信息安全管理实用规则ISO

信息技术 安全技术 信息安全管理实用规则

Information technology-Security techniques -Code of practice for information security management

（ISO/IEC 17799：2005）

目 次

引 言 ................................................................... III 0.1 什么是信息安全？ ..................................................... III 0.2 为什么需要信息安全？ ................................................. III 0.3 如何建立安全要求 ..................................................... III 0.4 评估安全风险 .......................................................... IV 0.5 选择控制措施 ..........

信息技术 安全技术 信息安全管理实用规则

Information technology-Security techniques -Code of practice for information security management

（ISO/IEC 17799：2005）

目 次

引 言 ................................................................... III 0.1 什么是信息安全？ ..................................................... III 0.2 为什么需要信息安全？ ................................................. III 0.3 如何建立安全要求 ..................................................... III 0.4 评估安全风险 .......................................................... IV 0.5 选择控制措施 ..........

信息安全管理手册

信息安全管理体系

管理手册

ISMS-M-yyyy 版本号：A/1

受控状态： ■ 受 控 □ 非受控

编 制 编写组 yyyy-mm-dd

审 核 审核人A yyyy-mm-dd

批 准 总经理

yyyy-mm-dd 日期： 2016年1月8日 实施日期： 2016年1月8日

信息安全管理手册

修改履历

版本

制订者 修改时间 更改内容 审核人 审核意见 变更申请单号

同意 同意

第 2 页 共29 页

编写组 编写组

2016-1-08 2017-1-15

定版 定版

A/0 A/1

审核人A 审核人B

信息安全管理手册

ISO27001产品概述；

ISO/IEC27001 信息安全管理体系（ISMS——information security management system)是信息安全管理的国际标准。最初源于英国标准BS7799，经过十年的不断改版，最终再2005年被国际标准化组织（ISO）转化为正式的国际标准，目前国际采用进一步更新的ISO/IEC27001:2013作为企业建立信息安全管理的最新要求。该标准可用于组织的信息安全管理建设和实施，通过管理体系保障组织全方面的信息安全，采用PDCA过程方法，基于风险评估的风险管理理念，全面系统地持续改进组织的信息安全管理。

Plan规划：信息安全现状调研与诊断、定义ISMS的范围和方针、定义风险评估的系统性方针、资产识别与风险评估方法、评价风险处置的方法、明确控制目标并采取控制措施、输出合理的适用性声明（SOA）；

DO：实施控制的管理程序、实施所选择的控制措施、管理运行、资源提供、人员意识和能力培训；

Check:执行监视和测量管理程序、实施检查措施并定期评价其有效性、评估残余风险和可接受风险的等级、ISMS内部审核、ISMS管理评审、记录并报告所有活动和事态事件；Act：测量ISMS业绩、收集相关的改进建议并处

德信诚培训网

ISO27001信息密码口令管理规定

1 目的

为规范IT帐号及密码口令的管理，使IT帐号及密码口令实现集中管理特制订此文件。

2 范围

本程序适用于所有主机、系统、数据库等口令的管理以及个人计算机相关口令的管理。

3 相关文件

无

4 职责

4.1 总经理负责指定相关人员进行口令管理。

4.2 总经理指定的管理人员负责对口令的使用、保管、定期更改及临时口令的管理。

4.3 总经理负责对备份口令使用的审批。

5 程序 5.1 口令策略

所有计算机及系统用户在使用口令时应遵循以下原则：

5.1.1 保守口令的机密性，避免保留口令的字面记录，明文存储或明文网络传递。 5.1.2 任何时候有迹象表明系统或口令可能受到损害，就要更换口令。 5.1.3 口令最小长度8位，不要采用姓名、电话号码、生日等别人容易猜测或得

更多免费资料下载请进：http://www.55top.com

好好学习社区

德信诚培训网

到的口令，不要用连续的数字或字母群。

5.1.4 一般用户口令至少每季度变更一次，特权用户口令每60天变更一次；对于用户口令的变更会影响应用程序运行的情况，该用户的口令可以在适当的时机予以变更。

5.1.5 在第一次

2019年ISO27001信息安全管理体系内审检查表 审核日期：2019.10.11 序号 A.5信息安全方针 A.5.1信息安全管理指引 目标：提供符合有关法律法规和业务需求的信息安全管理指引和支持。 应定义信息安全方针，信息安全方针文件应经过管理A.5.1.1 信息安全方针 层批准，并向所有员工和相关方发布和沟通。 应定期或在发生重大的变化时评审方针文件，确保方A.5.1.2 信息安全方针的评审 针的持续性、稳定性、充分性和有效性。 A.6信息安全组织 A.6.1内部组织 目标：建立信息安全管理框架，在组织内部启动和控制信息安全实施。 A.6.1.1 A.6.1.2 A.6.1.3 A.6.1.4 信息安全的角色和职责 应定义和分配所有信息安全职责。 有冲突的职责和责任范围应分离，以减少对组织资产职责分离 未经授权访问、无意修改或误用的机会。 与监管机构的联系 应与相关监管机构保持适当联系。 项目内容 审核内容 审核记录 审核结果 备注 与特殊利益团体的联系 与特殊利益团体、其他专业安全协会或行业协会应保 持适当联系。 A.6.1.5 项目管理中的信息安全 实施任何项目

标准文档

企业信息化标准

QB/JF.12001-2007

编码规则

受控状态:

发放编号:

版号: A/0

2007-06-08发布2007-07-01实施实用文案

标准文档

实用文案

XXXXXX有限公司发布

XXXXXXXXX有限公司企业编码标准

QB/JF.12001-2007 公司组织机构编码规则

本标准参照了根据XXXXXXXXX有限公司对组织机构管理的需要，结合实际情况制定。

本标准起草部门：XXXXXXXXX有限公司信息系统部。

1主题内容与适用范围

本标准规定了XXXXXXXXX有限公司组织机构的分级、代码管理。

本标准适用于XXXXXXXXX有限公司组织的管理、登记、统计及会计核算等工作。

2术语

公司:具有独立法人资格或需要独立核算管理的分支机构或企业，可以定义为公司。

部门:有明确的职能范围和工作职责的组织。

3分类原则

本标准根据企业需要不设分类。

4编码方法

4.1本标准采用分级数字代码结构，共分五层，最长码为9位，第一层以一位阿拉伯数字表示,代表集团号；第二层以2位阿拉伯数字表示，代表集团部门，其中99表示分厂;第三层以两位阿拉伯数字表示, 表示集团部门下属机构或分厂的序号;第四层以两位阿拉伯数字表示，表示分厂下属部门;第五层以两位阿拉伯数字表示，表示分厂下属

标准文档

企业信息化标准

QB/JF.12001-2007

编码规则

受控状态:

发放编号:

版号: A/0

2007-06-08发布2007-07-01实施实用文案

标准文档

实用文案

XXXXXX有限公司发布

XXXXXXXXX有限公司企业编码标准

QB/JF.12001-2007 公司组织机构编码规则

本标准参照了根据XXXXXXXXX有限公司对组织机构管理的需要，结合实际情况制定。

本标准起草部门：XXXXXXXXX有限公司信息系统部。

1主题内容与适用范围

本标准规定了XXXXXXXXX有限公司组织机构的分级、代码管理。

本标准适用于XXXXXXXXX有限公司组织的管理、登记、统计及会计核算等工作。

2术语

公司:具有独立法人资格或需要独立核算管理的分支机构或企业，可以定义为公司。

部门:有明确的职能范围和工作职责的组织。

3分类原则

本标准根据企业需要不设分类。

4编码方法

4.1本标准采用分级数字代码结构，共分五层，最长码为9位，第一层以一位阿拉伯数字表示,代表集团号；第二层以2位阿拉伯数字表示，代表集团部门，其中99表示分厂;第三层以两位阿拉伯数字表示, 表示集团部门下属机构或分厂的序号;第四层以两位阿拉伯数字表示，表示分厂下属部门;第五层以两位阿拉伯数字表示，表示分厂下属

（很全面的体系文件，大公司审厂专用）

目录

一、 信息保密管理制度；5页 二、 信息安全惩戒管理制度；7页 三、 计算机及相关设备管理制度；4页 四、 计算机安全管理制度4页 五、 计算机帐号及密码管理制度4页 六、 计算机病毒防治管理制度5页 七、 供应商接待管理制度4页 八、 供应商信息安全管理自检表16页

信息保密管理制度

第一条 目的

为有效保护公司的设计成果等知识产权，防止公司的核心商业秘密泄露或被剽窃，防止不正当竞争，特制订本规定。

第二条 信息保密范围

公司所有的不为公众所知悉、能为公司带来经济利益、具有实用性并经公司采取保密措施的技术信息和经营信息。

具体包括但不限于：公司所有的产品规划、创意、设计方案、设计文件（含图纸及文档资料）、讨论结果结论；所有的资质认证的资料；所有的开发项目和进度；所有的技术资料和程序代码；所有的技术文档资料；所有的供应商资料；所有的采购数据；所有的客户资料及联络方式；所有的销售报表；所有的人事资料；所有的财务资料等。其他所有与公司经营管理相关的商业、技术、管理资料等公司认为需要保密的信息。

信息保密规则

第三条 各部门人员使用的所有办公用电脑，必须设置开机密码，密码除了使用人应牢记外，应向各部门经

作者：孙军科

信息安全技术教程习题及答案 第一章 概述 一、判断题

1. 信息网络的物理安全要从环境安全和设备安全两个角度来考虑。√ 2. 计算机场地可以选择在公共区域人流量比较大的地方。× 3. 计算机场地可以选择在化工厂生产车间附近。× 4. 计算机场地在正常情况下温度保持在 18~28 摄氏度。√ 5. 机房供电线路和动力、照明用电可以用同一线路。×

6. 只要手干净就可以直接触摸或者擦拔电路组件，不必有进一步的措施。×

7. 备用电路板或者元器件、图纸文件必须存放在防静电屏蔽袋内，使用时要远离静电敏感器件。√

8. 屏蔽室是一个导电的金属材料制成的大型六面体，能够抑制和阻挡电磁波在空气中传播。

√

9. 屏蔽室的拼接、焊接工艺对电磁防护没有影响。× 10. 由于传输的内容不同，电力线可以与网络线同槽铺设。×

11. 接地线在穿越墙壁、楼板和地坪时应套钢管或其他非金属的保护套管，钢管应与接地线做电气连通. √

12. 新添设备时应该先给设备或者部件做上明显标记，最好是明显的无法除去的标记 ,以防更换和方便查找赃物。√

13.TEMPEST 技术，是指在设计和生产计算机设备时，就对可能产生电磁辐射的元器 件、集成电路、连接线、显示器等采取防