ISMS体系恶意软件控制程序.docVIP

中国3000万经理人首选培训网站 更多免费资料下载请进： 好好学习社区 信息安全管理体系恶意软件控制程序 1 适用 适用于本公司各部门对恶意软件的控制管理工作。 2 目的 为防止各类恶意软件造成破坏，确保公司的软件和信息的必威体育官网网址性、完整性与可用性。 3 职责 3.1 集成部是全公司恶意软件管理控制工作的主管部门，负责全公司防病毒软件的安装及病毒库的更新管理，为各部门信息处理设施的防范恶意软件提供技术性支持。 3.2 各部门具体负责其部门信息处理设施的病毒清杀及其它预防措施的实施。 4 工作程序 所谓恶意软件，是指编制或者在计算机程序中插入的破坏计算机功能、毁坏数据、窃取数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码，主要是指各类计算机病毒。 4.1 防范的措施，主要是安装防火墙、入侵检测系统、使用加密程序和安装杀病毒软件。 4.1.1 在对外互联的网络间，集成部安装防火墙、入侵检测系统、使用加密程序，同时在服 务器和客户端上安装杀病毒软件。各部门应根据集成部的安排，从指定的网络服务器上安装企业版防病毒软件；单独成网或存在单机的部门，应由本部门 PC 管理员或指定专人负责安 装防病毒软件，并周期性（如每周)对病毒库进行升级。 4.1.2 对于配置低、不适宜安装防病毒软件的微机，由部门每月至少一次进行病毒查杀和防 范控制，并填写《人工查杀病毒记录表》。 4.1.3 集成部负责设置企业版防病毒服务器，每日通过互联网自动进行病毒库的更新升级。 集成部负责各类系统的补丁升级。 4.1.4 各部门联网微机接受本公司防病毒服务器的管理，在每次开机时自动从防病毒服务器 上下载必威体育精装版病毒库。 4.1.5 特殊情况，如某种新恶性病毒大规模爆发，集成部系统管理员应立即升级病毒库，并 紧急通知全公司各部门立即进行病毒库更新升级，同时立即进行病毒扫描，并对病毒情况汇 报集成部部长。 4.1.6 各部门在使用部门以外的任何电子媒体前都应对其进行病毒扫描，对发现病毒的电子 媒体应禁用，待病毒清除后方可使用，对于不能清除的病毒，应及时报告集成部处理。 4.1.7 各部门用户应在计算机或其它电子信息处理设施的启动后检查是否已启动病毒实时监 测系统。如未启动，应在进行其他操作前启动病毒实时监测系统。 4.1.8 各部门在使用电子邮件或下载软件时应启动病毒实时监测系统的实时防护，以便对电 子邮件进行病毒检查。 4.1.9 集成部需加强对特洛伊木马的探测与防治。通过以下措施予以控制： a) 安装反病毒软件； b) 使用正版软件； c) 对软件更改进行控制； d) 对软件开发过程进行控制； e) 其他必要措施。 4.2 集成部组织各部门进行有关防病毒及其他后门程序等恶意软件预防工作的培训，使各部门明确病毒及其他恶意软件的管理程序及责任，具体执行相关的“教育培训规程”。 5 相关文件 5.1 ISMS-2028《重要信息备份管理程序》 5.2 ISMS-2027《计算机管理程序》 6 记录 ISMS-4291《人工查杀病毒记录表》，保存部门为病毒查杀部门，保管期限为 1 年 ISO27001信息安全管理标准理解及内审员培训   ISO27001信息安全管理标准理解及内审员培训    下载报名表   内训调查表 【课程描述】 ISO/IEC27001:2005信息技术安全管理体系要求用于组织的信息安全管理体系的建立和实施，保障组织的信息安全。本课程将详述ISO 27001:2005/ISO 27002:2005标准的每一个要求，指导如何管理信息安全风险，并附以大量的审核实战案例以作说明。内部审核部分将以ISO 19011:2002为基础，教授学员如何策划和实施信息安全管理体系内部审核活动。掌握该体系的具体执行程序和标准，并了解对该体系进行检查和审核的方法以及制作审核报告的技巧。 【课程帮助】 如果你想对本课程有更深入的了解，请参考 德信诚ISO27001内审员相关资料手册 【课程对象】 信息安全管理人员，欲将ISO27001导入组织的人员，在ISO27001实施过程中承担内部审核工作的人员，有志于从事IT信息安全管理工作的人员。 【课程大纲】 第一部分：ISO27001：2005信息安全概述、标准条款讲解◆ 信息安全概述：信息及信息安全，CIA目标，信息安全需求来源，信息安全管理。◆ 风险评估与管理：风险管理要素，过程，定量与定性风险评估方法，风险消减。◆ ISO/IEC 27001简介：ISO27001标准发展历史、现状和主要内容，ISO27001标准认证。◆ 信息安全管理实施细则：从十个方面介绍ISO27001的各项控制目标和控制措施。◆ 信息安全管理体系规范：ISO/I