ISO27001:2013

Information technology- Security techniques

-Information security management systems-Requirements

信息技术-安全技术-信息安全管理体系-要求

Foreword

前 言

ISO (the International Organization for Standardization) and IEC (the International Electro

technical Commission) form the specialized system for worldwide standardization.

National bodies that are members of ISO or IEC participate in the development of

International Standards through technical committees established by the respective

organization to deal with particular fields of technical activity. I

德信诚培训网

ISO27001信息密码口令管理规定

1 目的

为规范IT帐号及密码口令的管理，使IT帐号及密码口令实现集中管理特制订此文件。

2 范围

本程序适用于所有主机、系统、数据库等口令的管理以及个人计算机相关口令的管理。

3 相关文件

无

4 职责

4.1 总经理负责指定相关人员进行口令管理。

4.2 总经理指定的管理人员负责对口令的使用、保管、定期更改及临时口令的管理。

4.3 总经理负责对备份口令使用的审批。

5 程序 5.1 口令策略

所有计算机及系统用户在使用口令时应遵循以下原则：

5.1.1 保守口令的机密性，避免保留口令的字面记录，明文存储或明文网络传递。 5.1.2 任何时候有迹象表明系统或口令可能受到损害，就要更换口令。 5.1.3 口令最小长度8位，不要采用姓名、电话号码、生日等别人容易猜测或得

更多免费资料下载请进：http://www.55top.com

好好学习社区

德信诚培训网

到的口令，不要用连续的数字或字母群。

5.1.4 一般用户口令至少每季度变更一次，特权用户口令每60天变更一次；对于用户口令的变更会影响应用程序运行的情况，该用户的口令可以在适当的时机予以变更。

5.1.5 在第一次

XXXXXX软件有限公司 人性化科技提升业绩

物理环境安全管理制度

目录

1目的和范围 ........................................................................................................ 1 2引用文件 ............................................................................................................ 2 3职责和权限 ........................................................................................................ 2 4身份管理 ..........................................................................................

信息安全管理手册

信息安全管理体系

管理手册

ISMS-M-yyyy 版本号：A/1

受控状态： ■ 受 控 □ 非受控

编 制 编写组 yyyy-mm-dd

审 核 审核人A yyyy-mm-dd

批 准 总经理

yyyy-mm-dd 日期： 2016年1月8日 实施日期： 2016年1月8日

信息安全管理手册

修改履历

版本

制订者 修改时间 更改内容 审核人 审核意见 变更申请单号

同意 同意

第 2 页 共29 页

编写组 编写组

2016-1-08 2017-1-15

定版 定版

A/0 A/1

审核人A 审核人B

信息安全管理手册

XXXXXX软件有限公司 人性化科技提升业绩

物理环境安全管理制度

目录

1目的和范围 ........................................................................................................ 1 2引用文件 ............................................................................................................ 2 3职责和权限 ........................................................................................................ 2 4身份管理 ..........................................................................................

信息安全管理体系内审员考试试题

姓名：

工作单位：

单项选 多项选 考试日期：

年 月

日

类别 择题 判断题 简答题 择题 阐述题 案例分析 总得分 得分 阅卷人签字

复核人签字

一、单项选择题（每题 1 分，共 15 分）

从以下每题的几个答案中选择一个你认为最合适的，并将答案代号填入（ ）中。

（ ）1．ISO/IEC 27001 从 的角度，为建立、实施、运行、监视、评审、保

持和改进文件化的 ISMS 规定了要求。 a） 客户安全要求 b） 组织整体业务风险 c） 信息安全法律法规 d） 以上都不对

（ ）2．组织声称符合 ISO/IEC 27001 时， 的要求可删减。

a） 第 4 章 b） 第 5 章 c） 第 7 章 d） 附录 A

（ ）3．审核准则是指

a） 一组方针、程序或要求 b） 一组能够证实的记录、事实陈述或其他信息 c） 一组约束审核行为的规范 d） 以上都不对

（ ）4．审核计划

a） 应由受审核方确认，可适当调整 b） 一经确定，不能改动 c） 受审核方可随意改动 d） 以上都不对

（ ）5．以下哪一种描述不适合信息安全管理体系？

a） 是指

信息安全管理体系内审员考试试题

姓名：

工作单位：

单项选 多项选 考试日期：

年 月

日

类别 择题 判断题 简答题 择题 阐述题 案例分析 总得分 得分 阅卷人签字

复核人签字

一、单项选择题（每题 1 分，共 15 分）

从以下每题的几个答案中选择一个你认为最合适的，并将答案代号填入（ ）中。

（ ）1．ISO/IEC 27001 从 的角度，为建立、实施、运行、监视、评审、保

持和改进文件化的 ISMS 规定了要求。 a） 客户安全要求 b） 组织整体业务风险 c） 信息安全法律法规 d） 以上都不对

（ ）2．组织声称符合 ISO/IEC 27001 时， 的要求可删减。

a） 第 4 章 b） 第 5 章 c） 第 7 章 d） 附录 A

（ ）3．审核准则是指

a） 一组方针、程序或要求 b） 一组能够证实的记录、事实陈述或其他信息 c） 一组约束审核行为的规范 d） 以上都不对

（ ）4．审核计划

a） 应由受审核方确认，可适当调整 b） 一经确定，不能改动 c） 受审核方可随意改动 d） 以上都不对

（ ）5．以下哪一种描述不适合信息安全管理体系？

a） 是指

ISO27001变更管理控制程序

1 目的

为减少由变更所造成的问题对核心系统及其它基础环境的影响，将由变更所可能导致的服务中断对业务的影响降至最低，特制订本程序。

2 范围

本程序适用于IT基础架构、环境、系统、应用、人员等变更的管理。

3 相关文件 4 职责

4.1 变更需求部门人员负责提出变更请求，需求部门主管审批变更请求；

4.2网管人员（服务台负责人）及接到用户变更请求的系统管理员负责变更过程的策划，并提交相关领导审批；

4.3 信息科技部总经理负责重大变更的审批。 4.4 各系统负责人负责具体变更活动的实施。

5 程序

5.1 变更的范围

在本程序中对变更的定义为：可能影响到银行IT基础环境的一种物理或流程的改变，一般情况下，变更仅仅在必须的情况下才进行实施。

a) 解决IT环境现有或未来存在的问题 b) 为满足业务需求提供新的或修改的功能

本流程仅仅包括IT基础环境或与基础环境相连的系统，本变更管理流程也由此些内容组成：

a) 针对物理设备的变更 (e.g. 服务器，客户端，网络布线，网络设备，硬盘，路由器等)

b) 针对通讯和协议方面的变更(e.g. IP地址，相关变量设置等)

c) 针对操作系统的变更，包括网络操作系统 (e.g. 安装，版本控制，系统设置

信息安全管理体系内审员考试试题

姓名：

工作单位：

单项选 多项选 考试日期：

年 月

日

类别 择题 判断题 简答题 择题 阐述题 案例分析 总得分 得分 阅卷人签字

复核人签字

一、单项选择题（每题 1 分，共 15 分）

从以下每题的几个答案中选择一个你认为最合适的，并将答案代号填入（ ）中。

（ ）1．ISO/IEC 27001 从 的角度，为建立、实施、运行、监视、评审、保

持和改进文件化的 ISMS 规定了要求。 a） 客户安全要求 b） 组织整体业务风险 c） 信息安全法律法规 d） 以上都不对

（ ）2．组织声称符合 ISO/IEC 27001 时， 的要求可删减。

a） 第 4 章 b） 第 5 章 c） 第 7 章 d） 附录 A

（ ）3．审核准则是指

a） 一组方针、程序或要求 b） 一组能够证实的记录、事实陈述或其他信息 c） 一组约束审核行为的规范 d） 以上都不对

（ ）4．审核计划

a） 应由受审核方确认，可适当调整 b） 一经确定，不能改动 c） 受审核方可随意改动 d） 以上都不对

（ ）5．以下哪一种描述不适合信息安全管理体系？

a） 是指

XXXXXXXXX有限责任公司 信息系统访问与使用监控管理程序

[XXXX-B-16]

V1.0

发布日期 发布部门 实施日期 2015年02月01日 信息安全小组 2015年02月01日

信息系统访问与使用监控管理程序

变更履历

版本 1.0 变更履历 初次发布 变更人/变更日期 审核人/审核日期 批准人/批准日期 i

信息系统访问与使用监控管理程序

1 目的

为了加强信息系统的监控，对组织内信息系统安全监控和日志审核工作进行管理，特制定本程序。

2 范围

本程序适用于XXXXXXXXX有限责任公司信息系统安全监控和日志审核工作的管理。

3 职责

3.1 技术部

为网络安全的归口管理部门。 3.2 网络安全管理员

负责对信息系统安全监控和日志的审核管理。

4 相关文件

《信息安全管理手册》 《信息安全事件管理程序》

5 程序

5.1 日志

技术部负责生成记录信息系统网络设备运行状况、网络流量、用户活动、例外和信息安全事件的监测日志，并保存半年，以