目录
一、 物理访问制度ISMS-3001 ................................. 1
1. 目的 ................................................. 1 2. 范围 ................................................. 1 3. 职责 ................................................. 1 4. 员工外出管理 ......................................... 1 5. 来宾出入管理规定 ..................................... 1 6. 相关记录无 ........................................... 2 二、 外部相关方信息安全管理规程ISMS-3002 ................... 2
1. 目的 ................................................. 2 2. 范围 ................................................. 2 3. 职责 ................................................. 2 4. 管理规定 ............................................. 2 三、 与政府相关资质申报及年审规定ISMS-3003 ................. 3
1. 目的: ................................................ 3 2. 职责: ................................................ 3 3. 技术部相关管理要求: .................................. 3 4. 相关资质申报年审管理要求 ............................. 3 四、 信息系统容量规划及验收管理制度ISMS-3004 ............... 4
1. 目的 ................................................. 4 2. 范围 ................................................. 4 3. 职责 ................................................. 4 4. 内容 ................................................. 4 五、 信息资产密级管理规定ISMS-3005 ......................... 4
1. 目的 ................................................. 5 2. 范围 ................................................. 5 3. 保密信息定义 ......................................... 5 4. 秘密等级区分 ......................................... 5 5. 信息的分类 ........................................... 5
I
6. 保密文件的标识 ....................................... 5 7. 传送 ................................................. 6 8. 其它 ................................................. 6 六、 信息系统设备管理规定ISMS-3006 ......................... 6
1. 目的和范围 ........................................... 7 2. 引用文件 ............................................. 7 3. 职责 ................................................. 7 4. 设备管理流程 ......................................... 7 5. 实施策略 ............................................ 10 6. 相关记录 ............................................ 10 七、 机房管理规定ISMS-3007 ................................ 10
1. 目的和范围 .......................................... 10 2. 引用文件 ............................................ 11 3. 职责和权限 .......................................... 11 4. 机房出入制度 ........................................ 11 5. 机房环境管理 ........................................ 11 6. 机房设备管理 ........................................ 12 7. 相关记录 ............................................ 12 八、 笔记本电脑管理规定ISMS-3008 .......................... 13
1. 目的 ................................................ 13 2. 引用文件 ............................................ 13 3. 职责和权限 .......................................... 13 4. 笔记本电脑使用规定 .................................. 13 5. 安全配置规定 ........................................ 14 6. 外部人员使用笔记本的规定 ............................ 14 7. 客户现场管理规定 .................................... 15 8. 实施策略 ............................................ 15 9. 相关记录 ............................................ 15 九、 介质管理规定ISMS-3009 ................................ 15
1. 目的和范围 .......................................... 15 2. 引用文件 ............................................ 15
II
3. 职责和权限 .......................................... 16 4. 介质管理 ............................................ 16 5. 实施策略 ............................................ 18 6. 相关记录 ............................................ 18 十、 变更管理规定ISMS-3010 ................................ 18
1. 目的 ................................................ 18 2. 引用文件 ............................................ 18 3. 职责和权限 .......................................... 19 4. 变更步骤管理 ........................................ 19 5. 程序 ................................................ 19 十一、 第三方服务管理规定ISMS-3011 ........................ 21
1. 目的和范围 .......................................... 21 2. 引用文件 ............................................ 21 3. 职责和权限 .......................................... 21 4. 第三方服务管理规定 .................................. 21 5. 实施策略 ............................................ 22 十二、 数据备份管理规定ISMS-3012 .......................... 23
1. 目的和范围 .......................................... 23 2. 引用文件 ............................................ 23 3. 职责和权限 .......................................... 23 4. 备份管理 ............................................ 23 5. 备份的验证 .......................................... 24 十三、 邮件管理规定ISMS-3013 .............................. 25
1. 目的和范围 .......................................... 25 2. 引用文件 ............................................ 25 3. 职责和权限 .......................................... 25 4. 电子邮件的帐户管理 .................................. 25 5. 电子邮件使用规定 .................................... 26 6. 邮件使用规定 ........................................ 26 7. 实施策略 ............................................ 27 8. 相关记录 ............................................ 27
III
十四、 软件管理规定ISMS-3014 .............................. 27
1. 目的和范围 .......................................... 27 2. 引用文件 ............................................ 27 3. 职责与权限 .......................................... 27 4. 软件管理 ............................................ 28 5. 审核、批准、发布 .................................... 28 6. 软件归档和存放 ...................................... 28 7. 软件使用 ............................................ 29 8. 修订与升级 .......................................... 29 9. 软件作废 ............................................ 29 10. 实施策略 ........................................... 29 11. 相关记录 ........................................... 30 十五、 系统监控管理规定ISMS-3015 .......................... 30
1. 目的 ................................................ 30 2. 引用文件 ............................................ 30 3. 职责 ................................................ 30 4. 系统监控管理 ........................................ 30 十六、 补丁管理规定ISMS-3016 .............................. 31
1. 目的 ................................................ 31 2. 引用文件 ............................................ 31 3. 职责与权限 .......................................... 31 4. 补丁管理规定 ........................................ 31 5. 其他补丁: .......................................... 32 6. 实施策略 ............................................ 32 7. 相关记录 ............................................ 33 十七、 信息系统审核规范ISMS-3017 .......................... 33
1. 目的和范围 .......................................... 33 2. 术语和定义 .......................................... 33 3. 引用文件 ............................................ 33 4. 职责和权限 .......................................... 34 5. 活动描述 ............................................ 34
IV
6. 审核注意事项: ...................................... 35 十八、 基础设施及服务器网络管理制度ISMS-3018 .............. 35
1. 机房安全管理程序 .................................... 35 2. 重要信息备份管理程序 ................................ 38 3. 目的 ................................................ 39 4. 机房设备维护管理制度 ................................ 41 十九、 信息系统安全应急预案ISMS-3019 ...................... 42
1. 电力系统故障的应急处理 .............................. 42 2. 消防系统应急处理 .................................... 42 3. 网络信息系统故障的应急处理 .......................... 43 4. 网站与应用系统应急处理 .............................. 43 5. 黑客入侵的应急处理 .................................. 44 6. 大规模病毒(含恶意软件)攻击的应急处理 .............. 44 二十、 终端计算机使用管理制度ISMS-3020 .................... 45
1. 计算机使用管理 ...................................... 45 2. 存储介质的管理 ...................................... 47 3. 办公软件使用管理规定 ................................ 48 二十一、 信息安全管理规范和操作指南ISMS-3021 .............. 51
1. 总则 ................................................ 51 2. 物理安全 ............................................ 52 3. 计算机的物理安全管理 ................................ 52 4. 紧急情况 ............................................ 52 5. 网络系统安全管理 .................................... 52 6. 网络安全检测。 ...................................... 53 7. 信息系统安全管理 .................................... 53 8. 信息系统的内部管理 .................................. 54 9. 密码管理 ............................................ 55
V
网络信息安全管理制度
