目录一、物理访问制度ISMS-3001 (1)1.目的 (1)2.范围 (1)3.职责 (1)4.员工外出管理 (1)5.来宾出入管理规定 (1)6.相关记录无 (2)二、外部相关方信息安全管理规程ISMS-3002 (2)1.目的 (2)2.范围 (2)3.职责 (2)4.管理规定 (2)三、与政府相关资质申报及年审规定ISMS-3003 (3)1.目的: (3)2.职责: (3)3.技术部相关管理要求: (3)4.相关资质申报年审管理要求 (3)四、信息系统容量规划及验收管理制度ISMS-3004 (4)1.目的 (4)2.范围 (4)3.职责 (4)4.内容 (4)五、信息资产密级管理规定ISMS-3005 (4)1.目的 (5)2.范围 (5)3.保密信息定义 (5)4.秘密等级区分 (5)5.信息的分类 (5)6.保密文件的标识 (5)7.传送 (6)8.其它 (6)六、信息系统设备管理规定ISMS-3006 (6)1.目的和范围 (7)2.引用文件 (7)3.职责 (7)4.设备管理流程 (7)5.实施策略 (10)6.相关记录 (10)七、机房管理规定ISMS-3007 (10)1.目的和范围 (10)2.引用文件 (11)3.职责和权限 (11)4.机房出入制度 (11)5.机房环境管理 (11)6.机房设备管理 (12)7.相关记录 (12)八、笔记本电脑管理规定ISMS-3008 (13)1.目的 (13)2.引用文件 (13)3.职责和权限 (13)4.笔记本电脑使用规定 (13)5.安全配置规定 (14)6.外部人员使用笔记本的规定 (14)7.客户现场管理规定 (15)8.实施策略 (15)9.相关记录 (15)九、介质管理规定ISMS-3009 (15)1.目的和范围 (15)2.引用文件 (15)3.职责和权限 (16)4.介质管理 (16)5.实施策略 (18)6.相关记录 (18)十、变更管理规定ISMS-3010 (18)1.目的 (18)2.引用文件 (18)3.职责和权限 (19)4.变更步骤管理 (19)5.程序 (19)十一、第三方服务管理规定ISMS-3011 (21)1.目的和范围 (21)2.引用文件 (21)3.职责和权限 (21)4.第三方服务管理规定 (21)5.实施策略 (22)十二、数据备份管理规定ISMS-3012 (23)1.目的和范围 (23)2.引用文件 (23)3.职责和权限 (23)4.备份管理 (23)5.备份的验证 (24)十三、邮件管理规定ISMS-3013 (25)1.目的和范围 (25)2.引用文件 (25)3.职责和权限 (25)4.电子邮件的帐户管理 (25)5.电子邮件使用规定 (26)6.邮件使用规定 (26)7.实施策略 (27)8.相关记录 (27)十四、软件管理规定ISMS-3014 (27)1.目的和范围 (27)2.引用文件 (27)3.职责与权限 (27)4.软件管理 (28)5.审核、批准、发布 (28)6.软件归档和存放 (28)7.软件使用 (29)8.修订与升级 (29)9.软件作废 (29)10.实施策略 (29)11.相关记录 (30)十五、系统监控管理规定ISMS-3015 (30)1.目的 (30)2.引用文件 (30)3.职责 (30)4.系统监控管理 (30)十六、补丁管理规定ISMS-3016 (31)1.目的 (31)2.引用文件 (31)3.职责与权限 (31)4.补丁管理规定 (31)5.其他补丁： (32)6.实施策略 (32)7.相关记录 (33)十七、信息系统审核规范ISMS-3017 (33)1.目的和范围 (33)2.术语和定义 (33)3.引用文件 (33)4.职责和权限 (34)5.活动描述 (34)6.审核注意事项： (35)十八、基础设施及服务器网络管理制度ISMS-3018 (35)1.机房安全管理程序 (35)2.重要信息备份管理程序 (38)3.目的 (39)4.机房设备维护管理制度 (41)十九、信息系统安全应急预案ISMS-3019 (42)1.电力系统故障的应急处理 (42)2.消防系统应急处理 (42)3.网络信息系统故障的应急处理 (43)4.网站与应用系统应急处理 (43)5.黑客入侵的应急处理 (44)6.大规模病毒（含恶意软件）攻击的应急处理 (44)二十、终端计算机使用管理制度ISMS-3020 (45)1.计算机使用管理 (45)2.存储介质的管理 (47)3.办公软件使用管理规定 (48)二十一、信息安全管理规范和操作指南ISMS-3021 (51)1.总则 (51)2.物理安全 (52)3.计算机的物理安全管理 (52)4.紧急情况 (52)5.网络系统安全管理 (52)6.网络安全检测。

(53)7.信息系统安全管理 (53)8.信息系统的内部管理 (54)9.密码管理 (55)一、物理访问制度ISMS-30011. 目的为了保障公司办公区域资讯信息安全和员工人身及财物安全，防止公司财产流失，特制定本制度。

2. 范围本制度适用于公司员工外出及外来人员进入公司出入管理。

3. 职责公司设立接待人员,负责来访人员登记管理。

4. 员工外出管理员工因工作需要外出,需向相应上一级主管作出事由说明,经批准后方可外出。

到客户现场提供服务或工作的人员,需带公司胸卡。

5. 来宾出入管理规定(1)凡是来宾访客（包括外包协作厂商、客户及政府等来访人员）进入公司内时，一律须出示其有效证件，说明来访事由，经被访人同意后，方可允许相关人员进入办公区。

(2)团体来宾参观时，在得到总经理或副总的许可后，须由相关人员陪同方可进入。

(3)员工亲友私事来访时，除特殊紧急事故，经其部门主管核准外，不得在上班时间内会客，亲友须于会客区内等候至下班时会见。

(4)公司内部核心区域出入管理规定1)敏感区域公司敏感区域主要为内部机房和经理室.公司安装监控器;实施办公区域24小时监控.2)如需进入上述敏感区域，需经管理者代表/总经理同意,否则不得进入。

相关文件物理访问控制程序6. 相关记录无二、外部相关方信息安全管理规程ISMS-30021. 目的为确保被外部相关方访问、处理、共享、管理的组织信息及信息处理设施的安全，特制定本管理规定。

2. 范围本管理规定适用于公司外部相关方(包括顾客.供方.第三方)管理。

3. 职责技术部系统管理员负责制定本规定并负责执行。

4. 管理规定(1)第三方物理访问须经公司被访问部门的授权,具体执行《访客管理制度》.(2)公司与顾客需明确规定信息安全要求，公司规定在与客户签订合同中需规定必要的安全要求。

(3)服务器访问权需由技术部统一授权给用户,一个用户给予惟一账号,口令自行保管.(4)本公司公网接入服务提供方等为外包过程,此类外包服务商应由技术部组织签订服务协议/合同,并应收集其相关资质,经公司评估成为合格供方后方可与之进行经济来往.(5)采购供方或任何其它相关方人员现场访问公司现场时,需由技术部接待,需要涉及到公司重要应用软件、重要设施及重要数据的访问时,必须由技术部人员授权方可使用或查阅,涉及到资料复制名外借时,公司重要数据和文件需征得总经理同意.(6)《服务合同》1年注意更新。

三、与政府相关资质申报及年审规定ISMS-30031. 目的:为公司对外与政府相关部门的相关业务联系提供指导;2. 职责:技术部负责各项政府项目的申报。

财务部负责报税和营业执照年审。

3. 技术部相关管理要求:(1)申报相关流程;由技术部按各政府部门项目申报的要求下载相关表格,并按要求组织填报.(2)申报涉及到相关经营数据的审核相关经营数据在上报给政府部门前，先由核对数据，再交由综合部，审核通过后由总经理盖公司公章。

(3)技术部申报材料的备份管理所有上报给政府部门的文件数据都备份一份，由技术部资质人员整理归档保存在办公室档案室中，并记录档案文件编号。

(4)材料保密要求所有档案文件材料由技术部专员负责看管，其他人员如要查阅，需先向技术申请，获得总经理批准认可后，到存放档案的办公室中查阅相关文件，档案文件不允许带出办公室。

4. 相关资质申报年审管理要求(1)报税管理要求用政府财税处相关报税软件，在线填写企业经营数据，完成后由软件系统上报。

(2)营业执照管理要求接到政府相关部门通知后，持企业营业执照到指定政府办事处办理营业执照年审手续。

四、信息系统容量规划及验收管理制度ISMS-30041. 目的针对已确定的服务级别目标和业务需求来设计、维持相应的技术部服务能力，从而确保实际的技术部服务能够满足服务要求。

2. 范围适用于公司所有硬件、软件、外围设备、人力资源容量管理。

3. 职责技术部负责确定、评估容量需求。

4. 内容(1)容量管理包括：服务器,重要网络设备：LAN、WAN、防火墙、路由器等；所有外围设备：存储设备、打印机等；所有软件：操作系统、网络、内部开发的软件包和购买的软件包；人力资源：要维持有足够技能的人员。

(2)对于每一个新的和正在进行的活动来说，公司管理层应识别容量要求。

(3)公司管理层每年应在管理评审时评审系统容量的可用性和效率。

公司管理层应特别关注与订货交货周期或高成本相关的所有资源，并监视关键系统资源的利用，识别和避免潜在的瓶颈及对关键员工的依赖。

(4)技术部应根据业务规划、预测、趋势或业务需求,定期预测施加于综合部系统上的未来的业务负荷以及组织信息处理能力，以适当的成本和风险按时获得所需的容量,五、信息资产密级管理规定ISMS-30051. 目的确保公司营运利益，并防止与公司营运相关的保密信息泄漏。

2. 范围本办法适用于公司所有员工。

3. 保密信息定义保密信息指与公司营运相关且列入机密等级管理的相关信息。

4. 秘密等级区分机密等级分为秘密、内控、公开三类，区分标准如下：(1)秘密：凡该信息泄漏后，足以严重损害本公司利益或有利于竞争对手的。

(2)内控：凡该信息泄漏后，虽不致直接影响本公司利益，但可能使本公司经营管理因而造成困扰，需限制其阅读对象的。

(3)内控：凡该信息泄漏后，虽不致直接影响本公司利益，但可能使本公司经营管理因而造成困扰，需限制其阅读对象的。

(4)公开：指可对社会公开的信息，公用的信息处理设备和系统资源.5. 信息的分类(1)信息资产的分类可参见附件＂信息分类表＂。

如未列入分类表的信息资产，可依照下面的原则进行判断：(2)秘密，由信息保管单位主管判定，且至少须为部门以上主管。

(3)内控，由保密信息保管单位自行判定。

6. 保密文件的标识(1)文件类的信息在判定等级后，加盖印章于文件及附件各页右上角或其它明显处。