新版ISO27001信息安全整套體系文件匯編(管理手冊(cè) 程序文件)

1、信息安全整套體糸丈件匯偏1份管理手冊(cè)（10章）+35份程序文件（依照依據(jù) GB/T 22080-2016 idt IS0/IEC27001 ：2013 標(biāo)準(zhǔn)編制）文件清單序號(hào)文件名1信息安全管理手冊(cè)2信息安全-風(fēng)險(xiǎn)管理程序3信息安全-文件控制程序4信息安全-記錄控制程序5信息安全-糾正措施控制程序6信息安全-預(yù)防措施控制程序7信息安全-內(nèi)部審核管理程序8信息安全-管理評(píng)審程序9信息安全-信息分類管理程序10信息安全-商業(yè)秘密管理程序11信息安全-法律法規(guī)管理程序12信息安全-知識(shí)產(chǎn)權(quán)管理程序13信息安全-重要信息備份管理程序14信息安全-業(yè)務(wù)持續(xù)性管理程序15信息安全-溝通協(xié)調(diào)管理程序16信息

2、安全-事件管理程序17信息安全-獎(jiǎng)懲管理程序18信息安全-員工聘用管理程序19信息安全-員工培訓(xùn)管理程序20信息安全-員工離職管理程序21信息安全-相關(guān)方管理程序22信息安全-第三方服務(wù)管理程序23信息安全-安全區(qū)域管理程序24信息安全-門禁系統(tǒng)管理程序25信息安全-網(wǎng)絡(luò)設(shè)備安全配置管理程序26信息安全-計(jì)算機(jī)管理程序27信息安全-電子郵件管理程序28信息安全-惡意軟件管理程序29信息安全-可移動(dòng)介質(zhì)管理程序30信息安全-用戶訪問管理程序31信息安全-信息處理設(shè)施安裝使用管理程序32信息安全-信息系統(tǒng)驗(yàn)收管理程序33信息安全-信息處理設(shè)施維護(hù)管理程序34信息安全-變更管理程序35信息安全-信息

3、系統(tǒng)訪問與使用監(jiān)控管理程序36信息安全-軟件開發(fā)管理程序第 頁(yè)共33頁(yè)深圳市X XXXX科技有限公司文件編號(hào)ISMS-A-01信息安全管理手冊(cè)文件版本VI. 0密級(jí)秘密信息安全管理手冊(cè)（依據(jù) GB/T 22080-2016 idt ISO/IEC27001:2013 標(biāo)準(zhǔn)編制）編 號(hào)：ISMS-A-01受控狀態(tài)版本號(hào)：VI. 0編制：日期：2021-8-3審核：日期：2021-8-3批準(zhǔn)：日期：2021-8-3受控文件深圳市XXXXX科技有限公司文件編號(hào)ISMS-A-01信息安全管理手冊(cè)文件版本VI. 0密級(jí)秘密修訂記錄版本編寫人審核人批準(zhǔn)人修訂日期修訂說(shuō)明VI. 02021-8-3創(chuàng)建深圳市

4、XXXXX科技有限公司文件編號(hào)ISMS-A-01信息安全管理手冊(cè)文件版本VI. 0密級(jí)秘密 TOC o 1-5 h z 1概述51. 1頒布令51. 2任命書61.3手冊(cè)說(shuō)明71. 3. 1 總則71. 3. 2信息安全管理手冊(cè)的批準(zhǔn)71. 3. 3信息安全管理手冊(cè)的發(fā)放、作廢與銷毀71. 3. 4信息安全管理手冊(cè)的修改71. 3. 5信息安全管理手冊(cè)的換版81. 3. 6信息安全管理手冊(cè)的控制82規(guī)范性引用文件93術(shù)語(yǔ)和定義94組織環(huán)境9 HYPERLINK l bookmark2 o Current Document 4.1理解組織及其環(huán)境9 HYPERLINK l bookmark4 o

5、 Current Document 2理解相關(guān)方的需求和期望93確定ISMS的范圍9 HYPERLINK l bookmark6 o Current Document 4信息安全管理體系104. 1 總則104.2 ISMS體系過(guò)程方法105領(lǐng)導(dǎo)作用11 HYPERLINK l bookmark8 o Current Document 5.1領(lǐng)導(dǎo)作用和承諾115.2 ISMS管理方針11 HYPERLINK l bookmark14 o Current Document 3組織架構(gòu)、職責(zé)和權(quán)限113. 1 ISMS管理體系組織架構(gòu)圖113. 2 ISMS管理職能分配113. 3 職責(zé)和權(quán)限12

6、6規(guī)劃12 HYPERLINK l bookmark16 o Current Document 1風(fēng)險(xiǎn)和機(jī)遇的應(yīng)對(duì)措施127支持13 HYPERLINK l bookmark20 o Current Document 7.1資源131. 1 總則137. 1.2基礎(chǔ)設(shè)施137. 1.3過(guò)程環(huán)境137. 1.4監(jiān)視和測(cè)量設(shè)備137. 1. 5 知識(shí)147. 2能力147. 3意識(shí)157.4溝通157. 5文件記錄信息15深圳市XXXXX科技有限公司文件編號(hào)ISMS-A-01信息安全管理手冊(cè)文件版本VI. 0密級(jí)秘密 TOC o 1-5 h z 7. 5. 1文件體系結(jié)構(gòu)157. 5. 2文件控制

7、177. 5. 3記錄控制178運(yùn)行18 HYPERLINK l bookmark22 o Current Document & 1運(yùn)行的策劃和控制18& 1. 1 ISMS運(yùn)行總要求18& 2信息安全風(fēng)險(xiǎn)評(píng)估18& 2. 1風(fēng)險(xiǎn)評(píng)估的方法18& 2. 2識(shí)別風(fēng)險(xiǎn)19& 2. 3分析和評(píng)價(jià)風(fēng)險(xiǎn)19& 2. 4識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的選擇19 HYPERLINK l bookmark24 o Current Document & 3信息安全風(fēng)險(xiǎn)處置19& 3. 1相關(guān)文件209績(jī)效評(píng)價(jià)20 HYPERLINK l bookmark26 o Current Document 9.1監(jiān)視、測(cè)量、分析和評(píng)

8、價(jià)209.2內(nèi)部審核203管理評(píng)審203. 1 總則203. 2評(píng)審輸入219.3.3評(píng)審輸出2110改進(jìn)22 HYPERLINK l bookmark28 o Current Document 1不符合和糾正措施222持續(xù)改進(jìn)233糾正措施2410. 4預(yù)防措施24附錄1-組織簡(jiǎn)介25附錄2-組織架構(gòu)圖26 HYPERLINK l bookmark30 o Current Document 附錄4-信息安全小組成員30附錄5-服務(wù)器拓?fù)鋱D30附錄6-信息安全職責(zé)說(shuō)明31深圳市X XXXX科技有限公司文件編號(hào)ISMS-A-01信息安全管理手冊(cè)文件版本VI. 0密級(jí)秘密1概述1.1頒布令為提高我

9、公司的信息安全管理水平，保障公司業(yè)務(wù)活動(dòng)的正常進(jìn)行，防止由于信息 安全事件（信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密）導(dǎo)致的公司和客戶的損失， 我公司開展貫徹GB/T 22080-2016 idt IS0/IEC 27001:2013信息安全管理體系 要求 標(biāo)準(zhǔn)工作，建立、實(shí)施和持續(xù)改進(jìn)文件化的信息安全管理體系，制訂了深圳市XXX科 技有限公司信息安全管理手冊(cè)。信息安全管理手冊(cè)經(jīng)評(píng)審后，現(xiàn)予以批準(zhǔn)發(fā)布。信息安全管理手冊(cè)的發(fā)布，標(biāo)志著我公司從現(xiàn)在起，必須按照信息安全管理體 系標(biāo)準(zhǔn)的要求和公司信息安全管理手冊(cè)所描述的規(guī)定，不斷增強(qiáng)持續(xù)滿足顧客要求、 相關(guān)方要求和法律法規(guī)要求的能力，全心全意為顧客

10、和相關(guān)方提供優(yōu)質(zhì)、安全的自助服 務(wù)終端軟硬件的研發(fā)及運(yùn)行維護(hù)服務(wù)，以確立公司在社會(huì)上的良好信譽(yù)。信息安全管理手冊(cè)是公司規(guī)范內(nèi)部管理的指導(dǎo)性文件，也是全體員工在向顧客 提供服務(wù)過(guò)程必須遵循的行動(dòng)準(zhǔn)則。信息安全管理手冊(cè)一經(jīng)發(fā)布，就是強(qiáng)制性文件， 全體員工必須認(rèn)真學(xué)習(xí)、切實(shí)執(zhí)行。深圳市XXX科技有限公司總經(jīng)理：2021-8-3深圳市XXXXX科技有限公司文件編號(hào)ISMS-A-01信息安全管理手冊(cè)文件版本VI. 0密級(jí)秘密1.2任命書任命書為貫徹執(zhí)行GB/T 22080-2016 idt IS0/IEC 27001:2013信息安全管理體系 要求， 加強(qiáng)對(duì)信息管理體系運(yùn)行的領(lǐng)導(dǎo)，特任命*為公司管理者代

11、表。授權(quán)信息安全管理者代表有如下職責(zé)和權(quán)限：1）確保按照標(biāo)準(zhǔn)的要求，進(jìn)行資產(chǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估，全面建立、實(shí)施和保持信息安全管理體系；2）負(fù)責(zé)與信息安全管理體系有關(guān)的協(xié)調(diào)和聯(lián)絡(luò)工作；3）確保在整個(gè)組織內(nèi)提高信息安全風(fēng)險(xiǎn)的意識(shí)；4）審核風(fēng)險(xiǎn)評(píng)估報(bào)告、風(fēng)險(xiǎn)處理計(jì)劃；5）批準(zhǔn)發(fā)布程序文件；6）主持信息安全管理體系內(nèi)部審核，任命審核組長(zhǎng)，批準(zhǔn)內(nèi)審工作報(bào)告；7）向最高管理者報(bào)告信息安全管理體系的業(yè)績(jī)和改進(jìn)要求，包括信息安全管理 體系運(yùn)行情況、內(nèi)外部審核情況。本任命書自任命日起生效執(zhí)行。深圳市XXX科技有限公司總經(jīng)理：2021-8-3深圳市XXXXX科技有限公司文件編號(hào)ISMS-A-01信息安全管理手冊(cè)文件版

12、本VI. 0密級(jí)秘密1.3手冊(cè)說(shuō)明3. 1總則信息安全管理手冊(cè)的編制，是用以證明已建立并實(shí)施了一個(gè)完整的文件 化的信息安全管理體系。通過(guò)對(duì)各項(xiàng)業(yè)務(wù)進(jìn)行風(fēng)險(xiǎn)評(píng)估，識(shí)別出公司的關(guān)鍵資產(chǎn)， 并根據(jù)資產(chǎn)的不同級(jí)別風(fēng)險(xiǎn)采取與之相對(duì)應(yīng)的處理措施。信息安全管理手冊(cè)為審核信息安全管理體系提供了文件依據(jù)。信息安全管理手冊(cè)證明公司已經(jīng)按照GB/T 22080-2016 idt IS0/IEC 27001:2013標(biāo)準(zhǔn)的要求建立并實(shí)際運(yùn)行一套信息安全管理體系。信息安全管理 手冊(cè)的編制及頒布可以對(duì)公司信息安全管理各項(xiàng)活動(dòng)進(jìn)行控制，指導(dǎo)公司開展 各項(xiàng)業(yè)務(wù)活動(dòng)，并通過(guò)不斷的持續(xù)改進(jìn)來(lái)完善信息安全管理體系。1. 3. 2信

13、息安全管理手冊(cè)的批準(zhǔn)管理者代表負(fù)責(zé)組織信息安全小組編制信息安全管理手冊(cè)及其相關(guān)規(guī)章 制度，總經(jīng)理負(fù)責(zé)批準(zhǔn)。1.3.3信息安全管理手冊(cè)的發(fā)放、作廢與銷毀（1）綜合管理部負(fù)責(zé)按文件控制程序的要求，進(jìn)行信息安全管理手 冊(cè)的登記、發(fā)放、回收、歸檔、作廢與銷毀工作。（2）各相關(guān)部門按照受控文件的管理要求對(duì)收到的信息安全管理手冊(cè) 進(jìn)行使用和保管。（3）綜合管理部按照規(guī)定發(fā)放修改后的信息安全管理手冊(cè)，并收回失效 的文件做出標(biāo)識(shí)統(tǒng)一處理，確保有效文件的唯一性。（4）綜合管理部保留信息安全管理手冊(cè)修改內(nèi)容的記錄。1. 3. 4信息安全管理手冊(cè)的修改信息安全管理手冊(cè)如根據(jù)實(shí)際情況發(fā)生變化時(shí)，應(yīng)用信息安全體系相關(guān)

14、部門提出申請(qǐng)，經(jīng)綜合管理部討論、商議，信息安全代表審核、總經(jīng)理批準(zhǔn)后方 可進(jìn)行修改。為保證修改后的手冊(cè)能夠及時(shí)發(fā)放給相關(guān)人員，綜合管理部對(duì)手冊(cè) 實(shí)施修改后，應(yīng)及時(shí)發(fā)布修改信息，通知相關(guān)人員。信息安全管理手冊(cè)的修改分為兩種：深圳市XXXXX科技有限公司文件編號(hào)ISMS-A-01信息安全管理手冊(cè)文件版本VI. 0密級(jí)秘密一是少量的文字性修改。此種修改不改變手冊(cè)的版本號(hào)，只需在本手冊(cè)的“文 檔修改記錄”如實(shí)記錄即可，不需保存手冊(cè)修改前的文檔原件。二是大范圍的信息安全管理體系版本升級(jí)，即改版。在本手冊(cè)經(jīng)過(guò)多次修改、 信息安全管理體系建立依據(jù)的標(biāo)準(zhǔn)發(fā)生變化、公司的業(yè)務(wù)范圍有較大調(diào)整的情況 下，需要對(duì)本手

15、冊(cè)進(jìn)行改版。本手冊(cè)的改版應(yīng)該對(duì)改版前的信息安全管理手冊(cè) 原件進(jìn)行保存。在出現(xiàn)下列情況時(shí)，信息安全管理手冊(cè)可以進(jìn)行修改：信息安全管理體系運(yùn)行過(guò)程中發(fā)現(xiàn)問題或信息安全管理體系需進(jìn)一步改 進(jìn)內(nèi)部信息安全提出新的需求組織機(jī)構(gòu)和職能發(fā)生變化經(jīng)營(yíng)環(huán)境和產(chǎn)品結(jié)構(gòu)有調(diào)整發(fā)現(xiàn)本手冊(cè)中存在差錯(cuò)或不明確之處引用的法規(guī)或體系標(biāo)準(zhǔn)有修改體系審核或管理評(píng)審提出改進(jìn)要求本手冊(cè)的更改控制按文件管理程序執(zhí)行1.3.5信息安全管理手冊(cè)的換版信息安全管理手冊(cè)進(jìn)行換版，換版應(yīng)在管理評(píng)審時(shí)形成決議，重新編制、 審批工作。 當(dāng)依據(jù)的GB/T 22080-2016 idt IS0/IEC 27001:2013信息安全管理體系有 重大變化時(shí)

16、，如組織結(jié)構(gòu)、內(nèi)外部環(huán)境、開發(fā)技術(shù)、信息安全風(fēng)險(xiǎn)等發(fā)生重大改 變的。相應(yīng)的法律法規(guī)發(fā)生重大變化時(shí)，如國(guó)家法律法規(guī)、政策、標(biāo)準(zhǔn)等發(fā)生 改變的。信息安全管理手冊(cè)發(fā)生需修改部分超過(guò)1/3時(shí)。信息安全管理手冊(cè)執(zhí)行已滿三年時(shí)。1.3.6信息安全管理手冊(cè)的控制深圳市XXXXX科技有限公司文件編號(hào)ISMS-A-01信息安全管理手冊(cè)文件版本VI. 0密級(jí)秘密（1）信息安全管理手冊(cè)標(biāo)識(shí)分受控文件和非受控文件：受控文件發(fā)放范圍為公司領(lǐng)導(dǎo)、各相關(guān)部分的負(fù)責(zé)人、審計(jì)部或者內(nèi)審員。非受控文件印制成單行本，作為投標(biāo)書的資料、銷售目的等發(fā)給受控范圍 以外的其他相關(guān)人員。（2）信息安全管理手冊(cè)分為書面文件和電子文件兩種。2規(guī)

17、范性引用文件GB/T 22080-2016信息技術(shù) 安全技術(shù)信息安全管理體系要求；GB/T 22081-2016信息安全管理實(shí)用規(guī)則；與公司運(yùn)營(yíng)相關(guān)的法律法規(guī)和技術(shù)標(biāo)準(zhǔn)。3術(shù)語(yǔ)和定義本手冊(cè)采用GB/T 22080-2016 idt IS0/IEC 27001:2013標(biāo)準(zhǔn)的術(shù)語(yǔ)和定義，并根 據(jù)需要在相應(yīng)章節(jié)所描述的要求中，增補(bǔ)了所涉及的術(shù)語(yǔ)和定義；本手冊(cè)出現(xiàn)的術(shù)語(yǔ)“產(chǎn)品”指的是公司提供的產(chǎn)品和服務(wù)； ISMS-Integrated Management System的縮寫，代表信息安全管理體系；4組織環(huán)境4.1理解組織及其環(huán)境公司定期識(shí)別和信息安全管理目標(biāo)相關(guān)，并影響實(shí)現(xiàn)信息安全管理預(yù)期結(jié)果的

18、內(nèi)外 部問題。2理解相關(guān)方的需求和期望本公司確定：a）與ISMS有關(guān)的相關(guān)方；b）這些相關(guān)方與信息安全有關(guān)的要求。4. 3確定ISMS的范圍應(yīng)用范圍:深圳市XXXXX科技有限公司文件編號(hào)ISMS-A-01信息安全管理手冊(cè)文件版本VI. 0密級(jí)秘密本信息安全管理手冊(cè)規(guī)定了深圳市XXX科技有限公司信息安全管理體系 涉及的開發(fā)和維護(hù)信息安全管理、職責(zé)管理、內(nèi)部審核、管理評(píng)審和信息安全管理 體系持續(xù)改進(jìn)等方面內(nèi)容。產(chǎn)品和服務(wù)范圍：與計(jì)算機(jī)應(yīng)用軟件的設(shè)計(jì)、開發(fā)及售后服務(wù)相關(guān)的信息安全管理活動(dòng)區(qū)域范圍：廣東省深圳市八卦嶺八卦路31號(hào)眾鑫科技大廈1310室組織機(jī)構(gòu)范圍：管理層、技術(shù)部、銷售部、綜合管理部4信

19、息安全管理體系4. 1總則為了建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、持續(xù)改進(jìn)信息管理管理體系，提高全 員的信息安全意識(shí)，對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行有效管理，使全公司貫徹落實(shí)安全方針 和各項(xiàng)安全措施，保護(hù)用戶信息和資料，保證的信息資產(chǎn)免遭破壞，降低可能影 響到信息安全的各種風(fēng)險(xiǎn)，防止安全事故的發(fā)生。同時(shí)確保全體員工理解并遵守 執(zhí)行信息安全管理體系文件，持續(xù)改進(jìn)信息安全管理體系的有效性，樹立公司良 好的服務(wù)形象，增強(qiáng)用戶對(duì)公司的技術(shù)和管理水平的信心，保證公司業(yè)務(wù)可持續(xù) 開展，特制定本信息安全管理手冊(cè)。4. 2 ISMS體系過(guò)程方法/A相關(guān)方/第三方信息安全管理需求和期望持續(xù)并改進(jìn)計(jì)劃并建立監(jiān)控并評(píng)審實(shí)施并運(yùn)行相關(guān)

20、方/第三方信息安全管理深圳市XXXXX科技有限公司文件編號(hào)ISMS-A-01信息安全管理手冊(cè)文件版本VI. 0密級(jí)秘密5領(lǐng)導(dǎo)作用5.1領(lǐng)導(dǎo)作用和承諾總經(jīng)理領(lǐng)導(dǎo)信息安全工作，并確定相應(yīng)的職責(zé)和作用。制定信息安全方針和信息安全目標(biāo)，建立和完善公司的信息安全管理體系。向公司傳達(dá)滿足信息安全目標(biāo)以及信息安全方針，以及法律責(zé)任和持續(xù)改進(jìn)的重 要性。提供足夠的資源建立、實(shí)施、運(yùn)行、監(jiān)控、評(píng)審、為何和改進(jìn)ISMS；決定可接受風(fēng)險(xiǎn)的標(biāo)準(zhǔn)和可接受風(fēng)險(xiǎn)的等級(jí)；確保按照標(biāo)準(zhǔn)嚴(yán)格執(zhí)行ISMS內(nèi)部審核并進(jìn)行管理評(píng)審。5.2 ISMS管理方針一、信息安全管理方針為了滿足適用法律法規(guī)及相關(guān)方要求，維持ISMS范圍內(nèi)的業(yè)務(wù)正

21、常進(jìn)行， 實(shí)現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展，本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn) 和技術(shù)確定了信息安全管理體系方針：滿足客戶要求，保障信息安全，遵守法律法規(guī)，持續(xù)改進(jìn)管理。二、信息安全管理目標(biāo)針對(duì)客戶信息安全事件的投訴每年不超過(guò)1次重要信息設(shè)備丟失每年不超過(guò)1起機(jī)密和絕密信息泄漏事件每年不超過(guò)1次三、信息安全管理適用范圍本信息安全管理方針適用于公司全體員工、業(yè)務(wù)合作伙伴、外聘人員及第三 方的工作人員等所有與信息資產(chǎn)相關(guān)的部門與人員。3組織架構(gòu)、職責(zé)和權(quán)限3. 1 ISMS管理體系組織架構(gòu)圖附錄2-組織架構(gòu)圖3.2 ISMS管理職能分配見附錄3-職能分配表深圳市XXXXX科技有限公司文件編號(hào)IS

22、MS-A-01信息安全管理手冊(cè)文件版本VI. 0密級(jí)秘密3. 3職責(zé)和權(quán)限見附錄8-信息安全職責(zé)說(shuō)明6規(guī)劃1風(fēng)險(xiǎn)和機(jī)遇的應(yīng)對(duì)措施信息安全小組組織有關(guān)部門根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果，形成風(fēng)險(xiǎn)處理計(jì)劃，該 計(jì)劃明確了風(fēng)險(xiǎn)處理責(zé)任部門、負(fù)責(zé)人、處理方法及完成時(shí)間。對(duì)于信息安全風(fēng)險(xiǎn)和給予，應(yīng)考慮控制措施與費(fèi)用的平衡原則，選用以下適 當(dāng)?shù)拇胧嚎刂骑L(fēng)險(xiǎn)，采用適當(dāng)?shù)膬?nèi)部控制措施。接受風(fēng)險(xiǎn)（不可能將所有風(fēng)險(xiǎn)降低為零）；避免風(fēng)險(xiǎn)（如物理隔離）；轉(zhuǎn)移風(fēng)險(xiǎn)（如將風(fēng)險(xiǎn)轉(zhuǎn)移給保險(xiǎn)者、供方、分包商）。2信息安全目標(biāo)及其實(shí)現(xiàn)規(guī)劃2. 1公司在相關(guān)職能、層次和信息安全管理體系所需的過(guò)程建立信息安全目標(biāo)。信息安全目標(biāo)應(yīng)：a）與信息安全

23、方針保持一致b）可測(cè)量；c）考慮適用的要求，以及風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置的結(jié)果；d）得到溝通；e）適時(shí)更新。組織應(yīng)保持有關(guān)信息安全目標(biāo)的文件化信息。2.2在策劃信息安全目標(biāo)的實(shí)現(xiàn)時(shí)，公司確定：a）采取的措施；b）所需的資源（見7.1）；c）責(zé)任人；d）完成的時(shí)間表；深圳市XXXXX科技有限公司文件編號(hào)ISMS-A-01信息安全管理手冊(cè)文件版本VI. 0密級(jí)秘密e）如何評(píng)價(jià)結(jié)果。7支持7.1資源1. 1總則總經(jīng)理以及部門經(jīng)理應(yīng)確定、提供為建立、實(shí)施、保持和改進(jìn)ISMS管理體系所需的 資源，應(yīng)考慮現(xiàn)有的資源、能力、局限；1.2基礎(chǔ)設(shè)施組織應(yīng)識(shí)別、提供并保持實(shí)現(xiàn)產(chǎn)品/服務(wù)符合性所需的基礎(chǔ)設(shè)施，這些設(shè)施包括

24、：工作場(chǎng)所相應(yīng)的設(shè)施（辦公電腦、服務(wù)器、軟硬件、機(jī)房等）；服務(wù)過(guò)程設(shè)備，如各種通訊設(shè)備、監(jiān)控設(shè)備和客戶服務(wù)管理系統(tǒng)、業(yè)務(wù)系統(tǒng)（軟 件）等；維修保養(yǎng)和保障設(shè)施（各種輔助設(shè)施、安全防護(hù)設(shè)施等）；支持性服務(wù)，如運(yùn)輸、通訊信息系統(tǒng)等。1. 3過(guò)程環(huán)境公司各部門應(yīng)識(shí)別提供產(chǎn)品/服務(wù)所需環(huán)境中人和物的因素，并對(duì)其加以有效的控 制，保證提供產(chǎn)品/服務(wù)過(guò)程中的人員、財(cái)產(chǎn)安全。過(guò)程環(huán)境可包括物理的、社會(huì)的、心理的和環(huán)境的因素。1. 4監(jiān)視和測(cè)量設(shè)備對(duì)照國(guó)際或國(guó)家的測(cè)量標(biāo)準(zhǔn)，在規(guī)定的時(shí)間間隔或在使用前進(jìn)行校準(zhǔn)和檢定，如果 沒有上述標(biāo)準(zhǔn)的，應(yīng)記錄校準(zhǔn)或檢定（驗(yàn)證）的依據(jù)，以確保下列設(shè)備處于正常狀態(tài)：開發(fā)用途的電腦設(shè)

25、備；測(cè)試用途的電腦設(shè)備；開發(fā)用途的軟件；測(cè)試用途的軟件；集成項(xiàng)目使用的設(shè)備。處于正常狀態(tài)的設(shè)備應(yīng)具備下列特征：深圳市XXXXX科技有限公司文件編號(hào)ISMS-A-01信息安全管理手冊(cè)文件版本VI. 0密級(jí)秘密設(shè)備的型號(hào)能夠符合預(yù)期的使用目的；無(wú)論設(shè)備處于待用狀態(tài)還是處于使用狀態(tài)，設(shè)備均是正常的；設(shè)備得到周期性的養(yǎng)護(hù)和校正，并標(biāo)識(shí)其校準(zhǔn)狀態(tài)；必要時(shí)，各部門使用設(shè)備進(jìn)行測(cè)量前，應(yīng)再次校準(zhǔn)設(shè)備；測(cè)試軟件應(yīng)確認(rèn)其具有滿足預(yù)期用途的能力，初次使用前應(yīng)進(jìn)行確認(rèn)，必要時(shí) 可以進(jìn)行重新確認(rèn)。當(dāng)發(fā)現(xiàn)軟件或設(shè)備不符合要求時(shí)，應(yīng)對(duì)以往的測(cè)量結(jié)果進(jìn)行有效性評(píng)價(jià)和記錄，并 對(duì)受影響的產(chǎn)品采取適當(dāng)?shù)拇胧?。校?zhǔn)和檢定結(jié)果的記

26、錄應(yīng)予保存。7. 1. 5知識(shí)公司應(yīng)確保ISMS管理體系運(yùn)行過(guò)程中，提供產(chǎn)品/服務(wù)的符合性和顧客滿意所需的 知識(shí)。這些知識(shí)應(yīng)得到保持、保護(hù)、需要時(shí)便于獲取。在應(yīng)對(duì)變化的需求和趨勢(shì)時(shí)，組織應(yīng)考慮現(xiàn)有的知識(shí)基礎(chǔ)，確定如何獲取必需的更 多知識(shí)。7. 2能力公司應(yīng)根據(jù)崗位所需的教育、培訓(xùn)、技能和經(jīng)驗(yàn)要求，安排人員，以確保影響產(chǎn)品 /服務(wù)質(zhì)量和信息安全的人員素質(zhì)滿足崗位的需要，能勝任其工作。對(duì)于人員的配置，公司人事行政部應(yīng)定崗定編并制定完善的崗位說(shuō)明文件。公司在員工培訓(xùn)管理程序中對(duì)在職培訓(xùn)、人員的意識(shí)的灌輸和工作能力的增長(zhǎng) 作了要求，以便：確定從事影響產(chǎn)品/服務(wù)質(zhì)量和信息安全的人員（包含營(yíng)銷、服務(wù)提供、

27、質(zhì)量檢 查、IT開發(fā)、顧客溝通、顧客信息反饋等）所必須的工作能力及培訓(xùn)需求；提供培訓(xùn)或采取其他措施，以滿足所確定的需求并確保達(dá)成必須的能力；對(duì)培訓(xùn)的有效性進(jìn)行評(píng)價(jià)；確保員工能意識(shí)到他們工作的相關(guān)性和重要性，以及他們?nèi)绾螢檫_(dá)到ISMS目標(biāo) 做出努力；保存有關(guān)教育、經(jīng)驗(yàn)、培訓(xùn)、資格的適當(dāng)?shù)挠涗?。深圳市XXXXX科技有限公司文件編號(hào)ISMS-A-01信息安全管理手冊(cè)文件版本VI. 0密級(jí)秘密7. 3意識(shí)公司應(yīng)確保工作的人員意識(shí)到： ISMS管理方針；相關(guān)的信息安全目標(biāo)；他們對(duì)信息安全管理體系有效性的貢獻(xiàn)，包括改進(jìn)績(jī)效的益處；偏離信息安全管理體系要求的后果。7. 4溝通管理者代表為信息安全溝通交流主管

28、部門，負(fù)責(zé)內(nèi)、外部信息的交流與管理，及時(shí) 將信息進(jìn)行處理傳遞給有關(guān)部門。各部門負(fù)責(zé)涉及自身職責(zé)范圍內(nèi)的信息安全信息的溝 通交流工作，收集與外部相關(guān)方的信息資料，并保存回復(fù)的證據(jù)。4. 1內(nèi)部信息信息安全方針、目標(biāo)及實(shí)施方案資產(chǎn)識(shí)別與風(fēng)險(xiǎn)評(píng)估職責(zé)與權(quán)限的傳達(dá)與落實(shí)培訓(xùn)教育的實(shí)施與效果監(jiān)控與測(cè)量結(jié)果的反饋及法律、法規(guī)的符合情況不符合的糾正和預(yù)防措施的執(zhí)行情況緊急狀態(tài)下的信息等4. 2外部信息信息安全方針通報(bào)相關(guān)方，對(duì)外宣傳；法律、法規(guī)的獲取與監(jiān)測(cè)及執(zhí)法部門的聯(lián)絡(luò)；監(jiān)控、檢測(cè)結(jié)果的外部聯(lián)絡(luò)和接受、答復(fù)；認(rèn)證與監(jiān)督審核；4.3管理者代表應(yīng)與相關(guān)方就影響他們的信息安全的變更進(jìn)行協(xié)商。公司制定信 息安全溝

29、通協(xié)調(diào)管理程序規(guī)范信息安全溝通過(guò)程，必要時(shí)，保留信息交流相關(guān)證據(jù)。7. 5文件記錄信息5. 1文件體系結(jié)構(gòu)深圳市X XXXX科技有限公司文件編號(hào)ISMS-A-01信息安全管理手冊(cè)文件版本VI. 0密級(jí)秘密程序文件管理手冊(cè)作業(yè)指導(dǎo)、規(guī)范 規(guī)章制度、計(jì)劃表單記錄信息安全管理體系的文件由上而下分為四個(gè)層次，如下圖所示:信息安全管理體系文件包括：（1）管理手冊(cè)（信息安全手冊(cè)、信息安全策略）：規(guī)定信息安全管理體系的文件， 是公司內(nèi)部的信息安全法規(guī)，闡述了信息安全管理體系的方針、目標(biāo)、范圍、組織結(jié)構(gòu) 和職責(zé)權(quán)限，同時(shí)描述了信息安全管理體系的主體文件（程序文件），是信息安全管理 體系的綱領(lǐng)性文件。（2）程序

30、文件：是信息安全手冊(cè)的支持性文件，規(guī)定了實(shí)施與信息安全管理體系 有關(guān)的各項(xiàng)活動(dòng)的途徑和方法，是各項(xiàng)活動(dòng)得以有效實(shí)施的保障。與信息安全管理體系 有關(guān)的各項(xiàng)活動(dòng)必須按照程序文件規(guī)定實(shí)施，并定期對(duì)其進(jìn)行評(píng)審，保持其有效性。（3）作業(yè)指導(dǎo)、規(guī)范規(guī)章制度、計(jì)劃等：是現(xiàn)場(chǎng)或崗位使用的詳細(xì)工作文件，是 程序文件的支撐和補(bǔ)充性文件，是信息安全管理體系過(guò)程得以有效策劃、運(yùn)行、控制所 需要的文件，也是信息安全活動(dòng)的基礎(chǔ)文件。（4）表單記錄:通過(guò)表單模板，對(duì)信息安全管理體系實(shí)施的一系列活動(dòng)進(jìn)行規(guī)范， 形成記錄文件，用于作為管理評(píng)審、內(nèi)部審核、外部審核、持續(xù)改進(jìn)的客觀證據(jù)。信息安全手冊(cè)、程序文件和作業(yè)指導(dǎo)、規(guī)范規(guī)章制

31、度、表單記錄等四層文件由信息安全小組組織協(xié)調(diào)各相關(guān)部門共同完成編寫。支持文件：深圳市XXXXX科技有限公司文件編號(hào)ISMS-A-01信息安全管理手冊(cè)文件版本VI. 0密級(jí)秘密文件控制程序7. 5. 2文件控制綜合管理部組織編制文件控制程序，確保信息安全管理體系的文件在以下幾個(gè) 方面得到控制：（1）文件發(fā)布前得到批準(zhǔn)，以確保文件是充分與適宜的。（2）管理體系文件應(yīng)定期進(jìn)行評(píng)審、修訂完善，并再次批準(zhǔn)以保持文件要求與實(shí) 際運(yùn)作的一致性，充分保障文件的有效性、充分性和適宜性。（3）確保文件的更改和現(xiàn)行修訂狀態(tài)得到識(shí)別。（4）確保在使用處可獲得適用文件的有關(guān)版本。（5）確保文件保持清晰、易于識(shí)別。（6）

32、確保綜合管理部確定的體系所需的外來(lái)文件得到識(shí)別，并控制其分發(fā)。（7）防止作廢文件的非預(yù)期使用，若因任何原因而保留作廢文件時(shí)，對(duì)這些文件 進(jìn)行適當(dāng)?shù)臉?biāo)識(shí)。（8）具體執(zhí)行按文件控制程序的規(guī)定，對(duì)文件的審核、批準(zhǔn)、發(fā)布、變更、 修改、廢止等環(huán)節(jié)進(jìn)行控制。支持文件：文件控制程序7. 5. 3記錄控制信息安全管理體系所要求的記錄是體系符合標(biāo)準(zhǔn)要求和有效運(yùn)行的依據(jù)，對(duì)記錄的 標(biāo)識(shí)、儲(chǔ)存、保護(hù)、檢索、保管、廢棄等事項(xiàng)進(jìn)行了規(guī)定，各部門應(yīng)根據(jù)記錄控制程 序的要求采取適當(dāng)?shù)姆绞酵咨票９苄畔踩涗?，具體記錄如下：（1）建立并保持記錄，以提供符合要求和信息安全管理體系有效運(yùn)行的證據(jù)。（2）保護(hù)并控制記錄。信息安全

33、管理體系應(yīng)考慮相關(guān)的法律要求和合同責(zé)任。記 錄應(yīng)保持合法，易于識(shí)別和檢索。（3）編制形成文件的程序，以規(guī)定記錄的標(biāo)識(shí)、儲(chǔ)存、保護(hù)、檢索、保存期限和 處置所需的控制。（4）記錄的要求和管理:深圳市XXXXX科技有限公司文件編號(hào)ISMS-A-01信息安全管理手冊(cè)文件版本VI. 0密級(jí)秘密真實(shí)、完整、字跡清晰，可識(shí)別是何種產(chǎn)品或項(xiàng)目的何種活動(dòng)。填寫及時(shí)、禁止未經(jīng)許可的更改。各部門應(yīng)對(duì)本部門的記錄自行歸檔保存，保存環(huán)境應(yīng)適宜，以防止記錄損壞、 變質(zhì)和丟失，保管方式便于存取和檢索。記錄的保存期限應(yīng)根據(jù)產(chǎn)品的特點(diǎn)、法規(guī)要求及合同要求來(lái)決定，見“記錄清 單”。超過(guò)保存期的質(zhì)量記錄處理應(yīng)按審批規(guī)定進(jìn)行處置。

34、支持文件：記錄控制程序8運(yùn)行& 1運(yùn)行的策劃和控制公司規(guī)定了實(shí)現(xiàn)與計(jì)算機(jī)應(yīng)用軟件的設(shè)計(jì)、開發(fā)及售后服務(wù)所需的過(guò)程，這些過(guò)程 與公司ISMS管理體系中的其他要求相一致并對(duì)其順序和相互作用予以確定。公司識(shí)別 每一過(guò)程對(duì)滿足客戶服務(wù)要求的能力的影響，并確保營(yíng)運(yùn)活動(dòng)中每個(gè)質(zhì)量特性都受到有 效控制。1. 1 ISMS運(yùn)行總要求實(shí)現(xiàn)過(guò)程的策劃中應(yīng)明確：質(zhì)量目標(biāo)和要求；明確各崗位的信息安全職責(zé)；服務(wù)標(biāo)準(zhǔn)明確過(guò)程控制的準(zhǔn)則和方法，制定必要的作業(yè)指導(dǎo)文件，為產(chǎn)品和服務(wù)實(shí)現(xiàn)提供 資源和設(shè)施，保證其所需的工作環(huán)境；保留服務(wù)過(guò)程提供及過(guò)程測(cè)量和檢查結(jié)果的記錄。經(jīng)識(shí)別公司沒有外包過(guò)程。對(duì)于公司的服務(wù)商，綜合管理部按照第

35、三方服務(wù)管理程 序進(jìn)行管理。& 2信息安全風(fēng)險(xiǎn)評(píng)估2. 1風(fēng)險(xiǎn)評(píng)估的方法深圳市XXXXX科技有限公司文件編號(hào)ISMS-A-01信息安全管理手冊(cè)文件版本VI. 0密級(jí)秘密信息安全小組負(fù)責(zé)組織編制信息安全風(fēng)險(xiǎn)管理程序，建立識(shí)別適用于信息安全 管理體系和已經(jīng)識(shí)別的業(yè)務(wù)信息安全、法律法規(guī)要求的風(fēng)險(xiǎn)評(píng)估方法，在決定風(fēng)險(xiǎn)的可 接受范圍內(nèi)，采取適當(dāng)?shù)娘L(fēng)險(xiǎn)控制措施。2. 2識(shí)別風(fēng)險(xiǎn)在信息安全管理體系范圍內(nèi)，對(duì)所有信息資產(chǎn)進(jìn)行識(shí)別評(píng)價(jià)，識(shí)別資產(chǎn)面臨的威脅 以及脆弱性、識(shí)別保密性完整性和可用性對(duì)資產(chǎn)造成的影響程度、識(shí)別資產(chǎn)面臨的風(fēng)險(xiǎn), 并通過(guò)這些項(xiàng)目的風(fēng)險(xiǎn)標(biāo)識(shí)推算出對(duì)重要資產(chǎn)造成的影響。2. 3分析和評(píng)價(jià)風(fēng)險(xiǎn)針對(duì)

36、每一項(xiàng)信息資產(chǎn)，識(shí)別出其面臨的所有威脅，并考慮現(xiàn)有的控制措施，識(shí)別出 被該威脅可能利用的薄弱點(diǎn)。針對(duì)每一項(xiàng)威脅、薄弱點(diǎn)，對(duì)資產(chǎn)造成的影響，考慮現(xiàn)有的控制措施，判斷安全失 效發(fā)生的可能性。根據(jù)信息安全風(fēng)險(xiǎn)管理程序計(jì)算風(fēng)險(xiǎn)等級(jí)以及風(fēng)險(xiǎn)接受準(zhǔn)則，判斷風(fēng)險(xiǎn)為可接 受或需要處理。2. 4識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的選擇項(xiàng)目風(fēng)險(xiǎn)的識(shí)別貫穿整個(gè)業(yè)務(wù)活動(dòng)過(guò)程，明確哪些風(fēng)險(xiǎn)可能影響項(xiàng)目造成影響、記 錄這些風(fēng)險(xiǎn)的各方面特征。在記錄風(fēng)險(xiǎn)的基礎(chǔ)上對(duì)項(xiàng)目進(jìn)行初步分析，依據(jù)影響對(duì)項(xiàng)目 風(fēng)險(xiǎn)進(jìn)行優(yōu)先級(jí)排序。綜合管理部根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，形成信息安全風(fēng)險(xiǎn)評(píng)估表（含風(fēng)險(xiǎn)處理計(jì)劃）,該計(jì)劃明確了風(fēng)險(xiǎn)處理責(zé)任部門、負(fù)責(zé)人、目的、范圍以及處

37、理策略，具體措施如下：（1）適時(shí)適當(dāng)?shù)目刂拼胧?。?）規(guī)避風(fēng)險(xiǎn),采取有效的控制措施避免風(fēng)險(xiǎn)的發(fā)生。（3）接受風(fēng)險(xiǎn)，在一定程度上有意識(shí)、有目的地接受風(fēng)險(xiǎn)。（4）風(fēng)險(xiǎn)轉(zhuǎn)移，轉(zhuǎn)移相關(guān)業(yè)務(wù)風(fēng)險(xiǎn)到其他方面。（5）消減風(fēng)險(xiǎn),通過(guò)適當(dāng)?shù)目刂拼胧┙档惋L(fēng)險(xiǎn)發(fā)生的可能性。3信息安全風(fēng)險(xiǎn)處置組織應(yīng)實(shí)施信息安全風(fēng)險(xiǎn)處置計(jì)劃。保留信息安全風(fēng)險(xiǎn)處置結(jié)果的文件記錄信息。深圳市XXXXX科技有限公司文件編號(hào)ISMS-A-01信息安全管理手冊(cè)文件版本VI. 0密級(jí)秘密詳見信息安全風(fēng)險(xiǎn)管理程序& 3. 1相關(guān)文件信息安全風(fēng)險(xiǎn)管理程序9績(jī)效評(píng)價(jià)9.1監(jiān)視、測(cè)量、分析和評(píng)價(jià)為了保證服務(wù)的符合性及實(shí)施必要的改進(jìn)，應(yīng)規(guī)定、策劃和實(shí)施所需

38、的測(cè)量和監(jiān)視 活動(dòng)。在策劃時(shí)，應(yīng)確定統(tǒng)計(jì)技術(shù)及其他適用的方法的需要和使用。需要監(jiān)視和測(cè)量的 過(guò)程和措施包括：客戶滿意度測(cè)量、過(guò)程的監(jiān)視和測(cè)量、產(chǎn)品的監(jiān)視和測(cè)量。綜合管理部應(yīng)組織相關(guān)部門，對(duì)質(zhì)量服務(wù)信息安全措施的績(jī)效和體系的有效性進(jìn)行 評(píng)價(jià)。綜合管理部應(yīng)與各部門協(xié)調(diào)，根據(jù)公司管理的實(shí)際需要，建立恰當(dāng)?shù)亩攘矿w系，以 度量員工、項(xiàng)目組的工作業(yè)績(jī)。由綜合管理部組織實(shí)施監(jiān)視和測(cè)量，每年至少一次對(duì)對(duì)監(jiān)視和測(cè)量的結(jié)果進(jìn)行分析 和評(píng)價(jià)，由總經(jīng)理以及各部門經(jīng)理分析和評(píng)價(jià)這些結(jié)果，保留相關(guān)的監(jiān)視和測(cè)量證據(jù)。 9.2內(nèi)部審核公司應(yīng)按計(jì)劃的時(shí)間要求進(jìn)行ISMS內(nèi)部審核，以確定控制目標(biāo)、控制措施、過(guò)程 和程序是否：符合

39、標(biāo)準(zhǔn)及相關(guān)法律法規(guī)的要求；符合確定的信息安全要求；得到有效地實(shí)施和維護(hù)；按期望運(yùn)行。內(nèi)部審核程序應(yīng)進(jìn)行計(jì)劃，并考慮受審核的狀況、重要性和受審核的區(qū)域以及上次 審核結(jié)果，應(yīng)規(guī)定審核準(zhǔn)則、范圍、頻次和方式，審核員的選擇和審核活動(dòng)應(yīng)保證審核 過(guò)程的客觀和公正，審核員不能審核自己的工作。9. 3管理評(píng)審3. 1總則深圳市XXXXX科技有限公司文件編號(hào)ISMS-A-01信息安全管理手冊(cè)文件版本VI. 0密級(jí)秘密為確保信息安全管理體系持續(xù)運(yùn)行，具體如下：（1）管理者代表組織并編制管理評(píng)審程序，指導(dǎo)管理評(píng)審工作的執(zhí)行。（2）管理評(píng)審由最高管理者或其授權(quán)人員組織，每年至少一次。一般情況下，采 取會(huì)議的形式，安

40、排在內(nèi)部審核之后。當(dāng)出現(xiàn)下列情況之一時(shí)，應(yīng)及時(shí)進(jìn)行管理評(píng)審：公司管理體系發(fā)生重大變化。國(guó)家法律法規(guī)、相關(guān)標(biāo)準(zhǔn)發(fā)生重大變化。外審之前。其他認(rèn)為需要評(píng)審時(shí)。（3）各部門負(fù)責(zé)均需參加管理評(píng)審活動(dòng)，需要時(shí)，由總經(jīng)理或其授權(quán)人員決定具 體的參加人員。（4）管理評(píng)審會(huì)議的決議事項(xiàng)以會(huì)議紀(jì)要形式體現(xiàn)，由各相關(guān)部門負(fù)責(zé)配合執(zhí)行, 并對(duì)執(zhí)行狀況予以跟蹤評(píng)估。3. 2評(píng)審輸入在管理評(píng)審時(shí)，管理者代表應(yīng)組織各相關(guān)部門提供以下資料，以供評(píng)審：a）以往管理評(píng)審的措施的狀態(tài)；b）與信息安全管理體系相關(guān)的外部和內(nèi)部問題的變更；c）信息安全績(jī)效的反饋，包括下列方面的趨勢(shì)：1）不符合和糾正措施；2）監(jiān)視和測(cè)量結(jié)果；3）審核結(jié)果

41、；4）信息安全目標(biāo)的實(shí)現(xiàn)；d）相關(guān)方的反饋；e）風(fēng)險(xiǎn)評(píng)估的結(jié)果和風(fēng)險(xiǎn)處置計(jì)劃的狀態(tài)；f）持續(xù)改進(jìn)的機(jī)會(huì)。3. 3評(píng)審輸出按照信息安全管理與安全方針和目標(biāo)對(duì)上述信息進(jìn)行全面的討論、評(píng)價(jià)、分析，管 理評(píng)審輸出包括以下方面有關(guān)的任何決定和措施：（1）信息安全管理體系有效性的改進(jìn)，應(yīng)考慮業(yè)務(wù)需求、安全需求、影響已有業(yè)深圳市XXXXX科技有限公司文件編號(hào)ISMS-A-01信息安全管理手冊(cè)文件版本VI. 0密級(jí)秘密務(wù)需求的業(yè)務(wù)過(guò)程、法律法規(guī)環(huán)境、合同責(zé)任義務(wù)、風(fēng)險(xiǎn)以及風(fēng)險(xiǎn)接受等級(jí)等。（2）信息安全管理方針和目標(biāo)的修訂。（3）與相關(guān)方/第三方有關(guān)的改進(jìn)措施等。（4）風(fēng)險(xiǎn)的等級(jí)或可接受風(fēng)險(xiǎn)的水平，更新風(fēng)險(xiǎn)評(píng)估

42、和風(fēng)險(xiǎn)評(píng)估表等。（5）業(yè)務(wù)需求的變更。（6）安全需求的變更。（7）資源需求以及影響現(xiàn)有業(yè)務(wù)需求的業(yè)務(wù)過(guò)程；（8）法律法規(guī)的環(huán)境。（9）改進(jìn)測(cè)量控制措施有效性的方式。（10）對(duì)現(xiàn)有信息安全管理體系的評(píng)價(jià)結(jié)論以及對(duì)現(xiàn)有服務(wù)是否符合要求的評(píng)價(jià)。 以上內(nèi)容的詳細(xì)規(guī)定見管理評(píng)審程序。公司應(yīng)保留文件記錄作為管理評(píng)審結(jié)果的證據(jù)。10改進(jìn)10.1不符合和糾正措施當(dāng)發(fā)生不符合時(shí)，應(yīng)：對(duì)不符合作出反應(yīng)，采取措施控制并糾正不符合；處理不符合造成的后果；評(píng)價(jià)消除不符合原因的措施的需求，通過(guò)采取以下措施防止不符合再次發(fā)生或在其他 區(qū)域發(fā)生：評(píng)審不符合；確定不符合的原因；確定類似不符合是否存在，或可能潛在發(fā)生實(shí)施所需的措

43、施；評(píng)審所采取糾正措施的有效性;必要時(shí)，對(duì)體系實(shí)施變更。深圳市XXXXX科技有限公司文件編號(hào)ISMS-A-01信息安全管理手冊(cè)文件版本VI. 0密級(jí)秘密應(yīng)將以下信息形成文件：不符合的性質(zhì)及隨后采取的措施糾正措施的結(jié)果上述要求參見糾正措施控制程序。10. 2持續(xù)改進(jìn)通過(guò)制定和改進(jìn)管理方針和管理目標(biāo)、進(jìn)行管理評(píng)審、進(jìn)行內(nèi)部/外部審核、落實(shí) 糾正與預(yù)防措施工作、對(duì)信息安全事件和服務(wù)異常事件的監(jiān)控分析等方式開展信息安全 管理體系的改進(jìn)工作，必要時(shí)征求所有相關(guān)方對(duì)管理體系的意見，從而保證管理體系的 持續(xù)有效性和運(yùn)行效率。關(guān)注客戶的投訴、抱怨、記錄、評(píng)估服務(wù)改進(jìn)建議，制定服務(wù)改進(jìn)計(jì)劃，評(píng)估服務(wù) 改進(jìn)情況，

44、確保各項(xiàng)服務(wù)改進(jìn)措施均已落實(shí)執(zhí)行，并實(shí)現(xiàn)預(yù)期的目標(biāo)，從而改進(jìn)完善服 務(wù)過(guò)程，提升服務(wù)質(zhì)量，提高客戶的滿意度。規(guī)定各部門在持續(xù)改進(jìn)活動(dòng)中的角色和職責(zé)，并從服務(wù)過(guò)程的所有方面考慮服務(wù)改 進(jìn)要求。計(jì)劃通過(guò)以下途徑持續(xù)改進(jìn)信息安全管理的有效性：（1）通過(guò)信息安全管理體系方針的建立與實(shí)施，對(duì)持續(xù)改進(jìn)做出正式的承諾。（2）通過(guò)信息安全管理體系目標(biāo)的建立與實(shí)施，對(duì)持續(xù)改進(jìn)進(jìn)行評(píng)價(jià)。（3）通過(guò)內(nèi)部審核不斷發(fā)現(xiàn)問題，尋找體系改進(jìn)的機(jī)會(huì)并予以實(shí)施。（4）通過(guò)數(shù)據(jù)分析不斷尋求改進(jìn)的機(jī)會(huì)，并做出適當(dāng)?shù)母倪M(jìn)活動(dòng)安排。（5）通過(guò)實(shí)施糾正和預(yù)防措施實(shí)現(xiàn)改進(jìn)的活動(dòng)。（6）監(jiān)控安全事件并對(duì)事件進(jìn)行分析。（7）確定糾正措施和預(yù)防

45、措施的有效性。（8）根據(jù)管理評(píng)審的結(jié)果尋求改進(jìn)體系的機(jī)會(huì)。（9）根據(jù)客戶滿意度調(diào)查尋求改進(jìn)體系的機(jī)會(huì)。支持文件：糾正措施控制程序預(yù)防措施控制程序深圳市XXXXX科技有限公司文件編號(hào)ISMS-A-01信息安全管理手冊(cè)文件版本VI. 0密級(jí)秘密內(nèi)部審核管理程序10. 3糾正措施對(duì)于發(fā)現(xiàn)的不合格項(xiàng)，不僅要求責(zé)任人要糾正不合格行為，而且為了消除不合格項(xiàng)、 與實(shí)施和運(yùn)行信息安全管理體系有關(guān)的原因，人事行政部要求責(zé)任人應(yīng)該制定糾正措施, 以便防止不合格的再次發(fā)生。糾正措施的控制應(yīng)該滿足如下要求：（1）識(shí)別實(shí)施和運(yùn)行信息安全管理體系的不合格事件。（2）分析并確定不合格的原因。（3）評(píng)價(jià)確保不合格不再發(fā)生的相

46、關(guān)因素。（4）確定和實(shí)施所需的糾正措施。（5）檢查、驗(yàn)證糾正措施的結(jié)果。（6）評(píng)審所采取的糾正措施的有效性。支持文件：糾正措施控制程序預(yù)防措施控制程序內(nèi)部審核管理程序10. 4預(yù)防措施在信息安全管理體系運(yùn)行的過(guò)程中，通過(guò)日常的過(guò)程控制、結(jié)果驗(yàn)證、體系審核等 方式發(fā)現(xiàn)的一些可能影響體系運(yùn)行的、不受控制將會(huì)導(dǎo)致不合格產(chǎn)生的安全事件，應(yīng)該 及時(shí)采取預(yù)防措施控制事態(tài)的進(jìn)一步擴(kuò)大。預(yù)防措施應(yīng)該滿足如下幾方面的要求：（1）識(shí)別潛在的信息安全事件及其原因，并確定。（2）評(píng)價(jià)預(yù)防不合格發(fā)生的措施的需求。（3）確定和實(shí)施所需的預(yù)防措施。（4）評(píng)價(jià)預(yù)防措施的有效性，并對(duì)所采取措施的結(jié)果進(jìn)行記錄。（5）識(shí)別并控制重

47、大的已變更的防線。支持文件：糾正措施控制程序預(yù)防措施控制程序深圳市XXXXX科技有限公司文件編號(hào)ISMS-A-01信息安全管理手冊(cè)文件版本VI. 0密級(jí)秘密附錄1-組織簡(jiǎn)介深圳市X X X科技有限公司是一家總部位于中國(guó)深圳的全方位IT及解決方案服務(wù) 提供商。主要致力于航空領(lǐng)域，提供航空IT產(chǎn)品、IT服務(wù)及解決方案、航空教育的一 體化專業(yè)公司。依靠與多家航空領(lǐng)域的企事業(yè)單位建立的良好合作關(guān)系，不斷吸取各方 先進(jìn)技術(shù)與管理經(jīng)驗(yàn)，打造了一支經(jīng)驗(yàn)豐富的管理團(tuán)隊(duì)。在堅(jiān)持高品質(zhì)的產(chǎn)品質(zhì)量、雄 厚的技術(shù)力量的支持下，研發(fā)了多項(xiàng)擁有自主知識(shí)產(chǎn)權(quán)的產(chǎn)品，同時(shí)具備了向市場(chǎng)提供 綜合化服務(wù)的實(shí)力。我們的服務(wù)：公司一

48、直堅(jiān)持“滿足客戶的需求就是我們的追求的服務(wù)”宗旨，我們 將以最優(yōu)質(zhì)的服務(wù)為客戶提供全方位的IT服務(wù)，提升客戶的企業(yè)價(jià)值，提高客戶的市 場(chǎng)競(jìng)爭(zhēng)力。技術(shù)實(shí)力：公司擁有蓬勃向上，充滿朝氣的創(chuàng)業(yè)型領(lǐng)導(dǎo)核心，海外留學(xué)背景， 多年IT研發(fā)、管理經(jīng)濟(jì)的高層管理團(tuán)隊(duì)；經(jīng)驗(yàn)豐富的研發(fā)團(tuán)隊(duì)一為客戶提供專業(yè)的IT 只是支持。發(fā)展戰(zhàn)略：提供自主研發(fā)的一流軟件和服務(wù)，持續(xù)為客戶創(chuàng)造最大價(jià)值核心價(jià)值觀 公司理念：幫助客戶創(chuàng)造價(jià)值，幫助員工實(shí)現(xiàn)夢(mèng)想誠(chéng)信：最重要的無(wú)形資產(chǎn)，是我們贏得客戶信任的基礎(chǔ)專注：建立核心競(jìng)爭(zhēng)力的關(guān)鍵創(chuàng)新：企業(yè)持續(xù)性發(fā)展的必備基因是我們贏得客戶信任的基礎(chǔ)深圳市XXXXX科技有限公司文件編號(hào)ISMS-A-

49、01信息安全管理手冊(cè)文件版本VI. 0密級(jí)秘密附錄2-組織架構(gòu)圖深圳市XXXXX科技有限公司文件編號(hào)ISMS-A-01信息安全管理手冊(cè)文件版本VI. 0密級(jí)秘密附錄3-職能分配表管理單位體系要求信息安全小組總經(jīng)理管理者代表綜合管理部技術(shù)部銷售部4.組織環(huán)境4. 1理解組織及其環(huán)境4. 2理解相關(guān)方的需求和期望4.3明確信息安全管理體系的范圍4. 4信息安全管理體系5領(lǐng)導(dǎo)5. 1領(lǐng)導(dǎo)和承諾5. 2方針5.3組織角色、職責(zé)和權(quán)力6計(jì)劃6. 1處置風(fēng)險(xiǎn)和機(jī)遇6.2信息安全目標(biāo)的計(jì)劃和實(shí)現(xiàn)7支持7.1資源7.2能力7. 3意識(shí)7. 4溝通7. 5文檔要求8實(shí)施8. 1運(yùn)行計(jì)劃和控制& 2信息安全風(fēng)險(xiǎn)評(píng)

50、估& 3信息安全風(fēng)險(xiǎn)處置9績(jī)效評(píng)價(jià)9. 1監(jiān)視、測(cè)量、分析和評(píng)價(jià)9.2內(nèi)部審核9.3管理評(píng)審10改進(jìn)10. 1不符合項(xiàng)和糾正措施10.2持續(xù)改進(jìn)深圳市X XXXX科技有限公司文件編號(hào)ISMS-A-01信息安全管理手冊(cè)文件版本VI. 0密級(jí)秘密A. 5信息安全策略A. 5. 1信息安全管理指導(dǎo) A.6信息安全組織A. 6.1內(nèi)部組織 A. 6. 2移動(dòng)設(shè)備和遠(yuǎn)程辦公 A. 7人力資源安全A. 7. 1任用前 A. 7.2任用中 A. 7.3任用終止和變更 A. 8資產(chǎn)管理A. 8. 1資產(chǎn)的責(zé)任 A. & 2信息分類 A. 8.3介質(zhì)處理 A. 9訪問控制A. 9.1訪問控制的業(yè)務(wù)需求 A. 9

51、.2用戶訪問管理 A. 9. 3用戶責(zé)任 A. 9. 4系統(tǒng)和應(yīng)用訪問控制 A. 10加密技術(shù)A. 10. 1加密控制 A. 11物理和環(huán)境安全A. 11. 1安全區(qū)域 A. 11.2設(shè)備安全 A. 12操作安全A. 12.1操作程序及職責(zé) A. 12. 2防范惡意軟件 A. 12. 3備份 A. 12.4日志記錄和監(jiān)控 A. 12. 5操作軟件的控制 A. 12. 6技術(shù)脆弱性管理 A. 12. 7信息系統(tǒng)審計(jì)的考慮因素 A. 13通信安全A. 13. 1網(wǎng)絡(luò)安全管理 A. 13. 2信息傳輸 A. 14系統(tǒng)的獲取、開發(fā)及維護(hù)深圳市XXXXX科技有限公司文件編號(hào)ISMS-A-01信息安全管理

52、手冊(cè)文件版本VI. 0密級(jí)秘密A. 14. 1信息系統(tǒng)安全需求A. 14. 2開發(fā)和支持過(guò)程的安全A. 14. 3測(cè)試數(shù)據(jù)A. 15供應(yīng)商關(guān)系A(chǔ). 15. 1供應(yīng)商關(guān)系的信息安全A. 15. 2供應(yīng)商服務(wù)交付管理A. 16信息安全事件管理A. 16. 1信息安全事件的管理和改進(jìn)A. 16. 1. 1職責(zé)和程序A. 16. 1. 2報(bào)告信息安全事態(tài)A. 16. 1. 3報(bào)告信息安全弱點(diǎn)A. 16. 1. 4評(píng)估和決策信息安全事件A. 16. 1. 5響應(yīng)信息安全事故A. 16. 1. 6從信息安全事故中學(xué)習(xí)A. 16. 1.7收集證據(jù)A. 17業(yè)務(wù)連續(xù)性管理中的信息安全A. 17. 1信息安全的

53、連續(xù)性A. 17. 2冗余A. 18符合性A. 18. 1法律和合同規(guī)定的符合性A. 1& 2信息安全評(píng)審*注：負(fù)責(zé)部門以“”表示；相關(guān)部門以“”表示。深圳市XXXXX科技有限公司文件編號(hào)ISMS-A-01信息安全管理手冊(cè)文件版本VI. 0密級(jí)秘密附錄4-信息安全小組成員為確保本公司信息安全管理體系的有效運(yùn)行，認(rèn)真貫徹信息安全管理方針，特授權(quán) 以下人員組成信息安全管理小組。成員名單如下：組長(zhǎng)：* （總經(jīng)理）執(zhí)行組長(zhǎng)：*成 員：綜合管理部：*、銷售部：*、技術(shù)部：*。附錄5-服務(wù)器拓?fù)鋱D服務(wù)器拓?fù)鋱D深圳市XXXXX科技有限公司文件編號(hào)ISMS-A-01信息安全管理手冊(cè)文件版本VI. 0密級(jí)秘密附

54、錄6-信息安全職責(zé)說(shuō)明一、總經(jīng)理1、負(fù)責(zé)主持制定本公司的信息安全體系方針和目標(biāo)，確保員工貫徹執(zhí)行；2、制定公司戰(zhàn)略，進(jìn)行經(jīng)營(yíng)、營(yíng)銷、項(xiàng)目管理規(guī)劃，承擔(dān)公司的全面經(jīng)營(yíng)管理工作， 包括人事、行政、財(cái)務(wù)、采購(gòu)、管理等。3、確保實(shí)現(xiàn)方針和目標(biāo)的相關(guān)資源；4、任命管理者代表，并授予其相應(yīng)的職責(zé)和權(quán)限；5、負(fù)責(zé)對(duì)本公司組織結(jié)構(gòu)的設(shè)置，規(guī)定各級(jí)人員的職責(zé)、權(quán)限，規(guī)定和各部門的職能 及其在組織內(nèi)的相互關(guān)系，具體崗位職責(zé)描述，參見相關(guān)職位說(shuō)明書；6、組織制定項(xiàng)目整體施工組織計(jì)劃；根據(jù)項(xiàng)目整體計(jì)劃，審定年度、季、月進(jìn)度計(jì)劃， 并貫徹執(zhí)行；對(duì)直接下屬進(jìn)行績(jī)效考核，對(duì)其進(jìn)行提拔、獎(jiǎng)勵(lì)、懲處。7、嚴(yán)格執(zhí)行公司財(cái)務(wù)制度，

55、根據(jù)授權(quán)審批公司各項(xiàng)開支，但受董事長(zhǎng)監(jiān)督，各項(xiàng)開支 在審批后，需報(bào)送董事長(zhǎng)核準(zhǔn)簽名確認(rèn)；制定公司的資金計(jì)劃，資金運(yùn)作管理，并按 授權(quán)進(jìn)行費(fèi)用與合同審批二、管理者代表1、負(fù)責(zé)體系文件控制，審核信息安全手冊(cè)、方針、目標(biāo)；指導(dǎo)各部門負(fù)責(zé)人對(duì)相關(guān)文 件之使用、保管、收集、整理與歸檔。負(fù)責(zé)對(duì)現(xiàn)有體系文件定期評(píng)審。2、審查各部門編制信息安全記錄在案格式，并審批；指導(dǎo)各部門對(duì)信心安全記錄之整 理和保管。3、向企業(yè)負(fù)責(zé)人報(bào)告信息安全體系運(yùn)行情況，提出改進(jìn)建議；制定管理評(píng)審計(jì)劃、收 集并提供管理評(píng)審所需之資料，編寫管理評(píng)4、建立文件化的程序，確保認(rèn)證標(biāo)志的妥善保管和使用；5、建立信息安全體系，符合法律法規(guī)及其它

56、要求，與外部各方聯(lián)絡(luò)。三、信息安全管理小組1、直接對(duì)信息安全管理代表負(fù)責(zé)，承擔(dān)信息安全管理具體操作以及決策2、負(fù)責(zé)管理體系建立、實(shí)施和日常運(yùn)行，起草信息安全政策，確定信息安全管理標(biāo)準(zhǔn)，深圳市XXXXX科技有限公司文件編號(hào)ISMS-A-01信息安全管理手冊(cè)文件版本VI. 0密級(jí)秘密3、負(fù)責(zé)對(duì)ISMS體系進(jìn)行審核，以有效性和健全性提出內(nèi)審建議；4、負(fù)責(zé)匯報(bào)審計(jì)結(jié)果并監(jiān)督整改、改版工作，落實(shí)糾正措施和預(yù)防措施；5、負(fù)責(zé)調(diào)查安全事件，并維護(hù)安全事件的記錄報(bào)告6、關(guān)注公司所有法律法規(guī),行業(yè)主管部門頒發(fā)規(guī)章制度，審核ISMS體系文檔的合規(guī)性。四、銷售部1、實(shí)施信息安全管理體系有關(guān)的程序文件，針對(duì)不合格項(xiàng)判

57、定實(shí)施糾正預(yù)防措施；2、負(fù)責(zé)公司的項(xiàng)目銷售工作，完成公司的項(xiàng)目銷售目標(biāo)；3、圍繞公司下達(dá)的項(xiàng)目銷售目標(biāo)制定策略計(jì)劃；d）負(fù)責(zé)維護(hù)已有項(xiàng)目用戶的客戶關(guān)系;4、把握重點(diǎn)客戶關(guān)系，參與銷售談判；f）負(fù)責(zé)與公司業(yè)務(wù)相關(guān)的市場(chǎng)開拓；5、組織公司技術(shù)部門與用戶進(jìn)行相關(guān)技術(shù)交流；6、發(fā)起合同評(píng)審，并根據(jù)評(píng)審結(jié)果，修訂銷售合同；7、做好項(xiàng)目前期交流、項(xiàng)目合同簽訂、驗(yàn)收收款的協(xié)調(diào)工作；8、配合公司收集相關(guān)銷售信息，并反饋給主管領(lǐng)導(dǎo)；9、完成公司主管交辦的其他工作五、技術(shù)部負(fù)責(zé)按照的指派，為客戶提供軟件開發(fā)、軟硬件運(yùn)維服務(wù)；負(fù)責(zé)按計(jì)劃定期巡檢；負(fù)責(zé)公司內(nèi)部IT網(wǎng)絡(luò)環(huán)境、服務(wù)器、交換機(jī)的正常運(yùn)轉(zhuǎn)；負(fù)責(zé)如實(shí)向顧客介紹

58、產(chǎn)品、 投標(biāo)、與顧客洽談合同和簽訂合同，確保所簽合同規(guī)范、有效和可行；負(fù)責(zé)常規(guī)合同評(píng)審，組織有特殊要求合同的評(píng)審。參與組織對(duì)顧客技術(shù)培訓(xùn)。保持公司信息安全體系文件相關(guān)要素在本部門的貫徹實(shí)施，并管理相關(guān)記錄；六、綜合管理部1、根據(jù)公司發(fā)展戰(zhàn)略制定用人規(guī)劃、年度招聘計(jì)劃、培訓(xùn)需求、績(jī)效考核流程及體系、 薪酬發(fā)展體系、推廣企業(yè)文化、解決投訴與沖突、組織各類員工活動(dòng)。深圳市X XXXX科技有限公司文件編號(hào)ISMS-A-01信息安全管理手冊(cè)文件版本VI. 0密級(jí)秘密2、根據(jù)公司發(fā)展需要制定日常辦公管理等行政制度、申報(bào)公司經(jīng)營(yíng)相關(guān)資質(zhì)、證件、 籌備辦公會(huì)議及形成會(huì)議紀(jì)要、確保公司IT系統(tǒng)的有效實(shí)施和運(yùn)轉(zhuǎn)（

59、監(jiān)控系統(tǒng)，門禁 系統(tǒng)，廣播系統(tǒng)、0A系統(tǒng)、郵箱系統(tǒng)、財(cái)務(wù)系統(tǒng)、服務(wù)器、電話交換機(jī)、網(wǎng)絡(luò)寬帶等）。3、培訓(xùn)發(fā)展管理：公司年度培訓(xùn)計(jì)劃的制訂與實(shí)施以及制訂公司年度教育培訓(xùn)經(jīng)費(fèi)的 預(yù)算并進(jìn)行管理和使用。4、負(fù)責(zé)體系文件的發(fā)放、回收管理。5、負(fù)責(zé)相關(guān)法律、法規(guī)的識(shí)別與收集、合規(guī)性評(píng)價(jià)、文件控制及記錄控制。6、負(fù)責(zé)網(wǎng)絡(luò)的訪問管理、機(jī)房設(shè)備管理。6、信息安全事件的調(diào)查及協(xié)助處理。7、對(duì)新供應(yīng)商的開發(fā)、選擇及監(jiān)督；8、對(duì)供應(yīng)商資質(zhì)進(jìn)行審核及維護(hù)。9、制定供應(yīng)商現(xiàn)場(chǎng)評(píng)審表，并參與供應(yīng)商現(xiàn)場(chǎng)評(píng)審。10、負(fù)責(zé)對(duì)供應(yīng)商的交貨及時(shí)率、配合度交貨進(jìn)行評(píng)估；對(duì)外協(xié)產(chǎn)品品質(zhì)問題的處理及 改善措施進(jìn)行監(jiān)督，并提供月度的相關(guān)考

60、核數(shù)據(jù)，參與供應(yīng)商績(jī)效評(píng)審。11、負(fù)責(zé)公司合同條款的審核。12、信息安全事件的調(diào)查及協(xié)助處理。程序文件清單序號(hào)文件名1信息安全管理手冊(cè)2信息安全-風(fēng)險(xiǎn)管理程序3信息安全-文件控制程序4信息安全-記錄控制程序5信息安全-糾正措施控制程序6信息安全-預(yù)防措施控制程序7信息安全-內(nèi)部審核管理程序8信息安全-管理評(píng)審程序9信息安全-信息分類管理程序10信息安全-商業(yè)秘密管理程序11信息安全-法律法規(guī)管理程序12信息安全-知識(shí)產(chǎn)權(quán)管理程序13信息安全-重要信息備份管理程序14信息安全-業(yè)務(wù)持續(xù)性管理程序15信息安全-溝通協(xié)調(diào)管理程序16信息安全-事件管理程序17信息安全-獎(jiǎng)懲管理程序18信息安全-員工聘