XX-A-01信息安全管理手冊(cè)

<XX信息科技有限公司>信息安全管理體系手冊(cè)[XX-A-01]Ver1.0發(fā)布日期2014年03月10日發(fā)布部門信息安全管理小組實(shí)施日期2014年03月10日<公司名稱>文件編號(hào)XX-A-01信息安全管理體系手冊(cè)文件版次1.0密級(jí)敏感ii版本變更履歷變更人/變更日期審核人/審核日期批準(zhǔn)人/批準(zhǔn)日期1.0初次發(fā)布

目錄TOC\o"1-2"\h\z\u頒布令 iii授權(quán)書 iv0前言 11范圍 11.1總則 11.2應(yīng)用 12規(guī)范性引用文件 13術(shù)語和定義 23.1術(shù)語 23.2縮寫 24信息安全管理體系 24.1總要求 24.2建立和管理信息安全管理體系 34.3文件要求 85管理職責(zé) 115.1管理承諾 115.2資源管理 116內(nèi)部信息安全管理體系審核 126.1總則 126.2內(nèi)審策劃 126.3內(nèi)審員 126.4內(nèi)審實(shí)施 137管理評(píng)審 137.1總則 137.2評(píng)審輸入 137.3評(píng)審輸出 148信息安全管理體系改進(jìn) 148.1持續(xù)改進(jìn) 148.2糾正措施 148.3預(yù)防措施 15附錄1-組織概況 16附錄2-組織機(jī)構(gòu)圖 16附錄3-職能分配表 16附錄4-信息安全小組成員 16附錄5-方針文件清單 16附錄6-程序文件清單 16附錄7-公司外部環(huán)境、內(nèi)部環(huán)境及網(wǎng)絡(luò)圖 16

頒布令歷時(shí)三個(gè)月，經(jīng)公司全體員工的共同努力依據(jù)ISO/IEC27001:2013標(biāo)準(zhǔn)建立的<公司名稱>信息安全管理體系已得到建立。指導(dǎo)管理體系運(yùn)行的公司《信息安全管理體系手冊(cè)》經(jīng)評(píng)審后，現(xiàn)予以批準(zhǔn)發(fā)布?！缎畔踩芾眢w系手冊(cè)》的發(fā)布，標(biāo)志著我公司從現(xiàn)在起，必須按照信息安全管理體系標(biāo)準(zhǔn)的要求和公司《信息安全管理體系手冊(cè)》所描述的規(guī)定，不斷增強(qiáng)持續(xù)滿足顧客要求、相關(guān)方要求和法律法規(guī)要求的能力，全心全意為顧客和相關(guān)方提供優(yōu)質(zhì)、安全的應(yīng)用軟件的開發(fā)和維護(hù)服務(wù)，以確立公司在社會(huì)上的良好信譽(yù)。《信息安全管理體系手冊(cè)》是公司規(guī)范內(nèi)部管理的指導(dǎo)性文件，也是全體員工在向顧客提供服務(wù)過程必須遵循的行動(dòng)準(zhǔn)則?！缎畔踩芾眢w系手冊(cè)》一經(jīng)發(fā)布，就是強(qiáng)制性文件，全體員工必須認(rèn)真學(xué)習(xí)、切實(shí)執(zhí)行。本手冊(cè)自2014年3月10日正式實(shí)施。總經(jīng)理：2014年3月10日

授權(quán)書為貫徹執(zhí)行ISO/IEC27001:2013《信息安全管理體系》，加強(qiáng)對(duì)信息管理體系運(yùn)行的領(lǐng)導(dǎo)，特授權(quán)：1、授權(quán)先生為公司管理者代表，其主要職責(zé)（角色）和權(quán)限為：1）確保公司信息安全管理體系所需過程得到建立、實(shí)施、運(yùn)行和保持。確保信息安全業(yè)務(wù)風(fēng)險(xiǎn)得到有效控制。2）向最高管理者報(bào)告信息安全管理體系業(yè)績(jī)（績(jī)效）和任何改善需求，為最高管理層評(píng)審提供依據(jù)。3）確保滿足顧客和相關(guān)方要求、法律法規(guī)要求的信息安全意識(shí)和信息安全風(fēng)險(xiǎn)意識(shí)在公司內(nèi)得到形成和提高。4）在信息安全管理體系事宜方面負(fù)責(zé)與外部的聯(lián)絡(luò)。2、授權(quán)女士為ISMS信息安全管理項(xiàng)目責(zé)任人，其主要職責(zé)（角色）和權(quán)限為：確保信息安全管理方的控制措施得到形成、實(shí)施、運(yùn)行和控制。3、授權(quán)各部門主管為信息安全管理體系在本部門的責(zé)任人，對(duì)ISMS要求在本部門的實(shí)施負(fù)責(zé)?？偨?jīng)理：2014年03月10日<公司名稱>文件編號(hào)XX-A-01信息安全管理體系手冊(cè)文件版次1.0密級(jí)敏感第17頁0前言<公司名稱>《信息安全管理體系手冊(cè)》（以下簡(jiǎn)稱本手冊(cè)）依據(jù)ISO/IEC27001:2013《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》，參照ISO/IEC27002:2013《信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則》，結(jié)合本行業(yè)信息安全的特點(diǎn)編寫。本手冊(cè)對(duì)本公司信息安全管理體系作出了概括性描述，為建立、實(shí)施和保持信息安全管理體系提供框架。1范圍1.1總則為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息安全管理體系，確定信息安全方針和目標(biāo)，對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行有效管理，確保全體員工理解并遵照?qǐng)?zhí)行信息安全管理體系文件、持續(xù)改進(jìn)信息安全管理體系的有效性，特制定本手冊(cè)。1.2應(yīng)用1.2.1覆蓋范圍本《信息安全管理體系手冊(cè)》規(guī)定了<公司名稱>信息安全管理體系涉及的應(yīng)用軟件的開發(fā)和維護(hù)信息安全管理、職責(zé)管理、內(nèi)部審核、管理評(píng)審和信息安全管理體系持續(xù)改進(jìn)等方面內(nèi)容。具體見4.2.2.1條款規(guī)定。1.2.2刪減說明本《信息安全管理體系手冊(cè)》采用了ISO/IEC27001:2013標(biāo)準(zhǔn)正文的全部?jī)?nèi)容，對(duì)附錄A的刪減及理由詳見《信息安全適用性聲明SoA》。2規(guī)范性引用文件下列文件中的條款通過本《信息安全管理體系手冊(cè)》的引用而成為本《信息安全管理體系手冊(cè)》的條款。凡是標(biāo)注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修改版均不適用于本《信息安全管理體系手冊(cè)》，然而，信息安全管理小組應(yīng)研究是否可使用這些文件的最新版本。凡是不注日期的引用文件、其最新版本適用于本《信息安全管理體系手冊(cè)》。ISO/IEC27001:2013《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》ISO/IEC27002:2013《信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則》3術(shù)語和定義3.1術(shù)語ISO/IEC27001:2013《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》、ISO/IEC27002:2013《信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則》規(guī)定的術(shù)語和定義以及下述定義適用于本《信息安全管理體系手冊(cè)》。本組織、本公司、我公司：指<公司名稱>。3.2縮寫ISMS：InformationSecurityManagementSystems信息安全管理體系；SoA:：StatementofApplicability適用性聲明；PDCA:：PlanDoCheckAction計(jì)劃、實(shí)施、檢查、改進(jìn)。4信息安全管理體系4.1總要求4.1.1要求本公司在涉及應(yīng)用軟件的開發(fā)和維護(hù)按ISO/IEC27001:2013《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》規(guī)定，參照ISO/IEC27002:2013《信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則》標(biāo)準(zhǔn)建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息安全管理體系。4.1.2P信息安全管理體系使用的過程基于圖1所示的PDCA模型。建立ISMS實(shí)施和運(yùn)行ISMS保持和改進(jìn)ISMS監(jiān)視和評(píng)審ISMS相關(guān)方信息安全要求和期望相關(guān)方受控的信息安全規(guī)劃Plan檢查Check處置Act實(shí)施Do圖1信息安全管理體系PDCA模型4.2建立和管理信息安全管理體系4.2.1建立信息安全管理體系4.2.1.1信息安全管理體系的范圍和邊界本公司根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)確定了范圍和邊界：ISMS的范圍是：本《信息安全管理體系手冊(cè)》采用了ISO/IEC27001:2013標(biāo)準(zhǔn)正文的全部?jī)?nèi)容，對(duì)附錄A的刪減及理由詳見《信息安全適用性聲明SoA》；ISMS的邊界是：（詳見《附錄7-公司外部環(huán)境、內(nèi)部環(huán)境及網(wǎng)絡(luò)圖》）4.2.1.2信息安全管理體系的方針4.2.1.2.1方針為了滿足適用法律法規(guī)及相關(guān)方要求，維持ISMS范圍內(nèi)的業(yè)務(wù)正常進(jìn)行，實(shí)現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展，本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)確定了信息安全管理體系方針：切實(shí)推行安全管理,積極防御風(fēng)險(xiǎn)4.2.1.2.2要求本公司信息安全管理體系方針符合以下要求：為信息安全目標(biāo)建立了框架，并為信息安全活動(dòng)建立整體的方向和原則；識(shí)別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求；與組織戰(zhàn)略和風(fēng)險(xiǎn)管理相一致的環(huán)境下，建立和保持信息安全管理體系；建立了風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)則；經(jīng)總經(jīng)理批準(zhǔn)，并定期評(píng)審其適用性、充分性，必要時(shí)予以修訂。4.2.1.2.3承諾為實(shí)現(xiàn)信息安全管理體系方針，本公司承諾：在公司內(nèi)各層次建立完整的信息安全管理組織機(jī)構(gòu)，確定信息安全方針、安全目標(biāo)和控制措施，明確信息安全的管理職責(zé)；識(shí)別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求；定期進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估，信息安全管理體系評(píng)審，采取糾正預(yù)防措施，保證體系的持續(xù)有效性；采用先進(jìn)有效的設(shè)施和技術(shù)，處理、傳遞、儲(chǔ)存和保護(hù)各類信息，實(shí)現(xiàn)信息共享；對(duì)全體員工進(jìn)行持續(xù)的信息安全教育和培訓(xùn)，不斷增強(qiáng)員工的信息安全意識(shí)和能力；制定并保持完善的業(yè)務(wù)連續(xù)性計(jì)劃，實(shí)現(xiàn)可持續(xù)發(fā)展。4.2.1.3風(fēng)險(xiǎn)評(píng)估的方法信息安全管理小組制定《信息安全風(fēng)險(xiǎn)管理程序》，建立識(shí)別適用于信息安全管理體系和已經(jīng)識(shí)別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風(fēng)險(xiǎn)評(píng)估方法，建立接受風(fēng)險(xiǎn)的準(zhǔn)則并識(shí)別風(fēng)險(xiǎn)的可接受等級(jí)。按信息安全風(fēng)險(xiǎn)評(píng)估執(zhí)行《信息安全風(fēng)險(xiǎn)管理程序》進(jìn)行，以保證所選擇的風(fēng)險(xiǎn)評(píng)估方法應(yīng)確保風(fēng)險(xiǎn)評(píng)估能產(chǎn)生可比較的和可重復(fù)的結(jié)果。4.2.1.4識(shí)別風(fēng)險(xiǎn)在已確定的信息安全管理體系范圍內(nèi)，本公司按《信息安全風(fēng)險(xiǎn)管理程序》對(duì)所有的資產(chǎn)和資產(chǎn)所有者進(jìn)行了識(shí)別；對(duì)每一項(xiàng)資產(chǎn)按重置成本級(jí)別、保密性、完整性、可用性和資產(chǎn)價(jià)值及重要性級(jí)別進(jìn)行了量化賦值，根據(jù)重要資產(chǎn)判斷準(zhǔn)則確定是否為重要資產(chǎn)，形成《重要資產(chǎn)清單》。同時(shí)根據(jù)《信息安全風(fēng)險(xiǎn)管理程序》識(shí)別對(duì)這些資產(chǎn)的威脅、可能被威脅利用的脆弱性、現(xiàn)有的控制措施及現(xiàn)有控制措施的有效性，并通過對(duì)這些項(xiàng)目的賦值計(jì)算出在喪失保密性、完整性和可用性可能對(duì)重要資產(chǎn)造成的影響。4.2.1.5分析和評(píng)價(jià)風(fēng)險(xiǎn)本公司按《信息安全風(fēng)險(xiǎn)管理程序》分析和評(píng)價(jià)風(fēng)險(xiǎn)：針對(duì)重要資產(chǎn)的價(jià)值和脆弱性嚴(yán)重程度，計(jì)算出風(fēng)險(xiǎn)發(fā)生的影響值；針對(duì)每一項(xiàng)威脅發(fā)生頻率、脆弱性被威脅利用的容易程度進(jìn)行賦值，然后計(jì)算得出風(fēng)險(xiǎn)發(fā)生的可能性；根據(jù)《信息安全風(fēng)險(xiǎn)管理程序》計(jì)算風(fēng)險(xiǎn)等級(jí)，從而得出風(fēng)險(xiǎn)等級(jí)；根據(jù)《信息安全風(fēng)險(xiǎn)管理程序》及風(fēng)險(xiǎn)接受準(zhǔn)則，判斷風(fēng)險(xiǎn)為可接受或需要處理。4.2.1.6識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的選擇信息安全管理小組和相關(guān)部門根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，形成《信息安全風(fēng)險(xiǎn)處理計(jì)劃》，該計(jì)劃明確了風(fēng)險(xiǎn)處理責(zé)任部門、負(fù)責(zé)人、處理方法及起始、完成時(shí)間。對(duì)于信息安全風(fēng)險(xiǎn)，應(yīng)考慮控制措施與費(fèi)用的平衡原則，選用以下適當(dāng)?shù)拇胧嚎刂骑L(fēng)險(xiǎn)，采用適當(dāng)?shù)膬?nèi)部控制措施；接受風(fēng)險(xiǎn)；避免風(fēng)險(xiǎn)；轉(zhuǎn)移風(fēng)險(xiǎn)。4.2.1.7選擇控制目標(biāo)與控制措施信息安全管理小組根據(jù)相關(guān)法律法規(guī)要求、信息安全方針、業(yè)務(wù)發(fā)展要求及風(fēng)險(xiǎn)評(píng)估的結(jié)果，組織有關(guān)部門選擇和制定了信息安全目標(biāo)，并將目標(biāo)分解到有關(guān)部門（見《信息安全適用性聲明》）：信息安全控制目標(biāo)獲得總經(jīng)理的批準(zhǔn)。控制目標(biāo)及控制措施的選擇原則來源于ISO/IEC27001:2013附錄A，具體控制措施參考ISO/IEC27002:2013《信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則》。本公司根據(jù)信息安全管理的需要，可以選擇標(biāo)準(zhǔn)之外的其他控制措施。4.2.1.8剩余風(fēng)險(xiǎn)對(duì)風(fēng)險(xiǎn)處理后的剩余風(fēng)險(xiǎn)應(yīng)形成《信息安全剩余風(fēng)險(xiǎn)評(píng)估報(bào)告》并得到公司管理者的批準(zhǔn)。4.2.1.9授權(quán)管理者對(duì)實(shí)施和運(yùn)行信息安全管理體系進(jìn)行授權(quán)。4.2.1.10適用性聲明信息安全管理小組編制《信息安全適用性聲明（SoA）》。該聲明包括以下方面的內(nèi)容：所選擇控制目標(biāo)與控制措施的概要描述，以及選擇的原因；對(duì)ISO/IEC27001:2013附錄A中未選用的控制目標(biāo)及控制措施理由的說明。4.2.2實(shí)施及運(yùn)行信息安全管理體系4.2.2.1活動(dòng)為確保信息安全管理體系有效實(shí)施，對(duì)已識(shí)別的風(fēng)險(xiǎn)進(jìn)行有效處理，本公司開展以下活動(dòng)：形成《信息安全風(fēng)險(xiǎn)處理計(jì)劃》，以確定適當(dāng)?shù)墓芾泶胧?、職?zé)及安全控制措施的優(yōu)先級(jí)；為實(shí)現(xiàn)已確定的安全目標(biāo)、實(shí)施《信息安全風(fēng)險(xiǎn)處理計(jì)劃》，明確各崗位的信息安全職責(zé)；實(shí)施所選擇的控制措施，以實(shí)現(xiàn)控制目標(biāo)的要求；確定如何測(cè)量所選擇的控制措施的有效性，并規(guī)定這些測(cè)量措施如何用于評(píng)估控制的有效性以得出可比較的、可重復(fù)的結(jié)果；進(jìn)行信息安全培訓(xùn)，提高全員信息安全意識(shí)和能力；對(duì)信息安全體系的運(yùn)行進(jìn)行管理；對(duì)信息安全所需資源進(jìn)行管理；實(shí)施控制程序，對(duì)信息安全事故（或征兆）進(jìn)行迅速反應(yīng)。4.2.2.2信息安全組織機(jī)構(gòu)本公司成立信息安全領(lǐng)導(dǎo)機(jī)構(gòu)——信息安全管理小組的職責(zé)是實(shí)現(xiàn)信息安全管理體系方針和本公司承諾。具體職責(zé)是：研究決定信息安全工作涉及到的重大事項(xiàng)；審定公司信息安全方針、目標(biāo)、工作計(jì)劃和重要文件；為信息安全工作的有序推進(jìn)和信息安全管理體系的有效運(yùn)行提供必要的資源。本公司的信息安全職能由信息安全管理小組承擔(dān)，其主要職責(zé)是：負(fù)責(zé)制訂、落實(shí)信息安全工作計(jì)劃，對(duì)單位、部門信息安全工作進(jìn)行檢查、指導(dǎo)和協(xié)調(diào)，建立健全企業(yè)的信息安全管理體系，保持其有效、持續(xù)運(yùn)行。本公司采取相關(guān)部門代表組成的協(xié)調(diào)會(huì)的方式，進(jìn)行信息安全協(xié)調(diào)和協(xié)作，以：確保安全活動(dòng)的執(zhí)行符合信息安全方針；確定怎樣處理不符合；批準(zhǔn)信息安全的方法和過程，如風(fēng)險(xiǎn)評(píng)估、信息分類；識(shí)別重大的威脅變化，以及信息和相關(guān)的信息處理設(shè)施對(duì)威脅的暴露；評(píng)估信息安全控制措施實(shí)施的充分性和協(xié)調(diào)性；有效的推動(dòng)組織內(nèi)信息安全教育、培訓(xùn)和意識(shí)；評(píng)價(jià)根據(jù)信息安全事件監(jiān)控和評(píng)審得出的信息，并根據(jù)識(shí)別的信息安全事件推薦適當(dāng)?shù)拇胧?.2.2.3信息安全職責(zé)和權(quán)限本公司總經(jīng)理為信息安全最高責(zé)任者?？偨?jīng)理指定信息安全管理者代表,無論信息安全管理者代表其他方面的職責(zé)如何，對(duì)信息安全負(fù)有以下職責(zé)：建立并實(shí)施信息安全管理體系必要的程序并維持其有效運(yùn)行；對(duì)信息安全管理體系的運(yùn)行情況和必要的改善措施向信息安全管理小組或最高責(zé)任者報(bào)告。各部門負(fù)責(zé)人為本部門信息安全管理責(zé)任者，全體員工都應(yīng)按保密承諾的要求自覺履行信息安全保密義務(wù)。各部門、人員有關(guān)信息安全職責(zé)分配見附錄3（規(guī)范性附錄）《職責(zé)權(quán)限》和相應(yīng)的程序文件（管理標(biāo)準(zhǔn)）、規(guī)定及崗位說明書。4.2.2.4控制措施各部門應(yīng)按照《信息安全適用性聲明》中規(guī)定的安全目標(biāo)、控制措施（包括信息安全運(yùn)行的各種管理標(biāo)準(zhǔn)、規(guī)章制度）的要求實(shí)施信息安全控制措施。4.2.3監(jiān)督與評(píng)審信息安全管理體系4.2.3.1活動(dòng)本公司通過實(shí)施不定期安全檢查、內(nèi)部審核、事故報(bào)告調(diào)查處理、電子監(jiān)控、定期技術(shù)檢查等控制措施并報(bào)告結(jié)果以實(shí)現(xiàn)：及時(shí)發(fā)現(xiàn)處理結(jié)果中的錯(cuò)誤、信息安全管理體系的事故和隱患；及時(shí)了解識(shí)別失敗的和成功的安全破壞和事件、信息處理系統(tǒng)遭受的各類攻擊；使管理者確認(rèn)人工或自動(dòng)執(zhí)行的安全活動(dòng)達(dá)到預(yù)期的結(jié)果；使管理者掌握信息安全活動(dòng)和解決安全破壞所采取的措施是否有效；積累信息安全方面的經(jīng)驗(yàn)。4.2.3.2管理評(píng)審根據(jù)以上活動(dòng)的結(jié)果以及來自相關(guān)方的建議和反饋，由總經(jīng)理主持，每年至少一次對(duì)信息安全管理體系的有效性進(jìn)行評(píng)審，其中包括信息安全管理體系的范圍、方針、目標(biāo)的符合性及控制措施有效性的評(píng)審，考慮信息安全審核、事件、有效性測(cè)量的結(jié)果，以及所有相關(guān)方的建議和反饋。管理評(píng)審的具體要求，見本手冊(cè)第7章。4.2.3.3檢查和測(cè)量在管理標(biāo)準(zhǔn)中，對(duì)安全措施的實(shí)施規(guī)定了檢查和測(cè)量的要求。同時(shí)，信息安全管理小組應(yīng)定期的進(jìn)行信息安全檢查和信息安全技術(shù)監(jiān)督，通過對(duì)安全措施的實(shí)施檢查和信息安全技術(shù)監(jiān)督，保證安全措施得到滿足。4.2.3.4風(fēng)險(xiǎn)再評(píng)估信息安全管理小組組織有關(guān)部門按照《信息安全風(fēng)險(xiǎn)管理程序》的要求，對(duì)風(fēng)險(xiǎn)處理后的殘余風(fēng)險(xiǎn)進(jìn)行定期評(píng)審，以驗(yàn)證殘余風(fēng)險(xiǎn)是否達(dá)到可接受的水平，對(duì)以下方面變更情況應(yīng)及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估：組織；技術(shù)；業(yè)務(wù)目標(biāo)和過程；已識(shí)別的威脅；實(shí)施控制的有效性；外部事件，例如法律或規(guī)章環(huán)境的變化、合同責(zé)任的變化以及社會(huì)環(huán)境的變化。4.2.3.5內(nèi)部審核按照計(jì)劃的時(shí)間間隔進(jìn)行信息安全管理體系內(nèi)部審核，內(nèi)部審核的具體要求，見本手冊(cè)第6章。4.2.3.6更新計(jì)劃考慮監(jiān)視和評(píng)審活動(dòng)的發(fā)現(xiàn)，更新信息安全計(jì)劃。4.2.3.7記錄記錄可能對(duì)信息安全管理體系有效性或業(yè)績(jī)有影響的活動(dòng)和事情。4.2.4保持與持續(xù)改進(jìn)信息安全管理體系我公司開展以下活動(dòng)，以確保信息安全管理體系的持續(xù)改進(jìn)：實(shí)施每年管理評(píng)審、內(nèi)部審核、安全檢查等活動(dòng)以確定需改進(jìn)的項(xiàng)目；按照本手冊(cè)第6章和第8章的要求采取適當(dāng)?shù)募m正和預(yù)防措施；吸取其他組織及本公司安全事故的經(jīng)驗(yàn)教訓(xùn)，不斷改進(jìn)安全措施的有效性；通過適當(dāng)?shù)氖侄伪３衷趦?nèi)部對(duì)信息安全措施的執(zhí)行情況與結(jié)果進(jìn)行有效的溝通。包括獲取外部信息安全專家的建議、信息安全政府行政主管部門的聯(lián)系及識(shí)別顧客對(duì)信息安全的要求等；對(duì)信息安全目標(biāo)及分解進(jìn)行適當(dāng)?shù)墓芾?，確保改進(jìn)達(dá)到預(yù)期的效果。4.3文件要求4.3.1總則本公司信息安全管理體系文件包括：文件化的信息安全方針，在《信息安全管理體系手冊(cè)》中描述,選擇的控制目標(biāo)在《信息安全適用性聲明SoA》中描述；《信息安全管理體系手冊(cè)》（本手冊(cè)，包括信息安全適用范圍及引用的標(biāo)準(zhǔn)）；ISO/IEC27001:2013標(biāo)準(zhǔn)中規(guī)定需文件化的程序；本手冊(cè)涉及的相關(guān)支持性程序性文件，例如《信息安全風(fēng)險(xiǎn)管理程序》；為確保有效策劃、運(yùn)作和控制信息安全過程所制定的文件化操作程序；《風(fēng)險(xiǎn)處理計(jì)劃》以及信息安全管理體系要求的記錄類；相關(guān)的法律、法規(guī)和信息安全標(biāo)準(zhǔn)；《信息安全適用性聲明SoA》。4.3.2文件控制4.3.2.1要求信息安全管理小組按《文件控制程序》的要求，對(duì)信息安全管理體系所要求的文件進(jìn)行管理。對(duì)《信息安全管理體系手冊(cè)》、程序文件、管理規(guī)定、作業(yè)指導(dǎo)書和為保證信息安全管理體系有效策劃、運(yùn)行和控制所需的受控文件的編制、評(píng)審、批準(zhǔn)、標(biāo)識(shí)、發(fā)放、使用、修訂、作廢、回收等工作實(shí)施控制，以確保在使用場(chǎng)所能夠及時(shí)獲得適用文件的有效版本。4.3.2.2文件控制文件控制應(yīng)保證：文件發(fā)布前得到批準(zhǔn)，以確保文件是充分的；必要時(shí)對(duì)文件進(jìn)行評(píng)審、更新并再次批準(zhǔn)；確保文件的更改和現(xiàn)行修訂狀態(tài)得到識(shí)別；確保在使用時(shí)，可獲得相關(guān)文件的最新版本；確保文件保持清晰、易于識(shí)別；確保文件可以為需要者所獲得，并根據(jù)適用于他們類別的程序進(jìn)行轉(zhuǎn)移、存儲(chǔ)和最終的銷毀；確保外來文件得到識(shí)別；確保文件的分發(fā)得到控制；防止作廢文件的非預(yù)期使用；若因任何目的需保留作廢文件時(shí)，應(yīng)對(duì)其進(jìn)行適當(dāng)?shù)臉?biāo)識(shí)。4.3.2.3外來文件管理外來文件包括信息安全法律、行政法規(guī)、部門規(guī)章、地方法規(guī)，按以下規(guī)定執(zhí)行：信息安全適用的法律法規(guī)按照《信息安全法律法規(guī)管理程序》規(guī)定執(zhí)行；外來的文件按照《文件控制程序》和其他相關(guān)規(guī)定執(zhí)行；外來標(biāo)準(zhǔn)按本公司標(biāo)準(zhǔn)化管理的相關(guān)規(guī)定進(jìn)行。4.3.3記錄控制4.3.3.1要求信息安全管理體系所要求的記錄是信息安全管理體系符合標(biāo)準(zhǔn)要求和有效運(yùn)行的證據(jù)。4.3.3.2職責(zé)信息安全管理小組按《記錄控制程序》的要求，對(duì)記錄的標(biāo)識(shí)、儲(chǔ)存、保護(hù)、檢索、保管、廢棄等進(jìn)行管理。4.3.3.3記錄信息安全管理的記錄應(yīng)包括本手冊(cè)第4.2條中所列出的所有過程的結(jié)果及與信息安全管理體系相關(guān)的安全事故的記錄。4.3.3.4分類信息安全管理體系的記錄按出處可分為以下四類：程序文件所要求的記錄；工作標(biāo)準(zhǔn)和作業(yè)文件所要求的記錄；規(guī)章制度、規(guī)定所要求的記錄；其他證實(shí)信息安全管理體系符合標(biāo)準(zhǔn)要求和有效運(yùn)行的記錄。4.3.3.5形式信息安全管理記錄可以是表、單、卡、臺(tái)帳、記錄本、報(bào)告、紀(jì)要、證、圖等多種適用的形式，可以是書面的或電子媒體的。4.3.3.6歸檔需要?dú)w檔的記錄，按《記錄控制程序》執(zhí)行，屬于電子數(shù)據(jù)的記錄，按《重要信息備份管理程序》執(zhí)行。5管理職責(zé)5.1管理承諾我公司管理者通過以下活動(dòng)，對(duì)建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理體系的承諾提供證據(jù)：建立信息安全方針；確保信息安全目標(biāo)和計(jì)劃得以制定（見《信息安全適用性聲明SoA》、《風(fēng)險(xiǎn)處理計(jì)劃》及相關(guān)記錄）；建立信息安全的角色和職責(zé)(見本手冊(cè)附錄3（規(guī)范性附錄）《職責(zé)權(quán)限》和相應(yīng)的管理程序；向組織傳達(dá)滿足信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性；提供充分的資源，以建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)審、保持并改進(jìn)信息安全管理體系(見本手冊(cè)第5.2.1章)；決定接受風(fēng)險(xiǎn)的準(zhǔn)則和風(fēng)險(xiǎn)的可接受等級(jí)(見《信息安全風(fēng)險(xiǎn)管理程序》及相關(guān)記錄)；確保內(nèi)部信息安全管理體系審核（見本手冊(cè)第6章）得以實(shí)施；實(shí)施信息安全管理體系管理評(píng)審（見本手冊(cè)第7章）。5.2資源管理5.2.1資源的提供本公司確定并提供實(shí)施、保持信息安全管理體系所需資源；采取適當(dāng)措施，使影響信息安全管理體系工作的員工是有能力勝任的，以保證：建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理體系；確保信息安全程序支持業(yè)務(wù)要求；識(shí)別并指出法律法規(guī)要求和合同安全責(zé)任；通過正確應(yīng)用所實(shí)施的所有控制來保持充分的安全；必要時(shí)，進(jìn)行評(píng)審，并對(duì)評(píng)審的結(jié)果采取適當(dāng)措施；需要時(shí)，改進(jìn)信息安全管理體系的有效性。5.2.2培訓(xùn)、意識(shí)和能力信息安全管理小組制定并實(shí)施《員工培訓(xùn)管理程序》文件，確保被分配信息安全管理體系規(guī)定職責(zé)的所有人員，都必須有能力執(zhí)行所要求的任務(wù)?？梢酝ㄟ^：確定承擔(dān)信息安全管理體系各工作崗位的職工所必要的能力；提供職業(yè)技術(shù)教育和技能培訓(xùn)或采取其他的措施來滿足這些需求；評(píng)價(jià)所采取措施的有效性；保留教育、培訓(xùn)、技能、經(jīng)驗(yàn)和資格的記錄。本公司還確保所有相關(guān)人員意識(shí)到其所從事的信息安全活動(dòng)的相關(guān)性和重要性，以及如何為實(shí)現(xiàn)信息安全管理體系目標(biāo)做出貢獻(xiàn)。6內(nèi)部信息安全管理體系審核6.1總則6.1.1要求本公司信息安全管理小組按《內(nèi)部審核管理程序》的要求策劃和實(shí)施信息安全管理體系內(nèi)部審核以及報(bào)告結(jié)果和保持記錄。6.1.2活動(dòng)本公司每年進(jìn)行壹次信息安全管理體系內(nèi)部審核，以確定其信息安全管理體系的控制目標(biāo)、控制措施、過程和程序是否：符合本標(biāo)準(zhǔn)的要求和相關(guān)法律法規(guī)的要求；符合已識(shí)別的信息安全要求；得到有效地實(shí)施和維護(hù)；按預(yù)期執(zhí)行。6.2內(nèi)審策劃信息安全管理小組策劃審核的過程、區(qū)域的狀況、重要性以及以往審核的結(jié)果，對(duì)審核工作進(jìn)行策劃。應(yīng)編制《年度內(nèi)審計(jì)劃》，確定審核的準(zhǔn)則、范圍、頻次和方法。每次審核前，信息安全管理小組應(yīng)編制《內(nèi)部審核計(jì)劃》，確定審核的準(zhǔn)則、范圍、日程和審核組。審核員的選擇和審核的實(shí)施應(yīng)確保審核過程的客觀性和公正性。審核員不應(yīng)審核自己的工作?！秲?nèi)部審核計(jì)劃》，經(jīng)信息安全管理者代表批準(zhǔn)，提前3天通知被審核部門，被審核部門到時(shí)應(yīng)選派有關(guān)人員配合審核。6.3內(nèi)審員內(nèi)部審核員必須是熟悉本公司信息安全管理情況，參加內(nèi)部審核員培訓(xùn)并考核合格的人員。內(nèi)部審核員應(yīng)來自于不同的部門，審核人員應(yīng)與被審活動(dòng)無直接責(zé)任，以保持工作的獨(dú)立性。各部門選擇符合內(nèi)部審核員條件的候選人，參加內(nèi)部審核員培訓(xùn)并考試合格，填寫《內(nèi)部審核員評(píng)定表》，經(jīng)信息安全管理者代表批準(zhǔn)，方取得內(nèi)部審核員資格。6.4內(nèi)審實(shí)施6.4.1活動(dòng)應(yīng)按審核計(jì)劃的要求實(shí)施審核，包括：進(jìn)行首次會(huì)議，明確審核的目的和范圍，采用的方法和程序；實(shí)施現(xiàn)場(chǎng)審核，檢查相關(guān)文件、記錄和憑證，與相關(guān)人員進(jìn)行交流，填寫審核發(fā)現(xiàn)；對(duì)檢查內(nèi)容進(jìn)行分析，對(duì)審核發(fā)現(xiàn)的問題在《不符合項(xiàng)報(bào)告及糾正報(bào)告單》中開出不符合項(xiàng)；審核組長(zhǎng)編制《內(nèi)部審核報(bào)告》。6.4.2不符合處理對(duì)審核中提出的不符合項(xiàng)，責(zé)任部門應(yīng)制定糾正措施，由信息安全管理小組對(duì)糾正措施的實(shí)施情況進(jìn)行跟蹤、驗(yàn)證，將結(jié)果記入《不符合項(xiàng)報(bào)告及糾正報(bào)告單》。6.4.3記錄內(nèi)部審核記錄由信息安全管理小組保存，并作為管理評(píng)審的輸入之一。7管理評(píng)審7.1總則總經(jīng)理應(yīng)每年進(jìn)行一次管理評(píng)審，以確保信息安全管理體系持續(xù)的適宜性、充分性和有效性，管理評(píng)審按《管理評(píng)審程序》進(jìn)行。管理評(píng)審應(yīng)包括評(píng)價(jià)信息安全管理體系改進(jìn)的機(jī)會(huì)和變更的需要，包括信息安全方針和信息安全目標(biāo)。管理評(píng)審的結(jié)果應(yīng)清晰地形成文件，記錄應(yīng)加以保持。7.2評(píng)審輸入管理評(píng)審的輸入要包括以下信息：信息安全管理體系審核和評(píng)審的結(jié)果；相關(guān)方的反饋；用于改進(jìn)信息安全管理體系業(yè)績(jī)和有效性的技術(shù)、產(chǎn)品或程序；預(yù)防和糾正措施的狀況；以往風(fēng)險(xiǎn)評(píng)估沒有充分強(qiáng)調(diào)的脆弱性或威脅；有效性測(cè)量的結(jié)果；以往管理評(píng)審的跟蹤措施；任何可能影響信息安全管理體系的變更；改進(jìn)的建議。7.3評(píng)審輸出管理評(píng)審的輸出應(yīng)包括與下列內(nèi)容相關(guān)的任何決定和措施：信息安全管理體系有效性的改進(jìn)；更新風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理計(jì)劃；必要時(shí)，修訂影響信息安全的程序和控制措施，以反映可能影響信息安全管理體系的內(nèi)外事件，包括以下方面的變化：業(yè)務(wù)要求；安全要求；影響現(xiàn)有業(yè)務(wù)要求的業(yè)務(wù)過程；法律法規(guī)要求；合同責(zé)任；風(fēng)險(xiǎn)等級(jí)和（或）風(fēng)險(xiǎn)接受準(zhǔn)則。資源需求；改進(jìn)測(cè)量控制措施有效性的方式。8信息安全管理體系改進(jìn)8.1持續(xù)改進(jìn)本公司依據(jù)《糾正措施控制程序》和《預(yù)防措施控制程序》的要求,通過使用信息安全方針、信息安全目標(biāo)、審核結(jié)果、監(jiān)控事件的分析、糾正和預(yù)防措施以及管理評(píng)審（見本手冊(cè)第7章），持續(xù)改進(jìn)信息安全管理體系的有效性。8.2糾正措施本公司信息安全管理小組處理糾正措施，不符合事項(xiàng)的責(zé)任部門負(fù)責(zé)采取糾正措施，以消除與信息安全管理體系要求不符合的原因，以防止再發(fā)生。糾正措施的實(shí)施按《糾正措施控制程序》進(jìn)行。糾正措施的制定和實(shí)施程序如下：識(shí)別信息安全事件及不符合；確定信息安全事件及不符合的原因；評(píng)價(jià)確保不符合不再發(fā)生的措施要求；確定和實(shí)施所需的糾正措施；記錄所采取措施的結(jié)果；評(píng)審所采取的糾正措施。8.3預(yù)防措施本公司信息安全管理小組處理預(yù)防措施，潛在不符合事項(xiàng)的相關(guān)部門采取預(yù)防措施，以消除潛在與信息安全管理體系要求不符合或不期望事項(xiàng)發(fā)生的原因，防止其發(fā)生。所采取的預(yù)防措施應(yīng)與潛在問題的影響程度相適應(yīng)。預(yù)防措施的實(shí)施按《預(yù)防措施控制程序》進(jìn)行。預(yù)防措施的制定與實(shí)施程序要求如下：識(shí)別潛在的不符合及其原因；評(píng)價(jià)預(yù)防不符合發(fā)生的措施要求；確定并實(shí)施所需的預(yù)防措施；記錄所采取措施的結(jié)果；評(píng)審所采取的預(yù)防措施。我公司信息安全管理小組定期組織進(jìn)行風(fēng)險(xiǎn)評(píng)估，以識(shí)別變化的風(fēng)險(xiǎn)，并通過關(guān)注變化顯著的風(fēng)險(xiǎn)來識(shí)別預(yù)防措施要求。預(yù)防措施的優(yōu)先級(jí)應(yīng)基于風(fēng)險(xiǎn)評(píng)估結(jié)果來確定。

附錄1-組織概況 組織基本情況介紹 XX信息科技有限公司成立于2003年，是一家專業(yè)提供計(jì)算機(jī)信息技術(shù)的服務(wù)商。主要經(jīng)營(yíng)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)集成、閉路電視監(jiān)控系統(tǒng)及一卡通等智能化弱電工程設(shè)計(jì)與施工、電教多媒體平臺(tái)系統(tǒng)工程、電教軟件等。我公司已通過ISO9001質(zhì)量體系認(rèn)證，并取得廣東省公安廳頒發(fā)的《安全技術(shù)防范系統(tǒng)設(shè)計(jì)、施工、維修資格證》（叁級(jí)）。

XX信息科技有限公司，在監(jiān)控安防市場(chǎng)是海康威視系列產(chǎn)品、依時(shí)利（Eastriver)一卡通的珠海授權(quán)代理商、是松下、三星、索尼安防產(chǎn)品的經(jīng)銷商；是聯(lián)想、HP電腦的合作伙伴；是NEC、Panasonic、SONY、EPSON投影機(jī)在珠海授權(quán)經(jīng)銷商；是Cisco、H3c、銳捷網(wǎng)絡(luò)的分銷商；是IBM、HP、DELL、浪潮服務(wù)器的經(jīng)銷商。

永浩公司門市部批發(fā)的產(chǎn)品有：硬盤錄像機(jī)、多類型攝像機(jī)、不同視頻路數(shù)的視頻卡及各種監(jiān)控安防傳輸及配件產(chǎn)品等。主要經(jīng)營(yíng)的軟件產(chǎn)品有：視頻控制軟件、網(wǎng)絡(luò)安全防范軟件、視頻服務(wù)系統(tǒng)等。

永浩科技公司，具有獨(dú)立400㎡的寫字樓、100㎡批發(fā)門市及多家聯(lián)盟代理點(diǎn)。公司暫設(shè)組織機(jī)構(gòu)有行政人事部、財(cái)務(wù)部、網(wǎng)絡(luò)、監(jiān)控安防工程部；批發(fā)門市部；售后服務(wù)部等部門。目前在職員工三十余人，大多具有大學(xué)文化程度和相應(yīng)的專業(yè)技能，有高素質(zhì)工程師數(shù)人，95%以上的員工為多年從事信息化工作，具有豐富實(shí)踐經(jīng)驗(yàn)的IT精英。永浩公司始終謹(jǐn)守“誠(chéng)實(shí)守信、服務(wù)至上、品質(zhì)為本”的經(jīng)營(yíng)理念，著力鍛造懂管理、精技術(shù)的服務(wù)團(tuán)隊(duì)，制訂嚴(yán)格的管理制度，不斷完善服務(wù)流程，配備各種專用設(shè)備及先進(jìn)的檢測(cè)儀器，長(zhǎng)期向客戶提供全面、高效的服務(wù)質(zhì)量。附錄2-組織機(jī)構(gòu)圖信息安全管理者代表信息安全管理者代表信息安全管理小組財(cái)務(wù)部行政部商務(wù)部工程部信息安全管理組織結(jié)構(gòu)信息安全管理者代表一般職責(zé)：負(fù)責(zé)公司信息安全管理的全部事務(wù)分發(fā)，事務(wù)協(xié)調(diào)，監(jiān)督各個(gè)部門對(duì)信息安全的管理，審核各個(gè)部門的信息安全管理有關(guān)的文件，報(bào)表等，對(duì)總經(jīng)理負(fù)責(zé)。信息安全管理小組：一般職責(zé)，協(xié)助信息安全管理代表進(jìn)行信息安全管理工作，對(duì)信息安全管理者帶邊負(fù)責(zé)。財(cái)務(wù)部一般職責(zé)：負(fù)責(zé)部門統(tǒng)計(jì)本部門重要資產(chǎn)，并對(duì)本部門重要資產(chǎn)進(jìn)行安全管理。財(cái)務(wù)部安全職責(zé)：按照信息安全管理程序文件和手冊(cè)文件，對(duì)本部門重要資產(chǎn)定期進(jìn)行信息安全排查，分析出潛在的故障風(fēng)險(xiǎn)，記錄出現(xiàn)的信息安全問題，如硬件無法解決，協(xié)調(diào)工程部共同解決。商務(wù)部一般職責(zé)：負(fù)責(zé)部門統(tǒng)計(jì)本部門重要資產(chǎn)，并對(duì)本部門重要資產(chǎn)進(jìn)行安全管理。商務(wù)部安全職責(zé)：按照信息安全管理程序文件和手冊(cè)文件，對(duì)本部門重要資產(chǎn)定期進(jìn)行信息安全排查，分析出潛在的故障風(fēng)險(xiǎn)，記錄出現(xiàn)的信息安全問題，如硬件無法解決，協(xié)調(diào)工程部共同解決。行政部一般職責(zé)：負(fù)責(zé)部門統(tǒng)計(jì)本部門重要資產(chǎn)，并對(duì)本部門重要資產(chǎn)進(jìn)行安全管理。行政部安全職責(zé)：按照信息安全管理程序文件和手冊(cè)文件，對(duì)本部門重要資產(chǎn)定期進(jìn)行信息安全排查，分析出潛在的故障風(fēng)險(xiǎn)，記錄出現(xiàn)的信息安全問題，如硬件無法解決，協(xié)調(diào)工程部共同解決。工程部一般職責(zé)：負(fù)責(zé)部門統(tǒng)計(jì)本部門重要資產(chǎn)，并對(duì)本部門重要資產(chǎn)進(jìn)行安全管理。工程部安全職責(zé)：按照信息安全管理程序文件和手冊(cè)文件，對(duì)本部門重要資產(chǎn)定期進(jìn)行信息安全排查，分析出潛在的故障風(fēng)險(xiǎn)，記錄出現(xiàn)的信息安全問題，協(xié)助其他部門進(jìn)行硬件修復(fù)。附錄3-職能分配表部門要素信息安全管理小組行政部商務(wù)部財(cái)務(wù)部工程部4.1總要求△▲△△△4.2.1建立ISMS△▲△△△4.2.2實(shí)施和運(yùn)行ISMS▲△△△4.2.3監(jiān)視和評(píng)審ISMS▲△△△4.2.4保持和改進(jìn)ISMS▲△△△4.3.1文件要求總則△▲▲△4.3.2文件控制△▲▲△4.3.3記錄控制△▲▲△5.1管理職責(zé)管理承諾△▲△△△5.2.1資源管理資源提供△▲△△△5.2.2培訓(xùn)，意識(shí)和能力△▲▲△6內(nèi)部ISMS審核▲△△△7ISMS的管理評(píng)審△▲△△△8ISMS改進(jìn)▲△△△A.5安全方針△▲△△△A.6.1信息安全組織內(nèi)部組織▲△△△A.6.2外部各方▲△△△A.7資產(chǎn)管理▲▲△A.7.1資產(chǎn)責(zé)任▲▲▲A.7.2信息分類▲▲△A.8.1人力資源安全任用前△▲▲△A.8.2人力資源安全任用中△▲▲△A.8.3任用的終止或變化△▲▲△A.9.1物理和環(huán)境安全安全區(qū)域▲△△△A.9.2設(shè)備安全▲△△△A.10.1通訊和操作管理操作程序和職責(zé)▲△△△A.10.2第三