最新ISO45001-2018职业健康安全管理体系整套程序文件
目录
1.文件管理程序
2.记录管理程序
3.设备管理程序
4.职业健康安全目标和管理方案管理程序
5.绩效测量和管理管理程序
6.应急准备和响应管理程序
7.员工健康安全管理程序
8.变更管理程序
9.协商和沟通管理程序
10.劳动防护用品管理程序
11.内部审核程序
12.管理评审程序
13.能力、意识和培训管理程序
14.消防安全管理程序
15.相关方安全制约管理程序
16.法律法规和其它要求确认和获取程序
17.安全生产管理程序
18.危险源辨识和风险评价程序
19.用电安全管理程序
20.化学品管理程序
21.不符合、纠正和预防措施程序
22.工伤事故和职业病处理程序
1.文件管理程序
1 目的
确保本公司职业健康安全管理体系运行各个场所能使用最新的有效版本文件,以保证体系的有效运行和过程的有效管理。
2 适用范围
本程序适用于对本公司职业健康安全管理体系和各类活动涉及的全部文件的管理。
3 职责与权限
3.1总经理负责管理体系管理手册的审批。
3.2管理者代表负责组织管理手册和程序文件的编写和审核,负责程序文件和记录的批准。
3.3统括部负责对体系文件的发放、回收、更改、换版进行管理。
3.4各部门负责体系相关文件的编写、修改和使用、保管。
4 程序内容
4.1文件的分类与编号
4.1.1文件的分类如下:
A.管理手册(包括职业健康安全方针和目标)
B.程序文件
C.过程策划、运行和管理文件(即作业指导书)
D.记录
E.适当范围的外来文件和资料(包括法律、法规、标准等)
4.1.2文件的编号原则
XXXXX—XXXXX有限公司代号
OHS—职业健康安全体系代号
文件分类代号:M—管理手册
P—程序文件
W—作业指导书
R—记录
版本:按A、B、C……顺序执行,记录不管理版本。
修改状态:按0、1、2……顺序执行,只有一页的文件不管理修改状态。
文件序号:-1 -2 -3 ……
记录序号:-01 -02 -03 ……
外来文件可用原文件已有编号或者按作业指导书类进行编号。
4.2文件的编写
4.2.1管理手册、程序文件和作业指导书由管理者代表组织相关部门编写。
4.2.2记录由公司各使用部门分别编制。
4.3文件的审批
4.3.1管理手册由管理者代表审核,总经理批准。
4.3.2程序文件、记录由体系运行管理组审核,管理者代表批准。
4.3.3作业指导书由各部门编写,各部门部长审批。
4.4文件的发放
4.4.1管理手册、程序文件、作业指导书由统括部制定发放范围,经管理者代表批准后按
发放范围发放。
4.4.2文件领用人在“文件发放登记表”上签名,领用注有分发号和加盖“受控”红色印
单标识的文件。公司以外人员经批准可领用非受控文件,非受控文件注有分发号和加盖“非受控”红色印章的标识。
4.4.3当文件破损影响使用时应到统括部办理更换手续,交回破损文件,更换新文件,新
文件的分发号沿用原文件的分发号,统括部将破损文件销毁。
4.4.4若文件丢失需重新领用时,由本人提出书面申请,经本部门负责人签字确认后,到
统括部办理领用手续。统括部在补发文件上给予新的分发号,原文件的分发号作废,必要时通知各部门防止误用。
4.5文件的变更
4.5.1文件变更时,应由文件的使用或起草部门提出并填写“文件变更申请表”,说明变更
原因和修改内容报体系运行管理组审核。
4.5.2文件变更的审核、批准按原审批程序审批。
4.5.3变更后文件的发放依本程序4.4条款执行,同时由统括部将作废文件收回销毁。4.6文件的变更方式和作废
4.6.1管理手册、程序文件、作业指导书局部修改实行换页、变更修改状态的方式进行并
填写修改纪录,经9次修改后应换版;单页文件一经修改即换版。记录按4.5条款修改,修改后即使用新记录,原记录随之作废。
4.6.2文件有重大或多处修改时应换版,换版应由体系运行管理组提出并填写“文件变更
申请表”,总经理或管理者代表批准后执行。
4.6.3文件换版后应由统括部按“文件发放登记表”及时收回旧文件并销毁。若需保留
“作废”文件应加盖“作废”和“保留”蓝色印章,并妥善保管。
4.7文件的管理
4.7.1公司内使用的体系文件必须带有红色“受控”标识的文件,不得随意在文件中划
改,不得私自复印、翻印。
4.7.2未经管理者代表批准任何个人、部门不得擅自借出体系文件。
4.8外来文件的管理
4.8.1有关OHS法律法规及标准由体系运行管理组实施管理。
4.8.2外来文件应由经管理者代表对其适用性、有效性审核后方可使用。
4.8.3外来文件每年由经管理者代表指定专人审核是否为最新版本,如果不是应由相应来
源渠道获得最新版本。
5 相关文件
无
6 记录
“文件发放记录”
“文件更改/换版审批表”
2.记录管理程序
1 目的
为了提供证明职业健康安全管理体系有效运行和符合规定要求的客观证据,特制定本程序。
2 适用范围
本程序适用于本公司内所有与职业健康安全管理体系有关记录的管理。
3 职责与权限
3.1统括部负责记录的综合管理。
3.2体系运行管理组负责记录的监督检查
3.3各职能部门负责对本部门记录的编制、实施和管理。
4 程序内容
4.1记录的编号、内容的编制和更改执行《文件管理程序》。
4.2各部门负责编制本部门所需记录的格式和内容,由体系运行管理组审核,管理者代表批
准,体系运行管理组汇总成《记录清单》和《记录汇编》。
4.3记录的填写与修改
4.3.1记录由各部门指定专人负责填写。
4.3.2记录填写必须及时、准确、清晰、字迹工整、不留空格。
4.3.3记录填写出现错误时,采用划改纠正方式,即将错误数据用一条斜线划去,在旁边
注明正确数据,同时签下修改人姓名。对文字错误用斜线划去,在旁边注明正确文字即可。
4.4记录的管理
4.4.1各部门使用记录时,应按《记录汇编》的标准文本制作,保持内容一致,比例尺寸
可以根据实际需要调整。
4.4.2本体系运行中可使用公司原有质量和环境管理体系的记录,以提供运行证据。
4.4.3各部门指定专人负责记录的回收整理和归档工作,填写“记录归档清单”,归档记录
要做到装订成册,标识清楚,易于检索,妥善保管,不得损坏和丢失。
4.4.4供方、顾客和相关方提供的记录由使用部门管理和使用。
4.4.5本体系设立的记录以统一编号为受控标识。
4.4.6记录的保存期限见《职业健康安全管理手册》中《记录清单》(附件9)。
4.5部门设立记录的管理
4.5.1根据标准和公司体系文件要求提供证据的或用于证实有关职业健康安全管理活动的项
目,各部门可自行设立记录,并指定专人记录和保管,以保证内外部审核及内部追溯需要。
4.5.2部门设立的记录暂不作统一编号标识,如需要各部门可自行编号。部门设立的记录虽
未统一编号,仍为受控记录。
4.6记录的处理
超过保存期限的记录,由记录管理部门专人销毁,同时在“记录归档清单”备注栏注明“销毁”字样及销毁时间。
5. 相关文件
《文件管理程序》
6. 记录
“记录归档清单”
3.设备管理程序
1 目的
为加强公司生产设备的维护保养,达到完好状态,以满足生产过程需要,实现职业健康保护和安全生产,特制定本程序。
2 适用范围
适用于公司生产设备(包括安全设施)的管理。
3 职责与权限
3.1业务部负责生产设备、附带设备、装卸设备、安全设施的采购。
3.2制造部负责生产设备、附带设备、安全设施的维修和保养。
3.3业务部负责装卸设备的维修和保养。
3.4统括部负责变电室设备的采购。
4 程序内容
4.1设备的购置
4.1.1需购置新设备应由使用部门提出书面申请,报上级主管批准。
4.1.2采购设备应到有合格资质的厂商,优先购置能耗低、安全性能高的设备。
4.1.3新设备进厂后,使用部门协同采购部门进行验收确认。
4.2设备的管理
4.2.1使用部门将生产设备和安全设施登入“生产设备一览表”。
4.2.2设备的检查实行日常检查和定期检查。
A.设备的日常检查
使用部门按照所属设备的要求,进行设备的日常检查,并记录。
B.设备的定期检查
年初制定“设备年度定期检查计划”,按定期检查的周期实施检查。
4.3设备的维护保养
使用部门对本部门的设备应明确专人维护,定期进行检查和保养,包括清洁和润滑。维护不了的设备应让有资质的专业维护公司承担。
4.4设备的使用
4.4.1设备(包括安全设施)使用人员应严格执行设备安全操作规程,新设备应执行设备说
明书,必要时由采购部门安排,统括部配合组织培训。
4.4.2需要由具有合格操作证的人员操作的设备,严禁无证人员动用。
4.5特种设备的管理
4.5.1拥有特种设备的部门将特种设备登入“生产设备一览表”。
4.5.2特种设备应取得使用许可证,并按规定委托有资质的机构进行检验。
4.5.3特种设备操作人员应经培训合格,持证上岗。
4.6安全设施的管理
4.6.1用于安全防护的设施应与生产设备同时维护保养,同时计划检修。
4.6.2安全设施不得随意停用和拆除,因故停用和拆除需经使用部门审批。
4.7设备的报废
对拟报废的设备,由使用部门提出书面申请,总经理批准。报废设备的处理应符合环保要求。
4.8设备事故的处理
发生设备事故,使用部门组织人员处理事故和事故分析,并提出纠正或预防措施。
体系运行管理组进行跟踪验证。
设备事故处理应首先保证人身安全,并注意减少环境污染。
5 相关文件
无
6记录
“生产设备一览表”
“设备维修记录”
“设备年度定期检查计划”
4.职业健康安全目标和管理方案管理程序
1 目的
为有效管理危险源,实现安全目标方针,特制定本程序。
2 适用范围
本程序适用于本公司职业健康安全目标和管理方案的制定、实施与管理。
3 职责与权限
4.4总经理负责安全目标和管理方案的批准
4.5管理者代表负责安全目标和管理方案的审核及监督实施。
4.6体系运行管理组负责牵头组织有关部门编制安全目标和管理方案,并监督安全目标和管
理方案的具体实施。
4.7各责任部门负责本部门安全目标和管理方案的制定和实施。
4 程序内容
4.1安全目标的制定
4.1.1制定依据和要求
a)职业健康安全方针;
b)相关法律、法规和其他要求;
c)优先考虑中高度危险源;
d)可选择的技术方案;
e)财务、运行和经营要求;
f)相关方的期望和要求。
4.1.2制定步骤
a)体系运行管理组组织相关部门分别拟制职业健康安全目标。
b)体系运行管理组整理汇总后,报管理者代表审核、总经理批准后下发各部门。
c)目标应尽可能量化,并分解到各相关部门。
4.2安全目标的实施与监督检查。
4.2.1 各部门组织对涉及本部门的安全目标的学习和实施。
4.2.2 各部门对本部门相关安全目标的完成情况进行检查,每季度向体系运行管理组
报告一次。体系运行管理组每半年进行一次检查和考核,将结果报告给管理者代表。
4.3安全目标的评审和修订
4.3.1评审时机
a)管理评审时;
b)目标制定的依据发生重大变化时;
c)目标无法完成时;
d)总经理和管理者代表发现制定不合理或其他情况认为有必要修改时。
4.3.2评审和修订由体系运行管理组组织和实施,按照目标制定的步骤和要求进行。4.4管理方案的制定
4.4.1制定依据和要求
a)有明确的安全目标;
b)有具体的实施方法或技术措施,并且可行;
c)应提出明确的完成时间和进度计划;
d)应规定责任部门的职责和权限;
e)对不能通过正常运行管理的中高度危险源应尽可能制定管理方案。
4.4.2制定步骤
a)由体系运行管理组组织相关部门拟制职业健康安全管理方案;
b)体系运行管理组整理汇总后,报管理者代表。
c)管理者代表审核、总经理批准后下发各部门。
4.5管理方案的实施与检查监督
4.5.1总经理和各部门负责人应为管理方案的实施提供保障条件,确保所需资源的落实。
4.5.2各部门按管理方案的要求进行实施,将完成情况及时报告体系运行管理组。
4.5.3体系运行管理组每半年或按项目对管理方案的实施情况进行检查,并将检查结果向
管理者代表报告。
4.6管理方案的评审和修订
4.6.1评审时机
a)当检查发现执行部门无法实施管理方案时;
b)当安全目标未到达时;
c)当安全目标发生重大变化时;
d)总经理和管理者代表认为需要修订时。
4.6.2体系运行管理组组织评审,通过评审需修订管理方案时,由体系运行管理组组织相
关部门,按照管理方案制定步骤进行。
4.7体系运行管理组按照《绩效监视和测量管理程序》的要求,监控本程序的实施,并保存
相关记录,便于适时向管理评审报告。
5 相关文件
《绩效监视和测量管理程序》
6 记录
“职业健康安全目标和管理方案一览表”
5.绩效测量和管理管理程序
1 目的
为了监视和测量职业健康安全管理体系的绩效,以管理管理体系的正常运行并实现持续改进,特制定本程序。
2 适用范围
适用于对本公司职业健康安全管理体系绩效的监视和测量。
3 职责与权限
3.1体系运行管理组是实施本程序的归口管理部门,负责公司职业健康安全管理体系绩效的
监视和测量的组织、实施及结果评价和改进,并对职业健康安全方针和目标的适宜性及满足程度进行监视和测量。
3.2各部门负责对本部门主控的职业健康安全要素管理状况的监视、评价和改进。
3.3管理者代表审核监视和测量测结果及改进措施。
4 程序内容
4.1职业健康安全方针和目标的监视和测量
4.7.1体系运行管理组每年对方针的贯彻实施情况进行评价,以确定其适宜性,并向管理
评审作汇报。
4.7.2体系运行管理组对目标达成情况和管理方案完成情况进行定期检查和评价,提出修
改意见,经管理者代表批准后予以变更。
4.7.3体系运行管理组应将评价情况及时进行内部沟通,通过信息交流的形式反馈给有关
部门,确保方针的贯彻和目标的实现。
4.8职业健康安全绩效的监视和测量。
4.2. 体系运行管理组于每年年初编制“年度监测和测量计划”,对职业健康安全绩效相关
内容的监测和测量做出安排,报管理者代表批准后实施。
4.2.2体系运行管理组组织相关部门,每年至少进行一次定性和定量的内部测量。
内部测量的内容:
a)作业场所安全评估;
b)设备状况评估;
c)作业行为评估;
d)文件、记录分析;
e) 与OHS成绩突出的组织比较。
4.2.3特种设备的定期检验,应委托外部有专业资格的特种设备检验机构进行,并获取鉴定
监测报告。
4.2.4体系运行管理组将测量结果向管理者代表报告,并在内部的协商与交流中予以公布。
4.3管理体系运行的监视和测量
4.3.1监视和测量内容
a)员工能力、培训和意识状况;
b)中高度危险源治理和管理情况;
c)法律、法规和其他要求的符合性;
d)管理体系程序文件执行情况;
e)相关方安全制约管理情况;
f)变更管理情况;
g)员工职业健康安全方面的情况。
4.3.2各部门负责人每月组织本部门有关人员进行一次管理体系运行情况的自查,发现问
题,及时纠正。
4.3.3统括部每年对公司各部门员工能力、意识和培训实施情况及效果进行检查和评估。
4.3.4体系运行管理组对公司安全目标和管理方案的实施进度和完成情况进行检查,填写
“目标和管理方案检查表”。
4.3.5体系运行管理组根据安全绩效监测、鉴定结果和各部门对相关法律法规和其他要求
遵守情况,每年组织对执行法律法规和其他要求的符合性做出评价,填写“法律、
法规符合性评价报告”,报管理者代表确认。
4.4各职能部门对监控中发现的不符合,均按《不符合、纠正和预防措施管理程序》执行,可
利用“不符合,纠正措施与预防措施报告”与“内部信息交流记录单”等形式,通过内部信息沟通渠道,实施持续改进。
5 相关文件
《不符合、纠正和预防措施管理程序》
6 记录
“年度监测和测量计划”
“法律法规符合性评价报告”
“目标和管理方案检查表”
6.应急准备和响应管理程序
1 目的
为应对公司潜在安全事故和紧急事件,实施应急预案与响应,以预防和减少安全事故发生造成的伤害和损失,特制定本程序。
2 适用范围
适用于公司潜在安全事故和紧急情况下安全事故的预防和应急处理。
3职责与权限
3.1防灾委员会是对公司潜在安全事故和紧急情况下安全事故的预防和应急处理的管理,评审应
急准备和响应措施的有效性,各部门协助配合。
3.2防火委员会负责本程序的实施和监督,组织定期检查、并监督纠正措施的实施情况。
3.3防火委员会负责组织相关部门确定潜在和紧急情况下可能发生安全事故的部位,并组织制定
应急预案。
3.4安全生产委员会制定安全生产的防护措施和实施办法,并进行管理、监督、检测。
3.5各部门负责对潜在事故或紧急情况进行预防管理,并对相关岗位人员进行应急预案的培训。
4 程序内容
4.1 可能发生的紧急情况和潜在事故
1)纸类物品遇明火发生火灾;
2)化学品泄漏或遇明火发生火灾;
3)违章操作易发生人身触电和火灾;
4)雷击事故;
5)其他突发紧急情况造成的伤害和财产损失。
4.2 潜在安全事故和紧急情况发生部位的识别。
4.1.1 各部门组织本部门人员,对本部门生产作业活动过程进行调查,识别潜在安全事故和紧急情况可能发生的部位,填写“潜在安全事故和紧急情况发生部位一览表”上报防火委员会。
4.1.2 防灾委员会会同有关部门审定,确定属于潜在安全事故和紧急情况的部位。
4.1.3 各部门根据确定的本部门潜在安全事故和紧急情况的部位制定应急预案。
4.3 应急预案
4.3.1应急预案中应包括如下内容:
a 应急组织和成员的名单及职责;
b 报警联络方式和联络图;
c 伤员应急救护措施;
d 人员疏散的程序;
e 现场应急处理程序;
f 应急物品和设备的配备及使用要求。
4.3.2编制应急预案可参考公司行政文件《防灾管理规定》和环境管理体系《应急准备和响应
管理程序》。
4.3.3 各部门对员工进行应急预案的培训,必要时对预案进行演习,以检验应急措施的有效性,
保证所有员工都掌握必要的应急措施。
4.4 防火委员会每半年检查一次应急预案的落实情况,如发现不符合按《不符合,纠正和预防
措施管理程序》进行处理。
4.5 本程序涉及的应急预案可执行原环境管理体系已有的相同的应急预案。
5 相关文件
《用电安全管理程序》
《消防安全管理程序》
《化学品管理程序》
《不符合,纠正和预防措施管理程序》
《防灾管理规定》
《应急准备和响应管理程序》
6 记录
“潜在事故和紧急情况发生部位一览表”
“应急预案检查记录”
7.员工健康安全管理程序
1 目的
为了预防、管理和消除事故、工伤、职业病对员工的伤害和影响,更好的保护员工健康,特制定本程序。
2 适用范围
适用于公司员工的职业健康安全管理。
3 职责与权限
3.1统括部为本程序实施的综合管理部门,负责员工健康安全管理工作。
3.2员工必须遵守本岗位职责,严格执行操作规范。
3.3统括部负责组织对工伤、职业病的确认、预防和管理工作。
4 程序内容
4.1一般工作岗位人员的健康安全管理
4.1.1员工至少每两年进行一次体检,建立“员工健康登记表”,同时备案医院提供的体
检情况报告,发现有疾病的,应及时通知其接受治疗。外籍人员体检按国家有关规定执行。
4.1.2公司按《劳动法》规定,执行八小时工作制或综合工时制,按规定安排员工休假。
4.1.3当工作需要时,按照国家有关规定协商安排员工适当加班。
4.1.4员工应按公司安全操作规程执行,不得违章作业。
4.1.5公司依法参加社会保险,降低员工健康安全风险的损失。
4.1.6冬夏两季,由公司提供空调恒温设施,确保员工身体健康。
4.1.7女职工在孕期、产期、哺乳期享受公司相应的假期和福利待遇。
4.2特殊岗位工作人员的健康安全管理
4.2.1工作人员严格执行操作规范进行操作,经培训合格,持证上岗;
4.2.2在操作时佩带专用的劳保用品,穿戴齐全;
4.2.3确保使用机械运行正常,发现问题,及时解决;
4.2.4电气检修及变电室操作应至少2人或有专人监护;
4.2.5从事有毒有害岗位作业人员每年进行一次职业健康体检。
4.2.6从事X光射线工作的检验人员每月监测一次射线记录。
4.3 工伤、职业病预防和管理
4.3.1统括部建立有毒有害岗位人员的职业健康档案,记录员工从事该岗位的经历、时间
和体检情况。
4.3.2对长期从事有毒有害岗位人员应在条件允许下进行脱岗休养、疗养和调换岗位,
以保证员工身体健康。
4.3.3严格按照国家《企业职工伤亡事故报告和处理规定》和《职业病防治法》的规定,
申报、鉴定、确认和治疗工伤及职业病。
4.3.4对有轻微辐射、异味、限制劳动姿态等岗位,应有适宜的防护设施和措施,以防影
响员工身体健康。
5 相关文件
《设备管理程序》
《用电安全管理程序》
《绩效监视和测量管理程序》
《中华人民共和国职业病防治法》
《中华人民共和国劳动法》
《企业职工伤亡事故报告和处理规定》
6记录
“员工健康登记表”
8.变更管理程序
1目的
为了识别作业场所、作业工艺、材料、设备、运行程序等变化带来的新风险,评价其影响程度,并进行管理策划,以消除或减少变更所带来的职业健康安全影响,特制定本程序。
2适用范围
本程序适用于本公司在出现生产、服务和活动变更情况下的职业健康安全管理。
3职责和权限
3.1制造部负责对公司机械设备、作业工具、作业工艺、运行程序方面的变更进行管理。
3.2技术部与业务部负责对新材料的变更进行管理。
3.3 统括部负责变更后资源的调整和补充。
4程序内容
4.1本程序中涉及变更范围包括:新的或变更的生产线、设备、作业场所、作业组织、生产工艺、人员配置,以及新改扩建项目等。
4.2变更的提出及方案的拟定
4.2.1公司各部门根据生产及工作的需要提出变更,应遵守如下原则:
(1)尽可能不提出增加安全风险的变更;
(2)不可提出违反职业健康安全法律法规要求的变更;
(3)不可提出现有技术及其他条件不具备或难以管理的安全风险的变更;
(4)不可提出违反公司职业健康安全方针的变更。
4.2.2变更提出后,由提出部门或归口部门制定变更方案。变更方案制定时,除考虑4.2.1所述基本原则外,还应确保方案中包括危险源识别、风险评价和管理措施。
4.3变更方案的评审
4.3.1变更方案报批前,变更提出部门应按《危险源识别和风险评价程序》对变更前后风险的变化进行分析和比较,并对管理措施有效性进行确认。
4.3.2变更方案的提出部门应根据需要组织如下部门(组)或人员对变更方案进行评审:
(1)制造部;
(2)品质保证统括部;
(3)统括部;
(4)业务部;
(5)企技财小组;
(6)供应商。
4.3.3变更方案安全风险评审内容
(1)变更目的和必要性;
(2)变更后引起安全风险变化的情况;
(3)安全风险的影响评价情况;
(4)作业环境和方法的管理措施;
(5)人员技能及培训需求;
(6)4.2.1/4.2.2中必须考虑条款的结论。
4.3.4评审应填写“变更方案评审表”。重大变更应由管理者代表组织评审。
4.3.5评审结论一致时,按公司管理职责划分和流程报批和执行。
4.3.6当评审结论达不成共识时,报管理者代表裁决,必要时报公司总经理裁决。
4.4变更方案实施
4.4.1方案评审通过后,各职能部门按职责划分执行相关变更的规定。
4.4.2变更提出部门根据《职业健康安全目标和管理方案管理程序》相关要求,实施对可能产生的中高度危险源的管理行动。
4.4.3对人员的变更,统括部应在有关部门配合下进行针对性培训,以满足变更对人员能力的要求。具体按《能力、意识和培训管理程序》执行。
4.4.4变更引起体系文件的增减和修改,按《文件管理程序》的规定执行。
4.4.5变更实施部门按《相关方安全制约管理程序》和运行管理中相关程序的要求开展后续的管理工作。
5相关文件
《文件管理程序》
《能力、意识和培训管理程序》
《相关方安全制约管理程序》
《危险源识别和风险评价程序》
《职业健康安全目标和管理方案管理程序》
6记录
“变更方案评审表”
9.协商和沟通管理程序
1 目的
为保证公司能够及时、准确地传递和处理有关信息,特制定本程序。
2 适用范围
适用于公司内部、外部信息的沟通、交流与处理。
3 职责与权限
3.1体系运行管理组负责与上级部门、相关方的信息传递、反馈与沟通。
3.2各部门负责其主控要素和管理职责范围内的信息传递、反馈与沟通。
3.3工会协助体系运行管理组负责组织与员工的协商,收集、整理和处理员工的建议和意见。
4 程序内容
4.1信息的分类
4.1.1内部信息包括:
A.方针、体系运行情况、日常监控、内部审核、管理评审以及其它情况。
B.不符合信息,如内审中的不符合项,管理评审的改进决议,日常的不符合或潜在不符
合信息等。
C.紧急信息,如出现安全和影响职工健康的事故等;
D.法律及其他要求的信息;
E.其它内部信息,如员工的建议等。
4.1.2外部信息包括:
A.质量技术监督局、劳动局、公安消防局、特种设备检测机构等监测或检查的结果及反
馈的信息;
B.政策法规标准信息,与职业健康安全相关的法律、法规、条例、行业规范标准等;
C.相关方反馈的信息及其投诉等;
D.其它外部信息。
4.2信息的传递与处理
4.2.1内部信息的传递与处理
A.体系运行管理组经常了解日常工作情况,对公司方针、体系运行情况及时传达到公司
的各部门及员工。
B.潜在不符合信息的收集与处理详见《不符合、纠正和预防措施管理程序》。
C.紧急信息由产生部门立即直接传递到体系运行管理组和公司领导,具体内容见《应急
准备与响应管理程序》。
D.其它内部信息,提供者可以通过“内部信息交流记录单”反馈到相关部门,相关部门
应尽可能按要求的期限给予答复。
E.员工有关职业健康和安全方面的建议和意见可直接反映给部门负责人,部门处理不了
的,反馈给工会或体系运行管理组,必要时向管理者代表或总经理报告,以便及时解决。
F.公司应对制定方针、编制相关的安全文件及工作场所职业健康安全方面的变化,适时与
员工进行协商和沟通,必要时召开员工代表座谈会,或请员工代表参与相关文件的起草和讨论,充分听取和征求员工的意见。由工会组织推选员工代表,原则上按作业班组产生。与员工进行协商和沟通还可以通过公告、会议、文件等多种形式通报有关信息。
4.2.2外部信息的传递与处理
A.政策法规标准类的资料信息由体系运行管理组负责收集、更新、摘录、下发、保存,
信息安全管理流程说明书 (S-I)
信息安全管理流程说明书 1 信息安全管理 1.1目的 本流程目的在于规范服务管理和提供人员在提供服务流程中应遵循和执行的相关活动,保证信息安全管理目标的实现,满足SLA中的信息安全性需求以及合同、法律和外部政策等的要求。 1) 在所有的服务活动中有效地管理信息安全; 2) 使用标准的方法和步骤有效而迅速的处理各种与信息安全相关的问题,识别并跟 踪组织内任何信息安全授权访问; 3) 满足服务级别协议、合同、相关法规所记录的各项外部信息安全需求; 4) 执行操作级别协议和基础合同范围内的信息安全需求。 1.2范围 本安全管理流程的规定主要是针对由公司承担完全维护和管理职责的IT系统、技术、资源所面临的风险的安全管理。 向客户提供服务的相关人员在服务提供流程中所应遵循的规则依据公司信息安全管理体系所设定的安全管理规定,以及客户自身的相关安全管理规定。 公司内部信息、信息系统等信息资产相关的安全管理也应遵循公司信息安全管理体系所设定的安全管理规定。 2术语和定义 2.1相关ISO20000的术语和定义 1) 资产(Asset):任何对组织有价值的事物。 2) 可用性(Availability):需要时,授权实体可以访问和使用的特性。 3) 保密性(Confidentiality):信息不可用或不被泄漏给未授权的个人、实体和流程的 特性。 4) 完整性(Integrity):保护资产的正确和完整的特性。
5) 信息安全(Information security):保护信息的保密性、完整性、可用性及其他属 性,如:真实性、可核查性、可靠性、防抵赖性。 6) 信息安全管理体系(Information security management system ISMS):整体管理 体系的一部分,基于业务风险方法以建立、实施、运行、监视、评审、保持和改 进信息安全。 7) 注:管理体系包括组织机构、策略、策划、活动、职责、惯例、程序、流程和资 源。 8) 风险分析(Risk analysis):系统地使用信息以识别来源和估计风险。 9) 风险评价(Risk evaluation):将估计的风险与既定的风险准则进行比较以确定重 要风险的流程。 10) 风险评估(Risk assessment):风险分析和风险评价的全流程。 11) 风险处置(Risk treatment):选择和实施措施以改变风险的流程。 12) 风险管理(Risk management):指导和控制一个组织的风险的协调的活动。 13) 残余风险(Residual risk):实施风险处置后仍旧残留的风险。 2.2其他术语和定义 1) 文件(document):信息和存储信息的媒体; 注1:本标准中,应区分记录与文件,记录是活动的证据,文件是目标的证据; 注2:文件的例子,如策略声明、计划、程序、服务级别协议和合同; 2) 记录(record):描述完成结果的文件或执行活动的证据; 注1:在本标准中,应区分记录与文件,记录是活动的证据,文件是目标的证据; 注2:记录的例子,如审核报告、变更请求、事故响应、人员培训记录; 3) KPI:Key Performance Indicators 即关键绩绩效指标;也作Key Process Indication即关键流程指标。是通过对组织内部流程的关键参数进行设置、取样、 计算、分析,衡量流程绩效的一种目标式量化管理指标,流程绩效管理的基础。
最新ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范)
信息安全管理体系程序文件目录
信息安全管理体系作业文件目录
1 适用 本程序适用于公司信息安全事故、薄弱点、故障和风险处置的管理。 2 目的 为建立一个适当信息安全事故、薄弱点、故障风险处置的报告、反应与处理机制,减少信息安全事故和故障所造成的损失,采取有效的纠正与预防措施,正确处置已经评价出的风险,特制定本程序。 3 职责 3.1 各系统归口管理部门主管相关的安全风险的调查、处理及纠正措施管理。 3.2 各系统使用人员负责相关系统安全事故、薄弱点、故障和风险的评价、处置报告。 4 程序 4.1 信息安全事故定义与分类: 4.1.1 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,均为信息安全事故: a) 企业秘密、机密及国家秘密泄露或丢失; b) 服务器停运4 小时以上; c) 造成信息资产损失的火灾、洪水、雷击等灾害; d) 损失在十万元以上的故障/事件。 4.1.2 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,属于重大信息安全事故: a) 企业机密及国家秘密泄露; b) 服务器停运8 小时以上; c) 造成机房设备毁灭的火灾、洪水、雷击等灾害; d) 损失在一百万元以上的故障/事件。 4.1.3 信息安全事件包括: a) 未产生恶劣影响的服务、设备或者实施的遗失; b) 未产生事故的系统故障或超载; c) 未产生不良结果的人为误操作; d) 未产生恶劣影响的物理进入的违规
《ISMS方针、手册、程序文件模板》 1 信息安全管理手册 2 信息安全适用性声明 3 信息安全管理体系程序文件 3.01文件管理程序 3.02记录管理程序 3.03纠正措施管理程序 3.04预防措施控制程序 3.05信息安全沟通协调管理程序 3.06管理评审程序 3.07相关方信息安全管理程序 3.08信息安全风险管理程序 3.09信息处理设施安装使用管理程序 3.10计算机管理程序 3.11电子邮件管理程序 3.12信息分类管理程序 3.13商业秘密管理程序 3.14员工聘用管理程序 3.15员工培训管理程序 3.16信息安全奖惩管理程序 3.17员工离职管理程序 3.18物理访问管理程序 3.19信息处理设施维护管理程序 3.20信息系统变更管理程序 3.21第三方服务管理程序 3.22信息系统接收管理程序 3.23恶意软件管理程序 3.24数据备份管理程序 3.25网络设备安全配置管理程序 3.26可移动介质管理程序 3.27介质处置管理程序 3.28信息系统监控管理程序 3.29用户访问管理程序 3.30远程工作管理程序 3.31信息系统开发管理程序 3.32数据加密管理程序 3.33信息安全事件管理程序 3.34业务持续性管理程序 3.35信息安全法律法规管理程序 3.36内部审核管理程序 4 信息安全管理体系作业文件 4.01员工保密守则 4.02员工保密协议管理制度 4.03Token管理规定 4.04产品运输保密管理规定 4.05介质销毁办法 4.06信息中心机房管理制度 4.07信息中心信息安全处罚规定 4.08信息中心密码管理规定 4.09档案室信息销毁制度 4.10电子数据归档管理规定 4.11生产系统机房管理规定 4.12机房安全管理规定 4.13计算机应用管理岗位工作标准 4.14信息开发岗位工作标准 4.15系统分析员岗位工作标准 4.16各部门微机专责人工作标准 4.17网络通信岗位工作标准 4.18监视系统管理规定 4.19数据加密管理规定 4.20涉密计算机管理规定 4.21电子邮件使用准则 4.22互联网使用准则 4.23档案室信息安全职责 4.24市场部信息安全岗位职责规定 4.25复印室管理规定 4.26机房技术资料管理制度 4.27市场部计算机机房管理规定 4.28信息安全记录的分类和保存期限 4.29信息安全事件分类规定 4.30保安业务管理规定 4.31计算机硬件管理维护规定 4.32网站信息发布管理规定 4.33工具及备品备件管理制度 4.34财务管理系统访问权限说明 4.35信息安全管理程序文件编写格式 5 信息安全策略文件 5.01信息资源保密策略 5.02信息资源使用策略 5.03安全培训策略 5.04第三方访问策略 5.05物理访问策略 5.06变更管理安全策略 5.07病毒防范策略 5.08可移动代码防范策略 5.09备份安全策略 5.10信息交换策略 5.11信息安全监控策略 5.12访问控制策略 5.13帐号管理策略 5.14特权访问管理策略 5.15口令策略 5.16清洁桌面和清屏策略 5.17网络访问策略 5.18便携式计算机安全策略 5.19远程工作策略 5.20网络配置安全策略 5.21服务器加强策略 5.22互联网使用策略 5.23系统开发策略 5.24入侵检测策略 5.25软件注册策略 5.26事件管理策略 5.27电子邮件策略 5.28加密控制策略 6 信息安全管理体系记 录 6.01信息安全风险评估计划 6.02信息安全风险评估报告 6.03信息安全风险处理计划 6.04信息安全内部专家名单 6.05信息安全外部顾问名单 6.06信息安全法律、法规清单 6.07信息安全法律法规符合性评估表 6.08信息安全法律法规要求清单 6.09信息安全法律法规实施控制一览表 6.10相关方一览表 6.11信息安全薄弱点报告 6.12信息安全文件审批表 6.13信息安全文件一览表 6.14文件修改通知单 6.15文件借阅登记表 6.16文件发放回收登记表 6.17文件销毁记录表 6.18信息安全记录一览表 6.19记录借阅登记表 6.20记录销毁记录表 6.21信息安全重要岗位一览表 6.22信息安全重要岗位员工一览表 6.23信息安全重要岗位评定表 6.24员工年度培训计划 6.25信息安全培训计划 6.26员工离职审批表 6.27第三方服务提供商清单 6.28第三方服务风险评估表 6.29第三方保护能力核查计划 6.30第三方保护能力核查表 6.31信息设备转移单 6.32信息设备转交使用记录 6.33信息资产识别表 6.34计算机设备配置说明书 6.35计算机配备一览表 6.36涉密计算机设备审批表 6.37涉密计算机安全保密责任书 6.38信息设备(设施)软件采购申请 6.39信息处理设施使用情况检查表 6.40应用软件测试报告 6.41外部网络访问授权登记表 6.42软件一览表 6.43应用软件开发任务书 6.44敏感重要信息媒体处置申请表 6.45涉密文件复印登记表 6.46文章保密审查单 6.47对外提交涉密信息审批表 6.48机房值班日志 6.49机房人员出入登记表 6.50机房物品出入登记表 6.51时钟校准记录 6.52用户设备使用申请单 6.53用户访问授权登记表a 6.54用户访问授权登记表 b 6.55用户访问权限评审记录 6.56远程工作申请表 6.57远程工作登记表 6.58电子邮箱申请表 6.59电子邮箱一览表 6.60电子邮箱使用情况检查表 6.61生产经营持续性管理战略计划 6.62生产经营持续性管理计划 6.63生产经营持续性计划测试报告 6.64生产经营持续性计划评审报告 6.65私人信息设备使用申请单 6.66计算机信息网络系统容量规划 6.67软件安装升级申请表 6.68监控活动评审报告 6.69信息安全故障处理记录 6.70系统测试计划 6.71网络打印机清单 6.72设备处置再利用记录 6.73设施系统更改报告 6.74软件设计开发方案 6.75软件设计开发计划 6.76软件验收报告 6.77重要信息备份周期一览表 6.78操作系统更改技术评审报告 6.79事故调查分析及处理报告 6.80上级单位领导来访登记表 6.81第三方物理访问申请授权表 6.82第三方逻辑访问申请授权表 6.83重要安全区域访问审批表 6.84重要安全区域控制一览表 6.85重要安全区域检查表 6.86人工查杀病毒记录表 1 / 1
北京XXXXXXXXXXXXX 信息安全管理制度 制定部门:技术部与行政部 制定人:XXX 制定时间:2016.4.21
1.安全管理制度要求 总则为了切实有效的保证公司信息安全,提高信息系统为公司生产经营的服务力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全行管理,以确保网络与信息安全。 1.1.1建立文件化的安全管理制度,安全管理制度文件应包括: a安全岗位管理制度 b系统操作权限管理; c安全培训制度; d用户管理制度 e新服务、新功能安全评估 f用户投诉举报处理; g信息发布审核、合法资质查验和公共信息巡查; h个人电子信息安全保护;安全事件的监测、报告和和应急处置制度;现行法律、法规、规章、标准和行政审批文件。 1.1.2安全管理制度应经过管理层批准,并向所有员工宣贯 2.机构要求 2.1法律责任 2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。 2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。 3.人员安全管理 3.1安全岗位管理制度 建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位管理制度应包括保密管理。 3.2关键岗位人员 3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行,包括: 1.个人身份核查 2.个人履历的核查 3.学历、学位、专业资质证明 4.从事关键岗位所必须的能力 3.2.2应与关键岗位人员签订保密协议。 安全培训 建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员是 1上岗前的培训 2.安全制度及其修订后的培训 3.法律、法规的发展保持同步的继绩培训。 应严格规范人员离岗过程: a及时终止离岗员工的所有访间权限; b关键岗位人员须承诺调离后的保密义务后方可离开; c配合公安机关工作的人员变动应通报公安机关。 3.4人员离岗 应严格规范人员离岗过程 a及时终止离岗员工的所有访间权限; b关键岗位人员须承诺调离后的保密义务后方可离开;
AEO海关一般认证文件008-信息安全管理制度_New
AEO海关一般认证文件008-信息安全管理制度
注:要有备份系统,电脑装杀毒软件,设备密码 1目的 为确保公司计算机内文件安全及不受入侵,特制订本程序。 2范围 本程序适用于本公司所有计算机的管制。 3执行程序 3.1计算机的使用措施 3.1.1公司及各部门的计算机只能经由公司授权的 雇员操作使用,每台电脑应设置进入密码保 护,以防止未经授权的人员使用、篡改资料或 从事其它不法活动,见《授权使用电脑及上网人 员名单》; 3.1.2每位电脑使用者必须接受本程序和如何识别 文件与资料诈骗方面的培训,只有经培训合格 的人员才可操作电脑; 3.1.3使用者应保持设备及其所在环境的清洁,下 班时务必关机切断电源; 3.1.4使用者的业务数据,应严格按照要求妥善存 储在相应的位置上; 3.1.5未经许可,使用者不可增删硬盘上的应用软 件、系统软件和私自打开主机机箱; 3.1.6打印机墨盒经专人确认后,方可使用,严禁 私自更换和添加墨水; 3.1.7严禁使用电脑在上班时间内浏览非法网站、 玩游戏、听音乐等; 3.1.8公司所有电脑都设置电脑使用密码和荧幕密 码并定期更改,以防他人盗取。如发现密码已 泄露,则立即更换。欲设的密码及由别人提供 的密码应不予采用; 3.1.9操作员不可随意让不熟悉的人使用自己的电 脑,如确有必要使用,必须在旁监督; 3.1.10任何人未经操作员本人同意,不得使用他人 的电脑; 3.1.11严禁恶意删除他人文件、破坏公司系统; 3.1.12先以加密技术保护敏感的数据文件,然后才 通过公司网络及互联网进行传送,在适当的情况 下,利用数字证书为信息及数据加密或加上数字 签名;
注:要有备份系统,电脑装杀毒软件,设备密码 1目的 2为确保公司计算机内文件安全及不受入侵,特制订本程序。 3范围 4本程序适用于本公司所有计算机的管制。 5执行程序 5.1计算机的使用措施 5.1.1公司及各部门的计算机只能经由公司授权的雇员操作使用,每台电脑应设置进入密码保 护,以防止未经授权的人员使用、篡改资料或从事其它不法活动,见《授权使用电脑及 上网人员名单》; 5.1.2每位电脑使用者必须接受本程序和如何识别文件与资料诈骗方面的培训,只有经培训合 格的人员才可操作电脑; 5.1.3使用者应保持设备及其所在环境的清洁,下班时务必关机切断电源; 5.1.4使用者的业务数据,应严格按照要求妥善存储在相应的位置上; 5.1.5未经许可,使用者不可增删硬盘上的应用软件、系统软件和私自打开主机机箱; 5.1.6打印机墨盒经专人确认后,方可使用,严禁私自更换和添加墨水; 5.1.7严禁使用电脑在上班时间内浏览非法网站、玩游戏、听音乐等; 5.1.8公司所有电脑都设置电脑使用密码和荧幕密码并定期更改,以防他人盗取。如发现密码 已泄露,则立即更换。欲设的密码及由别人提供的密码应不予采用; 5.1.9操作员不可随意让不熟悉的人使用自己的电脑,如确有必要使用,必须在旁监督; 5.1.10任何人未经操作员本人同意,不得使用他人的电脑; 5.1.11严禁恶意删除他人文件、破坏公司系统; 5.1.12先以加密技术保护敏感的数据文件,然后才通过公司网络及互联网进行传送,在适当 的情况下,利用数字证书为信息及数据加密或加上数字签名; 5.1.13不随便运行或删除电脑上的文件或程序,不要随意修改电脑参数等; 5.1.14不要随便安装或使用不明来源的软件或程序.不要随意开启来历不明的电子邮件或 电子邮件附件; 5.1.15收到无意义的邮件后,应及时清除,不要蓄意或恶意地回寄或转寄这些邮件; 5.1.16不要随意将公司或个人的文件发送给他人,或打开给他人查看或使用; 5.1.17工作移交时,严禁恶意破坏、删除、隐藏计算机中文件、数据。 5.2计算机的安全措施 5.2.1由网管负责所有电脑的检测和清理工作。 5.2.2由各部门最高负责人对电脑的防护措施的落实情况进行监督。 5.2.3网管根据需要,设置相应的网络用户,用于进入公司的网络系统,不同的用户有不同的 登陆密码和相应的权限,使每位人员可以而且只能使用到自己所需之资料。
信息安全管理程序 1.目的 为了防止信息和技术的泄密,避免严重灾难的发生,特制定此安全规定。。2.适用范围 包括但不限于电子邮件、音频邮件、电子文件、个人计算机、计算机网络、互联网和其它电子服务等相关设备、设施或资源。 2.1权责 2.1.1人力资源部:负责信息相关政策的规划、制订、推行和监督。 2.2.2 IT部:负责计算机、计算机网络相关设备设施的维护保养以及信息数据的备份相关事务处理。 2.2.3全体员工:按照管理要求进行执行。 3.内容 3.1公司保密资料: 3.1.1公司年度工作总结,财务预算决算报告,缴纳税款、薪资核算、营销报表和各种综合统计报表。 3.1.2公司有关供货商资料,货源情报和供货商调研资料。 3.1.3公司生产、设计数据,技术数据和生产情况。 3.1.4公司所有各部门的公用盘共享数据,按不同权责划分。 3.2公司的信息安全制度 3.2.1 凡涉及公司内部秘密的文件数据的报废处理,必须碎纸后丢弃处理。 3.2.2 公司员工工作所持有的各种文件、数据、电子文件,当本人离开办公室外出时,须存放入文件柜或抽屉,不准随意乱放,更未经批准,不能复制抄录或携带外出。 3.2.3 未经公司领导批准,不得向外界提供公司的任何保密数据和任何客户数据。 3.2.4经理室要运用各种形式经常对所属员工进行信息安全教育,增强保密意识:3.2. 4.1在新员工入职培训中进行信息安全意识的培训,并经人事检测合格后,方可建立其网络账号及使用资格。 3.2. 4.2每年对所有计算机用户至少进行一次计算机安全检查,包括扫病,去除与工作无关的软件等。 3.2.5不要将机密档及可能是受保护档随意存放,文件存放在分类目录下指定位
信息安全管理流程分 析 Revised on November 25, 2020
信息安全管理流程说明书 (S-I)
信息安全管理流程说明书 1 信息安全管理 1.1目的 本流程目的在于规范服务管理和提供人员在提供服务流程中应遵循和执行的相关活动,保证信息安全管理目标的实现,满足SLA中的信息安全性需求以及合同、法律和外部政策等的要求。 1) 在所有的服务活动中有效地管理信息安全; 2) 使用标准的方法和步骤有效而迅速的处理各种与信息安全相关的问题, 识别并跟踪组织内任何信息安全授权访问; 3) 满足服务级别协议、合同、相关法规所记录的各项外部信息安全需求; 4) 执行操作级别协议和基础合同范围内的信息安全需求。 1.2范围 本安全管理流程的规定主要是针对由公司承担完全维护和管理职责的IT系统、技术、资源所面临的风险的安全管理。 向客户提供服务的相关人员在服务提供流程中所应遵循的规则依据公司信息安全管理体系所设定的安全管理规定,以及客户自身的相关安全管理规定。 公司内部信息、信息系统等信息资产相关的安全管理也应遵循公司信息安全管理体系所设定的安全管理规定。
2术语和定义 2.1相关ISO20000的术语和定义 1) 资产(Asset):任何对组织有价值的事物。 2) 可用性(Availability):需要时,授权实体可以访问和使用的特性。 3) 保密性(Confidentiality):信息不可用或不被泄漏给未授权的个人、实 体和流程的特性。 4) 完整性(Integrity):保护资产的正确和完整的特性。 5) 信息安全(Information security):保护信息的保密性、完整性、可用 性及其他属性,如:真实性、可核查性、可靠性、防抵赖性。 6) 信息安全管理体系(Information security management system ISMS):整体管理体系的一部分,基于业务风险方法以建立、实施、 运行、监视、评审、保持和改进信息安全。 7) 注:管理体系包括组织机构、策略、策划、活动、职责、惯例、程序、 流程和资源。 8) 风险分析(Risk analysis):系统地使用信息以识别来源和估计风险。 9) 风险评价(Risk evaluation):将估计的风险与既定的风险准则进行比 较以确定重要风险的流程。 10) 风险评估(Risk assessment):风险分析和风险评价的全流程。 11) 风险处置(Risk treatment):选择和实施措施以改变风险的流程。
* 主办部门:系统运维部 执笔人: 审核人: XXXXX 信息安全管理体系文件编写规范 XXX-XXX-XX-03001 2014年3月17日
[本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属XXXXX所有,受到有关产权及版权法保护。任何个人、机构未经XXXXX的书面授权许可,不得以任何方式复制或引用本文件的任何片断。] 文件版本信息 文件版本信息说明 记录本文件提交时当前有效的版本控制信息,当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于时,表示该版本文件为草案,仅可作为参照资料之目的。 阅送范围 内部发送部门:综合部、系统运维部、技术开发部。
目录 第一章总则.................................................................. 错误!未定义书签。第二章细则.................................................................. 错误!未定义书签。第三章体系文件的格式 ............................................... 错误!未定义书签。第四章附则.................................................................. 错误!未定义书签。附件................................................................................. 错误!未定义书签。
1.总则 1.1制定目的 为了防止信息和技术的泄密,避免严重灾难的发生,特制定此安全规定。。 1.2适用范围 包括但不限于电子邮件、音频邮件、电子文件、个人计算机、计算机网络、互联网和其 它电子服务等相关设备、设施或资源。 1.3权责单位 1.3.1经理室副经理:负责信息科技相关政策的规划、制订、推行和监督。 1.3.2经理室电脑工程师:负责计算机、计算机网络相关设备设施的维护保养以及相关事务的处理(包括运作主管、网络管理员、系统管理员)。 1.3.3全体员工:按照安全指引保障信息物理安全。 2.内容: 2.1公司保密资料: 2.1.1公司年度工作总结,财务预算决算报告,缴纳税款、薪资核 算、营销报表和各种综合统计报表。
2.1.2公司有关供货商资料,货源情报和供货商调研资料。 2.1.3公司生产、设计数据,技术数据和生产情况。 2.1.4公司所有各部门的公用盘共享数据,按不同权则划分。 2.2公司的信息安全制度 2.2.1 凡涉及公司内部秘密的文件数据的报废处理,必须碎纸后丢 弃处理。 2.2.2 公司员工工作所持有的各种文件、数据、电子文文件(磁盘、 光盘),当本人离开办公室外出时,须存放入文件柜或抽屉, 不准随意乱放,更未经批准,不能复制抄录或携带外出。 2.2.3 未经公司领导批准,不得向外界提供公司的任何保密数据和 任何客户数据。 2.2.4经理室要运用各种形式经常对所属员工进行信息安全教育, 增强保密意识: (1)在新员工入职培训中进行信息安全意识的培训,并经经理室检测合格后,方可建立其网络账号及使用资格。 (2)每年对所有计算机用户至少进行一次计算机安全检查,包括扫病,有完随意安全更种与工作无关的软件等。 2.2.6不要将机密档及可能是受保护档随意存放,文件存放在分类 目录下指定位置。 2.2.7 全体员工自觉遵守保密基本准则,做到:不该说的机密,绝 对不说,不该看的机密,绝对不看(含超越自己职责、业务
信息安全管理程序 1 目的 为了引导企业充分利用计算机及信息系统规范交易行为,提高信息系统的可靠性、稳定性、安全性及数据的完整性和准确性,降低人为因素导致内部控制失效的可能性,形成良好的信息传递渠道,根据国家有关法律法规和《企业内部控制规范》,制定本规范。 2 范围 适用公司所有职能部门。 3 职责 3.1 信息中心:负责公司网络及计算机信息安全的管理与维护。 3.2 各部门:负责配合信息中心对计算机信息安全进行管理。 4 定义: 计算机信息系统:是指利用计算机技术对业务和信息进行集成处理的程序、数据和文档等的总称,计算机包括个人电脑、服务器及防火墙等硬件设备。
硬件管理●信息中心对计算机及其它信息设备的新增、报废、 流转等情况建档登记,统一管理。 ●计算机硬件设备放置在临时机房或机房中,由专人 负责管理和检查,其他任何人未经授权不得接触计算机信息系统硬件设备。 ●硬件设备的更新、扩充、修复等工作应当由相关人 员提出申请,报上级主管负责人审批。未经允许,不得擅自拆装硬件设备。 ●信息中心应当加强计算机机房的物理安全管理,配 备适当的防盗报警装置。机房内应当配备空调必要的环境设施,温度及湿度保持在适当的范围,对于防火墙、路由器及邮件服务器等主要系统服务器应当配备不中断电源供给设备。 ●企业操作人员应当严格遵守用电安全,不得在计算 机专用线路上使用其他用电设备。 ●信息中心应当完善计算机信息系统硬件设备异常状 况处理制度。一经发生异常现象(如冒烟、打火、异常声响等),应当立即断电并通知信息中心,不得擅自处理。 6 相关文件 7 附件 ISO27001信息安全管理标准理解及内审员培训 培训热线:3、李小姐客服QQ:45、5 ISO27001信息安全管理标准理解及内审员培训下载报名表内训调查表 【课程描述】 ISO/IEC27001:2005信息技术安全管理体系要求用于组织的信息安全管理体系的建立和实施,保障组织的信息安全。本课程将详述ISO 27001:2005/ISO 27002:2005标准的每一个要求,指导如何管理信息安全风险,并附以大量的审核实战案例以作说明。内部审核部分将以ISO 19011:2002为基础,教授学员如何策划和实施信息安全管理体系内部审核活动。掌握该体系的具体执行程序和标准,并了解对该体系进行检查和审核的方法以及制作审核报告的技巧。 【课程帮助】 如果你想对本课程有更深入的了解,请参考 >>> 德信诚ISO27001内审员相关资料手册 【课程对象】 信息安全管理人员,欲将ISO27001导入组织的人员,在ISO27001实施过程中承担内部审核工作的人员,有志于从事IT 信息安全管理工作的人员。 【课程大纲】 第一部分:ISO27001:2005信息安全概述、标准条款讲解 ◆ 信息安全概述:信息及信息安全,CIA目标,信息安全需求来源,信息安全管理。 ◆ 风险评估与管理:风险管理要素,过程,定量与定性风险评估方法,风险消减。 ◆ ISO/IEC 27001简介:ISO27001标准发展历史、现状和主要内容,ISO27001标准认证。 ◆ 信息安全管理实施细则:从十个方面介绍ISO27001的各项控制目标和控制措施。
1 目的 增强公司全体员工信息安全意识和技能。建立包括信息安全承诺、要求、实施、维持、监视、风险评估和管理的制度体系,建立信息安全事件管理规程,以及有效的信息安全事件应急处理机制,按照规程报告信息安全事件,并及时响应。 2 适用范围 本程序适用于公司两化融合管理体系及日常工作中与信息安全相关的管理。 3 职责 3.1 总经理负责重要的信息安全保护措施的审定。 3.2 管理者代表负责对重大信息安全事件的处置工作进行指导、监督。 3.3 信息中心作为信息安全的归口管理部门,负责整体规划、建设实施整改、制度建立、监督考核各部门的信息安全工作;负责公司网络、服务器、计算机等软硬件设备的维护工作。 3.4 各部门负责所属信息资产的识别和风险评估,负责本部门所涉及的信息资产的具体安全管理工作。 4 工作程序 4.1 公司各部门根据实际业务情况,提出信息安全需求,并报信息中心统一汇总。需求识别包括数据安全的需求,机房、设备等安全风险的需求。信息中心培训中心定期或不定期对公司员工进行信息安全培训教育,确保全员认识到信息安全的重要性和紧迫性,增强信息安全意识。 4.2管理者代表综合考虑公司的信息安全状况,提出信息安全的具体实施范围。确立各部门对于信息安全所承担的责任,完善信息安全管理和防范机制。 4.3 信息中心负责制定公司的信息安全实施规范,并报公司管理者代表和总经理审批通过发布执行。 4.4各相关部门执行信息中心制定的信息安全实施规范,并将实施过程中出现的问题及时向信息中心部反馈。 4.5信息安全日常管理 4.5.1终端安全管理 a)个人终端须安装公司发布的标准软件; b)个人终端须使用公司邮箱发送公司文件,不得通过公司以外的网络传输公司有关文件; c)外来人员终端需接入公司内网时,相应部门须提交申请审批。 4.5.2数据安全管理 a)业务经营数据须定期备份,并确保有详细的访问、审批和操作记录; b)涉及商业机密和知识产权的信息未经授权不得以任何形式对外发布; c)未经授权不得访问和传播公司信息;
最新ISO27001信息安全管理体系 全套程序文件
信息安全管理体系程序文件目录
1 适用 本程序适用于公司信息安全事故、薄弱点、故障和风险处置的管理。 2 目的 为建立一个适当信息安全事故、薄弱点、故障风险处置的报告、反应与处理机制,减少信息安全事故和故障所造成的损失,采取有效的纠正与预防措施,正确处置已经评价出的风险,特制定本程序。 3 职责 3.1 各系统归口管理部门主管相关的安全风险的调查、处理及纠正措施管理。 3.2 各系统使用人员负责相关系统安全事故、薄弱点、故障和风险的评价、处置报告。 4 程序 4.1 信息安全事故定义与分类: 4.1.1 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,均为信息安全事故: a) 企业秘密、机密及国家秘密泄露或丢失; b) 服务器停运4 小时以上; c) 造成信息资产损失的火灾、洪水、雷击等灾害; d) 损失在十万元以上的故障/事件。 4.1.2 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,属于重大信息安全事故: a) 企业机密及国家秘密泄露; b) 服务器停运8 小时以上; c) 造成机房设备毁灭的火灾、洪水、雷击等灾害; d) 损失在一百万元以上的故障/事件。 4.1.3 信息安全事件包括: a) 未产生恶劣影响的服务、设备或者实施的遗失; b) 未产生事故的系统故障或超载; c) 未产生不良结果的人为误操作; d) 未产生恶劣影响的物理进入的违规
e) 未产生事故的未加控制的系统变更; f) 策略、指南和绩效的不符合; g) 可恢复的软件、硬件故障; h) 未产生恶劣后果的非法访问。 4.2 故障与事故的报告渠道与处理 4.2.1 故障、事故报告要求 故障、事故的发现者应按照以下要求履行报告任务: a) 各个信息管理系统使用者,在使用过程中如果发现软硬件故障、事故,应该向该系统归口管理部门报告;如故障、事故会影响或已经影响线上生产,必须立即报告相关部门,采取必要措施,保证对生产的影响降至最低; b) 发生火灾应立即触发火警并向安全监督部报告,启动消防应急预案; c) 涉及企业秘密、机密及国家秘密泄露、丢失应向行政部报告; d) 发生重大信息安全事故,事故受理部门应向信息安全管理者代表和有关公司领导报告。 4.2.2 故障、事故的响应 故障、事故处理部门接到报告以后,应立即进行迅速、有效和有序的响应,包括采取以下适当措施: a) 报告者应保护好故障、事故的现场,并采取适当的应急措施,防止事态的进一步扩大; b) 按照有关的故障、事故处理文件(程序、作业手册)排除故障,恢复系统或服务,必要时,启动业务持续性管理计划。 5 相关/支持性文件 5.1《预防措施控制程序》 5.2 《信息密级划分、标注及处理控制程序》 5.3《信息安全奖励、惩戒规定》 5.4 I《法律法规与符合性评估程序》 6 记录保存期限 6.1《信息安全风险评估报
东莞市有限公司 信息安全风险评估管理程序 文件编号:ISMS-COP01 状态:受控 编写:信息安全管理委员会2018年05月10日 审核:2018年05月10日 批准:陈世胜2018年05月12日 发布版次:A/0版2018年05月12日 生效日期:2018年05月18日 分发:各部门接受部门:各部门 变更记录
信息安全风险评估管理程序 1 适用 本程序适用于本公司信息安全管理体系(ISMS)范围内信息安全风险评估活动。 2 目的 本程序规定了本公司所采用的信息安全风险评估方法。通过识别信息资产、风险等级评估,认知本公司的信息安全风险,在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平,保持本公司业务持续性发展,以满足本公司信息安全管理方针的要求。 3 范围 本程序适用于第一次完整的风险评估和定期的再评估。在辨识资产时,本着尽量细化的原则进行,但在评估时我司又会把资产按照系统进行规划。辨识与评估的重点是信息资产,不区分物理资产、软件和硬件。 4 职责 4.1 成立风险评估小组 办公室负责牵头成立风险评估小组。 4.2 策划与实施 风险评估小组每年至少一次,或当体系、组织、业务、技术、环境等影响企业的重大事项发生变更、重大事故事件发生后,负责编制信息安全风险评估计划,确认评估结果,形成《信息安全风险评估报告》。 4.3 信息资产识别与风险评估活动 各部门负责本部门使用或管理的信息资产的识别,并负责本部门所涉及的信息资产的具体安全控制工作。
4.3.1各部门负责人负责本部门的信息资产识别。 4.3.2办公室经理负责汇总、校对全公司的信息资产。 4.3.3 办公室负责风险评估的策划。 4.3.4信息安全小组负责进行第一次评估与定期的再评估。 5 程序 5.1 风险评估前准备 5.1.1 办公室牵头成立风险评估小组,小组成员至少应该包含:信息安全管理体系负责部门的成员、信息安全重要责任部门的成员。 5.1.2风险评估小组制定信息安全风险评估计划,下发各部门内审员。 5.1.3必要时应对各部门内审员进行风险评估相关知识和表格填写的培训。 5.2 信息资产的识别 5.2.1 本公司的资产范围包括: 5.2.1.1信息资产 1)数据文档资产:客户和公司数据,各种介质的信息文件包括纸质文件。 2)软件资产:应用软件、系统软件、开发工具和适用程序。 3)硬件资产:计算机设备、通讯设备、可移动介质和其他设备。 4)服务:培训服务、租赁服务、公用设施(能源、电力)。 5)人员:人员的资格、技能和经验。 6)无形资产:组织的声誉、商标、形象。 5.3资产及其重要度 5.3.1识别组织的资产 ●识别在评估范围内的资产。对于在范围内的每一项资产都要恰当统计;不在评估范 围内的资产,也要进行记录; ●按一定的标准,将信息资产进行恰当的分类,在此基础上进行下一步的风险评估工 作。 ●识别组织资产,参考《资产等级分类及重要度(安全等级)划分》
一、信息安全管理 1、什么是信息安全管理,为什么需要信息安全管理? 国际标准化组织对信息安全的定义是:“在技术上和管理上维数据处理系统建立的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露”。当今的信息系统日益复杂,其中必然存在系统设计、实现、内部控制等方面的弱点。如果不采取适当的措施应对系统运行环境中的安全威胁,信息资产就可能会遭受巨大的损失甚至威胁到国家安全。 2、系统列举常用的信息安全技术? 密码技术、访问控制和鉴权;物理安全技术;网络安全技术;容灾与数据备份。 3、信息安全管理的主要内容有哪些? 信息安全管理从信息系统的安全需求出发,结合组织的信息系统建设情况,引入适当的技术控制措施和管理体系,形成了综合的信息安全管理架构。 4、什么是信息安全保障体系,它包含哪些内容? 5、信息安全法规对信息安全管理工作意义如何? 它能为信息安全提供制度保障。信息安全法律法规的保障作用至少包含以下三方面: 1.为人们从事在信息安全方面从事各种活动提供规范性指导; 2.能够预防信息安全事件的发生; 3.保障信息安全活动参与各方的合法权益,为人们追求合法权益提供了依据和手段。 二、信息安全风险评估 1、什么是信息安全风险评估?它由哪些基本步骤组成? 信息安全风险评估是指依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。风险评估可分为四个阶段,第一阶段为风险评估准备;第二阶段为风险识别,第三阶段为风险评价,第四阶段为风险处理。 2、信息资产可以分为哪几类?请分别举出一两个例子说明。 可以分为数据、软件、硬件、文档、人员、服务。例如:软件有系统软件、应用软件、源程序、数据库等。服务有办公服务、网络服务、信息服务等。 3、威胁源有哪些?其常见表现形式分别是什么?
信息安全风险管理办法 北京国都信业科技有限公司 2017年10月
前言 本程序所规定的是北京国都信业科技有限公司企业的信息安全风险管理原则,在具体实施过程中,各部门可结合本部门的实际情况,根据本程序的要求制定相应的文件,以便指导本部门的实施操作。 本制度自实施之日起,立即生效。 本制度由北京国都信业科技有限公司企业信息管理部起草。 本制度由北京国都信业科技有限公司企业信息管理部归口管理。
1目的 为规范北京国都信业科技有限公司企业(以下简称“本公司”)信息安全风险管理体系,建立、健全信息安全管理制度,确定信息安全方针和目标,全面覆盖信息安全风险点,对信息安全风险进行有效管理,并持续改进信息安全体系建设。 2范围 本制度适用于本公司信息管理部信息安全风险管理应用及活动。 3术语和定义 无。 4职责 信息管理部作为本公司信息安全管理的主管部门,负责实施信息安全管理体系必要的程序并维持其有效运行,制定信息安全相关策略、制度、规定,对信息管理活动各环节进行安全监督和检查,信息安全培训、宣传,信息安全事件的响应、处理及报告等工作。 信息安全管理人员负责全行信息安全策略的执行和推动。 5管理规定 5.1信息安全管理内容 信息安全管理内容应覆盖信息管理、信息管理相关的所有风险点,包括用户管理、身份验证、身份管理、用户管理、风险评估、信息资产管理、网络安全、病毒防护、敏感数据交换等内容。 5.2信息管理岗位设置 为保证本公司信息安全管理,设置信息管理部岗位分工及职责时,应全面考虑信息管理工作实际需要及责任划分,制定详细的岗位分工及职责说明,对信息
管理人员权限进行分级管理,信息管理关键岗位有设置AB 角。应配备专职安全管理员,关键区域或部位的安全管理员符合机要人员管理要求,对涉密人员签订了保密协议。 5.3信息安全人员管理 5.3.1人员雇佣安全管理 信息管理人员的雇佣符合如下要求: ●信息管理人员的专业知识和业务水平达到本公司要求; ●详细审核科技人员工作经历,信息管理人员应无不良记录; ●针对正式信息管理人员、临时聘用或合同制信息管理人员及顾问,采取 不同的管理措施。 5.3.2人员入职安全管理 在员工工作职责说明书中除了要说明岗位的一般职责和规范以外,还要加入与此岗位相关的信息安全管理规范,具体内容参看各个安全管理规范中的适用范围部分。人员入职必须签订保密协议,在人员的入职培训内容中应该包括信息安全管理规范的相关内容解释和技术培训。 5.3.3人员安全培训 根据工作岗位对从业者的能力需求、从业者本身的实际能力以及从业者所面临信息安全风险,确定培训内容。考虑不同层次的职责、能力、文化程度以及所面临的风险,信息安全主管部门应该根据培训需求组织培训,制定培训计划,培训计划包括:培训项目、主要内容、主要负责人、培训日程安排、培训方式等,培训前要写好培训方案,并通知相关人员,培训后要进行考核。 5.3.4人员安全考核 人事部门对人员进行的定期考核中应该包括安全管理规范的相关内容。 5.3.5人员离职安全管理 本公司人员离职手续中应该包括如下安全相关的内容:
文档编号:HTPC-ITSM-B-15信息安全管理程序 版本号:V1.0 信息安全管理程序 ----------------------------------------------------------------------------
修订履历
目录 1 目的 (4) 2 范围 (4) 3 职责 (4) 3.1 安全管理负责人 (4) 3.2 客户服务负责人 (4) 4 相关文件 (4) 5 程序 (5) 5.1 需求识别和分析 (5) 5.2 确定安全实施范围 (5) 5.3 信息安全风险评估 (5) 5.4 设计安全规范 (5) 5.5 实施安全规范 (5) 5.6 监控安全状况 (6) 5.7 维护安全规范 (6) 5.8 信息安全报告 (6) 6 记录 (7)
1 目的 本程序的目的是在客户服务工作中有效管理信息安全。 1)满足信息管理系统运行和客户服务中的安全性需求以及合同、法律和外部政策 等外部要求; 2)提供一个满足需求的基本的信息系统安全基线; 3)确保有效的信息安全措施在公司、技术服务部和服务人员三个层面都得到贯彻。 2 范围 本程序适用于信息管理系统客户服务覆盖的所有部门。 3 职责 3.1 安全管理负责人 1)监控安全管理流程; 2)根据组织安全需求,开发与维护安全计划; 3)处理与安全相关的问题和事件; 4)确保满足SLA中指定的安全需求; 5)完成包含流程结果,自评估及内部审计的信息安全风险评估报告; 6)人员组成:信息安全员管理员、部门经理等。 3.2 客户服务负责人 1)负责安排项目中的信息安全风险评估; 2)做好用户的沟通,协调关于信息安全的问题。 4 相关文件 《服务报告管理程序》 《事件管理程序》 《变更管理程序》