【信息安全】计算机管理程序-ISO27001体系

提示点↑蓝字关注，学体系管理知识！点可！

密级等级：机密

受控状态：受控

文件编号：HW-IP-025-V1.0

计算机管理程序

V1.0

2019年01月10日

广东*****技术股份有限公司

内部资料 版权所有 未经允许 不得抄印

变 更 履 历

版本

变更内容

编制人/

创建日期

审核人/

审核日期

批准人/

批准日期

备注

V1.0

初始版本，文档建立

罗**

2019.01.07

沈**

2019.01.09

黄**

2019.01.10

1 目的

为了对本组织计算机设备和相关软件进行有效的管理控制，确保在使用和维护过程中的信息安全，特制定本程序。

2 范围

本程序适用于本组织所有个人计算机设备的购置、调配、报废、使用、维护及在管理、生产、服务等方面所需计算机软件的管理。

3 职责

3.1研发中心

负责本组织所有计算机的购置审批、调配、报废、使用、维护及相关软件的管理和备存。

3.2 其他各部门

具体负责保管和使用本部门计算机设备，安装工作中需要使用的软件。

4 相关文件

《信息安全管理手册》

《信息处理设施管理程序》

《恶意软件管理程序》

《用户访问管理程序》

《笔记本电脑安全管理规定》

5 程序

5.1 计算机设备管理

研发中心负责计算机固定资产的标识,标识随具体设备到使用各部门。计算机保管使用部门将计算机列入《固定资产明细表》，明确组织内配备个人计算机设备的硬件配置要求，《固定资产明细表》应每半年进行一次更新。各部门配备的计算机设备应与本部门的业务情况相适应，不得配备低于工作要求的或不必要的计算机设备。

计算机使用部门需配备计算机设备时，应按照《信息处理设施管理程序》的规定执行研发中心负责按业务需求为员工配备计算机，并对计算机设备进行验收。有关计算机设备所带技术说明书研发中心保存。

计算机设备的软件按照已建立《计算机软件安装说明书》，明确各部门/岗位软件和配置的要求，研发中心应为计算机设备进行编号，描述在《固定资产明细表》中，加贴资产标识。

员工离职时，应将计算机交回研发中心注销账户。

5.2 计算机设备维护

计算机使用部门应将每部计算机落实到个人管理。计算机使用人员负责计算机的日常维护和保护，研发中心按照《恶意软件管理程序》要求进行计算机查毒和杀毒工作。

计算机使用部门发现故障或异常，由计算机使用人员向研发中心申请维修，故障原因及处理结果应记入《IT设备故障处理记录》。

5.3 计算机调配与报废管理

用户更新计算机或计算机部件后，原来的计算机或计算机部研发中心根据计算机的技术状态决定调配使用或予以报废处理。

5.3.2 调配

计算机或计算机部件的调配应遵守《变更控制程序的》的要求进行控制，当有调配需求是由部门内部成员提交申请，研发中心判断该计算机或部件是否含有机密信息时，需将硬盘格式化，删除机密信息后再将其调配使用，及时更新《固定资产明细表》，并按照本程序要求重新分配使用。

5.3.3 报废

详细的操作流程参考《信息处理设施维护管理程序》。

5.4 笔记本电脑移动办公安全管理

个人笔记本电脑属于私人财产，带入组织使用前应研发中心提出申请，原则上不允许个人笔记本接入公司网络参与公司业务运作。

公司使用笔记本电脑因具备可移动的特性，其使用应该遵守《笔记本电脑安全管理规定》。

笔记本电脑使用时应防止恶意软件的侵害，在系统中应安装防病毒软件，研发中心对其定期升级，对系统定期查杀。

笔记本电脑因业务需要需带出公司的应填写《设备移动申请记录表》，经行政中心批准后方可带出。

5.5 计算机安全使用的要求

使用计算机时应遵循《信息安全策略》要求执行。

一般计算机不得处理涉密信息。

配备和使用涉密计算机设备应填写《涉密计算机设备审批表》，按批准的软硬件安全策略进行配置，涉密计算机设备有专人使用，使用人员应签署《涉密计算机安全保密责任书》。

安装可能会导致泄密的软件的计算机设备不得联网。

计算机设备使用人员不得使用计算机设备处理正常工作以外的事务，不得私自改变计算机的安全配置，不得私自安装与工作无关的软件，不得私自以任何方式接入互联网，不得从事危害网络秩序、网络安全的活动。

5.6 对于无人值守的设备的职责

对于无人值守的设备，应把其放在相对安全的位置。以减少因误操作而引起不必要的状况，当设备无人值守时，应根据《信息安全策略》要求对其进行锁定，以防止非法的访问。

无人值守的设备应有门禁或监控，保持其的安全性。使无关人员无法接触研发中心人员应定期对无人值守的设备进行检查或维护，是设备能持续，正常的工作运行

无人值守的设备，应具有持续供电设备。使其在断电时，能正常关机得以保护。

5.7 服务器

5.7.1服务器的日常检测

容量管理

应根据业务运作的需求，分析服务器和网络的容量需求、预测未来的增长，及对容量水平的规划要求，编制系统容量计划。

研发中心应定期对日常服务器及网络运行容量使用情况进行监控，监控数据记录到《机房巡检报告》中，应定期对监控数据分析和评审，已确定容量变化趋势，预防容量不足情况。

行政中心每季度检查研发中心对服务器容量的巡检情况，包括每日的巡检是否完成、容量的变化情况、发生的容量问题是否得到了合理的解决的那个，对检查发现的问题应进行纠正，检查结果形成记录，详见《信息安全测量管理程序》。

恶意代码管理

研发中心必须定期检测服务器的容量是否足够，有无病毒或可移动代码的入侵现象。

日志管理

定期检查服务器日志，详见《信息系统访问与使用监控管理程序》。

5.7.2服务器的保养

服务器要保持清洁、卫生，并由专人负责管理和维护

5.7.3服务器使用要求

不得在服务器上使用带有病毒和木马的软件、光盘和可移动存贮设备，如必须使用上述设备时一定要先做好病毒检测；不得利用服务器从事工作以外的事情，无工作需要不得擅自拆卸服务器零部件，严禁更换服务器配套设备。不得擅自删除、移动、更改服务器数据；不得故意破坏服务器系统；不得擅自修改服务器系统时间。

5.7.4服务器安全

服务器系统必须及时升级安装安全补丁，弥补系统漏洞；必须为服务器系统做好病毒及木马的实时监测，及时升级病毒库。

5.7.5服务器访问

管理员对超级账户口令应严格保密、定期修改，以保证系统安全，防止对系统的非法入侵。同时可对服务器上的管理权限、进行更新设置，防止恶意破译。

未完