信息安全管理手冊-ISO27001

1、儡安全管建度信息安全管理體系管理手冊ISMS-M-yyyy 版本號：A/1頁,內(nèi)客受控狀態(tài):受控非受控日期：2016年1月8日實施日期：2016年1月8日修改履歷版本制訂者修改時間更改內(nèi)容審核人審核意見變更申請單號A/0編寫組2016-1-08定版審核人 A同意A/1編寫組2017-1-15定版審核人B同意頁，內(nèi)客儡安全管建度00目錄00目錄301頒布令502管理者代表授權(quán)書603企業(yè)概況704信息安全管理方針目標905手冊的管理1106信息安全管理手冊12!范圍121.1總則12L2應(yīng)用122規(guī)范性引用文件123術(shù)語和定義123.1 本公司133.2 信息系統(tǒng)133.3 計算機病用133.4

2、 信息安全事件133.5 相關(guān)方134組織環(huán)境134.1 組織及其環(huán)境134.2 相關(guān)方的需求和期望134.3 確定信息安全管理體系的范闈144.4 信息安全管理體系145領(lǐng)導(dǎo)力145.1 領(lǐng)導(dǎo)和承諾145.2 方針155.3 組織角色、職責和權(quán)限156規(guī)劃156.1 應(yīng)對風險和機會的措施156.2 信息安全目標和規(guī)劃實現(xiàn)187支持187.1 資源187.2 能力197.3 意識197.4 溝通197.5 文件化信息198運行208.1 運行的規(guī)劃和控制208.2 信息安全風險評估218.3 信息安全風險處置219績效評價219.1 監(jiān)視、測量、分析和評價219.2 內(nèi)部審核229.3 管理評

3、審2310改進2310.1 不符合不糾正措施2310.2 持續(xù)改進24附錄A信息安全管理組織結(jié)構(gòu)圖25附錄B信息安全管理職責明細表26附錄c信息安全管理程序文件清單28更，內(nèi)客01頒布令為提高*公司*的信息安全管理水平，保障我公司業(yè)務(wù)活動的正常進行，防止由于信息 系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密所導(dǎo)致的公司和客戶的損失，我公司開展貫徹 ISO/IEC27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系要求國際標準工作，建立、 實施和持續(xù)改進文件化的信息安全管理體系，制定了*公司*信息安全管理手冊。信息安全管理手冊是企業(yè)的法規(guī)性文件，是指導(dǎo)企業(yè)建立并實施信息安全管理體系 的綱領(lǐng)和行動準

4、則，用于貫徹企業(yè)的信息安全管理方針、目標，實現(xiàn)信息安全管理體系有效 運行、持續(xù)改進，體現(xiàn)企業(yè)對社會的承諾。信息安全管理手冊符合有關(guān)信息安全法律、法規(guī)要求及IS0/IEC27001:2013信息 技術(shù)-安全技術(shù)-信息安全管理體系-要求標準和企業(yè)實際情況，現(xiàn)正式批準發(fā)布，自2016 年1月8日 起實施。企業(yè)全體員工必須遵照執(zhí)行。全體員工必須嚴格按照信息安全管理手冊的要求，自覺遵循信息安全管理方針，貫 徹實施本手冊的各項要求，努力實現(xiàn)公司信息安全管理方針和目標。總經(jīng)理：總經(jīng)理2016年1月8日02管理者代表授權(quán)書為貫徹執(zhí)行信息安全管理體系，滿足IS0/IEC27001:2013信息技術(shù)-安全技術(shù)-信

5、息安 全管理體系-要求標準的要求，加強領(lǐng)導(dǎo)，特任命審核人B為我公司信息安全管理者代表。授權(quán)信息安全管理者代表有如下職責和權(quán)限：1 .確保按照標準的要求，進行資產(chǎn)識別和風險評估，全面建立、實施和保持信息安全管 理體系；2 .負責與信息安全管理體系有關(guān)的協(xié)調(diào)和聯(lián)絡(luò)工作；3 .確保在整個組織內(nèi)提高信息安全風險的意識；4 .審核風險評估報告、風險處理計劃；5 .批準發(fā)布程序文件；6 .主持信息安全管理體系內(nèi)部審核，任命審核組長，批準內(nèi)審工作報告；7 .向最高管理者報告信息安全管理體系的業(yè)績和改進要求，包括信息安全管理體系運 行情況、內(nèi)外部審核情況。本授權(quán)書自任命日起生效執(zhí)行?？偨?jīng)理：總經(jīng)理2017年1

6、月15日儡安全管建度頁內(nèi)容03企業(yè)概況這里是公司情況介紹哦這里是公司情況介紹哦這里是公司情況介紹哦這里是公司情況介紹哦這里是公司情況介紹哦單位地址：單位地址 電 話：單位電話 傳 真：單位電話 郵 編：郵編 總經(jīng)理：總經(jīng)理 管代：審核人A儡安全管建度04信息安全管理方針目標為防止由于信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密所導(dǎo)致的企業(yè)和客戶的損失, 本公司建立了信息安全管理體系，制訂了信息安全方針，確定了信息安全目標。信息安全管理方針：數(shù)據(jù)保密、信息完整、控制風險、持續(xù)改進、遵守法律。本公司信息安全管理方針包括內(nèi)容如下：一、信息安全管理機制1 .公司采用系統(tǒng)的方法，按照ISO/IEC2700

7、1:2013建立信息安全管理體系，全面保護 本公司的信息安全。二、信息安全管理組織2 .公司總經(jīng)理對信息安全工作全面負責，負責批準信息安全方針，確定信息安全要求, 提供信息安全資源。3 .公司總經(jīng)理任命管理者代表負責建立、實施、檢查、改進信息安全管理體系，保證 信息安全管理體系的持續(xù)適宜性和有效性。4 .在公司內(nèi)部建立信息安全組織機構(gòu)，信息安全管理委員會和信息安全協(xié)調(diào)機構(gòu)，保 證信息安全管理體系的有效運行。5 .與上級部門、地方政府、相關(guān)專業(yè)部門建立定期經(jīng)常性的聯(lián)系，了解安全要求和發(fā) 展動態(tài)，獲得對信息安全管理的支持。三、人員安全6 .信息安全需要全體員工的參與和支持，全體員工都有保護信息安全

8、的職責，在勞動 合同、崗位職責中應(yīng)包含對信息安全的要求。特殊崗位的人員應(yīng)規(guī)定特別的安全責任。對崗 位調(diào)動或離職人員，應(yīng)及時調(diào)整安全職責和權(quán)限。7 .對本公司的相關(guān)方，要明確安全要求和安全職責。8 .定期對全體員工進行信息安全相關(guān)教育，包括：技能、職責和意識。以提高安全意 識。9,全體員工及相關(guān)方人員必須履行安全職責，執(zhí)行安全方針、程序和安全措施。四、識別法律、法規(guī)、合同中的安全10 .及時識別顧客、合作方、相關(guān)方、法律法規(guī)對信息安全的要求，采取措施，保證滿 足安全要求。五、風險評估11 .根據(jù)本公司業(yè)務(wù)信息安全的特點、法律法規(guī)要求，建立風險評估程序，確定風險接 受準則。12 .采用先進的風險評

9、估技術(shù)，定期進行風險評估，以識別本公司風險的變化。本公司 或環(huán)境發(fā)生重大變化時，隨時評估。13 .應(yīng)根據(jù)風險評估的結(jié)果，采取相應(yīng)措施，降低風險。六、報告安全事件14 .公司建立報告信息安全事件的渠道和相應(yīng)的主管部門。15 .全體員工有報告信息安全隱患、威脅、薄弱點、事故的責任，一旦發(fā)現(xiàn)信息安全事 件，應(yīng)立即按照規(guī)定的途徑進行報告。16 .接受信息安全事件報告的主管部門應(yīng)記錄所有報告，及時做出相應(yīng)的處理，并向報 告人員反饋處理結(jié)果。七、監(jiān)督檢查17 .定期對信息安全進行監(jiān)督檢查，包括：日常檢查、專項檢查、技術(shù)性檢查、內(nèi)部審 核等。八、業(yè)務(wù)持續(xù)性18 .公司根據(jù)風險評估的結(jié)果，建立業(yè)務(wù)持續(xù)性計劃，

10、抵消信息系統(tǒng)的中斷造成的影響, 防止關(guān)鍵業(yè)務(wù)過程受嚴重的信息系統(tǒng)故障或者災(zāi)難的影響，并確保能夠及時恢復(fù)。19 .定期對業(yè)務(wù)持續(xù)性計劃進行測試和更新。九、違反信息安全要求的懲罰20 .對違反信息安全方針、職責、程序和措施的人員，按規(guī)定進行處理。信息安全目標如下：1 .重大信息安全事件（損失達1萬以上的）為零。2 .公司發(fā)生網(wǎng)絡(luò)中斷時間小于2小時每年。05手冊的管理1信息安全管理手冊的批準辦公室負責組織編制信息安全管理手冊，總經(jīng)理負責批準。2信息安全管理手冊的發(fā)放、更改、作廢與銷毀a）辦公室負責按文件管理程序的要求，進行信息安全管理手冊的登記、發(fā)放、 回收、更改、歸檔、作廢與銷毀工作；b）各相關(guān)部

11、門按照受控文件的管理要求對收到的信息安全管理手冊進行使用和保 管；c）辦公室按照規(guī)定發(fā)放修改后的信息安全管理手冊，并收回失效的文件作出標識 統(tǒng)一處理，確保有效文件的唯一性；d）辦公室保留信息安全管理手冊修改內(nèi)容的記錄。3信息安全管理手冊的換版當依據(jù)的IS0/IEC27001:2013或IS0/IEC27002:2013標準有重大變化、組織的結(jié)構(gòu)、內(nèi) 外部環(huán)境、生產(chǎn)技術(shù)、信息安全風險等發(fā)生重大改變及信息安全管理手冊發(fā)生需修改部 分超過1/3時，應(yīng)對信息安全管理手冊進行換版。換版應(yīng)在管理評審時形成決議，重新 實施編、審、批工作。4信息安全管理手冊的控制a）本信息安全管理手冊標識分受控文件和非受控文

12、件兩種：受控文件發(fā)放范圍為公司領(lǐng)導(dǎo)、各相關(guān)部門的負責人、內(nèi)審員；非受控文件指印制成單行本，作為投標書的資料或為生產(chǎn)、銷售目的等發(fā)給受控范 圍以外的其他相關(guān)人員。b）信息安全管理手冊有書面文件和電子文件，電子版本文件的有效格式為.doc文 檔。06信息安全管理手冊1范圍1.1 總則為了建立、實施、運行、監(jiān)視、評審、保持和改進文件化的信息安全管理體系（簡稱1sMS）, 確定信息安全方針和目標，對信息安全風險進行有效管理，確保全體員工理解并遵照執(zhí)行信 息安全管理體系文件、持續(xù)改進信息安全管理體系的有效性，特制定本手冊。1.2 應(yīng)用1.2.1 覆蓋范圍本信息安全管理手冊規(guī)定了*公司*信息安全管理體系要

13、求、管理職責、內(nèi)部審核、管 理評審和信息安全管理體系改進等方面內(nèi)容。本信息安全管理手冊適用于*公司*電磁屏蔽機房的設(shè)計業(yè)務(wù)活動所涉及的信息系統(tǒng)、 資產(chǎn)及相關(guān)信息安全管理活動。1.2.2 刪減說明本信息安全管理手冊采用了 ISO/IEC27001:2013標準正文的全部內(nèi)容，對適用性聲明 S0A的刪減如下：A. 14. 2. 7外包開發(fā)刪減理由：公司無此業(yè)務(wù)2規(guī)范性引用文件下列文件中的條款通過本信息安全管理手冊的引用而成為本信息安全管理手冊 的條款。凡是注日期的引用文件，其隨后所有的修改單或修訂版均不適用于本標準，然而， 辦公室應(yīng)研究是否可使用這些文件的最新版本。凡是不注日期的引用文件、其最新版

14、本適用 于本信息安全管理手冊。IS0/IEC27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系-要求IS0/IEC27002:2013信息技術(shù)-安全技術(shù)-信息安全管理實用規(guī)則3術(shù)語和定義IS0/IEC27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系-要求、IS0/IEC27002:2013 信息技術(shù)-安全技術(shù)-信息安全管理實用規(guī)則規(guī)定的術(shù)語和定義適用于本信息安全管理 手冊。更，內(nèi)客儡安全管建度3.1 本公司指*公司*包括*公司*所屬各部門。3.2 信息系統(tǒng)指由計算機及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，且按照一定的應(yīng)用目標 和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處

15、理的人機系統(tǒng)。3.3 計算機病毒指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并 能自我復(fù)制的一組計算機指令或者程序代碼。3.4 信息安全事件指導(dǎo)致信息系統(tǒng)不能提供正常服務(wù)或服務(wù)質(zhì)量下降的技術(shù)故障事件、利用信息系統(tǒng)從事 的反動有害信息和涉密信息的傳播事件、利用網(wǎng)絡(luò)所從事的對信息系統(tǒng)的破壞竊密事件。 3.5相關(guān)方關(guān)注本公司信息安全或與本公司信息安全績效有利益關(guān)系的組織和個人。主要為：政府、 上級部門、供方、銀行、用戶等。4組織環(huán)境4.1 組織及其環(huán)境本公司根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了范圍和邊界，本公司信 息安全管理體系的范圍包括：a）本公司涉及軟

16、件產(chǎn)品的技術(shù)開發(fā)，設(shè)計的管理的業(yè)務(wù)系統(tǒng)（本次認證范圍：與信息 管理軟件設(shè)計開發(fā)相關(guān)的信息安全管理活動）；b）與所述信息系統(tǒng)有關(guān)的活動；c）與所述信息系統(tǒng)有關(guān)的部門和所有員工；d）所述活動、系統(tǒng)及支持性系統(tǒng)包含的全部信息資產(chǎn)。e）本公司根據(jù)組織的業(yè)務(wù)特征和組織結(jié)構(gòu)定義了信息安全管理體系的組織范圍，見附 錄A （規(guī)范性附錄）組織機構(gòu)圖。f）本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了信息安全管 理體系的物理范圍和信息安全邊界。g）本公司信息安全管理體系的物理范圍為本公司位于單位地址。4.2 相關(guān)方的需求和期望重大信息安全事件（損失達1萬以上的）為零。公司發(fā)生網(wǎng)絡(luò)中斷時間小于2小時

17、每年。43確定信息安全管理體系的范圍體系范圍：與信息管理軟件設(shè)計開發(fā)、計算機系統(tǒng)集成相關(guān)的信息安全管理活動 本公司涉及軟件產(chǎn)品的技術(shù)開發(fā)，設(shè)計的管理的業(yè)務(wù)系統(tǒng)（本次認證范圍：與電磁屏蔽機房的設(shè)計相關(guān) 的信息安全管理活動）組織范圍：本公司根據(jù)組織的業(yè)務(wù)特征和組織結(jié)構(gòu)定義了信息安全管理體系的組織范圍，見附錄A （規(guī)范性附錄）組織機構(gòu)圖。物理范圍：本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了信息安全管理體 系的物理范圍和信息安全邊界。本公司信息安全管理體系的物理范圍為本公司位于單位地址。4.4信息安全管理體系本公司在軟件產(chǎn)品的技術(shù)開發(fā)，設(shè)計的管理活動中，按IS0/IEC27001:

18、2013信息技術(shù)- 安全技術(shù)-信息安全管理體系-要求規(guī)定，參照IS0/IEC27002:2013信息技術(shù)-安全技術(shù)- 信息安全管理實用規(guī)則標準，建立、實施、運行、監(jiān)視、評審、保持和改進文件化的信息 安全管理體系。信息安全管理體系使用的過程基于圖1所示的PDCA模型。圖1信息安全管理體系模型儡安全管建度5領(lǐng)導(dǎo)力5.1 領(lǐng)導(dǎo)和承諾我公司管理者通過以下活動，對建立、實施、運作、監(jiān)視、評審、保持和改進信息安全 管理體系的承諾提供證據(jù)：a）建立信息安全方針一（見本手冊第0.4章）；b）確保信息安全目標得以制定（見本手冊第0.4章、適用性聲明SoA、風險處理 計劃及相關(guān)記錄）；c）建立信息安全的角色和職責

19、；d）向組織傳達滿足信息安全目標、符合信息安全方針、履行法律責任和持續(xù)改進的重 要性；e）提供充分的資源，以建立、實施、運作、監(jiān)視、評審、保持并改進信息安全管理體 系（見本手冊第5. 2章）;f）決定接受風險的準則和風險的可接受等級（見信息安全風險管理標準及相關(guān)記 錄）；g）確保內(nèi)部信息安全管理體系審核（見本手冊第9. 2章）得以實施；h）實施信息安全管理體系管理評審（見本手冊第9. 3章）。5.2 方針為防止由于信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密所導(dǎo)致的企業(yè)和客戶的損失, 本公司建立了信息安全管理體系，制訂了信息安全方針，確定了信息安全目標。信息安全管理方針：滿足客戶要求，遵守法律法

20、規(guī)，實施風險管理，確保信息安全，實現(xiàn)持續(xù)改進。信息安全目標下：1 .重大信息安全事件（損失達1萬以上的）為零。2 .公司發(fā)生網(wǎng)絡(luò)中斷時間小于2小時每年。53組織角色、職責和權(quán)限詳見附錄B6規(guī)劃6.1 應(yīng)對風險和機會的措施6.1.1 總則為了滿足適用法律法規(guī)及相關(guān)方要求，維持電力整流器開發(fā)和經(jīng)營的正常進行，實現(xiàn)業(yè) 務(wù)可持續(xù)發(fā)展的目的。本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義 了信息安全管理體系方針，見本信息安全管理手冊笫0. 4條款。該信息安全方針符合以下要求：a）為信息安全目標建立了框架，并為信息安全活動建立整體的方向和原則；b）考慮業(yè)務(wù)及法律或法規(guī)的要求，及合同的安全義務(wù)

21、；c）與組織戰(zhàn)略和風險管理相一致的環(huán)境下，建立和保持信息安全管理體系；d）建立了風險評價的準則；e）經(jīng)最高管理者批準。為實現(xiàn)信息安全管理體系方針，本公司承諾：a）在各層次建立完整的信息安全管理組織機構(gòu)，確定信息安全目標和控制措施；明確 信息安全的管理職責，詳見附錄B （規(guī)范性附錄）信息安全管理職責明細表；b）識別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求：c）定期進行信息安全風險評估，信息安全管理體系評審，采取糾正預(yù)防措施，保證體 系的持續(xù)有效性；d）采用先進有效的設(shè)施和技術(shù)，處理、傳遞、儲存和保護各類信息，實現(xiàn)信息共享；e）對全體員工進行持續(xù)的信息安全教育和培訓，不斷增強員工的信息安全意識和能

22、力;f）制定并保持完善的業(yè)務(wù)連續(xù)性計劃，實現(xiàn)可持續(xù)發(fā)展。6.1.2 信息安全風險評估6. 1. 2. 1風險評估的方法辦公室負責制定信息安全風險管理程序，建立識別適用于信息安全管理體系和已經(jīng) 識別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風險評估方法，建立接受風險的準則并識別風險的 可接受等級。7. 1. 2. 2識別風險在已確定的信息安全管理體系范圍內(nèi)，本公司按信息安全風險管理程序，對所有的 資產(chǎn)進行了識別，并識別了這些資產(chǎn)的所有者。資產(chǎn)包括硬件、設(shè)施、軟件與系統(tǒng)、數(shù)據(jù)、 文檔、服務(wù)及人力資源。對每一項資產(chǎn)按自身價值、信息分類、保密性、完整性、法律法規(guī) 更，內(nèi)客ftHSl金管瑰網(wǎng)度符合性要求進行了量化

23、賦值，根據(jù)重要資產(chǎn)判斷依據(jù)確定是否為重要資產(chǎn)，形成了重要資 產(chǎn)清單。同時，根據(jù)信息安全風險管理程序，識別了對這些資產(chǎn)的威肋、可能被威脅利用的 脆弱性、識別資產(chǎn)價值、保密性、完整性和可用性、合規(guī)性損失可能對資產(chǎn)造成的影響。7.1. 2. 3分析和評價風險本公司按信息安全風險管理程序，采用FMEA分析方法，分析和評價風險：a）針對重要資產(chǎn)自身價值、保密性、完整性和可用性、合規(guī)性損失導(dǎo)致的后果進行賦 值；b）針對每一項威脅、薄弱點，對資產(chǎn)造成的影響，考慮現(xiàn)有的控制措施，判定安全失 效發(fā)生的可能性，并進行賦值；c）根據(jù)信息安全風險管理程序計算風險等級；d）根據(jù)信息安全風險管理程序及風險接受準則，判斷風

24、險為可接受或需要處理。6.1. 2.4識別和評價風險處理的選擇辦公室組織有關(guān)部門根據(jù)風險評估的結(jié)果，形成風險處理計劃，該計劃明確了風險 處理責任部門、負責人、處理方法及起始、完成時間。對于信息安全風險，應(yīng)考慮控制措施與費用的平衡原則，選用以下適當?shù)拇胧篴）控制風險，采用適當?shù)膬?nèi)部控制措施；b）接受風險（不可能將所有風險降低為零）；c）避免風險（如物理隔離）；d）轉(zhuǎn)移風險（如將風險轉(zhuǎn)移給保險者、供方、分包商）。6.1.3信息安全風險處置辦公室根據(jù)信息安全方針、業(yè)務(wù)發(fā)展要求及風險評估的結(jié)果，組織有關(guān)部門制定了信息 安全目標，并將目標分解到有關(guān)部門（見信息安全適用性聲明）：a）信息安全控制目標獲得

25、了信息安全最高責任者的批準。b）本公司根據(jù)信息安全管理的需要，可以選擇標準之外的其他控制措施c）控制目標及控制措施的選擇原則來源于IS0/IEC27001:2013信息技術(shù)-安全技 術(shù)-信息安全管理體系-要求附錄A,具體控制措施參考IS0/IEC27002:2013信 息技術(shù)-安全技術(shù)-信息安全管理實用規(guī)則。d）適用性聲明：辦公室負責編制信息安全適用性聲明（SoA）,所選擇控制目 標與控制措施的概要描述，以及選擇的原因；對IS0/IEC27001:2013附錄A中未 選用的控制目標及控制措施理由的說明。e）制定風險處置計劃。f）對風險處理后的剩余風險，得到了公司最高管理者的批準6.2信息安全目

26、標和規(guī)劃實現(xiàn)6. 2.1本公司通過實施不定期安全檢查、內(nèi)部審核、事故（事件）報告調(diào)查處理、電子監(jiān)控、 定期技術(shù)檢查等控制措施并報告結(jié)果以實現(xiàn)：a）及時發(fā)現(xiàn)處理結(jié)果中的錯誤、信息安全體系的事故（事件）和隱患；b）及時了解識別失敗的和成功的安全破壞和事件、信息處理系統(tǒng)遭受的各類攻擊；c）使管理者確認人工或自動執(zhí)行的安全活動達到預(yù)期的結(jié)果；d）使管理者掌握信息安全活動和解決安全破壞所采取的措施是否有效；e）積累信息安全方面的經(jīng)驗；6. 2. 2根據(jù)以上活動的結(jié)果以及來自相關(guān)方的建議和反饋，由總經(jīng)理主持，每年至少一次對 信息安全管理體系的有效性進行評審，其中包括信息安全范圍、方針、目標的符合性及控制

27、措施有效性的評審，考慮安全審核、事件、有效性測量的結(jié)果，以及所有相關(guān)方的建議和反 饋。管理評審的具體要求，見本手冊第7章。6.2.3辦公室應(yīng)組織有關(guān)部門按照信息安全風險管理程序的要求，采用FMEA分析方法, 對風險處理后的殘余風險進行定期評審，以驗證殘余風險是否達到可接受的水平，對以下方 面變更情況應(yīng)及時進行風險評估：a）組織；b）技術(shù)；c）業(yè)務(wù)目標和過程；d）已識別的威脅；e）實施控制的有效性；f）外部事件，例如法律或規(guī)章環(huán)境的變化、合同責任的變化以及社會環(huán)境的變化。6. 2. 4按照計劃的時間間隔進行信息安全管理體系內(nèi)部審核。6. 2. 5定期對信息安全管理體系進行管理評審，以確保范圍的充

28、分性，并識別信息安全管理 體系過程的改進，管理評審的具體要求，見本手冊第7章。6. 2. 6考慮監(jiān)視和評審活動的發(fā)現(xiàn)，更新安全計劃。6. 2.7記錄可能對信息安全管理體系有效性或業(yè)績有影響的活動和事情。7支持7.1 資源本公司確定并提供實施、保持信息安全管理體系所需資源；采取適當措施，使影響信息 安全管理體系工作的員工的能力是勝任的，以保證：a）建立、實施、運作、監(jiān)視、評審、保持和改進信息安全管理體系；b）確保信息安全程序支持業(yè)務(wù)要求；c）識別并指出法律法規(guī)要求和合同安全責任；d）通過正確應(yīng)用所實施的所有控制來保持充分的安全；e）必要時進行評審，并對評審的結(jié)果采取適當措施；f）需要時，改進信息

29、安全管理體系的有效性。7.2 能力組織應(yīng)：a）確定員工為完成其本職工作所所需的安全技能；b）確保員工具備完成工作所需的教育、培訓和經(jīng)驗；c）采取合適的措施確保員工具備相應(yīng)的技能并對技能進行考核；d）保留適當?shù)奈臋n信息作為證據(jù)。注：適當?shù)拇胧┛赡馨ǎ纾禾峁┡嘤?、指?dǎo)或重新分派現(xiàn)有員工，或雇用具備相 關(guān)技能的人士。7.3 意識組織的員工應(yīng)了解：a）信息安全方針；b）個人對于實現(xiàn)信息安全管理的重要性，提高組織信息安全績效的收益；c）不符合信息安全管理體系要求所造成的影響。7.4 溝通辦公室制定并實施人力資源管理程序文件，確保被分配信息安全管理體系規(guī)定職責 的所有人員，都必須有能力執(zhí)行所要求的任

30、務(wù)。可以通過：a）確定承擔信息安全管理體系各工作崗位的職工所必要的能力；b）提供職業(yè)技術(shù)教育和技能培訓或采取其他的措施來滿足這些需求；C）評價所采取措施的有效性；d）保留教育、培訓、技能、經(jīng)驗和資歷的記錄。本公司還確保所有相關(guān)人員意識到其所從事的信息安全活動的相關(guān)性和重要性，以及如 何為實現(xiàn)信息安全管理體系目標做出貢獻。7.5 文件化信息7.5.1 總則本公司信息安全管理體系文件包括：a）文件化的信息安全方針、控制目標，在信息安全管理手冊中描述；b）信息安全管理手冊（本手冊，包括信息安全適用范圍及引用的標準）；c）本手冊要求的信息安全風險管理程序、業(yè)務(wù)持續(xù)性管理程序、糾正措施 管理程序等支持性

31、程序；d）信息安全管理體系引用的支持性程序。如：文件管理程序、記錄管理程序、 內(nèi)部審核管理程序等；e）為確保有效策劃、運作和控制信息安全過程所制定的文件化操作程序；f）風險評估報告、風險處理計劃以及信息安全管理體系要求的記錄類文件；g）相關(guān)的法律、法規(guī)和信息安全標準；h）適用性聲明（SoA）。7.5.2 創(chuàng)建和更新7.5.3 文件化信息的控制辦公室制定并實施文件管理程序，對信息安全管理體系所要求的文件進行管理。對 信息安全管理手冊、程序文件、管理規(guī)定、作業(yè)指導(dǎo)書和為保證信息安全管理體系有效 策劃、運行和控制所需的受控文件的編制、評審、批準、標識、發(fā)放、使用、修訂、作廢、 回收等管理工作作出規(guī)定

32、，以確保在使用場所能夠及時獲得適用文件的有效版本。文件控制應(yīng)保證：a）文件發(fā)布前得到批準，以確保文件是充分的；b）必要時對文件進行評審、更新并再次批準；c）確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別；d）確保在使用時，可獲得相關(guān)文件的最新版本；e）確保文件保持清晰、易于識別；f）確保文件可以為需要者所獲得，并根據(jù)適用于他們類別的程序進行轉(zhuǎn)移、存儲和最 終的銷毀；g）確保外來文件得到識別；h）確保文件的分發(fā)得到控制；i）防止作廢文件的非預(yù)期使用；J）若因任何目的需保留作廢文件時，應(yīng)對其進行適當?shù)臉俗R。8運行8.1 運行的規(guī)劃和控制按照PDCA對體系進行運行。在公司實際推動信息安全體系運行。8.2 信息

33、安全風險評估8.2.1 識別風險在已確定的信息安全管理體系范圍內(nèi)，本公司按信息安全風險管理程序，對所有的 資產(chǎn)進行了識別，并識別了這些資產(chǎn)的所有者。資產(chǎn)包括硬件、設(shè)施、軟件與系統(tǒng)、數(shù)據(jù)、 文檔、服務(wù)及人力資源。對每一項資產(chǎn)按自身價值、信息分類、保密性、完整性、法律法規(guī) 符合性要求進行了量化賦值，根據(jù)重要資產(chǎn)判斷依據(jù)確定是否為重要資產(chǎn)，形成了重要資 產(chǎn)清單。同時，根據(jù)信息安全風險管理程序，識別了對這些資產(chǎn)的威脅、可能被威脅利用的 脆弱性、識別資產(chǎn)價值、保密性、完整性和可用性、合規(guī)性損失可能對資產(chǎn)造成的影響。 8.2.2分析和評價風險本公司按信息安全風險管理程序，采用FMEA分析方法，分析和評價風

34、險：a）針對重要資產(chǎn)自身價值、保密性、完整性和可用性、合規(guī)性損失導(dǎo)致的后果進行賦 值；b）針對每一項威脅、薄弱點，對資產(chǎn)造成的影響，考慮現(xiàn)有的控制措施，判定安全失 效發(fā)生的可能性，并進行賦值；c）根據(jù)信息安全風險管理程序計算風險等級；d）根據(jù)信息安全風險管理程序及風險接受準則，判斷風險為可接受或需要處理。 8.3信息安全風險處置辦公室組織有關(guān)部門根據(jù)風險評估的結(jié)果，形成風險處理計劃，該計劃明確了風險 處理責任部門、負責人、處理方法及起始、完成時間。對于信息安全風險，應(yīng)考慮控制措施與費用的平衡原則，選用以下適當?shù)拇胧篺tHSl金管瑰網(wǎng)度a）控制風險，采用適當?shù)膬?nèi)部控制措施；b）接受風險（不可能

35、將所有風險降低為零）；c）避免風險（如物理隔離）；d）轉(zhuǎn)移風險（如將風險轉(zhuǎn)移給保險者、供方、分包商）。9績效評價9.1 監(jiān)視、測量、分析和評價9. 1. 1本公司通過實施不定期安全檢查、內(nèi)部審核、事故（事件）報告調(diào)查處理、電子 監(jiān)控、定期技術(shù)檢查等控制措施并報告結(jié)果以實現(xiàn)：a）及時發(fā)現(xiàn)處理結(jié)果中的錯誤、信息安全體系的事故（事件）和隱患；b）及時了解識別失敗的和成功的安全破壞和事件、信息處理系統(tǒng)遭受的各類攻擊；c）使管理者確認人工或自動執(zhí)行的安全活動達到預(yù)期的結(jié)果；d）使管理者掌握信息安全活動和解決安全破壞所采取的措施是否有效；e）積累信息安全方面的經(jīng)驗；10. 1.2根據(jù)以上活動的結(jié)果以及來自

36、相關(guān)方的建議和反饋，由總經(jīng)理主持，每年至少一 次對信息安全管理體系的有效性進行評審，其中包括信息安全范圍、方針、目標的符合性及 控制措施有效性的評審，考慮安全審核、事件、有效性測量的結(jié)果，以及所有相關(guān)方的建議 和反饋。管理評審的具體要求，見本手冊第7章。11. .3辦公室應(yīng)組織有關(guān)部門按照信息安全風險管理程序的要求，采用FMEA分析 方法，對風險處理后的殘余風險進行定期評審，以驗證殘余風險是否達到可接受的水平，對 以下方面變更情況應(yīng)及時進行風險評估：a）組織；b）技術(shù)；c）業(yè)務(wù)目標和過程；d）已識別的威脅；e）實施控制的有效性；f）外部事件，例如法律或規(guī)章環(huán)境的變化、合同責任的變化以及社會環(huán)境

37、的變化。12. 1.4按照計劃的時間間隔進行信息安全管理體系內(nèi)部審核，內(nèi)部審核的具體要求，見 本手冊第6章。13. 1.5定期對信息安全管理體系進行管理評審，以確保范圍的充分性，并識別信息安全 管理體系過程的改進，管理評審的具體要求，見本手冊第7章。13.1. 6考慮監(jiān)視和評審活動的發(fā)現(xiàn)，更新安全計劃。9.1. 7記錄可能對信息安全管理體系有效性或業(yè)績有影響的活動和事情。9.2內(nèi)部審核9. 2.1辦公室應(yīng)考慮擬審核的過程和區(qū)域的狀況和重要性以及以往審核的結(jié)果，對審核 方案進行策劃。應(yīng)編制內(nèi)審年度計劃，確定審核的準則、范圍、頻次和方法。9. 2. 2每次審核前，辦公室應(yīng)編制內(nèi)審計劃，確定審核的準

38、則、范圍、日程和審核組。 審核員的選擇和審核的實施應(yīng)確保審核過程的客觀性和公正性。審核員不應(yīng)審核自己的工 作。9.2.3應(yīng)按審核計劃的要求實施審核，包括：a）進行首次會議，明確審核的目的和范圍，采用的方法和程序；b）實施現(xiàn)場審核，檢查相關(guān)文件、記錄和憑證，與相關(guān)人員進行交流；c）進行對檢查內(nèi)容進行分析，召開內(nèi)審小組首次會議、末次會議，宣布審核意見和不 符合報告；d）審核組長編制審核報告。9. 2. 4對審核中提出的不符合項報告，責任部門應(yīng)編制糾正措施，由辦公室組織對受審 部門的糾正措施的實施情況進行跟蹤、驗證；9. 2. 5按照記錄管理程序的要求，保存審核記錄。9. 2. 6內(nèi)部審核報告，應(yīng)作

39、為管理評審的輸入之一。93管理評審管理評審的輸入要包括以下信息：a）信息安全管理體系審核和評審的結(jié)果；b）相關(guān)方的反饋；c）用于改進信息安全管理體系業(yè)績和有效性的技術(shù)、產(chǎn)品或程序；d）預(yù)防和糾正措施的狀況；e）風險評估沒有充分強調(diào)的脆弱性或威脅；f）有效性測量的結(jié)果；g）管理評審的跟蹤措施；h）任何可能影響信息安全管理體系的變更；i）改進的建議。更，內(nèi)客管理評審的輸出應(yīng)包括與下列內(nèi)容相關(guān)的任何決定和措施：a）信息安全管理體系有效性的改進；b）更新風險評估和風險處理計劃；c）必要時，修訂影響信息安全的程序和控制措施，以反映可能影響信息安全管理體系 的內(nèi)外事件，包括以下方面的變化：1）業(yè)務(wù)要求；2

40、）安全要求；3）影響現(xiàn)有業(yè)務(wù)要求的業(yè)務(wù)過程；4）法律法規(guī)要求；5）合同責任；6）風險等級和（或）風險接受準則。d）資源需求；e）改進測量控制措施有效性的方式。10改進10.1 不符合和糾正措施10. 1. 1辦公室負責建立并實施糾正和預(yù)防控制程序，采取以下措施，消除與信息 安全管理體系要求不符合的原因，以防止再發(fā)生。10.1. 2糾正和預(yù)防控制程序應(yīng)規(guī)定以下方面的要求：a）識別存在的不符合；b）確定不符合的原因；c）評價確保不符合不再發(fā)生的措施要求；d）確定并實施所需的糾正和預(yù)防措施；e）記錄所采取措施的結(jié)果；f）評審所采取的糾正和預(yù)防措施。10. 1.3公司網(wǎng)絡(luò)管理部應(yīng)定期進行風險評估，以識

41、別變化的風險，并通過關(guān)注變化顯著 的風險來識別預(yù)防措施要求。預(yù)防措施的優(yōu)先級應(yīng)基于風險評估結(jié)果來確定。10.2持續(xù)改進本公司制定和實施糾正和措施管理程序內(nèi)部審核管理程序等文件，通過下列途 徑持續(xù)改進信息安全管理體系的有效性：a）通過信息安安全管理體系方針的建立與實施，對持續(xù)改進做出正式的承諾；b）通過建立信息安全管理體系目標明確改進的方向；C）通過內(nèi)部審核不斷發(fā)現(xiàn)問題，尋找體系改進的機會并予實施，詳見內(nèi)部審核管理 程序；e）通過實施糾正和預(yù)防措施實現(xiàn)改進，詳見糾正和措施管理程序；f）通過管理評審輸出的有關(guān)改進措施的實施實現(xiàn)改進。頁，內(nèi)客儡安全管建度更，內(nèi)客附錄A信息安全管理組織結(jié)構(gòu)（規(guī)范性附錄

42、）附錄B信息安全管理職責明細表（規(guī)范性附錄）序號單位/部門信息安全職責1信息安全 管理委員會信息安全管理委員會是我公司信息安全最高組織機構(gòu)，負責本單位網(wǎng)絡(luò)與信息 安全重大事項的決策和協(xié)調(diào)，并對全公司信息安全工作負責。2總經(jīng)理信息安全第一責任人，制定信息安全方針，對信息安全全面負責，1 .組織制定并批準信息安全管理方針、信息安全目標和計劃。2 .為發(fā)展、貫徹、運行和保持ISMS提供充足的資源為員工提供所需的資源、 培訓，并賦予其職責范圍內(nèi)的自主權(quán)。3 .負責任命管理者代表，并定期進行管理評審°4 .決定風險的可接受水平。5 .負責批準公司信息安全管理手冊和管理評審計劃。3管理者代表負責

43、建立、實施、檢查、改進信息安全管理體系（具體見管理者代表授權(quán)書）。4商務(wù)部我公司信息安全管理體系的歸口管理部門。1 .負責管理體系的建立、實施、保持、測量和改進。2 .負責文件控制、記錄控制、內(nèi)部審核的組織、管理評審的組織和體系的改進。3 .負責本公司保密工作的管理，4 .負責安全區(qū)域的管理。5 .負責涉密信息上網(wǎng)、涉密計算機運行、檢修、報廢的監(jiān)督管理。6 .對信息安全日常工作實施動態(tài)考核，將信息安全管理作為企業(yè)管理的重要 工作內(nèi)容。7 .參與涉密及司法介入的信息安全事件的調(diào)查。8 .負責公司人員安全管理，包括人員聘用管理，保密協(xié)議簽署，員工的能力、 意識和培訓，員工離職管理。9 .負責公司財務(wù)相關(guān)的信息安全管理，包括出納、人員工資發(fā)放，以及代理 記帳公司的管理。10 .負責公司客戶反饋信息的搜集，定期對客戶回訪跟蹤，認真執(zhí)行信息安全 方針、標準、安全策略和規(guī)范，做好本部門職責范圍內(nèi)的信息安全管理體 系運行工作.5技術(shù)部1 .負責收集與本部門相關(guān)的信息安全方面的法規(guī)及其他要求，并及時上報信 息安全委員會，同時負責在本部門內(nèi)傳達，貫徹和實施與部門相關(guān)的法規(guī) 及其他要求。2 .協(xié)助在本部門內(nèi)宣傳公司的信息安全管理體系文件的要求，提高本部門員 工的信息安全意識。3 .按照信息安全體系文件的要求，在本部門遵照執(zhí)行。4 .發(fā)生信息安全事故