科技企業(yè)信息安全管理手冊(cè)范本

編號(hào)XX-ISMS-01

版本A/0

江蘇XXXX科技有限公司

密級(jí)內(nèi)部限制

受控是

信

A

安

管

理

手

冊(cè)

生效日期核準(zhǔn)審查制訂

2016.3.1

修改記錄

序號(hào)修改原因修改合適的內(nèi)容修改人/時(shí)間批準(zhǔn)人/時(shí)間備注

目錄

0.1、信息安全管理管控手冊(cè)發(fā)布令

0.2、管理管控者代表任命書

0.3、公司簡(jiǎn)介

0.4、信息安全方針

0.5、信息安全目標(biāo)

1、范圍

2、引用標(biāo)準(zhǔn)

3、術(shù)語和定義

4、信息安全管理管控體系

4.1組織環(huán)境

4.2理解相關(guān)方的需求和期望

4.3明確信息安全管理管控體系的范圍

4.4信息安全管理管控體系

5、領(lǐng)導(dǎo)

5.1領(lǐng)導(dǎo)和承諾

5.2方針

5.3組織角色、職責(zé)和權(quán)力

6、相關(guān)計(jì)劃

6.1處置風(fēng)險(xiǎn)和機(jī)遇

6.2信息安全目標(biāo)的相關(guān)計(jì)劃和實(shí)現(xiàn)

7、支持

7.1資源

7.2能力

7.3意識(shí)

7.4溝通

7.5文檔要求

8、實(shí)施

8.1運(yùn)行相關(guān)計(jì)劃和控制

8.2信息安全風(fēng)險(xiǎn)評(píng)估

8.3信息安全風(fēng)險(xiǎn)處置

9、績(jī)效評(píng)價(jià)

9.1監(jiān)視、測(cè)量、分析和評(píng)價(jià)

9.2內(nèi)部審核

9.3管理管控評(píng)審

10、改進(jìn)

10.1不符合項(xiàng)和糾正措施

10.2持續(xù)改進(jìn)

附件：

附件一：信息安全職能分配表

附件二：信息安全職責(zé)

附件三：信息安全管理管控體系程序文件清單

附件四：信息安全管理管控體系作業(yè)指導(dǎo)書文件清單

0.1信息安全管理管控手冊(cè)發(fā)布令

為提高江蘇XXXX科技有限公司的信息安全管理管控水平，保障企、也經(jīng)營、服務(wù)和日

常管理管控活動(dòng)，防止由于信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密所導(dǎo)致的業(yè)

務(wù)中斷或安全事故，公司開展貫徹1S0/1EC27001:2013《信息技術(shù)-安全技術(shù)-信息安全

管理管控體系要求》標(biāo)準(zhǔn)的工作，建立文件化的信息安全管理管控體系，制定了江蘇XXXX

科技有限公司《信息安全管理管控手冊(cè)》（以下簡(jiǎn)稱手冊(cè)）。

本手冊(cè)是企業(yè)的法規(guī)性文件，是指導(dǎo)企業(yè)建立并實(shí)施信息安全管理管控體系的綱領(lǐng)

和行動(dòng)準(zhǔn)則，用于貫徹企業(yè)的信息安全管理管控方針、管理管控目標(biāo)，實(shí)現(xiàn)信息安全管

理管控體系有效運(yùn)行、持續(xù)改進(jìn)，是江蘇XXXX科技有限公司信息安全管理管控工作長期

遵循的準(zhǔn)則。

全體職工必須嚴(yán)格按照手冊(cè)的要求，自覺執(zhí)行管理管控方針，貫徹實(shí)施本手冊(cè)的各

項(xiàng)規(guī)定，努力實(shí)現(xiàn)江蘇XXXX科技有限公司的管理管控目標(biāo)和管理管控承諾。

本手冊(cè)自頒布之日起生效執(zhí)行。

江蘇XXXX科技有限公司總經(jīng)理:

二。一六年三月一日

0.2管理管控者代表任命書

茲委任擔(dān)任江蘇XXXX科技有限公司IS027001信息安全管理管控體系管

理管控者代表。

他將履行以下職責(zé)及權(quán)限：

1、負(fù)責(zé)公司IS027001的推行認(rèn)證工作，負(fù)責(zé)組織信息安全管理管控體系建立、

實(shí)施和維持，確保公司的信息安全管理管控體系運(yùn)作符合信息安全管理管控體

系標(biāo)準(zhǔn)；

2、信息安全管理管控體系內(nèi)部審核的策劃、組織及實(shí)施；

3、批準(zhǔn)信息安全管理管控體系程序文件；

4、代表公司就信息安全的有關(guān)事項(xiàng)和外部進(jìn)行聯(lián)絡(luò)。

總經(jīng)理：

日期：二。一六年三月一日

0.3、公司簡(jiǎn)介

公司組織架構(gòu)如下圖所示:

0.4信息安全方針

實(shí)施風(fēng)險(xiǎn)管理管控，確保信息安全，保障業(yè)務(wù)可持續(xù)發(fā)展。

信息安全方針含義：

a.根據(jù)本公司業(yè)務(wù)信息安全的特點(diǎn)、法律法規(guī)要求，建立風(fēng)險(xiǎn)評(píng)估程序，確定風(fēng)

險(xiǎn)接受準(zhǔn)則。定期進(jìn)行風(fēng)險(xiǎn)評(píng)估，以識(shí)別本公司風(fēng)險(xiǎn)的變化。本公司或環(huán)境發(fā)

生重大變化時(shí)，隨時(shí)評(píng)估。應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，采取相應(yīng)措施，降低風(fēng)險(xiǎn)。

b.在日常企業(yè)生產(chǎn)和管理管控中，對(duì)信息安全予以重視，全面識(shí)別和分析全部信

息資產(chǎn)，系統(tǒng)考慮企業(yè)信息系統(tǒng)薄弱點(diǎn)、可能存在的威脅，考慮成本、利益、

風(fēng)險(xiǎn)的綜合平衡，對(duì)資產(chǎn)進(jìn)行分類保護(hù)，以適宜的成本達(dá)到系統(tǒng)保護(hù)的要求。

c.建立健全信息安全監(jiān)督和保證體系，明確各級(jí)、各崗位的信息安全責(zé)任，以人

為本，堅(jiān)持全員、全方位、全過程信息安全管理管控。通過測(cè)量和監(jiān)控，持續(xù)

改進(jìn)，保證信息安全管理管控體系的有效運(yùn)行，做到制度執(zhí)行有記錄、記錄記

載可追溯，最終保障企業(yè)生產(chǎn)、經(jīng)營、管理管控和服務(wù)的持續(xù)和安全，實(shí)現(xiàn)企

業(yè)發(fā)展目標(biāo)。

0.5、信息安全目標(biāo)：

本公司信息安全目標(biāo)：

1）安全事件發(fā)生次數(shù)：

重大安全事件目標(biāo)值；0次/年；較大安全事件目標(biāo)值；不大于4次/年；一

般安全事件目標(biāo)值：不大于8次/年。

2）信息泄密次數(shù)：

保證各種需要保密的資料（包括電子文檔、光盤等）不被泄密，確保秘密、

機(jī)密信息不泄漏給非授權(quán)人員。信息泄密次數(shù)目標(biāo)值：0次/年

各部門信息安全目標(biāo):

監(jiān)測(cè)

部門部門信息安全目標(biāo)統(tǒng)計(jì)方式

頻率

1、人員招聘手續(xù)辦理完

成率100%；

2、人員教育或培訓(xùn)實(shí)施1、查看全部員工入職手續(xù)辦理情況；

率100%；2、查看培訓(xùn)相關(guān)計(jì)劃及培訓(xùn)實(shí)施情況；

3、人員離職手續(xù)辦理完3、查看實(shí)際人員離職及手續(xù)辦理情況；

成率100%；4、現(xiàn)場(chǎng)檢查辦公環(huán)境消防器材配備情

4、辦公環(huán)境消防設(shè)施配況；

置率100%；5、現(xiàn)場(chǎng)檢查辦公環(huán)境消防器材的檢修情

5、辦公環(huán)境消防設(shè)施點(diǎn)況；

檢率100%；7、按照信息安全內(nèi)審相關(guān)計(jì)劃執(zhí)行內(nèi)審

綜合部6、每年至少組織實(shí)施完及改進(jìn)，及時(shí)整理信息安全內(nèi)審資料；每年

成1次信息安全內(nèi)審，且8、按照信息安全管理管控評(píng)審相關(guān)計(jì)劃

資料齊全；執(zhí)行評(píng)審及改進(jìn)，及時(shí)整理信息安全管

7、每年至少組織實(shí)施完理管控評(píng)審資料；

成1次信息安全管理管9、每年集中對(duì)信息安全管理管控體系文

控評(píng)審，且資料齊全；件進(jìn)行評(píng)審，必要時(shí)進(jìn)行更新；

8、每年至少這行1次信10、每年組織各相關(guān)部門進(jìn)行風(fēng)險(xiǎn)評(píng)估

息安全體系文件評(píng)審及回顧、對(duì)新增或發(fā)生變化的信息資產(chǎn)進(jìn)

更新；行風(fēng)險(xiǎn)評(píng)估。

9、每年至少組織實(shí)施完

成1次風(fēng)險(xiǎn)評(píng)估。

1、網(wǎng)絡(luò)非正常中斷每月

W1次。1、以每月的網(wǎng)絡(luò)中斷事件為依據(jù)每半

研發(fā)部

2、主機(jī)系統(tǒng)非正常中斷2、以每月的主機(jī)系統(tǒng)中斷事件為依據(jù)年

每月W1次。

重要文檔及數(shù)據(jù)被正確每半年檢查一次日常工作文件及數(shù)據(jù)是

其他部

保管及使用，機(jī)密信息泄否被正確保管及使用，以及機(jī)密信息泄每年

門

露次數(shù)為0次露相關(guān)事件。

1、范圍

1.1總則

為了建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息安全管理管控體

系（簡(jiǎn)稱ISMS）,確定信息安全方針和目標(biāo)，對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行有效管理管控，確保

全體員工理解并遵照?qǐng)?zhí)行信息安全管理管控體系文件、持續(xù)改進(jìn)信息安全管理管控體

系的有效性，特制定本手冊(cè)。

1.2應(yīng)用

1.2.1覆蓋范圍

本信息安全管理管控手冊(cè)規(guī)定了江蘇XXXX科技有限公司信息安全管理管控體系的

建立和管理管控、管理管控職責(zé)、內(nèi)部審核、管理管控評(píng)審和體系持續(xù)改進(jìn)等方面合

適的內(nèi)容。

1.2.2刪減說明

本信息安全管理管控手冊(cè)采用了IS0/IEC27001:2013標(biāo)準(zhǔn)正文的全部合適的內(nèi)容,

對(duì)附錄A的刪減見《適用性聲明SoA》。

2、規(guī)范性引用文件

IS0/IEC27001:2013《信息技術(shù)-安全技術(shù)-信息安全管理管控體系要求》

1S0/IEC27002:2013《信息技術(shù)-安全技術(shù)-信息安全管理管控實(shí)施細(xì)則》

3、術(shù)語和定義

3.3.1ISO/IEC27001:2013《信息技術(shù)-安全技術(shù)-信息安全管理管控體系要求》、

IS0/IEC27002:2013《信息技術(shù)-安全技術(shù)-信息安全管理管控實(shí)施細(xì)則》規(guī)定的術(shù)

語和定義適用于本《信息安全管理管控手冊(cè)》。

3.3.2本組織、本公司、我司：指江蘇XXXX科技有限公司。

4、信息安全管理管控體系

4.1組織環(huán)境

組織外部環(huán)境包括如下幾個(gè)方面，但并不局限于此：

——文化、政治、法律、規(guī)章、金融、技術(shù)、經(jīng)濟(jì)、自然環(huán)境以及競(jìng)爭(zhēng)環(huán)境，無

論是國際、國內(nèi)、區(qū)域或地方；

——影響組織目標(biāo)的主要驅(qū)動(dòng)因素和發(fā)展趨勢(shì)；

——外部利益相關(guān)者的觀點(diǎn)和價(jià)值觀。

組織內(nèi)部環(huán)境包括如下幾個(gè)方面，但并不局限于此：

——資源與知識(shí)的理解能力（如：資本、時(shí)間、人力、流程、系統(tǒng)和技術(shù)）；

——信息系統(tǒng)、信息流動(dòng)以及決策過程（包括正式和非正式的）；

——內(nèi)部利益相關(guān)者；

——政策，為實(shí)現(xiàn)的目標(biāo)及戰(zhàn)略；

——觀念、價(jià)值觀、文化；

——組織通過的標(biāo)準(zhǔn)以及參考模型；

以上相關(guān)因素將影響公司實(shí)現(xiàn)信息安全管理管控體系的預(yù)期成果。

4.2理解相關(guān)方的需求和期望

a）與本公司信息安全管理管控體系有關(guān)的相關(guān)方有：供方、合同合約方、顧客及

其他第三方訪問者。

b）各相關(guān)方對(duì)我司的信息安全需求，包括了信息安全相關(guān)法律法規(guī)要求和合同合

約規(guī)定的義務(wù)。

4.3本公司信息安全管理管控體系的范圍和邊界

本公司根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了范圍和邊界，本

公司信息安全管理管控體系的范圍包括：

a）業(yè)務(wù)范圍：oooooo的設(shè)計(jì)開發(fā)和服務(wù)的信息安全管理管控活動(dòng)；

b）信息系統(tǒng)范圍：所述活動(dòng)、系統(tǒng)及支持性系統(tǒng)包含的全部信息資產(chǎn)；

c）組織范圍：與所述業(yè)務(wù)有關(guān)的部門和所有員工；

d）地理范圍：。

4.4信息安全管理管控體系

本公司按照ISO/IEC27001:2013《信息技術(shù)-安全技術(shù)-信息安全管理管控體系-

要求》規(guī)定，參照IS0/IEC27002:2013《信息技術(shù)-安全技術(shù)-信息安全管理管控實(shí)用

規(guī)則》，建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息安全管理管控體系。

5領(lǐng)導(dǎo)

5.1領(lǐng)導(dǎo)和承諾

本公司通過以下行動(dòng)證明公司實(shí)施了與信息安全管理管控體系有關(guān)的領(lǐng)導(dǎo)工作與

承諾：

a）確保建立與組織戰(zhàn)略目標(biāo)一致的信息安全方針和信息安全目標(biāo)；

b）確保信息安全管理管控體系要求集成到組織的管理管控流程；

c）確保提供信息安全管理管控體系需要的各項(xiàng)資源；

d）傳達(dá)信息安全管理管控的重要性及信息安全管理管控體系要求；

e）確保信息安全管理管控體系實(shí)現(xiàn)其預(yù)期目標(biāo)；

f）指導(dǎo)和支持信息安全團(tuán)隊(duì)；

g）促使持續(xù)改進(jìn)；

h）支持其他相關(guān)的管理管控者在其職責(zé)范圍內(nèi)履行管理管控職責(zé)。

5.2方針

為了滿足適用法律法規(guī)及相關(guān)方要求，維持公司經(jīng)營和管理管控的正常進(jìn)行，實(shí)現(xiàn)

業(yè)務(wù)可持續(xù)發(fā)展的目的。本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技

術(shù)定義了ISMS方針，見本信息安全管理管控手冊(cè)第0.4條約條款。該信息安全方針符

合以下要求：

1）為信息安全目標(biāo)建立了框架，并為信息安全活動(dòng)建立整體的方向和原則；

2）考慮業(yè)務(wù)及法律或法規(guī)的要求，及合同合約的安全義務(wù)；

3）與組織戰(zhàn)略和風(fēng)險(xiǎn)管理管控相一致的環(huán)境下，建立和保持ISMS；

4）建立了風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)則；

5）經(jīng)最高管理管控者批準(zhǔn)。

5.3組織角色、職責(zé)和權(quán)力

5.3.1信息安全組織機(jī)構(gòu)

本公司成立了由最高管理管控者、管理管控者代表及各部門負(fù)責(zé)人組成的信息安全

委員會(huì)，其職責(zé)是實(shí)現(xiàn)信息安全管理管控體系方針和本公司承諾，負(fù)責(zé)制訂、落實(shí)信息

安全管理管控工作相關(guān)計(jì)劃，建立健全企業(yè)的信息安全管理管控體系，保持其有效、持

續(xù)運(yùn)行。

本公司采取相關(guān)部門代表組成的運(yùn)行分析會(huì)議的方式，進(jìn)行信息安全協(xié)調(diào)和協(xié)作，

以：

a）確保安全活動(dòng)的執(zhí)行符合信息安全方針；

b）確定怎樣處理不符合；

c）批準(zhǔn)信息安全的方法和過程，如風(fēng)險(xiǎn)評(píng)估、信息分類；

5.3.2信息安全職責(zé)和權(quán)限

本公司總經(jīng)理為信息安全最高管理管控者，對(duì)信息安全全面負(fù)責(zé)，主要包括：

a）組織制定信息安全方針及目標(biāo)，任命管理管控者代表，明確管理管控者代表的

職責(zé)和權(quán)限。

b）確保在內(nèi)部傳達(dá)滿足客戶、法律法規(guī)和公司信息安全管理管控要求的重要性。

c）為信息安全管理管控體系配備必要的資源。

各部門負(fù)責(zé)人為本部門信息安全管理管控責(zé)任者，全體員工都應(yīng)按保密承諾的要求

自覺履行信息安全保密義務(wù)；

各部門有關(guān)信息安全職責(zé)分配見《信息安全管理管控職能分配表》。

各部門應(yīng)按照《信息安全適用性聲明》中規(guī)定的安全目標(biāo)、控制措施（包括安全運(yùn)

行的各種控制程序）的要求實(shí)施信息安全控制措施°

6.1處置風(fēng)險(xiǎn)和機(jī)遇

6.1.1總則

為實(shí)現(xiàn)公司信息安全管理管控體系方針和目標(biāo)，我司參考組織環(huán)境中的問題和相關(guān)

方的需求和，來決定需要被處置的風(fēng)險(xiǎn)和機(jī)遇：

a）確保信息安全管理管控體系可以實(shí)現(xiàn)其預(yù)期目標(biāo)；

b）避免或減少不良影響；

c）實(shí)現(xiàn)持續(xù)改進(jìn)。

公司對(duì)以下方面進(jìn)行規(guī)劃：

a）處置風(fēng)險(xiǎn)和機(jī)遇的行動(dòng)；

b）如何

1）將實(shí)施行動(dòng)整合到信息安全管理管控體系流程中；

2）評(píng)價(jià)行動(dòng)的有效性。

6.L2信息安全風(fēng)險(xiǎn)評(píng)估

公司制定《信息安仝風(fēng)險(xiǎn)評(píng)估控制程序》，建立識(shí)別適用于信息安仝管理管控體系

和已經(jīng)識(shí)別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風(fēng)險(xiǎn)評(píng)估方法，建立接受風(fēng)險(xiǎn)的準(zhǔn)則并

識(shí)別風(fēng)險(xiǎn)的可接受等級(jí)。所選擇的風(fēng)險(xiǎn)評(píng)估方法應(yīng)確保風(fēng)險(xiǎn)評(píng)估能產(chǎn)生可比較的和可重

復(fù)的結(jié)果。

信息安全風(fēng)險(xiǎn)評(píng)估的流程見圖2.風(fēng)險(xiǎn)評(píng)估流程圖。

公司實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估流程，從而：

a）建立和維護(hù)信息安全風(fēng)險(xiǎn)標(biāo)準(zhǔn)，包括：

1）風(fēng)險(xiǎn)接受標(biāo)準(zhǔn)；

2）實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估的標(biāo)準(zhǔn)；

b）確保信息安全風(fēng)險(xiǎn)評(píng)估活動(dòng)產(chǎn)生一致性，產(chǎn)生有效的和可比較的結(jié)果；

c）識(shí)別信息安全風(fēng)險(xiǎn)：

1）在信息安全管理管控體系范圍內(nèi)，通過信息安全風(fēng)險(xiǎn)評(píng)估流程，識(shí)別由于信

息的機(jī)密性、完整性和可用性的喪失帶來的風(fēng)險(xiǎn)；

2）識(shí)別風(fēng)險(xiǎn)的屬主；

d）分析信息安全風(fēng)險(xiǎn)：

1）評(píng)估在信息安全風(fēng)險(xiǎn)評(píng)估中識(shí)別的風(fēng)險(xiǎn)產(chǎn)生的潛在后果；

2）評(píng)估在信息安全風(fēng)險(xiǎn)評(píng)估中識(shí)別的風(fēng)險(xiǎn)轉(zhuǎn)化為事件的可能性；

3）確定風(fēng)險(xiǎn)的等級(jí)；

e）評(píng)價(jià)信息安全風(fēng)險(xiǎn)：

1）將風(fēng)險(xiǎn)分析結(jié)果與在信息安仝風(fēng)險(xiǎn)評(píng)估中所定義的風(fēng)險(xiǎn)標(biāo)準(zhǔn)進(jìn)行比較；

2）根據(jù)風(fēng)險(xiǎn)等級(jí)確定風(fēng)險(xiǎn)處置的優(yōu)先級(jí)。

f）組織保留有關(guān)信息安全風(fēng)險(xiǎn)評(píng)估的過程文檔。

6.1.3信息安全風(fēng)險(xiǎn)處置

公司根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，形成《風(fēng)險(xiǎn)處理相關(guān)計(jì)劃》，該相關(guān)計(jì)劃明確了風(fēng)險(xiǎn)處理

責(zé)任部門、負(fù)責(zé)人、處理方法及起始、完成時(shí)間。

對(duì)于信息安全風(fēng)險(xiǎn)，應(yīng)考慮控制措施與費(fèi)用的平衡原則，選用以下適當(dāng)?shù)拇胧?/p>

a）采用適當(dāng)?shù)膬?nèi)部控制措施；

b）接受風(fēng)險(xiǎn)（不可能將所有風(fēng)險(xiǎn)降低為零）；

c）避免風(fēng)險(xiǎn)（如物理隔離）；

d）轉(zhuǎn)移風(fēng)險(xiǎn)（如將風(fēng)險(xiǎn)轉(zhuǎn)移給保險(xiǎn)者、供方、分包商）。

控制目標(biāo)及控制措施的選擇原則來源于ISO/IEC27001:2013附錄A,具體控制措施

參考ISO/IEC27002:2013《信息技術(shù)-安全技術(shù)-信息安全管理管控實(shí)用規(guī)則》

組織保留信息安全風(fēng)險(xiǎn)處置的過程文檔。

6.2信息安全目標(biāo)的相關(guān)計(jì)劃和實(shí)現(xiàn)

本公司建立不同職能及層級(jí)的信息安全目標(biāo)。詳見本手冊(cè)0.5章合適的內(nèi)容。此信

息安全目標(biāo)應(yīng)：

a）與信息安全方針一致；

b）可度量（如果可操作）；

c）考慮適用的信息安全要求，以及風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置結(jié)果；

d）得到溝通；

e）及時(shí)更新。

信息安全目標(biāo)以文檔化形式保留。在規(guī)劃如何實(shí)現(xiàn)信息安全目標(biāo)時(shí)，公司明確：

a）要做什么；

b）需要什么資源；

c）誰來負(fù)責(zé)；

d）什么時(shí)候完成；

e）如何評(píng)價(jià)結(jié)果。

7.1資源

本公司確定并提供實(shí)施、保持信息安全管理管控體系所需資源；采取適當(dāng)措施，使

影響信息安全管理管控體系工作的員工的能力是勝任的，以保證：

a）建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理管控體系；

b）確保信息安全程序支持業(yè)務(wù)要求；

c）識(shí)別并指出法律法規(guī)要求和合同合約安全責(zé)任；

d）通過正確應(yīng)用所實(shí)施的所有控制來保持充分的安全；

e）必要時(shí)進(jìn)行評(píng)審，并對(duì)評(píng)審的結(jié)果采取適當(dāng)措施；

f）需要時(shí)，改進(jìn)信息安全管理管控體系的有效性。

7.2能力

公司制定并實(shí)施《人力資源安全管理管控程序》文件，確保被分配信息安全管理管

控體系規(guī)定職責(zé)的所有人員，都必須有能力執(zhí)行所要求的任務(wù)。可以通過：

a）確定承擔(dān)信息安全管理管控體系各工作崗位的職工所必要的能力；

b）提供職業(yè)技術(shù)教育和技能培訓(xùn)或采取其他的措施來滿足這些需求；

c）評(píng)價(jià)所采取措施的有效性；

d）保留教育、培訓(xùn)、技能、經(jīng)驗(yàn)和資歷的記錄。

本公司還確保所有相關(guān)人員意識(shí)到其所從事的信息安全活動(dòng)的相關(guān)性和重要性，以

及如何為實(shí)現(xiàn)信息安全管理管控體系目標(biāo)做出貢獻(xiàn)。

7.3意識(shí)

公司員工應(yīng)理解：

a）信息安全方針；

b）個(gè)人對(duì)于實(shí)現(xiàn)信息安全管理管控的重要性，提高組織信息安全績(jī)效的收益；

c）不符合信息安全管理管控體系要求所造成的影響。

7.4溝通

公司制定《信息溝通協(xié)調(diào)管理管控規(guī)范》，以明確與信息安全管理管控體系相關(guān)的內(nèi)、

外部溝通需求，包括：

a）溝通什么；

b）何時(shí)溝通；

c）和誰溝通；

d）誰應(yīng)該溝通；

e）哪種溝通過程有效。

7.5文檔要求

7.5.1綜述

組織的信息安全管理管控體系包括：

a）符合1SO/IEC27OO1:2O13標(biāo)準(zhǔn)的文件包括：信息安全管理管控手冊(cè)、程序文件、

管理管控規(guī)定、作業(yè)指導(dǎo)書和為保證信息安全管理管控體系有效策劃、運(yùn)行和控制所需

的受控文件；

b）組織所明確的，表明信息安全管理管控體系有效性的必要的記錄文檔。

7.5.2創(chuàng)建和更新

公司制定并實(shí)施《文件控制程序》，對(duì)信息安仝管理管控體系所要求的文件進(jìn)行管理

管控，以確定：

a）識(shí)別和描述（例如：標(biāo)題、日期、作者和版本號(hào)）；

b）格式（例如：語言、軟件版本和圖形）與介質(zhì)（例如：紙質(zhì)、電子）；

c）適宜性和充分性經(jīng)過評(píng)審。

7.5.3文檔控制

公司制定并實(shí)施《文件控制程序》，對(duì)信息安全管理管控體系所要求的文件進(jìn)行管理

管控。以確保：

a）在需要的時(shí)間和場(chǎng)合可用；

b）文檔得到充分保護(hù)（例如：防止泄密、不當(dāng)使用或喪失完整性）。

文檔控制應(yīng)保證：

a）文件發(fā)布前得到批準(zhǔn)，以確保文件是充分的；

b）必要時(shí)對(duì)文件進(jìn)行評(píng)審、更新并再次批準(zhǔn)；

c）確保文件的更改和現(xiàn)行修訂狀態(tài)得到識(shí)別；

d）確保在使用時(shí)，可獲得相關(guān)文件的最新版本；

e）確保文件保持清晰、易于識(shí)別；

f）確保文件可以為需要者所獲得，并根據(jù)適用于他們類別的程序進(jìn)行轉(zhuǎn)移、存儲(chǔ)和

最終的銷毀；

g）確保外來文件得到識(shí)別；

h）確保文件的分發(fā)得到控制；

i）防止作廢文件的非預(yù)期使用；

j）若因任何目的需保留作廢文件時(shí)，應(yīng)對(duì)其進(jìn)行適當(dāng)?shù)臉?biāo)識(shí)。

8實(shí)施

8.1運(yùn)行相關(guān)計(jì)劃和控制

為確保信息安全管理管控體系有效實(shí)施，對(duì)己識(shí)別的風(fēng)險(xiǎn)進(jìn)行有效處理，本公司開

展以下活動(dòng)：

a）形成《風(fēng)險(xiǎn)處理相關(guān)計(jì)劃》，以確定適當(dāng)?shù)墓芾砉芸卮胧⒙氊?zé)及安全控制措施的

優(yōu)先級(jí)；

b）為實(shí)現(xiàn)已確定的安全目標(biāo)、實(shí)施《風(fēng)險(xiǎn)處理相關(guān)計(jì)劃》，明確各崗位的信息安全職

責(zé)；

c）實(shí)施所選擇的控制措施，以實(shí)現(xiàn)控制目標(biāo)的要求；

d）確定如何測(cè)量所選擇的控制措施的有效性，并規(guī)定這些測(cè)量措施如何用于評(píng)估控

制的有效性以得出可比較的、可重復(fù)的結(jié)果；

e）進(jìn)行信息安全培訓(xùn)，提高全員信息安全意識(shí)和能力；

f）對(duì)信息安全體系的運(yùn)作進(jìn)行管理管控：

g）對(duì)信息安全所需資源進(jìn)行管理管控；

h）實(shí)施控制程序，對(duì)信息安全事故（或征兆）進(jìn)行迅速反應(yīng)。

公司保留以上必要的過程文檔信息，以表明相關(guān)過程已按照相關(guān)計(jì)劃執(zhí)行?？刂葡?/p>

關(guān)計(jì)劃更改，并審核相關(guān)計(jì)劃變更的影響，如有必要采取措施減少不利影響。確保外包

過程受控。

8.2信息安全風(fēng)險(xiǎn)評(píng)估

8.2.1識(shí)別風(fēng)險(xiǎn)

在已確定的信息安全管理管控體系范圍內(nèi)，按照相關(guān)計(jì)劃，或者在重大改變提出或

發(fā)生時(shí)進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估，本公司執(zhí)行《信息安全風(fēng)險(xiǎn)評(píng)估控制程序》，對(duì)所有的資

產(chǎn)進(jìn)行列表識(shí)別，并識(shí)別這些資產(chǎn)的所有者。資產(chǎn)包括硬件與設(shè)施、軟件與系統(tǒng)、數(shù)據(jù)

與文檔、服務(wù)及人力資源。對(duì)每一項(xiàng)資產(chǎn)按自身價(jià)值、信息分類、保密性、完整性、法

律法規(guī)符合性要求進(jìn)行了量化賦值，形成《資產(chǎn)清單》。

同時(shí)，根據(jù)《信息安全風(fēng)險(xiǎn)評(píng)估控制程序》，識(shí)別對(duì)這些資產(chǎn)的威脅、可能被威脅利

用的脆弱性、識(shí)別資產(chǎn)價(jià)值、保密性、完整性和可用性、合規(guī)性損失可能對(duì)資產(chǎn)造成的

影響。

8.2.2分析和評(píng)價(jià)風(fēng)險(xiǎn)

本公司按《信息安全風(fēng)險(xiǎn)評(píng)估控制程序》，分析和評(píng)價(jià)風(fēng)險(xiǎn)：

a）針對(duì)重要資產(chǎn)自身價(jià)值、保密性、完整性和可用性、合規(guī)性損失導(dǎo)致的后果進(jìn)行

賦值；

b）針對(duì)每一項(xiàng)威脅、薄弱點(diǎn)，對(duì)資產(chǎn)造成的影響，考慮現(xiàn)有的控制措施，判定安全

失效發(fā)生的可能性，并進(jìn)行賦值；

c）根據(jù)《信息安全風(fēng)險(xiǎn)評(píng)估控制程序》計(jì)算風(fēng)險(xiǎn)等級(jí)；

d）根據(jù)《信息安全風(fēng)險(xiǎn)評(píng)估控制程序》中的《風(fēng)險(xiǎn)接受準(zhǔn)則》，判斷風(fēng)險(xiǎn)為可接受或

需要處理。

8.3信息安全風(fēng)險(xiǎn)處置

公司根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，形成了《風(fēng)險(xiǎn)處理相關(guān)計(jì)劃》，該相關(guān)計(jì)劃明確了風(fēng)險(xiǎn)處

理責(zé)任部門、負(fù)責(zé)人、處理方法及起始、完成時(shí)間。公司根據(jù)相關(guān)計(jì)劃進(jìn)行了處置，并

保持處置的記錄。對(duì)風(fēng)險(xiǎn)處理后的剩余風(fēng)險(xiǎn)，得到了管理管控者的批準(zhǔn)。

9績(jī)效評(píng)價(jià)

9.1監(jiān)視、測(cè)量、分析和評(píng)價(jià)

本公司通過實(shí)施《監(jiān)視、測(cè)量、分析和評(píng)價(jià)控制程序》以監(jiān)視、測(cè)量、分析和評(píng)價(jià)

公司信息安全管理管控狀況結(jié)果，以實(shí)現(xiàn)：

a）及時(shí)發(fā)現(xiàn)處理結(jié)果中的錯(cuò)誤、信息安全體系的事故和隱患；

b）及時(shí)了解識(shí)別失敗的和成功的安全破壞和事件、信息處理系統(tǒng)遭受的各類攻擊；

c）使管理管控者確認(rèn)人工或自動(dòng)執(zhí)行的安全活動(dòng)達(dá)到預(yù)期的結(jié)果；

d）使管理管控者掌握信息安全活動(dòng)和解決安全破壞所采取的措施是否有效；

e）積累信息安全方面的經(jīng)驗(yàn)；

9.2內(nèi)部審核

公司建立《內(nèi)部審核控制程序》?！秲?nèi)部審核控制程序》包括策劃和實(shí)施審核以及報(bào)

告結(jié)果和保持記錄的職責(zé)和要求。并按照策劃的時(shí)間間隔（兩次內(nèi)部審核的間隔不得超

過12個(gè)月）進(jìn)行內(nèi)部信息安全管理管控體系審核，以確定其信息安全管理管控體系的控

制目標(biāo)、控制措施、過程和程序是否：

a）符合本標(biāo)準(zhǔn)的要求和相關(guān)法律法規(guī)的要求；

b）符合已識(shí)別的信息安全要求；

c）得到有效地實(shí)施和維護(hù)；

d）按預(yù)期執(zhí)行。

內(nèi)部審核的過程文檔應(yīng)清晰地形成記錄，并加以保持。

9.3管理管控評(píng)審

公司建立并實(shí)施《管理管控評(píng)審控制程序》，公司管理管控者應(yīng)按《管理管控評(píng)審控

制程序》規(guī)定的時(shí)間間隔（兩次管理管控評(píng)審的間隔不得超過12個(gè)月）評(píng)審信息安全管

理管控體系，以確保其持續(xù)的適宜性、充分性和有效性。

管理管控評(píng)審應(yīng)包括評(píng)價(jià)信息安全管理管控體系改進(jìn)的機(jī)會(huì)和變更的需要，包括安

全方針和安全目標(biāo)。

管理管控評(píng)審的結(jié)果應(yīng)清晰地形成文件，記錄應(yīng)加以保持。

10改進(jìn)

10.1不符合和糾正措施

公司建立并實(shí)施《糾正與預(yù)防控制程序》，當(dāng)出現(xiàn)不符合情況時(shí)：

a）對(duì)不符合情況采取措施，如：

1）采取措施，以控制和改正它；

2）處置影響；

b）明確必要的控制措施，以消除不符合情況產(chǎn)生的原因，確保它不會(huì)再發(fā)生或在其

他地方發(fā)生，通過：

1）評(píng)審不符合項(xiàng)；

2）明確不符合項(xiàng)產(chǎn)生的原因；

3）明確是否存在或可能發(fā)生類似的不符合項(xiàng)；

c）采取必要的措施；

d）評(píng)審已采取的改正措施的有效性；

e）必要時(shí)改進(jìn)信息安全管理管控體系。

糾正措施應(yīng)與所發(fā)生的不符合的影響程度相適應(yīng)。組織應(yīng)保留以下文檔信息作為證

據(jù)：

f）不符合情況的性質(zhì)和所采取的后續(xù)行動(dòng)；

g）糾正措施的結(jié)果。

10.2持續(xù)改進(jìn)

本公司通過使用信息安全方針、信息安全目標(biāo)、審核結(jié)果、監(jiān)控事件的分析、糾正

和預(yù)防措施以及管理管控評(píng)審，不斷完善信息安全管理管控體系的適宜性、充分性和有

效性。

附件一：信息安全職能分配表（注：▲負(fù)責(zé)部門；△相關(guān)部門）：

管理管控單位管理管

信息安全

總經(jīng)理控者代綜合部研發(fā)部技術(shù)部財(cái)務(wù)部銷售部

委員會(huì)

體系要求表

4.紐織環(huán)境

4.1理解組織及其環(huán)境▲▲△△△△△△

4.2理解相關(guān)方的需求和期望▲▲△△△△△△

4.3明確信息安全管理管控體系

▲▲▲△△△△△

的范圍

4.4信息安全管理管控體系▲△▲△△△△△

5領(lǐng)導(dǎo)

5.1領(lǐng)導(dǎo)和承諾△▲△△△△△△

5.2方針△▲△△△△△△

5.3組織角色、職責(zé)和權(quán)力△▲△△△△△△

6相關(guān)計(jì)劃

6.1處置風(fēng)險(xiǎn)和機(jī)遇▲▲△△▲△△△

6.2信息安全口標(biāo)的相關(guān)計(jì)劃和

▲△△△△△△△

實(shí)現(xiàn)

7支持

7.1資源△▲△△△△△△

7.2能力△△△▲△△△△

7.3意識(shí)△△△▲△△△△

7.4溝通▲▲▲△△△△△

7.5文檔要求△△△▲△△△△

8實(shí)施

8.1運(yùn)行相關(guān)計(jì)劃和控制▲△△△▲△△△

8.2信息安全風(fēng)險(xiǎn)評(píng)估▲△△△▲△△△

8.3信息安全風(fēng)險(xiǎn)處置▲△△△▲△△△

9績(jī)效評(píng)價(jià)

9.1監(jiān)視、測(cè)量、分析和評(píng)價(jià)▲△△△△△△A

9.2內(nèi)部審核△△▲△△△△△

9.3管理管控評(píng)審△▲△△△△△△

10改進(jìn)

10.1不符合項(xiàng)和糾正措施△△△▲△△△△

10.2持續(xù)改進(jìn)△△△▲△△△△

A.5信息安全方針

A.5.1信息安全管理管控指引▲△▲△△△△△

A.6信息安全組織

A.6.1內(nèi)部組織▲△▲△△△△△

A.6.2移動(dòng)設(shè)備和遠(yuǎn)程辦公△△△△▲▲△△

A.7人力資源安全△

A.7.1任用前△△△▲△△△△

A.7.2任用中△△△▲△△A△

A.7.3任用終止和變更△△△▲△△△△

A.8資產(chǎn)管理管控

A.8.1資產(chǎn)的責(zé)任△△△▲▲▲▲▲

A.8.2信息分類▲△△▲△△△△

A.8.3介質(zhì)處理△△△△△▲△△

A.9訪問控制

A.9.1訪問控制的業(yè)務(wù)需求△△△△△▲△△

A.9.2用戶訪問管理管控AAAAA▲AA

A.9.3用戶責(zé)任△△△△△▲A△

A.9.4系統(tǒng)和應(yīng)用訪問控制△△△△△▲△△

A.10加密技術(shù)

A.10.1加密控制▲△△△△▲△△

A.11物理和環(huán)境安全

A.11.1安全區(qū)域△△△▲△△△△

A.11.2設(shè)備安全△△△▲△▲A△

A.12操作安全

A.12.1操作程序及職責(zé)△△△△▲△A△

A.12.2防范惡意軟件△△△△△▲△△

A.12.3備份△△△△△▲△△

A.12.4日志記錄和監(jiān)控△△△△△▲△△

A.12.5操作軟件的控制△△△△△▲△△

A.12.6技術(shù)脆弱性管理管控△△△△△▲△△

A127信息系統(tǒng)審計(jì)的考慮因素△△△△△▲△△

A.13通信安全

A.13.1網(wǎng)絡(luò)安全管理管控△△△△△▲A△

A.13.2信息傳輸△△△▲△▲△△

A.14系統(tǒng)的獲取、開發(fā)及維護(hù)

A.14.1信息系統(tǒng)安全需求△△△△▲△△△

A.14.2開發(fā)和支持過程的安全△△△△▲△△△

A.14.3測(cè)試數(shù)據(jù)△△△△▲△△△

A.15供應(yīng)商關(guān)系

A.15.1供應(yīng)商關(guān)系的信息安全△△△▲△△△△

A.15.2供應(yīng)商服務(wù)交付管理管控△△△▲△△△△

A.16信息安全事件管理管控

A.16.1信息安全事件的管理管控

△△△△▲△△△

和改進(jìn)

A.16.1.1職責(zé)和程序△△△△▲△A△

A.16.1.2報(bào)告信息安全事態(tài)△△△▲▲▲▲▲

A.16.1.3報(bào)告信息安全弱點(diǎn)△△△▲▲▲▲▲

A.16.1.4評(píng)估和決策信息安全事

△△△△▲△△△

件

A.16.1.5響應(yīng)信息安全事故△△△△▲△△△

A.16.1.6從信息安全事故中學(xué)習(xí)△△△△▲△△△

A.16.1.7收桀證據(jù)△△△△▲△△△

A.17業(yè)務(wù)連續(xù)性管理管控中的信

息安全

A.17.1信息安全的連續(xù)性▲△△△△△△△

A.17.2冗余▲△△△△△△△

A.18符合性

A.18.1法律和合同合約規(guī)定的符

△△△▲△△△△

合性

A.18.2信息安全評(píng)審△△△▲△△△△

編號(hào)：

時(shí)間：2021年X月X日書山有路勤為徑，學(xué)海無涯苦作舟頁碼：第30頁共34頁

附件二：信息安全職責(zé)

序號(hào)架構(gòu)/部門成員及職能

最高管理管控者總經(jīng)理：張建廠

管理管控者代表XXX

XX（銷售部）、XX（技術(shù)部）、XX（研發(fā)部）、XXX（綜合部）、

成員

XX（財(cái)務(wù)部）

系我司信息安全最高組織機(jī)構(gòu)，負(fù)責(zé)公司整體信息安全管理管控工作，推動(dòng)信息

信息安全

1安全工作的實(shí)施；制定信息安全方針、信息安全管理管控目標(biāo)；負(fù)責(zé)審核信息安

委員會(huì)

全小組提交的信息安全管理管控體系、規(guī)范及管理管控辦法；負(fù)責(zé)決策與信息安

全管理管控相關(guān)的重大事項(xiàng)，包括信息安全組織機(jī)構(gòu)調(diào)整、信息安全關(guān)鍵人事變

動(dòng)以及信息安全管理管控重大策略變更、確認(rèn)可接受的風(fēng)險(xiǎn)和風(fēng)險(xiǎn)水平等；評(píng)審

與監(jiān)督重大信息安全事故的處理與改進(jìn)；定期組織信息安全管理管控體系（ISMS）

評(píng)審等。

1）組織并制定信息安全方針策略。

2）任命管理管控者代表，明確管理管控者代表的職責(zé)和權(quán)限。

最高管理管3）確保在內(nèi)部傳達(dá)滿足客戶、法律法規(guī)和公司信息安全管理管控要求的重要性。

2

控者4）為信息安全管理管控體系配備必要的資源。

5）主持管理管控評(píng)審。

6）對(duì)信息安全全面負(fù)責(zé)。

1）協(xié)助最高管理管控者建立、實(shí)施、檢查、改進(jìn)信息安全管理管控體系。

2）負(fù)責(zé)建立、實(shí)施、保持和改進(jìn)信息安全管理管控體系，保證信息安全體系的

有效運(yùn)行。

管理管控者3）組織公司信息安全風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理管控。

3

代表4）組織開展信息安全內(nèi)部審核、安全檢查工作。

5）負(fù)責(zé)向總經(jīng)理報(bào)告信息安全體系運(yùn)行的業(yè)績(jī)和任何改進(jìn)的需求。

6）負(fù)責(zé)就信息安全管理管控體系有關(guān)事宜的對(duì)外聯(lián)絡(luò)。

7）監(jiān)控信息安全事件和確保安全控制措施得到執(zhí)行。

1）負(fù)責(zé)公司信息安全方針、目標(biāo)、政策在部門內(nèi)部的有效執(zhí)行、監(jiān)督、檢查。

2）參與公司信息安全工作的討論和決策。

3）對(duì)信息安全管理管控體系內(nèi)部審核、管理管控評(píng)審及其他安全檢查時(shí)發(fā)現(xiàn)的

各部門負(fù)責(zé)

4問題及采取的糾正預(yù)防措施進(jìn)行審核和確認(rèn)。

人

4）負(fù)責(zé)管理管控和維護(hù)部門發(fā)布的信息安全管理管控體系相關(guān)文件。

5）負(fù)責(zé)信息安全事件的調(diào)查及協(xié)調(diào)處理。

6）做好本崗位信息安全相關(guān)的保密工作

1）負(fù)責(zé)監(jiān)控信息安全管理管控體系的日常運(yùn)行。

2）負(fù)責(zé)信息安全管理管控體系文件的控制。

3）負(fù)責(zé)本公司信息安全管理管控體系的推行落實(shí)。

5綜合部4）負(fù)責(zé)公司員工招聘、聘用及離職全過程的安全管理管控。

5）負(fù)責(zé)公司內(nèi)部人事檔案等重要文件資料的安全管控。

6）負(fù)責(zé)公司日常行政安全的管理管捽.

7）負(fù)責(zé)公司辦公環(huán)境的物理安全，包括人員及物品出入控制、門禁管理管控等。

笫30頁共34頁

編號(hào)：

時(shí)間：2021年X月X日書山有路勤為徑，學(xué)海無涯苦作舟頁碼：第31頁共34頁

8）負(fù)責(zé)公司業(yè)務(wù)相關(guān)的銷售管理管控。

9）負(fù)責(zé)本部門的重要信息的安全保密管控，包括客戶信息、商務(wù)文檔、相關(guān)項(xiàng)

目合同合約、投標(biāo)文件等重要文件的安全管控。

10）負(fù)責(zé)公司及部門重要文件資料的安全管控。

11）信息安全事件的報(bào)告及協(xié)助處理。

1）負(fù)責(zé)公司信息系統(tǒng)的安全規(guī)劃設(shè)計(jì)及實(shí)施。

2）負(fù)責(zé)公司機(jī)房及軟硬件系統(tǒng)的安全運(yùn)行維護(hù)。

6研發(fā)部3）負(fù)責(zé)本部門重要信息的安全管控，包括相關(guān)項(xiàng)目合適的方案、設(shè)計(jì)文檔等重

要文件的安全管控。

4）負(fù)責(zé)信息安全事件的調(diào)查及協(xié)調(diào)處理。

1）負(fù)責(zé)對(duì)公司客戶請(qǐng)求的積極響應(yīng)，妥善處理顧客的投訴等。

2）負(fù)責(zé)本部門重要信息的安全保密管控，包括客戶信息等重要數(shù)據(jù)的安全管控。

7技術(shù)部

3）信息安全事件的報(bào)告及協(xié)助處理。

4）做好本崗位信息安全相關(guān)的保密工作

1）負(fù)責(zé)公司業(yè)務(wù)相關(guān)的銷售工作。

2）負(fù)責(zé)本人接觸到的重要信息的安全保密管控，包括客戶信息、商務(wù)文檔、相

8銷售部關(guān)項(xiàng)目合同合約、投標(biāo)文件等重要文件的安全管控。

3）信息安全事件的報(bào)告及協(xié)助處理。

4）做好本崗位信息安全相關(guān)的保密工作

1）負(fù)責(zé)公司的財(cái)務(wù)管理管控工作。

2）負(fù)責(zé)本部門的重要信息的安全保密管控，包括財(cái)務(wù)憑證、財(cái)務(wù)報(bào)表、工資單

9財(cái)務(wù)部等重要文件的安全管控。

3）信息安全事件的報(bào)告及協(xié)助處理。

4）做好本崗位信息安全相關(guān)的保密工作

1）負(fù)責(zé)公司信息系統(tǒng)建設(shè)及運(yùn)行維護(hù)。

2）負(fù)責(zé)公司機(jī)房安全管理管控。

IT維護(hù)工程

3）負(fù)責(zé)公司各部門辦公電腦的維護(hù)及安全管理管控。

10師/網(wǎng)絡(luò)管

4）按時(shí)記錄網(wǎng)絡(luò)機(jī)房運(yùn)行日志

理管控員

5）信息安全事件的報(bào)告、響應(yīng)及協(xié)調(diào)處理。

6）做好本崗位信息安全相關(guān)的保密工作

1）負(fù)責(zé)公司財(cái)務(wù)記帳、報(bào)帳、應(yīng)收及應(yīng)付、資產(chǎn)盤點(diǎn)等日常工作。

2）負(fù)責(zé)本崗位的重要信息的安全保密管控，包括財(cái)務(wù)報(bào)表、各類憑證等重要文

11會(huì)計(jì)及出納件的安全管控。

3）信息安全事件的報(bào)告及協(xié)助處理。

4）做好本崗位信息安全相關(guān)的保密工作

1）負(fù)責(zé)服務(wù)相關(guān)項(xiàng)目的具體實(shí)施及管理管控。

相關(guān)項(xiàng)目經(jīng)2）負(fù)責(zé)本崗位的重要信息的安全保密管控，包括各類基礎(chǔ)數(shù)據(jù)、原始數(shù)據(jù)、撥

12理及相關(guān)項(xiàng)打數(shù)據(jù)等重要數(shù)據(jù)的安全管控。

目專員3）信息安全事件的報(bào)告及協(xié)助處理。

4）做好本崗位信息安全相關(guān)的保密工作

1）嚴(yán)格遵守國家及行業(yè)的法律法規(guī)和政策。

13所有員工2）嚴(yán)格遵守公司的各項(xiàng)信息安全政策。

3）正確、安全的使用及保管公司及客戶的各類信息資產(chǎn)。

笫31頁共34頁

編號(hào)：

時(shí)間：2021年X月X日書山有路勤為徑，學(xué)海無涯苦作舟頁碼：第32頁共34頁

4）積極參加信息安全教育與培訓(xùn)，提高信息安全意識(shí)。

5）信息安全事件的報(bào)告及協(xié)助處理。

6）做好本崗位信息安全相關(guān)的保密工作

附件三：信息安全管理管控體系程序文件清單

制定/修訂

序號(hào)文件名稱文件編號(hào)版本號(hào)制定部門備注

日期

1文件控制程序XX-QP-01A/02016.3.1綜合部受控文件

2記錄控制程序XX-QP-02A/02916.3.1綜合部受控文件

3內(nèi)部審核控制程序XX-QP-03A/02016.3.1綜合部受控文件

4管理管控評(píng)審控制程序XX-QP-04A/02016.3.1綜合部受控文件

5糾正與預(yù)防控制程序XX-QP-05A/02016.3.1綜合部受控文件

信息安全測(cè)量管理管控綜合部

6XX-QP-06A/02016.3.1受控文件

程序

信息安全風(fēng)險(xiǎn)評(píng)估控制

7XX-QP-07A/02016.3.1綜合部受控文件