iso27000信息安全管理

ISO27001-2003——等级保护三级要求对照 项目分类 等保分类 等保三级控制点 a) 应制定信息安全工作的总体方针和安全策略，说明等保控制目标 a) 应访谈安全主管，询问机构的制度体系是否由安全政策、安全策略、管理制度、操作A.5.1.1信息安全政策文件 ISO270000分类 ISO27000控制点 ISO27000控制目标 信息安全政策文件应由管理阶层核准，并公布与传达给所有聘雇人员与相关外部团体。 访谈，检查。 安全主管，总体方针、政策A.5.1信息安全政策 性文件和安全策略文件，安全管理制度清单，操作规程，评审记录。 调查方式 调查结果 机构安全工作的总体目标、规程等构成，是否定期对安全管理制度体系范围、原则和安全框架等； 进行评审，评审周期多长； b) 应对安全管理活动中的各类管理内容建立安全管7.2.1.1 管理制度7.2.1 安全管理制度 d) 应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。 （G3） 理制度； c) 应对要求管理人员或操作人员执行的日常管理操作建立操作规程； b) 应检查信息安全工作的总体方针、政策性文件和安全策略文件，查看文件是否

ISO27001-2003——等级保护三级要求对照 项目分类 等保分类 等保三级控制点 a) 应制定信息安全工作的总体方针和安全策略，说明等保控制目标 a) 应访谈安全主管，询问机构的制度体系是否由安全政策、安全策略、管理制度、操作A.5.1.1信息安全政策文件 ISO270000分类 ISO27000控制点 ISO27000控制目标 信息安全政策文件应由管理阶层核准，并公布与传达给所有聘雇人员与相关外部团体。 访谈，检查。 安全主管，总体方针、政策A.5.1信息安全政策 性文件和安全策略文件，安全管理制度清单，操作规程，评审记录。 调查方式 调查结果 机构安全工作的总体目标、规程等构成，是否定期对安全管理制度体系范围、原则和安全框架等； 进行评审，评审周期多长； b) 应对安全管理活动中的各类管理内容建立安全管7.2.1.1 管理制度7.2.1 安全管理制度 d) 应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。 （G3） 理制度； c) 应对要求管理人员或操作人员执行的日常管理操作建立操作规程； b) 应检查信息安全工作的总体方针、政策性文件和安全策略文件，查看文件是否

ISO27001-2003——等级保护三级要求对照 项目分类 等保分类 等保三级控制点 a) 应制定信息安全工作的总体方针和安全策略，说明等保控制目标 a) 应访谈安全主管，询问机构的制度体系是否由安全政策、安全策略、管理制度、操作A.5.1.1信息安全政策文件 ISO270000分类 ISO27000控制点 ISO27000控制目标 信息安全政策文件应由管理阶层核准，并公布与传达给所有聘雇人员与相关外部团体。 访谈，检查。 安全主管，总体方针、政策A.5.1信息安全政策 性文件和安全策略文件，安全管理制度清单，操作规程，评审记录。 调查方式 调查结果 机构安全工作的总体目标、规程等构成，是否定期对安全管理制度体系范围、原则和安全框架等； 进行评审，评审周期多长； b) 应对安全管理活动中的各类管理内容建立安全管7.2.1.1 管理制度7.2.1 安全管理制度 d) 应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。 （G3） 理制度； c) 应对要求管理人员或操作人员执行的日常管理操作建立操作规程； b) 应检查信息安全工作的总体方针、政策性文件和安全策略文件，查看文件是否

信息安全管理手册

信息安全管理体系

管理手册

ISMS-M-yyyy 版本号：A/1

受控状态： ■ 受 控 □ 非受控

编 制 编写组 yyyy-mm-dd

审 核 审核人A yyyy-mm-dd

批 准 总经理

yyyy-mm-dd 日期： 2016年1月8日 实施日期： 2016年1月8日

信息安全管理手册

修改履历

版本

制订者 修改时间 更改内容 审核人 审核意见 变更申请单号

同意 同意

第 2 页 共29 页

编写组 编写组

2016-1-08 2017-1-15

定版 定版

A/0 A/1

审核人A 审核人B

信息安全管理手册

ISO27001产品概述；

ISO/IEC27001 信息安全管理体系（ISMS——information security management system)是信息安全管理的国际标准。最初源于英国标准BS7799，经过十年的不断改版，最终再2005年被国际标准化组织（ISO）转化为正式的国际标准，目前国际采用进一步更新的ISO/IEC27001:2013作为企业建立信息安全管理的最新要求。该标准可用于组织的信息安全管理建设和实施，通过管理体系保障组织全方面的信息安全，采用PDCA过程方法，基于风险评估的风险管理理念，全面系统地持续改进组织的信息安全管理。

Plan规划：信息安全现状调研与诊断、定义ISMS的范围和方针、定义风险评估的系统性方针、资产识别与风险评估方法、评价风险处置的方法、明确控制目标并采取控制措施、输出合理的适用性声明（SOA）；

DO：实施控制的管理程序、实施所选择的控制措施、管理运行、资源提供、人员意识和能力培训；

Check:执行监视和测量管理程序、实施检查措施并定期评价其有效性、评估残余风险和可接受风险的等级、ISMS内部审核、ISMS管理评审、记录并报告所有活动和事态事件；Act：测量ISMS业绩、收集相关的改进建议并处

德信诚培训网

ISO27001信息密码口令管理规定

1 目的

为规范IT帐号及密码口令的管理，使IT帐号及密码口令实现集中管理特制订此文件。

2 范围

本程序适用于所有主机、系统、数据库等口令的管理以及个人计算机相关口令的管理。

3 相关文件

无

4 职责

4.1 总经理负责指定相关人员进行口令管理。

4.2 总经理指定的管理人员负责对口令的使用、保管、定期更改及临时口令的管理。

4.3 总经理负责对备份口令使用的审批。

5 程序 5.1 口令策略

所有计算机及系统用户在使用口令时应遵循以下原则：

5.1.1 保守口令的机密性，避免保留口令的字面记录，明文存储或明文网络传递。 5.1.2 任何时候有迹象表明系统或口令可能受到损害，就要更换口令。 5.1.3 口令最小长度8位，不要采用姓名、电话号码、生日等别人容易猜测或得

更多免费资料下载请进：http://www.55top.com

好好学习社区

德信诚培训网

到的口令，不要用连续的数字或字母群。

5.1.4 一般用户口令至少每季度变更一次，特权用户口令每60天变更一次；对于用户口令的变更会影响应用程序运行的情况，该用户的口令可以在适当的时机予以变更。

5.1.5 在第一次

2019年ISO27001信息安全管理体系内审检查表 审核日期：2019.10.11 序号 A.5信息安全方针 A.5.1信息安全管理指引 目标：提供符合有关法律法规和业务需求的信息安全管理指引和支持。 应定义信息安全方针，信息安全方针文件应经过管理A.5.1.1 信息安全方针 层批准，并向所有员工和相关方发布和沟通。 应定期或在发生重大的变化时评审方针文件，确保方A.5.1.2 信息安全方针的评审 针的持续性、稳定性、充分性和有效性。 A.6信息安全组织 A.6.1内部组织 目标：建立信息安全管理框架，在组织内部启动和控制信息安全实施。 A.6.1.1 A.6.1.2 A.6.1.3 A.6.1.4 信息安全的角色和职责 应定义和分配所有信息安全职责。 有冲突的职责和责任范围应分离，以减少对组织资产职责分离 未经授权访问、无意修改或误用的机会。 与监管机构的联系 应与相关监管机构保持适当联系。 项目内容 审核内容 审核记录 审核结果 备注 与特殊利益团体的联系 与特殊利益团体、其他专业安全协会或行业协会应保 持适当联系。 A.6.1.5 项目管理中的信息安全 实施任何项目

（很全面的体系文件，大公司审厂专用）

目录

一、 信息保密管理制度；5页 二、 信息安全惩戒管理制度；7页 三、 计算机及相关设备管理制度；4页 四、 计算机安全管理制度4页 五、 计算机帐号及密码管理制度4页 六、 计算机病毒防治管理制度5页 七、 供应商接待管理制度4页 八、 供应商信息安全管理自检表16页

信息保密管理制度

第一条 目的

为有效保护公司的设计成果等知识产权，防止公司的核心商业秘密泄露或被剽窃，防止不正当竞争，特制订本规定。

第二条 信息保密范围

公司所有的不为公众所知悉、能为公司带来经济利益、具有实用性并经公司采取保密措施的技术信息和经营信息。

具体包括但不限于：公司所有的产品规划、创意、设计方案、设计文件（含图纸及文档资料）、讨论结果结论；所有的资质认证的资料；所有的开发项目和进度；所有的技术资料和程序代码；所有的技术文档资料；所有的供应商资料；所有的采购数据；所有的客户资料及联络方式；所有的销售报表；所有的人事资料；所有的财务资料等。其他所有与公司经营管理相关的商业、技术、管理资料等公司认为需要保密的信息。

信息保密规则

第三条 各部门人员使用的所有办公用电脑，必须设置开机密码，密码除了使用人应牢记外，应向各部门经

文件编号: OP-ITSM-020

1.0 简介

文件名称: 信息安全管理规范 版本:1.0 为明确及落实「信息安全管理流程」的要求，清晰日常工作中的信息安全管理要求及措施，减少因信息安全做成的风险和业务损失。

2.0 适用范围

3.0 相关流程

4.0 定义

4.1 术语表

信息安全管理流程(OP-ITSM-015) 变更管理流程(OP-ITSM-010)

事件和服务请求管理流程(OP-ITSM-007) 此流程适用IT服务管理手册中定义的服务范围。

适用参考「信息安全管理流程」中定义的明细管理范围。

术语 保密协议 员工 资产 说明 保密协议是资方和劳方的双方行为，是通过合同约定劳方保密义务的手段，违反保密协议需要承担违约责任。 信息技术部有雇佣合同的同事及临时工。 对集团有价值的有形或无形物品， 例如可见的各类设备或不可见的系统数据。 泛指放置运行硬体设备的环境。包括为保证环境条件达成所设置的 机房环境 UPS、空调、配电系统、消防设备等设施。 机房区域分为设备区域及控制区域， 设备区域指伺服器、网络设机房区域 备等安装及提供服务的物理区域、控制区域是指KVM控制区域。 包括网络主机、网络设备及其相关配套的设备、

本文档根据ISO22163:2017 轨道交通行业最新版本要求编制而成,适合于公司内部审核以及过程改善,以及应对外部机构的审核

XXX股份有限公司

2018年ISO27001:2013 信息安全管理体系内部体系审核检查表

1

本文档根据ISO22163:2017 轨道交通行业最新版本要求编制而成,适合于公司内部审核以及过程改善,以及应对外部机构的审核

XXX股份有限公司

2018年ISO27001:2013 信息安全管理体系内部体系审核检查表

2

本文档根据ISO22163:2017 轨道交通行业最新版本要求编制而成,适合于公司内部审核以及过程改善,以及应对外部机构的审核

XXX股份有限公司

2018年ISO27001:2013 信息安全管理体系内部体系审核检查表

3

本文档根据ISO22163:2017 轨道交通行业最新版本要求编制而成,适合于公司内部审核以及过程改善,以及应对外部机构的审核

XXX股份有限公司

2018年ISO27001:2013 信息安全管理体系内部体系审核检查表

4