信息安全管理手冊 01

LOGOXXX有限公司文件編號HH-ISMS-01-01版本A/0類別信息安全管理手冊生效日期20XX-XX-XX一級文件頁次PagePAGE1ofNUMPAGES37信息安全管理手冊(依據(jù)ISO/IEC27001:2013標準編制)受控狀態(tài)：■受控□非受控制定部門制定/日期審核/日期批準/日期體系管理部文件發(fā)行欄□采購部□PMC部□工程部□固態(tài)成型部□液態(tài)成型部□加工部□PIE部□品管部□物管部□人力資源部□設(shè)計&開發(fā)部□工模部□體系管理部□管理者代表□總經(jīng)理修改履歷序號章節(jié)版次制定或修改內(nèi)容日期1全部A/0新版發(fā)行2021-09-28目錄封面1目錄2公司概況3TOC\o"1-2"\h\z\u發(fā)布令4任命書5XXX有限公司組織機構(gòu)圖70前言97范圍92規(guī)范性引用文件93術(shù)語和定義94組織環(huán)境94.1理解組織及其環(huán)境94.2理解相關(guān)方的需求和期望94.3確定信息安全管理體系的范圍104.4信息安全管理體系105領(lǐng)導(dǎo)105.1領(lǐng)導(dǎo)和承諾105.2方針105.3組織角色、職責和權(quán)限116規(guī)劃146.1應(yīng)對風(fēng)險和機會的措施146.2信息安全目標和規(guī)劃實現(xiàn)157支持167.1資源167.2能力167.3意識167.4溝通167.5文件化信息168運行178.1運行的規(guī)劃和控制178.2信息安全風(fēng)險評估178.3信息安全風(fēng)險處置179績效評價179.1監(jiān)視、測量、分析和評價179.2內(nèi)部審核189.3管理評審1810改進1910.1不符合和糾正措施1910.2持續(xù)改進19附錄1-職能分配表20附錄2-風(fēng)險評估流程圖22附錄.3-程序文件清單23附錄4部門信息安全目標分解24附錄.5-信息安全手冊更履歷25-公司概況XXX有限公司成立于2011年，屬于外商獨次企業(yè)。工廠坐落于東莞市樟木頭鎮(zhèn)金河工業(yè)區(qū)第三期海宏科技園。公司主要經(jīng)營硅橡膠制品及模切制品的生產(chǎn)與銷售。產(chǎn)品廣泛應(yīng)用于電子電器業(yè)、五金塑膠業(yè)、運動器材等。公司成立至今一直堅持以“群策群力，品質(zhì)至上；精益求精，客戶滿意”的品質(zhì)方針及“不斷開拓，不斷研究，不斷進取”的精神為客戶提供最好的產(chǎn)品及服務(wù)。電話：XXX傳真：XXX網(wǎng)址：XXXE-mail：XXX發(fā)布令本《信息安全管理手冊》(以下簡稱手冊)第A/0版是我們公司按照ISO/IEC27001:2013《信息安全管理體系要求》，并結(jié)合我們公司管理工作的實踐和公司組織機構(gòu)的設(shè)置而編寫的最新版本，體現(xiàn)了我們公司對信息安全的承諾及持續(xù)改進的要求。本手冊貫穿了我們公司信息安全管理體系各條款的要求，符合我公司的實際運作情況，可作為向客戶及第三方組織提供信息安全保證和進行信息安全管理體系審核的依據(jù)，全體員工必須嚴格遵照執(zhí)行?，F(xiàn)予以批準，同意發(fā)布實施?？偨?jīng)理：2021年09月28日任命書為貫徹執(zhí)行信息安全管理體系，滿足ISO/IEC27001:2013《信息技術(shù)-安全技術(shù)-信息安全管理體系要求》標準的要求，加強領(lǐng)導(dǎo)，特任命XXXX為XXX有限公司信息安全管理者代表。授權(quán)信息安全管理者代表有如下職責和權(quán)限：確保按照標準的要求，進行資產(chǎn)識別和風(fēng)險評估，全面建立、實施和保持信息安全管理體系；負責與信息安全管理體系有關(guān)的協(xié)調(diào)和聯(lián)絡(luò)工作；確保在整個組織內(nèi)提高信息安全風(fēng)險的意識；審核風(fēng)險評估報告、風(fēng)險處理計劃；批準發(fā)布程序文件；主持信息安全管理體系內(nèi)部審核，任命審核組長，批準內(nèi)審工作報告；向最高管理者報告信息安全管理體系的業(yè)績和改進要求，包括信息安全管理體系運行情況、內(nèi)外審核情況。本授權(quán)書自任命日起生效執(zhí)行?？偨?jīng)理：2021年09月28日XXX有限公司組織機構(gòu)圖總經(jīng)理總經(jīng)理管理者代表管理者代表行政部綜合運營管理部綜合管理部行政部綜合運營管理部綜合管理部0前言《信息安全管理體系手冊》（以下簡稱本手冊）依據(jù)ISO/IEC27001:2013《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》，參照ISO/IEC27002:2013《信息技術(shù)-安全技術(shù)-信息安全管理實用規(guī)則》，結(jié)合本行業(yè)信息安全的特點編寫。本手冊對本公司信息安全管理體系作出了概括性描述，為建立、實施和保持信息安全管理體系提供框架。1范圍為建立、實施、運行、監(jiān)視、評審、保持和改進文件化的信息安全管理體系，確定信息安全方針和目標，對信息安全風(fēng)險進行有效管理，確保全體員工理解并遵照執(zhí)行信息安全管理體系文件、持續(xù)改進信息安全管理體系的有效性，特制定本手冊。本《信息安全管理體系手冊》采用了ISO/IEC27001:2013標準正文的全部內(nèi)容，對附錄A的刪減及理由詳見《信息安全適用性聲明SoA》。2規(guī)范性引用文件下列文件中的條款通過本《信息安全管理體系手冊》的引用而成為本《信息安全管理體系手冊》的條款。凡是標注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修改版均不適用于本《信息安全管理體系手冊》，然而，行政部應(yīng)研究是否可使用這些文件的最新版本。凡是不注日期的引用文件、其最新版本適用于本《信息安全管理體系手冊》。ISO/IEC27001:2013《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》ISO/IEC27002:2013《信息技術(shù)-安全技術(shù)-信息安全管理實用規(guī)則》3術(shù)語和定義ISO/IEC27001:2013《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》、ISO/IEC27002:2013《信息技術(shù)-安全技術(shù)-信息安全管理實用規(guī)則》規(guī)定的術(shù)語和定義以及下述定義適用于本《信息安全管理體系手冊》。ISO/IEC27000中的術(shù)語和定義適用于本標準。4組織環(huán)境4.1理解組織及其環(huán)境本公司依據(jù)《信息安全風(fēng)險管理程序》，建立組織的外部和內(nèi)部環(huán)境，確定與其目標相關(guān)并影響其實現(xiàn)信息安全管理體系預(yù)期結(jié)果的能力的外部和內(nèi)部問題。4.2理解相關(guān)方的需求和期望本公司通過建立組織的外部和內(nèi)部環(huán)境確定如下內(nèi)容。a)與信息安全管理體系有關(guān)的相關(guān)方；b)這些相關(guān)方與信息安全有關(guān)的要求。注：相關(guān)方的要求可能包括法律法規(guī)要求和合同義務(wù)。4.3確定信息安全管理體系的范圍本公司充分考慮如下內(nèi)容：a)在4.1中提及的外部和內(nèi)部問題；b)在4.2中提及的要求；c)組織所執(zhí)行的活動之間以及與其它組織的活動之間的接口和依賴性。確定信息安全管理體系的邊界和適用性，建立信息安全管理體系的范圍和邊界：ISMS的范圍是：MERGEFIELD"審核范圍"接收金融機構(gòu)委托從事外包的服務(wù)的安全管理活動ISMS的邊界是：東莞市樟木頭鎮(zhèn)金河工業(yè)區(qū)第三期海宏科技園本信息安全策略適用于整個信息安全管理體系（ISMS），范圍包括：屬于公司的一切受知識產(chǎn)權(quán)保護的信息；公司持有一切相關(guān)客戶資料信息公司持有的一切相關(guān)企業(yè)資料信息公司持有的一切關(guān)于供應(yīng)商及合作伙伴的資料信息公司持有的一切合同信息屬于公司的一切相關(guān)信息系統(tǒng)的物理實體公司所屬的一切人員、IT系統(tǒng)，設(shè)備，文檔，公司規(guī)章制度以及其他的信息和信息載體。4.4信息安全管理體系公司依據(jù)ISO/IEC27001:2013《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》建立、實施、保持和持續(xù)改進信息安全管理體系。5領(lǐng)導(dǎo)5.1領(lǐng)導(dǎo)和承諾高層管理者應(yīng)通過下列方式展示其關(guān)于信息安全管理體系的領(lǐng)導(dǎo)力和承諾：a)確保建立信息安全方針和信息安全目標，并與組織的戰(zhàn)略方向保持一致；b)確保將信息安全管理體系要求整合到組織的業(yè)務(wù)過程中；c)確保信息安全管理體系所需資源可用；d)傳達信息安全管理有效實施、符合信息安全管理體系要求的重要性；e)確保信息安全管理體系實現(xiàn)其預(yù)期結(jié)果；f)指揮并支持人員為信息安全管理體系的有效實施作出貢獻；g)促進持續(xù)改進；h)支持其他相關(guān)管理角色在其職責范圍內(nèi)展示他們的領(lǐng)導(dǎo)力。5.2方針為了滿足適用法律法規(guī)及相關(guān)方要求，維持ISMS范圍內(nèi)的業(yè)務(wù)正常進行，實現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展，公司高層管理者建立信息安全方針：信息安全、人人有責，持續(xù)改進、提高信賴內(nèi)涵：信息安全管理的重點是人員有意識的維護公司信息資產(chǎn)安全。全體員工應(yīng)本著主人翁精神，群策群力，共同構(gòu)筑公司信息安全。公司遵守信息安全的相關(guān)法令、法規(guī)、業(yè)界方針及規(guī)范，建立信息安全管理體系。通過全體員工的持續(xù)努力來完善體系，通過切實的控制措施來保障公司及顧客的信息安全。信息安全，是公司正常經(jīng)營活動的重要保障，是客戶信賴的基礎(chǔ)，也是我們認同的一種社會責任。公司通過完善的管理，贏得顧客的信賴，以此保障公司業(yè)務(wù)的持續(xù)發(fā)展。信息安全方針滿足以下要求：a)適于組織的目標；b)包含信息安全目標（見6.2）或設(shè)置信息安全目標提供框架；c)包含滿足適用的信息安全相關(guān)要求的承諾；d)包含信息安全管理體系持續(xù)改進的承諾。公司文件化信息安全方針，保持可用性，并在組織內(nèi)部進行傳達，適當時，對相關(guān)方可用。5.3組織角色、職責和權(quán)限高層管理者應(yīng)確保分配并傳達了信息安全相關(guān)角色的職責和權(quán)限。高層管理者應(yīng)分配下列職責和權(quán)限：a)確保信息安全管理體系符合本標準的要求；b)將信息安全管理體系的績效報告給高層管理者。注：高層管理者可能還要分配在組織內(nèi)部報告信息安全管理體系績效的職責和權(quán)限。5.3.1信息安全組織機構(gòu)本公司信息安全領(lǐng)導(dǎo)機構(gòu)——行政部的職責是實現(xiàn)信息安全管理體系方針和本公司承諾。具體職責是：研究決定信息安全工作涉及到的重大事項；審定公司信息安全方針、目標、工作計劃和重要文件；為信息安全工作的有序推進和信息安全管理體系的有效運行提供必要的資源。本公司的信息安全職能由行政部承擔，其主要職責是：負責制訂、落實信息安全工作計劃，對單位、部門信息安全工作進行檢查、指導(dǎo)和協(xié)調(diào)，建立健全企業(yè)的信息安全管理體系，保持其有效、持續(xù)運行。本公司采取相關(guān)部門代表組成的協(xié)調(diào)會的方式，進行信息安全協(xié)調(diào)和協(xié)作，履行“5.1領(lǐng)導(dǎo)和承諾”中的相關(guān)職責。5.3.2信息安全職責和權(quán)限本公司總經(jīng)理為信息安全最高責任者。總經(jīng)理指定信息安全管理者代表,無論信息安全管理者代表其他方面的職責如何，對信息安全負有以下職責：建立并實施信息安全管理體系必要的程序并維持其有效運行；對信息安全管理體系的運行情況和必要的改善措施向行政部或最高責任者報告。各部門負責人為本部門信息安全管理責任者，全體員工都應(yīng)按保密承諾的要求自覺履行信息安全保密義務(wù)。部門職責如下：總經(jīng)理：任命管理者代表，明確管理者代表的職責和權(quán)限；確保在內(nèi)部傳達滿足客戶和法律法規(guī)的重要性；為信息安全管理體系配備必要的資源；主持管理評審；5）負遵守公司信息安全的相關(guān)規(guī)定以及本崗位相關(guān)的保密要求。負責管理重要內(nèi)外聯(lián)網(wǎng)訪問權(quán)限的審批，以及重要信息應(yīng)用系統(tǒng)用戶的開通。責公司信息安全管理和企業(yè)管理的計劃、組織、協(xié)調(diào)、監(jiān)督、控制和考核工作；管理者代表:負責建立、實施、保持和改進信息安全管理體系，保證信息安全體系的有效運行；負責公司信息安全管理手冊的審核，程序文件的批準，組織并領(lǐng)導(dǎo)公司內(nèi)部審核工作；負責向總經(jīng)理報告信息安全體系運行的業(yè)績和任何改進的需求；負責就信息安全管理體系有關(guān)事宜的對外聯(lián)絡(luò)；遵守公司信息安全的相關(guān)規(guī)定以及本崗位相關(guān)的保密要求。各部門的信息安全主管領(lǐng)導(dǎo):部門的信息安全主管領(lǐng)導(dǎo)由本部門負責人擔任；負責協(xié)助行政部建立本部門信息安全管理制度和流程；部門的信息安全主管領(lǐng)導(dǎo)系本部門信息安全管理責任人，負責本部門的信息安全管理工作，負責保護本部門所擁有和管理的信息資產(chǎn)的安全；負責采取有效辦法，落實和推動信息安全政策的實施；負責指導(dǎo)和要求本部門員工遵守信息安全政策；對違反安全政策的行為進行內(nèi)部處罰；落實針對本部門的糾正措施(包括內(nèi)部審核整改意見)和預(yù)防措施。行政部（信息安全管理歸口部門）：負責文件控制、記錄控制、內(nèi)部審核的組織、管理評審的組織和體系的改進。負責本公司保密工作的管理。負責新進人員的甄選、招聘，確保招聘工作及時滿足公司用人增補需求，員工的能力、意識和培訓(xùn)，員工離職管理。協(xié)助相關(guān)用人部門培訓(xùn)及考核上崗.培訓(xùn)：崗前培訓(xùn)、本公司知識培訓(xùn)、素質(zhì)培訓(xùn)、專業(yè)培訓(xùn)檢查。負責涉密信息上網(wǎng)、涉密計算機運行、檢修、報廢的監(jiān)督管理。參與涉密及司法介入的信息安全事件的調(diào)查。對信息安全日常工作實施動態(tài)考核，將信息安全管理作為企業(yè)管理的重要工作內(nèi)容。及時處理重要來往文電信函的審閱、傳遞領(lǐng)導(dǎo)批示、審核和修改以公司名義簽發(fā)的有關(guān)文件，抓好文書歸檔和用印管理工作。協(xié)助各部門制定部門、崗位職責和各類規(guī)章的實施細則，配合公司協(xié)調(diào)各部門的工作關(guān)系。做好公司人員的績效考核和獎勵懲罰工作。11）安全區(qū)域的保衛(wèi)管理部門，負責安全區(qū)域的管理。12）負責公司資金運作管理、日常財務(wù)管理與分析、資本運作、籌資方略、對外合作談判等。13）負責公司財務(wù)管理及內(nèi)部控制，根據(jù)公司業(yè)務(wù)發(fā)展的計劃完成年度財務(wù)預(yù)算，并跟蹤其執(zhí)行情況。14）按時向總經(jīng)理提供財務(wù)報告和必要的財務(wù)分析，并確保這些報告可靠、準確。15）負責公司的整體信息安全管理工作，負責公司信息資產(chǎn)的安全；16）負責信息安全管理體系的建立、實施和日常運行，起草信息安全政策，確定信息安全管理標準，督促各信息安全執(zhí)行單位對于信息安全政策、措施的實施；17）負責與國家信息安全主管機構(gòu)、上級主管部門的溝通和交流，負責有關(guān)信息安全工作的落實和推行，并負責報告本公司有關(guān)信息安全狀況和重要事件；18）負責協(xié)調(diào)公司內(nèi)部信息安全工作，分配信息安全管理目標、職責，并支持和推動信息安全工作在公司范圍內(nèi)的實施；19）負責對與信息安全管理有關(guān)的重大事項進行決策，包括安全組織機構(gòu)調(diào)整、信息安全關(guān)鍵人事變動、以及信息安全管理重大策略變更、確認可接受的風(fēng)險和風(fēng)險水平等；20）負責對信息安全管理體系進行內(nèi)部評審和管理評審，審批和發(fā)布信息安全方針、信息安全規(guī)范及管理辦法以及與信息安全管理相關(guān)的重大事項；21）負責制定和實施與信息安全相關(guān)的獎懲措施和安全績效考核體系；22）評審與監(jiān)督重大信息安全事故的處理；23）負責組織對ISMS體系進行審核，以驗證體系的符合性和有效性，并對發(fā)現(xiàn)的問題提出整改要求并組織實施整改；24）負責定期召開信息安全管理工作會議，定期總結(jié)運行情況以及安全事件記錄；25）負責對ISMS體系的具體實施、各部門的信息安全運行狀況進行定期審計或?qū)ｍ棇徲嫞?6）負責匯報審計結(jié)果，并督促審計整改工作的進行，落實糾正措施(包括內(nèi)部審核整改意見)和預(yù)防措施；27）負責制定違反安全政策行為的標準，并對違反安全政策的人員和事件進行確認；28）調(diào)查安全事件，并維護安全事件的記錄報告(包括調(diào)查結(jié)果和解決方法)，定期總結(jié)安全事件記錄報告；29）識別適用于公司的所有法律、法規(guī)，行業(yè)主管部門頒布的規(guī)章制度，審核ISMS體系文檔的合規(guī)性。綜合管理部：了解市場信息,溝通相關(guān)部門策劃適合市場的創(chuàng)新產(chǎn)品，跟蹤行業(yè)發(fā)展趨勢，建立和完善營銷信息收集、處理、交流及保密系統(tǒng)；負責協(xié)調(diào)綜合運營管理部開發(fā)及協(xié)調(diào)測試；為重大投標活動和工程咨詢出謀劃策；整理分析公司各綜合管理部門的業(yè)務(wù)資料信息；協(xié)助相關(guān)部門對網(wǎng)站產(chǎn)品的運營，參與公司網(wǎng)站建設(shè)，提出新項目發(fā)布意見；負責合同評審、審批的管理，參與售前，售中，售后的服務(wù)工作；負責顧客滿意度調(diào)查與投訴的處理。8）負責運維業(yè)務(wù)信息安全工作；綜合運營管理部：負責系統(tǒng)集成項目的設(shè)計和開發(fā)；負責系統(tǒng)集成項目過程中信息安全管理；負責控制惡意軟件管理工作；負責對惡意軟件預(yù)防的培訓(xùn)工作；負責項目文檔的管理；負責信息系統(tǒng)接收測試；負責網(wǎng)站產(chǎn)品的用戶體驗改進及服務(wù)的管理，在信息技術(shù)服務(wù)中提供技術(shù)支持；負責確認項目人員到崗情況，外地項目根據(jù)需求招聘新員工，并進行培訓(xùn)工作，做好各工序員工的情況記錄，項目人員名單報后勤組；負責擬定新項目的計劃書,明確項目的工作流程，制定各工序工作職責；負責布置加工場地，配合設(shè)備維護人員進行網(wǎng)絡(luò)、設(shè)備、加工系統(tǒng)調(diào)試；負責項目開發(fā)過程中不合格的評審和處置。負責項目配置管理。6規(guī)劃6.1應(yīng)對風(fēng)險和機會的措施6.1.1總則當規(guī)劃信息安全管理體系時，公司應(yīng)考慮4.1中提及的問題和4.2中提及的要求，確定需要應(yīng)對的風(fēng)險和機會，以：a)確保信息安全管理體系能實現(xiàn)其預(yù)期結(jié)果；b)防止或減少意外的影響；c)實現(xiàn)持續(xù)改進。公司應(yīng)規(guī)劃：d)應(yīng)對這些風(fēng)險和機會的措施；e)如何1)整合和實施這些措施并將其納入信息安全管理體系過程；2)評價這些措施的有效性。6.1.2信息安全風(fēng)險評估公司通過建立公司外部和內(nèi)部環(huán)境，制定《信息安全風(fēng)險控制程序》，定義并應(yīng)用風(fēng)險評估過程。行政部建立識別適用于信息安全管理體系和已經(jīng)識別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風(fēng)險評估方法，建立接受風(fēng)險的準則并識別風(fēng)險的可接受等級。按信息安全風(fēng)險評估執(zhí)行《信息安全風(fēng)險控制程序》進行，以保證所選擇的風(fēng)險評估方法應(yīng)確保風(fēng)險評估能產(chǎn)生可比較的和可重復(fù)的結(jié)果。6.1.2.1建立并保持信息安全風(fēng)險準則建立并保持信息安全風(fēng)險準則，包括1)風(fēng)險接受準則；2)執(zhí)行信息安全風(fēng)險評估的準則；定義風(fēng)險評估的方法，確保重復(fù)性的信息安全風(fēng)險評估可產(chǎn)生一致的、有效的和可比較的結(jié)果。6.1.2.2識別信息安全風(fēng)險由行政部組建風(fēng)險評估小組，風(fēng)險評估小組應(yīng)：1)應(yīng)用信息安全風(fēng)險評估過程來識別信息安全管理體系范圍內(nèi)的信息喪失保密性、完整性和可用性的相關(guān)風(fēng)險；2)識別風(fēng)險負責人；通過風(fēng)險識別，形成《信息安全風(fēng)險評估表》。6.1.2.3分析信息安全風(fēng)險：1)評估6.1.2.2中所識別風(fēng)險發(fā)生后將導(dǎo)致的潛在影響；2)評估6.1.2.2中所識別風(fēng)險發(fā)生的現(xiàn)實可能性；3)確定風(fēng)險級別；6.1.2.4評價信息安全風(fēng)險；1)將風(fēng)險分析結(jié)果同6.1.2.1建立的風(fēng)險準則進行比較；2)為實施風(fēng)險處置確定已分析風(fēng)險的優(yōu)先級。公司應(yīng)保留信息安全風(fēng)險評估過程的文件記錄信息，詳見《信息安全風(fēng)險評估表》。6.1.3信息安全風(fēng)險處置公司定義并應(yīng)用信息安全風(fēng)險處置過程，以：a)在考慮風(fēng)險評估結(jié)果的前提下，選擇適當?shù)男畔踩L(fēng)險處置選項；b)為實施所選擇的信息安全風(fēng)險處置選項，確定所有必需的控制措施；注：組織可按要求設(shè)計控制措施，或從其他來源識別控制措施。c)將6.1.3b）所確定的控制措施與附錄A的控制措施進行比較，以核實沒有遺漏必要的控制措施；注1：附錄A包含了一份全面的控制目標和控制措施的列表。本標準用戶可利用附錄A以確保不會遺漏必要的控制措施。注2：控制目標包含于所選擇的控制措施內(nèi)。附錄A所列的控制目標和控制措施并不是所有的控制目標和控制措施，組織也可能需要另外的控制目標和控制措施。d)產(chǎn)生《信息安全適用性聲明》。適用性聲明要包含必要的控制措施（見6.1.3b）和c））、對包含的合理性說明（無論是否已實施）以及對附錄A控制措施刪減的合理性說明；e)制定《信息安全風(fēng)險處置計劃》；f)獲得風(fēng)險負責人對信息安全風(fēng)險處置計劃以及接受信息安全殘余風(fēng)險的批準。6.2信息安全目標和規(guī)劃實現(xiàn)公司在相關(guān)職能和層次上建立信息安全目標。信息安全目標應(yīng)：a)與信息安全方針一致；b)可測量（如可行）；c)考慮適用的信息安全要求以及風(fēng)險評估和風(fēng)險處置結(jié)果；d)被傳達；e)適當時進行更新。公司信息安全目標：為貫徹實施信息安全方針，根據(jù)公司實際情況，確定公司的信息安全目標如下：重大信息安全泄密事件0件客戶信息外泄事件為0公司明確管理和測量信息安全目標的職責，明確測量的內(nèi)容和頻率要求，并對測量的結(jié)果進行評價，識別改進的機會。7支持7.1資源公司確定并提供建立、實施、保持和持續(xù)改進信息安全管理體系所需的資源，包括資金、人力、設(shè)施和技術(shù)等資源。7.2能力行政部制定并實施《人力資源控制程序》，確保被分配信息安全管理體系規(guī)定職責的所有人員，都必須有能力執(zhí)行所要求的任務(wù)?？梢酝ㄟ^：a)確定從事影響信息安全執(zhí)行工作的人員在組織的控制下從事其工作的必要能力；b)確保人員在適當教育，培訓(xùn)和經(jīng)驗的基礎(chǔ)上能夠勝任工作；c)適用時，采取措施來獲得必要的能力，并評價所采取措施的有效性；d)保留適當?shù)奈募涗浶畔⒆鳛槟芰Ψ矫娴淖C據(jù)。注：例如適當措施可能包括為現(xiàn)有員工提供培訓(xùn)、對其進行指導(dǎo)或重新分配工作；雇用或簽約有能力的人員。7.3意識公司通過教育、培訓(xùn)等手段，使員工在組織的控制下從事其工作時應(yīng)意識到：a)信息安全方針；b)他們對有效實施信息安全管理體系的貢獻，包括信息安全績效改進后的益處；c)不符合信息安全管理體系要求可能的影響。7.4溝通公司確定有關(guān)信息安全管理體系在內(nèi)部和外部進行溝通的需求，明確以下內(nèi)容：a)什么需要溝通；b)什么時候溝通；c)跟誰進行溝通；d)由誰負責溝通；e)影響溝通的過程。7.5文件化信息7.5.1總則公司制定《文件控制程序》《記錄控制程序》對文件化信息進行控制，公司的信息安全管理體系應(yīng)包括：a)本標準要求的文件化信息；b)組織為有效實施信息安全管理體系確定的必要的文件化信息。7.5.2創(chuàng)建和更新創(chuàng)建和更新文件化信息時，應(yīng)確保適當?shù)模篴)標識和描述（例如：標題、日期、作者或參考編號）；b)格式（例如：語言，軟件版本，圖表）和介質(zhì)（例如：紙質(zhì)介質(zhì)，電子介質(zhì)）；c)評審和批準其適用性和充分性。7.5.3文件記錄信息的控制信息安全管理體系和本標準所要求的文件化信息應(yīng)予以控制，以確保：a)無論何時何地需要，它都是可用并適合使用的；b)它被充分保護（例如避免喪失保密性、使用不當或喪失完整性）對于文件化信息的控制，適用時，組織應(yīng)處理下列問題：c)分發(fā)、訪問、檢索和使用；d)存儲和保存，包括可讀性的保持；e)變更控制（例如版本控制）；f)保留和和處置。組織為規(guī)劃和實施信息安全管理體系確定的必要的外部原始文件記錄信息，適當時應(yīng)予以識別并進行控制。訪問隱含一個權(quán)限決策：僅能查看文件記錄信息，或有權(quán)去查看和變更文件記錄信息等。8運行8.1運行的規(guī)劃和控制公司應(yīng)規(guī)劃、實施和控制滿足信息安全要求所需的過程（詳見附錄3《程序文件清單》），并實施6.1中確定的措施（詳見《適用性聲明》）。組織還應(yīng)實施這些規(guī)劃來實現(xiàn)6.2中所確定的信息安全目標。公司應(yīng)控制計劃了的變更，評審非預(yù)期變更的后果，必要時采取措施減緩負面影響。組織應(yīng)確保外包的過程已確定，并處于可控狀態(tài)。8.2信息安全風(fēng)險評估公司依據(jù)《信息安全風(fēng)險控制程序》及6.1.2中建立的風(fēng)險評估執(zhí)行準則，每年定期執(zhí)行一次信息安全風(fēng)險評估，當重大變更被提出或發(fā)生時，應(yīng)不定期執(zhí)行信息安全風(fēng)險評估。保留信息安全風(fēng)險評估結(jié)果的文件化信息。8.3信息安全風(fēng)險處置公司按建立的準則實現(xiàn)信息安全風(fēng)險處置計劃。9績效評價9.1監(jiān)視、測量、分析和評價信息安全風(fēng)險處置公司應(yīng)實施6.1.2中制定的《信息安全風(fēng)險處置計劃》，并執(zhí)行變更了的處置計劃。公司明確相關(guān)職責，定期評價信息安全績效和信息安全管理體系的有效性。滿足以下要求：a)什么需要監(jiān)視和測量，包括信息安全過程和控制措施；b)監(jiān)視、測量、分析和評價的方法，適用時，確保結(jié)果有效；c)什么時候應(yīng)執(zhí)行監(jiān)視和測量；d)誰應(yīng)實施監(jiān)視和測量；e)什么時候應(yīng)對監(jiān)視和測量的結(jié)果進行分析和評價；f)誰應(yīng)分析和評價這些結(jié)果。組織應(yīng)保留適當?shù)奈募涗浶畔⒆鳛楸O(jiān)視和測量結(jié)果的證據(jù)。9.2內(nèi)部審核公司行政部按《內(nèi)審與改進控制程序》的要求策劃和實施信息安全管理體系內(nèi)部審核以及報告結(jié)果和保持記錄。公司每年進行一次內(nèi)部審核，以提供信息確定信息安全管理體系是否：a)符合1)組織自身信息安全管理體系的要求；2)本標準的要求；b)得到有效的實施和保持。公司應(yīng)按《內(nèi)審與改進控制程序》》執(zhí)行如下活動：c)規(guī)劃、建立、實施和保持審核方案，包括頻次、方法、職責、計劃要求和報告。審核方案應(yīng)考慮所關(guān)注過程的重要性以及以往審核的結(jié)果；d)為每次審核定義審核準則和審核范圍；e)審核員的選擇和審核的實施應(yīng)確保審核過程的客觀性和公正性；f)確保審核結(jié)果報告給相關(guān)的管理者；g)保留文件記錄信息作為審核方案和審核結(jié)果的證據(jù)。9.3管理評審行政部應(yīng)每年組織進行一次管理評審并召開安全會議，以確保信息安全管理體系持續(xù)的適宜性、充分性和有效性，管理評審按《管理評審控制程序》進行。管理評審應(yīng)包括下列方面的考慮：a)以往管理評審的措施的狀態(tài)；b)與信息安全管理體系相關(guān)的外部和內(nèi)部問題的變更；c)信息安全績效的反饋，包括下列方面的趨勢：1)不符合和糾正措施；2)監(jiān)視和測量結(jié)果；3)審核結(jié)果；4)信息安全目標的實現(xiàn)；d)相關(guān)方的反饋；e)風(fēng)險評估的結(jié)果和風(fēng)險處置計劃的狀態(tài)；f)持續(xù)改進的機會。管理評審的輸出應(yīng)包括與持續(xù)改進機會有關(guān)的決定，以及變更信息安全管理體系的所有需求。組織應(yīng)保留文件記錄信息作為管理評審結(jié)果的證據(jù)。10改進本公司依據(jù)《糾正和預(yù)防措施控制程序》的要求,通過使用信息安全方針、信息安全目標、審核結(jié)果、監(jiān)控事件的分析、糾正和預(yù)防措施以及管理評審，持續(xù)改進信息安全管理體系的有效性。10.1不符合和糾正措施本公司行政部處理糾正措施，不符合項的責任部門負責采取糾正措施，以消除與信息安全管理體系要求不符合的原因，以防止再發(fā)生。糾正措施的實施按《糾正和預(yù)防措施控制程序》進行。針對發(fā)生的不符合，公司應(yīng)：a)對不符合作出反應(yīng)，適用時：1)采取措施控制并糾正不符合；2)處理后果；b)為確保不符合不再發(fā)生或不在其他地方發(fā)生，通過下列方式評價消除不符合原因的措施需求：1)評審不符合；2)確定不符合的原因；3)確定是否存在或可能發(fā)生相似的不符合；c)實施所需的措施；d)評審所采取糾正措施的有效性；e)必要時，對信息安全管理體系實施變更。糾正措施應(yīng)與所遇不符合的影響相適應(yīng)。組織應(yīng)保留文件記錄信息作為下列事項的證據(jù)：f)不符合的性質(zhì)以及所采取的所有后續(xù)措施；g)所有糾正措施的結(jié)果。10.2持續(xù)改進本公司依據(jù)《糾正和預(yù)防措施控制程序》的要求,通過使用信息安全方針、信息安全目標、審核結(jié)果、監(jiān)控事件的分析、糾正和預(yù)防措施以及管理評審，持續(xù)改進信息安全管理體系的有效性。附錄1信息安全體系要求與部門職能分配表要素部門管理層行政部綜合運營管理部綜合管理部4.1理解組織及其環(huán)境★○○○4.2理解相關(guān)方的需求和期望★○○○4.3確定ISMS范圍★★○○4.4信息安全管理體系★○○○5.1領(lǐng)導(dǎo)和承諾★○○○5.2方針★○○○5.3組織角色、職責和權(quán)限★○○○6.1應(yīng)對風(fēng)險和機會的措施★★○○6.1.1總則○★○○6.1.2信息安全風(fēng)險評估○★○○6.1.3信息安全風(fēng)險處置○★