信息安全管理手冊

1、江蘇XXX湘技有限公司版本A/0密級內(nèi)部限制受控是信息安全轡E1手冊生效日期核準審查制訂2016.3.1修改記錄廳P修改原因修改內(nèi)容修改人/時間批準人/時間備注目錄0.1、信息安全管理手冊發(fā)布令0.2、管理者代表任命書0.3、公司簡介0.4、信息安全方針0.5、信息安全目標1、范圍2、引用標準3、術(shù)語和定義4、信息安全管理體系4.1 組織環(huán)境4.2 理解相關(guān)方的需求和期望4.3 明確信息安全管理體系的范圍4.4 信息安全管理體系5、領(lǐng)導(dǎo)5.1 領(lǐng)導(dǎo)和承諾5.2 方針5.3 組織角色、職責和權(quán)力6、計劃6.1 處置風險和機遇6.2 信息安全目標的計劃和實現(xiàn)7、支持7.1 資源7.2 能力7.3

2、意識7.4 溝通7.5 文檔要求8、實施8.1 運行計劃和控制8.2 信息安全風險評估8.3 信息安全風險處置9、績效評價9.1 監(jiān)視、測量、分析和評價9.2 內(nèi)部審核9.3 管理評審10、改進10.1 不符合項和糾正措施10.2 持續(xù)改進附件：附件一：信息安全職能分配表附件二：信息安全職責附件三：信息安全管理體系程序文件清單附件四：信息安全管理體系作業(yè)指導(dǎo)書文件清單0.1信息安全管理手冊發(fā)布令為提高江蘇XXX湘技有限公司的信息安全管理水平，保障企業(yè)經(jīng)營、服務(wù)和日常管理活動，防止由于信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密所導(dǎo)致的業(yè)務(wù)中斷或安全事故，公司開展貫徹ISO/IEC27001:20

3、13信息技術(shù)-安全技術(shù)-信息安全管理體系要求標準的工作，建立文件化的信息安全管理體系，制定了江蘇XXX涮技有限公司信息安全管理手冊（以下簡稱手冊）。本手冊是企業(yè)的法規(guī)性文件，是指導(dǎo)企業(yè)建立并實施信息安全管理體系的綱領(lǐng)和行動準則，用于貫徹企業(yè)的信息安全管理方針、管理目標，實現(xiàn)信息安全管理體系有效運行、持續(xù)改進，是江蘇XXXX4*技有限公司信息安全管理工作長期遵循的準則。全體職工必須嚴格按照手冊的要求，自覺執(zhí)行管理方針，貫徹實施本手冊的各項規(guī)定，努力實現(xiàn)江蘇XXXXM技有限公司的管理目標和管理承諾。本手冊自頒布之日起生效執(zhí)行。江蘇XXXX4*技有限公司總經(jīng)理:二0一六年三月一日茲委任擔任7工蘇XX

4、XXM技有FM公司ISO27001信息安全管理體系管理者代表。他將履行以下職責及權(quán)限：1、負責公司ISO27001的推行認證工作，負責組織信息安全管理體系建立、實施和維持，確保公司的信息安全管理體系運作符合信息安全管理體系標準；2、信息安全管理體系內(nèi)部審核的策劃、組織及實施；3、批準信息安全管理體系程序文件；4、代表公司就信息安全的有關(guān)事項和外部進行聯(lián)絡(luò)?？偨?jīng)理：日期：二0一六年三月一日0.3、公司簡介公司組織架構(gòu)如下圖所示:0.4信息安全方針實施風險管理，確保信息安全，保障業(yè)務(wù)可持續(xù)發(fā)展。信息安全方針含義：a.根據(jù)本公司業(yè)務(wù)信息安全的特點、法律法規(guī)要求，建立風險評估程序，確定風險接受準則。定

5、期進行風險評估，以識別本公司風險的變化。本公司或環(huán)境發(fā)生重大變化時，隨時評估。應(yīng)根據(jù)風險評估的結(jié)果，采取相應(yīng)措施，降低風險。b.在日常企業(yè)生產(chǎn)和管理中，對信息安全予以重視，全面識別和分析全部信息資產(chǎn)，系統(tǒng)考慮企業(yè)信息系統(tǒng)薄弱點、可能存在的威脅，考慮成本、利益、風險的綜合平衡，對資產(chǎn)進行分類保護，以適宜的成本達到系統(tǒng)保護的要求。c.建立健全信息安全監(jiān)督和保證體系，明確各級、各崗位的信息安全責任，以人為本，堅持全員、全方位、全過程信息安全管理。通過測量和監(jiān)控，持續(xù)改進，保證信息安全管理體系的有效運行，做到制度執(zhí)行有記錄、記錄記載可追溯，最終保障企業(yè)生產(chǎn)、經(jīng)營、管理和服務(wù)的持續(xù)和安全，實現(xiàn)企業(yè)發(fā)展目

6、標。0.5、信息安全目標：本公司信息安全目標：1）安全事件發(fā)生次數(shù)：重大安全事件目標值：0次/年；較大安全事件目標值：不大于4次/年；一般安全事件目標值：不大于8次/年。2）信息泄密次數(shù)：保證各種需要保密的資料（包括電子文檔、光盤等）不被泄密，確保秘密、機密信息不泄漏給非授權(quán)人員。信息泄密次數(shù)目標值：0次/年各部門信息安全目標:部門部門信息安全目標統(tǒng)計方式監(jiān)測頻率綜合部1、人員招聘手續(xù)辦理完成率100%2、人員教育或培訓(xùn)實施率100%3、人員離職手續(xù)辦理完成率100%4、辦公環(huán)境消防設(shè)施配置率100%5、辦公環(huán)境消防設(shè)施點檢率100%6、每年至少組織實施完成1次信息安全內(nèi)審，且資料齊全；7、每

7、年至少組織實施完成1次信息安全管理評審，且資料齊全；8、每年至少進行1次信息安全體系文件評審及更新；9、每年至少組織實施完成1次風險評估。1、查看全部員工入職手續(xù)辦理情況；2、查看培訓(xùn)計劃及培訓(xùn)實施情況；3、查看實際人員離職及手續(xù)辦理情況；4、現(xiàn)場檢查辦公環(huán)境消防器材配備情況；5、現(xiàn)場檢查辦公環(huán)境消防器材的檢修情況；7、按照信息安全內(nèi)審計劃執(zhí)行內(nèi)審及改進，及時整理信息安全內(nèi)審資料；8、按照信息安全管理評審計劃執(zhí)行評審及改進，及時整理信息安全管理評審資料；9、每年集中對信息安全管理體系文件進行評審，必要時進行更新；10、每年組織各相關(guān)部門進行風險評估回顧、對新增或發(fā)生變化的信息資產(chǎn)進行風險評估。

8、每年研發(fā)部1、網(wǎng)絡(luò)非正常中斷每月<1次。2、主機系統(tǒng)非正常中斷每月<1次。1、以每月的網(wǎng)絡(luò)中斷事件為依據(jù)2、以每月的主機系統(tǒng)中斷事件為依據(jù)每半年其他部門重要文檔及數(shù)據(jù)被正確保管及使用，機密信息泄露次數(shù)為0次每半年檢查一次日常工作文件及數(shù)據(jù)是否被正確保管及使用，以及機密信息泄露相關(guān)事件。每年1.1 總、則為了建立、實施、運行、監(jiān)視、評審、保持和改進文件化的信息安全管理體系（簡稱ISMS）,確定信息安全方針和目標，對信息安全風險進行有效管理，確保全體員工理解并遵照執(zhí)行信息安全管理體系文件、持續(xù)改進信息安全管理體系的有效性，特制定本手冊。1.2 應(yīng)用1.2.1 覆蓋范圍本信息安全管理手冊

9、規(guī)定了江蘇XXX湘技有限公司信息安全管理體系的建立和管理、管理職責、內(nèi)部審核、管理評審和體系持續(xù)改進等方面內(nèi)容。1.2.2 刪減說明本信息安全管理手冊采用了ISO/IEC27001:2013標準正文的全部內(nèi)容，對附錄A的刪減見適用性聲明SoA。2、規(guī)范性引用文件ISO/IEC27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系要求ISO/IEC27002:2013信息技術(shù)-安全技術(shù)-信息安全管理實施細則3、術(shù)語和定義3.3.1 ISO/IEC27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系要求、ISO/IEC27002:2013信息技術(shù)-安全技術(shù)-信息安全管理實施細則規(guī)定的術(shù)語和定

10、義適用于本信息安全管理手冊。3.3.2 本組織、本公司、我司：指江蘇XXX湘技有限公司。4、信息安全管理體系4.1 組織環(huán)境組織外部環(huán)境包括如下幾個方面，但并不局限于此： 文化、政治、法律、規(guī)章、金融、技術(shù)、經(jīng)濟、自然環(huán)境以及競爭環(huán)境，無論是國際、國內(nèi)、區(qū)域或地方； 影響組織目標的主要驅(qū)動因素和發(fā)展趨勢； 外部利益相關(guān)者的觀點和價值觀。組織內(nèi)部環(huán)境包括如下幾個方面，但并不局限于此： 資源與知識的理解能力（如：資本、時間、人力、流程、系統(tǒng)和技術(shù)）； 信息系統(tǒng)、信息流動以及決策過程（包括正式和非正式的）； 內(nèi)部利益相關(guān)者； 政策，為實現(xiàn)的目標及戰(zhàn)略； 觀念、價值觀、文化； 組織通過的標準以及參考模

11、型；以上相關(guān)因素將影響公司實現(xiàn)信息安全管理體系的預(yù)期成果。4.2 理解相關(guān)方的需求和期望a）與本公司信息安全管理體系有關(guān)的相關(guān)方有：供方、合同方、顧客及其他第三方訪問者。b）各相關(guān)方對我司的信息安全需求，包括了信息安全相關(guān)法律法規(guī)要求和合同規(guī)定的義務(wù)。4.3 本公司信息安全管理體系的范圍和邊界本公司根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了范圍和邊界，本公司信息安全管理體系的范圍包括：a）業(yè)務(wù)范圍：。的設(shè)計開發(fā)和服務(wù)的信息安全管理活動；b）信息系統(tǒng)范圍：所述活動、系統(tǒng)及支持性系統(tǒng)包含的全部信息資產(chǎn)；c）組織范圍：與所述業(yè)務(wù)有關(guān)的部門和所有員工；d）地理范圍：。4.4 信息安全管理體系本

12、公司按照ISO/IEC27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系-要求規(guī)定，參照ISO/IEC27002:2013信息術(shù)-安全技術(shù)-信息安全管理實用規(guī)則，建立、實施、運行、監(jiān)視、評審、保持和改進文件化的信息安全管理體系。5領(lǐng)導(dǎo)5.1 領(lǐng)導(dǎo)和承諾本公司通過以下行動證明公司實施了與信息安全管理體系有關(guān)的領(lǐng)導(dǎo)工作與承諾：a）確保建立與組織戰(zhàn)略目標一致的信息安全方針和信息安全目標；b）確保信息安全管理體系要求集成到組織的管理流程；c）確保提供信息安全管理體系需要的各項資源；d）傳達信息安全管理的重要性及信息安全管理體系要求；e）確保信息安全管理體系實現(xiàn)其預(yù)期目標；f）指導(dǎo)和支持信息安全團

13、隊；g）促使持續(xù)改進；h）支持其他相關(guān)的管理者在其職責范圍內(nèi)履行管理職責。5.2 方針為了滿足適用法律法規(guī)及相關(guān)方要求，維持公司經(jīng)營和管理的正常進行，實現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展的目的。本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了ISMS方針，見本信息安全管理手冊第0.4條款。該信息安全方針符合以下要求:1）為信息安全目標建立了框架，并為信息安全活動建立整體的方向和原則；2）考慮業(yè)務(wù)及法律或法規(guī)的要求，及合同的安全義務(wù)；3）與組織戰(zhàn)略和風險管理相一致的環(huán)境下，建立和保持ISM&4）建立了風險評價的準則；5）經(jīng)最高管理者批準。5.3 組織角色、職責和權(quán)力5.3.1 信息安全組織機

14、構(gòu)本公司成立了由最高管理者、管理者代表及各部門負責人組成的信息安全委員會，其職責是實現(xiàn)信息安全管理體系方針和本公司承諾，負責制訂、落實信息安全管理工作計劃，建立健全企業(yè)的信息安全管理體系，保持其有效、持續(xù)運行。本公司采取相關(guān)部門代表組成的運行分析會議的方式，進行信息安全協(xié)調(diào)和協(xié)作，以：a）確保安全活動的執(zhí)行符合信息安全方針；b）確定怎樣處理不符合；c）批準信息安全的方法和過程，如風險評估、信息分類；5.3.2 信息安全職責和權(quán)限本公司總經(jīng)理為信息安全最高管理者，對信息安全全面負責，主要包括：a）組織制定信息安全方針及目標，任命管理者代表，明確管理者代表的職責和權(quán)限。b）確保在內(nèi)部傳達滿足客戶、

15、法律法規(guī)和公司信息安全管理要求的重要性。c）為信息安全管理體系配備必要的資源。各部門負責人為本部門信息安全管理責任者，全體員工都應(yīng)按保密承諾的要求自覺履行信息安全保密義務(wù)；各部門有關(guān)信息安全職責分配見信息安全管理職能分配表。各部門應(yīng)按照信息安全適用性聲明中規(guī)定的安全目標、控制措施（包括安全運行的各種控制程序）的要求實施信息安全控制措施。6.1 處置風險和機遇6.1.1 總則為實現(xiàn)公司信息安全管理體系方針和目標，我司參考組織環(huán)境中的問題和相關(guān)方的需求和，來決定需要被處置的風險和機遇：a）確保信息安全管理體系可以實現(xiàn)其預(yù)期目標；b）避免或減少不良影響；c）實現(xiàn)持續(xù)改進。公司對以下方面進行規(guī)劃：a）

16、處置風險和機遇的行動；b）如何1）將實施行動整合到信息安全管理體系流程中；2）評價行動的有效性。6.1.2信息安全風險評估公司制定信息安全風險評估控制程序，建立識別適用于信息安全管理體系和已經(jīng)識別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風險評估方法，建立接受風險的準則并識別風險的可接受等級。所選擇的風險評估方法應(yīng)確保風險評估能產(chǎn)生可比較的和可重復(fù)的結(jié)果。信息安全風險評估的流程見“12屈反?估流程圖。碣定紇MS范圍談產(chǎn)識別與南要黃產(chǎn)瓊定I：J.III件發(fā)生的可磁事件發(fā)生的勒響I'I確定鳳蛙等吸1實腌I公司實施信息安全風險評估流程，從而：a）建立和維護信息安全風險標準，包括：1）風險接受標準；2）

17、實施信息安全風險評估的標準；b）確保信息安全風險評估活動產(chǎn)生一致性，產(chǎn)生有效的和可比較的結(jié)果；c）識別信息安全風險：1）在信息安全管理體系范圍內(nèi)，通過信息安全風險評估流程，識別由于信息的機密性、完整性和可用性的喪失帶來的風險；2）識別風險的屬主；d）分析信息安全風險：1）評估在信息安全風險評估中識別的風險產(chǎn)生的潛在后果；2）評估在信息安全風險評估中識別的風險轉(zhuǎn)化為事件的可能性；3）確定風險的等級；e）評價信息安全風險：1）將風險分析結(jié)果與在信息安全風險評估中所定義的風險標準進行比較；2）根據(jù)風險等級確定風險處置的優(yōu)先級。f）組織保留有關(guān)信息安全風險評估的過程文檔。6.1.3信息安全風險處置公司

18、根據(jù)風險評估的結(jié)果，形成風險處理計劃，該計劃明確了風險處理責任部門、負責人、處理方法及起始、完成時間。對于信息安全風險，應(yīng)考慮控制措施與費用的平衡原則，選用以下適當?shù)拇胧篴）采用適當?shù)膬?nèi)部控制措施；b）接受風險（不可能將所有風險降低為零）；c）避免風險（如物理隔離）；d）轉(zhuǎn)移風險（如將風險轉(zhuǎn)移給保險者、供方、分包商）?？刂颇繕思翱刂拼胧┑倪x擇原則來源于ISO/IEC27001:2013附錄A,具體控制措施參考ISO/IEC27002:2013信息技術(shù)-安全技術(shù)-信息安全管理實用規(guī)則組織保留信息安全風險處置的過程文檔。6.2信息安全目標的計劃和實現(xiàn)本公司建立不同職能及層級的信息安全目標。詳見本

19、手冊0.5章內(nèi)容。此信息安全目標應(yīng)：a）與信息安全方針一致；b）可度量（如果可操作）；c）考慮適用的信息安全要求，以及風險評估和風險處置結(jié)果；d）得到溝通；e）及時更新。信息安全目標以文檔化形式保留。在規(guī)劃如何實現(xiàn)信息安全目標時，公司明確：a）要做什么；b）需要什么資源；c）誰來負責；d）什么時候完成；e）如何評價結(jié)果。7.1 資源本公司確定并提供實施、保持信息安全管理體系所需資源；采取適當措施，使影響信息安全管理體系工作的員工的能力是勝任的，以保證：a）建立、實施、運作、監(jiān)視、評審、保持和改進信息安全管理體系；b）確保信息安全程序支持業(yè)務(wù)要求；c）識別并指出法律法規(guī)要求和合同安全責任；d）通

20、過正確應(yīng)用所實施的所有控制來保持充分的安全；e）必要時進行評審，并對評審的結(jié)果采取適當措施；f）需要時，改進信息安全管理體系的有效性。7.2 能力公司制定并實施人力資源安全管理程序文件，確保被分配信息安全管理體系規(guī)定職責的所有人員，都必須有能力執(zhí)行所要求的任務(wù)?？梢酝ㄟ^：a）確定承擔信息安全管理體系各工作崗位的職工所必要的能力；b）提供職業(yè)技術(shù)教育和技能培訓(xùn)或采取其他的措施來滿足這些需求；c）評價所采取措施的有效性；d）保留教育、培訓(xùn)、技能、經(jīng)驗和資歷的記錄。本公司還確保所有相關(guān)人員意識到其所從事的信息安全活動的相關(guān)性和重要性，以及如何為實現(xiàn)信息安全管理體系目標做出貢獻。7.3 意識公司員工應(yīng)

21、理解：a）信息安全方針；b）個人對于實現(xiàn)信息安全管理的重要性，提高組織信息安全績效的收益；c）不符合信息安全管理體系要求所造成的影響。7.4 溝通公司制定信息溝通協(xié)調(diào)管理規(guī)范，以明確與信息安全管理體系相關(guān)的內(nèi)、外部溝通需求，包括：a）溝通什么；b）何時溝通；c）和誰溝通；d）誰應(yīng)該溝通；e）哪種溝通過程有效。7.5 文檔要求7.5.1 綜述組織的信息安全管理體系包括：a）符合ISO/IEC27001:2013標準的文件包括：信息安全管理手冊、程序文件、管理規(guī)定、作業(yè)指導(dǎo)書和為保證信息安全管理體系有效策劃、運行和控制所需的受控文件；b）組織所明確的，表明信息安全管理體系有效性的必要的記錄文檔。7

22、.5.2 創(chuàng)建和更新公司制定并實施文件控制程序，對信息安全管理體系所要求的文件進行管理，以確定：a）識別和描述（例如：標題、日期、作者和版本號）；b）格式（例如：語言、軟件版本和圖形）與介質(zhì)（例如：紙質(zhì)、電子）；c）適宜性和充分性經(jīng)過評審。7.5.3 文檔控制公司制定并實施文件控制程序，對信息安全管理體系所要求的文件進行管理。以確保：a）在需要的時間和場合可用；b）文檔得到充分保護（例如：防止泄密、不當使用或喪失完整性）。文檔控制應(yīng)保證：a）文件發(fā)布前得到批準，以確保文件是充分的；b）必要時對文件進行評審、更新并再次批準；c）確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別；d）確保在使用時，可獲得相關(guān)文

23、件的最新版本；e）確保文件保持清晰、易于識別；f）確保文件可以為需要者所獲得，并根據(jù)適用于他們類別的程序進行轉(zhuǎn)移、存儲和最終的銷毀；g）確保外來文件得到識別；h）確保文件的分發(fā)得到控制；i）防止作廢文件的非預(yù)期使用；j）若因任何目的需保留作廢文件時，應(yīng)對其進行適當?shù)臉俗R。8實施8.1運行計劃和控制為確保信息安全管理體系有效實施，對已識別的風險進行有效處理，本公司開展以下活動：a）形成風險處理計劃，以確定適當?shù)墓芾泶胧?、職責及安全控制措施的?yōu)先級；b）為實現(xiàn)已確定的安全目標、實施風險處理計劃，明確各崗位的信息安全職責;c）實施所選擇的控制措施，以實現(xiàn)控制目標的要求；d）確定如何測量所選擇的控制措

24、施的有效性，并規(guī)定這些測量措施如何用于評估控制的有效性以得出可比較的、可重復(fù)的結(jié)果；e）進行信息安全培訓(xùn)，提高全員信息安全意識和能力；f）對信息安全體系的運作進行管理；g）對信息安全所需資源進行管理；h）實施控制程序，對信息安全事故（或征兆）進行迅速反應(yīng)。公司保留以上必要的過程文檔信息，以表明相關(guān)過程已按照計劃執(zhí)行?？刂朴媱澑?，并審核計劃變更的影響，如有必要采取措施減少不利影響。確保外包過程受控。8.2 信息安全風險評估8.2.1 識別風險在已確定的信息安全管理體系范圍內(nèi)，按照計劃，或者在重大改變提出或發(fā)生時進行信息安全風險評估，本公司執(zhí)行信息安全風險評估控制程序，對所有的資產(chǎn)進行列表識別，

25、并識別這些資產(chǎn)的所有者。資產(chǎn)包括硬件與設(shè)施、軟件與系統(tǒng)、數(shù)據(jù)與文檔、服務(wù)及人力資源。對每一項資產(chǎn)按自身價值、信息分類、保密性、完整性、法律法規(guī)符合性要求進行了量化賦值，形成資產(chǎn)清單。同時，根據(jù)信息安全風險評估控制程序，識別對這些資產(chǎn)的威脅、可能被威脅利用的脆弱性、識別資產(chǎn)價值、保密性、完整性和可用性、合規(guī)性損失可能對資產(chǎn)造成的影響。8.2.2 分析和評價風險本公司按信息安全風險評估控制程序，分析和評價風險：a）針對重要資產(chǎn)自身價值、保密性、完整性和可用性、合規(guī)性損失導(dǎo)致的后果進行賦值；b）針對每一項威脅、薄弱點，對資產(chǎn)造成的影響，考慮現(xiàn)有的控制措施，判定安全失效發(fā)生的可能性，并進行賦值；c）根

26、據(jù)信息安全風險評估控制程序計算風險等級；d）根據(jù)信息安全風險評估控制程序中的風險接受準則，判斷風險為可接受或需要處理。8.3 信息安全風險處置公司根據(jù)風險評估的結(jié)果，形成了風險處理計劃，該計劃明確了風險處理責任部門、負責人、處理方法及起始、完成時間。公司根據(jù)計劃進行了處置，并保持處置的記錄。對風險處理后的剩余風險，得到了管理者的批準。9績效評價9.1 監(jiān)視、測量、分析和評價本公司通過實施監(jiān)視、測量、分析和評價控制程序以監(jiān)視、測量、分析和評價公司信息安全管理狀況結(jié)果，以實現(xiàn)：a）及時發(fā)現(xiàn)處理結(jié)果中的錯誤、信息安全體系的事故和隱患；b）及時了解識別失敗的和成功的安全破壞和事件、信息處理系統(tǒng)遭受的各

27、類攻擊；c）使管理者確認人工或自動執(zhí)行的安全活動達到預(yù)期的結(jié)果；d）使管理者掌握信息安全活動和解決安全破壞所采取的措施是否有效；e）積累信息安全方面的經(jīng)驗；9.2 內(nèi)部審核公司建立內(nèi)部審核控制程序。內(nèi)部審核控制程序包括策劃和實施審核以及報告結(jié)果和保持記錄的職責和要求。并按照策劃的時間間隔（兩次內(nèi)部審核的間隔不得超過12個月）進行內(nèi)部信息安全管理體系審核，以確定其信息安全管理體系的控制目標、控制措施、過程和程序是否：a）符合本標準的要求和相關(guān)法律法規(guī)的要求；b）符合已識別的信息安全要求；c）得到有效地實施和維護；d）按預(yù)期執(zhí)行。內(nèi)部審核的過程文檔應(yīng)清晰地形成記錄，并加以保持。9.3 管理評審公司

28、建立并實施管理評審控制程序，公司管理者應(yīng)按管理評審控制程序規(guī)定的時間間隔（兩次管理評審的間隔不得超過12個月）評審信息安全管理體系，以確保其持續(xù)的適宜性、充分性和有效性。管理評審應(yīng)包括評價信息安全管理體系改進的機會和變更的需要，包括安全方針和安全目標。管理評審的結(jié)果應(yīng)清晰地形成文件，記錄應(yīng)加以保持。10改進10.1 不符合和糾正措施公司建立并實施糾正與預(yù)防控制程序，當出現(xiàn)不符合情況時：a）對不符合情況采取措施，如：1）采取措施，以控制和改正它；2）處置影響；b）明確必要的控制措施，以消除不符合情況產(chǎn)生的原因，確保它不會再發(fā)生或在其他地方發(fā)生，通過：1）評審不符合項；2）明確不符合項產(chǎn)生的原因；

29、3）明確是否存在或可能發(fā)生類似的不符合項；c）采取必要的措施；d）評審已采取的改正措施的有效性；e）必要時改進信息安全管理體系。糾正措施應(yīng)與所發(fā)生的不符合的影響程度相適應(yīng)。組織應(yīng)保留以下文檔信息作為證據(jù)：f）不符合情況的性質(zhì)和所采取的后續(xù)行動；g）糾正措施的結(jié)果。10.2 持續(xù)改進本公司通過使用信息安全方針、信息安全目標、審核結(jié)果、監(jiān)控事件的分析、糾正和預(yù)防措施以及管理評審，不斷完善信息安全管理體系的適宜性、充分性和有效性。附件一：信息安全職能分配表（注：負責部門；相關(guān)部門）：管理單位體系要求信息安全委員會總經(jīng)理管理者代表綜合部研發(fā)部技術(shù)部財務(wù)部銷售部4.組織環(huán)境4.1理解組織及其環(huán)境A4.2

30、理解相關(guān)方的需求和期望AAAA4.3明確信息安全管理體系的范圍AAAAA4.4信息安全管理體系A(chǔ)AAAA5領(lǐng)導(dǎo)5.1領(lǐng)導(dǎo)和承諾AAAAA5.2方針AAAAA5.3組織角色、職責和權(quán)力AAAAAAA6計劃6.1處置風險和機遇AAAAA6.2信息安全目標的計劃和實現(xiàn)AAAAA7支持7.1資源AAAAAA7.2能力AAAAA7.3意識AAAAAA7.4溝通AAAA7.5文檔要求AAAA8實施8.1運行計劃和控制AAAAA8.2信息安全風險評估AAAAA8.3信息安全風險處置AAAAAA9績效評價9.1監(jiān)視、測量、分析和評價AAAAAA9.2內(nèi)部審核AAAAA9.3管理評審AAAAA10改進10.1不

31、符合項和糾正措施AAAAAA10.2持續(xù)改進AAAAAAAA.5信息安全方針A.5.1信息安全管理指引AAAAAA.6信息安全組織A.6.1內(nèi)部組織AAAAAA.6.2移動設(shè)備和遠程辦公AAAAA.7人力資源安全A.7.1任用前AAAAA.7.2任用中AAAAAA.7.3任用終止和變更AAAAAA.8資產(chǎn)管理A.8.1資產(chǎn)的責任AAAA.8.2信息分類AAA.8.3介質(zhì)處理AAAAAA.9訪問控制A.9.1訪問控制的業(yè)務(wù)需求AAAAAAA.9.2用戶訪問管理AAAAAAAA.9.3用戶責任AAAAAAAA.9.4系統(tǒng)和應(yīng)用訪問控制AAAAAAAA.10加密技術(shù)A.10.1加密控制AAAAAAA

32、.11物理和環(huán)境安全A.11.1安全區(qū)域AAAAAA.11.2設(shè)備安全AAAAAAA.12操作安全A.12.1操作程序及職責AAAAAA.12.2防范惡意軟件AAAAAA.12.3備份AAAAAAAA.12.4日志記錄和監(jiān)控AAAAAAAA.12.5操作軟件的控制AAAAAAAA.12.6技術(shù)脆弱性管理AAAAAAAA.12.7信息系統(tǒng)審計的考慮因素AAAAAAAA.13通信安全A.13.1網(wǎng)絡(luò)安全管理AAAAAAAA.13.2信息傳輸AAAAAAA.14系統(tǒng)的獲取、開發(fā)及維護A.14.1信息系統(tǒng)安全需求AAAAAA.14.2開發(fā)和支持過程的安全AAAAAAA.14.3測試數(shù)據(jù)AAAAAAAA

33、.15供應(yīng)商關(guān)系A(chǔ).15.1供應(yīng)商關(guān)系的信息安全AAAAAAA.15.2供應(yīng)商服務(wù)交付管理AAAAAAA.16信息安全事件管理A.16.1信息安全事件的管理和改進AAAAAAA.16.1.1職責和程序AAAAAAA.16.1.2報告信息安全事態(tài)AAAA.16.1.3報告信息安全弱點AAAA.16.1.4評估和決策信息安全事件AAAA.16.1.5響應(yīng)信息安全事故AAAA.16.1.6從信息安全事故中學(xué)習AAAAAAA.16.1.7收集證據(jù)AAAAAAA.17業(yè)務(wù)連續(xù)性管理中的信息安全A.17.1信息安全的連續(xù)性AAAAAAA.17.2冗余AAAAAAA.18符合性A.18.1法律和合同規(guī)定的符

34、合性AAAAAAA.18.2信息安全評審AAAAAA附件二：信息安全職責廳P架構(gòu)/部門成員及職能1信息安全委員會最高管理者總經(jīng)理：張建廠管理者代表XXX成員XX（銷售部）、XX（技術(shù)部）、XX（研發(fā)部）、XXX（綜合部）、XX（財務(wù)部）系我司信息安全最高組織機構(gòu)，負責公司整體信息安全管理工作，推動信息安全工作的實施；制定信息安全方針、信息安全管理目標；負責審核信息安全小組提交的信息安全管理體系、規(guī)范及管理辦法；負責決策與信息安全管理相關(guān)的重大事項，包括信息安全組織機構(gòu)調(diào)整、信息安全關(guān)鍵人事變動以及信息安全管理重大策略變更、確認可接受的風險和風險水平等；評審與監(jiān)督重大信息安全事故的處理與改進；定

35、期組織信息安全管理體系（ISMSS評審等。2最高管理者1）組織并制定信息安全方針策略。2）任命管理者代表，明確管理者代表的職責和權(quán)限。3）確保在內(nèi)部傳達滿足客戶、法律法規(guī)和公司信息安全管理要求的重要性。4）為信息安全管理體系配備必要的資源。5）主持管理評審。6）對缶息女全全面負責。3管理者代表1）協(xié)助最高管理者建立、實施、檢查、改進信息安全管理體系。2）負責建立、實施、保持和改進信息安全管理體系，保證信息安全體系的有效運行。3）組織公司信息安全風險評估和風險管理。4）組織開展信息安全內(nèi)部審核、安全檢查工作。5）負責向總經(jīng)理報告信息安全體系運行的業(yè)績和任何改進的需求。6）負責就信息安全管理體系有

36、關(guān)事宜的對外聯(lián)絡(luò)。7）監(jiān)控信息安全事件和確保安全控制措施得到執(zhí)行。4各部門負責人1）負責公司信息安全方針、目標、政策在部門內(nèi)部的有效執(zhí)行、監(jiān)督、檢查。2）參與公司信息安全工作的討論和決策。3）對信息安全管理體系內(nèi)部審核、管理評審及其他安全檢查時發(fā)現(xiàn)的問題及采取的糾止預(yù)防措施進行審核和確認。4）負責管理和維護部門發(fā)布的信息安全管理體系相關(guān)文件。5）負責信息安全事件的調(diào)查及協(xié)調(diào)處理。6）做好本崗位信息安全相關(guān)的保密工作5綜合部1）負責監(jiān)控信息安全管理體系的日常運行。2）負責信息安全管理體系文件的控制。3）負責本公司信息安全管理體系的推行落實。4）負責公司員工招聘、聘用及離職全過程的安全管理。5）負

37、責公司內(nèi)部人事檔案等重要文件資料的安全管控。6）負責公司日常行政安全的管理。7）負責公司辦公環(huán)境的物理安全，包括人員及物品出入控制、門禁管理等。8）負責公司業(yè)務(wù)相關(guān)的銷售管理。9）負責本部門的重要信息的安全保密管控，包括客戶信息、商務(wù)文檔、項目合同、投標文件等重要文件的安全管控。10）負責公司及部門重要文件資料的安全管控。11）信息安全事件的報告及協(xié)助處理。6研發(fā)部1）負責公司信息系統(tǒng)的安全規(guī)劃設(shè)計及實施。2）負責公司機房及軟硬件系統(tǒng)的安全運行維護。3）負責本部門重要信息的安全管控，包括項目方案、設(shè)計文檔等重要文件的安全官控。4）負責信息安全事件的調(diào)查及協(xié)調(diào)處理。7技術(shù)部1）負責對公司客戶請求

38、的積極響應(yīng)，妥善處理顧客的投訴等。2）負責本部門重要信息的安全保密管控，包括客戶信息等重要數(shù)據(jù)的安全管控。3）信息安全事件的報告及協(xié)助處理。4）做好本崗位信息安全相關(guān)的保密工作8銷售部1）負責公司業(yè)務(wù)相關(guān)的銷售工作。2）負責本人接觸到的重要信息的安全保密管控，包括客戶信息、商務(wù)文檔、項目合同、投標文件等重要文件的安全管控。3）信息安全事件的報告及協(xié)助處理。4）做好本崗位信息安全相關(guān)的保密工作9財務(wù)部1）負責公司的財務(wù)管理工作。2）負責本部門的重要信息的安全保密管控，包括財務(wù)憑證、財務(wù)報表、工資單等重要文件的安全管控。3）信息安全事件的報告及協(xié)助處理。4）做好本崗位信息安全相關(guān)的保密工作10IT

39、維護工程師/網(wǎng)絡(luò)管理員1）負責公司信息系統(tǒng)建設(shè)及運行維護。2）負責公司機房安全管理。3）負責公司各部門辦公電腦的維護及安全管理。4）按時記錄網(wǎng)絡(luò)機房運行日志5）信息安全事件的報告、響應(yīng)及協(xié)調(diào)處理。6）做好本崗位信息安全相關(guān)的保密工作11會計及出納1）負責公司財務(wù)記帳、報帳、應(yīng)收及應(yīng)付、資產(chǎn)盤點等日常工作。2）負責本崗位的重要信息的安全保密管控，包括財務(wù)報表、各類憑證等重要文件的安全管控。3）信息安全事件的報告及協(xié)助處理。4）做好本崗位信息安全相關(guān)的保密工作12項目經(jīng)理及項目專員1）負責服務(wù)項目的具體實施及管理。2）負責本崗位的重要信息的安全保密管控，包括各類基礎(chǔ)數(shù)據(jù)、原始數(shù)據(jù)、撥打數(shù)據(jù)等重要數(shù)據(jù)的安全管控。3）信息安全事件的報告及協(xié)助處理。4）做好本崗位信息安全相關(guān)的保密工作13所有員工1）嚴格遵守國家及行業(yè)的法律法規(guī)和政策。2）嚴格遵守公司的各項信息安全政策。3）正確、安全的使用及保管公司及客戶的各類信息資產(chǎn)。4）積極參加信息安全教育與培訓(xùn)，提高信息安全意識。5）信息安全事件的報告及協(xié)助處理。6）做好本崗位信息安全相關(guān)的保密工作廳P文件名稱文件編號版本號制定/修訂日期制定部門備注1文件控制程序XX-QP-01A/02016.3.1綜合部受控文件:2記錄控制程