XXX-ISMS-手冊.doc

信息安全管理體系手冊依據(jù)ISO/IEC 27001:2005標(biāo)準(zhǔn)要求XX公司2011年10月25日文檔信息文檔說明本文檔是ISO/IEC 27001:2005信息安全管理體系的信息安全管理體系手冊。本文檔說明了XX公司信息安全管理體系的結(jié)構(gòu)與內(nèi)容。版權(quán)說明本文件中出現(xiàn)的任何文字?jǐn)⑹觥⑽臋n格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明，版權(quán)均屬XX公司所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護(hù)。任何個(gè)人、機(jī)構(gòu)未經(jīng)XX公司的書面授權(quán)許可，不得以任何方式復(fù)制或引用本文件的任何片斷。 文件修改記錄編號版本修改內(nèi)容修改日期批準(zhǔn)人11.0新建文檔2011-10-26查正朋目 錄文檔信息2文檔說明2版權(quán)說明2文件修改記錄2目 錄30.1批準(zhǔn)發(fā)布令40.2信息安全管理者代表任命書50.3公司簡介60.4信息安全方針80.5信息安全目標(biāo)90.6信息安全管理體系手冊的管理101總則111.1目的111.2適用范圍112引用標(biāo)準(zhǔn)113定義114信息安全管理體系124.1總要求124.2建立并管理ISMS144.3文件要求165管理職責(zé)195.1管理層的承諾195.2資源管理206ISMS內(nèi)部審計(jì)226.1總則227ISMS管理評審237.1總則237.2評審輸入237.3評審輸出248ISMS改進(jìn)248.1持續(xù)改進(jìn)248.2糾正措施258.3預(yù)防措施26| Confidential290.1 批準(zhǔn)發(fā)布令本公司依據(jù)ISO/IEC 27001:2005標(biāo)準(zhǔn)編制的信息安全管理體系手冊規(guī)定了信息安全管理體系的范圍和本公司對信息安全管理體系的要求。本手冊作為信息安全管理的指導(dǎo)性文件，主要作用是：1. 強(qiáng)化員工的信息安全意識，規(guī)范公司的信息安全行為；2. 對公司的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù)，維持競爭優(yōu)勢；3. 當(dāng)信息系統(tǒng)受到侵害時(shí)，確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度；4. 使合作伙伴和客戶對公司充滿信心。在廣泛征求意見的基礎(chǔ)上經(jīng)過多次修訂，現(xiàn)予以發(fā)布，并于2007年2月1日正式實(shí)施。望公司各部門及各級人員認(rèn)真學(xué)習(xí)本手冊內(nèi)容，嚴(yán)格遵守并執(zhí)行本手冊的各項(xiàng)規(guī)定和要求。信息安全管理體系手冊以質(zhì)量手冊為基準(zhǔn)，在編制過程中堅(jiān)持符合性、適宜性和有效性的統(tǒng)一。同時(shí)，本手冊將根據(jù)內(nèi)、外部環(huán)境的變化進(jìn)行評審、修改和完善。總經(jīng)理：2011年10月25日0.2 信息安全管理者代表任命書為了貫徹實(shí)施ISO/IEC 27001:2005信息安全管理體系-要求國際標(biāo)準(zhǔn)，確保公司信息安全管理體系的建立、實(shí)施、運(yùn)作、監(jiān)視、評審、保護(hù)和改進(jìn)，現(xiàn)經(jīng)公司總經(jīng)理批準(zhǔn)任命 為信息安全管理者代表，行使以下的職責(zé)并擁有以下權(quán)限：1. 代表總經(jīng)理負(fù)責(zé)按標(biāo)準(zhǔn)要求建立、實(shí)施、運(yùn)作、監(jiān)視、評審、保護(hù)并持續(xù)改進(jìn)公司的信息安全管理體系，實(shí)現(xiàn)公司的信息安全方針和目標(biāo)；2. 負(fù)責(zé)組織公司信息安全管理體系手冊的編寫、修計(jì)和審核工作；3. 協(xié)助總經(jīng)理開展管理評審，并向總經(jīng)理報(bào)告信息安全管理體系業(yè)績和改進(jìn)需求；4. 確保公司提高信息安全保密意識；5. 負(fù)責(zé)公司信息安全管理體系有關(guān)事宜與外界聯(lián)絡(luò)的工作?？偨?jīng)理： 2011年10月25日0.3 公司簡介0.4 信息安全方針保障業(yè)務(wù)正常和安全運(yùn)行，保證業(yè)務(wù)的連續(xù)性；保護(hù)客戶隱私及客戶資料的機(jī)密性，維護(hù)客戶的利益；保護(hù)公司的商業(yè)秘密和技術(shù)機(jī)密，維護(hù)公司的利益；建立公司的安全品牌，確?？蛻舻男判摹Ｐ畔踩结樈?jīng)公司最高領(lǐng)導(dǎo)層制定頒布，公司全體員工應(yīng)能理解并執(zhí)行信息安全方針，并就信息安全方針進(jìn)行交流。0.5 信息安全目標(biāo)建立國際一流、國內(nèi)領(lǐng)先的信息安全保障體系。建立和完善信息安全組織體系、管理體系和技術(shù)體系，達(dá)到國際一流、國內(nèi)領(lǐng)先的信息安全保障水平，同步或領(lǐng)先公司的信息化水平，保障和促進(jìn)公司業(yè)務(wù)發(fā)展和業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)。0.6 信息安全管理體系手冊的管理公司的信息安全管理體系手冊分為受控原本、受控副本及非受控副本。受控原本由XX公司存檔，作為標(biāo)準(zhǔn)文件；受控副本是受控原版的復(fù)印件，發(fā)至本公司內(nèi)使用者或認(rèn)證中心手中加蓋紅色“受控”印章并編制發(fā)放號碼，作為有效文件使用。向本公司以外的相關(guān)人員提供本手冊時(shí)，須經(jīng)管理者代表批準(zhǔn)，且必須加蓋藍(lán)色“非受控”印章。該文件作為非受控副本，不受文件修改的控制。信息安全管理體系手冊受控副本根據(jù)文件持有者名單由XX公司發(fā)至相關(guān)人員，并按文件控制程序予以培訓(xùn)。信息安全管理體系手冊在以下情況應(yīng)進(jìn)行修改：l 本公司組織結(jié)構(gòu)有較大變動時(shí)l 外部環(huán)境有重大變化時(shí)l 國家法律、法規(guī)有重大變化時(shí)l 本公司信息安全方針有重大變化時(shí)信息安全管理體系手冊的修改由管理者代表負(fù)責(zé)組織有關(guān)人員實(shí)施，經(jīng)管理者代表審核后，報(bào)總經(jīng)理批準(zhǔn)，同時(shí)更改信息安全管理體系手冊修改狀態(tài)或版本號。1 總則1.1 目的1.1.1 通過編制和發(fā)布本信息安全管理體系手冊，向客戶證實(shí)公司具有穩(wěn)定的提供滿足客戶需求和使用法律法規(guī)要求的交付平臺的設(shè)計(jì)、開發(fā)、服務(wù)的能力。1.1.2 通過信息安全管理體系的有效運(yùn)行和不斷的持續(xù)改進(jìn)，增強(qiáng)客戶滿意度。1.2 適用范圍1.2.1 本手冊適用于涉及交付平臺設(shè)計(jì)、開發(fā)和維護(hù)；與上述相關(guān)的基礎(chǔ)設(shè)施和人員。與最新版本的適用性聲明相一致。1.2.2 本手冊可作為內(nèi)審和外審的依據(jù)。2 引用標(biāo)準(zhǔn)ISO/IEC 27001:2005 信息技術(shù)-安全技術(shù)-信息安全管理體系-要求ISO/IEC 17799:2005 信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施指南ISO/IEC 13335:2004 IT安全管理3 定義資產(chǎn)：任何對組織有價(jià)值的事物?？捎眯裕盒枰獣r(shí)，授權(quán)實(shí)體可以訪問和使用的特性。保密性：信息不可用或不被泄露給未授權(quán)的個(gè)人、實(shí)體和過程的特性。信息安全：保護(hù)信息的保密性、完整性、可用性及其他屬性，如：真實(shí)性、可核查性、可靠性、防抵賴性。信息安全事件：信息安全事件是指識別出的發(fā)生的系統(tǒng)、服務(wù)或網(wǎng)絡(luò)事件表明可能違反信息安全策略或防護(hù)措施失效；或以前未知的與安全相關(guān)的情況。信息安全事故：信息安全事故是指一個(gè)或系列非期望的或非預(yù)期的信息安全事件，這些信息安全事件可能對業(yè)務(wù)運(yùn)營造成嚴(yán)重影響或威脅信息安全。信息安全管理體系：信息安全管理體系是整體管理體系的一部分，基于業(yè)務(wù)風(fēng)險(xiǎn)方法以建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)信息安全。完整性：保護(hù)資產(chǎn)的正確和完整的特性。殘余風(fēng)險(xiǎn)：實(shí)施風(fēng)險(xiǎn)處置后仍舊殘留的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)接受：接受風(fēng)險(xiǎn)的決策。風(fēng)險(xiǎn)分析：系統(tǒng)地使用信息以識別來源和估計(jì)風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評估：風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評價(jià)的全過程。風(fēng)險(xiǎn)評價(jià)：將估計(jì)的風(fēng)險(xiǎn)與既定的風(fēng)險(xiǎn)準(zhǔn)則進(jìn)行比較以確定重要風(fēng)險(xiǎn)的過程。風(fēng)險(xiǎn)管理：指導(dǎo)和控制一個(gè)組織的風(fēng)險(xiǎn)的協(xié)調(diào)的活動。風(fēng)險(xiǎn)處置：選擇和實(shí)施措施以改變風(fēng)險(xiǎn)的過程。適用性聲明：與組織信息安全管理體系相關(guān)并適用于信息安全管理體系的控制目標(biāo)和控制措施的文件化的陳述。4 信息安全管理體系4.1 總要求公司在建立信息安全管理體系的過程中，充分遵循ISO/IEC 27001:2005 信息技術(shù)-安全技術(shù)-信息安全管理體系-要求，采用PDCA模式建立信息安全管理體系，并加以實(shí)施、保持和改進(jìn)其有效性。本公司建立健全信息安全管理體系的過程模式如下圖所示。信息安全管理體系的建立、實(shí)施、運(yùn)作、監(jiān)視、評審、保持和改進(jìn)的策劃活動包括：l 信息安全管理體系的策劃與準(zhǔn)備。策劃與準(zhǔn)備階段主要是做好建立信息安全管理體系的各種前期工作。內(nèi)容包括教育培訓(xùn)、擬定計(jì)劃、信息安全管理現(xiàn)狀調(diào)查與風(fēng)險(xiǎn)評估，及信息安全管理體系設(shè)計(jì)。l 信息安全管理體系文件的編制。為實(shí)現(xiàn)風(fēng)險(xiǎn)控制、評價(jià)和改進(jìn)信息安全管理體系、實(shí)現(xiàn)持續(xù)改進(jìn)提供不可或缺的依據(jù)。l 信息安全管理體系運(yùn)行。信息安全管理體系文件編制完成以后，按照文件的控制要求進(jìn)行審核與批準(zhǔn)并發(fā)布實(shí)施。在體系運(yùn)行試運(yùn)行期間（為期3個(gè)月），及時(shí)發(fā)現(xiàn)體系策劃本身存在的問題，找出問題根源，采取糾正措施，糾正各種不符合，并按照更改控制程序要求對體系予以更改，以達(dá)到進(jìn)一步完善信息安全管理體系的目的。l 信息安全管理體系審核與評審。公司為驗(yàn)證所有安全程序的正確實(shí)施，以及檢查信息系統(tǒng)是否符合安全實(shí)施標(biāo)準(zhǔn)，將進(jìn)行系統(tǒng)的、獨(dú)立的檢查和評價(jià)。公司把審核與評審作為一種自我改進(jìn)的機(jī)制，保持信息安全管理體系持續(xù)有效性，并不斷的改進(jìn)與完善。4.2 建立并管理ISMS4.2.1 建立ISMS公司根據(jù)ISO/IEC 27001:2005的要求，按以下步驟建立ISMS：1. 根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)、技術(shù)確定ISMS的范圍涵蓋XX公司等部門；2. 根據(jù)實(shí)際情況確定ISMS策略；3. 定義適用于公司的風(fēng)險(xiǎn)評估方法；4. 識別公司信息系統(tǒng)涉及的資產(chǎn)面臨的各種風(fēng)險(xiǎn)；5. 對各種風(fēng)險(xiǎn)加以評估，判斷風(fēng)險(xiǎn)是否可以接受或需要進(jìn)行必要的處置；6. 識別風(fēng)險(xiǎn)處置的各種措施；7. 選擇風(fēng)險(xiǎn)處置的控制目標(biāo)和控制方式；8. 根據(jù)公司的信息安全方針，處置不可接受的風(fēng)險(xiǎn)。管理層批準(zhǔn)可接受的殘留風(fēng)險(xiǎn)；9. 管理層授權(quán)實(shí)施并運(yùn)作ISMS；10. 準(zhǔn)備適用性聲明。4.2.2 實(shí)施和運(yùn)作ISMS公司在信息安全管理體系文件編制完成以后，分成兩個(gè)階段來實(shí)施并運(yùn)作ISMS：1. 按照文件的控制要求對信息安全管理體系文件進(jìn)行審核與批準(zhǔn)，并發(fā)布實(shí)施，進(jìn)入試運(yùn)行期。在試運(yùn)行期間，公司充分發(fā)揮體系本身的各項(xiàng)功能，及時(shí)發(fā)現(xiàn)體系策劃本身存在的問題，找出問題根源，采取糾正措施，糾正各種不符合，并按照更改控制程序要求體系予以更改，進(jìn)一步完善信息安全管理體系的目的。這一階段的主要工作是：a) 公布風(fēng)險(xiǎn)處置計(jì)劃；b) 實(shí)施風(fēng)險(xiǎn)處置計(jì)劃以達(dá)到確定的控制目標(biāo)；c) 評估控制措施的有效性；d) 對全體員工進(jìn)行培訓(xùn)。2. 試運(yùn)行期滿，公司正式實(shí)施ISMS，工作的重點(diǎn)是應(yīng)用PDCA模式，保持信息安全管理體系的持續(xù)有效。這一階段的主要工作是：a) 管理ISMS的運(yùn)作；b) 管理ISMS資源；c) 實(shí)施程序及其他控制以及時(shí)檢測、響應(yīng)安全事故。4.2.3 監(jiān)視和評審ISMS公司為驗(yàn)證所有安全程序和正確實(shí)施，并檢查信息系統(tǒng)是否符合安全實(shí)施標(biāo)準(zhǔn)，將1. 執(zhí)行監(jiān)視程序和其它控制； a) 及時(shí)檢測過程、結(jié)果中的錯(cuò)誤； b) 及時(shí)識別失敗的或成功的安全違規(guī)和事故； c) 使管理層能確定是否將安全活動授權(quán)給人，或由信息技術(shù)實(shí)施的的安全活動是否按期望的實(shí)施；d) 決定反映業(yè)務(wù)優(yōu)先級的安全違規(guī)的解決措施。 2. 定期評審ISMS的有效性，包括達(dá)到安全方針和目標(biāo)和評審安全控制考慮安全審核事故以及相關(guān)方建議和反饋的結(jié)果； 3. 評審殘留風(fēng)險(xiǎn)和可接受風(fēng)險(xiǎn)的等級考慮以下方面的變化：a) 公司 b) 技術(shù) c) 業(yè)務(wù)目標(biāo)和過程 d) 已識別的威脅 e) 外部事件如法律法規(guī)環(huán)境的變化社會風(fēng)氣的變化4. 按計(jì)劃的時(shí)間間隔進(jìn)行ISMS內(nèi)部審核； 5. 定期進(jìn)行ISMS管理評審，至少一年一次，確保仍然充分識別了ISMS過程的改進(jìn)； 6. 記錄可能影響ISMS有效性或業(yè)績的措施和事件。 4.2.4 保持和改進(jìn)ISMS建立、實(shí)施和保持ISMS的目的是不斷改進(jìn)公司的信息安全管理績效，降低安全風(fēng)險(xiǎn)，保護(hù)組織關(guān)鍵的信息資產(chǎn)，保持公司商務(wù)可持續(xù)性發(fā)展，因此，公司將：1. 實(shí)施ISMS已識別的改進(jìn)； 2. 按照要求采取適當(dāng)?shù)募m正和預(yù)防措施，總結(jié)從其它公司或公司自身的安全經(jīng)驗(yàn)得到的教訓(xùn)；3. 溝通結(jié)果和措施并與所有相關(guān)方達(dá)成一致； 4. 確保改進(jìn)活動達(dá)到了預(yù)期的目的。 4.3 文件要求4.3.1 本公司的信息安全管理體系文件包括以下內(nèi)容：l ISMS策略和控制目標(biāo)的陳述；l ISMS范圍；l ISMS的支持程序和控制；l 風(fēng)險(xiǎn)評估方法的描述；l 風(fēng)險(xiǎn)評估報(bào)告；l 風(fēng)險(xiǎn)處置計(jì)劃；l 其他的程序文件；l 本標(biāo)準(zhǔn)所要求的記錄；l 適用性聲明。手冊程序文件管理文件、資料、標(biāo)準(zhǔn)等表單、模板 4.3.2 文件控制4.3.2.1 總則為保證信息安全管理體系文件的適用性、系統(tǒng)性和完整性，確保對信息安全管理體系有效運(yùn)行起重要作用的各個(gè)活動場所都能得到相應(yīng)文件的有效版本，防止誤用失效文件，公司建立并保持文件控制程序。文件控制由XX公司負(fù)責(zé)。4.3.2.2 本公司的信息安全管理體系文件包含在4.3.1節(jié)中。4.3.2.3 文件的審批、發(fā)布a) 各類文件按程序文件的職責(zé)權(quán)限進(jìn)行審批，確保文件的充分性、適宜性；b) 公司文件以書面形式予以發(fā)布,并在公司內(nèi)部網(wǎng)站上公布。4.3.2.4 文件的管理a) 所有文件的發(fā)放均由XX公司統(tǒng)一負(fù)責(zé)，按授權(quán)批準(zhǔn)的發(fā)放范圍登記發(fā)放，保證發(fā)放到有效的使用場所；b) 各類文件的原稿由XX公司負(fù)責(zé)保管，建立歸檔手續(xù)；c) 各部門指定專人負(fù)責(zé)文件的保管，建立文件清單，保證文件便于檢索；d) 按程序規(guī)定對文件的編號，受控狀態(tài)、作廢和保留狀態(tài)進(jìn)行標(biāo)識，確保使用有效文件；e) 外來文件由管理者代表閱批，保證使用文件的最新有效版本，并保證分發(fā)到相應(yīng)的使用場所, 外來文件由XX公司管理；f) 所有文件均應(yīng)做到防潮、防火、防蟲蛀、防丟失，禁止亂放、亂畫、有臟污出現(xiàn)。電子版文件應(yīng)做到版本一致性、存儲安全、訪問控制安全。4.3.2.5 文件的評審、修改每次管理評審應(yīng)對文件的有效性進(jìn)行評審，當(dāng)發(fā)生文件控制程序中規(guī)定的有關(guān)情況時(shí)，文件主管部門應(yīng)及時(shí)組織對文件的適宜性進(jìn)行評審并做好記錄。當(dāng)決定修改時(shí)，按程序規(guī)定實(shí)施修改，并按授權(quán)進(jìn)行審批；4.3.3 記錄控制 4.3.3.1 總則為保持信息管理體系有效運(yùn)行，并為信息安全管理體系改進(jìn)活動提供依據(jù)，本公司建立并保持記錄控制程序，對記錄進(jìn)行管理。4.3.3.2 記錄范圍和編制要求a) 記錄范圍包括：執(zhí)行過程中的有關(guān)記錄，信息安全管理體系運(yùn)行記錄，以及與ISMS有關(guān)的重大安全事件的記錄等； b) 記錄采用書面、磁盤等形式；c) 記錄盡量以表格形式編制，以編號作為標(biāo)識；d) 記錄必須真實(shí)完整，數(shù)據(jù)可靠、字跡清晰，簽字齊全。4.3.3.3 記錄的收集、整理、歸檔a) 各部門編制本部門的記錄清單，明確保存期限，經(jīng)各部門經(jīng)理審批后留存，并報(bào)XX公司一份備案，XX公司提供記錄總清單；b) 各部門指定專人負(fù)責(zé)本部門記錄的收集、整理，同一類的記錄按項(xiàng)目或序號裝訂成冊，編制歸檔目錄，妥善保存，以便存取和檢查。4.3.3.4 記錄的存貯、保管a) 記錄應(yīng)存放在適宜的環(huán)境，做到防潮、防火、防蟲蛀、防盜；b) 記錄的保存期限一般不少于一年，其中信息安全管理體系運(yùn)行記錄不少于三年。4.3.3.5 記錄的查閱、借閱a) 記錄借閱須由部門經(jīng)理或授權(quán)責(zé)任人批準(zhǔn)后并填寫記錄借閱記錄表，因工作原因需借閱其他部門的記錄時(shí)，應(yīng)同時(shí)經(jīng)本部門經(jīng)理及對方部門經(jīng)理批準(zhǔn)；b) 一般不準(zhǔn)許外部人員查閱，特殊情況下，須經(jīng)管理者代表批準(zhǔn)，并做好借閱記錄；c) 借閱人不得在記錄案卷中有涂改、勾劃、拆散、抽換等現(xiàn)象，違反者將追究個(gè)人責(zé)任。歸還時(shí)部門記錄保管人要認(rèn)真核對，以保證案卷的齊全、完整。4.3.3.6 記錄的處理對已超過保存期限的記錄，需經(jīng)部門經(jīng)理審批后處理，并做好銷毀記錄。信息安全管理體系運(yùn)行記錄須經(jīng)管理者代表批準(zhǔn)后處理。5 管理職責(zé)5.1 管理層的承諾本公司總經(jīng)理在建立信息安全管理體系，保持和改進(jìn)信息安全管理體系有效性的過程中，應(yīng)確保開展以下活動：a) 公司成立信息安全管理小組，由其領(lǐng)導(dǎo)信息安全工作。b) 制訂信息安全方針和信息安全目標(biāo)，建立和完善公司的信息安全管理體系。c) 提供充分的資源以保證信息安全管理體系的制定、實(shí)施、運(yùn)作、維護(hù)和不斷改善。d) 對公司信息資產(chǎn)實(shí)行有效管理，確保信息的機(jī)密性，維持信息的完整性和可用性，防范對信息的未經(jīng)授權(quán)訪問。對公司信息資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評估，制定風(fēng)險(xiǎn)可接受標(biāo)準(zhǔn)，對公司不能接受的風(fēng)險(xiǎn)進(jìn)行處置。e) 建立業(yè)務(wù)連續(xù)性管理體系。進(jìn)行業(yè)務(wù)影響分析，編寫、實(shí)施業(yè)務(wù)持續(xù)性計(jì)劃和災(zāi)難恢復(fù)計(jì)劃。以保證公司主要業(yè)務(wù)的連續(xù)，不受重大故障和災(zāi)難的影響。f) 公司所有員工必須接受信息安全的教育培訓(xùn)，提高信息安全意識。g) 保護(hù)公司、客戶、相關(guān)政府部門和合作伙伴的信息安全。h) 建立公司信息安全組織架構(gòu)，明確信息安全責(zé)任，確定報(bào)告可疑的和發(fā)生的信息安全事故的流程，對違反安全制度的人員進(jìn)行懲罰。i) 建立物理安全和網(wǎng)絡(luò)安全管理制度，以確保信息的安全性。j) 保護(hù)公司軟件和信息的完整性，防止病毒與各種惡意軟件的入侵。k) 任何人在未經(jīng)審批的情況下，禁止將信息資產(chǎn)帶離公司。l) 公司所有員工都要嚴(yán)格遵守公司的安全方針、程序和制度。m) 控制對內(nèi)外部網(wǎng)絡(luò)服務(wù)的訪問，保護(hù)網(wǎng)絡(luò)化服務(wù)的安全性與可用性n) 對用戶賬號、口令和權(quán)限進(jìn)行嚴(yán)格管理，防止對信息系統(tǒng)的非授權(quán)訪問。o) 對重要信息進(jìn)行備份保護(hù)，以保證信息的可用性。p) 定期對信息安全管理體系進(jìn)行內(nèi)審和管理評審。5.2 資源管理5.2.1 資源提供1. 本公司通過信息安全管理體系的全面策劃，為建立、實(shí)施、運(yùn)作、監(jiān)視、評審、保持和改進(jìn)ISMS提供必要的資源，包括：a) 人力資源：確保從事信息安全工作的人員都能夠勝任，全體員工都具有安全保密意識；b) 基礎(chǔ)設(shè)施：提供為保證信息安全要求所必需的基礎(chǔ)設(shè)施，如生產(chǎn)設(shè)備、生產(chǎn)場所、辦公場所、辦公設(shè)備等；c) 工作環(huán)境：確保滿足信息安全的工作環(huán)境和工作秩序。2. 確保信息安全程序支持業(yè)務(wù)要求； 3. 識別并指出法律法規(guī)要求和合同安全責(zé)任； 4. 通過正確應(yīng)用所實(shí)施的所有控制的來保持足夠的安全； 5. 必要時(shí)進(jìn)行評審對評審結(jié)果采取適當(dāng)?shù)膶?yīng)措施； 6. 需要時(shí)改進(jìn)ISMS的有效性。 5.2.2 能力、意識和培訓(xùn)5.2.2.1 人力資源部組織各職能部門對與信息安全有關(guān)的、所有崗位的人員所必需的能力。5.2.2.2 滿足需求的措施a) 外聘：在聘用人員時(shí)，招聘符合任職資格的人員；b) 本公司對不夠條件的人員經(jīng)過培訓(xùn)，使其達(dá)到任職要求；c) 通過教育使員工認(rèn)識到自己崗位的重要性，發(fā)揮主觀能動性，為實(shí)現(xiàn)信息安全做出貢獻(xiàn)；d) 評估所提供培訓(xùn)和所采取措施的有效性。5.2.2.3 培訓(xùn)包括：a) 入職培訓(xùn)b) 再提高培訓(xùn)5.2.2.4 培訓(xùn)計(jì)劃每年XX公司根據(jù)信息安全建設(shè)的需求，結(jié)合公司實(shí)際需要，制定培訓(xùn)計(jì)劃，規(guī)定對各類人員的基本培訓(xùn)要求和培訓(xùn)內(nèi)容，并對公司培訓(xùn)計(jì)劃的執(zhí)行情況進(jìn)行監(jiān)督檢查，確保計(jì)劃完成。5.2.2.5 培訓(xùn)記錄人力資源部負(fù)責(zé)建立員工的教育、培訓(xùn)、技能、經(jīng)驗(yàn)和資質(zhì)的記錄。6 ISMS內(nèi)部審計(jì)6.1 總則通過內(nèi)部審核及時(shí)發(fā)現(xiàn)信息安全管理體系運(yùn)行中的問題并及時(shí)采取糾正措施，以確保信息安全管理體系運(yùn)行的符合性、有效性，實(shí)現(xiàn)信息安全管理體系的持續(xù)改進(jìn)，本公司建立并保持內(nèi)部審核控制程序。6.2 每年年初由XX公司負(fù)責(zé)編制年度內(nèi)部審核計(jì)劃，確定年度內(nèi)審的時(shí)機(jī)和范圍，報(bào)管理者代表審核、總經(jīng)理審批后實(shí)施。若發(fā)生特殊情況，應(yīng)及時(shí)增加內(nèi)審。6.3 管理者代表任命內(nèi)審組長，組成內(nèi)審小組。內(nèi)審組長編制內(nèi)部審核實(shí)施計(jì)劃，組織內(nèi)審員學(xué)習(xí)信息安全管理體系手冊、程序文件和有關(guān)的作業(yè)指導(dǎo)書，為內(nèi)審的實(shí)施做好準(zhǔn)備。6.4 內(nèi)審實(shí)施由內(nèi)審員采用交談、提問、抽樣、查閱記錄、現(xiàn)場查等方式，發(fā)現(xiàn)不合格時(shí)，擴(kuò)大抽樣、增加調(diào)研深度，獲取更全面、更準(zhǔn)確的客觀事實(shí)，并要求受審部門確認(rèn)不合格事實(shí)。6.5 內(nèi)審組長組織匯總審核結(jié)果，對體系運(yùn)行情況做出綜合分析。由內(nèi)審組長編制內(nèi)部審核報(bào)告，經(jīng)管理者代表批準(zhǔn)后，下發(fā)有關(guān)部門和有關(guān)領(lǐng)導(dǎo)。 6.6 糾正措施的實(shí)施和驗(yàn)證a) 受審部門負(fù)責(zé)人組織調(diào)查分析產(chǎn)生不合格原因，針對原因制定糾正措施，并明確完成期限，經(jīng)審核組認(rèn)可，管理者代表批準(zhǔn)后，由部門負(fù)責(zé)人組織實(shí)施；b) XX公司驗(yàn)證受審部門糾正措施實(shí)施的有效性。6.7 年度審核報(bào)告a) 為對本公司整個(gè)信息安全管理體系運(yùn)行狀況做出總體評價(jià)，在完成年度審核計(jì)劃后，由管理者代表組織年度審核結(jié)果的匯總分析，包括糾正措施完成情況，對完不成或拖后的原因進(jìn)行分析，并編寫年度審核報(bào)告。b) 年度審核報(bào)告由管理者代表提交管理評審，作為改進(jìn)的依據(jù)。7 ISMS管理評審 7.1 總則為確保信息安全管理體系，包括信息安全方針、質(zhì)量目標(biāo)持續(xù)的適宜性、充分性和有效性，本公司建立并保持管理評審控制程序，評價(jià)信息安全管理體系改進(jìn)的機(jī)會和變更的需要。7.1.1 公司每年至少開展一次管理評審，兩次間隔不得超過十二個(gè)月。一般情況下，采取會議的形式，安排在內(nèi)部審核之后。當(dāng)出現(xiàn)下列情況時(shí)，應(yīng)及時(shí)進(jìn)行管理評審：a) 公司信息安全管理體系發(fā)生重大變化；b) 國家法律、法規(guī)、信息安全標(biāo)準(zhǔn)發(fā)生重大變化；c) 外審之前；d) 其他認(rèn)為需要評審時(shí)。7.1.2 XX公司組織有關(guān)部門實(shí)施管理評審，并對實(shí)施效果進(jìn)行跟蹤驗(yàn)證。7.1.3 管理評審由總經(jīng)理主持，管理評審的有關(guān)計(jì)劃、報(bào)告、記錄由XX公司保管，保存期為三年。7.2 評審輸入7.2.1 管理者代表組織XX公司編制管理評審計(jì)劃，安排評審的目的、內(nèi)容、時(shí)間、參加人員及有關(guān)要求等。7.2.2 XX公司組織有關(guān)部門按計(jì)劃的要求收集整理有關(guān)文件和數(shù)據(jù)資料提交管理評審，包括：a) ISMS審核（包括內(nèi)審和外審）和管理評審的結(jié)果； b) 相關(guān)方（客戶、政府部門、供應(yīng)商、內(nèi)部員工等）的反饋； c) 公司用于改進(jìn)ISMS業(yè)績和有效性的技術(shù)、產(chǎn)品或程序的發(fā)展及變化； d) 糾正和預(yù)防措施的實(shí)施情況； e) 上次風(fēng)險(xiǎn)評估未充分指出的脆弱性或威脅； f) 上次管理評審所采取措施的跟蹤驗(yàn)證； g) 影響信息安全管理體系的變更，如標(biāo)準(zhǔn)改版和信息安全組織架構(gòu)變化等； h) 質(zhì)量/信息安全管理體系文件的適用性,包括修改要求等；i) 改進(jìn)的建議。7.3 評審輸出按照信息安全方針、目標(biāo)對上述信息進(jìn)行全面的討論、評價(jià)、分析，決定所要采取的改進(jìn)措施，包括：a) ISMS有效性的改進(jìn)；b) 更新風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)處置計(jì)劃；c) 必要時(shí)修訂影響信息安全的程序，以反映影響ISMS的內(nèi)外事件包括以下變化：1 業(yè)務(wù)需求； 2 安全需求； 3 影響已有業(yè)務(wù)需求的業(yè)務(wù)過程； 4 法律法規(guī)環(huán)境； 5 合同責(zé)任；6 風(fēng)險(xiǎn)和/或風(fēng)險(xiǎn)接受等級。 d) 資源需求；e) 改進(jìn)測量控制措施有效性的方式。8 ISMS改進(jìn)8.1 持續(xù)改進(jìn)為保證信息安全管理體系有效性的持續(xù)改進(jìn)，提高信息安全管理體系過程的有效性，本公司將開展如下活動：a) 公司通過信息安全方針的建立與實(shí)施，營造一個(gè)激勵(lì)改進(jìn)的氛圍；b) 確立信息安全目標(biāo)，明確改進(jìn)方向；c) 通過內(nèi)審、風(fēng)險(xiǎn)分析，不斷尋求改進(jìn)機(jī)會，并作出適當(dāng)改進(jìn)活動安排；d) 實(shí)施糾正和預(yù)防措施，實(shí)現(xiàn)改進(jìn)；e) 在管理評審中評價(jià)改進(jìn)效果，確定新的改進(jìn)目標(biāo)。8.2 糾正措施 8.2.1 總則為消除與ISMS要求不符合的原因，防止不符合情形再次發(fā)生，對糾正措施的實(shí)施進(jìn)行有效控制，本公司建立并保持糾正措施控制程序。8.2.2 糾正措施的信息來源a) 風(fēng)險(xiǎn)評估；b) 員工及客戶的信息反饋（包括意見、建議和投訴）；c) 內(nèi)、外部審核提出的不合格項(xiàng)；d) 管理評審提出的改進(jìn)決策。8.2.3 糾正措施的制定a) XX公司組織有關(guān)人員對發(fā)現(xiàn)的不符合和各方反饋意見進(jìn)行匯總，分析不合格原因；b) 評價(jià)確保不符合不再發(fā)生所需的措施；c) 制定糾正措施，填寫糾正措施實(shí)施跟蹤表，下發(fā)各相關(guān)部門執(zhí)行。8.2.4 糾正措施的實(shí)施各相關(guān)部門應(yīng)嚴(yán)格按糾正措施的內(nèi)容組織實(shí)施，做好實(shí)施記錄，實(shí)施完畢后提交XX公司進(jìn)行驗(yàn)證。8.2.5 糾正措施的驗(yàn)證XX公司負(fù)責(zé)糾正措施實(shí)施效果的跟蹤評審，并做好記錄，驗(yàn)證內(nèi)容包括：a) 措施是否按期完成；b) 是否按糾正措施內(nèi)