版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
編號(hào):ISMS-A-01版本號(hào):VI.0編制: 日期:202X-11-01審核: 日期:202X-11-01批準(zhǔn): 日期:202X-11-01受控狀態(tài)受控文件修訂記錄版本編寫人審核人批準(zhǔn)人修訂日期修訂說明目錄TOC\o"1-5"\h\z1概述 11.1頒布令 11.2任命書 21.3手冊(cè)說明 32規(guī)范性引用文件 53術(shù)語(yǔ)和定義 54組織環(huán)境 54.1理解組織及其環(huán)境 52理解相關(guān)方的需求和期望 54.3確定ISMS的范圍 54信息安全管理體系 65領(lǐng)導(dǎo)作用 65.1領(lǐng)導(dǎo)作用和承諾 65.2ISMS管理方針 73組織架構(gòu)、職責(zé)和權(quán)限 76規(guī)劃 71風(fēng)險(xiǎn)和機(jī)遇的應(yīng)對(duì)措施 72信息安全目標(biāo)及其實(shí)現(xiàn)規(guī)劃 87支持 87.1資源 82能力 93意識(shí) 107.4溝通 105文件記錄信息 118運(yùn)行 138.1運(yùn)行的策劃和控制 132信息安全風(fēng)險(xiǎn)評(píng)估 143信息安全風(fēng)險(xiǎn)處置 149績(jī)效評(píng)價(jià) 159.1監(jiān)視、測(cè)量、分析和評(píng)價(jià) 152內(nèi)部審核 153管理評(píng)審 15\o"CurrentDocument"10改進(jìn) 171不符合和糾正措施 172持續(xù)改進(jìn) 1710.3糾正措施 1810.4預(yù)防措施 19附錄1一組織簡(jiǎn)介 20附錄2-組織架構(gòu)圖 21附錄4-信息安全小組成員 25附錄5-服務(wù)器拓?fù)鋱D 26附錄6-信息安仝職責(zé)說明 271概述1.1頒布令為提高我公司的信息安全管理水平,保障公司業(yè)務(wù)活動(dòng)的正常進(jìn)行,防止由于信息安全事件(信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密)導(dǎo)致的公司和客戶的損失,我公司開展貫徹TSO/IEC27001:2022《信息安全管理體系要求》標(biāo)準(zhǔn)工作,建立、實(shí)施和持續(xù)改進(jìn)文件化的信息安全管理體系,制訂了XXX有限公司《信息安全管理手冊(cè)》?!缎畔踩芾硎謨?cè)》經(jīng)評(píng)審后,現(xiàn)予以批準(zhǔn)發(fā)布?!缎畔踩芾硎謨?cè)》的發(fā)布,標(biāo)志著我公司從現(xiàn)在起,必須按照信息安全管理體系標(biāo)準(zhǔn)的要求和公司《信息安全管理手冊(cè)》所描述的規(guī)定,不斷增強(qiáng)持續(xù)滿足顧客要求、相關(guān)方要求和法律法規(guī)要求的能力,全心全意為顧客和相關(guān)方提供優(yōu)質(zhì)、安全的自助服務(wù)終端軟硬件的研發(fā)及運(yùn)行維護(hù)服務(wù),以確立公司在社會(huì)上的良好信譽(yù)。《信息安全管理手冊(cè)》是公司規(guī)范內(nèi)部管理的指導(dǎo)性文件,也是全體員工在向顧客提供服務(wù)過程必須遵循的行動(dòng)準(zhǔn)則?!缎畔踩芾硎謨?cè)》一經(jīng)發(fā)布,就是強(qiáng)制性文件,全體員工必須認(rèn)真學(xué)習(xí)、切實(shí)執(zhí)行。XXX有限公司總經(jīng)理:XXX202X年11月01日1.1.2任命書1.1.2任命書任命書為貫徹執(zhí)行ISO/IEC27001:2022《信息安全管理體系要求》,加強(qiáng)對(duì)信息管理體系運(yùn)行的領(lǐng)導(dǎo),特任命直迪為公司管理者代表。授權(quán)信息安全管理者代表有如下職資和權(quán)限:1) 確保按照標(biāo)準(zhǔn)的要求,進(jìn)行資產(chǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估,全面建立、實(shí)施和保持信息安全管理體系;2) 負(fù)責(zé)與信息安全管理體系有關(guān)的協(xié)調(diào)和聯(lián)絡(luò)工作;3) 確保在整個(gè)組織內(nèi)提高信息安全風(fēng)險(xiǎn)的意識(shí);4) 審核風(fēng)險(xiǎn)評(píng)估報(bào)告、風(fēng)險(xiǎn)處理計(jì)劃;5) 批準(zhǔn)發(fā)布程序文件;6) 主持信息安全管理體系內(nèi)部審核,任命審核組長(zhǎng),批準(zhǔn)內(nèi)審工作報(bào)告;7) 向最高管理者報(bào)告信息安全管理體系的業(yè)績(jī)和改進(jìn)要求,包括信息安全管理體系運(yùn)行情況、內(nèi)外部審核情況。本任命書自任命日起生效執(zhí)行。XXX有限公司總經(jīng)理:XXX202X年11月01日1.3手冊(cè)說明1.3.1總則《信息安全管理手冊(cè)》的編制,是用以證明己建立并實(shí)施了一個(gè)完整的文件化的信息安仝管理體系。通過對(duì)各項(xiàng)業(yè)務(wù)進(jìn)行風(fēng)險(xiǎn)評(píng)估,識(shí)別岀公司的關(guān)鍵資產(chǎn),并根據(jù)資產(chǎn)的不同級(jí)別風(fēng)險(xiǎn)采取與之相對(duì)應(yīng)的處理措施?!缎畔踩芾硎謨?cè)》為審核信息安全管理體系提供了文件依據(jù)?!缎畔踩芾硎謨?cè)》證明公司己經(jīng)按照ISO/IEC27001:2022標(biāo)準(zhǔn)的要求建立并實(shí)際運(yùn)行一套信息安全管理體系?!缎畔踩芾硎謨?cè)》的編制及頒布可以對(duì)公司信息安全管理各項(xiàng)活動(dòng)進(jìn)行控制,指導(dǎo)公司開展各項(xiàng)業(yè)務(wù)活動(dòng),并通過不斷的持續(xù)改進(jìn)來(lái)完善信息安全管理體系。1.3.2信息安全管理手冊(cè)的批準(zhǔn)管理者代表負(fù)責(zé)組織信息安全小組編制《信息安全管理手冊(cè)》及其相關(guān)規(guī)章制度,總經(jīng)理負(fù)責(zé)批準(zhǔn)。1.3.3信息安全管理手冊(cè)的發(fā)放、作廢與銷毀(1) 綜合管理部負(fù)責(zé)按《文件控制程序》的要求,進(jìn)行《信息安全管理手冊(cè)》的登記、發(fā)放、回收、歸檔、作廢與銷毀工作。(2) 各相關(guān)部門按照受控文件的管理要求對(duì)收到的《信息安全管理手冊(cè)》進(jìn)行使用和保管。(3) 綜合管理部按照規(guī)定發(fā)放修改后的《信息安全管理手冊(cè)》,并收回失效的文件做出標(biāo)識(shí)統(tǒng)一處理,確保有效文件的唯一性。(4) 綜合管理部保留《信息安全管理手冊(cè)》修改內(nèi)容的記錄。1.3.4信息安全管理手冊(cè)的修改《信息安全管理手冊(cè)》如根據(jù)實(shí)際情況發(fā)生變化時(shí),應(yīng)用信息安全體系相關(guān)部門提出申請(qǐng),經(jīng)綜合管理部討論、商議,信息安全代表審核、總經(jīng)理批準(zhǔn)后方可進(jìn)行修改。為保證修改后的手冊(cè)能夠及時(shí)發(fā)放給相關(guān)人員,綜合管理部對(duì)手冊(cè)實(shí)施修改后,應(yīng)及時(shí)發(fā)布修改信息,通知相關(guān)人員?!缎畔踩芾硎謨?cè)》的修改分為兩種:一是少量的文字性修改。此種修改不改變手冊(cè)的版本號(hào),只需在本手冊(cè)的“文檔修改記錄”如實(shí)記錄即可,不需保存手冊(cè)修改前的文檔原件。二是大范圍的信息安全管理體系版本升級(jí),即改版。在本手冊(cè)經(jīng)過多次修改、信息安全管理體系建立依據(jù)的標(biāo)準(zhǔn)發(fā)生變化、公司的業(yè)務(wù)范圍有較大調(diào)整的情況下,需要對(duì)本手冊(cè)進(jìn)行改版。本手冊(cè)的改版應(yīng)該對(duì)改版前的《信息安全管理手冊(cè)》原件進(jìn)行保存°在出現(xiàn)下列情況時(shí),《信息安全管理手冊(cè)》可以進(jìn)行修改:>信息安全管理體系運(yùn)行過程中發(fā)現(xiàn)問題或信息安全管理體系需進(jìn)一步改進(jìn)>內(nèi)部信息安全提出新的需求>組織機(jī)構(gòu)和職能發(fā)生變化>經(jīng)營(yíng)環(huán)境和產(chǎn)品結(jié)構(gòu)有調(diào)整>發(fā)現(xiàn)本手冊(cè)中存在差錯(cuò)或不明確之處>引用的法規(guī)或體系標(biāo)準(zhǔn)有修改>體系審核或管理評(píng)審提出改進(jìn)要求>本手冊(cè)的更改控制按《文件管理程序》執(zhí)行1.3.5信息安全管理手冊(cè)的換版《信息安全管理手冊(cè)》進(jìn)行換版,換版應(yīng)在管理評(píng)審時(shí)形成決議,重新編制、審批工作。>當(dāng)依據(jù)的TSO/IEC27001:2022信息安全管理體系有重大變化時(shí),如組織結(jié)構(gòu)、內(nèi)外部環(huán)境、開發(fā)技術(shù)、信息安全風(fēng)險(xiǎn)等發(fā)生重大改變的。>相應(yīng)的法律法規(guī)發(fā)生重大變化時(shí),如國(guó)家法律法規(guī)、政策、標(biāo)準(zhǔn)等發(fā)生改變的。>《信息安全管理手冊(cè)》發(fā)生需修改部分超過1/3時(shí)。>《信息安全管理手冊(cè)》執(zhí)行己滿三年時(shí)。1.3.6信息安全管理手冊(cè)的控制(1)《信息安全管理手冊(cè)》標(biāo)識(shí)分受控文件和非受控文件:>受控文件發(fā)放范圍為公司領(lǐng)導(dǎo)、各相關(guān)部分的負(fù)責(zé)人、審計(jì)部或者內(nèi)審員。>非受控文件印制成單行本,作為投標(biāo)書的資料、銷售目的等發(fā)給受控范圍以外的其他相關(guān)人員。(2)《信息安全管理手冊(cè)》分為書面文件和電子文件兩種。2規(guī)范性引用文件GB/T22080-2016信息技術(shù)安全技術(shù)信息安全管理體系要求;GB/T22081-2016信息安全管理實(shí)用規(guī)則;與公司運(yùn)營(yíng)相關(guān)的法律法規(guī)和技術(shù)標(biāo)準(zhǔn)。3術(shù)語(yǔ)和定義?本手冊(cè)釆用ISO/IEC27001:2022標(biāo)準(zhǔn)的術(shù)語(yǔ)和定義,并根據(jù)需要在相應(yīng)章節(jié)所描述的要求中,増補(bǔ)了所涉及的術(shù)語(yǔ)和定義;?本手冊(cè)岀現(xiàn)的術(shù)語(yǔ)“產(chǎn)品”指的是公司提供的產(chǎn)品和服務(wù);?ISMS-IntegratedManagementSystem的縮寫,代表“信息安全管理體系”;4組織環(huán)境4.1理解組織及其環(huán)境公司定期識(shí)別和信息安全管理冃標(biāo)相關(guān),并影響實(shí)現(xiàn)信息安全管理預(yù)期結(jié)果的內(nèi)外部問題。4.2理解相關(guān)方的需求和期望本公司確定:a) 與ISMS有關(guān)的相關(guān)方;b) 這些相關(guān)方與信息安全有關(guān)的要求。4.3確定ISMS的范圍應(yīng)用范圍:本《信息安全管理手冊(cè)》規(guī)定了〈XXX有限公司〉信息安全管理體系涉及的開發(fā)和維護(hù)信息安全管理、職責(zé)管理、內(nèi)部審核、管理評(píng)審和信息安全管理體系持續(xù)改進(jìn)等方面內(nèi)容。產(chǎn)品和服務(wù)范圍:與計(jì)算機(jī)應(yīng)用軟件的設(shè)計(jì)、開發(fā)及售后服務(wù)相關(guān)的信息安全管理活動(dòng)區(qū)域范圍:廣東省深圳市八卦嶺八卦路31號(hào)眾鑫科技大廈1310室
組織機(jī)構(gòu)范圍:管理層、技術(shù)部、銷售部、綜合管理部4.4信息安全管理體系4.1總則為了建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、持續(xù)改進(jìn)信息管理管理體系,提高全員的信息安仝意識(shí),對(duì)信息安仝風(fēng)險(xiǎn)進(jìn)行有效管理,使全公司貫徹落實(shí)安仝方針和各項(xiàng)安全措施,保護(hù)用戶信息和資料,保證的信息資產(chǎn)免遭破壞,降低可能影響到信息安全的各種風(fēng)險(xiǎn),防止安全事故的發(fā)生。同時(shí)確保全體員工理解并遵守執(zhí)行信息安全管理體系文件,持續(xù)改進(jìn)信息安全管理體系的有效性,樹立公司良好的服務(wù)形象,增強(qiáng)用戶對(duì)公司的技術(shù)和管理水平的信心,保證公司業(yè)務(wù)可持續(xù)開展,特制定本《信息安全管理手冊(cè)》。4.2ISMS體系過程方法相關(guān)方/第三方信曇全管理需求和期望實(shí)施并運(yùn)行相關(guān)方/第三方監(jiān)控并評(píng)審信白晏全管理相關(guān)方/第三方信曇全管理需求和期望實(shí)施并運(yùn)行相關(guān)方/第三方監(jiān)控并評(píng)審信白晏全管理5領(lǐng)導(dǎo)作用5.1領(lǐng)導(dǎo)作用和承諾?總經(jīng)理領(lǐng)導(dǎo)信息安全工作,并確定相應(yīng)的職說和作用。?制定信息安全方針和信息安全目標(biāo),建立和完善公司的信息安全管理體系。?向公司傳達(dá)滿足信息安全目標(biāo)以及信息安全方針,以及法律責(zé)任和持續(xù)改進(jìn)的重要性。?提供足夠的資源建立、實(shí)施、運(yùn)行、監(jiān)控、評(píng)審、為何和改進(jìn)ISMS;?決定可接受風(fēng)險(xiǎn)的標(biāo)準(zhǔn)和可接受風(fēng)險(xiǎn)的等級(jí);?確保按照標(biāo)準(zhǔn)嚴(yán)格執(zhí)行ISMS內(nèi)部審核并進(jìn)行管理評(píng)審。5.2ISMS管理方針一、 信息安全管理方針為了滿足適用法律法規(guī)及相關(guān)方要求,維持ISMS范圍內(nèi)的業(yè)務(wù)正常進(jìn)行,實(shí)現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展,本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)確定了信息安全管理體系方針:滿足客戶要求,保障信息安全,遵守法律法規(guī),持續(xù)改進(jìn)管理。二、 信息安全管理目標(biāo)針對(duì)客戶信息安全事件的投訴每年不超過1次重要信息設(shè)備丟失每年不超過1起機(jī)密和絕密信息泄漏事件每年不超過1次三、 信息安全管理適用范圍本信息安全管理方針適用于公司全體員工、業(yè)務(wù)合作伙伴、外聘人員及第三方的工作人員等所有與信息資產(chǎn)相關(guān)的部門與人員。3組織架構(gòu)、職責(zé)和權(quán)限3.11SMS管理體系組織架構(gòu)圖附錄2-組織架構(gòu)圖5.3.21SMS管理職能分配見附錄3-職能分配表5.3.3職責(zé)和權(quán)限見附錄8-信息安全職責(zé)說明6規(guī)劃6.1風(fēng)險(xiǎn)和機(jī)遇的應(yīng)對(duì)措施信息安全小組組織有關(guān)部門根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果,形成《風(fēng)險(xiǎn)處理計(jì)劃》,該計(jì)劃明確了風(fēng)險(xiǎn)處理責(zé)任部門、負(fù)責(zé)人、處理方法及完成時(shí)間。對(duì)于信息安全風(fēng)險(xiǎn)和給予,應(yīng)考慮控制措施與費(fèi)用的平衡原則,選用以下適當(dāng)?shù)拇胧?控制風(fēng)險(xiǎn),釆用適當(dāng)?shù)膬?nèi)部控制措施。?接受風(fēng)險(xiǎn)(不可能將所有風(fēng)險(xiǎn)降低為零);?避免風(fēng)險(xiǎn)(如物理隔離):?轉(zhuǎn)移風(fēng)險(xiǎn)(如將風(fēng)險(xiǎn)轉(zhuǎn)移給保險(xiǎn)者、供方、分包商)。6.2信息安全目標(biāo)及其實(shí)現(xiàn)規(guī)劃2.1公司在相關(guān)職能、層次和信息安仝管理體系所需的過程建立信息安全目標(biāo)。信息安全目標(biāo)應(yīng):a) 與信息安全方針保持一致b) 可測(cè)量;c) 考慮適用的要求,以及風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置的結(jié)果;d) 得到溝通;e) 適時(shí)更新。組織應(yīng)保持有關(guān)信息安全目標(biāo)的文件化信息。2.2在策劃信息安全目標(biāo)的實(shí)現(xiàn)時(shí),公司確定:a) 釆取的措施;b) 所需的資源(見7.1):c) 責(zé)任人;d) 完成的時(shí)間表;e) 如何評(píng)價(jià)結(jié)果。7支持7.1資源1.1總則總經(jīng)理以及部門經(jīng)理應(yīng)確定、提供為建立、實(shí)施、保持和改進(jìn)ISMS管理體系所需的資源,應(yīng)考慮現(xiàn)有的資源、能力、局限;1.2基礎(chǔ)設(shè)施組織應(yīng)識(shí)別、提供并保持實(shí)現(xiàn)產(chǎn)品/服務(wù)符合性所需的基礎(chǔ)設(shè)施,這些設(shè)施包括:?工作場(chǎng)所相應(yīng)的設(shè)施(辦公電腦、服務(wù)器、軟硬件、機(jī)房等);?服務(wù)過程設(shè)備,如各種通訊設(shè)備、監(jiān)控設(shè)備和客戶服務(wù)管理系統(tǒng)、業(yè)務(wù)系統(tǒng)(軟件)等;?維修保養(yǎng)和保障設(shè)施(各種輔助設(shè)施、安全防護(hù)設(shè)施等);?支持性服務(wù),如運(yùn)輸、通訊信息系統(tǒng)等。7.1.3過程環(huán)境公司各部門應(yīng)識(shí)別提供產(chǎn)品/服務(wù)所需環(huán)境中人和物的因素,并對(duì)其加以有效的控制,保證提供產(chǎn)品/服務(wù)過程中的人員、財(cái)產(chǎn)安全。過程環(huán)境可包括物理的、社會(huì)的、心理的和環(huán)境的因素°7.1.4監(jiān)視和測(cè)量設(shè)備對(duì)照國(guó)際或國(guó)家的測(cè)量標(biāo)準(zhǔn),在規(guī)定的時(shí)間間隔或在使用前進(jìn)行校準(zhǔn)和檢定,如果沒有上述標(biāo)準(zhǔn)的,應(yīng)記錄校準(zhǔn)或檢定(驗(yàn)證)的依據(jù),以確保下列設(shè)備處于正常狀態(tài):?開發(fā)用途的電腦設(shè)備;?測(cè)試用途的電腦設(shè)備;?開發(fā)用途的軟件;?測(cè)試用途的軟件;?集成項(xiàng)目使用的設(shè)備。處于正常狀態(tài)的設(shè)備應(yīng)具備下列特征:?設(shè)備的型號(hào)能夠符合預(yù)期的使用目的;?無(wú)論設(shè)備處于待用狀態(tài)還是處于使用狀態(tài),設(shè)備均是正常的;?設(shè)備得到周期性的養(yǎng)護(hù)和校正,并標(biāo)識(shí)其校準(zhǔn)狀態(tài);?必要時(shí),各部門使用設(shè)備進(jìn)行測(cè)量前,應(yīng)再次校準(zhǔn)設(shè)備;?測(cè)試軟件應(yīng)確認(rèn)其具有滿足預(yù)期用途的能力,初次使用前應(yīng)進(jìn)行確認(rèn),必要時(shí)可以進(jìn)行重新確認(rèn)。當(dāng)發(fā)現(xiàn)軟件或設(shè)備不符合要求時(shí),應(yīng)對(duì)以往的測(cè)量結(jié)果進(jìn)行有效性評(píng)價(jià)和記錄,并對(duì)受影響的產(chǎn)品采取適當(dāng)?shù)拇胧P?zhǔn)和檢定結(jié)果的記錄應(yīng)予保存。7.1.5知識(shí)公司應(yīng)確保ISMS管理體系運(yùn)行過程中,提供產(chǎn)品/服務(wù)的符合性和顧客滿意所需的知識(shí)。這些知識(shí)應(yīng)得到保持、保護(hù)、需要時(shí)便于獲取。在應(yīng)對(duì)變化的需求和趨勢(shì)時(shí),組織應(yīng)考慮現(xiàn)有的知識(shí)基礎(chǔ),確定如何獲取必需的更多知識(shí)。7.2能力公司應(yīng)根據(jù)崗位所需的教育、培訓(xùn)、技能和經(jīng)驗(yàn)要求,安排人員,以確保影響產(chǎn)品/服務(wù)質(zhì)量和信息安全的人員素質(zhì)滿足崗位的需要,能勝任其工作。對(duì)于人員的配置,公司人事行政部應(yīng)定崗定編并制定完善的崗位說明文件。公司在《員工培訓(xùn)管理程序》中對(duì)在職培訓(xùn)、人員的意識(shí)的灌輸和工作能力的增長(zhǎng)作了要求,以便:?確定從事影響產(chǎn)品/服務(wù)質(zhì)量和信息安全的人員(包含營(yíng)銷、服務(wù)提供、質(zhì)量檢查、IT開發(fā)、顧客溝通、顧客信息反饋等)所必須的工作能力及培訓(xùn)需求;?提供培訓(xùn)或采取其他措施,以滿足所確定的需求并確保達(dá)成必須的能力;?對(duì)培訓(xùn)的有效性進(jìn)行評(píng)價(jià);?確保員工能意識(shí)到他們工作的相關(guān)性和重要性,以及他們?nèi)绾螢檫_(dá)到ISMS目標(biāo)做岀努力;?保存有關(guān)教育、經(jīng)驗(yàn)、培訓(xùn)、資格的適當(dāng)?shù)挠涗洝?.3意識(shí)公司應(yīng)確保工作的人員意識(shí)到:?ISMS管理方針:?相關(guān)的信息安全目標(biāo);?他們對(duì)信息安全管理體系有效性的貢獻(xiàn),包括改進(jìn)績(jī)效的益處;?偏離信息安全管理體系要求的后果。7.4溝通管理者代表為信息安全溝通交流主管部門,負(fù)責(zé)內(nèi)、外部信息的交流與管理,及時(shí)將信息進(jìn)行處理傳遞給有關(guān)部門。各部門負(fù)責(zé)涉及自身職責(zé)范圍內(nèi)的信息安全信息的溝通交流工作,收集與外部相關(guān)方的信息資料,并保存回復(fù)的證據(jù)。4.1內(nèi)部信息?信息安全方針、目標(biāo)及實(shí)施方案-資產(chǎn)識(shí)別與風(fēng)險(xiǎn)評(píng)估?職責(zé)與權(quán)限的傳達(dá)與落實(shí)-培訓(xùn)教育的實(shí)施與效果-監(jiān)控與測(cè)量結(jié)果的反饋及法律、法規(guī)的符合情況-不符合的糾正和預(yù)防措施的執(zhí)行情況-緊急狀態(tài)下的信息等
7.4.2外部信息?信息安全方針通報(bào)相關(guān)方,對(duì)外宣傳;?法律、法規(guī)的獲取與監(jiān)測(cè)及執(zhí)法部門的聯(lián)絡(luò);-監(jiān)控、檢測(cè)結(jié)果的外部聯(lián)絡(luò)和接受、答復(fù);-認(rèn)證與監(jiān)督審核:7.4.3管理者代表應(yīng)與相關(guān)方就影響他們的信息安全的變更進(jìn)行協(xié)商。公司制定《信息安全溝通協(xié)調(diào)管理程序》規(guī)范信息安全溝通過程,必要時(shí),保留信息交流相關(guān)證據(jù)。7.5文件記錄信息7.5.1文件體系結(jié)構(gòu)信息安全管理體系的文件由上而下分為四個(gè)層次,如下圖所示:管理手冊(cè)程序文件作業(yè)指導(dǎo),規(guī)范
規(guī)章制度,計(jì)劃管理手冊(cè)程序文件作業(yè)指導(dǎo),規(guī)范
規(guī)章制度,計(jì)劃表單記錄信息安全管理體系文件包括:(1) 管理手冊(cè)(信息安全手冊(cè)、信息安全策略):規(guī)定信息安全管理體系的文件,是公司內(nèi)部的信息安全法規(guī),闡述了信息安全管理體系的方針、目標(biāo)、范圍、組織結(jié)構(gòu)和職責(zé)權(quán)限,同時(shí)描述了信息安全管理體系的主體文件(程序文件),是信息安全管理體系的綱領(lǐng)性文件。(2) 程序文件:是信息安全手冊(cè)的支持性文件,規(guī)定了實(shí)施與信息安全管理體系有關(guān)的各項(xiàng)活動(dòng)的途徑和方法,是各項(xiàng)活動(dòng)得以有效實(shí)施的保障。與信息安全管理體系有關(guān)的各項(xiàng)活動(dòng)必須按照程序文件規(guī)定實(shí)施,并定期對(duì)其進(jìn)行評(píng)審,保持其有效性。(3)作業(yè)指導(dǎo)、規(guī)范規(guī)章制度、計(jì)劃等:是現(xiàn)場(chǎng)或崗位使用的詳細(xì)工作文件,是程序文件的支撐和補(bǔ)充性文件,是信息安全管理體系過程得以有效策劃、運(yùn)行、控制所需要的文件,也是信息安全活動(dòng)的基礎(chǔ)文件。(4)表單記錄:通過表單模板,對(duì)信息安全管理體系實(shí)施的一系列活動(dòng)進(jìn)行規(guī)范,形成記錄文件,用于作為管理評(píng)審、內(nèi)部審核、外部審核、持續(xù)改進(jìn)的客觀證據(jù)。信息安仝手冊(cè)、程序文件和作業(yè)指導(dǎo)、規(guī)范規(guī)章制度、表單記錄等四層文件由信息安全小組組織協(xié)調(diào)各相關(guān)部門共同完成編寫。支持文件:?《文件控制程序》7.5.2文件控制綜合管理部組織編制《文件控制程序》,確保信息安全管理體系的文件在以下幾個(gè)方面得到控制:(1)文件發(fā)布前得到批準(zhǔn),以確保文件是充分與適宜的。(2) 管理體系文件應(yīng)定期進(jìn)行評(píng)審、修訂完善,并再次批準(zhǔn)以保持文件要求與實(shí)際運(yùn)作的一致性,充分保障文件的有效性、充分性和適宜性。(3) 確保文件的更改和現(xiàn)行修訂狀態(tài)得到識(shí)別。(4) 確保在使用處可獲得適用文件的有關(guān)版本。(5) 確保文件保持清晰、易于識(shí)別。(6) 確保綜合管理部確定的體系所需的外來(lái)文件得到識(shí)別,并控制其分發(fā)。(7) 防止作廢文件的非預(yù)期使用,若因任何原因而保留作廢文件時(shí),對(duì)這些文件進(jìn)行適當(dāng)?shù)臉?biāo)識(shí)。(8) 具體執(zhí)行按《文件控制程序》的規(guī)定,對(duì)文件的審核、批準(zhǔn)、發(fā)布、變更、修改、廢止等環(huán)節(jié)進(jìn)行控制。支持文件:?《文件控制程序》7.5.3記錄控制信息安全管理體系所要求的記錄是體系符合標(biāo)準(zhǔn)要求和有效運(yùn)行的依據(jù),對(duì)記錄的標(biāo)識(shí)、儲(chǔ)存、保護(hù)、檢索、保管、廢棄等事項(xiàng)進(jìn)行了規(guī)定,各部門應(yīng)根據(jù)《記錄控制程序》的要求采取適當(dāng)?shù)姆绞酵咨票9苄畔踩涗?,具體記錄如下:<1)建立并保持記錄,以提供符合要求和信息安全管理體系有效運(yùn)行的證據(jù)。(2) 保護(hù)并控制記錄。信息安全管理體系應(yīng)考慮相關(guān)的法律要求和合同責(zé)任。記錄應(yīng)保持合法,易于識(shí)別和檢索。(3) 編制形成文件的程序,以規(guī)定記錄的標(biāo)識(shí)、儲(chǔ)存、保護(hù)、檢索、,呆存期限和處置所需的控制。(4) 記錄的要求和管理:>真實(shí)、完整、字跡清晰,可識(shí)別是何種產(chǎn)品或項(xiàng)目的何種活動(dòng)。>填寫及時(shí)、禁止未經(jīng)許可的更改。>各部門應(yīng)對(duì)本部門的記錄自行歸檔保存,保存環(huán)境應(yīng)適宜,以防止記錄損壞、變質(zhì)和丟失,保管方式便于存取和檢索。>記錄的保存期限應(yīng)根據(jù)產(chǎn)品的特點(diǎn)、法規(guī)要求及合同要求來(lái)決定,見“記錄清單”。>超過保存期的質(zhì)量記錄處理應(yīng)按審批規(guī)定進(jìn)行處置。支持文件:?《記錄控制程序》8運(yùn)行8.1運(yùn)行的策劃和控制公司規(guī)定了實(shí)現(xiàn)與計(jì)算機(jī)應(yīng)用軟件的設(shè)計(jì)、開發(fā)及售后服務(wù)所需的過程,這些過程與公司1SMS管理體系中的其他要求相一致并對(duì)其順序和相互作用予以確定。公司識(shí)別每一過程對(duì)滿足客戶服務(wù)要求的能力的影響,并確保營(yíng)運(yùn)活動(dòng)中每個(gè)質(zhì)量特性都受到有效控制。1.1ISMS運(yùn)行總要求?實(shí)現(xiàn)過程的策劃中應(yīng)明確:?質(zhì)量目標(biāo)和要求;?明確各崗位的信息安全職責(zé);?服務(wù)標(biāo)準(zhǔn)?明確過程控制的準(zhǔn)則和方法,制定必要的作業(yè)指導(dǎo)文件,為產(chǎn)品和服務(wù)實(shí)現(xiàn)提供資源和設(shè)施,保證其所需的工作環(huán)境;?保留服務(wù)過程提供及過程測(cè)量和檢查結(jié)果的記錄。
經(jīng)識(shí)別公司沒有外包過程。對(duì)于公司的服務(wù)商,綜合管理部按照《第三方服務(wù)管理程序》進(jìn)行管理。8.2信息安全風(fēng)險(xiǎn)評(píng)估2.1風(fēng)險(xiǎn)評(píng)估的方法信息安全小組負(fù)責(zé)組織編制《信息安全風(fēng)險(xiǎn)管理程序》,建立識(shí)別適用于信息安全管理體系和己經(jīng)識(shí)別的業(yè)務(wù)信息安全、法律法規(guī)要求的風(fēng)險(xiǎn)評(píng)估方法,在決定風(fēng)險(xiǎn)的可接受范圍內(nèi),采取適當(dāng)?shù)娘L(fēng)險(xiǎn)控制措施。2.2識(shí)別風(fēng)險(xiǎn)在信息安全管理體系范圍內(nèi),對(duì)所有信息資產(chǎn)進(jìn)行識(shí)別評(píng)價(jià),識(shí)別資產(chǎn)面臨的威脅以及脆弱性、識(shí)別保密性完整性和可用性對(duì)資產(chǎn)造成的影響程度、識(shí)別資產(chǎn)面臨的風(fēng)險(xiǎn),并通過這些項(xiàng)目的風(fēng)險(xiǎn)標(biāo)識(shí)推算出對(duì)重要資產(chǎn)造成的影響。2.3分析和評(píng)價(jià)風(fēng)險(xiǎn)針對(duì)每一項(xiàng)信息資產(chǎn),識(shí)別出其面臨的所有威脅,并考慮現(xiàn)有的控制措施,識(shí)別出被該威脅可能利用的薄弱點(diǎn)。針對(duì)每一項(xiàng)威脅、薄弱點(diǎn),對(duì)資產(chǎn)造成的影響,考慮現(xiàn)有的控制措施,判斷安全失效發(fā)生的可能性。根據(jù)《信息安全風(fēng)險(xiǎn)管理程序》計(jì)算風(fēng)險(xiǎn)等級(jí)以及風(fēng)險(xiǎn)接受準(zhǔn)則,判斷風(fēng)險(xiǎn)為可接受或需要處理。8.2.4識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的選擇項(xiàng)目風(fēng)險(xiǎn)的識(shí)別貫穿整個(gè)業(yè)務(wù)活動(dòng)過程,明確哪些風(fēng)險(xiǎn)可能影響項(xiàng)目造成影響、記錄這些風(fēng)險(xiǎn)的各方面特征。在記錄風(fēng)險(xiǎn)的基礎(chǔ)上對(duì)項(xiàng)目進(jìn)行初步分析,依據(jù)影響對(duì)項(xiàng)目風(fēng)險(xiǎn)進(jìn)行優(yōu)先級(jí)排序。綜合管理部根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果,形成《信息安全風(fēng)險(xiǎn)評(píng)估表(含〈風(fēng)險(xiǎn)處理計(jì)劃〉)》,該計(jì)劃明確了風(fēng)險(xiǎn)處理責(zé)任部門、負(fù)責(zé)人、目的、范圍以及處理策略,具體措施如下:(1)適時(shí)適當(dāng)?shù)目刂拼胧?。?)規(guī)避風(fēng)險(xiǎn),釆取有效的控制措施避免風(fēng)險(xiǎn)的發(fā)生。(3)接受風(fēng)險(xiǎn),在一定程度上有意識(shí)、有目的地接受風(fēng)險(xiǎn)。((2)規(guī)避風(fēng)險(xiǎn),釆取有效的控制措施避免風(fēng)險(xiǎn)的發(fā)生。(3)接受風(fēng)險(xiǎn),在一定程度上有意識(shí)、有目的地接受風(fēng)險(xiǎn)。(4)風(fēng)險(xiǎn)轉(zhuǎn)移,轉(zhuǎn)移相關(guān)業(yè)務(wù)風(fēng)險(xiǎn)到其他方面。(5)消減風(fēng)險(xiǎn),通過適當(dāng)?shù)目刂拼胧┙档惋L(fēng)險(xiǎn)發(fā)生的可能性。8.3信息安全風(fēng)險(xiǎn)處置組織應(yīng)實(shí)施信息安全風(fēng)險(xiǎn)處置計(jì)劃。保留信息安全風(fēng)險(xiǎn)處置結(jié)果的文件記錄信息。詳見《信息安全風(fēng)險(xiǎn)管理程序》3.1相關(guān)文件?《信息安仝風(fēng)險(xiǎn)管理程序》9績(jī)效評(píng)價(jià)9.1監(jiān)視、測(cè)量、分析和評(píng)價(jià)為了保證服務(wù)的符合性及實(shí)施必要的改進(jìn),應(yīng)規(guī)定、策劃和實(shí)施所需的測(cè)量和監(jiān)視活動(dòng)。在策劃時(shí),應(yīng)確定統(tǒng)計(jì)技術(shù)及其他適用的方法的需要和使用。需要監(jiān)視和測(cè)量的過程和措施包括:客戶滿意度測(cè)量、過程的監(jiān)視和測(cè)量、產(chǎn)品的監(jiān)視和測(cè)量。綜合管理部應(yīng)組織相關(guān)部門,對(duì)質(zhì)量服務(wù)信息安全措施的績(jī)效和體系的有效性進(jìn)行評(píng)價(jià)。綜合管理部應(yīng)與各部門協(xié)調(diào),根據(jù)公司管理的實(shí)際需要,建立恰當(dāng)?shù)亩攘矿w系,以度量員工、項(xiàng)目組的工作業(yè)績(jī)。由綜合管理部組織實(shí)施監(jiān)視和測(cè)量,每年至少一次對(duì)對(duì)監(jiān)視和測(cè)量的結(jié)果進(jìn)行分析和評(píng)價(jià),由總經(jīng)理以及各部門經(jīng)理分析和評(píng)價(jià)這些結(jié)果,保留相關(guān)的監(jiān)視和測(cè)量證據(jù)。9.2內(nèi)部審核公司應(yīng)按計(jì)劃的時(shí)間要求進(jìn)行ISMS內(nèi)部審核,以確定控制目標(biāo)、控制措施、過程和程序是否:?符合標(biāo)準(zhǔn)及相關(guān)法律法規(guī)的要求;?符合確定的信息安全要求;?得到有效地實(shí)施和維護(hù);?按期望運(yùn)行。內(nèi)部審核程序應(yīng)進(jìn)行計(jì)劃,并考慮受審核的狀況、重要性和受審核的區(qū)域以及上次審核結(jié)果,應(yīng)規(guī)定審核準(zhǔn)則、范圍、頻次和方式,審核員的選擇和審核活動(dòng)應(yīng)保證審核過程的客觀和公正,審核員不能審核自己的工作。9.3管理評(píng)審3.1總則為確保信息安全管理體系持續(xù)運(yùn)行,具體如下:(1) 管理者代表組織并編制《管理評(píng)審程序》,指導(dǎo)管理評(píng)審工作的執(zhí)行。(2) 管理評(píng)審由最高管理者或其授權(quán)人員組織,每年至少一次。一般晴況下,釆取會(huì)議的形式,安排在內(nèi)部審核之后。當(dāng)出現(xiàn)下列情況之一時(shí),應(yīng)及時(shí)進(jìn)行管理評(píng)審:>公司管理體系發(fā)生重大變化。>國(guó)家法律法規(guī)、相關(guān)標(biāo)準(zhǔn)發(fā)生重大變化。>外審之前。>其他認(rèn)為需要評(píng)審時(shí)。(3) 各部門負(fù)責(zé)均需參加管理評(píng)審活動(dòng),需要時(shí),由總經(jīng)理或其授權(quán)人員決定具體的參加人員。(4) 管理評(píng)審會(huì)議的決議事項(xiàng)以會(huì)議紀(jì)要形式體現(xiàn),由各相關(guān)部門負(fù)責(zé)配合執(zhí)行,并對(duì)執(zhí)行狀況予以跟蹤評(píng)估。3.2評(píng)審輸入在管理評(píng)審時(shí),管理者代表應(yīng)組織各相關(guān)部門提供以下資料,以供評(píng)審:a) 以往管理評(píng)審的措施的狀態(tài);b) 與信息安全管理體系相關(guān)的外部和內(nèi)部問題的變更;c) 信息安全績(jī)效的反饋,包括下列方面的趨勢(shì):1) 不符合和糾正措施;2) 監(jiān)視和測(cè)量結(jié)果;3) 審核結(jié)果;4) 信息安全目標(biāo)的實(shí)現(xiàn);d) 相關(guān)方的反饋;e) 風(fēng)險(xiǎn)評(píng)估的結(jié)果和風(fēng)險(xiǎn)處置計(jì)劃的狀態(tài);f) 持續(xù)改進(jìn)的機(jī)會(huì)。3.3評(píng)審輸出按照信息安全管理與安全方針和目標(biāo)對(duì)上述信息進(jìn)行全面的討論、評(píng)價(jià)、分析,管理評(píng)審輸出包括以下方面有關(guān)的任何決定和措施:(1) 信息安全管理體系有效性的改進(jìn),應(yīng)考慮業(yè)務(wù)需求、安全需求、影響已有業(yè)務(wù)需求的業(yè)務(wù)過程、法律法規(guī)環(huán)境、合同責(zé)任義務(wù)、風(fēng)險(xiǎn)以及風(fēng)險(xiǎn)接受等級(jí)等。(2) 信息安全管理方針和目標(biāo)的修訂。(3) 與相關(guān)方/第三方有關(guān)的改進(jìn)措施等。(4) 風(fēng)險(xiǎn)的等級(jí)或可接受風(fēng)險(xiǎn)的水平,更新風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)評(píng)估表等。(5) 業(yè)務(wù)需求的變更。(6) 安全需求的變更。<7)資源需求以及影響現(xiàn)有業(yè)務(wù)需求的業(yè)務(wù)過程;(8) 法律法規(guī)的環(huán)境。(9) 改進(jìn)測(cè)量控制措施有效性的方式。(10) 對(duì)現(xiàn)有信息安全管理體系的評(píng)價(jià)結(jié)論以及對(duì)現(xiàn)有服務(wù)是否符合要求的評(píng)價(jià)。以上內(nèi)容的詳細(xì)規(guī)定見《管理評(píng)審程序》。公司應(yīng)保留文件記錄作為管理評(píng)審結(jié)果的證據(jù)。10改進(jìn)10.1不符合和糾正措施當(dāng)發(fā)生不符合時(shí),應(yīng):?對(duì)不符合作出反應(yīng),>采取措施控制并糾正不符合;>處理不符合造成的后果;?評(píng)價(jià)消除不符合原因的措施的需求,通過采取以下措施防止不符合再次發(fā)生或在其他區(qū)域發(fā)生:>評(píng)審不符合;>確定不符合的原因;>確定類似不符合是否存在,或可能潛在發(fā)生?實(shí)施所需的措施;?評(píng)審所采取糾正措施的有效性;?必要時(shí),對(duì)體系實(shí)施變更。應(yīng)將以下信息形成文件:?不符合的性質(zhì)及隨后釆取的措施?糾正措施的結(jié)果上述要求參見《糾正措施控制程序》。10.2持續(xù)改進(jìn)通過制定和改進(jìn)管理方針和管理冃標(biāo)、進(jìn)行管理評(píng)審、進(jìn)行內(nèi)部/外部審核、落實(shí)糾正與預(yù)防措施工作、對(duì)信息安全事件和服務(wù)異常事件的監(jiān)控分析等方式開展信息安全管理體系的改進(jìn)工作,必要時(shí)征求所有相關(guān)方對(duì)管理體系的意見,從而保證管理體系的持續(xù)有效性和運(yùn)行效率。關(guān)注客戶的投訴、抱怨、記錄、評(píng)估服務(wù)改進(jìn)建議,制定服務(wù)改進(jìn)計(jì)劃,評(píng)估服務(wù)改進(jìn)情況,確保各項(xiàng)服務(wù)改進(jìn)措施均已落實(shí)執(zhí)行,并實(shí)現(xiàn)預(yù)期的目標(biāo),從而改進(jìn)完善服務(wù)過程,提升服務(wù)質(zhì)量,提高客戶的滿意度。規(guī)定各部門在持續(xù)改進(jìn)活動(dòng)中的角色和職責(zé),并從服務(wù)過程的所有方面考慮服務(wù)改進(jìn)要求。計(jì)劃通過以下途徑持續(xù)改進(jìn)信息安全管理的有效性:(1) 通過信息安全管理體系方針的建立與實(shí)施,對(duì)持續(xù)改進(jìn)做出正式的承諾。(2) 通過信息安全管理體系目標(biāo)的建立與實(shí)施,對(duì)持續(xù)改進(jìn)進(jìn)行評(píng)價(jià)。(3) 通過內(nèi)部審核不斷發(fā)現(xiàn)問題,尋找體系改進(jìn)的機(jī)會(huì)并予以實(shí)施。(4) 通過數(shù)據(jù)分析不斷尋求改進(jìn)的機(jī)會(huì),并做出適當(dāng)?shù)母倪M(jìn)活動(dòng)安排。(5) 通過實(shí)施糾正和預(yù)防措施實(shí)現(xiàn)改進(jìn)的活動(dòng)。(6) 監(jiān)控安全事件并對(duì)事件進(jìn)行分析。(7) 確定糾正措施和預(yù)防措施的有效性。(8) 根據(jù)管理評(píng)審的結(jié)果尋求改進(jìn)體系的機(jī)會(huì)。(9) 根據(jù)客戶滿意度調(diào)査尋求改進(jìn)體系的機(jī)會(huì)。支持文件:?《糾正措施控制程序》?《預(yù)防措施控制程序》?《內(nèi)部審核管理程序》10.3糾正措施對(duì)于發(fā)現(xiàn)的不合格項(xiàng),不僅要求資任人要糾正不合格行為,而且為了消除不合格項(xiàng)、與實(shí)施和運(yùn)行信息安全管理體系有關(guān)的原因,人事行政部要求責(zé)任人應(yīng)該制定糾正措施,以便防止不合格的再次發(fā)生。糾正措施的控制應(yīng)該滿足如下要求:(1)識(shí)別實(shí)施和運(yùn)行信息安全管理體系的不合格事件。(2) 分析并確定不合格的原因。(3) 評(píng)價(jià)確保不合格不再發(fā)生的相關(guān)因素。(4) 確定和實(shí)施所需的糾正措施。(5) 檢查、驗(yàn)證糾正措施的結(jié)果。(6) 評(píng)審所釆取的糾正措施的有效性。支持文件:?《糾正措施控制程序》?《預(yù)防措施控制程序》?《內(nèi)部審核管理程序》10.4預(yù)防措施在信息安全管理體系運(yùn)行的過程中,通過日常的過程控制、結(jié)果驗(yàn)證、體系審核等方式發(fā)現(xiàn)的一些可能影響體系運(yùn)行的、不受控制將會(huì)導(dǎo)致不合格產(chǎn)生的安全事件,應(yīng)該及時(shí)采取預(yù)防措施控制事態(tài)的進(jìn)一步擴(kuò)大。預(yù)防措施應(yīng)該滿足如下幾方面的要求:(1) 識(shí)別潛在的信息安全事件及其原因,并確定。(2) 評(píng)價(jià)預(yù)防不合格發(fā)生的措施的需求。(3) 確定和實(shí)施所需的預(yù)防措施。(4) 評(píng)價(jià)預(yù)防措施的有效性,并對(duì)所采取措施的結(jié)果進(jìn)行記錄。(5) 識(shí)別并控制重大的己變更的防線。支持文件:?《糾正措施控制程序》?《預(yù)防措施控制程序》附錄附錄1-組織簡(jiǎn)介附錄附錄1-組織簡(jiǎn)介XXX有限公司是一家總部位于中國(guó)深圳的全方位IT及解決方案服務(wù)提供商。主要致力于航空領(lǐng)域,提供航空1T產(chǎn)品、IT服務(wù)及解決方案、航空教育的一體化專業(yè)公司。依靠與多家航空領(lǐng)域的企事業(yè)單位建立的良好合作關(guān)系,不斷吸取各方先進(jìn)技術(shù)與管理經(jīng)驗(yàn),打造了一支經(jīng)驗(yàn)豐富的管理團(tuán)隊(duì)。在堅(jiān)持高品質(zhì)的產(chǎn)品質(zhì)量、雄厚的技術(shù)力量的支持下,研發(fā)了多項(xiàng)擁有自主知識(shí)產(chǎn)權(quán)的產(chǎn)品,同時(shí)具備了向市場(chǎng)提供綜合化服務(wù)的實(shí)力。我們的服務(wù):公司一直堅(jiān)持“滿足客戶的需求就是我們的追求的服務(wù)“宗旨”,我們將以最優(yōu)質(zhì)的服務(wù)為客戶提供全方位的IT服務(wù),提升客戶的企業(yè)價(jià)值,提高客戶的市場(chǎng)競(jìng)爭(zhēng)力。技術(shù)實(shí)力:公司擁有蓬勃向上,充滿朝氣的創(chuàng)業(yè)型領(lǐng)導(dǎo)核心,海外留學(xué)背景,多年IT研發(fā)、管理經(jīng)濟(jì)的高層管理團(tuán)隊(duì);經(jīng)驗(yàn)豐富的研發(fā)團(tuán)隊(duì)一為客戶提供專業(yè)的1T只是支持。發(fā)展戰(zhàn)略:提供自主研發(fā)的一流軟件和服務(wù),持續(xù)為客戶創(chuàng)造最大價(jià)值核心價(jià)值觀公司理念:幫助客戶創(chuàng)造價(jià)值,幫助員工實(shí)現(xiàn)夢(mèng)想誠(chéng)信:最重要的無(wú)形資產(chǎn),是我們贏得客戶信任的基礎(chǔ)專注:建立核心競(jìng)爭(zhēng)力的關(guān)鍵創(chuàng)新:企業(yè)持續(xù)性發(fā)展的必備基因是我們贏得客戶信任的基礎(chǔ)附錄附錄3-職能分配表附錄2-組織架構(gòu)圖管理單位體系要求信息安全小組總經(jīng)理管理者代表綜合管理部技術(shù)部銷傳部4.組織環(huán)境4.1理解組織及其環(huán)境△▲△△△△4.2理解相關(guān)方的需求和期望△▲△△△△4.3明確信息安全管理體系的范圍△▲▲△△△4.4信息安全管理體系△△▲△△△5領(lǐng)導(dǎo)5.1領(lǐng)導(dǎo)和承諾△▲△△△△5.2方針△▲△△△△5.3組織角色、職責(zé)和權(quán)力△▲△△△△6計(jì)劃6.1處置風(fēng)險(xiǎn)和機(jī)遇▲▲△△△△6.2信息安全目標(biāo)的計(jì)劃和實(shí)現(xiàn)△▲△△△△7支持7.1資源△▲△△△△7.2能力△△△▲△△7.3意識(shí)△△△▲△△7.4溝通▲▲▲△△△7.5文檔要求△△△▲△△8實(shí)施8.1運(yùn)行計(jì)劃和控制▲△△△△△8.2信息安全風(fēng)險(xiǎn)評(píng)估▲△△△△△8.3信息安全風(fēng)險(xiǎn)處置▲△△△△△9績(jī)效評(píng)價(jià)9.1監(jiān)視、測(cè)雖:、分析和評(píng)價(jià)▲△△△△△9.2內(nèi)部審核▲△△△△△9.3管理評(píng)審△▲△△△△10改進(jìn)10.1不符合項(xiàng)和糾正措施△▲△△△△10.2持續(xù)改進(jìn)△▲△△△△A.5信息安全策略A.5.1信息安全管理指導(dǎo)△△▲△△△A.6信息安全組織
A.6.1內(nèi)部組織△▲▲△△△A.6.2移動(dòng)設(shè)備和遠(yuǎn)程辦公△△△△▲▲A.7人力資源安全A.7.1任用前△△△▲△△A.7.2任用中△△△▲△△A.7.3任用終止和變更△△△▲△△A.8資產(chǎn)管理A.8.1資產(chǎn)的責(zé)任△△△▲▲▲A.8.2信息分類△△△▲△△A.8.3介質(zhì)處理△△△▲▲▲A.9訪問控制A.9.1訪問控制的業(yè)務(wù)需求△△△▲△△A.9.2用戶訪問管理△△△▲△△A.9.3用戶責(zé)任△△△▲△△A.9.4系統(tǒng)和應(yīng)用訪問控制△△△▲△△A.10加密技術(shù)A.10.1加密控制△△△▲△△A.11物理和環(huán)境安全A.11.1安全區(qū)域△△△▲△△A.11.2設(shè)備安全△△△▲△△A.12操作安全A.12.1操作程序及職責(zé)△△△▲△△A.12.2防范惡意軟件△△△▲▲▲A.12.3備份△△△▲▲▲A.12.4日志記錄和監(jiān)控△△△▲△△A.12.5操作軟件的控制△△△▲△△A.12.6技術(shù)脆弱性管理△△△▲△△A.12.7信息系統(tǒng)審計(jì)的考慮因素△△△▲△△A.13通信安全A.13.1網(wǎng)絡(luò)安全管理△△▲△△A.13.2信息傳輸△△▲△△A.14系統(tǒng)的獲取、開發(fā)及維護(hù)A.14.1信息系統(tǒng)安全需求△△△△▲△A.14.2開發(fā)和支持過程的安全△△△△▲△A.14.3測(cè)試數(shù)據(jù)△△△△▲△A.15供應(yīng)商關(guān)系A(chǔ).15.1供應(yīng)商關(guān)系的信息安全△△△▲△△A.15.2供應(yīng)商服務(wù)交付管理△△△▲△△A.16信息安全事件管理A.16.1信息安全事件的管理和改進(jìn)▲△△△△△A.16.1.1職責(zé)和程序▲△△△△△A.16.1.2報(bào)告信息安全事態(tài)▲△△▲▲▲A.16.1.3報(bào)告信息安全弱點(diǎn)▲△△▲▲▲A.16.1.4評(píng)估和決策信息安全事件▲△△△△△A.16.1.5響應(yīng)信息安全事故▲△△△△△A.16.1.6從信息安全事故中學(xué)習(xí)▲△△△△△A.16.1.7收集證據(jù)▲△△△△△A.17業(yè)務(wù)連續(xù)性管理中的信息安全A.17.1信息安全的連續(xù)性△△△▲△△A.17.2冗余△△△▲△△A.18符合性A.18.1法律和合同規(guī)定的符合性△△△▲△△A.18.2信息安全評(píng)審▲△△△△△*注:負(fù)責(zé)部門以“▲”表示;相關(guān)部門以表示。附錄4-信息安全小組成員為確保本公司信息安全管理體系的有效運(yùn)行,認(rèn)真貫徹信息安全管理方針,特授權(quán)以下人員組成信息安全管理小組。成員名單如下:組長(zhǎng):XXX(總經(jīng)理)執(zhí)行組長(zhǎng):曹飛澎成員:綜合管理部:張小波、銷售部:曹飛澎、技術(shù)部:嚴(yán)玉成。附錄5-服務(wù)器拓?fù)鋱D服務(wù)器拓?fù)鋱D服務(wù)器拓?fù)鋱D附錄6-信息安全職責(zé)說明一、 總經(jīng)理1、 負(fù)責(zé)主持制定本公司的信息安全體系方針和目標(biāo),確保員工貫徹執(zhí)行;2、 制定公司戰(zhàn)略,進(jìn)行經(jīng)營(yíng)、營(yíng)銷、項(xiàng)目管理規(guī)劃,承擔(dān)公司的全面經(jīng)營(yíng)管理工作,包括人事、行政、財(cái)務(wù)、釆購(gòu)、管理等。3、 確保實(shí)現(xiàn)方針和目標(biāo)的相關(guān)資源;4、 任命管理者代表,并授予其相應(yīng)的職責(zé)和權(quán)限;5、 負(fù)貴對(duì)本公司組織結(jié)構(gòu)的設(shè)置,規(guī)定各級(jí)人員的職責(zé)、權(quán)限,規(guī)定和各部門的職能及其在組織內(nèi)的相互關(guān)系,具體崗位職責(zé)描述,參見相關(guān)《職位說明書》;6、 組織制定項(xiàng)目整體施工組織計(jì)劃;根據(jù)項(xiàng)目整體計(jì)劃,審定年度、季、月進(jìn)度計(jì)劃,并貫徹執(zhí)行;對(duì)直接下屬進(jìn)行績(jī)效考核,對(duì)其進(jìn)行提拔、獎(jiǎng)勵(lì)、懲處。7、 嚴(yán)格執(zhí)行公司財(cái)務(wù)制度,根據(jù)授權(quán)審批公司各項(xiàng)開支,但受董事長(zhǎng)監(jiān)督,各項(xiàng)開支在審批后,需報(bào)送董事長(zhǎng)核準(zhǔn)簽名確認(rèn);制定公司的資金計(jì)劃,資金運(yùn)作管理,并按授權(quán)進(jìn)行費(fèi)用與合同審批二、 管理者代表1、 負(fù)責(zé)體系文件控制,審核信息安全手冊(cè)、方針、目標(biāo);指導(dǎo)各部門負(fù)責(zé)人對(duì)相關(guān)文件之使用、保管、收集、整理與歸檔。負(fù)責(zé)對(duì)現(xiàn)有體系文件定期評(píng)審。2、 審査各部門編制信息安全記錄在案格式,并審批;指導(dǎo)各部門對(duì)信心安全記錄之整理和保管。3、 向企業(yè)負(fù)責(zé)人報(bào)告信息安全體系運(yùn)行情況,提出改進(jìn)建議;制定管理評(píng)審計(jì)劃、收集并提供管理評(píng)審所需之資料,編寫管理評(píng)4、 建立文件化的程序,確保認(rèn)證標(biāo)志的妥善保管和使用;5、 建立信息安全體系,符合法律法規(guī)及其它要求,與外部各方聯(lián)絡(luò)。三、 信息安全管理小組1、 直接對(duì)信息安全管理代表負(fù)責(zé),承擔(dān)信息安全管理具體操作以及決策2、 負(fù)責(zé)管理體系建立、實(shí)施和日常運(yùn)行,起草信息安全政策,確定信息安全管理標(biāo)準(zhǔn),3、 負(fù)責(zé)對(duì)ISMS體系進(jìn)行審核,以有效性和健全性提出內(nèi)審建議:4、 負(fù)責(zé)匯報(bào)審計(jì)結(jié)果并監(jiān)督整改、改版工作,落實(shí)糾正措施和預(yù)防措施;5、 負(fù)責(zé)調(diào)査安全事件,并維護(hù)安全事件的記錄報(bào)告6、 關(guān)注公司所有法律法規(guī),行業(yè)主管部門頒發(fā)規(guī)章制度,審核ISMS體系文檔的合規(guī)性。四、 銷售部1、 實(shí)施信息安全管理體系有關(guān)的程序文件,針對(duì)不合格項(xiàng)判定實(shí)施糾正預(yù)防措施;2、 負(fù)責(zé)公司的項(xiàng)目銷售工作,完成公司的項(xiàng)目銷售目標(biāo);3、 圍繞公司下達(dá)的項(xiàng)目銷售目標(biāo)制定策略計(jì)劃;d)負(fù)責(zé)維護(hù)己有項(xiàng)目用戶的客戶關(guān)系;4、 把握重點(diǎn)客戶關(guān)系,參與銷售談判;f)負(fù)責(zé)與公司業(yè)務(wù)相關(guān)的市場(chǎng)開拓;5、 組織公司技術(shù)部門與用戶進(jìn)行相關(guān)技術(shù)交流;6、 發(fā)起合同評(píng)審,并根據(jù)評(píng)審結(jié)果,修訂銷售合同;7、 做好項(xiàng)目前期交流、項(xiàng)目合同簽訂、驗(yàn)收收款的協(xié)調(diào)工作;8、 配合公司收集相關(guān)銷售信息,并反饋給主管領(lǐng)導(dǎo);9、 完成公司主管交辦的其他工作五、 技術(shù)部負(fù)責(zé)按照的指派,為客戶提供軟件開發(fā)、軟硬件運(yùn)維服務(wù);負(fù)責(zé)按計(jì)劃定期巡檢;負(fù)責(zé)公司內(nèi)部1T網(wǎng)絡(luò)環(huán)境、服務(wù)器、交換機(jī)的正常運(yùn)轉(zhuǎn);負(fù)責(zé)如實(shí)向顧客介紹產(chǎn)品、投標(biāo)、與顧客洽談合同和簽訂合同,確保所簽合同規(guī)范、有效和可行;負(fù)責(zé)常規(guī)合同評(píng)審,組織有特殊要求合同的評(píng)審。參與組織對(duì)顧客技術(shù)培訓(xùn)。保持公司信息安全體系文件相關(guān)要素在本部門的貫徹實(shí)施,并管理相關(guān)記錄;六、 綜合管理部1、 根據(jù)公司發(fā)展戰(zhàn)略制定用人規(guī)劃、年度招聘計(jì)劃、培訓(xùn)需求、績(jī)效考核流程及體系、薪酬發(fā)展體系、推廣企業(yè)文化、解決投訴與沖突、組織各類員工活動(dòng)。2、 根據(jù)公司發(fā)展需要制定日常辦公管理等行政制度、申報(bào)公司經(jīng)營(yíng)相關(guān)資質(zhì)、證件、籌備辦公會(huì)議及形成會(huì)議紀(jì)要、確保公司1T系統(tǒng)的有效實(shí)施和運(yùn)轉(zhuǎn)(監(jiān)控系統(tǒng),門禁系統(tǒng),廣播系統(tǒng)、0A系統(tǒng)、郵箱系統(tǒng)、財(cái)務(wù)系統(tǒng)、服務(wù)器、電話交換機(jī)、網(wǎng)絡(luò)寬帶等)。3、 培訓(xùn)發(fā)展管理:公司年度培訓(xùn)計(jì)劃的制訂與實(shí)施以及制訂公司年度教育涪訓(xùn)經(jīng)費(fèi)的預(yù)算并進(jìn)行管理和使用。4、 負(fù)責(zé)體系文件的發(fā)放、回收管理。5、 負(fù)責(zé)相關(guān)法律、法規(guī)的識(shí)別與收集、合規(guī)性評(píng)價(jià)、文件控制及記錄控制。6、 負(fù)責(zé)網(wǎng)絡(luò)的訪問管理、機(jī)房設(shè)備管理。6、 信息安全事件的調(diào)查及協(xié)助處理。7、 對(duì)新供應(yīng)商的開發(fā)、選擇及監(jiān)督;8、 對(duì)供應(yīng)商資質(zhì)進(jìn)行審核及維護(hù)。9、 制定供應(yīng)商現(xiàn)場(chǎng)評(píng)審表,并參與供應(yīng)商現(xiàn)場(chǎng)評(píng)審。10、 負(fù)責(zé)對(duì)供應(yīng)商的交貨及時(shí)率、配合度交貨進(jìn)行評(píng)估;對(duì)外協(xié)產(chǎn)品品質(zhì)問題的處理及改善措施進(jìn)行監(jiān)督,并提供月度的相關(guān)考核數(shù)據(jù),參與供應(yīng)商績(jī)效評(píng)審。11、 負(fù)貴公司合同條款的審核。12、 信息安全事件的調(diào)查及協(xié)助處理。XXX有限公司信息安全告知書TS-ISMS-202X-0101版本:V1.0
(內(nèi)部受控)202X-11-1202X-11-1發(fā)布202X-11-1實(shí)施XXX有限公司第第1頁(yè)修改履歷版本制訂者修改時(shí)間更改內(nèi)容審批人審核意見變更申請(qǐng)單號(hào)1.0XXX202X-11-1發(fā)布XXX同意1.0XXX202X-11-1實(shí)施XXX同意XXX有限公司文件編號(hào)ISMS-A-01信息安全管理手冊(cè)文件版本VI.0密級(jí)秘密各顧客、供應(yīng)商、承包方和所有相關(guān)方:感謝您對(duì)公司一貫支持,為創(chuàng)造一個(gè)完善安全的信息溝通和傳遞途徑,共同保障各方信息的安全,公司自202X年11月1日起按照IS027001:2013標(biāo)準(zhǔn)建立并實(shí)施信息安全曾理體系,為確保管理體系實(shí)施的有效性,需要各相關(guān)方在工作交往及合作中給予大力配合?,F(xiàn)將有關(guān)専宜敬告如下:1、本公司特制訂如下信息安全方針和信息安全目標(biāo):1.1信息安全方針關(guān)注客戶需求,保障信息安全.完善安全措施,改進(jìn)信息技術(shù).關(guān)注客戶需求,保障信息安全:客戶的安全需求為公司安全建設(shè)的重要輸入,按照標(biāo)準(zhǔn)要求建設(shè)信息安全框架,保障公司整體的信息安全。完善安全措施,改進(jìn)信息技術(shù):關(guān)注新的信息安全技術(shù),不斷獲取新技術(shù)或新產(chǎn)品,改進(jìn)信息技術(shù),通過風(fēng)險(xiǎn)管理,持續(xù)完善安全措施,并且保證措施的實(shí)施效果。1.2信息安全目標(biāo)?顧客保密性抱怨/投訴的次數(shù)不超過1起/年。?受控信息泄St的事態(tài)發(fā)生不超過2起/年。?機(jī)密信息泄U的事態(tài)不得發(fā)生。重要信息設(shè)備丟失毎年不超過。起?年度信息安全培訓(xùn)人員覆蓋率100%?大面積內(nèi)網(wǎng)中斷時(shí)間每年累計(jì)不超過240分鐘?大規(guī)模病毒爆發(fā)每年不超過2次1.3要求本公司信息安全管理體系方針符合以下要求:a) 為信息安全目標(biāo)建立了框架,并為信息安全活動(dòng)建立整體的方向和原則;b) 識(shí)別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求;c) 與組織戰(zhàn)略和風(fēng)險(xiǎn)管理相一致的環(huán)境下,建立和保持信息安全管理體系;d) 建立了風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)則;e) 經(jīng)總經(jīng)理批準(zhǔn),并定期評(píng)審其適用性、充分性,必要時(shí)予以修訂。1.4承諾為實(shí)現(xiàn)信息安全管理體系方
溫馨提示
- 1. 本站所有資源如無(wú)特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 租車挖掘機(jī)合同范例
- 上午會(huì)展策劃合同范例
- 民宿租地合同范例
- 廠房補(bǔ)漏維修合同范例
- 包價(jià)旅游合同范例
- 夫妻購(gòu)買茅臺(tái)合同范例
- 建筑石材購(gòu)銷合同范例
- 按月付款方式合同范例
- 瓷磚 購(gòu)買合同范例
- 青海民族大學(xué)《固體廢物與噪聲控制工程》2023-2024學(xué)年第一學(xué)期期末試卷
- 廣東省深圳市2024年九年級(jí)中考提分訓(xùn)練《六選五》專題練習(xí)
- 2024年永州職業(yè)技術(shù)學(xué)院?jiǎn)握新殬I(yè)技能測(cè)試題庫(kù)及答案解析
- 注射相關(guān)感染預(yù)防與控制(全文)
- SMP-10-003-00 藥品上市后風(fēng)險(xiǎn)管理規(guī)程
- 升壓站土建施工合同2024年
- NB-T31030-2012陸地和海上風(fēng)電場(chǎng)工程地質(zhì)勘察規(guī)范
- 感悟考古智慧樹知到期末考試答案章節(jié)答案2024年北京大學(xué)
- 溝通的藝術(shù)智慧樹知到期末考試答案章節(jié)答案2024年湖南師范大學(xué)
- JJF 1171-2024溫濕度巡回檢測(cè)儀校準(zhǔn)規(guī)范
- DB32-T 4757-2024 連棟塑料薄膜溫室建造技術(shù)規(guī)范
- 建筑信息模型技術(shù)員理論知識(shí)考試題庫(kù)
評(píng)論
0/150
提交評(píng)論