2022版ISO27001信息安全管理手冊(cè) (完整版)信息安全手冊(cè)

*********有限公司信息安全管理體系文件管理手珊依據(jù)IS0/IEC27001：2022標(biāo)準(zhǔn)編制編號(hào):ZX-ITSMS-2023受控狀態(tài)：編審批制：核：準(zhǔn)：發(fā)布日期：實(shí)施日期：受控編制小組******2023年01月01日2023年01月01日1概述．1.1頒布令1.2范圍1.3授權(quán)書(shū)．1.4手冊(cè)說(shuō)明，1.5公司簡(jiǎn)介，2規(guī)范性引用文件，3術(shù)語(yǔ)和定義3.1術(shù)語(yǔ)．3.2縮寫(xiě)4組織環(huán)境4.1了解公司現(xiàn)狀及背景4.2理解相關(guān)方的需求和期望4.3確定信息安全管理體系的范圍4.4信息安全管理體系5領(lǐng)導(dǎo)作用5.1領(lǐng)導(dǎo)力和承諾5.2信息安全管理體系的方針5.3角色，責(zé)任和承諾.6策劃．6.1應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)遇的措施6.2信息安全目標(biāo)和實(shí)現(xiàn)目標(biāo)的規(guī)劃.6.3變更計(jì)劃作者：李柏偷翻版盜真必追究責(zé)任7．支持7.1資源提供7.2信息安全能力管理7.3意識(shí)556679999910101010101111111113131415161616167.4溝通7.5文檔化信息8運(yùn)行．．8.1運(yùn)行計(jì)劃及控制8.2信息安全風(fēng)險(xiǎn)評(píng)估8.3信息安全風(fēng)險(xiǎn)處置9績(jī)效評(píng)價(jià)9.1監(jiān)視、測(cè)量、分析和評(píng)價(jià)9.2內(nèi)部審核.9.3管理評(píng)審10改進(jìn)．10.1持續(xù)改進(jìn)10.2不符合及糾正措施附錄1組織架構(gòu)圖.附錄2職能分配表附錄3信息安全職責(zé)16171818181919191921.212122.232428序號(hào)修改內(nèi)容手冊(cè)的更改修改日期版本號(hào)修改人審核批準(zhǔn)1.1頒布令1概述經(jīng)公司全體員工的共同努力依據(jù)IS0/IEC27001:2022標(biāo)準(zhǔn)建立我公司信息安全管理體系已得到建立。指導(dǎo)管理體系運(yùn)行的公司《信息安全管理手冊(cè)》經(jīng)評(píng)審后，現(xiàn)予以批準(zhǔn)發(fā)布，《信息安全管理手冊(cè)》的發(fā)布，標(biāo)志著我公司從現(xiàn)在起，必須按照信息安全管理體系標(biāo)準(zhǔn)的要求和公司《信息安全管理手冊(cè)》所描述的規(guī)定，不斷增強(qiáng)持續(xù)滿(mǎn)足顧客要求、相關(guān)方要求和法律法規(guī)要求的能力，全心全意為顧客和相關(guān)方提供服務(wù)，以確立公司在社會(huì)上的良好信譽(yù)?！缎畔踩芾硎謨?cè)》是公司規(guī)范內(nèi)部管理的指導(dǎo)性文件，也是全體員工在產(chǎn)品產(chǎn)品及對(duì)客戶(hù)的服務(wù)過(guò)程中必須遵循的行動(dòng)準(zhǔn)則?！缎畔踩芾硎謨?cè)》一經(jīng)發(fā)布，就是強(qiáng)制性文件，全體員工必須認(rèn)真學(xué)習(xí)、切實(shí)執(zhí)行。本手冊(cè)2023年01月01日式實(shí)施?？偨?jīng)理：***2023年01月01日1.2范圍本總綱所描述信息安全管理體系適用于公司所有部門(mén)，所涉及業(yè)務(wù)范圍包括信息技術(shù)處理設(shè)施的管理運(yùn)維服務(wù)、信息技術(shù)系統(tǒng)的開(kāi)發(fā)、獲取和運(yùn)行維護(hù)、人員的信息安全、數(shù)據(jù)的安全等在內(nèi)的各項(xiàng)信息安全管理相關(guān)活動(dòng)。1.3授權(quán)書(shū)為貫徹執(zhí)行IS0/IEC27001：2022《信息安全管理體系》，加強(qiáng)對(duì)信息管理體系運(yùn)行的領(lǐng)導(dǎo)，特授權(quán)：1、授權(quán)***為公司管理者代表，其主要職責(zé)和權(quán)限為：1）確保公司信息安全管理體系所需過(guò)程得到建立、實(shí)施、運(yùn)行和保持。確保信息安全業(yè)務(wù)風(fēng)險(xiǎn)得到有效控制。2）向最高管理者報(bào)告信息安全管理體系業(yè)績(jī)和任何改善需求，為最高管理者代表評(píng)審提供依據(jù)。3）確保滿(mǎn)足顧客和相關(guān)方要求、法律法規(guī)要求的信息安全意識(shí)和信息安全風(fēng)險(xiǎn)意識(shí)在公司內(nèi)得到形成和提高。4）在信息安全管理體系事宜方面負(fù)責(zé)與外部的聯(lián)絡(luò)2、授權(quán)***為ISMS信息安全管理項(xiàng)目責(zé)任人，其主要職責(zé)和權(quán)限為：確保信息安全管理方的控制措施得到形成、實(shí)施、運(yùn)行和控制。3、授權(quán)各部門(mén)主管為信息安全管理體系在本部門(mén)的責(zé)任人，對(duì)ISMS要求在本部門(mén)的實(shí)施負(fù)責(zé)?？偨?jīng)理：***2023年01月01日1.4手冊(cè)說(shuō)明1.4.1總則《信息安全管理手冊(cè)》的編制，是用以證明已建立并實(shí)施了一個(gè)完整的文件化的信息安全管理體系。通過(guò)對(duì)各項(xiàng)業(yè)務(wù)進(jìn)行風(fēng)險(xiǎn)評(píng)估，識(shí)別出公司的關(guān)鍵資產(chǎn)，并根據(jù)資產(chǎn)的不同級(jí)別風(fēng)險(xiǎn)采取與之相對(duì)應(yīng)的處理措施?！缎畔踩芾硎謨?cè)》為審核信息安全管理體系提供了文件依據(jù)?！缎畔踩芾硎謨?cè)》證明公司已經(jīng)按照IS0/IEC27001：2022版標(biāo)準(zhǔn)的要求建立并實(shí)際運(yùn)行一套信息安全管理體系?！缎畔踩芾硎謨?cè)》的編制及頒布可以對(duì)公司信息安全管理各項(xiàng)活動(dòng)進(jìn)行控制，指導(dǎo)公司開(kāi)展各項(xiàng)業(yè)務(wù)活動(dòng)，并通過(guò)不斷的持續(xù)改進(jìn)來(lái)完善信息安全管理體系。1.4.2信息安全管理手冊(cè)的批準(zhǔn)綜合部負(fù)責(zé)組織編制《信息安全管理手冊(cè)》及其相關(guān)規(guī)章制度，總經(jīng)理負(fù)責(zé)批準(zhǔn)。1.4.3信息安全管理手冊(cè)的發(fā)放、作廢與銷(xiāo)毀（1）綜合部負(fù)責(zé)按《文件管理程序》的要求，進(jìn)行《信息安全管理手冊(cè)》的登記、發(fā)放、回收、歸檔、作廢與銷(xiāo)毀工作。（2）各相關(guān)部門(mén)按照受控文件的管理要求對(duì)收到的《信息安全管理手冊(cè)》進(jìn)行使用和保管。（3）綜合部按照規(guī)定發(fā)放修改后的《信息安全管理手冊(cè)》，并收回失效的文件做出標(biāo)識(shí)統(tǒng)一處理，確保有效文件的唯一性。（4）綜合部保留《信息安全管理手冊(cè)》修改內(nèi)容的記錄。1.4.4信息安全管理手冊(cè)的修改《信息安全管理手冊(cè)》如根據(jù)實(shí)際情況發(fā)生變化時(shí)，應(yīng)用信息安全體系相關(guān)部門(mén)提出申請(qǐng)，經(jīng)綜合部討論、商議，信息安全代表審核、總經(jīng)理批準(zhǔn)后方可進(jìn)行修改。為保證修改后的手冊(cè)能夠及時(shí)發(fā)放給相關(guān)人員，綜合部對(duì)手冊(cè)實(shí)施修改后，應(yīng)及時(shí)發(fā)布修改信息，通知相關(guān)人員。《信息安全管理手冊(cè)》的修改分為兩種：一是少量的文字性修改。此種修改不改變手冊(cè)的版本號(hào)，只需在本手冊(cè)的“文檔修改記錄”如實(shí)記錄即可，不需保存手冊(cè)修改前的文檔原件。二是大范圍的信息安全管理體系版本升級(jí)，即改版。在本手冊(cè)經(jīng)過(guò)多次修改、信息安全管理體系建立依據(jù)的標(biāo)準(zhǔn)發(fā)生變化、公司的業(yè)務(wù)范圍有較大調(diào)整的情況下，需要對(duì)本手冊(cè)進(jìn)行改版。本手冊(cè)的改版應(yīng)該對(duì)改版前的《信息安全管理手冊(cè)》原件進(jìn)行保存。在出現(xiàn)下列情況時(shí)，《信息安全管理手冊(cè)》可以進(jìn)行修改：》信息安全管理體系運(yùn)行過(guò)程中發(fā)現(xiàn)問(wèn)題或信息安全管理體系需進(jìn)一步改進(jìn)》內(nèi)部信息安全提出新的需求》組織機(jī)構(gòu)和職能發(fā)生變化》經(jīng)營(yíng)環(huán)境和產(chǎn)品結(jié)構(gòu)有調(diào)整》發(fā)現(xiàn)本手冊(cè)中存在差錯(cuò)或不明確之處》引用的法規(guī)或體系標(biāo)準(zhǔn)有修改》體系審核或管理評(píng)審提出改進(jìn)要求》本手冊(cè)的更改控制按《文件管理程序》執(zhí)行1.4.5信息安全管理手冊(cè)的換版《信息安全管理手冊(cè)》進(jìn)行換版，換版應(yīng)在管理評(píng)審時(shí)形成決議，重新試試編制、審批工作。>當(dāng)依據(jù)的IS0/IEC27001：2022信息安全管理體系有重大變化時(shí)，如組織結(jié)構(gòu)、內(nèi)外部環(huán)境、開(kāi)發(fā)技術(shù)、信息安全風(fēng)險(xiǎn)等發(fā)生重大改變的?！废鄳?yīng)的法律法規(guī)發(fā)生重大變化時(shí)，如國(guó)家法律法規(guī)、政策、標(biāo)準(zhǔn)等發(fā)生改變的?！贰缎畔踩芾硎謨?cè)》發(fā)生需修改部分超過(guò)1/3時(shí)?！贰缎畔踩芾硎謨?cè)》執(zhí)行已滿(mǎn)三年時(shí)。1.4.6信息安全管理手冊(cè)的控制（1）《信息安全管理手冊(cè)》標(biāo)識(shí)分受控文件和非受控文件：》受控文件發(fā)放范圍為公司領(lǐng)導(dǎo)、各相關(guān)部分的負(fù)責(zé)人、審計(jì)部或者內(nèi)審員。》非受控文件印制成單行本，作為投標(biāo)書(shū)的資料、銷(xiāo)售目的等發(fā)給受控范圍以外的其他相關(guān)人員。（2）《信息安全管理手冊(cè)》分為書(shū)面文件和電子文件兩種。1.5公司簡(jiǎn)介2規(guī)范性引用文件下列文件中的條款通過(guò)本《信息安全管理手冊(cè)》的引用而成為本《信息安全管理手冊(cè)》的條款。凡是標(biāo)注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修改版均不適用于本《信息安全管理手冊(cè)》，然而，信息安全管理小組應(yīng)研究是否可使用這些文件的最新版本。凡是不注日期的引用文件、其最新版本適用于本《信息安全管理手冊(cè)》。IS0/IEC27001：2022《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》IS0/IEC27002：2022《信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則》3術(shù)語(yǔ)和定義3.1術(shù)語(yǔ)IS0／IEC27000的術(shù)語(yǔ)和定義適用于本《信息安全管理手冊(cè)》。本組織、本公司、我公司：廣東悅伍紀(jì)網(wǎng)絡(luò)技術(shù)有限公司3.2縮寫(xiě)ISMS：InformationSecurityManagementSystems信息安全管理體系；SOA：：StatementofApplicability適用性聲明；PDCA：：PlanDoCheckAction計(jì)劃、實(shí)施、檢查、改進(jìn)。4組織環(huán)境4.1了解公司現(xiàn)狀及背景本公司根據(jù)內(nèi)外部環(huán)境因素，考慮公司的信息安全管理目的，這將作為公司實(shí)施信息安全管理體系的核心需求。4.2理解相關(guān)方的需求和期望本公司根據(jù)相關(guān)方提出的信息安全需求和期望，考慮建立信息安全管理體系，這些需求包括：法律法規(guī)、合同義務(wù)、地方規(guī)定等。相關(guān)方及期望主要以下：顧客-希望本公司提供的軟件產(chǎn)品與服務(wù)能滿(mǎn)足客戶(hù)需求，符合法規(guī)與合同要求：供應(yīng)商或服務(wù)商--對(duì)本公司提供產(chǎn)品或服務(wù)以支持本公司能夠安全有效持續(xù)運(yùn)營(yíng)公司內(nèi)部管理層與各部門(mén)符合信息安全需求及監(jiān)督運(yùn)作是否合乎程序，確保機(jī)密資料作業(yè)流程受到保護(hù)，各部門(mén)保正公司持續(xù)運(yùn)營(yíng)，公司信息數(shù)據(jù)不受外泄或損毀。4.3確定信息安全管理體系的范圍本公司根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)確定了范圍和邊界：業(yè)務(wù)范圍：與軟件開(kāi)發(fā)及計(jì)算機(jī)信息系統(tǒng)集成相關(guān)的信息安全管理活動(dòng)組織范圍：全公司上下各部門(mén)與業(yè)務(wù)有直接相關(guān)的正式員工物理范圍：資產(chǎn)范圍：與a)所述業(yè)務(wù)活動(dòng)b)組織范圍內(nèi)及c)物理環(huán)境內(nèi)相關(guān)的硬件、軟件、數(shù)據(jù)、文檔、人員及支持性服務(wù)等全部信息資產(chǎn)和相關(guān)技術(shù)手段《信息安全管理手冊(cè)》采用了IS0/IEC27001:2022準(zhǔn)正文的全部?jī)?nèi)容，對(duì)附錄A的刪減及理由詳見(jiàn)《信息安全適用性聲明SOA》；4.4信息安全管理體系本公司的信息安全管理體系按照IS0/IEC27001:2022《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》規(guī)定，參照IS0/IEC27002：2022《信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則》標(biāo)準(zhǔn)建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息安全管理體系。5領(lǐng)導(dǎo)作用5.1領(lǐng)導(dǎo)力和承諾我公司管理者通過(guò)以下活動(dòng)，對(duì)建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理體系的承諾提供證據(jù)：a）建立信息安全方針（見(jiàn)《信息安全方針》）；b）確保信息安全目標(biāo)和計(jì)劃得以制定（見(jiàn)《信息安全目標(biāo)》及相關(guān)記錄）；c）提供充分的資源，以建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)審、保持并改進(jìn)信息安全管理體系（見(jiàn)本手冊(cè)第7.1章）；d）建立信息安全的角色和職責(zé)（見(jiàn)本手冊(cè)附錄3（規(guī)范性附錄）《職責(zé)權(quán)限》和相應(yīng)的管理程序e）向組織傳達(dá)滿(mǎn)足信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性；f）實(shí)施信息安全管理體系管理評(píng)審，確保信息安全管理體系達(dá)到其預(yù)期的效果（見(jiàn)本手冊(cè)第9章）；g）指導(dǎo)和支持員工對(duì)信息安全管理體系作出有效的責(zé)獻(xiàn)；h）確保內(nèi)部信息安全管理體系審核得以實(shí)施，促進(jìn)持續(xù)改進(jìn)（見(jiàn)本手冊(cè)第9章）；i）支持其他相關(guān)管理角色來(lái)展示自已的領(lǐng)導(dǎo)力，因?yàn)樗m用于他們的職責(zé)范圍。5.2信息安全管理體系的方針為了滿(mǎn)足適用法律法規(guī)及相關(guān)方要求，維持ISMS范圍內(nèi)的業(yè)務(wù)正常進(jìn)行，實(shí)現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展，本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)確定了信息安全管理體系方針：滿(mǎn)足客戶(hù)要求，遵守法律法規(guī)，實(shí)施風(fēng)險(xiǎn)管理，確保信息安全，實(shí)現(xiàn)持續(xù)改進(jìn)。5.3角色，責(zé)任和承諾5.3.1信息安全組織機(jī)構(gòu)本公司成立信息安全領(lǐng)導(dǎo)機(jī)構(gòu)一一信息安全管理小組，職責(zé)是實(shí)現(xiàn)信息安全管理體系方針和本公司承諾。具體職責(zé)是：研究決定信息安全工作涉及到的重大事項(xiàng)；審定公司信息安全方針、目標(biāo)、工作計(jì)劃和重要文件；為信息安全工作的有序推進(jìn)和信息安全管理體系的有效運(yùn)行提供必要的資源。本公司的信息安全職能由信息安全管理小組承擔(dān)，其主要職責(zé)是：負(fù)責(zé)制訂、落實(shí)信息安全工作計(jì)劃，對(duì)單位、部門(mén)信息安全工作進(jìn)行檢查、指導(dǎo)和協(xié)調(diào)，建立健全企業(yè)的信息安全管理體系，保持其有效、持續(xù)運(yùn)行。本公司采取相關(guān)部門(mén)代表組成的協(xié)調(diào)會(huì)的方式，進(jìn)行信息安全協(xié)調(diào)和協(xié)作，以：a）確保安全活動(dòng)的執(zhí)行符合信息安全方針；b）確定怎樣處理不符合：批準(zhǔn)信息安全的方法和過(guò)程，如風(fēng)險(xiǎn)評(píng)估、信息分類(lèi)；cd）識(shí)別重大的威脅變化，以及信息和相關(guān)的信息處理設(shè)施對(duì)威脅的暴露；e）評(píng)估信息安全控制措施實(shí)施的充分性和協(xié)調(diào)性；f）有效的推動(dòng)組織內(nèi)信息安全教育、培訓(xùn)和意識(shí)；g）評(píng)價(jià)根據(jù)信息安全事件監(jiān)控和評(píng)審得出的信息，并根據(jù)識(shí)別的信息安全事件推薦適當(dāng)?shù)拇胧?.3.2信息安全職責(zé)和權(quán)限本公司總經(jīng)理為信息安全最高責(zé)任者?？偨?jīng)理指定信息安全管理者代表，無(wú)論信息安全管理者代表其他方面的職責(zé)如何，對(duì)信息安全負(fù)有以下職責(zé)：a）建立并實(shí)施信息安全管理體系必要的程序并維持其有效運(yùn)行；b）對(duì)信息安全管理體系的運(yùn)行情況和必要的改善措施向信息安全管理小組或最高責(zé)任者報(bào)告。各部門(mén)負(fù)責(zé)人為本部門(mén)信息安全管理責(zé)任者，全體員工都應(yīng)按保密承諾的要求自覺(jué)履行信息安全保密義務(wù)。各部門(mén)、人員有關(guān)信息安全職責(zé)分配見(jiàn)附錄3（規(guī)范性附錄）《職責(zé)權(quán)限》和相應(yīng)的程序文件（管理標(biāo)準(zhǔn)）、規(guī)定及崗位說(shuō)明書(shū)。5.3.3承諾為實(shí)現(xiàn)信息安全管理體系方針，本公司承諾a）在公司內(nèi)各層次建立完整的信息安全管理組織機(jī)構(gòu)，確定信息安全方針、安全目標(biāo)和控制措施，明確信息安全的管理職責(zé)；b）識(shí)別并滿(mǎn)足適用法律、法規(guī)和相關(guān)方信息安全要求；c）定期進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估，信息安全管理體系評(píng)審，采取糾正預(yù)防措施，保證體系的持續(xù)有效性；d）采用先進(jìn)有效的設(shè)施和技術(shù)，處理、傳遞、儲(chǔ)存和保護(hù)各類(lèi)信息，實(shí)現(xiàn)信息共享：e）對(duì)全體員工進(jìn)行持續(xù)的信息安全教育和培訓(xùn)，不斷增強(qiáng)員工的信息安全意識(shí)和能力；f）制定并保持完善的業(yè)務(wù)連續(xù)性計(jì)劃，實(shí)現(xiàn)可持續(xù)發(fā)展。6策劃6.1應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)遇的措施6.1.1總則公司制定《應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)遇措施控制程序》，在規(guī)劃信息安全管理體系時(shí)，應(yīng)考慮4.1中提到的問(wèn)題和4.2中提到的要求，并確定需要解決的風(fēng)險(xiǎn)和機(jī)會(huì)，以：A)確保信息安全管理體系能夠?qū)崿F(xiàn)其預(yù)期結(jié)果；B)防止或減少不良影響：c)實(shí)現(xiàn)持續(xù)改進(jìn)。組織應(yīng)規(guī)劃D)應(yīng)對(duì)這些風(fēng)險(xiǎn)和機(jī)遇的措施；和E)如何1)整合和實(shí)施這些措施并將其納入信息安全管理體系過(guò)程2)評(píng)估這些行動(dòng)的有效性。6.1.2信息安全風(fēng)險(xiǎn)評(píng)估組織應(yīng)定義并應(yīng)用以下信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程：A）建立并維護(hù)信息安全風(fēng)險(xiǎn)標(biāo)準(zhǔn)，包括：1)風(fēng)險(xiǎn)接受準(zhǔn)則；和2)執(zhí)行信息安全風(fēng)險(xiǎn)評(píng)估的準(zhǔn)則；B)確保重復(fù)的信息安全風(fēng)險(xiǎn)評(píng)估產(chǎn)生一致、有效和可比較的結(jié)果；C)識(shí)別信息安全風(fēng)險(xiǎn)：1)應(yīng)用信息安全風(fēng)險(xiǎn)評(píng)估流程，識(shí)別與信息安全管理體系范圍內(nèi)信息的保密性、完整性和可用性喪失相關(guān)的風(fēng)險(xiǎn)；而且2)識(shí)別風(fēng)險(xiǎn)所有者；D)分析信息安全風(fēng)險(xiǎn)：1)評(píng)估6.1.2c）1）中確定的風(fēng)險(xiǎn)成為現(xiàn)實(shí)將會(huì)產(chǎn)生的潛在后果；2)評(píng)估6.1.2c）1)中確定的風(fēng)險(xiǎn)發(fā)生的現(xiàn)實(shí)可能性；而且3)確定風(fēng)險(xiǎn)級(jí)別;E)評(píng)估信息安全風(fēng)險(xiǎn)：1)將風(fēng)險(xiǎn)分析結(jié)果與6.1.2a)中建立的風(fēng)險(xiǎn)標(biāo)準(zhǔn)進(jìn)行比較；而且2)將分析的風(fēng)險(xiǎn)按優(yōu)先順序進(jìn)行風(fēng)險(xiǎn)處理。公司定義并應(yīng)用風(fēng)險(xiǎn)評(píng)估過(guò)程，組織應(yīng)保留有關(guān)信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程的文件化信息。6.1.3風(fēng)險(xiǎn)處置信息安全管理領(lǐng)導(dǎo)小組應(yīng)定義和實(shí)施信息安全風(fēng)險(xiǎn)處置過(guò)程：A)根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果，選擇適當(dāng)?shù)男畔踩L(fēng)險(xiǎn)處理方案；B)確定實(shí)施所選信息安全風(fēng)險(xiǎn)處理方案所需的所有控制措施；注1：組織可以根據(jù)需要設(shè)計(jì)控制措施，或從任何來(lái)源識(shí)別控制。c)將上述b)中確定的控制與附件A中的控制進(jìn)行比較，并確認(rèn)沒(méi)有遺漏必要的控制措施；注2：附件A包含可能的信息安全控制的列表。本文件的使用者請(qǐng)參閱附件A，以確保沒(méi)有必要的信息安全控制被忽略。注3：附件A所列的信息安全控制并非詳盡無(wú)遺和附加信息如果需要，可以包括安全控制。6.2信息安全目標(biāo)和實(shí)現(xiàn)目標(biāo)的規(guī)劃公司在相關(guān)職能和級(jí)別建立信息安全目標(biāo)。信息安全目標(biāo)應(yīng)：A)符合信息安全政策；B)可測(cè)量的(如果可行）；C)考慮適用的信息安全要求，以及風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理的結(jié)果；d)被監(jiān)控；e)溝通傳達(dá)；F)適當(dāng)更新；G)作為文件信息提供，公司保留關(guān)于信息安全目標(biāo)的文件化信息。公司在規(guī)劃如何實(shí)現(xiàn)其信息安全目標(biāo)時(shí)，應(yīng)確定：H)將要做什么；I）需要什么資源；J)誰(shuí)將負(fù)責(zé)；K)何時(shí)完成；而且L)如何評(píng)價(jià)結(jié)果。信息安全目標(biāo)：根據(jù)公司的信息安全方針，經(jīng)過(guò)最高管理者確認(rèn)，公司的信息安全管理目標(biāo)為：1.客戶(hù)針對(duì)信息安全事件的投訴每年不超過(guò)1次2.重要信息設(shè)備丟失每年不超過(guò)1起3.機(jī)密和絕密信息泄漏事件每年不超過(guò)1次4.大規(guī)模病毒爆發(fā)每年不超過(guò)1次信息安全管理小組根據(jù)《適用性聲明》、《信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估表》中風(fēng)險(xiǎn)處理計(jì)劃所選擇的控制措施，明確控制措施改進(jìn)時(shí)間表。對(duì)于各部門(mén)信息安全目標(biāo)的完成情況，按照《信息安全目標(biāo)及有效性測(cè)量程序》的要求，周期性在主責(zé)部門(mén)對(duì)各控制措施的目標(biāo)進(jìn)行測(cè)量，并記錄測(cè)量的結(jié)果。通過(guò)定期的內(nèi)審、控制措施目標(biāo)測(cè)量及管理評(píng)審活動(dòng)評(píng)價(jià)公司信息安全目標(biāo)的完成情況。6.3變更計(jì)劃6.3.1變更時(shí)機(jī)的確定本公司應(yīng)特別關(guān)注外部情況的動(dòng)態(tài)變化，包括技術(shù)、市場(chǎng)、競(jìng)爭(zhēng)或法律法規(guī)環(huán)境發(fā)生重大變化的征兆或早期跡象。當(dāng)外部環(huán)境（包括：國(guó)家/行業(yè)/地方/法律法規(guī)、技術(shù)、競(jìng)爭(zhēng)、文化、社會(huì)、經(jīng)濟(jì)和自然環(huán)境方面等）和內(nèi)部環(huán)境發(fā)生重大變化時(shí)，本公司應(yīng)對(duì)變更進(jìn)行策劃，對(duì)變更前、變更中、變更后全過(guò)程加以控制。6.3.2變更的實(shí)施當(dāng)本公司確定需要對(duì)信息安全管理體系進(jìn)行變更時(shí)，變更應(yīng)按所策劃的方式實(shí)施，組織應(yīng)考慮：a）變更目的及其潛在后果（變更可能帶來(lái)好的結(jié)果，也可能帶來(lái)風(fēng)險(xiǎn)和挑戰(zhàn)，進(jìn)行變更策劃時(shí)應(yīng)充分考慮）；b）信息安全管理體系的完整性（如工藝發(fā)生變更后，工藝文件要發(fā)生變更，對(duì)工人也需培訓(xùn)新的工藝文件，這些均需充分考慮，以保持體系完整）；c）資源的可獲得性（體系變更后，關(guān)鍵是資源能否滿(mǎn)足動(dòng)態(tài)的要求）；d）職責(zé)和權(quán)限的分配或再分配。7．支持7.1資源提供公司領(lǐng)導(dǎo)層應(yīng)確保提供以下方面所需的資源1）實(shí)施、保持管理體系并持續(xù)改進(jìn)其有效性所需的各種資源；2）滿(mǎn)足客戶(hù)要求，提高客戶(hù)滿(mǎn)意度所需的各種資源。編制了《人力資源控制程序》，公司根據(jù)人員的學(xué)歷、技能和經(jīng)驗(yàn)，組織面向全員的信息安全意識(shí)培訓(xùn)及面向特定人員的專(zhuān)業(yè)IT技能培訓(xùn)，確保其能勝任工作。7.2信息安全能力管理結(jié)合當(dāng)前信息安全管理認(rèn)證范圍，依據(jù)《人力資源控制程序》對(duì)員工信息安全能力管理主要從以下幾方面出發(fā)來(lái)實(shí)現(xiàn)：1）影響信息安全執(zhí)行工作的人員崗位，在崗位設(shè)立時(shí)應(yīng)明確信息安全能力的要求，并在招聘時(shí)嚴(yán)格把關(guān)（例如學(xué)歷教育、能力測(cè)試等）；2）確保人員在適當(dāng)教育、培訓(xùn)和經(jīng)驗(yàn)的基礎(chǔ)上能夠勝任工作；在人員調(diào)崗時(shí)，應(yīng)考慮相關(guān)人員信息安全能力的確定和培養(yǎng)。3）保留培訓(xùn)記錄作為能力培養(yǎng)的證據(jù)。本公司還確保所有相關(guān)人員意識(shí)到其所從事的信息安全活動(dòng)的相關(guān)性和重要性，以及如何為實(shí)現(xiàn)信息安全管理體系目標(biāo)做出貢獻(xiàn)7.3意識(shí)對(duì)公司全體人員通過(guò)培訓(xùn)、學(xué)習(xí)、宣傳等方式提高人員信息安全意識(shí)，需了解到：a）信息安全方針；b）他們對(duì)信息安全管理體系有效性的貢獻(xiàn)，包括提高信息安全績(jī)效的收益；c）不符合信息安全管理體系要求所帶來(lái)的影響，。7.4溝通公司需通過(guò)適當(dāng)?shù)氖侄伪３衷趦?nèi)部和外部在信息安全要求進(jìn)行有效的溝通。包括獲取外部信息安全專(zhuān)家的建議、信息安全政府行政主管部門(mén)的聯(lián)系及識(shí)別顧客對(duì)信息安全的要求等，溝通方式在《信息安全溝通管理程序》進(jìn)行規(guī)定。7.5文檔化信息7.5.1總則本公司信息安全管理體系文件包括：a）文件化的信息安全方針，在《信息安全管理手冊(cè)》中描述，選擇的控制目標(biāo)在《適用性聲明SOA》中描述：b）《信息安全管理手冊(cè)》（本手冊(cè)，包括信息安全適用范圍及引用的標(biāo)準(zhǔn)）；IS0/IEC27001:2022準(zhǔn)中規(guī)定需文件化的程序；c)d)本手冊(cè)涉及的相關(guān)支持性程序性文件，例如《風(fēng)險(xiǎn)評(píng)估與管理程序》；為確保有效策劃、運(yùn)作和控制信息安全過(guò)程所制定的文件化操作程序；e)f）《風(fēng)險(xiǎn)處理計(jì)劃》以及信息安全管理體系要求的記錄類(lèi)：相關(guān)的法律、法規(guī)和信息安全標(biāo)準(zhǔn)；g)h）《適用性聲明SOA》。7.5.2創(chuàng)建和更新信息安全管理小組按《文件控制程序》的要求，對(duì)信息安全管理體系所要求的文件進(jìn)行管理。對(duì)《信息安全管理手冊(cè)》、程序文件、管理規(guī)定、作業(yè)指導(dǎo)書(shū)和為保證信息安全管理體系有效策劃、運(yùn)行和控制所需的受控文件的編制、評(píng)審、批準(zhǔn)、標(biāo)識(shí)、發(fā)放、使用、修訂、作廢、回收等工作實(shí)施控制，以確保在使用場(chǎng)所能夠及時(shí)獲得適用文件的有效版本。文件的創(chuàng)建和更新應(yīng)確保：a）識(shí)別或描述文件時(shí)需包含標(biāo)題、日期、作者、編號(hào)等b）文件格式可以是表、單、卡、臺(tái)帳、記錄本、報(bào)告、紀(jì)要、證、圖等多種適用的形式，可以是書(shū)面的或電子媒體的。c）文件發(fā)布前得到批準(zhǔn)，以確保文件是充分的；d）必要時(shí)對(duì)文件進(jìn)行評(píng)審、更新并再次批準(zhǔn)：7.5.3文檔化信息的控制文件控制應(yīng)保證：a）確保文件的更改和現(xiàn)行修訂狀態(tài)得到識(shí)別：b確保在使用時(shí)，可獲得相關(guān)文件的最新版本：c）確保文件可以為需要者所獲得，并根據(jù)適用于他們類(lèi)別的程序進(jìn)行標(biāo)識(shí)、保護(hù)、檢索、轉(zhuǎn)移、存儲(chǔ)和最終的銷(xiāo)毀；確保外來(lái)文件得到識(shí)別：d)e）確保文件的分發(fā)得到控制：f）防止作廢文件的非預(yù)期使用：g）若因任何目的需保留作廢文件時(shí)，應(yīng)對(duì)其進(jìn)行適當(dāng)?shù)臉?biāo)識(shí)。7.5.3.1外來(lái)文件管理外來(lái)文件包括信息安全法律、行政法規(guī)、部門(mén)規(guī)章、地方法規(guī)，按以下規(guī)定執(zhí)行：a）信息安全適用的法律法規(guī)按照《信息安全法律法規(guī)管理程序》規(guī)定執(zhí)行b）外來(lái)的文件按照《文件控制程序》和其他相關(guān)規(guī)定執(zhí)行；c）外來(lái)標(biāo)準(zhǔn)按本公司標(biāo)準(zhǔn)化管理的相關(guān)規(guī)定進(jìn)行。8運(yùn)行8.1運(yùn)行計(jì)劃及控制為確保信息安全管理體系有效實(shí)施，對(duì)已識(shí)別的風(fēng)險(xiǎn)進(jìn)行有效處理，本公司開(kāi)展以下活動(dòng)：a）形成《信息安全風(fēng)險(xiǎn)處理計(jì)劃》，以確定適當(dāng)?shù)墓芾泶胧⒙氊?zé)及安全控制措施的優(yōu)先級(jí)；b）為實(shí)現(xiàn)已確定的安全目標(biāo)、實(shí)施《信息安全風(fēng)險(xiǎn)處理計(jì)劃》，明確各崗位的信息安全職責(zé)；c）實(shí)施所選擇的控制措施，以實(shí)現(xiàn)控制目標(biāo)的要求；d）確定如何測(cè)量所選擇的控制措施的有效性，并規(guī)定這些測(cè)量措施如何用于評(píng)估控制的有效性以得出可比較的、可重復(fù)的結(jié)果：對(duì)運(yùn)行過(guò)程中發(fā)生的非計(jì)劃的變更進(jìn)行規(guī)劃，以減輕不良的影響。e8.2信息安全風(fēng)險(xiǎn)評(píng)估信息安全管理小組每年應(yīng)組織對(duì)信息安全風(fēng)險(xiǎn)重新評(píng)估一次，以適應(yīng)信息資產(chǎn)的變化，確定是否存在新的風(fēng)險(xiǎn)及是否需要增加新的控制措施。信息安全管理小組組織有關(guān)部門(mén)按照《信風(fēng)險(xiǎn)評(píng)估與管理程序》的要求，對(duì)風(fēng)險(xiǎn)處理后的殘余風(fēng)險(xiǎn)進(jìn)行定期評(píng)審，以驗(yàn)證殘余風(fēng)險(xiǎn)是否達(dá)到可接受的水平，對(duì)以下方面變更情況應(yīng)及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估：a）組織；b）技術(shù)；業(yè)務(wù)目標(biāo)和過(guò)程；c)已識(shí)別的威脅；d)實(shí)施控制的有效性；e)外部事件，例如法律或規(guī)章環(huán)境的變化、合同責(zé)任的變化以及社會(huì)環(huán)境的變化。f8.3信息安全風(fēng)險(xiǎn)處置公司需保留信息安全風(fēng)險(xiǎn)處理計(jì)劃的執(zhí)行結(jié)果的文檔化的記錄。9績(jī)效評(píng)價(jià)9.1監(jiān)視、測(cè)量、分析和評(píng)價(jià)本公司通過(guò)實(shí)施不定期安全檢查、內(nèi)部審核、事故報(bào)告調(diào)查處理、電子監(jiān)控、定期技術(shù)檢查等控制措施并報(bào)告結(jié)果以實(shí)現(xiàn)：a）及時(shí)發(fā)現(xiàn)處理結(jié)果中的錯(cuò)誤、信息安全管理體系的事故和隱患；b）及時(shí)了解識(shí)別失敗的和成功的安全破壞和事件、信息處理系統(tǒng)遭受的各類(lèi)攻擊；c）使管理者確認(rèn)人工或自動(dòng)執(zhí)行的安全活動(dòng)達(dá)到預(yù)期的結(jié)果：d)使管理者掌握信息安全活動(dòng)和解決安全破壞所采取的措施是否有效；e）積累信息安全方面的經(jīng)驗(yàn)。9.2內(nèi)部審核9.2.1總則要求本公司信息安全管理小組按《內(nèi)部審核管理程序》的要求策劃和實(shí)施信息安全管理體系內(nèi)部審核以及報(bào)告結(jié)果和保持記錄?；顒?dòng)本公司每年進(jìn)行壹次信息安全管理體系內(nèi)部審核，以確定其信息安全管理體系的控制目標(biāo)、控制措施、過(guò)程和程序是否：a）符合本標(biāo)準(zhǔn)的要求和相關(guān)法律法規(guī)的要求；b）符合已識(shí)別的信息安全要求；c）得到有效地實(shí)施和維護(hù)；d）按預(yù)期執(zhí)行。9.2.2內(nèi)審策劃信息安全管理小組策劃審核的過(guò)程、區(qū)域的狀況、重要性以及以往審核的結(jié)果，對(duì)審核工作進(jìn)行策劃。應(yīng)編制《年度內(nèi)審計(jì)劃》，確定審核的準(zhǔn)則、范圍、頻次和方法。每次審核前，信息安全管理小組應(yīng)編制《內(nèi)部審核計(jì)劃》，確定審核的準(zhǔn)則、范圍、日程和審核組。審核員的選擇和審核的實(shí)施應(yīng)確保審核過(guò)程的客觀(guān)性和公正性。審核員不應(yīng)審核自己的工作?！秲?nèi)部審核計(jì)劃》，經(jīng)管理者代表批準(zhǔn)，提前3天通知被審核部門(mén)，被審核部門(mén)到時(shí)應(yīng)選派有關(guān)人員配合審核，9.2.3內(nèi)審員內(nèi)部審核員必須是熟悉本公司信息安全管理情況，參加內(nèi)部審核員培訓(xùn)并考核合格的人員。內(nèi)部審核員應(yīng)來(lái)自于不同的部門(mén)，審核人員應(yīng)與被審活動(dòng)無(wú)直接責(zé)任，以保持工作的獨(dú)立性。各部門(mén)選擇符合內(nèi)部審核員條件的候選人，參加內(nèi)部審核員培訓(xùn)并考試合格，填寫(xiě)《內(nèi)部審核員評(píng)定表》，經(jīng)管理者代表批準(zhǔn)，方取得內(nèi)部審核員資格。9.2.4內(nèi)審實(shí)施活動(dòng)應(yīng)按審核計(jì)劃的要求實(shí)施審核，包括：a）進(jìn)行首次會(huì)議，明確審核的目的和范圍，采用的方法和程序；實(shí)施現(xiàn)場(chǎng)審核，檢查相關(guān)文件、記錄和憑證，與相關(guān)人員進(jìn)行交流，填寫(xiě)審核發(fā)b)現(xiàn)；c）對(duì)檢查內(nèi)容進(jìn)行分析，對(duì)審核發(fā)現(xiàn)的問(wèn)題在《不符合項(xiàng)報(bào)告及糾正報(bào)告單》中開(kāi)出不符合項(xiàng)：d）審核組長(zhǎng)編制《內(nèi)部審核報(bào)告》。不符合處理對(duì)審核中提出的不符合項(xiàng)，責(zé)任部門(mén)應(yīng)制定糾正措施，由信息安全管理小組對(duì)糾正措施的實(shí)施情況進(jìn)行跟蹤、驗(yàn)證，將結(jié)果記入《不符合項(xiàng)報(bào)告及糾正報(bào)告單》。記錄內(nèi)部審核記錄由信息安全管理小組保存，并作為管理評(píng)審的輸入之一。9.3管理評(píng)審總經(jīng)理應(yīng)每年進(jìn)行一次管理評(píng)審，以確保信息安全管理體系持續(xù)的適宜性、充分性和有效性，管理評(píng)審按《管理評(píng)審程序》進(jìn)行。管理評(píng)審應(yīng)包括評(píng)價(jià)信息安全管理體系改進(jìn)的機(jī)會(huì)和變更的需要，包括信息安全方針和信息安全目標(biāo)。管理評(píng)審的結(jié)果應(yīng)清晰地形成文件，記錄應(yīng)加以保持。管理評(píng)審應(yīng)考慮：a）以往管理評(píng)審的跟蹤措施任何可能影響信息安全管理體系的變更；b)c）不符合項(xiàng)和糾正措施的狀況；d）有效性測(cè)量的結(jié)果；e)信息安全管理體系審核和評(píng)審的結(jié)果；f）信息安全目標(biāo)的實(shí)現(xiàn)情況：相關(guān)方的反饋：g）h）風(fēng)險(xiǎn)評(píng)估的結(jié)果和風(fēng)險(xiǎn)處置的狀態(tài)；i）改進(jìn)的機(jī)會(huì)和建議。10改進(jìn)10.1持續(xù)改進(jìn)本公司依據(jù)《持續(xù)改進(jìn)控制程序》的要求，通過(guò)使用信息安全方針、信息安全目標(biāo)、審核結(jié)果、監(jiān)控事件的分析、糾正和預(yù)防措施以及管理評(píng)審，持續(xù)改進(jìn)信息安全管理體系的適宜性，充分性和有效性。我公司開(kāi)展以下活動(dòng)，以確保信息安全管理體系的持續(xù)改進(jìn)：a）實(shí)施每年管理評(píng)審、內(nèi)部審核、安全檢查等活動(dòng)以確定需改進(jìn)的項(xiàng)目：b）按照本手冊(cè)的要求采取適當(dāng)?shù)募m正和預(yù)防措施；吸取其他組織及本公司安全事故的經(jīng)驗(yàn)教訓(xùn)，不斷改進(jìn)安全措施的有效性；c）通過(guò)適當(dāng)?shù)氖侄伪３衷趦?nèi)部對(duì)信息安全措施的執(zhí)行情況與結(jié)果進(jìn)行有效的溝通包括獲取外部信息安全專(zhuān)家的建議、信息安全政府行政主管部門(mén)的聯(lián)系及識(shí)別顧客對(duì)信息安全的要求等；d）對(duì)信息安全目標(biāo)及分解進(jìn)行適當(dāng)?shù)墓芾?，確保改進(jìn)達(dá)到預(yù)期的效果。10.2不符合及糾正措施本公司信息安全管理小組管理糾正措施，不符合事項(xiàng)的責(zé)任部門(mén)負(fù)責(zé)采取糾正措施以消除與信息安全管理體系要求不符合的原因，以防止再發(fā)生。糾正措施的實(shí)施按《持續(xù)改進(jìn)控制程序》進(jìn)行。糾正措施的制定和實(shí)施程序如下：識(shí)別信息安全事件及不符合；a)b)確定信息安全事件及不符合的原因；確定是否存在類(lèi)似的不符合和發(fā)生的可能；c評(píng)價(jià)確保不符合不再發(fā)生的措施要求；d)e)確定和實(shí)施所需的糾正措施；f記錄所采取措施的結(jié)果：g）評(píng)審所采取的糾正措施，我公司信息安全管理小組定期組織進(jìn)行風(fēng)險(xiǎn)評(píng)估，以識(shí)別變化的風(fēng)險(xiǎn)，并通過(guò)關(guān)注變化顯著的風(fēng)險(xiǎn)來(lái)識(shí)別糾正措施要求。糾正措施的優(yōu)先級(jí)應(yīng)基于風(fēng)險(xiǎn)評(píng)估結(jié)果來(lái)確定附錄1組織架構(gòu)圖綜合部總經(jīng)理程部管理者代表市場(chǎng)部附錄2職能分配表部門(mén)要素4.1了解組織及其環(huán)境4.2理解相關(guān)方的需求和期望部門(mén)4.3確定信息安全管理體系的范圍4.4信息安全管理體系5.1領(lǐng)導(dǎo)作用和承諾5.2方針5.3組織角色和權(quán)限6.1應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)遇的措施6.2信息安全目標(biāo)及其實(shí)現(xiàn)的策劃7.1資源7.2能力7.3意識(shí)7.4溝通7.5文件化信息8.1運(yùn)行計(jì)劃與控制8.2信息安全風(fēng)險(xiǎn)評(píng)估8.3信息安全風(fēng)險(xiǎn)處置9.1監(jiān)視、測(cè)量、分析和評(píng)價(jià)9.2內(nèi)部審核9.3管理評(píng)審10.1持續(xù)改進(jìn)10.2不符合及糾正措施A5.1信息安全策略A5.2信息安全的角色和責(zé)任總經(jīng)理信息安全管理小組工程部綜合部市場(chǎng)部A5.3職責(zé)分離A5.4管理層責(zé)任A5.5與職能機(jī)構(gòu)的聯(lián)系A(chǔ)5.6與特定相關(guān)方的聯(lián)系A(chǔ)5.7威脅情報(bào)A5.8項(xiàng)目管理中的信息安全A5.9信息和其他相關(guān)資產(chǎn)的清單A5.10信息和其他相關(guān)資產(chǎn)的可接受的使用A5.11資產(chǎn)返還A5.12信息分類(lèi)A5.13信息標(biāo)簽A5.14信息傳遞A5.15訪(fǎng)問(wèn)控制A5.16身份管理A5.17鑒別信息A5.18訪(fǎng)問(wèn)權(quán)限A5.19供應(yīng)商關(guān)系中的信息安全A5.20解決供應(yīng)商協(xié)議中的信息安全問(wèn)題A5.21管理ICT供應(yīng)鏈中的信息安全A5.22供應(yīng)商服務(wù)的監(jiān)控、審查和變更管理A5.23使用云服務(wù)的信息安全A5.24規(guī)劃和準(zhǔn)備管理信息安全事故A5.25信息安全事件的評(píng)估和決策A5.26應(yīng)對(duì)信息安全事故A5.27從信息安全事故中吸取教訓(xùn)A5.28收集證據(jù)A5.29中斷期間的信息安全AAAAAAA5.30關(guān)于業(yè)務(wù)連續(xù)性的ICT準(zhǔn)備A5.31法律、法規(guī)、監(jiān)管和合同A5.32知識(shí)產(chǎn)權(quán)A5.33記錄保護(hù)A5.34PII隱私和保護(hù)A5.35信息安全獨(dú)立審查A5.36信息安全策略、規(guī)則和標(biāo)準(zhǔn)的遵從性A5.37文件化的操作程序A6人員控制A6.1篩選A6.2雇傭條款和條件A6.3信息安全意識(shí)、教育和培訓(xùn)A6.4紀(jì)律程序A6.5雇傭關(guān)系終止或變更后的責(zé)任A6.6保密或不披露協(xié)議A6.7遠(yuǎn)程工作A6.8報(bào)告信息安全事件A7物理控制A7.1物理安全邊界A7.2物理入口A(yíng)7.3保護(hù)辦公室、房間和設(shè)施A7.4物理安全監(jiān)控A7.5抵御物理和環(huán)境威肋A7.6在安全區(qū)域工作A7.7桌面清理和屏幕清理A7.8設(shè)備安置和保護(hù)A7.9場(chǎng)外資產(chǎn)的安全A7.10存儲(chǔ)介質(zhì)A7.11支持性設(shè)施A44A7.12布線(xiàn)安全A7.13設(shè)備維護(hù)A7.14設(shè)備的安全作廢或再利用A8技術(shù)控制A8.1用戶(hù)終端設(shè)備A8.2特殊訪(fǎng)問(wèn)權(quán)A8.3信息訪(fǎng)問(wèn)約束A8.4獲取源代碼A8.5安全身份認(rèn)證A8.6容量管理A8.7防范惡意軟件A8.8技術(shù)漏洞的管理A8.9配置管理A8.10信息刪除A8.11數(shù)據(jù)遮蓋A8.12防止數(shù)據(jù)泄漏A8.13信息備份A8.14信息處理設(shè)備的穴余A8.15日志A8.16活動(dòng)監(jiān)測(cè)A8.17時(shí)鐘同步A8.18特權(quán)實(shí)用程序的使用A8.19在操作系統(tǒng)上安裝軟件A8.20網(wǎng)絡(luò)安全A8.21網(wǎng)絡(luò)服務(wù)的安全性A8.22網(wǎng)絡(luò)隔離A8.23網(wǎng)站過(guò)濾A8.24密碼學(xué)的使用A8.25安全開(kāi)發(fā)生命周期A(yíng)8.26應(yīng)用程序安全要求A8.27安全系統(tǒng)架構(gòu)和工程原理A8.28安全編碼A8.29開(kāi)發(fā)和驗(yàn)收中的安全性測(cè)試A8.30外包開(kāi)發(fā)A8.31開(kāi)發(fā)、測(cè)試和生產(chǎn)環(huán)境的分離A8.32變更管理A8.33測(cè)試信息A8.34審計(jì)測(cè)試期間信息系統(tǒng)的保護(hù)附錄3信息安全職責(zé)信息安全管理小組：不適用1）負(fù)責(zé)公司的整體信息安全管理工作，負(fù)責(zé)公司信息資產(chǎn)的安全；2）工程部是信息安全主管機(jī)構(gòu)、與各部門(mén)的溝通和交流，負(fù)責(zé)有關(guān)信息安全工作的落實(shí)和推行，并負(fù)責(zé)報(bào)告本公司有關(guān)信息安全狀況和重要事件；3）負(fù)責(zé)協(xié)調(diào)公司內(nèi)部信息安全工作，分配信息安全管理目標(biāo)、職責(zé)，并支持和推動(dòng)信息安全工作在公司范圍內(nèi)的實(shí)施；4）負(fù)責(zé)對(duì)與信息安全管理有關(guān)的重大事項(xiàng)進(jìn)行決策，包括安全組織機(jī)構(gòu)調(diào)整、信息安全關(guān)鍵人事變動(dòng)、以及信息安全管理重大策略變更、確認(rèn)可接受的風(fēng)險(xiǎn)和風(fēng)險(xiǎn)水平等；5）負(fù)責(zé)對(duì)信息安全管理體系進(jìn)行內(nèi)部評(píng)審和管理評(píng)審，審批和發(fā)布信息安全方針、信息安全規(guī)范及管理辦法以及與信息安全管理相關(guān)的重大事項(xiàng)；6）負(fù)責(zé)制定和實(shí)施與信息安全相關(guān)的獎(jiǎng)懲措施和安全績(jī)效考核體系；7）評(píng)審與監(jiān)督重大信息安全事故的處理；8）對(duì)內(nèi)部評(píng)審整改意見(jiàn)承擔(dān)最終責(zé)任?？偨?jīng)理：1）負(fù)責(zé)信息安全方針制度、修訂及宣告。建立信息安全系統(tǒng)組織，整合各部門(mén)信息安全系統(tǒng)業(yè)務(wù)。2各項(xiàng)信息安全系統(tǒng)督導(dǎo)。3）4）主持管理評(píng)審會(huì)議。5）督導(dǎo)信息安全管理體系運(yùn)作及目標(biāo)制定。信息安全管理活動(dòng)推行及考核以確保信息安全方針及控制目標(biāo)有效達(dá)成。6）制定經(jīng)營(yíng)目標(biāo)，提示工作重點(diǎn)。78）人力資源分配，干部選任、調(diào)派、晉升及效率審查。有關(guān)管理制度及規(guī)章的研制、審查及推行。9）10）將公司信息安全控制目標(biāo)轉(zhuǎn)換成具體可行的實(shí)施計(jì)劃，11）協(xié)助各部門(mén)改善并提升經(jīng)營(yíng)質(zhì)量。管理者代表：1）負(fù)責(zé)建立、實(shí)施、保持和改進(jìn)信息安全管理體系，保證信息安全體系的有效運(yùn)行；2）負(fù)責(zé)公司信息安全管理手冊(cè)的審核，程序文件的批準(zhǔn)，組織并領(lǐng)導(dǎo)公司內(nèi)部審核工作；3）負(fù)責(zé)向總經(jīng)理報(bào)告信息安全體系運(yùn)行的業(yè)績(jī)和任何改進(jìn)的需求；4）負(fù)責(zé)就信息安全管理體系有關(guān)事宜的對(duì)外聯(lián)絡(luò)。各部門(mén)的信息安全主管領(lǐng)導(dǎo)：1）部門(mén)的信息安全主管領(lǐng)導(dǎo)由本部門(mén)經(jīng)理?yè)?dān)任；2）負(fù)責(zé)協(xié)助信息安全工作小組建立本部門(mén)信息安全管理制度和流程：3）部門(mén)的信息安全主管領(lǐng)導(dǎo)系本部門(mén)信息安全管理責(zé)任人，負(fù)責(zé)本部門(mén)的信息安全管理工作，負(fù)責(zé)保護(hù)本部門(mén)所擁有和管理的信息資產(chǎn)的安全；4）負(fù)責(zé)采取有效辦法，落實(shí)和推動(dòng)信息安全政策的實(shí)施：5）負(fù)責(zé)指導(dǎo)和要求本部門(mén)員工遵守信息安全政策；6）對(duì)違反安全政策的行為進(jìn)行內(nèi)部處罰；7）落實(shí)針對(duì)本部門(mén)的糾正措施（包括內(nèi)部審核整改意見(jiàn)）和預(yù)防措施。部門(mén)信息安全工作小組成員：1）負(fù)責(zé)本部門(mén)日常的具體信息安全工作，并參加信息安全管理工作小組所要求的各項(xiàng)活動(dòng)；2）負(fù)責(zé)按照ISMS體系的要求，對(duì)本部門(mén)所擁有和管理的信息資產(chǎn)進(jìn)行維護(hù)，包括資產(chǎn)的識(shí)別和分類(lèi)、資產(chǎn)的威脅和脆弱性識(shí)別及安全需求級(jí)別確定等工作；3）負(fù)責(zé)根據(jù)ISMS安全政策要求，在本部門(mén)提高員工安全意識(shí)，落實(shí)責(zé)任，保護(hù)信息資產(chǎn)的安全，并確保已建立的安全控制措施持續(xù)有效；4）負(fù)責(zé)向信息安全管理工作小組組長(zhǎng)報(bào)告信息安全事件和違反信息安全政策的行為，協(xié)助對(duì)違反安全政策的行為進(jìn)行調(diào)查；5）協(xié)助信息安全管理工作小組組長(zhǎng)和本部門(mén)信息安全主管領(lǐng)導(dǎo)落實(shí)針對(duì)本部門(mén)的糾正措施（包括內(nèi)部審核整改意見(jiàn)）和預(yù)防措施。內(nèi)部員工：1）嚴(yán)格遵守所有與信息安全相關(guān)的國(guó)家法律、法規(guī)和政策，遵守公司所有的信息安全政策，并簽字承諾遵守保密協(xié)議的有關(guān)規(guī)定；2）以安全負(fù)責(zé)的方式使用公司的信息資產(chǎn)：3）積極參加信息安全教育與培訓(xùn)，提高信息安全意識(shí)；4）有責(zé)任將違反信息安全政策的事件與行為及時(shí)報(bào)告給本部門(mén)信息安全管理員及其他相關(guān)人員。行政部：我公司信息安全管理體系的歸口管理部門(mén)。1）負(fù)責(zé)管理體系的建立、實(shí)施、保持、測(cè)量和改進(jìn)。2）負(fù)責(zé)文件控制、記錄控制、內(nèi)部審核的組織、管理評(píng)審的組織和體系的改進(jìn)。3）負(fù)責(zé)本公司保密工作的管理，4）負(fù)責(zé)安全區(qū)域的管理。5）負(fù)責(zé)涉密信息上網(wǎng)、涉密計(jì)算機(jī)運(yùn)行、檢修、報(bào)廢的監(jiān)督管理。6）對(duì)信息安全日常工作實(shí)施動(dòng)態(tài)考核，將信息安全管理作為企業(yè)管理的重要工作內(nèi)容。7）參與涉密及司法介入的信息安全事件的調(diào)查。8）負(fù)責(zé)公司人員安全管理，包括人員聘用管理，保密協(xié)議簽署，員工的能力、意識(shí)和培訓(xùn)，員工離職管理。行政部（財(cái)務(wù)室）：1）負(fù)責(zé)公司的稅收，工資發(fā)放，公司財(cái)務(wù)預(yù)算中的信息安全管理。2）負(fù)責(zé)公司財(cái)務(wù)報(bào)表的編制。3）負(fù)責(zé)對(duì)重大項(xiàng)目和經(jīng)營(yíng)活動(dòng)實(shí)施評(píng)估、測(cè)算、分析工作，確定其成本、收益和風(fēng)險(xiǎn)，為管理層在企業(yè)的生產(chǎn)經(jīng)營(yíng)、業(yè)務(wù)發(fā)展等事提供財(cái)務(wù)方面的分析和決策依據(jù)4）負(fù)責(zé)公司預(yù)算決算管理。5）負(fù)責(zé)新產(chǎn)品的成本核算，為新產(chǎn)品的研發(fā)工作提供支持。6）組織辦理各項(xiàng)資產(chǎn)的報(bào)廢、盤(pán)虧、毀損的核銷(xiāo)報(bào)批工作。7）負(fù)責(zé)公司的采購(gòu)及供應(yīng)商的管理中的信息安全管理。工程部：1）公司的信息系統(tǒng)安全管理部門(mén)。2）負(fù)責(zé)局域網(wǎng)上所承擔(dān)的各類(lèi)信息系統(tǒng)的管理職能。3）負(fù)責(zé)我公司信息系統(tǒng)安全日常管理。4）負(fù)責(zé)技術(shù)管理過(guò)程的信息安全管理。5）負(fù)責(zé)對(duì)影響我公司業(yè)務(wù)連續(xù)性的信息系統(tǒng)隱患進(jìn)行管理。6）負(fù)責(zé)對(duì)公司在經(jīng)營(yíng)過(guò)程中產(chǎn)生的數(shù)據(jù)進(jìn)行備份和保護(hù)。7）負(fù)責(zé)公司服務(wù)器的運(yùn)行維護(hù)和管理8）負(fù)責(zé)對(duì)公司網(wǎng)絡(luò)設(shè)備進(jìn)行定期維護(hù)。9）負(fù)責(zé)對(duì)用戶(hù)訪(fǎng)問(wèn)網(wǎng)絡(luò)實(shí)施授權(quán)管理，防止非授權(quán)用戶(hù)非法入侵公司信息系統(tǒng)。10）負(fù)責(zé)對(duì)網(wǎng)絡(luò)的運(yùn)行情況進(jìn)行監(jiān)控。11）負(fù)責(zé)對(duì)網(wǎng)絡(luò)設(shè)備的嚴(yán)格控制，以及網(wǎng)絡(luò)服務(wù)的管理。12）負(fù)責(zé)本部門(mén)職責(zé)范圍內(nèi)的信息安全管理體系運(yùn)行工作。13）負(fù)責(zé)軟件開(kāi)發(fā)、維護(hù)工作。14）負(fù)責(zé)公司的技術(shù)支持。15）用戶(hù)服務(wù)SLA響應(yīng)、處理、時(shí)效性檢查。16）軟件安裝過(guò)程中的信息安全管理。市場(chǎng)部：1）開(kāi)拓客戶(hù)，簽訂合同，完善銷(xiāo)售業(yè)務(wù)中的信息安全管理。2）擴(kuò)展公司在客戶(hù)中的影響力，提升市場(chǎng)份額中的信息安全管理。3）加強(qiáng)與顧客的溝通和聯(lián)系，及時(shí)處理顧客提出的要求，定期對(duì)重要顧客做滿(mǎn)意度調(diào)查、測(cè)量和分析，及時(shí)把顧客的意見(jiàn)向公司領(lǐng)導(dǎo)和相關(guān)部門(mén)匯報(bào)，采取必要措施，改進(jìn)不足，確保顧客滿(mǎn)意度不斷提高。4）負(fù)責(zé)公司產(chǎn)品支持中的信息安全管理。5）負(fù)責(zé)職責(zé)范圍內(nèi)的信息安全管理體系運(yùn)行工作。(完整版)信息安全手冊(cè)--第1頁(yè)XXXXXXXX有限公司信息安全管理手冊(cè)目錄1目的.2范圍3總體安全目標(biāo)..信息安全5信息安全組織..5.1信息安全組織.5.2信息安全職責(zé).5.3信息安全操作流程.6信息資產(chǎn)分類(lèi)與控制...6.1信息資產(chǎn)所有人責(zé)任.6.1.1信息資產(chǎn)分類(lèi)..6.1.2信息資產(chǎn)密級(jí).6.2信息資產(chǎn)的標(biāo)識(shí)和處理..7人員的安全管理...7.1聘用條款和保密協(xié)議7.1.1聘用條款中員工的信息安全責(zé)任7.1.2商業(yè)秘密，7.2人員背景審查..7.2.1審查流程..7.2.2員工背景調(diào)查表.7.3員工培訓(xùn)..7.3.1培訓(xùn)周期..7.3.2培訓(xùn)效果檢查7..4人員離職...7.4.1離職人員信息交接流程..．違規(guī)處理..7.5.1信息安全違規(guī)級(jí)別.7.5.2信息安全違規(guī)處理流程7.5.3違規(guī)事件處理流程圖.8物理安全策略.8.1場(chǎng)地安全...8.1.1FBI受控區(qū)域的劃分，8.1.1.1受控區(qū)域級(jí)別劃分+++..++++-..++++..++8.1.1.2重要區(qū)域及受控區(qū)域管理責(zé)任劃分..8.1.1.3物理隔離...8..2出入控制.8.3名詞解釋.8.1.4人員管理..8.1.4.1人員進(jìn)出管理流程8.1.4.1.1公司員工.8.1.4.1.2來(lái)訪(fǎng)人員8.1.5卡證管理規(guī)定未經(jīng)許可，不得擴(kuò)散(完整版)信息安全手冊(cè)--第2頁(yè)文件密級(jí)：內(nèi)部公開(kāi)+..++++-.++++-10...10..1011123.1314141415..15.15151617.17.18.18..18...19191919.19202328.1.5.1卡證分類(lèi)8.1.5.2卡證申請(qǐng).8.1.5.3卡證權(quán)限管理8.2設(shè)備安全...8.2.1設(shè)備安全規(guī)定..8.2.2設(shè)備進(jìn)出管理流程.8.2..2..1設(shè)備進(jìn)場(chǎng).8.2.2.2設(shè)備出場(chǎng)8.2.3BBB辦公設(shè)備進(jìn)出管理流程8.2.3.1設(shè)備進(jìn)場(chǎng)8.2.3.2設(shè)備出場(chǎng)..8.2.4特殊存儲(chǔ)設(shè)備介質(zhì)管理規(guī)定8.2.5FBI場(chǎng)地設(shè)備加封規(guī)定.8.2.6FBI場(chǎng)地設(shè)備報(bào)修處理流程9IT安全管理.9.1網(wǎng)絡(luò)安全管理規(guī)定...9.2系統(tǒng)安全管理規(guī)定..9.3病毒處理管理流程.9.4權(quán)限管理9.4.1權(quán)限管理規(guī)定..9.4.2配置管理規(guī)定.9.4.3員工權(quán)限矩陣圖.9.5數(shù)據(jù)傳輸規(guī)定..9.6業(yè)務(wù)連續(xù)性...9.7FBI機(jī)房、實(shí)驗(yàn)室管理，9.7.1門(mén)禁系統(tǒng)管理規(guī)定，9.7.2服務(wù)器管理規(guī)定7.3網(wǎng)絡(luò)管理規(guī)定..9.7.4監(jiān)控管理規(guī)定..9.7.5其它管理規(guī)定10信息安全事件和風(fēng)險(xiǎn)處理...10.1信息安全事件調(diào)查流程..10.1.1信息安全事件的分類(lèi)10.1.2信息安全事件的分級(jí)10.1.3安全事件調(diào)查流程10.1.3.1一級(jí)安全事件處理流程10.1.3.2二級(jí)安全事件處理流程10.1.3.3三級(jí)安全事件處理流程.10.1.4信息安全事件的統(tǒng)計(jì)分析和審計(jì)11檢查、監(jiān)控和審計(jì)11.1檢查規(guī)定..1...2監(jiān)控11.2.1視頻監(jiān)控11.2.2系統(tǒng)、網(wǎng)絡(luò)監(jiān)控，+++++..++++AAAAA.未經(jīng)許可，不得擴(kuò)散(完整版)信息安全手冊(cè)--第3頁(yè)文件密級(jí)：內(nèi)部公開(kāi).23.232424.2426..27.28.28..29.3031.31.31..31...++++++-..+++..2.3233.3333·35.36.36.37..37...37.38..3838.3939..39.39.40..40.1..42424343..43.4344311.3審計(jì)11.3.1審計(jì)規(guī)定11.3.2審計(jì)內(nèi)容12獎(jiǎng)勵(lì)與處罰.12.1獎(jiǎng)勵(lì)..12.1.1獎(jiǎng)勵(lì)等級(jí).12.2處罰..12.2.1處罰等級(jí)一級(jí)處罰.常見(jiàn)一級(jí)處罰..二級(jí)處罰……常見(jiàn)二級(jí)處罰。三級(jí)處罰常見(jiàn)三級(jí)處罰.四級(jí)處罰常見(jiàn)四級(jí)處罰..(完整版)信息安全手冊(cè)--第4頁(yè)未經(jīng)許可，不得擴(kuò)散文件密級(jí)：內(nèi)部公開(kāi)..46...4646464647..47..474747..4848.4848.49..491目的文件密級(jí)：內(nèi)部公開(kāi)為了規(guī)范和明確XXXXXXXX有限公司業(yè)務(wù)發(fā)展的信息安全管理方面的總體要求，特制定本規(guī)定確保我司BBB項(xiàng)目符合BBB信息安全管理要求；有效保護(hù)雙方利益和和信息資產(chǎn)安全，特制定此規(guī)定，2范圍本規(guī)定適用于XXXXXXXX有限公司各部門(mén)及全體員工。3總體安全目標(biāo)建立符合要求的信息安全管理體系，確保離岸外包項(xiàng)目運(yùn)作中的信息安全，防止公司及客戶(hù)的技術(shù)秘密、商業(yè)秘密的泄露，保障公司外包業(yè)務(wù)的順利發(fā)展。4信息安全信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不被中斷。5信息安全組織5.1信息安全組織為了響應(yīng)公司外包業(yè)務(wù)的離岸政策、適應(yīng)外包業(yè)務(wù)發(fā)展方向、使業(yè)務(wù)能夠順利回遷，建立符合公司及客戶(hù)要求的信息安全管理體系，保證業(yè)務(wù)離岸后的順利開(kāi)展，本著尊重知識(shí)產(chǎn)權(quán)、維護(hù)公司、客戶(hù)的商業(yè)利益、為客戶(hù)的業(yè)務(wù)開(kāi)展提供最安全的保障服務(wù)。經(jīng)公司研究決定成立信息安全管理組，各地域或場(chǎng)地可參照成立信息安全小組。未經(jīng)許可，不得擴(kuò)散(完整版)信息安全手冊(cè)--第5頁(yè)HE關(guān)鍵崗位審查員服務(wù)器管理員系統(tǒng)安全管理員IT專(zhuān)員IT安全管理員網(wǎng)絡(luò)管理員網(wǎng)絡(luò)安全管理員5.2信息安全職責(zé)PMO經(jīng)理信息安全主任信息安全專(zhuān)員行政助理機(jī)要員桌面支持工程師PC安全管理員行政部安全崗文件密級(jí)：內(nèi)部公開(kāi)行政部卡政管理員研發(fā)部門(mén)部門(mén)執(zhí)行主任PDU項(xiàng)目組安全員信息安全主任：根據(jù)公司信息安全要求及業(yè)務(wù)發(fā)展需求，對(duì)信息安全相關(guān)事務(wù)進(jìn)行支持、決策，確保外包項(xiàng)目的信息安全，對(duì)所承接的BBB外包服務(wù)業(yè)務(wù)的信息安全負(fù)責(zé)。信息安全專(zhuān)員：建立信息安全組織，作為信息安全管理人員負(fù)責(zé)建立和維護(hù)ISMS（InformationSecurityManagementSystem信息安全管理體系）負(fù)責(zé)組織信息安全管理規(guī)定、標(biāo)準(zhǔn)和流程的制定、推行、檢查和安全事件調(diào)查工作。機(jī)要員：主要負(fù)責(zé)執(zhí)行信息安全制度中規(guī)定的及信息安全專(zhuān)員的指令，一個(gè)地域只有一個(gè)機(jī)要員，通常重要區(qū)域的鑰匙、密碼、門(mén)禁卡由其負(fù)責(zé)保管，所有物品出入FBI場(chǎng)地必須由機(jī)要員進(jìn)行確認(rèn)檢查，并做好相關(guān)的記錄。安全崗：執(zhí)行信息安全制度中規(guī)定的及信息安全專(zhuān)員的指令，根據(jù)信息安全制度的相關(guān)規(guī)定，執(zhí)行檢查、登記出入FBI場(chǎng)地人員及攜帶的物品，負(fù)責(zé)維護(hù)責(zé)任區(qū)域的安全。當(dāng)有人員及人員攜帶物品強(qiáng)行出入FBI場(chǎng)地的時(shí)候，安全崗人員必須立即制止。IT專(zhuān)員：主要負(fù)責(zé)執(zhí)行信息安全制度中規(guī)定的及信息安全專(zhuān)員的指令，協(xié)助信息安全機(jī)要員做好信息安全方面的技術(shù)工作，F(xiàn)BI場(chǎng)地的機(jī)房網(wǎng)絡(luò)、內(nèi)外郵箱的設(shè)置，設(shè)備出場(chǎng)的數(shù)據(jù)處理，進(jìn)場(chǎng)設(shè)備的存儲(chǔ)、端口的處理，信息安全技術(shù)工作方面的改進(jìn)、優(yōu)化?？ㄗC專(zhuān)員：主要執(zhí)行規(guī)范公司員工及外來(lái)人員的出入卡證發(fā)放和門(mén)禁系統(tǒng)授權(quán)管理工作。根據(jù)信息安全制度的相關(guān)規(guī)定，結(jié)合卡證管理流程及權(quán)限，對(duì)卡證管理實(shí)行員工工卡、臨時(shí)工卡、來(lái)賓卡的識(shí)別、確認(rèn)、登記、門(mén)禁授權(quán)、編碼、歸類(lèi)、注銷(xiāo)等管理流程工作的實(shí)現(xiàn)。o未經(jīng)許可，不得擴(kuò)散(完整版)信息安全手冊(cè)--第6頁(yè)文件密級(jí)：內(nèi)部公開(kāi)部門(mén)執(zhí)行主任：主要負(fù)責(zé)本部門(mén)下屬的各項(xiàng)目組在FBI場(chǎng)地信息安全管理工作，并任命項(xiàng)目組中的具體信息安全執(zhí)行負(fù)責(zé)人，配合信息安全管理工作組的工作做好日常的信息安全管理及定期信息安全的檢查、監(jiān)控和審計(jì)工作。對(duì)部門(mén)下屬成員的信息安全違規(guī)、舉報(bào)行為執(zhí)行信息安全管理工作組規(guī)定的獎(jiǎng)勵(lì)和處罰。項(xiàng)目組信息安全員：主要負(fù)責(zé)本項(xiàng)目組內(nèi)人員及設(shè)備的信息安全管理工作，配合信息安全管理工作組的工作做好日常的信息安全管理及定期信息安全的檢查、監(jiān)控和審計(jì)工作。對(duì)部門(mén)下屬成員的信息安全違規(guī)、舉報(bào)行為執(zhí)行信息安全管理工作組規(guī)定的獎(jiǎng)勵(lì)和處罰。5.3信息安全操作流程分為：規(guī)劃、執(zhí)行、檢查、改進(jìn)四個(gè)階段，每個(gè)階段都有明確的參與和執(zhí)行責(zé)任人。計(jì)劃組織信息安全需求和期望約定改進(jìn)分別說(shuō)明如下：-Plan-建立ISMS·Action維護(hù)和改進(jìn)ISMS-Do-實(shí)施和運(yùn)作ISMS-check-監(jiān)控和評(píng)審ISMS實(shí)施管理狀態(tài)下的信息安全檢查規(guī)劃：根據(jù)公司信息安全原則和業(yè)務(wù)發(fā)展的需求，信息安全管理工作組全體成員討論并制定詳細(xì)的管理流程。一般情況下由需求部門(mén)向信息安全專(zhuān)員提出需求，并由信息安全專(zhuān)員召集信息安全管理工作組的機(jī)要員、IT專(zhuān)員及需求申請(qǐng)部門(mén)人員進(jìn)行需求的討論并給出解決方案，方案確定后由信息安全管理工作組主任進(jìn)行審核、簽發(fā)。未經(jīng)許可，不得擴(kuò)散(完整版)信息安全手冊(cè)--第7頁(yè)文件密級(jí)：內(nèi)部公開(kāi)執(zhí)行：所有簽發(fā)的管理方案都必須嚴(yán)格執(zhí)行起來(lái)，一般情況下由需求部門(mén)、個(gè)人向信息安全專(zhuān)員提出申請(qǐng)，按照申請(qǐng)流程中規(guī)定進(jìn)行操作，涉及到由申請(qǐng)者直接上級(jí)和部門(mén)領(lǐng)導(dǎo)審批同意，之后交由信息安全專(zhuān)員進(jìn)行審核。審核后由機(jī)要員、IT專(zhuān)員、卡證專(zhuān)員進(jìn)行具體的操作和處理，安全崗執(zhí)行人員要看到完整的流程審批以后才可以進(jìn)行放行和記錄。檢查：信息安全管理工作組全體成員定期會(huì)對(duì)FBI場(chǎng)地內(nèi)的物理隔離、門(mén)禁權(quán)限、辦公設(shè)備、機(jī)房設(shè)備、FBI實(shí)驗(yàn)室設(shè)備、監(jiān)控記錄及歷史存檔記錄會(huì)同業(yè)務(wù)部門(mén)的信息安全執(zhí)行主任進(jìn)行檢查和審計(jì)。并將結(jié)果以報(bào)告的形式匯報(bào)給信息安全管理工作組主任。對(duì)發(fā)現(xiàn)信息安全方面的違規(guī)問(wèn)題由信息安全專(zhuān)員以書(shū)面的形式向分公司進(jìn)行發(fā)文進(jìn)行通報(bào)。改進(jìn)：原有管理方案不能繼續(xù)滿(mǎn)足業(yè)務(wù)發(fā)展需求時(shí)，由業(yè)務(wù)部門(mén)向信息安全專(zhuān)員提出申請(qǐng)，信息安全專(zhuān)員召集信息安全管理工作組的全體成員及需求部門(mén)進(jìn)行管理方案的改進(jìn)評(píng)審會(huì)議。在檢查中發(fā)現(xiàn)有信息安全漏洞的，由信息安全專(zhuān)員召集信息安全管理工作組的全體成員及需求部門(mén)進(jìn)行管理方案的改進(jìn)評(píng)審。最終由信息安全主任進(jìn)行審核、簽發(fā)。6信息資產(chǎn)分類(lèi)與控制為了規(guī)范文檔的保密制度，明確信息資產(chǎn)所有人責(zé)任、信息密級(jí)的劃分，信息資產(chǎn)的識(shí)別。公司所有文檔，無(wú)論是電子件或紙件，必須標(biāo)有文件密級(jí)。文檔密級(jí)應(yīng)出現(xiàn)在文檔頁(yè)眉的醒目位置，頁(yè)腳應(yīng)出現(xiàn)”未經(jīng)許可，不得擴(kuò)散”的字樣。信息是一種資產(chǎn)，像其它重要的業(yè)務(wù)資產(chǎn)一樣，對(duì)公司具有價(jià)值，因此需要妥善保護(hù)。6.1信息資產(chǎn)管理6.1.1信息資產(chǎn)分類(lèi)數(shù)據(jù)與文檔：數(shù)據(jù)庫(kù)和數(shù)據(jù)文件、系統(tǒng)文件、用戶(hù)手冊(cè)、培訓(xùn)材料、運(yùn)行與支持程序、業(yè)務(wù)持續(xù)性計(jì)劃、應(yīng)急安排。書(shū)面文件：合同、指南、企業(yè)文件、包含重要業(yè)務(wù)結(jié)果的文件。軟件資產(chǎn)：應(yīng)用軟件、系統(tǒng)軟件、開(kāi)發(fā)工具和實(shí)用程序。物理資產(chǎn)：計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備、磁介質(zhì)（磁盤(pán)與磁帶）未經(jīng)許可，不得擴(kuò)散(完整版)信息安全手冊(cè)--第8頁(yè)86.1.2信息資產(chǎn)密級(jí)文件密級(jí)：內(nèi)部公開(kāi)秘密：是指一般的公司秘密，一旦泄露會(huì)使公司和客戶(hù)的安全和利益受到一定的危害和損失內(nèi)部公開(kāi)：公司各部門(mén)、項(xiàng)目組內(nèi)部員工不受限制查閱的信息，未經(jīng)授權(quán)不得隨意外傳6.2信息資產(chǎn)的標(biāo)識(shí)和處理6.2.1落實(shí)資產(chǎn)責(zé)任：為公司的資產(chǎn)提供適當(dāng)?shù)谋Ｗo(hù)，為所有信息財(cái)產(chǎn)確定所有人，并且為維護(hù)適當(dāng)?shù)墓芾泶胧┒峙湄?zé)任。可以委派執(zhí)行這些管理計(jì)劃的責(zé)任。被提名的資產(chǎn)所有者應(yīng)當(dāng)承擔(dān)保護(hù)資產(chǎn)的責(zé)任。6.2.2控制措施一資產(chǎn)的清單：列出并維持一份與每個(gè)信息系統(tǒng)有關(guān)的所有重要資產(chǎn)的清單。在信息安全體系范圍內(nèi)為資產(chǎn)編制清單是一項(xiàng)重要工作，每項(xiàng)資產(chǎn)都應(yīng)該清晰定義，合理估價(jià)，在組織中明確資產(chǎn)所有權(quán)關(guān)系，進(jìn)行安全分類(lèi)，并以文件方式詳細(xì)記錄在案。6.2.3具體措施包括：公司可根據(jù)業(yè)務(wù)運(yùn)作流程和信息系統(tǒng)基礎(chǔ)架構(gòu)識(shí)別出信息資產(chǎn)，按照信息資產(chǎn)所屬系統(tǒng)或所在部門(mén)列出資產(chǎn)清單，將每項(xiàng)資產(chǎn)的名稱(chēng)、所處位置、價(jià)值、資產(chǎn)負(fù)責(zé)人等相關(guān)信息記錄在資產(chǎn)清單上；根據(jù)資產(chǎn)的相對(duì)價(jià)值大小來(lái)確定關(guān)鍵信息資產(chǎn)，并對(duì)其進(jìn)行風(fēng)險(xiǎn)評(píng)估以確定適當(dāng)?shù)目刂拼胧?；?duì)每一項(xiàng)信息資產(chǎn)，組織的管理者應(yīng)指定專(zhuān)人負(fù)責(zé)其使用和保護(hù)，防止資產(chǎn)被盜、丟失與濫用：定期對(duì)信息資產(chǎn)進(jìn)行清查盤(pán)點(diǎn)，確保資產(chǎn)賬物相符和完好無(wú)損，6.2.4信息的分類(lèi)：確保信息資產(chǎn)得到適當(dāng)程度的保護(hù)應(yīng)當(dāng)將信息分類(lèi)，指出其安全保護(hù)的具體要求、優(yōu)先級(jí)和保護(hù)程度。不同信息有不同的敏感性和重要性。有的信息資產(chǎn)可能需要額外保護(hù)或者特殊處理。應(yīng)當(dāng)采用信息分類(lèi)系統(tǒng)來(lái)定義適當(dāng)?shù)陌踩Ｗo(hù)等級(jí)范圍，并傳達(dá)特殊處理措施的需要。6.2.5控制措施一信息資產(chǎn)分類(lèi)原則：信息的分類(lèi)及相關(guān)的保護(hù)控制，應(yīng)適合于公司運(yùn)營(yíng)對(duì)于信息分享或限制的需要，以及這些需要對(duì)企業(yè)營(yíng)運(yùn)所帶來(lái)的影響。信息的分類(lèi)和相關(guān)保護(hù)措施應(yīng)當(dāng)綜合考慮到信息共享和信息限制的業(yè)務(wù)需要，還要考慮對(duì)業(yè)務(wù)的影響，例如對(duì)信息未經(jīng)授權(quán)的訪(fǎng)問(wèn)或者對(duì)信息的破壞。一般說(shuō)來(lái)，信息分類(lèi)是一種處理和保護(hù)該信息的簡(jiǎn)捷方法。信息分類(lèi)時(shí)要注意以下幾點(diǎn)：信息的分類(lèi)等級(jí)要合理、信息的保密期限、誰(shuí)對(duì)信息的分類(lèi)負(fù)責(zé)。6.2.6控制措施一信息的標(biāo)識(shí)與處理：應(yīng)當(dāng)制定信息標(biāo)識(shí)及處理的程序，以符合公司所采用的分類(lèi)法則。為信息標(biāo)識(shí)和處理定義一個(gè)符合組織分類(lèi)標(biāo)準(zhǔn)的處理程序是非常重要的。這些程序要涵蓋實(shí)物形式和電子形式的信息。對(duì)于每種分類(lèi)，應(yīng)當(dāng)包含以下信息處理活動(dòng)的程序：復(fù)制、存儲(chǔ)、通過(guò)郵局、傳真和電子郵件的信息發(fā)送、通過(guò)口頭語(yǔ)言的信息傳遞，包括通過(guò)移動(dòng)電話(huà)、語(yǔ)音郵件和錄音電話(huà)傳送的信未經(jīng)許可，不得擴(kuò)散(完整版)信息安全手冊(cè)--第9頁(yè)9文件密級(jí)：內(nèi)部公開(kāi)息、銷(xiāo)毀。對(duì)于那些含有被劃定為敏感或者重要信息的應(yīng)用系統(tǒng)，其輸出應(yīng)當(dāng)帶有適當(dāng)?shù)姆诸?lèi)標(biāo)識(shí)。該標(biāo)識(shí)應(yīng)當(dāng)反映根據(jù)組織規(guī)則而建立的分類(lèi)。需要考慮的項(xiàng)目包括打印的報(bào)告、屏幕顯示、存儲(chǔ)介質(zhì)（磁帶、磁盤(pán)、CD、卡式盒帶）、電子消息和文檔傳輸、7人員的安全管理7.1聘用條款和保密協(xié)議（公司員工保密協(xié)摘錄）7.1.1聘用條款中員工的信息安全責(zé)任7.1.1.1知識(shí)產(chǎn)權(quán)：7.1.1.1.17.1.1.1.27.1.1.1.37.1.1.1.47.1.1.1.5知識(shí)產(chǎn)權(quán)是指根據(jù)法律法規(guī)有關(guān)規(guī)定或根據(jù)甲方與第三方簽署的協(xié)議由甲方所有、使用、支配、提供、擁有或者將要擁有的一切智力勞動(dòng)成果，包括但不限于專(zhuān)利權(quán)、商標(biāo)權(quán)、著作權(quán)、軟件、企業(yè)名稱(chēng)、企業(yè)標(biāo)記（Logo）、域名、網(wǎng)站、數(shù)據(jù)庫(kù)、經(jīng)營(yíng)或開(kāi)發(fā)成果、商譽(yù)、職務(wù)技術(shù)成果等。乙方承諾在與甲方的勞動(dòng)合同關(guān)系存續(xù)期間及期滿(mǎn)后不對(duì)甲方的知識(shí)產(chǎn)權(quán)進(jìn)行貶低、歪曲、破壞或者任何其它損害。在勞動(dòng)合同有效期內(nèi)乙方應(yīng)努力維護(hù)、提高甲方知識(shí)產(chǎn)權(quán)的價(jià)值。乙方承諾，未經(jīng)甲方書(shū)面同意，不將第一條所提及的技術(shù)成果、作品、軟件、專(zhuān)利等用作商業(yè)目的或者許可他人用于商業(yè)目的。乙方在與甲方的勞動(dòng)合同存續(xù)期間，及在勞動(dòng)合同關(guān)系終止后二年內(nèi)，所有主要是利用在XXXXX的工作時(shí)間或利用XXXXX或派駐合作方的物質(zhì)技術(shù)條件所完成的，一切與甲方業(yè)務(wù)、產(chǎn)品、程序與服務(wù)有關(guān)的技術(shù)成果，包括但不限于發(fā)現(xiàn)、發(fā)明、思路、概念、過(guò)程產(chǎn)品、方法和改進(jìn)或其一部分，不論是否可以或已經(jīng)受到知識(shí)產(chǎn)權(quán)法律保護(hù)，不論以何種形式存在，均為職務(wù)技術(shù)成果，其所產(chǎn)生的所有權(quán)利包括知識(shí)產(chǎn)權(quán)歸甲方、甲方合作方單獨(dú)或共同所有。未經(jīng)甲方書(shū)面許可不得以乙方和/或其它任何第三方的名義申請(qǐng)專(zhuān)利或者版權(quán)登記。乙方在結(jié)束與甲方的勞動(dòng)合同關(guān)系一年內(nèi)，若有繼續(xù)完成與在甲方工作期間所擔(dān)任的課題或分配的任務(wù)有關(guān)而取得的技未成果，仍屬于申方或派駐合作方所有。未經(jīng)許可，不得擴(kuò)散(完整版)信息安全手冊(cè)--第10頁(yè)107.1.1.1.67.1.1.1.77.1.1.1.8文件密級(jí)：內(nèi)部公開(kāi)對(duì)于甲方實(shí)施、轉(zhuǎn)讓、許可他人使用職務(wù)技術(shù)成果或者將職務(wù)技術(shù)成果投入其它商業(yè)用途而引起的收益或者損失，乙方不提出任何權(quán)利主張也不承擔(dān)任何責(zé)任。但由于乙方職務(wù)技術(shù)成果固有的缺陷或者乙方在實(shí)施該職務(wù)技術(shù)成果的失誤造成的損害，乙方應(yīng)承擔(dān)責(zé)任。乙方承認(rèn)所有在與甲方勞動(dòng)關(guān)系存續(xù)期間產(chǎn)生或者接觸到的甲方提供的或通過(guò)甲方獲取的有關(guān)資料及其它信息載體都屬于甲方所有，未經(jīng)甲方書(shū)面許可，不得向任何第三方提及、出示及傳播。乙方承諾不向他人談?wù)摷追缴形磳?duì)外公布的業(yè)務(wù)和技術(shù)發(fā)展動(dòng)態(tài)。乙方承諾不設(shè)法獲取非本人工作所需的甲方保密的技術(shù)資料、技術(shù)文件和客戶(hù)檔案材料以及非本人工作所需的甲方內(nèi)部及對(duì)外的商業(yè)文件。乙方進(jìn)一步承諾不利用甲方的客戶(hù)及渠道為自已或他人謀求利益。7.1.2商業(yè)秘密7.1.2.17.1.2.27.1.2.37.1.2.47.1.2.57.1.2.67.1.2.77.1.2.87.1.2.9符合法律法規(guī)有關(guān)規(guī)定或根據(jù)甲方與第三方簽署的協(xié)議由甲方所有、使用、支配、提供的具有商業(yè)價(jià)值的，非公知的并由甲方采取了保密措施的所有技術(shù)信息和/或經(jīng)營(yíng)信息甲方在開(kāi)發(fā)、銷(xiāo)售各類(lèi)計(jì)算機(jī)軟件產(chǎn)品以及為各類(lèi)軟件產(chǎn)品提供技術(shù)支持、信息咨詢(xún)服務(wù)及培訓(xùn)的過(guò)程中，或是接受指派為本協(xié)議所面向的派駐合作方提供外包服務(wù)期間，本方和合作方所獨(dú)有的機(jī)密、專(zhuān)有技術(shù)及商業(yè)秘密性質(zhì)的情報(bào)均簡(jiǎn)稱(chēng)為“商業(yè)秘密”甲方的商業(yè)秘密包括但不限于檔案資料、技術(shù)資料、市場(chǎng)銷(xiāo)售資料、財(cái)務(wù)信息資料以及：甲方及派駐合作方開(kāi)發(fā)或銷(xiāo)售的所有軟件，以及與此類(lèi)軟件有關(guān)的文檔：包括程序的源編碼、目標(biāo)碼部分、視聽(tīng)部分、人工或機(jī)器可讀形式程序部分，還包括圖表、流程圖、樣圖、草圖、技術(shù)說(shuō)明、設(shè)計(jì)圖數(shù)據(jù)教材、有關(guān)病毒的報(bào)告及客戶(hù)資料甲方的業(yè)務(wù)計(jì)劃、產(chǎn)品開(kāi)發(fā)計(jì)劃、財(cái)務(wù)情況、內(nèi)部業(yè)務(wù)規(guī)程和客戶(hù)名單等信息；以及正在開(kāi)發(fā)或構(gòu)思之中的商業(yè)思想、業(yè)務(wù)和技術(shù)發(fā)展動(dòng)態(tài)、系統(tǒng)安全機(jī)制與實(shí)現(xiàn)等方面的信息、數(shù)據(jù)以及計(jì)算機(jī)數(shù)據(jù)庫(kù)、資料、源程序、目標(biāo)程序、計(jì)算機(jī)軟件等：甲方現(xiàn)有的以及正在開(kāi)發(fā)或者構(gòu)思之中的服務(wù)項(xiàng)目的信息和資料：甲方現(xiàn)有的或者正在開(kāi)發(fā)之中的質(zhì)量管理方法、定價(jià)方法、銷(xiāo)售方法等方法；甲方應(yīng)對(duì)第三方負(fù)有保密責(zé)任的所有第三方的機(jī)密信息；甲方的股東資料、投資背景等以及其它被甲方標(biāo)明或聲明為秘密的信息。未經(jīng)許可，不得擴(kuò)散(完整版)信息安全手冊(cè)--第11頁(yè)117.1.2.107.1.2.117.1.2.12文件密級(jí)：內(nèi)部公開(kāi)乙方承諾在與甲方的勞動(dòng)合同關(guān)系存續(xù)期間以及解除后二年內(nèi)，保守甲方商業(yè)秘密，未經(jīng)申方書(shū)面許可，不向任何第三方以任何明示或者暗示的方式透露，包括與商業(yè)秘密無(wú)關(guān)的其它甲方雇員在內(nèi)。乙方承諾不設(shè)法獲取非其工作所必需的任何形式的甲方的商業(yè)秘密，并不得利用與甲方工作關(guān)系為自身謀求利益。除用于甲方安排或者委托的工作之外，乙方不得將商業(yè)秘密信息用于其它任何目的。在使用完畢之后，乙方應(yīng)立即向甲方交還或者按照甲方的要求銷(xiāo)毀商業(yè)秘密的載體，包括但不限于文件、磁盤(pán)、光盤(pán)、計(jì)算機(jī)內(nèi)存等。乙方只能在因工作需要必須使用的情況下提供給其它可靠的員工，并應(yīng)事先與其簽署與本協(xié)議充分相似的保密協(xié)議，提供程度僅限于可執(zhí)行一定的商業(yè)目的。并保證這些員工應(yīng)遵守本協(xié)議中約定的義務(wù)，不在無(wú)甲方及派駐合作方許可的前提下，向第三方（包顧問(wèn)）透漏這些秘密信息，并應(yīng)約束其接觸本保密信息的員工遵守保密義務(wù)。7.1.2.13如為合作的目的確實(shí)需要向第三方披露甲方及派駐合作方的保密信息，需事先得到甲方及派駐合作方的書(shū)面許可，并與該第三方簽訂相應(yīng)的保密協(xié)議。7.1.2.147.1.2.157.1.2.167.1.2.177.1.2.17如果乙方根據(jù)法律程序或行政要求必須披露“商業(yè)秘密”，應(yīng)事先通知甲方及派駐合作方，并協(xié)助公司采取必要的保護(hù)措施，防止或限制保密信息的進(jìn)一步擴(kuò)散。乙方應(yīng)按照甲方要求對(duì)商業(yè)秘密或其載體進(jìn)行妥善地保管、存儲(chǔ)、加密、回收、銷(xiāo)毀等，未經(jīng)甲方許可或非因工作需要，乙方不得將商業(yè)秘密信息或其載體帶出甲方住所。在與甲方的勞動(dòng)合同關(guān)系中止、終止或解除時(shí)，乙方應(yīng)將所有包含、代表、顯示、記錄或者組成商業(yè)秘密的原件及拷貝，包括但不限于裝置、記錄、數(shù)據(jù)、筆記、報(bào)告、建議書(shū)、名單、信件、規(guī)格、圖紙、設(shè)備、材料、磁盤(pán)、光盤(pán)等，歸還甲方。員工在簽署勞動(dòng)合同以后必須簽署保密協(xié)議員工職位晉升為PL、PM、SE等關(guān)鍵崗位，業(yè)務(wù)技能達(dá)到公司及BBB公司認(rèn)可的三級(jí)及以上級(jí)別的，都必須與BBB公司簽署保密協(xié)議，各方都應(yīng)切實(shí)遵守保密協(xié)議中約定的保密義務(wù)。7.2人員背景審查目的：保障三級(jí)及以上工作崗位人員所掌握的信息安全。未經(jīng)許可，不得擴(kuò)散(完整版)信息安全手冊(cè)--第12頁(yè)127.2.1審查流程7.2.1.17.2.1.27.2.1.3文件密級(jí)：內(nèi)部公開(kāi)員工再進(jìn)入三級(jí)及以上工作崗位時(shí)，由人力資源部和用人部門(mén)共同開(kāi)展對(duì)人員背景的調(diào)查。具體調(diào)查內(nèi)容：身份審查、學(xué)歷審查、工作履歷審查、信用度審查、職業(yè)道德審查、職業(yè)背景審查、忠誠(chéng)度審查。審查標(biāo)準(zhǔn)：審查的資料完整性、真實(shí)性，審核身份證原件、畢業(yè)證原件、各種技能職稱(chēng)原件的真實(shí)性，是否相互吻合。2員工背景調(diào)查表7.2.2人員背景調(diào)查表基本信息被調(diào)查者姓名身份證號(hào)碼出生日期身份驗(yàn)證被調(diào)查者的身份內(nèi)容身份證號(hào)碼年齡戶(hù)口所在地驗(yàn)證來(lái)源：學(xué)歷驗(yàn)證被調(diào)查者提供信息學(xué)校名稱(chēng)學(xué)習(xí)時(shí)間所學(xué)專(zhuān)業(yè)證明人/機(jī)構(gòu)：專(zhuān)業(yè)資格驗(yàn)證被調(diào)查者的身份內(nèi)容認(rèn)證機(jī)構(gòu)獲得認(rèn)證時(shí)間認(rèn)證內(nèi)容證明人/機(jī)構(gòu)：工作履歷驗(yàn)證被調(diào)查者的身份內(nèi)容雇主公司名稱(chēng)雇主公司注冊(cè)地雇傭時(shí)間職務(wù)名稱(chēng)完整版信息安全手冊(cè)--第13頁(yè)未經(jīng)許可，不得擴(kuò)散性別戶(hù)口所在地年齡真實(shí)性說(shuō)明是（）否（）是（）否（）是（）否（）真實(shí)性是（）否（）是（）否（）是（）否（）職位：真實(shí)性是（）否（）是（）否（）是（）否（）真實(shí)性是（）否（)）是（）否（）是（）否（）是（）否（）說(shuō)明說(shuō)明說(shuō)明13直接上司職務(wù)被調(diào)查者是否與貴公司有勞動(dòng)爭(zhēng)議被調(diào)查者是否存在信息安全違紀(jì)違規(guī)行為證明人：7.3員工培訓(xùn)職務(wù)：是（）否（）是（）否（）是（）否（）調(diào)查時(shí)間：目的：宣傳、普及信息安全制度，增強(qiáng)員工的信息安全意識(shí)。培訓(xùn)對(duì)象：新員工、在職員工培訓(xùn)方式：授課+考核7.3.1培訓(xùn)周期文件密級(jí)：內(nèi)部公開(kāi)7.3.1.1新員工：所有部門(mén)新員工在入職當(dāng)天由人力資源培訓(xùn)部組織信息安全制度培訓(xùn)，培訓(xùn)簽到表歸檔。培訓(xùn)結(jié)束后在一周之內(nèi)組織信息安全考試，考試及格線(xiàn)為23分（25分制），并將考試簽到表、考試成績(jī)進(jìn)行歸檔。7.3.1.2在職員工：所有部門(mén)在職員工每半年組織一次信息安全培訓(xùn)，培訓(xùn)簽到表歸檔。培訓(xùn)結(jié)束后在一周之內(nèi)組織信息安全考試，考試及格線(xiàn)為23分（25分制），并將考試簽到表、考試成績(jī)進(jìn)行歸檔。7.3.2培訓(xùn)效果檢查7.3.2.17.3.2.2定期以業(yè)務(wù)部門(mén)、項(xiàng)目組為單位進(jìn)行信息安全知識(shí)檢查，對(duì)檢查結(jié)果低于90%的部門(mén)、團(tuán)隊(duì)進(jìn)行再次的全員覆蓋培訓(xùn)并組織考試，對(duì)培訓(xùn)簽到表、考試簽到表、考試成績(jī)歸檔并通知部門(mén)主管。不定期對(duì)FBI場(chǎng)地內(nèi)的研發(fā)人員進(jìn)行信息安全知識(shí)的抽檢，對(duì)抽查成績(jī)低于23分（25分制）的員工組織培訓(xùn)并考試，對(duì)培訓(xùn)簽到表、考試簽到表、考試成績(jī)歸檔并通知業(yè)務(wù)部門(mén)直接領(lǐng)導(dǎo)和部門(mén)主管。未經(jīng)許可，不得擴(kuò)散(完整版)信息安全手冊(cè)--第14頁(yè)147.4人員離職目的：保證離職人員不帶走公司任何信息資產(chǎn)。7.4.1離職人員信息交接流程7.4.1.17.4.1.27.4.1.37.4.1.47.4.1.57.4.1.67.4.1.7員工離職前，公司與離職員工簽署離職保密承諾。文件密級(jí)：內(nèi)部公開(kāi)員工離職前公司將收回所有的工作資料的紙件、電子件及員工擁有的相關(guān)信息系統(tǒng)和資源的訪(fǎng)問(wèn)使用權(quán)限。員工離職前收回員工門(mén)禁磁卡及工作證。員工在其離職兩年內(nèi)仍要按照進(jìn)公司時(shí)簽訂的合同，承擔(dān)下列保密責(zé)任，否則將承擔(dān)違約的民事或刑事責(zé)任。不帶走從公司獲取的任何資料，包括但不限于記載的紙件或電子件上的文檔、文件、圖表、目錄，存儲(chǔ)于磁盤(pán)、光盤(pán)上的軟件、程序等，離職后兩年內(nèi)不得到與XXX公司或與客戶(hù)公司有競(jìng)爭(zhēng)關(guān)系的公司從事與在XXX公司工作期間工作性質(zhì)相同或者相似的工作。未經(jīng)XXX公司書(shū)面同意，不向任何單位和個(gè)人透露或使用在公司就職期間獲得的商業(yè)秘密，包括技術(shù)秘密、商務(wù)秘密、財(cái)務(wù)秘密、管理秘密以及其它經(jīng)營(yíng)秘密。7.5違規(guī)處理目的：建立正式的違規(guī)處理流程，對(duì)違反信息安全管理規(guī)定的員工進(jìn)行相應(yīng)處理。7.5.1信息安全違規(guī)級(jí)別對(duì)于觸犯國(guó)家法律的，公司將移交國(guó)家司法機(jī)關(guān)依法處理。此外，則根據(jù)違規(guī)行為的后果、性質(zhì)以及違規(guī)人的主觀(guān)意愿，將違規(guī)行為分為如下四個(gè)等級(jí)：一級(jí)：有意盜竊、泄露公司保密信息，或有意違反信息安全管理規(guī)定，性質(zhì)嚴(yán)重造成重大損失。二級(jí)：有意違反信息安全管理規(guī)定，性質(zhì)嚴(yán)重或造成損失。三級(jí)：無(wú)意違反信息安全管理規(guī)定，造成公司損失；或者有意違反信息安全管理規(guī)定，但性質(zhì)不嚴(yán)重且沒(méi)有造成嚴(yán)重?fù)p失。未經(jīng)許可，不得擴(kuò)散(完整版)信息安全手冊(cè)--第15頁(yè)15四級(jí)：違反信息安全管理規(guī)定，性質(zhì)較輕，沒(méi)有造成公司損失。7.5.2信息安全違規(guī)處理流程信息安全違規(guī)處理流程V1.0任務(wù)名稱(chēng)事故定級(jí)組織信息安全工組會(huì)議執(zhí)行解決措施總結(jié)報(bào)告與預(yù)防措施程序人物、程序、重點(diǎn)及標(biāo)準(zhǔn)業(yè)務(wù)部門(mén)發(fā)生信息安全事故以后，項(xiàng)目組信息安全員應(yīng)在第一時(shí)間向信息安全專(zhuān)員進(jìn)行匯報(bào)信息安全工作組核實(shí)情況后，對(duì)事故進(jìn)行定級(jí)信息安全主任對(duì)事故級(jí)別審核BBB信管辦對(duì)事故級(jí)別審核重點(diǎn)對(duì)所發(fā)生的事故進(jìn)行定級(jí)標(biāo)準(zhǔn)定級(jí)及時(shí)、準(zhǔn)確程序信息安全專(zhuān)員組織事故部門(mén)召開(kāi)臨時(shí)會(huì)議信息安全專(zhuān)員組織信息安全工作組召開(kāi)臨時(shí)會(huì)議事故報(bào)BBB信管辦信息安全小組研究制定具體事故的解決措施事故解決措施報(bào)信息安全主任審批重點(diǎn)組織信息安全工作組召開(kāi)臨時(shí)會(huì)議，制定具體事故的解決措施標(biāo)準(zhǔn)組織信息安全工作組召開(kāi)臨時(shí)會(huì)議，措施合理程序事故解決措施審批通過(guò)后，由信息安全專(zhuān)員組織落實(shí)事故部門(mén)負(fù)責(zé)落實(shí)執(zhí)行，信息安全小組配合重點(diǎn)信息安全小組制定措施的落實(shí)標(biāo)準(zhǔn)措施落實(shí)及時(shí)、全面、準(zhǔn)確程序事故發(fā)生部門(mén)將執(zhí)行結(jié)果反饋到信息安全小組信息安全專(zhuān)員輸出事故總結(jié)報(bào)告，并修訂事故預(yù)防措施事故總結(jié)報(bào)告、事故預(yù)防措施報(bào)信息安全主任審核事故總結(jié)報(bào)告、事故預(yù)防措施報(bào)BBB信管辦審核信息安全工作組將事故總結(jié)存檔未經(jīng)許可，不得擴(kuò)散(完整版)信息安全手冊(cè)--第16頁(yè)文件密級(jí)：內(nèi)部公開(kāi)時(shí)限即時(shí)1個(gè)工作日1個(gè)工作日1個(gè)工作日1個(gè)工作日1個(gè)工作日1個(gè)工作日2個(gè)工作日根據(jù)實(shí)際情況隨時(shí)1個(gè)工作日3個(gè)工作日1個(gè)工作日1個(gè)工作日即時(shí)相關(guān)資料1、參考國(guó)家相關(guān)法律公司人事制度2、3、公司信息安全制度1、公司信息安全制度2、事故調(diào)查報(bào)告1、公司信息安全制度2、公司人事制度1、公司信息安全制度2、事故調(diào)查報(bào)告16重點(diǎn)信息安全小組輸出事故總結(jié)報(bào)告，并修訂事故預(yù)防措施標(biāo)準(zhǔn)總結(jié)報(bào)告真實(shí)、客觀(guān)、全面預(yù)防措施及時(shí)、合理、可行7.5.3違規(guī)事件處理流程圖開(kāi)始發(fā)生事放事故定級(jí)審報(bào)組織會(huì)議8物理安全策略8.1場(chǎng)地安全目的：明確公司FBI各工作區(qū)域的安全級(jí)別。參加會(huì)議未經(jīng)許可，不得擴(kuò)散(完整版)信息安全手冊(cè)--第17頁(yè)文件密級(jí)：內(nèi)部公開(kāi)研究制定處理方案組織執(zhí)行執(zhí)行處理結(jié)果反饋總結(jié)報(bào)告存檔記錄結(jié)束178.1.1FBI受控區(qū)域的劃分8.1.1.1受控區(qū)域級(jí)別劃分一級(jí)：FBI出入通道FBI研發(fā)區(qū)FBI實(shí)驗(yàn)室IT機(jī)房公司后門(mén)二級(jí)：培訓(xùn)室會(huì)議室三級(jí)：茶水間洗手間8.1.1.2重要區(qū)域及受控區(qū)域管理責(zé)任劃分公司前門(mén)：前臺(tái)負(fù)責(zé)管理。FBI出入通道：安全崗負(fù)責(zé)管理。FBI實(shí)驗(yàn)室：實(shí)驗(yàn)室管理員負(fù)責(zé)管理。IT機(jī)房：機(jī)房管理員負(fù)責(zé)管理。公司后門(mén)：信息安全工作組負(fù)責(zé)管理。FBI研發(fā)區(qū)：各項(xiàng)目組負(fù)責(zé)管理。FBI場(chǎng)內(nèi)會(huì)議室：使用者負(fù)責(zé)管理。培訓(xùn)室：使用者負(fù)責(zé)管理。8.1.1.3物理隔離文件密級(jí)：內(nèi)部公開(kāi)FBI研發(fā)區(qū)（包括FBI的辦公區(qū)、實(shí)驗(yàn)室、會(huì)議室）與其它辦公區(qū)域進(jìn)行了物理隔離。IT機(jī)房與其它辦公區(qū)域進(jìn)行物理隔離。未經(jīng)許可，不得擴(kuò)散(完整版)信息安全手冊(cè)--第18頁(yè)188.1.2出入控制文件密級(jí)：內(nèi)部公開(kāi)安全崗負(fù)責(zé)FBI出入口的日常管理，對(duì)出入人員身份及設(shè)備的合法性進(jìn)行識(shí)別和檢查。公司前門(mén)、FBI出入口、IT機(jī)房、FBI實(shí)驗(yàn)室、公司后門(mén)都安裝有CCTV監(jiān)控系統(tǒng)，對(duì)受控區(qū)域進(jìn)行360度無(wú)死角監(jiān)控，所有監(jiān)控記錄必須保存一個(gè)月以上。所有在公司FBI工作人員都必須刷卡出入，IT機(jī)房、FBI實(shí)驗(yàn)室采取最小授權(quán)策略，未授權(quán)人員不得私自進(jìn)入。所有進(jìn)入FBI及受控區(qū)域的都必須進(jìn)行申請(qǐng)，申請(qǐng)通過(guò)以后由卡證專(zhuān)員進(jìn)行門(mén)禁卡的授權(quán)和發(fā)放，禁止未得到授權(quán)人員私自出入FBI及FBI內(nèi)的受控區(qū)域。所有在FBI研發(fā)區(qū)辦公人員都必須正確佩戴具有員工合法身份識(shí)別的公司工作證，未佩戴人員不得進(jìn)入FBI。FBI出入口設(shè)置有特殊存儲(chǔ)設(shè)備禁止私自帶入的標(biāo)識(shí)牌。因工作需要進(jìn)入FBI的外來(lái)人員必須進(jìn)行嚴(yán)格的申請(qǐng)、登記，審批通過(guò)后方可進(jìn)入，接待人員必須全程陪同。未經(jīng)批準(zhǔn)，禁止在FBI研發(fā)區(qū)及FB受控區(qū)域進(jìn)行攝像、拍照、錄音。8.1.3名詞解釋8.1.4人員管理8.1.4.1人員進(jìn)出管理流程8.1.4.1.1公司員工FBI研發(fā)區(qū)辦公人員需要刷門(mén)禁卡進(jìn)出，且每人每次按順序刷卡進(jìn)出，嚴(yán)禁一人刷卡多8.1.4.1.1.1人同時(shí)進(jìn)出。FBI研發(fā)區(qū)辦公人員若未帶授權(quán)門(mén)禁卡進(jìn)