最新ISO27001信息安全管理体系全套文件（手册+程序文件+作业规范）信息安全管理体系程序文件目录信息安全管理体系作业文件目录1 适用本程序适用于公司信息安全事故、薄弱点、故障和风险处置的管理。

2 目的为建立一个适当信息安全事故、薄弱点、故障风险处置的报告、反应与处理机制，减少信息安全事故和故障所造成的损失，采取有效的纠正与预防措施，正确处置已经评价出的风险，特制定本程序。

3 职责3.1 各系统归口管理部门主管相关的安全风险的调查、处理及纠正措施管理。

3.2 各系统使用人员负责相关系统安全事故、薄弱点、故障和风险的评价、处置报告。

4 程序4.1 信息安全事故定义与分类：4.1.1 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响（后果)之一，均为信息安全事故：a) 企业秘密、机密及国家秘密泄露或丢失；b) 服务器停运4 小时以上；c) 造成信息资产损失的火灾、洪水、雷击等灾害；d) 损失在十万元以上的故障/事件。

4.1.2 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响（后果)之一，属于重大信息安全事故：a) 企业机密及国家秘密泄露；b) 服务器停运8 小时以上；c) 造成机房设备毁灭的火灾、洪水、雷击等灾害；d) 损失在一百万元以上的故障/事件。

4.1.3 信息安全事件包括：a) 未产生恶劣影响的服务、设备或者实施的遗失；b) 未产生事故的系统故障或超载；c) 未产生不良结果的人为误操作；d) 未产生恶劣影响的物理进入的违规e) 未产生事故的未加控制的系统变更；f) 策略、指南和绩效的不符合；g) 可恢复的软件、硬件故障；h) 未产生恶劣后果的非法访问。

4.2 故障与事故的报告渠道与处理4.2.1 故障、事故报告要求故障、事故的发现者应按照以下要求履行报告任务：a) 各个信息管理系统使用者，在使用过程中如果发现软硬件故障、事故，应该向该系统归口管理部门报告；如故障、事故会影响或已经影响线上生产，必须立即报告相关部门，采取必要措施，保证对生产的影响降至最低；b) 发生火灾应立即触发火警并向安全监督部报告，启动消防应急预案；c) 涉及企业秘密、机密及国家秘密泄露、丢失应向行政部报告；d) 发生重大信息安全事故，事故受理部门应向信息安全管理者代表和有关公司领导报告。

4.2.2 故障、事故的响应故障、事故处理部门接到报告以后，应立即进行迅速、有效和有序的响应，包括采取以下适当措施：a) 报告者应保护好故障、事故的现场，并采取适当的应急措施，防止事态的进一步扩大；b) 按照有关的故障、事故处理文件（程序、作业手册）排除故障，恢复系统或服务，必要时，启动业务持续性管理计划。

5 相关/支持性文件5.1《预防措施控制程序》5.2 《信息密级划分、标注及处理控制程序》5.3《信息安全奖励、惩戒规定》5.4 I《法律法规与符合性评估程序》6 记录保存期限6.1《信息安全风险评估报6.2《纠正/预防措施申请书》6.3《信息安全事故调查处理报告》6.4《信息安全薄弱点报告》1 目的与范围本程序规定了当发生重大信息安全事件或灾难时，为保护公司业务活动免受影响，迅速恢复已中断的业务活动，实现公司业务持续发展而实施的管理活动。

这些活动包括：建立业务持续性管理程序；进行业务持续性和影响分析；编制业务持续性战略计划；制订业务持续性管理实施计划并实施；对业务持续性管理计划进行定期测试和评审等。

本程序适应于本公司应用软件的开发和系统集成的活动等主要业务的持续性管理。

2 相关文件2.1《信息安全管理手册》2.2《信息资产的识别与风险评估管理程序》2.3《事故、薄弱点与故障管理程序》3 职责3.1 公司常务副总经理负责公司业务中断的恢复的总指挥与总协调。

3.2 集成部负责编制、修订公司业务持续性管理程序，并协调、推进公司业务持续性管理活动。

3.3 各部门负责部门相关系统的故障处理及与之相关的作业中断的恢复。

3.4 技术部负责项目实施过程中设备及软件系统的故障处理及与之相关的作业中断的恢复。

3.5 集成部负责后勤系统设备及网络系统的故障处理及与之相关的作业中断的恢复。

3.6 行政部负责本部门管理系统及与之相关的作业中断的恢复。

3.7 公司各部门在发生重大信息安全事件或灾难时，负责保护本部门使用的信息系统及业务数据，及时恢复中断的业务活动。

4 工作程序4.1 业务持续性管理过程公司业务持续性管理过程规定如下：4.2 业务持续性和影响的分析4.2.1 公司在首次信息安全风险评估后进行业务持续性和影响的分析。

4.2.2 业务持续性和影响的分析由集成部组织，技术部、行政部、生产部及管理者代表指定的相关部门分别开展以下活动：a)对本部门的信息安全进行风险评估；b)识别出对本部门业务持续性造成严重影响的主要事件，如设备故障、火灾等；c)分析这些事件一旦发生对公司业务活动造成的影响和损失，以及恢复业务所需费用等；d)编写本部门《业务持续性和影响分析报告》（格式见ISMS-4341)。

4.2.3《业务持续性和影响分析报告》应包括以下内容：a)识别关键业务的管理过程；b)可能引起公司业务活动中断的主要事件；c)主要事件对本部门管理的信息系统的影响；d)信息系统故障或中断对公司业务活动的影响；e)关于系统恢复或替换的费用考虑。

5 记录5.1《业务持续性和影响分析报告》5.2《业务持续性管理战略计划》5.3《业务持续性管理实施计划》5.4《业务持续性管理计划测试报告》5.5《业务持续性管理计划评审报告第一章总则第一条为保障公司的合法权益，充分发挥作为公司重要资产的技术秘密、商业秘密的效益，鼓励员工不断创造并自觉维护技术秘密、商业秘密的积极性，根据《知识产权管理总则》制订本制度。

第二条公司技术秘密、商业秘密的管理目标；技术秘密、商业秘密是本公司拥有的知识产权的组成部分，是公司的重要资产。

要在公司内牢固树立技术秘密、商业秘密的保护意识；技术秘密、商业秘密的管理贯穿研究开发、生产和经营的全过程。

明确商业秘密的界定和保护。

第三条公司内的相关管理制度、合同、记录等文献所有文件均属于商业机密。

第二章技术秘密、商业秘密的定义、确立和管理机制第四条 .本制度所称的技术秘密、商业秘密，是指由公司员工在职务范围内创造或履行职务产生的、经公司知识产权管理部门认定并采取了保密措施、只在公司一定范围内流传的、具有商业价值的所有信息或成果。

这些信息或成果以各种纸质材料、照片、录像和计算机等数字存储设备为载体而能够为人所感知。

具体包括：1.技术秘密。

包括：公司现有的或正在开发或者构思之中的或经过技术创新确定不宜于申请专利的营销方案，管理制度；2.经营信息包括：公司的市场营销计划、广告宣传方案、销售方法、供应商和客户名单、客户的专门需求、未公开的销售服务网络以及公司现有的、正在开发或者构思之中的经营项目等信息及其承载物；3.依据法律和有关协议对第三方负有保密责任的第三方商业秘密。

第五条. 确定为技术秘密、商业秘密的信息及其承载物，归公司所有。

第六条 . 技术秘密、商业秘密的确定程序：1.由参与药品研发创新，研发部就某一项或几项信息，向公司行政管理部门申报；2.行政董事接到申报后采取：a)指定参与者中一人专门保管成果或信息的承载物，可以采取加密措施。

被指定人一般是项目或业务负责人或菜肴创造者本人；b)向公司常务董事汇报并提出是否构成技术秘密、商业秘密建议。

必要时会同指定人向公司常务董事汇报；c) 公司行政董事在接到知识产权管理部门的汇报后应立即作出是否确定为技术秘密、商业秘密的决定；d)对于被确定为技术秘密、商业秘密的信息或成果，按照本制度第三章和第四章的有关规定具体落实管理措施。

e) 技术秘密、商业秘密的确定遵循随时产生随时确定的原则，实行动态管理；第七条商业秘密管理机制。

公司决策层负责技术秘密、商业秘密的整体工作。

及时、高效地作出审核、批准、否决等工作，定期检查各部门的保密工作，作出奖惩决定。

公司下属部门的负责人负责本部门的日常技术秘密、商业秘密管理和保护工作。

定期检查本部门的保密工作，配合支持知识产权管理部门履行公司技术秘密、商业秘密保护工作。

知识产权管理部门是公司技术秘密、商业秘密保护工作的职责机构，具体操作落实与协调商业秘密保护的各项工作.公司全体员工是技术秘密、商业秘密保护的实施者。

全体员工应当牢固树立知识产权意识，自觉维护公司的商业秘密。

第三章技术秘密、商业秘密及其承载物的管理第八条根据本制度第六条的规定，被决策层确立为技术秘密、商业秘密的信息或成果，由知识产权管理部门确立密级和保密期限。

密级划分的标准、保密期限的确立，要参考该信息或成果同公司业务的联系程度、与同行业竞争的影响力度、是否为公司运营的关键等因案，由知识产权管理部门划定。

商业秘密的申报人应当提供意见。

第九条按照技术秘密、商业秘密需要保密的程度，参考第八条的标准，技术秘密、商业秘密分为三级；绝密、机密、保密。

引外，对于不宜于对外的信息，由行政管理部门确立为“内部使用”的资料，参照本制度做好保密工作。

绝密——是指一旦泄漏会使公司遭受严重危害和重大损失的信息或成果，包括；公司核心管理秘密、技术诀窍、财务报表、药品研发工艺、特殊化合同。

机密——是指理一旦泄漏会使公司遭受危害和较大损失的信息，包括：产品开发、市场营销等各类工作计划、公司内部重要文件。

保密——是指一旦泄漏会使公司遭受损失的信息，包括；药品销售情况，用户名单及其分布，用户需求信息，限于一定范围阅读的公司内部文件等。

内部使用的信息或成果——是指一旦泄漏会对公司业务产生一定不良影响的可能的信息或成果，只限于内部员工阅读的公司内部文件。

第十条. 保密资料由专人负责管理。

公司财务部对交接来的技术秘密、商业秘密档案材料，根据其密级于档案卷宗封面加盖保密印章，登记、编号后统一放置保密资料专门存放处保存，并建立台帐登记，重要的资料柜实行双钥匙制度。

公司各部门要设立保密资科柜，用于存放各部门经常运用的或暂时无法交存公司财务部门保存的技术秘密、商业秘密档案材料，该资料拒应由专人管理。

第十一条 . 商业技术机密材料的借阅，必须经公司行政董事批准，确定借阅时间，使用后立即归还，不得延期，更不得交与他人使用。

第十二条 . 商业技术机密材料的复印，必须经公司行政董事批准后，由专人（理应是财务部经理）复印，未见公司行政董事批准意见，一律不得复印。

复印由专人负责，复印期间不得向他人泄漏，复印后应当立即将复印稿和原稿交还申请复印人，废稿要立即销毁，不得留存或随意丢弃。

第四章技术秘密、商业秘密的保障措施第十三条在本公司进行技术创新过程中，任何研发项目从立项之日起，围绕该项目的研发活动进入技术秘密、商业秘密保护范围内，产生的任何信息或成果，不论最终产生的知识产权形式如何，均作为公司的技术秘密、商业秘密进行保护。