ISO 22301业务连续性管理体系程序文件及作业指导书汇编.docx

文件管制一览表 序号 文件名称 文件编号 版本 1 访问控制策略 0.0 2 口令控制策略 0.0 3 清洁桌面和清屏策略 0.0 4 特权访问管理策略 0.0 5 电子邮件策略 0.0 6 病毒防范策略 0.0 7 网络访问策略 0.0 8 网络配置安全策略 0.0 9 设备及布缆安全策略 0.0 10 风险机会管理计划 0.0 11 业务连续性策略控制 0.0 12 业务连续性计划 0.0 13 消防安全管理制度 0.0 文件管制一览表 序号 文件名称 文件编号 版本 1 法律法规及相关方要求控制程序 0.0 2 业务连续性承诺及方针管理程序 0.0 3 风险和机会控制程序 0.0 4 资源控制程序 0.0 5 人力资源控制程序 0.0 6 信息交流沟通控制程序 0.0 7 存档信息控制程序 0.0 8 实施策划和控制程序 0.0 9 业务影响分析控制程序 0.0 10 风险评估控制程序 0.0 11 备份和恢复管理程序 0.0 12 供应商管理程序 0.0 13 顾客反馈投诉控制程序 0.0 14 外部提供过程产品服务控制程序 0.0 15 业务连续性管理程序 0.0 16 预警沟通管理程序 0.0 17 应急准备响应管理程序 0.0 18 监测分析评价程序 0.0 19 内部审核控制程序 0.0 20 管理评审控制程序 0.0 21 持续改进控制程序 0.0 22 不合格纠正措施控制程序 0.0 23 事件恢复控制程序 0.0 访问控制策略 发布部门 管理部 生效时间 2019年03月10日 批准人 文件编号 002-009 介绍 应根据业务和安全要求，控制对信息和信息系统的访问。 目 的 该策略的目的是为了控制对信息和信息系统的访问。 适用范围 该策略适用于进行信息和信息系统访问的所有人员。 术语定义 略 访问 控制 策略 公司内部可公开的信息不作特别限定，允许所有用户访问； 公司内部部分公开信息，根据业务需求访问，访问人员提出申请，经访问授权管理部门认可，访问授权实施部门实施后用户方可访问； 公司网络、信息系统根据业务需求访问，访问人员提出申请，认可，实施后用户方可访问； 管理部安全管理员按规定周期对访问授权进行检查和评审； 访问权限应及时撤销，如在申请访问时限结束时、员工聘用期限结束时、第三方服务协议中止时； 用户不得访问或尝试访问未经授权的网络、系统、文件和服务； 远程用户应该通过公司批准的连接方式； 在防火墙内部连接内部网络的计算机不允许连接INTERNET ，除非获得管理部的批准； 用户不得以任何方式私自安装路由器、交换机、代理服务器、无线网络访问点 ( 包括软件和硬件 ) 等； 在信息网、外联网安装新的服务 ( 包括软件和硬件 ) 必须获得管理部的批准； 用户不得私自撤除或更换网络设备。 惩罚 违背该策略可能导致：员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除；另外， 这些人员还可能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉。 引用标准 略 口令控制策略 发布部门 管理部 生效时间 2019年03月10日 批准人 文件编号 002-001 介绍 用户授权是控制信息资源访问者的一种方式。对访问进行控制是任何信息资源所必须的。未经授权的人员访问到信息资源可能会引起信息必威体育官网网址性、完整性共和可用性的丢失，导致收入、信誉的损失或经济困难。 使用下列两个个要素可以鉴别用户，即： 你知道 – 口令识别号（ PIN ） 你持有 – 智能卡 目 的 该策略的目的是为用户鉴别机制建立创造、分发、保护、终止以及收回的规则。 适用范围 该策略适用于任何信息资源的使用者。 术语定义 略 口令 控制 策略 所用用户都必须拥有唯一的、专供其个人使用的用户帐号ID（用户ID）； 所有用户不得使用他人的用户进行信息资源的访问； 所有口令，包括初始口令，都必须依据下列规则建立和执行： 必须定期更改； 必须符合信息中心规定的最小长度； 必须是字母、数字和字符的组合； 必须不能是可以轻易联想到的帐号所有者的特性：用户名、绰号、亲属的姓名、生日等； 必须不能用字典中的单词或首字母缩写； 必须保存历史口令，以防止口令的重复使用。 用户的帐号口令必须不能泄露给任何人； 如果怀疑口令的安全性，应立即进行更改； 管理员不能为了使用信息资源规避口令； 用户不能通过自动登录的方式绕过口令登录程序； 计算机设备如果无人值守必须启动口令保护屏保或注销； 用户在首次登录时必须更改口令。 惩罚 违背该策略可能导致：员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除；另外， 这些人员