信息安全管理手冊(cè)-ISO27001

1、WORD格式信息平安管理手冊(cè)信息平安管理體系管理手冊(cè)ISMS-M-yyyy版本號(hào)： A/1受控狀態(tài)：受控非受控編 制審 核批 準(zhǔn)編寫組審核人 A總經(jīng)理yyyy-mm-ddyyyy-mm-ddyyyy-mm-dd專業(yè)資料整理WORD格式日期：2021年1月8日實(shí)施日期：2021年1月8日專業(yè)資料整理WORD格式信息平安管理手冊(cè)修改履歷版本制訂者修改時(shí)間更改內(nèi)容審核人審核意見變更申請(qǐng)單號(hào)A/0編寫組2021-1-08定版審核人同意AA/1編寫組2021-1-15定版審核人同意B專業(yè)資料整理WORD格式第2頁共29頁專業(yè)資料整理WORD格式信息平安管理手冊(cè)0 目錄00 目錄 .301 公布令.502

2、 管理者代表授權(quán)書 .603 企業(yè)概況 .704 信息平安管理方針目標(biāo) .805 手冊(cè)的管理 .1006 信息平安管理手冊(cè) .111X圍 .111.1總那么 .111.2應(yīng)用 .112標(biāo)準(zhǔn)性引用文件 .113術(shù)語和定義 .113.1本公司 .123.2信息系統(tǒng) .123.3計(jì)算機(jī)病毒 .123.4信息平安事件 .123.5相關(guān)方 .124組織環(huán)境 .124.1組織及其環(huán)境 .124.2相關(guān)方的需求和期望 .124.3確定信息平安管理體系的X圍.134.4信息平安管理體系 .135領(lǐng)導(dǎo)力 .145.1領(lǐng)導(dǎo)和承諾 .145.2方針 .145.3組織角色、職責(zé)和權(quán)限 .146規(guī)劃 .146.1應(yīng)對(duì)風(fēng)

3、險(xiǎn)和時(shí)機(jī)的措施 .156.2信息平安目標(biāo)和規(guī)劃實(shí)現(xiàn) .177支持 .187.1資源 .187.2能力 .187.3意識(shí) .187.4溝通 .187.5文件化信息 .198運(yùn)行 .208.1運(yùn)行的規(guī)劃和控制 .208.2信息平安風(fēng)險(xiǎn)評(píng)估 .208.3信息平安風(fēng)險(xiǎn)處置 .209績(jī)效評(píng)價(jià) .219.1監(jiān)視、測(cè)量、分析和評(píng)價(jià) .219.2內(nèi)部審核 .229.3管理評(píng)審 .22專業(yè)資料整理WORD格式第3頁共29頁專業(yè)資料整理WORD格式信息平安管理手冊(cè)10 改進(jìn)2310.1 不符合和糾正措施2310.2 持續(xù)改進(jìn)23附錄 A 信息平安管理組織構(gòu)造圖25附錄 B 信息平安管理職責(zé)明細(xì)表26附錄 C 信息

4、平安管理程序文件清單28專業(yè)資料整理WORD格式第4頁共29頁專業(yè)資料整理WORD格式信息平安管理手冊(cè)1 公布令為提高 * 公司 * 的信息平安管理水平， 保障我公司業(yè)務(wù)活動(dòng)的正常進(jìn)展，防止由于信息系統(tǒng)的中斷、數(shù)據(jù)的喪失、敏感信息的泄密所導(dǎo)致的公司和客戶的損失，我公司開展貫徹ISO/IEC27001:2021"信息技術(shù) - 平安技術(shù) - 信息平安管理體系要求"國(guó)際標(biāo)準(zhǔn)工作，建立、實(shí)施和持續(xù)改進(jìn)文件化的信息平安管理體系，制定了* 公司 *"信息平安管理手冊(cè)"。"信息平安管理手冊(cè)" 是企業(yè)的法規(guī)性文件，是指導(dǎo)企業(yè)建立并實(shí)施信息平安管理體系

5、的綱領(lǐng)和行動(dòng)準(zhǔn)那么，用于貫徹企業(yè)的信息平安管理方針、目標(biāo)，實(shí)現(xiàn)信息平安管理體系有效運(yùn)行、持續(xù)改進(jìn)，表達(dá)企業(yè)對(duì)社會(huì)的承諾。"信息平安管理手冊(cè)"符合有關(guān)信息平安法律、法規(guī)要求及ISO/IEC27001:2021"信息技術(shù) - 平安技術(shù) - 信息平安管理體系 - 要求"標(biāo)準(zhǔn)和企業(yè)實(shí)際情況，現(xiàn)正式批準(zhǔn)發(fā)布，自2021年 1 月 8 日 起實(shí)施。企業(yè)全體員工必須遵照?qǐng)?zhí)行。全體員工必須嚴(yán)格按照"信息平安管理手冊(cè)"的要求，自覺遵循信息平安管理方針，貫徹實(shí)施本手冊(cè)的各項(xiàng)要求，努力實(shí)現(xiàn)公司信息平安管理方針和目標(biāo)。* 公司 *總 經(jīng) 理：總經(jīng)理2021年

6、1月8日專業(yè)資料整理WORD格式第5頁共29頁專業(yè)資料整理WORD格式信息平安管理手冊(cè)2 管理者代表授權(quán)書為貫徹執(zhí)行信息平安管理體系，滿足 ISO/IEC27001:2021"信息技術(shù) - 平安技術(shù) - 信息平安管理體系 - 要求"標(biāo)準(zhǔn)的要求，加強(qiáng)領(lǐng)導(dǎo)，特任命 審核人 B 為我公司信息平安管理者代表。授權(quán)信息平安管理者代表有如下職責(zé)和權(quán)限：1確保按照標(biāo)準(zhǔn)的要求，進(jìn)展資產(chǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估， 全面建立、實(shí)施和保持信息平安管理體系；2負(fù)責(zé)與信息平安管理體系有關(guān)的協(xié)調(diào)和聯(lián)絡(luò)工作；3確保在整個(gè)組織內(nèi)提高信息平安風(fēng)險(xiǎn)的意識(shí)；4審核風(fēng)險(xiǎn)評(píng)估報(bào)告、風(fēng)險(xiǎn)處理方案；5批準(zhǔn)發(fā)布程序文件；6主持信息

7、平安管理體系內(nèi)部審核，任命審核組長(zhǎng)，批準(zhǔn)內(nèi)審工作報(bào)告；7向最高管理者報(bào)告信息平安管理體系的業(yè)績(jī)和改進(jìn)要求，包括信息平安管理體系運(yùn)行情況、內(nèi)外部審核情況。本授權(quán)書自任命日起生效執(zhí)行。* 公司 *總 經(jīng) 理：總經(jīng)理2021年 1月 15日專業(yè)資料整理WORD格式第6頁共29頁專業(yè)資料整理WORD格式信息平安管理手冊(cè)3 企業(yè)概況這里是公司情況介紹哦這里是公司情況介紹哦這里是公司情況介紹哦這里是公司情況介紹哦這里是公司情況介紹哦單位地址：?jiǎn)挝坏刂罚簡(jiǎn)挝唬簡(jiǎn)挝唬嚎偨?jīng)理： 總經(jīng)理管代： 審核人 A專業(yè)資料整理WORD格式第7頁共29頁專業(yè)資料整理WORD格式信息平安管理手冊(cè)4 信息平安管理方針目標(biāo)為防止由

8、于信息系統(tǒng)的中斷、 數(shù)據(jù)的喪失、敏感信息的泄密所導(dǎo)致的企業(yè)和客戶的損失，本公司建立了信息平安管理體系，制訂了信息平安方針，確定了信息平安目標(biāo)。信息平安管理方針：數(shù)據(jù)*、信息完整、控制風(fēng)險(xiǎn)、持續(xù)改進(jìn)、遵守法律。本公司信息平安管理方針包括內(nèi)容如下：一、信息平安管理機(jī)制1公司采用系統(tǒng)的方法，按照ISO/IEC27001:2021建立信息平安管理體系，全面保護(hù)本公司的信息平安。二、信息平安管理組織2公司總經(jīng)理對(duì)信息平安工作全面負(fù)責(zé)，負(fù)責(zé)批準(zhǔn)信息平安方針，確定信息平安要求，提供信息平安資源。3公司總經(jīng)理任命管理者代表負(fù)責(zé)建立、實(shí)施、檢查、改進(jìn)信息平安管理體系，保證信息平安管理體系的持續(xù)適宜性和有效性。4

9、在公司內(nèi)部建立信息平安組織機(jī)構(gòu)，信息平安管理委員會(huì)和信息平安協(xié)調(diào)機(jī)構(gòu)，保證信息平安管理體系的有效運(yùn)行。5與上級(jí)部門、地方政府、相關(guān)專業(yè)部門建立定期經(jīng)常性的聯(lián)系，了解平安要求和發(fā)展動(dòng)態(tài)，獲得對(duì)信息平安管理的支持。三、人員平安6信息平安需要全體員工的參與和支持，全體員工都有保護(hù)信息平安的職責(zé)，在勞動(dòng)合同、崗位職責(zé)中應(yīng)包含對(duì)信息平安的要求。特殊崗位的人員應(yīng)規(guī)定特別的平安責(zé)任。對(duì)崗位調(diào)動(dòng)或離職人員，應(yīng)及時(shí)調(diào)整平安職責(zé)和權(quán)限。7對(duì)本公司的相關(guān)方，要明確平安要求和平安職責(zé)。8定期對(duì)全體員工進(jìn)展信息平安相關(guān)教育，包括：技能、職責(zé)和意識(shí)。以提高平安意識(shí)。9全體員工及相關(guān)方人員必須履行平安職責(zé)，執(zhí)行平安方針、程

10、序和平安措施。四、識(shí)別法律、法規(guī)、合同中的平安專業(yè)資料整理WORD格式第8頁共29頁專業(yè)資料整理WORD格式信息平安管理手冊(cè)10及時(shí)識(shí)別顧客、合作方、相關(guān)方、法律法規(guī)對(duì)信息平安的要求，采取措施，保證滿足平安要求。五、風(fēng)險(xiǎn)評(píng)估11根據(jù)本公司業(yè)務(wù)信息平安的特點(diǎn)、法律法規(guī)要求，建立風(fēng)險(xiǎn)評(píng)估程序，確定風(fēng)險(xiǎn)接受準(zhǔn)那么。12采用先進(jìn)的風(fēng)險(xiǎn)評(píng)估技術(shù)，定期進(jìn)展風(fēng)險(xiǎn)評(píng)估，以識(shí)別本公司風(fēng)險(xiǎn)的變化。本公司或環(huán)境發(fā)生重大變化時(shí)，隨時(shí)評(píng)估。13應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，采取相應(yīng)措施，降低風(fēng)險(xiǎn)。六、報(bào)告平安事件14公司建立報(bào)告信息平安事件的渠道和相應(yīng)的主管部門。15全體員工有報(bào)告信息平安隱患、威脅、薄弱點(diǎn)、事故的責(zé)任，一旦發(fā)

11、現(xiàn)信息平安事件，應(yīng)立即按照規(guī)定的途徑進(jìn)展報(bào)告。16承受信息平安事件報(bào)告的主管部門應(yīng)記錄所有報(bào)告，及時(shí)做出相應(yīng)的處理，并向報(bào)告人員反響處理結(jié)果。七、監(jiān)視檢查17定期對(duì)信息平安進(jìn)展監(jiān)視檢查，包括：日常檢查、專項(xiàng)檢查、技術(shù)性檢查、內(nèi)部審核等。八、業(yè)務(wù)持續(xù)性18公司根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，建立業(yè)務(wù)持續(xù)性方案， 抵消信息系統(tǒng)的中斷造成的影響，防止關(guān)鍵業(yè)務(wù)過程受嚴(yán)重的信息系統(tǒng)故障或者災(zāi)難的影響，并確保能夠及時(shí)恢復(fù)。19定期對(duì)業(yè)務(wù)持續(xù)性方案進(jìn)展測(cè)試和更新。九、違反信息平安要求的懲罰20對(duì)違反信息平安方針、職責(zé)、程序和措施的人員，按規(guī)定進(jìn)展處理。信息平安目標(biāo)如下：1. 重大信息平安事件損失達(dá) 1 萬以上的為零。2

12、. 公司發(fā)生網(wǎng)絡(luò)中斷時(shí)間小于 2 小時(shí)每年。專業(yè)資料整理WORD格式第9頁共29頁專業(yè)資料整理WORD格式信息平安管理手冊(cè)5 手冊(cè)的管理1 信息平安管理手冊(cè)的批準(zhǔn)辦公室負(fù)責(zé)組織編制"信息平安管理手冊(cè)"，總經(jīng)理負(fù)責(zé)批準(zhǔn)。2 信息平安管理手冊(cè)的發(fā)放、更改、作廢與銷毀a辦公室負(fù)責(zé)按"文件管理程序"的要求，進(jìn)展"信息平安管理手冊(cè)"的登記、發(fā)放、回收、更改、歸檔、作廢與銷毀工作；b各相關(guān)部門按照受控文件的管理要求對(duì)收到的"信息平安管理手冊(cè)"進(jìn)展使用和保管；c辦公室按照規(guī)定發(fā)放修改后的"信息平安管理手冊(cè)"，

13、并收回失效的文件作出標(biāo)識(shí)統(tǒng)一處理，確保有效文件的唯一性；d辦公室保存"信息平安管理手冊(cè)"修改內(nèi)容的記錄。3 信息平安管理手冊(cè)的換版當(dāng)依據(jù)的 ISO/IEC27001:2021或 ISO/IEC27002:2021標(biāo)準(zhǔn)有重大變化、 組織的構(gòu)造、 內(nèi)外部環(huán)境、生產(chǎn)技術(shù)、信息平安風(fēng)險(xiǎn)等發(fā)生重大改變及"信息平安管理手冊(cè)"發(fā)生需修改部分超過 1/3 時(shí)，應(yīng)對(duì)"信息平安管理手冊(cè)"進(jìn)展換版。換版應(yīng)在管理評(píng)審時(shí)形成決議，重新實(shí)施編、審、批工作。4 信息平安管理手冊(cè)的控制a本"信息平安管理手冊(cè)"標(biāo)識(shí)分受控文件和非受控文件兩種：受控文

14、件發(fā)放X圍為公司領(lǐng)導(dǎo)、各相關(guān)部門的負(fù)責(zé)人、內(nèi)審員；非受控文件指印制成單行本，作為投標(biāo)書的資料或?yàn)樯a(chǎn)、銷售目的等發(fā)給受控X圍以外的其他相關(guān)人員。b"信息平安管理手冊(cè)"有書面文件和電子文件，電子版本文件的有效格式為.doc 文檔。專業(yè)資料整理WORD格式第10頁共29頁專業(yè)資料整理WORD格式信息平安管理手冊(cè)6 信息平安管理手冊(cè)1 X圍1.1 總那么為了建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息平安管理體系 簡(jiǎn)稱 ISMS，確定信息平安方針和目標(biāo)， 對(duì)信息平安風(fēng)險(xiǎn)進(jìn)展有效管理， 確保全體員工理解并遵照?qǐng)?zhí)行信息平安管理體系文件、持續(xù)改進(jìn)信息平安管理體系的有效性，特制定

15、本手冊(cè)。1.2 應(yīng)用1.2.1 覆蓋X圍本信息平安管理手冊(cè)規(guī)定了* 公司 * 信息平安管理體系要求、管理職責(zé)、內(nèi)部審核、管理評(píng)審和信息平安管理體系改進(jìn)等方面內(nèi)容。本信息平安管理手冊(cè)適用于* 公司 * 電磁屏蔽機(jī)房的設(shè)計(jì)業(yè)務(wù)活動(dòng)所涉及的信息系統(tǒng)、資產(chǎn)及相關(guān)信息平安管理活動(dòng)。1.2.2 刪減說明本信息平安管理手冊(cè)采用了ISO/IEC27001:2021標(biāo)準(zhǔn)正文的全部?jī)?nèi)容，對(duì)"適用性聲明SOA"的刪減如下 :A.14.2.7外包開發(fā)刪減理由：公司無此業(yè)務(wù)2 標(biāo)準(zhǔn)性引用文件以下文件中的條款通過本"信息平安管理手冊(cè)"的引用而成為本"信息平安管理手冊(cè)&qu

16、ot;的條款。但凡注日期的引用文件，其隨后所有的修改單或修訂版均不適用于本標(biāo)準(zhǔn)，然而，辦公室應(yīng)研究是否可使用這些文件的最新版本。但凡不注日期的引用文件、 其最新版本適用于本信息平安管理手冊(cè)。ISO/IEC27001:2021"信息技術(shù) - 平安技術(shù) - 信息平安管理體系 - 要求"ISO/IEC27002:2021"信息技術(shù) - 平安技術(shù) - 信息平安管理實(shí)用規(guī)那么"3 術(shù)語和定義ISO/IEC27001:2021"信息技術(shù) - 平安技術(shù) - 信息平安管理體系 - 要求"、ISO/IEC27002:2021"信息技術(shù) - 平

17、安技術(shù) - 信息平安管理實(shí)用規(guī)那么" 規(guī)定的術(shù)語和定義適用于本 "信息平安管理手冊(cè)"。專業(yè)資料整理WORD格式第11頁共29頁專業(yè)資料整理WORD格式信息平安管理手冊(cè)3.1 本公司指* 公司 * 包括 * 公司 * 所屬各部門。3.2 信息系統(tǒng)指由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施含網(wǎng)絡(luò)構(gòu)成的，且按照一定的應(yīng)用目標(biāo)和規(guī)那么對(duì)信息進(jìn)展采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)。3.3 計(jì)算機(jī)病毒指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)， 影響計(jì)算機(jī)使用， 并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。3.4 信息平安事件指導(dǎo)致信息系統(tǒng)不能提供正常效勞或

18、效勞質(zhì)量下降的技術(shù)故障事件、 利用信息系統(tǒng)從事的反動(dòng)有害信息和涉密信息的傳播事件、利用網(wǎng)絡(luò)所從事的對(duì)信息系統(tǒng)的破壞竊密事件。3.5 相關(guān)方關(guān)注本公司信息平安或與本公司信息平安績(jī)效有利益關(guān)系的組織和個(gè)人。 主要為：政府、上級(jí)部門、供方、銀行、用戶等。4 組織環(huán)境4.1 組織及其環(huán)境本公司根據(jù)業(yè)務(wù)特征、組織構(gòu)造、地理位置、資產(chǎn)和技術(shù)定義了X圍和邊界，本公司信息平安管理體系的X圍包括：a) 本公司涉及軟件產(chǎn)品的技術(shù)開發(fā)，設(shè)計(jì)的管理的業(yè)務(wù)系統(tǒng)本次認(rèn)證X圍：與信息管理軟件設(shè)計(jì)開發(fā)相關(guān)的信息平安管理活動(dòng)；b) 與所述信息系統(tǒng)有關(guān)的活動(dòng)；c) 與所述信息系統(tǒng)有關(guān)的部門和所有員工；d) 所述活動(dòng)、系統(tǒng)及支持性

19、系統(tǒng)包含的全部信息資產(chǎn)。e) 本公司根據(jù)組織的業(yè)務(wù)特征和組織構(gòu)造定義了信息平安管理體系的組織X圍，見附錄 A標(biāo)準(zhǔn)性附錄"組織機(jī)構(gòu)圖"。f) 本公司根據(jù)組織的業(yè)務(wù)特征、組織構(gòu)造、地理位置、資產(chǎn)和技術(shù)定義了信息平安管理體系的物理X圍和信息平安邊界。g本公司信息平安管理體系的物理X圍為本公司位于單位地址。4.2 相關(guān)方的需求和期望重大信息平安事件損失達(dá)1 萬以上的為零。專業(yè)資料整理WORD格式第12頁共29頁專業(yè)資料整理WORD格式信息平安管理手冊(cè)公司發(fā)生網(wǎng)絡(luò)中斷時(shí)間小于2 小時(shí)每年。4.3 確定信息平安管理體系的X圍體系X圍：與信息管理軟件設(shè)計(jì)開發(fā)、計(jì)算機(jī)系統(tǒng)集成相關(guān)的信息平安

20、管理活動(dòng)本公司涉及軟件產(chǎn)品的技術(shù)開發(fā)，設(shè)計(jì)的管理的業(yè)務(wù)系統(tǒng)本次認(rèn)證X圍：與電磁屏蔽機(jī)房的設(shè)計(jì)相關(guān)的信息平安管理活動(dòng)組織X圍：本公司根據(jù)組織的業(yè)務(wù)特征和組織構(gòu)造定義了信息平安管理體系的組織X圍，見附錄 A 標(biāo)準(zhǔn)性附錄"組織機(jī)構(gòu)圖"。物理X圍：本公司根據(jù)組織的業(yè)務(wù)特征、組織構(gòu)造、地理位置、資產(chǎn)和技術(shù)定義了信息平安管理體系的物理X圍和信息平安邊界。本公司信息平安管理體系的物理X圍為本公司位于單位地址。4.4 信息平安管理體系本公司在軟件產(chǎn)品的技術(shù)開發(fā)， 設(shè)計(jì)的管理活動(dòng)中， 按 ISO/IEC27001:2021"信息技術(shù) - 平安技術(shù) - 信息平安管理體系 - 要求&q

21、uot;規(guī)定，參照 ISO/IEC27002:2021"信息技術(shù) - 平安技術(shù) - 信息平安管理實(shí)用規(guī)那么"標(biāo)準(zhǔn)，建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息平安管理體系。信息平安管理體系使用的過程基于圖1 所示的 PDCA模型。圖 1 信息平安管理體系模型籌劃相關(guān)方建立相關(guān)方ISMS實(shí)施和運(yùn)行保持和改進(jìn)實(shí)施處置ISMSISMS信息平安信息平安要求監(jiān)視和評(píng)審管理和期望ISMS檢查專業(yè)資料整理WORD格式第13頁共29頁專業(yè)資料整理WORD格式信息平安管理手冊(cè)5 領(lǐng)導(dǎo)力5.1 領(lǐng)導(dǎo)和承諾我公司管理者通過以下活動(dòng)，對(duì)建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)審、保持和改進(jìn)信息平安管理體

22、系的承諾提供證據(jù)：a) 建立信息平安方針 ( 見本手冊(cè)第 0.4 章 ) ；b) 確保信息平安目標(biāo)得以制定見本手冊(cè)第 0.4 章、"適用性聲明 SoA"、"風(fēng)險(xiǎn)處理方案"及相關(guān)記錄；c) 建立信息平安的角色和職責(zé)；d) 向組織傳達(dá)滿足信息平安目標(biāo)、符合信息平安方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性；e) 提供充分的資源，以建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)審、保持并改進(jìn)信息平安管理體系 ( 見本手冊(cè)第 5.2 章) ；f) 決定承受風(fēng)險(xiǎn)的準(zhǔn)那么和風(fēng)險(xiǎn)的可承受等級(jí) ( 見"信息平安風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)"及相關(guān)記錄 ) ；g) 確保內(nèi)部信息平安管理體系審核

23、見本手冊(cè)第 9.2 章得以實(shí)施；h) 實(shí)施信息平安管理體系管理評(píng)審見本手冊(cè)第 9.3 章。5.2 方針為防止由于信息系統(tǒng)的中斷、 數(shù)據(jù)的喪失、敏感信息的泄密所導(dǎo)致的企業(yè)和客戶的損失，本公司建立了信息平安管理體系，制訂了信息平安方針，確定了信息平安目標(biāo)。信息平安管理方針：滿足客戶要求，遵守法律法規(guī)，實(shí)施風(fēng)險(xiǎn)管理，確保信息平安，實(shí)現(xiàn)持續(xù)改進(jìn)。信息平安目標(biāo)下：1. 重大信息平安事件損失達(dá) 1 萬以上的為零。2. 公司發(fā)生網(wǎng)絡(luò)中斷時(shí)間小于 2 小時(shí)每年。5.3 組織角色、職責(zé)和權(quán)限詳見附錄B6 規(guī)劃專業(yè)資料整理WORD格式第14頁共29頁專業(yè)資料整理WORD格式信息平安管理手冊(cè)6.1 應(yīng)對(duì)風(fēng)險(xiǎn)和時(shí)機(jī)的

24、措施6.1.1 總那么為了滿足適用法律法規(guī)及相關(guān)方要求，維持電力整流器開發(fā)和經(jīng)營(yíng)的正常進(jìn)展，實(shí)現(xiàn)業(yè)務(wù)可持續(xù)開展的目的。本公司根據(jù)組織的業(yè)務(wù)特征、組織構(gòu)造、地理位置、資產(chǎn)和技術(shù)定義了信息平安管理體系方針，見本信息平安管理手冊(cè)第0.4 條款。該信息平安方針符合以下要求：a) 為信息平安目標(biāo)建立了框架，并為信息平安活動(dòng)建立整體的方向和原那么；b) 考慮業(yè)務(wù)及法律或法規(guī)的要求，及合同的平安義務(wù)；c) 與組織戰(zhàn)略和風(fēng)險(xiǎn)管理相一致的環(huán)境下，建立和保持信息平安管理體系；d) 建立了風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)那么；e) 經(jīng)最高管理者批準(zhǔn)。為實(shí)現(xiàn)信息平安管理體系方針，本公司承諾：a) 在各層次建立完整的信息平安管理組織機(jī)構(gòu)，

25、確定信息平安目標(biāo)和控制措施；明確信息平安的管理職責(zé)，詳見附錄 B標(biāo)準(zhǔn)性附錄"信息平安管理職責(zé)明細(xì)表"；b) 識(shí)別并滿足適用法律、法規(guī)和相關(guān)方信息平安要求；c) 定期進(jìn)展信息平安風(fēng)險(xiǎn)評(píng)估，信息平安管理體系評(píng)審，采取糾正預(yù)防措施，保證體系的持續(xù)有效性；d采用先進(jìn)有效的設(shè)施和技術(shù)，處理、傳遞、儲(chǔ)存和保護(hù)各類信息，實(shí)現(xiàn)信息共享；e) 對(duì)全體員工進(jìn)展持續(xù)的信息平安教育和培訓(xùn)， 不斷增強(qiáng)員工的信息平安意識(shí)和能力；f) 制定并保持完善的業(yè)務(wù)連續(xù)性方案，實(shí)現(xiàn)可持續(xù)開展。6.1.2 信息平安風(fēng)險(xiǎn)評(píng)估6.1.2.1風(fēng)險(xiǎn)評(píng)估的方法辦公室負(fù)責(zé)制定"信息平安風(fēng)險(xiǎn)管理程序"，建立識(shí)

26、別適用于信息平安管理體系和已經(jīng)識(shí)別的業(yè)務(wù)信息平安、法律和法規(guī)要求的風(fēng)險(xiǎn)評(píng)估方法，建立承受風(fēng)險(xiǎn)的準(zhǔn)那么并識(shí)別風(fēng)險(xiǎn)的可承受等級(jí)。6.1.2.2識(shí)別風(fēng)險(xiǎn)在已確定的信息平安管理體系X圍內(nèi)，本公司按"信息平安風(fēng)險(xiǎn)管理程序"，對(duì)所有的資產(chǎn)進(jìn)展了識(shí)別，并識(shí)別了這些資產(chǎn)的所有者。資產(chǎn)包括硬件、設(shè)施、軟件與系統(tǒng)、數(shù)據(jù)、文檔、效勞及人力資源。對(duì)每一項(xiàng)資產(chǎn)按自身價(jià)值、信息分類、*性、完整性、法律法規(guī)專業(yè)資料整理WORD格式第15頁共29頁專業(yè)資料整理WORD格式信息平安管理手冊(cè)符合性要求進(jìn)展了量化賦值，根據(jù)重要資產(chǎn)判斷依據(jù)確定是否為重要資產(chǎn)，形成了"重要資產(chǎn)清單"。同時(shí)，根據(jù)

27、"信息平安風(fēng)險(xiǎn)管理程序"，識(shí)別了對(duì)這些資產(chǎn)的威脅、可能被威脅利用的脆弱性、識(shí)別資產(chǎn)價(jià)值、*性、完整性和可用性、合規(guī)性損失可能對(duì)資產(chǎn)造成的影響。6.1.2.3分析和評(píng)價(jià)風(fēng)險(xiǎn)本公司按"信息平安風(fēng)險(xiǎn)管理程序"，采用FMEA分析方法，分析和評(píng)價(jià)風(fēng)險(xiǎn)：a) 針對(duì)重要資產(chǎn)自身價(jià)值、*性、完整性和可用性、合規(guī)性損失導(dǎo)致的后果進(jìn)展賦值；b) 針對(duì)每一項(xiàng)威脅、薄弱點(diǎn)，對(duì)資產(chǎn)造成的影響，考慮現(xiàn)有的控制措施，判定平安失效發(fā)生的可能性，并進(jìn)展賦值；c) 根據(jù)"信息平安風(fēng)險(xiǎn)管理程序"計(jì)算風(fēng)險(xiǎn)等級(jí)；d) 根據(jù)"信息平安風(fēng)險(xiǎn)管理程序"及風(fēng)險(xiǎn)承受

28、準(zhǔn)那么，判斷風(fēng)險(xiǎn)為可承受或需要處理。6.1.2.4識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的選擇辦公室組織有關(guān)部門根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，形成"風(fēng)險(xiǎn)處理方案"，該方案明確了風(fēng)險(xiǎn)處理責(zé)任部門、負(fù)責(zé)人、處理方法及起始、完成時(shí)間。對(duì)于信息平安風(fēng)險(xiǎn)，應(yīng)考慮控制措施與費(fèi)用的平衡原那么，選用以下適當(dāng)?shù)拇胧篴) 控制風(fēng)險(xiǎn)，采用適當(dāng)?shù)膬?nèi)部控制措施；b) 承受風(fēng)險(xiǎn)不可能將所有風(fēng)險(xiǎn)降低為零；c) 防止風(fēng)險(xiǎn)如物理隔離；d) 轉(zhuǎn)移風(fēng)險(xiǎn)如將風(fēng)險(xiǎn)轉(zhuǎn)移給保險(xiǎn)者、供方、分包商。6.1.3 信息平安風(fēng)險(xiǎn)處置辦公室根據(jù)信息平安方針、 業(yè)務(wù)開展要求及風(fēng)險(xiǎn)評(píng)估的結(jié)果，組織有關(guān)部門制定了信息平安目標(biāo)，并將目標(biāo)分解到有關(guān)部門見"信

29、息平安閑用性聲明"：a) 信息平安控制目標(biāo)獲得了信息平安最高責(zé)任者的批準(zhǔn)。b) 本公司根據(jù)信息平安管理的需要，可以選擇標(biāo)準(zhǔn)之外的其他控制措施c) 控制目標(biāo)及控制措施的選擇原那么來源于 ISO/IEC27001:2021"信息技術(shù) - 平安技術(shù) - 信息平安管理體系 - 要求"附錄 A，具體控制措施參考 ISO/IEC27002:2021"信息技術(shù) - 平安技術(shù) - 信息平安管理實(shí)用規(guī)那么"。專業(yè)資料整理WORD格式第16頁共29頁專業(yè)資料整理WORD格式信息平安管理手冊(cè)d)適用性聲明：辦公室負(fù)責(zé)編制"信息平安閑用性聲明"So

30、A，所選擇控制目標(biāo)與控制措施的概要描述， 以及選擇的原因； 對(duì) ISO/IEC27001:2021附錄 A 中未選用的控制目標(biāo)及控制措施理由的說明。e) 制定風(fēng)險(xiǎn)處置方案。f) 對(duì)風(fēng)險(xiǎn)處理后的剩余風(fēng)險(xiǎn)，得到了公司最高管理者的批準(zhǔn)6.2 信息平安目標(biāo)和規(guī)劃實(shí)現(xiàn)6.2.1 本公司通過實(shí)施不定期平安檢查、內(nèi)部審核、事故事件報(bào)告調(diào)查處理、電子監(jiān)控、定期技術(shù)檢查等控制措施并報(bào)告結(jié)果以實(shí)現(xiàn)：a) 及時(shí)發(fā)現(xiàn)處理結(jié)果中的錯(cuò)誤、信息平安體系的事故事件和隱患；b) 及時(shí)了解識(shí)別失敗的和成功的平安破壞和事件、信息處理系統(tǒng)遭受的各類攻擊；c) 使管理者確認(rèn)人工或自動(dòng)執(zhí)行的平安活動(dòng)到達(dá)預(yù)期的結(jié)果；d) 使管理者掌握信息

31、平安活動(dòng)和解決平安破壞所采取的措施是否有效；e) 積累信息平安方面的經(jīng)歷 ;6.2.2 根據(jù)以上活動(dòng)的結(jié)果以及來自相關(guān)方的建議和反響，由總經(jīng)理主持，每年至少一次對(duì)信息平安管理體系的有效性進(jìn)展評(píng)審，其中包括信息平安X圍、方針、目標(biāo)的符合性及控制措施有效性的評(píng)審，考慮平安審核、事件、有效性測(cè)量的結(jié)果，以及所有相關(guān)方的建議和反饋。管理評(píng)審的具體要求，見本手冊(cè)第7 章。6.2.3辦公室應(yīng)組織有關(guān)部門按照"信息平安風(fēng)險(xiǎn)管理程序"的要求，采用FMEA分析方法，對(duì)風(fēng)險(xiǎn)處理后的剩余風(fēng)險(xiǎn)進(jìn)展定期評(píng)審，以驗(yàn)證剩余風(fēng)險(xiǎn)是否到達(dá)可承受的水平，對(duì)以下方面變更情況應(yīng)及時(shí)進(jìn)展風(fēng)險(xiǎn)評(píng)估：a) 組織；b)

32、技術(shù)；c) 業(yè)務(wù)目標(biāo)和過程；d) 已識(shí)別的威脅；e) 實(shí)施控制的有效性；f) 外部事件，例如法律或規(guī)章環(huán)境的變化、合同責(zé)任的變化以及社會(huì)環(huán)境的變化。6.2.4 按照方案的時(shí)間間隔進(jìn)展信息平安管理體系內(nèi)部審核。6.2.5 定期對(duì)信息平安管理體系進(jìn)展管理評(píng)審，以確保X圍的充分性，并識(shí)別信息平安管理體系過程的改進(jìn)，管理評(píng)審的具體要求，見本手冊(cè)第7 章。專業(yè)資料整理WORD格式第17頁共29頁專業(yè)資料整理WORD格式信息平安管理手冊(cè)6.2.6 考慮監(jiān)視和評(píng)審活動(dòng)的發(fā)現(xiàn)，更新平安方案。6.2.7 記錄可能對(duì)信息平安管理體系有效性或業(yè)績(jī)有影響的活動(dòng)和事情。7 支持7.1 資源本公司確定并提供實(shí)施、保持信息平安管理體系所需資源；采取適當(dāng)措施，使影響信息平安管理體系工作的員工的能力是勝任的，以保證：a) 建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)審、保持和改進(jìn)信息平安管理體系；b) 確保信息平安程序支持業(yè)務(wù)要求；c) 識(shí)別并指出法律法規(guī)要求和合同平安責(zé)任；d) 通過正確應(yīng)用所實(shí)施的所有控制來保持充分的平安；e) 必要時(shí)進(jìn)展評(píng)審，并對(duì)評(píng)審的結(jié)果采取適當(dāng)措施；f) 需要時(shí)，改進(jìn)信息平安管理體系的有效性。7.2 能力組織應(yīng)