数据仓库信息安全管理体系说明

供给商的信息平安管理体系说明信息平安管理手册之信息平安管理方针和策略

1.1范围公司依据IS0/IEC27001:2013信息平安管理体系标准的要求编制《信息平安管理手册》，并包括了风险评估及处置的要求规定了公司的信息平安方针及管理目标，引用了信息平安管理体系的内容标准性引用文件以下参考文件的局部或整体在本文档中属于标准化引用，对于本文件的应用必不可少但凡注日期的引用文件，只有引用的版本适用于本标准；但凡不注日期的引用文件，其最新版本（包括任何修改）适用于本标准ISO/IEC27000,信息技术一一平安技术一一信息平安管理体系一一概述和词汇术语和定义

1.

1.1ISO/IEC27000中的术语和定义适用于本文件公司环境

1.

1.1公司确定与公司业务目标相关并影响实现信息平安管理体系预期结果的能力的外部和内部问题，需考虑明确外部状况/社会、文化、政治、法律法规、金融、技术、经济、自然和竞争环境，无论国际、国内、区域，还是本地的；,影响组织目标的主要动力和趋势;信息平安管理小组成员负责完成信息平安管理体系运行时必须的任务;对信息平安管理体系的运行情况和必要的改善措施向信息平安最高责任者报告各部门负责人作为本部门信息平安的主要责任人，信息平安内审员负责指导和监督本部门信息平安管理体系的运行与实施，并形成文件;全体员工都应按保密承诺的要求自觉履行信息平安义务各部门应按照《信息平安适用性声明》中规定的平安保密目标、控制措施（包括平安保密运行的各种控制程序）的要求实施信息平安控制措施信息平安管理小组应对满足信息平安要求及实施

6.1中确定的措施所需的过程予以规划、实施和控制，同时应实施方案以实现

6.2中确定的信息平安目标信息平安管理小组应保持文件化信息到达必要的程度，以确信过程按方案得到执行信息平安管理小组应控制方案内的变更并评审非预期变更的后果，必要时采取措施减轻负面影响各部门确定本部门业务过程中的外包活动，并对外包过程进行必要的控制

1.

1.公司按照组织《信息平安风险评估管理程序》的要求，每年定期或当重大变更提出或发生时,执行信息平安风险评估每次风险评估的过程均需形成记录，并由信息平安管理小组保存每次风险评估的记录，如风险评估报告、风险处理方案等

1.

1.为确保ISMS有效实施，对已识别的风险进行有效处理，本公司开展以下活动a）形成《风险处理方案》，以确定适当的管理措施、职责及平安保密控制措施的优先级；b）为实现已确定的平安保密目标、实施风险处理方案，明确各岗位的信息平安职责；c）实施所选择的控制措施，以实现控制目标的要求；d）进行信息平安培训，提高全员信息平安意识和能力；e）对信息平安体系的运作进行管理;f）对信息平安所需资源进行管理;信息平安管理小组负责组织相关人员，定期检查风险处理方案的执行情况，并保存信息平安风险处置结果的文件化信息绩效评价

1.

1.

62.

1.

8.1监视、测量、分析和评价本公司通过实施定期的控制措施实施有效性检查、事故报告调查处理、电子监控、技术检查等检查方式检查信息平安管理体系运行的情况，并报告结果以实现a）及时发现信息平安体系的事故和隐患；b）及时了解信息处理系统遭受的各类攻击；c）使管理者掌握信息平安活动是否有效，并根据优先级别确定所要采取的措施；d）积累信息平安方面的经验按照方案的时间间隔（不超过一年）进行ISMS内部审核，内部审核的具体要求根据控制措施有效性检查和内审检查的结果以及来自相关方的建议和反应，由最高责任者主持，每年对ISMS的有效性进行评审，其中包括信息平安范围、方针、目标及控制措施有效性的评审管理者代表应组织有关部门按照《信息平安风险评估管理程序》的要求对风险处理后的剩余风险进行定期评审，以验证剩余风险是否到达可接受的水平，对以下方面变更情况应及时进行风险评估a）组织机构发生重大变更；b）信息处理技术发生重大变更；c）公司业务目标及流程发生重大变更；d）发现信息资产面临重大威胁；e）外部环境，如法律法规或信息平安标准发生重大变更保持上述活动和措施的记录以上活动的详细程序规定于以下文件中,《控制措施有效性的测量程序》/《信息平安职责权限划分对照表》,《信息平安风险评估管理程序》,《内部审核控制程序》

3.

1.内部信息平安审核主要指内部信息平安管理体系审核，其目的是验证公司信息平安管理体系运行的符合性和有效性并不断改良和完善公司的信息平安管理体系

（一）组织审核a）公司统一组织、管理内部信息平安审核工作，信息平安管理小组负责制定《内部审核控制程序》并贯彻执行；b）管理者代表负责领导和筹划内部审核工作，批准年度内审方案和追加审核方案，批准审核组成员，批准审核实施方案，审批年度内审报告；c）信息平安管理小组负责对审核组长及成员提名，编制年度审核方案和追加审核方案，报管理者代表批准后执行d）审核组长组织和管理内部审核工作，根据实际情况和重要性安排审核顺序实施审核e）审核员不应审核自己的工作

（二）实施审核a）审核组长编制的审核方案，经管理者代表批准后，负责在实施审核前5天向被审核方发出书面审核通知；b）审核小组按《内部审核控制程序》实施审核；c）审核员收集客观证据，通过分析整理做出公正判断，填写《内审不合格报告》提交审核组长，并请被审核部门经理在报告上签字认可

（三）审核报告审核组长应在完成全部审核后，按规定格式编写《内部管理体系审核报告》提交信息平安管理小组，经其审阅后报管理者代表，《内部管理体系审核报告》作为管理评审的输入证据

（四）纠正措施和跟踪验证a）被审核部门经理制定纠正措施，填写在《内审不合格报告》中b）纠正措施完成后后，应将纠正措施完成情况填写到《内审不合格报告》相应栏内，然后将《内审不合格报告》交到审核组长c）审核组长视具体情况通知审核组复查，跟踪验证纠正措施实施情况，并将验证结果填写在《内审不合格报告》中

（五）审核记录审核组长应收集所有内部信息平安审核中发生的方案通知、内部审核检查表、记录、审核报告、总结等原始资料，整理后由信息平安管理小组负责保管内审相关记录

1.

1.ISMS管理评审

（一）总则信息平安最高责任者为确认信息平安管理体系的适宜性、充分性和有效性，每年对信息平安管理体系进行一次全面评审该管理评审应包括对信息平安管理体系是否需改良或变更的评价，以及对信息平安方针和信息平安管理目标的评价管理评审的结果应形成书面记录，并至少保存3年,按照《文件控制程序》的要求进行受控访问

（二）管理评审的输入在管理评审时，信息平安管理小组应组织相关部门提供以下资料，供信息平安管理最高责任者和各部门负责人进行评审a）ISMS体系内、外部审核的结果；b）相关方的反应（投诉、抱怨、建议）;c）可以用来改良ISMS业绩和有效性的新技术、产品或程序；d）信息平安目标达成情况，纠正和预防措施的实施情况；e）信息平安事故或征兆，以往风险评估时未充分考虑到的薄弱点或威胁；f）上次管理评审时决定事项的实施情况；g）可能影响信息平安管理体系变更的事项（标准、法律法规、相关方要求）；h）对信息平安管理体系改善的建议；i）有效性测量结果

（三）管理评审的输出信息平安管理最高责任者对以下事项做出必要的指示a）信息平安管理体系有效性的改善事项；b）信息平安方针适宜性的评价；c）必要时，对影响信息平安的控制流程进行变更，以应对包括以下变化的内外部事件对信息平安体系的影响/业务开展要求；，信息平安要求；/业务流程；,法律法规要求；/风险水平/可接受风险水平d）对资源的需求以上内容的详细规定见《管理评审控制程序》改良

1.

1.

71.

1.发生不符合事项的责任部门在查明原因的基础上制定并实施相应的纠正措施，以消除不符和的原因，防止不符合事项再次发生信息平安管理小组负责制定《纠正措施控制程序》并组织问题发生部门针对发现的不符合现象分析原因、制定纠正措施，以消除不符合，并防止不符合的再次发生对纠正措施的实施和验证规定以下步骤a）识别不符合；b）确定不符合的原因；c）评价确保不符合不再发生的措施要求；d）确定和实施所需的纠正措施；e）记录所采取措施的结果；f）评审所采取的纠正措施，将重大纠正措施提交管理评审讨论

1.

1.公司的持续改良是信息平安管理体系得以持续保持其有效性的保证，公司在其信息管理体系平安方针、平安目标、平安审核、监视事态的分析、纠正措施以及管理评审方面都要持续改良信息平安管理体系的有效性本公司开展以下活动，以确保ISMS的持续改良a）实施每年管理评审、内部审核、平安检查等活动以确定需改良的工程；b）按照《内部审核管理程序》、《纠正措施管理程序》的要求采取适当的纠正和预防措施;c）吸取其他组织及本公司平安事故的经验教训，不断改良平安措施的有效性；d）对信息平安目标及分解进行适当的管理，确保改良到达预期的效果为了确保信息平安管理体系的持续有效，各级管理者应通过适当的手段保持在公司内部对信息平安措施的执行情况与结果进行有效的沟通包括获取外部信息平安专家的建议、信息平安政府行政主管部门、电信运营商等组织的联系及识别顾客对信息平安的要求等如管理评审会议、内部审核报告、公司内文件体系、内部网络和邮件系统、法律法规评估报告等信息平安管理方针

1.

1.8公司的信息平安管理方针平安第一，预防为主；全员参与，综治风险；遵纪守法，提高绩效；本钱可控，持续开展对于信息平安方针的解释a满足客户要求满足顾客的要求是企业运营的必然选择b保障信息平安信息平安是企业管理的重中之重c遵守法律法规遵守法律法规是企业生存之前提，满足法律法规及相关行业标准/技术标准的要求也是本公司必须承当的社会责任d持续改良管理控制风险是前提，风险自身是动态的过程通过各种方式提升公司员工的信息平安意识，提高公司的信息平安管理过程本公司承诺提供一切可能的资源与先进的技术，保证信息的保密性、可用性和完整性，有针对性地采取一切必要的平安措施使用有效的风险评估的工具和方法，严格控制风险事故在可接受风险范围之内制订周密可靠的应急方案并定期进行演练，关键信息数据异地备份，制订业务连续性方案，以确保业务的持续进行为了满足适用法律法规及相关方要求，维持计算机系统集成及效劳、计算机应用软件的设计开发及效劳活动的正常进行，本公司依据IS0/IEC2700L2013标准，建立信息平安管理体系，以保证与公司经营管理相关信息的保密性、完整性、可用性和可追溯性，实现业务可持续开展的目的本公司将a）在公司内各层次建立完整的信息平安管理组织机构，确定信息平安方针、平安保密目标和控制措施，明确信息平安的管理职责；b）识别并满足适用法律、法规和相关方信息平安要求；c）定期进行信息平安风险评估，ISMS评审，采取纠正预防措施，保证体系的持续有效性;d）采用先进有效的设施和技术，处理、传递、储存和保护各类信息，实现信息共享；e）对全体员工进行持续的信息平安教育和培训，不断增强员工的信息平安意识和能力；f）制定并保持完善的业务连续性方案，实现可持续开展上述方针的批准、发布及修订由公司信息平安最高责任者负责；通过培训、宣贯等方式使得本公司员工知晓并执行相关内容；通过有效途径告知效劳相关方及客户，以提高平安保密意识及效劳水平；并定期通过《管理评审控制程序》评审其适用性、充分性，必要时予以修订组织的角色，职责和权限公司经营管理层决定全公司的组织机构和各部门的职责（包括信息平安职责），并形成文件各部门的信息平安管理职责决定本部门组织形式和业务分担，并形成文件总经理为本公司信息平安最高责任者各部门/工程组负责人为本部门/工程组信息平安管理责任者，全体员工都应按保密承诺的要求自觉履行信息平安保密义务；各部门应按照《信息平安适用性声明》中规定的平安目标、控制措施（包括平安运行的各种控制程序）的要求实施信息平安控制措施信息平安管理手册之信息平安管理制度与标准、业务流程

1.2信息平安与保密管理制度

1.

2.11）为了保证工程网络数据的平安保密，维持平安可靠的计算机应用环境，特制定本规定2）凡工程组从事工程管理工作的员工都必须执行本规定3）工程的合同、需求说明、设计变更、工作联系单、工程洽商单、经济签证单、公司内部资料等必须由各部门信息管理员妥善管理，严禁外借，严禁非相关人员传阅、查看4）对接入计算机及设备，必须符合一下规定a）在未经许可的情况下，不得擅自对处计算机及其相关设备的硬件局部进行修改、改装或拆卸配置，包括添加光驱、软驱，挂接硬盘等读写设备，以及增加串口或并口外围设备,如扫描仪、打印机等b）非我工程的计算机及任何外设，不得接入网络系统c）严禁私自开启计算机机箱封条或机箱锁5）凡使用工程配备计算机网络系统的员工，必须遵守以下规定；a）未经批准，严禁非本工程工作人员使用除计算机及任何相关设备b）对新上网使用办公网络系统的员工，由办公室负责上岗前的计算机网络设备系统平安及信息保密的技术培训工作c）未经批准，任何人严禁将其以任何形式（如数据形式Internet、软盘、光盘、硬磁盘等；硬拷贝形式图纸打印、复印、照片等）复制、传输或对外提供d）任何员工均不得超越权限侵入网络中未开放的信息，不得擅自修改入库数据资料和修改他人数据资料6）严格执行国家、有关保密、平安及办公自动化系统的有关法律、法规的规定和要求各部门应自觉按照有关规定和要求配合做好保密和信息平安工作7）任何经由我公司外网接入互联网的员工，必须严格遵守国家有关法律、法规8）凡使用公司网络系统的员工，必须配合网络管理员做好防病毒工作a）由办公室负责网络防病毒工作信息维护员负责实施防病毒的日常管理工作b）凡装有可与外界进行数据传输的设备的计算机，必须安装防病毒程序，办公室定期对防病毒程序进行升级，增强对病毒的查杀能力c）凡需入网传输数据的盘片，由网络管理员负责检查、清查计算机病毒，确保没有病毒前方可传输数据d）员工在使用过程中如发现计算机病毒，应立即停止进行任何程序并报告网络管理员，如遇到现有防病毒程序无法清杀的病毒，网络管理员必须先将受感染的计算机从网络上隔开，协助员工做好数据备份工作，并为用户恢复系统9）分公司办公室定期对有关部门进行计算机网络系统平安和数据保密检查，并将检查结果向处保密工作小组汇报10）涉及工程信息平安与保密的管理人员均需要对本制度相关具体要求，进行保密工作承诺文件加密管理制度

1.

2.

21.为标准公司重要文件的平安管理级别，通过文件外发控制以及加密管理，防止公司机密文件外泄，保障公司信息平安

1.本管理制度适用于所有安装加密软件用户

1.需要保护的公司重要电子文档包含公司财务数据，公司人员信息总表，各部门培训课件，采购部商品分析表，薪资表，工程图纸，市场部合同信息，公司vip信息汇总表

1.所有安装加密软件用户必须按照本制度规定进行执行；网管负责人负责加密软件的日常维护,安装管理，以及加密软件权限分配；综合部负责监管

1.1）文件加密类型2）目前对所有安装加密软件的用户电脑的重要文件进行加密处理3）文件传播方式控制4）禁止通过复制/剪贴方式进行外发信息;,与外部利益相关方的关系，外部利益相关方的观点和价值观明确内部状况/治理、组织结构、作用和责任；/方针、目标，为实现方针和目标制定的战略；,基于资源和知识理解的能力（如资金、时间、人员、过程、系统和技术）；,与内部利益相关方的关系，内部利益相关方的观点和价值观；,组织的文化；/信息系统、信息流和决策过程（正式与非正式）；，组织所采用的标准、指南和模式；/合同关系的形式与范围明确风险管理过程状况,确定风险管理活动的目标；，确定风险管理过程的职责；,确定所要开展的风险管理活动的范围以及深度、广度，包括具体的内涵和外延;,以时间和地点，界定活动、过程、职能、工程、产品、效劳或资产；,界定组织特定工程、过程或活动与其他工程、过程或活动之间的关系；,确定风险评价的方法；，确定评价风险管理的绩效和有效性的方法；/识别和规定所必须要做出的决策；确定所需的范围或框架性研究，它们的程度和目标，以及此种研究所需资源5）重要文件在创立或编辑时必须在指定机器上操作并进行加密所有通过U盘、E-mail.QQ、MSN、微信、网盘等工具传送的重要文件，都必须经过部门主管许可才允许6）公司部提倡远程工作及登录效劳器，如有必要需进行申请，开放端口，并通过加密的方式进行通讯7）文件外发控制管理重要文件需要传递到没有安装加密软件用户或者外发到公司外部，必须由各部门制定人员经过加密处理后才允许外发.对违反本规定者按照《员工手册》的有关规定处理本制度由网管员编撰、修改、执行，自总经理批准之日起开始执行信息平安奖惩管理方法

1.

2.

31.明确信息平安奖励与违规行为处分的操作原则，强化执行，促进员工信息平安意识提升

1.本标准适用于我公司内部信息平安事件的奖惩

1.序号角色职责001信息平安事件指识别出的发生的系统、效劳或网络事件说明可能违反信息平安策略或防护措施失效；或以前未知的与平安相关的情况；其中

一、二级信息平安事件称为重大信息平安事件002信息平安活动为培养员工信息平安意识，提图公司整体平安水平而举办的活动，形式包括但不限于考试、培训、宣传和自查

1.序号角色职责001员工遵守公司信息平安管理制度，积极配合、参与信息平安活动002各部门信息平安协助公司信息平安管理制度、产品的宣传与培训工作；负责对接口人部门信息平安问题进行汇总与反应003部门主管是部门信息平安的直接责任人，负责监督和管理本部门员工的信息平安行为，并对潜在的信息平安风险进行预警，预防信息平安事件004部门经理作为部门信息平安的间接责任人，熟悉公司信息平安战略，并积极推动信息平安策略的落地执行005部门副总对所负责部门的信息平安事件负相应的管理责任006IT部信息平安组对信息平安事件进行跟踪处理，并确定事件责任人007总经理最终审批信息平安事件处分申请008总经理最终审批信息平安事件处分申请

1.

（一）奖励、违规行为处分原则及时鼓励原则对长期妥善保护公司信息资产，有效防止信息资产的遗失、滥用、盗用等，或对于促进信息平安合理共享表现突出的个人或者集体，将及时奖励举报保密原则对于举报信息平安违规行为的人员，将对其进行奖励并严格保护其个人资料不公开违规行为处分原则＞法律追究原则公司所有保密信息均为公司合法资产，受国家法律法规保护任何损害公司保密信息的行为，公司均有权追究行为人法律责任＞违规分级原则根据违规行为的性质、造成的损失和影响的严重程度、违规人员是否有意对违规行为分级涉及关键信息资产的，违规等级要升级;一次违反多条信息平安规定的人员按最高违规等级从重处分;对屡次违反信息平安规定的人员再次违规时要从重处分＞主动从宽原则产生违规行为后主动报告，积极采取补救措施以减少影响和损失的人员，可减轻处分；对问题隐瞒不报或者不及时上报而导致违规影响扩大的人员，加重处分＞过度防卫处分原则对阻碍信息合理流动与共享的人员要给予处分＞及时处理原则对重大信息平安违规事件，要及时处理任何拖延、推诿不处理的责任人，要给予问责

（二）奖励等级与责任部门奖励等级与措施奖励事迹奖励等级奖励措施举报或者制止泄密、窃密或者其他一级根据具体情况给予8000元集体奖励或严重损害公司利益事件的集体或者者5000元个人奖励;通报表扬（遵循个人“荆艮保密原则“淡化事迹并隐藏人员信息）二级根据具体情况集体奖5000元或者3000制止他人违规行为或者即时反映可个人奖励；通报表扬（遵循“举报保能造成泄密、窃密或者其他重大平密原则“淡化事迹并隐藏人员信息）安隐患的个人，以及在信息平安方面做出表率或者突出奉献的集体在信息平安管理中做出奉献，反映三级根据具体情况给予3000元集体奖励或信息平安隐患或者过度防卫被核者1000元个人奖励实、提出信息平安合理化建议并被采纳的个人，以及在信息平安方面做出奉献的集体奖励责任部门1）对于满足信息平安奖励标准的集体或者个人，IT部信息平安组可根据具体事迹定期进行申报，审批通过后由综合部根据公司财务制度进行发放奖金；2）各部门信息平安接口人可自行组织对本部门优秀信息平安集体或者个人进行奖励违规等级与措施违规事件违规等级处分措施盗窃、成心泄露公司保密信一级

1.直接开除，永不录用；息的，或成心违反信息平安

2.如违反法律法规由公司法务部移送公安管理规定，性质严重造成重机关处理；如给公司造成相关损失，须赔大影响或者风险偿公司损失

3.全公司范围内通报处分决定成心违反信息平安规定，性二级

1.如给公司造成相关损失,须赔偿公司损质严重；或者造成较大影响失；或较大风险

2.担任公司管理岗位的人员，进行降职或者降薪处理；非公司管理岗位的人员，进行降薪处理；

3.全公司范围内通报处分决定三级

1.记入关键事件考评结果减10分或罚款500元；过失违反信息平安管理规定，造成一定影响或者风险

2.12个月内2次三级违规升级为1次的；或者成心违反信息平安二级违规管理规定，但性质不严重且

3.部门内部通报处分决定没有造成严重影响或风险过失违反信息平安管理规四级

1.记入关键事件考评结果减5分或罚款定，性质较轻，且造成轻微300兀；影响或者风险

2.12个月内2次四级违规升级为1次三级违规；

3.部门内部通报处分决定说明:1）信息平安管理规定包括公司各部门正式发布的信息平安管理制度;2）上表中“违规事件”的描述是定性的描述，是违规事件定级的参考原则常见违规行为所适用违规等级具体参考附件1《常见违规行为及其适用处分等级举例》，其他违规行为所使用等级可参考举例进行认定责任判定1）发生

一、二级重大信息平安事件违规时，违规者直接上级和部门经理承当直接和间接责任，部门副总须承当连带管理责任，并按照《常见违规行为及其适用处分等级举例VI.0》适用条款进行处分；2）对于

三、四级信息平安违规，根据以下条件判断责任人直接上级是否连带处分＞员工无意违规，且责任人领导未进行审批授权的，不进行连带处分；＞员工无意违规，但责任人领导进行包庇的，在事实确认的基础上，进行连带处分；＞若所管理部门一个月内发生2次（含）以上成心违规或者4次（含）以上无意违规事件，对直接上级进行连带处分处分责任部门处分等级处分责任人批准申诉一级总经理综合部二级总经理综合部三级部门分管副总IT部信息平安组综合部四级部门分管副总IT部信息平安组综合部说明1）对于各类违规行为处分应当慎重，应建立在客观事实的基础上给出处分意见根据违规行为性质、造成的损失和影响的大小，IT部信息平安组有权要求对当事人加重或者减轻处分；2）发现可疑事件的组织作为事件调查和处理的责任部门为了加快一级违规行为的处理进度,沟通时限和批准期限都是2天;3）在违规事件处理过程中，IT部信息平安组协助与监督处分责任人完成处分执行工作处分责任人或其授权人员要做好与违规员工的沟通工作对违规处分过程中出现的拖延、推诿行为，IT部信息平安组可以行使否决权维护与解释1）本规定发布之日起生效；2）本规定由信息平安组至少每两年审视一次，根据审核结果修订标准并公布执行；3）本规定解释权归信息平安组计算机数据备份管理规定

1.

2.4为保证本公司计算机所保存的数据和信息平安，加强和标准公司计算机数据和信息管理，特制定本规定本方法适用于公司所有使用计算机进行日常办公、信息化系统操作、自动化控制系统操作的部门与员工，本规定自下发之日起执行1）计算机使用者负责所使用计算机的数据备份操作，涉及到信息监控系统、自动化控制系统用计算机，有关单位和部门要指定专人负责2）各单位、部门的负责人是本部门数据备份管理、信息平安管理的第一责任人各部门负责人要了解本部门需要备份的数据内容与类型，落实备份要求，防范可能出现的数据风险，对本部门数据备份情况要进行不定期抽查，对不按规定备份要立即予以纠正3）研发部网络管理员负责公司各部门数据备份技术支持、培训、监督核查工作

（一）备份方法及要求1）数据备份采用人工备份的方式，备份分重要数据备份、重要文档资料备份、信息监控系统数据库原始数据备份、计算机操作系统备份、应用软件备份所有备份工作必须由操作人员做详细记录，要求记录备份的内容、时间及次数2）计算机需要备份的数据、文档资料要随时归档备份并异地存放，每周至少备份一次，日新增数据量大、财务、销售、经营调度等部门的数据必须每天备份一次，每月整理一次，备份方法实行三重备份方式，即本地硬盘、移动存储设备（网络硬盘）、光盘刻录保存并进行异地存储备份介质由各部门自行准备，并妥善保管计算机操作系统应使用正版软件,每周打一次补丁，每季度用Ghost做镜像备份应用软件更新后，及时用光盘刻录方式转存3）每年元月，各部门将上一年的所有数据分类，完整、真实、准确地以刻录光盘的形式存档,然后交由部门负责人保管4）应定期检查备份介质的可用性，若发现介质已经不能使用，应及时更换新介质并对重要数据进行转存处理5）备份数据资料保管地点必须满足防火、防热、防潮、防尘、防盗等条件，并指定专人保存6）计算机需要重装操作系统时，必须自行确认其系统所在硬盘所有盘符中重要数据有异地备份，以防止意外发生（有少数计算时机因病毒、硬盘损坏或是磁盘分区问题，存在重装系统后若干磁盘打不开提示格式化现象）o7）研发部软件开发代码及文档备份必须同时满足本地及云端要求

（二）关于数据丧失1）网络管理员在对各部门备份数据核查的过程中，发现数据未备份或是备份不及时、不完整的情况，应及时指出，并向全公司通报2）因可控的人为原因造成重要数据（例如行政办公、技术、销售、人事及财务等）遗失的，公司根据损失情况将对责任人进行严厉处分，涉及到企业平安的，依法追究刑事责任3）如因违反计算机数据备份管理规定，造成备份数据不完整或丧失，由此造成的损失及数据恢复费用由各部门自己承当4）各部门统一由研发部安装正版网络杀毒软件，并定期更新病毒数据库和定期查杀毒，如果因杀毒软件误操作破坏数据，各部门应保持原始状态，由研发部联系杀毒软件效劳商进行数据恢复

1.

2.

4.3数据保密

（一）根据公司保密要求，严禁外泄备份的数据，否则以成心泄露公司商业机密论处

（二）除公司数据备份管理人员外，任何人无权询问、刺探、破解其他部门数据备份的信息内容

（三）员工离职时，必须将重要数据与本部门相关人员交接清楚

（四）外请计算机维护人员进行系统维护时，本部门人员必须全程陪同并监督，严禁维护人员以任何形式拷贝任何资料效劳器平安管理方法

1.

2.5（-）总则为本公司业务正常运行，特制定本管理方法

（二）日常管理第二条效劳器由维护组人员进行管理并授权与建站效劳相关的人员使用，明确各自效劳器的用途、应用范围及使用对象，并对整个系统资源进行合理的规划第三条效劳器管理员和效劳器使用人员应遵守效劳器安装工作流程，从系统划分、平安设置等方面标准管理工作第四条系统管理员负责各自效劳器的日常管理和维护，主要有用户帐户的管理、网络管理、数据库管理、效劳器系统运行状态的监控、以及各应用系统使用资源情况统计，并合理地分配系统资源第五条效劳器使用员负责对自己上传的网站或文件进行日常的管理和维护，主要有文件的更新，修改，网站及网站相关的文件和代码平安和漏洞的检查和管理，病毒和木马的去除第六条为确保系统平安性、可靠性及文件、数据的一致性和完整性，必须对系统进行备份工作管理员根据各自效劳器的情况，制定出相应的备份及恢复策略，定期进行备份第七条系统管理员要深入了解系统的工作原理，不断提高系统的管理水平在系统出现一般性的故障或错误时，能及时予以排除；而出现重大问题时，可通过系统的恢复等手段加以解决第八条系统管理员对负责的效劳器应提供详细的文档，包括系统安装、各种软件的安装、开关机步骤及平安的设置等信息研发部对软件在作业系统的执行进行严格控制，在新软件安装或软件升级之前，应经主管部门负责人审核同意前方可进行计算机终端用户除非授权，否则严禁私自安装任何软件第十条系统管理员和相关使用人员建立系统维护管理手册，对自己所做的各项工作要有详细的记录如

1.系统问题的发现，原因分析，解决方案，管理的改良；“任务申请表制度，使管理工作有案可查、有章可寻；

3.系统的备份日期、内容、类别、操作者等；

4.系统及软件的安装或版本升级，要有时间和内容的详细记录；

5.网站的新增、修改、删除，数据库的各种操作第十一条系统管理员必须定期更改效劳器帐号，特别是超级用户的管理密码，建议每月的「5日将各自管理的效劳器帐号进行更新

（三）工作权责效劳器上的维护内容有如下几点操作系统安装与配置，效劳器平安设置，补丁更新，系统平安检测WEB效劳（HS）安装与配置，ASP/ASPX网站配置，数据库（MSSQL）安装与配置主站网站维护（网站）网站效劳器维护（所有建站效劳器及正在运行VPS）虚拟空间网站维护效劳器代码备份，数据备份效劳器软件检测（FTP、虚拟网卡、网站所需组件）效劳器用户账号管理DNS的搭建与配置效劳器盘符目录设定及约束

（四）权责明细权限范围效劳器的平安检测保证效劳器上各软件的运行情况DNS效劳器的正常运行效劳器平安设置、系统补丁的更新效劳器所需组件的安装及添加监控效劳器中各网站的运行情况保证邮件效劳器的正常运行效劳器盘符目录设定及约束对VPS的监控及分配效劳器数据库备份网站网站程序备份本网站所有网站程序和数据库备份节假日效劳器运行情况监控FTP帐号管理，上传网站程序确定风险准则:,可以出现的致因和后果的性质和类别，以及如何予以测量；,可能性如何确定；,可能性和（或）后果的时间范围；/风险程度如何确定；,利益相关方的观点；,风险可接受或可容许的程度；/多种风险的组合是否予以考虑，如果是，如何考虑及哪种风险组合宜予以考虑1理解相关方的需求和期望信息平安管理小组应确定信息平安管理体系的相关方及其信息平安要求，相关的信息平安要求对于利益相关方，可作为信息资产识别，并根据风险评估的结果，制定相应的控制措施，实施必要的管理相关方的要求可包括法律法规要求和合同义务

1.

1.本公司ISMS的范围包括a）物理范围b）业务范围计算机软件开发，计算机系统集成相关信息平安管理活动c）内部管理结构办公室、财务部、研发部、商务部、工程部、运维部d）外部接口向公司提供各种效劳的第三方

1.

1.本公司按照IS0/IEC27001:2013标准的要求建立一个文件化的信息平安管理体系同时考虑该体系的实施、维持、持续改善，确保其有效性ISMS体系所涉及的过程基于PDCA模式领导力

1.

1.2总经理应通过以下方式证明信息平安管理体系的领导力和承诺:对网站代码及目录进行检测，随时发现可能出现的木马约定第一条严禁对效劳器中每个盘符所设定的目录进行更改或者随意添加第二条管理人不得将效劳器管理账号转借他人管理人未经总经理签字许可不得将数据库内容导出给他人只允许效劳器管理人通过FTP上传数据到效劳器上（已经告知FTP的网站用户除外）第五条管理人不得在效劳器上安装任何与系统平安和网站运行无关的软件和应用程序第六条管理人不得开效劳器上开设除网站本网站以外的站点和空间第七条管理人不得为其他工作人员开放职权范围外的权限

（五）数据备份第一条正常工作日每天登录效劳器，查看效劳运行状态是否正常第二条管理人每周对效劳器数据库备份至少一次，保存于效劳器中第三条管理人每次大假前必须将数据库以及网站所有程序及资料备份交下载到本地进行保存信息平安管理手册之信息平安管理架构职能分配表信商财研办运工管理部门息务务发公维程层平部部部室部部安小组管理职责了解组织和它的背景O O O O O O O理解相关方的需求和期组织O O O O O O O望背景确定ISMS的范围O O O O O O O管信商财研办运工部门理息务务发公维程层平部部部室部部安小组管理职责ISMSO O O O O O O领导力和承诺O O O O O O O领导方针O O O O O O O力组织的角色、职责和权限O O O O O O O处理风险和机遇的行动O O O O O O O方案可实现的信息平安目标和方O O O O O O O案资源O O O O O O O能力O O O O O O O意识O O O O O O O支持沟通O O O O O O文档化的信息O O O O O O O运行方案及控制O O O O O O O运行信息平安风险评估O O O O O O O信息平安风险处置O O O O O OO监视、测量、分析和评价O O O O O O O绩效内部审核O O O O O OO评价管理评审O O O O O O O不符合及纠正措施O O O O O O O改良持续改良O O O O O OO控制目标与控制要求管信商财研办运工部门理息务务发公维程层平部部部室部部安小组管理职责信息平安方针O O O O O O O内部组织O O O O O OO移动设备和远程办公O O O O O任用前O O O O O O O任用中O O O O O O O任用终止和变更O O OOOOO资产的责任OO信息分类OOOOOO介质处理OOOOOO访问控制的业务需求OOOOOOO用户访问管理OOOOOOO用户责任OO系统和应用访问控制OOOOOOO密码控制OOOOOOO平安区域OOOOOOO设备平安OOOOOOO操作程序及职责OOOOOOO防范恶意软件备份OOOOO日志记录和监控OOOOOOO操作软件控制OOOO OO O管信商财研办运工部门理息务务发公维程层平部部部室部部安小组管理职责技术漏洞管理OOOOOOO信息系统审计的考虑因素OOOOOOO网络平安管理OOOOOO O信息传输OOOOOOO信息系统平安需求OOOOOOO开发和支持过程的平安OOOOOO O测试数据OOOOOOO供给商关系的信息平安OOOOOO供给商效劳交付管理OOOOOOO信息平安事件的管理和改良OOOOOOO信息平安的连续性OOOOOO O冗余OOOOOOO法律和合同规定的符合性OOOOOOO信息平安评审OOOOOOO部门职责

1.

2.

61.本通用职责是公司体系覆盖下所有部门都要履行的职责）贯彻执行公司的管理方针，实施公司的信息平安管理目标；Q）识别并贯彻执行公司适用的国家、政府和上级有关信息平安法律、法规及其他要求，并进行合规性评价;b）参与管理体系筹划，配合做好内、外审和管理评审工作;c）负责本部门文件和记录的控制工作；d）负责本部门体系运行中所需监视和测量活动的识别、控制，以及监视和测量装置的配置和管理工作；e）负责本部门的数据分析；f）实施与本部门有关的内外部交流、沟通；g）负责本部门的体系运行控制，检查体系运行有效性，并实施监视和测量，予以记录和总结评价控制效果，需要h时进行改良）对发生的不合格/不符合、出现的事件，要及时纠正和制定纠正措施和预防措施并予以完成1最高管理者制定公司的管理体系方针，对管理体系的建立、实施及保持做出决策；Q.确保管理体系目标的制定，并在相关职能和层次上展开；b.任命管理者代表，批准管理手册；C.全面负责管理评审工作；d.贯彻国家及政府制定的法律、法规及政策，向公司全体员工传达满足顾客要求和法律、法规要求的重要性;e.规定公司管理体系的组织结构及各部门的职责和权限，并使其得到有效沟通；f.提供适当的人、财、物资源，满足管理体系运行的需求g.管理者代表.确保管理体系得到建立、实施和保持；领导编制管理体系文件，负责《管理手册》的审核，程序文件的批准；b.协助最高管理者开展管理评审工作，向最高管理者汇报体系运行情况及取得的业绩，提出管理体系改良的时机；c.负责公司内审的领导工作；d.审核管理体系总目标并批准；e.批准通用性的法律、法规和其他要求的清单；f.审批公司信息资产清单，风险评估文件；g.确保在公司内提高满足顾客要求、遵守法律法规和其它要求的意识；h.负责管理体系有关事宜与外部进行联络

1.信息平安管理小组负责公司信息平安管理手册和程序文件的编制、修订、维护和管理；负责对信息平安管理体系运行过程进行监视和测量，组织监控信息平安方针、目标的落实；b.负责各部门各个岗位信息平安管理职责、权限的制定和落实；c.定期组织相关人员对公司的信息资产进行风险评估，并根据风险评估的结果制定处理措施；d.筹划公司的年度内审方案，并组织相关人员实施内审，保持内审记录；e.对日常检查、内审、管理评审、外审发现的不合格，跟踪整改措施的制定及落实情况f.办公室负责公司人力资源管理、行政管理、法务管理、三会管理、办事处及分公司管理、党群工会归口管理等工作Q.负责制定和完善公司人事行政等管理制度）负责制定、实施公司年度培训方案，保存培训记录；1）了解人力资源需求，有效配置公司人力资源；2）了解各部门重要岗位、特种作业、职业病及工伤人员情况，并做好相应的登记工作；3）负责实施公司信息平安的培训工作；4）监督、检查各部门培训工作的实施5负责公司有关法务事务b.）负责拟定公司本部开展经营活动所需的标准合同样本，并负责合同文本的审核；1）负责收集信息平安所需的通用性的法律、法规和其他要求，确认其适用性；2）负责组织对执行的法律、法规和其他要求的合规性评价；3）按照管理职责，对各部门进行指导、监督检查4负责公司有关的业务持续性方案等工作，组织各部门对业务持续性方案进行测试；C.负责同各部门对本部门的信息资产进行识别，并对其风险进行评价，确定其中的重要信息资产和高风险资产并对d.其进行控制；负责对公司物理资产进行管理；e.负责对信息平安事件组织人员进行调查，并根据情况对人员进行奖惩；f.负责公司全面预决算管理、会计核算、税务筹划、资金费用及财务数据统计等，同时承当对分公司业务指导工作Q.制定公司的年度财务预算报最高管理者批准，确保公司管理体系运行的资金来源b.负责公司自主产品立项、研发及相关技术支持，集成工程方案设计、技术支持及相关软件开发；培育智慧城市重点方向，参与方案设计、集成及研发组织；为业务部门提供方案、研发及技术支持，协助公司战略规划制定、工程申报与售后效劳等工作负责公司信息平安网络管理，机房的管理工作，负责对研发过程中的密码应用技术进行管理；负责对信息系统的授权管理负责公司自有的软件产品销售行业及其他应用领域内的产品规划、市场开拓、技术支持、工程实施与售后支持等工作.负责落实部门分解的管理目标；负责产品实现过程的实施和控制；b.负责产品的监视和测量工作，以及不合格品的调查、处置工作C.负责对工程实施过程中的风险进行控制d.a）确保信息平安方针和信息平安目标已建立，并与公司战略方向一致；b）确保将信息平安管理体系要求融合到日常管理过程中；c）确保信息平安管理体系所需资源可用；d）向公司内部传达有效的信息平安管理及符合信息平安管理体系要求的重要性；e）确保信息平安管理体系到达预期结果；f）指导并支持相关人员为信息平安管理体系有效性做出奉献；g）促进持续改良；h）支持信息平安管理小组及各部门的负责人，在其职责范围内展现领导力规划

1.

1.3（-）总则公司针对公司内部和公司外部的实际情况，和相关方的要求，确定公司所需应对的信息平安方面的风险在已确定的ISMS范围内，针对业务全过程所涉及的所有信息资产进行列表识别信息资产包括软件/系统、数据/文档、硬件/设施、人力资源及外包效劳对每一项信息资产，根据信息资产判断依据确定信息资产的重要性等级并对其重要度赋值信息平安管理小组制定信息平安风险评估管理程序，经信息平安管理小组组长批准后组织实施风险评估管理程序包括可接受风险准则和可接受水平该程序的详细内容见《信息平安风险评估管理程序》1）信息平安风险评估•风险评估的系统方法信息平安管理小组制定信息平安风险评估管理程序，经管理者代表审核，总经理批准后组织实施风险评估管理程序包括可接受风险准则和可接受水平该程序的详细内容适用于《信息平安风险评估管理程序》•资产识别在已确定的ISMS范围内，对所有的信息资产进行列表识别信息资产包括软件/系统、数据/文档、硬件/设施及人力资源、效劳等对每一项信息资产，根据信息资产判断依据确定信息资产的重要性等级并对其重要度赋值•评估风险a）针对每一项信息资产、记录、信息资产所处的环境等因素，识别出所有信息资产所面临的威胁；b）针对每一项威肋,，识别出被该威胁可能利用的薄弱点；c）针对每一项薄弱点，列出现有的控制措施，并对控制措施有效性赋值；同时考虑威胁利用脆弱性的容易程度，并对容易度赋值；d）判断一个威胁发生后可能对信息资产在保密性（C）、完整性⑴和可用性（A）方面的损害，进而对公司业务造成的影响，计算信息资产的平安事件的可能性和损失程度e）考虑平安事件的可能性和损失程度两者的结合，计算信息资产的风险值f）根据《信息平安风险评估管理程序》的要求确定资产的风险等级g）对于信息平安风险，在考虑控制措施与费用平衡的原则下制定风险接受准则，按照该准则确定何种等级的风险为不可接受风险，该准则在《信息平安风险评估管理程序》有详细规定,并在《风险评估报告》中进行系统汇报并针对结果处理意见获得最高管理者批准h）获得最高管理者对建议的剩余风险的批准，剩余风险应该在《剩余风险评价报告》上留下记录，并记录剩余风险处置批示报告i）获得管理者对实施和运行ISMS的授权ISMS管理者代表的任命和授权、ISMS文档的签署可以作为实施和运作ISMS的授权证据2）信息平安风险处置•风险处理方法的识别与评价信息平安管理小组应组织有关部门根据风险评估的结果，形成《风险处理方案》，该方案应明确风险处理责任部门、方法及时间对于信息平安风险，应考虑控制措施与费用的平衡原则，选用以下适当的措施a）采用适当的内部控制措施；b）接受某些风险（不可能将所有风险降低为零）；c）回避某些风险（如物理隔离）；d）转移某些风险（如将风险转移给保险者、供方、分包商）•选择控制目标与控制措施信息平安管理小组根据信息平安方针、业务开展要求及风险评估的结果，组织有关部门制定信息平安目标信息平安目标应获得总裁的批准本公司根据信息平安管理的需要，可以选择标准之外的其他控制措施•适用性声明SoA信息平安管理小组编制《信息平安适用性声明》（SoA）o该声明包括以下方面的内容a）所选择控制目标与控制措施的概要描述；b）对IS0/IEC27001:2013附录A中未选用的控制目标及控制措施理由的说明•剩余风险对风险处理后的剩余风险应形成《剩余风险评估报告》并得到信息平安最高责任人的批准信息平安管理小组应保存信息平安风险处置过程的文件化信息

1.

1.根据公司的信息平安方针，经过最高管理者确认，公司的信息平安管理目标为顾客保密性抱怨/投诉的次数不超过1起/年受控信息泄露的事态发生不超过3起/年秘密信息泄露的事态不得发生信息平安管理小组根据《适用性声明》、《信息资产风险评估表》中风险处理方案所选择的控制措施，明确控制措施改良时间表对于各部门信息平安目标的完成情况，按照《信息平安目标及有效性测量程序》的要求，周期性在主责部门对各控制措施的目标进行测量，并记录测量的结果通过定期的内审、控制措施目标测量及管理评审活动评价公司信息平安目标的完成情况支持

1.

1.

41.

1.总经理负责确定并提供建立、实施、保持和持续改良信息平安管理体系所需的资源

2.

1.办公室应a）确定公司全体员工影响公司信息平安绩效的必要能力；b）确保上述人员在适当的教育、培训或经验的基础上能够胜任其工作；c）适用时，采取措施以获得必要的能力，并评估所采取措施的有效性；d）保存适当的文件化信息作为能力的证据注适用的措施可包括，对新入职员工进行的信息平安意识教育；定期对公司员工进行的业务实施过程中的信息平安管理相关的培训等

3.

1.公司全体员工应了解a）公司的信息平安方针；b）个人其对公司信息平安管理体系有效性的奉献，包括改良信息平安绩效带来的益处；c）不符合信息平安管理体系要求带来的影响

4.

1.信息平安管理小组负责确定与信息平安管理体系相关的内部和外部的沟通需求，包括:a）沟通内容;b）沟通时间；c）沟通对象；d）谁应负责沟通；e）影响沟通的过程

5.

1.

（一）总则公司的信息平安管理体系应包括a）本标准要求的文件化信息；b）信息平安管理小组确保信息平安管理体系的有效运行，需编制《文件控制程序》以管理公司信息平安管理体系的相关文件

（二）创立和更新创立和更新文件化信息时，信息平安管理小组应确保适当的a）标识和描述（例如标题、日期、作者或编号）；b）格式（例如语言、软件版本、图表）和介质（例如纸质、电子介质）；c）对适宜性和充分性的评审和批准

（三）文件化信息的控制信息平安管理体系及本标准所要求的文件化信息应予以控制，以确保a）在需要的地点和时间，是可用和适宜的；b）得到充分的保护（如防止保密性损失、不恰当使用、完整性损失等）；c）为控制文件化信息，适用时一，科技规划部应开展以下活动；d）分发，访问，检索和使用；e）存储和保护，包括保持可读性；f）控制变更（例如版本控制）；g）保存和处置信息平安管理小组需在《文件控制程序》中规划和运行信息平安管理体系所必需的外来的文件化信息，应得到适当的识别，并予以控制运行

1.

1.

51.

1.为确保ISMS有效实施，对已识别的风险进行有效处理，本公司开展以下活动a）形成《信息平安风险处理方案》，以确定适当的管理措施、职责及平安保密控制措施的优先级，应特别注意公司外包过程确实定和控制；对于系统集成和IT外包运维效劳工程,工程经理应在工程筹划阶段识别所面临的信息平安风险，并在工程全过程中对信息平安风险进行监控和更新；b）为实现已确定的平安保密目标、实施风险处理方案，明确各岗位的信息平安职责；c）实施所选择的控制措施，以实现控制目标的要求；d）进行信息平安培训，提高全员信息平安意识和能力；e）对信息平安体系的运作进行管理，控制方案了的变更，评审非预期变更的后果，必要时采取措施减缓负面影响；f）对信息平安所需资源进行管理；g）实施控制程序，对信息平安事故（或事件）进行迅速反应总经理为本公司信息平安最高责任者办公室制定全公司的组织机构和各部门的职责（包括信息平安职责），并形成文件。