ISO27001：2022信息系统应用管理程序.docx

ISO27001：2022信息系统应用管理程序 XXXXXXXXX有限责任公司信息系统应用管理程序 [XXXX-B-17] V1.0 发布日期2022年02月01日 发布部门信息安全小组 实施日期2022年02月01日 变更履历 版本变更履历变更人/变更日期审核人/审核日期批准人/批准日期1.0 初次发布 信息系统应用管理程序 1 目的 为实施对公司信息系统应用活动的控制，特制定本程序 2 范围 本程序规定了信息系统应用的控制策略、应用需求、开发、测试、培训、故障处理、检查监督和考核，适用于信息系统应用活动的管理 3 职责 3.1 技术部 负责按照应用系统的应用控制要求，指导各部门的使用，保证应用系统应用的规范性，协助各部门进行应用推广、检查监督与考核 3.2 各职能部门 应用系统所涉及业务的职能部门，负责系统的控制策略执行 4 程序 4.1 系统操作的控制策略 4.1.1 技术部负责建立《应用系统一览表》，明确系统管理的职责。

各应用系统必须确定相应的系统管理员系统管理员不能由安全管理员兼任 4.1.2各部门应对系统实用程序的使用进行限制和严格控制，严禁使用如优化大师，超级兔子等改变应用系统的工具，只有经过总经理授权使用的系统管理员方可使用实用工具网管软件等，且必需服从网络安全管理员检查监督和管理并由技术部建立《系统实用工具一览表》 4.1.3 信息系统的访问控制，应用系统应严格按《用户访问管理程序》执行禁止访问系统中应用程序的用户使用系统实用工具因未按《用户访问管理程序》授权的用户访问造成的信息安全事件，技术部领导负主要责任 4.1.4 应用系统的用户必须遵守各应用系统的相关管理规定，必须服从技术部系统管理员的检查监督和管理因应用系统用户未按相应的应用管理程序使用系统造成的信息安全事件，应用系统用户负主要责任 4.1.5 信息系统用户不得利用信息系统做任何危及本公司、部门、他人或其他无关的活动 4.1.6 信息系统用户必须严格执行保密制度对各自的用户帐号负责，不得转借他人使用 4.1.7 信息系统应有操作规程或使用手册，指导用户使用应用系统 4.2 信息系统的应用需求及变更 4.2.1 各部门对应用系统的应用需求变更（包括新安装、补丁、版本升级及更换）申请由部门负责人提出，技术部负责确定应用需求的技术可行性和技术实现。

在更改实施前，技术部填写《变更申请表》，明确更改的原因、更改范围、更改影响的分析及对策（包括不成功更改的恢复措施），经技术部负责人批准后予以实施 4.2.2 当需要开发、测试时，开发、测试和运行设施应分离，以减少未授权访问或改变运行系统的风险 4.2.3 应用系统的变更按《信息系统开发建设管理程序》进行 4.2.4 实用工具的应用需求及变更应由批准使用人提出，总经理负责确定实用工具应用需求的技术可行性和技术实现 4.3 信息系统的可用性 4.3.1 系统管理员负责对应用系统按操作说明书进行维护，确保系统的正常运行 4.3.2 实用工具使用者负责对实用系统按操作说明书进行维护，确保安全使用 4.3.3 系统出现故障时，系统管理员给予及时处理 4.3.4 当系统因故障造成应用停止时，系统管理员应通知相关应用部门，及时处理故障，尽快恢复应用 4.3.5 当应用系统因维护或升级等原因，可能造成应用停止时，系统管理员应通知相关应用部门后，方可工作 为确保含有敏感信息的系统不发生泄密事故，应对敏感系统予以隔离，当需要开发、测试时，开发、测试和运行设施应分离，以减少未授权访问或改变运行系统的风险。

4.4 检查监督和考核 4.4.1技术部负责对各部门的应用情况进行检查监督，发现问题按照《信息安全事件管理程序》处理 4.4.2网络安全管理员负责对实用工具的使用情况进行检查监督 5 引用文件 《用户访问管理程序》 《信息安全事件管理程序》 《信息系统开发建设管理程序》 6 记录 《应用系统一览表》 《系统实用工具一览表》 。