ISO27001-2013信息安全管理手冊(GBT-22080-2016)

XXXX有限公司信息安全管理手冊ISO27001:2013編制：審核：批準(zhǔn)：

信息安全管理手冊目錄TOC\o"1-2"\h\z\u25861.概述 4282641.1目的 433581.2適用范圍 4313721.3頒布令 441631.4授權(quán)書 5176692.依據(jù)文件和術(shù)語 6218202.1依據(jù)文件 6103832.2術(shù)語定義 7134063.裁剪說明 727034.組織環(huán)境 7149294.1組織環(huán)境描述 7303314.2信息安全相關(guān)方的需求和期望 10308164.3信息安全管理體系范圍的確定 10177784.4體系概述 11174475.領(lǐng)導(dǎo)力 13152885.1領(lǐng)導(dǎo)力和承諾 13188525.2信息安全方針和目標(biāo) 1348515.3組織角色、職責(zé)和權(quán)限 14110106.策劃 16244026.1風(fēng)險評估和處置 169206.2目標(biāo)實現(xiàn)過程 17284357.支持 1940757.1資源提供 19325067.2能力管理 1927437.3意識培訓(xùn) 19132387.4信息安全溝通管理 2039137.5文件記錄管理 2018708.運行 2350478.1體系策劃與運行 2350478.2風(fēng)險評估 2350478.3風(fēng)險處置 2448689.績效評價 25250099.1監(jiān)視、測量、分析和評價 25273959.2內(nèi)部審核 2643689.3管理評審 273251110.改進(jìn) 29436810.1不符合和糾正措施 29436810.2持續(xù)改進(jìn) 29649411.信息安全總體控制 3120587A.5信息安全策略 3116567A.6信息安全組織 3130630A.7人力資源安全 348913A.8資產(chǎn)管理 3415130A.9訪問控制 3418380A.10密碼控制 3530788A.11物理和環(huán)境安全 357591A.12操作安全 356601A.13通信安全 3628274A.14系統(tǒng)獲取、開發(fā)和維護 3611130A.15供應(yīng)商關(guān)系 3716592A.16信息安全事故 3725395A.17業(yè)務(wù)連續(xù)性管理的信息安全方面 3715816A.18符合性 3728154附件一：信息安全組織架構(gòu)映射表 3919969附件二：信息安全職責(zé)分配表 40概述為提高服務(wù)質(zhì)量，規(guī)范管理活動，保障系統(tǒng)安全運行，提升人員安全意識水平，XXXXXX軟件有限公司（以下簡稱“公司”）依據(jù)信息安全管理標(biāo)準(zhǔn)《GB/T22080-2016/ISO/IEC27001:2013信息技術(shù)安全技術(shù)信息安全管理體系要求》的相關(guān)要求，結(jié)合自身業(yè)務(wù)系統(tǒng)實際運行安全需求，已建立實施了一套科學(xué)有效的信息安全管理體系，并通過體系的有效運行，實現(xiàn)持續(xù)改進(jìn)，達(dá)到動態(tài)系統(tǒng)、全員參與、制度化的、以預(yù)防為主的信息安全管理方式。目的本總綱為公司信息安全管理體系的綱領(lǐng)性文件，描述了信息安全管理體系的方針、目標(biāo)、管理機制和要求等方面的內(nèi)容。通過建立策劃（P）執(zhí)行（D）檢查（C）改進(jìn)（A）的持續(xù)改進(jìn)機制，不斷提高公司的信息安全管理水平，確保日常信息安全管理活動的安全、穩(wěn)定、高效，提升企業(yè)核心競爭力。適用范圍本總綱所描述信息安全管理體系適用于公司所有部門，所涉及業(yè)務(wù)范圍包括信息技術(shù)處理設(shè)施的管理運維服務(wù)、信息技術(shù)系統(tǒng)的開發(fā)、獲取和運行維護、人員的信息安全、數(shù)據(jù)的安全等在內(nèi)的各項信息安全管理相關(guān)活動。頒布令為提高信息安全管理水平，貫徹落實“以客戶為中心，將安全意識融入日常工作、嚴(yán)格審查各項控制措施、及時消除安全隱患、保障業(yè)務(wù)連續(xù)性?！钡幕痉结?，保障公司的生產(chǎn)、經(jīng)營、服務(wù)和日常管理活動，防止由于信息系統(tǒng)故障、數(shù)據(jù)的丟失、敏感信息的泄密所導(dǎo)致的業(yè)務(wù)中斷或安全事故，公司特依據(jù)《GB/T22080-2016/ISO/IEC27001:2013信息技術(shù)安全技術(shù)信息安全管理體系要求》標(biāo)準(zhǔn)要求，建立了文件化的信息安全管理體系。本體系是信息安全管理的綱領(lǐng)性文件，是指導(dǎo)公司建立并實施信息安全管理體系的綱領(lǐng)和行動準(zhǔn)則，用于貫徹信息安全管理方針，實現(xiàn)信息安全管理體系的有效運行和持續(xù)改進(jìn)。全體員工必須嚴(yán)格按照本總綱的要求，自覺貫徹管理方針，嚴(yán)格執(zhí)行本總綱的各項規(guī)定，努力實現(xiàn)公司生產(chǎn)運行和日常辦公的安全。并傳達(dá)給外部相關(guān)方。本手冊自頒布之日起生效執(zhí)行。 公司總經(jīng)理：XXXX 二零一八年七月一日授權(quán)書為了貫徹執(zhí)行信息安全管理體系，滿足《GB/T22080-2016/ISO/IEC27001:2013信息技術(shù)安全技術(shù)信息安全管理體系要求》的要求，加強對信息安全管理體系建設(shè)和持續(xù)運行的領(lǐng)導(dǎo)工作，特任命XXX先生為公司信息安全管理者代表。授權(quán)信息安全管理者代表有如下職責(zé)和權(quán)限：領(lǐng)導(dǎo)信息安全管理體系的建立、運行和維護，開展資產(chǎn)識別和風(fēng)險評估；協(xié)調(diào)與信息安全管理體系有關(guān)的各項工作；確保提高員工信息安全意識；督促信息安全管理體系內(nèi)部審核和信息安全檢查的開展；協(xié)助最高管理者進(jìn)行信息安全管理體系的管理評審；向最高管理者報告信息安全管理體系的業(yè)績和改進(jìn)要求。本授權(quán)書自任命日起生效執(zhí)行。公司總經(jīng)理：XXX二零一八年七月一日依據(jù)文件和術(shù)語依據(jù)文件本總綱的制定參考并依據(jù)了下列文件資料，詳見《符合性實施制度》。法律法規(guī)：是指我國頒布的、所有相關(guān)且具有約束和指導(dǎo)作用的法律、法規(guī)；監(jiān)管規(guī)定：是指證監(jiān)會及其分支機構(gòu)頒布的具有約束和指導(dǎo)作用的所有文件、規(guī)定等；文件：公司下發(fā)的對信息業(yè)務(wù)系統(tǒng)、信息安全管理等有約束力和指導(dǎo)作用的所有文件；國際慣例：是指開展業(yè)務(wù)以及提供信息安全建設(shè)過程中必須遵循的具有約束和指導(dǎo)作用的國際通用慣例；標(biāo)準(zhǔn)：《GB/T22080-2016/ISO/IEC27001:2013信息技術(shù)安全技術(shù)信息安全管理體系要求》；術(shù)語定義信息安全：對信息的機密性、完整性和可用性的保護；機密性：確保信息僅供給那些獲得授權(quán)的人使用；完整性：保護信息及信息處理方法的準(zhǔn)確性和完全性；可用性：確保獲得授權(quán)使用該信息及信息系統(tǒng)的人能及時、可靠地使用；風(fēng)險評估：評估信息及信息處理系統(tǒng)所存在的或可能產(chǎn)生的威脅、影響和薄弱環(huán)節(jié)，是風(fēng)險分析和風(fēng)險評價的全過程；風(fēng)險管理：指導(dǎo)和控制組織通過區(qū)分、控制、減少或去除等方法將風(fēng)險控制在可承受范圍內(nèi)的活動；裁剪說明《GB/T22080-2016/ISO/IEC27001:2013信息技術(shù)安全技術(shù)信息安全管理體系要求》的條款與公司信息安全管理體系的適用關(guān)系，詳見《信息安全管理體系適用性聲明(SOA)》。組織環(huán)境組織環(huán)境描述1、內(nèi)外部組織關(guān)系XXXXXX軟件有限公司成立于2001年，是中國領(lǐng)先的呼叫中心與云計算應(yīng)用服務(wù)提供商。公司倡導(dǎo)“人性化科技幫助客戶提升業(yè)績”，致力于幫助企業(yè)利用云計算技術(shù)，以客戶為中心，協(xié)同各種經(jīng)營資源，改善營銷流和服務(wù)流，從而提高人均產(chǎn)值，重塑客戶體驗。XX軟件是中國云計算應(yīng)用/SaaS、PaaS應(yīng)用的先驅(qū)，從2005年即開始研發(fā)云計算SaaS產(chǎn)品，擁有上百人的云計算專業(yè)研發(fā)隊伍、國內(nèi)一流的云計算業(yè)務(wù)咨詢顧問和運營服務(wù)團隊，擁有50余項自主知識產(chǎn)權(quán)?？偨?jīng)理應(yīng)確定與其目標(biāo)相關(guān)并影響其實現(xiàn)信息安全管理體系預(yù)期結(jié)果的能力的外部和內(nèi)部問題。公司內(nèi)部問題包括：a)人員流動、人員意外傷害、人員故意泄密、違反規(guī)章制度泄密、人員無知泄密、網(wǎng)絡(luò)管理者安全保密意識不強造成網(wǎng)絡(luò)管理的漏洞;b)病毒的侵襲、黑客的非法闖入、數(shù)據(jù)"竊聽"和攔截、拒絕服務(wù)、內(nèi)部網(wǎng)絡(luò)安全、電子商務(wù)攻擊、惡意掃描、密碼破解、數(shù)據(jù)篡改、垃圾郵件、地址欺騙、系統(tǒng)權(quán)限濫用;c)電腦丟失或被盜用、意外斷電、未經(jīng)授權(quán)的系統(tǒng)訪問、設(shè)備故障、介質(zhì)使用或處置不當(dāng)造成泄密;d)文檔資料被蟲咬、火災(zāi)、受潮、丟失、非預(yù)期有使用或濫用;f)第三方服務(wù)的崩潰、缺乏對服務(wù)的監(jiān)控;公司外部問題包括：a)廣大中小企業(yè)、行業(yè)與事業(yè)單位用戶對于信息安全的意識淡漠；b)自然災(zāi)害；c)意外事故；d)行業(yè)競爭激烈；e)社會的不安定因素；2、法律法規(guī)環(huán)境公司應(yīng)遵循信息安全法律法規(guī)要求和義務(wù)，避免員工違反法律、法規(guī)的要求，控制相關(guān)法律風(fēng)險。具體要求見《符合性實施制度》。3、組織架構(gòu)及部門職責(zé)公司組織架構(gòu)圖如下，部門包括總經(jīng)辦、行政部、人力資源部、商務(wù)采購部、財務(wù)部、產(chǎn)品部、銷售部、服務(wù)部、研發(fā)部、測試部。如下圖所示：總經(jīng)辦負(fù)責(zé)協(xié)助總經(jīng)理執(zhí)行日常工作計劃和其他工作安排；執(zhí)行相關(guān)信息安全管理規(guī)章制度。行政部負(fù)責(zé)公司各項行政事務(wù)管理工作；完善公司內(nèi)部控制制度建設(shè)；負(fù)責(zé)日常行政事務(wù)工作和辦公設(shè)施、辦公場所等管理工作；上級領(lǐng)導(dǎo)交辦的其他工作；負(fù)責(zé)制定并執(zhí)行相關(guān)信息安全管理的規(guī)章制度。人力資源部負(fù)責(zé)人力資源規(guī)劃的制定、實施及完善；負(fù)責(zé)組織機構(gòu)方案、人員編制、崗位評價方案的研擬與執(zhí)行；負(fù)責(zé)培訓(xùn)體系、績效考評體系的制定、實施及追蹤；負(fù)責(zé)公司人力成本的預(yù)算及調(diào)控；部門費用預(yù)算的控制；負(fù)責(zé)企業(yè)文化的建立、宣傳及推動；員工職業(yè)生涯的規(guī)劃設(shè)計；負(fù)責(zé)員工的招聘、高級人才的引進(jìn)；執(zhí)行相關(guān)信息安全管理的規(guī)章制度。商務(wù)采購部負(fù)責(zé)公司第三方服務(wù)業(yè)務(wù)談判及組織實施；負(fù)責(zé)各項第三方服務(wù)業(yè)務(wù)合同的保管、查詢、建立合同檔案，定期檢查合同執(zhí)行情況，不斷完善合同的各項條款；負(fù)責(zé)各項第三方服務(wù)業(yè)務(wù)合同的簽訂、變更、執(zhí)行、終止；負(fù)責(zé)各種促銷活動方案中商戶的協(xié)調(diào)和落實；執(zhí)行相關(guān)信息安全管理的規(guī)章制度；財務(wù)部圍繞公司的經(jīng)營發(fā)展規(guī)劃和工作計劃，負(fù)責(zé)編制公司財務(wù)計劃和費用預(yù)算，有效地籌劃和運用公司資金；財務(wù)制度的建設(shè)和規(guī)范的制定；做好財務(wù)統(tǒng)計和會計賬目、報表及年終結(jié)算工作，并妥善保管會計憑證，賬簿、報表和其他檔案資料；財務(wù)部日常管理工作，部門人員的管理、培訓(xùn)、考核；建立健全公司內(nèi)部核算的組織、指導(dǎo)和數(shù)據(jù)管理體系，以及核算和財務(wù)管理的規(guī)章制度；做好公司各項資金的收取與支出管理工作；執(zhí)行相關(guān)信息安全管理的規(guī)章制度。產(chǎn)品部為公司提供準(zhǔn)確的行業(yè)定位，及時提供市場信息反饋；制定和實施年度產(chǎn)品推廣計劃和新產(chǎn)品開發(fā)計劃（依據(jù)市場需求的變化，要提出合理化建議）；依據(jù)市場變化要隨時調(diào)整產(chǎn)品戰(zhàn)略與營銷戰(zhàn)術(shù)（包括產(chǎn)品價格的調(diào)整等），并組織相關(guān)人員接受最新產(chǎn)品知識的培訓(xùn)；制定公司品牌管理與發(fā)展策略，維護公司品牌；管理、監(jiān)督和控制市場政策執(zhí)行情況；執(zhí)行相關(guān)信息安全管理的規(guī)章制度。銷售部負(fù)責(zé)產(chǎn)品或服務(wù)的銷售工作；負(fù)責(zé)代理人市場的推廣，特別是戰(zhàn)略客戶的市場推廣策略并實施；負(fù)責(zé)制定并管理銷售業(yè)務(wù)流程；負(fù)責(zé)對銷售業(yè)務(wù)流程執(zhí)行的監(jiān)督；執(zhí)行相關(guān)信息安全管理規(guī)章制度。服務(wù)部負(fù)責(zé)對本部門新員工的工作技能進(jìn)行培訓(xùn)，并進(jìn)行考核；負(fù)責(zé)云端產(chǎn)品部署、管理、維護、運營和服務(wù)運營質(zhì)量的管理和提升工作；負(fù)責(zé)客戶關(guān)系的維護、客戶的技術(shù)培訓(xùn)、合同的執(zhí)行，項目驗收等相關(guān)工作；負(fù)責(zé)大數(shù)據(jù)的運營、自建呼叫中心平臺及云端產(chǎn)品的客戶業(yè)務(wù)和售后服務(wù)工作，保證客戶的滿意度；負(fù)責(zé)制定和執(zhí)行服務(wù)運營及環(huán)境維護管理規(guī)章制度和相關(guān)信息安全管理的規(guī)章制度。研發(fā)部負(fù)責(zé)提供符合客戶要求和認(rèn)可的技術(shù)支持和解決方案；承擔(dān)產(chǎn)品設(shè)計和開發(fā)工作；負(fù)責(zé)技術(shù)方案的評審工作，保證技術(shù)方案的可行性；負(fù)責(zé)組織和協(xié)調(diào)開發(fā)項目的資源，保證項目按計劃進(jìn)行；負(fù)責(zé)制定項目計劃，并根據(jù)各種變化修改項目計劃；制定有效的項目決策過程；負(fù)責(zé)實施項目的管理、開發(fā)、質(zhì)量保證過程，確保客戶的成本、進(jìn)度、績效和質(zhì)量目標(biāo)；負(fù)責(zé)確保在項目生命周期中遵循實施公司的管理和質(zhì)量政策；負(fù)責(zé)招聘和培訓(xùn)必須的項目成員；負(fù)責(zé)確定項目的人員組織結(jié)構(gòu);進(jìn)行風(fēng)險管理；負(fù)責(zé)定期舉行項目評估(review)會議；負(fù)責(zé)為項目所有成員提供足夠的設(shè)備、有效的工具和項目開發(fā)過程；負(fù)責(zé)有效管理項目資源；負(fù)責(zé)制定并執(zhí)行相關(guān)信息安全管理的規(guī)章制度。測試部負(fù)責(zé)協(xié)調(diào)業(yè)務(wù)管理體系下各部門工作；負(fù)責(zé)源代碼及軟件的完整性、可用性、功能、性能進(jìn)行系統(tǒng)性測試；負(fù)責(zé)對各業(yè)務(wù)系統(tǒng)及運行環(huán)境進(jìn)行系統(tǒng)性測試和安全性檢測；負(fù)責(zé)對源代碼資源系統(tǒng)管理及備份；負(fù)責(zé)制定并執(zhí)行相關(guān)信息安全管理的規(guī)章制度。信息安全相關(guān)方的需求和期望公司信息安全相關(guān)方包括認(rèn)證單位、客戶、供應(yīng)商、內(nèi)部部門及員工等。各相關(guān)方的信息安全要求和期望均應(yīng)及時識別，并在實際業(yè)務(wù)開展時應(yīng)遵照執(zhí)行。相關(guān)方識別原因信息安全要求和期望更新頻率識別方法認(rèn)證單位ISO27001符合體系標(biāo)準(zhǔn)要求方可通過認(rèn)證相關(guān)資質(zhì)的信息安全要求認(rèn)證標(biāo)準(zhǔn)發(fā)布周期與認(rèn)證單位聯(lián)系客戶合同關(guān)系合同中要求的信息安全內(nèi)容合同要求更新周期合同供應(yīng)商合同關(guān)系合同中要求的信息安全內(nèi)容合同要求更新周期合同內(nèi)部部門及員工信息安全工作執(zhí)行層各部門實際工作中的信息安全要求個人隱私安全不定期安全會信息安全管理體系范圍的確定體系范圍的確定主要考慮到公司的實際業(yè)務(wù)特點和資源的合理利用，在公司范圍內(nèi)建立信息安全管理體系，有利于全面的提高公司信息安全管理水平，保障業(yè)務(wù)穩(wěn)定發(fā)展的需求。業(yè)務(wù)范圍：云呼叫中心軟件平臺的開發(fā)及運維、呼叫中心業(yè)務(wù)及相關(guān)信息服務(wù)；物理范圍：XX市XX區(qū)XX路XX號XX中心X座XXX室；資產(chǎn)范圍：支撐業(yè)務(wù)活動的文檔、數(shù)據(jù)、軟硬件系統(tǒng)、物理環(huán)境、人員及支持性第三方服務(wù)、無形資產(chǎn)（專利）等全部信息資產(chǎn)；組織范圍：總經(jīng)辦、行政部、人力資源部、商務(wù)采購部、財務(wù)部、產(chǎn)品部、銷售部、服務(wù)部、研發(fā)部、測試部。體系概述公司依據(jù)《GB/T22080-2016/ISO/IEC27001:2013信息技術(shù)安全技術(shù)信息安全管理體系要求》的要求，同時考慮行業(yè)的特點，從業(yè)務(wù)需求出發(fā)，遵從風(fēng)險管理的理念，注重過程管理，建立和實施信息安全管理體系，確保與信息安全相關(guān)的資源、技術(shù)、管理等因素處于受控狀態(tài)，形成文件并加以實施、保持和持續(xù)改進(jìn)，有效防范各類安全事故或人為有意的破壞事件，保障公司信息的保密性、完整性和可用性，確保各項業(yè)務(wù)的連續(xù)性。公司依據(jù)整體業(yè)務(wù)活動和風(fēng)險，按照GB/T22080-2016標(biāo)準(zhǔn)的要求，建立、實施、運行、監(jiān)視、評審、保持和改進(jìn)信息安全管理體系，將PDCA（Plan、Do、Check和Act）持續(xù)改進(jìn)模型作為貫穿整個信息安全管理的主要指導(dǎo)思想。如下圖所示。a）規(guī)劃（建立ISMS）：建立與管理風(fēng)險和改進(jìn)信息安全有關(guān)的ISMS方針、目標(biāo)、過程和程序，以提供與組織總方針和總目標(biāo)相一致的結(jié)果；b）實施（實施和運行ISMS）：實施和運行ISMS方針、控制措施、過程和程序；c）檢查（監(jiān)視和評審ISMS）：對照ISMS方針、目標(biāo)和實踐經(jīng)驗，評估并在適當(dāng)時，測量過程的執(zhí)行情況，并將結(jié)果報告管理者以供評審；d）處置（保持和改進(jìn)ISMS）：基于ISMS內(nèi)部審核和管理評審的結(jié)果或者其他相關(guān)信息，采取糾正和預(yù)防措施，以持續(xù)改進(jìn)ISMS。領(lǐng)導(dǎo)力領(lǐng)導(dǎo)力和承諾由公司負(fù)責(zé)人授權(quán)管理者代表全權(quán)負(fù)責(zé)信息安全管理體系的日常工作，包括批準(zhǔn)并正式發(fā)布各項制度、規(guī)定，建立體系推進(jìn)組織，任命相關(guān)角色，協(xié)調(diào)與信息安全管理體系有關(guān)的各項工作（詳見4.1.3組織架構(gòu)及部門職責(zé)）。公司總經(jīng)理通過以下活動，對建立、實施、運作、監(jiān)視、評審、保持和改進(jìn)信息安全管理體系的承諾提供證據(jù)：a)建立信息安全方針(見《信息安全方針》)；b)確保信息安全目標(biāo)和計劃得以制定（見《信息安全目標(biāo)》及相關(guān)記錄）；c)提供充分的資源，以建立、實施、運作、監(jiān)視、評審、保持并改進(jìn)信息安全管理體系(見本手冊第7.1章)；d)建立信息安全的角色和職責(zé)和相應(yīng)的管理程序；e)向組織傳達(dá)滿足信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性；f)實施信息安全管理體系管理評審，確保信息安全管理體系達(dá)到其預(yù)期的效果（見本手冊第9章）；g)指導(dǎo)和支持員工對信息安全管理體系做出有效的貢獻(xiàn)；h)確保內(nèi)部信息安全管理體系審核得以實施，促進(jìn)持續(xù)改進(jìn)（見本手冊第9章）；i)支持其他相關(guān)管理角色來展示自己的領(lǐng)導(dǎo)力，因為它適用于他們的職責(zé)范圍。信息安全方針和目標(biāo)公司信息安全方針的制定考慮了以下方面的要求：a)與公司信息安全管理意圖相適宜；b)作為制定ISMS目標(biāo)的框架及為采取信息安全措施建立總的方向與原則；c)考慮公司業(yè)務(wù)發(fā)展、法律法規(guī)要求及其他相關(guān)方信息安全的要求；d)包括對持續(xù)改進(jìn)信息安全管理體系的承諾；信息安全方針的批準(zhǔn)、發(fā)布及修訂由公司總經(jīng)理負(fù)責(zé)，最終方針應(yīng)形成文件化信息并可用；通過培訓(xùn)、宣貫等方式使得本公司員工知曉并執(zhí)行相關(guān)內(nèi)容；通過有效途徑告知相關(guān)方、客戶群等，以提高安全保密意識及服務(wù)水平；并定期通過《管理評審控制程序》評審其適用性、充分性，必要時予以修訂。信息安全方針:以客戶為中心，將安全意識融入日常工作、嚴(yán)格審查各項控制措施、及時消除安全隱患、保障業(yè)務(wù)連續(xù)性。信息安全目標(biāo):為落實上述方針，公司定義如下信息安全目標(biāo)：全年不發(fā)生重大信息安全事件和二級以上運行安全事故；重要保障時期不發(fā)生三級以上安全事件。組織角色、職責(zé)和權(quán)限信息安全管理體系負(fù)責(zé)人（工作小組組長）：負(fù)責(zé)組織建立、實施、保持和改進(jìn)信息安全管理體系，保證信息安全體系的有效運行；負(fù)責(zé)公司信息安全管理手冊（一級）的審核，制度文件（二級）的審批；組織并領(lǐng)導(dǎo)公司內(nèi)部審核工作；負(fù)責(zé)組織發(fā)起信息安全管理體系的管理評審工作；負(fù)責(zé)向領(lǐng)導(dǎo)小組報告信息安全體系運行的業(yè)績和任何改進(jìn)的需求。信息安全工作小組：負(fù)責(zé)本部門的信息安全管理工作，負(fù)責(zé)保護本部門所管理、使用的信息資產(chǎn)的安全；負(fù)責(zé)指導(dǎo)和要求本部門員工遵守信息安全政策；組織落實部門信息安全糾正措施(包括內(nèi)部審核整改意見)和預(yù)防措施。公司全體員工：嚴(yán)格遵守所有與信息安全相關(guān)的國家法律、法規(guī)和政策，遵守公司所有的信息安全政策，并簽字承諾遵守保密協(xié)議的有關(guān)規(guī)定；以安全負(fù)責(zé)的方式使用公司的信息資產(chǎn)；積極參加信息安全教育與培訓(xùn)，提高信息安全意識；有責(zé)任將違反信息安全政策的事件與行為及時報告給本部門信息安全管理員及其他相關(guān)人員。策劃應(yīng)對風(fēng)險和機會的措施6.1.1總則為建立和實施信息安全管理體系，公司信息安全管理采用過程方法，把與信息安全相關(guān)的資源和活動作為過程來管理，即應(yīng)用PDCA過程方法，持續(xù)改進(jìn)信息安全管理體系。具體包括：識別并確定信息安全管理體系相關(guān)的策略、目標(biāo)、過程和制度，改進(jìn)信息安全以達(dá)到期望的結(jié)果；依據(jù)“過程模式”確定上述過程的順序和相互關(guān)系；將過程充分展開，明確信息安全控制點，編制形成信息安全管理體系文件；配置適當(dāng)?shù)馁Y源，提供必要的支持和信息，以保證過程的有效運作；持續(xù)測量、監(jiān)控和分析這些過程，并進(jìn)行必要的改進(jìn)。6.1.2風(fēng)險評估及機遇信息安全管理領(lǐng)導(dǎo)小組應(yīng)定義并應(yīng)用風(fēng)險評估過程，識別影響業(yè)務(wù)的潛在風(fēng)險及發(fā)展機遇以：建立和維護信息安全風(fēng)險標(biāo)準(zhǔn)，包括：風(fēng)險接受標(biāo)準(zhǔn)；實施信息安全風(fēng)險評估的標(biāo)準(zhǔn)。確保信息安全風(fēng)險評估活動一致性，產(chǎn)生有效的和可比較的結(jié)果；識別信息安全風(fēng)險：在信息安全管理體系范圍內(nèi)，通過信息安全風(fēng)險評估流程，識別由于信息的機密性、完整性和可用性的喪失帶來的風(fēng)險；識別風(fēng)險責(zé)任人。分析信息安全風(fēng)險：評估識別的風(fēng)險產(chǎn)生的潛在后果；評估識別的風(fēng)險轉(zhuǎn)化為事件的可能性；確定風(fēng)險的等級。評價信息安全風(fēng)險：將風(fēng)險分析結(jié)果與所定義的風(fēng)險標(biāo)準(zhǔn)進(jìn)行比較；根據(jù)風(fēng)險等級確定風(fēng)險處置的優(yōu)先級。6.1.3風(fēng)險處置信息安全管理領(lǐng)導(dǎo)小組應(yīng)定義和實施信息安全風(fēng)險處置過程：依據(jù)風(fēng)險評估的結(jié)論，選擇適當(dāng)?shù)男畔踩L(fēng)險處置方式；確定信息安全風(fēng)險處置所需的各項控制措施；將風(fēng)險處置中所選的各項控制措施的和標(biāo)準(zhǔn)附錄A中的控制措施進(jìn)行比較，確保沒有遺漏必要的控制措施；制定具備必要控制措施的適用性聲明SOA，適用性聲明要包含必要的控制措施、對包含的控制措施的合理性說明（無論是否實施）以及對標(biāo)準(zhǔn)附錄A控制措施刪減的合理性說明；制定信息安全風(fēng)險處置計劃；需得到風(fēng)險責(zé)任人對信息安全風(fēng)險處置計劃和殘余風(fēng)險接受的審核。有關(guān)風(fēng)險評估和處置的具體操作指導(dǎo)詳見《風(fēng)險評估管理制度》。目標(biāo)實現(xiàn)過程信息安全目標(biāo)將通過對信息安全風(fēng)險的來源識別、風(fēng)險處置、風(fēng)險跟蹤驗證、以及信息安全管理體系各流程的落地跟蹤，舉行不定期的安全評審會議的綜合過程來實現(xiàn)，同時保留相關(guān)文檔內(nèi)容。整體信息安全目標(biāo)實現(xiàn)過程內(nèi)容如下：風(fēng)險來源1）日常信息安全風(fēng)險管理工作：月度安全工作會議中發(fā)現(xiàn)的信息安全問題進(jìn)行評估，并全部進(jìn)行風(fēng)險處置。2）每年進(jìn)行一次集中風(fēng)險評估工作，具體開展過程為：定期的信息安全風(fēng)險評估活動：每年開展信息安全風(fēng)險評估活動，并根據(jù)信息安全風(fēng)險接受水平對活動中發(fā)現(xiàn)的中、高風(fēng)險進(jìn)行處置。3）做好各體系流程監(jiān)控工作：做好生產(chǎn)運營和信息安全相關(guān)的信息資產(chǎn)管理、系統(tǒng)交付投產(chǎn)、運行監(jiān)控、變更管理、數(shù)據(jù)提取與使用、補丁管理、密鑰管理、移動介質(zhì)管理、病毒防范、應(yīng)急處理和安全運營獎懲、故障分級評估、事故問責(zé)等方面的制度或流程的運行情況監(jiān)控,發(fā)現(xiàn)問題及時糾正。每年對各流程要求進(jìn)行回顧、評估和更新。2.風(fēng)險處置1）針對以上途徑發(fā)現(xiàn)的信息安全風(fēng)險，各部門負(fù)責(zé)制定相應(yīng)的整改計劃。針對信息安全管理類風(fēng)險如因制度或流程的缺失、制度或流程未嚴(yán)格執(zhí)行造成的安全風(fēng)險，由責(zé)任部門新增安全管理制度及流程或監(jiān)督本部門員工嚴(yán)格執(zhí)行安全制度。2）針對信息安全技術(shù)類風(fēng)險如滲透測試、主機掃描發(fā)現(xiàn)的安全漏洞，由公司技術(shù)部門統(tǒng)一負(fù)責(zé)整改。對于部分需要通過新增安全設(shè)備才能完全消減的風(fēng)險，在公司經(jīng)濟條件許可的情況下，由責(zé)任部門負(fù)責(zé)采購并部署。3.信息安全風(fēng)險處置的監(jiān)督和驗證信息安全工作組負(fù)責(zé)督促并監(jiān)督各組對信息安全風(fēng)險的處置。針對信息安全管理類風(fēng)險的處置情況，由信息安全工作組通過定期安全內(nèi)審的方式進(jìn)行驗證。針對信息安全技術(shù)類風(fēng)險的跟蹤，由信息安全工作組負(fù)責(zé)對安全漏洞的整改情況進(jìn)行復(fù)查驗證。4.評價周期及起始時間對安全目標(biāo)實現(xiàn)的評價，信息安全工作組每年組織召開信息安全管理評審會議，并邀請公司領(lǐng)導(dǎo)層參會，由信息安全管理體系負(fù)責(zé)人匯報信息安全管理體系運行狀況及目標(biāo)達(dá)成情況，與參會人員共同討論、最終評價信息安全目標(biāo)的達(dá)成情況。信息安全管理目標(biāo)的實現(xiàn)，不強制依賴于每年一次的信息安全管理評審會議，具體的信息安全管理目標(biāo)的達(dá)成情況判定，可通過每月的信息安全會議，并根據(jù)目標(biāo)達(dá)成情況，采取相應(yīng)的糾正預(yù)防措施。支持資源提供公司領(lǐng)導(dǎo)層應(yīng)確保提供以下方面所需的資源：實施、保持管理體系并持續(xù)改進(jìn)其有效性所需的各種資源；滿足客戶要求，提高客戶滿意度所需的各種資源。編制了《人力資源管理制度》，公司根據(jù)人員的學(xué)歷、技能和經(jīng)驗，組織面向全員的信息安全意識培訓(xùn)及面向特定人員的專業(yè)IT技能培訓(xùn)，確保其能勝任工作。信息安全能力管理結(jié)合當(dāng)前信息安全管理認(rèn)證范圍，對員工信息安全能力管理主要從以下幾方面出發(fā)來實現(xiàn)：影響信息安全執(zhí)行工作的人員崗位,在崗位設(shè)立時應(yīng)明確信息安全能力的要求,并在招聘時嚴(yán)格把關(guān)（例如學(xué)歷教育、能力測試等）；確保人員在適當(dāng)教育、培訓(xùn)和經(jīng)驗的基礎(chǔ)上能夠勝任工作；在人員調(diào)崗時,應(yīng)考慮相關(guān)人員信息安全能力的確定和培養(yǎng)。評價所采取措施的有效性。保留培訓(xùn)記錄作為能力培養(yǎng)的證據(jù)。意識培訓(xùn)每季度對當(dāng)季入職的所有新員工進(jìn)行信息安全意識培訓(xùn)并進(jìn)行考試，對于信息安全小組成員應(yīng)進(jìn)行崗位相關(guān)的信息安全專業(yè)培訓(xùn)，對于信息安全崗位的工作人員（如系統(tǒng)管理員）應(yīng)安排專業(yè)技能培訓(xùn)。對公司全體人員通過培訓(xùn)、學(xué)習(xí)、宣傳等方式提高人員信息安全意識，需了解到：a)信息安全方針；b)他們對信息安全管理體系有效性的貢獻(xiàn)，包括提高信息安全績效的收益；c)不符合信息安全管理體系要求所帶來的影響。信息安全溝通管理公司的利益相關(guān)方由三類群體構(gòu)成，分別是客戶、員工、供應(yīng)商。針對不同的相關(guān)方群體，溝通方式分為內(nèi)部和外部兩類，并建立起不同的溝通機制和聯(lián)系通訊錄，以及時了解來自利益相關(guān)方的信息安全要求或?qū)⒐镜男畔踩髠鬟_(dá)給利益相關(guān)方。溝通對象溝通機制與形式溝通內(nèi)容溝通頻率溝通責(zé)任部門客戶客戶滿意度調(diào)查改善服務(wù)，提升客戶滿意度客戶對信息安全的要求信息安全相關(guān)情況及問題溝通信息安全事件通報定期、發(fā)生時服務(wù)部員工信息安全意識培訓(xùn)信息安全目標(biāo)和方針信息安全制度要求信息安全職責(zé)信息安全意識調(diào)查不定期信息安全小組供應(yīng)商供應(yīng)商評價項目合作郵件往來電話咨詢供應(yīng)商服務(wù)評價公司信息安全要求信息安全咨詢建議信息安全事件響應(yīng)和處理不定期商務(wù)采購部文件記錄信息控制存檔信息是指支撐和維持公司信息安全管理體系運行的相關(guān)信息，以確保存儲信息能夠符合信息安全管理目標(biāo)，體現(xiàn)形式包括（但不限于）如下內(nèi)容：《GB/T22080-2016/ISO/IEC27001:2013信息技術(shù)安全技術(shù)信息安全管理體系要求》所要求的管理手冊；《GB/T22080-2016/ISO/IEC27001:2013信息技術(shù)安全技術(shù)信息安全管理體系要求》所要求的制度文件和作業(yè)指導(dǎo)書，即各項流程管理辦法、管理辦法、實施細(xì)則等；《GB/T22080-2016/ISO/IEC27001:2013信息技術(shù)安全技術(shù)信息安全管理體系要求》所要求的各項記錄和日志；信息安全管理體系運行所需要的其他相關(guān)信息，包括但不限于文檔、數(shù)據(jù)等?？倓t信息安全管理體系文件包括四個層次：即信息安全管理手冊、管理辦法/制度類文件、管理辦法/實施細(xì)則/操作指南類文件、記錄/日志。如下圖所示：各層級文件所關(guān)注的內(nèi)容依次如下：一階文件：關(guān)于信息安全管理體系的策略聲明文件，即信息安全管理手冊。二階文件：關(guān)于《GB/T22080-2016/ISO/IEC27001:2013信息技術(shù)安全技術(shù)信息安全管理體系要求》各個控制域的標(biāo)準(zhǔn)指南文件，體現(xiàn)信息安全管理體系在各個方面的目標(biāo)規(guī)范和基本要求。三階文件：關(guān)于具體信息安全問題的規(guī)程文件，指導(dǎo)實現(xiàn)對特定信息安全風(fēng)險點的控制和對具體業(yè)務(wù)工作的安全管理要求。四階文件：關(guān)于信息安全體系運行的各類記錄和報告，體現(xiàn)各項工作能夠按照文件的具體要求有效開展。文件控制公司對信息安全管理體系的相關(guān)文件進(jìn)行全面控制，以滿足《GB/T22080-2016/ISO/IEC27001:2013信息技術(shù)安全技術(shù)信息安全管理體系要求》標(biāo)準(zhǔn)，具體要求包括：確保文件編制、評審、批準(zhǔn)、發(fā)放、使用、修改、作廢得到有效的控制；確保文件清晰可辨，版本標(biāo)示清楚，易于識別和檢索；確保在使用時可獲得最新、有效版本的適用文件；確保外來文件得到識別，對文件的分發(fā)加以控制；對不同媒體和不同種類的文件，采取相應(yīng)的控制；防止作廢文件的非授權(quán)使用，保留作廢文件時，需對這些文件進(jìn)行明確的標(biāo)識。公司對信息安全管理體系文件的控制、文件分發(fā)及保管等控制做出規(guī)定，明確體系文件的最新版本應(yīng)從指定保管部門獲得，相關(guān)控制要求參見《文件控制制度》。記錄控制為提供符合信息安全管理體系要求的證據(jù)且體現(xiàn)體系的有效運行，保證管理過程的可追溯性，公司編制并實施了相關(guān)制度文件和流程管理辦法及實施細(xì)則，通過規(guī)定信息安全管理相關(guān)記錄的標(biāo)識、收集、歸檔、保管、借閱、銷毀和檢查等要求，確保相關(guān)記錄能夠保持完備、易于識別和檢索。建立相應(yīng)的信息記錄控制清單并明確責(zé)任部門、保存期限及存檔要求，相關(guān)控制要求參見《記錄控制制度》。7.5.4創(chuàng)建和更新總經(jīng)辦按《文件控制程序》的要求，對信息安全管理體系所要求的文件進(jìn)行管理。對信息安全管理手冊、程序文件、管理規(guī)定、作業(yè)指導(dǎo)書和為保證信息安全管理體系有效策劃、運行和控制所需的受控文件的編制、評審、批準(zhǔn)、標(biāo)識、發(fā)放、使用、修訂、作廢、回收等工作實施控制，以確保在使用場所能夠及時獲得適用文件的有效版本。文件的創(chuàng)建和更新應(yīng)確保：a)識別或描述文件時需包含標(biāo)題、日期、作者、編號等。b)文件格式可以是表、單、卡、臺帳、記錄本、報告、紀(jì)要、證、圖等多種適用的形式，可以是書面的或電子媒體的。c)文件發(fā)布前得到批準(zhǔn)，以確保文件是充分的。必要時對文件進(jìn)行評審、更新并再次批準(zhǔn)。運行體系策劃與運行公司依據(jù)PDCA的持續(xù)改進(jìn)模型建立信息安全管理體系。體系的策劃確定體系的管理范圍、方針和目標(biāo)；依據(jù)GB/T22080-2016/ISO/IEC27001:2013要求和公司管理要求，進(jìn)行差距和信息安全風(fēng)險評估；設(shè)計符合公司業(yè)務(wù)特點的信息安全管理體系架構(gòu)；建立安全管理規(guī)范，制定表單、計劃、報告模板等；落實崗位、角色和職責(zé)。體系的實施和運行為確保信息安全管理體系的正常運行，公司進(jìn)行如下部署以確保體系的執(zhí)行力；實施信息安全意識培訓(xùn)；嚴(yán)格按照管理體系要求，保留運行記錄，確保工作過程可追溯、工作結(jié)果可考核。風(fēng)險評估總經(jīng)辦每年應(yīng)組織對信息安全風(fēng)險重新評估一次，以適應(yīng)信息資產(chǎn)的變化，確定是否存在新的風(fēng)險及是否需要增加新的控制措施?？偨?jīng)辦組織有關(guān)部門按照《信息安全風(fēng)險評估控制制度》的要求，對風(fēng)險處理后的殘余風(fēng)險進(jìn)行定期評審，以驗證殘余風(fēng)險是否達(dá)到可接受的水平，對以下方面變更情況應(yīng)及時進(jìn)行風(fēng)險評估：a)組織；

b)技術(shù)；

c)業(yè)務(wù)目標(biāo)和過程；

d)已識別的威脅；

e)實施控制的有效性；

f)外部事件，例如法律或規(guī)章環(huán)境的變化、合同責(zé)任的變化以及社會環(huán)境的變化。風(fēng)險處置公司在對風(fēng)險等級進(jìn)行劃分后，應(yīng)考慮法律法規(guī)（包括客戶及相關(guān)方）的要求、組織自身的發(fā)展要求、風(fēng)險評估的結(jié)果確定安全水平，針對不可接受的風(fēng)險選擇適當(dāng)?shù)奶幚矸绞郊翱刂拼胧?。在風(fēng)險處理方式及控制措施的選擇上，本單位應(yīng)考慮發(fā)展戰(zhàn)略、企業(yè)文化、人員素質(zhì)，單位的實際情況、并特別關(guān)注成本與風(fēng)險的平衡，以處理安全風(fēng)險以滿足法律法規(guī)及相關(guān)方的要求，管理性與技術(shù)性的措施均可以降低風(fēng)險。風(fēng)險處置過程，應(yīng)按照風(fēng)險處置計劃，對風(fēng)險處置操作進(jìn)行記錄，同時按照風(fēng)險處置計劃進(jìn)行回顧、跟蹤和監(jiān)控，階段性報告上級領(lǐng)導(dǎo)及ISMS委員會，以檢查風(fēng)險處置措施的有效性與合理性，根據(jù)單位的實際情況，可對風(fēng)險處置計劃進(jìn)行必要的調(diào)整?？冃гu價監(jiān)視、測量、分析和評價9.1.1能力評價員工所在部門領(lǐng)導(dǎo)通過日常工作情況，根據(jù)崗位工作成績量化指標(biāo)，對員工的崗位目標(biāo)進(jìn)行量化考核，同時對重要崗位人員的信息安全能力進(jìn)行評估。如發(fā)現(xiàn)信息安全能力不足，相關(guān)部門負(fù)責(zé)人應(yīng)及時向人力資源管理部提出。人力資源管理部應(yīng)從以下方面保證員工信息安全能力滿足要求。招聘信息安全能力合格的新員工；通過培訓(xùn)提高現(xiàn)有人員的信息安全能力；購買信息安全服務(wù)，彌補信息安全不足可能造成的風(fēng)險。9.1.2有效性測量定期依據(jù)有效性測量的項目和目標(biāo)值對信息安全體系運作的有效性進(jìn)行測量，對測量的結(jié)果進(jìn)行分析和評價，并編制相關(guān)報告。信息安全管理體系控制措施有效性測量是實現(xiàn)信息安全管理體系目標(biāo)的重要保障機制，應(yīng)按照循序漸進(jìn)、持續(xù)改進(jìn)的原則，緊密結(jié)合信息安全方針，實現(xiàn)控制措施的可監(jiān)督和可測量，逐步完善測量項目和目標(biāo)值。參見《信息安全目標(biāo)及有效性測量制度》。實施流程設(shè)計測量指標(biāo)信息安全工作組依據(jù)信息安全管理策略設(shè)計衡量控制措施有效性的測量指標(biāo)。測量指標(biāo)應(yīng)集中在對公司相對重要的信息安全重點管控領(lǐng)域，包括但不限于：人員信息安全管理、資產(chǎn)管理、物理和環(huán)境管理、通訊與操作管理、訪問控制、信息安全事件管理等信息安全管理領(lǐng)域。信息安全工作組應(yīng)依據(jù)測量指標(biāo)制定相應(yīng)的測量方法、測量周期及目標(biāo)值。信息安全工作組應(yīng)將測量指標(biāo)、測量方法、目標(biāo)值、測量周期等信息，提交信息安全管理領(lǐng)導(dǎo)小組審核，經(jīng)審核后形成有效性測量統(tǒng)計表。實施測量信息安全工作組應(yīng)在管理評審會議召開前，依據(jù)有效性測量統(tǒng)計表要求的測量周期，組織各小組開展有效性測量活動。各小組信息安全員應(yīng)依據(jù)有效性測量統(tǒng)計表定義的數(shù)據(jù)來源收集、統(tǒng)計信息安全管理體系運行數(shù)據(jù)，并提交信息安全工作組。信息安全工作組對運行數(shù)據(jù)進(jìn)行統(tǒng)計分析，將測量指標(biāo)的實際值記錄于有效性測量統(tǒng)計表，并將實際值與目標(biāo)值進(jìn)行對比，若存在測量指標(biāo)未達(dá)標(biāo)項，將其提交信息安全管理領(lǐng)導(dǎo)小組確認(rèn)。信息安全工作組應(yīng)組織協(xié)調(diào)測量指標(biāo)未達(dá)標(biāo)的責(zé)任小組依據(jù)《糾正和預(yù)防措施控制制度》進(jìn)行改善。信息安全管理體系有效性測量活動應(yīng)在內(nèi)審及管理評審前開展，以保證通過內(nèi)審活動能有效地檢驗測量指標(biāo)的正確性，并將有效性測量的結(jié)果作為管理評審活動的輸入項。持續(xù)改進(jìn)測量根據(jù)“循序漸進(jìn)、持續(xù)改進(jìn)”的原則，信息安全工作組負(fù)責(zé)對有效性測量指標(biāo)不斷進(jìn)行完善。信息安全管理領(lǐng)導(dǎo)小組應(yīng)對測量指標(biāo)定期組織評估，結(jié)合實際環(huán)境的變化對現(xiàn)有的測量指標(biāo)進(jìn)行修訂或完善。評估周期應(yīng)不超過內(nèi)審活動的周期（每年至少一次），因此測量指標(biāo)修訂和完善的周期不能超過一年。內(nèi)部審核公司總經(jīng)辦按《內(nèi)部審核管理程序》的要求策劃和實施信息安全管理體系內(nèi)部審核以及報告結(jié)果和保持記錄。公司每年進(jìn)行一次信息安全管理體系內(nèi)部審核，以確定其信息安全管理體系的控制目標(biāo)、控制措施、過程和程序是否：a)符合本標(biāo)準(zhǔn)的要求和相關(guān)法律法規(guī)的要求；b)符合已識別的信息安全要求；c)得到有效地實施和維護；d)按預(yù)期執(zhí)行?？偨?jīng)辦在策劃審核方案（年度內(nèi)審計劃）時應(yīng)考慮：審核的過程、區(qū)域的狀況、重要性以及以往審核的結(jié)果。策劃結(jié)果應(yīng)編制《年度內(nèi)審計劃》，確定審核的準(zhǔn)則、范圍、頻次和方法。每次審核前，總經(jīng)辦應(yīng)編制《內(nèi)部審核計劃》，確定審核的準(zhǔn)則、范圍、日程和審核組。審核員的選擇和審核的實施應(yīng)確保審核過程的客觀性和公正性。審核員不應(yīng)審核自己的工作?！秲?nèi)部審核計劃》，經(jīng)管理者代表批準(zhǔn)，應(yīng)提前通知被審核部門，被審核部門到時應(yīng)選派有關(guān)人員配合審核。內(nèi)部審核員必須是熟悉本公司信息安全管理情況，參加內(nèi)部審核員培訓(xùn)并考核合格的人員。內(nèi)部審核員應(yīng)來自于不同的部門，審核人員應(yīng)與被審活動無直接責(zé)任，以保持工作的獨立性。每年管理者代表負(fù)責(zé)由考核合格的內(nèi)審員中選擇當(dāng)年需實施內(nèi)審的人員，在年度內(nèi)審計劃中予以授權(quán)，經(jīng)管理者代表批準(zhǔn)，方取得內(nèi)部審核員資格。審核組應(yīng)按審核計劃的要求實施審核，包括：a)進(jìn)行首次會議，明確審核的目的和范圍，采用的方法和程序；b)實施現(xiàn)場審核，檢查相關(guān)文件、記錄和憑證，與相關(guān)人員進(jìn)行交流，填寫審核發(fā)現(xiàn)；c)對檢查內(nèi)容進(jìn)行分析，對審核發(fā)現(xiàn)的問題在《不符合報告》中開出不符合項；d)審核組長編制《內(nèi)部審核報告》。對審核中提出的不符合項，責(zé)任部門應(yīng)制定糾正措施，由內(nèi)審組組長對糾正措施的實施情況進(jìn)行跟蹤、驗證，將結(jié)果記入《不符合報告》。內(nèi)部審核記錄由行政人事中心保存，并作為管理評審的輸入之一。管理評審總經(jīng)理應(yīng)每年進(jìn)行一次管理評審，兩次管理評審時間不超過12個月，以確保信息安全管理體系持續(xù)的適宜性、充分性和有效性，管理評審按《管理評審控制制度》進(jìn)行。管理評審應(yīng)包括評價信息安全管理體系改進(jìn)的機會和變更的需要，包括信息安全方針和信息安全目標(biāo)。管理評審應(yīng)考慮：a)以往管理評審行動措施的狀態(tài);b)與信息安全管理體系相關(guān)的內(nèi)外部問題的變化;c)反饋信息安全績效和趨勢，包括：1）不符合與糾正措施；2）監(jiān)控和測量結(jié)果；3）審核結(jié)果；4）信息安全目標(biāo)的實現(xiàn);相關(guān)方的反饋;風(fēng)險評估的結(jié)果和風(fēng)險處置的狀態(tài);f)信息安全策略評價結(jié)果；g)改進(jìn)的機會和建議。管理評審的輸出應(yīng)形成管理評審報告，包括持續(xù)改進(jìn)的機會和任何信息安全管理體系需要變更的相關(guān)決定。公司總經(jīng)辦應(yīng)保留管理評審結(jié)果的文件化信息作為證據(jù)。改進(jìn)10.1不符合和糾正措施公司建立《內(nèi)部審核控制制度》《管理評審控制制度》及《糾正和預(yù)防措施控制制度》，以對信息安全不符合進(jìn)行處置，當(dāng)出現(xiàn)信息安全不符合時，責(zé)任部門應(yīng)首先應(yīng)對不符合采取糾正，以控制不符合的影響繼續(xù)擴大，接著處理不符合帶來的信息安全后果?？偨?jīng)辦需評估采取糾正措施的必要性，以消除不符合的原因，使其不復(fù)發(fā)或不在其他地方發(fā)生，主要內(nèi)容包括：a）確定不符合的性質(zhì);b）確定不符合的原因;c）確定是否存在類似的不符合和發(fā)生的可能性;d）針對原因確定糾正措施并予以實施;e）評審已采取糾正措施的有效性;f）如糾正措施引起信息安全管理體系的變更，需按變更控制程序的要求實施變更。為消除實際不符合原因而采取的任何糾正措施，應(yīng)與問題的嚴(yán)重性、不符合的影響程度和面臨的信息安全風(fēng)險相適應(yīng)。責(zé)任部門應(yīng)保留信息安全不符合原因分析，糾正，糾正措施，糾正措施有效性驗證有關(guān)的記錄。10.2持續(xù)改進(jìn)公司通過使用信息安全方針、信息安全目標(biāo)、審核結(jié)果、監(jiān)控事件的分析、糾正和預(yù)防措施以及管理評審，持續(xù)改進(jìn)信息安全管理體系的適宜性，充分性和有效性。公司開展以下活動，以確保信息安全管理體系的持續(xù)改進(jìn)：a)實施每年管理評審、內(nèi)部審核、安全檢查等活動以確定需改進(jìn)的項目；b)按照本手冊的要求采取適當(dāng)?shù)募m正和預(yù)防措施；吸取其他組織及本公司安全事故的經(jīng)驗教訓(xùn)，不斷改進(jìn)安全措施的有效性；c)通過適當(dāng)?shù)氖侄伪３衷趦?nèi)部對信息安全措施的執(zhí)行情況與結(jié)果進(jìn)行有效的溝通。包括獲取外部信息安全專家的建議、信息安全政府行政主管部門的聯(lián)系及識別顧客對信息安全的要求等；d)對信息安全目標(biāo)及分解進(jìn)行適當(dāng)?shù)墓芾?，確保改進(jìn)達(dá)到預(yù)期的效果。信息安全總體控制A.5信息安全策略通過建立信息安全管理組織，啟動和控制公司信息安全工作的實施，批準(zhǔn)信息安全方針與策略，確定信息安全管理人員和職責(zé)分工，協(xié)調(diào)整個信息安全管理體系的有效運行。公司還需要建立與服務(wù)客戶、安全服務(wù)廠商、上級監(jiān)管單位、外部安全咨詢專家等外部組織的聯(lián)系，以便跟蹤行業(yè)趨勢，學(xué)習(xí)各類先進(jìn)的信息安全技術(shù)和管理手段。公司將不可避免地需要與外界進(jìn)行業(yè)務(wù)往來和信息溝通，經(jīng)常需要向外部組織開放其信息資產(chǎn)和信息處理設(shè)施。因此，需要對由于外部組織訪問而帶來的安全風(fēng)險進(jìn)行評估，并根據(jù)風(fēng)險水平，在必要時與外部組織簽訂保密協(xié)議，向其聲明公司的信息安全方針與策略，確定所需的安全控制措施。A.6信息安全組織信息安全組織框架公司信息安全組織框架包括管理決策、監(jiān)督檢查、貫徹執(zhí)行三層架構(gòu)。其中，公司的管理決策職能由信息安全管理領(lǐng)導(dǎo)小組和管理者代表承擔(dān)，領(lǐng)導(dǎo)公司信息安全總體工作,領(lǐng)導(dǎo)小組成員由公司總經(jīng)理、管理者代表及部門負(fù)責(zé)人組成。監(jiān)督檢查職能由信息安全工作組承擔(dān)，工作組由一名工作組組長及工作組成員構(gòu)成，主要負(fù)責(zé)信息安全各項工作的日常監(jiān)督和持續(xù)檢查，信息安全工作組組長由公司安全負(fù)責(zé)人擔(dān)任，其成員由各小組負(fù)責(zé)人、信息安全員及公司其他安全人員組成。貫徹執(zhí)行職能由公司各小組及小組員工承擔(dān)，遵循信息安全管理要求，落實各項信息安全工作，配合監(jiān)督和檢查；同時，公司各小組設(shè)置專職的信息安全員（或兼職信息安全員），負(fù)責(zé)本小組信息安全工作的具體協(xié)調(diào)和落實（具體內(nèi)容參見附件一：信息安全組織映射表及附件二：信息安全職責(zé)分配表）。信息安全職責(zé)信息安全管理領(lǐng)導(dǎo)小組信息安全管理體系的決策機構(gòu)，確定信息安全管理體系的建設(shè)方向，制訂方針目標(biāo)等。確立公司信息安全和風(fēng)險管理的方針政策，并貫徹落實；組織制定公司信息安全和風(fēng)險管理的總體規(guī)劃；對信息安全事件提出處置策略；研究部署和討論決定公司信息安全和風(fēng)險管理工作的重大事項；授權(quán)相關(guān)部門對公司信息安全工作進(jìn)行考核，審批考核結(jié)果并做決策。每年在管理評審會上對信息安全方針進(jìn)行評審。管理者代表由公司負(fù)責(zé)人授權(quán)全權(quán)負(fù)責(zé)信息安全管理體系的日常工作，包括批準(zhǔn)并正式發(fā)布各項制度、規(guī)定，建立體系推進(jìn)組織，任命相關(guān)角色等。提出信息安全目標(biāo)，領(lǐng)導(dǎo)信息安全管理體系的建立、運行和維護；協(xié)調(diào)與信息安全管理體系有關(guān)的各項工作；確保在公司內(nèi)提高員工的信息安全意識；督促信息安全管理體系內(nèi)部審核和信息安全檢查的開展；協(xié)助最高管理者進(jìn)行信息安全管理體系的管理評審；向最高管理者報告信息安全管理體系的執(zhí)行情況和改進(jìn)要求。定期舉行管理評審，保證信息安全管理體系的適宜性、充分性和有效性。信息安全工作小組負(fù)責(zé)信息安全政策的貫徹、落實和監(jiān)督檢查，并協(xié)調(diào)各信息安全執(zhí)行小組以及與外部組織間有關(guān)的信息安全工作。組織識別信息安全需求，向信息安全管理領(lǐng)導(dǎo)小組提出改進(jìn)建議；維護信息安全管理體系，組織制訂和修訂信息安全管理制度；制定風(fēng)險評估計劃，組織進(jìn)行風(fēng)險評估，制定風(fēng)險處理計劃；根據(jù)信息安全方針和風(fēng)險管理總體規(guī)劃，組織制定信息安全和風(fēng)險管理的規(guī)章、制度；監(jiān)督和考核各小組信息安全管理工作的執(zhí)行情況；向信息安全管理領(lǐng)導(dǎo)小組匯報信息安全工作的執(zhí)行情況。組織、發(fā)起信息安全相關(guān)會議，安排會議議程，提供會議材料，部署和跟蹤會議決議的執(zhí)行情況；跟蹤信息安全事件處理并報告；組織實施內(nèi)部信息安全檢查和內(nèi)部審核；組織對員工進(jìn)行信息安全意識教育和基礎(chǔ)培訓(xùn)，促使日常工作的安全有序開展，同時在項目實施過程中滿足相關(guān)安全規(guī)范要求；對各小組的信息安全工作進(jìn)行監(jiān)督、指導(dǎo)；與政府相關(guān)部門、外部信息安全組織、機構(gòu)聯(lián)系和溝通。全體員工根據(jù)相關(guān)信息安全要求，配合相關(guān)人員工作開展，理解并遵守本規(guī)定定義的內(nèi)容。遵守信息安全規(guī)章制度，遵循操作規(guī)范和流程；履行崗位信息安全職責(zé)，執(zhí)行信息安全工作任務(wù)；作為信息資產(chǎn)使用者，妥善使用并保護工作所涉及的信息資產(chǎn)；及時上報信息安全事件或隱患；參與信息安全教育和培訓(xùn)。A.7人力資源安全制定并實施對員工的任用前、任用中、任用后各階段的規(guī)定，確保員工行為符合要求并能夠忠于職守；制定并實施對外部人員合作前、合作中和合作結(jié)束后各階段的規(guī)定，確保外部人員在公司工作期間履行其信息安全義務(wù)。對公司員工和第三方人員進(jìn)行充分的信息安全意識培訓(xùn)，明確員工在工作中的信息安全職責(zé)，使其掌握所處崗位的信息安全技能；明確第三方在公司工作時所應(yīng)遵循的信息安全要求和所應(yīng)履行的信息安全責(zé)任和義務(wù)。具體管理策略請參見《人力資源管理制度》《第三方服務(wù)管理工作指南》。A.8資產(chǎn)管理對信息資產(chǎn)進(jìn)行識別和管理；根據(jù)不同類型信息資產(chǎn)的特征，制定并實施正確使用信息資產(chǎn)的操作規(guī)程?；谛畔①Y產(chǎn)價值和等級劃分制定不同的安全規(guī)范與策略，根據(jù)不同信息資產(chǎn)所需的保護要求，進(jìn)行相應(yīng)程度的保護。具體管理策略請參見《信息資產(chǎn)分類分級管理制度》。A.9訪問控制加強對公司資產(chǎn)的訪問控制管理，規(guī)范用戶管理、密碼管理、系統(tǒng)配置等要求，并提出訪問控制管理的各項基本要求。通過實施用戶管理，確保相關(guān)人員獲取適合其工作職責(zé)的訪問權(quán)限，形成用戶訪問權(quán)限的清單并定期審核，用戶離崗或離職時及時進(jìn)行權(quán)限的調(diào)整和清除。具體管理策略請參見《訪問控制管理制度》。A.10密碼控制通過建立制度，完善密碼使用和管理，制定和實施密鑰的使用，保護，使用期策略并貫穿其整個生命周期。具體管理策略請參見《密碼控制管理制度》。A.11物理和環(huán)境安全明確安全區(qū)域的邊界，并采取適當(dāng)?shù)目刂拼胧?，如：物理隔離、門禁系統(tǒng)、視頻監(jiān)控等。準(zhǔn)確識別并管理各類設(shè)備設(shè)施，并將其放置于適當(dāng)?shù)膮^(qū)域。具體管理策略請參見《物理和環(huán)境安全管理制度》和《設(shè)備管理規(guī)定》。A.12操作安全信息處理和通信設(shè)施的系統(tǒng)活動須具備成文的制度規(guī)范，例如備份管理、軟件管理、設(shè)備管理、介質(zhì)處理和防病毒及惡意軟件管理等。應(yīng)當(dāng)為所有的信息處理設(shè)施建立必要的管理和操作職責(zé)及制度。確保每一個信息系統(tǒng)都能夠識別容量要求，確保在必要時能夠?qū)ο到y(tǒng)的可用性和效率進(jìn)行及時評估和改進(jìn)。對系統(tǒng)未來容量的推測應(yīng)考慮到新業(yè)務(wù)的開展、系統(tǒng)自身發(fā)展要求以及當(dāng)前的信息處理能力和未來發(fā)展的趨勢。建立有效的計算機病毒預(yù)防及查殺機制，實施防止惡意軟件的偵查與防護控制，并提高員工的防范意識。根據(jù)備份策略對數(shù)據(jù)進(jìn)行備份并定期對備份數(shù)據(jù)進(jìn)行有效性測試。在選用介質(zhì)時應(yīng)當(dāng)考慮備份的信息需要保存的周期長短，保存信息的存儲介質(zhì)包括硬盤、磁帶、U盤、可移動硬件驅(qū)動器、CD、DVD和打印介質(zhì)等。儲存介質(zhì)的管理人員應(yīng)檢查和標(biāo)記所有的儲存媒介，為使存儲介質(zhì)中的數(shù)據(jù)和系統(tǒng)文件免遭未授權(quán)泄露、篡改和破壞，應(yīng)建立關(guān)于存儲介質(zhì)使用、保存、刪除和銷毀的操作策略和相關(guān)制度。應(yīng)制定處置、處理、存儲與分類一致的信息與其通信的管理制度。并按照所設(shè)置的分類級別，處置和標(biāo)記所有介質(zhì)。明確防止未授權(quán)人員訪問的限制要求，并根據(jù)制造商的存儲規(guī)范來保存介質(zhì)，同時，清晰地標(biāo)記數(shù)據(jù)的所有拷貝，以引起數(shù)據(jù)所有者的關(guān)注。應(yīng)建立日志保護的管理制度以防止日志保存設(shè)施被未授權(quán)更改和出現(xiàn)操作問題，重要的審計日志需要被存檔保存，審計日志包括用戶ID、日期、時間和關(guān)鍵事態(tài)等細(xì)節(jié)，以及系統(tǒng)配置、特殊權(quán)限、系統(tǒng)實用工具和應(yīng)用程序的使用。具體管理策略請參見《操作安全管理制度》A.13通信安全實施網(wǎng)絡(luò)安全管理，劃分網(wǎng)絡(luò)安全區(qū)域，對網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)活動進(jìn)行監(jiān)控和管理，制定網(wǎng)絡(luò)安全策略和操作規(guī)程，對網(wǎng)絡(luò)信息及其支持設(shè)施進(jìn)行保護。具體管理策略由公司網(wǎng)絡(luò)管理員進(jìn)行部署實施，具體管理策略請參見《通信安全管理制度》。A.14系統(tǒng)獲取、開發(fā)和維護在進(jìn)行信息系統(tǒng)開發(fā)活動前，應(yīng)明確在信息系統(tǒng)中包含基本的自動控制措施，以及支持性的人工控制措施的需求。信息系統(tǒng)的安全要求與信息系統(tǒng)建設(shè)過程的安全要求應(yīng)在信息系統(tǒng)項目的早期階段被集成。購買成熟的軟件產(chǎn)品應(yīng)遵循一個正式的測試和獲取過程。與供貨商簽的合同應(yīng)提出已確定的安全要求。在信息系統(tǒng)設(shè)計和開發(fā)過程中，應(yīng)將數(shù)據(jù)的校驗和檢查功能集成在信息系統(tǒng)數(shù)據(jù)處理的整個過程，以保證信息系統(tǒng)在處理數(shù)據(jù)的過程中，數(shù)據(jù)的完整性沒有喪失或遭到破壞。在進(jìn)行信息系統(tǒng)建設(shè)的過程中，需進(jìn)行安全風(fēng)險評估以判定是否需要保證消息完整性，并確定最合適的實施方法。在制定密碼策略時，應(yīng)考慮下列內(nèi)容：組織間使用密碼控制的管理方法，包括保護業(yè)務(wù)信息的一般原則，基于風(fēng)險評估，應(yīng)