方针 (15)5.3组织的角色、责任和权限 (15)6.0 规划 (18)6.1 应对风险和机会的措施 (18)6.2 信息安全目标及其实现规划 (20)7.0 支持 (20)7.1资源 (20)7.2能力 (21)7.3意识 (21)7.4沟通 (21)7.5文件化信息 (22)8.0 运行 (24)8.1运行规划和控制 (24)8.2信息安全风险评估 (25)8.3信息安全风险处置 (25)9.0 绩效评价 (25)9.1 监视、测量、分析和评价 (25)9.2 内部审核 (25)9.3 管理评审 (26)10.0 改进 (28)10.1不符合及纠正措施 (28)10.2 持续改进 (29)附1信息安全管理体系职责对照表 (30)0.1 颁布令为提高XXXXXX技术服务有限公司的信息安全管理水平,保障我公司业务活动的正常进行,防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失,我公司于2018年4月开展贯彻GB/T22080-2016《信息技术-安全技术-信息安全管理体系要求》国际标准工作,建立、实施和持续改进文件化的信息安全管理体系,制定了XXXXXX技术服务有限公司《信息安全管理手册》。
ISO27001记录清单汇编
办公室
55
《业务持续性管理实施计划》
ST/ISMS-JL—055
三年
办公室
56
《业务持续性管理计划测试报告》
ST/ISMS-JL—056
三年
办公室
57
《业务持续性管理计划评审报告》
ST/ISMS-JL—057
三年
办公室
58
《信息资产调查表》
ST/ISMS-JL—058
长期
办公室
59
《重要信息资产清单》
26
《安装软件一览表》
ST/ISMS-JL—026
三年
办公室
27
《采购申请》
ST/ISMS-JL—027
三年
办公室
28
《验收记录》
ST/ISMS-JL—028
三年
办公室
29
《人工查杀病毒记录表》
ST/ISMS-JL—029
三年
软件开发部
30
《重要信息备份周期一览表》
ST/ISMS-JL—030
三年
软件开发部
ST/ISMS-JL—010
三年
办公室
11
《会议记录》
ST/ISMS-JL—011
三年
办公室
12
《不合格项分布表》
ST/ISMS-JL—012
三年
办公室
13
《信息安全风险评估报告》
ST/ISMS-JL—013
三年
办公室
14
《ISMS纠正/预防措施》
ST/ISMS-JL—014
三年
办公室
15
《ISMS管理评审计划》
办公室
75
76
77
ISO27001:2013信息安全法律法规控制一览表
24
中华人民共和国技术合同法
为了推动科学技术的发展,促进科学技术为社会主义现代化建设服务,保障技术合同当事人的合法权益,维护技术市场秩序,制定本法。
建立和实施《信息安全符合性管理程序》,规定保护著作权人合法权益的要求
行政部
25
关于电子专利申请的规定
为了规范与通过互联网以电子文件形式提出的专利申请(以下简称电子专利申请)有关的程序和要求,依照专利法实施细则第三条和第十六条第二款,制定本规定
行政部
31
中华人民共和国保守国家秘密法
规定了国家秘密的范围和密级、保密制度和法律责任。
建立和实施《商业秘密管理程序》,规定包括国家秘密在内的敏感信息的密级确定和保密要求。
行政部
32
中华人民共和国国家安全法
规定了公民和组织维护国家安全的义务和权利,要求任何个人和组织都不得非法持有属于国家秘密的文件、资料和其他物品。
21
计算机软件著作权登记收费项目和标准
为了加强软件产品管理,促进我国软件产业发展
建立和实施《信息安全符合性管理程序》,规定保护著作权人合法权益的要求
行政部
22
中国互联网络域名管理办法
为促进中国互联网络的健康发展,保障中国互联网络域名系统安全、可靠地运行,规范中国互联网络域名系统管理和域名注册服务,根据国家有关规定,参照国际上互联网络域名管理准则,制定本办法。
建立和实施《信息交换管理程序》和《网络安全管理程序》,防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施。
行政部
17
信息系统工程监理工程师资格管理办法
为了实施信息系统工程监理工程师资格的管理,依据《信息系统工程监理暂行规定》,制定本办法。
ISO27001:2013信息安全风险处理计划检查记录表
部门经理
2015-6-24
5
项目文档
各部门
员工盗取
易携带
控制
公司重要文件有相应人员保管,重要文件不随便放置在公共场合,放置加密文件柜、有门禁
各部门
部门经理
2015-6-24
6
所有人员
各部门
工作中断
离职或突发事件
控制
责任分离、合同约束、离职前培训新员工
所有部门
部门经理
2015-6-24
XX科技股份有限公司
信息安全管理体系
信息安全风险处理计划检查记录
(XX-D-01-06)
编 制:杨雪梅
批 准:钟永胜
2015年6月24日
序号
资产名称
责任部门
威胁
薄弱点
处理
方式
风险处理措施
措施责任部门
责任人
检查实施日期
1
公司各类数据
综合部
搬迁遗失或失窃
意外事件
控制
采用移动硬盘、服务器双备份、移动硬盘备份在工作场所外
综合部
刘文惠
2015-6-24
2
服务器
工程部
非授权者入侵
没有设定访问权限
控制
加密设屏保、设置混合口令
工程部
周贵川
2015-6-24
3
管理层电脑
总经办
疏忽或其他因素
不小心遗失
控制
设置混合复杂口令、外出时不携带重要数据、减少外带频次
总经办
钟永胜201Βιβλιοθήκη -6-244存储设备
各部门
病毒攻击
携带病毒
控制
减少使用频次、使用前杀毒扫描、携带机密数据的设备严禁在外部使用
ISO27001:2013数据恢复试验计划
数据恢复试验计划
(JL0302-02)
1. 目的:
对备份数据进行恢复试验,以验证数据的可用性。
2.试验数据:
服务器数据误操作丢失。
3.恢复试验日期:
2015年3月25日。
4.试验方法:
搭建试验服务器,读取备份服务器数据,恢复到试验服务器上,检查数据完整性。
编制:批准:年月日
数据恢复试验情况
序号步骤执行情况备注
1 搭建测试实验服务器。
服务器搭建成功
2 将移动硬盘上存储的备份数据存入搭建的试验
服务器上移动硬盘数据成功恢复到搭建的试验服器上
3 检查数据完整性按备份记录检查备份数
据,数据完整
4 删除试验服务器数据,格式化硬盘永久性删除备份数据试验结果:
本次测试成功,在搭建的试验服器上完整的恢复了备份数据。
试验人员:年月日。
ISO27001管理程序文件记录与部门关系表
管理程序名称涉及部门及角色相关文件[RC-IS-C-01]管理评审程序总经理、综合管理部《信息安全管理手册》《文件控制程序》《记录控制程序》[RC-IS-C-02]内部审核管理程序综合管理部、信息安全管理小组、其他各部门《信息安全管理手册》[RC-IS-C-03]纠正措施控制程序综合管理部、信息安全管理小组《信息安全管理手册》《文件控制程序》[RC-IS-C-04]预防措施控制程序综合管理部、信息安全管理小组《信息安全管理手册》《文件控制程序》[RC-IS-C-05]文件控制程序总经理、信息安全管理小组负责人、信息安全管理小组《信息安全管理手册》《信息安全适用性声明》《商业秘密管理程序》《信息安全法律法规管理程序》[RC-IS-C-06]记录控制程序安全管理小组《信息安全管理手册》《信息安全管理文件标识规范》《商业秘密管理程序》《重要信息备份管理程序》《信息安全记录分类与保存期限清单》[RC-IS-C-07]信息安全法律法规管理程序综合管理部、各部门《信息安全管理手册》《文件控制程序》[RC-IS-C-08]信息分类管理程序综合管理部《中华人民共和国保守国家秘密法》《信息安全管理手册》[RC-IS-C-09]信息安全风险管理程序信息安全管理小组、风险评估小组、各部门《信息安全管理手册》《商业秘密管理程序》[RC-IS-C-10]安全区域管理程序综合管理部、其他部门《信息安全管理手册》《安全区域管理程序》[RC-IS-C-11]信息安全事件管理程序技术服务部、各系统使用人员《信息安全管理手册》《信息安全奖惩管理程序》[RC-IS-C-12]信息安全沟通协调管理程序信息安全管理小组、其他部门《信息安全管理手册》《组织管理》《职责权限》《信息安全法律法规管理程序》[RC-IS-C-13]网络设备安全配置管理程序技术服务部《信息安全管理手册》《信息系统访问与使用监控管理程序》[RC-IS-C-14]信息处理设施安装使用管理程序综合管理部《信息安全管理手册》《产品开发管理规范》《项目开发管理规范》[RC-IS-C-15]信息处理设施维护管理程序综合管理部《信息安全管理手册》[RC-IS-C-16]用户访问管理程序综合管理部、技术服务部《信息安全管理手册》《口令策略》[RC-IS-C-17]第三方服务管理程序综合管理部、商务拓展部、其他相关部门《信息安全管理手册》《相关方信息安全管理程序》《安全区域管理程序》《信息系统访问与使用监控管理程序》[RC-IS-C-18]相关方信息安全管理程序综合管理部、各相关部门《安全区域管理程序》《物理访问策略》《用户访问管理程序》[RC-IS-C-19]业务持续性管理程序综合管理部、各相关部门《信息安全事件管理程序》[RC-IS-C-20]可移动介质管理程序综合管理部、可移动介质使用部门《信息安全管理手册》[RC-IS-C-21]商业秘密管理程序母公司、全体员工《中华人民共和国保守国家秘密法》《信息安全管理手册》《保密协议》《安全区域管理程序》《物理访问策略》《信息安全事件管理程序》[RC-IS-C-22]知识产权管理程序商务拓展部、各部门《商业秘密管理程序》[RC-IS-C-23]变更管理程序IT技术服务部、其它部门《信息安全管理手册》《变更管理安全策略》[RC-IS-C-25]恶意软件管理程序 IT技术服务部、其他各部门《信息安全管理手册》《重要信息备份管理程序》《计算机管理程序》[RC-IS-C-26]电子邮件管理程序 IT技术服务部、综合管理部《信息安全管理手册》《信息系统访问与使用监控管理程序》《电子邮件使用准则》[RC-IS-C-28]计算机管理程序IT技术服务部无[RC-IS-C-32]人事管理流程综合管理部[RC-IS-C-33]信息系统开发管理程序产品研发部、技术服务部《信息安全管理手册》《软件变更管理程序》《第三方服务管理程序》《恶意软件管理程序》《项目开发管理规范》《产品开发管理规范》[RC-IS-C-39]信息安全奖惩管理程序各部门、综合管理部、总经理办《员工行为规范》《信息安全管理手册》《信息安全事件管理程序》[RC-IS-C-41]信息系统访问与使用监控管理程序IT技术服务部《信息安全管理手册》《信息安全事件管理程序》[RC-IS-C-42]信息系统验收管理程序信息安全管理小组《信息安全管理手册》《软件开发管理程序》《变更管理程序》[RC-IS-C-44]重要信息备份管理程序 IT部、各部门《信息安全管理手册》《可移动介质管理程序》《信息处理设施维护管理程序》《信息备份安全策略》[RC-IS-C-50]办公环境维护管理规[RC-IS-C-51]固定资产管理办法[RC-IS-C-53]测试管理工作规范[RC-IS-C-54]机房管理规范技术服务部《设备管理规定》记录文件《管理评审计划》《信息安全管理体系运行情况报告》《管理评审通知单》《管理评审会议签到表》《管理评审会议记录》《管理评审报告》《年度内审计划》《内部审核计划》《内部审核方案》《审核组长(成员)任命书》《内部审核员评定表》《信息安全重要岗位评定表》《不符合项报告及纠正报告单分布表》《不符合项报告及纠正报告单》《内部审核报告》《内部审核报告发放记录》《不符合项报告及纠正报告单》《不符合项报告及纠正报告单分布表》《纠正与预防措施报告》《信息安全文件一览表》《文件发放/回收一览表》《文件修改通知单》《外来文件清单》《信息安全记录一览表》《记录借阅登记表》《记录销毁记录表》《信息安全法律法规及要求清单》《资产清单》《信息安全风险评估计划》《资产清单》(含《重要资产清单》)《信息安全风险评估表》(含《风险处理计划》)《信息安全风险评估报告》《剩余风险评估报告》《机房进出登记表》《员工外出登记》《应聘登记表》《外来人员登记表》《信息安全事件调查处理报告》《信息安全专家名单》无《采购计划书》《采购合同》《验收报告》《重要资产清单》《设施报废记录》《访问权限复核记录》《进出登记表》《第三方服务合同》《第三方服务保密协议》《知识产权声明书》《第三方变更报告》《相关方保密协议》《相关方一览表》(主要是供方一览表)《业务风险分析报告》《业务持续性管理计划》《演练报告以及改进》《可移动介质使用登记表》《可移动介质使用清单》《项目资料复印登记表》《项目资料借阅登记表》《涉密文件借阅/复印登记表》《变更跟踪表》《设施报废记录》《个人计算机日常检查表》《电子邮箱一览表》无《系统访问权限说明书》《重要信息备份周期一览表》《软件使用手册》《惩戒申报单》《奖励建议书》《日志审核记录》《用户手册》《验收报告》《测试报告》《缺陷记录》《重要信息备份周期一览表》《重要信息备份记录》。