《ISO27001-2022最新版信息安全管理体系规范文件全套(汇编).docx》由会员分享,可在线阅读,更多相关《ISO27001-2022最新版信息安全管理体系规范文件全套(汇编).docx(73页珍藏版)》请在优知文库上搜索。
1、编号:ISMS-WOO-2023版本号:V1.0受控状态:受控信息安全指导文件(ISO/IECFDIS27001:2022)文档信息文档编号:ISMS-WOo-2023文档分类:内部公开-受控编写:审核:批准:初次发布日期:2023-1-1修改日期:2023-1-1发布H期:2023-1-1变更记录变更日期版本变更说明编写审核批准2023-1-1A/0创建目录21 .岗位职责说明书32 .数据备份规范83 .公司内外数据交换规范94 .硬件设备安全规范105 .网络安全规范126 .口令控制规范147 .清洁桌面和清屏策略168 .介质使用管理规范179 .信息系统安全管理规范2010 .违规
2、惩罚制度2311 .法律法规识别及合规性评价规范2412 .知识产权管理规定2613 .环境设施与物理设备管理规定2814 .信息资产管理规定3315 .计算机文件保密制度3716 .保密性协议评审3917 .移动计算机安全策略4218 .恶意软件控制管理规定4319 .消防管理制度4520 .密码策略4721 .公司公章证照管理制度5022 .电子邮件使用规范5523 .远程访问管理制度5724信息系统安全集成服务规范6125信息系统运维服务规范691.岗位职责说明书岗位名称总经理所属部门总经办直接上级无直接下级各部门经理岗位职责1 .负责信息安全管理手册的批准;2 .负责安全方针、安全目标
3、的批准;3 .负责任命管理者代表;4 .负责主持管理评审,定期审查质量管理体系运行情况及其适用性、充分性、有效性;5 .制定和实施公司总体战略6 .制定和实施公司年度经营计划7 .建立良好的沟通渠道8 .建立健全公司统一、高效的组织体系和工作体系9 .主持公司日常经营工作10 .领导业务中心、总经办、产品中心、财务部开展工作资格要求:1、大学本科以上;2、相关行业5年或以上企业管理经历;3、通晓企业管理知识,具备技术管理、财务管理、质量管理等方面的知识;4、了解公司经营技术知识;5、具有很强的领导能力、判断与决策能力、人际能力、沟通能力、影响力、计划与执行能力、客户服务能力。培训要求1、ISO
4、27001和ISO20000基本知识培训;2、信息安全和信息技术服务管理手册;3、管理类作业指导书;4、产品基本知识;5、公司规章制度;6、有关法律法规。特殊资格要求无岗位名称行政主管所属部门总经办直接上级总经理直接下级行政专员岗位职责1 .负责为公司管理层提供支持,并负责跟踪落实总经理和总经理办公会的决议;2 .负责保证公司内部管理体系的完整和平稳运行;3 .负责制定办公室工作计划,实现工作目标;4 .负责公司形象推广、公关活动;5 .公司企业文化建设;6 .统筹管理公司后勤服务工作;7 .部门内部管理工作;8 .完成总经理交办的其他任务资格要求1、企业管理或相关专业;2、专科以上学历,相关
5、3年或以上管理经历;3、掌握相应的行政管理、企业形象策划和企业文化建设的知识,了解公关宣传的常用做法;4、熟练使用自动化办公软件,具备基本的网络知识5、领导能力、判断与决策能力、人际能力、沟通能力、影响力、计划与执行能力培训要求1、IS027001和ISO20000基本知识培训;2、信息安全和信息技术服务管理手册;3、管理类作业指导书;4、产品基本知识;5、公司规章制度;1、相关法律法规。特殊资格要求无岗位名称人力资源所属部门人事行政部直接上级/直接下级助理岗位职责1、协助总经理制定人力资源战略规划,为重大人事决策提供建议和信息支持2、负责公司人力资源战略的执行3、全面负责人力资源管理的各项事
6、务4、负责其他人事事务5、负责总经办内部的组织管理6、完成总经办主管交办的其他任务资格要求:1、大学本科以上2、5年以上工作经验,3年以上管理经验,在部门经理岗位上工作1年以上3、精通人力资源管理知识,掌握行政管理、法律等知识4、熟练使用自动化办公软件,具备基本的网络知识5、具有很强的领导能力、判断与决策能力、人际能力、沟通能力、影响力、计划与执行能力培训要求1、IS027001和IS020000基本知识培训;2、信息安全和信息技术服务管理手册;3、管理类作业指导书;4、产品基本知识;5、公司规章制度;6、有关法律法规。特殊资格要求无岗位名称部门经理所属部门业务中心直接上级总经理直接下级商务人
7、员岗位职责:1、根据公司发展战略,组织制定销售战略规划;2、掌握市场动态,组织收集行业政策,分析市场发展趋势;3、建立销售渠道和销售人员;4、执行销售动作,完成销售任务;5、负责项目回款;6、维护客户关系;7、开展公司宣传,推动品牌建设。资格要求1、大学本科以上2、3年以上工作经验,1年以上部门管理工作经历3、通晓行业动态,通晓市场营销相关知识,具备法律等方面的知识,了解公司所经营行业知识4、熟练使用自动化办公软件,具备基本的网络知识5、具有很强的领导能力、判断与决策能力、人际能力、沟通能力、影响力、计划与执行能力培训要求1、IS027001和IS020000基本知识培训;2、信息安全和信息技
8、术服务管理手册;3、管理类作业指导书;4、产品基本知识;5、公司规章制度;6、有关法律法规。特殊资格要求无岗位名称部门经理所属部门产品中心直接上级技术总监直接下级技术人员岗位职责研究技术发展方向,根据公司发展规划,制定公司技术发展规划;分行业分技术类别开展技术研究,对项目监理和咨询提供技术支持,对项目的实施情况进行评估,协助进行项目实施质量管理;对项目实施过程中的技术难点组织公关;负责测试评估、安全集成项目的实施。 制定公司技术发展规划; 分行业分技术类别开展技术研究; 提供技术支持,对项目实施过程中的技术难点组织公关; 对项目的实施情况进行评估,协助进行项目实施质量管理; 负责测试评估项目的
9、实施,编制测试评估报告。 负责安全集成项目的实施。资格要求1、具有二年以上相关管理经验;2、了解微服务架构理念、实现技术;6、参与过大型复杂业务系统架构设计开发者优先;7、拥有和工作年限相称的广度和(或)深度,有较强的逻辑思维能力,善于分析、归纳、描述、沟通、和解决问题。培训要求1、IS027001和ISO20000基本知识培训;2、信息安全和信息技术服务管理手册;3、管理类作业指导书;4、行业基本知识;5、公司规章制度;6、相关法律法规。特殊资格要求无2.数据备份规范ISMS-WI021目的为了防止各种由硬件、软件和人为误操作造成的数据丢失,尽可能在最短的时间内恢复数据,最小化数据的丢失,特
10、制定本文件。2范围主要指对公司的生产、经营活动相关的重要数据的备份,主要内容为:网络服务器操作系统、客户端操作系统及应用软件、数据库信息、网站信息、文档数据库、共享资源平台,邮件数据信息等。3职责由总经办负责建立数据备份系统,及时做好重要数据的备份工作,防止系统、数据的丢失。公司各个部门的电脑使用人负责所使用电脑的数据备份工作。4备份指导4.1 机房服务器的数据备份由产品中心人员专门负责,并认真填写重要信息备份记录表。4.2 一旦发生数据丢失或数据破坏等情况,必须由总经办进行备份数据的恢复,以免造成不必要的麻烦或更大的损失。4. 3公司文件服务器采用2块硬盘同时工作,硬盘间互做镜像备份。4.4
11、 对服务器的操作系统进行完全备份,以备灾难恢复。4.5 域控制器操作系统和邮件服务器操作系统每周备份一次,备份工作尽量安排在非工作时间,减少运行负载。备份完成后及时将备份文件异地妥善保存,并做好标识和记录。4.6 客户端电脑操作系统由产品中心统一安装,将系统文件备份到非系统盘符中,以便系统故障进行恢复。4.7 客户端电脑使用人每周至少备份数据文件一次,在各部门主管的监督下进行。备份文件统一存放在公司文件服务器中,每两周通知系统管理员进行异地备份操作。4. 8制作的服务数据或外来的数据涉及业务的每个月备份一次。4.9系统软件经过较大改动后,必须对系统进行重新完全备份;系统软件经过部分改动,必须进
12、行差量或增量备份。4.10备份数据和存储介质要妥善保管,集中和异地保存,保存期限至少两年。保管工作由专人负责,严格保密,保管地点应有防火、防热、防潮、防尘、防磁和防盗设施。4.11对备份介质要定期检查磁性的可用性,若发现介质已经不能使用,应及时更新介质并对重要数据进行转存处理。3.公司内外数据交换规范ISMS-WI031目的为了保证数据的安全性和有效性,保证数据信息不被非法访问,有效地控制信息交换,特制定本策略。2范围本策略主要涵盖公司内部和内部与外部交换数据的管理,保证数据的保密性和有效性。3职责由产品中心负责建立数据交换控制策略,统筹公司数据交换的管理。公司各个部门的电脑使用人提高数据保护
13、意识,安全有效地进行数据交换。4工作内容及方法4.1 产品中心负责建立信息交换策略、程序和控制措施,以保护通过使用各种类型的通信设施的信息交换。4.2 公司配备专门的代理服务器,安装双网卡隔离外网网段和内网网段。服务器安装防火墙,对内网和外网的信息交换进行控制。4.3 公司局域网部署独立的邮件服务器,负责内部之间和内外部电子邮件的传递,通过防火墙进行发布。4.4 公司局域网部署文件服务器,用于内部部门间数据的交换,依照部门建立独立的文件夹和个人文件夹,并分配用户的使用权限。4.5 公司内部数据的交换涉及保密的,必须通过电子邮件进行传递,附件文件需要增设密码,点对点密码通讯,保证数据的保密性。4
14、.6 服务数据交换规定:4 .6.1服务数据文件由业务中心交给总经办,检验数据并与业务单核对无误后签字确认。5 .6.2总经办将处理后的数据文件刻录光盘或拷贝到专用移动介质,然后拷贝到内部相关电脑上,交接并签字确认。4.6.3拷贝完毕光盘交资料室存档,资料管理员核对无误后签字确认。4.6.4总经办定期按照数据备份规范进行数据文件备份。4.6.5数据文件待使用并检验完毕后,总经办进行数据删除,删除后记录删除文件批次。4.5总经办负责建立和实施保护与业务系统互联的信息的措施。4.硬件设备安全规范ISMS-WI041目的和适用范围为规范在公司范围内的个人PC机(电脑)及笔记本电脑等硬件设备设施的使用,防止因违规造成的设备损坏及公司重要信息、数据的泄露或丢失,特制定本文件。本规定主要涵盖公司范围内的所有涉及信息安全的硬件设备,主要内容为:网络服务器、客户端计算机、UPS、路由器、网络交换机、打印机、传真机、复印机、显