ISO27001：2013物理访问管理程序

XXXXXXXXX有限责任公司信息安全管理体系程序文件编号：XXXX-B-01～XXXX-B-41（符合ISO/IEC 27001-2013标准）拟编：信息安全小组日期：2015年02月01日审核：管代日期：2015年02月01日批准：批准人名日期：2015年02月01日发放编号: 01受控状态：受控2015年2月1日发布2015年2月1日实施[XXXX-B-01]信息安全风险管理程序[XXXX-B-02]文件控制程序[XXXX-B-03]记录控制程序[XXXX-B-04]纠正措施控制程序[XXXX-B-05]预防措施控制程序[XXXX-B-06]内部审核管理程序[XXXX-B-07]管理评审程序[XXXX-B-08]监视和测量管理程序A6[XXXX-B-09]远程工作管理程序A7[XXXX-B-10]人力资源管理程序A8[XXXX-B-11]商业秘密管理程序A8[XXXX-B-12]信息分类管理程序A8[XXXX-B-13]计算机管理程序A8[XXXX-B-14]可移动介质管理程序A9[XXXX-B-15]用户访问管理程序A9[XXXX-B-16]信息系统访问与监控管理程序A9[XXXX-B-17]信息系统应用管理程序A10[XXXX-B-18]账号密码控制程序A11[XXXX-B-19]安全区域管理程序A12.1.2[XXXX-B-20]变更管理程序A12.1.3[XXXX-B-21]容量管理程序A12.2.1[XXXX-B-22]恶意软件管理程序A12.3[XXXX-B-23]重要信息备份管理程序A12.6[XXXX-B-24]技术薄弱点管理程序A13[XXXX-B-25]电子邮件管理程序A13[XXXX-B-27]信息安全沟通协调管理程序A13[XXXX-B-28]信息交换管理程序A14.2.9[XXXX-B-29]信息系统验收管理程序A14.2[XXXX-B-30]信息系统开发建设管理程序A14[XXXX-B-31]软件开发管理程序A14[XXXX-B-32]数据安全管理程序A14[XXXX-B-33]OA管理程序A15.2[XXXX-B-34]第三方服务管理程序A15[XXXX-B-35]供应商管理程序A15[XXXX-B-36]相关方信息安全管理程序A16[XXXX-B-37]信息安全事件管理程序A17.2[XXXX-B-38]信息处理设施管理程序A17[XXXX-B-39]业务持续性管理程序A18[XXXX-B-40]信息安全法律法规管理程序A18[XXXX-B-41]知识产权管理程序XXXXXXXXX有限责任公司知识产权管理程序[XXXX-B-41]V1.0知识产权管理程序变更履历1 目的通过对知识产权的流程管理，规范整个知识产权管理工作，保证知识产权管理工作的每个环节的合理性、有效性和流畅，为组织的知识产权保护与管理奠定基础。

最新ISO27001：2013信息安全管理体系一整套文件(手册+程序)1.信息安全管理手册2.信息安全管理程序文件XXXXXX技术服务有限公司版本：A/0受控状态：XXXXXX技术服务有限公司信息安全管理手册(依据GB/T22080-2016)编制：文件编写小组审批： XXX版本：A/0受控状态：受控文件编号：LHXR-ANSC-20182018年4月20日发布 2018年4月20日实施管理手册修改记录页：序号修改原因修改内容版本日期修改者审核者目录0.1 颁布令 (5)0.2 管理者代表任命书 (6)0.3关于成立管理体系工作小组的决定 (7)0.4 公司简介 (8)0.5 组织结构 (8)0.6 信息安全方针与目标 (9)1.0 信息安全方针 (9)2.0 信息安全目标 (9)1.0 范围 (9)1.1 总则 (9)1.2 适用范围 (10)1.3 删减说明 (10)2.0规范性引用文件 (10)3.0 术语与定义 (11)3.3计算机病毒 (11)3.15 相关方 (12)3.16本公司 (12)3.17管理体系 (12)4.0 组织环境 (12)4.1理解组织及其环境 (12)4.2利益相关方的需求和期望 (13)4.3确定信息安全管理体系范围 (13)4.4信息安全管理体系 (14)5.0 领导力 (14)5.1领导和承诺 (14)5.2方针 (15)5.3组织的角色、责任和权限 (15)6.0 规划 (18)6.1 应对风险和机会的措施 (18)6.2 信息安全目标及其实现规划 (20)7.0 支持 (20)7.1资源 (20)7.2能力 (21)7.3意识 (21)7.4沟通 (21)7.5文件化信息 (22)8.0 运行 (24)8.1运行规划和控制 (24)8.2信息安全风险评估 (25)8.3信息安全风险处置 (25)9.0 绩效评价 (25)9.1 监视、测量、分析和评价 (25)9.2 内部审核 (25)9.3 管理评审 (26)10.0 改进 (28)10.1不符合及纠正措施 (28)10.2 持续改进 (29)附1信息安全管理体系职责对照表 (30)0.1 颁布令为提高XXXXXX技术服务有限公司的信息安全管理水平，保障我公司业务活动的正常进行，防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失，我公司于2018年4月开展贯彻GB/T22080-2016《信息技术-安全技术-信息安全管理体系要求》国际标准工作，建立、实施和持续改进文件化的信息安全管理体系，制定了XXXXXX技术服务有限公司《信息安全管理手册》。

目录前言 (30 引言 (40.1 总则 (40.2 与其他管理系统标准的兼容性 (41. 范围 (52 规范性引用文件 (53 术语和定义 (54 组织景况 (54.1 了解组织及其景况 (54.2 了解相关利益方的需求和期望 (5 4.3 确立信息安全管理体系的范围 (64.4 信息安全管理体系 (65 领导 (65.1 领导和承诺 (65.2 方针 (65.3 组织的角色,职责和权限 (76. 计划 (76.1 应对风险和机遇的行为 (76.2 信息安全目标及达成目标的计划 (97 支持 (97.1 资源 (97.2 权限 (97.3 意识 (107.4 沟通 (107.5 记录信息 (108 操作 (118.1 操作的计划和控制措施 (118.2 信息安全风险评估 (118.3 信息安全风险处置 (119 性能评价 (129.1监测、测量、分析和评价 (129.2 内部审核 (129.3 管理评审 (1210 改进 (1310.1 不符合和纠正措施 (1310.2 持续改进 (14附录A(规范参考控制目标和控制措施 (15参考文献 (28前言0 引言0.1 总则本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。

采用信息安全管理体系是组织的一项战略性决策。

组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。

所有这些影响因素可能随时间发生变化。

信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并给相关方建立风险得到充分管理的信心。

重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制措施的设计中要考虑到信息安全。

信息安全管理体系的实施要与组织的需要相符合。

本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。

本标准中表述要求的顺序不反映各要求的重要性或实施顺序。

XXXXXX软件有限公司人性化科技提升业绩访问控制制度目录1. 目的和范围 (3)2. 引用文件 (3)3. 职责和权限 (3)4. 用户管理 (3)4.1. 用户注册 (3)4.2. 用户口令管理 (4)5. 权限管理 (4)5.1. 用户权限管理原则 (4)5.2. 用户访问权限设置步骤 (5)6. 操作系统访问控制 (5)6.1. 安全登录制度 (5)6.2. 会话超时与联机时间的限定 (5)7. 应用系统访问控制 (6)8. Internet访问控制 (7)9. 网络隔离 (7)10. 信息交流控制措施 (7)11. 远程访问管理 (8)10.1. 远程接入的用户认证 (8)10.2. 远程接入的审计 (9)12. 无线网络访问管理 (9)13. 笔记本使用及安全配置规定 (9)14. 外部人员使用笔记本的规定 (10)15. 实施策略 (10)16. 相关记录 (10)1.目的和范围通过控制用户权限正确管理用户，实现控制办公网系统和应用系统访问权限与访问权限的分配，防止对办公网系统和应用系统的非法访问，防止非法操作，保证生产系统的可用性、完整性、保密性，以及规范服务器的访问。

本访问控制制度适用于系统维护部以及其他拥有系统权限的管理部门。

2.引用文件1)下列文件中的条款通过本规定的引用而成为本规定的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

2)GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求3)GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则3.职责和权限各部门必须遵照本管理规范实行对用户、口令和权限的管理，用户必须按照本管理规范访问公司办公网系统和应用系统。

文件制修订记录1、适用适用于本公司的各种应用系统涉及到的逻辑访问的控制。

2、目的为对本公司各种应用系统的用户访问权限（包括特权用户及第三方用户）实施有效控制，杜绝非法访问，确保系统和信息的安全，特制定本程序。

3、职责3.1各系统的访问授权管理由管理运营部设置安全框架，由各部门主管视权限和业务情况进行分配、审批。

3.2各系统的访问授权实施部门负责访问控制的技术管理以及访问权限控制和实施。

3.3管理运营部负责向各部门通知人事变动情况。

4、程序4.1访问控制策略4.1.1公司内部可公开的信息不作特别限定，允许所有用户访问。

4.1.2公司内部部分不公开信息，经访问授权管理运营部认可，访问授权实施部门实施后用户方可访问。

4.1.3本公司限制使用无线网络，对连接到互联网和局域网的设备采用粘贴标签的方法清晰的标明设备的连接属性（根据敏感程度，可查表获得权限，如IP列表）4.1.4用户不得访问或尝试访问未经授权的网络、系统、文件和服务。

4.1.5相关部门主管填写《用户权限登记表》，确定访问规则后，由网络管理员开设访问帐号和设置访问权限。

4.1.6为确保含有敏感信息的系统不发生泄密事故，采取措施对敏感系统予以隔离。

采用最小权限、最少用户原则。

4.2用户访问管理4.2.1权限申请4.2.1.1授权流程部门申请——授权管理运营部审批——访问授权部门实施所有用户，包括第三方人员均需要履行访问授权手续。

申请部门根据日常管理工作的需要，确定需要访问的系统和访问权限，经过本部门经理同意后，向访问授权管理运营部提交《用户权限申请表》，经访问授权管理运营部审核批准后，将《用户权限申请表》交访问授权实施部门实施。

第三方人员的访问申请由负责接待的部门按照上述要求予以办理。

第三方人员一般不允许成为特权用户。

必要时，第三方人员需与访问接待部门签订《第三方保密协议》。

4.2.1.2《用户权限申请表》应对以下内容予以明确：A)权限申请人员；B)访问权限的级别和范围；C)申请理由；D)有效期。

修订日期：2019.12.18修订日期：2019.12.18信息安全风险评估管理程序1 适用本程序适用于本公司信息安全管理体系（ISMS）范围内信息安全风险评估活动。

2 目的本程序规定了本公司所采用的信息安全风险评估方法。

通过识别信息资产、风险等级评估，认知本公司的信息安全风险，在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，保持本公司业务持续性发展，以满足本公司信息安全管理方针的要求。

3 范围本程序适用于第一次完整的风险评估和定期的再评估。

在辨识资产时，本着尽量细化的原则进行，但在评估时我司又会把资产按照系统进行规划。

辨识与评估的重点是信息资产，不区分物理资产、软件和硬件。

4 职责4.1 成立风险评估小组办公室负责牵头成立风险评估小组。

4.2 策划与实施风险评估小组每年至少一次，或当体系、组织、业务、技术、环境等影响企业的重大事项发生变更、重大事故事件发生后，负责编制信息安全风险评估计划，确认评估结果，形成《信息安全风险评估报告》。

4.3 信息资产识别与风险评估活动各部门负责本部门使用或管理的信息资产的识别，并负责本部门所涉及的信息资产的具体安全控制工作。

4.3.1 各部门负责人负责本部门的信息资产识别。

4.3.2 办公室经理负责汇总、校对全公司的信息资产。

修订日期：2019.12.184.3.3 办公室负责风险评估的策划。

4.3.4 信息安全小组负责进行第一次评估与定期的再评估。

5 程序5.1 风险评估前准备5.1.1 办公室牵头成立风险评估小组，小组成员至少应该包含：信息安全管理体系负责部门的成员、信息安全重要责任部门的成员。

5.1.2风险评估小组制定信息安全风险评估计划，下发各部门内审员。

5.1.3必要时应对各部门内审员进行风险评估相关知识和表格填写的培训。

5.2 信息资产的识别5.2.1 本公司的资产范围包括：5.2.1.1信息资产1)数据文档资产：客户和公司数据，各种介质的信息文件包括纸质文件。

访问控制方针（版本号：V1.0）
更改控制页
目录
1目的 (1)
2范围 (1)
3术语定义 (1)
4内容 (1)
5相关文件 (2)
6相关记录 (2)
1目的
访问控制方针规定了逻辑访问与物理访问控制的基本原则和要求，对于访问控制所涉及的主体标识、鉴别、授权以及可追溯性的管理，都要遵守本方针。

2范围
本方针适用于公司内部以及第三方的所有访问过程。

3术语定义
访问控制：根据主体和客体之间的访问授权关系，控制访问的过程。

4内容
1)访问控制基本规则是：除明确允许执行情况外一般必须禁止；
2)访问控制必须遵照最小权限原则；
3)访问控制规则参照《信息资产管理规定》的要求；
4)对任何信息系统的访问都必须通过唯一的帐号来标识访问主体；
5)对任何信息系统的访问都必须经过对访问主体帐号合法性的鉴别方可使用
信息系统；
6)对任何信息系统的访问都必须经过授权，且权限分配有正式的记录；
7)对于重要信息系统的权限分配应该满足职责分离原则；
8)访问主体的访问权限应该具有时效性，当访问主体发生变化时应该及时更
改；
9)对重要服务器的访问权限的分配应该定期进行回顾和审查，确保访问主体
访问权限的合理性；
10)应该记录与访问操作相关的任何活动，并且要妥善保存日志记录，以备追
溯访问主体的访问行为。

具体访问控制操作参见《访问控制管理规定》。

5相关文件
《访问控制管理规定》
《信息资产管理规定》
6相关记录
无。