1、 11/112021年ISO27001 信息安全管理體系全套程序文件 X X X 有限公司 2019年最新ISO27001:2013 信息安全管理體系認證全套程序文件 內含20個程序文件 文件管理程序 1.0目的 通過編制文件管理程序，規(guī)范對文件管理流程，通過對信息安全管理體系所要求的文件進行控制，確保可獲得適用文件的有效版本。 2.0 范圍： 本程序適用于公司各部門的信息安全管理體系有關的文件和資料控制和管理。 3.0 術語和定義 文檔化信息：組織需要控制和維護的信息及其載體。 文件：要求組織維持和控制的信息及其載體； 受控文件：指受文件控制中心控制發(fā)行的內部和外來重要質量文件、管理文件、基

2、礎文件、項目文件和技術文件； 非受控文件：除受控文件外之文件，如非工作類信件、傳真、參考資料等。 4.0職責和權限 4.1 人事部 4.1.1負責本程序文件的編制、更改、實施和控制管理； 4.1.2負責外來文件（國家、地方、上級和顧客與信息安全有關的文件和資料）的識別控制和管理。 4.2 信息安全管理委員會 4.2.1負責信息安全管理手冊的編制、發(fā)放、更改和控制管理； 4.2.2 負責各程序文件編制工作的指導、印制、發(fā)放、更改和控制管理。 4.3 文控中心 4.3.1 負責編制規(guī)范、標準和標準圖等有效版本控制清單，下發(fā)到相關部門和單位，并組織對作廢版本進行識別； 4.3.2 負責重大技術項目施

3、工組織設計編制工作；參與竣工的審核驗收工作。 4.3.3負責收集國家頒布的信息安全方面的法律法規(guī)并進行有效的控制和管理。 4.5各職能部門 4.4.1負責本部門所管轄的業(yè)務和相關的外來文件；以及內部文件資料的識別、控制與管理。 5.0 程序內容 5.1本公司采用四級層次文件編寫法。所有信息安全管理的文件（含記錄）均以ISMS作為開頭，規(guī)定由4或5個數(shù)字構成編號。 5.1.1首數(shù)字代表文件層次：1為手冊、2為程序文件、3為作業(yè)指導書、4為表格記錄； 5.1.2第二層次文件中第二位數(shù)字全部為0，末兩位為自然序號，從01開始往后排序； 5.1.3第三層次文件中的第二位和第三位兩個數(shù)字與第二層次文件的

4、自然序列號相對應，第四或第五個數(shù)字為本層次的自然序列號； 5.1.4第四層次的文件編號中第二、三兩個數(shù)字全部對應需要填寫此表格的程序文件或作業(yè)指導書，后兩個數(shù)字為自然序列號；。 5.1.5版本及修訂號的編制方法采用“英文字母自然排序/數(shù)字自然排序”法。 版本及修訂號的標注方法：1、2、3層次文件標注在封面。記錄作為一種特殊形式的文件，沒有標注版本及修訂號的時候，默認為A/0版；當記錄更新版本及修訂號后，需要在記錄的標題前增加更新后的版本及修訂號，以示區(qū)別。 5.3 文件的批準、發(fā)布和標識 5.3.1信息安全管理手冊由信息安全管理委員會編寫，管理者代表審核，最高管理者批準發(fā)布。 5.3.2程序文

5、件和三層文件在人事部組織下由主管該程序的職能部門或指定相關責任人代表本部門編寫，部門負責人審核，管理者代表批準發(fā)布。 5.3.3信息安全計劃和施工技術指導性文件的編寫、審核、批準，按照公司按照國家頒布的信息安全方面的法律法規(guī)進行編寫。 5.3.4 其他管理文件由編寫該文件的部門負責人審核，公司主管領導批準。 5.3.5信息安全管理手冊和程序文件都應標識清楚文件的名稱、編號、版本、制文時間、發(fā)布部門和日期等。 5.3.6公司內行政文件的發(fā)文程序。文件編寫部門在文件定稿以后，填寫文件審批接收單，標明文件名稱、編號、份數(shù)、說明、主辦單位、接受部門，經(jīng)部門領導審核簽字后交人事部，人事部根據(jù)文件內容送有

6、關領導簽發(fā)，填寫發(fā)文編號打印后，加蓋印章發(fā)出。 5.3.7外來文件的管理程序。凡發(fā)到公司的與信息安全和有關的外來文件均由人事部負責簽收、登記、分類，由人事部先送公司有關領導閱批，再根據(jù)領導批示的內容，送有關部門閱辦或轉發(fā)基層單位，有關部門閱辦或轉發(fā)以后，其文件原件一律由公司人事部收回并存檔案室。各部門收到的外來文件，應交人事部處理；凡地方有關部門或 顧客直接發(fā)到各職能部門與信息安全和有關的文件資料，各職能部門對照公司文件控制管理工作程序進行文書處理。 5.4 文件的收發(fā)管理及使用 5.4.1公司人事部設專職人員負責文件的收發(fā)、管理、更改和作廢文件的處置。 5.4.2文件發(fā)放時應確定發(fā)放范圍，辦

7、理發(fā)放手續(xù)，建立發(fā)放臺帳。 5.4.3凡進入本單位、本部門的文件均要進行收文登記；凡發(fā)到下級單位或個人的文件均要妥善保管，嚴防丟失和污損，確保文件清晰，易于識別；凡需歸檔的文件，要按記錄管理程序執(zhí)行。 5.4.4人事部負責匯總編制公司受控文件總清單，由管理者代表審批。 5.4.5各職能部門都要根據(jù)本部門、本單位的實際建立文件清單，以便對文件進行動態(tài)的管理。 5.4.6文件不得隨意自行復印，如需要時使用者應辦理復印審批手續(xù)，經(jīng)文件主控部門批準后方可復印，復印的文件與原文同等發(fā)放管理。 5.4.7文件使用者變動為與原崗位無關的崗位或調出本單位時，其使用的文件須辦理交接，并填寫文件交接單。 5.5

8、文件評審和修改 5.5.1在文件實施過程中，各職能部門應及時收集不適宜之處，及時上報主編單位，由原文件審批人決定是否進行更改。信息安全管理手冊、程序文件每年在內審時由人事部組織有關部門進行文件的評審，必要時予以修訂。 5.5.2文件在評審中決定需要更改時，必須由該文件的編寫單位填寫審批單，經(jīng)主管領導批準后下達文件審批接收單，各級文件管理人員按通知要求進行更改，并將更改的情況寫到文件變更記錄頁上。 5.5.3文件清單中列出的文件應為有效文件，并確保文件的更改和修訂狀態(tài)得到識別。 5.6 文件的作廢處置 5.6.1文件作廢時，由發(fā)文單位下發(fā)文件審批接收單，持有文件的各部門、各單位和人員在接到作廢通

9、知單后，應及時撤出作廢文件，標示后妥善保存或銷毀，電子文件應在文件名后標注“作廢”，防止作廢文件的非預期使用。 6.0 相關文件 6.1記錄管理程序 7.0 記錄文件 7.1 外來文件清單 7.2 文件發(fā)放回收記錄表 7.3 文件借閱登記表 7.4 文件更改申請單 7.5 受控文件清單 7.6 文件審批單 可移動介質管理程序 1.0目的 通過編制可移動介質管理程序，規(guī)范對可移動介質的使用管理流程，通過對可移動介質進行控制和物理上的保護，以防止信息遭受未授權泄露、修改、移動或銷毀以及業(yè)務活動遭受干擾。 2.0 范圍： 本程序適用于信息可移動介質的管理。 3.0 術語和定義 訪問控制：確保對資產(chǎn)的

10、訪問是基于業(yè)務和安全要求進行授權和限制的手段。、 信息安全：對信息的保密性、完整性和可用性的保持。 保密性：信息未對授權的個人、實體或過程不可用或不可泄露的特性。 可用性：根據(jù)授權實體的要求可訪問和可使用的特性。 完整性：準確和完備的特性。 信息系統(tǒng)：應用、服務、信息技術資產(chǎn)或其他信息處理組件。4.0職責和權限 4.1 信息管理部 4.1.1 可移動介質的歸口管理部門，負責所轄可移動介質管理，為其他部門的信息可移動介質處置提供技術支持。 4.2 可移動介質使用部門 4.2.1 可移動介質處置由本部門負責管理。 5.0 程序內容 5.1 總則 5.1.1 可移動介質需要轉移或銷毀時，如果處理不當

11、，很容易造成信息泄漏。因此，必須按規(guī)定執(zhí)行處置。 5.1.2 可移動介質是指U盤、移動硬盤、數(shù)碼相機、光盤、磁帶、軟盤和打印的媒體等。 5.1.3 可移動介質使用部門應建立可移動介質使用登記表，對本部門使用的可移動介質進行登記管理。 5.1.4 可移動介質處置原則：按照正式的程序可靠、安全的處置，使敏感信息泄露給未經(jīng)授權的人員的風險最小化。 5.2 可移動介質處置 可移動介質的處置應該與信息的敏感程度相一致，可移動介質的敏感程度應考慮風險評估的結果。 可移動介質處置應考慮下列原則： a)所有的可移動介質都應由部門經(jīng)理負責保管； b)可移動介質的處置前應該識別需要安全處置的項目； c)銷毀方式一

12、般分為一般格式化、低級格式化、專業(yè)軟件重 寫、粉碎； d)對無敏感信息的可移動介質作一般格式化即可，在保證質 量的基礎上重新分配和使用； e)保存有敏感信息的可移動介質應當?shù)玫桨踩拇娣藕吞幹茫?對于含有敏感信息的可移動介質應采用低級格式化或專業(yè)軟 件重寫，反復次數(shù)為三次，再進行粉碎； f)應對含有敏感信息的存儲可移動介質的處置做出記錄，以 備審查； g)銷毀的可移動介質在處理后保存三個月后再作處理。 處置措施可以是： a)移動硬盤：文件先做刪除，高級格式化后，低級格式化。報廢 的硬盤，需要粉碎報廢。循環(huán)使用的硬盤，低級格式化后，拷 入大量數(shù)據(jù)，覆蓋無用信息后，高級格式化，再使用。 b)U盤：

13、報廢后能正常使用的寫入大量數(shù)據(jù)并格式化后粉碎，不 能正常使用的直接粉碎。 c)光盤：一次性光盤，粉碎。可擦寫光盤，格式化后再使用?？梢苿咏橘|處置時，業(yè)務主管部門應填寫可移動介質處置審批表，經(jīng)分管領導批準后處理，并做好處置記錄。 5.3 可移動介質處理 5.3.1 可移動介質管理 可移動介質領用須經(jīng)本部門領導批準，信息管理部應建立可移動介質使用清單。 5.3.2 復制和移出 向可移動介質拷貝涉密信息，或將可移動介質帶離開本組織需要獲得本部門領導的批準，并在可移動介質涉密使用記錄上記錄存儲的信息、用途、批準人、操作人等相關信息。 5.3.3 重復使用 對能夠重復使用的可移動介質需要重復使用，被授權

14、操首先必須確認可移動介質中的涉密信息或重要信息已經(jīng)安全清除，其次要嚴格控制在可移動介質的廠家指出的可重復使用的次數(shù)之內，確保其存貯信息的安全、可靠性。 5.3.4 保存 可移動介質的的保管部門應按可移動介質要求的保存環(huán)境來保存含有涉密信息或重要信息的可移動介質，各部門應對含有涉密信息或重要信息的可移動介質妥善保管，防止丟失，有任何異常必須向部門領導匯報，并根據(jù)部門領導的指示對異常情況作相應的處理。 5.3.5 廢棄 可移動介質應經(jīng)過部門領導認可，需確保信息的保密性，能進行刪除操作的，將涉密信息或重要信息進行刪除。需要廢棄的可移動介質統(tǒng)一送到信息管理部，由信息管理部統(tǒng)一進行安全銷毀處理。 6 記

15、錄 6.1可移動介質使用登記表 6.2可移動介質處置審批表 6.3可移動介質涉密使用記錄 6.4可移動介質使用清單 事故事件脆弱性和故障管理程序 1.0目的 通過編制事故事件脆弱性和故障管理程序，規(guī)范對事故事件脆弱性和故障處理流程，通過建立一個適當信息安全事故、脆弱性、故障風險處置的報告、反應與處理機制，減少信息安全事故和故障所造成的損失，采取有效的糾正與預防措施，正確處置已經(jīng)評價出的風險。 2.0 范圍： 本程序適用于公司信息安全事故、脆弱性、故障和風險處置的管理。 3.0 術語和定義 信息安全：對信息的保密性、完整性和可用性的保持。 風險：對目標不確定性影響。 風險處置：改變風險的過程。

16、信息系統(tǒng)：應用、服務、信息技術資產(chǎn)或其他信息處理組件。 脆弱性：可能被一個或多個威脅利用的資產(chǎn)或控制的弱點。 信息安全事態(tài)：識別到的一種系統(tǒng)，服務或網(wǎng)絡狀態(tài)的發(fā)生，表明可能違反信息安全策略或控制失效，或者一種可能與信息安全相關但還不為人知的情況。 4.0職責和權限 4.1 各系統(tǒng)歸口管理部門 4.1.1主導相關的安全風險的調查、處理及糾正措施管理。 4.2 各系統(tǒng)使用人員 4.2.1 負責相關系統(tǒng)安全事故、脆弱性、故障和風險的評價、處 置報告。 5.0 程序內容 5.1 信息安全事故定義與分類： 5.1.1 信息設備故障、線路故障、軟件故障、惡意軟件危害、 人員故意破壞或工作失職等原因直接造成

17、下列影響（后果)之一，均為信息安全事故： a) 企業(yè)秘密、機密及國家秘密泄露或丟失； b) 服務器停運4 小時以上； c) 造成信息資產(chǎn)損失的火災、洪水、雷擊等災害； d) 損失在十萬元以上的故障/事件。 5.1.2 信息設備故障、線路故障、軟件故障、惡意軟件危害、 人員故意破壞或工作失職等原因直接造成下列影響（后果)之一，屬于重大信息安全事故： a) 企業(yè)機密及國家秘密泄露； b) 服務器停運8 小時以上； c) 造成機房設備毀滅的火災、洪水、雷擊等災害； d) 損失在一百萬元以上的故障/事件。 5.1.3 信息安全事件包括： a) 未產(chǎn)生惡劣影響的服務、設備或者實施的遺失； b) 未產(chǎn)生事

18、故的系統(tǒng)故障或超載； c) 未產(chǎn)生不良結果的人為誤操作； d) 未產(chǎn)生惡劣影響的物理進入的違規(guī)； e) 未產(chǎn)生事故的未加控制的系統(tǒng)變更； f) 策略、指南和績效的不符合； g) 可恢復的軟件、硬件故障； h) 未產(chǎn)生惡劣后果的非法訪問。 5.2 故障與事故的報告渠道與處理 5.2.1 故障、事故報告要求 故障、事故的發(fā)現(xiàn)者應按照以下要求履行報告任務： a) 各個信息管理系統(tǒng)使用者，在使用過程中如果發(fā)現(xiàn)軟硬件故 障、事故，應該向該系統(tǒng)歸口管理部門報告；如故障、事故會影響或已經(jīng)影響線上生產(chǎn)，必須立即報告相關部門，采取必要措施，保證對生產(chǎn)的影響降至最低； b) 發(fā)生火災應立即觸發(fā)火警并向安全監(jiān)督部報

19、告，啟動消防應 急預案； c) 涉及企業(yè)秘密、機密及國家秘密泄露、丟失應向行政部報告； d) 發(fā)生重大信息安全事故，事故受理部門應向信息安全管理者 代表和有關公司領導報告。 5.2.2 故障、事故的響應 故障、事故處理部門接到報告以后，應立即進行迅速、有效和有序的響應，包括采取以下適當措施： a) 報告者應保護好故障、事故的現(xiàn)場，并采取適當?shù)膽贝胧?防止事態(tài)的進一步擴大； b) 按照有關的故障、事故處理文件（程序、作業(yè)手冊）排除故 障，恢復系統(tǒng)或服務，必要時，啟動業(yè)務持續(xù)性管理計劃。 5.3 故障、事故調查處理與糾正措施 5.3.1故障處理部門應對故障原因進行分析，必要時，采取糾正措施，故

20、障的原因及采取措施的結果予以記錄。 5.3.2對于信息安全事故，在故障排除或采取必要措施后，相關信息安全管理職能部門會同事故責任部門，對事故的原因、類型、損失、責任進行鑒定，形成事件脆弱性記錄，報信息安全管理者代表批準；對于重大信息安全事故的處理意見應上報信息安全管理委員會討論通過。 5.3.3對于違反公司信息方針、程序及安全規(guī)章所造成的信息安全事故責任者依據(jù)公司有關規(guī)定予以懲戒，并在公司內予以通報。 5.3.4信息安全管理職能部門要求事故責任部門制定糾正措施并實施，實施結果記錄在事件脆弱性記錄。 5.3.5由信息安全管理職能部門對實施情況進行跟蹤驗證。 5.4 報告信息安全脆弱性與預防措施

21、5.4.1本公司與信息安全管理有關的所有員工對發(fā)現(xiàn)的信息安全脆弱性或潛在威脅均應履行報告義務。 5.4.2發(fā)現(xiàn)者應填寫事件脆弱性記錄，交本部門部長確認，后提交各個系統(tǒng)歸口管理部門確定是否采取預防措施，確認責任部門并實施。預防措施的實施、驗證執(zhí)行預防措施控制程序。 5.5 信息安全事件定義與分類 5.5.1信息設備故障、線路故障、軟件故障、惡意軟件危害、人員故意破壞或工作失職等原因不一定造成不良影響（后果），但有出現(xiàn)失控的狀態(tài)，均為信息安全事件： a)服務、設備或設施的丟失； b)系統(tǒng)故障或超載； c)人為錯誤； d)策略或指南的不符合； e)物理安全安排的違規(guī)； f)未加控制的系統(tǒng)變更； g)

22、軟件或硬件故障； h)非法訪問。 5.5.2 所有現(xiàn)場工作人員都需要知道他們各自責任盡可能快地報告 任何信息安全事態(tài)。報告程序應包括： a)報告人立即填寫事件脆弱性記錄； b)信息安全事態(tài)發(fā)生后應采取正確的行為，即： 1）立即記錄下所有重要的細節(jié)（如，不符合或違規(guī)的類型，事件故障，屏幕上顯示的消息，異常行為）； 2）不要采取任何個人行為，但要立即按照本程序向資產(chǎn)負責人報告； c)由資產(chǎn)責任人按照事件脆弱性記錄要求的流程確定事態(tài) 的發(fā)生狀態(tài)、內容確認、原因分析、和采取對策，由資產(chǎn)責 任人負責對策的績效驗證；并由人事部門按照公司有關規(guī)定 決定參考已制定的正式懲罰過程，來處現(xiàn)場工作人員的安全 違規(guī)行

23、為。 d)由于事態(tài)引發(fā)的事件脆弱性記錄作為管理評審的輸入， 定期評審。 6.0 相關文件 6.1糾正預防措施控制程序 6.2監(jiān)視和測量管理程序 6.3密級控制程序 7.0 相關記錄 7.1信息安全風險評估報告 7.2糾正/預防措施申請書 7.3信息安全事故調查處理報告 7.4事件脆弱性記錄 信息處理設備設施管理程序 1.0目的 通過編制信息處理設備設施管理程序，規(guī)范設備設施從選型、采購、驗收、安裝、使用、維護管理及報廢等過程的處理流程，明確設備設施選型、驗收、實施、維護等過程中相關控制的要求來確保引進的信息處理設備設施的保密性、完整性和可用性。 2.0 范圍： 本程序適用于公司與IT相關各類信

24、息處理設備設施（包括各類軟件、硬件、服務、傳輸線路）的引進、實施、維護等事宜的管理。 3.0 術語和定義 保密性：信息未對授權的個人、實體或過程不可用或不可泄露的特性。 可用性：根據(jù)授權實體的要求可訪問和可使用的特性。 完整性：準確和完備的特性。 信息系統(tǒng)：應用、服務、信息技術資產(chǎn)或其他信息處理組件。 信息處理設施：任何的信息處理系統(tǒng)、服務或基礎設施，或者其安置的物理位置。 4.0職責和權限 4.1 信息部 4.1.1負責全公司與IT相關各類信息處理設施及其服務的引進。包括制作技術規(guī)格書、進行技術選型、安裝和驗收等。 4.1.2負責全公司網(wǎng)絡設備、研發(fā)控制系統(tǒng)、業(yè)務管理系統(tǒng)、財務管理系統(tǒng)日常管

25、理與維護。 4.1.3負責后勤系統(tǒng)設備及網(wǎng)絡系統(tǒng)、電話/網(wǎng)絡通訊與辦公系統(tǒng)的管理與維護。 4.2 其他相關部門 4.2.1 負責項目實施過程中設備及軟件系統(tǒng)的管理制度的執(zhí)行與維護。 5.0 程序內容 5.1信息處理設施的分類 5.1.1 研發(fā)控制系統(tǒng)、數(shù)據(jù)存儲控制系統(tǒng)及其子系統(tǒng)設備，包括位于機房的服務器和位于使用區(qū)域的使用控制系統(tǒng)終端設備。 5.1.2 業(yè)務管理系統(tǒng)、財務管理系統(tǒng)，包括位于機房的服務器和位于使用區(qū)域的終端設備。 5.1.3 辦公用計算機設備，包括所有辦公室、會議室內的計算機、打印機，域控制服務器，DNS服務器、Email服務器等。 5.1.4 網(wǎng)絡設備，包括交換機、路由器、防火

26、墻等。 5.1.5 其它辦公設備，包括電話設備、復印機、傳真機等。 5.2 信息處理設施的引進和安裝 5.2 1引進設施 各部門必須采購的信息處理設施、外包開發(fā)信息系統(tǒng)項目或外包信息系統(tǒng)服務，得到本部門經(jīng)理的批準后，向信息部提交申請。信息部以設備投資計劃，技術開發(fā)計劃為依據(jù)，結合對新技術的調查，作出是否引進的評價結果并向提出部門返回該信息。 本公司禁止員工攜帶個人或私有信息處理設施（例如便攜式電腦、家用電腦或手持設備PDA等）處理業(yè)務信息。 5.2.2進行技術選型 信息部負責對購入的信息處理設施的技術選型，并從技術角度對供應商進行評價。技術選型應該包含以下幾方面：性能、相關設施的兼容性、協(xié)作能

27、力、技術發(fā)展能力等。 5.2.3編寫購入規(guī)格書 信息部根據(jù)要求，負責編寫即將購入的信息處理設施的購入規(guī)格書。規(guī)格書中應該包含技術規(guī)格、相關設施的性能（包括安全相關信息）、兼容性等要求，由信息部主管審批。 5.2.4定貨 由信息部按照公司采購流程，向經(jīng)理層提出購買要求，并提供選型結果。經(jīng)理層應按照要求辦理定貨手續(xù)。 5.2.5開箱檢查，安裝、調試，驗收 a) 開箱檢查 設備到貨后，信息部應負責開箱檢查，依照購買規(guī)格書和裝箱單核對數(shù)量及物品，確認有無損壞并記錄。必要時，應通知有關部門到場協(xié)同檢查。 b) 安裝、調試 引進的設施到位后，根據(jù)合同要求，由相關人員進行安裝、調試。在實施調試過程中出現(xiàn)的問

28、題，必要時可通知相關部門共同進行。c) 驗收 安裝調試完成以后，信息部應依據(jù)以下文件實施驗收： 購入規(guī)格書 采購合同及其相關附件 調試時故障履歷 驗收原則上由信息部實施，必要時可要求相關部門參加。驗收的合格與否最終由信息部負責人作出判斷。 d) 驗收合格后，可向相關的使用部門移交。 5.3 信息處理設施的日常維護管理 5.3.1計算機設備管理 信息部負責計算機固定資產(chǎn)的標識，標識隨具體設備到使用各部門。計算機保管使用部門將計算機列入該部門信息資產(chǎn)清單。 各部門配備的計算機設備應與本部門的日常經(jīng)營情況相適應，不得配備與工作不相符的高檔次或不必要的計算機設備。辦公場所不配備多媒體類計算機設備，原則

29、上部門經(jīng)理以上配備筆記本電腦，因工作需要配備筆記本電腦的需經(jīng)主管副總批準。 計算機使用部門需配備計算機設備時，應按照本規(guī)定執(zhí)行。 資產(chǎn)搬離安置場所，需要獲得部門經(jīng)理的授權；遷移出公司，需要得到最高管理層的授權。 計算機使用部門填寫物品領用單，經(jīng)過本部門經(jīng)理簽字后提交人事部后領取計算機設備。計算機及附屬設備屬公司信息資產(chǎn)，在人事部備案。有關計算機設備所帶技術說明書、軟件由人事部保存。使用部門的使用人應妥善保管計算機及附屬設備，公用計算機設備由使用部門經(jīng)理指定專人負責使用管理。 離職時，應將計算機交還信息部，由信息部注銷賬戶。 5.4計算機設備維護 5.4.1 計算機使用部門應將每部計算機落實到個

30、人管理。計算機使用人員負責計算機的日常維護和保養(yǎng)；信息部按照惡意軟件控制程序要求進行計算機查毒和殺毒工作。 5.4.2 計算機使用部門發(fā)現(xiàn)故障或異常，可先報公司信息管理員處理，如其無法解決，則由信息管理員填寫事態(tài)事件脆弱性記錄向供應商申請維修。故障原因及處理結果應記入事態(tài)事件脆弱性記錄。 5.5計算機調配與報廢管理 5.5.1 用戶計算機更新后，原來的計算機由信息部根據(jù)計算機的技術狀態(tài)決定調配使用或予以報廢處理。 5.5.2 含有敏感信息的計算機調配使用或報廢前，計算機使用部門應與信息部共同采取安全可靠的方法將計算機內的敏感信息清除。 5.5.3 調配 部門內部的調配由使用部門自行處理，并通知

31、信息部進行計算機配置變更，變更執(zhí)行更改控制程序。 部門間的調配管理：信息部收回因更新等原因不用的計算機設備，由變更部門變更信息資產(chǎn)清單，并按照本程序5.1.3、5.1.4要求重新分配使用。 5.5.4報廢處理 計算機設備采用集中報廢處理。報廢前由信息部向人事部提 出報廢，經(jīng)審核后由信息部實施報廢。 信息部按照批準的處置方案進行報廢處理，并變更固定資產(chǎn)清單。 5.6筆記本電腦安全管理 5.6.1 筆記本電腦應由被授權的使用人保管；對于需多人共用的筆記本電腦，應由部門負責人指定專人保管。 5.6.2 筆記本所帶附件應由使用者本人或部門負責人指定專人保管。 5.6.3 筆記本電腦使用時應防止惡意軟件的侵害，在系統(tǒng)中應安裝防病毒軟件，并由使用人對其定期升級，對系統(tǒng)定期查殺，信息部負責監(jiān)督。 5.6.4 筆記本電腦在移動使用中，不能隨意拉接網(wǎng)絡，需通過填寫用戶授權申請表向信息部提前提出需求，經(jīng)信息部審批后方能接