ISMS文件和资料管理程序(含表格)

精品文档，值得拥有1 / 1《ISMS 方针、手册、程序文件模板》 1 信息安全管理手册 2 信息安全适用性声明 3 信息安全管理体系程序文件 3.01文件管理程序 3.02记录管理程序 3.03纠正措施管理程序 3.04预防措施控制程序 3.05信息安全沟通协调管理程序 3.06管理评审程序 3.07相关方信息安全管理程序 3.08信息安全风险管理程序 3.09信息处理设施安装使用管理程序 3.10计算机管理程序 3.11电子邮件管理程序 3.12信息分类管理程序 3.13商业秘密管理程序 3.14员工聘用管理程序 3.15员工培训管理程序 3.16信息安全奖惩管理程序 3.17员工离职管理程序 3.18物理访问管理程序 3.19信息处理设施维护管理程序 3.20信息系统变更管理程序 3.21第三方服务管理程序 3.22信息系统接收管理程序 3.23恶意软件管理程序 3.24数据备份管理程序 3.25网络设备安全配置管理程序 3.26可移动介质管理程序 3.27介质处置管理程序 3.28信息系统监控管理程序 3.29用户访问管理程序 3.30远程工作管理程序 3.31信息系统开发管理程序 3.32数据加密管理程序 3.33信息安全事件管理程序 3.34业务持续性管理程序 3.35信息安全法律法规管理程序 3.36内部审核管理程序 4 信息安全管理体系作业文件 4.01员工保密守则 4.02员工保密协议管理制度 4.03Token 管理规定 4.04产品运输保密管理规定 4.05介质销毁办法 4.06信息中心机房管理制度 4.07信息中心信息安全处罚规定 4.08信息中心密码管理规定 4.09档案室信息销毁制度 4.10电子数据归档管理规定 4.11生产系统机房管理规定 4.12机房安全管理规定 4.13计算机应用管理岗位工作标准 4.14信息开发岗位工作标准 4.15系统分析员岗位工作标准 4.16各部门微机专责人工作标准 4.17网络通信岗位工作标准 4.18监视系统管理规定 4.19数据加密管理规定 4.20涉密计算机管理规定 4.21电子邮件使用准则 4.22互联网使用准则 4.23档案室信息安全职责 4.24市场部信息安全岗位职责规定 4.25复印室管理规定 4.26机房技术资料管理制度 4.27市场部计算机机房管理规定 4.28信息安全记录的分类和保存期限 4.29信息安全事件分类规定 4.30保安业务管理规定 4.31计算机硬件管理维护规定 4.32网站信息发布管理规定 4.33工具及备品备件管理制度 4.34财务管理系统访问权限说明 4.35信息安全管理程序文件编写格式 5 信息安全策略文件 5.01信息资源保密策略 5.02信息资源使用策略 5.03安全培训策略 5.04第三方访问策略 5.05物理访问策略 5.06变更管理安全策略 5.07病毒防范策略 5.08可移动代码防范策略 5.09备份安全策略 5.10信息交换策略 5.11信息安全监控策略 5.12访问控制策略 5.13帐号管理策略 5.14特权访问管理策略 5.15口令策略 5.16清洁桌面和清屏策略 5.17网络访问策略 5.18便携式计算机安全策略 5.19远程工作策略 5.20网络配置安全策略 5.21服务器加强策略 5.22互联网使用策略 5.23系统开发策略 5.24入侵检测策略 5.25软件注册策略 5.26事件管理策略 5.27电子邮件策略 5.28加密控制策略 6 信息安全管理体系记录 6.01信息安全风险评估计划 6.02信息安全风险评估报告 6.03信息安全风险处理计划 6.04信息安全内部专家名单 6.05信息安全外部顾问名单 6.06信息安全法律、法规清单 6.07信息安全法律法规符合性评估表 6.08信息安全法律法规要求清单 6.09信息安全法律法规实施控制一览表 6.10相关方一览表 6.11信息安全薄弱点报告 6.12信息安全文件审批表 6.13信息安全文件一览表 6.14文件修改通知单 6.15文件借阅登记表 6.16文件发放回收登记表 6.17文件销毁记录表 6.18信息安全记录一览表 6.19记录借阅登记表 6.20记录销毁记录表 6.21信息安全重要岗位一览表 6.22信息安全重要岗位员工一览表 6.23信息安全重要岗位评定表 6.24员工年度培训计划 6.25信息安全培训计划 6.26员工离职审批表 6.27第三方服务提供商清单 6.28第三方服务风险评估表 6.29第三方保护能力核查计划 6.30第三方保护能力核查表 6.31信息设备转移单 6.32信息设备转交使用记录 6.33信息资产识别表 6.34计算机设备配置说明书 6.35计算机配备一览表 6.36涉密计算机设备审批表 6.37涉密计算机安全保密责任书 6.38信息设备（设施）软件采购申请 6.39信息处理设施使用情况检查表 6.40应用软件测试报告 6.41外部网络访问授权登记表 6.42软件一览表 6.43应用软件开发任务书 6.44敏感重要信息媒体处置申请表 6.45涉密文件复印登记表 6.46文章保密审查单 6.47对外提交涉密信息审批表 6.48机房值班日志 6.49机房人员出入登记表 6.50机房物品出入登记表 6.51时钟校准记录 6.52用户设备使用申请单 6.53用户访问授权登记表a 6.54用户访问授权登记表 b 6.55用户访问权限评审记录 6.56远程工作申请表 6.57远程工作登记表 6.58电子邮箱申请表 6.59电子邮箱一览表 6.60电子邮箱使用情况检查表 6.61生产经营持续性管理战略计划 6.62生产经营持续性管理计划 6.63生产经营持续性计划测试报告 6.64生产经营持续性计划评审报告 6.65私人信息设备使用申请单 6.66计算机信息网络系统容量规划 6.67软件安装升级申请表 6.68监控活动评审报告 6.69信息安全故障处理记录 6.70系统测试计划 6.71网络打印机清单 6.72设备处置再利用记录 6.73设施系统更改报告 6.74软件设计开发方案 6.75软件设计开发计划 6.76软件验收报告 6.77重要信息备份周期一览表 6.78操作系统更改技术评审报告 6.79事故调查分析及处理报告 6.80上级单位领导来访登记表 6.81第三方物理访问申请授权表 6.82第三方逻辑访问申请授权表 6.83重要安全区域访问审批表 6.84重要安全区域控制一览表 6.85重要安全区域检查表 6.86人工查杀病毒记录表。

一级文件为纲领性文件，是描述组织的ISMS的整体要求、目标和架构的控制性、基础性文件。

二级文件为程序、规定性文件。

程序文件描述管理体系各个过程及涉及到的部门活动，明确过程的输入、输出及相互作用；规定性文件描述各个部门的管理标准，包括信息安全管理体系设计安全域的各项规定。

三级文件为指南及作业文件，包括编写、操作、管理指南、使用手册和技术规范等。

企业的工作标准和技术标准可纳入本层次。

四级文件为相关记录和流程图。

管理体系文件性质与要求见表。

3. 2.1 文件清单
文件清单。

四级文件目录模板【《ISMS方针、手册、程序文件模版》目录】《ISMS方针、手册、程序文件模版》目录1信息安全管理体系手册2信息安全管理体系程序文件2.1ISMS-业务持续性管理程序2.2ISMS-事故、薄弱点与故障管理程序2.3ISMS-企业商业技术秘密管理程序2.4ISMS-信息处理设施引进实施管理程序2.5ISMS-信息处理设施维护管理程序2.6ISMS-信息安全人员考察与保密管理程序2.7ISMS-信息安全奖励、惩戒管理规定2.8ISMS-信息安全适用性声明2.9ISMS-信息安全风险评估管理程序2.10ISMS-内部审核管理程序2.11ISMS-恶意软件控制程序2.12ISMS-更改控制程序2.13ISMS-物理访问程序2.14ISMS-用户访问控制程序2.15ISMS-管理评审控制程序2.16ISMS-系统开发与维护控制程序2.17ISMS-系统访问与使用监控管理程序2.18ISMS-计算机应用管理岗位工作标准2.19ISMS-计算机管理程序2.20ISMS-记录控制程序2.21ISMS-重要信息备份管理程序2.22ISMS-预防措施程序3信息安全管理体系作业文件3.1T oken管理规定3.2产品运输保密方法管理规定3.3介质销毁办法3.4保安业务管理规定3.5信息中心主机房管理制度3.6信息中心信息安全处罚规定3.7信息中心密码管理规定3.8信息安全人员考察与保密管理程序3.9信息开发岗位工作标准3.10信息系统访问权限说明3.11信息销毁制度(档案室）3.12可移动媒体使用与处置管理规定3.13各部门微机专责人工作标准3.14复印室管理规定3.15工程师室和电子间管理规定3.16数据加密管理规定3.17文件审批表3.18机房安全管理规定3.19档案室信息安全职责3.20法律法规与符合性评估程序3.21生产经营持续性管理战略计划3.22监视系统管理规定3.23系统分析员岗位工作标准3.24经营部信息事故处理规定3.25经营部信息安全岗位职责规定3.26经营部计算机机房管理规定3.27经营部访问权限说明3.28网站信息发布管理程序3.29网络中间设备安全配置管理规定3.30网络通信岗位工作标准3.31计算机硬件管理维护规定3.32财务管理系统访问权限说明3.33远程工作控制程序4常见信息安全管理体系记录\上级单位领导来访登记表4.1事故调查分析及处理报告4.2信息发布审查表4.3信息处理设施使用情况检查表4.4信息安全内部顾问名单4.5信息安全外部专家名单4.6信息安全故障处理记录4.7信息安全法律、法规清单4.8信息安全法律、法规符合性评价报告4.9信息安全薄弱点报告4.10信息安全记录一览表4.11信息安全重要岗位评定表4.12信息设备转交使用记录4.13信息设备转移单4.14信息设备（设施）软件采购申请4.15信息资产识别表4.16内部员工访问特别安全区域审批表4.17外部网络访问授权登记表4.18应用软件开发任务书4.19应用软件测试报告4.20操作系统更改技术评审报告4.21敏感重要信息媒体处置申请表4.22文件修改通知单4.23文件借阅登记表4.24文件发放回收登记表4.25文件销毁记录表4.26时钟校准记录4.27机房值班日志4.28机房出入登记表4.29生产经营持续性管理战略计划4.30生产经营持续性管理计划4.31生产经营持续性计划测试报告4.32生产经营持续性计划评审报告4.33用户设备使用申请单4.34用户访问授权登记表a4.35用户访问授权登记表b4.36监控活动评审报告4.37私人信息设备使用申请单4.38第三方访问申请授权表a 4.39第三方访问申请授权表b 4.40系统测试计划4.41网络打印机清单4.42计算机信息网络系统容量规划4.43记录借阅登记表4.44记录销毁记录表4.45设备处置再利用记录4.46设施系统更改报告4.47访问权限评审记录4.48软件安装升级申请表4.49软件设计开发方案4.50软件设计开发计划4.51软件验收报告4.52远程工作申请表4.53重要信息备份周期一览表5典型信息安全策略集锦5.1安全监控策略5.2安全培训策略5.3备份安全策略5.4便携式计算机安全策略5.5病毒检测策略5.6电子邮件策略5.7服务器加强策略5.8更改管理安策略5.9互联网使用策略5.10口令策略5.11卖方访问策略5.12入侵检测策略5.13软件注册策略5.14事故管理策略5.15特权访问管理策略5.16网络访问策略5.17网络配置安全策略5.18物理访问策略5.19系统开发策略5.20信息资源保密策略5.21信息资源使用策略5.22帐号管理策略。

ISMS信息安全管理体系文件(全面)4第2页2.2 术语和定义下列文件中的条款通过本《ISMS信息安全管理体系文件》的引用而成为本《ISMS信息安全管理体系文件》的条款。

凡是注日期的引用文件，其随后所有的修改单或修订版均不适用于本体系文件，然而，信息安全管理委员会应研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件、其最新版本适用于本信息安全管理手册。

ISO/IEC 27001，信息技术-安全技术-信息安全管理体系-概述和词汇2.3引用文件ISO/IEC 27001中的术语和定义适用于本手册。

本公司：上海海湃计算机科技有限公司信息系统：指由计算机及其相关的和配套的设备、设施（含网络）构成的，且按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

计算机病毒：指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

信息安全事件：指导致信息系统不能提供正常服务或服务质量下降的技术故障事件、利用信息系统从事的反动有害信息和涉密信息的传播事件、利用网络所从事的对信息系统的破坏窃密事件。

相关方：关注本公司信息安全或与本公司信息安全绩效有利益关系的组织个人。

主要为：政府、上级部门、供方、用户等。

2.3.1组织环境，理解组织及其环境本公司在系统开发、经营、服务和日常管理活动中，确定与其目标相关并影响其实现信息安全管理体系预期结果的能力的外部和内部问题。

2.3.2 理解相关方的需求和期望组织应确定：1）与信息安全管理体系有关的相关方2）这些相关方与信息安全有关的要求。

2.3.3 确定信息安全管理体系的范围本公司应确定信息安全管理体系的边界和适用性，本公司信息安全管理体系的范围包括：1）本公司的认证范围为：防伪票据的设计、开发所涉及的相关人员、部门和场所的信息安全管理活动。

2）与所述信息系统有关的活动3）与所述信息系统有关的部门和所有员工；4）所述活动、系统及支持性系统包含的全部信息资产。

ISMS人力资源管理程序1 目的为避免和降低因人力资源的安全给公司带来的信息安全风险，在涉及公司重要信息和信息系统的岗位任用上提出要求2 适用范围适用于公司涉及重要信息和信息系统的岗位任用前、任用中和任用后的所有活动和过程。

3 术语和定义4 职责和权限人力产资源部负责员工的招聘、调配和管理；并按照本文件的要求执行，对人力资源安全事项进行监督检查。

各部门对员工在信息安全方面提出需求；5 相关活动5.1 任用之前人力资源部根据岗位设置和工作要求，以及信息安全职责，形成文件，详细内容见《岗位职责说明书》(含信息安全职责和要求)，并将这些职责在任用前明确的传达给相应岗位人员。

各部门根据工作岗位需求，提出招聘相关信息，特别是信息安全方面的需求要提出明确要求；根据公司的招聘策略和流程，对拟招聘人员进行背景和相关资料审查，包括个人履历、教育和专业资质、个人身份、个人品质等方面。

对从事的岗位将涉及机密和内部级信息的人员，在签订劳动合同或相关协议时，应有信息安全方面的相应条款，或单独签订信息保密相关方面的合同。

5.2 任用中人力资源部代表公司要求和监督相关岗位人员执行公司 ISMS 方针、策略和各种规定。

制定信息安全意识、教育和培训计划，对相关岗位人员进行信息安全的意识教育和技能培训，确保其具备履行信息安全职责的意识和能力。

在公司的奖惩制度中，对出色履行其信息安全职责、有效保障公司信息安全的人员给予奖励，对违反公司信息安全规定、带来信息安全风险的人员给予惩罚。

5.3 岗位变化或任用终止5.3.1 岗位变化因工作需要，由各部门或本人提出，经人力资源部审核，可以对岗位进行调整。

对涉及机密级信息的人员岗位调整，需报公司管理层批准后方可实施。

岗位变动时，必须通知网络管理部门和门禁管理部门，在岗位变动之日，变更相应的网络访问权限和门禁权限。

并做好相应的检查和记录。

5.3.2 任用终止由于个人原因或其他原因，任用终止的，将按下列流程办理相关手续：●填写员工岗位变动/离职联络表●部门工作交接●行政交接●商务交接●财务交接●人事交接由人事部门通知网络管理部门，注销该员工的相关的系统、网络、内部邮箱等访问权限，确保公司的信息安全。

ISMS-01-02文件控制程序变更履历目录1.目的确保生产经营全过程的有效策划、运行和控制所需的文件、资料（包括外来文件）受控，对质量、环境、安全管理体系（以下简称综合管理体系）运行有关的文件、资料进行有效控制。

2.范围适用于综合管理体系运行有关的文件、资料，包括外来文件，如法律法规、技术标准、相关提供的文件、规章制度等。

3. 职责3.1信息安全工作小组是综合管理手册、程序文件的归口管理部门；负责手册、程序文件的编制，环境、安全管理体系覆盖的程序文件及有关的法律法规及其它要求的收集、更新。

3.2技术部是技术文件及外来技术文件的归口管理部门；负责产品标准的获取、更新、贯彻执行；技术文件的发放、回收、保留、并做好相关记录。

3.4 行政部门负责外来行政类及政策类文件的收集及公司外部公文的发放工作，负责外来文件的收集、发放、保存，并做好相关记录。

3.5规定了信息安全管理手册、策略文件、方针目标文件由信息安全小组以及有关部门共同编写,总经理审批、发布。

3.6程序文件和各类三层文件由相关责任部门编写,各部门领导参与审核，管理者代表批准、发布4. 工作程序4.1文件分类4.1.1文件分为：管理文件、技术文件、外来文件管理文件分为：手册、程序文件、管理制度（包括管理制度及管理标准）、记录表单等。

4.1.2 外来文件1）国家、行业、地方颁发的适用的法律法规、政策等文件；2）有关标准（如产品标准，国际标准等）、国家和行业技术标准、产品图样和规范；3）顾客提供的知识产权保护（如图样、规范等）；4.2 文件的编制和收集1）手册、程序文件由体系中心负责编制、更改，各部门协助。

按文件编码规定编号。

2) 管理制度、管理标准由归口部门编制，部门主管审核，有关责任部门会签后报体系中心编号、标准化检查后，报归口负责人批准。

3) 技术类文件由相关业务部门编写并按编号规则编号，部门负责人审核，部门主管副总经理批准，各部门负责将文件相关信息登记到部门【受控文件清单】中。

XXX有限公司信息安全事件管理程序修订记录目录1文档介绍 (3)1.1编写目的 (3)1.2适用范围 (3)2术语定义 (3)3角色及职责 (4)4信息安全管理流程 (4)4.1方针 (4)4.2概述 (5)4.3资产识别 (5)4.4信息安全管理策略 (5)4.4.1ISMS体系策划 (6)4.4.2风险识别 (7)4.4.3风险评估 (8)4.4.4超过风险可接受风险的处置 (10)4.4.5定期评估 (11)4.5信息安全事件 (11)4.5.1信息安全事件分析 (11)4.6体系文档编写 (11)4.7审计 (12)4.8报告 (12)4.9可能存在风险与控制 (12)5指标 (13)6相关政策 (13)7参考 (14)1文档介绍1.1编写目的本文件定义了青岛宇科软件有限公司IT服务团队及其客户的IT运维环境信息安全管理规范，信息安全管理体系的策划、风险评估、体系文件编写、体系建立完成后的运转和执行、持续改进、审计、报告、培训流程。

规定青岛宇科软件有限公司IT服务团队活动中，对客户关键应用所关联的资产进行风险等级评估、确定信息安全威胁源，并采取相应的控制措施的方法，以保证青岛宇科软件有限公司IT服务团队及所运维客户的IT环境信息资产的安全, 降低安全风险, 保证信息技术服务业务的连续性, 提高信息技术服务质量。

1.2适用范围本文档适用于青岛宇科软件有限公司IT服务团队对所有运维服务对象；用于进行资产的识别与风险评估的管理。

包括但不限于：●服务器●存储●网络系统●系统软件2术语定义3角色及职责4信息安全管理流程4.1方针风险分析和风险评价：识别资产（保密性（C）、完整性（I）、可用性（A））、威胁、脆弱性，风险的影响和可能性。

在风险评估方法中，公司的风险方针为：接受处于可接受级别之下的风险，对于超出可接受级别的风险，在满足适当的法律法规要求以及合同要求的情况下，如果降低风险所付出的成本大于风险所造成的损失，则选择接受。

ISMS内审管理程序（ISO27001-2013）一、目的范围通过验证信息安全管理体系是否符合标准和策划安排的要求，是否得到有效的保持、实施，确保管理体系的方针目标实现并持续改进。

二、职责1、管理者代表负责批准内审计划、内审报告，并负责组织审核工作，任命审核组长。

2、内审组长编制内审计划，并负责审核的具体实施以及报告内审结果。

3、各单位负责配合内部审核的实施，并对审核不符合情况进行整改。

三、工作程序1、内审策划1）根据公司信息安全的实际运行状况，并根据审核对象重要程度、结合以往审核的结果，整体策划管理体系内部审核的方案。

2）根据需要，审核可覆盖体系全部要求和单位，也可以专门针对某几项要求或单位进行重点审核，各单位也可根据各自的实际情况，分别组织审核。

3）公司每年至少组织一次内审，每年的审核必须覆盖管理体系的全部单位和全部要求至少一次。

4）出现以下情况时由管理者代表决定是否增加审核次数：●组织机构、管理体系发生重大变化。

●出现重大信息安全事故。

●法律、法规及其他外部要求的变更。

●其他认为必要时。

2、审核前的准备1）管理者代表负责组成审核组、任命内审组长。

内审组长负责具体策划审核安排，并编制《审核计划》，报管理者代表批准。

实施计划应明确：●审核目的、范围、时间、依据。

●审核组成员及分工安排，审核员应与受审部门无直接责任关系。

●受审核部门及审核要点，预定时间安排。

●审核中的注意事项。

2）组长应组织审核组编写《内审检查表》，明确审核的内容、方法。

3）《审核计划》应于内审开始前发放至受审部门，受审部门对内审安排如有异议，应及时通知内审组长。

4）内部审核员应经专业机构培训合格，经管理者代表批准资格。

3、内审的实施1）内审开始，应由内审组长主持召开首次会议，领导层、内审组成员及各受审核单位负责人参加并签到。

2）内审组应按照《审核计划》的安排实施内审。

审核员应根据《内审检查表》的要求，对受审单位、区域和工作的状况及绩效进行调查取证，以评价受审核部门和区域的体系运行的符合性、充分性和有效性。

信息安全风险评估程序版本记录批准人（签名）：日期:文件控制程序1.目的本程序规定了对受控文件的编制、审批、发放、更改、废除等控制措施，确保信息安全管理体系运行的各个环节中使用的文件保持有效性。

2.适用范围2.1.公司范围内所有的信息安全管理体系及相关外来文件。

2.2.职责✓管理者代表：负责信息安全方针、信息安全手册和程序文件的审批，包括修改的审批。

✓信息技术部：负责信息安全方针、信息安全管理手册以及公司级程序文件的编写。

负责组织对信息安全管理体系文件的评审，并提出文件评审意见；负责信息安全管理体系文件的发放、旧版文件的回收以及外来文件的登记；负责信息安全管理体系外来文件的收集、保存、发放和回收等。

✓各部门：负责与本部门相关的信息安全管理体系文件、记录的编写、修改和使用；负责与本部门相关的信息安全管理体系外来文件的收集和管理。

3.术语和定义信息安全体系文件：公司所有正式发放的信息安全管理相关文件均为信息安全管理体系文件，受控状态分为受控和非受控。

外来文件：信息安全管理体系标准，信息安全管理体系相关的法律法规等，均称为外来文件。

4.相关/支持性文件•《信息安全管理体系手册》•《信息密级分类及管理规范》•《记录控制程序》5.6.程序内容7.流程说明7.1.文件的范围和分类7.1.1.受控文件范围：•信息安全手册（包括信息安全方针、信息安全目标）适用性声明（SOA）、策略；•标准所要求的程序文件；•工作指导书（指南）；•外来文件；•记录格式。

7.1.2.文件层次•第一层：信息安全手册（包括信息安全方针、信息安全目标）、适用性声明（SOA）、策略；•第二层：程序文件；•第三层：工作指导书（指南）；•第四层：记录。

7.2.文件的编号完整的文件编号格式如下：文件名称文件层次部门代码ISMS–XX–Lx – XXXX体系代码✓文件命名实例：ISMS-L2-HR-员工离职程序表示人力资源部发放的员工离职程序（2级文件）。

深圳市ABC有限公司用户访问管理程序编号：SMS-B-29版本号：V1.0编制：AAA 日期：2023-11-01 审核：BBB 日期：2023-11-01 批准：CCC 日期：2023-11-01受控状态1 目的为对本组织各种应用系统的用户访问权限（包括特权用户及相关方用户)实施有效控制，杜绝非法访问，确保系统和信息的安全，特制定本程序。

2 范围本程序适用于本组织的各种应用系统涉及到的逻辑访问的管理。

3 职责3.1 管理者代表负责访问权限的申请、审批。

3.2综合管理部负责向各部门通知人事变动情况。

负责外来人员物理访问控制。

综合管理部网络管理员负责访问控制的技术管理以及访问权限控制和实施。

4 相关文件《信息安全管理手册》《口令控制策略》5 程序5.1 访问控制策略组织内的信息根据敏感等级，分别向不同职位的员工公开。

a)组织的宣传文件、制度、培训材料、参考文献可向全体员工公开；b)人事信息只向综合管理部公开；c)财务信息只向财务部公开；d)业务信息只在相关业务人员间公开。

IT人员根据不同类别的信息，设置其访问权限。

用户不得访问或尝试访问未经授权的网络、系统、文件和服务。

各系统信息安全管理小组应编制《系统访问权限说明书》，明确规定访问规则。

5.2 用户访问管理5.2.1 权限申请所有用户，包括相关方人员均需要履行访问授权手续。

申请部门根据业务、管理工作的需要，确定需要访问的系统和访问权限，经过本部门经理同意后，向信息安全管理小组提交《用户访问授权申请表》，信息安全管理小组在《用户访问授权登记表》上登记。

《用户访问授权申请表》应对以下内容予以明确:a)权限申请人员；b)访问权限的级别和范围；c)申请理由；d)有效期。

经信息安全管理小组审核批准后，将《用户访问授权申请表》交综合管理部，综合管理部网络管理员实施授权。

相关方和第三方服务人员的访问申请由负责接待的部门按照上述要求予以办理。

但相关方和第三方服务人员一般不允许成为特权用户。